MSR系列网关优化配置指导v100.docx
《MSR系列网关优化配置指导v100.docx》由会员分享,可在线阅读,更多相关《MSR系列网关优化配置指导v100.docx(252页珍藏版)》请在冰豆网上搜索。
MSR系列网关优化配置指导v100
杭州华三通信技术有限公司
文档编号DocumentID
密级Confidentialitylevel
HangzhouH3CTechnology
内部公开
Co.,Ltd.
文档状态DocumentStatus
MSR系列网关优化配置指导v1.00
拟制
Date
刘雄威
2008-9-02
Preparedby
日期
评审人
Date
Reviewedby
日期
批准
Date
Approvedby
日期
HangzhouH3CTechnologyCo.,Ltd.
杭州华三通信技术有限公司
版权所有XX
Allrightsreserved
MSR系列网关优化配置指导v1.00内部公开
修订记录RevisionRecord
日期
修订
修改
修改描述
作者
Date
版本
章节
ChangeDescription
Author
Revision
Sec
Version
No.
2008-10-14
V1.00
根据评审意见进行修改
刘雄威
2008-09-02华为三康机密,未经许可不得扩散第2页,共86页
MSR系列网关优化配置指导v1.00内部公开
目
录
1
网关配置优化概述.......................................................................................................................
3
1.1
启用防火墙过滤功能.................................................................................................................
4
1.2
优化NAT会话老化时间.............................................................................................................
7
1.3
启用基于IP地址限速.................................................................................................................
8
1.4
路由优化配置............................................................................................................................
9
1.5
进行IP-MAC地址绑定.............................................................................................................
10
1.6
限制单机的NATTCP连接数...................................................................................................
11
1.7
开启Telnet服务.......................................................................................................................
12
1.8
关闭设备上不必要的服务........................................................................................................
13
1.9
限制访问设备HTTP/HTTPS/Telnet
服务源地址
......................................................................13
1.10
双WAN接入路由配置..............................................................................................................
14
1.10.1
同运营商双WAN接入..................................................................................................
14
1.10.2
电信网通双WAN接入..................................................................................................
18
2
典型配置实例
............................................................................................................................
20
2.1
单出口典型配置......................................................................................................................
21
2.1.1
PPPoE拨号接入..........................................................................................................
21
2.1.2
主机为私网地址以太网接入
.........................................................................................
26
2.1.3
主机为公网地址以太网接入
.........................................................................................
32
2.2
双WAN
接入典型配置..............................................................................................................
37
2.2.1
MSR5006双以太网链路接入
.......................................................................................
37
2.2.2
MSR20/30/50双以太网链路接入.................................................................................
44
2.2.3
以太网链路+PPPOE链路接入.....................................................................................
52
2.2.4
电信网通双链路接入....................................................................................................
60
2.3
内部服务器访问......................................................................................................................
80
1网关配置优化概述
随着网络建设和应用的不断深入,网络的管理者和使用者对网络的安全性和稳定性要求越来越
高,MSR系列网关通过多种功能可以控制和管理网络的流量,能够有效地实施各种防攻击策略。
2008-09-02华为三康机密,未经许可不得扩散第3页,共86页
MSR系列网关优化配置指导v1.00内部公开
尤其在企业网和网吧这种复杂的网络环境中,全面合理的配置能够大大提高网络的稳定性和可靠
性。
下面以MSR2010网关,E1710版本为例,总结出网关设备在企业网和网吧环境中可以优化的
配置项和特性配置方法,并且给出了几种典型组网下的配置案例。
1.1启用防火墙过滤功能
ACL是每个安全策略的基本组成部份,控制和监视什么数据包进入和离开网络几乎是网络安
全的定义。
在RFC2827/BCP38(BestCurrentPractice)中高度建议使用入口过滤,这不仅可以
使你的网络安全,而且可以使其它的网络不会被来自你的网络的伪装的源IP给攻击。
许多的网络攻
击者使用伪装的源IP地址来隐藏它们的身份,在网关设备LAN口使用了入口过滤功能后,也更加容
易定位网络攻击者,因为攻击者必须使用真实的源IP地址。
在网关设备WAN使用入口过滤功能后,
可以有效的过滤各种病毒和攻击流量,从而使网络更稳定。
同时目前大部分企业和网吧网关设备都启用NAT转换功能,网关设备向外网转发报文时需要将
源地址转换为公网地址,接收报文时需要将目的地址转换为内网地址,根据MSR系列网关转发处
理流程特点-入方向先进行NAT转换再进行防火墙过滤,可以有效的利用防火墙将非内网发起的数
据连接和外网主动发起的攻击流量进行过滤,保证网络的稳定性和安全性。
也可以利用防火墙将各
种常见的病毒报文根据应用服务端口进行过滤。
以局域网接口的IP地址为192.168.1.0/24,广域网接口的IP地址为162.1.1.0/30为例,ACL和防
火墙的典型配置如下:
1、启用防火墙:
[H3C]firewallenable
2、关闭设备发送IP不可达报文功能:
[H3C]undoipunreachables
3、配置LAN口防火墙过滤规则:
aclnumber3003nameLANDefend
//将一些常见的端口扫描、病毒报文进行过滤
rule0denyudpdestination-porteqtftprule1denytcpdestination-porteq4444rule2denytcpdestination-porteq135rule3denyudpdestination-porteq135
rule4denyudpdestination-porteqnetbios-nsrule5denyudpdestination-porteqnetbios-dgm
//Worm.Blaster
//Worm.Blaster
//Worm.Blaster
2008-09-02华为三康机密,未经许可不得扩散第4页,共86页
MSR系列网关优化配置指导v1.00内部公开
rule6denytcpdestination-porteq139
rule7denyudpdestination-porteqnetbios-ssnrule8denytcpdestination-porteq445
rule9denyudpdestination-porteq445rule10denyudpdestination-porteq593rule11denytcpdestination-porteq593rule12denytcpdestination-porteq5554rule13denytcpdestination-porteq9995rule14denytcpdestination-porteq9996rule15denyudpdestination-porteq1434rule16denytcpdestination-porteq1068rule17denytcpdestination-porteq5800rule18denytcpdestination-porteq5900rule19denytcpdestination-porteq10080rule22denytcpdestination-porteq3208rule23denytcpdestination-porteq1871rule24denytcpdestination-porteq4510rule25denyudpdestination-porteq4334rule26denytcpdestination-porteq4331rule27denytcpdestination-porteq4557rule28denyudpdestination-porteq4444rule29denyudpdestination-porteq1314rule30denytcpdestination-porteq6969rule31denytcpdestination-porteq137rule32denytcpdestination-porteq389rule33denytcpdestination-porteq138rule34denyudpdestination-porteq136rule35denytcpdestination-porteq1025rule36denytcpdestination-porteq6129rule37denytcpdestination-porteq1029rule38denytcpdestination-porteq20168rule39denytcpdestination-porteq4899rule40denytcpdestination-porteq45576rule41denytcpdestination-porteq1433rule42denytcpdestination-porteq1434rule43denyudpdestination-porteq1433
//Worm.Blaster
//Worm.Blaster
//Worm.Blaster
//Worm.Blaster
//Sasser
//Sasser
//SQLSlammer
//Worm.Blaster
//SQLSlammer
//允许Ping和Tracert类型的ICMP报文通过,其它类型的ICMP报文丢弃rule200permiticmpicmp-typeecho
rule201permiticmpicmp-typeecho-replyrule202permiticmpicmp-typettl-exceededrule210denyicmp
2008-09-02华为三康机密,未经许可不得扩散第5页,共86页
MSR系列网关优化配置指导v1.00内部公开
//允许源地址为内网网段的报文进入网关设备转发,当内网主机为DHCP动态获取时,需要允许DHCP请求报文进入网关,其它报文丢弃
rule1000permitipsource192.168.1.00.0.0.255rule1001permitudpdestination-porteqbootpsrule2000denyip
4、配置WAN口防火墙过滤规则:
aclnumber3001nameWANDefend
//将一些常见的端口扫描、病毒报文进行过滤
rule0denyudpdestination-porteqtftprule1denytcpdestination-porteq4444rule2denytcpdestination-porteq135rule3denyudpdestination-porteq135
rule4denyudpdestination-porteqnetbios-nsrule5denyudpdestination-porteqnetbios-dgmrule6denytcpdestination-porteq139
rule7denyudpdestination-porteqnetbios-ssnrule8denytcpdestination-porteq445
rule9denyudpdestination-porteq445rule10denyudpdestination-porteq593rule11denytcpdestination-porteq593rule12denytcpdestination-porteq5554rule13denytcpdestination-porteq9995rule14denytcpdestination-porteq9996rule15denyudpdestination-porteq1434rule16denytcpdestination-porteq1068rule17denytcpdestination-porteq5800rule18denytcpdestination-porteq5900rule19denytcpdestination-porteq10080rule22denytcpdestination-porteq3208rule23denytcpdestination-porteq1871rule24denytcpdestination-porteq4510rule25denyudpdestination-porteq4334rule26denytcpdestination-porteq4331rule27denytcpdestination-porteq4557rule28denyudpdestination-porteq4444rule29denyudpdestination-porteq1314rule30denytcpdestination-porteq6969rule31denytcpdestination-porteq137rule32denytcpdestination-porteq389rule33denytcpdestination-porteq138
//Worm.Blaster
//Worm.Blaster
//Worm.Blaster
//Worm.Blaster
//Worm.Blaster
//Worm.Blaster
//Worm.Blaster
//Sasser
//Sasser
//SQLSlammer
//Worm.Blaster
2008-09-02华为三康机密,未经许可不得扩散第6页,共86页
MSR系列网关优化配置指导v1.00内部公开
rule34denyudpdestination-porteq136
rule35denytcpdestination-porteq1025
rule36denytcpdestination-porteq6129
rule37denytcpdestination-porteq1029
rule38denytcpdestination-porteq20168
rule39denytcpdestination-porteq4899
rule40denytcpdestination-porteq45576
rule41denytcpdestination-porteq1433
rule42denytcpdestination-porteq1434//SQLSlammerrule43denyudpdestination-porteq1433
//允许Ping和Tracert类型的报文通过,其它类型的ICMP报文丢弃
rule200permiticmpicmp-typeecho
rule201permiticmpicmp-typeecho-reply
rule202permiticmpicmp-typettl-exceeded
rule210denyicmp
//允许DNS代理请求报文进入
rule300permitudpsource-porteqdns
//开启Telnet管理端口,根据实际业务需求可开启其它服务端口或者服务器地址,如:
TR069服务器地址为202.138.1.1,配置如下:
rule310permittcpdestination-porteqtelnet
rule320permit