目  录

1 安全防护

1.1 防arp攻击配置命令

1.1.1 anti-arp broadcast

1.1.2 anti-arp broadcast interface

1.1.3 anti-arp broadcast interval

1.1.4 anti-arp flood

1.1.5 anti-arp flood block-time

1.1.6 anti-arp flood threshold

1.1.7 anti-arp learning-arp

1.1.8 anti-arp spoof

1.2 ND主动保护

1.2.1 anti-nd flood threshold

1.2.2 anti-nd flood

1.2.3 anti-nd flood block-time

1.2.4 anti-nd broadcast

1.2.5 anti-nd broadcast interval

1.2.6 anti-nd broadcast interface

1.2.7 nd check enable

1.2.8 anti-nd permac-ipcnt

1.2.9 display ipv6 neighbour statistics-permac

1.2.10 anti-nd spoof reverse-query

1.2.11 anti-nd spoof

1.3 异常报文攻击防护配置命令

1.3.1 ip defend attack

1.4 扫描攻击防护配置命令

1.4.1 ip defend ip-sweep interface

1.4.2 ip defend port-scan interface

1.5 flood攻击配置命令

1.5.1 ip defend

1.5.2 ip defend { synflood | udpflood | icmpflood | dnsflood } interface

1.6 IPMAC绑定配置命令

1.6.1 ipmac

1.7 黑名单配置命令

1.7.1 blist add

1.7.2 blist delete

1.7.3 display blist

1.8 行为模型

1.8.1 dns-tunnel

1.8.2 dns-tunnel action

1.8.3 dns-tunnel action deny blacklist

1.8.4 dns-tunnel detect-type

1.8.5 dns-tunnel detect-level

1.8.6 dns-tunnel whitelist dns-server

1.8.7 dns-tunnel whitelist

1.9 防暴力破解

1.9.1 brute-force

1.9.2 brute-force service

1.9.3 brute-force web

1.9.4 brute-force url

1.9.5 brute-force

1.10 弱密码检测命令

1.10.1 weak-passwd-detect

1.10.2 weak-passwd-detect style

1.10.3 weak-passwd-detect user-def

1.10.4 weak-passwd-detect clear-user-def

1.11 非法外联防护

1.11.1 server-out-connect log

1.11.2 server-out-connect study num

1.11.3 server-out-connect policy

1.11.4 action

1.11.5 log

1.11.6 enable

1.11.7 clear

1.11.8 out-address

1.11.9 display servconn

 

1 安全防护

1.1  防arp攻击配置命令

1.1.1  anti-arp broadcast

anti-arp broadcast命令用来开启或关闭ARP主动保护发包功能。

【命令】

anti-arp broadcast { enable | disable }

【缺省情况】

缺省情况下，关闭ARP主动保护发包功能。

【视图】

系统视图

【参数】

enable：开启ARP主动保护发包功能。

disable：关闭ARP主动保护发包功能。

【举例】

# 开启ARP主动保护发包功能。

host# configure termina

host(config)# anti-arp spoof enable

 

host(config)# anti-arp broadcast enable

1.1.2  anti-arp broadcast interface

anti-arp broadcast interface 命令用来来添加ARP主动列表。

no anti-arp broadcast interface命令用来删除ARP主动列表。

【命令】

anti-arp broadcast interface interface-name [ list ip-address mac-address ]

no anti-arp broadcast interface interface-nane [ list ip-address mac-address ]

【视图】

系统视图

【参数】

interface-name：接口名称。

ip-address：IP地址。

mac-address：MAC地址。

【使用指导】

开启接口保护后，会根据主动保护开关和主动保护发包间隔发送接口对应的IP和MAC地址的免费ARP。

【举例】

# 在ge0端口上添加IP1.1.1.1和MAC地址00:0a:0b:ac:01:11的主动保护功能。

host# configure termina

host(config)# anti-arp broadcast interface ge0 list 1.1.1.1 00:0a:0b:ac:01:11

1.1.3  anti-arp broadcast interval

anti-arp broadcast interval 命令用来设置主动保护发包间隔。

【命令】

anti-arp broadcast interval threshold

【视图】

系统视图

【参数】

threshold：发包间隔，取值范围1～10，单位(s)。

【举例】

# 设置ARP主动保护的发包间隔为5s。

host# configure termina

host(config)# anti-arp broadcast interval 5

1.1.4  anti-arp flood

anti-arp flood命令用来开启或关闭ARP flood功能。

【命令】

anti-arp flood { enable | disable }

【缺省情况】

缺省情况下，关闭ARP flood功能。

【视图】

系统视图

【参数】

enable：开启ARP flood功能。

disable：关闭ARP flood学习功能。

【举例】

# 开启ARP  flood功能。

host# configure termina

host(config)# anti-arp flood enable

1.1.5  anti-arp flood block-time

anti-arp flood block-time命令用来设置ARP Flood的阻断时长。

no anti-arp flood block-time命令用来取消ARP Flood的阻断时长。

【命令】

anti-arp flood block-time threshold

no anti-arp flood block-time

【缺省情况】

缺省情况下，ARP Flood阻断时长为60s。

【视图】

系统视图

【参数】

threshold：阻断时长，取值范围10～65535，单位（s）。

【举例】

# 设置ARP Flood阻断时长500s。

host# configure termina

host(config)# anti-arp flood block-time 500

1.1.6  anti-arp flood threshold

anti-arp flood threshold命令用来设置ARP Flood的阈值。

no anti-arp flood threshold命令用来取消ARP Flood的阈值。

【命令】

anti-arp flood threshold threshold

no anti-arp flood threshold

【视图】

系统视图

【参数】

threshold：1秒钟内接受到的ARP数据包数量，取值范围10～10000，默认值是300。

【举例】

# 设置ARP Flood阈值为500。

host# configure termina

host(config)# anti-arp flood threshold 500

1.1.7  anti-arp learning-arp

anti-arp learning-arp命令用来开启或关闭ARP学习功能。

【命令】

anti-arp learning-arp { enable | disable }

【缺省情况】

缺省情况下，关闭ARP学习功能。

【视图】

系统视图

【参数】

enable：开启ARP学习功能。

disable：关闭ARP学习功能。

【使用指导】

关闭了ARP学习后，任何报文只要不匹配IP-MAC绑定表，都将被丢弃，因此强烈建议在关闭此功能前一定要先绑定需要使用的IP-MAC。

【举例】

# 开启ARP主动学习功能。

host# configure termina

host(config)# anti-arp learning-arp enable

1.1.8  anti-arp spoof

anti-arp spoof命令用来开启或关闭 ARP攻击防御功能。

【命令】

anti-arp spoof { enable | disable }

【缺省情况】

缺省情况下，关闭 ARP攻击防御功能。

【视图】

系统视图

【参数】

enable：开启ARP攻击防御功能。

disable：关闭ARP攻击防御功能。

【使用指导】

只有选择启用ARP防欺骗攻击后才能启用主动保护和ARP学习功能。

【举例】

# 开启ARP攻击防御功能。

host# configure termina

host(config)# anti-arp spoof enable

1.2  ND主动保护

1.2.1  anti-nd flood threshold

anti-nd flood 命令用来配置ND Flood防护攻击阈值。

【命令】

anti-nd flood threshold <10-10000>

【视图】

config视图

【参数】

threshold：阈值。

<10-10000>：阈值范围10到10000。

【举例】

# 配置ND Flood防护攻击阈值

Host# configure termina

Host(config)# anti-nd flood threshold 100

1.2.2  anti-nd flood

anti-nd flood 命令用来配置开启关闭ND Flood防护。

【命令】

anti-nd flood { enable | disable }

【视图】

config视图

【参数】

anti-nd：防ND攻击。

flood ：ND flood攻击。

enable：使能。

disable：关闭。

【举例】

# 开启nd主动保护功能。

Host# configure termina

Host(config)# anti-nd flood enable

 

1.2.3  anti-nd flood block-time

anti-nd flood block-time命令用来配置ND Flood防护抑制时长。

【命令】

anti-nd flood block-time <10-65535>

【视图】

config视图

【参数】

<10-65535>：抑制时长范围10-65535（秒）。

【举例】

# 配置ND Flood防护抑制时长20。

Host# configure termina

Host(config)# anti-nd flood block-time 20

1.2.4  anti-nd broadcast

anti-nd broadcast命令用来配置开启关闭ND主动保护。

【命令】

anti-nd broadcast { enable | disable }

【视图】

系统视图

【参数】

anti-nd：防ND攻击。

broadcast：广播。

enable：使能。

disable：关闭。

【举例】

# 开启nd主动保护功能。

Host# configure termina

Host(config)# anti-nd broadcast enable

 

1.2.5  anti-nd broadcast interval

anti-nd broadcast intervalt命令用来配置开启ND时间间隔。

【命令】

anti-nd broadcast interval <1-10>

【视图】

config视图

【参数】

<1-10>：时间间隔（秒）

【举例】

# 开启nd主动保护功能时间间隔。

Host# configure termina

Host(config)# anti-nd broadcast interval 5

1.2.6  anti-nd broadcast interface

anti-nd broadcast interface命令用来配置ND主动保护接口。

【命令】

anti-nd broadcast interface NAME

【视图】

config视图

【参数】

NAME：接口名称

【举例】

# 配置ND主动保护接口

Host# configure termina

Host(config)# anti-nd broadcast interface ge1

1.2.7  nd check enable

nd check enable命令用来配置接口ND学习控制。

【命令】

nd check enable

【视图】

网络接口视图

【参数】

无

【举例】

# 开启接口ND学习控制功能。

Host# configure termina

Host(config)# interface ge5

Host(config-ge5)#nd check enable

 

1.2.8  anti-nd permac-ipcnt

anti-nd permac-ipcnt命令用来配置单个MAC地址对应的IP地址数。

【命令】

anti-nd permac-ipcnt NUMBER

【视图】

Config视图

【参数】

NUMBER： 每个MAC地址的ip个数，值为0（参数的默认值），则不检查；如果非0，则进行检查，范围为0-1024个。

【举例】

# 配置单个MAC地址对应的IP地址数为10个。

Host# configure termina

Host(config)# anti-nd permac-ipcnt 10

 

1.2.9  display ipv6 neighbour statistics-permac

display ipv6 neighbour statistics-permac命令用来显示每个mac地址的IPv6地址个数。

【命令】

display ipv6 neighbour statistics-permac

【视图】

特权视图

【参数】

无【举例】

# 显示每个mac地址的IPv6地址个数。

Host#display ipv6 neighbour statistics-permac

Record count: 0

 

---------------------------------------------------------------------------------------------------

HW address                                    IP count           

---------------------------------------------------------------------------------------------------

1.2.10  anti-nd spoof reverse-query

anti-nd spoof reverse-query命令用来配置NS报文反查。

【命令】

anti-nd spoof reverse-query

【视图】

Config视图

【参数】

【举例】

# 配置NS报文反查。

Host# configure termina

Host(config)# anti-nd spoof reverse-query

 

1.2.11  anti-nd spoof

anti-nd spoof命令用来开启ND防欺骗功能。

【命令】

anti-nd spoof { enable | disable }

【视图】

Config视图

【参数】

enable：使能。

disable：关闭。

【举例】

# 开启nd防欺骗功能。

Host# configure termina

Host(config)# anti-nd spoof enable

 

1.3  异常报文攻击防护配置命令

1.3.1  ip defend attack

ip defend attack命令用来配置异常报文攻击防护。

no ip defend attack命令用来删除异常报文攻击防护。

【命令】

ip defend attack { winnuke | tear-drop | land-base | tcp-flag | smurf | ping-of-death | ip-option | ip_spoof | jolt2 }

no ip defend attack { winnuke | tear-drop | land-base | tcp-flag | smurf | ping-of-death | ip-option | ip_spoof | jolt2 }

【视图】

系统视图

【参数】

winnuke：winnuke攻击。

tear-drop：tear-drop攻击。

land-base：land攻击。

tcp-flag：tcp flag攻击 。

smurf：smurf攻击。

ping-of-death：死亡之ping攻击。

ip-option：IP选项攻击。

ip_spoof：ip地址欺骗。

jolt2：jolt2攻击。

【使用指导】

·     Ping-of-death： ping-of-death攻击是通过向目的主机发送长度超过65535的icmp报文，使目的主机发生处理异常而崩溃。配置了防ping-of-death攻击功能后，设备可以检测出ping-of-death攻击，丢弃攻击报文并根据配置输出告警日志信息。

·     Land-Base：land-base攻击通过向目的主机发送目的地址和源地址相同的报文，使目的主机消耗大量的系统资源，从而造成系统崩溃或死机。配置了防land-base攻击功能后，设备可以检测出land-base攻击，丢弃攻击报文并根据日志配置输出告警日志信息。

·     Tear-drop：tear-drop攻击通过向目的主机发送报文偏移重叠的分片报文，使目的主机发生处理异常而崩溃。配置了防tear-drop攻击功能后，设备可以检测出tear-drop攻击，并根据配置输出告警日志信息。因为正常报文传送也有可能出现报文重叠，因此设备不会丢弃该报文，而是采取裁减、重新组装报文的方式，发送出正常的报文。

·     Tcp flag：TCP 异常攻击防护功能开启后，默认情况下当安全网关发现受到TCP 异常攻击后，会丢弃攻击包，并根据配置输出告警日志。

·     winnuke：winnuke攻击通过向目的主机的139、138、137、113、53端口发送TCP紧急标识位URG为1的带外数据报文，使系统处理异常而崩溃。配置了防winnuke攻击功能后，可以检测出winnuke攻击报文，并根据配置输出告警日志信息。

·     Smurf：这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(PING)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。

·     Ip-spoof：防护IP地址欺骗攻击，暂时用反向路由检测来实现，如果反向路由不存在或者反向路由查询结果是存在，但是该IP 为目的地址的数据包离开设备的接口和收到报文的接口不一致，则认为是攻击。

·     jolt2：jolt2攻击通过向目的主机发送报文偏移加上报文长度超过65535的报文，使目的主机处理异常而崩溃。

【举例】

# 配置tcp-flag安全防护。

host# configure termina

host(config)# ip defend attack tcp-flag

1.4  扫描攻击防护配置命令

1.4.1  ip defend ip-sweep interface

ip defend ip-sweep interface命令用来配置IP扫描功能。

no ip defend ip-sweep interface命令用来删除IP扫描功能。

【命令】

ip defend ip-sweep interface interface-name threshold threshold [ block-time time-value ]

no ip defend ip-sweep interface interface-name

【视图】

系统视图

【参数】

interface-name：接口名称。

threshold：扫描阈值，单位(ms）。

time-value：阻断时长，单位（s）。

【使用指导】

IP地址扫描是指 一个源 IP 地址在规定的时间间隔 ( 缺省值为 10毫秒 ) 内将 10 个 ICMP报文发给不同的主机时，即进行了一次地址扫描。【举例】

# 在接口ge0上配置IP址扫描，阈值是10毫秒，且阻断200秒。

host# configure termina

host(config)# ip defend ip-sweep interface ge0 threshold 10 block-time 200

1.4.2  ip defend port-scan interface

ip defend port-scan interface命令用来配置端口扫描。

no ip defend port-scan interface命令用来删除端口扫描。

【命令】

ip defend  port-scan interface interface-name threshold threshold [ block-time time-value ]

no ip defend port-scan interface interface-name

【视图】

系统视图

【参数】

interface-name：接口名称。

threshold：扫描阈值，取值范围10～5000，单位(ms）。

time-value：阻断时长，取值范围1～600，单位（s）。

【使用指导】

端口扫描是指当一个源 IP 地址在规定的时间间隔内 (缺省值为 10毫秒 ) 将含有 TCP SYN 片段的 IP 报文或UDP报文发送给位于相同目标 IP 地址的 10 个不同端口时，即进行了一次端口扫描。

【举例】

# 在接口ge0上配置端口扫描，阈值是10毫秒，且阻断200秒。

host# configure termina

host(config)# ip defend port-scan interface ge0 threshold 10 block-time 200

1.5  flood攻击配置命令

1.5.1  ip defend

ip defend 命令用来配置基于目的地址的Flood攻击。

no ip defend 命令用来删除基于目的地址的Flood攻击。

【命令】

ip defend { synflood | udpflood | icmpflood | dnsflood } startip start-ip endip end-ip threshold threshold

no ip defend { synflood | udpflood | icmpflood | dnsflood } startip start-ip endip end-ip

【视图】

系统视图

【参数】

synflood：synflood攻击。

udpflood：udpflood攻击。

icmpflood：icmpflood攻击。

dnsflood：dnsflood攻击。

start-ip：开始IP地址。

end-ip：结束IP地址。

threshold：阈值，取值范围1～100000，单位(连接数/秒)。

【举例】

# 对开始IP地址192.168.10.1和结束IP地址192.68.10.230网段配置防synflood攻击，阈值是100个连接每秒。

host# configure termina

host(config)# ip defend synflood startip 192.168.10.1 endip 192.168.10.230 threshold 100

1.5.2  ip defend { synflood | udpflood | icmpflood | dnsflood } interface

ip defend { synflood | udpflood | icmpflood | dnsflood } interface命令用来配置基于接口的Flood攻击。

no ip defend { synflood | udpflood | icmpflood | dnsflood } interface命令用来删除基于接口的Flood攻击。

【命令】

ip defend { synflood | udpflood | icmpflood | dnsflood } interface interface-name { source | destination } threshold

no ip defend { synflood | udpflood | icmpflood | dnsflood } interface interface-name { source | destination }

【视图】

系统视图

【参数】

synflood：synflood攻击。

udpflood：udpflood攻击。

icmpflood：icmpflood攻击。

dnsflood：dnsflood攻击。

interface-name：接口名称。

source：基于源地址的flood攻击。

destination：基于目的地址的flood攻击。

threshold：阈值，取值范围1～100000，单位(连接数/秒)。

【举例】

# 在ge0口配置源地址的synflood攻击，阈值是100个连接每秒。

host# configure termina

host(config)# ip defend synflood interface ge0 source 100

1.6  IPMAC绑定配置命令

1.6.1  ipmac

ipmac命令用来配置IPMAC邦定功能。

no ipmac命令用来删除IPMAC邦定功能。

【命令】

ipmac name ip-address mac-address { unique-ip | multi-ip }

no ipmac ip-address

【视图】

系统视图

【参数】

enable：开启防护日志功能。

disable：关闭防护日志功能。

name：对象名称。

ip-address：IP地址。

mac-address：MAC地址。

unique-ip：绑定类型，指一个mac和一个ip地址唯一对应。

multi-ip：绑定类型，指一个mac地址和多个ip地址对应。

【举例】

# 配置IP地址192.168.1.1与MAC地址00:00:00:11:11:11的唯一绑定名称为abc。

host# configure termina

host(config)# ipmac abc 192.168.1.1 00:00:00:11:11:11 unique-ip

1.7  黑名单配置命令

1.7.1  blist add

blist add命令用来新增黑名单配置。

【命令】

blist add ip-address age {TIMES | forever } { enable | disable }

【视图】

系统视图

【参数】

ip-address：主机IP地址。

TIMES：老化时间，范围为1-2592000，单位：秒。

forever：永久不老化。

【使用指导】

通过配置黑名单功能可以对来自指定IP地址的报文进行过滤，黑名单表项除了可以手工添加之外，还可以通过扫描攻击自动添加。

【举例】

# 将IP地址1.1.1.1加入黑名单，加入时长设置为永久。

host# configure termina

host(config)# blist add 1.1.1.1 age forever enable

 

1.7.2  blist delete

blist delete命令用来删除黑名单配置。

【命令】                                                                                                 

blist delete ip-address

blist delete all

【视图】

系统视图

【参数】

ip-address：主机IP地址。

【举例】

# 删除IP地址1.1.1.1的黑名单配置。

host# configure termina

host(config)# blist delete 1.1.1.1

 

1.7.3  display blist

display blist命令用来显示黑名单信息。

【命令】

display blist

【视图】

任意视图

【举例】

# 显示系统的黑名单信息。

host# display blist

IP address         age        leftTime      reason

1.1.1.1            forever     forever       manual

表1-1 display blist命令显示信息描述表

字段	描述
IP address	加入黑名单的IP地址
age	老化时间
leftage	剩余时间
reason	加入黑名单的方式：有manual和auto两种方式，manual代表人为加入，auto代表自动加入

 

1.8  行为模型

1.8.1  dns-tunnel

dns-tunnel enable命令用来启用dns隧道功能。

dns-tunnel disable命令用来禁用dns隧道功能。

【命令】      

dns-tunnel enable

dns-tunnel disable

【缺省情况】

缺省情况下，默认是禁用的。

【视图】

行为模型配置视图

【举例】

# 开启dns隧道功能。

host# configure terminal

host(config)# behavior-model

host(config-behavior-model)# dns-tunnel enable

1.8.2  dns-tunnel action

dns-tunnel action命令用来设置隧道检查动作。

【命令】

dns-tunnel action { permit | deny }

【缺省情况】

缺省情况下，默认是permit。

【视图】

行为模型配置视图

【参数】

permit：允许。

deny：拒绝。

【举例】

# 配置dns隧道检查动作为permit。

host# configure terminal

host(config)# behavior-model

host(config-behavior-model)# dns-tunnel action permit

1.8.3  dns-tunnel action deny blacklist

dns-tunnel action deny blacklist 命令用来设置dns隧道添加黑名单时长。

no dns-tunnel action deny blacklist 命令用来取消dns隧道检测加入黑名单配置。

【命令】

dns-tunnel action deny blacklist <1-720>

no dns-tunnel action deny blacklist

【视图】

行为模型配置视图

【参数】

<1-720>：dns隧道添加黑名单的时长，范围为1~720，单位为小时。

【举例】

# 配置dns隧道添加黑名单时长为1小时。

host# configure terminal

host(config)# behavior-model

host(config-behavior-model)# dns-tunnel action deny blacklist 1

1.8.4  dns-tunnel detect-type

dns-tunnel detect-type 命令用来设置dns隧道检测方式。

【命令】

dns-tunnel detect-type { all | traffic-model | invalid-packet }

【缺省情况】

缺省情况下，默认是all。

【视图】

行为模型配置视图

【参数】

all： 所有。

traffic-model：基于流量模型进行检测。

invalid-packet：基于异常报文进行检测。

【举例】

# 配置dns隧道检查方式为基于异常报文检测。

host# configure terminal

host(config)# behavior-model

host(config-behavior-model)# dns-tunnel detect-type  invalid-packet

1.8.5  dns-tunnel detect-level

dns-tunnel detect-level 用来配置 dns隧道检测宽松度。

【命令】

dns-tunnel detect-level { low |mid | high }

【缺省情况】

缺省情况下，默认是mid。

【视图】

行为模型配置视图

【参数】

low： 检测严格。

mid：检测适中。

high：检测宽松。

【举例】

# 配置dns隧道检查宽松度为严格检测。

host# configure terminal

host(config)# behavior-model

host(config-behavior-model)# dns-tunnel detect-level  low

1.8.6  dns-tunnel whitelist dns-server

dns-tunnel whitelist dns-server enable 命令用来启用dns隧道域名预置白名单功能。

dns-tunnel whitelist dns-server disable 命令用来禁用dns隧道域名预置白名单功能。

【命令】      

dns-tunnel whitelist dns-server enable

dns-tunnel whitelist dns-server disable

【缺省情况】

缺省情况下，默认是启用的。

【视图】

行为模型配置视图

【举例】

# 开启dns隧道功能。

host# configure terminal

host(config)# behavior-model

host(config-behavior-model)# dns-tunnel whitelist dns-server enable

1.8.7  dns-tunnel whitelist

dns-tunnel whitelist命令用来添加dns隧道白名单。

no dns-tunnel whitelist 命令用来删除dns隧道白名单。

【命令】

dns-tunnel  whitelist  A.B.C.D

no dns-tunnel whitelist  A.B.C.D

【缺省情况】

无

【视图】

行为模型配置视图

【参数】

A.B.C.D: 添加到白名单的域名。

【举例】

# 配置dns隧道白名单8.8.8.8。

host# configure terminal

host(config)# behavior-model

host(config-behavior-model)# dns-tunnel whitelist 8.8.8.8

1.9  防暴力破解

1.9.1  brute-force

brute-force enable 命令用来配置启用防暴力破解。

brute-force disable 命令用来配置禁用防暴力破解。

 

【命令】

brute-force enable

brute-force disable

【视图】

系统视图

【举例】

# 启用防暴力破解功能

Host# configure terminal

Host(config)# brute-force enable

【相关命令】

display run brute

1.9.2  brute-force service

brute-force service命令用来配置防暴力破解服务。

 

【命令】

brute-force service { telnet |ftp | imap | pop3 | smtp | rlogin | http | oracle | mysql | postgres | mssql | all } enable

brute-force { telnet | ftp | imap | pop3 | smtp | rlogin | http | oracle | mysql | postgres | mssql | all } disable

【视图】

系统视图

【参数】

telnet：telnet服务

ftp：ftp服务

imap：imap服务

pop3：pop3服务

smtp：smtp服务

rlogin: rlogin服务

http:  http服务

oracle: oracle服务

mysql： mysql服务

postgres：postgres服务

mssql :mssql服务

all：以上所有服务

enable：所选服务开启防暴力破解

disable：所选服务禁用防暴力破解

【举例】

# 配置防暴力破解服务，选择所有的服务开启防暴力破解功能。

Host# configure terminal

Host(config)# brute-force enable

Host(config)# brute-force service all enable

【相关命令】

display run brute

1.9.3  brute-force web

brute-force web enable命令用来启用web登录保护功能。

brute-force web disable命令用来禁用web登录保护功能。

【命令】

brute-force  web enable

brute-force  web  disable

【视图】

系统视图

【举例】

#配置启用web登录保护。

Host# configure terminal

Host(config)# brute-force service http enable

Host(config)# brute-force web enable

【相关命令】

display run brute

1.9.4  brute-force url

brute-force url 命令用来配置防暴力破解的web登录保护功能。

【命令】

brute-force  url URL

【视图】

系统视图

【参数】

URL：Web登录保护的url路径。

【举例】

#配置web登录防护的url路径为：/sina.html。

Host# configure terminal

Host(config)# brute-force service http enable

Host(config)# brute-force web enable

Host(config)# brute-force  url /sina.html

【相关命令】

display run brute

1.9.5  brute-force

【命令】

brute-force blist-attacker { time | enable | disable | forever }防暴力攻击者加入黑名单

【视图】

系统视图

【参数】

time：加入黑名单的时间，可设置为300、600、900、1800、3600、720、14400、28800、86400，单位为秒。

forever：加入黑名单的时间为永久。

enable：启用攻击者加入黑名单功能。

disable：禁用攻击者加入黑名单功能。

【举例】

#配置防暴力破解攻击者加入黑名单时间为5分钟。

Host# configure terminal

Host(config)# brute-force blist-attacker enable

Host(config)# brute-force blist-attacker 300

【相关命令】

display run brute

1.10  弱密码检测命令

1.10.1  weak-passwd-detect

weak-passwd-detect { enable | disable } 命令用来配置启用/禁用弱密码检测。

weak-passwd-detect { telnet |ftp | imap | pop3 | smtp | all } 命令用来配置开启弱密码检测的服务。

no weak-passwd-detect { telnet |ftp | imap | pop3 | smtp | all } 命令用来配置关闭弱密码检测的服务。

【命令】

weak-passwd-detect { enable | disable }

weak-passwd-detect { telnet |ftp | imap | pop3 | smtp | all }

no weak-passwd-detect { telnet |ftp | imap | pop3 | smtp | all }

【视图】

系统视图

【参数】

enable：开启弱密码检测

disable：禁用弱密码检测

telnet：telnet服务

ftp：ftp服务

imap：imap服务

pop3：pop3服务

smtp：smtp服务

all：以上所有服务

【使用指导】

通过配置弱密码检测功能可以检测网络中所开启服务的密码是否符合密码安全要求，并对不符合密码安全要求的用户进行记录。

【举例】

# 配置弱密码检测服务为pop3

Host# configure terminal

Host(config)# weak-passwd-detect pop3

Host(config)#

【相关命令】

display running-config weak

1.10.2  weak-passwd-detect style

weak-passwd-detect style 命令用来选择弱密码防护规则。

no weak-passwd-detect style 命令用来取消弱密码防护规则的选择。

【命令】

weak-passwd-detect style { null-pwd | login-as-pwd | le8-alp | le8-num | le8-let | le6-num-let | user-define | all }

no weak-passwd-detect style { null-pwd | login-as-pwd | le8-alp | le8-num | le8-let | le6-num-let | user-define | all }

【视图】

系统视图

【参数】

null-pwd：空密码。

login-as-pwd：和用户名相同的密码。

le8-alp：长度小于等于8、字典序。

le8-num：长度小于等于8、仅数字。

le8-let：长度小于等于8、仅字母。

le6-num-let：长度小于等于6、数字字母。

user-define：用户自定义密码。

【举例】

#配置弱密码检测规则为le8-num。

Host# configure terminal

Host(config)# weak-passwd-detect style le8-num

Host(config)#

【相关命令】

Display  running-config weak

1.10.3  weak-passwd-detect user-def

weak-passwd-detect user-def 命令用来配置自定义弱密码。

no weak-passwd-detect user-def 命令用来删除自定义弱密码。

【命令】

weak-passwd-detect user-def .ITEM

no weak-passwd-detect user-def .ITEM

【视图】

系统视图

【参数】

ITEM：自定义弱密码

【举例】

#配置自定义弱密码

Host# configure terminal

Host(config)# weak-passwd-detect user-def 1111

Host(config)#

【相关命令】

display running-config weak

1.10.4  weak-passwd-detect clear-user-def

weak-passwd-detect clear-user-def 命令用来清空用户自定义弱密码。

【命令】

weak-passwd-detect clear-user-def

【视图】

系统视图

【举例】

#清空用户自定义弱密码

Host# configure terminal

Host(config)# weak-passwd-detect clear-user-def

Host(config)#

【相关命令】

display running-config weak

1.11  非法外联防护

1.11.1  server-out-connect log

server-out-connect log命令用于配置限制日志频率。

【命令】

server-out-connect log { limited | unlimited }

【视图】

系统视图

【参数】

limited：开启限制

unlimited：解除限制

【使用指导】

配置规则较弱的时候，会报大量日志，可以使用该命令限制日志发送频率。

【举例】

# 开启非法外联日志限制

Host# configure terminal

Host(config)# server-out-connect log limited

Host(config)#

【相关命令】

无

1.11.2  server-out-connect study num

server-out-connect study num 命令用于调整非法外联自学习规格。

【命令】

server-out-connect study num { 500 | 1000 }

【视图】

系统视图

【参数】

500：最多学习500条不重复外联行为。

1000：最多学习1000条不重复外联行为。

【举例】

# 配置非法外联自学习规格为1000（默认是500）

Host# configure terminal

Host(config)# server-out-connect study num 1000

Host(config)#

【相关命令】

无

1.11.3  server-out-connect policy

server-out-connect policy 命令用于配置非法外联规则。

【命令】

server-out-connect policy NAME server-address NAME

no server-out-connect policy NAME

【视图】

系统视图

【参数】

policy NAME：规则名称。

server-address NAME：服务器地址对象名称。

【举例】

# 配置非法外联规则

Host# configure terminal

Host(config)# server-out-connect policy xxx server-address any

Host(config-servconn-policy)#

【相关命令】

Display  running-config servconn

1.11.4  action

action命令用来配置非法外联规则的处理动作。

【命令】

action { permit | deny }

【视图】

servconn-policy视图

【参数】

permit：处理动作为拒绝。

deny：处理动作为允许。

【缺省情况】

缺省情况下，默认是允许的。

【举例】

#配置非法外联规则动作

Host(config)# server-out-connect policy xxx server-address any

Host(config-servconn-policy)# action deny

Host(config-servconn-policy)#

【相关命令】

display running-config servconn

1.11.5  log

log 命令用来配置规则的日志使能禁用。

【命令】

Log { enable | disable }

【视图】

servconn-policy视图

【参数】

enable：使能日志发送。

disable：禁用日志发送。

【缺省情况】

缺省情况下，默认是使能的。

【举例】

#配置非法外联日志使能。

Host(config)# server-out-connect policy 00 server-address any

Host(config-servconn-policy)# log enable

Host(config-servconn-policy)#

【相关命令】

display running-config servconn

1.11.6  enable

enable命令用来启用服务器非法外联规则。

disable命令用来禁用服务器非法外联规则。

【命令】

enable

disable

【视图】

servconn-policy视图

【缺省情况】

缺省情况下，默认规则是启用的。

【举例】

# 禁用规则00。

Host(config)# server-out-connect policy 00 server-address any

Host(config-servconn-policy)# disable

Host(config-servconn-policy)#

【相关命令】

Display running-config servconn

1.11.7  clear

clear 命令用来清除该条非法外联规则的计数。

【命令】

clear

【视图】

servconn-policy视图

【举例】

# 清除规则00的计数。

Host# configure terminal

Host(config)# server-out-connect policy 00 server-address any

Host(config-servconn-policy)#clear

1.11.8  out-address

out-addres 命令用来配置允许服务器访问的白名单地址。

【命令】

out-address { A.B.C.D | X:X::X:X | domain } icmp { enable | disable } { no-port | tcp-ports } { no-port | udp-ports }

tcp-portsudp-ports【视图】

servconn-policy视图

【参数】

A.B.C.D：为外联ipv4地址。

X:X::X:X：为外联ipv6地址。

domain：域名地址。

enable：允许服务器访问外联地址的icmp服务。

disable：不允许服务器访问外联地址的icmp服务。

tcp-ports：可选择配置的tcp端口号。

udp-ports：可选择配置的udp端口号。

no-port：代表没有相应的端口配置。

【举例】

#配置允许服务器访问1.1.1.1的icmp服务和udp的8080端口。

Host(config)# server-out-connect policy 00 server-address any

Host(config-servconn-policy)# out-address 1.1.1.1 icmp enable no-port 8080

Host(config-servconn-policy)#

【相关命令】

display running-config servconn

1.11.9  display servconn

display servconn 命令用来显示非法外联策略下配置的域名及从流量中学习到的域名的IP地址 及剩余老化时间。

【命令】

display servconn name domain detail

【视图】

系统视图

【参数】

name：非法外联防护策略的名称。

【举例】

#查看非法外联策略下配置的信息。

Host# configure terminal

Host# display servconn test22 domain detail

 domain baidu.com

  ip addr: 220.181.38.148 ; ttl: 56

  ip addr: 39.156.69.79 ; ttl: 56