华为NE40黑名单与全局策略

最新推荐文章于 2024-05-09 16:30:56 发布
最新推荐文章于 2024-05-09 16:30:56 发布
阅读量310 收藏
点赞数
文章标签: 网络 运维
原文链接:https://yq.aliyun.com/articles/520475
版权

    据运维同事反馈,华为NE40的黑名单在实际配置中没有生效。恰巧,公司近日又购置了一批NE40设备。因此,黑名单这个功能和一些需要测试的功能一同测试了下。


黑名单

配置黑名单,将不安全的报文依据ACL规则加入到黑名单中,以便后续对其提供较小的带宽。

如果用户认为某些IP的报文不应该被上送到CPU,或者认定某些报文是非法报文,可以通过设置ACL规则将其加入到黑名单中,将之丢弃。黑名单中的用户都需要手动配置,没有缺省用户。

基础配置

1、配置黑名单

wKioL1mSsUOwMzDIAAAbbw17d4g990.png

wKioL1mSsajz-TooAAATrOzzHVM828.png

2、调用策略

wKioL1mSsguSH548AAAQ_5ycBOU178.png

测试过程

1、ping测试

测试过程中发现,无论是否调用cpu-defend-policy,都能ping通。

wKioL1mSsrGxAKmqAAAzNs6E3BU769.png

查阅文档,发现板卡自带icmp快回功能,也就是说板卡处理了icmp请求,没有提交cpu处理,因此,测试结果都是ping通的。

板卡下关闭icmp快回功能后,再次测试,无法正常ping通。

wKioL1mSsz7Q86hfAAAcMok041Q822.png


2、telnet测试

使用telnet测试,调用黑名单后,效果如下图所示。

wKioL1mSs-XjDZZiAAAPLwwzrNI749.png-wh_50

关闭tcpsyn-flood,重新调用,效果如下图所示。

wKiom1mStIKQVm3jAAATPzypjfg776.png

查看tcp session,如下图所示。

wKiom1mStMqzeJA2AAA-SIPybNg066.png

此时抓包发现已经建立了三次握手,且在不断的TCP重传。


取消黑名单策略,能够正常访问了。

wKioL1mStQriSW22AAAleGwpWHI653.png

查看tcp session,如下图所示。

wKiom1mStTThsaHyAABI-hPzUlQ888.png


猜测是板卡处理三次握手,之后提交cpu处理。由于黑名单,板卡不上传cpu处理,cpu不知道已经建立了连接,所以tcp status看不见。也就是说,其实设备已经和目标建立了TCP连接,只是我们看不到。


全局策略

和普通的CBQ一样,不同的是,全局CBQ能够作用在设备所有的接口上。

配置过程

wKiom1mSuAHx2VdOAAA4Wm4L-yg564.png


测试结果

测试时,发现无论是否开启icmp快回,都无法ping通。这是因为策略是下发到板卡的,转发平面已经处理完了。


总结:通过以上测试,我们可以发现全局策略的方式在访问控制方面比黑名单更彻底,也更安全。因为全局策略作用在转发平面,而黑名单作用在转发平面上传控制平面的时候。













本文转自Grodd51CTO博客,原文链接: http://blog.51cto.com/juispan/1956514 ,如需转载请自行联系原作者
weixin_33882443
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【新2023】华为OD机试 - 最优调度策略(Python)
梦想橡皮擦,专栏100例写作模式先行者,现象级专栏 《Python 爬虫 100 例》作者、《滚雪球学 Python 专栏》原创者
02-16 3452
最优调度策略 题目 在通信系统中有一个常见的问题是对用户进行不同策略的调度 会得到不同系统消耗的性能 假设由 N 个待串行用户,每个用户可以使用 A/B/C 三种不同的调度策略 不同的策略会消耗不同的系统资源 请你根据如下规则进行用户调度 并返回总的消耗资源数 规则是:相邻的用户不能使用相同的调度策略 例如: 第一个用户使用 A 策略 则第二个用户只能使用 B 和 C 策略 对单的用户而言,不同的调度策略对系统资源的消耗可以规划后抽象为数值 例如 某用户分别使用 ABC 策略的系统消耗,分别为 15 8 1
2024华为OD统一考试题库清单(持续收录中)以及考点说明
学Java,找哪吒
07-14 4万+
每一题都有详细的答题思路、详细的代码注释、样例测试,发现新题目,随时更新,全天CSDN在线答疑。
华为NE40E告警参考
04-11
本文档介绍了告警的解释、属性、参数、对系统的影响、可能的原因、处理步骤和参考信息。 本文档提供了完备的告警集,通过对告警的查询,有助于了解设备的运行情况,从而定位故障。
Quidway NE40策略路由的配置
weixin_34406086的博客
01-25 344
一、组网需求: 内部网络的主机通过一台NE40访问外部网络,NE40有两个出口,要求IP地址为10.163.151.3的主机访问外部网络时,下一跳地址为30.1.1.2。对其他主机则不作限制。 二、组网图: 略 三、配置步骤: 该配置案例适用于NE40 VRP3.1版本 # 定义流分类规则rule-map [Quidway] rule-map intervl...
华为防火墙黑白名单网址过滤设置
qq_17202735的博客
07-23 7508
项目背景现在有一个新项目,要求设置网站黑白名单,即vlan84这个网段只允许访问*.kuaidi100.之类的,其他的不允许;vlan85这个网段.youku.*等视频网段不能访问外,其他的都可以访问。
ssh脚本自动将IP加入华为USG6300防火墙黑名单
gai213的专栏
05-12 1111
1.从ip.txt文件中取出ip列表。2.将每一个ip设置到防火墙黑名单。3.使用expect自动登录防火墙。4.进入到防火墙系统视图。5.将IP加入到防火墙。6.查看IP黑名单列表。
防火墙默认黑名单
dadalan的专栏
06-03 1251
create table PFSysBlackList ( address text primary key  not null unique  , data integer default(0)  , origin text default(" ")); create table PFUserBlackList ( address text primary key  not null u
HarmonyOS从基础到实战-高性能华为在线答题元服务
热门推荐
一键难忘的博客
11-21 12万+
HarmonyOS从基础到实战-高性能华为在线答题元服务 在本文中,我们介绍了一个关于在线答题应用的项目,其中括项目结构和开发计划。项目主要分为主应用的Ability(entryability)、卡片的Ability(Entnyformability)、从云数据库导出的数据类型(Models)以及页面代码文件夹(Pages)等模块。使用了两个重要的配置文件,分别是agconnect-services.json和schema.json,用于连接serverless服务和云端配置信息。
AMD的cpu和Windows11系统下安装ensp,启动NE40E设备失败解决办法
lvshiliang123的博客
02-26 2791
ENSP模拟器,NE40E无法打开。提示“本cpu不支持硬件加速
华为综合测评攻略
MISAYAONE的博客
09-22 8万+
华为的综合测评是所有岗位都需要参加的环节,主要测试性格和职场态度。3.抗压能力强、不紧张、遇事阳光积极、工作和任务保证完成。2.不要固执偏激,要咨询别人的意见,有团队合作的精神。我必须了解底层原理才能更有效地学习。做事时我喜欢有新方法,新点子。我觉得人们信守承诺相当重要。我倾向于根据客观事实做决定。我做事广泛听取别人的意见。做事前我会征询大家的意见。我必须找到解决问题的办法。我需要了解论点背后的逻辑。我愿意花时间去帮助他人。我信守自己作出的承诺。我做事不喜欢半途而废。我喜欢提出独到的见解。
华为USG6570维护手册
10-13
华为USG6570维护手册,用于华为防火墙USG6570的维护用到的技术及命令
华为交换机S5500系列上,作黑白名单访问ACL的配置案例实操
danyth的博客
11-19 3374
华为交换机S5500系列上,作黑白名单访问ACL的配置案例实操 (1)第一步:定义规则(设置预计命中的条目,即:制作“滤芯”) acl number 3000 rule 0 permit tcp source 10.0.28.247 0 destination 10.0.20.20 0 destination-port eq 8081 rule 1 deny tcp destination 10.0.20.43 0 destination-port eq 8081 acl number 3001 rule
华为无线设备STA黑白名单配置命令
Tony_long7483的博客
07-24 1284
华为无线设备STA黑白名单配置命令
华为NE40策略路由配置
Disangezhu的博客
01-30 541
华为NE40路由策略配置流程
华为S5700交换机禁ping
qq_37797316的博客
04-17 1万+
限制终端到终端的ping acl number 3100 rule deny icmp traffic classifier 1 operator and if-match acl 3100 traffic behavior deny permit traffic policy icmp classifier 1 behavior deny interface GigabitEtherne...
华为设备配置CPU防攻击命令
Tony_long7483的博客
08-20 1831
华为设备配置CPU防攻击命令
fw域名白名单、黑名单、安全策略优先级
最新发布
qq_32390591的博客
05-09 1083
DNS过滤处理流程、DNS过滤和URL过滤的功能对比、DNS过滤的安全搜索处理流程、DNS过滤和URL过滤的安全搜索功能对比
学习笔记-无线的简单配置
weixin_42463871的博客
06-30 1632
某企业部署了WLAN基本业务实现移动 办公。为了保障网络的稳定和安全,预防 泛洪攻击和暴力破解PSK密钥攻击,可以 配置攻击检测和动态黑名单。通过将检测 到的攻击设备加入动态黑名单,丢弃攻击 设备的报文,阻止攻击行为。 具体拓扑如下图所示,本次实验操作 选用ENSP模拟器(AC设备型号为AC6605, AP设备型号为AP6050DN),AC作为DHCP 为AP和STA分配地址) 配置AC,配置管理和业务VLAN的IP地址并开启DHCP。AC作为DHCP服务器,为STA 和AP分配IP地址 sy...
华为交换机acl的配置
qq_37797316的博客
01-16 3万+
一、说明: 1、华为交换机的ACL规则没变,但下发需要通过流策略traffic policy下发; 2、流策略括相应的流分类traffic classifier,流行为traffic behavior; 3、流分类traffic classifier用于绑定相应的ACL规则,流行为traffic behavior决定匹配的流分类是否permit或deny; 4、ACL规则里只需配置匹配的流,使...
华为NE80E与NE40E硬件故障排查手册
本手册详细阐述了针对华为NE80E与NE40E路由器的硬件故障采集与排查方法,旨在帮助网络管理员和技术支持人员高效诊断并解决设备硬件问题。手册由华为技术有限公司制作并享有版权,对文档内容的使用有严格的限制。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值