H3C F100-C-G2防火牆
H3C SecPath系列 防火牆產品:川大ATC系統引接ADS-B使用F100-C-G2,軟體版本:7.1.064,Release 9510P06
*:Combo 介面是一個邏輯介面,一個Combo 介面在物理上對應裝置皮膚上一個電口和一個光口。電口與其對應的光口共用一個轉發介面和介面檢視,所以,兩者不能同時工作。當啟用其中的一個介面時,另一個介面就自動處於禁用狀態。
*:IP-MAC 繫結是指透過在裝置上建立IP 地址與MAC 地址繫結表項實現對報文的過濾控制。該功能適用於防禦主機仿冒攻擊, 配置IP-MAC 繫結功能的裝置接收到使用者報文後,會提取報文頭中的源IP 地址和源MAC 地址,並與IP-MAC 繫結表項進行匹配,對不同的匹配結果採用不同的報文處理方式: 匹配結果報文的處理方式
匹配結果 |
對報文的處理 |
IP+MAC 地址完全匹配 |
放行報文 |
IP 地址匹配,MAC 地址不匹配 |
丟棄報文 |
IP 地址不匹配,MAC 地址匹配 |
丟棄報文 |
IP 地址和MAC 地址都無匹配項 |
預設情況下放行報文,可以透過ip-mac binding no-match action deny 命令將未匹配到IP-MAC 繫結表項的報文的動作設定為丟棄 |
一、 ARP 攻擊防禦配置
裝置提供了多種ARP 攻擊防禦技術對區域網中的ARP 攻擊和ARP 病毒進行防範、檢測和解決。常見的ARP 攻擊方式包括:
· 攻擊者透過向裝置傳送大量目標IP 地址不能解析的IP 報文,使得裝置試圖反覆地對目標IP 地址進行解析,導致CPU 負荷過重及網路流量過大。
· 攻擊者向裝置傳送大量ARP 報文,對裝置的CPU 形成衝擊。
· 攻擊者可以仿冒使用者、仿冒閘道器傳送偽造的ARP 報文,使閘道器或主機的ARP 表項不正確,從而對網路進行攻擊。
其中配置ARP過濾保護功能,可以實現川大自動化過濾外部ARP包的需求
本功能用來限制介面下允許透過的ARP 報文,可以防止仿冒閘道器和仿冒使用者的攻擊。
在介面上配置此功能後,當介面收到ARP 報文時,將檢查ARP 報文的源IP 地址和源MAC 地址是否和允許透過的IP 地址和MAC 地址相同:
· 如果相同,則認為此報文合法,繼續進行後續處理;
· 如果不相同,則認為此報文非法,將其丟棄。
每個介面最多支援配置8 組允許透過的ARP 報文的源IP 地址和源MAC 地址。
(1) 進入系統檢視。
system-view
(2) 進入介面檢視。
interface interface-type interface-number
支援的介面型別包括二層乙太網介面和二層聚合介面。
(3) 開啟ARP 過濾保護功能,配置允許透過的ARP 報文的源IP 地址和源MAC 地址。
arp filter binding ip-address mac-address
預設情況下,ARP 過濾保護功能處於關閉狀態。
實際應用中,配置只允許來自ADS-B伺服器IP-MAC的 ARP 報文透過。
——IP Source Guard 功能用於對介面收到的報文進行過濾控制,通常配置在 接入使用者側的介面上,以防止非法使用者報文透過,從而限制了對網路資源的非法使用(比如非法主機仿冒合法使用者IP 接入網路),提高了介面的安全性。
二、生成樹協議概述
STP 由IEEE 制定的802.1D 標準定義,用於在區域網中消除資料鏈路層物理環路的協議。執行該協議的裝置透過彼此互動資訊發現網路中的環路,並有選擇的對某些埠進行阻塞,最終將環路網路結構修剪成無環路的樹型網路結構,從而防止報文在環路網路中不斷增生和無限迴圈,避免裝置由於重複接收相同的報文造成的報文處理能力下降的問題發生。
RSTP 由IEEE 制定的802.1w 標準定義,它在STP 基礎上進行了改進,實現了網路拓撲的快速收斂。其“快速”體現在,當一個埠被選為根埠和指定埠後,其進入轉發狀態的延時將大大縮短,從而縮短了網路最終達到拓撲穩定所需要的時間。
當拓撲處於穩定狀態時,只有根埠和指定埠在轉發使用者流量。其他埠都處於阻塞狀態,只接收STP 協議報文而不轉發使用者流量。
生成樹協議是一種二層管理協議,它透過選擇性地阻塞網路中的冗餘鏈路來消除二層環路,同時還具備鏈路備份的功能。最初的生成樹協議為STP (Spanning Tree Protocol ,生成樹協議),之後又發展出RSTP (Rapid Spanning Tree Protocol ,快速生成樹協議)、PVST (Per-VLAN Spanning Tree ,每VLAN 生成樹)和MSTP (Multiple Spanning Tree Protocol ,多生成樹協議)。
保護功能
1. 功能簡介
對於接入層裝置,接入埠一般直接與使用者終端(如PC )或檔案伺服器相連,此時接入埠被設定為邊緣埠以實現這些埠的快速遷移;當這些埠接收到BPDU 時系統會自動將這些埠設定為非邊緣埠,重新計算生成樹,引起網路拓撲結構的變化。這些埠正常情況下應該不會收到STP 的BPDU 。如果有人偽造BPDU 惡意攻擊裝置,就會引起網路震盪。
生成樹協議提供了BPDU 保護功能來防止這種攻擊:裝置上開啟了BPDU 保護功能後,如果邊緣埠收到了BPDU ,系統就將這些埠關閉,同時通知網管這些埠已被生成樹協議關閉。被關閉的埠在經過一定時間間隔之後將被重新啟用,這個時間間隔可透過shutdown-interval 命令配置。有關該命令的詳細介紹,請參見“基礎配置命令參考”中的“裝置管理”。
2. 配置限制和指導
配置埠的BPDU 保護功能時,請在直連使用者終端的埠上配置,勿在連線其他裝置或共享網段的埠上配置。
BPDU 保護功能對開啟了環回測試功能的埠無效。有關環回測試功能的相關介紹,請參見“介面管理配置指導”中的“乙太網介面”。
3. 配置BPDU 保護功能
(1) 進入系統檢視。
system-view
(2) 開啟全域性的BPDU 保護功能。
stp bpdu-protection
預設情況下,全域性的BPDU 保護功能處於關閉狀態。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/7970627/viewspace-2657825/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- H3C防火牆-安全域防火牆
- WAb防火牆與傳統防火牆防火牆
- 防火牆防火牆
- 防火牆入侵於檢測——————3、思科 PIX 防火牆和 ASA 防火牆產品線防火牆
- iptables防火牆防火牆
- 防火牆配置防火牆
- 防火牆iptables防火牆
- 防火牆(firewall)防火牆
- 護航中小企業 H3C F100-C-A5防火牆微評測防火牆
- 賦能企業安全 H3C F1000-C8160雲防火牆微評測防火牆
- 一圖讀懂 | H3C F100-C-A5防火牆助力小微企業防火牆
- 距離“配齊” 你還差一個H3C F100-C-A3防火牆!防火牆
- CentOS 7.0防火牆CentOS防火牆
- Linux防火牆命令Linux防火牆
- CentOS 防火牆操作CentOS防火牆
- Linux配置防火牆Linux防火牆
- 防火牆部署案例防火牆
- 防火牆介紹防火牆
- LINUX 防火牆 firewalldLinux防火牆
- ubuntu 關閉防火牆命令 ubuntu怎樣關閉防火牆Ubuntu防火牆
- 防火牆 搜尋 釋出 防火牆是什麼?怎麼理解?防火牆
- linux 7 防火牆操作Linux防火牆
- Firewalld防火牆基礎防火牆
- 資料庫防火牆資料庫防火牆
- Iptables防火牆應用防火牆
- CentOS防火牆設定CentOS防火牆
- Linux防火牆基礎Linux防火牆
- 防火牆的分類防火牆
- CentOS 7 防火牆操作CentOS防火牆
- iptables防火牆規則防火牆
- Linux 防火牆配置使用Linux防火牆
- 小巧玲瓏 大有可為!H3C F100-C-A6-WL防火牆為安全賦能防火牆
- SANGFOR NGAF與H3C SecPath系列(V7)防火牆第三方IPsec對接防火牆
- linux關閉防火牆命令 linux防火牆關閉和開啟命令Linux防火牆
- 雲伺服器需要防火牆嗎?防火牆如何啟用設定?伺服器防火牆
- 什麼是防火牆?防火牆能發揮什麼樣的作用?防火牆
- CentOS8檢視防火牆狀態,開啟/關閉防火牆CentOS防火牆
- 一圖讀懂:下一代高效能防火牆H3C F1000-C-EI防火牆