评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置攻击防范示例
组网需求
如图8-9所示,如果局域网内存在Hacker向SwitchA发起畸形报文攻击、分片报文攻击和泛洪攻击,将会造成SwitchA瘫痪。为了预防这种情况,管理员希望通过在SwitchA上部署各种攻击防范措施来为用户提供安全的网络环境,保障正常的网络服务。
操作步骤
- 使能畸形报文攻击防范
<HUAWEI> system-view [~HUAWEI] sysname SwitchA [*SwitchA] anti-attack abnormal enable
- 使能分片报文攻击防范,并限制分片报文接收的速率为15000bit/s
[*SwitchA] anti-attack fragment enable [*SwitchA] anti-attack fragment car cir 15000
- 使能泛洪攻击防范
# 使能TCP SYN攻击防范,并限制TCP SYN报文接收的速率为15000bit/s。
[*SwitchA] anti-attack tcp-syn enable [*SwitchA] anti-attack tcp-syn car cir 15000
# 使能UDP泛洪攻击防范,对特定端口发送的UDP报文直接丢弃。
[*SwitchA] anti-attack udp-flood enable
# 使能ICMP泛洪攻击防范,并限制ICMP泛洪报文接收的速率为15000bit/s。
[*SwitchA] anti-attack icmp-flood enable [*SwitchA] anti-attack icmp-flood car cir 15000 [*SwitchA] commit
- 检查配置结果
# 配置完成后,可以通过执行命令display anti-attack statistics查看报文攻击防范的统计数据。
[~SwitchA] display anti-attack statistics Packets Statistic Information: ------------------------------------------------------------------------------- AntiAtkType TotalPacketNum DropPacketNum PassPacketNum (H) (L) (H) (L) (H) (L) ------------------------------------------------------------------------------- Abnormal 0 0 0 0 0 0 Fragment 0 0 0 0 0 0 Tcp-syn 0 209 0 0 0 209 Udp-flood 0 0 0 0 0 0 Icmp-flood 0 0 0 0 0 0 -------------------------------------------------------------------------------
由显示信息可知,SwitchA上产生了TCP SYN报文的丢弃计数,表明攻击防范功能已经生效。
