配置本机防攻击示例
组网需求
如图6-3所示,位于不同局域网的用户通过Switch连接到路由器访问Internet,Switch接入大量的用户,会接收到大量需要上送CPU的报文,容易遭受针对CPU的报文攻击。
- 管理员希望能够实时了解设备CPU的安全状态,明确设备CPU是否受到攻击,当存在可能造成攻击的报文时,设备能够及时提醒管理员采用一定的措施来保护设备CPU。
- 管理员发现Net1网段中的用户经常会发生攻击行为,希望能够阻止该网段用户接入网络。
- 管理员发现攻击者发送大量的ARP报文,影响CPU的正常工作,希望能够减小ARP报文对CPU处理正常业务的影响。
配置思路
采用如下的思路在Switch上配置本机防攻击:
- 攻击溯源提供了流量分析统计、攻击源识别、告警通知管理员等安全性措施,所以可以使能攻击溯源功能和攻击溯源告警功能并配置攻击溯源的惩罚措施,实现管理员能够实时了解设备CPU受攻击状况和对可能的攻击源进行防御部署。
- 将Net1网段中的攻击者列入黑名单,实现禁止Net1网段用户接入网络。
- 配置ARP报文上送CPU的速率限制,使ARP报文限制在一个较小的速率范围内,实现减小ARP报文对CPU处理正常业务的影响。
操作步骤
- 配置上送CPU报文的过滤规则
# 定义ACL规则。
<HUAWEI> system-view [~HUAWEI] sysname Switch [*HUAWEI] commit [~Switch] acl number 2001 [*Switch-acl4-basic-2001] rule permit source 10.1.1.0 0.0.0.255 [*Switch-acl4-basic-2001] quit
- 配置防攻击策略
# 创建防攻击策略。
[*Switch] cpu-defend policy test1
# 配置攻击溯源检查功能。
[*Switch-cpu-defend-policy-test1] auto-defend enable
# 使能攻击溯源告警功能。
[*Switch-cpu-defend-policy-test1] auto-defend alarm enable
# 配置攻击溯源惩罚措施为丢弃攻击报文。[*Switch-cpu-defend-policy-test1] auto-defend action deny
# 配置黑名单。
[*Switch-cpu-defend-policy-test1] blacklist 1 acl 2001
# 配置ARP报文上送CPU的速率限制。
[*Switch-cpu-defend-policy-test1] car packet-type arp pps 128 [*Switch-cpu-defend-policy-test1] quit
- 全局应用防攻击策略
[*Switch] cpu-defend-policy test1 [*Switch] commit [~Switch] quit
- 验证配置结果# 查看配置的防攻击策略的信息。
<Switch> display cpu-defend policy test1 ============================================== Policy name: test1 Policy applys on slot: <3, 4> Car packet-type arp(pps) : 128 Blacklist status: ---------------------------------------------- Slot Blacklist State ACL ACLIPv6 ---------------------------------------------- 3 1 Successful 2001 -- 4 1 Successful 2001 -- ==============================================
# 查看配置的CAR的信息。<Switch> display cpu-defend configuration all Car configurations on slot 1 : --------------------------------------------------- PacketType Status Car(pps) --------------------------------------------------- 8021x Disabled 512 aaa Enabled 384 arp Enabled 128 arp-miss Enabled 512 ……
配置文件
Switch的配置文件
# sysname Switch # cpu-defend policy test1 blacklist 1 acl 2001 car packet-type arp pps 128 auto-defend enable auto-defend action deny auto-defend alarm enable auto-defend trace-type source-mac source-ip auto-defend protocol all # cpu-defend-policy test1 # acl number 2001 rule 5 permit source 10.1.1.0 0.0.0.255 # return