接入层安全配置:
环路检测
针对环路可以在下行接口配置环路检测。
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] loopback-detect enable
案例现象介绍
环路是网络性能的一大"杀手"。网络环路会导致网络中的数据包不停的循环发送,造成链路带宽资源的消耗浪费。于是合理的避免网络环路是每一位网路工程师必须要去学习的。
loopback detection 通过发送测试报文到网络中,如果再次从网络中收到了该报文,证明网络发生了环路现象。
配置步骤
交换机1的配置
sys #进入系统视图
[Huawei]sysname Switch #配置系统名称为Switch
[Switch]interface GigabitEthernet 0/0/1 #进入千兆以太网G0/0/1端口
[Switch-GigabitEthernet0/0/1]loopback-detect enable #开启回环检测功能
[Switch-GigabitEthernet0/0/1]loopback-detect action block #设置发生环路后采取阻塞端口的动作
[Switch-GigabitEthernet0/0/1]loopback-detect recovery-time 30 #配置环回恢复时间为30秒
[Switch-GigabitEthernet0/0/1]quit #退出千兆以太网G0/0/1端口
[Switch]
验证配置
[Switch]dis loopback-detect
Loopback-detect sending-packet interval: 5
Interface RecoverTime Action Status
GigabitEthernet0/0/1 30 block NORMAL
广播风暴抑制
在接入层下行接口,部署广播、组播、未知单播报文的抑制,可有效减少广播风暴。
• 可以按照百分比来设置抑制速率
• system-view
• [HUAWEI] interface gigabitethernet 1/0/1
• [HUAWEI-GigabitEthernet1/0/1] broadcast-suppression 5 /百分5的意思
• [HUAWEI-GigabitEthernet1/0/1] multicast-suppression 5
[HUAWEI-GigabitEthernet1/0/1] unicast-suppression 5
• 如果对风暴控制要求较高的话,还可以基于字节速率和报文速率(小粒度控制)
• system-view
• [HUAWEI] interface gigabitethernet 1/0/1
• [HUAWEI-GigabitEthernet1/0/1] broadcast-suppression cir 100
• [HUAWEI-GigabitEthernet1/0/1] multicast-suppression cir 100
[HUAWEI-GigabitEthernet1/0/1] unicast-suppression cir 100
防攻击
接入交换机建议配置DHCP Snooping,上行口配置成trust
配置DHCP Snooping功能,可有效防止DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将接口设置为信任接口和非信任接口,信任接口正常转发接收到的DHCP报文,非信任接口接收到DHCP服务器响应的DHCP ACK和DHCP OFFER报文后,将丢弃该报文。
直接或间接连接管理员信任的DHCP服务器的接口需要设置为信任接口,其他接口设置为非信任接口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的DHCP Server仿冒者无法为DHCP客户端分配IP地址。
DHCP Snooping可以基于接口配置,也可以基于VLAN配置。
基于接口配置接入交换机的DHCP Snooping,上行口配置为信任接口。
system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping trusted //上行口配置为信任接口,使接入交换机只处理从该接口收到的DHCP服务器响应报文
[HUAWEI-GigabitEthernet0/0/1] quit
[HUAWEI] interface gigabitethernet 0/0/2
[HUAWEI-GigabitEthernet0/0/2] dhcp snooping enable //使能用户侧接口的DHCP Snooping功能
[HUAWEI-GigabitEthernet0/0/2] quit
基于VLAN配置。
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 10
[HUAWEI-vlan10] dhcp snooping enable /开户这行就行了
[HUAWEI-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/1 /这个vlan下0/0/1口是上联口,所以加入信任
如果网络中只有有线用户,DHCP Snooping可以基于接口配置,也可以基于VLAN配置。如果网络中同时存在有线用户和无线用户,交换机连接AP的接口不建议使能DHCP Snooping,可能会造成交换机用户绑定表超规格,所以针对有线用户,建议基于VLAN配置DHCP Snooping,针对无线用户,建议在无线侧VAP模板上配置。无线侧VAP模板上的配置请参考无线业务安全-流量限制。
建议在接口或VLAN下配置IP报文检查和动态ARP检测
在网络中经常出现利用仿冒合法用户的源IP、MAC等信息的报文访问或攻击网络的情况,导致合法用户无法获得稳定、安全的网络服务。配置IP源防攻击功能,可以防范上述情况的发生。IP源防攻击(IPSG)可以防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。
为了防御中间人攻击,避免合法用户的数据被中间人窃取,可以使能动态ARP检测功能。设备会将ARP报文对应的源IP、源MAC、接口、VLAN信息和绑定表中的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。
可在接口视图或VLAN视图下使能动态ARP检测功能。在接口视图下使能时,则对该接口收到的所有ARP报文进行绑定表匹配检查;在VLAN视图下使能时,则对加入该VLAN的接口收到的属于该VLAN的ARP报文进行绑定表匹配检查。
使能接口GE1/0/1下的IP报文检查功能和动态ARP检测功能。
system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] ip source check user-bind enable //启用端口检测功能/
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack check user-bind enable /启用arp 协议抗攻击检查绑定服务
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack check user-bind alarm enable
使能VLAN100下的动态ARP检测功能。
system-view
[HUAWEI] vlan 100
[HUAWEI-vlan100] arp anti-attack check user-bind enable
这两个功能都是要基于绑定表进行检查的,
user-bind static ip-address 1.1.1.1 mac-address 5489-98F1-2686 interface GigabitEthernet 0/0/1 vlan 100 /静态绑定
绑定表可以是通过配置DHCP Snooping动态生成,也可以静态配置。
在vlan下应用ip source check user-bind enable导致业务不通
一、现象描述
在vlan下应用ip source check user-bind enable导致业务不通
二、组网图
终端—S2700—S5700(网关)
三、配置
dhcp enable
dhcp snooping enable
user-bind static ip-address 192.168.34.10 mac-address 80fa-0367-db33
vlan 34
dhcp snooping enable
ip source check user-bind enable
interface Ethernet0/0/2
port link-type access
port default vlan 34
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
根因
vlan下应用就是在属于该vlan下所有接口执行检查,包含上行口GigabitEthernet0/0/1,上行口入方向的三层报文源ip不同,源mac都是网关S5700的mac地址,不能通过user-bind表项检查被丢弃,导致业务不通。
建议与总结
1、在vlan下应用ip source check user-bind enable或者和user-bind表项检查相关的其他命令会导致业务不通。
2、如果要在vlan下应用这些命令,需要通过user-bind static mac-address绑定上行网关设备对应三层接口的mac地址,而且是只绑定mac地址。
建议配置ARP/DHCP限速
由于终端行为未知,且终端数量大,为防止突发性的大量ARP/DHCP报文涌向核心,对核心造成较大的压力,可以在接入层设备的上行口配置出方向ARP/DHCP限速。
创建ACL,分别匹配DHCP报文和ARP报文。
[HUAWEI] acl 3001
[HUAWEI-acl-adv-3001] rule 5 permit udp destination-port eq bootps
[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule 5 permit l2-protocol arp destination-mac ffff-ffff-ffff
[HUAWEI-acl-L2-4001] rule 10 permit l2-protocol arp
上行接口配置限速。
[HUAWEI] interface Eth-Trunk1
[HUAWEI-Eth-Trunk1] traffic-limit outbound acl 3001 cir 192 pir 192 cbs 24000 pbs 24000
[HUAWEI-Eth-Trunk1] traffic-limit outbound acl 4001 cir 32 pir 32 cbs 4000 pbs 4000
接入交换机连接网关的上行接口建议配置为攻击溯源的白名单
当希望某些用户无论其是否存在攻击都不对其进行攻击溯源分析和攻击溯源惩罚时,则可以配置攻击溯源的白名单。网关报文一般不丢弃,所以建议将接入交换机连接网关的上行接口添加到白名单。
在防攻击策略test视图下,将接口GE1/0/1加入攻击溯源与端口防攻击的白名单。
system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] auto-defend enable
[HUAWEI-cpu-defend-policy-test] auto-defend whitelist 2 interface gigabitethernet 1/0/1
[HUAWEI-cpu-defend-policy-test] auto-port-defend enable
[HUAWEI-cpu-defend-policy-test] auto-port-defend whitelist 2 interface gigabitethernet 1/0/1
接入用户限制
一般接入设备接口所接用户数固定,对于办公位而言,一般就是IP Phone和PC两类有线终端,对于宿舍而言,一般Hub扩展成4~8个用户,可通过配置接入用户限制,防止大量用户攻击涌入和非法用户接入。
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] mac-limit maximum 2
端口隔离
建议在接入交换机连接终端的接口上配置端口隔离,加强用户通信安全,同时避免无效的广播报文影响用户业务。
配置接入交换机接口GE1/0/1的端口隔离功能。
system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port-isolate enable
核心层安全
本机防攻击
本机防攻击是交换机的一个重要功能集合,可保护CPU,解决CPU因处理大量正常上送CPU的报文或者恶意攻击报文造成的业务中断问题,保证设备在受到攻击时已有业务可以正常运转,主要功能有:CPU防攻击、攻击溯源和端口防攻击。
CPU防攻击
CPU防攻击可以针对上送CPU的报文进行限制和约束,使单位时间内上送CPU报文的数量限制在一定的范围之内,从而保护CPU的安全,保证CPU对业务的正常处理。CPU防攻击的核心部分是CPCAR(Control Plane Committed Access Rate)和黑白名单。
CPCAR通过对上送控制平面的不同业务的协议报文分别进行限速,来保护控制平面的安全。针对不同类型的协议报文,通过独立的CP-CAR值,限制协议报文上送CPU的速率,保护CPU免受大量攻击而瘫痪。通过合理的调整CP-CAR的值,提升设备处理协议报文的能力,但CP-CAR不能任意放大,过大的话,CP-CAR将无法有效保护CPU。
随着接入用户数的不断增加,以及认证带来的协议报文的交互的增加,默认的CP-CAR将不再适用,不合理调整CP-CAR,结果往往就是协议报文被挤占而导致用户不能正常上线或者异常掉线。
下面以修改ARP Request报文的CAR值为例进行配置举例。
创建防攻击策略。
[Switch] cpu-defend policy policy1
配置ARP Request报文的CP-CAR值为120kbit/s。
[Switch-cpu-defend-policy-policy1] car packet-type arp-request cir 120
Warning: Improper parameter settings may affect stable operating of the system. Use this command under assistance of Huawei engineers. Continue? [Y/N]: y
应用防攻击策略到主控板。
[Switch] cpu-defend-policy policy1
应用防攻击策略到接口板。
[Switch] cpu-defend-policy policy1 global
结合之前项目采用的现网用户行为,进行现网用户一般行为实时调整CP-CAR值。
通过创建黑名单,把符合特定特征的用户纳入到黑名单中,设备将直接丢弃黑名单用户上送的报文;通过创建白名单,把符合特定特征的用户纳入到白名单中,设备将优先处理匹配白名单特征的报文。
定义ACL规则。
[Switch] acl number 2001
[Switch-acl-basic-2001] rule permit source 10.1.1.0 0.0.0.255
[Switch-acl-basic-2001] quit
[Switch] acl number 2002
[Switch-acl-basic-2002] rule permit source 10.2.2.0 0.0.0.255
[Switch-acl-basic-2002] quit
创建防攻击策略。
[Switch] cpu-defend policy policy1
配置CPU防攻击黑名单。
[Switch-cpu-defend-policy-policy1] blacklist 1 acl 2001
配置CPU防攻击白名单。
[Switch-cpu-defend-policy-policy1] whitelist 1 acl 2002
应用防攻击策略到主控板。
[Switch] cpu-defend-policy policy1
应用防攻击策略到接口板。
[Switch] cpu-defend-policy policy1 global
通过统计功能,可以实时查看上送CPU的报文的转发和丢弃情况,能有效协助问题定位。
[HUAWEI] display cpu-defend statistics all
攻击溯源
通过配置攻击溯源,设备可以分析上送CPU的报文是否会对CPU造成攻击,对可能造成攻击的报文通过日志或告警提醒网络管理员,以便管理员采用一定的措施来保护设备,交换机默认开启攻击溯源功能。
创建cpu-defend策略,使能攻击溯源,使能攻击溯源事件上报功能。
system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] auto-defend enable
[HUAWEI-cpu-defend-policy-test] auto-defend alarm enable
[HUAWEI-cpu-defend-policy-test] quit
[HUAWEI] cpu-defend-policy test
查看攻击源信息。
[HUAWEI] display auto-defend attack-source
触发攻击溯源时,交换机有对应的动作可配置,比如丢弃,但一般不建议配置动作,因为网络中可能是突发的流量涌动,丢弃会影响业务。我们只用攻击溯源的监控功能即可,上述命令行可以随时监控当前网络中是不是持续性受到攻击或持续性涌流的影响。
端口防攻击
通过配置端口防攻击,设备可以基于端口维度对上送CPU的报文进行溯源和限速,以防御针对CPU的DoS攻击,交换机默认开启端口防攻击功能。
创建cpu-defend策略,使能端口防攻击。防攻击策略可以应用在主控板、所有接口板或指定接口板上,可以根据实际情况选择。
[HUAWEI] cpu-defend policy defend
[HUAWEI-cpu-defend-policy-defend] auto-port-defend enable
[HUAWEI-cpu-defend-policy-defend] quit
[HUAWEI] cpu-defend-policy defend //在主控板上应用防攻击策略
[HUAWEI] cpu-defend-policy defend global //在所有接口板上应用防攻击策略
[HUAWEI] slot 3
[HUAWEI-slot-3] cpu-defend-policy test //在指定接口板上应用防攻击策略
查看端口防攻击记录。
[HUAWEI] display auto-port-defend attack-source
上述命令可以查看触发端口防攻击的记录,触发端口防攻击并不代表一定是出现大量的攻击,只是一个设备CPU自我保护的一个过程,当网络中出现短暂的ARP涌动时,也会触发端口防攻击,针对这种瞬时的ARP涌动,或者持续性的攻击,端口防攻击会有效限制这些报文对CPU的冲击。
如果有特殊业务需求,例如网络侧的端口通常会收到大量协议报文,然而这些协议报文一般为合法报文,此时通过将该端口或者该端口连接的其他网络节点加入端口防攻击白名单,使设备不对其溯源和限速,可以避免因网络侧大量协议报文得不到CPU及时处理而影响正常业务。
配置网络侧接口GE1/0/0为端口防攻击白名单,避免网络侧的协议报文得不到CPU及时处理而影响正常业务。
[Switch-cpu-defend-policy-policy1] auto-port-defend whitelist 1 interface gigabitethernet 1/0/0
TC防攻击
设备收到TC报文时会通知ARP模块对ARP表项进行老化或者删除,此时设备需要重新进行ARP学习,以获得最新的ARP表项信息。但是如果网络的拓扑变化频繁,或者网络中设备的ARP表项很多,ARP的重新学习会导致网络中的ARP报文过多。
设备在接收到拓扑变化报文后,会执行MAC地址表项和ARP表项的删除操作,如果频繁操作则会对CPU的冲击很大,可能造成CPU占用率过高。建议在使能STP协议的所有设备上开启TC保护。
system-view
[HUAWEI] stp tc-protection
去使能设备响应TC报文并配置MAC刷新ARP功能,使设备收到TC报文的时候,ARP表项不再进行老化或者删除。
system-view
[HUAWEI] mac-address update arp
[HUAWEI] arp topology-change disable
ARP安全
当前核心上用到的ARP安全功能主要包含:ARP优化应答和ARP防网关冲突。
- ARP优化应答
当设备作为接入网关时,设备会收到大量请求本机接口MAC地址的ARP请求报文。如果全部将这些ARP请求报文上送主控板处理,将会导致主控板CPU使用率过高,影响CPU对正常业务的处理。
为了避免上述危害,可以使能ARP优化应答功能。使能该功能后,对于目的IP地址是本设备接口IP地址的ARP请求报文,接口板直接回复ARP应答,从而可以提高设备防御ARP泛洪攻击的能力。该功能尤其适用于设备上安装了多块接口板的场景。缺省情况下,ARP优化应答功能处于使能状态。
[HUAWEI] undo arp optimized-reply disable - ARP防网关冲突
如果有攻击者仿冒网关,在局域网内部发送源IP地址是网关IP地址的ARP报文,会导致局域网内其他用户主机的ARP表记录错误的网关地址映射关系。这样其他用户主机就会把发往网关的流量均发送给了攻击者,攻击者可轻易窃听到他们发送的数据内容,并且最终会造成这些用户主机无法访问网络。
为了防范攻击者仿冒网关,当用户主机直接接入网关时,可以在网关设备上使能ARP防网关冲突攻击功能。当设备收到的ARP报文存在下列情况之一:
o ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址相同。
o ARP报文的源IP地址是入接口的虚拟IP地址,但ARP报文源MAC地址不是VRRP虚MAC。
设备就认为该ARP报文是与网关地址冲突的ARP报文,设备将生成ARP防攻击表项,并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文,这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。
[HUAWEI] arp anti-attack gateway-duplicate enable
ARP代理
对于集中转发模式,由于下行二层设备都配置了端口隔离,需要核心网关上配置对应的ARP代理,一般采用的是VLAN内ARP代理。
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] arp-proxy inner-sub-vlan-proxy enable
说明:
此场景下,接入设备和汇聚设备都需要配置端口隔离。
配置接口GE1/0/1和GE1/0/2的端口隔离功能,实现两个接口之间的二层数据隔离,三层数据互通。
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port-isolate enable group 1
[HUAWEI-GigabitEthernet1/0/1] quit
[HUAWEI] interface gigabitethernet 1/0/2
[HUAWEI-GigabitEthernet1/0/2] port-isolate enable group 1
[HUAWEI-GigabitEthernet1/0/2] quit
IPv6防攻击
建议配置IPv6安全防攻击
在网络正常的情况下,设备可以正确接收ICMPv6报文。但是,在网络流量较大时,如果频繁出现主机不可达、端口不可达的现象,则设备会接收大量的ICMPv6报文,这样会增大网络的流量负担,明显降低设备的性能。同时,网络攻击者经常利用ICMPv6差错报文非法刺探网络内部结构以达到攻击目的。
为了提高网络的性能和增强网络的安全,可以去使能系统接收ICMPv6应答报文、主机不可达报文、端口不可达报文功能,防止针对这些ICMPv6报文的安全攻击。
去使能系统接收ICMPv6应答报文、主机不可达报文与端口不可达报文的功能。
system-view
[HUAWEI] undo ipv6 icmp echo-reply receive
[HUAWEI] undo ipv6 icmp port-unreachable receive
[HUAWEI] undo ipv6 icmp host-unreachable receive
出口用防火墙
安全区域划分
系统缺省已经创建了四个安全区域。但是如果用户还需要划分更多的安全等级,可以自行创建新的安全区域并定义其安全等级。安全区域创建完成后,还需要将相应接口加入安全区域。之后,从该接口接收的或发送出去的报文才会被认为是属于该安全区域。否则接口默认不属于任何安全区域,将不能通过该接口与其他安全区域通信。
接口划分不同的安全区域。
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[FW-zone-untrust] quit
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit
配置安全策略(默认deny所有流量)。
配置安全策略,允许内部网络中的PC访问Internet。
[FW] security-policy
[FW-security-policy] rule name policy_sec_1
[FW-security-policy-sec_policy_1] source-address 10.3.0.0 mask 255.255.255.0
[FW-security-policy-sec_policy_1] source-zone trust
[FW-security-policy-sec_policy_1] destination-zone untrust
[FW-security-policy-sec_policy_1] action permit
[FW-security-policy-sec_policy_1] quit
[FW-security-policy] quit
过滤功能
• URL过滤
配置URL过滤配置文件。
[FW] profile type url-filter name profile_url_research
[FW-profile-url-filter-profile_url_research] category user-defined action block
[FW-profile-url-filter-profile_url_research] category pre-defined action block
[FW-profile-url-filter-profile_url_research] category pre-defined category-id 15 action allow
[FW-profile-url-filter-profile_url_research] category pre-defined category-id 17 action allow
[FW-profile-url-filter-profile_url_research] quit
配置安全策略。
[FW-policy-security] rule name policy_sec_research
[FW-policy-security-rule-policy_sec_research] source-zone trust
[FW-policy-security-rule-policy_sec_research] destination-zone untrust
[FW-policy-security-rule-policy_sec_research] user user-group /default/research
[FW-policy-security-rule-policy_sec_research] action permit
[FW-policy-security-rule-policy_sec_research] profile url-filter profile_url_research
[FW-policy-security-rule-policy_sec_research] quit
提交内容安全配置文件。
[FW] engine configuration commit
Info: The operation may last for several minutes, please wait.
Info: URL submitted configurations successfully.
Info: Finish committing engine compiling.
• 文件过滤
新建配置文件profile_file_internet,禁止上传可执行文件。
[FW] profile type file-block name profile_file_internet
[FW-profile-file-block-profile_file_internet] rule name rule1
[FW-profile-file-block-profile_file_internet-rule-rule1] application all
[FW-profile-file-block-profile_file_internet-rule-rule1] file-type pre-defined name EXE MSI RPM OCX A ELF DLL PE SYS
[FW-profile-file-block-profile_file_internet-rule-rule1] direction upload
[FW-profile-file-block-profile_file_internet-rule-rule1] action block
[FW-profile-file-block-profile_file_internet-rule-rule1] quit
[FW-profile-file-block-profile_file_internet] quit
配置untrust到dmz的安全策略policy_sec_internet,并引用配置文件profile_file_internet。
[FW-policy-security] rule name policy_sec_internet
[FW-policy-security-rule-policy_sec_internet] source-zone untrust
[FW-policy-security-rule-policy_sec_internet] destination-zone dmz
[FW-policy-security-rule-policy_sec_internet] destination-address 10.2.0.5 24
[FW-policy-security-rule-policy_sec_internet] profile file-block profile_file_internet
[FW-policy-security-rule-policy_sec_internet] action permit
[FW-policy-security-rule-policy_sec_internet] quit
提交内容安全配置文件。
[FW] engine configuration commit
Info: The operation may last for several minutes, please wait.
Info: DLP submitted configurations successfully.
Info: Finish committing engine compiling.
• 内容过滤
配置关键字组keyword1。
[FW] keyword-group name keyword1
[FW-keyword-group-keyword1] pre-defined-keyword name confidentiality weight 1
[FW-keyword-group-keyword1] user-defined-keyword name abc
[FW-keyword-group-keyword1-keyword-abc] expression match-mode Text “abcd”
[FW-keyword-group-keyword1-keyword-abc] weight 1
[FW-keyword-group-keyword1-keyword-abc] quit
为用户新建配置文件profile_data_research。
[FW] profile type data-filter name profile_data_research
[FW-profile-data-filter-profile_data_research] rule name rule1
[FW-profile-data-filter-profile_data_research-rule-rule1] keyword-group name keyword1
[FW-profile-data-filter-profile_data_research-rule-rule1] application all
[FW-profile-data-filter-profile_data_research-rule-rule1] file-type all
[FW-profile-data-filter-profile_data_research-rule-rule1] direction upload
[FW-profile-data-filter-profile_data_research-rule-rule1] action block
[FW-profile-data-filter-profile_data_research-rule-rule1] quit
为用户配置安全策略policy_sec_research,并引用配置文件profile_data_research。
[FW] security-policy
[FW-policy-security] rule name policy_sec_research
[wzh_x3-policy-security-rule-policy_sec_research] source-zone trust
[wzh_x3-policy-security-rule-policy_sec_research] destination-zone untrust
[wzh_x3-policy-security-rule-policy_sec_research] user user-group /default/research
[wzh_x3-policy-security-rule-policy_sec_research] profile data-filter profile_data_research
[wzh_x3-policy-security-rule-policy_sec_research] action permit
[wzh_x3-policy-security-rule-policy_sec_research] quit
提交内容安全配置文件。
[FW] engine configuration commit
Info: The operation may last for several minutes, please wait.
Info: DLP submitted configurations successfully.
Info: Finish committing engine compiling.
反病毒和入侵防御
• 部署反病毒
当内网用户通过HTTP协议下载带有病毒的文件时,下载连接被阻断。当内网用户通过POP3协议下载带有病毒的邮件时,附件被删除。
配置针对HTTP和POP3协议的反病毒配置文件。
[FW] profile type av name av_http_pop3
[FW-profile-av-av_http_pop3] http-detect direction download action block
[FW-profile-av-av_http_pop3] pop3-detect action delete-attachment
[FW-profile-av-av_http_pop3] exception application name Netease_Webmail
[FW-profile-av-av_http_pop3] exception av-signature-id 1000
[FW-profile-av-av_http_pop3] quit
配置内网用户到外网服务器方向(trust到untrust方向)的安全策略。
[FW] security-policy
[FW-policy-security] rule name policy_av_1
[FW-policy-security-rule-policy_av_1] source-zone trust
[FW-policy-security-rule-policy_av_1] destination-zone untrust
[FW-policy-security-rule-policy_av_1] action permit
[FW-policy-security-rule-policy_av_1] profile av av_http_pop3
[FW-policy-security-rule-policy_av_1] quit
• 部署入侵防御
创建入侵防御配置文件profile_ips_pc,保护内网用户。
[FW] profile type ips name profile_ips_pc
[FW-profile-ips-profile_ips_pc] description profile for intranet users
[FW-profile-ips-profile_ips_pc] capture-packet enable
[FW-profile-ips-profile_ips_pc] signature-set name filter1
[FW-profile-ips-profile_ips_pc-sigset-filter1] target client
[FW-profile-ips-profile_ips_pc-sigset-filter1] severity high
[FW-profile-ips-profile_ips_pc-sigset-filter1] protocol HTTP
[FW-profile-ips-profile_ips_pc-sigset-filter1] quit
[FW-profile-ips-profile_ips_pc] quit
提交配置。
[FW] engine configuration commit
配置Trust区域和Untrust区域之间的安全策略,引用入侵防御配置文件profile_ips_pc。
[FW] security-policy
[FW-policy-security] rule name policy_sec_1
[FW-policy-security-rule-policy_sec_1] source-zone trust
[FW-policy-security-rule-policy_sec_1] destination-zone untrust
[FW-policy-security-rule-policy_sec_1] source-address 10.3.0.0 24
[FW-policy-security-rule-policy_sec_1] profile ips profile_ips_pc
[FW-policy-security-rule-policy_sec_1] action permit
[FW-policy-security-rule-policy_sec_1] quit
DDoS攻击防御
例如,防火墙部署在内网出口处,企业内网部署了Web服务器。经检测,Web服务器经常受到SYN Flood、UDP Flood和HTTP Flood攻击,为了保障Web服务器的正常运行,需要在FW上开启攻击防范功能,用来防范以上三种类型的DDoS攻击。
配置攻击防范参数。
[FW] interface GigabitEthernet1/0/1
[FW-GigabitEthernet1/0/1] anti-ddos flow-statistic enable
[FW-GigabitEthernet1/0/1] quit
[FW] ddos-mode detect-clean
配置阈值学习功能。
[FW] anti-ddos baseline-learn start
[FW] anti-ddos baseline-learn tolerance-value 100
[FW] anti-ddos baseline-learn apply
开启攻击防范功能。
[FW] anti-ddos syn-flood source-detect
[FW] anti-ddos udp-flood dynamic-fingerprint-learn
[FW] anti-ddos udp-frag-flood dynamic-fingerprint-learn
[FW] anti-ddos http-flood defend alert-rate 2000
[FW] anti-ddos http-flood source-detect mode basic
带宽策略
例如:通过每用户的动态均分方式,根据实际在线用户数量动态为每个用户平均分配带宽资源。
为用户配置带宽通道。
[FW] traffic-policy
[FW-policy-traffic] profile profile_dep_a
[FW-policy-traffic-profile-profile_dep_a] bandwidth maximum-bandwidth whole downstream 60000
[FW-policy-traffic-profile-profile_dep_a] bandwidth average per-user manual multiplier 2 minimum 1000
[FW-policy-traffic-profile-profile_dep_a] quit
针对用户进行带宽管理。
[FW-policy-traffic] rule name policy_dep_a
[FW-policy-traffic-rule-policy_dep_a] source-zone trust
[FW-policy-traffic-rule-policy_dep_a] destination-zone untrust
[FW-policy-traffic-rule-policy_dep_a] user user-group /default/dep_a
[FW-policy-traffic-rule-policy_dep_a] action qos profile profile_dep_a
[FW-policy-traffic-rule-policy_dep_a] quit
上网行为审计和管理
防火墙作为企业网关部署在网络边界,管理员希望通过配置审计功能记录员工的上网行为。
针对用户配置审计配置文件。
[FW] profile type audit name profile_audit_1
[FW-profile-audit-profile_audit_1] http-audit url all
[FW-profile-audit-profile_audit_1] http-audit url recorded-title
[FW-profile-audit-profile_audit_1] http-audit file direction download
[FW-profile-audit-profile_audit_1] ftp-audit file direction download
[FW-profile-audit-profile_audit_1] http-audit bbs-content
[FW-profile-audit-profile_audit_1] http-audit micro-blog
[FW-profile-audit-profile_audit_1] quit
针对用户配置审计策略并引用审计配置文件。
[FW] audit-policy
[FW-policy-audit] rule name policy_audit_1
[FW-policy-audit-rule-policy_audit_1] description Policy of auditing for research.
[FW-policy-audit-rule-policy_audit_1] source-zone trust
[FW-policy-audit-rule-policy_audit_1] destination-zone untrust
[FW-policy-audit-rule-policy_audit_1] user user-group /default/research
[FW-policy-audit-rule-policy_audit_1] time-range time_range
[FW-policy-audit-rule-policy_audit_1] action audit profile profile_audit_1
[FW-policy-audit-rule-policy_audit_1] quit
后续处理。
通过查看各种报表和审计日志、用户活动日志信息,获取研发部门员工和市场部门员工的上网行为,从而采取更加精确的安全策略控制。
无线安全
流量限制
为了保护网络设备CPU不被恶意攻击,也为了保护正常用户可以正常使用网络资源,要基于用户控制流量和数据流量做限制。建议最好基于网络边缘即在AP上做限制。
• 控制流量限制:AP上已经默认打开广播的泛洪攻击,默认检测速率阈值为10pps。对于高校高密场景有较大业务量时,可以适当调大阈值,但是调整幅度建议不超过100%。
配置广播泛洪攻击检测速率阈值为15pps。
system-view
[AC] wlan
[AC-wlan-view] vap-profile name profile1
[AC-wlan-vap-prof-profile1] anti-attack broadcast-flood sta-rate-threshold 15
• 数据流量限制:WiFi通信在一个信道上同一时刻只允许有一个设备发送报文,无线终端之间是竞争关系。网络带宽资源有限的情况下,为了保证每个用户都能有相对公平的网络体验,需要对VAP内所有STA或VAP内每个STA的上下行的报文进行速率限制。一般情况下,推荐对VAP内每个STA进行限速,一般4Mbps的上下行带宽能满足常用的上网应用要求,针对室内高密场景建议用户下行2M带宽,上行1M带宽。
配置绑定名称为“p1”的流量模板的VAP下每个STA下行报文的限制速率为2048Kbit/s。
system-view
[AC] wlan
[AC-wlan-view] traffic-profile name p1
[AC-wlan-traffic-prof-p1] rate-limit client down 2048
配置绑定名称为“p1”的流量模板的VAP下每个STA上行报文的限制速率为1024Kbit/s。
system-view
[AC] wlan
[AC-wlan-view] traffic-profile name p1
[AC-wlan-traffic-prof-p1] rate-limit client up 1024
防攻击
• X系列单板推荐开启用户级限速功能,默认开启。支持限制的报文类型为ARP Request、ARP Reply、ND、DHCP Request、DHCPv6 Request和802.1X报文。缺省情况下,用户级限速的限速值为10pps。可以针对个别用户调整限速值。
配置MAC地址为000a-000b-000c用户的限速值为20pps。
system-view
[AC] cpu-defend host-car mac-address 000a-000b-000c pps 20
• 非X系列单板推荐开启攻击源惩罚功能,默认开启。开启攻击溯源功能后对检测到的攻击源进行惩罚,设备将丢弃攻击源发送的攻击报文,从而避免攻击者继续攻击设备;如果有正常业务的协议报文超出设置的检查阈值,并且配置了惩罚措施,则可能会对这些业务造成影响,业务异常,可以尝试关闭攻击溯源功能,或者关闭对应协议的攻击溯源功能,使业务恢复正常。针对高校室内高密场景,建议将定时器设定的时间为5~20s,在定时器时间范围内对攻击源进行惩罚,定时器超时,设备将取消对攻击源的惩罚。
配置对检测到的攻击源进行惩罚,并指定定时器的时间长度为10秒。
system-view
[AC] cpu-defend policy mypolicy
[AC-cpu-defend-policy-mypolicy] auto-defend enable
[AC-cpu-defend-policy-mypolicy] auto-defend action deny timer 10
在攻击溯源防范的报文类型列表中删除IGMP报文和TTL-expired报文。
system-view
[AC] cpu-defend policy mypolicy
[AC-cpu-defend-policy-mypolicy ] auto-defend enable
[AC-cpu-defend-policy-mypolicy ] undo auto-defend protocol igmp ttl-expired
组播或广播报文抑制
纯组播报文由于协议要求在无线空口没有ACK机制保障,且无线空口链路不稳定,为了纯组播报文能够稳定发送,通常会以低速报文形式发送。如果网络侧有大量异常组播流量涌入,则会造成无线空口拥堵。为了减小大量低速组播报文对无线网络造成的冲击,建议配置组播报文抑制功能。配置前请确认是否有组播业务,如果有,请谨慎配置限速值。
• 隧道转发方式下:
o 建议在AC的流量模板下配置组播报文抑制,防止组播报文增多影响正常业务运行。
配置名称为“p1”的流量模板下允许通过的最大广播报文流量为128pps。
system-view
[AC] wlan
[AC-wlan-view] traffic-profile name p1
[AC-wlan-traffic-prof-p1] traffic-optimize broadcast-suppression packets 128
配置流量模板“p1”下允许通过最大组播报文的流量为128pps。
system-view
[AC] wlan
[AC-wlan-view] traffic-profile name p1
[AC-wlan-traffic-prof-p1] traffic-optimize multicast-suppression packets 128
o 如果网络侧下行发往无线用户侧的组播/广播报文较多,会导致AP空口利用率较高。如果能识别出具体的用户,可以在AC侧配置流策略针对该用户,对下行发送给AP的广播/组播报文进行抑制。调整前需要确认抑制的组播/广播业务现网是否有使用。以下示例以组播报文为例。
创建流分类“test”,并定义流分类中的匹配规则。
system-view
[AC] traffic classifier test
[AC-classifier-test] if-match destination-mac 0100-5e00-0000 mac-address-mask ffff-ff00-0000 //匹配某用户的组播报文的目的MAC地址
[AC-classifier-test] quit
创建流行为“test”,使能流量统计,并配置流量限速值。
[AC] traffic behavior test
[AC-behavior-test] statistic enable
[AC-behavior-test] car cir 100 //配置限速100kbit/s,如果有组播业务,建议按照业务流量来进行限速
[AC-behavior-test] quit
创建流策略“test”,在流策略中关联流分类和流行为。
[AC] traffic policy test
[AC-trafficpolicy-test] classifier test behavior test
[AC-trafficpolicy-test] quit
在SSID下出方向应用流策略。(针对随板AC场景)
[AC] wlan
[AC-wlan] ssid-profile name Guest
[AC-wlan-ssid-prof-Guest] traffic-policy test outbound
在AC连接网络侧的接口入方向应用流策略。(针对独立AC场景)
[AC] interface gigabitethernet 0/0/1
[AC-GigabitEthernet0/0/1] traffic-policy test inbound
• 直接转发方式下,建议在直连AP的交换机接口上配置组播报文抑制。
创建流分类“test”,并定义流分类中的匹配规则。
system-view
[HUAWEI] sysname SwitchA
[SwitchA] traffic classifier test
[SwitchA-classifier-test] if-match destination-mac 0100-5e00-0000 mac-address-mask ffff-ff00-0000 //匹配组播报文的目的MAC地址
[SwitchA-classifier-test] quit
创建流行为“test”,使能流量统计,并配置流量限速值。
[SwitchA] traffic behavior test
[SwitchA-behavior-test] statistic enable
[SwitchA-behavior-test] car cir 100 //配置限速100kbit/s,如果有组播业务,建议按照业务流量来进行限速
[SwitchA-behavior-test] quit
创建流策略“test”,在流策略中关联流分类和流行为。
[SwitchA] traffic policy test
[SwitchA-trafficpolicy-test] classifier test behavior test
[SwitchA-trafficpolicy-test] quit
在接口入方向和出方向上应用流策略。
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] traffic-policy test inbound
[SwitchA-GigabitEthernet0/0/1] traffic-policy test outbound
[SwitchA-GigabitEthernet0/0/1] quit
用户认证
WPA2+802.1X的接入方式
对于高校高密场景下的封闭性区域,如阶梯教室推荐使用WPA2的AES加密方式,结合安全级别较高的802.1X认证方式。
配置WPA2的AES 802.1X认证方式。
system-view
[AC] wlan
[AC-wlan-view] security-profile name p1
[AC-wlan-sec-prof-p1] security wpa2 dot1x aes
如果用户的终端存在多种类型,支持不同的认证和加密方式,推荐使用混合方式。
配置WPA-WPA2混合方式,使用混合加密,认证方式为802.1X。
system-view
[AC] wlan
[AC-wlan-view] security-profile name p1
[AC-wlan-sec-prof-p1] security wpa-wpa2 dot1x aes-tkip
MAC优先的Portal接入方式
对于高校高密场景,如大礼堂、食堂等公共区域推荐配置MAC优先的Portal接入方式,实现在一定的时间内(如:60分钟)用户因位置移动而反复进入、离开无线信号覆盖区域时,不需要重新输入用户名和密码进行认证。
Portal认证场景中,存在用户仿冒IP地址进行认证的安全风险,建议用户配置IPSG和DHCP Snooping等防攻击功能来避免此安全风险。
RADIUS超时配置
对于一个较大规模或者较繁忙的网络尽可能的配置最低的RADIUS重传超时。因为过长的超时时间会占用系统资源,更小的超时时间可以更好地提高AC的处理能力。
当前无线用户默认重传超时时间是2秒,当RADIUS服务器模板下配置了8个以上认证服务器的IP地址,或者使用802.1X认证时,推荐将超时时间配置为1秒,以提升网络处理效率。
配置重传超时时间为1秒。
system-view
[AC] radius-server template test1
[AC-radius-test1] radius-server timeout 1
RADIUS方式计费配置
在按时长计费的情况下,如果付费用户异常下线,计费服务器可能无法收到计费终止报文而继续对该用户计费,为了解决这个问题可以在设备上配置实时计费。
而实时计费间隔对设备和计费服务器的性能有一定要求:实时计费间隔取值越小,对设备和计费服务器的性能要求越高。建议当用户量比较大(大于1000)时,尽量把该间隔的值设置得大一些。针对高校的高密场景建议配置计费间隔为15min。
对名为scheme1的计费方案启用实时计费,并配置计费间隔为15分钟。
system-view
[AC] aaa
[AC-aaa] accounting-scheme scheme1
[AC-aaa-accounting-scheme1] accounting-mode radius
[AC-aaa-accounting-scheme1] accounting realtime 15
[AC-aaa-accounting-scheme1] quit
请根据用户数设置实时计费间隔,如下表所示。
无线边界安全
技术介绍
无线网络很容易受到各种网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等。
无线干扰检测系统WIDS(Wireless Intrusion Detection System)可以检测非法的用户或AP;无线干扰防御系统WIPS(Wireless Intrusion Prevention System)可以保护企业网络和用户不被无线网络上未经授权的设备访问。
• 非法设备检测机制
为了防止非法设备的入侵,可以在需要保护的网络空间中部署监测AP,通过无线干扰检测系统WIDS(Wireless Intrusion Detection System),监测AP可以定期对无线信号进行探测,这样,AC就可以了解到无线网络中设备的情况,进而对非法设备采取相应的防范措施。
配置非法设备检测功能之前,需要先设置AP的工作模式。
AP射频的工作模式有两种:
o normal:正常模式。
如果系统未开启空口扫描功能,该射频用于传输普通的WLAN业务数据。
如果系统开启了空口扫描功能,则该射频除了传输普通的WLAN业务数据,还具备了监控功能,可能会对传输普通的WLAN业务造成一定的影响。
o monitor:监控模式,只具备监控功能,不能用于普通的WLAN业务,只能用于具有监控功能的WLAN业务,如WIDS、频谱分析和终端定位等。
非法设备检测分为两个阶段:无线设备检测和设备非法性判断。
• 非法设备反制机制
设备支持对三种非法设备进行反制:
o 非法AP
AC确定非法AP后,将非法AP告知监测AP。监测AP以非法AP的身份发送广播解除认证Deauthentication帧,这样,接入非法AP的STA收到解除认证帧后,就会断开与非法AP的连接。通过这种反制机制,可以阻止STA与非法AP的连接。
说明:
解除认证用于中断已经建立的无线链路,无论是AP还是STA,都可以发送解除认证帧断开当前的链路过程。目前仅支持对仿冒AP和认证方式为open的非法AP的反制。仿冒AP即非法AP的SSID跟合法AP上配置的SSID相同或相似。
o 非法STA
AC确定非法STA后,将非法STA告知监测AP。监测AP以非法STA的身份发送单播解除认证Deauthentication帧,这样,非法STA接入的AP在接收到解除认证帧后,就会断开与非法STA的连接。通过这种反制机制,可以阻止AP与非法STA的连接。
o Ad hoc设备
AC确定Ad hoc设备后,将Ad hoc设备告知监测AP。监测AP以Ad hoc设备的身份(使用该设备的BSSID、MAC地址)发送单播解除认证Deauthentication帧,这样,接入Ad hoc网络的STA收到解除认证帧后,就会断开与Ad hoc设备的连接。通过这种反制机制,可以阻止STA与Ad hoc设备的连接。
配置AP的射频0工作在监控模式。
[AC-wlan-ap-group-ap-group2] radio 0
[AC-wlan-group-radio-ap-group2/0] work-mode monitor
Warning: Modify the work mode may cause business interruption, continue?(y/n): y
配置WIDS和WIPS功能。开启设备检测和非法设备反制功能。
[AC-wlan-group-radio-ap-group2/0] wids device detect enable
[AC-wlan-group-radio-ap-group2/0] wids contain enable
[AC-wlan-group-radio-ap-group2/0] quit
[AC-wlan-ap-group-ap-group2] quit
创建名为“wlan-wids”的WIDS模板,并配置反制模式为反制非法AP设备。
[AC-wlan-view] wids-profile name wlan-wids
[AC-wlan-wids-prof-wlan-wids] contain-mode spoof-ssid-ap
[AC-wlan-wids-prof-wlan-wids] quit
配置AP组“ap-group2”引用WIDS模板“wlan-wids”。
[AC-wlan-view] ap-group name ap-group2
[AC-wlan-ap-group-ap-group2] wids-profile wlan-wids
[AC-wlan-ap-group-ap-group2] quit
提交配置
[AC-wlan-view] commit all
Warning: Committing configuration may cause service interruption, continue?[Y/N]: y
o 非法攻击检测
对于中小型WLAN网络,为了及时发现WLAN网络中受到的攻击,可以启动非法攻击检测功能,对泛洪攻击、弱向量和欺骗攻击等进行检测,及时发现网络的不安全因素,使能该功能后可以添加攻击者到动态黑名单中,并发送告警信息上报至AC,从而及时通知管理员。
配置攻击检测功能示例如下:
开启WPA2-PSK认证方式的暴力破解密钥攻击检测功能和泛洪攻击检测功能。
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] radio 0
[AC-wlan-group-radio-ap-group1/0] wids attack detect enable wpa2-psk
[AC-wlan-group-radio-ap-group1/0] wids attack detect enable flood
[AC-wlan-group-radio-ap-group1/0] quit
[AC-wlan-ap-group-ap-group1] quit
配置泛洪攻击检测的检测周期为70秒,泛洪攻击检测阈值为350个,静默时间为700秒。
[AC-wlan-wids-prof-wlan-wids] flood-detect interval 70
[AC-wlan-wids-prof-wlan-wids] flood-detect threshold 350
[AC-wlan-wids-prof-wlan-wids] flood-detect quiet-time 700
使能动态黑名单功能。
[AC-wlan-wids-prof-wlan-wids] dynamic-blacklist enable
[AC-wlan-wids-prof-wlan-wids] quit
创建名为“wlan-system”的AP系统模板,配置动态黑名单老化时间为200秒。
[AC-wlan-view] ap-system-profile name wlan-system
[AC-wlan-ap-system-prof-wlan-system] dynamic-blacklist aging-time 200
[AC-wlan-ap-system-prof-wlan-system] quit
o 防暴力破解秘钥功能
暴力破解法,又称为穷举法,是一种针对于密码的破译方法,即将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试10000次就能找到正确的密码。理论上利用这种方法可以破解任何一种密码,问题只在于如何缩短破解时间。当WLAN网络采用的安全策略为WPA/WPA2-PSK,WAPI-PSK,WEP-Share-Key时,攻击者即可利用暴力破解法来破解出密码。
为了提高密码的安全性,可以通过防暴力破解密钥功能,延长用户破解密码的时间。AP通过检测WPA/WPA2-PSK,WAPI-PSK,WEP-Share-Key认证时在一定的时间内的密钥协商失败次数是否超过配置的阈值,来确定是否存在攻击。如果超过,则认为该用户在通过暴力破解法破解密码,AP上报告警信息给AC,如果同时使能了动态黑名单功能,则AP将该用户加入到动态黑名单列表中,丢弃该用户的所有报文,直至动态黑名单老化。
创建名为“wlan-wids”的WIDS模板。
[AC-wlan-view] wids-profile name wlan-wids
配置WPA2-PSK认证方式的暴力破解密钥攻击检测的检测周期为70秒,检测周期内允许密钥错误的次数为25次,静默时间为700秒。
[AC-wlan-wids-prof-wlan-wids] brute-force-detect interval 70
[AC-wlan-wids-prof-wlan-wids] brute-force-detect threshold 25
[AC-wlan-wids-prof-wlan-wids] brute-force-detect quiet-time 700
最佳实践
不建议开启WIDS功能
通过无线入侵检测系统WIDS(Wireless Intrusion Detection System),监测AP可以定期对无线信号进行探测,这样,AC就可以了解到无线网络中设备的情况,进而对非法设备采取相应的防范措施。但是,频繁的监测和上报数据会导致AC性能下降。因此,如果没有必要,不建议开启WIDS功能。
非法设备的信道扫描
如果用户开启了WIDS功能,AP默认会扫描对应国家码支持的所有信道,频繁的扫描会降低AC的性能。所以推荐仅扫描调优的信道。
配置空口扫描信道为调优信道。
system-view
[AC] wlan
[AC-wlan-view] air-scan-profile name huawei
[AC-wlan-air-scan-prof-huawei] scan-channel-set dca-channel
合理配置非法设备上报间隔
AP增量上报检测结果的默认周期是300秒,缩短上报周期可以更及时的发现可疑设备,但是过短的上报周期会导致瞬时出现的“非法设备”被误报,不仅导致结果有偏差,也会占用AC和AP不必要的资源,一般不建议修改次默认值。
高密场景下如果对上报无线设备的实时性要求不高,建议将无线设备信息的间隔时间配置为300~600s。
配置AP增量上报无线设备信息的间隔时间为400秒。
system-view
[AC] wlan
[AC-wlan-view] air-scan-profile name huawei
[AC-wlan-view] ap-group name default
[AC-wlan-ap-group-default] radio 0
[AC-wlan-group-radio-default/0] wids device detect enable
[AC-wlan-group-radio-default/0] quit
[AC-wlan-ap-group-default] quit
[AC-wlan-view] wids-profile name default
[AC-wlan-wids-prof-default] device report-interval 400
业务安全
无线用户的业务也会面临IP网络常见的安全威胁,包括设备仿冒,信令探测/篡改/仿冒等。为了确保回传网络的安全性,华为WLAN支持如下安全特性。
DTLS
CAPWAP隧道支持DTLS加密、敏感信息加密、完整性校验和心跳检测,为CAPWAP隧道提供安全。
• DTLS加密:AP与AC建立CAPWAP隧道时,可以选择是否进行DTLS协商,确认AP与AC间的报文交互是否采用DTLS加密,更好的保证管理报文的完整性和私密性。目前,设备仅支持通过预共享密钥的方式对管理报文进行加密。开启DTLS加密后会影响AC性能,除非局点有特殊的安全需求,否则不建议开启。
• 敏感信息加密:AP和AC之间涉及敏感信息传输时,如FTP用户名/密码、AP登录用户名/密码、业务配置的PSK等,可以配置敏感信息加密。
• 完整性校验:CAPWAP报文跨AC和AP设备进行传输时,有可能被仿真,篡改,或被攻击者恶意构造畸形报文发起攻击,通过完整性校验更好的保护AC和AP之间的CAPWAP报文。
• 心跳检测:AP与AC之间通过定时交互Echo报文确认控制隧道是否正常,通过定时交互Keepalive报文确认数据隧道是否正常。如果在设定的检测报文次数内未收到对端的响应报文,则认为彼此间的链路已经断开,需要重新建立链路。
用户隔离
为了提高用户通信安全性,使用户流量集中至网关转发,便于对用户进行计费等管理,可以在流量模板下配置用户隔离,使同一个VAP内的用户之间的报文相互不能转发(即不能直接进行通信)。
• 隧道转发模式下,在流量模板下开启用户隔离功能,VAP内的所有用户,都进行了二层或者三层隔离。
• 直接转发模式下,在流量模板下开启用户隔离功能,建议用户在接入交换机上连接AP的接口上部署端口隔离,以达到隔离效果。
配置名称为“p1”的流量模板中用户隔离模式为二层隔离三层互通。
system-view
[AC] wlan
[AC-wlan-view] traffic-profile name p1
[AC-wlan-traffic-prof-p1] user-isolate l2
Warning: This action may cause service interruption. Continue?[Y/N] y
端口隔离
无线应用场景下,AP之间一般不需要进行二层互访、广播报文互传,因此需要在接入交换机连接AP的端口上配置端口隔离,加强用户通信安全,同时避免无效的广播报文数据传输到AP上,影响AP转发性能和用户业务。
配置接入交换机接口GE1/0/1的端口隔离功能。
system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port-isolate enable
ACL
通过配置流量模板下基于ACL对报文进行过滤功能,可以基于ACL的规则对无线用户进行差分服务。例如,拒绝或允许某些无线用户访问某些局域网设备;拒绝无线用户访问一些非法的IP地址。
设备首先对报文进行匹配,然后根据命中的策略执行动作:
• 若报文匹配的规则的动作为deny,则直接丢掉该报文。
• 若报文匹配的规则的动作为permit,则允许该报文通过。
• 若报文没有匹配任何一条规则,则允许该报文通过。
如果同一个流量模板下配置多条同方向基于ACL的报文过滤命令时,报文按照命令的配置顺序来匹配,命中一条就执行相应的策略,并停止匹配;否则继续匹配下一条,如果全部未命中则直接允许报文通过。
同一个方向上最多只能配置8条基于ACL的报文过滤规则,实际生效的次序以配置的先后次序为准,如果需要更改当前的报文过滤规则,需要删除所有相关配置并重新配置基于ACL的报文过滤。
引用的ACL可以是未配置过的ACL(仅数字型ACL),用户可以在执行此命令后对引用的ACL进行配置。
创建一个名称为p1的流量模板,并配置在入方向上基于ACL对IPv4报文流进行过滤,允许源IP为192.168.0.2/32的IPv4报文通过。
system-view
[AC6605] acl 3000
[AC6605-acl-adv-3000] rule 5 permit ip source 192.168.0.2 0
[AC6605-acl-adv-3000] quit
[AC6605] wlan
[AC6605-wlan-view] traffic-profile name p1
[AC6605-wlan-wlan-traffic-prof-p1] traffic-filter inbound ipv4 acl 3000
VAP安全
建议在VAP模板下使能AP的IPSG功能,防止非法用户的IP报文任意通过AP访问外部网络。
建议在VAP模板下使能动态ARP检测,AP会对AP上所有使能该功能的VAP内通过的ARP请求和响应报文进行检测,丢弃非法、攻击的ARP报文,并向AC上报告警信息,这样可以防止非法用户的ARP报文通过AP访问外部网络并对合法用户进行干扰或欺骗,还可以防止攻击者对AP的CPU形成冲击造成AP功能无法正常运行甚至AP瘫痪。
建议在VAP模板下使能STA地址严格DHCP获取功能,这样STA与AP关联,STA是通过DHCP协议获取的IP地址,AP会主动向AC上报与该STA相关的IP信息,用于维护STA的MAC地址和IP地址对应关系表项。
[AC6605] wlan
[AC6605-wlan-view] vap-profile name vap1
[AC6605-wlan-vap-prof-vap1] ip source check user-bind enable
[AC6605-wlan-vap-prof-vap1] arp anti-attack check user-bind enable
[AC6605-wlan-vap-prof-vap1] learn-client-address dhcp-strict
display mac-address mac-move /华三时时查看二层环路造成的mac地址飘移
interface Ethernet0/0/2 /华为端口安全,接电脑那个口上设置
port-security enable
port-security mac-address sticky /要恢复,就重打这条前面加undo
port-security max-mac-num 1
port-security protect-action restrict
交换机端口镜像:
oberve-port 1 interface g0/0/3 /观察口
interface g0/0/1 /镜像口
port-mirroring to observe-port 1 both
路由器端口镜像:
observe-port interface g0/0/0 /观察口
interface g0/0/1
mirror to observe-port both /把本端口镜像到观察口
————————————————