本章节
2013-3-30
华赛机密,未经许可不得扩散 第1页, 共74页
文档名称 文档密级
目 录
8 配置IPSec
8.1 简介
8.1.1 IPSec概述
8.1.2 基于证书认证机制的IPSec 8.2 配置Manual方式协商的IPSec隧道 8.2.1 建立配置任务
8.2.2 创建需要保护的数据流 8.2.3 配置IPSec安全提议 8.2.4 配置IPSec安全策略 8.2.5 引用IPSec安全策略 8.2.6 检查配置结果
8.3 配置IKE方式协商的IPSec隧道 8.3.1 建立配置任务
8.3.2 创建需要保护的数据流 8.3.3 配置IPSec安全提议 8.3.4 配置IKE安全提议 8.3.5 配置IKE Peer
8.3.6 配置IPSec安全策略模板 8.3.7 配置IPSec安全策略 8.3.8 引用IPSec安全策略 8.3.9 检查配置结果 8.4 配置证书申请 8.4.1 建立配置任务 8.4.2 配置实体名称 8.4.3 创建本地公私密钥对 8.4.4 配置证书申请受理机构 8.4.5 获取CA证书
2013-3-30
华赛机密,未经许可不得扩散
第2页, 共74页
文档名称 文档密级
8.4.6 申请本地证书 8.4.7 (可选)获取CRL 8.4.8 检查配置结果 8.5 配置证书验证功能 8.5.1 建立配置任务 8.5.2 配置CRL更新周期 8.5.3 配置是否检查CRL 8.5.4 配置证书验证 8.5.5 检查配置结果 8.6 维护
8.6.1 查看IPSec处理报文的统计信息 8.6.2 调试IPSec 8.6.3 调试IKE 8.6.4 删除IKE SA 8.6.5 删除SA
8.6.6 清除IPSec统计报文 8.6.7 维护低速加密卡 8.6.8 维护CA 8.7 配置举例
8.7.1 配置采用Manual方式建立SA示例
8.7.2 配置采用IKE方式建立SA示例(预共享密钥) 8.7.3 配置采用IKE方式建立SA示例(RSA签名) 8.7.4 配置使用SCEP方式申请证书示例
2013-3-30
华赛机密,未经许可不得扩散 第3页, 共74页
文档名称 文档密级
插图目录
图8-1 采用Manual方式建立SA配置示例组网图
图8-2 采用IKE方式建立SA配置示例组网图(预共享密钥) 图8-3 采用IKE方式建立SA配置示例组网图(RSA签名) 图8-4 使用SCEP方式申请证书配置示例组网图
8 配置IPSec
关于本章
本章描述内容如下表所示。 标题 8.1 简介 8.2 配置Manual方式协商的IPSec隧道 内容 介绍IPSec协议和证书认证机制。 介绍采用Manual方式协商的IPSec隧道的配置方法。 配置举例:配置采用Manual方式建立SA示例 2013-3-30
华赛机密,未经许可不得扩散 第4页, 共74页
文档名称 文档密级
标题 内容 8.3 配置IKE方式协商的介绍采用IKE方式协商的IPSec隧道的配置方IPSec隧道 法。 配置举例1:配置采用IKE方式建立SA示例(预共享密钥) 配置举例2:配置采用IKE方式建立SA示例(RSA签名) 8.4 配置证书申请 介绍申请CA证书、本地证书和CRL的方法。 配置举例:配置使用SCEP方式申请证书示例 8.5 配置证书验证功能 8.6 维护 8.7 配置举例 介绍验证证书有效性的方法。 介绍IPSec的维护方法。 介绍IPSec的组网举例及配置方法。 2013-3-30
华赛机密,未经许可不得扩散 第5页, 共74页
文档名称 文档密级
8.1 简介 8.1.1 IPSec概述
IPSec(IP Security)协议族是IETF制定的一系列协议,它为IP报文提供了基于密码学的、可互操作的、高质量的安全保护机制。特定的通信双方在IP层通过加密与数据源验证等方式,保证报文在网络中传输时的私有性、完整性、真实性,并有效防御重放攻击。
IPSec对报文的保护通过AH(Authentication Header)和ESP(Encapsulating Security Payload)两种安全协议实现。各协议的功能简单介绍如下:
l AH协议主要提供的功能有数据源验证、数据完整
性校验和防御报文重放攻击,但不能对需要保护的报文进行加密。 l ESP协议除提供AH协议的所有功能外,还可提供
对IP报文的加密功能。与AH协议不同的是,其数据完整性校验不包括IP报文头。
ESP协议允许对报文同时进行加密和验证,或只加密,或只验证。
为简化IPSec的使用和管理,除了可以手动建立安全联盟SA(Security Association)外,还可以通过IKE(Internet Key Exchange)进行自动协商交换密钥、建立和维护SA。IKE协议用于自动协商AH和ESP所使用的密码算法,并将算法所需的必备密钥放到恰当位置。
USG3000通过IPSec加密卡进行安全联盟协商。
8.1.2 基于证书认证机制的IPSec
USG3000提供基于公钥基础设施PKI(Public Key
Infrastructure)框架的证书认证机制,支持证书的申请、存储和验证,但不提供生成证书功能。
PKI是通过使用公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。它是一套软硬件系统和安全策略的集合,提供了一整套安全机制。PKI采用证书进行公钥管理,通过第三方的可信任机构,把用户的公钥和用户的其他标识信息捆绑在一起,实现在网上验证用户身份功能。 PKI为用户建立起一个安全的网络运行环境,用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的
2013-3-30
华赛机密,未经许可不得扩散
第6页, 共74页
文档名称 文档密级
机密性、完整性、有效性。数据的机密性是指数据在传输过程中,不能被非授权者查看;数据的完整性是指数据在传输过程中不能被非法篡改;数据的有效性是指数据不能被否认。
不采用证书机制的IPSec情况下,进行网络扩容时,每新增一台设备,都需要修改其余设备的配置。操作繁琐,且易出错。 证书机制可以为IPSec网络提供集中的密钥管理机制,并增强整个IPSec网络的伸缩性。在采用证书机制的IPSec网络中,每台设备都拥有CA(Certification Authority)颁发的证书,当设备之间进行通讯时,只要通过交换证书就可以确认对方的身份(因为所有的设备都信任CA,所以对CA颁发的证书都信任),并获得对方的公钥(从对方的证书中获取)。这样当有新设备加入时,只需要为新增加的设备申请一个证书,就可以与其他设备进行通讯,而不需要修改其他设备的配置。 在实际应用中,证书分为两种: l CA证书
是颁发机构本身的证书,用于验证CA颁发的本地证书和CRL(Certificate Revocation List)的有效性。 l 本地证书
由CA颁发,在IPSec设备通信时使用。证书绑定了名字和本地公钥,如同网络身份证。
在获取本地证书前,需要首先获取CA证书。
8.2 配置Manual方式协商的IPSec隧道 8.2.1 建立配置任务 应用环境
考虑到安全性,数据流往往需要认证。在一些安全性要求较高的场合,数据流可能既需要认证又需要加密,此时需要在IPSec服务发起端和终结端的USG3000设备上配置IPSec功能。 当与USG3000进行通信的对等体设备数量较少时,或是在小型静态环境中,可以选择Manual方式协商IPSec隧道。
前置任务
在配置IPSec前,需要完成以下任务: l 配置USG3000的工作模式
2013-3-30
华赛机密,未经许可不得扩散
第7页, 共74页
文档名称 文档密级
l 配置接口的IP地址 l 配置接口加入安全区域
只有USG3000工作模式为路由模式才可以配置IPSec。
数据准备
在配置IPSec前,需要准备以下数据。 序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
2013-3-30
华赛机密,未经许可不得扩散
第8页, 共74页
数据 高级ACL的相关参数 安全提议的名称 使用的安全协议 AH协议的验证算法 ESP协议的验证算法 ESP协议的加密算法 报文的封装形式 安全策略的名称和顺序号 SA的建立方式 隧道本端的IP地址(仅用于手工协商方式) 隧道对端的IP地址 AH协议入方向和出方向的SPI(Security Parameters Index) ESP协议入方向和出方向的SPI AH协议入方向和出方向的验证密钥(以字符串方式输入) ESP协议入方向和出方向的验证密钥(以字符串形式输入) AH协议入方向和出方向的验证密钥(以16进制方式输入) ESP协议入方向和出方向的验证密钥(以16进制方式输入) ESP协议入方向和出方向的加密密钥(以16进制方式输入) 接口类型和接口编号 文档名称 文档密级
配置过程
要完成IPSec的配置,需要按照以下过程配置。 序号 1 2 3 4 5
8.2.2 创建需要保护的数据流
IPSec能够对不同的数据流进行安全保护。在实际应用中,需要首先通过ACL定义数据流,再在安全策略中引用该ACL,从而起到保护该数据流的作用。
步骤 1 执行命令system-view,进入
系统视图。 步骤 2 执行命令acl [ number ]
acl-number [ match-order { config | auto } ],创建高级ACL,并进入相应视图。 步骤 3 执行命令rule [ rule-id ]
{ permit | deny } protocol [ source { source-address source-wildcard | address-set address-set-name | any } | destination { destination-address destination-wildcard | address-set address-set-name | any } | source-port { operator port | range port1 port2 | port-set
port-set-name } | destination-port { operator port | range port1 port2 | port-set port-set-name } | icmp-type { icmp-type icmp-code | icmp-message } | precedence precedence | tos tos | time-range time-name | logging ] *,配置ACL规则。
----结束 配置时请注意:
l 需要精确配置ACL。
2013-3-30
华赛机密,未经许可不得扩散
第9页, 共74页
过程 创建需要保护的数据流 配置IPSec安全提议 配置IPSec安全策略 引用IPSec安全策略 检查配置结果 文档名称 文档密级
− 建议只对确实需要IPSec保护的数据流进行保护,即在配置ACL规则时,严格配置需要保护的数据流的动作关键字为permit。 − 建议避免盲目使用关键字any,否则,数据流定义范围过大,会对不需要加密的普通数据流也进行加密。当被加密的数据流到达没有配置IPSec的网关设备时,会因网关无法识别加密数据而被丢弃。 l 对于有不同安全保护要求的数据流,需要创建不同
的ACL和相应的安全策略。 l 隧道两端的设备,ACL需要镜像配置。
8.2.3 配置IPSec安全提议
隧道两端的设备,安全协议、验证算法、加密算法、报文封装格式需要配置相同,否则不能成功建立SA。
IPSec安全提议(Proposal)用于指定IPSec所采取的一系列措施,包含对需要保护的数据流采用的安全协议、加密和验证算法以及报文封装形式。
步骤 1 执行命令system-view,进入
系统视图。 步骤 2 执行命令ipsec proposal
proposal-name,创建安全提议并进入安全提议视图。
USG3000最多支持50个安全提议。
步骤 3 执行命令transform { ah |
ah-esp | esp },选择安全协议。 步骤 4 根据transform命令配置的安
全协议,配置验证算法和加密算法。
l 如果transform命令配置为ah或ah-esp,则配置
AH协议采用的验证算法,执行命令ah
authentication-algorithm { md5 | sha1 }。 l 如果transform命令配置为esp或ah-esp,则配
置ESP协议采用的验证和加密算法。
− 执行命令esp authentication-algorithm { md5 | sha1 },配置ESP验证算法。
2013-3-30
华赛机密,未经许可不得扩散
第10页, 共74页
文档名称 文档密级
− 执行命令esp encryption-algorithm { 3des | des | aes [ 128 | 192 | 256 ] },配置ESP加密算法。
步骤 5 执行命令
encapsulation-mode tunnel,指定报文封装形式。
----结束
8.2.4 配置IPSec安全策略
隧道两端的设备,SA参数SPI、string-key、authentication-hex和encryption-hex需要镜像配置,否则不能正确建立隧道。
IPSec安全策略规定了对什么样的数据流采用什么样的安全提议。
步骤 1 执行命令system-view,进入
系统视图。 步骤 2 执行命令ipsec policy
policy-name seq-number manual,创建安全策略。
一个安全策略组最多支持配置512条安全策略,所有安全策略的总数也不能超过512。
用户购买了支持多少条隧道数的License,就支持创建多少条隧道,也就是如果创建了超出License限制数目的安全策略是不起作用的。
步骤 3 执行命令proposal
proposal-name,在安全策略中引用安全提议。 步骤 4 执行命令security acl
acl-number,在安全策略中引用访问控制列表。
一条安全策略只能引用一条ACL。如果配置安全策略引用了多条ACL,最后配置的ACL生效。
步骤 5 执行命令tunnel local
ip-address,配置隧道的起点。
tunnel local命令中的IP地址只能是应用IPSec的接口地址。
步骤 6 执行命令tunnel remote ip-address,配置隧道的终点。
2013-3-30
华赛机密,未经许可不得扩散
第11页, 共74页
文档名称 文档密级
l 在配置SA时,需要分别设置inbound和outbound两个方向的SA的参数。 l 只需配置IPSec安全提议使用的协议的相应配置。如:配置IPSec安全提议时使用transform ah选择了ah安全协议,则配置SA参数时只需配ah一套参数,不需配esp的参数。 l sa spi命令需要与sa string-key或sa
authentication-hex或sa encryption-hex共同使用,才能成功创建手工IPSec隧道。 l 先配置sa string-key命令后,则无法再配置sa
authentication-hex或sa encryption-hex命令,后配置的会覆盖sa string-key命令的配置;相反,先配置sa authentication-hex或sa encryption-hex再配置sa string-key,前面两条命令的配置都会被sa string-key命令的配置覆盖。 l sa authentication-hex和sa encryption-hex两条命令的配置相互没有影响。
步骤 7 执行命令sa spi inbound ah
spi-number,配置采用AH协议的入方向SA的SPI。 步骤 8 执行命令sa spi outbound ah
spi-number,配置采用AH协议的出方向SA的SPI。 步骤 9 执行命令sa spi inbound esp
spi-number,配置采用ESP协议的入方向SA的SPI。 步骤 10 执行命令sa spi outbound esp
spi-number,配置采用ESP协议的出方向SA的SPI。
l 如果分别以两种方式输入了密钥,则最后设定的密钥有效。 l 在安全隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则不能正确地建立安全隧道。
步骤 11 执行命令sa string-key
inbound ah string-key,配置采用AH协议的入方向SA的验证密钥(以字符串方式输入)。
2013-3-30
华赛机密,未经许可不得扩散
第12页, 共74页
文档名称 文档密级
步骤 12 执行命令sa string-key
outbound ah string-key,配置采用AH协议的出方向SA的验证密钥(以字符串方式输入)。 步骤 13 执行命令sa string-key
inbound esp string-key,配置采用ESP协议的入方向SA的验证密钥(以字符串方式输入)。 步骤 14 执行命令sa string-key
outbound esp string-key,配置采用ESP协议的出方向SA的验证密钥(以字符串方式输入)。 步骤 15 执行命令sa
authentication-hex inbound ah hex-key,配置采用AH协议的入方向SA的验证密钥(以16进制方式输入)。 步骤 16 执行命令sa
authentication-hex outbound ah hex-key,配置采用AH协议的出方向SA的验证密钥(以16进制方式输入)。 步骤 17 执行命令sa
authentication-hex inbound esp hex-key,配置采用ESP协议的入方向SA的验证密钥(以16进制方式输入)。 步骤 18 执行命令sa
authentication-hex outbound esp hex-key,配置采用ESP协议的出方向SA的验证密钥(以16进制方式输入)。 步骤 19 执行命令sa encryption-hex
inbound esp hex-key,配置采用ESP协议的入方向SA的加密密钥(以16进制方式输入)。 步骤 20 执行命令sa encryption-hex
outbound esp hex-key,配置采用ESP协议的出方向SA的加密密钥(以16进制方式输入)。
----结束
8.2.5 引用IPSec安全策略
在指定接口上引用IPSec安全策略,从而对经过此接口且符合ACL的报文应用IPSec保护。
步骤 1 执行命令system-view,进入
系统视图。 步骤 2 执行命令interface
interface-type interface-number,进入接口视图。
2013-3-30
华赛机密,未经许可不得扩散
第13页, 共74页
文档名称 文档密级
步骤 3 执行命令undo ip
fast-forwarding qff,关闭接口的快速转发功能。 步骤 4 执行命令ipsec policy
policy-name,在接口上应用安全策略。
----结束
一个接口只能应用一个安全策略组,一个安全策略组可以应用到多个接口上。但Manual方式配置的安全策略只能应用到一个接口。如果所应用的安全策略是Manual方式建立SA,会立即生成SA。如果所应用的安全策略是IKE方式建立SA,需要经过IKE协商才会生成SA。
USG3000实现的IPSec安全策略除可以应用到串口、以太网口等实际物理接口外,还能应用到Tunnel、Virtual Template、Dialer等虚拟接口。此时即可根据实际组网需求,在如L2TP等隧道上应用IPSec。
8.2.6 检查配置结果
可以在所有视图下执行以下命令检查配置结果。 操作 查看SA的相关信息 命令 display ipsec sa [ brief | remote ip-address | policy policy-name [ seq-number ] | duration ] display ipsec proposal [ name proposal-name ] display ipsec policy [ brief | name policy-name [ seq-number ] ] 查看安全提议的信息 查看安全策略的信息
8.3 配置IKE方式协商的IPSec隧道 8.3.1 建立配置任务 应用环境
考虑到安全性,数据流往往需要认证。在一些安全性要求较高的场合,数据流可能既需要认证又需要加密,此时需要在IPSec服务发起端和终结端的USG3000设备上配置IPSec功能。
2013-3-30
华赛机密,未经许可不得扩散
第14页, 共74页
文档名称 文档密级
对于中、大型的动态网络环境,推荐使用IKE方式协商IPSec隧道。
IKE协商支持预共享密钥(pre-share)、RSA签名(rsa-sig)和RSA加密NONCE(rsa-encr)3种身份验证方式。
其中,RSA签名方式需要预先申请证书,申请过程请参见“8.4 配置证书申请”。
前置任务
在配置IPSec前,需要完成以下任务: l 配置USG3000的工作模式 l 配置接口的IP地址 l 配置接口加入安全区域
l 配置需要协商的两台USG3000获取CA证书、本地
证书和CRL(RSA签名方式)
l 只有USG3000工作模式为路由模式才可以配置IPSec。 l 使用证书的验证要求所有证书和CRL都已经导入到内存。并且都使用同一个CA中心。 l 需要协商的两台USG3000之间通信正常。
数据准备
在配置IPSec前,需要准备以下数据。 序号 1 2 3 4 5 6 7 8 9 2013-3-30
数据 高级ACL的相关参数 安全提议的名称 使用的安全协议 AH协议的验证算法 ESP协议的验证算法 ESP协议的加密算法 报文的封装形式 安全策略的名称和顺序号 SA的建立方式 华赛机密,未经许可不得扩散
第15页, 共74页
文档名称 文档密级
序号 10 11 12
配置过程
数据 隧道对端的IP地址 接口类型和接口编号 CA证书、本地证书和CRL(RSA签名方式) 要完成IPSec的配置,需要按照以下过程配置。 序号 1 2 3 4 5 6 7 8
8.3.2 创建需要保护的数据流
IPSec能够对不同的数据流进行安全保护。在实际应用中,需要首先通过ACL定义数据流,再在安全策略中引用该ACL,从而起到保护该数据流的作用。
步骤 1 执行命令system-view,进入
系统视图。 步骤 2 执行命令acl [ number ]
acl-number [ match-order { config | auto } ],创建高级ACL,并进入相应视图。 步骤 3 执行命令rule [ rule-id ]
{ permit | deny } protocol [ source { source-address source-wildcard | address-set address-set-name | any } | destination { destination-address destination-wildcard |
2013-3-30
华赛机密,未经许可不得扩散
第16页, 共74页
过程 创建需要保护的数据流 配置IPSec安全提议 配置IKE安全提议 配置IKE Peer 配置IPSec安全策略模板 配置IPSec安全策略 引用IPSec安全策略 检查配置结果 文档名称 文档密级
address-set address-set-name | any } | source-port { operator port | range port1 port2 | port-set
port-set-name } | destination-port { operator port | range port1 port2 | port-set port-set-name } | icmp-type { icmp-type icmp-code | icmp-message } | precedence precedence | tos tos | time-range time-name | logging ] *,配置ACL规则。 ----结束
8.3.3 配置IPSec安全提议
IPSec安全提议(Proposal)用于指定IPSec所采取的一系列措施,包含对需要保护的数据流采用的安全协议、加密和验证算法以及报文封装形式。
步骤 1 执行命令system-view,进入
系统视图。 步骤 2 执行命令ipsec proposal
proposal-name,创建安全提议并进入安全提议视图。 步骤 3 执行命令transform { ah |
ah-esp | esp },选择安全协议。
在配置NAT穿越和Kerberos应用的情况下,必须选择ESP协议。
步骤 4 根据transform命令配置的安
全协议,配置验证算法和加密算法。
l 如果transform命令配置为ah或ah-esp,则配置
AH协议采用的验证算法,执行命令ah
authentication-algorithm { md5 | sha1 }。 l 如果transform命令配置为esp或ah-esp,则配
置ESP协议采用的验证和加密算法。
− 执行命令esp authentication-algorithm { md5 | sha1 },配置ESP验证算法。 − 执行命令esp encryption-algorithm { 3des | des | aes [ 128 | 192 | 256 ] },配置ESP加密算法。
步骤 5 执行命令
encapsulation-mode { transport | tunnel },选择报文封装形式。
2013-3-30
华赛机密,未经许可不得扩散
第17页, 共74页
文档名称 文档密级
只有在配置Kerberos应用的情况下需要选择传输模式transport,其他情况下都选择隧道模式tunnel。
----结束
8.3.4 配置IKE安全提议
IKE安全提议用来协商建立安全通道,协商参数包括验证方式、加密算法、验证算法、Diffie-Hellman组标识和SA生存周期。
步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令ike proposal
proposal-number,创建IKE安全提议并进入IKE安全提议视图。
可以按照优先级创建多条IKE提议,但是协商双方必须至少有一条匹配的IKE提议才能协商成功。
步骤 3 执行命令
encryption-algorithm { des-cbc | 3des-cbc | aes-cbc },选择加密算法。 步骤 4 执行命令
authentication-method { pre-share| rsa-encr | rsa-sig },配置身份验证方式。
l pre-share方式:需要为对端配置预共享密钥。建
立安全连接的两端的预共享密钥必须一致。 l rsa-encr方式:需要配置每个对端的RSA公钥。 l rsa-sig方式:需要配置本地证书。
步骤 5 执行命令
authentication-algorithm { md5 | sha1 },选择验证算法。 步骤 6 执行命令dh { group1 | group2 | group5 },选择Diffie-Hellman组标识。 步骤 7 执行命令sa duration
interval,配置SA生存周期(单位:分钟)。
如果duration时间超时,ISAKMP SA将自动更新。因为IKE协商需要进行DH计算,在USG3000上需要经过较长的时间,为使ISAKMP SA的更新不影响安全通信,建议配置duration大于10分钟。
2013-3-30
华赛机密,未经许可不得扩散
第18页, 共74页
文档名称 文档密级
----结束
8.3.5 配置IKE Peer
IKE Peer,即IKE对等体。配置IKE Peer的一系列属性,包括IKE协商模式、预共享密钥、证书、对端地址以及是否需要进行NAT穿越等,以保证IKE协商阶段的正确性。
步骤 1 执行命令system-view,进入
系统视图。 步骤 2 (可选)执行命令ipsec sa
global-duration { time-based interval | traffic-based kilobytes },配置全局的SA生存周期。
生存周期只对通过isakmp方式建立的SA有效,对通过Manual方式建立的SA没有生存周期的限制,即手工建立的SA永远不会失效。
步骤 3 (可选)执行命令ike
local-name local-name,配置IKE协商时的本机ID。
如果配置了本机ID,那么对端在IKE Peer视图中执行
remote-name name命令配置的对端名称必须与此保持一致。
步骤 4 (可选)执行命令ike sa
keepalive-timer interval interval,配置发送Keepalive报文的时间间隔(单位:秒)。 步骤 5 (可选)执行命令ike sa
keepalive-timer timeout interval,配置等待Keepalive报文的超时时间(单位:秒)。
通过Keepalive机制,可以判断是否能与对端正常通讯。
interval和timeout两个参数要成对出现,即在一个USG3000上配置了timeout参数,那么就要在对端配置interval参数。 当配置timeout的USG3000在超时时间内未收到对端的Keepalive报文时,如果该ISAKMP SA带有TIMEOUT标记,则删除该ISAKMP SA以及由其协商的IPSec SA;否则,将其标记为TIMEOUT。
步骤 6 (可选)执行命令ike sa
nat-keepalive-timer interval interval,配置发送NAT更新报文的时间间隔(单位:秒)。
interval的缺省值是20秒。
2013-3-30
华赛机密,未经许可不得扩散 第19页, 共74页
文档名称 文档密级
步骤 7 执行命令ike peer
peer-name,创建IKE Peer并进入IKE Peer视图。 步骤 8 执行命令exchange-mode
{ main | aggressive },配置IKE协商模式。
如果要使用RSA加密NONCE(rsa-encr)验证方式,此处必须配置为主(main)模式。
被IPSec安全策略模板引用的IKE Peer必须使用野蛮模式(aggressive),也就是通过安全策略模板配置安全策略时,不支持使用RSA加密NONCE(rsa-encr)验证方式。
步骤 9 执行命令ike-proposal
proposal-number,引用已经配置的IKE安全提议。 步骤 10 执行命令local-id-type { ip |
name | user-name },配置IKE Peer的ID类型。
在野蛮模式(aggressive)下可以配置对端IP地址与对端名称,主模式(main)下只能配置对端IP地址。
步骤 11 (可选)执行命令nat traversal,
配置是否需要进行NAT穿越。
IPSec与NAT配合使用时需要配置NAT穿越。
步骤 12 (可选)执行命令local-address
ip-address,配置IKE协商的本端IP地址。
在IPSec和HRP联合组网或使用子接口、虚拟模板接口配置IPSec时,必须在IKE Peer视图下执行命令local-address ip-address,配置IPSec协商报文发起的IP地址。
步骤 13 执行命令remote-address
[ authentication-address ] low-ip-address [ high-ip-address ],配置对端的IP地址。
2013-3-30
华赛机密,未经许可不得扩散 第20页, 共74页
文档名称 文档密级
l 采用RSA签名验证方式时,如果对端证书中包含实体的IP地址,那么这里配置的对端IP地址必须和证书中的实体IP地址一致。 l 如果对端本身已经通过local-address ip-address命令指定了IP地址,那么这里配置的对端IP地址必须和ip-address一致。 l 配置基于IP认证的NAT穿越时需要指定authentication-address关键字。IP地址是NAT转换前的对端IP地址。 若对端地址配置为地址段,此IKE Peer只能被IPSec的策略模板引用。
步骤 14 执行命令remote-name name,配
置对端名称(只在野蛮模式下且使用名字认证时使用)。 步骤 15 执行命令pre-shared-key
key-string,为对端配置预共享的密钥(pre-share方式)。 步骤 16 执行命令certificate
{ local-filename | peer-filename } cert-name,配置本地证书和对端证书(rsa-sig方式)。 步骤 17 配置RSA对端IP地址和公钥
(rsa-encr方式)。
1. 执行命令quit,退回系统视图。
2. 执行命令rsa peer-public-key key-name,进入
RSA公钥视图。 3. 执行命令address ip-address,配置RSA对端IP
地址。 4. 执行命令public-key-code begin,进入RSA公钥
编码视图。 5. 输入RSA公钥十六进制编码。
6. 执行命令public-key-code end,退回RSA公钥视
图。 7. 执行命令peer-public-key end,退回系统视图。 ----结束
2013-3-30
华赛机密,未经许可不得扩散 第21页, 共74页
文档名称 文档密级
8.3.6 配置IPSec安全策略模板
有两种方式配置IPSec安全策略,一种是本节介绍的通过配置IPSec安全策略模板的方式配置IPSec安全策略,另一种是“8.3.7 配置IPSec安全策略”介绍的直接配置IPSec安全策略。 USG3000实现的IPSec安全策略除可以应用到实际物理接口外,还能应用到Tunnel、Virtual Template、Dialer等逻辑接口。当要求IPSec与其他使用逻辑接口的特性混合使用时,即可配置IPSec安全策略模板。例如,当需要创建L2TP+IPSec隧道时,即需要在LNS端配置IPSec安全策略模板。
当对端发起SA协商的客户端的IP地址不固定时,比如一些移动的VPN Client用户,可以采用配置安全策略模板的方式配置安全策略。
配置安全策略模板时,除了IKE Peer、IPSec安全提议必配,其他参数可选。但如果配置了可选参数,则这些参数必须匹配,才能协商成功。
为使配置安全策略模板端能够接收不同的对端发起的协商,在IKE Peer中可以指定对端地址范围或指定对端的名称,这样就允许不同的拨号用户接入。
在IPSec服务发起端不能配置安全策略模板,要配置安全策略。在IPSec服务终结端配置使用安全策略模板的安全策略。同时在IPSec服务发起端,安全策略引用的ACL规则必须指定源地址范围以便IPSec服务终结端能够正确将回应数据加密回送。IPSec服务终结端不允许引用ACL。
配置安全策略模板端不能发起SA的协商,只能响应协商。
步骤 1 执行命令system-view,进入
系统视图。 步骤 2 执行命令ipsec
policy-template policy-template-name seq-number,创建安全策略模板。
只能在安全策略模板组中创建一个安全策略模板,也就是只能配置一个安全策略模板的顺序号seq-number。
步骤 3 执行命令proposal
proposal-name&<1-6>,在安全策略中引用安全提议。
2013-3-30
华赛机密,未经许可不得扩散
第22页, 共74页
文档名称 文档密级
步骤 4 (可选)执行命令sa duration
{ traffic-based kilobytes | time-based interval },配置SA的生存周期(单位:秒)。 步骤 5 执行命令ike-peer
peer-name,引用IKE Peer。
步骤 6 (可选)执行命令pfs
{ dh-group1 | dh-group2 | dh-group5 },配置协商时使用的PFS特性。
此命令使IPSec在使用此安全策略发起一个协商时,在阶段2的协商中进行一次附加的密钥交换以提高通讯的安全性。本端和对端指定的Diffie-Hellman组必须一致,否则协商会失败。
步骤 7 执行命令quit,退回系统视
图。 步骤 8 执行命令ipsec policy
policy-name seq-number isakmp template
policy-template-name,引用安全策略模板组创建安全策略。
必须确保:
l 安全策略组中只能引用一个安全策略模板组,且引用的安全策略模板组中只能包含一个安全策略模板。 l 引用安全策略模板组创建的安全策略,在安全策略组中的优先级应该定义为最低。也就是安全策略的顺序号seq-number为最大。 l 模板端可以接受对端发起协商创建的隧道总数受License限制,购买了支持多少隧道数的License就能创建多少条隧道。 ----结束
8.3.7 配置IPSec安全策略
IPSec安全策略规定了对什么样的数据流采用什么样的安全提议。
步骤 1 执行命令system-view,进入
系统视图。
2013-3-30
华赛机密,未经许可不得扩散 第23页, 共74页
文档名称 文档密级
步骤 2 执行命令ipsec policy
policy-name seq-number isakmp,创建安全策略。
一个安全策略组最多支持配置512条安全策略,所有安全策略的总数也不能超过512。
用户购买了支持多少条隧道数的License,就支持创建多少条隧道,也就是如果创建了超出License限制数目的安全策略是不起作用的。
步骤 3 执行命令proposal
proposal-name&<1-6>,在安全策略中引用安全提议。 步骤 4 执行命令security acl
acl-number,引用ACL。 步骤 5 (可选)执行命令sa duration
{ traffic-based kilobytes | time-based interval },配置SA的生存周期。 步骤 6 执行命令ike-peer
peer-name,引用IKE Peer。
步骤 7 (可选)执行命令pfs
{ dh-group1 | dh-group2 | dh-group5 },配置协商时使用的PFS特性。
此命令使IPSec在使用此安全策略发起一个协商时,在阶段2的协商中进行一次附加的密钥交换以提高通讯的安全性。本端和对端指定的Diffie-Hellman组必须一致,否则协商会失败。 ----结束
8.3.8 引用IPSec安全策略
在指定接口上引用IPSec安全策略,从而对经过此接口且符合ACL的报文应用IPSec保护。
步骤 1 执行命令system-view,进入
系统视图。 步骤 2 执行命令interface
interface-type interface-number,进入接口视图。 步骤 3 执行命令undo ip
fast-forwarding qff,关闭接口的快速转发功能。 步骤 4 执行命令ipsec policy
policy-name,引用安全策略。
2013-3-30
华赛机密,未经许可不得扩散
第24页, 共74页
文档名称 文档密级
----结束
配置完上述步骤后,IPSec隧道两端设备之间发送的符合ACL的报文,将触发IKE进行协商建立SA。IKE协商成功并创建了SA后,两端设备间的数据流将被加密传输。
8.3.9 检查配置结果
可以在所有视图下执行以下命令检查配置结果。 操作 查看是否可以协商成功 命令 ping ip-address 说明:此处的IP地址需要符合对端USG3000的ACL。如果能正常通信,说明配置成功。 查看IPSec SA的相关信息 display ipsec sa [ brief | remote ip-address | policy policy-name [ seq-number ] | duration ] 查看IPSec安全提议的信息 display ipsec proposal [ name proposal-name ] 查看IPSec安全策略的信息 display ipsec policy [ brief | name policy-name [ seq-number ] ] 查看IPSec安全策略模板的display ipsec policy-template [ brief | 信息 name policy-name [ seq-number ] ] 查看IKE SA的信息 display ike sa 查看IKE Peer的配置情况 display ike peer [ name peer-name ] 查看每个IKE提议配置的参display ike proposal 数
8.4 配置证书申请 8.4.1 建立配置任务 应用环境
配置基于证书认证机制的IPSec的前提就是获取证书,然后在IKE协商时验证证书的正确性。
2013-3-30
华赛机密,未经许可不得扩散
第25页, 共74页
文档名称 文档密级
证书申请就是用户向CA提供身份信息,CA根据一套标准受理申请,对证书申请者的信用度、申请证书的目的、身份的真实可靠性等问题进行审查,确保证书与身份绑定的正确性。如果申请被成功受理,CA随后将向该用户颁发证书。 USG3000支持如下两种方式向CA中心申请证书: l 在线申请
在USG3000上向CA中心发出证书申请请求,CA中心直接将证书传给USG3000。 l 离线申请
将证书请求文件通过磁盘、电子邮件、纸件、光盘等媒介发给CA中心。CA中心颁发证书后,需要将证书导入USG3000的内存。
前置任务
配置USG3000接口的IP地址,使其与CA服务器能够正常通信(在线申请)。
数据准备
在配置证书申请之前,需要准备以下数据。 序号 1 2 3 4 5 6 7 数据 证书的实体名称 (可选)实体的IP地址、地理区域、电子邮箱等参数 PKI域名 CA服务器的IP地址、CA名称 申请证书的URL (可选)CRL发布服务器的URL (可选)如果存在LDAP服务器,确定LDAP服务器的IP地址、版本、CRL所在路径等参数
配置过程
要完成证书申请的配置,需要按照以下过程配置。
2013-3-30
华赛机密,未经许可不得扩散 第26页, 共74页
文档名称 文档密级
序号 1 2 3 4 5 6 7
8.4.2 配置实体名称
过程 配置实体名称 创建本地公私密钥对 配置证书申请受理机构 获取CA证书 申请本地证书 (可选)获取CRL 检查配置结果 实体名称,也就是实体DN(Distinguished Name)可以唯一确定一个与CA通信的对象。每台IPSec设备均可以抽象为一个唯一的实体DN。
在配置实体时,只有实体通用名称common-name必配,其他参数不影响证书申请。
步骤 1 执行命令system-view,进入
系统视图。 步骤 2 执行命令pki entity
entity-name,创建实体名称,并进入实体视图。 步骤 3 (必选)执行命令common-name
name,配置实体通用名称。 步骤 4 (可选)执行命令fqdn
fqdn-name,配置实体的FQDN(Fully Qualified Domain Name)名称。 步骤 5 (可选)执行命令country
country-code,配置实体国家代码。
国家代码可以在ISO3166中查询。
步骤 6 (可选)执行命令state
state-name,配置实体所属州或省的名称。 步骤 7 (可选)执行命令locality
locality-name,配置实体所在地区名称,建议配置为城市名称。
2013-3-30
华赛机密,未经许可不得扩散
第27页, 共74页
文档名称 文档密级
步骤 8 (可选)执行命令
organization organization-name,配置实体所属组织名称。 步骤 9 (可选)执行命令
organizational-unit unit-name,配置实体所属单位名称(区分属于同一个组织的不同部门的实体)。 步骤 10 (可选)执行命令ip-address
ip-address,配置实体的IP地址。
l 这里如果配置了IP地址,IP地址会被记录到证书中。RSA签名方式的IKE协商将使用到此地址。 l 配置IKE协商时,在IKE Peer视图中执行
remote-address命令配置的对端IP地址,必须和对端的实体IP地址一致才能协商成功。
步骤 11 (可选)执行命令email email-address,配置实体的电子邮箱地址。
----结束
8.4.3 创建本地公私密钥对
l 当本地证书已存在时,为保证密钥对与现存证书的一致性,必须删除本地证书后方可执行该命令生成新的密钥对。 l 若本地已有RSA密钥对,则创建的新密钥对将覆盖旧密钥对。 密钥对可分为本地RSA主机密钥对和服务器密钥对,每个密钥对均由私钥和公钥组成。
这两个密钥对提供给SSH使用,其中服务器密钥对由本地服务器周期性地改变,主机密钥对不变。申请证书时使用的是主机密钥对。
步骤 1 执行命令system-view,进入
系统视图。 步骤 2 执行命令rsa local-key-pair
create,创建本地公私密钥对。
----结束
2013-3-30
华赛机密,未经许可不得扩散
第28页, 共74页
文档名称 文档密级
8.4.4 配置证书申请受理机构
目前只支持Windows 2003 Server的证书申请受理机构。
步骤 1 执行命令system-view,进入
系统视图。 步骤 2 执行命令pki domain
domain-name,配置设备所属的PKI域,并进入PKI域视图。
PKI域是一组信任同一CA的实体DN的集合。一台设备可以属于多个PKI域。
步骤 3 执行命令ca identifier identifier-name,配置CA的标识符,指定本设备信任的CA名称。 步骤 4 执行命令certificate
request entity entity-name,指定设备申请证书时使用的实体名称。
l 此处的实体名称要与在“8.4.2 配置实体名称”中配置的实体名称相同。 l 不同的PKI域必须使用不同的CA中心。 l 不同的PKI域必须使用不同的实体。
步骤 5 执行命令certificate
request from { ca | ra },指定向CA注册证书还是向RA(Registration Authority)注册证书。默认情况下向RA注册证书(离线注册情况下不用执行该步)。 步骤 6 执行命令certificate
request url url,配置证书注册的URL(离线注册情况下不用执行该步)。
如果上一步骤配置向CA注册,则是CA的URL,否则是RA的URL。
步骤 7 执行命令certificate
request polling { interval interval | count count },配置SCEP(Simple Certification Enrollment Protocol)方式获取证书的状态查询时间间隔与报文轮询次数(离线注册情况下不用执行该步)。
默认情况下时间间隔20为分钟,轮询次数为5次。
2013-3-30
华赛机密,未经许可不得扩散
第29页, 共74页
文档名称 文档密级
----结束
8.4.5 获取CA证书
步骤 1 执行命令system-view,进入
系统视图。 步骤 2 执行命令pki
retrieval-certificate ca domain domain-name,获取CA证书。
在获取到CA证书后,系统打印证书的SHA1校验和与MD5校验和,并提示是否为合法的CA,如果合法则输入“Y”,否则输入“N”。此步骤也可以通过LDAP或FTP方式获取。
在线获取CA证书使用该命令,如果已经采用离线方式获取到了CA证书,则执行pki import-certificate ca filename file-name命令将CA证书导入内存。 ----结束
8.4.6 申请本地证书
证书申请前需要通过配置NTP,保证PKI实体与CA时钟同步,否则申请的证书有效期会出现问题。
步骤 1 执行命令system-view,进入
系统视图。 步骤 2 执行命令pki
request-certificate domain domain-name [ password
password | pkcs10 [ filename filename ] ],申请本地证书。
此处可以有两种方式申请本地证书:
l 一种是通过SCEP在线获取,当CA中心采用挑战密
码Challenge Password方式受理申请时,需要指定挑战密码password,而且密码必须与CA中心上的一致。 l 另一种是通过生成pkcs10请求文件离线申请。离
线申请需要配置关键字pkcs10,可以指定文件名,默认情况下使用“域名.req”文件名。
2013-3-30
华赛机密,未经许可不得扩散 第30页, 共74页
文档名称 文档密级
采用离线方式申请到本地证书后,还需要执行pki
import-certificate local filename file-name命令将本地证书导入内存。 ----结束
8.4.7 (可选)获取CRL
如果在验证证书有效性时,需要检查CRL,则需要获取CRL。
步骤 1 执行命令system-view,进入
系统视图。 步骤 2 执行命令pki domain name,
进入PKI域视图。 步骤 3 执行命令crl { scep | ldap },
选择使用SCEP协议在线获取CRL还是从LDAP服务器获取CRL(Certificate Revocation List),默认使用SCEP。 步骤 4 根据选择的CRL获取方式,进
行不同的配置。
l 如果选择SCEP,则执行命令crl url url,配置
获取CRL的URL。 l 如果选择LDAP,则首先执行命令ldap-server ip
ip-address [ port port-number | version version ],配置LDAP服务器地址、监听端口号以及LDAP版本号。
然后执行命令crl ldap attribute attr-value dn dn,配置设备向LDAP服务器获取CRL时使用的属性和标识符。 port默认值为389,version默认值为3,attribute默认值为certificateRevocationList;binary。
步骤 5 执行命令quit,退回系统视
图。 步骤 6 执行命令pki retrieval-crl
domain domain-name,手工获取CRL并下载至设备。
以上步骤为在线获取CRL的过程,如果已经采用离线方式获取到了CRL,则需要执行pki import-certificate crl filename file-name命令将CRL导入内存。 ----结束
2013-3-30
华赛机密,未经许可不得扩散 第31页, 共74页
文档名称 文档密级
8.4.8 检查配置结果
在用户视图下执行以下命令检查配置结果。 操作 查看ca_list中是否包含下载的CA证书和CRL 查看cert_list中是否包含申请到的本地证书 命令 display pki ca_list display pki cert_list 查看FLASH中是否有CRL、CA证书和本地证书 dir
执行命令display pki ca_list和display pki cert_list,可以显示证书的版本号、序列号和签名算法等信息。可以显示CRL的更新时间、吊销的证书等信息。
执行命令dir,可以显示Flash中的证书文件和CRL文件,例如:hh_local.cer、hh.Crl。
8.5 配置证书验证功能 8.5.1 建立配置任务 应用环境
在数据通信的各个环节,通信双方都需验证对方证书的有效性。证书验证需要签发时间、签发者信息以及证书的有效性几方面的验证。证书验证的核心就是检查CA在证书上的签名,并确定证书仍在有效期内,而且未被废除。
例如:收到的一封邮件,邮件中附有一个包含公共密钥的证书,而该邮件使用了私有密钥加密,为了确定发件方是否合法持有该证书并且证书没有过期(通过CRL判断),以及该证书是否值得信任,就必须验证证书是否有效。
前置任务
在配置证书验证之前,需完成以下任务: l 配置RSA密钥对
l 获取到CA证书,要验证的本地证书以及CRL l 将所有证书和CRL导入到内存
2013-3-30
华赛机密,未经许可不得扩散
第32页, 共74页
文档名称 文档密级
配置过程
要完成配置证书验证的任务,需要执行如下的配置过程。 序号 1 2 3 4
8.5.2 配置CRL更新周期
CRL发布服务器会动态更新CRL,USG3000可以启用CRL自动更新功能动态获取CRL。
步骤 1 执行命令system-view,进入
系统视图。 步骤 2 执行命令pki domain
domain-name,进入PKI域视图。 步骤 3 执行命令crl auto-update
enable,启用CRL自动更新功能。 步骤 4 执行命令crl update-period
interval,配置CRL自动更新时间间隔。默认情况下为8小时。
----结束
8.5.3 配置是否检查CRL
如果启用了CRL检查功能,在验证证书合法性时会检查CRL,证书的序列号如果存在于CRL中,则认为证书已经被吊销,证书不合法。如果CRL不存在或过期,也认为证书不合法。
步骤 1 执行命令system-view,进入
系统视图。 步骤 2 执行命令pki crl check
enable,启用CRL检查功能。默认情况下已经启用CRL检查功能。
----结束
过程 配置CRL更新周期 配置是否检查CRL 配置证书验证 检查配置结果 2013-3-30
华赛机密,未经许可不得扩散 第33页, 共74页
文档名称 文档密级
8.5.4 配置证书验证
步骤 1 执行命令system-view,进入
系统视图。 步骤 2 执行命令pki
validate-certificate { ca | local } { domain domain-name | filename filename },验证CA和本地证书合法性,可以选择使用域或证书文件名两种方式进行验证。
----结束
8.5.5 检查配置结果
可以在所有视图下执行以下命令检查配置结果。 操作 命令 查看CRL更新功能的配置情况 display current-configuration
pki domain a crl update-period 9 crl auto-update enable crl ldap 8.6 维护 8.6.1 查看IPSec处理报文的统计信息 操作 命令 查看IPSec处理报文的统计信display ipsec statistics 息 8.6.2 调试IPSec 2013-3-30 华赛机密,未经许可不得扩散 第34页, 共74页 文档名称 文档密级 打开调试开关将影响系统的性能。调试完毕后,应及时执行undo debugging all命令关闭调试开关。 在出现IPSec运行故障时,请在用户视图下执行debugging命令对IPSec进行调试,查看调试信息,定位故障并分析故障原因。有关debugging命令的解释请参见《Secoway USG3000 统一安全网关 命令参考》。 操作 调试IPSec 命令 debugging ipsec { all | sa | packet [ policy policy-name [ seq-number ] | parameters destination-address protocol spi ] | misc } 8.6.3 调试IKE 打开调试开关将影响系统的性能。调试完毕后,应及时执行undo debugging all命令关闭调试开关。 在出现IKE运行故障时,请在用户视图下执行debugging命令对IKE进行调试,查看调试信息,定位故障并分析故障原因。有关debugging命令的解释请参见《Secoway USG3000 统一安全网关 命令参考》。 操作 调试IKE 命令 debugging ike { all | error | exchange | message | misc | transport } 8.6.4 删除IKE SA 操作 删除IKE SA 删除IKE SA时请注意: 2013-3-30 华赛机密,未经许可不得扩散 第35页, 共74页 命令 reset ike sa [ connection-id ] 文档名称 文档密级 l 在删除指定的IKE SA时,需要指定SA的 connection-id,通过命令display ike sa可以显示目前的SA的connection-id信息。针对同一个安全通道,分别有阶段1的信息和阶段2的信息。 l 删除本地的SA时,如果阶段1的ISAKMP SA还存 在,将在此SA的保护下向对端发送删除消息,通知对方清除SA数据库。 l 如果未指定connection-id,所有的阶段1的SA 都会被删除。 8.6.5 删除SA 操作 删除SA 命令 reset ipsec sa [ remote ip-address | policy policy-name [ seq-number ] | parameters destination-address protocol spi ] 此配置任务删除已经建立的SA(无论是手工建立的还是通过IKE协商建立的)。如果未指定参数,则删除所有的SA。 SA删除后,手工建立的SA和IKE协商的SA存在如下区别: l 对于手工建立的SA,被删除后系统会根据手工配 置的参数立即创建新的SA。 l 对于通过IKE协商建立的SA,被删除后如果有报 文重新触发IKE协商,IKE将重新协商建立SA。 如果指定参数parameters,由于SA是成对出现的,删除了一个方向SA,另一个方向SA也随之被删除。也就是说,指定parameters关键字将删除一套SA。 指定remote或policy参数也将删除一套SA。 8.6.6 清除IPSec统计报文 操作 清除IPSec统计报文 命令 reset ipsec statistics 2013-3-30 华赛机密,未经许可不得扩散 第36页, 共74页 文档名称 文档密级 8.6.7 维护低速加密卡 查看低速加密卡相关信息 操作 查看低速加密卡的运行信息 命令 display interface secp [ interface-number ] 调试低速加密卡 在出现低速加密卡运行故障时,请在用户视图下执行debugging命令对低速加密卡进行调试,查看调试信息,定位故障并分析故障原因。打开调试开关的操作步骤请参见《Secoway USG3000 统一安全网关 配置指南 系统管理分册》中“配置系统维护”的内容。有关debugging命令的解释请参见《Secoway USG3000 统一安全网关 命令参考》。 操作 调试低速加密卡 8.6.8 维护CA 调试CA 操作 打开PKI调试开关 查看获取到本地的证书及CRL文件信息 获取到所需的文件并保存到本地后,其维护工作需要用到ca_config.ini文件及文件链表。 操作 查看FLASH是否存在证书及CRL 命令 dir 命令 debugging pki 命令 debugging secp { dataflow | manage } 2013-3-30 华赛机密,未经许可不得扩散 第37页, 共74页 文档名称 文档密级 操作 查看ca_config.ini 每获取并保存一个证书或CRL文件到本地会修改ca_config.ini的对应section l [CA_Cert]后为CA证书文件名 l [Local_Cert]后为本地证书文件名 l [CRL]后为CRL文件名 删除本地证书或CRL 命令 more ca_config.ini pki delete-certificate { ca | crl | local } filename file-name 说明: 该命令需要在系统视图下执行。 初始化证书链表 reset pki global_ca l 需要删除证书或CRL文件时,如果仅使用delete /unreserved命令删除,则会导致关联的ca_config.ini及证书文件链表中对应内容仍然保留,从而导致数据混乱。需要使用pki delete-certificate命令删除证书。 l 一旦误使用delete /unreserved命令删除某证书文件,需要删除同一PKI域内所有后缀为cer和crl的文件,然后重新获取证书和CRL文件。 l 该操作不被保存在配置中。 8.7 配置举例 8.7.1 配置采用Manual方式建立SA示例 组网需求 如图8-1所示,在USG3000 A和USG3000 B之间建立一个安全隧道,对Host1代表的子网(10.1.1.x)与Host2代表的子网(10.1.2.x)之间的数据流进行安全保护。 需求如下: 2013-3-30 华赛机密,未经许可不得扩散 第38页, 共74页 文档名称 文档密级 l 安全协议采用ESP协议。 l 加密算法采用DES。 l 验证算法采用SHA1-HMAC-96。 图8-1 采用Manual方式建立SA配置示例组网图 配置步骤 步骤 1 配置USG3000 A # 进入系统视图。 [USG3000 A] interface GigabitEthernet 0/0 # 配置GigabitEthernet 0/0的IP地址。 [USG3000 A-GigabitEthernet0/0] ip address 10.1.1.1 24 # 关闭接口的快速转发功能。 [USG3000 A-GigabitEthernet0/0] undo ip fast-forwarding qff # 退回系统视图。 [USG3000 A-GigabitEthernet0/0] quit # 进入GigabitEthernet 0/1视图。 [USG3000 A] interface GigabitEthernet 0/1 2013-3-30 华赛机密,未经许可不得扩散 第39页, 共74页 文档名称 文档密级 # 配置GigabitEthernet 0/1的IP地址。 [USG3000 A-GigabitEthernet0/1] ip address 202.38.163.1 16 # 关闭接口的快速转发功能。 [USG3000 A-GigabitEthernet0/1] undo ip fast-forwarding qff # 退回系统视图。 [USG3000 A-GigabitEthernet0/1] quit # 进入Trust区域视图。 [USG3000 A] firewall zone trust # 配置GigabitEthernet 0/0加入Trust区域。 [USG3000 A-zone-trust] add interface GigabitEthernet 0/0 # 退回系统视图。 [USG3000 A-zone-trust] quit # 进入Untrust区域视图。 [USG3000 A] firewall zone untrust # 配置GigabitEthernet 0/1加入Untrust区域。 [USG3000 A-zone-untrust] add interface GigabitEthernet 0/1 # 退回系统视图。 [USG3000 A-zone-untrust] quit # 配置到Host2的静态路由。 [USG3000 A] ip route-static 10.1.2.0 24 202.38.163.2 # 配置ACL,允许来自10.1.1.0网段到10.1.2.0网段的报文通过USG3000。 [USG3000 A] acl 3000 [USG3000 A-acl-adv-3000] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 l ACL规则需要与对端USG3000镜像配制。 l 此处的源地址为USG3000侧的用户IP地址。 # 退回系统视图。 2013-3-30 华赛机密,未经许可不得扩散 第40页, 共74页 文档名称 文档密级 [USG3000 A-acl-adv-3000] quit # 配置ACL规则,允许10.1.2.0网段的报文通过USG3000。 [USG3000 A] acl 3001 [USG3000 A-acl-adv-3001] rule permit ip source 10.1.2.0 0.0.0.255 # 退回系统视图。 [USG3000 A-acl-adv-3001] quit # 进入Trust和Untrust域间视图。 [USG3000 A] firewall interzone trust untrust # 配置域间包过滤规则。 [USG3000 A-interzone-trust-untrust] packet-filter 3001 inbound [USG3000 A-interzone-trust-untrust] packet-filter 3000 outbound # 退回系统视图。 [USG3000 A-interzone-trust-untrust] quit # 创建名为tran1的安全提议。 [USG3000 A] ipsec proposal tran1 # 配置采用ESP安全协议。 [USG3000 A-ipsec-proposal-tran1] transform esp # 配置采用tunnel报文封装方式。 [USG3000 A-ipsec-proposal-tran1] encapsulation-mode tunnel # 配置ESP协议认证算法。 [USG3000 A-ipsec-proposal-tran1] esp authentication-algorithm sha1 # 配置ESP协议加密算法。 [USG3000 A-ipsec-proposal-tran1] esp encryption-algorithm des 2013-3-30 华赛机密,未经许可不得扩散 第41页, 共74页 文档名称 文档密级 缺省情况下: l USG3000采用隧道模式封装IPSec报文。 l ESP认证算法为MD5。 l ESP加密算法为DES。 # 退回系统视图。 [USG3000 A-ipsec-proposal-tran1] quit # 创建一条安全策略,协商方式为manual。 [USG3000 A] ipsec policy map1 10 manual # 引用ACL。 [USG3000 A-ipsec-policy-manual-map1-10] security acl 3000 此处仅能引用一个ACL。如果多次引用,最后一次引用有效。 # 引用安全提议。 [USG3000 A-ipsec-policy-manual-map1-10] proposal tran1 # 配置隧道对端IP地址。 [USG3000 A-ipsec-policy-manual-map1-10] tunnel remote 202.38.169.1 # 配置隧道本端IP地址。 [USG3000 A-ipsec-policy-manual-map1-10] tunnel local 202.38.163.1 # 配置SPI。 SPI需要与对端USG3000镜像配置。sa spi命令需要与sa string-key或sa authentication-hex或sa encryption-hex共同使用,才能成功创建手工IPSec隧道。 [USG3000 A-ipsec-policy-manual-map1-10] sa spi outbound esp 12345 [USG3000 A-ipsec-policy-manual-map1-10] sa spi inbound esp 54321 # 配置密钥。 2013-3-30 华赛机密,未经许可不得扩散 第42页, 共74页 文档名称 文档密级 密钥需要与对端USG3000镜像配置。 [USG3000 A-ipsec-policy-manual-map1-10] sa string-key outbound esp abcdefg [USG3000 A-ipsec-policy-manual-map1-10] sa string-key inbound esp gfedcba # 退回系统视图。 [USG3000 A-ipsec-policy-manual-map1-10] quit # 进入以太网接口视图。 [USG3000 A] interface GigabitEthernet 0/1 此处的以太网接口为IPSec隧道的出接口。 # 应用安全策略。 [USG3000 A-GigabitEthernet0/1] ipsec policy map1 步骤 2 配置USG3000 B # 进入系统视图。 [USG3000 B] interface GigabitEthernet 0/0 # 配置GigabitEthernet 0/0的IP地址。 [USG3000 B-GigabitEthernet0/0] ip address 202.38.169.1 16 # 关闭接口的快速转发功能。 [USG3000 B-GigabitEthernet0/0] undo ip fast-forwarding qff # 退回系统视图。 [USG3000 B-GigabitEthernet0/0] quit # 进入GigabitEthernet 0/1视图。 2013-3-30 华赛机密,未经许可不得扩散 第43页, 共74页 文档名称 文档密级 [USG3000 B] interface GigabitEthernet 0/1 # 配置GigabitEthernet 0/1的IP地址。 [USG3000 B-GigabitEthernet0/1] ip address 10.1.2.1 24 # 关闭接口的快速转发功能。 [USG3000 B-GigabitEthernet0/1] undo ip fast-forwarding qff # 退回系统视图。 [USG3000 B-GigabitEthernet0/1] quit # 进入Untrust区域视图。 [USG3000 B] firewall zone untrust # 配置GigabitEthernet 0/0加入Untrust区域。 [USG3000 B-zone-untrust] add interface GigabitEthernet 0/0 # 退回系统视图。 [USG3000 B-zone-untrust] quit # 进入Trust区域视图。 [USG3000 B] firewall zone trust # 配置GigabitEthernet 0/1加入Trust区域。 [USG3000 B-zone-trust] add interface GigabitEthernet 0/1 # 退回系统视图。 [USG3000 B-zone-trust] quit # 配置到Host1的静态路由。 [USG3000 B] ip route-static 10.1.1.0 24 202.38.169.2 # 配置ACL规则,允许来自10.1.2.0网段到10.1.1.0网段的报文通过USG3000。 [USG3000 B] acl 3000 [USG3000 B-acl-adv-3000] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 2013-3-30 华赛机密,未经许可不得扩散 第44页, 共74页 文档名称 文档密级 l ACL规则需要与对端USG3000配置镜像。 l 此处的源地址为USG3000侧的用户IP地址。 # 退回系统视图。 [USG3000 B-acl-adv-3000] quit # 配置ACL规则,允许10.1.1.0网段的报文通过USG3000。 [USG3000 B] acl 3001 [USG3000 B-acl-adv-3001] rule permit ip source 10.1.1.0 0.0.0.255 # 退回系统视图。 [USG3000 B-acl-adv-3001] quit # 进入Trust和Untrust域间视图。 [USG3000 B] firewall interzone trust untrust # 配置域间包过滤规则。 [USG3000 B-interzone-trust-untrust] packet-filter 3001 inbound [USG3000 B-interzone-trust-untrust] packet-filter 3000 outbound # 退回系统视图。 [USG3000 B-interzone-trust-untrust] quit # 创建名为tran1的安全提议。 [USG3000 B] ipsec proposal tran1 # 配置采用ESP安全协议。 [USG3000 B-ipsec-proposal-tran1] transform esp # 配置采用tunnel报文封装方式。 [USG3000 B-ipsec-proposal-tran1] encapsulation-mode tunnel # 配置ESP协议认证算法。 [USG3000 B-ipsec-proposal-tran1] esp authentication-algorithm sha1 # 配置ESP协议加密算法。 2013-3-30 华赛机密,未经许可不得扩散 第45页, 共74页 文档名称 文档密级 [USG3000 B-ipsec-proposal-tran1] esp encryption-algorithm des 缺省情况下: l USG3000采用隧道模式封装IPSec报文。 l ESP认证算法为MD5。 l ESP加密算法为DES。 # 退回系统视图。 [USG3000 B-ipsec-proposal-tran1] quit # 创建一条安全策略,协商方式为manual。 [USG3000 B] ipsec policy map1 10 manual # 配置对端IP地址。 [USG3000 B-ipsec-policy-manual-map1-10] tunnel remote 202.38.163.1 # 配置本端IP地址。 [USG3000 B-ipsec-policy-manual-map1-10] tunnel local 202.38.169.1 # 引用ACL规则。 [USG3000 B-ipsec-policy-manual-map1-10] security acl 3000 此处仅能引用一个ACL。如果多次引用,最后一次引用有效。 # 引用安全提议。 [USG3000 B-ipsec-policy-manual-map1-10] proposal tran1 # 配置SPI。 SPI需要与对端USG3000镜像配置。 [USG3000 B-ipsec-policy-manual-map1-10] sa spi inbound esp 12345 [USG3000 B-ipsec-policy-manual-map1-10] sa spi outbound esp 54321 # 配置密钥。 2013-3-30 华赛机密,未经许可不得扩散 第46页, 共74页 文档名称 文档密级 密钥需要与对端USG3000镜像配置。 [USG3000 B-ipsec-policy-manual-map1-10] sa string-key inbound esp abcdefg [USG3000 B-ipsec-policy-manual-map1-10] sa string-key outbound esp gfedcba # 退回系统视图。 [USG3000 B-ipsec-policy-manual-map1-10] quit # 进入以太网接口视图。 [USG3000 B] interface GigabitEthernet 0/0 此处的以太网接口为IPSec隧道的出接口。 # 应用安全策略。 [USG3000 B-GigabitEthernet0/0] ipsec policy map1 ----结束 8.7.2 配置采用IKE方式建立SA示例(预共享密钥) 组网需求 如图8-2所示,组网需求如下: l Host1与Host2之间进行安全通信,在USG3000 A 与USG3000 B之间使用IKE自动协商建立安全通道。 l IKE验证方式为预共享密钥。 2013-3-30 华赛机密,未经许可不得扩散 第47页, 共74页 文档名称 文档密级 图8-2 采用IKE方式建立SA配置示例组网图(预共享密钥) 配置步骤 步骤 1 配置USG3000 A # 进入系统视图。 [USG3000 A] interface GigabitEthernet 0/0 # 配置GigabitEthernet 0/0的IP地址。 [USG3000 A-GigabitEthernet0/0] ip address 202.39.160.1 16 # 关闭接口的快速转发功能。 [USG3000 A-GigabitEthernet0/0] undo ip fast-forwarding qff # 退回系统视图。 [USG3000 A-GigabitEthernet0/0] quit # 进入GigabitEthernet 0/1视图。 [USG3000 A] interface GigabitEthernet 0/1 # 配置GigabitEthernet 0/1的IP地址。 [USG3000 A-GigabitEthernet0/1] ip address 200.39.1.1 24 # 关闭接口的快速转发功能。 2013-3-30 华赛机密,未经许可不得扩散 第48页, 共74页 文档名称 文档密级 [USG3000 A-GigabitEthernet0/1] undo ip fast-forwarding qff # 退回系统视图。 [USG3000 A-GigabitEthernet0/1] quit # 进入Trust区域视图。 [USG3000 A] firewall zone trust # 配置GigabitEthernet 0/1加入Trust区域。 [USG3000 A-zone-trust] add interface GigabitEthernet 0/1 # 退回系统视图。 [USG3000 A-zone-trust] quit # 进入Untrust区域视图。 [USG3000 A] firewall zone untrust # 配置GigabitEthernet 0/0加入Untrust区域。 [USG3000 A-zone-untrust] add interface GigabitEthernet 0/0 # 退回系统视图。 [USG3000 A-zone-untrust] quit # 配置到达Host 2的静态路由。 [USG3000 A] ip route-static 172.70.2.0 24 202.39.169.1 # 配置ACL规则,允许Host 1所在网段的主机访问Host 2所在网段的主机。 [USG3000 A] acl 3000 [USG3000 A-acl-adv-3000] rule permit ip source 202.39.1.0 0.0.0.255 destination 172.70.2.0 0.0.0.255 # 退回系统视图。 [USG3000 A-acl-adv-3000] quit # 配置ACL规则,允许Host 2所在网段的主机访问。 [USG3000 A] acl 3001 [USG3000 A-acl-adv-3001] rule permit ip source 172.70.2.0 0.0.0.255 # 退回系统视图。 2013-3-30 华赛机密,未经许可不得扩散 第49页, 共74页 文档名称 文档密级 [USG3000 A-acl-adv-3001] quit # 进入Trust和Untrust域间视图。 [USG3000 A] firewall interzone trust untrust # 配置域间包过滤规则。 [USG3000 A-interzone-trust-untrust] packet-filter 3000 outbound [USG3000 A-interzone-trust-untrust] packet-filter 3001 inbound # 退回系统视图。 [USG3000 A-interzone-trust-untrust] quit # 配置域间缺省包过滤规则。 [USG3000 A] firewall packet-filter default permit interzone local untrust 配置Local和Untrust域间缺省包过滤规则的目的为允许IPSec隧道两端设备通信,使其能够协商SA。 # 配置名为tran1的IPSec提议。 [USG3000 A] ipsec proposal tran1 # 配置安全协议。 [USG3000 A-ipsec-proposal-tran1] transform esp # 配置报文封装类型。 [USG3000 A-ipsec-proposal-tran1] encapsulation-mode tunnel # 配置ESP协议的认证算法。 [USG3000 A-ipsec-proposal-tran1] esp authentication-algorithm md5 # 配置ESP协议的加密算法。 [USG3000 A-ipsec-proposal-tran1] esp encryption-algorithm des # 退回系统视图。 [USG3000 A-ipsec-proposal-tran1] quit # 创建IKE提议10。 2013-3-30 华赛机密,未经许可不得扩散 第50页, 共74页 文档名称 文档密级 [USG3000 A] ike proposal 10 # 配置使用pre-shared-key验证方法。 [USG3000 A-ike-proposal-10] authentication-method pre-share # 配置使用MD5验证算法。 [USG3000 A-ike-proposal-10] authentication-algorithm md5 # 配置ISAKMP SA的生存周期为5000秒。 [USG3000 A-ike-proposal-10] sa duration 5000 # 退回系统视图。 [USG3000 A-ike-proposal-10] quit # 进入IKE Peer视图。 [USG3000 A] ike peer a # 引用IKE安全提议。 [USG3000 A-ike-peer-a] ike-proposal 10 # 配置隧道对端IP地址。 [USG3000 A-ike-peer-a] remote-address 202.39.169.1 # 配置验证字为“abcde”。 [USG3000 A-ike-peer-a] pre-shared-key abcde 验证字的配置需要与对端设备相同。 # 退回系统视图。 [USG3000 A-ike-peer-a] quit # 创建安全策略。 [USG3000 A] ipsec policy map1 10 isakmp # 引用ike-peer a。 [USG3000 A-ipsec-policy-isakmp-map1-10] ike-peer a # 引用名为tran1的安全提议。 [USG3000 A-ipsec-policy-isakmp-map1-10] proposal tran1 # 引用组号为3000的ACL。 2013-3-30 华赛机密,未经许可不得扩散 第51页, 共74页 文档名称 文档密级 [USG3000 A-ipsec-policy-isakmp-map1-10] security acl 3000 # 退回系统视图。 [USG3000 A-ipsec-policy-isakmp-map1-10] quit # 进入以太网接口视图。 [USG3000 A] interface GigabitEthernet 0/0 # 引用IPSec策略。 [USG3000 A-GigabitEthernet0/0] ipsec policy map1 步骤 2 配置USG3000 B # 进入系统视图。 [USG3000 B] interface GigabitEthernet 0/0 # 配置GigabitEthernet 0/0的IP地址。 [USG3000 B-GigabitEthernet0/0] ip address 202.39.169.1 16 # 关闭接口的快速转发功能。 [USG3000 B-GigabitEthernet0/0] undo ip fast-forwarding qff # 退回系统视图。 [USG3000 B-GigabitEthernet0/0] quit # 进入GigabitEthernet 0/1视图。 [USG3000 B] interface GigabitEthernet 0/1 # 配置GigabitEthernet 0/1的IP地址。 [USG3000 B-GigabitEthernet0/1] ip address 172.70.2.1 24 # 关闭接口的快速转发功能。 [USG3000 B-GigabitEthernet0/1] undo ip fast-forwarding qff # 退回系统视图。 2013-3-30 华赛机密,未经许可不得扩散 第52页, 共74页 文档名称 文档密级 [USG3000 B-GigabitEthernet0/1] quit # 进入Trust区域视图。 [USG3000 B] firewall zone trust # 配置GigabitEthernet 0/1加入Trust区域。 [USG3000 B-zone-trust] add interface GigabitEthernet 0/1 # 退回系统视图。 [USG3000 B-zone-trust] quit # 进入Untrust区域视图。 [USG3000 B] firewall zone untrust # 配置GigabitEthernet 0/0加入Untrust区域。 [USG3000 B-zone-untrust] add interface GigabitEthernet 0/0 # 退回系统视图。 [USG3000 B-zone-untrust] quit # 配置到达Host 1的静态路由。 [USG3000 B] ip route-static 202.39.1.0 24 202.39.160.1 # 配置ACL规则,允许Host 2所在网段的主机访问Host 1所在网段的主机。 [USG3000 B] acl 3000 [USG3000 B-acl-adv-3000] rule permit ip source 172.70.2.0 0.0.0.255 destination 202.39.1.0 0.0.0.255 # 退回系统视图。 [USG3000 B-acl-adv-3000] quit # 配置ACL规则,允许Host 1所在网段的主机访问。 [USG3000 B] acl 3001 [USG3000 B-acl-adv-3001] rule permit ip source 202.39.1.0 0.0.0.255 # 退回系统视图。 [USG3000 B-acl-adv-3001] quit # 进入Trust和Untrust域间视图。 [USG3000 B] firewall interzone trust untrust 2013-3-30 华赛机密,未经许可不得扩散 第53页, 共74页 文档名称 文档密级 # 配置域间包过滤规则。 [USG3000 B-interzone-trust-untrust] packet-filter 3000 outbound [USG3000 B-interzone-trust-untrust] packet-filter 3001 inbound # 退回系统视图。 [USG3000 B-interzone-trust-untrust] quit # 配置域间缺省包过滤规则。 [USG3000 B] firewall packet-filter default permit interzone local untrust 配置Local和Untrust域间缺省包过滤规则的目的为允许IPSec隧道两端设备通信,使其能够协商SA。 # 创建名为tran1的IPSec提议。 [USG3000 B] ipsec proposal tran1 # 配置安全协议。 [USG3000 B-ipsec-proposal-tran1] transform esp # 配置报文封装形式。 [USG3000 B-ipsec-proposal-tran1] encapsulation-mode tunnel # 配置ESP协议认证算法。 [USG3000 B-ipsec-proposal-tran1] esp authentication-algorithm md5 # 配置ESP协议加密算法。 [USG3000 B-ipsec-proposal-tran1] esp encryption-algorithm des # 退回系统视图。 [USG3000 B-ipsec-proposal-tran1] quit # 创建号码为10的IKE提议。 [USG3000 B] ike proposal 10 # 配置使用pre-shared key验证方法。 2013-3-30 华赛机密,未经许可不得扩散 第54页, 共74页 文档名称 文档密级 [USG3000 B-ike-proposal-10] authentication-method pre-share # 配置采用MD5验证算法。 [USG3000 B-ike-proposal-10] authentication-algorithm md5 # 配置ISAKMP SA生存周期为5000秒。 [USG3000 B-ike-proposal-10] sa duration 5000 # 退回系统视图。 [USG3000 B-ike-proposal-10] quit # 创建名为a的IKE Peer。 [USG3000 B] ike peer a # 配置对端IP地址。 [USG3000 B-ike-peer-a] remote-address 202.39.160.1 # 引用IKE提议。 [USG3000 B-ike-peer-a] ike-proposal 10 # 配置验证字为“abcde”。 [USG3000 B-ike-peer-a] pre-shared-key abcde 验证字的配置需要与对端设备相同。 # 退回系统视图。 [USG3000 B-ike-peer-a] quit # 创建IPSec策略。 [USG3000 B] ipsec policy map1 10 isakmp # 引用IKE Peer。 [USG3000 B-ipsec-policy-isakmp-map1-10] ike-peer a # 引用IPSec提议。 [USG3000 B-ipsec-policy-isakmp-map1-10] proposal tran1 # 引用组号为3000的ACL。 [USG3000 B-ipsec-policy-isakmp-map1-10] security acl 3000 # 退回系统视图。 2013-3-30 华赛机密,未经许可不得扩散 第55页, 共74页 文档名称 文档密级 [USG3000 B-ipsec-policy-isakmp-map1-10] quit # 进入以太网接口视图。 [USG3000 B] interface GigabitEthernet 0/0 # 引用IPSec策略。 [USG3000 B-GigabitEthernet0/0] ipsec policy map1 ----结束 8.7.3 配置采用IKE方式建立SA示例(RSA签名) 组网需求 如图8-3所示,组网需求如下: l Host1与Host2之间进行安全通信,在USG3000 A 与USG3000 B之间使用IKE自动协商建立安全通道。 l IKE验证方式为RSA签名。 图8-3 采用IKE方式建立SA配置示例组网图(RSA签名) 数据准备 来自同一个CA的CA证书、本地证书和CRL。 获取证书的步骤请参见“8.7.4 配置使用SCEP方式申请证书示例”,这里不再赘述。 2013-3-30 华赛机密,未经许可不得扩散 第56页, 共74页 文档名称 文档密级 配置步骤 步骤 1 配置USG3000 A # 进入系统视图。 [USG3000 A] interface GigabitEthernet 0/0 # 配置GigabitEthernet 0/0的IP地址。 [USG3000 A-GigabitEthernet0/0] ip address 202.39.160.1 16 # 关闭接口的快速转发功能。 [USG3000 A-GigabitEthernet0/0] undo ip fast-forwarding qff # 退回系统视图。 [USG3000 A-GigabitEthernet0/0] quit # 进入GigabitEthernet 0/1视图。 [USG3000 A] interface GigabitEthernet 0/1 # 配置GigabitEthernet 0/1的IP地址。 [USG3000 A-GigabitEthernet0/1] ip address 10.10.1.1 24 # 关闭接口的快速转发功能。 [USG3000 A-GigabitEthernet0/1] undo ip fast-forwarding qff # 退回系统视图。 [USG3000 A-GigabitEthernet0/1] quit # 进入Trust区域视图。 [USG3000 A] firewall zone trust # 配置GigabitEthernet 0/1加入Trust区域。 [USG3000 A-zone-trust] add interface GigabitEthernet 0/1 # 退回系统视图。 2013-3-30 华赛机密,未经许可不得扩散 第57页, 共74页 文档名称 文档密级 [USG3000 A-zone-trust] quit # 进入Untrust区域视图。 [USG3000 A] firewall zone untrust # 配置GigabitEthernet 0/0加入Untrust区域。 [USG3000 A-zone-untrust] add interface GigabitEthernet 0/0 # 退回系统视图。 [USG3000 A-zone-untrust] quit # 配置到达Host 2的静态路由。 [USG3000 A] ip route-static 172.70.2.0 24 202.39.169.1 # 配置ACL规则,允许Host 1所在网段的主机访问Host 2所在网段的主机。 [USG3000 A] acl 3000 [USG3000 A-acl-adv-3000] rule permit ip source 10.10.1.0 0.0.0.255 destination 172.70.2.0 0.0.0.255 # 退回系统视图。 [USG3000 A-acl-adv-3000] quit # 配置ACL规则,允许Host 2所在网段的主机访问。 [USG3000 A] acl 3001 [USG3000 A-acl-adv-3001] rule permit ip source 172.70.2.0 0.0.0.255 # 退回系统视图。 [USG3000 A-acl-adv-3001] quit # 进入Trust和Untrust域间视图。 [USG3000 A] firewall interzone trust untrust # 配置域间包过滤规则。 [USG3000 A-interzone-trust-untrust] packet-filter 3000 outbound [USG3000 A-interzone-trust-untrust] packet-filter 3001 inbound # 退回系统视图。 [USG3000 A-interzone-trust-untrust] quit 2013-3-30 华赛机密,未经许可不得扩散 第58页, 共74页 文档名称 文档密级 # 配置域间缺省包过滤规则。 [USG3000 A] firewall packet-filter default permit interzone local untrust 配置Local和Untrust域间缺省包过滤规则的目的为允许IPSec隧道两端设备通信,使其能够协商SA。 # 配置名为tran1的IPSec提议。 [USG3000 A] ipsec proposal tran1 # 配置安全协议。 [USG3000 A-ipsec-proposal-tran1] transform esp # 配置报文封装类型。 [USG3000 A-ipsec-proposal-tran1] encapsulation-mode tunnel # 配置ESP协议的认证算法。 [USG3000 A-ipsec-proposal-tran1] esp authentication-algorithm md5 # 配置ESP协议的加密算法。 [USG3000 A-ipsec-proposal-tran1] esp encryption-algorithm des # 退回系统视图。 [USG3000 A-ipsec-proposal-tran1] quit # 创建IKE提议10。 [USG3000 A] ike proposal 10 # 配置使用RSA签名验证方式。 [USG3000 A-ike-proposal-10] authentication-method rsa-sig # 配置使用MD5验证算法。 [USG3000 A-ike-proposal-10] authentication-algorithm md5 # 配置ISAKMP SA的生存周期为5000秒。 [USG3000 A-ike-proposal-10] sa duration 5000 # 退回系统视图。 2013-3-30 华赛机密,未经许可不得扩散 第59页, 共74页 文档名称 文档密级 [USG3000 A-ike-proposal-10] quit # 进入IKE Peer视图。 [USG3000 A] ike peer a # 引用IKE安全提议。 [USG3000 A-ike-peer-a] ike-proposal 10 # 配置隧道对端IP地址。 [USG3000 A-ike-peer-a] remote-address 202.39.169.1 # 配置本地证书。 [USG3000 A-ike-peer-a] certificate local-filename hh1_local.cer # 退回系统视图。 [USG3000 A-ike-peer-a] quit # 创建安全策略。 [USG3000 A] ipsec policy map1 10 isakmp # 引用ike-peer a。 [USG3000 A-ipsec-policy-isakmp-map1-10] ike-peer a # 引用名为tran1的安全提议。 [USG3000 A-ipsec-policy-isakmp-map1-10] proposal tran1 # 引用组号为3000的ACL。 [USG3000 A-ipsec-policy-isakmp-map1-10] security acl 3000 # 退回系统视图。 [USG3000 A-ipsec-policy-isakmp-map1-10] quit # 进入以太网接口视图。 [USG3000 A] interface GigabitEthernet 0/0 # 引用IPSec策略。 [USG3000 A-GigabitEthernet0/0] ipsec policy map1 步骤 2 配置USG3000 B # 进入系统视图。 2013-3-30 华赛机密,未经许可不得扩散 第60页, 共74页 文档名称 文档密级 # 配置本端设备的名称。 [USG3000] sysname USG3000 B # 进入GigabitEthernet 0/0视图。 [USG3000 B] interface GigabitEthernet 0/0 # 配置GigabitEthernet 0/0的IP地址。 [USG3000 B-GigabitEthernet0/0] ip address 202.39.169.1 16 # 关闭接口的快速转发功能。 [USG3000 B-GigabitEthernet0/0] undo ip fast-forwarding qff # 退回系统视图。 [USG3000 B-GigabitEthernet0/0] quit # 进入GigabitEthernet 0/1视图。 [USG3000 B] interface GigabitEthernet 0/1 # 配置GigabitEthernet 0/1的IP地址。 [USG3000 B-GigabitEthernet0/1] ip address 172.70.2.1 24 # 关闭接口的快速转发功能。 [USG3000 B-GigabitEthernet0/1] undo ip fast-forwarding qff # 退回系统视图。 [USG3000 B-GigabitEthernet0/1] quit # 进入Trust区域视图。 [USG3000 B] firewall zone trust # 配置GigabitEthernet 0/1加入Trust区域。 [USG3000 B-zone-trust] add interface GigabitEthernet 0/1 # 退回系统视图。 [USG3000 B-zone-trust] quit # 进入Untrust区域视图。 [USG3000 B] firewall zone untrust # 配置GigabitEthernet 0/0加入Untrust区域。 2013-3-30 华赛机密,未经许可不得扩散 第61页, 共74页 文档名称 文档密级 [USG3000 B-zone-untrust] add interface GigabitEthernet 0/0 # 退回系统视图。 [USG3000 B-zone-untrust] quit # 配置到达Host 1的静态路由。 [USG3000 B] ip route-static 10.10.1.0 24 202.39.160.1 # 配置ACL规则,允许Host 2所在网段的主机访问Host 1所在网段的主机。 [USG3000 B] acl 3000 [USG3000 B-acl-adv-3000] rule permit ip source 172.70.2.0 0.0.0.255 destination 10.10.1.0 0.0.0.255 # 退回系统视图。 [USG3000 B-acl-adv-3000] quit # 配置ACL规则,允许Host 1所在网段的主机访问。 [USG3000 B] acl 3001 [USG3000 B-acl-adv-3001] rule permit ip source 10.10.1.0 0.0.0.255 # 退回系统视图。 [USG3000 B-acl-adv-3001] quit # 进入Trust和Untrust域间视图。 [USG3000 B] firewall interzone trust untrust # 配置域间包过滤规则。 [USG3000 B-interzone-trust-untrust] packet-filter 3000 outbound [USG3000 B-interzone-trust-untrust] packet-filter 3001 inbound # 退回系统视图。 [USG3000 B-interzone-trust-untrust] quit # 配置域间缺省包过滤规则。 [USG3000 B] firewall packet-filter default permit interzone local untrust 2013-3-30 华赛机密,未经许可不得扩散 第62页, 共74页 文档名称 文档密级 配置Local和Untrust域间缺省包过滤规则的目的为允许IPSec隧道两端设备通信,使其能够协商SA。 # 创建名为tran1的IPSec提议。 [USG3000 B] ipsec proposal tran1 # 配置安全协议。 [USG3000 B-ipsec-proposal-tran1] transform esp # 配置报文封装形式。 [USG3000 B-ipsec-proposal-tran1] encapsulation-mode tunnel # 配置ESP协议认证算法。 [USG3000 B-ipsec-proposal-tran1] esp authentication-algorithm md5 # 配置ESP协议加密算法。 [USG3000 B-ipsec-proposal-tran1] esp encryption-algorithm des # 退回系统视图。 [USG3000 B-ipsec-proposal-tran1] quit # 创建号码为10的IKE提议。 [USG3000 B] ike proposal 10 # 配置使用RSA签名验证方式。 [USG3000 A-ike-proposal-10] authentication-method rsa-sig # 配置采用MD5验证算法。 [USG3000 B-ike-proposal-10] authentication-algorithm md5 # 配置ISAKMP SA生存周期为5000秒。 [USG3000 B-ike-proposal-10] sa duration 5000 # 退回系统视图。 [USG3000 B-ike-proposal-10] quit # 创建名为a的IKE Peer。 [USG3000 B] ike peer a 2013-3-30 华赛机密,未经许可不得扩散 第63页, 共74页 文档名称 文档密级 # 配置对端IP地址。 [USG3000 B-ike-peer-a] remote-address 202.39.160.1 # 引用IKE提议。 [USG3000 B-ike-peer-a] ike-proposal 10 # 配置本地证书。 [USG3000 B-ike-peer-a]certificate local-filename hh2_local.cer # 退回系统视图。 [USG3000 B-ike-peer-a] quit # 创建IPSec策略。 [USG3000 B] ipsec policy map1 10 isakmp # 引用IKE Peer。 [USG3000 B-ipsec-policy-isakmp-map1-10] ike-peer a # 引用IPSec提议。 [USG3000 B-ipsec-policy-isakmp-map1-10] proposal tran1 # 引用组号为3000的ACL。 [USG3000 B-ipsec-policy-isakmp-map1-10] security acl 3000 # 退回系统视图。 [USG3000 B-ipsec-policy-isakmp-map1-10] quit # 进入以太网接口视图。 [USG3000 B] interface GigabitEthernet 0/0 # 引用IPSec策略。 [USG3000 B-GigabitEthernet0/0] ipsec policy map1 ----结束 8.7.4 配置使用SCEP方式申请证书示例 组网需求 如图8-4所示,USG3000与CA服务器正常通信。CA服务器上启用了证书服务,以及SCEP协议。 2013-3-30 华赛机密,未经许可不得扩散 第64页, 共74页 文档名称 文档密级 目前只支持Windows 2003 Server的证书申请受理机构。 图8-4 使用SCEP方式申请证书配置示例组网图 配置思路 采用如下思路进行配置: 1. 在USG3000上配置证书申请基本功能。 2. 先获取CA证书,再申请本地证书,最后申请CRL。 数据准备 为完成此配置示例,需准备如下数据: l 获取证书和CRL的机构为RA。 l RA的URL为 “http://11.0.0.1/certsrv/mscep/mscep.dll”。 配置步骤 步骤 1 配置USG3000接口的IP地址 (略) 步骤 2 配置证书申请基本功能 # 配置实体名称。 [USG3000-pki-entity-test] country cn [USG3000-pki-entity-test] state zhejiang [USG3000-pki-entity-test] locality hangzhou [USG3000-pki-entity-test] organization test [USG3000-pki-entity-test] organization-unit security 2013-3-30 华赛机密,未经许可不得扩散 第65页, 共74页 文档名称 文档密级 [USG3000-pki-entity-test] common-name hh [USG3000-pki-entity-test] fqdn hh.com [USG3000-pki-entity-test] ip-address 192.168.1.1 [USG3000-pki-entity-test] email security@hh.com [USG3000-pki-entity-test] quit # 配置证书申请机构。 [USG3000] pki domain security [USG3000-pki-domain-security] ca identifier seca [USG3000-pki-domain-security] certificate request url http://11.0.0.1/certsrv/mscep/mscep.dll [USG3000-pki-domain-security] certificate request entity test [USG3000-pki-domain-security] certificate request polling count 10 [USG3000-pki-domain-security] certificate request polling interval 10 [USG3000-pki-domain-security] crl update-period 1 [USG3000-pki-domain-security] crl auto-update enable [USG3000-pki-domain-security] crl url http://11.0.0.1/certsrv/mscep/mscep.dll [USG3000-pki-domain-security] quit # 生成RSA密钥对。 [USG3000] rsa local-key-pair create The key name will be: USG3000_Host The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, It will take a few minutes. Input the bits in the modulus[default = 512]: Generating keys... ...++++++++++++ .....++++++++++++ .......................................++++++++ ...........................++++++++ 步骤 3 获取CA证书、本地证书和CRL # 获取CA证书。 [USG3000] pki retrieval-certificate ca domain security Retrievaling CA/RA certificates,Please wait a while...... We receive 3 certificates. The trusted CA's fingerprint is: 2013-3-30 华赛机密,未经许可不得扩散 第66页, 共74页 文档名称 文档密级 MD5 fingerprint:0D4B 8AA2 E542 A289 071C 6F3F 5A76 7189 SHA1 fingerprint:D048 9270 3450 C45E F8F7 8007 C373 4CC6 FA26 FE5B Is the fingerprint correct?(Y/N):y Saving the CA/RA certificate to flash...... %Jan 23 11:21:31 2008 USG3000 PKI/5/PKI:Domain security retrieved CA certificate s uccessfully with SCEP # 申请本地证书。 [USG3000] pki request-certificate domain security %Jan 23 11:56:39 2008 USG3000 PKI/5/PKI:Domain security is retrievalling local cer tificate with SCEP... %Jan 23 11:56:49 2008 USG3000 PKI/5/PKI:Domain security retrieved local certificat e successfully with SCEP # 获取CRL。 [USG3000] pki retrieval-crl domain security %Mar 20 12:59:42 2008 USG3000 PKI/5/PKI:Domain security is retrievalling CRL with SCEP... %Mar 20 12:59:54 2008 USG3000 PKI/5/PKI:Domain security retrieved CRL successfully with SCEP 步骤 4 验证配置结果 # 显示ca_list和cert_ist,查看是否获取到证书。 [USG3000] display pki ca_list The x509_obj type is CRL: Certificate Revocation List (CRL): Version 2 (0x1) Signature Algorithm: sha1WithRSAEncryption Issuer: CN=security-fw-ca,DC=cctv Last Update: Mar 18 02:35:27 2008 GMT Next Update: Mar 25 14:55:27 2008 GMT CRL extensions: X509v3 Authority Key Identifier: keyid:08C0D9D3 C2710575 8E4684FC 4395F17B DDE9BE81 2013-3-30 华赛机密,未经许可不得扩散 第67页, 共74页 文档名称 文档密级 1.3.6.1.4.1.311.21.1: ... X509v3 CRL Number: 171 1.3.6.1.4.1.311.21.4: 080325024527Z . 2.5.29.46: 0..0...........ldap:///CN=security-fw-ca,CN=ca,CN=CDP,CN=Public%20 Key%20Services,CN=Services,CN=Configuration,DC=cctv?deltaRevocationList?base?obj ectClass=cRLDistributionPoint.+http://ca.cctv/CertEnroll/security-fw-ca+.crl 1.3.6.1.4.1.311.21.14: 0..0...........ldap:///CN=test-fw-security,CN=ca,CN=CDP,CN=Public%20 Key%20Services,CN=Services,CN=Configuration,DC=cctv?certificateRevocationList?ba se?objectClass=cRLDistributionPoint Revoked Certificates: Serial Number: 61674F34000000000003 Revocation Date: Sep 20 01:50:41 2007 GMT Serial Number: 61674E59000000000002 Revocation Date: Sep 20 01:50:41 2007 GMT Signature Algorithm: sha1WithRSAEncryption b6:b1:bf:81:fb:cf:64:cf:4d:03:57:b1:9d:65:d8:07:a5:d4: e7:18:b9:6e:21:78:01:75:14:72:e2:7c:b4:1c:bf:87:be:ce: 04:e9:90:7d:38:91:d5:4c:e0:73:20:91:99:fb:d7:74:51:fd: 9e:aa:ce:28:bd:b8:bc:dc:5d:20:28:f9:01:8e:57:ff:e3:fd: 66:d5:d5:b4:9f:98:80:73:d5:31:b0:17:32:bd:e9:b7:c9:54: 09:b1:ac:06:52:eb:88:7f:0f:56:f0:79:8e:db:35:67:44:4f: 86:04:f9:ee:ee:5d:c4:5d:ac:6d:2e:ce:75:51:84:35:16:a9: 89:2f:54:cf:45:02:e9:8c:ee:be:5c:4f:ec:b9:0a:8d:29:d6: 2013-3-30 华赛机密,未经许可不得扩散 第68页, 共74页 文档名称 文档密级 ab:c8:89:07:9e:f8:b0:88:79:fc:0e:76:47:0f:1b:a2:5b:0c: 9b:03:f2:c0:b0:b2:79:54:fd:57:d4:d9:6f:03:52:b5:21:8e: 31:58:b4:98:fb:44:c6:f3:6f:ca:80:76:1d:51:1f:5a:08:d8: 53:55:a3:b8:f3:96:1c:00:99:88:3b:57:01:9f:ad:60:f0:41: b0:94:28:0f:4f:59:f8:c0:d4:27:7c:bf:cc:3a:40:e8:7a:6f: 95:11:f4:cf:c9:ad:5b:d3:98:98:ec:90:37:08:d2:37:35:e9: a9:7b:55:7a The x509_obj type is Cert: Certificate: Data: Version: 3 (0x2) Serial Number: 7a:af:7b:76:d0:d4:eb:8c:40:01:0d:60:e5:a1:21:5e Signature Algorithm: sha1WithRSAEncryption Issuer: CN=test-fw-security,DC=cctv Validity Not Before: Sep 14 05:37:48 2007 GMT Not After : Sep 14 05:46:47 2012 GMT Subject: CN=test-fw-security,DC=cctv Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:db:54:b0:0d:58:b6:47:fc:a4:78:dd:7e:f2:b1: 90:5f:ae:79:2d:22:b5:69:e2:37:66:f5:ec:0b:6d: bc:8c:1e:0c:42:39:0a:77:17:1f:81:ec:d8:4a:2e: a0:eb:70:68:34:51:73:99:5f:4b:2d:b1:e2:93:79: 0f:f1:2f:23:7b:c1:d1:dd:91:22:65:72:5c:e2:db: 48:c0:d5:65:94:2c:3f:96:d7:ee:ba:a9:43:46:50: 2013-3-30 华赛机密,未经许可不得扩散 第69页, 共74页 文档名称 文档密级 7c:c9:19:05:6a:1d:30:00:9a:fd:29:60:f0:9f:24: e4:04:35:39:c0:46:15:6f:61:9e:38:aa:8e:32:48: b3:95:86:81:8c:33:0d:94:b4:35:3a:fe:68:e5:cc: fe:87:83:5a:31:6d:c3:41:54:a2:ca:bd:ab:72:84: 1e:19:1d:80:07:78:04:94:c0:4e:49:0a:e6:67:1e: 5d:68:7d:72:17:aa:c4:56:7e:82:3f:30:9b:22:1f: 66:8d:56:22:3e:93:3e:ef:13:8e:06:bd:d2:85:9e: 5a:95:40:31:d8:78:f2:1e:2c:1b:5b:42:28:6a:31: c4:9e:57:a0:27:0c:31:22:1e:bd:51:88:39:58:f9: 93:90:a0:a1:b8:e4:03:9d:63:55:7a:7a:ba:eb:e9: d3:b0:1b:9c:ef:72:a8:9a:9a:55:e8:e6:69:fd:6e: bd:fd Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Key Usage: Digital Signature, Certificate Sign, CRL Sign X509v3 Basic Constraints: critical CA:TRUE X509v3 Subject Key Identifier: 08C0D9D3 C2710575 8E4684FC 4395F17B DDE9BE81 X509v3 CRL Distribution Points: URI:ldap:///CN=test-fw-security,CN=ca,CN=CDP,CN=Public%20Key%20Services, CN=Services,CN=Configuration,DC=cctv?certificateRevocationList?base?objectClass= cRLDistributionPoint URI:http://ca.cctv/CertEnroll/test-fw-security.crl 1.3.6.1.4.1.311.21.1: ... Signature Algorithm: sha1WithRSAEncryption 2013-3-30 华赛机密,未经许可不得扩散 第70页, 共74页 文档名称 文档密级 c4:4a:56:0e:d2:08:9f:ff:19:0c:16:d8:87:5a:30:b2:08:9c: a8:f8:12:61:8a:7e:35:08:5b:ce:de:59:bc:89:43:80:5c:28: 7f:92:92:b6:9f:02:f2:41:27:be:87:e6:ae:16:e1:5a:8e:c6: 24:09:4d:f9:5a:3e:7f:38:6d:3f:c4:5b:5c:b2:9a:df:ac:11: fc:0d:b1:73:4a:1b:a5:97:7c:67:92:f8:6f:3f:ad:27:93:8c: 5f:98:80:a1:5e:a3:06:ef:c1:d7:12:dd:a0:90:37:48:24:3d: 91:0d:18:80:93:a8:2a:af:2a:5e:16:a1:41:88:75:30:6f:89: 29:55:ad:dc:ab:53:ee:f2:09:54:6a:f0:7b:da:8e:d3:8b:3b: f0:45:81:54:c2:3b:5b:f6:af:ca:11:24:bc:b1:81:d8:ad:5d: f5:0a:45:dd:37:48:b1:6e:c6:7f:cc:65:a8:b5:83:0e:28:fa: 0a:42:d4:04:b3:2c:f9:ca:ff:72:d6:4e:72:0f:61:7a:33:f6: 07:c3:56:f4:c9:1c:bf:02:47:91:56:7e:78:f1:84:a9:d5:37: be:64:89:e6:1c:c7:f3:ad:9e:66:e7:5f:0c:4c:ce:a3:6c:49: fb:2b:df:4e:2d:6d:67:27:05:bd:90:99:5e:ac:46:bf:83:93: 2a:09:12:6b [USG3000] display pki cert_list The x509_obj type is Cert: Certificate: Data: Version: 3 (0x2) Serial Number: 61:38:1d:7a:00:00:00:00:04:c8 Signature Algorithm: sha1WithRSAEncryption Issuer: CN=test-fw-security,DC=cctv Validity Not Before: Mar 20 03:51:37 2008 GMT Not After : Mar 20 03:51:37 2010 GMT Subject: CN=test,OU=security,O=hh,L=hangzhou,ST=zhejiang,C=CN 2013-3-30 华赛机密,未经许可不得扩散 第71页, 共74页 文档名称 文档密级 Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (512 bit) Modulus (512 bit): 00:ac:e1:18:77:39:ef:95:ed:58:11:85:22:ee:78: d0:14:61:de:f6:61:dc:d0:5b:be:22:f8:8d:3b:3e: 6f:5a:9f:fa:56:89:68:eb:31:83:29:77:0e:cb:75: d2:7f:2a:f2:df:73:25:96:c4:d5:7d:b6:9b:b4:02: 57:57:40:d5:5d Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Alternative Name: IP Address:192.168.1.1, DNS:hh.com, email:security@hh.com X509v3 Subject Key Identifier: 92F7D65F F797F92C A12E33FC 16092E35 FF5D84DE X509v3 Authority Key Identifier: keyid:08C0D9D3 C2710575 8E4684FC 4395F17B DDE9BE81 X509v3 CRL Distribution Points: URI:ldap:///CN=test-fw-security,CN=ca,CN=CDP,CN=Public%20Key%20Services, CN=Services,CN=Configuration,DC=cctv?certificateRevocationList?base?objectClass= cRLDistributionPoint URI:http://ca.cctv/CertEnroll/test-fw-security.crl Authority Information Access: CA Issuers - URI:ldap:///CN=test-fw-security,CN=AIA,CN=Public%20Key%20Se rvices,CN=Services,CN=Configuration,DC=cctv?cACertificate?base?objectClass=certi ficationAuthority CA Issuers - URI:http://ca.cctv/CertEnroll/ca.cctv_test-fw-security.crt 2013-3-30 华赛机密,未经许可不得扩散 第72页, 共74页 文档名称 文档密级 1.3.6.1.4.1.311.20.2: .0.I.P.S.E.C.I.n.t.e.r.m.e.d.i.a.t.e.O.f.f.l.i.n.e X509v3 Basic Constraints: critical CA:FALSE X509v3 Key Usage: Digital Signature, Key Encipherment X509v3 Extended Key Usage: 1.3.6.1.5.5.8.2.2 Signature Algorithm: sha1WithRSAEncryption 97:96:11:1e:92:17:6a:c5:aa:6f:7c:43:10:5b:0a:40:79:3e: 7c:92:c5:84:7b:b0:e7:02:e8:aa:b5:af:c3:d0:bd:8b:2b:09: 1d:21:ce:7c:33:ae:71:f5:31:70:95:48:c3:76:cb:c7:1d:c9: fc:94:60:6e:01:91:23:e2:d3:9a:ea:a2:7d:95:d3:a4:48:cf: 73:9b:7f:92:71:a2:53:72:55:cb:09:17:d9:ca:f0:d1:47:56: e1:fe:cf:fd:7d:85:6a:08:56:b2:25:35:b1:22:f5:cb:79:af: 99:71:6d:34:95:45:3a:57:37:bc:3e:e9:e9:de:19:73:14:7b: 91:96:64:8e:3f:ec:34:c1:39:07:e2:e9:a0:a4:ef:7e:34:20: 44:84:78:7b:24:14:2e:9e:7e:3e:34:ab:3f:09:fc:87:b4:99: 4b:8b:8c:53:d8:8c:07:f8:b7:c6:8e:31:0d:17:f2:06:d1:aa: ae:21:25:d6:f9:7b:2d:f7:27:9b:e4:de:15:43:8b:8a:a7:59: 7e:e5:5f:fa:57:d3:12:bf:f3:f1:90:00:ff:9d:92:4e:89:53: b8:98:a4:a0:03:b7:c9:d4:18:8b:d4:b8:6c:85:ef:7d:9f:9c: 17:f4:32:fc:91:d4:5c:66:72:7a:5b:52:de:93:9b:2c:19:fd: 82:45:95:44 ----结束 2013-3-30 华赛机密,未经许可不得扩散 第73页, 共74页 文档名称 文档密级 2013-3-30 华赛机密,未经许可不得扩散 第74页, 共74页 因篇幅问题不能全部显示,请点此查看更多更全内容