huawei 0113安全典型配置.docx
《huawei 0113安全典型配置.docx》由会员分享,可在线阅读,更多相关《huawei 0113安全典型配置.docx(95页珍藏版)》请在冰点文库上搜索。
huawei0113安全典型配置
13?
?
安全典型配置
通过示例介绍IPSG如何防止主机私自更改IP地址,提供组网图、配置步骤和配置文件等。
13.1?
?
配置ACL
13.1.1?
?
使用ACL限制FTP访问权限示例
ACL简介
访问控制列表ACL(AccessControlList)是由一条或多条规则组成的集合。
所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。
设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。
基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。
如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。
本例,就是将基本ACL应用在FTP模块中,实现只允许指定的客户端访问FTP服务器,以提高安全性。
配置注意事项
本例中配置的本地用户登录密码方式为irreversible-cipher,表示对用户密码采用不可逆算法进行加密,非法用户无法通过解密算法特殊处理后得到明文密码,安全性较高,该方式仅适用于V200R003C00及以后版本。
在V200R003C00之前版本上配置本地用户登录密码,仅能采用cipher方式,表示对用户密码采用可逆算法进行加密,非法用户可以通过对应的解密算法解密密文后得到明文密码,安全性较低。
本举例适用于S系列交换机所有产品的所有版本。
组网需求
如所示,Switch作为FTP服务器,对网络中的不同用户开放不同的访问权限:
其他用户不可以访问FTP服务器。
已知Switch与各个子网之间路由可达,要求在Switch上进行配置,实现FTP服务器对客户端访问权限的设置。
图13-1?
?
使用基本ACL限制FTP访问权限组网图?
操作步骤
配置时间段
system-view
[HUAWEI]sysnameSwitch
[Switch]time-rangeftp-accessfrom0:
02014/1/1to23:
592014/12/31//配置ACL生效时间段,该时间段是一个绝对时间段模式的时间段
[Switch]time-rangeftp-access14:
00to18:
00off-day//配置ACL生效时间段,该时间段是一个周期时间段,ftp-access最终生效的时间范围为以上两个时间段的交集
配置基本ACL
[Switch]aclnumber2001
[Switch-acl-basic-2001]ruledenysourceany//限制其他用户不可以访问FTP服务器
[Switch-acl-basic-2001]quit
配置FTP基本功能
[Switch]ftpserverenable//开启设备的FTP服务器功能,允许FTP用户登录
[Switch]aaa
[Switch-aaa]local-userhuaweipasswordirreversible-cipherSetUesrPasswd@123//配置FTP用户的用户名和密码,其中irreversible-cipher方式的密码仅适用于V200R003C00及以后版本,在V200R003C00之前版本上,仅适用cipher方式密码
[Switch-aaa]local-userhuaweiprivilegelevel15//配置FTP用户的用户级别
[Switch-aaa]local-userhuaweiservice-typeftp//配置FTP用户的服务类型[Switch-aaa]local-userhuaweiftp-directorycfcard:
//配置FTP用户的授权目录,在盒式交换机上需配置为flash:
[Switch-aaa]quit
配置FTP服务器访问权限
[Switch]ftpacl2001//在FTP模块中应用ACL
验证配置结果
配置文件
Switch的配置文件
#
sysnameSwitch
#
FTPserverenable
FTPacl2001
#
time-rangeftp-access14:
00to18:
00off-day
time-rangeftp-accessfrom00:
002014/1/1to23:
592014/12/31
#
aclnumber2001
rule15deny
#
aaa
local-userhuaweipasswordirreversible-cipher%^%#uM-!
TkAaGB5=$$6SQuw$#batog!
R7M_d^!
o{*@N9g'e0baw#%^%#
local-userhuaweiprivilegelevel15
local-userhuaweiftp-directorycfcard:
local-userhuaweiservice-typeftp
#
return
13.1.2?
?
使用ACL限制用户在特定时间访问特定服务器的权限示例
ACL简介
访问控制列表ACL(AccessControlList)是由一条或多条规则组成的集合。
所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。
设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。
高级ACL根据源IP地址、目的地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。
与基本ACL相比,高级ACL提供了更准确、丰富、灵活的规则定义方法。
例如,当希望同时根据源IP地址和目的IP地址对报文进行过滤时,则需要配置高级ACL。
本例,就是将高级ACL应用在流策略模块,使设备可以对用户在特定时间访问特定服务器的报文进行过滤,达到基于时间限制用户访问该服务器权限的目的。
配置注意事项
本举例适用于S系列交换机所有产品的所有版本。
组网需求
图13-2?
?
使用ACL限制用户在特定时间访问特定服务器的权限组网图?
配置思路
采用如下的思路在Switch上进行配置:
配置时间段、高级ACL和基于ACL的流分类,使设备可以基于时间的ACL,对用户访问服务器的报文进行过滤,从而限制不同用户在特定时间访问特定服务器的权限。
配置流行为,拒绝匹配上ACL的报文通过。
配置并应用流策略,使ACL和流行为生效。
操作步骤
配置接口加入VLAN,并配置VLANIF接口的IP地址
#将GE1/0/1~GE1/0/3分别加入VLAN10、20、30,GE2/0/1加入VLAN100,并配置各VLANIF接口的IP地址。
下面配置以GE1/0/1和VLANIF10接口为例,接口GE1/0/2、GE1/0/3和GE2/0/1的配置与GE1/0/1接口类似,接口VLANIF20、VLANIF30和VLANIF100的配置与VLANIF10接口类似,不再赘述。
system-view
[HUAWEI]sysnameSwitch
[Switch]vlanbatch102030100
[Switch]interfacegigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1]portlink-typetrunk
[Switch-GigabitEthernet1/0/1]porttrunkallow-passvlan10
[Switch-GigabitEthernet1/0/1]quit
[Switch]interfacevlanif10
[Switch-Vlanif10]quit
配置时间段
#配置8:
00至17:
30的周期时间段。
[Switch]time-rangesatime8:
00to17:
30working-day//配置ACL生效时间段,该时间段是一个周期时间段
配置ACL
#配置市场部门到工资查询服务器的访问规则。
[Switch]acl3002
[Switch-acl-adv-3002]quit
#配置研发部门到工资查询服务器的访问规则。
[Switch]acl3003
[Switch-acl-adv-3003]quit
配置基于ACL的流分类
#配置流分类c_market,对匹配ACL3002的报文进行分类。
[Switch]trafficclassifierc_market//创建流分类
[Switch-classifier-c_market]if-matchacl3002//将ACL与流分类关联
[Switch-classifier-c_market]quit
#配置流分类c_rd,对匹配ACL3003的报文进行分类。
[Switch]trafficclassifierc_rd//创建流分类
[Switch-classifier-c_rd]if-matchacl3003//将ACL与流分类关联
[Switch-classifier-c_rd]quit
配置流行为
#配置流行为b_market,动作为拒绝报文通过。
[Switch]trafficbehaviorb_market//创建流行为
[Switch-behavior-b_market]deny//配置流行为动作为拒绝报文通过
[Switch-behavior-b_market]quit
#配置流行为b_rd,动作为拒绝报文通过。
[Switch]trafficbehaviorb_rd//创建流行为
[Switch-behavior-b_rd]deny//配置流行为动作为拒绝报文通过
[Switch-behavior-b_rd]quit
配置流策略
#配置流策略p_market,将流分类c_market与流行为b_market关联。
[Switch]trafficpolicyp_market//创建流策略
[Switch-trafficpolicy-p_market]classifierc_marketbehaviorb_market//将流分类c_market与流行为b_market关联
[Switch-trafficpolicy-p_market]quit
#配置流策略p_rd,将流分类c_rd与流行为b_rd关联。
[Switch]trafficpolicyp_rd//创建流策略
[Switch-trafficpolicy-p_rd]classifierc_rdbehaviorb_rd//将流分类c_rd与流行为b_rd关联
[Switch-trafficpolicy-p_rd]quit
应用流策略
#由于市场部访问服务器的流量从接口GE1/0/2进入Switch,所以可以在GE1/0/2接口的入方向应用流策略p_market。
[Switch]interfacegigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2]traffic-policyp_marketinbound//流策略应用在接口入方向
[Switch-GigabitEthernet1/0/2]quit
#由于研发部访问服务器的流量从接口GE1/0/3进入Switch,所以在GE1/0/3接口的入方向应用流策略p_rd。
[Switch]interfacegigabitethernet1/0/3
[Switch-GigabitEthernet1/0/3]traffic-policyp_rdinbound//流策略应用在接口入方向
[Switch-GigabitEthernet1/0/3]quit
验证配置结果
#查看ACL规则的配置信息。
[Switch]displayaclall
TotalnonemptyACLnumberis2
AdvancedACL3002,1rule
Acl'sstepis5
AdvancedACL3003,1rule
Acl'sstepis5
#查看流分类的配置信息。
[Switch]displaytrafficclassifieruser-defined
UserDefinedClassifierInformation:
Classifier:
c_marketPrecedence:
5Operator:
OR
Rule(s):
if-matchacl3002
Classifier:
c_rdPrecedence:
10Operator:
OR
Rule(s):
if-matchacl3003
Totalclassifiernumberis2
#查看流策略的配置信息。
[Switch]displaytrafficpolicyuser-defined
UserDefinedTrafficPolicyInformation:
Policy:
p_market
Classifier:
c_market
Operator:
OR
Behavior:
b_market
Deny
Policy:
p_rd
Classifier:
c_rd
Operator:
OR
Behavior:
b_rd
Deny
Totalpolicynumberis2
#查看流策略的应用信息。
[Switch]displaytraffic-policyapplied-record
#
-------------------------------------------------
PolicyName:
p_market
PolicyIndex:
0
Classifier:
c_marketBehavior:
b_market
-------------------------------------------------
*interfaceGigabitEthernet1/0/2
traffic-policyp_marketinbound
slot1:
success
-------------------------------------------------
Policytotalappliedtimes:
1.
#
-------------------------------------------------
PolicyName:
p_rd
PolicyIndex:
1
Classifier:
c_rdBehavior:
b_rd
-------------------------------------------------
*interfaceGigabitEthernet1/0/3
traffic-policyp_rdinbound
slot1:
success
-------------------------------------------------
Policytotalappliedtimes:
1.
#
#研发部门和市场部门在上班时间(8:
00至17:
30)无法访问工资查询服务器。
配置文件
Switch的配置文件
#sysnameSwitch
#
vlanbatch102030100
#
time-rangesatime08:
00to17:
30working-day
#
aclnumber3002
aclnumber3003
#trafficclassifierc_marketoperatororprecedence5
if-matchacl3002trafficclassifierc_rdoperatororprecedence10
if-matchacl3003
#
trafficbehaviorb_market
deny
trafficbehaviorb_rd
deny
#
trafficpolicyp_marketmatch-orderconfig
classifierc_marketbehaviorb_market
trafficpolicyp_rdmatch-orderconfig
classifierc_rdbehaviorb_rd
#
interfaceVlanif10
#
interfaceVlanif20
#
interfaceVlanif30
#
interfaceVlanif100
#
interfaceGigabitEthernet1/0/1
portlink-typetrunk
porttrunkallow-passvlan10
#
interfaceGigabitEthernet1/0/2
portlink-typetrunk
porttrunkallow-passvlan20
traffic-policyp_marketinbound
#
interfaceGigabitEthernet1/0/3
portlink-typetrunk
porttrunkallow-passvlan30
traffic-policyp_rdinbound
#
interfaceGigabitEthernet2/0/1
portlink-typetrunk
porttrunkallow-passvlan100
#
return
相关信息
技术论坛
13.1.3?
?
使用ACL禁止特定用户上网示例
ACL简介
访问控制列表ACL(AccessControlList)是由一条或多条规则组成的集合。
所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。
设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。
二层ACL根据以太网帧头信息来定义规则,如源MAC地址、目的MAC地址、VLAN、二层协议类型等,对IPv4和IPv6报文进行过滤。
与基本ACL和高级ACL相比,这两类ACL基于三层、四层信息进行报文过滤,而二层ACL基于二层信息进行报文过滤。
例如,当希望对不同MAC地址、不同VLAN的报文进行过滤时,则可以配置二层ACL。
本例,就是将二层ACL应用在流策略模块,使设备可以对特定MAC地址的用户的报文进行过滤,达到禁止该用户上网的目的。
配置注意事项
本举例适用于S系列交换机所有产品的所有版本。
组网需求
如所示,Switch作为网关设备,下挂用户PC。
管理员发现PC1(MAC地址为00e0-f201-0101)用户是非法用户,要求禁止该用户上网。
图13-3?
?
使用二层ACL禁止特定用户上网示例组网图?
配置思路
采用如下的思路在Switch上进行配置:
配置二层ACL和基于ACL的流分类,使设备对MAC地址为00e0-f201-0101的报文进行过滤,从而禁止该地址对应的用户上网。
配置流行为,拒绝匹配上ACL的报文通过。
配置并应用流策略,使ACL和流行为生效。
操作步骤
配置ACL
#配置符合要求的二层ACL。
system-view
[HUAWEI]sysnameSwitch
[Switch]acl4000
[Switch-acl-L2-4000]ruledenysource-mac00e0-f201-0101ffff-ffff-ffff//禁止源MAC地址是00e0-f201-0101的报文通过
[Switch-acl-L2-4000]quit
配置基于ACL的流分类
#配置流分类tc1,对匹配ACL4000的报文进行分类。
[Switch]trafficclassifiertc1//创建流分类
[Switch-classifier-tc1]if-matchacl4000//将ACL与流分类关联
[Switch-classifier-tc1]quit
配置流行为
#配置流行为tb1,动作为拒绝报文通过。
[Switch]trafficbehaviortb1//创建流行为
[Switch-behavior-tb1]deny//配置流行为动作为拒绝报文通过
[Switch-behavior-tb1]quit
配置流策略
#配置流策略tp1,将流分类tc1与流行为tb1关联。
[Switch]trafficpolicytp1//创建流策略
[Switch-trafficpolicy-tp1]classifiertc1behaviortb1//将流分类tc1与流行为tb1关联
[Switch-trafficpolicy-tp1]quit
应用流策略
#由于PC1的报文从GE2/0/1进入Switch并流向Internet,所以可以在接口GE2/0/1的入方向应用流策略tp1。
[Switch]interfacegigabitethernet2/0/1
[Switch-GigabitEthernet2/0/1]traffic-policytp1inbound//流策略应用在接口入方向
[Switch-GigabitEthernet2/0/1]quit
验证配置结果
#查看ACL规则的配置信息。
[Switch]displayacl4000
L2ACL4000,1rule
Acl'sstepis5
rule5denysource-mac00e0-f201-0101
#查看流分类的配置信息。
[Switch]displaytrafficclassifieruser-defined
UserDefinedClassifierInformation:
Classifier:
tc1
Precedence:
5
Operator:
OR
Rule(s):
if-matchacl4000
T