【正文】 說明：ICMP Flood攻擊防范功能最多能夠同時(shí)配置對(duì)1000個(gè)IP進(jìn)行保護(hù)。 注意：真正開啟SYN Flood攻擊防范功能必須滿足三點(diǎn)：1. 使能受保護(hù)IP所在出接口攻擊防范功能；2. 打開SYN Flood攻擊防范功能全局開關(guān)；3. 配置具體的SYN Flood攻擊防范功能。1. 配置SYN Flood攻擊防范功能全局開關(guān)請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。圖33 使能或關(guān)閉Smurf攻擊防范功能操作命令使能Smurf攻擊防范功能firewall defend smurf enable關(guān)閉Smurf攻擊防范功能undo firewall defend smurf enable打開對(duì)應(yīng)出接口攻擊防范使能開關(guān)firewall defend enable關(guān)閉對(duì)應(yīng)出接口攻擊防范使能開關(guān)undo firewall defend enable缺省為關(guān)閉Smurf攻擊防范功能。圖31 使能或關(guān)閉IP欺騙攻擊防范功能操作命令使能IP欺騙攻擊防范功能firewall defend ipspoofing關(guān)閉IP欺騙攻擊防范功能undo firewall defend ipspoofing打開對(duì)應(yīng)入接口攻擊防范使能開關(guān)firewall defend enable關(guān)閉對(duì)應(yīng)入接口攻擊防范使能開關(guān)undo firewall defend enable缺省為關(guān)閉IP欺騙攻擊防范功能。TCP SYN攻擊的防范：利用TCP連接機(jī)制的攻擊。對(duì)于流出的ICMP流，我們可以允許ECHO、Parameter Problem、Packet too big。華為公司的核心路由器的各種板卡均支持URPF功能。缺省情況下，BGP在建立TCP連接時(shí)，不進(jìn)行MD5認(rèn)證。相關(guān)配置可參考命令areaauthenticationmode，domainauthenticationmode。ip：IP認(rèn)證密碼。使用純文本認(rèn)證方式時(shí)，路由域認(rèn)證密碼是被封裝在Level2的LSP、CSNP和PSNP報(bào)文中的；采用MD5認(rèn)證時(shí)，則對(duì)這些報(bào)文經(jīng)MD5加密后發(fā)送出去。simple：密碼以純文本方式發(fā)送。md5 keyid：MD5密文驗(yàn)證方式時(shí)的驗(yàn)證字標(biāo)識(shí)符，取值范圍為1~255。缺省情況下，區(qū)域不支持驗(yàn)證屬性。其中，采用MD5密文驗(yàn)證方式時(shí)有兩種報(bào)文格式，一種是在RFC 1723中所描述的，提出的時(shí)間較早；另一種在RFC 2082中專門闡述。usual：指定MD5密文驗(yàn)證報(bào)文使用通用報(bào)文格式。在增加了對(duì)于路由協(xié)議報(bào)文的加密認(rèn)證會(huì)略微增加設(shè)備的CPU利用率，由于對(duì)于路由協(xié)議報(bào)文的處理在主控板，而對(duì)于數(shù)據(jù)的轉(zhuǎn)發(fā)是由接口板直接處理，所以路由協(xié)議增加了對(duì)報(bào)文的加密驗(yàn)證，不會(huì)影響設(shè)備的轉(zhuǎn)發(fā)。 保持系統(tǒng)日志的打開華為設(shè)備的系統(tǒng)日志會(huì)記錄設(shè)備的運(yùn)行信息，維護(hù)人員做了哪些操作，執(zhí)行了哪些命令。鑒別協(xié)議可通過MD5或SHA，加密協(xié)議可通過DES。禁止IP Classless。禁止Finger、NTP服務(wù)。為了避免這些病毒對(duì)于設(shè)備運(yùn)行的影響，建議在設(shè)備上配置ACL，對(duì)已知的病毒所使用的TCP、UDP端口號(hào)進(jìn)行過濾。[Quidwayradiusshiva] radiusserver authentication 1812 [Quidwayradiusshiva] radiusserver accounting 1813 配置Radius 備認(rèn)證、計(jì)費(fèi)服務(wù)器和端口。對(duì)于特權(quán)模式，應(yīng)該采用enable secret命令設(shè)置強(qiáng)壯的密碼，而不要采用enable password設(shè)置密碼，enable secret 命令用于設(shè)定具有管理員權(quán)限的口令，而enable password采用的加密算法比較弱。【配置實(shí)例】 配置會(huì)話建立標(biāo)題。 例如，設(shè)置CON口的優(yōu)先級(jí)為3，從VTY 0的優(yōu)先級(jí)為2。如果風(fēng)扇框上的防塵網(wǎng)上積累了過多的灰塵，或者風(fēng)扇運(yùn)轉(zhuǎn)不順暢，都會(huì)影響風(fēng)扇的通風(fēng)排熱效果，建議每月檢查一次設(shè)備風(fēng)扇運(yùn)轉(zhuǎn)是否良好，是否有隱患，風(fēng)扇框上的防塵網(wǎng)是否積累了過多灰塵。所以建議每天檢查機(jī)房內(nèi)的溫度和濕度，如果發(fā)現(xiàn)機(jī)房空調(diào)損壞，要及時(shí)的修理，減少設(shè)備在不良環(huán)境下的工作時(shí)間。 NetEngine 16E/08E/05 系列高端路由器 面向電信級(jí)運(yùn)營網(wǎng)絡(luò)和企業(yè)級(jí)核心網(wǎng)絡(luò)，有強(qiáng)大的專線接入及VPN業(yè)務(wù)能力，提供豐富的業(yè)務(wù)功能，具備完善QOS和安全特性，適用于運(yùn)營商、政府、教育、金融、電力、企業(yè)的內(nèi)部網(wǎng)和業(yè)務(wù)網(wǎng)，包括NE16E、NE08E、NE05三款產(chǎn)品。u 作為分布式第五代路由器采用了業(yè)界高性能網(wǎng)絡(luò)處理器技術(shù)，基于分布式硬件處理，具備高性能的業(yè)務(wù)能力，勝任高性能P/PE應(yīng)用，提供高品質(zhì)、安全和多層次的MPLS VPN解決方案；提供高性能組播能力；提供千兆線速NAT等各種業(yè)務(wù)。u 作為分布式第五代路由器采用了業(yè)界高性能網(wǎng)絡(luò)處理器技術(shù)，充分繼承了第四代全分布式硬件處理的架構(gòu)，有機(jī)地結(jié)合了軟件的靈活性和硬件的高性能，又具備快速良好的業(yè)務(wù)升級(jí)和擴(kuò)展能力。 NetEngine 5000 系列核心路由器 面向IP網(wǎng)國家骨干網(wǎng)絡(luò)節(jié)點(diǎn)、各省的網(wǎng)絡(luò)出口節(jié)點(diǎn)以及各網(wǎng)絡(luò)之間互聯(lián)中心節(jié)點(diǎn)的核心路由器產(chǎn)品。u 支持多種方式VPN（L2TP、GRE、MPLS VPN等），具備豐富的NAT功能，提供以太網(wǎng)/VLAN、PPP/MP、PPPoE、Frame Relay、HDLC、ATM、HDLC和LAPB等豐富的互聯(lián)功能，支持備份中心，并提供對(duì)語音、組播等業(yè)務(wù)的支持。 Quidway174。Quidway174。它從外部廣域網(wǎng)收集向本企業(yè)網(wǎng)絡(luò)尋址的信息，轉(zhuǎn)發(fā)到企業(yè)網(wǎng)絡(luò)中有關(guān)的網(wǎng)絡(luò)段；另一方面集中企業(yè)網(wǎng)絡(luò)中各個(gè)LAN段向外部廣域網(wǎng)發(fā)送的報(bào)文，對(duì)相關(guān)的報(bào)文確定最好的傳輸路徑。后一個(gè)功能是通過網(wǎng)絡(luò)地址分解完成的。（2）選擇最合理的路由，引導(dǎo)通信。由此可見，選擇最佳路徑的策略即路由算法是路由器的關(guān)鍵所在。路由器負(fù)責(zé)在兩個(gè)局域網(wǎng)的網(wǎng)絡(luò)層間接幀傳輸數(shù)據(jù)，轉(zhuǎn)發(fā)幀時(shí)需要改變幀中的地址。Quidway174。l 支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、協(xié)議的L2~L7復(fù)雜流分類。Quidway174。物理編址（相對(duì)應(yīng)的是網(wǎng)絡(luò)編址）定義了設(shè)備在數(shù)據(jù)鏈路層的編址方式；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)包括數(shù)據(jù)鏈路層的說明，定義了設(shè)備的物理連接方式，如星型拓?fù)浣Y(jié)構(gòu)或總線拓?fù)浣Y(jié)構(gòu)等；錯(cuò)誤校驗(yàn)向發(fā)生傳輸錯(cuò)誤的上層協(xié)議告警；數(shù)據(jù)幀序列重新整理并傳輸除序列以外的幀；流控可以延緩數(shù)據(jù)的傳輸能力，以使接收設(shè)備不會(huì)因?yàn)樵谀骋粫r(shí)刻接收到了超過其處理能力的信息流而崩潰。從規(guī)模應(yīng)用上又可分為企業(yè)級(jí)交換機(jī)、部門級(jí)交換機(jī)和工作組交換機(jī)等。Quidway174。l 具有64Gbps背板帶寬，32Gbps交換容量， 24Mpps轉(zhuǎn)發(fā)能力，最大支持32K路由表項(xiàng)，基于最長匹配的路由方式，保證了所有報(bào)文均獲得相同的轉(zhuǎn)發(fā)性能；l 支持高性能SFP光接口，支持GE電口、單/多模光口模塊的混合配置，支持模塊熱插拔；并可提供堆疊接口模塊，可以和系列交換機(jī)堆疊，能夠提供更靈活的組網(wǎng)模式；l 提供以64Kbit/s為步長的流控粒度，可以對(duì)不同業(yè)務(wù)進(jìn)行更細(xì)致的管理，支持豐富的流分類，豐富的Qos策略是構(gòu)建高質(zhì)量“三網(wǎng)合一”網(wǎng)絡(luò)的基礎(chǔ)。 S3000 系列智能二層交換機(jī)采用高性能的ASIC，采用靈活的模塊化結(jié)構(gòu)，提供二到七層的智能的流分類和完善的服務(wù)質(zhì)量（QoS），實(shí)現(xiàn)完備的業(yè)務(wù)控制和用戶管理能力，可作為關(guān)注業(yè)務(wù)管理控制和網(wǎng)絡(luò)安全保障能力的企業(yè)網(wǎng)和城域網(wǎng)的接入層交換機(jī)。l 支持基于端口的VLAN，支持isolateuservlan；l 支持HGMP，實(shí)現(xiàn)群組管理；支持HGMP Client，實(shí)現(xiàn)受控組播；l 支持HGMP的級(jí)連方式，如一臺(tái)S2026B不直接與管理設(shè)備相連，而是通過級(jí)連的其他交換機(jī)與管理設(shè)備相連，同樣能夠?qū)崿F(xiàn)遠(yuǎn)程管理維護(hù)功能；l 為樓道工作環(huán)境量身定做：機(jī)身小巧，便于樓道安裝；端口密度低，節(jié)省運(yùn)營商投資；散熱采用低噪音風(fēng)扇，靜音設(shè)計(jì)；指示燈設(shè)計(jì)在機(jī)箱頂板上，便于壁掛維護(hù)；用戶側(cè)10M端口傳輸距離200米，方便布線。路由器分本地路由器和遠(yuǎn)程路由器，本地路由器是用來連接網(wǎng)絡(luò)傳輸介質(zhì)的，如光纖、同軸電纜、雙絞線；遠(yuǎn)程路由器是用來連接遠(yuǎn)程傳輸介質(zhì)，并要求相應(yīng)的設(shè)備，如電話線要配調(diào)制解調(diào)器，無線要通過無線接收機(jī)、發(fā)射機(jī)。2．動(dòng)態(tài)路徑表 　　動(dòng)態(tài)（Dynamic）路徑表是路由器根據(jù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況而自動(dòng)調(diào)整的路徑表。 （3）路由器在轉(zhuǎn)發(fā)報(bào)文的過程中，為了便于在網(wǎng)絡(luò)間傳送報(bào)文，按照預(yù)定的規(guī)則把大的數(shù)據(jù)包分解成適當(dāng)大小的數(shù)據(jù)包，到達(dá)目的地后再把分解的數(shù)據(jù)包包裝成原有形式。中間節(jié)點(diǎn)路由器在網(wǎng)絡(luò)中傳輸時(shí)，提供報(bào)文的存儲(chǔ)和轉(zhuǎn)發(fā)。u 關(guān)鍵硬件組件都提供全面冗余，所有組件具備熱插拔功能。u 基于分布式硬件處理，具備高性能的網(wǎng)絡(luò)業(yè)務(wù)能力，勝任高性能P/PE應(yīng)用，提供高品質(zhì)、安全和多層次的MPLS VPN解決方案；提供高性能組播能力；提供千兆線速NAT等各種業(yè)務(wù)。 NetEngine 20 系列高端多業(yè)務(wù)路由器面向運(yùn)營商、行業(yè)網(wǎng)及企業(yè)網(wǎng)的高性能的第五代多業(yè)務(wù)路由器；采用NP硬件技術(shù)實(shí)現(xiàn)，具有卓越的轉(zhuǎn)發(fā)性能；包括NE20NE20NE202三款產(chǎn)品。u 支持包過濾防火墻及動(dòng)態(tài)防火墻ASPF，支持用戶的認(rèn)證和路由協(xié)議的驗(yàn)證， 支持標(biāo)準(zhǔn)協(xié)議的IPSEC和IKE，支持ISPKeeper DOS防御系統(tǒng)。當(dāng)主用主控板發(fā)生故障時(shí)，可以切換到備用的主控板，不會(huì)發(fā)生包丟失，也不會(huì)影響對(duì)端路由器。路由能力強(qiáng)大，支持高達(dá)170萬條的大路由表，支持豐富的路由協(xié)議包括RIP、OSPF、ISIS、BGP4和多播路由協(xié)議。u 提供高品質(zhì)、安全和多層次的MPLS VPN解決方案，支持MPLS TE，可以作為高性價(jià)比MPLS PE設(shè)備使用。第2章 華為路由器交換機(jī)物理安全管理 定期檢查機(jī)房的溫度和濕度數(shù)據(jù)通信設(shè)備的長期穩(wěn)定運(yùn)行是需要一個(gè)良好的環(huán)境，為保證路由器正常工作和延長使用壽命，機(jī)房內(nèi)需維持一定的溫度和濕度。建議定期（每半年或一年一次）檢查接地線是否完好，接地電阻是否正常，接地的標(biāo)準(zhǔn)見各個(gè)產(chǎn)品的接地要求，在檢查時(shí)，對(duì)于設(shè)備的接地，機(jī)柜的接地，地線的腐蝕情況，地排的腐蝕情況都要進(jìn)行全面的檢查。管理級(jí)：關(guān)系到系統(tǒng)基本運(yùn)行，系統(tǒng)支撐模塊的命令，這些命令對(duì)業(yè)務(wù)提供支撐作用，包括文件系統(tǒng)、FTP、TFTP、XModem下載、配置文件切換命令、電源控制命令、備板控制命令、用戶管理命令、級(jí)別設(shè)置命令、系統(tǒng)內(nèi)部參數(shù)設(shè)置命令（非協(xié)議規(guī)定、非RFC規(guī)定）等。對(duì)于安全級(jí)別比較高的設(shè)備，建議采用AAA方式到RADIUS去認(rèn)證。華為以太網(wǎng)交換機(jī)提供強(qiáng)大的遠(yuǎn)程登錄安全管理能力，包括：禁止遠(yuǎn)程用戶登錄、啟用安全的遠(yuǎn)程登錄，設(shè)置連接超時(shí)時(shí)間、設(shè)置登錄嘗試次數(shù)限制、設(shè)置并發(fā)用戶數(shù)目，設(shè)置根據(jù)源地址的登錄用戶過濾機(jī)制。RADIUS認(rèn)證的設(shè)置RADIUS（Remote access DialIn user service）可以提供遠(yuǎn)程用戶的認(rèn)證機(jī)制，為遠(yuǎn)程登錄用戶提供統(tǒng)一的認(rèn)證手段。[Quidway–aaa]accountingscheme radius[Quidway–aaaaccounting]accountingmode radius 配置huawei域，在域下采用radius認(rèn)證方案、radius計(jì)費(fèi)方案、shiva的radius模板。禁止其他的TCP、UDP Small服務(wù)。禁止BOOTp服務(wù)。 在使用SNMP協(xié)議時(shí)候的安全建議在不使用網(wǎng)管的時(shí)候，建議關(guān)閉SNMP協(xié)議。并且在配置munity時(shí)，將RO和RW的munity分開，不要配置成相同的名字。 路由協(xié)議采用加密認(rèn)證現(xiàn)網(wǎng)上已經(jīng)發(fā)現(xiàn)有對(duì)BGP的攻擊，導(dǎo)致BGP鏈路異常斷鏈。id：MD5密文驗(yàn)證標(biāo)識(shí)符，取值范圍為1~255。undo rip authenticationmode命令用來取消對(duì)RIP2的認(rèn)證。[Quidway] interface pos1/0/0[QuidwayInterface pos1/0/0] rip version 2[QuidwayInterface pos1/0/0] rip authenticationmode md5 keystring aaa[QuidwayInterface pos1/0/0] rip authenticationmode md5 type usual OSPF認(rèn)證包括區(qū)域認(rèn)證、接口認(rèn)證 authenticationmode命令authenticationmode [ simple | md5 ]undo authenticationmode [ simple | md5 ]【視圖】OSPF區(qū)域視圖【參數(shù)】simple：使用明文驗(yàn)證方式?！九e例】！進(jìn)入?yún)^(qū)域0視圖。相關(guān)配置可參考命令authenticationmode?！久枋觥縟omainauthenticationmode命令用來設(shè)置ISIS路由域認(rèn)證密碼，undo domainauthenticationmode命令用來禁用路由域密碼認(rèn)證。level2：為L2設(shè)置認(rèn)證密碼。如果設(shè)置了密碼，但沒有指定其它參數(shù)，則缺省使用levelsimple和osi。simple：以明文形式顯示設(shè)置的密碼。[Quidwaybgp] peer password simple huawei 在設(shè)備上開啟URPF功能URPF通過獲取報(bào)文的源地址和入接口，以源地址為目的地址，在轉(zhuǎn)發(fā)表中查找源地址對(duì)應(yīng)的接口是否與入接口匹配，如果不匹配，認(rèn)為源地址是偽裝的，丟棄該報(bào)文。對(duì)于這種攻擊的防范首先要明確瓶頸在哪里。Smurf攻擊的防范：Smurf攻擊是向一個(gè)子網(wǎng)的廣播地址發(fā)一個(gè)帶有特定請(qǐng)求（如ICMP回應(yīng)請(qǐng)求）的包，并且將源地址偽裝成想要攻擊的主機(jī)地址。華為