huawei0113安全典型配置DOC73页.docx

huawei0113安全典型配置DOC73页.docx

《huawei0113安全典型配置DOC73页.docx》由会员分享，可在线阅读，更多相关《huawei0113安全典型配置DOC73页.docx（106页珍藏版）》请在冰豆网上搜索。

huawei0113安全典型配置DOC73页

huawei-01-13--安全典型配置（DOC73页）

13.1 配置ACL

13.1.1 使用ACL限制FTP访问权限例如

13.1.2 使用ACL限制用户在特定时刻访问特定服务器的权限例如

13.1.3 使用ACL禁止特定用户上网例如

13.1.4 使用自反ACL实现单向访问操纵例如

13.1.5 配置特定时刻段承诺个别用户上网例如

13.1.6 使用ACL限制不同网段的用户互访例如

13.1.7 使用ACL限制内网主机访问外网网站例如

13.1.8 使用ACL限制外网用户访问内网中服务器的权限例如

13.1.9 SNMP中应用ACL过滤非法网管例如

13.2 配置ARP安全

13.2.1 配置ARP安全综合功能例如

13.2.2 配置防止ARP中间人攻击例如

13.3 配置DHCPSnooping

13.3.1 配置DHCPSnooping防止DHCPServer仿冒者攻击例如

13.4 IPSG配置

13.4.1 配置IPSG防止静态主机私自更换IP地址例如

13.4.2 配置IPSG防止DHCP动态主机私自更换IP地址例如

13.4.3 配置IPSG限制非法主机访问内网例如〔静态绑定〕

13.5 配置端口安全例如

13  安全典型配置

13.1配置ACL

13.2配置ARP安全

13.3配置DHCPSnooping

13.4IPSG配置

通过例如介绍IPSG如何防止主机私自更换IP地址，提供组网图、配置步骤和配置文件等。

13.5配置端口安全例如

13.1  配置ACL

13.1.1  使用ACL限制FTP访问权限例如

ACL简介

访问操纵列表ACL〔AccessControlList〕是由一条或多条规那么组成的集合。

所谓规那么，是指描述报文匹配条件的判定语句，这些条件能够是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器，规那么是过滤器的滤芯。

设备基于这些规那么进行报文匹配，能够过滤出特定的报文，并依照顾用ACL的业务模块的处理策略来承诺或阻止该报文通过。

基于ACL规那么定义方式，能够将ACL分为差不多ACL、高级ACL、二层ACL等种类。

差不多ACL依照源IP地址、分片信息和生效时刻段等信息来定义规那么，对IPv4报文进行过滤。

假如只需要依照源IP地址对报文进行过滤，能够配置差不多ACL。

本例，确实是将差不多ACL应用在FTP模块中，实现只承诺指定的客户端访问FTP服务器，以提高安全性。

配置本卷须知

本例中配置的本地用户登录密码方式为irreversible-cipher，表示对用户密码采纳不可逆算法进行加密，非法用户无法通过解密算法专门处理后得到明文密码，安全性较高，该方式仅适用于V200R003C00及以后版本。

在V200R003C00之前版本上配置本地用户登录密码，仅能采纳cipher方式，表示对用户密码采纳可逆算法进行加密，非法用户能够通过对应的解密算法解密密文后得到明文密码，安全性较低。

本举例适用于S系列交换机所有产品的所有版本。

组网需求

如图13-1所示，Switch作为FTP服务器，对网络中的不同用户开放不同的访问权限：

子网1〔172.16.105.0/24〕的所有用户在任意时刻都能够访问FTP服务器。

子网2〔172.16.107.0/24〕的所有用户只能在某一个时刻范畴内访问FTP服务器。

其他用户不能够访问FTP服务器。

Switch与各个子网之间路由可达，要求在Switch上进行配置，实现FTP服务器对客户端访问权限的设置。

图13-1  使用差不多ACL限制FTP访问权限组网图 

操作步骤

配置时刻段

system-view

[HUAWEI]sysnameSwitch

[Switch]time-rangeftp-accessfrom0:

02021/1/1to23:

592021/12/31//配置ACL生效时刻段，该时刻段是一个绝对时刻段模式的时刻段

[Switch]time-rangeftp-access14:

00to18:

00off-day//配置ACL生效时刻段，该时刻段是一个周期时刻段，ftp-access最终生效的时刻范畴为以上两个时刻段的交集

配置差不多ACL

[Switch]aclnumber2001

[Switch-acl-basic-2001]rulepermitsource172.16.105.00.0.0.255//承诺172.16.105.0/24网段的所有用户在任意时刻都能够访问FTP服务器

[Switch-acl-basic-2001]rulepermitsource172.16.107.00.0.0.255time-rangeftp-access//限制172.16.107.0/24网段的所有用户只能在ftp-access时刻段定义的时刻范畴内访问FTP服务器

[Switch-acl-basic-2001]ruledenysourceany//限制其他用户不能够访问FTP服务器

[Switch-acl-basic-2001]quit

配置FTP差不多功能

[Switch]ftpserverenable//开启设备的FTP服务器功能，承诺FTP用户登录

[Switch]aaa

[Switch-aaa]local-userhuaweipasswordirreversible-cipherSetUesrPasswd@123//配置FTP用户的用户名和密码，其中irreversible-cipher方式的密码仅适用于V200R003C00及以后版本，在V200R003C00之前版本上，仅适用cipher方式密码

[Switch-aaa]local-userhuaweiprivilegelevel15//配置FTP用户的用户级别

[Switch-aaa]local-userhuaweiservice-typeftp//配置FTP用户的服务类型[Switch-aaa]local-userhuaweiftp-directorycfcard:

//配置FTP用户的授权名目，在盒式交换机上需配置为flash:

[Switch-aaa]quit

配置FTP服务器访问权限

[Switch]ftpacl2001//在FTP模块中应用ACL

验证配置结果

在子网1的PC1〔172.16.105.111/24〕上执行ftp172.16.104.110命令，能够连接FTP服务器。

2021年某个周一在子网2的PC2〔172.16.107.111/24〕上执行ftp172.16.104.110命令，不能连接FTP服务器；2021年某个周六下午15:

00在子网2的PC2〔172.16.107.111/24〕上执行ftp172.16.104.110命令，能够连接FTP服务器。

在PC3〔10.10.10.1/24〕上执行ftp172.16.104.110命令，不能连接FTP服务器。

配置文件

Switch的配置文件

#

sysnameSwitch

#

FTPserverenable

FTPacl2001

#

time-rangeftp-access14:

00to18:

00off-day

time-rangeftp-accessfrom00:

002021/1/1to23:

592021/12/31

#

aclnumber2001

rule5permitsource172.16.105.00.0.0.255

rule10permitsource172.16.107.00.0.0.255time-rangeftp-access

rule15deny

#

aaa

local-userhuaweipasswordirreversible-cipher%^%#uM-!

TkAaGB5=$$6SQuw$#batog!

R7M_d^!

o{*@N9g'e0baw#%^%#

local-userhuaweiprivilegelevel15

local-userhuaweiftp-directorycfcard:

local-userhuaweiservice-typeftp

#

return

13.1.2  使用ACL限制用户在特定时刻访问特定服务器的权限例如

ACL简介

访问操纵列表ACL〔AccessControlList〕是由一条或多条规那么组成的集合。

所谓规那么，是指描述报文匹配条件的判定语句，这些条件能够是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器，规那么是过滤器的滤芯。

设备基于这些规那么进行报文匹配，能够过滤出特定的报文，并依照顾用ACL的业务模块的处理策略来承诺或阻止该报文通过。

基于ACL规那么定义方式，能够将ACL分为差不多ACL、高级ACL、二层ACL等种类。

高级ACL依照源IP地址、目的地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时刻段等信息来定义规那么，对IPv4报文进行过滤。

与差不多ACL相比，高级ACL提供了更准确、丰富、灵活的规那么定义方法。

例如，当期望同时依照源IP地址和目的IP地址对报文进行过滤时，那么需要配置高级ACL。

本例，确实是将高级ACL应用在流策略模块，使设备能够对用户在特定时刻访问特定服务器的报文进行过滤，达到基于时刻限制用户访问该服务器权限的目的。

配置本卷须知

本举例适用于S系列交换机所有产品的所有版本。

组网需求

如图1所示，某公司通过Switch实现各部门之间的互连。

公司要求禁止研发部门和市场部门在上班时刻〔8:

00至17:

30〕访问工资查询服务器〔IP地址为10.164.9.9〕，总裁办公室不受限制，能够随时访问。

图13-2  使用ACL限制用户在特定时刻访问特定服务器的权限组网图 

配置思路

采纳如下的思路在Switch上进行配置：

配置时刻段、高级ACL和基于ACL的流分类，使设备能够基于时刻的ACL，对用户访问服务器的报文进行过滤，从而限制不同用户在特定时刻访问特定服务器的权限。

配置流行为，拒绝匹配上ACL的报文通过。

配置并应用流策略，使ACL和流行为生效。

操作步骤

配置接口加入VLAN，并配置VLANIF接口的IP地址

#将GE1/0/1～GE1/0/3分别加入VLAN10、20、30，GE2/0/1加入VLAN100，并配置各VLANIF接口的IP地址。

下面配置以GE1/0/1和VLANIF10接口为例，接口GE1/0/2、GE1/0/3和GE2/0/1的配置与GE1/0/1接口类似，接口VLANIF20、VLANIF30和VLANIF100的配置与VLANIF10接口类似，不再赘述。

system-view

[HUAWEI]sysnameSwitch

[Switch]vlanbatch102030100

[Switch]interfacegigabitethernet1/0/1

[Switch-GigabitEthernet1/0/1]portlink-typetrunk

[Switch-GigabitEthernet1/0/1]porttrunkallow-passvlan10

[Switch-GigabitEthernet1/0/1]quit

[Switch]interfacevlanif10

[Switch-Vlanif10]ipaddress10.164.1.1255.255.255.0

[Switch-Vlanif10]quit

配置时刻段

#配置8:

00至17:

30的周期时刻段。

[Switch]time-rangesatime8:

00to17:

30working-day//配置ACL生效时刻段，该时刻段是一个周期时刻段

配置ACL

#配置市场部门到工资查询服务器的访问规那么。

[Switch]acl3002

[Switch-acl-adv-3002]ruledenyipsource10.164.2.00.0.0.255destination10.164.9.90.0.0.0time-rangesatime//禁止市场部在satime指定的时刻范畴内访问工资查询服务器

[Switch-acl-adv-3002]quit

#配置研发部门到工资查询服务器的访问规那么。

[Switch]acl3003

[Switch-acl-adv-3003]ruledenyipsource10.164.3.00.0.0.255destination10.164.9.90.0.0.0time-rangesatime//禁止研发部在satime指定的时刻范畴内访问工资查询服务器

[Switch-acl-adv-3003]quit

配置基于ACL的流分类

#配置流分类c_market，对匹配ACL3002的报文进行分类。

[Switch]trafficclassifierc_market//创建流分类

[Switch-classifier-c_market]if-matchacl3002//将ACL与流分类关联

[Switch-classifier-c_market]quit

#配置流分类c_rd，对匹配ACL3003的报文进行分类。

[Switch]trafficclassifierc_rd//创建流分类

[Switch-classifier-c_rd]if-matchacl3003//将ACL与流分类关联

[Switch-classifier-c_rd]quit

配置流行为

#配置流行为b_market，动作为拒绝报文通过。

[Switch]trafficbehaviorb_market//创建流行为

[Switch-behavior-b_market]deny//配置流行为动作为拒绝报文通过

[Switch-behavior-b_market]quit

#配置流行为b_rd，动作为拒绝报文通过。

[Switch]trafficbehaviorb_rd//创建流行为

[Switch-behavior-b_rd]deny//配置流行为动作为拒绝报文通过

[Switch-behavior-b_rd]quit

配置流策略

#配置流策略p_market，将流分类c_market与流行为b_market关联。

[Switch]trafficpolicyp_market//创建流策略

[Switch-trafficpolicy-p_market]classifierc_marketbehaviorb_market//将流分类c_market与流行为b_market关联

[Switch-trafficpolicy-p_market]quit

#配置流策略p_rd，将流分类c_rd与流行为b_rd关联。

[Switch]trafficpolicyp_rd//创建流策略

[Switch-trafficpolicy-p_rd]classifierc_rdbehaviorb_rd//将流分类c_rd与流行为b_rd关联

[Switch-trafficpolicy-p_rd]quit

应用流策略

#由于市场部访问服务器的流量从接口GE1/0/2进入Switch，因此能够在GE1/0/2接口的入方向应用流策略p_market。

[Switch]interfacegigabitethernet1/0/2

[Switch-GigabitEthernet1/0/2]traffic-policyp_marketinbound//流策略应用在接口入方向

[Switch-GigabitEthernet1/0/2]quit

#由于研发部访问服务器的流量从接口GE1/0/3进入Switch，因此在GE1/0/3接口的入方向应用流策略p_rd。

[Switch]interfacegigabitethernet1/0/3

[Switch-GigabitEthernet1/0/3]traffic-policyp_rdinbound//流策略应用在接口入方向

[Switch-GigabitEthernet1/0/3]quit

验证配置结果

#查看ACL规那么的配置信息。

[Switch]displayaclall

TotalnonemptyACLnumberis2

AdvancedACL3002,1rule

Acl'sstepis5

rule5denyipsource10.164.2.00.0.0.255destination10.164.9.90time-rangesatime（match-counter0）（Active）

AdvancedACL3003,1rule

Acl'sstepis5

rule5denyipsource10.164.3.00.0.0.255destination10.164.9.90time-rangesatime（match-counter0）（Active）

#查看流分类的配置信息。

[Switch]displaytrafficclassifieruser-defined

UserDefinedClassifierInformation:

Classifier:

c_marketPrecedence:

5Operator:

OR

Rule（s）:

if-matchacl3002

Classifier:

c_rdPrecedence:

10Operator:

OR

Rule（s）:

if-matchacl3003

Totalclassifiernumberis2

#查看流策略的配置信息。

[Switch]displaytrafficpolicyuser-defined

UserDefinedTrafficPolicyInformation:

Policy:

p_market

Classifier:

c_market

Operator:

OR

Behavior:

b_market

Deny

Policy:

p_rd

Classifier:

c_rd

Operator:

OR

Behavior:

b_rd

Deny

Totalpolicynumberis2

#查看流策略的应用信息。

[Switch]displaytraffic-policyapplied-record

#

-------------------------------------------------

PolicyName:

p_market

PolicyIndex:

0

Classifier:

c_marketBehavior:

b_market

-------------------------------------------------

*interfaceGigabitEthernet1/0/2

traffic-policyp_marketinbound

slot1:

success

-------------------------------------------------

Policytotalappliedtimes:

1.

#

-------------------------------------------------

PolicyName:

p_rd

PolicyIndex:

1

Classifier:

c_rdBehavior:

b_rd

-------------------------------------------------

*interfaceGigabitEthernet1/0/3

traffic-policyp_rdinbound

slot1:

success

-------------------------------------------------

Policytotalappliedtimes:

1.

#

#研发部门和市场部门在上班时刻〔8:

00至17:

30〕无法访问工资查询服务器。

配置文件

Switch的配置文件

#sysnameSwitch

#

vlanbatch102030100

#

time-rangesatime08:

00to17:

30working-day

#

aclnumber3002

rule5denyipsource10.164.2.00.0.0.255destination10.164.9.90time-rangesatime

aclnumber3003

rule5denyipsource10.164.3.00.0.0.255destination10.164.9.90time-rangesatime

#trafficclassifierc_marketoperatororprecedence5

if-matchacl3002trafficclassifierc_rdoperatororprecedence10

if-matchacl3003

#

trafficbehaviorb_market

deny

trafficbehaviorb_rd

deny

#

trafficpolicyp_marketmatch-orderconfig

classifierc_marketbehaviorb_market

trafficpolicyp_rdmatch-orderconfig

classifierc_rdbehaviorb_rd

#

interfaceVlanif10

ipaddress10.164.1.1255.255.255.0

#

interfaceVlanif20

ipaddress10.164.2.1255.255.255.0

#

interfaceVlanif30

ipaddress10.164.3.1255.255.255.0

#

interfaceVlanif100

ipaddress10.164.9.1255.255.255.0

#

interfaceGigabitEthernet1/0/1

portlink-