所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

FAQ-CE12800为什么在VTY下配置ACL还是防范不了非法用户登录攻击?

发布时间:  2019-07-12  |   浏览次数:  275  |   下载次数:  0  |   作者:  cWX466471  |   文档编号: EKB1100010236

目录

问题描述

CE12800为什么在VTY下配置ACL还是防范不了非法用户登录攻击?

解决方案

如果有设备借用了网关的IP,那么网关下挂的终端可能学习ARP的MAC地址学习错误,这样就会导致终端与外部互访出现异常。

以SSH为例,用户要连接设备进行操作,首先要通过SSH登陆认证,然后再在VTY下进行用户权限认证。

仅在VTY下配置ACL,虽然非法用户会在VTY层面被阻挡不能连上设备,但是仍会消耗SSH会话资源。

TELNET与上述情况类似。

防范用户登陆攻击的最合理的方法是在SSH、TELNET Server下配置ACL进行过滤。

例:在SSH服务器端配置编号为2000的访问控制列表。


[~HUAWEI] acl 2000

[~HUAWEI-acl4-basic-2000] rule permit source 1.1.1.1 0

[~HUAWEI-acl4-basic-2000] quit

[~HUAWEI] ssh server acl 2000

 

在TELNET服务器端配置编号为2000的访问控制列表。

[~HUAWEI] acl 2000

[~HUAWEI-acl4-basic-2000] rule permit source 1.1.1.1 0

[~HUAWEI-acl4-basic-2000] quit

[~HUAWEI] telnet server acl 2000

【备注】:配置ACL中的rule源/目的IP时,注意IP地址是否是VPN地址,如果是,需要在IP地址后指定VPN名称 。