ACL应用于本机防攻击
关于CPU Defend Policy
本机防攻击策略(CPU Defend Policy)通过对上送CPU的报文进行限制,防止因针对CPU的恶意攻击或无效报文过多而导致的CPU占用率过高。
防攻击整体部署思想是将所有上送CPU的报文分为信任域和非信任域,对信任域加以保护(设置带宽大些),对非信任域加以限制(设置的带宽小些)。
防攻击通过四个模块来实现信任域和非信任域的流量隔离和控制。
| 模块 | 功能 |
|---|---|
| TCP/IP攻击防范 | 通过识别攻击报文之后,直接丢弃。TCP/IP攻击防范是默认开启的功能,不需要配置。
主要支持下面4大类攻击报文的防护:
|
| 白名单 | 属于信任域,保护重要业务不受攻击的影响。
实现原理:基于TCP协议的应用层协议,包括BGP、LDP、MSDP、FTP-SERVER、SSH-SERVER、TELNET-SERVER、FTP-CLIENT、TELNET-CLIENT、SSH-CLIENT,当协议Session建立之后,系统自动将Session加入到白名单中,走高优先级,保证带宽。当攻击发生时,白名单中的业务不受影响,保持正常。
白名单是系统默认使能,无需用户配置。不建议修改白名单的缺省情况,如果想扩充其他应用,可以采用用户自定义流的方式。 |
| 黑名单 | 属于非信任域。用户可以明确指定需要严格控制的流量,采取丢弃策略,也可以对未知流量采用走默认通道的方式。默认通道分配低优先级,限制小带宽等方式。需要用户根据网络业务情况,配置相应策略。 |
| 用户自定义流 | 属于信任域,用户可以根据自身网络情况,灵活配置策略,指定自己需要保护的流量,控制流量的上送带宽,和上送优先级,包长等等。
用户自定义流还可以对用户关心的上送流量做细粒度的隔离,精确的控制,每一个自定义流量走单独的上送通道,互相之间不影响。需要用户根据网络业务情况,配置相应策略。 |
以上四个模块中的白名单、黑名单、用户自定义流,需要使用ACL规则来描述数据流特征。
每个防攻击策略下可以配置1个白名单和1个黑名单,以及多个用户自定义流。如下是防攻击策略的示意图。
cpu-defend policy 4 whitelist acl 2001 blacklist acl 2002 user-defined-flow 1 acl 2003 user-defined-flow 2 acl 2003 user-defined-flow 3 acl 2004 # cpu-defend policy 5 whitelist acl 2005
防攻击策略处理流程
- 先进行URPF、TCP/IP攻击防范和GTSM的安全检查。如果这些安全检查没通过,报文会被丢弃。
- 匹配白名单,不匹配就进行黑名单的匹配。
- 匹配黑名单,不匹配就进行用户自定义流的匹配。
- 匹配用户自定义流,不匹配就进行继续以下处理。
- 对上送的报文进行应用层联动检查,只上送上层应用协议开启的报文。没有开启的报文被丢弃。
步骤2~4中,匹配permit规则就按进行CAR限速上送CPU,匹配deny规则报文直接被丢弃。
“不匹配”都包含了三种情况:
- 没有命中任何规则;
- 引用的ACL不存在;
- 引用的ACL存在但没有配置任何规则。
此外,非管理接口接受到的管理报文直接丢弃。
