防火墙和SIG联动DDoS攻击防范配置.docx
《防火墙和SIG联动DDoS攻击防范配置.docx》由会员分享,可在线阅读,更多相关《防火墙和SIG联动DDoS攻击防范配置.docx(27页珍藏版)》请在冰豆网上搜索。
防火墙和SIG联动DDoS攻击防范配置
目录
7防火墙和SIG联动DDoS攻击防范配置7-1
7.1简介7-2
7.1.1流量清洗7-2
7.1.2指纹识别7-2
7.2配置防火墙和SIG联动流量清洗7-4
7.2.1建立配置任务7-4
7.2.2配置接口7-4
7.2.3配置防火墙和核心路由器的EBGP连接7-4
7.2.4配置防火墙对清洗后流量回注的策略路由7-5
7.2.5配置防火墙和SIG的通信参数7-6
7.2.6配置动态生成主机路由时使用的下一跳7-6
7.2.7配置接口板不创建流表7-6
7.2.8配置接口板基于目的地址的统计功能7-7
7.2.9配置防火墙业务板流量均衡模式7-7
7.2.10检查配置结果7-7
7.3配置防火墙静态引流方式流量清洗7-7
7.3.1建立配置任务7-7
7.3.2配置接口7-8
7.3.3配置防火墙和核心路由器的EBGP连接7-9
7.3.4配置防火墙对清洗后流量回注的策略路由7-9
7.3.5配置动态生成主机路由是使用的下一跳7-10
7.3.6配置手工指定流量清洗策略7-10
7.3.7配置接口板不创建流表7-10
7.3.8配置接口板基于目的地址的统计功能7-11
7.3.9配置防火墙业务板流量均衡模式7-11
7.4配置防火墙和SIG联动下主要攻击防范7-11
7.4.1建立配置任务7-11
7.4.2配置其他攻击防范7-11
7.5配置指纹识别7-12
7.5.1建立配置任务7-12
7.5.2配置指纹识别功能7-12
7.6配置举例7-12
7.6.1防火墙和SIG联动流量清洗配置示例7-12
7.6.2防火墙静态引流方式流量清洗配置示例7-17
7.6.3其他的攻击防范配置示例7-21
7.6.4指纹识别攻击防范配置示例7-22
7.7故障处理7-23
7.7.1Eudemon与SIG连接不正常7-23
7.7.2引流不成功7-23
插图目录
图7-1防火墙静态引流方式DDoS清洗组网图7-8
图7-2防火墙和SIG联动流量清洗配置示例组网图7-13
图7-3防火墙静态引流方式流量清洗配置组网图7-18
表格目录
表7-1检查防火墙和SIG联动流量清洗配置结果7-7
7防火墙和SIG联动DDoS攻击防范配置
关于本章
本章描述内容如下表所示。
标题
内容
7.1简介
介绍防火墙SIG联动DDoS防范的基本情况。
7.2配置防火墙和SIG联动流量清洗
介绍防火墙SIG联动流量清洗的配置方法。
7.3配置防火墙静态引流方式流量清洗
介绍防火墙静态引流方式清洗方案的配置方法。
7.4配置防火墙和SIG联动下主要攻击防范
介绍防火墙SIG联动下主要攻击防范的配置方法。
7.5配置指纹识别
介绍指纹识别的配置方法。
7.6配置举例
介绍典型配置举例。
7.7故障处理
介绍故障处理的方法。
7.1简介
7.1.1流量清洗
在目前的Internet城域网中,DDoS攻击十分猖獗,经常导致城域网拥塞。
传统的攻击防范方式主要是在接入层进行防护,虽然攻击流量到达不了用户,但是异常的攻击流量充塞城域网,导致用户的业务受到很大影响。
我们提供一种骨干层异常流量清洗解决方案。
通过检测设备对各种攻击流量进行检测,把流量动态引流到清洗中心进行清洗,把正常流量回注到城域网发送到真正的目的地址。
这样可以有效防范来自骨干层的DDoS攻击,避免各种攻击流量阻塞城域网,对城域网中各用户进行有效地保护。
●DDoS(DistributedDenyofServer)是分布式拒绝服务攻击的简称。
●SIG(ServiceInspectionGateway)是业务监控网关的简称。
7.1.2指纹识别
简介
在DDoS攻击中,攻击者通过控制众多主机对服务器进行攻击,每个受控主机只要发送少量的攻击报文就能达到攻击服务器的目的。
现有DDoS攻击中,每个主机发送的报文都为一种或两种相同的报文,因此可以通过识别报文特征达到防范攻击的目的。
目的IP监控表
源指纹学习功能启动之前需要先统计到目的地址的报文。
只有到达目的地址的UDP报文的流量超过阈值后,才对到该目的地址的UDP报文启动源指纹功能。
目的IP监控表的形成有如下两种方法:
●由防火墙通过对报文进行流量统计自动生成
●SIG服务器下发给防火墙
对于使用防火墙自身创建目的IP地址监控表的情况,需要配置全局UDP限流。
基于源的指纹识别及防范
目前Eudemon8000防火墙基于源的指纹识别主要针对UDPFlood攻击防范。
防火墙对所有到达受监控服务器的报文进行流量统计,当UDP流量超过阈值时,防火墙启动源指纹学习功能。
防火墙再次发现来自某个源地址且与前报文有相同特征的报文时,即将此特征作为一个源指纹。
该源地址后续发出的所有匹配该指纹的报文将被丢弃。
这样可以实现基于源的指纹识别及防范。
启动源指纹学习功能,需要以下条件:
只有同时满足以下条件才开启源指纹学习及攻击防范功能。
●使能全局DDoS功能
●使能域间ACL规则
●命中目的IP监控表的有效条目
●UDP流量超过配置的阈值
●SIG没有下发对应该目的地址的指纹
如果SIG下发了对应某一目的地址的指纹,则到该目的地址的报文做基于目的地址的指纹防范,而不做基于源的指纹学习防范。
基于目的的指纹识别及防范
SIG通过分光流量,对网络中流量做基于目的地址的统计,当发现到达某一目的地址的流量超过阈值时,下发目的IP监控表到防火墙,启动目的指纹学习功能。
当发现指纹时,将指纹下发到防火墙,防火墙根据指纹过滤攻击报文。
防火墙根据目的指纹过滤攻击报文,需满足以下条件:
●使能全局DDoS功能
●使能域间ACL规则
●SIG已下发目的IP监控表及对应指纹
源IP监控表和目的IP监控表的老化
源IP监控表的老化遵循下面的原则:
●当有指纹生效时,源IP监控表不老化。
●超过指定时间没有报文命中指纹,则老化指纹。
●超过指定时间指纹学习时间戳不更新,则老化源IP监控表。
目的IP监控表的老化遵循下面的规则:
●对于SIG下发的目的IP监控表不老化。
●目的IP监控表中的有效条目不老化。
●当流量小于阈值时有效标记取消。
7.2配置防火墙和SIG联动流量清洗
7.2.1建立配置任务
应用环境
在骨干网和城域网的入口,通过分光平台部署一套DDoS攻击流量检测系统,可以有效检测各种DDoS攻击。
如TCPFlood(SYN,ACK、SYN+ACK,FIN)、UDPFlood、ICMPFlood。
检测到攻击后通告给清洗中心进行引流,清洗中心可以对引流来的各种流量进行有效的清洗,清洗流量回注到城域网设备。
前置任务
在配置防火墙和SIG联动攻击防范的基本功能之前,需完成以下任务:
●配置分光平台、SIG流量检测设备以及安装SIG后台分析和控制服务器。
●配置清洗中心。
−分流设备,如NE80E路由器。
−清洗设备,如Eudemon防火墙。
数据准备
在配置防火墙和SIG联动的基本功能之前,需准备以下数据:
●确定SIG服务器的IP地址
●确定清洗中心设备接口分配的IP地址
●确认防火墙和核心路由器的EBGP链路参数
7.2.2配置接口
配置接口,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interfaceinterface-typeinterface-number,进入接口视图。
步骤3执行命令ipaddressip-adddress,配置IP地址。
步骤4执行命令firewallzone[name]zone-name,进入安全域视图。
步骤5执行命令addinterfaceinterface-typeinterface-number,把接口加入到相应的安全域。
为各个接口设定IP地址。
并把接口加入到相应的安全域。
----结束
7.2.3配置防火墙和核心路由器的EBGP连接
配置防火墙和核心路由器的EBGP连接,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令bgpas-number,进入BGP视图。
步骤3执行命令groupgroup-name[external|internal],配置EBGP组。
步骤4执行命令peer{group-name|peer-address}as-numberas-number,指定EBGP对端的自治系统号。
步骤5执行命令peer{group-name|peer-address}ebgp-max-hop[hop-count],指定两个邻居间的跳数。
步骤6执行命令peerpeer-addressgroupgroup-name,将对等体加入对等体组。
----结束
7.2.4配置防火墙对清洗后流量回注的策略路由
配置防火墙对清洗后流量回注的策略路由,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令acl[number]acl-number,创建ACL。
步骤3执行命令rule[rule-id]{deny|permit}[fragment-typefragment-type|source{source-ip-addresssoucer-wildcard|any}|time-rangetime-name]*,配置对应的rule。
步骤4执行命令quit,退回系统视图。
步骤5执行命令trafficclassifiertcl-name,定义一个类并进入类视图。
步骤6执行命令if-matchaclacl-number,定义ACL匹配规则。
步骤7执行命令quit,退回系统视图。
步骤8执行命令trafficbehaviorbehavior–name,配置流分类。
步骤9执行命令remarkip-nexthopnexthop-ip-addroutput-interface{interface-typeinterface-number},重新指定下一跳路由。
步骤10执行命令quit,退回系统视图。
步骤11执行命令qospolicypolicy-name,定义一个策略并进入策略视图。
步骤12执行命令classifiertcl-namebehaviorbehavior-name,在策略中为类指定采用的行为。
步骤13执行命令quit,退回系统视图。
步骤14执行命令interfaceinterface-typeinterface-number,进入接口视图。
步骤15执行命令qosapplypolicypolicy-name,在接口上应用管理的策略路由。
若安全区域配置了策略路由,进来的流量若匹配对应的ACL规则,则会根据流行为中指定的下一跳进行转发报文,不会再查路由。
----结束
7.2.5配置防火墙和SIG的通信参数
配置防火墙和SIG的通信参数,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令firwalldetect-serveripip-address,配置SIG服务器IP地址。
步骤3执行命令firewalldetect-serverlocal-ipip-address,配置与SIG服务器联动的防火墙本地IP地址。
步骤4执行命令firewalldetect-serverenable,使能与SIG服务器联动功能。
如果没有指定此处SIG服务器的IP地址,防火墙与SIG联动功能将无法使能。
firewalldetect-serverlocal-ip命令用来指定防火墙与SIG服务器联动所使用的IP地址,也可以不设置。
不设置时,防火墙将自动选择一个IP。
----结束
7.2.6配置动态生成主机路由时使用的下一跳
配置动态生成主机路由时使用的下一跳,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令firewalldetect-serverbgp-routeimportnext-hopip-adddress,指定主机路由使用的下一跳。
防火墙根据控制策略动态引入主机路由,此IP地址为路由器使用的下一跳地址,即防火墙的接口地址。
若不指定,则防火墙不会根据配置的清洗策略进行动态引流。
SIG服务器动态下发或者手工方式指定一个针对目的IP地址的流量清洗策略,防火墙会根据此命令指定的下一跳生成一个主机路由,然后通过EBGP发布到核心路由器,从而改变核心路由器的路由选择,达到引流的目的。
----结束
7.2.7配置接口板不创建流表
流表是为了在来回路径一致组网时,保证来回数据流都通过同一SSU板处理的一种机制。
在只有单向数据流或者来回路径不一致时,为了提高性能,可以取消流表功能。
配置接口板不创建流表,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令undofirewallflow-tableenable,控制接口板不创建流表。
----结束
7.2.8配置接口板基于目的地址的统计功能
配置接口板基于目的地址的统计功能,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interfaceinterface-typeinterface-number,进入接口视图。
步骤3执行命令firewallflow-statisticenable,打开接口板基于目的IP地址的统计功能。
----结束
7.2.9配置防火墙业务板流量均衡模式
配置防火墙业务板流量均衡模式,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令firewallloading-blancehash-mode{destination|source|source-destination},设置接口板流量向多个防火墙处理板的均衡方式。
----结束
7.2.10检查配置结果
检查防火墙和SIG联动流量清洗配置结果的相关操作如表7-1所示。
表7-1检查防火墙和SIG联动流量清洗配置结果
操作
命令
查看与SIG服务器联动的连接状态
displayfirewalldetect-serverinformation
7.3配置防火墙静态引流方式流量清洗
7.3.1建立配置任务
应用环境
防火墙可以通过静态配置的方式对一些到特定服务器流量进行引流,当有攻击流量时可以进行有效地清洗,从而达到DDoS攻击防御的目的。
防火墙静态引流方式DDoS清洗组网如图7-1所示。
图7-1防火墙静态引流方式DDoS清洗组网图
前置任务
在配置静态引流方式流量清洗的基本功能之前,需完成以下任务:
●分流设备,如NE80E路由器
●清洗设备,如Eudemon防火墙
数据准备
在配置防火墙清洗的基本功能之前,需确认防火墙和核心路由器的EBGP链路参数。
7.3.2配置接口
配置接口,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interfaceinterface-typeinterface-number,进入接口视图。
步骤3执行命令ipaddressip-adddress,配置IP地址。
步骤4执行命令quit,退回系统试图。
步骤5执行命令firewallzone[name]zone-name,进入安全域视图。
步骤6执行命令addinterfaceinterface-typeinterface-number,把接口加入到相应的安全域。
为各个接口设定IP地址。
并把接口加入到相应的安全域。
----结束
7.3.3配置防火墙和核心路由器的EBGP连接
配置防火墙和核心路由器的EBGP连接,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令bgpas-number,进入BGP视图。
步骤3执行命令groupgroup-name[external|internal],配置EBGP组。
步骤4执行命令peer{group-name|peer-address}as-numberas-number,指定EBGP对端的自治系统号。
步骤5执行命令peer{group-name|peer-address}ebgp-max-hop[hop-count],指定两个邻居间的跳数。
步骤6执行命令peerpeer-addressgroupgroup-name,将对等体加入对等体组。
----结束
7.3.4配置防火墙对清洗后流量回注的策略路由
配置防火墙对清洗后流量回注的策略路由,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令acl[number]acl-number,创建ACL。
步骤3执行命令rule[rule-id]{deny|permit}[fragment-typefragment-type|source{source-ip-addresssoucer-wildcard|any}|time-rangetime-name]*,配置对应的rule。
步骤4执行命令quit,退回系统视图。
步骤5执行命令trafficclassifiertcl-name,定义一个类并进入类视图。
步骤6执行命令if-matchaclacl-number,定义ACL匹配规则。
步骤7执行命令quit,退回系统视图。
步骤8执行命令trafficbehaviorbehavior–name,配置流分类。
步骤9执行命令quit,退回系统视图。
步骤10执行命令qospolicypolicy-name,定义一个策略并进入策略视图。
步骤11执行命令classifiertcl-namebehaviorbehavior-name,在策略中为类指定采用的行为。
步骤12执行命令quit,退回系统视图。
步骤13执行命令interfaceinterface-typeinterface-number,进入接口视图。
步骤14执行命令qosapplypolicypolicy-name,在接口上应用管理的策略路由。
若安全区域配置了策略路由,进来的流量若匹配对应的ACL规则,则会根据流行为中指定的下一跳进行转发报文,不会再查路由。
----结束
7.3.5配置动态生成主机路由是使用的下一跳
配置动态生成主机路由是使用的下一跳,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令firewalldetect-serverbgp-routeimportnext-hopip-adddress,指定主机路由使用的下一跳。
防火墙根据控制策略动态引入主机路由,此IP地址为路由器使用的下一跳地址,即防火墙的接口地址。
步骤3若不指定,则防火墙不会根据配置的IP清洗策略动态引流。
防火墙会根据此命令指定的下一跳生成一个主机路由,然后通过EBGP发布到核心路由器,从而改变核心路由器的路由选择,达到引流的目的。
----结束
7.3.6配置手工指定流量清洗策略
配置手工指定流量清洗策略,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令firewallddos-policyipip-addresstcp-max-speedrate-number,配置手工指定TCP流量清洗策略。
执行完此命令后,会下发一条此IP地址的主机路由,路由协议可以将此主机路由发布出去。
步骤3执行命令firewallddos-policyipip-addressudp-max-speedrate-number,配置手工指定UDP流量清洗策略。
步骤4执行命令firewallddos-policyipip-addressicmp-max-speedrate-number,配置手工指定ICMP流量清洗策略。
----结束
7.3.7配置接口板不创建流表
流表是为了在来回路径一致组网时,保证来回数据流都通过同一SSU板处理的一种机制。
在只有单向数据流或者来回路径不一致时,为了提高性能,可以取消流表功能。
配置接口板不创建流表,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令undofirewallflow-tableenable,配置接口板不创建流表。
----结束
7.3.8配置接口板基于目的地址的统计功能
配置接口板基于目的地址的统计功能,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interfaceinterface-typeinterface-number,进入接口视图。
步骤3执行命令firewallflow-statisticenable,使能接口基于目的IP地址的统计功能。
----结束
7.3.9配置防火墙业务板流量均衡模式
配置防火墙业务板流量均衡模式,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令firewallloading-blancehash-mode{destination|source|source-destination},配置接口板流量向多个防火墙处理板的均衡方式。
----结束
7.4配置防火墙和SIG联动下主要攻击防范
7.4.1建立配置任务
应用环境
防火墙SIG联动方式下,防火墙可以配置对SYNFlood攻击,ICMPFlood攻击,UDPFlood攻击进行检测。
前置任务
无
数据准备
无
7.4.2配置其他攻击防范
配置其他攻击防范,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令firewalldefendddosenable,使能全局DDoS攻击防范。
步骤3执行命令firewalldefendicmp-floodenable,配置使能ICMPFlood攻击防范。
步骤4执行命令firewalldefendsyn-floodenable,配置使能SYNFlood攻击防范。
步骤5执行命令firewall