- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
21-安全防护
本章节下载: 21-安全防护 (607.51 KB)
目 录
在网络中,有时会有一些带有攻击性质的报文传输,通常这些报文能对目标主机进行破坏,异常报文攻击防护能对这些报文进行拦截并报日志。
通过菜单“安全防护 > 网络层攻击防护 > 异常包攻击防御”进入异常包攻击防御的配置界面,如图1-1所示。
表1-1 异常报文攻击防护详细配置描述表
|
配置项 |
说明 |
|
Ping of Death |
ping-of-death攻击是通过向目的主机发送长度超过65535的icmp报文,使目的主机发生处理异常而崩溃。 配置了防ping-of-death攻击功能后,设备可以检测出ping-of-death攻击,丢弃攻击报文并根据配置输出告警日志信息。 |
|
Land-Base |
Land-base攻击通过向目的主机发送目的地址和源地址相同的报文,使目的主机消耗大量的系统资源,从而造成系统崩溃或死机。 配置了防land-base攻击功能后,设备可以检测出Lland-base攻击,丢弃攻击报文并根据配置输出告警日志信息。 |
|
Tear-drop |
tear-drop攻击通过向目的主机发送报文偏移重叠的分片报文,使目的主机发生处理异常而崩溃配置了防Tear-drop攻击功能后,设备可以检测出Tear-drop攻击,并输出告警日志信息。 因为正常报文传送也有可能出现报文重叠,因此设备不会丢弃该报文,而是采取裁减、重新组装报文的方式,发送出正常的报文。 |
|
Tcp flag |
TCP 异常攻击防护功能开启后,缺省情况下当安全网关发现受到TCP 异常攻击后,会丢弃攻击包。 |
|
Winnuke |
Winnuke攻击通过向目的主机的139、138、137、113、53端口发送TCP紧急标识位URG为1的带外数据报文,使系统处理异常而崩溃。 配置了防Winnuke攻击功能后,可以检测出Winnuke攻击报文,丢弃攻击报文并根据配置输出告警日志信息。 |
|
Smurf |
这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。 Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(PING)数据包,来淹没受害主机,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。 |
|
IP选项 |
这种攻击方式就是通过设定错误的IP选项,导致目标主机发生错误,使系统异常或者崩溃 |
|
IP-Spoof |
防护IP地址欺骗攻击,暂时用反向路由检测来实现,如果反向路由不存在或者反向路由查询结果是存在,但是该IP 为目的地址的数据包离开设备的接口和收到报文的接口不一致,则认为是攻击。 |
|
Jolt2 |
Jolt2攻击通过向目的主机发送报文偏移加上报文长度超过65535的报文,使目的主机处理异常而崩溃。 |
配置异常报文攻击防护,开启Land-Base攻击防护和IP-Spoof攻击防护。
通过菜单“安全防护 > 网络层攻击防护 >异常包攻击防御”打开异常报文攻击防御显示页面,点击勾选Land-Base攻击防护和IP-Spoof攻击防护选项,如图1-2所示,点击<提交>按钮,配置完成。
如图1-3所示,通过菜单“安全防护>网络层攻击防护>异常包攻击防御>IPv6异常包攻击”使用该功能。
图1-3 IPv6异常包攻击防御的配置界面
表1-2 IPv6异常包攻击详细信息描述表
|
配置项 |
说明 |
|
Winnuke |
winnuke报文攻击 |
|
Land-Base |
Land-Base报文攻击 |
|
TCP flag |
异常的TCP flag报文攻击 |
|
Fraggle |
Fraggle报文攻击 |
|
IP Spoof |
IP地址欺骗攻击 |
IPv6异常包攻击的配置和显示等都在一个页面。
配置设备 进行IPv6异常的TCP flag报文攻击防护功能。
如图1-4所示,通过菜单“安全防护 > 网络层攻击防护 > 异常包攻击防御 > IPv6异常包攻击”打开显示页面,点击勾选TCP flag攻击防护选项,点击<提交>按钮,配置完成。
图1-4 IPv6异常包攻击配置页面
扫描攻击是指,攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定位潜在目标的位置,探测目标系统的网络拓扑结构和启用的服务类型,为进一步侵入目标系统做准备。设备可以有效防范以上攻击,从而阻止外部的恶意攻击,保护设备和内网。当检测到此类扫描探测时,向用户进行报警提示。
通过菜单“安全防护 > 网络层攻击防护 > 异常包攻击防御 > 扫描攻击防御”进入扫描攻击防御显示界面,如图1-5所示。点击<新建>按钮,进入新建扫描攻击防御界面,如图1-6所示。
在该页面上,显示所有配置的扫描攻击防护表项,同时能够<新建>、<编辑>和<删除>等。
表1-3 扫描攻击防御详细信息描述表
|
配置项 |
说明 |
|
选择接口 |
选择需要防护的接口 |
|
扫描频率 |
设置扫描间隔,每个间隔内扫描10次 |
|
加入黑名单 |
启用加入黑名单的选项 |
|
加入黑名单的时间 |
将源IP加入黑名单的时间 |
开启ge1接口的扫描攻击防御功能,采用缺省配置。
(1) 如图1-7所示,通过菜单“安全防护 > 网络层攻击防护 > 异常包攻击防御 > 扫描攻击防御”打开显示页面,点击显示页面的<新建>按钮。
(2) 如图1-8所示,在弹出的新建页面中进行配置,勾选“启用端口扫描防护”和“启用IP扫描防护”,使用缺省配置。
(3) 点击<提交>按钮,完成扫描攻击防护的配置。
如图1-9所示,通过菜单“安全防护 > 网络层攻击防护 > 异常包攻击防御 > 扫描攻击防御”打开扫描攻击防御显示页面,在显示页面中看到刚才配置的规则,如图1-9所示。
DoS攻击是指,攻击者在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息,而无法为合法用户提供正常服务,即发生拒绝服务。
当前支持对以下四种攻击进行有效防范:
1.SYN Flood攻击
由于资源的限制,TCP/IP协议栈只能允许有限个TCP连接。SYN Flood攻击者向服务器发送伪造源地址的SYN报文,服务器在回应SYN ACK报文后,由于目的地址是伪造的,因此服务器不会收到相应的ACK报文,从而在服务器上产生一个半连接。若攻击者发送大量这样的报文,被攻击服务器上会出现大量的半连接,耗尽其系统资源,使正常的用户无法访问,直到半连接超时。
2.ICMP Flood攻击
ICMP Flood攻击是指,攻击者在短时间内向特定目标发送大量的ICMP请求报文,使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务。
3.UDP Flood攻击
UDP Flood攻击是指,攻击者在短时间内向特定目标发送大量的UDP报文,致使目标系统负担过重而不能处理正常的业务。
4.DNS Flood攻击
DNS Query Flood 攻击采用的方法是向被攻击的DNS 服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络上根本不存在的域名。被攻击的DNS 服务器在接收到域名解析请求时,首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析时,DNS 服务器会向其上层DNS 服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS 服务器解析域名超时。
通过菜单“安全防护 > 网络层攻击防护 > DoS攻击防护 > 目的IP防御”进入目的IP防御的显示界面,如图1-10所示。点击<新建>按钮,弹出目的IP防御的配置界面,如图1-11所示。
图1-10 目的IP防御显示界面
图1-11 新建目的IP防御界面
表1-4 配置说明
|
配置项 |
说明 |
|
指定保护主机的IP地址 |
指定保护地址范围 |
|
SYN Flood阈值 |
每秒发往目的IP的最大SYN报文个数,默认值为1500 |
|
UDP Flood阈值 |
每秒发往目的IP的最大UDP报文个数,默认值为1500 |
|
ICMP Flood阈值 |
每秒发往目的IP的最大ICMP报文个数,默认值为1500 |
|
DNS Flood阈值 |
每秒发往目的IP的最大DNS报文个数,默认值为1500 |
配置保护IP地址为1.1.1.1-1.1.1.10,开启UDP Flood防御阈值为1000的规则。
(1) 如图1-12所示,通过菜单“安全防护>网络层攻击防护>DoS攻击防护>目的IP防御”打开显示页面,点击上面的<新建>按钮,如图1-13所示,在弹出的新建页面中进行配置。
图1-12 目的IP防御显示页面
图1-13 目的IP防御配置页面
(2) 完成配置后,点击<提交>按钮,规则创建成功。
通过菜单“安全防护 > 网络层攻击防护 > DoS攻击防护 > 接口防御”进入接口防御显示界面,如图1-14所示。点击<新建>按钮后,将弹出新建接口防御界面,如图1-15所示。
表1-5 配置说明
|
配置项 |
说明 |
|
接口名 |
选择需要防护的接口名称 |
|
SYN Flood选项 |
对每台源主机进行流限制:设置源主机的流限制阈值,默认值为1500 对目标主机限制最大连接:设置目的主机的最大连接,默认值为1500 |
|
UDP Flood选项 |
对每台源主机进行流限制:设置源主机的流限制阈值,默认值为1500 对目标主机限制最大连接:设置目的主机的最大连接,默认值为1500 |
|
ICMP Flood选项 |
对每台源主机进行流限制:设置源主机的流限制阈值,默认值为1500 对目标主机限制最大连接:设置目的主机的最大连接,默认值为1500 |
|
DNS Flood选项 |
对每台源主机进行流限制:设置源主机的流限制阈值,默认值为1500 对目标主机限制最大连接:设置目的主机的最大连接,默认值为1500 |
ge1接口,开启UDP flood防御,并设置其对源主机和目的主机的限制阈值都为1000。
通过菜单“安全防护 > 网络层攻击防护 > DoS攻击防护 > 接口防御”,打开如图1-16所示接口防御的显示页面,点击<新建>按钮,在弹出的新建页面进行配置。配置完成后,点击<提交>按钮,完成接口防御的配置。
Address Resolution Protocol (ARP)是寻找IP地址所对应的MAC地址的一种协议。
在以太网中,对于处于同一子网的两个通信实体来说,一次IP通信过程大致如下:
当源端发送一个IP包之前,它必须知道目的端的MAC地址才可以完成封装,可是此时源端只能知道目的端的IP地址(通过用户的事先配置或者查路由表),这样就必须依靠ARP协议来完成目的端MAC地址的解析。因此源端发送一个包含目的IP地址的ARP 请求,目的端收到后向源端返回ARP应答,通告自己的MAC地址,源端获得目的端MAC地址后才可以将IP包封装在以太网头中发送出去。
由于网络中可能存在一些攻击软件仿冒某台主机上网,逃过跟踪。为了避免这种情况,设备实现了IP-MAC绑定功能,把用户的MAC和IP绑定起来。配置了IP-MAC绑定后,通过设备的报文的MAC和IP必须严格一致,否则报文将被丢弃。
通过菜单“安全防护>网络层攻击防护>ARP攻击防护>IP-MAC绑定”进入IP-MAC绑定显示界面,如图1-17所示。点击<新建>按钮后,将弹出新建IP-MAC绑定界面,如图1-18所示。
图1-17 IPMAC绑定显示界面
图1-18 IP-MAC绑定添加
表1-6 配置说明
|
配置项 |
说明 |
|
名称 |
IP-MAC绑定项的名称 |
|
IP地址 |
绑定的IP地址 |
|
MAC地址 |
绑定的MAC地址 |
|
唯一性 |
绑定类型 开启表示一个MAC和一个IP地址唯一对应,关闭表示一个MAC地址和多个IP地址对应 |
配置名为test的IPMAC绑定规则,将IP地址2.2.2.2和MAC地址00:de:ad:00:00:0c进行绑定。
(1) 通过菜单“安全防护>网络层攻击防护>ARP攻击防护>IP-MAC绑定”打开如图1-19的IPMAC绑定显示页面,点击<新建>按钮。
(2) 在弹出的新建页面中,对规则进行配置,完成后点击<提交>按钮。
图1-19 IPMAC绑定配置页面
在局域网中,通信前必须通过ARP协议将IP地址转换为MAC地址。ARP协议对网络安全具有重要的意义,但是当初ARP方式的设计没有考虑到过多的安全问题,留下很多隐患,使得ARP攻击成为当前网络环境中遇到的一个非常典型的安全威胁。
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存,造成网络中断或中间人攻击。
受到ARP攻击后会出现无法正常上网、ARP包爆增、不正常或错误的MAC地址、一个MAC地址对应多个IP、IP冲突等情况。ARP攻击因为技术门槛低,易于实现,在现今的网络中频频出现,有效防范ARP攻击已成为确保网络畅通的必要条件。
设备的防ARP攻击功能有效识别ARP欺骗攻击和ARP flood攻击,对疑似攻击的行为告警,并配合IP-MAC绑定、主动保护发包及关闭ARP学习等,有效防范ARP攻击造成的损害。
通过菜单“安全防护 > 网络层攻击防护 > ARP攻击防护 > ARP表”进入ARP表显示界面,如图1-20所示。
图1-20 ARP表项显示
如图1-21所示,通过菜单“安全防护 > 网络层攻击防护 > ARP攻击防护 > ARP Flood攻击”使用该功能。
图1-21 ARP Flood攻击设置页面
表1-7 ARP Flood攻击防护详细配置描述表
|
配置项 |
说明 |
|
启用 |
点选启用防ARP Flood攻击 |
|
ARP攻击识别阈值 |
一秒内收到ARP报文的数量,缺省配置为300个/秒 |
|
攻击主机抑制时长 |
设置阻断时间,当系统检测到攻击时,在配置的时长内拒绝来自于该台源主机的所有其它包,缺省配置为60秒 |
如图1-22所示,通过菜单“安全防护>网络层攻击防护>ARP攻击防护>防ARP欺骗”使用该功能。
图1-22 防ARP欺骗设置页面
表1-8 防ARP欺骗详细信息描述表
|
配置项 |
说明 |
|
ARP防欺骗攻击 |
点选启用ARP防欺骗攻击 |
|
关闭ARP学习 |
缺省情况下启用ARP学习,关闭后只要是不匹配IP-MAC绑定表的报文都将被丢弃 |
|
主动保护 |
点选启用主动保护发包功能,每隔一定时间间隔发送一次主动保护列表上的免费ARP报文 |
|
时间间隔 |
发送主动保护列表上的ARP的时间间隔,缺省配置为1秒 |
点选图1-23防ARP欺骗设置页面中的保护列表下的<新建>按钮后,将弹出如下页面。
表1-9 主动保护详细信息描述表
|
配置项 |
说明 |
|
接口 |
ARP报文发送接口 |
|
接口保护 |
在保护列表中加入接口地址 |
|
IP地址&MAC地址 |
广播ARP报文的IP和MAC |
将接口ge1加入防ARP欺骗的主动保护列表中。保护的IP和MAC分别为:2.2.2.2和00:de:ad:00:00:0c。
(1) 先选中图1-24防ARP欺骗设置中的ARP防欺骗攻击<启用>按钮,可以看到主动保护列表下的<新建>按钮可选了,点击后会弹出主动保护列表的配置页面。
(2) 选择接口为ge1,输入要保护的IP和MAC地址,点击“添加到列表”。
(3) 如图1-25所示,点击<提交>按钮后,可以在防ARP欺骗页面看到我们加入的ge1接口。
图1-25 防ARP欺骗页面
通过配置黑名单功能可以对来自指定IP地址的报文进行过滤,黑名单表项除了可以手工添加之外,还可以通过扫描攻击自动添加。
通过菜单“安全防护 > 黑名单”进入黑名单显示界面,如图1-26所示,点击<新建>按钮,将弹出添加黑名单界面,如图1-27所示。
表1-10 配置说明
|
配置项 |
说明 |
|
源IP |
加入黑名单的IP地址 |
|
生命周期 |
对应IP地址加入黑名单的时长 |
黑名单可以配合某些防攻击模块一起使用,来达到更好的防护效果,比方说如果IP地址扫描攻击防护配置了加入黑名单,则当发生IP地址扫描攻击的时候,会自动生成一个源IP地址是攻击源地址的黑名单记录。
通过菜单“安全防护 > 黑名单>黑名单记录”来查看所有自动添加的黑名单,如图1-28所示
将IP地址3.3.3.3加入黑名单,并设置周期为10分钟。
(1) 如图1-29所示,通过菜单“安全防护>黑名单”打开显示页面,点击<新建>按钮,在弹出的页面中进行配置,配置完成后点击<提交>按钮。
(2) 点击<提交>按钮后,完成黑名单的添加。
如图1-30所示,可以在显示页面看到刚刚添加的黑名单。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
