cisco 防止攻击配置.pdf

防止攻击配置 目录 目 录 第 1 章 防攻击介绍 1 1.1 Filter概述 1 1.2 Filter的模式 1 第 2 章 防止攻击配置 3 2.1 防止攻击的配置任务列表 3 2.2 防止攻击配置 3 2.2.1 配置攻击检测参数 3 2.2.2 配置攻击检测类型 4 2.2.3 启用防止攻击功能 4 2.2.4 查看当前防止攻击功能的工作情况 5 第 3 章 防止攻击配置举例 6 3.1 使用Filter ARP保护局域网 6 3.2 使用Filter IP保护三层网络 6 - I - 防止攻击配置 1 第 章 防攻击介绍 1.1 Filter概述 为保证网络带宽的合理利用，确保网络用户以及设备自身的正常工作，博达以太网交换 机系列产品提供了防攻击功能（Filter），用于对恶意流量进行检测和抑制。 Filter 能够识别交换机端口上接收的报文，并按照报文类型进行统计。针对目前常见的攻 Filter ARP IGMP IP 击形式， 可以统计出一段时间内某个主机发送的 、 或者 报文的数目， 一旦数目超限，设备便不再转发该主机的报文。 Filter 通过阻塞源地址的方式限制来自特定主机的报文。对于 ARP 攻击，Filter 阻塞源 MAC IP Ping TCP/UDP Filter 地址；而对于 类型的攻击，比如 扫描和 端口扫描， 会阻塞 IP 源 地址。 1.2 Filter的模式 请注意： 博达以太网交换机软件2.0.2A 及之前版本，高端交换机软件4.0.2A 及之前版本，高端 交换机软件4.1.X 系列版本，不支持混合模式的Filter。 Filter 的模式决定了交换机如何限制已经确定的攻击源，有两种模式可以选择： 源地址定时阻塞（Raw）： Raw模式下，从确定攻击源时开始，交换机会在预先设定的阻塞时间（block-time ）内 丢弃来自攻击源的报文。超过阻塞时间之后，自动解除对攻击源地址的限制，并启动新 一轮统计。 Raw 模式严格按照源地址阻塞报文。比如，在攻击源的 MAC 地址被阻塞之后，所有源 MAC 地址等于该地址的报文，无论ARP 、ICMP、DHCP 或其它类型，都会被丢弃。 源地址阻塞加轮