huawei0113安全典型配置.docx

1、huawei0113安全典型配置13 安全典型配置13.1 配置ACL13.1.1 使用ACL限制FTP访问权限示例13.1.2 使用ACL限制用户在特定时间访问特定服务器的权限示例13.1.3 使用ACL禁止特定用户上网示例13.1.4 使用自反ACL实现单向访问控制示例13.1.5 配置特定时间段允许个别用户上网示例13.1.6 使用ACL限制不同网段的用户互访示例13.1.7 使用ACL限制内网主机访问外网网站示例13.1.8 使用ACL限制外网用户访问内网中服务器的权限示例13.1.9 SNMP中应用ACL过滤非法网管示例13.2 配置ARP安全13.2.1 配置ARP安全综合功能示例

2、13.2.2 配置防止ARP中间人攻击示例13.3 配置DHCP Snooping13.3.1 配置DHCP Snooping防止DHCP Server仿冒者攻击示例13.4 IPSG配置13.4.1 配置IPSG防止静态主机私自更改IP地址示例13.4.2 配置IPSG防止DHCP动态主机私自更改IP地址示例13.4.3 配置IPSG限制非法主机访问内网示例（静态绑定）13.5 配置端口安全示例13安全典型配置13.1 配置ACL13.2 配置ARP安全13.3 配置DHCP Snooping13.4 IPSG配置通过示例介绍IPSG如何防止主机私自更改IP地址，提供组网图、配置步骤和配置文

3、件等。13.5 配置端口安全示例13.1配置ACL13.1.1使用ACL限制FTP访问权限示例ACL简介访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式，可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则，对IPv

4、4报文进行过滤。如果只需要根据源IP地址对报文进行过滤，可以配置基本ACL。本例，就是将基本ACL应用在FTP模块中，实现只允许指定的客户端访问FTP服务器，以提高安全性。配置注意事项本例中配置的本地用户登录密码方式为irreversible-cipher，表示对用户密码采用不可逆算法进行加密，非法用户无法通过解密算法特殊处理后得到明文密码，安全性较高，该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码，仅能采用cipher方式，表示对用户密码采用可逆算法进行加密，非法用户可以通过对应的解密算法解密密文后得到明文密码，安全性较低。本举例适用于

5、S系列交换机所有产品的所有版本。组网需求如图13-1所示，Switch作为FTP服务器，对网络中的不同用户开放不同的访问权限：子网1（172.16.105.0/24）的所有用户在任意时间都可以访问FTP服务器。子网2（172.16.107.0/24）的所有用户只能在某一个时间范围内访问FTP服务器。其他用户不可以访问FTP服务器。已知Switch与各个子网之间路由可达，要求在Switch上进行配置，实现FTP服务器对客户端访问权限的设置。图13-1使用基本ACL限制FTP访问权限组网图操作步骤配置时间段 system-viewHUAWEI sysname SwitchSwitch time-r

6、ange ftp-access from 0:0 2014/1/1 to 23:59 2014/12/31 /配置ACL生效时间段，该时间段是一个绝对时间段模式的时间段Switch time-range ftp-access 14:00 to 18:00 off-day /配置ACL生效时间段，该时间段是一个周期时间段，ftp-access最终生效的时间范围为以上两个时间段的交集配置基本ACLSwitch acl number 2001Switch-acl-basic-2001 rule permit source 172.16.105.0 0.0.0.255 /允许172.16.105.0/

7、24网段的所有用户在任意时间都可以访问FTP服务器Switch-acl-basic-2001 rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access /限制172.16.107.0/24网段的所有用户只能在ftp-access时间段定义的时间范围内访问FTP服务器Switch-acl-basic-2001 rule deny source any /限制其他用户不可以访问FTP服务器Switch-acl-basic-2001 quit配置FTP基本功能Switch ftp server enable /开启设备的FTP服务

8、器功能，允许FTP用户登录Switch aaa Switch-aaa local-user huawei password irreversible-cipher SetUesrPasswd123 /配置FTP用户的用户名和密码，其中irreversible-cipher方式的密码仅适用于V200R003C00及以后版本，在V200R003C00之前版本上，仅适用cipher方式密码Switch-aaa local-user huawei privilege level 15 /配置FTP用户的用户级别Switch-aaa local-user huawei service-type ftp

9、/配置FTP用户的服务类型Switch-aaa local-user huawei ftp-directory cfcard: /配置FTP用户的授权目录，在盒式交换机上需配置为flash:Switch-aaa quit配置FTP服务器访问权限Switch ftp acl 2001 /在FTP模块中应用ACL验证配置结果在子网1的PC1（172.16.105.111/24）上执行ftp 172.16.104.110命令，可以连接FTP服务器。2014年某个周一在子网2的PC2（172.16.107.111/24）上执行ftp 172.16.104.110命令，不能连接FTP服务器；2014年某

10、个周六下午15:00在子网2的PC2（172.16.107.111/24）上执行ftp 172.16.104.110命令，可以连接FTP服务器。在PC3（10.10.10.1/24）上执行ftp 172.16.104.110命令，不能连接FTP服务器。配置文件Switch的配置文件#sysname Switch#FTP server enableFTP acl 2001#time-range ftp-access 14:00 to 18:00 off-daytime-range ftp-access from 00:00 2014/1/1 to 23:59 2014/12/31#acl num

11、ber 2001 rule 5 permit source 172.16.105.0 0.0.0.255 rule 10 permit source 172.16.107.0 0.0.0.255 time-range ftp-access rule 15 deny #aaa local-user huawei password irreversible-cipher %#uM-!TkAaGB5=$6SQuw$#batog!R7M_d!o*N9ge0baw#%# local-user huawei privilege level 15 local-user huawei ftp-director

12、y cfcard: local-user huawei service-type ftp#return13.1.2使用ACL限制用户在特定时间访问特定服务器的权限示例ACL简介访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式，可以将ACL分为基本ACL、高级ACL、二层ACL等种类。

13、高级ACL根据源IP地址、目的地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则，对IPv4报文进行过滤。与基本ACL相比，高级ACL提供了更准确、丰富、灵活的规则定义方法。例如，当希望同时根据源IP地址和目的IP地址对报文进行过滤时，则需要配置高级ACL。本例，就是将高级ACL应用在流策略模块，使设备可以对用户在特定时间访问特定服务器的报文进行过滤，达到基于时间限制用户访问该服务器权限的目的。配置注意事项本举例适用于S系列交换机所有产品的所有版本。组网需求如图1所示，某公司通过Switch实现各部门之间的互连。公司要求禁止研发部门和市场部门在上

14、班时间（8:00至17:30）访问工资查询服务器（IP地址为10.164.9.9），总裁办公室不受限制，可以随时访问。图13-2使用ACL限制用户在特定时间访问特定服务器的权限组网图配置思路采用如下的思路在Switch上进行配置：配置时间段、高级ACL和基于ACL的流分类，使设备可以基于时间的ACL，对用户访问服务器的报文进行过滤，从而限制不同用户在特定时间访问特定服务器的权限。配置流行为，拒绝匹配上ACL的报文通过。配置并应用流策略，使ACL和流行为生效。操作步骤配置接口加入VLAN，并配置VLANIF接口的IP地址# 将GE1/0/1GE1/0/3分别加入VLAN10、20、30，GE2/

15、0/1加入VLAN100，并配置各VLANIF接口的IP地址。下面配置以GE1/0/1和VLANIF 10接口为例，接口GE1/0/2、GE1/0/3和GE2/0/1的配置与GE1/0/1接口类似，接口VLANIF 20、VLANIF 30和VLANIF 100的配置与VLANIF 10接口类似，不再赘述。 system-viewHUAWEI sysname SwitchSwitch vlan batch 10 20 30 100Switch interface gigabitethernet 1/0/1Switch-GigabitEthernet1/0/1 port link-type tr

16、unkSwitch-GigabitEthernet1/0/1 port trunk allow-pass vlan 10Switch-GigabitEthernet1/0/1 quitSwitch interface vlanif 10Switch-Vlanif10 ip address 10.164.1.1 255.255.255.0Switch-Vlanif10 quit配置时间段# 配置8:00至17:30的周期时间段。Switch time-range satime 8:00 to 17:30 working-day /配置ACL生效时间段，该时间段是一个周期时间段配置ACL# 配置市

17、场部门到工资查询服务器的访问规则。Switch acl 3002Switch-acl-adv-3002 rule deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime /禁止市场部在satime指定的时间范围内访问工资查询服务器Switch-acl-adv-3002 quit# 配置研发部门到工资查询服务器的访问规则。Switch acl 3003Switch-acl-adv-3003 rule deny ip source 10.164.3.0 0.0.0.255 destin

18、ation 10.164.9.9 0.0.0.0 time-range satime /禁止研发部在satime指定的时间范围内访问工资查询服务器Switch-acl-adv-3003 quit配置基于ACL的流分类# 配置流分类c_market，对匹配ACL 3002的报文进行分类。Switch traffic classifier c_market /创建流分类Switch-classifier-c_market if-match acl 3002 /将ACL与流分类关联Switch-classifier-c_market quit# 配置流分类c_rd，对匹配ACL 3003的报文进行分

19、类。Switch traffic classifier c_rd /创建流分类Switch-classifier-c_rd if-match acl 3003 /将ACL与流分类关联Switch-classifier-c_rd quit配置流行为# 配置流行为b_market，动作为拒绝报文通过。Switch traffic behavior b_market /创建流行为Switch-behavior-b_market deny /配置流行为动作为拒绝报文通过Switch-behavior-b_market quit# 配置流行为b_rd，动作为拒绝报文通过。Switch traffic b

20、ehavior b_rd /创建流行为Switch-behavior-b_rd deny /配置流行为动作为拒绝报文通过Switch-behavior-b_rd quit配置流策略# 配置流策略p_market，将流分类c_market与流行为b_market关联。Switch traffic policy p_market /创建流策略Switch-trafficpolicy-p_market classifier c_market behavior b_market /将流分类c_market与流行为b_market关联Switch-trafficpolicy-p_market quit#

21、 配置流策略p_rd，将流分类c_rd与流行为b_rd关联。Switch traffic policy p_rd /创建流策略Switch-trafficpolicy-p_rd classifier c_rd behavior b_rd /将流分类c_rd与流行为b_rd关联Switch-trafficpolicy-p_rd quit应用流策略# 由于市场部访问服务器的流量从接口GE1/0/2进入Switch，所以可以在GE1/0/2接口的入方向应用流策略p_market。Switch interface gigabitethernet 1/0/2Switch-GigabitEthernet1

22、/0/2 traffic-policy p_market inbound /流策略应用在接口入方向Switch-GigabitEthernet1/0/2 quit# 由于研发部访问服务器的流量从接口GE1/0/3进入Switch，所以在GE1/0/3接口的入方向应用流策略p_rd。Switch interface gigabitethernet 1/0/3Switch-GigabitEthernet1/0/3 traffic-policy p_rd inbound /流策略应用在接口入方向Switch-GigabitEthernet1/0/3 quit验证配置结果# 查看ACL规则的配置信息。

23、Switch display acl all Total nonempty ACL number is 2Advanced ACL 3002, 1 ruleAcls step is 5 rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range satime (match-counter 0)(Active)Advanced ACL 3003, 1 ruleAcls step is 5 rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 1

24、0.164.9.9 0 time-range satime (match-counter 0)(Active) # 查看流分类的配置信息。Switch display traffic classifier user-defined User Defined Classifier Information: Classifier: c_market Precedence: 5 Operator: OR Rule(s) : if-match acl 3002 Classifier: c_rd Precedence: 10 Operator: OR Rule(s) : if-match acl 300

25、3Total classifier number is 2# 查看流策略的配置信息。Switch display traffic policy user-defined User Defined Traffic Policy Information: Policy: p_market Classifier: c_market Operator: OR Behavior: b_market Deny Policy: p_rd Classifier: c_rd Operator: OR Behavior: b_rd Deny Total policy number is 2# 查看流策略的应用信息

26、。Switch display traffic-policy applied-record# - Policy Name: p_market Policy Index: 0 Classifier:c_market Behavior:b_market - *interface GigabitEthernet1/0/2 traffic-policy p_market inbound slot 1 : success - Policy total applied times: 1. # - Policy Name: p_rd Policy Index: 1 Classifier:c_rd Behav

27、ior:b_rd - *interface GigabitEthernet1/0/3 traffic-policy p_rd inbound slot 1 : success - Policy total applied times: 1. # # 研发部门和市场部门在上班时间（8:00至17:30）无法访问工资查询服务器。配置文件Switch的配置文件#sysname Switch#vlan batch 10 20 30 100 #time-range satime 08:00 to 17:30 working-day#acl number 3002 rule 5 deny ip sourc

28、e 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range satimeacl number 3003 rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range satime#traffic classifier c_market operator or precedence 5 if-match acl 3002traffic classifier c_rd operator or precedence 10 if-match acl

29、3003#traffic behavior b_market denytraffic behavior b_rd deny#traffic policy p_market match-order config classifier c_market behavior b_markettraffic policy p_rd match-order config classifier c_rd behavior b_rd#interface Vlanif10 ip address 10.164.1.1 255.255.255.0#interface Vlanif20 ip address 10.164.2.1 255.255.255.0#interface Vlanif30 ip address 10.164.3.1 255.255.255.0#interface Vlanif100 ip address 10.164.9.1 255.255.255.0 #interface GigabitEthernet1/0/1 port link-type trunk port trunk allow-pass vlan 10 #interface GigabitEthernet1/0/2