SecPath UTM ARP防攻击的典型配置
SecPath UTM ARP防攻击的典型配置
SecPath UTM ARP防攻击的典型配置一.用户需求某用户局域网中存在ARP攻击,常常导致内网用户无法正常访问外部的网络资源,因此部署了UTM进行ARP攻击防护。
二.组网图三.配置步骤1.配置接口GE0/0地址在左侧导航栏中点击“设备管理 > 接口管理”。
点击GE0/0栏中的按钮,进入“接口编辑”界面。
按照下图设置接口GE0/0,点击< 确定 >返回“接口管理”界面。
2.配置接口GE0/2地址在左侧导航栏中点击“设备管理 > 接口管理”。
点击GE0/2栏中的按钮,进入“接口编辑”界面。
按照下图设置接口GE0/2,点击< 确定 >返回“接口管理”界面。
3.接口GE0/0加入Trust域点击左侧导航栏“设备管理 > 安全域”。
点击Trust栏中的按钮,进入“修改安全域”界面。
按照下图将接口GE0/0加入Trust域,点击< 确定 >返回“安全域”界面。
4.接口GE0/2加入Untrust域点击左侧导航栏“设备管理 > 安全域”。
点击Untrust栏中的按钮,进入“修改安全域”界面。
按照下图将接口GE0/2加入Untrust域,点击< 确定 >返回“安全域”界面。
5.配置ARP防攻击方法5.1免费ARP(1)配置接口发送免费ARP点击左侧导航栏“防火墙 > ARP防攻击 > 免费ARP定时发送”。
选择接口GE0/0,发送时间间隔采用默认值,或者输入合适的时间间隔,然后点击,再点击< 确定 >按钮完成配置。
这是让内网所有机器记录内网接口GE0/0的ARP表项。
(2)配置发送免费ARP5.2 ARP扫描配置ARP扫描点击左侧导航栏“防火墙 > ARP防攻击 > ARP扫描”。
选择接口GE0/0,设置扫描的开始和结束IP地址范围,例如下图所示。
如果不输入地址,则系统会按照接口地址的掩码范围进行扫描。
华为Secpath典型配置案例
华为Secpath典型配置案例时间:2007-01-03 21:27:48 来源: 作者:whsong 点击:376次出处:技术无忧关键字:华为1 时间段访问控制列表(ACL):功能需求及组网说明:『组网需求』:要求内部用户,在8:00-12:00和13:30-18:00可以出公网,其它的时间都不可以出公网『配置实例』:1.在系统视图下配置时间段:[Secpath] time-range huawei1 08:00 to 18:00 daily[Secpath] time-range huawei2 12:00 to 13:30 daily2.配置高级访问控制列表:[Secpath] acl number 3001[Secpath-acl-adv-3001] rule deny ip time-range huawei2[Secpath-acl-adv-3001] rule permit ip time-range huawei1[Secpath-acl-adv-3001] rule deny ip3.进入内网接口视图,下发时间段ACL规则:[Secpath-GigabitEthernet0/1] firewall packet-filter 3001 inbound4.对于其它的规则配置请查看操作手册。
『注意事项』:1、在同一个名字下可以配置多个时间段,这些时间段是“或”关系。
2、在SECPATH系列产品中,只有SECPATH10F是不可以保存系统时间的,重启设备后,时间就会丢失。
3、要将基于MAC地址的访问控制列表应用到接口上,防火墙必须工作在透明模式下,否则系统会提示“Please firstly active the Transparent mode !”。
2 地址转换(NAT):『配置实例』:1.配置域名与外部地址、端口号、协议类型之间的映射。
[Secpath] nat dns-map 10.153.49.197 80 tcp[Secpath] nat dns-map 10.153.49.197 21 tcp2.相关NAT地址转换及映射配置,请参考手册。
SecPath防火墙地址扫描和端口扫描攻击防范典型配置
SecPath地址扫描和端口扫描攻击防范典型配置一、组网需求部署SecPath防火墙,对地址扫描(ip-sweep)和端口扫描(port-scan)攻击进行防范,并利用黑名单功能将攻击者进行隔离。
二、组网图三、配置步骤[SecPath10F]dis cur#sysname SecPath10F#firewall packet-filter enablefirewall packet-filter default permit#undo connection-limit enableconnection-limit default denyconnection-limit default amount upper-limit 50 lower-limit 20#firewall statistic system enable //开启全局报文统计功能#firewall blacklist enable //启用黑名单功能#radius scheme system#domain system#local-user adminpassword cipher .]@USE=B,53Q=^Q`MAF4<1!!service-type telnet terminallevel 3service-type ftp#interface Ethernet1/0ip address 10.0.0.254 255.255.0.0#interface Ethernet2/0speed 10duplex halfip address 9.0.0.254 255.0.0.0#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet1/0set priority 85#firewall zone untrustadd interface Ethernet2/0set priority 5statistic enable ip outzone //对非信任域出方向的报文进行统计#firewall zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#FTP server enable#//设置地址扫描的阈值为每秒50次,将攻击者加入到黑名单并阻断10分钟firewall defend ip-sweep max-rate 50 blacklist-timeout 10//设置端口扫描的阈值为每秒100次,将攻击者加入到黑名单并阻断10分钟firewall defend port-scan max-rate 100 blacklist-timeout 10#user-interface con 0user-interface vty 0 4authentication-mode scheme#return四、配置关键点1.对域进入或送出的报文进行统计;2.开启黑名单功能;3.设置地址/端口扫描的阈值和攻击者被阻断的时间。
H3C_SecPath_UTM系列典型配置案例集-6W103-UTM系列特征库升级典型配置举例
UTM系列特征库升级典型配置举例关键词:特征库摘要:本文主要描述了UTM设备特征库升级的典型配置方法。
缩略语:缩略语英文全名中文解释UTM Unified Threat Management 统一威胁管理AV Anti-virus 防病毒IPS Intrusion prevention system 入侵防御系统目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (3)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 基本配置 (4)4.4.2 主要配置步骤 (5)4.5 验证结果 (7)5 相关资料 (7)5.1 其它相关资料 (7)1 特性简介特征库记录了设备可识别的攻击特征、病毒特征等,因此对于安全设备来说,必须保证特征库能够实时的更新升级,以保证它总是最新版本。
特征库的升级分为手动升级和自动升级:z自动升级可以帮助用户每隔指定的时间,使用特定的协议从特定的特征库版本服务器获取当前最新的特征库到设备。
z手动升级允许用户在需要的时候手动进行升级,用户可以手动设定获取特征库的协议、服务器地址和特征库文件名称,并且手动升级可以获取与设备兼容的任意一个版本的特征库。
手动升级一般是在用户的局域网内进行的。
2 应用场合运行在网络中的UTM设备启用了IPS和AV的功能,需要及时更新特征库3 注意事项要更新升级特征库,必须保证当前的License文件合法,并且在有效期限内。
自动升级特征库时,UTM设备需要连接到公网环境,与升级网址之间路由可达。
主要配置步骤中的配置是在“应用安全策略”界面进行的,在左侧导航栏中点击“IPS|AV|应用控制 > 高级设置”,点击“应用安全策略”链接就可以进入“应用安全策略”界面。
4 配置举例4.1 组网需求某公司的内网网段为192.168.1.0/24,通过GE0/2连接到外网。
用户登录Device的内网或外网接口地址,可以对Device进行手动特征库升级操作;设置自动升级后,Device会按照设定的时间自动进行特征库升级。
ARP攻击防范与解决方案
ARP攻击防范与解决方案简介:ARP(Address Resolution Protocol)攻击是一种常见的网络安全威胁,攻击者通过伪造ARP响应包来欺骗网络设备,从而篡改网络流量的目的地址。
这种攻击可以导致网络中断、信息泄露和数据篡改等严重后果。
为了保护网络安全,我们需要采取一些防范措施和解决方案来避免ARP攻击的发生。
一、防范措施:1. 安全网络设计:合理规划网络拓扑结构,采用分段设计,将重要的服务器和关键设备放置在内部网络,与外部网络隔离。
2. 强化网络设备安全:对路由器、交换机等网络设备进行定期升级和漏洞修复,禁用不必要的服务和端口,启用访问控制列表(ACL)限制不必要的流量。
3. 使用网络设备认证机制:启用设备认证功能,只允许授权设备加入网络,防止未经授权的设备进行ARP攻击。
4. 配置静态ARP表项:将重要设备的IP地址和MAC地址进行绑定,限制ARP请求和响应的范围,减少ARP攻击的可能性。
5. 使用防火墙:配置防火墙规则,限制网络流量,过滤异常ARP请求,阻挠ARP攻击的传播。
6. 监控和检测:部署网络入侵检测系统(IDS)和入侵谨防系统(IPS),实时监控网络流量,及时发现并阻挠ARP攻击。
二、解决方案:1. ARP缓存监控和清除:定期监控网络设备的ARP缓存,发现异常的ARP缓存项,及时清除并重新学习正确的ARP信息。
2. 使用ARP欺骗检测工具:部署ARP欺骗检测工具,实时监测网络中的ARP 请求和响应,发现异常的ARP流量,并采取相应的谨防措施。
3. 使用ARP谨防软件:部署专门的ARP谨防软件,通过对ARP流量进行深度分析和识别,及时发现和阻挠ARP攻击。
4. VLAN隔离:使用VLAN技术将网络划分为多个虚拟局域网,限制不同VLAN之间的通信,减少ARP攻击的影响范围。
5. 加密通信:使用加密协议(如SSL、IPSec)对网络通信进行加密,防止ARP攻击者窃取敏感信息。
H3C+SecPath+UTM系列典型配置案例集(F5117)-5W100
H3C SecPath UTM系列典型配置案例集杭州华三通信技术有限公司资料版本:5W100-20091025产品版本:SECPATH200UA&200UM&200UCA-CMW520-F5117SECPATH200US&200UCS&200UCM-CMW520-F5117声明Copyright © 2009 杭州华三通信技术有限公司及其许可者版权所有,保留一切权利。
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。
H3C、、Aolynk、、H3Care、、TOP G、、IRF、NetPilot、Neocean、NeoVTL、SecPro、SecPoint、SecEngine、SecPath、Comware、Secware、Storware、NQA、VVG、V2G、V n G、PSPT、XGbus、N-Bus、TiGem、InnoVision、HUASAN、华三均为杭州华三通信技术有限公司的商标。
对于本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
由于产品版本升级或其他原因,本手册内容有可能变更。
H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。
本手册仅作为使用指导,H3C尽全力在本手册中提供准确的信息,但是H3C并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。
技术支持用户支持邮箱:customer_service@技术支持热线电话:800-810-0504(固话拨打)400-810-0504(手机、固话均可拨打)网址:相关资料及其获取方式相关资料手册名称 用途《H3C SecPath U200系列统一威胁管理产品安装手册》介绍了H3C SecPath U200系列统一威胁管理产品的简介、软件维护、硬件维护、故障处理、安装及安装前的准备工作、接口卡和接口模块《H3C SecPathU200-CS_U200-CM_U200-CA统一威胁管理产品安装手册》介绍了H3C SecPath U200-CS、U200-CM、U200-CA统一威胁管理产品的简介、软件维护、硬件维护、故障处理、安装及安装前的准备工作、接口卡和接口模块《H3C SecPath U系列统一威胁管理产品用户手册》该手册介绍了H3C SecPath U系列统一威胁管理产品的功能特性、工作原理和配置及操作指导;指导用户通过Web方式对H3C SecPath U系列统一威胁管理产品进行配置操作;提供用户通过命令行方式对设备进行部分辅助功能配置。
防止同网段arp 欺骗攻击配置案例
防止同网段arp攻击典型配置案例华为三康技术有限公司Huawei-3Com Technologies Co., Ltd.版权所有侵权必究All rights reserved修订记录Revision Record1阻止仿冒网关IP的arp攻击 (4)1.1二层交换机 (4)1.1.1配置组网 (4)1.1.2防攻击配置举例 (4)1.2三层交换机 (5)1.2.1配置组网 (5)1.2.2防攻击配置举例 (5)2仿冒他人IP的arp攻击 (6)1 阻止仿冒网关IP的arp攻击1.1 二层交换机1.1.1 配置组网100.1.1.4/24100.1.1.2/24图13552P是三层设备,其中ip:100.1.1.1是所有pc的网关,3552P上的网关mac地址为000f-e200-3999。
PC-B上装有arp攻击软件。
现在需要对3026_A进行一些特殊配置,目的是过滤掉仿冒网关IP的arp报文。
1.1.2 防攻击配置举例对于二层交换机如3026c等支持ACL number为5000到5999的交换机,可以配置acl 来进行报文过滤。
(1)全局配置deny 所有源IP是网关的arp报文(自定义规则)ACL num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34rule0目的:把整个3026C_A端口冒充网关的ARP报文禁掉,其中蓝色部分64010101是网关ip地址的16进制表示形式:100.1.1.1=64010101。
rule1目的:把上行口的网关ARP报文允许通过,蓝色部分为网关3552的mac地址000f-e200-3999。
注意配置Rule时的配置顺序,上述配置为先下发后生效的情况。
在S3026C-A系统视图下发acl规则:[S3026C-A]packet-filter user-group 5000这样只有3026C_A上连设备能够下发网关的ARP报文,其它pc就不能发送假冒网关的arp响应报文。
arp攻击与防护措施及解决方案
arp攻击与防护措施及解决方案为有效防范ARP攻击,确保网络安全,特制定ARP攻击与防护措施及解决方案如下:1.安装杀毒软件安装杀毒软件是防范ARP攻击的第一步。
杀毒软件可以帮助检测和清除ARP病毒,保护网络免受ARP攻击。
在选择杀毒软件时,应确保其具有实时监控和防御ARP攻击的功能。
2.设置静态ARP设置静态ARP是一种有效的防护措施。
通过在计算机上手动设置静态ARP表,可以避免网络中的ARP欺骗。
在设置静态ARP时,需要将计算机的MAC地址与IP地址绑定,以便在接收到ARP请求时进行正确响应。
3.绑定MAC地址绑定MAC地址可以防止ARP攻击。
在路由器或交换机上,将特定设备的MAC地址与IP地址绑定,可以确保只有该设备能够通过ARP协议解析IP地址。
这种绑定可以提高网络安全性,避免未经授权的设备接入网络。
4.限制IP访问限制IP访问可以防止ARP攻击。
通过设置访问控制列表(ACL),可以限制特定IP地址的网络访问权限。
这样可以避免网络中的恶意节点发送ARP请求,确保网络通信的安全性。
5.使用安全协议使用安全协议可以进一步提高网络安全性。
例如,使用IEEE802.IX协议可以验证接入网络的设备身份,确保只有授权用户可以访问网络。
此外,还可以使用其他安全协议,如SSH或VPN等,以加密网络通信,防止A RP攻击。
6.配置网络设备配置网络设备是防范ARP攻击的重要环节。
在路由器、交换机等网络设备上,可以设置ARP防护功能,例如ARP欺骗防御、ARP安全映射等。
这些功能可以帮助识别并防御ARP攻击,保护网络免受ARP 病毒的侵害。
7.定期监控网络定期监控网络是确保网络安全的有效手段。
通过监控网络流量、异常IP连接等指标,可以及时发现ARP攻击的迹象。
一旦发现ARP 攻击,应立即采取措施清除病毒,修复漏洞,并重新配置网络设备以确保安全性。
8.制定应急预案制定应急预案有助于快速应对ARP攻击。
应急预案应包括以下几个方面:(1)确定应急响应小组:建立一个专门负责网络安全问题的小组,明确其职责和权限。
H3C SecPath UTM系列特征库升级典型配置举例
H3C SecPath UTM系列特征库升级典型配置举例关键词:特征库摘要:本文主要描述了UTM设备特征库升级的典型配置方法。
缩略语:缩略语英文全名中文解释UTM Unified Threat Management 统一威胁管理AV Anti-virus 防病毒IPS Intrusion prevention system 入侵防御系统目录1 特性简介 (1)2 应用场合 (1)3 注意事项 (1)4 配置举例 (1)4.1 组网需求 (1)4.2 配置思路 (2)4.3 使用版本 (2)4.4 配置步骤 (2)4.4.1 基本配置 (2)4.4.2 主要配置步骤 (3)4.5 验证结果 (5)5 相关资料 (5)5.1 其它相关资料 (5)1 特性简介特征库记录了设备可识别的攻击特征、病毒特征等,因此对于安全设备来说,必须保证特征库能够实时的更新升级,以保证它总是最新版本。
特征库的升级分为手动升级和自动升级:z自动升级可以帮助用户每隔指定的时间,使用特定的协议从特定的特征库版本服务器获取当前最新的特征库到设备。
z手动升级允许用户在需要的时候手动进行升级,用户可以手动设定获取特征库的协议、服务器地址和特征库文件名称,并且手动升级可以获取与设备兼容的任意一个版本的特征库。
手动升级一般是在用户的局域网内进行的。
2 应用场合运行在网络中的UTM设备启用了IPS和AV的功能,需要及时更新特征库3 注意事项要更新升级特征库,必须保证当前的License文件合法,并且在有效期限内。
主要配置步骤中的配置是在“应用安全策略”界面进行的,在左侧导航栏中点击“IPS|AV|应用控制 > 高级设置”,点击“应用安全策略”链接就可以进入“应用安全策略”界面。
4 配置举例4.1 组网需求某公司的内网网段为192.168.1.0/24,通过GE0/2连接到外网。
用户登录UTM的内网或外网接口地址,可以对UTM进行手动特征库升级操作;设置自动升级后,UTM会按照设定的时间自动进行特征库升级。
01-H3C SecPath UTM系列配置管理典型配置举例
H3C SecPath UTM系列配置管理典型配置举例关键词:配置管理,备份摘要:配置管理模块主要用于对设备进行配置保存(加密和非加密)、备份、配置恢复和恢复出厂配置,用户可以在web页面方便地对设备的配置进行维护和管理。
缩略语:缩略语英文全名中文解释- - -目录1 特性简介 (1)2 应用场合 (1)3 注意事项 (1)4 配置举例 (1)4.1 组网需求 (1)4.2 配置思路 (1)4.3 使用版本 (2)4.4 配置步骤 (2)4.4.1 基本配置 (2)4.4.2 配置管理 (4)4.5 验证结果 (7)4.5.1 配置保存 (7)4.5.2 配置备份 (7)4.5.3 配置恢复 (7)4.5.4 恢复出厂配置 (7)4.5.5 软件升级 (7)4.5.6 设备重启 (7)1 特性简介配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。
配置保存可以加密保存配置,如果将配置信息备份下来,打开文件查看时,看到的是密文显示。
在此页面可以对当前的配置信息进行配置备份和备份恢复。
软件升级和系统重启可以让用户通过web页面对设备进行管理和操作。
2 应用场合用于设备的日常维护,当配置修改后,可以保存配置以免设备断电配置信息丢失。
也可以将配置信息备份下来,用于日后的配置恢复。
如果想清空配置信息时,可以恢复出厂配置。
3 注意事项(1) 软件升级时,尽量在流量少的时候操作,以免影响用户正常使用。
(2) 备份恢复时,若文件名与当前系统的配置文件名不同,需要修改一下。
(3) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。
4 配置举例4.1 组网需求本配置举例中,UTM设备使用的是UTM200-S。
图4-1配置管理组网图4.2 配置思路GE0/1所在的局域网(内网)接口配置地址为2.1.1.1/24,在Trust域。
4.3 使用版本<H3C>display versionH3C Comware Platform SoftwareComware Software, Version 5.20, Beta 5112Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights reserved.H3C SecPath U200-S uptime is 0 week, 3 days, 15 hours, 25 minutesCPU type: RMI XLS404 800MHz CPU512M bytes DDR2 SDRAM Memory32M bytes Flash MemoryPCB Version:Ver.BLogic Version: 3.0Basic BootWare Version: 1.21Extend BootWare Version: 1.21[FIXED PORT] CON (Hardware)Ver.B, (Driver)1.0, (Cpld)3.0[FIXED PORT] GE0/0 (Hardware)Ver.B, (Driver)1.0, (Cpld)3.0[FIXED PORT] GE0/1 (Hardware)Ver.B, (Driver)1.0, (Cpld)3.0[FIXED PORT] GE0/2 (Hardware)Ver.B, (Driver)1.0, (Cpld)3.0[FIXED PORT] GE0/3 (Hardware)Ver.B, (Driver)1.0, (Cpld)3.0[FIXED PORT] GE0/4 (Hardware)Ver.B, (Driver)1.0, (Cpld)3.0[SUBCARD 1] The SubCard is not present4.4 配置步骤4.4.1 基本配置1. 配置接口IP地址z在左侧导航栏中点击“设备管理 > 接口管理”。
SecPath防火墙ip-sweep和port-scan攻击防范动态加入黑名单的典型配置
SecPath防火墙ip-sweep和port-scan攻击防范动态加入黑名单的典型配置一、组网需求:测试SecPath防火墙ip-sweep和port-scan防范功能,对扫描类的攻击动态加入到黑名单。
二、组网图SecPath1000F:版本为Version 3.40, ESS 1604P01;Web Server:Windows 2003操作系统;PC:Windows XP操作系统,安装EasyToolKit攻击工具。
三、配置步骤1.SecPath1000F的主要配置#sysname Quidway#firewall packet-filter enablefirewall packet-filter default permit#firewall statistic system enable //全局模式启用统计功能#firewall blacklist enable //启用黑名单功能firewall blacklist 202.38.1.99 //手工添加到黑名单条目#interface GigabitEthernet0/0ip address 172.16.1.1 255.255.255.0#interface GigabitEthernet0/1ip address 192.168.1.1 255.255.255.0#firewall zone trustadd interface GigabitEthernet0/0set priority 85#firewall zone untrustadd interface GigabitEthernet0/1set priority 5statistic enable ip outzone //连接发起域出方向启用IP统计功能#firewall defend ip-sweep max-rate 300 blacklist-timeout 15 //配置ip-sweep防范属性firewall defend port-scan max-rate 300 blacklist-timeout 10 //配置port-scan 防范属性#[Quidway]dis firewall blacklist item //显示黑名单表项Firewall blacklist item :Current manual insert items : 1Current automatic insert items : 2Need aging items : 2IP Address Insert reason Insert time Agetime(minutes)--------------------------------------------------------------------------202.38.1.99 Manual 2006/10/11 08:30:22 Permanent192.168.1.2 Port Scan 2006/10/11 08:59:53 10192.168.1.2 IP Sweep 2006/10/11 09:55:13 15[Quidway]dis firewall statistic system defend //显示攻击防范统计Display firewall defend statistic:IP-sweep, 2 time(s)TCP port-scan, 2 time(s)UDP port-scan, 0 time(s)total, 4 time(s)2.PC攻击工具配置打开“EasyAttacker”程序,选择攻击网卡,浏览选择攻击类型:编辑配置文件:运行脚本,构造攻击报文:验证结果:四、配置关键点1.连接发起域出方向启用IP统计功能;2.使用“EasyToolKit”前,必须安装“dotnetfx.exe”和“WinPcap”;3.全局下必须开启统计功能;4.max-rate默认值为4000;5.默认不加入黑名单。
SecPath防火墙攻击防范典型配置
SecPath防火墙攻击防范典型配置一、组网需求SecPath开启攻击防范,对内外网的双向流量进行监控,对攻击进行告警和阻断。
二、组网图软件版本如下:SecPath100F:VRP 3.40 ESS 1604;三、配置步骤[Quidway]#sysname Quidway#firewall packet-filter enablefirewall packet-filter default permit#undo connection-limit enableconnection-limit default denyconnection-limit default amount upper-limit 50 lower-limit 20#firewall statistic system enable#radius scheme system#domain system#local-user adminpassword cipher .]@USE=B,53Q=^Q`MAF4<1!!service-type telnet terminallevel 3service-type ftp#interface Ethernet1/0ip address 192.168.1.254 255.255.255.0#interface Ethernet2/0ip address 202.38.1.1 255.255.0.0#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet1/0set priority 85#firewall zone untrustadd interface Ethernet2/0set priority 5#firewall zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#FTP server enable#firewall defend ip-spoofing \\防范IP欺骗firewall defend land \\防范Land攻击firewall defend smurf \\防范Smurf攻击firewall defend fraggle \\防范Fraggle攻击firewall defend winnuke \\防范Winnuke攻击firewall defend icmp-redirect \\防范ICMP重定向攻击firewall defend icmp-unreachable \\防范ICMP不可达攻击firewall defend source-route \\防范源路由攻击firewall defend route-record \\防范记录路由攻击firewall defend tracert \\防范Tracert攻击firewall defend ping-of-death \\防范死亡之Ping攻击firewall defend tcp-flag \\防范TCP-flag攻击firewall defend ip-fragment \\防范IP分片攻击firewall defend large-icmp \\防范超大ICMP包攻击firewall defend teardrop \\防范teardrop(泪滴)攻击firewall defend ip-sweep \\防范IP扫描攻击firewall defend port-scan \\防范端口扫描攻击firewall defend arp-spoofing \\防范arp欺骗攻击firewall defend arp-reverse-query \\防范反向arp请求攻击firewall defend arp-flood \\防范arp洪水攻击firewall defend frag-flood \\防范分片洪水攻击firewall defend syn-flood enable \\使能syn-flood攻击防范firewall defend udp-flood enable \\使能udp-flood攻击防范firewall defend icmp-flood enable \\使能icmp-flood攻击防范#user-interface con 0user-interface vty 0 4authentication-mode scheme#return四、配置关键点1.在全局模式下使用firewall defend xx打开对xx攻击的防范;2.注意:对于syn-flood、udp-flood和icmp-flood的攻击防范,情况有所不同。
SecPath UTM PPPoE的典型配置
SecPath UTM PPPoE的典型配置一.用户需求某公司网络通过ADSL宽带接入服务。
用户配置UTM设备的PPPoE拨号功能接入ADSL网络,可以访问公网的网络资源。
二.组网图三.配置步骤1.接口配置配置接口GE0/2地址:在左侧导航栏中点击“设备管理 > 接口管理”。
点击GE0/2栏中的按钮,进入“接口编辑”界面。
按照下图设置接口GE0/2,点击 < 确定 >按钮返回“接口管理”界面。
2.ACL配置在左侧导航栏中点击“防火墙 > ACL”,点击页面的< 新建 >按钮,创建ACL2000。
点击ACL2000 栏中的按钮,点击< 新建 >按钮创建规则。
点击< 确定 >按钮。
3.接口加入安全域配置接口GE0/2加入Trust域点击左侧导航栏“设备管理 > 安全域”。
点击Trust栏中的按钮,进入“修改安全域”界面。
按照下图将接口GE0/2加入Trust 域,点击< 确定 >按钮返回“安全域”界面。
4.域间策略配置点击左侧导航栏“防火墙 > 安全域 > 域间策略”。
点击< 新建 >按钮,按照下面截图信息配置Trust域到Untrust域的域间策略。
同理,添加一条Untrust域到Trust域的域间策略。
5.PPPoE配置点击左侧导航栏“网络管理 > PPPoE > Client信息”,在页面点击< 新建 >按钮,按照下面的截图进行配置,点击< 确定 >按钮。
6.出接口NAT配置在“防火墙 > NAT > 动态地址转换”页面,点击“地址转换关联”下的< 新建 >按钮。
按照下面的截图信息配置出接口Dialer1的NAT,点击< 确定 >按钮。
四.验证结果1.PPPoE验证结果:如果PPPoE正好和密码设置正确,可以在串口看到如下信息。
09-H3C SecPath UTM系列ARP防攻击典型配置举例
H3C SecPath UTM系列ARP防攻击典型配置举例关键词:UTM,ARP摘要:ARP协议因为没有任何安全机制而容易被攻击发起者利用。
为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行检测和解决。
缩略语:缩略语英文全名中文解释UTM Unified Threat Management 统一威胁管理ARP Address Resolution Protocol 地址解析协议目录1 特性简介 (1)2 应用场合 (1)3 注意事项 (1)4 配置举例 (1)4.1 组网需求 (1)4.2 配置思路 (1)4.3 使用版本 (2)4.4 配置步骤 (2)4.4.1 配置接口地址 (2)4.4.2 接口加入域 (4)4.4.3 配置ARP防攻击方法—免费ARP (6)4.4.4 配置ARP防攻击方法—ARP扫描 (7)4.4.5 配置ARP防攻击方法—ARP固化 (7)4.5 验证结果 (8)4.5.1 免费ARP验证结果 (8)4.5.2 ARP扫描验证结果 (9)4.5.3 ARP固化验证结果 (9)5 相关资料 (11)5.1 相关协议和标准 (11)5.2 其它相关资料 (11)1 特性简介ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。
目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行检测和解决。
2 应用场合网吧、校园网等局域网。
3 注意事项z配置免费ARP功能后,只有当接口链路Up并且配置IP地址后,此功能才真正生效。
z如果修改了免费ARP报文的发送周期,则在下一个发送周期才能生效。
z不要在配置了VRRP备份组的接口下使能免费ARP功能。
z建议用户在ARP自动扫描期间不要进行其他操作。
z只有三层以太网接口、三层以太网子接口、VLAN接口学习到的动态ARP表项可以被固化。
4 配置举例4.1 组网需求本配置举例中,UTM设备使用的是U200-S。
ARP 攻击防御配置
ARP 攻击防御配置ARP 协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。
目前ARP 攻击和ARP 病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行检测和解决。
下面将详细介绍一下这些技术的原理以及配置。
3.1 配置ARP 源抑制功能3.1.1 ARP 源抑制功能简介如果网络中有主机通过向设备发送大量目标IP 地址不能解析的IP 报文来攻击设备,则会造成下面的危害:设备向目的网段发送大量ARP 请求报文,加重目的网段的负载。
设备会不断解析目标IP 地址,增加了CPU 的负担。
为避免这种攻击所带来的危害,设备提供了ARP 源抑制功能。
开启该功能后,如果网络中某主机向设备某端口连续发送目标IP 地址不能解析的IP 报文(当每5 秒内的ARP 请求报文的流量超过设置的阈值),对于由此IP 地址发出的IP 报文,设备不允许其触发ARP 请求,直至5 秒后再处理,从而避免了恶意攻击所造成的危害。
3.1.2 配置ARP 源抑制表3-1 配置ARP 源抑制操作命令说明进入系统视图system-view -使能ARP 源抑制功能arp source-suppression enable必选缺省情况下,关闭ARP 源抑制功能配置ARP 源抑制的阈值arp source-suppression limitlimit-value可选缺省情况下,ARP 源抑制的阈值为103.1.3 ARP 源抑制显示和维护在完成上述配置后,在任意视图下执行display 命令可以显示配置后ARP 源抑制的运行情况,通过查看显示信息验证配置的效果。
表3-2 ARP 源抑制显示和维护操作命令显示ARP 源抑制的配置信息display arp source-suppression3-23.2 配置ARP 防IP 报文攻击功能3.2.1 ARP 防IP 报文攻击功能介绍在进行IP 报文转发过程中,设备需要依靠ARP 解析下一跳IP 地址的MAC 地址。
ARP攻击防范与解决方案
ARP攻击防范与解决方案ARP(地址解析协议)攻击是一种常见的网络攻击手段,攻击者通过伪造或修改ARP请求和响应数据包来欺骗网络设备,从而获得网络流量并进行恶意活动。
为了保护网络安全,我们需要采取一系列的防范措施来防止ARP攻击的发生,并及时解决已经发生的ARP攻击。
一、防范ARP攻击的措施1. 使用静态ARP表:将网络设备的IP地址和MAC地址手动绑定,防止ARP 响应被篡改。
这样可以有效防止ARP攻击者通过ARP欺骗获得网络流量。
2. 启用ARP防火墙:ARP防火墙可以检测和阻止异常的ARP请求和响应数据包,防止ARP攻击者伪造或修改ARP数据包。
同时,可以配置白名单,只允许特定的IP地址和MAC地址之间进行ARP通信,增加网络的安全性。
3. 使用虚拟局域网(VLAN):将网络划分为多个虚拟局域网,不同的VLAN 之间无法直接通信,可以减少ARP攻击的范围和影响。
同时,可以通过配置ACL (访问控制列表)来限制不同VLAN之间的ARP通信。
4. 启用端口安全功能:网络交换机可以配置端口安全功能,限制每个端口允许连接的MAC地址数量,防止ARP攻击者通过伪造或修改MAC地址来进行ARP 攻击。
5. 使用ARP监控工具:ARP监控工具可以实时监测网络中的ARP请求和响应数据包,及时发现异常的ARP活动。
一旦发现ARP攻击,可以及时采取相应的解决措施。
二、解决ARP攻击的方法1. 及时更新网络设备的固件和操作系统:网络设备的固件和操作系统中可能存在安全漏洞,攻击者可以利用这些漏洞进行ARP攻击。
及时更新固件和操作系统可以修补这些漏洞,提高网络的安全性。
2. 使用安全的网络设备:选择具有ARP攻击防御功能的网络设备,如防火墙、入侵检测系统等。
这些设备可以检测和阻止ARP攻击,提供更高的网络安全性。
3. 配置网络设备的安全策略:合理配置网络设备的安全策略,限制ARP请求和响应的频率和数量,防止ARP攻击者通过大量的ARP请求和响应来干扰网络正常运行。
H3C SecPath UTM Series Anti-Spam配置示例说明书
H3C SecPath UTM Series Anti-Spam ConfigurationExampleKeywords: Anti-spam,SMTP, POP3Abstract: This document presents an anti-spam configuration example for UTM devices.Acronyms:Acronym Full spellingUTM Unified Threat ManagementSMTP Simple Mail Transfer ProtocolPOP3 Post Office Protocol, Version 3Table of ContentsFeature Overview (3)Application Scenarios (3)Configuration Guidelines (3)Anti-Spam Configuration Example (3)Network Requirements (3)Configuration Considerations (4)Hardware/Software Version Used (4)Configuration Procedures (4)Basic Configuration (4)Anti-Spam Configuration (7)Verification (10)Related Documentation (11)Feature OverviewBy cooperating with a Commtouch mail server (a third-party mail server), the anti-spam feature of an H3C UTM device can inspect all emails sent from external networks to the internal network and process the emails as configured, so as to prevent spam from wasting the resources of the internal network.With the anti-spam feature configured, the device forwards all emails received from external networks to the Commtouch mail server for inspection and, after receiving the inspection results, processes the emails based on the actions specified in the anti-spam policy.The anti-spam feature supports inspecting Simple Mail Transfer Protocol (SMTP) emails and Post Office Protocol, Version 3 (POP3) emails:z SMTP: In a scenario where the SMTP clients are on the external network and the SMTP server is on the internal network.z POP3: In a scenario where the POP3 clients are on the internal network and the POP3 server is on the external network.Application ScenariosThe anti-spam feature can be deployed to check emails entering an internal network to prevent email spam from occupying resources of the internal network.Configuration GuidelinesBefore configuring the anti-spam feature, ensure that:z The device can communicate with the Commtouch mail server normally. The address of the Commtouch mail server is http://resolver%, where %d indicates a number in therange from 1 to 10.z The device has a legal, effective license of the anti-spam feature.z The device can connect to to verify the validity of the license for the anti-spam feature. When the license of the anti-spam feature expires, all anti-spam configurations will not beeffective any more.Anti-Spam Configuration ExampleNetwork RequirementsAs shown in Figure 1, the internal network of a company is 4.1.1.0/24, and the external network is 192.168.100.0/22. Configure the UTM device to inspect emails received from the POP3 server and process those emails as follows:z Modify the subjects of emails from known spam sources and log them.z Modify the subjects of emails from unknown spam sources and log them.z Log suspicious emails.z Forward normal emails normally.Figure 1 Network diagram for anti-spam configurationConfiguration Considerationsz Redirect the traffic of interest for in-depth inspection.z Configure the anti-spam policy and rules.z Apply the policy to the segment.Hardware/Software Version Used<H3C>dis verH3C Comware Platform SoftwareComware Software, Version 5.20, Ess 5115Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights reserved.H3C SecPath U200-CM uptime is 0 week, 3 days, 20 hours, 54 minutesCPU type: RMI XLS404 800MHz CPU512M bytes DDR2 SDRAM Memory32M bytes Flash Memory247M bytes CF0 CardPCB Version:Ver.BLogic Version: 2.0Basic BootWare Version: 1.23Extend BootWare Version: 1.23[FIXED PORT] CON (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/0 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/1 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/2 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/3 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/4 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[SUBCARD 1] 2GE (Hardware)Ver.B, (Driver)1.0, (Cpld)1.0Configuration ProceduresBasic ConfigurationConfiguring interface GE 0/1Select Device Management > Interface from the navigation tree and then click the icon of GE 0/1 to enter the interface configuration page. Perform the configurations shown in the following figure and click Apply.Select Device Management > Zone from the navigation tree and then click the icon of the Untrust zone to enter the page for modifying the security zone configurations. Add interface GE 0/1 to the Untrust zone as shown in the following figure, and click Apply to complete the operation and return to the security zone page.Configuring interface GE 0/4Similarly, assign IP address 4.1.1.1/24 to interface GE 0/4 and add the interface to security zone Trust. Selecting Device Management > Interface from the navigation tree, you should see the following list:Configuring NATTo enable internal hosts to connect to the external network through the UTM device, you need to configure a NAT policy on interface GE 0/1. In this example, the policy references ACL 3004 and uses the NAT mode of Easy IP.Select Firewall > ACL from the navigation tree and then create ACL 3004 and add a rule to the ACL to identify the flow of interest. In this example, the ACL permits packets sourced from 4.1.1.0/24. The configurations are shown in the following figure:Select Firewall > NAT Policy > Dynamic NAT from the navigation tree and then under Dynamic NAT, click Add and then specify ACL 3004 and Easy IP for interface GigabitEthernet 0/1. The following figure shows the configuration result:Configuring a routeSelect Network > Routing Management > Static Routing from the navigation tree and configure a default route, setting the next hop to the IP address for the intranet side interface of the router that connects the GE 0/1 interface of the UTM device with the external network (192.168.100.254 in this example).Configuring a redirect policyConfigure a redirect policy to redirect the flow of interest to the i-Ware platform for in-depth analysis. In this example, traffic between zone Trust and zone Untrust that matches ACL 3000 will be redirected to segment 0.First , select Firewall > ACL from the navigation tree and then create ACL 3000 and add rules to the ACL to identify the traffic of interest. The configurations are shown in the following figure:Then, select IPS | AV | Application Control > Advanced Configuration from the navigation tree and create a redirect policy to redirect traffic matching ACL 3000 to segment 0.Anti-Spam ConfigurationSelect IPS | AV | Application Control > Advanced Configuration from the navigation tree and click the Application Security Policy link to enter the in-depth inspection configuration page.Enabling anti-spam inspectionSelect Anti-Spam > Anti-Spam from the navigation tree and perform the following configurations in the Server Configuration area:z Select the Antispam inspection check box.z Click Apply.z After a while, you will see that the operation status becomes normal.z If the UTM device connects to the Commtouch mail server through a proxy server, you need to configure the proxy server according to the networking scheme.z The anti-spam signature database stores all email spam signatures that the device can identify.The license of the anti-spam feature has a validity period specified. After the license expires, you need to recharge to obtain a new license before upgrading the anti-spam signature database.Creating and applying the anti-spam policyUnder Policy Application List, click Add and perform the following configurations:z Type test as the name.z Select Modify subject and log as the action for POP3 emails from known spam sources.z Select Modify subject and log as the action for POP3 emails from unknown spam sources.z Select Log as the action for suspicious POP3 emails.z Select Log as the action for normal POP3 emails.z Under Apply Policy, click Add and perform the following configurations on the page that appears: z Select segment 0.z Click Apply.z Now, segment 0 should appear on the list under Apply Policy. Click Apply to complete the operation.Activating configurationsAfter the application operation is complete, the anti-spam configuration page appears again, as shown in the following figure. Click Activate and confirm your operation.VerificationOn internal host 4.1.1.2, configure Outlook Express to receive emails. Then, on the web interface of the device, select Log Management > Anti-Spam Logs from the navigation tree. Logs about inspection and processing of emails destined for the user should appear on the list.Hangzhou H3C Technologies Co., Ltd. 11/11Related DocumentationAnti-Spam Configuration of the Web configuration manual.。
H3C SecPath UTM系列典型配置案例集-5W102-UTM系列防病毒典型配置举例
UTM系列防病毒典型配置举例关键词:防病毒摘要:本文主要描述了UTM设备的防病毒功能的典型配置方法。
缩略语:缩略语英文全名中文解释UTM Unified Threat Management 统一威胁管理AV Anti-virus 防病毒目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (3)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 基本配置 (4)4.4.2 防病毒策略配置 (6)4.5 验证结果 (9)5 相关资料 (10)5.1 其它相关资料 (10)1 特性简介UTM的防病毒业务以在线方式运行于网络主干上。
通过采用实时分析,自动阻截携带病毒的报文与异常流量。
针对这些异常流量,通常施以阻截、隔离或干扰的处置,以预防病毒在网络中传播。
2 应用场合需要对网络中的异常流量进行分析和检测,预防病毒在网络中传播。
3 注意事项配置防病毒管理时需要注意如下事项:z已经应用到段上的防病毒策略不能删除。
z系统预定义的防病毒策略和规则不能删除。
z一个报文在一个段上只能匹配一条防病毒段策略。
当一个段上应用了多个防病毒策略,则系统在对报文进行匹配时,会根据段策略中指定的IP地址范围的精确程度,越精确的(即IP地址范围越小的)段策略越优先匹配;当有多个段策略的IP地址范围精确程度相同时,则先配置的段策略优先匹配。
z防病毒策略配置是在“应用安全策略”界面进行的,在左侧导航栏中点击“IPS|AV|应用控制 > 高级设置”,点击“应用安全策略”链接就可以进入“应用安全策略”界面。
4 配置举例4.1 组网需求某公司的内网网段为192.168.1.0/24。
在Device上配置防病毒策略,阻止公司内部的用户通过FTP 向外网上传病毒,或者通过邮件附件向外发送病毒。
图1防病毒配置举例组网图4.2 配置思路z将需要进行检测的流量引进深度检测z创建防病毒策略z配置防病毒规则z应用策略到指定段上4.3 使用版本F51184.4 配置步骤4.4.1 基本配置1. 配置接口GE0/2在左侧导航栏中点击“设备管理 > 接口管理”,点击GE0/2栏中的按钮,进入“接口编辑”界面。
防攻击的系统保护配置指南
防攻击的系统保护配置指南一、概述众所周知,许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的,大量的扫描报文也急能,用以防止黑客扫描和类似“冲击波病毒”的攻们称为“scan dest ip attack ”。
这种扫描是最危害网络的,不但消耗网 dest ip attack ”。
这种攻击主要是针种攻击,我们交换机都可以在每个接口上调整相应的攻击阀值、攻击主机隔离的时间等参数二、配置缺省的配置系统保护的状态 每个端口都关闭 剧占用网络带宽,导致正常的网络通讯无法进行。
为此,我们锐捷网络的三层交换机提供了防扫描的功击,并能减少三层交换机的CPU 负担。
目前发现的扫描攻击有两种:1)目的IP 地址变化的扫描,我络带宽,增加交换机的负担,更是大部分黑客攻击手段的起手。
2)目的IP 地址不存在,却不断的发送大量报文,我们称为“same 对减少交换机CPU 的负担来设计。
对三层交换机来说,如果目的IP 地址存在,则报文的转发会通过交换芯片直接转发,不会占用交换机CPU 的资源,而如果目的IP 不存在,交换机CPU 会定时的尝试连接,而如果大量的这种攻击存在,也会消耗着CPU 资源。
当然,这种攻击的危害比第一种小得多了。
以上这两,以便管理员最细化的管理配置。
如果每个接口的配置都一样,管理员也可通过interface range 功能进行一批端口的设置。
非法用户的隔离时间 秒 每个端口均为120对某个不存在的IP 不断的发IP 报文进行攻个 击的最大阀值每个端口均为每秒20对一批IP 网段进行扫描攻击的最大阀值 每个端口均为每秒10个 监控攻击主机的最大数目 100台主机配置系统保护的打开您可以在接口模式下打开系统保护。
命令含义步骤1 configure terminal局配置模式。
进入全interface。
步骤2 interface interface-id进入该的配置模式合法的包括物理端口和interface Aggregate。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SecPath UTM ARP防攻击的典型配置
一.用户需求
某用户局域网中存在ARP攻击,常常导致内网用户无法正常访问外部的网络资源,因此部署了UTM进行ARP攻击防护。
二.组网图
三.配置步骤
1.配置接口GE0/0地址
在左侧导航栏中点击“设备管理 > 接口管理”。
点击GE0/0栏中的按钮,进入“接口编辑”界面。
按照下图设置接口GE0/0,点击< 确定 >返回“接口管理”界面。
2.配置接口GE0/2地址
在左侧导航栏中点击“设备管理 > 接口管理”。
点击GE0/2栏中的按钮,进入“接口编辑”界面。
按照下图设置接口GE0/2,点击< 确定 >返回“接口管理”界面。
3.接口GE0/0加入Trust域
点击左侧导航栏“设备管理 > 安全域”。
点击Trust栏中的按钮,进入“修改安全域”界面。
按照下图将接口GE0/0加入Trust域,点击< 确定 >返回“安全域”界面。
4.接口GE0/2加入Untrust域
点击左侧导航栏“设备管理 > 安全域”。
点击Untrust栏中的按钮,进入“修改安全域”界面。
按照下图将接口GE0/2加入Untrust域,点击< 确定 >返回“安全域”界面。
5.配置ARP防攻击方法
5.1免费ARP
(1)配置接口发送免费ARP
点击左侧导航栏“防火墙 > ARP防攻击 > 免费ARP定时发送”。
选择接口GE0/0,发送时间间隔采用默认值,或者输入合适的时间间隔,然后点击
,再点击< 确定 >按钮完成配置。
这是让内网所有机器记录内网接口GE0/0的ARP表项。
(2)配置发送免费ARP
5.2 ARP扫描
配置ARP扫描
点击左侧导航栏“防火墙 > ARP防攻击 > ARP扫描”。
选择接口GE0/0,设置扫描的开始和结束IP地址范围,例如下图所示。
如果不输入地址,则系统会按照接口地址的掩码范围进行扫描。
5.3 ARP固化
配置ARP固化
点击左侧导航栏“防火墙 > ARP防攻击 > ARP固化”,表中将出现所有UTM设备上学习到的全部动态和静态ARP,包括ARP扫描获取的。
勾选想要固化的ARP表项,点击< 固化 >。
或者勾选不想固化的ARP,点击< 解除固化 >。
“全部固化”和“解除全部固化”用来对ARP固化表中的全部ARP表项进行操
作。
解除固化操作,实际上是删除该ARP静态表项。
四.验证结果
(1)免费ARP验证结果
在内网(192.168.1.0/24)抓取报文,能够每隔2秒钟抓包免费GE0/0发送的免费ARP报
文。
(2)ARP扫描验证结果
扫描之后,内网所有ARP表项将全部出现在ARP表中,可以查看“防火墙 > ARP防攻击
> 固化”中所有表项,例如能看到192.168.1.0/24网段的ARP表项为:
(3)ARP固化验证结果
在“防火墙> ARP防攻击> 固化”界面中,勾选ARP表项192.168.1.2、192.168.1.11、192.168.1.78,然后点击< 固化 >,结果如下图所示。
说明ARP固化之后变成静态ARP,静态ARP会列举在ARP表的最前面,所以这三项的表中显示位置可能会发生变化。
(4)ARP解除固化验证结果
在“防火墙> ARP防攻击> 固化”界面中,勾选ARP表项192.168.1.2、192.168.1.11、192.168.1.78,然后点击< 解除固化 >。
将会出现如下提示。
点击< 确定 >,则这三项ARP静态表项被删除。
表中暂时查看不到这三个ARP表项,除非UTM设备重新学习到ARP,或者进行了对应接口的ARP扫描。