二层IP地址欺骗攻击防护功能配置举例.pdfVIP

二层IP地址欺骗攻击防护功能配置举例

本节介绍二层IP地址欺骗攻击防护功能的配置实例。

将安全网关的以太网口ethernet0/0配置为l2-trust域，以太网口ethernet0/1配置为l2-untrust域。

攻击防护组网图如下：

请按照以下步骤进行配置：

第一步：创建地址条目。

1.从工具栏的对象用户下拉菜单选择『地址簿』，弹出地址簿对话框。

2.点击『新建』按钮，弹出配置地址簿对话框。具体配置信息如下：

o名称：l2-ip-spoof

o从成员下拉菜单中选择『IP/掩码』

o在IP地址和网络掩码文本框中，分别输入“192.168.1.0”和“24”，然后点击『添加』按钮。

6.点击『确定』按钮并返回地址簿对话框。

7.点击『关闭』按钮关闭地址簿对话框。

第二步：配置安全网关的接口ethernet0/0和ethernet0/1。

1.从页面左侧导航树选择并点击“配置网络网络连接”，进入网络连接页面。

2.选中接口列表中ethernet0/0对应的复选框，点击列表左上方的『编辑』按钮，弹出接口配置对话框。具体

配置信息如下：

o接口名：ethernet0/0

o绑定安全域：二层安全域

o安全域：从下拉菜单中选择“l2-trust”

3.点击『确定』按钮保存所做配置并返回主配置页面。

4.点击接口列表中ethernet0/1对应的复选框，点击列表左上方的『编辑』按钮，弹出接口配置对话框。具体

配置信息如下：

o接口名：ethernet0/1

o绑定安全域：二层安全域

o安全域：从下拉菜单中选择“l2-untrust”

5.点击『确定』按钮保存所做配置并返回主配置页面。

第三步：配置策略规则。

1.从页面左侧导航树选择并点击“配置安全策略”，进入策略页面。

2.点击策略列表左上方的『新建』按钮，弹出策略配置对话框，显示策略基本配置选项。具体配置信息如下：

o源安全域：l2-untrust

o目的安全域：l2-trust

o源地址：Any

o目的地址：Any

o服务簿：Any

o行为：允许

3.点击『确定』按钮保存所做配置并返回主配置页面。

第四步：开启l2-untrust安全域的二层IP地址欺骗攻击防护功能。

1.从页面左侧导航树选择并点击“配置安全攻击防护”，进入攻击防护页面。

2.从安全域下拉菜单中选择“l2-untrust”。

3.选中扫描/欺骗防护栏中的IP地址欺骗攻击防护复选框，开启IP地址欺骗攻击防护功能。

4.点击『确定』按钮保存所做配置。

第五步：在l2-untrust域中的PC上用工具构造IP或者ARP包，将包的源IP设置为192.168.1.100，向设备的ethernet0/1

口发送。安全网关检测到IP欺骗攻击或者ARP攻击，给出告警信息并丢弃该包。