- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
07-黑名單
本章節下載: 07-黑名單 (225.81 KB)
本幫助主要介紹以下內容:
· 特性簡介
· 配置指南
黑名單功能是根據報文的IP地址進行報文過濾的一種攻擊防範特性。同基於ACL的包過濾功能相比,黑名單進行報文匹配的方式更為簡單,可以實現報文的高速過濾和有效屏蔽。
黑名單可以由設備動態或由用戶手工進行添加、刪除,具體機製如下:
· 動態添加黑名單是與掃描攻擊防範功能配合實現的,動態生成的黑名單表項會在一定的時間之後老化。當設備根據報文的行為特征檢測到某特定IP地址的掃描攻擊企圖之後,便將攻擊者的IP地址自動加入黑名單,之後該IP地址發送的報文會被設備過濾掉。
· 手動配置的黑名單表項分為永久黑名單表項和非永久黑名單表項。永久黑名單表項建立後,一直存在,除非用戶手工刪除該表項。非永久黑名單表項的老化時間由用戶指定,超出老化時間後,設備會自動將該黑名單表項刪除。
通過配置黑名單功能可以對來自指定IP地址和地址對象組的報文進行過濾。
黑名單表項除了可以手工添加之外,還可以通過掃描攻擊防範自動添加。具體來講就是,在黑名單功能使能的前提下,若配置了掃描攻擊防範策略及相應的黑名單添加功能,則可以將檢測到的掃描攻擊方地址添加到黑名單中。
1. 單擊“策略 > 安全防護 > 黑名單”。
2. 在“IP黑名單”頁簽單擊<新建>按鈕。
3. 手工添加IP黑名單。
表-1 IP黑名單配置
|
參數 |
說明 |
|
VRF |
黑名單所屬的VPN實例 可選擇已創建的VRF,也可以新創建VRF。此處新建的VRF,可在“網絡 > VRF”頁麵查看 |
|
IP地址類型 |
· IPv4 · IPv6 |
|
IP地址方向 |
· 源地址 · 目的地址 |
|
IP地址 |
黑名單的IP地址,用於匹配報文的源IP地址或目的IP地址 |
|
DS-Lite對端地址 |
黑名單的IPv4地址所屬的DS-Lite隧道B4端IPv6地址 僅當“IP地址類型”選擇“IPv4”時,支持配置本參數 僅當“IP地址方向”選擇“源地址”時,支持配置本參數 |
|
剩餘老化時間(秒) |
黑名單表項的剩餘老化時間。若不配置,那麼該IP黑名單表項永不老化,除非用戶手動將其刪除 |
4. 單擊<確定>按鈕,新建的黑名單會在“IP黑名單”頁簽顯示。
5. 在“IP黑名單”頁簽單擊<開啟全局應用>按鈕,“IP黑名單”頁簽與“地址對象組黑名單”頁簽下的黑名單對所有安全域生效。
1. 單擊“策略 > 安全防護 > 黑名單”。
2. 在“地址對象組黑名單”頁簽單擊<新建>按鈕。
3. 手工添加地址對象組黑名單。
表-2 地址對象組黑名單配置
|
參數 |
說明 |
|
對象組類型 |
· IPv4,即IPv4地址對象組 · IPv6,即IPv6地址對象組 |
|
對象組名稱 |
地址對象組的名稱 |
4. 單擊<確定>按鈕,新建的黑名單會在“地址對象組黑名單”頁簽顯示。
5. 在“地址對象組黑名單”頁簽單擊<開啟全局應用>按鈕,“IP黑名單”頁簽與“地址對象組黑名單”頁簽下的黑名單對所有安全域生效。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
