H3C防火墙配置说明

1、-. z.H3C防火墙配置说明*华三通信技术*所有侵权必究All rights reserved相关配置方法：平安要求-设备-路由器-功能-14 设备应支持路由协议OSPF/ISIS/BGP等认证,认证字以不可逆密文方式存放。待确认支持配置OSPF验证从平安性角度来考虑，为了防止路由信息外泄或者对OSPF路由器进展恶意攻击，OSPF提供报文验证功能。OSPF路由器建立邻居关系时，在发送的报文中会携带配置好的口令，接收报文时进展密码验证，只有通过验证的报文才能接收，否则将不会接收报文，不能正常建立邻居。要配置OSPF报文验证，同一个区域的所有路由器上都需要配置区域验证模式，且配置的验证模式必须一

2、样，同一个网段内的路由器需要配置一样的接口验证模式和口令。表1-29 配置OSPF验证操作命令说明进入系统视图system-view-进入OSPF视图ospf process-id | router-idrouter-id | vpn-instancevpn-instance-name *-进入OSPF区域视图areaarea-id-配置OSPF区域的验证模式authentication-mode md5 | simple 必选缺省情况下，没有配置区域验证模式退回OSPF视图quit-退回系统视图quit-进入接口视图interfaceinterface-type interface-numb

3、er-配置OSPF接口的验证模式简单验证ospf authentication-mode simple cipher | plain password二者必选其一缺省情况下，接口不对OSPF报文进展验证配置OSPF接口的验证模式MD5验证ospf authentication-mode hmac-md5 | md5 key-id cipher | plain password提高IS-IS网络的平安性在平安性要求较高的网络中，可以通过配置IS-IS验证来提高IS-IS网络的平安性。IS-IS验证特性分为邻居关系的验证和区域或路由域的验证。配置准备在配置IS-IS验证功能之前，需完成以下任务：配

4、置接口的网络层地址，使相邻节点网络层可达使能IS-IS功能配置邻居关系验证配置邻居关系验证后，验证密码将会按照设定的方式封装到Hello报文中，并对接收到的Hello报文进展验证密码的检查，通过检查才会形成邻居关系，否则将不会形成邻居关系，用以确认邻居的正确性和有效性，防止与无法信任的路由器形成邻居。两台路由器要形成邻居关系必须配置一样的验证方式和验证密码。表1-37 配置邻居关系验证操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-type interface-number-配置邻居关系验证方式和验证密码isis authentication-

5、mode md5 | simple cipher password level-1 | level-2 ip | osi 必选缺省情况下，接口没有配置邻居关系验证，既不会验证收到的Hello报文，也不会把验证密码插入到Hello报文中参数level-1和level-2的支持情况和产品相关，具体请以设备的实际情况为准必须先使用isis enable命令使能该接口才能进展参数level-1和level-2的配置。如果没有指定level-1或level-2参数，将同时为level-1和level-2的Hello报文配置验证方式及验证密码。如果没有指定ip或osi参数，将检查Hello报文中OSI的相

6、应字段的配置内容。配置区域验证通过配置区域验证，可以防止将从不可信任的路由器学习到的路由信息参加到本地Level-1的LSDB中。配置区域验证后，验证密码将会按照设定的方式封装到Level-1报文LSP、CSNP、PSNP中，并对收到的Level-1报文进展验证密码的检查。同一区域内的路由器必须配置一样的验证方式和验证密码。表1-38 配置区域验证操作命令说明进入系统视图system-view-进入IS-IS视图isis process-id vpn-instance vpn-instance-name -配置区域验证方式和验证密码area-authentication-mode md5 |

7、simple cipher password ip | osi 必选缺省情况下，系统没有配置区域验证，既不会验证收到的Level-1报文，也不会把验证密码插入到Level-1报文中配置路由域验证通过配置路由域验证，可以防止将不可信的路由信息注入当前路由域。配置路由域验证后，验证密码将会按照设定的方式封装到Level-2报文LSP、CSNP、PSNP中，并对收到的Level-2报文进展验证密码的检查。所有骨干层Level-2路由器必须配置一样的验证方式和验证密码。表1-39 配置路由域验证操作命令说明进入系统视图system-view-进入IS-IS视图isis process-id vpn-i

8、nstance vpn-instance-name -配置路由域验证方式和验证密码domain-authentication-mode md5 | simple cipher password ip | osi 必选缺省情况下，系统没有配置路由域验证，既不会验证收到的Level-2报文，也不会把验证密码插入到Level-2报文中配置BGP的MD5认证通过在BGP对等体上配置BGP的MD5认证，可以在以下两方面提高BGP的平安性：为BGP建立TCP连接时进展MD5认证，只有两台路由器配置的密码一样时，才能建立TCP连接，从而防止与非法的BGP路由器建立TCP连接。传递BGP报文时，对封装BGP报

9、文的TCP报文段进展MD5运算，从而保证BGP报文不会被篡改。表1-41 配置BGP的MD5认证操作命令说明进入系统视图system-view-进入BGP视图或BGP-VPN实例视图进入BGP视图bgp as-number二者必选其一进入BGP-VPN实例视图bgp as-numberipv4-familyvpn-instancevpn-instance-name配置BGP的MD5认证peer group-name | ip-address password cipher | simple password必选缺省情况下，BGP不进展MD5认证平安要求-设备-防火墙-功能-2防火墙应具备记录V

10、PN日志功能，记录VPN访问登陆、退出等信息。待确认暂不支持平安要求-设备-防火墙-功能-5防火墙应具备日志容量告警功能，在日志数到达指定阈值时产生告警。待确认暂不支持平安要求-设备-防火墙-功能-3防火墙应具备流量日志记录功能，记录通过防火墙的网络连接。待确认支持Userlog日志设置Flow日志要生成Userlog日志，需要配置会话日志功能，详细配置请参见HYPERLINK press/data/infoblade/ware%20V5平台中文/1.1.98%20WEB分册平安/5%20日志管理/平台Web配置手册%20日志管理.htm l _Ref2770770431.6 HYPERLIN

11、K press/data/infoblade/ware%20V5平台中文/1.1.98%20WEB分册平安/5%20日志管理/平台Web配置手册%20日志管理.htm l _Ref277077045会话日志。Userlog日志简介Userlog日志是指用户访问外部网络流信息的相关记录。设备根据报文的5元组源IP地址、目的IP地址、源端口、目的端口、协议号对用户访问外部网络的流进展分类统计，并生成Userlog日志。Userlog日志会记录报文的5元组和发送、接收的字节数等信息。网络管理员利用这些信息可以实时跟踪、记录用户访问网络的情况，增强网络的可用性和平安性。Userlog日志有以下两种输出

12、方式，用户可以根据需要使用其中一种：以系统信息的格式输出到本设备的信息中心，再由信息中心最终决定日志的输出方向。以二进制格式封装成UDP报文输出到指定的Userlog日志主机。Userlog日志有1.0和3.0两个版本。两种Userlog日志的格式稍有不同，具体差异请参见HYPERLINK press/data/infoblade/ware%20V5平台中文/1.1.98%20WEB分册平安/5%20日志管理/平台Web配置手册%20日志管理.htm l _Ref193187689表1-2和HYPERLINK press/data/infoblade/ware%20V5平台中文/1.1.98%

13、20WEB分册平安/5%20日志管理/平台Web配置手册%20日志管理.htm l _Ref193187696表1-3。表1-2 1.0版本Userlog日志信息字段描述SourceIP源IP地址DestIP目的IP地址SrcPortTCP/UDP源端口号DestPortTCP/UDP目的端口号StartTime流起始时间，以秒为单位，从1970/1/1 0:0开场计算EndTime流完毕时间，以秒为单位，从1970/1/1 0:0开场计算ProtIP承载的协议类型Operator操作字，主要指流完毕原因Reserved保存表1-3 3.0版本Userlog日志信息字段描述ProtIP承载的协

14、议类型Operator操作字，主要指流完毕原因IpVersionIP报文版本TosIPv4IPv4报文的Tos字段SourceIP源IP地址SratIPNAT转换后的源IP地址DestIP目的IP地址DestNatIPNAT转换后的目的IP地址SrcPortTCP/UDP源端口号SratPortNAT转换后的TCP/UDP源端口号DestPortTCP/UDP目的端口号DestNatPortNAT转换后的TCP/UDP目的端口号StartTime流起始时间，以秒为单位，从1970/01/01 00:00开场计算EndTime流完毕时间，以秒为单位，从1970/01/01 00:00开场计算In

15、TotalPkg接收的报文包数InTotalByte接收的报文字节数OutTotalPkg发出的报文包数OutTotalByte发出的报文字节数Reserved1对于0*02版本FirewallV200R001保存对于0*03版本FirewallV200R005第一个字节为源VPN ID，第二个字节为目的VPN ID，第三、四个字节保存Reserved2保存Reserved3保存配置Userlog日志(1)在导航栏中选择日志管理 Userlog日志，进入如下列图所示的页面。图1-2 Userlog日志(2)配置Userlog日志参数，的详细配置如下表所示。(3)单击按钮完成操作。表1-4 Us

16、erlog日志的详细配置配置项说明版本设置Userlog日志的版本。包括1.0、3.0请根据日志接收设备的实际能力配置Userlog日志的版本，如果接收设备不支持*个版本的Userlog日志，则无法正确解析收到的日志报文源IP地址设置Userlog日志报文的源IP地址指定源地址后，当设备A向设备B发送Userlog日志时，就使用这个IP地址作为报文的源IP地址，而不使用报文出接口的真正地址。这样，即便A使用不同的端口向B发送报文，B也可以根据源IP地址来准确的判断该报文是否由A产生。而且该功能还简化了ACL规则和平安策略的配置，只要将ACL规则中定义的源地址或者目的地址参数指定为该源地址，就可

17、以屏蔽接口IP地址的差异以及接口状态的影响，实现对Userlog日志报文的过滤建议使用Loopback接口地址作为日志报文的源IP地址日志主机配置日志主机1设置Userlog日志主机的IPv4/IPv6地址、端口号和所在的VPN实例只在指定IPv4地址的日志主机时可以显示和设置此项，以便将Userlog日志封装成UDP报文发送给指定的Userlog日志主机。日志主机可以对Userlog日志进展解析和分类显示，以到达远程监控的目的集中式设备：最多可以指定2台不同的Userlog日志主机分布式设备：每个单板上最多可以指定2台不同的Userlog日志主机日志主机IPv6地址的支持情况与设备的具体型号

18、有关，请以设备的实际情况为准为防止与通用的UDP端口号冲突，建议使用102565535的UDP端口号日志主机2日志输出到信息中心设置将Userlog日志以系统信息的格式输出到信息中心启用此功能时，Userlog日志将不会发往指定的Userlog日志主机日志输出到信息中心会占用设备的存储空间，因此，建议在日志量较小的情况下使用该输出方向查看Userlog日志统计信息当设置了将Userlog日志封装成UDP报文发送给指定的Userlog日志主机时，可以查看相关的统计信息，包括设备向指定日志主机发送的Userlog日志总数和包含Userlog日志的UDP报文总数，以及设备缓存中的Userlog日志总

19、数。(1)在导航栏中选择日志管理 Userlog日志，进入如HYPERLINK press/data/infoblade/ware%20V5平台中文/1.1.98%20WEB分册平安/5%20日志管理/平台Web配置手册%20日志管理.htm l _Ref227053462图1-2所示的页面。(2)单击页面下方的查看统计信息扩展按钮，展开如下列图所示的内容，可以查看Userlog日志的统计信息。图1-3 查看Userlog日志统计信息清空Userlog日志及统计信息(1)在导航栏中选择日志管理 Userlog日志，进入如HYPERLINK press/data/infoblade/ware%2

20、0V5平台中文/1.1.98%20WEB分册平安/5%20日志管理/平台Web配置手册%20日志管理.htm l _Ref227053462图1-2所示的页面。(2)单击页面下方的查看统计信息扩展按钮，展开如HYPERLINK press/data/infoblade/ware%20V5平台中文/1.1.98%20WEB分册平安/5%20日志管理/平台Web配置手册%20日志管理.htm l _Ref227057678图1-3所示的内容。(3)集中式设备：单击按钮，可以去除设备上的所有Userlog日志统计信息和缓存中的Userlog日志。(4)分布式设备：单击按钮，可以去除相应单板上的所有U

21、serlog日志统计信息和缓存中的Userlog日志。平安要求-设备-防火墙-功能-11防火墙必须具备扫描攻击检测和告警功能。并阻断后续扫描流量。扫描的检测和告警的参数应可由管理员根据实际网络情况设置。待确认支持配置扫描攻击检测扫描攻击检测主要用于检测攻击者的探测行为，一般配置在设备连接外部网络的平安域上。扫描攻击检测自动添加了黑项，如果在短时间内手动删除了该黑项，则系统不会再次添加。因为系统会把再次检测到的攻击报文认为是同一次攻击尚未完毕。(1)在导航栏中选择攻击防* 流量异常检测 扫描攻击，进入如下列图所示页面。图1-10 扫描攻击(2)为平安域配置扫描攻击检测，详细配置如下表所示。(3)

22、单击按钮完成操作。表1-6 扫描攻击检测的详细配置配置项说明平安区域设置要进展扫描攻击检测设置的平安域启动扫描攻击检测设置是否对选中的平安域启动扫描攻击检测功能扫描阈值设置扫描建立的连接速率的最大值源IP参加黑设置是否把系统发现的扫描源IP地址添加到黑中必须在攻击防* 黑中启用黑过滤功能，扫描攻击检测才会将发现的扫描源IP地址添加到黑中，并对来自该IP地址的报文做丢弃处理黑持续时间设置扫描源参加黑的持续时间平安要求-设备-防火墙-功能-12防火墙必须具备关键字内容过滤功能，在 ，SMTP，POP3等应用协议流量过滤包含有设定的关键字的报文。待确认支持内容过滤典型配置举例1. 组网需求如下列图所

23、示，局域网网段内的主机通过Device访问Internet。Device分别通过Trust平安域和Untrust平安域与局域网和Internet相连。启用正文过滤功能，阻止含有abc关键字的响应报文通过。启用 Java Applet阻断功能，仅允许IP地址为的Java Applet请求通过。启用SMTP附件名称过滤功能，阻止用户发送带有.e*e附件的。启用FTP上传文件名过滤功能，阻止用户上传带有system名称的文件。启用Telnet命令字过滤功能，阻止用户键入含有reboot关键字的命令。图1-29 内容过滤配置组网图2. 配置Device(1)配置设备各接口的IP地址和所属平安域略(2)

24、配置过滤条目# 配置关键字过滤条目abc。步骤1：在导航栏中选择应用控制 内容过滤 过滤条目，默认进入关键字页签的页面。步骤2：单击按钮。步骤3：如下列图所示，输入名称为abc，输入关键字为abc。步骤4：单击按钮完成操作。图1-30 配置关键字过滤条目abc# 配置关键字过滤条目reboot。步骤1：在关键字页签的页面单击按钮。步骤2：如下列图所示，输入名称为reboot，输入关键字为reboot。步骤3：单击按钮完成操作。图1-31 配置关键字过滤条目reboot# 配置文件名过滤条目*.e*e。步骤1：单击文件名页签。步骤2：单击按钮。步骤3：如下列图所示，输入名称为e*e，输入文件名为

25、*.e*e。步骤4：单击按钮完成操作。图1-32 配置文件名过滤条目*.e*e# 配置文件名过滤条目system。步骤1：在文件名页签的页面单击按钮。步骤2：如下列图所示，输入名称为system，输入文件名为system。步骤3：单击按钮完成操作。图1-33 配置文件名过滤条目system(3)配置内容过滤策略# 配置不带Java Applet阻断的过滤策略。步骤1：在导航栏中选择应用控制 内容过滤 过滤策略，默认进入策略页签的页面。步骤2：单击按钮。步骤3：进展如下配置，如下列图所示。输入名称为 _policy1。单击正文过滤前的扩展按钮。在正文过滤的可选过滤条目列表框中选中abc关键字过滤

26、条目，单击按钮将其添加到已选过滤条目列表框中。步骤4：单击按钮完成操作。图1-34 配置不带Java Applet阻断的过滤策略# 配置带Java Applet阻断的过滤策略。步骤1：在策略页签的页面单击按钮。步骤2：进展如下配置，如下列图所示。输入名称为 _policy2。单击正文过滤前的扩展按钮。在正文过滤的可选过滤条目列表框中选中abc关键字过滤条目，单击按钮将其添加到已选过滤条目列表框中。选中Java Applet阻断前的复选框。步骤3：单击按钮完成操作。图1-35 配置带Java Applet阻断的过滤策略# 配置SMTP过滤策略。步骤1：单击SMTP策略页签。步骤2：单击按钮。步骤

27、3：进展如下配置，如下列图所示。输入名称为smtp_policy。单击附件过滤前的扩展按钮。在附件名称过滤的可选过滤条目列表框中选中e*e文件名过滤条目，单击按钮将其添加到已选过滤条目列表框中。步骤3：单击按钮完成操作。图1-36 配置SMTP过滤策略# 配置FTP过滤策略。步骤1：单击FTP策略页签。步骤2：单击按钮。步骤3：进展如下配置，如下列图所示。输入名称为ftp_policy。单击上传文件名过滤前的扩展按钮。在上传文件名过滤的可选过滤条目列表框中选中system文件名过滤条目，单击按钮将其添加到已选过滤条目列表框中。步骤4：单击按钮完成操作。图1-37 配置FTP过滤策略# 配置Te

28、lnet过滤策略。步骤1：单击Telnet策略页签。步骤2：单击按钮。步骤3：进展如下配置，如下列图所示。输入名称为telnet_policy。单击命令字过滤前的扩展按钮。在命令字过滤的可选过滤条目列表框中选中reboot关键字过滤条目，单击按钮将其添加到已选过滤条目列表框中。步骤4：单击按钮完成操作。图1-38 配置Telnet过滤策略(4)配置内容过滤策略模板# 配置不带Java Applet阻断的内容过滤策略模板。步骤1：在导航栏中选择应用控制 内容过滤 策略模板。步骤2：单击按钮。步骤3：进展如下配置，如下列图所示。输入名称为template1。选择过滤策略为 _policy1。选择S

29、MTP过滤策略为smtp_policy。选择FTP过滤策略为ftp_policy。选择Telnet过滤策略为telnet_policy步骤4：单击按钮完成操作。图1-39 配置不带Java Applet阻断的内容过滤策略模板# 配置带Java Applet阻断的内容过滤策略模板。步骤1：在策略模板页面单击按钮。步骤2：进展如下配置，如下列图所示。输入名称为template2。选择过滤策略为 _policy2。选择SMTP过滤策略为smtp_policy。选择FTP过滤策略为ftp_policy。选择Telnet过滤策略为telnet_policy。步骤3：单击按钮完成操作。图1-40 配置带J

30、ava Applet阻断的内容过滤策略模板(5)配置引用内容过滤策略模板的域间策略# 配置Trust平安域到Untrust平安域的目的地址为的域间策略，并引用不带Java Applet阻断的内容过滤策略模板。步骤1：在导航栏中选择防火墙 平安策略 域间策略。步骤2：单击按钮。步骤3：进展如下配置，如下列图所示。选择源域为Trust。选择目的域为Untrust。选择源IP地址为any_address。选中目的IP地址中新建IP地址前的单项选择按钮，输入目的IP地址为。选择效劳名称为any_service。选择过滤动作为Permit。选择内容过滤策略模板为template1。选中启用规则前的复选框

31、。选中确定后续添加下一条规则前的复选框。步骤4：单击按钮完成操作。图1-41 配置引用不带Java Applet阻断的内容过滤策略模板的域间策略# 配置Trust平安域到Untrust平安域的域间策略，并引用带Java Applet阻断的内容过滤策略模板。步骤1：保持之前选择的源域和目的域不变，继续进展如下配置，如下列图所示。选择源IP地址和目的IP地址均为any_address。选择效劳名称为any_service。选择过滤动作为Permit。选择内容过滤策略模板为template2。选中启用规则前的复选框。步骤2：单击按钮完成操作。图1-42 配置引用带Java Applet阻断的内容过滤

32、策略模板的域间策略3. 配置结果验证完成上述配置后，局域网内用户不能收到含有abc关键字的响应；除对IP地址为的Web效劳器外，不能成功发送Java Applet请求；不能成功发送带有.e*e附件的；不能通过FTP方式上传名称为abc的文件；不能执行Telnet命令reboot。设备运行一段时间后，在导航栏中选择应用控制 内容过滤 统计信息，可以看到如下列图所示的统计信息。图1-43 内容过滤统计信息4. 考前须知配置内容过滤时需要注意如下事项：(1)配置URL主机名过滤条目时，需要注意通配符的使用规则：表示开头匹配。只能出现在关键字的开头，且只能出现一次。$表示结尾匹配。只能出现在关键字的结

33、尾，且只能出现一次。&代替一个字符，不能代替空格和.。可出现任意多个，可连续出现，可位于关键字的任意位置，但不能与*一起使用。*代替任意多个字符，不能代替.。在关键字中只能出现一次，可以位于关键字的开头和中间，不能位于结尾，并且不能和、$相邻。如果关键字的开头有或结尾有$，表示准确匹配。例如，webfilter表示以webfilter开头的网址如webfilter.或类似于cmm.webfilter-any.的网址将被过滤掉。关键字webfilter$表示过滤包含独立词语webfilter的网址，比方.webfilter.，但是类似于.webfilter-china.的网址将不会被过滤。如果关

34、键字的开头和结尾都没有通配符，表示模糊匹配。对于模糊匹配，只要网址中包含了该关键字就会被过滤。不支持纯数字的关键字。如果需要过滤类似.123.的，使用123作为过滤地址是不合法的，但可以使用123$、.123.和123.等作为过滤地址。因此，对于以数字作为地址的，建议采用准确匹配方式进展过滤。(2)配置URL参数过滤关键字时，需要注意通配符的使用规则：表示开头匹配。只能出现在关键字的开头，且只能出现一次。$表示结尾匹配。只能出现在关键字的结尾，且只能出现一次。&代替一个字符。可出现任意多个，可连续出现，可位于关键字的任意位置，但不能与*相邻，如果出现在开场和结尾的位置，则一定要和或$相邻。*代

35、替长度不超过4个字符的任意字符串，可代替空格。只能位于关键字的中间，且只能出现一次。如果关键字的开头有或结尾有$，表示准确匹配。例如，关键字webfilter$表示网址中的URL参数包含独立词语webfilter的请求将被过滤掉，比方.abc./webfilter any，但是类似于.abc./webfilterany的网址将不会被过滤。如果关键字的开头和结尾都没有通配符，表示模糊匹配。对于模糊匹配，只要网址中的URL参数包含了该关键字就会被过滤。平安要求-设备-防火墙-功能-13-可选防火墙必须具备病毒防护功能，对蠕虫等病毒传播时的攻击流量进展过滤。待确认高端防火墙不支持；中低端防火墙支持配

36、置防病毒策略(1)在导航栏中选择深度平安防御 防病毒，默认进入防病毒策略页签的页面，如HYPERLINK press/data/infoblade/ware%20V5平台中文/1.1.98%20WEB分册平安/0%20深度平安防御/平台Web配置手册%20深度平安防御.htm l _Ref269371747图1-9所示。(2)单击按钮，进入新建防病毒策略的配置页面，如下列图所示。图1-10 新建防病毒策略(3)配置防病毒策略，详细配置如下表所示。(4)单击按钮完成操作。表1-7 新建防病毒策略的详细配置配置项说明名称设置防病毒策略的名称动作设置对检测到的攻击所采取的动作，包括：记录日志和阻断攻击类型显示设备能够检测和防御的病毒类型应用防病毒策略(1)在导航栏中选择深度平安检测 防病毒，单击防病毒策略应用页签，进入如下列图所示的页面。图1-11 防病毒策略应用(2)单击按钮，进入新建防病毒策略应用的配置页面，如下列图所示。图1-12 新建防病毒策略应用(3)配置防病毒策略应用，详细配置如下表所示。(4)单击按钮完成操作。表1-8 新建防病毒策略应用的详细配置配置项说明源域设置要应用防病毒策略的源平安域同一对平安域只能配置一条防病毒策略应用当源域和目的域不同时，建议将内部可信任的平安域设置为目的域，将外部不可信的平安域设置为源域目的域设置要应用防病毒策略的目的域防病毒策略设