​H3C F100-C-G2防火牆

H3C SecPath系列 防火牆產品:川大ATC系統引接ADS-B使用F100-C-G2，軟體版本：7.1.064，Release 9510P06

*：Combo 介面是一個邏輯介面，一個Combo 介面在物理上對應裝置皮膚上一個電口和一個光口。電口與其對應的光口共用一個轉發介面和介面檢視，所以，兩者不能同時工作。當啟用其中的一個介面時，另一個介面就自動處於禁用狀態。

*：IP-MAC 繫結是指透過在裝置上建立IP 地址與MAC 地址繫結表項實現對報文的過濾控制。該功能適用於防禦主機仿冒攻擊， 配置IP-MAC 繫結功能的裝置接收到使用者報文後，會提取報文頭中的源IP 地址和源MAC 地址，並與IP-MAC 繫結表項進行匹配，對不同的匹配結果採用不同的報文處理方式： 匹配結果報文的處理方式

匹配結果	對報文的處理
IP+MAC 地址完全匹配	放行報文
IP 地址匹配，MAC 地址不匹配	丟棄報文
IP 地址不匹配，MAC 地址匹配	丟棄報文
IP 地址和MAC 地址都無匹配項	預設情況下放行報文，可以透過ip-mac binding no-match action  deny 命令將未匹配到IP-MAC 繫結表項的報文的動作設定為丟棄

 

一、 ARP 攻擊防禦配置

裝置提供了多種ARP 攻擊防禦技術對區域網中的ARP 攻擊和ARP 病毒進行防範、檢測和解決。常見的ARP 攻擊方式包括：

·               攻擊者透過向裝置傳送大量目標IP 地址不能解析的IP 報文，使得裝置試圖反覆地對目標IP 地址進行解析，導致CPU 負荷過重及網路流量過大。

·               攻擊者向裝置傳送大量ARP 報文，對裝置的CPU 形成衝擊。

·               攻擊者可以仿冒使用者、仿冒閘道器傳送偽造的ARP 報文，使閘道器或主機的ARP 表項不正確，從而對網路進行攻擊。

其中配置ARP過濾保護功能，可以實現川大自動化過濾外部ARP包的需求

本功能用來限制介面下允許透過的ARP 報文，可以防止仿冒閘道器和仿冒使用者的攻擊。

在介面上配置此功能後，當介面收到ARP 報文時，將檢查ARP 報文的源IP 地址和源MAC 地址是否和允許透過的IP 地址和MAC 地址相同：

·               如果相同，則認為此報文合法，繼續進行後續處理；

·               如果不相同，則認為此報文非法，將其丟棄。

每個介面最多支援配置8 組允許透過的ARP 報文的源IP 地址和源MAC 地址。

(1)       進入系統檢視。

system-view

(2)       進入介面檢視。

interface  interface-type  interface-number

支援的介面型別包括二層乙太網介面和二層聚合介面。

(3)       開啟ARP 過濾保護功能，配置允許透過的ARP 報文的源IP 地址和源MAC 地址。

arp filter  binding ip-address mac-address

預設情況下，ARP 過濾保護功能處於關閉狀態。

實際應用中，配置只允許來自ADS-B伺服器IP-MAC的 ARP 報文透過。

——IP Source Guard 功能用於對介面收到的報文進行過濾控制，通常配置在 接入使用者側的介面上，以防止非法使用者報文透過，從而限制了對網路資源的非法使用（比如非法主機仿冒合法使用者IP 接入網路），提高了介面的安全性。

二、生成樹協議概述

STP 由IEEE 制定的802.1D 標準定義，用於在區域網中消除資料鏈路層物理環路的協議。執行該協議的裝置透過彼此互動資訊發現網路中的環路，並有選擇的對某些埠進行阻塞，最終將環路網路結構修剪成無環路的樹型網路結構，從而防止報文在環路網路中不斷增生和無限迴圈，避免裝置由於重複接收相同的報文造成的報文處理能力下降的問題發生。

RSTP 由IEEE 制定的802.1w 標準定義，它在STP 基礎上進行了改進，實現了網路拓撲的快速收斂。其“快速”體現在，當一個埠被選為根埠和指定埠後，其進入轉發狀態的延時將大大縮短，從而縮短了網路最終達到拓撲穩定所需要的時間。

當拓撲處於穩定狀態時，只有根埠和指定埠在轉發使用者流量。其他埠都處於阻塞狀態，只接收STP 協議報文而不轉發使用者流量。

生成樹協議是一種二層管理協議，它透過選擇性地阻塞網路中的冗餘鏈路來消除二層環路，同時還具備鏈路備份的功能。最初的生成樹協議為STP （Spanning Tree Protocol ，生成樹協議），之後又發展出RSTP （Rapid Spanning Tree  Protocol ，快速生成樹協議）、PVST （Per-VLAN Spanning Tree ，每VLAN 生成樹）和MSTP （Multiple Spanning Tree  Protocol ，多生成樹協議）。

保護功能

1. 功能簡介

對於接入層裝置，接入埠一般直接與使用者終端（如PC ）或檔案伺服器相連，此時接入埠被設定為邊緣埠以實現這些埠的快速遷移；當這些埠接收到BPDU 時系統會自動將這些埠設定為非邊緣埠，重新計算生成樹，引起網路拓撲結構的變化。這些埠正常情況下應該不會收到STP 的BPDU 。如果有人偽造BPDU 惡意攻擊裝置，就會引起網路震盪。

生成樹協議提供了BPDU 保護功能來防止這種攻擊：裝置上開啟了BPDU 保護功能後，如果邊緣埠收到了BPDU ，系統就將這些埠關閉，同時通知網管這些埠已被生成樹協議關閉。被關閉的埠在經過一定時間間隔之後將被重新啟用，這個時間間隔可透過shutdown-interval 命令配置。有關該命令的詳細介紹，請參見“基礎配置命令參考”中的“裝置管理”。

2. 配置限制和指導

配置埠的BPDU 保護功能時，請在直連使用者終端的埠上配置，勿在連線其他裝置或共享網段的埠上配置。

BPDU 保護功能對開啟了環回測試功能的埠無效。有關環回測試功能的相關介紹，請參見“介面管理配置指導”中的“乙太網介面”。

3. 配置BPDU 保護功能

(1)       進入系統檢視。

system-view

(2)       開啟全域性的BPDU 保護功能。

stp  bpdu-protection

預設情況下，全域性的BPDU 保護功能處於關閉狀態。