位置于:书籍教程首页>>路由技术>>华为产品>>正文

Quidway S3526E防火墙功能介绍

http://www.xp163.com/制作:
Quidway S3526E 交换机利用 软件监控 CPU 的接收到的报文,对于那种符合病毒特征的报文(在一定时间内同一个 srcip 访问了超过一定数量的目的 ip 的报文), CPU 采取措施,丢弃这个源 ip 送到 CPU 的报文,并发送 trap 和 log 信息。在超过一定时间后,恢复这个 ip 地址的正常转发流程。系统启动时,该功能是 disable 的。可以将该功能写于配置文件。

使用防火墙功能注意事项:

1 、在使用防火墙功能前,确保端口的优先级配置处于缺省状态,即:端口的优先级为 0 ,且对于报文中的 cos 优先级不信任。

2 、在使能了防火墙功能后,请不要修改端口的优先级配置,以及系统的队列调度方式。

提供了配置该功能的命令行,如下:

1 、打开防火墙功能

[Quidway]system-guard enable

Success to enable system-guard task

2 、关闭防火墙功能,当关闭防火墙功能后,各个参数恢复到缺省值。

[Quidway]undo system-guard enable

Success to disable system-guard task

3 、配置最大可检测的病毒主机数目 , 范围是 1 - 100

[Quidway]system-guard detect-maxnum ?

INTEGER<1-100> Max num of detection

[Quidway]system-guard detect-maxnum 50

4 、恢复最大可检测病毒主机数目,缺省值 30

[Quidway]undo system-guard detect-maxnum

5 、配置门限值,包括在指定时间内 CPU 目的 IP 变化多少次被确定为具有病毒特征,

一个具有病毒特征的源 ip 被命中几次 CPU 对它采取措施,以及 CPU 对一个病毒 IP

采取措施后,等待几倍地址老化时间再对该 ip 进行恢复。这三个门限值在一个

命令行中设置。各个门限值的范围如下:

[Quidway]system-guard detect-threshold ?

INTEGER<1-100> IP-Record threshold

[Quidway]system-guard detect-threshold 40 ?

INTEGER<1-10> Record-times threshold

[Quidway]system-guard detect-threshold 40 3 ?

INTEGER<3-100> Isolate Times of Aging time

[Quidway]system-guard detect-threshold 40 3 5 ?

[Quidway]system-guard detect-threshold 40 3 5

6 、恢复门限值。 IP-Record 的缺省门限值为 30 , Record-times 的缺省门限值为 1 ,

Isolate Times 的缺省门限值为 3 (地址老化时间的三倍)。

[Quidway]undo system-guard detect-threshold

7 、显示系统运行防火墙的状态

[Quidway]display system-guard state

system-guard is closed!

Ip-Attack threshold: 30

Deny threshold: 1

Infected virus Host Number: 0

Isolated times of Aging time: 3

Max Num of detection support: 30

Disable dest IP addr learning from all ip addr in the list

[Quidway]system-guard enable

Success to enable system-guard task

[Quidway]display system-guard state

system-guard is running!

Ip-Attack threshold: 30

Deny threshold: 1

Infected virus Host Number: 0

Isolated times of Aging time: 3

Max Num of detection support: 30

Disable dest IP addr learning from all ip addr in the list

S3526E 抗病毒版本实现的功能特点

1 、将病毒主机对 CPU 的攻击报文直接丢弃,但是不影响该主机通过 asic 转发的报文,也就是是说:如果该主机可以通过走默认路由访问 internet ,照上不误。如果有二层转发需求,更是没有影响。

2 、对于该病毒主机攻击 CPU 的 ip 报文进行丢弃,对于其它报文,比如病毒主机发送的组播协议报文, arp 报文, dot1x 报文, dhcp 报文等照样能够送到 CPU 去处理。

所以,该抗病毒版本并非是单纯的丢弃该源 ip 来的报文。对用户的抑制作用是很小的。

可能的影响有:

1 、 ping 交换机的虚接口不能 ping 通了。

2 、有可能 ping 直连网段的主机不能 ping 通了。

3 、当用户被检测出来是病毒主机,然后因为某种原因用户的 ip 地址在交换机上不存在了,这时上不去网了。要等到老化时间的 3 倍以后恢复该 ip 的正常属性才能够上网。而在实际中如果管理员不进行 clear arp 操作,是不会出现这种情况的。因为,该病毒 ip 一直发送报文的话, ip 地址是不会老化的。




 最新网站更新
 网站Quidway S3526E防火墙功能介绍说明

 

 书籍教程站内推荐信息
 书籍教程网站地图