公安信息网异常流量监测及入侵检测系统实施技术方案
编制单位:XXX有限公司
目 录
1 遵义市公安局出口安全需求概述 3
1.1 遵义市公安局业务系统现状 3
1.2 安全问题分析 3
2 遵义公安局出口业务系统安全建设方案 3
2.1 概述 3
2.2 遵义市公安局业务系统安全解决方案 4
2.2.1 组网设计 5
2.2.2 安全设计 7
2.2.3 总体实施步骤 13
2.2.4 设备配置步骤 19
2.2.5 配置IPS 27
3 总结 28
1遵义市公安局出口安全需求概述
1.1遵义市公安局业务系统现状
通过对遵义市公安局网络的了解,获悉遵义市公安局网络在核心层连接了各区县分局,以及市公安局局域网,同时业务系统也连接在核心层,遵义市范围内所有业务访问都要从核心路由器连接到业务系统,现在业务系统前端没有关键的安全设备,安全问题成为业务系统的重中之重。
1.2安全问题分析
由于遵义市公安局业务系统前端没有部署任何安全设备,安全问题已成为此网络亟需解决的一个问题,遵义市公安局网络内部流量较大,从其他区县公安局网络和遵义市公安局局域网带来的安全隐患也不可小视,而且随着攻击手段的变化多样而且攻击工具更容易获取,以及基于僵尸网络DDoS攻击的出现,使得基于网络层的攻击层出不穷。主要的攻击包括:ARP Flood、ICMP Flood、IP Spoofing、UDP Flood、Synflood等DDoS攻击等,病毒、蠕虫、恶意代码等安全威胁愈演愈烈。
为了解决遵义公安局业务系统安全问题,本次在遵义市公安局核心层建设边界安全网关,主要启用防火墙解决边界隔离问题,启用IPS解决入侵检测问题,启用DDoS解决异常流量攻击问题。
2遵义公安局出口业务系统安全建设方案
2.1概述
为解决遵义市公安局业务系统网络安全问题,此次建设在遵义市公安局核心层建设安全网关设备保障边界安全,采用USG9520作为网关设备,同时部署专业的Anti-DDoS8030设备作为异常流量清洗设备,监控和清洗从各区县公安局和本市公安局局域网进入业务系统的流量。
2.2遵义市公安局业务系统安全解决方案
遵义市公安局安全建设拓扑图如下:
如图所示,在遵义市公安局网络核心层SR6616部署华为USG9520作为网关设备,开启防火墙和IPS功能,在SR6616侧挂AntiDDoS8030设备开启DDoS流量防护功能,防护从区县分局和市局域网到公安业务系统的流量,每种安全功能实现的总体概述如下:
防火墙:实现安全域隔离,基本的包过滤,作为安全的基础设置;
DDoS:实现对异常流量的流量检测和阻断功能,可针对流量流向进行统计分析,包括出入流量和攻击流量对比,服务流量的TopN,应用协议类型分布等,可针对异常攻击进行分析,包括服务异常TopN,攻击事件TopN,异常攻击类型分析,攻击类型趋势,攻击日志等,可针对分析的结果提供相应的报表,便于用户进行分析和溯源。
IPS:针对应用层威胁,能够检测及防御各种网络威胁,如蠕虫,木马软件,间谍软件,广告插件等,实现对网络应用的安全防护功能。
2.2.1组网设计
2.2.1.1 组网方式
华为2台USG9520分别旁路部署在2台SR6616上,1台AntiDDoS设备旁路部署在SR6616路由器上,分别和2台SR6616都连接,AntiDDoS设备对区县分局和市公安局局域网到业务系统方向的流量进行检查清洗,对业务系统出去的流量无需引流清洗。
2.2.1.2 路由设计:
总体原则:从公安局各区县分局和市局域网访问业务系统的流量,走到核心层SR6616后,先引入AntiDDoS设备进行流量清洗,再匹配策略路由引流到USG9520进行安全防护,最后将干净的流量送到业务系统。
SR6616与AntiDDoS8030之间采用策略路由,从区县分局和市局域网流入到公安局业务系统内网的流量,匹配策略路由,引流到AntiDDoS8030上进行异常流量清洗,清洗后的流量通过AntiDDoS上配置的静态路由回注到SR6616上,从AntiDDoS清洗后的流量到达SR6616,SR6616与USG9520之间采用策略路由,在引回USG9520,匹配USG9500下行安全策略检查过滤后,USG9500将流量回注到SR6616上,在SR6616上与USG9520接口匹配策略路由引到SR6616下行接口,再根据公安局内部路由将流量转发到业务系统网络。
在SR6616配置静态路由,下一跳为USG9520接口地址,当AntiDDoS设备出现异常时,SR6616到AntiDDoS8030上的策略路由自动撤销,流量按照路由转发至USG9520,匹配USG9500下行安全策略检查过滤后,USG9500将流量回注到SR6616上,在SR6616上与USG9520接口匹配策略路由引到SR6616下行接口,再根据公安局内部路由将流量转发到业务系统网络。
如果防火墙故障,防火墙与SR6616的路由撤销,直接按照原路由转发即可。
2.2.1.3 流量流向:
流入公安系统部方向:从遵义市局域网到业务系统的流量,先到达SR6616,通过策略路由引流到AntiDDoS8030,设备将混合流量清洗后回注到相应的SR6616,SR6616通过策略路由将流量引流到网关USG9500上,匹配USG9500下行安全策略检查过滤后,USG9500将流量回注到SR6616上,SR6616根据公安局内部路由将流量转发到业务系统网络;
从业务系统回局域网的流量:从遵义公安局业务系统内部到各区县局域网的上行流量到达SR6616,SR6616将流量引流到网关USG9500上,经过USG9500安全检查过滤后,USG9500将流量回注到SR6616上,进行后续转发至区县分局或市局域网,这部分流量不用再引流到AntiDDoS设备;
2.2.2安全设计
在遵义市公安局业务系统网络安全方案中,安全主要启用3大功能模块:防火墙功能,DDoS功能,IPS功能,如下详述:
2.2.2.1 防火墙安全检查
在USG9500上开启防火墙功能,进行网络攻击分析,可以对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,杜绝越权访问,防止各类非法攻击行为。部署效果如下:
1. 网络安全的基础屏障:
防火墙能极大地提高一个遵义市监狱网内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2. 强化网络安全策略
在防火墙上配置精细化的安全策略,仅对需要进入遵义市监狱管理网络的人员和IP进行开放,对其他IP全部关闭,这样可以更好的保护内网安全。对部分远程用户需要登陆到遵义市监狱网络,还能从防火墙上进行VPN接入,通过VPN接入控制远程接入用户的安全。
3. 对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
4. 防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。
5. 精确流量管理
通过部署防火墙设备,不仅可以实现精准访问控制与边界隔离防护,还能实现阻止由于病毒或者P2P软件引起的异常流量、进行精确的流量控制等。对各级节点安全域实现全面的边界防护,严格控制节点之间的网络数据流。
2.2.2.2 DDoS异常流量分析和过滤
本次部署的DDoS系统包括检测设备和管理中心,专业DDoS插板进行异常流量的分析和过滤,同时需要配套华为Anti-DDoS管理平台ATIC来统一管理,并进行信息记录和统计。华为DDoS系统能够针对业界各种异常流量进行清洗和统计分析,防护效果如下:
1.精细化防护
现网业务众多,流量复杂,不同业务不同IP间的流量模型各不相同,服务器能力也千差万别,这就导致同样的DDoS攻击在不同业务和目标上呈现出不一样的攻击效果。于是如何处理好这种差异性成为一个重要问题。
华为结合多年对现网流量的分析经验和对客户诉求的理解,提出了精细化防范理念,使用防护对象将具有相同业务模型或同样网络位置的目标服务器IP进行捆绑,对不同的防护对象使用独立的防范策略。而其它所有管理,分析和控制均基于防护对象进行操作,这样便实现了业务独立分析,防范,统计,在提供精细化防范的同时也为推广DDoS防护增值业务提供了支撑。针对遵义市公安局业务系统网络,可根据不同的服务器或业务区划分不同的防护对象,对重点业务区可进行重点防护。
在防护对象基础上,华为针对DDoS服务运营场景又提出了基于三元组(目的IP,目的端口,协议)的更细化防范思路。可以实现单一防护对象下针对不同三元组的独立防护策略部署,使防范粒度精确到端口和协议。
2.强大的防御引擎
华为为了应对发展迅速的DDoS攻击,开发了强大的智能防护引擎,其内部集成了DDoS防护必备的7层防护算法,逐层对攻击流量进行清洗过滤,实现对流量型攻击和应用层攻击的全面防护。7层防护由畸形包过滤,特征过滤,虚假源认证,应用层认证,会话分析,行为分析,智能限速组成。畸形报文过滤针对违反协议标准的报文进行检查和丢弃。特征过滤则使用了华为强大的指纹学习和匹配算法,可以识别带有指纹的攻击流量,同时可以针对自定义报文特征,如IP,端口等信息对报文进行过滤。虚假源认证和应用层源认证则能够验证流量源IP的访问意图和真实性。会话分析和行为分析则能够针对DDoS攻击经常性的spoof行为特点和多变的攻击规律进行统计分析,对隐藏较深的僵尸网络攻击拥有良好的防范效果。最后的智能限速则可以针对大流量正常行为进行限制和控制保证服务器的可用性。
七层防御模型
提供众多防护算法的同时,华为清洗引擎可以有效降低对正常流量的误判和错判,避免了一些传统防护设备存在的影响客户业务,干扰正常访问等问题。
面对当前IPv6演进不断加快的情况,IPv6 DDoS攻击防范的诉求越来越强,为了适应IPv6过渡需要,Anti-DDoS设备是否能支持双栈式防御变的尤其重要。华为清洗引擎采用可重用的设计思想,将IPv4攻击防范和IPv6攻击防范集成于统一的引擎中。流量将在转发层面进行区分,针对双栈不同的报文结构进行分析,然后采用统一的结构记录分析结果并输入清洗引擎中,最终实现了双栈合一的清洗。鉴于华为在IPv6演进领域多年的浸淫,以及成熟的双栈式防护引擎,华为Anti-DDoS产品将全面支持IPv6流量的防范工作。
3.强大的报表功能
ATIC管理系统自带的强大报表功能,可以针对网络中出现的各种攻击流量,多种应用流量进行统计分析。分析结果会以邮件的形式自动发送给运维人员和客户,为客户的AntiDDoS服务运营提供强有力的支持。而其自定义的报表生成策略可以为不同客户分别提供个性化报表定制。系统还可以给客户提供访问受限的独立帐户,客户可通过此帐户查询自己的流量历史状况和防范配置,实现业务管理上的虚拟化。
2.2.2.3 IPS入侵检测
在USG9500配置IPS业务板卡,开启IPS功能,针对应用层威胁,能够检测及防御各种网络威胁,如蠕虫,木马软件,间谍软件,广告插件等,实现对网络应用的安全防护功能。IPS和防火墙功能配合,共同防御来自应用层到网络层的多种攻击类型,建立一整套的安全防护体系,进行多层次、多手段的检测和防护。部署效果如下:
1 . 特征匹配
IPS的检测方式主要为特征匹配(或者叫误用检测abuse detect),也就是通过分析系统的漏洞或已有攻击事件的字段特征制定特征规则,同时对应用层协议解析,关键信息提取,深度模式匹配等方法全面防范各种漏洞攻击,如针对操作系统的漏洞攻击,针对数据库服务器的溢出攻击,针对邮件服务器、文件服务器的漏洞攻击或常用应用软件如IE浏览器的漏洞攻击等,可实现对蠕虫、木马、间谍软件等攻击的有效检测及防御。
因为IPS主要检测的是应用数据流,有效识别数据流的真实类型将提高IPS的检测效率及准确度, USG系列防火墙的IPS能够识别运行于非知名端口的常用数据流类型,同时记录五元组信息,该功能也为其它安全模块提供了是否进行相关安全检测的判断依据
2 . 签名库多种升级
IPS规则库的支持在线升级,保证系统规则库地及时更新,确保入侵防御的及时有效。用户可自定义IPS规则,根据具体网络的具体安全需求定义IPS规则,在第一时间保证网络安全。
3 . 入侵事件记录分析
支持对入侵事件进行日志记录,丢包以及阻断等响应方式,通过及时有效的响应来阻止网络入侵行为,最大限度的保证受保护的网络及信息安全。同时通过记录及有效存储相关的日志信息为日后的安全审计提供有效的依据,也为安全管理人员制定及调整安全策略提供了参考。
日志信息将被及时发送到日志服务器,所有告警日志都支持历史查看及按一定条件进行搜索分类等。
4 . 灵活的策略配置
传统的IPS 策略基本是不区分所保护对象,对所有流量进行检测,引入的一个问题是经常对一些不需要检测的流量检测,性能低下,且可能误报。 USG系列防火墙的IPS特性可以让用户定制细致的IPS策略,应用在特定的流量上,一方面提高了性能,另一方面减少了误报。
使用签名集,对具有相同属性的签名划分到同一个签名集,统一应用,统一配置响应动作。
使用高优先级的单条签名的覆盖配置,对某个签名集中的特殊签名使用特殊的响应动作和使能状态。
引用模板,使配置快速简单。模板中根据签名的严重情况,可信度等对签名进行了一些分类,相应的分类都有建议的响应方式。
通过防火墙功能、DDoS功能和IPS功能,可以解决遵义市公安业务系统的安全问题,后续可以根据网络发展需求开启VPN、地址转换等功能,更好的保护业务系统安全。
2.2.3总体实施步骤
2.2.3.1 开箱验货
接收货物
在货物抵达施工现场,首先要观察包装的纸箱、木箱是否有破损、淋湿等现象,如果有的话,要及时和运输的人员、发货的人员沟通,并请示项目经理或者相关负责人。
首先规划货物的搬运,要考察货物搬运的条件,比如有没有电梯,哪些可以用电梯哪些需要走楼梯等,如果可以使用电梯,一般需要申请,电梯使用申请要预先办理好。
货物的堆放,首先要遵守客户的规范,先向客户咨询,尤其是在货物比较多、占地面积比较大的情况下,客户会考虑平时的工作会不会受到影响等因素,而这些往往是我们忽视的地方。
货物的堆放地最好比较宽阔,便于我们施工和整理货物。
开箱验货过程:
(1)工程督导和客户同时在场完成。
(2)开箱验货完毕后,由客户根据验货情况在装箱单上签字,
货物正式移交给客户,货物的保管责任为客户。
(3)工程完工后,工程督导要将客户签字后的装箱单汇总和工程文档一起提交给文员审核
开箱过程中的坏件处理
•确认单板故障
–按照故障处理思路排查故障
–借助华为800,确认单板故障,获取问题单号
•反馈货物问题
–填写《货物问题反馈表》,备注中注明800问题单号;
–和华为办事处协商从备件库借备板备件
•更换坏件,将坏件返还给华为备件库返修
2.2.3.2 硬件施工
工程督导向硬件工程师提供相关工程信息:
•本工程合同配置信息;
•工程进度计划表,计划变动,双方要及时进行沟通;
•局方联系信息(建议做出区域市、县局客户工程负责人数据库,并进行共享);
•重点局机房平面图;
•组网图(重点是线缆路由走向);
•对于新产品,软调督导(工程督导),有义务对硬件工程师进行设备硬件参数的讲解和硬件安装的指导;
•对于在工程现场遇到的复杂问题,如随工配合问题、车辆问题,软调督导要协助解决;
•工程现场硬件工程遗留问题的及时收集,跟踪推动解决;
•明确竣工资料中需要硬件采集的数据。
硬件施工过程
•工程督导在组织进行硬件安装时,按照《工程设计文件》或《勘测报告》进行施工,同时制作工程文档的相关部分,并注意:
–施工前,施工人员和随工确认设备安装位置和走线路由,如果和设计文件不符,不能盲目施工,需要向客户、设计院、华为相关工程责任人沟通,确认是否进行设计更改。
–施工过程中,施工人员要遵守我司和客户相应的行为规范。
–硬件施工参照各产品《安装手册》。
硬件施工过程中的安全问题
•高危工程
–位于中心机房或重要局点的扩容和新建工程,在操作中,由于不慎可能引起严重后果的局点。
–高危操作
–所有存在风险隐患的动作和操作
•硬件施工高危操作
–设备加电
–新建设备与在用设备直接对接
–布放光纤到有在用业务的ODF
–带电插拔单板
–插拔有业务设备电缆
–扩容设备增加电缆
•硬件施工危险环境
–地板下电源和和信号线纵横交错。光纤没有保护
–防静电地板没有铺好,可能塌陷造成人身伤害和危险。
–焊接在用业务电缆
–在有在用设备的综合柜内进行安装维护等动作,极易影响其他设备
–在机房有关操作动作猛烈,可能意外碰到其他设备和电缆
–整理在用网线和光纤或贴标签,存在影响业务隐患
•硬件施工安全生产保障措施
–提交操作申请,制作操作方案,获取客户许可
–由硬件督导或具备操作能力的工程师操作
–在行业默许规定时间操作
–软件督导配合,做好保障工作
•硬件施工设备加电流程
–提出通信设备用电需求
–开工前检查用户电源系统
–工程硬件质量自检
–通信设备加电操作
2.2.3.3 软件调测
•软件工程师在软件调测过程中,要依照各产品《数据设定规范》、《调测指导书》、《工程文件》进行软件加载和调试。
•对《现场调测记录表》的每一项内容进行内部测试,为工程验收做好准备
•在软件调测过程中,出现调测坏或需更换单板时,参见《开箱验货、货物管理及移交作业指导书》 。
•如果认为《工程文件》中的某些内容和开局数据需要更改,按设计文件更改流程处理。
•工程督导根据客户提供的书面计费依据,双方对计费进行验证,验证结果要求客户签字确认,并输出相关产品计费确认报告。
•对于不涉及计费的产品,则不需输出计费确认报告 。
•工程督导在安装过程中如果遇到自己无法解决的技术问题,先向公司内部的技术支持人员(导师、高督、技术专家)寻求支持;
如果公司内部无法解决,再向华为技术支持寻求帮助(打400电话4008229999)
软件调测过程中的高危操作
1、在网设备扩容,包括插拔单板、各种模块;
2、对网络设备的路由协议进行操作。包括新建设备入网及测试时,与在网设备进行路由协议对接测试;
3、对设备主控板进行主备倒换;
4、在网设备升级、打补丁,业务割接;
5、对在网运行设备上重点用户和重要局向的数据改动;
6、对在网运行设备的冗余数据删除操作;
7、对非华为设备的数据配置,必须由用户进行操作;
8、通信敏感时段(春节、五一、517、315、两会)严禁操作。
高危操作处理流程
1、工程师根据操作需求,制作操作方案,并在3天内提交高督审核(重大操作在5天内提交);
2、技术支持或高督对方案进行审核,
3、审核通过后,需客户签字盖章确认,然后才能进行操作。操作方案,在操作前必须和用户进行确认,并签字、盖章,表明用户已认可此操作,如果没有签字、盖章的纸面件到主管处,视为没有得到客户的许可,那么就不允许进行相关操作,严禁在用户口头的许诺下,对设备进行操作;
2.2.3.4 测试
现场进行业务测试,确保达到客户的业务需求,输出业务测试记录表,并有客户进行签字确认。
2.2.3.5 初验
初验准备
•在初验前,工程督导整理工程竣工资料。
•向客户递交《初验申请报告》。
•了解客户对初验的特殊要求,确定初验时间、初验内容及日程安排。
•对于公司一级工程和公司二级工程,工程督导与客户共同制定《初验方案》;对于一般工程,工程督导根据实际情况,决定是否制作。
•检查需要客户提供的工具、测试仪器仪表是否到位
初验过程
•工程督导与客户共同组织进行初验。
•初验中的每一个测试项目都必须有客户签字。工程督导在安装调试过程中可与客户随工人员完成部分技术指标的测试,双方签字确认后的数据在得到客户许可后,可以做为初验的测试数据使用
•初验通过后,移交工程竣工资料等文档给客户,填写《(客户)资料移交清单》,客户签字确认
•工程中的遗留问题(包括承诺遗留问题的解决时间)一定要与主管进行沟通;遗留问题不要写在验收结论中,应在《工程备忘录》中填写 。
•初验结束后,《设备安装报告》、《系统初验证书》由客户签字盖章。
现场培训
•对客户进行工程现场培训
•客户培训结束后应由客户签署《工程现场培训报告》。
•如果合同中有对培训专门的要求,培训的内容以合同要求为准。
2.2.3.6割接过程
•设备初验通过后,工程督导根据需要配合客户一起制定《割接方案》,进行设备割接。并注意以下方面:
–明确双方责任人、分工;
–和客户协商考虑如何保证设备顺利割接,同时考虑割接失败的补救措施;
–安排落实人员观察设备运行情况。
2.2.3.7整理文档
•工程督导收集整理完善现场的文档资料
•补充完整《客户设备档案》CEAS 中的相关内容
•工程督导参照《工程文档审核标准》对文档的完整性、规范性、准确性进行自检。
•自检合格,工程督导需将现场工程过程文档(《工程手册》、《验收手册》、《外购设备档案》、工程竣工资料等等)、《客户设备档案》提交给华为办事处文档信息管理员
2.2.4设备配置步骤
2.2.3.1 IP地址规划(以用户提供的实际IP地址为准)
设备名称 | 接口 | IP地址 |
AntiDDoS8030 | GE2/0/1.100 | 10.154.100.254/30 |
GE2/0/1.200 | 10.154.100.250/30 | |
GE2/0/2.100 | 10.154.100.246/30 | |
GE2/0/2.200 | 10.154.100.242/30 | |
SR6616-1 | GE3/2/0.100 | 10.154.100.253/30 |
GE3/2/0.200 | 10.154.100.249/30 | |
Vlanif 300 | 10.154.100.235/29 Vip: 10.154.100.233 | |
Vlanif 400 | 10.154.100.227/29 Vip: 10.154.100.225 | |
SR6616-2 | GE3/2/0.100 | 10.154.100.245/30 |
GE3/2/0.200 | 10.154.100.241/30 | |
Vlanif 300 | 10.154.100.236/29 Vip: 10.154.100.233 | |
Vlanif 400 | 10.154.100.228/29 Vip: 10.154.100.225 | |
UAG9520-1 | Vlanif 300 | 10.154.100.237/29 Vip: 10.154.100.234 |
Vlanif 400 | 10.154.100.229/29 Vip: 10.154.100.226 | |
UAG9520-2 | Vlanif 300 | 10.154.100.238/29 Vip: 10.154.100.234 |
Vlanif 400 | 10.154.100.230/29 Vip: 10.154.100.226 |
2.2.3.1 AntiDDoS8030配置
1.通过Console口,第一次登录清洗设备,缺省用户名为“admin”,密码为“Admin@123”。
通过命令display version,查看版本信息,并请将软件版本升级到最新版本。具体升级过程请参见《升级指导书》。
2.更改缺省用户名和密码,并配置Telnet功能。
[AntiDDoS] user-interface vty 0 4
[AntiDDoS-ui-vty0-4] authentication-mode aaa
[AntiDDoS-ui-vty0-4] quit
[AntiDDoS] aaa
[AntiDDoS-aaa] local-user atic password cipher Admin@123
[AntiDDoS-aaa] local-user atic service-type telnet
[AntiDDoS-aaa] local-user atic level 3
[AntiDDoS-aaa] quit
3.完成各接口的IP地址配置,并加入相应的安全区域。(。
# 配置三层以太网接口GigabitEthernet2/0/1的IP地址。
[DDos] interface GigabitEthernet 2/0/1.100
[DDos –GigabitEthernet2/0/1.100] ip address 10.154.100.254 255.255.255.252
[DDos –GigabitEthernet2/0/1.100]dot1q ter vid 100
[DDos –GigabitEthernet2/0/1.100] quit
[DDos] interface GigabitEthernet 2/0/1.200
[DDos –GigabitEthernet2/0/1.100] ip address 10.154.100.250 255.255.255.252
[DDos –GigabitEthernet2/0/1.100]dot1q ter vid 200
[DDos –GigabitEthernet2/0/1.100] quit
[DDos] interface GigabitEthernet 2/0/2.100
[DDos –GigabitEthernet2/0/1.100] ip address 10.154.100.246 255.255.255.252
[DDos –GigabitEthernet2/0/1.100]dot1q ter vid 100
[DDos –GigabitEthernet2/0/1.100] quit
[DDos] interface GigabitEthernet 2/0/2.200
[DDos –GigabitEthernet2/0/1.100] ip address 10.154.100.242 255.255.255.252
[DDos –GigabitEthernet2/0/1.100]dot1q ter vid 200
[DDos –GigabitEthernet2/0/1.100] quit
[DDos] firewall zone untrust
[DDos -zone-untrust] add interface GigabitEthernet2/0/1.100
[DDos -zone-untrust] add interface GigabitEthernet2/0/2.100
[DDos -zone-untrust] quit
[DDos] firewall zone trust
[DDos -zone-trust] add interface GigabitEthernet2/0/1.200
[DDos -zone-trust] add interface GigabitEthernet2/0/2.200
[DDos -zone-trust] quit
4. 配置域间包过滤
firewall packet-filter default permit interzone trust untrust
firewall packet-filter default permit interzone trust local
5配置SNMP功能。
[AntiDDoS] snmp-agent sys-info version v2c
[AntiDDoS] snmp-agent community read public
[AntiDDoS] snmp-agent community write private
6. 配置清洗口。
[AntiDDoS] interface GigabitEthernet 2/0/1.100
[AntiDDoS-GigabitEthernet2/0/1.100] anti-ddos clean enable
[AntiDDoS-GigabitEthernet2/0/1.100] anti-ddos flow-statistic enable
[AntiDDoS] interface GigabitEthernet 2/0/2.100
[AntiDDoS-GigabitEthernet2/0/2.100] anti-ddos clean enable
[AntiDDoS-GigabitEthernet2/0/2.100] anti-ddos flow-statistic enable
7. 指定清洗业务板,并重启业务板。
[AntiDDoS_A] firewall ddos clean-spu slot 2
[AntiDDoS_A] quit
8. 配置缺省路由。
[AntiDDoS] ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 2/0/1.100
[AntiDDoS] ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 2/0/2.100
9. 配置回注功能。
[AntiDDoS] ip route-static 10.154.0.0 16 GigabitEthernet 2/0/1.200
[AntiDDoS] ip route-static 10.154.0.0 16 GigabitEthernet 2/0/2.200
2.2.3.2 USG9520-1配置
1.完成各接口的IP地址配置,并加入相应的安全区域。
# 配置三层接口IP地址。
[USG] interface vlanif 300
[USG –vlanif300] ip address 10.154.100.237 255.255.255.248
[USG –vlanif300] vrrp vrid 30 virtual-ip 10.154.100.234 master
[USG –vlanif300] quit
[USG] interface vlanif 400
[USG –vlanif300] ip address 10.154.100.229 255.255.255.248
[USG –vlanif300] vrrp vrid 30 virtual-ip 10.154.100.226 master
[USG –vlanif300] quit
[USG] firewall zone untrust
[USG -zone-untrust] add interface vlanif 300
[USG -zone-untrust] quit
[USG] firewall zone trust
[USG -zone-trust] add interface vlanif 400
[USG -zone-trust] quit
4. 配置域间包过滤
firewall packet-filter default permit interzone trust untrust
firewall packet-filter default permit interzone trust local
firewall packet-filter default permit interzone untrust local
5配置缺省路由。
[USG] ip route-static 0.0.0.0 0.0.0.0 10.154.100.233
6. 配置回注功能。
[AntiDDoS] ip route-static 10.154.0.0 16 10.154.100.225
2.2.3.3 USG9520-2配置
2.完成各接口的IP地址配置,并加入相应的安全区域。
# 配置三层接口IP地址。
[USG] interface vlanif 300
[USG –vlanif300] ip address 10.154.100.238 255.255.255.248
[USG –vlanif300] vrrp vrid 30 virtual-ip 10.154.100.234 slave
[USG –vlanif300] quit
[USG] interface vlanif 400
[USG –vlanif300] ip address 10.154.100.230 255.255.255.248
[USG –vlanif300] vrrp vrid 30 virtual-ip 10.154.100.226 slave
[USG –vlanif300] quit
[DDos] firewall zone untrust
[DDos -zone-untrust] add interface vlanif 300
[DDos -zone-untrust] quit
[DDos] firewall zone trust
[DDos -zone-trust] add interface vlanif 400
[DDos -zone-trust] quit
4. 配置域间包过滤
firewall packet-filter default permit interzone trust untrust
firewall packet-filter default permit interzone trust local
firewall packet-filter default permit interzone untrust local
5配置缺省路由。
[USG] ip route-static 0.0.0.0 0.0.0.0 10.154.100.233
6. 配置回注功能。
[AntiDDoS] ip route-static 10.154.0.0 16 10.154.100.225
2.2.5配置IPS
1.启用IPS功能,配置IPS的工作模式为protective,指定3槽位的业务板为IPS业务板,并配置过载保护。
[USG9000] ips enable
[USG9000] ips mode protective
[USG9000] ips slot 3
[USG9000] utm bypass enable
2. 配置IPS策略,保护内部网络服务器。
a.创建IPS策略。
# 创建IPS策略protectpc。
[USG9000] ips policy protectpc
b.在IPS策略中引用策略模板。
# 引入策略模板default。
[USG9000-ips-policy-protectpc] policy-template default
[USG9000-ips-policy-protectpc] quit
3. 应用IPS策略
把IPS策略protectpc应用在Trust和Untrust域间的入方向。
[USG9000] acl 3000
[USG9000-acl-adv-3000] rule permit ip destination 10.154.1.0 0.0.0.255
[USG9000-acl-adv-3000] rule permit ip destination 10.154.3.0 0.0.0.255
[USG9000-acl-adv-3000] rule permit ip destination 10.154.4.0 0.0.0.255
[USG9000-acl-adv-3000] rule permit ip destination 10.154.5.0 0.0.0.255
[USG9000-acl-adv-3000] rule permit ip destination 10.154.202.0 0.0.0.255
[USG9000-acl-adv-3000] rule permit ip destination 10.154.12.0 0.0.0.255
[USG9000-acl-adv-3000] quit
[USG9000] firewall interzone trust untrust
[USG9000-interzone-dmz-untrust] packet-filter 3000 inbound
[USG9000-interzone-dmz-untrust] packet-filter 3000 outbound
[USG9000-interzone-dmz-untrust] policy ips protectpc acl 3000 inbound
[USG9000-interzone-dmz-untrust] quit
3总结
这样的组网设计,既达到了安全防护的目的,又能做到可靠性,DDoS设备与网关设备同时部署,达到了多级防护的目的,同时也能做到互相备份,当DDoS设备故障时,还有网关设备做防护,相反当网关设备故障时,还有DDoS设备,即使安全设备都故障,相关的路由自动撤销,流量可按照原路由进行转发,不会因为安全设备的原因中断业务。
