登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

08-安全配置指導

目錄

21-黑名單配置

本章節下載 21-黑名單配置  (125.52 KB)

21-黑名單配置

目  錄

1 黑名單配置

1.1 黑名單功能簡介簡介

1.2 配置黑名單

1.3 黑名單顯示和維護

1.4 黑名單功能配置舉例

1.4.1 組網需求

1.4.2 組網圖

1.4.3 配置步驟

1.4.4 驗證配置結果

 

1 黑名單配置

1.1  黑名單功能簡介簡介

黑名單功能是根據報文的源IP地址進行報文過濾的一種攻擊防範特性。同基於ACL(Access Control List,訪問控製列表)的包過濾功能相比,黑名單進行報文匹配的方式更為簡單,可以實現報文的高速過濾,從而有效地將特定IP地址發送來的報文屏蔽掉。

黑名單可以由設備動態地進行添加或刪除,這種動態添加是與用戶登錄設備的認證功能配合實現的,動態生成的黑名單表項會在一定的時間之後老化。具體實現是:

當設備檢測到某用戶通過FTP、Telnet、SSH、SSL或Web方式嚐試登錄設備的失敗次數達到指定閾值之後,便判定其為惡意攻擊用戶,並將其源IP地址自動加入黑名單,之後來自該IP地址且訪問本設備的報文將被設備過濾掉。此處所指的認證失敗情況包括:用戶名錯誤、密碼錯誤、驗證碼錯誤(針對Web登錄用戶)。該功能可以有效防範惡意用戶通過不斷嚐試登錄認證,嚐試破解登錄密碼的攻擊行為。目前,用戶登錄失敗次數的閾值為6,黑名單的老化時間為10分鍾,且均不可配。

除上麵所說的動態方式之外,設備還支持手動方式添加或刪除黑名單。手動配置的黑名單表項分為永久黑名單表項和非永久黑名單表項。永久黑名單表項建立後,一直存在,除非用戶手工刪除該表項。非永久黑名單表項的老化時間由用戶指定,超出老化時間後,設備會自動將該黑名單表項刪除,黑名單表項對應的IP地址發送的報文即可正常通過。

1.2  配置黑名單

黑名單的配置包括使能黑名單功能和添加黑名單表項。添加黑名單表項的同時可以選擇配置黑名單表項的老化時間,若不配置,那麼該黑名單表項永不老化,除非用戶手動將其刪除。

表1-1 配置黑名單

配置步驟

命令

說明

進入係統視圖

system-view

-

使能黑名單功能

blacklist enable

必選

缺省情況下,黑名單功能處於未使能狀態

添加黑名單表項

blacklist ip source-ip-address [ timeout minutes ]

可選

 

1.3  黑名單顯示和維護

在完成上述配置後,在任意視圖下執行display命令可以查看黑名單配置的效果。

表1-2 黑名單的顯示和維護

操作

命令

顯示黑名單信息

display blacklist { all | ip source-ip-address [ slot slot-number ] | slot slot-number } [ | { begin | exclude | include } regular-expression ]

 

1.4  黑名單功能配置舉例

1.4.1  組網需求

網絡管理員通過流量分析發現外部網絡中存在一個攻擊者Host D,需要將來自Host D的報文在Device上永遠過濾掉。另外,網絡管理員為了控製內部網絡的Web認證用戶Host C的訪問行為,當該用戶登錄失敗次數超過6次,需要將Device上收到的Host C的報文阻止10分鍾。

1.4.2  組網圖

圖1-1 黑名單配置典型組網圖

 

1.4.3  配置步驟

# 配置各接口的IP地址,略。

# 使能黑名單功能。

<Device> system-view

[Device] blacklist enable

# 將Host D的IP地址5.5.5.5添加到黑名單中,缺省永不老化。

[Device] blacklist ip 5.5.5.5

1.4.4  驗證配置結果

完成以上配置後,可以通過display blacklist all命令查看已添加的黑名單信息。

[Device] display blacklist all

                    Blacklist information

------------------------------------------------------------------------------

Blacklist                               : enabled

Blacklist items                         : 2

------------------------------------------------------------------------------

IP              Type   Aging started       Aging finished      Dropped packets

                       YYYY/MM/DD hh:mm:ss YYYY/MM/DD hh:mm:ss

5.5.5.5         manual 2011/04/09 16:02:20 Never               0

192.168.1.4     manual 2011/04/09 16:02:26 2011/04/09 16:12:26 0

配置生效後,Device對來自Host D的報文一律進行丟棄處理,除非管理員認為Host D不再是攻擊者,通過undo blacklist ip 5.5.5.5將其從黑名單中刪除;如果Device接收到來自Host C的報文,Web認證失敗次數超過6次,則在10分鍾之內,對其進行丟棄處理,10分鍾之後,才進行正常轉發。

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆 官網
聯係我們