各种攻击防范使用注意事项
- tcp-illeage-session
现网一般不建议开启。如果开启,firewall defend tcp-illeage-session packet INTEGER<1-255>不建议修改,保留1这个默认值。因为很多协议都是短连接,如http,三次握手成功后,可能只通信几个报文,这样如果通信的数据报文个数小于配置的值,则会出现误报;firewall defend tcp-illeage-session packet 1 interval INTEGER<1-240>可以修改时间间隔,如30秒(默认值为15秒)。如果是NAT访问的场景,则出现空闲超时会话超过阈值的可能性较大,所以对于这种场景不建议开启黑名单。 - dns-flood
只有在将USG5300/5500部署在DNS服务器前,专门用于保护DNS服务器时,并且DNS服务器支持基于TCP的DNS请求,才有必要开启,否则不需要开启。 - ip-spoof
在配置了策略路由或多出接口的场景下,容易出现到达某个报文源地址的接口与报文入接口不一致的情况,从而满足ip-spoof攻击检测的条件,导致误报,这种场景下必须关闭ip-spoof攻击防范。
透明模式下由于无法查路由,ip-spoof无效,所以透明模式下没必要开启ip-spoof攻击防范。 - smurf
透明模式下由于无法查路由,smurf无效,所以透明模式下没必要开启smurf攻击防范。 - teardrop
在GRE场景下(包括GRE报文穿越USG5300/5500和USG5300/5500作为GRE端点等)以及GTP报文穿越USG5300/5500时,建议关闭teardrop攻击防范,因为GRE报文或GTP报文如果在网络中分片,则分片报文可能会满足teardrop攻击检测条件而被丢弃,导致业务异常。 - ip-sweep
当防火墙内网存在NAT或代理等场景时,会出现同一个IP地址针对不同的目的地址的大量访问,容易达到ip-sweep的条件,从而影响正常业务。一般不建议开启。
推荐配置
firewall defend land enable firewall defend smurf enable firewall defend source-route enable firewall defend route-record enable firewall defend tracert enable firewall defend time-stamp enable firewall defend ping-of-death enable firewall defend ip-fragment enable firewall defend syn-flood enable firewall defend udp-flood enable firewall defend icmp-flood enable firewall defend syn-flood interface GigabitEthernetX/X/X max-rate 16000 //指针对需要保护的入接口设置SYN报文的最大速率为16000PPS。
推荐配置说明
防范类型 | 说明 |
firewall defend land enable | 针对源地址和目的地址相同的TCP报文或源地址是环回地址的报文进行丢包,并报攻击日志。 |
firewall defend smurf enable | 针对目的地址是出接口的广播地址的报文进行丢包,并报攻击日志。 |
firewall defend source-route enable | 针对携带IPOPT_SSRR(严格的源站路由选项)和IPOPT_LSRR(宽松的源站路由选项)IP选项的报文进行丢包,并报攻击日志。 |
firewall defend route-record enable | 针对携带IPOPT_RR(IP记录路由选项)IP选项的报文进行丢包,并报攻击日志。 |
firewall defend tracert enable | 针对ICMP超时报文(ICMP TYPE为11,且CODE不为1)和端口不可达报文(ICMP TYPE为3,CODE为3)进行丢包,并报攻击日志。 |
firewall defend time-stamp enable | 针对携带IPOPT_TIMESTAMP(IP时间戳选项)IP选项的报文进行丢包,并报攻击日志。 |
firewall defend ping-of-death enable | 针对分片偏移+该IP报文长度-IP头首部长度大于65515的报文进行丢包,并报攻击日志。 |
firewall defend ip-fragment enable | 针对满足DF(不可分片标记)=1 && MF(还有后续片标记)=1、DF=1 && Fragment Offset(分片偏移) != 0、DF=0 && Fragment Offset + IP报文长度 > 65535条件的报文进行丢包,并报攻击日志。 |
firewall defend syn-flood enable | 如果入接口收到的SYN报文的速率大于max-rate值(默认为1000PPS),就启用TCP代理或反向源探测进行防御(默认使用TCP代理),并报攻击日志。 |
firewall defend udp-flood enable | 如果入接口收到的UDP新建的速率大于max-rate值(默认500000cps),就开始进行限流,并报攻击日志。 |
firewall defend icmp-flood enable | 如果入接口收到的ICMP新建的速率大于max-rate值(默认500000cps),就开始进行限流,并报攻击日志。如果针对一条ICMP会话的首包方向的ICMP报文速率超过base-session max-rate值(默认255pps)时开始做限流,并报攻击日志。 |
firewall defend syn-flood interface GigabitEthernetX/X/X max-rate 16000 | 由于只开启firewall defend syn-flood enable时max-rate值很小,网络中很容易超过这个值,所以需要修改为16000,以避免正常业务流量也会报攻日志。 |
