网络基础信息及安全 13

任务1路由器安全配置——项目一

路由交换设备的安全配置本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02路由器简介路由器安全配置子任务1配置Cloud云设备03子任务2Console口登录安全配置04子任务3Telnet登录安全配置05子任务4路由器攻击防范06子任务5访问控制列表配置0701任务规划任务规划根据华为路由器安全加固和维护指南，需要完成如下加固任务。（1）配置路由器Console口登录密码；（2）配置路由器AAA用户认证的用户名和密码；（3）配置Telnet远程登录服务的认证方式；（4）配置路由器攻击防范策略；（5）配置路由器访问控制列表（ACL）。任务规划网络拓扑图如下：任务规划设备接口与IP地址规划表如下：设备接口IP地址备注AR1GE0/0/0192.168.1.254/24AR2220GE0/0/1192.168.100.2/24AR2220PC1Ethernet0/0/1192.168.1.1/24网关：192.168.1.254PC2Ethernet0/0/1192.168.1.2/24网关：192.168.1.254CloudEthernet0/0/1192.168.100.1/24物理机环回地址本任务的环境Windows10操作系统，已经安装eNSP和VMwareWorkstation。“02相关知识相关知识——2.1路由器简介什么是路由器？路由器是一个网络层设备，负责在不同网络或子网之间转发数据包，以实现网络互联和数据传输。路由器收到数据包后，会根据数据包中的目的地址选择一条最优路径，并将数据包转发到下一个路由器，路径上最后的路由器负责将数据包送交目的主机。相关知识——2.2华为路由器安全加固级别相关知识——2.2华为路由器安全加固级别路由器安全加固级别？华为系列路由器、交换机的安全加固策略分为Level-1、Level-2两个级别。其中Level-1代表的是必须配置的安全加固策略。Level-2代表的是加强的安全加固策略，用户可以根据自己的业务有选择地进行配置。相关知识——2.3设备登录安全Console口登录安全Console口（也称串口）属于物理接口。在设备部署、组网上通过物理隔离，可防止恶意用户通过串口登录设备。相关知识——2.3设备登录安全Telnet登录安全可以通过AAA认证、设置强密码、关闭Telnet服务、改变默认端口号、配置ACL等方式一定程度上增强Telnet的安全性。相关知识——2.3设备登录安全SSH远程登录安全SSH(SecureShell)是一种用于远程登录、管理网络设备的协议,它通过加密数据(包括用户名、密码和命令等)的方式保障通信的安全性。相关知识——2.4AAA认证AAA认证认证（Authentication）：确认用户的身份，判断访问者是否为合法的网络用户。授权（Authorization）：对不同用户赋予不同的权限，授权用户可以使用哪些服务。计费（Accounting）：记录用户使用网络资源的情况。相关知识——2.5攻击防范攻击防范攻击防范通过分析上送CPU处理的报文的内容和行为，判断报文是否具有攻击特性，并配置对具有攻击特性的报文执行一定的防范措施。攻击防范主要分为畸形报文攻击防范、分片报文攻击防范和泛洪攻击防范。好学深思奇安信《2023年中国企业勒索病毒攻击态势分析报告》截至2023年10月，全球勒索软件数量同比增长37.75%，勒索软件有效攻击载荷更是激增了57.5%，再次创下历史新高。根据GoUpSec对国内外网络安全攻击事件的统计分析，2023年全球网络攻击的十大主要垂直行业分别是：政府、医疗、通讯、IT、金融、能源、航空、汽车、酒店、零售业等行业。相关知识——2.6访问控制列表访问控制列表访问控制列表ACL（AccessControlList）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。相关知识——2.6

访问控制列表分类规则定义描述编号范围基本ACL仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。2000～2999高级ACL既可使用报文的源IP地址，也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。3000～3999二层ACL使用报文的以太网帧头信息来定义规则，如根据源MAC（MediaAccessControl）地址、目的MAC地址、二层协议类型等。4000～4999用户自定义ACL使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。5000～5999用户ACL既可使用IPv4报文的源IP地址或源UCL（UserControlList）组，也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。6000～9999相关知识——2.7华为设备基本命令1）修改系统时间修改华为路由器的时区、时间等。//设置时区为东八区<Huawei>clocktimezoneLocaladd08:00:00//设置当前时间<Huawei>clockdatetime12:00:002024-08-30//修改时间//查询当前时间<Huawei>displayclock相关知识——2.7华为设备基本命令2）修改设备名称进入系统视图，使用sysname修改设备名称。//进入系统视图<Huawei>system-view//在系统视图修改设备名称

[Huawei]sysnameR1相关知识——2.7华为设备基本命令3）设置管理IP给端口设置IP地址。//进入系统视图<Huawei>system-view//进入接口视图[R1]interfaceGigabitEthernet0/0/0//设置IP地址，子网掩码[R1-GigabitEthernet0/0/0]ipaddress192.168.1.124//退出接口视图

[R1-GigabitEthernet0/0/0]quit//查看接口IP情况[R1]displayipinterfacebrief03子任务1子任务1-1配置Cloud云设备1）任务内容：添加环回网卡、配置Cloud云设备、添加IO接口、桥接到物理机，实现虚拟设备与物理机的连接。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-1配置Cloud云设备04子任务2子任务1-2console口登录安全配置2）任务内容：配置console口的密码认证（包括明文密码验证和密文密码验证）、AAA认证（包括用户名和密码）等。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-2console口登录安全配置05子任务3子任务1-3Telnet登录安全配置3）任务内容：给路由器配置管理IP、为Telnet配置AAA验证、开启路由器的Telnet服务、使用SecureCRT通过Telnet方式连接路由器。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-3Telnet登录安全配置06子任务4子任务1-4

路由器攻击防范4）任务内容：配置路由器，使之能够抵御畸形报文攻击、分片报文攻击、SYN泛洪攻击、UDP泛洪攻击、ICMP泛洪攻击等。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-4

路由器攻击防范07子任务5子任务1-5

访问控制列表（ACL）配置5）任务内容：基于源IP地址的ACL配置、基于