H3C防火墙配置说明.docx
《H3C防火墙配置说明.docx》由会员分享,可在线阅读,更多相关《H3C防火墙配置说明.docx(24页珍藏版)》请在冰点文库上搜索。
H3C防火墙配置说明
H3C防火墙配置说明
杭州华三通信技术有限公司
版权所有XX
Allrightsreserved
相关配置方法:
安全要求-设备-路由器-功能-14
设备应支持路由协议(OSPF/ISIS/BGP等)认证,认证字以不可逆密文方式存放。
待确认
支持
配置OSPF验证
从安全性角度来考虑,为了避免路由信息外泄或者对OSPF路由器进行恶意攻击,OSPF提供报文验证功能。
OSPF路由器建立邻居关系时,在发送的报文中会携带配置好的口令,接收报文时进行密码验证,只有通过验证的报文才能接收,否则将不会接收报文,不能正常建立邻居。
要配置OSPF报文验证,同一个区域的所有路由器上都需要配置区域验证模式,且配置的验证模式必须相同,同一个网段内的路由器需要配置相同的接口验证模式和口令。
表1-29配置OSPF验证
操作
命令
说明
进入系统视图
system-view
-
进入OSPF视图
ospf[process-id|router-idrouter-id|vpn-instancevpn-instance-name]*
-
进入OSPF区域视图
areaarea-id
-
配置OSPF区域的验证模式
authentication-mode{md5|simple}
必选
缺省情况下,没有配置区域验证模式
退回OSPF视图
quit
-
退回系统视图
quit
-
进入接口视图
interfaceinterface-typeinterface-number
-
配置OSPF接口的验证模式(简单验证)
ospfauthentication-modesimple[cipher|plain]password
二者必选其一
缺省情况下,接口不对OSPF报文进行验证
配置OSPF接口的验证模式(MD5验证)
ospfauthentication-mode{hmac-md5|md5}key-id[cipher|plain]password
提高IS-IS网络的安全性
在安全性要求较高的网络中,可以通过配置IS-IS验证来提高IS-IS网络的安全性。
IS-IS验证特性分为邻居关系的验证和区域或路由域的验证。
配置准备
在配置IS-IS验证功能之前,需完成以下任务:
配置接口的网络层地址,使相邻节点网络层可达
使能IS-IS功能
配置邻居关系验证
配置邻居关系验证后,验证密码将会按照设定的方式封装到Hello报文中,并对接收到的Hello报文进行验证密码的检查,通过检查才会形成邻居关系,否则将不会形成邻居关系,用以确认邻居的正确性和有效性,防止与无法信任的路由器形成邻居。
两台路由器要形成邻居关系必须配置相同的验证方式和验证密码。
表1-37配置邻居关系验证
操作
命令
说明
进入系统视图
system-view
-
进入接口视图
interfaceinterface-typeinterface-number
-
配置邻居关系验证方式和验证密码
isisauthentication-mode{md5|simple}[cipher]password[level-1|level-2][ip|osi]
必选
缺省情况下,接口没有配置邻居关系验证,既不会验证收到的Hello报文,也不会把验证密码插入到Hello报文中
参数level-1和level-2的支持情况和产品相关,具体请以设备的实际情况为准
必须先使用isisenable命令使能该接口才能进行参数level-1和level-2的配置。
如果没有指定level-1或level-2参数,将同时为level-1和level-2的Hello报文配置验证方式及验证密码。
如果没有指定ip或osi参数,将检查Hello报文中OSI的相应字段的配置内容。
配置区域验证
通过配置区域验证,可以防止将从不可信任的路由器学习到的路由信息加入到本地Level-1的LSDB中。
配置区域验证后,验证密码将会按照设定的方式封装到Level-1报文(LSP、CSNP、PSNP)中,并对收到的Level-1报文进行验证密码的检查。
同一区域内的路由器必须配置相同的验证方式和验证密码。
表1-38配置区域验证
操作
命令
说明
进入系统视图
system-view
-
进入IS-IS视图
isis[process-id][vpn-instancevpn-instance-name]
-
配置区域验证方式和验证密码
area-authentication-mode{md5|simple}[cipher]password[ip|osi]
必选
缺省情况下,系统没有配置区域验证,既不会验证收到的Level-1报文,也不会把验证密码插入到Level-1报文中
配置路由域验证
通过配置路由域验证,可以防止将不可信的路由信息注入当前路由域。
配置路由域验证后,验证密码将会按照设定的方式封装到Level-2报文(LSP、CSNP、PSNP)中,并对收到的Level-2报文进行验证密码的检查。
所有骨干层(Level-2)路由器必须配置相同的验证方式和验证密码。
表1-39配置路由域验证
操作
命令
说明
进入系统视图
system-view
-
进入IS-IS视图
isis[process-id][vpn-instancevpn-instance-name]
-
配置路由域验证方式和验证密码
domain-authentication-mode{md5|simple}[cipher]password[ip|osi]
必选
缺省情况下,系统没有配置路由域验证,既不会验证收到的Level-2报文,也不会把验证密码插入到Level-2报文中
配置BGP的MD5认证
通过在BGP对等体上配置BGP的MD5认证,可以在以下两方面提高BGP的安全性:
为BGP建立TCP连接时进行MD5认证,只有两台路由器配置的密码相同时,才能建立TCP连接,从而避免与非法的BGP路由器建立TCP连接。
传递BGP报文时,对封装BGP报文的TCP报文段进行MD5运算,从而保证BGP报文不会被篡改。
表1-41配置BGP的MD5认证
操作
命令
说明
进入系统视图
system-view
-
进入BGP视图或BGP-VPN实例视图
进入BGP视图
bgpas-number
二者必选其一
进入BGP-VPN实例视图
bgpas-number
ipv4-familyvpn-instancevpn-instance-name
配置BGP的MD5认证
peer{group-name|ip-address}password{cipher|simple}password
必选
缺省情况下,BGP不进行MD5认证
安全要求-设备-防火墙-功能-2
防火墙应具备记录VPN日志功能,记录VPN访问登陆、退出等信息。
待确认
暂不支持
安全要求-设备-防火墙-功能-5
防火墙应具备日志容量告警功能,在日志数达到指定阈值时产生告警。
待确认
暂不支持
安全要求-设备-防火墙-功能-3
防火墙应具备流量日志记录功能,记录通过防火墙的网络连接。
待确认
支持
Userlog日志设置(Flow日志)
要生成Userlog日志,需要配置会话日志功能,详细配置请参见“”。
Userlog日志简介
Userlog日志是指用户访问外部网络流信息的相关记录。
设备根据报文的5元组(源IP地址、目的IP地址、源端口、目的端口、协议号)对用户访问外部网络的流进行分类统计,并生成Userlog日志。
Userlog日志会记录报文的5元组和发送、接收的字节数等信息。
网络管理员利用这些信息可以实时跟踪、记录用户访问网络的情况,增强网络的可用性和安全性。
Userlog日志有以下两种输出方式,用户可以根据需要使用其中一种:
以系统信息的格式输出到本设备的信息中心,再由信息中心最终决定日志的输出方向。
以二进制格式封装成UDP报文输出到指定的Userlog日志主机。
Userlog日志有和两个版本。
两种Userlog日志的格式稍有不同,具体差别请参见和。
表版本Userlog日志信息
字段
描述
SourceIP
源IP地址
DestIP
目的IP地址
SrcPort
TCP/UDP源端口号
DestPort
TCP/UDP目的端口号
StartTime
流起始时间,以秒为单位,从1970/1/10:
0开始计算
EndTime
流结束时间,以秒为单位,从1970/1/10:
0开始计算
Prot
IP承载的协议类型
Operator
操作字,主要指流结束原因
Reserved
保留
表版本Userlog日志信息
字段
描述
Prot
IP承载的协议类型
Operator
操作字,主要指流结束原因
IpVersion
IP报文版本
TosIPv4
IPv4报文的Tos字段
SourceIP
源IP地址
SrcNatIP
NAT转换后的源IP地址
DestIP
目的IP地址
DestNatIP
NAT转换后的目的IP地址
SrcPort
TCP/UDP源端口号
SrcNatPort
NAT转换后的TCP/UDP源端口号
DestPort
TCP/UDP目的端口号
DestNatPort
NAT转换后的TCP/UDP目的端口号
StartTime
流起始时间,以秒为单位,从1970/01/0100:
00开始计算
EndTime
流结束时间,以秒为单位,从1970/01/0100:
00开始计算
InTotalPkg
接收的报文包数
InTotalByte
接收的报文字节数
OutTotalPkg
发出的报文包数
OutTotalByte
发出的报文字节数
Reserved1
对于0x02版本(FirewallV200R001)保留
对于0x03版本(FirewallV200R005)第一个字节为源VPNID,第二个字节为目的VPNID,第三、四个字节保留
Reserved2
保留
Reserved3
保留
配置Userlog日志
(1)在导航栏中选择“日志管理>Userlog日志”,进入如下图所示的页面。
图1-2Userlog日志
(2)配置Userlog日志参数,的详细配置如下表所示。
(3)单击<确定>按钮完成操作。
表1-4Userlog日志的详细配置
配置项
说明
版本
设置Userlog日志的版本。
包括、
请根据日志接收设备的实际能力配置Userlog日志的版本,如果接收设备不支持某个版本的Userlog日志,则无法正确解析收到的日志
报文源IP地址
设置Userlog日志报文的源IP地址
指定源地址后,当设备A向设备B发送Userlog日志时,就使用这个IP地址作为报文的源IP地址,而不使用报文出接口的真正地址。
这样,即便A使用不同的端口向B发送报文,B也可以根据源IP地址来准确的判断该报文是否由A产生。
而且该功能还简化了ACL规则和安全策略的配置,只要将ACL规则中定义的源地址或者目的地址参数指定为该源地址,就可以屏蔽接口IP地址的差异以及接口状态的影响,实现对Userlog日志报文的过滤
建议使用Loopback接口地址作为日志报文的源IP地址
日志主机配置
日志主机1
设置Userlog日志主机的IPv4/IPv6地址、端口号和所在的VPN实例(只在指定IPv4地址的日志主机时可以显示和设置此项),以便将Userlog日志封装成UDP报文发送给指定的Userlog日志主机。
日志主机可以对Userlog日志进行解析和分类显示,以达到远程监控的目的
集中式设备:
最多可以指定2台不同的Userlog日志主机
分布式设备:
每个单板上最多可以指定2台不同的Userlog日志主机
日志主机IPv6地址的支持情况与设备的具体型号有关,请以设备的实际情况为准
为避免与通用的UDP端口号冲突,建议使用1025~65535的UDP端口号
日志主机2
日志输出到信息中心
设置将Userlog日志以系统信息的格式输出到信息中心
启用此功能时,Userlog日志将不会发往指定的Userlog日志主机
日志输出到信息中心会占用设备的存储空间,因此,建议在日志量较小的情况下使用该输出方向
查看Userlog日志统计信息
当设置了将Userlog日志封装成UDP报文发送给指定的Userlog日志主机时,可以查看相关的统计信息,包括设备向指定日志主机发送的Userlog日志总数和包含Userlog日志的UDP报文总数,以及设备缓存中的Userlog日志总数。
(1)在导航栏中选择“日志管理>Userlog日志”,进入如所示的页面。
(2)单击页面下方的“查看统计信息”扩展按钮,展开如下图所示的内容,可以查看Userlog日志的统计信息。
图1-3查看Userlog日志统计信息
清空Userlog日志及统计信息
(1)在导航栏中选择“日志管理>Userlog日志”,进入如所示的页面。
(2)单击页面下方的“查看统计信息”扩展按钮,展开如所示的内容。
(3)集中式设备:
单击<清空>按钮,可以清除设备上的所有Userlog日志统计信息和缓存中的Userlog日志。
(4)分布式设备:
单击<清空>按钮,可以清除相应单板上的所有Userlog日志统计信息和缓存中的Userlog日志。
安全要求-设备-防火墙-功能-11
防火墙必须具备扫描攻击检测和告警功能。
并阻断后续扫描流量。
扫描的检测和告警的参数应可由管理员根据实际网络情况设置。
待确认
支持
配置扫描攻击检测
扫描攻击检测主要用于检测攻击者的探测行为,一般配置在设备连接外部网络的安全域上。
扫描攻击检测自动添加了黑名单项,如果在短时间内手动删除了该黑名单项,则系统不会再次添加。
因为系统会把再次检测到的攻击报文认为是同一次攻击尚未结束。
(1)在导航栏中选择“攻击防范>流量异常检测>扫描攻击”,进入如下图所示页面。
图1-10扫描攻击
(2)为安全域配置扫描攻击检测,详细配置如下表所示。
(3)单击<确定>按钮完成操作。
表1-6扫描攻击检测的详细配置
配置项
说明
安全区域
设置要进行扫描攻击检测设置的安全域
启动扫描攻击检测
设置是否对选中的安全域启动扫描攻击检测功能
扫描阈值
设置扫描建立的连接速率的最大值
源IP加入黑名单
设置是否把系统发现的扫描源IP地址添加到黑名单中
必须在“攻击防范>黑名单”中启用黑名单过滤功能,扫描攻击检测才会将发现的扫描源IP地址添加到黑名单中,并对来自该IP地址的报文做丢弃处理
黑名单持续时间
设置扫描源加入黑名单的持续时间
安全要求-设备-防火墙-功能-12
防火墙必须具备关键字内容过滤功能,在HTTP,SMTP,POP3等应用协议流量过滤包含有设定的关键字的报文。
待确认
支持
内容过滤典型配置举例
1.组网需求
如下图所示,局域网网段内的主机通过Device访问Internet。
Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。
启用HTTP正文过滤功能,阻止含有“abc”关键字的HTTP响应报文通过。
启用HTTPJavaApplet阻断功能,仅允许网站IP地址为的JavaApplet请求通过。
启用SMTP附件名称过滤功能,阻止用户发送带有“.exe”附件的邮件。
启用FTP上传文件名过滤功能,阻止用户上传带有“system”名称的文件。
启用Telnet命令字过滤功能,阻止用户键入含有“reboot”关键字的命令。
图1-29内容过滤配置组网图
2.配置Device
(1)配置设备各接口的IP地址和所属安全域(略)
(2)配置过滤条目
#配置关键字过滤条目“abc”。
步骤1:
在导航栏中选择“应用控制>内容过滤>过滤条目”,默认进入“关键字”页签的页面。
步骤2:
单击<新建>按钮。
步骤3:
如下图所示,输入名称为“abc”,输入关键字为“abc”。
步骤4:
单击<确定>按钮完成操作。
图1-30配置关键字过滤条目“abc”
#配置关键字过滤条目“reboot”。
步骤1:
在“关键字”页签的页面单击<新建>按钮。
步骤2:
如下图所示,输入名称为“reboot”,输入关键字为“reboot”。
步骤3:
单击<确定>按钮完成操作。
图1-31配置关键字过滤条目“reboot”
#配置文件名过滤条目“*.exe”。
步骤1:
单击“文件名”页签。
步骤2:
单击<新建>按钮。
步骤3:
如下图所示,输入名称为“exe”,输入文件名为“*.exe”。
步骤4:
单击<确定>按钮完成操作。
图1-32配置文件名过滤条目“*.exe”
#配置文件名过滤条目“system”。
步骤1:
在“文件名”页签的页面单击<新建>按钮。
步骤2:
如下图所示,输入名称为“system”,输入文件名为“system”。
步骤3:
单击<确定>按钮完成操作。
图1-33配置文件名过滤条目“system”
(3)配置内容过滤策略
#配置不带JavaApplet阻断的HTTP过滤策略。
步骤1:
在导航栏中选择“应用控制>内容过滤>过滤策略”,默认进入“HTTP策略”页签的页面。
步骤2:
单击<新建>按钮。
步骤3:
进行如下配置,如下图所示。
输入名称为“http_policy1”。
单击“正文过滤”前的扩展按钮。
在正文过滤的可选过滤条目列表框中选中“abc”关键字过滤条目,单击“<<”按钮将其添加到已选过滤条目列表框中。
步骤4:
单击<确定>按钮完成操作。
图1-34配置不带JavaApplet阻断的HTTP过滤策略
#配置带JavaApplet阻断的HTTP过滤策略。
步骤1:
在“HTTP策略”页签的页面单击<新建>按钮。
步骤2:
进行如下配置,如下图所示。
输入名称为“http_policy2”。
单击“正文过滤”前的扩展按钮。
在正文过滤的可选过滤条目列表框中选中“abc”关键字过滤条目,单击“<<”按钮将其添加到已选过滤条目列表框中。
选中“JavaApplet阻断”前的复选框。
步骤3:
单击<确定>按钮完成操作。
图1-35配置带JavaApplet阻断的HTTP过滤策略
#配置SMTP过滤策略。
步骤1:
单击“SMTP策略”页签。
步骤2:
单击<新建>按钮。
步骤3:
进行如下配置,如下图所示。
输入名称为“smtp_policy”。
单击“附件过滤”前的扩展按钮。
在附件名称过滤的可选过滤条目列表框中选中“exe”文件名过滤条目,单击“<<”按钮将其添加到已选过滤条目列表框中。
步骤3:
单击<确定>按钮完成操作。
图1-36配置SMTP过滤策略
#配置FTP过滤策略。
步骤1:
单击“FTP策略”页签。
步骤2:
单击<新建>按钮。
步骤3:
进行如下配置,如下图所示。
输入名称为“ftp_policy”。
单击“上传文件名过滤”前的扩展按钮。
在上传文件名过滤的可选过滤条目列表框中选中“system”文件名过滤条目,单击“<<”按钮将其添加到已选过滤条目列表框中。
步骤4:
单击<确定>按钮完成操作。
图1-37配置FTP过滤策略
#配置Telnet过滤策略。
步骤1:
单击“Telnet策略”页签。
步骤2:
单击<新建>按钮。
步骤3:
进行如下配置,如下图所示。
输入名称为“telnet_policy”。
单击“命令字过滤”前的扩展按钮。
在命令字过滤的可选过滤条目列表框中选中“reboot”关键字过滤条目,单击“<<”按钮将其添加到已选过滤条目列表框中。
步骤4:
单击<确定>按钮完成操作。
图1-38配置Telnet过滤策略
(4)配置内容过滤策略模板
#配置不带JavaApplet阻断的内容过滤策略模板。
步骤1:
在导航栏中选择“应用控制>内容过滤>策略模板”。
步骤2:
单击<新建>按钮。
步骤3:
进行如下配置,如下图所示。
输入名称为“template1”。
选择HTTP过滤策略为“http_policy1”。
选择SMTP过滤策略为“smtp_policy”。
选择FTP过滤策略为“ftp_policy”。
选择Telnet过滤策略为“telnet_policy”
步骤4:
单击<确定>按钮完成操作。
图1-39配置不带JavaApplet阻断的内容过滤策略模板
#配置带JavaApplet阻断的内容过滤策略模板。
步骤1:
在策略模板页面单击<新建>按钮。
步骤2:
进行如下配置,如下图所示。
输入名称为“template2”。
选择HTTP过滤策略为“http_policy2”。
选择SMTP过滤策略为“smtp_policy”。
选择FTP过滤策略为“ftp_policy”。
选择Telnet过滤策略为“telnet_policy”。
步骤3:
单击<确定>按钮完成操作。
图1-40配置带JavaApplet阻断的内容过滤策略模板
(5)配置引用内容过滤策略模板的域间策略
#配置Trust安全域到Untrust安全域的目的地址为的域间策略,并引用不带JavaApplet阻断的内容过滤策略模板。
步骤1:
在导航栏中选择“防火墙>安全策略>域间策略”。
步骤2:
单击<新建>按钮。
步骤3:
进行如下配置,如下图所示。
选择源域为“Trust”。
选择目的域为“Untrust”。
选择源IP地址为“any_address”。
选中目的IP地址中“新建IP地址”前的单选按钮,输入目的IP地址为“”。
选择服务名称为“any_service”。
选择过滤动作为“Permit”。
选择内容过滤策略模板为“template1”。
选中“启用规则”前的复选框。
选中“确定后续添加下一条规则”前的复选框。
步骤4:
单击<确定>按钮完成操作。
图1-41配置引用不带JavaApplet阻断的内容过滤策略模板的域间策略
#配置Trust安全域到Untrust安全域的域间策略,并引用带JavaApplet阻断的内容过滤策略模板。
步骤1:
保持之前选择的源域和目的域不变,继续进行如下配置,如下图所示。
选择源IP地址和目的IP地址均为“any_address”。
选择服务名称为“any_service”。
选择过滤动作为“Permit”。
选择内容过滤策略模板为“template2”。
选中“启用规则”前的复选框。
步骤2:
单击<确定>按钮完成操作。
图1-42配置引用带JavaApplet阻断的内容过滤策略模板的域间策略
3.配置结果验证
完成上述配置后,局域网内用户不能收到含有“abc”关键字的HTTP响应;除对IP地址为的Web服务器外,不能成功发送JavaApplet请求;不能成功发送带有“.exe”附件的邮件;不能通过FTP方式上传名称为“abc”的文件;不能执行Telnet命令“reboot”。
设备运行一段时间后,在导航栏中选择“应用控制>内容过滤>统计信息”,可以看到如下图所示的统计信息。
图1-43内容过滤统计信息
4.注意事项
配置内容过滤时需要注意如下事项:
(1)配置URL主机名过滤条目时,需要注意通配符的使用规则:
“^”表示开头匹配。
只能出现在关键字的开
升级会员 