文档介绍:华为设备安全配置手册1. . 终端安全认证【命令】login{async|con|hwtty|pad|}undologin{async|con|hwtty|pad|}【视图】系统视图【参数】无【描述】login命令用来打开终端用户的认证开关。undologin命令用来关闭对终端用户的认证功能。缺省情况下,关闭对终端用户的认证功能。可以分别设置五种终端用户的认证功能,以防止未授权用户的非法侵入。异步口终端用户(async):在远程配置的方式下,三次认证失败将断开。Console口终端用户(con):控制Console口和AUX口的登录校验,认证失败将继续要求认证。哑终端接入用户(hwtty):三次认证失败将关闭哑终端连接。(pad):。终端用户():连接。【举例】#终端用户认证开关。[Quidway]. . 务属性配置【命令】idle-timeoutundoidle-timeout【视图】系统视图【参数】无【描述】idle-timeout命令用来启动与终端用户“定时断开连接”功能,undoidle-timeout命令用来禁止该功能。缺省情况下,系统启动与终端用户的“定时断开连接”功能。对于连接到Console口的终端用户,定时断开连接的时间为3分钟;对于哑终端用户,定时断开连接的时间为10分钟;对于通过Modem拨号方式使用哑终端的用户,定时断开连接的时间为6分钟。用户可以通过undoidle-timeout命令关闭该功能,使终端用户永远不断开连接。【举例】#禁止与终端用户的“定时断开连接”功能。[Quidway]undoidle-timeout2. . 允许/禁止防火墙在报文过滤时,应先打开防火墙功能,这样才能使其它配置生效。请在系统视图下进行下列配置。允许/禁止防火墙操作命令启动防火墙firewallenable禁止防火墙firewalldisable缺省情况下,防火墙处于“启动”状态。. . 准访问控制列表标准访问控制列表序号可取值1~99之间的整数。首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序,然后再使用rule命令配置具体的访问规则。若不配置匹配顺序的话,按照auto方式进行。请在系统视图(acl命令)和ACL视图(rule命令)下进行下列配置。配置标准访问控制列表操作命令进入ACL视图并配置访问控制列表的匹配顺序aclacl-number[match-orderconfig|auto]配置标准访问列表规则rule{normal|special}{permit|deny}[sourcesource-addrsource-wildcard|any]删除特定的访问列表规则undorule{rule-id|normal|special}删除访问列表undoacl{acl-number|all}normal指该规则是在普通时间段内起起用;special指该规则是在特殊时间段内起作用,使用special时用户需另外设定特殊时间段。具有同一序号的多条规则按照“深度优先原则”进行匹配。缺省情况下,为normal时间段。. 配置扩展访问控制列表扩展访问控制列表可取值100~199之间的整数。首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序,然后再使用rule命令配置具体的访问规则。若不配置匹配顺序的话,按照auto方式进行。请在系统视图(acl命令)和ACL视图(rule命令)下进行下列配置。配置扩展访问控制列表操作命令进入ACL视图并配置访问控制列表的匹配顺序aclacl-number[match-orderconfig|auto]配置TCP/UDP协议的扩展访问列表规则rule{normal|special}{permit|deny}{tcp|udp}[sourcesource-addrsource-wildcard|any][source-portoperatorport1[port2]][destinationdest-addrdest-wildcard|any][destination-portoperatorport1[port2]][logging]配置ICMP协议的扩展访问列表规则rule{normal|special}{permit|deny}ICMP[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][icmp-typeicmp-typeicmp-code][logging]配置其它协议扩展访问列表规则rule{normal|s