• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6616)-6W101

目录

52-防暴力破解典型配置

本章节下载 52-防暴力破解典型配置  (214.15 KB)

52-防暴力破解典型配置


1  简介

暴力破解是指攻击者通过穷举的方法登录相应服务从而获得可以登录的用户名密码对。用户可配置防暴力破解功能,通过检测出流量中的暴力破解行为并进行阻断。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解防暴力破解特性。

3  使用限制

·              管理员可以设定最大登录重试次数默认为5次。

·              如果某账户连续输入错误的口令次数超过最大登录重试次数,系统将锁定该账户。为了防止攻击者通过不断尝试,故意造成的DOS攻击,设备在一定时间后会自动解锁,在不影响正常使用的同时,尽可能的降低攻击风险。

4  配置举例

4.1  组网需求

图1所示,服务器通过Internet提供FTP服务,在设备上启用防暴力破解功能来监测攻击行为,当攻击次数达到阈值触发防暴力破解记录攻击事件。同时实施相应措施保护FTP服务器。

 

图1 防暴力破解功能配置组网图

 

4.2  配置思路

·              配置服务类型,在防暴力破解配置页面选择监测的服务。

·              配置检测时长,选择防暴力破解的检测周期。

·              配置阈值,达到阈值触发防暴力破解记录攻击事件。阈值范围为3-1000。

·              配置响应行为,是否将攻击者加入黑名单,阻断攻击行为。

4.3  使用版本

本举例是在R6616版本上进行配置和验证的。

4.4  配置注意事项

·              防暴力破解功能支持的服务类型包括ftp、telnet、smtp、rlogin、http、samba、imap、mssql、mysql、oracle、pop3、postgres。

·              各个服务单独配置暴力破解检测时长和阈值。

·              系统支持配置是否把攻击者加入黑名单。本例分别在两种情况下进行。

4.5  配置步骤

4.5.1  启用防暴力破解功能

进入“安全设置>安全防护>防暴力破解”,进入防暴力破解配置页面,如图2所示。设置启用防暴力破解功能,选择服务类型为FTP,检查次数3。提交配置。

图2 配置防暴力破解

 

 

4.5.2  配置攻击者加入黑名单

进入“安全设置>安全防护>防暴力破解”,进入防暴力破解配置页面,如图3所示,设置攻击者加入黑名单时长,提交配置。

图3 配置IPv4策略

 

4.6  验证配置

使用测试PC进行FTP爆破测试。

(1)      未配置攻击者加入黑名单情况下进行FTP爆破测试

在导航栏中选择“数据中心>日志中心>安全日志>防暴力破解日志”,进入防暴力破解日志页面,可以查看到防暴力破解日志信息。如图4所示。

图4 防暴力破解日志

 

 

(2)      配置攻击者加入黑名单下情况进行FTP爆破测试

在导航栏中选择“数据中心>系统监控>黑名单记录”,进入黑名单页面,可以查看到防暴力破解加入黑名单信息。如图5所示。

图5 黑名单记录

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们