所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
S1720, S2700, S5700, S6720 V200R010C00 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制和风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、业务与管理隔离配置、安全风险配置、PKI配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
如何实现单向访问控制?

如何实现单向访问控制?

可以通过以下两种方式实现:

说明:

以下命令行表达方式仅是示意形式,实际配置方法请参考各版本的命令行格式。

  • 方式一:流策略

    1. 配置高级ACL

      在系统视图下,执行命令acl [ number ] acl-number [ match-order { auto | config } ]使用编号(3000~3999)创建高级ACL并进入高级ACL视图,或者执行命令acl name acl-name { advance | acl-number } [ match-order { auto | config } ]使用名称创建高级ACL并进入高级ACL视图。

    2. 配置高级ACL规则

      执行命令rule,配置指定tcp-flag参数的高级ACL规则。

      假设,要求192.168.1.0/24网段用户可以主动访问192.168.2.0/24网段用户,但反过来192.168.2.0/24网段用户不能主动访问192.168.1.0/24。

      由TCP建立连接和关闭连接的过程可知,只有在TCP中间连接过程的报文才会ACK=1或者RST=1。根据这个特点,配置如下两种ACL规则,允许TCP中间连接过程的报文通过,拒绝其他TCP报文通过,就可以限制192.168.2.0/24网段主动发起的TCP连接。

      • 类型一:配置指定ackrst参数的ACL规则

        rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack  //允许ACK=1的TCP报文通过       
        rule 10 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag rst   //允许RST=1的TCP报文通过
        rule 15 deny tcp source 192.168.2.0 0.0.0.255  //拒绝其他TCP报文通过
        
      • 类型二:配置指定established参数的ACL规则

        rule permit tcp source 192.168.2.0 0.0.0.255 tcp-flag established  // established表示ACK=1或者RST=1,表示允许TCP中间连接过程的报文通过
        rule deny tcp source 192.168.2.0 0.0.0.255     //拒绝其他TCP报文通过
        
    3. 配置流分类
      1. 在系统视图下,执行命令traffic classifier classifier-name [ operator { and | or } ] [ precedence precedence-value ],进入流分类视图。
      2. 执行命令if-match acl { acl-number | acl-name },配置ACL应用于流分类。
    4. 配置流行为

      在系统视图下,执行命令traffic behavior behavior-name,定义流行为并进入流行为视图。

    5. 配置流动作。

      报文过滤有两种流动作:denypermit。其他流动作,请参见相应版本“配置指南-QoS”中的介绍。

    6. 配置流策略

      1. 在系统视图下,执行命令traffic policy policy-name [ match-order { auto | config } ],定义流策略并进入流策略视图。

      2. 执行命令classifier classifier-name behavior behavior-name,在流策略中为指定的流分类配置所需流行为,即绑定流分类和流行为。

    7. 应用流策略

      在接口视图下,执行命令traffic-policy policy-name { inbound | outbound },应用流策略。

      针对上例,需在设备上连接192.168.2.0/24网段的接口入方向上应用流策略。

  • 方式二:简化流策略

    1. 配置高级ACL和ACL规则(同流策略方式)

    2. 应用简化流策略

      在接口视图下,执行命令traffic-filter { inbound | outbound } acl xxx,应用简化流策略(基于ACL的报文过滤)。

      针对流策略方式中的举例,需在设备上连接192.168.2.0/24网段的接口入方向上应用简化流策略。

翻译
下载文档
更新时间:2019-12-28

文档编号:EDOC1000141410

浏览量:72767

下载量:2231

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页