收藏
下载资源 加入VIP免费专享

huawei01-13安全典型配置.docx

上传人:小飞机 文档编号:1937602 上传时间:2022-12-27 格式:DOCX 页数:74 大小:304.16KB
返回 下载 相关 举报
huawei01-13安全典型配置.docx_第1页
第1页 / 共74页
huawei01-13安全典型配置.docx_第2页
第2页 / 共74页
huawei01-13安全典型配置.docx_第3页
第3页 / 共74页
huawei01-13安全典型配置.docx_第4页
第4页 / 共74页
huawei01-13安全典型配置.docx_第5页
第5页 / 共74页
点击查看更多>>
资源描述

《huawei01-13安全典型配置.docx》由会员分享,可在线阅读,更多相关《huawei01-13安全典型配置.docx(74页珍藏版)》请在三一办公上搜索。

1、13 安全典型配置13.1 配置ACL13.1.1 使用ACL限制FTP访问权限示例13.1.2 使用ACL限制用户在特定时间访问特定服务器的权限示例13.1.3 使用ACL禁止特定用户上网示例13.1.4 使用自反ACL实现单向访问控制示例13.1.5 配置特定时间段允许个别用户上网示例13.1.6 使用ACL限制不同网段的用户互访示例13.1.7 使用ACL限制内网主机访问外网网站示例13.1.8 使用ACL限制外网用户访问内网中服务器的权限示例13.1.9 SNMP中应用ACL过滤非法网管示例13.2 配置ARP安全13.2.1 配置ARP安全综合功能示例13.2.2 配置防止ARP中间

2、人攻击示例13.3 配置DHCP Snooping13.3.1 配置DHCP Snooping防止DHCP Server仿冒者攻击示例13.4 IPSG配置13.4.1 配置IPSG防止静态主机私自更改IP地址示例13.4.2 配置IPSG防止DHCP动态主机私自更改IP地址示例13.4.3 配置IPSG限制非法主机访问内网示例(静态绑定)13.5 配置端口安全示例13安全典型配置13.1 配置ACL13.2 配置ARP安全13.3 配置DHCP Snooping13.4 IPSG配置通过示例介绍IPSG如何防止主机私自更改IP地址,提供组网图、配置步骤和配置文件等。13.5 配置端口安全示例

3、13.1配置ACL13.1.1使用ACL限制FTP访问权限示例ACL简介访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。如果只需要根据源

4、IP地址对报文进行过滤,可以配置基本ACL。本例,就是将基本ACL应用在FTP模块中,实现只允许指定的客户端访问FTP服务器,以提高安全性。配置注意事项本例中配置的本地用户登录密码方式为irreversible-cipher,表示对用户密码采用不可逆算法进行加密,非法用户无法通过解密算法特殊处理后得到明文密码,安全性较高,该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码,仅能采用cipher方式,表示对用户密码采用可逆算法进行加密,非法用户可以通过对应的解密算法解密密文后得到明文密码,安全性较低。本举例适用于S系列交换机所有产品的所有版本。

5、组网需求如图13-1所示,Switch作为FTP服务器,对网络中的不同用户开放不同的访问权限:子网1(172.16.105.0/24)的所有用户在任意时间都可以访问FTP服务器。子网2(172.16.107.0/24)的所有用户只能在某一个时间范围内访问FTP服务器。其他用户不可以访问FTP服务器。已知Switch与各个子网之间路由可达,要求在Switch上进行配置,实现FTP服务器对客户端访问权限的设置。图13-1使用基本ACL限制FTP访问权限组网图操作步骤配置时间段 system-viewHUAWEI sysname SwitchSwitch time-range ftp-access

6、from 0:0 2014/1/1 to 23:59 2014/12/31 /配置ACL生效时间段,该时间段是一个绝对时间段模式的时间段Switch time-range ftp-access 14:00 to 18:00 off-day /配置ACL生效时间段,该时间段是一个周期时间段,ftp-access最终生效的时间范围为以上两个时间段的交集配置基本ACLSwitch acl number 2001Switch-acl-basic-2001 rule permit source 172.16.105.0 0.0.0.255 /允许172.16.105.0/24网段的所有用户在任意时间都可

7、以访问FTP服务器Switch-acl-basic-2001 rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access /限制172.16.107.0/24网段的所有用户只能在ftp-access时间段定义的时间范围内访问FTP服务器Switch-acl-basic-2001 rule deny source any /限制其他用户不可以访问FTP服务器Switch-acl-basic-2001 quit配置FTP基本功能Switch ftp server enable /开启设备的FTP服务器功能,允许FTP用户登录Swi

8、tch aaa Switch-aaa local-user huawei password irreversible-cipher SetUesrPasswd123 /配置FTP用户的用户名和密码,其中irreversible-cipher方式的密码仅适用于V200R003C00及以后版本,在V200R003C00之前版本上,仅适用cipher方式密码Switch-aaa local-user huawei privilege level 15 /配置FTP用户的用户级别Switch-aaa local-user huawei service-type ftp /配置FTP用户的服务类型Swi

9、tch-aaa local-user huawei ftp-directory cfcard: /配置FTP用户的授权目录,在盒式交换机上需配置为flash:Switch-aaa quit配置FTP服务器访问权限Switch ftp acl 2001 /在FTP模块中应用ACL验证配置结果在子网1的PC1(172.16.105.111/24)上执行ftp 172.16.104.110命令,可以连接FTP服务器。2014年某个周一在子网2的PC2(172.16.107.111/24)上执行ftp 172.16.104.110命令,不能连接FTP服务器;2014年某个周六下午15:00在子网2的P

10、C2(172.16.107.111/24)上执行ftp 172.16.104.110命令,可以连接FTP服务器。在PC3(10.10.10.1/24)上执行ftp 172.16.104.110命令,不能连接FTP服务器。配置文件Switch的配置文件#sysname Switch#FTP server enableFTP acl 2001#time-range ftp-access 14:00 to 18:00 off-daytime-range ftp-access from 00:00 2014/1/1 to 23:59 2014/12/31#acl number 2001 rule 5

11、permit source 172.16.105.0 0.0.0.255 rule 10 permit source 172.16.107.0 0.0.0.255 time-range ftp-access rule 15 deny #aaa local-user huawei password irreversible-cipher %#uM-!TkAaGB5=$6SQuw$#batog!R7M_d!o*N9ge0baw#%# local-user huawei privilege level 15 local-user huawei ftp-directory cfcard: local-

12、user huawei service-type ftp#return13.1.2使用ACL限制用户在特定时间访问特定服务器的权限示例ACL简介访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。高级ACL根据源IP地址、目的地

13、址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。与基本ACL相比,高级ACL提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IP地址和目的IP地址对报文进行过滤时,则需要配置高级ACL。本例,就是将高级ACL应用在流策略模块,使设备可以对用户在特定时间访问特定服务器的报文进行过滤,达到基于时间限制用户访问该服务器权限的目的。配置注意事项本举例适用于S系列交换机所有产品的所有版本。组网需求如图1所示,某公司通过Switch实现各部门之间的互连。公司要求禁止研发部门和市场部门在上班时间(8:00至17:30)访

14、问工资查询服务器(IP地址为10.164.9.9),总裁办公室不受限制,可以随时访问。图13-2使用ACL限制用户在特定时间访问特定服务器的权限组网图配置思路采用如下的思路在Switch上进行配置:配置时间段、高级ACL和基于ACL的流分类,使设备可以基于时间的ACL,对用户访问服务器的报文进行过滤,从而限制不同用户在特定时间访问特定服务器的权限。配置流行为,拒绝匹配上ACL的报文通过。配置并应用流策略,使ACL和流行为生效。操作步骤配置接口加入VLAN,并配置VLANIF接口的IP地址# 将GE1/0/1GE1/0/3分别加入VLAN10、20、30,GE2/0/1加入VLAN100,并配置

15、各VLANIF接口的IP地址。下面配置以GE1/0/1和VLANIF 10接口为例,接口GE1/0/2、GE1/0/3和GE2/0/1的配置与GE1/0/1接口类似,接口VLANIF 20、VLANIF 30和VLANIF 100的配置与VLANIF 10接口类似,不再赘述。 system-viewHUAWEI sysname SwitchSwitch vlan batch 10 20 30 100Switch interface gigabitethernet 1/0/1Switch-GigabitEthernet1/0/1 port link-type trunkSwitch-Gigabi

16、tEthernet1/0/1 port trunk allow-pass vlan 10Switch-GigabitEthernet1/0/1 quitSwitch interface vlanif 10Switch-Vlanif10 ip address 10.164.1.1 255.255.255.0Switch-Vlanif10 quit配置时间段# 配置8:00至17:30的周期时间段。Switch time-range satime 8:00 to 17:30 working-day /配置ACL生效时间段,该时间段是一个周期时间段配置ACL# 配置市场部门到工资查询服务器的访问规则

17、。Switch acl 3002Switch-acl-adv-3002 rule deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime /禁止市场部在satime指定的时间范围内访问工资查询服务器Switch-acl-adv-3002 quit# 配置研发部门到工资查询服务器的访问规则。Switch acl 3003Switch-acl-adv-3003 rule deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9

18、 0.0.0.0 time-range satime /禁止研发部在satime指定的时间范围内访问工资查询服务器Switch-acl-adv-3003 quit配置基于ACL的流分类# 配置流分类c_market,对匹配ACL 3002的报文进行分类。Switch traffic classifier c_market /创建流分类Switch-classifier-c_market if-match acl 3002 /将ACL与流分类关联Switch-classifier-c_market quit# 配置流分类c_rd,对匹配ACL 3003的报文进行分类。Switch traffic

19、 classifier c_rd /创建流分类Switch-classifier-c_rd if-match acl 3003 /将ACL与流分类关联Switch-classifier-c_rd quit配置流行为# 配置流行为b_market,动作为拒绝报文通过。Switch traffic behavior b_market /创建流行为Switch-behavior-b_market deny /配置流行为动作为拒绝报文通过Switch-behavior-b_market quit# 配置流行为b_rd,动作为拒绝报文通过。Switch traffic behavior b_rd /创建

20、流行为Switch-behavior-b_rd deny /配置流行为动作为拒绝报文通过Switch-behavior-b_rd quit配置流策略# 配置流策略p_market,将流分类c_market与流行为b_market关联。Switch traffic policy p_market /创建流策略Switch-trafficpolicy-p_market classifier c_market behavior b_market /将流分类c_market与流行为b_market关联Switch-trafficpolicy-p_market quit# 配置流策略p_rd,将流分类c

21、_rd与流行为b_rd关联。Switch traffic policy p_rd /创建流策略Switch-trafficpolicy-p_rd classifier c_rd behavior b_rd /将流分类c_rd与流行为b_rd关联Switch-trafficpolicy-p_rd quit应用流策略# 由于市场部访问服务器的流量从接口GE1/0/2进入Switch,所以可以在GE1/0/2接口的入方向应用流策略p_market。Switch interface gigabitethernet 1/0/2Switch-GigabitEthernet1/0/2 traffic-pol

22、icy p_market inbound /流策略应用在接口入方向Switch-GigabitEthernet1/0/2 quit# 由于研发部访问服务器的流量从接口GE1/0/3进入Switch,所以在GE1/0/3接口的入方向应用流策略p_rd。Switch interface gigabitethernet 1/0/3Switch-GigabitEthernet1/0/3 traffic-policy p_rd inbound /流策略应用在接口入方向Switch-GigabitEthernet1/0/3 quit验证配置结果# 查看ACL规则的配置信息。Switch display a

23、cl all Total nonempty ACL number is 2Advanced ACL 3002, 1 ruleAcls step is 5 rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range satime (match-counter 0)(Active)Advanced ACL 3003, 1 ruleAcls step is 5 rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time

24、-range satime (match-counter 0)(Active) # 查看流分类的配置信息。Switch display traffic classifier user-defined User Defined Classifier Information: Classifier: c_market Precedence: 5 Operator: OR Rule(s) : if-match acl 3002 Classifier: c_rd Precedence: 10 Operator: OR Rule(s) : if-match acl 3003Total classifie

25、r number is 2# 查看流策略的配置信息。Switch display traffic policy user-defined User Defined Traffic Policy Information: Policy: p_market Classifier: c_market Operator: OR Behavior: b_market Deny Policy: p_rd Classifier: c_rd Operator: OR Behavior: b_rd Deny Total policy number is 2# 查看流策略的应用信息。Switch display

26、traffic-policy applied-record# - Policy Name: p_market Policy Index: 0 Classifier:c_market Behavior:b_market - *interface GigabitEthernet1/0/2 traffic-policy p_market inbound slot 1 : success - Policy total applied times: 1. # - Policy Name: p_rd Policy Index: 1 Classifier:c_rd Behavior:b_rd - *inte

27、rface GigabitEthernet1/0/3 traffic-policy p_rd inbound slot 1 : success - Policy total applied times: 1. # # 研发部门和市场部门在上班时间(8:00至17:30)无法访问工资查询服务器。配置文件Switch的配置文件#sysname Switch#vlan batch 10 20 30 100 #time-range satime 08:00 to 17:30 working-day#acl number 3002 rule 5 deny ip source 10.164.2.0 0.0

28、.0.255 destination 10.164.9.9 0 time-range satimeacl number 3003 rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range satime#traffic classifier c_market operator or precedence 5 if-match acl 3002traffic classifier c_rd operator or precedence 10 if-match acl 3003#traffic beh

29、avior b_market denytraffic behavior b_rd deny#traffic policy p_market match-order config classifier c_market behavior b_markettraffic policy p_rd match-order config classifier c_rd behavior b_rd#interface Vlanif10 ip address 10.164.1.1 255.255.255.0#interface Vlanif20 ip address 10.164.2.1 255.255.2

30、55.0#interface Vlanif30 ip address 10.164.3.1 255.255.255.0#interface Vlanif100 ip address 10.164.9.1 255.255.255.0 #interface GigabitEthernet1/0/1 port link-type trunk port trunk allow-pass vlan 10 #interface GigabitEthernet1/0/2 port link-type trunk port trunk allow-pass vlan 20 traffic-policy p_m

31、arket inbound#interface GigabitEthernet1/0/3 port link-type trunk port trunk allow-pass vlan 30 traffic-policy p_rd inbound #interface GigabitEthernet2/0/1 port link-type trunk port trunk allow-pass vlan 100 #return 相关信息技术论坛细说ACL那些事儿(ACL应用篇)13.1.3使用ACL禁止特定用户上网示例ACL简介访问控制列表ACL(Access Control List)是由一

32、条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。二层ACL根据以太网帧头信息来定义规则,如源MAC地址、目的MAC地址、VLAN、二层协议类型等,对IPv4和IPv6报文进行过滤。与基本ACL和高级ACL相比,这两类ACL基于三层、四层信息进行报文过滤,而二层ACL基于二层信息进行报文过滤

33、。例如,当希望对不同MAC地址、不同VLAN的报文进行过滤时,则可以配置二层ACL。本例,就是将二层ACL应用在流策略模块,使设备可以对特定MAC地址的用户的报文进行过滤,达到禁止该用户上网的目的。配置注意事项本举例适用于S系列交换机所有产品的所有版本。组网需求如图13-3所示,Switch作为网关设备,下挂用户PC。管理员发现PC1(MAC地址为00e0-f201-0101)用户是非法用户,要求禁止该用户上网。图13-3使用二层ACL禁止特定用户上网示例组网图配置思路采用如下的思路在Switch上进行配置:配置二层ACL和基于ACL的流分类,使设备对MAC地址为00e0-f201-0101的

34、报文进行过滤,从而禁止该地址对应的用户上网。配置流行为,拒绝匹配上ACL的报文通过。配置并应用流策略,使ACL和流行为生效。操作步骤配置ACL# 配置符合要求的二层ACL。 system-viewHUAWEI sysname SwitchSwitch acl 4000Switch-acl-L2-4000 rule deny source-mac 00e0-f201-0101 ffff-ffff-ffff /禁止源MAC地址是00e0-f201-0101的报文通过Switch-acl-L2-4000 quit配置基于ACL的流分类# 配置流分类tc1,对匹配ACL 4000的报文进行分类。Switch traffic classifier tc1 /创建流分类Switch-classifier-tc1 if-match acl 4000 /将ACL与流分类关联Switch-classifier-tc1 quit配置流行为# 配置流行为tb1,动作为拒绝报文通过。Switch traffic behavior tb1 /创建流行为Switch-behavior-tb1 deny /配置流行为动作为拒绝报文通过Switc

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号