1、HCIE-Security防范上機指導書防范上機指導書）HCIE-Security（學員IE 2.00HCIE-Security防范上機指導書目錄防范實驗3測試環境311.1 搭建1.2 DHCP Snoo技術71.3 TCP 反向源探測方式的 SYN Flood防范111.4 基于接口的 Flood防范14防范功能181.5 配址掃描1.6 配置 URPF20HCIE-Security防范上機指導書1防范實驗1.1 搭建實驗目的測試環境安裝SEAL軟件。組網設備一臺Windos 32 位主機實驗拓撲圖略配置步驟Setp 1雙擊 Seal 安裝文件，開始安裝 Seal。Setp 2安裝所有的

2、Seal 組件。HCIE-Security防范上機指導書Setp 3指定安裝目錄，點擊安裝 Install 按鈕。Setp 4完成安裝 Seal，并啟動 Seal 程序。HCIE-Security防范上機指導書Setp 5啟動 Seal 程序，首次啟動。在開始所有程序中找到 Seal 程序目錄，點擊SEALAgent,啟動 Agent，然后在點擊 Seal，啟動 Seal 程序。Setp 6啟動 Seal 程序后，進入 license 認證頁面。Seal 需要安裝 License 才可使用。有倆種方法可以激活 License:輸入員工 W3 賬號和，并點擊 OK。此時保證 PC 連接公司內網，

3、方可認證成功。導入 License 文件，并點擊 OK。此時方式需要收集本 PC 的 ESN，并填寫至指定電子流中（htt/hi/group/6349），可自動獲取License 文件。由于電子流在研發環境，必須委托研發同事代為在電子流中申請。HCIE-Security防范上機指導書Setp 7完成 License 的操作后，添加相應的組件。Attacker 用于模擬 DDos AppReplay 用于模擬。Setp 8配置Attacker 頁面，完成初始化配置。1)點擊設備管理，在Devicelist 處添加Add DeviceHCIE-Security防范上機指導書2)3)輸入主機 IP

4、地址為 （固定本機環回地址），并點擊Bind。選擇使用的網卡（可以通過 IP 地址判斷具體的網卡），并選擇 Apply，并點擊OK。完成初始化配置。技術1.2 DHCP Snoo實驗目的DHCP Server 仿冒者中間人與 IP/MAC Spoofing改變 CHADDR 值的 DoS組網設備PC1 臺、DHCP Server 1 臺、USG1 臺HCIE-Security防范上機指導書實驗拓撲圖設備上應用 DHCP Snoo典型組網圖示組網需求：，DHCP Snoo的作用就如同在 Cnt 和 DHCP Server 之間建立的一道DHCP Snoo。是一種 DHCP 安全特性，通過 MAC

5、 地址限制，DHCPSnoo安全綁定、IP + MAC 綁定、Option82 特性等功能過濾不信任的 DHCP消息，解決了設備應用 DHCP 時遇到 DHCP DoS、DHCP Server 仿冒攻擊、ARP 中間人及 IP/MAC Spoofing的問題。配置步驟Setp 1Setp 2將接口加入安全區域，并配置域間濾，以保證網絡基本通信正常配置USG 為DHCP Relay# 配置接口 GigabitEthernet 0/0/2 接口地址#配置要實現 DHCP 中繼功能接口Setp 3開啟DHCP Snoo功能#啟用全局和接口 DHCP Snoo功能HCIE-Security防范上機指導

6、書Setp 4配置Trusted 接口#配置DHCP Server 側接口為“Trusted”說明：DHCP Clinet 側所有接口開啟 DHCP snoo “Trusted” 模式，那么開啟了接口的 Snoo“Untrusted”），這樣可以防止 DHCP Server 仿冒者（如果用戶側接口沒有配置特性后，接口模式默認為。Setp 5配置對特定報文檢查和DHCP Snoo綁定表#配置在 DHCP Clinet 側接口進行 ARP 報文和 IP 報文檢查#配置在 DHCP Clinet 側接口進行 DHCP Request 報文檢查#配置在 DHCP Clinet 側接口進行 CHADDR

7、 檢查# 配置靜態綁定表項Setp 6配置DHCP 上送速率限制# 配置 DHCP 上送速率檢查Setp 7配置Option82# 配置 DHCP 報文中攜帶接口信息Setp 8配置對沒有表項報文的轉為# 配置對全局 ARP 報文和 IP 報文轉為HCIE-Security防范上機指導書# 配置對接口 ARP 報文和 IP 報文轉為結果檢查# 查看全局和接口視圖下 DHCP Snoo功能狀態# 查看 DHCP Snoo綁定表表項信息# 顯示接口上 DHCP Snoo相關信息DHCP-Relay display dhcp snoobind-table sicbind-table:ifnamevr

8、fvsip/cvlanmac-addressip-addresstp leaseGE0/0/10000 -0000/0000 00e0-fc5e-008a S0binditem count:1binditem total count: 1HCIE-Security防范上機指導書1.3 TCP反向源探測方式的SYN Flood實驗目的防范了解TCP 反向源探測方式的 SYN Flood防范典型組網和配置方法。組網設備PC2 臺、USG 5000 系列1 臺。HCIE-Security防范上機指導書實驗拓撲圖基于 IP 地址的 SYN Flood防范實驗組網圖示配置步驟(命令行)Setp 1Set

9、p 2Setp 3完成安全網關基本配置。 （略）配置域間策略。 （略）完成需求配置。# 進入 G1/0/3，啟用防范功能。# SYN 報文的大于 2000 個/秒, 啟用 SYN Flood 源探測防范功能。USG_A anti-ddos syn-flood source-detect alert-rate 2000Setp 4通過 Sear 發起流量。# 打開 Sear 測試軟件的 Attacker 測試模塊，在右側的 Test Template 中，雙擊選擇 SynFlood。這是看到左側 Test Case 出現了 Synflood 測試項目。#Select Agent 綁定使用的物理網

10、卡，依次選擇 Port1，然后選擇 Bind，然后選擇合適的網卡，然后Apply，最后選擇 OK 按鈕。HCIE-Security防范上機指導書#Case Content 是測試參數，填寫相應的測試參數，主要是源 IP，真實的目的 IP，其他保持默認即可。注：目的 IP 地址應該為真實的目的 IP 地址，否則將會發送全 F 的廣播包。或者將 Automatic Get Next HOP MAC 取消勾選，填寫任意的 Mac 地址。#最后選擇開始按鈕，并通過滑動條，調整報文的速度。配置步驟(Web)Setp 1Setp 2Setp 3安全網關基本配置。 (略)完成配置域間策略。 (略)完成需求配

11、置。# 進入 G1/0/3，啟用防范功能。# SYN 報文的大于 2000 個/秒, 啟用 SYN Flood 源探測防范功能。HCIE-Security防范上機指導書Setp 4通過 Sear 發起流量。(略)結果檢查SYN Flood 攻防配置前，被接受流量明顯增加，占用率增加，SYNFlood 攻防配置后，被流量及恢復正常。SYN Flood 攻防配置前，存在大量TCP SYN 半連接會話，TTL5 秒，SYNFlood 攻防配置后，TCP SYN 半連接會話無法建立。SYN Flood 攻防配置后，SYN Flood 攻防配置后，查看打印 SYN Flood日志。丟包統計，存在大量 T

12、CP SYN 報文丟棄。1.4 基于接口的Flood實驗目的防范了解基于接口的 Flood防范典型組網和配置方法，包括防范 UDP Flood、HCIE-Security防范上機指導書ICMP Flood、HTTP Flood、HTTPS Flood、DNS Flood 和 SIP Flood。組網設備主機 2 臺、USG 系列1 臺實驗拓撲圖基于接口防范實驗組網圖示組網需求需要外部用戶對接口GigabitEthernet 1/0/3 的 Flood行為。配置步驟(命令行)Setp 1Setp 2Setp 3安全網關基本配置。配置域間策略。需求配置。# 進入 G1/0/3，啟用防范功能。#并配

13、置接口的防范報文速率上限閾值。Setp 4通過 Sear 發起流量。# 打開 Sear 測試軟件的 Attacker 測試模塊，在右側的 Test Template 中，雙擊選擇 SynFlood。這是看到左側 Test Case 出現了 Synflood 測試項目。HCIE-Security防范上機指導書#Select Agent 綁定使用的物理網卡，依次選擇 Port1，然后選擇 Bind，然后選擇合適的網卡，然后Apply，最后選擇 OK 按鈕。#Case Content 是測試參數，填寫相應的測試參數，主要是源 IP，真實的目的 IP，其他保持默認即可。#最后選擇開始按鈕，并通過滑動條

14、，調整報文的速度。配置步驟(Web)Setp 1Setp 2Setp 3安全網關基本配置。 (略)策略。 (略)配置域間需求配置。# 進入 G1/0/3，啟用防范功能。HCIE-Security防范上機指導書#并配置接口的防范報文速率上限閾值。HCIE-Security防范上機指導書Setp 4通過 Sear 發起流量。 (略)結果檢查Flood 攻防配置前，被接受流量明顯增加，占用率增加，Flood 攻防配置后，被流量及恢復正常。Flood 攻防配置后，打印 Flood日志。1.5 配實驗目的址掃描防范功能了解地址掃描防范功能與配置。組網設備主機 2 臺、USG 系列1 臺實驗拓撲圖地址掃描

15、防范實驗組網圖示組網需求:USG 的以太網接口 GigabitEthernet1/0/2 連接 Trust 安全區域，以太網接口GigabitEthernet 1/0/3 連接 Untrust 域。需要保護內部網絡不受地址掃描的。配置步驟(命令行)Setp 1Setp 2Setp 3完成安全網關基本配置。配置域間策略。完成需求配置。# 啟用功能。USG firewall blacklist enable# 啟用地址掃描防范功能。USG firewall defend ip-sp enable# 啟用防范的動作是丟棄。HCIE-Security防范上機指導書 USG_A firewall def

16、end action discard# 配址掃描防范功能。Setp 4通過 Sear 發起流量。# 打開 Sear 測試軟件的 Attacker 測試模塊，在右側的 Test Template 中，雙擊選擇 ICMPscanattack。這是看到左側 Test Case 出現了 ICMPscanattack 測試項目。#Select Agent 綁定使用的物理網卡，依次選擇 Port1，然后選擇 Bind，然后選擇合適的網卡，然后Apply，最后選擇 OK 按鈕。#Case Content 是測試參數，填寫相應的測試參數，主要是源 IP，真實的目的 IP，其他保持默認即可。#最后選擇開始按鈕，

17、并通過滑動條，調整報文的速度。配置步驟(Web)Setp 1Setp 2Setp 3安全網關基本配置。 (略)完成配置域間策略。 (略)完成需求配置。HCIE-Security防范上機指導書#啟用功能。#啟用地址掃描防范功能。配址掃描防范功能。Setp 4通過 Sear 發起流量。(略)結果檢查1.2.打印 IP 掃描PC 列入掃描攻防配置后，掃描攻防配置后，間過后恢復正常日志。，無法通過網絡，timeout 時。1.6 配置URPF介紹單播逆向路徑轉發的配置舉例。實驗目的了解單播逆向路徑轉發配置。HCIE-Security防范上機指導書組網設備USG 系列2 臺實驗拓撲圖本例在 ISP連，在

18、 N點啟動 IPv6 URPF 功能。客戶 N_A 與 ISP N_B 直_B 的接口 GigabitEthernet 1/0/1 上啟動 IPv6 URPF。要求嚴格檢查，源地址在 IPv6 ACL 2010 中的報文在任何情況下都能通過檢查；在N_A 的接口 GigabitEthernet 1/0/1 上啟動 IPv6 URPF，要求嚴格檢查，開啟缺省路由匹配。配置URPF 組網圖配置步驟Setp 1配置N_v6 功能。N_B ipv6Setp 2配置 IPv6 ACL 2010，允許 2002:1/64 網段的流量通過 IPv6 URPF 檢查。NNN_B acl ipv6 number 2010_B-acl6-basic-2010 rule permit source 2002:1 64_B-acl6-basic-2010 quitSetp 3配置接口GigabitEthernet 1/0/1 的 IPv6 地址。NNN_Berface GigabitEthernet 1/0/1_B-GigabitEthernet1/0/1 ipv6 enable_B-GigabitEthernet1/0/1 ipv6 address