• 欢迎访问小诺运维,运维教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站 QQ群
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏小诺运维吧

配置本机防攻击示例

网络 xlqywk 2年前 (2018-11-23) 413次浏览 已收录 0个评论 扫描二维码

组网需求

图1-1所示,位于不同网段的用户通过Switch接入Internet。由于接入了大量用户,因此Switch的CPU会处理大量收到的协议报文。如果存在恶意用户发送大量攻击报文,会导致CPU使用率过高,影响正常业务。

l   管理员希望能够实时了解CPU的安全状态。当确定CPU受到攻击时,Switch能够及时通知管理员,并采取一定的安全措施来保护CPU。

l   管理员发现Switch收到了大量的ARP Request报文,因处理这些ARP Request报文导致CPU使用率大幅度提高,希望能够降低CPU使用率,防止影响正常业务。

l   管理员发现Net1网段中的用户经常会发生攻击行为,希望能够阻止该网段用户接入网络。Net2网段的用户为固定合法用户。

l   管理员需要以FTP方式上传文件到Switch,希望管理员主机与Switch之间FTP数据能够可靠、稳定地传输。

图1-1 配置本机防攻击示例组网图

配置本机防攻击示例

 

配置思路

采用如下的思路在Switch上配置本机防攻击:

1.         配置攻击溯源检查、告警和惩罚功能,使设备在检测到攻击源时通过告警方式通知管理员,并能够对攻击源自动实施惩罚。

2.         将Net2网段中的用户列入攻击溯源白名单,不对其进行攻击溯源分析和攻击溯源惩罚。

3.         配置端口防攻击检查阈值(端口防攻击缺省情况下已使能,这里无需再次使能),使设备基于端口维度对超出检查阈值的协议报文进行限速并以日志方式通知管理员,防止某个端口下存在攻击者发送大量恶意攻击报文,挤占其他端口协议报文上送CPU处理的带宽。

4.         配置ARP Request报文的CPCAR值,将ARP Request报文上送CPU处理的速率限制在更小的范围内,减少CPU处理ARP Request报文对正常业务的影响。

5.         将Net1网段中的攻击者列入黑名单,禁止Net1网段用户接入网络。

6.         配置FTP协议建立连接时FTP报文上送CPU的速率限制(FTP协议的动态链路保护功能缺省情况下已使能,这里无需再次使能),实现管理员主机与Switch之间文件数据传输的可靠性和稳定性。

操作步骤

步骤 1      配置上送CPU报文的过滤规则

# 定义ACL规则。

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] acl number 2001
[Switch-acl-basic-2001] rule permit source 10.1.1.0 0.0.0.255
[Switch-acl-basic-2001] quit
[Switch] acl number 2002
[Switch-acl-basic-2002] rule permit source 10.2.2.0 0.0.0.255
[Switch-acl-basic-2002] quit

步骤 2      配置防攻击策略

# 创建防攻击策略。

[Switch] cpu-defend policy policy1

# 配置攻击溯源检查功能。

[Switch-cpu-defend-policy-policy1] auto-defend enable

# 使能攻击溯源告警功能。

[Switch-cpu-defend-policy-policy1] auto-defend alarm enable

# 配置攻击溯源白名单。

配置本机防攻击示例

建议将周边合法服务器地址、网络互连端口、网络管理设备等加入白名单。

[Switch-cpu-defend-policy-policy1] auto-defend whitelist 1 acl 2002

# 配置攻击溯源惩罚措施为丢弃攻击报文。

配置本机防攻击示例

在配置攻击溯源惩罚措施之前,请确保设备受到了非法攻击,避免因误丢弃大量正常协议报文而影响正常业务。

[Switch-cpu-defend-policy-policy1] auto-defend action deny

# 配置端口防攻击检查阈值为40pps。(端口防攻击缺省情况下已使能,这里无需再次使能)

[Switch-cpu-defend-policy-policy1] auto-port-defend protocol arp-request threshold 40

# 配置网络侧接口GE0/0/1为端口防攻击白名单,避免网络侧的协议报文得不到CPU及时处理而影响正常业务。

[Switch-cpu-defend-policy-policy1] auto-port-defend whitelist 1 interface gigabitethernet 0/0/1

# 配置ARP Request报文的CPCAR值为120kbit/s。

[Switch-cpu-defend-policy-policy1] car packet-type arp-request cir 120
Warning: Improper parameter settings may affect stable operating of the system. Use this command under assistance of Huawei engineers. Continue? [Y/N]:y

# 配置CPU防攻击黑名单。

[Switch-cpu-defend-policy-policy1] blacklist 1 acl 2001

# 配置FTP协议建立连接时FTP报文上送CPU的速率限制为5000kbit/s。

[Switch-cpu-defend-policy-policy1] linkup-car packet-type ftp cir 5000
[Switch-cpu-defend-policy-policy1] quit

步骤 3      全局应用防攻击策略

[Switch] cpu-defend-policy policy1 global
[Switch] quit

步骤 4      验证配置结果

# 查看攻击溯源的配置信息。

<Switch> display auto-defend configuration
—————————————————————————-
Name  : policy1
Related slot : <0>
auto-defend                      : enable
auto-defend attack-packet sample : 5
auto-defend threshold            : 60 (pps)
auto-defend alarm                : enable
auto-defend trace-type           : source-mac source-ip
auto-defend protocol             : arp icmp dhcp igmp tcp telnet 8021x
auto-defend action               : deny (Expired time : 300 s)
auto-defend whitelist 1          : acl number 2002
—————————————————————————-

# 查看端口防攻击的配置信息。

<Switch> display auto-port-defend configuration
—————————————————————————-
Name  : policy1
Related slot : <0>
Auto-port-defend                       : enable
Auto-port-defend sample                : 5
Auto-port-defend aging-time            : 300 second(s)
Auto-port-defend arp-request threshold : 40 pps(enable)
Auto-port-defend arp-reply threshold   : 30 pps(enable)
Auto-port-defend dhcp threshold        : 30 pps(enable)
Auto-port-defend icmp threshold        : 30 pps(enable)
Auto-port-defend igmp threshold        : 60 pps(enable)
Auto-port-defend ip-fragment threshold : 30 pps(enable)
Auto-port-defend alarm                 : disable
—————————————————————————-

# 查看配置的防攻击策略的信息。

<Switch> display cpu-defend policy policy1
Related slot : <0>
Configuration :
Blacklist 1 ACL number : 2001
Car packet-type arp-request : CIR(120)  CBS(22560)
Linkup-car packet-type  ftp : CIR(5000)  CBS(940000)

# 查看配置的CPCAR的信息。

<Switch> display cpu-defend configuration packet-type arp-request slot 0
Car configurations on slot 0.
———————————————————————-
Packet Name           Status   Cir(Kbps)   Cbs(Byte)  Queue  Port-Type
———————————————————————-
arp-request       Enabled       120       22560    3       UNI         
———————————————————————-

—-结束

配置文件

Switch的配置文件

#
sysname Switch
#
acl number 2001
rule 5 permit source 10.1.1.0 0.0.0.255
acl number 2002
rule 5 permit source 10.2.2.0 0.0.0.255
#
cpu-defend policy policy1
blacklist 1 acl 2001
car packet-type arp-request cir 120 cbs 22560
linkup-car packet-type ftp cir 5000 cbs 940000
auto-defend alarm enable
auto-defend action deny
auto-defend whitelist 1 acl 2002
auto-port-defend protocol arp-request threshold 40
auto-port-defend whitelist 1 interface GigabitEthernet0/0/1
#
cpu-defend-policy policy1 global
#
return


小诺运维 |
转载请注明原文链接:配置本机防攻击示例
喜欢 (0)
[541885811@qq.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址