所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 安全加固 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
安全管理中心

安全管理中心

NE40E为了保证自身系统的可靠性,使运行在系统中的业务系统不受安全攻击事件的影响,提供了诸如CAR速率限制、攻击检测、攻击防范等技术手段。但所有这些技术缺乏一个全局的管理中心,来汇总分析所有安全攻击的信息,因此在进行攻击检测和防御时,存在“只见树木,不见森林”的片面性。

安全管理中心就是为了解决该问题,站在系统全局,统一汇总分析各个安全检测单元的上报信息,之后以简洁的形式为用户呈现出一键式的攻击事件报告、攻击溯源、根因分析、以及解决建议等。

说明:

安全管理中心不处理轻微程度的攻击事件的信息显示,例如对系统整体运行危害不大,仅影响某个局部功能的攻击事件;或者利用特殊构造的畸形报文攻击导致系统崩溃;或者利用系统内部的bug用很小的流量导致系统崩溃等诸如此类的系统质量层面的事件,此类事件的显示由各业务模块、网管、日志、攻击溯源等功能完成。

安全管理中心只显示存在系统级风险的攻击事件的信息,此类攻击事件一般有以下几个典型特征:
  • CPU利用率高,显著高于正常运行时的CPU利用率水平

  • 已经引起CPCAR丢包,丢包率超过了正常阈值

  • 协议模块检测到设备收到大量的非法报文或者非法会话,非法报文或者非法会话比例超过了正常阈值

攻击检测

攻击检测功能通过安全管理中心收集到的统计数据,判定设备是否受到攻击。

安全管理中心通过定时器定时收集CPU利用率、各个协议模块的状态数据(包括非法报文和非法会话数)、以及CPCAR的丢包计数。在攻击检测功能使能后,当CPU利用率达到检测门限值,并且协议模块的非法报文或非法会话的百分比、或者报文丢包率等达到攻击检测门限值时,则判定设备受到攻击,启动攻击溯源。攻击检测功能未使能时,安全管理中心依然会通过定时器定时收集和统计数据,但不会进行攻击判定,也不会启动攻击溯源。

攻击溯源

攻击溯源功能用于判定攻击事件发生的位置、概率和原因。

当攻击检测功能判定设备受到攻击后,安全管理中心对攻击报文进行采样,然后对采样的报文进行多维度(针对源MAC地址、源IP地址、广播报文、变源报文、协议类型、物理接口、逻辑接口、VLAN、QinQ)的统计分析,排出按每个维度进行统计的前N名。然后利用攻击溯源的攻击事件判定门限参数,筛选出可能与安全攻击相关的对象,生成攻击事件报告并产生告警。

攻击防范

攻击防范功能通过自动下发防范策略,对攻击报文进行丢弃,达到防范目的。

攻击防范功能使能后,安全管理中心会对攻击报文进行分类,提取出攻击报文的特征,然后根据攻击报文的特征下发ACL规则。该ACL规则包含攻击报文的特征、受攻击的接口、以及此ACL规则与某个CAR的对应关系。

安全管理中心实时统计命中该ACL规则的报文的上送和丢弃计数,如果丢弃报文速率小于一定值时,则取消该ACL规则。

安全管理中心的配置方案和步骤

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令soc,使能攻击检测和攻击溯源功能,并进入SOC视图。

    缺省情况下,攻击检测和攻击溯源功能是使能的。

  3. (可选)执行命令attack-defend enable,使能攻击防范功能。

    如果通过分析攻击事件后确定发生了攻击,则可以使能攻击防范功能。

  4. 执行命令commit,提交配置。
  5. 查看攻击事件报告
    1. 执行命令display soc attack-event,查看攻击事件报告的概要信息。
    2. 执行命令display soc attack-event slot slot-id [ verbose ],查看指定槽位的攻击事件报告。

      可根据概要信息中的Location字段选择指定槽位,查看发生的攻击事件报告。指定verbose参数时可查看详细信息。

    3. 执行命令display soc attack-event event-number event-number [ verbose ],查看指定攻击事件报告。

      可以根据攻击事件报告概要信息中的Seq.字段或者指定槽位攻击事件报告里的回显信息选择要查看的攻击事件序号,通过指定攻击事件序号查看此事件的报告以及详细报告。

  6. 查看历史统计信息

    说明:

    下面命令中的slot-idprotocol-name分别对应display soc attack-event命令中的slot-iddisplay soc attack-event回显中的Reasons字段。

    查看CPCAR的统计信息

    1. 执行命令display soc attack-detect statistics car slot slot-id protocol protocol-name,查看所有安全管理中心监控的CPCAR的统计信息,找出丢包率最严重的CPCAR,或者丢包累计个数最大的CPCAR,并找到它们对应的协议报文类型CarName

      说明:

      CAR为流量监管的一个实例。CPCAR是对上送CPU的主机报文执行CAR动作。

    2. 执行命令display soc attack-detect statistics car slot slot-id protocol protocol-name [ cpcar-name history { 15-minute | 60-minutes | 72-hour } ],查看此cpcar-name对应的协议报文在过去某个时间段内的丢包率。
    3. 执行命令display soc attack-detect cpu-usage slot slot-id history { 15-minutes | 60-minutes | 72-hours },查看此时间段内CPU的利用率,如果在这个时间段内的CPU利用率趋势与丢包率趋势恰好存在显著的相关性,由此可以确定此时间段内CPU过载的原因是由于此cpcar-name类型的协议报文引起的。

    查看协议模块的统计信息

    1. 执行命令display soc attack-detect statistics application slot slot-id,查看指定槽位单板上协议模块的报文和会话的统计信息,找出非法报文和非法会话比例最大的协议模块,初步判定此类协议模块的安全状态最差。
    2. 执行命令display soc attack-detect statistics application slot slot-id protocol protocol-name history { 15-minute | 60-minutes | 72-hour },查看此类安全模块在过去的15分钟、1小时或72小时内对报文和会话的平均统计数据以及CPU平均利用率的历史统计数据,如果发现当非法报文或者会话的百分比突发偏高,而此时CPU利用率也随着偏高,通常情况下,就可以判断CPU过载的原因就是这种协议模块遭受攻击导致的。若通过CPU平均利用率无法准确判断,则可以通过下面的命令查看此时间段范围内详细的CPU利用率。
    3. (可选)执行命令display soc attack-detect cpu-usage slot slot-id history { 15-minutes | 60-minutes | 72-hours },命令查看此时间段内详细CPU的利用率。
  7. (可选)执行命令display soc attack-defend statistics slot slot-id port-vlan-car,查看指定单板上受到攻击的接口通过和丢弃报文的统计信息。

    当安全管理中心的攻击防范策略使能后,若受到攻击,则可以通过此命令查看指定槽位的每个接口上通过和丢弃报文的统计信息。

  8. 配置判定攻击事件的门限参数
    • 执行命令attack-trace location-type { interface | qinq | source-ip | source-mac | sub-interface | vlan } threshold threshold-value,配置判定攻击事件位置的门限参数。
    • 执行命令attack-trace probability { top5-user | top5-source-mac | top5-source-ip | broadcast-flood | app-error-percent } { determined | notification | suspicion } threshold-value,配置判定攻击事件概率的门限参数。
    • 执行命令attack-trace reason { app-packet | broadcast-flood | change-source-packet } percentage percentage-value,配置判定攻击事件原因的门限参数。
  9. 执行命令commit,提交配置。
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028554

浏览量:4314

下载量:129

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页