AR100, AR120, AR150, AR160, AR200, AR300, AR1200, AR2200, AR3200, AR3600 V200R010 配置指南-安全(命令行)
配置本机防攻击示例
组网需求
如图8-2所示,位于不同局域网的用户通过RouterA访问Internet。为分析RouterA受攻击情况,需要配置攻击溯源检查功能记录攻击源信息。管理员发现存在以下现象:
- 通过攻击溯源检查功能分析可知,Net1网段中的某个用户经常会发生攻击行为。
- 攻击者发送大量的ARP Request报文,影响CPU的正常工作。
- 管理员需要以FTP方式上传文件到RouterA,此时需要建立管理员主机与RouterA之间的数据连接。
- 大多数局域网用户通过DHCP方式动态获取IP地址,但RouterA不优先处理上送CPU的DHCP Client报文。
- RouterA不应用Telnet Server功能,但经常收到大量的Telnet报文。
管理员希望通过在RouterA进行配置,以便解决上述问题。
配置思路
采用如下的思路配置本机防攻击:
- 配置黑名单,将Net1网段中的攻击者列入黑名单,阻止其接入网络。
- 配置ARP Request报文上送CPU的速率限制,使ARP Request报文限制在一个较小的速率范围内,减少对CPU处理正常业务的影响。
- 配置FTP协议的动态链路保护功能,保证文件数据可以在管理员主机与RouterA之间正常传输。
- 配置协议优先级,对DHCP Client报文设置较高的优先级,保证RouterA优先处理上送CPU的DHCP Client报文。
- 关闭Router的Telnet服务器功能,使RouterA丢弃收到的Telnet报文。
操作步骤
- 配置黑名单使用的ACL
<Huawei> system-view [Huawei] sysname RouterA [RouterA] acl number 4001 [RouterA-acl-L2-4001] rule 5 permit source-mac 0001-c0a8-0102 [RouterA-acl-L2-4001] quit
- 创建防攻击策略
[RouterA] cpu-defend policy devicesafety
- 配置攻击溯源检查功能
[RouterA-cpu-defend-policy-devicesafety] auto-defend enable [RouterA-cpu-defend-policy-devicesafety] auto-defend threshold 50
- 配置黑名单
[RouterA-cpu-defend-policy-devicesafety] blacklist 1 acl 4001
- 配置ARP Request报文上送CPU的速率限制
[RouterA-cpu-defend-policy-devicesafety] packet-type arp-request rate-limit 64
- 配置FTP协议动态链路保护功能的速率限制值
[RouterA-cpu-defend-policy-devicesafety] application-apperceive packet-type ftp rate-limit 2000
- (可选)配置攻击溯源的溯源模式
[RouterA-cpu-defend-policy-devicesafety] auto-defend trace-type source-mac [RouterA-cpu-defend-policy-devicesafety] undo auto-defend trace-type source-ip source-portvlan
缺省情况下,三种攻击溯源模式都生效,如果只需要一种攻击溯源模式生效,一般是使用undo auto-defend trace-type命令来删除不需要的攻击溯源模式。如果不删除不需要的攻击溯源模式,溯源机制会将整个接口置Down,造成整个端口的业务不可用。
- 配置DHCP Client报文的优先级
[RouterA-cpu-defend-policy-devicesafety] packet-type dhcp-client priority 3 [RouterA-cpu-defend-policy-devicesafety] quit
- 应用防攻击策略
# 使能FTP协议动态链路保护功能
[RouterA] cpu-defend application-apperceive ftp enable
# 应用防攻击策略到主控板
[RouterA] cpu-defend-policy devicesafety
- 关闭telnet server功能。
[RouterA] undo telnet server enable
应用层联动不需要使能,只要关闭Router的Telnet服务器功能,Router会丢弃收到的Telnet报文。
- 验证配置结果
# 查看配置的防攻击策略的信息。
[RouterA] display cpu-defend policy devicesafety Related slot : <0> BlackList Status : Slot<0> : Success Configuration : Blacklist 1 ACL number : 4001 Packet-type arp-request rate-limit : 64(pps) Packet-type dhcp-client priority : 3 Rate-limit all-packets : 2000(pps)(default) Application-apperceive packet-type ftp : 2000(pps) Application-apperceive packet-type tftp : 2000(pps)
# 查看主控板上配置的限速信息,显示结果表明,Telnet的应用层联动、对arp-request报文的限制速率和dhcp-client报文优先级的配置成功。
<Huawei> display cpu-defend configuration sru Rate configurations on main board. ----------------------------------------------------------------- Packet-type Status Rate-limit(PPS) Priority ----------------------------------------------------------------- 8021X Disabled 160 2 arp-miss Enabled 64 2 arp-reply Enabled 128 2 arp-request Enabled 64 2 bfd Disabled 512 4 bgp Enabled 256 3 bgp4plus Enabled 256 3 capwap Enabled 512 1 dhcp-client Enabled 128 3 ...... telnet-server Disabled 128 4 ttl-expired Enabled 256 1 udp-helper Disabled 32 2 unknown-multicast Enabled 128 1 unknown-packet Enabled 256 1 voice Enabled 256 4 vrrp Disabled 256 3 wapi Enabled 1024 2 x25 Enabled 4096 1 -----------------------------------------------------------------
# 配置攻击溯源检查功能后,对Net1网段中的攻击者进行溯源的日志信息显示,攻击溯源检查功能生效。
Dec 18 2010 09:55:50-05:13 device %%01SECE/4/USER_ATTACK(l)[0]:User attack occurred.(Slot=MPU, SourceAttackInterface=Ethernet2/0/1, OuterVlan/ InnerVlan=0/0, UserMacAddress=0001-c0a8-0102, AttackPackets=48 packets per second)
# 查看上送到主控板的报文的统计信息,丢弃的报文表明设备对arp-request进行了速率限制。
<Huawei> display cpu-defend statistics ----------------------------------------------------------------------- Packet Type Pass Packets Drop Packets ----------------------------------------------------------------------- 8021X 0 0 arp-miss 5 0 arp-reply 8090 0 arp-request 1446576 127773 bfd 0 0 bgp 0 0 bgp4plus 0 0 dhcp-client 879 0 dhcp-server 0 0 dhcpv6-reply 0 0 dhcpv6-request 0 0 dns 4 0 fib-hit 0 0 fr 0 0 ftp-client 0 0 ftp-server 0 0 …… udp-helper 0 0 unknown-multicast 0 0 unknown-packet 66146 0 voice 0 0 vrrp 0 0 ---------------------------------------------------------------------
配置文件
RouterA的配置文件
#
sysname RouterA
#
acl number 4001
rule 5 permit source-mac 0001-c0a8-0102
#
cpu-defend policy devicesafety
blacklist 1 acl 4001
packet-type arp-request rate-limit 64
packet-type dhcp-client priority 3
application-apperceive packet-type ftp rate-limit 2000
auto-defend enable
auto-defend threshold 50
#
cpu-defend-policy devicesafety
#
return