H3C防火墙配置说明.doc

H3C防火墙配置说明 杭州华三通信技术有限公司版权所有 侵权必究All rights reserved相关配置方法：安全要求-设备-路由器-功能-14 设备应支持路由协议（OSPF/ISIS/BGP等）认证,认证字以不可逆密文方式存放。待确认支持配置OSPF验证从安全性角度来考虑，为了避免路由信息外泄或者对OSPF路由器进行恶意攻击，OSPF提供报文验证功能。OSPF路由器建立邻居关系时，在发送的报文中会携带配置好的口令，接收报文时进行密码验证，只有通过验证的报文才能接收，否则将不会接收报文，不能正常建立邻居。要配置OSPF报文验证，同一个区域的所有路由器上都需要配置区域验证模式，且配置的验证模式必须相同，同一个网段内的路由器需要配置相同的接口验证模式和口令。表1-29 配置OSPF验证操作命令说明进入系统视图system-view-进入OSPF视图ospf process-id | router-id router-id | vpn-instance vpn-instance-name *-进入OSPF区域视图area area-id-配置OSPF区域的验证模式authentication-mode md5 | simple 必选缺省情况下，没有配置区域验证模式退回OSPF视图quit-退回系统视图quit-进入接口视图interface interface-type interface-number-配置OSPF接口的验证模式（简单验证）ospf authentication-mode simple cipher | plain password二者必选其一缺省情况下，接口不对OSPF报文进行验证配置OSPF接口的验证模式（MD5验证）ospf authentication-mode hmac-md5 | md5 key-id cipher | plain password提高IS-IS网络的安全性在安全性要求较高的网络中，可以通过配置IS-IS验证来提高IS-IS网络的安全性。IS-IS验证特性分为邻居关系的验证和区域或路由域的验证。配置准备在配置IS-IS验证功能之前，需完成以下任务：配置接口的网络层地址，使相邻节点网络层可达使能IS-IS功能配置邻居关系验证配置邻居关系验证后，验证密码将会按照设定的方式封装到Hello报文中，并对接收到的Hello报文进行验证密码的检查，通过检查才会形成邻居关系，否则将不会形成邻居关系，用以确认邻居的正确性和有效性，防止与无法信任的路由器形成邻居。两台路由器要形成邻居关系必须配置相同的验证方式和验证密码。表1-37 配置邻居关系验证操作命令说明进入系统视图system-view-进入接口视图interface interface-type interface-number-配置邻居关系验证方式和验证密码isis authentication-mode md5 | simple cipher password level-1 | level-2 ip | osi 必选缺省情况下，接口没有配置邻居关系验证，既不会验证收到的Hello报文，也不会把验证密码插入到Hello报文中参数level-1和level-2的支持情况和产品相关，具体请以设备的实际情况为准必须先使用isis enable命令使能该接口才能进行参数level-1和level-2的配置。如果没有指定level-1或level-2参数，将同时为level-1和level-2的Hello报文配置验证方式及验证密码。如果没有指定ip或osi参数，将检查Hello报文中OSI的相应字段的配置内容。配置区域验证通过配置区域验证，可以防止将从不可信任的路由器学习到的路由信息加入到本地Level-1的LSDB中。配置区域验证后，验证密码将会按照设定的方式封装到Level-1报文（LSP、CSNP、PSNP）中，并对收到的Level-1报文进行验证密码的检查。同一区域内的路由器必须配置相同的验证方式和验证密码。表1-38 配置区域验证操作命令说明进入系统视图system-view-进入IS-IS视图isis process-id vpn-instance vpn-instance-name -配置区域验证方式和验证密码area-authentication-mode md5 | simple cipher password ip | osi 必选缺省情况下，系统没有配置区域验证，既不会验证收到的Level-1报文，也不会把验证密码插入到Level-1报文中配置路由域验证通过配置路由域验证，可以防止将不可信的路由信息注入当前路由域。配置路由域验证后，验证密码将会按照设定的方式封装到Level-2报文（LSP、CSNP、PSNP）中，并对收到的Level-2报文进行验证密码的检查。所有骨干层（Level-2）路由器必须配置相同的验证方式和验证密码。表1-39 配置路由域验证操作命令说明进入系统视图system-view-进入IS-IS视图isis process-id vpn-instance vpn-instance-name -配置路由域验证方式和验证密码domain-authentication-mode md5 | simple cipher password ip | osi 必选缺省情况下，系统没有配置路由域验证，既不会验证收到的Level-2报文，也不会把验证密码插入到Level-2报文中配置BGP的MD5认证通过在BGP对等体上配置BGP的MD5认证，可以在以下两方面提高BGP的安全性： 为BGP建立TCP连接时进行MD5认证，只有两台路由器配置的密码相同时，才能建立TCP连接，从而避免与非法的BGP路由器建立TCP连接。传递BGP报文时，对封装BGP报文的TCP报文段进行MD5运算，从而保证BGP报文不会被篡改。表1-41 配置BGP的MD5认证操作命令说明进入系统视图system-view-进入BGP视图或BGP-VPN实例视图进入BGP视图bgp as-number二者必选其一进入BGP-VPN实例视图bgp as-numberipv4-family vpn-instance vpn-instance-name配置BGP的MD5认证peer group-name | ip-address password cipher | simple password必选缺省情况下，BGP不进行MD5认证安全要求-设备-防火墙-功能-2防火墙应具备记录VPN日志功能，记录VPN访问登陆、退出等信息。待确认暂不支持安全要求-设备-防火墙-功能-5防火墙应具备日志容量告警功能，在日志数达到指定阈值时产生告警。待确认暂不支持安全要求-设备-防火墙-功能-3防火墙应具备流量日志记录功能，记录通过防火墙的网络连接。待确认支持Userlog日志设置（Flow日志）要生成Userlog日志，需要配置会话日志功能，详细配置请参见“1.6 会话日志”。Userlog日志简介Userlog日志是指用户访问外部网络流信息的相关记录。设备根据报文的5元组（源IP地址、目的IP地址、源端口、目的端口、协议号）对用户访问外部网络的流进行分类统计，并生成Userlog日志。Userlog日志会记录报文的5元组和发送、接收的字节数等信息。网络管理员利用这些信息可以实时跟踪、记录用户访问网络的情况，增强网络的可用性和安全性。Userlog日志有以下两种输出方式，用户可以根据需要使用其中一种： 以系统信息的格式输出到本设备的信息中心，再由信息中心最终决定日志的输出方向。 以二进制格式封装成UDP报文输出到指定的Userlog日志主机。Userlog日志有1.0和3.0两个版本。两种Userlog日志的格式稍有不同，具体差别请参见表1-2和表1-3。表1-2 1.0版本Userlog日志信息字段描述SourceIP源IP地址DestIP目的IP地址SrcPortTCP/UDP源端口号DestPortTCP/UDP目的端口号StartTime流起始时间，以秒为单位，从1970/1/1 0:0开始计算EndTime流结束时间，以秒为单位，从1970/1/1 0:0开始计算ProtIP承载的协议类型Operator操作字，主要指流结束原因Reserved保留表1-3 3.0版本Userlog日志信息字段描述ProtIP承载的协议类型Operator操作字，主要指流结束原因IpVersionIP报文版本TosIPv4IPv4报文的Tos字段SourceIP源IP地址SrcNatIPNAT转换后的源IP地址DestIP目的IP地址DestNatIPNAT转换后的目的IP地址SrcPortTCP/UDP源端口号SrcNatPortNAT转换后的TCP/UDP源端口号DestPortTCP/UDP目的端口号DestNatPortNAT转换后的TCP/UDP目的端口号StartTime流起始时间，以秒为单位，从1970/01/01 00:00开始计算EndTime流结束时间，以秒为单位，从1970/01/01 00:00开始计算InTotalPkg接收的报文包数InTotalByte接收的报文字节数OutTotalPkg发出的报文包数OutTotalByte发出的报文字节数Reserved1 对于0x02版本（FirewallV200R001）保留 对于0x03版本（FirewallV200R005）第一个字节为源VPN ID，第二个字节为目的VPN ID，第三、四个字节保留Reserved2保留Reserved3保留配置Userlog日志(1) 在导航栏中选择“日志管理 Userlog日志”，进入如下图所示的页面。图1-2 Userlog日志(2) 配置Userlog日志参数，的详细配置如下表所示。(3) 单击按钮完成操作。表1-4 Userlog日志的详细配置配置项说明版本设置Userlog日志的版本。包括1.0、3.0请根据日志接收设备的实际能力配置Userlog日志的版本，如果接收设备不支持某个版本的Userlog日志，则无法正确解析收到的日志报文源IP地址设置Userlog日志报文的源IP地址指定源地址后，当设备A向设备B发送Userlog日志时，就使用这个IP地址作为报文的源IP地址，而不使用报文出接口的真正地址。这样，即便A使用不同的端口向B发送报文，B也可以根据源IP地址来准确的判断该报文是否由A产生。而且该功能还简化了ACL规则和安全策略的配置，只要将ACL规则中定义的源地址或者目的地址参数指定为该源地址，就可以屏蔽接口IP地址的差异以及接口状态的影响，实现对Userlog日志报文的过滤建议使用Loopback接口地址作为日志报文的源IP地址日志主机配置日志主机1设置Userlog日志主机的IPv4/IPv6地址、端口号和所在的VPN实例（只在指定IPv4地址的日志主机时可以显示和设置此项），以便将Userlog日志封装成UDP报文发送给指定的Userlog日志主机。日志主机可以对Userlog日志进行解析和分类显示，以达到远程监控的目的 集中式设备：最多可以指定2台不同的Userlog日志主机 分布式设备：每个单板上最多可以指定2台不同的Userlog日志主机 日志主机IPv6地址的支持情况与设备的具体型号有关，请以设备的实际情况为准 为避免与通用的UDP端口号冲突，建议使用102565535的UDP端口号日志主机2日志输出到信息中心设置将Userlog日志以系统信息的格式输出到信息中心 启用此功能时，Userlog日志将不会发往指定的Userlog日志主机 日志输出到信息中心会占用设备的存储空间，因此，建议在日志量较小的情况下使用该输出方向查看Userlog日志统计信息当设置了将Userlog日志封装成UDP报文发送给指定的Userlog日志主机时，可以查看相关的统计信息，包括设备向指定日志主机发送的Userlog日志总数和包含Userlog日志的UDP报文总数，以及设备缓存中的Userlog日志总数。(1) 在导航栏中选择“日志管理 Userlog日志”，进入如图1-2所示的页面。(2) 单击页面下方的“查看统计信息”扩展按钮，展开如下图所示的内容，可以查看Userlog日志的统计信息。图1-3 查看Userlog日志统计信息清空Userlog日志及统计信息(1) 在导航栏中选择“日志管理 Userlog日志”，进入如图1-2所示的页面。(2) 单击页面下方的“查看统计信息”扩展按钮，展开如图1-3所示的内容。(3) 集中式设备：单击按钮，可以清除设备上的所有Userlog日志统计信息和缓存中的Userlog日志。(4) 分布式设备：单击按钮，可以清除相应单板上的所有Userlog日志统计信息和缓存中的Userlog日志。安全要求-设备-防火墙-功能-11防火墙必须具备扫描攻击检测和告警功能。并阻断后续扫描流量。扫描的检测和告警的参数应可由管理员根据实际网络情况设置。待确认支持配置扫描攻击检测 扫描攻击检测主要用于检测攻击者的探测行为，一般配置在设备连接外部网络的安全域上。扫描攻击检测自动添加了黑名单项，如果在短时间内手动删除了该黑名单项，则系统不会再次添加。因为系统会把再次检测到的攻击报文认为是同一次攻击尚未结束。(1) 在导航栏中选择“攻击防范 流量异常检测 扫描攻击”，进入如下图所示页面。图1-10 扫描攻击(2) 为安全域配置扫描攻击检测，详细配置如下表所示。(3) 单击按钮完成操作。表1-6 扫描攻击检测的详细配置配置项说明安全区域设置要进行扫描攻击检测设置的安全域启动扫描攻击检测设置是否对选中的安全域启动扫描攻击检测功能扫描阈值设置扫描建立的连接速率的最大值源IP加入黑名单设置是否把系统发现的扫描源IP地址添加到黑名单中必须在“攻击防范 黑名单”中启用黑名单过滤功能，扫描攻击检测才会将发现的扫描源IP地址添加到黑名单中，并对来自该IP地址的报文做丢弃处理黑名单持续时间设置扫描源加入黑名单的持续时间安全要求-设备-防火墙-功能-12防火墙必须具备关键字内容过滤功能，在HTTP，SMTP，POP3等应用协议流量过滤包含有设定的关键字的报文。待确认支持内容过滤典型配置举例1. 组网需求如下图所示，局域网/24网段内的主机通过Device访问Internet。Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。 启用HTTP正文过滤功能，阻止含有“abc”关键字的HTTP响应报文通过。 启用HTTPJava Applet阻断功能，仅允许网站IP地址为的Java Applet请求通过。 启用SMTP附件名称过滤功能，阻止用户发送带有“.exe”附件的邮件。 启用FTP上传文件名过滤功能，阻止用户上传带有“system”名称的文件。 启用Telnet命令字过滤功能，阻止用户键入含有“reboot”关键字的命令。图1-29 内容过滤配置组网图2. 配置Device(1) 配置设备各接口的IP地址和所属安全域（略）(2) 配置过滤条目# 配置关键字过滤条目“abc”。步骤1：在导航栏中选择“应用控制 内容过滤 过滤条目”，默认进入“关键字”页签的页面。步骤2：单击按钮。步骤3：如下图所示，输入名称为“abc”，输入关键字为“abc”。步骤4：单击按钮完成操作。图1-30 配置关键字过滤条目“abc”# 配置关键字过滤条目“reboot”。步骤1：在“关键字”页签的页面单击按钮。步骤2：如下图所示，输入名称为“reboot”，输入关键字为“reboot”。步骤3：单击按钮完成操作。图1-31 配置关键字过滤条目“reboot”# 配置文件名过滤条目“*.exe”。步骤1：单击“文件名”页签。步骤2：单击按钮。步骤3：如下图所示，输入名称为“exe”，输入文件名为“*.exe”。步骤4：单击按钮完成操作。图1-32 配置文件名过滤条目“*.exe”# 配置文件名过滤条目“system”。步骤1：在“文件名”页签的页面单击按钮。步骤2：如下图所示，输入名称为“system”，输入文件名为“system”。步骤3：单击按钮完成操作。图1-33 配置文件名过滤条目“system”(3) 配置内容过滤策略# 配置不带Java Applet阻断的HTTP过滤策略。步骤1：在导航栏中选择“应用控制 内容过滤 过滤策略”，默认进入“HTTP策略”页签的页面。步骤2：单击按钮。步骤3：进行如下配置，如下图所示。 输入名称为“http_policy1”。 单击“正文过滤”前的扩展按钮。 在正文过滤的可选过滤条目列表框中选中“abc”关键字过滤条目，单击“”按钮将其添加到已选过滤条目列表框中。步骤4：单击按钮完成操作。图1-34 配置不带Java Applet阻断的HTTP过滤策略# 配置带Java Applet阻断的HTTP过滤策略。步骤1：在“HTTP策略”页签的页面单击按钮。步骤2：进行如下配置，如下图所示。 输入名称为“http_policy2”。 单击“正文过滤”前的扩展按钮。 在正文过滤的可选过滤条目列表框中选中“abc”关键字过滤条目，单击“”按钮将其添加到已选过滤条目列表框中。 选中“Java Applet阻断”前的复选框。步骤3：单击按钮完成操作。图1-35 配置带Java Applet阻断的HTTP过滤策略# 配置SMTP过滤策略。步骤1：单击“SMTP策略”页签。步骤2：单击按钮。步骤3：进行如下配置，如下图所示。 输入名称为“smtp_policy”。 单击“附件过滤”前的扩展按钮。 在附件名称过滤的可选过滤条目列表框中选中“exe”文件名过滤条目，单击“”按钮将其添加到已选过滤条目列表框中。步骤3：单击按钮完成操作。图1-36 配置SMTP过滤策略# 配置FTP过滤策略。步骤1：单击“FTP策略”页签。步骤2：单击按钮。步骤3：进行如下配置，如下图所示。 输入名称为“ftp_policy”。 单击“上传文件名过滤”前的扩展按钮。 在上传文件名过滤的可选过滤条目列表框中选中“system”文件名过滤条目，单击“”按钮将其添加到已选过滤条目列表框中。步骤4：单击按钮完成操作。图1-37 配置FTP过滤策略# 配置Telnet过滤策略。步骤1：单击“Telnet策略”页签。步骤2：单击按钮。步骤3：进行如下配置，如下图所示。 输入名称为“telnet_policy”。 单击“命令字过滤”前的扩展按钮。 在命令字过滤的可选过滤条目列表框中选中“reboot”关键字过滤条目，单击“”按钮将其添加到已选过滤条目列表框中。步骤4：单击按钮完成操作。图1-38 配置Telnet过滤策略(4) 配置内容过滤策略模板# 配置不带Java Applet阻断的内容过滤策略模板。步骤1：在导航栏中选择“应用控制 内容过滤 策略模板”。步骤2：单击按钮。步骤3：进行如下配置，如下图所示。 输入名称为“template1”。 选择HTTP过滤策略为“http_policy1”。 选择SMTP过滤策略为“smtp_policy”。 选择FTP过滤策略为“ftp_policy”。 选择Telnet过滤策略为“telnet_policy”步骤4：单击按钮完成操作。图1-39 配置不带Java Applet阻断的内容过滤策略模板# 配置带Java Applet阻断的内容过滤策略模板。步骤1：在策略模板页面单击按钮。步骤2：进行如下配置，如下图所示。 输入名称为“template2”。 选择HTTP过滤策略为“http_policy2”。 选择SMTP过滤策略为“smtp_policy”。 选择FTP过滤策略为“ftp_policy”。 选择Telnet过滤策略为“telnet_policy”。步骤3：单击按钮完成操作。图1-40 配置带Java Applet阻断的内容过滤策略模板(5) 配置引用内容过滤策略模板的域间策略# 配置Trust安全域到Untrust安全域的目的地址为的域间策略，并引用不带Java Applet阻断的内容过滤策略模板。步骤1：在导航栏中选择“防火墙 安全策略 域间策略”。步骤2：单击按钮。步骤3：进行如下配置，如下图所示。 选择源域为“Trust”。 选择目的域为“Untrust”。 选择源IP地址为“any_address”。 选中目的IP地址中“新建IP地址”前的单选按钮，输入目的IP地址为“/”。 选择服务名称为“any_service”。 选择过滤动作为“Permit”。 选择内容过滤策略模板为“template1”。 选中“启用规则”前的复选框。 选中“确定后续添加下一条规则”前的复选框。步骤4：单击按钮完成操作。图1-41 配置引用不带Java Applet阻断的内容过滤策略模板的域间策略# 配置Trust安全域到Untrust安全域的域间策略，并引用带Java Applet阻断的内容过滤策略模板。步骤1：保持之前选择的源域和目的域不变，继续进行如下配置，如下图所示。 选择源IP地址和目的IP地址均为“any_address”。 选择服务名称为“any_service”。 选择过滤动作为“Permit”。 选择内容过滤策略模板为“template2”。 选中“启用规则”前的复选框。步骤2：单击按钮完成操作。图1-42 配置引用带Java Applet阻断的内容过滤策略模板的域间策略3. 配置结果验证完成上述配置后，局域网内用户不能收到含有“abc”关键字的HTTP响应；除对IP地址为的Web服务器外，不能成功发送Java Applet请求；不能成功发送带有“.exe”附件的邮件；不能通过FTP方式上传名称为“abc”的文件；不能执行Telnet命令“reboot”。设备运行一段时间后，在导航栏中选择“应用控制 内容过滤 统计信息”，可以看到如下图所示的统计信息。图1-43 内容过滤统计信息4. 注意事项配置内容过滤时需要注意如下事项：(1) 配置URL主机名过滤条目时，需要注意通配符的使用规则： “”表示开头匹配。只能出现在关键字的开头，且只能出现一次。 “$”表示结尾匹配。只能出现在关键字的结尾，且只能出现一次。 “&”代替一个字符，不能代替空格和“.”。可出现任意多个，可连续出现，可位于关键字的任意位置，但不能与“*”一起使用。 “*”代替任意多个字符，不能代替“.”。在关键字中只能出现一次，可以位于关键字的开头和中间，不能位于结尾，并且不能和“”、“$”相邻。 如果关键字的开头有“”或结尾有“$”，表示精确匹配。例如，“webfilter”表示以“webfilter”开头的网址（如）或类似于的网址将被过滤掉。关键字“webfilter$”表示过滤包含独立词语“webfilter”的网址，比如，但是类似于的网址将不会被过滤。 如果关键字的开头和结尾都没有通配符，表示模糊匹配。对于模糊匹配，只要网址中包含了该关键字就会被过滤。 不支持纯数字的关键字。如果需要过滤类似的网站，使用“123”作为过滤地址是不合法的，但可以使用“123$”、“”和“123.com”等作为过滤地址。因此，对于以数字作为网站地址的网站，建议采用精确匹配方式进行过滤。(2) 配置URL参数过滤关键字时，需要注意通配符的使用规则： “”表示开头匹配。只能出现在关键字的开头，且只能出现一次。 “$”表示结尾匹配。只能出现在关键字的结尾，且只能出现一次。 “&”代替一个字符。可出现任意多个，可连续出现，可位于关键字的任意位置，但不能与“*”相邻，如果出现在开始和结尾的位置，则一定要和“”或“$”相邻。 “*”代替长度不超过4个字符的任意字符串，可代替空格。只能位于关键字的中间，且只能出现一次。 如果关键字的开头有“”或结尾有“$”，表示精确匹配。例如，关键字“webfilter$”表示网址中的URL参数包含独立词语“webfilter”的请求将被过滤掉，比如/webfilter any，但是类似于/webfilterany的网址将不会被过滤。 如果关键字的开头和结尾都没有通配符，表示模糊匹配。对于模糊匹配，只要网址中的URL参数包含了该关键字就会被过滤。安全要求-设备-防火墙-功能-13-可选防火墙必须具备病毒防护功能，对蠕虫等病毒传播时的攻击流量进行过滤。待确认高端防火墙不支持；中低端防火墙支持配置防病毒策略(1) 在导航栏中选择“深度安全防御 防病毒”，默认进入“防病毒策略”页签的页面，如图1-9所示。(2) 单击按钮，进入新建防病毒策略的配置页面，如下图所示。图1-10 新建防病毒策略(3) 配置防病毒策略，详细配置如下表所示。(4) 单击按钮完成操作。表1-7 新建防病毒策略的详细配置配置项说明名称设置防病毒策略的名称动作设置对检测到的攻击所采取的动作，包括：记录日志和阻断攻击类型显示设备能够检测和防御的病毒类型应用防病毒策略(1) 在导航栏中选择“深度安全检测 防病毒”，单击“防病毒策略应用”页签，进入如下图所示的页面。图1-11 防病毒策略应用(2) 单击按钮，进入新建防病毒策略应用的配置页面，如下图所示。图1-12 新建防病毒策略应用(3)