【正文】 1. 配置UDP Flood攻擊防范功能全局開(kāi)關(guān)請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。 注意：真正開(kāi)啟ICMP Flood攻擊防范功能必須滿足三點(diǎn)：1. 使能受保護(hù)IP所在出接口攻擊防范功能；2. 打開(kāi)ICMP Flood攻擊防范功能全局開(kāi)關(guān)；3. 配置具體的ICMP Flood攻擊防范功能。amp。圖39 ICMP Flood攻擊防范功能的配置操作命令使能對(duì)IP的ICMP Flood攻擊防范功能firewall defend icmpflood ip ipaddress [ maxrate ratenumber ]關(guān)閉對(duì)某IP的ICMP Flood攻擊防范功能undo firewall defend icmpflood ip ipaddress關(guān)閉對(duì)所有IP的ICMP Flood攻擊防范功能undo firewall defend icmpflood ip關(guān)閉所有的ICMP Flood攻擊防范功能undo firewall defend icmpflood缺省為關(guān)閉ICMP Flood攻擊防范功能。圖38 ICMP Flood攻擊防范功能全局開(kāi)關(guān)的配置操作命令打開(kāi)ICMP Flood攻擊防范功能全局開(kāi)關(guān)firewall defend icmpflood enable關(guān)閉ICMP Flood攻擊防范功能全局開(kāi)關(guān)undo firewall defend icmpflood enable打開(kāi)對(duì)應(yīng)出接口攻擊防范功能開(kāi)關(guān)firewall defend enable關(guān)閉對(duì)應(yīng)出接口攻擊防范功能開(kāi)關(guān)undo firewall defend enable缺省為關(guān)閉ICMP Flood攻擊防范功能全局開(kāi)關(guān)。 配置ICMP Flood攻擊防范功能ICMP Flood攻擊防范功能可對(duì)IP或者安全區(qū)域分別進(jìn)行配置，使能該功能須以打開(kāi)ICMP Flood攻擊防范功能全局開(kāi)關(guān)和使能受保護(hù)IP所在出接口的攻擊防范功能開(kāi)關(guān)前提。TCP代理功能僅在防火墻上有效，在路由器上無(wú)此功能。amp。圖37 SYN Flood攻擊防范功能的配置操作命令使能對(duì)IP的SYN Flood攻擊防范功能firewall defend synflood ip ipaddress [ maxrate ratenumber ] [ maxnumber maxnumber ] [ tcpproxy { auto | on | off } ]關(guān)閉對(duì)某IP的SYN Flood攻擊防范功能undo firewall defend synflood ip ipaddress 關(guān)閉對(duì)所有IP的SYN Flood攻擊防范功能undo firewall defend synflood ip關(guān)閉所有的SYN Flood攻擊防范功能undo firewall defend synflood缺省為關(guān)閉SYN Flood攻擊防范功能。圖36 SYN Flood攻擊防范功能全局開(kāi)關(guān)的配置操作命令打開(kāi)SYN Flood攻擊防范功能全局開(kāi)關(guān)firewall defend synflood enable關(guān)閉SYN Flood攻擊防范功能全局開(kāi)關(guān)undo firewall defend synflood enable打開(kāi)對(duì)應(yīng)出接口攻擊防范功能開(kāi)關(guān)firewall defend enable關(guān)閉對(duì)應(yīng)出接口攻擊防范功能開(kāi)關(guān)undo firewall defend enable缺省為關(guān)閉SYN Flood攻擊防范功能全局開(kāi)關(guān)。 配置SYN Flood攻擊防范功能SYN Flood攻擊防范功能可對(duì)安全域和IP分別進(jìn)行配置，使能該功能須以打開(kāi)SYN Flood攻擊防范功能全局開(kāi)關(guān)和使能受保護(hù)IP所在出接口的攻擊防范開(kāi)關(guān)為前提。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。圖34 使能或關(guān)閉Fraggle攻擊防范功能操作命令使能Fraggle攻擊防范功能firewall defend fraggle enable關(guān)閉Fraggle攻擊防范功能undo firewall defend fraggle enable打開(kāi)對(duì)應(yīng)入接口攻擊防范功能開(kāi)關(guān)firewall defend enable關(guān)閉對(duì)應(yīng)入接口攻擊防范功能開(kāi)關(guān)undo firewall defend enable缺省為關(guān)閉Fraggle攻擊防范功能。 使能Fraggle攻擊防范功能Fraggle攻擊防范是基于入接口的，使能該功能需要打開(kāi)Fraggle攻擊防范功能全局開(kāi)關(guān)和使能攻擊來(lái)源的入接口的攻擊防范開(kāi)關(guān)。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。圖32 使能或關(guān)閉Land攻擊防范功能操作命令使能Land攻擊防范功能firewall defend land enable關(guān)閉Land攻擊防范功能undo firewall defend land enable打開(kāi)對(duì)應(yīng)入接口攻擊防范使能開(kāi)關(guān)firewall defend enable關(guān)閉對(duì)應(yīng)入接口攻擊防范使能開(kāi)關(guān)undo firewall defend enable缺省為關(guān)閉Land攻擊防范功能。 使能Land攻擊防范功能Land攻擊防范是基于入接口的，使能該功能需要打開(kāi)Land攻擊防范功能全局開(kāi)關(guān)和使能攻擊來(lái)源的入接口的攻擊防范開(kāi)關(guān)。amp。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。華為公司的核心路由器全面支持ACL包過(guò)濾功能，同時(shí)配置了大量的ACL對(duì)于設(shè)備轉(zhuǎn)發(fā)性能不會(huì)造成影響。：攻擊者將一個(gè)包的源地址和目的地址都設(shè)置為目標(biāo)主機(jī)的地址，然后將該包通過(guò)IP欺騙的方式發(fā)送給被攻擊主機(jī)，這種包可以造成被攻擊主機(jī)因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能。Synflood: 該攻擊以多個(gè)隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送SYN包，而在收到目的主機(jī)的SYN ACK后并不回應(yīng)，這樣，目的主機(jī)就為這些源主機(jī)建立了大量的連接隊(duì)列，而且由于沒(méi)有收到ACK一直維護(hù)著這些隊(duì)列，造成了資源的大量消耗而不能向正常請(qǐng)求提供服務(wù)。該攻擊需要在發(fā)現(xiàn)問(wèn)題后接入層面實(shí)施，先探測(cè)到Smurf攻擊源和攻擊使用的端口（這個(gè)功能可以通過(guò)端口鏡像，將數(shù)據(jù)流鏡像到專門的設(shè)備上進(jìn)行分析，以獲取攻擊源和攻擊使用的端口），然后對(duì)攻擊源的通信進(jìn)行限制，這類防范手段也可以通過(guò)ACL來(lái)實(shí)現(xiàn)。Smurf攻擊的防范：Smurf攻擊是向一個(gè)子網(wǎng)的廣播地址發(fā)一個(gè)帶有特定請(qǐng)求（如ICMP回應(yīng)請(qǐng)求）的包，并且將源地址偽裝成想要攻擊的主機(jī)地址。DDOS攻擊的防范：DDoS(分布式拒絕服務(wù))，它的英文全稱為Distributed Denial of Service，它是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，比如商業(yè)公司，搜索引擎和政府部門的站點(diǎn)。還有TraceRoute命令的使用。同時(shí)禁止TraceRoute命令的探測(cè)。對(duì)于這種攻擊的防范首先要明確瓶頸在哪里。目前，網(wǎng)絡(luò)上最大也是最難解決的攻擊是DOS攻擊。 防攻擊的措施這類防范措施請(qǐng)根據(jù)實(shí)際網(wǎng)絡(luò)和遭受攻擊的情況進(jìn)行。通過(guò)URPF，可以防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。[Quidwaybgp] peer password simple huawei 在設(shè)備上開(kāi)啟URPF功能URPF通過(guò)獲取報(bào)文的源地址和入接口，以源地址為目的地址，在轉(zhuǎn)發(fā)表中查找源地址對(duì)應(yīng)的接口是否與入接口匹配，如果不匹配，認(rèn)為源地址是偽裝的，丟棄該報(bào)文?！九e例】 。如果啟用MD5認(rèn)證，參與認(rèn)證的雙方必須配置完全一致的認(rèn)證方式和密碼，否則將因?yàn)闊o(wú)法通過(guò)認(rèn)證而不能建立TCP連接?！久枋觥縫eer password命令用來(lái)配置BGP建立TCP連接時(shí)進(jìn)行MD5認(rèn)證，undo peer password命令用來(lái)取消此功能。simple：以明文形式顯示設(shè)置的密碼。peeraddress：對(duì)等體的IP地址，點(diǎn)分十進(jìn)制形式?！九e例】！為Interface pos1/0/0接口上的Level1鄰接關(guān)系設(shè)置明文認(rèn)證密碼frank。應(yīng)保證同一網(wǎng)絡(luò)所有接口的相同級(jí)別的認(rèn)證密碼一致。如果設(shè)置了密碼，但沒(méi)有指定其它參數(shù)，則缺省使用levelsimple和osi?！久枋觥縤sis authenticationmode命令用來(lái)設(shè)置ISIS接口上的認(rèn)證密碼，undo isis authenticationmode命令用來(lái)刪除認(rèn)證密碼。osi：OSI認(rèn)證密碼。simple：認(rèn)證密碼采用明文形式發(fā)送。level2：為L(zhǎng)2設(shè)置認(rèn)證密碼。[Quidway] isis[Quidwayisis] domainauthenticationmode simple flower isis authenticationmode命令【命令】isis authenticationmode { simple | md5 } password [ { level1 | level2 } [ ip | osi ] ] undo isis authenticationmode { simple | md5 } [ { level1 | level2 } [ ip | osi ] ] 【視圖】接口視圖【參數(shù)】password：認(rèn)證密碼。相關(guān)配置可參考命令areaauthenticationmode，isis authenticationmode。如果采用純文本方式，則密碼以純文本的形式放在報(bào)文中，所以保密程度并不是很高；而采用MD5認(rèn)證方式則保密程度要高的多，理論上是不能破解的?！久枋觥縟omainauthenticationmode命令用來(lái)設(shè)置ISIS路由域認(rèn)證密碼，undo domainauthenticationmode命令用來(lái)禁用路由域密碼認(rèn)證。osi：OSI認(rèn)證密碼。md5：密碼通過(guò)MD5加密后發(fā)送。[Quidwayospf] area 1[] network [] authenticationmode md5[QuidwayInterface pos1/0/0] ospf authenticationmode md5 15 Huawei ISIS domainauthenticationmode命令【命令】domainauthenticationmode { simple | md5 } password [ ip | osi ]undo domainauthenticationmode { simple | md5 } [ ip | osi ]【視圖】ISIS視圖【參數(shù)】password：需要設(shè)置的密碼。相關(guān)配置可參考命令authenticationmode。缺省情況下，接口不對(duì)OSPF報(bào)文進(jìn)行驗(yàn)證。md5 key：MD5驗(yàn)證字，為最大不超過(guò)16個(gè)字符的字符串。[] authenticationmode md5 ospf authenticationmode命令ospf authenticationmode { simple password | md5 keyid key }undo ospf authenticationmode { simple | md5 }【視圖】接口視圖【參數(shù)】simple password：采用明文驗(yàn)證，password為最大長(zhǎng)度為8字節(jié)的字符串?！九e例】！進(jìn)入?yún)^(qū)域0視圖。命令ospf authenticationmode simple用來(lái)配置明文驗(yàn)證字口令。一個(gè)區(qū)域中所有路由器的驗(yàn)證類型必須一致（不支持驗(yàn)證、支持明文驗(yàn)證、支持MD5密文驗(yàn)證）。【描述】authenticationmode命令用來(lái)指定OSPF中的一個(gè)區(qū)域支持驗(yàn)證屬性，undo authenticationmode命令用來(lái)取消該區(qū)域支持驗(yàn)證屬性。[Quidway] interface pos1/0/0[QuidwayInterface pos1/0/0] rip version 2[QuidwayInterface pos1/0/0] rip authenticationmode md5 keystring aaa[QuidwayInterface pos1/0/0] rip authenticationmode md5 type usual OSPF認(rèn)證包括區(qū)域認(rèn)證、接口認(rèn)證 authenticationmode命令authenticationmode [ simple | md5 ]undo authenticationmode [ simple | md5 ]【視圖】OSPF區(qū)域視圖【參數(shù)】simple：使用明文驗(yàn)證方式。[Quidway] interface pos1/0/0[QuidwayInterface pos1/0/0] rip version 2[QuidwayInterface pos1/0/0] rip authenticationmode simple aaa！指定接口Interface pos1/0/0使用MD5密文驗(yàn)證，關(guān)鍵字為aaa，報(bào)文類型為nonstandard。路由器對(duì)這兩種報(bào)文格式均提供支持，用戶可以根據(jù)不同的需要自行選擇。RIP的驗(yàn)證報(bào)文主要有兩種類型，明文驗(yàn)證和MD5密文驗(yàn)證。undo rip authenticationmode命令用來(lái)取消對(duì)RIP2的認(rèn)證。rip authenticationmode md5 keyid命令用來(lái)配置RIP2 MD5驗(yàn)證標(biāo)識(shí)符?！久枋觥縭ip authenticationmod