所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 安全加固 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
基于CPCAR报文速率限制的CPU防护

基于CPCAR报文速率限制的CPU防护

基于CPCAR报文速率限制防攻击,是指通过对上送报文根据协议类型进行分类,用CPCAR控制转发平面送往CPU的报文的带宽、优先级和包长,同时控制总的上送带宽,以达到控制上送报文的数量,优先保证高优先级业务,防止单板CPU过载以及攻击产生时发出告警以达到防御的目的。

目前CPU被攻击时对业务的影响主要来自于三方面原因:

  1. 没有区分合法协议报文和非法协议报文,CPU忙于处理大量非法协议报文利用率大幅升高,影响了对正常协议报文的处理。
  2. 部分协议报文使用同一通道上送CPU处理,当其中一个协议由于网络发生环路,导致海量报文被“链式反应”复制堵塞了上送CPU的通道,影响了其他协议
  3. 协议报文的上送通道带宽不合理(要么太大,要么太小),发生流量冲击时影响其他上送通道的协议处理。

    为了避免由于人因差错、IT管理导致的安全事故,要求做到:
    1. 收集设备上运行的各种业务涉及的协议,并进行归类
    2. 用ACL对三层报文进行过滤,合法协议报文入白名单和用户自定义流,其他报文走黑名单
    3. 对黑名单、白名单和用户自定义流这三类名单的优先级,上送带宽,告警功能进行规划
    4. 非三层业务进行带宽限制,设备上不部署的业务有选择地关闭

本文档根据当前现网业务和被攻击情况,对目前常见的协议进行归类并制定了其处理建议。本文档下述的配置方案也以该处理建议进行介绍。

CPCAR的配置方法和步骤

下面通过一个CPCAR配置实例,讲解如何将信任网段加入到白名单。

  1. 执行命令system-view,进入系统视图。
  2. 执行命令acl { [ number ] acl-number | name acl-name [ number acl-number ] } [ match-order { auto | config } ],创建高级ACL。
  3. 执行命令rule [ rule-id ] peimit [ fragment-type fragment-type-name | source { source-ip-address source-wildcard | any } | time-range time-name | vpn-instance vpn-instance-name ] *,配置ACL规则明确的信任网段。
  4. 执行命令rule [ rule-id ] deny [ fragment-type fragment-type-name | source { source-ip-address source-wildcard | any } | time-range time-name | vpn-instance vpn-instance-name ] *,配置ACL规则明确的不信任网段。
  5. 执行命令commit,提交配置。
  6. 执行命令quit,返回到系统视图。
  7. 执行命令cpu-defend policy policy-number,创建防攻击策略。
  8. 执行命令whitelist acl acl-number,创建白名单。

    缺省情况下,白名单功能是使能的。要去使能白名单功能,执行命令whitelist disable。

  9. 执行命令car whitelist { cir cir-value | cbs cbs-value } *,配置白名单上送带宽。
  10. 执行命令priority whitelist { high | middle | low },配置白名单上送优先级。
  11. 执行命令commit,提交配置。
  12. 执行命令quit,退出策略视图。
  13. 执行命令slot slotl-number,进入接口板视图。
  14. 执行命令cpu-defend-policy policy-number,将攻防策略和接口板绑定。

    配置完成防攻击策略后,必须在接口板上应用防攻击策略,本机防攻击功能才能生效

  15. 执行命令commit,提交配置。

CPCAR配置示例

组网需求

路由器安全性要求如下:

  • 不能出现CPU资源占用率太高,尽可能节约系统资源。
  • 防止攻击者通过管理报文管理路由器导致设备脱管。
  • 能够记录攻击报文信息用于受攻击时分析定位。
  • 丢弃报文时产生告警知会用户干预。
配置思路

采用如下的思路配置本机防攻击的基本功能:

  • 收集设备上运行的各种业务涉及的协议,并进行归类,即识别正常要保护协议流量、明确的恶意流量。
  • 配置CPU防攻击策略,对上送CPU的流量进行顺序匹配:
    1. 配置TCP/IP攻击防范检查(缺省使能),防止TCP/IP攻击。
    2. 配置应用层联动检查。对上送的报文流量进行应用层联动的带宽检查。
    3. 配置合法流量处理策略。即将正常协议流量和需要保护的流量加入白名单和用户自定义流,如果匹配,保证高优先级,分不同通道、不同带宽上送CPU处理。
    4. 配置非法报文和未知报文处理策略。即对明确的恶意流量或未知流量加入黑名单,如果匹配就直接丢弃,或者设置小带宽、低优先级上送CPU。
    5. 配置攻击溯源功能,当发现有丢弃报文时,攻击溯源功能就记录报文的丢弃情况,方便问题定位和分析。
    6. 打开报文丢弃告警功能。
    注意:

    缺省情况下,系统使能TCP SYN泛洪攻击防范功能,此功能优先级高于用户配置的黑名单功能。因此,TCP SYN报文会优先匹配TCP SYN泛洪攻击防范功能的ACL规则,不再匹配用户配置blacklist acl命令中指定的ACL规则。

    如果用户需要将匹配指定ACL规则的TCP SYN报文匹配到黑名单中,需要先配置命令undo tcpsyn-flood enable,去使能对TCP SYN泛洪攻击的防范功能。

    去使能TCP SYN泛洪攻击后,未匹配黑名单ACL规则的TCP SYN攻击报文将上送,请谨慎操作。

  • 配置管理业务平面防护,保护管理接口(管理业务平面),防止非法用户从非管理接口控制设备或者发起管理报文攻击。
数据准备
表7-6  Device涉及到的业务信息
说明:
本示例所用数据仅供参考,实际组网中配置的数据要求请咨询华为工程师后决定。

分类

流量内容

优先级

动作策略(单位bps)

备注说明

信任网段

源IP

自定义名单1限速1M

允许访问本设备的信任网段,用ACL 3331过滤

路由协议

BGP

自定义名单2限速512K

用ACL 3332过滤

说明:
设备支持BGP协议的动态链路保护,对于已经生成链接的协议报文走动态白名单上送。这里限速的是还未生成链接的BGP协议报文。

LDP

自定义名单3限速512K

LDP协议对端的Peer和直连地址的源IP,用ACL 3333过滤

OSPF,RIP

自定义名单4限速1M

OSPF协议对端Peer的源IP,用ACL 3334过滤

ISIS

NA

NA

ISIS是二层协议,这里不涉及ACL

可靠性协议

VRRP

自定义名单5限速1300K

虚拟路由器协议,用ACL 3335过滤

组播协议

PIM

自定义名单6限速1M

用ACL 3336过滤

IGMP

自定义名单7限速512K

用ACL 3337过滤

MSDP

自定义名单8限速512K

用ACL 3338过滤

保留组播

自定义名单9限速512K

保留组播地址范围段224.0.0.0~224.0.0.255,用ACL3339过滤

保留广播

自定义名单10限速512K

广播地址255.255.255.255,用ACL3340过滤

访问协议

SSH

自定义名单11限速512K

用ACL 33341过滤

TELNET

说明:
该协议不安全,建议使用STelnet。

FTP

说明:
该协议不安全,建议使用SFTP。

自定义名单12限速512K

用ACL 3342过滤

TFTP

网管协议

SNMP

自定义名单13限速1M

用ACL 3343过滤

服务协议

TACACS

自定义名单14限速1M

用ACL 3344过滤

NTP

自定义名单15限速150K

用ACL 3345过滤

工具协议

ICMP

自定义名单16限速512K

ICMP TTL越限报文、端口不可达报文、响应报文、响应回复报文,用ACL 3346过滤

LSPPING

自定义名单17限速1M

用ACL 3347过滤

其他

未知协议报文

预留512K逃生带宽

用ACL 3348过滤

攻击报文或非法协议报文(黑名单)

黑名单带宽配置为0

用ACL 3330过滤

操作步骤
  1. 创建CPU防攻击策略
    <HUAWEI> system-view
    [~HUAWEI] sysname DeviceA
    [*HUAWEI] commit
    [~DeviceA] cpu-defend policy 10
    [*DeviceA-cpu-defend-policy-10] description slot10
    [*DeviceA-cpu-defend-policy-10] commit
    
  2. 配置TCP/IP攻击防范

    缺省情况下TCP/IP防攻击功能是使能的。如果曾经关闭,请执行如下命令。

    [~DeviceA-cpu-defend-policy-10] tcpsyn-flood enable
    [*DeviceA-cpu-defend-policy-10] fragment-flood enable
    [*DeviceA-cpu-defend-policy-10] udp-packet-defend enable
    [*DeviceA-cpu-defend-policy-10] abnormal-packet-defend enable
    [*DeviceA-cpu-defend-policy-10] commit
    
  3. 配置上送CPU报文的匹配顺序

    将上送CPU的报文匹配顺序设置为TCPSYN报文——〉分片报文——〉动态链路保护——〉管理协议ACL——〉白名单——〉用户自定义流——〉黑名单。

    [~DeviceA-cpu-defend-policy-10] process-sequence tcpsyn-flood fragment-flood dynamic-link-protection management-acl whitelist user-defined-flow blacklist
    [*DeviceA-cpu-defend-policy-10] commit
  4. 配置黑名单的匹配规则

    对于确定的非法用户报文、非法协议报文、攻击报文等设备需要拒绝上送处理的报文,建议将其加入黑名单,配置规则动作为丢弃。使用ACL3330来匹配上述报文。

    [~DeviceA] acl number 3330
    [*DeviceA-acl-adv-3330] rule deny ip source 10.1.1.0 0.0.0.255
    [*DeviceA-acl-adv-3330] commit
    [~DeviceA-acl-adv-3330] quit
    
  5. 配置黑名单的动作
    [~DeviceA-cpu-defend-policy-10] blacklist acl 3330
    [*DeviceA-cpu-defend-policy-10] car blacklist cir 0
    [*DeviceA-cpu-defend-policy-10] commit
    
  6. 配置用户自定义流
    • 信任网段源IP地址加入ACL 3331
      <DeviceA> system-view 
      [~DeviceA] acl number 3331
      [*DeviceA-acl-adv-3331] rule permit ip source 10.1.2.0 0.0.0.255
      [*DeviceA-acl-adv-3331] rule permit ip source 10.1.3.0 0.0.0.255
      [*DeviceA-acl-adv-3331] commit
      [~DeviceA-acl-adv-3331] quit
      
    • BGP协议加入ACL 3332。

      设备支持bgp协议的动态链路保护,对于已经生成的链接,协议报文走动态白名单上送。这里使用ACL对还未生成链接的bgp peer协议报文进行限速。

      [~DeviceA] acl number 3332
      [*DeviceA-acl-adv-3332] rule permit tcp source 12.12.1.0 0.0.0.255 destination-port eq bgp
      [*DeviceA-acl-adv-3332] rule permit tcp source 12.12.1.0 0.0.0.255 source-port eq bgp
      [*DeviceA-acl-adv-3332] commmit
    • LDP协议加入ACL 3333
      说明:

      LDP协议较BGP协议的建立比较特殊,其不仅依赖于TCP连接,还要依赖UDP来维护邻居关系,不仅涉及建邻居的Peer地址,还涉及到直连端口的IP地址,要分为以下几步进行:

      执行display mpls ldp peer获取对端信息。

      [*DeviceA-acl-adv-3332] display mpls ldp peer 
               LDP Peer Information in Public network 
       ------------------------------------------------------------------------------ 
       Peer-ID                Transport-Address  Discovery-Source 
       ------------------------------------------------------------------------------ 
       1.1.1.32:0             1.1.1.32           GigabitEthernet4/0/4 
       ------------------------------------------------------------------------------ 
       TOTAL: 1 Peer(s) Found. 
      

      查看本机直连接口的IP地址。

      [*DeviceA-GigabitEthernet4/0/4]display this 
      # 
      interface GigabitEthernet4/0/4 
      undo shutdown 
      ip address 11.11.11.2 255.255.255.0 
      mpls 
      mpls ldp 
      #
      

      本地LDP通过双向Hello报文发现邻居,Hello报文为UDP报文,源地址为本地接口地址,目的地址为组播IP。远端LDP与此类似,只不过目的地址变更为配置的远端对等体地址。首先将邻居Hello报文加入ACL:

      [~DeviceA] acl number 3333
      [*DeviceA-acl-adv-3333] rule permit udp source 11.11.11.1 0 destination-port eq 646
      [*DeviceA-acl-adv-3333] rule permit udp source 11.11.11.1 0 source-port eq 646
      [*DeviceA-acl-adv-3333] commit
      

      在Hello报文载荷中携带本端LDP传输地址,在使用LDP Hello报文发现邻居并获取对方的传输地址后,设备就开始尝试TCP建立LDP会话,用以传递notification等消息。在TCP交互中,传输地址大的一方发起TCP连接建立请求,目的端口号是646,源端口号随机。实际配置时可以忽略该比较步骤,可以直接添加两条对等ACL:

      [*DeviceA-acl-adv-3333] rule permit tcp source 1.1.1.32 0 destination-port eq 646
      [*DeviceA-acl-adv-3333] rule permit tcp source 1.1.1.32 0 source-port eq 646
      [*DeviceA-acl-adv-3333] commit
      
      说明:
      • 如果设备上存在多个LDP邻居,则要按照上述操作对每个Peer地址添加四条ACL规则。
      • 对于ACL规则的配置分为精确配置(基于源IP地址+端口号)和简化配置(基于端口号)两种。精确配置的安全程度高,但信息收集复杂。简化配置的安全程度较低,但配置过程简单。用户可以根据自己的实际情况选择配置方式。简化配置过程如下:
      [~DeviceA-acl-adv-3332] acl number 3333 
      [*DeviceA-acl-adv-3333] rule permit tcp source-port eq 646 
      [*DeviceA-acl-adv-3333] rule permit tcp destination-port eq 646 
      [*DeviceA-acl-adv-3333] rule permit udp source-port eq 646 
      [*DeviceA-acl-adv-3333] rule permit udp destination-port eq 646
      [*DeviceA-acl-adv-3333] commit
      
    • OSPF和RIP协议加入ACL 3334
      [~DeviceA] acl number 3334
      
      说明:
      设备支持OSPF协议的动态链路保护,对于已经生成的链接,协议报文走动态白名单上送。这里使用ACL对还未生成链接的OSPF协议报文进行限速。
      [*DeviceA-acl-adv-3334] rule 5 permit ospf
      [*DeviceA-acl-adv-3334] commit

      RIP协议的ACL配置方法与OSPF一样,不再赘述。

    • VRRP协议加入ACL 3335
      说明:

      VRRP基于IP协议,协议号为112,由于其以对端虚IP地址发送报文,因此以该虚IP地址+协议号加入到ACL中。在设备上通过命令display vrrp获取VRRP Peer信息。

      [~DeviceA] acl number 3335
      [*DeviceA-acl-adv-3335] rule permit 112 source 11.11.11.100 0
      [*DeviceA-acl-adv-3335] quit
      
      说明:
      • 如果设备上存在多个VRRP邻居,则要按照上述操作对每个VRRP Peer地址添加一条ACL规则。
      • 对于ACL规则的配置分为精确配置(基于源IP地址+端口号)和简化配置(基于端口号)两种。精确配置的安全程度高,但信息收集复杂。简化配置的安全程度较低,但配置过程简单。用户可以根据自己的实际情况选择配置方式。简化配置过程如下:
      [~DeviceA-acl-adv-3335] rule 5 permit 112
      [*DeviceA-acl-adv-3335] commit
    • 组播相关协议
      说明:

      PIM是一种组播协议,其协议号为103。

      [~DeviceA] acl number 3336
      [*DeviceA-acl-adv-3336] rule permit 103
      [*DeviceA-acl-adv-3336] quit
      [~DeviceA] acl number 3337
      [*DeviceA-acl-adv-3337] rule permit igmp
      [*DeviceA-acl-adv-3337] commit
      [~DeviceA-acl-adv-3337] quit
      [~DeviceA] acl number 3338
      [*DeviceA-acl-adv-3338] rule permit udp destination-port eq 639
      [*DeviceA-acl-adv-3338] rule permit udp source-port eq 639
      [*DeviceA-acl-adv-3338] rule permit tcp destination-port eq 639
      [*DeviceA-acl-adv-3338] rule permit tcp source-port eq 639
      [*DeviceA-acl-adv-3338] commit
      [~DeviceA-acl-adv-3338] quit
      
    • 保留组播地址224.0.0.0~224.0.0.255加入ACL 3339。
      [~DeviceA] acl number 3339
      [*DeviceA-acl-adv-3339] rule permit ip destination 224.0.0.0 0.0.0.255
      [*DeviceA-acl-adv-3339] commit
      [~DeviceA-acl-adv-3339] quit
      
    • 保留广播地址255.255.255.255加入ACL3340。
      [~DeviceA] acl number 3340
      [*DeviceA-acl-adv-3340] rule permit ip destination 255.255.255.255 0
      [*DeviceA-acl-adv-3340] commit
      [~DeviceA-acl-adv-3340] quit
      
    • TELNET,SSH协议加入ACL 3341
      说明:

      Telnet和SSH协议都是基于TCP的协议,平常用于登录设备,或是研发登录定位,非常重要,因此放入一个单独的ACL中进行保护。设备支持TELNET和SSH协议的动态链路保护,对于已经生成的链接,协议报文走动态白名单上送。这里使用ACL对还未生成链接的TELNET、SSH协议报文进行限速。SSH的端口号为22。管理协议建议直接对未知源的访问流量进行过滤丢弃。

      [~DeviceA] acl number 3341
      [*DeviceA-acl-adv-3341] rule permit tcp source 192.168.1.0 0.0.0.255 source-port eq telnet
      [*DeviceA-acl-adv-3341] rule permit tcp source 192.168.1.0 0.0.0.255 destination-port eq telnet
      [*DeviceA-acl-adv-3341] rule permit tcp source 192.168.1.0 0.0.0.255 source-port eq 22
      [*DeviceA-acl-adv-3341] rule permit tcp source 192.168.1.0 0.0.0.255 destination-port eq 22
      [*DeviceA-acl-adv-3341] quit
      [*DeviceA-acl-adv-3341] rule deny tcp destination-port eq telnet
      [*DeviceA-acl-adv-3341] rule deny tcp destination-port eq 22
      [*DeviceA-acl-adv-3341] commit
      
    • FTP/TFTP协议加入ACL 3342
      说明:

      FTP基于TCP,而TFTP基于UDP协议,因此每个源地址需要配置三条规则。

      [~DeviceA] acl number 3342
      [*DeviceA-acl-adv-3342] rule permit udp source 192.168.1.0 0.0.0.255 destination-port eq tftp
      [*DeviceA-acl-adv-3342] rule permit tcp source 192.168.1.0 0.0.0.255 source-port eq ftp
      [*DeviceA-acl-adv-3342] rule permit tcp source 192.168.1.0 0.0.0.255 destination-port eq ftp
      [*DeviceA-acl-adv-3342] quit
      
      说明:
      • FTP和TFTP源地址段范围必须获取客户的确认。
      • 对于ACL规则的配置分为精确配置(基于源IP地址+端口号)和简化配置(基于端口号)两种。精确配置的安全程度高,但信息收集复杂。简化配置的安全程度较低,但配置过程简单。用户可以根据自己的实际情况选择配置方式。简化配置过程如下:
      [*DeviceA-acl-adv-3342] rule permit udp destination-port eq tftp 
      [*DeviceA-acl-adv-3342] rule permit tcp source-port eq ftp 
      [*DeviceA-acl-adv-3342] rule permit tcp destination-port eq ftp
      [*DeviceA-acl-adv-3342] commit
      
    • SNMP协议加入ACL 3343
      说明:

      现网一般都会部署网管功能,网管服务器会发送大量UDP请求报文,设备则以SNMP协议端口号进行回应,由于信息量较大,因此要把这些网管主机加入到一个单独的ACL中加以保护。

      加入ACL的网管源地址段必须得到用户的确认,否则会导致漏掉的源IP对应的网管服务器无法管理该设备。SNMP协议为系统管理协议,建议在增加配置直接对未知源的协议报文进行丢弃。

      [~DeviceA] acl number 3343
      [*DeviceA-acl-adv-3343] rule permit udp source 20.20.20.0 0.0.0.255 source-port eq snmp
      [*DeviceA-acl-adv-3343] rule permit udp source 20.20.20.0 0.0.0.255 destination-port eq snmp
      [*DeviceA-acl-adv-3343] rule deny udp destination-port eq snmp
      [*DeviceA-acl-adv-3343] commit
      
    • Tacacs协议加入ACL 3344
      说明:

      Tacacs归属于服务类型协议,要注意其包含两种:一种是基于TCP的华为加强Tacacs,另一种是基于UDP的标准Tacacs,建议全部添加。

      [~DeviceA] acl number 3344
      [*DeviceA-acl-adv-3344] rule permit tcp source 5.5.5.5 0 source-port eq tacacs
      [*DeviceA-acl-adv-3344] rule permit tcp source 6.6.6.6 0 destination-port eq tacacs
      [*DeviceA-acl-adv-3344] rule permit udp source 5.5.5.5 0 source-port eq tacacs-ds
      [*DeviceA-acl-adv-3344] rule permit udp source 6.6.6.6 0 destination-port eq tacacs-ds
      [*DeviceA-acl-adv-3344] quit
      
      说明:
      • TACACS的源地址段必须获取客户的确认。
      • 对于ACL规则的配置分为精确配置(基于源IP地址+端口号)和简化配置(基于端口号)两种。精确配置的安全程度高,但信息收集复杂。简化配置的安全程度较低,但配置过程简单。用户可以根据自己的实际情况选择配置方式。简化配置过程如下:
      acl number 3344 
       rule permit tcp source-port eq tacacs 
       rule permit tcp destination-port eq tacacs   
       rule permit udp source-port eq tacacs-ds 
       rule permit udp destination-port eq tacacs-ds 
      
    • NTP协议加入ACL 3345
      说明:

      NTP归属于服务类型协议,端口号为123。

      [~DeviceA] acl number 3345
      [*DeviceA-acl-adv-3345] rule permit udp source 172.16.0.0 0.0.255.255 source-port eq 123 
      [*DeviceA-acl-adv-3345] rule permit udp source 172.16.0.0 0.0.255.255 destination-port eq 123
      [*DeviceA-acl-adv-3345] commit
      [~DeviceA-acl-adv-3345] quit
      
      说明:
      • NTP的源地址段必须获取客户的确认。
      • 对于ACL规则的配置分为精确配置(基于源IP地址+端口号)和简化配置(基于端口号)两种。精确配置的安全程度高,但信息收集复杂。简化配置的安全程度较低,但配置过程简单。用户可以根据自己的实际情况选择配置方式。简化配置过程如下:
      acl number 3345 
       rule permit udp source- port eq 123 
       rule permit udp destination- port eq 123 
      
    • ICMP,Tracert加入ACL 3346
      [~DeviceA] acl number 3346
      [*DeviceA-acl-adv-3346] rule permit icmp icmp-type echo
      [*DeviceA-acl-adv-3346] rule permit icmp icmp-type echo-reply
      [*DeviceA-acl-adv-3346] rule permit icmp icmp-type ttl-exceeded
      [*DeviceA-acl-adv-3346] rule permit icmp icmp-type port-unreachable
      [*DeviceA-acl-adv-3346] rule permit icmp icmp-type Fragmentneed-DFset
      [*DeviceA-acl-adv-3346] rule permit icmp
      [*DeviceA-acl-adv-3346] rule permit udp destination-port range 33434 33678
      [*DeviceA-acl-adv-3346] quit
      
    • Ping-LSP加入ACL 3347
      [~DeviceA] acl number 3347
      [*DeviceA-acl-adv-3347] rule permit udp destination-port eq 3503
      [*DeviceA-acl-adv-3347] commit
      [~DeviceA-acl-adv-3347] quit
      
    • 未知协议加入ACL 3348
      说明:

      如果确认非法协议报文和攻击报文归到了黑名单绑定的ACL3330,并且正常的协议报文及信任网段全部归到了ACL 3331~ACL 3347,其它的协议报文可以认其未知,这些报文用ACL 3348来过滤。对应的用户自定义流将为这些报文配置一定的逃生带宽,以低优先级上送CPU处理。

      这部分配置属于可选项,如果不配置ACL过滤未知报文,这些报文会从ME设备默认为其指定的上送通道上送CPU处理。必须确认前述的配置已经能够识别所有已知的业务和协议报文,否则不推荐配置此ACL及对应的用户自定义流。

      [~DeviceA] acl number 3348
      [*DeviceA-acl-adv-3348] rule permit udp
      [*DeviceA-acl-adv-3348] rule permit tcp
      [*DeviceA-acl-adv-3348] rule permit ip
      [*DeviceA-acl-adv-3348] commit
      [~DeviceA-acl-adv-3348] quit
      
  7. 配置用户自定义流及动作

    使用ACL对协议报文归类后,要建立用户自定义流把ACL指定给用户自定义流,让不同的协议报文走不同的上送通道。

    • 配置自定义名单1的动作

      自定义名单1对应的acl为3331,它用来保护允许访问本设备的信任网段;优先级设置为高,处理带宽限速为1M,对于访问来说已经足够。

      [*DeviceA-cpu-defend-policy-10] user-defined-flow 1 acl 3331
      [*DeviceA-cpu-defend-policy-10] car user-defined-flow 1 cir 1000
      [*DeviceA-cpu-defend-policy-10] priority user-defined-flow 1 high
      
    • 配置自定义名单2的动作

      自定义名单2对应的acl为3332,用来保护BGP协议;因为是路由协议所以优先级要设置为高;带宽也要得到相应保障,这里设置为512K;并且部署防攻击告警功能。报文丢弃告警阈值和告警时间间隔需要根据实际网络情况进行调整。

      [*DeviceA-cpu-defend-policy-10] user-defined-flow 2 acl 3332
      [*DeviceA-cpu-defend-policy-10] car user-defined-flow 2 cir 512 cbs 1000000
      [*DeviceA-cpu-defend-policy-10] priority user-defined-flow 2 high
      [*DeviceA-cpu-defend-policy-10] alarm drop-rate user-defined-flow 2 enable
      [*DeviceA-cpu-defend-policy-10] alarm drop-rate user-defined-flow 2 threshold 100 interval 60
      
    • 配置自定义名单3的动作

      自定义名单3对应的acl为3333,用来保护LDP协议;优先级设置为高,带宽设置为512K,并且部署防攻击告警功能。报文丢弃告警阈值和告警时间间隔需要根据实际网络情况进行调整。

      [*DeviceA-cpu-defend-policy-10] user-defined-flow 3 acl 3333
      [*DeviceA-cpu-defend-policy-10] car user-defined-flow 3 cir 512 cbs 1000000
      [*DeviceA-cpu-defend-policy-10] priority user-defined-flow 3 high
      [*DeviceA-cpu-defend-policy-10] alarm drop-rate user-defined-flow 3 enable
      [*DeviceA-cpu-defend-policy-10] alarm drop-rate user-defined-flow 3 threshold 100 interval 60
      
      说明:

      LDP协议是最容易发生震荡的协议之一,一般情况下LDP丢包超过3个就有可能发生DOWN,因此配置防攻击告警功能十分有必要。

    • 配置自定义名单4的动作

      自定义名单4对应的acl为3334,用来保护OSPF和RIP协议;优先级设置为高,带宽设置为1M,并且部署防攻击告警功能。报文丢弃告警阈值和告警时间间隔需要根据实际网络情况进行调整

      [*DeviceA-cpu-defend-policy-10] user-defined-flow 4 acl 3334
      [*DeviceA-cpu-defend-policy-10] car user-defined-flow 4 cir 1000 cbs 1000000
      [*DeviceA-cpu-defend-policy-10] priority user-defined-flow 4 high
      [*DeviceA-cpu-defend-policy-10] alarm drop-rate user-defined-flow 4 enable
      [*DeviceA-cpu-defend-policy-10] alarm drop-rate user-defined-flow 4 threshold 100 interval 60
      
    • 配置自定义名单5的动作

      自定义名单5对应的acl为3335,用来保护VRRP协议;因为VRRP是一种可靠性协议,优先级设置为高即可,,带宽设置为1.3M。

      [*DeviceA-cpu-defend-policy-10] user-defined-flow 5 acl 3335
      [*DeviceA-cpu-defend-policy-10] car user-defined-flow 5 cir 1300 cbs 1000000
      [*DeviceA-cpu-defend-policy-10] priority user-defined-flow 5 high
      
    • 配置自定义名单6的动作

      自定义名单6对应的acl为3336,用来限制PIM协议的上送带宽。

      [*DeviceA-cpu-defend-policy-10] user-defined-flow 6 acl 3336
      [*DeviceA-cpu-defend-policy-10] car user-defined-flow 6 cir 1000 cbs 1000000
      [*DeviceA-cpu-defend-policy-10] priority user-defined-flow 6 high
      
    • 配置自定义名单7的动作

      自定义名单7对应的acl为3337,用来限制IGMP协议的上送带宽。

      [*DeviceA-cpu-defend-policy-10] user-defined-flow 7 acl 3337
      [*DeviceA-cpu-defend-policy-10] car user-defined-flow 7 cir 512 cbs 512000
      [*DeviceA-cpu-defend-policy-10] priority user-defined-flow 7 high
      
    • 配置自定义名单8的动作

      自定义名单8对应的acl为3338,用来限制MSDP协议的上送带宽。

      [*DeviceA-cpu-defend-policy-10] user-defined-flow 8 acl 3338
      [*DeviceA-cpu-defend-policy-10] car user-defined-flow 8 cir 512 cbs 512000
      [*DeviceA-cpu-defend-policy-10] priority user-defined-flow 8 low
      
    • 配置自定义名单9的动作

      自定义名单9对应的acl为3339。因为现网比较容易遭受到利用缺省保留组播地址的攻击,因此这些保留组播单独放到一个ACL中,限制处理带宽为512K,以保护其他协议。

      [*DeviceA-cpu-defend-policy-10] user-defined-flow 9 acl 3339
      [*DeviceA-cpu-defend-policy-10] car user-defined-flow 9 cir 512 cbs 40000
      [*DeviceA-cpu-defend-policy-10] priority user-defined-flow 9 high
      
    • 配置自定义名单10的动作

      自定义名单10对应的acl为3340。用来限制目的IP地址为广播地址255.255.255.255的报文上送带宽。限制处理带宽为512Kbps,优先级设置为低,以保护其他协议。

      [*DeviceA-cpu-defend-policy-10] user-defined-flow 10 acl 3339
      [*DeviceA-cpu-defend-policy-10] car user-defined-flow cir 512 cbs 20000
      [*DeviceA-cpu-defend-policy-10] priority user-defined-flow 10 low
      
    • 配置自定义名单11的动作

      自定义名单11对应的acl为3341,用来保护SSH和Telnet,因为是访问协议类,所需处理带宽较少,不需要实时性,因此一般把这类协议报文设置的优先级为中即可。

      [*DeviceA-cpu-defend-policy-10] user-defined-flow 11 acl 3341
      [*DeviceA-cpu-defend-policy-10] car user-defined-flow 11 cir 512 cbs 300000
      [*DeviceA-cpu-defend-policy-10] priority user-defined-flow 11 middle
      
    • 配置自定义名单12的动作

      自定义名单12对应的acl为3342,用来保护FTP和TFTP。优先级设置为低,带宽限为512K即可甚至更小都可以。

      [*DeviceA-cpu-defend-policy-10] user-defined-flow 12 acl 3342
      [*DeviceA-cpu-defend-policy-10] car user-defined-flow 12 cir 512 cbs 5120
      [*DeviceA-cpu-defend-policy-10] priority user-defined-flow 12 low
      
    • 配置自定义名单13的动作

      自定义名单13对应的acl为3343,用来保护SNMP协议。SNMP协议报文量较大,但实时性要求不高,因此优先级设置为低,带宽设为1M。

      [*DeviceA-cpu-defend-policy-10] user-defined-flow 13 acl 3343
      [*DeviceA-cpu-defend-policy-10] car user-defined-flow 13 cir 1000
      [*DeviceA-cpu-defend-policy-10] priority user-defined-flow 13 low
      
    • 配置自定义名单14的动作

      自定义名单14对应的acl为3341,用来保护TACACS协议。TACACS协议对实时性要求不高, 因此优先级设置为低,处理带宽设为1M。

      [*DeviceA-cpu-defend-policy-10] user-defined-flow 14 acl 3344
      [*DeviceA-cpu-defend-policy-10] car user-defined-flow 14 cir 1000 cbs 1000000
      [*DeviceA-cpu-defend-policy-10] priority user-defined-flow 14 low
      
    • 配置自定义名单15的动作

      自定义名单15对应的acl为3345,用来限制NTP协议的上送带宽。带宽设为150Kbps,优先级设置为低。

      [*DeviceA-cpu-defend-policy-10] user-defined-flow 15 acl 3345
      [*DeviceA-cpu-defend-policy-10] car user-defined-flow 15 cir 150 cbs 15000
      [*DeviceA-cpu-defend-policy-10] priority user-defined-flow 15 low
      
    • 配置自定义名单16的动作

      自定义名单16对应的acl为3346,用来保护ICMP协议。ICMP网上使用非常频繁,因此带宽设为512K,优先级设置为低。

      [*DeviceA-cpu-defend-policy-10] user-defined-flow 16 acl 3346
      [*DeviceA-cpu-defend-policy-10] car user-defined-flow 16 cir 512 cbs 256000
      [*DeviceA-cpu-defend-policy-10] priority user-defined-flow 16 low
      
    • 配置自定义名单17的动作

      自定义名单17对应的acl为3347,用来保护LSP PING协议。上送带宽和优先级设置成ME设备默认为其指定的上送通道一样,带宽设为1M,优先级设置为高。

      [*DeviceA-cpu-defend-policy-10] user-defined-flow 17 acl 3347
      [*DeviceA-cpu-defend-policy-10] car user-defined-flow 17 cir 1000 cbs 40000 
      [*DeviceA-cpu-defend-policy-10] priority user-defined-flow 17 high
      
    • 配置自定义名单18的动作

      自定义名单18对应的acl为3348,用来限制未知协议报文的上送带宽。配置此自定义名单之前,务必确认当前设备必须的业务和协议都已全部通过前面的自定义名单进行匹配。否则,不能配置该自定义名单,让未知协议报文走设备默认为其指定的上送通道。

      [*DeviceA-cpu-defend-policy-10] user-defined-flow 18 acl 3348
      [*DeviceA-cpu-defend-policy-10] car user-defined-flow 18 cir 512 cbs 1000000
      [*DeviceA-cpu-defend-policy-10] priority user-defined-flow 18 low
      [*DeviceA-cpu-defend-policy-10] commit
      
  8. 应用防攻击策略
    [~DeviceA] slot 1
    [*DeviceA-slot-1] cpu-defend-policy 10
    [*DeviceA-slot-1] commit
    [~DeviceA-slot-1] quit
    
  9. 验证配置结果

    执行命令display cpu-defend policy policy-number可以查看配置上送CPU报文的过滤规则。

    执行命令display cpu-defend car { blacklist | index index | protocol | user-defined-flow flow-id | whitelist } statistics [ slot slot-id ]可以查看CAR功能丢弃报文的统计信息。

配置文件
#
 sysname DeviceA
#
cpu-defend policy 10
 blacklist acl 3330
 user-defined-flow 1 acl 3331
 user-defined-flow 2 acl 3332
 user-defined-flow 3 acl 3333
 user-defined-flow 4 acl 3334
 user-defined-flow 5 acl 3335
 user-defined-flow 6 acl 3336
 user-defined-flow 7 acl 3337
 user-defined-flow 8 acl 3338
 user-defined-flow 9 acl 3339
 user-defined-flow 10 acl 3340
 user-defined-flow 11 acl 3341
 user-defined-flow 12 acl 3342
 user-defined-flow 13 acl 3343
 user-defined-flow 14 acl 3344
 user-defined-flow 15 acl 3345
 user-defined-flow 16 acl 3346
 user-defined-flow 17 acl 3347
 user-defined-flow 18 acl 3348
 alarm drop-rate user-defined-flow 2 threshold 100 interval 60
 alarm drop-rate user-defined-flow 3 threshold 100 interval 60
 alarm drop-rate user-defined-flow 4 threshold 100 interval 60
 car blacklist cir 0
 car user-defined-flow 1 cir 1000
 car user-defined-flow 2 cir 512 cbs 1000000
 car user-defined-flow 3 cir 512 cbs 1000000
 car user-defined-flow 4 cir 1000 cbs 1000000
 car user-defined-flow 5 cir 1300 cbs 1000000
 car user-defined-flow 6 cir 1000 cbs 1000000
 car user-defined-flow 7 cir 512 cbs 512000
 car user-defined-flow 8 cir 512 cbs 5120
 car user-defined-flow 9 cir 512 cbs 40000
 car user-defined-flow 10 cir 512
 car user-defined-flow 11 cir 512 cbs 300000
 car user-defined-flow 12 cir 512 cbs 5120
 car user-defined-flow 13 cir 1000
 car user-defined-flow 14 cir 1000 cbs 1000000
 car user-defined-flow 15 cir 150 cbs 15000
 car user-defined-flow 16 cir 512 cbs 256000
 car user-defined-flow 17 cir 1000 cbs 40000
 car user-defined-flow 18 cir 512 cbs 1000000
 priority user-defined-flow 1 high
 priority user-defined-flow 2 high
 priority user-defined-flow 3 high
 priority user-defined-flow 4 high
 priority user-defined-flow 5 high
 priority user-defined-flow 6 high
 priority user-defined-flow 7 high
 priority user-defined-flow 8 low
 priority user-defined-flow 9 high
 priority user-defined-flow 10 low
 priority user-defined-flow 11 middle
 priority user-defined-flow 12 low
 priority user-defined-flow 13 low
 priority user-defined-flow 14 low
 priority user-defined-flow 15 low
 priority user-defined-flow 16 low
 priority user-defined-flow 17 high
 priority user-defined-flow 18 low
 process-sequence tcpsyn-flood fragment-flood dynamic-link-protection management-acl whitelist user-defined-flow blacklist
#
#
acl number 3330
 rule 5 deny ip source 10.1.1.0 0.0.0.255
#
acl number 3331
 rule 5 permit ip source 10.1.2.0 0.0.0.255
 rule 10 permit ip source 10.1.3.0 0.0.0.255
#
acl number 3332
 rule 5 permit tcp  source 12.12.1.0 0.0.0.255 destination-port eq bgp
 rule 10 permit tcp  source 12.12.1.0 0.0.0.255 source-port eq bgp

#
acl number 3333
 rule 5 permit udp source 11.11.11.1 0 destination-port eq 646
 rule 10 permit udp source 11.11.11.1 0 source-port eq 646
 rule 15 permit tcp source 1.1.1.32 0 destination-port eq 646
 rule 20 permit tcp source 1.1.1.32 0 source-port eq 646
#
acl number 3334
 rule 5 permit ospf
#
acl number 3335
 rule 5 permit 112 source 11.11.11.100 0
#
acl number 3336
 rule 5 permit 103
#
acl number 3337
 rule 5 permit igmp
#
acl number 3338
 rule 5 permit udp destination-port eq 639
 rule 10 permit udp source-port eq 639
 rule 15 permit tcp destination-port eq 639
 rule 20 permit tcp source-port eq 639
#
acl number 3339
 rule 5 permit ip destination 224.0.0.0 0.0.0.255
#
acl number 3340
 rule 5 permit ip destination 255.255.255.255 0
#
acl number 3341
 rule 5 permit tcp source 192.168.1.0 0.0.0.255 source-port eq telnet
 rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq telnet
 rule 15 permit tcp source 192.168.1.0 0.0.0.255 source-port eq 22
 rule 20 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq 22
 rule 100 deny tcp destination-port eq telnet
 rule 105 deny tcp destination-port eq 22
#
acl number 3342
 rule 5 permit udp source 192.168.1.0 0.0.0.255 destination-port eq tftp
 rule 10 permit tcp source 192.168.1.0 0.0.0.255 source-port eq ftp
 rule 15 permit tcp source 192.168.1.0 0.0.0.255 destination-port eq ftp
#
acl number 3343
 rule 5 permit udp source 20.20.20.0 0.0.0.255 source-port eq snmp
 rule 10 permit udp source 20.20.20.0 0.0.0.255 destination-port eq snmp
 rule 100 deny udp destination-port eq snmp
#
acl number 3344
 rule 5 permit tcp source 5.5.5.5 0 source-port eq tacacs
 rule 10 permit tcp source 6.6.6.6 0 destination-port eq tacacs
 rule 15 permit udp source 5.5.5.5 0 source-port eq tacacs-ds
 rule 20 permit udp source 6.6.6.6 0 destination-port eq tacacs-ds
#
acl number 3345
 rule 5 permit udp source 172.16.0.0 0.0.255.255 source-port eq ntp
 rule 10 permit udp source 172.16.0.0 0.0.255.255 destination-port eq ntp
#
acl number 3346
 rule 5 permit icmp icmp-type echo
 rule 10 permit icmp icmp-type echo-reply
 rule 15 permit icmp icmp-type ttl-exceeded
 rule 20 permit icmp icmp-type port-unreachable
 rule 25 permit icmp icmp-type fragmentneed-DFset
 rule 30 permit icmp
 rule 35 permit udp destination-port range 33434 33678
#
acl number 3347
 rule 5 permit udp destination-port eq 3503
#
acl number 3348
 rule 5 permit udp
 rule 10 permit tcp
 rule 15 permit ip
#
slot 10
 cpu-defend-policy 10
#
return
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028554

浏览量:4010

下载量:121

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页