 |
『组网需求』:
要求将内部用户"192.168.1.254"用户手动设置成黑名单用户,并将攻击的用户自动加入到黑名单中。
『配置实例』:
1.在系统视图下使能黑名单功能。
[Secpath]firewall blacklist enable
2.手动添加"192.168.1.254" 客户机地址到黑名单表项中。
[Secpath]firewall blacklist 192.168.1.254 timeout 10(十分钟后自动解除,不配置timeout,将永久有效。)
[Secpath]dis firewall blacklist item
Firewall blacklist item :
Current manual insert items : 1
Current automatic insert items : 0
Need aging items : 1
IP Address Insert reason Insert time Age time(minutes)
--------------------------------------------------------------------------
192.168.1.254 Manual 2006/02/28 11:31:01 10
3.自动添加客户地址到黑名单表项的前提是,通过统计攻击首的信息。
[Secpath]firewall zone trust
[Secpath-zone-trust]statistic enable ip inzone
[Secpath-zone-trust]statistic enable ip outzone
[Secpath]firewall zone untrust
[Secpath-zone-untrust]statistic en ip inzone
[Secpath-zone-untrust]statistic en ip outzone
4.在全局开启攻击防范功能。
[Secpath]firewall defend all
『注意事项』:
1、黑名单表项中使用命令行多次配置同一IP地址的表项到黑名单中,则后配置的表项会覆盖原有表项。
2、如果防火墙相关模块准备向黑名单插入的IP地址已经存在于黑名单之中,则老化时间长的表项会被保留。
3、通过Telnet方式登录防火墙时,如果连续三次输错密码,系统也自动将Telnet客户端的IP地址添加到黑名单中,并设置老化时间为10分钟。
4、攻击防范模块察觉到特定IP地址的攻击之后,会将这个IP地址自动插入到黑名单表中。
5、如果将客户地址加入到黑名单后,所有从客户机发出的ICMP报文都会被防火墙过滤掉。
