14-攻击防范典型配置举例
本章节下载: 14-攻击防范典型配置举例 (301.49 KB)
攻击防范典型配置举例
· 简介
· 配置前提
本章介绍攻击防范功能的典型配置举例。
攻击防范功能主要有如下几种实现方式:
扫描攻击防范主要通过监测网络使用者向目标系统发起连接的速率来检测其探测行为,一般应用在设备连接外部网络的安全域上,且仅对应用了攻击防范策略的安全域上的入方向报文有效。
泛洪攻击防范主要用于保护服务器,通过监测向服务器发起连接请求的速率来检测各类泛洪攻击,一般应用在设备连接外部网络的安全域上,且仅对应用了攻击防范策略的安全域上的入方向报文有效。
为保护指定IP地址,攻击防范策略中支持基于IP地址的攻击防范配置。对于所有非受保护IP地址,可以统一开启攻击防范检测,并采用全局的参数设置来进行保护。
单包攻击防范主要通过分析经过设备的报文特征来判断报文是否具有攻击性,一般应用在设备连接外部网络的安全域上,且仅对应用了攻击防范策略的安全域上的入方向报文有效。
自定义单包攻击防范主要指用户自己根据报文特征定义单包攻击的报文类型。
攻击防范例外列表用于过滤不需要进行攻击防范检测的主机报文,与指定的ACL permit规则匹配的报文将不会受到任何类型的攻击防范检测。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解攻击防范特性。
如图-1所示,某公司网络边界设备上的接口GigabitEthernet1/0/3与内部网络连接,接口GigabitEthernet1/0/0与外部网络连接。现有如下安全需求:
为防止外部网络对内部网络主机的扫描攻击,需要在接口GigabitEthernet1/0/0所在的Untrust安全域上开启扫描攻击防范。具体要求为:中防范级别的扫描攻击防范;输出告警日志并丢弃攻击报文。
本举例是在M9006的R9153版本上进行配置和验证的。
1. 配置接口的IP地址并将接口加入安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/0右侧的<编辑>按钮,配置如下。
· 安全域:Untrust
· 选择“IPv4地址”页签,配置IP地址/掩码:20.1.1.1/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE1/0/3,配置如下。
· 安全域:Trust
· 选择“IPv4地址”页签,配置IP地址/掩码:30.1.1.1/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
2. 配置安全策略
# 选择“策略 > 安全策略 > 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
配置如下。
· 策略名称:Untrust-Trust
· 源安全域:Untrust
· 目的安全域:Trust
· 其他配置项使用缺省值
3. 扫描防范配置
# 选择“策略 > 安全防护 > 攻击防范”,进入攻击防范配置页面。
# 单击<新建>按钮,参数配置如下图所示。
# 单击<确定>按钮,完成策略配置,如下图所示。
图-3 攻击防范策略列表
1. 在IP地址为20.1.1.2的主机上模拟攻击者向目的地址30.1.1.2发起大量变目的端口(0-65535)的SYN报文
2. 在设备上,选择“监控 > 安全日志 > 扫描攻击日志”,查看攻击防范日志信息
图-4 扫描攻击日志列表
3. 双击选中的日志,查看详细信息
图-5 扫描攻击日志详细信息
4. 该报文在设备上直接被丢弃,没有转发,在“监控 > 会话列表”中没有对应会话信息
如图-6所示,某公司网络边界设备上的接口GigabitEthernet1/0/3与内部网络连接,接口GigabitEthernet1/0/0与外部网络连接。现有如下安全需求:
为防止外部网络对内部网络主机的SYN Flood攻击,需要在接口GigabitEthernet1/0/0所在的Untrust安全域上开启SYN Flood攻击防范。具体要求为:当设备监测到向内部服务器每秒发送的SYN报文数持续达到或超过10000时,输出告警日志并丢弃攻击报文。
本举例是在M9006的R9153版本上进行配置和验证的。
1. 配置接口的IP地址并将接口加入安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/0右侧的<编辑>按钮,配置如下。
· 安全域:Untrust
· 选择“IPv4地址”页签,配置IP地址/掩码:20.1.1.1/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE1/0/3,配置如下。
· 安全域:Trust
· 选择“IPv4地址”页签,配置IP地址/掩码:30.1.1.1/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
2. 配置安全策略
# 选择“策略 > 安全策略 > 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
配置如下。
· 策略名称:Untrust-Trust
· 源安全域:Untrust
· 目的安全域:Trust
· 其他配置项使用缺省值
3. 泛洪攻击防范公共配置
# 选择“策略 > 安全防护 > 攻击防范”,进入攻击防范配置页面。
# 单击<新建>按钮,参数配置如下图所示。
图-7 新建攻击防范策略
# 单击<编辑>按纽,完成配置,如下图所示。
图-8 编辑泛洪防范公共配置
# 单击<确定>按钮,完成策略配置,如下图所示。
图-9 攻击防范策略列表
1. 在IP地址为20.1.1.2的主机上模拟攻击者向目的地址30.1.1.2发起大量变源端口(0-65535)的SYN报文
2. 在设备上,选择“监控 > 安全日志 > 泛洪攻击日志”,查看攻击防范日志信息
图-10 泛洪攻击日志列表
3. 双击选中的日志,查看详细信息
图-11 泛洪攻击日志详细信息
# 报文被丢弃,并产生日志信息
4. 该报文在设备上直接被丢弃,没有转发,在“监控 > 设备日志 > 流量日志”中没有对应会话信息
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!