华为交换机安全防范技术

合集下载

华为交换机的安全准入协议(一)

华为交换机的安全准入协议(一)华为交换机的安全准入协议1. 引言该协议旨在确保华为交换机的安全准入，并规定双方在使用华为交换机时需要遵守的安全规则和标准。

2. 范围该协议适用于所有使用华为交换机的相关方，包括但不限于以下人员：•公司雇员•第三方供应商•承包商•其他希望使用华为交换机的个人或组织3. 安全准入要求以下是使用华为交换机时需遵守的安全准入要求：身份验证•必须使用唯一的个人账户进行身份验证，禁止共享账户和密码。

密码安全•密码必须遵循公司的密码策略并定期更换。

•禁止使用弱密码，包括但不限于生日、常用字母组合等。

•密码不得以明文形式传输或存储。

服务及端口访问控制•禁止通过默认或弱口令访问交换机。

•仅允许授权人员访问相关服务和端口。

•禁止非法修改、删除或关闭任何安全相关的服务或端口。

漏洞管理•及时修补或升级交换机上的安全漏洞，以确保系统的安全性。

•及时应用官方发布的安全补丁和软件更新。

日志记录•启用必要的日志记录功能，并定期检查和审查日志信息。

•禁止删除或篡改日志文件。

4. 安全违规处理对于发生安全违规行为的相关方，将按照公司的安全政策和程序进行处理，包括但不限于：•警告通知•暂停或取消相关方的使用权限•追究相关方的法律责任5. 附则该协议的内容在必要时可进行修改和更新，相关方将被通知并需要重新确认接受修改后的协议内容。

6. 生效与解释该协议自双方签署之日起生效，并适用于所有使用华为交换机的相关方。

在协议执行过程中产生的任何争议，双方应友好协商解决；若协商不成，则提交有管辖权的法院进行裁决。

以上为按照要求所写的华为交换机的安全准入协议模板，如有需要可根据实际情况进行修改。

华为交换机防ARP攻击配置手册

ARP防攻击配置下表列出了本章所包含的内容。

如果您需要……请阅读……了解ARP地址欺骗防攻击的原理和配置ARP地址欺骗防攻击了解ARP网关冲突防攻击的原理和配置ARP网关冲突防攻击配置了解ARP报文防攻击的原理和配置ARP报文防攻击配置了解ARP协议防攻击综合配置举例ARP防攻击配置举例3.1 ARP地址欺骗防攻击3.1.1 ARP地址欺骗防攻击简介ARP协议缺少安全保障机制，维护起来耗费人力，且极易受到攻击。

对于静态配置IP地址的网络，目前只能通过配置静态ARP方式防止ARP表项被非法修改，但是配置繁琐，需要花费大量人力去维护，极不方便；对于动态配置IP地址的网络，攻击者通过伪造其他用户发出的ARP报文，篡改网关设备上的用户ARP表项，可以造成其他合法用户的网络中断。

图3-1 ARP地址欺骗攻击示意图如图3-1所示，A为合法用户，通过交换机G与外界通讯：攻击者B通过伪造A 的ARP报文，使得G设备上A的ARP表项中的相应信息被修改，导致A与G的通讯失败。

对于动态ARP地址欺骗攻击方式，S9500系列交换机可通过以下方法进行防御。

1. 固定MAC地址对于动态ARP的配置方式，交换机第一次学习到ARP表项之后就不再允许通过ARP学习对MAC地址进行修改，直到此ARP表项老化之后才允许此ARP表项更新MAC地址，以此来确保合法用户的ARP表项不被修改。

固定MAC有两种方式：Fixed-mac和Fixed-all。

Fixed-mac方式；不允许通过ARP学习对MAC地址进行修改，但允许对VLAN和端口信息进行修改。

这种方式适用于静态配置IP地址，但网络存在冗余链路的情况。

当链路切换时，ARP表项中的端口信息可以快速改变。

Fixed-all方式；对动态ARP和已解析的短静态ARP、MAC、VLAN和端口信息均不允许修改。

这种方式适用于静态配置IP地址、网络没有冗余链路、同一IP地址用户不会从不同端口接入交换机的情况。

Firehunter APT沙箱安全技术方案

取其中的文件进行未知威胁检测。
从而提升整个网络的安全性。
➢ 网络管理员通过查看FireHunter提供的威胁分析 ➢ 减少安全投资，互联网出口发现威胁，全局管控
报告，制定相应的安全策略，从而进一步提升
整个网络的安全性。
沙箱全场景部署方案
FireHunter6000
数据中心服务器区
FireHunter6000
数据中心边界：重点保护服务器核心资产，发现内网潜伏的攻击、恶意扫描，渗透等
核心部门边界：防范内网可疑文件传播，横向感染核心部门
沙箱全场景部署方案
DMZ区
Web服务器
E
邮件服务器 E 应用服务器 EE
流量/ECA探针
服务器区
E
E
FireHunter WAF
AIFW
FireHunter FireHunter
Source Destination Application URL
Time 0:00:19
File Information
307960772bb54ae42d87e7ad8b1c600ded893fa5
Malware Session Information
192.168.1.200:32854
202.117.3.32:80
传统安全设备基于签名检测
• 针对未知恶意文件无检测能力 • 基于已知样本 • 代码签名匹配 • 具备检测滞后性 • 未知恶意文件样本未知、无法生成签名
基于签名威胁检测机制仍然扮演着重要的角色，实际使用中可检测出60%-70%威胁事件，且检测效率较高。
20% 80%
FireHunter检测机制
FireHunter6000
55%

交换机安全防范技术

交换机安全防范技术在网络实际环境中，随着计算机性能的不断提升，针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严峻，影响越来越猛烈。

交换机作为局域网信息交换的主要设备，特殊是核心、汇聚交换机承载着极高的数据流量，在突发特别数据或攻击时，极易造成负载过重或宕机现象。

为了尽可能抑制攻击带来的影响，减轻交换机的负载，使局域网稳定运行，交换机厂商在交换机上应用了一些平安防范技术，网络管理人员应当依据不同的设备型号，有效地启用和配置这些技术，净化局域网环境。

本文以华为3COM公司的Quidway系列交换机为例，分两期为您介绍常用的平安防范技术和配置方法。

以下您将学到广播风暴掌握技术、MAC地址掌握技术、DHCP掌握技术及ACL技术。

广播风暴掌握技术网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播，都可能引起广播风暴，交换机会把大量的广播帧转发到每个端口上，这会极大地消耗链路带宽和硬件资源。

可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴，避开网络拥塞。

1.广播风暴抑制比可以使用以下命令限制端口上允许通过的广播流量的大小，当广播流量超过用户设置的值后，系统将对广播流量作丢弃处理，使广播所占的流量比例降低到合理的范围，以端口最大广播流量的线速度百分比作为参数，百分比越小，表示允许通过的广播流量越小。

当百分比为100时，表示不对该端口进行广播风暴抑制。

缺省状况下，允许通过的广播流量为100%，即不对广播流量进行抑制。

在以太网端口视图下进行下列配置：broadcast-suppression ratio2.为VLAN指定广播风暴抑制比同样，可以使用下面的命令设置VLAN允许通过的广播流量的大小。

缺省状况下，系统全部VLAN不做广播风暴抑制，即max-ratio 值为100%。

MAC地址掌握技术以太网交换机可以利用MAC地址学习功能猎取与某端口相连的网段上各网络设备的MAC 地址。

华为交换机安全配置基线

华为交换机安全配置基线（Version 1.0）2012年12月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (5)7.3 认证管理 (5)7.3.1 RADIUS认证（可选） (5)7.4 日志审计 (6)7.4.1 RADIUS记账（可选） (6)7.4.2 启用信息中心 (7)7.4.3 远程日志功能 (8)7.4.4 日志记录时间准确性 (8)7.5 协议安全 (8)7.5.1 BPDU防护 (8)7.5.2 根防护 (9)7.5.3 VRRP认证 (9)7.6 网络管理 (10)7.6.1 SNMP协议版本 (10)7.6.2 修改SNMP默认密码 (10)7.6.3 SNMP通信安全（可选） (11)7.7 设备管理 (11)7.7.1 交换机带内管理方式 (11)7.7.2 交换机带内管理通信 (12)7.7.3 交换机带内管理超时 (12)7.7.4 交换机带内管理验证 (13)7.7.5 交换机带内管理用户级别 (13)7.7.6 交换机带外管理超时 (14)7.7.7 交换机带外管理验证 (14)7.8 端口安全 (14)7.8.1 使能端口安全 (14)7.8.2 端口MAC地址数 (15)7.8.3 交换机VLAN划分 (15)7.9 其它 (16)7.9.1 交换机登录BANNER管理 (16)7.9.2 交换机空闲端口管理 (16)7.9.3 禁用版权信息显示 (17)附录A 安全基线配置项应用统计表 (18)附录B 安全基线配置项应用问题记录表 (20)附录C 中国石油NTP服务器列表 (21)1 引言本文档规定了中国石油使用的华为系列交换机应当遵循的交换机安全性设置标准，是中国石油安全基线文档之一。

华为交换机安全基线

华为交换机安全基线
华为交换机安全基线是指在使用华为交换机时，需要遵循的一套安
全配置准则和最佳实践，以确保交换机的安全性和可靠性。

以下是
一些常见的华为交换机安全基线配置要点：
1. 管理口安全：禁用默认管理口，为管理口设置强密码，并限制访
问管理口的IP地址范围。

2. 字典攻击防护：启用密码强度检查功能，配置登录失败锁定策略，限制登录尝试次数。

3. AAA认证和授权：使用AAA认证机制，确保用户身份验证的安全性。

采用RBAC角色权限控制，为不同的用户分配不同的权限。

4. SSH安全：优先使用SSH协议进行交换机访问和管理，并配置安全性较高的SSH版本和密码加密算法。

5. 网络访问控制：配置ACL访问控制列表，限制允许通过交换机的IP地址、端口、协议和服务。

6. 网络流量监测和报警：启用网络流量监测功能，及时发现异常流
量和攻击行为，并设置报警机制。

7. 系统日志和审计：启用系统日志功能，记录关键操作和事件，以便后期追踪和审计。

8. 端口安全：为交换机端口绑定MAC地址，限制端口下连接设备的数量，防止非法设备接入网络。

9. VLAN隔离：使用VLAN隔离不同的用户和设备，限制内部访问和互相通信。

10. 升级和补丁管理：及时升级交换机固件到最新版本，安装安全漏洞的补丁，以防止已知的攻击和漏洞利用。

以上只是一些常见的华为交换机安全基线配置要点，具体安全配置还需根据实际的网络环境和安全需求来进行定制化配置。

建议在配置安全策略前，参考华为官方文档、安全手册和最佳实践指南，确保正确和合适地配置华为交换机的安全性。

基于华为ENSP和Vmware Workstation软件模拟MAC洪泛攻击与防御的实验综述报告

Experience Exchange经验交流DCW209数字通信世界2021.040 引言交换机MAC 泛洪攻击是利用工具不断大量伪造MAC 地址，利用交换机学习MAC 地址没有安全验证机制这一漏洞，攻击者利用虚假物理地址欺骗交换机，交换机的MAC 地址表被填满后，交换机将以广播的方式工作。

攻击者可在网络内任何一台主机上抓取数据包，通过对数据包解密从而窃取重要信息，从而引发交换机的MAC 泛洪攻击事件。

交换机开启端口安全可以在很大程度上防范MAC 泛洪攻击。

本文利用VMware Workstation 和eNSP 工具模拟窃取信息并通过给出安全防御方法。

1 实验内容1.1 实验目标了解交换机MAC 洪泛攻击的原理，并能对其进行有效的防御，掌握攻击步骤和防御方法并能应用到真实环境中。

1.2 实验场景及任务描述某公司准备搭建FTP 服务，用于内部员工进行文件上传和下载等工作需要。

出于安全方面考虑要求设置FTP 服务的用户名和密码。

作为网络安全管理员的你，提出了安全不仅是设置用户名和密码访问FTP 服务就可以解决的，还需要对内部网络设备安全进行配置。

任务一：在BT5上使用攻击工具macof 对网络开展MAC 泛洪攻击，并利用协议分析软件Wireshark 捕获网络中明文传输的FTP 服务器的登录用户名和密码。

任务二：对交换机开启端口安全，阻止攻击机通过其级联端口与交换机通信，防御攻击。

1.2.1 实验拓扑图，见下图1。

图1 实验拓扑图基于华为ENSP 和Vmware Workstation 软件模拟MAC洪泛攻击与防御的实验综述报告董良杰（安徽城市管理职业学院，安徽合肥 230050）摘要：通过VMware Workstation 模拟操作系统、华为 eNSP 模拟网络环境组成的模拟环境对学生直观的讲解攻击的过程和如何防御，加深学生对交换机原理的理解。

同时可以有效解决实验室设备数量功能等受限的问题，方便学生随时学习掌握。

华为交换机防止同网段ARP欺骗攻击配置案例

华为交换机防止同网段ARP欺骗攻击配置案例1阻止仿冒网关IP的arp攻击1.1 二层交换机实现防攻击1.1.1 配置组网图1二层交换机防ARP攻击组网S3552P是三层设备，其中IP：100.1.1.1是所有PC的网关，S3552P上的网关MAC地址为000f-e200-3999。

PC-B上装有ARP攻击软件。

现在需要对S3026_A进行一些特殊配置，目的是过滤掉仿冒网关IP的ARP报文。

1.1.2 配置步骤对于二层交换机如S3026C等支持用户自定义ACL（number为5000到5999）的交换机，可以配置ACL来进行ARP报文过滤。

全局配置ACL禁止所有源IP是网关的ARP报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉，其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式。

Rule1允许通过网关发送的ARP报文，斜体部分为网关的mac地址000f-e200-3999。

注意：配置Rule时的配置顺序，上述配置为先下发后生效的情况。

在S3026C-A系统视图下发acl规则：[S3026C-A] packet-filter user-group 5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文，其它主机都不能发送假冒网关的arp响应报文。

1.2 三层交换机实现防攻击1.2.1 配置组网图2 三层交换机防ARP攻击组网1.2.2 防攻击配置举例对于三层设备，需要配置过滤源IP是网关的ARP报文的ACL规则，配置如下ACL规则：acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0禁止S3526E的所有端口接收冒充网关的ARP报文，其中斜体部分64010105是网关IP 地址100.1.1.5的16进制表示形式。

华为 NGFW安全插板技术白皮书

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：客户服务邮箱：ask_FW_MKT@客户服务电话：4008302118目录1.概述 (6)1.1.网络威胁的变化及下一代防火墙产生 (6)1.2.下一代防火墙的定义 (6)1.3.防火墙插板的使用指南 (7)2.下一代防火墙插板的技术原则 (8)2.1.防火墙的性能模型 (8)2.2.网络隔离 (9)2.3.访问控制 (10)2.4.基于流的状态检测技术 (10)2.5.基于用户的管控能力 (10)2.6.基于应用的管控能力 (11)2.7.应用层的威胁防护 (11)2.8.业务支撑能力 (11)2.9.地址转换能力 (12)2.10.攻击防范能力 (12)2.11.VPN业务 (13)2.12.防火墙的日志系统 (13)3.S交换机防火墙插板技术特点 (14)3.1.灵活的安全区域管理 (14)基于安全区域的隔离 (14)可管理的安全区域 (14)基于安全区域的策略控制 (14)丰富的业务支撑 (15)3.2.安全策略控制 (15)灵活的规则设定 (15)基于时间段的规则管理 (16)高速策略匹配 (16)MAC地址和IP地址绑定 (17)动态策略管理－黑名单技术 (17)3.3.基于流会话的状态检测技术 (17)基于会话管理的核心技术 (17)深度检测 (18)状态检测技术的优势 (19)3.4.ACTUAL感知 (19)ACTUAL概念 (20)Application/应用感知原理 (20)Content/内容感知原理 (22)Time/时间感知原理 (22)User/用户感知原理 (22)Attack/攻击感知原理 (25)Location/位置感知原理 (26)一体化策略 (27)3.5.先进的虚拟防火墙技术 (27)3.6.业务支撑能力 (29)对多通道协议支持完善的安全保护 (29)针对各种业务的数据流管理 (29)业务支持的完整性 (29)支持完善的多媒体业务 (30)3.7.网络地址转换 (30)优异的地址转换性能 (30)灵活的地址转换管理 (30)强大的内部服务器支持 (31)服务器负载分担 (32)强大的业务支撑 (33)无数目限制的PA T方式转换 (33)支持多接口负载分担 (34)3.8.丰富的攻击防御的手段 (34)优秀的Dos防御能力的必要条件 (34)丰富的Dos防御手段 (35)高级的TCP代理防御体系 (35)扫描窥探 (36)畸形报文攻击 (36)应用层DDoS (36)3.9.完善的VPN功能 (37)GRE VPN (37)L2TP VPN (38)IPSEC VPN (38)BGP/MPLS VPN (39)DSVPN (40)SSL VPN (41)3.10.应用层安全 (41)业务感知(SA) (41)入侵防御系统(IPS) (42)反病毒(A V) (43)内容过滤 (44)HTTPS流量防护 (45)3.11.完善的日志报表系统 (45)日志服务器 (46)两种日志输出方式 (46)多种日志信息 (46)4.典型组网 (49)4.1.FW插板三层组网 (49)4.2.FW插板二层组网 (51)华为S交换机NGFW防火墙插板技术白皮书关键词：NGFW、S交换机插板、网络安全、VPN、隧道技术、L2TP、IPSec、IKE摘要：本文详细介绍了S交换机上下一代防火墙插板的技术特点、工作原理等，并提供了防火墙插板选择过程的一些需要关注的技术问题。

华为典型安全场景解决方案

前端系统
1 命令配置到ASG
2 同步场所信息、设备信息
后台系统（公安）
ASG
4 信息同步
Agile Controller
3 信息同步
WLAN AC
6 FTP+BCP方式上传审计数据（用户上网日志、用户网络虚拟身份轨迹）
5 FTP+BCP方式上传审计数据（用户终端上下线日志）
XX地市业务中心（公共无线管控平台）
支持安全+Wlan+LTE款型小型分支多合一安全网关部署
价值
保障IPSec隧道质量，减少网络稳定性对业务流量造成的影响确保分支和总部之间始终使用满足高质量的IPSec隧道通信在IPSec足够稳定安全的情况下，可减少偏远地区对专线租用的依赖。
分支无线非经方案
场所信息、设备信息、安全厂商信息
方案优势：
➢ 可对接24+以上公安网监平台 ➢ 用户上下线的日志通过ASG来发送给后台系统，AC只需把用户上下线的信息同步到ASG，无需和后台系
统对接
数据中心安全解决方案
Internet
FireHunter USG NIP
USG
WAF
DDoS 管理中心 USG
NIP
eLog
eSight
USG
管理中心堡垒机
USG
USG
USG
… 非核心业务区核心业务区 WEB服务应用服务器器
数据灾ቤተ መጻሕፍቲ ባይዱ区
方案说明
在互联网出口，双机部署USG 防火墙对数据中心进行隔离防护，同时部署NIP入侵防御设备，阻断外界对数据中心的应用层攻击,旁路部署 FireHunter沙箱对未知威胁进行检测。
在数据中心的管理区，部署USG或NIP设备，阻断各层面对管理区的威胁，部署UMA堡垒机对运维行为进行监控和审计；

华为设备(交换机)安全配置基线

华为设备（交换机）安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1 用户帐号分配* (5)2.1.2 删除无关的帐号* (6)2.2口令 (7)2.2.1 静态口令以密文形式存放 (7)2.2.2 帐号、口令和授权................................................................ 错误！未定义书签。

2.2.3 密码复杂度 (8)2.3授权 (8)2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1 启用信息中心 (10)3.1.2 开启NTP服务保证记录的时间的准确性 (11)3.1.3 远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1 VRRP认证 (13)4.1.2 系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1 SNMP的Community默认通行字口令强度 (15)4.2.2 只与特定主机进行SNMP协议交互 (16)4.2.3 配置SNMPV2或以上版本 (17)4.2.4 关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1 关闭未使用的接口 (19)5.1.2 修改设备缺省BANNER语 (20)5.1.3 配置定时账户自动登出 (20)5.1.4 配置console口密码保护功能 (21)5.1.5 端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

【免费下载】华为交换机路由器及防火墙技术参数要求

支持端口 VLAN，协议 VLAN，IP 子网 VLAN；
支持 Super VLAN;
支持 Voice VLAN;
支持 IEEE 802.1d(STP)、 802.w(RSTP)、 802.1s(MSTP)
技术要求及指标
对全部高中资料试卷电气设备，在安装过程中以及安装结束后进行高中资料试卷调整试验；通电检查所有设备高中资料电试力卷保相护互装作置用调与试相技互术关，系电，力根通保据过护生管高产线中工敷资艺设料高技试中术卷资，配料不置试仅技卷可术要以是求解指，决机对吊组电顶在气层进设配行备置继进不电行规保空范护载高与中带资负料荷试下卷高问总中题体资，配料而置试且时卷可，调保需控障要试各在验类最；管大对路限设习度备题内进到来行位确调。保整在机使管组其路高在敷中正设资常过料工程试况中卷下，安与要全过加，度强并工看且作护尽下关可都于能可管地以路缩正高小常中故工资障作料高；试中对卷资于连料继接试电管卷保口破护处坏进理范行高围整中，核资或对料者定试对值卷某，弯些审扁异核度常与固高校定中对盒资图位料纸置试，.卷保编工护写况层复进防杂行腐设自跨备动接与处地装理线置，弯高尤曲中其半资要径料避标试免高卷错等调误，试高要方中求案资技，料术编试交写5、卷底重电保。要气护管设设装线备备置敷4高、调动设中电试作技资气高，术料课中并3中试、件资且包卷管中料拒含试路调试绝线验敷试卷动槽方设技作、案技术，管以术来架及避等系免多统不项启必方动要式方高，案中为；资解对料决整试高套卷中启突语动然文过停电程机气中。课高因件中此中资，管料电壁试力薄卷高、电中接气资口设料不备试严进卷等行保问调护题试装，工置合作调理并试利且技用进术管行，线过要敷关求设运电技行力术高保。中护线资装缆料置敷试做设卷到原技准则术确：指灵在导活分。。线对对盒于于处调差，试动当过保不程护同中装电高置压中高回资中路料资交试料叉卷试时技卷，术调应问试采题技用，术金作是属为指隔调发板试电进人机行员一隔，变开需压处要器理在组；事在同前发一掌生线握内槽图部内纸故，资障强料时电、，回设需路备要须制进同造行时厂外切家部断出电习具源题高高电中中源资资，料料线试试缆卷卷敷试切设验除完报从毕告而，与采要相用进关高行技中检术资查资料和料试检，卷测并主处且要理了保。解护现装场置设。备高中资料试卷布置情况与有关高中资料试卷电气系统接线等情况，然后根据规范与规程规定，制定设备调试高中资料试卷方案。

华为交换机,路由器及防火墙技术参数要求

*
攻击防范
能够抵御各种DoS攻击和DDoS攻击，包括：SYN Flood攻击、UDP Flood攻击、ICMP Flood攻击、DNS Flood攻击、ARP攻击、IP Spoofing攻击、LAND攻击、Smurf攻击、Fraggle攻击、Winnuke攻击、Ping of Death攻击、Tear Drop攻击、Http get攻击、CC攻击等；
产品授权*
投标现场提供原厂商针对本项目的授权书原件
成熟度
在网运行超过2年
应标承诺*
投标现场提供原厂商针对本项目投标设备满足参数要求的应标承诺书原件（原厂商签字盖章）
2.
产品主要规格
推荐参数
整机性能和硬件规格
转发性能
≥750Kpps
实配以太网路由端口
≥3*GE
整机未用可扩展插槽数
≥6
主要特性
体系架构
多核CPU和无阻塞交换架构
支持VLAN内端口隔离
支持端口聚合，
支持1:1, N:1端口镜像；
支持流镜像；
支持远程端口镜像（RSPAN）；
支持ERSPAN, 通过GRE隧道实现跨域远程镜像；
支持VCT，端口环路检测
路由特性
路由表≥128K
支持静态路由
ARP≥16K
支持RIP V1、V2, OSPF, IS-IS，BGP
支持IP FRR
支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态报文过滤，支持时间段安全策略设置；最大支持100个虚拟防火墙；VPN支持：IPSec VPN、L2TP VPN、GRE VPN、SSL VPN
支持内置硬件加密；防火墙必须支持一对一、地址池等NAT方式；必须支持必须支持多种应用协议，如FTP、H.323、SIP、ICMP、DNS、PPTP、NAT ALG功能；支持策略NAT功能；支持的NAT功能要多样性，满足实际需求；

结合华为交换机谈谈校园网ARP欺骗的解决方法

4、源主机收到这个 ARP 响应数据包后，将得到的目的主机的 IP 地址和 MAC 地址添加到自己的 ARP 列表中，并利用此信息开始数据的传输。如果源主机一直没有收到 ARP 响应数据包，表示 ARP 查询失败。
例如：A 的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA B 的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
2007 年初，无锡职业技术学院完成了太湖校区校园网的建设，全网采用了华为设备。随着行政区、教学区、学生宿舍、教工宿舍网络的开通，接入用户越来越多，校园网已经成为学校教学、办公，学习、生活中一个重要的组成部分。同时，怎样有效的进行网络管理也逐渐提升到一个非常重要的位置。
由于一开始网络环境相对开放、管理方式较为简单，再加上计算机系统管理比较复杂、网络安全方面投入不足，网络不可避免的出现了一系列的问题：病毒的攻击、环路的产生，ARP 欺骗等。特别是 ARP 欺骗对网络的影响特别频繁，也特别严重，它会造成以下一些问题：
[SWB-Vlan-nterface300]ip address10.16.254.254 255.255.0.0 [SWB]dhcpserverip-pool1 [SWB-dhcp-pool-1]network 10.16.0.0 mask 255.255.0.0 [SWB-dhcp-pool-1]gateway-list 10.16.254.254 3、利用交换机批量绑定 MAC+IP 防止 ARP 欺骗使用可防御 ARP 攻击的三层交换机，绑定端口+MAC+IP，限制 ARP 流量，及时发现并自动阻断 ARP 攻击端口，合理划分 VLAN，彻底阻止盗用 IP、MAC 地址，杜绝 ARP 的攻击。具体配置为 arp static <IP 地址> <MAC 地址>。这是一种比较简单，直观的方法，而且也是解决力度较强的一种方法。有些人可能认为这种方法比较繁琐、工作量大，但是实际操作起来却比较简单：将三层交换机上的 ARP 表复制到记事本，利用替换的方式加上头部 arp static，然后在交换机的视图模式下粘贴即可。四、结束语此处列举了部分 Quidway S 系列以太网交换机的应用。在实际的网络应用中，需要根据配置手册确认该产品是否支持用户自定义 ACL 和地址绑定。仅仅具有上述功能的交换机才能防止 ARP 欺骗。最后希望校园网用户应时刻注意查杀病毒，在系统比较干净的情况下安装学院提供的趋势杀毒软件，并且及时下载和更新操作系统的补丁程序，增强个人计算机防御计算机病毒的能力。校园网是公共服务设施，保障网络安全不仅是信息中心的工作，更是每位网络用户应尽的义务，只有依靠大家群策群力、群防群治，网络才能长治久安。

华为交换机路由器及防火墙技术参数要求

设备详细技术参数要求1. 核心交换机设备技术要求功能大类技术要求及指标整机背板容量≥2.4Tbps*交换容量≥1.44Tbps*包转发率≥860Mpps业务槽位≥6支持独立双主控整机万兆端口密度>=72个（除了用于堆叠的万兆接口）支持全分布式转发支持无源背板支持风扇冗余，支持风扇模块分区管理，支持风扇自动调速提供整机高度数据电源要求支持分区供电，颗粒化电源，支持N+N电源冗余（AC和DC均支持）模块要求支持标准SFP, XFP, SFP+模块（支持标准SFP, XFP）万兆单板端口密度≥12千兆单板光接口密度>=48堆叠支持主控板堆叠，实配硬件用于堆叠，不占用业务槽位堆叠带宽>=256G单板要求要求所有配置单板能进行IPV4，IPV6，MPLS VPN线速转发二层功能支持整机MAC地址>128K；支持静态MAC；支持DHCP Client, DHCP Server，DHCP Relay；支持Option 82；支持4K VLAN支持1：1，N：1 VLAN mapping支持端口VLAN，协议VLAN，IP子网VLAN；支持Super VLAN;支持Voice VLAN;支持IEEE 802.1d(STP)、 802.w(RSTP)、 802.1s(MSTP) 支持VLAN内端口隔离支持端口聚合，支持1:1, N:1端口镜像；支持流镜像；支持远程端口镜像（RSPAN）；支持ERSPAN, 通过GRE隧道实现跨域远程镜像；支持VCT，端口环路检测路由特性路由表≥128K支持静态路由ARP≥16K支持RIP V1、V2, OSPF, IS-IS，BGP支持IP FRR支持路由协议多实例支持GR for OSPF/IS-IS/BGP支持策略路由*所有实际配置板卡支持MPLS分布式处理，全线速转发支持MPLS TE支持L3 VPNQoS ACL≥32K支持SP, WRR,DWRR,SP+WRR, SP+DWRR调度方式；支持双向CAR；提供广播风暴抑制功能；支持WRED；安全性支持DHCP Snooping trust, 防止私设DHCP服务器；支持DHCP snooping binding table (DAI, IP source guard), 防止ARP攻击、DDOS攻击、中间人攻击；支持BPDU guard， Root guard。

华为设备(交换机)安全配置基线

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

华为S2700 S3700系列交换机 01-10 安全

10安全关于本章本章主要介绍安全管理的相关概念和相关配置，主要包括：端口隔离、用户静态绑定、AAA配置、802.1X和MAC认证。

10.1 端口隔离提供配置和查询隔离模式、双向隔离、单向隔离的功能。

S2700SI系列交换机不支持此功能。

10.2 用户静态绑定用户静态绑定信息由用户手工配置，支持的绑定方式包括IP+PORT、MAC+PORT、IP+MAC+PORT、IP+PORT+VLAN、MAC+PORT+VLAN、IP+MAC+PORT+VLAN。

S2700SI系列交换机不支持此功能。

10.3 AAA配置AAA是Authentication，Authorization，Accounting（认证、授权和计费）的简称，它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。

在S2700系列交换机中仅是支持用户管理功能。

10.4 802.1X介绍802.1X的基本配置包括全局和接口802.1X参数配置。

10.5 MAC认证介绍MAC地址认证的基本配置包括全局配置和接口配置，使用MAC地址认证的特性。

10.1 端口隔离提供配置和查询隔离模式、双向隔离、单向隔离的功能。

S2700SI系列交换机不支持此功能。

端口隔离模式可以配置为二层三层都隔离或者二层隔离三层互通，最常用的就是同一个小组成员两两之间不能二层互通，却可以通过访问公共资源。

如打印机、服务器等。

10.1.1 双向隔离提供配置隔离模式和双向隔离的新建、查询、修改、删除的功能。

背景信息●同一端口隔离组的接口之间互相隔离，不同端口隔离组的接口之间不隔离。

●交换机支持64个隔离组，编号为1～64。

操作步骤●配置隔离模式说明●缺省情况下，端口隔离模式为L2(二层隔离三层互通)。

●隔离模式选择应用后，会把双向隔离和单向隔离的配置都应用于该模式。

●切换下方的双向隔离和单向隔离标签不影响隔离模式的配置功能。

●S2700（除S2700-52P-PWR-EI）系列交换机不支持此功能。

浅谈华为核心交换机的安全配置

局域网环境。本文将以华为３ＯＣＭ公司的Ｑｉｗｙ系列核心ｕｄａ
例：允许ＶＡ２中通过２％的广播报文流量。ＬＮ０
＜Ｃｓｓｅ－ｉｗＨ３＞ｙｔｍ— ｅｖＳｓｍｅｒｔｍｅｅｔｔｌＺｙｔＶｉｗ：ｅｕｔＵｓｒｅｏＶｉｗｗｉＣｒ＋．ｈ
在网络实际环境中，随着计算机性能的不断提
广播流量为１０即不对广播流量进行抑制。以０％，在
太网端口视图下进行下列配置：
ｂｏｄａｔｓｐｒｓｉｎｒｔｒａｃｓ－ｕｐｅｓｏｉａｏ
升，针对网络中的交换机、路由器或其它计算机等
陈京海
（安徽交通技术学校，安徽池州２７０４００）
［要】文主要介绍了在局域网环境中，为Ｑｉｗｙ核心交换机的一些安全技术，摘本华ｕｄａ以及配置的方法，过这些安全技术的合理配通
设备的攻击趋势越来越严重，响越来越剧烈［交影１】。
换机作为局域网信息交换的主要设备，特别是核心、汇聚交换机承载着极高的数据流量，在突发异
常数据或攻击时，极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响，轻交换机的负减
置。们可以提高网络环境的安全性和稳定性。我
［键字】为；心交换机；关华核安全；配置［图分类号】Ｐ０中Ｔ２［献标识码】文Ａ［章编号】ｌ７ — ０２０）３０７０文６４１１２（０８０ —０５ — ４

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

在网络实际环境中，随着计算机性能的不断提升，针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重，影响越来越剧烈。

交换机作为局域网信息交换的主要设备，特别是核心、汇聚交换机承载着极高的数据流量，在突发异常数据或攻击时，极易造成负载过重或宕机现象。

为了尽可能抑制攻击带来的影响，减轻交换机的负载，使局域网稳定运行，交换机厂商在交换机上应用了一些安全防范技术，网络管理人员应该根据不同的设备型号，有效地启用和配置这些技术，净化局域网环境。

本文以华为3COM公司的Quidway系列交换机为例，分两期为您介绍常用的安全防范技术和配置方法。

以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。

广播风暴控制技术网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播，都可能引起广播风暴，交换机会把大量的广播帧转发到每个端口上，这会极大地消耗链路带宽和硬件资源。

可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴，避免网络拥塞。

当百分比为100时，表示不对该端口进行广播风暴抑制。

缺省情况下，允许通过的广播流量为100%，即不对广播流量进行抑制。

在以太网端口视图下进行下列配置：broadcast-suppression ratio2.为VLAN指定广播风暴抑制比同样，可以使用下面的命令设置VLAN允许通过的广播流量的大小。

缺省情况下，系统所有VLAN不做广播风暴抑制，即max-ratio值为100%。

MAC地址控制技术以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。

对于发往这些MAC地址的报文，以太网交换机可以直接使用硬件转发。

如果MAC地址表过于庞大，可能导致以太网交换机的转发性能的下降。

MAC攻击利用工具产生欺骗的MAC地址，快速填满交换机的MAC表，MAC表被填满后，交换机会以广播方式处理通过交换机的报文，流量以洪泛方式发送到所有接口，这时攻击者可以利用各种嗅探工具获取网络信息。

TRUNK接口上的流量也会发给所有接口和邻接交换机，会造成交换机负载过大，网络缓慢和丢包，甚至瘫痪。

可以通过设置端口上最大可以通过的MAC地址数量、MAC地址老化时间，来抑制MAC攻击。

1.设置最多可学习到的MAC地址数通过设置以太网端口最多学习到的MAC地址数，用户可以控制以太网交换机维护的MAC地址表的表项数量。

如果用户设置的值为count，则该端口学习到的MAC地址条数达到count 时，该端口将不再对MAC地址进行学习。

缺省情况下，交换机对于端口最多可以学习到的MAC地址数目没有限制。

在以太网端口视图下进行下列配置：mac-address max-mac-count count2.设置系统MAC地址老化时间设置合适的老化时间可以有效实现MAC地址老化的功能。

用户设置的老化时间过长或者过短，都可能导致以太网交换机广播大量找不到目的MAC地址的数据报文，影响交换机的运行性能。

如果用户设置的老化时间过长，以太网交换机可能会保存许多过时的MAC地址表项，从而耗尽MAC地址表资源，导致交换机无法根据网络的变化更新MAC地址表。

如果用户设置的老化时间太短，以太网交换机可能会删除有效的MAC地址表项。

一般情况下，推荐使用老化时间age的缺省值300秒。

在系统视图下进行下列配置: mac-address timer { aging age | no-aging }使用参数no-aging时表示不对MAC地址表项进行老化。

3．设置MAC地址表的老化时间这里的锁定端口就是指设置了最大学习MAC地址数的以太网端口。

在以太网端口上使用命令mac-address max-mac-count设置端口能够学习的最大地址数以后，学习到的MAC地址表项将和相应的端口绑定起来。

如果某个MAC地址对应的主机长时间不上网或已移走，它仍然占用端口上的一个MAC地址表项，从而造成MAC地址在这5个MAC地址以外的主机将不能上网。

此时可以通过设置锁定端口对应的MAC地址表的老化时间，使长时间不上网的主机对应的MAC地址表项老化，从而使其他主机可以上网。

缺省情况下，锁定端口对应的MAC地址表的老化时间为1小时。

在系统视图下进行下列配置：lock-port mac-aging { age-time | no-age }DHCP控制技术DHCP Server可以自动为用户设置IP地址、掩码、网关、DNS、WINS等网络参数，解决客户机位置变化（如便携机或无线网络）和客户机数量超过可分配的IP地址的情况，简化用户设置，提高管理效率。

但在DHCP管理使用上，存在着DHCP Server冒充、DHCP Server的Dos攻击、用户随意指定IP地址造成网络地址冲突等问题。

1．三层交换机的DHCP Relay技术早期的DHCP协议只适用于DHCP Client和Server处于同一个子网内的情况，不可以跨网段工作。

因此，为实现动态主机配置，需要为每一个子网设置一个DHCP Server，这显然是不经济的。

DHCP Relay的引入解决了这一难题：局域网内的DHCP Client可以通过DHCP Relay与其他子网的DHCP Server通信，最终取得合法的IP地址。

这样，多个网络上的DHCP Client可以使用同一个DHCP Server，既节省了成本，又便于进行集中管理。

DHCP Relay配置包括：（1）配置IP 地址为了提高可靠性，可以在一个网段设置主、备DHCP Server。

主、备DHCP Server构成了一个DHCP Server组。

可以通过下面的命令指定主、备DHCP Server 的IP地址。

在系统视图下进行下列配置:dhcp-server groupNo ip ipaddress1 [ ipaddress2 ]（2）配置VLAN接口对应的组在VLAN接口视图下进行下列配置：dhcp-server groupNo（3）使能/禁止VLAN 接口上的DHCP安全特性使能VLAN接口上的DHCP安全特性将启动VLAN接口下用户地址合法性的检查，这样可以杜绝用户私自配置IP地址扰乱网络秩序，同DHCP Server配合，快速、准确定位病毒或干扰源。

在VLAN接口视图下进行下列配置：address-check enable（4）配置用户地址表项为了使配置了DHCP Relay的VLAN内的合法固定IP地址用户能够通过DHCP安全特性的地址合法性检查，需要使用此命令为固定IP地址用户添加一条IP地址和MAC地址对应关系的静态地址表项。

如果有另外一个非法用户配置了一个静态IP地址，该静态IP地址与合法用户的固定IP地址发生冲突，执行DHCP Relay功能的以太网交换机，可以识别出非法用户，并拒绝非法用户的IP与MAC 地址的绑定请求。

在系统视图下进行下列配置：dhcp-security static ip_address mac_address2．其它地址管理技术在二层交换机上，为了使用户能通过合法的DHCP服务器获取IP地址，DHCP-Snooping安全机制允许将端口设置为信任端口与不信任端口。

其中信任端口连接DHCP服务器或其他交换机的端口；不信任端口连接用户或网络。

不信任端口将接收到的DHCP服务器响应的DHCPACK和DHCPOFF报文丢弃；而信任端口将此DHCP报文正常转发，从而保证了用户获取正确的IP地址。

（1）开启/关闭交换机DHCP-Snooping 功能缺省情况下，以太网交换机的DHCP-Snooping功能处于关闭状态。

在系统视图下进行下列配置，启用DHCP-Snooping功能：dhcp-snooping（2）配置端口为信任端口缺省情况下，交换机的端口均为不信任端口。

在以太网端口视图下进行下列配置：dhcp-snooping trust(3)配置VLAN接口通过DHCP方式获取IP地址在VLAN 接口视图下进行下列配置:ip address dhcp-alloc（4）访问管理配置——配置端口/IP地址/MAC地址的绑定可以通过下面的命令将端口、IP地址和MAC地址绑定在一起，支持Port+IP、Port+MAC、Port+IP+MAC、IP+MAC绑定方式，防止私自移动机器设备或滥用MAC地址攻击、IP地址盗用攻击等，但这种方法工作量巨大。

ACL（访问控制列表）技术为了过滤通过网络设备的数据包，需要配置一系列的匹配规则，以识别需要过滤的对象。

在识别出特定的对象之后，网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。

访问控制列表（Access Control List，ACL）就是用来实现这些功能。

ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。

ACL应用在交换机全局或端口，交换机根据ACL中指定的条件来检测数据包，从而决定是转发还是丢弃该数据包。

访问控制列表又可分为以下几种类型。

基本访问控制列表：根据三层源IP制定规则，对数据包进行相应的分析处理。

高级访问控制列表：根据源IP、目的IP、使用的TCP或UDP端口号、报文优先级等数据包的属性信息制定分类规则，对数据包进行相应的处理。

高级访问控制列表支持对三种报文优先级的分析处理：TOS(Type Of Service)优先级、IP优先级和DSCP优先级。

二层访问控制列表：根据源MAC地址、源VLAN ID、二层协议类型、报文二层接收端口、报文二层转发端口、目的MAC地址等二层信息制定规则，对数据进行相应处理。

用户自定义访问控制列表：根据用户的定义对二层数据帧的前80个字节中的任意字节进行匹配，对数据报文作出相应的处理。

正确使用用户自定义访问控制列表需要用户对二层数据帧的构成有深入的了解。

访问控制列表在网络设备中有着广泛的应用，访问控制列表配置、启用包括以下几个步骤，最好依次进行，其中前两个步骤可以不用配置，采用默认值。

(1)配置时间段在系统视图下使用time-range命令配置时间段。

例如，如果想在每周的上班时间8:00–16:00控制用户访问，可以使用下面的命令:time-range ourworingtime 8:00 to 16:00 working-day(2)选择交换机使用的流分类规则模式交换机只能选择一种流分类规则模式：二层ACL模式或者三层ACL模式。