H3C防火墙配置说明.docx
文档页数:28文档大小:457.83KB文档格式:docxH3C防火墙配置说明 H3C ITolP解决方案专家 杭州华三通信技术有限公司 All rights reserved
相关配置方法: 安全要求-设备-路 设备应支持路由协议(OSPF/ISIS/BGP 待确认 支持 由器-功能-14 等)认证,认证字以不可逆密文方式存 放.
配置OSPF验证 从安全性角度来考虑,为了避免路由信息外泄或者对OSPF路由器进行恶意攻击, OSPF提供报文验证功能.
OSPF路由器建立邻居关系时,在发送的报文中会携带配置好的口令,接收报文时 进行密码验证,只有通过验证的报文才能接收,否则将不会接收报文,不能正常建 立邻居.
要配置OSPF报文验证,同一个区域的路由器上都需要配置区域验证模式,且 配置的验证模式必须相同,同一个网段内的路由器需要配置相同的接口验证模式和 口令.
表1-29配置OSPF验证 操作 命令 说明 进入系统视图 system-view 进入OSPF视图 ospf [ process-id | router-id router-id | vpn-instance vpn-instance-name 1 * 进入OSPF区域视图 area area-ld 必选 配置OSPF区域的验证模式 authentication-mode {md5 | simple } 缺省情况下,没有配置区域验 证模式 退回OSPF 视图 quit 退回系统视图 quit interface interface-type 进入接口视图 interface- number 配置OSPF接口的验证模式(简单 ospf authentication-mode simple [ 验证) cipher | plain ] password 二者必选其一 ospf authentication-mode (hmac- 缺省情况下,接口不对OSPF 配置OSPF接口的验证模式(MD5 验证) md5 | md5 } key-id [ cipher I plain ] 报文进行验证 password
提高IS-IS网络的安全性 在安全性要求较高的网络中,可以通过配置IS-IS验证来提高IS-IS网络的安全性.
IS-IS验证 特性分为邻居关系的验证和区域或路由域的验证.
配置准备 在配置IS-IS验证功能之前,需完成以下任务: 配置接口的网络层地址,使相邻节点网络层可达 使能IS-IS功能 配置邻居关系验证 配置邻居关系验证后,验证密码将会按照设定的方式封装到Hello报文中,并对接收到的 Hello报文进行验证密码的检查,通过检查才会形成邻居关系,否则将不会形成邻居关系, 用以确认邻居的正确性和有效性,防止与无法信任的路由器形成邻居.
两台路由器要形成邻居关系必须配置相同的验证方式和验证密码.
表1-37配置邻居关系验证 操作 命令 说明 进入系统视图 system-view 进入接口视图 interface interface-type interface-number 必选 缺省情况下,接口没有配置邻居关 isis authentication-mode ( md5 | simple }[ 系验证,既不会验证收到的Hello 配置邻居关系验证方式 cipher ] password [ level-1 | level-2 ] [ ip 1 报文,也不会把验证密码插入到 和验证密码 osi] Hello 报文中 参数level-1和level-2的支持情况 和产品相关,具体请以设备的实际 情况为准 说明 必须先使用isisenable命令使能该接口才能进行参数level-1和level-2的配置.
如果没有指定level-1或level-2参数,将同时为level-1和level-2的Hello报文配置验证 方式及验证密码.
如果没有指定ip或osi参数,将检查Hello报文中OSI的相应字段的配置内容.
配置区域验证 通过配置区域验证,可以防止将从不可信任的路由器学习到的路由信息加入到本地Level-1 的LSDB中.
配置区域验证后,验证密码将会按照设定的方式封装到Level-1报文(LSP、CSNP、PSNP) 中,并对收到的Level-1报文进行验证密码的检查.
同一区域内的路由器必须配置相同的验证方式和验证密码.
表1-38配置区域验证 操作 命令 说明 进入系统视图 system-view 进入IS-IS视图 isis [ process-id ][ vpn-lnstance vpn-instance- name ] 必选 配置区域验证方式 area-authentication-mode(md5|simple }[ 缺省情况下,系统没有配置区 和验证密码 cipher password [ ip | osi ] 域验证,既不会验证收到的 Level-1报文,也不会把验证密 码插入到Level-1报文中 配置路由域验证 通过配置路由域验证,可以防止将不可信的路由信息注入当前路由域.
配置路由域验证后,验证密码将会按照设定的方式封装到Level-2报文 (LSP、CSNP、PSNP)中,并对收到的Level-2报文进行验证密码的检查.
骨干层(Level-2)路由器必须配置相同的验证方式和验证密码.
表1-39配置路由域验证 操作 命令 说明 进入系统视图 system-view 进入IS-IS视图 isis [ process-id ][ vpn-instance vpn-instance-name 必选 配置路由域验证方 domain-authentication-mode(md5|simple)[ 缺省情况下,系统没有配置路 式和验证密码 cipher password [ ip | osi ] 由域验证,既不会验证收到的 Level-2报文,也不会把验证 密码插入到Level-2报文中
配置BGP的MD5认证 通过在BGP对等体上配置BGP的MD5认证,可以在以下两方面提高BGP的安全 性: 为BGP建立TCP连接时进行MD5认证,只有两台路由器配置的密码相同时,才 能建立TCP连接,从而避免与非法的BGP路由器建立TCP连接.
传递BGP报文时,对封装BGP报文的TCP报文段进行MD5运算,从而保证 BGP报文不会被募改.
表1-41配置BGP的MD5认证 操作 命令 说明 进入系统视图 system-view 进入BGP视 进入BGP 图 bgp as-number 视 图 BGP-VPN 进入BGP- bgp as-number 二者必选其一 实例视图 VPN实例视 ipv4-family vpn-instance 图 vpn- instance-name peer{ group-name |ip-address } 必选 配置BGP的MD5认证 password{cipher|simple 缺省情况下,BGP不进行 password MD5认证 安全要求-设备-防 防火墙应具备记录VPN日志功能,记 特确认 暂不支持 火墙-功能-2 录VPN访问登陆、退出等信息.
安全要求-设备-防 防火墙应具备日志容量告警功能,在 待确认 暂不支持 火墙-功能-5 日志数达到指定阔值时产生告警.
安全要求-设备-防 防火墙应具备流量日志记录功能,记 待确认 支持 火墙-功能-3 录通过防火墙的网络连接.
Userlog日志设置(Flow日志) 说明 要生成Userlog日志,需要配置会话日志功能,详细配置请参见“1.6会话日志” Userlog日志简介 Userlog日志是指用户访问外部网络流信息的相关记录.
设备根据报文的5元组(源IP地址 目的IP地址、源端口、目的端口、协议号)对用户访问外部网络的流进行分类统计,并生
本文来自画船听雨眠投稿,不代表文丁图集立场,如若转载,请注明出处:https://www.2b34.com/blog/126387.html
微信扫一扫 
