企业网络安全技术与实践-

企业网络安全技术与实践1访问控制列表的基本原理访问控制列表(ACL)是应用到路由器接口的指令列表，用来控制进出的数据包。该列表由一系列permit(允许)和deny(拒绝)语句组成的有序的集合，通过匹配报文中的信息与访问控制列表参数可以过滤发进和发出的信息包的请求，实现对路由器和网络的安全控制。ACL是根据网络中每个数据包所包含的信息和内容决定是否允许该信息包通过指定的接口，可以让网络管理员以基于数据报文的源IP地址、目地IP地址和应用类型的方式来控制网络中数据的流量及流向，通过接口的数据包都要按照访问控制列表的规则进行从上到下的顺序比较操作，直到符合规则被允许通过，否则被拒绝丢弃。–1.1访问控制列表的概念及工作原理1.ACL工作原理图1访问控制列表工作原理图2访问控制列表表项匹配原理2.访问控制列表的分类（1）标准访问控制列表标准的IP访问控制列表，只检查被路由的数据包的源地址，其结果是基于源网络/子网/主机IP地址来决定是允许还是拒绝数据包。标准访问控制列表的基本语法为：access-list

standard

<access-list-number>

[

permit/deny]<sourceaddress>

[wildcardmask]其中：

<access-list-number>标识条目所属的列表，它是一个1-99的数字标识；permit/deny指明该条目是允许还是阻塞指定的地址；source-address标识源IP地址；wildcardmask反向掩码标识哪些地址需进行匹配，默认反向掩码是0.0.0.0(匹配所有)。如果反向掩码为：0.0.0.255，则表示匹配的源地址掩码为255.255.255.0。（2）扩展访问控制列表扩展的IP访问控制列表，对数据包的源地址与目标地址均进行检查,它们也能够检查特定的协议、端口号及其他参数。扩展访问控制列表基本语法：access-list

<access-list-number>

<permit/deny>

[protocol]

sourcsource-wildcard

[

operatorport]

destination-address

destination[oper-ator

port]

[established]

[log]其中：<access-list-number>使用在100—199之间的一个数字标识；permit/deny指明该条目是允许还是阻塞指定的地址；protocol可以是IP、TCP、UDP、ICMP、GRE或IGRP；

source-address、source-wildcard、destination-address、destiwildcard代表源/目标地址以及掩码；

[operator

port]可以是lt(小于)、gt(大于)、eq(等于)、neq(不等加上一个端口号；

established只用于TCP访问控制，该参数只影响TCP连接三次握手中的第一次，ACL会对TCP报文中的ACK或RST位进行检查，如果ACK或RST位被置位，则表示数据包是正在进行的会话的一部分，否则是正在进行的连接会话。（3）基于名称的访问控制列表不管是标准访问控制列表还是扩展访问控制列表都有一个弊端，那就是当设置好ACL的规则后其中的某条需要修改，只能将全部ACL信息都删除，也就是说修改一条或删除一条都会影响到整个ACL列表。这一个缺点为网络管理人员带来了繁重的负担，所以可以用基于名称的访问控制列表来解决这个问题。基于名称的访问控制列表的格式：ip

access-list

[standard/extended]

<acl-list-name>当建立基于名称的访问控制列表后，就可以添加或者修改访问控制规则。（4）基于时间的访问控制列表基于时间的访问控制列表在继承了扩展访问控制列表的基础上，引入了时间机制，可以在定制的时间段使扩展访问控制列表生效。

例1标准访问控制列表配置示例（网络拓扑如图

3所示）两台交换机switchA为三层交换机，网络内共划分了两个VLAN，分别为VLAN100与VLAN200，

其中PC1属于VLAN100，PC2属于VLAN200。两台交换机通过trunk端口fa0/1相连，使得

VLAN100与VLAN200可以通信。在swithcB配置标准访问控制列表，使得PC1与PC2不能通信，但PC1能访问switchA。图3标准访问控制列表示例拓扑（1）交换机的基本配置

划分VLAN100与VLAN200，并且开启switchA的三层交换功能。主要配置内容如下：

//switchB上划分VLAN100与VLAN200，并且将PC1与PC2分别划分进VLAN1swithB(config)#vlan

100swithB(config-vlan)#exitswithB(config)#vlan

200swithB(config-vlan)#exitswithB(config)#int

range

fa0/2swithB(config-if)#switchport

access

vlan

100swithB(config-if)#exitswithB(config)#int

fa0/3swithB(config-if)#switchport

access

vlan

200swithB(config-if)#exitswithB(config)#exit%SYS-5-CONFIG_I:

Configured

from

console

by

consoleswithB#conf

t//将fa0/1接口链路配置成trunk链路，封装协议为IEEE802.1q标准swithB(config)#int

fa0/0swithB(config-if)#switchport

trunk

encapsulation

dot1qswithB(config-if)#switchport

mode

trunkswithB(config-if)#switchport

trunk

allowed

vlan

allswithB(config-if)#endswithB#writeBuilding

configuration...[OK]switchA(config)#int

fa0/1//将fa0/1接口链路配置成trunk链路，封装协议为IEEE802.1q标准switchA(config-if)#switchport

trunk

encapsulation

dot1qswitchA(config-if)#switchport

mode

trunkswitchA(config-if)#switchport

trunk

allowed

vlan

allswitchA(config-if)#exit//switchA上划分VLAN100与VLAN200switchA(config)#vlan

100switchA(config-vlan)#exitswitchA(config)#vlan

200switchA(config-vlan)#exitswitchA(config)#int

vlan100%LINK-5-CHANGED:

Interface

Vlan100,

changed

state

to

up

%LINEPROTO-5-UPDOWN:

Line

protocol

on

Interface

Vlan100,changed

state

toswitchA(config-if)#ip

address

192.168.100.1

255.255.255.0switchA(config-if)#no

shuswitchA(config-if)#exitswitchA(config)#int

vlan200%LINK-5-CHANGED:

Interface

Vlan200,

changed

state

to

up%LINEPROTO-5-UPDOWN:

Line

protocol

on

Interface

Vlan200,

changed

state

to

upswitchA(config-if)#ip

address

192.168.200.2

255.255.255.0switchA(config-if)#exitswitchA(config)#exit%SYS-5-CONFIG_I:

Configured

from

console

by

consoleswitchA#writeBuilding

configuration...[OK]（2）配置标准访问控制列表switchB#conf

tEnter

configuration

commands,

one

per

line.

End

with

CNTL/Z.

switchB(config)#ip

access-list

standard

test

//定义一个名称标控制列表test

switchB(config-std-nacl)#deny

host

192.168.200.2//第一条拒绝p据源//第二条允许所有访问，因为默认最后一条为拒绝所有访问，//如果无此条，将拒绝所有访问switchB(config-std-nacl)#permit

anyswitchB(config-std-nacl)#exitswitchB(config)#int

f0/1switchB(config-if)#ip

access-group

test

inswitchB(config-if)#endswitchB#01:04:22:

%SYS-5-CONFIG_I:

Configured

from

console

by

console（3）结果测试

首先在pc1上执行ping命令，测试到pc2的连通性，请求数据包被ACL阻止，执行结果如下所示：Pc1#ping

192.168.200.2Type

escape

sequence

to

abort.Sending

5,

100-byte

ICMP

Echos

to

192.168.200.2,

timeout

is

2

seconds:.....Success

rate

is

0

percent

(0/5)随后在pc1上执行ping命令测试到switchA的连通性，连通正常，结果如下所示：Pc1#ping

192.168.200.1Type

escape

sequence

to

abort.Sending

5,

100-byte

ICMP

Echos

to

192.168.200.1,

timeout

is

2

seconds:!!!!!Success

rate

is

100

percent

(5/5),

round-trip

min/avg/max

=

1/1/1

ms2 VPN技术与应用2.1

VPN的概念VPN是英文Virtual

Private

Network的缩写，一般译为虚拟专用网络，或者虚拟专网。现已被人们作为一个专门的术语来接受。对于术语

VPN指的是依靠服务提供商（ISP）和其它网络服务提供商，在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。Internet工程任务组（InternetEngineer

Task

Force，IETF）草案将基于IP的VPN理解为：“使用IP

机制仿真出一个私有的广域网”，它是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再

需要拥有实际的长途数据线路，而是使用Internet公共数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合

自己需求的网络，VPN示意图如图7.8所示。图8VPN示意图1.VPN的功能基于公钥基础设施（PKI）的用户版权体系身份验证和数据加密数据完整性保护提供访问控制2.VPN的分类

1）按业务分类2）按VPN在网络中实现的位置分类3.VPN的主要技术

1）隧道技术密码技术身份认证技术密钥管理技术2.2

IPSec协议1.IPSec体系结构IPSec（IP

Security）是IETF

IPSec工作组为了在

IP层提供通信安全而制定的一套协议族。它包括安全协议部分和密钥协商部分，安全协议部分

定义了对通信的安全保护机制；密钥协商部分

定义了如何为安全协议协商保护参数，以及如

何对通信实体的身份进行鉴别。IPSec主要由认证头协议(AH)、封装安全载荷协议(ESP)和因特网密钥交换协议(IKE)三部分组成，各个协议之间的关系如图7.9所示。图9

IPSec体系结构

AH为IP数据包提供无连接的数据完整性和数据源身份认证，同时具有抗重放攻击的能力。数据完整性校验通过消息认证码来保证，数据源身份认证通过在待认证数据中加入一个共享密钥来实现，AH报头中的序列号可以防止重放攻击。

ESP为数据包提供保密性、完整性、数据源身份认证和抗重放攻击保护。其中数据的保密性是ESP的基本功能，而数据源身份认证、数据完整性以及抗重放攻击保护都是可选服务。

解释域(DOI)将所有的IPSec协议捆绑在一起，是IPSec参数的重要数据库。

密钥管理包括IKE协议和安全关联SA部分。IKE负责密钥协商，密钥管理以及在通信系统之间建立安全关联，是一个产生和交换密钥材料并协商IPSec参数的框架。IKE将密钥协商的结果保留在SA条目中，供AH和ESP以后通信使用。

安全策略负责哪些通信数据允许加密和认证，其由访问控制列表控制。2.配置IPSec的相关概念（1）数据流一组具有相同源网络地址/掩码、目的网络地址/掩码和上层协议的数据集合称为数据流。通常采用一个扩展访问控制列表ACL来定义数据流，其中允许通过的所有报文在逻辑上作为一个数据流。注意，IPSec能够对不同的数据流施加不同的安全保护，也就是说对不同的数据流使用不同的安全协议、算法或密钥，因此可以在一个网关中定义多个ACL。（2）变换集（Transform

Set）变换集为一组数据流安全参数的配置集合，包括SA使用的安全协议（AH或者ESP）、安全协议使用的算法（验证和加密算法）、安全协议对报文的封装形式（隧道模式或传送模式）。（3）安全策略一条安全策略由“名字”和“顺序号”标识。规定对一组数据流

采用什么样的安全措施，安全策略的功能是通过调用变换集实现的。一条安全策略包含三部分内容：一条访问控制列表、一个可用的变

换集和一对SA。（4）安全策略组（加密映像）具有相同名字的安全策略构成安全策略组，其是与使用IPSec的接口一一对应的，从而实现在一个接口上同时应用一个安全策略组中的多个安全策略，实现对不同的数据流进行不同的安全保护。在一个安全策略组中，安全策略顺序号越小，其优先级越高。一般情况下，一条数据流与一对SA相对应，一对SA又与一条安全

策略相对应。一个安全策略组对应网关的一个接口，其中可以包含多条安全策略。在Cisco路由器中，安全策略组是通过加密映射命令

crypto

map命令来配置的，同一个安全策略组中的不同策略通过

crypto

map集中的不同编号项来表示，所以又将安全策略组称为加密映像。

例4基于IPSec的VPN配置示例（网络拓扑如图7.12所示）某公司总部的路由器设为RouterA，两个分部的路由器分别为RouterB和RouterC，三个部门均和互联网相连。图12基于IPSec的VPN示例拓扑本案例中，互联网采用路由器routerD代替，代替后的等效拓扑图如图13所示。由于业务安全需

要，要求将三个部门之间建立不同的安全通道。每个安全通道要求进行数据加密和完整性验证，部门两两之间实现IPSec

VPN的访问图13基于IPSec的VPN等效拓扑图

步骤1：基本配置，其中routerA、routerB和routerC配置默认路由通往外部的internet主要命令请参阅5.2节内容。步骤2：配置IKE，包括启用IKE策略和验证配置。

因为公司三个分布的路由器需要建立VPN，所以需要六对SA，分别是routerA<->routerB（双向两对SA）、rouerA<->rouerC（双向两对SA）、rouerB<->rouerC（双向两对SA）。其中SA的协商和建立是由IKE在isakmp体系框架内完成的。

①激活路由器上的IKE协议。默认情况下，路由器上IKE是激活的。routerA(config)#

crypto

isakmp

enablerouterB(config)#

crypto

isakmp

enablerouterC(config)#

crypto

isakmp

enable②配置IKE参数在routerA上配置IKE参数，配置内容如下所示：//创建一个isakmp策略，每一个isakmp策略集合了IKE配置参数

routerA

(config)#crypto

isakmp

policy

100//IKE报文加密形式为预共享密钥（其他形式不再讨论）routerA

(config-isakmp)#authentication

pre-share//IKE报文加密算法为3des算法routerA

(config-

isakmp)#encryption

3des//IKE报文认证为md5算法routerA

(config-

isakmp)#hash

md5//密钥交换为Diffie-Hellman算法，group2代表该算法产生1024位素数，//group1代表该算法产生768位素数

routerA

(config-isakmp)#group

2//在路由器上配置预共享密钥和SA对等体，每对对等体的密钥可以不同，本案例为cisco，routerA的SA对等体分别为routerB和routerCrouterA(config)#crypto

isakmp

key

0

cisco

address

202.117.2.2routerA(config)#crypto

isakmp

key

0

cisco

address

202.117.3.2由于routerA与routerB互为安全关联对等实体，所以routerB中的IKE配置参数必须和

routerA中的一样，routerB的配置内容如下所示：//创建一个isakmp策略，策略编号每个路由器可以不同routerB(config)#crypto

isakmp

policy

100routerB(config-isakmp)#authentication

pre-sharerouterB(config-isakmp)#encryption

3desrouterB(config-isakmp)#hash

md5routerB(config-isakmp)#group

2routerB(config-isakmp)#exitrouterB(config)#crypto

isakmp

key

0

cisco

address

202.117.1.2

routerB(config)#crypto

isakmp

key

0

cisco

address

202.117.3.2

routerB(config)#exitrouterB#write*Jun

17

12:55:46.963:

%SYS-5-CONFIG_I:

Configured

from

console

byconsoleBuilding

configuration...[OK]同理，routerC的IKE配置内容如下所示：routerC(config)#crypto

isakmp

policy

100routerC(config-isakmp)#authentication

pre-sharerouterC(config-isakmp)#encryption

3desrouterC(config-isakmp)#hash

md5routerC(config-isakmp)#group

2routerC(config-isakmp)#exitrouterC(config)#crypto

isakmp

key

0

cisco

address

202.117.1.2

routerC(config)#crypto

isakmp

key

0

cisco

address

202.117.2.2

routerC(config)#exitrouterC#write步骤3：配置IPSec

IKE建立的安全连接是为了进行IPSec安全关联的协商，必须正确配置VPN的IPSec参数才能保证VPN正常工作。IPSec配置内容包括创建加密用的访问控制列表、定义交换集，创建加密图（cryptomap）条目，并且在接口上应用加密图。

①配置加密用的ACL，加密ACL用来指定那些离开本地路由器时必须加密的流量。路由器只加密外出的ACL允许的流量。如果路由器收到对等体发来的应该加密而未加密的流量，数据将被丢弃。如果

VPN正常工作，两个对等体站点的ACL允许的流量都会被加密。

本案例中routerA应该对所连接的私有网络：192.168.1.0/24进行加密，同样，routerB和routerC也对所连接的私有网络进行加密，这就需要在三个路由中配置加密ACL。routerA(config)#

access-list

101

permit

ip

192.168.1.00.0.0.255

192.168.2.0

0.0.0.255routerA(config)#

access-list

102

permit

ip

192.168.1.00.0.0.255

192.168.3.0

0.0.0.255routerB(config)#access-list

102

permit

ip

192.168.2.0

0192.168.1.0

0.0.0.255routerB(config)#access-list

103

permit

ip

192.168.2.0

0192.168.3.0

0.0.0.255routerC(config)#access-list

103

permit

ip

192.168.3.0

0192.168.1.0

0.0.0.255routerC(config)#access-list

104

permit

ip

192.168.3.0

0192.168.2.0

0.0.0.255

②在发起SA协商之前，两个对等端需要统一参数，变换集就规定了

SA协商所需的参数。在routerA上配置IPSec的变换集，内容如下所示：

routerA(config)#crypto

ipsec

transform-set

setA-B

esp-3des

esp-md5-

routerA(cfg-crypto-trans)#mode

tunnelrouterA(cfg-crypto-trans)#exitrouterA(config)#crypto

ipsec

transform-set

setA-C

esp-3des

esp-md5-routerA(cfg-crypto-trans)#mode

tunnelrouterA(cfg-crypto-trans)#exitrouterA(config)#crypto

ipsec

security-association

lifetime

seconds//同理，在routerB和routerC上进行类似的变换集配置③创建并应用安全策略组。

安全策略组是通