(整理)华为设备安全配置手册.
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
华为设备安全配置手册
1. 终端访问安全控制
1.1. 终端安全认证
【命令】
login { async | con | hwtty | pad | telnet }
undo login { async | con | hwtty | pad | telnet }
【视图】
系统视图
【参数】
无
【描述】
login命令用来打开终端用户的认证开关。undo login命令用来关闭对终端用户的认证功能。
缺省情况下,关闭对终端用户的认证功能。
可以分别设置五种终端用户的认证功能,以防止未授权用户的非法侵入。
·异步口终端用户(async):在远程配置的方式下,三次认证失败将断
开。
·Console口终端用户(con):控制Console口和AUX口的登录校验,认
证失败将继续要求认证。
·哑终端接入用户(hwtty):三次认证失败将关闭哑终端连接。
·远程X.25 PAD呼叫用户(pad):三次认证失败将关闭X.25 PAD连
接。
·Telnet终端用户(telnet):三次认证失败将关闭该Telnet连接。
【举例】
# 打开Telnet终端用户认证开关。
[Quidway] login telnet
1.2. 终端服1.3. 务属性配置
【命令】
idle-timeout
undo idle-timeout
【视图】
系统视图
【参数】
无
【描述】
idle-timeout命令用来启动与终端用户“定时断开连接”功能,undo idle-timeout命令用来禁止该功能。
缺省情况下,系统启动与终端用户的“定时断开连接”功能。
对于连接到Console口的终端用户,定时断开连接的时间为3分钟;对于哑终端用户,定时断开连接的时间为10分钟;对于通过Modem拨号方式使用哑终端的用户,定时断开连接的时间为6分钟。用户可以通过undo idle-timeout命令关闭该功能,使终端用户永远不断开连接。
【举例】
# 禁止与终端用户的“定时断开连接”功能。
[Quidway] undo idle-timeout
2. 防火墙功能配置
2.1. 允许/禁止防火墙
在报文过滤时,应先打开防火墙功能,这样才能使其它配置生效。
请在系统视图下进行下列配置。
允许/禁止防火墙
2.2. 配置标2.
3. 准访问控制列表
标准访问控制列表序号可取值1~99之间的整数。首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序,然后再使用rule命令配置具体的访问规则。若不配置匹配顺序的话,按照auto方式进行。
请在系统视图(acl命令)和ACL视图(rule命令)下进行下列配置。
配置标准访问控制列表
2.4. 配置扩展访问控制列表
扩展访问控制列表可取值100~199之间的整数。首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序,然后再使用rule命令配置具体的访问规则。若不配置匹配顺序的话,按照auto方式进行。
请在系统视图(acl命令)和ACL视图(rule命令)下进行下列配置。
配置扩展访问控制列表
2.5. 设置防火墙的缺省过滤方式
防火墙的缺省过滤方式是指:当访问规则中没有找到一个合适的匹配规则来判定用户数据包是否可以通过的时候,将根据用户设置的防火墙的缺省过滤方式来决定究竟允许还是禁止报文通过。
请在系统视图下进行下列配置。
设置防火墙缺省过滤方式
2.6. 设置特殊时间段
2.6.1. 允许/禁止按时间段过滤
所谓按时间段过滤是指:在不同的时间段内,采用不同的访问规则对IP数据包进行过滤,这个特性又称为在特别时间段内应用特别的规则(Special Rules For Special Time)。
根据实际使用情况,将时间段分为下列两类:
·特殊时间段:在设定时间段内的时间(由special关键字指定)
·普通时间段:未在设定时间段内的时间(由normal关键字指定)
同样地,访问规则按时间也分为这样两类:
·基于普通时间段的访问规则(Normal Packet-filtering Access Rules)
·基于特殊时间段的访问规则(Timerange Packet-filtering Access Rules)
可为这两类时间段分别定义不同的访问控制列表及访问规则,它们互不影响。在实际使用时,可把它们看成是两套独立的规则,系统在查看当前所处的时间段(普通时间段还是特殊时间段)后决定究竟采用哪套访问规则。比如,当前系统时间是在特殊时间段(由rule special定义)之内,则采用特殊时间段内的访问规则进行过滤;当时间切换到普通时间段(由rule normal定义)后,则采用普通时间段规则进行过滤。
请在系统视图下进行下列配置。
允许/禁止按时间段过滤
2.6.2. 设定特殊时间段
当用户选择了允许按时间段过滤报文的功能后,在用户定义的时间段内,防火墙将采用用户在定义的特殊时间段内的访问规则进行过滤。本次定义特殊时间段将在大约一分钟左右才能生效,上次定义的特殊时间段也将自动作废。
请在系统视图下进行下列配置。
设定特殊时间段
2.7. 配置在接口上应用访问控制列表的规则
若要实现接口对报文的过滤功能,就必须先将相应访问控制列表规则应用到接口上。用户可在一个接口上对接收和发送两个方向的报文分别定义不同的访问控制规则。
请在接口视图下进行下列配置。
配置接口上应用访问控制列表的规则
2.8. 指2.9. 定日志主机
防火墙支持日志功能,当某条访问规则被匹配后,若用户指定了对该规则产生日志,可向日志主机发送日志,由日志主机做记录并保存。
请在系统视图下进行下列配置。
指定日志主机