华为设备上几个常用的安全技术


 

安全技术一:ACL

:ACL(Access Control List,访问控制列表)

ACL即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。
基本 ACL:只根据数据包的源IP 地址制定规则。
高级 ACL:根据数据包的源IP 地址、目的IP 地址、IP 承载的协议类型、端口号,协议特性等三、四层信息制定规则。
二层 ACL:根据数据包的源MAC 地址、目的MAC 地址、802.1p 优先级、二层协议类型等二层信息制定规则。
用户自定义 ACL:以数据包的头部为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。 (华为设备默认允许)
Ø 100 ~199:表示WLAN ACL;
Ø 2000 ~2999:表示IPv4 基本ACL;
Ø 3000 ~3999:表示IPv4 高级ACL;
Ø 4000 ~4999:表示二层ACL;
Ø 5000 ~5999:表示用户自定义ACL。

  Ø 创建时间段:time-range、

安全技术二:AM访问管理配置
说明:am访问管理配置

当以太网交换机接入的用户数量不大时,为了降低组网成本,局域网服务提
供者可以不使用认证计费服务器以及DHCP 服务器,而使用以太网交换机提
供的一种低成本简单可行的替代方案。在这个低成本的替代方案中用到了交
换机的两个特×××:端口和IP 地址的绑定、端口间的二层隔离。

     通过在以太网交换机的端口上配置二层隔离功能,用户可以控制端口1 发出的帧不被端口2 接收,端口2发出的帧不被端口1 接收,从而将端口1 与端口2 隔离开来。从而保证了各机构的PC 只能与机构内的其他PC 正常通信,并且确保了各机构内指定的PC 可以与外部网络正常通信。



安全技术三:IP-MAC绑定
说明:
华为三层设备上可以做到ip和mac绑定,来预防ARP对网络造成的影响

MAC地址绑定就是利用三层交换机的安全控制列表将交换机上的端口与所对应的MAC地址进行捆绑。由于每个网络适配卡具有唯一的MAC地址,为了有效防止非法用户盗用网络资源,MAC地址绑定可以有效的规避非法用户的接入。以进行网络物理层面的安全保护。

安全技术四:ARP绑定
说明:

ARP 即地址解析协议主要用于从IP 地址到以太网MAC 地址的解析。
如将ARP 映射表绑定,就可以防止一般的ARP欺骗***。防止ARP病毒***的最有效手段:双向静态ARP绑定

安全技术五:AAA

说明:
AAA 是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它是对网络安全的一种管理方式。提供了一个对认证、授权和计费这三种功能进行统一配置的框架。
? 认证:哪些用户可以访问网络服务器;
? 授权:具有访问权的用户可以得到哪些服务;
? 计费:如何对正在使用网络资源的用户进行计费。
AAA 一般采用客户端/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。因此,AAA 框架具有良好的可扩展性,并且容易实现用户信息的集中管理。

安全技术六:dot1x

说明:
802.1x协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。