锐捷RSR系列路由器_安全_防火墙

目录

01  设备防攻击配置案例

02  设备防攻击常见问题

03  ip session filter 功能常见问题

04  网络入口过滤功能常见问题

05  URPF（单播反向路径查找）功能常见问题

---

 

01  设备防攻击配置案例

功能介绍：

原理：

本地防攻击是对送CPU处理的各种类型报文进行限速处理，以达到防止大量报文送CPU处理，避免CPU高从而影响整机数据转发的一种报文限速技术。

使用原则：

由于是针对报文类型限速，就有可能把正常的报文也限速，从而影响正常报文的转发（比如正常的分片报文需要送CPU处理），所以，通常情况下，在干净的网络环境中不推荐开启本功能通常情况下，在干净的网络环境中不推荐开启本功能。（除RSR77设备，其余默认关闭防攻击功能）

命令解析：

control-plane

!

control-plane protocol

 no acpp//协议平面总的限速

!

control-plane manage

 no port-filter  //过滤本地未开启的TCP、UDP服务

 no arp-car    //arp限速

 no acpp//管理平面总的限速

!

control-plane data

 no glean-car   //匹配直连路由但未解析IP的报文

 no acpp//数据平面总的限速

使用场景：

1、存在大量异常送CPU处理报文，导致CPU高的场景。导致CPU高的可能情况有：

1） 分片报文很多，分片报文需要CPU重组：用data平面的acpp控制。

2）无法路由的报文，CPU需要处理并回复路由不可达：用data平面的glean-car控制

3）针对本地IP地址的攻击：用data平面的acpp控制

等等。。

2、已经可预见到网络中特定报文大小，那么可以配置一个阀值，防止异常攻击发生。比如，可预见每秒正常ARP报文会有10个，那么可以配置：

control-plane manage

port-filter

 arp-car 10

 no acpp

推荐配置：

如果要实施本地防攻击，无特殊要求情况下，推荐以下配置：

control-plane

!

control-plane protocol

acpp bw-rate 300 bw-burst-rate 600

!

control-plane manage

port-filter

 arp-car 10

 acpp bw-rate 300 bw-burst-rate 600

!

control-plane data

glean-car 5

 acpp bw-rate 300 bw-burst-rate 600

---

02  设备防攻击常见问题

1、什么是设备的防攻击功能

当处于复杂网络环境中的设备遭受到网络攻击或者大负荷流量时，经常会出现如下的一些情况：                                                       

1）非常高的CPU利用率；                                           

2）CLI 响应缓慢或者停滞；                                          

3）链路或网络控制协议报文丢失，最后导致链路或网络抖动；            

4）处理带宽被非法报文占用，导致重要的协议报文无法得到处理。

当出现以上情况时，就需要配置设备的防攻击功能。这些情况的产生一方面是由于控制平面和转发平面的处理能力的差异，另一方面是由于缺乏对控制层面的保护。设备防攻击模块可以对需要进入控制层面处理的数据报文进行分类，过滤，限速，从而达到保护控制层面的关键资源的目的。 

2、设备防攻击的工作原理

从图中可以看到，设备防攻击由众多子模块构成：

Classify：对上送控制平面的数据流量进行识别和分类。分成协议控制类 （protocol），本地管理类(manage)，业务传输类(data)这三类，这样方便后续

子模块有区分地进行限速和过滤。

子接口：所有上送控制平面的流量被Classify分成三大类，该三大类分别对应如下三个子接口。三个子接口及传递的流定义如下：

protocol sub-interface：所有送往本地的协议控制流。例如链路层协议的协议报文，路由协议报文等。

manage sub-interface：所有送往本地的管理协议流。例如ftp，telnet，snmp等，另外arp，icmp也属于这一类。

data sub-interface：所有快转平面无法处理的数据流都属于这一类。

注意：

设备防攻击中的子接口术语不同于设备中传统意义上的子接口。它仅仅代表了一条传输某一类上送控制层面的流量的内部通路，这样方便针对这些的流量进行防攻击的配置和处理。

SCPP （Segregate Control Plane Protection）：分类控制平面保护。根据用户定制的策略，针对三个子接口内的流量，进行更细粒度的限速和保护。

Glean-CAR：针对快转平面匹配到REF Glean 邻接的流量（匹配到直连路由，但没有找到匹配目的IP 的主机路由，需要上送控制平面来进行目的ip 的解析）进行限速。

ARP-CAR：因为快转平面无法完成ARP 报文的处理，需要上到控制平面来处理； ARP-CAR 可以限制每个邻居的ARP 报文速率。

Port-Filter：针对到本地的TCP 和UDP 报文，检查本地应用是否打开了对应的端口，在进入控制平面前就过滤掉发送到本地而本地又未启用的网络服务的流量。

MPP （Management Plane Protection）：管理平面保护。允许管理员指定一个或多个接口为带内管理接口（既允许接收管理报文，又能转发正常业务的接口）。启用了MPP 功能以后，只有指定的带内管理接口才允许接收指定协议的管理报文。但业务报文，协议报文，以及ARP 等报文不受影响。

ACPP（AggregateControl PlaneProtection）：集中控制平面保护，针对classify的分类结果，应用缺省的或用户定制的速率来分别对protocol sub-interface，manage sub-interface和data sub-interface上的流量进行限速，确保其流量不会超出控制平面的处理能力，从而保护控制平面。

3、设备的防攻击功能能够防范哪些类型的攻击

1）协议层面的（protocol sub-interface）：所有送往本地的协议控制流。例如链路层协议的协议报文，路由协议报文等。

2）管理层面的（manage sub-interface）：所有送往本地的管理协议流。例如ftp，telnet，snmp等，另外arp，icmp也属于这一类。

3）数据层面的（data sub-interface）：所有快转平面无法处理的数据流都属于这一类。

4、如何配置设备的防攻击功能

一般情况下，启用防攻击的默认配置即可，配置方式如下：

Ruijie#config terminal

Ruijie(config)#control-plane

Ruijie(config-cp)#ef-rnfp enable

详细各防攻击子功能模块的配置，请参考配置手册中“安全配置指南-设备防攻击配置”部分。

5、如何查看设备防攻击的配置及统计信息

通过show ef-rnfp all命令查看。

6、其它一些常用的设备防攻击配置

1）在有NAT的环境下，将NAT POOL地址池中的地址丢至null 0。如：ip route 211.111.111.0 255.255.255.128 null 0

     由于nat pool中的地址一般都为公网地址，容易受到攻击；当大量的针对nat pool中的地址的攻击报文送至设备时，该类报文需要上送设备CPU进程处理并且寻找相应的转发信息。配置了至null 0的路由后，针对该类地址的非法流量直接被丢进null 0，而正常的流量不受影响。

2）在外网接口应用ACL，只显式放通需要主动访问进来的流量，其它流量全部deny。这样可以防止外部攻击流量对设备的影响。如：

ip access-list extended 100

 10 permit tcp any any eq telnet

 20 permit tcp any host 211.111.111.111 eq www

注：应用该功能前需摸清设备及网络的应用情况，在ACL中显式放通该类流量。否则可能导致设备或内网的某些应用异常（如映射到公网的www服务等）。

3）NAT环境下关闭mms的转换功能：MMS (Microsoft Media Server Protocol)为微软媒体服务器协议，当前网络环境下几乎不会用到该协议，但有很多针对该协议的攻击病毒，因此nat环境下建议关闭该协议的转换功能。

    no ip nat translation mms

4）配置网络入口过滤或URPF功能（详细配置参考“防火墙&设备防攻击--防火墙功能”章节）来过滤伪造源地址的攻击流量。

5）配置ACL过滤常见病毒端口流量：

access-list 101 deny tcp any any eq 135

access-list 101 deny tcp any any eq 139

access-list 101 deny tcp any any eq 389

access-list 101 deny tcp an any eq 420

access-list 101 deny tcp any any eq 445

access-list 101 deny tcp any any eq 449

access-list 101 deny tcp any any eq 593

access-list 101 deny tcp any any eq 1025

access-list 101 deny tcp any any eq 1092

access-list 101 deny tcp any any eq 1434

access-list 101 deny tcp any any eq 2745

access-list 101 deny tcp any any eq 3127

access-list 101 deny tcp any any eq 4444

access-list 101 deny tcp any any eq 5354

access-list 101 deny tcp any any eq 5554

access-list 101 deny tcp any any eq 5555

access-list 101 deny tcp any any eq 5800

access-list 101 deny tcp any any eq 5900

access-list 101 deny tcp any any eq 6129

access-list 101 deny tcp any any eq 6667

access-list 101 deny tcp any any eq 9604

access-list 101 deny tcp any any eq 9995

access-list 101 deny tcp any any eq 9996

access-list 101 deny tcp any any eq 16881

access-list 101 deny tcp any any eq 20168

access-list 101 deny udp any any eq 135

access-list 101 deny udp any any eq netbios-ns

access-list 101 deny udp any any eq netbios-dgm

access-list 101 deny udp any any eq 389

access-list 101 deny udp any any eq 445

access-list 101 deny udp any any eq 449

access-list 101 deny udp any any eq 1068

access-list 101 deny udp any any eq 1092

access-list 101 deny udp any any eq 1433

access-list 101 deny udp any any eq 1434

access-list 101 deny udp any any eq 5300

access-list 101 deny udp any any eq 5554

access-list 101 deny udp any any eq 5800

access-list 101 deny udp any any eq 6667

access-list 101 deny udp any any eq 7995

access-list 101 deny udp any any eq 9800

access-list 101 deny udp any any eq 16881

access-list 101 deny udp any any eq 20168

access-list 101 deny udp any any eq tftp

access-list 101 deny udp any any eq netbios-ss

access-list 101 permit ip any any

---

03  ip session filter 功能常见问题

1、什么是ip session filter功能

      我们的RSR 在默认情况下，是先建立会话流表再去匹配置 ACL，也就是说,就算在接口配置 deny ip any any  的 ACL，这个时候一个数据包来到接口后，还会先建立一条会话，再去匹配 ACL 被丢弃。那么这种特性就会有一个问题，如果遇到大量的伪源 IP 攻击，或者是端口扫描时，虽然有 ACL 拒绝了这种报文的转发，但是还是会把 流表给占满，而导致正常的数据无法建流而被丢弃。ip session filter 就是为解决以上问题而开发的，ip session filter 的原理就是，在建立流表前去匹配调用的 ACL，如果被 ACL 拒绝就不会再去建流了。

2、 ip session filter功能的特点

        Ip  session  filter  是全局生效的，并且设备要开启ip ref 开启此功能后不管从那个接口进入的数据，都会匹配到被调用的 ACL。所以在配置此策略的 ACL 时一定要注意，一是放通内外网管理 的流量；二是放通内网用户到外网的数据；三是放通外网的用户访问内网流量，一般情况是服务器所映射的公网 IP。

3、 如何配置ip session filter

      配置示例：

              ip access-list extended 199

              50 permit tcp any host 61.157.137.6 eq telnet                   //允许telnet设备的流量

              70 permit icmp any host 61.157.137.6                               //允许 ping 设备的流量

              120 deny ip 10.0.0.0 0.255.255.255 host 61.157.137.6      //过滤到目标的网络

              140 permit ip 10.0.0.0 0.255.255.255 any                        //允许上网的力量

              150 permit tcp any host 61.157.144.49 eq ftp              //允许外部访问内部服务器流量

              ip session filter 199  //调用acl

---

04  网络入口过滤功能常见问题

1、什么是网络入口过滤

很多的DoS/DDoS攻击都是采用假冒的源IP地址， 网络入口过滤(Network Ingress Filtering, RFC2827)的目的就是防御这种攻击，或者限制其范围和降低攻击的机会。它通过在数据包进入网络时，检查其所声称的源 IP 地址是否满足路由通告的网络前缀，如果不是，将其过滤掉。在网络入口处的路由器上实施这种过滤机制，对于阻止不符合进入规则的假冒 IP攻击非常有效。不过，对来自合法 IP地址前缀的假冒攻击将完全没有作用。

2、如何配置网络入口过滤

缺省情况下网络入口过滤功能是关闭的，如果要启用网络入口过滤功能，请在接口模式下使用 ip ingress-filter 命令，如：

Ruijie(config-if)# ip ingress-filter log

上述命令将启用接口上的网络入口过滤功能，同时开启了网络入口过滤的日志功能；

ip ingress-filter 命令的 no形式可以禁止接口上的网络入口过滤功能，如：

Ruijie(config-if)# no ip ingress-filter log

上述命令将禁止接口上的网络入口过滤功能。

3、如何查看网络入口过滤信息

若要查看当前的 ip-mac 地址绑定记录或统计信息，请使用 show ip ingress-filter命令，如：

Ruijie(config)# show ip ingress-filter 

Firewall Network-ingress-filter is enable, blocked 0

flowsInterface FastEthernet 1/0: log is on, blocked 0 flows 

通过上述命令可以查看网络入口过滤功能是否启用，阻断了多少条非法的流等信息。

---

05  URPF（单播反向路径查找）功能常见问题

1、什么是URPF

URPF(Unicast Reverse Path Forwarding，单播反向路径查找)基于如下一个事实：网络设备收到的每一个正常通信报文，其应答报文在该网络设备上都应该能够正确地选路，这样应答报文才能到达该连接的发起方，也才能够正常的通信。为了模拟应答报文的选路过程，URPF 根据报文的源 IP 进行选路，根据选路结果判断回复报文是否能够正确地选路。如果不能够正确地选路，则丢弃该报文。 如下图所示，内网 1.0.0.0/8的 PC冒充服务器 202.11.10.2 向外发送报文，这样源IP 报文的回应报文最终会路由到服务器 B，对服务器 B 形成攻击。如果 Router A应用 URPF，提取源 IP：202.11.10.2 进行选路判断，这样的攻击报文将会被丢弃。 

因此，URPF 能够一定程度地阻断源地址欺骗攻击，减少网络被攻击的风险。其应用的范围越广，防护的效应也越明显。

2、网络入口过滤与URPF有什么区别
两者都能够对数据流源地址的合法性进行检测。

区别：

1）URPF增加在默认路由中进行反向查找的功能，而网络入口过滤不在默认路由中查找。

2）URPF增加在反向检测非法后进行ACL匹配的功能，而网络入口过滤功能检测到源地址非法的流量后直接丢弃。

3、什么是严格URPF，什么是宽松URPF

严格URPF

根据报文的源 IP 进行反向路由查找，报文的源端口必须属于选路的出口集合中。如果选路出口只有一个，报文的源端口必须等于该出口，即要求应答报文选路必须从原路返回。缺省在非默认路由中反向查找。

宽松URPF

根据报文的源 IP 进行反向路由查找，只要选路成功即可。这种情况下应答报文不一定沿原路返回，应用于有多条路径到达同一 PC 的情况。缺省在非默认路由中反向查找。

4、严格URPF配置案例

Ruijie#configure terminal  进入全局模式

Ruijie(config)#interface fastEthernet 1/0

进入接口模式，进入接口Fa1/0

Ruijie(config-if)# ip verify unicast source reachable-via rx [allow-default | acl_num]

在Fa1/0上配置严格 URPF，可选项有匹配默认路由和反向查找失败匹配ACL。ACL 的范围为1-199及1300–2699。

5、宽松URPF配置案例

Ruijie#configure terminal  进入全局模式

Ruijie(config)#interface fastEthernet 1/0

进入接口模式，进入接口 Fa1/0

Ruijie(config-if)# ip verify unicast source reachable-via any [allow-default | acl_num]

在 Fa1/0上配置宽松URPF，可选项有匹配默认路由和反向查找失败匹配ACL。ACL的范围为1-199及1300–2699。

6、严格URPF+ACL配置案例

Ruijie(config)#ip access-list standard 10

Ruijie(config-std-nacl)#permit 10.0.0.0 0.0.0.255

Ruijie(config-std-nacl)#exit

Ruijie(config)#interface fastEthernet 1/0

Ruijie(config-if)# ip verify unicast source reachable-via rx 10

在Fa1/0上配置严格URPF，不匹配默认路由，并对反向查找失败的数据进行匹配ACL。

流量经URPF检测失败后，将再次送至ACL10进行匹配；因此源地址为10.0.0.0/24的流量就算URPF匹配失败也可以正常转发。