ITPub博客

首页 > IT基础架构 > 网络安全 > ​H3C F100-C-G2防火墙

​H3C F100-C-G2防火墙

原创 网络安全 作者:mi_zy 时间:2019-09-21 17:25:59 0 删除 编辑

H3C SecPath系列 防火墙产品:川大ATC系统引接ADS-B使用F100-C-G2,软件版本:7.1.064,Release 9510P06

*:Combo 接口是一个逻辑接口,一个Combo 接口在物理上对应设备面板上一个电口和一个光口。电口与其对应的光口共用一个转发接口和接口视图,所以,两者不能同时工作。当激活其中的一个接口时,另一个接口就自动处于禁用状态。

*:IP-MAC 绑定是指通过在设备上建立IP 地址与MAC 地址绑定表项实现对报文的过滤控制。该功能适用于防御主机仿冒攻击, 配置IP-MAC 绑定功能的设备接收到用户报文后,会提取报文头中的源IP 地址和源MAC 地址,并与IP-MAC 绑定表项进行匹配,对不同的匹配结果采用不同的报文处理方式: 不同 匹配结果报文的处理方式

匹配结果

对报文的处理

IP+MAC 地址完全匹配

放行报文

IP 地址匹配,MAC 地址不匹配

丢弃报文

IP 地址不匹配,MAC 地址匹配

丢弃报文

IP 地址和MAC 地址都无匹配项

缺省情况下放行报文,可以通过ip-mac binding no-match action  deny 命令将未匹配到IP-MAC 绑定表项的报文的动作设置为丢弃

 

一、 ARP 攻击防御配置

设备提供了多种ARP 攻击防御技术对局域网中的ARP 攻击和ARP 病毒进行防范、检测和解决。常见的ARP 攻击方式包括:

·               攻击者通过向设备发送大量目标IP 地址不能解析的IP 报文,使得设备试图反复地对目标IP 地址进行解析,导致CPU 负荷过重及网络流量过大。

·               攻击者向设备发送大量ARP 报文,对设备的CPU 形成冲击。

·               攻击者可以仿冒用户、仿冒网关发送伪造的ARP 报文,使网关或主机的ARP 表项不正确,从而对网络进行攻击。

其中配置ARP过滤保护功能,可以实现川大自动化过滤外部ARP包的需求

本功能用来限制接口下允许通过的ARP 报文,可以防止仿冒网关和仿冒用户的攻击。

在接口上配置此功能后,当接口收到ARP 报文时,将检查ARP 报文的源IP 地址和源MAC 地址是否和允许通过的IP 地址和MAC 地址相同:

·               如果相同,则认为此报文合法,继续进行后续处理;

·               如果不相同,则认为此报文非法,将其丢弃。

每个接口最多支持配置8 组允许通过的ARP 报文的源IP 地址和源MAC 地址。

配置步骤

(1)       进入系统视图。

system-view

(2)       进入接口视图。

interface  interface-type  interface-number

支持的接口类型包括二层以太网接口和二层聚合接口。

(3)       开启ARP 过滤保护功能,配置允许通过的ARP 报文的源IP 地址和源MAC 地址。

arp filter  binding ip-address mac-address

缺省情况下,ARP 过滤保护功能处于关闭状态。

实际应用中,配置只允许来自ADS-B服务器IP-MAC的 ARP 报文通过。

——IP Source Guard 功能用于对接口收到的报文进行过滤控制,通常配置在 接入用户侧的接口上,以防止非法用户报文通过,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP 接入网络),提高了接口的安全性。


二、生成树协议概述

STP IEEE 制定的802.1D 标准定义,用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互信息发现网络中的环路,并有选择的对某些端口进行阻塞,最终将环路网络结构修剪成无环路的树型网络结构,从而防止报文在环路网络中不断增生和无限循环,避免设备由于重复接收相同的报文造成的报文处理能力下降的问题发生。

RSTP IEEE 制定的802.1w 标准定义,它在STP 基础上进行了改进,实现了网络拓扑的快速收敛。其“快速”体现在,当一个端口被选为根端口和指定端口后,其进入转发状态的延时将大大缩短,从而缩短了网络最终达到拓扑稳定所需要的时间。

当拓扑处于稳定状态时,只有根端口和指定端口在转发用户流量。其他端口都处于阻塞状态,只接收STP 协议报文而不转发用户流量。

生成树协议是一种二层管理协议,它通过选择性地阻塞网络中的冗余链路来消除二层环路,同时还具备链路备份的功能。最初的生成树协议为STP Spanning Tree Protocol ,生成树协议),之后又发展出RSTP Rapid Spanning Tree  Protocol ,快速生成树协议)、PVST Per-VLAN Spanning Tree ,每VLAN 生成树)和MSTP Multiple Spanning Tree  Protocol ,多生成树协议)。

配置BPDU 保护功能

1. 功能简介

对于接入层设备,接入端口一般直接与用户终端(如PC )或文件服务器相连,此时接入端口被设置为边缘端口以实现这些端口的快速迁移;当这些端口接收到BPDU 时系统会自动将这些端口设置为非边缘端口,重新计算生成树,引起网络拓扑结构的变化。这些端口正常情况下应该不会收到STP BPDU 。如果有人伪造BPDU 恶意攻击设备,就会引起网络震荡。

生成树协议提供了BPDU 保护功能来防止这种攻击:设备上开启了BPDU 保护功能后,如果边缘端口收到了BPDU ,系统就将这些端口关闭,同时通知网管这些端口已被生成树协议关闭。被关闭的端口在经过一定时间间隔之后将被重新激活,这个时间间隔可通过shutdown-interval 命令配置。有关该命令的详细介绍,请参见“基础配置命令参考”中的“设备管理”。

2. 配置限制和指导

配置端口的BPDU 保护功能时,请在直连用户终端的端口上配置,勿在连接其他设备或共享网段的端口上配置。

BPDU 保护功能对开启了环回测试功能的端口无效。有关环回测试功能的相关介绍,请参见“接口管理配置指导”中的“以太网接口”。

3. 配置BPDU 保护功能

(1)       进入系统视图。

system-view

(2)       开启全局的BPDU 保护功能。

stp  bpdu-protection

缺省情况下,全局的BPDU 保护功能处于关闭状态。


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/7970627/viewspace-2657825/,如需转载,请注明出处,否则将追究法律责任。

下一篇: 没有了~
请登录后发表评论 登录
全部评论
空管自动化,传输,对空通信

注册时间:2011-02-02

  • 博文量
    176
  • 访问量
    336028