- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
09-安全配置
本章节下载 (1.09 MB)
访问控制是指通过设置时间段、局域网内计算机的IP地址、端口范围和数据包协议类型,禁止符合指定条件的数据包通过,来限制局域网内的计算机对Internet的访问。
设备最多支持配置10条访问控制策略。10条访问控制策略是按照序号从小到大的顺序匹配的,当数据流满足某条策略时,不再继续匹配。
· 10条访问控制策略按照其序号从小到大分别对应ACL 3980~3989,修改这些ACL的配置可能会影响访问控制功能的使用。
· 访问控制功能只对WAN接口有效,并且只对接口的出方向有效。
在导航栏中选择“安全配置 > 访问控制”,进入如图1-1所示的页面。
一条访问控制策略的详细配置如表1-1所示。
|
配置项 |
说明 |
|
|
起止时间 |
设置一天内生效的时间段,起始时间应早于终止时间 |
起止时间和星期必须同时设置或同时不设置(即起止时间为00:00~00:00,且星期中不选择任何一项)。都不设置时,表示该条访问控制策略在所有时间都有效 |
|
星期 |
设置一周内生效的时间,在星期日~星期六中进行选择 |
|
|
协议 |
设置通过传输数据包所使用协议类型进行上网控制 协议类型的选项有TCP、UDP和IP 常用服务的协议类型请参见表1-2 |
|
|
源IP地址 |
设置局域网中需要被控制的计算机的IP地址范围 如果只对单个IP地址(如192.168.1.2)进行上网控制,IP地址范围就输入“192.168.1.2”~“192.168.1.2” |
|
|
目的端口 |
设置局域网中计算机访问Internet的服务端口 例如,对于telnet端口(23),就输入“23”~“23” |
|
|
操作 |
显示对符合条件的数据包所执行的操作为“禁止”,即禁止符合条件的数据包通过 |
|
|
服务 |
协议 |
端口范围 |
|
FTP服务器 |
TCP |
21 |
|
Telnet服务器 |
TCP |
23 |
|
TFTP服务器 |
UDP |
69 |
|
Web服务器 |
TCP |
80 |
如图1-2所示,某企业内部用户Host A~Host D通过Router访问Internet。通过配置访问控制策略,实现如下需求:
· Host A~Host C在工作时间(星期一~星期五的09:00~18:00)不能访问Internet,其余时间可以访问。
· Host D任何时间都可以访问Internet。
# 配置访问控制策略,禁止Host A~Host C在工作时间访问Internet。
· 在导航栏中选择“安全配置 > 访问控制”,进行如下配置,如图1-3所示。
· 选择起止时间为“09:00”~“18:00”。
· 选中星期“一”~“五”前的复选框。
· 选择协议为“IP”。
· 输入源IP地址为“10.1.1.1”~“10.1.1.3”。
· 单击<应用>按钮完成操作。
网站过滤是指通过设置过滤类型和过滤条件,来限制局域网内的计算机对Internet上符合过滤条件的网页的访问。
网站过滤功能只对WAN接口有效,并且只对接口的出方向有效。
在导航栏中选择“安全配置 > 网站过滤”,进入图2-1所示的页面
表2-1 URL过滤条件的详细配置
|
配置项 |
说明 |
|
过滤类型 |
黑名单是符合条件则拒绝通过的条目,不在黑名单的默认允许通过 白名单是符合条件允许通过的条目,不在白名单的默认拒绝通过 缺省情况下,过滤条件为黑名单 |
|
URL |
设置要过滤的URL地址,可以输入正则表达式 |
|
导入文件过滤列表 |
设置从URL过滤列表文件中导入过滤条件,并指定要导入的URL过滤列表文件名在本地主机上的存放路径和文件名 过滤列表文件内容的格式说明请参见图2-1 |
如图2-2所示,某企业内部用户通过Router访问Internet。配置URL过滤功能,使所有内部用户都不能访问Internet上地址为www.webflt.com的网站。
图2-2 URL过滤配置组网图
# 配置URL过滤功能。
· 在导航栏中选择“安全配置 > 网站过滤”,进行如下配置,如图2-3所示。
图2-3 配置URL过滤功能
· 在“添加过滤条件”中“URL”输入www.webflt.com。
· 单击<确定>按钮完成操作。
Web页面提供的攻击防范配置功能如下:
· 启用或关闭黑名单过滤功能
· 配置黑名单表项
· 查看黑名单
· 配置入侵检测功能
攻击防范是一个重要的网络安全特性,它通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并对具有攻击特征的报文执行一定的防范措施,如输出告警日志、丢弃报文、更新会话状态或加入黑名单。
黑名单功能是根据报文的源IP地址进行报文过滤的一种攻击防范特性。同基于ACL(Access Control List,访问控制列表)的包过滤功能相比,黑名单进行报文匹配的方式更为简单,可以实现报文的高速过滤,从而有效地将特定IP地址发送来的报文屏蔽掉。
黑名单最主要的一个特色是可以由设备动态地进行添加或删除,这种动态添加是与扫描攻击防范功能配合实现的。具体实现是,当设备根据报文的行为特征检测到某特定IP地址的扫描攻击企图之后,便将攻击者的IP地址自动加入黑名单。之后该IP地址发送的报文会被设备过滤掉。此方式生成的黑名单表项会在一定的时间之后老化。
除上面所说的动态方式之外,设备还支持手动方式添加或删除黑名单。手动配置的黑名单表项分为永久黑名单表项和非永久黑名单表项。永久黑名单表项建立后,一直存在,除非用户手工删除该表项;非永久黑名单表项的保留时间由用户指定,超出保留时间后,设备会自动将该黑名单表项删除,黑名单表项对应的IP地址发送的报文即可正常通过。
根据攻击报文表现出的不同特征,设备可以防范的网络攻击类型可以划分为单包攻击和异常流攻击两大类,异常流攻击又包括扫描攻击和泛洪攻击两种。
单包攻击也称为畸形报文攻击。攻击者通过向目标系统发送有缺陷的IP报文,如分片重叠的IP报文、TCP标志位非法的报文,使得目标系统在处理这样的IP报文时出错、崩溃,给目标系统带来损失,或者通过发送大量无用报文占用网络带宽等行为来造成攻击。
设备可以对表3-1中所列的各单包攻击行为进行有效防范。
表3-1 单包攻击类型及说明列表
|
单包攻击类型 |
说明 |
|
Fraggle |
攻击者通过向目标网络发送UDP端口为7的ECHO报文或者UDP端口为19的Chargen报文,令网络产生大量无用的应答报文,占满网络带宽,达到攻击目的 |
|
LAND |
攻击者向目标主机发送大量源IP地址和目的IP地址都是目标主机自身的TCP SYN报文,使得目标主机的半连接资源耗尽,最终不能正常工作 |
|
WinNuke |
攻击者向安装(或使用)Windows系统的特定目标的NetBIOS端口(139)发送OOB(Out-of-Band,带外)数据包,这些攻击报文的指针字段与实际的位置不符,从而引起一个NetBIOS片断重叠,致使已与其他主机建立连接的目标主机在处理这些数据的时候系统崩溃 |
|
TCP Flag |
不同操作系统对于非常规的TCP标志位有不同的处理。攻击者通过发送带有非常规TCP标志的报文探测目标主机的操作系统类型,若操作系统对这类报文处理不当,攻击者便可达到使目标主机系统崩溃的目的 |
|
ICMP Unreachable |
某些系统在收到不可达的ICMP报文后,对于后续发往此目的地的报文判断为不可达并切断对应的网络连接。攻击者通过发送ICMP不可达报文,达到切断目标主机网络连接的目的 |
|
ICMP Redirect |
攻击者向用户发送ICMP重定向报文,更改用户主机的路由表,干扰用户主机正常的IP报文转发 |
|
Tracert |
攻击者连续发送TTL从1开始递增的目的端口号较大的UDP报文,报文每经过一个路由器,其TTL都会减1,当报文的TTL为0时,路由器会给报文的源IP设备发送一个TTL超时的ICMP报文,攻击者借此来探测网络的拓扑结构 |
|
Smurf |
攻击者向目标网络发送ICMP应答请求,该请求包的目的地址设置为目标网络的广播地址,这样该网络中的所有主机都会对此ICMP应答请求作出答复,导致网络阻塞,从而达到令目标网络中主机拒绝服务的攻击目的 |
|
Source Route |
攻击者利用IP报文中的Source Route路由选项对网络结构进行探测 |
|
Route Record |
攻击者利用IP报文中的Route Record路由选项对网络结构进行探测 |
|
Large ICMP |
某些主机或设备收到超大的报文,会引起内存分配错误而导致协议栈崩溃。攻击者通过发送超大ICMP报文,让目标主机崩溃,达到攻击目的 |
单包攻击防范仅对接口的入方向报文有效,主要通过分析经过设备的报文特征来判断报文是否具有攻击性。若设备检测到某报文具有攻击性(对于Large ICMP攻击,当检测到ICMP报文的长度达到或超过4000字节,则认为是Large ICMP攻击报文),则会输出告警日志,并将检测到的攻击报文做丢弃处理。
扫描攻击是指,攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定位潜在目标的位置,探测目标系统的网络拓扑结构和启用的服务类型,为进一步侵入目标系统做准备。
扫描攻击防范仅对接口的入方向报文有效,主要通过监测网络使用者向目标系统发起连接的速率,来检测其探测行为。若设备监测到某IP地址主动发起的连接速率达到或超过每秒4000个连接数,则会输出告警日志并丢弃来自该IP地址的后续报文,还会将检测到的攻击者的源IP地址加入黑名单。
泛洪攻击是指,攻击者在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息,而无法为合法用户提供正常服务,即发生拒绝服务。
设备支持对以下三种泛洪攻击的检测:
· SYN Flood攻击:由于资源的限制,TCP/IP协议栈只能允许有限个TCP连接。SYN Flood攻击者向服务器发送伪造源地址的SYN报文,服务器在回应SYN ACK报文后,由于目的地址是伪造的,因此服务器不会收到相应的ACK报文,从而在服务器上产生一个半连接。若攻击者发送大量这样的报文,被攻击主机上会出现大量的半连接,耗尽其系统资源,使正常的用户无法访问,直到半连接超时。
· ICMP Flood攻击:攻击者在短时间内向特定目标发送大量的ICMP请求报文(例如ping报文),使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务。
· UDP Flood攻击:攻击者在短时间内向特定目标发送大量的UDP报文,致使目标系统负担过重而不能处理正常的业务。
泛洪攻击防范仅对接口的出方向报文有效,主要用于保护服务器,通过监测向服务器发起连接请求的速率或者服务器上建立的半连接数量,来检测各类泛洪攻击。若设备监测结果显示向某服务器发起的连接请求的速率达到或超过每秒1000个连接,或服务器上建立的半连接数量达到或超过10000(仅SYN Flood攻击防范支持半连接数限制),则会输出告警日志,并对后续新建连接的报文进行丢弃处理。
配置黑名单的推荐步骤如表3-2所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 缺省情况下,黑名单过滤功能关闭 |
|
|
2 |
通过扫描攻击检测自动生成黑名单表项 |
二者至少选其一 黑名单表项可以手动配置,也可以通过扫描攻击检测自动添加。在黑名单过滤功能启用的前提下,若启用了扫描攻击检测,并配置了源IP地址加入黑名单,则可以将检测到的扫描攻击方IP地址添加到黑名单中 缺省情况下,不存在任何黑名单表项
修改自动添加的黑名单表项,则该表项的添加方式会被更改为手动 |
|
3 |
可选 |
在导航栏中选择“安全配置 > 攻击防范 > 黑名单”,进入如图3-1所示的页面。选中“启用黑名单过滤功能”前的复选框,单击<应用>按钮,可以使能黑名单过滤功能。
在导航栏中选择“攻击防范 > 黑名单”,在“黑名单配置”中单击<新建>按钮,进入新建黑名单表项的配置页面,如图3-2所示。
新建黑名单的详细配置如表3-3所示。
|
配置项 |
说明 |
|
IP地址 |
设置要添加到黑名单的IP地址,不能为广播地址、127.0.0.0/8、D类地址、E类地址和255.0.0.0/8 |
|
保留时间 |
设置该表项为非永久黑名单表项,并指定表项的保留时间 |
|
永久生效 |
设置该表项为永久黑名单表项 |
在导航栏中选择“攻击防范 > 黑名单”,进入如图3-1所示的页面,可以查看黑名单的信息
黑名单列表的详细说明如表3-4所示。
|
标题项 |
说明 |
|
IP地址 |
加入黑名单的IP地址 |
|
添加方式 |
黑名单表项的添加方式,包括自动和手动两种 · 自动添加为发现扫描攻击后自动将攻击者IP添加到黑名单 · 手动添加为用户手动创建黑名单
修改自动添加的黑名单表项,则该表项的添加方式会被更改为手动 |
|
开始时间 |
黑名单表项的添加时间 |
|
保留时间 |
黑名单表项的保留时间 通过扫描攻击防范添加的黑名单的表项的老化时间为10分钟 |
|
丢包统计 |
匹配该黑名单表项而被丢弃的报文数量 |
在导航栏中选择“安全配置 > 攻击防范 > 入侵检测”,进入如图3-3所示的页面。选中“启用攻击防范策略”前的复选框,并根据需要选择启用哪些类型的攻击检测,单击<应用>按钮,即可完成入侵检测功能的配置。
在导航栏中选择“安全配置 > 攻击防范 > 入侵检测”,进入如图3-4所示的页面。单击<新建>按钮,进入新建入侵检测策略的配置页面,如图3-5所示。选择一个接口,并根据需要选择启用哪些类型的攻击检测,单击<应用>按钮,即可在该接口上启用入侵检测功能。
如图3-6所示,内部网络用户Host A、Host B和Host C通过Router访问外部网络。现有如下安全需求:
· 通过流量分析发现外部网络中存在一个攻击者Host D,需要将来自Host D的报文在Router上永远过滤掉。
· 为了暂时控制内部网络Host C的访问行为,需要将Router上收到的Host C的报文阻止50分钟。
· 在Router上启动扫描攻击检测,并设置黑名单添加功能。
· 在Router上启动Land攻击检测和Smurf攻击检测。
# 配置各接口的IP地址。(略)
# 启用黑名单过滤功能。
· 在导航栏中选择“攻击防范 > 黑名单”,进行如下配置,如图3-7所示。
· 选中“启用黑名单过滤功能”前的复选框。
· 单击<应用>按钮完成操作。
# 手动新建黑名单表项。
· 单击<新建>按钮,进行如下配置,如图3-8所示。
图3-8 新建Host D的黑名单表项
· 输入IP地址为“5.5.5.5”。
· 选中“永久生效”前的复选框。
· 单击<确定>按钮完成操作。
· 单击<新建>按钮,进行如下配置,如图3-9所示。
图3-9 新建Host C的黑名单表项
· 输入IP地址为“192.168.1.5”。
· 选中“保留时间”前的复选框,并设置时间为“50”分钟。
· 单击<确定>按钮完成操作。
# 配置入侵检测。启动扫描攻击检测,并设置黑名单添加功能;启动Land攻击检测和Smurf攻击检测。
· 在导航栏中选择“安全配置 > 攻击防范 > 入侵检测”,进行如下配置,如图3-10所示。
· 选中“启用攻击防范策略”前的复选框。
· 只保留选中“启动Land攻击检测”、“启动Smurf攻击检测”、“启动扫描攻击检测”和“源IP地址加入黑名单”前的复选框,其他复选框均取消选中。
· 单击<应用>按钮完成操作。
完成上述配置后:
· 可以在“安全配置 > 攻击防范 > 黑名单”中查看到新建的黑名单表项。
· 设备对来自Host D的报文一律进行丢弃处理,除非管理员认为Host D不再是攻击者,将其从黑名单中删除。
· 在50分钟之内,设备对来自Host C的报文一律进行丢弃处理;50分钟之后,才进行正常转发。
· Router如果检测到扫描攻击,会输出告警日志,并将攻击者的IP地址加入黑名单。之后,可以在“安全配置 > 攻击防范 > 黑名单”中查看扫描攻击检测自动添加的黑名单信息。
· Router如果检测到Land攻击或Smurf攻击,会输出告警日志,并对攻击报文做丢弃处理。
如图3-11所示,内部网络用户Host A、Host B和Host C通过Router访问外部网络。现有如下安全需求:
· 通过流量分析发现外部网络中存在一个攻击者Host D,需要将来自Host D的报文在Router上永远过滤掉。
· 为了暂时控制内部网络Host C的访问行为,需要将Router上收到的Host C的报文阻止50分钟。
· 在Router与外部网络相连的接口Ethernet0/2上启动扫描攻击检测,并设置黑名单添加功能。
· 在Router与外部网络相连的接口Ethernet0/2上启动Land攻击检测和Smurf攻击检测。
# 配置各接口的IP地址。(略)
# 启用黑名单过滤功能。
· 在导航栏中选择“攻击防范 > 黑名单”,进行如下配置,如图3-12所示。
· 选中“启用黑名单过滤功能”前的复选框。
· 单击<应用>按钮完成操作。
# 手动新建黑名单表项。
· 单击<新建>按钮,进行如下配置,如图3-13所示。
图3-13 新建Host D的黑名单表项
· 输入IP地址为“5.5.5.5”。
· 选中“永久生效”前的复选框。
· 单击<确定>按钮完成操作。
· 单击<新建>按钮,进行如下配置,如图3-14所示。
图3-14 新建Host C的黑名单表项
· 输入IP地址为“192.168.1.5”。
· 选中“保留时间”前的复选框,并设置时间为“50”分钟。
· 单击<确定>按钮完成操作。
# 在接口Ethernet0/2上配置入侵检测。启动扫描攻击检测,并设置黑名单添加功能;启动Land攻击检测和Smurf攻击检测。
· 在导航栏中选择“安全配置 > 攻击防范 > 入侵检测”,单击<新建>按钮,进行如下配置,如图3-15所示。
图3-15 在接口Ethernet0/2上配置入侵检测
· 选择接口为“Ethernet0/2”。
· 选中“启动Land攻击检测”前的复选框。
· 选中“启动Smurf攻击检测”前的复选框。
· 选中“启动扫描攻击检测”前的复选框。
· 选中“源IP地址加入黑名单”前的复选框。
· 单击<确定>按钮完成操作。
完成上述配置后:
· 可以在“安全配置 > 攻击防范 > 黑名单”中查看到新建的黑名单表项。
· 设备对来自Host D的报文一律进行丢弃处理,除非管理员认为Host D不再是攻击者,将其从黑名单中删除。
· 在50分钟之内,设备对来自Host C的报文一律进行丢弃处理;50分钟之后,才进行正常转发。
· 设备如果检测到接口Ethernet0/2受到扫描攻击,会输出告警日志,并将攻击者的IP地址加入黑名单。之后,可以在“安全配置 > 攻击防范 > 黑名单”中查看扫描攻击检测自动添加的黑名单信息。
· 设备如果检测到接口Ethernet0/2受到Land攻击或Smurf攻击,会输出告警日志,并对攻击报文做丢弃处理。
Web页面提供的应用控制配置功能如下:
· 通过特征文件加载应用程序
· 配置自定义应用程序
· 对要进行限制的应用程序使能应用控制功能
应用控制是指通过设置目的IP地址、协议、操作类型和端口,来限制局域网内的用户对Internet上对各种应用程序或协议的使用。应用控制可以对所有用户进行限制,也可以基于用户组来实现。本章只介绍基于所有用户的应用控制,基于用户组的应用控制请参见“Web配置指导 群组管理”。
应用控制功能只对WAN接口有效,并且只对接口的出方向有效。
配置应用控制的推荐步骤如表4-1所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 将包含应用控制规则的特征文件加载到设备
当加载了多个特征文件时,只有最后加载的特征文件生效 |
|
|
2 |
可选 新建自定义应用程序,并配置相应的规则 |
|
|
3 |
必选 在全局使能对指定应用程序或协议的限制功能 |
在导航栏中选择“安全配置 > 应用控制”,单击“加载应用程序”页签,进入加载应用程序的配置页面,如图4-1所示。
选择“从设备选择特征文件加载”,设置特征文件的文件名,单击<确定>按钮,即可将特征文件加载到设备;或者选择“从本地选择特征文件加载”,设置特征文件在本地主机上的保存路径和文件名,单击<确定>按钮,即可将本地主机上保存的特征文件上传并加载到设备。加载成功后,页面下方会显示所有已加载的应用程序信息。
在导航栏中选择“安全配置 > 应用控制”,单击“自定义应用程序”页签,进入自定义应用程序列表页面,如图4-2所示。单击<新建>按钮,进入新建自定义应用程序的配置页面,如图4-3所示。
自定义应用程序的详细配置如表4-2所示。
|
配置项 |
说明 |
|
|
应用程序名称 |
设置自定义应用程序的名称 |
|
|
协议 |
设置传输数据包所使用的协议类型,包括TCP、UDP和所有流量 |
|
|
IP地址 |
设置要限制访问的应用程序的服务器IP地址 |
|
|
端口定义 |
匹配方式 |
设置要限制访问的应用程序的服务器的端口号 当协议选择TCP或UDP时可以配置端口号,配置方式如下: · 匹配方式为空时,表示不配置端口号限制,不需要输入起始/结束端口 · 操作选择范围时,表示由开始端口和结束端口共同限定的一个端口范围,两个端口都需要输入 · 操作选择其它选项时,只需要输入开始端口 |
|
开始端口 |
||
|
结束端口 |
||
在导航栏中选择“安全配置 >应用控制”,默认进入“应用程序控制”页签的页面,如图4-4所示。
根据需要分别在“已加载应用程序”、“预定义应用程序”和“自定义应用程序”中选择要进行限制的应用程序或协议,单击<应用>按钮,即可完成应用程序控制的配置。
如图4-5所示,某企业内部用户通过Router访问Internet。配置应用控制功能,使所有内部用户都不能使用Internet上的MSN应用。
# 加载应用程序(假设包含MSN的特征文件p2p_default.mtd已保存在设备上)。
· 在导航栏中选择“安全配置 > 应用控制”,单击“加载应用程序”页签,进行如下配置,如图4-6所示。
· 选中“从设备选择特征文件加载”前的单选按钮,选择文件名为“p2p_default”.mtd。
· 单击<确定>按钮完成操作,页面下方显示已加载的应用程序,如图4-7所示。
# 配置应用控制。
· 单击“应用程序控制”页签,进行如下配置,如图4-8所示。
· 在“已加载义应用程序”中选择“MSN”。
· 单击<应用>按钮完成操作。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
