MSR常见应用场景配置指导(常见功能配置篇).doc

MSR常见应用场景配置指导(常见功能配置篇) MSR常见应用场景配置指导v1.00 适用产品： H3C MSR20、MSR30、MSR50各系列的所有产品 适应版本： 2008.8.15日之后正式发布的版本。绝大部分配置也适用之前发布的版本。 使用方法： 根据实际应用场景，在本文配置指导基础上，做定制化修改后使用。 实际组网中可能存在特殊要求，建议由专业人员或在专业人员指导下操作。 本文以MSR2010产品， 2008.8.15日ESS 1710软件版本为案例。 H3C Comware Platform Software Comware Software, Version 5.20,ESS 1710 Comware Platform Software Version COMWAREV500R002B58D001SP01 H3C MSR2010 Software Version V300R003B01D004SP01 Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Aug 15 2008 13:57:11, RELEASE SOFTWARE 目 录 1 常见功能配置篇...2 1.1 启用防火墙过滤功能..2 1.2 优化NAT会话老化时间..6 1.3 启用基于IP地址限速..7 1.4 路由优化配置..8 1.5 进行IP-MAC地址绑定..8 1.6 限制单机的NAT TCP连接数..10 1.7 开启Telnet服务..11 1.8 关闭设备上不必要的服务..11 1.9 限制访问设备HTTP/HTTPS/Telnet服务源地址..12 1.10 双WAN接入路由配置..13 1.10.1 同运营商双WAN接入..13 1.10.2 电信网通双WAN接入..17 1 常见功能配置篇 1.1 启用防火墙过滤功能 ACL是每个安全策略的基本组成部份，控制和监视什么数据包进入和离开网络几乎是网络安全的定义。在RFC2827/BCP 38 (Best Current Practice )中高度建议使用入口过滤，这不仅可以使你的网络安全，而且可以使其它的网络不会被来自你的网络的伪装的源IP给攻击。许多的网络攻击者使用伪装的源IP地址来隐藏它们的身份，在网关设备LAN口使用了入口过滤功能后，也更加容易定位网络攻击者，因为攻击者必须使用真实的源IP地址。在网关设备WAN使用入口过滤功能后，可以有效的过滤各种病毒和攻击流量，从而使网络更稳定。 同时目前大部分企业和网吧网关设备都启用NAT转换功能，网关设备向外网转发报文时需要将源地址转换为公网地址，接收报文时需要将目的地址转换为内网地址，根据MSR系列网关转发处理流程特点－入方向先进行NAT转换再进行防火墙过滤，可以有效的利用防火墙将非内网发起的数据连接和外网主动发起的攻击流量进行过滤，保证网络的稳定性和安全性。也可以利用防火墙将各种常见的病毒报文根据应用服务端口进行过滤。 以局域网接口的IP地址为/24，广域网接口的IP地址为/30为例，ACL和防火墙的典型配置如下： 1、启用防火墙： [H3C]firewall enable 2、关闭设备发送IP不可达报文功能： [H3C]undo ip unreachables 3、配置LAN口防火墙过滤规则： acl number 3003 name LANDefend //将一些常见的端口扫描、病毒报文进行过滤 rule 0 deny udp destination-port eq tftp rule 1 deny tcp destination-port eq 4444 // Worm.Blaster rule 2 deny tcp destination-port eq 135 // Worm.Blaster rule 3 deny udp destination-port eq 135 // Worm.Blaster rule 4 deny udp destination-port eq netbios-ns rule 5 deny udp destin