华为Secpath典型配置案例时间:2007-01-03 21:27:48 来源: 作者:whsong 点击:376次 出处:技术无忧关键字:华为
1 时间段访问控制列表(ACL): 功能需求及组网说明:
『组网需求』:
要求内部用户,在8:00-12:00和13:30-18:00可以出公网,其它的时间都不可以出公网 『配置实例』:
1. 在系统视图下配置时间段:
[Secpath] time-range huawei1 08:00 to 18:00 daily [Secpath] time-range huawei2 12:00 to 13:30 daily
2. 配置高级访问控制列表: [Secpath] acl number 3001
[Secpath-acl-adv-3001] rule deny ip time-range huawei2 [Secpath-acl-adv-3001] rule permit ip time-range huawei1 [Secpath-acl-adv-3001] rule deny ip
3. 进入内网接口视图,下发时间段ACL规则:
[Secpath-GigabitEthernet0/1] firewall packet-filter 3001 inbound
4.对于其它的规则配置请查看操作手册。
『注意事项』:
1、在同一个名字下可以配置多个时间段,这些时间段是“或”关系。
2、在SECPATH系列产品中,只有SECPATH10F是不可以保存系统时间的,重启设备后,时间就会丢失。 3、要将基于MAC地址的访问控制列表应用到接口上,防火墙必须工作在透明模式下,否则系统会提示“Please firstly active the Transparent mode !”。
2 地址转换(NAT):
『配置实例』:
1.配置域名与外部地址、端口号、协议类型之间的映射。 [Secpath] nat dns-map www.zc.com 10.153.49.197 80 tcp [Secpath] nat dns-map ftp.zc.com 10.153.49.197 21 tcp
2.相关NAT地址转换及映射配置,请参考手册。
『注意事项』:
1、地址池转换方式是实现多对多地址转换 2、NAPT的转换方式是多对一地址转换。
3、NAT ALG是解决特殊协议穿越NAT的一种常用方式,此种方式对载荷中的IP地址和端口号进行替换,从而实现对该协议的透明中继。目前VRP的NAT ALG支持PPTP、DNS、FTP、ILS、NBT、SIP、H.323等协议。
3 防火墙特性: 功能需求及组网说明
3.1 透明模式 『功能说明』:
当防火墙工作在透明模式时,防火墙表现为透明网桥,但防火墙和网桥存在不同,因为防火墙收到IP报文后,会到上层进行相关过滤处理,此外还可防攻击检查,如ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。而网桥是不行的。
『配置实例』:
1. 配置防火墙工作在透明模式:(必配) [Secpath]firewall mode transparent
2. 配置防火墙的管理IP地址,此地址可用在TELNET、SNMP等管理中。 [Secpath]firewall system-ip 192.168.1.1 255.255.255.0
3. 配置防火墙对未知目的MAC地址的IP报文的处理方式。默认情况单播采用“arp”方式处理,广播和组播都是采“drop”方式处理。 [Secpath]firewall unknown-mac flood
4. 配置其它参数,请参考手册。
『注意事项』:
1、当透明模式防火墙在某接口接收到广播帧或多播帧时,会向其它接口进行转发。(查找MAC地址表成功后,转发)
2、在同一个物理网段上,透明模式防火墙对此帧进行过滤,不转发该帧。(查找MAC地址表成功后,不转发)
3、目的未知的MAC地址帧,透明模式防火墙会向除发送该帧的源接口外的其它所有接口进行转发。(查找MAC地址表失败后,转发)
4、基于MAC地址的访问控制列表,只能在透明模式下配置。 5、在透明模式下,MAC地址表老化的时间是300秒。
3.2 ASPF配置 『组网需求』:
要求内部网络用户发起的FTP连接的返回报文,允许其通过防火墙进入内部网络,其他报文被禁止。例:要求192.168.1.100向10.153.49.41发起FTP连接的返回报文,允许通过SECPATH进入到内部网络。
『配置实例』:
1. 将SECPATH产品默认规则改为“permit”,因为目前VRP3.4-0006的版本默认规则是“deny”。 [Secpath]firewall packet-filter default permit 2. 在配置访问控制列表3333拒绝所有TCP和UDP流量进入内部网络,通过ASPF来允许返回的报文(通过临时访问控制列表来判断)进入内部网络。 [Secpath]acl number 3333 [Secpath-acl-adv-3333] rule deny ip
3. 配置ASPF策略来检测应用层FTP等协议,默认FTP协议的超时时间为3600秒。 [Secpath]aspf-policy 1
[Secpath-aspf-policy-1]detect ftp
5. 在外网接口上应用ASPF策略,用来检测内部FTP协议。 [Secpath-GigabitEthernet0/1]firewall aspf 1 outbound
6. 在外网接口上应用访问控制列表3333,用来过滤非FTP协议的报文。 [Secpath-GigabitEthernet0/1]firewall packet-filter 3333 inbound 7. 当ASPF检测到会话后。 [Secpath]dis aspf sess [已建立的会话]
会话 源发方 响应方 应用协议 状态 -----------------------------------------------------------------------
0x265E7864 192.168.1.254:1027 10.153.49.41:21 ftp FTP_CONXN_UP
『注意事项』:
1、在配置ASPF时,必须和静态访问控制列表结合使用。
2、在配置传输层协议检测时,对于FTP,H.323这样的多通道应用层协议,在不配置应用层检测而直接配置TCP检测的情况下会导致连接无法建立。
3、当接口同时下发ASPF和ACL策略时,ASPF先生效。
4、目前ASPF可检测应用层协议包括:ftp、http、h323、smtp、rtsp;传输层协议包括:tcp、udp 。 5、此配置也适合在透明模式下使用。
3.3 黑名单 『组网需求』:
要求将内部用户“192.168.1.254”用户手动设置成黑名单用户,并将攻击的用户自动加入到黑名单中。
『配置实例』:
1. 在系统视图下使能黑名单功能。 [Secpath]firewall blacklist enable
2. 手动添加“192.168.1.254” 客户机地址到黑名单表项中。
[Secpath]firewall blacklist 192.168.1.254 timeout 10(十分钟后自动解除,不配置timeout,将永久有效。) [Secpath]dis firewall blacklist item Firewall blacklist item :
Current manual insert items : 1 Current automatic insert items : 0 Need aging items : 1
IP Address Insert reason Insert time Age time(minutes) -------------------------------------------------------------------------- 192.168.1.254 Manual 2006/02/28 11:31:01 10
3. 自动添加客户地址到黑名单表项的前提是,通过统计攻击首的信息。 [Secpath]firewall zone trust
[Secpath-zone-trust]statistic enable ip inzone [Secpath-zone-trust]statistic enable ip outzone [Secpath]firewall zone untrust
[Secpath-zone-untrust]statistic en ip inzone [Secpath-zone-untrust]statistic en ip outzone 4. 在全局开启攻击防范功能。 [Secpath]firewall defend all
『注意事项』:
1、黑名单表项中使用命令行多次配置同一IP地址的表项到黑名单中,则后配置的表项会覆盖原有表项。 2、如果防火墙相关模块准备向黑名单插入的IP地址已经存在于黑名单之中,则老化时间长的表项会被保留。
3、通过Telnet方式登录防火墙时,如果连续三次输错密码,系统也自动将Telnet客户端的IP地址添加到黑名单中,并设置老化时间为10分钟。
4、攻击防范模块察觉到特定IP地址的攻击之后,会将这个IP地址自动插入到黑名单表中。 5、如果将客户地址加入到黑名单后,所有从客户机发出的ICMP报文都会被防火墙过滤掉。
3.4 MAC和IP地址绑定 『组网需求』:
要求将客户机“192.168.1.100”的MAC和IP地址绑定,来避免IP地址假冒攻击的一种方式。
『配置实例』:
1. 配置客户机“192.168.1.100”的IP地址和MAC地址的绑定。 [Secpath]firewall mac-binding 192.168.1.100 000f-e200-da32 2. 在系统视图下使能地址绑定功能。
[Secpath]firewall mac-binding enable 3. 查看绑定信息。
[Secpath]dis firewall mac-binding item Firewall Mac-binding item(s) : Current items : 1
192.168.1.100 000f-e200-da32
『注意事项』:
1、在配置MAC和IP地址绑定时,同一个MAC地址可以同多个不同的IP地址绑定。
2、如果配置静态ARP时已经存在相同IP地址的地址绑定关系表项,该静态ARP将配置失败,同时返回提示信息;如果配置的地址绑定关系中的IP地址已经存在于静态ARP表中,则静态ARP表中的表项将被删除。
3、MAC和IP地址绑定对于PPPoE的地址是不起作用的,因为以太帧上面承载的是PPP报文,所以无法进行判断和处理。
4、当配置MAC和IP地址绑定功能后,下接所有客户机都必须配置MAC和IP地址绑定,否则不可能过防火墙。
5、如果将PC的IP改为192.168.1.101,此时还可上网。这是因为绑定关系中只以IP为索引进行查找。不以mac为索引查找。所以只有当发现IP为 192.168.1.100且其 MAC不是000f-e200-da32才不能上网。
3.5 Web地址、内容过滤及SQL攻击防范功能 『组网需求』: 要求“192.168.1.100”不可访问外部的www.163.com、www.sohu.com网址,而且载入“123.txt”文件过滤掉网页内容,并将缺省的SQL攻击防范开启。 『配置实例』:
1. 要求参考“ASPF配置”,开启“HTTP、TCP”检测,并在“trust和untrust”域中开启报文统计功能。 2. 在系统视图分别开启Web地址、内容过滤功能及SQL注入攻击防范。 [Secpath]firewall url-filter host enable [Secpath]firewall webdata-filter enable
[Secpath]firewall url-filter parameter enable 3. 在系统视图下配置网址过滤。
[Secpath]firewall url-filter host add deny www.163.com [Secpath]firewall url-filter host add deny www.sohu.com [Secpath]dis firewall url-filter host item-all SN Match-Times Keywords
---------------------------------------------- 1 0 www.163.com 2 0 www.sohu.com
4. 在系统视图下配置WEB内容过滤。 [Secpath]firewall webdata-filter load-file 123.txt [Secpath]dis fir webdata-filter item-all SN Match-Times Keywords
---------------------------------------------- 1 0 gogo 2 0 安全
5. 在系统视图下配置缺省的SQL攻击防范开启,也可手动添加。 [Secpath]firewall url-filter parameter add-default