• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

08-安全配置指导

目录

19-黑名单配置

本章节下载 19-黑名单配置  (113.94 KB)

19-黑名单配置


1 黑名单配置

1.1  黑名单功能简介简介

黑名单功能是根据报文的源IP地址进行报文过滤的一种攻击防范特性。同基于ACL(Access Control List,访问控制列表)的包过滤功能相比,黑名单进行报文匹配的方式更为简单,可以实现报文的高速过滤,从而有效地将特定IP地址发送来的报文屏蔽掉。

黑名单可以由设备动态地进行添加或删除,这种动态添加是与用户登录设备的认证功能配合实现的,动态生成的黑名单表项会在一定的时间之后老化。具体实现是:

当设备检测到某用户通过FTP、Telnet、SSH、SSL或Web方式尝试登录设备的失败次数达到指定阈值之后,便判定其为恶意攻击用户,并将其源IP地址自动加入黑名单,之后来自该IP地址且访问本设备的报文将被设备过滤掉。此处所指的认证失败情况包括:用户名错误、密码错误、验证码错误(针对Web登录用户)。该功能可以有效防范恶意用户通过不断尝试登录认证,尝试破解登录密码的攻击行为。目前,用户登录失败次数的阈值为6,黑名单的老化时间为10分钟,且均不可配。

除上面所说的动态方式之外,设备还支持手动方式添加或删除黑名单。手动配置的黑名单表项分为永久黑名单表项和非永久黑名单表项。永久黑名单表项建立后,一直存在,除非用户手工删除该表项。非永久黑名单表项的老化时间由用户指定,超出老化时间后,设备会自动将该黑名单表项删除,黑名单表项对应的IP地址发送的报文即可正常通过。

1.2  配置黑名单

黑名单的配置包括使能黑名单功能和添加黑名单表项。添加黑名单表项的同时可以选择配置黑名单表项的老化时间,若不配置,那么该黑名单表项永不老化,除非用户手动将其删除。

表1-1 配置黑名单

配置步骤

命令

说明

进入系统视图

system-view

-

使能黑名单功能

blacklist enable

必选

缺省情况下,黑名单功能处于未使能状态

添加黑名单表项

blacklist ip source-ip-address [ timeout minutes ]

可选

 

1.3  黑名单显示和维护

在完成上述配置后,在任意视图下执行display命令可以查看黑名单配置的效果。

表1-2 黑名单的显示和维护

操作

命令

显示黑名单信息

display blacklist { all | ip source-ip-address [ slot slot-number ] | slot slot-number } [ | { begin | exclude | include } regular-expression ]

 

1.4  黑名单功能配置举例

1.4.1  组网需求

网络管理员通过流量分析发现外部网络中存在一个攻击者Host D,需要将来自Host D的报文在Device上永远过滤掉。另外,网络管理员为了控制内部网络的Web认证用户Host C的访问行为,当该用户登录失败次数超过6次,需要将Device上收到的Host C的报文阻止10分钟。

1.4.2  组网图

图1-1 黑名单配置典型组网图

 

1.4.3  配置步骤

# 配置各接口的IP地址,略。

# 使能黑名单功能。

<Device> system-view

[Device] blacklist enable

# 将Host D的IP地址5.5.5.5添加到黑名单中,缺省永不老化。

[Device] blacklist ip 5.5.5.5

1.4.4  验证配置结果

完成以上配置后,可以通过display blacklist all命令查看已添加的黑名单信息。

[Device] display blacklist all

                    Blacklist information

------------------------------------------------------------------------------

Blacklist                               : enabled

Blacklist items                         : 2

------------------------------------------------------------------------------

IP              Type   Aging started       Aging finished      Dropped packets

                       YYYY/MM/DD hh:mm:ss YYYY/MM/DD hh:mm:ss

5.5.5.5         manual 2011/04/09 16:02:20 Never               0

192.168.1.4     manual 2011/04/09 16:02:26 2011/04/09 16:12:26 0

配置生效后,Device对来自Host D的报文一律进行丢弃处理,除非管理员认为Host D不再是攻击者,通过undo blacklist ip 5.5.5.5将其从黑名单中删除;如果Device接收到来自Host C的报文,Web认证失败次数超过6次,则在10分钟之内,对其进行丢弃处理,10分钟之后,才进行正常转发。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们