- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-安全防护命令
本章节下载: 05-安全防护命令 (364.10 KB)
1.1.2 anti-arp broadcast interface
1.1.3 anti-arp broadcast interval
1.1.5 anti-arp flood block-time
1.1.6 anti-arp flood threshold
1.3.3 anti-nd flood block-time
1.3.5 anti-nd broadcast interval
1.3.6 anti-nd broadcast interface
1.5.1 ip defend ip-sweep interface
1.5.2 ip defend port-scan interface
1.6.2 ip defend { synflood | udpflood | icmpflood | dnsflood } interface
1.9.3 dns-tunnel action deny blacklist
1.9.6 dns-tunnel whitelist dns-server
1.11.2 weak-passwd-detect style
1.11.3 weak-passwd-detect user-def
1.11.4 weak-passwd-detect clear-user-def
1.12.2 server-out-connect study num
1.12.3 server-out-connect policy
anti-arp broadcast命令用来开启或关闭ARP主动保护发包功能。
【命令】
anti-arp broadcast { enable | disable }
【缺省情况】
缺省情况下,关闭ARP主动保护发包功能。
【视图】
系统视图
【参数】
enable:开启ARP主动保护发包功能。
disable:关闭ARP主动保护发包功能。
【举例】
# 开启ARP主动保护发包功能。
host# configure termina
host(config)# anti-arp spoof enable
host(config)# anti-arp broadcast enable
anti-arp broadcast interface 命令用来来添加ARP主动列表。
no anti-arp broadcast interface命令用来删除ARP主动列表。
【命令】
anti-arp broadcast interface interface-name [ list ip-address mac-address ]
no anti-arp broadcast interface interface-nane [ list ip-address mac-address ]
【视图】
系统视图
【参数】
interface-name:接口名称。
ip-address:IP地址。
mac-address:MAC地址。
【使用指导】
开启接口保护后,会根据主动保护开关和主动保护发包间隔发送接口对应的IP和MAC地址的免费ARP。
【举例】
# 在ge0端口上添加IP1.1.1.1和MAC地址00:0a:0b:ac:01:11的主动保护功能。
host# configure termina
host(config)# anti-arp broadcast interface ge0 list 1.1.1.1 00:0a:0b:ac:01:11
anti-arp broadcast interval 命令用来设置主动保护发包间隔。
【命令】
anti-arp broadcast interval threshold
【视图】
系统视图
【参数】
threshold:发包间隔,取值范围1~10,单位(s)。
【举例】
# 设置ARP主动保护的发包间隔为5s。
host# configure termina
host(config)# anti-arp broadcast interval 5
anti-arp flood命令用来开启或关闭ARP flood功能。
【命令】
anti-arp flood { enable | disable }
【缺省情况】
缺省情况下,关闭ARP flood功能。
【视图】
系统视图
【参数】
enable:开启ARP flood功能。
disable:关闭ARP flood学习功能。
【举例】
# 开启ARP flood功能。
host# configure termina
host(config)# anti-arp flood enable
anti-arp flood block-time命令用来设置ARP Flood的阻断时长。
no anti-arp flood block-time命令用来取消ARP Flood的阻断时长。
【命令】
anti-arp flood block-time threshold
no anti-arp flood block-time
【缺省情况】
缺省情况下,ARP Flood阻断时长为60s。
【视图】
系统视图
【参数】
threshold:阻断时长,取值范围10~65535,单位(s)。
【举例】
# 设置ARP Flood阻断时长500s。
host# configure termina
host(config)# anti-arp flood block-time 500
anti-arp flood threshold命令用来设置ARP Flood的阈值。
no anti-arp flood threshold命令用来取消ARP Flood的阈值。
【命令】
anti-arp flood threshold threshold
no anti-arp flood threshold
【视图】
系统视图
【参数】
threshold:1秒钟内接受到的ARP数据包数量,取值范围10~10000,默认值是300。
【举例】
# 设置ARP Flood阈值为500。
host# configure termina
host(config)# anti-arp flood threshold 500
anti-arp learning-arp命令用来开启或关闭ARP学习功能。
【命令】
anti-arp learning-arp { enable | disable }
【缺省情况】
缺省情况下,关闭ARP学习功能。
【视图】
系统视图
【参数】
enable:开启ARP学习功能。
disable:关闭ARP学习功能。
【使用指导】
关闭了ARP学习后,任何报文只要不匹配IP-MAC绑定表,都将被丢弃,因此强烈建议在关闭此功能前一定要先绑定需要使用的IP-MAC。
【举例】
# 开启ARP主动学习功能。
host# configure termina
host(config)# anti-arp learning-arp enable
anti-arp spoof命令用来开启或关闭 ARP攻击防御功能。
【命令】
anti-arp spoof { enable | disable }
【缺省情况】
缺省情况下,关闭 ARP攻击防御功能。
【视图】
系统视图
【参数】
enable:开启ARP攻击防御功能。
disable:关闭ARP攻击防御功能。
【使用指导】
只有选择启用ARP防欺骗攻击后才能启用主动保护和ARP学习功能。
【举例】
# 开启ARP攻击防御功能。
host# configure termina
host(config)# anti-arp spoof enable
arp static A.B.C.D HH:HH:HH:HH:HH:HH interface { auto | INTERFACE_NAME } 命令用来添加arp邻居表条目。
no arp static A.B.C.D 命令用来删除arp邻居表条目。
【命令】
arp static A.B.C.D HH:HH:HH:HH:HH:HH interface { auto | INTERFACE_NAME}
no arp static A.B.C.D
【缺省情况】
无。
【视图】
系统视图
【参数】
A.B.C.D:IPv4 地址。
HH:HH:HH:HH:HH:HH:mac地址。
INTERFACE_NAME:接口名。
【举例】
#添加一条静态ARP。
host# configure termina
host(config)# arp static 6.6.6.6 00:11:22:33:44:55 interface auto
#删除IP地址为6.6.6.6的静态ARP。
host(config)# no arp static 6.6.6.6
display arp 命令用来查看所有arp邻居表条目。
【命令】
display arp
【视图】
系统视图
【参数】
无
【举例】
# 查看设备所有arp邻居表条目。
host# configure termina
host(config)# display arp
Codes: V - neighbor's HW address is valid S - static neighbor
-------------------------------------------------------------------------
IP address HW address Device Flags State
-------------------------------------------------------------------------
10.216.14.91 XX:XX:XX:XX:XX:XX ge0 VS STATIC
10.216.19.14 XX:XX:XX:XX:XX:XX ge0 V STALE
display arp ip { A.B.C.D | any } mac { HH:HH:HH:HH:HH:HH | any }命令用来查看单个arp表条目信息。
【命令】
display arp ip { A.B.C.D | any } mac { HH:HH:HH:HH:HH:HH | any }
【视图】
系统视图
【参数】
A.B.C.D:单个IPv4地址。
HH:HH:HH:HH:HH:HH:单个mac地址。
any:任意地址。
【举例】
#查看IP地址为6.6.6.6的ARP信息。
host# configure termina
host(config)# display arp ip 6.6.6.6 mac any
Codes: V - neighbor's HW address is valid S - static neighbor
-------------------------------------------------------------------------
IP address HW address Device Flags State
-------------------------------------------------------------------------
6.6.6.6 58:48:49:21:65:e4 ge0 VS STATIC
6.6.6.6 58:48:49:21:65:e4 ge0 V STALE
host(config)#
anti-nd flood 命令用来配置ND Flood防护攻击阈值。
【命令】
anti-nd flood threshold <10-10000>
【视图】
config视图
【参数】
threshold:阈值。
<10-10000>:阈值范围10到10000。
【举例】
# 配置ND Flood防护攻击阈值
Host# configure termina
Host(config)# anti-nd flood threshold 100
anti-nd flood 命令用来配置开启关闭ND Flood防护。
【命令】
anti-nd flood { enable | disable }
【视图】
config视图
【参数】
anti-nd:防ND攻击。
flood :ND flood攻击。
enable:使能。
disable:关闭。
【举例】
# 开启nd主动保护功能。
Host# configure termina
Host(config)# anti-nd flood enable
anti-nd flood block-time命令用来配置ND Flood防护抑制时长。
【命令】
anti-nd flood block-time <10-65535>
【视图】
config视图
【参数】
<10-65535>:抑制时长范围10-65535(秒)。
【举例】
# 配置ND Flood防护抑制时长20。
Host# configure termina
Host(config)# anti-nd flood block-time 20
anti-nd broadcast命令用来配置开启关闭ND主动保护。
【命令】
anti-nd broadcast { enable | disable }
【视图】
系统视图
【参数】
anti-nd:防ND攻击。
broadcast:广播。
enable:使能。
disable:关闭。
【举例】
# 开启nd主动保护功能。
Host# configure termina
Host(config)# anti-nd broadcast enable
anti-nd broadcast intervalt命令用来配置开启ND时间间隔。
【命令】
anti-nd broadcast interval <1-10>
【视图】
config视图
【参数】
<1-10>:时间间隔(秒)
【举例】
# 开启nd主动保护功能时间间隔。
Host# configure termina
Host(config)# anti-nd broadcast interval 5
anti-nd broadcast interface命令用来配置ND主动保护接口。
【命令】
anti-nd broadcast interface NAME [ list X:X::X:X HH:HH:HH:HH:HH:HH ]
【视图】
config视图
【参数】
NAME:接口名称
list :ND主动保护列表
X:X::X:X:添加到保护列表的IPv6地址。
HH:HH:HH:HH:HH:HH:添加到保护列表的MAC地址。
【举例】
# 配置ND主动保护接口
Host# configure termina
Host(config)# anti-nd broadcast interface ge1 list 1::1 68:68:68:11:22:33
nd check enable命令用来配置接口ND学习控制。
【命令】
nd check enable
【视图】
网络接口视图
【参数】
无
【举例】
# 开启接口ND学习控制功能。
Host# configure termina
Host(config)# interface ge5
Host(config-ge5)#nd check enable
anti-nd permac-ipcnt命令用来配置单个MAC地址对应的IP地址数。
【命令】
anti-nd permac-ipcnt NUMBER
【视图】
Config视图
【参数】
NUMBER: 每个MAC地址的ip个数,值为0(参数的默认值),则不检查;如果非0,则进行检查,范围为0-1024个。
【举例】
# 配置单个MAC地址对应的IP地址数为10个。
Host# configure termina
Host(config)# anti-nd permac-ipcnt 10
display ipv6 neighbour命令用来显示邻居表条目数。
【命令】
display ipv6 neighbour
【视图】
特权视图
【参数】
无【举例】
# 显示IPv6邻居表条目数。
Host#display ipv6 neighbour
Codes: V - neighbor's HW address is valid S - static neighbor
---------------------------------------------------------------------------------------------------
IPv6 address HW address Device Flags State
---------------------------------------------------------------------------------------------------
anti-nd reverse-check命令用来配置ND反向学习。
【命令】
anti-nd reverse-check { enable | disable }
【视图】
Config视图
【参数】
【举例】
# 配置NS报文反查。
Host# configure termina
Host(config)# anti-nd reverse-check enable
anti-nd spoof命令用来开启ND防欺骗功能。
【命令】
anti-nd spoof { enable | disable }
【视图】
Config视图
【参数】
enable:使能。
disable:关闭。
【举例】
# 开启nd防欺骗功能。
Host# configure termina
Host(config)# anti-nd spoof enable
ip defend attack命令用来配置异常报文攻击防护。
no ip defend attack命令用来删除异常报文攻击防护。
【命令】
ip defend attack { winnuke | tear-drop | land-base | tcp-flag | smurf | ping-of-death | ip-option | ip_spoof | jolt2 }
no ip defend attack { winnuke | tear-drop | land-base | tcp-flag | smurf | ping-of-death | ip-option | ip_spoof | jolt2 }
【视图】
系统视图
【参数】
winnuke:winnuke攻击。
tear-drop:tear-drop攻击。
land-base:land攻击。
tcp-flag:tcp flag攻击 。
smurf:smurf攻击。
ping-of-death:死亡之ping攻击。
ip-option:IP选项攻击。
ip_spoof:ip地址欺骗。
jolt2:jolt2攻击。
【使用指导】
· Ping-of-death: ping-of-death攻击是通过向目的主机发送长度超过65535的icmp报文,使目的主机发生处理异常而崩溃。配置了防ping-of-death攻击功能后,设备可以检测出ping-of-death攻击,丢弃攻击报文并根据配置输出告警日志信息。
· Land-Base:land-base攻击通过向目的主机发送目的地址和源地址相同的报文,使目的主机消耗大量的系统资源,从而造成系统崩溃或死机。配置了防land-base攻击功能后,设备可以检测出land-base攻击,丢弃攻击报文并根据日志配置输出告警日志信息。
· Tear-drop:tear-drop攻击通过向目的主机发送报文偏移重叠的分片报文,使目的主机发生处理异常而崩溃。配置了防tear-drop攻击功能后,设备可以检测出tear-drop攻击,并根据配置输出告警日志信息。因为正常报文传送也有可能出现报文重叠,因此设备不会丢弃该报文,而是采取裁减、重新组装报文的方式,发送出正常的报文。
· Tcp flag:TCP 异常攻击防护功能开启后,默认情况下当安全网关发现受到TCP 异常攻击后,会丢弃攻击包,并根据配置输出告警日志。
· winnuke:winnuke攻击通过向目的主机的139、138、137、113、53端口发送TCP紧急标识位URG为1的带外数据报文,使系统处理异常而崩溃。配置了防winnuke攻击功能后,可以检测出winnuke攻击报文,并根据配置输出告警日志信息。
· Smurf:这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(PING)数据包,来淹没受害主机,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。
· Ip-spoof:防护IP地址欺骗攻击,暂时用反向路由检测来实现,如果反向路由不存在或者反向路由查询结果是存在,但是该IP 为目的地址的数据包离开设备的接口和收到报文的接口不一致,则认为是攻击。
· jolt2:jolt2攻击通过向目的主机发送报文偏移加上报文长度超过65535的报文,使目的主机处理异常而崩溃。
【举例】
# 配置tcp-flag安全防护。
host# configure termina
host(config)# ip defend attack tcp-flag
ip defend ip-sweep interface命令用来配置IP扫描功能。
no ip defend ip-sweep interface命令用来删除IP扫描功能。
【命令】
ip defend ip-sweep interface interface-name threshold threshold [ block-time time-value ]
no ip defend ip-sweep interface interface-name
【视图】
系统视图
【参数】
interface-name:接口名称。
threshold:扫描阈值,单位(ms)。
time-value:阻断时长,单位(s)。
【使用指导】
IP地址扫描是指 一个源 IP 地址在规定的时间间隔 ( 缺省值为 10毫秒 ) 内将 10 个 ICMP报文发给不同的主机时,即进行了一次地址扫描。【举例】
# 在接口ge0上配置IP址扫描,阈值是10毫秒,且阻断200秒。
host# configure termina
host(config)# ip defend ip-sweep interface ge0 threshold 10 block-time 200
ip defend port-scan interface命令用来配置端口扫描。
no ip defend port-scan interface命令用来删除端口扫描。
【命令】
ip defend port-scan interface interface-name threshold threshold [ block-time time-value ]
no ip defend port-scan interface interface-name
【视图】
系统视图
【参数】
interface-name:接口名称。
threshold:扫描阈值,取值范围10~5000,单位(ms)。
time-value:阻断时长,取值范围1~600,单位(s)。
【使用指导】
端口扫描是指当一个源 IP 地址在规定的时间间隔内 (缺省值为 10毫秒 ) 将含有 TCP SYN 片段的 IP 报文或UDP报文发送给位于相同目标 IP 地址的 10 个不同端口时,即进行了一次端口扫描。
【举例】
# 在接口ge0上配置端口扫描,阈值是10毫秒,且阻断200秒。
host# configure termina
host(config)# ip defend port-scan interface ge0 threshold 10 block-time 200
ip defend 命令用来配置基于目的地址的Flood攻击。
no ip defend 命令用来删除基于目的地址的Flood攻击。
【命令】
ip defend { synflood | udpflood | icmpflood | dnsflood } startip start-ip endip end-ip threshold threshold
no ip defend { synflood | udpflood | icmpflood | dnsflood } startip start-ip endip end-ip
【视图】
系统视图
【参数】
synflood:synflood攻击。
udpflood:udpflood攻击。
icmpflood:icmpflood攻击。
dnsflood:dnsflood攻击。
start-ip:开始IP地址。
end-ip:结束IP地址。
threshold:阈值,取值范围1~100000,单位(连接数/秒)。
【举例】
# 对开始IP地址192.168.10.1和结束IP地址192.68.10.230网段配置防synflood攻击,阈值是100个连接每秒。
host# configure termina
host(config)# ip defend synflood startip 192.168.10.1 endip 192.168.10.230 threshold 100
ip defend { synflood | udpflood | icmpflood | dnsflood } interface命令用来配置基于接口的Flood攻击。
no ip defend { synflood | udpflood | icmpflood | dnsflood } interface命令用来删除基于接口的Flood攻击。
【命令】
ip defend { synflood | udpflood | icmpflood | dnsflood } interface interface-name { source | destination } threshold
no ip defend { synflood | udpflood | icmpflood | dnsflood } interface interface-name { source | destination }
【视图】
系统视图
【参数】
synflood:synflood攻击。
udpflood:udpflood攻击。
icmpflood:icmpflood攻击。
dnsflood:dnsflood攻击。
interface-name:接口名称。
source:基于源地址的flood攻击。
destination:基于目的地址的flood攻击。
threshold:阈值,取值范围1~100000,单位(连接数/秒)。
【举例】
# 在ge0口配置源地址的synflood攻击,阈值是100个连接每秒。
host# configure termina
host(config)# ip defend synflood interface ge0 source 100
ipmac命令用来配置IPMAC邦定功能。
no ipmac命令用来删除IPMAC邦定功能。
【命令】
ipmac name ip-address mac-address { unique-ip | multi-ip }
no ipmac ip-address
【视图】
系统视图
【参数】
enable:开启防护日志功能。
disable:关闭防护日志功能。
name:对象名称。
ip-address:IP地址。
mac-address:MAC地址。
unique-ip:绑定类型,指一个mac和一个ip地址唯一对应。
multi-ip:绑定类型,指一个mac地址和多个ip地址对应。
【举例】
# 配置IP地址192.168.1.1与MAC地址00:00:00:11:11:11的唯一绑定名称为abc。
host# configure termina
host(config)# ipmac abc 192.168.1.1 00:00:00:11:11:11 unique-ip
blist add命令用来新增黑名单配置。
【命令】
blist add { A.B.C.D | X:X::X:X | DOMAIN | MAC } age {TIMES | forever } { enable | disable }
【视图】
系统视图
【参数】
A.B.C.D:主机IPv4地址。
X:X::X:X:主机IPv6地址。
MAC:主机的MAC地址。
DOMAIN:创建黑名单的域名。
TIMES:老化时间,范围为1-2592000,单位:秒。
forever:永久不老化。
【使用指导】
通过配置黑名单功能可以对来自指定IP地址的报文进行过滤,黑名单表项除了可以手工添加之外,还可以通过扫描攻击自动添加。
【举例】
# 将IP地址1.1.1.1加入黑名单,加入时长设置为永久。
host# configure termina
host(config)# blist add 1.1.1.1 age forever enable
blist delete命令用来删除黑名单配置。
【命令】
blist delete { A.B.C.D | X:X::X:X | MAC | DOMAIN }
blist delete all
【视图】
系统视图
【参数】
ip-address:主机IP地址。
A.B.C.D:黑名单的IPv4地址。
X:X::X:X:黑名单的 IPv6地址。
DOMAIN:黑名单的域名。
MAC:黑名单的MAC地址。
all:删除所有的黑名单。
【使用指导】
可删除单个IP黑名单或者某个域名黑名单,可删除单个MAC黑名单,也可删除所有黑名单。当域名黑名单被删除后,其派生出来的IP黑名单也一并会被删除。
【举例】
# 删除IP地址1.1.1.1的黑名单配置。
host# configure termina
host(config)# blist delete 1.1.1.1
host(config)# blist delete www.126.com
host(config)# blist delete 00:11:22:33:44:55
host(config)# blist delete all
display blist命令用来显示黑名单信息。
【命令】
display blist [ DOMAIN ]
【视图】
任意视图
【参数】
DOMAIN:显示某个域名黑名单及其派生出来的黑名单信息。
【举例】
# 显示系统的黑名单信息。
host# display blist
IP address age leftTime reason
1.1.1.1 forever forever manual
显示www.sohu.com这个域名黑名单及其派生出来的IP黑名单
host# display blist www.sohu.com
表1-1 display blist命令显示信息描述表
|
字段 |
描述 |
|
IP address |
加入黑名单的IP地址 |
|
age |
老化时间 |
|
leftage |
剩余时间 |
|
reason |
加入黑名单的方式:有manual和auto两种方式,manual代表人为加入,auto代表自动加入 |
dns-tunnel enable命令用来启用dns隧道功能。
dns-tunnel disable命令用来禁用dns隧道功能。
【命令】
dns-tunnel enable
dns-tunnel disable
【缺省情况】
缺省情况下,默认是禁用的。
【视图】
行为模型配置视图
【举例】
# 开启dns隧道功能。
host# configure terminal
host(config)# behavior-model
host(config-behavior-model)# dns-tunnel enable
dns-tunnel action命令用来设置隧道检查动作。
【命令】
dns-tunnel action { permit | deny }
【缺省情况】
缺省情况下,默认是permit。
【视图】
行为模型配置视图
【参数】
permit:允许。
deny:拒绝。
【举例】
# 配置dns隧道检查动作为permit。
host# configure terminal
host(config)# behavior-model
host(config-behavior-model)# dns-tunnel action permit
dns-tunnel action deny blacklist 命令用来设置dns隧道添加黑名单时长。
no dns-tunnel action deny blacklist 命令用来取消dns隧道检测加入黑名单配置。
【命令】
dns-tunnel action deny blacklist <1-720>
no dns-tunnel action deny blacklist
【视图】
行为模型配置视图
【参数】
<1-720>:dns隧道添加黑名单的时长,范围为1~720,单位为小时。
【举例】
# 配置dns隧道添加黑名单时长为1小时。
host# configure terminal
host(config)# behavior-model
host(config-behavior-model)# dns-tunnel action deny blacklist 1
dns-tunnel detect-type 命令用来设置dns隧道检测方式。
【命令】
dns-tunnel detect-type { all | traffic-model | invalid-packet }
【缺省情况】
缺省情况下,默认是all。
【视图】
行为模型配置视图
【参数】
all: 所有。
traffic-model:基于流量模型进行检测。
invalid-packet:基于异常报文进行检测。
【举例】
# 配置dns隧道检查方式为基于异常报文检测。
host# configure terminal
host(config)# behavior-model
host(config-behavior-model)# dns-tunnel detect-type invalid-packet
dns-tunnel detect-level 用来配置 dns隧道检测宽松度。
【命令】
dns-tunnel detect-level { low |mid | high }
【缺省情况】
缺省情况下,默认是mid。
【视图】
行为模型配置视图
【参数】
low: 检测严格。
mid:检测适中。
high:检测宽松。
【举例】
# 配置dns隧道检查宽松度为严格检测。
host# configure terminal
host(config)# behavior-model
host(config-behavior-model)# dns-tunnel detect-level low
dns-tunnel whitelist dns-server enable 命令用来启用dns隧道域名预置白名单功能。
dns-tunnel whitelist dns-server disable 命令用来禁用dns隧道域名预置白名单功能。
【命令】
dns-tunnel whitelist dns-server enable
dns-tunnel whitelist dns-server disable
【缺省情况】
缺省情况下,默认是启用的。
【视图】
行为模型配置视图
【举例】
# 开启dns隧道功能。
host# configure terminal
host(config)# behavior-model
host(config-behavior-model)# dns-tunnel whitelist dns-server enable
dns-tunnel whitelist命令用来添加dns隧道白名单。
no dns-tunnel whitelist 命令用来删除dns隧道白名单。
【命令】
dns-tunnel whitelist A.B.C.D
no dns-tunnel whitelist A.B.C.D
【缺省情况】
无
【视图】
行为模型配置视图
【参数】
A.B.C.D: 添加到白名单的域名。
【举例】
# 配置dns隧道白名单8.8.8.8。
host# configure terminal
host(config)# behavior-model
host(config-behavior-model)# dns-tunnel whitelist 8.8.8.8
brute-force enable 命令用来配置启用防暴力破解。
brute-force disable 命令用来配置禁用防暴力破解。
【命令】
brute-force enable
brute-force disable
【视图】
系统视图
【举例】
# 启用防暴力破解功能
Host# configure terminal
Host(config)# brute-force enable
【相关命令】
display run brute
brute-force service命令用来配置防暴力破解服务。
【命令】
brute-force service { telnet |ftp | imap | pop3 | smtp | rlogin | http | oracle | mysql | postgres | mssql | all } enable
brute-force { telnet | ftp | imap | pop3 | smtp | rlogin | http | oracle | mysql | postgres | mssql | all } disable
【视图】
系统视图
【参数】
telnet:telnet服务
ftp:ftp服务
imap:imap服务
pop3:pop3服务
smtp:smtp服务
rlogin: rlogin服务
http: http服务
oracle: oracle服务
mysql: mysql服务
postgres:postgres服务
mssql :mssql服务
all:以上所有服务
enable:所选服务开启防暴力破解
disable:所选服务禁用防暴力破解
【举例】
# 配置防暴力破解服务,选择所有的服务开启防暴力破解功能。
Host# configure terminal
Host(config)# brute-force enable
Host(config)# brute-force service all enable
【相关命令】
display run brute
brute-force web enable命令用来启用web登录保护功能。
brute-force web disable命令用来禁用web登录保护功能。
【命令】
brute-force web enable
brute-force web disable
【视图】
系统视图
【举例】
#配置启用web登录保护。
Host# configure terminal
Host(config)# brute-force service http enable
Host(config)# brute-force web enable
【相关命令】
display run brute
brute-force url 命令用来配置防暴力破解的web登录保护功能。
【命令】
brute-force url URL
【视图】
系统视图
【参数】
URL:Web登录保护的url路径。
【举例】
#配置web登录防护的url路径为:/sina.html。
Host# configure terminal
Host(config)# brute-force service http enable
Host(config)# brute-force web enable
Host(config)# brute-force url /sina.html
【相关命令】
display run brute
【命令】
brute-force blist-attacker { time | enable | disable | forever }防暴力攻击者加入黑名单
【视图】
系统视图
【参数】
time:加入黑名单的时间,可设置为300、600、900、1800、3600、720、14400、28800、86400,单位为秒。
forever:加入黑名单的时间为永久。
enable:启用攻击者加入黑名单功能。
disable:禁用攻击者加入黑名单功能。
【举例】
#配置防暴力破解攻击者加入黑名单时间为5分钟。
Host# configure terminal
Host(config)# brute-force blist-attacker enable
Host(config)# brute-force blist-attacker 300
【相关命令】
display run brute
weak-passwd-detect { enable | disable } 命令用来配置启用/禁用弱密码检测。
weak-passwd-detect { telnet |ftp | imap | pop3 | smtp | all } 命令用来配置开启弱密码检测的服务。
no weak-passwd-detect { telnet |ftp | imap | pop3 | smtp | all } 命令用来配置关闭弱密码检测的服务。
【命令】
weak-passwd-detect { enable | disable }
weak-passwd-detect { telnet |ftp | imap | pop3 | smtp | all }
no weak-passwd-detect { telnet |ftp | imap | pop3 | smtp | all }
【视图】
系统视图
【参数】
enable:开启弱密码检测
disable:禁用弱密码检测
telnet:telnet服务
ftp:ftp服务
imap:imap服务
pop3:pop3服务
smtp:smtp服务
all:以上所有服务
【使用指导】
通过配置弱密码检测功能可以检测网络中所开启服务的密码是否符合密码安全要求,并对不符合密码安全要求的用户进行记录。
【举例】
# 配置弱密码检测服务为pop3
Host# configure terminal
Host(config)# weak-passwd-detect pop3
Host(config)#
【相关命令】
display running-config weak
weak-passwd-detect style 命令用来选择弱密码防护规则。
no weak-passwd-detect style 命令用来取消弱密码防护规则的选择。
【命令】
weak-passwd-detect style { null-pwd | login-as-pwd | le8-alp | le8-num | le8-let | le6-num-let | user-define | all }
no weak-passwd-detect style { null-pwd | login-as-pwd | le8-alp | le8-num | le8-let | le6-num-let | user-define | all }
【视图】
系统视图
【参数】
null-pwd:空密码。
login-as-pwd:和用户名相同的密码。
le8-alp:长度小于等于8、字典序。
le8-num:长度小于等于8、仅数字。
le8-let:长度小于等于8、仅字母。
le6-num-let:长度小于等于6、数字字母。
user-define:用户自定义密码。
【举例】
#配置弱密码检测规则为le8-num。
Host# configure terminal
Host(config)# weak-passwd-detect style le8-num
Host(config)#
【相关命令】
Display running-config weak
weak-passwd-detect user-def 命令用来配置自定义弱密码。
no weak-passwd-detect user-def 命令用来删除自定义弱密码。
【命令】
weak-passwd-detect user-def .ITEM
no weak-passwd-detect user-def .ITEM
【视图】
系统视图
【参数】
ITEM:自定义弱密码
【举例】
#配置自定义弱密码
Host# configure terminal
Host(config)# weak-passwd-detect user-def 1111
Host(config)#
【相关命令】
display running-config weak
weak-passwd-detect clear-user-def 命令用来清空用户自定义弱密码。
【命令】
weak-passwd-detect clear-user-def
【视图】
系统视图
【举例】
#清空用户自定义弱密码
Host# configure terminal
Host(config)# weak-passwd-detect clear-user-def
Host(config)#
【相关命令】
display running-config weak
server-out-connect log命令用于配置限制日志频率。
【命令】
server-out-connect log { limited | unlimited }
【视图】
系统视图
【参数】
limited:开启限制
unlimited:解除限制
【使用指导】
配置规则较弱的时候,会报大量日志,可以使用该命令限制日志发送频率。
【举例】
# 开启非法外联日志限制
Host# configure terminal
Host(config)# server-out-connect log limited
Host(config)#
【相关命令】
无
server-out-connect study num 命令用于调整非法外联自学习规格。
【命令】
server-out-connect study num { 500 | 1000 }
【视图】
系统视图
【参数】
500:最多学习500条不重复外联行为。
1000:最多学习1000条不重复外联行为。
【举例】
# 配置非法外联自学习规格为1000(默认是500)
Host# configure terminal
Host(config)# server-out-connect study num 1000
Host(config)#
【相关命令】
无
server-out-connect policy 命令用于配置非法外联规则。
【命令】
server-out-connect policy NAME server-address NAME
no server-out-connect policy NAME
【视图】
系统视图
【参数】
policy NAME:规则名称。
server-address NAME:服务器地址对象名称。
【举例】
# 配置非法外联规则
Host# configure terminal
Host(config)# server-out-connect policy xxx server-address any
Host(config-servconn-policy)#
【相关命令】
Display running-config servconn
action命令用来配置非法外联规则的处理动作。
【命令】
action { permit | deny }
【视图】
servconn-policy视图
【参数】
permit:处理动作为拒绝。
deny:处理动作为允许。
【缺省情况】
缺省情况下,默认是允许的。
【举例】
#配置非法外联规则动作
Host(config)# server-out-connect policy xxx server-address any
Host(config-servconn-policy)# action deny
Host(config-servconn-policy)#
【相关命令】
display running-config servconn
log 命令用来配置规则的日志使能禁用。
【命令】
Log { enable | disable }
【视图】
servconn-policy视图
【参数】
enable:使能日志发送。
disable:禁用日志发送。
【缺省情况】
缺省情况下,默认是使能的。
【举例】
#配置非法外联日志使能。
Host(config)# server-out-connect policy 00 server-address any
Host(config-servconn-policy)# log enable
Host(config-servconn-policy)#
【相关命令】
display running-config servconn
enable命令用来启用服务器非法外联规则。
disable命令用来禁用服务器非法外联规则。
【命令】
enable
disable
【视图】
servconn-policy视图
【缺省情况】
缺省情况下,默认规则是启用的。
【举例】
# 禁用规则00。
Host(config)# server-out-connect policy 00 server-address any
Host(config-servconn-policy)# disable
Host(config-servconn-policy)#
【相关命令】
Display running-config servconn
clear 命令用来清除该条非法外联规则的计数。
【命令】
clear
【视图】
servconn-policy视图
【举例】
# 清除规则00的计数。
Host# configure terminal
Host(config)# server-out-connect policy 00 server-address any
Host(config-servconn-policy)#clear
out-addres 命令用来配置允许服务器访问的白名单地址。
【命令】
out-address { A.B.C.D | X:X::X:X | domain } icmp { enable | disable } { no-port | tcp-ports } { no-port | udp-ports }
tcp-portsudp-ports【视图】
servconn-policy视图
【参数】
A.B.C.D:为外联ipv4地址。
X:X::X:X:为外联ipv6地址。
domain:域名地址。
enable:允许服务器访问外联地址的icmp服务。
disable:不允许服务器访问外联地址的icmp服务。
tcp-ports:可选择配置的tcp端口号。
udp-ports:可选择配置的udp端口号。
no-port:代表没有相应的端口配置。
【举例】
#配置允许服务器访问1.1.1.1的icmp服务和udp的8080端口。
Host(config)# server-out-connect policy 00 server-address any
Host(config-servconn-policy)# out-address 1.1.1.1 icmp enable no-port 8080
Host(config-servconn-policy)#
【相关命令】
display running-config servconn
display servconn 命令用来显示非法外联策略下配置的域名及从流量中学习到的域名的IP地址 及剩余老化时间。
【命令】
display servconn name domain detail
【视图】
系统视图
【参数】
name:非法外联防护策略的名称。
【举例】
#查看非法外联策略下配置的信息。
Host# configure terminal
Host# display servconn test22 domain detail
domain baidu.com
ip addr: 220.181.38.148 ; ttl: 56
ip addr: 39.156.69.79 ; ttl: 56
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
