列举网首页
大家好,我是一枚从事IT外包的网络安全运维工程师,今天和大家分享的是网络安全设备维护相关的内容,在这里介绍下防火墙的安全防护的攻击防范有哪些,这次谈谈黑名单配置的举例,网络安全运维,从Web管理轻松学起,一步一步学成网络安全运维大神。
网络维护是一种日常维护,包括网络设备管理(如计算机,服务器)、操作系统维护(系统打补丁,系统升级)、网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务,北京网络维修信息查询,同时您可以免费资讯北京网络维护,北京网络维护服务,北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限+
+
北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息
举例:配置黑名单
介绍黑名单的配置举例。
组网需求
如图7-114所示,某公司企业网通过USG与Internet连接。
• 需要保护的网段地址为128.18.196.0/24,与USG的GigabitEthernet 0/0/2接口相连,部署在Trust区域。
• 外部网络与USG的GigabitEthernet 0/0/1接口相连,部署在Untrust区域。
通过配置黑名单,实现以下需求:
• 对Internet访问企业网的流量配置IP地址扫描攻击防范和黑名单功能,一旦发现某个IP地址对企业网发起了IP地址扫描攻击,则自动把该IP地址加入黑名单。其中大扫描速率为5000pps,黑名单老化时间为30分钟。
• 由于发现IP地址202.38.10.3多次企图对企业网发起攻击,因此将其手工加入黑名单,有效。
图7-114 黑名单配置举例组网图
项目 数据 备注
(1) 接口号:GigabitEthernet 0/0/1
IP地址:202.38.10.2/24
安全区域:untrust -
(2) 接口号:GigabitEthernet 0/0/2
IP地址:128.18.196.224/24
安全区域:trust -
配置思路
1. 配置各接口基本参数。
2. 配置Trust区域与Untrust区域的域间转发策略,使Internet的用户能访问企业网。
3. 配置IP地址扫描攻击防范。
4. 启用黑名单功能,并配置静态黑名单对IP地址202.38.10.3生效。
操作步骤
1. 配置各接口基本参数。
a. 选择“网络 > 接口 > 接口”。
b. 在“接口列表”中,单击GigabitEthernet 0/0/1对应的 ,显示“修改GigabitEthernet”界面。
GigabitEthernet 0/0/1的相关参数如下,其他参数使用默认值:
• 安全区域:untrust
• 模式:路由
• 连接类型:静态IP
• IP地址:202.38.10.2
• 子网掩码:255.255.255.0
c. 单击“应用”。
d. 单击GigabitEthernet 0/0/2对应的 ,显示“修改GigabitEthernet”界面。
GigabitEthernet 0/0/2的相关参数如下,其他参数使用默认值:
• 安全区域:trust
• 模式:路由
• 连接类型:静态IP
• IP地址:128.18.196.224
• 子网掩码:255.255.255.0
e. 单击“应用”。
2. 配置域间安全策略,以保证网络基本通信正常。具体步骤略。
3. 配置IP地址扫描攻击防范。
a. 选择“防火墙 > 安全防护 > 攻击防范”。
b. 在“攻击防范配置列表”区域框中,选择“攻击防范类型 > 扫描类”,显示“配置扫描类攻击防范”界面。参数配置如图7-115所示。
c. 单击“应用”。
图7-115 配置扫描类攻击防范
4. 启用黑名单功能,并配置静态黑名单对IP地址202.38.10.3生效。
a. 选择“防火墙 > 安全防护 > 黑名单”。
b. 在“配置黑名单”界面,选中“启用”前的单选按钮。
c. 单击“应用”。
d. 在“黑名单列表”中,单击 ,显示“新建黑名单”界面。参数配置如图7-116所示。
e. 单击“应用”。
图7-116 配置静态黑名单
结果验证
• Internet中的IP地址202.38.10.3不能访问企业内部的128.18.196.0/24地址。
• 当Internet中的某个IP地址对企业内部128.18.196.0/24地址的扫描速率达到5000pps及以上,将被加入黑名单30分钟。
以上文章由北京艾锑无限科技发展有限公司整理
