所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 安全加固 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
安全区域隔离

安全区域隔离

由于路由器的配置模型和业务极其复杂,访问控制策略也会变得非常复杂。基于安全区域隔离的逻辑模型,能够较好的描述路由器的安全防御策略。

图7-4  路由器安全访问控制策略模型

通过将路由器的对外接口划分成三个安全区域:

  • 运营商管理网络区域
  • 用户驻地网络区域
  • Internet公共网络区域

采取如下的访问控制模型,能够达到较高的安全防御目标:

表7-3  安全访问控制策略

访问通道

管理网络区域

驻地网络区域

互联网区域

Telnet/SSH/SNMP/Radius/TACACS/Syslog Mgmt

信任,允许访问

不可信,拒绝

不可信,拒绝

IPoE

不可信,拒绝

信任,允许访问

不可信,拒绝

RIP/OSPF/BGP/ISIS internetworking

不可信,拒绝

不可信,拒绝

信任,允许访问

通过部署访问控制策略,避免来自不可信网络的访问对路由器造成安全隐患。

配置隔离不同区域用户通过Telnet登录设备示例

组网需求

图7-5所示,Device左侧连接驻地网络区域,接口为GE1/0/2,网段为10.1.2.0/24,Device上端连接管理区域网络,接口为GE1/0/1,网段为10.1.1.0/24,Device右侧连接互联网,接口为GE1/0/3,网段为10.1.3.0/24。

为了保证设备的安全性,需要允许管理区域用户通过Telnet登录到Device,禁止驻地网络区域和互联网用户通过Telnet登录到Device

图7-5  Device安全访问控制策略模型

配置思路

采用如下思路配置隔离不同区域用户通过Telnet登录设备:

  1. Device上配置不同的访问控制策略,隔离管理网络、驻地网络和互联网;
  2. Device接口上应用访问控制策略,限制不同区域用户的Telnet权限。
数据准备

为完成该配置例,需要准备如下数据:

  • 各区域的IP地址所属网段
  • ACL编号和策略名称
  • 应用
操作步骤
  1. 配置访问控制策略

    # 配置ACL,允许10.1.1.0/24网段的用户通过Telnet登录设备,禁止10.1.2.0/24、10.1.3.0/24网段的用户通过Telnet登录设备。

    <HUAWEI> system-view
    [~HUAWEI] acl number 3000
    [*HUAWEI-acl4-advance-3000] rule permit tcp destination-port eq telnet source 10.1.1.0 0.0.0.255
    [*HUAWEI-acl4-advance-3000] commit
    [~HUAWEI-acl4-advance-3000] quit
    [~HUAWEI] acl number 3001
    [*HUAWEI-acl4-advance-3001] rule deny tcp destination-port eq telnet source 10.1.2.0 0.0.0.255
    [*HUAWEI-acl4-advance-3001] commit
    [~HUAWEI-acl4-advance-3001] quit
    [~HUAWEI] acl number 3002
    [*HUAWEI-acl4-advance-3002] rule deny tcp destination-port eq telnet source 10.1.3.0 0.0.0.255
    [*HUAWEI-acl4-advance-3002] commit
    [~HUAWEI-acl4-advance-3002] quit
    

    # 配置流分类,定义基于ACL的匹配规则。

    [~HUAWEI] traffic classifier classifier1
    [*HUAWEI-classifier-classifier1] if-match acl 3000
    [*HUAWEI-classifier-classifier1] commit
    [~HUAWEI-classifier-classifier1] quit
    [~HUAWEI] traffic classifier classifier2
    [*HUAWEI-classifier-classifier2] if-match acl 3001
    [*HUAWEI-classifier-classifier2] commit
    [~HUAWEI-classifier-classifier2] quit
    [~HUAWEI] traffic classifier classifier3
    [*HUAWEI-classifier-classifier3] if-match acl 3002
    [*HUAWEI-classifier-classifier3] commit
    [~HUAWEI-classifier-classifier3] quit
    
    

    # 定义流行为,允许管理区域进行Telnet登录,组织非管理区域用户不能进行Telnet登录。

    [~HUAWEI] traffic behavior behavior1
    [*HUAWEI-behavior-behavior1] quit
    [*HUAWEI] traffic behavior behavior2
    [*HUAWEI-behavior-behavior2] quit
    [*HUAWEI] traffic behavior behavior3
    [*HUAWEI-behavior-behavior3] quit
    [*HUAWEI] commit
    
    

    # 定义流量策略,将流分类与流行为关联。

    [~HUAWEI] traffic policy policy1
    [*HUAWEI-trafficpolicy-policy1] classifier classifier1 behavior behavior1
    [*HUAWEI-trafficpolicy-policy1] commit
    [~HUAWEI-trafficpolicy-policy1] quit
    [~HUAWEI] traffic policy policy2
    [*HUAWEI-trafficpolicy-policy2] classifier classifier2 behavior behavior2
    [*HUAWEI-trafficpolicy-policy2] commit
    [~HUAWEI-trafficpolicy-policy2] quit
    [~HUAWEI] traffic policy policy3
    [*HUAWEI-trafficpolicy-policy3] classifier classifier3 behavior behavior3
    [*HUAWEI-trafficpolicy-policy3] quit
    [*HUAWEI] commit
    
    
  2. 应用访问控制策略。
    [~HUAWEI] interface gigabitethernet 1/0/1
    [~HUAWEI-GigabitEthernet1/0/1] undo shutdown
    [~HUAWEI-GigabitEthernet1/0/1] ip address 10.1.1.100 255.255.255.0
    [*HUAWEI-GigabitEthernet1/0/1] traffic-policy policy1 inbound
    [*HUAWEI-GigabitEthernet1/0/1] commit
    [~HUAWEI-GigabitEthernet1/0/1] quit
    [~HUAWEI] interface gigabitethernet 1/0/2
    [~HUAWEI-GigabitEthernet1/0/2] undo shutdown
    [~HUAWEI-GigabitEthernet1/0/2] ip address 10.1.2.100 255.255.255.0
    [*HUAWEI-GigabitEthernet1/0/2] traffic-policy policy2 inbound
    [*HUAWEI-GigabitEthernet1/0/2] commit
    [~HUAWEI-GigabitEthernet1/0/2] quit
    [~HUAWEI] interface gigabitethernet 1/0/3
    [~HUAWEI-GigabitEthernet1/0/3] undo shutdown
    [~HUAWEI-GigabitEthernet1/0/3] ip address 10.1.3.100 255.255.255.0
    [*HUAWEI-GigabitEthernet1/0/3] traffic-policy policy3 inbound
    [*HUAWEI-GigabitEthernet1/0/3] commit
    
配置文件
  • Device的配置文件
#
acl number 3000
 rule 5 permit tcp source 10.1.1.0 0.0.0.255 destination-port eq telnet
#
acl number 3001
 rule 5 deny tcp source 10.1.2.0 0.0.0.255 destination-port eq telnet
#
acl number 3002
 rule 5 deny tcp source 10.1.3.0 0.0.0.255 destination-port eq telnet
#
traffic classifier classifier1 operator or
 if-match acl 3000
traffic classifier classifier3 operator or
 if-match acl 3002
traffic classifier classifier2 operator or
 if-match acl 3001
#
traffic behavior behavior3
traffic behavior behavior2
traffic behavior behavior1
#
traffic policy policy1
 share-mode
 classifier classifier1 behavior behavior1
traffic policy policy2
 share-mode
 classifier classifier2 behavior behavior2
traffic policy policy3
 share-mode
 classifier classifier3 behavior behavior3
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.1.100 255.255.255.0
 traffic-policy policy1 inbound
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 10.1.2.100 255.255.255.0
 traffic-policy policy2 inbound
#
interface GigabitEthernet1/0/3
 undo shutdown
 ip address 10.1.3.100 255.255.255.0
 traffic-policy policy3 inbound
#
return
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028554

浏览量:3930

下载量:119

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页