发布时间:2013-09-27
点击量:1535在现场实施,要求梳理清楚用户内网需要使用的网络段,这些网段越准确越好.确实内网用户网段后,在IP对象处定义这些对象,再在全局让这些合法的源IP匹配trusted动作,
再做一条any的block动放在下面.策略是从上向下匹配的。这样做的好处是:
1)内网的伪源IP攻击不会到达出口路由器,
2)伪源IP攻击的情况下,也不会影响ACE对IP数,会话数的统计
3)可以防止有源IP攻击时,生成的ipsummary文件占满硬盘.
注意:只要是配置了trusted动作用源IP,不管外网有没有回应,都会产品ipsummary文件,就算主动外网进来的,目标IP是属于trusted动作的,就算是内网没有回应也会记录.
如:-[ipsummary] 以每个24位的网段会成一个报表文件.如192.168.33.rrd是为192.168.33.0/24网段生的.
