h3c sr8800高安全性技術(shù)白皮書

1、：安全性、ARP、URPF摘要：本篇文檔介紹了SR8800產(chǎn)品安全性相關的內(nèi)容，按接入、路由轉(zhuǎn)發(fā)和管理等幾方面進行闡述?？s略語：第1頁，共31頁縮略語英文全名中文解釋URPFUnicast Reverse Path Forwarding單播反向路徑轉(zhuǎn)發(fā)SSHSecure S安全外殼目 錄概述4接入安全性4端口安全4MAC認證52.3 802.1x認證62.3.1 802.1x的體系結(jié)構(gòu)62.3.2 802.1x的基本概念7Portal認證8Portal的系統(tǒng)組成92.5 VLAN端口功能10廣播流量抑止11STP保護功能11ARP源抑制功能122.9 ARP防IP報文功能13ARP防ARP防功

2、能13功能132.12ARP功能14協(xié)議端口保護功能14報文上送限制和優(yōu)先級分類上送功能142.15 主動對報文進行功能14路由轉(zhuǎn)發(fā)安全性15路由協(xié)議加密認證15IP Source Guard功能15URPF15海量雙向ACL16IPSec16NetStream193.7（FW）203.7.1濾簡介203.7.2 ASPF簡介214 管理安全性25第2頁，共31頁4.1 用戶管理25用戶等級管理25信息中心25SSH26算法和密鑰26非對稱密鑰算法26SSH2.0工作過程27RADIUS29NQA30第3頁，共31頁1概述在網(wǎng)絡應用越來越廣泛的今天，用戶對網(wǎng)絡的安全性要求越來越高。作為高端路由

3、器，充分考慮了產(chǎn)品的高安全性要求，從接入、路由協(xié)議到設備管理多方面多層次設計，有效地滿足了用戶的要求。隨著網(wǎng)絡技術(shù)的普及，網(wǎng)絡行為出現(xiàn)得越來越頻繁。通過各種，只要的泛濫，也加具有一般計算機的初學者也能完成對網(wǎng)絡的。各種網(wǎng)絡。目前， ernet網(wǎng)絡上常見的安全劇了網(wǎng)絡被的分為以下幾類：使用：資源被未的用戶（也可以稱為用戶）或以未方式（權(quán)限）使用。例如，使用資源。者通過猜測帳號和的組合，從而進入計算機系統(tǒng)以服務：服務器合法用戶正常信息或資源的請求。例如，者短時間內(nèi)使用大量數(shù)據(jù)包或畸形報文向服務器不斷發(fā)起連接或請求回應，致使服務器負荷過重而不能處理合法任務。設備：設備的ARP、MAC等重要資源，在短

4、時間內(nèi)使ARP、MAC等地址空間迅速填滿，正常用戶無法接入網(wǎng)絡。信息：者并不直接目標系統(tǒng)，而是通過網(wǎng)絡來獲取重要數(shù)據(jù)或信息。數(shù)據(jù)篡改：者對系統(tǒng)數(shù)據(jù)或消息流進行有選擇的修改、刪除、延誤、重排序及虛假消息等操作，而使數(shù)據(jù)的一致性被破壞。一直是ERNET技術(shù)發(fā)展的重要研究課題。隨著以太網(wǎng)技術(shù)的發(fā)展，人們越來越以太網(wǎng)技術(shù)需要安全的保駕護航。路由技術(shù)如何和安全技術(shù)融合，提供給企業(yè)用戶一個安全、可靠的網(wǎng)絡環(huán)境是以太網(wǎng)交換機在組網(wǎng)應用中一個常見。為了能夠確保用戶的安全需求，SR8800提供入安全、路由轉(zhuǎn)發(fā)安全、管理安全等。的解決思路：包括接2接入安全性2.1 端口安全端口安全是一種基于MAC地址的安全機制。

5、這種機制通過檢測數(shù)據(jù)幀中的源MAC第4頁，共31頁設備對網(wǎng)絡的，通過檢測數(shù)據(jù)幀中的目的MAC地址來控制。地址來控制非對非設備的端口安全的主要功能是通過定義各種端口安全模式，讓設備學習到合法的源MAC地址，以達到相應的網(wǎng)絡管理效果。啟動了端口安全功能之后，當發(fā)現(xiàn)報文時，系統(tǒng)將觸發(fā)相應特性，并按照預先指定的方式進行處理，既方便用戶的管理又提高了系統(tǒng)的安全性。報文包括：2.2MAC認證MAC地址認證是一種基于端口和MAC地址對用戶的網(wǎng)絡權(quán)限進行控制的認證方法，它不需要用戶安裝任何客戶端。設備在首次檢測到用戶的MAC地址以后，即啟動對該用戶的認證操作。認證過程中，也不需要用戶手動輸入用戶名或者。目前設

6、備支持兩種方式的MAC地址認證：認證方式確定后，可根據(jù)需求選擇MAC認證用戶名的類型，包括以下兩種方式：1. RADIUS服務器認證方式進行MAC地址認證當選用RADIUS服務器認證方式進行MAC地址認證時，設備作為RADIUS客戶端，與RADIUS服務器配合完成MAC地址認證操作：第5頁，共31頁采用 MAC 地址用戶名時，設備將檢測到的用戶 MAC 地址作為用戶名和發(fā)送給 RADIUS 服務器。MAC 地址用戶名：使用用戶的 MAC 地址作為認證時的用戶名和；固定用戶名：不論用戶的 MAC 地址為何值，所有用戶均使用在設備上預先配置的本地用戶名和進行認證。通過 RADIUS（Remote

7、Authentication Dial-In User Service，認證撥號用戶服務）服務器認證。本地認證。MAC 地址學習時，收到的源 MAC 地址為未知 MAC 的報文；端口學習到的 MAC 地址達到端口所允許的最大 MAC 地址數(shù)后，收到的源MAC 地址為未知 MAC 的報文；未通過認證的用戶發(fā)送的報文。RADIUS服務器完成對該用戶的認證后，認證通過的用戶可以網(wǎng)絡。2. 本地認證方式進行MAC地址認證當選用本地認證方式進行MAC地址認證時，直接在設備上完成對用戶的認證。需要在設備上配置本地用戶名和：2.3 802.1x認證IEEE802 LAN/WAN為解決無線局域網(wǎng)問題，提出了8

8、02.1x協(xié)議。后來，802.1x協(xié)議作為局域網(wǎng)端口的一個普通接入控制機制在以太網(wǎng)中被廣泛應用，主要解決以太網(wǎng)內(nèi)認證和安全方面。802.1x協(xié)議是一種基于端口的網(wǎng)絡接入控制協(xié)議（port based network acscontrol protocol）?！盎诙丝诘木W(wǎng)絡接入控制”是指在局域網(wǎng)接入設備的端口這一級對所接入的用戶設備進行認證和控制。連接在端口上的用戶設備如果能通過認證，就可以局域網(wǎng)中的資源；如果不能通過認證，則無法局域網(wǎng)中的資源2.3.1 802.1x的體系結(jié)構(gòu)802.1x 系統(tǒng)為典型的Cnt/Server 結(jié)構(gòu)，如下圖所示，包括三個實體：客戶端（Cnt）、設備端（Device

9、）和認證服務器（Server）。圖1 802.1x認證系統(tǒng)的體系結(jié)構(gòu)第6頁，共31頁客戶端是位于局域網(wǎng)段一端的一個實體，由該鏈路另一端的設備端對其進行認證?？蛻舳艘话銥橐粋€用戶終端設備，用戶可以通過啟動客戶端發(fā)起采用 MAC 地址用戶名時，需要配置的本地用戶名為各接入用戶的 MAC 地址。采用固定用戶名時，需要配置的本地用戶名為自定義的，所有用戶對應的用戶名和與自定義的一致。采用固定用戶名時，設備將已經(jīng)在本地配置的用戶名和作為待認證用戶的用戶名和，發(fā)送給 RADIUS 服務器。2.3.2802.1x的基本概念下圖顯示了受控端口上不同的狀態(tài)對通過該端口報文的影響。圖中對比了兩個802.1x認證系

10、統(tǒng)的端口狀態(tài)。系統(tǒng)1的受控端口處于非狀態(tài)（相當于端口開關打開），系統(tǒng)2的受控端口處于狀態(tài)（相當于端口開關關閉）。圖2 受控端口上狀態(tài)的影響第7頁，共31頁802.1x 認證?？蛻舳吮仨氈С?EAPOL（Extensible Authentication Protocol over LAN，局域網(wǎng)上的可擴展認證協(xié)議）。設備端是位于局域網(wǎng)段一端的另一個實體，對所連接的客戶端進行認證。設備端通常為支持 802.1x 協(xié)議的網(wǎng)絡設備，它為客戶端提供接入局域網(wǎng)的端口，該端口可以是物理端口，也可以是邏輯端口。認證服務器是為設備端提供認證服務的實體。認證服務器用于實現(xiàn)對用戶進行認證、 和計費，通常為 RAD

11、IUS（Remote Authentication Dial-In User Service， 認證撥號用戶服務）服務器。802.1x 認證系統(tǒng)使用 Extensible Authentication Protocol，可擴展認證協(xié)議），來實現(xiàn)客戶端、設備端和認證服務器之間認證信息的交換。在客戶端與設備端之間，EAP 協(xié)議報文使用 EAPOL 封裝格式，直接承載于LAN 環(huán)境中。在設備端與 RADIUS 服務器之間，可以使用兩種方式來交換信息。一種是 EAP 協(xié)議報文使用 EAPOR（EAP over RADIUS）封裝格式承載于 RADIUS協(xié)議中；另一種是 EAP 協(xié)議報文由設備端進行終結(jié)

12、，采用包含 PAP（Password Authentication Protocol，驗證協(xié)議）或 CHAP（Challenge Handshake Authentication Protocal ，質(zhì)詢握手驗證協(xié)議） 屬性的報文與RADIUS 服務器進行認證交互。1. 受控/非受控端口設備端為客戶端提供接入局域網(wǎng)的端口，這個端口被劃分為兩個邏輯端口：受控端口和非受控端口。任何到達該端口的幀，在受控端口與非受控端口上均可見。2./非狀態(tài)設備端利用認證服務器對需要接入局域網(wǎng)的客戶端執(zhí)行認證，并根據(jù)認證結(jié)果（Accept或Reject）對受控端口的/非狀態(tài)進行相應地控制。用戶可以通過在端口下配置的

13、接入控制的模式來控制端口的狀態(tài)。端口支持以下三種接入控制模式：3. 受控方向在非狀態(tài)下，受控端口可以被設置成單向受控和雙向受控。2.4 Portal認證Portal在英語中是稱為門戶的意思。Portal認證通常也稱為WEB認證，一般將Portal認證。未認證用戶上網(wǎng)時，設備強制用戶登錄到特定站點（門戶主頁），用戶可以免費其中的服務。當用戶需要使用互聯(lián)網(wǎng)中的其它信息時，必須在門戶進行認證，只有認證通過后才可以使用互聯(lián)網(wǎng)資源。第8頁，共31頁實行雙向受控時，幀的發(fā)送和接收；實行單向受控時，從客戶端接收幀，但允許向客戶端發(fā)送幀。強制模式（authorized-force）：表示端口始終處于狀態(tài)，允許

14、用戶不經(jīng)認證即可網(wǎng)絡資源。強制非模式（unauthorized-force）：表示端口始終處于非狀態(tài)，不允許用戶進行認證。設備端不對通過該端口接入的客戶端提供認證服務。自動識別模式（auto）：表示端口初始狀態(tài)為非狀態(tài)，僅允許 EAPOL報文收發(fā)，不允許用戶網(wǎng)絡資源；如果認證通過，則端口切換到狀態(tài)，允許用戶網(wǎng)絡資源。這也是最常見的情況。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞 EAPOL 協(xié)議幀，保證客戶端始終能夠發(fā)出或接收認證報文。受控端口在狀態(tài)下處于雙向連通狀態(tài)，用于傳遞業(yè)務報文；在非狀態(tài)下從客戶端接收任何報文。用戶可以主動已知的Portal認證，輸入用戶名和進行認證，這種開始Port

15、al認證的方式稱作主動認證。反之，如果用戶試圖通過HTTP其他，將被強制Portal認證證。，從而開始Portal認證過程，這種方式稱作強制認Portal業(yè)務可以為運營商提供方便的管理功能，門戶可以開展、社區(qū)服務、個性化的業(yè)務等，使寬帶運營商、設備提供商和內(nèi)容服務提供商形成一個產(chǎn)業(yè)生態(tài)系統(tǒng)。2.4.1Portal的系統(tǒng)組成Portal的典型組網(wǎng)方式如下圖所示，它由四個基本要素組成：認證客戶端、接入設備、Portal服務器和認證/計費服務器。認證客戶端安全策略服務器認證客戶端接入設備Portal服務器認證客戶端認證/計費服務器圖3 Portal系統(tǒng)組成示意圖1. 認證客戶端安裝于用戶終端的客戶端

16、系統(tǒng)，運行HTTP/HTTPS協(xié)議的瀏覽器。2. 接入設備寬帶接入設備的統(tǒng)稱，主要有兩方面的作用：3. Portal服務器接受Portal客戶端認證請求的服務端系統(tǒng)，提供免費門戶服務和基于WEB認證的界第9頁，共31頁在認證之前，認證網(wǎng)段內(nèi)用戶的所有 HTTP 請求都被重定向到 Portal 服務器；在認證通過后，允許用戶使用互聯(lián)網(wǎng)。與 Portal 服務器、認證/計費服務器交互，完成認證、計費的功能。面，與接入設備交互認證客戶端的認證信息。4. 認證/計費服務器與接入設備進行交互，完成對用戶的認證和計費。以上四個基本要素的交互過程為：(1)對于一個未認證用戶，在 IE 地址欄中輸入一個互聯(lián)網(wǎng)

17、的地址，那么此 HTTP請求在經(jīng)過接入設備時會被重定向到 Portal 的WEB 認證主頁上；用戶在認證主頁中輸入認證信息后提交，Portal 服務器會將用戶的認證信息傳遞給接入設備；然后接入設備再與認證/計費服務器通信進行認證和計費；(2)(3)(4)如果認證通過，接入設備會打開用戶與互聯(lián)網(wǎng)的通路，允許用戶網(wǎng)?；ヂ?lián)2.5VLAN端口功能實現(xiàn)同一VLAN內(nèi)端口之間的。用戶只需要將端口加入到組中，就可以實現(xiàn)組內(nèi)端口之間二層數(shù)據(jù)的。端口功能為用戶提供了更安全、更靈活的組網(wǎng)方案。圖4 配置端口組網(wǎng)圖為了使組內(nèi)端口與組外二層互通，用戶必須為組配置上行口。對于同VLAN的Host A、B、C三個用戶，相

18、互之間是的，但是都能通過Device的GE3/1/1口ernet。第10頁，共31頁2.6廣播流量抑止在接口下進行配置，設置的是接口允許通過的最大廣播報文流量。當接口上的廣播報文超過用戶設置的值后，系統(tǒng)將丟棄超出廣播流量限制的報文，從而使接口廣播流量所占的比例降低到限定的范圍，保證網(wǎng)絡業(yè)務的正常運行。2.7STP保護功能支持MSTP的設備提供了四種保護功能：1. BPDU保護功能對于接入層設備，接入端口一般直接與用戶終端（如PC機）或文件服務器相連，此時接入端口被設置為邊緣端口以實現(xiàn)這些端口的快速遷移；當這些端口接收到配置消息（BPDU報文）時系統(tǒng)會自動將這些端口設置為非邊緣端口，重新計算生成

19、樹，引起網(wǎng)絡拓撲結(jié)構(gòu)的變化。這些端口正常情況下應該不會收到STP的配置消息。如果有人配置消息設備，就會引起網(wǎng)絡震蕩。MSTP提供BPDU保護功能來防止這種：設備上啟動了BPDU保護功能后，如果邊緣端口收到了配置消息，MSTP就將這些端口關閉，同時通知這些端口被MSTP關閉。被關閉的端口只能由網(wǎng)絡管理恢復。2. 根保護功能生成樹的根橋及備份根橋應該處于同一個域內(nèi)，特別是對于CIST的根橋和備份根橋，網(wǎng)絡設計時一般會把CIST的根橋和備份根橋放在一個高帶寬的域內(nèi)。但是，由于的錯誤配置或網(wǎng)絡中的，網(wǎng)絡中的合法根橋有可能會收到優(yōu)先級更高的配置消息，這樣當前合法根橋會失去根橋的地位，引起網(wǎng)絡拓撲結(jié)構(gòu)的錯

20、誤變動。這種不合法的變動，會導致原來應該通過高速鏈路的流量被牽引到低速鏈，導致網(wǎng)絡擁塞。為了防止這種情況發(fā)生，MSTP提供根保護功能對根橋進行保護：對于設置了根保護功能的端口，其在所有實例上的端口角色只能保持為指定端口。一旦該端口收到第11頁，共31頁BPDU 保護功能；根保護功能；環(huán)路保護功能；防止 TC-BPDU 報文的保護功能。某實例優(yōu)先級更高的配置消息，立即將該實例端口設置為偵聽狀態(tài)，不再轉(zhuǎn)發(fā)報文（相當于將此端口相連的鏈路斷開）。當在2倍的Forward Delay時間內(nèi)沒有收到更優(yōu)的配置消息時，端口會恢復原來的正常狀態(tài)。3. 環(huán)路保護功能依靠不斷接收上游設備發(fā)送的BPDU報文，設備可

21、以維持根端口和其他阻塞端口的狀態(tài)。但是由于鏈路擁塞或者單向鏈路故障，這些端口會收不到上游設備的BPDU報文，此時下游設備會重新選擇端口角色，收不到BPDU報文的下游設備端口會轉(zhuǎn)變?yōu)橹付ǘ丝?，而阻塞端口會遷移到轉(zhuǎn)發(fā)狀態(tài)，從而交換網(wǎng)絡中會產(chǎn)生環(huán)路。環(huán)路保護功能會抑制這種環(huán)路的產(chǎn)生。對于配置了環(huán)路保護的端口，當接收不到上游設備發(fā)送的BPDU報文，環(huán)路保護生效時，如果該端口參與了STP計算，則不論其角色如何，該端口上的所有實例將一直被設置為Discarding狀態(tài)。4. 防止TC-BPDU報文的保護功能設備在接收到TC-BPDU報文（網(wǎng)絡拓撲發(fā)生變化報文）后，會執(zhí)行轉(zhuǎn)發(fā)地設備時，設備短時間內(nèi)會址表項的

22、刪除操作。在有人TC-BPDU報文收到很多的TC-BPDU報文，頻繁的刪除操作給設備帶來很大負擔，給網(wǎng)絡的穩(wěn)定帶來很大隱患。通過在設備上使能防止TC-BPDU報文地址表項。的保護功能，可以避免頻繁地刪除轉(zhuǎn)發(fā)防止TC-BPDU報文的保護功能使能后，設備在收到TC-BPDU報文后的10秒內(nèi)，允許收到TC-BPDU報文后立即進行地址表項刪除操作的次數(shù)最多為stp tc- protection threshold命令設置的次數(shù)（假設命令設置的次數(shù)為X）。同時系統(tǒng)會在該時間段內(nèi)收到的TC-BPDU報文數(shù)是否大于X，如果大于X，則設備在該時間超時后再進行一次地址表項刪除操作。這樣就可以避免頻繁地刪除轉(zhuǎn)發(fā)地

23、址表項。2.8 ARP源抑制功能如果網(wǎng)絡中有主機通過向設備發(fā)送大量目標IP地址不能則會造成下面的危害：的IP報文來設備，第12頁，共31頁設備向目的網(wǎng)段產(chǎn)生大量 ARP 請求報文，加重目的網(wǎng)段的負載。為避免這種所帶來的危害，設備提供了ARP源抑制功能。開啟該功能后，如果網(wǎng)絡中某主機向設備某端口連續(xù)發(fā)送目標IP地址不能的IP報文（當時間內(nèi)的ARP請求報文的流量超過設置的閾值），對于由此IP地址發(fā)出的IP報文，在時間內(nèi)設備不允許其觸發(fā)ARP請求，從而避免了所造成的危害。2.9 ARP防IP報文功能在進行IP報文轉(zhuǎn)發(fā)過程中，設備需要依靠ARP下一跳IP地址的MAC地址。如直接轉(zhuǎn)發(fā)出去，而不需要再由軟

24、果地址成功，報文可以直接通過硬件轉(zhuǎn)發(fā)件處理；如果地址不成功，需要由進行處理。這樣，如果接收到大量下一跳IP地址循環(huán)變化并且該IP地址不可達的IP報文，由于下一跳IP地址不成功，會試圖反復地對下一跳IP地址進行探測，導致CPU負荷過重，就造成了IP報文對設備的。用戶可以通過配置ARP防IP報文功能來預防這種可能存在的情況。在防IP報文功能啟用后，一旦接收到下一跳地址不可達的IP報文（即ARP失敗的IP報文），設備立即產(chǎn)生一個黑洞路由，使硬件轉(zhuǎn)發(fā)在一段時間內(nèi)將去往該地址的報文直接丟棄。等待黑洞路由老化時間過后，報文觸發(fā)則再次發(fā)起，如果成功則由硬件進行轉(zhuǎn)發(fā)，否則仍然下發(fā)黑洞路由。這種方式能夠有效的防

25、止異常IP報文的，保護系統(tǒng)。2.10 ARP防功能當設備學習到用戶ARP后，如果者模擬用戶發(fā)送的ARP請求，則用戶的ARP表項被篡改，設備就不能再把報文發(fā)給用戶導致用戶業(yè)務中斷。使能的ARP防后，對于已經(jīng)存在的ARP表項，當有ARP報文觸發(fā)ARP更新時，設備會反向發(fā)送單播ARP請求，確認該ARP報文的地址正確性，如果是的，則設備不會更新ARP表項，保證設備與用戶間的報文轉(zhuǎn)發(fā)。者是不會做出回應2.11 ARP防功能如果網(wǎng)絡中有主機通過向設備發(fā)送大量目標IP地址不能則會造成下面的危害：的IP報文來設備，第13頁，共31頁設備向目的網(wǎng)段產(chǎn)生大量 ARP 請求報文，加重目的網(wǎng)段的負載。設備會不斷目標

26、IP 地址，增加了 CPU 的負擔。為避免這種所帶來的危害，設備提供了ARP源抑制功能。開啟該功能后，如果網(wǎng)絡中某主機向設備某端口連續(xù)發(fā)送目標IP地址不能的IP報文（當每5秒內(nèi)的ARP請求報文的流量超過設置的閾值），對于由此IP地址發(fā)出的IP報文，設備不允許其觸發(fā)ARP請求，直至5秒后再處理，從而避免了所造成的危害。2.12ARP功能所謂ARP（Authorized ARP），就是根據(jù)DHCP服務器生成的租約或者DHCP中繼生成的安全表項同步生成ARP表項。ARP功能可以檢測用戶的址或MAC地址對網(wǎng)絡進行網(wǎng)絡的安全性。下線，并且可以防止用戶仿冒其他用戶的IP地，保證只有合法的用戶才能使用網(wǎng)絡資

27、源，增加了2.13協(xié)議端口保護功能為了保護設備不被網(wǎng)絡上的其它用戶對端口的，在默認狀態(tài)下，設備各接入端口上的各協(xié)議狀態(tài)是關閉的，其它設備發(fā)送過來的相關協(xié)議報文不會被系統(tǒng)處理，這樣就不會被。只有當該端口上的相關協(xié)議使能后，該協(xié)議的端才被放開，系統(tǒng)就能正常處理了。2.14報文上送限制和優(yōu)先級分類上送功能為了避免因某種協(xié)議報文中進行了兩種保護：導致系統(tǒng)無法處理其它任務而導致系統(tǒng)故障，在設備(1)根據(jù)協(xié)議任務的優(yōu)先級對協(xié)議報文的處理進行了優(yōu)先級分類，保證高優(yōu)先級的協(xié)議報文優(yōu)先處理；(2)對每個協(xié)議報文的系統(tǒng)處理能力進行了限制，某種協(xié)議報文的沖擊不會影響其它協(xié)議報文的正常處理。2.15主動對報文進行功能

28、控制，根據(jù)源的MAC，IP或VLAN當確認某種報文后，可以通過后端等信息主動下發(fā)防規(guī)則，對該流進行，使系統(tǒng)恢復正常。第14頁，共31頁設備會不斷目標 IP 地址，增加了 CPU 的負擔。3 路由轉(zhuǎn)發(fā)安全性3.1路由協(xié)議加密認證為了避免路由信息外泄或者對路由器進行，路由器提供報文驗證功能。對所有動態(tài)協(xié)議RIPF、ISIS、BGP都可以支持明文或MD5認證。3.2IP Source Guard功能通過IP Source Guard綁定功能，可以對端口轉(zhuǎn)發(fā)的報文進行過濾控制，防止報文通過端口，提高了端口的安全性。端口接收到報文后查找IP Source Guard綁定表項，如果報文中的特征項與綁定表項

29、中文，否則做丟棄處理。的特征項匹配，則端口轉(zhuǎn)發(fā)該報IP Source Guard支持的報文特征項包括：源IP地址、源MAC地址和VLAN并且，可支持端口與如下特征項的組合（下文簡稱綁定表項）：。端口所支持綁定表項的種類與設備的型號有關，請以設備的實際情況為準。該特性提供兩種觸發(fā)綁定的機制：一種是通過手工配置方式提供綁定表項，稱為靜態(tài)綁定；另外一種由DHCP Snoo或者DHCP Relay提供綁定表項，稱為動態(tài)綁定。而且，綁定是針對端口的，一個端口被綁定后，僅該端口被限制，其他端口不受該綁定影響。3.3URPFURPF（Unicast Reverse Path Forwarding，單播反向路

30、徑轉(zhuǎn)發(fā)）的主要功能是用于防止基于源地址的網(wǎng)絡行為。源地址為者構(gòu)造出一系列帶有源地址的報文，對于使用基于IP地址驗證的應用來說，此方法可以導致未被用戶以他人獲得系統(tǒng)的權(quán)限，甚至是以管理員權(quán)限來。即使響應報文不能達到者，同樣也會造成對被對象的破壞。第15頁，共31頁IP、MAC、IPMACIPVLAN、MACVLAN、IPMACVLAN圖5 源地址示意圖通過URPF技術(shù)，如果在Router A上源地址為/8的報文，向Router B發(fā)起請求，Router B將不會響應該請求，只對從Router C上過來的/8的報文請求做出響應，這樣就可以基于源地址的。3.4海量雙向ACL通過流量管理技術(shù)，可以對網(wǎng)

31、絡流量及其分配的資源實施控制，保證設備提供有效的轉(zhuǎn)發(fā)服務和控制。設備支持流分類、流量、流量整形、擁塞管理和擁塞避免等技術(shù)，最大可以支持64K的規(guī)則下發(fā)，支持入出雙向的ACL控制，可以從容地進行各種流量管理工作。3.5IPSecIPSec（IP Security）是IETF制定的三層隧道加密協(xié)議，它為 ernet上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的、可互操作的、基于學的安全保證。特定的通信方之間在IP層通過加密與數(shù)據(jù)源認證等方式，提供了以下的安全服務：可以通過IKE（ ernet Key Exchange，因特網(wǎng)密鑰交換協(xié)議）為IPSec提供自動協(xié)商交換密鑰、建立和安全的服務，以簡化IPSec的使用和管理

32、。IKE協(xié)商并不是必須的，IPSec所使用的策略和算法等也可以手工協(xié)商。第16頁，共31頁數(shù)據(jù)性（ity）：IPSec 發(fā)送通過網(wǎng)絡傳輸包前對包進行加密。數(shù)據(jù)完整性（Dataegrity）：IPSec 接收發(fā)送方發(fā)送來的包進行認證，以確保數(shù)據(jù)在傳輸過程中沒有被篡改。數(shù)據(jù)來源認證（Data Authentication）：IPSec 在接收端可以認證發(fā)送 IPSec報文的發(fā)送端是否合法。防重放（Anti-Replay）：IPSec 接收方可檢測并接收過時或重復的報文。1. IPSec的實現(xiàn)IPSec通過如下兩種協(xié)議來實現(xiàn)安全服務：AH和ESP可以單獨使用，也可以聯(lián)合使用。設備支持的AH和ESP聯(lián)

33、合使用的方式為：先對報文進行ESP封裝，再對報文進行AH封裝，封裝之后的報文從內(nèi)到外依次是原始IP報文、ESP頭、AH頭和外部IP頭。2. IPSec基本概念3. 安全（Security Assotion，SA）IPSec在兩個端點之間提供安全通信，端點被稱為IPSec對等體。SA是IPSec的基礎，也是IPSec的本質(zhì)。SA是通信對等體間對某些要素的約定，例如，使用哪種協(xié)議（AH、ESP還是兩者結(jié)合使用）、協(xié)議的封裝模式（傳輸模式和隧道模式）、加密算法（DES、3DES和AES）、特定流中保護數(shù)據(jù)的共享密鑰以及密鑰的生存周期等。SA是單向的，在兩個對等體之間的雙向通信，最少需要兩個SA來分別

34、對兩個方向的數(shù)據(jù)流進行安全保護。同時，如果兩個對等體希望同時使用AH和ESP來進行安全通信，則每個對等體都會針對每一種協(xié)議來構(gòu)建一個獨立的SA。SA由一個三元組來唯一標識，這個三元組包括SPI（Security Parameter Index，安全參數(shù)索引）、目的IP地址、安全協(xié)議號（AH或ESP）。SPI是為唯一標識SA而生成的一個32比特的數(shù)值，它在AH和ESP頭中傳輸。在手工配置安全時，需要手工指定SPI的取值。使用IKE協(xié)商產(chǎn)生安全將隨機生成。時，SPI第17頁，共31頁AH（Authentication Header）是認證頭協(xié)議，協(xié)議號為 51。主要提供的功能有數(shù)據(jù)源認證、數(shù)據(jù)完整

35、性校驗和防報文重放功能，可選擇的認證算法有 MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。AH 報文頭插在標準 IP 包頭后面，保證數(shù)據(jù)包的完整性和真實性，防止 截獲數(shù)據(jù)包或向網(wǎng)絡中 的數(shù)據(jù)包。ESP（Encapsulating Security Payload）是報文安全封裝協(xié)議，協(xié)議號為 50。與 AH 協(xié)議不同的是，ESP 將需要保護的用戶數(shù)據(jù)進行加密后再封裝到 IP 包中，以保證數(shù)據(jù)的 性。常見的加密算法有 DES、3DES、AES 等。同時，作為可選項，用戶可以選擇 MD5、SHA-1 算法保證報文的完整性和真實性。SA是具有生存

36、周期的，且只對通過IKE方式建立的SA有效。分為兩種類型：生存周期到達指定的時間或指定的流量，SA就會失效。SA失效前，IKE將為IPSec協(xié)商建立新的SA，這樣，在舊的SA失效前新的SA就已經(jīng)準備好。在新的SA開始協(xié)商而沒有協(xié)商好之前，繼續(xù)使用舊的SA保護通信。在新的SA協(xié)商好之后，則立即采用新的SA保護通信。4. 封裝模式IPSec有如下兩種工作模式：5. 認證算法與加密算法(1)認證算法認證算法的實現(xiàn)主要是通過雜湊函數(shù)。雜湊函數(shù)是一種能夠接受任意長的消息輸入，并產(chǎn)生固定長度輸出的算法，該輸出稱為消息摘要。IPSec對等體計算摘要，如果兩個摘要是相同的，則表示報文是完整 篡改的。IPSec

37、使用兩種認證算法：MD5算法的計算速度比SHA-1算法快，而SHA-1算法的安全強度比MD5算法高。(2)加密算法加密算法實現(xiàn)主要通過對稱密鑰系統(tǒng)，它使用相同的密鑰對數(shù)據(jù)進行加密和目前設備的IPSec實現(xiàn)三種加密算法：。第18頁，共31頁DES（Data Encryption Standard）：使用 56bit 的密鑰對一個 64bit 的明文塊進行加密。MD5：MD5 通過輸入任意長度的消息，產(chǎn)生 128bit 的消息摘要。SHA-1：SHA-1 通過輸入長度小于 2 的 64 次方 bit 的消息，產(chǎn)生 160bit 的消息摘要。隧道（tunnel）模式：用戶的整個 IP 數(shù)據(jù)包被用來計

38、算 AH 或 ESP 頭，AH或 ESP 頭以及 ESP 加密的用戶數(shù)據(jù)被封裝在一個新的 IP 數(shù)據(jù)包中。通常，隧道模式應用在兩個安全網(wǎng)關之間的通訊。傳輸（transport）模式：只是傳輸層數(shù)據(jù)被用來計算 AH 或 ESP 頭，AH 或ESP 頭以及 ESP 加密的用戶數(shù)據(jù)被放置在原 IP 包頭后面。通常，傳輸模式應用在兩臺主機之間的通訊，或一臺主機和一個安全網(wǎng)關之間的通訊?；跁r間，定義一個 SA 從建立到失效的時間；基于流量，定義一個 SA 允許處理的最大流量。這三個加密算法的安全性由高到低依次是：AES、3DES、DES，安全性高的加密算法實現(xiàn)機制復雜，運算速度慢。對于普通的安全要求，

39、DES算法就可以滿足需要。6. 協(xié)商方式有如下兩種協(xié)商方式建立SA：當與之進行通信的對等體設備數(shù)量較少時，或是在小型靜態(tài)環(huán)境中，手工配置SA絡環(huán)境中，使用IKE協(xié)商建立SA。是可行的。對于中、大型的7. 安全隧道安全隧道是建立在本端和對端之間可以互通的一個通道，它由一對或多對SA組成。3.6 NetStreamNetStream提供報文統(tǒng)計功能，它根據(jù)報文的目的IP地址、源IP地址、目的端口號、源端、協(xié)議號、ToS（Type of Service，服務類型）、輸入接口和輸出接口來區(qū)分流，并針對不同的流進行獨立的數(shù)據(jù)統(tǒng)計。圖6 NetStream和分析過程示意圖第19頁，共31頁手工方式（man

40、ual）配置比較復雜，創(chuàng)建 SA 所需的全部信息都必須手工配置，而且不支持一些高級特性（例如定時更新密鑰），但優(yōu)點是可以不依賴 IKE 而單獨實現(xiàn) IPSec 功能。IKE 自動協(xié)商（isakmp）方式相對比較簡單，只需要配置好 IKE 協(xié)商安全策略的信息，由 IKE 自動協(xié)商來創(chuàng)建和SA。3DES（Triple DES）：使用三個 56bit 的 DES 密鑰（共 168bit 密鑰）對明文進行加密。AES（Advanced Encryption Standard）：使用 128bit、192bit 或 256bit 密鑰長度的 AES 算法對明文進行加密。NetStream進行和分析的過程

41、如下：(1)配置了 NetStream 功能的設備把到的關于流的詳細信息定期發(fā)送給 NSC（NetStream Collector，網(wǎng)絡流數(shù)據(jù)收集器）；信息由 NSC 初步處理后發(fā)送給 NDA（NetStream Data據(jù)分析器）；(2)yzer，網(wǎng)絡流數(shù)(3)NDA 對數(shù)據(jù)進行分析，以用于計費、網(wǎng)絡規(guī)劃等應用。NDA 可以通過 XLog對輸出的數(shù)據(jù)進行分析。3.7（FW）一方面可以來自因特網(wǎng)的、對受保護網(wǎng)絡的未，另一方面允許也可以作為一個網(wǎng)絡用戶對因特網(wǎng)進行Web或收發(fā)等。因特網(wǎng)的權(quán)限控制關口，如允許組織內(nèi)的特定主機可以因特網(wǎng)?，F(xiàn)在，許多防火墻同時還具有一些其它特點，如進行鑒別、對信息進行

42、安全（加理等。不單用于控制因特網(wǎng)連接，也可以用來在組織網(wǎng)絡保護大型機和重要的資源（如數(shù)據(jù)）。對受保護數(shù)據(jù)的都必須經(jīng)過。的過濾，即使網(wǎng)絡用戶要受保護的數(shù)據(jù)，也要經(jīng)過目前設備中的主要指以下三種：濾，即基于 ACL（Acs Control List，控制列表）的濾狀態(tài)，即 ASPF（Application Specific Packet Filter，基于應用層狀態(tài)濾）的地址轉(zhuǎn)換3.7.1濾簡介1.濾概述濾實現(xiàn)了對IP數(shù)據(jù)包的過濾。對設備需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取其包頭信息（包括IP層所承載的上層協(xié)議的協(xié)議號、數(shù)據(jù)包的源地址、目的地址、源端口和目的端口等），然后與設定的ACL規(guī)則進行比較，根據(jù)比較的結(jié)

43、果對數(shù)據(jù)包進行相應的處理。2. 對分片報文過濾的支持第20頁，共31頁目前的濾提供了對分片報文檢測過濾的支持，檢測的內(nèi)容有：對于配置了精確匹配過濾方式的高級ACL規(guī)則，濾需要每一個首片分片的三層以上的信息，當后續(xù)分片到達時，使用這些保存的信息對ACL規(guī)則的每一個匹配條件進行精確匹配。應用精確匹配過濾后，濾的執(zhí)行效率會略微降低，配置的匹配項目越多，效率降低越多，可以配置門限值來限制最大處理的數(shù)目。3.7.2ASPF簡介濾屬于靜態(tài)，目前存在如下：因此，提出了狀態(tài)ASPF的概念。ASPF能夠?qū)崿F(xiàn)的檢測有：1. ASPF的功能ASPF的主要功能如下：ASPF的其它功能有：第21頁，共31頁能夠檢查應用

44、層協(xié)議信息，如報文的協(xié)議類型和端 等信息，并且 基于連接的應用層協(xié)議狀態(tài)。對于所有連接，每 接狀態(tài)信息都將被 ASPF ，并用于動態(tài)地決定數(shù)據(jù)包是否被允許通過 進入 網(wǎng)絡，以 的 。能夠檢測傳輸層協(xié)議信息（即通用 TCP/UDP 檢測），能夠根據(jù)源、目的地址及端決定 TCP 或 UDP 報文是否可以通過進入網(wǎng)絡。應用層協(xié)議檢測，包括 FTP、HTTP 、SMTP 、RTSP、H.323 （ Q.931 、 H.245、RTP/RTCP）檢測；傳輸層協(xié)議檢測，包括 TCP 和 UDP 檢測，即通用 TCP/UDP 檢測。對于多通道的應用層協(xié)議（如 FTP、H.323 等），部分安全策略配置無法預

45、知；無法檢測某些來自傳輸層和應用層的行為（如 TCP SYN、Java Applets等）。報文類型（片報文、首片分片報文和非首片分片報文）獲得報文的三層信息（基本 ACL 規(guī)則和不含三層以上信息的高級 ACL 規(guī)則）三層以上的信息（包含三層以上信息的高級 ACL 規(guī)則）在網(wǎng)絡邊界，ASPF和濾協(xié)同工作，能夠為企業(yè)網(wǎng)絡提供更全面的、更符合實際需求的安全策略。2. ASPF基本概念1、Java BlockingJava Blocking是對通過HTTP協(xié)議傳輸?shù)腏ava Applets程序進行阻斷。當配置了 Java Blocking后，用戶為試圖在Web頁面中獲取包含Java Applets程

46、序而發(fā)送的請求指令將會被阻斷。2、PAM應用層協(xié)議使用通用的端進行通信，PAM允許用戶對不同的應用定義一組新的端，并提供了一些機制來和使用用戶定義的端口配置信息。PAM支持兩類機制：3、單通道協(xié)議和多通道協(xié)議4、接口和外部接口第22頁，共31頁單通道協(xié)議：從會話建立到刪除的全過程中，只有一個通道參與數(shù)據(jù)交互，如 SMTP、HTTP。多通道協(xié)議：包含一個控制通道和若干其它控制或數(shù)據(jù)通道，即控制信息的交互和數(shù)據(jù)的傳送是在不同的通道上完成的，如 FTP、RTSP。通用端口 ：是將用戶自定義端 與應用層協(xié)議建立 關系。例如：將 8080 端口 為 HTTP 協(xié)議，這樣所有目的端口是 8080 的 TC

47、P 報文將被認為是 HTTP 報文。主機端口 ：是對去往或來自某些特定主機的報文建立自定義端 和應用協(xié)議的 。例如：將目的地址為 網(wǎng)段的、使用 8080 端口的TCP 報文為 HTTP 報文。主機的范圍可由基本 ACL 指定。ASPF 不僅能夠根據(jù)連接的狀態(tài)對報文進行過濾，還能夠?qū)脤訄笪牡膬?nèi)容加以檢測，提供對不 站點的 Java Blocking 功能，用于保護網(wǎng)絡不受有害的 Java Applets 的破壞。增強的會話日志功能。可以對所有的連接進行 ，包括：連接的時間、源地址、目的地址、使用的端口和傳輸?shù)淖止?jié)數(shù)。支持 Port to Application Map，應用協(xié)議端口），允許用

48、戶自定義應用層協(xié)議使用非通用端口。網(wǎng)和互聯(lián)網(wǎng)，并且設備要通過部署ASPF來保護如果設備連接了器，則設備上與口。網(wǎng)的服務網(wǎng)連接的接口就是接口，與互聯(lián)網(wǎng)相連的接口就是外部接當ASPF應用于設備外部接口的出方向時，可以在網(wǎng)的返回報文打開一個臨時通道。上為網(wǎng)用戶互聯(lián)3. 應用層協(xié)議檢測基本原理圖7 應用層協(xié)議檢測基本原理示意圖如上圖所示，為了保護網(wǎng)絡，一般情況下需要在路由器上配置控制列表，以允許網(wǎng)的主機外部網(wǎng)絡，同時外部網(wǎng)絡的主機網(wǎng)絡。但訪問控制列表會將用戶發(fā)起連接后返回的報文過濾掉，導致連接無法正常建立。當在設備上配置了應用層協(xié)議檢測后，ASPF可以檢測每一個應用層的會話，并創(chuàng)建一個狀態(tài)表和一個臨時

49、TACL）：控制列表（ Temporary Acs Control List ，下面以FTP檢測為例說明多通道應用層協(xié)議檢測的過程。第23頁，共31頁狀態(tài)表在 ASPF 檢測到第一個向外發(fā)送的報文時創(chuàng)建，用于 一次會話中某一時刻會話所處的狀態(tài)，并檢測會話狀態(tài)的轉(zhuǎn)換是否正確。臨時 控制列表的表項在創(chuàng)建狀態(tài)表項的同時創(chuàng)建，會話結(jié)束后刪除，它相當于一個擴展 ACL 的 permit 項。TACL 主要用于匹配一個會話中的所有返回的報文，可以為某一應用返回的報文在 的外部接口上建立一個臨時的返回通道。圖8 FTP檢測過程示意圖如上圖所示，F(xiàn)TP連接的建立過程如下：假設FTP cnt以1333端口向FT

50、P server的21端口發(fā)起FTP控制通道的連接，通過協(xié)商決定由FTP server的20端口向FTP Cnt的1600端口發(fā)起數(shù)據(jù)通道的連接，數(shù)據(jù)傳輸超時或結(jié)束后連接刪除。FTP檢測在FTP連接建立到拆除過程中的處理如下：(1)(2)(3)檢查從出接口上向外發(fā)送的 IP 報文，確認為基于 TCP 的 FTP 報文。檢查端確認連接為控制連接，建立返回報文的 TACL 和狀態(tài)表。檢查 FTP 控制連接報文，F(xiàn)TP 指令，根據(jù)指令更新狀態(tài)表。如果包含數(shù)據(jù)通道建立指令，則創(chuàng)建數(shù)據(jù)連接的 TACL；對于數(shù)據(jù)連接，不進行狀態(tài)檢測。(4)對于返回報文，根據(jù)協(xié)議類型做相應匹配檢查，檢查將根據(jù)相應協(xié)議的狀態(tài)

51、表和 TACL 決定報文是否允許通過。FTP 連接刪除時，狀態(tài)表及 TACL 隨之刪除。(5)單通道應用層協(xié)議（如SMTP、HTTP）的檢測過程比較簡單，當發(fā)起連接時建立TACL，連接刪除時隨之刪除TACL即可。4. 傳輸層協(xié)議檢測基本原理這里的傳輸層協(xié)議檢測是指通用TCP/UDP檢測。通用TCP/UDP檢測與應用層協(xié)議檢測不同，是對報文的傳輸層信息進行的檢測，如源、目的地址及端等。通用TCP/UDP檢測要求返回到ASPF外部接口的報文要與前面從ASPF外部接口發(fā)出去的報文完全匹配，即源、目的地址及端恰好對應，否則返回的報文將被阻塞。因此對于FTP、H.323這樣的多通道應用層協(xié)議，在不配置應

52、用層檢測而直接配置TCP檢測的情況下會導致數(shù)據(jù)連接無法建立。第24頁，共31頁4 管理安全性4.1用戶管理是本地認證服務器提供的功能包括：安全功能，它根據(jù)設置的策略對進行控制。主要4.2用戶等級管理用戶級別指登錄用戶的分類，共劃分為4個級別，與命令級別對應，不同級別的用戶登錄后，只能使用等于或低于自己級別令。命令的級別分為級、級、系統(tǒng)級、管理級，權(quán)限如下：4.3信息中心信息中心是系統(tǒng)的信息樞紐，它能夠?qū)λ械南到y(tǒng)信息進行分類、管理，為網(wǎng)絡管理員和開發(fā)網(wǎng)絡運行情況和網(wǎng)絡故障提供了強有力的支持。信息中心的工作過程如下：第25頁，共31頁接收各模塊生成的日志信息（ log ）、告警信息（ trap

53、）和調(diào)試信息（debug）。級：網(wǎng)絡工具命令（、tracret）、從本設備出發(fā)外部設備令（包括：net 客戶端、SSH 客戶端、RLOGIN）等，該級別命令不允許進行配置文件保存的操作。級：用于 、業(yè)務故障 等，包括 refresh、rese d 等命令，該級別命令不允許進行配置文件保存的操作。系統(tǒng)級：業(yè)務配置命令，包括路由、各個網(wǎng)絡層次 令，這些用于向用戶提供直接網(wǎng)絡服務。管理級：關系到系統(tǒng)基本運行、系統(tǒng)支撐模塊 令，這些命令對業(yè)務提供支撐作用，包括文件系統(tǒng)、FTP、TFTP、XModem 、配置文件切換命令、電源控制命令、備板控制命令、用戶管理命令、級別設置命令、系統(tǒng)內(nèi)部參數(shù)設置命令（非協(xié)

54、議規(guī)定、非 RFC 規(guī)定）等。長度限制：可以對的長度范圍進行控制老化管理：有效時間限制，老化時間超過后用戶必須更換過期提醒：接近老化時間時會提供用戶及時進行更新4.4 SSHSSH是Secure S（安全外殼）的簡稱。用戶通過一個不能保證安全的網(wǎng)絡環(huán)境登錄到設備時，SSH可以利用加密和強大的認證功能提供安全保障，保護設備不受諸如IP地址、明文截取等。設備支持SSH服務器功能，可以接受多個SSH客戶端的連接。同時，設備還支持SSH客戶端功能，允許用戶與支持SSH服務器功能的設備建立SSH連接，從而實現(xiàn)從本地設備通過SSH登錄到設備上。4.4.1算法和密鑰加密和過程中使用的一組變換規(guī)則稱為算法。將

55、未加密的信息稱為明文，加密后的信息稱為密文。加密和都是在密鑰的控制下進行的。密鑰是一組特定的字符串，是控制明文和密文變換的唯一參數(shù)，起到“”的作用。通過加密變換操作，可以將明文變換為密文，或者通過變換操作，將密文恢復為明文。如下圖所示。圖9 加密和變換關系基于密鑰的算法通常有兩類：對稱算法和非對稱密鑰算法。4.4.2非對稱密鑰算法非對稱密鑰算法是指通信的每一端都存在一對密鑰，即一個私鑰，一個公鑰。公鑰是公開的，私鑰只有合法者擁有，從公鑰很難推出私鑰。非對稱密鑰算法可以用于加密，也就是用公鑰對報文進行加密，然后由擁有私鑰的合法者使用私鑰對數(shù)據(jù)進行，這樣保證數(shù)據(jù)的性。非對稱密鑰算法還可以用于數(shù)字簽

56、名，比如用戶1使用自己的私鑰對數(shù)據(jù)進行簽名，然后發(fā)給用戶2，用戶2可以用用戶1的公鑰驗證簽名，如果簽名是正確的，那第26頁，共31頁根據(jù)用戶設置的輸出規(guī)則，將信息輸出到信息通道。根據(jù)信息通道和輸出方向的關聯(lián)，將信息輸出到不同方向。么就能夠確認該數(shù)據(jù)來源于用戶1。RSA（Rivest Shamir and Adleman）、DSA（Digital Signature Algorithm，數(shù)字簽名算法）和ECDSA（Elliptic Curve Digital Signature Algorithm，橢圓曲線數(shù)字簽名算法）都是非對稱密鑰算法，RSA既可以用于加密，又可以用于簽名，而DSA和ECDS

57、A只用于簽名。4.4.3SSH2.0工作過程在整個通訊過程中，為實現(xiàn)SSH的安全連接，服務器端與客戶端要經(jīng)歷如下五個階段：1、版本號協(xié)商階段具體步驟如下：(1)(2)服務器打開端口 22，等待客戶端連接。客戶端向服務器端發(fā)起 TCP 初始連接請求，TCP 連接建立后，服務器向客戶端發(fā)送第一個報文，包括版本標志字符串，格式為“SSH.”，協(xié)議版本號由主版本號和次版本號組成，版本號主要是為調(diào)試使用。(3)客戶端收到報文后，該數(shù)據(jù)包，如果服務器端的協(xié)議版本號比自己的低，且能支持服務器端的低版本，就使用服務器端的低版本協(xié)議號，否則使用自己的協(xié)議版本號?？蛻舳嘶貞掌饕粋€報文，包含了客戶端決定使用的協(xié)

58、議版本號。服務器比較客戶端發(fā)來的版本號，決定是否能同客戶端一起工作。如果協(xié)商成功，則進入密鑰和算法協(xié)商階段，否則服務器端斷開 TCP 連接。(4)(5)2、密鑰和算法協(xié)商階段具體步驟如下：(1)服務器端和客戶端分別發(fā)送算法協(xié)商報文給對端，報文中包含自己支持的公鑰算法列表、加密算法列表、MAC（Message Authentication Code，消息驗證碼）算法列表、壓縮算法列表等。服務器端和客戶端根據(jù)對端和本端支持的算法列表得出最終使用的算法。(2)(3)利用 DH 交換（Diffie-會話密鑰和會話 ID。man Exchange）算法、主鑰對等參數(shù)，生成通過以上步驟，服務器端和客戶端就

59、取得了相同的會話密鑰和會話ID。對于后續(xù)傳第27頁，共31頁輸?shù)臄?shù)據(jù)，兩端都會使用會話密鑰進行加密和證階段，兩端會使用會話ID用于認證過程。，保證了數(shù)據(jù)傳送的安全。在認3、認證階段客戶端向服務器端發(fā)送認證請求報文，認證請求中包含用戶名、認證方法等相關內(nèi)容，服務器端啟動對該用戶進行認證的程序。SSH提供兩種認證方法：(1)password 認證：客戶端向服務器發(fā)出 password 認證請求，將用戶名和加密后發(fā)送給服務器；服務器將該信息后得到用戶名和的明文，與設備上保存的用戶名和進行比較，并返回認證成功或失敗的消息。(2)publickey 認證：利用公共密鑰加密算法來認證客戶端。目前，設備上支

60、持RSA 和 DSA 兩種公共密鑰加密算法。在認證過程中，客戶端和服務器通過協(xié)商，確定采用的公共密鑰加密算法。客戶端發(fā)送包含客戶端公鑰模數(shù)的publickey 認證請求給服務器端；服務器進行檢查，如果不合法，則直接發(fā)送失敗消息，否則產(chǎn)生一個 32 字節(jié)的隨機數(shù)，按 MSB （ MostSignificant Bit，最）優(yōu)先排列成一個 MP（Multiple Preci，多精度）型整數(shù)，并用客戶端的公鑰加密后向客戶端發(fā)起一個認證；客戶端收到得到 MP 型整數(shù)，用它和會話 ID（密鑰和算法消息后用自己的私鑰協(xié)商階段生成的中間產(chǎn)物）生成消息摘要 MD5 值，把這個 16 字節(jié)的 MD5值加密后發(fā)送