7 安全专区
本章节主要包含以下内容:
· 设置ARP安全
· 设置接入控制
· 设置防火墙
· 设置防攻击
7.1 设置ARP安全
7.1.1 ARP简介
1. ARP作用
ARP是将IP地址解析为以太网MAC地址(或称物理地址)的协议。
在局域网中,当主机或其他网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址)。但是仅仅有IP地址是不够的,因为IP数据报文必须封装成帧才能通过物理网络发送。因此发送方还必须有接收方的物理地址,需要一个从IP地址到物理地址的映射。ARP就是实现这个功能的协议。
2. ARP报文结构
图7-1 ARP报文结构
· 硬件类型:表示硬件地址的类型。它的值为1表示以太网地址。
· 协议类型:表示要映射的协议地址类型。它的值为0x0800即表示IP地址。
· 硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4。
· 操作类型(OP):1表示ARP请求,2表示ARP应答。
· 发送端MAC地址:发送方设备的硬件地址。
· 发送端IP地址:发送方设备的IP地址。
· 目标MAC地址:接收方设备的硬件地址。
· 目标IP地址:接收方设备的IP地址。
3. ARP地址解析过程
假设主机A和B在同一个网段,主机A要向主机B发送信息。如图7-2所示,具体的地址解析过程如下:
(1) 主机A首先查看自己的ARP表,确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。
(2) 如果主机A在ARP表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。
(3) 主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。
(4) 主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。
图7-2 ARP地址解析过程
当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求,ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。
4. ARP表
设备通过ARP解析到目的MAC地址后,将会在自己的ARP表中增加IP地址到MAC地址的映射表项,以用于后续到同一目的地报文的转发。
ARP表项分为动态ARP表项和静态ARP表项。
· 动态ARP表项
动态ARP表项由ARP协议通过ARP报文自动生成和维护,会被新的ARP报文所更新。
· 静态ARP表项
静态ARP表项需要通过手工配置和维护,不会被动态的ARP表项所覆盖。
配置静态ARP表项可以增加通信的安全性。它可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。
7.1.2 设置ARP绑定
通过设置ARP绑定,可以有效地防止路由器的ARP表项受到攻击,保证了网络的安全。
1. 设置动态ARP绑定
为了防止通过DHCP方式获取IP地址的主机在路由器上的ARP表项被篡改,您可以开启动态ARP绑定功能,使得所有通过DHCP服务器分配出去的IP地址和其对应的MAC地址自动绑定。且动态绑定的表项在地址租约到期后不会被删除。
页面向导:安全专区→ARP安全→ARP绑定
页面为您提供如下主要功能:
设置动态ARP绑定(选中“对DHCP分配的地址进行ARP保护”复选框,单击<应用>按钮生效)
开启动态ARP绑定后,路由器通过DHCP方式获取到的ARP表项状态为“动态绑定”。反之,则为“未绑定”。
2. 设置静态ARP绑定
静态ARP绑定即需要通过手工配置和维护。建议您将局域网内所有主机都添加到路由器的静态ARP表项中。
页面向导:安全专区→ARP安全→ARP绑定
本页面为您提供如下主要功能:
· 显示和修改ARP表项(主页面)
· 将动态获取到的ARP表项进行绑定(选中动态获取到的表项,单击<静态绑定>按钮即可完成绑定。此时,ARP表项状态则为“静态绑定”)
单个添加静态ARP表项(单击主页上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作)
批量添加静态ARP表项(您可以在本地用“记事本”程序创建一个.cfg文件,内容格式为“MAC地址 IP地址 描述”(比如:00:0A:EB:7F:AA:AB 192.168.1.2 zhangshan),且每条绑定项之间需换行。单击主页面上的<导入>按钮,在弹出的对话框中选择该文件将其导入即可)
将路由器当前的ARP静态表项备份保存(.cfg文件),且您可用“记事本”程序打开该文件进行编辑(单击主页面上的<导出>按钮,确认后即可将其导出到本地)
您还可以通过路由器自动搜索在线主机功能来获取ARP表项,然后再将其批量绑定添加到路由器的ARP静态表中。相关操作请参见“7.1.3 设置ARP检测”。
7.1.3 设置ARP检测
通过ARP检测功能,您可以快速地搜索到局域网内所有在线的主机,获取相应的ARP表项。同时,系统会检测这些表项当前的绑定状态以及是否存在异常(比如:获取的表项是否和路由器的静态ARP表项存在冲突等),并在页面的列表中以不同的颜色加以标明,帮助您更直观地对ARP表项进行判断和维护。
页面向导:安全专区→ARP安全→ARP检测
本页面为您提供如下主要功能:
· 搜索在线主机,获取ARP表项(输入指定的地址范围,单击<扫描>按钮即可。如果您想清除当前的搜索结果,请单击<清除结果>按钮)
· 将获取到的、未绑定的ARP表项进行批量绑定(选中未绑定项,单击<静态绑定>按钮即可)
7.1.4 设置发送免费ARP
免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。
设备通过对外发送免费ARP报文来实现以下功能:
· 确定其他设备的IP地址是否与本机的IP地址冲突。当其他设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。
· 设备改变了硬件地址,通过发送免费ARP报文通知其他设备更新ARP表项。
路由器支持定时发送免费ARP功能,这样可以及时通知下行设备更新ARP表项或者MAC地址表项,主要应用场景如下:
· 防止仿冒网关的ARP攻击
如果攻击者仿冒网关发送免费ARP报文,就可以欺骗同网段内的其他主机,使得被欺骗的主机访问网关的流量,被重定向到一个错误的MAC地址,导致其他用户无法正常访问网络。
为了尽量避免这种仿冒网关的ARP攻击,可以在网关的接口上开启能定时发送免费ARP功能。开启该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址的免费ARP报文。这样,每台主机都可以学习到正确的网关,从而正常访问网络。
· 防止主机ARP表项老化
在实际环境中,当网络负载较大或接收端主机的CPU占用率较高时,可能存在ARP报文被丢弃或主机无法及时处理接收到的ARP报文等现象。这种情况下,接收端主机的动态ARP表项会因超时而被老化,在其重新学习到发送设备的ARP表项之前,二者之间的流量就会发生中断。
为了解决上述问题,您可以在路由器的接口上开启定时发送免费ARP功能。开启该功能后,路由器接口上将按照配置的时间间隔周期性地发送接口主IP地址的免费ARP报文。这样,接收端主机可以及时更新ARP映射表,从而防止了上述流量中断现象。
页面向导:安全专区→ARP安全→ARP防护
本页面为您提供如下主要功能:
· 设置路由器丢弃源MAC地址不合法的ARP报文,即选中该功能后,当设备接收到的ARP报文的源MAC地址为0、组播MAC地址或广播MAC地址时,则直接将其丢弃不对其进行ARP学习(缺省情况下,此功能处于开启状态)
· 设置路由器丢弃源MAC地址不一致的报文,即选中该功能后,当设备接收到的ARP报文的源MAC地址与该报文的二层源MAC地址不一致时(通常情况下,认为存在ARP欺骗),则直接将其丢弃不对其进行ARP学习(缺省情况下,此功能处于关闭状态)
· 设置路由器ARP报文学习抑制,即选中该功能后,设备在一段时间内只学习第一个返回的ARP响应报文,丢弃其他响应报文,从而防止有过多的ARP响应报文返回造成ARP表项异常(缺省情况下,此功能处于开启状态)
· 设置路由器检测到ARP欺骗时,LAN口或WAN口会主动发送免费ARP(缺省情况下,此功能处于开启状态)
· 设置路由器LAN口主动定时发送免费ARP(缺省情况下,此功能处于关闭状态)
· 设置路由器WAN口主动定时发送免费ARP(缺省情况下,此功能处于关闭状态)
设置完成后,您可以通过查看运行状态页面中的“ARP防攻击”来验证功能是否已启用。
7.2 设置接入控制
7.2.1 设置MAC过滤
通过MAC过滤功能,您可以有效地控制局域网内的主机访问外网。路由器为您提供两种MAC过滤功能:
· 仅允许MAC地址列表中的MAC访问外网:如果您仅允许局域网内的某些主机访问外网,可以选中此功能,并添加相应的主机MAC地址表项。
· 仅禁止MAC地址列表中的MAC访问外网:如果您想禁止局域网内的某些主机访问外网,可以选中此功能,并添加相应的主机MAC地址表项。
页面向导:安全专区→接入控制→MAC过滤
本页面为您提供如下主要功能:
根据实际需求启用相应的MAC过滤功能(主页面。选择相应的MAC过滤功能后,单击<应用>按钮生效)
单个添加MAC过滤表项(单击主页面上的<新增>按钮,在弹出的对话框中添加一个需要过滤的MAC地址,单击<增加>按钮完成操作)
通过导入路由器的ARP绑定表来批理添加MAC过滤表项(单击主页面上的<从ARP表项导入>按钮,在弹出的对话框中选择需要过滤的MAC地址,单击<导入MAC地址过滤表>按钮完成操作)
通过配置文件批量添加MAC过滤表项(您可以在本地用“记事本”程序创建一个.cfg文件,内容格式为“MAC地址 描述”,且每条过滤项之间需要换行。单击主页面上的<导入>按钮,在弹出的对话框中选择该文件将其导入即可)
将当前您需要进行过滤处理的MAC地址保存(.cfg文件),且您可用“记事本”程序打开该文件进行编辑(单击主页面上的<导出>按钮,确认后即可将其导出到本地)
设置完成后,您可以通过查看运行状态页面中的“MAC过滤”来验证功能是否已启用。
7.2.2 设置网站过滤
通过网站过滤功能,您可以灵活地限制局域网内的主机所能访问的网站。路由器为您提供两种网站过滤功能:
· 仅允许访问列表中的网站地址:如果您想让局域网内的主机仅能访问固定的某些网站,可以选中此功能,然后添加相应的网站地址。
· 仅禁止访问列表中的网站地址:如果您想让局域网内的主机不能访问某些非法网站,可以选中此功能,然后添加相应的网站地址。
页面向导:安全专区→接入控制→网站过滤
本页面为您提供如下主要功能:
根据实际需求启用相应的网站过滤功能(主页面。选择相应的网站过滤功能后,单击<应用>按钮生效)
单个添加网站地址(单击主页面上的<新增>按钮,在弹出的对话框中添加一个需要过滤的网站地址,单击<增加>按钮完成操作)
批量添加网站地址(您可以在本地用“记事本”程序创建一个.cfg文件,内容格式为www.xxx.com,且每条过滤项之间需要换行。单击主页面上的<导入>按钮,在弹出的对话框中选择该文件将其导入即可)
将当前您需要进行过滤处理的网站地址保存(.cfg文件),且您可用“记事本”程序打开该文件进行编辑(单击主页面上的<导出>按钮,确认后即可将其导出到本地)
· 网站过滤仅对HTTP站点生效,且您输入站点时不能带有http://。比如:要禁止访问www.abc.com网站,可以输入“www.abc.com”,但不能输入“http://www.abc.com”。
· 设置完成后,您可以通过查看运行状态页面中的“网站过滤”来验证功能是否已启用。
7.2.3 设置IPMAC过滤
IPMAC过滤功能可以同时对报文中的源MAC地址和源IP地址进行匹配,仅当源MAC地址和源IP地址均符合条件的主机才允许访问外网。IPMAC过滤功能支持以下两种匹配方式:
· 仅允许DHCP服务器分配的客户端访问外网:即开启此功能后,不在路由器DHCP服务器分配的客户列表中的用户将无法访问外网。此方式可以运用于企业环境中,因为企业通常使用DHCP方式为客户端分配IP地址。
· 仅允许ARP静态绑定的客户端访问外网:即开启此功能后,不在ARP静态绑定表中的客户端将无法访问外网。此方式可以运用于网吧环境中,因为网吧通常为客户端设置静态IP地址。
页面向导:安全专区→接入控制→IPMAC过滤
本页面为您提供如下主要功能:
设置IPMAC过滤功能(选择相应的IPMAC过滤匹配方式,单击<应用>按钮生效)
设置完成后,您可以通过查看运行状态页面中的“IPMAC过滤”来验证功能是否已启用。
7.3 设置防火墙
路由器的防火墙功能为您实现了根据报文的内容特征(比如:协议类型、源/目的IP地址等),来对入站方向(从因特网发向局域网的方向)和出站方向(从局域网发向因特网的方向)的数据流执行相应的控制,保证了路由器和局域网内主机的安全运行。
7.3.1 开启/关闭防火墙功能
仅当防火墙功能开启后,您定制的防火墙出站和入站通信策略才能生效。
页面向导:安全专区→防火墙→防火墙设置
本页面为您提供如下主要功能:
开启/关闭防火墙功能
7.3.2 设置出站通信策略
页面向导:安全专区→防火墙→出站通信策略
本页面为您提供如下主要功能:
设置报文在出站方向上未匹配任何您预先设定的规则时,系统所采取的策略(主页面。在“出站通信缺省策略”下拉框中选择指定的方式,单击<应用>按钮生效)
添加匹配规则来控制指定的报文(在主页面上单击<新增>按钮,在弹出的对话框中设置相应的匹配项,单击<增加>按钮完成操作)
页面中关键项的含义如下表所示。
表7-1 页面关键项描述
页面关键项
描述
出站通信缺省策略
· “允许”:允许内网主动发起的访问报文通过
· “禁止”:禁止内网主动发起的访问报文通过
缺省情况下,出站通信缺省策略为“允许”
· 当缺省策略是“允许”时,您手动添加的策略即为“禁止”,反之亦然
· 缺省策略更改后,所有已配置的出站通信策略将会被清空,且仅对新建立的访问连接生效
· 当您手动添加了出站通信策略后,系统会优先根据该策略对主机进行访问控制,如果未匹配手动添加的策略,则遵循缺省策略
源接口
设置报文的来源接口,即可以对从某一LAN侧接口收到的报文进行控制
源地址
设置需要进行控制的源地址类型:
· IP地址段:通过源IP地址范围对局域网中的主机进行控制
· MAC地址:通过源MAC地址对局域网中的主机进行控制
· 用户组:通过您预先划分好的用户组对局域网中的主机进行控制
协议类型
选择需要匹配的报文的协议类型
起始IP/结束IP(源IP地址范围)
输入需要匹配的报文的源IP地址段
· 起始IP地址不能大于结束IP地址
· 如果无需匹配报文的源IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255
源端口范围
输入需要匹配的报文的源端口范围
如果无需匹配报文的源端口号,您可以将其设置为1~65535
起始IP/结束IP(目的IP地址范围)
输入需要匹配的报文的目的IP地址段
· 起始IP地址不能大于目的IP地址
· 如果无需匹配报文的目的IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255
服务类型
选择局域网中主机访问因特网资源的服务类型
缺省情况下,系统预定义了常用的服务类型。如果您需要自定义服务类型,相关操作请参见“7.3.4 设置服务类型”
生效时间
设置此新增规则的生效时间
生效时间需要您指定具体的时间段,比如:某天的某个时间段
是否启用
在下拉列表框中选择“启用”,表示此匹配策略生效;选择“禁用”,表示此匹配策略不生效
描述
对此新增规则进行简单的描述
设置完成后,您可以通过查看运行状态页面中的“出站缺省策略”来验证功能是否已启用。
7.3.3 设置入站通信策略
页面向导:安全专区→防火墙→入站通信策略
本页面为您提供如下主要功能:
设置报文在入站方向上未匹配任何您预先设定的规则时,系统所采取的策略(主页面。在“入站通信缺省策略”下拉框中选择指定的方式,单击<应用>按钮生效)
添加匹配规则来控制指定的报文(在主页面上单击<新增>按钮,在弹出的对话框中设置相应的匹配项,单击<增加>按钮完成操作)
页面中关键项的含义如下表所示。
表7-2 页面关键项描述
页面关键项
描述
入站通信缺省策略
· “禁止”:禁止外网主动发起的访问报文通过
· “允许”:允许外网主动发起的访问报文通过
· 当路由器工作于NAT模式下时(即开启了NAT功能),入站通信缺省策略不允许配置,且仅为“禁止”;当路由器工作于路由模式下时(即关闭了NAT功能),入站通信缺省策略才允许选择配置,且缺省情况下为“允许”
· 当缺省策略是“禁止”时,您手动添加的策略即为“允许”,反之亦然
· 缺省策略更改后,所有已配置的出站通信策略将会被清空,且仅对新建立的访问连接生效
· 当您手动添加了入站通信策略后,路由器会优先根据该策略对主机进行访问控制,如果未匹配手动添加的策略,则遵循缺省策略
源接口
设置报文的来源接口,即可以对从某一WAN侧接口收到的报文进行控制
起始IP/结束IP(源IP地址范围)
输入需要匹配的报文的源IP地址段
· 起始IP地址不能大于结束IP地址
· 如果无需匹配报文的源IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255
源端口范围
输入需要匹配的报文的源端口范围
如果无需匹配报文的源端口号,您可以将其设置为1~65535
目的IP地址(目的IP地址范围)
输入需要匹配的报文的目的IP地址
当路由器工作于NAT模式下时(即开启了NAT功能),仅允许设置单个目的IP地址;当路由器工作于路由模式下时(即关闭了NAT功能),允许设置目的IP地址范围
服务类型
选择因特网中的主机访问局域网资源的服务类型
缺省情况下,系统预定义了常用的服务类型。如果您需要自定义服务类型,相关操作请参见“7.3.4 设置服务类型”
生效时间
设置此新增规则的生效时间
生效时间需要您指定具体的时间段,比如:某天的某个时间段
是否启用
在下拉列表框中选择“启用”,表示此匹配策略生效;选择“禁用”,表示此匹配策略不生效
描述
对此新增规则进行简单的描述
设置完成后,您可以通过查看运行状态页面中的“入站缺省策略”来验证功能是否已启用。
7.3.4 设置服务类型
为了让您能够在定制防火墙策略时比较方便地指定需要过滤的协议和端口号,路由器提供了服务类型管理功能。每一个服务类型均由协议和端口号两部分构成,系统预定义一些常用的服务类型(比如:HTTP、FTP、TELNET等);同时,您也可以根据实际需求添加自定义的服务类型。
页面向导:安全专区→防火墙→服务类型
本页面为您提供如下主要功能:
显示和修改已定义的服务类型(主页面。系统预定义的服务类型均不可修改和删除)
自定义服务类型(单击主页面上的<新增>按钮,在弹出的对话框中设置服务类型名称、协议类型及目的端口范围,单击<增加>按钮完成操作)
7.4 设置防攻击
在复杂网络环境中,常常由于主机异常或中毒,导致其不断地发送一些攻击报文,造成路由器资源和网络带宽不必要的消耗。防攻击主要的目的就是发现并丢弃非法的报文,以保证整体网络的稳定性。
7.4.1 防攻击方式
路由器为您提供了以下三种防攻击方式:
· IDS防范
IDS防范主要用于发现一些常见的攻击类型报文对路由器的扫描和一些常见的DOS攻击,并丢弃相应的报文。在一定程度上,可以有效地保护路由器的正常运行。
· 报文源认证
攻击类型的报文多种多样,除了ARP欺骗外,最主要的是伪装IP地址的报文和伪装MAC地址的报文。您通过设置路由器的静态路由表和ARP表项,可以在很大程度上认证内网发送的报文的合法性。比如:当报文的源IP地址属于不可达网段,报文的源IP地址/源MAC地址和静态ARP表项存在冲突等,则路由器会认为该报文是非法伪装的报文,会直接将其丢弃。
· 异常流量防护
在网络实际应用中,往往会由于单台主机中毒或异常,导致这台主机大量发送数据包。而这些报文并不能被路由器的报文源认证功能确定为非法的报文,此时会大量地消耗路由器的资源。开启该功能后,路由器会对各台主机的流量进行检查,并根据您所选择的防护等级(包括:高、中、低三种)进行相应的处理,以确保路由器受到此类异常流量攻击时仍可正常工作。
7.4.2 设置IDS防范
页面向导:安全专区→防攻击→IDS防范
本页面为您提供如下主要功能:
开启指定攻击类型报文的IDS防范(选中您需要防范的攻击类型,单击<应用>按钮生效)
· 本页面中的各攻击类型的介绍可直接参见路由器的在线联机帮助。
· 仅当您选择了“丢弃攻击报文,并记入日志”选项,路由器才会对攻击事件以日志的形式记录。日志信息的查看,请参见“14.2.1 查看日志信息”。
· 设置完成后,您可以通过查看运行状态页面中的“IDS防范功能”来验证功能是否已启用。
7.4.3 设置报文源认证
页面向导:安全专区→防攻击→报文源认证
本页面为您提供如下主要功能:
选择基于哪个表项(静态路由表、静态ARP表、动态ARP表)来对报文进行源认证(选中相应的功能项,单击<应用>按钮生效)
页面中关键项的含义如下表所示。
表7-3 页面关键项描述
页面关键项
描述
启用基于静态路由的报文源认证功能
开启该功能后,路由器将根据静态路由表对所有报文的源IP地址进行检查。如果静态路由表中存在到该源IP地址的表项,则转发该报文;否则丢弃该报文
比如:路由器LAN口下挂的设备接口地址为192.168.1.5/24,内网为192.200.200.0/24网段。同时,您设置静态路由目的地址为192.200.200.0/24,下一跳为192.168.1.5,出接口为LAN口。此时,路由器允许从192.200.200.0/24网段转发过来的报文通过
启用基于ARP绑定、DHCP分配ARP防护下的报文源认证功能
开启该功能后,路由器将根据静态ARP表的绑定关系及DHCP分配列表中的对应关系,来认证内网的报文。如果报文的源IP地址/MAC地址与静态ARP表中的IP地址/MAC地址对应关系存在冲突,则路由器将其直接丢弃
比如:您设置了一条ARP静态绑定项(将源IP地址:192.168.1.100与源MAC地址:08:00:12:00:00:01绑定)。当路由器LAN侧收到一个报文,其源IP地址为192.168.1.100,但源MAC地址为08:00:12:00:00:02,路由器会将该报文丢弃
启用基于动态ARP的报文源认证功能
开启该功能,路由器将会根据动态ARP表的对应关系,来认证内网的报文。如果报文的源IP地址/MAC地址与已确认合法的动态ARP表的IP地址/MAC地址对应关系存在冲突,则路由器将其直接丢弃
比如:路由器动态学习到一条ARP表项(源IP地址:192.168.1.100,源MAC地址:08:00:12:00:00:01),当路由器LAN侧在该ARP表项老化之前收到一个报文,其源IP地址为192.168.1.100,但源MAC地址为08:00:12:00:00:02,路由器会将该报文丢弃
如果您想查看源认证失败的报文的个数,请参见“14.3.4 安全统计”。
7.4.4 设置异常流量防护
页面向导:安全专区→防攻击→异常流量防护
本页面为您提供如下主要功能:
选择防护等级来对异常主机流量进行防护(选中“启用异常主机流量防护功能”复选框,并设置异常流量阈值和选择相应的防护等级,单击<应用>按钮生效)
页面中关键项的含义如下表所示。
表7-4 页面关键项描述
页面关键项
描述
启用异常主机流量防护功能
通过该选项,您可以开启或关闭异常主机流量防护功能。下挂路由器的流量不在异常流量防护功能处理范围之内
高
启用该项,防护等级最高,设备会进行异常主机流量检查,并且自动把检查到的攻击主机添加到攻击列表中,在指定的生效时间范围内,禁止其访问本设备和Internet,以尽量减少这台异常主机对网络造成的影响
中
启用该项,防护等级居中,设备会把内网主机上行流量分别限制在异常流量阈值范围内,超过阈值的流量将被设备所丢弃
低
启用该项,防护等级低,设备仅对超过异常流量阈值的事件记入日志,仍然允许对应的主机访问设备和Internet
MAC地址
被加入攻击列表主机的MAC地址
对应主机
被加入攻击列表主机可能对应的IP地址
剩余时间
该主机将被阻断时间的倒计时