【正文】 2. 配置ICMP Flood攻擊防范功能請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。 使能WinNuke攻擊防范功能WinNuke攻擊防范是基于入接口的，使能該功能需要打開WinNuke攻擊防范功能全局開關(guān)和使能攻擊來源的入接口的攻擊防范開關(guān)。該攻擊需要在發(fā)現(xiàn)問題后接入層面實(shí)施，（這個(gè)功能可以通過端口鏡像，將數(shù)據(jù)流鏡像到專門的設(shè)備上進(jìn)行分析，以獲取攻擊源和攻擊使用的端口），然后對(duì)攻擊源的通信進(jìn)行限制，這類防范手段也可以通過ACL來實(shí)現(xiàn)。大多數(shù)的Dos攻擊都是通過發(fā)送大量的無用包，從而占用路由器和帶寬的資源，導(dǎo)致網(wǎng)絡(luò)和設(shè)備過載，這種攻擊也稱為洪泛攻擊。cipher：以密文形式顯示設(shè)置的密碼。level1：為L(zhǎng)1設(shè)置認(rèn)證密碼。同一網(wǎng)段的路由器的驗(yàn)證字口令必須相同；并且，只有在使用authenticationmode命令指定了區(qū)域的驗(yàn)證字類型之后，本配置才會(huì)生效。[Quidway] interface pos1/0/0[QuidwayInterface pos1/0/0] rip version 2[QuidwayInterface pos1/0/0] rip authenticationmode md5 keystring aaa[QuidwayInterface pos1/0/0] rip authenticationmode md5 type nonstandard！指定interface pos1/0/0使用MD5密文驗(yàn)證，關(guān)鍵字為aaa，報(bào)文類型為usual。string：MD5密文驗(yàn)證字。在配置SNMPv1/v2的munity名字時(shí)，建議避免使用public、private這樣公用的名字。路由器操作系統(tǒng)支持Http協(xié)議進(jìn)行遠(yuǎn)端配置和監(jiān)視，而針對(duì)Http的認(rèn)證就相當(dāng)于在網(wǎng)絡(luò)上發(fā)送明文且對(duì)于Http沒有有效的基于挑戰(zhàn)或一次性的口令保護(hù)，這使得用Http進(jìn)行管理相當(dāng)危險(xiǎn)。[Quidway–aaa]authenticationscheme radius[Quidwayaaaauthenradius] authenticationmode radius 配置計(jì)費(fèi)方案，計(jì)費(fèi)方法為radius。遠(yuǎn)程登錄安全要求華為全線以太網(wǎng)交換機(jī)設(shè)備提供遠(yuǎn)程管理能力，用戶可以通過遠(yuǎn)程登錄的方式對(duì)設(shè)備進(jìn)行管理。配置級(jí)：業(yè)務(wù)配置命令，包括路由、各個(gè)網(wǎng)絡(luò)層次的命令，這些用于向用戶提供直接網(wǎng)絡(luò)服務(wù)。u 支持L2TP、GRE、IPSEC、EOIP、MPLS VPN等VPN業(yè)務(wù)，提供隧道融合與VPN互通，提供安全和多層次的MPLS VPN解決方案。u 支持IPv4/IPvMPLS分布式轉(zhuǎn)發(fā)。u 支持分布式NAT，具備策略和安全管理功能，能夠防止惡意用戶對(duì)NAT連接的攻擊，提供完善的安全日志。NE80實(shí)現(xiàn)智能業(yè)務(wù)感知，提供先進(jìn)的隊(duì)列調(diào)度算法、SARED擁塞控制算法，精確保證不同業(yè)務(wù)的帶寬、時(shí)延和抖動(dòng)，滿足不同用戶、不同業(yè)務(wù)等級(jí)的“區(qū)分服務(wù)”要求。盡管在不斷改進(jìn)的各種路由協(xié)議中，對(duì)這兩類路由器所使用的名稱可能有很大的差別，但所發(fā)揮的作用卻是一樣的。1．靜態(tài)路徑表 　　由系統(tǒng)管理員事先設(shè)置好固定的路徑表稱之為靜態(tài)（static）路徑表，一般是在系統(tǒng)安裝時(shí)就根據(jù)網(wǎng)絡(luò)的配置情況預(yù)先設(shè)定的，它不會(huì)隨未來網(wǎng)絡(luò)結(jié)構(gòu)的改變而改變。 S2000B 系列邊緣接入交換機(jī)為要求具備高性能且易于安裝的網(wǎng)絡(luò)環(huán)境而設(shè)計(jì)的可網(wǎng)管的樓道級(jí)/桌面級(jí)二層線速以太網(wǎng)交換產(chǎn)品，具備在戶外環(huán)境下正常工作的能力。 S5500 系列千兆智能三層交換機(jī)面向IP城域網(wǎng)的匯聚層和大型企業(yè)或園區(qū)網(wǎng)的匯聚層的盒式高密度可堆疊三層交換機(jī)。從傳輸介質(zhì)和傳輸速度上可分為以太網(wǎng)交換機(jī)、快速以太網(wǎng)交換機(jī)、千兆以太網(wǎng)交換機(jī)、FDDI交換機(jī)、ATM交換機(jī)和令牌環(huán)交換機(jī)等。 S6500 系列高端交換機(jī)面向IP城域網(wǎng)、大型企業(yè)網(wǎng)及園區(qū)網(wǎng)用戶的系列大容量、高密度、模塊化的三層交換機(jī)，作為城域網(wǎng)匯聚層交換機(jī)。 S2000 系列邊緣接入交換機(jī)為要求具備高性能且易于安裝的網(wǎng)絡(luò)環(huán)境而度身定做的可網(wǎng)管的交換機(jī)。為了完成這項(xiàng)工作，在路由器中保存著各種傳輸路徑的相關(guān)數(shù)據(jù)——路徑表（Routing Table），供路由選擇；時(shí)使用。例如，把網(wǎng)絡(luò)地址部分的分配指定成網(wǎng)絡(luò)、子網(wǎng)和區(qū)域的一組節(jié)點(diǎn)，其余的用來指明子網(wǎng)中的特別站。 NetEngine 80核心路由器主要應(yīng)用在IP骨干網(wǎng)、IP城域網(wǎng)骨干層以及各種大型IP網(wǎng)絡(luò)的核心位置。Quidway174。u 高品質(zhì)QoS能力，是網(wǎng)絡(luò)業(yè)務(wù)的重要技術(shù)基礎(chǔ)。u 采用分布式體系結(jié)構(gòu)，主控板冗余設(shè)計(jì)，主備倒換實(shí)現(xiàn)零丟包率；2+1或1＋1電源熱備份；接口備份、端口捆綁實(shí)現(xiàn)了鏈路的高可靠性。第3章 華為路由器交換機(jī)數(shù)據(jù)安全配置 分級(jí)設(shè)置用戶口令華為公司的數(shù)據(jù)設(shè)備的登錄口令分為4級(jí)：參觀級(jí)、監(jiān)控級(jí)、配置級(jí)、管理級(jí)，不同的級(jí)別所能做的操作都不相同。[Quidway] header login %Enter TEXT message. End with the character 39。[Quidwayradiusshiva] radiusserver authentication 1812 secondary[Quidwayradiusshiva] radiusserver accounting 1813 secondary 配置Radius服務(wù)器密鑰、重傳次數(shù)。Finger服務(wù)可能被攻擊者利用查找用戶和口令攻擊。在SNMP服務(wù)中，提供了ACL過濾機(jī)制，該機(jī)制適用于SNMPv1/v2/v3三個(gè)版本，建議通過訪問控制列表來限制SNMP的客戶端?！九渲脤?shí)例】 RIP的認(rèn)證rip authenticationmode命令rip authenticationmode simple passwordrip authenticationmode md5 keystring stringrip authenticationmode md5 keyid idrip authenticationmode md5 type [ nonstandard | usual ]undo rip authenticationmode【視圖】接口視圖【參數(shù)】simple：明文驗(yàn)證方式。路由器對(duì)這兩種報(bào)文格式均提供支持，用戶可以根據(jù)不同的需要自行選擇。md5 key：MD5驗(yàn)證字，為最大不超過16個(gè)字符的字符串。相關(guān)配置可參考命令areaauthenticationmode，isis authenticationmode?！九e例】！為Interface pos1/0/0接口上的Level1鄰接關(guān)系設(shè)置明文認(rèn)證密碼frank。 防攻擊的措施這類防范措施請(qǐng)根據(jù)實(shí)際網(wǎng)絡(luò)和遭受攻擊的情況進(jìn)行。Synflood: 該攻擊以多個(gè)隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送SYN包，而在收到目的主機(jī)的SYN ACK后并不回應(yīng)，這樣，目的主機(jī)就為這些源主機(jī)建立了大量的連接隊(duì)列，而且由于沒有收到ACK一直維護(hù)著這些隊(duì)列，造成了資源的大量消耗而不能向正常請(qǐng)求提供服務(wù)。 使能Fraggle攻擊防范功能Fraggle攻擊防范是基于入接口的，使能該功能需要打開Fraggle攻擊防范功能全局開關(guān)和使能攻擊來源的入接口的攻擊防范開關(guān)。 配置ICMP Flood攻擊防范功能ICMP Flood攻擊防范功能可對(duì)IP或者安全區(qū)域分別進(jìn)行配置，使能該功能須以打開ICMP Flood攻擊防范功能全局開關(guān)和使能受保護(hù)IP所在出接口的攻擊防范功能開關(guān)前提。amp。 配置SYN Flood攻擊防范功能SYN Flood攻擊防范功能可對(duì)安全域和IP分別進(jìn)行配置，使能該功能須以打開SYN Flood攻擊防范功能全局開關(guān)和使能受保護(hù)IP所在出接口的攻擊防范開關(guān)為前提。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。同時(shí)禁止TraceRoute命令的探測(cè)?！久枋觥縫eer password命令用來配置BGP建立TCP連接時(shí)進(jìn)行MD5認(rèn)證，undo peer password命令用來取消此功能。simple：認(rèn)證密碼采用明文形式發(fā)送。[Quidwayospf] area 1[] network [] authenticationmode md5[QuidwayInterface pos1/0/0] ospf authenticationmode md5 15 Huawei ISIS domainauthenticationmode命令【命令】domainauthenticationmode { simple | md5 } password [ ip | osi ]undo domainauthenticationmode { simple | md5 } [ ip | osi ]【視圖】ISIS視圖【參數(shù)】password：需要設(shè)置的密碼?！久枋觥縜uthenticationmode命令用來指定OSPF中的一個(gè)區(qū)域支持驗(yàn)證屬性，undo authenticationmode命令用來取消該區(qū)域支持驗(yàn)證屬性。若設(shè)置了MD5密文驗(yàn)證的關(guān)鍵字，而沒有指定MD5密文驗(yàn)證的報(bào)文類型，則使用非標(biāo)準(zhǔn)兼容格式，keyid值為1。 關(guān)閉不使用的物理端口為了防止誤接設(shè)備而引起網(wǎng)絡(luò)的異常，建議對(duì)于不使用的物理端口在配置上將其關(guān)閉，防止誤接。明確的禁止IP Directed Broadcast。對(duì)于這些常見的病毒，我們都知道它們的工作方式，知道他們所使用的端口號(hào)。最好的密碼處理方法是將其保存在TACACS+或RADIUS認(rèn)證服務(wù)器上?！九渲脤?shí)例】CON口對(duì)應(yīng)的優(yōu)先級(jí)缺省為3，其它用戶界面的優(yōu)先級(jí)缺省為0。影響設(shè)備的穩(wěn)定運(yùn)行。 NetEngine 40 系列通用交換路由器 充分繼承了NE80核心路由器的設(shè)計(jì)理念和關(guān)鍵技術(shù)，面向大型企業(yè)網(wǎng)、行業(yè)網(wǎng)、IP城域網(wǎng)和IP骨干網(wǎng)的高端網(wǎng)絡(luò)產(chǎn)品，包括NE40－NE40－4和NE40－2三款型號(hào)。中低端路由器：產(chǎn)品型號(hào)特性Quidway174。路由能力強(qiáng)大，支持高達(dá)170萬條的大路由表，支持豐富的路由協(xié)議包括RIP、OSPF、ISIS、BGP4和多播路由協(xié)議。由多個(gè)互連的LAN組成的公司或企業(yè)網(wǎng)絡(luò)一側(cè)和外界廣域網(wǎng)相連接的路由器，就是這個(gè)企業(yè)網(wǎng)絡(luò)的邊界路由器。二、路由器的功能（1）在網(wǎng)絡(luò)間截獲發(fā)送到遠(yuǎn)地網(wǎng)段的報(bào)文，起轉(zhuǎn)發(fā)的作用。它是兩個(gè)局域網(wǎng)之間接幀傳輸數(shù)據(jù)，在OSI／RM之中被稱之為中介系統(tǒng)，完成網(wǎng)絡(luò)層中繼或第三層中繼的任務(wù)。 S3500 系列安全智能三層交換機(jī)為充分滿足安全I(xiàn)P交換和高QOS保證的需求而推出的智能型以太網(wǎng)交換機(jī)；l 32Gbps的總線帶寬為交換機(jī)所有的端口提供三層線速交換能力，系統(tǒng)能夠提供4個(gè)GE，有效解決了在單臺(tái)設(shè)備上多個(gè)千兆鏈路上行，同時(shí)接入千兆服務(wù)器的需求，極大的節(jié)省了用戶對(duì)設(shè)備投資；l 基于最長(zhǎng)匹配的路由策略，系統(tǒng)采用逐包轉(zhuǎn)發(fā)方式，保證了所有報(bào)文均獲得相同的轉(zhuǎn)發(fā)性能，對(duì)“紅碼病毒”和“沖擊波病毒”的攻擊具有天生的防御能力，有效保證了設(shè)備安全； Portal認(rèn)證，在用戶接入網(wǎng)絡(luò)時(shí)完成必要的身份認(rèn)證，還可以通過靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問網(wǎng)絡(luò)；l 不僅支持STP/RSTP生成樹協(xié)議，還提供了基于多VLAN的生成樹MSTP，極大提高了鏈路的冗余備份，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。眾所周知，傳統(tǒng)的交換機(jī)工作在OSI參考模型的第二層——數(shù)據(jù)鏈路層上，主要功能包括物理編址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、錯(cuò)誤校驗(yàn)、幀序列以及流控。 S8500 系列核心路由交換機(jī) 新一代高性能萬兆核心路由交換機(jī)產(chǎn)品，可廣泛應(yīng)用于IP城域網(wǎng)核心匯聚。l ，硬件能夠識(shí)別、處理四到七層的應(yīng)用業(yè)務(wù)流，所有端口都具有單獨(dú)的數(shù)據(jù)包過濾、區(qū)分不同應(yīng)用流，并根據(jù)不同的流進(jìn)行不同的管理和控制；l ，在用戶接入網(wǎng)絡(luò)時(shí)完成必要的身份認(rèn)證，還可以通過靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問網(wǎng)絡(luò)。一般說來，異種網(wǎng)絡(luò)互聯(lián)與多個(gè)子網(wǎng)互聯(lián)都應(yīng)采用路由器來完成。（4）多協(xié)議的路由器可以連接使用不同通信協(xié)議的網(wǎng)絡(luò)段，作為不同通信協(xié)議網(wǎng)絡(luò)段通信連接的平臺(tái)。提高運(yùn)營(yíng)商級(jí)的不間斷路由轉(zhuǎn)發(fā)功能，保證業(yè)務(wù)不會(huì)中斷。u 采用了業(yè)界高性能網(wǎng)絡(luò)處理器技術(shù)實(shí)現(xiàn)高速接口包文的集中轉(zhuǎn)發(fā)，有機(jī)地結(jié)合了軟件的靈活性和硬件的高性能，提供線速轉(zhuǎn)發(fā)性能。Quidway174。u 支持多種方式VPN（L2TP、GRE、MPLS VPN等），具備豐富的NAT功能，提供以太網(wǎng)/VLAN、PPP/MP、PPPoE、Frame Relay、HDLC、ATM、HDLC和LAPB等豐富的互聯(lián)功能，支持備份中心，并提供對(duì)語音、組播等業(yè)務(wù)的支持。 定期檢查設(shè)備的相關(guān)線纜是否完好建議定期（每1－2月檢查一次）檢查設(shè)備的電源線、尾纖、接地線纜是否完好，有沒有被腐蝕，有沒有被鼠咬，以保證業(yè)務(wù)不會(huì)因?yàn)榫€纜的損壞而受到影響。本部實(shí)施的是加強(qiáng)設(shè)備訪問和提供服務(wù)的安全性管理。【配置實(shí)例】 配置Radius服務(wù)器模板。路由器提供一些基于TCP和UDP協(xié)議的小服務(wù)如：echo、chargen和discard。出于SNMPv1/v2協(xié)議自身不安全性的考慮，建議盡量使用SNMPv3，除非網(wǎng)管不支持SNMPv3，只能用SNMPv1/v2。建議對(duì)于現(xiàn)在網(wǎng)絡(luò)上使用的ISIS、OSPF和BGP路由協(xié)議，對(duì)報(bào)文進(jìn)行加密認(rèn)證。RIP1不支持驗(yàn)證報(bào)文。[Quidwayospf] area 0！指定OSPF區(qū)域0支持MD5密文驗(yàn)證。缺省情況下，不設(shè)置密碼，也不做認(rèn)證。此命令用于防止非授權(quán)的路由器和當(dāng)前路由器建立鄰居關(guān)系，從而防止非法路由引入。通過這種方式，URPF就能有效地防范網(wǎng)絡(luò)中通過修改源地址而進(jìn)行的惡意攻擊行為的發(fā)生。子網(wǎng)上所有主機(jī)都回應(yīng)廣播包請(qǐng)求而向被攻擊主機(jī)發(fā)包，使