华为NE40E多业务交换机安全特性

用户管理

• AAA管理用户授权

• 精细的用户权限控制，包括基于User Group和Task Group的权限管理机制。

• 命令行分级，防止未授权用户操作设备。

• HWTACACS认证授权

安全验证

• AAA

• 路由协议（RIPv2、OSPF、IS-IS、BGP）支持报文明文认证和MD5密文认证。

• LDP和RSVP支持MD5密文认证。

• SNMPv3支持加密和认证。

URPF检测

IPv4和IPv6支持单播反向路径查找URPF（Unicast Reverse Path Forwarding）。

MAC地址

• MAC地址限制

• MAC地址删除

未知流量限制

• 对用户的带宽进行分配。

• 对用户的流量进行管理。

ARP防攻击

• 基于接口的ARP表项限制

• 基于ARP目的IP和源IP时间戳抑制

• ARP目的IP地址检查

• ARP双向分离

• 过滤非法ARP报文

BGP Flowspec

• 通过BGP携带的ACL策略对设备流量进行过滤。

• 通过BGP学习的路由属性匹配本地的ACL策略对设备流量进行过滤。

IGMP Snooping

NE40E支持在二层接口和VPLS PW上的IGMP Snooping特性。

MLD Snooping

NE40E支持在二层接口和VPLS PW上的MLD Snooping特性。

主动环路检测

NE40E支持在以太接口上部署主动环路检测。

DHCP Snooping

• DHCP Server仿冒者攻击

• 中间人攻击

• IP/MAC Spoofing攻击与续租报文攻击

• 饿死攻击

• DoS攻击

Keychain

• 非TCP应用程序的Keychain认证

• TCP应用程序的Keychain认证

本地报文头获取

• 主机报文头获取

• 转发报文头获取

本机防攻击特性

• 白名单

• 黑名单

• CPU Total CAR

• 用户自定义流

• 动态链路保护特性

  NE40E支持通过白名单特性保护所有基于TCP的应用层协议的Session数据。

• 统一的CAR参数配置

• 最小包补偿

• 应用层联动

• 本机URPF

• 管理和业务平面保护

• TCP/IP类网络报文攻击防范

• 攻击溯源特性

• 支持基于TTL范围的丢弃和限速功能

GTSM

• BGP GTSM

• OSPF GTSM

• LDP GTSM

SSHv2

NE40E支持STelnet的客户端和服务器端，以及SFTP的客户端和服务器端，均支持SSH1（SSH1.5）协议和SSH2（SSH 2.0）协议。

IPsec

• 支持传输模式和隧道模式两种转换方式。
• 支持IKEv1和IKEv2。
• 支持GRE over IPsec。
• 支持L3VPN。
• 报文分片和重组。
• Peer检测支持keepalive、DPD。
• 支持动态远程IPsec接入。
• 支持IPsec PKI（Public Key Infrastructure）。
• 支持预共享密钥。
• 支持CMPv2：通过CMPv2协议，可以实现证书的在线管理，简化维护和管理证书的工作量。
• 支持IPSec双机备份。
• 支持VXLAN over IPSec。

• 支持数字签名。
• 支持可信计算。