网络安全

防火墙

简介

防火墙功能是通过一系列的安全规则匹配网络中的报文，并执行相应的动作，从而达到阻断非法报文传输、正常转发合法报文的目的，为用户的网络提供一道安全屏障。

注意事项

当报文匹配到一个防火墙安全规则后，则不会继续向下匹配，所以请合理安排安全规则的优先级，避免报文匹配错误的规则而导致执行相反动作。

配置准备

• 请提前完成外网配置页面的相关配置，才可创建防火墙安全规则。

• 若需指定防火墙安全规则的生效时间，请提前在时间组页面创建相应的时间组。

配置步骤

1. 单击导航树中[网络安全/防火墙]菜单项，进入防火墙配置页面。

图-1 防火墙安全规则

1. 点击<添加>按钮，进入创建安全规则页面。

2. 在“接口”配置项处，选择应用的接口，该规则将对指定接口接收到的报文进行匹配。

3. 在“协议”配置项处，选择该规则所匹配报文的协议类型。若需匹配某传输层协议的报文，则选择“TCP”或“UDP”；若需匹配Ping、Tracert等ICMP协议报文，则选择“ICMP”；若需匹配所有协议报文，则选择“所有协议”。

4. 在“源IP地址/掩码”配置项处，配置该规则所匹配报文发送端的IP地址及掩码，输入“any”则代表匹配所有源IP地址。

5. 在“目的IP地址/掩码”配置项处，配置该规则所匹配报文接收端的IP地址及掩码，输入“any”则代表匹配所有目的IP地址。

6. 在“目的端口”配置项处，配置该规则所匹配报文的目的端口号，例如HTTP协议报文的目的端口号为80。

7. 在“规则生效时间”配置项处，选择该规则生效时间对应的时间组。

8. 在“动作”配置项处，选择该规则所匹配报文的执行动作。

9. 在“优先级”配置项处，选择该规则的优先级类型。

   • 自动：系统自动为该规则分配优先级，即根据规则的配置顺序以5为步长进行依次分配。

   • 自定义：用户自定义规则的优先级，数值越小则优先级越高。

10. 在“描述”配置项处，配置该安全规则的描述信息。

11. 点击<确定>按钮，完成创建安全规则。

图-2 创建安全规则

DDoS攻击防御

简介

DDoS攻击是一类广泛存在于互联网中的攻击，能造成比传统DoS攻击（拒绝服务攻击）更大的危害。配置本功能能让您的设备和网络免受如下DDoS攻击的困扰：

• 单包攻击：攻击者利用畸形报文发起攻击，旨在瘫痪目标系统。例如Land攻击报文是源IP和目的IP均为攻击目标IP的TCP报文，此攻击将耗尽目标服务器的连接资源，使其无法处理正常业务。

• 异常流攻击

  • 扫描攻击：攻击者对主机地址和端口进行扫描，探测目标网络拓扑以及开放的服务端口，为进一步侵入目标系统做准备。

  • 泛洪攻击：攻击者向目标系统发送大量伪造请求，导致目标系统疲于应对无用信息，从而无法为合法用户提供正常服务。

设备可防御的DDoS攻击包括：

• 单包攻击：Fraggle攻击、Land攻击、WinNuke攻击、TCP Flag攻击、ICMP不可达报文攻击、ICMP重定向报文攻击、Smurf攻击、带源路由选项的IP报文攻击、带路由记录选项的IP报文攻击和超大ICMP报文攻击。

• 异常流攻击：扫描攻击、SYN flood攻击、UDP flood攻击和ICMP flood攻击。

攻击防御

配置步骤

1. 单击导航树中[网络安全/DDoS攻击防御]菜单项，进入DDoS攻击防御配置页面。

2. 单击“攻击防御”页签，进入攻击防御配置页面。

图-3 攻击防御

1. 点击<添加>按钮，进入新建攻击防御页面。

   • 在“应用接口”配置项处，选择应用该DDoS攻击防御策略的接口。

   • 在“单包攻击防御”配置项处，选择需要开启防御的单包攻击类型。

     建议您开启全部单包攻击防御。

   • 在“异常流攻击防御”配置项处，选择需要开启防御的异常流攻击类型。

     • 启动扫描攻击防御后，可选择将源IP地址加入黑名单。在一定时间内，来自扫描攻击源的报文将被设备直接丢弃。被加入黑名单的IP地址可在黑名单管理页面查看。

     • 建议您根据网络流量类型开启对应的泛洪攻击防御。

2. 点击<确定>按钮，完成配置。

图-4 新建攻击防御

攻击防御统计

简介

攻击防御统计功能是用来查看设备受到DDoS攻击的详情，包括攻击类型、总次数、最后发生时间、被攻击的接口/安全域，以及发生的用户IP。

配置步骤

1. 单击导航树中[网络安全/DDoS攻击防御]菜单项，进入DDoS攻击防御配置页面。

2. 单击“攻击防御统计”页签，进入攻击防御统计页面。

3. 点击<单包攻击防御>按钮，查看单包攻击的相关统计信息。

4. 点击<异常流量攻击防御>按钮，查看异常流量攻击的相关统计信息。

5. 点击<导出Excel>按钮，可将相关统计信息以Excel文件的形式导出。

图-5 攻击防御统计

黑名单管理

简介

启动扫描攻击防御后，可选择将源IP地址加入黑名单。在一定时间内，来自扫描攻击源的报文将被设备直接丢弃。

被加入黑名单的用户可在黑名单管理页面查看，该页面用来记录黑名单相关信息，包括黑名单用户、MAC地址、类型和动作。

配置步骤

1. 单击导航树中[网络安全/DDoS攻击防御]菜单项，进入DDoS攻击防御配置页面。

2. 单击“黑名单管理”页签，进入黑名单管理页面。

3. 在列表中点击黑名单用户对应的动作列图标，可将用户从黑名单中删除。

图-6 黑名单管理

连接限制

简介

连接限制功能是一种安全机制，通过限制每个IP地址主动发起连接的个数，达到合理分配设备处理资源、防范恶意连接的效果。

如果设备发现来自某IP地址的TCP或UDP连接数目超过指定的数目，将禁止该连接建立。直到该连接数低于限制数时，其才被允许新建连接。

设备支持配置如下两种连接限制：

• 网络连接限制：在指定IP地址范围内，配置每个IP地址发起连接的个数限制。此方式用于对设备上的所有接口收到的连接进行控制。

• VLAN网络连接限制：在指定VLAN接口上，配置每个IP地址发起连接的个数限制。此方式用于对指定VLAN接口收到的连接进行控制。

配置网络连接限制数

1. 单击导航树中[网络安全/连接限制]菜单项，进入连接限制配置页面。

2. 单击“网络连接限制数”页签。

3. 勾选“开启网络连接限制数”选项，进入网络连接限制数配置页面。

图-7 网络连接限制数规则

1. 点击<添加>按钮，进入新建网络连接限制数规则页面。

2. 在“起始IP地址”配置项处，输入地址范围的起始IP地址。

3. 在“结束IP地址”配置项处，输入地址范围的结束IP地址。

4. 在“每IP总连接数上限”配置项处，输入每个IP地址所允许发起连接的总个数上限。

   相同源IP，源端口、目的IP、目的端口或报文协议不完全相同的连接均属于不同的连接。

5. 在“每IP TCP连接数上限”配置项处，输入每个IP地址所允许发起的TCP连接的个数上限。您可以在上面设置的总连接限制数下，对TCP连接数进行单独限制。

6. 在“每IP UDP连接数上限”配置项处，输入每个IP地址所允许发起的UDP连接的个数上限。您可以在上面设置的总连接限制数下，对UDP连接数进行单独限制。

7. 在“描述”配置项处，输入规则描述信息。

8. 点击<确定>按钮，完成配置。

图-8 新建网络连接限制数规则

配置VLAN网络连接限制数

1. 单击导航树中[网络安全/连接限制]菜单项，进入连接限制配置页面。

2. 单击“VLAN网络连接限制数”页签。

图-9 VLAN网络连接限制数

1. 点击<添加>按钮，进入新建VLAN网络连接限制数规则页面。

2. 在“VLAN接口”下拉菜单处，选择应用此规则的VLAN接口。

3. 选择“启动连接限制功能”选项。

4. 在“每IP总连接数上限”配置项处，输入每个IP地址所允许发起连接的总个数上限。

   相同源IP，源端口、目的IP、目的端口或报文协议不完全相同的连接均属于不同的连接。

5. 在“每IP TCP连接数上限”配置项处，输入每个IP地址所允许发起的TCP连接的个数上限。您可以在上面设置的总连接限制数下，对TCP连接数进行单独限制。

6. 在“每IP UDP连接数上限”配置项处，输入每个IP地址所允许发起的UDP连接的个数上限。您可以在上面设置的总连接限制数下，对UDP连接数进行单独限制。

7. 在“描述”配置项处，输入规则描述信息。

8. 点击<确定>按钮，完成配置。

图-10 新建VLAN网络连接限制数规则

MAC地址过滤

简介

如果您希望对某些设备发送过来的报文进行限制（允许或禁止其通过），则可以在三层接口上配置MAC地址过滤功能，本功能将根据接收报文的源MAC地址对其过滤。

配置方式有如下两种：

• 白名单：允许源MAC地址在白名单内的报文通过，其余禁止通过。

• 黑名单：禁止源MAC地址在黑名单内的报文通过，其余允许通过。

MAC过滤设置

注意事项

如果您想在管理员终端连接的接口上开启MAC地址过滤功能，请先确保管理员的终端MAC地址已添加到白名单中或未添加到黑名单。

配置步骤

1. 单击导航树中[网络安全/MAC地址过滤]菜单项，进入MAC地址过滤配置页面。

2. 单击“MAC过滤设置”页签，进入MAC过滤设置页面。

3. 在指定接口的“过滤方式”区段上，选择“白名单”或“黑名单”，并在“开启和关闭”区段上勾选“开启”选项。

4. 点击<应用>按钮，开启MAC地址过滤。

图-11 MAC过滤设置

单个添加黑白名单

注意事项

单个添加黑白名单的方法相同，下面以白名单为例介绍配置步骤。

配置步骤

1. 单击导航树中[网络安全/MAC地址过滤]菜单项，进入MAC地址过滤配置页面。

2. 单击“MAC黑白名单管理”页签，进入MAC黑白名单管理设置页面。

3. 单击“白名单”页签，进入白名单设置页面。

图-12 MAC黑白名单管理

1. 点击<添加>按钮，进入添加源MAC地址页面。

2. 输入待过滤的源MAC地址。

3. 点击<确定>按钮，完成对白名单添加单个MAC地址的操作。

图-13 添加源MAC地址

批量添加黑白名单

注意事项

批量添加黑白名单的方法相同，下面以白名单为例介绍配置步骤。

配置步骤

1. 单击导航树中[网络安全/MAC地址过滤]菜单项，进入MAC地址过滤配置页面。

2. 单击“MAC黑白名单管理”页签，进入MAC黑白名单管理设置页面。

3. 单击“白名单”页签，进入白名单设置页面。

4. 点击<导出>按钮，选择“导出模板”。

5. 打开下载好的模板，添加待过滤的源MAC地址并在本地保存。

6. 点击<导入>按钮，进入导入源MAC地址页面。

7. 点击<选择文件>按钮，选择已编辑好的模板。

8. 点击<确定>按钮，完成对白名单批量添加MAC地址的操作。

修改黑白名单

注意事项

修改黑白名单的方法相同，下面以白名单为例介绍配置步骤。

配置步骤

1. 单击导航树中[网络安全/MAC地址过滤]菜单项，进入MAC地址过滤配置页面。

2. 单击“MAC黑白名单管理”页签，进入MAC黑白名单管理设置页面。

3. 单击“白名单”页签，进入白名单设置页面。

4. 点击MAC地址项的<编辑>图标，进入修改源MAC地址页面。

5. 添加新的MAC地址，并点击<确定>按钮，完成编辑修改。

图-14 修改源MAC地址

ARP攻击防御

简介

ARP协议本身存在缺陷，攻击者可以轻易地利用ARP协议的缺陷对其进行攻击。ARP攻击防御技术提供了多种ARP攻击防御技术对局域网中的ARP攻击和ARP病毒进行防范、检测和解决。

ARP攻击防御功能包括：

• 动态ARP表项学习：本功能支持开启和关闭接口的动态ARP表项学习功能，当执行关闭接口的动态ARP表项学习功能后，该接口无法再学习新的动态ARP表项，提高了安全性。当设备的某个接口已经学到了该接口下所有合法用户的ARP表项时，建议关闭动态ARP表项学习功能。

• 动态ARP管理：包括动态ARP表项管理功能和ARP扫描、固化功能。ARP扫描、固化功能即对局域网内的用户进行自动扫描，并将生成的动态ARP表项固化为静态ARP表项。建议环境稳定的小型网络（如网吧）中配置本功能。先配置ARP扫描、固化功能，再关闭动态ARP表项学习功能，可以防止设备学习到错误的ARP表项。

• 攻击防御管理：包括静态ARP表项管理功能和仅允许ARP静态表项对应的用户访问外网功能。先配置ARP扫描、固化功能，再配置仅允许ARP静态表项对应的用户访问外网功能，可以防止攻击用户访问外网。

• ARP检测：可以探测到当前接口下所有在线设备，同时还能检查这些设备的信息是否和已存在ARP表项冲突。 黑色条目信息表示静态表项， 蓝色条目信息表示动态表项， 红色条目表示错误表项。

动态ARP表项学习

1. 单击导航树中[网络安全/ARP攻击防御]菜单项，进入ARP攻击防御配置页面。

2. 单击“动态ARP表项学习”页签，进入动态ARP表项学习配置页面。

3. 在接口的“ARP学习”项，设置是否允许学习动态ARP表项：

   • 点击<开启>按钮，则该接口允许学习动态ARP表项；

   • 点击<关闭>按钮，则该接口不允许学习动态ARP表项。

图-15 动态ARP表项学习

动态ARP管理

1. 单击导航树中[网络安全/ARP攻击防御]菜单项，进入ARP攻击防御配置页面。

2. 单击“动态ARP管理”页签，进入动态ARP表项管理配置页面。

3. 可对已有的动态ARP表项执行以下管理操作：

   • 点击<刷新>按钮，则可以刷新当前动态ARP表项的显示信息。

   • 点击<清除>按钮，则可以清除当前显示的所有动态ARP表项。

   • 选择指定的动态ARP表项，点击<删除>按钮，再点击<确定>按钮后，可以删除对应的动态ARP表项。

图-16 动态ARP管理

1. 可对已有的动态ARP表项执行以下管理操作：

   1. 点击<扫描>按钮，进入扫描配置页面。

   2. 在“接口”配置项处，选择需要执行ARP扫描操作的接口。

   3. 在“开始IP地址”和“结束IP地址”配置项处，设置ARP扫描操作的起止IP地址。此处指定起止IP地址需要和接口的IP地址处于同一网段。

   4. 选择“对已存在ARP表项的IP地址也进行扫描”后，ARP扫描功能会对开始IP地址和结束IP地址中的所有IP地址进行扫描，不会区分是否已存在ARP表项。

   5. 选择指定的动态ARP表项，再点击<固化>按钮，则可以将这些动态ARP表项固化为静态ARP表项。

图-17 扫描

攻击防御管理

配置限制和指导

需要保证管理客户端的ARP表项是静态ARP表项，否则管理客户端可能无法工作。

配置准备

如果需要执行批量添加静态ARP表项操作，还需要提前将记录静态ARP表项的文件保存在本地，然后再执行静态ARP表项的导入操作。建议通过Web页面导出一个ARP表项文件，在该文件中批量添加静态ARP表项后，再使用它进行导入操作。

配置步骤

1. 单击导航树中[网络安全/ARP攻击防御]菜单项，进入ARP攻击防御配置页面。

2. 单击“攻击防御管理”页签，进入攻击防御管理配置页面。

3. 选择“仅允许ARP静态绑定的客户访问外网”时，设备禁止学习动态ARP表项并删除已有的动态ARP表项（WAN接口的动态ARP表项不会被删除），动态ARP表项对应的用户无法访问设备和外网，只有静态ARP表项对应的客户可以访问设备和外网。选择“不限制”，则静态ARP表项和动态ARP表项对应的客户都能访问设备和外网。

4. 可对静态ARP表项执行以下管理操作：

   • 点击<刷新>按钮，则可以刷新当前静态ARP表项的显示信息。

   • 点击<导入>按钮，则可以批量导入静态ARP表项。

   • 点击<导出>按钮，则可以批量导出静态ARP表项到文件中。

     图-18 攻击防御管理

     

   • 点击<添加>按钮，进入“添加ARP表项”页面。在“添加ARP表项”页面，输入静态ARP表项的IP地址和MAC地址，点击“确定”按钮，静态ARP表项添加成功。

   • 选择指定的静态ARP表项，点击<删除>按钮，再点击<确定>按钮后，可以删除对应的静态ARP表项。

图-19 添加ARP表项

ARP检测

配置步骤

1. 单击导航树中[网络安全/ARP攻击防御]菜单项，进入ARP攻击防御配置页面。

2. 单击ARP检测页签，进入ARP检测页面

3. 设置要扫描到的IP地址范围：

   1. 如果要扫描某接口的所有IP地址，请从扫描的接口列表中选择对应的接口，系统会自动填充扫描范围。

   2. 如果要扫描特定范围内的IP地址，请在<扫描网段>中指定起始IP地址和结束IP地址。

4. 点击<扫描>按钮，则可以检测到扫描范围内的ARP表项。

5. （可选）点击<清除>按钮，则可以清除所有的动态ARP表项。

图-20 ARP检测