- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
07-安全防护配置指导
本章节下载: 07-安全防护配置指导 (283.67 KB)
目录
安全防护是一个重要的网络安全特性,它通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行一定的防范措施,例如输出告警日志、丢弃报文或加入黑名单。安全防护能够检测异常包攻击、扫描攻击、泛洪攻击、ARP攻击等多种类型的网络攻击,并能对各类型攻击采取合理的防范措施。
异常报文攻击是指,攻击者通过向目标系统发送有缺陷的IP报文,如分片重叠的IP报文、TCP标志位非法的报文,使得目标系统在处理这样的IP报文时出错、崩溃,给目标系统带来损失,或者通过发送大量无用报文占用网络带宽等行为来造成攻击。设备可以对表1-1中所列的各异常报文攻击行为进行有效防护。
|
攻击类型 |
说明 |
|
LAND |
and-base攻击通过向目的主机发送目的地址和源地址相同的报文,使目的主机消耗大量的系统资源,从而造成系统崩溃或死机 |
|
Smurf |
攻击者向目标网络发送ICMP应答请求,该请求包的目的地址设置为目标网络的广播地址,这样该网络中的所有主机都会对此ICMP应答请求作出答复,导致网络阻塞,从而达到令目标网络中主机拒绝服务的攻击目的 |
|
TCP Flag |
不同操作系统对于非常规的TCP标志位有不同的处理。攻击者通过发送带有非常规TCP标志TCP Flag 的报文探测目标主机的操作系统类型,若操作系统对这类报文处理不当,攻击者便可达到使目标主机系统崩溃的目的 |
|
WinNuke |
通过向目的主机的139、138、137、113、53端口发送TCP紧急标识位URG为1的带外数据报文,使系统处理异常而崩溃 |
|
jolt2 |
jolt2攻击通过向目的主机发送报文偏移加上报文长度超过65535的报文,使目的主机处理异常而崩溃 |
|
Tear-drop |
通过向目的主机发送报文偏移重叠的分片报文,使目的主机发生处理异常而崩溃 |
|
ping-of-death |
通过向目的主机发送长度超过65535的icmp报文,使目的主机发生处理异常而崩溃 |
|
Ip-spoof |
当攻击者试图通过假冒有效的客户端IP 地址来绕过防火墙保护时,就发生了欺骗攻击。如果启用了IP 欺骗防御机制,设备会用自己的路由表对IP 地址进行分析,来抵御这种攻击。如果IP 地址不在路由表中,则不允许来自该源的信息流通过设备进行通信 |
|
Ip-option |
松散源路由、严格源路由:攻击者用其来隐藏数据包的真实来源;记录路由:用于搜集目的机的信息 |
异常报文攻击防护的配置如表1-2所示。
表1-2 配置异常报文攻击防护
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置异常报文攻击防护 |
ip defend attack { winnuke | tear-drop | land-base | tcp-flag | smurf | ping-of-death | ip-option | ip_spoof | jolt2} |
必选 |
扫描攻击是指,攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定位潜在目标的位置,探测目标系统的网络拓扑结构和启用的服务类型,为进一步侵入目标系统做准备。设备可以有效防范以上攻击,从而阻止外部的恶意攻击,保护设备和内网。当检测到此类扫描探测时,向用户进行报警提示。
扫描攻击分为IP地址扫描和端口扫描,扫描攻击一般应用在设备连接外部网络的接口上,且仅对配置扫描攻击的接口的入方向报文有效。当设备检测到此类攻击时,则会根据配置输出告警日志并丢弃当前报文,还可以根据配置将检测到的攻击者的源IP地址加入黑名单,从而丢弃该攻击源发过来的后续报文。具体配置如表1-3所示。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置扫描攻击防护 |
ip defend attack {ip-sweep | port-scan } interface interface-name threshold threshold |
必选 |
攻击者在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息,而无法为合法用户提供正常服务,即发生拒绝服务。
设备支持对以下三种泛洪攻击进行有效防范:
· SYN Flood攻击
由于资源的限制,TCP/IP协议栈只能允许有限个TCP连接。SYN Flood攻击者向服务器发送伪造源地址的SYN报文,服务器在回应SYN ACK报文后,由于目的地址是伪造的,因此服务器不会收到相应的ACK报文,从而在服务器上产生一个半连接。若攻击者发送大量这样的报文,被攻击服务器上会出现大量的半连接,耗尽其系统资源,使正常的用户无法访问,直到半连接超时。
· ICMP Flood攻击
ICMP Flood攻击是指,攻击者在短时间内向特定目标发送大量的ICMP请求报文,使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务。
· UDP Flood攻击
UDP Flood攻击是指,攻击者在短时间内向特定目标发送大量的UDP报文,致使目标系统负担过重而不能处理正常的业务。
· DNSFlood攻击
UDP Flood攻击是指,攻击采用的方法是向被攻击的DNS 服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络上根本不存在的域名。被攻击的DNS 服务器在接收到域名解析请求时,首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析时,DNS 服务器会向其上层DNS 服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS 服务器解析域名超时。
泛洪攻击防范主要用于保护服务器,通过监测向服务器发起连接请求的速率来检测各类泛洪攻击。为保护指定IP地址,Flood攻击防范支持基于IP地址的攻击防范配置。对于没有专门配置攻击防护的IP地址的情况,则采用接口上的全局配置参数设置来进行保护。
目的IP防御,需要指定受保护IP,具体配置如表1-4。
表1-4 配置Flood攻击之目的IP防御
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置基于目的IP的Flood攻击防护 |
ip defend attack {synflood | udpflood | icmpflood | dnsflood } startip start-ip endip end-ip threshold threshold |
必选 |
接口防御,分为对源主机进行限制和对目的主机进行防御两种情况,具体配置如表1-5。
表1-5 配置Flood攻击之接口防御
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置基于接口的Flood攻击防护 |
ip defend attack {synflood | udpflood | icmpflood | dnsflood } interface interface-name threshold threshold |
必选 |
黑名单功能是根据报文的源IP地址进行报文过滤的一种攻击防范特性,其进行报文匹配的方式比较简单,可以实现报文的高速过滤,从而有效地将特定IP地址发送来的报文屏蔽掉。
黑名单可以由设备动态地进行添加或删除,这种动态添加是与扫描攻击防范功能或者应用层过滤功能配合实现的,动态生成的黑名单表项会在一定的时间之后老化。除动态方式之外,设备还支持手动方式添加或删除黑名单。手动配置的黑名单表项分为永久黑名单表项和非永久黑名单表项。永久黑名单表项建立后,一直存在,除非用户手工删除该表项。非永久黑名单表项的老化时间由用户指定,超出老化时间后,黑名单失效,黑名单表项对应的IP地址发送的报文即可正常通过。
通过配置黑名单功能可以对来自指定IP地址的报文进行过滤。
表1-6 配置黑名单
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置黑名单 |
blist add ip-address age {300|600|900|1800 |3600 |7200 | 14400|28800|86400 |forever } |
必选 |
Address Resolution Protocol (ARP)是寻找IP地址所对应的MAC地址的一种协议。
为什么需要寻找IP地址对应的MAC地址呢?我们知道,在以太网中,对于处于同一子网的两个通信实体来说,他们的一次IP通信过程大致如下:
当源端发送一个IP包之前,它必须知道目的端的以太网地址才可以完成封装,可是此时源端只能知道目的端的IP地址(通过用户的事先配置或者查路由表),这样就必须依靠ARP协议来完成目的端以太网地址的解析。因此源端发送一个包含目的IP地址的ARP请求,目的端收到后向源端返回ARP应答,通告自己的MAC地址,源端获得目的端MAC地址后才可以将IP包封装在以太网头中发送出去。由于网络中可能存在一些攻击软件仿冒某台主机上网,逃过跟踪。为了避免这种情况,设备实现了IP-MAC绑定功能,把用户的MAC和IP绑定起来。配置了IP-MAC绑定后,通过设备的报文的MAC和IP必须严格一致,否则报文将被丢弃。
通过以下命令来配置IPMAC绑定项。
表1-7 配置IPMAC绑定
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置IPMAC绑定 |
ipmac nameip-address mac-address { unique-ip | multi-ip } |
必选 |
在局域网中,通信前必须通过ARP协议将IP地址转换为MAC地址。ARP协议对网络安全具有重要的意义,但是当初ARP方式的设计没有考虑到过多的安全问题,留下很多隐患,使得ARP攻击成为当前网络环境中遇到的一个非常典型的安全威胁。
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存,造成网络中断或中间人攻击。
受到ARP攻击后会出现无法正常上网、ARP包爆增、不正常或错误的MAC地址、一个MAC地址对应多个IP、IP冲突等情况。ARP攻击因为技术门槛低,易于实现,在现今的网络中频频出现,有效防范ARP攻击已成为确保网络畅通的必要条件。
设备的防ARP攻击功能能有效识别ARP欺骗攻击和ARP Flood攻击,并配合IP-MAC绑定、主动保护发包及关闭ARP学习等功能有效防范ARP攻击造成的损害。
启用ARP攻击防御功能,该开关是关闭arp学习和arp主动保护发包的前提。具体配置如表1-8。
表1-8 配置ARP攻击防御开关
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
ARP攻击防御开关设置 |
anti-arp spoof {enable | disable } |
可选 缺省情况下,关闭ARP攻击防御功能 |
关闭ARP学习功能后,IP-MAC对应关系不在IP-MAC绑定表内的报文将不能通过设备。具体配置如表1-9所示。
表1-9 配置关闭ARP学习
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置关闭ARP学习 |
anti-arp learning-arp disable |
可选 缺省情况下,ARP学习是使能的 |
· 关闭ARP学习一定要在开启了ARP攻击防御功能以后才有作用。
· 此功能可能影响网络使用,请慎重使用。
· 强烈建议在使用前绑定所有可能使用的IP-MAC。
启用主动保护发包功能,每隔规定的时间间隔就对主动保护列表上的接口和IP发免费ARP 报文。
表1-10 配置ARP主动保护发包
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启用ARP主动保护发包 |
anti-arp broadcast enable |
必选 |
|
配置添加保护列表 |
anti-arp broadcast interface namelist ip-address mac-address |
可选 缺省情况下,保护列表为空 |
|
配置添加保护接口 |
anti-arp broadcast interfacename |
可选 |
|
配置ARP主动保护发包间隔时间 |
anti-arp broadcast interval interval |
可选 缺省情况下,发包间隔是1s |
由于ARP协议的缺陷,通常的网络设备对ARP的请求都会做检测处理,来决定丢弃或响应,这样就给攻击者一个漏洞,只要在网内制造大量的ARP请求包来请求网关地址,网关接受到ARP请求后会做出响应,由于请求量非常大,极大的耗费了网关的CPU,导致网关工作故障,且网内物理线路上被大量的ARP垃圾报文占用,导致网络拥塞,甚至瘫痪,这是典型的ARP Flood攻击。设备通过防ARP Flood攻击功能,能对这种攻击进行有效的防护,具体的配置如表1-11所示。
表1-11 配置防ARP Flood攻击功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启防ARP Flood功能 |
anti-arpflood enable |
必选 |
|
设置ARP Flood攻击主机阻断时间 |
anti-arp flood block-time time |
可选 缺省情况下,默认值是60s |
|
设置ARP Flood攻击门阈值 |
anti-arp flood threshold thresold |
可选 缺省情况下,攻击门阈值是300s |
在完成上述配置后,在任意视图下执行如下display命令,可以显示设备上安全防护的配置情况,通过查看显示信息验证配置的效果。
表1-12 安全防护配置显示
|
操作 |
命令 |
|
异常报文、Flood攻击防护、扫描攻击防护配置显示 |
display running-config defend |
|
异常报文、Flood攻击防护、扫描攻击防护丢包信息显示 |
displayip defend drop info |
|
黑名单配置显示 |
display running-config blist |
|
黑名单列表显示 |
display blist |
|
防ARP攻击配置显示 |
display running-config arp |
|
IPMAC绑定配置显示 |
display running-config ipmac |
设备作为网关,内网用户通过设备访问外网资源。
图1-1 组网图
· 内网PC通过ge1口进入设备,从ge0口接入外网。
(1) 在设备上配置启用land攻击。
(2) 在设备的ge1口启用端口扫描攻击,并设置添加黑名单,阻断时长为10s。
(3) 在设备上开启防ARP攻击防御功能,在ge1口上配置ARP主动保护列表。
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置启用LAND攻击。
host>
host>en
host#system-view
host(config)# ip defend attack land-base
host(config)#exit
# 配置在设备的ge1口启用端口扫描攻击,并设置添加黑名单,阻断时长为10s。
host(config)#ip defend port-scan interface ge1 threshold 10 block-time 10
# 配置开启防ARP攻击防御功能,在ge1口上配置ARP主动保护列表。
host(config)# anti-arp spoof enable
host(config)# anti-arp broadcast interface ge1 list 192.168.0.2 00:01:ac:0b:0c:12
host(config)# anti-arp broadcast interface ge1 list 192.168.0.3 00:0c:ac:0b:0c:11
host(config)#exit
(1) 通过执行display running-configdefend命令来验证land攻击和端口扫描攻击配置。
host# display running-config defend
ip defend attack land-base
!
ip defend port-scan interface ge1 threshold 10 block-time 10
!
(2) 通过执行display running-configarp命令来验证防ARP攻击配置。
host# display running-config
anti-arp spoof enable
anti-arp broadcast interface ge1 list 192.168.0.2 00:01:ac:0b:0c:12
anti-arp broadcast interface ge1 list 192.168.0.3 00:0c:ac:0b:0c:11
(3) 如果设备收到land攻击报文,设备输出告警日志,且丢掉攻击报文;如果接口ge1上收到扫描攻击报文,设备输出告警日志,并将攻击者的IP加入黑名单;IP地址为192.168.0.2、192.168.0.3和192.168.0.4的PC上会定时收到IP地址为:192.168.0.2,MAC地址为:00:01:ac:0b:0c:12和IP地址为:192.168.0.3,MAC地址为:00:0c:ac:0b:0c:11的免费ARP请求报文。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
