【正文】 絡造成一定影響，請慎重實施。目前，網(wǎng)絡上最大也是最難解決的攻擊是DOS攻擊。大多數(shù)的Dos攻擊都是通過發(fā)送大量的無用包，從而占用路由器和帶寬的資源，導致網(wǎng)絡和設備過載，這種攻擊也稱為洪泛攻擊。對于這種攻擊的防范首先要明確瓶頸在哪里。ICMP協(xié)議的安全配置：ICMP協(xié)議很多具有一些安全隱患，因此在骨干網(wǎng)絡上，如果沒有特別需要建議禁止一些ICMP協(xié)議報文：ECHO、Redirect、Mask request。同時禁止TraceRoute命令的探測。對于流出的ICMP流，我們可以允許ECHO、Parameter Problem、Packet too big。還有TraceRoute命令的使用。這些的措施通過ACL功能都可以實現(xiàn)。DDOS攻擊的防范：DDoS(分布式拒絕服務)，它的英文全稱為Distributed Denial of Service，它是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比較大的站點，比如商業(yè)公司，搜索引擎和政府部門的站點。該攻擊需要在發(fā)現(xiàn)問題后接入層面實施，先探測到DDOS攻擊源和攻擊使用的端口（這個功能可以通過端口鏡像，將數(shù)據(jù)流鏡像到專門的設備上進行分析，以獲取攻擊源和攻擊使用的端口），然后對攻擊源的通信進行限制，這類防范手段也可以通過ACL來實現(xiàn)。Smurf攻擊的防范：Smurf攻擊是向一個子網(wǎng)的廣播地址發(fā)一個帶有特定請求（如ICMP回應請求）的包，并且將源地址偽裝成想要攻擊的主機地址。子網(wǎng)上所有主機都回應廣播包請求而向被攻擊主機發(fā)包，使該主機受到攻擊。該攻擊需要在發(fā)現(xiàn)問題后接入層面實施，先探測到Smurf攻擊源和攻擊使用的端口（這個功能可以通過端口鏡像，將數(shù)據(jù)流鏡像到專門的設備上進行分析，以獲取攻擊源和攻擊使用的端口），然后對攻擊源的通信進行限制，這類防范手段也可以通過ACL來實現(xiàn)。TCP SYN攻擊的防范：利用TCP連接機制的攻擊。Synflood: 該攻擊以多個隨機的源主機地址向目的主機發(fā)送SYN包，而在收到目的主機的SYN ACK后并不回應，這樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于沒有收到ACK一直維護著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務。該攻擊需要在發(fā)現(xiàn)問題后接入層面實施，先探測到TCP SYN攻擊源和攻擊使用的端口（這個功能可以通過端口鏡像，將數(shù)據(jù)流鏡像到專門的設備上進行分析，以獲取攻擊源和攻擊使用的端口），然后對攻擊源的通信進行限制，這類防范手段也可以通過ACL來實現(xiàn)。：攻擊者將一個包的源地址和目的地址都設置為目標主機的地址，然后將該包通過IP欺騙的方式發(fā)送給被攻擊主機，這種包可以造成被攻擊主機因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能。該攻擊需要在發(fā)現(xiàn)問題后接入層面實施，（這個功能可以通過端口鏡像，將數(shù)據(jù)流鏡像到專門的設備上進行分析，以獲取攻擊源和攻擊使用的端口），然后對攻擊源的通信進行限制，這類防范手段也可以通過ACL來實現(xiàn)。華為公司的核心路由器全面支持ACL包過濾功能，同時配置了大量的ACL對于設備轉(zhuǎn)發(fā)性能不會造成影響。 攻擊防范配置攻擊防范的配置包括：使能IP欺騙攻擊防范功能使能Land攻擊防范功能使能Smurf攻擊防范功能使能Fraggle攻擊防范功能使能WinNuke攻擊防范功能配置SYN Flood攻擊防范功能配置ICMP Flood攻擊防范功能配置UDP Flood攻擊防范功能使能ICMP重定向報文攻擊防范功能使能ICMP不可達報文攻擊防范功能配置地址掃描攻擊防范功能配置端口掃描攻擊防范功能使能帶源站選路選項IP報文攻擊防范功能使能帶路由記錄選項IP報文攻擊防范功能使能帶時間戳記錄選項IP報文攻擊防范功能使能Tracert報文攻擊防范功能使能TCP報文標志合法性檢測功能使能Ping of Death攻擊防范功能使能TearDrop攻擊防范功能使能IP分片報文攻擊防范功能使能超大ICMP報文攻擊防范功能 使能IP欺騙攻擊防范功能IP欺騙攻擊防范是基于入接口的，使能該功能需要打開IP欺騙攻擊防范功能全局開關和使能攻擊來源的入接口的攻擊防范開關。請在系統(tǒng)視圖下進行下列配置。圖31 使能或關閉IP欺騙攻擊防范功能操作命令使能IP欺騙攻擊防范功能firewall defend ipspoofing關閉IP欺騙攻擊防范功能undo firewall defend ipspoofing打開對應入接口攻擊防范使能開關firewall defend enable關閉對應入接口攻擊防范使能開關undo firewall defend enable缺省為關閉IP欺騙攻擊防范功能。amp。 說明：IP欺騙攻擊防范功能不能在透明模式下應用。 使能Land攻擊防范功能Land攻擊防范是基于入接口的，使能該功能需要打開Land攻擊防范功能全局開關和使能攻擊來源的入接口的攻擊防范開關。請在系統(tǒng)視圖下進行下列配置。圖32 使能或關閉Land攻擊防范功能操作命令使能Land攻擊防范功能firewall defend land enable關閉Land攻擊防范功能undo firewall defend land enable打開對應入接口攻擊防范使能開關firewall defend enable關閉對應入接口攻擊防范使能開關undo firewall defend enable缺省為關閉Land攻擊防范功能。 使能Smurf攻擊防范功能Smurf攻擊防范是基于出接口的，使能該功能需要打開Smurf攻擊防范功能全局開關和使能受保護對象所在出接口的攻擊防范開關。請在系統(tǒng)視圖下進行下列配置。圖33 使能或關閉Smurf攻擊防范功能操作命令使能Smurf攻擊防范功能firewall defend smurf enable關閉Smurf攻擊防范功能undo firewall defend smurf enable打開對應出接口攻擊防范使能開關firewall defend enable關閉對應出接口攻擊防范使能開關undo firewall defend enable缺省為關閉Smurf攻擊防范功能。 使能Fraggle攻擊防范功能Fraggle攻擊防范是基于入接口的，使能該功能需要打開Fraggle攻擊防范功能全局開關和使能攻擊來源的入接口的攻擊防范開關。請在系統(tǒng)視圖下進行下列配置。圖34 使能或關閉Fraggle攻擊防范功能操作命令使能Fraggle攻擊防范功能firewall defend fraggle enable關閉Fraggle攻擊防范功能undo firewall defend fraggle enable打開對應入接口攻擊防范功能開關firewall defend enable關閉對應入接口攻擊防范功能開關undo firewall defend enable缺省為關閉Fraggle攻擊防范功能。 使能WinNuke攻擊防范功能WinNuke攻擊防范是基于入接口的，使能該功能需要打開WinNuke攻擊防范功能全局開關和使能攻擊來源的入接口的攻擊防范開關。請在系統(tǒng)視圖下進行下列配置。圖35 使能或關閉WinNuke攻擊防范功能操作命令使能WinNuke攻擊防范功能firewall defend winnuke enable關閉WinNuke攻擊防范功能undo firewall defend winnuke enable打開對應入接口攻擊防范功能開關firewall defend enable關閉對應入接口攻擊防范功能開關undo firewall defend enable缺省為關閉WinNuke攻擊防范功能。 配置SYN Flood攻擊防范功能SYN Flood攻擊防范功能可對安全域和IP分別進行配置，使能該功能須以打開SYN Flood攻擊防范功能全局開關和使能受保護IP所在出接口的攻擊防范開關為前提。1. 配置SYN Flood攻擊防范功能全局開關請在系統(tǒng)視圖下進行下列配置。圖36 SYN Flood攻擊防范功能全局開關的配置操作命令打開SYN Flood攻擊防范功能全局開關firewall defend synflood enable關閉SYN Flood攻擊防范功能全局開關undo firewall defend synflood enable打開對應出接口攻擊防范功能開關firewall defend enable關閉對應出接口攻擊防范功能開關undo firewall defend enable缺省為關閉SYN Flood攻擊防范功能全局開關。2. 配置SYN Flood攻擊防范功能請在系統(tǒng)視圖下進行下列配置。圖37 SYN Flood攻擊防范功能的配置操作命令使能對IP的SYN Flood攻擊防范功能firewall defend synflood ip ipaddress [ maxrate ratenumber ] [ maxnumber maxnumber ] [ tcpproxy { auto | on | off } ]關閉對某IP的SYN Flood攻擊防范功能undo firewall defend synflood ip ipaddress 關閉對所有IP的SYN Flood攻擊防范功能undo firewall defend synflood ip關閉所有的SYN Flood攻擊防范功能undo firewall defend synflood缺省為關閉SYN Flood攻擊防范功能。SYN包最大連接速率（maxrate）取值范圍為1～1,000,000，缺省值為1000；最大半開連接數(shù)（maxnumber）取值范圍為1～10,000,000，缺省值為1000；TCP代理（tcpproxy）的缺省值為auto，由系統(tǒng)根據(jù)檢測結果決定啟動/關閉TCP代理。amp。 說明：SYN Flood攻擊防范功能最多能夠同時配置對1000個IP進行保護。TCP代理功能僅在防火墻上有效，在路由器上無此功能。 注意：真正開啟SYN Flood攻擊防范功能必須滿足三點：1. 使能受保護IP所在出接口攻擊防范功能；2. 打開SYN Flood攻擊防范功能全局開關；3. 配置具體的SYN Flood攻擊防范功能。 配置ICMP Flood攻擊防范功能ICMP Flood攻擊防范功能可對IP或者安全區(qū)域分別進行配置，使能該功能須以打開ICMP Flood攻擊防范功能全局開關和使能受保護IP所在出接口的攻擊防范功能開關前提。1. 配置ICMP Flood攻擊防范功能全局開關請在系統(tǒng)視圖下進行下列配置。圖38 ICMP Flood攻擊防范功能全局開關的配置操作命令打開ICMP Flood攻擊防范功能全局開關firewall defend icmpflood enable關閉ICMP Flood攻擊防范功能全局開關undo firewall defend icmpflood enable打開對應出接口攻擊防范功能開關firewall defend enable關閉對應出接口攻擊防范功能開關undo firewall defend enable缺省為關閉ICMP Flood攻擊防范功能全局開關。2. 配置ICMP Flood攻擊防范功能請在系統(tǒng)視圖下進行下列配置。圖39 ICMP Flood攻擊防范功能的配置操作命令使能對IP的ICMP Flood攻擊防范功能firewall defend icmpflood ip ipaddress [ maxrate ratenumber ]關閉對某IP的ICMP Flood攻擊防范功能undo firewall defend icmpflood ip ipaddress關閉對所有IP的ICMP Flood攻擊防范功能undo firewall defend icmpflood ip關閉所有的ICMP Flood攻擊防范功能undo firewall defend icmpflood缺省為關閉ICMP Flood攻擊防范功能。ICMP包最大連接速率（maxrate）取值范圍為1～1,000,000，缺省值為1000。amp。 說明：ICMP Flood攻擊防范功能最多能夠同時配置對1000個IP進行保護。 注意：真正開啟ICMP Flood攻擊防范功能必須滿足三點：1. 使能受保護IP所在出接口攻擊防范功能；2. 打開ICMP Flood攻擊防范功能全局開關；3. 配置具體的ICMP Flood攻擊防范功能。 配置UDP Flood攻擊防范功能UDP Flood攻擊防范功能可對安全域和IP分別進行配置，使能該功能須以打開UDP Flood攻擊防范功能全局開關和使能受保護IP所在出接口的攻擊防范功能開關前提。1. 配置UDP Flood攻擊防范功能全局開關請在系統(tǒng)視圖下進行下列配置。圖310 UDP Flood攻擊防范功能全局開關的配置操作命令打開UDP Flood攻擊防范功能全局開關firewall defend udpflood enable關閉UDP Flood攻擊防范功能全局開關undo firewall defend udpflood enable打開對應出接口攻擊防范功能開關firewall defend ena