Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

使用 IDS 筛选配置网络攻击防护,适用于新一代服务

配置 IDS 屏幕名称、方向和报警选项

配置 IDS 屏幕名称、流量方向和可选告警。

  1. 指定 IDS 屏幕的名称。
  2. 指定 IDS 屏幕是应用于输入流量和/或输出流量。
  3. 如果希望 IDS 屏幕在数据包超过会话限制时记录告警,而不是丢弃数据包,请配置 alarm-without-drop

在 IDS 屏幕中配置会话限制

您可以使用 IDS 屏幕为来自单个地址或子网以及到单个地址或子网的流量设置会话限制。这样可以防止网络探测和泛洪攻击。 表 1 显示了用于防止某些常见网络探测和泛洪攻击的会话限制选项。

表 1:网络攻击类型的 IDS 筛选选项

网络攻击类型

[edit services screen ids-options screen-name limit-sessions] 要设置的选项

ICMP 地址扫描

 
by-source by-protocol icmp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

ICMP 泛滥

 
by-destination by-protocol icmp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

TCP 端口扫描

 
(by-destination | by-source) by-protocol tcp {
    maximum-sessions number;
    packet-rate number;
}

TCP SYN 泛滥

 
(by-destination | by-source) by-protocol tcp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

UDP 泛滥

 
by-destination by-protocol udp {
    maximum-sessions number;
    packet-rate number;
    session-rate number;
}

要在 IDS 屏幕中配置会话限制,请执行以下操作:

  1. 如果要将会话限制应用于将所有会话聚合到单个目标子网或从单个源子网(而非单个地址)应用会话限制,请配置聚合。
    1. 要将会话限制应用于单个 IPv4 子网中所有会话的聚合,请指定子网前缀长度。范围是从 1 到 32。

      例如,以下语句将 IPv4 前缀长度配置为 24,来自 192.0.2.2 和 192.0.2.3 的会话计为 192.0.2.0/24/24 子网中的会话。

    2. 要将会话限制应用于单个 IPv6 子网内所有会话的聚合,请指定子网前缀长度。范围是从 1 到 128。

      例如,以下语句将 IPv6 前缀长度配置为 64,并且来自 2001:db8:1234:72a2::2 和 2001:db8:1234:72a2::3 的会话将计为 2001:db8:1234:72a2::/64 子网中的会话。

    3. 要将会话限制应用于单个 IPv4 子网的所有会话聚合,请指定子网前缀长度。范围是从 1 到 32。
    4. 要将会话限制应用于单个 IPv6 子网的所有会话聚合,请指定子网前缀长度。范围是从 1 到 128。
  2. 如果要对特定 IP 协议应用来自源的会话限制:
    1. 为特定 IP 协议配置允许从单个源 IP 地址或子网获得的最大并发会话数。
    2. 为特定协议配置每秒允许来自单个源 IP 地址或子网的最大数据包数。
    3. 为特定协议配置每秒允许从单个源 IP 地址或子网连接的最大连接数。
  3. 如果要对特定 IP 协议的目标应用会话限制:
    1. 对于特定 IP 协议,配置允许单个目标 IP 地址或子网的最大并发会话数。
    2. 对于特定协议,配置每秒允许发送到单个目标 IP 地址或子网的最大数据包数。
    3. 对于特定协议,配置每秒允许连接到单个目标 IP 地址或子网的最大连接数。
  4. 如果要应用来自源的会话限制而不考虑 IP 协议:
    1. 配置允许从单个源 IP 地址或子网的最大并发会话数。
    2. 配置每秒允许来自单个源 IP 地址或子网的最大数据包数
    3. 配置每秒允许从单个源 IP 地址或子网建立的最大连接数。
  5. 如果要对目标应用会话限制而不考虑 IP 协议:
    1. 配置允许单个目标 IP 地址或子网的最大并发会话数。
    2. 配置每秒允许发送到单个目标 IP 地址或子网的最大数据包数
    3. 配置每秒允许连接到单个目标 IP 地址或子网的最大连接数。
  6. 指定服务卡 CPU 利用率百分比,以触发在线卡的 PFE 上安装动态筛选器,以查找可疑流量。默认值为 90。

    除了 CPU 使用率百分比阈值外,在安装动态过滤器之前,单个源地址或目标地址的数据包速率或连接速率必须超过 IDS 屏幕中会话限制的四倍。动态筛选器不是从使用子网聚合的 IDS 筛选创建的。

    动态过滤器在 PFE 上丢弃可疑流量,IDS 屏幕不会处理流量。当数据包或连接速率不再超过 IDS 屏幕中限制的四倍时,将删除动态过滤器。

在 IDS 屏幕中配置可疑数据包模式检测

您可以使用 IDS 屏幕来识别和丢弃可疑数据包。这样可以防止攻击者构建异常数据包以发动拒绝服务攻击。

要配置可疑模式检测,请执行以下操作:

  1. 要防止 ICMP 分片攻击,请识别并丢弃作为 IP 分段的 ICMP 数据包。
  2. 要识别和丢弃格式错误的 ICMPv6 数据包,请配置 icmpv6-malformed
  3. 要防止 ICMP 大数据包攻击,请识别并丢弃大于 1024 字节的 ICMP 数据包。
  4. 为了防止 ping 死亡攻击,请识别并丢弃过大和不规则的 ICMP 数据包。
  5. 为防止不良选项攻击,请识别并丢弃格式不正确的 IPv4 选项或 IPv6 扩展报头的数据包。
  6. 要识别和丢弃分段 IP 数据包,请配置 block-frag
  7. 要丢弃具有特定扩展标头值的 IPv6 数据包,请指定这些值。

    可以配置以下报头值:

    ah-header

    认证头扩展报头
    esp-header

    封装安全性有效负载扩展报头
    fragment-header

    片段标头扩展标头
    hop-by-hop-header

    带有指定选项的逐跳选项:

    CALIPSO-option

    通用架构标签 IPv6 安全选项
    jumbo-payload-option

    IPv6 巨型有效负载选项
    quick-start-option

    IPv6 快速入门选项
    router-alert-option

    IPv6 路由器警报选项
    RPL-option

    适用于低功耗和有损网络的路由协议选项
    SFM-DPD-option

    简化的多播转发 IPv6 重复数据包检测选项
    user-defined-option-type type-low to type-high

    一系列标头类型

    • 范围: 1 到 255。
    mobility-header

    移动标头扩展标头。
    routing-header

    路由标头扩展报头。
  8. 要丢弃具有特定 IPv4 选项值的 IPv4 数据包,请指定值。

    可以配置以下 IPv4 选项值:

    loose-source-route-option

    IP 选项 3(松散源路由)
    record-route-option

    IP 选项 7(记录路由)
    security-option

    IP 选项 2(安全性)
    source-route-option

    IP 选项 3(松散源路由)或 IP 选项 9(严格源路由)
    stream-option

    IP 选项 8(流 ID)
    strict-source-route-option

    IP 选项 9(严格源路由)
    timestamp-option

    IP 选项 4(互联网时间戳)
  9. 为了防止 IP 撕滴攻击,请识别并丢弃重叠的分段 IP 数据包。
  10. 为了防止 IP 未知协议攻击,请识别并丢弃协议号大于 137(对于 IPv4)和 139(对于 IPv6)的 IP 帧。
  11. 要防止 TCP FIN 无 ACK 攻击,请识别并丢弃设置了 FIN 标志和未设置 ACK 标志的任何数据包。
  12. 要防止陆地攻击,请识别并丢弃具有相同源地址和目标地址或端口的 SYN 数据包。
  13. 要防止 TCP SYN ACK ACK 攻击,请配置 IP 地址中可在未完成的情况下打开的最大连接数。
  14. 要防止 TCP SYN FIN 攻击,请识别并丢弃同时设置了 SYN 和 FIN 标志的数据包。
  15. 要防止 SYN 分段攻击,请识别并丢弃 SYN 数据包分段。
  16. 要防止 TCP 无标志攻击,请识别并丢弃未设置标志字段的 TCP 数据包。
  17. 若要防止 TCP WinNuke 攻击,请识别并丢弃发往端口 139 并设置紧急 (URG) 标志的 TCP 分段。

为 IDS 配置服务集

配置服务集以应用 IDS 屏幕。

  1. 将 IDS 屏幕分配给服务集。

    如果服务集与某个 AMS 接口相关联,则您配置的会话限制将适用于每个成员接口。

  2. 通过配置状态防火墙规则来限制 IDS 筛选处理的数据包。状态防火墙规则可以识别应进行 IDS 处理的流量或应跳过 IDS 处理的流量:

    • 要允许对与状态防火墙规则匹配的流量进行 IDS 处理,请在[edit services stateful-firewall rule rule-name term term-name then]层次结构级别包含accept

    • 要跳过对与状态防火墙规则匹配的流量的 IDS 处理,请在[edit services stateful-firewall rule rule-name term term-name then]层次结构级别包含accept skip-ids

  3. 将有状态防火墙规则分配给服务集。
  4. 要防止标头异常攻击,请为服务集配置标头完整性检查。

相关主题