• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

09-安全配置指导

目录

15-攻击检测与防范配置

本章节下载 15-攻击检测与防范配置  (129.18 KB)

15-攻击检测与防范配置


1 攻击检测及防范

1.1  攻击检测及防范简介

攻击检测及防范是一个重要的网络安全特性,它通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行一定的防范措施,例如丢弃报文。

设备仅支持TCP分片攻击防范和Login用户字典序攻击防范功能。

1.1.1  TCP分片攻击

设备的包过滤功能一般是通过判断TCP首个分片中的五元组(源IP地址、源端口号、目的IP地址、目的端口号、传输层协议号)信息来决定后续TCP分片是否允许通过。RFC 1858对TCP分片报文进行了规定,认为TCP分片报文中,首片报文中TCP报文长度小于20字节,或后续分片报文中分片偏移量等于8字节的报文为TCP分片攻击报文。这类报文可以成功绕过上述包过滤功能,对设备造成攻击。

为防范这类攻击,可以在设备上配置TCP分片攻击防范功能,对TCP分片攻击报文进行丢弃。

1.1.2  Login用户字典序攻击

字典序攻击是指攻击者通过收集用户密码可能包含的字符,使用各种密码组合逐一尝试登录设备,以达到猜测合法用户密码的目的。

为防范这类攻击,可以在设备上配置Login用户延时认证功能,在用户认证失败之后,延时期间不接受此用户的登录请求。

1.2  配置TCP分片攻击防范

1. 功能简介

设备上开启TCP分片攻击防范功能后,能够对收到的TCP分片报文的长度以及分片偏移量进行合法性检测,并丢弃非法的TCP分片报文。

2. 配置限制和指导

如果设备上开启了TCP分片攻击防范功能,并应用了单包攻击防范策略,则TCP分片攻击防范功能会先于单包攻击防范策略检测并处理入方向的TCP报文。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启TCP分片攻击防范功能。

attack-defense tcp fragment enable

缺省情况下,TCP分片攻击防范功能处于开启状态。

1.3  配置Login用户延时认证功能

1. 功能简介

Login用户登录失败后,若设备上配置了重新进行认证的等待时长,则系统将会延迟一定的时长之后再允许用户进行认证,可以有效地避免设备受到Login用户字典序攻击。

Login用户延迟认证功能与Login用户攻击防范功能无关,只要配置了延迟认证等待时间,即可生效。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置Login用户登录失败后重新进行认证的等待时长。

attack-defense login reauthentication-delay seconds

缺省情况下,Login用户登录失败后重新进行认证不需要等待。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们