华为设备安全配置手册doc.docx

华为设备安全配置手册doc.docx

《华为设备安全配置手册doc.docx》由会员分享，可在线阅读，更多相关《华为设备安全配置手册doc.docx（14页珍藏版）》请在冰豆网上搜索。

华为设备安全配置手册doc

华为设备安全配置手册

1.终端访问安全控制

1.1.终端安全认证

【命令】

login{async|con|hwtty|pad|telnet}

undologin{async|con|hwtty|pad|telnet}

【视图】

系统视图

【参数】

无

【描述】

login命令用来打开终端用户的认证开关。

undologin命令用来关闭对终端用户的认证功能。

缺省情况下，关闭对终端用户的认证功能。

可以分别设置五种终端用户的认证功能，以防止未授权用户的非法侵入。

·异步口终端用户（async）：

在远程配置的方式下，三次认证失败将断开。

·Console口终端用户（con）：

控制Console口和AUX口的登录校验，认证失败将继续要求认证。

·哑终端接入用户（hwtty）：

三次认证失败将关闭哑终端连接。

·远程X.25PAD呼叫用户（pad）：

三次认证失败将关闭X.25PAD连接。

·Telnet终端用户（telnet）：

三次认证失败将关闭该Telnet连接。

【举例】

#打开Telnet终端用户认证开关。

[Quidway]logintelnet

1.2.终端服1.3.务属性配置

【命令】

idle-timeout

undoidle-timeout

【视图】

系统视图

【参数】

无

【描述】

idle-timeout命令用来启动与终端用户“定时断开连接”功能，undoidle-timeout命令用来禁止该功能。

缺省情况下，系统启动与终端用户的“定时断开连接”功能。

对于连接到Console口的终端用户，定时断开连接的时间为3分钟；对于哑终端用户，定时断开连接的时间为10分钟；对于通过Modem拨号方式使用哑终端的用户，定时断开连接的时间为6分钟。

用户可以通过undoidle-timeout命令关闭该功能，使终端用户永远不断开连接。

【举例】

#禁止与终端用户的“定时断开连接”功能。

[Quidway]undoidle-timeout

2.防火墙功能配置

2.1.允许/禁止防火墙

在报文过滤时，应先打开防火墙功能，这样才能使其它配置生效。

请在系统视图下进行下列配置。

允许/禁止防火墙

操作

命令

启动防火墙

firewallenable

禁止防火墙

firewalldisable

缺省情况下，防火墙处于“启动”状态。

2.2.配置标2.3.准访问控制列表

标准访问控制列表序号可取值1～99之间的整数。

首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序，然后再使用rule命令配置具体的访问规则。

若不配置匹配顺序的话，按照auto方式进行。

请在系统视图（acl命令）和ACL视图（rule命令）下进行下列配置。

配置标准访问控制列表

操作

命令

进入ACL视图并配置访问控制列表的匹配顺序

aclacl-number[match-orderconfig|auto]

配置标准访问列表规则

rule{normal|special}{permit|deny}[sourcesource-addrsource-wildcard|any]

删除特定的访问列表规则

undorule{rule-id|normal|special}

删除访问列表

undoacl{acl-number|all}

normal指该规则是在普通时间段内起起用；special指该规则是在特殊时间段内起作用，使用special时用户需另外设定特殊时间段。

具有同一序号的多条规则按照“深度优先原则”进行匹配。

缺省情况下，为normal时间段。

2.4.配置扩展访问控制列表

扩展访问控制列表可取值100～199之间的整数。

首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序，然后再使用rule命令配置具体的访问规则。

若不配置匹配顺序的话，按照auto方式进行。

请在系统视图（acl命令）和ACL视图（rule命令）下进行下列配置。

配置扩展访问控制列表

操作

命令

进入ACL视图并配置访问控制列表的匹配顺序

aclacl-number[match-orderconfig|auto]

配置TCP/UDP协议的扩展访问列表规则

rule{normal|special}{permit|deny}{tcp|udp}[sourcesource-addrsource-wildcard|any][source-portoperatorport1[port2]][destinationdest-addrdest-wildcard|any][destination-portoperatorport1[port2]][logging]

配置ICMP协议的扩展访问列表规则

rule{normal|special}{permit|deny}ICMP[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][icmp-typeicmp-typeicmp-code][logging]

配置其它协议扩展访问列表规则

rule{normal|special}{permit|deny}pro-number[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][logging]

删除特定的访问列表规则

undorule{rule-id|normal|special}

删除访问列表

undoacl{acl-number|all}

normal指该规则是在普通时间段内起起用；special指该规则是在特殊时间段内起作用，使用special时用户需另外设定特殊时间段。

具有同一序号的多条规则按照“深度优先原则”进行匹配。

缺省情况下，为normal时间段。

2.5.设置防火墙的缺省过滤方式

防火墙的缺省过滤方式是指：

当访问规则中没有找到一个合适的匹配规则来判定用户数据包是否可以通过的时候，将根据用户设置的防火墙的缺省过滤方式来决定究竟允许还是禁止报文通过。

请在系统视图下进行下列配置。

设置防火墙缺省过滤方式

操作

命令

设置防火墙的缺省过滤方式为允许报文通过

firewalldefaultpermit

设置防火墙的缺省过滤方式为禁止报文通过

firewalldefaultdeny

缺省情况下，防火墙的缺省过滤方式为允许报文通过。

2.6.设置特殊时间段

2.6.1.允许/禁止按时间段过滤

所谓按时间段过滤是指：

在不同的时间段内，采用不同的访问规则对IP数据包进行过滤，这个特性又称为在特别时间段内应用特别的规则（SpecialRulesForSpecialTime）。

根据实际使用情况，将时间段分为下列两类：

·特殊时间段：

在设定时间段内的时间（由special关键字指定）

·普通时间段：

未在设定时间段内的时间（由normal关键字指定）

同样地，访问规则按时间也分为这样两类：

·基于普通时间段的访问规则（NormalPacket-filteringAccessRules）

·基于特殊时间段的访问规则（TimerangePacket-filteringAccessRules）

可为这两类时间段分别定义不同的访问控制列表及访问规则，它们互不影响。

在实际使用时，可把它们看成是两套独立的规则，系统在查看当前所处的时间段（普通时间段还是特殊时间段）后决定究竟采用哪套访问规则。

比如，当前系统时间是在特殊时间段（由rulespecial定义）之内，则采用特殊时间段内的访问规则进行过滤；当时间切换到普通时间段（由rulenormal定义）后，则采用普通时间段规则进行过滤。

请在系统视图下进行下列配置。

允许/禁止按时间段过滤

操作

命令

允许按时间段过滤

timerangeenable

禁止按时间段过滤

timerangedisable

缺省情况下，禁止按特殊时间段过滤。

只有在打开允许按时间段过滤的开关后，用户设定的特殊时间段内的访问规则才能生效；当该开关被禁止后，将采用普通时间段定义的访问规则。

2.6.2.设定特殊时间段

当用户选择了允许按时间段过滤报文的功能后，在用户定义的时间段内，防火墙将采用用户在定义的特殊时间段内的访问规则进行过滤。

本次定义特殊时间段将在大约一分钟左右才能生效，上次定义的特殊时间段也将自动作废。

请在系统视图下进行下列配置。

设定特殊时间段

操作

命令

设定特殊时间段

settr{begin-timeend-time...}

取消特殊时间段

undosettr

缺省情况下，系统使用普通时间段下定义的访问规则进行报文过滤。

使用settr命令能最多同时定义6个时间段。

时间段具体格式为小时:

分钟（即hh:

mm），hh的范围为0～23，mm的范围为0～59。

用displayclock命令可查看系统当前的时钟状况。

2.7.配置在接口上应用访问控制列表的规则

若要实现接口对报文的过滤功能，就必须先将相应访问控制列表规则应用到接口上。

用户可在一个接口上对接收和发送两个方向的报文分别定义不同的访问控制规则。

请在接口视图下进行下列配置。

配置接口上应用访问控制列表的规则

操作

命令

配置在接口的入口或出口方向上应用访问控制列表规则

firewallpacket-filteracl-number[inbound|outbound]

取消在接口的入口或出口方向上应用访问控制列表规则

undofirewallpacket-filteracl-number[inbound|outbound]

缺省情况下，接口上未定义过滤报文的规则。

在一个接口的一个方向上（inbound或outbound方向），最多可以应用20条访问规则。

即在firewallpacket-filterinbound方向上可应用20条规则；在firewallpacket-filteroutbound方向上也可应用20条规则。

若两条互相冲突的规则序号不同，优先匹配acl-number较大的规则。

2.8.指2.9.定日志主机

防火墙支持日志功能，当某条访问规则被匹配后，若用户指定了对该规则产生日志，可向日志主机发送日志，由日志主机做记录并保存。

请在系统视图下进行下列配置。

指定日志主机

操作

命令

指定日志主机

iphostunix-hostnameip-address

取消日志主机

undoiphost

有关对配置“日志主机参数”更详细的描述，请用户参见本手册“系统管理”中“日志功能”一章中的内容。

2.10.防火墙的显示和调试

在所有视图下使用debugging、reset、display命令。

防火墙的显示和调试

操作

命令

显示包过滤规则及在接口上的应用

displayacl[all|acl-number|interfacetypenumber]

显示防火墙状态

displayfirewall

显示当前时间段的范围

displaytimerange

显示当前时间是否在特殊时间段之内

displayisintr

清除访问规则计数器

resetaclcounters[acl-number]

打开防火墙包过滤调试信息开关

debuggingfilter{all|icmp|tcp|udp}

3.系统管理配置

3.1.configfile

【命令】

configfile{flash|nvram}

【视图】

系统视图

【参数】

flash：

选择当前配置文件的存储介质为Flash。

nvram：

选择当前配置文件的存储介质为NVRAM。

【描述】

configfile命令用来选择当前配置文件存储介质。

缺省情况下，在Flash和NVRAM两种存储介质并存时，使用NVRAM存储配置文件。

Quidway系列路由器使用的Flash和NVRAM两种存储介质均可用来保存配置文件，一般情况下，配置文件是保留在NVRAM中的。

可用configfile命令选择其中之一作为当前有效的存储介质，如在执行configfileflash后，再执行save命令，此时会将配置文件保存到Flash而不是NVRAM中。

在保存或擦除配置文件之前，可使用displayconfigfile命令来查看当前配置文件所用的存储介质类型。

相关配置可参考命令delete，downloadconfig，displaycurrent-configuration，displaysaved-configuration，displayconfigfile。

【举例】

#选择配置文件的存储介质为flash。

[Quidway]configfileflash

3.2.update

【命令】

updateslotslot-numberftpserver{host-name|ip-address}filenamefile-name[portport-number|useruser-name|passwordpassword]

【视图】

系统视图

【参数】

slot-number：

升级单板所在的槽位号。

host-name：

升级文件所在FTP文件服务器的主机名。

在升级操作之前若未配置主机名称，则先要在系统视图下，用sysname命令配置路由器名称作为FTP主机名。

ip-address：

升级文件所在主机的IP地址。

file-name：

单板程序的升级文件的文件名。

port-number：

指定的FTP文件服务器的服务端口号。

user-name：

在FTP服务器上注册的合法登录用户名。

password：

在FTP服务器上注册的合法登录用户口令。

【描述】

update命令用来在线升级单板软件。

本命令可对某些单板实现在线升级。

在线升级对单板版本有一定限制。

支持对2SA/4SA、E1VI、6AM/12AM以及加密卡进行在线升级。

在线升级文件的文件名为“*.drv”。

根据升级的不同情况，系统将出现下列不同的显示信息：

在线升级成功，控制台打印提示信息：

Endofprogrammingsuccessfull!

Total131072byteswritten。

在线升级失败，控制台定期打印提示信息：

Pleaseentertheupdaterequestcommandforslotslotnumber！

执行displayversion命令后所在槽位打印信息：

（单板名）Driverneedtobeupdated

在线升级使用了其它单板的升级程序，单板不进行升级操作，控制台打印提示信息：

%Error:

FileIDerror!

若在线升级文件已损坏，单板不进行升级操作，控制台打印提示信息：

%Error:

FileCRCerror!

若输入的在线升级命令正在被另外一个用户对同一块单板执行，该用户的升级命令就不能执行，控制台打印提示信息：

Theindicatedboardisatupdatingstatus.

【举例】

#对槽位3的RTB14SA单板进行在线升级。

FTP文件服务器主机名为huawei、IP地址为1.1.1.253，单板在线升级文件名为ram4sa.drv，FTP主机的用户名为huawei，用户口令为123456。

[Quidway]sysnamehuawei

[huawei]updateslot3ftpserverswitchfilenameram4sa.drvusernamehuaweipassword123456

3.3.TFTP操作命令

3.3.1.copy

【命令】

copyip-addrfile-name{system|config}

【视图】

系统视图

【参数】

ip-addr：

TFTP服务器的IP地址。

file-name：

文件名，长度不超过47个字符。

system：

文件类型，标明上传的文件为系统文件

config：

文件类型，标明上传的文件为配置文件

【描述】

copy命令用来将本路由器上名为file-name的配置文件或者系统文件上传到TFTP服务器中。

相关配置可参考命令get。

【举例】

#把本路由器的配置文件上传到IP地址为10.110.1.1的TFTP服务器中，并且设置文件名为config.txt。

[Quidway]copy10.110.1.1config.txtconfig

startuploadingconfigfile...

........

2465bytescopiedin0.749seconds.

enduploadingconfigfile.

显示信息中，如果成功，显示上载的字节数以及所用的时间；如果失败。

显示失败的错误码errno。

errno序号的含义如下：

errno序号的含义

错误码

描述

0x00

成功。

0x01

内存不够。

0x02

建立请求报文失败。

0x03

建立socket失败。

0x04

绑定socket失败。

0x05

无效的传输方式。

0x06

部分文件被传输。

0x07

无法将数据发送到服务器。

0x0b

建立socket失败。

0x0c

读文件失败。

0x0d

解析主机名失败。

0x0e

打开本地文件失败。

0x0f

无效参数值。

0x10

收到错误报文。

0x11

同步失败。

0x12

写配置文件失败。

0x13

读配置文件失败。

0x14

多个用户同时写配置文件。

0x15

内存分配失败。

0x16

文件超大。

0x18

写文件失败。

0x19

写系统文件错误

0x1a

读系统文件错误

0x1b

读系统文件成功,但是选择不写文件

3.3.2.get

【命令】

getip-addrfile-name{system|config}

【视图】

系统视图

【参数】

ip-addr：

TFTP服务器的IP地址，形式为点分十进制格式X.X.X.X。

file-name：

文件名，长度不超过47个字符。

system：

文件类型，标明上传的文件为系统文件

config：

文件类型，标明上传的文件为配置文件

【描述】

get命令用来把TFTP服务器上的名为file-name的配置文件或者系统文件下载到本路由器的Flash或NVRAM中。

系统文件存放在路由器的FlashMemory中。

配置文件存放在路由器的FlashMemory或NVRAM中，具体情况视路由器硬件和配置而定。

如果路由器硬件配置中包括NVRAM，就可以通过命令configfilenvram来配置使配置文件保存在NVRAM中。

相关配置可参考命令copy。

【举例】

#把IP地址为10.110.1.1的TFTP服务器上的配置文件下载到本路由器的Flash或NVRAM中。

[Quidway]get10.110.1.1sys.cfgconfig

startdownloadingconfigfile...

errno=0x0

enddownloading.

显示信息中的errno为命令执行结果，如为0x0表示成功，否则表示失败。

本命令执行结果返回序号的含义与copy命令相同。

请参见表1-1。

4.网络管理配置

4.1.snmp-agent

【命令】

snmp-agent

undosnmp-agent

【视图】

系统视图

【参数】

无

【描述】

snmp-agent命令用来使能SNMP服务，undosnmp-agent命令用来关闭SNMP服务。

缺省情况下，关闭SNMP服务。

使用snmp-agent或任何一条SNMP的配置命令进行配置，都会启动SNMP服务。

使用undosnmp-agent命令关闭SNMP服务时，所有的SNMP配置信息都不起作用，但在没有重新启动路由器之前，这些信息还未删除，如果再次使能SNMP服务，这些配置信息还能起作用（可用displaycurrent-configuration命令查看）。

但是如果关闭SNMP服务后重新启动路由器，则这些配置信息都会丢失。

启动SNMP服务时，如果配置允许发送warmstartTrap报文，系统就会发送warmstartTrap报文。

【举例】

#关闭SNMP服务。

[Quidway]undosnmp-agent

4.2.snmp-agentcommunity

【命令】

snmp-agentcommunity{read|write}community_name[mib-viewview-name][aclnumber]

undosnmp-agentcommunitycommunity_name

【视图】

系统视图

【参数】

community_name：

团体名字符串，取值范围1～32字节。

viewview-name：

预先定义的MIB视图名，为长度1～32字节的字符串。

这个视图指明了团体名可访问的对象。

read：

表明对MIB对象进行只读的访问，为缺省值。

write：

表明对MIB对象进行读写的访问。

aclnumber：

指明一个IP地址的访问控制列表号，允许这些IP地址使用团体名community_name访问SNMPAgent，取值范围1～99。

【描述】

snmp-agentcommunity命令用来设置SNMP协议的团体名及其访问权限，undosnmp-agentcommunity命令用来删除已设定的SNMP协议团体名。

缺省情况下，未设置团体名。

团体名只在使用SNMPv1或SNMPv2c版本时才起作用。

使用SNMPv1或SNMPv2c版本时，至少需要配置一个团体名或者一个SNMPv1（或SNMPv2c）的用户。

相关配置可参考命令snmp-agent,snmp-agentsys-infoversion,snmp-agentmib-view,displaysnmp-agentcommunity。

【举例】

#设置团体名为private，使用该团体名可以进行只读访问。

[Quidway]snmp-agentcommunityprivateread

#设置团体名为public，使用该团体名可以进行读写访问，并且指定可访问的MIB视图为view1，访