發布時間: 2018-08-08 16:21:47
?配置本機防攻擊示例
組網需求
如圖1所示,位于不同網段的用戶通過Switch接入Internet。由于接入了大量用戶,因此Switch的CPU會處理大量收到的協議報文。如果存在惡意用戶發送大量攻擊報文,會導致CPU使用率過高,影響正常業務。
管理員希望能夠實時了解CPU的安全狀態。當確定CPU受到攻擊時,Switch能夠及時通知管理員,并采取一定的安全措施來保護CPU。
管理員發現Switch收到了大量的ARP Request報文,因處理這些ARP Request報文導致CPU使用率大幅度提高,希望能夠降低CPU使用率,防止影響正常業務。
管理員發現Net1網段中的用戶經常會發生攻擊行為,希望能夠阻止該網段用戶接入網絡。
管理員需要以FTP方式上傳文件到Switch,希望管理員主機與Switch之間FTP數據能夠可靠、穩定地傳輸。
圖1 配置本機防攻擊示例組網圖
配置思路
采用如下的思路在Switch上配置本機防攻擊:
配置攻擊溯源檢查、告警和懲罰功能,使設備在檢測到攻擊源時通過告警方式通知管理員,并能夠對攻擊源自動實施懲罰。
配置端口防攻擊檢查閾值(端口防攻擊缺省情況下已使能,這里無需再次使能),使設備基于端口維度對超出檢查閾值的協議報文進行限速并以日志方式通知管理員,防止某個端口下存在攻擊者發送大量惡意攻擊報文,擠占其他端口協議報文上送CPU處理的帶寬。
配置ARP Request報文的CPCAR值,將ARP Request報文上送CPU處理的速率限制在更小的范圍內,減少CPU處理ARP Request報文對正常業務的影響。
將Net1網段中的攻擊者列入黑名單,禁止Net1網段用戶接入網絡。
配置FTP協議建立連接時FTP報文上送CPU的速率限制(FTP協議的動態鏈路保護功能缺省情況下已使能,這里無需再次使能),實現管理員主機與Switch之間文件數據傳輸的可靠性和穩定性。
操作步驟
配置上送CPU報文的過濾規則
# 定義ACL規則。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] acl number 2001
[Switch-acl-basic-2001] rule permit source 10.1.1.0
0.0.0.255
[Switch-acl-basic-2001] quit
配置防攻擊策略
# 創建防攻擊策略。
[Switch] cpu-defend policy policy1
# 配置攻擊溯源檢查功能。
[Switch-cpu-defend-policy-policy1] auto-defend enable
# 使能攻擊溯源告警功能。
[Switch-cpu-defend-policy-policy1] auto-defend alarm
enable
# 配置攻擊溯源懲罰措施為丟棄攻擊報文。
說明:
在配置攻擊溯源懲罰措施之前,請確保設備受到了非法攻擊,避免因誤丟棄大量正常協議報文而影響正常業務。
[Switch-cpu-defend-policy-policy1] auto-defend action
deny
# 配置端口防攻擊檢查閾值為40pps。(端口防攻擊缺省情況下已使能,這里無需再次使能)
[Switch-cpu-defend-policy-policy1] auto-port-defend
protocol arp-request threshold 40
# 配置網絡側接口GE0/0/1為端口防攻擊白名單,避免網絡側的協議報文得不到CPU及時處理而影響正常業務。
[Switch-cpu-defend-policy-policy1] auto-port-defend
whitelist 1 interface gigabitethernet 0/0/1
# 配置ARP
Request報文的CPCAR值為120kbit/s。
[Switch-cpu-defend-policy-policy1] car packet-type
arp-request cir 120
# 配置CPU防攻擊黑名單。
[Switch-cpu-defend-policy-policy1] blacklist 1 acl 2001
# 配置FTP協議建立連接時FTP報文上送CPU的速率限制為5000kbit/s。
[Switch-cpu-defend-policy-policy1] linkup-car packet-type
ftp cir 5000
[Switch-cpu-defend-policy-policy1] quit
全局應用防攻擊策略
[Switch]
cpu-defend-policy policy1 global
[Switch]
quit
驗證配置結果
# 查看攻擊溯源的配置信息。
<Switch> display auto-defend configuration
----------------------------------------------------------------------------
Name : policy1
Related slot :
<0>
auto-defend : enable
auto-defend
attack-packet sample : 16
auto-defend
threshold : 128 (pps)
auto-defend
alarm : enable
auto-defend alarm
threshold : 128 (pps)
auto-defend
trace-type : source-mac
source-ip source-portvlan
auto-defend
protocol : arp icmp dhcp igmp
ttl-expired tcp telnet
auto-defend
action : deny (Expired time
: 300 s)
----------------------------------------------------------------------------
# 查看端口防攻擊的配置信息。
<Switch> display auto-port-defend configuration
----------------------------------------------------------------------------
Name : policy1
Related slot : 0
Auto-port-defend : enable
Auto-port-defend
sample : 5
Auto-port-defend
aging-time : 300 second(s)
Auto-port-defend
arp-request threshold : 40 pps(enable)
Auto-port-defend
arp-reply threshold : 30
pps(enable)
Auto-port-defend dhcp
threshold : 30 pps(enable)
Auto-port-defend icmp
threshold : 30 pps(enable)
Auto-port-defend igmp
threshold : 60 pps(enable)
Auto-port-defend
ip-fragment threshold : 30 pps(enable)
--------------------------------------------------------------------------------
# 查看配置的防攻擊策略的信息。
<Switch> display cpu-defend policy policy1
Related slot :
<0>
Configuration :
Blacklist 1 ACL
number : 2001
Car packet-type
arp-request : CIR(120) CBS(22560)
Linkup-car
packet-type ftp : CIR(5000) CBS(940000)
# 查看配置的CPCAR的信息。
<Switch> display cpu-defend configuration
packet-type arp-request
Car configurations on slot 0.
----------------------------------------------------------------------
Packet Name
Status Cir(Kbps) Cbs(Byte)
Queue Port-Type
----------------------------------------------------------------------
arp-request
Enabled 120 22560
3 UNI
----------------------------------------------------------------------
配置文件
Switch的配置文件
#
sysname Switch
#
acl number 2001
rule 5 permit source
10.1.1.0 0.0.0.255
#
cpu-defend policy policy1
blacklist 1 acl
2001
car packet-type
arp-request cir 120 cbs 22560
linkup-car
packet-type ftp cir 5000 cbs 940000
auto-defend enable
auto-defend alarm
enable
auto-defend action
deny
auto-port-defend
protocol arp-request threshold 40
auto-port-defend
whitelist 1 interface GigabitEthernet0/0/1
#
cpu-defend-policy policy1 global
#
return
上一篇: {紅帽 RHCE}通配符的使用
(騰科IT教育集團)
