H3C SecPath UTM系列攻击防范典型配置举例
关键词:攻击防范、扫描、黑名单
摘要:本文简单描述了高端多核防火墙攻击防范模块的特点,包括SYN FLOOD攻击防范测试、UDP FLOOD攻击防范测试、ICMP FLOOD攻击防范测试、扫描攻击防范测试、单包攻击防范测试、静态黑名单功能测试、动态黑名单功能。详细描述了攻击防范测试的基本方法,攻击报文构造及详细步骤,给出攻击防范基本的配置案例。
缩略语:
缩略语英文全名中文解释DDOS Distributed Denial of Service 分布式拒绝服务
HTTP Hypertext Transfer Protocol WWW服务程序所用的协议
ICMP Internet Control Message Protocol Internet控制报文协议
Protocol 网际协议
IP Internet
TCP Transfer Control Protocol 传输控制协议
UDP User Datagram Protocol 用户数据报协议
目录
1 特性简介 (1)
2 应用场合 (1)
3 注意事项 (1)
4 配置举例 (1)
4.1 组网需求 (1)
4.2 配置思路 (2)
4.3 使用版本 (2)
4.4 配置步骤 (2)
4.4.1 基本配置 (2)
4.4.2 配置域和域间策略 (4)
4.5 攻击防范配置 (6)
4.5.1 静态黑名单功能 (6)
4.5.2 动态黑名单功能 (7)
4.5.3 ICMP Flood攻击防范 (7)
4.5.4 UDP Flood攻击防范 (8)
4.5.5 SYN Flood攻击防范 (8)
4.5.6 扫描攻击防范 (8)
4.5.7 报文异常检测 (9)
4.6 验证结果 (9)
4.6.1 静态黑名单 (9)
4.6.2 动态黑名单 (10)
4.6.3 ICMP Flood攻击防范 (11)
4.6.4 UDP Flood攻击防范 (11)
4.6.5 SYN Flood攻击防范 (12)
4.6.6 扫描攻击防范 (13)
4.6.7 报文异常检测 (13)
5 相关资料 (14)
5.1 其它相关资料 (14)
1 特性简介
攻击防范是防火墙的重要特性之一,它分析经过防火墙报文的内容和行为,判断报文是否具有攻击特性,如果有则执行一定的防范措施:如加入黑名单、输出告警日志、丢弃报文等。
防火墙的攻击防范能够检测拒绝服务型(DoS)、扫描窥探型、畸形报文型等多种类型的攻击,并对攻击采取合理的防范措施。攻击防范具体功能包括黑名单过滤、报文攻击特征识别、流量异常检测、入侵检测统计。
攻击防范管理是对防火墙的黑名单过滤、攻击特征识别、流量异常检测、入侵检测统计几项重要的功能进行配置管理。
2 应用场合
主要用于校园网、企业,在内外网之间通过分析防火墙报文的内容和行为,判断报文是否具有攻击特性,从而执行防范措施,保护网络安全运行。
3 注意事项
配置地址转换策略模块时,需要注意如下事项:
(1) 特征识别和扫描攻击检测配置在域的入方向(即源域内)生效,而在域的出方向(即目的域
内)不生效。
(2) Flood攻击检测配置在域的出方向(即目的域内)生效,在域的入方向(即源域内)不生效。
(3) 每一个用例测试完成后,请清除掉测试项中对防火墙所做的配置,以防对以后的测试产生影
响。
4 配置举例
4.1 组网需求
本配置举例中,UTM设备使用的是UTM200-S。
图4-1攻击防范组网图
4.2 配置思路
z GE0/2所在的局域网(内网)接口配置地址为2.0.0.1/24,在Trust域。
z在GE0/1(内网)接口配置地址为1.0.0.1/24,在Untrust域。
4.3 使用版本
H3C Comware Platform Software
Comware Software, Version 5.20, Beta 5112
Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
H3C SecPath U200-S uptime is 0 week, 3 days, 15 hours, 25 minutes
CPU type: RMI XLS404 800MHz CPU
512M bytes DDR2 SDRAM Memory
32M bytes Flash Memory
PCB Version:Ver.B
Logic Version: 3.0
Basic BootWare Version: 1.21
Extend BootWare Version: 1.21
[FIXED PORT] CON (Hardware)Ver.B, (Driver)1.0, (Cpld)3.0
[FIXED PORT] GE0/0 (Hardware)Ver.B, (Driver)1.0, (Cpld)3.0
[FIXED PORT] GE0/1 (Hardware)Ver.B, (Driver)1.0, (Cpld)3.0
[FIXED PORT] GE0/2 (Hardware)Ver.B, (Driver)1.0, (Cpld)3.0
[FIXED PORT] GE0/3 (Hardware)Ver.B, (Driver)1.0, (Cpld)3.0
[FIXED PORT] GE0/4 (Hardware)Ver.B, (Driver)1.0, (Cpld)3.0
[SUBCARD 1] The SubCard is not present
4.4 配置步骤
4.4.1 基本配置
1. 配置接口IP地址
z在左侧导航栏中点击“设备管理 > 接口管理”。
z点击GE0/1栏中的按钮,进入“接口编辑”界面。按照下图设置接口GE0/1,点击< 确定>按钮返回“接口管理”界面。
z点击GE0/2栏中的按钮,进入“接口编辑”界面。按照下图设置接口GE0/2,点击< 确定>按钮返回“接口管理”界面。
z点击Trust栏中的按钮,进入“修改安全域”界面。按照下图将接口GE0/2加入Trust域,点击< 确定>返回“安全域”界面。
z按照同样操作,将GE0/1接口加入到Untrust域。
2. 配置域间策略
z点击左侧导航栏“防火墙 > 安全策略 > 域间策略”。
z点击< 新建>按钮,按照下面截图信息配置Trust域到Untrust域的域间策略。
z同理,添加一条Untrust域到Trust域的域间策略。
3. 配置出接口NAT
z在“防火墙> NAT > 动态地址转换”页面,点击“地址转换关联”下的< 新建>按钮。
z按照下面的截图信息配置出接口GE0/1的NAT,点击< 确定>按钮。
4.5 攻击防范配置
4.5.1 静态黑名单功能
z在“攻击防范 > 黑名单”页面,选中“启用黑名单过滤功能”前面的复选框,启用黑名单功能。
z在“攻击防范 > 黑名单”页面,点击“黑名单配置”下的< 新建>按钮。
z输入添加的黑名单地址和黑名单生效的保留时间,点击< 确定>按钮。
4.5.2 动态黑名单功能
z在“攻击防范 > 黑名单”页面,选中“启用黑名单过滤功能”前面的复选框,启用黑名单功能。
4.5.3 ICMP Flood攻击防范
z在“攻击防范 > 流量异常检测> ICMP Flood”页面,安全区域选择“Trust”,选择“发现攻击丢包”,点击< 确定>按钮。
z点击“ICMP Flood配置”下的< 新建>按钮,添加保护的主机地址为2.0.0.2。
4.5.4 UDP Flood攻击防范
z在“攻击防范 > 流量异常检测> UDP Flood”页面,安全区域选择“Trust”,选中“发现攻击丢包”,点击< 确定>按钮。
z点击“UDP Flood配置”下的< 新建>按钮,添加保护的主机地址为2.0.0.2。
4.5.5 SYN Flood攻击防范
z在“攻击防范 > 流量异常检测 > SYN Flood”页面,安全区域选择“Trust”,选中“发现攻击丢包”,点击< 确定>按钮。
z点击“UDP Flood配置”下的< 新建>按钮,添加保护的主机地址为2.0.0.2。
4.5.6 扫描攻击防范
z在“攻击防范 > 流量异常检测 > 扫描攻击”页面,安全区域选择“Untrust”,选中“启动攻击扫描”和“源IP地址加入黑名单”,点击< 确定>按钮。
z在PC2上使用NetWizard工具软件或者SmartBits测试仪器构造目的地址或者目的端口变化的TCP、UDP报文、或者目的地址变化的ICMP报文等各种攻击报文,对目标主机进行扫描。
4.5.7 报文异常检测
报文异常检测即单包攻击检测,与流量和会话无关,通过检查单个IP报文是否具有攻击特征就可以作出判断。
z在“攻击防范 > 报文异常检测”页面,安全区域选择“Untrust”,做如下配置,点击< 确定>按钮。
z使用NetWizard工具软件或SmartBits测试仪器均可以构造攻击报文,下面以SmartBits测试仪器举例介绍如何构造报文。
4.6 验证结果
4.6.1 静态黑名单
z在黑名单老化时间内,在PC1上不能ping通GE0/1的接口地址1.0.0.1。
z在黑名单老化时间外,在PC1上可以ping通GE0/1的接口地址1.0.0.1。
4.6.2 动态黑名单
z假设PC2 地址为1.0.0.100,使用正确的用户名,错误的密码登录web界面,五次登录失败后会被自动加入黑名单中。
z在“攻击防范 > 黑名单”页面,可以查看自动添加的黑名单列表,为1.0.0.100。
4.6.3 ICMP Flood攻击防范
z在“攻击防范 > 入侵检测统计”页面,安全区域选择“Trust”,可以查看ICMP Flood攻击次数和丢包次数。
4.6.4 UDP Flood攻击防范
z在“攻击防范 > 入侵检测统计”页面,安全区域选择“Trust”,可以查看ICMP Flood攻击次数和丢包次数。
4.6.5 SYN Flood攻击防范
z在“攻击防范 > 入侵检测统计”页面,安全区域选择“Trust”,可以查看ICMP Flood攻击次数和丢包次数。
4.6.6 扫描攻击防范
z在“攻击防范 > 入侵检测统计”页面,安全区域选择“Untrust”,可以查看扫描攻击次数和丢包次数。
4.6.7 报文异常检测
z在“攻击防范 > 入侵检测统计”页面,安全区域选择“Untrust”,可以查看每种攻击次数和丢包次数。
SecPath系列防火墙IPSec典型配置举例 关键词:IKE、IPSec 摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。 缩略语: 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP
目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一:基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二:与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)
广域网技术课程设计报告 设计题目:广域网技术综合实验 目录 1.概述 (2) 1.1目的 (2) 1.2课程设计的任务 (2) 2.设计的内容 (2) 2.1拓扑图 (2) 2.2课程设计的内容 (3) 3.总结 (4) 3.1课程设计进行过程及步骤 (4) 3.1.1基本配置 (4) 3.1.2 DHCP的配置 (7)
3.1.3配置路由协议 (8) 3.1.4 帧中继配置 (9) 3.1.5 PPP的配置(chap) (11) 3.1.6 ACL的配置 (11) 3.1.7 NAT配置 (12) 3.1.8验证 (12) 3.2所遇到的问题,你是怎样解决这些问题的 (15) 3.3体会收获及建议 (15) 4.教师评语 (15) 5.成绩 (15)
1.概述 1.1目的 通过一个完整的广域网技术综合打实验,促使大家能够从整体上把握WAN广域网连接,并且能从更深层次上来理解搭建整体网络的一个完整流程,同时增强实际动手能力。 熟练掌握广域网上设备的常用配置:实现PPP配置、帧中继封装、ACL访问控制列表设置、NAT网络地址转换、DHCP动态地址分配等协议,巩固所学广域网技术,并加深对其概念的理解。 1.2课程设计的任务 (1)DHCP及其中继的配置与验证 (2)PPP的配置与验证 (3)帧中继的配置与验证 (4)RIP的配置与验证 (5)标准ACL的配置与验证 (6)NAT的配置、地址映射与验证 2.设计的内容 2.1拓扑图 注:下图的拓扑图为某企业的网络规划图,包含有核心层、汇聚层、及接入层。核心层组要由接入R1及电信ISP组成,汇聚层主要由总部R2及分支R3组成,接入层由S1、S2、S3、S4交换机组成。在接入层R1上通过配置ACL及NAT保护内网的安全。 图2-1
计算机网络攻击常见手法及防范措施 一、计算机网络攻击的常见手法 互联网发展至今,除了它表面的繁荣外,也出现了一些不良现象,其中黑客攻击是最令广大网民头痛的事情,它是计算机网络安全的主要威胁。下面着重分析黑客进行网络攻击的几种常见手法及其防范措施。 (一)利用网络系统漏洞进行攻击 许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。 对于系统本身的漏洞,可以安装软件补丁;另外网管也需要仔细工作,尽量避免因疏忽而使他人有机可乘。 (二)通过电子邮件进行攻击 电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪,这一点和后面要讲到的“拒绝服务攻击(DDoS)比较相似。 对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除软件来解决,其中常见的有SpamEater、Spamkiller等,Outlook等收信软件同样也能达到此目的。 (三)解密攻击 在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人,只要有密码,系统就会认为你是经过授权的正常用户,因此,取得密码也是黑客进行攻击的一重要手法。取得密码也还有好几种方法,一种是对网络上的数据进行监听。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。但一般系统在传送密码时都进行了加密处理,即黑客所得到的数据中不会存在明文的密码,这给黑客进行破解又提了一道难题。这种手法一般运用于局域网,一旦成功攻击者将会得到很大的操作权益。另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码,但这项工作十分地费时,不过如果用户的密码设置得比较简单,如“12345”、“ABC”等那有可能只需一眨眼的功夫就可搞定。 为了防止受到这种攻击的危害,用户在进行密码设置时一定要将其设置得复杂,也可使用多层密码,或者变换思路使用中文密码,并且不要以自己的生日和电话甚至用户名作为密码,因为一些密码破解软件可以让破解者输入与被破解用户相关的信息,如生日等,然后对这些数据构成的密码进行优先尝试。另外应该经常更换密码,这样使其被破解的可能性又下降了不少。 (四)后门软件攻击 后门软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。这些后门软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登陆上已安装好服务器端程序的电脑,这些服务器端程序都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,后门软件的服务器端就安装完成了,而且大部分后门软件的重生能力
实验报告十 课程网络管理实验名称帧中继的配置 专业_ 数学与应用数学班级__双师1班_ __ 学号___105012011053 __ 姓名陈益梅同组姓名 实验日期:2014年6月17日报告退发(订正、重做) 一、实验目的 理解帧中继网络及其应用环境。掌握帧中继网络的配置。掌握静态路由/路由选择协议在帧中继网络环境中的使用。 二、实验内容 三、实验拓扑图及IP地址规划 PC机IP地址子网掩码网关 PC1 10.10.10.2 255.255.255.0 10.10.10.1 PC2 20.20.20.2 255.255.255.0 20.20.20.1 PC3 30.30.30.2 255.255.255.0 30.30.30.1
设备名接口名IP地址子网掩码网络号R1 f0/0 10.10.10.1 255.255.255.0 10.10.10.0 R1 S0/0/0 40.40.40.1 255.255.255.0 40.40.40.0 R2 f0/0 20.20.20.1 255.255.255.0 20.20.20.0 R2 S0/0/0 40.40.40.2 255.255.255.0 40.40.40.0 R3 f0/0 30.30.30.1 255.255.255.0 30.30.30.0 R3 S0/0/0 40.40.40.3 255.255.255.0 40.40.40.0 四、主要配置步骤 1、三台路由器接口分别配置ip地址。 Router(config)#hostname R1 R1(config)#int s0/0/0 R1(config-if)#ip address 40.40.40.1 255.255.255.0 R1(config-if)#no shutdown R1(config)#int f0/0 R1(config-if)#ip address 10.10.10.1 255.255.255.0 R1(config-if)#no shutdown Router(config)#hostname R2 R2(config)#int s0/0/0 R2(config-if)#ip address 40.40.40.2 255.255.255.0 R2(config-if)#no shutdown R2(config)#int f0/0 R2(config-if)#ip address 20.20.20.1 255.255.255.0 R2(config-if)#no shutdown
基本的帧中继配置 实验1完成了对帧中继交换机的配置,为本实验提供了帧中继的链路环境。本实验将针对连接在帧中继线路上的路由器进行设置,以实现端到端的连通性。 在实际的网络项目中,我们并不调试帧申继交换机,而是调试连在帧中继线路两端的路由器。本实验所完成的就是这样的任务。 1.实验目的 通过本实验,读者可以掌握以下技能: ●配置帧中继实现网络互连; ●查看帧中继pvc信息; ●监测帧中继相关信息。 2.设备需求 本实验需要以下设备: ●实验中配置好的帧中继交换机; ●2台路由器,要求最少具有1个串行接口和1个以太网接口; ●2条DCE电缆,2条DTE电缆; ●1台终端服务器,如Cisco 2509路由器,及用于反向Telnet的相应电缆; ●台带有超级终端程序的PC机,以及Console电缆及转接器。 3.拓扑结构及配置说明 本实验的拓扑如图8-4所示。
在"帧中继云"的位置,实际放置的是实验1中配置好的帧中继交换机,使用全网状的拓扑。使用帧中继交换机的S1和S2接口分别用一组DCE。DTE电缆与R1和R2实现连接。 实验中,以太网接口不需要连接任何设备。 网段划分和IP地址分配如图8-4中的标注。 本实验通过对帧中继的配置实现R1的E0网段到R2的E0网段的连通性。 4.实验配置及监测结果 第1步:配置基本的帧中继连接 连接好所有设备并给各设备加电后,开始进行实验。 这一步完成对于两台路由器S0接口的帧中继参数的配置,同时也配置E0接口。 配置清单8-4记录了帧中继的基本配置。 配置清单8-4 配置基本的帧中继连接 第1段:配置R1路由器 R1#conft Enter configuration commands, one per line. End with CNTL/Z. R1(config)#int eO R1(config-if)#ip addr 192.1.1.1255.255.255.0 R1(config-if)#no keepa R1(config-if)#no shut R1(config-if)#int sO R1(config-if)#ip addr 172,16.1.1255.255.255.0
可参考文档 Secoway USG2100&2200&5100 BSR&HSR & USG2000&5000 V300R001 配置指南-命令行方式 04配置IP 地址扫描攻击防范功能攻击者运用ICMP报文探测目标地址,或者使用TCP/UDP报文对一定地址发起连接,通 过判断是否有应答报文,以确定哪些目标系统确实存活着并且连接在目标网络上。 背景信息 配置IP地址扫描攻击防范后,设备对接收的TCP、UDP、ICMP报文进行检测,如果某个 源IP地址每秒发往不同目的IP地址的报文数超过了设定的阈值时,就认为该源IP地址在 进行IP地址扫描攻击,USG将该IP地址加入黑名单,然后做如下处理: 若USG开启了黑名单功能,则丢弃从该IP地址发来的报文 . 若U SG没有开启黑名单功能,系统会产生告警,但不丢弃报 . ---------------------------------------------------------------------------------------------------------------------- 拓扑图 ------------------------------------------------------------------------- client2(内网服务器) 配置 10.1.1.10 10.1.1.1 网关 http,ftp服务 --- 无需配置交换机 路由器只配个ip地址 --- client1(外网客户端) 配置 100.1.1.10 100.1.1.1 网关 ------------------------ 防火墙配置 int g0/0/1 ip add 100.1.1.1 24 firewall zone untrust add interface g0/0/1 (untrust) int g0/0/0 ip add 10.1.1.1 firewall zone trust add inter g0/0/0 (trust) ++++++测试防火墙与client 客户端,client 服务器的连通性++++++ FTP 服务的攻击防范 2015年11月8日14:27
1.1防火墙典型配置举例
[Quidway-acl-101]rule deny ip source any destination any #配置规则允许特定主机访问外部网,允许内部服务器访问外部网。 [Quidway-acl-101]rule permit ip source129.38.1.40destination any [Quidway-acl-101]rule permit ip source129.38.1.10destination any [Quidway-acl-101]rule permit ip source129.38.1.20destination any [Quidway-acl-101]rule permit ip source129.38.1.30destination any #配置规则允许特定用户从外部网访问内部服务器。 [Quidway]acl102 [Quidway-acl-102]rule permit tcp source202.39.2.30destination 202.38.160.10 #配置规则允许特定用户从外部网取得数据(只允许端口大于1024的包)。 [Quidway-acl-102]rule permit tcp source any destination 202.38.160.10.0.0.0destination-port greater-than1024 #将规则101作用于从接口Ethernet0进入的包。 [Quidway-Ethernet0]firewall packet-filter101inbound #将规则102作用于从接口Serial0进入的包。 [Quidway-Serial0]firewall packet-filter102inbound
实验 3 广域网链路层协议配置实验 实验目的 掌握HDLC 、PPP 、FR 的配置 实验设备 Cisco 2621, Quidway 28系列路由器 实验概述 1. 实验环境 R A R B PC A PC B S0/0 S0/0 f0/0 f0/0 路由器各个接口的IP 地址设置如下: R A R B F0/0 202.0.0.1/24 202.0.1.1/24 S0/0 192.0.0.1/24 192.0.0.2/24 PC 机的IP 地址和缺省网关的IP 地址如下: PC A PC B IP 地址 202.0.0.2/24 202.0.1.2/24 Gateway 202.0.0.1/24 202.0.1.1/24
为了保证配置不受影响,请在实验前清除路由器的所有配置有重新启动(Cisco的路由器删除startup-config 文件,Quidway的路由器删除saved-config文件)。 2.实验步骤 1)配置路由器的接口IP地址和主机地址,修改路由器名称为RA和RB; 2)在路由器的串口上配置HDLC协议,查看路由器的配置文件,并测试PCA和PCB之间的连通性; 3)在路由器的串口上配置无验证的PPP协议,查看路由器的配置文件,并测试PCA 和PCB之间的连通性; 4)在路由器的串口上配置PAP认证的PPP协议,查看路由器的配置文件,并测试PCA和PCB之间的连通性; 5)在路由器的串口上配置CHAP认证的PPP协议,查看路由器的配置文件,并测试PCA和PCB之间的连通性; 6)在路由器的串口上配置帧中继协议,查看路由器的配置文件,并测试PCA和PCB之间的连通性。 实验内容 1.配置HDLC协议,测试PCA和PCB之间的连通性,填写表1。 在端口状态下命令:link-protocol hdlc (Quidway命令) encapsulation hdlc (Cisco命令) 表1 实验步骤观察内容 显示路由器的串口状态Command: show interface s0/0 或:display interface s0/0 Serial0/0 is up, line protocol is down Hardware is PowerQUICC Serial Internet address is 192.0.0.1/24 MTU 1500 bytes, BW 2000000 Kbit, DL Y 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation HDLC, loopback not set 测试PC1/PC2连通状态Command: ping Pinging 202.0.1.2 with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Ping statistics for 202.0.1.2: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), 2.配置无验证的PPP协议,测试PCA和PCB之间的连通性,填写表2。在端口状态下命令:link-protocol ppp(Quidway命令) encapsulation ppp (Cisco命令)
SecPath地址扫描和端口扫描攻击防范典型配置一、组网需求 部署SecPath防火墙,对地址扫描(ip-sweep)和端口扫描(port-scan)攻击进行防范,并利用黑名单功能将攻击者进行隔离。 二、组网图 三、配置步骤 [SecPath10F]dis cur # sysname SecPath10F # firewall packet-filter enable firewall packet-filter default permit # undo connection-limit enable connection-limit default deny connection-limit default amount upper-limit 50 lower-limit 20 # firewall statistic system enable //开启全局报文统计功能# firewall blacklist enable //启用黑名单功能 # radius scheme system
# domain system # local-user admin password cipher .]@USE=B,53Q=^Q`MAF4<1!! service-type telnet terminal level 3 service-type ftp # interface Ethernet1/0 ip address 10.0.0.254 255.255.0.0 # interface Ethernet2/0 speed 10 duplex half ip address 9.0.0.254 255.0.0.0 # interface NULL0 # firewall zone local set priority 100 # firewall zone trust add interface Ethernet1/0 set priority 85 # firewall zone untrust add interface Ethernet2/0 set priority 5 statistic enable ip outzone //对非信任域出方向的报文进行统计 # firewall zone DMZ set priority 50 # firewall interzone local trust # firewall interzone local untrust # firewall interzone local DMZ # firewall interzone trust untrust # firewall interzone trust DMZ
SecBlade防火墙插卡配置管理典型配置举例 关键词:配置管理,备份 摘要:配置管理模块主要用于对SecBlade防火墙插卡进行配置保存(加密和非加密)、备份、配置恢复和恢复出厂配置,用户可以在web页面方便地对设备的配置进行维护和管理。 缩略语: 缩略语英文全名中文解释 - - -
目录 1 特性简介 (3) 2 应用场合 (3) 3 注意事项 (3) 4 配置举例 (3) 4.1 组网需求 (3) 4.2 配置思路 (3) 4.3 使用版本 (4) 4.4 配置步骤 (4) 4.4.1 基本配置 (4) 4.4.2 配置管理 (4) 4.5 验证结果 (6) 4.5.1 配置保存 (6) 4.5.2 配置备份 (7) 4.5.3 配置恢复 (7) 4.5.4 恢复出厂配置 (7) 4.5.5 软件升级 (7) 4.5.6 设备重启 (7)
1 特性简介 配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。 配置保存可以加密保存配置,如果将配置信息备份下来,打开文件查看时,看到的是密文显示。 在此页面可以对当前的配置信息进行配置备份和备份恢复。软件升级和系统重启可以让用户通过web页面对设备进行管理和操作。 2 应用场合 用于设备的日常维护,当配置修改后,可以保存配置以免设备断电配置信息丢失。也可以将配置信息备份下来,用于日后的配置恢复。如果想清空配置信息时,可以恢复出厂配置。 3 注意事项 (1) 软件升级时,尽量在流量少的时候操作,以免影响用户正常使用。 (2) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。 4 配置举例 4.1 组网需求 本配置举例中,设备使用的是Secblade II防火墙插卡。本典型配置举例同样适合Secblade LB插卡。 图1配置管理组网图 4.2 配置思路 GE0/1所在的局域网(内网)接口配置地址为192.168.252.98/22,加入ManageMent域,使GE0/1成为管理口。
计算机网络技术实践 实验报告 实验名称实验三 RIP和OSPF路由协议的配置及协议流程 姓名____ ______实验日期: ____________________ 学号___________实验报告日期: ____________________ 报告退发: ( 订正、重做 ) 一.环境(详细说明运行的操作系统,网络平台,机器的IP地址)●操作系统:Windows7 ●网络平台:虚拟网络(软件Dynamips) ●IP地址:127.0.0.1 二.实验目的 ●在上一次实验的基础上实现RIP和OSPF路由协议 ●自己设计网络物理拓扑和逻辑网段,并在其上实现RIP和OSPF协议 ●通过debug信息详细描述RIP和OSPF协议的工作过程。 ●RIP协议中观察没有配置水平分割和配置水平分割后协议的工作流程; ●OSPF中需要思考为什么配置完成后看不到路由信息的交互?如何解 决? 三.实验内容及步骤(包括主要配置流程,重要部分需要截图) ●设计网络物理拓扑和逻辑网段
编写.net文件 autostart = false [localhost] port = 7200 udp = 10000 workingdir = ..\tmp\ [[router R0]] image = ..\ios\unzip-c7200-is-mz.122-37.bin model = 7200 console = 3001 npe = npe-400 ram = 64 confreg = 0x2102 exec_area = 64 mmap = false slot0 = PA-C7200-IO-FE slot1 = PA-4T s1/0 = R1 s1/1 s1/1 = R2 s1/2
帧中继概述: ?是由国际电信联盟通信标准化组和美国国家标准化协会制定的一种标准。 ?它定义在公共数据网络上发送数据的过程。 ?它是一种面向连接的数据链路技术,为提供高性能和高效率数据传输进行了技术简化,它靠高层协议进行差错校正,并充分利用了当今光纤和数字网络技术。 帧中继的作用: ?帧使用DLCI进行标识,它工作在第二层;帧中继的优点在于它的低开销。 ?帧中继在带宽方面没有限制,它可以提供较高的带宽。 ?典型速率56K-2M/s内 选择 Frame Relay 拓扑结构: ?全网结构:提供最大限度的相互容错能力;物理连接费用最为昂贵。 ?部分网格结构:对重要结点采取多链路互连方式,有一定的互备份能力。 ?星型结构:最常用的帧中继拓扑结构,由中心节点来提供主要服务与应用,工程费最省 帧中继的前景: ?一种高性能,高效率的数据链路技术。 ?它工作在OSI参考模型的物理层和数据链路层,但依赖TCP上层协议来进行纠错控制。 ?提供帧中继接口的网络可以是一个ISP服务商;也可能是一个企业的专有企业网络。?目前,它是世界上最为流行的WAN协议之一,它是优秀的思科专家必备的技术之一。 子接口的配置: ?点到点子接口
–子接口看作是专线 –每一个点到点连接的子接口要求有自己的子网 –适用于星型拓扑结构 ?多点子接口(和其父物理接口一样的性质) –一个单独的子接口用来建立多条PVC,这些PVC连接到远端路由器的多点子接口或物理接口 –所有加入的接口都处于同一的子网中 –适用于 partial-mesh 和 full-mesh 拓扑结构中 帧中继术语: ?DTE:客户端设备(CPE),数据终端设备 ?DCE:数据通信设备或数据电路端接设备 ?虚电路(VC):通过为每一对DTE设备分配一个连接标识符,实现多个逻辑数据会话在同一条物理链路上进行多路复用。 ?数字连接识别号(DLCI):用以识别在DTE和FR之间的逻辑虚拟电路。 ?本地管理接口(LMI):是在DTE设备和FR之间的一种信令标准,它负责管理链路连接和保持设备间的状态。 今天我们研究点到点子接口(point-to-point)
DPtech FW1000系列应用防火墙 典型配置 手册版本:v3.2 软件版本:FW1000-S211C011D001P15 发布时间:2018-12-07
声明 Copyright ? 2008-2018杭州迪普科技股份有限公司版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。 为杭州迪普科技股份有限公司的商标。 对于本手册中出现的其他所有商标或注册商标,由各自的所有人拥有。 由于产品版本升级或其他原因,本手册内容有可能变更。杭州迪普科技股份有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导,杭州迪普科技股份有限公司尽全力在本手册中提供准确的信息,但是杭州迪普科技股份有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。 杭州迪普科技股份有限公司 地址:杭州市滨江区通和路68号中财大厦6层 邮编:310051 网址:https://www.doczj.com/doc/7d10245176.html, 技术论坛:https://www.doczj.com/doc/7d10245176.html, 7x24小时技术服务热线:400-6100-598
约定图形界面格式约定 各类标志约定 表示操作中必须注意的信息,如果忽视这类信息,可能导致数据丢失、功能失效、设备损坏或不可预知的结果。 表示对操作内容的描述进行强调和补充。
目录 1产品介绍 ........................................................................................................................................... 1-1 1.1产品概述.................................................................................................................................. 1-1 1.2产品特点.................................................................................................................................. 1-1 2设备基本配置维护案例...................................................................................................................... 2-1 2.1登陆防火墙设备Web界面....................................................................................................... 2-1 2.1.1组网说明........................................................................................................................ 2-1 2.1.2配置前提........................................................................................................................ 2-1 2.1.3注意事项........................................................................................................................ 2-1 2.1.4配置思路........................................................................................................................ 2-2 2.1.5配置步骤........................................................................................................................ 2-2 2.1.6结果验证........................................................................................................................ 2-3 2.2 Telnet/SSH远程管理防火墙..................................................................................................... 2-4 2.2.1组网说明........................................................................................................................ 2-4 2.2.2配置前提........................................................................................................................ 2-5 2.2.3注意事项........................................................................................................................ 2-5 2.2.4配置思路........................................................................................................................ 2-5 2.2.5配置步骤........................................................................................................................ 2-5 2.2.6结果验证........................................................................................................................ 2-6 2.3限制特定IP/特定协议管理防火墙 ............................................................................................ 2-7 2.3.1组网说明........................................................................................................................ 2-7 2.3.2配置前提........................................................................................................................ 2-7 2.3.3注意事项........................................................................................................................ 2-7 2.3.4配置思路........................................................................................................................ 2-7 2.3.5配置步骤........................................................................................................................ 2-8 2.3.6结果验证........................................................................................................................ 2-9 2.4保存/下载/导入防火墙配置文件.............................................................................................. 2-10 2.4.1组网说明...................................................................................................................... 2-10 2.4.2配置前提...................................................................................................................... 2-10 2.4.3注意事项...................................................................................................................... 2-10 2.4.4配置思路...................................................................................................................... 2-10 2.4.5配置步骤....................................................................................................................... 2-11 2.4.6结果验证...................................................................................................................... 2-13 2.5 Web页面升级防火墙软件版本 ............................................................................................... 2-13
帧中继基础知识总结 版本V1.0 密级?开放?内部?机密 类型?讨论版?测试版?正式版 1帧中继基本配置 1.1帧中继交换机 帧中继交换机在实际工程环境中一般不需要我们配置,由运营商设置完成,但在实验环境中,要求掌握帧中继交换机的基本配置。 配置示例: frame-relay switching interface s0/1 encapsulation frame-relay frame-relay intf-type dce clock rate 64000 frame-relay route 102 interface s0/2 201 // 定义PVC,该条命令是,s0/1口的DLCI 102,绑定到s0/2口的201 DLCI号 frame-relay route 103 interface s0/3 301 no shutdown
1.2环境1 主接口运行帧中继(Invers-arp) FRswitch(帧中继交换机)的配置: frame-relay switching interface s0/1// 连接到R1的接口 encapsulation frame-relay frame-relay intf-type dce clock rate 64000 frame-relay route 102 interface s0/2 201 // 定义PVC,该条命令是,s0/1口的DLCI 102,绑定到s0/2口的201 DLCI号 no shutdown interface s0/2// 连接到R2的接口 encapsulation frame-relay frame-relay intf-type dce clock rate 64000 frame-relay route 201 interface s0/1 102 no shutdown R1的配置如下: interface serial 0/0 ip address 192.168.12.1 255.255.255.252 encapsulation frame-relay // 接口封装FR,通过invers-arp发现DLCI,并建立对端IP到本地DLCI的映射(帧中继映射表)no shutdown R2的配置如下: interface serial 0/0 ip address 192.168.12.2 255.255.255.252 encapsulation frame-relay no shutdown
网络攻击防范、追踪措施 随着计算机网络的发展,网络的开放性、共享性、互连程度随之扩大。特别是Internet的普及,使得商业数字货币、互联网络银行等一些网络新业务的迅速兴起,网络安全问题显得越来越重要。目前造成网络不安全的主要因素是在协议、系统及数据库等的设计上存在缺陷。网络互连一般采用TCP/IP协议,它是一个工业标准的协议簇,但该协议簇在制订之初,对安全问题并没有考虑太多,协议中存在很多的安全漏洞。对于操作系统,由于目前使用的计算机网络操作系统在本身结构设计和代码设计时偏重于考虑系统的使用方便性,导致了系统在远程访问、权限控制和口令管理及等许多方面存在安全漏洞。同样,数据库管理系统(DBMS)也存在权限管理、数据的安全性及远程访问等许多方面问题,在DBMS或应用程序中能够预先安置从事情报收集、受控激发破坏程序。由上述可见,针对协议、系统及数据库等,无论是其本身的设计缺陷,还是由于人为因素造成的各种漏洞,都可能被一些另有图谋的黑客利用进行网络攻击,因此要保证网络信息的安全,必须熟知黑客网络攻击的一般过程,在此基础上才能制定防范策略,确保网络安全。 1、对操作系统和其他办公软件安全防范措施:要及时安装补丁文件 ,安装杀毒软件,并及时升级病毒库,定时杀毒,关闭不用的服务和网络端口。
2、协议欺骗攻击及其防范措施 2.1 源IP地址欺骗攻击 许多应用程序认为如果数据包能够使其自身沿着路由到达目的地,而且应答包也可以回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能的前提。 要防止源IP地址欺骗行为,可以采取以下措施来尽可能地保护系统免受这类攻击: 〃抛弃基于地址的信任策略:阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用;删除.rhosts 文件;清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段,如telnet、ssh、skey等等。 〃使用加密方法:在包发送到网络上之前,我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境,但它将保证数据的完整性和真实性。 〃进行包过滤:可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且,当包的IP地址不在本网内时,路由器不应该把本网主机的包发送出去。 有一点要注意,路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此,它们仅能