13-牵引管理典型配置举例
本章节下载: 13-牵引管理典型配置举例 (594.33 KB)
H3C流量清洗系统包含流量牵引管理模块,该模块的主要作用是当流量清洗系统中的防护主机受到异常流量攻击时,该模块会根据牵引配置,对受攻击的主机进行智能检测,匹配牵引条件的,执行牵引脚本中相应的动作,一方面保障用户网络的稳定性,另一方面保护流量清洗系统自身的安全性。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解H3C SecPath AFC系列产品特性,且本文举例以H3C交换机命令为例。
本次配置以串联组网为例,详细说明可见AFC串联部署模式配置举例。
如图1所示,攻击机与客户机通过R1接入网络,访问防护主机200.0.0.100/24-200.0.0.109/24,攻击流量与客户流量都会经过串联部署的AFC设备。
图1 AFC串联部署模式配置组网图
在牵引配置中,当全局总流量大于设置值,批量牵引部分主机的流量,其中每个主机的流量需要大于设置的触发流量。配置牵引脚本,在R1上添加关于被牵引主机的静态路由,将流量牵引到R1的黑洞路由。
图2 牵引开启
· 异常流量牵引:此功能为AFC流量牵引总开关,开启该功能,触发牵引参数,抗拒绝就会对触发牵引参数的主机进行牵引,关闭则不进行牵引。
· 流量限制模式牵引:开启流量限制模式牵引开关,当主机进入[flow]模式,且开启牵引功能,AFC就会对触发牵引参数的主机进行牵引,关闭则不进行牵引。
· 主机牵引告警:开启主机牵引告警开关,当主机进入牵引时,则发送给设置的邮箱告警邮件,关闭则不发送告警邮件。
图3 触发参数
· 全局总流量 :全局总流量填写相应值后,检测全局总流量是否超过设定值,超过设定值按照牵引设置的规则进行牵引。此参数的设置是为了防御扫段攻击,即单个主机流量小,全局总流量大。
· 批量牵引主机 :当主机受到攻击,触发牵引条件,会对遭受攻击的主机进行分批次牵引,填写的数值即为每批次牵引主机的个数。
注:配合全局总流量使用,当第一批次主机牵引完成后,检测系统当前总流量是否超过“全局总流量”阈值,超过则进行第二批次牵引,未超过则不会再次牵引。
· 触发流量 :该功能检测单个防护主机的流量,当单个主机的流量超过设定的阈值,且触发牵引设置参数,则对该主机进行牵引。
注:若仅仅根据单机流量进行牵引,则全局总流量与批量牵引主机处应填写0。
· 若全局总流量不为0,且当前总流量满足全局总流量的设置值,被批量牵引的主机中,流量最小的主机需大于此处设置的触发流量,否则不会牵引。
· 释放方式分为牵引超时和主机状态。
· 当主机释放方式为“牵引超时”时,主机触发牵引流量设置阈值,被牵引后释放时间调用填写的数值。
· 当主机释放方式为“主机状态”时,主机需进入防御状态且触发牵引相关流量阈值,被牵引后主机释放时间显示9999秒,该主机由防御状态变为正常状态后即释放牵引。
· 异常流量牵引:此功能为AFC流量牵引总开关,开启该功能,触发牵引参数,抗拒绝就会对触发牵引参数的主机进行牵引,关闭则不进行牵引。
· 流量限制模式牵引:开启流量限制模式牵引开关,当主机进入[flow]模式,且开启牵引功能,AFC就会对触发牵引参数的主机进行牵引,关闭则不进行牵引。
· 主机牵引告警:开启主机牵引告警开关,当主机进入牵引时,则发送给设置的邮箱告警邮件,关闭则不发送告警邮件。
图4 牵引脚本
牵引脚本内有牵引标记,每个标记及功能解释如下:
[-HTTP $URL_ADDRESS-] |
将向$URL_ADDRESS发送后续的HTTP牵引指令 |
[-TELNET $TELNET_ADDRESS-] |
将向$TELNET_ADDRESS发送后续的TELNET牵引指令 |
<HOST_ADDRESS> |
主机地址标签 |
<RELEASE_TIME> |
释放牵引时间 |
<CMDS_BEGIN> |
执行或取消牵引时,执行命令开始位置 |
<ACL> |
执行或取消牵引时,自动获取一定范围内的acl规则id号; |
<FLOWDIV_ENABLE_KEYWORD>与</FLOWDIV_ENABLE_KEYWORD> |
执行牵引时,这两个标签之间的命令有效 |
<FLOWDIV_CANCEL_KEYWORD>与</FLOWDIV_CANCEL_KEYWORD> |
取消牵引时,这两个标签之间的命令有效 |
<<####与####>> |
这两个标签之间为需要加密显示的部分 |
举例:
如需将流量牵引到R1上,R1使用的是H3C路由器,IP地址为184.0.0.1/24,用户名admin,密码admin,将流量牵引到R1的黑洞路由,牵引脚本配置如下:
[-TELNET 184.0.0.1-]
admin
admin
system
<CMDS_BEGIN>
<FLOWDIV_CANCEL_KEYWORD>undo </FLOWDIV_CANCEL_KEYWORD>ip route-static <HOST_ADDRESS> 255.255.255.255 null0
(1) 未牵引前,攻击机向防护主机发送UDP flood攻击,全局流量1000M,单个主机流量100M:
图5 未牵引时主机状态
(2) 配置牵引管理,配置如下:
图6 全局总流量牵引配置
此配置意义为,当全局总流量超过500M,就批量牵引5个主机到R1的黑洞路由,其中每个主机单机流量大于50M。
(3) 牵引成功,牵引列表中会显示被牵引的主机:
图7 牵引列表
批量牵引主机数为5,第一批5个主机牵引后,当前流量依然大于所设置的全局流量,因此又牵引了第二批5个主机,共牵引了10个主机。
(4) 牵引后在R1上能看到null0的静态路由:
图8 黑洞路由
(5) 此处开启了主机牵引告警,会收到告警邮件:
图9 告警邮件
(6) 牵引后,主机状态处的攻击流量为0,主机退出防护状态,进入正常状态:
图10 牵引后的主机状态
串联组网下,主机从保护状态到正常状态,需要5分钟;旁路组网下,主机从保护状态到正常状态,需要时间由全局参数中的“保护牵引时间”决定。
(7) 若牵引不成功,可在牵引列表的命令日志中查看日志:
图11 命令日志
此日志为txt格式,需用UltraEdit等软件打开,查看错误信息,并由此修改牵引脚本等内容。
图12 命令日志内容
其余与3.4.1相同,触发流量的牵引配置为:
图13 触发流量牵引配置
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!