配置IPv4协议栈安全

NE20E-S V800R011C10 配置指南 - IP业务 02

评分并提供意见反馈 :

华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言，希望能帮助您更容易理解此文档的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。华为对于翻译的准确性不承担任何责任，并建议您参考英文文档（已提供链接）。

配置IPv4协议栈安全

通过控制对带路由选项IP报文的处理和ICMP报文的接收或发送，可以防止针对带路由选项IP报文和ICMP报文的安全攻击。

应用环境

IP报文中与路由相关的选项可用于网络路径的故障诊断和特殊业务的临时传送。恶意攻击者利用这种报文刺探网络结构获取网络信息，并发动相应的攻击。所以配置对带路由选项IP报文进行处理，防止针对这种报文的安全攻击。

网络攻击者会利用各种报文进行扫描探测，设备会对此类报文回应相应的ICMP报文。此时攻击者就会利用这些ICMP报文获得网络信息，进而对网络进行攻击。同时网络攻击者还可以利用ICMP报文影响设备正常的报文发送，阻碍设备提供正常服务。所以通过控制ICMP报文的发送或接收，可以有效的防止针对ICMP报文的安全攻击。

前置任务

在配置IPv4协议栈安全之前，需完成以下任务：

配置接口的链路层协议参数，使接口的链路协议状态为Up

控制对选项报文的处理
配置ICMP报文防御功能
设置重组队列的超时时间
配置IP源地址检查功能
检查配置结果

控制对选项报文的处理

通过控制对IP报文中路由选项的处理，可以防止针对这种报文的攻击。

背景信息

IP报文可以携带路由选项：

路由告警选项
路由记录选项
源路由选项
时间戳选项

通常情况下这些选项用于网络路径的故障诊断和特殊业务的临时传送。但是这些选项可能被网络攻击者利用，探测网络结构并发动攻击。所以需要利用命令行控制系统是否处理这些带路由选项的IP报文。

缺省情况下，设备处理带路由选项的IP报文。当为了防止针对这种报文的攻击时，可以通过以下配置，去使能系统对带路由选项IP报文的处理。

操作步骤

执行命令system-view，进入系统视图。
请根据不同的路由选项进行如下配置：
- 执行命令undo ip option route-alert enable，去使能系统对路由告警选项的处理。
- 执行命令undo ip option route-record enable，去使能系统对路由记录选项的处理。
- 执行命令undo ip option source-route enable，去使能系统对源路由选项的处理。
- 执行命令undo ip option time-stamp enable，去使能系统对时间戳选项的处理。
执行命令commit，提交配置。

配置ICMP报文防御功能

通过控制ICMP报文发送或接收、限制ICMP报文上传速度、丢弃攻击报文等方法可以防止针对ICMP报文的攻击。

背景信息

在网络流量较大时，例如，频繁的出现主机不可达、端口不可达的现象，则设备会接收大量的ICMP报文，这样会增加网络的负担，明显降低设备的性能。同时大部分攻击者也是利用ICMP报文的各种功能达到攻击的目的，例如，大量发送TTL=1的报文、大量发送带选项的报文、目的地址为广播地址的ICMP报文等。

为了减轻设备处理ICMP报文的压力以及攻击者针对ICMP报文的攻击，可以通过以下配置，实现对ICMP攻击报文的防御。

操作步骤

系统视图下控制ICMP报文发送和接收
1. 执行命令system-view，进入系统视图。
2. 执行命令undo icmp receive或undo icmp send，去使能系统接收或发送ICMP报文功能。
3. 执行命令commit，提交配置。
Loopback接口视图下控制ICMP端口不可达或超时报文的源IP地址。
1. 执行命令system-view，进入系统视图。
2. 执行命令interface loopback loopback-number
  ，进入Loopback接口视图。
3. 执行命令ip icmp { ttl-exceeded | port-unreachable } source-address，指定ICMP端口不可达或超时报文的源IP地址。
4. 执行命令commit，提交配置。

设置重组队列的超时时间

为了提高路由设备的性能，防止攻击，适当设置重组超时时间，可以使长时间等待重组完成的重组队列及时被老化。

操作步骤

执行命令system-view，进入系统视图。
执行命令ipv4 reassembling timeout time，设置IPv4分片报文的重组超时时间。
参数time的取值范围是5～120秒，推荐使用缺省值30秒。
（可选）执行命令reset ip reassembly，初始化分片重组数据。

配置IP源地址检查功能

为了提高路由设备的安全性，防止攻击，可以设置IP源地址检查功能。

应用场景

缺省情况下，接口不对接收的报文进行源地址合法性检查，这是因为存在使用广播地址或者组播地址作为源地址的实际业务场景。但是黑客可能使用广播地址或组播地址进行网络攻击，对于这类攻击报文，用户可以通过使能IP源地址检查功能，将非法报文过滤掉，从而保障设备的安全性。

操作步骤

执行命令system-view，进入系统视图。
执行命令interface interface-type interface-number，进入接口视图。
执行命令ip verify source-address，设置接口对接收到的报文进行源地址合法性检查，非法源地址的报文将被丢弃。

检查配置结果

可以查看IPv4协议栈安全的配置信息。

前提条件

已经完成IPv4协议栈安全的所有配置。

操作步骤

使用display icmp statistics [ interface interface-type interface-num ]命令查看ICMP流量统计信息。
使用display ip statistics命令查看IP流量统计信息。

控制对选项报文的处理
配置ICMP报文防御功能
设置重组队列的超时时间
配置IP源地址检查功能
检查配置结果

翻译

English

下载文档

更新时间：2020-02-07

文档编号：EDOC1100125614

浏览量：14098

下载量：65

平均得分:

本文档适用于这些产品

应用环境

前置任务

控制对选项报文的处理

背景信息

操作步骤

配置ICMP报文防御功能

背景信息

操作步骤

设置重组队列的超时时间

操作步骤

配置IP源地址检查功能

应用场景

操作步骤

检查配置结果

前提条件

操作步骤

相关版本

相关文档