登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

03-策略

目录

14-黑名单

本章节下载 14-黑名单  (360.61 KB)

14-黑名单

黑名单

 

本帮助主要介绍以下内容:

·     特性简介

     IP黑名单

     地址对象组黑名单

·     vSystem相关说明

·     使用限制和注意事项

·     配置指南

     配置IP黑名单

     批量导入IP黑名单

     配置地址对象组黑名单

特性简介

IP黑名单

IP黑名单功能是根据报文的IP地址进行报文过滤的一种攻击防范特性。根据报文过滤条件的不同,可分为源IP黑名单和目的IP黑名单。

若全局的黑名单过滤功能处于开启状态,则所有安全域上的IP黑名单过滤功能均处于开启状态。若全局的黑名单过滤功能处于关闭状态,则需要开启指定安全域上的黑名单过滤功能。

同基于ACL的包过滤功能相比,黑名单进行报文匹配的方式更为简单,可以实现报文的高速过滤和有效屏蔽。

黑名单可以由设备动态或由用户手工进行添加、删除,具体机制如下:

·     动态添加黑名单是与扫描攻击防范功能配合实现的,动态生成的黑名单表项会在一定的时间之后老化。当设备根据报文的行为特征检测到某特定IP地址的扫描攻击企图之后,便将攻击者的IP地址自动加入黑名单,之后该IP地址发送的报文会被设备过滤掉。

·     手动配置的黑名单表项分为永久黑名单表项和非永久黑名单表项。永久黑名单表项建立后,一直存在,除非用户手工删除该表项。非永久黑名单表项的老化时间由用户指定,超出老化时间后,设备会自动将该黑名单表项删除。

地址对象组黑名单

地址对象组黑名单是基于地址对象组进行报文过滤的一种攻击防范特性。该特性需要和地址对象组功能配合使用,由后者为其提供地址对象组和IP地址的对应关系。同IP黑名单的包过滤功能相比,地址组黑名单可以对网段进行访问控制,提高了易用性。有关对象组的详细介绍请参见“对象组”联机帮助。

vSystem相关说明

非缺省VSystem对于本特性的支持情况,请以页面的实际显示为准。

使用限制和注意事项

·     设备仅支持对导出的配置文件进行导入。

·     导出功能,仅导出指定csv格式的模板文件。

·     导入功能,导入文件大小上限为2M

·     同一时刻只允许一个用户进行导入导出的操作。

·     设备只允许引用一个IPv4地址对象组和一个IPv6地址对象组配置黑名单。

配置指南

通过配置黑名单功能可以对来自指定IP地址和地址对象组的报文进行过滤。

黑名单表项除了可以手工添加之外,还可以通过扫描攻击防范自动添加。具体来讲就是,在黑名单功能使能的前提下,若配置了扫描攻击防范策略及相应的黑名单添加功能,则可以将检测到的扫描攻击方地址添加到黑名单中。

导出功能,导出指定的csv格式文件,然后填写需要导入的IP地址,供导入时使用。导入功能,以增量的方式向当前配置文件中写入导入的配置,并会对重复的配置进行覆盖,导入过程中如果某条配置写入失败,则停止导入,并提示错误信息,且已成功写入的配置无法回退。导入文件的格式必须为.csv

配置IP黑名单

1.     单击“策略 > 主动防护 > 黑名单”。

2.     在“IP黑名单”页签单击<新建>按钮。

3.     手工添加IP黑名单。

表-1 IP黑名单配置

参数

说明

VRF

黑名单所属的VPN实例

可选择已创建的VRF,也可以新创建VRF。此处新建的VRF,可在“网络 > VRF”页面查看

IP地址类型

·     IPv4

·     IPv6

IP地址方向

·     源地址

·     目的地址

IP地址

黑名单的IP地址,用于匹配报文的源IP地址或目的IP地址

DS-Lite对端地址

黑名单的IPv4地址所属的DS-Lite隧道B4IPv6地址

仅当“IP地址类型”选择“IPv4”时,支持配置本参数

仅当“IP地址方向”选择“源地址”时,支持配置本参数

剩余老化时间(秒)

黑名单表项的剩余老化时间。若不配置,那么该IP黑名单表项永不老化,除非用户手动将其删除

备注信息

添加IP黑名单相关描述信息

 

4.     单击<确定>按钮,新建的黑名单会在“IP黑名单”页签显示。

5.     在“IP黑名单”页签单击<开启全局应用>按钮,“IP黑名单”页签与“地址对象组黑名单”页签下的黑名单对所有安全域生效。

批量导入IP黑名单

1.     单击“策略 > 主动防护 > 黑名单”。

2.     选择“IP黑名单”页签,在“IP黑名单”页面单击<导入配置>按钮,进入“导入指定配置”页面。

3.     在“导入指定配置”页面的具体配置内容如下表所示:

表-2 配置导入IP黑名单参数表

参数

说明

类型

·     IP地址

·     目的IP地址

VRF

黑名单所属的VPN实例

可选择已创建的VRF,也可以新创建VRF。此处新建的VRF,可在“网络 > VRF”页面查看

文件路径

选择需要导入文件的路径

备注信息

添加IP黑名单相关描述信息

 

4.     单击<确定>按钮,批量导入IP黑名单成功,且会在“IP黑名单”页面中显示。

配置地址对象组黑名单

1.     单击“策略 > 主动防护 > 黑名单”。

2.     在“地址对象组黑名单”页签单击<新建>按钮。

3.     手工添加地址对象组黑名单。

表-3 地址对象组黑名单配置

参数

说明

对象组类型

·     IPv4,即IPv4地址对象组

·     IPv6,即IPv6地址对象组

对象组名称

地址对象组的名称

可选择已创建的对象组,也可以新创建对象组。此处新建的对象组,可在“对象 > 对象组”对应的IPv4/IPv6地址对象组页面查看

 

4.     单击<确定>按钮,新建的黑名单会在“地址对象组黑名单”页签显示。

5.     在“地址对象组黑名单”页签单击<开启全局应用>按钮,“IP黑名单”页签与“地址对象组黑名单”页签下的黑名单对所有安全域生效。

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们