- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载 (4.58 MB)
目 录
H3C SecPath AFC 2000采用主流的B/S架构,设备支持 CLI(Command Line Interface,命令行接口)、Web两种登录方式。
通过 CLI 登录设备后,可以直接输入命令行,来配置和管理设备。CLI 方式下又根据使用的登录接口以及登录协议不同,分为:通过 Console 口、Telnet、SSH 登录方式。
通过 Web 登录设备后,用户可以使用 Web 界面直观地管理和维护网络设备。WEB登录支持加密的HTTPS协议与便捷的HTTP协议远端管理方式,同时支持单用户多并发的账户机制。
用户首次登录设备时,可通过 Console 口、Web 或 SSH 进行登录,Console 口、Web 和 SSH 登录需要用户名和密码,分别是 admin\admin各登录方式下需要的最小配置详见下表:
表1-1 各种登录设备方式的最小配置描述表
|
登录方式 |
缺省情况最小配置描述 |
|
Console口本地登录设备 |
缺省情况下,Console口登录时用户名和密码均为admin。 |
|
SSH登录设备 |
配置设备 IP地址,并确保设备与 SSH 登录客户端间路由可达(缺省情况下,设备管理接口的 IP地址为 192.168.0.1/24,SSH登录时用户名和密码均为admin)。 |
|
Web登录设备 |
1. 配置设备 IP地址,确保设备与管理客户端间路由可达(缺省情况下,设备管理接口的 IP地址为 192.168.0.1/24)。 2. 配置 Web 用户的用户名与密码(缺省情况下,用户名和密码均为 admin) |
H3C SecPath AFC 2000设备出厂时有固定的管理口,其IP地址为192.168.0.1,因此请将任意一台电脑的IP地址设置为与产品管理地址同一网段的IP,并与管理接口相连。例如:192.168.0.10
在浏览器地址栏中输入http://192.168.0.1或https://192.168.0.1并回车,即可打开产品的登录界面,如下图所示:
图1-1 系统登录界面
在设备的登录界面输入用户名账号和密码(默认用户用户名和密码相同为admin)点击<登录>按钮,进入系统 WEB管理界面。
在系统登录界面可以选择显示语言的种类目前支持的语言有“中文”和“English”两种。
H3C SecPath AFC 2000设备出厂时默认支持了SSH登录方式,无需单独的去配置,只需要SSH Client与设备管理地址直接路由可达即可登录到设备CLI界面,SSH默认登录端口为22。配置SSH登录环境如下图:
图1-2 SSH登录环境
SSH连接设备需要通过PuTTY 、Xshell等终端仿真程序,SSH登录时提示用户需要输入用户名和密码(默认用户名密码都是admin),出现命令行提示符后即可键入命令来配置设备或查看设备运行状态,需要帮助可以随时键入“?”。
通过 Console 口进行本地登录是登录设备的基本方式之一,用户可以使用本地链路登录设备,便于系统维护。如图1-3所示,通过 Console 口登录设备时,请按照以下步骤进行操作:
(1) 准备好 RS-232 线缆(产品随机附带的配置口电缆)和 USB 口转串口转接线缆(需要用户自备)。
(2) 请先将 RS-232 线缆的 DB-9(孔)插头插入 USB 口转串口转接线缆的 9 芯(针)串口中,再将 RJ-45 插头端插入设备的 Console 口中,将 USB 口插入PC 的 USB 口中。
图1-3 将设备与 PC 通过 Console 通信线缆进行连接
· 在通过 Console 口搭建本地配置环境时,需要通过超级终端或 PuTTY 等终端仿真程序与设备建立连接。打开终端仿真程序后,请按如下要求设置终端参数:
¡ 波特率:115200
¡ 数据位:8
¡ 停止位:1
¡ 奇偶校验:无
¡ 流量控制:无
· 设备上电,终端上显示设备启动自检信息,自检结束后提示用户输入用户名和密码(默认用户名密码都是admin),出现命令行提示符后即可键入命令来配置设备或查看设备运行状态,需要帮助可以随时键入“?”。
1、为了安全起见,请及时修改系统管理员密码。密码推荐包含字母、数字、符号的任意组合;
2、串联系统通道口是透明模式,接口地址无效,因此不能做管理;
3、千兆设备的波特率为38400,万兆设备的波特率为115200。
本节介绍系统 WEB管理界面构成,在页面的右上方显示了设备当前的[系统时间]和[防护模式]。如下图所示:
图1-4 系统信息
|
一级菜单 |
二级菜单 |
|
|
1 |
状态监控 |
综合监控,系统状态,防护范围,主机状态,连接监控,屏蔽记录,报文捕捉 |
|
2 |
数据分析 |
攻击分析,事件分析,流量分析,性能分析,连接分析,屏蔽分析,报表下载 |
|
3 |
防御配置 |
全局参数,规则设置,TCP端口保护,UDP端口保护,黑白名单管理,域名管理,牵引管理,变量导入 |
|
4 |
系统管理 |
集群管理,设备管理,SNMP管理,时间管理,磁盘管理,用户组管理,用户管理,日志管理,系统配置,系统备份与恢复 |
|
5 |
个人管理 |
用户信息,修改密码 |
|
6 |
服务支持 |
版本信息 |
根据企业实际情况确定好部署方式并将产品上架后,即可根据实际情况设置设备的管理地址和网关等。
选择“系统管理 > 设备管理”进入“设备管理”界面,设置系统管理地址,如下图所示:
图1-5 设备管理
从上图可以看出此设备的数据口为eth4口和eth5口,分别为通道0的输入和通道0的输出口。eth0口为默认管理口,地址为192.168.0.1掩码为255.255.255.0,这里将管理地址修改为192.168.2.61网络掩码改为255.255.255.0网关地址改为192.168.2.1,具体操作分为以下两步:
步骤1 添加管理地址
在“设备管理”页面底部“设备”参数中填写设备管理接口“eth0”“地址”参数中填写设备的管理IP及掩码“192.168.2.61/24”。填写完成后点击<添加地址>按钮,如下图所示:
图1-6 添加管理地址
步骤2 设置管理地址网关
在“设备管理”页面底部“设备”参数中填写设备管理接口“eth0”“地址”参数中填写设备的网关地址“192.168.2.1”。填写完成后点击<设备网关>按钮,如下图所示:
图1-7 添加管理地址网关
管理地址和网关添加完成后,就可以通过设置好的管理地址登录到系统的Web管理平台。如下图所示:
图1-8 管理地址设置完成
有关“设备管理”中具体参数设置也可参考“设备管理”相关章节
每次操作完请务必保存配置,否则设备重启时会导致配置丢失。
在系统 WEB管理平台的工作窗口右上角,提供了<退出>按钮,如下图的右边图标;点击后即可对用户进行切换,如下图所示:
图1-9 退出登录
H3C SecPath AFC 2000系列产品提供了通用规则设置接口,功能强大、设置简便。
地址:指定规则匹配的地址,包括本地地址和远端地址。
端口:当规则为TCP/UDP协议时,可指定相应的端口域。
模式匹配:指定规则匹配包含的关键字,可以是单一关键字,也可以是一组关键字。
方向选择:指定规则匹配的数据方向,包括发送数据和接收数据。
规则行为:当规则被匹配后,需要对此报文执行的行为,包括过滤、拦截、放行和屏蔽等。
目前系统自动防护状态主要分为SYN保护模式,SYN高压保护模式,ACK&RST保护模式,UDP保护模式,ICMP保护模式,NonIP保护模式,碎片保护模式。此外需手动设置的模式还包括忽略模式,禁止模式,Web CC保护模式,GameCC保护模式及高级UDP保护模式:
· SYN保护模式
此模式由系统自动设置,用于防护SYN Flood攻击,当每秒接收的SYN报文的数量超过设定值时即满足触发条件。
· SYN高压保护模式
此模式由系统自动设置,用于SYN攻击高压防护,当每秒接收的SYN报文的数量超过设定值时即满足触发条件。
· ACK&RST保护模式
此模式由系统自动设置,用于防护ACK&RST攻击,当每秒接收的ACK&RST报文的数量超过设定值时即满足触发条件。
· UDP保护模式
此模式由系统自动设置,用于防护UDP Flood攻击,当每秒接收的UDP报文的数量超过设定值时即满足触发条件。
· ICMP保护模式
此模式由系统自动设置,用于防护ICMP Flood攻击,当每秒接收的ICMP报文的数量超过设定值时即满足触发条件。
· NonIP保护模式
用于防护IP协议族的其它不常用的协议的攻击类型,当某台主机承受的NonIP报文频率超过该数值时,该主机将进入NonIP保护模式。
· 碎片保护模式
此模式由系统自动设置,用于防护Fragment Flood攻击,当每秒接收的碎片报文的数量超过设定值时即满足触发条件。
此模式由用户手动设置,对于该模式下主机的所有流量采取直接转发机制,数据不经过系统防护策略处理。
此模式由用户手动设置,对于该模式下主机的所有流量采取禁止策略,数据流量将被全部丢弃。
· Web CC保护模式
此模式由用户手动设置,当某一主机运行WEB服务并且遭受CC攻击时,导致网站无法访问或访问很慢时,建议设置此模式。
· Game CC保护模式
此模式由用户手动设置,当某一主机运行游戏服务并且遭受CC攻击时,导致客户无法登录或频繁掉线时,建议设置此模式。
· 高级UDP保护模式
此模式由用户手动设置,当某一主机运行基于UDP协议的语音聊天室,当受到UDP FLOOD攻击导致聊天室无法登录,语音或视频频繁卡断时,建议设置此模式。
系统内设置了一组参数设置接口,用于调整设备工作状态,使其保持最佳处理效率及防护能力。
系统操作环境提供全局范围的主机防护参数,主要包括流量控制和策略选项:
全局型的流量控制,串联版本中包括“攻击防御模式”和“透明直通(不处理数据)”,在旁路版本中包括“攻击防御模式—自动牵引”、“攻击防御模式—手动牵引”和“透明直通(不处理数据)”。
在串联版本中包括:“自动获取主机地址”和“记录主机路由选择”两种方式,在旁路版本中包括:“主机探测”、“SYN重传验证”、“ACK重传验证”、“验证方式一”和“方式二”这五种模式
系统参数提供了对系统防御模块的调整接口,包含一系列的攻击触发值,可通过“设置集”来调整不同主机的防护状态。
通过设置SYN Flood保护、SYN Flood高压保护、SYN Flood单机保护、ACK&RST Flood保护、UDP保护触发、ICMP保护触发、碎片保护触发和NonIP保护触发等参数,以调整不同服务主机达到最佳防护状态。
· 关闭端口触发
设置空端口自动关闭的触发参数。
· TCP防护
该项防护参数是用于指导系统防御模块的防护行为,包括连接数量保护、连接频率保护、连接空闲超时、默认黑名单策略等方式来调连接数量、连接频率、空闲时间及黑名单策略的防护设置。
· UDP防护设置
通过设置请求连接超时时间、建立连接超时机制加强攻击防护效果。
系统防护参数主要是针对一些攻击流量进行限制设置。通过报文频率紧急状态和简单过滤流量限制进行攻击报文及流量的设置调整,通过忽略主机流量限制控制被忽略主机的攻击流量,通过外网匿名流量限制、内网匿名流量限制有效防御匿名流量的攻击。
屏蔽持续时间,用于限制被屏蔽IP的屏蔽时间,超出设置时间范围后该IP才可以重新建立访问。
表2-1 系统变量设置
|
编号 |
名称 |
说明 |
|
1 |
DomainAudit.AuditMode |
通过设置不同的值来控制域名审计行为。 |
|
2 |
DomainAudit.Redirect |
针对WEB页面跳转设置模式。 |
|
3 |
DNS.Mode |
针对设备学习到访问DNS的地址。 |
|
4 |
Misc.CustomData |
针对特殊的空连接攻击的设置模式。 |
|
5 |
WEB.Special |
针对特殊WEB页面的设置模式。 |
|
6 |
WEB.AuthorizePage |
针对WEB攻击的外部验证服务器设置模式。 |
某些特殊应用,如WEB服务、游戏服务、语音服务等,针对性的防护策略可以使得这些应用具有更好的服务品质,彻底隔绝恶意客户及攻击工具造成的损害。因此,系统内建了端口防御体系,根据不同的应用采取独立设置端口策略,防护能力更胜一筹。
TCP端口保护可针对不同服务和不同端口设定防护类型,是针对特殊应用而开发的防护手段,TCP端口防护类型主要包含三种:标准防护、动态验证及频率保护。
标准防护策略为所有端口默认的防护措施,不对应用做特殊处理,具有最好的兼容性;
动态验证策略是H3C安全产品管理平台独特的适用于WEB服务的一种防护方案,是针对目前愈演愈烈的CC-HTTP Proxy类攻击而开发的。
动态验证模块,只对设置了WebCC保护模式的主机采用该验证策略,没有设置该保护模式的主机不受策略控制。
· 频率控制
频率控制策略是H3C安全产品管理平台适用于游戏服务的一种防护方案,是针对目前流行的代理型攻击、流量型攻击和BotNet型等攻击而开发的。
频率保护模块,只对设置了GameCC保护模式的主机采用该限制及验证策略,没有设置该保护模式的主机不受策略控制。
· 连接攻击检测:用于自动启用TCP防护插件。
· 连接数量限制:限制每个客户端允许与主机建立的连接数量,超出设置数量该连接被屏蔽。
· 踢出/探测 权重:限制每个客户端允许与主机建立空连接的数量,超出设置限制该连接被屏蔽。
· 协议类型选择:限制不同服务端口只允许指定协议通过。
· 防护标志:防护标志包括超时连接、延时提交、超出屏蔽、域名审计和接收协议。
· 模块参数:用于控制系统防护模式及策略的参数。
UDP端口保护可针对各项UDP服务进行特殊设定,防护各类语音、视频等其他的UDP协议服务的端口攻击,并可通过协议类型选择限制指定协议,并针对特殊服务编辑防护协议类型。
具有丰富的图表功能,此功能的最大特色就是使用户更方便的使用、查看、统计实时的监控网络情况,根据需要形成报表;图表和报表可以根据时间段来查询(分钟、小时、日、月),让您对网络情况有一个整体上的把握;可以把网络的使用情况通过报表的形式提取出来,从而更方便管理员对自己网络的健康状况和防护策略进行一个总结和归纳;
将网络的历史流量情况形成一张报表,从而进行历史数据以及网络流量的分析和查看,更可以将报表下载下来。报表功能对分析网络情况和一些日常工作带来极大的方便;
范围控制,我们在添加主机的时候,只有包含在这个范围控制里面的主机才能被添加上去,从而避免了用户对主机列表的误操作;
· 域名审计控制
可以有效的将非法域名流量从网络中剥离出来;
· 细化权限控制
对管理员创建的用户权限进行细化控制,满足不同用户的权限控制需求。
H3C SecPath AFC 2000系列产品集成了简洁高效的WEB管理界面,可以方便的使用浏览器进行管理设置,本章将详细介绍各个界面及其功能。
选择“状态监控 > 综合监控”进入“综合监控”界面,该页面显示了设备的实时数据信息、每分钟数据信息(最高值)、每小时数据信息(最高值)、每天的数据信息(最高值)和流量概况信息,数据信息包括进出流量和TCP、UDP连接。如下图所示:
图3-1 实时数据监控
图3-2 每分钟数据(最大值)
图3-3 每小时数据(最大值)&每日数据(最大值)
在“流量概况”页面整体上显示了设备上的流量、报文、匿名流量以及其他流量。外网为外部网络与设备的接口,即输入流量;内网为内部网络与设备的接口,即输出流量。如下图所示:
图3-4 流量概况
选择“状态监控 > 系统状态”进入“系统状态”界面,该界面中包括“系统负载”和“网卡负载”两个部分,“系统负载”中可以直观显示设备实时的CPU负载情况和内存负载情况。如下图所示:
图3-5 系统负载
在“系统负载”界面可以点击CPU或者MEMORY查看相应的CPU或者MEMORY的流量图信息。如下图所示:
图3-6 CPU负载
图3-7 内存负载
在“网卡负载”界面显示了设备所有接口的负载情况,包括接收报文数量、接收错误报文数量、发送报文数量和发送错误报文数量。如下图所示:
图3-8 网卡负载
在“网卡负载”界面可以对各个接口下的“接收报文”、“接收错误”、“发送报文”或者“发送错误”等信息单独进行查看。如下图所示:
图3-9 查看各接口接收报文数量
选择“状态监控 > 防护范围”进入“防护范围”界面,在此界面添加设备所防护的IP范围,即设备只防护在“防护范围”的IP。防护范围可以是单个IP,一段范围的IP或者是一个段的IP。如下图所示:
图3-10 防护范围-串联版本
图3-11 防护范围-旁路版本
防护范围支持单个添加和批量导入两种添加方式。具体操作如下:
· 手动添加单个防护范围
点击<添加>按钮进入防护范围添加页面,在“开始地址”中填写所添加IP范围中的起始IP,在“结束地址”中填写终止IP,“地址前缀”中填写所填IP范围的网络掩码位,设置完成后点击<提交>按钮。如下图所示:
图3-12 添加防护范围-串联版本
图3-13 添加防护范围-旁路版本
旁路版本中添加防护范围参数中存在“回注方式”和“回注参数”两个参数。具体参数说明如下:
回注方式:指流量牵引到抗拒绝设备经过设备清洗过后,设备根据网络情况将正常流量回注到交换机上的方式。目前回注方式支持VLAN、GRE、MPLS和MPLS-VPN。回注方式为默认情况时则代表网络环境为三层环境。
回注参数:此项根据“回注方式”填写,当回注方式选择VLAN时,“回注参数”中填写该网段IP所在的VLAN号,“回注方式”为默认参数时,“回注参数”中为空。
· 批量导入防护范围
采用批量导入防护范围的方法时,首先要编写防护范围的txt文档,文档编码格式为UTF-8。如下图所示:
图3-14 填写防护范围txt文档-串联版本
图3-15 填写防护范围txt文档-旁路版本
防护范围txt文档编写好后,在设备“防护范围”界面点击<选择文件>按钮,选择编辑好的防护范围txt文件,最后点击界面里的<导入>按钮。即完成了防护范围的批量导入。
当设备收到不在“防护范围”中IP的流量时,这边对这些IP的流量不做任何分析,但会受到设备“全局参数”中“匿名流量限制”参数的限制。
选择“状态监控 > 主机状态”进入“主机状态”界面,该界面显示了当前设备下主机的基本状态,如主机、带宽、频率、连接、操作,可以通过流量阈值去选择查看主机的类型,并且可以通过搜索框去对特定的主机进行操作;鼠标放到具体主机上会出现手型按钮,点击主机IP即可进入主机设置页面,点击主机IP后的其他任何参数,可以生成该主机流量图表。如下图所示:
图3-16 主机状态
· 主机流量阈值
主机流量阈值选项,提供了查看主机的多种方式,可以通过下拉菜单内的各种方式去查看主机。如下图所示:
图3-17 流量阈值
可以在框中搜索需要的主机,格式为192.168.1.1/24或192.168.1.1,输入完成后点击<查询>按钮。
· 添加主机
在设置好“防护范围”后,防护范围内的主机只要产生流量后,该主机就会自动出现在“主机状态”页面,如果防护范围内的主机没有产生流量就不会出现在“主机状态”页面,此时可以手动将该主机添加到“主机状态”页面。具体操作如下:
在“主机状态”页面添加需要添加的IP,支持单个IP和IP范围。以2.0.0.1-2.0.0.254/23这个网段中的主机为例。操作如下:
· 添加单个地址
在“主机状态”页面上方输入要添加的单个IP地址例如2.0.0.1。如下图所示:
图3-18 添加单个IP地址
点击<添加>按钮2.0.0.1这个IP就添加成功了。如下图所示:
图3-19 成功添加单个IP
· 添加地址范围
在“主机状态”页面上方输入要添加的IP地址范围,例如2.0.0.15-2.0.0.20。如下图所示:
图3-20 添加IP地址范围
点击<添加>按钮2.0.0.15-2.0.0.20这个IP地址范围就添加成功了。如下图所示:
图3-21 成功添加IP地址范围
备注:主机状态里手动添加防护主机时,一次最多只能添加256个主机,超过256个会添加失败。
主机状态页面数值是实时的,需要手动刷新来更新,不会自动刷新数值。
· 删除主机:在主机搜索框里面输入自己想要删除的主机或者网段,点击<删除>按钮可以删除,或者可以选择主机前的复选框然后点击<删除>按钮。
· 主机:显示当前设备下的主机的IP地址,每个主机IP地址是一个超连接,点击后即可进入主机设置页面。
· 带宽:显示该主机的入口和出口带宽占用,以Mbps为单位;
· 频率:显示该主机受到攻击的频率,目前主要统计为SYN报文频率、ACK报文频率、UDP报文频率、ICMP报文频率、FRAG报文频率、NonIP报文频率、NewTCP连接和NewUDP连接。
· 连接:显示外部与该主机建立的连接数(IN),该主机与外部建立的连接数(OUT),及UDP连接。IN连接远远超过正常值的连接数量表示该主机可能受到代理型攻击,如CC类攻击等,请设置相应的防护模式或联系H3C售后技术支持。
· 操作:操作按钮,提供删除整个网段或者主机的功能。
· 主机状态查看:点击除主机之外其他部分都会进入相应图表界面,在图表界面显示了主机当前防护状态,保护模式显示当前主机处于的防御模式,输入输出流量显示主机输入和输出过滤前和过滤后流量。如下图所示:
图3-22 主机状态查看
点击主机IP部分,进入“主机设置”页面,当前显示了主机的设置参数,包括流量策略及防护策略,如下图所示:
图3-23 主机设置-串联版本
图3-24 主机设置-旁路版本
“主机设置”项在旁路版本和串联版本之间存在区别:
1、串联版本中“主机地址”参数后是“记录”选项,在旁路版本中是“防护”选项;
2、串联版本中有“输入流量限制”、“输入PPS限制”、“输出流量限制”和“输出PPS限制”四个选项,在旁路版本中只有“输入流量限制”和“输入PPS限制”两项
表3-1 主机设置参数
|
编号 |
功能 |
说明 |
|
1 |
主机地址 |
显示当前主机的主机地址。 “有效”复选框表示该主机是否存在。设备的主机自动发现系统有时会发现一些不存在的IP地址,如果您确定某主机不存在而又出现在列表中的话,请清除“有效”复选框,则该主机将被自动清除。 “记录”选择此选项后将记录该主机的分时流量,并在分时流量图中体现。 |
|
2 |
地址前缀 |
标识主机地址的掩码位数 |
|
3 |
网关IP地址 |
显示设置主机的网关IP地址,此项可根据网络地址设置识别,也可在该状态下直接进行修改。 |
|
4 |
网关MAC地址 |
设置主机的网关MAC地址,此项可根据网络地址设置识别,也可在该状态下直接进行修改。(网关MAC地址在二层旁路中会使用到,设备串联部署时不需要填写网关mac地址) |
|
5 |
输入流量限制 |
限制主机输入流量带宽 |
|
6 |
输入PPS限制 |
限制主机每秒接收报文个数 |
|
7 |
输出流量限制 |
限制主机输出流量带宽 |
|
8 |
输出PPS限制 |
限制主机每秒输出报文个数 |
|
9 |
忽略所有流量 |
表示完全忽略对该地址主机数据报文的任何处理而只是简单转发 |
|
10 |
屏蔽所有流量 |
表示简单丢弃,这两种流量策略可用于局部调试目的 |
|
11 |
流量超出屏蔽 |
表示超出系统流量策略设定值时,会屏蔽该主机,禁止数据通行 |
|
12 |
忽略国外访问 |
表示屏蔽国外IP所有连接 |
|
13 |
设置集序号 |
包括防护参数集、过滤规则集、TCP端口集和UDP端口集,可根据不同需要进行防护参数集、过滤规则集、TCP端口集和UDP端口集的设置。 |
|
14 |
防护插件 |
用来设置针对此主机的特定防护方法,选择相应的防护插件,即开启相应的防护策略。目前防护插件有 WEB Service Protection v9.02(针对网站CC攻击的防护策略) Game Service Protection v4.1(针对大部分TCP型游戏的防护策略例如传奇游戏) Misc Service Protection v3.2(针对游戏服务器等类型的防护策略) DNS Service Protection v2.3(DNS服务防护策略) UDP App Protection v1.1(针对某些特殊UDP游戏的防护策略。如CS游戏) |
选择“防护报告”选项进入主机防护报告页面,此页面包括该主机的流量和连接的数据分析、防护报告和数据访问等信息。
数据分析界面显示了该主机每分钟、每小时、每天的数据最大值分析。数据图表中显示了各统计区间内主机进出流量的最大值和TCP IN连接和UDP连接最大值,鼠标放到流量图上面,可以显示鼠标所在数据采集点的流量情况。同时流量图上为了让用户更清楚的看每一种流量的情况,还增加了“图形显示开关”功能,点击对应的流量以及负载按钮,会变成灰色,相对应的流量及负载图会随之消失,然后再点击会恢复,便于用户分类查看;如下图所示:
图3-25 每分钟数据分析
图3-26 每小时数据分析
图3-27 每日数据分析
“防护报告”记录了该主机受到的攻击类型,和设备上针对该主机屏蔽的源IP数量。
“数据访问”主要是对该主机的流量分析和连接访问分析,流量分析包括:最大输入流量、最大输出流量、平均输入流量和平均输出流量;连接访问包括:最大TCP连接频率、平均TCP连接频率、最大UDP连接频率和平均UDP连接频率。如下图所示:
图3-28 防护报告&数据访问
数据访问中记录的流量分析和连接访问峰值以及均值,统计的是最近三天的数据。
当主机受攻击,主机状态发生改变时(如从“Normal”到“SYN”状态或从“SYN”到“SYN”“UDP”状态等),系统具有自动捕获数据包的功能,方便网络管理人员监控、取证等。如下图所示:
图3-29 攻击报文档案
注意:使用攻击报文档案的前提是在系统配置----全局开关中,开启归档攻击报文。
选择“状态监控 > 连接监控”进入“连接监控”界面,界面显示了当前设备上所有的连接,如下图所示:
图3-30 连接监控
在此界面可以查看设备下所有主机的输入连接和输出连接,也可以单独查询设备某个主机的输入连接、输出连接和所有连接,同时也可以查询某个客户端与设备下主机的连接。具体方法如下:
· 查询设备下所有主机的连接
在“连接监控”页面选择输入连接和输出连接,点击<查询>按钮即可查询设备下所有主机的连接。
· 查询设备下某个主机的输入连接
在“连接监控”页面输入要查询的主机IP,例如192.168.59.10并选择输入连接,点击<查询>按钮即可查询该主机的输入连接。
· 查询某个客户端与设备下主机的连接
例如要查询客户172.16.13.61与设备下主机的连接情况,只要在“连接监控”页面输入要查询的地址并在地址前加-,如-172.16.13.61,选择输入连接和输出连接,点击<查询>按钮即可查询该客户端与设备下所有主机的连接。
在“连接监控”界面除了可以查询连接情况,同时可以处置客户端与设备下主机的连接。重置连接分为重置单个连接和某个主机的所有连接
· 重置单个连接
在“连接监控”面选择需要重置的连接,点击连接后面的<重置>按钮,即可重置此连接。
· 重置某个主机的所有连接
如果要重置设备下某个主机的所有连接,首先在“连接监控”界面输入该主机IP,选择输入连接和输出连接,然后点击<查询>按钮,查询出该主机的所有连接,最后选择[连接监控]界面上方的<重置>按钮。即可重置该主机的所有连接。
选择“状态监控 > 屏蔽记录”进入“屏蔽记录”页面,界面显示当前被系统所屏蔽的连接信息。包括被屏蔽的客户端IP、被屏蔽客户端IP访问的墙下IP和被屏蔽的原因等信息。如下图所示:
图3-31 屏蔽记录
例如屏蔽记录本地地址为10.10.10.131,远程地址为10.20.20.3,屏蔽时间为10000秒(实际屏蔽时为10000秒,打开屏蔽记录页面时已经过了19秒),屏蔽原因为系统连接保护。
此信息表示IP为10.20.20.3的客户端IP,在10000秒内不能访问墙下IP为10.10.10.131的主机。
“屏蔽记录”页面提供筛选功能,可以按照被屏蔽客户端IP或者墙下主机IP筛选屏蔽信息。具体操作方法如下。
· 通过客户端IP查询屏蔽信息
例如查询10.20.20.3这个客户端IP是否被屏蔽,需要在“屏蔽记录”页面上方输入“-10.20.20.3”,点击<查询>按钮,即可查询出关于客户端10.20.20.3的所有屏蔽信息。
· 通过墙下主机IP查询屏蔽信息
例如查询10.10.10.131这个服务器IP有多少客户端被屏蔽,只需要在“屏蔽记录”页面上方输入“10.10.10.131”,点击<查询>按钮,即可查询出墙下服务器 IP:10.10.10.131的所有屏蔽信息。
在“屏蔽记录”界面除了可以查询IP的屏蔽信息外,同时可以处置屏蔽情况。重置屏蔽记录分为重置单个屏蔽记录和某个主机的所有屏蔽记录。
· 重置单个屏蔽记录
在“屏蔽记录”界面选择需要重置的屏蔽记录,点击该屏蔽记录后面的<重置>按钮,即可重置此屏蔽记录。
· 重置某个主机的屏蔽记录
如果要重置设备下某个主机的所有屏蔽记录,首先在“屏蔽记录”界面输入该主机IP,然后点击<查询>按钮,查询出该主机的所有屏蔽记录,最后选择“屏蔽记录”界面上方的<重置>按钮。即可重置改主机的所有屏蔽记录。
“屏蔽原因”显示了远端主机对本地主机请求被屏蔽的原因,可通过此项定位到攻击类型或者系统屏蔽原因。
选择“状态监控 > 报文捕捉”进入“报文捕捉”界面,报文捕捉功能,可以实时的捕获设备下某个主机IP或者客户端IP的数据,为管理人员提供防护的依据。在原有的报文捕捉的基础上,增加了捕获的协议内容和针对接口抓包功能。具体如下图所示:
图3-32 报文捕捉页面
表3-2 报文捕捉相关参数
|
编号 |
功能 |
说明 |
|
1 |
捕捉地址 |
输入需要捕捉报文的主机地址,此地址可以是墙下主机IP也可以是客户端IP |
|
2 |
MAC地址 |
输入要捕捉的MAC地址,可以是墙下主机MAC地址也可以是客户端MAC地址 |
|
3 |
捕捉属性 |
包括源地址和目的地址。 例如捕获地址填写的是墙下服务器的IP:192.168.59.10,并只选择了源地址,那么设备抓取数据包时,之后抓取该服务器为源IP的数据(即为该服务器对外发送的数据) |
|
4 |
协议类型 |
设备可以针对协议类型进行抓包,协议类型目前支持IP、TCP、UDP、ICMP、ICMPv6、IGMP和Others,选择Others时后面填写相应协议的协议号 |
|
5 |
设备接口 |
目前设备支持针对设备接口的抓包,all表示对所有接口进行抓包 |
|
6 |
捕捉采样比 |
以采样比的形式进行抓包,比如采样比选择100,表示每100个包中随机采样一个数据包。 |
|
7 |
捕捉报文数目 |
输入想要捕捉报文的个数 |
|
8 |
远程TFTP文件 |
可以对捕捉的报文进行重命名,利于区分报文,另外可以输入TFTP地址,把捕捉好的包放入这个TFTP服务器;填写格式为 IP@文件名 ,例如1.1.1.1@捕捉报文 即TFTP远程地址为1.1.1.1,文件名称为捕捉报文。 |
报文捕捉数目为必填项,否则捕捉不成功。
选择“数据分析 > 攻击分析”进入“攻击分析”界面,此页面主要统计了设备开机到现在有哪些主机受到过攻击,同时记录了正在受到攻击的主机。“攻击分析”界面主要包括“攻击主机统计”和“攻击统计图”两个部分。
“攻击主机统计”主要统计了正在发送的攻击事件和曾经发生过的攻击事件。攻击分析数据内容包括攻击源地址、目的主机、目的端口、攻击开始时间、攻击结束时间、攻击持续时间、攻击类型、攻击状态和攻击最大流量等内容。如下图所示:
图3-33 攻击主机统计
攻击源地址:当攻击源地址为真实IP地址时,说明被攻击主机受到的攻击为固定源攻击,如果攻击源地址显示为0.0.0.0/0时,说明被攻击主机受到的攻击为伪造源攻击。
详情:点击<详情>按钮进入详情页面,在详情页面中可以下载此次攻击的攻击数据包文件。有时候点击<详情>后,看不到攻击数据包。这种情况一般是因为攻击时间太短或者攻击流量过小,设备没有采集到攻击数据包。
另外,使用此功能,需在系统配置—全局开关中,开启攻击分析。开启后,只要设备分析到攻击一般都会记录在攻击分析中。
“攻击统计图”界面是以统计图的形式显示了攻击趋势、TOP10攻击主机和攻击端口统计。
图3-34 攻击趋势统计图
图3-35 TOP10攻击主机&攻击端口统计
选择“数据分析 > 事件分析”进入“事件分析”界面,设备是以每分钟数据、每小时数据和每日数据的最大值的方式统计了设备上主机受到的攻击类型和攻击流量大小。同时可以通过点击统计图下面的攻击类型按钮来选择需要单独显示的数据。如下图所示:
图3-36 分钟数据(最大值)统计
图3-37 小时数据(最大值)统计
图3-38 每日数据(最大值)统计
“事件分析”界面也提供搜索和报表下载功能,可以根据主机、开始时间、结束时间以及流量上下限等条件进行查询和报表下载。如下图所示:
图3-39 事件分析查询和报表下载
选择“数据分析 > 流量分析”进入“流量分析”界面,设备是以每分钟数据、每小时数据和每日数据的最大值的方式统计了设备输入流量、过滤后输入流量、输出流量和过滤后输出流量大小。同时可以通过点击统计图下面的输入流量、过滤后输入流量、输出流量和过滤后输出流量按钮来选择需要单独显示的数据。如下图所示:
图3-40 分钟数据(最大值)统计
图3-41 小时数据(最大值)统计
图3-42 每日数据(最大值)统计
这里的输入流量和输出流量, 不针对具体端口,是相对于整个设备来说的。输入流量可以理解为进入设备的流量;滤后输入流量可以看成是经设备过滤后最终到达服务器的流量。输出流量就是服务器回应报文,滤后输出流量就是经过设备过滤后最终到达客户端的报文。
“流量分析”界面也提供搜索和报表下载功能,可以根据主机、开始时间、结束时间以及流量上下限等条件进行查询和报表下载。如下图所示:
图3-43 流量分析查询和报表下载
选择“数据分析 > 性能分析”进入“性能分析”界面,设备是以每分钟数据、每小时数据和每日数据的最大值的方式统计了设备输入流量大小、CPU使用率和内存使用率等信息。同时可以通过点击统计图下面的输入流量、CPU使用率和内存使用率按钮来选择需要单独显示的数据。如下图所示:
图3-44 分钟数据(最大值)统计
图3-45 小时数据(最大值)统计
图3-46 每日数据(最大值)统计
“性能分析”界面也提供搜索和报表下载功能,可以根据主机、开始时间、结束时间以及流量上下限等条件进行查询和报表下载。如下图所示:
图3-47 流量分析查询和报表下载
选择“数据分析 > 连接分析”进入“连接分析”界面,设备是以每分钟数据、每小时数据和每日数据的最大值的方式统计了设备输入流量大小、TCP IN连接、TCP OUT连接和UDP连接等信息。同时可以通过点击统计图下面的输入流量大小、TCP IN连接、TCP OUT连接和UDP连接按钮来选择需要单独显示的数据。如下图所示:
图3-48 分钟数据(最大值)统计
图3-49 小时数据(最大值)统计
图3-50 每日数据(最大值)统计
“连接分析”界面也提供搜索和报表下载功能,可以根据主机、开始时间、结束时间以及流量上下限等条件进行查询和报表下载。如下图所示:
图3-51 连接分析查询和报表下载
选择“数据分析 > 屏蔽分析”进入“屏蔽分析”界面,此界面列出屏蔽本地防御IP地址、远程客户端地址,屏蔽时间,屏蔽原因等信息,同时可以根据主机、开始时间、结束时间和屏蔽原因等条件进行查询和报表下载。如下图所示:
图3-52 屏蔽分析查询和报表下载
选择“数据分析 > 报表管理”进入“报表同步”界面,该页面提供2种报表同步方式,邮件同步和TFTP同步。同步的报表的类型用户可以自定义选择:日志列表、攻击分析报表、流量分析报表、连接分析报表、事件分析报表和性能分析报表。同时可以根据定义报表同步的周期:按日同步、按时同步、按周同步。如图显示:
图3-53 报表同步
选择“数据分析 > 报表下载”进入“报表下载”界面,该页面提供各种类型的报表下载。报表类型包括:攻击分析、事件分析、流量分析、性能分析、连接分析和屏蔽分析。
同时可以根据主机、开始时间、结束时间、范围选择和统计区间等条件进行查询和报表下载。如图显示:
图3-54 报表下载
选择“防御配置 > 全局参数”进入“全局参数”设置界面,该页面提供了一些通用参数的设置接口,用户可方便的配置设备防护行为。在旁路版本和串联版本中,全局参数页面存在部分区别,具体如下图所示:
图3-55 全局参数-串联版本
图3-56 全局参数-旁路版本
系统操作环境提供系统全局范围的主机防护参数,主要包括流量控制和策略选项,在串联版本中各参数说明如下:
流量控制:全局型的流量控制,包括“攻击防御模式”和“透明直通(不处理数据)模式”。
· 攻击防御为默认模式,此模式下,系统运行完整的攻击过滤流程,过滤攻击保证正常流量到达主机;
· 透明直通(不处理数据)模式下:设备相当于一根导线,只是简单的转发数据而不进行处理;
策略选项:包括自动获取主机地址和记录主机路由选择
· 自动获取主机地址:开启此功能后可有效识别到设备下的主机地址;
· 记录主机路由选择:启用此功能后会对设备下每台主机的路由进行记录。
在旁路版本中各参数说明如下:
流量控制:全局型的流量控制,包括“攻击防御模式—自动牵引”、“攻击防御模式—手动牵引”和“透明直通(不处理数据)”。
· 攻击防御模式—自动牵引:在此模式下需要结合流量分析设备实现自动将服务器流量牵引到清洗设备上,由清洗设备将攻击流量进行清洗并放行正常流量。
· 攻击防御模式—手动牵引:在此模下不需要流量分析设备,但如果需要对某台服务器进行防护时,需要在清洗设备上此服务器“主机参数”界面手动勾选“防护”按钮,这样服务器流量才会被牵引到清洗设备,由清洗设备将攻击流量进行清洗并放行正常流量。
· 透明直通(不处理数据)模式下:设备相当于一根导线,只是简单的转发数据而不进行处理;
策略选项:包括“主机探测”、“SYN重传验证”、“ACK重传验证”、“验证方式一”和“方式二”;
· 主机探测:用于二层旁路部署环境,勾选之后,设备会arp广播或者使用icmp探测主机。三层部署时,因为此功能会导致交换机性能下降,建议关闭;
· SYN重传验证:此种模式重传SYN机制验证源客户端IP地址,即首包丢弃;
· ACK重传验证:此种模式重传ACK机制验证源客户端IP地址,防止建立过多连接;
· 验证方式一:此种模式在三次握手建立连接之后,设备会立即重置此次连接,第二次建立连接时正常建立;
· 验证方式二:此种模式在客户端发送syn之后,设备代理回syn+ack时,回应一个错误的seq。
系统防护参数主要是针对一些攻击流量做限制,针对设备全局有效。
表3-3 全局防护参数
|
编号 |
功能 |
说明 |
|
1 |
报文频率紧急状态 |
当设备每秒收到的报文超过此值时(默认为1500000),设备将进入严格过滤状态 |
|
2 |
外网匿名流量限制 |
控制外网客户端对非监控状态的主机产生的流量 |
|
3 |
内网匿名流量限制 |
控制内部非监控状态的主机对外网主机产生的流量 |
|
4 |
简单过滤流量限制 |
限制一些简单攻击数据包的流量,目前支持检查数据部分都相同和源目地址相同的数据包,且只能对数据内容长度等于大于32字节的简单报文进行限制,默认为10Mbps |
|
5 |
忽略主机流量限制 |
当在设备上忽略IP流量检查时,此处可以限制此类IP的流量,默认为10Mbps |
|
6 |
屏蔽持续时间 |
屏蔽列表中的屏蔽时间,默认为10000秒 |
|
7 |
保护牵引时间(旁路版本) |
指攻击攻击停止后,释放牵引的时间 |
旁路版本中没有“外网匿名流量限制”和“内网匿名流量限制”
· DomainAudit.AuditMode:通过设置不同的值来控制域名审计行为。如下图所示:
图3-57 DomainAudit.AuditMode设置
(1) 该变量目前支持设置参数有0 1 2 3 9 10 11
0 默认值,不启用域名审计。
9< --- >1 不检测域名管理中的域名;
10< --- >2 检测域名管理中的域名,不在域名管理内域名默认黑名单;
11< --- >3 检测域名管理中的域名,不在域名管理内域名可通过自动收集添加。
(2) 下面是变量值详细说明:
变量值 0:默认参数,不执行域名审计,不检查域名列表,允许IP地址和域名访问。
变量值 1:允许通过IP地址直接访问网站,但禁止域名点数超过10的长域名,不检查域名管理中的域名列表,不在域名列表或加入黑名单的域名也可以访问。若不想通过IP地址直接访问网站,请用设置变量值9,其它不变。
变量值 2:允许通过IP地址直接访问网站,但禁止域名点数超过10的长域名,检查域名管理中的域名列表,只允许域名列表里加入白名单的域名访问,不在列表里或加入黑名单的域名不能访问。若不想通过IP地址直接访问网站,请用设置变量值10,其它不变。
变量值 3:允许通过IP地址直接访问网站,但禁止域名点数超过10的长域名,检查域名管理中的域名列表,允许域名列表里加入白名单的域名访问,且可以自动添加新识别的域名,最多添加65536个,但加入黑名单的域名不可访问。若不想通过IP地址直接访问网站,请用设置变量值11,其它不变。
1-3参数和9-11参数分别一一对应;即1和9对应,2和10对应,3和11对应;区别是前者允许IP地址访问,后者禁止IP地址访问。
· DomainAudit.Redirect
当开启域名审计时,被阻止的访问自动跳转到此处填写的Web页面中。比如跳转到http://www.baidu.com,那么填写如下图所示:
图3-58 DomainAudit.Redirect设置
· DNS.Mode
用于清除DNS插件学习到的白名单地址,参数为clear。填写格式如下图所示:
图3-59 DNS.Mode
· Misc.CustomData
对应TCP端口防护中的Misc插件,填写数据格式为服务器回复数据:客户端回应的正则表达式,最多写8组,中间用空格分开,Misc插件使用10-17来调用8组数据,主要用户TCP建立连接后,服务器先发送数据,然后客户端再发送数据的情况。比如服务器回复数据部分为00 01 12 31然后客户端发送数据部分开始两个字节为16 03,则书写格式为x00\x01\x12\x31: ^\x16\x03如下图所示:
图3-60 Misc.CustomData
· WEB.Special
有些访问无法通过TCP端口保护中的WEB插件防御检验,有需要放行时,再次填写此访问的特征,例如如果放行百度蜘蛛的访问,则填写Baiduspider,如下图所示:
图3-61 WEB.Special设置
· WEB.AuthorizePage
有些网站防御需要用到验证码,此处填写验证服务器的地址。假如我们验证服务器地址为:192.168.200.200,在该栏直接输入即可。如下图所示:
图3-62 WEB.AuthorizePage设置
主机防护参数可针对不同服务主机进行特殊参数设置,通过“设置集”将某主机设置为指定参数集,在该集中调整参数而不影响其他主机服务。如下图所示:
图3-63 主机防护参数
表3-4 流量防护策略
|
编号 |
功能 |
说明 |
|
1 |
SYN Flood保护 |
当设备下主机IP收到SYN报文数量,每秒超过次数设定值时,此设备下主机进入SYN Flood防御模式,防御模式在攻击量小于设定值一段时间后自动释放。 |
|
2 |
SYN Flood 高压保护 |
当设备下主机IP收到SYN报文数量,每秒超过次数设定值时,此设备下主机进入SYN Flood防御模式,防御模式在攻击量小于设定值一段时间后自动释放 |
|
3 |
SYN Flood单机保护 |
用于防护单IP发送频率高的攻击,当单IP发送的SYN频率超过设定值时,系统将屏蔽此IP |
|
4 |
ACK&RST Flood保护 |
当设备下主机每秒收到的ACK或者RST报文超过设定值,此设备下主机进入ACK Flood或者RST Flood防御模式,此时丢弃所有针对此IP的ACK和RST数据包,防御模式在攻击量小于设定值一段时间后自动释放 |
|
5 |
UDP保护触发 |
当设备下主机每秒收到的UDP报文超过设定值,此设备下主机进入UDP Flood防御模式,此时丢弃所有针对此IP的UDP数据包 |
|
6 |
ICMP保护触发 |
当设备下主机每秒收到的ICMP报文超过设定值,此设备下主机进入ICMP Flood防御模式,此时丢弃所有针对此IP的ICMP数据包,防御模式在攻击量小于设定值一段时间后自动释放 |
|
7 |
碎片保护触发 |
当设备下主机每秒收到的Fragment碎片报文超过设定值,此设备下主机进入Fragment Flood防御模式,此时丢弃所有针对此IP的Frag数据包,防御模式在攻击量小于设定值一段时间后自动释放 |
|
8 |
NonIP保护触发 |
当设备下主机每秒收到不常用IP协议族其他协议数据报文超过设定值,此设备下主机进入NonIP Flood防御模式,此时丢弃所有针对此IP的NonIP数据包,防御模式在攻击量小于设定值一段时间后自动释放 |
|
9 |
关闭端口触发 |
服务器未开放端口,如果每秒接受数据包数量超过设定值,则设备会拒绝此端口的连接 |
|
10 |
基线因子 |
计算主机前10天、当前小时的平均流量,作为基线流量。当流量超过平均流量x倍基线因子,主机会进入[Bline]防护,此状态不会过滤报文,只是会提示主机进入此种防护 |
基线因子计算主机前10天、当前小时的平均流量,作为基线流量,0表示关闭流量学习功能(举例 :若基线因子填“2”倍,那么主机当前流量超过了基线流量2倍,会进入[Bline]防护)
表3-5 连接防护策略
|
编号 |
功能 |
说明 |
|
1 |
TCP连接数量保护 |
· 第一个参数控制设备下主机的输入连接,默认参数设置为100000,即主机输入方向最多能建立100000个链接; · 第二个参数控制设备下主机的输出连接,默认参数设置为1000,即主机输出方向最多能建立1000个链接; · 第三个参数指当外网机器A与设备下主机B的tcp连接数量每秒超过此设定值后(默认为300),会屏蔽A对B的访问,屏蔽时间为系统防护参数中的屏蔽持续时间设置的值,默认为10000秒。 |
|
2 |
TCP连接频率保护 |
当外网机器A与设备下主机B的访问次数每秒数量超过此设定值后(默认为300),会屏蔽A对B的访问,屏蔽时间为系统防护参数中的屏蔽持续时间设置的值,默认为10000秒。 |
|
3 |
TCP连接空闲超时 |
已经建立的连接在设置时间内没有任何数据交互(默认为300秒),则重置该连接。 |
|
4 |
UDP连接数量控制 |
每个主机最多能建立100000(默认为100000)个UDP链接 |
|
5 |
UDP连接空闲超时 |
配合UDP保护使用 |
|
6 |
ICMP连接空闲超时 |
配合ICMP保护使用 |
其他防护策略:黑白名单策略,用来启用IP黑白名单策略。
全局参数中针对单个主机ip的生效。对一个地址段防护那就给这个段的所有ip分别设置防护参数。
选择“防御配置 > 规则设置”进入“规则设置”界面,该页面显示了当前设备系统中的规则,包括系统规则及用户定义规则。页面如下图所示:
图3-64 规则设置
点击<添加>按钮或者某规则的<编辑>操作,将进入规则编辑页面。点击<重置>按钮则将规则默认。点击具体规则后面的<编辑>和<删除>进行相应的操作。具体描述如下:
表3-6 过滤规则参数
|
编号 |
功能 |
说明 |
|
1 |
范围0-15,对于一台主机可适用多项规则,也可用于规则的重叠设置,通过主机状态中的规则设置集选择某台主机的生效规则。 |
|
|
2 |
控制 |
用于规则的编辑删除操作 |
|
3 |
表示该规则的协议域,如TCP,UDP,ICMP等 |
|
|
4 |
表示该规则的地址域 |
|
|
5 |
描述 |
该规则的其它细节性的描述,根据规则不同内容也不同。如果规则包含描述域,则显示该规则的描述文本 |
|
6 |
规则匹配的次数 |
“规则编辑”页面用于编辑或添加某个用户定义规则。页面如下图所示:
图3-65 规则编辑页面
表3-7 过滤规则参数
|
编号 |
功能 |
说明 |
|
1 |
设置此规则在规则列表中的位置,可通过自定义设置规则生效顺序 |
|
|
2 |
此规则以文本形式描述,使用户快速理解规则的用途 |
|
|
3 |
指定该规则匹配的报文的长度范围 |
|
|
4 |
此项不填写,表明此规则匹配所有的本地地址; 此项可以指定一个地址的范围用于规则的本地地址匹配, 如“192.168.1.1-192.168.1.255”; |
|
|
5 |
此项不填写,表明此规则匹配所有的远程地址; 此项可以指定一个地址的范围用于规则的本地地址匹配, 如“192.168.1.1-192.168.1.255” |
|
|
6 |
指示规则匹配的报文的协议类型,其中TCP、UDP及ICMP协议将各自激活相应的系列规则设置。 |
|
|
7 |
本地端口/远程端口 |
可指定的端口类型可以为单一端口,如“80”;也可为端口范围,如“135-445”;还可以为离散端口,如“7000, 7100, 7200” |
|
8 |
TCP标志位 |
TCP协议设置的特定域,指示规则匹配报文的TCP标志,包括FIN,SYN,RST,PSH,ACK,URG |
|
9 |
TCP窗口大小 |
针对数据包的win值大小的设置 |
|
10 |
ICMP类型/ICMP代码 |
ICMP协议设置的特定域,指示规则匹配报文的ICMP数值。 |
|
11 |
指定规则匹配包含的关键字。可以是单一关键字,如“haha”;也可以是一组关键字,如“haha heihei hoho”;如果关键字包含不可见字符,还可以通过“\”进行代码转义,如“\a8\aa”。并可通过“顺序匹配”和“忽略大小写”来自定义需要匹配内容。 |
|
|
12 |
指示该规则匹配的数据流方向,在旁路版本情况下,由于服务器回复的数据包不走清洗设备,因此在方向选择中只有接收方向。 |
|
|
13 |
规则行为 |
指示该规则被某个报文匹配后,将对该报文所做的处理,包括过滤、拦截、放行、屏蔽和报文频率限制,并且还可以在规则匹配的同时在日志记录中产生一条日志。 屏蔽:拦截流量,针对TCP协议,攻击源会被加入屏蔽列表。 拦截:拦截流量 过滤:跳过规则匹配模块,继续匹配全局参数中的防护阈值和简单流量过滤限制。 放行:类似白名单 |
“规则行为”使用“频率限制”时会出现“统计ID”、“连接限制”和“访问频率”三个参数其说明如下:
统计ID:表示使用第几个统计索引,值是0-15。超过15的值会按16取模,而且客户端访问超出第二和第三是连接限制和频率限制阈值后会造成屏蔽,ID<16则只是限制客户端访问不屏蔽。
选择“防御配置 > TCP端口保护”进入“TCP端口保护”界面,该功能提供了针对每个端口的独立设置参数,用户可根据某种端口的服务类型更改相应的处理策略。页面如下图所示:
图3-66 TCP端口保护
表3-8 TCP端口保护
|
编号 |
功能 |
说明 |
|
1 |
端口保护设置集 |
范围0-15,对于一台主机可适用多项端口防护设置,也可用于同一端口的重叠设置,通过主机状态中的TCP端口保护集选择某台主机的生效端口防护。 |
|
2 |
端口起始/终止 |
显示设置防护的端口范围,默认针对“0-65535”端口进行防护 |
|
3 |
显示设置端口的连接攻击检测频率数值,max表示无限大 |
|
|
4 |
显示设置端口的连接数量限制数值,max表示无限大 |
|
|
5 |
显示设置端口的踢出/探测权重的数值 |
|
|
6 |
防护插件 |
显示设置端口启用的防护模块类型,default为默认防护 |
|
7 |
显示设置端口启用的防护标志有哪些,默认仅启用“超时连接”模式 |
|
|
8 |
提交 |
添加TCP端口保护设置 |
|
9 |
“默认”系统使用默认端口保护设置 |
图3-67 添加TCP端口保护
表3-9 TCP端口防护参数
|
编号 |
功能 |
说明 |
|
1 |
端口起始/终止 |
用于设置指定端口,可以是一个端口也可以是一个端口范围 |
|
2 |
用于自动启用TCP防护插件。设置该参数后,当主机与该端口范围的TCP连接频率超过设置数值,该主机将自动进入TCP防护模式,设置的插件将被启用,当连接频率小于该数值后一段时间,该主机将自动取消TCP防护模式。 |
|
|
3 |
限制每个客户端允许与主机建立的连接数量,超出设置数量该连接被屏蔽 |
|
|
4 |
踢出/探测权重 |
数值累计式限制每个客户端允许与主机建立连接的数量,超出设置限制该连接被屏蔽。 旁路部署模式下,由于从server返回client的流量不经过设备,因此服务器踢出功能是不起作用的。 |
|
5 |
用于设置指定协议类型,可设定接收或拒绝某端口的访问协议。如对于某些需要拒绝HTTP协议的端口(如受代理攻击的某些游戏),则应该在协议类型里选择HTTP,然后不选择“接受协议”,则该端口将拒绝HTTP协议的访问,相反如果选择了“接受协议”则表示接受HTTP协议。 |
|
|
6 |
超时连接 |
设置超时连接标志后,此端口建立的连接如果持续一段时间保持空闲,则该连接将被重置以释放资源。此种策略对于某些应用可能造成连接数据中断的情况,此时应把相应端口设为禁止屏蔽。 |
|
7 |
延时提交 |
设置此选项的端口,系统将无限缓存该连接,除非客户端有数据发送,或者该连接被重置 |
|
8 |
超出屏蔽 |
设置超出屏蔽后,客户端在此端口进行的访问如果连接数大于连接限制设置的数值,则此客户端将被加入黑名单而屏蔽 |
|
9 |
域名审计 |
设置启用域名管理黑、白名单策略 |
|
10 |
接受协议 |
可用于设置各端口指定接受的协议类型 |
|
11 |
防护插件&参数 |
动态验证(WEB Service Protection) 游戏保护(Game Service Protection) Misc插件防御 DNS插件 |
· 协议定义:
在“TCP端口保护”页面点击上方<协议>按钮,会出现协议定义界面,利用正则表达式定义协议特征,此数据为建立TCP三次握手后,由客户端首先发送的数据特征,如下图:
图3-68 协议定义
· 防护插件&参数
TCP端口防护模块是针对特殊应用而开发的防护手段,主要包含四种:
动态验证策略是H3C安全产品管理平台适用于WEB服务的一种防护方案,是针对目前愈演愈烈的CC-HTTP Proxy类攻击而开发的。应用此种策略的端口,系统将对进入的HTTP请求进行验证操作,确保该请求来自正常的客户访问行为,而非正常的访问行为(如通过代理进行攻击等)将被加入黑名单进行屏蔽;动态验证模块,只对设置了WebCC保护模式的主机采用该验证策略,没有设置该保护模式的主机不受影响。
H3C安全产品管理平台使用WEB Plugin来对HTTP类攻击进行防御。当客户端访问服务器时,WEB Plugin会返回脚本让客户端进行计算,然后客户端返回计算结果,如果结果正确,则通过插件验证,将该客户端列入正常的用户列表,如果结果错误,则屏蔽此客户端IP,攻击者无法解析脚本,无法完成验证码的计算。
设置界面如下:
图3-69 添加web插件
防御模块中选择WEB防御插件,参数一共有6组,后面的模块参数这里填写的是格式是模块参数:X1 X2 X3 X4 X5 X6,每组参数的意义如下:
参数1:启用的验证模式。取值范围是:0~7时是对文字进行验证,取值范围是256~263时表示对所有类型的页面进行验证,各项取值对应解释。
· 0或256:不执行跳转过程
· 1或257:一般验证模式,不需要手工干预。
· 2或258:复杂验证模式,不需要手工干预。
· 3或259:严格验证模式,打开网页时会出现点击进入的对话框,手工点击进入。
· 4或260:完美验证模式,需要配合验证服务器进行验证。
· 5或261:使用http的302和307进行验证 。
· 6或262:多种脚本运行方式,随机选择一种生成验证脚本。
· 7或263:设备返回验证码,客户端浏览器输入验证码通过验证。
参数2:对同一个页面的请求次数,如果超过此设定值,则该客户端将被屏蔽。
参数3:监测服务器回应,若超过此数值没有304 Not Modified,则执行一次异常。
参数4:脚本使用gzip压缩开关
参数5:语言选择 0 中文,1 英文在设参数3或259时,浏览器会显示一个 click to continue 或 点击继续访问 。
· 显示 "点击继续访问"
· 1> 显示 "click to continue"
参数6:对HTTP GET 挎包检测,默认为30s,若设置时间内未能验证通过,则客户端将被屏蔽。
· 游戏保护
对于刷端口攻击,很多攻击器都是对同一个端口频繁建立连接。因此插件判断某个客户端是否打开若干个服务器端口,若只对同一个端口频繁连接,则会屏蔽该客户端。
对于游戏应用来说,服务器回应的数据比客户端发送的数据要大很多,因此该插件还会判断客户端同服务器之间的数据比例,如果比例无法达到设定值,则会屏蔽该客户端。
对于传奇假人攻击,插件会在玩家登录30秒后发送验证码对话框,玩家若无法完成验证码的输入,则会被断开连接。次数过多则会被屏蔽。
参数设置如下图:
图3-70 添加Game防护插件
根据参数防护严格程度依次加强的顺序列出了下列三组推荐参数,每组参数中有4这个参数值。
5 10 500 100 简单防护。
10 20 1000 300 中等防护。
5 10 1000 300 严格防护。
每个参数值的意义如下:
参数 1 :客户端连接次数
参数 2 :客户端发送的报文数
参数 3 :客户端发送的字节数(数据部分长度)
参数 4 :服务器端需要做的回应字节数(数据部分长度)
正常情况下客户端如果达到参数1/参数2/参数3此数值三者其一,服务器必须要回应参数4中字节的数据。如果客户端达到了参数1/参数2/参数3这个限制,但是服务器没有回应参数4中字节数据,那服务器认为此数据异常不做回应,设备把这种情况当成异常,会屏蔽这个客户端IP。如果服务器回应数据超过参数4中字节的数据,这个IP会被认为是可信,对此客户端数据进行放行。
· Misc插件防御
Misc插件主要用于防护游戏,Misc插件可以自定义回复数据,分为两种情况,第一种为默认:0-ftp,1-smtp,2-pop3。第二种是自定义:10-17,是8组自定义回复策略,用于检测双向发送数据,需要在系统环境变量里,设置Misc.customdata,可以设置最多8组,设置如下:
图3-71 添加Misc防护插件
参数中的10代表Misc Custom中的第一组数据,如下图所示
图3-72 系统变量设置
此时代表建立连接后服务器先发送固定数据,为00011231,然后客户端回应数据的开始两个字节为1603。如果建立三次握手后,不符合设置数据格式,将被屏蔽。
· DNS插件
DNS防护插件防御,如下图所示,开启TCP 53端口的DNS插件防御,有的客户端也可以用TCP的53端口进行DNS解析,所以建议TCP 的53端口也开启DNS插件防御:
图3-73 添加DNS防护插件
普通防御,设置为参数10 1即可。
参数1:表示设备可以每秒代理回应多少个DNS查询请求,一般设定值为1-10。表示1万到10万。
参数2:是否验证DNS的反向查询请求,如果设置0表示不验证DNS的反向查询,如果设置1表示验证DNS反向查询请求
开启TCP插件防御有两种方式,一种是在攻击频率检测处填写一个数值,当TCP新建连接达到此值时,将自动开启TCP插件防御,当连接数低于此值一段时间后,TCP插件防御将取消,如下图:
图3-74 攻击频率检测
另一种方式是在主机设置中的防护插件中选择相关插件,这样则手工开启TCP防御插件,如下图:
图3-75 手动选择防护插件
实际主机业务的端口和业务类型设置不同的端口保护参数设置集,每个主机可以选择0-15六个端口防护集,通常给同一类型的业务主机放到一个端口防护集中。比如说,主机A和主机B都是做网站业务的,端口都是80,那可以给这两个主机放到同一个tcp端口保护集中设置相同的防护参数”
选择“防御配置 > UDP端口保护”进入“UDP端口保护”界面,该功能提供了针对每个端口的独立设置参数,用户可根据某种端口的服务类型更改相应的处理策略。页面如下图所示:
图3-76 UDP端口保护
表3-10 UDP端口保护
|
编号 |
功能 |
说明 |
|
1 |
端口保护设置集 |
范围0-15,对于一台主机可适用多项端口防护设置,也可用于同一端口的重叠设置,通过主机状态中的UDP端口保护集选择某台主机的生效端口防护。 |
|
2 |
端口起始/终止 |
显示设置防护的端口范围,默认针对“0-65535”端口进行防护 |
|
3 |
攻击频率检测 |
显示设置端口的连接攻击检测频率数值,max表示无限大 |
|
4 |
报文频率限制 |
每秒NewUDP报文数达到设定值,屏蔽客户端访问,max表示无限大 |
|
5 |
防护插件 |
显示设置端口启用的防护模块类型,default为默认防护 |
|
6 |
防护模式 |
显示设置端口启用的防护标志有哪些,默认仅启用“开放端口”模式 |
图3-77 添加UDP端口保护
添加UDP端口保护中的各项参数除了防护模式外,其他含义同“TCP端口保护”设置页面相同。
防护模式:防护模式有四种:开放端口、同步连接、延时提交、验证TTL。
· 开放端口:指设备会允许此端口的连接,如果没有选,设备就拦截外网进来的连接此端口的数据。
· 同步连接:若攻击源IP地址在此端口(或范围)与防护主机有TCP连接,才会接受UDP数据包,否则拦截。
· 延时提交:此选项只有在防护主机处于[UDP]保护状态下才生效,即如果主机处于[UDP]保护状态下,客户端发过来的第一次DNS请求会被丢弃,再次请求则会成功。
· 验证TTL:检测UDP包中的TTL值是否不一样(对UDP数据的IP头部TTL进行统计,如果某个数值的TTL频率过高会进行屏蔽,可在一定程度上防御UDP类攻击)。此选项只有在防护主机处于[UDP]保护状态下才生效。
· DNS防护插件
DNS防护插件防御,如下图所示,开启UDP 53端口的DNS插件防御,有的客户端也可以用TCP的53端口进行DNS解析,所以建议TCP 的53端口也开启DNS插件防御,方式和UDP的一样。
图3-78 添加DNS防护插件
模块参数中的参数的意义:
第一个参数:为同时只回应参数*10000个查询,比如上图中,同时只回应100000个回应。
第二个参数:为空或者1,1表示禁用反向dns解析信任机制。
开启此插件后,客户端的DNS查询都会被强制使用TCP进行查询,此时就需要服务器端支持TCP的53端口DNS查询。
备注: DNS防护插件在设置了攻击频率参数和开放端口的情况下,攻击报文达到该攻击频率之后,无法触发该DNS插件生效;一定要勾上一个其他UDP端口保护的选项如延时提交等才能生效
· 添加UDP App Protection防护插件
图3-79 添加UDP App Protection防护插件
UDP App Protection防护插件是我司独有的一种能够有效防护纯UDP类型攻击方法。此防护方法需要通过变量设置模块和UDP App插件结合使用。
模块参数:此参数取值范围为1-1024,此参数对应配置文件udpfilter.Data里index值,例如index值为1,模块参数也设置1
开启UDP插件防御有两种方式,一种是在攻击频率检测处填写一个数值,当收端口每秒接收到到UDP数达到此值时,将自动开启UDP插件防御,当连接数低于此值一段时间后,UDP插件防御将取消,如下图:
图3-80 攻击频率检测
另一种方式是在主机设置中的防护插件中选择相关插件,这样则手工开启UDP防御插件,如下图:
图3-81 手动勾选防护插件
自动开启UDP防护插件时,除需要勾选上“开放端口”参数外还需要勾选“延时提交”或者“验证TTL”中的任何一个参数。
黑白名单针对客户端,也就是源。比如某个公网IP地址被加黑,那么这个IP地址的流量经过设备会直接被拦截。如果IP地址被加白,那么该地址的流量经过AFC设备直接放行,不受阈值、规则等策略约束。
选择“防御配置 > 黑白名单管理”进入“黑白名单管理”模块页面,可直接将IP加到黑名单和白名单。页面如下图所示:
图3-82 黑白名单管理
· 添加单个黑白名单
点击<添加>按钮,在地址栏填写已知异常IP地址,然后选择对应标志即可,如下图:
图3-83 添加黑名单
· 批量导入黑白名单
或者通过txt文本上传黑白名单,可由客户自行设置,但文档编码格式需为UTF-8。点击<选择文件>,选择编辑好的文本文档,再点击导入即可。导入的文本格式如下图所示:
图3-84 黑白名单文件
-2.2.2.2表示把2.2.2.2这个IP添加到黑名单,+1.1.1.1表示把1.1.1.1这个IP添加到白名单。
域名黑白名单是针对客户内网主机的防护,比如对外提供web服务等。公网访问域名最终访问到的是被防护的主机。如果某域名被配置为黑名单,相当于这个域名不对外提供服务;如果域名被配置为域名白名单,这种情况主要应用在IDC里,主要是对于备案的域名加到白名单里,其他没有备案的域名,就直接拦截。非白即黑。
选择“防御配置 > 域名管理”进入“域名管理”界面,该界面可以设置域名的黑名单和白名单,页面如下图所示:
图3-85 域名管理
· 添加单个域名黑白名单
点击<添加>按钮,在地址栏填写已知异常域名,然后选择对应标志即可,如下图:
图3-86 添加单个域名黑名单
· 批量导入域名黑白名单
或者通过txt文本上传黑白名单,可由客户自行设置,点击选择文件,选择编辑好的文本文档,再点击导入即可。导入的文本格式如下图所示:
+222.com表示把222.com这个域名添加到白名单,-www.baidu.com表示把www.baidu.com这个域名添加到黑名单。
添加多级域名时域名格式为“.baidu.com”,此时域名会匹配到www.baidu.com、news.baidu.com等。
· 自动收集域名
设备域名管理功能除可以添加黑白名单外还可以自动收集域名。在设备“全局参数”→“系统变量设置”页面,当“DomainAudit.AuditMode”参数设置为3或者11时,不在域名管理内域名会自动添加。如下图所示:
图3-88 域名黑白名单文件
1、导入新的域名文档后会把现有的域名列表给覆盖掉,这一点还请注意,以免造成不必要的麻烦。
2、导出域名列表时,自动收集到的域名不会被导出。
选择“防御配置 > 牵引管理”进入“牵引管理”界面,牵引管理功能是用于配置黑洞路由,当主机受到的攻击流量超过设定值后,设备会向上层核心设备发送黑洞路由命令,被攻击的主机的流量会在上层核心设备中被牵引到黑洞。此功能有效的避免了设备带宽被堵塞的情况。牵引管理界面包括“牵引列表”、“牵引历史”和“牵引配置”图下图所示:
图3-89 牵引管理
地址:此处填写需要手动牵引的IP;
自动解封时间:指手动牵引某个IP后,自动取消牵引的时间;
手动牵引:填写好需要牵引的IP和自动解封时间后,点击<手动牵引>按钮即执行手动牵引操作;
命令日志:指执行牵引命令的日志。
牵引列表中牵引信息如下:
地址:当前处于黑洞牵引的IP;
开始时间:指执行牵引时间;
剩余时间:指此时间之后将自动释放牵引;
取消:指手动取消牵引。
牵引历史记录主机被牵引的历史记录,记录了主机被牵引的开始时间,牵引结束时间以及牵引释放方式。如下图所示:
图3-90 牵引历史
牵引配置界面是设置牵引策略以及牵引命令。如图所示:
图3-91 牵引配置
异常流量牵引:指是否开启流量牵引功能;
流量限制模式牵引:指是否开启流量限制模式牵引;
主机牵引告警:指是设置当主机流量被牵引后是否发送告警邮件;
全局总流量:指设备接收的总流量;
批量牵引主机:指触发全局总流量后,设备批量牵引的主机个数;例如参数设置为3,即设备总流量触发全局总流量后,会牵引流量前3名的主机流量。
触发流量:设置流量达到多少Mbps后执行牵引脚本;
释放方式:包括牵引超时和牵引状态,牵引超时指执行牵引脚本后多长时间后释放牵引,牵引状态:指根据主机防护状态消失后释放牵引;
ACL规则范围:指将牵引命令应用到响应的交换机ACL中
牵引脚本:目前牵引脚本支持TELNET和HTTP两种。
异常流量牵引功能是用来和上层路由器或交换机联动的。如果某个主机的攻击流量过大,影响AFC和下层整体带宽,可以通过AFC的牵引功能登录(比如ssh方式,需要预先设置好牵引命令)上层大带宽的交换机,通过静态黑洞路由将这个ip的流量牵引到null0口,使得大流量攻击在上层就被拦截,不影响下层的主机带。异常流量牵引是针对单个主机ip的流量,达到后就执行牵引路由黑洞命令,如果“全局总流量”有设置参数,需要整台设备达到“全局总流量”、单台主机流量达到“触发流量阈值”才会执行牵引。流量限制模式牵引功能一样,区别在于这个参数触发的是主机状态---主机设置中的流量限制参数(需要勾选流量超出屏蔽)。
“变量导入”是我公司为防护用户UDP业务遭受到UDP攻击而开发的功能。此功能前提是用户业务为纯UDP数据业务(用户业务不能带有TCP数据),且客户端发起UDP请求后,服务器每次回的第一个数据包相同。如果不同则不可使用此防护功能。
选择“防御配置 > 变量导入”进入“变量导入”界面,变量导入功能结合UDP端口防护中UDP App Protection防护插件一起使用。
变量配置文件“udpfilter.Data”配置方法:
步骤1 设置索引值
设置配置文件索引值(例如:1),格式:index = {1}。
同一个IP可能有多个业务端口,如果每个业务端口回的数据包各不一样,那么有几个端口就要写几个索引值。
步骤2 设置appname
设置配置文件appname(例如:183.2.225.21:cs:27333),
格式:appname = {183.2.225.21:cs:27333}。
appname是固定名词,内容可以自定义。
步骤3 设置incentent
Incentent值指“客户端发送第一个数据包”可以在wireshark中跟踪UDP流查看。
复制客户端第一次请求的数据内容到配置文件incentent内容。格式:incentent ={TSource Engine Query}。
步骤4 步骤四:设置outcentent
选择“显示和保存数据为(例如:C Arrays)”→复制服务器回复的两个数据包内容。格式:outcentent = {内容}。
步骤5 设置respondcentent
右键点击“客户端发送第二个数据包”
可以在wireshark中跟踪UDP流查看。
复制客户端对第一服务器回应的数据的确认包到respondcentent内容。格式:respondcentent = {getchallenge valve}。
步骤6 形成变量文件并保存
1.“char peer0_0[]”表示客户第一次请求数据包,“char peer1_0[]”和“char peer1_1[]”表示服务器回应的两个数据包;
2.“incentent”里的数据就是客户端发送的第一个包;
3.“outcentent”里的数据就是服务器回应两个包的数据;
4.“respondcentent”里的数据是在连接游戏的时候,客户端对服务器第一次回应的两个数据包的确认;
步骤7 导入配置文件
在“防御配置 > 变量导入 > 浏览”中选择配置文件“udpfilter.Data”,点击<导入>。
步骤8 添加UDP App Protection防护插件(见UDP端口防护)
步骤9 在主机配置界面勾选UDP App Protection防护插件
图3-92 勾选UDP App Protection防护插件
设置完成后当用户业务有UDP攻击时,设备会代理向客户端回复数据包,这样攻击包就会被全部过滤。
选择“系统管理 > 集群管理”进入“集群管理”界面,本页面用于设备集群系统的配置及启动,考虑到集群模式安装的对网络的影响范围,本页面建议由H3C售后技术人员配置。页面如下图所示:
图3-93 集群管理
· 集群管理:集群管理中分为同步接口设置与同步地址配置两个步骤,需要先将数据端口转换成同步端口,再配合集群地址一同设置启动才可生效,设备目前支持32台设备集群。
· 热备配置:本设备提供了双机热备份功能,即在同一个网络节点使用两个配置相同的设备,设置主-备模式实现数据自动切换,保证网络正常使用。
¡ “启用主备模式”:勾选此项后则说明两台设备是热备部署而不是集群部署;
¡ “主激活模式”:勾选此项后,则说明本台设备为热备中的主设备;
¡ “多路激活模式”:指允许主备集群中存在多个处于激活状态的系统;
¡ “任一链路异常则切换”:指设备上任一一条链路出现异常情况,则执行主备切换;
¡ “备用模式下断开网络接口”:指处于备用状态下的设备业务端口处于down状态;
¡ “激活状态超时”:若在此设置间隔内,若没有检测到任何有效数据或测试地址之间的回应,则切换到备用模式
¡ “备用状态超时”:设备处于备用模式情况后,若在此设置间隔内无其他设备处于激活状态,则本设备会再次进入激活状态,以检测链路是否恢复;
¡ “上行链路检测地址”:用于检测链路是否正常的上行链路地址,需要指出Icmp echo及回应;
¡ “下行链路检测地址”:用于检测链路是否正常的下行链路地址,需要指出Icmp echo及回应。
¡ 主设备切换为备设备后,备设备会变为主设备。之前的主设备正常后,不会再次切换。
选择“系统管理 > 设备管理”进入“设备管理”界面,该页面提供了一个对设备硬件相关的配置接口。页面如下图所示:
图3-94 设备管理
在“设备管理”界面可以对设备系统的网卡接口的地址进行配置,输入项表示为设备的数据入口,输出项表示为设备的数据出口,数据输入口和数据输出口上的IP地址不可以作为管理地址;而其它项均为设备的配置接口,用户可更改这些网卡的IP地址,方便访问。同时,还可将某些网卡接入外网,并配置外网IP地址,这样就无须控制机的中转;
在 “设备管理”列表底部,设备接口栏目填写,如图:
Eth1添加接口地址172.16.11.76
Eth1删除接口地址172.16.11.76
· 链路聚合配置:
如果两个接口配置同样的IP地址,这两个接口就会默认聚合,从cli命令行查看这两个接口将会生成一个新的相同的地址。如下图所示:
图3-95 将接口地址该为相同
图3-96 通过CLI界面查看接口MAC
选择“系统管理 > 路由协议”进入“路由协议”界面,“路由协议”功能只有当设备系统版本为旁路时存在。通过该功能就可以在设备web界面配置多种路由协议,支持各种路由配置的导入与导出,从而不需要通过telnet分别登录到设备管理地址的不同接口进行配置。目前主要支持的路由协议有Static Routes、RIPv1/RIPv2、RIPNG、OSPFv2、BGP v4+、OSPFv3、MPLS、IS-IS。如下图所示:
图3-97 路由协议
此处以导入BGPv4+路由配置为例介绍路由配置信息导入方法:
步骤1 开启Static Routes和BGPv4+
分别点击路由协议Static Route和BGPv4+后面的开启按钮。
步骤2 编写BGPv4+配置命令
通过文本文件编写设备与交换机之间的BGP路由的配置命令,并把编写好的文本文件保存为.conf文件。如下图所示:
图3-98 BGPv4+配置命令
步骤3 导入BGPv4+配置命令
配置命令编写好后,可以点击web界面上路由协议为“BGPv4+”后面的“选择文件”按钮,选择之前配置好的BGP命令文件,并点击导入按钮即可。
1、关闭路由协议,将使其协议配置恢复默认。若再次开启该协议,需要重新配置或者导入配置。
2、开启路由协议,必须要开启Static Routes,否则会导致路由宣告失效。
3、重新导入配置后,会覆盖之前的路由配置。
选择“系统管理 > SNMP管理”进入“SNMP管理”界面,在SNMP用户页面,可创建、修改用于SNMP协议的用户名及相应的验证模式。页面如下图所示:
图3-99 SNMP管理
当对SNMP用户或SNMP视图页面修改后,需要在SNMP系统页面提交一次,使更改的配置生效。
步骤1 添加SNMP视图
在“视图”界面,点击<添加>按钮进入SNMP视图添加页面。如下图所示:
图3-100 添加SNMP视图
步骤2 在SNMP视图添加页面填写相关参数。例如添加视图名称为test,MIB子树为.1,点击<提交>按钮SNMP视图即添加成功。如下图所示:
图3-101 完成SNMP视图添加
步骤3 添加SNMP用户
在“用户”界面,点击<添加>按钮进入SNMP用户添加页面。如下图所示:
图3-102 SNMP用户添加界面
步骤4 在SNMP用户添加页面填写相关参数。例如SNMP版本选择版本v2c,用户名为userpblic,访问源地址为192.168.2.173,选择访问权限,视图选择刚才添加的test视图。点击<提交>按钮SNMP用户即添加成功。如下图所示:
图3-103 SNMP用户添加完成
1、只读权限表示只能通过snmp客户端读取系统中存储的OID节点信息
2、读写权限表示既可以通过snmp客户端读取系统中存储的OID节点信息,也可以通过snmp客户端修改相应OID节点信息。
步骤5 开启SNMP服务
在“SNMP服务”界面选择开启SNMP服务,并点击<提交>按钮。完成后设备的SNMP服务已经配置完成。如下图所示。
图3-104 开启SNMP服务
步骤1 点击<TRAP>按钮进入“SNMP TRAP”配置页面。如下图所示:
图3-105 SNMP TRAP配置页面
步骤2 在TRAP选项中勾选需要发送的项目内容,同时填写上接收主机地址,用户选择“用户”界面中添加的SNMP 用户。参数设置完成后点击提交按钮,即完成设备SNMP TRAP的设置。如下图所示:
图3-106 完成SNMP TRAP设置
选择“系统管理 > 时间管理”进入“时间管理”管理页面,该页面提供修改设备时间以及和时间服务器同步时间的功能,页面如下图所示:
图3-107 时间管理
修改时间方法如下:
· 手动修改系统时间
在“时间服务器”参数中填写正确的时间,例如2017年4月28日10:10:10 然后点击<提交>按钮即可。如下图所示:
图3-108 手动修改系统时间
· 添加时间同步服务器
在“时间服务器”参数中填写正确的时间同步服务器,例如ntp:192.168.2.100然后点击<提交>按钮即可。如下图所示:
图3-109 添加时间同步服务器
选择“系统管理 > 磁盘管理”进入“磁盘管理”管理页面,该界面显示了设备总的磁盘空间、已使用磁盘空间和可用磁盘空间。同时在此界面介绍了各数据占用户磁盘大小。如下图所示:
图3-110 磁盘管理
“磁盘管理”提供给用户,清除指定时间内的流量统计、攻击统计、屏蔽统计、牵引统计、日志统计和抓包统计;
“流量统计”下拉框配合过期时间选择框来使用,在流量统计下拉框选择类型,然后在右边的过期时间选项框中选择一个时间,点击<清除>按钮,可以清除所选择时间以前的此项记录的情况。例如:下拉框选择“日志统计”,时间选择2012-6-20-14-30,点击清除,就可以清除2012-6-20-14-30这个时间以前的日志记录;
· 总容量:指存储设备的总存储量;
· 已用容量:存储设备已经使用的容量;
· 可用容量:存储设备未使用的容量;
· 流量统计大小:统计流量记录,所使用的容量大小;
· 攻击统计大小:统计攻击分析记录,所使用的容量大小;
· 屏蔽统计大小:统计屏蔽分析记录,所使用的容量大小;
· 牵引统计大小:统计牵引记录,所使用的容量大小;
· 日志统计大小:指日志记录,所使用的容量大小;
· 抓包大小:数据包存储,所使用的容量大小。
选择“系统管理 > 用户组管理”进入“用户组管理”界面,在此页面用户根据需求指定不同的权限组,然后把用户分配到权限组中,使用户具有相应的权限,系统默认有四个,如下图:
图3-111 用户组管理
· 添加用户组方法如下:
步骤1 点击<添加>按钮进入用户组管理界面。如下图所示:
图3-112 添加用户组
步骤2 填写用户组名称和描述信息,选择此用户组需要的权限。点击<提交>按钮后新的用户组即添加完成。如下图所示:
图3-113 添加用户组
选择“系统管理 > 用户管理”进入“用户管理”界面,该页面具有设置用户分级管理功能,方便网络监控及管理。页面如下图所示:
图3-114 用户管理
· 添加用户组方法如下:
点击<添加>按钮,出现添加用户界面,如下图:
图3-115 添加用户
用户名:填写用户自定义名称;
密码和确认密码:填写用户自定义密码;
登录地址:指定此用户名只能通过该地址登录设备,不写为空表示该用户名可以通过任意地址登录设备。登录地址支持单个IP和IP范围;
登录方式:分为WEB和CLI两种,可以根据需要进行选择。
用户组:将该用户赋予用户组权限。
选择“系统管理 > 日志管理”进入“日志管理”界面,该界面列出系统中所有的日志项,并可按优先级分类。页面如下图所示:
图3-116 日志管理
系统日志管理中的日志列表可清晰查看设备各项操作记录,并记录设备每分钟流量、CPU和内存使用情况。
日志管理:显示详细日志时间,并记录该时间内设备的状态及操作记录。
“重要事件”记录重启信息,接口UP、DOWN等信息;
“防护事件”记录是否进入防护状态及相关防护信息;
“普通事件”记录网络使用流量、CPU和内存,以及各项操作权限所进行的操作记录。
起始时间、结束时间:选择需要查询日志的时间段。
关键字:通过关键字查询相关的日志,关键字可以是一个IP,也可以是一个词组。
日志类型下拉框:选择日志类型进行下载和查看,类型包括:全部、关键、保护、普通、未分类。
远程(日志服务器):正常情况下设备只显示最近的日志记录,如需保留全部日志,建议设置日志服务器,日志服务器的地址在“远程”选项里面设置,页面如下图所示:
图3-117 日志服务器
选择“系统管理 > 系统配置”进入“系统配置”界面,“系统配置”页面主要包括系统配置参数。如下图:
图3-118 系统配置界面
· 全局开关:包括攻击分析、归档攻击报文和屏蔽分析等功能的开关。
· 安全属性:用户规定用户名的密码复杂度。
· 告警邮件配置:配置全局告警邮件的相关参数。包括是否开启邮件告警功能,以及告警邮件的发送者邮箱地址、告警邮件接收者邮箱地址。告警邮件接收者邮件地址可以设置多个并用“,”号隔开。
· 告警阀值:列出了设备发送告警邮件的触发条件。
· 统计与存储:规定了统计数据的保存时间。
· NFS服务配置:针对NFS服务功能进行配置,配置如下:
NFS服务:开启/关闭
服务器地址:填写NFS服务器的地址
服务器目录:填写NFS设置的共享目录
服务协议:选择TCP或者UDP协议,前提需要查看NFS是否开启TCP或者UDP协议
· AAA功能:增加AAA功能,针对AAA功能进行配置,配置如下:
本地认证:即为此前认证功能。(在用户管理中新建用户,退出系统后,使用这个新建用户就可以登录系统)
外部认证:通过radius/tacacs+认证服务器认证,当使用此用户登录时,通过认证服务器认证方可登录系统,前提是认证服务器和本地都存在相同的用户名。(相同账号密码不同时,则需要输入认证服务器设置的密码)
本地认证+外部认证:当勾选本地认证和外部认证时,使用本地用户名密码和外部用户名密码都可登录。可在登录界面选择认证方式。(相同账号密码不同时,若选择本地认证,则需要输入本地的密码,若选择外部认证,则需要输入认证服务器设置的密码)
认证协议:支持radius和tacacs+两种协议
最大重传次数:当使用外部认证时,重复认证请求的最大次数(不含第一次),超过后则不在请求,界面返回登录错误
主服务器地址:即为WinRadius/tacacs+所在的主机IP地址。
从服务器地址:外部认证时当主服务器无响应时,从服务器再进行验证。(由于主服务器验证无响应,再到从服务器验证,此时登录会有3-5秒延迟)
端口:协议认证端口(radius默认为UDP1812端口、tacacs+默认为TCP49号端口)
密钥:即为NAS密钥(在radius/tacacs+上设置,本次测试所用密钥为abcdef)
外部认证测试:测试radius/tacacs+服务器上用户的是否可用
择“系统管理 > 系统备份与恢复”进入“系统备份与恢复”界面,在该页面可以对设备的相关设置进行保存,可按接口地址、全局防护参数、TCP/UDP端口保护参数、主机配置参数、系统规则列表进行选择性保存,可选择进行规则设置的导入和导出操作,页面如下图所示:
图3-119 系统备份与恢复
注意:系统备份恢复中,无论勾选了几个项目,点击删除后,都会把所有项目的配置删除,即“删除”是针对全局的;针对备份项目去勾选某个项目,点击保存再重启后,针对去勾选的项目会恢复到默认配置。
选择“个人管理 > 用户信息”进入“用户信息”界面,该界面提供给使用者查看当前用户、此用户的角色、以及此用户可以使用的登录方式,页面如下图所示:
图3-120 用户信息
· 用户组:显示此用户所在的用户组;
· 对应权限:显示此账户拥有的详细权限选项。
提供给用户修改密码的功能,页面如下图所示:
图3-121 修改密码
· 原密码:当前用户的密码;
· 新密码:输入新密码;
· 新密码确认:再次输入新密码;
· 提交:点击提交生效;
此修改密码的功能,修改的是当前登录用户的密码。
版本信息页面显示了设备的软件版本、产品型号、产品S/N号、硬件版本信息。页面如下图所示:
图3-122 版本信息
H3C SecPath AFC 2000系列产品包含一些屏蔽列表,可以方便的根据此列表追踪攻击源被加屏蔽的原因,本章将详细介绍具体屏蔽原因和触发防护参数的对应关系。
图4-1 屏蔽说明
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
