整理H3C防火墙配置说明.pptxVIP

H3C 防火墙配置说明;相关配置方法：;提高 IS-IS 网络的安全性;配置区域验证 通过配置区域验证，可以防止将从不可信任的路由器学习到的路由信息加入到本地 Level-1 的 LSDB 中。 配置区域验证后，验证密码将会按照设定的方式封装到 Level-1 报文（LSP、CSNP、PSNP） 中，并对收到的 Level-1 报文进行验证密码的检查。 同一区域内的路由器必须配置相同的验证方式和验证密码。 表 1-38 配置区域验证;为 BGP 建立 TCP 连接时进行 MD5 认证，只有两台路由器配置的密码相同时，才 能建立 TCP 连接，从而避免与非法的 BGP 路由器建立 TCP 连接。 传递 BGP 报文时，对封装 BGP 报文的 TCP 报文段进行 MD5 运算，从而保证 BGP 报文不会被篡改。 表 1-41 配置 BGP 的MD5 认证;以二进制格式封装成 UDP 报文输出到指定的 Userlog 日志主机。 Userlog 日志有 1.0 和 3.0 两个版本。两种 Userlog 日志的格式稍有不同，具体差别请参见表 1-2 和表 1-3。 表 1-2 1.0 版本 Userlog 日志信息;字段;配置 Userlog 日志参数，的详细配置如下表所示。 单击确定按钮完成操作。 表 1-4 Userlog 日志的详细配置;报文总数，以及设备缓存中的 Userlog 日志总数。 在导航栏中选择“日志管理 Userlog 日志”，进入如图 1-2 所示的页面。 单击页面下方的“查看统计信息”扩展按钮，展开如下图所示的内容，可以查 看 Userlog 日志的统计信息。 图 1-3 查看 Userlog 日志统计信息;图 1-10 扫描攻击;启用 SMTP 附件名称过滤功能，阻止用户发送带有“.exe”附件的邮件。 启用 FTP 上传文件名过滤功能，阻止用户上传带有“system”名称的文件。 启用 Telnet 命令字过滤功能，阻止用户键入含有“reboot”关键字的命令。 图 1-29 内容过滤配置组网图;图 1-31 配置关键字过滤条目“reboot”;图 1-34 配置不带 Java Applet 阻断的 HTTP 过滤策略;图 1-35 配置带 Java Applet 阻断的HTTP 过滤策略;图 1-36 配置 SMTP 过滤策略;步骤 2：单击新建按钮。 步骤 3：进行如下配置，如下图所示。 输入名称为“ftp_policy”。 单击“上传文件名过滤”前的扩展按钮。 在上传文件名过滤的可选过滤条目列表框中选中“system”文件名过滤条目，单击 “”按钮将其添加到已??过滤条目列表框中。 步骤 4：单击确定按钮完成操作。 图 1-37 配置FTP 过滤策略;图 1-38 配置 Telnet 过滤策略;图 1-39 配置不带 Java Applet 阻断的内容过滤策略模板;选择目的域为“Untrust”。 选择源 IP 地址为“any_address”。 选中目的 IP 地址中“ 新建 IP 地址” 前的单选按钮， 输入目的 IP 地址为 “/”。 选择服务名称为“any_service”。 选择过滤动作为“Permit”。 选择内容过滤策略模板为“template1”。 选中“启用规则”前的复选框。 选中“确定后续添加下一条规则”前的复选框。 步骤 4：单击确定按钮完成操作。 图 1-41 配置引用不带 Java Applet 阻断的内容过滤策略模板的域间策略;图 1-42 配置引用带 Java Applet 阻断的内容过滤策略模板的域间策略;图 1-43 内容过滤统计信息;含独立词语“ webfilter ” 的网址， 比如 ， 但是类似于 的网址将不会被过滤。 如果关键字的开头和结尾都没有通配符，表示模糊匹配。对于模糊匹配，只要网址 中包含了该关键字就会被过滤。 不支持纯数字的关键字。如果需要过滤类似 的网站，使用“123”作 为过滤地址是不合法的，但可以使用“^123$”、“”和“123.com” 等作为过滤地址。因此，对于以数字作为网站地址的网站，建议采用精确匹配 方式进行过滤。 (2) 配置 URL 参数过滤关键字时，需要注意通配符的使用规则： “^”表示开头匹配。只能出现在关键字的开头，且只能出现一次。 “$”表示结尾匹配。只能出现在关键字的结尾，且只能出现一次。 “”代替一个字符。可出现任意多个，可连续出现，可位于关键字的任意位置， 但不能与“*”相邻，如果出现在开始和结尾的位置，则一定要和“^”或“$” 相邻。 ?“*”代替长度不超过 4 个字符的任意字符串，可代替空格。只能位于关键字的中间， 且只能出现一次。 如果关键字的开头有“^”或结尾有“$”，表示精确匹配。例如，