目 录（目录名）

Transcription

1 操作手册安全分册 ALG 目录 目录 第 1 章 ALG 配置 ALG 简介 配置使能 ALG 功能 ALG 典型配置举例 ALG 支持 FTP 典型配置举例 ALG 支持 SIP/H.323 典型配置举例 ALG 支持 NBT 典型配置举例 i

2 操作手册安全分册 ALG 第 1 章 ALG 配置 第 1 章 ALG 配置 1.1 ALG 简介 ALG(Application Level Gateway, 应用层网关 ) 主要完成对应用层报文的处理 通常情况下,NAT 只对报文头中的 IP 地址和端口信息进行转换, 不对应用层数据载荷中的字段进行分析 然而一些特殊协议, 它们报文的数据载荷中可能包含 IP 地址或端口信息, 这些内容不能被 NAT 进行有效的转换, 就可能导致问题 例如,FTP 应用就由数据连接和控制连接共同完成, 而且数据连接的建立动态地由控制连接中的载荷字段信息决定, 这就需要 ALG 来完成载荷字段信息的转换, 以保证后续数据连接的正确建立 ALG 在与 NAT(Network Address Translation, 网络地址转换 ) ASPF(Application Specific Packet Filter, 基于应用层状态的包过滤 ) 配合使用的情况下, 可以实现地址转换 数据通道检测和应用层状态检查的功能 地址转换对报文应用层数据载荷中携带的 IP 地址 端口 协议类型 (TCP 或者 UDP) 对端地址 ( 在数据载荷中带有对端的地址 ) 进行地址转换 数据通道检测提取数据通道信息, 为后续的报文连接建立数据通道 此处的数据通道为相对于用户的控制连接而言的数据连接 应用层状态检查对报文的应用层协议状态进行检查, 若正确则更新报文状态机进行下一步处理, 否则丢弃报文 本特性支持对多种应用层协议的 ALG 处理, 不同的协议对以上三种功能的支持情况有所不同, 实际中根据具体需要选择支持全部或部分功能 目前实现 ALG 功能的常用应用层协议包括 : DNS(Domain Name System, 域名系统 ) FTP(File Transfer Protocol, 文件传输协议 ) H.323( 包括 RAS H.225 H.245), 一种多媒体会话协议 HTTP(Hyper Text Transport Protocol, 超级文本传输协议 ) ICMP(Internet Control Message Protocol,Internet 控制报文协议 ) ILS(Internet Locator Server,Internet 定位服务 ) 1-1

3 操作手册安全分册 ALG 第 1 章 ALG 配置 MSN/QQ, 两种常见的语音视频通讯协议 NBT(Network Basic Input/Output System, 网络基本输入 / 输出系统 ) RTSP(Real-Time Streaming Protocol, 实时流协议 ) SIP(Session Initiation Protocol, 会话发起协议 ) SQLNET, 一种 Oracle 数据库语言 TFTP(Trivial File Transfer Protocol, 简单文件传输协议 ) 下面以 FTP 协议为例, 简单描述使能 ALG 特性的设备在网络中的工作过程 如图 1-1 所示, 位于外部网络的客户端以 PASV 方式访问内部网络的 FTP 服务器, 经过中间的设备 SecPath 进行 NAT 转换, 该设备上使能了 ALG 特性 图 1-1 PASV 方式的 FTP-ALG 整个通信过程包括如下四个阶段 : (1) 建立控制通道客户端向服务器发送 TCP 连接请求 TCP 连接建立成功后, 服务器和客户端进入用户认证阶段 若 TCP 连接失败, 服务器会断开与客户端的连接 (2) 用户认证客户端向服务器发送认证请求, 报文中包含 FTP 命令 (USER PASSWORD) 及命令所对应的内容 客户端发送的认证请求报文在通过配置了 ALG 的设备时, 报文载荷中携带的命令字将会被解析出来, 用于进行状态机转换过程是否正确的检查 若状态机转换发生错误, 则丢弃报文 这样可防止客户端发送状态机错误的报文攻击服务器或者非法登陆服务器, 起到保护服务器的作用 1-2

4 操作手册安全分册 ALG 第 1 章 ALG 配置 客户端的认证请求报文通过 ALG 处理之后, 到达服务器端, 服务器将对其进行响应 (3) 创建数据通道认证状态正确且用户是服务器已经授权的客户端, 才能和服务器建立数据连接, 进行数据的交互 如图 1-1 所示, 当客户端发送 PASV 命令发起连接时, 服务器会在发送给客户端的 PASV 响应报文中携带自己的私网地址和端口号 (IP1,Port1), 响应报文经过 ALG 设备时被解析, 其中携带的服务器的私网地址和端口号被转换成其对应的公网地址和端口号 (IP2,Port2), 之后在该地址和端口与客户端的地址和端口之间将建立起数据通道 (4) 数据交互客户端和服务器之间的数据交互可以直接通过数据通道来进行 1.2 配置使能 ALG 功能 表 1-1 使能 ALG 功能 操作命令说明 进入系统视图 system-view - 使能指定协议的 ALG 功能 alg { all dns ftp h323 ils msn nbt qq rtsp sip sqlnet tftp } 可选缺省情况下, 所有协议的 ALG 功能均处于使能状态 1.3 ALG 典型配置举例 说明 : 以下典型配置举例中, 需保证服务器和客户端的配置已经完成, 本节只介绍设备端的 ALG 配置, 其它配置略 ALG 支持 FTP 典型配置举例 1. 组网需求如图 1-2 所示, 某公司通过启用了 NAT 和 ALG 功能的设备连接到 Internet 公司内部对外提供 FTP 服务 公司内部网址为 /24 其中, 内部 FTP 服务器的 IP 地址为 通过配置 NAT 和 ALG, 满足如下要求 : 外部网络的 Host 可以访问内部的 FTP 服务器 1-3

5 操作手册安全分册 ALG 第 1 章 ALG 配置 公司具有 ~ 四个合法的公网 IP 地址 FTP 服务器使 2. 组网图 用 作为对外的 IP 地址 图 1-2 ALG 应用组网图 3. 配置步骤 # 配置地址池和访问控制列表 <SecPath> system-view [SecPath] nat address-group [SecPath] acl number 2001 [SecPath-acl-basic-2001] rule permit [SecPath-acl-basic-2001] quit # 使能 FTP 协议的 ALG 功能 [SecPath] alg ftp # 配置 NAT 转换 [SecPath] interface GigabitEthernet 0/1 [SecPath-GigabitEthernet0/1] nat outbound 2001 address-group 1 # 配置内部 FTP 服务器 [SecPath-GigabitEthernet0/1] nat server protocol tcp global ftp inside ftp ALG 支持 SIP/H.323 典型配置举例 说明 : ALG 支持 H.323 的典型配置方法与支持 SIP 的类似, 下面仅以 SIP 为例 1. 组网需求如图 1-3 所示, 某公司通过启用了 NAT 和 ALG 功能的设备连接到 Internet 公司内部网址为 /24 通过配置 NAT 和 ALG, 满足如下要求 : 公司内部的 SIP UA 1 和外部网络的 SIP UA 2 均可以通过别名与对方成功建立通信 1-4

6 操作手册安全分册 ALG 第 1 章 ALG 配置 公司具有 ~ 四个合法的公网 IP 地址 公司内部 SIP UA 1 在向外部的 SIP server 注册时选择 ~ 中的一个地址作为其公网地址 2. 组网图 图 1-3 ALG 支持 SIP 应用组网图 3. 配置步骤 # 配置地址池和访问控制列表 <SecPath> system-view [SecPath] nat address-group [SecPath] acl number 2001 [SecPath-acl-basic-2001] rule permit source [SecPath-acl-basic-2001] rule deny [SecPath-acl-basic-2001] quit # 使能 SIP 协议的 ALG 功能 [SecPath] alg sip # 配置 NAT 转换 [SecPath] interface GigabitEthernet 0/1 [SecPath-GigabitEthernet0/1] nat outbound 2001 address-group ALG 支持 NBT 典型配置举例 1. 组网需求如图 1-4 所示, 某公司通过启用了 NAT 和 ALG 功能的设备连接到 Internet 公司内部对外提供 NBT 服务 公司内部网址为 /24 其中, 内部服务器通过配置 NAT 和 ALG, 满足如下要求 : 外部网络的主机可以通过主机名访问内部的 WINS 服务器和主机 Host A 使用 作为对外的 IP 地址 WINS 服务器使用 作为对外的 IP 地址 1-5

7 操作手册安全分册 ALG 第 1 章 ALG 配置 2. 组网图 图 1-4 ALG 支持 NBT 应用组网图 3. 配置步骤 # 配置静态地址转换 <SecPath> system-view [SecPath] nat static # 使能 NBT 协议的 ALG 功能 [SecPath] alg nbt # 配置 NAT 转换 [SecPath] interface GigabitEthernet 0/1 [SecPath-GigabitEthernet0/1] nat outbound static # 配置内部 WINS 服务器 [SecPath-GigabitEthernet0/1] nat server protocol udp global inside [SecPath-GigabitEthernet0/1] nat server protocol udp global inside [SecPath-GigabitEthernet0/1] nat server protocol tcp global inside

8 操作手册安全分册 Rsh 目录 目录 第 1 章 Rsh 配置 Rsh 简介 配置 Rsh 配置准备 配置 Rsh 终端服务 Rsh 典型配置举例 i

9 操作手册安全分册 Rsh 第 1 章 Rsh 配置 第 1 章 Rsh 配置 1.1 Rsh 简介 Rsh(Remote Shell, 远程外壳 ) 用来在远程主机上执行特定的命令 ( 即远程主机的操作系统所提供的内部和外部命令 ) 远程主机需要运行 Rsh 守护程序 (Rsh Daemon) 以支持 Rsh 服务 Rsh 客户端与远程主机的守护进程之间进行通信 如图 1-1 所示, 设备可实现 Rsh 客户端功能, 用户可以在设备上使用 Rsh 命令远程执行服务器端主机上的命令 图 1-1 Rsh 典型组网图 Rsh Daemon 提供基于信任主机的特权端口认证的远程命令执行服务 在 Windows NT/2000/XP/2003 上均可以利用服务组件来启动或关闭该服务 1.2 配置 Rsh 配置准备 远程主机需要运行 Rsh Daemon 以支持 Rsh 服务 设备与远程主机之间路由可达 配置 Rsh 终端服务设备作为 Rsh 客户端, 使用本命令对远程主机进行操作 表 1-1 配置 Rsh 终端服务 操作 命令 说明 执行远程主机命令 rsh host [ user username ] command remote-command 必选 请在用户视图下执行 1-1

10 操作手册安全分册 Rsh 第 1 章 Rsh 配置 说明 : 如果远程主机启用了认证服务, 那么在配置 Rsh 客户端之前需要在远程主机上配置 相应的用户名 1.3 Rsh 典型配置举例 说明 : Windows NT/2000/XP/2003 系统不自带 Rsh Daemon, 需要安装 Rsh Daemon 后 才能启动此项服务 此软件需要用户自行购买或通过其它途径获取 1. 组网需求如图 1-2 所示,SecPath 作为 Rsh 客户端, 远程主机的操作系统为 Windows 2000, 且已安装并启动了 Rsh Daemon 服务 通过 SecPath 远程设置主机时间 2. 组网图 Internet SecPath Windows 2000 host /24 图 1-2 Rsh 典型配置组网图 3. 配置步骤在远程主机 Windows 2000 Host 上, 检查是否已经安装和启动了 Rsh Daemon (1) 进入 Windows 控制面板, 打开 管理工具 ( 对于 Windows XP 系统, 当使用 控制面板 的分类视图时, 在 性能和维护 类中选择 管理工具 ) 1-2

11 操作手册安全分册 Rsh 第 1 章 Rsh 配置 图 1-3 Windows 管理工具文件夹视图 (2) 双击 服务 图标, 进入 Windows 服务 管理窗口 图 1-4 Windows 服务 管理窗口 (3) 查找 服务 中是否包含 Remote Shell Daemon 如果没有, 说明尚未安装此服务程序, 则需要先安装此程序 (4) 查看是否已经启动 Remote Shell Daemon 服务 如图 1-4, 在 Remote Shell Daemon 服务对应状态栏中可以查看该服务是否已经启动 在本例中, 该服务尚未启动 (5) 启动 Remote Shell Daemon 服务 双击该项服务, 进入 Remote Shell Daemon 属性窗口, 如图 1-5 所示 单击 < 启动 > 按钮, 即可启动该项服务 1-3

12 操作手册安全分册 Rsh 第 1 章 Rsh 配置 图 1-5 Remote Shell Daemon 属性窗口 在 SecPath 上进行如下配置 : # 配置与主机之间的路由, 具体配置过程略 # 在 SecPath 上通过 Rsh 命令设置主机的时间 <SecPath> rsh command time Trying Press CTRL+K to abort 当前时间 : 6:56:42.57 输入新时间 : 12:00 12:00 1-4

13 目录 目录 第 1 章 SSH2.0 配置 SSH2.0 简介 算法和密钥 非对称密钥算法 SSH 工作过程 配置设备作为 SSH 服务器 SSH 服务器配置任务简介 使能 SSH 服务器功能 配置 SSH 客户端登录时的用户界面 配置 RSA 和 DSA 密钥 配置客户端的公钥 配置 SSH 用户 配置服务器上的 SSH 管理功能 配置设备作为 SSH 客户端 SSH 客户端配置任务简介 为 SSH 客户端指定源 IP 地址或源接口 配置 SSH 客户端是否支持首次认证 建立 SSH 客户端和服务器端的连接 SSH 协议显示和维护 设备作为 SSH 服务器配置举例 password 认证配置举例 publickey 认证配置举例 设备作为 SSH 客户端配置举例 password 认证配置举例 publickey 认证配置举例 第 2 章 SFTP 服务 SFTP 简介 配置 SFTP 服务器 配置准备 启动 SFTP 服务器 配置 SFTP 用户连接的空闲超时时间 配置 SFTP 客户端 为 SFTP 客户端指定源 IP 地址或源接口 建立与 SFTP 服务器的连接 SFTP 目录操作 SFTP 文件操作 i

14 目录 显示帮助信息 终止与远程 SFTP 服务器的连接 设备作为 SFTP 客户端配置举例 设备作为 SFTP 服务器配置举例 ii

15 第 1 章 SSH2.0 配置 第 1 章 SSH2.0 配置 1.1 SSH2.0 简介 SSH 是 Secure Shell( 安全外壳 ) 的简称 用户通过一个不能保证安全的网络环境远程登录到设备时,SSH 可以利用加密和强大的认证功能提供安全保障, 保护设备不受诸如 IP 地址欺诈 明文密码截取等攻击 设备支持 SSH 服务器功能, 可以接受多个 SSH 客户端的连接 同时, 设备还支持 SSH 客户端功能, 允许用户与支持 SSH 服务器功能的设备建立 SSH 连接, 从而实现从本地设备通过 SSH 登录到远程设备上 注意 : 目前, 设备作为 SSH 服务器时, 支持 SSH2 和 SSH1 两个版本 ; 设备作为 SSH 客户端时, 只支持 SSH2 版本 如无特殊说明, 文中的 SSH 均指 SSH 算法和密钥加密和解密过程中使用的一组变换规则称为算法 将未加密的信息称为明文, 加密后的信息称为密文 加密和解密都是在密钥的控制下进行的 密钥是一组特定的字符串, 是控制明文和密文变换的唯一参数, 起到 钥匙 的作用 通过加密变换操作, 可以将明文变换为密文, 或者通过解密变换操作, 将密文恢复为明文 如图 1-1 所示 密钥 密钥 明文 加密 密文 解密 原始明文 图 1-1 加密和解密变换关系 基于密钥的算法通常有两类 : 对称算法和非对称密钥算法 非对称密钥算法 非对称密钥算法是指通信的每一端都存在一对密钥, 即一个私钥, 一个公钥 公钥是公开的, 私钥只有合法者拥有, 从公钥很难推出私钥 1-1

16 第 1 章 SSH2.0 配置 非对称密钥算法可以用于加密, 也就是用公钥对报文进行加密, 然后由拥有私钥的合法者使用私钥对数据进行解密, 这样保证数据的机密性 非对称密钥算法还可以用于数字签名, 比如用户 1 使用自己的私钥对数据进行签名, 然后发给用户 2, 用户 2 可以用用户 1 的公钥验证签名, 如果签名是正确的, 那么就能够确认该数据来源于用户 1 RSA(Rivest Shamir and Adleman) 和 DSA(Digital Signature Algorithm, 数字签名算法 ) 都是非对称密钥算法,RSA 既可以用于加密, 又可以用于签名, 而 DSA 只用于签名 说明 : 目前,SSH2 支持 RSA 和 DSA 这两种非对称密钥算法 SSH 工作过程在整个通讯过程中, 为实现 SSH 的安全连接, 服务器端与客户端要经历如下五个阶段 : 表 1-1 SSH 服务器端与客户端建立连接的五个阶段 过程 说明 详细内容 版本号协商阶段 密钥和算法协商阶段 认证阶段 SSH 目前包括 SSH1 和 SSH2 两个版本, 双方通过版本协商确定使用的版本 SSH 支持多种加密算法, 双方根据本端和对端支持的算法, 协商出最终使用的算法 SSH 客户端向服务器端发起认证请求, 服务器端对客户端进行认证 会话请求阶段认证通过后, 客户端向服务器端发送会话请求 交互会话阶段 会话请求通过后, 服务器端和客户端进行信息的交互 版本号协商阶段 具体步骤如下 : 服务器打开端口 22, 等待客户端连接 客户端向服务器端发起 TCP 初始连接请求,TCP 连接建立后, 服务器向客户端发送第一个报文, 包括版本标志字符串, 格式为 SSH-< 主协议版本号 >.< 次协议版本号 >-< 软件版本号 >, 协议版本号由主版本号和次版本号组成, 软件版本号主要是为调试使用 1-2

17 第 1 章 SSH2.0 配置 客户端收到报文后, 解析该数据包, 如果服务器端的协议版本号比自己的低, 且客户端能支持服务器端的低版本, 就使用服务器端的低版本协议号, 否则使用自己的协议版本号 客户端回应服务器一个报文, 包含了客户端决定使用的协议版本号 服务器比较客户端发来的版本号, 决定是否能同客户端一起工作 如果协商成功, 则进入密钥和算法协商阶段, 否则服务器端断开 TCP 连接 说明 : 上述报文都是采用明文方式传输的 2. 密钥和算法协商阶段具体步骤如下 : 服务器端和客户端分别发送算法协商报文给对端, 报文中包含自己支持的公钥算法列表 加密算法列表 MAC(Message Authentication Code, 消息验证码 ) 算法列表 压缩算法列表等 服务器端和客户端根据对端和本端支持的算法列表得出最终使用的算法 服务器端和客户端利用 DH 交换 (Diffie-Hellman Exchange) 算法 主机密钥对等参数, 生成会话密钥和会话 ID 通过以上步骤, 服务器端和客户端就取得了相同的会话密钥和会话 ID 对于后续传输的数据, 两端都会使用会话密钥进行加密和解密, 保证了数据传送的安全 在认证阶段, 两端会使用会话 ID 用于认证过程 注意 : 在协商阶段之前, 服务器端已经生成 RSA 和 DSA 密钥对, 他们主要用于参与会话密钥的生成 3. 认证阶段具体步骤如下 : 客户端向服务器端发送认证请求, 认证请求中包含用户名 认证方法 与该认证方法相关的内容 ( 如 :password 认证时, 内容为密码 ) 服务器端对客户端进行认证, 如果认证失败, 则向客户端发送认证失败消息, 其中包含可以再次认证的方法列表 客户端从认证方法列表中选取一种认证方法再次进行认证 该过程反复进行, 直到认证成功或者认证次数达到上限, 服务器关闭连接为止 1-3

18 第 1 章 SSH2.0 配置 SSH 提供两种认证方法 : password 认证 : 客户端向服务器发出 password 认证请求, 将用户名和密码加密后发送给服务器 ; 服务器将该信息解密后得到用户名和密码的明文, 与设备上保存的用户名和密码进行比较, 并返回认证成功或失败的消息 publickey 认证 : 采用数字签名的方法来认证客户端 目前, 设备上可以利用 RSA 和 DSA 两种公共密钥算法实现数字签名 客户端发送包含用户名 公共密钥和公共密钥算法的 publickey 认证请求给服务器端 服务器对公钥进行合法性检查, 如果不合法, 则直接发送失败消息 ; 否则, 服务器利用数字签名对客户端进行认证, 并返回认证成功或失败的消息 说明 : 除了 password 认证和 publickey 认证,SSH2.0 还提供了 password-publickey 认证和 any 认证 password-publickey 认证 : 指定该用户的认证方式为 password 和 publickey 认证同时满足 客户端版本为 SSH1 的用户只要通过其中一种认证即可登录 ; 客户端版本为 SSH2 的用户必须两种认证都通过才能登录 any 认证 : 指定该用户的认证方式可以是 password, 也可以是 publickey, 客户端首先尝试使用 publickey 方式登录 4. 会话请求阶段认证通过后, 客户端向服务器发送会话请求 服务器等待并处理客户端的请求 在这个阶段, 请求被成功处理后, 服务器会向客户端回应 SSH_SMSG_SUCCESS 包, SSH 进入交互会话阶段 ; 否则回应 SSH_SMSG_FAILURE 包, 表示服务器处理请求失败或者不能识别请求 5. 交互会话阶段会话请求成功后, 连接进入交互会话阶段 在这个模式下, 数据被双向传送 客户端将要执行的命令加密后传给服务器, 服务器接收到报文, 解密后执行该命令, 将执行的结果加密发还给客户端, 客户端将接收到的结果解密后显示到终端上 说明 : 在交互会话阶段, 客户端可以通过粘贴文本会话的方式发送要执行的命令, 但文本会话不能超过 2000 字节, 且粘贴的命令最好是同一视图下的命令, 否则服务器可能无法正确执行该命令 如果粘贴的文本会话超过 2000 字节, 可以采用将配置文件上传到服务器, 利用新的配置文件重新启动的方式执行这些命令 1-4

19 第 1 章 SSH2.0 配置 1.2 配置设备作为 SSH 服务器 SSH 服务器配置任务简介 表 1-2 SSH 服务器配置任务简介 配置任务 说明 详细配置 使能 SSH 服务器功能 必选 配置 SSH 客户端登录时的用户界面 必选 配置 RSA 和 DSA 密钥 生成 RSA 或 DSA 密钥必选 导出 RSA 或 DSA 密钥可选 销毁 RSA 或 DSA 密钥可选 配置客户端的公钥 对于采用 publickey 认证的 SSH 用户为必选 对于采用 password 认证的 SSH 用户为可选 配置 SSH 用户可选 配置服务器上的 SSH 管理功能可选 说明 : 虽然一个客户端只会采用 RSA 和 DSA 公共密钥算法中的一种来认证服务器, 但是由于不同客户端支持的公共密钥算法不同, 为了确保客户端能够成功登录服务器, 建议在服务器上同时生成 RSA 和 DSA 密钥对 使能 SSH 服务器功能 表 1-3 使能 SSH 服务器功能 操作命令说明 进入系统视图 system-view - 使能 SSH 服务器功能 ssh server enable 必选缺省情况下,SSH 服务器功能处于关闭状态 配置 SSH 客户端登录时的用户界面 SSH 客户端通过 VTY 用户界面访问设备 因此, 需要配置 SSH 客户端登录时采用的 VTY 用户界面, 使其支持 SSH 远程登录协议 配置结果在下次登录请求时生效 1-5

20 第 1 章 SSH2.0 配置 表 1-4 配置 SSH 客户端登录时的用户界面 操作命令说明 进入系统视图 system-view - 进入一个或多个 VTY 用户界面视图 配置登录用户界面的认证方式为 scheme 方式 配置所在用户界面支持 SSH 协议 user-interface vty number [ ending-number ] authentication-mode scheme [ command-authorization ] protocol inbound { all ssh } - 必选 缺省情况下, 用户界面认证为 password 方式 可选 缺省情况下, 系统支持所有的协议, 即支持 Telnet PAD 和 SSH 注意 : authentication-mode 命令和 protocol inbound 命令的详细介绍, 请参见 系统分册 中的 用户界面命令 如果在该用户界面上配置支持的协议是 SSH, 为确保登录成功, 请务必配置登录用户界面的认证方式为 authentication-mode scheme( 采用 AAA 认证 ) 如果某用户界面已经配置成支持 SSH 协议, 则在此用户界面上配置 authentication-mode password 和 authentication-mode none 将失败 配置 RSA 和 DSA 密钥 1. 生成 RSA 或 DSA 密钥生成服务器端的 RSA 或 DSA 密钥是完成 SSH 登录的必要操作 表 1-5 生成 RSA 或 DSA 密钥 操作 命令 说明 进入系统视图 system-view - 生成本地 RSA 密钥对 生成本地 DSA 密钥对 public-key local create rsa public-key local create dsa 二者至少选择其一 缺省情况下, 没有生成 RSA 和 DSA 密钥对 1-6

21 第 1 章 SSH2.0 配置 注意 : public-key local create rsa 命令和 public-key local create dsa 命令只需执行一遍, 设备重启后不必再次执行 RSA 服务器密钥和主机密钥的最小长度为 512 位, 最大长度为 2048 位 在 SSH2 中, 有的客户端要求服务器端生成的密钥长度必须大于或等于 768 位 DSA 主机密钥的最小长度为 512 位, 最大长度为 2048 位 在 SSH2 中, 有的客户端要求服务器端生成的密钥长度必须大于或等于 768 位 2. 导出 RSA 或 DSA 密钥对于已经生成的 RSA 或 DSA 密钥对, 可以根据指定格式在屏幕上显示主机公钥或导出主机公钥到指定文件, 从而为在远端配置 RSA 或 DSA 主机公钥作准备 表 1-6 导出 RSA 或 DSA 密钥操作命令说明进入系统视图 system-view - 根据指定格式在屏幕上显示本地 RSA 主机公钥或导出本地 RSA 主机公钥到指定文件 根据指定格式在屏幕上显示本地 DSA 主机公钥或导出本地 DSA 主机公钥到指定文件 public-key local export rsa { openssh ssh1 ssh2 } [ filename ] public-key local export dsa { openssh ssh2 } [ filename ] 二者至少选择其一 3. 销毁 RSA 或 DSA 密钥 表 1-7 销毁 RSA 或 DSA 密钥 操作命令说明 进入系统视图 system-view - 销毁本地 RSA 密钥对 销毁本地 DSA 密钥对 public-key local destroy rsa public-key local destroy dsa 二者至少选择其一 配置客户端的公钥 说明 : 本配置适用于采用 publickey 认证的 SSH 用户, 采用 password 认证的 SSH 用户, 不必进行本配置 1-7

22 第 1 章 SSH2.0 配置 SSH 用户采用 publickey 认证方式时, 需要在服务器端配置客户端的 RSA 或 DSA 主机公钥, 并在客户端为该 SSH 用户指定与主机公钥对应的 RSA 或 DSA 私钥, 以便当客户端登录服务器端时, 对客户端进行验证 可以通过手工配置和从公钥文件中导入两种方式来配置客户端的 publickey 公钥 : 手工配置客户端的 publickey 公钥时, 可以采用拷贝粘贴的方式将客户端的主机公钥配置到服务器端 这种方式要求拷贝粘贴的主机公钥必须是未经转换的 DER(Distinguished Encoding Rules, 特异编码规则 ) 公钥编码格式 从公钥文件中导入客户端的 publickey 公钥时, 系统会自动将客户端生成的公钥文件转换为 PKCS(Public Key Cryptography Standards, 公共密钥加密标准 ) 编码形式, 并实现客户端公钥的配置 这种方式需要客户端事先将 publickey 密钥的公钥文件通过 FTP/TFTP 以二进制 (binary) 方式上传到服务器端 注意 : 建议选用从公钥文件导入的方式配置客户端公钥 SSH 服务器上最多可以创建 20 个客户端的公钥 表 1-8 手工配置客户端的公钥 操作 命令 说明 进入系统视图 system-view - 进入公共密钥视图 public-key peer keyname - 进入公共密钥编辑视图 public-key-code begin - 配置客户端的公钥 退回公共密钥视图 直接输入公钥内容 public-key-code end 必选在输入公钥内容时, 字符之间可以有空格, 也可以按回车键继续输入数据 - 退出视图时, 系统自动保存配置的公钥密钥 退回系统视图 peer-public-key end - 1-8

23 第 1 章 SSH2.0 配置 表 1-9 从公钥文件中导入客户端的公钥 操作命令说明 进入系统视图 system-view - 从公钥文件中导入 SSH 用户的公钥 public-key peer keyname import sshkey filename 必选 配置 SSH 用户 通过本配置, 可以在创建 SSH 用户的同时, 指定 SSH 用户的服务类型和认证方式 表 1-10 配置 SSH 用户操作命令说明进入系统视图 system-view - 创建 SSH 用户, 并指定 SSH 用户的服务类型和认证方式 SSH 用户的服务类型为 stelnet SSH 用户的服务类型为 all 或 sftp ssh user username service-type stelnet authentication-type { password { any password-publickey publickey } assign publickey keyname } ssh user username service-type { all sftp } authentication-type { password { any password-publickey publickey } assign publickey keyname work-directory directory-name } 二者必选其一 1-9

24 第 1 章 SSH2.0 配置 注意 : 对于 AAA 用户, 即使没有创建对应的 SSH 用户, 只要能够通过 AAA 认证, 且设置的服务类型为 SSH, 则该用户仍然可以通过 password 认证方式,Stelnet 或 SFTP 登录服务器 SSH 服务器上最多可以创建 1024 个 SSH 用户 SSH 用户具有两种服务类型 :Stelnet 和 SFTP Stelnet 即 Secure Telnet, 是指传统的 SSH 服务, 详细内容请参见 1.1 SSH2.0 简介 SFTP 即 Secure FTP, 详细内容请参见 2.1 SFTP 简介 进行 SFTP 登录时, 必须设置用户的服务类型为 sftp 或者 all; 不需要使用 SFTP 服务时,SSH 用户的类型设置为 stelnet 或者 all SSH1 不支持服务类型 sftp 如果客户端采用 SSH1 版本登录服务器, 则必须在服务器上配置服务类型为 stelnet 或者 all 否则, 客户端无法登录服务器 SFTP 用户登录时使用的工作目录与用户使用的认证方式有关 只采用 publickey 认证方式的用户, 使用的工作目录为通过 ssh user 命令为该用户设置的工作目录 ; 只采用 password 认证方式的用户, 使用的工作目录为通过 AAA 授权的工作目录 ; 同时采用 publickey 和 password 两种认证方式的用户, 使用的工作目录为通过 ssh user 命令为该用户设置的工作目录 配置的认证方式和用户公钥, 在 SSH 用户下次登录时才会生效 说明 : 对于使用 publickey 认证方式的用户 : 必须在设备上配置相应的用户及其公钥 登录服务器后, 用户可以访问的命令级别为用户界面上通过 user privilege level 命令配置的级别 缺省情况下, 可以访问的命令级别为 0 对于使用 password 认证方式的用户 : 用户的账号信息可以配置在设备或者远程认证服务器 ( 如 RADIUS 认证服务器 ) 上 登录服务器后, 用户可以访问的命令级别由 AAA 来授权 配置服务器上的 SSH 管理功能 SSH 的管理功能包括 : 设置 SSH 服务器是否兼容 SSH1 设置 RSA 服务器密钥的更新时间, 此配置仅对 SSH 客户端版本为 SSH1 的用户有效 设置 SSH 认证的超时时间 设置 SSH 用户请求连接的认证尝试次数 1-10

25 第 1 章 SSH2.0 配置 通过定时更新服务器密钥以及对用户认证时间 认证次数的限制, 可以防止恶意地对密钥和用户名的猜测和破解, 从而提高了 SSH 连接的安全性 表 1-11 配置服务器上的 SSH 管理功能操作命令说明进入系统视图 system-view - 设置 SSH 服务器是否兼容 SSH1 设置 RSA 服务器密钥对的更新时间 设置 SSH 用户的认证超时时间 设置 SSH 认证尝试的最大次数 ssh server compatible-ssh1x enable ssh server rekey-interval hours ssh server authentication-timeout time-out-value ssh server authentication-retries times 可选 缺省情况下,SSH 服务器兼容 SSH1 可选 缺省情况下, 系统不更新 RSA 服务器密钥对 可选 缺省情况下,SSH 用户的认证超时时间为 60 秒 可选 缺省情况下,SSH 连接认证尝试的最大次数为 3 次 说明 : SSH 客户端通过 publickey 和 password 两种方式进行认证尝试的次数总和, 不能超过 ssh server authentication-retries 命令配置的 SSH 连接认证尝试次数, 否则, 客户端认证失败, 无法登录 SSH 服务器 1.3 配置设备作为 SSH 客户端 SSH 客户端配置任务简介 表 1-12 SSH 客户端配置任务简介 配置任务 说明 详细配置 为 SSH 客户端指定源 IP 地址或源接口 可选 配置 SSH 客户端是否支持首次认证 可选 建立 SSH 客户端和服务器端的连接 必选

26 第 1 章 SSH2.0 配置 为 SSH 客户端指定源 IP 地址或源接口用户可以通过以下配置, 为 SSH 客户端指定源 IP 地址或者源接口, 这样客户端可以用指定的 IP 地址或接口地址访问 SSH 服务器, 增加了业务的可管理性 表 1-13 为 SSH 客户端指定源 IP 地址或源接口 操作 命令 说明 进入系统视图 system-view - 为 SSH 客户端指定源 IP 地址或源接口 为 SSH 客户端指定源 IPv4 地址或源接口 ssh client source { ip ip-address interface interface-type interface-number } 必选缺省情况下, 客户端用设备路由指定的接口地址访问 SSH 服务器 配置 SSH 客户端是否支持首次认证当设备作为 SSH 客户端和服务器端连接时, 可以设置 SSH 客户端对访问的 SSH 服务器是否进行首次认证 如果支持首次认证, 则当 SSH 客户端首次访问服务器, 而客户端没有配置服务器端的主机公钥时, 用户可以选择继续访问该服务器, 并在客户端保存该主机公钥 ; 当用户下次访问该服务器时, 就以保存的主机公钥来认证该服务器 如果不支持首次认证, 则当客户端没有配置服务器端的主机公钥时, 客户端将拒绝访问该服务器 用户必须事先将要访问的服务器端的主机公钥配置在本地, 同时指定要连接的服务器端的主机公钥名称, 以便客户端对连接的服务器进行认证 1. 配置 SSH 客户端支持首次认证 表 1-14 配置 SSH 客户端支持首次认证 操作 命令 说明 进入系统视图 system-view - 设置 SSH 客户端对访问的 SSH 服务器进行首次认证 ssh client first-time enable 可选 缺省情况下, 客户端进行首次认证 2. 配置 SSH 客户端不支持首次认证 如果配置 SSH 客户端不支持首次认证, 则需要在客户端配置服务器端的主机公钥, 并为要连接的服务器指定主机公钥名称, 1-12

27 第 1 章 SSH2.0 配置 表 1-15 配置 SSH 客户端不支持首次认证 操作命令说明 进入系统视图 system-view - 设置 SSH 客户端对访问的 SSH 服务器不进行首次认证 配置服务器端的公钥 在客户端上指定要连接的服务器端的主机公钥名称 undo ssh client first-time 请参见 配置客户端的公钥 ssh client authentication server server assign publickey keyname 必选 缺省情况下, 客户端进行首次认证 必选 在客户端配置服务器端公钥的方法, 与在服务器端配置客户端公钥的方法相同 必选 建立 SSH 客户端和服务器端的连接 表 1-16 建立 SSH 客户端和服务器端的连接 操作命令说明 建立 SSH 客户端和服务器端的连接, 并指定客户端和服务器的首选密钥交换算法 首选加密算法和首选 HMAC 算法 建立 SSH 客户端和 IPv4 服务器端的连接, 并指定客户端和服务器的首选密钥交换算法 首选加密算法和首选 HMAC 算法 ssh2 server [ port-number ] [ identity-key { dsa rsa } prefer-ctos-cipher { 3des aes128 des } prefer-ctos-hmac { md5 md5-96 sha1 sha1-96 } prefer-kex { dh-group-exchange dh-group1 dh-group14 } prefer-stoc-cipher { 3des aes128 des } prefer-stoc-hmac { md5 md5-96 sha1 sha1-96 } ] * 二者必选其一 必须在用户视图下执行本命令 1.4 SSH 协议显示和维护 在完成上述配置后, 在任意视图下执行 display 命令, 可以显示配置后 SSH 的运行情况, 通过查看显示信息, 验证配置的效果 表 1-17 SSH 协议显示和维护 操作 显示本地密钥对的公钥部分 显示用户公钥信息 显示当前为 SFTP 客户端设置的源 IP 地址或者源接口 显示当前为 SSH 客户端设置的源 IP 地址或者源接口 命令 display public-key local { dsa rsa } public display public-key peer [ brief name publickey-name ] display sftp client source display ssh client source 1-13

28 第 1 章 SSH2.0 配置 操作 在 SSH 服务器上显示 SSH 状态信息或会话信息 显示客户端保存的服务器端的主机公钥和服务器的对应关系 命令 display ssh server { status session } display ssh server-info 在 SSH 服务器上显示 SSH 用户信息 display ssh user-information [ username ] 1.5 设备作为 SSH 服务器配置举例 password 认证配置举例 1. 组网需求 Host 与 SecPath 通过以太网口直接相连 ; 在 Host 上运行 SSH2.0 的客户端软件可以安全地登录 SecPath 进行配置管理 ; SSH 用户采用的认证方式为 password 认证 2. 组网图 图 1-2 SSH 本地配置组网图 3. 配置步骤 (1) 配置 SSH 服务器 SecPath # 生成 RSA 及 DSA 密钥对, 并启动 SSH 服务器 <SecPath> system-view [SecPath] public-key local create rsa [SecPath] public-key local create dsa [SecPath] ssh server enable # 配置接口 GigabitEthernet0/1 的 IP 地址, 客户端将通过该地址连接 SSH 服务器 [SecPath] interface GigabitEthernet 0/1 [SecPath-GigabitEthernet0/1] ip address [SecPath-GigabitEthernet0/1] quit # 设置 SSH 客户端登录用户界面的认证方式为 AAA 认证 [SecPath] user-interface vty 0 4 [SecPath-ui-vty0-4] authentication-mode scheme 1-14

29 第 1 章 SSH2.0 配置 # 设置 SecPath 上远程用户登录协议为 SSH [SecPath-ui-vty0-4] protocol inbound ssh [SecPath-ui-vty0-4] quit # 创建本地用户 client001, 并设置用户访问的命令级别为 3 [SecPath] local-user client001 [SecPath-luser-client001] password simple aabbcc [SecPath-luser-client001] service-type ssh level 3 [SecPath-luser-client001] quit # 配置 SSH 用户 client001 的服务器类型为 Stelnet, 认证方式为 password 认证 [SecPath] ssh user client001 service-type stelnet authentication-type password (2) 配置 SSH 客户端 Host 说明 : SSH 客户端软件有很多, 例如 PuTTY OpenSSH 等 本文中仅以客户端软件 PuTTY0.58 为例, 说明 SSH 客户端的配置方法 # 建立与 SSH 服务器的连接 打开 PuTTY.exe 程序, 出现如图 1-3 所示的客户端配置界面 在 Host Name(or IP address) 文本框中输入 SSH 服务器的 IP 地址为

30 第 1 章 SSH2.0 配置 图 1-3 SSH 客户端配置界面 在图 1-3 中, 单击 <Open> 按钮 按提示输入用户名 client001 及密码 aabbcc, 即可进入 SecPath 的配置界面 publickey 认证配置举例 1. 组网需求 Host 与 SecPath 通过以太网口直接相连 ; 在 Host 上运行 SSH2.0 的客户端软件可以安全地登录 SecPath 进行配置管理 ; SSH 用户采用的认证方式为 publickey 认证, 公共密钥算法为 RSA 2. 组网图 图 1-4 SSH 本地配置组网图 1-16

31 第 1 章 SSH2.0 配置 3. 配置步骤 (1) 配置 SSH 服务器 SecPath # 生成 RSA 及 DSA 密钥对, 并启动 SSH 服务器 <SecPath> system-view [SecPath] public-key local create rsa [SecPath] public-key local create dsa [SecPath] ssh server enable # 配置接口 GigabitEthernet0/1 的 IP 地址, 客户端将通过该地址连接 SSH 服务器 [SecPath] interface GigabitEthernet 0/1 [SecPath-GigabitEthernet0/1] ip address [SecPath-GigabitEthernet0/1] quit # 设置用户接口上认证模式为 AAA 认证 [SecPath] user-interface vty 0 4 [SecPath-ui-vty0-4] authentication-mode scheme # 设置 SecPath 上远程用户登录协议为 SSH [SecPath-ui-vty0-4] protocol inbound ssh # 设置用户能访问的命令级别为 3 [SecPath-ui-vty0-4] user privilege level 3 [SecPath-ui-vty0-4] quit 说明 : 这时需要先在 SSH 客户端使用 SSH 客户端软件生成 RSA 密钥对, 将生成的 RSA 公钥保存到指定文件中, 并将此公钥文件通过 FTP/TFTP 方式上传到服务器端, 文件名为 key.pub 相关配置请参见客户端的配置 # 从文件 key.pub 中导入远端的公钥 [SecPath] public-key peer SecPath001 import sshkey key.pub # 设置 SSH 用户 client002 的认证方式为 publickey, 并指定公钥为 SecPath001 [SecPath] ssh user client002 service-type stelnet authentication-type publickey assign publickey SecPath001 (2) 配置 SSH 客户端 Host # 生成 RSA 密钥对 运行 PuTTYGen.exe, 在参数栏中选择 SSH-2 RSA, 点击 <Generate>, 产生客户端密钥对 1-17

32 第 1 章 SSH2.0 配置 图 1-5 生成客户端密钥 (1) 在产生密钥对的过程中需不停的移动鼠标, 鼠标移动仅限于下图蓝色框中除绿色标记进程条外的地方, 否则进程条的显示会不动, 密钥对将停止产生, 见图

33 第 1 章 SSH2.0 配置 图 1-6 生成客户端密钥 (2) 密钥对产生后, 点击 <Save public key>, 输入存储公钥的文件名 key.pub, 点击保 存 图 1-7 生成客户端密钥 (3) 1-19

34 第 1 章 SSH2.0 配置 点击 <Save private key> 存储私钥, 弹出警告框, 提醒是否保存没做任何保护措施的 私钥, 点击 <Yes>, 输入私钥文件名为 private, 点击保存 图 1-8 生成客户端密钥 (4) 说明 : 客户端生成密钥对后, 需要将保存的公钥文件通过 FTP/TFTP 方式上传到服务器, 并完成服务器的配置后, 才可继续客户端的配置 # 指定私钥文件, 并建立与 SSH 服务器的连接 打开 PuTTY.exe 程序, 出现如图 1-9 所示的客户端配置界面 在 Host Name(or IP address) 文本框中输入 SSH 服务器的 IP 地址为 图 1-9 SSH 客户端配置界面 (1) 1-20

35 第 1 章 SSH2.0 配置 单击 SSH 下面的 Auth ( 认证 ), 出现如图 1-10 的界面 单击 <Browse > 按钮, 弹出文件选择窗口 选择与配置到服务器端的公钥对应的私钥文件 private 图 1-10 SSH 客户端配置界面 (2) 如图 1-10, 单击 <Open> 按钮 按提示输入用户名 client002, 即可进入 SecPath 的配 置界面 1.6 设备作为 SSH 客户端配置举例 password 认证配置举例 1. 组网需求如图 1-11 所示, 配置 SecPath A 作为客户端, 采用 SSH 协议登录到 SecPath B 上 SSH 用户采用的认证方式为 password 认证, 用户名为 client001, 密码为 aabbcc 2. 组网图 图 1-11 设备作为 SSH 客户端配置组网图 1-21

36 第 1 章 SSH2.0 配置 3. 配置步骤 (1) 配置 SSH 服务器 SecPath B # 生成 RSA 及 DSA 密钥对, 并启动 SSH 服务器 <SecPathB> system-view [SecPathB] public-key local create rsa [SecPathB] public-key local create dsa [SecPathB] ssh server enable # 配置接口 GigabitEthernet0/1 的 IP 地址, 客户端将通过该地址连接 SSH 服务器 [SecPathB] interface GigabitEthernet 0/1 [SecPathB-GigabitEthernet0/1] ip address [SecPathB-GigabitEthernet0/1] quit # 设置 SSH 客户端登录用户界面的认证方式为 AAA 认证 [SecPathB] user-interface vty 0 4 [SecPathB-ui-vty0-4] authentication-mode scheme # 设置 SecPath B 上远程用户登录协议为 SSH [SecPathB-ui-vty0-4] protocol inbound ssh [SecPathB-ui-vty0-4] quit # 创建本地用户 client001 [SecPathB] local-user client001 [SecPathB-luser-client001] password simple aabbcc [SecPathB-luser-client001] service-type ssh level 3 [SecPathB-luser-client001] quit # 配置 SSH 用户 client001 的服务类型为 Stelnet, 认证方式为 password 认证 [SecPathB] ssh user client001 service-type stelnet authentication-type password (2) 配置 SSH 客户端 SecPath A # 配置接口 GigabitEthernet0/1 的 IP 地址 <SecPathA> system-view [SecPathA] interface GigabitEthernet 0/1 [SecPathA-GigabitEthernet0/1] ip address [SecPathA-GigabitEthernet0/1] quit # 配置客户端对服务器不进行首次认证 [SecPathA] undo ssh client first-time # 在客户端配置 SSH 服务器端的主机公钥 在公共密钥编辑视图输入服务器端的主机公钥, 即在服务器端通过 display public-key local dsa public 命令显示的公钥内容 1-22

37 第 1 章 SSH2.0 配置 [SecPathA] public-key peer key1 [SecPathA-pkey-public-key] public-key-code begin [SecPathA-pkey-key-code]308201B C06072A8648CE F D757262C4584C44C211F18BD96E5F0 [SecPathA-pkey-key-code]61C4F0A423F7FE6B6B85B34CEF72CE14A0D3A5222FE08CECE 65BE6C DC1EDBD13EC8B274 [SecPathA-pkey-key-code]DA9F75BA26CCB E922BA84421F22C3C89CB9B0 6FD60FE01941DDD77FE6B12893DA76E [SecPathA-pkey-key-code]EBC1D128D97F0678D7722B5341C8506F358214B16A2FAC4B C7DA C773218C [SecPathA-pkey-key-code]737EC8EE993B4F2DED30F48EDACE915F E 14EC474BAF2932E69D3B1F18517AD95 [SecPathA-pkey-key-code]94184CCDFCEAE96EC4D5EF93133E84B47093C52B20CD35D02 492B3959EC BC4FA5082E22C5 [SecPathA-pkey-key-code]B374E16DD00132CE71B AC717B612391C76C1FB2E 88317C1BD8171D41ECB83E210C03CC9 [SecPathA-pkey-key-code]B32E810561C21621C73D6DAAC028F4B1585DA7F CC 9B09EEF AF [SecPathA-pkey-key-code]E1E570A3F6B1C B3B4FFA256699B3BF871221CC9C5D F D033BEE77FC378145F2AD [SecPathA-pkey-key-code]D716D7DB9FCABB4ADBF6FB4FDB0CA25C761B308EF53009F71 01F7C D5A572C379A32AC290 [SecPathA-pkey-key-code]E55B394A217DA38B65B77F0185C8DB D1EF044B465E A5A3B493E B2D [SecPathA-pkey-key-code] [SecPathA-pkey-key-code] public-key-code end [SecPathA-pkey-public-key] peer-public-key end # 指定服务器 对应的主机公钥名称为 key1 [SecPathA] ssh client authentication server assign publickey key1 [SecPathA] quit # 建立到服务器 的 SSH 连接 <SecPathA> ssh Username: client001 Trying Press CTRL+K to abort Connected to Enter password: ********************************************************* *All rights reserved ( ) * *Without the owner's prior written consent, * *no decompiling or reverse-engineering shall be allowed.* 1-23

38 第 1 章 SSH2.0 配置 ********************************************************* <SecPathB> publickey 认证配置举例 1. 组网需求如图 1-12 所示, 配置 SecPath A 作为客户端, 采用 SSH 协议登录到 SecPath B 上 SSH 用户采用的认证方式为 publickey 认证, 公共密钥算法为 DSA 2. 组网图 图 1-12 设备作为 SSH 客户端配置组网图 3. 配置步骤 (1) 配置 SSH 服务器 SecPath B # 生成 RSA 及 DSA 密钥对, 并启动 SSH 服务器 <SecPathB> system-view [SecPathB] public-key local create rsa [SecPathB] public-key local create dsa [SecPathB] ssh server enable # 配置接口 GigabitEthernet0/1 的 IP 地址, 客户端将通过该地址连接 SSH 服务器 [SecPathB] interface GigabitEthernet 0/1 [SecPathB-GigabitEthernet0/1] ip address [SecPathB-GigabitEthernet0/1] quit # 设置 SSH 客户端登录用户界面的认证方式为 AAA 认证 [SecPathB] user-interface vty 0 4 [SecPathB-ui-vty0-4] authentication-mode scheme # 设置 SecPath B 上远程用户登录协议为 SSH [SecPathB-ui-vty0-4] protocol inbound ssh # 设置用户能访问的命令级别为 3 [SecPathB-ui-vty0-4] user privilege level 3 [SecPathB-ui-vty0-4] quit 1-24

39 第 1 章 SSH2.0 配置 说明 : 这时需要先在 SSH 客户端生成 DSA 密钥对, 将生成的 DSA 公钥保存到指定文件中, 并将此公钥文件通过 FTP/TFTP 方式上传到服务器端, 文件名为 key.pub 相关配置请参见客户端的配置 # 从文件 key.pub 中导入远端的公钥 [SecPathB] public-key peer SecPath001 import sshkey key.pub # 设置 SSH 用户 client002 的认证方式为 publickey, 并指定公钥为 SecPath001 [SecPathB] ssh user client002 service-type stelnet authentication-type publickey assign publickey SecPath001 (2) 配置 SSH 客户端 SecPath A # 配置接口 GigabitEthernet0/1 的 IP 地址 <SecPathA> system-view [SecPathA] interface GigabitEthernet 0/1 [SecPathA-GigabitEthernet0/1] ip address [SecPathA-GigabitEthernet0/1] quit # 生成 DSA 密钥对 [SecPathA] public-key local create dsa # 将生成的 DSA 主机公钥导出到指定文件 key.pub 中 [SecPathA] public-key local export dsa ssh2 key.pub [SecPathA] quit 说明 : 客户端生成密钥对后, 需要将保存的公钥文件通过 FTP/TFTP 方式上传到服务器, 并完成服务器的配置后, 才可继续客户端的配置 # 建立到服务器 的 SSH 连接 <SecPathA> ssh Username: client002 Trying Press CTRL+K to abort Connected to The Server is not authenticated. Continue? [Y/N]:y Do you want to save the server public key? [Y/N]:n ************************************************************************** 1-25

40 第 1 章 SSH2.0 配置 **** * All rights reserved ( ) * * Without the owner's prior written consent, * * no decompiling or reverse-engineering shall be allowed. * ************************************************************************** **** <SecPathB> 1-26

41 第 2 章 SFTP 服务 第 2 章 SFTP 服务 2.1 SFTP 简介 SFTP 是 Secure FTP 的简称, 是 SSH 2.0 中新增的功能 SFTP 建立在 SSH 连接的基础之上, 它使得远程用户可以安全地登录设备, 进行文件管理和文件传送等操作, 为数据传输提供了更高的安全保障 同时, 由于设备支持作为客户端的功能, 用户可以从本地设备安全登录到远程设备上, 进行文件的安全传输 2.2 配置 SFTP 服务器 配置准备 已经完成 SSH 服务器的配置, 具体配置步骤请参见 1.2 配置设备作为 SSH 服务器 SSH 用户的服务类型设置为 sftp 或者 all 具体配置步骤请参见 配置 SSH 用户 启动 SFTP 服务器该配置任务用于启动 SFTP 服务, 使客户端能用 SFTP 的方式登录到服务器 表 2-1 启动 SFTP 服务器 操作 命令 说明 进入系统视图 system-view - 启动 SFTP 服务器 sftp server enable 必选缺省情况下,SFTP 服务器处于关闭状态 说明 : 设备作为 SFTP 服务器时, 同时只能有一个用户访问 SFTP 服务器 如果以 WinSCP 作为 SFTP 客户端, 则无法直接编辑服务器上的文件, 需要采用将服务器上的文件下载到本地, 在本地修改后上传到服务器的方式实现对文件的编辑 2-1

42 第 2 章 SFTP 服务 配置 SFTP 用户连接的空闲超时时间当 SFTP 用户连接的空闲时间超过设定的阈值后, 系统会自动断开此用户的连接, 从而有效避免用户长期占用连接而不进行任何操作 表 2-2 配置 SFTP 用户连接的空闲超时时间 操作 命令 说明 进入系统视图 system-view - 设置 SFTP 用户连接的空闲超时时间 sftp server idle-timeout time-out-value 可选 缺省情况下,SFTP 用户连接的空闲超时时间为 10 分钟 2.3 配置 SFTP 客户端 为 SFTP 客户端指定源 IP 地址或源接口用户可以通过以下配置, 使 SFTP 客户端只能使用指定接口的 IP 地址或指定 IP 地址作为源地址建立与 SFTP 服务器的连接, 增加了业务的可管理性 表 2-3 为 SFTP 客户端指定 IP 地址或源接口 操作 命令 说明 进入系统视图 system-view - 为 SFTP 客户端指定源 IP 地址或源接口 为 SFTP 客户端指定源 IPv4 地址或源接口 sftp client source { ip ip-address interface interface-type interface-number } 必选缺省情况下, 客户端用设备路由指定的接口地址访问 SFTP 服务器 建立与 SFTP 服务器的连接该配置任务用来启动 SFTP 客户端程序, 与远程 SFTP 服务器建立连接, 并进入到 SFTP 客户端视图 表 2-4 建立与 SFTP 服务器的连接 操作 命令 说明 与远程 SFTP 服务器建立连接, 并进入 SFTP 客户端视图 与远程 IPv4 SFTP 服务器建立连接, 并进入 SFTP 客户端视图 sftp server [ port-number ] [ identity-key { dsa rsa } prefer-ctos-cipher { 3des aes128 des } prefer-ctos-hmac { md5 md5-96 sha1 sha1-96 } prefer-kex { dh-group-exchange dh-group1 dh-group14 } prefer-stoc-cipher { 3des aes128 des } prefer-stoc-hmac { md5 md5-96 sha1 sha1-96 } ] * 必选其一 请在用户视图下执行此命令 2-2

43 第 2 章 SFTP 服务 SFTP 目录操作 SFTP 目录操作包括 : 改变或显示当前的工作目录 显示指定目录下的文件或目录信息 改变服务器上指定的文件夹的名字 创建或删除目录 表 2-5 SFTP 目录操作 操作 命令 说明 进入 SFTP 客户端视图 改变远程 SFTP 服务器上的工作路径 sftp server [ port-number ] [ identity-key { dsa rsa } prefer-ctos-cipher { 3des aes128 des } prefer-ctos-hmac { md5 md5-96 sha1 sha1-96 } prefer-kex { dh-group-exchange dh-group1 dh-group14 } prefer-stoc-cipher { 3des aes128 des } prefer-stoc-hmac { md5 md5-96 sha1 sha1-96 } ] * cd [ remote-path ] 必选 请在用户视图下执行此命令 可选 返回到上一级目录 cdup 可选 显示远程 SFTP 服务器上的当前工作目录 显示指定目录下的文件列表 改变 SFTP 服务器上指定的目录的名字 在远程 SFTP 服务器上创建新的目录 pwd dir [ -a -l ] [ remote-path ] ls [ -a -l ] [ remote-path ] rename oldname newname mkdir remote-path 可选 可选 dir 和 ls 两条命令的作用相同 可选 可选 删除 SFTP 服务器上指定的目录 rmdir remote-path&<1-10> 可选 SFTP 文件操作 SFTP 文件操作包括 : 改变文件名 下载文件 上传文件 显示文件列表 删除文件 2-3

44 第 2 章 SFTP 服务 表 2-6 SFTP 文件操作 操作命令说明 进入 SFTP 客户端视图 改变 SFTP 服务器上指定的文件或目录的名字 从远程服务器上下载文件并存储在本地 将本地的文件上传到远程 SFTP 服务器 查询指定目录下的文件 删除 SFTP 服务器上指定的文件 sftp server [ port-number ] [ identity-key { dsa rsa } prefer-ctos-cipher { 3des aes128 des } prefer-ctos-hmac { md5 md5-96 sha1 sha1-96 } prefer-kex { dh-group-exchange dh-group1 dh-group14 } prefer-stoc-cipher { 3des aes128 des } prefer-stoc-hmac { md5 md5-96 sha1 sha1-96 } ] * rename old-name new-name get remote-file [ local-file ] put local-file [ remote-file ] dir [ -a -l ] [ remote-path ] ls [ -a -l ] [ remote-path ] delete remote-file&<1-10> remove remote-file&<1-10> 必选 请在用户视图下执行此命令 可选 可选 可选 可选 dir 和 ls 两条命令的作用相同 可选 delete 和 remove 两条命令的功能相同 显示帮助信息 本配置用于显示命令的帮助信息, 如命令格式 参数配置等 表 2-7 显示客户端命令的帮助信息 操作命令说明 进入 SFTP 客户端视图 显示 SFTP 客户端命令的帮助信息 sftp server [ port-number ] [ identity-key { dsa rsa } prefer-ctos-cipher { 3des aes128 des } prefer-ctos-hmac { md5 md5-96 sha1 sha1-96 } prefer-kex { dh-group-exchange dh-group1 dh-group14 } prefer-stoc-cipher { 3des aes128 des } prefer-stoc-hmac { md5 md5-96 sha1 sha1-96 } ] * help [ all command-name ] 必选 请在用户视图下执行此命令 必选 2-4

45 第 2 章 SFTP 服务 终止与远程 SFTP 服务器的连接 表 2-8 终止与远程 SFTP 服务器的连接 操作命令说明 进入 SFTP 客户端视图 终止与远程 SFTP 服务器的连接, 并退回用户视图 sftp server [ port-number ] [ identity-key { dsa rsa } prefer-ctos-cipher { 3des aes128 des } prefer-ctos-hmac { md5 md5-96 sha1 sha1-96 } prefer-kex { dh-group-exchange dh-group1 dh-group14 } prefer-stoc-cipher { 3des aes128 des } prefer-stoc-hmac { md5 md5-96 sha1 sha1-96 } ] * bye exit quit 必选 请在用户视图下执行此命令 必选其一 bye,exit 和 quit 三条命令的功能相同 2.4 设备作为 SFTP 客户端配置举例 1. 组网需求如图 2-1,SecPath A 和 SecPath B 之间建立 SSH 连接,SecPath A 作为 SFTP 客户端登录到 SecPath B, 进行文件管理和文件传送等操作 SSH 用户采用的认证方式为 publickey 认证, 公共密钥算法为 RSA 2. 组网图 图 2-1 设备作为 SFTP 客户端组网图 3. 配置步骤 (1) 配置服务器端 SecPath B # 生成 RSA 及 DSA 密钥对, 并启动 SSH 服务器 <SecPathB> system-view [SecPathB] public-key local create rsa [SecPathB] public-key local create dsa [SecPathB] ssh server enable # 启动 SFTP 服务器 [SecPathB] sftp server enable # 配置接口 GigabitEthernet0/1 的 IP 地址, 客户端将通过该地址连接 SSH 服务器 2-5

46 第 2 章 SFTP 服务 [SecPathB] interface GigabitEthernet 0/1 [SecPathB-GigabitEthernet0/1] ip address [SecPathB-GigabitEthernet0/1] quit # 设置 SSH 客户端登录用户界面的认证方式为 AAA 认证 [SecPathB] user-interface vty 0 4 [SecPathB-ui-vty0-4] authentication-mode scheme # 设置 SecPath B 上远程用户登录协议为 SSH [SecPathB-ui-vty0-4] protocol inbound ssh [SecPathB-ui-vty0-4] quit 说明 : 这时需要先在 SSH 客户端生成 RSA 密钥对, 将生成的 RSA 公钥保存到指定文件中, 并将此公钥文件通过 FTP/TFTP 方式上传到服务器端, 文件名为 pubkey 相关配置请参见客户端的配置 # 从文件 pubkey 中导入远端的公钥 [SecPathB] public-key peer SecPath001 import sshkey pubkey # 设置 SSH 用户 client001 的服务类型为 SFTP, 认证方式为 publickey, 并指定公钥为 SecPath001, 工作目录为 cfa0:/ [SecPathB] ssh user client001 service-type sftp authentication-type publickey assign publickey SecPath001 work-directory cfa0:/ (2) 配置客户端 SecPath A # 配置接口 GigabitEthernet0/1 的 IP 地址 <SecPathA> system-view [SecPathA] interface GigabitEthernet 0/1 [SecPathA-GigabitEthernet0/1] ip address [SecPathA-GigabitEthernet0/1] quit # 生成 RSA 密钥对 [SecPathA] public-key local create rsa # 将生成的 RSA 主机公钥导出到指定文件 pubkey 中 [SecPathA] public-key local export rsa ssh2 pubkey [SecPathA] quit 说明 : 客户端生成密钥对后, 需要将保存的公钥文件通过 FTP/TFTP 方式上传到服务器, 并完成服务器的配置后, 才可继续客户端的配置 2-6

47 第 2 章 SFTP 服务 # 与远程 SFTP 服务器建立连接, 进入 SFTP Client 视图 <SecPathA> sftp identity-key rsa Input Username: client001 Trying Press CTRL+K to abort Connected to The Server is not authenticated. Continue? [Y/N]:y Do you want to save the server public key? [Y/N]:n sftp-client> # 显示服务器的当前目录, 删除文件 z, 并检查此目录是否删除成功 sftp-client> dir -rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg -rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2 -rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new -rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub -rwxrwxrwx 1 noone nogroup 0 Sep 01 08:00 z sftp-client> delete z The following File will be deleted: /z Are you sure to delete it? [Y/N]:y This operation may take a long time.please wait... File successfully Removed sftp-client> dir -rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg -rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2 -rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new -rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub # 新增目录 new1, 并检查新目录是否创建成功 sftp-client> mkdir new1 New directory created sftp-client> dir -rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg -rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2 -rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new -rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub 2-7

48 第 2 章 SFTP 服务 drwxrwxrwx 1 noone nogroup 0 Sep 02 06:30 new1 # 将目录名 new1 更名为 new2, 并查看是否更名成功 sftp-client> rename new1 new2 File successfully renamed sftp-client> dir -rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg -rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2 -rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new -rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub drwxrwxrwx 1 noone nogroup 0 Sep 02 06:33 new2 # 从服务器上下载文件 pubkey2 到本地, 并更名为 public sftp-client> get pubkey2 public Remote file:/pubkey2 ---> Local file: public Downloading file successfully ended # 将本地文件 pu 上传到服务器上, 更名为 puk, 并查看上传是否成功 sftp-client> put pu puk Local file:pu ---> Remote file: /puk Uploading file successfully ended sftp-client> dir -rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg -rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2 -rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new drwxrwxrwx 1 noone nogroup 0 Sep 02 06:33 new2 -rwxrwxrwx 1 noone nogroup 283 Sep 02 06:35 pub -rwxrwxrwx 1 noone nogroup 283 Sep 02 06:36 puk sftp-client> # 退出 SFTP sftp-client> quit Bye Connection closed. <SecPathA> 2-8

49 第 2 章 SFTP 服务 2.5 设备作为 SFTP 服务器配置举例 1. 组网需求如图 2-2,Host 和 SecPath 之间建立 SSH 连接,Host 作为 SFTP 客户端登录到 SecPath, 进行文件管理和文件传送等操作 认证方式为 password, 用户名为 client002, 密码为 aabbcc 2. 组网图 图 2-2 设备作为 SFTP 服务器组网图 3. 配置步骤 (1) 配置 SFTP 服务器 SecPath # 生成 RSA 及 DSA 密钥对, 并启动 SSH 服务器 <SecPath> system-view [SecPath] public-key local create rsa [SecPath] public-key local create dsa [SecPath] ssh server enable # 启动 SFTP 服务器 [SecPath] sftp server enable # 配置接口 GigabitEthernet0/1 的 IP 地址, 客户端将通过该地址连接 SSH 服务器 [SecPath] interface GigabitEthernet 0/1 [SecPath-GigabitEthernet0/1] ip address [SecPath-GigabitEthernet0/1] quit # 设置 SSH 客户端登录用户界面的认证方式为 AAA 认证 [SecPath] user-interface vty 0 4 [SecPath-ui-vty0-4] authentication-mode scheme # 设置 SecPath 上远程用户登录协议为 SSH [SecPath-ui-vty0-4] protocol inbound ssh [SecPath-ui-vty0-4] quit # 创建本地用户 client002, 密码为 aabbcc, 服务类型为 SSH [SecPath] local-user client002 [SecPath-luser-client002] password simple aabbcc [SecPath-luser-client002] service-type ssh 2-9

50 第 2 章 SFTP 服务 [SecPath-luser-client002] quit # 配置 SSH 用户认证方式为 password, 服务类型为 SFTP [SecPath] ssh user client002 service-type sftp authentication-type password (2) 配置 SFTP 客户端 Host 说明 : SFTP 客户端软件有很多, 本文中仅以客户端软件 PuTTY0.58 中的 PSFTP 为例, 说明 SFTP 客户端的配置方法 PSFTP 只支持 password 认证, 不支持 publickey 认证 # 建立与 SFTP 服务器的连接 打开 psftp.exe 程序, 出现如图 2-3 所示的客户端配置界面 输入如下命令 : open 根据提示输入用户名 client002, 密码 aabbcc, 即可登录 SFTP 服务器 图 2-3 SFTP 客户端登录界面 2-10

51 操作手册安全分册 SSL 目录 目录 第 1 章 SSL 配置 SSL 简介 SSL 配置任务简介 配置 SSL 服务器端策略 配置准备 配置 SSL 服务器端策略 SSL 服务器端策略典型配置举例 配置 SSL 客户端策略 配置准备 配置 SSL 客户端策略 SSL 显示和维护 常见配置错误举例 SSL 握手失败 i

52 操作手册安全分册 SSL 第 1 章 SSL 配置 第 1 章 SSL 配置 1.1 SSL 简介 SSL(Secure Sockets Layer, 安全套接层 ) 是一个安全协议, 为基于 TCP 的应用层协议提供安全连接, 如 SSL 可以为 HTTP 协议提供安全连接 SSL 协议广泛应用于电子商务 网上银行等领域, 为网络上数据的传输提供安全性保证 SSL 提供的安全连接可以实现 : 连接的私密性 : 在 SSL 握手阶段生成密钥后, 用对称加密算法对传输数据进行加密 身份认证 : 对服务器和客户端进行基于证书的身份认证, 其中客户端认证是可选的 连接的可靠性 : 消息传输过程中使用基于密钥的 MAC ( Message Authentication Code, 消息验证码 ) 来检验消息的完整性 如图 1-1 所示,SSL 协议本身可以分为两层 : 底层为 SSL 记录协议 (SSL record protocol); 上层为 SSL 握手协议 (SSL handshake protocol) SSL 密码变化协议 (SSL change cipher spec protocol) 和 SSL 警告协议 (SSL alert protocol) 图 1-1 SSL 协议栈 SSL 记录协议 : 主要负责对上层的数据进行分块 压缩 计算并添加 MAC 加密, 最后把记录块传输给对方 SSL 握手协议 : 客户端和服务器通过握手协议建立一个会话 会话包含一组参数, 主要有会话 ID 对方的证书 加密套件( 包括密钥交换算法 数据加密算法和 MAC 算法 ) 压缩算法以及主密钥 SSL 会话可以被多个连接共享, 以减少会话协商开销 SSL 密码变化协议 : 客户端和服务器端通过密码变化协议通知接收方, 随后的报文都将使用新协商的加密套件和密钥进行保护和传输 1-1

53 操作手册安全分册 SSL 第 1 章 SSL 配置 SSL 警告协议 : 用来允许一方向另一方报告告警信息 消息中包含告警的严重 级别和描述 1.2 SSL 配置任务简介 SSL 服务器和客户端需要配置的参数不同, 下面将分别介绍 SSL 服务器端策略和 SSL 客户端策略的配置方法 表 1-1 SSL 配置任务简介 配置任务 说明 详细配置 配置 SSL 服务器端策略 必选 1.3 配置 SSL 客户端策略 可选 配置 SSL 服务器端策略 SSL 服务器端策略是服务器启动时使用的 SSL 参数 只有与应用层协议 ( 如 HTTP 协议 ) 关联后,SSL 服务器端策略才能生效 配置准备在进行 SSL 服务器端策略配置之前, 需要先配置 PKI(Public Key Infrastructure, 公钥基础设施 ) 域 PKI 域配置方法的详细介绍, 请参见 安全分册 中的 PKI 配置 配置 SSL 服务器端策略表 1-2 配置 SSL 服务器端策略操作命令说明进入系统视图 system-view - 创建 SSL 服务器端策略, 并进入 SSL 服务器端策略视图 配置 SSL 服务器端策略所使用的 PKI 域 配置 SSL 服务器端策略支持的加密套件 ssl server-policy policy-name pki-domain domain-name ciphersuite [ rsa_aes_128_cbc_sha rsa_des_cbc_sha rsa_rc4_128_md5 rsa_rc4_128_sha ] * 必选 必选 缺省情况下, 没有配置 SSL 服务器端策略所使用的 PKI 域 可选 缺省情况下,SSL 服务器端策略支持所有的加密套件 1-2

54 操作手册安全分册 SSL 第 1 章 SSL 配置 操作命令说明 配置服务器端 SSL 握手连接保持时间 配置 SSL 连接关闭模式 配置缓存的最大会话数目和会话缓存的超时时间 使能基于证书的 SSL 客户端认证 handshake timeout time close-mode wait session { cachesize size timeout time } * client-verify enable 可选 缺省情况下, 服务器端 SSL 握手连接保持时间是 3600 秒 可选 缺省情况下, 关闭模式为非 wait 模式 可选缺省情况下, 缓存的最大会话数目为 500 个, 会话缓存的超时时间为 3600 秒 可选缺省情况下, 不需要进行基于证书的 SSL 客户端认证 说明 : 如果服务器端需要对客户端进行基于证书的身份验证, 即配置了 client-verify enable 命令, 则必须先为 SSL 客户端申请本地证书 SSL 服务器端策略典型配置举例 1. 组网需求 SecPath 作为 HTTPS 服务器 ; Host 作为 HTTPS 客户端, 通过基于 SSL 的 HTTP 协议访问 HTTPS 服务器 ; CA(Certification Authentication, 认证机构 ) 为 SecPath 颁发证书 注意 : 本配置举例中, 采用 Windows Server 作为 CA, 在 CA 上需要安装 SCEP(Simple Certificate Enrollment Protocol, 简单证书注册协议 ) 插件 1-3

55 操作手册安全分册 SSL 第 1 章 SSL 配置 2. 组网图 SecPath Vlan-int /24 Vlan-int / / /24 Host CA 图 1-2 SSL 服务器端策略组网图 3. 配置步骤 (1) 为 SecPath 申请证书 # 配置 PKI 实体 <Sysname> system-view [Sysname] pki entity en [Sysname-pki-entity-en] common-name http-server1 [Sysname-pki-entity-en] fqdn ssl.security.com [Sysname-pki-entity-en] quit # 配置 PKI 域 [Sysname] pki domain 1 [Sysname-pki-domain-1] ca identifier ca1 [Sysname-pki-domain-1] certificate request url [Sysname-pki-domain-1] certificate request from ra [Sysname-pki-domain-1] certificate request entity en [Sysname-pki-domain-1] quit # 用 RSA 算法生成本地的密钥对 [Sysname] public-key local create rsa # 从 CA 获取服务器证书 [Sysname] pki retrieval-certificate ca domain 1 # 本地证书申请 [Sysname] pki request-certificate domain 1 (2) 配置 SSL 服务器端策略 # 创建一个名为 myssl 的 SSL 服务器端策略 [Sysname] ssl server-policy myssl # 配置 SSL 服务器端策略使用的 PKI 域名为 1 1-4

56 操作手册安全分册 SSL 第 1 章 SSL 配置 [Sysname-ssl-server-policy-myssl] pki-domain 1 # 配置服务器端需要认证客户端 [Sysname-ssl-server-policy-myssl] client-verify enable [Sysname-ssl-server-policy-myssl] quit (3) 配置 HTTPS 服务与 SSL 服务器端策略关联, 并使能 HTTPS 服务 # 配置 HTTPS 服务使用的 SSL 策略为 myssl [Sysname] ip https ssl-server-policy myssl # 使能 HTTPS 服务 [Sysname] ip https enable (4) 验证配置结果在 Host 上打开 IE 浏览器, 输入网址 可以登录 SecPath, 并实现对 SecPath 的控制 说明 : PKI 配置命令的详细介绍请参见 安全分册 中的 PKI 命令 ; public-key local create rsa 命令的详细介绍请参见 安全分册 中的 SSH 命令 ; HTTPS 的详细介绍, 请参见 系统分册 中的 HTTPS 配置 1.4 配置 SSL 客户端策略 SSL 客户端策略是客户端连接 SSL 服务器时使用的参数 只有与应用层协议关联后, SSL 客户端策略才能生效 配置准备 在进行 SSL 客户端策略配置之前, 需要先配置 PKI 域 PKI 域配置方法的详细介绍, 请参见 安全分册 中的 PKI 配置 配置 SSL 客户端策略 表 1-3 配置 SSL 客户端策略 操作命令说明 进入系统视图 system-view - 创建 SSL 客户端策略, 并进入 SSL 客户端策略视图 ssl client-policy policy-name 必选 1-5

57 操作手册安全分册 SSL 第 1 章 SSL 配置 操作命令说明 配置 SSL 客户端策略所使用的 PKI 域 配置 SSL 客户端策略的首选加密套件 配置 SSL 客户端策略使用的 SSL 协议版本 pki-domain domain-name prefer-cipher { rsa_aes_128_cbc_sha rsa_des_cbc_sha rsa_rc4_128_md5 rsa_rc4_128_sha } version { ssl3.0 tls1.0 } 必选 缺省情况下, 没有配置 SSL 客户端策略所使用的 PKI 域 可选 缺省情况下,SSL 客户端策略的首选加密套件为 rsa_rc4_128_md5 可选 缺省情况下,SSL 客户端策略使用的 SSL 协议版本号为 TLS 1.0 说明 : 如果服务器端需要对客户端进行基于证书的身份验证, 则必须先在 SSL 客户端所属的 PKI 域内为 SSL 客户端申请本地证书 1.5 SSL 显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 SSL 的运行情况, 通过查看显示信息验证配置的效果 表 1-4 SSL 显示和维护 操作 命令 显示 SSL 服务器端策略的信息 display ssl server-policy { policy-name all } 显示 SSL 客户端策略的信息 display ssl client-policy { policy-name all } 1.6 常见配置错误举例 SSL 握手失败 1. 故障现象设备作为 SSL 服务器时, 与 SSL 客户端握手失败 2. 故障分析 SSL 握手失败, 可能有以下原因 : SSL 服务器端证书不存在, 或者证书不能被信任 ; 1-6

58 操作手册安全分册 SSL 第 1 章 SSL 配置 如果服务器端配置了必须对客户端证书认证, 但 SSL 客户端的证书不存在或不能被信任 ; SSL 服务器端和客户端支持的加密套件不匹配 3. 故障排除 (1) 使用 debugging ssl 命令查看调试信息 : 如果 SSL 服务器端的证书不存在, 请为 SSL 服务器申请证书 ; 如果服务器端证书不能被信任, 请在 SSL 客户端安装为 SSL 服务器颁发证书的 CA 服务器根证书, 或服务器向 SSL 客户端信任的 CA 服务器重新申请证书 ; 如果服务器端配置了必须对客户端证书认证, 而 SSL 客户端的证书不存在或不能被信任, 请为客户端申请并安装证书 (2) 使用 display ssl server-policy 命令查看 SSL 服务器端策略支持的加密套件 如果 SSL 服务器端和客户端支持的加密套件不匹配, 请用 ciphersuite 命令修改 SSL 服务器支持的加密套件 1-7

59 操作手册安全分册 WEB 过滤 目录 目录 第 1 章 WEB 过滤配置 WEB 过滤简介 URL 网页地址过滤 URL 网页地址过滤对网站 IP 地址的支持 URL 参数过滤 Java 阻断 ActiveX 阻断 过滤规则的保存和恢复 配置 WEB 过滤 配置准备 配置 URL 网页地址过滤 配置 URL 网页地址过滤对网站 IP 地址的支持 配置 URL 参数过滤 配置 Java 阻断 配置 ActiveX 阻断 WEB 过滤显示和维护 WEB 过滤典型配置举例 网页地址过滤典型配置举例 URL 参数过滤典型配置举例 Java 阻断典型配置举例 常见配置错误举例 当前关键字或配置条目达到上限, 添加失败 当前配置的参数中出现不允许的字符 关键字通配符非法使用 阻断后缀配置非法 ACL 配置错误 网页地址过滤功能不起作用 无法访问主机 IP 地址 i

60 操作手册安全分册 WEB 过滤 第 1 章 WEB 过滤配置 第 1 章 WEB 过滤配置 1.1 WEB 过滤简介 在传统的网络安全方案中, 对网络攻击的防范主要针对于来自外部的各种攻击 随着网络在各行各业的普及, 来自局域网内部的攻击也越来越多, 这就要求网络设备能够应对构建安全内部网络的需求, 增加内部网络安全特性 目前设备所支持的 WEB 过滤功能, 可以阻止内部用户访问非法的网址, 以及对网页内的 Java 或 ActiveX 程序进行阻断 WEB 过滤功能实现了以下功能 : 网页地址过滤 URL 参数过滤 Java 阻断 ActiveX 阻断 配置信息的保存和恢复下面将对以上五个功能分别进行介绍 URL 网页地址过滤 1. 特性介绍使用 URL 网页地址过滤可以阻止内部用户访问非法和不健康的网页, 或者只允许用户访问某些特定的网页 当收到 HTTP 请求报文时, 设备会检测报文中的 URL 网页地址 如果该地址是配置为允许通过的, 那么该 WEB 请求可以通过 ; 如果该网页地址是配置为不允许通过的, 那么该 WEB 请求将被拒绝, 同时向发送 WEB 请求的客户端和服务器端发送 TCP reset 报文 使能 URL 网页地址过滤功能以后, 还应当指定 URL 网页地址过滤的默认行为 缺省情况下,URL 网页地址过滤的默认行为是 deny, 即当 WEB 请求中 URL 网页地址与设备配置的过滤网址条目均不符合的情况下, 将按照 URL 网页地址过滤的默认行为操作, 拒绝该 WEB 请求通过 2. 处理过程 (1) 设备接收到 HTTP 请求报文, 并从 HTTP 请求报文中获取 URL 网页地址 1-1

61 操作手册安全分册 WEB 过滤 第 1 章 WEB 过滤配置 (2) 用设备中已配置的网页地址过滤条目与 HTTP 请求报文中的网页地址进行匹配过滤 如果匹配成功, 则执行相应的允许或拒绝操作 ; 如果匹配不成功, 则按照 URL 网页地址过滤的默认行为操作 URL 网页地址过滤对网站 IP 地址的支持 1. 特性介绍 URL 网页地址过滤功能启动以后, 系统将默认拒绝所有直接以网站 IP 地址访问网站的 WEB 请求 如果希望能够直接以网站 IP 地址访问所有网站, 必须将 URL 网页地址过滤对网站 IP 地址的支持配置为 permit, 则所有以网站 IP 地址访问网站的 WEB 请求允许通过 如果希望部分网站可以通过网站 IP 地址直接访问, 必须将 URL 网页地址过滤对网站 IP 地址的支持配置为 deny, 并配置 ACL 规则允许部分 IP 地址形式的网站 WEB 请求通过 当设备接收到以这部分网站 IP 地址直接访问网站的 WEB 请求时, 允许通过 2. 处理过程设备接收到以 IP 地址访问网站的请求报文时, 做如下处理 : 如果 URL 网页地址过滤对 IP 地址的支持功能配置为 permit, 允许报文通过 如果 URL 网页地址过滤对 IP 地址的支持功能配置为 deny, 则检查 ACL 规则 ACL 允许通过, 则报文通过, 否则将拒绝该请求 URL 参数过滤 1. 特性介绍目前网页一般都是动态的, 与数据库相连的, 通过 WEB 请求去数据库中查询或修改所需的数据 这使得不法分子可以通过在 WEB 网页中构造特殊的 SQL 语句窃取数据库中机密数据, 或不断修改数据库的信息导致数据库瘫痪 这种攻击方式被称为 SQL 注入攻击 为此, 用 SQL 语句中的关键字以及其它可能产生 SQL 语句的字符与 HTTP 请求报文进行匹配 如果匹配成功, 则认为是 SQL 注入攻击, 禁止其通过, 这种过滤方式称为 URL 参数过滤 WEB 传输参数的方式有很多种, 其中最常用的是 get post 方式 参数传输的方式决定了参数所在的位置, 根据参数所在的位置获取参数, 然后进行匹配过滤 目前, 设备支持 WEB 参数过滤的传输方式为 get post 和 put 方式 SQL 注入攻击一般基于英文 URL 进行, 因此该特性不支持中文 URL 参数过滤 1-2

62 操作手册安全分册 WEB 过滤 第 1 章 WEB 过滤配置 2. 处理过程设备收到包含 URL 参数的 HTTP 请求报文, 根据 WEB 传输参数方式, 从报文中获取 URL 参数 非 get post put 方式的 HTTP 请求报文不做处理, 直接通过 如果是 get post put 方式的 HTTP 请求报文, 则将其 URL 参数与设备上已配置的过滤参数条目进行匹配过滤, 如果匹配成功, 则拒绝该请求, 否则允许报文通过 Java 阻断 1. 特性介绍通过对不可信站点的 Java 阻断功能, 可以保护网络不受有害的 Java Applets 的破坏 Java 阻断功能启动后, 所有对 WEB 页面中的 Java Applet 程序的请求将被过滤掉 如果用户仍然希望能够获取部分 WEB 页面的 Java Applet 程序, 必须配置 ACL 规则, 如果 ACL 规则允许访问, 则用户对该 WEB 页面的 Java Applet 程序的请求可以通过 2. 处理过程 使能 Java Applet 阻断功能后, 如果没有配置 ACL 规则, 则将 HTTP 请求报文中的.class.jar 等文件名后缀替换为.block, 并允许该请求报文通过 ; 使能 Java Applet 阻断功能后, 如果配置有 ACL 规则, 则根据 ACL 过滤规则来决定 HTTP 请求报文中的.class.jar 是否用.block 替代 如果 ACL 允许访问该服务器, 则不做替代, 报文正常通过 ; 否则将后缀替换为.block, 然后允许该请求报文通过 ; Java 阻断过滤后缀可通过命令行配置, 不是以.class jar 为后缀的 Java 请求将被过滤掉 ActiveX 阻断 1. 特性介绍通过对不可信站点的 ActiveX 阻断功能, 可以保护网络不受有害的 ActiveX 插件的破坏 ActiveX 阻断功能启动后, 所有对 WEB 页面中的 ActiveX 插件的请求将被过滤掉 如果用户仍然希望能够获取部分 WEB 页面的 ActiveX 插件, 必须配置 ACL 规则, 如果 ACL 规则允许访问, 则用户可以获取该 WEB 页面的 ActiveX 插件 1-3

63 操作手册安全分册 WEB 过滤 第 1 章 WEB 过滤配置 2. 处理过程 使能 ActiveX 阻断功能后, 如果没有配置 ACL 规则, 则将 HTTP 请求报文中的文件名后缀.ocx 替换为.block, 然后允许该报文通过 ; 使能 ActiveX 阻断功能后, 如果配置有 ACL 规则, 则根据 ACL 过滤规则来决定 HTTP 请求报文中的.ocx 是否用.block 替代 如果 ACL 允许访问该服务器, 则不做替代, 报文正常通过 ; 否则将后缀替换为.block, 然后允许该请求报文通过 ; ActiveX 阻断过滤后缀可通过命令行配置, 不是以.ocx 为后缀的 ActiveX 请求将被过滤掉 过滤规则的保存和恢复 1. 过滤规则的保存系统提供保存过滤规则的功能, 可以把用户配置的过滤规则保存在指定的文件里, 该功能仅对网页地址过滤 URL 参数过滤有效 2. 过滤规则的装载系统为用户提供装载过滤规则的功能, 可以在设备启动后将用户指定的过滤规则自动装载到设备上 该功能的配置仅在设备重启后生效, 并只对网页地址过滤 URL 参数过滤有效 另外也提供了取消装载过滤规则的命令行, 用户可以取消装载已指定的过滤规则 注意 : 建议用户不要修改装载文件, 否则可能造成自动装载功能的失败 装载文件的修改建议通过重新装载新规则实现 由于文件系统不支持热插拔, 因此主控板上保存的条目文件并不会在备板插入时同步过来 1.2 配置 WEB 过滤 只有在 URL 网页地址过滤功能使能以后, 才能配置对网站 IP 地址的支持功能和 URL 参数过滤功能 对不可信站点的 Java Applet 阻断功能以及 ActiveX 阻断功能均可以单独启用 配置准备 需要配置 NAT 或 ASPF 特性,WEB 过滤功能才能生效 1-4

64 操作手册安全分册 WEB 过滤 第 1 章 WEB 过滤配置 说明 : NAT 和 ASPF 的相关配置请分别参考 安全分册 中的 NAT 配置 和 防火墙配 置 配置 URL 网页地址过滤 表 1-1 配置 URL 网页地址过滤 操作命令说明 进入系统视图 system-view - 使能 URL 网页地址过滤功能 配置默认过滤行为 添加网页过滤地址 保存网页地址过滤条目 装载网页地址过滤文件 显示网页地址过滤信息 firewall http url-filter host enable firewall http url-filter host default { deny permit } firewall http url-filter host url-address { deny permit } url-address firewall http url-filter host save file-name firewall http url-filter host load file-name display firewall http url-filter host [ all item keywords verbose ] 必选 缺省情况下,URL 网页地址过滤功能处于关闭状态 可选 缺省情况下, 默认的过滤行为为 deny 必选 可选 可选 可选 配置 URL 网页地址过滤对网站 IP 地址的支持 表 1-2 配置网页地址过滤对网站 IP 地址的支持 操作命令说明 进入系统视图 system-view - 使能网页地址过滤功能 配置网页地址过滤对网站 IP 地址的支持 设置网页地址过滤的 ACL 规则 firewall http url-filter host enable firewall http url-filter host ip-address { deny permit } firewall http url-filter host acl acl-number 必选 缺省情况下, 网页地址过滤功能处于关闭状态 可选缺省情况下, 网页地址过滤不支持网站 IP 地址 可选缺省情况下, 未设置网页地址过滤的 ACL 规则 1-5

65 操作手册安全分册 WEB 过滤 第 1 章 WEB 过滤配置 操作命令说明 显示网页地址过滤信息 display firewall http url-filter host [ all item keywords verbose ] 可选 说明 : 网页地址过滤的 ACL 规则所定义的源地址必须配置为相应网站的 IP 地址 URL 网页地址过滤功能启动以后, 系统将默认拒绝所有直接以网站 IP 地址访问网站的 WEB 请求 如果希望以 WEB 方式登录设备进行管理和维护, 需要配置 ACL 规则允许被管理设备 IP 地址形式的 WEB 请求通过 配置 URL 参数过滤 表 1-3 配置 URL 参数过滤 操作命令说明 进入系统视图 system-view - 使能 URL 参数过滤功能添加 URL 参数过滤条目保存 URL 参数过滤条目装载 URL 参数过滤文件显示 URL 参数过滤信息 firewall http url-filter parameter enable firewall http url-filter parameter { default keywords keywords } firewall http url-filter parameter save file-name firewall http url-filter parameter load file-name display firewall http url-filter parameter [ all item keywords verbose ] 必选 缺省情况下,URL 参数过滤功能处于关闭状态 必选 可选 可选 可选 配置 Java 阻断 表 1-4 配置 Java 阻断 操作命令说明 进入系统视图 system-view - 使能 Java 阻断功能 添加 Java 阻断后缀关键字 firewall http java-blocking enable firewall http java-blocking suffix keywords 必选 缺省情况下,Java 阻断功能处于关闭状态 可选 1-6

66 操作手册安全分册 WEB 过滤 第 1 章 WEB 过滤配置 操作命令说明 设置 Java 阻断的 ACL 规则 显示 Java 阻断信息 firewall http java-blocking acl acl-number display firewall http java-blocking [ all item keywords verbose ] 可选 缺省情况下, 未设置 Java 阻断的 ACL 规则 可选 说明 : Java 阻断的 ACL 规则所定义的源地址必须配置为相应网站的 IP 地址 配置 ActiveX 阻断 表 1-5 配置 ActiveX 阻断 操作 命令 说明 进入系统视图 system-view - 使能 ActiveX 阻断功能 添加 ActiveX 阻断后缀关键字 设置 ActiveX 阻断的 ACL 规则 显示 ActiveX 阻断信息 firewall http activex-blocking enable firewall http activex-blocking suffix keywords firewall http activex-blocking acl acl-number display firewall http activex-blocking [ all item keywords verbose ] 必选 缺省情况下,ActiveX 阻断功能处于关闭状态 可选 可选 缺省情况下, 未设置 Java 阻断的 ACL 规则 可选 说明 : ActiveX 阻断的 ACL 规则所定义的源地址必须配置为相应网站的 IP 地址 1.3 WEB 过滤显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 WEB 过滤的运行情况, 通过查看显示信息验证配置的效果 在用户视图下执行 reset 命令可以清除 WEB 过滤统计信息 1-7