交换机设备在信息安全扫描检查中往往有封堵端口的需求,这边介绍了两种常见的封堵方法,在多个局点测试有效。
设备被漏洞扫描时,可通过local pbr指向黑洞或copp两种方法来防止设备对https的端口回包,但一线有个特殊需求,因为其网络为ipv6 underlay ,ipv4 overlay,目的是希望在v6部分地址回复https报文,全部禁止v4回https报文。
举例来说,除了FE80:9999::/64地址可以访问设备443端口,其他的ip不论v4和v6地址段都不能访问,则交换机回包时只有目的地址为FE80:9999::/64源端口为443可以回包。
一、使用local pbr禁用回包,如有vpn acl需加上对应vpn,并且由于禁用回包,所以报文的acl需要反过来,即源ip变目的ip,目的port变成源的port:
ipv4 acl配置
acl advanced 3004
rule 15 permit udp source-port eq 443
#
ip policy-based-route cc permit node 20
if-match acl 3004
apply output-interface NULL0 // 所有IPV4 source-port eq 443的流量统统指向黑洞
#
如果还需要限制v6地址,就再做一个v6
acl ipv6 advanced 3003
rule 15 permit udp destination FE80:9999:: 64 source-port eq 443
#
acl ipv6 advanced 3004
rule 15 permit udp source-port eq 443
#
Ipv6 policy-based-route cc permit node 10
if-match acl 3003 //只允许命中FE80:9999:: 64 source-port eq 443回包
#
ipv6 policy-based-route cc permit node 20
if-match acl 3004
apply output-interface NULL0 // 其他ipv6 source-port eq 443的流量统统指向黑洞
#
全局应用好,分别应用
ip local policy-based-route cc
ipv6 local policy-based-route cc
二、使用copp禁用,需要版本支持,如使用此方法请在操作前沟通后方产线,这个是一个qos策略,写两CB对,分别进行permit和deny,之后在端口所在业务板比如control-plane slot 0,qos apply policy XXX inbound:
先v4
acl advanced 3004
rule 15 permit udp destination-port eq 443
#
traffic cl 2
if-match acl 3004
#
traffic be 2
filter deny
#
再写v6
Acl ipv6 advanced 3003
rule 15 permit udp source FE80:9999:: 64 destination -port eq 443
#
Acl ipv6 advanced 3004
rule 15 permit udp destination-port eq 443
#
traffic cl 3
if-match acl ipv6 3003
#
traffic be 3
filter permit
#
traffic cl 4
if-match acl ipv6 3004
#
traffic be 4
filter deny
#
Qos policy deny_443
cl 2 be 2//所有 ipv4 destination-port eq 443的流量统统干掉
cl 3 be 3// ipv6 destination-port eq 443的source FE80:9999:: 64 destination -port eq 443允许上cpu
cl 4 be 4// 其他ipv6 destination-port eq 443的流量统统干掉
#
其他未命中流量继续上cpu
control-plane slot 0
qos apply policy deny_443 inbound