MSR系列网关优化配置指导v100.docx
《MSR系列网关优化配置指导v100.docx》由会员分享,可在线阅读,更多相关《MSR系列网关优化配置指导v100.docx(105页珍藏版)》请在冰豆网上搜索。
MSR系列网关优化配置指导v100
杭州华三通信技术有限公司HangzhouH3CTechnologyCo.,Ltd.
文档编号DocumentID
密级Confidentialitylevel
内部公开
文档状态DocumentStatus
MSR系列网关优化配置指导v1.00
拟制
Preparedby
刘雄威
Date
日期
2008-9-02
评审人
Reviewedby
Date
日期
批准
Approvedby
Date
日期
HangzhouH3CTechnologyCo.,Ltd.
杭州华三通信技术有限公司
版权所有XX
Allrightsreserved
修订记录RevisionRecord
日期
Date
修订
版本
RevisionVersion
修改
章节
SecNo.
修改描述
ChangeDescription
作者
Author
2008-10-14
V1.00
根据评审意见进行修改
刘雄威
目录
1网关配置优化概述3
1.1启用防火墙过滤功能4
1.2优化NAT会话老化时间7
1.3启用基于IP地址限速8
1.4路由优化配置9
1.5进行IP-MAC地址绑定10
1.6限制单机的NATTCP连接数11
1.7开启Telnet服务12
1.8关闭设备上不必要的服务13
1.9限制访问设备HTTP/HTTPS/Telnet服务源地址13
1.10双WAN接入路由配置14
1.10.1同运营商双WAN接入14
1.10.2电信网通双WAN接入18
2典型配置实例20
2.1单出口典型配置21
2.1.1PPPoE拨号接入21
2.1.2主机为私网地址以太网接入26
2.1.3主机为公网地址以太网接入32
2.2双WAN接入典型配置37
2.2.1MSR5006双以太网链路接入37
2.2.2MSR20/30/50双以太网链路接入44
2.2.3以太网链路+PPPOE链路接入52
2.2.4电信网通双链路接入60
2.3内部服务器访问80
1网关配置优化概述
随着网络建设和应用的不断深入,网络的管理者和使用者对网络的安全性和稳定性要求越来越高,MSR系列网关通过多种功能可以控制和管理网络的流量,能够有效地实施各种防攻击策略。
尤其在企业网和网吧这种复杂的网络环境中,全面合理的配置能够大大提高网络的稳定性和可靠性。
下面以MSR2010网关,E1710版本为例,总结出网关设备在企业网和网吧环境中可以优化的配置项和特性配置方法,并且给出了几种典型组网下的配置案例。
1.1启用防火墙过滤功能
ACL是每个安全策略的基本组成部份,控制和监视什么数据包进入和离开网络几乎是网络安全的定义。
在RFC2827/BCP38(BestCurrentPractice)中高度建议使用入口过滤,这不仅可以使你的网络安全,而且可以使其它的网络不会被来自你的网络的伪装的源IP给攻击。
许多的网络攻击者使用伪装的源IP地址来隐藏它们的身份,在网关设备LAN口使用了入口过滤功能后,也更加容易定位网络攻击者,因为攻击者必须使用真实的源IP地址。
在网关设备WAN使用入口过滤功能后,可以有效的过滤各种病毒和攻击流量,从而使网络更稳定。
同时目前大部分企业和网吧网关设备都启用NAT转换功能,网关设备向外网转发报文时需要将源地址转换为公网地址,接收报文时需要将目的地址转换为内网地址,根据MSR系列网关转发处理流程特点-入方向先进行NAT转换再进行防火墙过滤,可以有效的利用防火墙将非内网发起的数据连接和外网主动发起的攻击流量进行过滤,保证网络的稳定性和安全性。
也可以利用防火墙将各种常见的病毒报文根据应用服务端口进行过滤。
以局域网接口的IP地址为192.168.1.0/24,广域网接口的IP地址为162.1.1.0/30为例,ACL和防火墙的典型配置如下:
1、启用防火墙:
[H3C]firewallenable
2、关闭设备发送IP不可达报文功能:
[H3C]undoipunreachables
3、配置LAN口防火墙过滤规则:
aclnumber3003nameLANDefend
//将一些常见的端口扫描、病毒报文进行过滤
rule0denyudpdestination-porteqtftp
rule1denytcpdestination-porteq4444//Worm.Blaster
rule2denytcpdestination-porteq135//Worm.Blaster
rule3denyudpdestination-porteq135//Worm.Blaster
rule4denyudpdestination-porteqnetbios-ns
rule5denyudpdestination-porteqnetbios-dgm
rule6denytcpdestination-porteq139
rule7denyudpdestination-porteqnetbios-ssn
rule8denytcpdestination-porteq445//Worm.Blaster
rule9denyudpdestination-porteq445//Worm.Blaster
rule10denyudpdestination-porteq593//Worm.Blaster
rule11denytcpdestination-porteq593//Worm.Blaster
rule12denytcpdestination-porteq5554//Sasser
rule13denytcpdestination-porteq9995//Sasser
rule14denytcpdestination-porteq9996
rule15denyudpdestination-porteq1434//SQLSlammer
rule16denytcpdestination-porteq1068
rule17denytcpdestination-porteq5800
rule18denytcpdestination-porteq5900
rule19denytcpdestination-porteq10080
rule22denytcpdestination-porteq3208
rule23denytcpdestination-porteq1871
rule24denytcpdestination-porteq4510
rule25denyudpdestination-porteq4334
rule26denytcpdestination-porteq4331
rule27denytcpdestination-porteq4557
rule28denyudpdestination-porteq4444//Worm.Blaster
rule29denyudpdestination-porteq1314
rule30denytcpdestination-porteq6969
rule31denytcpdestination-porteq137
rule32denytcpdestination-porteq389
rule33denytcpdestination-porteq138
rule34denyudpdestination-porteq136
rule35denytcpdestination-porteq1025
rule36denytcpdestination-porteq6129
rule37denytcpdestination-porteq1029
rule38denytcpdestination-porteq20168
rule39denytcpdestination-porteq4899
rule40denytcpdestination-porteq45576
rule41denytcpdestination-porteq1433
rule42denytcpdestination-porteq1434//SQLSlammer
rule43denyudpdestination-porteq1433
//允许Ping和Tracert类型的ICMP报文通过,其它类型的ICMP报文丢弃
rule200permiticmpicmp-typeecho
rule201permiticmpicmp-typeecho-reply
rule202permiticmpicmp-typettl-exceeded
rule210denyicmp
//允许源地址为内网网段的报文进入网关设备转发,当内网主机为DHCP动态获取时,需要允许DHCP请求报文进入网关,其它报文丢弃
rule1000permitipsource192.168.1.00.0.0.255
rule1001permitudpdestination-porteqbootps
rule2000denyip
4、配置WAN口防火墙过滤规则:
aclnumber3001nameWANDefend
//将一些常见的端口扫描、病毒报文进行过滤
rule0denyudpdestination-porteqtftp
rule1denytcpdestination-porteq4444//Worm.Blaster
rule2denytcpdestination-porteq135//Worm.Blaster
rule3denyudpdestination-porteq135//Worm.Blaster
rule4denyudpdestination-porteqnetbios-ns
rule5denyudpdestination-porteqnetbios-dgm
rule6denytcpdestination-porteq139
rule7denyudpdestination-porteqnetbios-ssn
rule8denytcpdestination-porteq445//Worm.Blaster
rule9denyudpdestination-porteq445//Worm.Blaster
rule10den
升级会员 