目录
1 访问控制............................................................................................................................................1-1
1.1 概述...................................................................................................................................................1-1
1.2 配置访问控制.....................................................................................................................................1-1
1.3 访问控制典型配置举例......................................................................................................................1-2
2 URL过滤............................................................................................................................................2-1
2.1 概述...................................................................................................................................................2-1
2.2 配置URL过滤.....................................................................................................................................2-1
2.3 URL过滤典型配置举例......................................................................................................................2-2
3 MAC地址过滤....................................................................................................................................3-1
3.1 概述...................................................................................................................................................3-1
3.2 配置MAC地址过滤.............................................................................................................................3-1
3.2.1 配置MAC地址过滤类型...........................................................................................................3-1
3.2.2 配置要过滤的MAC地址...........................................................................................................3-2
3.3 MAC地址过滤典型配置举例..............................................................................................................3-3
4 攻击防范............................................................................................................................................4-1
4.1 概述...................................................................................................................................................4-1
4.1.1 黑名单功能..............................................................................................................................4-1
4.1.2 入侵检测功能..........................................................................................................................4-1
4.2 配置黑名单........................................................................................................................................4-3
4.2.1 配置概述.................................................................................................................................4-3
4.2.1 启用黑名单过滤功能...............................................................................................................4-3
4.2.2 手动新建黑名单表项...............................................................................................................4-3
4.2.3 查看黑名单..............................................................................................................................4-4
4.3 配置入侵检测.....................................................................................................................................4-5
4.4 攻击防范典型配置举例......................................................................................................................4-6
4.4.1 攻击防范典型配置举例(ICG和MSR201x)..........................................................................4-6
4.4.2 攻击防范典型配置举例(其他Router)..................................................................................4-9
5 应用控制............................................................................................................................................5-1
5.1 概述...................................................................................................................................................5-1
5.2 配置应用控制.....................................................................................................................................5-1
5.2.1 配置概述.................................................................................................................................5-1
5.2.2 加载应用程序..........................................................................................................................5-1
5.2.3 配置自定义应用程序...............................................................................................................5-2
5.2.4 使能应用控制..........................................................................................................................5-3
5.3 应用控制典型配置举例......................................................................................................................5-3
1 访问控制
1.1 概述
访问控制是指通过设置时间段、局域网内计算机的IP地址、端口范围和数据包协议类型,禁止符合指定条件的数据包通过,来限制局域网内的计算机对Internet的访问。
设备最多支持配置10条访问控制策略。10条访问控制策略是按照序号从小到大的顺序匹配的,当数据流满足某条策略时,不再继续匹配。
z10条访问控制策略按照其序号从小到大分别对应ACL 3980~3989,修改这些ACL的配置可能会影响访问控制功能的使用。
z访问控制功能只对WAN接口有效,并且只对接口的出方向有效。
1.2 配置访问控制
在导航栏中选择“安全配置 > 访问控制”,进入如图1-1所示的页面。
图1-1访问控制
一条访问控制策略的详细配置如表1-1所示。
表1-1访问控制策略的详细配置
表1-2常用服务和端口范围表
服务协议端口范围FTP服务器TCP 21 Telnet服务器TCP 23 TFTP服务器UDP 69 Web服务器TCP 80
1.3 访问控制典型配置举例
1. 组网需求
如图1-2所示,某企业内部用户Host A~Host D通过Router访问Internet。通过配置访问控制策略,实现如下需求:
z Host A~Host C在工作时间(星期一~星期五的09:00~18:00)不能访问Internet,其余时间可以访问。
z Host D任何时间都可以访问Internet。
图1-2访问控制配置组网图
Host A 10.1.1.1
Host B
10.1.1.2
Host C
10.1.1.3
Host D
10.1.1.4
2. 配置步骤
# 配置访问控制策略,禁止Host A~Host C在工作时间访问Internet。
z在导航栏中选择“安全配置 > 访问控制”,进行如下配置,如图1-3所示。图1-3配置访问控制策略
z选择起止时间为“09:00”~“18:00”。
z选中星期“一”~“五”前的复选框。
z选择协议为“IP”。
z输入源IP地址为“10.1.1.1”~“10.1.1.3”。
z单击<应用>按钮完成操作。
2 URL过滤
2.1 概述
URL过滤是指通过设置URL和关键字,来限制局域网内的计算机对Internet上符合过滤条件的网页的访问。
URL过滤功能只对WAN接口有效,并且只对接口的出方向有效。
2.2 配置URL过滤
在导航栏中选择“安全配置 > URL过滤”,进入如图2-1所示的页面。单击<新建>按钮,进入新建URL过滤条件的配置页面,如图2-2所示。
图2-1URL过滤
图2-2URL过滤
URL过滤条件的详细配置如表2-1所示。
表2-1URL过滤条件的详细配置
2.3 URL过滤典型配置举例
1. 组网需求
如图2-3所示,某企业内部用户通过Router访问Internet。配置URL过滤功能,使所有内部用户都不能访问Internet上地址为https://www.doczj.com/doc/aa5930548.html,的网站。
图2-3URL过滤配置组网图
2. 配置步骤
# 配置URL过滤功能。
z在导航栏中选择“安全配置 > URL过滤”,单击<新建>按钮,进行如下配置,如图2-4所示。图2-4配置URL过滤功能
z选中“URL”前的复选框,输入URL为https://www.doczj.com/doc/aa5930548.html,。
z单击<确定>按钮完成操作。
3 MAC地址过滤
3.1 概述
MAC地址过滤是指对通过设备访问网络的主机的MAC地址进行过滤,禁止或仅允许某些主机通过设备访问网络。
MAC地址过滤功能只对三层以太网接口和Dialer接口有效,并且只对接口的出方向有效。
3.2 配置MAC地址过滤
3.2.1 配置MAC地址过滤类型
在导航栏中选择“安全配置 > MAC地址过滤”,进入如图3-1所示的页面。
图3-1MAC地址过滤
MAC地址过滤类型的详细配置如表3-1所示。
表3-1MAC地址过滤类型的详细配置
3.2.2 配置要过滤的MAC地址
在导航栏中选择“安全配置 > MAC地址过滤”,进入如图3-1所示的页面。当过滤类型选择“允许访问网络”或“禁止访问网络”时,页面下方分别显示允许或禁止访问网络的主机MAC地址的列表,例如图3-2所示。单击<新建>按钮,进入相应的添加MAC地址的页面,如图3-3所示。
图3-2MAC地址过滤(允许访问网络)
图3-3添加MAC地址
要过滤的MAC地址的详细配置如表3-2所示。
表3-2要过滤的MAC地址的详细配置
配置项说明
使用手动指定的MAC地址
使用学习到的MAC地址
设置要过滤的MAC地址,可以手动指定或者从学习到的MAC地址中进行选择
当配置允许访问的MAC地址时,MAC地址过滤功能的过滤类型也将自动被设置为“允许访问网络”;
当配置禁止访问的MAC地址时,MAC地址过滤功能的过滤类型也将自动被设置为“禁止访问网络”。
3.3 MAC地址过滤典型配置举例
1. 组网需求
如图3-4所示,某企业内部用户通过Router访问Internet。配置MAC地址过滤功能,禁止MAC地址为000d-88f8-0dd7和000d-88f7-b8d6的用户访问Internet。
图3-4MAC地址过滤配置组网图
000d-88f8-0dd7 192.168.1.17000d-88f7-b8d6 192.168.1.18
2. 配置步骤
# 配置MAC地址过滤。
z在导航栏中选择“安全配置 > MAC地址过滤”,进行如下配置,如图3-5所示。
图3-5选择过滤类型
z选择过滤类型为“禁止访问网络”,页面显示禁止访问的MAC地址列表。
z单击<新建>按钮,进行如下配置,如图3-6所示。
图3-6配置禁止访问网的MAC地址
z选中“使用学习到的MAC地址”前的单选按钮。
z在“学习到的MAC地址”中选中MAC地址“000d-88f8-0dd7”和“000d-88f7-b8d6”,单击“<<”按钮将其添加到“已选MAC地址”中。
z单击<确定>按钮完成操作。
4 攻击防范
4.1 概述
攻击防范是一个重要的网络安全特性,它通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并对具有攻击特征的报文执行一定的防范措施,如输出告警日志、丢弃报文、更新会话状态或加入黑名单。
4.1.1 黑名单功能
黑名单功能是根据报文的源IP地址进行报文过滤的一种攻击防范特性。同基于ACL(Access Control List,访问控制列表)的包过滤功能相比,黑名单进行报文匹配的方式更为简单,可以实现报文的高速过滤,从而有效地将特定IP地址发送来的报文屏蔽掉。
黑名单最主要的一个特色是可以由设备动态地进行添加或删除,这种动态添加是与扫描攻击防范功能配合实现的。具体实现是,当设备根据报文的行为特征检测到某特定IP地址的扫描攻击企图之后,便将攻击者的IP地址自动加入黑名单。之后该IP地址发送的报文会被设备过滤掉。此方式生成的黑名单表项会在一定的时间之后老化。
除上面所说的动态方式之外,设备还支持手动方式添加或删除黑名单。手动配置的黑名单表项分为永久黑名单表项和非永久黑名单表项。永久黑名单表项建立后,一直存在,除非用户手工删除该表项;非永久黑名单表项的保留时间由用户指定,超出保留时间后,设备会自动将该黑名单表项删除,黑名单表项对应的IP地址发送的报文即可正常通过。
4.1.2 入侵检测功能
根据攻击报文表现出的不同特征,设备可以防范的网络攻击类型可以划分为单包攻击和异常流攻击两大类,异常流攻击又包括扫描攻击和泛洪攻击两种。
1. 单包攻击防范
单包攻击也称为畸形报文攻击。攻击者通过向目标系统发送有缺陷的IP报文,如分片重叠的IP报文、TCP标志位非法的报文,使得目标系统在处理这样的IP报文时出错、崩溃,给目标系统带来损失,或者通过发送大量无用报文占用网络带宽等行为来造成攻击。
设备可以对表4-1中所列的各单包攻击行为进行有效防范。
表4-1单包攻击类型及说明列表
单包攻击类型说明
Fraggle 攻击者通过向目标网络发送UDP端口为7的ECHO报文或者UDP端口为19的Chargen报文,令网络产生大量无用的应答报文,占满网络带宽,达到攻击目的
LAND 攻击者向目标主机发送大量源IP地址和目的IP地址都是目标主机自身的TCP SYN报文,使得目标主机的半连接资源耗尽,最终不能正常工作
WinNuke 攻击者向安装(或使用)Windows系统的特定目标的NetBIOS端口(139)发送OOB (out-of-band)数据包,这些攻击报文的指针字段与实际的位置不符,从而引起一个NetBIOS片断重叠,致使已与其他主机建立连接的目标主机在处理这些数据的时候系统崩溃
TCP Flag 不同操作系统对于非常规的TCP标志位有不同的处理。攻击者通过发送带有非常规TCP标志的报文探测目标主机的操作系统类型,若操作系统对这类报文处理不当,攻击者便可达到使目标主机系统崩溃的目的
ICMP Unreachable 某些系统在收到不可达的ICMP报文后,对于后续发往此目的地的报文判断为不可达并切断对应的网络连接。攻击者通过发送ICMP不可达报文,达到切断目标主机网络连接
单包攻击类型说明
的目的
ICMP Redirect 攻击者向用户发送ICMP重定向报文,更改用户主机的路由表,干扰用户主机正常的IP 报文转发
Tracert 攻击者连续发送TTL从1开始递增的目的端口号较大的UDP报文,报文每经过一个路由器,其TTL都会减1,当报文的TTL为0时,路由器会给报文的源IP设备发送一个TTL超时的ICMP报文,攻击者借此来探测网络的拓扑结构
Smurf 攻击者向目标网络发送ICMP应答请求,该请求包的目的地址设置为目标网络的广播地址,这样该网络中的所有主机都会对此ICMP应答请求作出答复,导致网络阻塞,从而达到令目标网络中主机拒绝服务的攻击目的
Source Route 攻击者利用IP报文中的Source Route路由选项对网络结构进行探测Route Record 攻击者利用IP报文中的Route Record路由选项对网络结构进行探测
Large ICMP 某些主机或设备收到超大的报文,会引起内存分配错误而导致协议栈崩溃。攻击者通过发送超大ICMP报文,让目标主机崩溃,达到攻击目的
单包攻击防范仅对接口的入方向报文有效,主要通过分析经过设备的报文特征来判断报文是否具有攻击性。若设备检测到某报文具有攻击性(对于Large ICMP攻击,当检测到ICMP报文的长度达到或超过4000字节,则认为是Large ICMP攻击报文),则会输出告警日志,并将检测到的攻击报文做丢弃处理。
2. 扫描攻击防范
扫描攻击是指,攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定位潜在目标的位置,探测目标系统的网络拓扑结构和启用的服务类型,为进一步侵入目标系统做准备。
扫描攻击防范仅对接口的入方向报文有效,主要通过监测网络使用者向目标系统发起连接的速率,来检测其探测行为。若设备监测到某IP地址主动发起的连接速率达到或超过每秒4000个连接数,则会输出告警日志并丢弃来自该IP地址的后续报文,还会将检测到的攻击者的源IP地址加入黑名单。
3. 泛洪攻击防范
泛洪攻击是指,攻击者在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息,而无法为合法用户提供正常服务,即发生拒绝服务。
设备支持对以下三种泛洪攻击的检测:
z SYN Flood攻击:由于资源的限制,TCP/IP协议栈只能允许有限个TCP连接。SYN Flood 攻击者向服务器发送伪造源地址的SYN报文,服务器在回应SYN ACK报文后,由于目的地址是伪造的,因此服务器不会收到相应的ACK报文,从而在服务器上产生一个半连接。若攻击者发送大量这样的报文,被攻击主机上会出现大量的半连接,耗尽其系统资源,使正常的用户无法访问,直到半连接超时。
z ICMP Flood攻击:攻击者在短时间内向特定目标发送大量的ICMP请求报文(例如ping报文),使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务。
z UDP Flood攻击:攻击者在短时间内向特定目标发送大量的UDP报文,致使目标系统负担过重而不能处理正常的业务。
泛洪攻击防范仅对接口的出方向报文有效,主要用于保护服务器,通过监测向服务器发起连接请求的速率或者服务器上建立的半连接数量,来检测各类泛洪攻击。若设备监测结果显示向某服务器发起的连接请求的速率达到或超过每秒1000个连接,或服务器上建立的半连接数量达到或超过10000(仅SYN Flood攻击防范支持半连接数限制),则会输出告警日志,并对后续新建连接的报文进行丢弃处理。
4.2 配置黑名单
4.2.1 配置概述
配置黑名单的推荐步骤如表4-2所示。
表4-2黑名单配置步骤
4.2.1 启用黑名单过滤功能
在导航栏中选择“安全配置 > 攻击防范 > 黑名单”,进入如图4-1所示的页面。选中“启用黑名单过滤功能”前的复选框,单击<应用>按钮,可以使能黑名单过滤功能。
图4-1黑名单
可点击返回“表4-2 黑名单配置步骤”。
4.2.2 手动新建黑名单表项
在导航栏中选择“攻击防范 > 黑名单”,在“黑名单配置”中单击<新建>按钮,进入新建黑名单表项的配置页面,如图4-2所示。
图4-2新建黑名单表项
新建黑名单的详细配置如表4-3所示。
表4-3新建黑名单的详细配置
配置项说明
IP地址设置要添加到黑名单的IP地址,不能为广播地址、127.0.0.0/8、D类地址、E类地址和255.0.0.0/8
保留时间设置该表项为非永久黑名单表项,并指定表项的保留时间
永久生效设置该表项为永久黑名单表项
可点击返回“表4-2 黑名单配置步骤”。
4.2.3 查看黑名单
在导航栏中选择“攻击防范 > 黑名单”,进入如图4-1所示的页面,可以查看黑名单的信息黑名单列表的详细说明如表4-4所示。
表4-4黑名单列表的详细说明
可点击返回“表4-2 黑名单配置步骤”。
4.3 配置入侵检测
1. MSR 900/20-1X系列支持
在导航栏中选择“安全配置 > 攻击防范 > 入侵检测”,进入如图4-3所示的页面。选中“启用攻击防范策略”前的复选框,并根据需要选择启用哪些类型的攻击检测,单击<应用>按钮,即可完成入侵检测功能的配置。
图4-3入侵检测
2. MSR 20/30/50系列支持
在导航栏中选择“安全配置 > 攻击防范 > 入侵检测”,进入如图4-4所示的页面。单击<新建>按钮,进入新建入侵检测策略的配置页面,如图4-5所示。选择一个接口,并根据需要选择启用哪些类型的攻击检测,单击<应用>按钮,即可在该接口上启用入侵检测功能。
图4-4入侵检测
图4-5新建入侵检测策略
4.4 攻击防范典型配置举例
4.4.1 攻击防范典型配置举例(ICG和MSR201x)
1. 组网需求
如图4-6所示,内部网络用户Host A、Host B和Host C通过Router访问外部网络。现有如下安全需求:
z通过流量分析发现外部网络中存在一个攻击者Host D,需要将来自Host D的报文在Router 上永远过滤掉。
z为了暂时控制内部网络Host C的访问行为,需要将Router上收到的Host C的报文阻止50分钟。
z在Router上启动扫描攻击检测,并设置黑名单添加功能。
z在Router上启动Land攻击检测和Smurf攻击检测。
图4-6攻击防范配置组网图
2. 配置步骤
# 配置各接口的IP地址。(略)
# 启用黑名单过滤功能。
z在导航栏中选择“攻击防范 > 黑名单”,进行如下配置,如图4-7所示。图4-7启用黑名单过滤功能
z选中“启用黑名单过滤功能”前的复选框。
z单击<应用>按钮完成操作。
# 手动新建黑名单表项。
z单击<新建>按钮,进行如下配置,如图4-8所示。
图4-8新建Host D的黑名单表项
z输入IP地址为“5.5.5.5”。
z选中“永久生效”前的复选框。
z单击<确定>按钮完成操作。
z单击<新建>按钮,进行如下配置,如图4-9所示。
图4-9新建Host C的黑名单表项
z输入IP地址为“192.168.1.5”。
z选中“保留时间”前的复选框,并设置时间为“50”分钟。
z单击<确定>按钮完成操作。
# 配置入侵检测。启动扫描攻击检测,并设置黑名单添加功能;启动Land攻击检测和Smurf攻击检测。
z在导航栏中选择“安全配置 > 攻击防范 > 入侵检测”,进行如下配置,如图4-10所示。
图4-10配置入侵检测
z选中“启用攻击防范策略”前的复选框。
z只保留选中“启动Land攻击检测”、“启动Smurf攻击检测”、“启动扫描攻击检测”和“源IP地址加入黑名单”前的复选框,其他复选框均取消选中。
z单击<应用>按钮完成操作。
3. 配置结果验证
完成上述配置后:
z可以在“安全配置 > 攻击防范 > 黑名单”中查看到新建的黑名单表项。
z设备对来自Host D的报文一律进行丢弃处理,除非管理员认为Host D不再是攻击者,将其从黑名单中删除。
z在50分钟之内,设备对来自Host C的报文一律进行丢弃处理;50分钟之后,才进行正常转发。
z Router如果检测到扫描攻击,会输出告警日志,并将攻击者的IP地址加入黑名单。之后,可以在“安全配置 > 攻击防范 > 黑名单”中查看扫描攻击检测自动添加的黑名单信息。
z Router如果检测到Land攻击或Smurf攻击,会输出告警日志,并对攻击报文做丢弃处理。
4.4.2 攻击防范典型配置举例(其他Router)
1. 组网需求
如图4-11所示,内部网络用户Host A、Host B和Host C通过Router访问外部网络。现有如下安全需求:
z通过流量分析发现外部网络中存在一个攻击者Host D,需要将来自Host D的报文在Router 上永远过滤掉。