所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
本机防攻击缺省配置

本机防攻击缺省配置

介绍设备的本机防攻击缺省配置,实际应用的配置可以基于缺省配置进行修改。

本机防攻击的缺省配置如表2-3表2-4表2-5表2-6所示。

表2-3  CPU防攻击缺省配置
参数 缺省值
防攻击策略 名称为default的防攻击策略
黑名单 没有黑名单
上送CPU报文的端口的类型 NNI
协议报文能够上送CPU的端口类型 可通过命令display cpu-defend configuration查看
CAR速率抑制值 缺省情况下,设备对上送CPU的报文按照default策略缺省的限速值进行限速,可通过命令display cpu-defend configuration查看
建立BGP、FTP或OSPF协议连接时BGP、FTP或OSPF报文的CPCAR值

BGP和FTP协议建立连接时的承诺信息速率是1024kbit/s,承诺突发尺寸是128000bytes;OSPF协议建立连接时的承诺信息速率是512kbit/s,承诺突发尺寸是64000bytes

动态链路保护功能 HTTPS、FTP和TFTP协议的动态链路保护功能已使能,BGP和OSPF协议的动态链路保护功能未使能
表2-4  攻击溯源缺省配置
参数 缺省值
防攻击策略 名称为default的防攻击策略
攻击溯源功能

使能

攻击溯源检查阈值

60pps

攻击溯源的采样比

5

攻击溯源模式

缺省情况下,攻击溯源默认开启的溯源模式为基于源IP地址和基于源MAC地址。

攻击溯源防范的报文类型

8021X、ARP、DHCP、DHCPv6、ICMP、ICMPv6、IGMP、MLD、ND、TCP和Telnet报文

攻击溯源白名单

缺省情况下,没有攻击溯源的白名单。但是如果符合下面三种条件之一,无论攻击溯源功能有没有使能,设备都会自动将相应条件作为白名单的匹配规则。在使能了攻击溯源功能后,设备不会对匹配这些规则的报文作溯源处理。

  • 某个业务使用TCP协议,并且与设备成功建立TCP连接,设备不会对匹配相应源IP地址的TCP报文进行溯源处理。但是如果在1小时内,都没有相应源IP地址的TCP报文匹配,对应规则就会老化失效。
  • 通过dhcp snooping trusted将设备某接口配置成了DHCP信任接口,设备不会对该端口收到的DHCP报文进行溯源处理。
  • 通过mac-forced-forwarding network-port将设备某接口配置成了MFF的网络侧接口,设备不会对该端口收到的ARP报文进行溯源处理。
攻击溯源告警功能 未使能
攻击溯源告警阈值 60 pps
攻击溯源的惩罚功能 未使能
表2-5  端口防攻击缺省配置
参数 缺省值
防攻击策略 名称为default的防攻击策略
端口防攻击功能 已使能
端口防攻击防范的报文类型 ARP Request、ARP Reply、DHCP、ICMP、IGMP和IP分片报文
端口防攻击的检查阈值 各协议报文基于端口防攻击的检查阈值均不同,详见配置端口防攻击的检查阈值中的说明
端口防攻击的采样比 5
端口防攻击的老化探测周期 300秒
端口防攻击的告警功能 未使能
端口防攻击白名单

缺省情况下,没有配置端口防攻击的白名单。但是当通过dhcp snooping trusted命令将端口配置DHCP信任接端口后,无论端口防攻击功能有没有使能,设备都不会对端口收到的DHCP报文进行端口防攻击处理。

表2-6  用户级限速缺省配置
参数 缺省值
用户级限速功能 已使能
用户级限速限制的报文类型 ARP Request、ARP Reply、ND、DHCP Request、DHCPv6 Request和8021x报文
用户级限速的限速值 10pps
接口下的用户级限速功能 已使能
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:32417

下载量:937

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页