收藏
下载资源

华为双出口网络解决方案配置指导命令详解(PowerPoint 56页)

上传人:ahu****ng2 文档编号:334069917 上传时间:2022-09-05 格式:DOCX 页数:52 大小:73.22KB
返回 下载 相关 举报
华为双出口网络解决方案配置指导命令详解(PowerPoint 56页)_第1页
第1页 / 共52页
华为双出口网络解决方案配置指导命令详解(PowerPoint 56页)_第2页
第2页 / 共52页
华为双出口网络解决方案配置指导命令详解(PowerPoint 56页)_第3页
第3页 / 共52页
华为双出口网络解决方案配置指导命令详解(PowerPoint 56页)_第4页
第4页 / 共52页
华为双出口网络解决方案配置指导命令详解(PowerPoint 56页)_第5页
第5页 / 共52页
点击查看更多>>
资源描述

《华为双出口网络解决方案配置指导命令详解(PowerPoint 56页)》由会员分享,可在线阅读,更多相关《华为双出口网络解决方案配置指导命令详解(PowerPoint 56页)(52页珍藏版)》请在金锄头文库上搜索。

1、最新资料推荐好网吧 好网络华为3COM网吧网络解决方案之网关配置指导华为三康技术有限公司Huawei-3Com Technologies Co., Ltd.版权所有 侵权必究All rights reserved目 录第一部分 配置原则概述41需要注意的配置事项41.1配置ACL对非法报文进行过滤41.1.1进行源IP和目的IP过滤41.1.2限制ICMP报文61.1.3限制netbios协议端口61.1.4限制常见病毒使用的端口71.1.5关闭没有使用的端口81.2NAT配置注意事项81.3路由配置注意事项81.4进行IP-MAC地址绑定91.5限制P2P应用(根据实际情况可选)91.5.1

2、通过ACL限制端口91.5.2结合QOS和ACL限制端口流量101.5.3限制单机的NAT会话数121.5.4在客户机上通过软件限制122附:限制常见P2P软件端口的ACL12第二部分 典型配置实例131单出口典型配置131.1局域网内的主机地址是私网IP地址131.2局域网内的主机地址是公网IP地址202双出口链路备份典型配置282.1两条链路都是以太网链路的情况282.2两条链路是以太网链路+PPPOE链路的情况373双出口同时实现负载分担和链路备份典型配置46第一部分 配置原则概述随着网络建设和应用的不断深入,网络安全问题正逐渐成为一个突出的管理问题。AR18系列路由器通过多种手段和配置

3、可以控制和管理网络的流量,能够有效地实施各种防攻击策略。尤其在网吧这种复杂的网络环境中,全面合理的配置能够大大提高网络的稳定性和可靠性。由于网吧上网人员数量多、构成复杂、流动性大,因此网络流量具有流量大、协议种类多、流量复杂等特点。一般网吧局域网内均有一定程度主机感染病毒,同时也很容易被用来发起网络攻击,或者被他人攻击,这就对网吧中的核心设备网关提出了较高的要求。本文以AR18系列路由器为例讲解网关在网吧应用中需要注意的配置事项,同时给出了各种组网情况下的典型配置。1 需要注意的配置事项1.1 配置ACL对非法报文进行过滤ACL 是每个安全策略的组成部份,控制和监视什么数据包进入和离开网络几乎

4、是网络安全的定义。尽管路由器的工作是进行数据包的转发而不是阻止它。但是有些数据包我们必须阻止它。1.1.1 进行源IP和目的IP过滤至少应该在所有的接口上对入方向的报文进行过滤。在RFC2827/BCP 38 (Best Current Practice ) 中高度建议使用入口过滤,这不仅可以使你的网络安全,而且可以使其它的网络不会被来自你的网络的伪装的源IP给攻击。许多的网络攻击者使用伪装的源IP地址来隐藏它们的身份,在网络使用了入口过滤功能后,也更加容易定位网络攻击者,因为攻击者必须使用真实的源IP地址。例如:假设局域网接口的IP地址为192.168.1.0/24,广域网接口的IP地址为1

5、62.1.1.0/30,在局域网接口可以设置:acl number 3003rule 2000 permit ip source 192.168.1.0 0.0.0.255 rule 3000 deny ip 在广域网接口可以设置:acl number 3001rule 2000 permit ip destination 162.1.1.0 0.0.0.3 rule 2001 permit ip destination 192.168.1.0 0.0.0.255 rule 3000 deny ip 在广域网接口也可以通过静态包过滤结合ASPF进行更精确的包过滤和攻击防范。例如:#acl nu

6、mber 3011 rule 160 permit icmp icmp-type echo rule 161 permit icmp icmp-type echo-reply rule 162 permit icmp icmp-type ttl-exceeded rule 206 permit tcp destination-port eq telnet rule 3000 deny ip# interface Ethernet1/0 ip address 172.30.79.6 255.255.255.252 firewall packet-filter 3011 inbound firew

7、all aspf 1 outbound# 注意事项:由于目前ASPF对内存和性能的影响较大,网吧应用环境中不建议在AR18系列路由器上进行配置。在所有的出报文都需要进行NAT的情况下一般也没有必要配置ASPF。1.1.2 限制ICMP报文ICMP 报文是另一种我们需要关心的数据包。大量的攻击和病毒使用ICMP报文作为攻击手段。但实际上internet是使用的ICMP绝大部分是ping和traceroute。大量的其它icmp类型并不使用。因此,实际上我们可以仅允许ICMP 的ping echo 和 ping reply 及traceroute 所需要的TTL 开放。其它的均可以关闭。例如:ac

8、l number 3001rule 160 permit icmp icmp-type echo rule 161 permit icmp icmp-type echo-reply rule 162 permit icmp icmp-type ttl-exceeded rule 165 deny icmp 1.1.3 限制netbios协议端口在现今的网络上,充斥着大量的网络扫描。 基于UDP 137, 138 端口的扫描是常见的扫描,UDP 137和UDP138是netbios 的数据报和名字服务。通常情况下,进入到路由器的137和138包是广播包,而路由器在默认情况下是不转发这些广播包的。

9、但在某些情况下,一些扫描工具扫描UDP 137 和UDP138的端口,以图找出主机上的共享文件夹。这种情况下,进入路由器的数据包会是unicast的137和138,而且通常目的地址不停变化。因此我们可以将这些UDP 138和138的数据包通过ACL 挡断。保护用户和网络的安全。例如:acl number 3001rule 31 deny udp destination-port eq netbios-ns rule 41 deny udp destination-port eq netbios-dgm rule 51 deny udp destination-port eq netbios-s

10、sn 1.1.4 限制常见病毒使用的端口一般网吧中存在大量的“冲击波”、“震荡波”等病毒,这类病毒会不断地变化源IP或目的IP进行扫描和发送攻击数据,这会极大地消耗网络设备的资源。笔者曾在一个网吧的实际环境中发现56的上行报文都是“震荡波”病毒的扫描报文。这些病毒一般使用固定的端口,比如TCP/135、TCP/4444、UDP/1434、TCP/5554、TCP/9996等,通过ACL对匹配这些目的端口的报文进行过滤会大大提高网络设备的安全性。例如:acl number 3001rule 10 deny tcp destination-port eq 445 / Worm.Blaster ru

11、le 11 deny udp destination-port eq 445 / Worm.Blaster rule 20 deny tcp destination-port eq 135 / Worm.Blaster rule 21 deny udp destination-port eq 135 / Worm.Blaster rule 30 deny tcp destination-port eq 137 rule 40 deny tcp destination-port eq 138 rule 50 deny tcp destination-port eq 139 / Worm.Blas

12、ter rule 61 deny udp destination-port eq tftp / Worm.Blaster rule 70 deny tcp destination-port eq 593 / Worm.Blaster rule 80 deny tcp destination-port eq 4444 / Worm.Blaster rule 90 deny tcp destination-port eq 707 /Nachi Blaster-D rule 100 deny tcp destination-port eq 1433 rule 101 deny udp destina

13、tion-port eq 1433 rule 110 deny tcp destination-port eq 1434 rule 111 deny udp destination-port eq 1434 / SQL Slammer rule 120 deny tcp destination-port eq 5554 / Sasser rule 130 deny tcp destination-port eq 9996 / Sasser1.1.5 关闭没有使用的端口网络中每时每刻都存在大量的扫描报文,扫描软件一般都会先探测目的主机开放了哪些端口。对于常用的应用程序,如www、ftp、tftp

14、等,如果局域网内并没有机器开放这些服务,可以在广域网接口通过ACL对匹配这些目的端口的报文进行过滤。例如:acl number 3001rule 200 deny tcp destination-port eq www rule 202 deny tcp destination-port eq ftp rule 204 deny tcp destination-port eq 33891.2 NAT配置注意事项需要使用NAT转换地址池时,应尽量缩小NAT转换地址池的大小,因为地址池越大,占用的内存空间就可能会越大,大的地址池对于内存较小的设备很可能会导致内存耗尽。AR系列路由器上每个NAT转换

15、地址可以支持50000个会话,网吧每台机器正常上网时平均会创建30条会话,因此一般情况下地址池配置1个NAT转换地址就可以满足需求。建议在AR18系列路由器上配置NAT地址池时只配置1个IP地址。例如:nat address-group 1 218.27.192.1 218.27.192.11.3 路由配置注意事项RFC1918中指定的保留的私有地址和其他已知的私有地址不应该存在于现有的internet网络上。可以通过黑洞路由进行过滤。避免局域网中存在攻击时占用大量的快转表项或者NAT表项。例如:ip route-static 10.0.0.0 255.0.0.0 NULL 0 preference 60 ip

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 经济/贸易/财会 > 贸易

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号