鸿鹄论坛 › HCIP学习资料 › 华为攻击防范配置详解

小乔 发表于 2022-5-11 09:14:19

华为攻击防范配置详解

攻击防范简介
介绍攻击防范的定义和作用。

定义
攻击防范是一种重要的网络安全特性。它通过分析上送CPU处理的报文的内容和行为，判断报文是否具有攻击特性，并配置对具有攻击特性的报文执行一定的防范措施。

攻击防范主要分为畸形报文攻击防范、分片报文攻击防范和泛洪攻击防范。

目的
目前，网络的攻击日益增多，而通信协议本身的缺陷以及网络部署问题，导致网络攻击造成的影响越来越大。特别是对网络设备的攻击，将会导致设备或者网络瘫痪等严重后果。

攻击防范针对上送CPU的不同类型攻击报文，采用丢弃或者限速的手段，以保障设备不受攻击的影响，使业务正常运行。

介绍攻击防范的应用场景。如图8-8所示，RouterA经常会受到不同类型的网络攻击，这样会导致设备资源使用率过高，影响网络服务。为保障给用户提供安全的网络服务，在RouterA上部署攻击防范功能，主要防范的攻击类型包括：
[*]畸形报文攻击防范，防止畸形报文攻击。
[*]分片报文攻击防范，限制分片报文的速率，防止分片报文对CPU造成攻击，占用过多CPU和设备资源。
[*]泛洪攻击防范，包括以下三种：
[*]TCP SYN泛洪攻击防范，限制TCP SYN报文的速率，防止CPU处理TCP SYN报文占用过多资源；
[*]UDP泛洪攻击防范，对特定端口发送的UDP报文直接丢弃；
[*]ICMP泛洪攻击防范，限制ICMP泛洪攻击报文的上送速率，防止CPU处理ICMP泛洪攻击报文占用过多资源。


图8-8攻击防范应用组网图
https://download.huawei.com/mdl/image/download?uuid=36c0d7583b144e1bb11cb5c8e1c03776

组网需求如图8-9所示，如果局域网内存在Hacker向RouterA发起畸形报文攻击、分片报文攻击和泛洪攻击，将会造成RouterA瘫痪。为了预防这种情况，管理员希望通过在RouterA上部署各种攻击防范措施来为用户提供安全的网络环境，保障正常的网络服务。图8-9配置攻击防范组网图
https://download.huawei.com/mdl/image/download?uuid=f6d9c17e195c4d10acc3ea5ddb0c134e



配置思路采用如下思路在RouterA上配置攻击防范：
[*]使能畸形报文攻击防范功能，避免畸形报文攻击。
[*]使能分片报文攻击防范功能，避免分片报文攻击。
[*]使能泛洪攻击防范功能，避免泛洪攻击。

操作步骤
使能畸形报文攻击防范。
<Huawei> system-view
sysname RouterA
anti-attack abnormal enable
使能分片报文攻击防范，并限制分片报文接收的速率为15000bit/s。
anti-attack fragment enable
anti-attack fragment car cir 15000
使能泛洪攻击防范。
# 使能TCP SYN攻击防范，并限制TCP SYN报文接收的速率为15000bit/s。


anti-attack tcp-syn enable
anti-attack tcp-syn car cir 15000
# 使能UDP泛洪攻击防范，对特定端口发送的UDP报文直接丢弃。


anti-attack udp-flood enable
# 使能ICMP泛洪攻击防范，并限制ICMP泛洪报文接收的速率为15000bit/s。


anti-attack icmp-flood enable
anti-attack icmp-flood car cir 15000
验证配置结果。
# 配置完成后，可以通过执行命令display anti-attack statistics查看报文攻击防范的统计数据。


display anti-attack statistics
Packets Statistic Information:                                                
-------------------------------------------------------------------------------
AntiAtkTypeTotalPacketNum      DropPacketNum         PassPacketNum         
             (H)      (L)      (H)      (L)      (H)      (L)         
-------------------------------------------------------------------------------
Abnormal      0          0          0          0          0          0         
Fragment      0          0          0          0          0          0         
Tcp-syn       0          34         0          28         0          6      
Udp-flood   0          0          0          0          0          0         
Icmp-flood    0          0          0          0          0          0         
-------------------------------------------------------------------------------
由显示信息可知，RouterA上产生了TCP SYN报文的丢弃计数，表明攻击防范功能已经生效。


配置文件
RouterA的配置文件


#
sysname RouterA
#
anti-attack fragment car cir 15000                                             
anti-attack tcp-syn car cir 15000                                             
anti-attack icmp-flood car cir 15000   
#
return



**** Hidden Message *****

唯一sole 发表于 2022-5-11 10:27:37

{:6_267:}{:6_267:}{:6_267:}

xephang 发表于 2022-5-11 10:57:11

谢谢分享         

hmxaur 发表于 2022-5-11 11:25:53

好东西谢谢楼主分享

liyou60 发表于 2024-5-14 10:58:03

华为认证，值得拥有！{:6_269:}{:6_267:}{:6_268:}

查看完整版本: 华为攻击防范配置详解