H3C防火墙配置说明

H3C防火墙配置说明

杭州华三通信技术有限公司 版权所有 侵权必究 All rights reserved

相关配置方法： 安全要求-设备-路由器-功能-14 设备应支持路由协议（OSPF/ISIS/BGP等）待确认 认证,认证字以不可逆密文方式存放。 支持 配置OSPF验证

从安全性角度来考虑，为了避免路由信息外泄或者对OSPF路由器进行恶意攻击，OSPF提供报文验证功能。

OSPF路由器建立邻居关系时，在发送的报文中会携带配置好的口令，接收报文时进行密码验证，只有通过验证的报文才能接收，否则将不会接收报文，不能正常建立邻居。

要配置OSPF报文验证，同一个区域的所有路由器上都需要配置区域验证模式，且配置的验证模式必须相同，同一个网段内的路由器需要配置相同的接口验证模式和口令。

表1-29 配置OSPF验证

操作 进入系统视图 system-view ospf [ process-id | router-id router-id | vpn-instance vpn-instance-name ] * area area-id 命令 - 说明 进入OSPF视图 - 进入OSPF区域视图 - 必选 配置OSPF区域的验证模式 authentication-mode { md5 | simple } 缺省情况下，没有配置区域验证模式 退回OSPF视图 退回系统视图 quit quit interface interface-number ospf authentication-mode simple [ cipher | plain ] password ospf interface-type - - 进入接口视图 - 配置OSPF接口的验证模式（简单验证） 二者必选其一 配置OSPF接口的验证模式（MD5验证） authentication-mode 缺省情况下，接口不对OSPF{ hmac-md5 | md5 } key-id [ cipher | 报文进行验证 plain ] password

提高IS-IS网络的安全性

在安全性要求较高的网络中，可以通过配置IS-IS验证来提高IS-IS网络的安全性。IS-IS验证特性分为邻居关系的验证和区域或路由域的验证。

配置准备

在配置IS-IS验证功能之前，需完成以下任务：

?配置接口的网络层地址，使相邻节点网络层可达 ?使能IS-IS功能

配置邻居关系验证

配置邻居关系验证后，验证密码将会按照设定的方式封装到Hello报文中，并对接收到的Hello报文进行验证密码的检查，通过检查才会形成邻居关系，否则将不会形成邻居关系，用以确认邻居的正确性和有效性，防止与无法信任的路由器形成邻居。 两台路由器要形成邻居关系必须配置相同的验证方式和验证密码。

表1-37 配置邻居关系验证

操作 进入系统视图 进入接口视图 system-view interface interface-type interface-number 命令 - - 必选 说明 缺省情况下，接口没有配置邻居关配置邻居关系验证方式和验证密码 isis authentication-mode { md5 | simple } [ cipher ] password [ level-1 | level-2 ] [ ip | osi ] 系验证，既不会验证收到的Hello报文，也不会把验证密码插入到Hello报文中 参数level-1和level-2的支持情况和产品相关，具体请以设备的实际情况为准

必须先使用isis enable命令使能该接口才能进行参数level-1和level-2的配置。 如果没有指定level-1或level-2参数，将同时为level-1和level-2的Hello报文配置验证方式及验证密码。 如果没有指定ip或osi参数，将检查Hello报文中OSI的相应字段的配置内容。

配置区域验证

通过配置区域验证，可以防止将从不可信任的路由器学习到的路由信息加入到本地Level-1的LSDB中。

配置区域验证后，验证密码将会按照设定的方式封装到Level-1报文（LSP、CSNP、PSNP）中，并对收到的Level-1报文进行验证密码的检查。

同一区域内的路由器必须配置相同的验证方式和验证密码。

表1-38 配置区域验证

操作 进入系统视图 进入IS-IS视图 system-view 命令 - 说明 isis [ process-id ] [ vpn-instance vpn-instance-name ] - 必选 配置区域验证方式和验证密码 area-authentication-mode { md5 | simple } [ cipher ] password [ ip | osi ] 缺省情况下，系统没有配置区域验证，既不会验证收到的Level-1报文，也不会把验证密码插入到Level-1报文中

配置路由域验证

通过配置路由域验证，可以防止将不可信的路由信息注入当前路由域。

配置路由域验证后，验证密码将会按照设定的方式封装到Level-2报文（LSP、CSNP、PSNP）中，并对收到的Level-2报文进行验证密码的检查。

所有骨干层（Level-2）路由器必须配置相同的验证方式和验证密码。

表1-39 配置路由域验证

操作 进入系统视图 进入IS-IS视图 system-view isis [ process-id ] [ vpn-instance vpn-instance-name ] 命令 - - 必选 说明 配置路由域验证方式和验证密码 domain-authentication-mode { md5 | simple } [ cipher ] password [ ip | osi ] 缺省情况下，系统没有配置路由域验证，既不会验证收到的Level-2报文，也不会把验证密码插入到Level-2报文中

配置BGP的MD5认证

通过在BGP对等体上配置BGP的MD5认证，可以在以下两方面提高BGP的安全性：

??为BGP建立TCP连接时进行MD5认证，只有两台路由器配置的密码相同时，才

能建立TCP连接，从而避免与非法的BGP路由器建立TCP连接。 ?传递BGP报文时，对封装BGP报文的TCP报文段进行MD5运算，从而保证BGP

报文不会被篡改。 表1-41 配置BGP的MD5认证

操作 进入系统视图 进入BGP视图 进入BGP-VPN实例视图 system-view bgp as-number bgp as-number ipv4-family vpn-instance vpn-instance-name peer { group-name | ip-address } 必选 password { cipher | simple } 缺省情况下，BGP不进行password MD5认证 二者必选其一 命令 - 说明 进入BGP视图或BGP-VPN实例视图 配置BGP的MD5认证 安全要求-设备-防火墙-功能-2 安全要求-设备-防火墙-功能-5 安全要求-设备-防火墙-功能-3 防火墙应具备流量日志记录功能，记录通过防火墙的网络连接。 待确认 支持 防火墙应具备记录VPN日志功能，记录VPN访问登陆、退出等信息。 防火墙应具备日志容量告警功能，在日志数达到指定阈值时产生告警。 待确认 待确认 暂不支持 暂不支持 Userlog日志设置（Flow日志）

要生成Userlog日志，需要配置会话日志功能，详细配置请参见“1.6 会话日志”。

Userlog日志简介

Userlog日志是指用户访问外部网络流信息的相关记录。设备根据报文的5元组（源IP地址、目的IP地址、源端口、目的端口、协议号）对用户访问外部网络的流进行分类统计，并生成Userlog日志。Userlog日志会记录报文的5元组和发送、接收的字节数等信息。网络管理员利用这些信息可以实时跟踪、记录用户访问网络的情况，增强网络的可用性和安全性。 Userlog日志有以下两种输出方式，用户可以根据需要使用其中一种：

??以系统信息的格式输出到本设备的信息中心，再由信息中心最终决定日志的输出方

向。

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说教育文库H3C防火墙配置说明在线全文阅读。