华为路由器数据安全
针对华为路由器数据安全这个问题,本文将综合不同朋友对这个华为路由器安全性的知识为大家一起来解答,希望能帮到大家
本文内容目录一览:
华为路由器的上网安全防护会影响网速吗?
不会的,那只是优先级,比如你的电话设为7,网络设为0,那么电话和网络同时有数据传输时,先走电话,再走网络,但两者仍是交叉进行,几乎感觉不出先后,这个和网速无关
华为ar路由器打开arp
ARP欺骗指恶意用户通过发送伪造的ARP报文,恶意修改网关或网络内其他主机的ARP表项,造成用户或网络的报文转发异常。
恶意用户仿冒其他用户向网关发送ARP报文,导致网关学习到错误的用户ARP表项。
恶意用户仿冒网关发出ARP报文,导致网络中其他用户学习到错误的网关ARP表项。
恶意用户通过构造畸形的ARP报文进行攻击,导致路由器学习到错误的ARP表项。
安全策略
针对以上攻击行为,可以在路由器上配置如下安全策略。
ARP表项固化
路由器支持三种ARP表项固化模式,这三种模式适用于不同的应用场景,且是互斥关系。
fixed-mac方式适用于用户MAC地址固定,但用户接入位置频繁变动的场景。当用户从不同接口接入路由器时,路由器上该用户对应的ARP表项中的接口信息可以及时更新。
fixed-all方式适用于用户MAC地址固定,并且用户接入位置相对固定的场景。
send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。
动态ARP检测(DAI)
使能DAI的路由器会将ARP报文对应的源IP、源MAC、接口、VLAN信息和绑定表中的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。绑定表通常通过DHCP Snooping动态生成,也可手工配置指定。
ARP防网关冲突
为了防范攻击者仿冒网关,当用户主机直接接入网关时,可以在网关路由器上使能ARP防网关冲突攻击功能。当路由器收到的ARP报文存在下列情况之一:
ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址相同。
ARP报文的源IP地址是入接口的虚拟IP地址,但ARP报文源MAC地址不是VRRP虚MAC。
路由器就认为该ARP报文是与网关地址冲突的ARP报文,路由器将生成ARP防攻击表项,并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文,这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。
发送ARP免费报文
在网关路由器上配置发送免费ARP报文的功能,用来定期更新合法用户的ARP表项,使得合法用户ARP表项中记录的是正确的网关地址映射关系。
ARP报文内MAC地址一致性检查
路由器收到ARP报文时,对以太报文头中的源、目的MAC地址和ARP报文中的源、目的MAC地址进行一致性检查。如果以太网数据帧首部中的源/目的MAC地址和ARP报文中的源/目的MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。可以有效防止恶意用户通过构造畸形ARP报文对网络或者网络路由器的攻击。
ARP报文合法性检查
为了防止非法ARP报文的攻击,可以在接入路由器或网关路由器上配置ARP报文合法性检查功能,用来对MAC地址和IP地址不合法的ARP报文进行过滤。路由器提供以下三种可以任意组合的检查项配置:
IP地址检查:路由器会检查ARP报文中的源IP和目的IP地址,全0、全1、或者组播IP地址都是不合法的,需要丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。
源MAC地址检查:路由器会检查ARP报文中的源MAC地址和以太网数据帧首部中的源MAC地址是否一致,一致则认为合法,否则丢弃报文。
目的MAC地址检查:路由器会检查ARP应答报文中的目的MAC地址是否和以太网数据帧首部中的目的MAC地址一致,一致则认为合法,否则丢弃报文。
ARP表项严格学习
配置ARP表项严格学习功能后,只有本路由器主动发送的ARP请求报文的应答报文才能触发本路由器学习ARP,其他路由器主动向本路由器发送的ARP报文不能触发本路由器学习ARP,这样可以拒绝大部分的ARP报文攻击。
DHCP触发ARP学习
在DHCP用户场景下,当DHCP用户数目很多时,路由器进行大规模ARP表项的学习和老化会对路由器性能和网络环境形成冲击。为了避免此问题,可以在网关路由器上使能DHCP触发ARP学习功能。当DHCP服务器给用户分配了IP地址,网关路由器会根据VLANIF接口上收到的DHCP ACK报文直接生成该用户的ARP表项。
配置方法
配置ARP表项固化
使能ARP表项固化功能,指定固定模式为固化MAC方式。
Huawei system-view
[Huawei] arp anti-attack entry-check fixed-mac enable
配置动态ARP检测(DAI)
使能接口Eth1/0/1下的动态ARP检测功能。
Huawei system-view
[Huawei] interface ethernet 1/0/1
[Huawei-Ethernet1/0/1] arp anti-attack check user-bind enable
配置ARP防网关冲突
使能ARP防网关冲突攻击功能。
Huawei system-view
[Huawei] arp anti-attack gateway-duplicate enable
配置发送ARP免费报文
在接口VLANIF10下使能发送免费ARP报文的功能。
Huawei system-view
[Huawei] interface vlanif 10
[Huawei-Vlanif10] arp gratuitous-arp send enable
配置ARP报文内MAC地址一致性检查
使能指定接口的ARP报文内MAC地址一致性检查。
Huawei system-view
[Huawei] interface gigabitethernet 1/0/1
[Huawei-GigabitEthernet1/0/1] arp validate source-mac destination-mac
配置ARP报文合法性检查
使能ARP报文合法性检查功能,并指定ARP报文合法性检查时检查源MAC地址。
Huawei system-view
[Huawei] arp anti-attack packet-check sender-mac
配置ARP表项严格学习
指定接口的ARP表项严格学习功能。
Huawei system-view
[Huawei] interface vlanif 100
[Huawei-Vlanif100] arp learning strict force-enable
配置DHCP触发ARP学习
使能接口VLANIF100的DHCP触发ARP学习功能。
Huawei system-view
[Huawei] vlan batch 100
[Huawei] dhcp enable
[Huawei] interface vlanif 100
[Huawei-Vlanif100] arp learning dhcp-trigger
防ARP泛洪攻击
攻击行为
当网络中出现过多的ARP报文时,会导致网关设备CPU负载加重,影响设备正常处理用户的其它业务。另一方面,网络中过多的ARP报文会占用大量的网络带宽,引起网络堵塞,从而影响整个网络通信的正常运行。
安全策略
针对以上攻击行为,可以在路由器上配置如下安全策略。
ARP表项限制
设备基于接口限制学习ARP表项的总数目,可以有效地防止ARP表项溢出,保证ARP表项的安全性。
ARP速率抑制
设备对单位时间内收到的ARP报文进行数量统计,如果ARP报文的数量超过了配置的阈值,超出部分的ARP报文将被忽略,设备不作任何处理,有效防止ARP表项溢出。
ARP表项严格学习
设备仅学习本端发送的ARP请求报文的应答报文,并不学习其它设备向路由器发送的ARP请求报文和非本端发送的ARP请求报文的应答报文,可以拒绝掉ARP请求报文攻击和非自己发送的ARP请求报文对应的应答报文攻击。
ARP端口级防护
设备基于端口对ARP上送速率进行监控,当某端口ARP上送控制面报文速率超过特定阈值时,会将该端口的ARP报文通过单独通道上送控制面,避免攻击影响正常的ARP报文。此外,设备还支持将攻击端口的ARP报文阻塞一段时间,而不是通过单独的通道上送。
ARP用户级防护
设备对用户(基于MAC地址或者IP地址)上送控制面的ARP报文速率进行监控,当某用户ARP报文速率超过特定阈值时,会将该用户ARP报文丢弃一段时间。
配置方法
ARP表项限制
配置指定接口最多可以学习到的ARP表项数量。
Huawei system-view
[Huawei] interface vlanif 100
[Huawei-Vlanif100] arp-limit maximum 20
ARP速率抑制
对ARP报文采用基于源IP地址进行时间戳抑制,速率为每秒50个ARP报文。
Huawei system-view
[Huawei] arp speed-limit source-ip maximum 50
配置ARP表项严格学习
ARP表项严格学习既可以基于全局,也可以基于指定的接口配置,两者有如下的关系:
当全局和接口同时配置了ARP严格学习功能时,采用接口下配置的策略。
当接口下没有配置ARP严格学习功能时,采用全局下配置的ARP严格学习策略。
使能全局的ARP表项严格学习功能。
Huawei system-view
[Huawei] arp learning strict
使能指定接口的ARP表项严格学习功能。
Huawei system-view
[Huawei] interface vlanif 100
[Huawei-Vlanif100] arp learning strict force-enable
配置ARP端口级防护
ARP端口级防护默认开启,无需手工配置。此外,还可以配置ARP报文限速。
配置接口Eth2/0/0在1秒钟内最多允许50个ARP报文通过。
Huawei system-view
[Huawei] interface ethernet 2/0/0
[Huawei-Ethernet2/0/0] arp anti-attack rate-limit enable
[Huawei-Ethernet2/0/0] arp anti-attack rate-limit 50 1
配置ARP用户级防护
ARP用户级防护基于用户MAC地址或者IP地址进行。
Huawei system-view
[Huawei] cpu-defend policy antiatk
[Huawei-cpu-defend-policy-antiatk] auto-defend enable
[Huawei-cpu-defend-policy-antiatk] auto-defend threshold 30
[Huawei-cpu-defend-policy-antiatk] undo auto-defend trace-type source-portvlan
[Huawei-cpu-defend-policy-antiatk] undo auto-defend protocol tcp telnet ttl-expired igmp icmp dhcp
[Huawei-cpu-defend-policy-antiatk] auto-defend action deny timer 300
[Huawei-cpu-defend-policy-antiatk] quit
[Huawei] cpu-defend-policy antiatk
[Huawei] cpu-defend-policy antiatk
华为路由器支持阿里云吗
支持的,为了增加网络的安全性,以华为路由器为主路由,华硕路由器为旁路由,通过设置实现华为路由器缺少的阿里云DDNS功能:
1.主路由的lan口连接旁路由的wan口,旁路由设置为静态路由接入(为了两个路由数据交互,可以设置旁路由关闭防火墙),主路由在nat设置增加一条旁路由的静态路由网段;
2.旁路由华硕路由刷梅林固件,设置好DDNS,附图见下,重启两个路由即可
华为WS852-W怎么样?华为WS852-W好吗
对于无线路由高手来说都知道,无线信号通过天线呈现球形向外辐射,有些厂商为了让无线路由信号覆盖好,更换了高增益可折叠天线,将辐射波束积压,牺牲垂直面的信号来增强葱香空间的覆盖距离。这也就是为什么许多无线路由器在复式环境里信号不太好的原因。然而华为WS330无线路由器内置了三根天线,可有效的解决无线信号垂直覆盖的问题,从根本上解决了立体覆盖的难题。华为WS330无线路由器机身正面与众多同类产品相比,华为WS330支持11G模式和11N模式高增益外置全向小型天线,MIMO技术口占WIFI覆盖到每个角落,且WS330采用了IEEE802.11n先进技术,无线传输速率高达300Mbps。所以,不可避免地穿过建筑承重墙设计,信号也依然不会大幅度削减。华为WS330无线路由器正面华为WS330从左到右依次开关接口为电源开关、WLAN/WPS开关、WLAN口,四个LAN接口以及Reset键,此外在华为WS330的顶盖上还提供了包括电源、Internet、WLAN、LAN、WPS、刷新指示一目了然。无线路由器机身背部接口底部散热孔设计的非常有意思,机身底面分布了大量的散热孔,相信产品的稳定性一定非常出色,这样的散热设计可以将无线路由器内部的热量迅速散出,从而降低了对硬件的损坏与过热导致的掉线问题。无线路由器机身底部第3页简单人性化的设置华为WS330无线路由器操作简单、功能丰富,是人性化设计与网络技术组合的产物。将设备LAN口与计算相连,在浏览器中键入192.168.3.1,通过键入密码为admin即可,便可登陆其Web配置界面。无线路由器登陆页面华为WS330的设置界面相比以往的产品更具人性化,充分考虑了家庭用户的设置,因此取消了很多复杂的专有名词选项,降低了设置的难度。WS330的默认IP地址为192.168.3.1,这样可以避免在同一个局域网内的IP地址冲突,在浏览器中输入该地址后就打开了WS330的设置界面。出色的图形化的设置页面,取消了一些复杂的选项,这样用户就可以非常方便的进行设置了。主页面主要有三个大板块,分别是互联网连接设置、无线设置和家庭网络设置。当然,一些高级选项还可以点击"设备维护"来进行设置。智能化的登陆界面华为WS330提供了图形化的家庭网络拓扑查看,这样局域网和Internet的连接情况就一目了然了,并显示出故障的位置,可以让用户尽快解决所遇到的问题。无线路由器因特网设置华为WS330为初级用户设计了非常直观的设置菜单,让用户可以轻松快速地完成无线路由器的基本配置,非常方便。为了确保日常数据的安全性,WS330还内置了防火墙,可以进行客户端过滤、MAC地址过滤、URL过滤和远端WEB管理等一系列功能,对于家庭用户来说足够使用了。无线路由器桥接设置华为WS330支持WDS无线桥接功能,可以实现多台无线路由器直接到无缝连接,有效扩大无线网络覆盖的范围。集成设备维护和一键诊断功能华为WS330同样融入了企业级的理念,因此在完全性方面和网络的调试检测方面颇显专业,在无线信号覆盖,WS330的表现比较令人满意,而三选二只能天线方案,似的垂直的网络信号得到进一步的增强。而且其较低的功耗和只有同类产品五分之一的辐射,更是使得性价比凸显。
以上就是华为路由器数据安全的全部内容了,文章比较长感谢您的耐心阅读,希望能帮到您,
