- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
16-攻击检测与防范配置
本章节下载: 16-攻击检测与防范配置 (152.03 KB)
目 录
攻击检测及防范是一个重要的网络安全特性,它通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行一定的防范措施,例如输出告警日志、丢弃报文、加入黑名单或客户端验证列表。
设备能够检测单包攻击、扫描攻击和泛洪攻击等多种类型的网络攻击,并能对各类型攻击采取合理的防范措施。
设备的包过滤功能一般是通过判断TCP首个分片中的五元组(源IP地址、源端口号、目的IP地址、目的端口号、传输层协议号)信息来决定后续TCP分片是否允许通过。RFC 1858对TCP分片报文进行了规定,认为TCP分片报文中,首片报文中TCP报文长度小于20字节,或后续分片报文中分片偏移量等于8字节的报文为TCP分片攻击报文。这类报文可以成功绕过上述包过滤功能,对设备造成攻击。
为防范这类攻击,可以在设备上配置TCP分片攻击防范功能,对TCP分片攻击报文进行丢弃。
字典序攻击是指攻击者通过收集用户密码可能包含的字符,使用各种密码组合逐一尝试登录设备,以达到猜测合法用户密码的目的。
为防范这类攻击,可以在设备上配置Login用户延时认证功能,在用户认证失败之后,延时期间不接受此用户的登录请求。
设备上开启TCP分片攻击防范功能后,能够对收到的TCP分片报文的长度以及分片偏移量进行合法性检测,并丢弃非法的TCP分片报文。
如果设备上开启了TCP分片攻击防范功能,并应用了单包攻击防范策略,则TCP分片攻击防范功能会先于单包攻击防范策略检测并处理入方向的TCP报文。
(1) 进入系统视图。
system-view
(2) 开启TCP分片攻击防范功能。
attack-defense tcp fragment enable
缺省情况下,TCP分片攻击防范功能处于开启状态。
Login用户登录失败后,若设备上配置了重新进行认证的等待时长,则系统将会延迟一定的时长之后再允许用户进行认证,可以有效地避免设备受到Login用户字典序攻击。
Login用户延迟认证功能与Login用户攻击防范功能无关,只要配置了延迟认证等待时间,即可生效。
(1) 进入系统视图。
system-view
(2) 配置Login用户登录失败后重新进行认证的等待时长。
attack-defense login reauthentication-delay seconds
缺省情况下,Login用户登录失败后重新进行认证不需要等待。
攻击防范策略主要包括针对攻击类型指定的检测条件及采取的防范措施。
在配置攻击防范之前,必须首先创建一个攻击防范策略,并进入该攻击防范策略视图。在该视图下,可以定义一个或多个用于检测攻击的特征项,以及对检测到的攻击报文所采取的防范措施。
攻击防范的缺省触发阈值对于现网环境而言可能过小,这会导致用户上网慢或者网页打不开等情况,请根据实际网络环境配置合理的触发阈值。
(1) 进入系统视图。
system-view
(2) 创建一个攻击防范策略,并进入攻击防范策略视图。
attack-defense policy policy-number
缺省情况下,不存在任何攻击防范策略。
单包攻击防范主要通过分析经过设备的报文特征来判断报文是否具有攻击性,一般应用在设备连接外部网络的接口上,且仅对应用了攻击防范策略的接口上的入方向报文有效。若设备检测到某报文具有攻击性,根据配置将检测到的攻击报文做丢弃处理。
(1) 进入系统视图。
system-view
(2) 进入攻击防范策略视图。
attack-defense policy policy-name
(3) 开启指定类型单包攻击报文的特征检测,并设置攻击防范的处理行为。
signature detect ip-option { loose-source-routing | strict-source-routing } action drop
缺省情况下,所有类型的单包攻击的特征检测均处于关闭状态。
通过在本机应用攻击防范策略,使已配置的攻击防范策略对目的地址为本机的报文生效。
交换机产品对转发的报文下发给硬件转发,只有目的地址是本机的报文才会由软件处理,但软件处理没有攻击防范功能。因此在交换机产品上,为处理针对本机的攻击,需要通过在本机上应用攻击防范策略来实现。
(1) 进入系统视图。
system-view
(2) 配置在本机应用攻击防范策略。
attack-defense local apply policy policy-name
缺省情况下,本机未应用任何攻击防范策略。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
