huawei0113安全典型配置DOC73页.docx

1、huawei0113安全典型配置DOC73页huawei-01-13-安全典型配置(DOC73页)13.1 配置ACL13.1.1 使用ACL限制FTP访问权限例如13.1.2 使用ACL限制用户在特定时刻访问特定服务器的权限例如13.1.3 使用ACL禁止特定用户上网例如13.1.4 使用自反ACL实现单向访问操纵例如13.1.5 配置特定时刻段承诺个别用户上网例如13.1.6 使用ACL限制不同网段的用户互访例如13.1.7 使用ACL限制内网主机访问外网网站例如13.1.8 使用ACL限制外网用户访问内网中服务器的权限例如13.1.9 SNMP中应用ACL过滤非法网管例如13.2 配置A

2、RP安全13.2.1 配置ARP安全综合功能例如13.2.2 配置防止ARP中间人攻击例如13.3 配置DHCP Snooping13.3.1 配置DHCP Snooping防止DHCP Server仿冒者攻击例如13.4 IPSG配置13.4.1 配置IPSG防止静态主机私自更换IP地址例如13.4.2 配置IPSG防止DHCP动态主机私自更换IP地址例如13.4.3 配置IPSG限制非法主机访问内网例如静态绑定13.5 配置端口安全例如13安全典型配置13.1 配置ACL13.2 配置ARP安全13.3 配置DHCP Snooping13.4 IPSG配置通过例如介绍IPSG如何防止主机私

3、自更换IP地址，提供组网图、配置步骤和配置文件等。13.5 配置端口安全例如13.1配置ACL13.1.1使用ACL限制FTP访问权限例如ACL简介访问操纵列表ACLAccess Control List是由一条或多条规那么组成的集合。所谓规那么，是指描述报文匹配条件的判定语句，这些条件能够是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器，规那么是过滤器的滤芯。设备基于这些规那么进行报文匹配，能够过滤出特定的报文，并依照顾用ACL的业务模块的处理策略来承诺或阻止该报文通过。基于ACL规那么定义方式，能够将ACL分为差不多ACL、高级ACL、二层ACL等种类。差不多ACL依照源I

4、P地址、分片信息和生效时刻段等信息来定义规那么，对IPv4报文进行过滤。假如只需要依照源IP地址对报文进行过滤，能够配置差不多ACL。本例，确实是将差不多ACL应用在FTP模块中，实现只承诺指定的客户端访问FTP服务器，以提高安全性。配置本卷须知本例中配置的本地用户登录密码方式为irreversible-cipher，表示对用户密码采纳不可逆算法进行加密，非法用户无法通过解密算法专门处理后得到明文密码，安全性较高，该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码，仅能采纳cipher方式，表示对用户密码采纳可逆算法进行加密，非法用户能够通过

5、对应的解密算法解密密文后得到明文密码，安全性较低。本举例适用于S系列交换机所有产品的所有版本。组网需求如图13-1所示，Switch作为FTP服务器，对网络中的不同用户开放不同的访问权限：子网1172.16.105.0/24的所有用户在任意时刻都能够访问FTP服务器。子网2172.16.107.0/24的所有用户只能在某一个时刻范畴内访问FTP服务器。其他用户不能够访问FTP服务器。Switch与各个子网之间路由可达，要求在Switch上进行配置，实现FTP服务器对客户端访问权限的设置。图13-1使用差不多ACL限制FTP访问权限组网图操作步骤配置时刻段 system-viewHUAWEI s

6、ysname SwitchSwitch time-range ftp-access from 0:0 2021/1/1 to 23:59 2021/12/31 /配置ACL生效时刻段，该时刻段是一个绝对时刻段模式的时刻段Switch time-range ftp-access 14:00 to 18:00 off-day /配置ACL生效时刻段，该时刻段是一个周期时刻段，ftp-access最终生效的时刻范畴为以上两个时刻段的交集配置差不多ACLSwitch acl number 2001Switch-acl-basic-2001 rule permit source 172.16.105.0

7、 0.0.0.255 /承诺172.16.105.0/24网段的所有用户在任意时刻都能够访问FTP服务器Switch-acl-basic-2001 rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access /限制172.16.107.0/24网段的所有用户只能在ftp-access时刻段定义的时刻范畴内访问FTP服务器Switch-acl-basic-2001 rule deny source any /限制其他用户不能够访问FTP服务器Switch-acl-basic-2001 quit配置FTP差不多功能Switch f

8、tp server enable /开启设备的FTP服务器功能，承诺FTP用户登录Switch aaa Switch-aaa local-user huawei password irreversible-cipher SetUesrPasswd123 /配置FTP用户的用户名和密码，其中irreversible-cipher方式的密码仅适用于V200R003C00及以后版本，在V200R003C00之前版本上，仅适用cipher方式密码Switch-aaa local-user huawei privilege level 15 /配置FTP用户的用户级别Switch-aaa local-u

9、ser huawei service-type ftp /配置FTP用户的服务类型Switch-aaa local-user huawei ftp-directory cfcard: /配置FTP用户的授权名目，在盒式交换机上需配置为flash:Switch-aaa quit配置FTP服务器访问权限Switch ftp acl 2001 /在FTP模块中应用ACL验证配置结果在子网1的PC1172.16.105.111/24上执行ftp 172.16.104.110命令，能够连接FTP服务器。2021年某个周一在子网2的PC2172.16.107.111/24上执行ftp 172.16.104

10、.110命令，不能连接FTP服务器；2021年某个周六下午15:00在子网2的PC2172.16.107.111/24上执行ftp 172.16.104.110命令，能够连接FTP服务器。在PC310.10.10.1/24上执行ftp 172.16.104.110命令，不能连接FTP服务器。配置文件Switch的配置文件#sysname Switch#FTP server enableFTP acl 2001#time-range ftp-access 14:00 to 18:00 off-daytime-range ftp-access from 00:00 2021/1/1 to 23:5

11、9 2021/12/31#acl number 2001 rule 5 permit source 172.16.105.0 0.0.0.255 rule 10 permit source 172.16.107.0 0.0.0.255 time-range ftp-access rule 15 deny #aaa local-user huawei password irreversible-cipher %#uM-!TkAaGB5=$6SQuw$#batog!R7M_d!o*N9ge0baw#%# local-user huawei privilege level 15 local-user

12、 huawei ftp-directory cfcard: local-user huawei service-type ftp#return13.1.2使用ACL限制用户在特定时刻访问特定服务器的权限例如ACL简介访问操纵列表ACLAccess Control List是由一条或多条规那么组成的集合。所谓规那么，是指描述报文匹配条件的判定语句，这些条件能够是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器，规那么是过滤器的滤芯。设备基于这些规那么进行报文匹配，能够过滤出特定的报文，并依照顾用ACL的业务模块的处理策略来承诺或阻止该报文通过。基于ACL规那么定义方式，能够将ACL

13、分为差不多ACL、高级ACL、二层ACL等种类。高级ACL依照源IP地址、目的地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时刻段等信息来定义规那么，对IPv4报文进行过滤。与差不多ACL相比，高级ACL提供了更准确、丰富、灵活的规那么定义方法。例如，当期望同时依照源IP地址和目的IP地址对报文进行过滤时，那么需要配置高级ACL。本例，确实是将高级ACL应用在流策略模块，使设备能够对用户在特定时刻访问特定服务器的报文进行过滤，达到基于时刻限制用户访问该服务器权限的目的。配置本卷须知本举例适用于S系列交换机所有产品的所有版本。组网需求如图1所示，某公司通过Switc

14、h实现各部门之间的互连。公司要求禁止研发部门和市场部门在上班时刻8:00至17:30访问工资查询服务器IP地址为10.164.9.9，总裁办公室不受限制，能够随时访问。图13-2使用ACL限制用户在特定时刻访问特定服务器的权限组网图配置思路采纳如下的思路在Switch上进行配置：配置时刻段、高级ACL和基于ACL的流分类，使设备能够基于时刻的ACL，对用户访问服务器的报文进行过滤，从而限制不同用户在特定时刻访问特定服务器的权限。配置流行为，拒绝匹配上ACL的报文通过。配置并应用流策略，使ACL和流行为生效。操作步骤配置接口加入VLAN，并配置VLANIF接口的IP地址# 将GE1/0/1GE1

15、/0/3分别加入VLAN10、20、30，GE2/0/1加入VLAN100，并配置各VLANIF接口的IP地址。下面配置以GE1/0/1和VLANIF 10接口为例，接口GE1/0/2、GE1/0/3和GE2/0/1的配置与GE1/0/1接口类似，接口VLANIF 20、VLANIF 30和VLANIF 100的配置与VLANIF 10接口类似，不再赘述。 system-viewHUAWEI sysname SwitchSwitch vlan batch 10 20 30 100Switch interface gigabitethernet 1/0/1Switch-GigabitEthern

16、et1/0/1 port link-type trunkSwitch-GigabitEthernet1/0/1 port trunk allow-pass vlan 10Switch-GigabitEthernet1/0/1 quitSwitch interface vlanif 10Switch-Vlanif10 ip address 10.164.1.1 255.255.255.0Switch-Vlanif10 quit配置时刻段# 配置8:00至17:30的周期时刻段。Switch time-range satime 8:00 to 17:30 working-day /配置ACL生效时

17、刻段，该时刻段是一个周期时刻段配置ACL# 配置市场部门到工资查询服务器的访问规那么。Switch acl 3002Switch-acl-adv-3002 rule deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime /禁止市场部在satime指定的时刻范畴内访问工资查询服务器Switch-acl-adv-3002 quit# 配置研发部门到工资查询服务器的访问规那么。Switch acl 3003Switch-acl-adv-3003 rule deny ip source

18、10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime /禁止研发部在satime指定的时刻范畴内访问工资查询服务器Switch-acl-adv-3003 quit配置基于ACL的流分类# 配置流分类c_market，对匹配ACL 3002的报文进行分类。Switch traffic classifier c_market /创建流分类Switch-classifier-c_market if-match acl 3002 /将ACL与流分类关联Switch-classifier-c_market quit#

19、配置流分类c_rd，对匹配ACL 3003的报文进行分类。Switch traffic classifier c_rd /创建流分类Switch-classifier-c_rd if-match acl 3003 /将ACL与流分类关联Switch-classifier-c_rd quit配置流行为# 配置流行为b_market，动作为拒绝报文通过。Switch traffic behavior b_market /创建流行为Switch-behavior-b_market deny /配置流行为动作为拒绝报文通过Switch-behavior-b_market quit# 配置流行为b_rd

20、，动作为拒绝报文通过。Switch traffic behavior b_rd /创建流行为Switch-behavior-b_rd deny /配置流行为动作为拒绝报文通过Switch-behavior-b_rd quit配置流策略# 配置流策略p_market，将流分类c_market与流行为b_market关联。Switch traffic policy p_market /创建流策略Switch-trafficpolicy-p_market classifier c_market behavior b_market /将流分类c_market与流行为b_market关联Switch-t

21、rafficpolicy-p_market quit# 配置流策略p_rd，将流分类c_rd与流行为b_rd关联。Switch traffic policy p_rd /创建流策略Switch-trafficpolicy-p_rd classifier c_rd behavior b_rd /将流分类c_rd与流行为b_rd关联Switch-trafficpolicy-p_rd quit应用流策略# 由于市场部访问服务器的流量从接口GE1/0/2进入Switch，因此能够在GE1/0/2接口的入方向应用流策略p_market。Switch interface gigabitethernet 1

22、/0/2Switch-GigabitEthernet1/0/2 traffic-policy p_market inbound /流策略应用在接口入方向Switch-GigabitEthernet1/0/2 quit# 由于研发部访问服务器的流量从接口GE1/0/3进入Switch，因此在GE1/0/3接口的入方向应用流策略p_rd。Switch interface gigabitethernet 1/0/3Switch-GigabitEthernet1/0/3 traffic-policy p_rd inbound /流策略应用在接口入方向Switch-GigabitEthernet1/0/

23、3 quit验证配置结果# 查看ACL规那么的配置信息。Switch display acl all Total nonempty ACL number is 2Advanced ACL 3002, 1 ruleAcls step is 5 rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range satime (match-counter 0)(Active)Advanced ACL 3003, 1 ruleAcls step is 5 rule 5 deny ip source 10.164

24、.3.0 0.0.0.255 destination 10.164.9.9 0 time-range satime (match-counter 0)(Active) # 查看流分类的配置信息。Switch display traffic classifier user-defined User Defined Classifier Information: Classifier: c_market Precedence: 5 Operator: OR Rule(s) : if-match acl 3002 Classifier: c_rd Precedence: 10 Operator: O

25、R Rule(s) : if-match acl 3003Total classifier number is 2# 查看流策略的配置信息。Switch display traffic policy user-defined User Defined Traffic Policy Information: Policy: p_market Classifier: c_market Operator: OR Behavior: b_market Deny Policy: p_rd Classifier: c_rd Operator: OR Behavior: b_rd Deny Total po

26、licy number is 2# 查看流策略的应用信息。Switch display traffic-policy applied-record# - Policy Name: p_market Policy Index: 0 Classifier:c_market Behavior:b_market - *interface GigabitEthernet1/0/2 traffic-policy p_market inbound slot 1 : success - Policy total applied times: 1. # - Policy Name: p_rd Policy In

27、dex: 1 Classifier:c_rd Behavior:b_rd - *interface GigabitEthernet1/0/3 traffic-policy p_rd inbound slot 1 : success - Policy total applied times: 1. # # 研发部门和市场部门在上班时刻8:00至17:30无法访问工资查询服务器。配置文件Switch的配置文件#sysname Switch#vlan batch 10 20 30 100 #time-range satime 08:00 to 17:30 working-day#acl number

28、 3002 rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range satimeacl number 3003 rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range satime#traffic classifier c_market operator or precedence 5 if-match acl 3002traffic classifier c_rd operator or p

29、recedence 10 if-match acl 3003#traffic behavior b_market denytraffic behavior b_rd deny#traffic policy p_market match-order config classifier c_market behavior b_markettraffic policy p_rd match-order config classifier c_rd behavior b_rd#interface Vlanif10 ip address 10.164.1.1 255.255.255.0#interface Vlanif20 ip address 10.164.2.1 255.255.255.0#interface Vlanif30 ip address 10.164.3.1 255.255.255.0#interface Vlanif100 ip address 10.164.9.1 255.255.255.0 #interface GigabitEthernet1/0/1 port link-