• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

04-策略

目录

07-黑名单

本章节下载 07-黑名单  (225.81 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Operation_Manual/H3C_SecPath_Web_RXX60_E1185_V7-Long/04/202301/1749720_30005_0.htm

07-黑名单

黑名单

 

本帮助主要介绍以下内容:

·     特性简介

·     配置指南

特性简介

黑名单功能是根据报文的IP地址进行报文过滤的一种攻击防范特性。同基于ACL的包过滤功能相比,黑名单进行报文匹配的方式更为简单,可以实现报文的高速过滤和有效屏蔽。

黑名单可以由设备动态或由用户手工进行添加、删除,具体机制如下:

·     动态添加黑名单是与扫描攻击防范功能配合实现的,动态生成的黑名单表项会在一定的时间之后老化。当设备根据报文的行为特征检测到某特定IP地址的扫描攻击企图之后,便将攻击者的IP地址自动加入黑名单,之后该IP地址发送的报文会被设备过滤掉。

·     手动配置的黑名单表项分为永久黑名单表项和非永久黑名单表项。永久黑名单表项建立后,一直存在,除非用户手工删除该表项。非永久黑名单表项的老化时间由用户指定,超出老化时间后,设备会自动将该黑名单表项删除。

配置指南

通过配置黑名单功能可以对来自指定IP地址和地址对象组的报文进行过滤。

黑名单表项除了可以手工添加之外,还可以通过扫描攻击防范自动添加。具体来讲就是,在黑名单功能使能的前提下,若配置了扫描攻击防范策略及相应的黑名单添加功能,则可以将检测到的扫描攻击方地址添加到黑名单中。

配置IP黑名单

1.     单击“策略 > 安全防护 > 黑名单”。

2.     在“IP黑名单”页签单击<新建>按钮。

3.     手工添加IP黑名单。

表-1 IP黑名单配置

参数

说明

VRF

黑名单所属的VPN实例

可选择已创建的VRF,也可以新创建VRF。此处新建的VRF,可在“网络 > VRF”页面查看

IP地址类型

·     IPv4

·     IPv6

IP地址方向

·     源地址

·     目的地址

IP地址

黑名单的IP地址,用于匹配报文的源IP地址或目的IP地址

DS-Lite对端地址

黑名单的IPv4地址所属的DS-Lite隧道B4IPv6地址

仅当“IP地址类型”选择“IPv4”时,支持配置本参数

仅当“IP地址方向”选择“源地址”时,支持配置本参数

剩余老化时间(秒)

黑名单表项的剩余老化时间。若不配置,那么该IP黑名单表项永不老化,除非用户手动将其删除

 

4.     单击<确定>按钮,新建的黑名单会在“IP黑名单”页签显示。

5.     在“IP黑名单”页签单击<开启全局应用>按钮,“IP黑名单”页签与“地址对象组黑名单”页签下的黑名单对所有安全域生效。

配置地址对象组黑名单

1.     单击“策略 > 安全防护 > 黑名单”。

2.     在“地址对象组黑名单”页签单击<新建>按钮。

3.     手工添加地址对象组黑名单。

表-2 地址对象组黑名单配置

参数

说明

对象组类型

·     IPv4,即IPv4地址对象组

·     IPv6,即IPv6地址对象组

对象组名称

地址对象组的名称

 

4.     单击<确定>按钮,新建的黑名单会在“地址对象组黑名单”页签显示。

5.     在“地址对象组黑名单”页签单击<开启全局应用>按钮,“IP黑名单”页签与“地址对象组黑名单”页签下的黑名单对所有安全域生效。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们