- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
07-黑名单
本章节下载: 07-黑名单 (225.63 KB)
本帮助主要介绍以下内容:
· 特性简介
· 配置指南
黑名单功能是根据报文的IP地址进行报文过滤的一种攻击防范特性。同基于ACL的包过滤功能相比,黑名单进行报文匹配的方式更为简单,可以实现报文的高速过滤和有效屏蔽。
黑名单可以由设备动态或由用户手工进行添加、删除,具体机制如下:
· 动态添加黑名单是与扫描攻击防范功能配合实现的,动态生成的黑名单表项会在一定的时间之后老化。当设备根据报文的行为特征检测到某特定IP地址的扫描攻击企图之后,便将攻击者的IP地址自动加入黑名单,之后该IP地址发送的报文会被设备过滤掉。
· 手动配置的黑名单表项分为永久黑名单表项和非永久黑名单表项。永久黑名单表项建立后,一直存在,除非用户手工删除该表项。非永久黑名单表项的老化时间由用户指定,超出老化时间后,设备会自动将该黑名单表项删除。
通过配置黑名单功能可以对来自指定IP地址和地址对象组的报文进行过滤。
黑名单表项除了可以手工添加之外,还可以通过扫描攻击防范自动添加。具体来讲就是,在黑名单功能使能的前提下,若配置了扫描攻击防范策略及相应的黑名单添加功能,则可以将检测到的扫描攻击方地址添加到黑名单中。
1. 单击“策略 > 安全防护 > 黑名单”。
2. 在“IP黑名单”页签单击<新建>按钮。
3. 手工添加IP黑名单。
表-1 IP黑名单配置
|
参数 |
说明 |
|
VRF |
黑名单所属的VPN实例 可选择已创建的VRF,也可以新创建VRF。此处新建的VRF,可在“网络 > VRF”页面查看 |
|
IP地址类型 |
· IPv4 · IPv6 |
|
IP地址方向 |
· 源地址 · 目的地址 |
|
IP地址 |
黑名单的IP地址,用于匹配报文的源IP地址或目的IP地址 |
|
DS-Lite对端地址 |
黑名单的IPv4地址所属的DS-Lite隧道B4端IPv6地址 仅当“IP地址类型”选择“IPv4”时,支持配置本参数 仅当“IP地址方向”选择“源地址”时,支持配置本参数 |
|
剩余老化时间(秒) |
黑名单表项的剩余老化时间。若不配置,那么该IP黑名单表项永不老化,除非用户手动将其删除 |
4. 单击<确定>按钮,新建的黑名单会在“IP黑名单”页签显示。
5. 在“IP黑名单”页签单击<开启全局应用>按钮,“IP黑名单”页签与“地址对象组黑名单”页签下的黑名单对所有安全域生效。
1. 单击“策略 > 安全防护 > 黑名单”。
2. 在“地址对象组黑名单”页签单击<新建>按钮。
3. 手工添加地址对象组黑名单。
表-2 地址对象组黑名单配置
|
参数 |
说明 |
|
对象组类型 |
· IPv4,即IPv4地址对象组 · IPv6,即IPv6地址对象组 |
|
对象组名称 |
地址对象组的名称 |
4. 单击<确定>按钮,新建的黑名单会在“地址对象组黑名单”页签显示。
5. 在“地址对象组黑名单”页签单击<开启全局应用>按钮,“IP黑名单”页签与“地址对象组黑名单”页签下的黑名单对所有安全域生效。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
