07-网络安全
本章节下载: 07-网络安全 (565.61 KB)
防火墙功能是通过一系列的安全规则匹配网络中的报文,并执行相应的动作,从而达到阻断非法报文传输、正常转发合法报文的目的,为用户的网络提供一道安全屏障。
当报文匹配到一个防火墙安全规则后,则不会继续向下匹配,所以请合理安排安全规则的优先级,避免报文匹配错误的规则而导致执行相反动作。
· 请提前完成外网配置页面的相关配置,才可创建防火墙安全规则。
· 若需指定防火墙安全规则的生效时间,请提前在时间组页面创建相应的时间组。
(1) 单击导航树中[网络安全/防火墙]菜单项,进入防火墙配置页面。
图1-1 防火墙安全规则
(2) 点击<添加>按钮,进入创建安全规则页面。
(3) 在“接口”配置项处,选择应用的接口,该规则将对指定接口接收到的报文进行匹配。
(4) 在“协议”配置项处,选择该规则所匹配报文的协议类型。若需匹配某传输层协议的报文,则选择“TCP”或“UDP”;若需匹配Ping、Tracert等ICMP协议报文,则选择“ICMP”;若需匹配所有协议报文,则选择“所有协议”。
(5) 在“源IP地址/掩码”配置项处,配置该规则所匹配报文发送端的IP地址及掩码,输入“any”则代表匹配所有源IP地址。
(6) 在“目的IP地址/掩码”配置项处,配置该规则所匹配报文接收端的IP地址及掩码,输入“any”则代表匹配所有目的IP地址。
(7) 在“目的端口”配置项处,配置该规则所匹配报文的目的端口号,例如HTTP协议报文的目的端口号为80。
(8) 在“规则生效时间”配置项处,选择该规则生效时间对应的时间组。
(9) 在“动作”配置项处,选择该规则所匹配报文的执行动作。
(10) 在“优先级”配置项处,选择该规则的优先级类型。
¡ 自动:系统自动为该规则分配优先级,即根据规则的配置顺序以5为步长进行依次分配。
¡ 自定义:用户自定义规则的优先级,数值越小则优先级越高。
(11) 在“描述”配置项处,配置该安全规则的描述信息。
(12) 点击<确定>按钮,完成创建安全规则。
图1-2 创建安全规则
DDoS攻击是一类广泛存在于互联网中的攻击,能造成比传统DoS攻击(拒绝服务攻击)更大的危害。配置本功能能让您的设备和网络免受如下DDoS攻击的困扰:
· 单包攻击:攻击者利用畸形报文发起攻击,旨在瘫痪目标系统。例如Land攻击报文是源IP和目的IP均为攻击目标IP的TCP报文,此攻击将耗尽目标服务器的连接资源,使其无法处理正常业务。
· 异常流攻击
¡ 扫描攻击:攻击者对主机地址和端口进行扫描,探测目标网络拓扑以及开放的服务端口,为进一步侵入目标系统做准备。
¡ 泛洪攻击:攻击者向目标系统发送大量伪造请求,导致目标系统疲于应对无用信息,从而无法为合法用户提供正常服务。
设备可防御的DDoS攻击包括:
· 单包攻击:Fraggle攻击、Land攻击、WinNuke攻击、TCP Flag攻击、ICMP不可达报文攻击、ICMP重定向报文攻击、Smurf攻击、带源路由选项的IP报文攻击、带路由记录选项的IP报文攻击和超大ICMP报文攻击。
· 异常流攻击:扫描攻击、SYN flood攻击、UDP flood攻击和ICMP flood攻击。
(1) 单击导航树中[网络安全/DDoS攻击防御]菜单项,进入DDoS攻击防御配置页面。
(2) 单击“攻击防御”页签,进入攻击防御配置页面。
图1-3 攻击防御
(3) 点击<添加>按钮,进入新建攻击防御页面。
¡ 在“应用接口”配置项处,选择应用该DDoS攻击防御策略的接口。
¡ 在“单包攻击防御”配置项处,选择需要开启防御的单包攻击类型。
建议您开启全部单包攻击防御。
¡ 在“异常流攻击防御”配置项处,选择需要开启防御的异常流攻击类型。
- 启动扫描攻击防御后,可选择将源IP地址加入黑名单。在一定时间内,来自扫描攻击源的报文将被设备直接丢弃。被加入黑名单的IP地址可在黑名单管理页面查看。
- 建议您根据网络流量类型开启对应的泛洪攻击防御。
(4) 点击<确定>按钮,完成配置。
图1-4 新建攻击防御
攻击防御统计功能是用来查看设备受到DDoS攻击的详情,包括攻击类型、总次数、最后发生时间、被攻击的接口/安全域,以及发生的用户IP。
(1) 单击导航树中[网络安全/DDoS攻击防御]菜单项,进入DDoS攻击防御配置页面。
(2) 单击“攻击防御统计”页签,进入攻击防御统计页面。
(3) 点击<单包攻击防御>按钮,查看单包攻击的相关统计信息。
(4) 点击<异常流量攻击防御>按钮,查看异常流量攻击的相关统计信息。
(5) 点击<导出Excel>按钮,可将相关统计信息以Excel文件的形式导出。
图1-5 攻击防御统计
启动扫描攻击防御后,可选择将源IP地址加入黑名单。在一定时间内,来自扫描攻击源的报文将被设备直接丢弃。
被加入黑名单的用户可在黑名单管理页面查看,该页面用来记录黑名单相关信息,包括黑名单用户、MAC地址、类型和动作。
连接限制功能是一种安全机制,通过限制每个IP地址主动发起连接的个数,达到合理分配设备处理资源、防范恶意连接的效果。
如果设备发现来自某IP地址的TCP或UDP连接数目超过指定的数目,将禁止该连接建立。直到该连接数低于限制数时,其才被允许新建连接。
设备支持配置如下两种连接限制:
· 网络连接限制:在指定IP地址范围内,配置每个IP地址发起连接的个数限制。此方式用于对设备上的所有接口收到的连接进行控制。
· VLAN网络连接限制:在指定VLAN接口上,配置每个IP地址发起连接的个数限制。此方式用于对指定VLAN接口收到的连接进行控制。
(1) 单击导航树中[网络安全/连接限制]菜单项,进入连接限制配置页面。
(2) 单击“网络连接限制数”页签。
(3) 勾选“开启网络连接限制数”选项,进入网络连接限制数配置页面。
图1-6 网络连接限制数规则
(4) 点击<添加>按钮,进入新建网络连接限制数规则页面。
(5) 在“起始IP地址”配置项处,输入地址范围的起始IP地址。
(6) 在“结束IP地址”配置项处,输入地址范围的结束IP地址。
(7) 在“每IP总连接数上限”配置项处,输入每个IP地址所允许发起连接的总个数上限。
相同源IP,源端口、目的IP、目的端口或报文协议不完全相同的连接均属于不同的连接。
(8) 在“每IP TCP连接数上限”配置项处,输入每个IP地址所允许发起的TCP连接的个数上限。您可以在上面设置的总连接限制数下,对TCP连接数进行单独限制。
(9) 在“每IP UDP连接数上限”配置项处,输入每个IP地址所允许发起的UDP连接的个数上限。您可以在上面设置的总连接限制数下,对UDP连接数进行单独限制。
(10) 在“描述”配置项处,输入规则描述信息。
(11) 点击<确定>按钮,完成配置。
图1-7 修改网络连接限制数规则
(1) 单击导航树中[网络安全/连接限制]菜单项,进入连接限制配置页面。
(2) 单击“VLAN网络连接限制数”页签。
图1-8 VLAN网络连接限制数
(3) 点击<添加>按钮,进入新建VLAN网络连接限制数规则页面。
(4) 在“VLAN接口”下拉菜单处,选择应用此规则的VLAN接口。
(5) 选择“启动连接限制功能”选项。
(6) 在“每IP总连接数上限”配置项处,输入每个IP地址所允许发起连接的总个数上限。
相同源IP,源端口、目的IP、目的端口或报文协议不完全相同的连接均属于不同的连接。
(7) 在“每IP TCP连接数上限”配置项处,输入每个IP地址所允许发起的TCP连接的个数上限。您可以在上面设置的总连接限制数下,对TCP连接数进行单独限制。
(8) 在“每IP UDP连接数上限”配置项处,输入每个IP地址所允许发起的UDP连接的个数上限。您可以在上面设置的总连接限制数下,对UDP连接数进行单独限制。
(9) 在“描述”配置项处,输入规则描述信息。
(10) 点击<确定>按钮,完成配置。
图1-9 新建VLAN网络连接限制数规则
如果您希望对某些设备发送过来的报文进行限制(允许或禁止其通过),则可以在三层接口上配置MAC地址过滤功能,本功能将根据接收报文的源MAC地址对其过滤。
配置方式有如下两种:
· 白名单:允许源MAC地址在白名单内的报文通过,其余禁止通过。
· 黑名单:禁止源MAC地址在黑名单内的报文通过,其余允许通过。
如果您想在管理员终端连接的接口上开启白名单方式的MAC地址过滤功能,请先确保管理员的终端MAC地址已添加到白名单中。
MAC地址过滤的配置方式有白名单和黑名单两种,下面以白名单为例进行配置步骤的讲解,黑名单的配置步骤同白名单。
(1) 单击导航树中[网络安全/MAC地址过滤]菜单项,进入MAC地址过滤配置页面。
(2) 单击“MAC过滤设置”页签,进入MAC过滤设置页面。
(3) 在指定接口的“过滤方式”区段上,选择“白名单”,并在“开启和关闭”区段上勾选“开启”。
(4) 点击<应用>按钮,开启MAC地址过滤。
图1-10 MAC过滤设置
(5) 单击“MAC黑白名单管理”页签,进入MAC黑白名单管理设置页面。
(6) 单击“白名单”页签,进入白名单设置页面。
图1-11 MAC黑白名单管理
¡ 如果需要添加单个MAC地址,请执行以下步骤:
a. 点击<添加>按钮,进入添加源MAC地址页面。
b. 输入待过滤的源MAC地址。
c. 点击<确定>按钮,完成对白名单添加单个MAC地址的操作。
¡ 如果需要批量添加MAC地址,请执行以下步骤:
a. 点击<导出>按钮,选择“导出模板”。
b. 打开下载好的模板,添加待过滤的源MAC地址并在本地保存。
c. 点击<导入>按钮,进入导入源MAC地址页面。
d. 点击<选择文件>按钮,选择已编辑好的模板。
e. 点击<确定>按钮,完成对白名单批量添加MAC地址的操作。
图1-12 添加源MAC地址
ARP协议本身存在缺陷,攻击者可以轻易地利用ARP协议的缺陷对其进行攻击。ARP攻击防御技术提供了多种ARP攻击防御技术对局域网中的ARP攻击和ARP病毒进行防范、检测和解决。
ARP攻击防御功能包括:
· 动态ARP表项学习:本功能支持开启和关闭接口的动态ARP表项学习功能,当执行关闭接口的动态ARP表项学习功能后,该接口无法再学习新的动态ARP表项,提高了安全性。当设备的某个接口已经学到了该接口下所有合法用户的ARP表项时,建议关闭动态ARP表项学习功能。
· 动态ARP管理:包括动态ARP表项管理功能和ARP扫描、固化功能。ARP扫描、固化功能即对局域网内的用户进行自动扫描,并将生成的动态ARP表项固化为静态ARP表项。建议环境稳定的小型网络(如网吧)中配置本功能。先配置ARP扫描、固化功能,再关闭动态ARP表项学习功能,可以防止设备学习到错误的ARP表项。
· 攻击防御管理:包括静态ARP表项管理功能和仅允许ARP静态表项对应的用户访问外网功能。先配置ARP扫描、固化功能,再配置仅允许ARP静态表项对应的用户访问外网功能,可以防止攻击用户访问外网。
(1) 单击导航树中[网络安全/ARP攻击防御]菜单项,进入ARP攻击防御配置页面。
(2) 单击“动态ARP表项学习”页签,进入动态ARP表项学习配置页面。
(3) 在接口的“ARP学习”项,设置是否允许学习动态ARP表项:
¡ 点击<开启>按钮,则该接口允许学习动态ARP表项;
¡ 点击<关闭>按钮,则该接口不允许学习动态ARP表项。
图1-13 动态ARP表项学习
(1) 单击导航树中[网络安全/ARP攻击防御]菜单项,进入ARP攻击防御配置页面。
(2) 单击“动态ARP管理”页签,进入动态ARP表项管理配置页面。
(3) 可对已有的动态ARP表项执行以下管理操作:
¡ 点击<刷新>按钮,则可以刷新当前动态ARP表项的显示信息。
¡ 点击<清除>按钮,则可以清除当前显示的所有动态ARP表项。
¡ 选择指定的动态ARP表项,点击<删除>按钮,再点击<确定>按钮后,可以删除对应的动态ARP表项。
图1-14 动态ARP管理
(4) 可对已有的动态ARP表项执行以下管理操作:
a. 点击<扫描>按钮,进入扫描配置页面。
b. 在“接口”配置项处,选择需要执行ARP扫描操作的接口。
c. 在“开始IP地址”和“结束IP地址”配置项处,设置ARP扫描操作的起止IP地址。此处指定起止IP地址需要和接口的IP地址处于同一网段。
d. 选择“对已存在ARP表项的IP地址也进行扫描”后,ARP扫描功能会对开始IP地址和结束IP地址中的所有IP地址进行扫描,不会区分是否已存在ARP表项。
e. 选择指定的动态ARP表项,再点击<固化>按钮,则可以将这些动态ARP表项固化为静态ARP表项。
图1-15 扫描
需要保证管理客户端的ARP表项是静态ARP表项,否则管理客户端可能无法工作。
如果需要执行批量添加静态ARP表项操作,还需要提前将记录静态ARP表项的文件保存在本地,然后再执行静态ARP表项的导入操作。建议通过Web页面导出一个ARP表项文件,在该文件中批量添加静态ARP表项后,再使用它进行导入操作。
(1) 单击导航树中[网络安全/ARP攻击防御]菜单项,进入ARP攻击防御配置页面。
(2) 单击“攻击防御管理”页签,进入攻击防御管理配置页面。
(3) 选择“仅允许ARP静态绑定的客户访问外网”时,设备禁止学习动态ARP表项并删除已有的动态ARP表项(WAN接口的动态ARP表项不会被删除),动态ARP表项对应的用户无法访问设备和外网,只有静态ARP表项对应的客户可以访问设备和外网。选择“不限制”,则静态ARP表项和动态ARP表项对应的客户都能访问设备和外网。
(4) 可对静态ARP表项执行以下管理操作:
¡ 点击<刷新>按钮,则可以刷新当前静态ARP表项的显示信息。
¡ 点击<导入>按钮,则可以批量导入静态ARP表项。
¡ 点击<导出>按钮,则可以批量导出静态ARP表项到文件中。
图1-16 攻击防御管理
¡ 点击<添加>按钮,进入“添加ARP表项”页面。在“添加ARP表项”页面,输入静态ARP表项的IP地址和MAC地址,点击“确定”按钮,静态ARP表项添加成功。
¡ 选择指定的静态ARP表项,点击<删除>按钮,再点击<确定>按钮后,可以删除对应的静态ARP表项。
图1-17 添加ARP表项
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!