登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

11-安全配置指导

目录

10-黑名单配置

本章节下载 10-黑名单配置  (132.59 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S12500/S12500/Configure/Operation_Manual/H3C_S12500_CG-R1828P04-6W182/11/201407/834654_30005_0.htm

10-黑名单配置

目  录

1 黑名单

1.1 黑名单功能简介

1.2 配置黑名单

1.3 黑名单的显示和维护

1.4 黑名单典型配置举例

 

1 黑名单

说明

本功能仅设备网络管理口支持。

 

1.1  黑名单功能简介

黑名单功能是根据报文的源IP地址进行报文过滤的一种攻击防范特性。同基于ACL(Access Control List,访问控制列表)的包过滤功能相比,黑名单进行报文匹配的方式更为简单,可以实现报文的高速过滤,从而有效地将特定IP地址发送来的报文屏蔽掉。

黑名单可以由设备动态地进行添加或删除,这种动态添加是与用户登录设备的认证功能配合实现的,动态生成的黑名单表项会在一定的时间之后老化。具体实现是:当设备检测到某用户通过FTP、Telnet、SSH或Web方式尝试登录设备的失败次数达到指定阈值之后,便判定其为恶意攻击用户,并将其源IP地址自动加入黑名单,之后来自该IP地址且访问本设备的报文将被设备过滤掉。此处所指的认证失败情况包括:用户名错误、密码错误、验证码错误(针对Web登录用户)。该功能可以有效防范恶意用户通过不断尝试登录认证,尝试破解登录密码的攻击行为。目前,用户登录失败次数的阈值为6,黑名单的老化时间为10分钟,且均不可配。

除上面所说的动态方式之外,交换机还支持手动方式添加或删除黑名单。手动配置的黑名单表项分为永久黑名单表项和非永久黑名单表项。永久黑名单表项建立后,一直存在,除非用户手工删除该表项。非永久黑名单表项的老化时间由用户指定,超出老化时间后,设备会自动将该黑名单表项删除,黑名单表项对应的IP地址发送的报文即可正常通过。

说明

登录认证失败后的黑名单添加功能仅对从主控板上登录的用户生效。

 

1.2  配置黑名单

通过配置黑名单功能可以对来自指定IP地址的报文进行过滤。

黑名单的配置包括使能黑名单功能和添加黑名单表项。添加黑名单表项的同时可以选择配置黑名单表项的老化时间,若不配置,那么该黑名单表项永不老化,除非用户手动将其删除。

表1-1 配置黑名单

配置步骤

命令

说明

进入系统视图

system-view

-

使能黑名单功能

blacklist enable

必选

缺省情况下,黑名单功能处于未使能状态

添加黑名单表项

blacklist ip source-ip-address [ timeout minutes ]

可选

扫描攻击防范功能可以自动添加黑名单表项

 

1.3  黑名单的显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后攻击检测及防范的运行情况,通过查看显示信息验证配置的效果。

表1-2 黑名单的显示和维护

操作

命令

显示黑名单信息(独立运行模式)

display blacklist { all | ip source-ip-address [ slot slot-number ] | slot slot-number } [ | { begin | exclude | include } regular-expression ]

显示黑名单信息(IRF模式)

display blacklist { all | chassis chassis-number slot slot-number | ip source-ip-address [ chassis chassis-number slot slot-number ] } [ | { begin | exclude | include }

 

1.4  黑名单典型配置举例

1. 组网需求

网络管理员通过流量分析发现外部网络中存在一个攻击者Host B,将Host B的IP地址添加至黑名单中,使Host B无法访问Switch。

2. 组网图

图1-1 黑名单配置典型组网图

 

3. 配置步骤

# 配置各接口的IP地址,略。

# 使能黑名单功能。

<Switch> system-view

[Switch] blacklist enable

# 将Host B的IP地址5.5.5.5添加到黑名单中,缺省永不老化。

[Switch] blacklist ip 5.5.5.5

4. 验证配置结果

完成以上配置后,可以通过display blacklist all命令查看已添加的黑名单信息。

[Switch] display blacklist all

                    Blacklist information

------------------------------------------------------------------------------

Blacklist                               : enabled

Blacklist items                         : 2

------------------------------------------------------------------------------

IP              Type   Aging started       Aging finished      Dropped packets

                       YYYY/MM/DD hh:mm:ss YYYY/MM/DD hh:mm:ss

5.5.5.5         manual 2008/04/09 16:02:20 Never               0

配置生效后,Switch对来自Host B的报文一律进行丢弃处理,除非管理员认为Host B不再是攻击者,通过undo blacklist ip 5.5.5.5将其从黑名单中删除。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们