收藏
下载资源

h3c防火墙配置说明资料

上传人:E**** 文档编号:102052984 上传时间:2019-10-01 格式:DOC 页数:27 大小:624.43KB
返回 下载 相关 举报
h3c防火墙配置说明资料_第1页
第1页 / 共27页
h3c防火墙配置说明资料_第2页
第2页 / 共27页
h3c防火墙配置说明资料_第3页
第3页 / 共27页
h3c防火墙配置说明资料_第4页
第4页 / 共27页
h3c防火墙配置说明资料_第5页
第5页 / 共27页
点击查看更多>>
资源描述

《h3c防火墙配置说明资料》由会员分享,可在线阅读,更多相关《h3c防火墙配置说明资料(27页珍藏版)》请在金锄头文库上搜索。

1、H3C防火墙配置说明 杭州华三通信技术有限公司版权所有 侵权必究All rights reserved相关配置方法:安全要求-设备-路由器-功能-14 设备应支持路由协议(OSPF/ISIS/BGP等)认证,认证字以不可逆密文方式存放。待确认支持配置OSPF验证从安全性角度来考虑,为了避免路由信息外泄或者对OSPF路由器进行恶意攻击,OSPF提供报文验证功能。OSPF路由器建立邻居关系时,在发送的报文中会携带配置好的口令,接收报文时进行密码验证,只有通过验证的报文才能接收,否则将不会接收报文,不能正常建立邻居。要配置OSPF报文验证,同一个区域的所有路由器上都需要配置区域验证模式,且配置的验证

2、模式必须相同,同一个网段内的路由器需要配置相同的接口验证模式和口令。表1-29 配置OSPF验证操作命令说明进入系统视图system-view-进入OSPF视图ospf process-id | router-id router-id | vpn-instance vpn-instance-name *-进入OSPF区域视图area area-id-配置OSPF区域的验证模式authentication-mode md5 | simple 必选缺省情况下,没有配置区域验证模式退回OSPF视图quit-退回系统视图quit-进入接口视图interface interface-type inter

3、face-number-配置OSPF接口的验证模式(简单验证)ospf authentication-mode simple cipher | plain password二者必选其一缺省情况下,接口不对OSPF报文进行验证配置OSPF接口的验证模式(MD5验证)ospf authentication-mode hmac-md5 | md5 key-id cipher | plain password提高IS-IS网络的安全性在安全性要求较高的网络中,可以通过配置IS-IS验证来提高IS-IS网络的安全性。IS-IS验证特性分为邻居关系的验证和区域或路由域的验证。配置准备在配置IS-IS验证功

4、能之前,需完成以下任务:配置接口的网络层地址,使相邻节点网络层可达使能IS-IS功能配置邻居关系验证配置邻居关系验证后,验证密码将会按照设定的方式封装到Hello报文中,并对接收到的Hello报文进行验证密码的检查,通过检查才会形成邻居关系,否则将不会形成邻居关系,用以确认邻居的正确性和有效性,防止与无法信任的路由器形成邻居。两台路由器要形成邻居关系必须配置相同的验证方式和验证密码。表1-37 配置邻居关系验证操作命令说明进入系统视图system-view-进入接口视图interface interface-type interface-number-配置邻居关系验证方式和验证密码isis a

5、uthentication-mode md5 | simple cipher password level-1 | level-2 ip | osi 必选缺省情况下,接口没有配置邻居关系验证,既不会验证收到的Hello报文,也不会把验证密码插入到Hello报文中参数level-1和level-2的支持情况和产品相关,具体请以设备的实际情况为准必须先使用isis enable命令使能该接口才能进行参数level-1和level-2的配置。如果没有指定level-1或level-2参数,将同时为level-1和level-2的Hello报文配置验证方式及验证密码。如果没有指定ip或osi参数,将检

6、查Hello报文中OSI的相应字段的配置内容。配置区域验证通过配置区域验证,可以防止将从不可信任的路由器学习到的路由信息加入到本地Level-1的LSDB中。配置区域验证后,验证密码将会按照设定的方式封装到Level-1报文(LSP、CSNP、PSNP)中,并对收到的Level-1报文进行验证密码的检查。同一区域内的路由器必须配置相同的验证方式和验证密码。表1-38 配置区域验证操作命令说明进入系统视图system-view-进入IS-IS视图isis process-id vpn-instance vpn-instance-name -配置区域验证方式和验证密码area-authentica

7、tion-mode md5 | simple cipher password ip | osi 必选缺省情况下,系统没有配置区域验证,既不会验证收到的Level-1报文,也不会把验证密码插入到Level-1报文中配置路由域验证通过配置路由域验证,可以防止将不可信的路由信息注入当前路由域。配置路由域验证后,验证密码将会按照设定的方式封装到Level-2报文(LSP、CSNP、PSNP)中,并对收到的Level-2报文进行验证密码的检查。所有骨干层(Level-2)路由器必须配置相同的验证方式和验证密码。表1-39 配置路由域验证操作命令说明进入系统视图system-view-进入IS-IS视图i

8、sis process-id vpn-instance vpn-instance-name -配置路由域验证方式和验证密码domain-authentication-mode md5 | simple cipher password ip | osi 必选缺省情况下,系统没有配置路由域验证,既不会验证收到的Level-2报文,也不会把验证密码插入到Level-2报文中配置BGP的MD5认证通过在BGP对等体上配置BGP的MD5认证,可以在以下两方面提高BGP的安全性: 为BGP建立TCP连接时进行MD5认证,只有两台路由器配置的密码相同时,才能建立TCP连接,从而避免与非法的BGP路由器建立T

9、CP连接。传递BGP报文时,对封装BGP报文的TCP报文段进行MD5运算,从而保证BGP报文不会被篡改。表1-41 配置BGP的MD5认证操作命令说明进入系统视图system-view-进入BGP视图或BGP-VPN实例视图进入BGP视图bgp as-number二者必选其一进入BGP-VPN实例视图bgp as-numberipv4-family vpn-instance vpn-instance-name配置BGP的MD5认证peer group-name | ip-address password cipher | simple password必选缺省情况下,BGP不进行MD5认证安全

10、要求-设备-防火墙-功能-2防火墙应具备记录VPN日志功能,记录VPN访问登陆、退出等信息。待确认暂不支持安全要求-设备-防火墙-功能-5防火墙应具备日志容量告警功能,在日志数达到指定阈值时产生告警。待确认暂不支持安全要求-设备-防火墙-功能-3防火墙应具备流量日志记录功能,记录通过防火墙的网络连接。待确认支持Userlog日志设置(Flow日志)要生成Userlog日志,需要配置会话日志功能,详细配置请参见“1.6 会话日志”。Userlog日志简介Userlog日志是指用户访问外部网络流信息的相关记录。设备根据报文的5元组(源IP地址、目的IP地址、源端口、目的端口、协议号)对用户访问外部

11、网络的流进行分类统计,并生成Userlog日志。Userlog日志会记录报文的5元组和发送、接收的字节数等信息。网络管理员利用这些信息可以实时跟踪、记录用户访问网络的情况,增强网络的可用性和安全性。Userlog日志有以下两种输出方式,用户可以根据需要使用其中一种: 以系统信息的格式输出到本设备的信息中心,再由信息中心最终决定日志的输出方向。 以二进制格式封装成UDP报文输出到指定的Userlog日志主机。Userlog日志有1.0和3.0两个版本。两种Userlog日志的格式稍有不同,具体差别请参见表1-2和表1-3。表1-2 1.0版本Userlog日志信息字段描述SourceIP源IP地

12、址DestIP目的IP地址SrcPortTCP/UDP源端口号DestPortTCP/UDP目的端口号StartTime流起始时间,以秒为单位,从1970/1/1 0:0开始计算EndTime流结束时间,以秒为单位,从1970/1/1 0:0开始计算ProtIP承载的协议类型Operator操作字,主要指流结束原因Reserved保留表1-3 3.0版本Userlog日志信息字段描述ProtIP承载的协议类型Operator操作字,主要指流结束原因IpVersionIP报文版本TosIPv4IPv4报文的Tos字段SourceIP源IP地址SrcNatIPNAT转换后的源IP地址DestIP目

13、的IP地址DestNatIPNAT转换后的目的IP地址SrcPortTCP/UDP源端口号SrcNatPortNAT转换后的TCP/UDP源端口号DestPortTCP/UDP目的端口号DestNatPortNAT转换后的TCP/UDP目的端口号StartTime流起始时间,以秒为单位,从1970/01/01 00:00开始计算EndTime流结束时间,以秒为单位,从1970/01/01 00:00开始计算InTotalPkg接收的报文包数InTotalByte接收的报文字节数OutTotalPkg发出的报文包数OutTotalByte发出的报文字节数Reserved1 对于0x02版本(Fi

14、rewallV200R001)保留 对于0x03版本(FirewallV200R005)第一个字节为源VPN ID,第二个字节为目的VPN ID,第三、四个字节保留Reserved2保留Reserved3保留配置Userlog日志(1) 在导航栏中选择“日志管理 Userlog日志”,进入如下图所示的页面。图1-2 Userlog日志(2) 配置Userlog日志参数,的详细配置如下表所示。(3) 单击按钮完成操作。表1-4 Userlog日志的详细配置配置项说明版本设置Userlog日志的版本。包括1.0、3.0请根据日志接收设备的实际能力配置Userlog日志的版本,如果接收设备不支持某个版本的Userlog日志,则无法正确解析收到的日志报文源IP地址设置Userlog日志报文的源IP地址指定源地址后,当设备A向设备B发送Userlog日志时,就使用这个IP地址作为报文的源IP地址,而不使用报文出接口的真正地址。这样,即便A使用不同的端口向B发送报文,B也可以根据源

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号