华为MA5680T+配置指南01-20 配置系统安全

20配置系统安全关于本章介绍了MA5680T设备提供的系统安全的相关配置。20.1系统安全概述简要介绍系统安全的业务描述和业务规格。20.2使能防御DoS攻击功能通过本任务使能防御DoS功能，防止接入用户发送大量控制报文对MA5680T设备进行攻击。20.3使能防御IP攻击功能通过本任务使能防御IP攻击功能，以防止接入用户向设备恶意发送IP报文，从而保护设备的系统安全。20.4使能防御ICMP攻击功能通过本任务使能防御ICMP攻击功能，以防止用户向设备恶意发送ICMP报文，从而保护设备的系统。20.5使能源路由过滤功能通过本任务使能源路由过滤功能，以过滤掉IP报文中选项字段含有路由选项字段的报文。20.6配置MAC地址过滤通过本任务配置MAC地址过滤功能，以过滤源MAC地址为指定的MAC地址的报文。20.7配置PPPoE用户的非正常下线检测时间通过本任务配置PPPoE用户非正常下线检测时间。20.8使能防火墙黑名单功能通过本任务将指定的IP地址加入到防火墙黑名单中并启动防火墙黑名单功能，以禁止源IP地址为防火墙黑名单中的IP地址的报文通过。20.9使能防火墙功能通过本任务配置防火墙功能，以禁止或允许符合条件的报文通过维护网口。20.10配置允许访问的地址段通过本任务增加指定协议类型防火墙允许访问的地址段。20.11配置拒绝访问的地址段MA5680T配置指南20配置系统安全文档版本02(2007-11-15)华为技术有限公司20-1通过本任务配置指定协议下防火墙拒绝访问的地址段。20配置系统安全MA5680T配置指南20-2华为技术有限公司文档版本02(2007-11-15)20.1系统安全概述简要介绍系统安全的业务描述和业务规格。业务描述安全特性的配置是为了防止来自于网络侧或用户侧的非法报文对设备的攻击，从而保证设备在网络上稳定运行。系统安全特性的详细介绍请参见“MA5680T特性描述”中的“系统安全”S。业务规格MA5680T支持的系统安全特性包括：防御DoS攻击、防御IP攻击、防御ICMP攻击、源路由过滤、MAC地址过滤、IP/MAC地址绑定、带外防火墙和SSH等。20.2使能防御DoS攻击功能通过本任务使能防御DoS功能，防止接入用户发送大量控制报文对MA5680T设备进行攻击。操作步骤步骤1使用securityanti-dosenable命令使能防御DoS攻击功能。步骤2使用displaysecurityconfig命令查询防御DoS攻击功能的配置状态。----结束任务示例举例：使能防御DoS攻击功能。huawei(config)#securityanti-dosenablehuawei(config)#displaysecurityconfigAnti-ipspoofingfunction:disableAnti-dosfunction:enableAnti-macspoofingfunction:disableAnti-ipattackfunction:disableAnti-icmpattackfunction:disableSource-routefilterfunction:disablePPPoEOverallAgingTime(sec):360PPPoEAgingPeriod(sec):90DHCPOverallAgingTime(sec):1560相关操作使能防御DoS攻击的相关命令如表20-1。MA5680T配置指南20配置系统安全文档版本02(2007-11-15)华为技术有限公司20-3表20-1使能防御DoS攻击的相关操作表操作命令去使能防御DoS攻击功能securityanti-dosdisable查询DoS攻击黑名单displaysecuritydos-blacklist20.3使能防御IP攻击功能通过本任务使能防御IP攻击功能，以防止接入用户向设备恶意发送IP报文，从而保护设备的系统安全。操作步骤步骤1使用securityanti-ipattackenable命令使能防御IP攻击功能。步骤2使用displaysecurityconfig查询防御IP攻击功能的配置状态。----结束任务示例举例：使能防御IP攻击功能。huawei(config)#securityanti-ipattackenablehuawei(config)#displaysecurityconfigAnti-ipspoofingfunction:enableAnti-dosfunction:enableAnti-macspoofingfunction:enableAnti-ipattackfunction:enableAnti-icmpattackfunction:disableSource-routefilterfunction:disablePPPoEOverallAgingTime(sec):360PPPoEAgingPeriod(sec):90DHCPOverallAgingTime(sec):1560相关操作使能防御IP攻击功能的相关操作如表20-2所示。表20-2使能防御IP攻击功能的相关操作表操作命令去使能防御IP攻击功能securityanti-ipattackdisable20.4使能防御ICMP攻击功能通过本任务使能防御ICMP攻击功能，以防止用户向设备恶意发送ICMP报文，从而保护设备的系统。20配置系统安全MA5680T配置指南20-4华为技术有限公司文档版本02(2007-11-15)操作步骤步骤1使用securityanti-icmpattackenable命令使能防御ICMP攻击功能。步骤2使用displaysecurityconfig查询防御ICMP攻击功能的配置状态。----结束任务示例举例：使能防御ICMP攻击功能。huawei(config)#securityanti-icmpattackenablehuawei(config)#displaysecurityconfigAnti-ipspoofingfunction:enableAnti-dosfunction:enableAnti-macspoofingfunction:enableAnti-ipattackfunction:enableAnti-icmpattackfunction:enableSource-routefilterfunction:disablePPPoEOverallAgingTime(sec):360PPPoEAgingPeriod(sec):90DHCPOverallAgingTime(sec):1560相关操作使能防御ICMP攻击功能的相关操作如表20-3所示。表20-3使能防御ICMP攻击功能的相关操作表操作命令去使能防御ICMP攻击功能securityanti-icmpattackdisable20.5使能源路由过滤功能通过本任务使能源路由过滤功能，以过滤掉IP报文中选项字段含有路由选项字段的报文。背景信息缺省情况下，源路由过滤功能处于去使能状态。操作步骤步骤1使用securitysource-routeenable命令使能源路由过滤功能。步骤2使用displaysecurityconfig查询源路由过滤功能的配置状态。----结束任务示例举例：使能源路由过滤功能。MA5680T配置指南20配置系统安全文档版本02(2007-11-15)华为技术有限公司20-5huawei(config)#securitysource-routeenablehuawei(config)#displaysecurityconfigAnti-ipspoofingfunction:enableAnti-dosfunction:enableAnti-macspoofingfunction:enableAnti-ipattackfunction:enableAnti-icmpattackfunction:enableSource-routefilterfunction:enablePPPoEOverallAgingTime(sec):360PPPoEAgingPeriod(sec):90DHCPOverallAgingTime(sec):1560相关操作使能源路由过滤功能的相关操作如表20-4所示。表20-4使能源路由过滤功能的相关操作表操作命令去使能源路由过滤功能securitysource-routedisable20.6配置MAC地址过滤通过本任务配置MAC地址过滤功能，以过滤源MAC地址为指定的MAC地址的报文。背景信息系统最多支持配置4个过滤的MAC地址。操作步骤步骤1使用securitymac-filter命令配置MAC地址过滤。步骤2使用displaysecuritymac-filter查询到所设置的MAC地址。----结束任务示例举例：过滤源MAC地址为1000-0000-0000的数据报文。huawei(config)#securitymac-filtersource1000-0000-0000huawei(config)#displaysecuritymac-filter---------------------------------------------------------IndexMAC-AddressType---------------------------------------------------------11000-0000-0000source---------------------------------------------------------Total:1相关操作MAC地址过滤配置的相关操作如表20-5所示。20配置系统安全MA5680T配置指南20-6华为技术有限公司文档版本02(2007-11-15)表20-5MAC地址过滤配置的相关操作表操作命令取消对指定MAC地址的过滤undosecuritymac-filter20.7配置PPPoE用户的非正常下线检测时间通过本任务配置PPPoE用户非正常下线检测时间。背景信息lPPPoE用户的非正常下线检测时间分为超时周期时间和超时总时间。–系统每隔一个超时周期时间检测一次用户是否在线，当PPPoE用户离线超过周期时间并且小于超时总时间，则该用户的离线时间将被累计。–当用户的离线时间累计超过超时总时间时，则认为该用户已经离线。l缺省情况下，PPPoE超时周期时间为90s，超时总时间为360s。操作步骤步骤1使用securitytimeout命令配置PPPoE用户的非正常下线检测时间。步骤2使用displaysecurityconfig查询PPPoE用户的非正常下线检测时间的配置信息。----结束任务示例举例：配置PPPoE用户超时总时间为1800s，超时周期时间为默认值。huawei(config)#securitypppoetimeout1800huawei(config)#displaysecurityconfigAnti-ipspoofingfunction:enableAnti-dosfunction:disableAnti-macspoofingfunction:disableAnti-ipattackfunction:disableAnti-icmpattackfunction:disableSource-routefilterfunction:disablePPPoEOverallAgingTime(sec):1800PPPoEAgingPeriod(sec):90DHCPOverallAgingTime(sec):156020.8使能防火墙黑名单功能通过本任务将指定的IP地址加入到防火墙黑名单中并启动防火墙黑名单功能，以禁止源IP地址为防火墙黑名单中的IP地址的报文通过。前提条件防火墙黑名单应用的ACL已经存在。MA5680T配置指南20配置系统安全文档版本02(2007-11-15