• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C无线控制器产品 Web网管配置指导(E3703P61 R2509P61 R3709P61 R2609P61 R3509P61 R3120P17)-6W115

13-安全

本章节下载 13-安全  (868.44 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WX/H3C_WX3000/Configure/User_Manual/H3C_WCG(E3703P61_R2509P61_R3709P61)-6W115/201801/1060003_30005_0.htm

13-安全


1 安全配置

1.1  安全简介

802.11网络很容易受到各种网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、DoS攻击等。Rogue设备对于企业网络安全来说是一个很严重的威胁。WIDS(Wireless Intrusion Detection System,无线入侵检测系统)可以对有恶意的用户攻击和入侵行为进行早期检测,保护企业网络和用户不被无线网络上未经授权的设备访问。WIDS可以在不影响网络性能的情况下对无线网络进行监测,从而提供对各种攻击的实时防范。

安全提供了如下功能:

·     非法设备监测

·     入侵检测

·     黑白名单

1.1.1  常用术语

·     Rogue AP:网络中未经授权或者有恶意的AP,它可以是私自接入到网络中的AP、未配置的AP、邻居AP或者攻击者操作的AP。如果在这些AP上存在漏洞的话,黑客就有机会危害AP所在无线网络的安全。

·     Rogue Client:非法客户端,网络中未经授权或者有恶意的客户端,类似于Rogue AP。

·     Rogue Wireless Bridge:非法无线网桥,网络中未经授权或者有恶意的网桥。

·     Monitor AP:这种AP在无线网络中通过扫描或监听无线介质,检测无线网络中的Rogue设备。

·     Ad-hoc mode:把无线客户端的工作模式设置为Ad-hoc模式,Ad-hoc终端可以不需要任何设备支持而直接进行通讯。

1.1.2  非法设备监测

1. 对非法设备进行检测

Rogue设备检测比较适合于大型的WLAN网络。通过在已有的WLAN网络中制定非法设备检测规则,可以对整个WLAN网络中的异常设备进行监视。

Rogue设备检测可以检测WLAN网络中的多种设备,例如Rogue AP,Rogue client,无线网桥,Ad-hoc终端等等。

根据实际的无线环境,可以通过设定不同的模式来对Rogue设备进行检测。

·     Monitor模式:在这种模式下,AP需要扫描WLAN中的设备,此时AP仅做监测AP,不做接入AP。当AP工作在Monitor模式时,该AP提供的所有WLAN服务都将关闭。如下图中,AP 1做接入AP,AP 2作为Monitor AP,监听所有802.11帧,检测无线网络中的非法设备,但不能提供无线接入服务。

图1-1 对Rogue设备进行检测(Monitor模式)

 

·     Hybrid模式:在这种模式下,AP可以在监测无线环境中设备的同时传输WLAN数据。

图1-2 对Rogue设备进行检测(Hybrid模式)

 

2. 对非法设备进行防攻击

在检测到Rogue设备后,根据选用不同的反制模式,Monitor AP从AC下载攻击列表,并对指定的Rogue设备进行攻击防范。对于不同的非法设备,开启反制功能后的效果如下:

·     如果Rogue设备为Rogue Client,则该Rogue Client会被强行下线;

·     如果Rogue设备为Rogue AP,那么合法客户端不会接入Rogue AP;

·     如果Rogue设备为Ad-hoc,那么Ad-Hoc客户端之间不能正常通信。

图1-3 对Rogue设备进行防攻击

 

1.1.3  入侵检测

为了及时发现WLAN网络的恶意或者无意的攻击,通过记录信息或者发送日志信息的方式通知网络管理者。目前设备支持的入侵检测主要包括泛洪攻击检测、Spoof检测以及Weak IV检测。

1. 泛洪攻击检测

泛洪攻击(Flooding攻击)是指WLAN设备会在短时间内接收了大量的同种类型的报文。此时WLAN设备会被泛洪的攻击报文淹没而无法处理无线客户端的合法报文。

攻击检测通过持续地监控某种单一报文的流量大小来预防这种泛洪攻击。当流量超出可容忍的上限时,该无线客户端将被认定在实施泛洪攻击,如果在WLAN设备上开启动态黑名单功能,此时被检查到的攻击设备将被加入动态黑名单,在后续一段时间内将被禁止接入WLAN网络。

入侵检测支持下列报文的泛洪攻击检测:

·     认证请求/解除认证请求(Authentication / De-authentication);

·     关联请求/解除关联请求/重新关联请求(Association / Disassociation / Reassociation);

·     探查请求(Probe Request);

·     802.11 Null数据帧;

·     802.11 Action帧;

2. Spoofing攻击检测

Spoofing攻击是指潜在的攻击者会仿冒其它设备的名义发送攻击报文,以达到破坏无线网络正常工作的目的。例如:无线网络中的客户端已经和AP关联,并处于正常工作状态,此时如果有攻击者仿冒AP的名义给客户端发送解除认证报文就可能导致客户端下线,同样如果攻击者仿冒客户端的名义给AP发送解除认证报文也会影响无线网络的正常工作。

目前,Spoofing攻击检测支持对仿冒AP名义发送的广播解除认证报文和广播解除关联报文进行检测。当接收到这两种报文时,设备会将其定义为Spoofing攻击并记录到日志中。

3. Weak IV攻击检测

使用WEP加密的时候,WLAN设备对于每一个报文都会使用IV(Initialization Vector,初始化向量),IV和Key一起作为输入来生成Key Stream,使相同密钥产生不同加密效果。当一个WEP报文被发送时,用于加密报文的IV也作为报文头的一部分被发送。如果WLAN设备使用不安全的方法生成IV,例如始终使用固定的IV,就可能会暴露共享的密钥,如果潜在的攻击者获得了共享的密钥,攻击者将能够控制网络资源。

检测IDS攻击可以通过识别每个WEP报文的IV来预防这种攻击,当一个有Weak IV的报文被检测到时,这个检测将立刻被记录到日志中。

1.1.4  黑白名单

1. 黑白名单列表

WLAN网络环境中,可以通过黑白名单功能设定一定的规则过滤无线客户端,实现对无线客户端的接入控制。

黑白名单维护三种类型的列表。

·     白名单列表:该列表包含允许接入的无线客户端的MAC地址。如果使用了白名单,则只有白名单中指定的无线客户端可以接入到WLAN网络中,其它的无线客户端将被拒绝接入。

·     静态黑名单列表:该列表包含拒绝接入的无线客户端的MAC地址。

·     动态黑名单列表:当WLAN设备检测到来自某一设备的非法攻击时,可以选择将该设备动态加入到黑名单中,拒绝接收任何来自于该设备的报文,直至该动态黑名单表项老化为止,从而实现对WLAN网络的安全保护。动态黑名单支持与ARP Detection功能联动,即当ARP Detection检测到攻击时,发送非法报文的用户(MAC地址)也会被加入到动态黑名单中。关于“ARP Detection功能”的功能介绍请参见“网络”。

2. 黑白名单的处理过程

当AP接收到一个802.11帧时,按照以下步骤针对该帧的源MAC进行过滤

(1)     如果设置了白名单列表,若源MAC在白名单列表内,该帧将被作为合法帧进一步处理;若源MAC不在白名单列表内,该帧将被丢弃。

(2)     如果没有设置白名单列表,则继续搜索静态和动态的黑名单列表。

(3)     如果源MAC在静态或动态黑名单列表内,该帧将被丢。

(4)     如果源MAC没有在静态或动态黑名单列表内,或者黑名单列表为空,则该帧将被作为合法帧进一步处理。

3. 黑白名单的作用范围

需要注意的是,静态黑名单、白名单和动态黑名单的作用范围有所不同。在AC上设置静态黑名单、白名单后,静态黑名单、白名单会对所有与AC相连的AP生效;而动态黑名单只会对接收到攻击报文的AP生效。

图1-4 无线用户接入控制组网

 

在如图1-4所示的组网中,有三个AP连接到AC。

·     在AC上配置白名单和静态黑名单。假设Client 1的MAC地址存在于静态黑名单列表中,则Client 1不能与任何一个AP发生关联。当只有Client 1的MAC地址存在于白名单列表中时,该客户端可以和任何一个AP发生关联,其它的客户端不能与任何一个AP发生关联。

·     在AC上开启动态黑名单功能。假设AP 1接收到Client 1发送的攻击报文,AC会将此客户端加入到动态黑名单中,但Client 1仍然可以关联到AP 2和AP 3。若AP 2或者AP 3也接收到Client 1的攻击报文,则会在列表中添加新的动态黑名单表项。

1.2  配置非法设备监测

非法设备监测配置的推荐步骤如下表所示。

表1-1 非法设备监测配置步骤

步骤

配置任务

说明

1

1.2.2  配置工作模式

必选

配置AP工作模式

缺省情况下,AP为普通模式,只提供WLAN服务

2

1.2.4  配置规则列表

必选

配置检测规则列表

3

1.2.5  对检测到的非法设备进行防攻击

可选

配置对检测到的非法设备进行防攻击

 

1.2.2  配置工作模式

(1)     在界面左侧的导航栏中选择“安全> 非法设备监测”,默认进入“AP监控”页签的页面,如下图所示。

图1-5 AP监控

 

(2)     在列表中找到要进行配置的AP,单击对应的icon_mdf图标,进入AP工作模式的配置页面,如下图所示。

图1-6 AP工作模式

 

(3)     配置AP工作模式,详细配置如下表所示。

表1-2 AP工作模式的详细配置

配置项

说明

工作模式

配置AP工作模式:

·     普通模式:AP仅传输WLAN用户的数据,不进行任何监测

·     监控模式:在这种模式下,AP需要扫描WLAN中的设备,此时AP仅做监测AP,不做接入AP。当AP工作在监控模式时,该AP提供的所有WLAN服务都将关闭。处于监控模式的AP,监听所有802.11帧

·     混合模式:在这种模式下,AP在做监测AP的同时也可以传输WLAN数据

提示

·     当AP从普通模式切换到监控模式时,AP不会重启

·     当AP从监控模式切换到普通模式时,AP会重启

 

说明

·     如果AP工作模式为“混合”,需要对无线服务进行配置,这样AP在监测的同时可以提供无线服务。

·     如果AP工作模式为“监控”,那么AP不需要提供无线服务,不必配置无线服务。

 

(4)     单击<确定>按钮完成操作。

1.2.3  规则列表匹配顺序

(1)     规则列表就是制定非法设备识别策略。设备会根据设置的非法设备策略进行匹配,最终确定哪些设备为非法设备。

·     判断AP是否为非法设备:

图1-7 判断AP是否为非法设备的流程图

 

·     判断Client是否为非法设备:

图1-8 判断Client是否为非法设备的流程图

 

·     判断Adhoc网络或无线网桥是否为非法设备:

图1-9 判断Adhoc网络或无线网桥是否为非法设备的流程图

 

1.2.4  配置规则列表

(1)     在界面左侧的导航栏中选择“安全> 非法设备监测”。

(2)     选择“规则列表”页签,进入规则列表的配置页面,如下图所示。

图1-10 规则列表

 

(3)     配置规则列表,详细配置如下表所示。

表1-3 规则列表的详细配置

配置项

说明

列表类型

设置列表类型:

·     MAC列表:添加允许的MAC地址

·     无线服务列表:添加允许的SSID

·     厂商列表:选择允许的厂商

·     攻击列表:添加某个设备的MAC地址到攻击列表中,将该设备配置为非法设备

 

(4)     在列表中选择MAC列表类型,单击<添加>按钮,进入MAC地址列表的配置页面,如下图所示。

图1-11 MAC地址列表配置页面

 

(5)     配置MAC地址列表,详细配置如下表所示。

表1-4 MAC地址列表的详细配置

配置项

说明

MAC地址

手动输入允许的MAC地址列表

选择现有设备列表

选中“选择现有设备列表”,选择表中的MAC地址作为允许通过的MAC地址列表

 

(6)     单击<确定>按钮完成操作。

其它类型列表的操作过程和添加MAC列表类似,此处不再重复。

1.2.5  对检测到的非法设备进行防攻击

(1)     在界面左侧的导航栏中选择“安全> 非法设备监测”,默认进入“AP监控”页签的页面,如图1-5所示。

(2)     单击<通用设置>按钮,进入通用设置的配置页面,如下图所示。

图1-12 配置反制模式

 

(3)     进行通用设置,详细配置如下表所示。

表1-5 通用设置的详细配置

配置项

说明

反制设置

AP在提供无线服务的同时,对攻击列表里的rogue设备进行反制

·     服务时间内反制时间间隔:在AP在提供无线服务的同时,对rogue设备进行反制的时间间隔

·     服务时间内反制最大设备数:在AP在提供无线服务的同时,对rogue设备进行反制的最大设备数

反制模式

·     非法设备:对非法设备(包括非法AP和非法客户端)进行反制

·     非法adhoc设备:对非法adhoc设备进行反制

·     静态非法设备:对静态配置的非法设备进行反制(这里的静态配置是指在规则列表中设置的静态非法设备)

设备超时时间

入侵列表中表项的老化时间

如果非法设备在老化时间内没有再被检测到,那么该选项将被从监控记录列表中删除。如果被删除的是非法设备,被删除的非法设备表项会加到历史列表中。

 

(4)     单击<确定>按钮完成操作。

1.2.6  查看监控记录

(1)     在界面左侧的导航栏中选择“安全> 非法设备监测”。

(2)     选择“监控记录”页签,进入查看监控记录的页面,如下图所示。监控记录的字段说明如下表所示。

图1-13 查看监控记录

 

表1-6 监控记录字段说明

配置项

说明

类型

检测到的设备类型,各字母含义如下:

·     r 表示rogue

·     p 表示permit

·     a表示adhoc

·     w表示ap

·     b表示wireless-bridge,

·     c表示client

·     比如:pw表示允许的AP;rb表示非法网桥

 

说明

设备默认把所有检测到的Adhoc和无线网桥设定为非法设备。

 

1.2.7  查看历史记录

(1)     在界面左侧的导航栏中选择“安全> 非法设备监测”。

(2)     选择“历史记录”页签,进入查看历史记录的页面。

图1-14 查看历史记录

 

1.3  配置入侵检测

1.3.1  入侵检测设置

(1)     在界面左侧的导航栏中选择“安全> 入侵检测”,默认进入“入侵检测设置”页签的页面,如下图所示。

图1-15 入侵检测设置

 

(2)     配置入侵检测,详细配置如下表所示。

表1-7 入侵检测设置的详细配置

配置项

说明

泛洪攻击检测

选中该复选框,则表示启动泛洪攻击检测

缺省情况下,泛洪攻击检测处于关闭状态

Spoofing攻击检测

选中该复选框,则表示启动Spoofing攻击检测

缺省情况下,Spoofing攻击检测处于关闭状态

Weak IV攻击检测

选中该复选框,则表示启动Weak IV攻击检测

缺省情况下,Weak IV攻击检测处于关闭状态

 

(3)     单击<确定>按钮完成操作。

1.3.2  查看历史记录

(1)     在界面左侧的导航栏中选择“安全> 入侵监测”。

(2)     选择“历史记录”页签,进入查看历史记录的页面,如下图所示。

图1-16 查看历史记录

 

1.3.3  查看统计信息

(1)     在界面左侧的导航栏中选择“安全> 入侵检测”。

(2)     选择“统计信息”页签,进入查看统计信息的页面,如下图所示。

图1-17 统计信息各字段说明

ac1.JPG

 

1.4  配置黑白名单

说明

静态黑名单、白名单和动态黑名单的作用范围有所不同。在AC上设置静态黑名单、白名单后,静态黑名单、白名单会对所有与AC相连的AP生效;而动态黑名单只会对接收到攻击报文的AP生效。详细内容请参考“1.1.4  2. 黑白名单的处理过程”。

 

1. 配置动态黑名单

(1)     在界面左侧的导航栏中选择“安全> 黑白名单”,默认进入“黑名单”页签的页面,如下图所示。

图1-18 动态黑名单配置页面

1.JPG

 

(2)     配置动态黑名单,详细配置如下表所示。

表1-8 动态黑名单的详细配置

配置项

说明

动态黑名单功能

·     开启:开启动态黑名单列表功能

·     关闭:关闭动态黑名单列表功能

生存时间

设置动态黑名单中的对应表项的生存时间,被加入到动态黑名单中的MAC表项在经过生存时间后将被删除

 

(3)     单击<确定>按钮完成操作。

说明

目前在动态黑名单支持检测的攻击类型有以下几种:“Assoc-Flood(关联请求泛洪攻击)”、“Reassoc-Flood(重关联请求泛洪攻击)”、“Disassoc-Flood(解除关联请求泛洪攻击)”、“ProbeReq-Flood(探查请求泛洪攻击)”、“Action-Flood(802.11 Action帧泛洪攻击)”、“Auth-Flood(认证请求泛洪攻击)”、“Deauth-Flood(解除认证请求泛洪攻击)”和“Null data-Flood(802.11 Null数据帧泛洪攻击)”。

 

2. 配置静态黑名单

(1)     在界面左侧的导航栏中选择“安全> 黑白名单”,默认进入“黑名单”页签的页面。

(2)     选择“静态”页签,进入静态黑名单的配置页面,如下图所示。

图1-19 静态黑名单配置页面

 

(3)     单击<添加静态表项>按钮,进入添加静态黑名单表项的页面,如下图所示。

图1-20 添加静态黑名单表项

 

(4)     添加静态黑名单表项,详细配置如下表所示。

表1-9 添加静态黑名单表项的详细配置

配置项

说明

MAC地址

选中“MAC地址”前面单选按钮,在输入框中添加指定的MAC地址到静态黑名单

选择当前连接客户端

从当前连接的客户端中,通过指定客户端MAC地址的方式把某些客户端加入到静态黑名单

 

(5)     单击<确定>按钮完成操作。

3. 配置白名单

(1)     在界面左侧的导航栏中选择“安全> 黑白名单”。

(2)     选择“白名单”页签,进入白名单的配置页面,如下图所示。

图1-21 白名单配置页面

 

(3)     单击<添加>按钮,进入添加白名单表项的页面,如下图所示。

图1-22 添加白名单表项

 

(4)     添加白名单表项,详细配置如下表所示。

表1-10 添加白名单表项的详细配置

配置项

说明

MAC地址

选中“MAC地址”前面单选按钮,在输入框中添加指定的MAC地址到白名单

选择当前连接客户端

从当前连接的客户端中,通过指定客户端MAC地址的方式把某些客户端加入到白名单

 

(5)     单击<确定>按钮完成操作。

1.5  无线安全配置举例

1.5.1  非法设备监测配置举例

1. 组网需求

AC连接到一个交换机,监控AP 2、提供无线服务的AP 1通过二层交换机和AC相连。

·     AP 1为普通模式,只提供WLAN服务。

·     AP 2的工作模式为监控模式,对非法设备进行检测。

·     Client 1(MAC地址为000f-e215-1515)、Client 2(MAC地址为000f-e215-1530)、Client 3(MAC地址为000f-e213-1235)连接到无线网络中,享受AP 1提供的WLAN服务。

·     Client 4(MAC地址为000f-e220-405e)为非法客户端(Rogue Client),并对AP 1进行攻击。

图1-23 非法设备监测组网图

2. 配置步骤

(1)     配置AP 1为普通模式

AP 1为普通模式,只提供WLAN接入服务。相关配置请参见“无线服务”,可以完全参照相关举例完成配置。

(2)     配置AP 2为监控模式

步骤1:在界面左侧的导航栏中选择“AP > AP设置”。

步骤2:单击<新建>按钮,进入AP新建页面。

步骤3:进行如下配置,如下图所示。

·     设置AP名称为“ap”。

·     选择型号为“WA3628i-AGN”。

·     选择序列号方式为“手动”,并输入AP的序列号。

步骤4:单击<确定>按钮完成操作。

图1-24 创建AP

 

步骤5:在界面左侧的导航栏中选择“安全> 非法设备监测”,默认进入“AP监控”页签的页面。

步骤6:在列表中找到要进行配置的AP,单击对应的icon_mdf图标,进入AP工作模式的配置页面。

步骤7:选择工作模式为“监控”,如下图所示。

步骤8:单击<确定>按钮完成操作。

图1-25 设置AP为监控模式

 

(3)     开启802.11n(2.4GHz)射频

步骤1:在界面左侧的导航栏中选择“射频 > 射频设置”,进入绑定AP的射频配置页面。

步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中表项前的复选框,如下图所示。

步骤3:单击<开启>按钮完成操作。

图1-26 开启802.11n(2.4GHz)射频

 

(4)     配置规则

步骤1:在界面左侧的导航栏中选择“安全> 非法设备监测”。

步骤2:选择“规则列表”页签,单击<添加>按钮,进入添加规则事项的页面。

步骤3:进行如下配置。

·     在MAC地址表项里依次输入000f-e215-1515,000f-e215-1530和000f-e213-1235,并单击<确定>按钮,完成允许接入的各个MAC地址的添加,如下图所示。

图1-27 MAC地址规则列表

·     在列表类型下拉框中选择“攻击列表”,单击<添加>按钮,在MAC地址表项里输入000f-e220-405e,单击<确定>按钮,将该设备的MAC地址到攻击列表中,如下图所示。

图1-28 攻击列表中添加MAC地址

 

(5)     对静态配置的非法设备进行反制

步骤1:在界面左侧的导航栏中选择“安全> 非法设备监测”。

步骤2:选择“AP监控”页签,单击<通用设置>按钮,进入通用设置的配置页面。

步骤3:选中“静态非法设备”复选框,如下图所示。

步骤4:单击<确定>按钮完成操作。

图1-29 设置反制模式

 

3. 配置注意事项

·     在修改AP工作模式之前,Radio应该处于关闭状态,否则不能修改AP工作模式。

·     如果需要设置多条检测规则,请明确非法设备的类型(AP,客户端,网桥或是adhoc)及规则匹配顺序,具体可以参见“1.2.3  规则列表匹配顺序”。

·     如果AP工作模式为“监控”,就不需要配置“无线服务”;如果AP工作模式为“混合”,需要配置“无线服务”。


2 授权IP

2.1  概述

授权IP功能是指通过将HTTP服务或Telnet服务与ACL关联,对客户端发出的请求进行过滤,只允许通过ACL过滤的客户端访问设备。

2.2  配置授权IP

在配置授权IP前需先创建并配置ACL,详细内容请参见“QoS”。

(1)     在界面左侧的导航栏中选择“安全 > 授权IP”。

(2)     选择“设置”页签,进入授权IP的配置页面,如下图所示。

图2-1 授权IP设置

 

(3)     配置授权IP,详细配置如下表所示。

表2-1 授权IP的详细配置

配置项

说明

Telnet

IPv4 ACL

设置Telnet服务与IPv4 ACL关联

在下拉框中进行选择,可选的IPv4 ACL可在“QoS > ACL IPv4”中配置

IPv6 ACL

设置Telnet服务与IPv6 ACL关联

在下拉框中进行选择,可选的IPv6 ACL可在“QoS > ACL IPv6”中配置

Web(HTTP)

IPv4 ACL

设置HTTP服务与IPv4 ACL关联

在下拉框中进行选择,可选的IPv4 ACL可在“QoS > ACL IPv4”中配置

 

(4)     单击<确定>按钮完成操作。


3 用户隔离

3.1  用户隔离简介

采用用户隔离前,处于同一VLAN的用户是能够互访的,这可能带来安全性问题,采用无线用户隔离,可以解决此问题。开启用户隔离后,在同一个VLAN内,对于报文的处理机制如下:

·     AC收到无线用户发往无线用户的单播/组播/广播报文,AC会根据配置的用户隔离允许列表来判断是否隔离该VLAN内的用户。

·     AC收到无线用户发往有线用户的单播报文,AC会根据配置的用户隔离允许列表来判断是否隔离该VLAN内的用户,但是无线用户发往有线用户的组播/广播报文不受配置影响,AC允许组播/广播报文通过。

·     AC收到有线用户发往有线用户的单播报文,AC会根据配置的用户隔离允许列表来判断是否隔离该VLAN内的用户,但是有线用户发往有线用户的组播/广播报文不受配置影响,AC允许组播/广播报文通过。

·     AC收到有线用户发往无线用户的单播报文,AC会根据配置的用户隔离允许列表来判断是否隔离该VLAN内的用户。对于组播/广播报文的受限情况和命令user-isolation permit broadcast设置有关。关于user-isolation permit broadcast命令可参考“可靠性配置指导”中的“WLAN可靠性”。

由此可见,用户隔离一方面为用户提供了网络服务;另一方面对用户进行隔离,使之不能互访,保证用户业务的安全性。为了使用户隔离不会影响用户与网关的互通,可以将网关地址加入用户隔离允许列表。

3.1.1  用户间互访

如下图所示,AC上关闭用户隔离后,VLAN 2内的无线用户Client、Server和有线用户Host可以在该VLAN内互访,同时也可以访问Internet。

图3-1 用户隔离示意图

 

3.1.2  用户间隔离

如上图所示,在AC上开启用户隔离功能后,VLAN 2内的无线用户Client、Server和有线用户Host通过同一个网关连接到Internet。

·     将网关的MAC地址添加到“可通过MAC”列表中,那么处于同一VLAN内的无线用户Client、Server和Host被隔离,但是Client、Server和Host都可以访问Internet。

·     将用户的MAC地址添加到“可通过MAC”列表中,如把Client的MAC地址添加到“可通过MAC”列表中,那么Client和Server可以互通,Client和Host可以互通,但是Server和Host不能互通。

如果需要同时达到以上两项需求,需要将网关的MAC地址和用户的MAC地址同时添加到“可通过MAC”列表中。“可通过MAC”列表的设置请参见“3.2.1  用户隔离设置”。

3.2  配置用户隔离

3.2.1  用户隔离设置

(1)     在界面左侧的导航栏中选择“安全 > 用户隔离”。

(2)     单击<添加>按钮,进入用户隔离的配置页面,如下图所示。

图3-2 用户隔离设置

 

(3)     配置用户隔离,详细配置如下表所示。

表3-1 用户隔离的详细配置

配置项

说明

VLAN ID

需要使能用户隔离的VLAN

可通过MAC

设置允许通过的MAC地址,请根据具体需求添加MAC地址,关于该选项的介绍可参见“3.1.2  用户间隔离”:

·     在右侧的空格中填入MAC地址;

·     点击<添加>按钮,将该MAC地址添加到可通过MAC地址列表中;

·     从可通过MAC地址列表中选中某个表项,点击<删除>按钮,可以将该表项删除

提示

·     该MAC地址不允许为广播或组播地址

·     每个VLAN下最多可以配置16个可通过MAC

 

(4)     单击<确定>按钮完成操作。

 

说明

·     为了避免在指定VLAN上先开启用户隔离功能后,出现断网的现象,建议先配置网关的MAC地址为该VLAN的允许MAC地址,再开启该VLAN的用户隔离功能。

·     如果对Super VLAN配置用户隔离功能,此配置不会对Super VLAN内的子VLAN生效,在这种情况下,可以直接对子VLAN配置用户隔离功能。

 

3.2.2  查看用户隔离信息

在界面左侧的导航栏中选择“安全 > 用户隔离”,进入查看用户隔离信息的页面,如下图所示。

图3-3 显示用户隔离

 

3.3  用户隔离配置举例

1. 组网需求

网关Gateway的MAC地址为000f-e212-7788。要求通过配置实现用户隔离,要求VLAN 2中的用户Client A、Client B和Host A可以访问Internet,但是VLAN 2中的用户之间都不可以相互访问。

图3-4 用户隔离配置组网

 

 

2. 配置步骤

(1)     配置无线服务

相关配置请参见“无线服务”,可以完全参照相关举例完成配置。

(2)     配置用户隔离

步骤1:在界面左侧的导航栏中选择“安全 > 用户隔离”。

步骤2:单击<添加>按钮,进入用户隔离的配置页面。

步骤3:进行如下配置,如下图所示。

·     输入VLAN ID为“2”。

·     将网关的MAC地址“000f-e212-7788”添加到可通过MAC地址列表。

步骤4:单击<确定>按钮完成操作。

图3-5 配置用户隔离


4 会话管理

说明

 

4.1  概述

会话管理主要基于传输层协议对报文进行检测。其实质是通过检测传输层协议信息(即通用TCP协议和UDP协议)来对连接的状态进行跟踪,并对所有连接的状态信息进行统一维护和管理。

4.2  配置会话基本设置

会话基本设置包括以下内容:

·     配置是否启用单向流检测。

·     配置长连接会话规则,只对处于ESTABLISHED状态的TCP会话有效。

·     配置各协议状态的会话老化时间,只对正在建立过程中的会话有效。

·     配置应用层协议的会话老化时间,只对已经建立并处于READY/ESTABLISHED状态的会话有效。

说明

当会话数目过多(大于80万条)时,建议不要将各协议状态的会话老化时间和应用层协议的会话老化时间设置得过短,否则会造成控制台响应速度过慢。

 

具体配置过程如下:

(1)     在导航栏中选择“安全 > 会话管理”,选择“基本设置”页签,进入如下图所示的页面。

图4-1 基本设置

 

(2)     配置各个参数,详细配置如下表所示。

(3)     单击<确定>按钮完成操作。

表4-1 会话基本设置的详细配置

配置项

说明

启用单向流检测

设置是否启用单向流检测

·     启用单向流检测时,会话管理同时处理单向流和双向流

·     不启用单向流检测时,会话管理仅处理双向流

ACL

根据ACL ID设置长连接会话规则

长连接会话规则同时引用的ACL只能有一个,新设置的ACL会覆盖旧的ACL,不输入ACL ID表示删除长连接会话

会话老化时间

设置长连接会话的老化时间

“0”表示长连接会话永不老化

TCP协议

SYN_SENT和SYN_RCV状态老化时间

设置TCP协议SYN_SENT和SYN_RCV状态的会话老化时间

FIN_WAIT状态老化时间

设置TCP协议FIN_WAIT状态的会话老化时间

ESTABLISHED状态老化时间

设置TCP协议ESTABLSHED状态的会话老化时间

UDP协议

OPEN状态老化时间

设置UDP协议OPEN状态的会话老化时间

READY状态老化时间

设置UDP协议READY状态的会话老化时间

ICMP协议

OPEN状态老化时间

设置ICMP协议OPEN状态的会话老化时间

CLOSED状态老化时间

设置ICMP协议CLOSED状态的会话老化时间

超时加速队列

超时加速队列老化时间

设置超时加速队列的会话老化时间

RAWIP协议

OPEN状态老化时间

设置RAWIP_OPEN状态的会话老化时间

READY状态老化时间

设置RAWIP_READY状态的会话老化时间

DNS会话的老化时间

设置DNS协议的会话老化时间

FTP会话的老化时间

设置FTP协议的会话老化时间

MSN会话的老化时间

设置MSN协议的会话老化时间

QQ会话的老化时间

设置QQ协议的会话老化时间

SIP会话的老化时间

设置SIP协议的会话老化时间

 

4.3  查看会话列表

(1)     在导航栏中选择“安全 > 会话管理 ”,选择“会话列表”页签,进入当前虚拟设备的会话信息显示页面,如下图所示。对会话信息列表中各标题项的详细说明如表4-2所示。

图4-2 会话列表

 

表4-2 会话信息列表的详细说明

标题项

说明

发起方源IP地址

会话发起方的源IP地址和端口号

发起方目的IP地址

会话发起方的目的IP地址和端口号

发起方VPN/VLAN/INLINE

会话的正向报文所属的VPN实例/二层转发时正向报文所属的VLAN ID/二层转发时正向报文所属的INLINE

响应方源IP地址

会话响应方的源IP地址和端口号

响应方目的IP地址

会话响应方的目的IP地址和端口号

响应方VPN/VLAN/INLINE

会话的反向报文所属的VPN实例/二层转发时反向报文所属的VLAN ID/二层转发时反向报文所属的INLINE

协议

会话的传输层协议类型或协议号

会话状态

会话状态,包括:

·     Accelerate

·     SYN

·     TCP-EST

·     FIN

·     UDP-OPEN

·     UDP-READY

·     ICMP-OPEN

·     ICMP-CLOSED

·     RAWIP-OPEN

·     RAWIP-READY

存活时间

会话剩余存活时间

 

(2)     单击某条会话对应的icon_dtl图标,进入该会话详细信息的显示页面,如下图所示。会话详细信息的说明如表4-3所示。

图4-3 会话详细信息

 

表4-3 会话详细信息的说明

标题项

说明

Protocol

传输层协议类型,包括:TCP、UDP、ICMP、RAWIP

State

会话状态,包括:

·     Accelerate

·     SYN

·     TCP-EST

·     FIN

·     UDP-OPEN

·     UDP-READY

·     ICMP-OPEN

·     ICMP-CLOSED

·     RAWIP-OPEN

·     RAWIP-READY

TTL

会话剩余存活时间

Initiator: VD / ZONE / VPN / IP / PORT

发起方所属的虚拟设备/安全域/VPN实例/IP地址/端口号

Responder: VD / ZONE / VPN / IP / PORT

响应方所属的虚拟设备/安全域/VPN实例/IP地址/端口号

----------

方向为从发起方到响应方

〈---------

方向为从响应方到发起方

Packets

相应方向上的报文数

Bytes

相应方向上的报文字节数

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们