华为设备安全配置手册Word文档下载推荐.docx
- 文档编号:17066661
- 上传时间:2022-11-28
- 格式:DOCX
- 页数:17
- 大小:71.99KB
华为设备安全配置手册Word文档下载推荐.docx
《华为设备安全配置手册Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《华为设备安全配置手册Word文档下载推荐.docx(17页珍藏版)》请在冰豆网上搜索。
缺省情况下,系统启动与终端用户的“定时断开连接”功能。
对于连接到Console口的终端用户,定时断开连接的时间为3分钟;
对于哑终端用户,定时断开
连接的时间为10分钟;
对于通过Modem拨号方式使用哑终端的用户,定时断开连接的时间为6
分钟。
用户可以通过undoidle-timeout命令关闭该功能,使终端用户永远不断开连接。
#禁止与终端用户的“定时断开连接”功能。
[Quidway]undoidle-timeout
2.防火墙功能配置
2.1.允许/禁止防火墙
在报文过滤时,应先打开防火墙功能,这样才能使其它配置生效。
请在系统视图下进行下列配置。
允许/禁止防火墙
操作
命令
启动防火墙
firewallenable
禁止防火墙
firewalldisable
缺省情况下,防火墙处于“启动”状态。
22配置标23准访问控制列表
标准访问控制列表序号可取值1〜99之间的整数。
首先应使用acl命令进入到ACL配置视图并配
置访问控制列表的匹配顺序,然后再使用rule命令配置具体的访问规则。
若不配置匹配顺序的
话,按照auto方式进行。
请在系统视图(acl命令)和ACL视图(rule命令)下进行下列配置。
配置标准访问控制列表
1
进入ACL视图并配置访问控制列表的匹配顺序
aclacl-number[match-orderconfig|auto]
配置标准访问列表规则
rule{normal|special}{permit|deny}[sourcesource-addrsource-wildcard|any]
删除特定的访问列表规则
undorule{rule-id|normal|special}
删除访问列表
undoacl{acl-number|all}
normal指该规则是在普通时间段内起起用;
specia指该规则是在特殊时间段内起作用,使用sp
ecial时用户需另外设定特殊时间段。
具有同一序号的多条规则按照“深度优先原则”进行匹配
。
缺省情况下,为normal时间段。
2.4.配置扩展访问控制列表
扩展访问控制列表可取值100〜199之间的整数。
首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序,然后再使用rule命令配置具体的访问规则。
配置扩展访问控制列表
配置TCP/UDP协议的扩
展访问列表规则
rule{normal|special}{permit|deny}{tcp|udp}[sourcesource-addrsource-wildcard|any][sourceportoperatorport1[port2]][destinationdest-addrdest-wildcard|any][destination-portoperatorport1[port2]][logging]
配置ICMP协议的扩展访问列表规则
rule{normal|special}{permit|deny}ICMP[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][icmp-typeicmp-typeicmp-code][logging]
配置其它协议扩展访问列表规则
rule{normal|special}{permit|deny}pro-number[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][logging]
2.5.设置防火墙的缺省过滤方式
防火墙的缺省过滤方式是指:
当访问规则中没有找到一个合适的匹配规则来判定用户数据包是否可以通过的时候,将根据用户设置的防火墙的缺省过滤方式来决定究竟允许还是禁止报文通过。
请在系统视图下进行下列配置。
设置防火墙缺省过滤方式
命令|
设置防火墙的缺省过滤方式为允许报文通过
firewalldefaultpermit
设置防火墙的缺省过滤方式为禁止报文通过
firewalldefaultdeny
缺省情况下,防火墙的缺省过滤方式为允许报文通过。
26设置特殊时间段
2.6.1•允许/禁止按时间段过滤
所谓按时间段过滤是指:
在不同的时间段内,采用不同的访问规则对ip数据包进行过滤,这个
特性又称为在特别时间段内应用特别的规则(SpecialRulesForSpecialTime)。
根据实际使用情况,将时间段分为下列两类:
*特殊时间段:
在设定时间段内的时间(由special关键字指定)
*普通时间段:
未在设定时间段内的时间(由normal关键字指定)同样地,访问规则按时间也分为这样两类:
*基于普通时间段的访问规则(NormalPacket-filteringAccessRules)
*基于特殊时间段的访问规则(TimerangePacket-filteringAccess
Rules)
可为这两类时间段分别定义不同的访问控制列表及访问规则,它们互不影响。
在实际使用时,可把它们看成是两套独立的规则,系统在查看当前所处的时间段(普通时间段还是特殊时间段)后决定究竟采用哪套访问规则。
比如,当前系统时间是在特殊时间段(由rule
specia定义)之内,则采用特殊时间段内的访问规则进行过滤;
当时间切换到普通时间段(由rulenormal定义)后,则采用普通时间段规则进行过滤。
允许/禁止按时间段过滤
命令□
允许按时间段过滤
timerangeenable
禁止按时间段过滤
timerangedisable
缺省情况下,禁止按特殊时间段过滤。
只有在打开允许按时间段过滤的开关后,用户设定的特殊时间段内的访问规则才能生效;
当该开关被禁止后,将采用普通时间段定义的访问规则。
2.6.2.设定特殊时间段
当用户选择了允许按时间段过滤报文的功能后,在用户定义的时间段内,防火墙将采用用户在定义的特殊时间段内的访问规则进行过滤。
本次定义特殊时间段将在大约一分钟左右才能生效,上次定义的特殊时间段也将自动作废。
设定特殊时间段
settr{begin-timeend-time...}
取消特殊时间段
undosettr
缺省情况下,系统使用普通时间段下定义的访问规则进行报文过滤。
使用setti命令能最多同时
定义6个时间段。
时间段具体格式为小时:
分钟(即hh:
mm),hh的范围为0〜23,mm的范围为0
〜59。
用displayclock命令可查看系统当前的时钟状况。
2.7.配置在接口上应用访问控制列表的规则
若要实现接口对报文的过滤功能,就必须先将相应访问控制列表规则应用到接口上。
用户可在一个接口上对接收和发送两个方向的报文分别定义不同的访问控制规则。
请在接口视图下进行下列配置。
配置接口上应用访问控制列表的规则
firewallpacket-filteracl-number[inbound|outbound]
缺省情况下,接口上未定义过滤报文的规则。
在一个接口的一个方向上(inbound或outbound方向),最多可以应用20条访问规则。
即在firewallpacket-filterinbound方向上可应用20条规则;
在firewallpacket-filter
outbound方向上也可应用20条规则。
若两条互相冲突的规则序号不同,优先匹配acl-number较大的规则。
2.8.指2.9.定日志主机
防火墙支持日志功能,当某条访问规则被匹配后,若用户指定了对该规则产生日志,可向日志主机发送日志,由日志主机做记录并保存。
指定日志主机
iphostunix-hostnameip-address
取消日志主机
undoiphost
有关对配置“日志主机参数”更详细的描述,请用户参见本手册“系统管理”中“日志功能”一章中的内容。
2.10.防火墙的显示和调试
在所有视图下使用debugging、reset、display命令。
防火墙的显示和调试
3.1.configfile
configfile{flash|nvram}
【视图】系统视图
Flash。
NVRAM。
flash:
选择当前配置文件的存储介质为nvram:
选择当前配置文件的存储介质为
缺省情况下,在Flash和NVRAM两种存储介质并存时,使用NVRAM存储配置文件。
Quidway系列路由器使用的Flash和NVRAM两种存储介质均可用来保存配置文件,一般情况下
,配置文件是保留在NVRAM
中的。
可用configfile命令选择其中之一作为当前有效的存储介质,如在执行configfile
flash后,再执行save命令,此时会将配置文件保存到Flash而不是NVRAM中。
在保存或擦除配
置文件之前,可使用displayconfigfile命令来查看当前配置文件所用的存储介质类型。
相关配置可参考命令delete,downloadconfig,displaycurrent-configuration,displaysaved-configuration,displayconfigfile。
#选择配置文件的存储介质为flash。
[Quidway]configfileflash
3.2.update
updateslotslot-numberftpserver{host-name|ip-address}filenamefile-name[portport-number|useruser-name|passwordpassword]
slot-number:
升级单板所在的槽位号。
host-
name:
升级文件所在FTP文件服务器的主机名。
在升级操作之前若未配置主机名称,则先要在
系统视图下,用sysname命令配置路由器名称作为FTP主机名。
ip-address:
升级文件所在主机的IP地址。
file-name:
单板程序的升级文件的文件名。
port-number:
指定的FTP文件服务器的服务端口号。
user-name:
在FTP服务器上注册的合法登录用户名。
password:
在FTP服务器上注册的合法登录用户口令。
update命令用来在线升级单板软件。
本命令可对某些单板实现在线升级。
在线升级对单板版本有一定限制。
支持对2SA/4SA、E1VI
、6AM/12AM以及加密卡进行在线升级。
在线升级文件的文件名为“*.drv”。
根据升级的不同情况,系统将出现下列不同的显示信息:
在线升级成功,控制台打印提示信息:
Endofprogrammingsuccessfull!
Total131072byteswritten。
在线升级失败,控制台定期打印提示信息:
Pleaseentertheupdaterequestcommandforslotslotnumber!
执行displayversion命令后所在槽位打印信息:
(单板名)Driverneedtobeupdated
在线升级使用了其它单板的升级程序,单板不进行升级操作,控制台打印提示信息:
%Error:
FileIDerror!
若在线升级文件已损坏,单板不进行升级操作,控制台打印提示信息:
%Error:
FileCRCerror!
若输入的在线升级命令正在被另外一个用户对同一块单板执行,该用户的升级命令就不能执行,控制台打印提示信息:
Theindicatedboardisatupdatingstatus.
#
对槽位3的RTB14SA单板进行在线升级。
FTP文件服务器主机名为huawei、IP地址为1.1.1.253,
单板在线升级文件名为ram4sa.drv,FTP主机的用户名为huawei,用户口令为123456。
[Quidway]sysnamehuawei
[huawei]updateslot3ftpserverswitchfilenameram4sa.drvusername
huaweipassword123456
3.3.TFTP操作命令
3・3・1・copy
copyip-addrfile-name{system|config}
ip-addr:
TFTP服务器的IP地址。
文件名,长度不超过47个字符。
system:
文件类型,标明上传的文件为系统文件config:
文件类型,标明上传的文件为配置文件
copy命令用来将本路由器上名为file-name的配置文件或者系统文件上传到TFTP服务器中。
相关配置可参考命令get。
把本路由器的配置文件上传到IP地址为10.110.1.1的TFTP服务器中,并且设置文件名为config.
txt。
[Quidway]copy10.110.1.1config.txtconfig
startuploadingconfigfile...
2465bytescopiedin0.749seconds.enduploadingconfigfile.
显示信息中,如果成功,显示上载的字节数以及所用的时间;
如果失败。
显示失败的错误码errno。
errno序号的含义如下:
errno序号的含义
错误码
描述
0x00
成功。
0x01
|内存不够。
|
0x02
|建立请求报文失败。
—|
0x03
建立socket失败。
|0x04
|绑定socket失败。
0x05
无效的传输方式。
0x06
部分文件被传输。
:
0x07
无法将数据发送到服务器。
0x0b
0x0c
|读文件失败。
|0x0d
|解析主机名失败。
0x0e
|打开本地文件失败。
0x0f
|无效参数值。
0x10
|收到错误报文。
一|
0x11
同步失败。
0x12
写配置文件失败。
0x13
读配置文件失败。
0x14
|多个用户同时写配置文件。
□
0x15
|内存分配失败。
0x16
文件超大。
0x18
|写文件失败。
0x19
|写系统文件错误1
0x1a
|读系统文件错误―1
0x1b
读系统文件成功,但是选择不写文件
3・3・2・get
getip-addrfile-name{system|config}
TFTP服务器的IP地址,形式为点分十进制格式X.X.X.X。
system:
get命令用来把TFTP服务器上的名为file
name的配置文件或者系统文件下载到本路由器的Flash或NVRAM中。
系统文件存放在路由器的FlashMemory中。
配置文件存放在路由器的Flash
Memory或NVRAM中,具体情况视路由器硬件和配置而定。
如果路由器硬件配置中包括NVRA
M,就可以通过命令configfilenvram来配置使配置文件保存在NVRAM中。
相关配置可参考命令copy。
#把IP地址为10.110.1.1的TFTP服务器上的配置文件下载到本路由器的Flash或NVRAM中。
[Quidway]get10.110.1.1sys.cfgconfigstartdownloadingconfigfile...
errno=0x0enddownloading.
显示信息中的errno为命令执行结果,如为0x0表示成功,否则表示失败。
本命令执行结果返回序号的含义与copy命令相同。
请参见表1-1。
4.网络管理配置
4.1.snmp-agent
snmp-agentundosnmp-agent
snmp-agent命令用来使能SNMP服务,undosnmp-agent命令用来关闭SNMP服务。
缺省情况下,关闭SNMP服务。
使用snmp-agen诚任何一条SNMP的配置命令进行配置,都会启动SNMP服务。
使用undosnmp-
agent命令关闭SNMP服务时,所有的SNMP配置信息都不起作用,但在没有重新启动路由器之
前,这些信息还未删除,如果再次使能SNMP服务,这些配置信息还能起作用(可用display
current
configuration命令查看)。
但是如果关闭SNMP服务后重新启动路由器,则这些配置信息都会丢失。
启动SNMP服务时,如果配置允许发送warmstartTrap报文,系统就会发送warmstart
Trap报文。
#关闭SNMP服务。
[Quidway]undosnmp-agent
4.2.snmp-agentcommunity
snmp-agentcommunity{read|write}community_name[mib-viewview-name][aclnumbe门undosnmp-agentcommunitycommunity_name
community_name:
团体名字符串,取值范围1〜32字节。
viewview
预先定义的MIB视图名,为长度1〜32字节的字符串。
这个视图指明了团体名可访问的对象。
read:
表明对MIB对象进行只读的访问,为缺省值。
write:
表明对MIB对象进行读写的访问。
acl
number:
指明一个IP地址的访问控制列表号,允许这些IP地址使用团体名community_name访问
SNMPAgent,取值范围1〜99。
snmp-agentcommunity命令用来设置SNMP协议的团体名及其访问权限,undosnmp-agent
community命令用来删除已设定的SNMP协议团体名。
缺省情况下,未设置团体名。
团体名只在使用SNMPv1或SNMPv2c版本时才起作用。
使用SNMPv1或SNMPv2c版本时,至少
需要配置一个团体名或者一个SNMPv1(或SNMPv2c)的用户。
相关配置可参考命令snmp-agent,snmp-agentsys-infoversion,snmp-agentmib-view,displaysnmp-agentcommunity。
#设置团体名为private,使用该团体名可以进行只读访问。
[Quidw
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 设备 安全 配置 手册