❶ H3C路由怎麼防止網路攻擊
H3C路由怎麼防止網路攻擊
一、使用ip verfy unicast reverse-path檢查每一個經過路由器的數據包,該數據包所到達網路介面的所有路由項中,如果沒有該數據包源IP地址的路由,路由器將丟棄該數據包,單一地址反向傳輸路徑轉發在ISP實現阻止SMURF攻擊和其它基於IP地址偽裝的攻擊,這能夠保護網路和客戶免受來自互聯網其它地方的侵擾。
二、使用Unicast RPF 需要打開路由器的CEF swithing選項,不需要將輸入介面配置為CEF交換,只要該路由器打開了CEF功能,所有獨立的網路介面都可以配置為其它交換模式,反向傳輸路徑轉發屬於在一個網路介面或子介面上激活的輸入端功能,處理路由器接收的數據包。
三、使用訪問控制列表過濾列出的所有地址
interface xy
ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
四、ISP端邊界路由器應該只接受源地址屬於客戶端網路的通信,而客戶端網路則應該只接受源地址未被客戶端網路過濾的通信。
access-list 190 permit ip {客戶端網路} {客戶端網路掩碼} any
access-list 190 deny ip any any [log]
interface {內部網路介面} {網路介面號}
ip access-group 190 in
五、如果打開了CEF功能,通過使用單一地址反向路徑轉發,能夠充分地縮短訪問控制列表的長度以提高路由器性能。為了支持Unicast RPF,只需在路由器完全打開CEF;打開這個功能的網路介面並不需要是CEF交換介面。
六、如果突變速率設置超過30%,可能會丟失許多合法的SYN數據包,使用show interfaces rate-limit命令查看該網路介面的正常和過度速率,能夠幫助確定合適的突變速率,這個SYN速率限制數值設置標準是保證正常通信的基礎上盡可能地小。
最後要說一下,一般情況下推薦在網路正常工作時測量SYN數據包流量速率,以此基準數值加以調整,必須在進行測量時確保網路的正常工作以避免出現較大誤差。