1.端口隔离:
1)说明:通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。
当聚合组中的某个端口加入到隔离组后, 同一聚合组的其他端口将自动加入到隔离组。
2)案例:
组网需求:
小区用户 PC2、PC3、PC4 分别与交换机的以太网端口 Ethernet1/0/2、 Ethernet1/0/3、Ethernet1/0/4 相连。 交换机通过 Ethernet1/0/1 端口与外部网络相连。 小区用户 PC2、PC3 和 PC4 之间不能互通。
配置步骤:
<Quidway> system-view
[Quidway] interface ethernet1/0/2 [Quidway-Ethernet1/0/2] port isolate [Quidway-Ethernet1/0/2] quit [Quidway] interface ethernet1/0/3 [Quidway-Ethernet1/0/3] port isolate [Quidway-Ethernet1/0/3] quit [Quidway] interface ethernet1/0/4 [Quidway-Ethernet1/0/4] port isolate [Quidway-Ethernet1/0/4] quit
2.802.1x:
1)说明:802.1x 协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源——相当于连接被物理断开。
802.1X身份验证协议最初使用于无线网络,后来才在普通交换机和路由器等网络设备上使用。它可基于端口来对用户身份进行认证,即当用户的数据流量企图通过配置过802.1X协议的端口时,必须进行身份的验证,合法则允许其访问网络。这样的做的好处就是可以对内网的用户进行认证,并且简化配置,在一定的程度上可以取代Windows 的AD。
配置802.1X身份验证协议,首先得全局启用AAA认证,这个和在网络边界上使用AAA认证没有太多的区别,只不过认证的协议是802.1X;其次则需要在相应的接口上启用802.1X身份验证。(建议在所有的端口上启用802.1X身份验证,并且使用radius服务器来管理用户名和密码)
2)案例:
组网需求:要求在各端口上对用户接入进行认证,以控制其访问 Internet;接入控制模式,要求是基于 MAC 地址的接入控制。
所有接入用户都属于一个缺省的域:aabbcc.net,该域最多可容纳 30 个用户;认证时,先进行 RADIUS 认证,如果 RADIUS 服务器没有响应再转而进行本地认证。
由两台 RADIUS 服务器组成的服务器组与交换机相连,其 IP 地址分别为10.11.1.1 和10.11.1.2,前者作为主认证/备份计费服务器,后者作为备份认证/主计费服务器;设置系统与认证RADIUS 服务器交互报文时的加密密码为“name”、与计费 RADIUS 服务器交互报文时的加密密码“money”,设置系统在向 RADIUS 服务器发送报文后 5 秒种内如果没有得到响应就向其重新发送报文,重复发送报文的次数总共为 5 次,设置系统每 15 分钟就向 RADIUS服务器发送一次实时计费报文, 指示系统从用户名中去除用户域名后再将之传给 RADIUS 服务器。
本地 802.1x 接入用户的用户名为 localuser,密码为 localpass,使用明文输入,闲置切断功能处于打开状态。
配置步骤:
<Quidway> system-view
[Quidway] dot1x #全局开启802.1x特性[Quidway] dot1x interface Ethernet 1/0/1
[Quidway] dot1x port-method macbased interface Ethernet 1/0/1 [Quidway] radius scheme radius1 # 创建 RADIUS 方案 radius1 并进入其视图。 [Quidway-radius-radius1] primary authentication 10.11.1.1 [Quidway-radius-radius1] primary accounting 10.11.1.2 [Quidway-radius-radius1] secondary authentication 10.11.1.2 [Quidway-radius-radius1] secondary accounting 10.11.1.1 [Quidway -radius-radius1] key authentication name # 设置系统与认证 RADIUS 服务器交互报文时的加密密码。 [Quidway-radius-radius1] key accounting money # 设置系统与计费 RADIUS 服务器交互报文时的加密密码。 [Quidway-radius-radius1] timer 5 # 设置系统向 RADIUS 服务器重发报文的时间间隔与次数。 [Quidway-radius-radius1] retry 5 [Quidway-radius-radius1] timer realtime-accounting 15 # 设置系统向 RADIUS 服务器发送实时计费报文的时间间隔。[Quidway-radius-radius1] user-name-format without-domain # 指示系统从用户名中去除用户域名后再将之传给 RADIUS 服务器。 [Quidway-radius-radius1] quit
[Quidway] domain default enable aabbcc.net # 创建域 aabbcc.net 并进入其视图。 [Quidway-isp-aabbcc.net] scheme radius-scheme radius1 local # 指定 radius1 为该域用户的 RADIUS 方案,若 RADIUS 服务器无效,则使用本地认证方案。 [Quidway-isp-aabbcc.net] access-limit enable 30 # 设置该域最多可容纳 30 个用户。[Quidway] domain default enable aabbcc.net # 配置域 aabbcc.net 为缺省用户域。 [Quidway] local-user localuser # 添加本地接入用户。 [Quidway-luser-localuser] service-type lan-access
[Quidway-luser-localuser] password simple localpass
3.Acl访问控制列表:
说明:防火墙为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,
这些规则就是通过访问控制列表 ACL(Access Control List)定义的。访问控制列
表是由 permit 和 deny 语句组成的一系列有顺序的规则,这些规则根据数据包的源
地址、目的地址、端口号等来描述。ACL 通过这些规则对数据包进行分类,这些规
则应用到防火墙接口上,防火墙根据这些规则判断哪些数据包可以接收,哪些数据
包需要拒绝。
访问控制列表的分类:
基本的访问控制列表(basic acl)
高级的访问控制列表(advanced acl)
基于接口的访问控制列表(interface-based acl)
基于 MAC 的访问控制列表(mac-based acl)
访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999 是基于接口的访问控制列表,2000~2999 范围的访问控制列表是基本的访问控制列表,3000~3999范围的访问控制列表是高级的访问控制列表,4000~4999 范围的访问控制列表是基于 MAC 地址访问控制列表。
案例:
1. 组网需求
以下通过一个公司配置防火墙的实例来说明防火墙的配置。
该公司通过一台 SecPath 防火墙的接口 Ethernet1/0/0 访问Internet,防火墙与内部网通过以太网接口 Ethernet0/0/0 连接。公司内部对外提供 WWW、FTP 和 Telnet服务,公司内部子网为 129.38.1.0,其中,内部 FTP 服务器地址为 129.38.1.1,内部 Telnet 服务器地址为 129.38.1.2,内部 WWW 服务器地址为 129.38.1.3,公司对外地址为 202.38.160.1。在防火墙上配置了地址转换,这样内部 PC 机可以访问Internet,外部 PC 可以访问内部服务器。通过配置防火墙,希望实现以下要求:
外部网络只有特定用户可以访问内部服务器。
内部网络只有特定主机可以访问外部网络。
假定外部特定用户的 IP 地址为 202.39.2.3。
配置步骤:
[H3C] firewall packet-filter enable # 使能包过滤防火墙。
[H3C] firewall packet-filter default permit # 设置防火墙缺省过滤方式为允许包通过。
[H3C] acl number 3001 # 创建访问控制列表 3001。
[H3C-acl-adv-3001] rule permit ip source 129.38.1.4 0 # 配置规则允许特定主机访问外部网,允许内部服务器访问外部网。
[H3C-acl-adv-3001] rule permit ip source 129.38.1.1 0
[H3C-acl-adv-3001] rule permit ip source 129.38.1.2 0
[H3C-acl-adv-3001] rule permit ip source 129.38.1.3 0
[H3C-acl-adv-3001] rule deny ip
[H3C] acl number 3002 # 创建访问控制列表 3002。
[H3C-acl-adv-3002] rule permit tcp source 202.39.2.3 0 destination 129.38.1.0
0.0.0.3 # 配置规则允许特定用户从外部网访问内部服务器。
[H3C-acl-adv-3002] rule permit tcp destination 129.38.1.4 0 destination-port gt 1024
# 配置规则允许特定用户从外部网取得数据(只允许端口大于 1024 的包)。
[H3C-acl-adv-3002] rule deny ip
[H3C-Ethernet0/0/0] firewall packet-filter 3001 inbound # 将规则3001作用于从接口 Ethernet0/0/0 进入的包。
[H3C-Ethernet1/0/0] firewall packet-filter 3002 inbound # 将规则3002作用于从接口 Ethernet1/0/0 进入的包。
时间段访问控制列表(ACL):
组网需求:
要求内部用户,在8:00-12:00和13:30-18:00可以出公网,其它的时间都不可以出公网。
配置步骤:
1. 在系统视图下配置时间段:
[f4] time-range huawei1 08:00 to 18:00 daily
[f4] time-range huawei2 12:00 to 13:30 daily2. 配置高级访问控制列表:
[f4] acl number 3001[f4] rule deny ip time-range huawei2
[f4] rule permit ip time-range huawei1
[f4] rule deny ip
进入内网接口视图,下发时间段ACL规则:
[f4-e0/1] firewall packet-filter 3001 inbound
ASPF:
1) 说明:
ACL/包过滤防火墙为静态防火墙,目前存在如下问题:
对于多通道的应用层协议(如 FTP,H.323 等),部分安全策略配置无法预知。
无法检测某些来自于应用层的***行为(如 TCP SYN、Java Applet、ActiveX
等)。故提出了状态防火墙――ASPF 的概念。ASPF(Application Specific Packet Filter)
是针对应用层及传输层的包过滤,即基于状态的报文过滤。ASPF 能够实现的应用
层协议检测包括:(Q.931、FTP、HTTP、SMTP、 RTSP、H.323,H.245,RTP/RTCP)
SNMP、SQLNET 检测;能够实现的传输层协议检测包括:通用 TCP/UDP 检测。
ASPF 的主要功能如下:
能够检查应用层协议信息,如报文的协议类型和端口号等信息,并且监控基于
连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被 ASPF 维护并用于动态地决定数据包是否被允许通过防火墙进入内部网络,以便阻止恶意的***。
能够检测传输层协议信息(即通用 TCP 和 UDP 协议检测),能够根据源、目的地址及端口号决定 TCP 或 UDP 报文是否可以通过防火墙进入内部网络。
2) 案例:
组网需求:
在防火墙上一ASPF策略,检测通过防火墙的FTP流量。实现:内部网络用户发起的FTP连接的返回报文,则允许其通过防火墙进入内部网络,其他报文被禁止。
配置步骤:
[f1]firewall packet-filter default permit
[f1]acl number 3333
[f1-acl-adv-3333] rule deny ip # 在配置访问控制列表3333拒绝所有TCP和UDP流量进入内部网络,通过ASPF来允许返回的报文(通过临时访问控制列表来判断)进入内部网络。 [f1]aspf-policy 1[f1-aspf-policy-1]detect ftp # 配置ASPF策略来检测应用层FTP等协议,默认FTP协议的超时时间为3600秒。 [f1-Ethernet0/2]firewall aspf 1 outbound # 在外网接口上应用ASPF策略,用来检测内部FTP协议。 [f1-Ethernet0/2]firewall packet-filter 3333 inbound # 在外网接口上应用访问控制列表3333,用来过滤非FTP协议的报文。
测试结果:
在内网10.0.0.1上ping FTP服务器,发现无法ping通;在10.0.0.1上ftp 11.0.0.1,正常。
查看aspf session:
MAC和IP地址绑定:
组网需求:要求将客户机“192.168.1.100”的MAC和IP地址绑定,来避免IP地址假冒***的一种方式。
配置步骤:
[f1]firewall mac-binding 192.168.1.100 000f-e200-da32 # 配置客户机“192.168.1.100”的IP地址和MAC地址的绑定。 [f1]firewall mac-binding enable # 在系统视图下使能地址绑定功能。 [f1]dis firewall mac-binding item # 查看绑定信息。 Firewall Mac-binding item(s) : Current items : 1
192.168.1.100 000f-e200-da32
注意事项: 1、在配置MAC和IP地址绑定时,同一个MAC地址可以同多个不同的IP地址绑定。 2、如果配置静态ARP时已经存在相同IP地址的地址绑定关系表项,该静态ARP将配置失败,同时返回提示信息;如果配置的地址绑定关系中的IP地址已经存在于静态ARP表中,则静态ARP表中的表项将被删除。 3、MAC和IP地址绑定对于PPPoE的地址是不起作用的,因为以太帧上面承载的是PPP报文,所以无法进行判断和处理。 4、当配置MAC和IP地址绑定功能后,下接所有客户机都必须配置MAC和IP地址绑定,否则不可能过防火墙。 5、如果将PC的IP改为192.168.1.101,此时还可上网。这是因为绑定关系中只以IP为索引进行查找。不以mac为索引查找。所以只有当发现IP为 192.168.1.100且其 MAC不是000f-e200-da32才不能上网。
黑名单:
1)说明:黑名单指根据报文的源 IP 地址进行过滤的一种方式。同基于 ACL 的包过滤功能相比,由于黑名单进行匹配的域非常简单,可以以很高的速度实现报文的过滤,从而有效地将特定 IP 地址发送来的报文屏蔽。黑名单最主要的一个特色是可以由SecPath 防火墙动态地进行添加或删除,当防火墙中根据报文的行为特征察觉到特定IP地址的***企图之后,通过主动修改黑名单列表从而将该 IP 地址发送的报文过滤掉。因此,黑名单是防火墙一个重要的安全特性。
2)实例:
组网需求:要求将内部用户“192.168.1.254”用户手动设置成黑名单用户,并将***的用户自动加入到黑名单中。
配置步骤:
[F1]firewall blacklist enable
[F1]firewall blacklist 192.168.1.254 timeout 5 #5分钟后自动解除,不配置timeout,将永久有效。
[F1]dis firewall blacklist item
AM:
实例:
【AM User-bind完成IP、MAC地址和端口绑定配置流程】
使用特殊的AM User-bind命令,来完成IP、MAC地址与端口之间的绑定。 交换机相关配置:[SwitchA]vlan 10 # 创建VLAN10 [SwitchA-vlan10]port Ethernet 0/1 #将E0/1加入到VLAN10 [SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1 # 配置IP地址、MAC地址以及端口之间的绑定关系