- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
05-AFC全类防护配置举例
本章节下载 (552.81 KB)
本文档介绍AFC设备中TCP相关的典型配置。
TCP端口保护可针对各项TCP服务进行特殊设定,防护CC、SYN泛洪、TCP协议服务的端口攻击,并可通过协议类型选择限制指定协议,并针对特殊服务编辑防护协议类型。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
H3C异常流量清洗系统部署包括AFC设备及交换机的基本配置,交换机基本配置采用命令行配置。异常流量检测设备(AFC)的基本配置和业务相关配置,均采用WEB界面配置。
本文档介绍AFC全局防护模块。全局过滤规则是由全局触发规则加全局过滤模块组成,对设备识别到的所有防护IP都生效。主要防护:Syn Flood、Ack Flood、Psh+Ack Flood、Rst Flood、Udp Flood、Icmp Flood、other Flood 等。
使用方法:当防护IP触发了全局触发规则后,会智能启用全局过滤模块,自动对传输协议特征过滤,同时对传输的数据进行采样比对,采样比对后的数据再分别发送给不同的模块进行更深层分析,比如HTTP、DNS、UDP音频视频传输、TCP游戏数据等。从而最大限度的保证完全自动过滤掉攻击数据,让合法数据安全通过。
软件版本:H3C i-Ware Software,Version 7.1, ESS 6401
为实现对攻击被保护IP 200.2.0.100的流量的清洗,在核心交换设备处串联部署一台异常流量清洗系统。组网如图所示。
图3-1 AFC单机单通道串联部署模式配置组网图
要实现AFC全类攻击防护,可按照如下思路进行AFC配置:
如syn攻击根据具体应用调整全局参数里的SYN Flood保护阈值,采用内置防护算法拦截攻击报文。如果攻击频率没有超出SYN Flood保护阈值,AFC会代理服务器和客户端建立三次握手;如果攻击频率超出SYN Flood保护阈值,AFC会丢弃客户端发送的首个报文,然后代理服务器和客户端建立三次握手。当默认防护不理想情况下,可根据实际情况进行规则配置
对于SYN Flood攻击,AFC采用内置的防护算法就可以直接拦截掉攻击报文,因此配置关键在于根据具体应用调整全局参数里的SYN Flood保护阈值。
全局触发规则参数建议使用默认【S_globar Trigger】触发值;如针对较特殊业务ip,可通过查看服务器列表观察正常状态时每秒tcp包数、UDP包数、ICMP包数等,默认可将其参数调整到平时业务量的2倍。
通过浏览器访问登录:https://192.168.0.1:16010/,账号admin,密码admin。
图3-2 AFC Web登录界面
如需对单个防护ip修改全局触发规则,根据服务器列表单ip平时每秒tcp和syn包数自定义,最后通过应用规则把新建全局触发参数应用在此ip上。
在【防护配置】-【服务器列表】对应ip观察平时正常流量每秒tcp和syn报数。
图3-3 查看单IP触阈值
在【防护配置】-【规则配置】-【触发规则】-【全局触发规则】中新建添加一条【定制ip触发参数】
图3-4 修改全局触发规则
应用在ip上,在【防护配置】-【全局状态】-【服务器列表】中找到对应ip点击应该规则的添加,全局触发规则中,选中【定制ip触发参数】保存即可生效。
图3-5 添加应用全局触发规则
自定义防护规则属于定制规则,可以根据设备上在线抓包分析的数据包的特征码,进行数据包的拦截或者放行。防护触发规则是设置触发阈值,防护规则(包括快速规则、插件规则、漏洞规则)是针对特征数据包进行处理(拦截/放行),一个防护触发规则和一个防护规则组成一个防护规则集,在应用规则中添加防护IP后,必须引用防护规则集后该规则集才能针对防护IP生效。
使用方法:防护触发规则=触发条件;防护规则(快速规则、插件规则、漏洞规则)=策略行为;防护规则集=触发条件+策略行为组成,防护规则集必须在应用规则中引用才可生效。
第一步:添加防护触发规则,可根据客户需求设置每秒多少个包数触发。
第二步:选择防护规则中的:快速规则、插件规则、漏洞规则任意一种进行定义行为。
第三步:将添加的触发规则和防护规则组成防护规则集。
第四步:把订制的防护规则集应用在需要防护ip上,点击激活即可生效。
示例:
客户反馈某服务器连接数较高,时不时会出现访问异常,无法正常打开网站等情况。在清洗设备抓包分析查看到,外部单ip频繁刷屏。
图3-6 连接统计
根据经验,正常用户人工访问速率一般不超过10秒15次,很明显是恶意刷屏,故增加一条防护策略,下面是防护策略配置步骤:
(2) 进入【防护配置】-【规则配置】-【防护触发规则】,添加一条防护触发规则命名test-cf,每秒TCP包数和每秒syn包数设置为1,其它参数设置成0
图3-7 添加防护触发规则
(3) 进入【防护配置】-【规则配置】-【防护规则】-【漏洞规则】中添加一条规则,规则名称为test-ld,配置内容如下图:
图3-8 添加漏洞子规则
(4) 添加防护规则集,在【防护配置】-【规则配置】-【防护规则集】中把步骤1和步骤2中添加的触发规则和防护规则绑定层一个防护规则集,防护规则集名称为:防刷屏10s15c
图3-9 添加规则集
(5) 在【防护配置】-【规则配置】-【应用规则】中把添加的防护规则集应用在需要防护的ip上,此时策略生效后,加黑了刷屏ip,届时正常用户都能正常流畅的访问网站。
图3-10 添加应用规则
使用攻击工具Webbench(Linux下测试Web服务器的工具)向防护主机200.2.0.100打SYN Flood攻击流量触发SYN Flood保护阈值,验证防护主机进入[SYN]保护态,且攻击流量被AFC过滤。
在【AFC】上抓取客户端到服务器的SYN Flood拦截报文,有拦截报文说明已拦截。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
