huawei 0113安全典型配置.docx

huawei 0113安全典型配置.docx

《huawei 0113安全典型配置.docx》由会员分享，可在线阅读，更多相关《huawei 0113安全典型配置.docx（95页珍藏版）》请在冰点文库上搜索。

huawei0113安全典型配置

13?

?

安全典型配置

通过示例介绍IPSG如何防止主机私自更改IP地址，提供组网图、配置步骤和配置文件等。

13.1?

?

配置ACL

13.1.1?

?

使用ACL限制FTP访问权限示例

ACL简介

访问控制列表ACL（AccessControlList）是由一条或多条规则组成的集合。

所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器，规则是过滤器的滤芯。

设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

基于ACL规则定义方式，可以将ACL分为基本ACL、高级ACL、二层ACL等种类。

基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则，对IPv4报文进行过滤。

如果只需要根据源IP地址对报文进行过滤，可以配置基本ACL。

本例，就是将基本ACL应用在FTP模块中，实现只允许指定的客户端访问FTP服务器，以提高安全性。

配置注意事项

本例中配置的本地用户登录密码方式为irreversible-cipher，表示对用户密码采用不可逆算法进行加密，非法用户无法通过解密算法特殊处理后得到明文密码，安全性较高，该方式仅适用于V200R003C00及以后版本。

在V200R003C00之前版本上配置本地用户登录密码，仅能采用cipher方式，表示对用户密码采用可逆算法进行加密，非法用户可以通过对应的解密算法解密密文后得到明文密码，安全性较低。

本举例适用于S系列交换机所有产品的所有版本。

组网需求

如所示，Switch作为FTP服务器，对网络中的不同用户开放不同的访问权限：

其他用户不可以访问FTP服务器。

已知Switch与各个子网之间路由可达，要求在Switch上进行配置，实现FTP服务器对客户端访问权限的设置。

图13-1?

?

使用基本ACL限制FTP访问权限组网图?

操作步骤

配置时间段

system-view

[HUAWEI]sysnameSwitch

[Switch]time-rangeftp-accessfrom0:

02014/1/1to23:

592014/12/31//配置ACL生效时间段，该时间段是一个绝对时间段模式的时间段

[Switch]time-rangeftp-access14:

00to18:

00off-day//配置ACL生效时间段，该时间段是一个周期时间段，ftp-access最终生效的时间范围为以上两个时间段的交集

配置基本ACL

[Switch]aclnumber2001

[Switch-acl-basic-2001]ruledenysourceany//限制其他用户不可以访问FTP服务器

[Switch-acl-basic-2001]quit

配置FTP基本功能

[Switch]ftpserverenable//开启设备的FTP服务器功能，允许FTP用户登录

[Switch]aaa

[Switch-aaa]local-userhuaweipasswordirreversible-cipherSetUesrPasswd@123//配置FTP用户的用户名和密码，其中irreversible-cipher方式的密码仅适用于V200R003C00及以后版本，在V200R003C00之前版本上，仅适用cipher方式密码

[Switch-aaa]local-userhuaweiprivilegelevel15//配置FTP用户的用户级别

[Switch-aaa]local-userhuaweiservice-typeftp//配置FTP用户的服务类型[Switch-aaa]local-userhuaweiftp-directorycfcard:

//配置FTP用户的授权目录，在盒式交换机上需配置为flash:

[Switch-aaa]quit

配置FTP服务器访问权限

[Switch]ftpacl2001//在FTP模块中应用ACL

验证配置结果

配置文件

Switch的配置文件

#

sysnameSwitch

#

FTPserverenable

FTPacl2001

#

time-rangeftp-access14:

00to18:

00off-day

time-rangeftp-accessfrom00:

002014/1/1to23:

592014/12/31

#

aclnumber2001

rule15deny

#

aaa

local-userhuaweipasswordirreversible-cipher%^%#uM-!

TkAaGB5=$$6SQuw$#batog!

R7M_d^!

o{*@N9g'e0baw#%^%#

local-userhuaweiprivilegelevel15

local-userhuaweiftp-directorycfcard:

local-userhuaweiservice-typeftp

#

return

13.1.2?

?

使用ACL限制用户在特定时间访问特定服务器的权限示例

ACL简介

访问控制列表ACL（AccessControlList）是由一条或多条规则组成的集合。

所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器，规则是过滤器的滤芯。

设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

基于ACL规则定义方式，可以将ACL分为基本ACL、高级ACL、二层ACL等种类。

高级ACL根据源IP地址、目的地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则，对IPv4报文进行过滤。

与基本ACL相比，高级ACL提供了更准确、丰富、灵活的规则定义方法。

例如，当希望同时根据源IP地址和目的IP地址对报文进行过滤时，则需要配置高级ACL。

本例，就是将高级ACL应用在流策略模块，使设备可以对用户在特定时间访问特定服务器的报文进行过滤，达到基于时间限制用户访问该服务器权限的目的。

配置注意事项

本举例适用于S系列交换机所有产品的所有版本。

组网需求

图13-2?

?

使用ACL限制用户在特定时间访问特定服务器的权限组网图?

配置思路

采用如下的思路在Switch上进行配置：

配置时间段、高级ACL和基于ACL的流分类，使设备可以基于时间的ACL，对用户访问服务器的报文进行过滤，从而限制不同用户在特定时间访问特定服务器的权限。

配置流行为，拒绝匹配上ACL的报文通过。

配置并应用流策略，使ACL和流行为生效。

操作步骤

配置接口加入VLAN，并配置VLANIF接口的IP地址

#将GE1/0/1～GE1/0/3分别加入VLAN10、20、30，GE2/0/1加入VLAN100，并配置各VLANIF接口的IP地址。

下面配置以GE1/0/1和VLANIF10接口为例，接口GE1/0/2、GE1/0/3和GE2/0/1的配置与GE1/0/1接口类似，接口VLANIF20、VLANIF30和VLANIF100的配置与VLANIF10接口类似，不再赘述。

system-view

[HUAWEI]sysnameSwitch

[Switch]vlanbatch102030100

[Switch]interfacegigabitethernet1/0/1

[Switch-GigabitEthernet1/0/1]portlink-typetrunk

[Switch-GigabitEthernet1/0/1]porttrunkallow-passvlan10

[Switch-GigabitEthernet1/0/1]quit

[Switch]interfacevlanif10

[Switch-Vlanif10]quit

配置时间段

#配置8:

00至17:

30的周期时间段。

[Switch]time-rangesatime8:

00to17:

30working-day//配置ACL生效时间段，该时间段是一个周期时间段

配置ACL

#配置市场部门到工资查询服务器的访问规则。

[Switch]acl3002

[Switch-acl-adv-3002]quit

#配置研发部门到工资查询服务器的访问规则。

[Switch]acl3003

[Switch-acl-adv-3003]quit

配置基于ACL的流分类

#配置流分类c_market，对匹配ACL3002的报文进行分类。

[Switch]trafficclassifierc_market//创建流分类

[Switch-classifier-c_market]if-matchacl3002//将ACL与流分类关联

[Switch-classifier-c_market]quit

#配置流分类c_rd，对匹配ACL3003的报文进行分类。

[Switch]trafficclassifierc_rd//创建流分类

[Switch-classifier-c_rd]if-matchacl3003//将ACL与流分类关联

[Switch-classifier-c_rd]quit

配置流行为

#配置流行为b_market，动作为拒绝报文通过。

[Switch]trafficbehaviorb_market//创建流行为

[Switch-behavior-b_market]deny//配置流行为动作为拒绝报文通过

[Switch-behavior-b_market]quit

#配置流行为b_rd，动作为拒绝报文通过。

[Switch]trafficbehaviorb_rd//创建流行为

[Switch-behavior-b_rd]deny//配置流行为动作为拒绝报文通过

[Switch-behavior-b_rd]quit

配置流策略

#配置流策略p_market，将流分类c_market与流行为b_market关联。

[Switch]trafficpolicyp_market//创建流策略

[Switch-trafficpolicy-p_market]classifierc_marketbehaviorb_market//将流分类c_market与流行为b_market关联

[Switch-trafficpolicy-p_market]quit

#配置流策略p_rd，将流分类c_rd与流行为b_rd关联。

[Switch]trafficpolicyp_rd//创建流策略

[Switch-trafficpolicy-p_rd]classifierc_rdbehaviorb_rd//将流分类c_rd与流行为b_rd关联

[Switch-trafficpolicy-p_rd]quit

应用流策略

#由于市场部访问服务器的流量从接口GE1/0/2进入Switch，所以可以在GE1/0/2接口的入方向应用流策略p_market。

[Switch]interfacegigabitethernet1/0/2

[Switch-GigabitEthernet1/0/2]traffic-policyp_marketinbound//流策略应用在接口入方向

[Switch-GigabitEthernet1/0/2]quit

#由于研发部访问服务器的流量从接口GE1/0/3进入Switch，所以在GE1/0/3接口的入方向应用流策略p_rd。

[Switch]interfacegigabitethernet1/0/3

[Switch-GigabitEthernet1/0/3]traffic-policyp_rdinbound//流策略应用在接口入方向

[Switch-GigabitEthernet1/0/3]quit

验证配置结果

#查看ACL规则的配置信息。

[Switch]displayaclall

TotalnonemptyACLnumberis2

AdvancedACL3002,1rule

Acl'sstepis5

AdvancedACL3003,1rule

Acl'sstepis5

#查看流分类的配置信息。

[Switch]displaytrafficclassifieruser-defined

UserDefinedClassifierInformation:

Classifier:

c_marketPrecedence:

5Operator:

OR

Rule（s）:

if-matchacl3002

Classifier:

c_rdPrecedence:

10Operator:

OR

Rule（s）:

if-matchacl3003

Totalclassifiernumberis2

#查看流策略的配置信息。

[Switch]displaytrafficpolicyuser-defined

UserDefinedTrafficPolicyInformation:

Policy:

p_market

Classifier:

c_market

Operator:

OR

Behavior:

b_market

Deny

Policy:

p_rd

Classifier:

c_rd

Operator:

OR

Behavior:

b_rd

Deny

Totalpolicynumberis2

#查看流策略的应用信息。

[Switch]displaytraffic-policyapplied-record

#

-------------------------------------------------

PolicyName:

p_market

PolicyIndex:

0

Classifier:

c_marketBehavior:

b_market

-------------------------------------------------

*interfaceGigabitEthernet1/0/2

traffic-policyp_marketinbound

slot1:

success

-------------------------------------------------

Policytotalappliedtimes:

1.

#

-------------------------------------------------

PolicyName:

p_rd

PolicyIndex:

1

Classifier:

c_rdBehavior:

b_rd

-------------------------------------------------

*interfaceGigabitEthernet1/0/3

traffic-policyp_rdinbound

slot1:

success

-------------------------------------------------

Policytotalappliedtimes:

1.

#

#研发部门和市场部门在上班时间（8:

00至17:

30）无法访问工资查询服务器。

配置文件

Switch的配置文件

#sysnameSwitch

#

vlanbatch102030100

#

time-rangesatime08:

00to17:

30working-day

#

aclnumber3002

aclnumber3003

#trafficclassifierc_marketoperatororprecedence5

if-matchacl3002trafficclassifierc_rdoperatororprecedence10

if-matchacl3003

#

trafficbehaviorb_market

deny

trafficbehaviorb_rd

deny

#

trafficpolicyp_marketmatch-orderconfig

classifierc_marketbehaviorb_market

trafficpolicyp_rdmatch-orderconfig

classifierc_rdbehaviorb_rd

#

interfaceVlanif10

#

interfaceVlanif20

#

interfaceVlanif30

#

interfaceVlanif100

#

interfaceGigabitEthernet1/0/1

portlink-typetrunk

porttrunkallow-passvlan10

#

interfaceGigabitEthernet1/0/2

portlink-typetrunk

porttrunkallow-passvlan20

traffic-policyp_marketinbound

#

interfaceGigabitEthernet1/0/3

portlink-typetrunk

porttrunkallow-passvlan30

traffic-policyp_rdinbound

#

interfaceGigabitEthernet2/0/1

portlink-typetrunk

porttrunkallow-passvlan100

#

return

相关信息

技术论坛

13.1.3?

?

使用ACL禁止特定用户上网示例

ACL简介

访问控制列表ACL（AccessControlList）是由一条或多条规则组成的集合。

所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器，规则是过滤器的滤芯。

设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

基于ACL规则定义方式，可以将ACL分为基本ACL、高级ACL、二层ACL等种类。

二层ACL根据以太网帧头信息来定义规则，如源MAC地址、目的MAC地址、VLAN、二层协议类型等，对IPv4和IPv6报文进行过滤。

与基本ACL和高级ACL相比，这两类ACL基于三层、四层信息进行报文过滤，而二层ACL基于二层信息进行报文过滤。

例如，当希望对不同MAC地址、不同VLAN的报文进行过滤时，则可以配置二层ACL。

本例，就是将二层ACL应用在流策略模块，使设备可以对特定MAC地址的用户的报文进行过滤，达到禁止该用户上网的目的。

配置注意事项

本举例适用于S系列交换机所有产品的所有版本。

组网需求

如所示，Switch作为网关设备，下挂用户PC。

管理员发现PC1（MAC地址为00e0-f201-0101）用户是非法用户，要求禁止该用户上网。

图13-3?

?

使用二层ACL禁止特定用户上网示例组网图?

配置思路

采用如下的思路在Switch上进行配置：

配置二层ACL和基于ACL的流分类，使设备对MAC地址为00e0-f201-0101的报文进行过滤，从而禁止该地址对应的用户上网。

配置流行为，拒绝匹配上ACL的报文通过。

配置并应用流策略，使ACL和流行为生效。

操作步骤

配置ACL

#配置符合要求的二层ACL。

system-view

[HUAWEI]sysnameSwitch

[Switch]acl4000

[Switch-acl-L2-4000]ruledenysource-mac00e0-f201-0101ffff-ffff-ffff//禁止源MAC地址是00e0-f201-0101的报文通过

[Switch-acl-L2-4000]quit

配置基于ACL的流分类

#配置流分类tc1，对匹配ACL4000的报文进行分类。

[Switch]trafficclassifiertc1//创建流分类

[Switch-classifier-tc1]if-matchacl4000//将ACL与流分类关联

[Switch-classifier-tc1]quit

配置流行为

#配置流行为tb1，动作为拒绝报文通过。

[Switch]trafficbehaviortb1//创建流行为

[Switch-behavior-tb1]deny//配置流行为动作为拒绝报文通过

[Switch-behavior-tb1]quit

配置流策略

#配置流策略tp1，将流分类tc1与流行为tb1关联。

[Switch]trafficpolicytp1//创建流策略

[Switch-trafficpolicy-tp1]classifiertc1behaviortb1//将流分类tc1与流行为tb1关联

[Switch-trafficpolicy-tp1]quit

应用流策略

#由于PC1的报文从GE2/0/1进入Switch并流向Internet，所以可以在接口GE2/0/1的入方向应用流策略tp1。

[Switch]interfacegigabitethernet2/0/1

[Switch-GigabitEthernet2/0/1]traffic-policytp1inbound//流策略应用在接口入方向

[Switch-GigabitEthernet2/0/1]quit

验证配置结果

#查看ACL规则的配置信息。

[Switch]displayacl4000

L2ACL4000,1rule

Acl'sstepis5

rule5denysource-mac00e0-f201-0101

#查看流分类的配置信息。

[Switch]displaytrafficclassifieruser-defined

UserDefinedClassifierInformation:

Classifier:

tc1

Precedence:

5

Operator:

OR

Rule（s）:

if-matchacl4000

T