抗攻击加固
出口设备比较容易受到来自Internet和内网的攻击,在实际情况中大致有几类攻击和解决办法,各自的功能、配置、使用限制见下列表格汇总对比。如需了解详细用法,请参考该目录的详细对应章节。
抗攻击类型 | 作用 | 配置范例 | 使用限制 |
配置CPU资源保护 | 解决网络中对设备本身IP进行的攻击,如果攻击报文或者速率过高,会导致设备CPU高,ping丢包,以及其他协议面异常。 设备防攻击模块就是对需要进入控制层面处理的数据报文进行分类,过滤,限速,从而达到保护控制层面的关键资源的目的。
| Ruijie(config)#control-plane
protocol Ruijie(config-cp)#acpp
bw-rate 8000 bw-burst-rate 8000 Ruijie(config-cp)#control-plane
manage Ruijie(config-cp)#acpp
bw-rate 100 bw-burst-rate 200 Ruijie(config-cp)#control-plane
data Ruijie(config-cp)#acpp
bw-rate 300 bw-burst-rate 600 | 该速率阈值是针对所有报文,包含合法的正常协议报文,所以该bw-rate 以及bw-burst-rate
需要设置比较合理,建议参考一本通推荐配置。 |
黑洞路由 | 解决外网主机对NAT地址池内地址以及NAT端口映射的公网地址的连接攻击,导致设备CPU高,设备ping丢包,telnet卡或者失败等故障。 | Ruijie(config)#ip
route 69.1.1.3 255.255.255.255 null 0 | 1、黑洞路由的目标地址为NAT的地址池内的地址或者NAT端口映射的公网地址 2、路由器外网接口ip不能作为黑洞路由的目的地址 |
流攻击保护 | 解决内、外网主机发送数十万数量级的异常数据流将路由器性能(流表)被消耗殆尽,正常业务流无空余流表可用,导致上网卡、慢等故障,其中ACL被deny的数据由于无法建立流表而被丢弃。 | Ruijie(config)#ip
access-list extended 199 Ruijie(config-ext-nacl)#
1 deny ip host 183.207.129.108 any Ruijie(config-ext-nacl)#2
deny ip any host 183.207.129.108 Ruijie(config-ext-nacl)#
10 permit tcp any any eq telnet Ruijie(config-ext-nacl)#
1000 permit ip any any Ruijie(config)#ip
fpm session filter 199 | 1、ACL最后一条为隐藏的deny
所有,因此在此之前把正常的流量permit,否则会导致正常流量被过滤。 2、该功能全局有效,而不是基于某个接口,因此需要把合法流量全部方通。 |
流会话数量限制 | 解决内、外网主机因为中毒等异常原因导致单个用户的流会话数量太多,路由器性能(流表)被消耗殆尽,正常业务流无空余流表可用,导致上网卡、慢等故障。 | Ruijie(config)#ip
access-list extended 2001 Ruijie(config-ext-nacl)#10
permit ip 192.168.10.0 0.0.0.255 any Ruijie(config)#ip
fpm session filter 2001 session-num 5000 | 1、流攻击保护和会话数限制功能虽然命令相似,但是为两个不同的功能,不相互影响 2、ACL中permit的ip则被会话数量限制,不在permit中的为默认行为最大10万个流 |
线卡流表容量调整 | 线卡默认对IPV4和IPV6数据都分配了流表数量,当网络中流表容量不足时,可通过调大IPV4的容量来提升路由器的ipv4转发容量 | Ruijie(config)#ipv6
fpm flow max-entries 2000 //先减少IPv6流表的容量 Ruijie(config)#ip
fpm flow max-entries 2095152 //再扩大IPv4流量的容量 | 1、流表调整只能对所有线卡进行操作,不能单独对某一个业务线卡调整; 2、修改流表的时候,不要在业务在设备上运行的时候修改,因为修改流表会导致当前设备上的流表已有的条目被清空,流平台模块会重启,导致短时间业务中断。 |
SAM连接数限制 | 路由器是被动地接受联动连接,因此需要指定联动的SAM的IP地址,防止网络中异常设备使用联动端口对路由器设备进行恶意攻击。 | Ruijie(config)#umg-sam Ruijie(config-umg-sam)#enabled
Ruijie(config-umg-sam)#sam-ip
202.197.224.22 | 如果客户网络中的SAM ip发生变化,那么RSR路由器的SAM ip 也要做相应的调整 |