组网需求
如图1所示,如果局域网内存在Hacker向RouterA发起畸形报文攻击、分片报文攻击和泛洪攻击,将会造成RouterA瘫痪。为了预防这种情况,管理员希望通过在RouterA上部署各种攻击防范措施来为用户提供安全的网络环境,保障正常的网络服务。
配置思路
采用如下思路在RouterA上配置攻击防范:
-
使能畸形报文攻击防范功能,避免畸形报文攻击。
-
使能分片报文攻击防范功能,避免分片报文攻击。
-
使能泛洪攻击防范功能,避免泛洪攻击。
操作步骤
- 使能畸形报文攻击防范。
<Huawei> system-view [Huawei] sysname RouterA [RouterA] anti-attack abnormal enable
- 使能分片报文攻击防范,并限制分片报文接收的速率为15000bit/s。
[RouterA] anti-attack fragment enable [RouterA] anti-attack fragment car cir 15000
- 使能泛洪攻击防范。
# 使能TCP SYN攻击防范,并限制TCP SYN报文接收的速率为15000bit/s。
[RouterA] anti-attack tcp-syn enable [RouterA] anti-attack tcp-syn car cir 15000
# 使能UDP泛洪攻击防范,对特定端口发送的UDP报文直接丢弃。
[RouterA] anti-attack udp-flood enable
# 使能ICMP泛洪攻击防范,并限制ICMP泛洪报文接收的速率为15000bit/s。
[RouterA] anti-attack icmp-flood enable [RouterA] anti-attack icmp-flood car cir 15000
- 验证配置结果。
# 配置完成后,可以通过执行命令display anti-attack statistics查看报文攻击防范的统计数据。
[RouterA] display anti-attack statistics Packets Statistic Information: ------------------------------------------------------------------------------- AntiAtkType TotalPacketNum DropPacketNum PassPacketNum (H) (L) (H) (L) (H) (L) ------------------------------------------------------------------------------- Abnormal 0 0 0 0 0 0 Fragment 0 0 0 0 0 0 Tcp-syn 0 34 0 28 0 6 Udp-flood 0 0 0 0 0 0 Icmp-flood 0 0 0 0 0 0 -------------------------------------------------------------------------------由显示信息可知,RouterA上产生了TCP SYN报文的丢弃计数,表明攻击防范功能已经生效。
| 视频课程(部分示意)
实验拓扑(部分示意) |
如果需要系统深入的学习网工知识
↓ 可点赞+关注后通过下列方式领取资料↓
(没有领取门槛,主要是一个个发邮件太麻烦了)
