H3c er3200g2
- 0关注
- 1收藏,1067浏览
可以在入站规则上过滤掉这些报文:
页面向导:安全专区→防火墙→入站通信策略
本页面为您提供如下主要功能:
设置报文在入站方向上未匹配任何您预先设定的规则时,系统所采取的策略(主页面。在“入站通信缺省策略”下拉框中选择指定的方式,单击<应用>按钮生效) |
|
添加匹配规则来控制指定的报文(在主页面上单击<新增>按钮,在弹出的对话框中设置相应的匹配项,单击<增加>按钮完成操作) |
|
页面中关键项的含义如下表所示。
表9-2 页面关键项描述
页面关键项 | 描述 |
入站通信缺省策略 | · “禁止”:禁止外网主动发起的访问报文通过 · “允许”:允许外网主动发起的访问报文通过
· 当路由器工作于NAT模式下时(即开启了NAT功能),入站通信缺省策略不允许配置,且仅为“禁止”;当路由器工作于路由模式下时(即关闭了NAT功能),入站通信缺省策略才允许选择配置,且缺省情况下为“允许” · 当缺省策略是“禁止”时,您手动添加的策略即为“允许”,反之亦然 · 缺省策略更改后,所有已配置的出站通信策略将会被清空,且仅对新建立的访问连接生效 · 当您手动添加了入站通信策略后,路由器会优先根据该策略对主机进行访问控制,如果未匹配手动添加的策略,则遵循缺省策略 |
源接口 | 设置报文的来源接口,即可以对从某一WAN侧接口收到的报文进行控制 |
起始IP/结束IP(源IP地址范围) | 输入需要匹配的报文的源IP地址段
· 起始IP地址不能大于结束IP地址 · 如果无需匹配报文的源IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255 |
源端口范围 | 输入需要匹配的报文的源端口范围
如果无需匹配报文的源端口号,您可以将其设置为1~65535 |
目的IP地址(目的IP地址范围) | 输入需要匹配的报文的目的IP地址
当路由器工作于NAT模式下时(即开启了NAT功能),仅允许设置单个目的IP地址;当路由器工作于路由模式下时(即关闭了NAT功能),允许设置目的IP地址范围 |
服务类型 | 选择因特网中的主机访问局域网资源的服务类型
|
生效时间 | 设置此新增规则的生效时间
生效时间需要您指定具体的时间段,比如:某天的某个时间段 |
是否启用 | 在下拉列表框中选择“启用”,表示此匹配策略生效;选择“禁用”,表示此匹配策略不生效 |
描述 | 对此新增规则进行简单的描述 |
- 2021-01-15回答
- 评论(0)
- 举报
-
(0)
暂无评论
您好,请知:
可以在防火墙出入站规则进行过滤:
页面向导:安全专区→防火墙→入站通信策略
本页面为您提供如下主要功能:
设置报文在入站方向上未匹配任何您预先设定的规则时,系统所采取的策略(主页面。在“入站通信缺省策略”下拉框中选择指定的方式,单击<应用>按钮生效) |
|
添加匹配规则来控制指定的报文(在主页面上单击<新增>按钮,在弹出的对话框中设置相应的匹配项,单击<增加>按钮完成操作) |
|
页面中关键项的含义如下表所示。
表9-2 页面关键项描述
页面关键项 | 描述 |
入站通信缺省策略 | · “禁止”:禁止外网主动发起的访问报文通过 · “允许”:允许外网主动发起的访问报文通过
· 当路由器工作于NAT模式下时(即开启了NAT功能),入站通信缺省策略不允许配置,且仅为“禁止”;当路由器工作于路由模式下时(即关闭了NAT功能),入站通信缺省策略才允许选择配置,且缺省情况下为“允许” · 当缺省策略是“禁止”时,您手动添加的策略即为“允许”,反之亦然 · 缺省策略更改后,所有已配置的出站通信策略将会被清空,且仅对新建立的访问连接生效 · 当您手动添加了入站通信策略后,路由器会优先根据该策略对主机进行访问控制,如果未匹配手动添加的策略,则遵循缺省策略 |
源接口 | 设置报文的来源接口,即可以对从某一WAN侧接口收到的报文进行控制 |
起始IP/结束IP(源IP地址范围) | 输入需要匹配的报文的源IP地址段
· 起始IP地址不能大于结束IP地址 · 如果无需匹配报文的源IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255 |
源端口范围 | 输入需要匹配的报文的源端口范围
如果无需匹配报文的源端口号,您可以将其设置为1~65535 |
目的IP地址(目的IP地址范围) | 输入需要匹配的报文的目的IP地址
当路由器工作于NAT模式下时(即开启了NAT功能),仅允许设置单个目的IP地址;当路由器工作于路由模式下时(即关闭了NAT功能),允许设置目的IP地址范围 |
服务类型 | 选择因特网中的主机访问局域网资源的服务类型
|
生效时间 | 设置此新增规则的生效时间
生效时间需要您指定具体的时间段,比如:某天的某个时间段 |
是否启用 | 在下拉列表框中选择“启用”,表示此匹配策略生效;选择“禁用”,表示此匹配策略不生效 |
描述 | 对此新增规则进行简单的描述 |
同时也可以在安全专区设置安全防护:
9.4.1 防攻击方式
路由器为您提供了以下三种防攻击方式:
· IDS防范
IDS防范主要用于发现一些常见的攻击类型报文对路由器的扫描和一些常见的DOS攻击,并丢弃相应的报文。在一定程度上,可以有效地保证路由器的正常运行。
· 报文源认证
攻击类型的报文多种多样,除了ARP欺骗外,最主要的是伪装IP地址的报文和伪装MAC地址的报文。您通过设置路由器的静态路由表和ARP表项,可以在很大程度上认证内网发送的报文的合法性。比如:当报文的源IP地址属于不可达网段,报文的源IP地址/源MAC地址和静态ARP表项存在冲突等,则路由器会认为该报文是非法伪装的报文,会直接将其丢弃。
· 异常流量防护
在网络实际应用中,往往会由于单台主机中毒或异常,导致这台主机大量发送数据包。而这些报文并不能被路由器的报文源认证功能确定为非法的报文,此时会大量地消耗路由器的资源。开启该功能后,路由器会对各台主机的流量进行检查,并根据您所选择的防护等级(包括:高、中、低三种)进行相应的处理,以确保路由器受到此类异常流量攻击时仍可正常工作。
9.4.2 设置IDS防范
页面向导:安全专区→防攻击→IDS防范
本页面为您提供如下主要功能:
开启指定攻击类型报文的IDS防范(选中您需要防范的攻击类型,单击<应用>按钮生效) |
|
· 本页面中的各攻击类型的介绍请参见路由器的在线联机帮助。
· 仅当您选择了“丢弃攻击报文,并记入日志”选项,路由器才会对攻击事件以日志的形式记录。日志信息的查看,请参见“15.2.1 查看日志信息”。
9.4.3 设置报文源认证
页面向导:安全专区→防攻击→报文源认证
本页面为您提供如下主要功能:
选择基于哪个表项(静态路由表、静态ARP表、动态ARP表)来对报文进行源认证(选中相应的功能项,单击<应用>按钮生效) |
|
页面中关键项的含义如下表所示。
表9-3 页面关键项描述
页面关键项 | 描述 |
启用基于静态路由的报文源认证功能 | 开启该功能后,路由器将根据静态路由表对所有报文的源IP地址进行检查。如果静态路由表中存在到该源IP地址的表项,则转发该报文;否则丢弃该报文 比如:路由器LAN口下挂的设备接口地址为192.168.1.5/24,内网为192.200.200.0/24网段。同时,您设置静态路由目的地址为192.200.200.0/24,下一跳为192.168.1.5,出接口为LAN口。此时,路由器允许从192.200.200.0/24网段转发过来的报文通过 |
启用基于ARP绑定、DHCP分配ARP防护下的报文源认证功能 | 开启该功能后,路由器将根据静态ARP表的绑定关系及DHCP分配列表中的对应关系,来认证内网的报文。如果报文的源IP地址/MAC地址与静态ARP表中的IP地址/MAC地址对应关系存在冲突,则路由器将其直接丢弃 比如:您设置了一条ARP静态绑定项(将源IP地址:192.168.1.100与源MAC地址:08:00:12:00:00:01绑定)。当路由器LAN侧收到一个报文,其源IP地址为192.168.1.100,但源MAC地址为08:00:12:00:00:02,路由器会将该报文丢弃 |
启用基于动态ARP的报文源认证功能 | 开启该功能,路由器将会根据动态ARP表的对应关系,来认证内网的报文。如果报文的源IP地址/MAC地址与已确认合法的动态ARP表的IP地址/MAC地址对应关系存在冲突,则路由器将其直接丢弃 比如:路由器动态学习到一条ARP表项(源IP地址:192.168.1.100,源MAC地址:08:00:12:00:00:01),当路由器LAN侧在该ARP表项老化之前收到一个报文,其源IP地址为192.168.1.100,但源MAC地址为08:00:12:00:00:02,路由器会将该报文丢弃 |
9.4.4 设置异常流量防护
页面向导:安全专区→防攻击→异常流量防护
本页面为您提供如下主要功能:
选择防护等级来对异常主机流量进行防护(选中“启用异常主机流量防护功能”复选框,并选择相应的防护等级,单击<应用>按钮生效) |
|
页面中关键项的含义如下表所示。
表9-4 页面关键项描述
页面关键项 | 描述 |
高 | 选中该单选框,路由器会把检查到的攻击主机添加到本页面下方的攻击列表中,并在一段时间内(即您所选择的“生效时间”)禁止其访问路由器和因特网 |
中 | 选中该单选框,路由器会把检查到的攻击主机的上行流量限制在异常流量阈值范围内 |
低 | 选中该单选框,路由器仅对上行流量超过异常流量阈值的攻击主机以事件的形式记入日志 |
- 2021-01-15回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论