H3C防火墙配置说明华三通信技术所有侵权必究All rights reserved相关配置方法：配置OSPF验证从安全性角度来考虑，为了避免路由信息外泄或者对OSPF路由器进行恶意攻击，OSPF提供报文验证功能。

OSPF路由器建立邻居关系时，在发送的报文中会携带配置好的口令，接收报文时进行密码验证，只有通过验证的报文才能接收，否则将不会接收报文，不能正常建立邻居。

要配置OSPF报文验证，同一个区域的所有路由器上都需要配置区域验证模式，且配置的验证模式必须相同，同一个网段的路由器需要配置相同的接口验证模式和口令。

表1-29 配置OSPF验证提高IS-IS 网络的安全性在安全性要求较高的网络中，可以通过配置IS-IS 验证来提高IS-IS网络的安全性。

IS-IS 验证特性分为邻居关系的验证和区域或路由域的验证。

配置准备在配置IS-IS 验证功能之前，需完成以下任务：•配置接口的网络层地址，使相邻节点网络层可达 •使能IS-IS 功能配置邻居关系验证配置邻居关系验证后，验证密码将会按照设定的方式封装到Hello 报文中，并对接收到的Hello 报文进行验证密码的检查，通过检查才会形成邻居关系，否则将不会形成邻居关系，用以确认邻居的正确性和有效性，防止与无法信任的路由器形成邻居。

两台路由器要形成邻居关系必须配置相同的验证方式和验证密码。

表1-37 配置邻居关系验证操作命令说明配置邻居关系验证方式和验证密码isis authentication-mode{ md5 | simple}[ cipher ] password [ level-1 | level-2 ] [ ip |osi ]必选缺省情况下，接口没有配置邻居关系验证，既不会验证收到的Hello报文，也不会把验证密码插入到Hello报文中参数level-1和level-2的支持情况和产品相关，具体请以设备的实际情况为准必须先使用isis enable命令使能该接口才能进行参数level-1和level-2的配置。

如果没有指定level-1或level-2参数，将同时为level-1和level-2的Hello报文配置验证方式及验证密码。

如果没有指定ip或osi参数，将检查Hello报文中OSI的相应字段的配置容。

配置区域验证通过配置区域验证，可以防止将从不可信任的路由器学习到的路由信息加入到本地Level-1的LSDB中。

配置区域验证后，验证密码将会按照设定的方式封装到Level-1报文（LSP、CSNP、PSNP）中，并对收到的Level-1报文进行验证密码的检查。

同一区域的路由器必须配置相同的验证方式和验证密码。

表1-38 配置区域验证操作命令说明进入系统视图system-view-进入IS-IS视图isis [ process-id ] [ vpn-instance vpn-instance-name ] -配置路由域验证通过配置路由域验证，可以防止将不可信的路由信息注入当前路由域。

配置路由域验证后，验证密码将会按照设定的方式封装到Level-2报文（LSP、CSNP、PSNP）中，并对收到的Level-2报文进行验证密码的检查。

所有骨干层（Level-2）路由器必须配置相同的验证方式和验证密码。

表1-39 配置路由域验证配置BGP的MD5认证通过在BGP对等体上配置BGP的MD5认证，可以在以下两方面提高BGP的安全性：• 为BGP建立TCP连接时进行MD5认证，只有两台路由器配置的密码相同时，才能建立TCP连接，从而避免与非法的BGP路由器建立TCP连接。

•传递BGP报文时，对封装BGP报文的TCP报文段进行MD5运算，从而保证BGP 报文不会被篡改。

表1-41 配置BGP的MD5认证操作命令说明进入系统视图system-view-进入BGP视图或BGP-VPN 实例视图进入BGP视图bgp as-number二者必选其一进入BGP-VPN实例视图bgp as-numberipv4-family vpn-instancevpn-instance-name配置BGP的MD5认证peer{ group-name| ip-address}password{ cipher| simple}password必选缺省情况下，BGP不进行MD5认证安全要求-设备-防火墙-功能-2防火墙应具备记录VPN日志功能，记录VPN访问登陆、退出等信息。

待确认暂不支持安全要求-设备-防火墙-功能-5 防火墙应具备日志容量告警功能，在日志数达到指定阈值时产生告警。

待确认暂不支持安全要求-设备-防火墙-功能-3防火墙应具备流量日志记录功能，记录通过防火墙的网络连接。

待确认支持Userlog日志设置（Fl ow日志）要生成Userlog日志，需要配置会话日志功能，详细配置请参见“1.6 会话日志”。

Userlog日志简介Userlog日志是指用户访问外部网络流信息的相关记录。

设备根据报文的5元组（源IP地址、目的IP地址、源端口、目的端口、协议号）对用户访问外部网络的流进行分类统计，并生成Userlog日志。

Userlog日志会记录报文的5元组和发送、接收的字节数等信息。

网络管理员利用这些信息可以实时跟踪、记录用户访问网络的情况，增强网络的可用性和安全性。

Userlog日志有以下两种输出方式，用户可以根据需要使用其中一种：• 以系统信息的格式输出到本设备的信息中心，再由信息中心最终决定日志的输出方向。

• 以二进制格式封装成UDP报文输出到指定的Userlog日志主机。

Userlog日志有1.0和3.0两个版本。

两种Userlog日志的格式稍有不同，具体差别请参见表1-2和表1-3。

表1-2 1.0版本Userlog日志信息表1-3 3.0版本Userlog日志信息配置Userlog日志(1)在导航栏中选择“日志管理> Userlog日志”，进入如下图所示的页面。

图1-2 Userlog日志(2)配置Userlog日志参数，的详细配置如下表所示。

(3)单击<确定>按钮完成操作。

表1-4 Userlog日志的详细配置配置项说明设置Userlog日志的版本。

包括1.0、3.0版本请根据日志接收设备的实际能力配置Userlog日志的版本，如果接收设备不支持某个版本的Userlog日志，则无确解析收到的日志配置项说明报文源IP地址设置Userlog日志报文的源IP地址指定源地址后，当设备A向设备B发送Userlog日志时，就使用这个IP地址作为报文的源IP地址，而不使用报文出接口的真正地址。

这样，即便A使用不同的端口向B发送报文，B也可以根据源IP地址来准确的判断该报文是否由A产生。

而且该功能还简化了ACL规则和安全策略的配置，只要将ACL规则中定义的源地址或者目的地址参数指定为该源地址，就可以屏蔽接口IP地址的差异以及接口状态的影响，实现对Userlog日志报文的过滤建议使用Loopback接口地址作为日志报文的源IP地址日志主机配置日志主机1设置Userlog日志主机的IPv4/IPv6地址、端口号和所在的VPN实例（只在指定IPv4地址的日志主机时可以显示和设置此项），以便将Userlog日志封装成UDP报文发送给指定的Userlog日志主机。

日志主机可以对Userlog日志进行解析和分类显示，以达到远程监控的目的• 集中式设备：最多可以指定2台不同的Userlog日志主机• 分布式设备：每个单板上最多可以指定2台不同的Userlog日志主机• 日志主机IPv6地址的支持情况与设备的具体型号有关，请以设备的实际情况为准• 为避免与通用的UDP端口号冲突，建议使用1025～65535的UDP端口号日志主机2日志输出到信息中心设置将Userlog日志以系统信息的格式输出到信息中心• 启用此功能时，Userlog日志将不会发往指定的Userlog日志主机• 日志输出到信息中心会占用设备的存储空间，因此，建议在日志量较小的情况下使用该输出方向查看Userlog日志统计信息当设置了将Userlog日志封装成UDP报文发送给指定的Userlog日志主机时，可以查看相关的统计信息，包括设备向指定日志主机发送的Userlog日志总数和包含Userlog日志的UDP报文总数，以及设备缓存中的Userlog日志总数。

(1)在导航栏中选择“日志管理> Userlog日志”，进入如图1-2所示的页面。

(2)单击页面下方的“查看统计信息”扩展按钮，展开如下图所示的容，可以查看Userlog日志的统计信息。

图1-3 查看Userlog日志统计信息清空Userlog日志及统计信息(1)在导航栏中选择“日志管理> Userlog日志”，进入如图1-2所示的页面。

(2)单击页面下方的“查看统计信息”扩展按钮，展开如图1-3所示的容。

(3)集中式设备：单击<清空>按钮，可以清除设备上的所有Userlog日志统计信息和缓存中的Userlog日志。

(4)分布式设备：单击<清空>按钮，可以清除相应单板上的所有Userlog日志统计信息和缓存中的Userlog日志。

安全要求-设备-防火墙-功能-11防火墙必须具备扫描攻击检测和告警功能。

并阻断后续扫描流量。

扫描的检测和告警的参数应可由管理员根据实际网络情况设置。

待确认支持配置扫描攻击检测• 扫描攻击检测主要用于检测攻击者的探测行为，一般配置在设备连接外部网络的安全域上。

•扫描攻击检测自动添加了黑项，如果在短时间手动删除了该黑项，则系统不会再次添加。

因为系统会把再次检测到的攻击报文认为是同一次攻击尚未结束。

(1)在导航栏中选择“攻击防> 流量异常检测> 扫描攻击”，进入如下图所示页面。

图1-10 扫描攻击(2)为安全域配置扫描攻击检测，详细配置如下表所示。

(3)单击<确定>按钮完成操作。

表1-6 扫描攻击检测的详细配置配置项说明安全区域设置要进行扫描攻击检测设置的安全域启动扫描攻击检测设置是否对选中的安全域启动扫描攻击检测功能扫描阈值设置扫描建立的连接速率的最大值源IP加入黑设置是否把系统发现的扫描源IP地址添加到黑中必须在“攻击防> 黑”中启用黑过滤功能，扫描攻击检测才会将发现的扫描源IP地址添加到黑中，并对来自该IP地址的报文做丢弃处理黑持续时间设置扫描源加入黑的持续时间安全要求-设备-防火墙-功能-12防火墙必须具备关键字容过滤功能，在HTTP，SMTP，POP3等应用协议流量过滤包含有设定的关键字的报文。

待确认支持容过滤典型配置举例1. 组网需求如下图所示，局域网192.168.1.0/24网段的主机通过Device访问Internet。