华为交换-安全配置命令

fjqzyc

开启核心交换IP 欺骗***防范功能、Land ***防范功能、Smurf ***防范功能、YN Flood ***防范功能、ICMP Flood ***防范功能、Ping of Death ***防范功能、TearDrop ***防范功能，由于配置交换机安全配置，会占用大量设备资源，请综合考虑是否进行配置；

一．配置Land ***防范功能

land ***是一种使用相同的源和目的主机和端口发送数据包到某台机器的***。结果通常使存在漏洞的机器崩溃。

操作step

step1 执行命令system-view，进入系统视图。

step2 执行命令vlan vlan-id,创建VLAN 并进入VLAN 视图。

step3 执行命令quit，退回系统视图。

step4 执行命令firewall enable，打开***防范使能开关。

step5 执行命令interface vlanif vlan-id，进入VLANIF 接口视图。

step6 执行命令firewall defend enable，打开***防范使能开关。

step7 执行命令quit，退回系统视图。

step8 执行命令firewall defend land enable，使能Land ***防范功能。

缺省情况下，Land ***防范功能处于关闭状态。

查看S-switch 设备配置的***防范信息display firewall defend flag

使用display firewall defend flag 命令查看S-switch 设备配置的***防范信息，显示

“land”表示Land ***防范功能已经使能。

二． 配置Smurf ***防范功能

原理：***者向网络广播地址发送ICMP包，并将回复地址设置成受害网络的广播地址，通过使用ICMP应答请求数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对次ICMP应答请求作出答复，导致网络阻塞。更加复杂的Smurf******将源地址改为第三方受害者，最终导致第三方崩溃。

背景信息

在需要配置Smurf ***防范的S-switch 上进行如下配置。

操作step

step1 执行命令system-view，进入系统视图。

step2 执行命令vlan vlan-id,创建VLAN 并进入VLAN 视图。

step3 执行命令quit，退回系统视图。

step4 执行命令firewall enable，打开***防范使能开关。

step5 执行命令interface vlanif vlan-id，进入VLANIF 接口视图。

step6 执行命令firewall defend enable，打开***防范使能开关。

step7 执行命令quit，退回系统视图。

step8 执行命令firewall defend smurf enable，使能Smurf ***防范功能。

缺省情况下，Smurf ***防范功能处于关闭状态。

查看S-switch 设备配置的***防范信息display firewall defend flag

使用display firewall defend flag 命令查看S-switch 设备配置的***防范信息，显示

“smurf”表示Smurf ***防范功能已经使能。

三．配置SYN Flood ***防范功能

SYN Flood***是一种通过向目标服务器发送SYN报文，消耗其系统资源，削弱目标服务器的服务提供能力的行为。一般情况下，SYN Flood***是在采用IP源地址欺骗行为的基础上，利用TCP连接建立时的三次握手过程形成的。

操作step

step1 执行命令system-view，进入系统视图。

step2 执行命令vlan vlan-id,创建VLAN 并进入VLAN 视图。

step3 执行命令quit，退回系统视图。

step4 执行命令firewall enable，打开***防范使能开关。

step5 执行命令firewall defend syn-flood enable，使能全局SYN Flood ***防范功能。

缺省情况下，SYN Flood ***防范功能处于关闭状态。

step6 执行命令interface vlanif vlan-id，进入VLANIF 接口视图。

step7 执行命令firewall defend enable，打开***防范使能开关。

step8 执行命令quit，退回系统视图。

step9 （可选）执行命令firewall defend syn-flood ip ip-address [ max-rate rate-number ]，设置

使用display firewall defend flag 命令查看S-switch 设备配置的***防范信息，显示

“syn-flood”表示SYN Flood 防范功能已经使能。

四．配置ICMP Flood ***防范功能

ICMP***是通过Ping产生的大量数据包，使目标计算机的CPU占用率满载继而当机，此类的***方法更加简单，恶意用户只要在DOS窗体中输入ping -t -l 65500 IP地址即可实现向目标计算机发送一个65500的ICMP报文，此时目标用户即受到ICMP洪水***，计算机因此逐渐变慢，从而死机。

操作step

step1 执行命令system-view，进入系统视图。

step2 执行命令vlan vlan-id,创建VLAN 并进入VLAN 视图。

step3 执行命令quit，退回系统视图。

step4 执行命令firewall enable，打开***防范使能开关。

step5 执行命令interface vlanif vlan-id，进入VLANIF 接口视图。

step6 执行命令firewall defend enable，打开***防范使能开关。

step7 执行命令quit，退回系统视图。

step8 执行命令firewall defend icmp-flood enable，打开ICMP Flood ***防范功能全局开关。

step9 （可选）执行命令firewall defend icmp-flood ip ip-address [ max-rate rate-number ]，设置。

使用display firewall defend flag 命令查看S-switch 设备配置的***防范信息，显示

“icmp-flood”表示ICMP Flood ***防范功能已经使能。

五． 配置Ping of Death ***防范功能

这种***通过发送大于65536字节的ICMP包使操作系统崩溃；通常不可能发送大于65536个字节的ICMP包，但可以把报文分割成片段，然后在目标主机上重组；最终会导致被***目标缓冲区溢出。防止系统受到Ping of Death***的方法与防范Smurf和Fraggle***是相同的，可以在防火墙上过滤掉ICMP报文，或者在服务器上禁止Ping，并且只在必要时才打开ping服务。

操作step

step1 执行命令system-view，进入系统视图。

step2 执行命令vlan vlan-id,创建VLAN 并进入VLAN 视图。

step3 执行命令quit，退回系统视图。

step4 执行命令firewall enable，打开***防范使能开关。

step5 执行命令interface vlanif vlan-id，进入VLANIF 接口视图。

step6 执行命令firewall defend enable，打开***防范使能开关。

step7 执行命令quit，退回系统视图。

step8 执行命令firewall defend ping-of-death enable，使能Ping of Death ***防范功能。

缺省情况下，Ping of Death ***防范功能处于关闭状态。

----结束

使用display firewall defend flag 命令查看S-switch 设备配置的***防范信息，显示

六． 配置TearDrop ***防范功能

　　Teardrop是基于UDP的病态分片数据包的***方法，其工作原理是向被***者发送多个分片的IP包（IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息），某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。（利用UDP包重组时重叠偏移（假设数据包中第二片IP包的偏移量小于第一片结束的位移，而且算上第二片IP包的Data，也未超过第一片的尾部，这就是重叠现象。）的漏洞对系统主机发动拒绝服务***，最终导致主机菪掉；对于Windows系统会导致蓝屏死机，并显示STOP 0x0000000A错误。）

操作step

step1 执行命令system-view，进入系统视图。

step2 执行命令vlan vlan-id,创建VLAN 并进入VLAN 视图。

step3 执行命令quit，退回系统视图。

step4 执行命令firewall enable，打开***防范使能开关。

step5 执行命令interface vlanif vlan-id，进入VLANIF 接口视图。

step6 执行命令firewall defend enable，打开***防范使能开关。

step7 执行命令quit，退回系统视图。

step8 执行命令firewall defend teardrop enable，使能TearDrop ***防范功能。

缺省情况下，TearDrop ***防范功能处于关闭状态。

----结束

使用display firewall defend flag 命令查看S-switch 设备配置的***防范信息，显示

“teardrop”表示TearDrop ***防范功能已经使能。

　　七．配置IP 欺骗***防范功能；
　　开启IP 欺骗***防范功能，交换机在受到IP 欺骗***后，将被***信息记录下来，并通过日志输出。输出日志中可以显示最近30 秒内系统所记录的***源IP 地址、***，开始时间、***结束时间、***报文总数等信息。其中可以显示最多12 个不同的IP 地址。
　　在赤峰核心交换上进行如下配置。
　　操作步骤
　　步骤1 执行命令system-view，进入系统视图。
　　步骤2 执行命令vlan vlan-id,创建VLAN 并进入VLAN 视图。
　　步骤3 执行命令quit，退回系统视图。
　　步骤4 执行命令firewall enable，打开***防范使能开关。
　　步骤5 执行命令interface vlanif vlan-id，进入VLANIF 接口视图。
　　步骤6 执行命令firewall defend enable，打开***防范使能开关。
　　步骤7 执行命令quit，退回系统视图。
　　步骤8 执行命令firewall defend ip-spoofing enable，使能IP 欺骗***防范功能。
　　缺省情况下，IP 欺骗***防范功能处于关闭状态。
　　Ø  检查配置结果
　　完成上述配置后，执行下面的命令检查配置结果。
　　操作命令
　　查看S-switch 设备配置的***防范信息display firewall defend flag
　　使用display firewall defend flag 命令查看S-switch 设备配置的***防范信息，显示“ipspoofing”，表示IP 欺骗***防范功能已经使能。