登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

11-安全配置指導

目錄

10-黑名單配置

本章節下載 10-黑名單配置  (132.6 KB)

10-黑名單配置

目  錄

1 黑名單

1.1 黑名單功能簡介

1.2 配置黑名單

1.3 黑名單的顯示和維護

1.4 黑名單典型配置舉例

 

1 黑名單

說明

本功能僅設備網絡管理口支持。

 

1.1  黑名單功能簡介

黑名單功能是根據報文的源IP地址進行報文過濾的一種攻擊防範特性。同基於ACL(Access Control List,訪問控製列表)的包過濾功能相比,黑名單進行報文匹配的方式更為簡單,可以實現報文的高速過濾,從而有效地將特定IP地址發送來的報文屏蔽掉。

黑名單可以由設備動態地進行添加或刪除,這種動態添加是與用戶登錄設備的認證功能配合實現的,動態生成的黑名單表項會在一定的時間之後老化。具體實現是:當設備檢測到某用戶通過FTP、Telnet、SSH或Web方式嚐試登錄設備的失敗次數達到指定閾值之後,便判定其為惡意攻擊用戶,並將其源IP地址自動加入黑名單,之後來自該IP地址且訪問本設備的報文將被設備過濾掉。此處所指的認證失敗情況包括:用戶名錯誤、密碼錯誤、驗證碼錯誤(針對Web登錄用戶)。該功能可以有效防範惡意用戶通過不斷嚐試登錄認證,嚐試破解登錄密碼的攻擊行為。目前,用戶登錄失敗次數的閾值為6,黑名單的老化時間為10分鍾,且均不可配。

除上麵所說的動態方式之外,交換機還支持手動方式添加或刪除黑名單。手動配置的黑名單表項分為永久黑名單表項和非永久黑名單表項。永久黑名單表項建立後,一直存在,除非用戶手工刪除該表項。非永久黑名單表項的老化時間由用戶指定,超出老化時間後,設備會自動將該黑名單表項刪除,黑名單表項對應的IP地址發送的報文即可正常通過。

說明

登錄認證失敗後的黑名單添加功能僅對從主控板上登錄的用戶生效。

 

1.2  配置黑名單

通過配置黑名單功能可以對來自指定IP地址的報文進行過濾。

黑名單的配置包括使能黑名單功能和添加黑名單表項。添加黑名單表項的同時可以選擇配置黑名單表項的老化時間,若不配置,那麼該黑名單表項永不老化,除非用戶手動將其刪除。

表1-1 配置黑名單

配置步驟

命令

說明

進入係統視圖

system-view

-

使能黑名單功能

blacklist enable

必選

缺省情況下,黑名單功能處於未使能狀態

添加黑名單表項

blacklist ip source-ip-address [ timeout minutes ]

可選

掃描攻擊防範功能可以自動添加黑名單表項

 

1.3  黑名單的顯示和維護

在完成上述配置後,在任意視圖下執行display命令可以顯示配置後攻擊檢測及防範的運行情況,通過查看顯示信息驗證配置的效果。

表1-2 黑名單的顯示和維護

操作

命令

顯示黑名單信息(獨立運行模式)

display blacklist { all | ip source-ip-address [ slot slot-number ] | slot slot-number } [ | { begin | exclude | include } regular-expression ]

顯示黑名單信息(IRF模式)

display blacklist { all | chassis chassis-number slot slot-number | ip source-ip-address [ chassis chassis-number slot slot-number ] } [ | { begin | exclude | include }

 

1.4  黑名單典型配置舉例

1. 組網需求

網絡管理員通過流量分析發現外部網絡中存在一個攻擊者Host B,將Host B的IP地址添加至黑名單中,使Host B無法訪問Switch。

2. 組網圖

圖1-1 黑名單配置典型組網圖

 

3. 配置步驟

# 配置各接口的IP地址,略。

# 使能黑名單功能。

<Switch> system-view

[Switch] blacklist enable

# 將Host B的IP地址5.5.5.5添加到黑名單中,缺省永不老化。

[Switch] blacklist ip 5.5.5.5

4. 驗證配置結果

完成以上配置後,可以通過display blacklist all命令查看已添加的黑名單信息。

[Switch] display blacklist all

                    Blacklist information

------------------------------------------------------------------------------

Blacklist                               : enabled

Blacklist items                         : 2

------------------------------------------------------------------------------

IP              Type   Aging started       Aging finished      Dropped packets

                       YYYY/MM/DD hh:mm:ss YYYY/MM/DD hh:mm:ss

5.5.5.5         manual 2008/04/09 16:02:20 Never               0

配置生效後,Switch對來自Host B的報文一律進行丟棄處理,除非管理員認為Host B不再是攻擊者,通過undo blacklist ip 5.5.5.5將其從黑名單中刪除。

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆 官網
聯係我們