华为设备安全配置手册.docx

华为设备安全配置手册

终端安全认证
【命令】
login { async | con | hwtty | pad | telnet } undo login { async | con | hwtty | pad | telnet }
【视图】
系统视图
【参数】
无
【描述】
login命令用来打开终端用户的认证开关。 undo login命令用来关闭对终端用户的认证功能。
缺省情况下，关闭对终端用户的认证功能。
可以分别设置五种终端用户的认证功能，以防止未授权用户的非法侵入。
异步口终端用户（async ）:在远程配置的方式下，三次认证失败将 断开。
« Con sole 口终端用户（con ）:控制Co nsole 口和AUX 口的登录校验，
认证失败将继续要求认证。
哑终端接入用户（hwtty ）:三次认证失败将关闭哑终端连接。
PAD呼叫用户（pad ）:三次认证失败将关闭
PAD连接。
Tel net终端用户（tel net ）:三次认证失败将关闭该 Telnet连接。
【举例】
#打开Telnet终端用户认证开关。
[Quidway] logi n tel net

【命令】
idle-timeout
undo idle-timeout
【视图】
系统视图
【参数】
无
【描述】
idle-timeout命令用来启动与终端用户"定时断开连接”功能， undo idle-
timeout 命令用来禁止该功能。
缺省情况下，系统启动与终端用户的“定时断开连接”功能。
对于连接到Con sole 口的终端用户，定时断开连接的时间为 3分钟；对于哑终端用户，定时断开
连接的时间为10分钟；对于通过Modem拨号方式使用哑终端的用户，定时断开连接的时间为 6
分钟。用户可以通过 undo idle-timeout命令关闭该功能，使终端用户永远不断开连接。
【举例】
#禁止与终端用户的“定时断开连接”功能。
[Quidway] undo idle-timeout

允许/禁止防火墙
在报文过滤时，应先打开防火墙功能，这样才能使其它配置生效。 请在系统视图下进行下列配置。
允许/禁止防火墙
操作
命令
启动防火墙
firewall enable
禁止防火墙
firewall disable
缺省情况下，防火墙处于“启动”状态。
22配置标23准访问控制列表
标准访问控制列表序号可取值 1〜99之间的整数。首先应使用 acl命令进入到ACL配置视图并配
置访问控制列表的匹配顺序，然后再使用 rule命令配置具体的访问规则。若不配置匹配顺序的
话，按照auto方式进行。
请在系统视图（acl命令）和ACL视图（rule命令）下进行下列配置。
配置标准访问控制列表
1
操作
命令
进入ACL视图并配置访 问控制列表的匹配顺序
acl acl-number [ match-order config | auto ]
配置标准访问列表规则
rule { normal | special }{ permit | deny } [source source- addr source-wildcard | any ]
删除特定的访问列表规 则
undo rule { rule-id | normal | special }
删除访问列表
undo acl {acl-number| all }
normal指该规则是在普通时间段内起起用； specia指该规则是在特殊时间段内起作用，使用 sp
ecial时用户需另外设定特殊时间段。具有同一序号的多条规则按照“深度优先原则”进行匹配
。
缺省情况下，为normal时间段。

扩展访问控制列表可取值 100〜199之间的整数。首先应使用 acl命令进入到ACL配置视图并配 置访问控制列表的匹配顺序，然后再使用 rule命令配置具体的访问规则。若不配置匹配顺序的
话，按照auto方式进行。
请在系统视图（acl命令）和ACL视图（rule命令）下进行下列配置。
配置扩展访问控制列表
操作
命令
进入ACL视图并配置访 问控制列表的匹配顺序
acl acl-number [ match-order config | auto ]
配置TCP/UD