在 Comware V5 系统上,虽然没有 attack-defense 这类高级功能,但仍可通过以下几种方法来应对。
建议组合使用以下三种方法,从允许登录、拒绝连接、手动封锁三个层面来防御。
这是最根本的防御方法。通过 ACL(访问控制列表)限制只有受信任的 IP 才能访问 SSH 服务,可彻底阻断来自其他 IP 的连接尝试。
操作步骤:
创建 ACL:定义一个高级 ACL,仅允许指定的管理 IP 访问。
应用 ACL 到 VTY 接口:将 ACL 绑定到 VTY(虚拟类型终端)用户界面上,使规则对所有 SSH 登录生效。
(可选)若需支持多个管理 IP:在 ACL 中添加多条 rule permit 语句即可。
如果已经确定了攻击源 IP(如 1.2.3.4),可以将其加入黑名单直接丢弃其流量。
如果攻击流量巨大,可以在 WAN 口上直接应用 ACL 过滤,从入口处阻断攻击。
如果不想配置复杂的 IP 白名单,也可以只阻断来自外网的 SSH 连接尝试。
操作步骤:
暂无评论
H3C MSR830 Comware V5 无attack-defense login max-attempt自动黑名单,四层防护完整方案
一、版本限制说明
Comware V5 老款 MSR 系列无登录 IP 自动黑名单封禁功能,不支持输错密码自动拉黑源 IP;只能通过「静态 ACL 拦截 + SSH 参数加固 + 账号密码锁定 + 端口隐蔽」四层组合防御,阻止持续 SSH 暴力扫描。
方案 1:核心加固(优先部署,阻断持续扫描)
1. 严格 ACL 白名单(最有效,外网彻底屏蔽非法 IP)
只允许内网运维 IP 访问 SSH,所有外网 IP 直接拒绝 22 端口连接,从源头杜绝持续扫描:
bash
运行
system-view
# 高级ACL,仅内网运维192.168.1.0/24允许SSH
acl number 3000
rule permit tcp source 192.168.1.0 0.0.0.255 eq 22
rule deny tcp eq 22
# 绑定VTY虚拟终端,所有远程登录匹配ACL
user-interface vty 0 15
acl 3000 inbound
若必须开放外网远程运维,仅放行固定公网运维 IP,不要全网段放开。
2. SSH 服务内置重试限制(减少扫描尝试次数)
限制单 IP 最多连续输错 3 次密码直接断开连接,缩短扫描窗口:
bash
运行
# SSH连续认证失败最大重试3次
ssh server authentication-retries 3
# SSH空闲超时60秒,无效连接快速释放
ssh server timeout 60
# 强制仅使用SSH2,关闭不安全SSH1
ssh server compatible-ssh1x disable
3. AAA 本地账号登录锁定(锁账号,缓解持续爆破)
开启密码安全控制,连续输错密码直接锁定账号,攻击者无法继续尝试:
bash
运行
system-view
password-control enable
# 连续输错5次锁定账号,锁定30分钟自动解锁
password-control login-attempt 5 lock-time 30
查看锁定账号:display local-user;手动解锁:local-user admin unlock。
方案 2:手动黑名单拦截(已出现持续攻击 IP 时临时拉黑)
发现扫描 IP(如103.XX.XX.XX),添加永久 ACL 拒绝该 IP 所有入站流量:
bash
运行
acl number 3001
rule deny source 103.XX.XX.XX 0
rule permit ip
# 绑定外网接口入方向,拦截攻击IP所有报文
interface GigabitEthernet 0/0
packet-filter inbound acl 3001
批量拉黑技巧
查看登录失败日志定位攻击 IP:display logbuffer | include Failed password,提取扫描 IP 批量写入 ACL。
方案 3:进阶隐蔽优化(降低被扫描概率)
1. 修改 SSH 标准 22 端口(规避自动化扫描器)
bash
运行
ssh server port 2222
运维连接时指定端口ssh -p 2222 设备IP,绝大多数自动扫描工具仅探测 22 端口,大幅减少扫描流量。
2. 关闭无用 Telnet 服务,缩小攻击面
bash
运行
undo telnet server enable
方案 4:长效兜底(无法白名单外网开放场景)
定期查看安全日志,手工拉黑高频扫描 IP;
升级设备固件至 Comware V7,V7 原生支持attack-defense login enable自动 IP 黑名单,输错密码自动封禁源 IP;
上层防火墙 / 运营商 ACL 拦截外网高危扫描 IP 段。
极简操作顺序总结
优先配置 VTY ACL 白名单,仅内网运维访问 SSH;
配置 SSH 重试 3 次、超时 60 秒,开启账号密码锁定;
发现持续扫描 IP,通过接口 ACL 手动拉黑攻击源;
可选修改 SSH 非标准端口,减少自动化扫描。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论