• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 Web配置指导(R6614)-6W102

45-安全防护

本章节下载 45-安全防护  (1.22 MB)

45-安全防护

  录

1 安全防护

1.1 ARP/ND攻击防护

1.1.1 ARP/ND攻击防护概述

1.1.2 防ARP欺骗

1.1.3 防ND欺骗

1.1.4 ARP表

1.1.5 ND表项显示

1.1.6 ARP/ND Flood攻击防护

1.1.7 ARP/ND学习控制

1.1.8 防ARP欺骗主动保护列表配置举例

1.1.9 防ND欺骗配置举例

1.2 异常报文攻击防护

1.2.1 异常报文攻击防护概述

1.2.2 异常报文攻击防护配置

1.2.3 异常报文攻击防护配置举例

1.3 IPv6异常报文防护

1.3.1 IPv6异常报文防护配置

1.3.2 IPv6异常包攻击防护举例

1.4 扫描攻击防护

1.4.1 扫描攻击防护概述

1.4.2 扫描攻击防护配置

1.4.3 扫描攻击防护配置举例

1.5 DoS攻击防护

1.5.1 DoS攻击防护概述

1.5.2 目的IP防御设置

1.5.3 目的IP防御配置举例

1.5.4 接口防御设置

1.5.5 接口防御配置举例

1.6 IPMAC绑定

1.6.1 IPMAC概述

1.6.2 IPMAC绑定添加

1.6.3 IPMAC绑定配置举例

1.7 防ARP攻击

1.7.1 防ARP攻击概述

1.7.2 ARP表项显示

1.7.3 ARP Flood攻击防护

1.7.4 防ARP欺骗

1.7.5 主动保护列表添加

1.7.6 主动保护列表配置举例

1.8 行为模型

1.8.1 行为模型简介

1.8.2 行为模型配置页面

1.8.3 行为模型配置举例

1.9 防暴力破解

1.9.1 防暴力破解简介

1.9.2 防暴力破解配置

1.9.3 服务选择

1.10 弱密码防护

1.10.1 弱密码防护简介

1.10.2 弱密码防护

1.10.3 服务选择

1.10.4 弱密码规则

1.11 非法外联防护

1.11.1 非法外联防护简介

1.11.2 非法外联防护

1.11.3 非法外联学习

 


1 安全防护

1.1  ARP/ND攻击防护

1.1.1  ARP/ND攻击防护概述

在IPv4局域网中,通过ARP协议将IP地址转换为MAC地址。ARP协议对网络安全具有重要的意义,但是当初ARP方式的设计没有考虑到过多的安全问题,留下很多隐患,使得ARP攻击成为当前网络环境中遇到的一个非常典型的安全威胁。

在IPv6局域网中,通过ND协议将IP地址转换为MAC地址。由于 ND 协议并未提供认证机制,导致网络中的节点不可信,也使攻击者有机可乘,可针对 ND 协议发起一系列攻击。

通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存,造成网络中断或中间人攻击。

受到ARP攻击后会出现无法正常上网、ARP包爆增、不正常或错误的MAC地址、一个MAC地址对应多个IP、IP冲突等情况。ARP攻击因为技术门槛低,易于实现,在现今的网络中频频出现,有效防范ARP攻击已成为确保网络畅通的必要条件。

设备的防ARP/ND攻击功能有效识别ARP/ND欺骗攻击和ARP/ND flood攻击,对疑似攻击的行为告警,并配合IP-MAC绑定、主动保护发包及关闭ARP/ND学习等,有效防范ARP/ND攻击造成的损害。

1.1.2  ARP欺骗

通过菜单“安全设置>安全防护>ARP/ND攻击防护>防ARP欺骗”使用该功能。

图1-1 防ARP欺骗设置页面

 

 

表1-1 防ARP欺骗详细信息描述表

配置项

说明

关闭ARP学习

缺省情况下启用ARP学习,关闭后只要是不匹配IP-MAC绑定表的报文都将被丢弃。有关IP-MAC绑定配置的更多信息,请参考IPMAC绑定

主动保护

开启该功能后,设备会按照指定的时间间隔发送主动保护列表上的免费ARP报文。免费ARP报文是一种特殊的ARP报文,该报文携带的发送端IP地址和目的IP地址都是本机IP地址,源MAC地址是本机MAC地址,目的MAC地址是广播地址。其他设备收到免费ARP报文后,如发现报文中的IP地址与设备自身的IP地址相同,会向免费ARP报文的发送设备返回应答,告知该设备的IP地址冲突。

时间间隔

发送主动保护列表上的ARP的时间间隔,缺省配置为1秒

 

如图所示,在防ARP欺骗设置页面中,选择主动保护列表下的<新建>按钮,将弹出如下页面。

图1-2 主动保护列表页面

 

表1-2 主动保护详细信息描述表

配置项

说明

接口

ARP报文发送接口

接口保护

在保护列表中加入接口地址

更新ARP列表

勾选复选框后,会更新设备的整个ARP表

IP地址&MAC地址

广播ARP报文的IP和MAC

 

1.1.3  ND欺骗

如下图所示,通过菜单“安全设置>安全防护>ARP/ND攻击防护>防ND欺骗”使用该功能。

图1-3 防ND欺骗设置页面

 

 

表1-3 防ND欺骗详细信息描述表

配置项

说明

关闭ND学习

缺省情况下启用ND学习,关闭后只要是不匹配IP-MAC绑定表的报文都将被丢弃

ND反向查询

点选启用或者不启用ND反向查询功能

IP地址数检查

每个MAC对应的IP地址的最大值,参数为0不检查,如果mac地址对应的IP地址数量多于设定值则产生告警

主动保护

点选启用主动保护发包功能,每隔一定时间间隔发送一次主动保护列表上的免费ARP报文

时间间隔

发送主动保护列表上的ND时间间隔,缺省配置为1秒

 

在防ND欺骗设置页面中,选择主动保护列表下的<新建>按钮,将弹出如下页面。

图1-4 主动保护列表页面

 

表1-4 主动保护详细信息描述表

配置项

说明

接口

ND报文发送接口

接口保护

在保护列表中加入接口地址

IP地址&MAC地址

ND报文的IP和MAC

 

1.1.4  ARP

通过菜单“策略配置 > 安全设置 > 安全防护 > ARP/ND防护 > ARP表”进入ARP表显示界面,可以查看设备上通过ARP学习到的所有MAC地址及IP地址,如下图所示。

图1-5 ARP表项显示

1. 创建IP-MAC绑定

勾选一个条目并点击<IP-MAC绑定>或在操作列下点击图标,可将指定的条目创建IP-MAC绑定;如图1-6所示;点击<一键绑定>对所有条目创建IP-MAC绑定。

图1-6 创建IP-MAC绑定

2. 新增静态ARP

点击<新增静态ARP>,可以手动添加静态ARP信息,如图1-7所示。静态ARP是不受ARP老化机制的影响。

图1-7 新增静态ARP

详细配置请参见下表。

表1-5 新增静态ARP详细配置描述表

配置项

说明

IP地址

静态ARP的IP地址,只支持IPv4地址。

自动获取MAC地址

点击<自动获取MAC地址>,系统根据所填IP地址自动学习到MAC地址。

MAC地址

Mac地址必须是单播地址。

接口

可选择自动检测或绑定接口。

 

3. 转换静态ARP

勾选一个条目并点击<转换静态>可将选中的ARP转换为静态,如下图所示。

图1-8 将选中的ARP转换为静态

 

转换后会新增一条静态ARP记录。转换后的APR记录可进行编辑或删除操作,如下图所示。

图1-9 转换后的静态ARP

1.1.5  ND表项显示

通过菜单“策略配置 > 安全设置 > 安全防护 > ARP/ND攻击防护 > ND表”进入ND表显示界面,可以查看设备上通过ND学习到的所有MAC地址及IP地址,如下图所示。

图1-10 ND表项显示

 

勾选一个条目并点击<IP-MAC绑定>或在操作列下点击图标,可将指定条目创建IP-MAC绑定;点击<一键绑定>对所有条目创建IP-MAC绑定。

1.1.6  ARP/ND Flood攻击防护

通过菜单“策略配置 > 安全设置 > 安全防护 > ARP/ND攻击防护 > ARP/ND Flood攻击”使用该功能,如下图所示。

图1-11 ARP/ND Flood攻击设置页面

 

表1-6 ARP/ND Flood攻击防护详细配置描述表

配置项

说明

启用防ARP flood

点选启用防ARP Flood攻击

ARP攻击识别阈值

一秒内收到ARP报文的数量,缺省配置为300个/秒。

ARP攻击主机抑制时长

设置阻断时间,当系统检测到攻击时,在配置的时长内拒绝来自于该台源主机的所有其它包,缺省配置为60秒。

启用防ND flood

点选启用防ND Flood攻击。

ND攻击识别阈值

一秒内收到ND报文的数量,缺省配置为300个/秒。

ND攻击主机抑制时长

设置阻断时间,当系统检测到攻击时,在配置的时长内拒绝来自于该台源主机的所有其它包,缺省配置为60秒。

 

1.1.7  ARP/ND学习控制

如下图所示,通过菜单“策略配置 > 安全设置 > 安全防护 > ARP/ND攻击防护 > ARP/ND 学习控制”使用该功能。

图1-12 ARP/ND学习控制页面

 

如图图1-12所示,点击“新建”,进入接口的ARP/ND控制子页面。

图1-13 接口ARP/ND学习控制子页面

 

表1-7 接口ARP/ND学习控制子页面详细配置描述表

配置项

说明

接口

选择接口

ARP控制

启用或不启用ARP控制

ND控制

启用或不启用ND控制

 

1.1.8  ARP欺骗主动保护列表配置举例

1. 用户需求

将接口ge1加入防ARP欺骗的主动保护列表中。保护的IP和MAC分别为:2.2.2.2和00:de:ad:00:00:0c。

2. 配置步骤

(1)      进入“安全设置>安全防护>ARP/ND攻击防护>防ARP欺骗”,点击主动保护列表下面的<新建>按钮,进入主动保护列表配置页面

(2)      选择接口为ge1,输入要保护的IP和MAC地址,点击“添加到列表”。

图1-14 主动保护列表配置页面

 

(3)      点击<提交>按钮后,可以在防ARP欺骗页面看到已添加的主动保护列表信息。

图1-15 防ARP欺骗页面

 

1.1.9  ND欺骗配置举例

1. 组网需求

如下图所示,公司内网有多台服务器设备,防止服务器被局域网内PC进行ND欺骗造成服务器无法正常访问。

图1-16 防ND欺骗配置举例组网图

2. 配置步骤

(1)      进入“策略配置 > 安全设置 > 安全防护 > ARP/ND攻击防护 > 防ND欺骗”;关闭ND学习,开启ND反向查询,设置每MAC地址IP数检查,开启接口主动保护,然后点击提交按钮提交配置。

图1-17 防ND欺骗配置

图1-18 启用防ND欺骗

进入“策略配置 > 安全设置 > 安全防护 > ARP/ND攻击防护 > IP-MAC绑定”;绑定被保护服务器的IPMAC地址,勾选唯一性,然后点击提交按钮提交配置。

图1-19 配置IP-MAC绑定

 

进入“策略配置 > 安全设置 > 安全防护 > ARP/ND攻击防护 > ARP/ND Flood攻击”;设置阈值和抑制时长,然后点击提交按钮提交配置。

图1-20 配置ND Flood攻击防护

 

3. 验证配置

如下图所示,进入“数据中心>安全日志>安全防护日志”,进入安全防护日志显示页面,可以查看防ND欺骗日志。

图1-21 安全防护日志

 

1.2  异常报文攻击防护

1.2.1  异常报文攻击防护概述

在网络中,有时会有一些带有攻击性质的报文传输,通常这些报文能对目标主机进行破坏,异常报文攻击防护能对这些报文进行拦截并报日志。

1.2.2  异常报文攻击防护配置

通过菜单“策略配置 > 安全设置 > 安全防护 > 异常包攻击防御”进入异常包攻击防御的配置界面,如图1-22所示。

图1-22 异常报文攻击防护设置界面

 

表1-8 异常报文攻击防护详细配置描述表

配置项

说明

Ping of Death

ping-of-death攻击是通过向目的主机发送长度超过65535的icmp报文,使目的主机发生处理异常而崩溃。

配置了防ping-of-death攻击功能后,设备可以检测出ping-of-death攻击,丢弃攻击报文并根据配置输出告警日志信息。

Land-Base

Land-base攻击通过向目的主机发送目的地址和源地址相同的报文,使目的主机消耗大量的系统资源,从而造成系统崩溃或死机。

配置了防land-base攻击功能后,设备可以检测出Lland-base攻击,丢弃攻击报文并根据配置输出告警日志信息。

Tear-drop

tear-drop攻击通过向目的主机发送报文偏移重叠的分片报文,使目的主机发生处理异常而崩溃配置了防Tear-drop攻击功能后,设备可以检测出Tear-drop攻击,并输出告警日志信息。

因为正常报文传送也有可能出现报文重叠,因此设备不会丢弃该报文,而是采取裁减、重新组装报文的方式,发送出正常的报文。

Tcp flag

TCP 异常攻击防护功能开启后,缺省情况下当安全网关发现受到TCP 异常攻击后,会丢弃攻击包。

Winnuke

Winnuke攻击通过向目的主机的139、138、137、113、53端口发送TCP紧急标识位URG为1的带外数据报文,使系统处理异常而崩溃。

配置了防Winnuke攻击功能后,可以检测出Winnuke攻击报文,丢弃攻击报文并根据配置输出告警日志信息。

Smurf

这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。

Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(PING)数据包,来淹没受害主机,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。

IP-Spoof

防护IP地址欺骗攻击,暂时用反向路由检测来实现,如果反向路由不存在或者反向路由查询结果是存在,但是该IP 为目的地址的数据包离开设备的接口和收到报文的接口不一致,则认为是攻击。

Jolt2

Jolt2攻击通过向目的主机发送报文偏移加上报文长度超过65535的报文,使目的主机处理异常而崩溃。

tcp sack

当tcp 的mss很小,并且不停发布连续报文时,会触发漏洞。

 

1.2.3  异常报文攻击防护配置举例

1. 用户需求

配置异常报文攻击防护,开启Land-Base攻击防护和IP-Spoof攻击防护。

2. 配置步骤

通过菜单“策略配置 > 安全设置 > 安全防护 > 异常包攻击防御”打开异常报文攻击防御显示页面,点击勾选Land-Base攻击防护和IP-Spoof攻击防护选项,如图1-23所示,点击<提交>按钮,配置完成。

图1-23 异常包攻击防御配置页面

 

1.3  IPv6异常报文防护

1.3.1  IPv6异常报文防护配置

图1-24所示,通过菜单“策略配置>安全设置>安全防护>异常包攻击防御>IPv6异常包攻击”使用该功能。

图1-24 IPv6异常包攻击防御的配置界面

 

表1-9 IPv6异常包攻击详细信息描述表

配置项

说明

Winnuke

winnuke报文攻击

Land-Base

Land-Base报文攻击

TCP flag

异常的TCP flag报文攻击

Fraggle

Fraggle报文攻击

IP Spoof

IP地址欺骗攻击

 

说明

IPv6异常包攻击的配置和显示等都在一个页面。

 

1.3.2  IPv6异常包攻击防护举例

1. 用户需求

配置设备 进行IPv6异常的TCP flag报文攻击防护功能。

2. 配置步骤

图1-25所示,通过菜单“策略配置 > 安全设置 > 安全防护 > 异常包攻击防御 > IPv6异常包攻击”打开显示页面,点击勾选TCP flag攻击防护选项,点击<提交>按钮,配置完成。

图1-25 IPv6异常包攻击配置页面

 

1.4  扫描攻击防护

1.4.1  扫描攻击防护概述

扫描攻击是指,攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定位潜在目标的位置,探测目标系统的网络拓扑结构和启用的服务类型,为进一步侵入目标系统做准备。设备可以有效防范以上攻击,从而阻止外部的恶意攻击,保护设备和内网。当检测到此类扫描探测时,向用户进行报警提示。

1.4.2  扫描攻击防护配置

通过菜单“策略配置 > 安全设置 > 安全防护 > 异常包攻击防御 > 扫描攻击防御”进入扫描攻击防御显示界面,如图1-26所示。点击<新建>按钮,进入新建扫描攻击防御界面,如图1-27所示。

图1-26 扫描攻击防御显示界面

 

说明

在该页面上,显示所有配置的扫描攻击防护表项,同时能够<新建>、<编辑>和<删除>等。

 

图1-27 扫描攻击防御新建页面

 

表1-10 扫描攻击防御详细信息描述表

配置项

说明

选择接口

选择需要防护的接口

扫描阈频率

需要防护的阈值

加入黑名单

启用加入黑名单的选项

加入黑名单的时间

将源IP加入黑名单的时间

 

1.4.3  扫描攻击防护配置举例

1. 用户需求

开启ge1接口的扫描攻击防御功能,采用缺省配置。

2. 配置步骤

(1)      图1-28所示,通过菜单“策略配置 > 安全设置 > 安全防护 > 异常包攻击防御 > 扫描攻击防御”打开显示页面,点击显示页面的<新建>按钮。

图1-28 扫描攻击防御显示界面

 

(2)      图1-29所示,在弹出的新建页面中进行配置,勾选“启用端口扫描防护”和“启用IP扫描防护”,使用缺省配置。

图1-29 扫描攻击防御配置界面

 

(3)      点击<提交>按钮,完成扫描攻击防护的配置。

3. 验证配置

图1-30所示,通过菜单“策略配置 > 安全设置 > 安全防护 > 异常包攻击防御 > 扫描攻击防御”打开扫描攻击防御显示页面,在显示页面中看到刚才配置的规则,如图1-30所示。

图1-30 扫描攻击防御配置结果

 

1.5  DoS攻击防护

1.5.1  DoS攻击防护概述

DoS攻击是指,攻击者在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息,而无法为合法用户提供正常服务,即发生拒绝服务。

当前支持对以下四种攻击进行有效防范:

1. SYN Flood攻击

由于资源的限制,TCP/IP协议栈只能允许有限个TCP连接。SYN Flood攻击者向服务器发送伪造源地址的SYN报文,服务器在回应SYN ACK报文后,由于目的地址是伪造的,因此服务器不会收到相应的ACK报文,从而在服务器上产生一个半连接。若攻击者发送大量这样的报文,被攻击服务器上会出现大量的半连接,耗尽其系统资源,使正常的用户无法访问,直到半连接超时。

2. ICMP Flood攻击

ICMP Flood攻击是指,攻击者在短时间内向特定目标发送大量的ICMP请求报文,使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务。

3. UDP Flood攻击

UDP Flood攻击是指,攻击者在短时间内向特定目标发送大量的UDP报文,致使目标系统负担过重而不能处理正常的业务。

4. DNS Flood攻击

DNS Query Flood 攻击采用的方法是向被攻击的DNS 服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络上根本不存在的域名。被攻击的DNS 服务器在接收到域名解析请求时,首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析时,DNS 服务器会向其上层DNS 服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS 服务器解析域名超时。

1.5.2  目的IP防御设置

通过菜单“策略配置 > 安全设置 > 安全防护 > DoS攻击防护 > 目的IP防御”进入目的IP防御的显示界面,如图1-31所示。点击<新建>按钮,弹出目的IP防御的配置界面,如图1-32所示。

图1-31 目的IP防御显示界面

 

图1-32 新建目的IP防御界面

 

表1-11 配置说明

配置项

说明

指定保护主机的IP地址

指定保护地址范围

SYN Flood阈值

每秒发往目的IP的最大SYN报文个数

UDP Flood阈值

每秒发往目的IP的最大UDP报文个数

ICMP Flood阈值

每秒发往目的IP的最大ICMP报文个数

DNS Flood阈值

每秒发往目的IP的最大DNS报文个数

 

1.5.3  目的IP防御配置举例

1. 用户需求

配置保护IP地址为1.1.1.1-1.1.1.10,开启UDP Flood防御阈值为1000的规则。

2. 配置步骤

(1)      图1-33所示,通过菜单“策略配置>安全设置>安全防护>DoS攻击防护>目的IP防御”打开显示页面,点击上面的<新建>按钮,如图1-34所示,在弹出的新建页面中进行配置。

图1-33 目的IP防御显示页面

 

图1-34 目的IP防御配置页面

 

(2)      完成配置后,点击<提交>按钮,规则创建成功。

1.5.4  接口防御设置

通过菜单“策略配置 > 安全设置 > 安全防护 > DoS攻击防护 > 接口防御”进入接口防御显示界面,如图1-35所示。点击<新建>按钮后,将弹出新建接口防御界面,如图1-36所示。

图1-35 接口防御显示界面

 

图1-36 接口防御新建页面

 

表1-12 配置说明

配置项

说明

接口名

选择需要防护的接口名称

SYN Flood选项

对每台源主机进行流限制:设置源主机的流限制阈值

对目标主机限制最大连接:设置目的主机的最大连接

UDP Flood选项

对每台源主机进行流限制:设置源主机的流限制阈值

对目标主机限制最大连接:设置目的主机的最大连接

ICMP Flood选项

对每台源主机进行流限制:设置源主机的流限制阈值

对目标主机限制最大连接:设置目的主机的最大连接

DNS Flood选项

对每台源主机进行流限制:设置源主机的流限制阈值

对目标主机限制最大连接:设置目的主机的最大连接

 

1.5.5  接口防御配置举例

1. 用户需求

ge1接口,开启UDP flood防御,并设置其对源主机和目的主机的限制阈值都为1000。

2. 配置步骤

通过菜单“策略配置 > 安全设置 > 安全防护 > DoS攻击防护 > 接口防御”,打开如图1-37所示接口防御的显示页面,点击<新建>按钮,在弹出的新建页面进行配置。配置完成后,点击<提交>按钮,完成接口防御的配置。

图1-37 接口防御配置页面

 

1.6  IPMAC绑定

1.6.1  IPMAC概述

Address Resolution Protocol (ARP)是寻找IP地址所对应的MAC地址的一种协议。

在以太网中,对于处于同一子网的两个通信实体来说,一次IP通信过程大致如下:

当源端发送一个IP包之前,它必须知道目的端的MAC地址才可以完成封装,可是此时源端只能知道目的端的IP地址(通过用户的事先配置或者查路由表),这样就必须依靠ARP协议来完成目的端MAC地址的解析。因此源端发送一个包含目的IP地址的ARP 请求,目的端收到后向源端返回ARP应答,通告自己的MAC地址,源端获得目的端MAC地址后才可以将IP包封装在以太网头中发送出去。

由于网络中可能存在一些攻击软件仿冒某台主机上网,逃过跟踪。为了避免这种情况,设备实现了IP-MAC绑定功能,把用户的MAC和IP绑定起来。配置了IP-MAC绑定后,通过设备的报文的MAC和IP必须严格一致,否则报文将被丢弃。

1.6.2  IPMAC绑定添加

通过菜单“策略配置>安全设置>安全防护>ARP攻击防护>IP-MAC绑定”进入IP-MAC绑定显示界面,如图1-38所示。点击<新建>按钮后,将弹出新建IP-MAC绑定界面,如图1-39所示。

图1-38 IPMAC绑定显示界面

 

图1-39 IP-MAC绑定添加

 

表1-13 配置说明

配置项

说明

名称

IP-MAC绑定项的名称

描述

规则描述信息

IP地址

绑定的IP地址

MAC地址

绑定的MAC地址

唯一性

绑定类型

开启表示一个MAC和一个IP地址唯一对应,关闭表示一个MAC地址和多个IP地址对应

 

1.6.3  IPMAC绑定配置举例

1. 用户需求

配置名为test的IPMAC绑定规则,将IP地址2.2.2.2和MAC地址00:de:ad:00:00:0c进行绑定。

2. 配置步骤

(1)      通过菜单“策略配置>安全设置>安全防护>ARP攻击防护>IP-MAC绑定”打开如图1-40的IPMAC绑定显示页面,点击<新建>按钮。

(2)      在弹出的新建页面中,对规则进行配置,完成后点击<提交>按钮。

图1-40 IPMAC绑定配置页面

 

1.7  防ARP攻击

1.7.1  ARP攻击概述

在局域网中,通信前必须通过ARP协议将IP地址转换为MAC地址。ARP协议对网络安全具有重要的意义,但是当初ARP方式的设计没有考虑到过多的安全问题,留下很多隐患,使得ARP攻击成为当前网络环境中遇到的一个非常典型的安全威胁。

通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存,造成网络中断或中间人攻击。

受到ARP攻击后会出现无法正常上网、ARP包爆增、不正常或错误的MAC地址、一个MAC地址对应多个IP、IP冲突等情况。ARP攻击因为技术门槛低,易于实现,在现今的网络中频频出现,有效防范ARP攻击已成为确保网络畅通的必要条件。

设备的防ARP攻击功能有效识别ARP欺骗攻击和ARP flood攻击,对疑似攻击的行为告警,并配合IP-MAC绑定、主动保护发包及关闭ARP学习等,有效防范ARP攻击造成的损害。

1.7.2  ARP表项显示

通过菜单“策略配置 > 安全设置 > 安全防护 > ARP攻击防护 > ARP表”进入ARP表显示界面,如图1-41所示。

图1-41 ARP表项显示

 

1.7.3  ARP Flood攻击防护

图1-42所示,通过菜单“策略配置 > 安全设置 > 安全防护 > ARP攻击防护 > ARP Flood攻击”使用该功能。

图1-42 ARP Flood攻击设置页面

 

表1-14 ARP Flood攻击防护详细配置描述表

配置项

说明

启用

点选启用防ARP Flood攻击

ARP攻击识别阈值

一秒内收到ARP报文的数量,缺省配置为300个/秒

攻击主机抑制时长

设置阻断时间,当系统检测到攻击时,在配置的时长内拒绝来自于该台源主机的所有其它包,缺省配置为60秒

 

1.7.4  ARP欺骗

图1-43所示,通过菜单“策略配置 > 安全设置 > 安全防护 > ARP攻击防护 > 防ARP欺骗”使用该功能。

图1-43 防ARP欺骗设置页面

 

表1-15 防ARP欺骗详细信息描述表

配置项

说明

ARP防欺骗攻击

点选启用ARP防欺骗攻击

关闭ARP学习

缺省情况下启用ARP学习,关闭后只要是不匹配IP-MAC绑定表的报文都将被丢弃

主动保护

点选启用主动保护发包功能,每隔一定时间间隔发送一次主动保护列表上的免费ARP报文

时间间隔

发送主动保护列表上的ARP的时间间隔,缺省配置为1秒

 

1.7.5  主动保护列表添加

点选图1-44防ARP欺骗设置页面中的保护列表下的<新建>按钮后,将弹出如下页面。

图1-44 主动保护列表页面

 

表1-16 主动保护详细信息描述表

配置项

说明

接口

ARP报文发送接口

接口保护

在保护列表中加入接口地址

IP地址&MAC地址

广播ARP报文的IP和MAC

 

1.7.6  主动保护列表配置举例

1. 用户需求

将接口ge1加入防ARP欺骗的主动保护列表中。保护的IP和MAC分别为:2.2.2.2和00:de:ad:00:00:0c。

2. 配置步骤

(1)      先选中图1-45防ARP欺骗设置中的ARP防欺骗攻击<启用>按钮,可以看到主动保护列表下的<新建>按钮可选了,点击后会弹出主动保护列表的配置页面。

(2)      选择接口为ge1,输入要保护的IP和MAC地址,点击“添加到列表”。

图1-45 主动保护列表配置页面

 

(3)      图1-46所示,点击<提交>按钮后,可以在防ARP欺骗页面看到我们加入的ge1接口。

图1-46 防ARP欺骗页面

 

1.8  行为模型

1.8.1   行为模型简介

行为模型(又名DNS隧道),是隐蔽信道的一种,通过将其它协议封装在DNS协议中传输建立通信。因为在我们的网络世界中DNS是一个必不可少的服务,所以大部分防火墙和入侵检测设备很少会过滤DNS流量,这就给DNS作为一种隐蔽信道提供了条件,从而可以利用它实现诸如远程控制,文件传输等操作,现在越来越多的研究证明DNS 隧道也经常在僵尸网络和APT攻击中扮演者重要的角色,因此DNS隐蔽隧道检测势在必行。

设备通过对DNS隐蔽隧道特征的提取和特征综合分析,来实现对DNS隐蔽隧道的检测,从而阻止DNS隧道带来的威胁。

 

1.8.2  行为模型配置页面

通过菜单“策略配置>安全设置>安全防护>行为模型”,编辑DNS隧道检测,点击<编辑>,进入如图1-47所示页面。各个配置项含义如表1-17所示。

图1-47 DNS隧道配置页面

 

表1-17 DNS隧道配置各项含义表

标题项

说明

开启

是否开启dns隧道功能

日志

记录dns隧道日志(在安全日志-行为模型日志)

检测宽松度

严格、适中、宽松,默认适中。严格的阈值为50,适中的阈值为100,宽松的阈值为200

检测方式

所有、基于异常报文、基于流量模型

处理动作

允许或拒绝

使用预置白名单

设备配置的DNS服务器地址,默认勾选(开启后不会在走dns-tunnel流程)dns透明代理和dns缓存不算在里面

添加自定义白名单

64个

 

1.8.3  行为模型配置举例

1. 组网需求

针对公司内部网络,设备需要开启DNS检测功能避免内网用户被远程黑客控制成为僵尸网络和APT攻击,公司出口开启了DNS服务功能,先检测分析日志。

(1)      在DNS隧道模块里直接启用使用预置白名单;

(2)      自定义白名单加入了运营商提供的DNS服务器。

 

2. 组网图

图1-48 行为模型组网图

 

3. 配置步骤

(1)      启用DNS隧道,在导航栏中选择“策略配置>安全设置>安全防护>行为模型”,编辑DNS隧道检测,点击<编辑>启用DNS隧道检测记录日志,处理动作为允许,如图1-49所示。

图1-49 编辑DNS隧道检测

 

(2)      点击<提交>按钮,提交配置。

在导航栏中选择“数据中心>日志中心>安全日志>行为模型日志”。查看分析行为模型日志,如图1-50所示。

图1-50 行为模型日志

 

(3)      启用DNS隧道,在导航栏中选择“策略配置>安全设置>安全防护>行为模型”,编辑DNS隧道检测,点击<编辑>启用DNS隧道检测记录日志,处理动作为拒绝并加入黑名单1小时,如图1-51所示。

图1-51 编辑DNS隧道检测

 

(4)      点击<提交>按钮,提交配置。

4. 验证配置

在导航栏中选择“数据中心>日志中心>安全日志>行为模型日志”。查看,如图1-52所示。

图1-52 行为模型日志

 

在导航栏中选择“数据中心>系统监控>黑名单记录”。查看黑名单记录,被检测出来的DNS服务器地址加入黑名单,如图1-53所示。

图1-53 黑名单

 

1.9  防暴力破解

1.9.1  防暴力破解简介

暴力破解是指攻击者通过穷举的方法登录相应服务从而获得可以登录的用户名密码对。通过检测出流量中的暴力破解行为并进行阻断。用户可配置是否开启暴力破解防御,服务类型,支持的服务类型包括ftp、telnet、smtp、http、imap、mssql、mysql、oracle、pop3、postgres,各个服务单独配置暴力破解检测时长和阈值,配置是否把攻击者加入黑名单。

1.9.2  防暴力破解配置

图1-54所示,在导航栏中选择“策略配置>安全设置>安全防护>防暴力破解”,进入防暴力破解的配置界面。

图1-54 防暴力破解配置界面

 

表1-18 防暴力破解界面详细描述表

标题项

说明

启用

勾选启用/禁用防暴力破解功能

服务

选择监测的服务

Web登录保护

勾选启用/禁用web登录保护功能

url路径

Web登录保护的url

攻击者加入黑名单

勾选启用/禁用攻击者加入黑名单功能

 

1.9.3  服务选择

图1-55所示,在导航栏中选择“策略配置>安全设置>安全防护>防暴力破解”,点击“请选择服务”弹出服务的配置界面。

图1-55 服务配置界面

 

表1-19 服务配置界面详细描述表

标题项

说明

协议

勾选需要开启防暴力破解功能的服务

检测时长

防暴力破解的检测周期

阈值

攻击次数,达到阈值触发防暴力破解记录攻击事件

 

1.10  弱密码防护

1.10.1  弱密码防护简介

对于密码明文传输的服务,从登录报文中提取出密码并判断出密码强度,若为弱密码则产生日志但不阻断登录。支持的服务包括ftp、imap、pop3、smtp、telnet。用户可以配置开启或者关闭弱密码检测功能,目标服务,弱密码密码强度。

1.10.2  弱密码防护

图1-56所示,在导航栏中选择“策略配置>安全设置>安全防护>弱密码防护”,进入弱密码防护的配置界面。

图1-56 弱密码防护配置界面

 

表1-20 防暴力破解界面详细描述表

标题项

说明

启用

勾选启用/禁用弱密码防护功能

服务

选择检测的服务

弱密码规则

勾选启用/禁用弱密码防护规则

自定义密码

配置自定义弱密码字典

 

1.10.3  服务选择

图1-57所示,在导航栏中选择“策略配置>安全设置>安全防护>弱密码防护”,点击“选择服务”弹出服务配置页面。

图1-57 服务配置界面

 

表1-21 服务配置界面详细描述表

标题项

说明

名称

服务名称

描述

服务的功能描述

 

1.10.4  弱密码规则

图1-58所示,在导航栏中选择“策略配置>安全设置>安全防护>弱密码防护”,点击“选择规则”弹出弱密码规则配置页面。

图1-58 规则配置界面

 

表1-22 规则配置界面详细描述表

标题项

说明

规则内容

勾选规则的详细描述

 

1.11  非法外联防护

1.11.1  非法外联防护简介

为保证内部网络的安全可靠运行,通常采用以下两种方式对内外网实施安全隔离:

(1)      内、外网物理隔离

内、外网进行物理隔离,严格上来讲,内外网根本就没有连通,不能相互通信,专职人员必须使用物理隔离的计算机才能访问内外网。

(2)      内、外网逻辑隔离

内、外网逻辑隔离,主要是通过划分VLAN等技术手段,隔离一些特殊群体,以实施更有针对性的安全防护,实现内部网络的相对独立性。同时在内外网连接处,一般安装防火墙或入侵检测系统对内网提供保护。

但是,非法外联和非法接入等行为,很容易对物理隔离和逻辑隔离的内部网络造成损害。

针对以上情况通过对内部网络终端或者服务器的外联行为进行识别,设定允许终端或者服务器外联的地址、外联地址的服务及端口来定义正常外联行为,定义的正常外联行为之外的所有外联行为全部作为非法外联。

1.11.2  非法外联防护

1. 非法外联防护策略

图1-59所示,在导航栏中选择“策略配置>安全设置>安全防护>非法外联防护”,进入非法外联防护策略的配置界面。

图1-59 非法外联防护策略配置界面

 

表1-23 非法外联防护界面详细描述表

标题项

说明

新建

新建策略

删除

删除勾选的策略

启用

启用勾选的策略

禁用

禁用勾选的策略

匹配次数清零

清空勾选的策略

操作-编辑

编辑该条策略

操作-删除

删除该条策略

 

2. 新建策略

图1-60所示,在导航栏中选择“策略配置>安全设置>安全防护>非法外联防护”,进入非法外联防护策略的配置界面。点击“新建”创建策略。

图1-60 策略配置界面

 

表1-24 字典配置界面详细描述表

标题项

说明

启用

勾选启用策略

日志

勾选开启日志记录

动作

匹配策略的数据允许/拒绝通过

服务器地址

保护的内网服务器地址

服务器外联地址

内网允许访问的外网地址

 

3. 新建服务器外联地址

图1-61所示,在导航栏中选择“策略配置>安全设置>安全防护>非法外联防护”,点击“新建”进入非法外联防护策略的配置界面,在“服务器外联地址”中,点击“新建”弹出服务器外联地址的配置窗口。

图1-61 服务器外联地址配置界面

 

表1-25 字典配置界面详细描述表

标题项

说明

允许外联地址

允许外联地址,支持ip和域名配置。

Tcp

允许外联的tcp端口,最多支持128个端口。

Udp

允许外联的udp端口,最多支持128个端口。

ICMP

勾选是否允许ping包。

 

1.11.3  非法外联学习

图1-62所示,在导航栏中选择“策略配置>安全设置>安全防护>非法外联防护>非法外联学习”,进入非法外联学习的配置界面。

图1-62 非法外联学习配置界面

 

表1-26 非法外联学习界面详细描述表

标题项

说明

服务器地址

学习的服务器地址

学习时长

选择学习时长

进度

显示学习进度

外联地址白名单

不参与学习的外联目的地址

外联协议白名单

不参与学习的外联目的端口

开始

开始学习

添加服务器合法连接

学习到的外联地址添加到防护中服务器外联地址

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们