URPF技术介绍

目录一、迈普路由器产品系列 (6)1MP8800系列万兆核心路由器 (6)1MyPower S11800系列数据中心级核心交换机........ 错误!未定义书签。

2MyPower S8900系列高性能电信级交换机........... 错误!未定义书签。

3MyPower S6800系列万兆核心路由交换机........... 错误!未定义书签。

4MyPower S6600系列万兆汇聚路由交换机........... 错误!未定义书签。

5MyPower S5800系列数据中心级接入交换机......... 错误!未定义书签。

6MyPower S4320系列增强型千兆汇聚路由交换机..... 错误!未定义书签。

7MyPower S4300系列增强型千兆汇聚路由交换机..... 错误!未定义书签。

8MyPower S4220系列全千兆汇聚路由交换机......... 错误!未定义书签。

18MyPower S2000系列网管型交换机............. 错误!未定义书签。

三、迈普安全产品系列.............................. 错误!未定义书签。

1MPSec MSG4000-X1安全网关...................... 错误!未定义书签。

2MPSec MSG4000-G6安全网关...................... 错误!未定义书签。

3MPSec MSG4000-G4安全网关...................... 错误!未定义书签。

4MPSec MSG4000-G2安全网关...................... 错误!未定义书签。

5MPSec MSG4000-G1安全网关...................... 错误!未定义书签。

6MPSec MSG4000-F6安全网关...................... 错误!未定义书签。

6迈普智能3G综合业务管理平台................... 错误!未定义书签。

第一章技术解决方案1.1核心交换机1、基于IRF2（第二代智能弹性架构）技术的虚拟化架构H3C S7600(X)系列交换机支持IRF2（第二代智能弹性架构）技术，在扩展性、可靠性、整体架构和可用性方面具有强大的优势，主要体现在四个方面：扩展性：IRF技术允许交换机利用互联电缆实现多台设备的扩展；具有即插即用、单一IP管理，同步升级的优点，同时大大降低系统扩展的成本。

可靠性：通过专利的路由热备份技术，在整个IRF组内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了IRF组的可靠性和高性能，同时消除了单点故障，避免了业务中断。

分布性：通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。

可用性：通过标准的万兆以太网接口实现智能弹性架构，可以根据需求分配业务带宽和系统连接带宽，合理分配本地流量与上行流量；不仅可以实现机架内、跨机架，甚至跨区域的远距离智能弹性架构。

2、完备的二层特性大容量MAC表项；4K VLAN支持，灵活的QinQ能力；完全的生成树特性支持；端口聚合/端口镜像/广播风暴抑制。

完善的二层特性保证设备在汇聚层满足用户的功能需求。

3、强大的三层功能大容量三层表项；完备的路由协议支持；大容量组播支持。

通过超大容量转发表项的提供, S7600(X)可以支持大规模城域网的核心、汇聚层应用，并能对二层、三层以及MPLS应用提供充足的表项支持。

4、丰富的QoS、ACL特性S7600(X)提供VLAN ACL、Egress ACL等增强的ACL功能，为复杂的安全访问管理和控制提供了丰富的资源在QoS方面，S7600(X)提供完善的Diff-Serv/QoS支持。

支持基于报文流分类结果进行优先级重标记或速率限制，支持双向的双速三色和单速双色带宽监管功能、支持WRED和尾丢弃的拥塞控制方法、支持SP、WRR、WFQ队列调度算法、支持802.1P、DSCP、EXP的优先级映射和重标记，支持基于端口/端口队列输出流整形等功能，并提供了基于用户、业务和端口三个层次的优先级队列调度能力，为城域网话音、数据、视频以及企业专网等多种业务综合承载的服务质量保证提供了有效的保证通过强大的QoS能力，S7600(X)在运营商城域网中对不同业务类型提供区分的服务质量保证，并为数目繁多的个人和企业用户提供更精细的基于业务的带宽控制。

数通安全：不是针对非法用户，针对合法用户的非法操作接入层安全，针对数据包网络层的安全加密协议IPv4环境中，IPsec协议单包攻击防范：漏洞扫描攻击：利用ICMP报文可以应答，攻击者会向网络中可能存在的IP地址发送请求消息，通过接收到的应答报文来确定网络中这些主机开启了哪些应用，使用了哪些IP地址，为后续攻击做准备畸形报文攻击sumful攻击：攻击者发送源IP为目标服务器、目的地址、子网广播地址，主机收到之后，全部向服务器回包，卡死服务器死亡之ping：缓存1000字节，发1001字节单包攻击属于拒绝服务攻击的一种，单包攻击分类：扫描探测攻击：扫描型攻击是一种潜在的攻击行为，并不具备直接的破坏行为，通常是攻击者发动真正攻击前的网络探测行为。

如IP地址扫描攻击、端口扫描攻击畸形报文攻击：畸形报文攻击通常指攻击者发送大量有缺陷的报文，从而造成主机或服务器在处理这类报文时系统崩溃。

如LAND攻击，Smurf攻击特殊控制报文攻击：特殊控制报文攻击通常使用正常的报文对系统或网络进行攻击，通常会导致系统崩溃、网络中断，或者用于刺探网络结构。

如超大ICMP报文攻击、ICMP不可达报文攻击LAND攻击：攻击者发送一个源目IP相同的tcp请求，让服务器收到之后建立大量的TCP连接，占满内存LAND攻击防范原理：启用畸形报文攻击防范后，设备采用检测TCP SYN报文的源地址和目的地址的方法来避免LAND攻击。

如果TCP SYN报文中的源地址和目的地址一致，则认为是畸形报文攻击，丢弃该报文配置：启用畸形报文攻击防范功能（系统视图）：anti-attack abnormal enable使能所有的攻击防范功能（系统视图）：anti-attack enable泛洪攻击防范：泛洪攻击也是拒绝服务攻击的一种例：TCP SYN泛洪攻击TCP SYN攻击原理：TCP SYN攻击利用了TCP三次握手的漏洞。

在TCP的3次握手期间，当接收端收到来自发送端的初始SYN报文时，向发送端返回一个SYN+ACK报文。

什么是单播反向路径转发URPF1 背景单播反向路径转发（Unicast Reverse Path Forwarding），是网络设备检查数据包源地址合法性的一种方法。

其在FIB表中查找该源地址是否与数据包的来源接口相匹配，如果没有匹配表项将丢弃该数据包，从而起到预防IP欺骗，特别是针对伪造IP源地址的拒绝服务（DoS）攻击非常有效。

2 URPF应用环境简介DoS（Denial of Service）攻击是一种阻止连接服务的网络攻击。

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

2.1 TCP泛洪图1 TCP泛洪攻击案例攻击的原理是向目标设备发送大量伪装连接的请求包，这些请求包的发起地址设置为目标不可到达的地址，这样对被攻击对象的第二次握手没有主机响应，造成被攻击对象主机内部存在大量的半开连接，以至于新的正常连接不能进入从而造成服务的停顿甚至死机。

2.2 SMURF攻击SMURF攻击是一种源地址欺骗攻击，攻击者假冒被攻击对象的IP地址向设备发送大量的广播ICMP echo请求报文。

因为每个包的目标IP地址都是网络的广播地址，所以设备会把ICMP echo请求报文以广播形式发给网络上的所有主机。

如果有大量主机，那么这种广播就会产生大量的ICMP echo请求及响应流量。

而且在发送ICMP echo请求数据包时，使用了假冒的源IP地址，所以攻击造成的ICMP流量不仅会阻塞网络，而且会产生攻击流量。

图2 SMURF攻击案例图如图2，Attacker仿冒Router B的地址对Router C进行攻击，如果Router C上的网络管理员检测到攻击，将会配置防火墙规则，将所有来自Router B的报文过滤，导致无辜的Router B 无法访问Router C。

此时，被攻击系统的管理员反而成为黑客的帮凶，使一些合法用户失去合法访问的权限。

13 URPF配置关于本章配置URPF可以用来防止基于源地址欺骗的网络攻击行为。

13.1 URPF概述URPF是单播逆向路径转发的简称。

13.2 原理描述介绍URPF的实现原理。

13.3 应用场景介绍URPF的应用场景。

13.4 配置注意事项介绍配置URPF的注意事项。

13.5 缺省配置介绍URPF缺省配置，实际应用的配置可以基于缺省配置进行修改。

13.6 配置URPF介绍配置URPF具体命令和步骤。

13.7 配置举例通过示例介绍如何配置URPF。

配置示例中包括组网需求、配置思路等。

13.1 URPF概述URPF是单播逆向路径转发的简称。

拒绝服务DoS（Denial of Service）攻击是一种阻止连接服务的网络攻击。

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

URPF（Unicast Reverse Path Forwarding）在FIB（Forwarding Information Base）表中查找数据包的IP（Internet Protocol）源地址是否与数据包的源接口相匹配，如果没有匹配表项将丢弃该数据包，从而预防IP欺骗，特别是针对伪造IP源地址的DoS攻击非常有效。

图13-1 URPF原理如图13-1所示，在SwitchA上伪造源地址为2.1.1.1的报文向SwitchB发起请求，SwitchB响应请求时将向真正的“2.1.1.1”即SwitchC发送报文。

这种非法报文对SwitchB和SwitchC都造成了攻击。

如果在SwitchB上启用URPF严格检查，则SwitchB在收到源地址为2.1.1.1的报文时，URPF检查到以此报文源地址对应的接口与收到该报文的接口不匹配，报文会被丢弃。

13.2 原理描述介绍URPF的实现原理。

工作模式在复杂的网络环境中应用URPF时，会遇到路由不对称的情况，即对端设备记录的路由路径不一样，此时使能URPF的设备可能丢弃合法报文，造成设备不能正确转发。

目录第1章 IP地址配置..................................................................................................................1-11.1 IP地址介绍.........................................................................................................................1-11.2 IP地址的配置......................................................................................................................1-41.2.1 配置接口IP地址.......................................................................................................1-41.2.2 配置接口借用IP地址（IP Address Unnumbered）.................................................1-61.2.3 IP地址显示和调试....................................................................................................1-71.2.4 IP Address Unnumbered显示和调试.......................................................................1-71.2.5 IP地址配置举例.......................................................................................................1-8第2章 IP应用配置..................................................................................................................2-12.1 地址解析协议（ARP）的配置............................................................................................2-12.1.1 动态ARP简介...........................................................................................................2-12.1.2 静态ARP简介...........................................................................................................2-12.1.3 静态ARP的配置.......................................................................................................2-12.1.4 使能/关闭ARP表项的检查功能................................................................................2-22.1.5 使能/关闭支持自然网段的ARP请求.........................................................................2-22.1.6 代理ARP的配置.......................................................................................................2-22.1.7 免费ARP的配置.......................................................................................................2-42.1.8 ARP显示和调试.......................................................................................................2-52.2 域名解析（DNS）的配置...................................................................................................2-52.2.1 域名解析简介...........................................................................................................2-52.2.2 静态域名解析的配置................................................................................................2-62.2.3 域名解析表显示和调试............................................................................................2-62.3 DNS Client配置..................................................................................................................2-62.3.1 DNS Client的配置....................................................................................................2-72.3.2 DNS Client的显示和调试.........................................................................................2-92.3.3 使用DNS进行域名解析典型配置举例....................................................................2-102.3.4 故障诊断与排除.....................................................................................................2-112.4 DNS Proxy配置................................................................................................................2-112.4.1 DNS Proxy简介.....................................................................................................2-112.4.2 DNS Proxy的配置..................................................................................................2-122.4.3 DNS Proxy典型配置举例.......................................................................................2-122.5 URPF配置........................................................................................................................2-132.5.1 URPF简介.............................................................................................................2-132.5.2 URPF配置.............................................................................................................2-142.5.3 URPF的显示与调试...............................................................................................2-14第3章 UDP HELPER配置......................................................................................................3-13.1 UDP HELPER简介.............................................................................................................3-13.2 UDP HELPER配置.............................................................................................................3-13.2.1 启动/关闭UDP中继转发功能....................................................................................3-13.2.2 配置需要中继转发的UDP端口.................................................................................3-23.2.3 配置广播报文中继转发的目的服务器.......................................................................3-23.3 UDP HELPER的显示和调试..............................................................................................3-3第4章 BOOTP客户端配置.....................................................................................................4-14.1 BOOTP客户端简介............................................................................................................4-14.2 BOOTP客户端配置............................................................................................................4-14.2.1 配置以太网接口通过BOOTP协议获取IP地址..........................................................4-14.3 BOOTP客户端的显示及调试..............................................................................................4-2第5章 DHCP配置..................................................................................................................5-15.1 DHCP简介..........................................................................................................................5-15.1.1 DHCP......................................................................................................................5-15.1.2 DHCP服务器...........................................................................................................5-25.1.3 DHCP Accounting简介............................................................................................5-45.1.4 DHCP服务器支持BIMS option................................................................................5-65.1.5 DHCP服务器支持option 184...................................................................................5-75.1.6 DHCP中继...............................................................................................................5-95.2 DHCP公共配置................................................................................................................5-105.2.1 使能/禁止DHCP服务.............................................................................................5-105.2.2 配置伪DHCP服务器检测功能................................................................................5-105.3 DHCP服务器配置.............................................................................................................5-115.3.1 配置接口工作在DHCP服务器模式.........................................................................5-125.3.2 创建DHCP全局地址池...........................................................................................5-135.3.3 配置DHCP地址池的地址分配................................................................................5-135.3.4 配置DHCP地址池中不参与自动分配的IP地址.......................................................5-155.3.5 配置DHCP地址池的IP地址租用有效期限..............................................................5-155.3.6 配置DHCP客户端的域名.......................................................................................5-175.3.7 配置DHCP客户端的DNS服务器的IP地址..............................................................5-185.3.8 配置DHCP客户端的NetBIOS服务器的IP地址.......................................................5-185.3.9 配置DHCP客户端的NetBIOS节点类型..................................................................5-195.3.10 配置DHCP自定义选项.........................................................................................5-205.3.11 配置DHCP客户端的出口网关..............................................................................5-215.3.12 配置DHCP服务器的ping包发送...........................................................................5-215.3.13 配置DHCP服务器计费.........................................................................................5-225.3.14 DHCP服务器支持BIMS option配置.....................................................................5-235.3.15 配置DHCP服务器支持option184.........................................................................5-245.3.16 清除DHCP相关信息............................................................................................5-275.4 DHCP客户端配置.............................................................................................................5-275.5 DHCP中继配置................................................................................................................5-285.5.1 配置接口工作在DHCP中继模式............................................................................5-285.5.2 配置DHCP中继指定的外部服务器地址..................................................................5-295.5.3 通过DHCP中继配置DHCP服务器负载分担...........................................................5-305.5.4 通过DHCP中继释放客户端的IP地址.....................................................................5-305.5.5 清除DHCP中继的统计信息....................................................................................5-315.6 DHCP显示和调试.............................................................................................................5-315.7 DHCP典型配置举例.........................................................................................................5-335.7.1 DHCP服务器典型配置举例....................................................................................5-335.7.2 DHCP中继典型配置举例.......................................................................................5-355.7.3 DHCP客户端典型配置举例....................................................................................5-365.7.4 DHCP Accounting配置举例...................................................................................5-385.7.5 3COM VCX请求option 184组网案例....................................................................5-39第6章 IP性能配置..................................................................................................................6-16.1 配置接口最大传输单元（MTU）........................................................................................6-16.2 配置TCP报文分片..............................................................................................................6-16.3 配置TCP属性.....................................................................................................................6-16.4 配置ICMP发送重定向报文.................................................................................................6-26.5 IP性能显示和调试..............................................................................................................6-36.6 快速转发配置.....................................................................................................................6-46.6.1 快速转发简介...........................................................................................................6-46.6.2 快速转发配置...........................................................................................................6-56.6.3 快速转发的显示和调试............................................................................................6-66.7 IP性能配置排错..................................................................................................................6-6第7章 IP单播策略路由配置....................................................................................................7-17.1 IP单播策略路由简介...........................................................................................................7-17.2 IP单播策略路由的配置.......................................................................................................7-27.2.1 创建策略..................................................................................................................7-27.2.2 设置Route-policy的if-match子句.............................................................................7-37.2.3 设置Route-policy的apply子句..................................................................................7-37.2.4 使能/禁止本地策略路由...........................................................................................7-47.2.5 使能/禁止接口策略路由...........................................................................................7-47.3 IP单播策略路由显示和调试................................................................................................7-47.4 IP单播策略路由典型配置举例............................................................................................7-57.4.1 配置基于源地址的策略路由.....................................................................................7-57.4.2 配置基于报文大小的策略路由.................................................................................7-7第1章 IP 地址配置1.1 IP 地址介绍 所谓IP 地址，是指分配给连接在Internet 上的主机的一个唯一的32比特标识符。

一、技术需求描述
1.新疆分行
2.新疆网点
3.市内网点
4.空港数据中心
二、主要设备详细参数见附件: 附件:
11.空港VPN防火墙（2台）：
12.新疆和绍兴VPN防火墙（2台）
13.外联防火墙（4台）
14.接入交换机6台（数据中心补充采购）
15.接入交换机---市内网点10台（数据中心补充采购）
16.H3C路由器板卡2块，用于利旧设备H3CMSR5660扩展千兆电口。

型号：RT-HMIM-4GEE
17.卓易达网管软件
目前带外管理网络设备数量有限，需要购买许可增加可管理设备数量。

18.锐捷SMP组件
用于员工无感知认证。

19．机柜，网线等辅料
图腾标准42U网络机柜2个，红色2米超五类网线10箱，红色3米超五类网线4箱，蓝色2米超五类网线10箱，蓝色3米超五类网线4箱，黑色3米超五类网线8箱。

20.光电协议转换器10个
FC接口转RJ-45接口，千兆网络电口，支持波长1310nm/1550nm，支持自动全双工半双工转换。

21.H3C IMC网管平台服务健康管理组件
SWP-IMC7-SHM：增加网管平台监控MSTP线路功能，可以出具线路质量，设备运行状态等报表。

迈普路由器产品系列...................................................1 MP8800系列万兆核心路由器..........................................2 MP7500全冗余ATCA核心路由器.....................................3 MP3800系列开放式全业务汇聚路由器.................................4 MP2900系列开放式高速接入路由器....................................5 MP2824系列开放式全业务接入路由器.................................6 MP2800系列增强型宽窄带一体化智能路由器...........................7 MP1800系列3G专业级路由器 .......................................8 MP1800-20 3G无线路由器...........................................9 MP IMR800 3G无线路由器..........................................._ 迈普交换机产品系列 ..................................................1 MyPower S11800系列数据中心级核心交换机...........................2 MyPower S8900系列高性能电信级交换机...............................3 MyPower S6800系列万兆核心路由交换机...............................4 MyPower S6600系列万兆汇聚路由交换机...............................5 MyPower S5800系列数据中心级接入交换机............................6 MyPower S4320系列增强型千兆汇聚路由交换机........................7 MyPower S4300系列增强型千兆汇聚路由交换机........................8 MyPower S4220系列全千兆汇聚路由交换机.............................9 MyPower S4200系列千兆汇聚路由交换机...............................10 MyPower S4100系列电信级智能三层交换机........................11 MyPower S4000系列千兆汇聚路由交换机..........................12 MyPower S3320系列千兆智能型网管交换机........................13 MyPower S3300系列千兆智能网管型交换机........................14 MyPower S3220系列千兆智能网管型交换机........................15 MyPower S3200系列千兆智能网管型交换机........................16 MyPower S3120系列百兆智能网管型交换机........................17 MyPower S3100系列千兆智能网管型交换机.........................18 MyPower S2000系列网管型交换机.................................三、迈普安全产品系列.....................................................1 MPSec MSG4000-X1 安全网关.........................................2 MPSec MSG4000-G6 安全网关.........................................3 MPSec MSG4000-G4 安全网关........................................4 MPSec MSG4000-G2 安全网关.........................................5 MPSec MSG4000-G1 安全网关........................................6 MPSec MSG4000-F6安全网关.........................................7 MPSec VPN3000 系列VPN 网关.......................................8 电子政务外网IPSec VPN网关..........................................9 MPSec ISG1000系列网关.............................................四、迈普应用与服务产品系列..............................................1 Maipu Mico 一体化信息安防系统.......................................2 终端信息安全管理系统.................................................3 MPSec CMS证书管理服务器...........................................4 Maipu AAS迈普接入认证服务器........................................5 Maipu Portal 服务器...................................................6 迈普智能3G综合业务管理平台.........................................7 MS8000系列智能传媒服务器...........................................8 MT1000系列媒体网关.................................................9 迈普网络自动化运维系统..............................................10 Maipu Masterplan迈普统一网络管理平台............................11 Maipu DeviceMaster迈普路由交换设备管理系统.....................12 迈普管理支撑系统.................................................五、迈普无线网络产品系列.................................................1 Masterplan迈普无线有线一体化网管软件...............................2 MyPower WA2000 11n 系列智能AP ................................................................3 MyPower WA2000同频系列无线智能AP ..........................................................4 MyPower WNC6000智能无线控制器....................................5 MyPower WNC6000同频智能无线控制器................................6 MyPower WA1000 11n 系列WLAN CPE 终端 ...........................六、迈普统一通信产品系列 ...............................................1 MyPower VG 6000系列媒体网关......................................2 MyPower VG 2000系列媒体网关......................................3 MyPower VG2000-X系列媒体网关......................................4 MyPower VG 800系列媒体网关 .......................................5 MyPower VG A600系列媒体网关.......................................6 MyPower VEP600系列IP可视电话.....................................7 MyPower VEP310 系列IP 话机........................................8 MyPower VEP300 系列IP 话机........................................9 MyPower UCA个人通信助手...........................................10 MyPower VC8100 IP 通信服务器....................................11 MyPower IP电话会议系统.........................................12 MyPower VC8200协同视频服务器.................................13 MyPower MCC 融信呼.............................................14 迈普MyPower ICR录音软件 .......................................迈普路由器产品系列1 MP880C系列万兆核心路由器1.1 产品概述MP8800系列路由器是迈普通信技术股份有限公司自主研发的，全球第一款采用众核技术的路由器，是基于对行业用户业务应用的充分调研和深刻理解而推出的一款跨时代的万兆级高端骨干核心路由器。

1.校园网核心交换机功能及技术指标技术参数要求★交换架构支持多级交换架构，能够配置独立的交换网板与独立的主控板，交换网板与主控板硬件槽位分离，交换网板可热插拔★性能交换容量≥15.36T bps（非背板容量）包转发率≥4320M pps★槽位数业务槽位数≥4交换网板槽位数≥4 主控板槽位数≥2单板密度40G接口≥8 100G接口≥2虚拟化特性N:1虚拟化：支持将两台物理设备虚拟化为一台逻辑设备，虚拟组内可以实现一致的转发表项，统一的管理，跨物理设备的链路聚合。

1:N虚拟化：虚拟成多个逻辑交换机（非MPLS VPN），各个逻辑交换机拥有独立的CPU资源和内存资源，一个逻辑交换机的内部故障不会影响到其它逻辑交换机。

纵向虚拟化：支持把一台盒式设备作为一块远程接口板加入主设备系统，扩展I/O端口能力和进行集中控制管理数据中心特性FCoE：端口可支持Fiber Channel over Ethernet（FCoE）端口，具备扩展端口支持FCoE功能VEPA：支持VEPA (Virtual Ethernet Port Aggregator)技术将虚拟机产生的网络流量上传至与服务器相连的物理交换机进行处理，实现虚拟机间流量转发，解决虚拟机流量监管、访问控制策略部署等问题TRILL：支持大二层技术TRILL★可扩展性支持扩展防火墙、入侵防御、负载均衡、应用控制、网流分析、SSL VPN等业务板卡；防火墙模块：支持NAT/域间策略/防SYN FLOOD等入侵防御模块：支持防病毒/缓冲区溢出/跨站脚本攻击等★配置要求每台配置不少2个引擎每台配置不少于4个交换网板每台配置不少于48个千兆光口，不少于48个千兆电口，不少于8个万兆光口每台配置不少于2个电源必须明确主机型号及配置各组件详细清单规格型号（包含主机、引擎、电源、交换网板等对应的型号）。

2.监控网核心交换机功能及技术指标技术参数要求★业务插槽数≥6★性能交换容量≥7.68T bps，包转发率≥5760M pps散热、防尘机框的主控和业务槽位采用竖插槽，利于散热和防尘IPv4协议支持RIP、OSPF V2、IS-IS和BGP,组播协议必须支持IGMP V1/V2/V3 Snooping、PIM-SM、PIM-DM、PIM-SSM和MSDPIPv6协议支持RIPng、OSPF V3、IPv6 IS-IS和IPv6 BGP,隧道协议必须支持IPv6手动隧道、6to4隧道和ISATAP隧道虚拟化支持将多台设备虚拟为一台，具有统一的管理、统一的转发表项；支持跨设备的链路聚合。

H3C S7500E URPF技术白皮书关键词：URPF、DoS攻击摘要：本文介绍了URPF的应用背景，URPF主要用于防止基于源地址欺骗的网络攻击行为，例如基于源地址欺骗的DoS攻击；随后介绍了URPF的技术原理以及S7500E系列以太网交换机URPF的工作机制与应用限制；最后简要介绍了URPF的典型组网案例。

缩略语清单：缩略语英文全名中文解释URPF Unicast Reverse Path Forwarding 单播反向路径转发FIB Forwarding Information Base 转发信息库DoS Denial of Service 拒绝服务ACL Access Control List 访问控制列表ICMP Internet Control Message Protocol 因特网控制报文协议目录1 URPF特性概述 (3)2 URPF应用环境 (3)2.1 TCP泛洪 (3)2.2 SMURF攻击 (3)3 URPF工作机制 (4)3.1 7500E交换机的URPF工作机制 (4)3.2 UPRF应用限制 (6)3.3 URPF技术优势 (6)4 典型应用组网 (6)1 URPF特性概述URPF（Unicast Reverse Path Forwarding，单播反向路径转发）特性提供了一种增强的地址检测机制用于设备的安全转发，在转发流程中根据报文的源地址反向查找报文出接口，如果FIB（Forwarding Information Base，转发信息库）表中存在此源地址对应的表项，且该出接口和报文的入接口相匹配，报文则可以转发，否则丢弃报文。

从而起到预防IP欺骗的作用，特别是针对伪造IP源地址的DoS（Denial ofService，拒绝服务）攻击非常有效。

2 URPF应用环境DoS（Denial of Service）攻击是一种阻止连接服务的网络攻击。

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

路由表可以通过静态配置方式维护，也可以动态维护来反映当前的网络拓扑。具有路由功能的以太 网交换机通常通过与其他类似设备(如路由器)交换路由信息来完成路由表的动态维护。如果文中没有 特别说明，那么交换机就特指此类具有路由功能的以太网交换机。
3.1.2
访问控制 a∞ess control
防止对资源的未授权使用.
用户数据报协议
USM User-based Security Model
2009-12-11 发布
2010-01 -0 1 实施
中华人民共和国工业和信息化部发布
YDtr 2042-2009
目次
..................rr 前言..............…. ••• .....….........…. ••• ....….. ••••.. ••• .•• ••• ••• ••• ••• ••• ••• ••• ••• ••• ••• ••• ...…
1 范围….. 2 规范性引用文件….. 3 术语、定义和缩略语... ••• ••• ••• ....…................…. ••• .•• ••• ••• ••• ...……... ....….. ..…. ••• ••• ••• .......…"2
3.1 术语和定义... ••• ••• ••• .....…...............….••• ....….. ••• ••• ...…... ....….. ••• ••• •••••• ••• ....……........2 3.2 缩略语….. 4 概述........…·……………………………………………………………... ••• ••• ••• ••• ••• ••• ••• ••• ••• •.• •.• •.• ...4

2024年《工业网络安全应用项目实践》期末考试题库及答案一、单选题1.FTP行为控制技术不包括A、文件上传B、文件下载C、文件删除D、文件修改参考答案：D2.网络病毒的传播方式不包括A、电子邮件B、网络共享C、P2P软件共享D、系统更新参考答案：D3.AC支持对AP进行认证不包括A、MAC认证B、SN认证C、不认证D、IP认证参考答案：D4.UDPFlood攻击攻击者通过僵尸网络向目标服务器发起大量的何种报文B、TCPC、ICMPD、ARP参考答案：A5.免认证白名单功能不包括A、FW白名单B、AP白名单C、WDSD、MESH白名单参考答案：A6.AV功能不能支持的协议类型是A、HTTPB、FTPC、SMTPD、POP3参考答案：B7.启动ICMP不可达报文攻击防范功能，防火墙对ICMP不可达报文进行如何处理？A、重传B、丢弃并记录日志C、转发参考答案：B8.SMTP定义了计算机如何将邮件发送到A、SMTPServerB、SMTPClientC、POP3ServerD、POP3Client参考答案：A9.以下哪项不是WLAN用户接入安全技术范畴A、链路认证B、隧道技术C、用户接入认证D、数据加密参考答案：B10.HTTP行为控制技术的控制项不包括A、文件删除B、POST操作C、浏览网页D、代理上网参考答案：A11.防火墙主要组网应用场景不包括A、企业内路由计算B、企业内网管控&隔离C、数据中心隔离D、互联网边界防护参考答案：A12.防火墙系统日志的类型不包括A、告警B、登录C、操作D、黑名单参考答案：C13.下列SMURF攻击防范防范配置正确的为A、firewalldefendsmurfenableB、firewallsmurfenableC、firewalldefendenablesmurfD、firewalldefendsmurf参考答案：A14.云平台安全解决方案架构不包括A、基础设施安全B、租户服务安全C、组织结构安全D、运维管理安全参考答案：C15.计算机病毒按照感染对象分类不包括A、操作系统B、应用程序C、带宽D、设备参考答案：C16.访问控制攻击不包括A、驾驶攻击B、非法APC、AdHoc关联攻击D、拒绝服务攻击参考答案：D17.下列基于用户组的用户隔离不包括A、组间用户隔离B、组内用户隔离C、组间隔离+组内隔离D、组间+组内不隔离参考答案：D18.畸形报文过滤可以针对协议栈漏洞的哪项进行过滤A、特殊控制报文B、正常报文C、丢弃报文D、以上均错误参考答案：A19.清洗中心支持多种引流方式，可以实现A、静态引流B、完全动态引流C、全静态引流D、局部动态引流参考答案：B20.下列哪项不是网络安全与应用安全的设备A、Anti-DDoSB、NGFWC、AgileControllerD、NIP参考答案：C21.下列哪项不属于NGFW下一代防火墙的解决方案A、用户感知B、应用感知C、位置感知D、隐私感知参考答案：D22.网络单包攻击不包括A、ARP欺骗攻击B、畸形报文攻击C、特殊报文攻击D、扫描窥探攻击参考答案：A23.WIDS、WIPS支持的其它功能不含盖A、WIDS泛洪攻击检测B、WIDSSpoof攻击检测C、WIDSWeakIV检测D、TCP泛洪攻击检测参考答案：D24.FireHunter快速检测高级恶意文件，其中文件类型不包括A、officeB、JPGC、压缩文件D、exe参考答案：D25.IP为核心的园区实现接入认证的局限不包括A、访问控制策略部署工作量大B、访问权限难控制C、用户体验不一致D、网络拓展困难参考答案：D26.系统检查TCP报文的各个标志位，若出现以下哪种情况，直接丢弃该报文？A、FIN位为1B、RST位为1C、FIN和URG同时为1D、SYN位为1参考答案：C27.当HTTP报文达到设定的告警阈值时，启动源认证防御功能，源认证防御不包含以下哪种方式A、基本模式B、横向模式C、增强模式D、302重定向模式参考答案：B28.Anti-DDoS防御系统采用A、C/S架构B、SDS架构C、B/S架构D、SDN架构参考答案：C29.设备在内容过滤检测时识别出关键字，会执行响应动作不包括A、告警B、阻断C、放行D、按权重操作参考答案：C30.以下哪项不是WPI的优势A、双向身份鉴别B、数字证书身份凭证C、可靠的数据加密D、完善的鉴别协议参考答案：C31.防火墙支持基于VLAN分流方式其接口工作在A、五层B、四层C、三层D、二层参考答案：D32.文件类型识别结果异常情况不包括A、文件扩展名不匹配B、文件类型无法识别C、文件修改D、文件损坏参考答案：C33.七层防御可以从以下哪个维度来工作的A、基于全局的防御B、基于协议的防御C、基于IP的防御D、以上均错误参考答案：A34.预定义关键字中的机密关键字不包括A、普通B、秘密C、机密D、绝密参考答案：A35.Rogue设备监测识别主要监测设备不包括A、RogueAPB、RogueClientC、有线网桥D、Adhoc终端参考答案：C36.动态路由引流方案的优点不包括A、动态引流B、无需人工干预C、回注方法简单D、可采用策略路由参考答案：C37.策略路由方式回注适用于的网络类型为A、企业网B、园区网C、三层网络D、所有网络参考答案：D38.防火墙通过管理员角色（职责）来控制管理员的权限，其角色不包括A、系统管理员B、配置管理员C、审计管理员D、访客管理员参考答案：D39.FTP行为控制技术的控制项不包括A、文件上传B、文件下载C、POST操作D、文件删除参考答案：C40.云时代的安全防护体系不包括A、白帽众测B、纵深防御C、扫描渗透D、漏洞情报参考答案：C41.MDM基于设备生命周期对终端设备进行管理，在实际操作过程中不包括A、设备管理B、设备策略实施C、数据管理D、系统管理参考答案：D42.WLAN安全技术的目的不涵盖A、防止信息被窃取B、防止未经授权的访问C、提供稳定高效的无线接入D、提供加密传输参考答案：D43.AC支持四种安全策略不包括A、WEPB、WEP2C、WPA参考答案：B44.HTTPFlood防御不包括A、HTTPFlood源认证B、HTTP源统计C、URI目的指纹学习功能D、URI监测参考答案：C45.COPE移动办公的深度管控策略不包括A、系统深度管控策略B、网络深度管控策略C、设备深度管控策略D、应用深度管控策略参考答案：B46.虚拟系统VSYS本质上属于A、软件定义网络技术B、虚拟化技术C、SDS技术D、灾备技术参考答案：B47.防火墙支持基于接口分流方式其接口工作在A、二层C、四层D、五层参考答案：B48.支持用户组授权的认证协议不包括A、WPA/WPA2-EAP认证B、MAC认证C、WEBPortal认证D、IP认证参考答案：D49.邮件过滤是指对邮件收发行为进行管控，其中不包括A、防垃圾邮件B、防匿名邮件C、上传邮件D、控制违规收发参考答案：C50.正常AP和监控AP的比例建议是A、3:1B、4:1C、5:1D、6:1参考答案：A51.防范Teardrop攻击的配置命令为？A、firewallteardropenableB、firewalldefendteardropenableC、firewalldefendteardropD、firewalldefendenableteardrop参考答案：B52.BYOD解决方案总体架构不包括A、统一入口B、安全管道C、企业移动管理平台D、硬件设施参考答案：D53.蠕虫的工作方式不包括A、扫描B、攻击C、破坏D、复制参考答案：C54.WLAN安全威胁不包括A、保密性攻击B、访问控制攻击C、可靠性攻击D、可用性攻击参考答案：C55.启用带宽策略功能的命令为A、traffic-policyenableB、enablefilter-policyC、filter-policyenableD、enabletraffic-policy参考答案：A56.Anti-DDoS系统中管理服务器和采集器之间可选用以下哪种协议进行加密传输A、SSHB、TCPC、UDPD、SSL参考答案：D57.完整性攻击不包括以下哪一项A、802.11a注入B、802.11帧注入C、802.11数据回放D、802.1XEAP回放参考答案：A58.eSDK实现的功能不包括A、隧道搭建B、端到端传输加密C、应用沙箱D、快速集成参考答案：A59.源探测技术可防范的攻击类型不包括A、SYNFloodB、HTTPFloodC、UDPFloodD、DNSRequestFlood参考答案：C60.以下不属于畸形报文攻击的为A、Land攻击B、Tracert报文攻击C、IP欺骗攻击D、Smurf攻击参考答案：B61.云安全技术演进不包括A、硬件盒子化-SaaSB、规则+正则-大数据模型C、渗透测试-红蓝对抗D、黑白名单-综合清洗参考答案：D62.业务日志不包括以下哪个选项A、内容日志B、策略命中日志C、威胁日志D、管理日志参考答案：D63.Anti-DDoS方案按检测方式包括A、逐包检测B、逐流检测C、字段检测D、比特检测参考答案：A64.集中式组网可靠性方案不支持哪种组网方式A、基础组网B、AE可靠性组网C、SC可靠性组网D、FC可靠性组网参考答案：D65.下面哪种类型的移动终端操作系统有自己的MDM协议A、AndroidB、iOSC、WindowsphoneD、WebOS参考答案：B66.可用性攻击不包括以下哪一项A、超长报文攻击B、昆士兰攻击C、802.11信标泛洪D、802.1XEAP-Start泛洪参考答案：A67.Anti-DDoS防御系统的管理中心功能不包括A、设备管理B、IP管理C、策略管理D、报表呈现参考答案：B68.如果邮件内容封装在POP3消息或IMAP消息中，FW会判断为A、发送方向B、接收方向C、上传方向D、下载方向参考答案：B69.检测中心可以使用以下哪个协议进行采样A、NetConfigB、OpenflowC、NetflowD、OpenConfig参考答案：C70.Fraggle类似于Smurf攻击，使用哪类应答消息？A、ICMPB、UDPC、TCPD、IP参考答案：B71.基于大数据的主动防御体系优势不包括A、智能防御B、动态编排C、智能检测D、智能响应参考答案：B72.防御HTTPFlood攻击的方法不包括A、源认证B、目的IP的URI检测C、目的认证D、指纹学习参考答案：C73.随着信息技术的不断发展，部署的IT设备逐渐增多，运维IT设备时存在问题不包括A、运维入口难以控制B、运维管理不便捷C、运维操作风险高D、难以审计和追溯参考答案：B74.用于确定报文与虚拟系统归属关系的过程称为A、策略B、分流C、回归D、定额参考答案：B75.将清洗设备直路部署在客户网络中，如果对可靠性要求高，可以部署主备方式以及A、热备份B、冷备份C、Bypass模块D、以上都不对参考答案：C76.BYOD解决方案业务功能不包括A、安全接入内网B、终端安全C、移动设备管理D、安全邮件参考答案：B77.UDP分片攻击主要威胁不包括A、消耗网络带宽B、降低设备性能C、导致网络瘫痪D、开机速度缓慢参考答案：D78.认证攻击不包括下列哪项A、共享密钥猜测B、应用程度登陆窃取C、域登陆破解D、主机登录破解参考答案：D79.以下不是虚拟化NGFW的特点的是A、资源灵活编排B、固定平台C、弹性扩展D、面向租户安全参考答案：B80.LogCenter系统组成不包括A、NMSB、采集器C、分析器D、控制台参考答案：A81.旁路动态引流部署方式中回注方式不包括A、策略路由回注B、VPN回注C、路由回注D、ACL回注参考答案：D82.NFA2000V检测的第一步为A、数据解析B、数据获取C、数据呈现D、以上均错误参考答案：A83.企业办公移动化优势不包括A、低价B、便捷C、安全D、开放参考答案：A84.Anti-DDoS防御系统三中心不包括A、隔离中心B、管理中心C、检测中心D、清洗中心参考答案：A85.以下哪项不是LogCenter关键特性A、单一B、准确C、统一管理D、精准呈现参考答案：AG系列防火墙对文件的操作不包括A、管理存储设备B、管理目录C、管理系统D、管理文件参考答案：C87.打开地址扫描攻击防范功能开关，设定扫描速率的阈值为1000的配置命令为A、firewalldefendip-sweepmax-rate1000B、firewallip-sweepmax-rate1000C、firewalldefendip-sweep1000D、firewallmax-rate1000参考答案：A88.RADIUS使用UDP协议，认证的端口号为A、1812B、1813C、1814D、1815参考答案：A二．多选题1.系统在接收到超大ICMP报文后，由于处理不当，会造成系统A、崩溃B、死机C、重启D、蓝屏参考答案：ABC2.新一代安全接入网关网络到网络场景中可采用的安全技术有A、SSLVPNB、L2TPoverIPSecC、IPSecVPND、GREoverIPSec参考答案：CD3.URPF的模式包括A、静态模式B、严格模式C、动态模式D、松散模式参考答案：BD4.防火墙管理员认证方式主要包括A、远端认证B、本地认证C、服务器认证D、AAA认证参考答案：BC5.业务随行逻辑架构包括以下哪几个平面？A、业务管理平面B、网络设备平面C、用户平面D、认证平面参考答案：ABC6.邮件过滤处理包括A、基于IP地址的邮件过滤技术B、基于邮件协议的邮件过滤技术C、基于MAC地址的邮件过滤技术D、基于策略的邮件过滤技术参考答案：AB7.内容安全过滤技术主要包括A、内容过滤技术B、邮件过滤技术C、文件过滤技术D、应用行为控制技术参考答案：ABCD8.下列哪些属于新一代安全接入网关的应用场景A、终端到网络场景B、网络到网络场景C、网络到终端场景D、终端到服务器场景参考答案：AB9.云平台面临的主要安全挑战包括A、来自于外部的入侵攻击B、云平台的内部风险C、租户层的安全服务D、管理安全参考答案：ABCD10.反病毒是一种安全机制，避免病毒引起的A、数据丢失B、数据破坏C、权限更改D、系统崩溃参考答案：BCD11.云平台安全解决方案包含哪些部分的安全？A、隧道加密B、基础设施C、租户服务D、运维管理参考答案：BCD12.在FireHunter沙箱部署中，主要有部署方式包括A、直连部署B、FireHunter旁路独立部署C、NGFW&FireHunter联动部署D、动态部署参考答案：BC13.下列哪些选项属于虚拟系统VSYS的应用场景A、企业内网B、大中型企业网络隔离C、企业外网D、云计算的安全网关参考答案：BD14.带宽策略主要包括A、策略分配B、策略独占C、策略共享D、策略权限回收参考答案：BC15.一般部署在出口处的网络设备有哪些？A、防火墙B、NIPC、Anti-DDoS设备D、SVN参考答案：ABCD16.虚拟系统特点主要包括A、管理独立B、表项独立C、资源固定D、流量隔离参考答案：ABCD17.虚拟系统类型主要有A、根系统B、查询系统C、虚拟系统D、管理系统参考答案：AC18.文件过滤技术的主要关注点包括A、承载文件的应用B、文件传输方向C、文件类型D、文件扩展名参考答案：ABCD19.Anti-DDoS设备还支持对异常DNS报文的检测，根据预定义的规则分别可以从以下哪些方面进行检测A、DNS报文的格式B、DNS的报文类型C、DNS报文的长度D、DNS报文的TTL参考答案：ACD20.NGFW资源分配支持A、限额分配B、定额分配C、手工分配D、配额分配参考答案：BC21.下一代入侵防御系统提供的功能主要包括A、互联网边界防护B、IDC/服务器集群防护C、分支互联保护带宽D、部门内部防护参考答案：ABCD22.带宽管理功能主要包括A、带宽保证B、带宽限制C、带宽申请D、连接数限制参考答案：ABD23.杀毒软件主要通过一些引擎技术来实现病毒的查杀，其主流技术包括A、加密监测技术B、身份认证技术C、特征码技术D、行为查杀技术参考答案：CD24.计算机病毒按照携带者对象分类包括A、可执行文件B、脚本C、宏D、引导区参考答案：ABCD25.HTTPFlood攻击防御方法包括A、HTTPFlood源认证B、HTTP源统计C、URI监测D、URI源指纹学习功能参考答案：ABCD26.资源类中的带宽资源分为A、入方向带宽B、出方向带宽C、整体带宽D、以上均错误参考答案：ABC27.以防火墙为例，可输出的日志类型主要有A、会话日志B、丢包日志C、业务日志D、系统日志参考答案：ABCD28.页面定制支持以下哪些认证模板的定制？A、短信认证模板B、微信认证模板C、会员认证模板D、二维码审批认证模板参考答案：ABCD29.病毒的程序组成包括A、感染标记B、感染程序模块C、破坏程序模块D、触发程序模块参考答案：ABCD30.轻量级检测沙箱包含以下哪些？A、Web启发式沙箱B、PDF启发式沙箱C、PE启发式沙箱D、虚拟执行环境参考答案：ABC三．判断题1.HWTACACS不支持对配置命令进行授权A、正确参考答案：B2.异常流量清洗解决方案支持旁路部署不支持直路部署A、正确B、错误参考答案：B3.BYODeSDK是一个开放的软件中间件，为ISV业务系统提供终端侧端到端的安全防护能力A、正确B、错误参考答案：A4.RADIUS只是对认证报文中的密码字段进行加密A、正确B、错误参考答案：A5.Wi-Fi联盟给出的WPA定义为：WPA=802.1x+EAP+TKIP+MICA、正确B、错误参考答案：A6.流量型攻击是指攻击者通过大量的无用数据占用过多的资源以达到服务器拒绝服务的目的B、错误参考答案：A7.业务随行部署的第一步需要定义并部署组策略A、正确B、错误参考答案：B8.URPF技术是单播逆向路径转发的简称A、正确B、错误参考答案：A9.网络设备在运行过程中输出的信息称为日志A、正确B、错误参考答案：A10.POP3和IMAP规定计算机如何通过客户端软件管理、上传邮件服务器上的电子邮件A、正确B、错误参考答案：B11.检测中心完成对异常流量的引流、检测清除、清洗后流量的回注等功能B、错误参考答案：B12.Sandbox(又叫沙箱)是一个虚拟系统程序A、正确B、错误参考答案：A13.HWTACACS是在TACACS基础上进行了功能增强的一种安全协议，主要用于接入用户的认证、授权和计费A、正确B、错误参考答案：A14.PingofDeath利用一些长度超大的IP报文对系统进行攻击A、正确B、错误参考答案：B15.FakeAP是是一种软件实现的合法APA、正确B、错误参考答案：B16.内容过滤包括文件内容过滤和应用内容过滤A、正确参考答案：A17.DDos攻击是流量型攻击的一种典型方式，可以称为流量型攻击的另一种说法A、正确B、错误参考答案：A18.AE可靠性组网方案由基础组件+备数据库（集群方式）组成A、正确B、错误参考答案：B19.EAP是一种扩展身份认证协议和加密协议的混合体A、正确B、错误参考答案：B20.如果邮件内容封装在SMTP消息中，NGFW执行接收方向检测A、正确B、错误参考答案：B21.MIC是用来对消息进行完整性检查的，用来防止攻击者拦截、篡改甚至重发数据封包A、正确参考答案：A22.WLAN支持其它的安全保护技术可以和接入安全配合使用A、正确B、错误参考答案：A23.MAC旁路认证，接入设备首先触发用户采用802.1X认证方式A、正确B、错误参考答案：A24.WIPS功能支持对RogueAP、RogueClient、Adhoc设备进行反制A、正确B、错误参考答案：A25.应用层加密虚拟协议栈，支持所有IP应用，如媒体流、动态端口类A、正确B、错误参考答案：A26.NGFW资源分配支持定额分配或手工分配A、正确B、错误参考答案：AIP是改进的WEP，不存在被暴力破解的风险A、正确B、错误参考答案：B28.WEBPortal认证只支持三层认证A、正确B、错误参考答案：B29.IPFragment攻击防范配置为firewalldefendip-fragmentenableA、正确B、错误参考答案：A30.WEP算法有先天缺陷，容易被特定算法轻易破解A、正确B、错误参考答案：A31.AP监测模式能实现监测功能，也能传输WLAN用户的数据A、正确B、错误参考答案：B32.DB可靠性组网方案由基础组件+备AE服务器+备SC服务器+备数据库组成A、正确B、错误参考答案：B33.WEP认证方式只有开放式系统认证一种A、正确B、错误参考答案：B34.资源类中的带宽资源分为入方向带宽、出方向带宽和整体带宽三类A、正确B、错误参考答案：A35.DNSRequestFlood攻击源可能是虚假源，也可能是真实源A、正确B、错误参考答案：A36.管理员可用ipvpn-instance命令手动创建VPN实例，用于路由隔离A、正确B、错误参考答案：A37.WEP是有线对等加密A、正确B、错误参考答案：A38.WLAN如果使用弱加密算法可能会导致密码破解攻击A、正确B、错误参考答案：A39.驾驶攻击危害包括未授权接入，AP位置泄露A、正确B、错误参考答案：A40.WEP、WPA/WPA2、WAPI是专门为WLAN开发的安全机制A、正确B、错误参考答案：A41.执行命令firewalldefendlarge-icmpenable，开启超大ICMP报文攻击防范功能A、正确B、错误参考答案：A42.扫描窥探攻击是利用tracert扫射来标识网络上存活着的系统，从而准确定位潜在的目标A、正确B、错误参考答案：B43.沙箱能提供企业数据防泄密，个人隐私受保护A、正确B、错误参考答案：A44.文件系统由储存介质和保存在储存介质的文件组成，防火墙无法实现管理存储介质A、正确B、错误参考答案：B45.防火墙支持基于接口分流一种分流方式A、正确B、错误参考答案：B46.NGFW通过识别自身传输的文件类型，可以实现对特定类型的文件进行阻断或告警A、正确B、错误参考答案：A47.企业办公移动化主要体现在端、管、云纵深立体防护A、正确B、错误参考答案：B48.NGFW能够识别出承载文件的应用、文件传输方向、文件类型和文件扩展名A、正确B、错误参考答案：AIP是一种AP管理协议A、正确B、错误参考答案：B50.无线入侵防预系统，通过对无线网络的实时监测，对于检测到的入侵事情，攻击行为进行主动防御和预警。

目录第1章 L3转发配置....................................................................1-11.1 三层接口...........................................................................................................1-11.1.1 三层接口介绍.........................................................................................1-11.1.2 三层接口配置.........................................................................................1-11.2 IP配置...............................................................................................................1-21.2.1 IPv4、IPv6介绍.....................................................................................1-21.2.2 IP配置.....................................................................................................1-31.2.3 IP配置举例..............................................................................................1-91.2.4 IPv6排错帮助.......................................................................................1-141.3 IP转发.............................................................................................................1-141.3.1 IP转发介绍............................................................................................1-141.3.2 IP路由聚合配置.....................................................................................1-151.4 URPF..............................................................................................................1-151.4.1 URPF介绍.............................................................................................1-151.4.2 URPF配置任务序列..............................................................................1-161.4.3 URPF典型案例......................................................................................1-171.4.4 URPF排错帮助......................................................................................1-171.5 ARP................................................................................................................1-181.5.1 ARP介绍...............................................................................................1-181.5.2 ARP配置...............................................................................................1-181.5.3 ARP转发排错帮助.................................................................................1-19 第2章防ARP扫描功能操作配置................................................2-12.1 防ARP扫描功能介绍........................................................................................2-12.2 防ARP扫描配置任务序列.................................................................................2-12.3 防ARP扫描典型案例........................................................................................2-32.4 防ARP扫描排错帮助........................................................................................2-4 第3章 ARP、ND 绑定配置.......................................................3-13.1 概述..................................................................................................................3-13.1.1 ARP（地址解析协议）............................................................................3-13.1.2 ARP绑定.................................................................................................3-13.1.3 如何进行ARP/ND 绑定..........................................................................3-13.2 ARP、ND 绑定配置..........................................................................................3-23.3 ARP、ND 绑定举例..........................................................................................3-3 第4章 ARP GUARD配置...........................................................4-14.1 ARP GUARD 的介绍........................................................................................4-14.2 ARP GUARD配置任务序列...............................................................................4-1 第5章Arp local proxy配置......................................................5-15.1 Arp local proxy功能简介..................................................................................5-15.2 Arp local proxy功能配置任务序列...................................................................5-25.3 Arp local proxy功能典型案例..........................................................................5-25.4 Arp local proxy功能排错帮助..........................................................................5-3 第6章免费ARP发送功能操作配置............................................6-16.1 免费ARP发送功能简介.....................................................................................6-16.2 免费ARP发送功能配置任务序列......................................................................6-16.3 免费ARP发送功能典型案例..............................................................................6-26.4 免费ARP发送功能排错帮助..............................................................................6-2 第7章 ND Snooping配置..........................................................7-17.1 ND Snooping介绍............................................................................................7-17.2 ND snooping基本配置.....................................................................................7-17.3 ND Snooping举例............................................................................................7-37.4 ND Snooping排错帮助.....................................................................................7-5第1章 L3转发配置交换机支持三层转发功能。

附件1：网络核心交换机技术指标硬件NAT功能硬件地址翻译（NAT）支持：所有实配千兆光接口均需硬件化支持硬件地址翻译（NAT）实配设备支持uRPF附件2：数据库管理系统技术参数：1)数据库镜像功能，提升数据安全的可靠性，企业级冗灾恢复在1秒内。

2)提供嵌入式数据加密，不低于260种数据安全功能。

3)64位高性能运算，TB海量数据支持，使系统的扩展性可实现医疗软件现有水平的需求。

4)提供医疗数据集成服务以及针对医疗软件和通用管理、财务软件的自动化管理、调试、处理、预警等。

5)可实现针对不同类型软件和大型电子仪器设备的在线管理、数据分区、数据存储、数据保护、快照隔离、备份/恢复以及复制等诸多功能。

6)包含下列商业智能套件：数据仓库、数据分析、ETL工具、医疗报表自动生成、数据挖掘、设计开发管理工具。

7)ProactiveCache功能，能够满足医疗统计数据对BI、统计数据高性能的需求。

8)需采用关系型数据库引擎，支持结构化和非结构化(XML)数据。

9)数据复制可用于数据分发、处理移动数据应用、系统高可用、企业报表解决方案的后备数据可伸缩存储、与异构系统的集成等。

10)可以支持数据仓库和医疗行业范围内数据集成的抽取、转换和装载能力。

11)联机分析处理功能可用于多维存储的大量、复杂的数据集的快速高级分析、筛选、处理。

12)包含的集成管理工具可用于高级数据库管理和调谐，可以与MOM和SMS紧密集成在一起。

13)可与winsever2003各种版本兼容，提供相应技术方案、案例或软件，可实现服务器操作系统与数据库管理系统、大规模医疗应用程序的连接应用，并提高整体软件在医疗各个环节应用上的响应、处理能力。

14)针对企业用户推出的版本15)服务条款：提供上门安装，调试，并负责配置、安装、调试数据库软件，应用软件等。

数据库管理系统技术规格说明：1)支持多路服务器；2)支持集群；3)具有良好的稳定性；4)具有良好的高可用性机制；5)具有良好的数据安全机制；6)易于扩展；7)提供界面友好的维护工具；8)提供对主流开发平台的良好支持；9)是主流数据库产品；附件3：操作系统技术参数：1)群集服务:满足并提供服务器群集高可用性和容灾能力，适用于医疗和行政办公业务数据库管理、文件共享、Intranet数据共享、消息传递和所有医疗业务应用程序，并满足、实现诸多硬件外设的参数调整，统一设置管理、集群等。

华为NE40E配置URPF示例介绍URPF的配置示例，在ISP入口点启动URPF功能。

结合配置组网图来理解业务的配置过程。

配置示例包括组网需求、思路准备、操作步骤和配置文件。

组网需求本例在ISP入口点启动URPF功能。

如图1所示，客户RouterA与ISPRouterB直连，在RouterB 的接口GE1/0/0上启动URPF。

要求严格检查，源地址在ACL 2010中的报文在任何情况下都能通过检查；在RouterA的接口GE1/0/0上启动URPF，要求严格检查，使能缺省路由匹配。

图1 配置URPF组网图配置思路采用如下思路配置URPF：1.在ISPRouterB端配置流量策略，允许指定网段的流量通过URPF检查；2.在客户端路由器A的接口上配置IP地址，并使能URPF功能。

数据准备为完成该配置例，需要准备如下数据：∙各接口的IP地址∙能够通过URPF检查的网段地址操作步骤配置RouterB# 配置ACL 2010，允许10.1.1.0/24网段的流量通过URPF检查。

<RouterB> system-view[RouterB] acl number 2010[RouterB-acl-basic-2010] rule permit source 10.1.1.0 0.0.0.255[RouterB-acl-basic-2010] quit# 配置流分类，定义基于ACL的匹配规则。

[RouterB] traffic classifier classifier1[RouterB-classifier-classifier1] if-match acl 2010[RouterB-classifier-classifier1] quit# 定义流行为，配置URPF功能。

[RouterB] traffic behavior behavior1[RouterB-behavior-behavior1] ip urpf strict[RouterB-behavior-behavior1] quit# 定义流量策略，将流分类与流行为关联。

URPFURPF概述URPF（Unicast Reverse Path Forwarding，单播反向路径转发）的主要功能是用于防止基于源地址欺骗的网络攻击行为。

源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文，对于使用基于IP地址验证的应用来说，此攻击方法可以导致未被授权用户以他人身份获得访问系统的权限，甚至是以管理员权限来访问。

即使响应报文不能达到攻击者，同样也会造成对被攻击对象的破坏。

图1源地址欺骗攻击示意图如图1所示，在Router A上伪造源地址为2.2.2.1/8的报文，向服务器Router B发起请求，Router B响应请求时将向真正的“2.2.2.1/8”发送报文。

这种非法报文对RouterB和Router C都造成了攻击。

URPF技术可以应用在上述环境中，阻止基于源地址欺骗的攻击。

URPF处理流程URPF检查有严格（strict）型和松散（loose）型两种。

此外，还可以支持ACL与缺省路由的检查。

URPF的处理流程如下：(1) 如果报文的源地址在路由器的FIB表中存在z对于strict型检查，反向查找报文出接口，若其中至少有一个出接口和报文的入接口相匹配，则报文通过检查；否则报文将被拒绝。

（反向查找是指查找以该报文源IP地址为目的IP地址的报文的出接口）z对于loose型检查，报文进行正常的转发。

(2) 如果报文的源地址在路由器的FIB表中不存在，则检查缺省路由及URPF的allow-default-route参数。

z对于配置了缺省路由，但没有配置参数allow-default-route的情况，不管是strict 型检查还是loose型检查，只要报文的源地址在路由器的FIB表中不存在，该报文都将被拒绝；z对于配置了缺省路由，同时又配置了参数allow-default-route的情况下，如果是strict型检查，只要缺省路由的出接口与报文的入接口一致，则报文将通过URPF的检查，进行正常的转发；如果缺省路由的出接口和报文的入接口不一致，则报文将拒绝。

关键词 伪造源地址； 互联网； 防护
１ 引言
随着互联网使用环境的变化， 互联网技术的缺陷正 逐渐暴露出来， 其中不保证源地址的真实性便是一个重 要问题。互联网之初主要用于学术目的， 当时假设网络 中的所有设备都是可信任的， 因此报文在转发过程中没 有认证源地址的真实性。而在当前复杂的互联网环境 下， 这种网络设备普遍可信的情况早已不复存在， 与之 相反， 每一台设备都可能伪造其源地址来达成特殊目 的。当今， 通过伪造源地址来辅助发起网络攻击的行为 十 分 频 繁 。 据 统 计 ， 一 周 内 借 助 伪 造 源 地 址 发 起 的 ＤｏＳ 攻 击 至 少 有 ４ ０００ 起 。因 此 ， 保 证 报 文 中 源 地 址 的 真 实 性 成为当前急需解决的问题。
３ 伪造源地址攻击的类型
并不是所有的伪造源地址行为都能够构成攻击。单 纯 的 、不 以 攻 击 为 目 的 的 伪 的， 但是伪造源地址被用来发起攻击， 则有可能 产 生 巨 大 的 危 害 。确 定 伪 造 源 地 址 的 攻 击 类 型 有 助 于 更 加 清 晰 地 了 解 真 实 地 址 问 题 。按 照 攻 击 者 伪 造 地 址 的 不 同 和 受害者的不同， 可以将伪造源地址攻击分为以下 ３ 类。
泛部署， 过滤作用将很明显。如果 １８％的网络部署 ＤＰＦ， 则可以减少 ９０％的伪造源地址攻击报文。
ＤＰＦ 主 要 的 缺 点 是 无 法 处 理 攻 击 者 伪 造 同 一 反 向 路 径 上 的 其 他 主 机 地 址 的 行 为 。在 这 个 反 向 路 径 特 别巨大的情况下， ＤＰＦ 的过滤能力就会十分弱。
ＤＰＦ 需 要 的 报 文 到 达 本 地 的 链 路 信 息 从 现 有 路 由器中是无法获取的。在对称路由情况下， ｕＲＰＦ 特性 可以被用来获取这些信息； 在非对称路由情况下， 只 能 通 过 辅 助 的 协 议 来 获 取 这 些 信 息 。 ＢＧＰ Ｒｏｕｔｅ Ｓｅｌｅｃｔｉｏｎ Ｎｏｔｉｃｅ ［１８］是 由 清 华 大 学 提 出 的 一 种 域 间 的 基 于 ＢＧＰ 的 ＤＰＦ 方案。在该方案中， 当一个 ＢＧＰ 路由被 选择时， 其他的路由器将被通知， 使得这些路由器可 以获知来自某个源地址的报文到达本地路由器经过的链 路， 这样就能够执行 ＤＰＦ 中对报文源地址真实性的检查。 （ ３） ＳＡＶＥ ＳＡＶＥ 是 一 种 在 自 治 域 的 边 界 路 由 器 上 建 立 到 达 本 地 的 报 文 源 地 址 和 接 口 对 应 关 系 的 协 议 。 在 ＳＡＶＥ 协 议 中， 边界路由器之间相互交换路由表信息， 并将收到的路 由信息映射到接收到这个信息的接口， 以获取正确的源地 址—接口对应表。ＳＡＶＥ 协议面对的是非对称路由下的需 求， 事实上可以作为 ＤＰＦ 在非对称路由下的辅助协议。 ＳＡＶＥ 较 好 地 解 决 了 非 对 称 路 由 下 的 伪 造 源 地 址 过 滤问题， 但是它依然无法解决在攻击者伪造同一反向路径 上源地址问题。ＳＡＶＥ 存在的另一个问题是， 参与协议的路 由 器 必 须 进 行 大 量 的 、可 认 证 的 数 据 交 换 ， 不 但 复 杂 性 比 较高， 而且这个过程可能成为 ＤｏＳ 攻击的对象。 ＳＡＶＥ 协 议需要全局部署之后才能发挥作用， 因为在全局部署之 前， 源地址—接口对应表并不说明某个接口只能收到相应 源地址的报文， 而只是说明这个接口可能收到来自这些源 地址的报文， 即这个表不能用来过滤。不能增量部署限制 了它的推广应用。 （ ４） Ｐａｓｓｐｏｒｔｓ Ｐａｓｓｐｏｒｔｓ 是一种在报文中添加报文所需要经过的全部