- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
18-主动诱捕
本章节下载: 18-主动诱捕 (300.64 KB)
本帮助主要介绍以下内容:
· 特性简介
○ 诱捕服务器
○ 诱饵网段
○ 检测网段
○ 诱捕白名单
· 配置指南
主动诱捕是一套协同式攻击防范体制,在攻击者已经侵入内网的情况下,用于保护内网用户免遭进一步攻击。主动诱捕功能需要设备与诱捕服务器配合实现。
诱捕服务器是一种威胁感知和溯源系统,通过精心构造的仿真环境诱骗攻击者与之深度交互,分析和溯源攻击行为的同时,保护真实网络免遭攻击。
开启主动诱捕功能后,设备作为诱捕服务器的代理与攻击者交互,将攻击流量诱骗至诱捕服务器进行分析并将来自诱捕服务器的响应流量转发至攻击者。
诱饵网段用于静态诱捕。当设备检测到攻击者向该网段内的IP地址发起扫描或者任何形式的访问,无论该IP地址是否在线,设备随即进入诱捕状态,将攻击者的后续流量诱骗至诱捕服务器进行深度分析。
检测网段用于离线IP诱捕。设备持续监测向该网段发送的ARP请求,根据所处诱捕模式的不同,设备有如下两种处理流程:
· 严格诱捕模式下,设备一旦监测到攻击者发往离线IP地址的ARP请求,立即将攻击者后续发往该IP地址的流量诱骗至诱捕服务器进行深度分析。
· 非严格诱捕模式下,设备周期性地统计攻击者发往检测网段的ARP报文速率,当该速率达到ARP扫描阈值,则会将该攻击者后续发往检测网段内离线IP地址的流量诱骗至诱捕服务器进行深度分析。
诱捕白名单用于诱捕豁免,分为源地址白名单和目的地址白名单:
· 对于源地址白名单中的IP地址,设备不会对该IP地址发起的流量进行诱捕。
· 对于目的地址白名单中的IP地址,设备不会对访问该IP地址的流量进行诱捕。
· 需确保设备与检测网段链路可达。
· 在使用静态ARP表项的固定组网环境中,设备之间转发报文只需参考已有的ARP表项,无需发送ARP请求。设备在这种情况下可以开启严格诱捕模式;在ARP表项可以老化的动态组网环境中,建议不要开启严格诱捕模式。
· 对于不会响应ARP请求的设备(例如老式打印机),可以将其IP地址加入目的地址白名单中,以免正常访问设备的流量被诱捕;对于会周期性探测网络的设备(例如网管设备),可以将其IP地址加入源地址白名单中,以免其被判定为攻击者而进行诱捕。
· 如果诱饵网段或检测网段与诱捕白名单存在重合,设备将重合部分视为诱捕白名单内的IP地址进行处理;如果检测网段与诱饵网段存在重合,设备将重合部分视为诱饵网段内的IP地址进行处理。
· 如果在线IP扫描速率过大,可能对内部网络造成冲击;如果在线IP扫描速率过小,设备可能需要很长时间才能完整获悉检测网段内IP地址的在线情况。请根据实际网络环境合理配置在线IP扫描速率参数。
a. 选择“策略 > 主动防护 > 主动诱捕”。
b. 在主动诱捕页面单击“白名单”页签。
c. 单击<新建>,在新建白名单页面中配置诱捕白名单表项。
表-1 诱捕白名单配置说明
|
配置项 |
说明 |
|
IPv4地址/掩码 |
诱捕白名单表项的IPv4地址和掩码 IPv4地址不能为0.0.0.0或255.255.255.255 |
|
地址类型 |
诱捕白名单表项的类型: · 源:源地址白名单,设备不会对该IP地址发起的流量进行诱捕 · 目的:目的地址白名单,设备不会对访问该IP地址的流量进行诱捕 |
|
VRF |
诱捕白名单表项所属的VPN。缺省为“公网”,表示不属于任何一个VPN |
d. 单击<确定>,完成诱捕白名单表项配置。
2. 创建诱饵网段(可选)
a. 选择“策略 > 主动防护 > 主动诱捕”。
b. 在主动诱捕页面单击“诱饵网段”页签。
c. 单击<新建>,在新建诱饵网段页面中配置诱饵网段信息。
表-2 诱饵网段配置说明
|
配置项 |
说明 |
|
IPv4地址/掩码 |
诱饵网段的IPv4地址和掩码 IPv4地址不能为0.0.0.0或255.255.255.255 |
|
VRF |
诱饵网段所属的VPN。缺省为“公网”,表示不属于任何一个VPN |
d. 单击<确定>,完成诱饵网段配置。
3. 创建检测网段
a. 选择“策略 > 主动防护 > 主动诱捕”。
b. 在主动诱捕页面单击“检测网段”页签。
c. 单击<新建>,在新建检测网段页面中配置检测网段信息。
表-3 检测网段配置说明
|
配置项 |
说明 |
|
IPv4地址/掩码 |
检测网段的IPv4地址和掩码 IPv4地址不能为0.0.0.0或255.255.255.255 |
|
VRF |
检测网段所属的VPN。缺省为“公网”,表示不属于任何一个VPN |
d. 单击<确定>,完成检测网段配置。
4. 配置主动诱捕功能
a. 选择“策略 > 主动防护 > 主动诱捕”。
b. 在主动诱捕页面中配置主动诱捕参数。
表-4 主动诱捕参数配置说明
|
配置项 |
说明 |
|
|
主动诱捕 |
开启主动诱捕功能 |
|
|
诱捕服务器参数 |
诱捕服务器IP地址 |
诱捕服务器的服务IP地址 IP地址不能为0.0.0.0或255.255.255.255 |
|
端口号 |
诱捕服务器的服务端口 |
|
|
本地IP地址 |
设备连接诱捕服务器时使用的IP地址 IP地址不能为0.0.0.0或255.255.255.255 |
|
|
VRF |
诱捕服务器所属的VPN。缺省为“公网”,表示不属于任何一个VPN |
|
|
诱捕参数 |
严格模式 |
开启严格诱捕模式: · 严格模式:设备一旦监测到发往检测网段内离线IP地址的ARP请求,立即将后续发往该IP地址的流量诱骗至诱捕服务器进行深度分析 · 非严格模式:设备周期性地统计发往检测网段的ARP报文速率,若源自某攻击者的报文速率达到ARP扫描阈值,设备将该攻击者后续发往检测网段内离线IP地址的流量诱骗至诱捕服务器进行深度分析 |
|
在线IP扫描速率 |
设备对检测网段内IP地址发起扫描的速率 设备通过周期性扫描可获悉检测网段内IP地址的在线情况 |
|
|
ARP扫描阈值 |
ARP扫描行为的诱捕触发阈值 该阈值仅对非严格诱捕模式生效 |
|
c. 单击<应用>,完成主动诱捕功能配置。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
