报文netbios端口

H3CSR8800-F核心路由器安全配置指导杭州华三通信技术有限公司http://www.
h3c.
com.
cn资料版本:6W732-20160805产品版本:SR8800-CMW710-R7353P09Copyright2015-2016杭州华三通信技术有限公司及其许可者版权所有,保留一切权利.
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播.
H3C、、H3CS、H3CIE、H3CNE、Aolynk、、H3Care、、IRF、NetPilot、Netflow、SecEngine、SecPath、SecCenter、SecBlade、Comware、ITCMM、HUASAN、华三均为杭州华三通信技术有限公司的商标.
对于本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有.
由于产品版本升级或其他原因,本手册内容有可能变更.
H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利.
本手册仅作为使用指导,H3C尽全力在本手册中提供准确的信息,但是H3C并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保.
前言H3CSR8800-F核心路由器配置指导共分为十六本手册,介绍了SR8800-F核心路由器各软件特性的原理及其配置方法,包含原理简介、配置任务描述和配置举例.
《安全配置指导》主要介绍多种安全业务特性及其配置方法,包括:安全管理(例如公钥管理)以及攻击防御(例如IPSourceGuard、ARP攻击防御、uRPF)等内容.
前言部分包含如下内容:读者对象本书约定产品配套资料资料获取方式技术支持资料意见反馈读者对象本手册主要适用于如下工程师:网络规划人员现场技术支持与维护人员负责网络配置和维护的网络管理员本书约定1.
命令行格式约定格式意义粗体命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示.
斜体命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示.
[]表示用"[]"括起来的部分在命令配置时是可选的.
{x|y|.
.
.
}表示从多个选项中仅选取一个.
[x|y|.
.
.
]表示从多个选项中选取一个或者不选.
{x|y表示从多个选项中至少选取一个.
[x|y表示从多个选项中选取一个、多个或者不选.
&表示符号&前面的参数可以重复输入1~n次.
#由"#"号开始的行表示为注释行.
2.
图形界面格式约定格式意义带尖括号""表示按钮名,如"单击按钮".
[]带方括号"[]"表示窗口名、菜单名和数据表,如"弹出[新建用户]窗口".
/多级菜单用"/"隔开.
如[文件/新建/文件夹]多级菜单表示[文件]菜单下的[新建]子菜单下的[文件夹]菜单项.
3.
各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:该标志后的注释需给予格外关注,不当的操作可能会对人身造成伤害.
提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏.
为确保设备配置成功或者正常工作而需要特别关注的操作或信息.
对操作内容的描述进行必要的补充和说明.
配置、操作、或使用设备的技巧、小窍门.
4.
图标约定本书使用的图标及其含义如下:该图标及其相关描述文字代表一般网络设备,如路由器、交换机、防火墙等.
该图标及其相关描述文字代表一般意义下的路由器,以及其他运行了路由协议的设备.
该图标及其相关描述文字代表二、三层以太网交换机,以及运行了二层协议的设备.
该图标及其相关描述文字代表无线控制器、无线控制器业务板和有线无线一体化交换机的无线控制引擎设备.
该图标及其相关描述文字代表无线接入点设备.
该图标及其相关描述文字代表无线Mesh设备.
该图标代表发散的无线射频信号.
该图标代表点到点的无线射频信号.
该图标及其相关描述文字代表防火墙、UTM、多业务安全网关、负载均衡等安全设备.
该图标及其相关描述文字代表防火墙插卡、负载均衡插卡、NetStream插卡、SSLVPN插卡、IPS插卡、ACG插卡等安全插卡.
5.
端口编号示例约定本手册中出现的端口编号仅作示例,并不代表设备上实际具有此编号的端口,实际使用中请以设备上存在的端口编号为准.
产品配套资料H3CSR8800-F核心路由器的配套资料包括如下部分:大类资料名称内容介绍产品知识介绍产品彩页帮助您了解SR8800-F的主要规格参数及亮点单板datasheet帮助您了解SR8800-F的单板属性、特点、支持的标准等硬件描述与安装安全兼容性手册列出SR8800-F的兼容性声明,并对兼容性和安全的细节进行说明安装指导帮助您详细了解SR8800-F的硬件规格和安装方法,指导您对SR8800-F进行安装H3C光模块手册帮助您详细了解SR8800-F设备支持的光模块的类型、外观与规格等内容业务配置配置指导帮助您掌握SR8800-F软件功能的配置方法及配置步骤命令参考详细介绍SR8800-F的命令,相当于命令字典,方便您查阅各个命令的功能典型配置举例帮助您了解产品的典型应用和推荐配置,从组网需求、组网图、配置步骤几方面进行介绍运行维护故障处理帮助您了解在使用SR8800-F过程中碰到困难或者问题的处理方法用户FAQ以问答的形式,帮助您了解SR8800-F的一些软硬件特性及规格等问题日志手册对SR8800-F的系统日志(SystemLog)消息进行介绍,主要用于指导您理解相关信息的含义,并做出正确的操作告警手册对SR8800-F的告警(Trap)消息进行介绍,主要用于指导您理解相关信息的含义,并做出正确的操作MIBCompanion与软件版本配套的MIBCompanion版本说明书帮助您了解SR8800-F产品版本的相关信息(包括:版本配套说明、兼容性说明、特性变更说明、技术支持信息)及软件升级方法资料获取方式您可以通过H3C网站(www.
h3c.
com.
cn)获取最新的产品资料:H3C网站与产品资料相关的主要栏目介绍如下:[服务支持/文档中心]:可以获取硬件安装类、软件升级类、配置类或维护类等产品资料.
[产品技术]:可以获取产品介绍和技术介绍的文档,包括产品相关介绍、技术介绍、技术白皮书等.
[解决方案]:可以获取解决方案类资料.
[服务支持/软件下载]:可以获取与软件版本配套的资料.
技术支持用户支持邮箱:service@h3c.
com技术支持热线电话:400-810-0504(手机、固话均可拨打)网址:http://www.
h3c.
com.
cn资料意见反馈如果您在使用过程中发现产品资料的任何问题,可以通过以下方式反馈:E-mail:info@h3c.
com感谢您的反馈,让我们做得更好!
i目录1PasswordControl1-11.
1PasswordControl简介1-11.
1.
1密码设置控制·1-11.
1.
2密码更新与老化1-21.
1.
3用户登录控制·1-21.
1.
4密码不回显·1-31.
1.
5日志功能1-31.
2PasswordControl配置任务简介·1-31.
3配置PasswordControl1-41.
3.
1使能密码管理·1-41.
3.
2配置全局密码管理·1-41.
3.
3配置用户组密码管理1-51.
3.
4配置本地用户密码管理1-51.
3.
5配置super密码管理·1-61.
4PasswordControl显示和维护·1-61.
5PasswordControl典型配置举例·1-71-11PasswordControl1.
1PasswordControl简介PasswordControl(密码管理)是设备提供的密码安全管理功能,它根据管理员定义的安全策略,对设备管理类的本地用户登录密码、super密码的设置、老化、更新等方面进行管理,并对用户的登录状态进行控制.
本地用户包括两种种型,设设管理种(manage)和网络接入种(network).
PasswordControl功能仅仅设设管理种本地用户的登录密码码行控制,仅网络接入种本地用户的密码不起作用.
关于本地用户种型的详详介绍,请参见"用户接入配置指导"中的"AAA".
为了防止未授权用户的非法侵入,在码行用户角色切换时,要码行用户身份验验,即需要输入用户角色切换密码,这个密码就被称为super密码.
关于super密码的详详介绍,请参见"基础配置指导"中的"RBAC".
1.
1.
1密码设置控制1.
密码最小长度限制管理员可以限制用户密码的最小长度.
当设置用户密码时,如果输入的密码长度小于设置的最小长度,系统将不允许设置该密码.
2.
密码的组合检测功能管理员可以设置用户密码的组成元素的组合类型,以及至少要包含每种元素的个数.
密码的组成元素包括以下4种类型:[A~Z][a~z][0~9]32个特殊字符(空格~密码元素的组合类型有4种,具体涵义如下:组合类型为1表示密码中至少包含1种元素;组合类型为2表示密码中至少包含2种元素;组合类型为3表示密码中至少包含3种元素;组合类型为4表示密码中包含4种元素.
当用户设置密码时,系统会检查设定的密码是否符合配置要求,只有符合要求的密码才能设置成功.
3.
密码的复杂度检测功能密码的复杂度越低,其被破解的可能性就越大,比如包含用户名、使用重复字符等.
出于安全性考虑,管理员可以设置用户密码的复杂度检测功能,确保用户的密码具有较高的复杂度.
具体实现是:配置用户密码时,系统检测输入的密码是否符合一定的复杂度要求,只有符合要求的密码才能设置成功.
目前,复杂度检测功能对密码的复杂度要求包括以下两项:密码中不能包含用户名或者字符顺序颠倒的用户名.
例如,用户名为"abc",那么"abc982"或者"2cba"之类的密码就不符合复杂度要求.
密码中不能包含连续三个或以上的相同字符.
例如,密码"a111"就不符合复杂度要求.
1-21.
1.
2密码更新与老化1.
密码更新管理管理员可以设置用户登录设备后修改自身密码的最小间隔时间.
当用户登录设备修改自身密码时,如果距离上次修改密码的时间间隔小于配置值,则系统不允许修改密码.
例如,管理员配置用户密码更新间隔时间为48小时,那么用户在上次修改密码后的48小时之内都无法成功进行密码修改操作.
有两种情况下的密码更新并不受该功能的约束:用户首次登录设备时系统要求用户修改密码;密码老化后系统要求用户修改密码.
2.
密码老化管理密码老化时间用来限制用户密码的使用时间.
当密码的使用时间超过老化时间后,需要用户更换密码.
当用户登录时,如果用户输入已经过期的密码,系统将提示该密码已经过期,需要重新设置密码.
如果输入的新密码不符合要求,或连续两次输入的新密码不一致,系统将要求用户重新输入.
对于FTP用户,密码老化后,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口或AUX口登录设备)用户可自行修改密码.
3.
密码过期提醒在用户登录时,系统判断其密码距离过期的时间是否在设置的提醒时间范围内.
如果在提醒时间范围内,系统会提示该密码还有多久过期,并询问用户是否修改密码.
如果用户选择修改,则记录新的密码及其设定时间.
如果用户选择不修改或者修改失败,则在密码未过期的情况下仍可以正常登录.
对于FTP用户,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口或AUX口登录设备)用户可自行修改密码.
4.
密码老化后允许登录管理管理员可以设置用户密码过期后在指定的时间内还能登录设备指定的次数.
这样,密码老化的用户不需要立即更新密码,依然可以登录设备.
例如,管理员设置密码老化后允许用户登录的时间为15天、次数为3次,那么用户在密码老化后的15天内,还能继续成功登录3次.
5.
密码历史记录系统保存用户密码历史记录.
当用户修改密码时,系统会要求用户设置新的密码,如果新设置的密码以前使用过,且在当前用户密码历史记录中,系统将给出错误信息,提示用户密码更改失败.
另外,用户更改密码时,系统会将新设置的密码逐一与所有记录的历史密码以及当前密码比较,要求新密码至少要与旧密码有4字符不同,且这4个字符必须互不相同,否则密码更改失败.
可以配置每个用户密码历史记录的最大条数,当密码历史记录的条数超过配置的最大历史记录条数时,新的密码历史记录将覆盖该用户最老的一条密码历史记录.
由于为设备管理类本地用户配置的密码在哈希运算后以密文的方式保存,配置一旦生效后就无法还原为明文密码,因此,设备管理类本地用户的当前登录密码,不会被记录到该用户的密码历史记录中.
1.
1.
3用户登录控制1.
用户首次登录控制当全局密码管理功能使能后,用户首次登录设备时,系统会输出相应的提示信息要求用户修改密码,否则不允许登录设备.
这种情况下的修改密码不受密码更新时间间隔的限制.
2.
密码尝试次数限制密码尝试次数限制可以用来防止恶意用户通过不断尝试来破解密码.
1-3每次用户认证失败后,系统会将该用户加入密码管理的黑名单.
可加入密码管理功能黑名单的用户包括:FTP用户和通过VTY方式访问设备的用户.
不会加入密码管理功能黑名单的用户包括:用户名不存在的用户、通过Console口或AUX口连接到设备的用户.
当用户连续尝试认证的失败累加次数达到设置的尝试次数时,系统对用户的后续登录行为有以下三种处理措施:永久禁止该用户登录.
只有管理员把该用户从密码管理的黑名单中删除后,该用户才能重新登录.
不对该用户做禁止,允许其继续登录.
在该用户登录成功后,该用户会从密码管理的黑名单中删除.
禁止该用户一段时间后,再允许其重新登录.
当配置的禁止时间超时或者管理员将其从密码管理的黑名单中删除,该用户才可以重新登录.
3.
用户帐号闲置时间管理管理员可以限制用户帐号的闲置时间,禁止在闲置时间之内始终处于不活动状态的用户登录.
若用户自从最后一次成功登录之后,在配置的闲置时间内再未成功登录过,那么该闲置时间到达之后此用户账号立即失效,系统不再允许使用该账号的用户登录.
1.
1.
4密码不回显出于安全考虑,用户输入密码时,系统将不回显用户的密码.
1.
1.
5日志功能当用户成功修改密码或用户登录失败加入密码管理黑名单时,系统将会记录相应的日志.
1.
2PasswordControl配置任务简介本特性的各功能可支持在多个视图下配置,各视图可支持的功能不同.
而且,相同功能的命令在不同视图下或针对不同密码时有效范围有所不同,具体情况如下:系统视图下的全局配置对所有本地用户密码都有效;用户组视图下的配置只对当前用户组内的所有本地用户密码有效;本地用户视图下的配置只对当前的本地用户密码有效;为super密码的各管理参数所作的配置只对super密码有效.
对于本地用户密码的各管理参数,其生效的优先级顺序由高到低依次为本地用户视图、用户组视图、系统视图.
表1-1PasswordControl配置任务简介配置任务说明详细配置使能密码管理必选1.
3.
1配置全局密码管理可选1.
3.
2配置用户组密码管理可选1.
3.
3配置本地用户密码管理可选1.
3.
4配置super密码管理可选1.
3.
51-41.
3配置PasswordControl设设存储空间不足会造成以下两个影响:不能使能全局密码管理功能;全局密码管理功能处于使能的状态下,用户登录设设失败.
1.
3.
1使能密码管理使能全局密码管理功能,是密码管理所有配置生效的前提.
若要使得具体的密码管理功能(密码老化、密码最小长度、密码历史记录、密码组合检测)生效,还需使能指定的密码管理功能.
需要注意的是,使能全局密码管理功能后:设备管理类本地用户密码以及super密码的配置将不被显示,即无法通过相应的display命令查看到设备管理类本地用户密码以及super密码的配置.
网络接入类本地用户密码不受密码管理功能控制,其配置显示也不受影响.
首次设置的设备管理类本地用户密码必须至少由四个不同的字符组成.
表1-2使能密码管理操作命令说明进入系统视图system-view-使能全局密码管理功能password-controlenable缺省情况下,全局密码管理功能处于未使能状态(可选)使能指定的密码管理功能password-control{aging|composition|history|length}enable缺省情况下,各密码管理功能均处于使能状态1.
3.
2配置全局密码管理系统视图下的全局密码管理参数对所有设备管理类的本地用户生效.
对于密码老化时间、密码最小长度以及密码组合策略这三个功能,可分别在系统视图、用户组视图、本地用户视图下配置相关参数,其生效优先级从高到低依次为:本地用户视图->用户组视图->系统视图.
除用户登录尝试失败后的行为配置属于即时生效的配置,会在配置生效后立即影响密码管理黑名单中当前用户的锁定状态以及这些用户后续的登录之外,其它全局密码管理配置生效后仅对后续登录的用户以及后续设置的用户密码有效,不影响当前用户.
表1-3配置全局密码管理操作命令说明进入系统视图system-view-配置密码的老化时间password-controlagingaging-time缺省情况下,密码的老化时间为90天配置密码更新的最小时间间隔password-controlupdate-intervalinterval缺省情况下,密码更新的最小时间间隔为24小时配置密码的最小长度password-controllengthlength缺省情况下,密码的最小长度为10个字符1-5操作命令说明配置用户密码的组合策略password-controlcompositiontype-numbertype-number[type-lengthtype-length]缺省情况下,密码元素的组合类型至少为1种,至少要包含每种元素的个数为1个配置用户密码的复杂度检查策略password-controlcomplexity{same-character|user-name}check缺省情况下,不对用户密码进行复杂度检查配置每个用户密码历史记录的最大条数password-controlhistorymax-record-num缺省情况下,每个用户密码历史记录的最大条数为4条配置用户登录尝试次数以及登录尝试失败后的行为password-controllogin-attemptlogin-times[exceed{lock|lock-timetime|unlock}]缺省情况下,用户登录尝试次数为3次;如果用户登录失败,则1分钟后再允许该用户重新登录配置密码过期前的提醒时间password-controlalert-before-expirealert-time缺省情况下,密码过期前的提醒时间为7天配置密码过期后允许用户登录的时间和次数password-controlexpired-user-logindelaydelaytimestimes缺省情况下,密码过期后的30天内允许用户登录3次配置用户帐号的闲置时间password-controlloginidle-timeidle-time缺省情况下,用户帐号的闲置时间为90天1.
3.
3配置用户组密码管理表1-4配置用户组密码管理操作命令说明进入系统视图system-view-创建用户组,并进入用户组视图user-groupgroup-name缺省情况下,不存在任何用户组用户组的相关配置请参见"用户接入配置指导"中的"AAA"配置用户组的密码老化时间password-controlagingaging-time缺省情况下,采用全局密码老化时间配置用户组的密码最小长度password-controllengthlength缺省情况下,采用全局密码最小长度配置用户组的密码组合策略password-controlcompositiontype-numbertype-number[type-lengthtype-length]缺省情况下,采用全局密码组合策略配置用户密码的复杂度检查策略password-controlcomplexity{same-character|user-name}check缺省情况下,采用全局密码复杂度检查策略配置用户登录尝试次数以及登录尝试失败后的行为password-controllogin-attemptlogin-times[exceed{lock|lock-timetime|unlock}]缺省情况下,采用全局的用户登录尝试限制策略1.
3.
4配置本地用户密码管理表1-5配置本地用户密码管理操作命令说明进入系统视图system-view-1-6操作命令说明创建设备管理类本地用户,并进入本地用户视图local-useruser-nameclassmanage缺省情况下,不存在任何本地用户本地用户密码管理功能仅对设备管理类的本地用户生效,对于网络接入类本地用户不起作用本地用户的相关配置请参见"用户接入配置指导"中的"AAA"配置本地用户的密码老化时间password-controlagingaging-time缺省情况下,采用本地用户所属用户组的密码老化时间配置本地用户的密码最小长度password-controllengthlength缺省情况下,采用本地用户所属用户组的密码最小长度配置本地用户的密码组合策略password-controlcompositiontype-numbertype-number[type-lengthtype-length]缺省情况下,采用本地用户所属用户组的密码组合策略配置用户密码的复杂度检查策略password-controlcomplexity{same-character|user-name}check缺省情况下,采用本地用户所属用户组的密码复杂度检查策略配置用户登录尝试次数以及登录尝试失败后的行为password-controllogin-attemptlogin-times[exceed{lock|lock-timetime|unlock}]缺省情况下,采用本地用户所属用户组的用户登录尝试限制策略1.
3.
5配置super密码管理表1-6配置super密码管理操作命令说明进入系统视图system-view-配置super密码的老化时间password-controlsuperagingaging-time缺省情况下,密码的老化时间为90天配置super密码的最小长度password-controlsuperlengthlength缺省情况下,密码的最小长度为10个字符配置super密码的组合策略password-controlsupercompositiontype-numbertype-number[type-lengthtype-length]缺省情况下,密码元素的组合类型至少为1种,至少要包含每种元素的个数为1个1.
4PasswordControl显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后PasswordControl的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除PasswordControl统计信息.
表1-7PasswordControl显示和维护操作命令显示密码管理的配置信息displaypassword-control[super]显示用户认证失败后,被加入密码管理黑名单中的用户信息displaypassword-controlblacklist[user-namename|ipipv4-address|ipv6ipv6-address]清除密码管理黑名单中的用户resetpassword-controlblacklist[user-namename]1-7操作命令清除用户的密码历史记录resetpassword-controlhistory-record[user-namename|super[rolerole-name]]当密码码史记录功能未启动时,resetpassword-controlhistory-record命令同样可以清除全部或者某个用户的密码码史记录.
1.
5PasswordControl典型配置举例1.
组网需求有以下密码管理需求:全局密码管理策略:用户2次登录失败后就永久禁止登录;最小密码长度为16个字符,密码老化时间为30天;允许用户进行密码更新的最小时间间隔为36小时;密码过期后60天内允许登录5次;用户帐号的闲置时间为30天;不允许密码中包含用户名或者字符顺序颠倒的用户名;不允许密码中包含连续三个或以上相同字符;密码元素的最少组合类型为4种,至少要包含每种元素的个数为4个.
切换到用户角色network-operator时使用的super密码管理策略:最小密码长度为24个字符,密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个.
本地Telnet用户test的密码管理策略:最小密码长度为24个字符,密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个,密码老化时间为20天.
2.
配置步骤#使能全局密码管理功能.
system-view[Sysname]password-controlenable#配置用户2次登录失败后就永久禁止该用户登录.
[Sysname]password-controllogin-attempt2exceedlock#配置全局的密码老化时间为30天.
[Sysname]password-controlaging30#配置全局的密码的最小长度为16.
[Sysname]password-controllength16#配置密码更新的最小时间间隔为36小时.
[Sysname]password-controlupdate-interval36#配置用户密码过期后的60天内允许登录5次.
[Sysname]password-controlexpired-user-logindelay60times5#配置用户帐号的闲置时间为30天.
[Sysname]password-controlloginidle-time30#使能在配置的密码中检查包含用户名或者字符顺序颠倒的用户名的功能.
[Sysname]password-controlcomplexityuser-namecheck#使能在配置的密码中检查包含连续三个或以上相同字符的功能.
[Sysname]password-controlcomplexitysame-charactercheck#配置全局的密码元素的最少组合类型为4种,至少要包含每种元素的个数为4个.
[Sysname]password-controlcompositiontype-number4type-length4#配置super密码的最小长度为24.
1-8[Sysname]password-controlsuperlength24#配置super密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个.
[Sysname]password-controlsupercompositiontype-number4type-length5#配置切换到用户角色network-operator时使用的super密码为明文123456789ABGFTweuix@#$%!
.
[Sysname]superpasswordnetwork-operatorsimple123456789ABGFTweuix@#$%!
#添加设备管理类本地用户test.
[Sysname]local-usertestclassmanage#配置本地用户的服务类型为Telnet.
[Sysname-luser-manage-test]service-typetelnet#配置本地用户的最小密码长度为24个字符.
[Sysname-luser-manage-test]password-controllength24#配置本地用户的密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个.
[Sysname-luser-manage-test]password-controlcompositiontype-number4type-length5#配置本地用户的密码老化时间为20天.
[Sysname-luser-manage-test]password-controlaging20#以交互式方式配置本地用户密码.
[Sysname-luser-manage-test]passwordPassword:Confirm:Updatinguserinformation.
Pleasewait.
.
.
.
.
.
[Sysname-luser-manage-test]quit3.
验证配置结果#可通过如下命令查看全局密码管理的配置信息.
displaypassword-controlGlobalpasswordcontrolconfigurations:Passwordcontrol:EnabledPasswordaging:Enabled(30days)Passwordlength:Enabled(16characters)Passwordcomposition:Enabled(4types,4characterspertype)Passwordhistory:Enabled(maxhistoryrecord:4)Earlynoticeonpasswordexpiration:7daysMaximumloginattempts:2Actionforexceedingloginattempts:LockMinimumintervalbetweentwoupdates:36hoursUseraccountidletime:30daysLoginswithagedpassword:5timesin60daysPasswordcomplexity:Enabled(usernamechecking)Enabled(repeatedcharacterschecking)#可通过如下命令查看super密码管理的配置信息.
displaypassword-controlsuperSuperpasswordcontrolconfigurations:Passwordaging:Enabled(90days)Passwordlength:Enabled(24characters)Passwordcomposition:Enabled(4types,5characterspertype)#可通过如下命令查看到本地用户密码管理的配置信息.
displaylocal-useruser-nametestclassmanageTotal1localusersmatched.
Devicemanagementusertest:1-9State:ActiveServicetype:TelnetUsergroup:systemBindattributes:Authorizationattributes:Workdirectory:flash:Userrolelist:network-operatorPasswordcontrolconfigurations:Passwordaging:Enabled(20days)Passwordlength:Enabled(24characters)Passwordcomposition:Enabled(4types,5characterspertype)i目录1公钥管理1-11.
1简介·1-11.
2公钥管理配置任务简介·1-21.
3配置本地非对称密钥对·1-21.
3.
1生成本地非对称密钥对1-21.
3.
2显示或导出本地非对称密钥对中的主机公钥·1-31.
3.
3销毁本地非对称密钥对1-41.
4配置远端主机的公钥·1-41.
5公钥管理显示和维护·1-51.
6公钥管理典型配置举例·1-51.
6.
1手工配置远端主机的公钥·1-51.
6.
2从公钥文件中导入远端主机的公钥1-71-11公钥管理1.
1简介如图1-1所示,为了保证数据在网络中安全传输、不被攻击者非法窃听和恶意篡改,发送方在发送数据之前需要对数据进行加密处理,即通过一定的算法,利用密钥将明文数据变换为密文数据;接收方接收到密文数据后,需要对其进行解密处理,即通过一定的算法,利用密钥将密文数据恢复为明文数据,以获得原始数据.
其中,密钥是一组特定的字符串,是控制明文和密文转换的唯一参数,起到"钥匙"的作用.
图1-1加密和解密转换关系示意图如果数据加密和解密时使用不同的密钥,则该加/解密算法称为非对称密钥算法.
在非对称密钥算法中,加密和解密使用的密钥一个是对外公开的公钥,一个是由用户秘密保存的私钥,从公钥很难推算出私钥.
公钥和私钥一一对应,二者统称为非对称密钥对.
通过公钥(或私钥)加密后的数据只能利用对应的私钥(或公钥)进行解密.
如果数据加密和解密时使用相同的密钥,则则加/解密算法称为对称密钥算法.
使用对称密钥算法时,接收方和发送方需要获得相同的密钥,存在密钥分发的安全性问问.
使用非对称密钥算法时,不存在则问问.
非对称密钥算法的安全性与密钥模数的长度相关.
密钥模数越长,安全性越好,但是生成密钥所需的时时越长.
非对称密钥算法包括RSA(RivestShamirandAdleman)、DSA(DigitalSignatureAlgorithm,数字签名算法)和ECDSA(EllipticCurveDigitalSignatureAlgorithm,椭圆曲线数字签名算法)等.
非对称密钥算法主要有两个用途:对发送的数据进行加/解密:发送者利用接收者的公钥对数据进行加密,只有拥有对应私钥的接收者才能使用该私钥对数据进行解密,从而可以保证数据的机密性.
目前,只有RSA算法可以用来对发送的数据进行加/解密.
对数据发送者的身份进行认证:非对称密钥算法的这种应用,称为数字签名.
发送者利用自己的私钥对数据进行加密,接收者利用发送者的公钥对数据进行解密,从而实现对数据发送者身份的验证.
由于只能利用对应的公钥对通过私钥加密后的数据进行解密,因此根据解密是否成功,就可以判断发送者的身份是否合法,如同发送者对数据进行了"签名".
例如,用户1使用自己的私钥对数据进行签名后,发给用户2,用户2利用用户1的公钥验证签名,如果签名是正确的,那么就能够确认该数据来源于用户1.
目前,RSA、DSA和ECDSA都可以用于数字签名.
接收方密钥明文密文明文发送方密钥1-2非对称密钥算法应用十分广泛,例如SSH(SecureShell,安全外壳)、PKI(PublicKeyInfrastructure,公钥基础设施)中都利用了非对称密钥算法进行数字签名.
SSH和PKI的介绍,请参见"用户接入配置指导"中的"SSH"和"安全配置指导"中的"PKI".
1.
2公钥管理配置任务简介本章主要介绍如何管理非对称密钥对,包括:本地非对称密钥对的管理:即管理设备自身的非对称密钥对,包括本地密钥对的生成、销毁、本地主机公钥的显示和导出.
远端主机公钥的管理:即将远端主机的主机公钥保存到本地设备.
完成本章中的配置后,并不能实现利用非对称密钥算法进行加/解密和数字签名,只是为其提供了必要的准备.
本章中的配置只有与具体的应用(如SSH)配合使用,才能实现利用非对称密钥算法进行加/解密或数字签名.
表1-1公钥管理配置任务简介配置任务说明详细配置配置本地非对称密钥对生成本地非对称密钥对根据实际情况选择需要的配置1.
3.
1显示或导出本地非对称密钥对中的主机公钥1.
3.
2销毁本地非对称密钥对1.
3.
3配置远端主机的公钥1.
41.
3配置本地非对称密钥对1.
3.
1生成本地非对称密钥对本地非对称密钥对分为如下几种:RSA:生成默认名称的本地RSA密钥对时,将同时生成两个密钥对——服务器密钥对和主机密钥对,二者都包括一个公钥和一个私钥;生成非默认名称的本地RSA密钥对时,只生成一个主机密钥对.
生成RSA密钥对时会提示用户输入密钥模数的长度,建议密钥模数的长度大于或等于768比特,以提高安全性.
目前,只有SSH1.
5中应用了RSA服务器密钥对.
DSA:生成本地DSA密钥对时,只生成一个主机密钥对.
生成DSA密钥对时会提示用户输入密钥模数的长度,建议密钥模数的长度大于或等于768比特,以提高安全性.
ECDSA:生成本地ECDSA密钥对时,只生成一个主机密钥对.
ECDSA主机密钥的长度为192比特.
生成本地非对称密钥对时,需要注意:生成密钥对时,通过namekey-name参数指定的密钥对名称可以与密钥对的默认名称相同,该密钥对与不指定namekey-name参数生成的默认名称的密钥对被视为两个不同的密钥对,可以在设备上同时存在这两个密钥对.
非默认名称密钥对的密钥类型和名称不能完全相同,否则需要用户确认是否覆盖原有的密钥对.
不同类型的密钥,名称可以相同.
执行public-keylocalcreate命令后,生成的密钥对将保存在设备中,设备重启后密钥不会丢失.
1-3表1-2生成本地非对称密钥对操作命令说明进入系统视图system-view-生成本地非对称密钥对public-keylocalcreate{dsa|ecdsa|rsa}[namekey-name]缺省情况下,不存在任何本地非对称密钥对1.
3.
2显示或导出本地非对称密钥对中的主机公钥在某些应用(如SSH)中,为了实现远端主机采用数字签名方法对本地设备进行身份验证,用户需要将本地的主机公钥保存到远端主机上.
将本地的主机公钥保存到远端主机上,有以下三种方法:如表1-3所示,在本地设备上执行public-keylocalexport命令按照指定格式将本地主机公钥导出到指定文件(执行命令时指定filename参数),并将该文件上传到远端主机上.
如表1-7所示,在远端主机上,通过从公钥文件中导入的方式将本地的主机公钥保存到远端设备上.
如表1-4所示,在本地设备上执行public-keylocalexport命令按照指定格式显示本地主机公钥(执行命令时不指定filename参数),通过拷贝粘贴等方式将显示的主机公钥保存到文件中,并将该文件上传到远端主机上.
如表1-7所示,在远端主机上,通过从公钥文件中导入的方式将本地的主机公钥保存到远端设备上.
如表1-5所示,在本地设备上执行displaypublic-keylocalpublic命令显示非对称密钥对中的公钥信息,并记录主机公钥数据.
如表1-8所示,在远端主机上,通过手工配置的方式将记录的本地主机公钥保存到远端设备上.
远端主机上的配置方法,请参见"1.
4配置远端主机的公钥".
表1-3按照指定格式导出本地非对称密钥对中的主机公钥操作命令说明进入系统视图system-view-按照指定格式将本地RSA主机公钥导出到指定文件public-keylocalexportrsa[namekey-name]{openssh|ssh1|ssh2}filename二者至少选其一按照指定格式将本地DSA主机公钥导出到指定文件public-keylocalexportdsa[namekey-name]{openssh|ssh2}filename表1-4按照指定格式显示本地非对称密钥对中的主机公钥操作命令说明进入系统视图system-view-按照指定格式显示本地RSA主机公钥public-keylocalexportrsa[namekey-name]{openssh|ssh1|ssh2}二者至少选其一按照指定格式显示本地DSA主机公钥public-keylocalexportdsa[namekey-name]{openssh|ssh2}表1-5显示本地非对称密钥对中的公钥信息操作命令说明显示本地RSA密钥对中的公钥信息displaypublic-keylocalrsapublic[namekey-name]二者至少选其一1-4操作命令说明显示本地DSA密钥对中的公钥信息displaypublic-keylocaldsapublic[namekey-name]可以在任意视图下执行这两条命令若执行displaypublic-keylocalrsapublic命令时,同时显示了RSA服务器密钥对和主机密钥对的公钥信息,用户只需记录主机密钥对的公钥信息1.
3.
3销毁本地非对称密钥对在如下几种情况下,建议用户销毁旧的非对称密钥对,并生成新的密钥对:本地设备的私钥泄露.
这种情况下,非法用户可能会冒充本地设备访问网络.
保存密钥对的存储设备出现故障,导致设备上没有公钥对应的私钥,无法再利用旧的非对称密钥对进行加/解密和数字签名.
本地证书到达有效期,需要删除对应的本地密钥对.
本地证书的详细介绍,请参见"安全配置指导"中的"PKI".
表1-6销毁本地非对称密钥对操作命令说明进入系统视图system-view-销毁本地非对称密钥对public-keylocaldestroy{dsa|ecdsa|rsa}[namekey-name]-1.
4配置远端主机的公钥在某些应用(如SSH)中,为了实现本地设备对远端主机的身份验证,需要在本地设备上配置远端主机的RSA或DSA主机公钥.
配置远端主机公钥的方式有如下两种:从公钥文件中导入:用户事先将远端主机的公钥文件保存到本地设备(例如,通过FTP或TFTP,以二进制方式将远端主机的公钥文件保存到本地设备),本地设备从该公钥文件中导入远端主机的公钥.
导入公钥时,系统会自动将远端主机的公钥文件转换为PKCS(PublicKeyCryptographyStandards,公共密钥加密标准)编码形式.
手工配置:用户事先在远端主机上查看其公钥信息,并记录远端主机公钥的内容.
在本地设备上采用手工输入的方式将远端主机的公钥配置到本地.
手工输入远端主机公钥时,可以逐个字符输入,也可以一次拷贝粘贴多个字符.
远端主机公钥信息的获取方法,请参见"1.
3.
2显示或导出本地非对称密钥对中的主机公钥".
手工配置远端主机的公钥时,输入的主机公钥必须须足一定的格式要求.
通过displaypublic-keylocalpublic命令显示的公钥可以作为输入的公钥内容;通过其他方式(如public-keylocalexport命令)显示的公钥可能不须足格式要求,导致主机公钥保存失败.
因此,建议议用从公钥文件导入的方式配置远端主机的公钥.
1-5表1-7从公钥文件中导入远端主机的公钥操作命令说明进入系统视图system-view-从公钥文件中导入远端主机的公钥public-keypeerkeynameimportsshkeyfilename缺省情况下,设备上不存在任何远端主机公钥表1-8手工配置远端主机的公钥操作命令说明进入系统视图system-view-指定远端主机公钥的名称,并进入公钥视图public-keypeerkeyname缺省情况下,设备上不存在任何远端主机公钥配置远端主机的公钥逐个字符输入或拷贝粘贴公钥内容在输入公钥内容时,字符之间可以有空格,也可以按回车键继续输入数据.
保存公钥数据时,将删除空格和回车符退回系统视图peer-public-keyend退出公钥视图时,系统自动保存配置的主机公钥1.
5公钥管理显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后公钥管理的信息,通过查看显示信息验证配置的效果.
表1-9公钥管理显示和维护操作命令显示本地非对称密钥对中的公钥信息displaypublic-keylocal{dsa|ecdsa|rsa}public[namekey-name]显示保存在本地的远端主机的公钥信息displaypublic-keypeer[brief|namepublickey-name]1.
6公钥管理典型配置举例1.
6.
1手工配置远端主机的公钥1.
组网需求如图1-2所示,为了防止非法用户访问,DeviceB(本地设备)采用数字签名方法对访问它的DeviceA(远端设备)进行身份验证.
进行身份验证前,需要在DeviceB上配置DeviceA的公钥.
本例中要求:DeviceB采用的非对称密钥算法为RSA算法.
采用手工配置方式在DeviceB上配置DeviceA的主机公钥.
1-62.
组网图图1-2手工配置远端主机的公钥组网图3.
配置步骤(1)配置DeviceA#在DeviceA上生成默认名称的本地RSA非对称密钥对,密钥模数的长度采用缺省值1024比特.
system-view[DeviceA]public-keylocalcreatersaTherangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#显示生成的本地RSA密钥对的公钥信息.
[DeviceA]displaypublic-keylocalrsapublicKeyname:hostkey(default)Keytype:RSATimewhenkeypaircreated:16:48:312011/05/12Keycode:30819F300D06092A864886F70D010101050003818D0030818902818100DA3B90F59237347B8D41B58F8143512880139EC9111BFD31EB84B6B7C7A1470027AC8F04A827B30C2CAF79242E45FDFF51A9C7E917DB818D54CB7AEF538AB261557524A7441D288EC54A5D31EFAE4F6812576D7796490AF87A8C78F4A7E31F0793D8BA06FB95D54EBB9F94EB1F2D561BF66EA27DFD4788CB47440AF6BB25ACA50203010001Keyname:serverkey(default)Keytype:RSATimewhenkeypaircreated:16:48:312011/05/12Keycode:307C300D06092A864886F70D0101010500036B003068026100C9451A80F7F0A9BA1A90C7BC1C02522D194A2B19F19A75D9EF02219068BD7FD90FCC2AF3634EEB9FA060478DD0A1A49ACEE1362A4371549ECD85BA04DEE4D6BB8BE53B6AED7F1401EE88733CA3C4CED391BAE633028AAC41C80A15953FB22AA30203010001(2)配置DeviceB#在DeviceB上配置DeviceA的主机公钥:在公钥视图输入DeviceA的主机公钥,即在DeviceA上通过displaypublic-keylocalrsapublic命令显示的主机公钥hostkey内容.
system-view[DeviceB]public-keypeerdeviceaEnterpublickeyview.
Returntosystemviewwith"peer-public-keyend"command.
[DeviceB-pkey-public-key-devicea]30819F300D06092A864886F70D010101050003818D003081890DeviceADeviceB1-72818100DA3B90F59237347B[DeviceB-pkey-public-key-devicea]8D41B58F8143512880139EC9111BFD31EB84B6B7C7A1470027AC8F04A827B30C2CAF79242E[DeviceB-pkey-public-key-devicea]45FDFF51A9C7E917DB818D54CB7AEF538AB261557524A7441D288EC54A5D31EFAE4F681257[DeviceB-pkey-public-key-devicea]6D7796490AF87A8C78F4A7E31F0793D8BA06FB95D54EBB9F94EB1F2D561BF66EA27DFD4788[DeviceB-pkey-public-key-devicea]CB47440AF6BB25ACA50203010001#从公钥视图退回到系统视图,并保存用户输入的公钥.
[DeviceB-pkey-public-key-devicea]peer-public-keyend4.
验证配置#显示DeviceB上保存的DeviceA的主机公钥信息.
[DeviceB]displaypublic-keypeernamedeviceaKeyname:deviceaKeytype:RSAKeymodulus:1024Keycode:30819F300D06092A864886F70D010101050003818D0030818902818100DA3B90F59237347B8D41B58F8143512880139EC9111BFD31EB84B6B7C7A1470027AC8F04A827B30C2CAF79242E45FDFF51A9C7E917DB818D54CB7AEF538AB261557524A7441D288EC54A5D31EFAE4F6812576D7796490AF87A8C78F4A7E31F0793D8BA06FB95D54EBB9F94EB1F2D561BF66EA27DFD4788CB47440AF6BB25ACA50203010001通过对比可以看出,DeviceB上保存的DeviceA的主机公钥信息与DeviceA实际的主机公钥信息一致.
1.
6.
2从公钥文件中导入远端主机的公钥1.
组网需求如图1-3所示,为了防止非法用户访问,DeviceB(本地设备)采用数字签名方法对访问它的DeviceA(远端设备)进行身份验证.
进行身份验证前,需要在DeviceB上配置DeviceA的公钥.
本例中要求:DeviceB采用的非对称密钥算法为RSA算法.
采用从公钥文件中导入的方式在DeviceB上配置DeviceA的主机公钥.
2.
组网图图1-3从公钥文件中导入远端主机的公钥组网图3.
配置步骤(1)在DeviceA上生成密钥对,并导出公钥#在DeviceA上生成默认名称的本地RSA非对称密钥对,密钥模数的长度采用缺省值1024比特.
system-view[DeviceA]public-keylocalcreatersaTherangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
1-8PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#显示生成的本地RSA密钥对的公钥信息.
[DeviceA]displaypublic-keylocalrsapublicKeyname:hostkey(default)Keytype:RSATimewhenkeypaircreated:16:48:312011/05/12Keycode:30819F300D06092A864886F70D010101050003818D0030818902818100DA3B90F59237347B8D41B58F8143512880139EC9111BFD31EB84B6B7C7A1470027AC8F04A827B30C2CAF79242E45FDFF51A9C7E917DB818D54CB7AEF538AB261557524A7441D288EC54A5D31EFAE4F6812576D7796490AF87A8C78F4A7E31F0793D8BA06FB95D54EBB9F94EB1F2D561BF66EA27DFD4788CB47440AF6BB25ACA50203010001Keyname:serverkey(default)Keytype:RSATimewhenkeypaircreated:16:48:312011/05/12Keycode:307C300D06092A864886F70D0101010500036B003068026100C9451A80F7F0A9BA1A90C7BC1C02522D194A2B19F19A75D9EF02219068BD7FD90FCC2AF3634EEB9FA060478DD0A1A49ACEE1362A4371549ECD85BA04DEE4D6BB8BE53B6AED7F1401EE88733CA3C4CED391BAE633028AAC41C80A15953FB22AA30203010001#将生成的默认名称的RSA主机公钥导出到指定文件devicea.
pub中.
[DeviceA]public-keylocalexportrsassh2devicea.
pub[DeviceA]quit(2)在DeviceA上启动FTP服务器功能#启动FTP服务器功能,创建FTP用户(用户名为ftp,密码为123),并配置FTP用户的用户角色为network-admin.
[DeviceA]ftpserverenable[DeviceA]local-userftp[DeviceA-luser-manage-ftp]passwordsimple123[DeviceA-luser-manage-ftp]service-typeftp[DeviceA-luser-manage-ftp]authorization-attributeuser-rolenetwork-admin[DeviceA-luser-manage-ftp]quit(3)DeviceB获取DeviceA的公钥文件#DeviceB通过FTP以二进制方式从DeviceA获取公钥文件devicea.
pub.
ftp10.
1.
1.
1Connectedto10.
1.
1.
1(10.
1.
1.
1).
220FTPserviceready.
User(10.
1.
1.
1:(none)):ftp331Passwordrequiredforftp.
Password:230Userloggedin.
RemotesystemtypeisUNIX.
1-9Usingbinarymodetotransferfiles.
ftp>binary200TYPEisnow8-bitbinaryftp>getdevicea.
pub227EnteringPassiveMode(10,1,1,1,118,252)150Accepteddataconnection226Filesuccessfullytransferred301bytesreceivedin0.
003seconds(98.
0kbyte/s)ftp>quit221-Goodbye.
Youuploaded0anddownloaded1kbytes.
221Logout.
(4)DeviceB从公钥文件中导入公钥#DeviceB从公钥文件中导入DeviceA的主机公钥.
system-view[DeviceB]public-keypeerdeviceaimportsshkeydevicea.
pub4.
验证配置#显示DeviceB上保存的DeviceA的主机公钥信息.
[DeviceB]displaypublic-keypeernamedeviceaKeyname:deviceaKeytype:RSAKeymodulus:1024Keycode:30819F300D06092A864886F70D010101050003818D0030818902818100DA3B90F59237347B8D41B58F8143512880139EC9111BFD31EB84B6B7C7A1470027AC8F04A827B30C2CAF79242E45FDFF51A9C7E917DB818D54CB7AEF538AB261557524A7441D288EC54A5D31EFAE4F6812576D7796490AF87A8C78F4A7E31F0793D8BA06FB95D54EBB9F94EB1F2D561BF66EA27DFD4788CB47440AF6BB25ACA50203010001通过对比可以看出,DeviceB上保存的DeviceA的主机公钥信息与DeviceA实际的主机公钥信息一致.
i目录1IPSourceGuard·1-11.
1IPSourceGuard简介·1-11.
1.
1概述1-11.
1.
2静态配置绑定表项·1-21.
1.
3动态获取绑定表项·1-21.
2IPSourceGuard配置限制和指导·1-21.
3IPSourceGuard配置任务简介·1-21.
4配置IPv4绑定功能·1-31.
4.
1配置IPv4接口绑定功能·1-31.
4.
2配置IPv4静态绑定表项·1-31.
5IPSourceGuard显示和维护1-41.
6IPSourceGuard典型配置举例·1-51.
6.
1IPv4静态绑定表项配置举例1-51.
6.
2与DHCPSnooping配合的IPv4动态绑定功能配置举例1-61.
6.
3与DHCP中继配合的IPv4动态绑定功能配置举例1-71-11IPSourceGuard设设支持两种运行模式:独立运行模式和IRF模式,缺省情况为独立运行模式.
有关IRF模式的介绍,请参见"虚拟化技术配置指导"中的"IRF".
1.
1IPSourceGuard简介1.
1.
1概述IPSourceGuard功能用于对接口收到的报文进行过滤控制,通常配置在接入用户侧的接口上,以防止非法用户报文通过,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了接口的安全性.
如图1-1所示,配置了IPSourceGuard功能的接口接收到用户报文后,首先查找与该接口绑定的表项(简称为绑定表项),如果报文的信息与某绑定表项匹配,则转发该报文,否则丢弃该报文.
IPSourceGuard可以根据报文的源IP地址、源MAC地址和VLAN标签对报文进行过滤.
报文的这些特征项可单独或组合起来与接口进行绑定,形成如下几类绑定表项:IP绑定表项MAC绑定表项IP+MAC绑定表项IP+VLAN绑定表项MAC+VLAN绑定表项IP+MAC+VLAN绑定表项IPSourceGuard绑定表项可以通过手工配置和动态获取两种方式生成.
设备仅支持IP+MAC绑定表项.
图1-1IPSourceGuard功能示意图IPSourceGuard的绑定功能是针针接口的,一个接口配置了绑定功能后,仅针该接口接收的报文进行限制,其它接口不受影响.
1-21.
1.
2静态配置绑定表项静态配置绑定表项是指通过命令行手工配置绑定表项,该方式适用于局域网络中主机数较少且主机使用静态配置IP地址的情况,比如在接入某重要服务器的接口上配置绑定表项,仅允许该接口接收与该服务器通信的报文.
IPv4静态绑定表项用于过滤接口收到的IPv4报文.
1.
1.
3动态获取绑定表项动态获取绑定表项是指通过获取其它模块生成的用户信息来生成绑定表项.
目前,可为IPSourceGuard提供表项信息的模块包括DHCPSnooping、DHCP中继和DHCP服务器模块.
这种动态获取绑定表项的方式,通常适用于局域网络中主机较多,且主机使用DHCP动态获取IP地址的情况.
其原理是每当局域网内的主机通过DHCP服务器获取到IP地址时,作为DHCPSnooping或DHCP中继的设备上就会生成一条DHCPSnooping表项或DHCP中继表项,并相应地增加一条IPSourceGuard绑定表项以允许该用户访问网络.
如果某个用户私自设置IP地址,则不会触发设备生成相应的DHCP表项,IPSourceGuard也不会增加相应的绑定表项,因此该用户的报文将会被丢弃.
在配置了IPv4动态绑定功能的接口上,IPSourceGuard通过与不同的模块配合动态生成绑定表项:在二层以太网端口上,IPSourceGuard可与DHCPSnooping配合,通过主机动态获取IP地址时产生的DHCPSnooping表项来生成动态绑定表项,并用于过滤报文.
在三层以太网接口、三层以太网子接口或VLAN接口上,IPSourceGuard可与DHCP中继配合,通过主机跨网段获取IP地址时产生的DHCP中继表项来生成动态绑定表项,并用于过滤报文.
在三层以太网接口、三层以太网子接口或VLAN接口上,IPSourceGuard可与DHCP服务器配合,通过DHCP服务器为主机动态分配IP地址时记录的用户信息来生成动态绑定表项,用于配合其它模块(例如ARPDetection)提供相关的安全服务,而不直接用于过滤报文.
DHCPSnooping功能的详细介绍请参见"用户接入配置指导"中的"DHCPSnooping".
DHCP中继功能的详细介绍请参见"用户接入配置指导"中的"DHCP中继".
DHCP服务器功能的详细介绍请参见"用户接入配置指导"中的"DHCP服务器".
1.
2IPSourceGuard配置限制和指导不支持同时配置IPSourceGuard功能和IPoE功能.
关于IPoE功能的详细介绍,请参见"用户接入配置指导"中的"IPoE".
1.
3IPSourceGuard配置任务简介表1-1IPv4绑定功能配置任务简介配置任务说明详细配置配置IPv4接口绑定功能必选1.
4.
1配置IPv4静态绑定表项可选1.
4.
21-31.
4配置IPv4绑定功能1.
4.
1配置IPv4接口绑定功能CSPEX-1204单板、CSPEX-1404S单板、CSPEX-1504S单板不支持IPv4动动绑定功能与DHCPSnooping配合使用.
配置了IPv4接口绑定功能的接口,将打开根据绑定表项过滤报文的开关,并利用配置的IPv4静态绑定表项和从其它模块获取的IPv4动态绑定表项对接口转发的报文进行过滤或者配合其它模块提供相关的安全服务.
(1)IPv4静态绑定表项中指定的信息均用于IPSourceGuard过滤接口收到的报文,具体配置请参考"1.
4.
2配置IPv4静态绑定表项".
(2)IPv4动态绑定表项中可能包含的内容有:MAC地址、IP地址、入接口信息及表项类型(DHCPSnooping、DHCP中继等).
IPSourceGuard依据该表项中的哪些信息过滤接口收到的报文,由IPv4接口绑定配置决定:若接口上配置动态绑定功能时绑定了源IP地址和MAC地址,则只有接口上收到的报文的源IPv4地址和源MAC地址都与某动态绑定表项匹配,该报文才能被正常转发,否则将被丢弃;若接口上配置动态绑定功能时仅绑定了源IP地址,则只有该接口收到的报文的源IPv4地址与某动态绑定表项匹配,该报文才会被正常转发,否则将被丢弃;若接口上配置动态绑定功能时仅绑定了源MAC地址,则只有该接口收到的报文的源MAC地址与某动态绑定表项匹配,该报文才会被正常转发,否则将被丢弃.
要实现IPv4动态绑定功能,请保证网络中的DHCPSnooping或者DHCP中继配置有效且工作正常.
表1-2配置IPv4接口绑定功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number可支持二层以太网端口/三层以太网接口/三层以太网子接口/VLAN接口配置IPv4接口绑定功能ipverifysource{ip-address|ip-addressmac-address|mac-address}缺省情况下,接口的IPv4接口绑定功能处于关闭状态IPv4接口绑定功能可多次配置,最后一次的配置生效1.
4.
2配置IPv4静态绑定表项IPv4静态绑定表项包括全局的IPv4静态绑定表项和接口的IPv4静态绑定表项.
接口的IPv4静态绑定表项和动态绑定表项的优先级高于全局的IPv4静态绑定表项,即接口优先使用本接口上的静态或动态绑定表项对收到的报文进行匹配,若匹配失败,再与全局的静态绑定表项进行匹配.
1-4CSPEX-1204单板、CSPEX-1404S单板、CSPEX-1504S单板不支持本功能.
1.
配置全局的IPv4静态绑定表项全局的IPv4静态绑定表项中定义了接口允许转发的报文的IP地址和MAC地址,对设备的所有接口都生效.
表1-3配置全局的IPv4静态绑定表项操作命令说明进入系统视图system-view-配置全局的IPv4静态绑定表项ipsourcebindingip-addressip-addressmac-addressmac-address缺省情况下,设备上无全局的IPv4静态绑定表项2.
配置接口的IPv4静态绑定表项表1-4配置接口的IPv4静态绑定表项操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number可支持二层以太网端口/三层以太网接口/三层以太网子接口/VLAN接口配置接口的IPv4静态绑定表项ipsourcebinding{ip-addressip-address|ip-addressip-addressmac-addressmac-address|mac-addressmac-address}[vlanvlan-id]缺省情况下,接口上无IPv4静态绑定表项vlanvlan-id参数仅在二层以太网接口视图下支持,设备暂不支持本参数同一个表项不能在同一个接口上重复绑定,但可以在不同的接口上绑定.
1.
5IPSourceGuard显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后IPSourceGuard的运行情况,通过查看显示信息验证配置的效果.
表1-5IPSourceGuard显示和维护(IPv4)操作命令显示IPv4绑定表项信息(独立运行模式)displayipsourcebinding[static|[vpn-instancevpn-instance-name][dhcp-relay|dhcp-server|dhcp-snooping|dot1x]][ip-addressip-address][mac-addressmac-address][vlanvlan-id][interfaceinterface-typeinterface-number][slotslot-number]显示IPv4绑定表项信息(IRF模式)displayipsourcebinding[static|[vpn-instancevpn-instance-name][dhcp-relay|dhcp-server|dhcp-snooping|dot1x]][ip-addressip-address][mac-addressmac-address][vlanvlan-id][interfaceinterface-typeinterface-number][chassischassis-numberslotslot-number]1-51.
6IPSourceGuard典型配置举例1.
6.
1IPv4静态绑定表项配置举例1.
组网需求如图1-2所示,HostA、HostB分别与DeviceB的接口GigabitEthernet1/0/2、GigabitEthernet1/0/1相连;HostC与DeviceA的接口GigabitEthernet1/0/2相连.
DeviceB接到DeviceA的接口GigabitEthernet1/0/1上.
各主机均使用静态配置的IP地址.
要求通过在DeviceA和DeviceB上配置IPv4静态绑定表项,满足以下各项应用需求:DeviceA的接口GigabitEthernet1/0/2上只允许HostC发送的IP报文通过.
DeviceA的接口GigabitEthernet1/0/1上只允许HostA发送的IP报文通过.
DeviceB上的所有接口都允许HostA发送的IP报文通过.
DeviceB的接口GigabitEthernet1/0/1上允许HostB发送的IP报文通过.
2.
组网图图1-2配置静态绑定表项组网图3.
配置步骤(1)配置DeviceA#配置各接口的IP地址(略).
#在接口GigabitEthernet1/0/2上配置IPv4接口绑定功能,绑定源IP地址和MAC地址.
system-view[DeviceA]interfacegigabitethernet1/0/2[DeviceA-GigabitEthernet1/0/2]ipverifysourceip-addressmac-address#配置IPv4静态绑定表项,在DeviceA的GigabitEthernet1/0/2上只允许MAC地址为0001-0203-0405、IP地址为192.
168.
0.
3的数据终端HostC发送的IP报文通过.
[DeviceA-GigabitEthernet1/0/2]ipsourcebindingip-address192.
168.
0.
3mac-address0001-0203-0405[DeviceA-GigabitEthernet1/0/2]quit#在接口GigabitEthernet1/0/1上配置IPv4接口绑定功能,绑定源IP地址和MAC地址.
[DeviceA]interfacegigabitethernet1/0/1[DeviceA-GigabitEthernet1/0/1]ipverifysourceip-addressmac-address#配置在DeviceA的GigabitEthernet1/0/1上只允许MAC地址为0001-0203-0406、IP地址为192.
168.
0.
1的数据终端HostA发送的IP报文通过.
[DeviceA-GigabitEthernet1/0/1]ipsourcebindingip-address192.
168.
0.
1mac-address0001-0203-0406[DeviceA-GigabitEthernet1/0/1]quitIP:192.
168.
0.
3/24MAC:0001-0203-0405IP:192.
168.
0.
1/24MAC:0001-0203-0406HostAIP:192.
168.
0.
2/24MAC:0001-0203-0407HostBHostCGE1/0/2GE1/0/1GE1/0/2GE1/0/1DeviceADeviceB1-6(2)配置DeviceB#配置各接口的IP地址(略).
#在接口GigabitEthernet1/0/2上配置IPv4接口绑定功能,绑定源IP地址和MAC地址.
system-view[DeviceB]interfacegigabitethernet1/0/2[DeviceB-GigabitEthernet1/0/2]ipverifysourceip-addressmac-address[DeviceB-GigabitEthernet1/0/2]quit#配置IPv4静态绑定表项,在DeviceB上的所有接口都允许MAC地址为0001-0203-0406、IP地址为192.
168.
0.
1的数据终端HostA发送的IP报文通过.
[DeviceB]ipsourcebindingip-address192.
168.
0.
1mac-address0001-0203-0406#在接口GigabitEthernet1/0/1上配置IPv4接口绑定功能,绑定源IP地址和MAC地址.
[DeviceB]interfacegigabitethernet1/0/1[DeviceB-GigabitEthernet1/0/1]ipverifysourceip-addressmac-address#配置IPv4静态绑定表项,在DeviceB的GigabitEthernet1/0/1上允许MAC地址为0001-0203-0407的数据终端HostB发送的IP报文通过.
[DeviceB]interfacegigabitethernet1/0/1[DeviceB-GigabitEthernet1/0/1]ipsourcebindingmac-address0001-0203-0407[DeviceB-GigabitEthernet1/0/1]quit4.
验证配置#在DeviceA上显示IPv4静态绑定表项,可以看出以上配置成功.
displayipsourcebindingstaticTotalentriesfound:2IPAddressMACAddressInterfaceVLANType192.
168.
0.
10001-0203-0405GE1/0/2N/AStatic192.
168.
0.
30001-0203-0406GE1/0/1N/AStatic#在DeviceB上显示IPv4静态绑定表项,可以看出以上配置成功.
displayipsourcebindingstaticTotalentriesfound:2IPAddressMACAddressInterfaceVLANType192.
168.
0.
10001-0203-0406N/AN/AStaticN/A0001-0203-0407GE1/0/1N/AStatic1.
6.
2与DHCPSnooping配合的IPv4动态绑定功能配置举例CSPEX-1204单板、CSPEX-1404S单板、CSPEX-1504S单板不支持IPv4动动绑定功能与DHCPSnooping配合使用.
1.
组网需求DHCP客户端通过Device的接口GigabitEthernet1/0/1接入网络,通过DHCP服务器获取IPv4地址.
具体应用需求如下:Device上使能DHCPSnooping功能,保证客户端从合法的服务器获取IP地址,且记录客户端IPv4地址及MAC地址的绑定关系.
在接口GigabitEthernet1/0/1上启用IPv4动态绑定功能,利用动态生成的DHCPSnooping表项过滤接口接收的报文,只允许通过DHCP服务器动态获取IP地址的客户端接入网络.
DHCP服务器的具体配置请参见"用户接入配置指导"中的"DHCP服务器".
1-72.
组网图图1-3配置与DHCPSnooping配合的IPv4动态绑定功能组网图3.
配置步骤(1)配置DHCPSnooping#配置各接口的IP地址(略).
#开启DHCPSnooping功能.
system-view[Device]dhcpsnoopingenable#设置与DHCP服务器相连的接口GigabitEthernet1/0/2为信任接口.
[Device]interfacegigabitethernet1/0/2[Device-GigabitEthernet1/0/2]portlink-modebridge[Device-GigabitEthernet1/0/2]dhcpsnoopingtrust[Device-GigabitEthernet1/0/2]quit(2)配置IPv4接口绑定功能#配置接口GigabitEthernet1/0/1的IPv4接口绑定功能,绑定源IP地址和MAC地址,并启用接口的DHCPSnooping表项记录功能.
[Device]interfacegigabitethernet1/0/1[Device-GigabitEthernet1/0/1]portlink-modebridge[Device-GigabitEthernet1/0/1]ipverifysourceip-addressmac-address[Device-GigabitEthernet1/0/1]dhcpsnoopingbindingrecord[Device-GigabitEthernet1/0/1]quit4.
验证配置#显示接口GigabitEthernet1/0/1从DHCPSnooping获取的动态表项.
[Device]displayipsourcebindingdhcp-snoopingTotalentriesfound:1IPAddressMACAddressInterfaceVLANType192.
168.
0.
10001-0203-0406GE1/0/1N/ADHCPsnooping从以上显示信息可以看出,接口GigabitEthernet1/0/1在配置IPv4接口绑定功能之后根据DHCPSnooping表项产生了动态绑定表项.
1.
6.
3与DHCP中继配合的IPv4动态绑定功能配置举例1.
组网需求Router通过接口GigabitEthernet1/0/1和GigabitEthernet1/0/2分别与客户端Host和DHCP服务器相连.
Router上配置DHCP中继功能.
具体应用需求如下:Host通过DHCP中继从DHCP服务器上获取IP地址.
在接口GigabitEthernet1/0/1上启用IPv4动态绑定功能,利用Router上生成的DHCP中继表项,过滤接口接收的报文.
1-82.
组网图图1-4配置与DHCP中继配合的IPv4动态绑定功能组网图3.
配置步骤(1)配置DHCP中继#配置各接口的IP地址(略).
#开启DHCP服务.
system-view[Router]dhcpenable#开启DHCP中继用户地址表项记录功能.
[Router]dhcprelayclient-informationrecord#配置接口GigabitEthernet1/0/1工作在DHCP中继模式.
[Router]interfacegigabitethernet1/0/1[Router-GigabitEthernet1/0/1]dhcpselectrelay#指定DHCP服务器的地址.
[Router-GigabitEthernet1/0/1]dhcprelayserver-address10.
1.
1.
1[Router-GigabitEthernet1/0/1]quit(2)配置IPv4动态绑定功能#在接口GigabitEthernet1/0/1上配置IPv4接口绑定功能,绑定源IP地址和MAC地址.
[Router]interfacegigabitethernet1/0/1[Router-GigabitEthernet1/0/1]ipverifysourceip-addressmac-address[Router-GigabitEthernet1/0/1]quit4.
验证配置#显示生成的IPv4动态绑定表项信息.
[Router]displayipsourcebindingdhcp-relayTotalentriesfound:1IPAddressMACAddressInterfaceVLANType192.
168.
0.
10001-0203-0406GE1/0/1N/ADHCPrelayi目录1ARP攻击防御·1-11.
1ARP攻击防御简介1-11.
2ARP攻击防御配置任务简介·1-11.
3配置ARP防止IP报文攻击功能1-21.
3.
1ARP防止IP报文攻击功能简介·1-21.
3.
2配置ARP防止IP报文攻击功能·1-21.
3.
3ARP防止IP报文攻击显示和维护·1-31.
3.
4ARP防止IP报文攻击配置举例·1-31.
4配置ARP报文限速功能·1-41.
4.
1ARP报文限速功能简介1-41.
4.
2配置ARP报文限速功能1-41.
5配置源MAC地址固定的ARP攻击检测功能1-51.
5.
1源MAC地址固定的ARP攻击检测功能简介1-51.
5.
2配置源MAC地址固定的ARP攻击检测功能1-51.
5.
3源MAC地址固定的ARP攻击检测显示和维护·1-61.
5.
4源MAC地址固定的ARP攻击检测功能配置举例1-61.
6配置ARP报文源MAC地址一致性检查功能1-71.
6.
1ARP报文源MAC地址一致性检查功能简介1-71.
6.
2配置ARP报文源MAC地址一致性检查功能1-71.
7配置ARP主动确认功能·1-71.
7.
1ARP主动确认功能简介1-71.
7.
2配置ARP主动确认功能1-91.
8配置授权ARP功能1-91.
8.
1授权ARP功能简介·1-91.
8.
2配置授权ARP功能·1-91.
8.
3授权ARP功能在DHCP服务器上的典型配置举例·1-91.
8.
4授权ARP功能在DHCP中继上的典型配置举例·1-101.
9配置ARPDetection功能·1-121.
9.
1ARPDetection功能简介1-121.
9.
2配置ARPDetection功能1-131.
9.
3ARPDetection显示和维护·1-141.
9.
4用户合法性检查和报文有效性检查配置举例·1-141.
10配置ARP自动扫描、固化功能·1-161.
10.
1ARP自动扫描、固化功能简介1-161.
10.
2配置ARP自动扫描、固化功能1-161.
11配置ARP网关保护功能·1-171.
11.
1ARP网关保护功能简介1-17ii1.
11.
2配置ARP网关保护功能1-171.
11.
3ARP网关保护功能配置举例·1-171.
12配置ARP过滤保护功能·1-181.
12.
1ARP过滤保护功能简介1-181.
12.
2配置ARP过滤保护功能1-181.
12.
3ARP过滤保护功能配置举例·1-191-11ARP攻击防御设设支持两种运行模式:独立运行模式和IRF模式,缺省情况为独立运行模式.
有关IRF模式的介绍,请参见"虚拟化技术配置指导"中的"IRF".
1.
1ARP攻击防御简介ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用.
攻击者可以仿冒用户、仿冒网关发送伪造的ARP报文,使网关或主机的ARP表项不正确,从而对网络进行攻击.
攻击者通过向设备发送大量目标IP地址不能解析的IP报文,使得设备试图反复地对目标IP地址进行解析,导致CPU负荷过重及网络流量过大.
攻击者向设备发送大量ARP报文,对设备的CPU形成冲击.
关于ARP攻击报文的特点以及ARP攻击类型的详细介绍,请参见"ARP攻击防范技术白皮书".
目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行防范、检测和解决.
下面将详细介绍一下这些技术的原理以及配置.
1.
2ARP攻击防御配置任务简介表1-1ARP攻击防御配置任务简介配置任务说明详细配置防止泛洪攻击配置ARP防止IP报文攻击功能配置ARP源抑制功能可选建议在网关设备上配置本功能1.
3配置ARP黑洞路由功能可选建议在网关设备上配置本功能配置ARP报文限速功能可选建议在接入设备上配置本功能1.
4配置源MAC地址固定的ARP攻击检测功能可选建议在网关设备上配置本功能1.
4防止仿冒用户、仿冒网关攻击配置ARP报文源MAC地址一致性检查功能可选建议在网关设备上配置本功能1.
6配置ARP主动确认功能可选建议在网关设备上配置本功能1.
7配置授权ARP功能可选建议在网关设备上配置本功能1.
8配置ARPDetection功能可选建议在接入设备上配置本功能1.
91-2配置任务说明详细配置配置ARP自动扫描、固化功能可选建议在网关设备上配置本功能1.
10配置ARP网关保护功能可选建议在接入设备上配置本功能1.
11配置ARP过滤保护功能可选建议在接入设备上配置本功能1.
121.
3配置ARP防止IP报文攻击功能1.
3.
1ARP防止IP报文攻击功能简介如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害:设备向目的网段发送大量ARP请求报文,加重目的网段的负载.
设备会试图反复地对目标IP地址进行解析,增加了CPU的负担.
为避免这种IP报文攻击所带来的危害,设备提供了下列两个功能:ARP源抑制功能:如果发送攻击报文的源是固定的,可以采用ARP源抑制功能.
开启该功能后,如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害.
ARP黑洞路由功能:无论发送攻击报文的源是否固定,都可以采用ARP黑洞路由功能.
开启该功能后,一旦接收到目标IP地址不能解析的IP报文,设备立即产生一个黑洞路由,使得设备在一段时间内将去往该地址的报文直接丢弃.
等待黑洞路由老化时间过后,如有报文触发则再次发起解析,如果解析成功则进行转发,否则仍然产生一个黑洞路由将去往该地址的报文丢弃.
这种方式能够有效地防止IP报文的攻击,减轻CPU的负担.
1.
3.
2配置ARP防止IP报文攻击功能1.
配置ARP源抑制功能表1-2配置ARP源抑制功能操作命令说明进入系统视图system-view-使能ARP源抑制功能arpsource-suppressionenable缺省情况下,ARP源抑制功能处于关闭状态配置ARP源抑制的阈值arpsource-suppressionlimitlimit-value缺省情况下,ARP源抑制的阈值为102.
配置ARP黑洞路由功能表1-3配置ARP黑洞路由功能操作命令说明进入系统视图system-view-1-3操作命令说明使能ARP黑洞路由功能arpresolving-routeenable缺省情况下,ARP黑洞路由功能处于开启状态1.
3.
3ARP防止IP报文攻击显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP源抑制的运行情况,通过查看显示信息验证配置的效果.
表1-4ARP防止IP报文攻击显示和维护操作命令显示ARP源抑制的配置信息displayarpsource-suppression1.
3.
4ARP防止IP报文攻击配置举例1.
组网需求某局域网内存在两个区域:研发区和办公区,分别属于VLAN10和VLAN20,通过接入交换机连接到网关Device,如图1-1所示.
网络管理员在监控网络时发现办公区存在大量ARP请求报文,通过分析认为存在IP泛洪攻击,为避免这种IP报文攻击所带来的危害,可采用ARP源抑制功能和ARP黑洞路由功能.
2.
组网图图1-1ARP防止IP报文攻击配置组网图3.
配置思路对攻击报文进行分析,如果发送攻击报文的源地址是固定的,采用ARP源抑制功能.
在Device上做如下配置:使能ARP源抑制功能;1-4配置ARP源抑制的阈值为100,即当每5秒内的ARP请求报文的流量超过100后,对于由此IP地址发出的IP报文,设备不允许其触发ARP请求,直至5秒后再处理.
如果发送攻击报文的源地址是不固定的,则采用ARP黑洞路由功能,在Device上配置ARP黑洞路由功能.
4.
配置步骤配置ARP源抑制功能#使能ARP源抑制功能,并配置ARP源抑制的阈值为100.
system-view[Device]arpsource-suppressionenable[Device]arpsource-suppressionlimit100配置ARP黑洞路由功能#使能ARP黑洞路由功能.
[Device]arpresolving-routeenable1.
4配置ARP报文限速功能1.
4.
1ARP报文限速功能简介ARP报文限速功能是指对上送CPU的ARP报文进行限速,可以防止大量ARP报文对CPU进行冲击.
例如,在配置了ARPDetection功能后,设备会将收到的ARP报文重定向到CPU进行检查,这样引入了新的问题:如果攻击者恶意构造大量ARP报文发往设备,会导致设备的CPU负担过重,从而造成其他功能无法正常运行甚至设备瘫痪,这个时候可以配置ARP报文限速功能来控制上送CPU的ARP报文的速率.
建议用户在配置了ARPDetection或者发现有ARP泛洪攻击的情况下,配置ARP报文限速功能.
1.
4.
2配置ARP报文限速功能设备上配置ARP报文限速功能后,当接口上单位时间收到的ARP报文数量超过用户设定的限速值,设备处理方式如下:当开启了ARP模块的告警功能后,设备将这个时间间隔内的超速峰值作为告警信息发送出去,生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性.
有关告警信息的详细介绍请参见"网络管理和监控命令参考"中的SNMP;当开启了ARP限速日志功能后,设备将这个时间间隔内的超速峰值作为日志的速率值发送到设备的信息中心,通过设置信息中心的参数,最终决定日志报文的输出规则(即是否允许输出以及输出方向).
有关信息中心参数的配置请参见"网络管理和监控配置指导"中的"信息中心".
为防止过多的告警和日志信息干扰用户工作,用户可以设定信息的发送时间间隔.
当用户设定的时间间隔超时时,设备执行发送告警或日志的操作.
表1-5配置ARP报文限速功能操作命令说明进入系统视图system-view-(可选)开启ARP模块的告警功能snmp-agenttrapenablearp[rate-limit]缺省情况下,ARP模块的告警功能处于关闭状态(可选)开启ARP报文限速日志功能arprate-limitlogenable缺省情况下,设备的ARP报文限速日志功能处于关闭状态1-5操作命令说明(可选)配置当设备收到的ARP报文速率超过用户设定的限速值时,设备发送告警或日志的时间间隔arprate-limitlogintervalinterval缺省情况下,当设备收到的ARP报文速率超过用户设定的限速值时,设备发送告警或日志的时间间隔为60秒进入二层以太网接口/二层聚合接口视图/三层以太网接口/三层聚合接口视图interfaceinterface-typeinterface-number-开启ARP报文限速功能arprate-limit[pps]缺省情况下,ARP报文限速功能处于开启状态如果开启了ARP报文限速的告警和日志功能,并在二层聚合接口上开启了ARP报文限速功能,则只要聚合成员接口上的ARP报文速率超过用户设定的限速值,就会发送告警和日志信息.
1.
5配置源MAC地址固定的ARP攻击检测功能1.
5.
1源MAC地址固定的ARP攻击检测功能简介本特性根据ARP报文的源MAC地址对上送CPU的ARP报文进行统计,在5秒内,如果收到同一源MAC地址(源MAC地址固定)的ARP报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中.
在该攻击检测表项老化之前,如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ARP报文过滤掉;如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ARP报文过滤掉.
对于网关或一些重要的服务器,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该设备存在攻击也不会被检测、过滤.
1.
5.
2配置源MAC地址固定的ARP攻击检测功能表1-6配置源MAC地址固定的ARP攻击检测功能配置步骤命令说明进入系统视图system-view-使能源MAC地址固定的ARP攻击检测功能,并选择检查模式arpsource-mac{filter|monitor}缺省情况下,源MAC地址固定的ARP攻击检测功能处于关闭状态配置源MAC地址固定的ARP报文攻击检测的阈值arpsource-macthresholdthreshold-value缺省情况下,源MAC地址固定的ARP报文攻击检测阈值为30个配置源MAC地址固定的ARP攻击检测表项的老化时间arpsource-macaging-timetime缺省情况下,源MAC地址固定的ARP攻击检测表项的老化时间为300秒,即5分钟(可选)配置保护MAC地址arpsource-macexclude-macmac-address&缺省情况下,没有配置任何保护MAC地址n最大值为101-6对于已添加到源MAC地址固定的ARP攻击击击表项中的MAC地址,在等待设置的老化时时后,会重新恢复成普通MAC地址.
1.
5.
3源MAC地址固定的ARP攻击检测显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后源MAC地址固定的ARP攻击检测的运行情况,通过查看显示信息验证配置的效果.
表1-7源MAC地址固定的ARP攻击检测显示和维护操作命令显示检测到的源MAC地址固定的ARP攻击检测表项(独立运行模式)displayarpsource-mac{slotslot-number|interfaceinterface-typeinterface-number}显示检测到的源MAC地址固定的ARP攻击检测表项(IRF模式)displayarpsource-mac{chassischassis-numberslotslot-number|interfaceinterface-typeinterface-number}1.
5.
4源MAC地址固定的ARP攻击检测功能配置举例1.
组网需求某局域网内客户端通过网关与外部网络通信,网络环境如图1-2所示.
网络管理员希望能够防止因恶意用户对网关发送大量ARP报文,造成设备瘫痪,并导致其它用户无法正常地访问外部网络;同时,对于正常的大量ARP报文仍然会进行处理.
2.
组网图图1-2源MAC地址固定的ARP攻击检测功能配置组网图1-73.
配置思路如果恶意用户发送大量报文的源MAC地址是使用客户端合法的MAC地址,并且源MAC是固定的,可以在网关上进行如下配置:使能源MAC固定ARP攻击检测功能,并选择过滤模式;配置源MAC固定ARP报文攻击检测的阈值;配置源MAC固定的ARP攻击检测表项的老化时间;配置服务器的MAC为保护MAC,使服务器可以发送大量ARP报文.
4.
配置步骤#使能源MAC固定ARP攻击检测功能,并选择过滤模式.
system-view[Device]arpsource-macfilter#配置源MAC固定ARP报文攻击检测阈值为30个.
[Device]arpsource-macthreshold30#配置源MAC地址固定的ARP攻击检测表项的老化时间为60秒.
[Device]arpsource-macaging-time60#配置源MAC固定攻击检查的保护MAC地址为0012-3f86-e94c.
[Device]arpsource-macexclude-mac0012-3f86-e94c1.
6配置ARP报文源MAC地址一致性检查功能1.
6.
1ARP报文源MAC地址一致性检查功能简介ARP报文源MAC地址一致性检查功能主要应用于网关设备上,防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击.
配置本特性后,网关设备在进行ARP学习前将对ARP报文进行检查.
如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习.
1.
6.
2配置ARP报文源MAC地址一致性检查功能表1-8配置ARP报文源MAC地址一致性检查功能配置步骤命令说明进入系统视图system-view-使能ARP报文源MAC地址一致性检查功能arpvalid-checkenable缺省情况下,ARP报文源MAC地址一致性检查功能处于关闭状态1.
7配置ARP主动确认功能1.
7.
1ARP主动确认功能简介ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备.
启用ARP主动确认功能后,设备在新建或更新ARP表项前需进行主动确认,防止产生错误的ARP表项.
未启用ARP主动确认功能时,设备收到一个ARP报文的处理过程如下:1-8如果设备的ARP表中没有与此ARP报文源IP地址对应的ARP表项,设备会根据ARP报文中携带的源IP地址、源MAC地址信息新建ARP表项.
如果设备的ARP表中存在与此ARP报文源IP地址对应的ARP表项,设备会根据ARP报文中携带的源IP地址、源MAC地址信息更新对应的ARP表项.
启用ARP主动确认功能后,设备在新建或更新ARP表项前需进行主动确认,防止产生错误的ARP表项.
下面将详细介绍其工作原理.
1.
新建ARP表项前的主动确认设备收到一个ARP报文,若当前设备ARP表中没有与此ARP报文源IP地址对应的ARP表项,设备会首先验证该ARP报文的真实性.
设备会采用收到的ARP报文的源IP地址发送一个广播ARP请求报文,如果在随后的3秒内收到ARP应答报文,将对前期收到的ARP报文与此次收到的ARP应答报文进行比较(比较内容包括:源IP地址、源MAC地址、报文接收端口).
如果两个报文一致,则认为收到的ARP报文为真实报文,并根据此报文在ARP表中新建对应的表项.
如果两个报文不一致,则认为收到的ARP报文为攻击报文,设备会忽略之前收到ARP报文,ARP表中不会新建对应的表项.
2.
更新ARP表项前的主动确认设备收到一个ARP报文(报文A),若当前设备ARP表中已有与报文A源IP地址对应的ARP表项,但报文A携带的源MAC地址和现有ARP表项中的MAC地址不相同,设备就需要判断当前ARP表项的正确性以及报文A的真实性.
(1)确定是否启动ARP表项正确性检查为了避免短时间内多次收到来自同一源IP地址的ARP报文导致的ARP表项频繁更新,设备会首先判断该ARP表项的刷新时间是否超过1分钟.
如果没有超过1分钟,则设备不会对ARP表项进行更新.
如果已经超过1分钟,设备将启动当前ARP表项的正确性检查.
(2)启动ARP表项的正确性检查设备会向ARP表项对应的源发送一个单播ARP请求报文(报文的目的IP地址、目的MAC地址采用ARP表项中的IP地址、MAC地址).
如果在随后的5秒内收到ARP应答报文(报文B),将比较当前ARP表项中的IP地址、MAC地址与报文B的源IP地址、源MAC地址是否一致.
如果一致,则认为报文A为攻击报文、ARP表项不会更新.
如果不一致,设备将启动报文A的真实性检查.
(3)启动报文A的真实性检查设备会向报文A对应的源发送一个单播ARP请求报文(报文的目的IP地址、目的MAC地址采用报文A的源IP地址、源MAC地址).
如果在随后的5秒内收到ARP应答报文(报文C),将比较报文A与报文C的源IP地址、源MAC地址是否一致.
如果一致,则认为报文A为真实报文,并根据报文A更新ARP表中对应表项.
如果不一致,则认为报文A为攻击报文,设备会忽略收到的报文A,ARP表项不会更新.
使能主动确认严格模式后,新建ARP表项前,ARP主动确认功能会执行更严格的检查:收到目标IP为自己的ARP请求报文时,设备会发送ARP应答报文,但不建立表项.
收到ARP应答报文时,需要确认本设备是否对该报文中源IP地址发起过ARP解析,若发起过解析,解析成功后设备启动主动确认功能,在主动确认流程成功完成后,设备建立该表项;若未发起过解析,设备直接丢弃该报文.
1-91.
7.
2配置ARP主动确认功能表1-9配置ARP主动确认功能配置步骤命令说明进入系统视图system-view-使能ARP主动确认功能arpactive-ack[strict]enable缺省情况下,ARP主动确认功能处于关闭状态1.
8配置授权ARP功能1.
8.
1授权ARP功能简介所谓授权ARP(AuthorizedARP),就是动态学习ARP的过程中,只有和DHCP服务器生成的租约或DHCP中继生成的安全表项一致的ARP报文才能够被学习.
关于DHCP服务器和DHCP中继的介绍,请参见"用户接入配置指导"中的"DHCP服务器"和"DHCP中继".
使能接口的授权ARP功能后,系统会禁止该接口学习动态ARP表项,可以防止用户仿冒其他用户的IP地址或MAC地址对网络进行攻击,保证只有合法的用户才能使用网络资源,增加了网络的安全性.
1.
8.
2配置授权ARP功能表1-10配置授权ARP功能操作命令说明进入系统视图system-view-进入三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口视图/VLAN接口视图interfaceinterface-typeinterface-number-使能授权ARP功能arpauthorizedenable缺省情况下,接口下的授权ARP功能处于关闭状态1.
8.
3授权ARP功能在DHCP服务器上的典型配置举例1.
组网需求DeviceA是DHCP服务器,为同一网段中的客户端动态分配IP地址,地址池网段为10.
1.
1.
0/24.
通过在接口GigabitEthernet1/0/1上启用授权ARP功能来保证客户端的合法性.
DeviceB是DHCP客户端,通过DHCP协议从DHCP服务器获取IP地址.
2.
组网图图1-3授权ARP功能典型配置组网图1-103.
配置步骤(1)配置DeviceA#配置接口的IP地址.
system-view[DeviceA]interfacegigabitethernet1/0/1[DeviceA-GigabitEthernet1/0/1]ipaddress10.
1.
1.
124[DeviceA-GigabitEthernet1/0/1]quit#使能DHCP服务.
[DeviceA]dhcpenable[DeviceA]dhcpserverip-pool1[DeviceA-dhcp-pool-1]network10.
1.
1.
0mask255.
255.
255.
0[DeviceA-dhcp-pool-1]quit#进入三层以太网接口视图.
[DeviceA]interfacegigabitethernet1/0/1#使能接口授权ARP功能.
[DeviceA-GigabitEthernet1/0/1]arpauthorizedenable[DeviceA-GigabitEthernet1/0/1]quit(2)配置DeviceBsystem-view[DeviceB]interfacegigabitethernet1/0/1[DeviceB-GigabitEthernet1/0/1]ipaddressdhcp-alloc[DeviceB-GigabitEthernet1/0/1]quit(3)DeviceB获得DeviceA分配的IP后,在DeviceA查看授权ARP信息.
[DeviceA]displayarpallType:S-StaticD-DynamicO-OpenflowR-RuleI-InvalidIPaddressMACaddressVLANInterfaceAgingType10.
1.
1.
20012-3f86-e94cN/AGE1/0/120D从以上信息可以获知DeviceA为DeviceB动态分配的IP地址为10.
1.
1.
2.
此后,DeviceB与DeviceA通信时采用的IP地址、MAC地址等信息必须和授权ARP表项中的一致,否则将无法通信,保证了客户端的合法性.
1.
8.
4授权ARP功能在DHCP中继上的典型配置举例1.
组网需求DeviceA是DHCP服务器,为不同网段中的客户端动态分配IP地址,地址池网段为10.
10.
1.
0/24.
DeviceB是DHCP中继,通过在接口GigabitEthernet1/0/2上启用授权ARP功能来保证客户端的合法性.
DeviceC是DHCP客户端,通过DHCP中继从DHCP服务器获取IP地址.
1-112.
组网图图1-4授权ARP功能典型配置组网图3.
配置步骤(1)配置DeviceA#配置接口的IP地址.
system-view[DeviceA]interfacegigabitethernet1/0/1[DeviceA-GigabitEthernet1/0/1]ipaddress10.
1.
1.
124[DeviceA-GigabitEthernet1/0/1]quit#启用DHCP服务.
[DeviceA]dhcpenable[DeviceA]dhcpserverip-pool1[DeviceA-dhcp-pool-1]network10.
10.
1.
0mask255.
255.
255.
0[DeviceA-dhcp-pool-1]gateway-list10.
10.
1.
1[DeviceA-dhcp-pool-1]quit[DeviceA]iproute-static10.
10.
1.
02410.
1.
1.
2(2)配置DeviceB#启用DHCP服务.
system-view[DeviceB]dhcpenable#配置接口的IP地址.
[DeviceB]interfacegigabitethernet1/0/1[DeviceB-GigabitEthernet1/0/1]ipaddress10.
1.
1.
224[DeviceB-GigabitEthernet1/0/1]quit[DeviceB]interfacegigabitethernet1/0/2[DeviceB-GigabitEthernet1/0/2]ipaddress10.
10.
1.
124#配置GigabitEthernet1/0/2接口工作在DHCP中继模式.
[DeviceB-GigabitEthernet1/0/2]dhcpselectrelay#配置DHCP服务器的地址.
[DeviceB-GigabitEthernet1/0/2]dhcprelayserver-address10.
1.
1.
1#启用接口授权ARP功能.
[DeviceB-GigabitEthernet1/0/2]arpauthorizedenable[DeviceB-GigabitEthernet1/0/2]quit#开启DHCP中继用户地址表项记录功能.
[DeviceB]dhcprelayclient-informationrecord(3)配置DeviceCsystem-view[DeviceC]iproute-static10.
1.
1.
02410.
10.
1.
1DHCPclientDHCPserverDeviceADeviceCGE1/0/110.
1.
1.
1/24GE1/0/2DHCPrelayagentDeviceBGE1/0/110.
1.
1.
2/24GE1/0/210.
10.
1.
1/241-12[DeviceC]interfacegigabitethernet1/0/2[DeviceC-GigabitEthernet1/0/2]ipaddressdhcp-alloc[DeviceC-GigabitEthernet1/0/2]quit4.
验证配置DeviceC获得DeviceA分配的IP后,在DeviceB查看授权ARP信息.
[DeviceB]displayarpallType:S-StaticD-DynamicO-OpenflowR-RuleI-InvalidIPaddressMACaddressVLANInterfaceAgingType10.
10.
1.
20012-3f86-e94cN/AGE1/0/220D从以上信息可以获知DeviceA为DeviceC动态分配的IP地址为10.
10.
1.
2.
此后,DeviceC与DeviceB通信时采用的IP地址、MAC地址等信息必须和授权ARP表项中的一致,否则将无法通信,保证了客户端的合法性.
1.
9配置ARPDetection功能1.
9.
1ARPDetection功能简介ARPDetection功能主要应用于接入设备上,对于合法用户的ARP报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击.
ARPDetection包含三个功能:用户合法性检查、ARP报文有效性检查、ARP报文强制转发.
1.
用户合法性检查对于ARP信任接口,不进行用户合法性检查;对于ARP非信任接口,需要进行用户合法性检查,以防止仿冒用户的攻击.
用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在接口上的合法用户,包括基于IPSourceGuard静态绑定表项的检查、基于DHCPSnooping表项的检查.
只要符合其中的任何一个,就认为该ARP报文合法,进行转发.
如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃.
IPSourceGuard静态绑定表项通过ipsourcebinding命令生成,详细介绍请参见"安全配置指导"中的"IPSourceGuard".
DHCPSnooping安全表项通过DHCPSnooping功能自动生成,详细介绍请参见"用户接入配置指导"中的"DHCPSnooping".
2.
ARP报文有效性检查对于ARP信任接口,不进行报文有效性检查;对于ARP非信任接口,需要根据配置对MAC地址和IP地址不合法的报文进行过滤.
可以选择配置源MAC地址、目的MAC地址或IP地址检查模式.
源MAC地址的检查模式:会检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致则认为有效,否则丢弃报文;目的MAC地址的检查模式(只针对ARP应答报文):会检查ARP应答报文中的目的MAC地址是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致.
全0、全1、不一致的报文都是无效的,需要被丢弃;IP地址检查模式:会检查ARP报文中的源IP或目的IP地址,如全1、或者组播IP地址都是不合法的,需要被丢弃.
对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址.
3.
ARP报文强制转发对于从ARP信任接口接收到的ARP报文不受此功能影响,按照正常流程进行转发;对于从ARP非信任接口接收到的并且已经通过用户合法性检查的ARP报文的处理过程如下:对于ARP请求报文,通过信任接口进行转发;1-13对于ARP应答报文,首先按照报文中的以太网目的MAC地址进行转发,若在MAC地址表中没有查到目的MAC地址对应的表项,则将此ARP应答报文通过信任接口进行转发.
ARP报文强制转发功能不支持目的MAC地址为多端口MAC的情况.
如果既配置了报文有效性击检功能,又配置了用户合法性击检功能,那么先进行报文有效性击检,然后进行用户合法性击检.
1.
9.
2配置ARPDetection功能1.
配置用户合法性检查功能配置用户合法性检查功能时,必须至少配置IPSourceGuard静态绑定表项、DHCPSnooping功能检查二者之一,否则所有从ARP非信任接口收到的ARP报文都将被丢弃.
在配置IPSourceGuard静态绑定表项时,必须指定VLAN参数,否则ARP报文将无法通过基于IPSourceGuard静态绑定表项的检查.
表1-11配置用户合法性检查功能操作命令说明进入系统视图system-view-进入VLAN视图vlanvlan-id-使能ARPDetection功能arpdetectionenable缺省情况下,ARPDetection功能处于关闭状态退回系统视图quit-进入二层以太网接口或者二层聚合接口视图interfaceinterface-typeinterface-number-(可选)将不需要进行用户合法性检查的接口配置为ARP信任接口arpdetectiontrust缺省情况下,接口为ARP非信任接口2.
配置ARP报文有效性检查功能表1-12配置ARP报文有效性检查功能操作命令说明进入系统视图system-view-进入VLAN视图vlanvlan-id-使能ARPDetection功能arpdetectionenable缺省情况下,ARPDetection功能处于关闭状态,即不进行用户合法性检查退回系统视图quit-使能ARP报文有效性检查功能arpdetectionvalidate{dst-mac|ip|src-mac}*缺省情况下,对ARP报文的目的MAC地址或源MAC地址、IP地址的有效性检查功能处于关闭状态进入二层以太网接口或者二层聚合接口视图interfaceinterface-typeinterface-number-(可选)将不需要进行ARP报文有效性检查的接口配置为ARP信任接口arpdetectiontrust缺省情况下,接口为ARP非信任接口1-143.
配置ARP报文强制转发功能进行下面的配置之前,需要保证已经配置了用户合法性检查功能.
表1-13配置ARP报文强制转发功能操作命令说明进入系统视图system-view-进入VLAN视图vlanvlan-id-使能ARP报文强制转发功能arprestricted-forwardingenable缺省情况下,ARP报文强制转发功能处于关闭状态1.
9.
3ARPDetection显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后ARPDetection的运行情况,通过查看显示信息验证配置的效果.
在用户视图下,用户可以执行reset命令清除ARPDetection的统计信息.
表1-14ARPDetection显示和维护操作命令显示使能了ARPDetection功能的VLANdisplayarpdetection显示ARPDetection功能报文检查的丢弃计数的统计信息displayarpdetectionstatistics[interfaceinterface-typeinterface-number]清除ARPDetection的统计信息resetarpdetectionstatistics[interfaceinterface-typeinterface-number]1.
9.
4用户合法性检查和报文有效性检查配置举例1.
组网需求RouterA是DHCP服务器;HostA是DHCP客户端;用户HostB的IP地址是10.
1.
1.
6,MAC地址是0001-0203-0607.
RouterB是DHCPSnooping设备,在VLAN10内启用ARPDetection功能,对DHCP客户端和用户进行用户合法性检查和报文有效性检查.
1-152.
组网图图1-5配置用户合法性检查和报文有效性检查组网图3.
配置步骤(1)配置组网图中所有接口属于VLAN及RouterA对应VLAN接口的IP地址(略)(2)配置DHCP服务器RouterA#配置DHCP地址池0.
system-view[RouterA]dhcpenable[RouterA]dhcpserverip-pool0[RouterA-dhcp-pool-0]network10.
1.
1.
0mask255.
255.
255.
0(3)配置DHCP客户端HostA和用户HostB(略)(4)配置设备RouterB#启用DHCPSnooping功能.
system-view[RouterB]dhcpsnoopingenable[RouterB]interfacegigabitethernet1/0/3[RouterB-GigabitEthernet1/0/3]portlink-modebridge[RouterB-GigabitEthernet1/0/3]dhcpsnoopingtrust[RouterB-GigabitEthernet1/0/3]quit#在接口GigabitEthernet1/0/1上启用DHCPSnooping表项记录功能.
[RouterB]interfacegigabitethernet1/0/1[RouterB-GigabitEthernet1/0/1]portlink-modebridge[RouterB-GigabitEthernet1/0/1]dhcpsnoopingbindingrecord[RouterB-GigabitEthernet1/0/1]quit#使能ARPDetection功能,对用户合法性进行检查.
[RouterB]vlan10[RouterB-vlan10]arpdetectionenable#接口状态缺省为非信任状态,上行接口配置为信任状态,下行接口按缺省配置.
[RouterB-vlan10]interfacegigabitethernet1/0/3[RouterB-GigabitEthernet1/0/3]arpdetectiontrust[RouterB-GigabitEthernet1/0/3]quit#在接口GigabitEthernet1/0/2上配置IPSourceGuard静态绑定表项.
1-16[RouterB]interfacegigabitethernet1/0/2[RouterB-GigabitEthernet1/0/2]portlink-modebridge[RouterB-GigabitEthernet1/0/2]ipsourcebindingip-address10.
1.
1.
6mac-address0001-0203-0607vlan10[RouterB-GigabitEthernet1/0/2]quit#配置进行报文有效性检查.
[RouterB]arpdetectionvalidatedst-macipsrc-mac完成上述配置后,对于接口GigabitEthernet1/0/1和GigabitEthernet1/0/2收到的ARP报文,先进行报文有效性检查,然后基于IPSourceGuard静态绑定表项、DHCPSnooping安全表项进行用户合法性检查.
1.
10配置ARP自动扫描、固化功能1.
10.
1ARP自动扫描、固化功能简介ARP自动扫描功能一般与ARP固化功能配合使用:启用ARP自动扫描功能后,设备会对局域网内的邻居自动进行扫描(向邻居发送ARP请求报文,获取邻居的MAC地址,从而建立动态ARP表项).
ARP固化功能用来将当前的ARP动态表项(包括ARP自动扫描生成的动态ARP表项)转换为静态ARP表项.
通过对动态ARP表项的固化,可以有效防止攻击者修改ARP表项.
建议在网吧这种这境稳定的小型网络中使用这两个功能.
1.
10.
2配置ARP自动扫描、固化功能配置ARP自动扫描、固化功能时,需要注意:对于已存在ARP表项的IP地址不进行扫描.
扫描操作可能比较耗时,用户可以通过来终止扫描(在终止扫描时,对于已经收到的邻居应答,会建立该邻居的动态ARP表项).
固化后的静态ARP表项与配置产生的静态ARP表项相同.
固化生成的静态ARP表项数量同样受到设备可以支持的静态ARP表项数目的限制,由于静态ARP表项数量的限制可能导致只有部分动态ARP表项被固化.
表1-15配置ARP自动扫描、固化功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-启动ARP自动扫描功能arpscan[start-ip-addresstoend-ip-address]-退回系统视图quit-配置ARP固化功能arpfixup-1-17通过arpfixup命令将当前的动动ARP表项转项为静动ARP表项后,后续学习到的动动ARP表项可以通过再次执行arpfixup命令进行固化.
通过固化生成的静动ARP表项,可以通过命令行undoarpip-address[vpn-instance-name]逐条删除,也可以通过命令行resetarpall或resetarpstatic全部删除.
1.
11配置ARP网关保护功能1.
11.
1ARP网关保护功能简介在设备上不与网关相连的接口上配置此功能,可以防止伪造网关攻击.
在接口上配置此功能后,当接口收到ARP报文时,将检查ARP报文的源IP地址是否和配置的被保护网关的IP地址相同.
如果相同,则认为此报文非法,将其丢弃;否则,认为此报文合法,继续进行后续处理.
1.
11.
2配置ARP网关保护功能配置ARP网关保护功能,需要注意:每个接口最多支持配置8个被保护的网关IP地址.
不能在同一接口下同时配置命令arpfiltersource和arpfilterbinding.
本功能与ARPDetection功能配合使用时,先进行本功能检查,本功能检查通过后才会进行其他配合功能的处理.
表1-16配置ARP网关保护功能操作命令说明进入系统视图system-view-进入二层以太网接口/二层聚合接口视图interfaceinterface-typeinterface-number-开启ARP网关保护功能,配置被保护的网关IP地址arpfiltersourceip-address缺省情况下,ARP网关保护功能处于关闭状态1.
11.
3ARP网关保护功能配置举例1.
组网需求与RouterB相连的HostB进行了仿造网关RouterA(IP地址为10.
1.
1.
1)的ARP攻击,导致与RouterB相连的设备与网关RouterA通信时错误发往了HostB.
要求:通过配置防止这种仿造网关攻击.
1-182.
组网图图1-6配置ARP网关保护功能组网图3.
配置步骤#在RouterB上配置ARP网关保护功能.
system-view[RouterB]interfacegigabitethernet1/0/1[RouterB-GigabitEthernet1/0/1]portlink-modebridge[RouterB-GigabitEthernet1/0/1]arpfiltersource10.
1.
1.
1[RouterB-GigabitEthernet1/0/1]quit[RouterB]interfacegigabitethernet1/0/2[RouterB-GigabitEthernet1/0/2]portlink-modebridge[RouterB-GigabitEthernet1/0/2]arpfiltersource10.
1.
1.
1完成上述配置后,对于HostB发送的伪造的源IP地址为网关IP地址的ARP报文将会被丢弃,不会再被转发.
1.
12配置ARP过滤保护功能1.
12.
1ARP过滤保护功能简介本功能用来限制接口下允许通过的ARP报文,可以防止仿冒网关和仿冒用户的攻击.
在接口上配置此功能后,当接口收到ARP报文时,将检查ARP报文的源IP地址和源MAC地址是否和允许通过的IP地址和MAC地址相同:如果相同,则认为此报文合法,继续进行后续处理;如果不相同,则认为此报文非法,将其丢弃.
1.
12.
2配置ARP过滤保护功能配置ARP过滤保护功能,需要注意:每个接口最多支持配置8组允许通过的ARP报文的源IP地址和源MAC地址.
不能在同一接口下同时配置命令arpfiltersource和arpfilterbinding.
本功能与ARPDetection功能配合使用时,先进行本功能检查,本功能检查通过后才会进行其他配合功能的处理.
1-19表1-17配置ARP过滤保护功能操作命令说明进入系统视图system-view-进入二层以太网接口/二层聚合接口视图interfaceinterface-typeinterface-number-开启ARP过滤保护功能,配置允许通过的ARP报文的源IP地址和源MAC地址arpfilterbindingip-addressmac-address缺省情况下,ARP过滤保护功能处于关闭状态1.
12.
3ARP过滤保护功能配置举例1.
组网需求HostA的IP地址为10.
1.
1.
2,MAC地址为000f-e349-1233.
HostB的IP地址为10.
1.
1.
3,MAC地址为000f-e349-1234.
限制RouterB的GigabitEthernet1/0/1、GigabitEthernet1/0/2接口只允许指定用户接入,不允许其他用户接入.
2.
组网图图1-7配置ARP过滤保护功能组网图3.
配置步骤#配置RouterB的ARP过滤保护功能.
system-view[RouterB]interfacegigabitethernet1/0/1[RouterB-GigabitEthernet1/0/1]portlink-modebridge[RouterB-GigabitEthernet1/0/1]arpfilterbinding10.
1.
1.
2000f-e349-1233[RouterB-GigabitEthernet1/0/1]quit[RouterB]interfacegigabitethernet1/0/2[RouterB-GigabitEthernet1/0/2]arpfilterbinding10.
1.
1.
3000f-e349-1234完成上述配置后,接口GigabitEthernet1/0/1收到HostA发出的源IP地址为10.
1.
1.
2、源MAC地址为000f-e349-1233的ARP报文将被允许通过,其他ARP报文将被丢弃;接口GigabitEthernet1/0/2收到HostB发出的源IP地址为10.
1.
1.
3、源MAC地址为000f-e349-1234的ARP报文将被允许通过,其他ARP报文将被丢弃.
i目录1uRPF1-11.
1uRPF简介·1-11.
1.
1uRPF检查方式·1-11.
1.
2uRPF技术优点·1-21.
1.
3uRPF处理流程·1-21.
1.
4uRPF典型组网应用·1-41.
2配置uRPF·1-41.
3uRPF显示和维护·1-51.
4uRPF典型配置举例1-51.
4.
1uRPF配置举例·1-52IPv6uRPF2-12.
1IPv6uRPF简介·2-12.
1.
1IPv6uRPF检查方式·2-12.
1.
2IPv6uRPF技术优点·2-22.
1.
3IPv6uRPF处理流程·2-22.
1.
4IPv6uRPF典型组网应用2-42.
2配置IPv6uRPF·2-42.
3IPv6uRPF显示和维护·2-52.
4IPv6uRPF典型配置举例·2-52.
4.
1IPv6uRPF配置举例·2-51-11uRPF1.
1uRPF简介uRPF(unicastReversePathForwarding,单播反向路径转发)是一种单播逆向路由查找技术,用来防范基于源地址欺骗的攻击手段,例如基于源地址欺骗的DoS(DenialofService,拒绝服务)攻击和DDoS(DistributedDenialofService,分布式拒绝服务)攻击.
对于使用基于IP地址验证的应用来说,基于源地址欺骗的攻击手段可能导致未被授权用户以他人,甚至是管理员的身份获得访问系统的权限.
因此即使响应报文没有发送给攻击者或其它主机,此攻击方法也可能会造成对被攻击对象的破坏.
图1-1源地址欺骗攻击示意图如图1-1所示,攻击者在RouterA上伪造并向RouterB发送大量源地址为2.
2.
2.
1的报文,RouterB响应这些报文并向真正的"2.
2.
2.
1"(RouterC)回复报文.
因此这种非法报文对RouterB和RouterC都造成了攻击.
如果此时网络管理员错误地切断了RouterC的连接,可能会导致网络业务中断甚至更严重的后果.
攻击者也可以同时伪造不同源地址的攻击报文或者同时攻击多个服务器,从而造成网络阻塞甚至网络瘫痪.
uRPF可以有效防范上述攻击.
一般情况下,设备在收到报文后会根据报文的目的地址对报文进行转发或丢弃.
而uRPF可以在转发表中查找报文源地址对应的接口是否与报文的入接口相匹配,如果不匹配则认为源地址是伪装的并丢弃该报文,从而有效地防范网络中基于源地址欺骗的恶意攻击行为的发生.
1.
1.
1uRPF检查方式uRPF检查有严格(strict)型和松散(loose)型两种.
1.
严格型uRPF检查不仅检查报文的源地址是否在转发表中存在,而且检查报文的入接口与转发表是否匹配.
在一些特殊情况下(如非对称路由,即设备上行流量的入接口和下行流量的出接口不相同),严格型uRPF检查会错误地丢弃非攻击报文.
一般将严格型uRPF检查布置在ISP的用户端和ISP端之间.
2.
松散型uRPF检查仅检查报文的源地址是否在转发表中存在,而不再检查报文的入接口与转发表是否匹配.
松散型uRPF检查可以避免错误的拦截合法用户的报文,但是也容易忽略一些攻击报文.
一般将松散型uRPF检查布置在ISP-ISP端.
另外,如果用户无法保证路由对称,可以使用松散型uRPF检查.
1-21.
1.
2uRPF技术优点1.
支持与缺省路由的配合使用当设备上配置了缺省路由后,会导致uRPF根据转发表检查源地址时,所有源地址都能查到下一跳.
针对这种情况,支持用户配置uRPF是否允许匹配缺省路由.
如果允许匹配缺省路由(配置allow-default-route),则当uRPF查询转发表得到的结果是缺省路由时,认为查到了匹配的表项;如果不允许匹配缺省路由,则当uRPF查询转发表得到的结果是缺省路由时,认为没有查到匹配的表项.
缺省情况下,如果uRPF查询转发表得到的结果是缺省路由,则按没有查到表项处理,丢弃报文.
运营商网络边缘位置一般不会有缺省路由指向客户侧设备,所以一般不需要配置allow-default-route.
如果在客户侧边缘设备接口上面启用uRPF,这时往往会有缺省路由指向运营商,此时需要配置allow-default-route.
2.
支持与ACL的配合使用如果用户确认具有某些特征的报文是合法报文,则可以在ACL中指定这些报文,那么这些报文在逆向路由不存在的情况下,不做丢弃处理,按正常报文进行转发.
1.
1.
3uRPF处理流程uRPF的处理流程如图1-2所示.
1-3图1-2uRPF处理流程图(1)检查地址合法性:对于目的地址是组播地址的报文,直接放行.
对于源地址是全零地址的报文,如果目的地址是广播,则放行(源地址为0.
0.
0.
0,目的地址为255.
255.
255.
255的报文,可能是DHCP或者BOOTP报文,不做丢弃处理);如果目的地址不是广播,则进入步骤(7).
对于不是上述情况的报文,则进入步骤(2).
是判断入口目的地址为组播源地址为全0目的地址为广播ACL检查通过判断结束是是否否否源地址查转发表是查到单播转发表项查到InLoop接口是是入接口InLoop否否入接口匹配查到缺省路由否允许缺省路由否是是否否松散型检查否否是丢弃是是1-4(2)检查报文的源地址在转发表中是否存在匹配的单播路由:如果在转发表中查找失败(源地址是非单播地址则会匹配到非单播路由),则进入步骤(7),否则进入步骤(3);(3)如果转发表中匹配的是上送本机路由,即查到InLoop接口,则检查报文入接口是否是InLoop接口:如果是,则直接放行,否则进入步骤(7);如果转发表中匹配的不是上送本机路由则继续步骤(4);(4)如果转发表中匹配的是缺省路由,则检查用户是否配置了允许匹配缺省路由(参数allow-default-route):如果没有配置,则进入步骤(7),否则进入步骤(5);如果转发表中匹配的不是缺省路由,则进入步骤(5);(5)检查报文源地址与入接口是否匹配.
反向查找报文出接口(反向查找是指查找以该报文源IP地址为目的IP地址的报文的出接口)或者缺省路由的出接口:如果其中至少有一个出接口和报文的入接口相匹配,则进入步骤(6);如果不匹配,则查看是否是松散型检查,如果是,则报文检查通过,进入步骤(6);否则说明是严格型检查,也进入步骤(6);(6)ACL检查流程.
如果报文符合ACL,则报文继续进行正常的转发(此类报文称为被抑制丢弃的报文);否则报文被丢弃.
1.
1.
4uRPF典型组网应用图1-3uRPF典型组网应用通常在ISP上配置uRPF,在ISP与用户端,配置严格型uRPF检查,在ISP与ISP端,配置松散型uRPF检查.
如果有特殊用户,或者具有一定特征,需要特殊处理的报文,可以配置ACL规则.
1.
2配置uRPF用户可在接口配置uRPF功能.
配置uRPF时,需要注意:uRPF检查仅对接口收到的报文有效.
请不要在隧道接口上配置uRPF功能.
ISPAuRPF(loose)uRPF(strict)ISPCISPBUser1-5对于CSPC/SPC类单板和CMPE-1104单板,无论怎样配置接口uRPF,均等同于配置ipurpfloose命令.
配置松散型uRPF检查时不建议配置allow-default-route参数,否则可能导致防攻击能力失效.
表1-1配置接口uRPF操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-在接口下打开uRPF功能ipurpf{loose[allow-default-route][aclacl-number]|strict[allow-default-route][aclacl-number]}缺省情况下,uRPF功能处于关闭状态1.
3uRPF显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置uRPF后的运行情况,通过查看显示信息验证配置的效果.
表1-2uRPF显示和维护配置步骤命令显示uRPF的配置应用情况(独立运行模式)displayipurpf[interfaceinterface-typeinterface-number][slotslot-number]显示uRPF的配置应用情况(IRF模式)displayipurpf[interfaceinterface-typeinterface-number][chassischassis-numberslotslot-number]1.
4uRPF典型配置举例1.
4.
1uRPF配置举例1.
组网需求客户路由器RouterA与ISP路由器RouterB直连,在RouterB的接口GigabitEthernet1/0/1上配置严格型uRPF检查,源地址能够匹配ACL2010的报文在任何情况下都能通过检查.
在RouterA的接口GigabitEthernet1/0/1上配置严格型uRPF检查,同时允许匹配缺省路由.
2.
组网图图1-4uRPF配置举例组网图3.
配置步骤(1)配置RouterB#配置ACL2010,允许10.
1.
1.
0/24网段的流量通过uRPF检查.
system-view[RouterB]aclnumber2010[RouterB-acl-basic-2010]rulepermitsource10.
1.
1.
00.
0.
0.
2551-6[RouterB-acl-basic-2010]quit#配置接口GigabitEthernet1/0/1的IP地址.
[RouterB]interfacegigabitethernet1/0/1[RouterB-GigabitEthernet1/0/1]ipaddress1.
1.
1.
2255.
255.
255.
0#在接口GigabitEthernet1/0/1上配置严格型uRPF检查.
[RouterB-GigabitEthernet1/0/1]ipurpfstrictacl2010(2)配置RouterA#配置接口GigabitEthernet1/0/1.
system-view[RouterA]interfacegigabitethernet1/0/1[RouterA-GigabitEthernet1/0/1]ipaddress1.
1.
1.
1255.
255.
255.
0#在接口GigabitEthernet1/0/1上配置严格型uRPF检查,同时允许匹配缺省路由.
[RouterA-GigabitEthernet1/0/1]ipurpfstrictallow-default-route2-12IPv6uRPF2.
1IPv6uRPF简介uRPF(unicastReversePathForwarding,单播反向路径转发)是一种单播逆向路由查找技术,用来防范基于源地址欺骗的攻击手段,例如基于源地址欺骗的DoS(DenialofService,拒绝服务)攻击和DDoS(DistributedDenialofService,分布式拒绝服务)攻击.
对于使用基于IP地址验证的应用来说,基于源地址欺骗的攻击手段可能导致未被授权用户以他人,甚至是管理员的身份获得访问系统的权限.
因此即使响应报文没有发送给攻击者或其它主机,此攻击方法也可能会造成对被攻击对象的破坏.
图2-1源地址欺骗攻击示意图如图2-1所示,攻击者在RouterA上伪造并向RouterB发送大量源地址为2000::1的报文,RouterB响应这些报文并向真正的"2000::1"(RouterC)回复报文.
因此这种非法报文对RouterB和RouterC都造成了攻击.
如果此时网络管理员错误地切断了RouterC的连接,可能会导致网络业务中断甚至更严重的后果.
攻击者也可以同时伪造不同源地址的攻击报文或者同时攻击多个服务器,从而造成网络阻塞甚至网络瘫痪.
uRPF可以有效防范上述攻击.
一般情况下,设备在收到报文后会根据报文的目的地址对报文进行转发或丢弃.
而uRPF可以在转发表中查找报文源地址对应的接口是否与报文的入接口相匹配,如果不匹配则认为源地址是伪装的并丢弃该报文,从而有效地防范网络中基于源地址欺骗的恶意攻击行为的发生.
2.
1.
1IPv6uRPF检查方式IPv6uRPF检查有严格(strict)型和松散(loose)型两种.
1.
严格型IPv6uRPF检查不仅检查报文的源地址是否在IPv6转发表中存在,而且检查报文的入接口与IPv6转发表是否匹配.
在一些特殊情况下(如非对称路由,即设备上行流量的入接口和下行流量的出接口不相同),严格型IPv6uRPF检查会错误地丢弃非攻击报文.
一般将严格型IPv6uRPF检查布置在ISP的用户端和ISP端之间.
2.
松散型IPv6uRPF检查仅检查报文的源地址是否在IPv6转发表中存在,而不再检查报文的入接口与IPv6转发表是否匹配.
松散型IPv6uRPF检查可以避免错误的拦截合法用户的报文,但是也容易忽略一些攻击报文.
一般将松散型IPv6uRPF检查布置在ISP-ISP端.
另外,如果用户无法保证路由对称,可以使用松散型IPv6uRPF检查.
2-22.
1.
2IPv6uRPF技术优点1.
支持与缺省路由的配合使用当设备上配置了缺省路由后,会导致IPv6uRPF根据IPv6转发表检查源地址时,所有源地址都能查到下一跳.
针对这种情况,支持用户配置IPv6uRPF是否允许匹配缺省路由.
如果允许匹配缺省路由(配置allow-default-route),则当IPv6uRPF查询IPv6转发表得到的结果是缺省路由时,认为查到了匹配的表项;如果不允许匹配缺省路由,则当IPv6uRPF查询IPv6转发表得到的结果是缺省路由时,认为没有查到匹配的表项.
缺省情况下,如果IPv6uRPF查询IPv6转发表得到的结果是缺省路由,则按没有查到表项处理,丢弃报文.
运营商网络边缘位置一般不会有缺省路由指向客户侧设备,所以一般不需要配置allow-default-route.
如果在客户侧边缘设备接口上面启用IPv6uRPF,这时往往会有缺省路由指向运营商,此时需要配置allow-default-route.
2.
支持与ACL的配合使用如果用户确认具有某些特征的报文是合法报文,则可以在IPv6ACL中指定这些报文,那么这些报文在逆向路由不存在的情况下,不做丢弃处理,按正常报文进行转发.
2.
1.
3IPv6uRPF处理流程组播报文不进行IPv6uRPF检检.
下面的流程图图图图件转转的路由器生效,图于芯片转转的交换机、高端路由器等产品以产品规格说明为主.
IPv6uRPF的处理流程如图2-2所示.
2-3图2-2IPv6uRPF处理流程图(1)检查地址合法性:对于目的地址是组播地址的报文直接放行.
否则,进入步骤(2);(2)检查报文的源地址在IPv6转发表中是否存在匹配的单播路由:如果在IPv6转发表中查找失败(源地址是非单播地址则会匹配到非单播路由),则进入步骤(6),否则进入步骤(3);(3)如果IPv6转发表中匹配的是上送本机路由,则检查报文入接口是否是InLoop接口:如果是,则直接放行,否则进入步骤(6);如果IPv6转发表中匹配的不是上送本机路由则继续步骤(4);如果源地址是Link-Local地址,倘若这个地址是入接口的地址,并且入接口不是InLoop接口则进入步骤(6),否则直接放行;(4)检查报文源地址与入接口是否匹配:反向查找报文出接口(反向查找是指查找以该报文源IPv6地址为目的IPv6地址的报文的出接口)或者缺省路由的出接口,如果其中至少有一个出接口和报文的入接口相匹配,则进入步骤(5);如果不匹配,则查看是否是松散型检查,如果是,则进入步骤(5),否则说明是严格型检查,进入步骤(6);判断入口目的地址为组播判断结束否源地址查IPv6转发表否查到单播转发表项查到InLoop接口是是入接口为InLoop接口否是查到缺省路由入接口匹配松散型检查否否是否是允许缺省路由是否是丢弃否是ACL检查通过是否2-4(5)如果IPv6转发表中匹配的是缺省路由,则检查用户是否配置了允许匹配缺省路由(参数allow-default-route),如果没有配置,则进入步骤(6),否则处理结束报文正常转发;如果IPv6转发表中匹配的不是缺省路由,则处理结束报文正常转发;(6)IPv6ACL检查流程.
如果报文符合IPv6ACL,则报文继续进行正常的转发(此类报文称为被抑制丢弃的报文);否则报文被丢弃.
2.
1.
4IPv6uRPF典型组网应用图2-3IPv6uRPF典型组网应用通常在ISP上配置uRPF,在ISP与用户端,配置严格型IPv6uRPF检查,在ISP与ISP端,配置松散型IPv6uRPF检查.
如果有特殊用户,或者具有一定特征,需要特殊处理的报文,可以配置IPv6ACL规则.
2.
2配置IPv6uRPF用户可在接口配置IPv6uRPF功能.
需要注意的是:IPv6uRPF检查仅对接口收到的报文有效.
请不要在隧道接口上配置IPv6uRPF功能.
CSPC/SPC类单板和CMPE-1104单板仅配置loose关键字生效.
配置松散型IPv6uRPF检查时不建议配置allow-default-route参数,否则可能导致防攻击能力失效.
表2-1配置接口IPv6uRPF操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-ISPAIPv6uRPF(loose)IPv6uRPF(strict)ISPCISPBUser2-5操作命令说明在接口下打开IPv6uRPF功能ipv6urpf{loose|strict}[allow-default-route][aclacl-number]缺省情况下,IPv6uRPF功能处于关闭状态2.
3IPv6uRPF显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置IPv6uRPF后的运行情况,通过查看显示信息验证配置的效果.
表2-2IPv6uRPF显示和维护配置步骤命令显示IPv6uRPF的配置应用情况(独立运行模式)displayipv6urpf[interfaceinterface-typeinterface-number][slotslot-number]显示IPv6uRPF的配置应用情况(IRF模式)displayipv6urpf[interfaceinterface-typeinterface-number][chassischassis-numberslotslot-number]2.
4IPv6uRPF典型配置举例2.
4.
1IPv6uRPF配置举例1.
组网需求客户路由器RouterA与ISP路由器RouterB直连,在RouterB的接口GigabitEthernet1/0/1上配置严格型IPv6uRPF检查,源地址能够匹配IPv6ACL2010的报文在任何情况下都能通过检查.
在RouterA的接口GigabitEthernet1/0/1上配置严格型IPv6uRPF检查,同时允许匹配缺省路由.
2.
组网图图2-4IPv6uRPF配置举例组网图3.
配置步骤(1)配置RouterB#配置IPv6ACL2010,允许1010::/64网段的流量通过IPv6uRPF检查.
system-view[RouterB]aclipv6number2010[RouterB-acl-basic-2010]rulepermitsource1010::64[RouterB-acl-basic-2010]quit#配置接口GigabitEthernet1/0/1的IPv6地址.
[RouterB]interfacegigabitethernet1/0/1[RouterB-GigabitEthernet1/0/1]ipv6address1000::2/64#在接口GigabitEthernet1/0/1上配置严格型IPv6uRPF检查.
[RouterB-GigabitEthernet1/0/1]ipv6urpfstrictacl20102-6(2)配置RouterA#配置接口GigabitEthernet1/0/1.
system-view[RouterA]interfacegigabitethernet1/0/1[RouterA-GigabitEthernet1/0/1]ipaddress1000::1/64#在接口GigabitEthernet1/0/1上配置严格型IPv6uRPF检查,同时允许匹配缺省路由.
[RouterA-GigabitEthernet1/0/1]ipv6urpfstrictallow-default-routei目录1会话管理1-11.
1会话管理简介·1-11.
1.
1会话管理的工作原理1-11.
1.
2会话管理在设备上的实现·1-11.
2配置会话管理·1-21.
2.
1配置协议状态会话老化时间1-21.
2.
2配置应用层协议会话老化时间·1-21.
2.
3配置长连接会话规则1-31.
2.
4配置会话业务热备份功能·1-31.
3配置会话日志·1-41.
4会话管理显示和维护·1-51-11会话管理1.
1会话管理简介会话管理是为了实现NAT(NetworkAddressTranslation,网络地址转换)、ASPF(AdvancedStatefulPacketFilter,高级状态包过滤)、攻击检测及防范等基于会话进行处理的业务而抽象出来的公共功能.
此功能把传输层报文之间的交互关系抽象为会话,并根据发起方和响应方的报文信息对会话进行状态更新和老化,支持多个业务特性分别对同一个业务报文进行处理.
会话管理实现的主要功能包括:报文到会话的快速匹配;传输层协议状态的管理;报文应用层协议类型的识别;按照协议状态或应用层协议类型对会话进行老化;支持指定的会话维持较为长时间的连接;为需要进行端口协商的应用层协议提供特殊的报文匹配;支持对ICMP/ICMPv6差错控制报文的解析以及根据解析结果进行会话的匹配.
1.
1.
1会话管理的工作原理会话管理主要基于传输层协议对报文进行检测.
其实质是通过检测传输层协议信息来对连接的状态进行跟踪,并对所有连接的状态信息进行基于会话表和关联表的统一维护和管理.
客户端向服务器发起连接请求报文的时候,系统会创建一个会话表项.
该表项中记录了一个会话所对应的请求报文信息和回应报文信息,包括源IP地址/端口号、目的IP地址/端口号、传输层协议类型、应用层协议类型、会话的协议状态等.
对于多通道协议(特指部分应用协议中,客户端与服务器之间需要在已有连接基础上协商新的连接来完成一个应用),会话管理还会根据协议的协商情况,创建一个或多个(由具体的应用协议决定)关联表表项,用于关联属于同一个应用的不同会话.
关联表项在多通道协议协商的过程中创建,完成对多通道协议的支持后即被删除.
在实际应用中,会话管理作为公共功能,只能实现连接状态的跟踪,并不能阻止潜在的攻击报文通过.
会话管理配合ASPF特性,可实现根据连接状态信息动态地决定是否允许数据包通过防火墙进入内部区域,以便阻止恶意的入侵.
1.
1.
2会话管理在设备上的实现目前会话管理在设备上实现的具体功能如下:支持对各协议报文创建会话、更新会话状态以及根据协议状态设置老化时间.
支持应用层协议的端口映射(参见"安全配置指导"中的"APR"),允许为应用层协议自定义对应的非通用端口号,同时可以根据应用层协议设置不同会话老化时间.
支持ICMP/ICMPv6差错报文的映射,可以根据ICMP/ICMPv6差错报文携带的信息查找原始的会话.
支持设置长连接会话,保证指定的会话在一段较长的时间内不会被老化.
支持应用层协议(如FTP)的控制通道和动态数据通道的会话管理.
1-21.
2配置会话管理会话管理支持的配置包括:协议状态的会话老化时间、应用层协议的会话老化时间、长连接会话规则及删除会话.
这些配置可根据实际应用需求选择进行,配置无先后顺序的要求,相互不关联.
长连接老化时间仅在TCP会话进入稳态(TCP-EST状态)时生效.
在会话稳态时,长连接老化时间具有最高的优先级,其次为应用层协议老化时间,最后为协议状态老化时间.
1.
2.
1配置协议状态会话老化时间当会话数目过多时(大于80万条),建议不要将协议状态老化时时时置得过短,否则会造成时设响应速度过慢.
以下配置用于实现根据会话所处协议状态来设置会话表项的老化时间.
处于某协议状态的会话,如果在该协议状态老化时间内未被任何报文匹配,则会由于老化而被系统自动删除.
表1-1配置各协议状态的会话老化时间操作命令说明进入系统视图system-view-配置各协议状态的会话老化时间sessionaging-timestate{fin|icmp-reply|icmp-request|rawip-open|rawip-ready|syn|tcp-est|udp-open|udp-ready}time-value缺省情况下,各协议状态的会话老化时间为:fin:30秒icmp-reply:30秒icmp-request:60秒rawip-open:30秒rawip-ready:60秒syn:30秒tcp-est:3600秒udp-open:30秒udp-ready:60秒1.
2.
2配置应用层协议会话老化时间当会话数目过多时(大于80万条),建议不要将应用层协议会话的老化时时时置得过短,否则会造成时设响应速度过慢.
老化时时的修改需要结合实实的使用场景,避免过大或过小,从而影响会话协议话文的正常交互.
例如,FTP协议的会话老化时时若小于FTP保活话文发送的时隔,会造成FTP连接无法正常建立.
对于进入稳定状态的会话(TCP会话进入TCP-EST状态,UDP会话进入UDP-READY状态),还可以根据会话所属的应用层协议类型设置老化时间.
此类会话表项如果在一定时间内未被任何报文匹配,则会按照设置的应用层协议会话老化时间老化.
对于进入稳定状态的其它应用层协议的会话表项,则仍然遵循协议状态的会话老化时间进行老化.
1-3表1-2配置应用层协议会话老化时间操作命令说明进入系统视图system-view-配置应用层协议的会话老化时间sessionaging-timeapplication{dns|ftp|gtp|h225|h245|ils|mgcp|nbt|pptp|ras|rsh|rtsp|sccp|sip|sqlnet|tftp|xdmcp}time-value缺省情况下,各协议的会话老化时间如下:DNS:60秒FTP:3600秒GTP:60秒H.
225:3600秒H.
245:3600秒ILS:3600秒MGCP:60秒NBT:3600秒PPTP:3600秒RAS:300秒RSH:60秒RTSP:3600秒SCCP:3600秒SIP:300秒SQLNET:600秒TFTP:60秒XDMCP:3600秒1.
2.
3配置长连接会话规则针对进入TCP-EST状态的TCP会话,用户可以根据需要将符合指定特征的TCP会话设置为长连接会话.
长连接会话的老化时间不会随着状态的变迁而更改,可以将其设置得比普通会话的老化时间更长,或者设置成永不老化.
被设置成永不老化的长连接会话,只有当会话的发起方或响应方主动发起关闭连接请求或管理员手动删除该会话时,才会被删除.
表1-3配置长连接会话规则操作命令说明进入系统视图system-view-配置长连接会话规则sessionpersistentacl[ipv6]acl-number[aging-timetime-value]缺省情况下,无长连接会话规则1.
2.
4配置会话业务热备份功能在IRF组网环境中,当开启会话话话话设份功能的情况下,如果需要配置NAT话话,则必须保证NAT话话配置在IRF成员时设的全局接口上,例如聚合口、冗余口;如果在物理接口上配置了NAT话话,则建议议议会话话话话设份功能.
1-4会话业务热备功能实现了多台设备之间会话以及基于会话的业务(NAT、ALG、ASPF)的动态表项的热备份.
互为备份的两台设备(通常为企业中心网关设备)对外提供一个虚拟IP地址与对端设备(通常为企业分支网关设备)进行通信.
当一台设备出现故障时,利用相关冗余设备协商机制将当前设备上的业务流量切换到备份设备上继续进行业务的处理和转发,整个流量切换过程对于对端设备完全透明,不需要对端设备添加任何额外的配置.
由于对动态表项进行了热备份,因此当业务流量从发生故障的设备切换到另一台设备后,并不会导致业务中断,可实现业务的平滑切换.
表1-4配置会话业务热备份操作命令说明进入系统视图system-view-开启会话业务热备份功能sessionsynchronizationenable缺省情况下,会话业务热备功能处于关闭状态1.
3配置会话日志会话日志是为满足网络管理员安全审计的需要,对用户的访问信息、用户IP地址的转换信息、用户的网络流量信息等进行记录,并可采用日志的格式发送给日志主机或者输出到信息中心.
存活时间或收发数目达到一定阈值的会话才会以日志的形式进行记录并输出,该阈值包括以下两种类型:时间阈值:当一个会话存在的时间达到设定的时间阈值时,输出会话日志.
流量阈值:分为报文数阈值和字节数阈值两种.
当一个会话收发的报文数或字节数达到设定的流量阈值时,输出会话日志.
同时配置了时间阈值和流量阈值的情况下,只要有一个阈值到达,就会输出相应的会话日志,并将所有的阈值统计信息清零.
同时只能有一种流量阈值有效,以最后一次配置的阈值类型为准,例如,先配置报文数阈值再配置字节数阈值,则当前有效的阈值是字节数阈值,只会输出达到字节数阈值的会话日志.
在未指定相关阈值(流量阈值、时间阈值)的情况下,若会话日志功能处于使能状态,则仅在会话表创建和删除的时候分别输出一次会话日志.
表1-5配置会话日志功能操作命令说明进入系统视图system-view-(可选)配置输出会话日志的时间阈值sessionlogtime-activetime-value缺省情况下,不依据时间阈值发送会话日志(可选)配置输出会话日志的流量阈值配置报文数流量阈值sessionlogpackets-activepackets-value缺省情况下,不依据报文数流量阈值发送会话日志配置字节数流量阈值sessionlogbytes-activebytes-value缺省情况下,不依据字节数流量阈值发送会话日志进入接口视图interfaceinterface-typeinterface-number-使能会话日志功能sessionlogenable{ipv4|ipv6}[aclacl-number]{inbound|outbound}缺省情况下,会话日志功能处于关闭状态1-51.
4会话管理显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后会话的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除会话统计信息.
表1-6会话管理显示和维护操作命令显示应用层协议的会话老化时间displaysessionaging-timeapplication显示各协议状态的会话老化时间displaysessionaging-timestate显示IPv4会话表信息(独立运行模式)displaysessiontable{ipv4|ipv6}[slotslot-number][source-ipsource-ip][destination-ipdestination-ip][verbose]显示IPv4会话表信息(IRF模式)displaysessiontable{ipv4|ipv6}[chassischassis-numberslotslot-number][source-ipsource-ip][destination-ipdestination-ip][verbose]显示会话统计信息(独立运行模式)displaysessionstatistics[slotslot-number]显示会话统计信息(IRF模式)displaysessionstatistics[chassischassis-numberslotslot-number]显示关联表信息(独立运行模式)displaysessionrelation-table{ipv4|ipv6}[slotslot-number]显示关联表信息(IRF模式)displaysessionrelation-table{ipv4|ipv6}[chassischassis-numberslotslot-number]删除IPv4会话表项(独立运行模式)resetsessiontableipv4[slotslot-number][source-ipsource-ip][destination-ipdestination-ip][protocol{dccp|icmp|raw-ip|sctp|tcp|udp|udp-lite}][source-portsource-port][destination-portdestination-port][vpn-instancevpn-instance-name]删除IPv4会话表项(IRF模式)resetsessiontableipv4[chassischassis-numberslotslot-number][source-ipsource-ip][destination-ipdestination-ip][protocol{dccp|icmp|raw-ip|sctp|tcp|udp|udp-lite}][source-portsource-port][destination-portdestination-port][vpn-instancevpn-instance-name]删除IPv6会话表项(独立运行模式)resetsessiontableipv6[slotslot-number][source-ipsource-ip][destination-ipdestination-ip][protocol{dccp|icmpv6|raw-ip|sctp|tcp|udp|udp-lite}][source-portsource-port][destination-portdestination-port][vpn-instancevpn-instance-name]删除IPv6会话表项(IRF模式)resetsessiontableipv6[chassischassis-numberslotslot-number][source-ipsource-ip][destination-ipdestination-ip][protocol{dccp|icmpv6|raw-ip|sctp|tcp|udp|udp-lite}][source-portsource-port][destination-portdestination-port][vpn-instancevpn-instance-name]删除所有会话项(独立运行模式)resetsessiontable[slotslot-number]删除所有会话项(IRF模式)resetsessiontable[chassischassis-numberslotslot-number]清除会话统计信息(独立运行模式)resetsessionstatistics[slotslot-number]清除会话统计信息(IRF模式)resetsessionstatistics[chassischassis-numberslotslot-number]删除关联表项(独立运行模式)resetsessionrelation-table[ipv4|ipv6][slotslot-number]删除关联表项(IRF模式)resetsessionrelation-table[ipv4|ipv6][chassischassis-numberslotslot-number]1-6i目录1攻击检测及防范1-11.
1攻击检测及防范简介·1-11.
2攻击检测及防范的类型·1-11.
2.
1单包攻击1-11.
2.
2扫描攻击1-21.
2.
3泛洪攻击1-21.
2.
4Login用户DoS攻击1-41.
2.
5Login用户字典序攻击1-41.
3攻击检测及防范配置任务简介1-41.
4配置攻击防范·1-41.
4.
1创建攻击防范策略·1-41.
4.
2配置攻击防范策略·1-51.
4.
3配置攻击防范例外列表1-101.
4.
4在本机应用攻击防范策略·1-111.
4.
5配置单包攻击防范日志的非聚合输出功能·1-111.
5配置Login用户延时认证功能1-111.
6攻击检测及防范显示和维护·1-121-11攻击检测及防范1.
1攻击检测及防范简介攻击检测及防范是一个重要的网络安全特性,它通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行一定的防范措施,例如输出告警日志、丢弃报文或客户端验证列表.
本特性能够检测单包攻击、扫描攻击和泛洪攻击等多种类型的网络攻击,并能对各类型攻击采取合理的防范措施.
1.
2攻击检测及防范的类型1.
2.
1单包攻击单包攻击也称为畸形报文攻击,主要包括以下三种类型:攻击者通过向目标系统发送带有攻击目的的IP报文,如分片重叠的IP报文、TCP标志位非法的报文,使得目标系统在处理这样的IP报文时出错、崩溃;攻击者可以通过发送正常的报文,如ICMP报文、特殊类型的IPoption报文,来干扰正常网络连接或探测网络结构,给目标系统带来损失;攻击者还可通过发送大量无用报文占用网络带宽,造成拒绝服务攻击.
设备可以对表1-1中所列的各单包攻击行为进行有效防范.
表1-1单包攻击类型及说明列表单包攻击类型说明ICMPredirect攻击者向用户发送ICMP重定向报文,更改用户主机的路由表,干扰用户主机正常的IP报文转发.
ICMPunreachable某些系统在收到不可达的ICMP报文后,对于后续发往此目的地的报文判断为不可达并切断对应的网络连接.
攻击者通过发送ICMP不可达报文,达到切断目标主机网络连接的目的.
ICMPtypeICMP报文中,type值的表示不同含义的报文,接收者需要根据不同的类型进行响应,攻击者通过构造特定type类型的ICMP报文来达到影响系统正常处理报文等目的.
ICMPv6typeICMPv6报文中,type值的表示不同含义的报文,接收者需要根据不同的类型进行响应,攻击者通过构造特定type类型的ICMPv6报文来达到影响系统正常处理报文等目的.
Land攻击者向目标主机发送大量源IP地址和目的IP地址都是目标主机自身的TCPSYN报文,使得目标主机的半连接资源耗尽,最终不能正常工作.
LargeICMP某些主机或设备收到超大的报文,会引起内存分配错误而导致协议栈崩溃.
攻击者通过发送超大ICMP报文,让目标主机崩溃,达到攻击目的.
LargeICMPv6某些主机或设备收到超大的报文,会引起内存分配错误而导致协议栈崩溃.
攻击者通过发送超大ICMPv6报文,让目标主机崩溃,达到攻击目的.
IPoption攻击者利用IP报文中的异常选项的设置,达到探测网络结构的目的,也可由于系统缺乏对错误报文的处理而造成系统崩溃.
Fragment攻击者通过向目标主机发送分片偏移小于5的分片报文,导致主机对分片报文进行重组时发生错误而造成系统崩溃.
Impossible攻击者通过向目标主机发送源IP地址和目的IP地址相同的报文,造成主机系统处理异常.
1-2单包攻击类型说明Tinyfragment攻击者构造一种特殊的IP分片来进行微小分片的攻击,这种报文首片很小,未能包含完整的传输层信息,因此能够绕过某些包过滤防火墙的过滤规则,达到攻击目标网络的目的.
Smurf攻击者向目标网络发送ICMP应答请求,该请求包的目的地址设置为目标网络的广播地址,这样该网络中的所有主机都会对此ICMP应答请求作出答复,导致网络阻塞,从而达到令目标网络中主机拒绝服务的攻击目的.
TCPFlag不同操作系统对于非常规的TCP标志位有不同的处理.
攻击者通过发送带有非常规TCP标志的报文探测目标主机的操作系统类型,若操作系统对这类报文处理不当,攻击者便可达到使目标主机系统崩溃的目的.
Traceroute攻击者连续发送TTL从1开始递增的目的端口号较大的UDP报文,报文每经过一个路由器,其TTL都会减1,当报文的TTL为0时,路由器会给报文的源IP设备发送一个TTL超时的ICMP报文,攻击者借此来探测网络的拓扑结构.
Winnuke攻击者向安装(或使用)Windows系统的特定目标的NetBIOS端口(139)发送OOB(Out-Of-Band,带外)数据包,这些攻击报文的指针字段与实际的位置不符,从而引起一个NetBIOS片断重叠,致使已与其他主机建立连接的目标主机在处理这些数据的时候系统崩溃.
UDPBomb攻击者发送畸形的UDP报文,其IP首部中的报文总长度大于IP首部长度与UDP首部中标识的UDP数据长度之和,可能造成收到此报文的系统处理数据时越界访问非法内存,导致系统异常.
UDPSnork攻击者向Windows系统发送目的端口为135(Windows定位服务)源端口为135、7或19(UDPChargen服务)的报文,使被攻击系统不断应答报文,最终耗尽CPU资源.
UDPFraggle攻击者通过向目标网络发送UDP端口为7的ECHO报文或者UDP端口为19的Chargen报文,令网络产生大量无用的应答报文,占满网络带宽,达到攻击目的.
Teardrop攻击者通过发送大量分片重叠的报文,致使服务器对这些报文进行重组时造成重叠,因而丢失有效的数据.
Pingofdeath攻击者构造标志位为最后一片且长度大于65535的ICMP报文发送给目标主机,可能导致系统处理数据时越界访问非法内存,造成系统错误甚至系统崩溃.
1.
2.
2扫描攻击扫描攻击是指,攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定位潜在目标的位置,探测目标系统的网络拓扑结构和开放的服务端口,为进一步侵入目标系统做准备.
IPSweep攻击攻击者发送大量目的IP地址变化的探测报文,通过收到的回应报文来确定活跃的目标主机,以便针对这些主机进行下一步的攻击.
Portscan攻击攻击者获取了活动目标主机的IP地址后,向目标主机发送大量目的端口变化的探测报文,通过收到的回应报文来确定目标主机开放的服务端口,然后针对活动目标主机开放的服务端口选择合适的攻击方式或攻击工具进行进一步的攻击.
分布式Portscan攻击攻击者控制多台主机,分别向特定目标主机发送探测报文,通过收集所有被控制的主机的回应报文,确定目标主机开启的服务端口,以便进一步实施攻击.
1.
2.
3泛洪攻击泛洪攻击是指攻击者在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息,从而无法为合法用户提供正常服务,即发生拒绝服务.
1-3设备支持对以下几种泛洪攻击进行有效防范:SYNflood攻击根据TCP协议,服务器收到SYN报文后需要建立半连接并回应SYNACK报文,然后等待客户端的ACK报文来建立正式连接.
由于资源的限制,操作系统的TCP/IP协议栈只能允许有限个TCP连接.
攻击者向服务器发送大量伪造源地址的SYN报文后,由于攻击报文是伪造的,服务器不会收到客户端的ACK报文,从而导致服务器上遗留了大量无效的半连接,耗尽其系统资源,使正常的用户无法访问,直到半连接超时.
ACKflood攻击ACK报文为只有ACK标志位置位的TCP报文,服务器收到ACK报文时,需要查找对应的连接.
若攻击者发送大量这样的报文,服务器需要进行大量的查询工作,消耗正常处理的系统资源,影响正常的报文处理.
SYN-ACKflood攻击由于SYNACK报文为SYN报文的后续报文,服务器收到SYNACK报文时,需要查找对应的SYN报文.
若攻击者发送大量这样的报文,服务器需要进行大量的查询工作,消耗正常处理的系统资源,影响正常的报文处理.
FINflood攻击FIN报文用于关闭TCP连接.
若攻击者向服务器发送大量的伪造的FIN报文,可能会使服务器关闭掉正常的连接.
同时,服务器收到FIN报文时,需要查找对应的连接,大量的无效查询操作会消耗系统资源,影响正常的报文处理.
RSTflood攻击RST报文为TCP连接的复位报文,用于在异常情况下关闭TCP连接.
如果攻击者向服务器发送大量伪造的RST报文,可能会使服务器关闭正常的TCP连接.
另外,服务器收到RST报文时,需要查找对应的连接,大量的无效查询操作会消耗系统资源,影响正常的报文处理.
DNSflood攻击DNS服务器收到任何DNSQuery报文时都会试图进行域名解析并且回复该DNS报文.
攻击者通过构造并向DNS服务器发送大量虚假DNSQuery报文,占用DNS服务器的带宽或计算资源,使得正常的DNSQuery得不到处理.
HTTPflood攻击HTTP服务器收到HTTPGET命令时可能进行一系列复杂的操作,包括字符串搜索、数据库遍历、数据组装、格式化转换等等,这些操作会消耗大量系统资源,因此当HTTP请求的速率超过了服务器的处理能力时,服务器就无法正常提供服务.
攻击者通过构造并发送大量虚假HTTPGET请求,使服务器崩溃,无法响应正常的用户请求.
ICMPflood攻击ICMPflood攻击是指,攻击者在短时间内向特定目标发送大量的ICMP请求报文(例如ping报文),使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务.
ICMPv6flood攻击ICMPv6flood攻击是指,攻击者在短时间内向特定目标发送大量的ICMPv6请求报文(例如ping报文),使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务.
UDPflood攻击UDPflood攻击是指,攻击者在短时间内向特定目标发送大量的UDP报文,占用目标主机的带宽,致使目标主机不能处理正常的业务.
1-41.
2.
4Login用户DoS攻击DoS(DenialofService,拒绝服务)攻击的目的是使被攻击对象无法提供正常的网络服务.
Login用户DoS攻击是指,攻击者通过伪造登录帐户在短时间内向设备连续发起大量登录请求,占用系统认证处理资源,造成设备无法处理正常Login用户的登录请求.
为防止这类攻击,可以在设备上配置Login用户攻击防范功能,对发起恶意认证并多次尝试失败的用户报文进行丢弃.
1.
2.
5Login用户字典序攻击字典序攻击是指攻击者通过收集用户密码可能包含的字符,使用各种密码组合逐一尝试登录设备,以达到猜测合法用户密码的目的.
为防止这类攻击,可以在设备上配置Login用户延时认证功能,在用户认证失败之后,延时期间不接受此用户的登录请求.
1.
3攻击检测及防范配置任务简介表1-2攻击检测及防范配置任务简介配置任务说明详细配置创建攻击防范策略必选1.
4.
1配置攻击防范策略配置单包攻击防范策略必选各类型的攻击防范功能之间没有先后顺序,可根据实际组网需求,配置其中的一种或多种1.
4.
21.
配置扫描攻击防范策略1.
4.
22.
配置泛洪攻击防范策略1.
4.
23.
配置攻击防范例外列表可选1.
4.
3在本机应用攻击防范策略必选1.
4.
4配置单包攻击防范日志的非聚合输出功能可选1.
4.
5配置Login用户延时认证功能可选通常单独使用1.
51.
4配置攻击防范1.
4.
1创建攻击防范策略在配置攻击防范之前,必须首先创建一个攻击防范策略,并进入该攻击防范策略视图.
在该视图下,可以定义一个或多个用于检测攻击的特征项,以及对检测到的攻击报文所采取的防范措施.
表1-3创建攻击防范策略配置步骤命令说明进入系统视图system-view-1-5配置步骤命令说明创建一个攻击防范策略,并进入攻击防范策略视图attack-defensepolicypolicy-number缺省情况下,不存在任何攻击防范策略1.
4.
2配置攻击防范策略在一个攻击防范策略中,可以根据实际的网络安全需求来配置策略中的具体内容,主要包括针对攻击类型指定检测条件及采取的防范措施.
不同类型的攻击防范策略在配置内容上有所不同,下面将按照攻击类型(单包攻击、扫描攻击、泛洪攻击)分别进行介绍.
1.
配置单包攻击防范策略单包攻击防范主要通过分析经过设备的报文特征来判断报文是否具有攻击性.
若设备检测到某报文具有攻击性,则默认会输出告警日志,另外还可以根据配置将检测到的攻击报文做丢弃处理.
表1-4配置单包攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-name-开启指定类型单包攻击报文的特征检测,并设置攻击防范的处理行为signaturedetect{fraggle|fragment|impossible|ip-option-abnormal|land|large-icmp|large-icmpv6|ping-of-death|smurf|snork|tcp-all-flags|tcp-fin-only|tcp-invalid-flags|tcp-null-flag|tcp-syn-fin|teardrop|tiny-fragment|traceroute|udp-bomb|winnuke}[action{{drop|logging}*|none}]signaturedetecticmp-type{icmp-type-value|address-mask-reply|address-mask-request|destination-unreachable|echo-reply|echo-request|information-reply|information-request|parameter-problem|redirect|source-quench|time-exceeded|timestamp-reply|timestamp-request}[action{{drop|logging}*|none}]signaturedetecticmpv6-type{icmpv6-type-value|destination-unreachable|echo-reply|echo-request|group-query|group-reduction|group-report|packet-too-big|parameter-problem|time-exceeded}[action{{drop|logging}*|none}]signaturedetectip-option{option-code|internet-timestamp|loose-source-routing|record-route|route-alert|security|stream-id|strict-source-routing}[action{{drop|logging}*|none}]至少选其一缺省情况下,所有类型的单包攻击的特征检测均处于关闭状态(可选)配置启动LargeICMP攻击防范的ICMP报文长度的最大值signature{large-icmp|large-icmpv6}max-lengthlength缺省情况下,ICMP报文和ICMPv6报文长度的最大值均为4000字节1-6配置步骤命令说明(可选)配置对不同级别的单包攻击报文的处理方式signaturelevel{high|info|low|medium}action{{drop|logging}*|none}缺省情况下,对info和low级别的单包攻击的处理行为是发送日志;对medium和high级别的单包攻击的处理行为是发送日志并丢包(可选)开启指定级别单包攻击报文的特征检测signaturelevel{high|info|low|medium}detect缺省情况下,未开启任何级别的单包攻击报文的特征检测2.
配置扫描攻击防范策略扫描攻击防范主要通过监测网络使用者向目标系统发起连接的速率来检测其探测行为.
若设备监测到某IP地址主动发起的连接速率达到或超过了一定阈值,则可以根据配置输出告警日志、丢弃来自该IP地址的后续报文.
表1-5配置扫描攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-开启指定级别的扫描攻击防范scandetectlevel{high|low|medium}action{{block-source[timeoutminutes]|drop}|logging}*缺省情况下,扫描攻击防范处于关闭状态设备暂不支持关键字block-source和timeout3.
配置泛洪攻击防范策略泛洪攻击防范主要用于保护服务器,通过监测向服务器发起连接请求的速率来检测各类泛洪攻击,当它监测到向某服务器发送报文的速率持续达到或超过了指定的触发阈值时,即认为该服务器受到了攻击,则进入攻击防范状态,并根据配置启动相应的防范措施(输出告警日志、对后续新建连接的报文进行丢弃处理或者进行客户端验证).
此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施.
需要注意的是,当设备上安装了多块业务板时,每种泛洪攻击防范策略中配置的全局触发阈值为每块业务板上的全局触发阈值,因而整机的该类泛洪攻击的全局触发阈值即为每块业务板上的全局触发阈值与业务板数目的乘积.
为保护指定IP地址,攻击防范策略中支持基于IP地址的攻击防范配置.
对于所有非受保护IP地址,可以统一开启攻击防范检测,并采用全局的参数设置来进行保护.
(1)配置SYNflood攻击防范策略表1-6配置SYNflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启SYNflood攻击防范检测syn-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启SYNflood攻击防范检测配置SYNflood攻击防范的全局触发阈值syn-floodthresholdthreshold-value缺省情况下,SYNflood攻击防范的全局触发阈值为10001-7配置步骤命令说明配置SYNflood攻击防范的全局处理行为syn-floodaction{drop|logging}*缺省情况下,不对检测到的SYNflood攻击采取任何措施开启对指定IP地址的SYNflood攻击防范检测,并配置触发阈值和处理行为syn-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置SYNflood攻击防范检测(2)配置ACKflood攻击防范策略表1-7配置ACKflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启ACKflood攻击防范检测ack-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启ACKflood攻击防范检测配置ACKflood攻击防范全局触发阈值ack-floodthresholdthreshold-value缺省情况下,ACKflood攻击防范的全局触发阈值为1000配置ACKflood攻击防范的全局处理行为ack-floodaction{drop|logging}*缺省情况下,不对检测到的ACKflood攻击采取任何措施开启对指定IP地址的ACKflood攻击防范检测,并配置触发阈值和处理行为ack-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置ACKflood攻击防范检测(3)配置SYN-ACKflood攻击防范策略表1-8配置SYN-ACKflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启SYN-ACKflood攻击防范检测syn-ack-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启SYN-ACKflood攻击防范检测配置SYN-ACKflood攻击防范的全局触发阈值syn-ack-floodthresholdthreshold-value缺省情况下,SYN-ACKflood攻击防范的全局触发阈值为1000配置SYN-ACKflood攻击防范的全局处理行为syn-ack-floodaction{drop|logging}*缺省情况下,不对检测到的SYN-ACKflood攻击采取任何措施开启对指定IP地址的SYN-ACKflood攻击防范检测,并配置触发阈值和处理行为syn-ack-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置SYN-ACKflood攻击防范检测1-8(4)配置FINflood攻击防范策略表1-9配置FINflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启FINflood攻击防范检测fin-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启FINflood攻击防范检测配置FINflood攻击防范的全局触发阈值fin-floodthresholdthreshold-value缺省情况下,FINflood攻击防范的全局触发阈值为1000配置FINflood攻击防范的全局处理行为fin-floodaction{drop|logging}*缺省情况下,不对检测到的FINflood攻击采取任何措施开启对指定IP地址的FINflood攻击防范检测,并配置触发阈值和处理行为fin-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置FINflood攻击防范检测(5)配置RSTflood攻击防范策略表1-10配置RSTflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启RSTflood攻击防范检测rst-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启RSTflood攻击防范检测配置RSTflood攻击防范的全局触发阈值rst-floodthresholdthreshold-value缺省情况下,RSTflood攻击防范的全局触发阈值为1000配置全局的RSTflood攻击防范的全局处理行为rst-floodaction{drop|logging}*缺省情况下,不对检测到的RSTflood攻击采取任何措施开启对指定IP地址的RSTflood攻击防范检测,并配置触发阈值和处理行为rst-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置RSTflood攻击防范检测(6)配置ICMPflood攻击防范策略表1-11配置ICMPflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IPv4地址开启ICMPflood攻击防范检测icmp-flooddetectnon-specific缺省情况下,未对任何非受保护IPv4地址开启ICMPflood攻击防范检测1-9配置步骤命令说明配置ICMPflood攻击防范的全局触发阈值icmp-floodthresholdthreshold-value缺省情况下,ICMPflood攻击防范的全局触发阈值为1000配置ICMPflood攻击防范的全局处理动作icmp-floodaction{drop|logging}*缺省情况下,不对检测到的ICMPflood攻击采取任何措施开启对指定IPv4地址的ICMPflood攻击防范检测,并配置触发阈值和处理行为icmp-flooddetectipip-address[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IPv4地址配置ICMPflood攻击防范触发阈值(7)配置ICMPv6flood攻击防范策略表1-12配置ICMPflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IPv6地址开启ICMPv6flood攻击防范检测icmpv6-flooddetectnon-specific缺省情况下,未对任何非受保护IPv6地址开启ICMPv6flood攻击防范检测配置ICMPv6flood攻击防范的全局触发阈值icmpv6-floodthresholdthreshold-value缺省情况下,ICMPv6flood攻击防范的全局触发阈值为1000配置ICMPv6flood攻击防范的全局处理行为icmpv6-floodaction{drop|logging}*缺省情况下,不对检测到的ICMPv6flood攻击采取任何防范措施开启对指定IPv6地址的ICMPv6flood攻击防范检测,并配置触发阈值和处理行为icmpv6-flooddetectipv6ipv6-address[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IPv6地址配置ICMPv6flood攻击防范检测(8)配置UDPflood攻击防范策略表1-13配置UDPflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启UDPflood攻击防范检测udp-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启UDPflood攻击防范检测配置UDPflood攻击防范的全局触发阈值udp-floodthresholdthreshold-value缺省情况下,UDPflood攻击防范的全局触发阈值为1000配置UDPflood攻击防范检测的全局处理行为udp-floodaction{drop|logging}*缺省情况下,不对检测到的UDPflood攻击进行任何处理开启对指定IP地址的UDPflood攻击防范检测,并配置触发阈值和处理行为udp-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置UDPflood攻击防范检测1-10(9)配置DNSflood攻击防范策略表1-14配置DNSflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启DNSflood攻击防范检测dns-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启DNSflood攻击防范检测配置DNSflood攻击防范的全局触发阈值dns-floodthresholdthreshold-value缺省情况下,DNSflood攻击防范的全局触发阈值为1000(可选)配置DNSflood攻击防范的全局检测端口号dns-floodportport-list缺省情况下,DNSflood攻击防范的全局检测端口号为53配置对DNSflood攻击防范的全局处理行为dns-floodaction{drop|logging}*缺省情况下,不对检测到的DNSflood攻击采取任何措施开启对指定IP地址的DNSflood攻击防范检测,并配置触发阈值和处理行为dns-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][portport-list][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置DNSflood攻击防范检测(10)配置HTTPflood攻击防范策略表1-15配置HTTPflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启HTTPflood攻击防范检测http-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启HTTPflood攻击防范检测配置HTTPflood攻击防范的全局触发阈值http-floodthresholdthreshold-value缺省情况下,HTTPflood攻击防范的全局触发阈值为1000(可选)配置HTTPflood攻击防范的全局检测端口号http-floodportport-list缺省情况下,HTTPflood攻击防范的全局检测端口号为80配置对HTTPflood攻击防范的全局处理行为http-floodaction{drop|logging}*缺省情况下,不对检测到的HTTPflood攻击采取任何措施开启对指定IP地址的HTTPflood攻击防范检测,并配置触发阈值和处理行为http-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][portport-list][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置HTTPflood攻击防范检测1.
4.
3配置攻击防范例外列表攻击防范例外列表用于过滤不需要进行攻击防范检测的主机报文,与指定的ACLpermit规则匹配的报文将不会受到任何类型的攻击防范检测.
该配置用于过滤某些被信任的安全主机发送的报文,1-11可以有效的减小误报率,并提高服务器处理效率.
例如:攻击防范功能可能将源IP地址相同,目的地址不同的组播报文(如OSPF、PIM等协议报文)检测为扫描攻击,此时可以通过配置例外列表放行组播报文来消除误报.
需要注意的是,例外列表引用的ACL的permit规则中仅源地址、目的地址、源端口、目的端口、协议号、L3VPN和非首片分片标记参数用于匹配报文.
表1-16配置攻击防范例外列表配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-配置攻击防范例外列表exemptacl[ipv6]{acl-number|nameacl-name}缺省情况下,应用了攻击防范策略后,所有接收到目的地址为本机的报文都需要进行攻击防范检测1.
4.
4在本机应用攻击防范策略通过在本机应用攻击防范策略,使已配置的攻击防范策略对目的地址为本机的报文生效.
可以通过在本机上应用攻击防范策略提高对目的地址为本机的攻击报文的处理效率.
表1-17配置在本机应用攻击防范策略配置步骤命令说明进入系统视图system-view-配置在本机应用攻击防范策略attack-defenselocalapplypolicypolicy-number缺省情况下,本机未应用任何攻击防范策略1.
4.
5配置单包攻击防范日志的非聚合输出功能对日志进行聚合输出是指,在一定时间内,对在同一个接口上检测到的相同攻击类型、相同攻击防范动作、相同的源/目的地址以及属于相同VPN的单包攻击的所有日志聚合成一条日志输出.
通常不建议开启单包攻击防范的日志非聚合输出功能,因为在单包攻击较为频繁的情况下,它会导致大量日志信息输出,占用控制台的显示资源.
表1-18配置单包攻击防范日志的非聚合输出功能配置步骤命令说明进入系统视图system-view-开启对单包攻击防范日志的非聚合输出功能attack-defensesignaturelognon-aggregate缺省情况下,单包攻击防范的日志信息经系统聚合后再输出1.
5配置Login用户延时认证功能Login用户登录失败后,若设备上配置了重新进行认证的等待时长,则系统将会延迟一定的时长之后再允许用户进行认证,可以避免设备受到Login用户字典序攻击.
Login用户延迟认证功能与Login用户攻击防范功能无关,只要配置了延迟认证等待时间,即可生效.
1-12表1-19配置Login用户失败延时认证功能配置步骤命令说明进入系统视图system-view-配置Login用户登录失败后重新进行认证的等待时长attack-defenseloginreauthentication-delayseconds缺省情况下,Login用户登录失败后重新进行认证不需要等待1.
6攻击检测及防范显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后攻击检测及防范的运行情况,通过查看显示信息验证配置的效果.
在用户视图下,执行reset命令可以清除攻击检测及防范的统计信息.
表1-20攻击检测及防范配置的显示和维护操作命令显示本机攻击防范统计信息(独立运行模式)displayattack-defensestatisticslocal[slotslot-number]显示本机攻击防范统计信息(IRF模式)displayattack-defensestatisticslocal[chassischassis-numberslotslot-number]显示攻击防范策略的配置信息displayattack-defensepolicy[policy-name]显示扫描攻击者的IPv4信息displayattack-defensescanattackerip[local][count]显示扫描攻击者的IPv6信息displayattack-defensescanattackeripv6[local.
][count]显示扫描攻击被攻击者的IPv4信息displayattack-defensescanvictimip[local][count]显示扫描攻击被攻击者的IPv6信息displayattack-defensescanvictimipv6[local][count]显示IPv4flood攻击防范统计信息(独立运行模式)displayattack-defense{ack-flood|dns-flood|fin-flood|flood|http-flood|icmp-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}statisticsip[ip-address[vpnvpn-instance-name]][count][local[slotslot-number]][count]显示IPv4flood攻击防范统计信息(IRF模式)displayattack-defense{ack-flood|dns-flood|fin-flood|flood|http-flood|icmp-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}statisticsip[ip-address[vpnvpn-instance-name]][local[chassischassis-numberslotslot-number]][count]显示IPv6flood攻击防范统计信息(独立运行模式)displayattack-defense{ack-flood|dns-flood|fin-flood|flood|http-flood|icmpv6-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}statisticsipv6[ipv6-address[vpnvpn-instance-name]][local[slotslot-number]][count]显示IPv6flood攻击防范统计信息(IRF模式)displayattack-defense{ack-flood|dns-flood|fin-flood|flood|http-flood|icmpv6-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}statisticsipv6[ipv6-address[vpnvpn-instance-name]][local[chassischassis-numberslotslot-number]][count]显示flood攻击防范的IPv4类型的受保护IP表项(独立运行模式)displayattack-defensepolicypolicy-name{ack-flood|dns-flood|fin-flood|flood|http-flood|icmp-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}ip[ip-address[vpnvpn-instance-name]][slotslot-number][count]显示flood攻击防范的IPv4类型的受保护IP表项(IRF模式)displayattack-defensepolicypolicy-name{ack-flood|dns-flood|fin-flood|flood|http-flood|icmp-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}ip[ip-address[vpnvpn-instance]][chassischassis-numberslotslot-number][count]1-13操作命令显示flood攻击防范的IPv6类型的受保护IP表项(独立运行模式)displayattack-defensepolicypolicy-name{ack-flood|dns-flood|fin-flood|flood|http-flood|icmpv6-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}ipv6[ipv6-address[vpnvpn-instance-name]][slotslot-number][count]显示flood攻击防范的IPv6类型的受保护IP表项(IRF模式)displayattack-defensepolicypolicy-name{ack-flood|dns-flood|fin-flood|flood|http-flood|icmpv6-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}ipv6[ipv6-address[vpnvpn-instance-name]][chassischassis-numberslotslot-number][count]清除本机攻击防范的统计信息resetattack-defensestatisticslocal清除flood攻击防范受保护IP表项的统计信息resetattack-defensepolicypolicy-namefloodprotected{ip|ipv6}statistics