收藏
下载资源

huawei 01-13安全典型配置

上传人:简****9 文档编号:115973857 上传时间:2019-11-15 格式:DOC 页数:73 大小:629.55KB
返回 下载 相关 举报
huawei 01-13安全典型配置_第1页
第1页 / 共73页
huawei 01-13安全典型配置_第2页
第2页 / 共73页
huawei 01-13安全典型配置_第3页
第3页 / 共73页
huawei 01-13安全典型配置_第4页
第4页 / 共73页
huawei 01-13安全典型配置_第5页
第5页 / 共73页
点击查看更多>>
资源描述

《huawei 01-13安全典型配置》由会员分享,可在线阅读,更多相关《huawei 01-13安全典型配置(73页珍藏版)》请在金锄头文库上搜索。

1、13 安全典型配置13.1 配置ACL13.1.1 使用ACL限制FTP访问权限示例13.1.2 使用ACL限制用户在特定时间访问特定服务器的权限示例13.1.3 使用ACL禁止特定用户上网示例13.1.4 使用自反ACL实现单向访问控制示例13.1.5 配置特定时间段允许个别用户上网示例13.1.6 使用ACL限制不同网段的用户互访示例13.1.7 使用ACL限制内网主机访问外网网站示例13.1.8 使用ACL限制外网用户访问内网中服务器的权限示例13.1.9 SNMP中应用ACL过滤非法网管示例13.2 配置ARP安全13.2.1 配置ARP安全综合功能示例13.2.2 配置防止ARP中间

2、人攻击示例13.3 配置DHCP Snooping13.3.1 配置DHCP Snooping防止DHCP Server仿冒者攻击示例13.4 IPSG配置13.4.1 配置IPSG防止静态主机私自更改IP地址示例13.4.2 配置IPSG防止DHCP动态主机私自更改IP地址示例13.4.3 配置IPSG限制非法主机访问内网示例(静态绑定)13.5 配置端口安全示例13安全典型配置13.1 配置ACL13.2 配置ARP安全13.3 配置DHCP Snooping13.4 IPSG配置通过示例介绍IPSG如何防止主机私自更改IP地址,提供组网图、配置步骤和配置文件等。13.5 配置端口安全示例

3、13.1配置ACL13.1.1使用ACL限制FTP访问权限示例ACL简介访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。如果只需要根据源

4、IP地址对报文进行过滤,可以配置基本ACL。本例,就是将基本ACL应用在FTP模块中,实现只允许指定的客户端访问FTP服务器,以提高安全性。配置注意事项本例中配置的本地用户登录密码方式为irreversible-cipher,表示对用户密码采用不可逆算法进行加密,非法用户无法通过解密算法特殊处理后得到明文密码,安全性较高,该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码,仅能采用cipher方式,表示对用户密码采用可逆算法进行加密,非法用户可以通过对应的解密算法解密密文后得到明文密码,安全性较低。本举例适用于S系列交换机所有产品的所有版本。

5、组网需求如图13-1所示,Switch作为FTP服务器,对网络中的不同用户开放不同的访问权限:子网1(172.16.105.0/24)的所有用户在任意时间都可以访问FTP服务器。子网2(172.16.107.0/24)的所有用户只能在某一个时间范围内访问FTP服务器。其他用户不可以访问FTP服务器。已知Switch与各个子网之间路由可达,要求在Switch上进行配置,实现FTP服务器对客户端访问权限的设置。图13-1使用基本ACL限制FTP访问权限组网图操作步骤配置时间段 system-viewHUAWEI sysname SwitchSwitch time-range ftp-access

6、from 0:0 2014/1/1 to 23:59 2014/12/31 /配置ACL生效时间段,该时间段是一个绝对时间段模式的时间段Switch time-range ftp-access 14:00 to 18:00 off-day /配置ACL生效时间段,该时间段是一个周期时间段,ftp-access最终生效的时间范围为以上两个时间段的交集配置基本ACLSwitch acl number 2001Switch-acl-basic-2001 rule permit source 172.16.105.0 0.0.0.255 /允许172.16.105.0/24网段的所有用户在任意时间都可

7、以访问FTP服务器Switch-acl-basic-2001 rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access /限制172.16.107.0/24网段的所有用户只能在ftp-access时间段定义的时间范围内访问FTP服务器Switch-acl-basic-2001 rule deny source any /限制其他用户不可以访问FTP服务器Switch-acl-basic-2001 quit配置FTP基本功能Switch ftp server enable /开启设备的FTP服务器功能,允许FTP用户登录Swi

8、tch aaa Switch-aaa local-user huawei password irreversible-cipher SetUesrPasswd123 /配置FTP用户的用户名和密码,其中irreversible-cipher方式的密码仅适用于V200R003C00及以后版本,在V200R003C00之前版本上,仅适用cipher方式密码Switch-aaa local-user huawei privilege level 15 /配置FTP用户的用户级别Switch-aaa local-user huawei service-type ftp /配置FTP用户的服务类型Swi

9、tch-aaa local-user huawei ftp-directory cfcard: /配置FTP用户的授权目录,在盒式交换机上需配置为flash:Switch-aaa quit配置FTP服务器访问权限Switch ftp acl 2001 /在FTP模块中应用ACL验证配置结果在子网1的PC1(172.16.105.111/24)上执行ftp 172.16.104.110命令,可以连接FTP服务器。2014年某个周一在子网2的PC2(172.16.107.111/24)上执行ftp 172.16.104.110命令,不能连接FTP服务器;2014年某个周六下午15:00在子网2的P

10、C2(172.16.107.111/24)上执行ftp 172.16.104.110命令,可以连接FTP服务器。在PC3(10.10.10.1/24)上执行ftp 172.16.104.110命令,不能连接FTP服务器。配置文件Switch的配置文件#sysname Switch#FTP server enableFTP acl 2001#time-range ftp-access 14:00 to 18:00 off-daytime-range ftp-access from 00:00 2014/1/1 to 23:59 2014/12/31#acl number 2001 rule 5

11、permit source 172.16.105.0 0.0.0.255 rule 10 permit source 172.16.107.0 0.0.0.255 time-range ftp-access rule 15 deny #aaa local-user huawei password irreversible-cipher %#uM-!TkAaGB5=$6SQuw$#batog!R7M_d!o*N9ge0baw#%# local-user huawei privilege level 15 local-user huawei ftp-directory cfcard: local-

12、user huawei service-type ftp#return13.1.2使用ACL限制用户在特定时间访问特定服务器的权限示例ACL简介访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。高级ACL根据源IP地址、目的地

13、址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。与基本ACL相比,高级ACL提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IP地址和目的IP地址对报文进行过滤时,则需要配置高级ACL。本例,就是将高级ACL应用在流策略模块,使设备可以对用户在特定时间访问特定服务器的报文进行过滤,达到基于时间限制用户访问该服务器权限的目的。配置注意事项本举例适用于S系列交换机所有产品的所有版本。组网需求如图1所示,某公司通过Switch实现各部门之间的互连。公司要求禁止研发部门和市场部门在上班时间(8:00至17:30)访

14、问工资查询服务器(IP地址为10.164.9.9),总裁办公室不受限制,可以随时访问。图13-2使用ACL限制用户在特定时间访问特定服务器的权限组网图配置思路采用如下的思路在Switch上进行配置:配置时间段、高级ACL和基于ACL的流分类,使设备可以基于时间的ACL,对用户访问服务器的报文进行过滤,从而限制不同用户在特定时间访问特定服务器的权限。配置流行为,拒绝匹配上ACL的报文通过。配置并应用流策略,使ACL和流行为生效。操作步骤配置接口加入VLAN,并配置VLANIF接口的IP地址# 将GE1/0/1GE1/0/3分别加入VLAN10、20、30,GE2/0/1加入VLAN100,并配置

15、各VLANIF接口的IP地址。下面配置以GE1/0/1和VLANIF 10接口为例,接口GE1/0/2、GE1/0/3和GE2/0/1的配置与GE1/0/1接口类似,接口VLANIF 20、VLANIF 30和VLANIF 100的配置与VLANIF 10接口类似,不再赘述。 system-viewHUAWEI sysname SwitchSwitch vlan batch 10 20 30 100Switch interface gigabitethernet 1/0/1Switch-GigabitEthernet1/0/1 port link-type trunkSwitch-GigabitEthernet1/0/1 port trunk allow-pass vlan 10Switch-GigabitEthernet1/0/1 quit

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业/管理/HR > 管理学资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号