H3C-交換機(jī)安全加固手冊(Comware-V7)-6W100-整本手冊

H3C交換機(jī)安全加固手冊（ComwareV7）?2019本文檔中的信息可能變動，恕不另行通知。PAGE\*romanPAGE\*romaniv目錄本書約定 1讀者對象 1接口編號約定 1特別申明 1概述 1安全威脅 1管理平面和控制平面的安全威脅 1轉(zhuǎn)發(fā)平面的安全威脅 2安全體系架構(gòu) 3安全加固的基本原則 4管理平面安全加固 4登錄及訪問設(shè)備的安全 4通過Console口/USB口登錄設(shè)備 4通過Stelnet登錄設(shè)備 6通過RESTful訪問設(shè)備 8通過SNMP訪問設(shè)備 8通過Web登錄設(shè)備 10文件訪問安全 10EPON的ONU用戶認(rèn)證 12FC端口安全 12登錄用戶及權(quán)限管理 13管理登錄用戶權(quán)限（RBAC） 13AAA（認(rèn)證、授權(quán)、計(jì)費(fèi)） 13命令行授權(quán) 14PasswordControl 14修改SmartMC成員設(shè)備的密碼 15密碼設(shè)置安全 15設(shè)備管理安全 16配置密碼恢復(fù)功能 16關(guān)閉USB接口 16配置內(nèi)存告警門限 16配置文件加密 18安全日志 19VXLAN安全 20MAC地址學(xué)習(xí) 20ARP/ND安全 20ARP遷移抑制 21泛洪抑制 21控制平面安全加固 22二層協(xié)議安全 22生成樹保護(hù)功能 22LLDP鄰居驗(yàn)證與超時(shí)保護(hù)功能 23ARP攻擊防御 25源MAC為組播的ARP表項(xiàng)檢查功能 25泛洪類ARP報(bào)文攻擊防范 25防御ARP欺騙類攻擊功能 27ND攻擊防御 32NDSnooping 32ND協(xié)議報(bào)文源MAC地址一致性檢查功能 32NDDetection功能 33RAGuard功能 33IPv6DestinationGuard功能 35接入業(yè)務(wù)安全 354.4.1802.1X 35端口安全 36Portal 37限制Web認(rèn)證最大用戶數(shù) 39FIPSnooping 39HTTPS重定向 39DHCP安全 40DHCPFlood攻擊防范功能 40防止DHCP餓死攻擊功能 41DHCP用戶類白名單功能 42DHCP中繼用戶地址表項(xiàng)管理功能 42DHCP中繼支持代理功能 43DHCPv6服務(wù)器記錄的地址租約表項(xiàng)轉(zhuǎn)化為IPSourceGuard動態(tài)表項(xiàng)功能 43DHCPSnooping 44DHCPv6guard 44DNS安全 44ICMP安全 45TCP安全 45SYNCookie功能 45禁止發(fā)送TCP報(bào)文時(shí)添加TCP時(shí)間戳選項(xiàng)信息 46路由協(xié)議安全 46RIP/RIPng 46OSPF/OSPFv3 47IS-IS 48BGP 49組播安全 51IGMPSnooping/MLDSnooping 51PIM/IPv6PIM 53MSDP 53MPLS安全 54LDP 54RSVP 54控制平面限速及丟包告警 55協(xié)議報(bào)文限速 55控制平面協(xié)議丟包告警日志 56WLAN管理與接入安全（僅支持融合AC產(chǎn)品適用） 56CAPWAP隧道加密 56WLAN客戶端接入控制功能 57WLAN用戶接入認(rèn)證 58WLAN用戶安全 59WIPS 59高可靠性協(xié)議報(bào)文認(rèn)證 59DLDP報(bào)文認(rèn)證 59VRRP報(bào)文認(rèn)證 60BFD控制報(bào)文認(rèn)證 61時(shí)間管理協(xié)議報(bào)文認(rèn)證 61NTP服務(wù)的訪問控制權(quán)限 61NTP報(bào)文認(rèn)證 62SNTP報(bào)文認(rèn)證 66轉(zhuǎn)發(fā)平面安全加固 68安全隔離 68端口隔離 68用戶隔離（僅支持融合AC產(chǎn)品適用） 68遠(yuǎn)程配置EPONONU設(shè)備的UNI端口隔離 68廣播、組播、未知單播抑制 69風(fēng)暴抑制和流量閾值控制 69丟棄未知組播報(bào)文 70MAC地址安全管理 71黑洞MAC地址 71關(guān)閉MAC地址學(xué)習(xí) 71控制MAC地址學(xué)習(xí) 71配置接口的MAC地址學(xué)習(xí)優(yōu)先級 72MAC地址遷移上報(bào)和抑制功能 72數(shù)據(jù)流保護(hù) 73MACsec 73IPsec 73EPON數(shù)據(jù)流保護(hù) 74報(bào)文＆流量過濾 74ACL 74流量過濾 75IPSourceGuard 76IPSourceGuard（僅支持融合AC產(chǎn)品適用） 76MFF 76uRPF 77SAVI 77VoiceVLAN的安全模式 77攻擊檢測與防范 78DoS攻擊檢測與防范 78Naptha攻擊防范 78PAGEPAGE10本書約定讀者對象本手冊主要適用于如下工程師：網(wǎng)絡(luò)規(guī)劃人員現(xiàn)場技術(shù)支持與維護(hù)人員負(fù)責(zé)網(wǎng)絡(luò)配置和維護(hù)的網(wǎng)絡(luò)管理員接口編號約定上存在的接口編號為準(zhǔn)。特別申明況為準(zhǔn)。不沖突。概述行加固維護(hù)。安全威脅管理平面和控制平面的安全威脅查詢表項(xiàng)。果設(shè)備上的安全策略配置不當(dāng)，也會威脅到設(shè)備的安全。非授權(quán)的訪問錄和審計(jì)。弱密鑰敏感信息泄漏儲介質(zhì)中的信息也可能在介質(zhì)轉(zhuǎn)移、替換的過程中存在信息泄露的風(fēng)險(xiǎn)。為了防止信息泄露，SSH、IPsec、SFTP、HTTPS等，禁止使用TelnetFTPTFTPHTTP以及對從現(xiàn)網(wǎng)替換下來且不再使用的存儲介質(zhì)進(jìn)行格式化。消息篡改和偽造驗(yàn)證，防重放等功能的安全協(xié)議對數(shù)據(jù)進(jìn)行保護(hù)。DDoSDDoS（DistributedDenialofService，分布式拒絕服務(wù)）是指攻擊者利用大流量來消耗設(shè)備以及限制未識別流量上送控制平面的速率來防止此類攻擊。管理員配置失誤結(jié)果。為了及早發(fā)現(xiàn)此類問題，可以通過實(shí)施前對配置進(jìn)行審核，實(shí)施后定期觀察實(shí)施效果、查看操作日志和系統(tǒng)運(yùn)行日志來發(fā)現(xiàn)配置中的錯(cuò)誤。轉(zhuǎn)發(fā)平面的安全威脅擴(kuò)散。常見的轉(zhuǎn)發(fā)平面威脅如下：打開攻擊檢測與防范中相應(yīng)攻擊的開關(guān)來防止此類攻擊。DDoS攻擊攻擊者使用大流量對設(shè)備進(jìn)行攻擊，消耗設(shè)備的CPU、內(nèi)存、連接、帶寬等資源。對于這類絡(luò)的使用，并對未識別的用戶的流量進(jìn)行一定限制。身份仿冒轉(zhuǎn)發(fā)平面。轉(zhuǎn)發(fā)平面提供了一些基本的方法可在一定程度上防止身份仿冒，比如IPSourceGuard、SYNCookie、ARP/ND檢測等。消息篡改和偽造安全協(xié)議來保護(hù)網(wǎng)絡(luò)數(shù)據(jù)，提供完整性、私密性、身份驗(yàn)證等功能。安全體系架構(gòu)系統(tǒng)的安全體系架構(gòu)如2-1所示：控制平面路由協(xié)議接入鏈路層協(xié)議NTPDHCP、DNS……管理平面Telnet/SSH控制平面路由協(xié)議接入鏈路層協(xié)議NTPDHCP、DNS……管理平面Telnet/SSHNetconfHTTP/HTTPSFTP/TFTPSNMP……控制平面QoS策略白名單優(yōu)先級隊(duì)列底層硬件轉(zhuǎn)發(fā)平面資源占用限制數(shù)據(jù)保護(hù)協(xié)議防仿冒……包過濾DDoS攻擊防范畸形報(bào)文檢測協(xié)議棧ND/ARP攻擊防御ICMP攻擊防御TCP攻擊防御對于硬件轉(zhuǎn)發(fā)類設(shè)備，收到目的地址為本機(jī)的報(bào)文并上送CPU處理前，會通過以下兩種通道機(jī)制來保證上層的控制平面/管理平面不會受到DoS/DDoS等大流量的攻擊：白名單：對于已經(jīng)建立連接，并確認(rèn)來源是可靠的報(bào)文，設(shè)備會下發(fā)白名單保證其優(yōu)先上CPU。因不能匹配到白名單，會進(jìn)入優(yōu)先級隊(duì)列，根據(jù)不同的應(yīng)用優(yōu)先級處理?；螆?bào)文檢測包過濾uRPF、IPSourceGuardDDoS攻擊防范ARP/NDDDoS等惡意流量攻擊。IPsec、MACSec等，為本機(jī)和用戶數(shù)據(jù)提供數(shù)據(jù)私密性、完整性、放重放等安全保護(hù)。QoS策略對上送控制平面/管理平面的流量進(jìn)行限制，例如限制帶寬等。另外，各協(xié)議本身（TCP、ICMP/ICMPv6、ARP/ND）也有相應(yīng)的防護(hù)措施。的安全服務(wù)。安全加固的基本原則每一項(xiàng)安全加固措施對網(wǎng)絡(luò)、業(yè)務(wù)都有或多或少的影響，比如會影響設(shè)備性能、內(nèi)存資源、部署成本、用戶使用習(xí)慣。所以，需要根據(jù)網(wǎng)絡(luò)和業(yè)務(wù)的特點(diǎn)來綜合評估可能存在的風(fēng)險(xiǎn)和威脅，并在充分了解到各類安全加固策略可能對網(wǎng)絡(luò)和業(yè)務(wù)產(chǎn)生的影響后作出恰當(dāng)?shù)倪x擇。安全加固策略選擇的普遍原則如下：管理平面安全加固登錄及訪問設(shè)備的安全口/USB口登錄設(shè)備【安全威脅】口/USB口均屬于物理接口，通過它們進(jìn)行登錄是登錄設(shè)備的基本方式之一。缺省情況下，通過Console口登錄時(shí)認(rèn)證方式為none，可直接登錄，登錄成功之后用戶角色為network-admin。通過USB口登錄時(shí)認(rèn)證方式為none，可直接登錄，登錄成功之后用戶角色為network-admin?？?USB口的使用權(quán)限，在缺省情況下可以非常容易登錄到設(shè)備上，獲取到設(shè)備的管理權(quán)限?！景踩庸滩呗浴緾onsole口/USB口登錄設(shè)備的安全性：方式：表示下次使用該用戶線登錄時(shí)，需要輸入密碼。只有密碼正確，用戶才能登錄到設(shè)備上。配置認(rèn)證方式為password后，請妥善保存密碼。FIPS模式下不支持該認(rèn)證方式。方式：表示下次使用該用戶線登錄設(shè)備時(shí)需要進(jìn)行用戶名和密碼認(rèn)證，用戶名或密碼錯(cuò)誤，均會導(dǎo)致登錄失敗。配置認(rèn)證方式為scheme后，請妥善保存用戶名及密碼?！咀⒁馐马?xiàng)】改變Console口/USB口登錄的認(rèn)證方式后，新認(rèn)證方式對新登錄的用戶生效。passwordnonescheme方式?！九渲门e例】通過Console口登錄（Console用戶線視圖為例）Console用戶線視圖下設(shè)置認(rèn)證方式為密碼認(rèn)證（password方式）。<Sysname>system-view[Sysname]lineconsole0[Sysname-line-console0]authentication-modepassword#僅為示例）。[Sysname-line-console0]setauthenticationpasswordsimplePlat&0631!ConsoleAAA認(rèn)證（scheme方式）。<Sysname>system-view[Sysname]lineconsole0[Sysname-line-console0]authentication-modescheme[Sysname-line-console0]quitISPlogin用戶配置認(rèn)證方法。RADIUS、LDAP方案。相關(guān)配置的詳細(xì)介紹請參見“安全配置指導(dǎo)”中的“AAA”。通過Console口登錄（AUX用戶線視圖為例）用戶線視圖下設(shè)置認(rèn)證方式為密碼認(rèn)證（password方式）。<Sysname>system-view[Sysname]lineaux0[Sysname-line-aux0]authentication-modepasswordPlat&0631!（Plat&0631!僅為示例）。[Sysname-line-aux0]setauthenticationpasswordsimplePlat&0631!AUXAAA認(rèn)證（scheme方式）。<Sysname>system-view[Sysname]lineaux0[Sysname-line-aux0]authentication-modeschemeISPlogin用戶配置認(rèn)證方法。RADIUS、LDAP方案。相關(guān)配置的詳細(xì)介紹請參見“安全配置指導(dǎo)”中的“AAA”。USB口登錄（USB用戶線視圖為例）（password方式）。<Sysname>system-view[Sysname]lineusb0[Sysname-line-usb0]authentication-modepasswordPlat&0631!（Plat&0631!僅為示例）。[Sysname-line-usb0]setauthenticationpasswordsimplePlat&0631!USBAAA認(rèn)證（scheme方式）。<Sysname>system-view[Sysname]lineusb0[Sysname-line-usb0]authentication-modeschemeISPlogin用戶配置認(rèn)證方法。RADIUS、LDAP方案。相關(guān)配置的詳細(xì)介紹請參見“安全配置指導(dǎo)”中的“AAA”。登錄設(shè)備【安全威脅】登錄設(shè)備的組網(wǎng)環(huán)境中，設(shè)備將會面臨以下安全威脅：SSH服務(wù)端口后，可通過多次嘗試連接，獲取設(shè)備的訪問權(quán)限。得用戶數(shù)達(dá)到上限后，其他合法用戶無法登錄。【安全加固策略】password認(rèn)證利用AAA對客戶端身份進(jìn)行認(rèn)證。用戶在客戶端上輸入用戶名和密碼后，該密碼將被加密后發(fā)送給服務(wù)器，通過服務(wù)器驗(yàn)證用戶名和密碼的合法性后，用戶才可以登錄設(shè)備。publickey認(rèn)證請求客戶端的數(shù)字簽名；如果不合法，則直接發(fā)送失敗消息；服務(wù)器收到客戶端的數(shù)字簽名之后，使用客戶端的公鑰對其進(jìn)行解密，并根據(jù)計(jì)算結(jié)果返回認(rèn)證成功或失敗的消息。password-publickey認(rèn)證對于SSH2passwordpublickey兩種方式的認(rèn)證，且只有兩種認(rèn)證均通過的情況下，才認(rèn)為客戶端身份認(rèn)證通過；對于SSH1版本的客戶端，只要通過其中任意一種認(rèn)證即可。認(rèn)證該認(rèn)證方式與passwordpassword認(rèn)證，該認(rèn)證方式提供了可變的交認(rèn)證時(shí)，如果遠(yuǎn)程認(rèn)證服務(wù)器要求用戶進(jìn)行交互認(rèn)證，則遠(yuǎn)程認(rèn)證服務(wù)器會在發(fā)送給服務(wù)器端的認(rèn)證回應(yīng)消息中攜帶一個(gè)提示信息，該提示信息被服務(wù)器端透傳給客戶端，在客戶端終端上顯示并要求用戶輸入指定的信息。當(dāng)用戶提交正確的信息后，若遠(yuǎn)程認(rèn)證服務(wù)器繼續(xù)要求用戶輸入其它的信息，則重復(fù)以上過程，直到用戶輸入了所有遠(yuǎn)程認(rèn)證服務(wù)器要求的信息后，遠(yuǎn)程認(rèn)證服務(wù)器才會返回認(rèn)證成功的消息。關(guān)閉Stelnet服務(wù)Stelnet服務(wù)器功能。改變SSH服務(wù)端口號22SSH服務(wù)的端口號為非知名端口號，可以降低被掃描的風(fēng)險(xiǎn)。SSH用戶進(jìn)行訪問控制ACL中permitIPv4SSH客戶端可以訪問設(shè)備，其他客戶端不可以訪問設(shè)備。SSH用戶數(shù)當(dāng)前在線SSH用戶數(shù)超過設(shè)定的最大值時(shí)，系統(tǒng)會拒絕新的SSH連接請求?！咀⒁馐马?xiàng)】改變Stelnet登錄的認(rèn)證方式后，新認(rèn)證方式對新登錄的用戶生效?！九渲门e例】password認(rèn)證（client001僅為示例）。<Sysname>system-view[Sysname]sshuserclient001service-typestelnetauthentication-typepassword（RADIUS服務(wù)器）進(jìn)行認(rèn)SSH中的“AAA”。publickey認(rèn)證（用戶名client002clientkey僅為示例）。<Sysname>system-viewclient002service-typestelnetauthentication-typepublickeyassignpublickeyclientkey見“安全配置指導(dǎo)”中的“AAA”關(guān)閉Stelnet服務(wù)。<Sysname>system-view[Sysname]undosshserverenable設(shè)置SSH1025（1025僅為示例。<Sysname>system-view[Sysname]sshserverport10SSHSSH訪問（ACL2001僅為示例）。<Sysname>system-view[Sysname]aclbasic2001[Sysname-acl-ipv4-basic-2001]rulepermitsource0[Sysname-acl-ipv4-basic-2001]quit[Sysname]sshserveracl2001SSH16（16僅為示例。<Sysname>system-view[Sysname]aaasession-limitssh16訪問設(shè)備【安全加固策略】基于HTTP的RESTfulHTTPSRESTful方式登錄設(shè)RESTfulHTTPSRESTful功能的安全性?！九渲门e例】開啟基于HTTPSRESTful功能。<Sysname>system-view[Sysname]restfulhttpsenable訪問設(shè)備【安全威脅】設(shè)備作為SNMPAgent時(shí)，將面臨以下安全威脅：SNMPv1和SNMPv2cNMS使用該團(tuán)體名訪問設(shè)備。報(bào)文被竊聽、篡改。對一些重要參數(shù)誤操作，導(dǎo)致設(shè)備不能正常工作。【安全加固策略】SNMP訪問設(shè)備的安全性：當(dāng)不需要通過NMSSNMP（SNMP功能缺省處于關(guān)閉狀態(tài)）除了SNMPv1、SNMPv2cSNMPv3三種版本。SNMPv3采用用戶名認(rèn)證，可配置認(rèn)證密碼和加密密碼。其中，NMSNMS訪問設(shè)備；和設(shè)備之間傳輸?shù)膱?bào)文進(jìn)行加密，以免報(bào)文被竊聽。VACM和RBAC兩種訪問控制方式。CB限制NMS能夠訪問哪些MIBMIB對象可執(zhí)行讀操作還是讀寫操作。戶角色下制定的規(guī)則，來限制NMS能夠訪問哪些MIBMIB對象可執(zhí)行讀操作還是讀寫操作。MIB視圖的讀寫權(quán)限，而一個(gè)視圖中通常包括多個(gè)MIB節(jié)點(diǎn)。所以，RBAC配置方式更精準(zhǔn)、更靈活。ACLNMS。NMS才能接收該告警信息。【注意事項(xiàng)】SNMP版本、團(tuán)體名（或者用戶名、密碼）相同時(shí)，NMSAgent建立連接?！九渲门e例】SNMP功能。#SNMP功能。<Sysname>system-view[Sysname]undosnmp-agent配置具有認(rèn)證和加密機(jī)制的SNMPv3NMSMIB節(jié)點(diǎn)的訪問權(quán)限#配置設(shè)備支持SNMPv3版本。<Sysname>system-view[Sysname]snmp-agentsys-infoversionv3snmpMIB（OID.6.3.1）下MIB對象。（各參數(shù)僅為示例）[Sysname]rolenametest[Sysname-role-test]rule1permitreadoid...1）interfaces（OID為.2.1.2）的讀寫權(quán)限，以便接口狀態(tài)變化時(shí)，Agent會向NMS發(fā)送告警信息。（各參數(shù)僅為示例）[Sysname-role-test]rule2permitreadoid.2.1.1[Sysname-role-test]rule3permitreadwriteoid.2.1.2[Sysname-role-test]quit創(chuàng)建用戶RBACtesttestSHA-1，認(rèn)證密碼為AES123456TESTencr&!。（各參數(shù)僅為示例）usm-userv3RBACtestuser-roletestsimpleauthentication-modesha123456TESTauth&!privacy-modeaes128123456TESTencr&!ACLNMStestUser，安全級別為認(rèn)證加密，認(rèn)證算法為SA1346ETau!AS1245ETec!，IP的NMStestUser訪問設(shè)備。<Sysname>system-view[Sysname]aclbasic2000[Sysname-acl-ipv4-basic-2000]rulepermitsource0[Sysname-acl-ipv4-basic-2000]ruledenysourceany[Sysname-acl-ipv4-basic-2000]quit[Sysname]snmp-agentgroupv3testGroupauthentication[Sysname]snmp-agentusm-userv3testUsertestGroupsimpleauthentication-modesha123456TESTauth&!privacy-modeaes128123456TESTencr&!acl2000配置NMS告警功能testUser，需要認(rèn)證和加密。（各參數(shù)僅為示例）<Sysname>system-view[Sysname]snmp-agenttrapenable[Sysname]snmp-agenttarget-hosttrapaddressudp-domainparamssecuritynametestUserv3privacy通過Web登錄設(shè)備【安全加固策略】HTTP登錄并不安全，使用明文形式傳輸數(shù)據(jù)，攻擊者很容易截取到報(bào)文。推薦用戶使用HTTPSSSLHTTPS服務(wù)后，用戶即可通過HTTPS登錄設(shè)備。HTTPSSSLSSL參數(shù)均錄的安全性。還可以通過配置證書屬性訪問控制策略控制只有從合法CA服務(wù)器獲取證書的客戶端可以通過HTTPS登錄設(shè)備?！九渲门e例】#配置SSL服務(wù)器端策略myssl。SL配置證書訪問控制策略myacp并建立控制規(guī)則。K配置HTTPSSSL服務(wù)器端策略myssl關(guān)聯(lián)（myssl僅為示例。<Sysname>system-view[Sysname]iphttpsssl-server-policymyssl#配置HTTPS服務(wù)與證書屬性訪問控制策略myacp關(guān)聯(lián)，確保只有從CA服務(wù)器獲取證書的HTTPS（myacp僅為示例）[Sysname]iphttpscertificateaccess-control-policymyacp開啟HTTPS服務(wù)。[Sysname]iphttpsenableISPlogin用戶配置認(rèn)證方法。RADIUSHWTACACS或DPAA文件訪問安全【安全威脅】FTP和TFTP是通用的文件傳輸協(xié)議，使用明文形式傳輸數(shù)據(jù)，攻擊者很容易截取報(bào)文，自身的安全性能并不高?！景踩庸滩呗浴酷槍σ陨瞎粜袨?，可采用SFTP（SecureFTP）協(xié)議。SFTPSSH2，使用加密形式傳操作，且能保證文件傳輸?shù)陌踩?。提供如下安全策略：password認(rèn)證利用AAA對客戶端身份進(jìn)行認(rèn)證。用戶在客戶端上輸入用戶名和密碼后，該密碼將被加密后發(fā)送給服務(wù)器，通過服務(wù)器驗(yàn)證用戶名和密碼的合法性后，用戶才可以登錄設(shè)備。publickey認(rèn)證請求客戶端的數(shù)字簽名；如果不合法，則直接發(fā)送失敗消息；服務(wù)器收到客戶端的數(shù)字簽名之后，使用客戶端的公鑰對其進(jìn)行解密，并根據(jù)計(jì)算結(jié)果返回認(rèn)證成功或失敗的消息。password-publickey認(rèn)證對于SSH2passwordpublickey兩種方式的認(rèn)證，且只有兩種認(rèn)證均通過的情況下，才認(rèn)為客戶端身份認(rèn)證通過；對于SSH1版本的客戶端，只要通過其中任意一種認(rèn)證即可。認(rèn)證該認(rèn)證方式與password認(rèn)證方式類似，相較于password認(rèn)證，該認(rèn)證方式提供了可變的交認(rèn)證時(shí)，如果遠(yuǎn)程認(rèn)證服務(wù)器要求用戶進(jìn)行交互認(rèn)證，則遠(yuǎn)程認(rèn)證服務(wù)器會在發(fā)送給服務(wù)器端的認(rèn)證回應(yīng)消息中攜帶一個(gè)提示信息，該提示信息被服務(wù)器端透傳給客戶端，在客戶端終端上顯示并要求用戶輸入指定的信息。當(dāng)用戶提交正確的信息后，若遠(yuǎn)程認(rèn)證服務(wù)器繼續(xù)要求用戶輸入其它的信息，則重復(fù)以上過程，直到用戶輸入了所有遠(yuǎn)程認(rèn)證服務(wù)器要求的信息后，遠(yuǎn)程認(rèn)證服務(wù)器才會返回認(rèn)證成功的消息。改變SSH服務(wù)端口號22SSH服務(wù)的端口號為非知名端口號，可以降低被掃描的風(fēng)險(xiǎn)。SSH用戶進(jìn)行訪問控制ACL中permitIPv4SSH客戶端可以訪問設(shè)備，其他客戶端不可以訪問設(shè)備。SSH用戶數(shù)當(dāng)前在線SSH用戶數(shù)超過設(shè)定的最大值時(shí)，系統(tǒng)會拒絕新的SSH連接請求。【配置舉例】#開啟SFTPpassword認(rèn)證（client001僅為示例。<Sysname>system-view[Sysname]sftpserverenable[Sysname]sshuserclient001service-typesftpauthentication-typepassword（RADIUS服務(wù)器）進(jìn)行認(rèn)SSH中的“AAA”。開啟SFTPpublickey認(rèn)證（client002、公鑰clientkey僅為示例）。<Sysname>system-view[Sysname]sftpserverenable[Sysname]sshuserclient002service-typesftpauthentication-typepublickeyassignpublickeyclientkey見“安全配置指導(dǎo)”中的“AAA”設(shè)置SSH1025（1025僅為示例。<Sysname>system-view[Sysname]sshserverport10SSHSSH訪問（ACL2001僅為示例）。<Sysname>system-view[Sysname]aclbasic2001[Sysname-acl-ipv4-basic-2001]rulepermitsource0[Sysname-acl-ipv4-basic-2001]quit[Sysname]sshserveracl2001SSH16（16僅為示例。<Sysname>system-view[Sysname]aaasession-limitssh16ONU用戶認(rèn)證【安全加固策略】T端口的UU用戶可以直接通過T端口接入PN網(wǎng)絡(luò)。ONUONU用戶進(jìn)行認(rèn)證的方案。關(guān)于認(rèn)證AA【注意事項(xiàng)】自動綁定的情況。【配置舉例】#Olt1/0/1ONU認(rèn)證功能，并指定該端口下ONUtest（test僅為示例。<Sysname>system-view[Sysname]interfaceOlt1/0/1[Sysname-Olt1/0/1]onuauthentication-domaintest[Sysname-Olt1/0/1]quitslotONU自動綁定功能。[Sysname]ftth[Sysname-ftth]onubindautoslot1[Sysname-ftth]quitFC端口安全（提供基于端口級別的安全控制，可以防止未授權(quán)的設(shè)備登錄到交換機(jī)，保證網(wǎng)絡(luò)的安全。VSAN內(nèi)開啟了FC端口安全功能后，當(dāng)設(shè)備（包括節(jié)點(diǎn)設(shè)備和交換機(jī)）請求登錄交換機(jī)時(shí)，交否則，拒絕其登錄。端口安全功能可以控制如下設(shè)備是否可以登錄到交換機(jī)：N_Port登錄。N_PortPWWN（N_Port的WWN）進(jìn)行標(biāo)識。NPVNP_Port登錄。NP_PortPWWN（即NP_Port的WWN）進(jìn)行標(biāo)識。N_PortNWWN（即節(jié)點(diǎn)的WWN）進(jìn)行標(biāo)識。NPVNPVNP_Port登錄。NPVNWWN（NPVWWN）進(jìn)行標(biāo)識。FCFFCF交換機(jī)登錄。FCFSWWN（FCF交換機(jī)的WWN）進(jìn)行標(biāo)識。關(guān)于FC端口安全的詳細(xì)信息，請參見“FC和FCoE配置指導(dǎo)”中的“FC登錄用戶及權(quán)限管理（RBAC）通過建立“角色<->用戶”的關(guān)聯(lián)實(shí)現(xiàn)為用戶指定角色，從而使用戶獲得相應(yīng)角色所具有的權(quán)限。RBAC減小用戶授權(quán)管理的復(fù)雜度，降低管理開銷，間接地提高了設(shè)備在登錄用戶管理方面的安全性能。關(guān)于BCA認(rèn)證、授權(quán)、計(jì)費(fèi)））是網(wǎng)絡(luò)安全的一種管理機(jī)制，它可以為登錄設(shè)備的用戶提供以下三種安全功能。能對服務(wù)器中的文件進(jìn)行訪問和打印操作，而其它臨時(shí)訪客不具備此權(quán)限。對網(wǎng)絡(luò)起到監(jiān)視作用。持RADIUS（RemoteAuthenticationDial-InUserService，遠(yuǎn)程認(rèn)證撥號用戶服務(wù)）協(xié)議、ControlSystem，HW終端訪問控制器控制DirectoryAccessProtocol，輕量級目錄訪問協(xié)議）協(xié)議，際情況為準(zhǔn)。HWTACACS協(xié)議還具有以下優(yōu)點(diǎn)：TCP，網(wǎng)絡(luò)傳輸更可靠。除了HWTACACS報(bào)文頭，報(bào)文主體全部進(jìn)行加密。支持對設(shè)備上命令行的使用進(jìn)行授權(quán)和計(jì)費(fèi)。命令行授權(quán)【安全加固策略】缺省情況下，用戶登錄設(shè)備后可以使用的命令行由用戶擁有的用戶角色決定。當(dāng)用戶線采用AAAAAA授權(quán)的雙重限制。用戶每執(zhí)行一條命令都會進(jìn)行授權(quán)檢查，只有授權(quán)成功的命令才被允許執(zhí)行?！九渲门e例】開啟命令行授權(quán)功能，限制用戶只能使用授權(quán)成功的命令。<Sysname>system-view[Sysname]linevty04[Sysname-line-vty0-4]authentication-modescheme[Sysname-line-vty0-4]commandauthorization#ISPlogin用戶的授權(quán)方法相同，也可AAPasswordControl錄密碼、super密碼的設(shè)置、老化、更新等方面進(jìn)行管理，并對用戶的登錄狀態(tài)進(jìn)行控制。該密碼，則一勞永逸。Control可以解決上述問題，可提供以下密碼管理功能：密碼最小長度限制密碼的組合檢測功能密碼的復(fù)雜度檢測功能密碼更新與老化密碼更新管理密碼老化管理密碼過期提醒密碼老化后允許登錄管理密碼歷史記錄用戶登錄控制用戶首次登錄控制密碼嘗試次數(shù)限制用戶帳號閑置時(shí)間管理AAsuerRCPassodonolPssodConl成員設(shè)備的密碼【安全加固策略】散的網(wǎng)絡(luò)設(shè)備。SmartMC網(wǎng)絡(luò)中有且只有一臺設(shè)備為管理設(shè)備，其他設(shè)備均為成員設(shè)備。SmartMCadminadmin與其建SmartMC網(wǎng)絡(luò)中。SmartMC網(wǎng)絡(luò)組建完成后，由于缺省用戶admin的密碼，網(wǎng)絡(luò)的安全性。注意，修改成員設(shè)備的密碼只是修改了成員設(shè)備訪問管理設(shè)備時(shí)的密碼，修改完成后，還需要手動同步成員設(shè)備的本地admin密碼?！九渲门e例】修改成員設(shè)備缺省用戶的密碼為Admin123&（Admin123&僅為示例。<Sysname>system-view[Sysname]smartmctcpasswordAdmin123&密碼設(shè)置安全設(shè)備提供如下幾種密碼（或密鑰）設(shè)置方式：實(shí)現(xiàn)為準(zhǔn)。哈希方式：用戶以密文方式輸入密碼，設(shè)備以哈希方式存儲該密碼。為了提高系統(tǒng)的安全性和可維護(hù)性，對密碼的設(shè)置有以下建議：提高密碼的長度和復(fù)雜度，不要使用弱密碼。造成威脅。業(yè)務(wù)密碼。設(shè)備管理安全配置密碼恢復(fù)功能【安全威脅】失敗時(shí)，可通過Console口連接設(shè)備，并在硬件重啟設(shè)備過程中根據(jù)提示按組合鍵<Ctrl+B>進(jìn)入BootWare菜單選項(xiàng)來修復(fù)這個(gè)問題。這會給非法用戶訪問設(shè)備帶Console口訪問設(shè)備?！景踩庸滩呗浴筷P(guān)閉密碼恢復(fù)功能后，設(shè)備將處于一個(gè)安全性更高的狀態(tài)，即當(dāng)出現(xiàn)上述情況時(shí)，若想繼續(xù)使用BootWare菜單選擇將設(shè)備恢復(fù)為出廠配置之后方可繼續(xù)操作，這樣可以有效地防止非法用戶獲取啟動配置文件?！九渲门e例】#關(guān)閉密碼恢復(fù)功能。<Sysname>system-view[Sysname]undopassword-recoveryenableUSB接口【安全威脅】USBUSB接口也會給用戶帶來安全隱患，例如，感染U盤攜帶的病毒，重要文件被非法拷貝等?！景踩庸滩呗浴縐SBUSB接口?！咀⒁馐马?xiàng)】如果您對UumountUUSB接口?！九渲门e例】#USB接口。<Sysname>system-view[Sysname]usbdisable配置內(nèi)存告警門限【安全威脅】的正常運(yùn)行?！景踩庸滩呗浴浚ú恢С诸A(yù)告警的設(shè)備）門限或者恢復(fù)正常狀態(tài)門限時(shí)，就產(chǎn)生相應(yīng)的告警/告警解除通知，通知關(guān)聯(lián)的業(yè)務(wù)模塊/進(jìn)程采取相應(yīng)的措施，以便最大限度的利用內(nèi)存，又能保證設(shè)備的正常運(yùn)行。一級mnrevr）ciial急程度越來越嚴(yán)重。級別的告警。當(dāng)剩余空閑內(nèi)存大小如圖3-1中曲線所示時(shí)，會生成如3-1所示的告警和解除告警通知。圖3-1內(nèi)存告警示意圖一級門限告警解除通知一級一級門限告警解除通知一級門限告警二級門限告警解除通知二級門限告警三級門限告警解除通知三級門限告警正常狀態(tài)（normal）一級門限（minor）二級門限（severe）三級門限（critical）時(shí)間【安全加固策略】（支持預(yù)告警的設(shè)備）門限或者恢復(fù)正常狀態(tài)門限時(shí)，就產(chǎn)生相應(yīng)的告警/告警解除通知，通知關(guān)聯(lián)的業(yè)務(wù)模塊/進(jìn)程采取相應(yīng)的措施，以便最大限度的利用內(nèi)存，又能保證設(shè)備的正常運(yùn)行。除了一級、二級、三級告警，設(shè)備還支持預(yù)警功能。預(yù)警門限用于內(nèi)存使用率尚處于正常范圍內(nèi)，但需要提醒用戶提前關(guān)注內(nèi)存的情況。預(yù)警恢復(fù)門限用于解除預(yù)警。（al-anigmnosvre（rtia的剩余空閑內(nèi)存越來越少，緊急程度越來越嚴(yán)重。級別的告警。當(dāng)剩余空閑內(nèi)存大小如圖3-2中曲線所示時(shí)，會生成如3-2所示的告警和解除告警通知。圖3-2內(nèi)存告警示意圖剩余空閑內(nèi)存大小預(yù)告警 預(yù)告警解除通知預(yù)告警解除（secure）預(yù)告警（early-warning）正常狀態(tài)（normal）一級門限（minor）

一級門限告警

一級門限告警解除通知二級門限告警解除通知二級門限（severe）三級門限（critical）

二級門限告警三級門限告警

三級門限告警解除通知時(shí)間【注意事項(xiàng)】分配置可能刪除失敗。【配置舉例】（各參數(shù)僅為示例）<Sysname>system-view[Sysname]memory-thresholdminor3000severe2000critical1000normal3500配置文件加密【安全加固策略】save命令，設(shè)備都會先將當(dāng)前生效的配置進(jìn)行加密，ComwareV7平臺軟件的設(shè)備識別和解析。為了防止非法用戶對加密后配置文件的解析，需確保只有合法用戶才能獲取加密后的配置文件，進(jìn)一步提高配置文件的安全性?！咀⒁馐马?xiàng)】more命令查看加密配置文件（后綴名為“.cfg”的配置文displaydiff命令的參數(shù)，進(jìn)行兩份配置文件之間的displaysaved-configuration命令查看加密的下次啟動配置文件內(nèi)容?！九渲门e例】設(shè)置保存配置文件時(shí)使用公鑰進(jìn)行加密。<Sysname>system-view[Sysname]configurationencryptpublic-key設(shè)置保存配置文件時(shí)使用私鑰進(jìn)行加密。<Sysname>system-view[Sysname]configurationencryptprivate-key安全日志【安全加固策略】日志文件管理功能。戶隨時(shí)快捷地查看安全日志，了解設(shè)備狀態(tài)。的告警上限等。保存到安全日志文件等。安全管理員只能管理安全日志文件，不能對設(shè)備執(zhí)行其他操作。【配置舉例】開啟安全日志同步保存功能。<Sysname>system-view[Sysname]info-centersecurity-logfileenable600秒。（600秒僅為示例）[Sysname]info-centersecurity-logfilefrequency6002MB。（2MB僅為示例）[Sysname]info-centersecurity-logfilesize-quota2管理安全日志文件以安全日志管理員身份登錄設(shè)備。配置存放安全日志文件的目錄為flash:/test。（flash:/test僅為示例）<Sysname>mkdirtestCreatingdirectoryflash:/test...Done.<Sysname>system-view[Sysname]info-centersecurity-logfiledirectoryflash:/test[Sysname]quit手動將安全日志緩沖區(qū)中的內(nèi)容保存到安全日志文件。<Sysname>security-logfilesaveThecontentsinthesecuritylogfilebufferhavebeensavedtothefileflash:/seclog/seclog.log.安全MAC地址學(xué)習(xí)【安全威脅】MAC地址時(shí)可能存在以下安全威脅：VXLAN報(bào)文，使VTEPMAC地址。MAC地址，MAC地址不穩(wěn)定?！景踩庸滩呗浴縑TEP和網(wǎng)關(guān)上配置如下安全策略：MAC地址自動學(xué)習(xí)功能為了避免VTEPMACMAC地址自動學(xué)習(xí)功能，手動MACEVPNMAC/IPMAC地址。地址學(xué)習(xí)優(yōu)先級MACMACMAC地址時(shí)，MAC地址不穩(wěn)定對網(wǎng)絡(luò)造成影響?！九渲门e例】MAC地址自動學(xué)習(xí)功能。<Sysname>system-view[Sysname]vxlantunnelmac-learningdisableMAC地址學(xué)習(xí)優(yōu)先級為高優(yōu)先級。<Sysname>system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]service-instance1000[Sysname-GigabitEthernet1/0/1-srv1000]mac-addressmac-learningpriorityhigh安全【安全威脅】ARP/NDVTEP和網(wǎng)關(guān)學(xué)習(xí)到錯(cuò)誤【安全加固策略】ARP/NDARP/ND的自動學(xué)習(xí)功能，通ARP/NDAPR/ND表項(xiàng)指導(dǎo)報(bào)文轉(zhuǎn)發(fā)。【注意事項(xiàng)】EVPNVXLAN網(wǎng)絡(luò)?！九渲门e例】ARP自動學(xué)習(xí)功能。<Sysname>system-view[Sysname]vxlantunnelarp-learningdisable#關(guān)閉遠(yuǎn)端ND自動學(xué)習(xí)功能。<Sysname>system-view[Sysname]vxlantunnelnd-learningdisableARP遷移抑制【安全威脅】EVPN網(wǎng)關(guān)連接用戶站點(diǎn)，若存在惡意攻擊者在某站點(diǎn)使用與EVPN網(wǎng)關(guān)間形成ARP信息，大量占用網(wǎng)絡(luò)帶寬，影響網(wǎng)絡(luò)中報(bào)文的正常轉(zhuǎn)發(fā)。【安全加固策略】在分布式EVPNARP180EVPN網(wǎng)關(guān)間進(jìn)ARPEVPN網(wǎng)關(guān)間形成環(huán)路?！九渲门e例】EVPN網(wǎng)關(guān)開啟ARP遷移抑制功能。<Sysname>system-view[Sysname]evpnroutearp-mobilitysuppression泛洪抑制【安全威脅】VXLAN隧道上泛洪該數(shù)據(jù)幀，將該數(shù)據(jù)VXLAN內(nèi)的所有站點(diǎn)；VTEP從VXLANMAC地址為廣播、未知單播和VXLAN內(nèi)的所有本地接口上泛洪該數(shù)據(jù)幀。這樣可能會導(dǎo)致廣播風(fēng)暴，影響設(shè)備的轉(zhuǎn)發(fā)性能?！景踩庸滩呗浴客ㄟ^配置VSIVXLAN內(nèi)泛洪，以減少網(wǎng)絡(luò)中的泛洪流量。AC間泛洪流量，避免引起廣播風(fēng)暴?？梢酝ㄟ^以下兩種方式抑制AC間的泛洪流量：alp：AC口的不同以太網(wǎng)服務(wù)實(shí)例上均不允許泛洪。實(shí)例上泛洪，可以在不同接口的以太網(wǎng)服務(wù)實(shí)例上泛洪?！九渲门e例】VSIvsi1內(nèi)禁止將本地站點(diǎn)內(nèi)接收到的廣播數(shù)據(jù)幀泛洪到遠(yuǎn)端站點(diǎn)。<Sysname>system-view[Sysname]vsivsi1[Sysname-vsi-vsi1]floodingdisablebroadcastVSIvsi1內(nèi)禁止將接收到的未知單播數(shù)據(jù)幀泛洪到本地站點(diǎn)和遠(yuǎn)端站點(diǎn)。<Sysname>system-view[Sysname]vsivsi1[Sysname-vsi-vsi1]floodingdisableunknown-unicastall-direction配置AC間泛洪抑制模式為所有端口隔離模式。<Sysname>system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]service-instance1000[Sysname-GigabitEthernet1/0/1-srv1000]floodingdisableall-port配置AC間泛洪抑制模式為源端口隔離模式。<Sysname>system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]service-instance1000[Sysname-GigabitEthernet1/0/1-srv1000]floodingdisablesource-port控制平面安全加固二層協(xié)議安全生成樹保護(hù)功能【安全威脅】BPDU攻擊以實(shí)現(xiàn)這些端口的快速遷移；當(dāng)這些端口接收到BPDU，系統(tǒng)會自動將這些端口設(shè)置為非邊STP的BPDUBPDU惡意攻擊設(shè)備，就會引起網(wǎng)絡(luò)震蕩。根橋攻擊變動，會導(dǎo)致原來應(yīng)該通過高速鏈路的流量被牽引到低速鏈路上，導(dǎo)致網(wǎng)絡(luò)擁塞。TC-BPDU攻擊TC-BPDU惡意攻擊設(shè)備時(shí)，設(shè)備短時(shí)間內(nèi)會收到很多的TC-BPDU，頻繁的刷新操作給設(shè)備帶來很大負(fù)擔(dān)，給網(wǎng)絡(luò)的穩(wěn)定帶來很大隱患。【安全加固策略】BPDU保護(hù)在設(shè)備上部署B(yǎng)PDUBPDUBPDU，系統(tǒng)就將這些端口關(guān)閉，同時(shí)通知網(wǎng)管這些端口已被生成樹協(xié)議關(guān)閉。根保護(hù)根橋頻繁變動。TC-BPDU攻擊保護(hù)攻擊。當(dāng)設(shè)備在單位時(shí)間（固定次），那么該設(shè)備在這段時(shí)間之內(nèi)將只進(jìn)行NN次避免頻繁地刷新轉(zhuǎn)發(fā)地址表項(xiàng)。【配置舉例】配置BPDU保護(hù)方法一：在系統(tǒng)視圖下開啟BPDU保護(hù)功能，并配置端口為邊緣端口。<Sysname>system-view[Sysname]stpbpdu-protection[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]stpedged-port方法二：BPDU保護(hù)功能。[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1stpedged-port[Sysname-GigabitEthernet1/0/1]stpportbpdu-protectionenable配置根保護(hù)開啟端口的根保護(hù)功能。<Sysname>system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]stproot-protection配置TC-BPDU攻擊保護(hù)10（10僅為示例）。<Sysname>system-view[Sysname]stptc-protectionthreshold10鄰居驗(yàn)證與超時(shí)保護(hù)功能【安全加固策略】鄰居驗(yàn)證功能文；否則阻塞接口，即接口的鏈路層狀態(tài)置為DOWN，且不允許該接口繼續(xù)收發(fā)數(shù)據(jù)報(bào)文。表4-1鄰居驗(yàn)證通過條件配置的鄰居識別信息鄰居驗(yàn)證通過條件配置鄰居ChassisIDTLV識別信息接口從鄰居收到的LLDPDU中攜帶的ChassisIDTLV與配置相同配置鄰居PortIDTLV識別信息接口從鄰居收到的LLDPDU中攜帶的PortIDTLV與配置相同配置鄰居ChassisIDTLV和PortIDTLV識別信息接口從鄰居收到的LLDPDU中攜帶的ChassisIDTLV和PortIDTLV與配置全部相同超時(shí)保護(hù)功能保護(hù)功能分為鄰居老化超時(shí)后阻塞接口和鄰居老化超時(shí)后關(guān)閉接口。LLDP報(bào)文，則阻塞該接口，即接口的鏈路層協(xié)議狀態(tài)置為DWLP則該接口可以繼續(xù)收發(fā)數(shù)據(jù)報(bào)文。接口收發(fā)協(xié)議報(bào)文不受影響。LLDPDOWN，且不允許該接口繼續(xù)收發(fā)數(shù)據(jù)報(bào)文和協(xié)議報(bào)文?！九渲门e例】#進(jìn)入接口視圖。<Sysname>system-view[Sysname]interfacegigabitethernet1/0/1配置鄰居ChassisIDTLVChassisIDTLVChassisIDChassisID0012-2255-7766。（各參數(shù)僅為示例）[Sysname-GigabitEthernet1/0/1]lldpneighbor-identitychassis-id40012-2255-7766IDTLVPortIDTLVID子類型編號5ID為gigabitethernet1/0/1。（各參數(shù)僅為示例）[Sysname-GigabitEthernet1/0/1]lldpneighbor-identityport-id5gigabitethernet1/0/1#開啟鄰居驗(yàn)證功能。[Sysname-GigabitEthernet1/0/1]lldpneighbor-protectionvalidation配置超時(shí)保護(hù)功能在指定接口上開啟鄰居超時(shí)保護(hù)功能并指定鄰居老化超時(shí)后阻塞接口。<Sysname>system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]lldpneighbor-protectionagingblock攻擊防御ARP表項(xiàng)檢查功能【安全威脅】ARPMACMACARP報(bào)文。播發(fā)送，嚴(yán)重占用網(wǎng)絡(luò)資源?！景踩庸滩呗浴緼RPMACMAC的動態(tài)MACMACARP表項(xiàng)?！九渲门e例】ARP表項(xiàng)的檢查功能。<Sysname>system-view[Sysname]arpcheckenableARP報(bào)文攻擊防范報(bào)文攻擊【安全威脅】IPIP報(bào)文來攻擊設(shè)備，則會造成下面的危害：ARP請求報(bào)文，加重目的網(wǎng)段的負(fù)載。IP地址進(jìn)行解析，增加了CPU的負(fù)擔(dān)。【安全加固策略】IP報(bào)文攻擊所帶來的危害，設(shè)備提供了下列兩個(gè)功能：5IPIPIP報(bào)文超過意攻擊所造成的危害。APRPARPARP解析成功，則設(shè)備馬上刪除此黑洞路ARP請求報(bào)文的發(fā)送次數(shù)和發(fā)送時(shí)IP報(bào)文CPU的負(fù)擔(dān)?！九渲门e例】開啟ARPARP100（100僅為示例。<Sysname>system-view[Sysname]arpsource-suppressionenable[Sysname]arpsource-suppressionlimit100ARP5ARP探測報(bào)文的時(shí)間3（各參數(shù)僅為示例）<Sysname>system-view[Sysname]arpresolving-routeenable[Sysname]arpresolving-routeprobe-count5[Sysname]arpresolving-routeprobe-interval3MACARP攻擊檢測功能【安全威脅】ARP表項(xiàng)?！景踩庸滩呗浴縈ACARPARPMACCPUARP5MAC地址（MAC地址固定）ARP報(bào)文MAC地址添加到攻擊檢測表項(xiàng)中。ARP日志信息功能，且在該攻擊檢測表項(xiàng)老化之前，如果設(shè)置的檢查模式為過濾模式，則會打印日志信息并且將該源MACARP則只打印日志信息，不會將該源MACARP報(bào)文過濾掉?！咀⒁馐马?xiàng)】式處理。ARP報(bào)文，為了使這些ARP報(bào)文不被過濾掉，可以將這類設(shè)備的MAC地址配置成保護(hù)MAC【配置舉例】MACARP攻擊檢測功能，并選擇過濾模式。<Sysname>system-view[Sysname]arpsource-macfilterarpsource-macmonitor命令。MACARP30個(gè)（30僅為示例。[Sysname]arpsource-macthreshold30MACARP60秒（60僅為示例。[Sysname]arpsource-macaging-time60001e-1200-0213（001e-1200-0213僅為示例。[Sysname]arpsource-macexclude-mac001e-1200-0213MACARP攻擊檢測日志信息功能。[Sysname]arpsource-maclogenable報(bào)文限速【安全威脅】ARPARPCPU負(fù)擔(dān)過重，造成其他功能無法正常運(yùn)行甚至設(shè)備癱瘓?！景踩庸滩呗浴拷涌谏祥_啟ARPARP報(bào)文數(shù)量超過用戶設(shè)定的限速值，則有如下處理機(jī)制：當(dāng)開啟了ARPSNMP。以及輸出方向【配置舉例】ARP報(bào)文限速的告警功能。<Sysname>system-view[Sysname]snmp-agenttrapenablearprate-limitARP報(bào)文限速日志功能。[Sysname]arprate-limitlogenable#ARP報(bào)文速率超過用戶設(shè)定的限速值時(shí)，設(shè)備發(fā)送告警或日志的時(shí)間間隔為120秒（120僅為示例。[Sysname]arprate-limitloginterval120#ARPARP報(bào)文限速速率50pps（50僅為示例。[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]arprate-limit50ARP欺騙類攻擊功能ARPIP地址沖突功能【安全加固策略】IPARPIPARPIPMACIPIP地址沖突日志將被發(fā)送給信息中心模塊擊行為。【配置舉例】ARPIP地址沖突功能。<Sysname>system-view[Sysname]arpuser-ip-conflictrecordenable源地址沖突提示功能【安全威脅】能正常訪問網(wǎng)關(guān)?！景踩庸滩呗浴緼RPIP地IP地址沖突提示功能的狀態(tài)，進(jìn)行如下處理：ARPIP地址沖突。IP地址沖突。【配置舉例】IP地址沖突提示功能。<Sysname>system-view[Sysname]arpip-conflictlogprompt地址一致性檢查功能【安全加固策略】MACARPARP報(bào)文進(jìn)行檢MACARPMAC地址不同，則認(rèn)為是攻擊報(bào)ARP學(xué)習(xí)?！九渲门e例】ARPMAC地址一致性檢查功能。<Sysname>system-view[Sysname]arpvalid-checkenableARP主動確認(rèn)功能【安全威脅】ARPARP表項(xiàng)ARPMAC地址，則合法用戶無法收到報(bào)文?！景踩庸滩呗浴勘眄?xiàng)。下：收到目標(biāo)IP地址為自己的ARPARPARP表項(xiàng)；IPARP解析：若發(fā)表項(xiàng)；若未發(fā)起過解析，則設(shè)備丟棄該報(bào)文?！九渲门e例】ARP主動確認(rèn)功能。<Sysname>system-view[Sysname]arpactive-ackstrictenableARP功能【安全加固策略】的租約或DHCP中繼生成的安全表項(xiàng)一致的ARPARP功能后，DHCPDHCP中繼的介紹，請參見“三層技術(shù)-IPDHCP服務(wù)器”和“DHCP【配置舉例】VLAN10ARP功能。<Sysname>system-view[Sysname]interfacevlan-interface10[Sysname-Vlan-interface10]arpauthorizedenableARPDetection功能【安全加固策略】ARPARP非信任接口，進(jìn)IPSourceGuard靜態(tài)綁定表項(xiàng)的檢查、基于DHCP802.1XARPIP地址和發(fā)送端ARP報(bào)文合法，進(jìn)行轉(zhuǎn)發(fā)。如果所有檢查都沒有找到匹配的表項(xiàng)，則認(rèn)為是非法報(bào)文，直接丟棄。ARPARP非信任接口，需MACIP地址檢查模式。ARPMACMACMAC（ARP應(yīng)答報(bào)文ARPMAC01，是否和以太網(wǎng)報(bào)文頭中的目的MAC01、不一致的報(bào)文都是無效的，需要被丟棄；IP地址檢查模式：會檢查ARPIPIP1IP地址ARPIP地址。ARPARP報(bào)文不受此功能影響，按照正常流ARPARP報(bào)文的處理過程如下：ARP請求報(bào)文，通過信任接口進(jìn)行轉(zhuǎn)發(fā)；ARPMACMAC地址表MACARP應(yīng)答報(bào)文通過信任接口進(jìn)行轉(zhuǎn)發(fā)?！九渲门e例】0，掩碼為ARP報(bào)文。（各參數(shù)僅為示例）<Sysname>system-view[Sysname]arpdetectionrule0permitipmac0001-0203-0405ffff-ffff-0000VLAN10ARPDetection功能。[Sysname]vlan10[Sysname-vlan10]arpdetectionenable[Sysname-vlan10]quitGigabitEthernet1/0/1ARP信任接口。[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]arpdetectiontrustARPMACIP地址的有效性檢查。<Sysname>system-view[Sysname]arpdetectionvalidatedst-macipsrc-mac#VLAN10ARPDetection功能。[Sysname]vlan10[Sysname-vlan10]arpdetectionenable[Sysname-vlan10]quitGigabitEthernet1/0/1ARP信任接口。[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]arpdetectiontrust開啟VLAN2ARP報(bào)文強(qiáng)制轉(zhuǎn)發(fā)功能。<Sysname>system-view[Sysname]vlan2[Sysname-vlan2]arprestricted-forwardingenableARP自動掃描、固化功能【安全加固策略】ARPARP欺騙行為：自動掃描功能后，設(shè)備會對局域網(wǎng)內(nèi)的鄰居自動進(jìn)行掃描（ARP請求MACARP表項(xiàng)ARP（ARPARP表項(xiàng)）ARPARPARP表項(xiàng)?！咀⒁馐马?xiàng)】ARPIPARP請求報(bào)文，這會解決此問題。ARPARPARPARP表項(xiàng)被固化?！九渲门e例】10IPARP自動掃描。<Sysname>system-view[Sysname]interfacevlan-interface10[Sysname-Vlan-interface10]arpscan[Sysname-Vlan-interface10]quitARPARP表項(xiàng)。[Sysname]arpfixup網(wǎng)關(guān)保護(hù)功能【安全威脅】網(wǎng)關(guān)?！景踩庸滩呗浴縄P地址相同。如果相同，則認(rèn)為此報(bào)文非法，將其丟棄；否則，認(rèn)為此報(bào)文合法，繼續(xù)進(jìn)行后續(xù)處理。【注意事項(xiàng)】ARPARP過濾保護(hù)功能?！九渲门e例】#GigabitEthernet1/0/1ARPIP地址為。<Sysname>system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]arpfiltersource過濾保護(hù)功能【安全威脅】IPMAC地址對應(yīng)關(guān)系給合法客戶端，導(dǎo)致合法客戶端不能正常訪問網(wǎng)關(guān)。IPMAC地址的對應(yīng)關(guān)系給網(wǎng)關(guān)或其他客戶端，導(dǎo)致網(wǎng)關(guān)或其他客戶端無法與合法客戶端正常通信?！景踩庸滩呗浴緼RP過濾保護(hù)功能后，當(dāng)接口收到ARPARPIP地址和源IPMAC地址相同：如果不相同，則認(rèn)為此報(bào)文非法，將其丟棄?！咀⒁馐马?xiàng)】ARPARP過濾保護(hù)功能?！九渲门e例】#ARPIP、MAC0e10-0213-1023ARP（各參數(shù)僅為示例）<Sysname>system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]arpfilterbinding0e10-0213-1023ARPIP地址檢查功能【安全加固策略】ARPIPARPARP報(bào)文進(jìn)行檢查。VLANARPIPIP地址范圍內(nèi)，則認(rèn)為是攻擊報(bào)文，ARP學(xué)習(xí)。【配置舉例】#ARPsenderIP～0（各參數(shù)僅為示例）<Sysname>system-view[Sysname]vlan2[Sysname–vlan2]arpsender-ip-range0攻擊防御NDSnooping【安全加固策略】ND或者數(shù)據(jù)報(bào)文來創(chuàng)建NDSnooping表項(xiàng)，該表項(xiàng)內(nèi)容包括報(bào)文的源IPv6MACVLAN和報(bào)文入端口等信息。NDDetectionIPv6SourceGuard功能使用，以防止網(wǎng)絡(luò)中的攻擊報(bào)文攻擊網(wǎng)關(guān)等行為。【配置舉例】10NDSnooping表項(xiàng)的功能。<Sysname>system-view[Sysname]vlan10[Sysname-vlan10]ipv6ndsnoopingenableglobal[Sysname-vlan10]ipv6ndsnoopingenablelink-local[Sysname-vlan10]quitGigabitEthernet1/0/1NDSnooping64（本例中的參數(shù)僅為示例。[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]ipv6ndsnoopingmax-learning-num64[Sysname-GigabitEthernet