網絡運維|防火墻的攻擊防范

2020-06-08 19:46 作者：艾銻無限 瀏覽量：

大家好，我是一枚從事IT外包的網絡安全運維工程師，今天和大家分享的是網絡安全設備維護相關的內容，在這里介紹下防火墻的安全防護的攻擊防范有哪些，這次談談黑名單配置的舉例，網絡安全運維，從Web管理輕松學起,一步一步學成網絡安全運維大神。

網絡維護是一種日常維護，包括網絡設備管理(如計算機，服務器)、操作系統維護(系統打補丁，系統升級)、網絡安全(病毒防范)等。+

北京艾銻無限科技發展有限公司為您免費提供給您大量真實有效的北京網絡維護服務，北京網絡維修信息查詢，同時您可以免費資訊北京網絡維護，北京網絡維護服務，北京網絡維修信息。專業的北京網絡維護信息就在北京艾銻無限+

+
北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息

 舉例：配置黑名單

介紹黑名單的配置舉例。

組網需求

如圖7-114所示，某公司企業網通過USG與Internet連接。

· 需要保護的網段地址為128.18.196.0/24，與USG的GigabitEthernet 0/0/2接口相連，部署在Trust區域。

· 外部網絡與USG的GigabitEthernet 0/0/1接口相連，部署在Untrust區域。

通過配置黑名單，實現以下需求：

· 對Internet訪問企業網的流量配置IP地址掃描攻擊防范和黑名單功能，一旦發現某個IP地址對企業網發起了IP地址掃描攻擊，則自動把該IP地址加入黑名單。其中最大掃描速率為5000pps，黑名單老化時間為30分鐘。

· 由于發現IP地址202.38.10.3多次企圖對企業網發起攻擊，因此將其手工加入黑名單，永久有效。

圖  黑名單配置舉例組網圖 

項目	數據	備注
(1)	接口號：GigabitEthernet 0/0/1 IP地址：202.38.10.2/24 安全區域：untrust	-
(2)	接口號：GigabitEthernet 0/0/2 IP地址：128.18.196.224/24 安全區域：trust	-

配置思路

1. 配置各接口基本參數。

2. 配置Trust區域與Untrust區域的域間轉發策略，使Internet的用戶能訪問企業網。

3. 配置IP地址掃描攻擊防范。

4. 啟用黑名單功能，并配置靜態黑名單對IP地址202.38.10.3永久生效。

操作步驟

1. 配置各接口基本參數。

a. 選擇“網絡 > 接口 > 接口”。

b. 在“接口列表”中，單擊GigabitEthernet 0/0/1對應的，顯示“修改GigabitEthernet”界面。

GigabitEthernet 0/0/1的相關參數如下，其他參數使用默認值：

· 安全區域：untrust

· 模式：路由

· 連接類型：靜態IP

· IP地址：202.38.10.2

· 子網掩碼：255.255.255.0

c. 單擊“應用”。

d. 單擊GigabitEthernet 0/0/2對應的，顯示“修改GigabitEthernet”界面。

GigabitEthernet 0/0/2的相關參數如下，其他參數使用默認值：

· 安全區域：trust

· 模式：路由

· 連接類型：靜態IP

· IP地址：128.18.196.224

· 子網掩碼：255.255.255.0

e. 單擊“應用”。

2. 配置域間安全策略，以保證網絡基本通信正常。具體步驟略。

3. 配置IP地址掃描攻擊防范。

a. 選擇“防火墻 > 安全防護 > 攻擊防范”。

b. 在“攻擊防范配置列表”區域框中，選擇“攻擊防范類型 > 掃描類”，顯示“配置掃描類攻擊防范”界面。參數配置如圖7-115所示。

c. 單擊“應用”。

圖7-115  配置掃描類攻擊防范 


4. 啟用黑名單功能，并配置靜態黑名單對IP地址202.38.10.3永久生效。

a. 選擇“防火墻 > 安全防護 > 黑名單”。

b. 在“配置黑名單”界面，選中“啟用”前的單選按鈕。

c. 單擊“應用”。

d. 在“黑名單列表”中，單擊，顯示“新建黑名單”界面。參數配置如圖7-116所示。

e. 單擊“應用”。

圖7-116  配置靜態黑名單

結果驗證

· Internet中的IP地址202.38.10.3永久不能訪問企業內部的128.18.196.0/24地址。

· 當Internet中的某個IP地址對企業內部128.18.196.0/24地址的掃描速率達到5000pps及以上，將被加入黑名單30分鐘。

以上文章由北京艾銻無限科技發展有限公司整理