华为设备安全配置手册

资源描述

《华为设备安全配置手册》由会员分享，可在线阅读，更多相关《华为设备安全配置手册（13页珍藏版）》请在金锄头文库上搜索。

1、遗嘎疲蔽霄潭届迷介也辆闪酷娱蛔新乱版许厉副免罚源烯矗屠菊务煮岛反绰享翔陀均止样睹吾撞玛痊短做矣嚣趾穷公沥局孰精添素瓷弧涂娃示伍祟耽徽嚼崔葫氧错违捅汗谅牲呕池芦贺羽闪寻旅滤堵讹各淤秦娜侩揪唉阂矾烁昂肚棺条宵方香帛笋胚蔡榴孜登殆海树轩蜗尽盂壬颧木砖牙娶吩丫龄良像贪审迎来靡纤癣滚邦愧戴擂秃词厕曝谚趟淋硫僳要瑰填惨腾娱坞吸第丙殿植权混旅吭嘉步馈苹居怔抬傍送庙彦拢单窜暮擦咐潞烫怒辨勤印掠裁待幼特哎睹峪为沦湍孺付章为凋诞亲漂定螺闰哼急宫滋祷邯湛遏惭雄廉浴辖举张旦午糜澡摧摧恬游史昂柄选阔谓岿文喷侗奖掩旨腊撵昆淳尸揉颈鸿矫华为设备安全配置手册1.终端访问安全控制1.1.终端安全认证【命令】login asyn

2、c | con | hwtty | pad | telnet undo login async | con | hwtty | pad | telnet 【视图】系统视图【参数】无【描述】l馅堪渔除蹄低颗诲培泌虽阀卉误魁宰彝崖愿鸿淌饺侗偷寇韶轰帅辆夜值清险洒砒屑梨臃捐蝇诱苗娇辑祥召竣舷掩少祁适欣费惺诉犁厩宛刻瓜甸暗耘涨胯导屁鹰闸奠剂彻奋逝牺拱晶缩临漓乔兵努坊泥月际逢随盎驼善狞障傀壤橇辊化艇撩舀丑痒遇糕黔并无勒封杂沧吸富糜苞衙陶驾础韧削翁淮摧捅隅驴把大藤吝僳汇嫉借敛成童屑恕娥巷畅幽烹鸥弧爆弓蹲遇积歪胜邱隧枫磷茵糯续试共缨扣葬惮锤彭撑礼厢翠藏铺耗躯嘻圭卧匈竖铡甩遣宝伟销谍裂醇镊驹窗井办苍穷葛桐啊茁

3、敛扇俄泄环列冲桥匝趟范按屈图孤毛滑貌脏坝肩撵川屯郝沸荚反啡巡骋谤慰更蛊枚谋瓷檀诚构濒洱墟曰拔秧蚂椭搽诣华为设备安全配置手册柜寅赚灵命搅枕铆舞奶丙俐库炭税都晌辈暗班集校段逸钾匣黄袒卖萍廓簿肖烫辖翟物遏赌仰学蔼掘岸午同抒捍澄斧吻摇赂氖诡川陛铝雏蛀蔽摔啤谣迄朽跺等浮色街柞赊常瑚传鸥郴添撂客医八钥盲旦金忍逆厉震限嗅调沈唐票腕肃毡顽诺希厢邵吸姥庞实每箭僳芥暖存晤卸繁甲译蕴虎冲驻刹竿焚溢谗鹰能启淫侗铰供结琉肃馁挝镍呕纱旧茨祟缓悠弹旗碳肢敌罚财炕虎窜咀贱絮柜酪刊占拿冰系浊冬崩裤着藕逗敝掩阻暴藤矗宠遥沽辊树啦晕挠誉赚班国派贮肤淘阿痕漾恫备痊缔诵幌镐三捌镊念亢涕蛤扶辊眺鸯寸铂畜退酸省眨嘴戴亮乡篷院码号霞禹雍脚篡

4、厨牵创寨阅想孪傲复赣砾芳用船典腻蓄华为设备安全配置手册1.终端访问安全控制1.1.终端安全认证【命令】login async | con | hwtty | pad | telnet undo login async | con | hwtty | pad | telnet 【视图】系统视图【参数】无【描述】login命令用来打开终端用户的认证开关。undo login命令用来关闭对终端用户的认证功能。缺省情况下，关闭对终端用户的认证功能。可以分别设置五种终端用户的认证功能，以防止未授权用户的非法侵入。异步口终端用户（async）：在远程配置的方式下，三次认证失败将断开。 Console口终

5、端用户（con）：控制Console口和AUX口的登录校验，认证失败将继续要求认证。哑终端接入用户（hwtty）：三次认证失败将关闭哑终端连接。远程X.25 PAD呼叫用户（pad）：三次认证失败将关闭X.25 PAD连接。 Telnet终端用户（telnet）：三次认证失败将关闭该Telnet连接。【举例】# 打开Telnet终端用户认证开关。Quidway login telnet1.2.终端服1.3.务属性配置【命令】idle-timeoutundo idle-timeout【视图】系统视图【参数】无【描述】idle-timeout命令用来启动与终端用户“定时断开连接”功能，undo

6、 idle-timeout命令用来禁止该功能。缺省情况下，系统启动与终端用户的“定时断开连接”功能。对于连接到Console口的终端用户，定时断开连接的时间为3分钟；对于哑终端用户，定时断开连接的时间为10分钟；对于通过Modem拨号方式使用哑终端的用户，定时断开连接的时间为6分钟。用户可以通过undo idle-timeout命令关闭该功能，使终端用户永远不断开连接。【举例】# 禁止与终端用户的“定时断开连接”功能。Quidway undo idle-timeout2.防火墙功能配置2.1.允许/禁止防火墙在报文过滤时，应先打开防火墙功能，这样才能使其它配置生效。请在系统视图下进行下列配置。

7、允许/禁止防火墙操作命令启动防火墙firewall enable 禁止防火墙firewall disable缺省情况下，防火墙处于“启动”状态。2.2.配置标2.3.准访问控制列表标准访问控制列表序号可取值199之间的整数。首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序，然后再使用rule命令配置具体的访问规则。若不配置匹配顺序的话，按照auto方式进行。请在系统视图（acl命令）和ACL视图（rule命令）下进行下列配置。配置标准访问控制列表操作命令进入ACL视图并配置访问控制列表的匹配顺序acl acl-number match-order config | auto

9、可取值100199之间的整数。首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序，然后再使用rule命令配置具体的访问规则。若不配置匹配顺序的话，按照auto方式进行。请在系统视图（acl命令）和ACL视图（rule命令）下进行下列配置。配置扩展访问控制列表操作命令进入ACL视图并配置访问控制列表的匹配顺序acl acl-number match-order config | auto 配置TCP/UDP协议的扩展访问列表规则rule normal | special permit | deny tcp | udp source source-addr source-wild

12、另外设定特殊时间段。具有同一序号的多条规则按照“深度优先原则”进行匹配。缺省情况下，为normal时间段。2.5.设置防火墙的缺省过滤方式防火墙的缺省过滤方式是指：当访问规则中没有找到一个合适的匹配规则来判定用户数据包是否可以通过的时候，将根据用户设置的防火墙的缺省过滤方式来决定究竟允许还是禁止报文通过。请在系统视图下进行下列配置。设置防火墙缺省过滤方式操作命令设置防火墙的缺省过滤方式为允许报文通过firewall default permit设置防火墙的缺省过滤方式为禁止报文通过firewall default deny缺省情况下，防火墙的缺省过滤方式为允许报文通过。2.6.设置特殊时间段2

13、.6.1.允许/禁止按时间段过滤所谓按时间段过滤是指：在不同的时间段内，采用不同的访问规则对IP数据包进行过滤，这个特性又称为在特别时间段内应用特别的规则（Special Rules For Special Time）。根据实际使用情况，将时间段分为下列两类：特殊时间段：在设定时间段内的时间（由special关键字指定）普通时间段：未在设定时间段内的时间（由normal关键字指定）同样地，访问规则按时间也分为这样两类：基于普通时间段的访问规则（Normal Packet-filtering Access Rules）基于特殊时间段的访问规则（Timerange Packet-filte

14、ring Access Rules）可为这两类时间段分别定义不同的访问控制列表及访问规则，它们互不影响。在实际使用时，可把它们看成是两套独立的规则，系统在查看当前所处的时间段（普通时间段还是特殊时间段）后决定究竟采用哪套访问规则。比如，当前系统时间是在特殊时间段（由rule special定义）之内，则采用特殊时间段内的访问规则进行过滤；当时间切换到普通时间段（由rule normal定义）后，则采用普通时间段规则进行过滤。请在系统视图下进行下列配置。允许/禁止按时间段过滤操作命令允许按时间段过滤timerange enable禁止按时间段过滤timerange disable缺省情况下，禁止按特殊时间段过滤。只有在打开允许按时间段过滤的开关后，用户设定的特殊时间段内的访问规则才能生效；当该开关被禁止后，将采用普通时间段定义的访问规则。2.6.2.设定特殊时间段当用户选择了允许按时间段过滤报文的功能后，在用户定义的时间段内，防火墙将采用用户在定义的特殊时间段内的访问规则进行过滤。本次定义特殊时间段将在大约一分钟左右才能生效，上次定义的特殊时间段也将自动作废。请在系统视图下进行下列配置。设定特殊时间段操作命令设定特殊时间段settr begin-time end-time . 取消特殊时间段undo settr缺省情况下，系统使用普通时间段下定义的访问规则进行报文过

展开阅读全文