華為NE40黑名單與全域性策略

2021-09-21 03:18:30 字數 2263 閱讀 9984

據運維同事反饋,華為ne40的黑名單在實際配置中沒有生效。恰巧,公司近日又購置了一批ne40裝置。因此,黑名單這個功能和一些需要測試的功能一同測試了下。

黑名單

配置黑名單,將不安全的報文依據acl規則加入到黑名單中,以便後續對其提供較小的頻寬。

如果使用者認為某些ip的報文不應該被上送到cpu,或者認定某些報文是非法報文,可以通過設定acl規則將其加入到黑名單中,將之丟棄。黑名單中的使用者都需要手動配置,沒有預設使用者。

基礎配置

1、配置黑名單

2、呼叫策略

測試過程

1、ping測試

測試過程中發現,無論是否呼叫cpu-defend-policy,都能ping通。

查閱文件,發現板卡自帶icmp快回功能,也就是說板卡處理了icmp請求,沒有提交cpu處理,因此,測試結果都是ping通的。

板卡下關閉icmp快回功能後,再次測試,無法正常ping通。

2、telnet測試

使用telnet測試,呼叫黑名單後,效果如下圖所示。

關閉tcpsyn-flood,重新呼叫,效果如下圖所示。

檢視tcp session,如下圖所示。

此時抓包發現已經建立了三次握手,且在不斷的tcp重傳。

取消黑名單策略,能夠正常訪問了。

檢視tcp session,如下圖所示。

猜測是板卡處理三次握手,之後提交cpu處理。由於黑名單,板卡不上傳cpu處理,cpu不知道已經建立了連線,所以tcp status看不見。也就是說,其實裝置已經和目標建立了tcp連線,只是我們看不到。

全域性策略

和普通的cbq一樣,不同的是,全域性cbq能夠作用在裝置所有的介面上。

配置過程

測試結果

測試時,發現無論是否開啟icmp快回,都無法ping通。這是因為策略是下發到板卡的,**平面已經處理完了。

總結:通過以上測試,我們可以發現全域性策略的方式在訪問控制方面比黑名單更徹底,也更安全。因為全域性策略作用在**平面,而黑名單作用在**平面上傳控制平面的時候。

華為NE40黑名單與全域性策略

據運維同事反饋,華為ne40的黑名單在實際配置中沒有生效。恰巧,公司近日又購置了一批ne40裝置。因此,黑名單這個功能和一些需要測試的功能一同測試了下。黑名單 配置黑名單,將不安全的報文依據acl規則加入到黑名單中,以便後續對其提供較小的頻寬。如果使用者認為某些ip的報文不應該被上送到cpu,或者認...

asp 檢查黑名單 黑名單驗證的突破

黑名單驗證的突破 作業系統特性 windows下對大小寫不敏感,php和php對windows來說都是一樣的。windows下,上傳的檔名中帶有test.php data會在伺服器生產乙個test.php的檔案並可以被解析。及 test.php test.php data windows下檔名結尾加...

aws 黑名單功能

如果你想授權某段ip訪問,那麼可以用安全組的白名單功能,但是安全組不提供黑名單功能。如果我們的某個服務受某個ip攻擊,那麼此時可以選擇網路acl對其進行黑名單限制,操作步驟如下 1.登入aws,選擇vpc 2.vpc裡有個網路acl,當然事先你要找到你服務對應的vpc 3.選擇編輯入站規則,入站規則...