本举例是在F1000-AI-55的R8860版本上进行配置和验证的。
如图-6所示,某公司网络边界设备上的接口GigabitEthernet1/0/3与内部网络连接,接口GigabitEthernet1/0/1与外部网络连接。现有如下安全需求:
为防止外部网络对内部网络主机的SYN Flood攻击,需要在接口GigabitEthernet1/0/1所在的Untrust安全域上开启SYN Flood攻击防范。具体要求为:当设备监测到向内部服务器每秒发送的SYN报文数持续达到或超过10000时,输出告警日志并丢弃攻击报文。
1. 配置接口的IP地址并将接口加入安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/1右侧的<编辑>按钮,配置如下。
· 安全域:Untrust
· 选择“IPv4地址”页签,配置IP地址/掩码:20.1.1.1/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE1/0/3,配置如下。
· 安全域:Trust
· 选择“IPv4地址”页签,配置IP地址/掩码:30.1.1.1/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
2. 配置安全策略
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
名称:Secpolicy
源安全域:Untrust
目的安全域:Trust
类型:IPv4
动作:允许
源IPv4地址:20.1.1.0/24
目的IPv4地址:30.1.1.0/24
其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
3. 泛洪攻击防范公共配置
# 选择“策略 > 安全防护 > 攻击防范”,进入攻击防范配置页面。
# 单击<新建>按钮,参数配置如下图所示。
图-2 新建攻击防范策略
#单击<编辑>按纽,完成配置,如下图所示。
图-3 图-8 编辑泛洪防范公共配置
# 单击<确定>按钮,完成策略配置,如下图所示。
图-4 攻击防范策略列表
1. 在IP地址为20.1.1.2的主机上模拟攻击者向目的地址30.1.1.2发起大量变源端口(0-65535)的SYN报文
2. 在设备上,选择“监控 > 安全日志 > 泛洪攻击日志”,查看攻击防范日志信息
图-5 泛洪攻击日志列表
3. 双击选中的日志,查看详细信息
图-6 泛洪攻击日志详细信息
# 报文被丢弃,并产生日志信息