华为设备上常用的安全技术

概述

一：AM  访问控制管理 

二：MAC-ADDRESS 绑定

三：arp  绑定        

四：acl

五：AAA 认证和DOT1X

 

 

                                        一：AM

AM的简介

AM实现了一种更加灵活的基于端口的管理，可以有效的实现对端口的隔离和端口的ip地址的绑定。

案例一：AM的端口隔离

实现pc1和pc3之间不能够互相的通信

配置命令：

在全局模式下

Am enable 全局开启AM的功能

vlan 10 创建一个vl

port Ethernet 0/5 Ethernet 0/10 Ethernet 0/15 增加相应的接口

interface vlan-interface 10 配置一个3层的ip地址

ip add 192.168.10.254 255.255.255.0

在接口模式下

Interface Ethernet 0/5

Am isolate Ethernet 0/10

配置结果

[Quidway]dis cu

am enable

vlan 10

interface Vlan-interface10

ip address 192.168.10.254 255.255.255.0

interface Ethernet0/5

port access vlan 10

am isolate Ethernet0/10

#

interface Ethernet0/10

port access vlan 10

am isolate Ethernet0/5

interface Ethernet0/15

port access vlan 10

[Quidway]dis am Ethernet 0/5

Ethernet0/5

Status : enabled

IP Pools : (NULL)

Isolate Ports: Ethernet0/10

没有配置vl10中的am的端口隔离前 pc1和pc3之间可以互通

已经配置了vl10中am的端口隔离 pc1和pc3之间不可以通行

将pc3的主机接入到vl10的ethernet0/15的借口上，pc1和pc3之间仍然可以互相通信

案例二：对端口的ip地址的绑定

实现对端口的ip地址的绑定

Am enable 全局开启AM的功能

Interface Ethernet 0/3

am ip-pool 192.168.10.100 1

说明：这样的话在interface Ethernet 0/3 接口上我们只能够实用192.168.10.100的地址才能够正常的与外网进行通信啦！！！

                             二Mac地址绑定

Mac地址绑定的说明：

由于大多数情况下，网络攻击的现象都来自与内网，因此说对内网进行mac地址的绑定有很强的必要性，这样的话我们就可以一定程度上减少来自于内网的攻击。

案例一：

通过对端口 interface Ethernet 0/5 进行静态的mac-address 绑定，并设置该端口的mac-address的最大的学习数量，我们就实现了对该端口的唯一的主机的绑定。

Cms-pc 的mac地址 ：b870-f406-463d

[Quidway]mac-address static b870-f406-463d interface Ethernet 0/5 vlan 1

[Quidway]inter Ethernet 0/5

[Quidway-Ethernet0/5]mac-address max-mac-count 0 设置该接口学习mac地址的最大数量

[Quidway]dis mac-address 查看mac地址表

MAC ADDR VLAN ID STATE PORT INDEX AGING TIME

b870-f406-463d 1 Config static Ethernet0/5 NOAGED

实用绑定的主机ping网关地址192.168.10.254

其他的pc 机是不会被允许使用该端口的

                                      三Arp绑定

Arp绑定的说明

我们在三层交换机上对端口进行arp的绑定，可以减少局域网内的arp攻击。

由于在局域网内发动arp攻击是很简单的事情，常见的arp攻击工具也很多。

比如：

很容易就会导致我们无法上网或者ip冲突。

案例一：

[Quidway]arp static 192.168.2.1 b870-f406-463d 这样的话中间人就无法进行arp的攻击，或者截获相应的数据包啦

[Quidway]dis arp static

IP Address MAC Address VLAN ID Port Name Aging Type

192.168.2.1 b870-f406-463d N/A N/A N/A Static

--- 2 entries found ---

              四Acl 规则

ACL的简介

随着网络规模的扩大和流量的增加，对网络安全的控制和对带宽的分配成为网络管理的重要内容。所以，我们有必要实施相应的acl规则来对网络内的流量进行控制。

ACL即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。

常见的acl

acl number

INTEGER<2000-2999> Specify a basic acl  基本的acl 只根据报文的源IP 地址信息制定匹配规则

INTEGER<3000-3999> Specify an advanced acl  高级的acl根据报文的源IP 地址信息、目的IP 地址信息、IP 承载的协议类型、协议的特性等三、四层信息制定匹配规则

INTEGER<4000-4999> Specify a link acl 基于二层的acl（源mac和目的mac）根据报文的源MAC地址、目的MAC地址、802.1p优先级二层协议类型等二层信息制定匹配规则

INTEGER<5000-5999> Specify a user acl 专家的acl

案例一：基于时间的acl

[Quidway]time-range workday 08:00 to 18:00 working-day

[Quidway-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255 time-range workDay

上班的时候

下班的时候

案例二：高级的acl

通过配置acl的规则限制外网主机对内网服务器的访问。

1.SecPath防火墙的主要配置

#

sysnameQuidway

#

Firewall packet-filterenable

firewall packet-filterdefault permit

#

Acl number3000 // 定义NAT转换的ACL组

rule0 permit ip source192.168.1.0 0.0.0.255

acl number 3001 //定义高级ACL组

rule 0 permit ip source 202.38.2.0 0.0.0.255 允许外网中2.0网段的主机访问www服务器

rule 1 permit tcp destination 192.168.1.100 0 destination-port eq www

rule 2 deny ip

#

Interface Ethernet 0/0

Ip address 192.168.1.1 255.255.255.0

#

Interface Ethernet0/1

Ip address 202.38.1.1 255.255.255.0 外网的共有的地址

Firewall packet-filter 3001 inbound 在接口上应用相应的规则

Nat outbound 3000

Nat server protocol tcp global 202.38.1.100 any inside 192.168.1.100 any

Nat server protocol icmp global 202.38.1.100 inside 192.168.1.100

#

firewallzonetrust

add interface Ethernet0/0

setpriority85

#

firewallzoneuntrust

add interface Ethernet0/1

setpriority5

#

iproute-static0.0.0.00.0.0.0 202.38.1.2

#

配置关键点

aclnumber3001中rule2的目的地址为NATServer前的私网地址，而不

是公网地址。

      五AAA技术和dot1x

        AAA是Authentication，Authorization and Accounting（认证、授权和计费）的简

称，它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架，实

际上是对网络安全的一种管理。工作模式：c/s的工作模式

案例一：

示意图：

一：AAA认证服务器的搭建：

1：windows server 2003的系统，首先从开始里面打开windows的控制面板，选择增加删除组件选项，然后选择网络服务选项，点详细信息，选中internet 选项

2：从开始里面选择管理工具，internet验证服务，新建客户端此处为192.168.100.32 ，共

享的密码为123456.

3：在远程访问策略选项中选择更该配置文件，并更改身份验证为pap 验证模式

4:增加配置验证的用户，并作相应的权限的调整

二：在交换机上配置radius客户端的相关指令

RADIUS客户端配置：

System-view

Sysname sw1

Radius scheme abc 配置radius的方案为abc

Primary authentication 192.168.100.100 radius 验证服务器的ip地址

Key authentication 123456 配置共享链路的密码

Server-type standard 服务类型为标准的类型

Accounting optional 配置计费为可选项

User-name-format without-domain  用户在登陆的时候不需要加域名，此处的域名可以理解为一个vl

Quit

Domain zzu 定义一个zzu 的域

Radius scheme abc 在该域下应用方案abc

Access-list enable 10 定义该域下的最大连接数

Quit

Dot1x 启用radius验证

Dot1x authentication-method pap 配置radius的验证方式为pap 方式

Inter e0/7

Dot1x 在接口上启用radius验证

三：测试

1.连接

案例二：

AAA验证和ciscorescue v4.2 验证服务器的搭建（telnet方式和级别的设置）

 

 

 

     请点击该链接

欢迎加入郑州阳仔的网络工程师自由交流群--132444800(请注明自己的身份，就说是51cto的博友）