SecPath UTM攻击防范的典型配置

关键词:
功能需求

 

SecPath UTM攻击防范的典型配置

 

一.用户需求

某用户使用UTM串连在网络中,来使得UTM对网络流量进行攻击特性判断,如果有异常流量则执行一定的防范措施:如加入黑名单、输出告警日志、丢弃报文等。从而使用户网络安全、健康运行。

 

二.组网图

 

三.配置步骤

 

1.配置接口IP地址

 

在左侧导航栏中点击“设备管理 > 接口管理”。

点击GE0/1栏中的按钮,进入“接口编辑”界面。按照下图设置接口GE0/1,点击< 确定 >按钮返回“接口管理”界面。

点击GE0/2栏中的按钮,进入“接口编辑”界面。按照下图设置接口GE0/2,点击< 确定 >按钮返回“接口管理”界面。

 

 

2.配置ACL

 

在左侧导航栏中点击“防火墙 > ACL”,点击页面的< 新建 >按钮,创建ACL2000。

点击ACL2000 栏中的按钮,点击< 新建 >按钮创建一条允许所有报文通过的规则。

点击< 确定 >按钮。

 

 

3.将接口GE0/2加入trust域

 

点击左侧导航栏“设备管理 > 安全域”。

点击Trust栏中的按钮,进入“修改安全域”界面。按照下图将接口GE0/2加入Trust域,点击< 确定 >返回“安全域”界面。

按照同样操作,将GE0/1接口加入到Untrust域。

 

 

4.配置域间策略

 

点击左侧导航栏“防火墙 > 安全策略 > 域间策略”。

点击< 新建 >按钮,按照下面截图信息配置Trust域到Untrust域的域间策略。

同理,添加一条Untrust域到Trust域的域间策略。

 

 

5.配置出接口NAT

 

在“防火墙 > NAT > 动态地址转换”页面,点击“地址转换关联”下的< 新建 >按钮。

按照下面的截图信息配置出接口GE0/1的NAT,点击< 确定 >按钮。

 

6.攻击防范配置

 

1)静态黑名单功能

在“攻击防范 > 黑名单”页面,选中“启用黑名单过滤功能”前面的复选框,启用黑名单功能。

在“攻击防范 > 黑名单”页面,点击“黑名单配置”下的< 新建 >按钮。

输入添加的黑名单地址和黑名单生效的保留时间,点击< 确定 >按钮。

 

 

2)动态黑名单功能

在“攻击防范 > 黑名单”页面,选中“启用黑名单过滤功能”前面的复选框,启用黑名单功能。

 

 

3)ICMP Flood攻击防范

在“攻击防范 > 流量异常检测 > ICMP Flood”页面,安全区域选择“Trust”,选 择“发现攻击丢包”,点击< 确定 >按钮。

点击“ICMP Flood配置”下的< 新建 >按钮,添加保护的主机地址为2.0.0.2。

 

 

4)UDP  Flood攻击防范

在“攻击防范 > 流量异常检测 > UDP Flood”页面,安全区域选择 “Trust”,选中“发现攻击丢包”,点击< 确定 >按钮。

点击“UDP Flood配置”下的< 新建 >按钮,添加保护的主机地址为2.0.0.2。

 

 

4)SYN Flood攻击防范

在“攻击防范 > 流量异常检测 > SYN Flood”页面,安全区域选择“Trust”,选中“发现攻击丢包”,点击< 确定 >按钮。

点击“SYN Flood配置”下的< 新建 >按钮,添加保护的主机地址为2.0.0.2。

 

 

5)扫描攻击防范

在“攻击防范 > 流量异常检测 > 扫描攻击”页面,安全区域选择“Untrust”,选中“启动攻击扫描”和“源IP地址加入黑名单”,点击< 确定 >按钮。

PC2上使用NetWizard工具软件或者SmartBits测试仪器构造目的地址或者目的端口变化的TCP、UDP报文、或者目的地址变化的ICMP报文等各种攻击报文,对目标主机进行扫描。

 

 

6)报文异常检测

报文异常检测即单包攻击检测,与流量和会话无关,通过检查单个IP报文是否具有攻击特征就可以作出判断。

在“攻击防范 > 报文异常检测”页面,安全区域选择“Untrust”,做如下配置,点击< 确定 >按钮。

使用NetWizard工具软件或SmartBits测试仪器均可以构造攻击报文,下面以SmartBits测试仪器举例介绍如何构造报文。

 

 

 

 

四.验证结果

 

1)静态黑名单

在黑名单老化时间内,在PC1上不能ping通GE0/1的接口地址1.0.0.1。

在黑名单老化时间外,在PC1上可以ping通GE0/1的 接口地址1.0.0.1。

 

 

2)动态黑名单

假设PC2 地址为1.0.0.100,使用正确的用户名,错误的密码登录web界面,五次登录失败后会被自动加入黑名单中。

在“攻击防范 > 黑名单”页面,可以查看自动添加的黑名单列表,为1.0.0.100。

 

 

3)ICMP Flood攻击防范

在“攻击防范 > 入侵检测统计”页面,安全区域选择“Trust”,可以查看ICMP Flood攻击次数和丢包次数。

 

 

 

4)UDP Flood攻击防范

在“攻击防范 > 入侵检测统计”页面,安全区域选择“Trust”,可以查看ICMP Flood攻击次数和丢包次数。

 

 

5)SYN Flood攻击防范

在“攻击防范 > 入侵检测统计”页面,安全区域选择“Trust”,可以查看ICMP Flood攻击次数和丢包次数。

 

 

6)扫描攻击防范

在“攻击防范 > 入侵检测统计”页面,安全区域选择“Untrust”,可以查看扫描攻击次数和丢包次数。

 

 

7)报文异常检测

在“攻击防范 > 入侵检测统计”页面,安全区域选择“Untrust”,可以查看每种攻击次数和丢包次数。

案例信息

案例类型:典型配置
案例号:KMS - 16996
创建时间:2009年6月7日
更新时间:2009年6月11日
发布时间:2009/6/11 5:00:09
文章密级:游客可见
有效期:长期有效
发布者:万欣 [w06753]
点击次数:653
评论平均得分:0
关键词:
产品线:
产品系列:
产品版本:
技术分类:安全产品技术 MPLS

常用操作
收藏