注意：整個實(shí)驗(yàn)可以使用GNS3+虛擬機(jī)完成！

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴，公司提供的服務(wù)項(xiàng)目有：空間域名、網(wǎng)絡(luò)空間、營銷軟件、網(wǎng)站建設(shè)、興安盟烏蘭浩特網(wǎng)站維護(hù)、網(wǎng)站推廣。

演示目標(biāo)：

n配置思科IPS系統(tǒng)上的Certificates選項(xiàng)

n配置思科IPS系統(tǒng)上的SSH選項(xiàng)

演示環(huán)境：仍然使用如圖4.24所示的網(wǎng)絡(luò)環(huán)境。

演示工具：思科的IPS系統(tǒng)。

演示步驟：

第一步：首先來理解思科IPS上的Certificates（證書）選項(xiàng)，該選項(xiàng)下有兩個子項(xiàng)目，分別是Trusted Hosts（信任主機(jī)）和Server Certificate（服務(wù)器證書）。下面是理解和配置這兩個子項(xiàng)目的詳細(xì)描述：

Trusted Hosts：

如下圖4.29為信任主機(jī)配置對話框，它的應(yīng)用意義產(chǎn)生在很多IPS設(shè)備與其它設(shè)備比如路由器、交換機(jī)、防火墻聯(lián)動防御時，通過一個非常典型的環(huán)境來說明這個問題，如下圖4.30所示，在這個環(huán)境中，***防御系統(tǒng)IPS1和IPS2都發(fā)生的安全違規(guī)事件，此時它們都認(rèn)為需要聯(lián)動防火墻上去做安全配置，比如寫ACL或者做其它的安全加固，但是，如果IPS1和IPS2同時向防火墻寫入安全配置，這是一件不科學(xué)的事情，因?yàn)橥瑫r操作，可能會有沖突或者將后一步的配置將原有的配置覆蓋，思科的解決方案是，此時在這個種環(huán)境中選出一臺IPS作為主控（master）IPS，配置只能讓主控IPS寫入，比如將IPS1作為主控IPS，如果IPS2也需要向防火墻作配置，那么IPS2將配置申請交給IPS1，由IPS1負(fù)責(zé)將其配置完成，但是主控IPS1并不是任何的申請都可以接受，它只接受它信任的主機(jī)，那么誰是主控IPS信任的主機(jī)，這將由圖4.29的配置所決定。在這個配置中將會把信任主機(jī)的IP地址和它的證書相關(guān)聯(lián)，IP外填寫信任主機(jī)的IP地址，在Port處填寫443，該IPS會自動獲取信任主機(jī)的證書（事實(shí)上就是信任主機(jī)的公鑰）。

Server Certificate：

所謂的Server Certificate就是IPS系統(tǒng)當(dāng)前自簽名的證書，如下圖4.31所示，它用來向IPS管控臺（通常是使用IDM配置設(shè)備的管理主機(jī)）證明自己的身份，一般將其保持默認(rèn)不變，但是如果你改變了時間，建議您通過點(diǎn)擊如下圖4.31所示的Generatecertificate來重新產(chǎn)生一張自簽名的證書，因?yàn)闀r間和證書的有效性有相當(dāng)重要的關(guān)聯(lián)，否則當(dāng)連接IPS時可能提示證書有效期已過，證書失效等。

第二步：如果使用IDM配置設(shè)備，思科IPS默認(rèn)就是使用的SSH，在SSH選項(xiàng)下面有三個子項(xiàng)目，Authorized key(授權(quán)的key)、Known Host key（已知主機(jī)的Key）、Sensor key（傳感器的Key），它下具體的意義與配置如下所述：

Authorized key(授權(quán)的key)：

它指示管理主機(jī)可以使用公鑰來SSH安全連接到IPS上，此時的IPS將作為SSH的服務(wù)端，實(shí)際做法是：主機(jī)在本地使用公私鑰產(chǎn)生工具產(chǎn)生一個公私鑰對，然后將公鑰通過某種方式復(fù)制給IPS,也就復(fù)制到下圖4.32中的public Modulus里面，私鑰由客戶主機(jī)自己保存，那么此時的IPS就具備了客戶端的公鑰，當(dāng)客戶端SSH時就可以將它的公鑰提交給IPS，IPS會將客戶端提交的公鑰與public Modulus里面的公鑰作對比，完成對客戶端的驗(yàn)證。ID指示公鑰的ID，它的取值范圍是1-256字符串；modulusLength指示公鑰的長度，它的取值是512-2048；PublicExponent指示公鑰的指數(shù)，事實(shí)上它是一個整數(shù)，有效的取值范圍是3到2147483647，使用RSA標(biāo)準(zhǔn)來加密數(shù)據(jù)；public Modulus指示存放著客戶端的公鑰內(nèi)容。

Known Host key（已知主機(jī)的Key）：

該密鑰一般在IPS設(shè)備與其它網(wǎng)絡(luò)設(shè)備聯(lián)動時，完成Blocking會使用到，比如IPS可能需要登陸到路由器、防火墻上寫安全策略，而且IPS選擇了SSH安全連接，此時的IPS將是SSH的客戶端，它（IPS）必須獲得那些Blocking devices（比如：路由器、防火墻）的公鑰，那么這些公鑰就是所謂Known Host key（已知主機(jī)的Key）?？梢酝ㄟ^在如圖4.33的對話框中，配置了Blockingdevices的IP后，點(diǎn)擊Retrieve Host Key自動向相關(guān)設(shè)備進(jìn)行檢索獲得。

Sensor key(傳感器的Key)：

由思科傳感器自己所產(chǎn)生的公私鑰對，如果您不想使用現(xiàn)在的公私鑰對，你可以通過點(diǎn)擊Generate Key重新來產(chǎn)生公私鑰對，如下圖4.34所示。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

新聞標(biāo)題：演示：配置安全的shell屬性-創(chuàng)新互聯(lián)
分享地址：http://weahome.cn/article/csihdi.html