Secoway USG3000
配置指南安全防范分册目录
目录
9 配置安全策略...............................................................................................................................9-1
9.1 简介..............................................................................................................................................................9-3
9.1.1 安全区域概述.....................................................................................................................................9-3
9.1.2 会话表概述........................................................................................................................................9-3
9.1.3 长连接概述........................................................................................................................................9-4
9.1.4 分片缓存概述.....................................................................................................................................9-4
9.1.5 包过滤概述........................................................................................................................................9-5
9.1.6 攻击防范与报文统计概述.................................................................................................................9-5
9.1.7 ASPF概述...........................................................................................................................................9-6
9.1.8 黑名单概述........................................................................................................................................9-8
9.1.9 MAC和IP地址绑定概述..................................................................................................................9-8
9.1.10 端口识别概述...................................................................................................................................9-9
9.2 配置安全区域..............................................................................................................................................9-9
9.2.1 建立配置任务.....................................................................................................................................9-9
9.2.2 配置安全区域...................................................................................................................................9-10
9.2.3 检查配置结果...................................................................................................................................9-10
9.3 配置会话表老化时间................................................................................................................................9-11
9.3.1 建立配置任务...................................................................................................................................9-11
9.3.2 配置会话表老化时间.......................................................................................................................9-11
9.3.3 检查配置结果...................................................................................................................................9-12
9.4 配置长连接................................................................................................................................................9-12
9.4.1 建立配置任务...................................................................................................................................9-12
9.4.2 配置长连接功能...............................................................................................................................9-13
9.5 配置分片缓存............................................................................................................................................9-14
9.5.1 建立配置任务...................................................................................................................................9-14
9.5.2 配置分片缓存功能...........................................................................................................................9-15
9.5.3 配置分片报文直接转发功能...........................................................................................................9-15
9.6 配置包过滤................................................................................................................................................9-15
9.6.1 建立配置任务...................................................................................................................................9-15
9.6.2 配置域间缺省包过滤规则...............................................................................................................9-16
目录
Secoway USG3000
配置指南安全防范分册
9.6.3 配置域间包过滤规则.......................................................................................................................9-16 9.6.4 检查配置结果...................................................................................................................................9-17
9.7 配置攻击防范............................................................................................................................................9-17
9.7.1 建立配置任务...................................................................................................................................9-17
9.7.2 启用丢弃分片报文功能...................................................................................................................9-18
9.7.3 启用攻击防范功能...........................................................................................................................9-18
9.7.4 配置Flood类攻击防范参数...........................................................................................................9-20
9.7.5 配置基于会话的攻击防范参数.......................................................................................................9-22
9.7.6 配置扫描类攻击防范参数...............................................................................................................9-23
9.7.7 配置超大ICMP报文控制参数.......................................................................................................9-23
9.7.8 检查配置结果...................................................................................................................................9-24 9.8 配置连接数限制和新建连接速率限制和带宽限制................................................................................9-24
9.8.1 建立配置任务...................................................................................................................................9-24
9.8.2 配置全局连接数和比例监控...........................................................................................................9-26
9.8.3 配置连接数限制...............................................................................................................................9-26
9.8.4 配置新建连接速率限制...................................................................................................................9-27
9.8.5 配置H.323流量带宽保证...............................................................................................................9-27
9.8.6 配置特定数据流流量带宽保证.......................................................................................................9-27
9.8.7 配置对其他数据流的流量限制.......................................................................................................9-27 9.9 配置ASPF.................................................................................................................................................9-28
9.9.1 建立配置任务...................................................................................................................................9-28
9.9.2 配置域间应用ASPF........................................................................................................................9-28
9.9.3 配置域内应用ASPF........................................................................................................................9-29 9.10 配置三元组ASPF...................................................................................................................................9-30
9.10.1 建立配置任务.................................................................................................................................9-30
9.10.2 启用三元组ASPF..........................................................................................................................9-30 9.11 配置静态黑名单......................................................................................................................................9-31
9.11.1 建立配置任务.................................................................................................................................9-31
9.11.2 配置静态黑名单功能.....................................................................................................................9-32
9.11.3 检查配置结果.................................................................................................................................9-32 9.12 动态插入黑名单......................................................................................................................................9-32
9.12.1 建立配置任务.................................................................................................................................9-32
9.12.2 启用动态黑名单功能.....................................................................................................................9-33 9.13 绑定黑名单和ACL.................................................................................................................................9-33
9.13.1 建立配置任务.................................................................................................................................9-33
9.13.2 配置黑名单和ACL绑定...............................................................................................................9-34 9.14 绑定MAC和IP地址.............................................................................................................................9-34
9.14.1 建立配置任务.................................................................................................................................9-34
9.14.2 配置MAC和IP地址绑定............................................................................................................9-35
9.14.3 检查配置结果.................................................................................................................................9-36 9.15 配置端口识别..........................................................................................................................................9-36
9.15.1 建立配置任务.................................................................................................................................9-36
9.15.2 配置端口识别.................................................................................................................................9-37
9.15.3 检查配置结果.................................................................................................................................9-38 9.16 维护..........................................................................................................................................................9-38
9.16.1 查看统一安全网关的会话信息.....................................................................................................9-38
9.16.2 清除统一安全网关的会话表项、分片表.....................................................................................9-38
9.16.3 调试统一安全网关包过滤.............................................................................................................9-39
9.16.4 调试统一安全网关攻击防范功能.................................................................................................9-39
9.16.5 查看统一安全网关统计信息.........................................................................................................9-40
9.16.6 清除统一安全网关统计信息.........................................................................................................9-41
9.16.7 调试ASPF......................................................................................................................................9-41
9.16.8 调试统一安全网关黑名单.............................................................................................................9-41
9.16.9 调试MAC和IP地址绑定............................................................................................................9-41 9.17 配置举例..................................................................................................................................................9-42
9.17.1 配置安全区域示例.........................................................................................................................9-42
9.17.2 配置会话老化时间示例.................................................................................................................9-43
9.17.3 配置Land攻击防范示例..............................................................................................................9-45
9.17.4 配置基于IP地址的SYN Flood攻击防范示例...........................................................................9-47
9.17.5 配置基于接口的ARP Flood攻击防范示例.................................................................................9-49
9.17.6 配置地址扫描攻击防范示例.........................................................................................................9-50
9.17.7 配置超大ICMP报文控制示例.....................................................................................................9-52
9.17.8 配置基于安全区域的连接数限制示例.........................................................................................9-53
9.17.9 配置基于安全区域的H.323流量带宽保证示例.........................................................................9-55
9.17.10 配置ASPF示例...........................................................................................................................9-58
9.17.11 配置三元组ASPF示例...............................................................................................................9-60
9.17.12 配置静态黑名单示例...................................................................................................................9-62
9.17.13 配置动态黑名单示例...................................................................................................................9-63
9.17.14 配置MAC和IP地址绑定示例..................................................................................................9-63
9.17.15 配置端口识别示例.......................................................................................................................9-65
插图目录
图9-1 报文统计典型应用组网图.....................................................................................................................9-6图9-2 安全区域典型配置举例组网图...........................................................................................................9-42图9-3 会话老化时间配置举例组网图...........................................................................................................9-44图9-4 统一安全网关攻击防范功能配置组网图...........................................................................................9-46图9-5 基于安全区域的连接数量监控组网图...............................................................................................9-54图9-6 ASPF配置案例组网图.........................................................................................................................9-58图9-7 三元组ASPF典型配置举例...............................................................................................................9-61图9-8 黑名单过滤的组网图...........................................................................................................................9-62图9-9 地址绑定配置组网图...........................................................................................................................9-64图9-10 端口识别配置案例组网图.................................................................................................................9-65
表格目录
表9-1 报文转发规则........................................................................................................................................9-4表9-2 包过滤规则............................................................................................................................................9-5表9-3 地址绑定与静态ARP的创建原则.....................................................................................................9-36
配置安全策略
配置指南安全防范分册 9
9 配置安全策略
关于本章
本章描述内容如下表所示。
标题内容
9.1 简介介绍安全区域、会话表、长连接、分片缓存、包过滤、
攻击防范与报文统计、ASPF、黑名单、MAC和IP地
址绑定和端口识别的基本概念。
9.2 配置安全区域介绍安全区域的配置方法。
配置举例:配置安全区域示例
9.3 配置会话表老化时间介绍会话表老化时间的配置方法。
配置举例:配置会话老化时间示例
9.4 配置长连接介绍长连接的配置方法。
9.5 配置分片缓存介绍分片缓存和分片报文直接转发的配置方法。
9.6 配置包过滤介绍包过滤的配置方法。
9.7 配置攻击防范介绍攻击防范的配置方法。
配置举例:配置Land攻击防范示例
配置举例:配置基于IP地址的SYN Flood攻击防范示
例
配置举例:配置基于接口的ARP Flood攻击防范示例
配置举例:配置地址扫描攻击防范示例
配置举例:配置超大ICMP报文控制示例
9 配置安全策略
Secoway USG3000
配置指南安全防范分册标题内容
9.8 配置连接数限制和新建
连接速率限制
介绍连接数限制和新建连接速率限制的配置方法。
配置举例:配置基于安全区域的连接数限制示例
配置举例:配置基于安全区域的H.323流量带宽保证
示例
9.9 配置ASPF介绍ASPF的配置方法。
配置举例:配置ASPF示例
9.10 配置三元组ASPF介绍三元组ASPF的配置方法。
配置举例:配置三元组ASPF示例
9.11 配置静态黑名单介绍静态黑名单的配置方法。
配置举例:配置静态黑名单示例
9.12 动态插入黑名单介绍动态黑名单功能的配置方法。
配置举例:配置动态黑名单示例
9.13 绑定黑名单和ACL介绍在黑名单中绑定ACL配置方法。
9.14 绑定MAC和IP地址介绍MAC和IP地址绑定的配置方法。
配置举例:配置MAC和IP地址绑定示例
9.15 配置端口识别介绍端口识别的配置方法。
配置举例:配置端口识别示例
9.16 维护介绍安全策略的维护方法。
9.17 配置举例介绍安全策略的组网举例。
Secoway USG3000
配置安全策略
配置指南安全防范分册 9 9.1 简介
9.1.1 安全区域概述
统一安全网关将网络划分为内部网络和外部网络,保护内部网络不受来自外部网络的恶
意侵害。由此统一安全网关提出安全区域的概念,为属于不同安全区域的用户提供不同
级别的安全保障。根据实际组网需要,自行创建安全区域并定义其安全优先级。
安全优先级
安全区域通过安全优先级来表示其安全级别,安全优先级有如下特点:
z安全级别通过安全优先级表示,数字越大表示安全级别越高。
z不存在两个具有相同安全级别的安全优先级。
缺省安全区域
统一安全网关缺省保留四个安全区域,按照安全优先级从低到高分别是:
z非受信区域Untrust
低安全级别的安全区域,安全优先级为5。
z非军事化区域DMZ(Demilitarized Zone)
中等安全级别的安全区域,安全优先级为50。
z受信区域Trust
较高安全级别的安全区域,安全优先级为85。
z本地区域Local
最高安全级别的安全区域,安全优先级为100。
这四个区域无需创建,也不能删除,同时各安全区域的安全优先级也不能重新设置。
对于DMZ区域的解释如下:
DMZ这一术语起源于军方,指的是介于严格的军事管制区和松散的公共区域之间的有
着部分管制的区域。
统一安全网关引用了DMZ,用来表示一个逻辑上和物理上都与内部网络和外部网络分
离的区域。DMZ一般用来放置对外提供网络服务的设备,如WWW Server、FTP Server。
DMZ很好地解决了服务器的放置问题。上述服务器如果放置于外部网络,则统一安全
网关无法保障它们的安全;如果放置于内部网络,外部恶意用户则有可能利用某些服务
的安全漏洞攻击内部网络。
9.1.2 会话表概述
统一安全网关采用会话表来维持通信状态。
会话表由如下五个元素组成:
9 配置安全策略
Secoway USG3000
配置指南安全防范分册
z源IP地址
z源端口号
z目的IP地址
z目的端口号
z协议号
当统一安全网关收到报文后,将报文头内相关信息与会话表作比较,并根据比较结果进行后续操作。统一安全网关的报文转发规则如表9-1所示。
表9-1报文转发规则
条件1 条件2 操作
报文相关信息匹配会话表- 转发该报文
域间包过滤规则配置为允许
该数据流通过
转发该报文,并创建会话
表表项
域间包过滤规则配置为拒绝
该数据流通过
丢弃该报文,不予转发
报文相关信息不匹配会话
表
未匹配到域间包过滤规则根据缺省域间包过滤规则
处理该报文
9.1.3 长连接概述
实际应用中,统一安全网关某些会话的老化时间相对较短,而对应数据流需要长时间不
被老化。为解决这一矛盾,统一安全网关提出长连接特性。
长连接功能用于设置特定数据流的超长老化时间。该数据流由ACL确定。数据流的老
化时间不受全局老化时间限制。
9.1.4 分片缓存概述
网络设备传输报文时,如果设备上配置的MTU小于报文长度,则会将报文分片后再发
送。
理想传输过程中,各分片报文将按照固定的先后顺序在网络中传输。
实际传输过程中,可能存在首片分片报文不是第一个到达统一安全网关的现象。在未进
行分片报文缓存时,统一安全网关将丢弃该系列分片报文。
为保证会话的正常进行,统一安全网关增加分片缓存功能,来保证会话的正常进行。其
工作过程如下:
步骤 1将先于首片分片报文到达的后续分片报文存于分片缓存。
步骤 2首片分片报文到达后再进行转发。
----结束
Secoway USG3000
配置安全策略
配置指南安全防范分册 9 如果在一定时间内(默认5s)首片分片报文无法到达统一安全网关,存于分片缓存的后
续分片报文将被丢弃。
9.1.5 包过滤概述
只有当数据在两个安全区域之间流动时,才会激活统一安全网关的安全规则检查功能。
包过滤即是统一安全网关安全规则检查的重要组成部分。
包过滤功能实现对IP报文的过滤,工作过程如下:
步骤 1对于需要转发的报文,统一安全网关先获取报文头信息,包括IP层所承载的上层协议
的协议号、报文的源地址、目的地址、源端口号和目的端口号。
步骤 2将报文头信息和设定的ACL规则进行比较。
步骤 3根据比较结果,按照ACL设定的动作,允许或拒绝对报文的转发。
----结束
包过滤规则如表9-2所示。
表9-2包过滤规则
条件1 条件2 结果
- 转发该报文
域间包过滤规则允
许报文通过
- 丢弃该报文
域间包过滤规则拒
绝报文通过
未匹配到域间包过
缺省域间包过滤规则允许报文通过转发该报文
滤规则
缺省域间包过滤规则拒绝报文通过丢弃该报文
域间包过滤规是通过在域间绑定具体的ACL规则实现的;缺省域间包过滤规则只能配置允许所有
报文通过还是拒绝所有报文通过。
9.1.6 攻击防范与报文统计概述
攻击防范概述
通常的网络攻击,是侵入或破坏网上的服务器(主机),盗取服务器的敏感数据或干扰
破坏服务器对外提供的服务。也有直接破坏网络设备的网络攻击,这种攻击影响较大,
会导致网络服务异常,甚至中断。统一安全网关的攻击防范功能能够检测出多种类型的
网络攻击,并能采取相应的措施保护内部网络免受恶意攻击,保证内部网络及系统的正
常运行。
9 配置安全策略
Secoway USG3000配置指南安全防范分册
报文统计概述
对于统一安全网关来说,不仅要对数据流量进行监控,还要对内外部网络之间的连接发
起情况进行检测,因此要进行大量的统计、计算与分析。
统一安全网关对报文统计结果的分析有如下两个方面:
z专门的分析软件事后分析日志信息。
z统一安全网关实时完成一部分分析功能。
通过对报文统计分析,统一安全网关实现了对内部网络的保护。如:
z通过分析外部网络向内部网络发起的TCP或UDP连接总数是否超过设定的阈值,可以确定是否需要限制该方向的新连接发起,或者限制向内部网络某一IP地址发
起新连接。
z通过分析发现系统的总连接数超过阈值,则可以加快系统的连接老化速度,以保证新连接能够正常建立,防止因系统太忙而导致拒绝服务情况的发生。
图9-1是统一安全网关的一个典型应用,当启动了外部网络到DMZ区域的基于IP地址
的统计分析功能时,如果外部网络对Web服务器129.9.0.1发起的TCP连接数超过了设
定的阈值,将限制外部网络向该服务器发起新连接,直到连接数降到正常的范围。
图9-1报文统计典型应用组网图
9.1.7 ASPF概述
ASPF介绍
只有当数据在两个安全区域之间流动时,才会激活统一安全网关的安全规则检查功能。
ASPF(Application Specific Packet Filter)是统一安全网关安全规则检查的重要组成部分。
ASPF是针对应用层的包过滤,即基于状态的报文过滤。ASPF和ACL协同工作,以便
实施内部网络的安全策略。ASPF能够检测试图通过统一安全网关的应用层协议会话信
Secoway USG3000
配置安全策略
配置指南安全防范分册 9 息,通过维护会话的状态和检查会话报文的协议和端口号等信息,允许特定的数据报文
通过。
ASPF能对如下协议进行监测:
z FTP(File Transfer Protocol)
z H.323
z HTTP(Hyper Text Transport Protocol)
z HWCC(HuaWei Conference Control protocol)
z ILS(Internet Location Service)
z MGCP(Media Gateway Control Protocol)
z MMS(Microsoft Media Server)
z MSN
z PPTP(Point-to-Point Tunneling Protocol)
z QQ
z RTSP(Real-Time Streaming Protocol)
z SIP(Session Initiation Protocol)
z SMTP(Simple Mail Transfer Protocol)
z SQLNET
ASPF还提供以下功能:
z Java Blocking(Java阻断)
保护网络不受有害Java Applets的破坏
z ActiveX Blocking(ActiveX阻断)
保护网络不受有害ActiveX的破坏
对于FTP协议,还支持域内ASPF功能,对通过某个安全区域的数据流进行检测。
QQ/MSN聊天的检测
目前,为了节省有限的IP地址资源,绝大部分网络均部署了NAT设备提供地址转换。
对于纯文本聊天,由于在QQ/MSN服务器中保存了聊天用户的地址映射信息,信息交
互可以顺利地通过QQ/MSN服务器中转。
聊天用户可能传送文件或进行音频/视频聊天,如果QQ/MSN服务器中转此类报文将消
耗过大资源,无法保证对纯文本聊天报文的正常中转。QQ/MSN服务器希望两个私网用
户可以通过NAT设备直接交互大流量的文件/音频/视频信息,但是由于一般NAT设备
需要转换聊天用户的地址信息,无法实现该需求。
配置统一安全网关NAT功能时,可以在相关域间启动QQ/MSN检测功能,统一安全网
关在QQ/MSN聊天启动时则会创建地址映射关系,从而允许两个私网用户直接传送文
件和进行音频/视频聊天。
9 配置安全策略
Secoway USG3000配置指南安全防范分册
三元组ASPF
统一安全网关相当于一个五元组的NAT设备,即统一安全网关上的每个会话的建立都
需要五元组:源IP地址、源端口、目的IP地址、目的端口、协议号。只有这些元素都
具备了,会话才能建立成功,报文才能通过。
而一些实时通讯工具,如QQ、MSN等,通过NAT设备,需要按三元组处理:源IP地
址、源端口、协议号。统一安全网关为了适配类似QQ、MSN等通讯机制,支持三元组
处理方式,让类似QQ、MSN等的通讯工具能够正常的穿越。
除QQ、MSN穿越NAT设备外,其他仅使用源IP地址、源端口、协议号的会话,如
TFTP,同样需要配置统一安全网关三元组ASPF。
9.1.8 黑名单概述
黑名单是统一安全网关一个重要的安全特性,它是一个IP地址列表,如果用户的IP地
址匹配黑名单的IP地址,统一安全网关将丢弃来自该用户的所有报文。黑名单的特点
是允许动态地添加或删除。同基于ACL的包过滤功能相比,由于黑名单仅对IP地址进
行匹配,可以以较高的速度实现黑名单表项匹配,从而快速有效地屏蔽特定IP地址的
用户。
创建黑名单表项,有如下两种方式:
z通过命令行手工创建。
z通过统一安全网关攻击防范模块或IDS模块动态创建。
统一安全网关动态创建黑名单的工作过程如下:
步骤 1根据报文的行为特征检测到来自特定IP地址的攻击企图。
步骤 2自动将这一特定IP地址插入黑名单表项。
步骤 3统一安全网关根据黑名单丢弃从该IP地址发送的报文,从而保障网络安全。
----结束
通过在黑名单中引用高级ACL,可绑定黑名单和高级ACL,根据高级ACL规则确定是
否允许该报文通过。对于ACL规则拒绝的流量进行丢弃,而ACL规则允许的流量则允
许通过。
9.1.9 MAC和IP地址绑定概述
MAC和IP地址绑定,指统一安全网关可以根据用户的配置,在IP地址和MAC地址之
间形成关联关系。
MAC和IP地址绑定是避免IP地址假冒攻击的一种有效手段:
z源地址为这个IP地址的报文,如果其MAC地址不是指定关系对中的MAC地址,统一安全网关将予以丢弃。
z目的地址为这个IP地址的报文,将被强制发送到MAC-IP地址关联关系中,该IP 地址对应的MAC地址。
Secoway USG3000
配置安全策略
配置指南安全防范分册 9 9.1.10 端口识别概述
应用层协议一般使用知名端口号进行通信。端口识别允许用户针对不同的应用在知名端
口号之外定义一组新的端口号。端口识别提供了一些机制来维护和使用用户定义的端口
配置信息。
端口识别能够对不同的应用协议创建和维护一张系统定义(system-defined)和用户定义
(user-defined)的端口识别表。
统一安全网关支持基于基本ACL的主机端口识别。这种主机端口识别是对去往某些特
定主机的报文建立自定义端口号和应用协议的识别。例如:将去往10.110.0.0网段的主
机使用8080端口的TCP报文识别为HTTP报文。主机的范围可由基本ACL指定。
9.2 配置安全区域
9.2.1 建立配置任务
应用环境
配置统一安全网关业务功能前,需要首先配置统一安全网关的安全区域。
前置任务
在配置安全区域前,需要完成以下任务:
z(可选)配置统一安全网关工作模式
z(可选)配置接口的IP地址
只允许在路由模式或混合模式下配置接口的IP地址。
数据准备
在配置安全区域前,需要准备以下数据。
序号数据
1 安全区域的名称
2 安全区域的优先级别
3 接口类型和接口编号
配置过程
要完成安全区域的配置,需要按照以下过程配置。
9 配置安全策略
Secoway USG3000
配置指南安全防范分册
序号过程
1 配置安全区域
2 检查配置结果
9.2.2 配置安全区域
步骤 1执行命令system-view,进入系统视图。
步骤 2执行命令firewall zone [ name ] zone-name,创建安全区域,并进入相应安全区域视图。
执行firewall zone命令时,存在如下两种情况:
z安全区域已经存在,不必配置关键字name,直接进入安全区域视图。
z安全区域不存在,需要配置关键字name,创建安全区域,并进入安全区域视图。
系统预定义了Local、Trust、DMZ和Untrust四个安全区域。此四个区域无需创建,也
不能删除。
步骤 3执行命令set priority security-priority,配置安全区域的安全级别。
配置安全区域的安全级别时,需要遵循如下原则:
z只能为自定义的安全区域设定安全级别。
z安全级别一旦设定,不允许更改。
z同一系统中,两个安全区域不允许配置相同的安全级别。
步骤 4执行命令add interface interface-type interface-number,配置接口加入安全区域。
配置接口加入安全区域时,需要遵循如下原则:
z接口只能被加入除Local安全区域以外的安全区域。
z加入安全区域的接口可以是物理接口,也可以是逻辑接口。
z加入一个安全区域的接口数不大于1024。
步骤 5(可选)执行命令description text,设置该域的描述信息,便于用户识别。
----结束
9.2.3 检查配置结果
完成上述配置后,请执行下面的命令检查配置结果。
操作命令
查看安全区域的配置信息display zone [ zone-name ] [ interface | priority ]
查看安全域间的配置信息display interzone [ zone-name1 zone-name2 ]
Secoway USG3000
配置安全策略
配置指南安全防范分册 9 9.3 配置会话表老化时间
9.3.1 建立配置任务
应用环境
当统一安全网关缺省的会话表老化时间不能满足现有网络的需求时,即可重新设置,或
启用统一安全网关会话表的加速老化功能。
前置任务
在配置会话表老化时间前,需要完成以下任务:
z(可选)配置统一安全网关的工作模式
z(可选)配置接口的IP地址
z配置接口加入安全区域
z配置相关应用协议的ASPF
只允许在路由模式或混合模式下配置接口的IP地址。
数据准备
在配置会话表老化时间前,需要准备以下数据。
序号数据
1 协议名
2 老化时间
配置过程
要完成会话表老化时间的配置,需要按照以下过程配置。
序号过程
1 配置会话表老化时间
2 检查配置结果
9.3.2 配置会话表老化时间
步骤 1执行命令system-view,进入系统视图。
步骤 2执行命令firewall session aging-time { esp | dns | fin-rst | fragment | ftp | ftp-data | h225 |
h245 | h323-rtcp | h323-rtp | h323-t120 | http | hwcc | icmp | ils | mgcp | mgcp-rtcp |
9 配置安全策略
Secoway USG3000
配置指南安全防范分册mgcp-rtp | mms | mms-data | msn | netbios-name | netbios-data | netbios-session | pptp | qq | ras | rtcp | rtp | rtsp | sip | sip-rtcp | sip-rtp | smtp | sqlnet | sqlnet-data | syn | tcp | telnet | udp | user-define } interval,配置会话表老化时间。
步骤 3执行命令firewall session aging-time accelerate enable,打开统一安全网关会话表项加速老化功能。
配置时请注意:
z普通会话表项数超过150000条或长连接会话表项超过4000条时,统一安全网关自动启用会话表项加速老化功能。
z会话表项加速老化功能启动之后,表项的老化按照系统缺省设置时间和用户设定的时间之中比较短的为准进行。
z由于用于MSN会话的端口的缺省空闲超时时间相对较短,会话表项老化后,MSN 会话的连接将会断开,会话无法完成。建议配置MSN的空闲超时时间为1800s。
----结束
9.3.3 检查配置结果
完成上述配置后,请执行下面的命令检查配置结果。
操作命令
查看会话表的老化时间display firewall session aging-time
9.4 配置长连接
9.4.1 建立配置任务
应用环境
这项特殊业务与目前业界的状态防火墙的实现机制存在矛盾。
为保证内部网络的安全,统一安全网关上的各会话缺省老化时间都相对较短,例如:缺
省情况下,TCP的老化时间为600s。
正常情况下,当一个TCP会话的两个连续报文到达统一安全网关的时间间隔大于该会
话的老化时间时,为保证网络的安全性,统一安全网关将从会话表中删除相应会话信息。
后续报文到达统一安全网关后,统一安全网关根据自身的转发机制,丢弃该报文,导致
连接中断。
在实际应用中,用户需要查询服务器上的数据,这些查询时间间隔远大于TCP的会话
老化时间。此时需要在统一安全网关上保持TCP连接一段相对较长的时间。当某会话
的报文长时间没有到达统一安全网关后再次到达时,仍然能够通过统一安全网关。
当统一安全网关需要支持网管等服务时,需要配置长连接功能。
Secoway USG3000
配置安全策略
配置指南安全防范分册 9 前置任务
在配置长连接功能前,需要完成以下任务:
z(可选)配置统一安全网关的工作模式
z(可选)配置接口的IP地址
z配置接口加入安全区域
z(可选)配置地址集
z(可选)配置端口集
不能配置工作于透明模式下的接口的IP地址。
数据准备
在配置长连接功能前,需要准备以下数据。
序号数据
1 应用长连接的ACL相关参数协议名TCP
2 应用长连接的安全域间方向
3 长连接的老化时间
9.4.2 配置长连接功能
USG3000只针对TCP数据流做长连接操作。
步骤 1执行命令system-view,进入系统视图。
步骤 2执行命令acl [ number ] acl-number [match-order { config | auto } ],创建高级ACL,并
进入相应视图。
步骤 3执行命令rule [ rule-id ] { permit | deny } tcp
[ source { source-address source-wildcard | address-set address-set-name | any } |
destination { destination-address destination-wildcard | address-set address-set-name | any }
| source-port { operator port | range port1port2 | port-set port-set-name } |
destination-port { operator port | range port1port2 | port-set port-set-name } |
precedence precedence | tos tos | time-range time-name | logging ] *
配置高级ACL规则。
建议不要配置源地址或目的地址范围过大的ACL规则,以防影响统一安全网关的性能。
步骤 4执行命令quit,退回系统视图。
步骤 5执行命令firewall long-link aging-time interval,配置长连接的老化时间。
9 配置安全策略
Secoway USG3000配置指南安全防范分册
步骤 6执行命令firewall interzone zone-name1 zone-name2,进入安全域间视图。
步骤 7执行命令firewall long-link acl-number { inbound | outbound },配置长连接功能。
----结束
安全域间的入域方向和出域方向可以关联不同的ACL规则。
在统一安全网关的安全域间,重新配置长连接功能时,新配置将覆盖原有配置。
在安全域间配置长连接功能后,可以修改引用的ACL。此时,统一安全网关将针对匹配
新ACL的数据流做长连接操作。
删除长连接ACL时,统一安全网关会同时清除对应的长连接操作。
9.5 配置分片缓存
9.5.1 建立配置任务
应用环境
当报文在网络传输过程中分片后,如果首片分片报文在其他分片报文后到达,则统一安
全网关将丢弃该报文。
为防止此类现象发生,保证会话不中断,请配置统一安全网关的分片缓存功能。
前置任务
在配置分片缓存功能前,需要完成以下任务:
z(可选)配置统一安全网关的工作模式
z(可选)配置接口的IP地址
z配置接口加入安全区域
只允许在路由模式或混合模式下配置接口的IP地址。
数据准备
配置分片缓存功能前,需要准备以下数据。
序号数据
1 ACL组号
2 允许缓存一个报文的最大分片数
3 允许缓存的最大分片报文总数
Secoway USG3000
配置安全策略
配置指南安全防范分册 9 9.5.2 配置分片缓存功能
步骤 1执行命令system-view,进入系统视图。
步骤 2执行命令firewall fragment-cache enable [ acl acl-number ],启用报文分片缓存功能。
步骤 3(可选)执行命令firewall fragment-cache max-number one-packet number,设置一个报
文的最大分片缓存数。
步骤 4(可选)执行命令firewall fragment-cache max-number total number,设置系统能缓存的
最大分片报文数。
----结束
缺省情况下,一个报文的最大分片数是10,系统能缓存的最大分片报文数是2000。当需要修改这
两个数时,请分别执行步骤3和步骤4。
9.5.3 配置分片报文直接转发功能
步骤 1执行命令system-view,进入系统视图。
步骤 2执行命令firewall fragment-forward enable,启用分片报文直接转发功能。
----结束
分片报文直接转发功能不用于NAT组网。启用该功能后,统一安全网关将收到的分片
报文直接转发出去,不创建分片散列表。
9.6 配置包过滤
9.6.1 建立配置任务
应用环境
当需要对通过统一安全网关的数据流进行限制时,可配置包过滤。
前置任务
在配置包过滤前,需要完成以下任务:
z(可选)配置统一安全网关的工作模式
z(可选)配置接口的IP地址
z配置接口加入安全区域
只允许在路由模式或混合模式下配置接口的IP地址。
首先,打开"管理工具"中的"本地安全策略",在"IP安全策略"选项上点击右键,如图1: 选择"创建IP安全策略",会弹出向导窗口,单击下一步,在弹出的窗口中,输入此策略的名称,比如这里我们键入"3389过滤"再单击下一步,以后全部默认下一步,其中有一个警告,单击"是"即可这样就完成新策略的添加.如图2: 点击确定后,回到图1界面,选择"管理IP筛选器操作",弹出窗口,如图3
我们先要建立一个筛选器,单击"添加",弹出窗口,在筛选器名称里填入"3389筛选器1",再单击旁边的"添加",会弹出向导窗口,单击"下一步",会出现源地址选项,(你可以按照自己的需要选择),在这里我们选择"任何IP地址",单击下一步,在目的地址中选择"我的IP地址",再单击下一步,选择IP协议,这里我们选择TCP,单击下一步,会出现端口选择,如图4: 我们设置从任何端口到本机的3389端口.单击下一步.就完成了筛选器的建立.如图5:
接着回到图3界面,单击"管理筛选器操作"页栏 单击"添加",会弹出筛选器操作向导,单击"下一步",取名为"阻止3389",单击下一步, 在选择操作页面中选择"阻止",单击"下一步",就完成了筛选器的建立.如图6:
好了! 我们建立了筛选器和筛选器操作,现在就要建立IP安全规则了.(***)在图1界面中,双击我们刚刚建立的"3389过滤"策略,弹出策略属性窗口,然后单击"添加"弹出向导,单击"下一步",一直单击下一步,其中一个选择"是",直到这里,如图7: 这时,我们要选择我们刚才建立的"3389筛选器1",然后再单击下一步.如图8
路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL
操作系统的安全策略基本配置 原则(最新版) Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production. ( 安全管理 ) 单位:______________________ 姓名:______________________ 日期:______________________ 编号:AQ-SN-0307
操作系统的安全策略基本配置原则(最新 版) 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略 利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安
全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明 ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体,驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务
编订:__________________ 单位:__________________ 时间:__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认
的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管
联想网御网闸(SIS-3000)设备测试报告 一、设备管理、拓扑结构 1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200 ,掩码:255.255.255.0 。 2、登录内网:用网线连接内网专用管理口,在IE浏览器输入:https://10.0.0.1:8889 3、输入用户名/密码:administrator/ administrator (超级用户)或输入:admin/admin123(管理员用户)。 4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:https://10.0.0.2:8889或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。 测试拓扑结构: FTP客户端 FTP服务端注:网闸的工作模式有两种,普通模式、透明模式。 “访问类别”功能是网闸的主要应用之一,根据外部应用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。 两种应用模式具体的比较如下
区别透明访问普通访问 含义外部客户端,“无视”网闸的存在,直接访 问网闸另一侧的真实服务器地址;外部客户端通过访问相连网闸地址,再由网闸连接真实服务器; 原理区别两者相同两者相同 配置区别1)只需配置网闸客户端任务,无需配置网 闸服务端任务; 2)客户端添加一条路由,指向网闸;必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同; 访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络 地址同网段 支持支持 网闸两侧网络 地址不同网段 支持支持 双机热备支持支持 负载均衡不支持支持 ◆硬件架构原理图如下 二、网闸主要配置抓图 2.1、内网配置抓图: ◆登陆界面
无线路由器的安全配置方法 随着越来越多的用户选择无线网络来提高工作的移 动性,无线网络的安全也开始备受大家关注。可以说,无线比有线网络更难保护,因为有线网络的固定物理访问点数量有限,而无线网络中信号能够达到的任何一点都可能被使用。 目前,各大品牌厂商在无线路由器的配置设计方面增加了密钥、禁止SSID广播等多种手段,以保证无线网络的安全。 设置网络密钥 无线加密协议(WEP)是对无线网络中传输的数据进行加 密的一种标准方法。目前,无线路由器或AP的密钥类型一 般有两种,分别为64位和128位的加密类型,它们分别需 要输入10个或26个字符串作为加密密码。许多无线路由器或AP在出厂时,数据传输加密功能是关闭的,必须在配置 无线路由器的时候人工打开。 禁用SSID广播 通常情况下,同一生产商推出的无线路由器或AP都使
用了相同的SSID,一旦那些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络,就极易建立起一条非法的连接,给我们的无线网络带来威胁。因此,建议你最好能够将SSID命名为一些较有个性的名字。 无线路由器一般都会提供“允许SSID广播”功能。如果你不想让自己的无线网络被别人通过SSID名称搜索到,那么最好“禁止SSID广播”。你的无线网络仍然可以使用,只是不会出现在其他人所搜索到的可用网络列表中。 通过禁止SSID广播设置后,无线网络的效率会受到一定的影响,但以此换取安全性的提高,笔者认为还是值得的。 禁用DHCP DHCP功能可在无线局域网内自动为每台电脑分配IP地址,不需要用户设置IP地址、子网掩码以及其他所需要的TCP/IP参数。如果启用了DHCP功能,那么别人就能很容易使用你的无线网络。因此,禁用DHCP功能对无线网络而言很有必要。在无线路由器的“DHCP服务器”设置项下将DHCP 服务器设定为“不启用”即可。 启用MAC地址、IP地址过滤
防火墙安全策略配置 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
一、防火墙设置外网不能访问内网的方法: 1、登录到天融信防火墙集中管理器; 2、打开“高级管理”→“网络对象”→“内网”,在右边窗口空白处点击右键,在弹出的快捷菜单中选择“定义新对象”→“子网”,填入子网名称(自己命名),如“120段”,地址范围中,输入能够上网机器的所有IP范围(能够上网的电脑IP 范围)。点击确定。 3、在“网络对象”中选择“外网”,在右边窗口空白处点击右键,在弹出的快捷菜单中选择“定义新对象”“子网”,填入子网名称(自己命名),如“外网IP”,地址范围中,输入所有IP范围。点击确定。
4、访问策略设置 A、在“高级管理”中选择“访问策略”“内网”,在右边的窗口中,点击右键,选择“增加”,点击“下一步”。 B、在“策略源”中选择“外网IP”(刚才设置的外网IP),点击“下一步”。
C、在“策略目的”中选择“内网”和“120段”(刚才设置的上网IP),点击“下一步”。
D、在“策略服务”中,我们不做任何选择,直接点击“下一步”。(因为我们要限制所有外网对我们内网的访问,在此我们要禁用所有服务,因此不做选择) E、在“访问控制”中,“访问权限”选择“禁止”(因为我们上一步没有选择服务,在此我们选择禁止,表示我们将禁止外网对我们的所有服务),“访问时间”选择“任何”,“日志选项”选择“日志会话”,其他的不做修改,点击“下一步”。
F、最后,点击“完成”。 5、至此,我们就完成了对外网访问内网的设置。
juniper路由器配置 一.路由器网络服务安全配置: 默认情况下,系统启动了许多无用服务,这些服务在占用系统资源的同时也造成一定的安全隐患,应该在尽可能的情况下停止或限制这些服务 1. SNMP服务 使用如下命令来停止SNMP服务: setsystemprocessessnmpdisable 使用如下命令来设置SNMP通讯字符串:setsnmpcommunitymysnmpauthorizationread-only 使用如下命令来在接口上设备SNMP通讯字符串: setsnmpinterfacefxp0communitymysnmp 使用如下命令来在接口上禁止SNMP服务trap: setinterfacesfxp0unit0trapsdisable 使用如下命令来限制SNMP的访问客户端:setsnmpcommunitymysnmpclients192.168.0.0/24 setsnmpcommunitymysnmpclients0.0.0.0/0restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务 2.停止接口广播转发: 广播转发容易造成smurf攻击,因此应该使用如下命令停止: setsystemno-redirects 接口级别停止广播转发使用如下命令: setinterfacesfxp0unit0familyinetno-redirects 3.停止dhcp-relay服务,dhcp-relay服务用于在不同网段使用同一个dhcp 服务器,如果没有使用,则应该使用如下命令停止: setsystemdhcp-relaydisable 4.禁止IGMP服务,IGMP服务如果在没有使用的情况下应该使用如下命令禁止:setprotocolsigmpinterfacealldisable 5.禁止PIM服务(?),PIM服务如果在没有使用的情况下应该使用如下命令禁止: setprotocolspimdisable 6.禁止SAP服务(?),SAP服务如果在没有使用的情况下应该使用如下命令禁止: setprotocolssapdisable 7.禁止IPSourceRouting源路由 setchassisno-source-route 二.路由器登录控制: 1.设置系统登录Banner: setsystemloginmessageWarning:ifyouNOTauthorizedtoaccessthissystem,dis connectNOW! 2.设置登录超时时间: 默认情况下,系统登录没有登录超时时间限制,应该将登录超时时间设置为15分钟: setcliidle-timeout15
联想网御防火墙配置手册 1 登陆方法 1.1 使用电子钥匙方式登陆防火墙 在Web 界面管理中,管理主机默认只能连接防火墙的fe1,如果需要连接其它网口,必须进行相应的设置。默认的管理主机IP 地址是10.1.5.200,Web 界面管理使用SSL 协议来加密管理数据通信,因此使用IE 来管理防火墙时,在地址栏输入https://a.b.c.d:8888/,来登录防火墙。其中防火墙的地址“a.b.c.d”初始值为“10.1.5.254”,登录防火墙的初始用户名和口令都是“administrator”,“administrator”中所有的字母都是小写的。 注意:用Web 界面管理时,建议管理主机设成小字体,分辨率为1024*768;其他字体和分辨率可能使界面显示不全或顺序混乱。 管理员通过Web 方式管理防火墙有两种认证方式,电子钥匙认证和证书认证。使用电子钥匙时,首先将电子钥匙插入管理主机的usb 口,启动用于认证的客户端ikeyc.exe,输入PIN 密码,默认为12345678,系统会读出用于认证的ikey 信息,此时窗口右边的灯是红的。(如下图所示) 选择“连接”,连接进行中灯是黄的,如果连接成功,灯会变绿,并且出现通过认证的提示框,“确定”后,就可以通过https://10.1.5.254:8888 连接防火墙了。(如下图所示)
注意:防火墙管理过程中,请不要拔下电子钥匙,也不要关闭防火墙管理认证客户端,否则可能无法管理。 1.2使用管理证书认证方式远程登陆防火墙 1.2.1远程登陆防火墙的条件 1、必须在先使用电子钥匙登陆防火墙,在“系统配置>>管理配置>>管理证书” 页面上载防火墙证书。(附图1) 2、在准备登陆防火墙的计算机上导入浏览器认证证书“admin.p12”。(附图2) 3、在“系统配置〉〉管理配置〉〉管理主机”页面添加管理主机。(附图3) 4、对“网络配置〉〉网络设备”页面中的fe4口进行操作(附图4)。打开“用 于管理”选项。(附图5) 附图1 说明:选择好相应的证书和密钥,点击“导入”即可。
Juniper路由器安全配置方案 一. 路由器网络服务安全配置: 默认情况下,系统启动了许多无用服务,这些服务在占用系统资源的同时也造成一定的安全隐患,应该在尽可能的情况下停止或限制这些服务 1. SNMP服务 使用如下命令来停止SNMP服务: set system processes snmp disable 使用如下命令来设置SNMP通讯字符串: set snmp community mysnmp authorization read-only 使用如下命令来在接口上设备SNMP通讯字符串: set snmp interface fxp0 community mysnmp 使用如下命令来在接口上禁止SNMP服务trap: set interfaces fxp0 unit 0 traps disable 使用如下命令来限制SNMP的访问客户端: set snmp community mysnmp clients 192.168.0.0/24 set snmp community mysnmp clients 0.0.0.0/0 restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务< 2. 停止接口广播转发: 广播转发容易造成smurf攻击,因此应该使用如下命令停止: set system no-redirects 接口级别停止广播转发使用如下命令: set interfaces fxp0 unit 0 family inet no-redirects 3. 停止dhcp-relay服务,dhcp-relay服务用于在不同网段使用同一个dhcp服务器,如果没有使用,则应该使用如下命令停止: set system dhcp-relay disable 4. 禁止IGMP服务,IGMP服务如果在没有使用的情况下应该使用如下命令禁止: set protocols igmp interface all disable 5. 禁止PIM服务,PIM服务如果在没有使用的情况下应该使用如下命令禁止: set protocols pim disable
11.1 静态路由配置 配置需求:访问目的网络2.2.2.0/24,下一跳为192.168.83.108。 (1)进入到【路由管理】-【基本路由】-【静态路由表】中,新建一条静态路由表。 (2)目的地址:需要访问的目标网络 掩码:目标网络的掩码 下一跳地址:防火墙流出网口的对端设备地址 Metric:优先级,metric值越小优先级越高 网络接口:防火墙的流出接口 (3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。 如果静态路由生效,如下图所示。
注意事项: (1)下一跳地址一定要输入正确,这个地址不是防火墙的出口地址。 (2)下一跳地址一定可达有效的地址,可以在【状态监控】-【状态信息】-【网络测试】测试下可达性。 11.2 默认路由配置 配置需求:经过防火墙的数据包全部转发给211.211.211.210. (1)进入到【路由管理】-【基本路由】-【默认路由】中,新建一条默认路由。 (2)默认网关:211.211.211.210; 权重值:多条默认路由时使用,权重越大负载分担时流经的数据包所占比重越高
(3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。 如果默认路由生效,如下图所示。 注意事项: (1) 配置多条默认路由时,一定勾选【启用基于状态回包功能】,权重值越大,分担的流量越多。 (2) 默认路由生效了,在【状态监控】-【状态信息】-【网络测速】中选择【ping】下网关地址,确保可达性。 11.3 策略路由配置
配置需求:内网192.168.1.0/24网段访问8.8.8.0/24通过eth0口路由出去。 (1)进入到【路由管理】-【基本路由】-【策略路由】中,新建一条高级路由表。 命名路由表名称和路由表ID 点击新建路由表后面的操作按钮,新建路由表内容
无线路由器安全设置详细步骤详解 路由器安全设置十四步 1. 为路由器间的协议交换增加认证功能提高网络安全性。 路由器的一个重要功能是路由的管理和维护目前具有一定规模的网络都采用动态的路由协议,常用的有:RIP、EIGRP、OSPF、IS-IS、BGP等。当一台设置了相同路由协议和相同区域标示符的路由器加入网络后会学习网络上的路由信息表。但此种方法可能导致网络拓扑信息泄漏也可能由于向网络发送自己的路由信息表扰乱网络上正常工作的路由信息表严重时可以使整个网络瘫痪。这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证。当路由器配置了认证方式就会鉴别路由信息的收发方。 2. 路由器的物理安全防范。 路由器控制端口是具有特殊权限的端口如果攻击者物理接触路由器后断电重启实施密码修复流程进而登录路由器就可以完全控制路由器。 3. 保护路由器口令。 在备份的路由器配置文件中密码即使是用加密的形式存放密码明文仍存在被破解的可能。一旦密码泄漏网络也就毫无安全可言。 4. 阻止察看路由器诊断信息。
关闭命令如下: no service tcp-small-servers no service udp-small-servers 5. 阻止查看到路由器当前的用户列表。 关闭命令为:no service finger。 6. 关闭CDP服务。 在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息: 设备平台、操作系统版本、端口、IP地址等重要信息。可以用命令: no cdp running或no cdp enable关闭这个服务。 7. 阻止路由器接收带源路由标记的包将带有源路由选项的数据流丢弃。 IP source-route是一个全局配置命令允许路由器处理带源路由选项标记的数据流。启用源路由选项后源路由信息指定的路由使数据流能够越过默认的路由这种包就可能绕过防火墙。关闭命令如下: no ip source-route。 8. 关闭路由器广播包的转发。 Sumrf D.o.S攻击以有广播转发配置的路由器作为反射板占用网络资源甚至造成网络的瘫痪。应在每个端口应用no ip directed-broadcast关闭路由器广播包。 9. 管理服务。
Windows 安全配置规范 2010年11月
第1章概述 1.1适用范围 本规范明确了Windows操作系统在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 适用于中国电信所有运行的Windows操作系统,包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。 第2章安全配置要求 2.1账号 编号:1 要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号,避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 根据系统的要求,设定不同的账户和账户组。 检测方法1、判定条件 结合要求和实际业务情况判断符合要求,根据系统的要求,设定不 同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”:
查看根据系统的要求,设定不同的账户和账户组编号:2 要求内容应删除与运行、维护等工作无关的账号。 操作指南1.参考配置操作 A)可使用用户管理工具: 开始-运行-compmgmt.msc-本地用户和组-用户B)也可以通过net命令: 删除账号:net user account/de1 停用账号:net user account/active:no 检测方法1.判定条件 结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。 注:主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号:3 要求内容重命名Administrator;禁用guest(来宾)帐号。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: Administrator->属性-> 更改名称 Guest帐号->属性-> 已停用 检测方法1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 缺省帐户->属性-> 更改名称
一,路由器访问控制的安全配置 1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。 2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。 3,严格控制CON端口的访问。具体的措施有: 4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:
5,建议采用权限分级策略。如: 6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。 7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。 8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如: 9,及时的升级和修补IOS软件。 二,路由器网络服务安全配置
Router(Config)#no cdp run Router(Config-if)# no cdp enable 2,禁止其他的TCP、UDP Small服务。 Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers 3,禁止Finger服务。 Router(Config)# no ip finger Router(Config)# no service finger 4,建议禁止HTTP服务。 Router(Config)# no ip http server 如果启用了HTTP服务则需要对其进行安全配置: 设置用户名和密码;采用访问列表进行控制。如: Router(Config)# username BluShin privilege 10 G00dPa55w0rd Router(Config)# ip http auth local Router(Config)# no access-list 10 Router(Config)# access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny any Router(Config)# ip http access-class 10 Router(Config)# ip http server Router(Config)# exit 5,禁止BOOTp服务。 Router(Config)# no ip bootp server
9.1网络需求 某企业网络接入联通,电信两个运营商,要将内网web 服务器(192.168.1.11 ) 的web 端口映射到公网。为了提高互联网访问速度,实现电信用户访问电信接口 地址,联通用户访问联通接口地址进行访问 9.2网络拓扑 9.3配置流程 配置端口映射策略,将内网服务器映射到公网 配置安全策略,允许外网用户访问内网 9.4配置步骤 (1) 配置网络连通性 保证防火墙外网接口到互联网能够连通,内网接口到服务器能够连通 联通 警理員 电信 UJLQ 用户 用户 (1) 配置网络联通性 定义IP 地址对象、 开放端口对象 Internet 网御防火墙 交掬机 Internet
(2)定义IP地址对象、开放端口对象 在【防火墙】--【地址】--【地址】定义内网服务器地址。此处掩码必须配255.255.255.255 L nJ ■ an* 在【防火墙】--【服务】--【基本服务】定义开放的端口号 Infm 注:源端口低和高一般不需要填写,除非是客户端限定了访问源端口(3)配置端口映射规则 在【防火墙】--【策略】--【NAT策略】--选择端口映射 ■IM I ■BUM
公开地址:需要映射的外网口地址 (必须为物理接口或者别名设备地址) 拨号用户选择拨号获取到的公网地址即可 内部地址:在地址列表里定义的服务器地址 对外服务:需要对外开放的端口,此处选择 web 端口 注:系统预定义大量常用端口,可以直接使用 对内服务:内网服务器需要开放的端口,此处选择 web 端口 注:对内服务、对外服务可以不一致,即对外服务为 8080,对内服 务可以为80 * Rt -NML ■窗Hi ■马 ■纠删 -H*lMt ? b!h?? -RMtfi 肿讯 a^RQ 9K3 ■毗 I FWWV Hit 首初 1 SMI9 口
涉密计算机安全策略配 置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
涉密计算机安全策略配置 一、物理安全防护 1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离 二、硬件相关设置 1、禁止使用无线设备(无线键盘、鼠标、网卡、红外、蓝牙、modem等); 2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备; 3、接入红黑电源隔离插座; 4、与非密设备间隔一米以上。 三、主板BIOS相关设置 1、设置BIOS系统密码,该密码由安全保密管理员掌握; 2、设置BIOS开机密码,该密码由用户掌握; 3、BIOS最优先启动设置为硬盘启动,其余优先启动全部关闭; 四、操作系统 1、禁止安装番茄花园、雨林木风等经处理的操作系统,禁止安装Ghost版操作系统; 2、更改A d m i n i s t r a t o r用户名并设置密码,禁用Guest帐户,删除多余帐户; 3、关闭操作系统的默认共享,同时禁止设置其它共享; 4、设置屏保时间10分钟,屏保恢复需用密码; 5、不得安装《软件白名单》外的软件; 6、对操作系统与数据库进行补丁升级(每季度一次〉; 7、定期输出安全审计记录报告(每月一次) 8、清理一切私人信息:私人照片、mp3、电影等等。 9、根据规定设置系统策略,关闭非必要服务;〔见后) 五、安全保密防护软件的部署 1、安装正版杀毒软件,涉密计算机(瑞星杀毒软件),涉密中间机、非涉密中间 机(瑞星杀毒软件);杀毒软件每半个月更新一次病毒库并全盘扫描; 2、安装主机监控审计软件与介质绑定系统; 六、关闭计算机不必要的应用服务 原则:在没有特殊情况下应当关闭不必要的服务。如果有特殊需求,应当主动申请提出。 详细配置说明
(安全生产)C路由器的安 全配置方案
Cisco路由器的安全配置方案 壹,路由器访问控制的安全配置 1,严格控制能够访问路由器的管理员。任何壹次维护都需要记录备案。 2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。 3,严格控制CON端口的访问。具体的措施有: A,如果能够开机箱的,则能够切断和CON口互联的物理线路。 B,能够改变默认的连接属性,例如修改波特率(默认是96000,能够改为其他的)。C,配合使用访问控制列表控制对CON口的访问。 如:Router(Config)#Access-list1permit192.168.0.1 Router(Config)#linecon0 Router(Config-line)#Transportinputnone Router(Config-line)#Loginlocal Router(Config-line)#Exec-timeoute50 Router(Config-line)#access-class1in Router(Config-line)#end D,给CON口设置高强度的密码。 4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:Router(Config)#lineaux0 Router(Config-line)#transportinputnone Router(Config-line)#noexec 5,建议采用权限分级策略。如:
Router(Config)#usernameBluShinprivilege10G00dPa55w0rd Router(Config)#privilegeEXEClevel10telnet Router(Config)#privilegeEXEClevel10showipaccess-list 6,为特权模式的进入设置强壮的密码。不要采用enablepassword设置密码。而要采用enablesecret命令设置。且且要启用Servicepassword-encryption。7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则壹定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的且发数目;采用访问列表严格控制访问的地址;能够采用AAA设置用户的访问控制等。 8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:Router(Config)#ipftpusernameBluShin Router(Config)#ipftppassword4tppa55w0rd Router#copystartup-configftp: 9,及时的升级和修补IOS软件。 二,路由器网络服务安全配置 1,禁止CDP(CiscoDiscoveryProtocol)。如: Router(Config)#nocdprun Router(Config-if)#nocdpenable 2,禁止其他的TCP、UDPSmall服务。 Router(Config)#noservicetcp-small-servers Router(Config)#noserviceudp-samll-servers 3,禁止Finger服务。
传统的网络安全技术侧重于系统入侵检测,反病毒软件或防火墙。内部安全如何?在网络安全构造中,交换机和路由器是非常重要的,在七层网络中每一层都必须是安全的。很多交换机和路由器都有丰富的安全功能,要了解有些什么,如何工作,如何部署,一层有问题时不会影响整个网络。交换机和路由器被设计成缺省安全的,出厂时就处于安全设置的状态,特别操作的设置在用户要求时才会被激活,所有其他选项都是关闭的,以减少危险,网管员也无需了解哪些选项应该关闭。在初始登录时会被强制要求更改密码,也有密码的期限选项及登录尝试的次数限制,而且以加密方式存储。限期的帐号(维护帐号或后门)是不会存在的。交换机及路由器在掉电,热启动、冷启动,升级IOS、硬件或一个模块失败的情况下都必须是安全的,而且在这些事件发生后应该不会危及安全并恢复运作,因为日志的原因,网络设备应该通过网络时间协议保持安全精确的时间。通过SNMP协议连接管理的名称也应该被改变。抵挡DoS攻击从可用性出发,交换机和路由器需要能抵挡拒绝服务式Dos攻击,并在攻击期间保持可用性。理想状态是他们在受到攻击时应该能够做出反应,屏蔽攻击IP及端口。每件事件都会立即反应并记录在日志中,同时他们也能识别并对蠕虫攻击做出反应。交换机及路由器中使用FTP,HTTP,TELNET或SSH都有可以有代码漏洞,在漏洞被发现报告后,厂商可以开发、创建、测试、发布升级包或补丁。基于角色的管理给予管理员最低程序的许可来完成任务,允许分派任务,提供检查及平衡,只有受信任的连接才能管理倔们。管理权限可赋予设备或其他主机,例如管理权限可授予一定IP地址及特定的TCP/UDP端口。控制管理权限的最好办法是在授权进入前分权限,可以通过认证和帐户服务器,例如远程接入服务,终端服务,或LDAP服务。远程连接的加密很多情况下,管理员需要远程管理交换机及路由器,通常只能从公共网络上访问。为了保证管理传输的安全,需要加密协议,SSH 是所有远程命令行设置和文件传输的标准协,基于WEB的则用SSL或TLS协议,LDAP通常是通讯的协议,而SSL/TLS则加密此通讯。SNMP用来发现、jian控、配置网络设备,SNMP3是足够安全的版本,可以保证授权的通信。建立登录控制可以减轻受攻击的可能性,设定尝试登录的次数,在遇到这种扫描时能做出反应。详细的日志在发现尝试破解密码及端口扫描时是非常有效的。交换机及路由器的配置文件的安全也是不容忽视的,通常配置文件保存在安全的位置,在混乱的情况下,可以取出备份文件,安装并激活系统,恢复到已知状态。有些交换机结合了入侵检测的功能,一些通过端口映射支持,允许管理员选择jian控端口。虚拟网络的角色虚拟的本地网络VLAN是第二层上的有限广播域,由一组计算机设备组成,通常位一多个LAN上,可能跨越一个或多个LAN交换机,而与它们的物理位置无关,设备之间好像在同一个网络间通信一样,允许管理员将网络分为多个可管理运行良好的小块,将啬、移动、更改设备、用户及权限的任务简化。VLAN可在各种形式上形成,如交换口,MAC地址,IP地址,协议类型,DHCP,802.1Q标志或用户自定义。这些可以单独或组合部署。VLAN认证技术
操作系统的安全策略基 本配置原则 集团企业公司编码:(LL3698-KKI1269-TM2483-LUI12689-ITT289-
操作系统的安全策略基本配置原则安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略 利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,
很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明 ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体,驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSECPolicyAgent管理IP安全策略以及启动 ISAKMP/Oakley(IKE)和IP安全驱动程序DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+EventSystem提供事件的自动发布到订阅COM组件。 3关闭不必要的端口 关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了.用端口扫描器扫描系统