01-正文
本章节下载: 01-正文 (3.53 MB)
目 录
H3C SecPath AFC2100-D采用主流的B/S架构,设备支持 CLI(Command Line Interface,命令行接口)、Web两种登录方式。
通过 CLI 登录设备后,可以直接输入命令行,来配置和管理设备。CLI 方式下又根据使用的登录接口以及登录协议不同,分为:通过 Console 口、Telnet、SSH 登录方式。
通过 Web 登录设备后,用户可以使用 Web 界面直观地管理和维护网络设备。WEB登录支持加密的HTTPS协议与便捷的HTTP协议远端管理方式,同时支持单用户多并发的账户机制。
用户首次登录设备时,可通过 Console 口、Web 或 SSH 进行登录,Console 口、Web 和 SSH 登录需要用户名和密码,分别是 admin\admin各登录方式下需要的最小配置详见下表:
表1-1 各种登录设备方式的最小配置描述表
登录方式 |
缺省情况最小配置描述 |
配置通过Console口本地登录设备 |
缺省情况下,Console口登录时用户名和密码均为admin。 |
SSH登录设备 |
配置设备 IP地址,并确保设备与 SSH 登录客户端间路由可达(缺省情况下,设备管理接口的 IP 地址为 192.168.0.1/24),SSH登录时用户名和密码均为admin)。 |
Web登录设备 |
1. 配置设备 IP 地址,确保设备与管理客户端间路由可达(缺省情况下,设备管理接口的 IP 地址为 192.168.0.1/24)。 2. 配置 Web 用户的用户名与密码(缺省情况下,用户名和密码均为 admin) |
H3C SecPath AFC2100-D设备出厂时有固定的管理口,其IP地址为192.168.0.1,因此请将任意一台电脑的IP地址设置为与产品管理地址同一网段的IP,并与管理接口相连。例如:192.168.0.10
在浏览器地址栏中输入http://192.168.0.1或https://192.168.0.1并回车,即可打开产品的登录界面,如下图所示:
图1-1 系统登录界面
在设备的登录界面输入用户名账号和密码(默认用户用户名和密码相同为admin)点击<登录>按钮,进入系统 WEB管理界面。
在系统登录界面可以选择显示语言的种类目前支持的语言有“中文”和“English”两种。
H3C SecPath AFC2100-D设备出厂时默认支持了SSH登录方式,无需单独的去配置,只需要SSH Client与设备管理地址直接路由可达即可登录到设备CLI界面,SSH默认登录端口为22。配置SSH登录环境如下图:
图1-2 SSH登录环境
SSH连接设备需要通过PuTTY 、Xshell等终端仿真程序,SSH登录时提示用户需要输入用户名和密码(默认用户名密码都是admin),出现命令行提示符后即可键入命令来配置设备或查看设备运行状态,需要帮助可以随时键入“?”。
通过 Console 口进行本地登录是登录设备的基本方式之一,用户可以使用本地链路登录设备,便于系统维护。图1-3所示,通过 Console 口登录设备时,请按照以下步骤进行操作:
(1) 准备好 RS-232 线缆(产品随机附带的配置口电缆)和 USB 口转串口转接线缆(需要用户自备)。
(2) 请先将 RS-232 线缆的 DB-9(孔)插头插入 USB 口转串口转接线缆的 9 芯(针)串口中,再将 RJ-45 插头端插入设备的 Console 口中,将 USB 口插入PC 的 USB 口中。
图1-3 将设备与 PC 通过 Console 通信线缆进行连接
· 在通过 Console 口搭建本地配置环境时,需要通过超级终端或 PuTTY 等终端仿真程序与设备建立连接。打开终端仿真程序后,请按如下要求设置终端参数:
¡ 波特率:115200
¡ 数据位:8
¡ 停止位:1
¡ 奇偶校验:无
¡ 流量控制:无
· 设备上电,终端上显示设备启动自检信息,自检结束后设备提示用户输入用户名和密码(默认用户名密码都是admin),出现命令行提示符后即可键入命令来配置设备或查看设备运行状态,需要帮助可以随时键入“?”。
1、为了安全起见,请及时修改系统管理员密码。密码推荐包含字母、数字、符号的任意组合;
2、串联系统通道口是透明模式,接口地址无效,因此不能做管理;
3、千兆设备的波特率为38400,万兆设备的波特率为115200。
本节介绍系统 WEB管理界面构成,在页面的右上方显示了设备当前的“系统时间”和“防护模式”。如下图所示:
图1-4 系统介绍
表1-2 设备各功能模块
编号 |
一级菜单 |
二级菜单 |
1 |
状态监控 |
综合监控,系统状态,防护范围,主机状态,连接监控,报文捕捉 |
2 |
数据分析 |
攻击分析,事件分析,流量分析,性能分析,连接分析,报表下载 |
3 |
防御配置 |
全局参数,规则设置,牵引管理 |
4 |
系统管理 |
集群管理,设备管理,SNMP管理,时间管理,磁盘管理,用户组管理,用户管理,日志管理,系统配置,系统备份与恢复 |
5 |
个人管理 |
用户信息,修改密码 |
6 |
服务支持 |
版本信息 |
根据企业实际情况确定好部署方式并将产品上架后,即可根据实际情况设置设备的管理地址和网关等。
选择“系统管理 > 设备管理”进入“设备管理”界面,设置系统管理地址,如下图所示:
图1-5 设备管理
从上图可以看出此设备的数据口为eth4口和eth5口,数据通道1的输入、输出口为eth5口,分别为通道0的输入和通道0的输出口。eth0口为默认管理口,地址为192.168.0.1掩码为255.255.255.0,这里将管理地址修改为192.168.2.61网络掩码改为255.255.255.0网关地址改为192.168.2.1,具体操作分为以下两步:
步骤1 添加管理地址
在“设备管理”页面底部“设备”参数中填写设备管理接口“eth0”“地址”参数中填写设备的管理IP及掩码“192.168.2.61/24”。填写完成后点击<添加地址>按钮,如下图所示:
图1-6 添加管理地址
步骤2 设置管理地址网关
在“设备管理”页面底部“设备”参数中填写设备管理接口“eth0”“地址”参数中填写设备的网关地址“192.168.2.1”。填写完成后点击<设备网关>按钮,如下图所示:
图1-7 添加管理地址网关
管理地址和网关添加完成后,就可以通过设置好的管理地址登录到系统的Web管理平台。如下图所示:
图1-8 管理地址设置完成
有关“设备管理”中具体参数设置也可参考“系统设备”相关章节
每次操作完请务必保存配置,否则设备重启时会导致配置丢失。
在系统 WEB管理平台的工作窗口右上角,提供了<退出>按钮,如下图的右边图标;点击后即可对用户进行切换,如下图所示:
图1-9 退出登录
H3C SecPath AFC2100-D系列产品集成了简洁高效的WEB管理界面,可以方便的使用浏览器进行管理设置,本章将详细介绍各个界面及其功能。
选择“状态监控 > 综合监控”进入“综合监控”界面,该页面显示了设备的实时数据信息、每分钟数据信息(最高值)、每小时数据信息(最高值)、每天的数据信息(最高值)和流量概况信息,数据信息包括进出流量和TCP、UDP连接。如下图所示:
图2-1 实时数据监控
图2-2 每分钟数据(最大值)
图2-3 每小时数据(最大值)&每日数据(最大值)
页面整体上显示了设备上的流量、报文、匿名流量以及其他流量。外网为外部网络与设备的接口,即输入流量;内网为内部网络与设备的接口,即输出流量。如下图所示:
图2-4 流量概况
选择“状态监控 > 系统状态”进入“系统状态”界面,该界面中包括“系统负载”和“网卡负载”两个部分,“系统负载”中可以直观显示设备实时的CPU负载情况和内存负载情况。如下图所示:
图2-5 系统负载
在“系统负载”界面可以点击CPU或者MEMORY查看相应的CPU或者MEMORY的流量图信息。如下图所示:
图2-6 CPU负载
图2-7 内存负载
在“网卡负载”界面显示了设备所有接口的负载情况,包括接收报文数量、接收错误报文数量、发送报文数量和发送错误报文数量。如下图所示:
图2-8 网卡负载
在“网卡负载”界面可以对各个接口下的“接收报文”、“接收错误”、“发送报文”或者“发送错误”等信息单独进行查看。如下图所示:
图2-9 查看各接口接收报文数量
选择“状态监控 > 防护范围”进入“防护范围”界面,在此界面添加设备所防护的IP范围,即设备只防护在“防护范围”的IP。防护范围可以是单个IP,一段范围的IP或者是一个段的IP。如下图所示。
图2-10 防护范围
防护范围支持单个添加和批量导入两种添加方式。具体操作如下:
· 手动添加单个防护范围
点击<添加>按钮进入防护范围添加页面,在“开始地址”中填写所添加IP范围中的起始IP,在“结束地址”中填写终止IP,“地址前缀”中填写所填IP范围的网络掩码位,设置完成后点击<提交>按钮。如下图所示:
图2-11 添加防护范围
· 批量导入防护范围
采用批量导入防护范围的方法时,首先要编写防护范围的txt文档,文档编码格式为UTF-8。如下图所示:
图2-12 填写防护范围txt文档
防护范围txt文档编写好后,在设备“防护范围”界面点击<选择文件>按钮,选择编辑好的防护范围txt文件,最后点击界面里的<导入>按钮。即完成了防护范围的批量导入。
当设备收到不在“防护范围”中IP的流量时,这边对这些IP的流量不做任何分析,但会受到设备“全局参数”中“匿名流量限制”参数的限制。
选择“状态监控 > 主机状态”进入“主机状态”界面,该界面显示了当前设备下主机的基本状态,如主机、带宽、频率、连接、操作,可以通过透视图去选择查看主机的类型,并且可以通过搜索框去对特定的主机进行操作;鼠标放到具体主机上会出现手型按钮,点击主机IP即可进入主机设置页面,点击主机IP后的其他任何参数,可以生成该主机流量图表。如下图所示:
图2-13 主机状态
可以在框中搜索需要的主机,格式为192.168.1.1/24或192.168.1.1,输入完成后点击[查询]按钮。
· 添加主机
在设置好“防护范围”后,防护范围内的主机只要产生流量后,该主机就会自动出现在“主机状态”页面,如果防护范围内的主机没有产生流量就不会出现在“主机状态”页面,此时可以手动将该主机添加到“主机状态”页面。具体操作如下:
在“主机状态”页面添加需要添加的IP,支持单个IP和IP范围。以2.0.0.1-2.0.0.254/23这个网段中的主机为例。操作如下:
· 添加单个地址
在“主机状态”页面上方输入要添加的单个IP地址例如2.0.0.1。如下图所示:
图2-14 添加单个IP地址
点击<添加>按钮2.0.0.1这个IP就添加成功了。如下图所示:
图2-15 成功添加单个IP
· 添加地址范围
在“主机状态”页面上方输入要添加的IP地址范围,例如2.0.0.10-2.0.0.20。如下图所示:
图2-16 添加IP地址范围
点击<添加>按钮2.0.0.10-2.0.0.20这个IP地址范围就添加成功了。如下图所示:
图2-17 成功添加IP地址范围
· 删除主机:在主机搜索框里面输入自己想要删除的主机或者网段,点击<删除>按钮可以删除,或者可以选择主机前的复选框然后点击<删除>按钮。
· 主机:显示当前设备下的主机的IP地址,每个主机IP地址是一个超连接,点击后即可进入主机设置页面。
· 带宽:显示该主机的入口、出口、非正常带宽占用,以Mbps为单位;
· 频率:显示该主机受到攻击的频率,目前主要统计为SYN报文频率、ACK报文频率、UDP报文频率、ICMP报文频率、FRAG报文频率、NonIP报文频率、NewTCP连接、NewUDP连接和Rules。
· 连接:显示外部与该主机建立的连接数(IN),该主机与外部建立的连接数(OUT),及UDP连接。IN连接远远超过正常值的连接数量表示该主机可能受到代理型攻击,如CC类攻击等,请设置相应的防护模式或联系H3C售后技术支持。
· 操作:操作按钮,提供删除整个网段或者主机的功能。
· 主机状态查看:点击除主机之外其他部分都会进入相应图表界面,在图表界面显示了主机当前防护状态,保护模式显示当前主机处于的防御模式,输入输出流量显示主机输入和输出过滤前和过滤后流量。如下图所示:
图2-18 主机状态查看
点击主机IP部分,进入“主机设置”页面,当前显示了主机的设置参数,包括流量策略及防护策略,如下图所示:
图2-19 主机设置
表2-1 主机设置参数
编号 |
功能 |
说明 |
1 |
主机地址 |
显示当前主机的主机地址。 “有效”复选框表示该主机是否存在。设备的主机自动发现系统有时会发现一些不存在的IP地址,如果您确定某主机不存在而又出现在列表中的话,请清除“有效”复选框,则该主机将被自动清除。 “忽略”选择此选项后将忽略此主机的所有流量,不再进行防护。 “防护”选择此项,则对此主机进行强制防御。 |
2 |
地址前缀 |
标识主机地址的掩码位数 |
3 |
设置集序号 |
包括防护参数集和过滤规则集,可根据不同需要调整不同的防护参数集。 |
选择“防护报告”选项进入主机防护报告页面,此页面包括该主机的流量和连接的数据分析、防护报告和数据访问等信息。
数据分析界面显示了该主机每分钟、每小时、每天的数据最大值分析。数据图表中显示了各统计区间内主机进出流量的最大值和TCP IN连接和UDP连接最大值,鼠标放到流量图上面,可以显示鼠标所在数据采集点的流量情况。同时流量图上为了让用户更清楚的看每一种流量的情况,还增加了“图形显示开关”功能,点击对应的流量以及负载按钮,会变成灰色,相对应的流量及负载图会随之消失,然后再点击会恢复,便于用户分类查看;如下图所示:
图2-20 每分钟数据分析
图2-21 每小时数据分析
图2-22 每日数据分析
“防护报告”记录了该主机收到的攻击类型。
“数据访问”主要是对改主机的流量分析和连接访问分析,流量分析包括:最大输入流量、最大输出流量、平均输入流量和平均输出流量;连接访问包括:最大TCP连接频率、平均TCP连接频率、最大UDP连接频率和平均UDP连接频率。如下图所示:
图2-23 防护报告&数据访问
当主机受攻击,主机状态发生改变时(如从“Normal”到“SYN”状态或从“SYN”到“SYN”“UDP”状态等),系统具有自动捕获数据包的功能,方便网络管理人员监控、取证等。如下图所示:
图2-24 攻击报文档案
选择“状态监控 > 连接监控”进入“连接监控”界面,界面显示了当前设备上所有的连接,如下图所示:
图2-25 连接监控
在此界面可以查看设备下所有主机的输入连接和输出连接,也可以单独查询设备某个主机的输入连接、输出连接和所有连接,同时也可以查询某个客户端与设备下主机的连接。具体方法如下:
· 查询设备下所有主机的连接
在[连接监控]页面选择输入连接和输出连接,点击<查询>按钮即可查询设备下所有主机的连接。
· 查询设备下某个主机的输入连接
在“连接监控”页面输入要查询的主机IP例如192.168.59.10并选择输入连接,点击<查询>按钮即可查询该主机的输入连接。
· 查询某个客户端与设备下主机的连接
例如要查询客户172.16.13.61与设备下主机的连接情况,只要在“连接监控”页面输入要查询的地址并在地址前加-,如-172.16.13.61,选择输入连接和输出连接,点击<查询>按钮即可查询该客户端与设备下所有主机的连接。
在“连接监控”界面除了可以查询连接情况,同时可以处置客户端与设备下主机的连接。重置连接分为重置单个连接和某个主机的所有连接
· 重置单个连接
在“连接监控”界面选择需要重置的连接,点击连接后面的<重置>按钮,即可重置此连接。
· 重置某个主机的所有连接
如果要重置设备下某个主机的所有连接,首先在“连接监控”界面输入该主机IP,选择输入连接和输出连接,然后点击<查询>按钮,查询出该主机的所有连接,最后选择[连接监控]界面上方的<重置>按钮。即可重置改主机的所有连接。
选择“状态监控 > 报文捕捉”进入“报文捕捉”界面,报文捕捉功能,可以实时的捕获设备下某个主机IP或者客户端IP的数据,为管理人员提供防护的依据。在原有的报文捕捉的基础上,增加了捕获的协议内容和针对接口抓包功能。具体如下图所示:
图2-26 报文捕捉页面
表2-2 报文捕捉相关参数
编号 |
功能 |
说明 |
1 |
捕捉地址 |
输入需要捕捉报文的主机地址,此地址可以是墙下主机IP也可以是客户端IP |
|
MAC地址 |
输入要捕捉的MAC地址,可以是墙下主机MAC地址也可以是客户端MAC地址 |
2 |
捕捉属性 |
包括源地址和目的地址。 例如捕获地址填写的是墙下服务器的IP:192.168.59.10,并只选择了源地址,那么设备抓取数据包时,之后抓取改服务器为源IP的数据(即为该服务器对外发送的数据) |
3 |
协议类型 |
设备可以针对协议类型进行抓包,协议类型目前支持IP、TCP、UDP、ICMP、ICMPv6、IGMP和Others,选择Others时后面填写相应协议的协议号 |
4 |
设备接口 |
目前设备支持针对设备接口的抓包,all表示对所有接口进行抓包 |
5 |
捕捉采样比 |
以采样比的形式进行抓包,比如采样比选择100,表示每100个包中随机采样一个数据包。 |
6 |
报文捕捉报文数目 |
输入想要捕捉报文的个数 |
7 |
远程TFTP文件 |
可以对捕捉的报文进行重命名,利于区分报文,另外可以输入TFTP地址,把捕捉好的包放入这个TFTP服务器;填写格式为 IP@文件名 ,例如1.1.1.1:捕捉报文 即TFTP远程地址为1.1.1.1,文件名称为报文捕捉。 |
报文捕捉数目为必填项,否则捕捉不成功。
选择“数据分析 > 攻击分析”进入“攻击分析”界面,此页面主要统计了设备开机到现在有哪些主机受到过攻击,同时记录了正在受到攻击的主机。“攻击分析”界面主要包括“攻击主机统计”和“攻击统计图”两个部分。
“攻击主机统计”主要统计了正在发送的攻击事件和曾经发生过的攻击事件。攻击分析数据内容包括攻击源地址、目的主机、目的端口、攻击开始时间、攻击结束时间、攻击持续时间、攻击类型、高层协议、攻击状态和攻击最大流量等内容。如下图所示:
图2-27 攻击主机统计
攻击源地址:当攻击源地址为真实IP地址时,说明被攻击主机受到的攻击为固定源攻击,如果攻击源地址显示为0.0.0.0/0时,说明被攻击主机受到的攻击为伪造源攻击。
详情:点击<详情>按钮进入详情页面,在详情页面中可以下载此次攻击的攻击数据包文件。
“攻击统计图”界面是以统计图的形式显示了攻击趋势、TOP10攻击主机和攻击端口统计。
图2-28 攻击趋势统计图
图2-29 TOP10攻击主机&攻击端口统计
选择“数据分析 > 事件分析”进入“事件分析”界面,设备是以每分钟数据、每小时数据和每日数据的最大值的方式统计了设备上主机受到的攻击类型和攻击流量大小。同时可以通过点击统计图下面的攻击类型按钮来选择需要单独显示的数据。如下图所示:
图2-30 分钟数据(最大值)统计
图2-31 小时数据(最大值)统计
图2-32 每日数据(最大值)统计
“事件分析”界面也提供搜索和报表下载功能,可以根据主机、开始时间、结束时间以及流量上下限等条件进行查询和报表下载。如下图所示:
图2-33 事件分析查询和报表下载
选择“数据分析 > 流量分析”进入“流量分析”界面,设备是以每分钟数据、每小时数据和每日数据的最大值的方式统计了设备输入流量和输出流量大小。同时可以通过点击统计图下面的输入流量和输出流量按钮来选择需要单独显示的数据。如下图所示:
图2-34 分钟数据(最大值)统计
图2-35 小时数据(最大值)统计
图2-36 每日数据(最大值)统计
“流量分析”界面也提供搜索和报表下载功能,可以根据主机、开始时间、结束时间以及流量上下限等条件进行查询和报表下载。如下图所示:
图2-37 流量分析查询和报表下载
选择“数据分析 > 性能分析”进入“性能分析”界面,设备是以每分钟数据、每小时数据和每日数据的最大值的方式统计了设备输入流量大小、CPU使用率和内存使用率等信息。同时可以通过点击统计图下面的输入流量、CPU使用率和内存使用率按钮来选择需要单独显示的数据。如下图所示:
图2-38 分钟数据(最大值)统计
图2-39 小时数据(最大值)统计
图2-40 每日数据(最大值)统计
“性能分析”界面也提供搜索和报表下载功能,可以根据主机、开始时间、结束时间以及流量上下限等条件进行查询和报表下载。如下图所示:
图2-41 流量分析查询和报表下载
选择“数据分析 > 连接分析”进入“连接分析”界面,设备是以每分钟数据、每小时数据和每日数据的最大值的方式统计了设备输入流量大小、TCP IN连接、TCP OUT连接和UDP连接等信息。同时可以通过点击统计图下面的输入流量大小、TCP IN连接、TCP OUT连接和UDP连接按钮来选择需要单独显示的数据。如下图所示:
图2-42 分钟数据(最大值)统计
图2-43 小时数据(最大值)统计
图2-44 每日数据(最大值)统计
“连接分析”界面也提供搜索和报表下载功能,可以根据主机、开始时间、结束时间以及流量上下限等条件进行查询和报表下载。如下图所示:
图2-45 连接分析查询和报表下载
选择“数据分析 > 报表下载”进入“报表下载”界面,该页面提供各种类型的报表下载。报表类型包括:攻击分析、事件分析、流量分析、性能分析和连接分析。
同时可以根据主机、开始时间、结束时间、范围选择和统计区间等条件进行查询和报表下载。如图显示:
图2-46 报表下载
选择“防御配置 > 全局参数”进入“全局参数”全局参数设置界面,该页面提供了一些通用参数的设置接口,用户可方便的配置设备防护行为。
图2-47 全局参数
系统操作环境提供系统全局范围的主机防护参数,主要包括流量控制、系统时间和策略选项:
流量控制:全局型的流量控制,包括“攻击防御模式”和“透明直通(不处理数据)模式”。
· 攻击过滤为默认模式,此模式下,系统运行完整的攻击过滤流程,过滤攻击保证正常流量到达主机;
· 透明直通模式下:设备相当于一根导线,只是简单的转发数据而不进行处理;
采样比:采取倒数设置,如设置为1,则取样所有捕获的报文,设置为2,则取样1/2的报文。
NetFlow及SFlow监控端口:配合交换机及其他设备使用,兼容Netflow和SFlow程序,填写内容为对端设置的监控组号。
主机防护参数可针对不同服务主机进行特殊参数设置,通过“设置集”将某主机设置为指定参数集,在该集中调整参数而不影响其他主机服务。如下图所示:
图2-48 主机防护参数
表2-3 流量防护策略
编号 |
功能 |
说明 |
1 |
SYN Flood保护 |
当设备下主机IP收到SYN报文数量,每秒超过次数设定值时,此设备下主机进入SYN Flood防御模式,此时分析器通过心跳口通知系统对此IP进行流量牵引和防御。 |
2 |
ACK&RST Flood保护 |
当设备下主机每秒收到的ACK或者RST报文超过设定值,此设备下主机进入ACK Flood或者RST Flood防御模式,此时分析器通过心跳口通知系统对此IP进行流量牵引和防御。 |
3 |
UDP保护触发 |
当设备下主机每秒收到的UDP报文超过设定值,此设备下主机进入UDP Flood防御模式,此时分析器通过心跳口通知系统对此IP进行流量牵引和防御。 |
4 |
ICMP保护触发 |
当设备下主机每秒收到的ICMP报文超过设定值,此设备下主机进入ICMP Flood防御模式,此时分析器通过心跳口通知系统对此IP进行流量牵引和防御。 |
5 |
碎片保护触发 |
当设备下主机每秒收到的Fragment碎片报文超过设定值,此设备下主机进入Fragment Flood防御模式,此时分析器通过心跳口通知系统对此IP进行流量牵引和防御。 |
6 |
NonIP保护触发 |
当设备下主机每秒收到不常用IP协议族其他协议数据报文超过设定值,此设备下主机进入NonIP Flood防御模式,此时分析器通过心跳口通知系统对此IP进行流量牵引和防御。 |
新建TCP连接保护触发 |
当设备下主机每秒新建TCP连接数量超过设定值(此处为1000),此时分析器通过心跳口通知抗拒绝服务器系统对此IP进行流量牵引和防御。 |
|
8 |
新建UDP连接保护触发 |
当设备下主机每秒新建UDP连接数量超过设定值(此处为1000),此时分析器通过心跳口通知抗拒绝服务器系统对此IP进行流量牵引和防御。 |
9 |
规则匹配保护触发 |
当设备下主机每秒触发过滤规则次数设置阀值(此处为3),此时分析器通过心跳口通知抗拒绝服务器系统对此IP进行流量牵引和防御。 |
10 |
基线因子 |
计算主机前10天、当前小时的平均流量,作为基线流量。当流量超过平均流量x倍基线因子,主机会进入[Bline]防护,此状态不会过滤报文,只是会提示主机进入此种防护 |
· 流量监测:
¡ 异常流量保护触发:主机异常流量到达此值时,则进入防护状态,此时分析器通过心跳口通知抗拒绝服务器系统对此IP进行流量牵引和防御。
¡ 普通流量保护触发:主机普通流量到达此值时,则进入防护状态,此时分析器通过心跳口通知抗拒绝服务器系统对此IP进行流量牵引和防御。
基线因子计算主机前10天、当前小时的平均流量,作为基线流量,0表示关闭流量学习功能(举例 :若基线因子填“2”倍,那么主机当前流量超过了基线流量2倍,会进入[Bline]防护)
选择“防御配置 > 规则设置”进入“规则设置”界面,该页面显示了当前设备系统中的规则,包括系统规则和用户定义规则。页面如下图所示:
图2-49 规则设置
点击<添加>按钮或者某规则的<编辑>操作,将进入规则编辑页面。点击<重置>按钮则将规则默认。点击具体规则后面的编辑和删除进行相应的操作。具体描述如下:
表2-4 过滤规则参数
编号 |
功能 |
说明 |
1 |
范围0-15,对于一台主机可适用多项规则,也可用于规则的重叠设置,通过主机状态中的规则设置集选择某台主机的生效规则。 |
|
2 |
控制 |
用于规则的启用、编辑、删除操作 |
3 |
表示该规则的协议域,如TCP,UDP,ICMP等 |
|
4 |
表示该规则的地址域 |
|
5 |
描述 |
该规则的其它细节性的描述,根据规则不同内容也不同。如果规则包含描述域,则显示该规则的描述文本 |
6 |
规则匹配的次数 |
“规则编辑”页面用于编辑或添加某个用户定义规则。页面如下图所示:
图2-50 规则编辑页面
表2-5 过滤规则参数
编号 |
功能 |
说明 |
1 |
设置此规则在规则列表中的位置,可通过自定义设置规则生效顺序 |
|
2 |
此规则以文本形式描述,使用户快速理解规则的用途 |
|
3 |
指定该规则匹配的报文的长度范围 |
|
4 |
此项不填写,表明此规则匹配所有的本地地址; 此项可以指定一个地址的范围用于规则的本地地址匹配, 如“192.168.1.1-192.168.1.255”; |
|
5 |
此项不填写,表明此规则匹配所有的本地地址; 此项可以指定一个地址的范围用于规则的本地地址匹配, 如“192.168.1.1-192.168.1.255” |
|
6 |
指示规则匹配的报文的协议类型,其中TCP、UDP及ICMP协议将各自激活相应的系列规则设置。 |
|
7 |
本地端口/远程端口 |
可指定的端口类型可以为单一端口,如“80”;也可为端口范围,如“135-445”;还可以为离散端口,如“7000, 7100, 7200” |
8 |
TCP标志位 |
TCP协议设置的特定域,指示规则匹配报文的TCP标志,包括FIN,SYN,RST,PSH,ACK,URG |
9 |
TCP窗口大小 |
针对数据包的win值大小的设置 |
10 |
ICMP类型/ICMP代码 |
ICMP协议设置的特定域,指示规则匹配报文的ICMP数值。 |
11 |
指定规则匹配包含的关键字。可以是单一关键字,如“haha”;也可以是一组关键字,如“haha heihei hoho”;如果关键字包含不可见字符,还可以通过“\”进行代码转义,如“\a8\aa”。并可通过“顺序匹配”和“忽略大小写”来自定义需要匹配内容。 |
|
12 |
指示该规则匹配的数据流方向 |
|
13 |
规则行为 |
指示该规则被某个报文匹配后,将对该报文所做的处理,包括过滤、拦截、放行和屏蔽,并且还可以在规则匹配的同时在日志记录中产生一条日志。 |
检测设备和清洗设备不同,它的规则行为的作用是触发后通知清洗设备引流,不同于清洗设备上的过滤、拦截、屏蔽、放行的防御策略,而是判断检测设备是否通知清洗设备引流的一种检测策略。
选择“防御配置 > 牵引管理”进入“牵引管理”界面,牵引管理功能是用于配置黑洞路由,当主机受到的攻击流量超过设定值后,设备会向上层核心设备发送黑洞路由命令,被攻击的主机的流量会在上层核心设备中被牵引到黑洞。此功能有效的避免了设备带宽被堵塞的情况。牵引管理界面包括“牵引列表”、“牵引历史”和“牵引配置”图下图所示:
图2-51 牵引管理
地址:此处填写需要手动牵引的IP;
自动解封时间:指手动牵引某个IP后,自动取消牵引的时间;
手动牵引:填写好需要牵引的IP和自动解封时间后,点击<手动牵引>按钮即执行手动牵引操作;
命令日志:指执行牵引命令的日志。
牵引列表中牵引信息如下:
地址:当前处于黑洞牵引的IP;
开始时间:指执行牵引时间;
剩余时间:指此时间之后将自动释放牵引;
取消:指手动取消牵引。
牵引历史记录主机被牵引的历史记录,记录了主机被牵引的开始时间,牵引结束时间以及牵引释放方式。如下图所示:
图2-52 牵引历史
牵引配置界面是设置牵引策略以及牵引命令。如图所示:
图2-53 牵引配置
异常流量牵引:指是否开启流量牵引功能;
流量限制模式牵引:指是否开启流量限制模式牵引;
主机牵引告警:指是设置当主机流量被牵引后是否发送告警邮件;
全局总流量:指设备接收的总流量;
批量牵引主机:指触发全局总流量后,设备批量牵引的主机个数;例如参数设置为3,即设备总流量触发全局总流量后,会牵引流量前3名的主机流量。
触发流量:设置流量达到多少Mbps后执行牵引脚步;
释放方式:包括牵引超时和牵引状态,牵引超时指执行牵引脚本后多长时间后释放牵引,牵引状态:指根据主机防护状态消失后释放牵引;
ACL规则范围:指将牵引命令应用到响应的交换机ACL中
牵引脚本:目前牵引脚本支持TELNET和HTTP两种。
选择“系统管理 > 集群管理”进入“集群管理”界面,本页面用于设备集群系统的配置及启动,考虑到集群模式安装的对网络的影响范围,本页面建议由H3C售后技术人员配置。页面如下图所示:
图2-54 集群管理
集群管理:集群管理中分为同步接口设置与同步地址配置两个步骤,需要先将数据端口转换成同步端口,再配合集群地址一同设置启动才可生效。
选择“设备管理 > 设备管理”进入“设备管理”界面,该页面提供了一个对设备硬件相关的配置接口。页面如下图所示:
图2-55 设备管理
在“设备管理”界面可以对设备系统的网卡接口的地址进行配置,输入项表示为设备的数据入口、输出项表示为设备的数据出口,数据输入口和数据输出口上的IP地址不可以作为管理地址;而其它项均为设备的配置接口,用户可更改这些网卡的IP地址,方便访问。同时,还可将某些网卡接入外网,并配置外网IP地址,这样就无须控制机的中转;
· 更改接口地址:
在“设备管理”列表底部,设备接口栏目填写,如图:
Eth1添加接口地址172.16.11.76
Eth1删除接口地址172.16.11.76
SNMP用户页面,可创建、修改用于SNMP协议的用户名及相应的验证模式。页面如下图所示:
图2-56 SNMP管理
当对SNMP用户或SNMP视图页面修改后,需要在SNMP系统页面提交一次,使更改的配置生效。
步骤1 添加SNMP视图
在“视图”界面,点击<添加>按钮进入SNMP视图添加页面。如下图所示:
图2-57 添加SNMP视图
步骤2 在SNMP视图添加页面填写相关参数。例如添加视图名称为test,MIB子树为.1,点击<提交>按钮SNMP视图即添加成功。如下图所示:
图2-58 完成SNMP视图添加
步骤3 添加SNMP用户
在“用户”界面,点击<添加>按钮进入SNMP用户添加页面。如下图所示:
图2-59 SNMP用户添加界面
步骤4 在SNMP用户添加页面填写相关参数。例如SNMP版本选择版本v2c,用户名为userpblic,访问源地址为192.168.2.173,视图选择刚才添加的test视图。点击<提交>按钮SNMP用户即添加成功。如下图所示:
图2-60 SNMP用户添加完成
步骤5 开启SNMP服务
在“SNMP服务”界面选择开启SNMP服务,并点击<提交>按钮。完成后设备的SNMP服务已经配置完成。如下图所示。
图2-61 开启SNMP服务
步骤1 点击<TRAP>按钮进入“SNMP TRAP”配置页面。如下图所示:
图2-62 SNMP TRAP配置页面
步骤2 在TRAP选项中勾选需要发送的项目内容,同时填写上接收主机地址,用户选择[用户]界面中添加的SNMP 用户。参数设置完成后点击提交按钮,即完成设备SNMP TRAP的设置。如下图所示:
图2-63 完成SNMP TRAP设置
选择“设备管理 > 时间管理”进入“时间管理”时间管页面,该页面提供修改设备时间以及和时间服务器同步时间的功能,页面如下图所示:
图2-64 时间管理
修改时间方法如下:
· 手动修改系统时间
在“时间服务器”参数中填写正确的时间,例如2017年4月28日10:10:10 然后点击<提交>按钮即可。如下图所示:
图2-65 手动修改系统时间
· 添加时间同步服务器
在“时间服务器”参数中填写正确的时间同步服务器,例如ntp:192.168.2.100然后点击<提交>按钮即可。如下图所示:
图2-66 添加时间同步服务器
图2-67 磁盘管理
“磁盘管理”提供给用户,清除指定时间内的流量统计、攻击统计、牵引统计、日志统计和抓包统计;
“流量统计”下拉框配合过期时间选择框来使用,在流量统计下拉框选择类型,然后在右边的过期时间选项框中选择一个时间,点击<清除>按钮,可以清除所选择时间以前的此项记录的情况。例如:下拉框选择“日志统计”,时间选择2012-6-20-14-30,点击清除,就可以清除2012-6-20-14-30这个时间以前的日志记录;
· 总容量:指存储设备的总存储量;
· 已用容量:存储设备已经使用的容量;
· 可用容量:存储设备未使用的容量;
· 流量统计大小:统计流量记录,所使用的容量大小;
· 攻击统计大小:统计攻击分析记录,所使用的容量大小;
· 牵引统计大小:统计牵引记录,所使用的容量大小;
· 日志统计大小:指日志记录,所使用的容量大小;
· 抓包大小:数据包存储,所使用的容量大小。
选择“设备管理 > 用户组管理”进入“用户组管理”界面,在此页面用户根据需求指定不同的权限组,然后把用户分配到权限组中,使用户具有相应的权限,系统默认有四个,如下图:
图2-68 用户组管理
· 添加用户组方法如下:
步骤1 点击<添加>按钮进入用户组管理界面。如下图所示:
图2-69 添加用户组
步骤2 填写用户组名称和描述信息,选择此用户组需要的权限。点击<提交>按钮后新的用户组即添加完成。如下图所示:
图2-70 添加用户组
选择“设备管理 > 用户管理”进入“用户管理”界面,该页面具有设置用户分级管理功能,方便网络监控及管理。页面如下图所示:
图2-71 用户管理
· 添加用户组方法如下:
点击<添加>按钮,出现添加用户界面,如下图:
图2-72 添加用户
用户名:填写用户自定义名称;
密码和确认密码:填写用户自定义密码;
登录地址:指定此用户名只能通过该地址登录设备,不写为空表示该用户名可以通过任意地址登录设备。登录地址支持单个IP和IP范围;
登录方式:分为WEB和CLI两种,可以根据需要进行选择。
用户组:将该用户赋予用户组权限。
选择“设备管理 > 日志管理”进入“日志管理”界面,该界面列出系统中所有的日志项,并可按优先级分类。页面如下图所示:
图2-73 日志管理
系统日志管理中的日志列表可清晰查看设备各项操作记录,并记录设备每分钟流量、CPU和内存使用情况。
日志管理:显示详细日志时间,并记录该时间内设备的状态及操作记录。
“全部”记录到的所有日志信息;
“重要事件”记录重启信息;
“防护事件”记录是否进入防护状态及相关防护信息;
“普通事件”记录网络使用流量、CPU和内存,以及各项操作权限所进行的操作记录。
起始时间、结束时间:选择需要查询日志的时间段。
关键字:通过关键字查询相关的日志,关键字可以是一个IP,也可以是一个词组。
日志类型下拉框:选择日志类型进行下载和查看,类型包括:全部、关键、保护、普通、未分类。
远程(日志服务器):正常情况下设备只显示最近的日志记录,如需保留全部日志,建议设置日志服务器,日志服务器的地址在“远程”选项里面设置,页面如下图所示:
图2-74 日志服务器
选择“设备管理 > 系统配置”进入“系统配置”界面,“系统配置”页面主要包括系统配置参数。如下图:
图2-75 系统配置界面
· 全局开关:包括攻击分析、归档攻击报文等功能的开关。
· 安全属性:用户规定用户名的密码复杂度。
· 告警邮件配置:配置全局告警邮件的相关参数。包括是否开启邮件告警功能,以及告警邮件的发送者邮箱地址、告警邮件接收者邮箱地址。告警邮件接收者邮件地址可以设置多个并用“;”号隔开。
· 告警阀值:列出了设备发送告警邮件的触发条件。
· 统计与存储:规定了统计数据的保存时间。
择“设备管理 > 系统备份与恢复”进入“系统备份与恢复”界面,在该页面可以对设备的相关设置进行保存,可按接口地址、全局防护参数、TCP/UDP端口保护参数、主机配置参数、系统规则列表进行选择性保存,可选择进行规则设置的导入和导出操作,页面如下图所示:
图2-76 系统备份与恢复
选择“个人管理 > 用户信息”进入“用户信息”界面,该页面提供给使用者查看当前用户、此用户的角色、以及此用户可以使用的登录方式,页面如下图所示:
图2-77 用户信息
· 用户名:显示现在登录的用户;
· 用户组:显示此用户所在的用户组;
· 对应权限:显示此账户拥有的详细权限选项。
选择“个人管理 > 用户信息”进入“用户信息”界面,该界面提供给使用者查看当前用户、此用户的角色、以及此用户可以使用的登录方式,页面如下图所示:
图2-78 修改密码
· 原密码:当前用户的密码;
· 新密码:输入新密码;
· 新密码确认:再次输入新密码;
· 提交:点击提交生效;
· 此修改密码的功能,修改的是当前登录用户的密码。
版本信息页面显示了设备的软件版本、产品型号、产品S/N号、硬件版本和软件序列号信息。页面如下图所示:
图2-79 版本信息
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!