基本网络安全的实现

基本网络安全的实现

一：AAA

AAA 是Authentication，Authorization and Accounting（认证、授权和计费）的简

称，它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架，

它是对网络安全的一种管理。

AAA 可完成下列服务：

认证：验证用户是否可获得访问权。

授权：授权用户可使用哪些服务。

计费：记录用户使用网络资源的情况。

AAA 的优点

(1)灵活易控。

(2)标准化的认证方法。

(3)多重备用系统。

AAA 的配置过程

AAA的基本配置包括：

一：使能 AAA

1.只有使能了AAA，才可继续进行AAA 的其它配置任务。

使能 AAA aaa-enable

禁止 AAA undo aaa-enable

2.在 AAA 中，认证是必须使用的。就是说在AAA 中可以只使用认证，而不使用授权

或计费。

配置认证方法列表

应用认证方法列表

3.本地用户用于采用本地验证方法时的用户名与密码验证。

(1) 配置用户及口令

可在本地数据库中配置用户及其本地认证口令。

配置用户及口令 local-user user-name [ password { simple | cipher }password ] ...

删除用户undo local-user user-name

(2)配置回呼（Callback）用户

配置回呼用户及其回呼号码 local-user user-name [ callback-number

telephone-number] ...

删除回呼用户及其回呼号码undo local-user user-name

(3) 配置有主叫号码的用户

配置有主叫号码的用户 local-user user-name [ call-numbertelephone-number ]

[:sub-telephone-number ] ...

删除有主叫号码的用户undo local-user user-name

(4) 配置FTP 用户与其可用的目录

配置 FTP 用户与其可用的目录local-useruser-name [ ftp-directory directory ] ...

删除FTP 用户与其可用的目录undo local-user user-name

(5) 授权用户可使用的服务类型

配置授权用户可使用的服务local-user user-name [ service-type [ exec-administrator |exec-guest |exec-operator ] [ ssh ][ ftp ] [ ppp ] ... ] ...

删除授权用户可使用的服务undo local-user user-name

4. 配置本地IP 地址池

本地地址池主要用来为远程 PPP 登录的用户分配IP 地址。

配置本地 IP 地址池ip pool pool-number begin-ip-address[ end-ip-address ]

取消本地IP 地址池undo ip pool pool-number

5. 为PPP 用户分配IP 地址

为 PPP 用户分配IP 地址remoteaddress { ip-address | pool [ pool-number ] }

取消PPP 用户的IP 地址undo remoteaddress

二：配置认证

认证的配置包括：

配置认证方法列表

应用认证方法列表

1.配置认证方法列表

(1)配置对Login 登录用户的认证方法列表

配置 Login 认证方法列表aaa authentication-scheme login{ default |

scheme-name} { method [ method ] ... }

删除Login 认证方法列表undo aaa authentication-schemelogin { default |

scheme-name}

(2) 配置对PPP 登录用户的认证方法列表

配置对 PPP 用户（通过拨号或专线上网的用户）的认证，首先需要定义对PPP 用

户认证的方法列表。

配置 PPP 认证方法列表aaa authentication-scheme ppp {default |

scheme-name} { method [ method ] ... }

删除PPP 认证方法列表undo aaa authentication-scheme ppp{ default |

scheme-name}

2. 应用认证方法列表

(1)指定对Login 用户进行认证时使用的认证方法列表

指定对 login 用户进行认证时使用的方法列表

{default | scheme-name }

禁止对login 用户进行认证undo login-methodauthentication-mode login-type

(2)指定对PPP 用户进行认证时使用的认证方法列表

指定对 PPP进行认证时使用的方法列表

pppauthentication-mode protocol scheme [ default |

scheme-name] [ call-in ]

取消对PPP 进行认证undo ppp authentication-mode

三：配置授权

授权的配置包括：

配置授权方法列表

应用授权方法列表

1. 配置授权方法列表

(1)创建授权方法列表

路由器支持授权的类型包括 login 和ppp 两种。其中：

ppp：对PPP 用户和VPDN 用户授权。

授权方式可以是通过本地授权或者通过 HWTACACS 服务器授权，也可以配置为不

授权或if-authentication 方式。

创建 login 类型授权方法列表aaa authorization-scheme login { default |

scheme-name} { method [ method ] ... }

删除指定名称的login 类型授权方法列表

undoaaa authorization-scheme login { default |scheme-name }

创建ppp 类型授权方法列表 aaa authorization-scheme ppp {default |

scheme-name} { method [ method ] ... }

删除指定名称的 ppp 类型授权方法列表

undoaaa authorization-scheme ppp { default |scheme-name }

2. 应用授权方法列表

应用授权方法列表同时也就启动授权要求，取消应用授权方法列表同时也就取消授

权要求。

(1)指定对login 用户进行授权时使用的授权方法列表

启动对对指定 login 用户进行授权，并指定其使用的授权方法列表

关闭对login 用户进行授权

undologin-method authorization-mode login-type

(2)指定对PPP 进行授权时使用的方法列表

指定 PPP 进行授权使用的方法列表

pppauthorization-mode scheme-name

使用 default 方法对PPP 用户进行授权

undoppp authorization-mode

四：配置计费

计费的基本配置包括：

配置计费方法列表

应用计费方法列表

计费的高级配置包括：

AAA计费选择开关

设置对 PPP 进行延时计费

设置对空用户名的用户不进行计费

使能向 HWTACACS 计费服务器发送实时计费记录

AAA常见故障诊断与排除

故障之一：用户本地认证总被拒绝。

故障排除：可以按照如下步骤进行：

首先检查local-user 命令是否配置正确的口令。

检查配置的授权服务类型（service-type）是否正确。

故障之二：用户 RADIUS 认证总被拒绝。

故障排除：可以按照如下步骤进行：

检查 RADIUS 服务器对该用户设置的用户名、口令、使用服务是否正确。

检查 RADIUS 服务器是否能够ping 通，路由器配置的RADIUS 服务器地址、端口号、key 是否与使用的RADIUS 服务器一致。

使用 radius server 命令重新配置RADIUS 服务器，因为可能由于刚才与

RADIUS服务器的通信失败，使系统认为RADIUS 服务器已经不可用，同时

又未配置radius timer quiet 命令（此时默认为5 分钟）或配置了较长时间，

使得系统尚未认为RADIUS 服务器已经恢复。此时使用undo radius server

命令删除已配置的RADIUS 服务器，再用radius server 命令重新配置新的

RADIUS服务器，这样就可以使此RADIUS 服务器配置立即生效。

检查 RADIUS 服务器是否设置正确及刚修改的设置是否已经生效。

故障之三：用户使用 HWTACACS 认证总被拒绝。

故障排除：

检查 HWTACACS 服务器对该用户设置的用户名、口令、使用服务是否正确。

检查 HWTACACS服务器是否连通（能否ping 通），路由器配置的HWTACACS

服务器地址、端口号、share-key 是否与使用的HWTACACS 服务器一致。

使用 host 命令重新配置HWTACACS 服务器，因为可能由于刚才与

HWTACACS服务器的通信失败，使系统认为HWTACACS 服务器已经不可

用。此时使用undo host 命令删除已配置的HWTACACS 服务器，再用host

命令重新配置新的HWTACACS 服务器，这样就可以使此HWTACACS 服务

器配置立即生效。

检查 HWTACACS 服务器是否设置正确及刚修改的设置是否已经生效。

故障之四：一个用户已经连入，在 show aaa user 时却看不到。

故障排除：可以按照如下步骤进行：

首先检查是否使能了 AAA。

查看认证方法列表中是否有 none，因为使用none 方法列表的用户将不会出

现在display aaa user 命令的屏幕显示中。

故障之五：并没有配置认证，仍能对用户进行认证。

故障排除：可以按照如下步骤进行：

使能 AAA 后，这时AAA 默认方法列表中的缺省认证方法是本地认证，要想对用户

不进行认证则需配置aaa authentication-scheme ppp default none，这样就可不

进行本地认证了。

二：防火墙

一：防火墙简介：

防火墙作为 Internet 访问控制的基本技术，其主要作用是监视和过滤通过它的数据

包，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃，以拒绝

非法用户访问网络并保障合法用户正常工作。

一般应将防火墙置于被保护网络的入口点来执行访问控制。例如，将防火墙设置在

内部网和外部网的连接处，以保护内部网络或数据免于为未认证或未授权的用户访

问，防止来自外网的恶意攻击。也可以用防火墙将企业网中比较敏感的网段与相对

开放的网段隔离开来，对受保护数据的访问都必须经过防火墙的过滤，即使该访问

是来自组织内部。

防火墙可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内

部的信息、结构和运行状况，以此来实现网络的安全保护。现在的许多防火墙同时

还具有一些其它特点，如进行用户身份鉴别，对信息进行安全（加密）处理等等。

在路由器上配置了防火墙特性后，路由器就成了一个健壮而有效的防火墙。

二：防火墙的分类：

一般把防火墙分为两类：网络层防火墙、应用层防火墙。网络层的防火墙主要获取

数据包的包头信息，如协议号、源地址、目的地址和目的端口等或者直接获取包头

的一段数据，而应用层的防火墙则对整个信息流进行分析。

三：常见的防火墙有以下几类：

1.应用网关（Application Gateway）：检验通过此网关的所有数据包中的应用层的数据

2．包过滤（Packet Filter）：对每个数据包按照用户所定义的项目进行过滤，如比较数据包的源地址、目的地址是否符合规则等。包过滤不管会话的状态，也不分析数据。

3.代理（Proxy）：通常情况下指的是地址代理，一般位于一台代理服务器或路由器上。它的机制是将网内主机的IP 地址和端口替换为服务器或路由器的IP地址和端口。

包过滤

一般情况下，包过滤是指对转发IP 数据包的过滤。对路由器需要转发的数据包，先获取包头信息，包括IP 层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等，然后与设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。

包过滤（对 IP 数据包）所选取用来判断的元素如下图所示（图中IP 所承载的上层

协议为TCP）。

基本网络安全的实现_网络安全

数据包过滤可实现：

不让任何人从外界使用 Telnet 登录。

让每个人经由 SMTP（Simple Message Transfer Protocol，简单邮件传输协议）向我们发送电子邮件。

使得某台机器可以通过NNTP（Network News Transfer Protocol，网络新闻传输协议）向我们发送新闻，而其它机器都不具备此项服务

网络设备的包过滤具有以下特性：

(1) 基于访问控制列表（ACL）：访问控制列表不仅应用在包过滤中，还可应用在其它需要对数据流进行分类的特性中，如地址转换及IPSec 应用。

.支持标准及扩展访问控制列表：可以通过标准访问控制列表只设定一个简单的地址范围，也可以使用扩展的访问控制列表设定具体到协议、源地址范围、目的地址范围、源端口范围、目的端口范围以及优先级与服务类型等。

.支持时间段：可以使访问控制列表在特定的时间段内起作用，比如可设置每周一的8:00 至20:00 此访问控制列表起作用。

(2) 支持访问控制列表的自动排序：可以选择是否针对某一类的访问控制列表进行自动排序，以简化配置的复杂度，方便对于访问控制列表的配置及维护。

(3) 可以具体到接口的输入及输出方向：比如可以在连接WAN的接口的输出方向上应用某条包过滤规则，也可以在该接口的输入方向上应用其它的包过滤规则。

(4) 支持基于接口进行过滤：可以在一个接口的某个方向上设定禁止或允许转发来自某个接口的报文。

(5) 支持对符合条件的报文做日志：可记录报文的相关信息，并提供机制保证在有大量相同触发日志的情况下不会消耗过多的资源。

访问控制列表

为过滤数据包，需要配置一些规则，规定什么样的数据包可以通过，什么样的数据包不能通过。

一般采用访问控制列表来配置过滤规则，访问控制列表可分为标准访问控制列表和扩展访问控制列表。

1. 标准访问控制列表

aclacl-number [ match-order config | auto ]

rule{ normal | special }{ permit | deny } [source source-addr source-wildcard |any]

2. 扩展访问控制列表

aclacl-number [ match-order config | auto ]

rule{ normal | special }{ permit | deny } pro-number [source source-addr

source-wildcard| any ] [source-port operator port1 [ port2 ] ] [ destination

dest-addrdest- wildcard | any ] [destination-port operator port1 [ port2 ] ]

[icmp-typeicmp-type icmp-code] [logging]

其中“protocol-number”用名字或数字表示的IP 承载的协议类型。数字范围为0～255；名字取值范围为：icmp、igmp、ip、tcp、udp、gre、ospf。

配置访问控制列表的匹配顺序

一条访问控制规则可由多条“permit/deny”语句组成，而每一条语句指定的数据包的范围大小有别，在匹配一个数据包和访问控制规则的时候就存在匹配顺序的问题。

一个acl-number 下可配置的规则数最多为500 条（即在普通时间段下可配500 条，在特殊时间段下同样也可配500 条），同时所有acl-number 下的规则总数不得超500 条。在多个规则之间发生冲突时，系统匹配规则的顺序应遵循下列原则：

1.可定义多个具有同一个序号的规则，若同一序号的两条规则互相冲突，则根据“深度优先原则”对source-addr、source-wildcard-mask、destination-addr、destination-wildcard-mask、协议号、端口号进行判断来决定使用规则的先后顺序。

2.若规则定义的范围相同，则根据规则定义时间的先后顺序来决定使用规则的顺序。系统将优先选择先定义的规则。

“深度优先原则”是指：将最先匹配那些数据包定义范围最小的访问规则。可通过地址的通配符来实现，通配符越小，则指定的主机的范围就越小。比如129.102.1.1 0.0.0.0 指定了一台主机（地址是129.102.1.1），而129.102.1.10.0.255.255 则指定了一个网段（地址范围是129.102.1.1～129.102.255.255），显然前者在访问控制规则中排在前面。

具体标准为：

1.对于标准访问控制规则的语句，直接比较源地址通配符，通配符相同的则按配

置顺序；

2.对于基于接口过滤的访问控制规则，配置了“any”的规则排在后面，其它按

配置顺序；

3.对于扩展访问控制规则，首先比较源地址通配符，相同的再比较目的地址通配

符，仍相同的则比较端口号的范围，范围小的排在前面，若端口号范围也相同

则按用户的配置顺序来匹配规则。

使用 display acl acl-number 命令可查看系统访问规则的执行的先后次序，列在前

面的规则将被优先选择。

防火墙的配置包括：

1.允许/禁止防火墙

2.配置标准访问控制列表

3.配置扩展访问控制列表

4.配置在接口上应用访问控制列表的规则

5.设置防火墙的缺省过滤方式

6.设置特殊时间段

7.指定日志主机

允许/禁止防火墙

在报文过滤时，应先打开防火墙功能，这样才能使其它配置生效。

启动防火墙 firewall enable

禁止防火墙 firewall disable

配置标准访问控制列表

标准访问控制列表序号可取值 2000～2999 之间的整数。首先应使用acl 命令进入

到ACL 配置视图并配置访问控制列表的匹配顺序，然后再使用rule 命令配置具体

的访问规则。若不配置匹配顺序的话，按照auto 方式进行。

进入 ACL 视图并配置访问控

制列表的匹配顺序acl acl-number [ match-order config | auto ]

配置标准访问列表规则rule { normal | special }{ permit | deny } [source source-addrsource-wildcard |any ]

删除特定的访问列表规则undo rule { rule-id | normal | special }

删除访问列表undo acl {acl-number| all }

配置扩展访问控制列表

扩展访问控制列表可取值 3000～3999 之间的整数。首先应使用acl 命令进入到ACL

配置视图并配置访问控制列表的匹配顺序，然后再使用rule 命令配置具体的访问规

则。若不配置匹配顺序的话，按照auto 方式进行。

进入 ACL 视图并配置访问控制列表的匹配顺序

aclacl-number [ match-order config | auto ]

配置TCP/UDP协议的扩展访问列表规则

rule { normal | special }{ permit | deny }{ tcp | udp } [source

source-addrsource-wildcard | any ] [source-port operator port1

[port2 ] ] [ destination dest-addr dest- wildcard | any ]

[destination-portoperator port1 [ port2 ] ] [logging]

配置ICMP 协议的扩展访问列表规则

rule{ normal | special }{ permit | deny } ICMP [sourcesource-addr source-wildcard |any ] [ destination dest-addrdest- wildcard | any ] [icmp-type icmp-typeicmp-code][logging]

配置其它协议扩展访问列表规则

rule{ normal | special }{ permit | deny } pro-number [sourcesource-addrsource-wildcard | any ] [ destination dest-addrdest- wildcard | any ] [logging]

删除特定的访问列表规则

undorule { rule-id | normal | special }

删除访问列表

undoacl {acl-number| all }

设置防火墙的缺省过滤方式

防火墙的缺省过滤方式是指：当访问规则中没有找到一个合适的匹配规则来判定用户数据包是否可以通过的时候，将根据用户设置的防火墙的缺省过滤方式来决定究竟允许还是禁止报文通过。

设置防火墙的缺省过滤方式为允许报文通过

firewalldefault permit

设置防火墙的缺省过滤方式为禁止报文通过

firewalldefault deny

设置特殊时间段

1. 允许/禁止按时间段过滤

所谓按时间段过滤是指：在不同的时间段内，采用不同的访问规则对IP 数据包进行过滤，这个特性又称为在特别时间段内应用特别的规则（SpecialRules For SpecialTime）。

根据实际使用情况，将时间段分为下列两类：

.1.特殊时间段：在设定时间段内的时间（由 special 关键字指定）

.2.普通时间段：未在设定时间段内的时间（由 normal 关键字指定）

同样地，访问规则按时间也分为这样两类：

.1.基于普通时间段的访问规则（Normal Packet-filtering AccessRules）

.2.基于特殊时间段的访问规则（Timerange Packet-filtering AccessRules）

可为这两类时间段分别定义不同的访问控制列表及访问规则，它们互不影响。在实际使用时，可把它们看成是两套独立的规则，系统在查看当前所处的时间段（普通时间段还是特殊时间段）后决定究竟采用哪套访问规则。比如，当前系统时间是在特殊时间段（由rule special 定义）之内，则采用特殊时间段内的访问规则进行过滤；当时间切换到普通时间段（由rule normal 定义）后，则采用普通时间段规则进行过滤。

允许按时间段过滤 timerange enable

禁止按时间段过滤 timerange disable

2. 设定特殊时间段

当用户选择了允许按时间段过滤报文的功能后，在用户定义的时间段内，防火墙将采用用户在定义的特殊时间段内的访问规则进行过滤。本次定义特殊时间段将在大约一分钟左右才能生效，上次定义的特殊时间段也将自动作废。

设定特殊时间段 settr { begin-time end-time ... }

取消特殊时间段undo settr

配置在接口上应用访问控制列表的规则

若要实现接口对报文的过滤功能，就必须先将相应访问控制列表规则应用到接口上。用户可在一个接口上对接收和发送两个方向的报文分别定义不同的访问控制规则。

配置在接口的入口或出口方向上应用访问控制列表规则

firewallpacket-filter acl-number [ inbound |outbound ]

取消在接口的入口或出口方向上应用访问控制列表规则

undofirewall packet-filter acl-number[ inbound | outbound ]

指定日志主机

防火墙支持日志功能，当某条访问规则被匹配后，若用户指定了对该规则产生日志，可向日志主机发送日志，由日志主机做记录并保存。

指定日志主机 ip host unix-hostname ip-address

取消日志主机 undo ip host

防火墙的显示和调试

显示包过滤规则及在接口上的应用

displayacl [ all | acl-number | interface typenumber ]

显示防火墙状态

displayfirewall

显示当前时间段的范围

display timerange

显示当前时间是否在特殊时间段之内

display isintr

清除访问规则计数器

reset acl counters [ acl-number ]

打开防火墙包过滤调试信息开关

debuggingfilter { all | icmp | tcp | udp}

三：IPSec

1. IPSec 协议

IPSec是一系列网络安全协议的总称，它是由IETF（InternetEngineering TaskForce，Internet 工程任务组）开发的，可为通讯双方提供访问控制、无连接的完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务。IPSec 是网络层的安全机制。通过对网络层包信息的保护，上层应用程序即使没有

实现安全性，也能够自动从网络层提供的安全性中获益。这打消了人们对×××（Virtual Private Network，虚拟专用网络）安全性的顾虑，使得××× 得以广泛应用。

2. 加密卡

在实际应用中，IPSec对报文的处理包括进行ESP 协议处理、加密后给报文添加认证头、对报文完成认证后删除认证头。为了确保信息的安全性，加密/解密、认证的算法一般比较复杂，路由器IPSec 软件进行加密/解密运算将会占用了大量的CPU资源，从而影响了整机性能。模块化路由器还可以使用加密卡（模块化硬件插卡）以硬件方式完成数据的加/解密运算，消除了路由器VRP 主体软件处理IPSec 对性能的影响，提高了路由器的工作效率。

(1) 加密卡进行加密/解密的工作过程是：路由器主机将需要加密/解密的数据发送给加密卡，加密卡对数据进行加密/解密运算并给数据添加/删除加密帧头，然后加密卡将完成加密/解密的数据发送回主机，由主机转发处理后的数据。

(2) 多块加密卡分流处理用户数据：模块化路由器支持多块加密卡，主机软件通过轮循方式将用户数据发送给多块状态正常的加密卡进行分流处理，实现多块加密卡对用户数据的同步处理，从而提高了数据加密/解密的处理速度。

(3) 对于应用于加密卡侧的IPSec，当该路由器所有加密卡都状态异常则加密卡将无法进行IPSec 处理，此时若已经打开主机备份处理开关，并且VRP 主体软件IPSec 模块支持该加密卡使用的加密/认证算法，则VRP 主体软件IPSec模块将替代加密卡进行IPSec 处理，实现对加密卡的备份。

3. IPSec 对报文的处理过程

IPSec 对报文的处理过程如下（以AH协议为例）：

(1)对报文添加认证头：从IPSec 队列中读出IP模块送来的IP 报文，根据配置选择的协议模式（传输或是隧道模式）对报文添加AH 头，再由IP 层转发。

(2)对报文进行认证后解去认证头：IP 层收到IP 报文经解析是本机地址，并且协议号为51，则查找相应的协议开关表项，调用相应的输入处理函数。此处理函数对报文进行认证和原来的认证值比较，若相等则去掉添加的AH 头，还原出原始的IP 报文再调用IP输入流程进行处理；否则此报文被丢弃。

IPSec 的配置包括：

1.创建加密访问控制列表

2.定义安全提议

3.选择加密算法与认证算法

4.创建安全策略

5.在接口上应用安全策略组

加密卡实现 IPSec 的配置包括：

1.创建加密访问控制列表

2.配置加密卡

3.使能 VRP 主体软件备份

4.定义安全提议

5.选择加密算法与认证算法

6.创建安全策略

7.在接口上应用安全策略组

创建加密访问控制列表

1. 加密访问控制列表的作用

根据是否与加密访问控制列表匹配，可以确定那些 IP 包加密后发送，那些IP 包直接转发。需要保护的安全数据流使用扩展IP 访问控制列表进行定义。

2. 创建加密访问控制列表

创建加密访问控制列表（适用VRP 主体软件IPSec、加密卡）

aclacl-number [ match-order config | auto ]

rule{ normal | special }{ permit | deny } pro-number[source source-addrsource-wildcard | any ][source-port operator port1 [ port2 ] ] [destinationdest-addr dest- wildcard | any ] [destination-portoperator port1 [port2 ] ] [icmp-type icmp-type icmp-code][logging]

删除加密访问控制列表（适用VRP 主体软件IPSec、加密卡）

undoacl {acl-number| all }

undorule { rule-id | normal | special }

定义安全提议

安全提议保存 IPSec需要使用的特定安全性协议以及加密/验证算法，为IPSec 协商安全联盟提供各种安全参数。为了能够成功的协商IPSec 的安全联盟，两端必须使用相同的安全提议。

安全提议的配置包括：

1.定义安全提议

2.设置安全协议对 IP 报文的封装模式

3.选择安全协议

1. 定义安全提议

可定义多个安全提议，然后在一个安全策略中引用这些安全提议中的一个或多个。当需要手工配置创建安全联盟时，必须在两端配置相同安全协议和算法的转换。

定义安全提议，进入安全提议视图（适用VRP 主体软件IPSec）

ipsec proposal proposal-name

删除安全提议（适用 VRP 主体软件IPSec）

undo ipsec proposal proposal-name

定义安全提议，进入安全提议视图（适用加密卡）

ipsec card-proposal proposal-name

删除加密卡安全提议（适用加密卡）

undo ipsec card-proposal proposal-name

2. 设置安全协议对IP 报文的封装模式

安全隧道的两端所选择的 IP 报文封装模式必须一致。

设置安全协议对报文的封装模式（适用VRP 主体软件IPSec、加密卡）

encapsulation-mode{ transport | tunnel }

恢复缺省的报文封装模式（适用VRP 主体软件IPSec、加密卡）

undoencapsulation-mode

3. 选择安全协议

定义了安全提议后，还需要选择安全提议所采用的安全协议。目前可选的安全协议有AH 与ESP，也可指定同时使用AH 与ESP。安全隧道两端所选择的安全协议必须一致。

设置安全提议采用的安全协议（适用VRP 主体软件IPSec、加密卡）

transform { ah-new | ah-esp-new | esp-new }

恢复缺省的安全协议（适用VRP 主体软件IPSec、加密卡）

undotransform

选择加密算法与认证算法

AH 协议没有加密功能，只对报文进行认证。VRP 主体软件IPSec 中ESP 支持的安全加密算法有五种：3des、des、blowfish、cast、skipjack。加密卡ESP支持的安全加密算法有六种：3des、des、blowfish、cast、skipjack、aes。AH 和ESP 支持的安全认证算法有MD5（消息摘要Version 5）算法与SHA（安全散列算法）算法两种。md5 算法使用128 位的密钥，sha1 算法使用160位的密钥；md5 算法的计算速度比sha1 算法快，而sha1 算法的安全强度比md5 算法高。安全隧道的两端所选择的安全加密算法与认证算法必须一致。

设置 VRP 主体软件IPSec 中ESP 协议采用的加密算法（适用VRP 主体软件IPSec）

esp-newencryption-algorithm { 3des | des |blowfish | cast | skipjack }

设置加密卡ESP 协议采用的加密算法（适用加密卡）

esp-newencryption-algorithm { 3des | des |blowfish | cast | skipjack | aes }

配置 ESP 协议不使用加密算法（适用VRP 主体软件IPSec、加密卡）

undo esp-new encryption-algorithm

设置 ESP 协议采用的认证算法（适用VRP 主体软件IPSec、加密卡）

esp-newauthentication-algorithm{ md5-hmac-96 | sha1-hmac-96 }

配置ESP 协议不使用认证算法（适用VRP 主体软件IPSec、加密卡）

undo esp-new authentication-algorithm

设置 AH 协议采用的认证算法（适用VRP 主体软件IPSec、加密卡）

ah-newauthentication-algorithm { md5-hmac-96| sha1-hmac-96 }

恢复AH 协议缺省的认证算法（适用VRP 主体软件IPSec、加密卡）

undo ah-new authentication-algorithm

创建安全策略

需要进行 ipsec 保护的数据

数据流受安全联盟保护需要多久

需要使用的安全策略

安全策略是手工创建还是通过 IKE 协商创建

在创建安全策略时，需要注意下面几个问题：

1.如果是创建安全策略，必须指定其协商方式；如果是修改安全策略，可不必指定其协商方式。一旦创建了安全策略，就不能再修改为其它的协商模式。必须先删除当前的安全策略然后再重新创建新的安全策略。例如：创建manual模式的安全策略，就不能修改成isakmp 模式，即必须先删除当前的manual模式的安全策略后，才能再创建isakmp 模式的安全策略。

2.具有相同名字的安全策略共同构造一个安全策略组。由名字和顺序号一起确定一条唯一的安全策略，在一个安全策略组中最大可以设置100 条安全策略。在一个安全策略组中，顺序号越小的安全策略，优先级越高。在一个接口上应用一个安全策略组，实际上是同时应用了安全策略组中多条不同的安全策略，从而能够对不同的数据流采用不同的安全策略或者使用不同的安全联盟进行保护。

1. 手工创建安全策略

1.手工创建安全策略的配置包括：

2.手工创建安全策略

3.配置安全策略引用的访问控制列表

4.指定安全隧道的起点与终点

5.配置安全策略中引用的安全提议

6.配置安全策略联盟的 SPI 及使用的密钥

(1) 手工创建安全策略

手工创建安全策略，进入安全策略视图（适用VRP 主体软件IPSec、加密卡）

ipsecpolicy policy-name sequence-numbermanual

修改手工创建的安全策略（适用VRP 主体软件IPSec、加密卡）

ipsecpolicy policy-name sequence-number

删除创建的安全策略（适用 VRP 主体软件IPSec、加密卡）

undoipsec policy policy-namesequence-number

(2) 配置安全策略引用的访问控制列表

在创建安全策略后，还要为该安全策略指定所引用的加密访问控制列表项，以判断出/入口的哪些通信流量应该被加密，哪些不应该被加密。

设置安全策略引用的加密访问控制列表（适用VRP 主体软件IPSec、加密卡）

security acl access-list-number

取消安全策略引用的加密访问控制列表（适用VRP 主体软件IPSec、加密卡）

undo security acl

(3) 指定安全隧道的起点与终点

通常人们把应用安全策略的通道称为“安全隧道”。安全隧道是建立在本端和对端网关之间，所以必须正确设置本端地址和对端地址才能成功地建立起一条安全隧道。手工创建的安全策略只能具备一个对端地址，若已经指定了对端地址，必须要先删除原先的地址后才能指定新的对端地址。双方只有在正确指定了本端与对端地址后，才能够创建安全隧道。

指定安全隧道的本端地址（适用VRP 主体软件IPSec、加密卡）

tunnel local ip-address

删除安全隧道的本端地址（适用VRP 主体软件IPSec、加密卡）

undo tunnel local ip-address

指定安全隧道的对端地址（适用VRP 主体软件IPSec、加密卡）

tunnel remote ip-address

删除安全隧道的对端地址（适用VRP 主体软件IPSec、加密卡）

undo tunnel remote ip-address

(4) 配置安全策略中引用的安全提议

通过手工方式建立安全联盟，一条安全策略只能引用一个安全提议，并且若已设置了安全提议，必须先删除原先的安全提议后才能设置新的安全提议。若本端安全提议不能完全匹配对端定义的安全提议，则安全联盟就不能成功建立，将丢弃需要被保护的报文。安全策略通过引用安全提议来确定所采用的协议、算法和封装形式。在引用一个安全提议之前，这个安全提议必须已经建立。

配置安全策略中引用的安全提议（适用VRP 主体软件IPSec、加密卡）

proposal proposal-name

取消安全策略引用的安全提议（适用VRP 主体软件IPSec、加密卡）

undo proposal

(5) 配置安全策略联盟的SPI及使用的密钥

在手工创建的安全策略联盟中，若引用的安全提议中包括了 AH 协议，则要手工为出/入的通信流量设置AH 安全联盟SPI 和使用的认证密钥；若引用的安全提议中包括了ESP 协议，则要手工为出/入的通信流量设置ESP 安全联盟SPI 和使用认证密钥与加密密钥。

在安全隧道的两端，本端的输入安全联盟SPI及密钥必须和对端的输出安全联盟SPI及密钥保持一致；本端的输出安全联盟SPI 及密钥必须和对端的输入安全联盟SPI及密钥保持一致。

(A)配置安全策略联盟的SPI 参数

配置 AH/ESP 协议输入安全联盟的SPI（适用VRP 主体软件IPSec、加密卡）

sa inbound { ah | esp } spi spi-number

删除 AH/ESP 协议输入安全联盟的SPI（适用VRP 主体软件IPSec、加密卡）

undo sa inbound { ah | esp } spi

配置 AH/ESP 协议输出安全联盟的SPI（适用VRP 主体软件IPSec、加密卡）

saoutbound { ah | esp } spi spi-number

删除 AH/ESP 协议输出安全联盟的SPI（适用VRP 主体软件IPSec、加密卡）

undosa outbound { ah | esp } spi

(B) 配置安全策略联盟使用的密钥

配置 AH 协议的认证密钥（以16 进制方式输入）（适用VRP 主体软件IPSec、加密卡）

sa{ inbound | outbound } ah hex-key-stringhex-key

删除 AH 协议的认证密钥（16 进制）（适用VRP 主体软件IPSec、加密卡）

undosa { inbound | outbound } ahhex-key-string

配置 AH 协议的认证密钥（以字符串方式输入）（适用VRP 主体软件IPSec、加密卡）

sa{ inbound | outbound } ah string-keystring-key

删除 AH 协议的认证密钥（字符串）（适用VRP主体软件IPSec、加密卡）

undo sa { inbound | outbound } ah string-key

配置ESP 协议的认证密钥（以16 进制方式输入）（适用VRP 主体软件IPSec、加密卡）

sa{ inbound | outbound } espauthentication-hex hex-key

删除 ESP 协议的认证密钥（适用VRP 主体软件IPSec、加密卡）

undosa { inbound | outbound } espauthentication-hex

配置 ESP 协议的加密密钥（以16 进制方式输入）（适用VRP 主体软件IPSec、加密卡）

sa{ inbound | outbound } esp encryption-hexhex-key

删除 ESP 协议的加密密钥（适用VRP 主体软件IPSec、加密卡）

undosa { inbound | outbound } espencryption-hex

同时配置 ESP 协议的加密和认证密钥（以字符串方式输入）（适用VRP 主体软件IPSec、加密卡）

sa{ inbound | outbound } esp string-keystring-key

删除 ESP 协议的加密和认证密钥（适用VRP主体软件IPSec、加密卡）

undo sa { inbound | outbound } esp string-key

2. 用IKE 创建安全策略联盟

IKE创建安全策略联盟的配置包括：

1.用 IKE 创建安全策略联盟

2.配置安全策略引用的访问控制列表

3.指定安全隧道的终点

4.配置安全策略中引用的安全提议

5.配置安全联盟的生存时间

(1) 用IKE 创建安全策略联盟

用 IKE 创建安全策略联盟（适用VRP 主体软件IPSec、加密卡）

ipsecpolicy policy-name sequence-numberisakmp

修改 IKE 创建的安全策略（适用VRP主体软件IPSec、加密卡）

ipsec policy policy-name sequence-number

删除创建的安全策略（适用 VRP 主体软件IPSec、加密卡）

undoipsec policy policy-name[ sequence-number ]

(2) 配置安全策略引用的访问控制列表

在创建安全策略后，还要为该安全策略指定所引用的加密访问控制列表项，以判断出/入口的哪些通信流量应该被加密，哪些不应该被加密。

设置安全策略引用的加密访问控制列表（适用VRP 主体软件IPSec、加密卡）

security acl access-list-number

取消安全策略引用的加密访问控制列表（适用VRP 主体软件IPSec、加密卡）

undo security acl access-list-number

(3) 指定安全隧道的终点

对于用 IKE 协商方式创建的安全策略联盟，不需设置本端地址，IKE 能自动地从应用该安全策略的接口上获取本端的地址。

和手工创建的安全策略相似，IKE 创建的安全策略也只能具备一个对端地址，若已经指定了对端地址，必须要先删除原先的地址后才能指定新的对端地址。

指定安全隧道的对端地址（适用VRP 主体软件IPSec、加密卡）

tunnel remote ip-address

删除安全隧道的对端地址（适用VRP 主体软件IPSec、加密卡）

undotunnel remote ip-address

(4) 配置安全策略中引用的安全提议

配置安全策略中使用的安全提议（适用VRP 主体软件IPSec、加密卡）

proposalproposal-name1[ proposal-name2...proposal-name6 ]

取消安全策略引用的安全提议（适用VRP 主体软件IPSec、加密卡）

undo proposal

在接口上应用安全策略组

为使定义的安全联盟生效，应在每个要加密的出站数据、解密的入站数据所在接口（逻辑的或物理的）上应用一个安全策略组，由这个接口根据所配置的安全策略组和对端加密路由器配合进行报文的加密处理。当安全策略组被从接口上删除后，此接口便不再具有IPSec 的安全保护功能。

当从一个接口发送报文时，将按照从小到大的顺序号依次查找安全策略组中每一条安全策略。若报文匹配了一条安全策略引用的访问控制列表，则使用这条安全策略对报文进行处理；若报文没有匹配安全策略引用的访问控制列表，则继续查找下一条安全策略；若报文对所有安全策略引用的访问控制列表都不匹配，则报文直接被发送（IPSec 不对报文加以保护）一个接口上只能应用一个安全策略组；一个安全策略组只能应用在一个接口上。

在接口上应用安全策略组（适用 VRP 主体软件IPSec、加密卡）

ipsec policy policy-name

删除接口应用的安全策略组（适用VRP 主体软件IPSec、加密卡）

undoipsec policy

加密卡故障诊断与排除

故障之一：不能配置加密卡。

故障现象：配置与加密卡相关命令时，提示没有有效加密卡（No valid encrypt-card）。

故障排除：可以按照如下步骤进行：

1.查看加密卡插卡情况。查看加密卡是否正确插入插槽。正常情况加密卡“run”指示灯正常闪烁（一秒亮一秒灭）。

2.使用 displayencrypt-card version 命令查看加密卡状态。正常状态应能显示加密卡单板及其版本情况。如果没有显示，则主机没有检测到加密卡。加密卡可能处于启动状态（run 指示灯快闪）。如果5 秒之后，加密卡仍然处于此状态，可以重新启动路由器（注意先保存路由器配置）

故障之二：配置IPSec 之后，ping 不通。

故障排除：可以按照如下步骤进行：

1检查接口是否应用安全策略组（policy）。使用displaycurrent-configurationinterface 命令查看接口上是否配置policy。正确情况下应该显配置policy。如果没有配置policy，则在接口视图下配置policy。

2.检查安全策略（policy）匹配性。如果是手工创建的安全策略组，那么安全策略的本、对端地址要正确，安全联盟的参数一定要一致。安全联盟参数改变之后，需要在接口上先删除安全策略组，然后再重新应用安全策略组。

3.检查安全协议一致性。对于手工建立的安全策略，两端路由器的安全提议所选择的安全协议要相同。

4.检查 AccessControl List。如果以上检查没有发现问题或通过修改以上检查还没有解决问题，可以查看一下访问控制列表。检查访问控制列表是否允许互通双方都通过。

5.检查硬件链接。如果通过以上方法都不能解决，请确认硬件连接是否正常。

网络安全学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

需要网络安全学习路线和视频教程的可以在评论区留言哦~

最后

如果你确实想自学的话，我可以把我自己整理收藏的这些教程分享给你，里面不仅有web安全，还有渗透测试等等内容，包含电子书、面试题、pdf文档、视频以及相关的课件笔记，我都已经学过了，都可以免费分享给大家！

给小伙伴们的意见是想清楚，自学网络安全没有捷径，相比而言系统的网络安全是最节省成本的方式，因为能够帮你节省大量的时间和精力成本。坚持住，既然已经走到这条路上，虽然前途看似困难重重，只要咬牙坚持，最终会收到你想要的效果。

黑客工具&SRC技术文档&PDF书籍&web安全等（可分享）

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。