注意：整個(gè)實(shí)驗(yàn)可以使用GNS3+虛擬機(jī)完成！

成都創(chuàng)新互聯(lián)2013年至今，公司以成都網(wǎng)站建設(shè)、網(wǎng)站制作、系統(tǒng)開發(fā)、網(wǎng)絡(luò)推廣、文化傳媒、企業(yè)宣傳、平面廣告設(shè)計(jì)等為主要業(yè)務(wù)，適用行業(yè)近百種。服務(wù)企業(yè)客戶超過千家，涉及國內(nèi)多個(gè)省份客戶。擁有多年網(wǎng)站建設(shè)開發(fā)經(jīng)驗(yàn)。為企業(yè)提供專業(yè)的網(wǎng)站建設(shè)、創(chuàng)意設(shè)計(jì)、宣傳推廣等服務(wù)。 通過專業(yè)的設(shè)計(jì)、獨(dú)特的風(fēng)格，為不同客戶提供各種風(fēng)格的特色服務(wù)。

演示目標(biāo)：

n配置思科IPS系統(tǒng)上的Certificates選項(xiàng)

n配置思科IPS系統(tǒng)上的SSH選項(xiàng)

演示環(huán)境：仍然使用如圖4.24所示的網(wǎng)絡(luò)環(huán)境。

演示工具：思科的IPS系統(tǒng)。

演示步驟：

第一步：首先來理解思科IPS上的Certificates（證書）選項(xiàng)，該選項(xiàng)下有兩個(gè)子項(xiàng)目，分別是Trusted Hosts（信任主機(jī)）和Server Certificate（服務(wù)器證書）。下面是理解和配置這兩個(gè)子項(xiàng)目的詳細(xì)描述：

Trusted Hosts：

　如下圖4.29為信任主機(jī)配置對(duì)話框，它的應(yīng)用意義產(chǎn)生在很多IPS設(shè)備與其它設(shè)備比如路由器、交換機(jī)、防火墻聯(lián)動(dòng)防御時(shí)，通過一個(gè)非常典型的環(huán)境來說明這個(gè)問題，如下圖4.30所示，在這個(gè)環(huán)境中，***防御系統(tǒng)IPS1和IPS2都發(fā)生的安全違規(guī)事件，此時(shí)它們都認(rèn)為需要聯(lián)動(dòng)防火墻上去做安全配置，比如寫ACL或者做其它的安全加固，但是，如果IPS1和IPS2同時(shí)向防火墻寫入安全配置，這是一件不科學(xué)的事情，因?yàn)橥瑫r(shí)操作，可能會(huì)有沖突或者將后一步的配置將原有的配置覆蓋，思科的解決方案是，此時(shí)在這個(gè)種環(huán)境中選出一臺(tái)IPS作為主控（master）IPS，配置只能讓主控IPS寫入，比如將IPS1作為主控IPS，如果IPS2也需要向防火墻作配置，那么IPS2將配置申請(qǐng)交給IPS1，由IPS1負(fù)責(zé)將其配置完成，但是主控IPS1并不是任何的申請(qǐng)都可以接受，它只接受它信任的主機(jī)，那么誰是主控IPS信任的主機(jī)，這將由圖4.29的配置所決定。在這個(gè)配置中將會(huì)把信任主機(jī)的IP地址和它的證書相關(guān)聯(lián)，IP外填寫信任主機(jī)的IP地址，在Port處填寫443，該IPS會(huì)自動(dòng)獲取信任主機(jī)的證書（事實(shí)上就是信任主機(jī)的公鑰）。

Server Certificate：

　所謂的Server Certificate就是IPS系統(tǒng)當(dāng)前自簽名的證書，如下圖4.31所示，它用來向IPS管控臺(tái)（通常是使用IDM配置設(shè)備的管理主機(jī)）證明自己的身份，一般將其保持默認(rèn)不變，但是如果你改變了時(shí)間，建議您通過點(diǎn)擊如下圖4.31所示的Generatecertificate來重新產(chǎn)生一張自簽名的證書，因?yàn)闀r(shí)間和證書的有效性有相當(dāng)重要的關(guān)聯(lián)，否則當(dāng)連接IPS時(shí)可能提示證書有效期已過，證書失效等。

第二步：如果使用IDM配置設(shè)備，思科IPS默認(rèn)就是使用的SSH，在SSH選項(xiàng)下面有三個(gè)子項(xiàng)目，Authorized key(授權(quán)的key)、Known Host key（已知主機(jī)的Key）、Sensor key（傳感器的Key），它下具體的意義與配置如下所述：

Authorized key(授權(quán)的key)：

它指示管理主機(jī)可以使用公鑰來SSH安全連接到IPS上，此時(shí)的IPS將作為SSH的服務(wù)端，實(shí)際做法是：主機(jī)在本地使用公私鑰產(chǎn)生工具產(chǎn)生一個(gè)公私鑰對(duì)，然后將公鑰通過某種方式復(fù)制給IPS,也就復(fù)制到下圖4.32中的public Modulus里面，私鑰由客戶主機(jī)自己保存，那么此時(shí)的IPS就具備了客戶端的公鑰，當(dāng)客戶端SSH時(shí)就可以將它的公鑰提交給IPS，IPS會(huì)將客戶端提交的公鑰與public Modulus里面的公鑰作對(duì)比，完成對(duì)客戶端的驗(yàn)證。ID指示公鑰的ID，它的取值范圍是1-256字符串；modulusLength指示公鑰的長度，它的取值是512-2048；PublicExponent指示公鑰的指數(shù)，事實(shí)上它是一個(gè)整數(shù)，有效的取值范圍是3到2147483647，使用RSA標(biāo)準(zhǔn)來加密數(shù)據(jù)；public Modulus指示存放著客戶端的公鑰內(nèi)容。

Known Host key（已知主機(jī)的Key）：

　該密鑰一般在IPS設(shè)備與其它網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)時(shí)，完成Blocking會(huì)使用到，比如IPS可能需要登陸到路由器、防火墻上寫安全策略，而且IPS選擇了SSH安全連接，此時(shí)的IPS將是SSH的客戶端，它（IPS）必須獲得那些Blocking devices（比如：路由器、防火墻）的公鑰，那么這些公鑰就是所謂Known Host key（已知主機(jī)的Key）?？梢酝ㄟ^在如圖4.33的對(duì)話框中，配置了Blockingdevices的IP后，點(diǎn)擊Retrieve Host Key自動(dòng)向相關(guān)設(shè)備進(jìn)行檢索獲得。

Sensor key(傳感器的Key)：

由思科傳感器自己所產(chǎn)生的公私鑰對(duì)，如果您不想使用現(xiàn)在的公私鑰對(duì)，你可以通過點(diǎn)擊Generate Key重新來產(chǎn)生公私鑰對(duì)，如下圖4.34所示。