路由产品线 >> 防火墙&设备防攻击 >> 设备防攻击 >>

1、什么是设备的防攻击功能

当处于复杂网络环境中的设备遭受到网络攻击或者大负荷流量时,经常会出现如下的一些情况:                                                       

1)非常高的CPU利用率;                                           

2)CLI 响应缓慢或者停滞;                                          

3)链路或网络控制协议报文丢失,最后导致链路或网络抖动;            

4)处理带宽被非法报文占用,导致重要的协议报文无法得到处理。

当出现以上情况时,就需要配置设备的防攻击功能。这些情况的产生一方面是由于控制平面和转发平面的处理能力的差异,另一方面是由于缺乏对控制层面的保护。设备防攻击模块可以对需要进入控制层面处理的数据报文进行分类,过滤,限速,从而达到保护控制层面的关键资源的目的。 

 

2、设备防攻击的工作原理

从图中可以看到,设备防攻击由众多子模块构成:

Classify:对上送控制平面的数据流量进行识别和分类。分成协议控制类 (protocol),本地管理类(manage),业务传输类(data)这三类,这样方便后续

子模块有区分地进行限速和过滤。

子接口:所有上送控制平面的流量被Classify分成三大类,该三大类分别对应如下三个子接口。三个子接口及传递的流定义如下:

protocol sub-interface:所有送往本地的协议控制流。例如链路层协议的协议报文,路由协议报文等。

manage sub-interface:所有送往本地的管理协议流。例如ftp,telnet,snmp等,另外arp,icmp也属于这一类。

data sub-interface:所有快转平面无法处理的数据流都属于这一类。

注意:

设备防攻击中的子接口术语不同于设备中传统意义上的子接口。它仅仅代表了一条传输某一类上送控制层面的流量的内部通路,这样方便针对这些的流量进行防攻击的配置和处理。

 

SCPP (Segregate Control Plane Protection):分类控制平面保护。根据用户定制的策略,针对三个子接口内的流量,进行更细粒度的限速和保护。

Glean-CAR:针对快转平面匹配到REF Glean 邻接的流量(匹配到直连路由,但没有找到匹配目的IP 的主机路由,需要上送控制平面来进行目的ip 的解析)进行限速。

ARP-CAR:因为快转平面无法完成ARP 报文的处理,需要上到控制平面来处理; ARP-CAR 可以限制每个邻居的ARP 报文速率。

Port-Filter:针对到本地的TCP 和UDP 报文,检查本地应用是否打开了对应的端口,在进入控制平面前就过滤掉发送到本地而本地又未启用的网络服务的流量。

MPP (Management Plane Protection):管理平面保护。允许管理员指定一个或多个接口为带内管理接口(既允许接收管理报文,又能转发正常业务的接口)。启用了MPP 功能以后,只有指定的带内管理接口才允许接收指定协议的管理报文。但业务报文,协议报文,以及ARP 等报文不受影响。

ACPP(AggregateControl PlaneProtection):集中控制平面保护,针对classify的分类结果,应用缺省的或用户定制的速率来分别对protocol sub-interface,manage sub-interface和data sub-interface上的流量进行限速,确保其流量不会超出控制平面的处理能力,从而保护控制平面。

 

 

3、设备的防攻击功能能够防范哪些类型的攻击

1)协议层面的(protocol sub-interface):所有送往本地的协议控制流。例如链路层协议的协议报文,路由协议报文等。

2)管理层面的(manage sub-interface):所有送往本地的管理协议流。例如ftp,telnet,snmp等,另外arp,icmp也属于这一类。

3)数据层面的(data sub-interface):所有快转平面无法处理的数据流都属于这一类。

 

 

4、如何配置设备的防攻击功能

一般情况下,启用防攻击的默认配置即可,配置方式如下:

Ruijie#config terminal

Ruijie(config)#control-plane

Ruijie(config-cp)#ef-rnfp enable

详细各防攻击子功能模块的配置,请参考配置手册中安全配置指南-设备防攻击配置部分。

 

 

5、如何查看设备防攻击的配置及统计信息

通过show ef-rnfp all命令查看。

 

 

6、其它一些常用的设备防攻击配置

1)在有NAT的环境下,将NAT POOL地址池中的地址丢至null 0。如:ip route 211.111.111.0 255.255.255.128 null 0

     由于nat pool中的地址一般都为公网地址,容易受到攻击;当大量的针对nat pool中的地址的攻击报文送至设备时,该类报文需要上送设备CPU进程处理并且寻找相应的转发信息。配置了至null 0的路由后,针对该类地址的非法流量直接被丢进null 0,而正常的流量不受影响。

2)在外网接口应用ACL,只显式放通需要主动访问进来的流量,其它流量全部deny。这样可以防止外部攻击流量对设备的影响。如:

ip access-list extended 100

 10 permit tcp any any eq telnet

 20 permit tcp any host 211.111.111.111 eq www

注:应用该功能前需摸清设备及网络的应用情况,在ACL中显式放通该类流量。否则可能导致设备或内网的某些应用异常(如映射到公网的www服务等)。

3)NAT环境下关闭mms的转换功能:MMS (Microsoft Media Server Protocol)为微软媒体服务器协议,当前网络环境下几乎不会用到该协议,但有很多针对该协议的攻击病毒,因此nat环境下建议关闭该协议的转换功能。

    no ip nat translation mms

4)配置网络入口过滤或URPF功能(详细配置参考防火墙&设备防攻击--防火墙功能章节)来过滤伪造源地址的攻击流量。

5)配置ACL过滤常见病毒端口流量

access-list 101 deny tcp any any eq 135

access-list 101 deny tcp any any eq 139

access-list 101 deny tcp any any eq 389

access-list 101 deny tcp an any eq 420

access-list 101 deny tcp any any eq 445

access-list 101 deny tcp any any eq 449

access-list 101 deny tcp any any eq 593

access-list 101 deny tcp any any eq 1025

access-list 101 deny tcp any any eq 1092

access-list 101 deny tcp any any eq 1434

access-list 101 deny tcp any any eq 2745

access-list 101 deny tcp any any eq 3127

access-list 101 deny tcp any any eq 4444

access-list 101 deny tcp any any eq 5354

access-list 101 deny tcp any any eq 5554

access-list 101 deny tcp any any eq 5555

access-list 101 deny tcp any any eq 5800

access-list 101 deny tcp any any eq 5900

access-list 101 deny tcp any any eq 6129

access-list 101 deny tcp any any eq 6667

access-list 101 deny tcp any any eq 9604

access-list 101 deny tcp any any eq 9995

access-list 101 deny tcp any any eq 9996

access-list 101 deny tcp any any eq 16881

access-list 101 deny tcp any any eq 20168

access-list 101 deny udp any any eq 135

access-list 101 deny udp any any eq netbios-ns

access-list 101 deny udp any any eq netbios-dgm

access-list 101 deny udp any any eq 389

access-list 101 deny udp any any eq 445

access-list 101 deny udp any any eq 449

access-list 101 deny udp any any eq 1068

access-list 101 deny udp any any eq 1092

access-list 101 deny udp any any eq 1433

access-list 101 deny udp any any eq 1434

access-list 101 deny udp any any eq 5300

access-list 101 deny udp any any eq 5554

access-list 101 deny udp any any eq 5800

access-list 101 deny udp any any eq 6667

access-list 101 deny udp any any eq 7995

access-list 101 deny udp any any eq 9800

access-list 101 deny udp any any eq 16881

access-list 101 deny udp any any eq 20168

access-list 101 deny udp any any eq tftp

access-list 101 deny udp any any eq netbios-ss

access-list 101 permit ip any any