交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
无线管理与应用
服务产品
在现场实施,要求梳理清楚用户内网需要使用的网络段,这些网段越准确越好.确实内网用户网段后,在IP对象处定义这些对象,再在全局让这些合法的源IP匹配trusted动作,
再做一条any的block动放在下面.策略是从上向下匹配的。这样做的好处是:
1)内网的伪源IP攻击不会到达出口路由器,
2)伪源IP攻击的情况下,也不会影响ACE对IP数,会话数的统计
3)可以防止有源IP攻击时,生成的ipsummary文件占满硬盘.
注意:只要是配置了trusted动作用源IP,不管外网有没有回应,都会产品ipsummary文件,就算主动外网进来的,目标IP是属于trusted动作的,就算是内网没有回应也会记录.
如:-[ipsummary] 以每个24位的网段会成一个报表文件.如192.168.33.rrd是为192.168.33.0/24网段生的.