IPSG
IPSG是IP Source Guard的简称。IPSG可以防范针对源IP地址进行欺骗的攻击行为。
背景:随着网络规模越来越大,基于源IP的攻击也逐渐增多。一些攻击者利用欺骗的手段获取到网络资源,取得合法使用网络资源的权限,甚至造成被欺骗者无法访问网络,或者信息泄露。IPSG针对基于源IP的攻击提供了一种防御机制,可以有效的防止基于源地址欺骗的网络攻击行为。
随着网络规模越来越大,基于源IP的攻击也逐渐增多。一些攻击者利用欺骗的手段获取到网络资源,取得合法使用网络资源的权限,甚至造成被欺骗者无法访问网络,或者信息泄露。IPSG针对基于源IP的攻击提供了一种防御机制,可以有效的防止基于源地址欺骗的网络攻击行为。
(可选)
配置IP报文检查告警功能
背景:配置了IP报文检查告警功能后,当丢弃的IP报文超过告警阈值时,会产生告警提醒用户。
执行命令system-view,进入系统视图。
执行命令interface interface-type interface-number,进入接口视图。
执行命令ip source check user-bind alarm enable,使能IP报文检查告警功能。
缺省情况下,没有使能IP报文检查告警功能。
执行命令ip source check user-bind alarm threshold threshold-value,配置IP报文检查告警阈值。
缺省情况下,IP报文检查告警阈值为100
配置丢弃源IP地址与目的IP地址相同的IP报文
背景:通常情况下,源IP地址与目的IP地址相同的IP报文可以被正常转发。当管理员判断该类型的IP报文为攻击报文时(比如流量过大),可以配置丢弃该类型IP报文的功能。
执行命令system-view,进入系统视图。
执行命令ip anti-attack source-ip equals destination-ip drop { all | slot slot-id },开启丢弃源IP地址与目的IP地址相同的IP报文的功能。
仅S5700EI支持{ all | slot slot-id }参数,其他产品型号均不支持该参数。
缺省情况下,设备不丢弃源IP地址与目的IP地址相同的IP报文。
配置绑定表
绑定表示IPSG进行IP报文检查的基础,分为静态和动态。