所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置攻击溯源的白名单

配置攻击溯源的白名单

背景信息

攻击溯源功能可以帮助定位攻击源,并对攻击源进行惩罚。当希望某些用户无论其是否存在攻击都不对其进行攻击溯源分析和攻击溯源惩罚时,则可以配置攻击溯源的白名单。

说明:
  • 如果使用ACL定义攻击溯源白名单,需要配置ACL和对应的规则。

  • 如果定义了某些协议的ACL白名单,需要保证攻击溯源支持该协议,可以通过display auto-defend configuration命令查看攻击溯源支持的协议类型。如果定义的协议不支持,则可以使用auto-defend protocol命令进行配置。

  • 设备ACL资源不足,可能导致白名单应用失败。
  • 端口防攻击白名单中应用的ACL,无论其rule配置为permit还是deny,命中该ACL的报文均会被当作白名单合法报文,不对其进行溯源。

    如果ACL的rule为空,则应用该ACL的端口防攻击白名单功能不生效。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令cpu-defend policy policy-name,进入防攻击策略视图。
  3. 执行命令auto-defend enable,使能攻击溯源功能。

    缺省情况下,攻击溯源功能已使能。

  4. 执行命令auto-defend whitelist whitelist-number { acl acl-number | interface interface-type interface-number },配置攻击溯源的白名单。

    缺省情况下,没有攻击溯源的白名单。但是如果符合下面三种条件之一,无论攻击溯源功能有没有使能,设备都会自动将相应条件作为白名单的匹配规则。在使能了攻击溯源功能后,设备不会对匹配这些规则的报文作溯源处理。

    • 某个业务使用TCP协议,并且与设备成功建立TCP连接,设备不会对匹配相应源IP地址的TCP报文进行溯源处理。但是如果在1小时内,都没有相应源IP地址的TCP报文匹配,对应规则就会老化失效。
    • 通过dhcp snooping trusted将设备某接口配置成了DHCP信任接口,设备不会对该端口收到的DHCP报文进行溯源处理。
    • 通过mac-forced-forwarding network-port将设备某接口配置成了MFF的网络侧接口,设备不会对该端口收到的ARP报文进行溯源处理。

    上述的自动下发白名单的规则有数量限制,基于源IP地址、接口的规则总数最多能够下发16条,其中对基于源IP地址的TCP报文不进行溯源的规则最多能够下发8条。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:34152

下载量:973

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页