huawei01-13安全典型配置

13 安全典型配置

13.1 配置ACL

13.1.1 使用ACL限制FTP访问权限示例

13.1.2 使用ACL限制用户在特定时间访问特定服务器的权限示例

13.1.3 使用ACL禁止特定用户上网示例

13.1.4 使用自反ACL实现单向访问控制示例

13.1.5 配置特定时间段允许个别用户上网示例

13.1.6 使用ACL限制不同网段的用户互访示例

13.1.7 使用ACL限制内网主机访问外网网站示例

13.1.8 使用ACL限制外网用户访问内网中服务器的权限示例

13.1.9 SNMP中应用ACL过滤非法网管示例

13.2 配置ARP安全

13.2.1 配置ARP安全综合功能示例

13.2.2 配置防止ARP中间人攻击示例

13.3 配置DHCP Snooping

13.3.1 配置DHCP Snooping防止DHCP Server仿冒者攻击示例

13.4 IPSG配置

13.4.1 配置IPSG防止静态主机私自更改IP地址示例

13.4.2 配置IPSG防止DHCP动态主机私自更改IP地址示例

13.4.3 配置IPSG限制非法主机访问内网示例（静态绑定）

13.5 配置端口安全示例

13 安全典型配置

13.1 配置ACL

13.2 配置ARP安全

13.3 配置DHCP Snooping

13.4 IPSG配置

通过示例介绍IPSG如何防止主机私自更改IP地址，提供组网图、配置步骤和配置文件等。

13.5 配置端口安全示例

13.1 配置ACL

13.1.1 使用ACL限制FTP访问权限示例

ACL简介

访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

基于ACL规则定义方式，可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则，对IPv4报文进行过滤。如果只需要根据源IP地址对报文进行过滤，可以配置基本ACL。

本例，就是将基本ACL应用在FTP模块中，实现只允许指定的客户端访问FTP服务器，以提高安全性。配置注意事项

本例中配置的本地用户登录密码方式为irreversible-cipher，表示对用户密码采用不可逆算法进行加密，非法用户无法通过解密算法特殊处理后得到明文密码，安全性较高，该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码，仅能采用cipher方式，表示对用户密码采用可逆算法进行加密，非法用户可以通过对应的解密算法解密密文后得到明文密码，安全性较低。

本举例适用于S系列交换机所有产品的所有版本。

组网需求

如图13-1所示，Switch作为FTP服务器，对网络中的不同用户开放不同的访问权限：

子网1（172.16.105.0/24）的所有用户在任意时间都可以访问FTP服务器。

子网2（172.16.107.0/24）的所有用户只能在某一个时间范围内访问FTP服务器。

其他用户不可以访问FTP服务器。

已知Switch与各个子网之间路由可达，要求在Switch上进行配置，实现FTP服务器对客户端访问权限的设置。

图13-1 使用基本ACL限制FTP访问权限组网图

操作步骤

配置时间段

system-view

[HUAWEI] sysname Switch

[Switch] time-range ftp-access from 0:0 2014/1/1 to 23:59 2014/12/31 //配置ACL生效时间段，该时间段是一个绝对时间段模式的时间段

[Switch] time-range ftp-access 14:00 to 18:00 off-day //配置ACL生效时间段，该时间段是一个周期时间段，ftp-access最终生效的时间范围为以上两个时间段的交集

配置基本ACL

[Switch] acl number 2001

[Switch-acl-basic-2001] rule permit source 172.16.105.0 0.0.0.255 //允许172.16.105.0/24网段的所有用户在任意时间都可以访问FTP服务器

[Switch-acl-basic-2001] rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access //限制172.16.107.0/24网段的所有用户只能在ftp-access时间段定义的时间范围内访问FTP服务器[Switch-acl-basic-2001] rule deny source any //限制其他用户不可以访问FTP服务器

[Switch-acl-basic-2001] quit

配置FTP基本功能

[Switch] ftp server enable //开启设备的FTP服务器功能，允许FTP用户登录

[Switch] aaa

[Switch-aaa] local-user huawei password irreversible-cipher SetUesrPasswd@123 //配置FTP 用户的用户名和密码，其中irreversible-cipher方式的密码仅适用于V200R003C00及以后版本，在V200R003C00之前版本上，仅适用cipher方式密码

[Switch-aaa] local-user huawei privilege level 15 //配置FTP用户的用户级别

[Switch-aaa] local-user huawei service-type ftp //配置FTP用户的服务类型[Switch-aaa] local-user huawei ftp-directory cfcard: //配置FTP用户的授权目录，在盒式交换机上需配置为flash:

[Switch-aaa] quit

配置FTP服务器访问权限

[Switch] ftp acl 2001 //在FTP模块中应用ACL