06-安全防护配置指导
本章节下载: 06-安全防护配置指导 (349.20 KB)
目录
安全防护是一个重要的网络安全特性,它通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行一定的防范措施,例如输出告警日志、丢弃报文或加入黑名单。安全防护能够检测异常包攻击、扫描攻击、泛洪攻击、ARP攻击等多种类型的网络攻击,并能对各类型攻击采取合理的防范措施。
异常报文攻击是指,攻击者通过向目标系统发送有缺陷的IP报文,如分片重叠的IP报文、TCP标志位非法的报文,使得目标系统在处理这样的IP报文时出错、崩溃,给目标系统带来损失,或者通过发送大量无用报文占用网络带宽等行为来造成攻击。设备可以对表1-1中所列的各异常报文攻击行为进行有效防护。
攻击类型 |
说明 |
LAND |
and-base攻击通过向目的主机发送目的地址和源地址相同的报文,使目的主机消耗大量的系统资源,从而造成系统崩溃或死机 |
Smurf |
攻击者向目标网络发送ICMP应答请求,该请求包的目的地址设置为目标网络的广播地址,这样该网络中的所有主机都会对此ICMP应答请求作出答复,导致网络阻塞,从而达到令目标网络中主机拒绝服务的攻击目的 |
TCP Flag |
不同操作系统对于非常规的TCP标志位有不同的处理。攻击者通过发送带有非常规TCP标志TCP Flag 的报文探测目标主机的操作系统类型,若操作系统对这类报文处理不当,攻击者便可达到使目标主机系统崩溃的目的 |
WinNuke |
通过向目的主机的139、138、137、113、53端口发送TCP紧急标识位URG为1的带外数据报文,使系统处理异常而崩溃 |
jolt2 |
jolt2攻击通过向目的主机发送报文偏移加上报文长度超过65535的报文,使目的主机处理异常而崩溃 |
Tear-drop |
通过向目的主机发送报文偏移重叠的分片报文,使目的主机发生处理异常而崩溃 |
ping-of-death |
通过向目的主机发送长度超过65535的icmp报文,使目的主机发生处理异常而崩溃 |
Ip-spoof |
当攻击者试图通过假冒有效的客户端IP 地址来绕过防火墙保护时,就发生了欺骗攻击。如果启用了IP 欺骗防御机制,设备会用自己的路由表对IP 地址进行分析,来抵御这种攻击。如果IP 地址不在路由表中,则不允许来自该源的信息流通过设备进行通信 |
Ip-option |
松散源路由、严格源路由:攻击者用其来隐藏数据包的真实来源;记录路由:用于搜集目的机的信息 |
异常报文攻击防护的配置如表1-2所示。
表1-2 配置异常报文攻击防护
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置异常报文攻击防护 |
ip defend attack { winnuke | tear-drop | land-base | tcp-flag | smurf | ping-of-death | ip-option | ip_spoof | jolt2} |
必选 |
扫描攻击是指,攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定位潜在目标的位置,探测目标系统的网络拓扑结构和启用的服务类型,为进一步侵入目标系统做准备。设备可以有效防范以上攻击,从而阻止外部的恶意攻击,保护设备和内网。当检测到此类扫描探测时,向用户进行报警提示。
扫描攻击分为IP地址扫描和端口扫描,扫描攻击一般应用在设备连接外部网络的接口上,且仅对配置扫描攻击的接口的入方向报文有效。当设备检测到此类攻击时,则会根据配置输出告警日志并丢弃当前报文,还可以根据配置将检测到的攻击者的源IP地址加入黑名单,从而丢弃该攻击源发过来的后续报文。具体配置如表1-3所示。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置扫描攻击防护 |
ip defend attack {ip-sweep | port-scan } interface interface-name threshold threshold |
必选 |
攻击者在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息,而无法为合法用户提供正常服务,即发生拒绝服务。
设备支持对以下三种泛洪攻击进行有效防范:
· SYN Flood攻击
由于资源的限制,TCP/IP协议栈只能允许有限个TCP连接。SYN Flood攻击者向服务器发送伪造源地址的SYN报文,服务器在回应SYN ACK报文后,由于目的地址是伪造的,因此服务器不会收到相应的ACK报文,从而在服务器上产生一个半连接。若攻击者发送大量这样的报文,被攻击服务器上会出现大量的半连接,耗尽其系统资源,使正常的用户无法访问,直到半连接超时。
· ICMP Flood攻击
ICMP Flood攻击是指,攻击者在短时间内向特定目标发送大量的ICMP请求报文,使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务。
· UDP Flood攻击
UDP Flood攻击是指,攻击者在短时间内向特定目标发送大量的UDP报文,致使目标系统负担过重而不能处理正常的业务。
· DNSFlood攻击
UDP Flood攻击是指,攻击采用的方法是向被攻击的DNS 服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络上根本不存在的域名。被攻击的DNS 服务器在接收到域名解析请求时,首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析时,DNS 服务器会向其上层DNS 服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS 服务器解析域名超时。
泛洪攻击防范主要用于保护服务器,通过监测向服务器发起连接请求的速率来检测各类泛洪攻击。为保护指定IP地址,Flood攻击防范支持基于IP地址的攻击防范配置。对于没有专门配置攻击防护的IP地址的情况,则采用接口上的全局配置参数设置来进行保护。
目的IP防御,需要指定受保护IP,具体配置如表1-4。
表1-4 配置Flood攻击之目的IP防御
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置基于目的IP的Flood攻击防护 |
ip defend attack {synflood | udpflood | icmpflood | dnsflood } startip start-ip endip end-ip threshold threshold |
必选 |
接口防御,分为对源主机进行限制和对目的主机进行防御两种情况,具体配置如表1-5。
表1-5 配置Flood攻击之接口防御
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置基于接口的Flood攻击防护 |
ip defend attack {synflood | udpflood | icmpflood | dnsflood } interface interface-name threshold threshold |
必选 |
黑名单功能是根据报文的源IP地址进行报文过滤的一种攻击防范特性,其进行报文匹配的方式比较简单,可以实现报文的高速过滤,从而有效地将特定IP地址发送来的报文屏蔽掉。
黑名单可以由设备动态地进行添加或删除,这种动态添加是与扫描攻击防范功能或者应用层过滤功能配合实现的,动态生成的黑名单表项会在一定的时间之后老化。除动态方式之外,设备还支持手动方式添加或删除黑名单。手动配置的黑名单表项分为永久黑名单表项和非永久黑名单表项。永久黑名单表项建立后,一直存在,除非用户手工删除该表项。非永久黑名单表项的老化时间由用户指定,超出老化时间后,黑名单失效,黑名单表项对应的IP地址发送的报文即可正常通过。
1、 黑名单的匹配优先级低于白名单
2、 支持IPv4和IPv6地址
通过配置黑名单功能可以对来自指定IP地址的报文进行过滤。
表1-6 配置黑名单
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
新建黑名单 |
blist add { A.B.C.D | X:X::X:X } age { forever | <1-2592000> } { enable | disable } |
|
删除黑名单 |
blist delete { A.B.C.D | X:X::X:X | all } |
必选 |
按下表所示步骤查看黑名单条目及具体信息:
表1-7 查看黑名单条目
操作 |
命令 |
说明 |
进入配置视图 |
config |
- |
查看黑名单条目 |
display blist |
必选 |
Address Resolution Protocol (ARP)是寻找IP地址所对应的MAC地址的一种协议。
为什么需要寻找IP地址对应的MAC地址呢?我们知道,在以太网中,对于处于同一子网的两个通信实体来说,他们的一次IP通信过程大致如下:
当源端发送一个IP包之前,它必须知道目的端的以太网地址才可以完成封装,可是此时源端只能知道目的端的IP地址(通过用户的事先配置或者查路由表),这样就必须依靠ARP协议来完成目的端以太网地址的解析。因此源端发送一个包含目的IP地址的ARP请求,目的端收到后向源端返回ARP应答,通告自己的MAC地址,源端获得目的端MAC地址后才可以将IP包封装在以太网头中发送出去。由于网络中可能存在一些攻击软件仿冒某台主机上网,逃过跟踪。为了避免这种情况,设备实现了IP-MAC绑定功能,把用户的MAC和IP绑定起来。配置了IP-MAC绑定后,通过设备的报文的MAC和IP必须严格一致,否则报文将被丢弃。
通过以下命令来配置IPMAC绑定项。
表1-8 配置IPMAC绑定
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置IPMAC绑定 |
ipmac nameip-address mac-address { unique-ip | multi-ip } |
必选 |
在局域网中,通信前必须通过ARP协议将IP地址转换为MAC地址。ARP协议对网络安全具有重要的意义,但是当初ARP方式的设计没有考虑到过多的安全问题,留下很多隐患,使得ARP攻击成为当前网络环境中遇到的一个非常典型的安全威胁。
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存,造成网络中断或中间人攻击。
受到ARP攻击后会出现无法正常上网、ARP包爆增、不正常或错误的MAC地址、一个MAC地址对应多个IP、IP冲突等情况。ARP攻击因为技术门槛低,易于实现,在现今的网络中频频出现,有效防范ARP攻击已成为确保网络畅通的必要条件。
设备的防ARP攻击功能能有效识别ARP欺骗攻击和ARP Flood攻击,并配合IP-MAC绑定、主动保护发包及关闭ARP学习等功能有效防范ARP攻击造成的损害。
启用ARP攻击防御功能,该开关是关闭arp学习和arp主动保护发包的前提。具体配置如表1-9。
表1-9 配置ARP攻击防御开关
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
ARP攻击防御开关设置 |
anti-arp spoof {enable | disable } |
可选 缺省情况下,关闭ARP攻击防御功能 |
关闭ARP学习功能后,IP-MAC对应关系不在IP-MAC绑定表内的报文将不能通过设备。具体配置如表1-10所示。
表1-10 配置关闭ARP学习
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置关闭ARP学习 |
anti-arp learning-arp disable |
可选 缺省情况下,ARP学习是使能的 |
· 关闭ARP学习一定要在开启了ARP攻击防御功能以后才有作用。
· 此功能可能影响网络使用,请慎重使用。
· 强烈建议在使用前绑定所有可能使用的IP-MAC。
启用主动保护发包功能,每隔规定的时间间隔就对主动保护列表上的接口和IP发免费ARP 报文。
表1-11 配置ARP主动保护发包
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
启用ARP主动保护发包 |
anti-arp broadcast enable |
必选 |
配置添加保护列表 |
anti-arp broadcast interface namelist ip-address mac-address |
可选 缺省情况下,保护列表为空 |
配置添加保护接口 |
anti-arp broadcast interfacename |
可选 |
配置ARP主动保护发包间隔时间 |
anti-arp broadcast interval interval |
可选 缺省情况下,发包间隔是1s |
由于ARP协议的缺陷,通常的网络设备对ARP的请求都会做检测处理,来决定丢弃或响应,这样就给攻击者一个漏洞,只要在网内制造大量的ARP请求包来请求网关地址,网关接受到ARP请求后会做出响应,由于请求量非常大,极大的耗费了网关的CPU,导致网关工作故障,且网内物理线路上被大量的ARP垃圾报文占用,导致网络拥塞,甚至瘫痪,这是典型的ARP Flood攻击。设备通过防ARP Flood攻击功能,能对这种攻击进行有效的防护,具体的配置如表1-12所示。
表1-12 配置防ARP Flood攻击功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启防ARP Flood功能 |
anti-arpflood enable |
必选 |
设置ARP Flood攻击主机阻断时间 |
anti-arp flood block-time time |
可选 缺省情况下,默认值是60s |
设置ARP Flood攻击门阈值 |
anti-arp flood threshold thresold |
可选 缺省情况下,攻击门阈值是300s |
邻居发现协议ND(Neighbor Discovery Protocol)是IPv6协议体系中一个重要的基础协议,由RFC2461定义。
邻居发现协议替代了IPv4的ARP(Address Resolution Protocol)、ICMP路由器发现以及ICMP重定向功能,它定义了使用ICMPv6报文实现地址解析,跟踪邻居状态,重复地址检测,路由器发现以及重定向等功能。
邻居发现所有的功能都是通过以下5种ICMPv6报文实现的:
(1) 路由器请求(Router Solicitation) ICMPv6 type133 RS
发送方:设备,响应方:路由器。
(2) 路由器公告(Router Advertisement) ICMPv6 type134 RA
发送方:路由器。
(3) 邻居请求(Neighbor Solicitation) ICMPv6 type135 NS
(4) 邻居公告(Neighbor Advertisement) ICMPv6 type136 NA
(5) 重定向(Redirect) ICMPv6 type137
ND 协议是 IPv6 协议中的一个关键协议,但是,由于 ND 协议并未提供认证机制,导致网络中的节点不可信,也使攻击者有机可乘,可针对 ND 协议发起一系列攻击。主要攻击类型有以下几类:
· 地址欺骗攻击:
攻击者利用RS/NS/NA/RA报文来修改受害主机的MAC地址,或者利用 RS/NS/NA/RA报文来修改网关的MAC地址,致使受害主机与网络无法正常通信。
· DAD 攻击:
当受害主机进行DAD查询时,攻击者通过NS或NA报文进行干扰,致使受害主机的DAD过程失败,无法获取到IP地址。
· 路由通告欺骗:
攻击者通过伪造RA报文,造成受害主机网络配置错误,从而引发欺骗攻击。
· 泛洪攻击:
攻击者通过发送大量的NS/RS/NA/RA报文,造成网关的ND表项溢出。
· 重定向欺骗攻击:
攻击者以网关的链路层地址作为源地址发送重定向报文给受害主机,受害主机接受该错误重定向消息,导致受害主机路由表修改。
因此为保证用户IPv6网络环境的安全,实现ND防护非常重要。
图1-1 配置ND主动防护功能
操作 |
命令 |
说明 |
配置添加一条IP-MAC绑定表项 |
ipmac NAME (A.B.C.D | X:X::X:X ) HH:HH:HH:HH:HH:HH (unique-ip|multi-ip) |
NAME:IP-MAC绑定表项名称 X:X::X:X/M :IPv6地址前缀 A.B.C.D 待绑定的IPv4地址 X:X::X:X 待绑定的IPv6地址 HH:HH:HH:HH:HH:HH 待绑定的MAC地址 unique-ip 绑定类型,单个MAC地址只对应一个IP multi-ip 绑定类型,单个MAC地址只对应多个个IP |
配置删除IP-MAC绑定表项 |
no ipmac ( A.B.C.D | X:X::X:X ) |
A.B.C.D 待删除的IP地址为IPv4地址的IP-MAC表项 X:X::X:X 待删除的IP地址为IPv6地址的IP-MAC表项 |
配置IP-MAC绑定表项描述信息 |
ipmac NAME description DESCRIPTION |
NAME:ipmac绑定表项名称 DESCRIPTION:ipmac绑定表项描述信息 |
配置开启关闭ND Flood防护 |
anti-nd flood (enable|disable) |
anti-nd:防ND攻击 flood :ND flood攻击 Enable:使能 disable:关闭 |
配置ND Flood防护攻击阈值 |
anti-nd flood threshold <10-10000> |
anti-nd:防ND攻击 flood :ND flood攻击 threshold:阈值 <10-10000>:阈值范围10到10000 |
配置ND Flood防护抑制时长 |
anti-nd flood block-time <10-65535> |
anti-nd:防ND攻击 flood :ND flood攻击 block-time:阻断时长 <10-65535>:抑制时长范围10-65535(秒) |
配置开启关闭ND防欺骗防护 |
anti-nd spoof ( enable | disable ) |
anti-nd:防ND攻击 Spoof:ND欺骗攻击 Enable:使能 disable:关闭 |
配置开启关闭ND自动学习 |
anti-nd learning-nd ( enable | disable ) |
anti-nd:防ND攻击 learning-nd:ND自动学习 Enable:使能 disable:关闭 |
配置NS报文反查 |
anti-nd spoof reverse-query |
anti-nd:防ND攻击 Spoof:ND欺骗攻击 reverse-query:反向查询 |
配置单个MAC地址对应的IP地址数 |
anti-nd spoof ip-number-per-mac NUMBER |
anti-nd:防ND攻击 Spoof:ND欺骗攻击 ip-number-permac:每个MAC地址的ip个数 NUMBER: 每个MAC地址的ip个数,值为0(参数的默认值),则不检查;如果非0,则进行检查 |
显示每个mac地址的IPv6地址个数 |
display ipv6 neighbour statistics-permac |
- |
配置开启关闭ND主动保护 |
anti-nd broadcast (enable | disable ) |
anti-nd:防ND攻击 broadcast:广播 Enable:使能 disable:关闭 |
配置ND主动保护时间间隔 |
anti-nd broadcast interval <1-10> |
anti-nd:防ND攻击 broadcast:广播 Interval:时间间隔 <1-10>:时间间隔(秒) |
配置ND主动保护时间间隔 |
anti-nd broadcast interface NAME |
anti-nd:防ND攻击 broadcast:广播 Interface:接口 NAME:接口名称 |
配置ND主动保护时间间隔 |
anti-nd broadcast interface NAME list X:X::X:X HH:HH:HH:HH:HH:HH |
anti-nd:防ND攻击 broadcast:广播 Interface:接口 NAME:接口名称 list:IP-MAC列表 X:X::X:X:需要广播的IPv6地址 HH:HH:HH:HH:HH:HH:IPv6地址对应的MAC地址 |
配置接口ND学习控制 |
nd check enable |
|
DNS隧道,是隐蔽信道的一种,通过将其它协议封装在DNS协议中传输建立通信。因为在我们的网络世界中DNS是一个必不可少的服务,所以大部分安全设备很少会过滤DNS流量,这就给DNS作为一种隐蔽信道提供了条件,从而可以利用它实现诸如远程控制,文件传输等操作,现在越来越多的研究证明DNS 隧道也经常在僵尸网络和APT攻击中扮演者重要的角色,因此DNS隐蔽隧道检测势在必行。
通过以下配置来进行DNS隧道检测的配置。
表1-13 配置DNS隧道检测
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入行为模型配置视图 |
behavior-model |
必选 |
配置DNS隧道检测 |
dns-tunnel enable dns-tunnel disable dns-tunnel action { permit | deny } dns-tunnel action deny blacklist <1-720> no dns-tunnel action deny blacklist dns-tunnel detect-type { all | traffic-model | invalid-packet } dns-tunnel detect-level { low |mid | high } dns-tunnel whitelist dns-server enable dns-tunnel whitelist dns-server disable dns-tunnel whitelist A.B.C.D no dns-tunnel whitelist A.B.C.D |
必选 |
暴力破解是攻击者通过穷举的方法登录相应服务从而获得可以登录的用户名密码。本功能可以检测出流量中的暴力破解行为并进行阻断。用户可以配置是否开启暴力破解防御,服务类型,支持的服务类型包括ftp、telnet、smtp、http、imap、mssql、mysql、oracle、pop3、postgres,各个服务单独配置暴力破解检测时长和阈值,配置是否把攻击者加入黑名单。
通过以下配置来进行防暴力破解的配置。
表1-14 配置防暴力破解
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置防暴力破解 |
brute-force enable brute-force disable brute-force service { telnet |ftp | imap | pop3 | smtp | rlogin | http | oracle | mysql | postgres | mssql | |samba | all } enable brute-force service { telnet | ftp | imap | pop3 | smtp | rlogin | http | oracle | mysql | postgres | mssql | samba | all } disable brute-force service samba { telnet | ftp | imap | pop3 | smtp | rlogin | http | oracle | mysql | postgres | mssql | samba | all } <5-300> <3-1000> brute-force web enable brute-force web disable brute-force url URL brute-force blist-attacker { time | enable | disable | forever } |
必选 |
对于密码明文传输的服务,从登录报文中提取出密码并判断出密码强度,若为弱密码则产生日志但不阻断登录。支持的服务包括ftp、imap、pop3、smtp、telnet、http。用户可以配置开启或者关闭弱密码检测功能,目标服务,弱密码密码强度。支持的弱密码选项包括:空口令(密码长度为0)、用户名和密码相同、长度小于等于8字典序、长度小于等于8纯数字、长度小于等于8纯字母、长度小于6仅数字字母、自定义弱密码等。
弱密码检测支持http服务检测,当收到http登录请求报文,设备会根据http弱密码的设置,去匹配url,当命中url后,会根据设置的方法,在url或者请求体中查找用户名、密码、分隔符关键字,以获取http登录请求的用户名和密码,来做http的弱密码检查。
通过以下配置来进行防暴弱密码防护的配置。
表1-15 配置防暴力破解
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置弱密码防护 |
weak-passwd-detect { enable | disable } weak-passwd-detect { telnet |ftp | imap | pop3 | smtp | http | all } weak-passwd-detect web { enable | disable } no weak-passwd-detect { telnet |ftp | imap | pop3 | smtp | http | all } weak-passwd-detect style { null-pwd | login-as-pwd | le8-alp | le8-num | le8-let | le6-num-let | user-define | all } no weak-passwd-detect style { null-pwd | login-as-pwd | le8-alp | le8-num | le8-let | le6-num-let | user-define | all } weak-passwd-detect user-def ITEM no weak-passwd-detect user-def ITEM weak-passwd-detect clear-user-def |
必选 |
配置http服务参数设置 |
weak-passwd-detect http url URL method { GET | POST } user-key KEY passwd-key KEY delimiter KEY |
GET :http get请求 POST : http post请求 url:http url设置 user-key :用户名关键字设置 passwd-key:密码关键字设置 delimiter:分隔符设置 |
非法外联防护是指用户可以根据自己的防护需求,自行定义防护策略,用于控制内部网络服务器或者终端允许外联的地址,以及外联地址对应的服务和端口。一旦检测到和配置的内部网络设备交互的地址是不允许外联的地址,或者是允许的外联地址,但是协议端口号对不上,则会根据用户配置,执行相应的动作。非法外联防护策略可以手动添加,也支持快速新建的自学习功能,配置非法外联学习后,设备将对特定内部网络地址主动发起的外联数据进行获取,并从获取到的主动外联数据中学习外联地址对应端口及服务信息。设备通过自学习功能判定所有网络行为,用户可通过学习结果,来判断哪些外联行为是正常的。
通过以下配置来进行非法外联的配置。
表1-16 配置防暴力破解
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置限制日志频率 |
server-out-connect log { limited | unlimited } |
可选 |
调整非法外联自学习规格 |
server-out-connect study num { 500 | 1000 } |
可选 |
配置弱密码防护 |
server-out-connect policy NAME server-address NAME action { permit | deny } log { enable | disable } enable disable out-address A.B.C.D icmp { enable | disable } { no-port | TCP-PORTS } { no-port | UDP-PORTS }
|
必选 |
在完成上述配置后,在任意视图下执行如下display命令,可以显示设备上安全防护的配置情况,通过查看显示信息验证配置的效果。
表1-17 安全防护配置显示
操作 |
命令 |
异常报文、Flood攻击防护、扫描攻击防护配置显示 |
display running-config defend |
异常报文、Flood攻击防护、扫描攻击防护丢包信息显示 |
displayip defend drop info |
黑名单配置显示 |
display running-config blist |
黑名单列表显示 |
display blist |
防ARP攻击配置显示 |
display running-config arp |
IPMAC绑定配置显示 |
display running-config ipmac |
行为模型配置显示 |
display running-config behavior-model |
防暴力破解配置显示 |
display running-config brute-force-defend |
弱密码防护配置显示 |
display running-config weak-password-detect |
非法外联配置显示 |
display running-config servconn |
设备作为网关,内网用户通过设备访问外网资源,为保护内网和设备安全,需开启dns隧道检测,防暴力破解,弱密码防护及非法外联防护。
图1-2 组网图
· 内网PC通过ge1口进入设备,从ge0口接入外网。
(1) 在设备上配置启用land攻击。
(2) 在设备的ge1口启用端口扫描攻击,并设置添加黑名单,阻断时长为10s。
(3) 在设备上开启防ARP攻击防御功能,在ge1口上配置ARP主动保护列表。
(4) 开启DNS隧道检测功能。
(5) 针对telnet、http和samba服务开启防暴力破解。
(6) 针对Telnet服务开启弱密码防护。
(7) 针对服务器10.1.1.0开启非法外联防护。
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置启用LAND攻击。
host>
host>en
host#system-view
host(config)# ip defend attack land-base
host(config)#exit
# 配置在设备的ge1口启用端口扫描攻击,并设置添加黑名单,阻断时长为10s。
host(config)#ip defend port-scan interface ge1 threshold 10 block-time 10
# 配置开启防ARP攻击防御功能,在ge1口上配置ARP主动保护列表。
host(config)# anti-arp spoof enable
host(config)# anti-arp broadcast interface ge1 list 192.168.0.2 00:01:ac:0b:0c:12
host(config)# anti-arp broadcast interface ge1 list 192.168.0.3 00:0c:ac:0b:0c:11
host(config)#exit
# 配置开启dns隧道检测功能。
host(config)# behavior-model
host(config-behavior-model)# dns-tunnel enable
host(config-behavior-model)# dns-tunnel log enable
host(config-behavior-model)# exit
host(config)#exit
# 配置开启防暴力破解功能。
host(config)# brute-force enable
host(config)# brute-force service telnet enable
host(config)# brute-force service http enable
host(config)# brute-force service samba enable
host(config)# brute-force service samba 5 10
host(config)# brute-force blist-attacker enable
host(config)# brute-force blist-attacker enable
host(config)# brute-force blist-attacker 600
host(config)#exit
# 配置弱密码防护功能。
host(config)# weak-passwd-detect enable
host(config)# weak-passwd-detect telnet
host(config)# weak-passwd-detect http
host(config)# weak-passwd-detect http url http://192.168.1.126 method GET user-key user= passwd-key passwd= delimiter &
host(config)# weak-passwd-detect user-def 123456
host(config)# weak-passwd-detect style null-pwd
host(config)# weak-passwd-detect style login-as-pwd
host(config)#exit
# 配置非法外联防护功能。
host(config)# server-out-connect study num 500
host(config)# server-out-connect policy 1 server-address 10.1.1.0
host (config-servconn-policy)# action deny
host (config-servconn-policy)#exit
host(config)#exit
(1) 通过执行display running-configdefend命令来验证land攻击和端口扫描攻击配置。
host# display running-config defend
ip defend attack land-base
!
ip defend port-scan interface ge1 threshold 10 block-time 10
!
(2) 通过执行display running-configarp命令来验证防ARP攻击配置。
host# display running-config
anti-arp spoof enable
anti-arp broadcast interface ge1 list 192.168.0.2 00:01:ac:0b:0c:12
anti-arp broadcast interface ge1 list 192.168.0.3 00:0c:ac:0b:0c:11
(3) 如果设备收到land攻击报文,设备输出告警日志,且丢掉攻击报文;如果接口ge1上收到扫描攻击报文,设备输出告警日志,并将攻击者的IP加入黑名单;IP地址为192.168.0.2、192.168.0.3和192.168.0.4的PC上会定时收到IP地址为:192.168.0.2,MAC地址为:00:01:ac:0b:0c:12和IP地址为:192.168.0.3,MAC地址为:00:0c:ac:0b:0c:11的免费ARP请求报文。
(4) 通过执行display running-config behavior-model命令来验证行为模型配置配置。
host#display running-config behavior-model
behavior-model
dns-tunnel enable
dns-tunnel log enable
(5) 通过执行display running-config brute-force-defend命令来验证防暴力破解配置。
host#display running-config brute-force-defend
brute-force enable
brute-force service telnet enable
brute-force service http enable
brute-force service samba enable
brute-force service samba 5 10
brute-force blist-attacker enable
brute-force blist-attacker 600
(6) 通过执行display running-config weak-password-detect命令来验证弱密码防护配置。
host# display running-config weak-password-detect
weak-passwd-detect enable
weak-passwd-detect telnet
weak-passwd-detect http
weak-passwd-detect http url http://192.168.1.126 method GET user-key user= passwd-key passwd= delimiter &
weak-passwd-detect style null-pwd
weak-passwd-detect style login-as-pwd
weak-passwd-detect user-def 123456
如果HOSTA登录http://192.168.1.26/user=zrh&passwd=123456,针对这个登录请求,会进行阻断,并产生相应的弱密码防护日志。
(7) 分隔符关键字配置为:&,通过执行display running-config servconn命令来验证非法外联防护配置。
host# display running-config servconn
server-out-connect study num 500
server-out-connect policy 1 server-address 10.1.1.0
action deny
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!