huawei 0113安全系统典型配置.docx
《huawei 0113安全系统典型配置.docx》由会员分享,可在线阅读,更多相关《huawei 0113安全系统典型配置.docx(111页珍藏版)》请在冰点文库上搜索。
huawei0113安全系统典型配置
13安全典型配置
13.1配置ACL
13.1.1使用ACL限制FTP访问权限示例
13.1.2使用ACL限制用户在特定时间访问特定服务器的权限示例
13.1.3使用ACL禁止特定用户上网示例
13.1.4使用自反ACL实现单向访问控制示例
13.1.5配置特定时间段允许个别用户上网示例
13.1.6使用ACL限制不同网段的用户互访示例
13.1.7使用ACL限制内网主机访问外网网站示例
13.1.8使用ACL限制外网用户访问内网中服务器的权限示例
13.1.9SNMP中应用ACL过滤非法网管示例
13.2配置ARP安全
13.2.1配置ARP安全综合功能示例
13.2.2配置防止ARP中间人攻击示例
13.3配置DHCPSnooping
13.3.1配置DHCPSnooping防止DHCPServer仿冒者攻击示例
13.4IPSG配置
13.4.1配置IPSG防止静态主机私自更改IP地址示例
13.4.2配置IPSG防止DHCP动态主机私自更改IP地址示例
13.4.3配置IPSG限制非法主机访问内网示例(静态绑定)
13.5配置端口安全示例
13 安全典型配置
13.1配置ACL
13.2配置ARP安全
13.3配置DHCPSnooping
13.4IPSG配置
通过示例介绍IPSG如何防止主机私自更改IP地址,提供组网图、配置步骤和配置文件等。
13.5配置端口安全示例
13.1 配置ACL
13.1.1 使用ACL限制FTP访问权限示例
ACL简介
访问控制列表ACL(AccessControlList)是由一条或多条规则组成的集合。
所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。
设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。
基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。
如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。
本例,就是将基本ACL应用在FTP模块中,实现只允许指定的客户端访问FTP服务器,以提高安全性。
配置注意事项
本例中配置的本地用户登录密码方式为irreversible-cipher,表示对用户密码采用不可逆算法进行加密,非法用户无法通过解密算法特殊处理后得到明文密码,安全性较高,该方式仅适用于V200R003C00及以后版本。
在V200R003C00之前版本上配置本地用户登录密码,仅能采用cipher方式,表示对用户密码采用可逆算法进行加密,非法用户可以通过对应的解密算法解密密文后得到明文密码,安全性较低。
本举例适用于S系列交换机所有产品的所有版本。
组网需求
如图13-1所示,Switch作为FTP服务器,对网络中的不同用户开放不同的访问权限:
子网1(172.16.105.0/24)的所有用户在任意时间都可以访问FTP服务器。
子网2(172.16.107.0/24)的所有用户只能在某一个时间范围内访问FTP服务器。
其他用户不可以访问FTP服务器。
已知Switch与各个子网之间路由可达,要求在Switch上进行配置,实现FTP服务器对客户端访问权限的设置。
图13-1 使用基本ACL限制FTP访问权限组网图
操作步骤
配置时间段
system-view
[HUAWEI]sysnameSwitch
[Switch]time-rangeftp-accessfrom0:
02014/1/1to23:
592014/12/31//配置ACL生效时间段,该时间段是一个绝对时间段模式的时间段
[Switch]time-rangeftp-access14:
00to18:
00off-day//配置ACL生效时间段,该时间段是一个周期时间段,ftp-access最终生效的时间范围为以上两个时间段的交集
配置基本ACL
[Switch]aclnumber2001
[Switch-acl-basic-2001]rulepermitsource172.16.105.00.0.0.255//允许172.16.105.0/24网段的所有用户在任意时间都可以访问FTP服务器
[Switch-acl-basic-2001]rulepermitsource172.16.107.00.0.0.255time-rangeftp-access//限制172.16.107.0/24网段的所有用户只能在ftp-access时间段定义的时间范围内访问FTP服务器
[Switch-acl-basic-2001]ruledenysourceany//限制其他用户不可以访问FTP服务器
[Switch-acl-basic-2001]quit
配置FTP基本功能
[Switch]ftpserverenable//开启设备的FTP服务器功能,允许FTP用户登录
[Switch]aaa
[Switch-aaa]local-userhuaweipasswordirreversible-cipherSetUesrPasswd@123//配置FTP用户的用户名和密码,其中irreversible-cipher方式的密码仅适用于V200R003C00及以后版本,在V200R003C00之前版本上,仅适用cipher方式密码
[Switch-aaa]local-userhuaweiprivilegelevel15//配置FTP用户的用户级别
[Switch-aaa]local-userhuaweiservice-typeftp//配置FTP用户的服务类型[Switch-aaa]local-userhuaweiftp-directorycfcard:
//配置FTP用户的授权目录,在盒式交换机上需配置为flash:
[Switch-aaa]quit
配置FTP服务器访问权限
[Switch]ftpacl2001//在FTP模块中应用ACL
验证配置结果
在子网1的PC1(172.16.105.111/24)上执行ftp172.16.104.110命令,可以连接FTP服务器。
2014年某个周一在子网2的PC2(172.16.107.111/24)上执行ftp172.16.104.110命令,不能连接FTP服务器;2014年某个周六下午15:
00在子网2的PC2(172.16.107.111/24)上执行ftp172.16.104.110命令,可以连接FTP服务器。
在PC3(10.10.10.1/24)上执行ftp172.16.104.110命令,不能连接FTP服务器。
配置文件
Switch的配置文件
#
sysnameSwitch
#
FTPserverenable
FTPacl2001
#
time-rangeftp-access14:
00to18:
00off-day
time-rangeftp-accessfrom00:
002014/1/1to23:
592014/12/31
#
aclnumber2001
rule5permitsource172.16.105.00.0.0.255
rule10permitsource172.16.107.00.0.0.255time-rangeftp-access
rule15deny
#
aaa
local-userhuaweipasswordirreversible-cipher%^%#uM-!
TkAaGB5=$$6SQuw$#batog!
R7M_d^!
o{*@N9g'e0baw#%^%#
local-userhuaweiprivilegelevel15
local-userhuaweiftp-directorycfcard:
local-userhuaweiservice-typeftp
#
return
13.1.2 使用ACL限制用户在特定时间访问特定服务器的权限示例
ACL简介
访问控制列表ACL(AccessControlList)是由一条或多条规则组成的集合。
所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。
设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。
高级ACL根据源IP地址、目的地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。
与基本ACL相比,高级ACL提供了更准确、丰富、灵活的规则定义方法。
例如,当希望同时根据源IP地址和目的IP地址对报文进行过滤时,则需要配置高级ACL。
本例,就是将高级ACL应用在流策略模块,使设备可以对用户在特定时间访问特定服务器的报文进行过滤,达到基于时间限制用户访问该服务器权限的目的。
配置注意事项
本举例适用于S系列交换机所有产品的所有版本。
组网需求
如图1所示,某公司通过Switch实现各部门之间的互连。
公司要求禁止研发部门和市场部门在上班时间(8:
00至17:
30)访问工资查询服务器(IP地址为10.164.9.9),总裁办公室不受限制,可以随时访问。
图13-2 使用ACL限制用户在特定时间访问特定服务器的权限组网图
配置思路
采用如下的思路在Switch上进行配置:
配置时间段、高级ACL和基于ACL的流分类,使设备可以基于时间的ACL,对用户访问服务器的报文进行过滤,从而限制不同用户在特定时间访问特定服务器的权限。
配置流行为,拒绝匹配上ACL的报文通过。
配置并应用流策略,使ACL和流行为生效。
操作步骤
配置接口加入VLAN,并配置VLANIF接口的IP地址
#将GE1/0/1~GE1/0/3分别加入VLAN10、20、30,GE2/0/1加入VLAN100,并配置各VLANIF接口的IP地址。
下面配置以GE1/0/1和VLANIF10接口为例,接口GE1/0/2、GE1/0/3和GE2/0/1的配置与GE1/0/1接口类似,接口VLANIF20、VLANIF30和VLANIF100的配置与VLANIF10接口类似,不再赘述。
system-view
[HUAWEI]sysnameSwitch
[Switch]vlanbatch102030100
[Switch]interfacegigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1]portlink-typetrunk
[Switch-GigabitEthernet1/0/1]porttrunkallow-passvlan10
[Switch-GigabitEthernet1/0/1]quit
[Switch]interfacevlanif10
[Switch-Vlanif10]ipaddress10.164.1.1255.255.255.0
[Switch-Vlanif10]quit
配置时间段
#配置8:
00至17:
30的周期时间段。
[Switch]time-rangesatime8:
00to17:
30working-day//配置ACL生效时间段,该时间段是一个周期时间段
配置ACL
#配置市场部门到工资查询服务器的访问规则。
[Switch]acl3002
[Switch-acl-adv-3002]ruledenyipsource10.164.2.00.0.0.255destination10.164.9.90.0.0.0time-rangesatime//禁止市场部在satime指定的时间范围内访问工资查询服务器
[Switch-acl-adv-3002]quit
#配置研发部门到工资查询服务器的访问规则。
[Switch]acl3003
[Switch-acl-adv-3003]ruledenyipsource10.164.3.00.0.0.255destination10.164.9.90.0.0.0time-rangesatime//禁止研发部在satime指定的时间范围内访问工资查询服务器
[Switch-acl-adv-3003]quit
配置基于ACL的流分类
#配置流分类c_market,对匹配ACL3002的报文进行分类。
[Switch]trafficclassifierc_market//创建流分类
[Switch-classifier-c_market]if-matchacl3002//将ACL与流分类关联
[Switch-classifier-c_market]quit
#配置流分类c_rd,对匹配ACL3003的报文进行分类。
[Switch]trafficclassifierc_rd//创建流分类
[Switch-classifier-c_rd]if-matchacl3003//将ACL与流分类关联
[Switch-classifier-c_rd]quit
配置流行为
#配置流行为b_market,动作为拒绝报文通过。
[Switch]trafficbehaviorb_market//创建流行为
[Switch-behavior-b_market]deny//配置流行为动作为拒绝报文通过
[Switch-behavior-b_market]quit
#配置流行为b_rd,动作为拒绝报文通过。
[Switch]trafficbehaviorb_rd//创建流行为
[Switch-behavior-b_rd]deny//配置流行为动作为拒绝报文通过
[Switch-behavior-b_rd]quit
配置流策略
#配置流策略p_market,将流分类c_market与流行为b_market关联。
[Switch]trafficpolicyp_market//创建流策略
[Switch-trafficpolicy-p_market]classifierc_marketbehaviorb_market//将流分类c_market与流行为b_market关联
[Switch-trafficpolicy-p_market]quit
#配置流策略p_rd,将流分类c_rd与流行为b_rd关联。
[Switch]trafficpolicyp_rd//创建流策略
[Switch-trafficpolicy-p_rd]classifierc_rdbehaviorb_rd//将流分类c_rd与流行为b_rd关联
[Switch-trafficpolicy-p_rd]quit
应用流策略
#由于市场部访问服务器的流量从接口GE1/0/2进入Switch,所以可以在GE1/0/2接口的入方向应用流策略p_market。
[Switch]interfacegigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2]traffic-policyp_marketinbound//流策略应用在接口入方向
[Switch-GigabitEthernet1/0/2]quit
#由于研发部访问服务器的流量从接口GE1/0/3进入Switch,所以在GE1/0/3接口的入方向应用流策略p_rd。
[Switch]interfacegigabitethernet1/0/3
[Switch-GigabitEthernet1/0/3]traffic-policyp_rdinbound//流策略应用在接口入方向
[Switch-GigabitEthernet1/0/3]quit
验证配置结果
#查看ACL规则的配置信息。
[Switch]displayaclall
TotalnonemptyACLnumberis2
AdvancedACL3002,1rule
Acl'sstepis5
rule5denyipsource10.164.2.00.0.0.255destination10.164.9.90time-rangesatime(match-counter0)(Active)
AdvancedACL3003,1rule
Acl'sstepis5
rule5denyipsource10.164.3.00.0.0.255destination10.164.9.90time-rangesatime(match-counter0)(Active)
#查看流分类的配置信息。
[Switch]displaytrafficclassifieruser-defined
UserDefinedClassifierInformation:
Classifier:
c_marketPrecedence:
5Operator:
OR
Rule(s):
if-matchacl3002
Classifier:
c_rdPrecedence:
10Operator:
OR
Rule(s):
if-matchacl3003
Totalclassifiernumberis2
#查看流策略的配置信息。
[Switch]displaytrafficpolicyuser-defined
UserDefinedTrafficPolicyInformation:
Policy:
p_market
Classifier:
c_market
Operator:
OR
Behavior:
b_market
Deny
Policy:
p_rd
Classifier:
c_rd
Operator:
OR
Behavior:
b_rd
Deny
Totalpolicynumberis2
#查看流策略的应用信息。
[Switch]displaytraffic-policyapplied-record
#
-------------------------------------------------
PolicyName:
p_market
PolicyIndex:
0
Classifier:
c_marketBehavior:
b_market
-------------------------------------------------
*interfaceGigabitEthernet1/0/2
traffic-policyp_marketinbound
slot1:
success
-------------------------------------------------
Policytotalappliedtimes:
1.
#
-------------------------------------------------
PolicyName:
p_rd
PolicyIndex:
1
Classifier:
c_rdBehavior:
b_rd
-------------------------------------------------
*interfaceGigabitEthernet1/0/3
traffic-policyp_rdinbound
slot1:
success
-------------------------------------------------
Policytotalappliedtimes:
1.
#
#研发部门和市场部门在上班时间(8:
00至17:
30)无法访问工资查询服务器。
配置文件
Switch的配置文件
#sysnameSwitch
#
vlanbatch102030100
#
time-rangesatime08:
00to17:
30working-day
#
aclnumber3002
rule5denyipsource10.164.2.00.0.0.255destination10.164.9.90time-rangesatime
aclnumber3003
rule5denyipsource10.164.3.00.0.0.255destination10.164.9.90time-rangesatime
#trafficclassifierc_marketoperatororprecedence5
if-matchacl3002trafficclassifierc_rdoperatororprecedence10
if-matchacl3003
#
trafficbehaviorb_market
deny
trafficbehaviorb_rd
deny
#
trafficpolicyp_marketmatch-orderconfig
classifierc_marketbehaviorb_market
trafficpolicyp_rdmatch-orderconfig
classifierc_rdbehaviorb_rd
#
interfaceVlanif10
ipaddress10.164.1.1255.255.255.0
#
interfaceVlanif20
ipaddress10.164.2.1255.255.255.0
#
interfaceVlanif30
ipaddress10.164.3.1255.255.255.0
#
interfaceVlanif100
ipaddress10.164.9.1255.255.255.0
#
interfaceGigabitEthernet1/0/1
portlink-typetrunk
porttrunkallow-passv
升级会员 