所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置本机防攻击示例

配置本机防攻击示例

组网需求

图2-5所示,位于不同网段的用户通过Switch接入Internet。由于接入了大量用户,因此Switch的CPU会处理大量收到的协议报文。如果存在恶意用户发送大量攻击报文,会导致CPU使用率过高,影响正常业务。

  • 管理员希望能够实时了解CPU的安全状态。当确定CPU受到攻击时,Switch能够及时通知管理员,并采取一定的安全措施来保护CPU。
  • 管理员发现Switch收到了大量的ARP Request报文,因处理这些ARP Request报文导致CPU使用率大幅度提高,希望能够降低CPU使用率,防止影响正常业务。
  • 管理员发现Net1网段中的用户经常会发生攻击行为,希望能够阻止该网段用户接入网络。Net2网段的用户为固定合法用户。
  • 管理员需要以FTP方式上传文件到Switch,希望管理员主机与Switch之间FTP数据能够可靠、稳定地传输。
图2-5  配置本机防攻击示例组网图

配置思路

采用如下的思路在Switch上配置本机防攻击:

  1. 配置攻击溯源检查、告警和惩罚功能,使设备在检测到攻击源时通过告警方式通知管理员,并能够对攻击源自动实施惩罚。
  2. 将Net2网段中的用户列入攻击溯源白名单,不对其进行攻击溯源分析和攻击溯源惩罚。
  3. 配置端口防攻击检查阈值(端口防攻击缺省情况下已使能,这里无需再次使能),使设备基于端口维度对超出检查阈值的协议报文进行限速并以日志方式通知管理员,防止某个端口下存在攻击者发送大量恶意攻击报文,挤占其他端口协议报文上送CPU处理的带宽。
  4. 配置ARP Request报文的CPCAR值,将ARP Request报文上送CPU处理的速率限制在更小的范围内,减少CPU处理ARP Request报文对正常业务的影响。
  5. 将Net1网段中的攻击者列入黑名单,禁止Net1网段用户接入网络。
  6. 配置FTP协议建立连接时FTP报文上送CPU的速率限制(FTP协议的动态链路保护功能缺省情况下已使能,这里无需再次使能),实现管理员主机与Switch之间文件数据传输的可靠性和稳定性。

操作步骤

  1. 配置上送CPU报文的过滤规则

    # 定义ACL规则。

    <HUAWEI> system-view
    [HUAWEI] sysname Switch
    [Switch] acl number 2001
    [Switch-acl-basic-2001] rule permit source 10.1.1.0 0.0.0.255
    [Switch-acl-basic-2001] quit
    [Switch] acl number 2002
    [Switch-acl-basic-2002] rule permit source 10.2.2.0 0.0.0.255
    [Switch-acl-basic-2002] quit
    

  2. 配置防攻击策略

    # 创建防攻击策略。

    [Switch] cpu-defend policy policy1

    # 配置攻击溯源检查功能。

    [Switch-cpu-defend-policy-policy1] auto-defend enable

    # 使能攻击溯源告警功能。

    [Switch-cpu-defend-policy-policy1] auto-defend alarm enable

    # 配置攻击溯源白名单。

    说明:

    建议将周边合法服务器地址、网络互连端口、网络管理设备等加入白名单。

    [Switch-cpu-defend-policy-policy1] auto-defend whitelist 1 acl 2002
    # 配置攻击溯源惩罚措施为丢弃攻击报文。
    说明:

    在配置攻击溯源惩罚措施之前,请确保设备受到了非法攻击,避免因误丢弃大量正常协议报文而影响正常业务。

    [Switch-cpu-defend-policy-policy1] auto-defend action deny
    # 配置端口防攻击检查阈值为40pps。(端口防攻击缺省情况下已使能,这里无需再次使能)
    [Switch-cpu-defend-policy-policy1] auto-port-defend protocol arp-request threshold 40
    # 配置网络侧接口GE0/0/1为端口防攻击白名单,避免网络侧的协议报文得不到CPU及时处理而影响正常业务。
    [Switch-cpu-defend-policy-policy1] auto-port-defend whitelist 1 interface gigabitethernet 0/0/1

    # 配置ARP Request报文的CPCAR值为120kbit/s。

    [Switch-cpu-defend-policy-policy1] car packet-type arp-request cir 120
    Warning: Improper parameter settings may affect stable operating of the system. Use this command under assistance of Huawei engineers. Continue? [Y/N]:y

    # 配置CPU防攻击黑名单。

    [Switch-cpu-defend-policy-policy1] blacklist 1 acl 2001
    # 配置FTP协议建立连接时FTP报文上送CPU的速率限制为5000kbit/s。
    [Switch-cpu-defend-policy-policy1] linkup-car packet-type ftp cir 5000
    [Switch-cpu-defend-policy-policy1] quit

  3. 全局应用防攻击策略

    [Switch] cpu-defend-policy policy1 global
    [Switch] quit
    

  4. 验证配置结果

    # 查看攻击溯源的配置信息。

    <Switch> display auto-defend configuration
     ----------------------------------------------------------------------------   
     Name  : policy1
     Related slot : <0>
     auto-defend                      : enable
     auto-defend attack-packet sample : 5
     auto-defend threshold            : 60 (pps)
     auto-defend alarm                : enable
     auto-defend trace-type           : source-mac source-ip 
     auto-defend protocol             : arp icmp dhcp igmp tcp telnet 8021x   
     auto-defend action               : deny (Expired time : 300 s)
     auto-defend whitelist 1          : acl number 2002
     ----------------------------------------------------------------------------   

    # 查看端口防攻击的配置信息。

    <Switch> display auto-port-defend configuration 
    ----------------------------------------------------------------------------
     Name  : policy1
     Related slot : <0>
     Auto-port-defend                       : enable
     Auto-port-defend sample                : 5
     Auto-port-defend aging-time            : 300 second(s)
     Auto-port-defend arp-request threshold : 40 pps(enable)
     Auto-port-defend arp-reply threshold   : 30 pps(enable)
     Auto-port-defend dhcp threshold        : 30 pps(enable)
     Auto-port-defend icmp threshold        : 30 pps(enable)
     Auto-port-defend igmp threshold        : 60 pps(enable)                        
     Auto-port-defend ip-fragment threshold : 30 pps(enable)
     Auto-port-defend alarm                 : disable
    ----------------------------------------------------------------------------
    # 查看配置的防攻击策略的信息。
    <Switch> display cpu-defend policy policy1
     Related slot : <0>
     Configuration :
       Blacklist 1 ACL number : 2001
       Car packet-type arp-request : CIR(120)  CBS(22560) 
       Linkup-car packet-type  ftp : CIR(5000)  CBS(940000) 
    # 查看配置的CPCAR的信息。
    <Switch> display cpu-defend configuration packet-type arp-request slot 0
    Car configurations on slot 0.
    ----------------------------------------------------------------------          
    Packet Name           Status   Cir(Kbps)   Cbs(Byte)  Queue  Port-Type          
    ----------------------------------------------------------------------          
    arp-request       Enabled       120       22560    3       UNI          
    ---------------------------------------------------------------------- 
    

配置文件

Switch的配置文件

#
sysname Switch
#
acl number 2001
 rule 5 permit source 10.1.1.0 0.0.0.255
acl number 2002
 rule 5 permit source 10.2.2.0 0.0.0.255
#
cpu-defend policy policy1                                                         
 blacklist 1 acl 2001                                                           
 car packet-type arp-request cir 120 cbs 22560                                  
 linkup-car packet-type ftp cir 5000 cbs 940000                                 
 auto-defend alarm enable
 auto-defend action deny     
 auto-defend whitelist 1 acl 2002
 auto-port-defend protocol arp-request threshold 40  
 auto-port-defend whitelist 1 interface GigabitEthernet0/0/1  
#
cpu-defend-policy policy1 global
# 
return 

相关信息

视频

如何配置攻击溯源

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:34409

下载量:976

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页