H3C防火墙配置说明书

H3C防火墙配置说明

华三通信技术

所有侵权必究

All rights reserved

相关配置方法：

配置OSPF验证

从安全性角度来考虑，为了避免路由信息外泄或者对OSPF路由器进行恶意攻击，OSPF提供报文验证功能。

OSPF路由器建立邻居关系时，在发送的报文中会携带配置好的口令，接收报文时进行密码验证，只有通过验证的报文才能接收，否则将不会接收报文，不能正常建立邻居。

要配置OSPF报文验证，同一个区域的所有路由器上都需要配置区域验证模式，且配置的验证模式必须相同，同一个网段的路由器需要配置相同的接口验证模式和口令。

表1-29 配置OSPF验证

提高IS-IS 网络的安全性

在安全性要求较高的网络中，可以通过配置IS-IS 验证来提高IS-IS

网络的安全性。IS-IS 验证特性分为邻居关系的验证和区域或路由域的验证。

配置准备

在配置IS-IS 验证功能之前，需完成以下任务：

•配置接口的网络层地址，使相邻节点网络层可达 •使能IS-IS 功能

配置邻居关系验证

配置邻居关系验证后，验证密码将会按照设定的方式封装到Hello 报文中，并对接收到的Hello 报文进行验证密码的检查，通过检查才会形成邻居关系，否则将不会形成邻居关系，用以确认邻居的正确性和有效性，防止与无法信任的路由器形成邻居。 两台路由器要形成邻居关系必须配置相同的验证方式和验证密码。

表1-37 配置邻居关系验证

操作命令说明

配置邻居关系验证方式

和验证密码

isis authentication-mode{ md5 | simple}

[ cipher ] password [ level-1 | level-2 ] [ ip |

osi ]

必选

缺省情况下，接口没有配置邻居关

系验证，既不会验证收到的Hello报

文，也不会把验证密码插入到Hello

报文中

参数level-1和level-2的支持情况和

产品相关，具体请以设备的实际情

况为准

必须先使用isis enable命令使能该接口才能进行参数level-1和level-2的配置。

如果没有指定level-1或level-2参数，将同时为level-1和level-2的Hello报文配置验证方式及验证密码。

如果没有指定ip或osi参数，将检查Hello报文中OSI的相应字段的配置容。

配置区域验证

通过配置区域验证，可以防止将从不可信任的路由器学习到的路由信息加入到本地Level-1

的LSDB中。

配置区域验证后，验证密码将会按照设定的方式封装到Level-1报文（LSP、CSNP、PSNP）

中，并对收到的Level-1报文进行验证密码的检查。

同一区域的路由器必须配置相同的验证方式和验证密码。

表1-38 配置区域验证

操作命令说明进入系统视图system-view-

进入IS-IS视图isis [ process-id ] [ vpn-instance vpn-instance-name ] -

配置路由域验证

通过配置路由域验证，可以防止将不可信的路由信息注入当前路由域。

配置路由域验证后，验证密码将会按照设定的方式封装到Level-2报文（LSP、CSNP、PSNP）中，并对收到的Level-2报文进行验证密码的检查。

所有骨干层（Level-2）路由器必须配置相同的验证方式和验证密码。

表1-39 配置路由域验证

配置BGP的MD5认证

通过在BGP对等体上配置BGP的MD5认证，可以在以下两方面提高BGP的安全性：

• 为BGP建立TCP连接时进行MD5认证，只有两台路由器配置的密码相同时，才能建立TCP连接，从而避免与非法的BGP路由器建立TCP连接。

•传递BGP报文时，对封装BGP报文的TCP报文段进行MD5运算，从而保证BGP 报文不会被篡改。

表1-41 配置BGP的MD5认证

操作

命令说明

进入系统视图system-view-

进入BGP视图或BGP-VPN 实例视图进入BGP视

图

bgp as-number

二者必选其一进入

BGP-VPN实

例视图

bgp as-number

ipv4-family vpn-instance

vpn-instance-name

配置BGP的MD5认证peer{ group-name| ip-address}

password{ cipher| simple}

password

必选

缺省情况下，BGP不进行

MD5认证

安全要求-设备-防火墙-功能-2防火墙应具备记录VPN日志功能，记

录VPN访问登陆、退出等信息。

待确认暂不支持

安全要求-设备-防火墙-功能-5 防火墙应具备日志容量告警功能，在日

志数达到指定阈值时产生告警。

待确认暂不支持

安全要求-设备-防火墙-功能-3防火墙应具备流量日志记录功能，记录

通过防火墙的网络连接。

待确认支持

Userlog日志设置（Fl ow日志）

要生成Userlog日志，需要配置会话日志功能，详细配置请参见“1.6 会话日志”。

Userlog日志简介

Userlog日志是指用户访问外部网络流信息的相关记录。设备根据报文的5元组（源IP地址、目的IP地址、源端口、目的端口、协议号）对用户访问外部网络的流进行分类统计，并生成Userlog日志。Userlog日志会记录报文的5元组和发送、接收的字节数等信息。网络管理