• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C MSR系列开放多业务路由器 Web配置指导(V7)-R0821-6W101

07-网络安全

本章节下载 07-网络安全  (565.61 KB)

07-网络安全

1 网络安全

1.1  防火墙

1. 简介

防火墙功能是通过一系列的安全规则匹配网络中的报文,并执行相应的动作,从而达到阻断非法报文传输、正常转发合法报文的目的,为用户的网络提供一道安全屏障。

2. 注意事项

当报文匹配到一个防火墙安全规则后,则不会继续向下匹配,所以请合理安排安全规则的优先级,避免报文匹配错误的规则而导致执行相反动作。

3. 配置准备

·     请提前完成外网配置页面的相关配置,才可创建防火墙安全规则。

·     若需指定防火墙安全规则的生效时间,请提前在时间组页面创建相应的时间组。

4. 配置步骤

(1)     单击导航树中[网络安全/防火墙]菜单项,进入防火墙配置页面。

图1-1 防火墙安全规则

 

(2)     点击<添加>按钮,进入创建安全规则页面。

(3)     在“接口”配置项处,选择应用的接口,该规则将对指定接口接收到的报文进行匹配。

(4)     在“协议”配置项处,选择该规则所匹配报文的协议类型。若需匹配某传输层协议的报文,则选择“TCP”或“UDP”;若需匹配Ping、Tracert等ICMP协议报文,则选择“ICMP”;若需匹配所有协议报文,则选择“所有协议”。

(5)     在“源IP地址/掩码”配置项处,配置该规则所匹配报文发送端的IP地址及掩码,输入“any”则代表匹配所有源IP地址。

(6)     在“目的IP地址/掩码”配置项处,配置该规则所匹配报文接收端的IP地址及掩码,输入“any”则代表匹配所有目的IP地址。

(7)     在“目的端口”配置项处,配置该规则所匹配报文的目的端口号,例如HTTP协议报文的目的端口号为80。

(8)     在“规则生效时间”配置项处,选择该规则生效时间对应的时间组。

(9)     在“动作”配置项处,选择该规则所匹配报文的执行动作。

(10)     在“优先级”配置项处,选择该规则的优先级类型。

¡     自动:系统自动为该规则分配优先级,即根据规则的配置顺序以5为步长进行依次分配。

¡     自定义:用户自定义规则的优先级,数值越小则优先级越高。

(11)     在“描述”配置项处,配置该安全规则的描述信息。

(12)     点击<确定>按钮,完成创建安全规则。

图1-2 创建安全规则

 

1.2  DDoS攻击防御

1.2.1  简介

DDoS攻击是一类广泛存在于互联网中的攻击,能造成比传统DoS攻击(拒绝服务攻击)更大的危害。配置本功能能让您的设备和网络免受如下DDoS攻击的困扰:

·     单包攻击:攻击者利用畸形报文发起攻击,旨在瘫痪目标系统。例如Land攻击报文是源IP和目的IP均为攻击目标IP的TCP报文,此攻击将耗尽目标服务器的连接资源,使其无法处理正常业务。

·     异常流攻击

¡     扫描攻击:攻击者对主机地址和端口进行扫描,探测目标网络拓扑以及开放的服务端口,为进一步侵入目标系统做准备。

¡     泛洪攻击:攻击者向目标系统发送大量伪造请求,导致目标系统疲于应对无用信息,从而无法为合法用户提供正常服务。

设备可防御的DDoS攻击包括:

·     单包攻击:Fraggle攻击、Land攻击、WinNuke攻击、TCP Flag攻击、ICMP不可达报文攻击、ICMP重定向报文攻击、Smurf攻击、带源路由选项的IP报文攻击、带路由记录选项的IP报文攻击和超大ICMP报文攻击。

·     异常流攻击:扫描攻击、SYN flood攻击、UDP flood攻击和ICMP flood攻击。

1.2.2  攻击防御

1. 配置步骤

(1)     单击导航树中[网络安全/DDoS攻击防御]菜单项,进入DDoS攻击防御配置页面。

(2)     单击“攻击防御”页签,进入攻击防御配置页面。

图1-3 攻击防御

 

(3)     点击<添加>按钮,进入新建攻击防御页面。

¡     在“应用接口”配置项处,选择应用该DDoS攻击防御策略的接口。

¡     在“单包攻击防御”配置项处,选择需要开启防御的单包攻击类型。

建议您开启全部单包攻击防御。

¡     在“异常流攻击防御”配置项处,选择需要开启防御的异常流攻击类型。

-     启动扫描攻击防御后,可选择将源IP地址加入黑名单。在一定时间内,来自扫描攻击源的报文将被设备直接丢弃。被加入黑名单的IP地址可在黑名单管理页面查看。

-     建议您根据网络流量类型开启对应的泛洪攻击防御。

(4)     点击<确定>按钮,完成配置。

图1-4 新建攻击防御

 

1.2.3  攻击防御统计

1. 简介

攻击防御统计功能是用来查看设备受到DDoS攻击的详情,包括攻击类型、总次数、最后发生时间、被攻击的接口/安全域,以及发生的用户IP。

2. 配置步骤

(1)     单击导航树中[网络安全/DDoS攻击防御]菜单项,进入DDoS攻击防御配置页面。

(2)     单击“攻击防御统计”页签,进入攻击防御统计页面。

(3)     点击<单包攻击防御>按钮,查看单包攻击的相关统计信息。

(4)     点击<异常流量攻击防御>按钮,查看异常流量攻击的相关统计信息。

(5)     点击<导出Excel>按钮,可将相关统计信息以Excel文件的形式导出。

图1-5 攻击防御统计

 

1.2.4  黑名单管理

1. 简介

启动扫描攻击防御后,可选择将源IP地址加入黑名单。在一定时间内,来自扫描攻击源的报文将被设备直接丢弃。

被加入黑名单的用户可在黑名单管理页面查看,该页面用来记录黑名单相关信息,包括黑名单用户、MAC地址、类型和动作。

1.3  连接限制

1.3.1  简介

连接限制功能是一种安全机制,通过限制每个IP地址主动发起连接的个数,达到合理分配设备处理资源、防范恶意连接的效果。

如果设备发现来自某IP地址的TCP或UDP连接数目超过指定的数目,将禁止该连接建立。直到该连接数低于限制数时,其才被允许新建连接。

设备支持配置如下两种连接限制:

·     网络连接限制:在指定IP地址范围内,配置每个IP地址发起连接的个数限制。此方式用于对设备上的所有接口收到的连接进行控制。

·     VLAN网络连接限制:在指定VLAN接口上,配置每个IP地址发起连接的个数限制。此方式用于对指定VLAN接口收到的连接进行控制。

1.3.2  配置网络连接限制数

(1)     单击导航树中[网络安全/连接限制]菜单项,进入连接限制配置页面。

(2)     单击“网络连接限制数”页签。

(3)     勾选“开启网络连接限制数”选项,进入网络连接限制数配置页面。

图1-6 网络连接限制数规则

 

(4)     点击<添加>按钮,进入新建网络连接限制数规则页面。

(5)     在“起始IP地址”配置项处,输入地址范围的起始IP地址。

(6)     在“结束IP地址”配置项处,输入地址范围的结束IP地址。

(7)     在“每IP总连接数上限”配置项处,输入每个IP地址所允许发起连接的总个数上限。

相同源IP,源端口、目的IP、目的端口或报文协议不完全相同的连接均属于不同的连接。

(8)     在“每IP TCP连接数上限”配置项处,输入每个IP地址所允许发起的TCP连接的个数上限。您可以在上面设置的总连接限制数下,对TCP连接数进行单独限制。

(9)     在“每IP UDP连接数上限”配置项处,输入每个IP地址所允许发起的UDP连接的个数上限。您可以在上面设置的总连接限制数下,对UDP连接数进行单独限制。

(10)     在“描述”配置项处,输入规则描述信息。

(11)     点击<确定>按钮,完成配置。

图1-7 修改网络连接限制数规则

 

1.3.3  配置VLAN网络连接限制数

(1)     单击导航树中[网络安全/连接限制]菜单项,进入连接限制配置页面。

(2)     单击“VLAN网络连接限制数”页签。

图1-8 VLAN网络连接限制数

 

(3)     点击<添加>按钮,进入新建VLAN网络连接限制数规则页面。

(4)     在“VLAN接口”下拉菜单处,选择应用此规则的VLAN接口。

(5)     选择“启动连接限制功能”选项。

(6)     在“每IP总连接数上限”配置项处,输入每个IP地址所允许发起连接的总个数上限。

相同源IP,源端口、目的IP、目的端口或报文协议不完全相同的连接均属于不同的连接。

(7)     在“每IP TCP连接数上限”配置项处,输入每个IP地址所允许发起的TCP连接的个数上限。您可以在上面设置的总连接限制数下,对TCP连接数进行单独限制。

(8)     在“每IP UDP连接数上限”配置项处,输入每个IP地址所允许发起的UDP连接的个数上限。您可以在上面设置的总连接限制数下,对UDP连接数进行单独限制。

(9)     在“描述”配置项处,输入规则描述信息。

(10)     点击<确定>按钮,完成配置。

图1-9 新建VLAN网络连接限制数规则

 

1.4  MAC地址过滤

1. 简介

如果您希望对某些设备发送过来的报文进行限制(允许或禁止其通过),则可以在三层接口上配置MAC地址过滤功能,本功能将根据接收报文的源MAC地址对其过滤。

配置方式有如下两种:

·     白名单:允许源MAC地址在白名单内的报文通过,其余禁止通过。

·     黑名单:禁止源MAC地址在黑名单内的报文通过,其余允许通过。

2. 注意事项

如果您想在管理员终端连接的接口上开启白名单方式的MAC地址过滤功能,请先确保管理员的终端MAC地址已添加到白名单中。

3. 配置步骤

MAC地址过滤的配置方式有白名单和黑名单两种,下面以白名单为例进行配置步骤的讲解,黑名单的配置步骤同白名单。

(1)     单击导航树中[网络安全/MAC地址过滤]菜单项,进入MAC地址过滤配置页面。

(2)     单击“MAC过滤设置”页签,进入MAC过滤设置页面。

(3)     在指定接口的“过滤方式”区段上,选择“白名单”,并在“开启和关闭”区段上勾选“开启”。

(4)     点击<应用>按钮,开启MAC地址过滤。

图1-10 MAC过滤设置

 

(5)     单击“MAC黑白名单管理”页签,进入MAC黑白名单管理设置页面。

(6)     单击“白名单”页签,进入白名单设置页面。

图1-11 MAC黑白名单管理

 

¡     如果需要添加单个MAC地址,请执行以下步骤:

a.     点击<添加>按钮,进入添加源MAC地址页面。

b.     输入待过滤的源MAC地址。

c.     点击<确定>按钮,完成对白名单添加单个MAC地址的操作。

¡     如果需要批量添加MAC地址,请执行以下步骤:

a.     点击<导出>按钮,选择“导出模板”。

b.     打开下载好的模板,添加待过滤的源MAC地址并在本地保存。

c.     点击<导入>按钮,进入导入源MAC地址页面。

d.     点击<选择文件>按钮,选择已编辑好的模板。

e.     点击<确定>按钮,完成对白名单批量添加MAC地址的操作。

图1-12 添加源MAC地址

 

1.5  ARP攻击防御

1.5.1  简介

ARP协议本身存在缺陷,攻击者可以轻易地利用ARP协议的缺陷对其进行攻击。ARP攻击防御技术提供了多种ARP攻击防御技术对局域网中的ARP攻击和ARP病毒进行防范、检测和解决。

ARP攻击防御功能包括:

·     动态ARP表项学习:本功能支持开启和关闭接口的动态ARP表项学习功能,当执行关闭接口的动态ARP表项学习功能后,该接口无法再学习新的动态ARP表项,提高了安全性。当设备的某个接口已经学到了该接口下所有合法用户的ARP表项时,建议关闭动态ARP表项学习功能。

·     动态ARP管理:包括动态ARP表项管理功能和ARP扫描、固化功能。ARP扫描、固化功能即对局域网内的用户进行自动扫描,并将生成的动态ARP表项固化为静态ARP表项。建议环境稳定的小型网络(如网吧)中配置本功能。先配置ARP扫描、固化功能,再关闭动态ARP表项学习功能,可以防止设备学习到错误的ARP表项。

·     攻击防御管理:包括静态ARP表项管理功能和仅允许ARP静态表项对应的用户访问外网功能。先配置ARP扫描、固化功能,再配置仅允许ARP静态表项对应的用户访问外网功能,可以防止攻击用户访问外网。

1.5.2  动态ARP表项学习

(1)     单击导航树中[网络安全/ARP攻击防御]菜单项,进入ARP攻击防御配置页面。

(2)     单击“动态ARP表项学习”页签,进入动态ARP表项学习配置页面。

(3)     在接口的“ARP学习”项,设置是否允许学习动态ARP表项:

¡     点击<开启>按钮,则该接口允许学习动态ARP表项;

¡     点击<关闭>按钮,则该接口不允许学习动态ARP表项。

图1-13 动态ARP表项学习

 

1.5.3  动态ARP管理

(1)     单击导航树中[网络安全/ARP攻击防御]菜单项,进入ARP攻击防御配置页面。

(2)     单击“动态ARP管理”页签,进入动态ARP表项管理配置页面。

(3)     可对已有的动态ARP表项执行以下管理操作:

¡     点击<刷新>按钮,则可以刷新当前动态ARP表项的显示信息。

¡     点击<清除>按钮,则可以清除当前显示的所有动态ARP表项。

¡     选择指定的动态ARP表项,点击<删除>按钮,再点击<确定>按钮后,可以删除对应的动态ARP表项。

图1-14 动态ARP管理

 

(4)     可对已有的动态ARP表项执行以下管理操作:

a.     点击<扫描>按钮,进入扫描配置页面。

b.     在“接口”配置项处,选择需要执行ARP扫描操作的接口。

c.     在“开始IP地址”和“结束IP地址”配置项处,设置ARP扫描操作的起止IP地址。此处指定起止IP地址需要和接口的IP地址处于同一网段。

d.     选择“对已存在ARP表项的IP地址也进行扫描”后,ARP扫描功能会对开始IP地址和结束IP地址中的所有IP地址进行扫描,不会区分是否已存在ARP表项。

e.     选择指定的动态ARP表项,再点击<固化>按钮,则可以将这些动态ARP表项固化为静态ARP表项。

图1-15 扫描

 

1.5.4  攻击防御管理

(1)     配置限制和指导

需要保证管理客户端的ARP表项是静态ARP表项,否则管理客户端可能无法工作。

2. 配置准备

如果需要执行批量添加静态ARP表项操作,还需要提前将记录静态ARP表项的文件保存在本地,然后再执行静态ARP表项的导入操作。建议通过Web页面导出一个ARP表项文件,在该文件中批量添加静态ARP表项后,再使用它进行导入操作。

3. 配置步骤

(1)     单击导航树中[网络安全/ARP攻击防御]菜单项,进入ARP攻击防御配置页面。

(2)     单击“攻击防御管理”页签,进入攻击防御管理配置页面。

(3)     选择“仅允许ARP静态绑定的客户访问外网”时,设备禁止学习动态ARP表项并删除已有的动态ARP表项(WAN接口的动态ARP表项不会被删除),动态ARP表项对应的用户无法访问设备和外网,只有静态ARP表项对应的客户可以访问设备和外网。选择“不限制”,则静态ARP表项和动态ARP表项对应的客户都能访问设备和外网。

(4)     可对静态ARP表项执行以下管理操作:

¡     点击<刷新>按钮,则可以刷新当前静态ARP表项的显示信息。

¡     点击<导入>按钮,则可以批量导入静态ARP表项。

¡     点击<导出>按钮,则可以批量导出静态ARP表项到文件中。

图1-16 攻击防御管理

 

¡     点击<添加>按钮,进入“添加ARP表项”页面。在“添加ARP表项”页面,输入静态ARP表项的IP地址和MAC地址,点击“确定”按钮,静态ARP表项添加成功。

¡     选择指定的静态ARP表项,点击<删除>按钮,再点击<确定>按钮后,可以删除对应的静态ARP表项。

图1-17 添加ARP表项

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。 H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们