H3C防火墙配置说明.docx

H3C防火墙配置说明 H3C ITolP解决方案专家 杭州华三通信技术有限公司 All rights reserved
相关配置方法： 安全要求-设备-路 设备应支持路由协议（OSPF/ISIS/BGP 待确认 支持 由器-功能-14 等）认证，认证字以不可逆密文方式存 放.

配置OSPF验证 从安全性角度来考虑，为了避免路由信息外泄或者对OSPF路由器进行恶意攻击， OSPF提供报文验证功能.

OSPF路由器建立邻居关系时，在发送的报文中会携带配置好的口令，接收报文时 进行密码验证，只有通过验证的报文才能接收，否则将不会接收报文，不能正常建 立邻居.

要配置OSPF报文验证，同一个区域的路由器上都需要配置区域验证模式，且 配置的验证模式必须相同，同一个网段内的路由器需要配置相同的接口验证模式和 口令.

表1-29配置OSPF验证 操作 命令 说明 进入系统视图 system-view 进入OSPF视图 ospf [ process-id | router-id router-id | vpn-instance vpn-instance-name 1 * 进入OSPF区域视图 area area-ld 必选 配置OSPF区域的验证模式 authentication-mode {md5 | simple } 缺省情况下，没有配置区域验 证模式 退回OSPF 视图 quit 退回系统视图 quit interface interface-type 进入接口视图 interface- number 配置OSPF接口的验证模式（简单 ospf authentication-mode simple [ 验证) cipher | plain ] password 二者必选其一 ospf authentication-mode (hmac- 缺省情况下，接口不对OSPF 配置OSPF接口的验证模式（MD5 验证） md5 | md5 } key-id [ cipher I plain ] 报文进行验证 password
提高IS-IS网络的安全性 在安全性要求较高的网络中，可以通过配置IS-IS验证来提高IS-IS网络的安全性.

IS-IS验证 特性分为邻居关系的验证和区域或路由域的验证.

配置准备 在配置IS-IS验证功能之前，需完成以下任务： 配置接口的网络层地址，使相邻节点网络层可达 使能IS-IS功能 配置邻居关系验证 配置邻居关系验证后，验证密码将会按照设定的方式封装到Hello报文中，并对接收到的 Hello报文进行验证密码的检查，通过检查才会形成邻居关系，否则将不会形成邻居关系， 用以确认邻居的正确性和有效性，防止与无法信任的路由器形成邻居.

两台路由器要形成邻居关系必须配置相同的验证方式和验证密码.

表1-37配置邻居关系验证 操作 命令 说明 进入系统视图 system-view 进入接口视图 interface interface-type interface-number 必选 缺省情况下，接口没有配置邻居关 isis authentication-mode ( md5 | simple }[ 系验证，既不会验证收到的Hello 配置邻居关系验证方式 cipher ] password [ level-1 | level-2 ] [ ip 1 报文，也不会把验证密码插入到 和验证密码 osi] Hello 报文中 参数level-1和level-2的支持情况 和产品相关，具体请以设备的实际 情况为准 说明 必须先使用isisenable命令使能该接口才能进行参数level-1和level-2的配置.

如果没有指定level-1或level-2参数，将同时为level-1和level-2的Hello报文配置验证 方式及验证密码.

如果没有指定ip或osi参数，将检查Hello报文中OSI的相应字段的配置内容.

配置区域验证 通过配置区域验证，可以防止将从不可信任的路由器学习到的路由信息加入到本地Level-1 的LSDB中.

配置区域验证后，验证密码将会按照设定的方式封装到Level-1报文（LSP、CSNP、PSNP） 中，并对收到的Level-1报文进行验证密码的检查.

同一区域内的路由器必须配置相同的验证方式和验证密码.

表1-38配置区域验证 操作 命令 说明 进入系统视图 system-view 进入IS-IS视图 isis [ process-id ][ vpn-lnstance vpn-instance- name ] 必选 配置区域验证方式 area-authentication-mode(md5|simple }[ 缺省情况下，系统没有配置区 和验证密码 cipher password [ ip | osi ] 域验证，既不会验证收到的 Level-1报文，也不会把验证密 码插入到Level-1报文中 配置路由域验证 通过配置路由域验证，可以防止将不可信的路由信息注入当前路由域.

配置路由域验证后，验证密码将会按照设定的方式封装到Level-2报文 （LSP、CSNP、PSNP）中，并对收到的Level-2报文进行验证密码的检查.

骨干层（Level-2）路由器必须配置相同的验证方式和验证密码.

表1-39配置路由域验证 操作 命令 说明 进入系统视图 system-view 进入IS-IS视图 isis [ process-id ][ vpn-instance vpn-instance-name 必选 配置路由域验证方 domain-authentication-mode(md5|simple）[ 缺省情况下，系统没有配置路 式和验证密码 cipher password [ ip | osi ] 由域验证，既不会验证收到的 Level-2报文，也不会把验证 密码插入到Level-2报文中
配置BGP的MD5认证 通过在BGP对等体上配置BGP的MD5认证，可以在以下两方面提高BGP的安全 性： 为BGP建立TCP连接时进行MD5认证，只有两台路由器配置的密码相同时，才 能建立TCP连接，从而避免与非法的BGP路由器建立TCP连接.

传递BGP报文时，对封装BGP报文的TCP报文段进行MD5运算，从而保证 BGP报文不会被募改.

表1-41配置BGP的MD5认证 操作 命令 说明 进入系统视图 system-view 进入BGP视 进入BGP 图 bgp as-number 视 图 BGP-VPN 进入BGP- bgp as-number 二者必选其一 实例视图 VPN实例视 ipv4-family vpn-instance 图 vpn- instance-name peer{ group-name |ip-address } 必选 配置BGP的MD5认证 password{cipher|simple 缺省情况下，BGP不进行 password MD5认证 安全要求-设备-防 防火墙应具备记录VPN日志功能，记 特确认 暂不支持 火墙-功能-2 录VPN访问登陆、退出等信息.

安全要求-设备-防 防火墙应具备日志容量告警功能，在 待确认 暂不支持 火墙-功能-5 日志数达到指定阔值时产生告警.

安全要求-设备-防 防火墙应具备流量日志记录功能，记 待确认 支持 火墙-功能-3 录通过防火墙的网络连接.

Userlog日志设置（Flow日志） 说明 要生成Userlog日志，需要配置会话日志功能，详细配置请参见“1.6会话日志” Userlog日志简介 Userlog日志是指用户访问外部网络流信息的相关记录.

设备根据报文的5元组（源IP地址 目的IP地址、源端口、目的端口、协议号）对用户访问外部网络的流进行分类统计，并生