华为防火墙配置黑名单

小乔

针对不确定IP地址的端口扫描攻击，结合使用了端口扫描攻击防范和动态黑名单功能。针对一个多次恶意攻击的固定IP地址，使用静态黑名单功能，使设备始终丢弃来自该IP的报文。
组网需求
USG部署在某公司的出口。该公司最近发现经常有不同的IP地址对公司内部服务器进行端口扫描，需要对其进行防范。其中有一个IP地址1.1.1.3已经进行了多次攻击，该公司希望可以直接屏蔽从此IP地址发来的流量。组网需求如下：
对于来自不确定IP地址的攻击，可令系统自动识别其攻击流量，并对这些IP地址发来的报文进行自动屏蔽。
对于来自固定IP地址的攻击，可以不再检测其流量，直接对此IP地址发来的报文进行屏蔽。
最终组网图如图1所示。
图1 配置黑名单组网图

配置思路
1根据网络规划为USG分配接口IP地址，并将接口加入相应的安全区域。
2保证相应域间可以进行正常通信。（可选）配置域间包过滤策略。
3开启端口扫描攻击防范功能，则发起攻击的不确定IP地址将被加入黑名单。配置端口扫描速率阈值和黑名单表项老化时间。
4开启黑名单功能，将发起攻击的固定IP地址加入静态黑名单中。


操作步骤
1 配置各个接口的IP地址，并划入相应的安全区域。
<USG> system-view
[USG] interface GigabitEthernet 0/0/0                 
[USG-GigabitEthernet0/0/0] ip address 192.168.1.1 24
[USG-GigabitEthernet0/0/0] quit
[USG] interface GigabitEthernet 0/0/1                           
[USG-GigabitEthernet0/0/1] ip address 1.1.1.1 24
[USG-GigabitEthernet0/0/1] quit
[USG] firewall zone trust      
[USG-zone-trust] add interface GigabitEthernet 0/0/0
[USG-zone-trust] quit
[USG] firewall zone untrust      
[USG-zone-untrust] add interface GigabitEthernet 0/0/1
[USG-zone-untrust] quit

2 根据实际情况配置Trust区域与Untrust区域之间的包过滤策略。首先保证内外网之间的正常通信，本例中不做特殊配置，保持缺省状态。
# 开启域间包过滤规则，确保各种业务顺利进行。
[USG] firewall packet-filter default permit all 说明：
当对网络安全性要求较高时，建议通过policy命令对域间数据流进行访问控制。

3配置端口扫描攻击防范，使端口扫描攻击的检测结果可以被自动导入到黑名单中。
# 开启端口地址扫描攻击防范功能。
[USG] firewall defend port-scan enable# 配置IP地址扫描速率的阈值为5000pps。
这里的阈值指某个源地址到同一目的地址的IP报文中端口的变化速率，缺省情况下端口扫描速率阈值为4000pps。如果这个速率过快，则说明这个源地址极有可能在扫描目的地址的所有端口。
[USG] firewall defend port-scan max-rate 5000
# 配置黑名单超时时间为30分钟。这样攻击防范功能所生成的动态黑名单表项将在30分钟后被删除。
[USG] firewall defend port-scan blacklist-timeout 30

4配置静态黑名单功能，将IP地址1.1.1.3加入黑名单，始终丢弃其发来的报文，直至手工将其从黑名单中删除。
[USG] firewall blacklist enable
[USG] firewall blacklist item 1.1.1.3


结果验证
当有攻击者对该公司进行端口扫描时，端口扫描攻击防范功能和动态黑名单功能即生效。可以执行命令display firewall blacklist item来查看当前系统中的黑名单表项，其中包括已经添加的静态黑名单表项和系统自动添加的动态黑名单表项。
[sysname] display firewall blacklist item                                                                    
Total:2         Manual:1             IP Sweep:0         Port Scan:1
IDS:0         Login Failed:0   
TIS(tcp-illegal-session):0                Unknown:0                                                                                                   
IP              Reason          Insert Time         Age Time        Vpn-instance
------------------------------------------------------------------------------  
1.1.1.3         Manual          2011/09/16 10:30:08 Permanent       public
10.1.1.1        Port Scan       2011/09/16 11:27:16 30              public
从屏显信息中可以看到，IP地址1.1.1.3被加入了静态黑名单，老化时间为永久有效，即该黑名单表项将一直生效，直到被删除为止。IP地址10.1.1.1被加入了端口扫描黑名单表项，老化时间为30分钟，即超过老化时间后，该IP地址将从黑名单中删除。


配置脚本
以下仅给出与本案例有关的脚本。
#
sysname USG
#                  
firewall defend port-scan enable      
firewall defend port-scan max-rate 5000
firewall defend port-scan blacklist-timeout 30
#
interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.0
#
firewall zone local
set priority 100
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/1
#
firewall zone dmz
set priority 50
#                  
firewall blacklist enable              
firewall blacklist item 1.1.1.3
#
return

hmxaur

好东西谢谢楼主分享