交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
首页 >服务与支持 >常见问题 >(网关模式)如何防攻击
一、组网需求
1、需要增强设备自身的管理安全性。
2、防御内网的arp扫描和arp流量攻击。
3、防外网攻击。
二、配置步骤
1、在防攻击/ACL中配置“防攻击”
a、防Arp流量攻击:内网ARP泛洪时,设备限制每个IP地址的ARP报文每秒不超过10个,避免ARP报文影响设备的其他处理。
注意:在内网ARP较多的情况下,可能影响设备的正常ARP学习
命令行生成的命令:
control-plane manage
no port-filter
arp-car 10 log
no acpp
b、防Arp欺骗:勾选该功能,防止网络Arp欺骗主机对整网的Arp扫描
命令行生成的命令:
control-plane
anti-arp-spoof
c、查看Arp嫌疑主机列表:内网存在Arp攻击、Arp扫描的主机都会被列入嫌疑列表中。请根据网络的实际情况判断嫌疑主机是否对网络造成影响
d、可信任Arp:出口网关可信ARP 是一个严格的ARP 学习过程。开启出口网关可信arp 功能后,在学习arp 表项的时候,都会发送单播请求进行确认,如果收到应答才真学习该ARP 表项,否则不会学习。当收到ARP报文时,只有当ARP 表项是老化状态或者不完整状态,且是ARP 应答报文才处理。
命令行生成的命令
interface GigabitEthernet 0/0
arp trust-monitor enable
e、防流量型攻击:勾选该功能,可以一定程度的防御内外网流量型攻击。勾选该功能时,必须要填写管理IP,在设备被攻击时,可以用该管理IP登陆设备查看信息。
命令行生成的命令:
control-plane
ef-rnfp enable
security web permit 192.168.33.78
control-plane protocol
acpp bw-rate 200 bw-burst-rate 300
control-plane manage
acpp bw-rate 200 bw-burst-rate 300
control-plane data
acpp bw-rate 200 bw-burst-rate 300
f、攻击流日志:可以查看当前的攻击日志和历史的攻击日志
g、禁止Web登陆:勾选该功能,可以禁止内网、外网用户web方式登陆管理设备。勾选该功能时,必须要填写管理IP,只有该地址可以web登陆管理设备
命令行生成的命令:
control-plane
security deny lan-web
security deny wan-web
security web permit 192.168.33.78
h、添加管理IP:在开启防流量攻击和禁止Web登陆时,必须要配置管理IP。添加后只有该地址才可以web登陆管理设备
i、禁止ping:开启该功能后,内外网主机都无法ping 通EG的接口地址
命令行生成的命令:
control-plane
security deny lan-ping
security deny wan-ping
J、Web访问端口:可以修改EG的web访问端口,默认是80。修改后,必须要输入EG的登陆地址加端口号才能管理设备