【正文】 絡(luò)造成一定影響，請慎重實施。目前，網(wǎng)絡(luò)上最大也是最難解決的攻擊是DOS攻擊。大多數(shù)的Dos攻擊都是通過發(fā)送大量的無用包，從而占用路由器和帶寬的資源，導(dǎo)致網(wǎng)絡(luò)和設(shè)備過載，這種攻擊也稱為洪泛攻擊。對于這種攻擊的防范首先要明確瓶頸在哪里。ICMP協(xié)議的安全配置：ICMP協(xié)議很多具有一些安全隱患，因此在骨干網(wǎng)絡(luò)上，如果沒有特別需要建議禁止一些ICMP協(xié)議報文：ECHO、Redirect、Mask request。同時禁止TraceRoute命令的探測。對于流出的ICMP流，我們可以允許ECHO、Parameter Problem、Packet too big。還有TraceRoute命令的使用。這些的措施通過ACL功能都可以實現(xiàn)。DDOS攻擊的防范：DDoS(分布式拒絕服務(wù))，它的英文全稱為Distributed Denial of Service，它是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點，比如商業(yè)公司，搜索引擎和政府部門的站點。該攻擊需要在發(fā)現(xiàn)問題后接入層面實施，先探測到DDOS攻擊源和攻擊使用的端口（這個功能可以通過端口鏡像，將數(shù)據(jù)流鏡像到專門的設(shè)備上進(jìn)行分析，以獲取攻擊源和攻擊使用的端口），然后對攻擊源的通信進(jìn)行限制，這類防范手段也可以通過ACL來實現(xiàn)。Smurf攻擊的防范：Smurf攻擊是向一個子網(wǎng)的廣播地址發(fā)一個帶有特定請求（如ICMP回應(yīng)請求）的包，并且將源地址偽裝成想要攻擊的主機(jī)地址。子網(wǎng)上所有主機(jī)都回應(yīng)廣播包請求而向被攻擊主機(jī)發(fā)包，使該主機(jī)受到攻擊。該攻擊需要在發(fā)現(xiàn)問題后接入層面實施，先探測到Smurf攻擊源和攻擊使用的端口（這個功能可以通過端口鏡像，將數(shù)據(jù)流鏡像到專門的設(shè)備上進(jìn)行分析，以獲取攻擊源和攻擊使用的端口），然后對攻擊源的通信進(jìn)行限制，這類防范手段也可以通過ACL來實現(xiàn)。TCP SYN攻擊的防范：利用TCP連接機(jī)制的攻擊。Synflood: 該攻擊以多個隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送SYN包，而在收到目的主機(jī)的SYN ACK后并不回應(yīng)，這樣，目的主機(jī)就為這些源主機(jī)建立了大量的連接隊列，而且由于沒有收到ACK一直維護(hù)著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務(wù)。該攻擊需要在發(fā)現(xiàn)問題后接入層面實施，先探測到TCP SYN攻擊源和攻擊使用的端口（這個功能可以通過端口鏡像，將數(shù)據(jù)流鏡像到專門的設(shè)備上進(jìn)行分析，以獲取攻擊源和攻擊使用的端口），然后對攻擊源的通信進(jìn)行限制，這類防范手段也可以通過ACL來實現(xiàn)。：攻擊者將一個包的源地址和目的地址都設(shè)置為目標(biāo)主機(jī)的地址，然后將該包通過IP欺騙的方式發(fā)送給被攻擊主機(jī)，這種包可以造成被攻擊主機(jī)因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能。該攻擊需要在發(fā)現(xiàn)問題后接入層面實施，（這個功能可以通過端口鏡像，將數(shù)據(jù)流鏡像到專門的設(shè)備上進(jìn)行分析，以獲取攻擊源和攻擊使用的端口），然后對攻擊源的通信進(jìn)行限制，這類防范手段也可以通過ACL來實現(xiàn)。華為公司的核心路由器全面支持ACL包過濾功能，同時配置了大量的ACL對于設(shè)備轉(zhuǎn)發(fā)性能不會造成影響。 攻擊防范配置攻擊防范的配置包括：使能IP欺騙攻擊防范功能使能Land攻擊防范功能使能Smurf攻擊防范功能使能Fraggle攻擊防范功能使能WinNuke攻擊防范功能配置SYN Flood攻擊防范功能配置ICMP Flood攻擊防范功能配置UDP Flood攻擊防范功能使能ICMP重定向報文攻擊防范功能使能ICMP不可達(dá)報文攻擊防范功能配置地址掃描攻擊防范功能配置端口掃描攻擊防范功能使能帶源站選路選項IP報文攻擊防范功能使能帶路由記錄選項IP報文攻擊防范功能使能帶時間戳記錄選項IP報文攻擊防范功能使能Tracert報文攻擊防范功能使能TCP報文標(biāo)志合法性檢測功能使能Ping of Death攻擊防范功能使能TearDrop攻擊防范功能使能IP分片報文攻擊防范功能使能超大ICMP報文攻擊防范功能 使能IP欺騙攻擊防范功能IP欺騙攻擊防范是基于入接口的，使能該功能需要打開IP欺騙攻擊防范功能全局開關(guān)和使能攻擊來源的入接口的攻擊防范開關(guān)。請在系統(tǒng)視圖下進(jìn)行下列配置。圖31 使能或關(guān)閉IP欺騙攻擊防范功能操作命令使能IP欺騙攻擊防范功能firewall defend ipspoofing關(guān)閉IP欺騙攻擊防范功能undo firewall defend ipspoofing打開對應(yīng)入接口攻擊防范使能開關(guān)firewall defend enable關(guān)閉對應(yīng)入接口攻擊防范使能開關(guān)undo firewall defend enable缺省為關(guān)閉IP欺騙攻擊防范功能。amp。 說明：IP欺騙攻擊防范功能不能在透明模式下應(yīng)用。 使能Land攻擊防范功能Land攻擊防范是基于入接口的，使能該功能需要打開Land攻擊防范功能全局開關(guān)和使能攻擊來源的入接口的攻擊防范開關(guān)。請在系統(tǒng)視圖下進(jìn)行下列配置。圖32 使能或關(guān)閉Land攻擊防范功能操作命令使能Land攻擊防范功能firewall defend land enable關(guān)閉Land攻擊防范功能undo firewall defend land enable打開對應(yīng)入接口攻擊防范使能開關(guān)firewall defend enable關(guān)閉對應(yīng)入接口攻擊防范使能開關(guān)undo firewall defend enable缺省為關(guān)閉Land攻擊防范功能。 使能Smurf攻擊防范功能Smurf攻擊防范是基于出接口的，使能該功能需要打開Smurf攻擊防范功能全局開關(guān)和使能受保護(hù)對象所在出接口的攻擊防范開關(guān)。請在系統(tǒng)視圖下進(jìn)行下列配置。圖33 使能或關(guān)閉Smurf攻擊防范功能操作命令使能Smurf攻擊防范功能firewall defend smurf enable關(guān)閉Smurf攻擊防范功能undo firewall defend smurf enable打開對應(yīng)出接口攻擊防范使能開關(guān)firewall defend enable關(guān)閉對應(yīng)出接口攻擊防范使能開關(guān)undo firewall defend enable缺省為關(guān)閉Smurf攻擊防范功能。 使能Fraggle攻擊防范功能Fraggle攻擊防范是基于入接口的，使能該功能需要打開Fraggle攻擊防范功能全局開關(guān)和使能攻擊來源的入接口的攻擊防范開關(guān)。請在系統(tǒng)視圖下進(jìn)行下列配置。圖34 使能或關(guān)閉Fraggle攻擊防范功能操作命令使能Fraggle攻擊防范功能firewall defend fraggle enable關(guān)閉Fraggle攻擊防范功能undo firewall defend fraggle enable打開對應(yīng)入接口攻擊防范功能開關(guān)firewall defend enable關(guān)閉對應(yīng)入接口攻擊防范功能開關(guān)undo firewall defend enable缺省為關(guān)閉Fraggle攻擊防范功能。 使能WinNuke攻擊防范功能WinNuke攻擊防范是基于入接口的，使能該功能需要打開WinNuke攻擊防范功能全局開關(guān)和使能攻擊來源的入接口的攻擊防范開關(guān)。請在系統(tǒng)視圖下進(jìn)行下列配置。圖35 使能或關(guān)閉WinNuke攻擊防范功能操作命令使能WinNuke攻擊防范功能firewall defend winnuke enable關(guān)閉WinNuke攻擊防范功能undo firewall defend winnuke enable打開對應(yīng)入接口攻擊防范功能開關(guān)firewall defend enable關(guān)閉對應(yīng)入接口攻擊防范功能開關(guān)undo firewall defend enable缺省為關(guān)閉WinNuke攻擊防范功能。 配置SYN Flood攻擊防范功能SYN Flood攻擊防范功能可對安全域和IP分別進(jìn)行配置，使能該功能須以打開SYN Flood攻擊防范功能全局開關(guān)和使能受保護(hù)IP所在出接口的攻擊防范開關(guān)為前提。1. 配置SYN Flood攻擊防范功能全局開關(guān)請在系統(tǒng)視圖下進(jìn)行下列配置。圖36 SYN Flood攻擊防范功能全局開關(guān)的配置操作命令打開SYN Flood攻擊防范功能全局開關(guān)firewall defend synflood enable關(guān)閉SYN Flood攻擊防范功能全局開關(guān)undo firewall defend synflood enable打開對應(yīng)出接口攻擊防范功能開關(guān)firewall defend enable關(guān)閉對應(yīng)出接口攻擊防范功能開關(guān)undo firewall defend enable缺省為關(guān)閉SYN Flood攻擊防范功能全局開關(guān)。2. 配置SYN Flood攻擊防范功能請在系統(tǒng)視圖下進(jìn)行下列配置。圖37 SYN Flood攻擊防范功能的配置操作命令使能對IP的SYN Flood攻擊防范功能firewall defend synflood ip ipaddress [ maxrate ratenumber ] [ maxnumber maxnumber ] [ tcpproxy { auto | on | off } ]關(guān)閉對某IP的SYN Flood攻擊防范功能undo firewall defend synflood ip ipaddress 關(guān)閉對所有IP的SYN Flood攻擊防范功能undo firewall defend synflood ip關(guān)閉所有的SYN Flood攻擊防范功能undo firewall defend synflood缺省為關(guān)閉SYN Flood攻擊防范功能。SYN包最大連接速率（maxrate）取值范圍為1～1,000,000，缺省值為1000；最大半開連接數(shù)（maxnumber）取值范圍為1～10,000,000，缺省值為1000；TCP代理（tcpproxy）的缺省值為auto，由系統(tǒng)根據(jù)檢測結(jié)果決定啟動/關(guān)閉TCP代理。amp。 說明：SYN Flood攻擊防范功能最多能夠同時配置對1000個IP進(jìn)行保護(hù)。TCP代理功能僅在防火墻上有效，在路由器上無此功能。 注意：真正開啟SYN Flood攻擊防范功能必須滿足三點：1. 使能受保護(hù)IP所在出接口攻擊防范功能；2. 打開SYN Flood攻擊防范功能全局開關(guān)；3. 配置具體的SYN Flood攻擊防范功能。 配置ICMP Flood攻擊防范功能ICMP Flood攻擊防范功能可對IP或者安全區(qū)域分別進(jìn)行配置，使能該功能須以打開ICMP Flood攻擊防范功能全局開關(guān)和使能受保護(hù)IP所在出接口的攻擊防范功能開關(guān)前提。1. 配置ICMP Flood攻擊防范功能全局開關(guān)請在系統(tǒng)視圖下進(jìn)行下列配置。圖38 ICMP Flood攻擊防范功能全局開關(guān)的配置操作命令打開ICMP Flood攻擊防范功能全局開關(guān)firewall defend icmpflood enable關(guān)閉ICMP Flood攻擊防范功能全局開關(guān)undo firewall defend icmpflood enable打開對應(yīng)出接口攻擊防范功能開關(guān)firewall defend enable關(guān)閉對應(yīng)出接口攻擊防范功能開關(guān)undo firewall defend enable缺省為關(guān)閉ICMP Flood攻擊防范功能全局開關(guān)。2. 配置ICMP Flood攻擊防范功能請在系統(tǒng)視圖下進(jìn)行下列配置。圖39 ICMP Flood攻擊防范功能的配置操作命令使能對IP的ICMP Flood攻擊防范功能firewall defend icmpflood ip ipaddress [ maxrate ratenumber ]關(guān)閉對某IP的ICMP Flood攻擊防范功能undo firewall defend icmpflood ip ipaddress關(guān)閉對所有IP的ICMP Flood攻擊防范功能undo firewall defend icmpflood ip關(guān)閉所有的ICMP Flood攻擊防范功能undo firewall defend icmpflood缺省為關(guān)閉ICMP Flood攻擊防范功能。ICMP包最大連接速率（maxrate）取值范圍為1～1,000,000，缺省值為1000。amp。 說明：ICMP Flood攻擊防范功能最多能夠同時配置對1000個IP進(jìn)行保護(hù)。 注意：真正開啟ICMP Flood攻擊防范功能必須滿足三點：1. 使能受保護(hù)IP所在出接口攻擊防范功能；2. 打開ICMP Flood攻擊防范功能全局開關(guān)；3. 配置具體的ICMP Flood攻擊防范功能。 配置UDP Flood攻擊防范功能UDP Flood攻擊防范功能可對安全域和IP分別進(jìn)行配置，使能該功能須以打開UDP Flood攻擊防范功能全局開關(guān)和使能受保護(hù)IP所在出接口的攻擊防范功能開關(guān)前提。1. 配置UDP Flood攻擊防范功能全局開關(guān)請在系統(tǒng)視圖下進(jìn)行下列配置。圖310 UDP Flood攻擊防范功能全局開關(guān)的配置操作命令打開UDP Flood攻擊防范功能全局開關(guān)firewall defend udpflood enable關(guān)閉UDP Flood攻擊防范功能全局開關(guān)undo firewall defend udpflood enable打開對應(yīng)出接口攻擊防范功能開關(guān)firewall defend ena