USG5300/5500攻击防范配置指导

最新推荐文章于 2022-12-26 23:36:19 发布
最新推荐文章于 2022-12-26 23:36:19 发布
阅读量2.4k 收藏 2
点赞数
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ynxiaofan/article/details/47101095
版权

各种攻击防范使用注意事项

  • tcp-illeage-session

    现网一般不建议开启。如果开启,firewall defend tcp-illeage-session packet INTEGER<1-255>不建议修改,保留1这个默认值。因为很多协议都是短连接,如http,三次握手成功后,可能只通信几个报文,这样如果通信的数据报文个数小于配置的值,则会出现误报;firewall defend tcp-illeage-session packet 1 interval INTEGER<1-240>可以修改时间间隔,如30秒(默认值为15秒)。如果是NAT访问的场景,则出现空闲超时会话超过阈值的可能性较大,所以对于这种场景不建议开启黑名单。

  • dns-flood

    只有在将USG5300/5500部署在DNS服务器前,专门用于保护DNS服务器时,并且DNS服务器支持基于TCP的DNS请求,才有必要开启,否则不需要开启。

  • ip-spoof

    在配置了策略路由或多出接口的场景下,容易出现到达某个报文源地址的接口与报文入接口不一致的情况,从而满足ip-spoof攻击检测的条件,导致误报,这种场景下必须关闭ip-spoof攻击防范。

    透明模式下由于无法查路由,ip-spoof无效,所以透明模式下没必要开启ip-spoof攻击防范。

  • smurf

    透明模式下由于无法查路由,smurf无效,所以透明模式下没必要开启smurf攻击防范。

  • teardrop

    在GRE场景下(包括GRE报文穿越USG5300/5500和USG5300/5500作为GRE端点等)以及GTP报文穿越USG5300/5500时,建议关闭teardrop攻击防范,因为GRE报文或GTP报文如果在网络中分片,则分片报文可能会满足teardrop攻击检测条件而被丢弃,导致业务异常。

  • ip-sweep

    当防火墙内网存在NAT或代理等场景时,会出现同一个IP地址针对不同的目的地址的大量访问,容易达到ip-sweep的条件,从而影响正常业务。一般不建议开启。

推荐配置 
firewall defend land enable
firewall defend smurf enable                                                   
firewall defend source-route enable                                            
firewall defend route-record enable                                            
firewall defend tracert enable                                                 
firewall defend time-stamp enable                                              
firewall defend ping-of-death enable                                           
firewall defend ip-fragment enable                                             
firewall defend syn-flood enable                                               
firewall defend udp-flood enable                                               
firewall defend icmp-flood enable                                              
firewall defend syn-flood interface GigabitEthernetX/X/X max-rate 16000    //指针对需要保护的入接口设置SYN报文的最大速率为16000PPS。
推荐配置说明

防范类型

说明

firewall defend land enable

针对源地址和目的地址相同的TCP报文或源地址是环回地址的报文进行丢包,并报攻击日志。

firewall defend smurf enable

针对目的地址是出接口的广播地址的报文进行丢包,并报攻击日志。

firewall defend source-route enable

针对携带IPOPT_SSRR(严格的源站路由选项)和IPOPT_LSRR(宽松的源站路由选项)IP选项的报文进行丢包,并报攻击日志。

firewall defend route-record enable

针对携带IPOPT_RR(IP记录路由选项)IP选项的报文进行丢包,并报攻击日志。

firewall defend tracert enable

针对ICMP超时报文(ICMP TYPE为11,且CODE不为1)和端口不可达报文(ICMP TYPE为3,CODE为3)进行丢包,并报攻击日志。

firewall defend time-stamp enable

针对携带IPOPT_TIMESTAMP(IP时间戳选项)IP选项的报文进行丢包,并报攻击日志。

firewall defend ping-of-death enable

针对分片偏移+该IP报文长度-IP头首部长度大于65515的报文进行丢包,并报攻击日志。

firewall defend ip-fragment enable

针对满足DF(不可分片标记)=1 && MF(还有后续片标记)=1、DF=1 && Fragment Offset(分片偏移) != 0、DF=0 && Fragment Offset + IP报文长度 > 65535条件的报文进行丢包,并报攻击日志。

firewall defend syn-flood enable

如果入接口收到的SYN报文的速率大于max-rate值(默认为1000PPS),就启用TCP代理或反向源探测进行防御(默认使用TCP代理),并报攻击日志。

firewall defend udp-flood enable

如果入接口收到的UDP新建的速率大于max-rate值(默认500000cps),就开始进行限流,并报攻击日志。

firewall defend icmp-flood enable

如果入接口收到的ICMP新建的速率大于max-rate值(默认500000cps),就开始进行限流,并报攻击日志。如果针对一条ICMP会话的首包方向的ICMP报文速率超过base-session max-rate值(默认255pps)时开始做限流,并报攻击日志。

firewall defend syn-flood interface GigabitEthernetX/X/X max-rate 16000

由于只开启firewall defend syn-flood enable时max-rate值很小,网络中很容易超过这个值,所以需要修改为16000,以避免正常业务流量也会报攻日志。


ynxiaofan
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解USG5500防火墙基础配置
qq_45637985的博客
11-28 7430
1、本实验中的防火墙为USG5500系列防火墙;2、 防火墙三个接口的IP地址按照上图所示进行配置;将这三个接口划入相应的安全域;3、配置防火墙的域间包过滤策略,使得PC1能够主动访问PC2,但是PC2无法主动访问PC1;PC2能够主动访问WebServer的WEB服务。
ENSP实验十二——USG5500策略配置命令验证
qq_21230015的博客
12-15 7076
一、设备清单及目标 1,设备 3台PC,1台USG5500。 2,目标 配置并验证USG5500一些策略配置命令。 二、拓扑图 三、配置 1,PC PC1作为trust区域 IP/掩码 1.1.1.1/24,GW1.1.1.254 PC2作为untrust区域 IP/掩码 2.2.2.2/24,GW2.2.2.254 PC3作为dmz区域 IP/掩码3.3.3.3/24,GW3.3.3.254 2,防火墙 要求一: trust可以访问dmz和untrust,untru
HCIP | 华为防火墙配置
最新发布
朔方鸟的博客
12-26 4520
近日准备某场比赛,涉及到了有关防火墙的知识点,由于之前没有学习过,所以整理如下,主要作笔记用,各位可以作为参考;因为主要用于比赛应急,没有对原理进行深究。
H3C-F100-A 基本配置
weixin_34270606的博客
12-06 616
#sysname H3C#firewall packet-filter enablefirewall packet-filter default permit#insulate#nat address-group 1 213.192.15.34 213.192.15.34nat address-group 2 213.192.15.35 213.192.15.35...
ensp配置USG5500防火墙
网工猴的博客
04-14 8218
ensp配置USG5500防火墙 FW1:首先实现内网PC1可以访问到路由器。需要的配置配置接口地址,安全策略放行,NAT转换,默认路由指到下一跳 [FW1]dis cur 13:20:19 2022/04/04 interface GigabitEthernet0/0/0 alias GE0/MGMT ip address 192.168.1.254 255.255.255.0 service-manage enable service-manage http permit service-man
华赛USG5300/5500系列产品通用文档(V1.07)
11-14
USG5300/5500系列产品通用文档(V1.07) 以下文档为适用于USG5300/5500版本的通用文档,文档中可能包含当前产品不支持的特性,具体特性支持情况请查阅《特性支持》。 特性支持 本文档提供USG系列产品的特性支持情况...
华为USG5500防火墙配置实验一.pdf
11-18
华为USG5500防火墙配置实验一.pdf
华为USG5300防火墙简要命令行配置手册
04-13
华为USG5300防火墙简要命令行配置使用手册(含实例) 防火墙默认的管理接口为g0/0/0,默认的ip地址为192.168.0.1/24,默认g0/0/0接口开启了dhcp server,默认用户名为admin,默认密码为Admin@123(4分下载)
华赛防火墙USG2200&5500web配置方式
12-04
华赛防火墙USG2200&5500web配置方式
华为USG典型配置案例-命令行方式 04
01-28
USG2100&2200&5100 BSR&HSR & USG2000&5000 V300R001 典型配置案例-命令行方式
USG5000配置入门
05-25
华为赛门铁克硬件防火墙USG5000配置入门
华为防火墙基础配置
weixin_34392435的博客
04-27 1907
一、配置安全策略配置网络(保证网络连通性)第一步、系统视图下配置<USG6500>dis ver2018-05-26 12:34:56.580 Huawei Versatile Routing Platform SoftwareVRP (R) Software, Version 5.170 (USG6500 V500R001C60SPC300)Copyri...
华为防火墙攻击防范攻击分类
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
08-10 821
** 设备** 华为USG6311E VRP ® Software, Version 5.170 (USG6300E V600R007C00SPC200) V200R007C00SPC091
华为USG5500和USG6000的一些配置命令
热门推荐
不光要学,知识要能说出口
08-20 4万+
一、默认配置 管理接口:g0/0/0,而且默认开启了dhcp sever ip地址:192.168.0.1/24 用户名:admin 密码:Admin@123(注意大小写) 二、端口和区域配置 进入端口视图 interface GigabitEthernet 0/0/1 配置ip地址 ip address 192.168.1.1 255.255.255.0 开启端口
USG2000/5000 透明模式
邹邹s的博客
09-24 5414
USG接口工作在二层模式(透明模式) USG采用此组网接入上下行网络,无须改变原有网络的拓扑结构,也不需要重新分配额外的业务地址。 组网需求 USG作为安全设备被部署在业务节点上,上行设备是路由器,下行设备为交换机,业务接口工作在交换模式下。 组网图如图1所示,网络规划如下: ·     内部网络的网段地址为192.168.1.0/24,与USG的GigabitEt
华为USG5120配置透明防火墙
奇怪的老司机
03-31 8903
华为USG 5120防火墙默认工作在路由模式,如需在网络架构不能变动的网络环境中部署,可选择透明模式。使用透明模式需要至少三个物理接口。具体操作如下:1,登录防火墙。G0/0/0接口下有默认IP192.168.0.1,可将电脑网卡改为自动获取地址后进行配置,也可通过console修改IP后配置。2,在网络–>接口–>接口中,选择某个物理接口,指定安全域,这里以G0/0/2作为trus...
防火墙透明模式
weixin_34162629的博客
12-14 4071
1,特性介绍   防火墙作为一实际存在的物理设备,其本身也起到路由的作用,所以在为用户安装防火墙时,就需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表,以适应用户的实际需要,这样就增加了工作的复杂程度和难度。   但如果防火墙采用了透明模式,即采用无IP方式运行,用户将不必重新设定和修改路由,防火墙就可以直接安装和放置到网络中使用,如交换机一样不需要设置IP地址!  透明模式的防火...
ENSP实验十三——USG5500的基本配置(一)
qq_21230015的博客
12-16 8343
一、设备清单及目标 1,设备 10台PC,4台交换机S5700,2台路由器AR2220,2台服务器server,1台防火墙USG5500。 2,目标 ①Trust区域各个主机可以互联 ②trust区域内各个主机可以访问dmz ③trust区域内192.168.2.0/24网段不能访问外网untrust区域,.1.0/24可以 ④开启域名服务器使trust内192.168.1.0/24可以直接ping域名。 二、拓扑图 三、配置 1,PC PC1:IP/掩码 192.168.1..
华为USG5500统一安全网关V200R001经典配置案例详解
总结来说,本案例提供了USG5500在实际环境中的实战应用,涵盖了网络安全策略、访问控制、网络地址转换和流量路由等多个核心功能,为IT管理员在配置统一安全网关时提供了实用的参考和指导。对于需要部署和维护此类...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值