h3c网络设备安全技术
华为网络安全技术
一 ACL
ACL(Access Control List,访问控制列表)主要用来实现流识别功能。网络设备为了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的报文。在识别出特定的报文之后,才能根据预先设定的策略允许或禁止相应的数据包通过。
ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。
由ACL定义的数据包匹配规则,可以被其它需要对流量进行区分的功能引用,如QoS中流分类规则的定义。
根据应用目的,可将ACL分为下面几种:
基本ACL:只根据三层源IP地址制定规则。
高级ACL:根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等 三、四层信息制定规则。
二层ACL:根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。
100~199:表示WLAN ACL;
2000~2999:表示IPv4 基本ACL;
3000~3999:表示IPv4 高级ACL;
4000~4999:表示二层ACL;
5000~5999:表示用户自定义ACL
ACL支持两种匹配顺序:
配置顺序:根据配置顺序匹配ACL规则。
自动排序:根据“深度优先”规则匹配ACL规则。
基于时间的ACL配置:
# 配置时间段,取值为周一到周五每天8:00到18:00。
<Quidway> system-view
[Quidway] time-range test 8:00 to 18:00 working-day
[Quidway] display time-range test
Current time is 00:32:52 Apr/2/2000 Sunday
Time-range : test ( Inactive )
08:00 to 18:00 working-day
基本的ACL配置:
# 配置ACL 2000,禁止源地址为1.1.1.1的报文通过。
<Quidway> system-view
[Quidway] acl number 2000
[Quidway-acl-basic-2000] rule deny source 1.1.1.1 0
[Quidway-acl-basic-2000] display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 1
rule 0 deny source 1.1.1.1 0
高级的ACL:
# 配置ACL 3000,允许从129.9.0.0网段的主机向202.38.160.0网段的主机发送的端口号为80的报文通过。
<Quidway>system-view
[Quidway] acl number 3000
[Quidway-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80
[Quidway-acl-adv-3000] display acl 3000
Advanced ACL 3000, 1 rule
Acl's step is 1
rule 0 permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www
二层ACL配置:
使用二层ACL,禁止192.168.100.100与192.168.100.200通信192.168.100.100和MAC地址为:88ae-1dd6-489d端口e0/1 和192.168.100.200和MAC地址为:206a-8a2e-c911 端口e0/2
acl number 4000
rule 10 deny ingress 88ae-1dd6-489d 0000-0000-0000 interface Ethernet 0/1 egress 206a-8a2e-c911 0000-0000-0000 interface Ethernet 0/22
packet-filter link-group 4000 rule 10
二 AM
AM(access management)又名访问管理,它利用收到数据报文的信息(源IP 地址或者源IP+源MAC)与配置硬件地址池(AM pool)相比较,如果找到则转发,否则丢弃。 AM pool 是一个地址列表,每一个地址表项对应于一个用户。每一个地址表项包括了地址信息及其对应的端口。地址信息可以有两种:
IP 地址(ip-pool),指定该端口上用户的源IP 地址信息。
MAC-IP 地址(mac-ip pool),指定该端口上用户的源MAC 地址和源IP 地址信息。
当AM使能的时候,AM模块会拒绝所有的IP报文通过(只允许IP地址池内的成员源地址通过)。
我们可以在交换机端口创建一个MAC+IP 地址绑定,放到地址池中。当端口下联主机发送的IP报文(包含ARP报文)中,所含的源IP+源MAC不符合地址池中的绑定关系,此报文就将被丢弃。
配置命令示例如下:
使能AM 并允许交接口4 上源IP为192.1.1.2,源MAC是00-01-10-22-33-10 的用户通过。 Switch(Config)#am enable
Switch(Config)#interface Ethernet 0/0/4
Switch(Config-Ethernet0/0/4)#am port
Switch(Config-Ethernet0/0/4)#am mac-ip-pool 00-01-10-22-33-10 192.1.1.2
功能优点
配置简单,除了可以防御ARP攻击,还可以防御IP扫描等攻击。适用于信息点不多、规模不大的静态地址环境下。
功能缺点
需要占用交换机ACL资源 网络管理员配置量大,终端移动性差
三 MAC地址绑定
为了快速转发报文,以太网交换机需要维护MAC地址转发表。MAC地址转发表是一张基于端口的二层转发表,是以太网交换机实现二层报文快速转发的基础。MAC地址转发表的表项包括:
.. 目的MAC地址
.. 端口所属的VLAN ID
.. 转发端口号
用户通过Console口登录到交换机,配置地址表管理。要求设置交换机上动态MAC地址表项的老化时间为500秒,在VLAN1中的Ethernet 1/0/2端口添加一个静态地址00e0-fc35-dc71。
配置步骤
# 进入交换机系统视图。
<Quidway> system-view
[Quidway]
# 增加MAC地址(指出所属VLAN、端口、状态)。
[Quidway] mac-address static 00e0-fc35-dc71 interface Ethernet 1/0/2 vlan 1
# 设置交换机上动态MAC地址表项的老化时间为500秒。
[Quidway] mac-address timer aging 500
# 在系统视图下查看MAC地址配置。
四 ARP绑定
ARP(Address Resolution Protocol,地址解析协议)用于将网络层的IP地址解析为数据链路层的物理地址(MAC地址)。
网络设备进行网络寻址时只能识别数据链路层的MAC地址,不能直接识别来自网络层的IP地址。如果要将网络层中传送的数据报交给目的主机,必须知道该主机的MAC地址。因此网络设备在发送报文之前必须将目的主机的IP地址解析为它可以识别的MAC地址。
S2000-HI系列以太网交换机的ARP表项分为:静态表项和动态表项
手工添加静态ARP映射项
配置免费ARP
S2000-HI系列交换机的免费ARP报文发送功能始终开启,不需命令行进行控制。
免费ARP报文学习功能配置任务
五 AAA
AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。
这里的网络安全主要是指访问控制,包括:
哪些用户可以访问网络服务器。
具有访问权的用户可以得到哪些服务。
如何对正在使用网络资源的用户进行计费。
针对以上问题,AAA必须提供认证功能、授权功能和计费功能。
Telnet/SSH用户通过RADIUS服务器认证的应用配置
# 配置Telnet用户采用AAA认证方式。
<Quidway> system-view
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode scheme
# 配置domain。
[Quidway] domain cams
[Quidway-isp-cams] access-limit enable 10
[Quidway-isp-cams] quit
# 配置RADIUS方案。
[Quidway] radius scheme cams
[Quidway-radius-cams] accounting optional
[Quidway-radius-cams] primary authentication 10.110.91.164 1812
[Quidway-radius-cams] key authentication expert
[Quidway-radius-cams] server-type Huawei
[Quidway-radius-cams] user-name-format with-domain
[Quidway-radius-cams] quit
# 配置domain和RADIUS的关联。
[Quidway] domain cams
[Quidway-isp-cams] scheme radius-scheme cams
Telnet用户登录时输入用户名userid @cams,以使用cams域进行认证。
六 dot1x
802.1x协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
配置
本地802.1x接入用户的用户名为localuser,密码为localpass,使用明文输入,闲置切断功能处于打开状态。
#开启全局802.1x特性。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x
#开启指定端口Ethernet 1/0/1的802.1x特性。
[Sysname] dot1x interface Ethernet 1/0/1
#设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Sysname] dot1x port-method macbased interface Ethernet 1/0/1
#创建RADIUS方案radius1并进入其视图。
[Sysname] radius scheme radius1
#设置主认证/计费RADIUS服务器的IP地址。
[Sysname-radius-radius1] primary authentication 10.11.1.1
[Sysname-radius-radius1] primary accounting 10.11.1.2
#设置备份认证/计费RADIUS服务器的IP地址。
[Sysname-radius-radius1] secondary authentication 10.11.1.2
[Sysname-radius-radius1] secondary accounting 10.11.1.1
#设置系统与认证RADIUS服务器交互报文时的加密密码。
[Sysname -radius-radius1] key authentication name
#设置系统与计费RADIUS服务器交互报文时的加密密码。
[Sysname-radius-radius1] key accounting money
#设置系统向RADIUS服务器重发报文的时间间隔与次数。
[Sysname-radius-radius1] timer 5
[Sysname-radius-radius1] retry 5
#设置系统向RADIUS服务器发送实时计费报文的时间间隔。
[Sysname-radius-radius1] timer realtime-accounting 15
#指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
[Sysname-radius-radius1] user-name-format without-domain
[Sysname-radius-radius1] quit
#创建域aabbcc.net并进入其视图。
[Sysname] domain aabbcc.net
#指定radius1为该域用户的RADIUS方案,若RADIUS服务器无效,则使用本地认证方案。
[Sysname-isp-aabbcc.net] scheme radius-scheme radius1 local
#设置该域最多可容纳30个用户。
[Sysname-isp-aabbcc.net] access-limit enable 30
#启动闲置切断功能并设置相关参数。
[Sysname-isp-aabbcc.net] idle-cut enable 20 2000
[Sysname-isp-aabbcc.net] quit
#配置域aabbcc.net为缺省用户域。
[Sysname] domain default enable aabbcc.net
#添加本地接入用户。
[Sysname] local-user localuser
[Sysname-luser-localuser] service-type lan-access
[Sysname-luser-localuser] password simple localpass