www国产亚洲精品久久小说,在线 | 一区二区三区四区,综合成人亚洲网友偷自拍,中文字幕人妻第一区,最近中文字幕mv

微思網(wǎng)絡(luò)
全國免費(fèi)電話:400-881-4699
當(dāng)前位置:首頁>微思動(dòng)態(tài) > >詳情
全國熱線電話 400-881-4699

在線留言

【分享】框式交換機(jī)加固配置

發(fā)布作者:微思網(wǎng)絡(luò)   發(fā)布時(shí)間:2023-06-25   瀏覽量:0

場景介紹

在現(xiàn)網(wǎng)中有各種攻擊,而且攻擊類型是不斷變化的,無法用一種固定的防護(hù)方式防御所有攻擊,所以需要根據(jù)實(shí)際的場景變化調(diào)整防護(hù)方式,下面提供一種使用范圍比較廣的防護(hù)腳本和攻擊檢測方式,可以防范TTL=1攻擊、TCP攻擊,并及時(shí)發(fā)現(xiàn)ARP、DHCP、IGMP的攻擊用戶。在檢測到具體攻擊后再結(jié)合防攻擊故障定位指導(dǎo)章節(jié)介紹的防攻擊部署方式調(diào)整配置進(jìn)一步加固。



腳本部署


# 現(xiàn)網(wǎng)業(yè)務(wù)如未使用VLAN1,但接入設(shè)備和網(wǎng)關(guān)設(shè)備上使用的接口未退出VLAN1,存在被攻擊或產(chǎn)生風(fēng)暴的風(fēng)險(xiǎn)。接口退出VLAN1配置如下
? 接口類型為hybrid
? interface GigabitEthernet x/x/x
undo port hybrid vlan 1
? 接口類型為trunk
? interface GigabitEthernet x/x/x
? port link-type trunk
undo port trunk allow-pass vlan 1
? 接口類型為access
? interface GigabitEthernet x/x/x
? port link-type access
undo port default vlan 
# 主控板防攻擊腳本部署
cpu-defend policy main-board        #創(chuàng)建防攻擊策略main-board
car packet-type ttl-expired cir 16  #配置ttl-expired報(bào)文的CIR為16kbit/s
car packet-type tcp cir 32          #配置tcp報(bào)文的CIR為32kbit/s 
auto-defend enable                  #使能攻擊溯源功能
auto-defend attack-packet sample 5  #配置攻擊溯源的采樣比為5
auto-defend threshold 30            #配置攻擊溯源檢查閾值為30pps
undo auto-defend trace-type source-portvlan   #配置攻擊溯源的方式為基于源MAC地址和源IP地址
undo auto-defend protocol tcp telnet ttl-expired #在攻擊溯源防范的報(bào)文類型列表中刪除tcp、telnet和ttl-expired報(bào)文
auto-defend whitelist 1 interface GigabitEthernet x/x/x  #互聯(lián)口和上行口加入白名單
auto-defend whitelist 2 interface GigabitEthernet x/x/x  #互聯(lián)口和上行口加入白名單
auto-port-defend whitelist 1 interface GigabitEthernet x/x/x  #端口防攻擊V200R003版本開始默認(rèn)使能,互聯(lián)口和上行口加入白名單
auto-port-defend whitelist 2 interface GigabitEthernet x/x/x  #端口防攻擊V200R003版本開始默認(rèn)使能,互聯(lián)口和上行口加入白名單
cpu-defend-policy main-board       #應(yīng)用防攻擊策略
# 主控板防攻擊腳本部署
cpu-defend policy main-board        #創(chuàng)建防攻擊策略main-board
car packet-type ttl-expired cir 16  #配置ttl-expired報(bào)文的CIR為16kbit/s
car packet-type tcp cir 32          #配置tcp報(bào)文的CIR為32kbit/s 
auto-defend enable                  #使能攻擊溯源功能
auto-defend attack-packet sample 5  #配置攻擊溯源的采樣比為5
auto-defend threshold 30            #配置攻擊溯源檢查閾值為30pps
undo auto-defend trace-type source-portvlan   #配置攻擊溯源的方式為基于源MAC地址和源IP地址
undo auto-defend protocol tcp telnet ttl-expired #在攻擊溯源防范的報(bào)文類型列表中刪除tcp、telnet和ttl-expired報(bào)文
auto-defend whitelist 1 interface GigabitEthernet x/x/x  #互聯(lián)口和上行口加入白名單
auto-defend whitelist 2 interface GigabitEthernet x/x/x  #互聯(lián)口和上行口加入白名單
auto-port-defend whitelist 1 interface GigabitEthernet x/x/x  #端口防攻擊V200R003版本開始默認(rèn)使能,互聯(lián)口和上行口加入白名單
auto-port-defend whitelist 2 interface GigabitEthernet x/x/x  #端口防攻擊V200R003版本開始默認(rèn)使能,互聯(lián)口和上行口加入白名單
cpu-defend-policy main-board       #應(yīng)用防攻擊策略



?
返回頂部