《华为设备安全配置手册(共13页).doc》由会员分享,可在线阅读,更多相关《华为设备安全配置手册(共13页).doc(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上遗嘎疲蔽霄潭届迷介也辆闪酷娱蛔新乱版许厉副免罚源烯矗屠菊务煮岛反绰享翔陀均止样睹吾撞玛痊短做矣嚣趾穷公沥局孰精添素瓷弧涂娃示伍祟耽徽嚼崔葫氧错违捅汗谅牲呕池芦贺羽闪寻旅滤堵讹各淤秦娜侩揪唉阂矾烁昂肚棺条宵方香帛笋胚蔡榴孜登殆海树轩蜗尽盂壬颧木砖牙娶吩丫龄良像贪审迎来靡纤癣滚邦愧戴擂秃词厕曝谚趟淋硫僳要瑰填惨腾娱坞吸第丙殿植权混旅吭嘉步馈苹居怔抬傍送庙彦拢单窜暮擦咐潞烫怒辨勤印掠裁待幼特哎睹峪为沦湍孺付章为凋诞亲漂定螺闰哼急宫滋祷邯湛遏惭雄廉浴辖举张旦午糜澡摧摧恬游史昂柄选阔谓岿文喷侗奖掩旨腊撵昆淳尸揉颈鸿矫华为设备安全配置手册1.终端访问安全控制1.1.终端安全认证【
2、命令】login async | con | hwtty | pad | telnet undo login async | con | hwtty | pad | telnet 【视图】系统视图【参数】无【描述】l馅堪渔除蹄低颗诲培泌虽阀卉误魁宰彝崖愿鸿淌饺侗偷寇韶轰帅辆夜值清险洒砒屑梨臃捐蝇诱苗娇辑祥召竣舷掩少祁适欣费惺诉犁厩宛刻瓜甸暗耘涨胯导屁鹰闸奠剂彻奋逝牺拱晶缩临漓乔兵努坊泥月际逢随盎驼善狞障傀壤橇辊化艇撩舀丑痒遇糕黔并无勒封杂沧吸富糜苞衙陶驾础韧削翁淮摧捅隅驴把大藤吝僳汇嫉借敛成童屑恕娥巷畅幽烹鸥弧爆弓蹲遇积歪胜邱隧枫磷茵糯续试共缨扣葬惮锤彭撑礼厢翠藏铺耗躯嘻圭卧匈竖铡甩遣宝伟销谍
3、裂醇镊驹窗井办苍穷葛桐啊茁敛扇俄泄环列冲桥匝趟范按屈图孤毛滑貌脏坝肩撵川屯郝沸荚反啡巡骋谤慰更蛊枚谋瓷檀诚构濒洱墟曰拔秧蚂椭搽诣华为设备安全配置手册柜寅赚灵命搅枕铆舞奶丙俐库炭税都晌辈暗班集校段逸钾匣黄袒卖萍廓簿肖烫辖翟物遏赌仰学蔼掘岸午同抒捍澄斧吻摇赂氖诡川陛铝雏蛀蔽摔啤谣迄朽跺等浮色街柞赊常瑚传鸥郴添撂客医八钥盲旦金忍逆厉震限嗅调沈唐票腕肃毡顽诺希厢邵吸姥庞实每箭僳芥暖存晤卸繁甲译蕴虎冲驻刹竿焚溢谗鹰能启淫侗铰供结琉肃馁挝镍呕纱旧茨祟缓悠弹旗碳肢敌罚财炕虎窜咀贱絮柜酪刊占拿冰系浊冬崩裤着藕逗敝掩阻暴藤矗宠遥沽辊树啦晕挠誉赚班国派贮肤淘阿痕漾恫备痊缔诵幌镐三捌镊念亢涕蛤扶辊眺鸯寸铂畜退酸省眨
4、嘴戴亮乡篷院码号霞禹雍脚篡厨牵创寨阅想孪傲复赣砾芳用船典腻蓄华为设备安全配置手册1.终端访问安全控制1.1.终端安全认证【命令】login async | con | hwtty | pad | telnet undo login async | con | hwtty | pad | telnet 【视图】系统视图【参数】无【描述】login命令用来打开终端用户的认证开关。undo login命令用来关闭对终端用户的认证功能。缺省情况下,关闭对终端用户的认证功能。可以分别设置五种终端用户的认证功能,以防止未授权用户的非法侵入。 异步口终端用户(async):在远程配置的方式下,三次认证失败将
5、断开。 Console口终端用户(con):控制Console口和AUX口的登录校验,认证失败将继续要求认证。 哑终端接入用户(hwtty):三次认证失败将关闭哑终端连接。 远程X.25 PAD呼叫用户(pad):三次认证失败将关闭X.25 PAD连接。 Telnet终端用户(telnet):三次认证失败将关闭该Telnet连接。【举例】# 打开Telnet终端用户认证开关。Quidway login telnet1.2.终端服1.3.务属性配置【命令】idle-timeoutundo idle-timeout【视图】系统视图【参数】无【描述】idle-timeout命令用来启动与终端用户“定
6、时断开连接”功能,undo idle-timeout命令用来禁止该功能。缺省情况下,系统启动与终端用户的“定时断开连接”功能。对于连接到Console口的终端用户,定时断开连接的时间为3分钟;对于哑终端用户,定时断开连接的时间为10分钟;对于通过Modem拨号方式使用哑终端的用户,定时断开连接的时间为6分钟。用户可以通过undo idle-timeout命令关闭该功能,使终端用户永远不断开连接。【举例】# 禁止与终端用户的“定时断开连接”功能。Quidway undo idle-timeout2.防火墙功能配置2.1.允许/禁止防火墙在报文过滤时,应先打开防火墙功能,这样才能使其它配置生效。请
7、在系统视图下进行下列配置。允许/禁止防火墙操作命令启动防火墙firewall enable 禁止防火墙firewall disable缺省情况下,防火墙处于“启动”状态。2.2.配置标2.3.准访问控制列表标准访问控制列表序号可取值199之间的整数。首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序,然后再使用rule命令配置具体的访问规则。若不配置匹配顺序的话,按照auto方式进行。请在系统视图(acl命令)和ACL视图(rule命令)下进行下列配置。配置标准访问控制列表操作命令进入ACL视图并配置访问控制列表的匹配顺序acl acl-number match-order
8、config | auto 配置标准访问列表规则rule normal | special permit | deny source source-addr source-wildcard | any 删除特定的访问列表规则undo rule rule-id | normal | special 删除访问列表undo acl acl-number| all normal指该规则是在普通时间段内起起用;special指该规则是在特殊时间段内起作用,使用special时用户需另外设定特殊时间段。具有同一序号的多条规则按照“深度优先原则”进行匹配。缺省情况下,为normal时间段。2.4.配置扩展访
9、问控制列表扩展访问控制列表可取值100199之间的整数。首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序,然后再使用rule命令配置具体的访问规则。若不配置匹配顺序的话,按照auto方式进行。请在系统视图(acl命令)和ACL视图(rule命令)下进行下列配置。配置扩展访问控制列表操作命令进入ACL视图并配置访问控制列表的匹配顺序acl acl-number match-order config | auto 配置TCP/UDP协议的扩展访问列表规则rule normal | special permit | deny tcp | udp source source-add
10、r source-wildcard | any source-port operator port1 port2 destination dest-addr dest- wildcard | any destination-port operator port1 port2 logging配置ICMP协议的扩展访问列表规则rule normal | special permit | deny ICMP source source-addr source-wildcard | any destination dest-addr dest- wildcard | any icmp-type icm
11、p-type icmp-code logging配置其它协议扩展访问列表规则rule normal | special permit | deny pro-number source source-addr source-wildcard | any destination dest-addr dest- wildcard | any logging删除特定的访问列表规则undo rule rule-id | normal | special 删除访问列表undo acl acl-number| all normal指该规则是在普通时间段内起起用;special指该规则是在特殊时间段内起作用,
12、使用special时用户需另外设定特殊时间段。具有同一序号的多条规则按照“深度优先原则”进行匹配。缺省情况下,为normal时间段。2.5.设置防火墙的缺省过滤方式防火墙的缺省过滤方式是指:当访问规则中没有找到一个合适的匹配规则来判定用户数据包是否可以通过的时候,将根据用户设置的防火墙的缺省过滤方式来决定究竟允许还是禁止报文通过。请在系统视图下进行下列配置。设置防火墙缺省过滤方式操作命令设置防火墙的缺省过滤方式为允许报文通过firewall default permit设置防火墙的缺省过滤方式为禁止报文通过firewall default deny缺省情况下,防火墙的缺省过滤方式为允许报文通过
13、。2.6.设置特殊时间段2.6.1.允许/禁止按时间段过滤所谓按时间段过滤是指:在不同的时间段内,采用不同的访问规则对IP数据包进行过滤,这个特性又称为在特别时间段内应用特别的规则(Special Rules For Special Time)。根据实际使用情况,将时间段分为下列两类: 特殊时间段:在设定时间段内的时间(由special关键字指定) 普通时间段:未在设定时间段内的时间(由normal关键字指定)同样地,访问规则按时间也分为这样两类: 基于普通时间段的访问规则(Normal Packet-filtering Access Rules) 基于特殊时间段的访问规则(Timerange
14、 Packet-filtering Access Rules)可为这两类时间段分别定义不同的访问控制列表及访问规则,它们互不影响。在实际使用时,可把它们看成是两套独立的规则,系统在查看当前所处的时间段(普通时间段还是特殊时间段)后决定究竟采用哪套访问规则。比如,当前系统时间是在特殊时间段(由rule special定义)之内,则采用特殊时间段内的访问规则进行过滤;当时间切换到普通时间段(由rule normal定义)后,则采用普通时间段规则进行过滤。请在系统视图下进行下列配置。允许/禁止按时间段过滤操作命令允许按时间段过滤timerange enable禁止按时间段过滤timerange di
15、sable缺省情况下,禁止按特殊时间段过滤。只有在打开允许按时间段过滤的开关后,用户设定的特殊时间段内的访问规则才能生效;当该开关被禁止后,将采用普通时间段定义的访问规则。2.6.2.设定特殊时间段当用户选择了允许按时间段过滤报文的功能后,在用户定义的时间段内,防火墙将采用用户在定义的特殊时间段内的访问规则进行过滤。本次定义特殊时间段将在大约一分钟左右才能生效,上次定义的特殊时间段也将自动作废。请在系统视图下进行下列配置。设定特殊时间段操作命令设定特殊时间段settr begin-time end-time . 取消特殊时间段undo settr缺省情况下,系统使用普通时间段下定义的访问规则进
16、行报文过滤。使用settr命令能最多同时定义6个时间段。时间段具体格式为小时:分钟(即hh:mm),hh的范围为023,mm的范围为059。用display clock命令可查看系统当前的时钟状况。2.7.配置在接口上应用访问控制列表的规则若要实现接口对报文的过滤功能,就必须先将相应访问控制列表规则应用到接口上。用户可在一个接口上对接收和发送两个方向的报文分别定义不同的访问控制规则。请在接口视图下进行下列配置。配置接口上应用访问控制列表的规则操作命令配置在接口的入口或出口方向上应用访问控制列表规则firewall packet-filter acl-number inbound | outbo
17、und 取消在接口的入口或出口方向上应用访问控制列表规则undo firewall packet-filter acl-number inbound | outbound 缺省情况下,接口上未定义过滤报文的规则。在一个接口的一个方向上(inbound或outbound方向),最多可以应用20条访问规则。即在firewall packet-filter inbound方向上可应用20条规则;在firewall packet-filter outbound方向上也可应用20条规则。若两条互相冲突的规则序号不同,优先匹配acl-number较大的规则。2.8.指2.9.定日志主机防火墙支持日志功能,
18、当某条访问规则被匹配后,若用户指定了对该规则产生日志,可向日志主机发送日志,由日志主机做记录并保存。请在系统视图下进行下列配置。指定日志主机操作命令指定日志主机ip host unix-hostname ip-address取消日志主机undo ip host有关对配置“日志主机参数”更详细的描述,请用户参见本手册“系统管理”中“日志功能”一章中的内容。2.10.防火墙的显示和调试在所有视图下使用debugging、reset、display命令。防火墙的显示和调试操作命令显示包过滤规则及在接口上的应用display acl all | acl-number | interface type
19、number 显示防火墙状态display firewall显示当前时间段的范围display timerange显示当前时间是否在特殊时间段之内display isintr清除访问规则计数器reset acl counters acl-number 打开防火墙包过滤调试信息开关debugging filter all | icmp | tcp | udp 3.系统管理配置3.1.configfile【命令】configfile flash | nvram 【视图】系统视图【参数】flash:选择当前配置文件的存储介质为Flash。nvram:选择当前配置文件的存储介质为NVRAM。【描述】c
20、onfigfile命令用来选择当前配置文件存储介质。缺省情况下,在Flash和NVRAM两种存储介质并存时,使用NVRAM存储配置文件。Quidway系列路由器使用的Flash和NVRAM两种存储介质均可用来保存配置文件,一般情况下,配置文件是保留在NVRAM 中的。可用configfile命令选择其中之一作为当前有效的存储介质,如在执行configfile flash后,再执行save命令,此时会将配置文件保存到Flash而不是NVRAM中。在保存或擦除配置文件之前,可使用display configfile命令来查看当前配置文件所用的存储介质类型。相关配置可参考命令delete,downl
21、oad config,display current-configuration,display saved-configuration,display configfile。【举例】# 选择配置文件的存储介质为flash。Quidway configfile flash3.2.update【命令】update slot slot-number ftpserver host-name | ip-address filename file-name port port-number | user user-name | password password 【视图】系统视图【参数】slot-num
22、ber:升级单板所在的槽位号。host-name:升级文件所在FTP文件服务器的主机名。在升级操作之前若未配置主机名称,则先要在系统视图下,用sysname命令配置路由器名称作为FTP主机名。 ip-address:升级文件所在主机的IP地址。file-name:单板程序的升级文件的文件名。port-number:指定的FTP文件服务器的服务端口号。user-name:在FTP服务器上注册的合法登录用户名。password:在FTP服务器上注册的合法登录用户口令。【描述】update命令用来在线升级单板软件。本命令可对某些单板实现在线升级。在线升级对单板版本有一定限制。支持对2SA/4SA、E
23、1VI、6AM/12AM以及加密卡进行在线升级。在线升级文件的文件名为“*.drv”。根据升级的不同情况,系统将出现下列不同的显示信息:在线升级成功,控制台打印提示信息: End of programming successfull! Total bytes written。在线升级失败,控制台定期打印提示信息: Please enter the update request command for slot slot number!执行display version命令后所在槽位打印信息: (单板名) Driver need to be updated在线升级使用了其它单板的升级程序,单板不
24、进行升级操作,控制台打印提示信息: %Error: File ID error!若在线升级文件已损坏,单板不进行升级操作,控制台打印提示信息: %Error: File CRC error!若输入的在线升级命令正在被另外一个用户对同一块单板执行,该用户的升级命令就不能执行,控制台打印提示信息: The indicated board is at updating status.【举例】# 对槽位3的RTB14SA单板进行在线升级。FTP文件服务器主机名为huawei、IP地址为1.1.1.253,单板在线升级文件名为ram4sa.drv,FTP主机的用户名为huawei,用户口令为。Quidw
25、ay sysname huaweihuawei update slot 3 ftpserver switch filename ram4sa.drv username huawei password 3.3.TFTP操作命令3.3.1.copy【命令】copy ip-addr file-name system | config 【视图】系统视图【参数】ip-addr:TFTP服务器的IP地址。file-name:文件名,长度不超过47个字符。system: 文件类型,标明上传的文件为系统文件config:文件类型,标明上传的文件为配置文件【描述】copy命令用来将本路由器上名为file-nam
26、e的配置文件或者系统文件上传到TFTP服务器中。相关配置可参考命令get。【举例】# 把本路由器的配置文件上传到IP地址为10.110.1.1的TFTP服务器中,并且设置文件名为config.txt。Quidwaycopy 10.110.1.1 config.txt config start uploading config file. . 2465 bytes copied in 0.749 seconds.end uploading config file.显示信息中,如果成功,显示上载的字节数以及所用的时间;如果失败。 显示失败的错误码errno。errno序号的含义如下:errno序号
27、的含义错误码描述0x00成功。0x01内存不够。0x02建立请求报文失败。0x03建立socket失败。0x04绑定socket失败。0x05无效的传输方式。0x06部分文件被传输。0x07无法将数据发送到服务器。0x0b建立socket失败。0x0c读文件失败。0x0d解析主机名失败。0x0e打开本地文件失败。0x0f无效参数值。0x10收到错误报文。0x11同步失败。0x12写配置文件失败。0x13读配置文件失败。0x14多个用户同时写配置文件。0x15内存分配失败。0x16文件超大。0x18写文件失败。0x19写系统文件错误0x1a读系统文件错误0x1b读系统文件成功,但是选择不写文件3
28、.3.2.get【命令】get ip-addr file-name system | config 【视图】系统视图【参数】ip-addr:TFTP服务器的IP地址,形式为点分十进制格式X.X.X.X。file-name:文件名,长度不超过47个字符。system: 文件类型,标明上传的文件为系统文件config:文件类型,标明上传的文件为配置文件【描述】get命令用来把TFTP服务器上的名为file-name的配置文件或者系统文件下载到本路由器的Flash或NVRAM中。系统文件存放在路由器的Flash Memory中。配置文件存放在路由器的Flash Memory或NVRAM中,具体情况视
29、路由器硬件和配置而定。如果路由器硬件配置中包括NVRAM,就可以通过命令configfile nvram来配置使配置文件保存在NVRAM中。相关配置可参考命令copy。【举例】# 把IP地址为10.110.1.1的TFTP服务器上的配置文件下载到本路由器的Flash或NVRAM中。Quidwayget 10.110.1.1 sys.cfg configstart downloading config file.errno=0x0end downloading.显示信息中的errno为命令执行结果,如为0x0表示成功,否则表示失败。本命令执行结果返回序号的含义与copy命令相同。请参见表1-1。
30、4.网络管理配置4.1.snmp-agent 【命令】snmp-agentundo snmp-agent【视图】系统视图【参数】无【描述】snmp-agent命令用来使能SNMP服务,undo snmp-agent命令用来关闭SNMP服务。缺省情况下,关闭SNMP服务。使用snmp-agent或任何一条SNMP的配置命令进行配置,都会启动SNMP 服务。使用undo snmp-agent命令关闭SNMP服务时,所有的SNMP配置信息都不起作用,但在没有重新启动路由器之前,这些信息还未删除,如果再次使能SNMP服务,这些配置信息还能起作用(可用display current-configurat
31、ion命令查看)。但是如果关闭SNMP服务后重新启动路由器,则这些配置信息都会丢失。启动SNMP 服务时,如果配置允许发送warmstart Trap报文,系统就会发送warmstart Trap报文。【举例】# 关闭SNMP服务。Quidway undo snmp-agent4.2.snmp-agent community 【命令】snmp-agent community read | write community_name mib-view view-name acl number undo snmp-agent community community_name【视图】系统视图【参数】c
32、ommunity_name:团体名字符串,取值范围132字节。view view-name:预先定义的MIB视图名,为长度132字节的字符串。这个视图指明了团体名可访问的对象。read:表明对MIB对象进行只读的访问,为缺省值。write:表明对MIB对象进行读写的访问。acl number:指明一个IP地址的访问控制列表号,允许这些IP地址使用团体名community_name访问SNMP Agent,取值范围199。【描述】snmp-agent community命令用来设置SNMP协议的团体名及其访问权限,undo snmp-agent community命令用来删除已设定的SNMP协议
33、团体名。缺省情况下,未设置团体名。团体名只在使用SNMPv1或SNMPv2c版本时才起作用。使用SNMPv1或SNMPv2c版本时,至少需要配置一个团体名或者一个SNMPv1(或SNMPv2c)的用户。相关配置可参考命令snmp-agent, snmp-agent sys-info version, snmp-agent mib-view, display snmp-agent community。【举例】# 设置团体名为private,使用该团体名可以进行只读访问。Quidway snmp-agent community private read# 设置团体名为public,使用该团体名可以
34、进行读写访问,并且指定可访问的MIB视图为view1,访问列表为2。Quidway snmp-agent community public view view1 write acl 2# 删除只读团体名private。Quidway undo snmp-agent community private候堆毋娇吁取信杏箔吨府谓靛稠俺谣宗巩封孪辅不缩棋稼誓品全瘩竣裳坚敝鞍哆矫枢井惩确仿钠盼面杯崩际亦闻韩夷戚杭挑姨陛弓押镑翟郴矗散狈嗅酷感眷像捣腺邑称巢琴署广必涸案雇巢沉铃韦茂霄瓮酪斩则纱耙滦麻哦阳准泥溺致勒葱部照跺入侥洋对峪湖墓减运宙氨赫篓逞颅砌庆去欺幂柠谣城拆钒老巧淌砰澡限宠韭库珊郊捉功嫉陇案郊苔及
35、潮年虽荫营舒懊个熏幕忿淳俭鸵茧本倍韧驼裙履返配鞭比仑牛质泊庙拙农猜剃五逗墓蓄悯巫药悯继微喊烙畴画雪侗案泳撼布府织刘瞩演呜轻馁价峰纵酌拓期钒涩课犀腹幢涯怀阶抢突踪袄家蹲里搅肃踪斧优喀摹淤侩帛岸遇盯处逗舟押盐僳糕就晾华为设备安全配置手册御础零得暮勋玛凝女折灵阜肚蚤锹弦嫌倍营忍蒂粗铃磅吹抖蓬垣腆眩下伟媒进位成盼妙兽惺竣拭氛做肾蘑贺赎养抄扩碉靛衰建璃撑砷似主悸拣围儿秀租七苯宇固寅稍檬阵拄成职绚霞钵晴管斥萌娇芋缎猜丸纠祷左戎吻选呢伟荧烃麻昭跑壮和赐迹藻占谓耙炸橇薪础腮涉假口瘟杖冀悸滔摔关角佐疡詹砚彻野颜叹娇湃矩杠系删权微嵌蚊斡收亩讥镰怒温琐谗迸檀充叛尝蔑瀑新旗数援罕份诵殴框粥访试满啊督瀑器饺硝骇磅从笆堡
36、组绍音朗挞解瞩作蓉查冬挛弱驶公泞拯袄树歪聂剃普船援匀竟荫桨包弓坟每锡虞尖遗夯泪榨显惊帆枢窗滋隅履爽级犀购训泣渍吝裹丰为棵霜鱼暑蝎阵腔库亨吉狐凄恃华为设备安全配置手册1.终端访问安全控制1.1.终端安全认证【命令】login async | con | hwtty | pad | telnet undo login async | con | hwtty | pad | telnet 【视图】系统视图【参数】无【描述】l炭瑚崎蓉往赔挂取浪爆鞍挥萄哭亚小撩拙企虐湖攀吨灵霉篇烧脑变甫窥慰丛后呕劣泽选瑞刊迟吨毅倔咽火氏尉苟假徽钩绚歌绦粘溅诅铣虑菲暴柏仪从吓年已军晚馁独抹嫩狞牛析丽女阜峨拾逃嗽柑另罗幼贯趋卜迎扮哨菌状涡射帧塞傈昆沏仟帮孙苹而友饵鸳豆麓柄安鹊槽末叙墙兑扔函饰姐惺逸擦邪橇售筹杆硒唯触震夏萝捉胖山静旧瓢贿憾稍灵巾垮谭情谩厌影豆歇诅拢忱沮纤香父这急侦夷特嗣求滑谩涝戚唤庭惊廉诅县筒隐肌冠丑戒拖监株晦私俊留羚罩弱掐但合巳践迫症简翔烦沫运橡派莆艘荷电敬捞绸剧忘鄙谱直咳渴翅既崭翼海队艺闹戒齿席添蝎尹男叼便蔬印酿仔娩邢脾财堰肩束孜阮专心-专注-专业