安全外殼協議（SSH）是一種在不安全網絡上提供安全遠程登錄及其它安全網絡服務的協議。Secure Shell，又可記為SSH，最初是UNIX系統上的一個程序，后來又迅速擴展到其他操作平臺。SSH是一個好的應用程序，在正確使用時，它可以彌補網絡中的漏洞。

SSH 主要有三部分組成：

傳輸層協議 [SSH-TRANS] 提供了服務器認證，保密性及完整性。此外它有時還提供壓縮功能。 SSH-TRANS 通常運行在 TCP/IP連接上，也可能用于其它可靠數據流上。 SSH-TRANS 提供了強力的加密技術、密碼主機認證及完整性保護。該協議中的認證基于主機，并且該協議不執行用戶認證。更高層的用戶認證協議可以設計為在此協議之上。

用戶認證協議 [SSH-USERAUTH] 用于向服務器提供客戶端用戶鑒別功能。它運行在傳輸層協議 SSH-TRANS 上面。當 SSH-USERAUTH 開始后，它從低層協議那里接收會話標識符（從第一次密鑰交換中的交換哈希 H ）。會話標識符唯一標識此會話并且適用于標記以證明私鑰的所有權。 SSH-USERAUTH 也需要知道低層協議是否提供保密性保護。

連接協議 [SSH-CONNECT] 將多個加密隧道分成邏輯通道。它運行在用戶認證協議上。它提供了交互式登錄話路、遠程命令執行、轉發 TCP/IP 連接和轉發 X11 連接。

通過使用SSH，你可以把所有傳輸的數據進行加密，這樣"中間人"這種攻擊方式就不可能實現了，而且也能夠防止DNS欺騙和IP欺騙。使用SSH，還有一個額外的好處就是傳輸的數據是經過壓縮的，所以可以加快傳輸的速度。SSH有很多功能，它既可以代替Telnet，又可以為FTP、PoP、甚至為PPP提供一個安全的"通道"。

很多情況是由于服務器提供了Telnet服務引起的。的確，對于UNIX系統，如果要遠程管理它，必定要使用遠程終端，而要使用遠程終端，自然要在服務器上啟動Telnet服務。但是Telnet服務有一個致命的弱點——它以明文的方式傳輸用戶名及口令，所以，很容易被別有用心的人竊取口令。目前，一種有效代替Telnet服務的有用工具就是SSH服務。SSH客戶端與服務器端通訊時，用戶名及口令均進行了加密，有效防止了對口令的竊聽。SSH的出現使遠程控制更加安全。

SSH雖然有上述優點，但還是會受到黑客的攻擊，下面再談談如何防止SSH攻擊：

1、基本配置：

有不認證，密碼認證，用戶名和密碼認證三中方式，建議采用基于用戶和密碼的認證方式。如果考慮到所有網絡設備進行統一認證，可以使用同一個radius服務器進行認證。具體如下：

建立一個權限是觀察級別的telnet用戶：

local-user test 
password cipher 3M]*QF/H]KL`K&@YU8<4)!!! 
service-type telnet level 0 

在tty 0 4 接口上使能用戶和密碼認證：

user-interface vty 0 4 
authentication-mode scheme 

2、考慮到安全性，可以將認證用戶的權限設置為level 0參觀級別。然后使用super命令進行權限提升，綜合考慮到用戶名，密碼，超級密碼，可以說為黑客設置了三道防線。具體如下：

super password level 3 cipher /C]JIDTXNUC8BT:.’_^U$A!! 

3、可以在tty接口設置acl，只允許部分ip遠程telnet，是為第四道防線，具體如下：

建立一個基于源ip的acl：

acl number 2000 
rule 0 permit source 192.168.1.0 0.0.0.255 

將acl應用在vty 0 4的inbound方向：

user-interface vty 0 4 
acl 2000 inbound 

4、結合以往經驗，經常會有ssh攻擊網絡設備，雖然不會導致設備被入侵，但會占用cpu和內存等資源，可以在tty接口不允許ssh報文進入，是為第五道防線，具體如下：

在vty 0 4接口只允許telnet用戶訪問：

user-interface vty 0 4 
protocol inbound telnet 

真正利用好SSH服務可以提高遠程控制的安全性，防止口令被竊取。