1.端口隔離:
1)說明:通過端口隔離特性,用戶可以將需要進行控制的端口加入到一個隔離組中,實現隔離組中的端口之間二層、三層數據的隔離,既增強了網絡的安全性,也爲用戶提供了靈活的組網方案。
當聚合組中的某個端口加入到隔離組後, 同一聚合組的其他端口將自動加入到隔離組。
2)案例:
組網需求:
小區用戶 PC2、PC3、PC4 分別與交換機的以太網端口 Ethernet1/0/2、 Ethernet1/0/3、Ethernet1/0/4 相連。
交換機通過 Ethernet1/0/1 端口與外部網絡相連。
小區用戶 PC2、PC3 和 PC4 之間不能互通。
配置步驟:
<Quidway> system-view
[Quidway] interface ethernet1/0/2
[Quidway-Ethernet1/0/2] port isolate
[Quidway-Ethernet1/0/2] quit
[Quidway] interface ethernet1/0/3
[Quidway-Ethernet1/0/3] port isolate
[Quidway-Ethernet1/0/3] quit
[Quidway] interface ethernet1/0/4
[Quidway-Ethernet1/0/4] port isolate
[Quidway-Ethernet1/0/4] quit
2.802.1x:
1)說明:802.1x 協議是一種基於端口的網絡接入控制(Port Based Network Access Control)協議。“基於端口的網絡接入控制”是指在局域網接入控制設備的端口這一級對所接入的設備進行認證和控制。連接在端口上的用戶設備如果能通過認證,就可以訪問局域網中的資源;如果不能通過認證,則無法訪問局域網中的資源——相當於連接被物理斷開。
802.1X身份驗證協議最初使用於無線網絡,後來纔在普通交換機和路由器等網絡設備上使用。它可基於端口來對用戶身份進行認證,即當用戶的數據流量企圖通過配置過802.1X協議的端口時,必須進行身份的驗證,合法則允許其訪問網絡。這樣的做的好處就是可以對內網的用戶進行認證,並且簡化配置,在一定的程度上可以取代Windows 的AD。
配置802.1X身份驗證協議,首先得全局啓用AAA認證,這個和在網絡邊界上使用AAA認證沒有太多的區別,只不過認證的協議是802.1X;其次則需要在相應的接口上啓用802.1X身份驗證。(建議在所有的端口上啓用802.1X身份驗證,並且使用radius服務器來管理用戶名和密碼)
2)案例:
組網需求:要求在各端口上對用戶接入進行認證,以控制其訪問 Internet;接入控制模式,要求是基於 MAC 地址的接入控制。
所有接入用戶都屬於一個缺省的域:aabbcc.net,該域最多可容納 30 個用戶;認證時,先進行 RADIUS 認證,如果 RADIUS 服務器沒有響應再轉而進行本地認證。
由兩臺 RADIUS 服務器組成的服務器組與交換機相連,其 IP 地址分別爲10.11.1.1 和10.11.1.2,前者作爲主認證/備份計費服務器,後者作爲備份認證/主計費服務器;設置系統與認證RADIUS 服務器交互報文時的加密密碼爲“name”、與計費 RADIUS 服務器交互報文時的加密密碼“money”,設置系統在向 RADIUS 服務器發送報文後 5 秒種內如果沒有得到響應就向其重新發送報文,重複發送報文的次數總共爲 5 次,設置系統每 15 分鐘就向 RADIUS服務器發送一次實時計費報文, 指示系統從用戶名中去除用戶域名後再將之傳給 RADIUS 服務器。
本地 802.1x 接入用戶的用戶名爲 localuser,密碼爲 localpass,使用明文輸入,閒置切斷功能處於打開狀態。
配置步驟:
<Quidway> system-view
[Quidway] dot1x #全局開啓802.1x特性
[Quidway] dot1x interface Ethernet 1/0/1
[Quidway] dot1x port-method macbased interface Ethernet 1/0/1
[Quidway] radius scheme radius1 # 創建 RADIUS 方案 radius1 並進入其視圖。
[Quidway-radius-radius1] primary authentication 10.11.1.1
[Quidway-radius-radius1] primary accounting 10.11.1.2
[Quidway-radius-radius1] secondary authentication 10.11.1.2
[Quidway-radius-radius1] secondary accounting 10.11.1.1
[Quidway -radius-radius1] key authentication name # 設置系統與認證 RADIUS 服務器交互報文時的加密密碼。
[Quidway-radius-radius1] key accounting money # 設置系統與計費 RADIUS 服務器交互報文時的加密密碼。
[Quidway-radius-radius1] timer 5 # 設置系統向 RADIUS 服務器重發報文的時間間隔與次數。
[Quidway-radius-radius1] retry 5
[Quidway-radius-radius1] timer realtime-accounting 15 # 設置系統向 RADIUS 服務器發送實時計費報文的時間間隔。
[Quidway-radius-radius1] user-name-format without-domain # 指示系統從用戶名中去除用戶域名後再將之傳給 RADIUS 服務器。
[Quidway-radius-radius1] quit
[Quidway] domain default enable aabbcc.net # 創建域 aabbcc.net 並進入其視圖。
[Quidway-isp-aabbcc.net] scheme radius-scheme radius1 local # 指定 radius1 爲該域用戶的 RADIUS 方案,若 RADIUS 服務器無效,則使用本地認證方案。
[Quidway-isp-aabbcc.net] access-limit enable 30 # 設置該域最多可容納 30 個用戶。
[Quidway] domain default enable aabbcc.net # 配置域 aabbcc.net 爲缺省用戶域。
[Quidway] local-user localuser # 添加本地接入用戶。
[Quidway-luser-localuser] service-type lan-access
[Quidway-luser-localuser] password simple localpass
3.Acl訪問控制列表:
說明:防火牆爲了過濾數據包,需要配置一系列的規則,以決定什麼樣的數據包能夠通過,
這些規則就是通過訪問控制列表 ACL(Access Control List)定義的。訪問控制列
表是由 permit 和 deny 語句組成的一系列有順序的規則,這些規則根據數據包的源
地址、目的地址、端口號等來描述。ACL 通過這些規則對數據包進行分類,這些規
則應用到防火牆接口上,防火牆根據這些規則判斷哪些數據包可以接收,哪些數據
包需要拒絕。
訪問控制列表的分類:
基本的訪問控制列表(basic acl)
高級的訪問控制列表(advanced acl)
基於接口的訪問控制列表(interface-based acl)
基於 MAC 的訪問控制列表(mac-based acl)
訪問控制列表的使用用途是依靠數字的範圍來指定的,1000~1999 是基於接口的訪問控制列表,2000~2999 範圍的訪問控制列表是基本的訪問控制列表,3000~3999範圍的訪問控制列表是高級的訪問控制列表,4000~4999 範圍的訪問控制列表是基於 MAC 地址訪問控制列表。
案例:
1. 組網需求
以下通過一個公司配置防火牆的實例來說明防火牆的配置。
該公司通過一臺 SecPath 防火牆的接口 Ethernet1/0/0 訪問Internet,防火牆與內部網通過以太網接口 Ethernet0/0/0 連接。公司內部對外提供 WWW、FTP 和 Telnet服務,公司內部子網爲 129.38.1.0,其中,內部 FTP 服務器地址爲 129.38.1.1,內部 Telnet 服務器地址爲 129.38.1.2,內部 WWW 服務器地址爲 129.38.1.3,公司對外地址爲 202.38.160.1。在防火牆上配置了地址轉換,這樣內部 PC 機可以訪問Internet,外部 PC 可以訪問內部服務器。通過配置防火牆,希望實現以下要求:
外部網絡只有特定用戶可以訪問內部服務器。
內部網絡只有特定主機可以訪問外部網絡。
假定外部特定用戶的 IP 地址爲 202.39.2.3。
配置步驟:
[H3C] firewall packet-filter enable # 使能包過濾防火牆。
[H3C] firewall packet-filter default permit # 設置防火牆缺省過濾方式爲允許包通過。
[H3C] acl number 3001 # 創建訪問控制列表 3001。
[H3C-acl-adv-3001] rule permit ip source 129.38.1.4 0 # 配置規則允許特定主機訪問外部網,允許內部服務器訪問外部網。
[H3C-acl-adv-3001] rule permit ip source 129.38.1.1 0
[H3C-acl-adv-3001] rule permit ip source 129.38.1.2 0
[H3C-acl-adv-3001] rule permit ip source 129.38.1.3 0
[H3C-acl-adv-3001] rule deny ip
[H3C] acl number 3002 # 創建訪問控制列表 3002。
[H3C-acl-adv-3002] rule permit tcp source 202.39.2.3 0 destination 129.38.1.0
0.0.0.3 # 配置規則允許特定用戶從外部網訪問內部服務器。
[H3C-acl-adv-3002] rule permit tcp destination 129.38.1.4 0 destination-port gt 1024
# 配置規則允許特定用戶從外部網取得數據(只允許端口大於 1024 的包)。
[H3C-acl-adv-3002] rule deny ip
[H3C-Ethernet0/0/0] firewall packet-filter 3001 inbound # 將規則3001作用於從接口 Ethernet0/0/0 進入的包。
[H3C-Ethernet1/0/0] firewall packet-filter 3002 inbound # 將規則3002作用於從接口 Ethernet1/0/0 進入的包。
時間段訪問控制列表(ACL):
組網需求:
要求內部用戶,在8:00-12:00和13:30-18:00可以出公網,其它的時間都不可以出公網。
配置步驟:
1. 在系統視圖下配置時間段:
[f4] time-range huawei1 08:00 to 18:00 daily
[f4] time-range huawei2 12:00 to 13:30 daily
2. 配置高級訪問控制列表:
[f4] acl number 3001[f4] rule deny ip time-range huawei2
[f4] rule permit ip time-range huawei1
[f4] rule deny ip
進入內網接口視圖,下發時間段ACL規則:
[f4-e0/1] firewall packet-filter 3001 inbound
ASPF:
1) 說明:
ACL/包過濾防火牆爲靜態防火牆,目前存在如下問題:
對於多通道的應用層協議(如 FTP,H.323 等),部分安全策略配置無法預知。
無法檢測某些來自於應用層的***行爲(如 TCP SYN、Java Applet、ActiveX
等)。故提出了狀態防火牆――ASPF 的概念。ASPF(Application Specific Packet Filter)
是針對應用層及傳輸層的包過濾,即基於狀態的報文過濾。ASPF 能夠實現的應用
層協議檢測包括:(Q.931、FTP、HTTP、SMTP、 RTSP、H.323,H.245,RTP/RTCP)
SNMP、SQLNET 檢測;能夠實現的傳輸層協議檢測包括:通用 TCP/UDP 檢測。
ASPF 的主要功能如下:
能夠檢查應用層協議信息,如報文的協議類型和端口號等信息,並且監控基於
連接的應用層協議狀態。對於所有連接,每一個連接狀態信息都將被 ASPF 維護並用於動態地決定數據包是否被允許通過防火牆進入內部網絡,以便阻止惡意的***。
能夠檢測傳輸層協議信息(即通用 TCP 和 UDP 協議檢測),能夠根據源、目的地址及端口號決定 TCP 或 UDP 報文是否可以通過防火牆進入內部網絡。
2) 案例:
組網需求:
在防火牆上配置一ASPF策略,檢測通過防火牆的FTP流量。實現:內部網絡用戶發起的FTP連接的返回報文,則允許其通過防火牆進入內部網絡,其他報文被禁止。
配置步驟:
[f1]firewall packet-filter default permit
[f1]acl number 3333
[f1-acl-adv-3333] rule deny ip # 在配置訪問控制列表3333拒絕所有TCP和UDP流量進入內部網絡,通過ASPF來允許返回的報文(通過臨時訪問控制列表來判斷)進入內部網絡。
[f1]aspf-policy 1
[f1-aspf-policy-1]detect ftp # 配置ASPF策略來檢測應用層FTP等協議,默認FTP協議的超時時間爲3600秒。
[f1-Ethernet0/2]firewall aspf 1 outbound # 在外網接口上應用ASPF策略,用來檢測內部FTP協議。
[f1-Ethernet0/2]firewall packet-filter 3333 inbound # 在外網接口上應用訪問控制列表3333,用來過濾非FTP協議的報文。
測試結果:
在內網10.0.0.1上ping FTP服務器,發現無法ping通;在10.0.0.1上ftp 11.0.0.1,正常。
查看aspf session:
MAC和IP地址綁定:
組網需求:要求將客戶機“192.168.1.100”的MAC和IP地址綁定,來避免IP地址假冒***的一種方式。
配置步驟:
[f1]firewall mac-binding 192.168.1.100 000f-e200-da32 # 配置客戶機“192.168.1.100”的IP地址和MAC地址的綁定。
[f1]firewall mac-binding enable # 在系統視圖下使能地址綁定功能。
[f1]dis firewall mac-binding item # 查看綁定信息。
Firewall Mac-binding item(s) :
Current items : 1
192.168.1.100 000f-e200-da32
注意事項:
1、在配置MAC和IP地址綁定時,同一個MAC地址可以同多個不同的IP地址綁定。
2、如果配置靜態ARP時已經存在相同IP地址的地址綁定關係表項,該靜態ARP將配置失敗,同時返回提示信息;如果配置的地址綁定關係中的IP地址已經存在於靜態ARP表中,則靜態ARP表中的表項將被刪除。
3、MAC和IP地址綁定對於PPPoE的地址是不起作用的,因爲以太幀上面承載的是PPP報文,所以無法進行判斷和處理。
4、當配置MAC和IP地址綁定功能後,下接所有客戶機都必須配置MAC和IP地址綁定,否則不可能過防火牆。
5、如果將PC的IP改爲192.168.1.101,此時還可上網。這是因爲綁定關係中只以IP爲索引進行查找。不以mac爲索引查找。所以只有當發現IP爲 192.168.1.100且其 MAC不是000f-e200-da32纔不能上網。
黑名單:
1)說明:黑名單指根據報文的源 IP 地址進行過濾的一種方式。同基於 ACL 的包過濾功能相比,由於黑名單進行匹配的域非常簡單,可以以很高的速度實現報文的過濾,從而有效地將特定 IP 地址發送來的報文屏蔽。黑名單最主要的一個特色是可以由SecPath 防火牆動態地進行添加或刪除,當防火牆中根據報文的行爲特徵察覺到特定IP地址的***企圖之後,通過主動修改黑名單列表從而將該 IP 地址發送的報文過濾掉。因此,黑名單是防火牆一個重要的安全特性。
2)實例:
組網需求:要求將內部用戶“192.168.1.254”用戶手動設置成黑名單用戶,並將***的用戶自動加入到黑名單中。
配置步驟:
[F1]firewall blacklist enable
[F1]firewall blacklist 192.168.1.254 timeout 5 #5分鐘後自動解除,不配置timeout,將永久有效。
[F1]dis firewall blacklist item
AM:
實例:
【AM User-bind完成IP、MAC地址和端口綁定配置流程】
使用特殊的AM User-bind命令,來完成IP、MAC地址與端口之間的綁定。
交換機相關配置:
[SwitchA]vlan 10 # 創建VLAN10
[SwitchA-vlan10]port Ethernet 0/1 #將E0/1加入到VLAN10
[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1 # 配置IP地址、MAC地址以及端口之間的綁定關係