第 7章 企業(yè)網(wǎng)絡(luò)安全技術(shù)與實(shí)踐 7.1 訪問控制列表的基本原理 訪問控制列表 (ACL)是應(yīng)用到路由器接口的指令列表，用來控制進(jìn)出的數(shù)據(jù)包。該列表由一系列 permit(允許 )和deny(拒絕 )語句組成的有序的集合，通過匹配報(bào)文中的信息與訪問控制列表參數(shù)可以過濾發(fā)進(jìn)和發(fā)出的信息包的請(qǐng)求，實(shí)現(xiàn)對(duì)路由器和網(wǎng)絡(luò)的安全控制。 ACL是根據(jù)網(wǎng)絡(luò)中每個(gè)數(shù)據(jù)包所包含的信息和內(nèi)容決定是否允許該信息包通過指定的接口，可以讓網(wǎng)絡(luò)管理員以基于數(shù)據(jù)報(bào)文的源 IP地址、目地 IP地址和應(yīng)用類型的方式來控制網(wǎng)絡(luò)中數(shù)據(jù)的流量及流向，通過接口的數(shù)據(jù)包都要按照訪問控制列表的規(guī)則進(jìn)行從上到下的順序比較操作，直到符合規(guī)則被允許通過，否則被拒絕丟棄。 7.1.1 訪問控制列表的概念及工作原理 1. ACL工作原理 選 擇 接 口執(zhí) 行 A C L可 路 由路 由 表項(xiàng) 目 比 較訪 問 控 制 列 表允 許數(shù) 據(jù) 包是否是否是否是否數(shù) 據(jù) 包丟 棄圖 7.1 訪問控制列表工作原理 首 條 匹 配下 條 匹 配否末 條 匹 配否丟 棄否是是是允 許否是至 輸 出 接 口圖 7.2 訪問控制列表表項(xiàng)匹配原理 2. 訪問控制列表的分類 （ 1）標(biāo)準(zhǔn)訪問控制列表 標(biāo)準(zhǔn)的 IP訪問控制列表，只檢查被路由的數(shù)據(jù)包的源地址，其結(jié)果是基于源網(wǎng)絡(luò) /子網(wǎng) /主機(jī) IP地址來決定是允許還是拒絕數(shù)據(jù)包。 標(biāo)準(zhǔn)訪問控制列表的基本語法為： access-list standard permit/deny wildcardmask 其中： 1) 標(biāo)識(shí)條目所屬的列表，它是一個(gè) 1-99的數(shù)字標(biāo)識(shí)； 2) permit/deny指明該條目是允許還是阻塞指定的地址； 3) source-address標(biāo)識(shí)源 IP地址； 4) wildcardmask反向掩碼標(biāo)識(shí)哪些地址需進(jìn)行匹配，默認(rèn)反向掩碼是0.0.0.0(匹配所有 )。如果反向掩碼為： 0.0.0.255，則表示匹配的源地址掩碼為 255.255.255.0。 （ 2）擴(kuò)展訪問控制列表 擴(kuò)展的 IP訪問控制列表，對(duì)數(shù)據(jù)包的源地址與目標(biāo)地址均進(jìn)行檢查 ,它們也能夠檢查特定的協(xié)議、端口號(hào)及其他參數(shù)。 擴(kuò)展訪問控制列表基本語法： access-list protocol source-address source-wildcard operatorport destination-address destination-wildcard oper-ator port established log 其中： 1) 使用在 100199之間的一個(gè)數(shù)字標(biāo)識(shí)； 2) permit/deny指明該條目是允許還是阻塞指定的地址； 3) protocol可以是 IP、 TCP、 UDP、 ICMP、 GRE或 IGRP； 4) source-address、 source-wildcard、 destination-address、 destination-wildcard代表源 /目標(biāo)地址以及掩碼； 5) operator port可以是 lt(小于 )、 gt(大于 )、 eq(等于 )、 neq(不等于 )加上一個(gè)端口號(hào)； 6) established只用于 TCP訪問控制，該參數(shù)只影響 TCP連接三次握手中的第一次， ACL會(huì)對(duì) TCP報(bào)文中的 ACK或 RST位進(jìn)行檢查，如果 ACK或 RST位被置位，則表示數(shù)據(jù)包是正在進(jìn)行的會(huì)話的一部分，否則是正在進(jìn)行的連接會(huì)話。 （ 3）基于名稱的訪問控制列表 不管是標(biāo)準(zhǔn)訪問控制列表還是擴(kuò)展訪問控制列表都有一個(gè)弊端，那就是當(dāng)設(shè)置好 ACL的規(guī)則后其中的某條需要修改，只能將全部 ACL信息都刪除，也就是說修改一條或刪除一條都會(huì)影響到整個(gè) ACL列表。這一個(gè)缺點(diǎn)為網(wǎng)絡(luò)管理人員帶來了繁重的負(fù)擔(dān)，所以可以用基于名稱的訪問控制列表來解決這個(gè)問題。 基于名稱的訪問控制列表的格式： ip access-list standard/extended 當(dāng)建立基于名稱的訪問控制列表后，就可以添加或者修改訪問控制規(guī)則。 （ 4）基于時(shí)間的訪問控制列表 基于時(shí)間的訪問控制列表在繼承了擴(kuò)展訪問控制列表的基礎(chǔ)上，引入了時(shí)間機(jī)制，可以在定制的時(shí)間段使擴(kuò)展訪問控制列表生效。 例 7.1 標(biāo)準(zhǔn)訪問控制列表配置示例（網(wǎng)絡(luò)拓?fù)淙鐖D7.3所示） 兩臺(tái)交換機(jī) switchA為三層交換機(jī)，網(wǎng)絡(luò)內(nèi)共劃分了兩個(gè) VLAN，分別為 VLAN100與 VLAN200，其中 PC1屬于 VLAN100， PC2屬于 VLAN200。兩臺(tái)交換機(jī)通過 trunk端口 fa0/1相連，使得 VLAN100與VLAN200可以通信。在 swithcB配置標(biāo)準(zhǔn)訪問控制列表，使得 PC1與 PC2不能通信，但 PC1能訪問switchA。 圖 7.3 標(biāo)準(zhǔn)訪問控制列表示例拓?fù)?（ 1）交換機(jī)的基本配置 劃分 VLAN100與 VLAN200，并且開啟 switchA的三層交換功能。主要配置內(nèi)容如下： / switchB上劃分 VLAN100與 VLAN200，并且將 PC1與 PC2分別劃分進(jìn) VLAN1 swithB(config)#vlan 100 swithB(config-vlan)#exit swithB(config)#vlan 200 swithB(config-vlan)#exit swithB(config)#int range fa0/2 swithB(config-if)#switchport access vlan 100 swithB(config-if)#exit swithB(config)#int fa0/3 swithB(config-if)#switchport access vlan 200 swithB(config-if)#exit swithB(config)#exit %SYS-5-CONFIG_I: Configured from console by console swithB#conf t /將 fa0/1接口鏈路配置成 trunk鏈路，封裝協(xié)議為 IEEE802.1q標(biāo)準(zhǔn) swithB(config)#int fa0/0 swithB(config-if)#switchport trunk encapsulation dot1q swithB(config-if)#switchport mode trunk swithB(config-if)#switchport trunk allowed vlan all swithB(config-if)#end swithB#write Building configuration. OK switchA(config)#int fa0/1 /將 fa0/1接口鏈路配置成 trunk鏈路，封裝協(xié)議為 IEEE802.1q標(biāo)準(zhǔn) switchA(config-if)#switchport trunk encapsulation dot1q switchA(config-if)#switchport mode trunk switchA(config-if)#switchport trunk allowed vlan all switchA(config-if)#exit /switchA上劃分 VLAN100與 VLAN200 switchA(config)#vlan 100 switchA(config-vlan)#exit switchA(config)#vlan 200 switchA(config-vlan)#exit switchA(config)#int vlan100 %LINK-5-CHANGED: Interface Vlan100, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan100, changed state to switchA(config-if)#ip address 192.168.100.1 255.255.255.0 switchA(config-if)#no shu switchA(config-if)#exit switchA(config)#int vlan200 %LINK-5-CHANGED: Interface Vlan200, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan200, changed state to up switchA(config-if)#ip address 192.168.200.2 255.255.255.0 switchA(config-if)#exit switchA(config)#exit %SYS-5-CONFIG_I: Configured from console by console switchA#write Building configuration. OK （ 2）配置標(biāo)準(zhǔn)訪問控制列表 switchB#conf t Enter configuration commands, one per line. End with CNTL/Z. switchB(config)#ip access-list standard test / 定義一個(gè)名稱標(biāo)準(zhǔn)訪問控制列表 test switchB(config-std-nacl)#deny host 192.168.200.2 / 第一條拒絕 pc2數(shù)據(jù)源 / 第二條允許所有訪問，因?yàn)槟J(rèn)最后一條為拒絕所有訪問， / 如果無此條，將拒絕所有訪問 switchB(config-std-nacl)#permit any switchB(config-std-nacl)#exit switchB(config)#int f0/1 switchB(config-if)#ip access-group test in switchB(config-if)#end switchB# 01:04:22: %SYS-5-CONFIG_I: Configured from console by console （ 3）結(jié)果測(cè)試 首先在 pc1上執(zhí)行 ping命令，測(cè)試到 pc2的連通性，請(qǐng)求數(shù)據(jù)包被 ACL阻止，執(zhí)行結(jié)果如下所示： Pc1#ping 192.168.200.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.200.2, timeout is 2 seconds: . Success rate is 0 percent (0/5) 隨后在 pc1上執(zhí)行 ping命令測(cè)試到 switchA的連通性，連通正常，結(jié)果如下所示： Pc1#ping 192.168.200.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.200.1, timeout is 2 seconds: ! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms 7.2 VPN技術(shù)與應(yīng)用 7.2.1 VPN的概念 VPN是英文 Virtual Private Network的縮寫，一般譯為虛擬專用網(wǎng)絡(luò)，或者虛擬專網(wǎng)?，F(xiàn)已被人們作為一個(gè)專門的術(shù)語來接受。對(duì)于術(shù)語 VPN指的是依靠服務(wù)提供商（ ISP）和其它網(wǎng)絡(luò)服務(wù)提供商，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。 Internet工程任務(wù)組（ Internet Engineer Task Force， IETF）草案將基于 IP的 VPN理解為：“使用 IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)”，它是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路，而是使用 Internet公共數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)， VPN示意圖如圖 7.8所示。 廣 域 網(wǎng)圖 7.8VPN示意圖 1. VPN的功能 1) 基于公鑰基礎(chǔ)設(shè)施（ PKI）的用戶版權(quán)體系 2) 身份驗(yàn)證和數(shù)據(jù)加密 3) 數(shù)據(jù)完整性保護(hù) 4) 提供訪問控制 2. VPN的分類 1）按業(yè)務(wù)分類 2）按 VPN在網(wǎng)絡(luò)中實(shí)現(xiàn)的位置分類 3. VPN的主要技術(shù) 1）隧道技術(shù) 2）密碼技術(shù) 3）身份認(rèn)證技術(shù) 4）密鑰管理技術(shù) 7.2.2 IPSec協(xié)議 1. IPSec體系結(jié)構(gòu) IPSec（ IP Security）是 IETF IPSec工作組為了在 IP層提供通信安全而制定的一套協(xié)議族。它包括安全協(xié)議部分和密鑰協(xié)商部分，安全協(xié)議部分定義了對(duì)通信的安全保護(hù)機(jī)制；密鑰協(xié)商部分定義了如何為安全協(xié)議協(xié)商保護(hù)參數(shù)，以及如何對(duì)通信實(shí)體的身份進(jìn)行鑒別。 IPSec主要由認(rèn)證頭協(xié)議 (AH)、封裝安全載荷協(xié)議(ESP)和因特網(wǎng)密鑰交換協(xié)議 (IKE)三部分組成，各個(gè)協(xié)議之間的關(guān)系如圖 7.9所示。 體 系解 釋 域安 全 策 略密 鑰 管 理加 密 和 認(rèn) 證 算 法認(rèn) 證 頭封 裝 安 全 載 荷圖 7.9 IPSec體系結(jié)構(gòu) AH為 IP數(shù)據(jù)包提供無連接的數(shù)據(jù)完整性和數(shù)據(jù)源身份認(rèn)證，同時(shí)具有抗重放攻擊的能力。數(shù)據(jù)完整性校驗(yàn)通過消息認(rèn)證碼來保證，數(shù)據(jù)源身份認(rèn)證通過在待認(rèn)證數(shù)據(jù)中加入一個(gè)共享密鑰來實(shí)現(xiàn)， AH報(bào)頭中的序列號(hào)可以防止重放攻擊。 ESP為數(shù)據(jù)包提供保密性、完整性、數(shù)據(jù)源身份認(rèn)證和抗重放攻擊保護(hù)。其中數(shù)據(jù)的保密性是 ESP的基本功能，而數(shù)據(jù)源身份認(rèn)證、數(shù)據(jù)完整性以及抗重放攻擊保護(hù)都是可選服務(wù)。 解釋域 (DOI)將所有的 IPSec協(xié)議捆綁在一起，是 IPSec參數(shù)的重要數(shù)據(jù)庫。 密鑰管理包括 IKE協(xié)議和安全關(guān)聯(lián) SA部分。 IKE負(fù)責(zé)密鑰協(xié)商，密鑰管理以及在通信系統(tǒng)之間建立安全關(guān)聯(lián)，是一個(gè)產(chǎn)生和交換密鑰材料并協(xié)商 IPSec參數(shù)的框架。 IKE將密鑰協(xié)商的結(jié)果保留在 SA條目中，供AH和 ESP以后通信使用。 安全策略負(fù)責(zé)哪些通信數(shù)據(jù)允許加密和認(rèn)證，其由訪問控制列表控制。 2. 配置 IPSec的相關(guān)概念 （ 1）數(shù)據(jù)流 一組具有相同源網(wǎng)絡(luò)地址 /掩碼、目的網(wǎng)絡(luò)地址 /掩碼和上層協(xié)議的數(shù)據(jù)集合稱為數(shù)據(jù)流。通常采用一個(gè)擴(kuò)展訪問控制列表 ACL來定義數(shù)據(jù)流，其中允許通過的所有報(bào)文在邏輯上作為一個(gè)數(shù)據(jù)流。注意， IPSec能夠?qū)Σ煌臄?shù)據(jù)流施加不同的安全保護(hù)，也就是說對(duì)不同的數(shù)據(jù)流使用不同的安全協(xié)議、算法或密鑰，因此可以在一個(gè)網(wǎng)關(guān)中定義多個(gè) ACL。 （ 2）變換集（ Transform Set） 變換集為一組數(shù)據(jù)流安全參數(shù)的配置集合，包括 SA使用的安全協(xié)議（ AH或者 ESP）、安全協(xié)議使用的算法（驗(yàn)證和加密算法）、安全協(xié)議對(duì)報(bào)文的封裝形式（隧道模式或傳送模式）。 （ 3） 安全策略 一條安全策略由“名字”和“順序號(hào)”標(biāo)識(shí)。規(guī)定對(duì)一組數(shù)據(jù)流采用什么樣的安全措施，安全策略的功能是通過調(diào)用變換集實(shí)現(xiàn)的。一條安全策略包含三部分內(nèi)容：一條訪問控制列表、一個(gè)可用的變換集和一對(duì) SA。 （ 4）安全策略組（加密映像） 具有相同名字的安全策略構(gòu)成安全策略組，其是與使用 IPSec的接口一一對(duì)應(yīng)的，從而實(shí)現(xiàn)在一個(gè)接口上同時(shí)應(yīng)用一個(gè)安全策略組中的多個(gè)安全策略，實(shí)現(xiàn)對(duì)不同的數(shù)據(jù)流進(jìn)行不同的安全保護(hù)。在一個(gè)安全策略組中，安全策略順序號(hào)越小，其優(yōu)先級(jí)越高。 一般情況下，一條數(shù)據(jù)流與一對(duì) SA相對(duì)應(yīng)，一對(duì) SA又與一條安全策略相對(duì)應(yīng)。一個(gè)安全策略組對(duì)應(yīng)網(wǎng)關(guān)的一個(gè)接口，其中可以包含多條安全策略。在 Cisco路由器中，安全策略組是通過加密映射命令 crypto map命令來配置的，同一個(gè)安全策略組中的不同策略通過 crypto map集中的不同編號(hào)項(xiàng)來表示，所以又將安全策略組稱為加密映像。 例 7.4 基于 IPSec的 VPN配置示例（網(wǎng)絡(luò)拓?fù)淙鐖D 7.12所示） 某公司總部的路由器設(shè)為 RouterA，兩個(gè)分部的路由器分別為 RouterB和 RouterC，三個(gè)部門均和互聯(lián)網(wǎng)相連。 圖 7.12 基于 IPSec的 VPN示例拓?fù)?本案例中，互聯(lián)網(wǎng)采用路由器 routerD代替，代替后的等效拓?fù)鋱D如圖 7.13所示。由于業(yè)務(wù)安全需要，要求將三個(gè)部門之間建立不同的安全通道。每個(gè)安全通道要求進(jìn)行數(shù)據(jù)加密和完整性驗(yàn)證，部門兩兩之間實(shí)現(xiàn) IPSec VPN的訪問 。 圖 7.13 基于 IPSec的 VPN等效拓?fù)鋱D 步驟 1：基本配置，其中 routerA、 routerB和routerC配置默認(rèn)路由通往外部的 internet，主要命令請(qǐng)參閱 5.2節(jié)內(nèi)容。 步驟 2：配置 IKE，包括啟用 IKE策略和驗(yàn)證配置。 因?yàn)楣救齻€(gè)分布的路由器需要建立 VPN，所以需要六對(duì)SA，分別是 routerArouterB（雙向兩對(duì) SA）、 rouerArouerC（雙向兩對(duì) SA）、 rouerBrouerC（雙向兩對(duì)SA）。其中 SA的協(xié)商和建立是由 IKE在 isakmp體系框架內(nèi)完成的。 激活路由器上的 IKE協(xié)議。默認(rèn)情況下，路由器上 IKE是激活的。 routerA(config)# crypto isakmp enable routerB(config)# crypto isakmp enable routerC(config)# crypto isakmp enable 配置 IKE參數(shù) 在 routerA上配置 IKE參數(shù)，配置內(nèi)容如下所示： / 創(chuàng)建一個(gè) isakmp策略，每一個(gè) isakmp策略集合了 IKE配置參數(shù) routerA (config)#crypto isakmp policy 100 / IKE報(bào)文加密形式為預(yù)共享密鑰（其他形式不再討論） routerA (config- isakmp)#authentication pre-share / IKE報(bào)文加密算法為 3des算法 routerA (config- isakmp)#encryption 3des / IKE報(bào)文認(rèn)證為 md5算法 routerA (config- isakmp)#hash md5 / 密鑰交換為 Diffie-Hellman算法， group2代表該算法產(chǎn)生 1024位素?cái)?shù)， / group1代表該算法產(chǎn)生 768位素?cái)?shù) routerA (config- isakmp)#group 2 / 在路由器上配置預(yù)共享密鑰和 SA對(duì)等體，每對(duì)對(duì)等體的密鑰可以不同，本案例為 cisco， routerA的 SA對(duì)等體分別為 routerB和 routerC routerA(config)#crypto isakmp key 0 cisco address 202.117.2.2 routerA(config)#crypto isakmp key 0 cisco address 202.117.3.2 由于 routerA與 routerB互為安全關(guān)聯(lián)對(duì)等實(shí)體，所以 routerB中的 IKE配置參數(shù)必須和 routerA中的一樣， routerB的配置內(nèi)容如下所示： / 創(chuàng)建一個(gè) isakmp策略，策略編號(hào)每個(gè)路由器可以不同 routerB(config)#crypto isakmp policy 100 routerB(config-isakmp)#authentication pre-share routerB(config-isakmp)#encryption 3des routerB(config-isakmp)#hash md5 routerB(config-isakmp)#group 2 routerB(config-isakmp)#exit routerB(config)#crypto isakmp key 0 cisco address 202.117.1.2 routerB(config)#crypto isakmp key 0 cisco address 202.117.3.2 routerB(config)#exit routerB#write *Jun 17 12:55:46.963: %SYS-5-CONFIG_I: Configured from console by console Building configuration. OK 同理， routerC的 IKE配置內(nèi)容如下所示： routerC(config)#crypto isakmp policy 100 routerC(config-isakmp)#authentication pre-share routerC(config-isakmp)#encryption 3des routerC(config-isakmp)#hash md5 routerC(config-isakmp)#group 2 routerC(config-isakmp)#exit routerC(config)#crypto isakmp key 0 cisco address 202.117.1.2 routerC(config)#crypto isakmp key 0 cisco address 202.117.2.2 routerC(config)#exit routerC#write 步驟 3：配置 IPSec IKE建立的安全連接是為了進(jìn)行 IPSec安全關(guān)聯(lián)的協(xié)商，必須正確配置VPN的 IPSec參數(shù)才能保證 VPN正常工作。 IPSec配置內(nèi)容包括創(chuàng)建加密用的訪問控制列表、定義交換集，創(chuàng)建加密圖（ crypto map）條目，并且在接口上應(yīng)用加密圖。 配置加密用的 ACL，加密 ACL用來指定那些離開本地路由器時(shí)必須加密的流量。路由器只加密外出的 ACL允許的流量。如果路由器收到對(duì)等體發(fā)來的應(yīng)該加密而未加密的流量，數(shù)據(jù)將被丟棄。如果 VPN正常工作，兩個(gè)對(duì)等體站點(diǎn)的 ACL允許的流量都會(huì)被加密。 本案例中 routerA應(yīng)該對(duì)所連接的私有網(wǎng)絡(luò)： 192.168.1.0/24進(jìn)行加密，同樣， routerB和 routerC也對(duì)所連接的私有網(wǎng)絡(luò)進(jìn)行加密，這就需要在三個(gè)路由中配置加密 ACL。 routerA(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 routerA(config)# access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 routerB(config)#access-list 102 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 routerB(config)#access-list 103 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 routerC(config)#access-list 103 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 routerC(config)#access-list 104 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 在發(fā)起 SA協(xié)商之前，兩個(gè)對(duì)等端需要統(tǒng)一參數(shù)，變換集就規(guī)定了SA協(xié)商所需的參數(shù)。 在 routerA上配置 IPSec的變換集，內(nèi)容如下所示： routerA(config)#crypto ipsec transform-set setA-B esp-3des esp-md5-hmac routerA(cfg-crypto-trans)#mode tunnel routerA(cfg-crypto-trans)#exit routerA(config)#crypto ipsec transform-set setA-C esp-3des esp-md5-hmac routerA(cfg-crypto-trans)#mode tunnel routerA(cfg-crypto-trans)#exit routerA(config)#crypto ipsec security-association