《华三防火墙竞争材料》由会员分享,可在线阅读,更多相关《华三防火墙竞争材料(5页珍藏版)》请在金锄头文库上搜索。
1、为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划华三防火墙竞争材料价格华三防火墙H3CF100配置说明一、开通网口用超级终端开通GE0/0网口先输入H3Csystem-view初始化配置再输入H3Cinterzonepolicydefaultby-priority开通GE0/0网口二、连接将服务器的IP设成子网掩码与华为防火墙的GE0/0相连三、配置1.打开浏览器,输入2.输入用户名、密码以及验证码后进入配置界面。3.先把端口加入相应的域。外网口就加入Untrust域,内网口就加入Trust口。设备管理安全域,编辑Trust和Un
2、trust区域。选择0/1为Trust区域,选择0/2为Untrust区域。4.为相应的接口配置上相应的IP地址。设备管理接口管理,编辑0/1,三层模式,静态路由,IP地址掩码:编辑0/2,三层模式,静态路由,IP地址掩码:H3C防火墙配置说明杭州华三通信技术有限公司版权所有侵权必究Allrightsreserved相关配置方法:配置OSPF验证从安全性角度来考虑,为了避免路由信息外泄或者对OSPF路由器进行恶意攻击,OSPF提供报文验证功能。OSPF路由器建立邻居关系时,在发送的报文中会携带配置好的口令,接收报文时进行密码验证,只有通过验证的报文才能接收,否则将不会接收报文,不能正常建立邻居
3、。要配置OSPF报文验证,同一个区域的所有路由器上都需要配置区域验证模式,且配置的验证模式必须相同,同一个网段内的路由器需要配置相同的接口验证模式和口令。表1-29配置OSPF验证提高IS-IS网络的安全性在安全性要求较高的网络中,可以通过配置IS-IS验证来提高IS-IS网络的安全性。IS-IS验证特性分为邻居关系的验证和区域或路由域的验证。配置准备在配置IS-IS验证功能之前,需完成以下任务:?配置接口的网络层地址,使相邻节点网络层可达?使能IS-IS功能配置邻居关系验证配置邻居关系验证后,验证密码将会按照设定的方式封装到Hello报文中,并对接收到的Hello报文进行验证密码的检查,通过
4、检查才会形成邻居关系,否则将不会形成邻居关系,用以确认邻居的正确性和有效性,防止与无法信任的路由器形成邻居。两台路由器要形成邻居关系必须配置相同的验证方式和验证密码。表1-37配置邻居关系验证必须先使用isisenable命令使能该接口才能进行参数level-1和level-2的配置。如果没有指定level-1或level-2参数,将同时为level-1和level-2的Hello报文配置验证方式及验证密码。如果没有指定ip或osi参数,将检查Hello报文中OSI的相应字段的配置内容。配置区域验证通过配置区域验证,可以防止将从不可信任的路由器学习到的路由信息加入到本地Level-1的LSDB
5、中。配置区域验证后,验证密码将会按照设定的方式封装到Level-1报文中,并对收到的Level-1报文进行验证密码的检查。同一区域内的路由器必须配置相同的验证方式和验证密码。表1-38配置区域验证配置路由域验证通过配置路由域验证,可以防止将不可信的路由信息注入当前路由域。配置路由域验证后,验证密码将会按照设定的方式封装到Level-2报文中,并对收到的Level-2报文进行验证密码的检查。所有骨干层路由器必须配置相同的验证方式和验证密码。表1-39配置路由域验证配置BGP的MD5认证通过在BGP对等体上配置BGP的MD5认证,可以在以下两方面提高BGP的安全性:?为BGP建立TCP连接时进行M
6、D5认证,只有两台路由器配置的密码相同时,才能建立TCP连接,从而避免与非法的BGP路由器建立TCP连接。?传递BGP报文时,对封装BGP报文的TCP报文段进行MD5运算,从而保证BGP报文不会被篡改。表1-41配置BGP的MD5认证Userlog日志设置要生成Userlog日志,需要配置会话日志功能,详细配置请参见“会话日志”。Userlog日志简介Userlog日志是指用户访问外部网络流信息的相关记录。设备根据报文的5元组对用户访问外部网络的流进行分类统计,并生成Userlog日志。Userlog日志会记录报文的5元组和发送、接收的字节数等信息。网络管理员利用这些信息可以实时跟踪、记录用户访问网络的情况,增强网络的可用性和安全性。Userlog日志有以下两种输出方式,用户可以根据需要使用其中一种:?以系统信息的格式输出到本设备的信息中心,再由信息中心最终决定日志的输出方向。目的-通过该培训员工可对保安行业有初步了解,并感受到安保行业的发展的巨大潜力,可提升其的专业水平,并确保其在这个行业的安全感。
