H3C防火墙配置说明.docx

H3C防火墙配置说明.docx

《H3C防火墙配置说明.docx》由会员分享，可在线阅读，更多相关《H3C防火墙配置说明.docx（32页珍藏版）》请在冰豆网上搜索。

H3C防火墙配置说明

H3C防火墙配置说明

杭州华三通信技术有限公司

版权所有XX

Allrightsreserved

相关配置方法:

安全要求-设备-路由器-功能-14

设备应支持路由协议（OSPF/ISIS/BGP等）认证,认证字以不可逆密文方式存放。

待确认

支持

配置OSPF验证

从安全性角度来考虑,为了避免路由信息外泄或者对OSPF路由器进行恶意攻击,OSPF提供报文验证功能。

OSPF路由器建立邻居关系时,在发送的报文中会携带配置好的口令,接收报文时进行密码验证,只有通过验证的报文才能接收,否则将不会接收报文,不能正常建立邻居。

要配置OSPF报文验证,同一个区域的所有路由器上都需要配置区域验证模式,且配置的验证模式必须相同,同一个网段内的路由器需要配置相同的接口验证模式与口令。

表1-29配置OSPF验证

操作

命令

说明

进入系统视图

system-view

-

进入OSPF视图

ospf[process-id|router-idrouter-id|vpn-instancevpn-instance-name]*

-

进入OSPF区域视图

areaarea-id

-

配置OSPF区域的验证模式

authentication-mode{md5|simple}

必选

缺省情况下,没有配置区域验证模式

退回OSPF视图

quit

-

退回系统视图

quit

-

进入接口视图

interfaceinterface-typeinterface-number

-

配置OSPF接口的验证模式（简单验证）

ospfauthentication-modesimple[cipher|plain]password

二者必选其一

缺省情况下,接口不对OSPF报文进行验证

配置OSPF接口的验证模式（MD5验证）

ospfauthentication-mode{hmac-md5|md5}key-id[cipher|plain]password

提高IS-IS网络的安全性

在安全性要求较高的网络中,可以通过配置IS-IS验证来提高IS-IS网络的安全性。

IS-IS验证特性分为邻居关系的验证与区域或路由域的验证。

配置准备

在配置IS-IS验证功能之前,需完成以下任务:

∙配置接口的网络层地址,使相邻节点网络层可达

∙使能IS-IS功能

配置邻居关系验证

配置邻居关系验证后,验证密码将会按照设定的方式封装到Hello报文中,并对接收到的Hello报文进行验证密码的检查,通过检查才会形成邻居关系,否则将不会形成邻居关系,用以确认邻居的正确性与有效性,防止与无法信任的路由器形成邻居。

两台路由器要形成邻居关系必须配置相同的验证方式与验证密码。

表1-37配置邻居关系验证

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interfaceinterface-typeinterface-number

-

配置邻居关系验证方式与验证密码

isisauthentication-mode{md5|simple}[cipher]password[level-1|level-2][ip|osi]

必选

缺省情况下,接口没有配置邻居关系验证,既不会验证收到的Hello报文,也不会把验证密码插入到Hello报文中

参数level-1与level-2的支持情况与产品相关,具体请以设备的实际情况为准

必须先使用isisenable命令使能该接口才能进行参数level-1与level-2的配置。

如果没有指定level-1或level-2参数,将同时为level-1与level-2的Hello报文配置验证方式及验证密码。

如果没有指定ip或osi参数,将检查Hello报文中OSI的相应字段的配置内容。

配置区域验证

通过配置区域验证,可以防止将从不可信任的路由器学习到的路由信息加入到本地Level-1的LSDB中。

配置区域验证后,验证密码将会按照设定的方式封装到Level-1报文（LSP、CSNP、PSNP）中,并对收到的Level-1报文进行验证密码的检查。

同一区域内的路由器必须配置相同的验证方式与验证密码。

表1-38配置区域验证

操作

命令

说明

进入系统视图

system-view

-

进入IS-IS视图

isis[process-id][vpn-instancevpn-instance-name]

-

配置区域验证方式与验证密码

area-authentication-mode{md5|simple}[cipher]password[ip|osi]

必选

缺省情况下,系统没有配置区域验证,既不会验证收到的Level-1报文,也不会把验证密码插入到Level-1报文中

配置路由域验证

通过配置路由域验证,可以防止将不可信的路由信息注入当前路由域。

配置路由域验证后,验证密码将会按照设定的方式封装到Level-2报文（LSP、CSNP、PSNP）中,并对收到的Level-2报文进行验证密码的检查。

所有骨干层（Level-2）路由器必须配置相同的验证方式与验证密码。

表1-39配置路由域验证

操作

命令

说明

进入系统视图

system-view

-

进入IS-IS视图

isis[process-id][vpn-instancevpn-instance-name]

-

配置路由域验证方式与验证密码

domain-authentication-mode{md5|simple}[cipher]password[ip|osi]

必选

缺省情况下,系统没有配置路由域验证,既不会验证收到的Level-2报文,也不会把验证密码插入到Level-2报文中

配置BGP的MD5认证

通过在BGP对等体上配置BGP的MD5认证,可以在以下两方面提高BGP的安全性:

∙为BGP建立TCP连接时进行MD5认证,只有两台路由器配置的密码相同时,才能建立TCP连接,从而避免与非法的BGP路由器建立TCP连接。

∙传递BGP报文时,对封装BGP报文的TCP报文段进行MD5运算,从而保证BGP报文不会被篡改。

表1-41配置BGP的MD5认证

操作

命令

说明

进入系统视图

system-view

-

进入BGP视图或BGP-VPN实例视图

进入BGP视图

bgpas-number

二者必选其一

进入BGP-VPN实例视图

bgpas-number

ipv4-familyvpn-instancevpn-instance-name

配置BGP的MD5认证

peer{group-name|ip-address}password{cipher|simple}password

必选

缺省情况下,BGP不进行MD5认证

安全要求-设备-防火墙-功能-2

防火墙应具备记录VPN日志功能,记录VPN访问登陆、退出等信息。

待确认

暂不支持

安全要求-设备-防火墙-功能-5

防火墙应具备日志容量告警功能,在日志数达到指定阈值时产生告警。

待确认

暂不支持

安全要求-设备-防火墙-功能-3

防火墙应具备流量日志记录功能,记录通过防火墙的网络连接。

待确认

支持

Userlog日志设置（Flow日志）

要生成Userlog日志,需要配置会话日志功能,详细配置请参见“1、6 会话日志”。

Userlog日志简介

Userlog日志就是指用户访问外部网络流信息的相关记录。

设备根据报文的5元组（源IP地址、目的IP地址、源端口、目的端口、协议号）对用户访问外部网络的流进行分类统计,并生成Userlog日志。

Userlog日志会记录报文的5元组与发送、接收的字节数等信息。

网络管理员利用这些信息可以实时跟踪、记录用户访问网络的情况,增强网络的可用性与安全性。

Userlog日志有以下两种输出方式,用户可以根据需要使用其中一种:

∙以系统信息的格式输出到本设备的信息中心,再由信息中心最终决定日志的输出方向。

∙以二进制格式封装成UDP报文输出到指定的Userlog日志主机。

Userlog日志有1、0与3、0两个版本。

两种Userlog日志的格式稍有不同,具体差别请参见表1-2与表1-3。

表1-21、0版本Userlog日志信息

字段

描述

SourceIP

源IP地址

DestIP

目的IP地址

SrcPort

TCP/UDP源端口号

DestPort

TCP/UDP目的端口号

StartTime

流起始时间,以秒为单位,从1970/1/10:

0开始计算

EndTime

流结束时间,以秒为单位,从1970/1/10:

0开始计算

Prot

IP承载的协议类型

Operator

操作字,主要指流结束原因

Reserved

保留

表1-33、0版本Userlog日志信息

字段

描述

Prot

IP承载的协议类型

Operator

操作字,主要指流结束原因

IpVersion

IP报文版本

TosIPv4

IPv4报文的Tos字段

SourceIP

源IP地址

SrcNatIP

NAT转换后的源IP地址

DestIP

目的IP地址

DestNatIP

NAT转换后的目的IP地址

SrcPort

TCP/UDP源端口号

SrcNatPort

NAT转换后的TCP/UDP源端口号

DestPort

TCP/UDP目的端口号

DestNatPort

NAT转换后的TCP/UDP目的端口号

StartTime

流起始时间,以秒为单位,从1970/01/0100:

00开始计算

EndTime

流结束时间,以秒为单位,从1970/01/0100:

00开始计算

InTotalPkg

接收的报文包数

InTotalByte

接收的报文字节数

OutTotalPkg

发出的报文包数

OutTotalByte

发出的报文字节数

Reserved1

∙对于0x02版本（FirewallV200R001）保留

∙对于0x03版本（FirewallV200R005）第一个字节为源VPNID,第二个字节为目的VPNID,第三、四个字节保留

Reserved2

保留

Reserved3

保留

配置Userlog日志

（1）     在导航栏中选择“日志管理>Userlog日志”,进入如下图所示的页面。

图1-2Userlog日志

（2）     配置Userlog日志参数,的详细配置如下表所示。

（3）     单击<确定>按钮完成操作。

表1-4Userlog日志的详细配置

配置项

说明

版本

设置Userlog日志的版本。

包括1、0、3、0

请根据日志接收设备的实际能力配置Userlog日志的版本,如果接收设备不支持某个版本的Userlog日志,则无法正确解析收到的日志

报文源IP地址

设置Userlog日志报文的源IP地址

指定源地址后,当设备A向设备B发送Userlog日志时,就使用这个IP地址作为报文的源IP地址,而不使用报文出接口的真正地址。

这样,即便A使用不同的端口向B发送报文,B也可以根据源IP地址来准确的判断该报文就是否由A产生。

而且该功能还简化了ACL规则与安全策略的配置,只要将ACL规则中定义的源地址或者目的地址参数指定为该源地址,就可以屏蔽接口IP地址的差异以及接口状态的影响,实现对Userlog日志报文的过滤

建议使用Loopback接口地址作为日志报文的源IP地址

日志主机配置

日志主机1

设置Userlog日志主机的IPv4/IPv6地址、端口号与所在的VPN实例（只在指定IPv4地址的日志主机时可以显示与设置此项）,以便将Userlog日志封装成UDP报文发送给指定的Userlog日志主机。

日志主机可以对Userlog日志进行解析与分类显示,以达到远程监控的目的

∙集中式设备:

最多可以指定2台不同的Userlog日志主机

∙分布式设备:

每个单板上最多可以指定2台不同的Userlog日志主机

∙日志主机IPv6地址的支持情况与设备的具体型号有关,请以设备的实际情况为准

∙为避免与通用的UDP端口号冲突,建议使用1025～65535的UDP端口号

日志主机2

日志输出到信息中心

设置将Userlog日志以系统信息的格式输出到信息中心

∙启用此功能时,Userlog日志将不会发往指定的Userlog日志主机

∙日志输出到信息中心会占用设备的存储空间,因此,建议在日志量较小的情况下使用该输出方向

查瞧Userlog日志统计信息

当设置了将Userlog日志封装成UDP报文发送给指定的Userlog日志主机时,可以查瞧相关的统计信息,包括设备向指定日志主机发送的Userlog日志总数与包含Userlog日志的UDP报文总数,以及设备缓存中的Userlog日志总数。

（1）     在导航栏中选择“日志管理>Userlog日志”,进入如图1-2所示的页面。

（2）     单击页面下方的“查瞧统计信息”扩展按钮,展开如下图所示的内容,可以查瞧Userlog日志的统计信息。

图1-3查瞧Userlog日志统计信息

清空Userlog日志及统计信息

（1）     在导航栏中选择“日志管理>Userlog日志”,进入如图1-2所示的页面。

（2）     单击页面下方的“查瞧统计信息”扩展按钮,展开如图1-3所示的内容。

（3）     集中式设备:

单击<清空>按钮,可以清除设备上的所有Userlog日志统计信息与缓存中的Userlog日志。

（4）     分布式设备:

单击<清空>按钮,可以清除相应单板上的所有Userlog日志统计信息与缓存中的Userlog日志。

安全要求-设备-防火墙-功能-11

防火墙必须具备扫描攻击检测与告警功能。

并阻断后续扫描流量。

扫描的检测与告警的参数应可由管理员根据实际网络情况设置。

待确认

支持

配置扫描攻击检测

∙扫描攻击检测主要用于检测攻击者的探测行为,一般配置在设备连接外部网络的安全域上。

∙扫描攻击检测自动添加了黑名单项,如果在短时间内手动删除了该黑名单项,则系统不会再次添加。

因为系统会把再次检测到的攻击报文认为就是同一次攻击尚未结束。

（1）     在导航栏中选择“攻击防范>流量异常检测>扫描攻击”,进入如下图所示页面。

图1-10扫描攻击

（2）     为安全域配置扫描攻击检测,详细配置如下表所示。

（3）     单击<确定>按钮完成操作。

表1-6扫描攻击检测的详细配置

配置项

说明

安全区域

设置要进行扫描攻击检测设置的安全域

启动扫描攻击检测

设置就是否对选中的安全域启动扫描攻击检测功能

扫描阈值

设置扫描建立的连接速率的最大值

源IP加入黑名单

设置就是否把系统发现的扫描源IP地址添加到黑名单中

必须在“攻击防范>黑名单”中启用黑名单过滤功能,扫描攻击检测才会将发现的扫描源IP地址添加到黑名单中,并对来自该IP地址的报文做丢弃处理

黑名单持续时间

设置扫描源加入黑名单的持续时间

安全要求-设备-防火墙-功能-12

防火墙必须具备关键字内容过滤功能,在HTTP,SMTP,POP3等应用协议流量过滤包含有设定的关键字的报文。

待确认

支持

内容过滤典型配置举例

1、组网需求

如下图所示,局域网192、168、1、0/24网段内的主机通过Device访问Internet。

Device分别通过Trust安全域与Untrust安全域与局域网与Internet相连。

∙启用HTTP正文过滤功能,阻止含有“abc”关键字的HTTP响应报文通过。

∙启用HTTPJavaApplet阻断功能,仅允许网站IP地址为5、5、5、5的JavaApplet请求通过。

∙启用SMTP附件名称过滤功能,阻止用户发送带有“、exe”附件的邮件。

∙启用FTP上传文件名过滤功能,阻止用户上传带有“system”名称的文件。

∙启用Telnet命令字过滤功能,阻止用户键入含有“reboot”关键字的命令。

图1-29内容过滤配置组网图

2、配置Device

（1）     配置设备各接口的IP地址与所属安全域（略）

（2）     配置过滤条目

#配置关键字过滤条目“abc”。

步骤1:

在导航栏中选择“应用控制>内容过滤>过滤条目”,默认进入“关键字”页签的页面。

步骤2:

单击<新建>按钮。

步骤3:

如下图所示,输入名称为“abc”,输入关键字为“abc”。

步骤4:

单击<确定>按钮完成操作。

图1-30配置关键字过滤条目“abc”

#配置关键字过滤条目“reboot”。

步骤1:

在“关键字”页签的页面单击<新建>按钮。

步骤2:

如下图所示,输入名称为“reboot”,输入关键字为“reboot”。

步骤3:

单击<确定>按钮完成操作。

图1-31配置关键字过滤条目“reboot”

#配置文件名过滤条目“*、exe”。

步骤1:

单击“文件名”页签。

步骤2:

单击<新建>按钮。

步骤3:

如下图所示,输入名称为“exe”,输入文件名为“*、exe”。

步骤4:

单击<确定>按钮完成操作。

图1-32配置文件名过滤条目“*、exe”

#配置文件名过滤条目“system”。

步骤1:

在“文件名”页签的页面单击<新建>按钮。

步骤2:

如下图所示,输入名称为“system”,输入文件名为“system”。

步骤3:

单击<确定>按钮完成操作。

图1-33配置文件名过滤条目“system”

（3）     配置内容过滤策略

#配置不带JavaApplet阻断的HTTP过滤策略。

步骤1:

在导航栏中选择“应用控制>内容过滤>过滤策略”,默认进入“HTTP策略”页签的页面。

步骤2:

单击<新建>按钮。

步骤3:

进行如下配置,如下图所示。

∙输入名称为“http_policy1”。

∙单击“正文过滤”前的扩展按钮。

∙在正文过滤的可选过滤条目列表框中选中“abc”关键字过滤条目,单击“<<”按钮将其添加到已选过滤条目列表框中。

步骤4:

单击<确定>按钮完成操作。

图1-34配置不带JavaApplet阻断的HTTP过滤策略

#配置带JavaApplet阻断的HTTP过滤策略。

步骤1:

在“HTTP策略”页签的页面单击<新建>按钮。

步骤2:

进行如下配置,如下图所示。

∙输入名称为“http_policy2”。

∙单击“正文过滤”前的扩展按钮。

∙在正文过滤的可选过滤条目列表框中选中“abc”关键字过滤条目,单击“<<”按钮将其添加到已选过滤条目列表框中。

∙选中“JavaApplet阻断”前的复选框。

步骤3:

单击<确定>按钮完成操作。

图1-35配置带JavaApplet阻断的HTTP过滤策略

#配置SMTP过滤策略。

步骤1:

单击“SMTP策略”页签。

步骤2:

单击<新建>按钮。

步骤3:

进行如下配置,如下图所示。

∙输入名称为“smtp_policy”。

∙单击“附件过滤”前的扩展按钮。

∙在附件名称过滤的可选过滤条目列表框中选中“exe”文件名过滤条目,单击“<<”按钮将其添加到已选过滤条目列表框中。

步骤3:

单击<确定>按钮完成操作。

图1-36配置SMTP过滤策略

#配置FTP过滤策略。

步骤1:

单击“FTP策略”页签。

步骤2:

单击<新建>按钮。

步骤3:

进行如下配置,如下图所示。

∙输入名称为“”。

∙单击“上传文件名过滤”前的扩展按钮。

∙在上传文件名过滤的可选过滤条目列表框中选中“system”文件名过滤条目,单击“<<”按钮将其添加到已选过滤条目列表框中。

步骤4:

单击<确定>按钮完成操作。

图1-37配置FTP过滤策略

#配置Telnet过滤策略。

步骤1:

单击“Telnet策略”页签。

步骤2:

单击<新建>按钮。

步骤3:

进行如下配置,如下图所示。

∙输入名称为“telnet_policy”。

∙单击“命令字过滤”前的扩展按钮。

∙在命令字过滤的可选过滤条目列表框中选中“reboot”关键字过滤条目,单击“<<”按钮将其添加到已选过滤条目列表框中。

步骤4:

单击<确定>按钮完成操作。

图1-38配置Telnet过滤策略

（4）     配置内容过滤策略模板

#配置不带JavaApplet阻断的内容过滤策略模板。

步骤1:

在导航栏中选择“应用控制>内容过滤>策略模板”。

步骤2:

单击<新建>按钮。

步骤3:

进行如下配置,如下图所示。

∙输入名称为“template1”。

∙选择HTTP过滤策略为“http_policy1”。

∙选择SMTP过滤策略为“smtp_policy”。

∙选择FTP过滤策略为“”。

∙选择Telnet过滤策略为“telnet_policy”

步骤4:

单击<确定>按钮完成操作。

图1-39配置不带JavaApplet阻断的内容过滤策略模板

#配置带JavaApplet阻断的内容过滤策略模板。

步骤1:

在策略模板页面单击<新建>按钮。

步骤2:

进行如下配置,如下图所示。

∙输入名称为“template2”。

∙选择HTTP过滤策略为“http_policy2”。

∙选择SMTP过滤策略为“smtp_policy”。

∙选择FTP过滤策略为“”。

∙选择Telnet过滤策略为“telnet_policy”。

步骤3:

单击<确定>按钮完成操作。

图1-40配置带JavaApplet阻断的内容过滤策略模板

（5）     配置引用内容过滤策略模板的域间策略

#配置Trust安全域到Untrust安全域的目的地址为5、5、5、5的域间策略,并引用不带JavaApplet阻断的内容过滤策略模板。

步骤1:

在导航栏中选择“防火墙>安全策略>域间策略”。

步骤2:

单击<新建>按钮。

步骤3:

进行如下配置,如下图所示。

∙选择源域为“Trust”。

∙选择目的域为“Untrust”。

∙选择源IP地址为“any_address”。

∙选中目的IP地址中“新建IP地址”前的单选按钮,输入目的IP地址为“5、5、5、5/0、0、0、0”。

∙选择服务名称为“any_service”。

∙选择过滤动作为“Permit”。

∙选择内容过滤策略模板为“template1”。

∙选中“启用规则”前的复选框