华为设备配置攻击防范

最新推荐文章于 2024-10-09 15:50:47 发布
最新推荐文章于 2024-10-09 15:50:47 发布
阅读量792 收藏 14
点赞数 15
分类专栏: 计算机网络 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76769137/article/details/137083800
版权
组网需求

图1所示,如果局域网内存在Hacker向RouterA发起畸形报文攻击、分片报文攻击和泛洪攻击,将会造成RouterA瘫痪。为了预防这种情况,管理员希望通过在RouterA上部署各种攻击防范措施来为用户提供安全的网络环境,保障正常的网络服务。

图1 配置攻击防范组网图
 

配置思路

采用如下思路在RouterA上配置攻击防范:

  1. 使能畸形报文攻击防范功能,避免畸形报文攻击。

  2. 使能分片报文攻击防范功能,避免分片报文攻击。

  3. 使能泛洪攻击防范功能,避免泛洪攻击。

操作步骤
  1. 使能畸形报文攻击防范。 

    <Huawei> system-view
[Huawei] sysname RouterA
[RouterA] anti-attack abnormal enable

  2. 使能分片报文攻击防范,并限制分片报文接收的速率为15000bit/s。 

    [RouterA] anti-attack fragment enable
[RouterA] anti-attack fragment car cir 15000

  3. 使能泛洪攻击防范。

    # 使能TCP SYN攻击防范,并限制TCP SYN报文接收的速率为15000bit/s。

    [RouterA] anti-attack tcp-syn enable
[RouterA] anti-attack tcp-syn car cir 15000

    # 使能UDP泛洪攻击防范,对特定端口发送的UDP报文直接丢弃。

    [RouterA] anti-attack udp-flood enable

    # 使能ICMP泛洪攻击防范,并限制ICMP泛洪报文接收的速率为15000bit/s。

    [RouterA] anti-attack icmp-flood enable
[RouterA] anti-attack icmp-flood car cir 15000

  4. 验证配置结果。

    # 配置完成后,可以通过执行命令display anti-attack statistics查看报文攻击防范的统计数据。

    [RouterA] display anti-attack statistics
Packets Statistic Information:                                                  
------------------------------------------------------------------------------- 
AntiAtkType  TotalPacketNum        DropPacketNum         PassPacketNum          
             (H)        (L)        (H)        (L)        (H)        (L)         
------------------------------------------------------------------------------- 
Abnormal      0          0          0          0          0          0          
Fragment      0          0          0          0          0          0          
Tcp-syn       0          34         0          28         0          6        
Udp-flood     0          0          0          0          0          0          
Icmp-flood    0          0          0          0          0          0          
-------------------------------------------------------------------------------

    由显示信息可知,RouterA上产生了TCP SYN报文的丢弃计数,表明攻击防范功能已经生效。

视频课程(部分示意)

实验拓扑(部分示意)

如果需要系统深入的学习网工知识

↓ 可点赞+关注后通过下列方式领取资料↓

(没有领取门槛,主要是一个个发邮件太麻烦了)

网工鹏哥
关注
专栏目录
华为路由器配置指南-安全(命令行).zip
12-01
华为路由器配置指南的安全主题主要涉及了多个方面,包括但不限于端口安全、网络访问控制(NAC)、公钥基础设施(PKI)、终端接入、直接接入认证(DAA)、访问控制列表(ACL)、攻击防范、流量抑制以及认证授权计费...
华为 ME60 V800R011C10 配置指南 - ME设备安全风险评估
04-02
华为ME60 V800R011C10配置指南 - ME设备安全风险评估】 ME设备,如华为的ME60多业务控制网关,在网络安全领域扮演着重要角色。然而,设备自身的脆弱性及网络环境的不安全性可能导致一系列的安全风险。本配置指南...
华为防火墙之攻击防范
知识分享,学习记录,技术人生,,经验心得交流,IT晋升之路,一起成长,一起进步。
06-15 953
而。
华为防火墙安全设置
qq_17202735的博客
04-22 7395
一、暴力破解发现 在4月1号查看防火墙日志中发现,有不明地址源在异地登录防火墙,多次尝试通过SSH登录并失败。 我立刻意识到防火墙可能遭到暴力破解,于是开始想解决办法 二、操作步骤 1、取消SSH防火墙公网访问管理 将防火墙http,https,ssh等关闭 2、更改防火墙web登录默认端口 (比如将防火墙web登录8443端口改为8088端口) 3、限制登录防火墙web的网段---可防止内网非管理网......
华为设备攻击防范配置命令
Tony_long7483的博客
08-20 725
华为设备攻击防范配置命令
华为网络设备攻击防范
2301_76769137的博客
06-13 540
畸形报文攻击是通过向交换机发送有缺陷的IP报文,使得交换机在处理这样的IP包时会出现崩溃,给交换机带来损失。畸形报文攻击主要有如下几种:没有IP载荷的泛洪攻击IGMP空报文攻击LAND攻击Smurf攻击TCP标志位非法攻击
华为设备配置攻击溯源命令
Tony_long7483的博客
08-20 1133
华为设备配置攻击溯源命令
华为无线设备配置攻击检测功能
Tony_long7483的博客
07-21 399
华为无线设备配置攻击检测功能
华为交换机,配置攻击防范示例
2301_77023501的博客
12-01 471
攻击防范是一种重要的网络安全特性。它通过分析上送CPU处理的报文的内容和行为,判断报文是否具有攻击特性,并配置对具有攻击特性的报文执行一定的防范措施。攻击防范主要分为畸形报文攻击防范、分片报文攻击防范和泛洪攻击防范
华为设备DHCP snooping配置
热门推荐
A soul tortured by desire
08-28 1万+
DHCP作用: 1.PC可以从指定DHCPServer获取到IP地址; 2.防止其他非法的DHCP Server影响网络中的主机; DHCP Snooping的基本原理: 开启了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从开启了DHCP Snooping的接口接收用户发来的DHCP报文时,会进行匹配检查,能够有效防范非法用户的攻
华为 ME60 V800R010C10SPC500 配置指南 - ME设备安全风险评估
04-05
华为ME60 V800R010C10SPC500配置指南 - ME设备安全风险评估】是华为提供的一份详细的安全分析文档,旨在帮助用户识别和应对多业务控制网关(ME设备)面临的安全威胁。这份指南主要针对ME60设备,分析了多种安全...
项目管理-信息技术发展
GAVIN
10-04 712
对称加密:DES 3DES AES RC5 IEDA SM1 SM4。2)分类:PAN LAN MAN WAN 公用网 专用网。4)数据结构模型 层次模型 网状模型 关系模型。1)存储 分类:DAS FAS NAS SAN。物联网(IoT) 感知层 网络层 应用层。8) 5G 高速率 低时延 大连接。设备安全 数据安全 内容安全 行为安全。4.信息安全 保密性 完整性 可用性。3)网络协议 语法 语义 时许。5)IEEE 802 规范。6)TCP/IP 协议。4)网络标准协议 7层。
使用socket编程来实现一个简单的C/S模型(TCP协议)
caiji0169的博客
10-02 1733
下图是基于TCP协议的客户端/服务器程序的一般流程:服务器调用socket()、bind()、listen()完成初始化后,调用accept()阻塞等待,处于监听端口的状态,客户端调用socket()初始化后,调用connect()发出SYN段并阻塞等待服务器应答,服务器应答一个SYN-ACK段,客户端收到后从connect()返回,同时应答一个ACK段,服务器收到后从accept()返回。数据传输的过程:建立连接后,TCP协议提供全双工的通信服务,但是一般的客户端/服务器程序的流程是由客户端主动发起请求,
Macbook ToDesk 无法连接网络
Primer5
10-04 318
检查登录项,看到后台运行项目是关闭状态,允许后台运行之后返回查看立马显示网络连接正常。网络连接的是 Wi-Fi,打开浏览器能跟正常浏览内容,说明 Wi-Fi 是正常的。检查防火墙是没有阻止ToDesk 的任何连接,说明防火墙也是正常的。
网络风暴产生原因、危害、预防和解决方法
最新发布
luotuo28的博客
10-09 225
网络风暴是指由于某种原因引发的网络中数据流量急剧增加,导致网络性能严重下降甚至瘫痪的现象。
从零开始实现RPC框架---------项目介绍及环境准备
qq_41934502的博客
10-02 466
从零开始实现rpc架构项目介绍
Netty 相比原生IO模型的优势
lssffy的博客
10-09 373
Java提供了多种I/O模型,每种模型都有其适用的场景和特点,随着网络应用需求的变化,I/O模型也在不断发展。阻塞I/O(BIO,Blocking I/O)传统的I/O模型,使用简单,但每次I/O操作都会阻塞线程。每个请求需要独立的线程来处理,这在并发请求较少时问题不大,但在高并发情况下,线程资源将成为瓶颈。非阻塞I/O(NIO,Non-Blocking I/O)引入了多路复用技术,一个线程可以处理多个连接,避免了BIO中每个连接占用一个线程的问题。通过Selector。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值