• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 Web配置指导(E6411 R6609)-6W106

20-安全防护

本章节下载 20-安全防护  (612.24 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Operation_Manual/ACG1000_WCG(E6411_R6609)-6W106/202009/1334410_30005_0.htm

20-安全防护


1 安全防护配置

1.1  异常报文攻击防护

1.1.1  异常报文攻击防护概述

在网络中,有时会有一些带有攻击性质的报文传输,通常这些报文能对目标主机进行破坏,异常报文攻击防护能对这些报文进行拦截并报日志。

1.1.2  异常报文攻击防护配置

通过菜单“安全防护 > 攻击防护 > 异常包攻击防御”进入异常包攻击防御的配置界面,如图1-1所示。

图1-1 异常报文攻击防护设置界面

 

表1-1 异常报文攻击防护详细配置描述表

配置项

说明

Ping of Death

ping-of-death攻击是通过向目的主机发送长度超过65535icmp报文,使目的主机发生处理异常而崩溃。

配置了防ping-of-death攻击功能后,设备可以检测出ping-of-death攻击,丢弃攻击报文并根据配置输出告警日志信息。

Land-Base

Land-base攻击通过向目的主机发送目的地址和源地址相同的报文,使目的主机消耗大量的系统资源,从而造成系统崩溃或死机。

配置了防land-base攻击功能后,设备可以检测出Lland-base攻击,丢弃攻击报文并根据配置输出告警日志信息。

Tear-drop

tear-drop攻击通过向目的主机发送报文偏移重叠的分片报文,使目的主机发生处理异常而崩溃配置了防Tear-drop攻击功能后,设备可以检测出Tear-drop攻击,并输出告警日志信息。

因为正常报文传送也有可能出现报文重叠,因此设备不会丢弃该报文,而是采取裁减、重新组装报文的方式,发送出正常的报文。

Tcp flag

TCP 异常攻击防护功能开启后,缺省情况下当安全网关发现受到TCP 异常攻击后,会丢弃攻击包。

Winnuke

Winnuke攻击通过向目的主机的139、138、137、113、53端口发送TCP紧急标识位URG为1的带外数据报文,使系统处理异常而崩溃。

配置了防Winnuke攻击功能后,可以检测出Winnuke攻击报文,丢弃攻击报文并根据配置输出告警日志信息。

Smurf

这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。

Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(PING)数据包,来淹没受害主机,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。

IP-Spoof

防护IP地址欺骗攻击,暂时用反向路由检测来实现,如果反向路由不存在或者反向路由查询结果是存在,但是该IP 为目的地址的数据包离开设备的接口和收到报文的接口不一致,则认为是攻击。

Jolt2

Jolt2攻击通过向目的主机发送报文偏移加上报文长度超过65535的报文,使目的主机处理异常而崩溃。

 

1.1.3  异常报文攻击防护配置举例

1. 用户需求

配置异常报文攻击防护,开启Land-Base攻击防护和IP-Spoof攻击防护。

2. 配置步骤

通过菜单“安全防护 >攻击防护 >异常包攻击防御”打开异常报文攻击防御显示页面,点击勾选Land-Base攻击防护和IP-Spoof攻击防护选项,如图1-2所示,点击<提交>按钮,配置完成。

图1-2 异常包攻击防御配置页面

 

1.2  IPv6异常报文防护

1.2.1  IPv6异常报文防护配置

图1-3所示,通过菜单“安全防护>网络层攻击防护>异常包攻击防御>IPv6异常包攻击”使用该功能。

图1-3 IPv6异常包攻击防御的配置界面

 

表1-2 IPv6异常包攻击详细信息描述表

配置项

说明

Winnuke

winnuke报文攻击

Land-Base

Land-Base报文攻击

TCP flag

异常的TCP flag报文攻击

Fraggle

Fraggle报文攻击

IP Spoof

IP地址欺骗攻击

 

说明

IPv6异常包攻击的配置和显示等都在一个页面。

 

1.2.2  IPv6异常包攻击防护举例

1. 用户需求

配置设备 进行IPv6异常的TCP flag报文攻击防护功能。

2. 配置步骤

图1-4所示,通过菜单“安全防护 > 攻击防护 > 异常包攻击防御 > IPv6异常包攻击”打开显示页面,点击勾选TCP flag攻击防护选项,点击<提交>按钮,配置完成。

图1-4 IPv6异常包攻击配置页面

 

1.3  扫描攻击防护

1.3.1  扫描攻击防护概述

扫描攻击是指,攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定位潜在目标的位置,探测目标系统的网络拓扑结构和启用的服务类型,为进一步侵入目标系统做准备。设备可以有效防范以上攻击,从而阻止外部的恶意攻击,保护设备和内网。当检测到此类扫描探测时,向用户进行报警提示。

1.3.2  扫描攻击防护配置

通过菜单“安全防护 > 攻击防护 > 异常包攻击防御 > 扫描攻击防御”进入扫描攻击防御显示界面,如图1-5所示。点击<新建>按钮,进入新建扫描攻击防御界面,如图1-6所示。

图1-5 扫描攻击防御显示界面

 

说明

在该页面上,显示所有配置的扫描攻击防护表项,同时能够<新建>、<编辑>和<删除>等。

 

图1-6 扫描攻击防御新建页面

 

表1-3 扫描攻击防御详细信息描述表

配置项

说明

选择接口

选择需要防护的接口

扫描阈频率

需要防护的阈值

加入黑名单

启用加入黑名单的选项

加入黑名单的时间

将源IP加入黑名单的时间

 

1.3.3  扫描攻击防护配置举例

1. 用户需求

开启ge1接口的扫描攻击防御功能,采用缺省配置。

2. 配置步骤

(1)     如图1-7所示,通过菜单“安全防护 > 网络层攻击防护 > 异常包攻击防御 > 扫描攻击防御”打开显示页面,点击显示页面的<新建>按钮。

图1-7 扫描攻击防御显示界面

 

(2)     如图1-8所示,在弹出的新建页面中进行配置,勾选“启用端口扫描防护”和“启用IP扫描防护”,使用缺省配置。

图1-8 扫描攻击防御配置界面

 

(3)     点击<提交>按钮,完成扫描攻击防护的配置。

3. 验证配置

图1-9所示,通过菜单“安全防护 > 攻击防护 > 异常包攻击防御 > 扫描攻击防御”打开扫描攻击防御显示页面,在显示页面中看到刚才配置的规则,如图1-9所示。

图1-9 扫描攻击防御配置结果

 

1.4  DoS攻击防护

1.4.1  DoS攻击防护概述

DoS攻击是指,攻击者在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息,而无法为合法用户提供正常服务,即发生拒绝服务。

当前支持对以下四种攻击进行有效防范:

1. SYN Flood攻击

由于资源的限制,TCP/IP协议栈只能允许有限个TCP连接。SYN Flood攻击者向服务器发送伪造源地址的SYN报文,服务器在回应SYN ACK报文后,由于目的地址是伪造的,因此服务器不会收到相应的ACK报文,从而在服务器上产生一个半连接。若攻击者发送大量这样的报文,被攻击服务器上会出现大量的半连接,耗尽其系统资源,使正常的用户无法访问,直到半连接超时。

2. ICMP Flood攻击

ICMP Flood攻击是指,攻击者在短时间内向特定目标发送大量的ICMP请求报文,使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务。

3. UDP Flood攻击

UDP Flood攻击是指,攻击者在短时间内向特定目标发送大量的UDP报文,致使目标系统负担过重而不能处理正常的业务。

4. DNS Flood攻击

DNS Query Flood 攻击采用的方法是向被攻击的DNS 服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络上根本不存在的域名。被攻击的DNS 服务器在接收到域名解析请求时,首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析时,DNS 服务器会向其上层DNS 服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS 服务器解析域名超时。

1.4.2  目的IP防御设置

通过菜单“安全防护 > 攻击防护 > DoS攻击防护 > 目的IP防御”进入目的IP防御的显示界面,如图1-10所示。点击<新建>按钮,弹出目的IP防御的配置界面,如图1-11所示。

图1-10 目的IP防御显示界面

 

图1-11 新建目的IP防御界面

 

表1-4 配置说明

配置项

说明

指定保护主机的IP地址

指定保护地址范围

SYN Flood阈值

每秒发往目的IP的最大SYN报文个数

UDP Flood阈值

每秒发往目的IP的最大UDP报文个数

ICMP Flood阈值

每秒发往目的IP的最大ICMP报文个数

DNS Flood阈值

每秒发往目的IP的最大DNS报文个数

 

1.4.3  目的IP防御配置举例

1. 用户需求

配置保护IP地址为1.1.1.1-1.1.1.10,开启UDP Flood防御阈值为1000的规则。

2. 配置步骤

(1)     如图1-12所示,通过菜单“安全防护>网络层攻击防护>DoS攻击防护>目的IP防御”打开显示页面,点击上面的<新建>按钮,如图1-13所示,在弹出的新建页面中进行配置。

图1-12 目的IP防御显示页面

 

图1-13 目的IP防御配置页面

 

(2)     完成配置后,点击<提交>按钮,规则创建成功。

1.4.4  接口防御设置

通过菜单“安全防护 > 攻击防护 > DoS攻击防护 > 接口防御”进入接口防御显示界面,如图1-14所示。点击<新建>按钮后,将弹出新建接口防御界面,如图1-15所示。

图1-14 接口防御显示界面

 

图1-15 接口防御新建页面

 

表1-5 配置说明

配置项

说明

接口名

选择需要防护的接口名称

SYN Flood选项

对每台源主机进行流限制:设置源主机的流限制阈值

对目标主机限制最大连接:设置目的主机的最大连接

UDP Flood选项

对每台源主机进行流限制:设置源主机的流限制阈值

对目标主机限制最大连接:设置目的主机的最大连接

ICMP Flood选项

对每台源主机进行流限制:设置源主机的流限制阈值

对目标主机限制最大连接:设置目的主机的最大连接

DNS Flood选项

对每台源主机进行流限制:设置源主机的流限制阈值

对目标主机限制最大连接:设置目的主机的最大连接

 

1.4.5  接口防御配置举例

1. 用户需求

ge1接口,开启UDP flood防御,并设置其对源主机和目的主机的限制阈值都为1000。

2. 配置步骤

通过菜单“安全防护 > 攻击防护 > DoS攻击防护 > 接口防御”,打开如图1-16所示接口防御的显示页面,点击<新建>按钮,在弹出的新建页面进行配置。配置完成后,点击<提交>按钮,完成接口防御的配置。

图1-16 接口防御配置页面

 

1.5  IPMAC绑定

1.5.1  IPMAC概述

Address Resolution Protocol (ARP)是寻找IP地址所对应的MAC地址的一种协议。

在以太网中,对于处于同一子网的两个通信实体来说,一次IP通信过程大致如下:

当源端发送一个IP包之前,它必须知道目的端的MAC地址才可以完成封装,可是此时源端只能知道目的端的IP地址(通过用户的事先配置或者查路由表),这样就必须依靠ARP协议来完成目的端MAC地址的解析。因此源端发送一个包含目的IP地址的ARP 请求,目的端收到后向源端返回ARP应答,通告自己的MAC地址,源端获得目的端MAC地址后才可以将IP包封装在以太网头中发送出去。

由于网络中可能存在一些攻击软件仿冒某台主机上网,逃过跟踪。为了避免这种情况,设备实现了IP-MAC绑定功能,把用户的MAC和IP绑定起来。配置了IP-MAC绑定后,通过设备的报文的MAC和IP必须严格一致,否则报文将被丢弃。

1.5.2  IPMAC绑定添加

通过菜单“安全防护>攻击防护>ARP攻击防护>IP-MAC绑定”进入IP-MAC绑定显示界面,如图1-17所示。点击<新建>按钮后,将弹出新建IP-MAC绑定界面,如图1-18所示。

图1-17 IPMAC绑定显示界面

 

图1-18 IP-MAC绑定添加

 

表1-6 配置说明

配置项

说明

名称

IP-MAC绑定项的名称

IP地址

绑定的IP地址

MAC地址

绑定的MAC地址

唯一性

绑定类型

开启表示一个MAC和一个IP地址唯一对应,关闭表示一个MAC地址和多个IP地址对应

 

1.5.3  IPMAC绑定配置举例

1. 用户需求

配置名为test的IPMAC绑定规则,将IP地址2.2.2.2和MAC地址00:de:ad:00:00:0c进行绑定。

2. 配置步骤

(1)     通过菜单“安全防护>攻击防护>ARP攻击防护>IP-MAC绑定”打开如图1-19的IPMAC绑定显示页面,点击<新建>按钮。

(2)     在弹出的新建页面中,对规则进行配置,完成后点击<提交>按钮。

图1-19 IPMAC绑定配置页面

 

1.6  防ARP攻击

1.6.1  防ARP攻击概述

在局域网中,通信前必须通过ARP协议将IP地址转换为MAC地址。ARP协议对网络安全具有重要的意义,但是当初ARP方式的设计没有考虑到过多的安全问题,留下很多隐患,使得ARP攻击成为当前网络环境中遇到的一个非常典型的安全威胁。

通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存,造成网络中断或中间人攻击。

受到ARP攻击后会出现无法正常上网、ARP包爆增、不正常或错误的MAC地址、一个MAC地址对应多个IP、IP冲突等情况。ARP攻击因为技术门槛低,易于实现,在现今的网络中频频出现,有效防范ARP攻击已成为确保网络畅通的必要条件。

设备的防ARP攻击功能有效识别ARP欺骗攻击和ARP flood攻击,对疑似攻击的行为告警,并配合IP-MAC绑定、主动保护发包及关闭ARP学习等,有效防范ARP攻击造成的损害。

1.6.2  ARP表项显示

通过菜单“安全防护 > 攻击防护 > ARP攻击防护 > ARP表”进入ARP表显示界面,如图1-20所示。

图1-20 ARP表项显示

 

1.6.3  ARP Flood攻击防护

图1-21所示,通过菜单“安全防护 > 攻击防护 > ARP攻击防护 > ARP Flood攻击”使用该功能。

图1-21 ARP Flood攻击设置页面

 

表1-7 ARP Flood攻击防护详细配置描述表

配置项

说明

启用

点选启用防ARP Flood攻击

ARP攻击识别阈值

一秒内收到ARP报文的数量,缺省配置为300个/秒

攻击主机抑制时长

设置阻断时间,当系统检测到攻击时,在配置的时长内拒绝来自于该台源主机的所有其它包,缺省配置为60秒

 

1.6.4  防ARP欺骗

图1-22所示,通过菜单“安全防护>网络层攻击防护>ARP攻击防护>防ARP欺骗”使用该功能。

图1-22 防ARP欺骗设置页面

 

表1-8 防ARP欺骗详细信息描述表

配置项

说明

ARP防欺骗攻击

点选启用ARP防欺骗攻击

关闭ARP学习

缺省情况下启用ARP学习,关闭后只要是不匹配IP-MAC绑定表的报文都将被丢弃

主动保护

点选启用主动保护发包功能,每隔一定时间间隔发送一次主动保护列表上的免费ARP报文

时间间隔

发送主动保护列表上的ARP的时间间隔,缺省配置为1秒

 

1.6.5  主动保护列表添加

点选图1-23防ARP欺骗设置页面中的保护列表下的<新建>按钮后,将弹出如下页面。

图1-23 主动保护列表页面

 

表1-9 主动保护详细信息描述表

配置项

说明

接口

ARP报文发送接口

接口保护

在保护列表中加入接口地址

IP地址&MAC地址

广播ARP报文的IP和MAC

 

1.6.6  主动保护列表配置举例

1. 用户需求

将接口ge1加入防ARP欺骗的主动保护列表中。保护的IP和MAC分别为:2.2.2.2和00:de:ad:00:00:0c。

2. 配置步骤

(1)     先选中图1-24防ARP欺骗设置中的ARP防欺骗攻击<启用>按钮,可以看到主动保护列表下的<新建>按钮可选了,点击后会弹出主动保护列表的配置页面。

(2)     选择接口为ge1,输入要保护的IP和MAC地址,点击“添加到列表”。

图1-24 主动保护列表配置页面

 

(3)     如图1-25所示,点击<提交>按钮后,可以在防ARP欺骗页面看到我们加入的ge1接口。

图1-25 防ARP欺骗页面

 

1.7  黑名单

1.7.1  黑名单概述

通过配置黑名单功能可以对来自指定IP地址的报文进行过滤,黑名单表项除了可以手工添加之外,还可以通过扫描攻击自动添加。

1.7.2  黑名单添加

通过菜单“安全防护 > 黑名单”进入黑名单显示界面,如图1-26所示,点击<新建>按钮,将弹出添加黑名单界面,如图1-27所示。

图1-26 黑名单显示界面

 

图1-27 黑名单添加页面

 

表1-10 配置说明

配置项

说明

IP

加入黑名单的IP地址

生命周期

对应IP地址加入黑名单的时长

 

1.7.3  黑名单记录

黑名单可以配合某些防攻击模块一起使用,来达到更好的防护效果,比方说如果IP地址扫描攻击防护配置了加入黑名单,则当发生IP地址扫描攻击的时候,会自动生成一个源IP地址是攻击源地址的黑名单记录。

通过菜单“安全防护 > 黑名单>黑名单记录”来查看所有自动添加的黑名单,如图1-28所示

图1-28 黑名单记录显示界面

 

1.7.4  黑名单配置举例

1. 用户需求

将IP地址3.3.3.3加入黑名单,并设置周期为10分钟。

2. 配置步骤

(1)     如图1-29所示,通过菜单“安全防护>黑名单”打开显示页面,点击<新建>按钮,在弹出的页面中进行配置,配置完成后点击<提交>按钮。

图1-29 黑名单添加页面

 

(2)     点击<提交>按钮后,完成黑名单的添加。

3. 验证配置

图1-30所示,可以在显示页面看到刚刚添加的黑名单。

图1-30 黑名单显示页面

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们