- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
18-攻擊防範典型配置舉例
本章節下載: 18-攻擊防範典型配置舉例 (315.95 KB)
攻擊防範典型配置舉例
· 簡介
本章介紹攻擊防範功能的典型配置舉例。
攻擊防範功能主要有如下幾種實現方式:
掃描攻擊防範主要通過監測網絡使用者向目標係統發起連接的速率來檢測其探測行為,一般應用在設備連接外部網絡的安全域上,且僅對應用了攻擊防範策略的安全域上的入方向報文有效。
泛洪攻擊防範主要用於保護服務器,通過監測向服務器發起連接請求的速率來檢測各類泛洪攻擊,一般應用在設備連接外部網絡的安全域上,且僅對應用了攻擊防範策略的安全域上的入方向報文有效。
為保護指定IP地址,攻擊防範策略中支持基於IP地址的攻擊防範配置。對於所有非受保護IP地址,可以統一開啟攻擊防範檢測,並采用全局的參數設置來進行保護。
單包攻擊防範主要通過分析經過設備的報文特征來判斷報文是否具有攻擊性,一般應用在設備連接外部網絡的安全域上,且僅對應用了攻擊防範策略的安全域上的入方向報文有效。
自定義單包攻擊防範主要指用戶自己根據報文特征定義單包攻擊的報文類型。
攻擊防範例外列表用於過濾不需要進行攻擊防範檢測的主機報文,與指定的ACL permit規則匹配的報文將不會受到任何類型的攻擊防範檢測。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解攻擊防範特性。
如圖-1所示,某公司網絡邊界設備上的接口GigabitEthernet1/0/3與內部網絡連接,接口GigabitEthernet1/0/1與外部網絡連接。現有如下安全需求:
為防止外部網絡對內部網絡主機的掃描攻擊,需要在接口GigabitEthernet1/0/1所在的Untrust安全域上開啟掃描攻擊防範。具體要求為:中防範級別的掃描攻擊防範;輸出告警日誌並丟棄攻擊報文。
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
1. 配置接口的IP地址並將接口加入安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:20.1.1.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
· 安全域:Trust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:30.1.1.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置安全策略
# 選擇“策略 > 安全策略> 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:Secpolicy
· 源安全域:Untrust
· 目的安全域:Trust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:20.1.1.0/24
· 目的IPv4地址:30.1.1.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
3. 掃描防範配置
# 選擇“策略 > 安全防護 > 攻擊防範”,進入攻擊防範配置頁麵。
# 單擊<新建>按鈕,參數配置如下圖所示。
# 單擊<確定>按鈕,完成策略配置,如下圖所示。
圖-3 攻擊防範策略列表
1. 在IP地址為20.1.1.2的主機上模擬攻擊者向目的地址30.1.1.2發起大量變目的端口(0-65535)的SYN報文
2. 在設備上,選擇“監控 > 安全日誌 > 掃描攻擊日誌”,查看攻擊防範日誌信息
圖-4 掃描攻擊日誌列表
3. 雙擊選中的日誌,查看詳細信息
圖-5 掃描攻擊日誌詳細信息
4. 該報文在設備上直接被丟棄,沒有轉發,在“監控 > 會話列表”中沒有對應會話信息
如圖-6所示,某公司網絡邊界設備上的接口GigabitEthernet1/0/3與內部網絡連接,接口GigabitEthernet1/0/1與外部網絡連接。現有如下安全需求:
為防止外部網絡對內部網絡主機的SYN Flood攻擊,需要在接口GigabitEthernet1/0/1所在的Untrust安全域上開啟SYN Flood攻擊防範。具體要求為:當設備監測到向內部服務器每秒發送的SYN報文數持續達到或超過10000時,輸出告警日誌並丟棄攻擊報文。
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
1. 配置接口的IP地址並將接口加入安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:20.1.1.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
· 安全域:Trust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:30.1.1.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置安全策略
# 選擇“策略 > 安全策略> 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:Secpolicy
· 源安全域:Untrust
· 目的安全域:Trust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:20.1.1.0/24
· 目的IPv4地址:30.1.1.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
3. 泛洪攻擊防範公共配置
# 選擇“策略 > 安全防護 > 攻擊防範”,進入攻擊防範配置頁麵。
# 單擊<新建>按鈕,參數配置如下圖所示。
圖-7 新建攻擊防範策略
#單擊<編輯>按紐,完成配置,如下圖所示。
圖-8 圖-8 編輯泛洪防範公共配置
# 單擊<確定>按鈕,完成策略配置,如下圖所示。
圖-9 攻擊防範策略列表
1. 在IP地址為20.1.1.2的主機上模擬攻擊者向目的地址30.1.1.2發起大量變源端口(0-65535)的SYN報文
2. 在設備上,選擇“監控 > 安全日誌 > 泛洪攻擊日誌”,查看攻擊防範日誌信息
圖-10 泛洪攻擊日誌列表
3. 雙擊選中的日誌,查看詳細信息
圖-11 泛洪攻擊日誌詳細信息
# 報文被丟棄,並產生日誌信息
4. 該報文在設備上直接被丟棄,沒有轉發,在“監控 > 設備日誌 > 流量日誌”中沒有對應會話信息
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
