hc防火墻ddos攻擊防范技術

1、修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHC13031052USG6000V1R1V1.0開發(fā)/優(yōu)化者時間審核人開發(fā)類型（新開發(fā)/優(yōu)化）姚傳哲2014-08-15王銳開發(fā)本頁不打印防火墻DDos攻擊防范技術 前言通常情況下，在大中型企業(yè)、數(shù)據(jù)中心等網(wǎng)絡中往往部署著服務器，而服務器（如郵件服務器、Web服務器等）已成為網(wǎng)絡攻擊的重點。目前有針對性的攻擊往往采用大流量的DDoS類型的攻擊，這些DDoS類型的攻擊不僅造成網(wǎng)絡帶寬擁塞，同時還嚴重威脅著服務器正常提供業(yè)務，甚者造成服務器宕機。USG防火墻產(chǎn)品具有DDOs防范等特點。本課程介紹USG產(chǎn)品DDOs防范的常見組網(wǎng)應用。 目標學完本課

2、程后，您將能夠:描述防火墻DDos攻擊防范技術描述Anti-DDos典型引流回注場景了解攻防策略 目錄DDos通用攻擊防范技術流量型攻擊防范技術Anti-DDos典型引流回注場景七層防御體系畸形報文命中黑名單掃描窺探報文虛假源流量異常連接威脅具有攻擊特征的流量突發(fā)流量畸形報文過濾靜態(tài)過濾掃描窺探報文過濾源合法認證基于會話防范特征識別過濾流量整形正常流量具體防御策略七層防御技術是通過在Anti-DDoS設備上配置防御策略來實現(xiàn)的?；诮涌诨谌只诜雷o對象DDos攻擊防范技術-首包丟棄首包丟棄有些攻擊是不斷變換源IP地址或者源端口號發(fā)送攻擊報文，通過首包丟棄，可以有效攔截這部分流量。首包丟棄與

3、源認證結合使用，防止虛假源攻擊。處理過程SYN, TCP, DNS, UDP 或ICMP速率 達到閾值PCAnti-DDos Device丟棄SYN, TCP, DNS, UDP 或ICMP首包正常主機會重新發(fā)送數(shù)據(jù)包 攻擊主機不會會重新發(fā)送數(shù)據(jù)包？Server正常主機發(fā)送數(shù)據(jù)包DDos攻擊防范技術-阻斷和限流通過服務學習或經(jīng)驗發(fā)現(xiàn)網(wǎng)絡中根本沒有某種服務或某種服務流量很小，則可以分別采用阻斷和限流方法來防御攻擊。阻斷：在自定義服務策略中表示將匹配自定義服務的報文全部丟棄；在默認防御策略中表示將自定義服務以外的此協(xié)議報文全部丟棄。限流：在自定義服務策略中表示將匹配自定義服務的報文限制在閾值內，丟

4、棄超過閾值的部分報文；在默認防御策略中表示將自定義服務以外的此協(xié)議報文限制在閾值內，丟棄超過閾值的部分報文DDos攻擊防范技術- 靜態(tài)指紋過濾 通過配置靜態(tài)指紋，對命中指紋的報文進行相應的處理，從而對攻擊流量進行防御。TCP/UDP/自定義服務可基于載荷（即報文的數(shù)據(jù)段）提取指紋DNS報文針對域名提取指紋HTTP報文針對通用資源標識符URI（Uniform Resource Identifier）提取指紋。 目錄DDos通用攻擊防范技術流量型攻擊防范技術TCP類報文攻擊防御UDP類報文攻擊防御DNS類報文攻擊防御HTTP & HTTPS類報文攻擊防御Anti-DDos典型引流回注場景TCP正常

5、建立連接和斷開連接的過程SYN (seq=a)SYN (seq=b, ack=a+1)ACK (seq=a+1,ack=b+1)ClientServerFIN (seq=a)ACK (seq=a+1)FIN (seq=b, ack=a+1)ACK (seq=b+1)ClientServer數(shù)據(jù)流連接SYN Flood攻擊Source IP(X) SYN (seq=a)Des IP(X)SYN (seq=b, ack=a+1)AttackerServerSource IP(Y) SYN (seq=a)Source IP(Z) SYN (seq=a)Des IP(Y)SYN (seq=b, ack

6、=a+1)Des IP(Z)SYN (seq=b, ack=a+1)?SYN Flood攻擊防御-源合法性驗證技術警告：大規(guī)模并發(fā)訪問！服務器超載！InternetInternet來的流量訪問應用服務器，清洗設備通過各種源探測技術，鑒別哪些是正常流量，哪些是攻擊流量，藉此有針對性的防范。源探測技術基于傳輸協(xié)議層的源合法性驗證技術RST : 非此連接，關閉，我將重新嘗試SYN : 我要訪問SYN : 我要訪問SYNACK : 回應一個帶有序列號錯誤的報文SYNACK : 回應一個帶有序列號錯誤的報文利用TCP協(xié)議原理，針對TCP類Flood進行檢測和防御。用戶進行TCP連接，清洗設備回應經(jīng)過構造

7、的SYN-ACK報文，通過用戶的反應來判斷此用戶是否正常。主要用于來回路徑不一致的情況下。SYN-ACK Flood攻擊與防御原理通過對報文源的合法性檢查來防御SYN-ACK Flood攻擊。攻擊原理防御原理清洗設備基于目的地址對SYN-ACK報文速率進行統(tǒng)計，當SYN-ACK報文速率超過閾值時，啟動源認證防御。Des IP(X)SYN (seq=b, ack=a+1)ClientAttackerDes IP(X)SYN (seq=b, ack=a+1)Des IP(X)SYN (seq=b, ack=a+1)?ACK Flood攻擊與防御原理會話檢查和載荷檢查結合來防御ACK Flood攻擊

8、。攻擊原理防御原理當ACK報文速率超過閾值時，啟動會話檢查。如果清洗設備檢查到ACK報文沒有命中會話，通過嚴格模式或者基本模式處理。如果清洗設備檢查到ACK報文命中會話，則檢查會話創(chuàng)建原因。載荷檢查是清洗設備對ACK報文的載荷進行檢查，如果載荷內容全一致（如載荷內容全為1等），則丟棄該報文。Des IP(X) Scr IP(A) ACKServerAttackerDes IP(X) Scr IP(B) ACKDes IP(X) Scr IP(C) ACK?FIN/RST Flood攻擊與防御原理防御FIN/RST Flood攻擊的方法是進行會話檢查攻擊原理防御原理當FIN/RST報文速率超過閾

9、值時，啟動會話檢查。如果清洗設備檢查到FIN/RST報文沒有命中會話，直接丟棄報文。如果清洗設備檢查到FIN/RST報文命中會話，則檢查會話創(chuàng)建原因。Des IP(X) Scr IP(A) FIN/RSTServerAttackerDes IP(X) Scr IP(B) FIN/RSTDes IP(X) Scr IP(C) FIN/RST? 目錄DDos通用攻擊防范技術流量型攻擊防范技術TCP類報文攻擊防御UDP類報文攻擊防御DNS類報文攻擊防御HTTP & HTTPS類報文攻擊防御Anti-DDos典型引流回注場景UDP Flood關聯(lián)TCP類服務防范當UDP流量與TCP類服務有關聯(lián)時，通過

10、防御TCP類服務來防御UDP Flood攻擊原理攻擊者通過僵尸網(wǎng)絡向目標服務器發(fā)起大量的UDP報文，這種UDP報文通常為大包，且速率非常快，從而造成服務器資源耗盡，無法響應正常的請求，嚴重時會導致鏈路擁塞。防御原理載荷檢查和指紋學習使用載荷檢查和指紋學習方法防御具有規(guī)律的UDP Flood攻擊。攻擊原理攻擊者通過僵尸網(wǎng)絡向目標服務器發(fā)起大量的UDP報文，這種UDP報文通常為大包，且速率非?？欤瑥亩斐煞掌髻Y源耗盡，無法響應正常的請求，嚴重時會導致鏈路擁塞。防御原理UDP分片攻擊與防御原理使用載荷檢查和指紋學習方法防御具有規(guī)律的UDP分片報文攻擊。攻擊原理攻擊者向攻擊目標發(fā)送大量的UDP分片報

11、文，消耗帶寬資源，造成被攻擊者的響應緩慢甚至無法正?；貞?。防御原理載荷檢查指紋學習 目錄DDos通用攻擊防范技術流量型攻擊防范技術TCP類報文攻擊防御UDP類報文攻擊防御DNS類報文攻擊防御HTTP & HTTPS類報文攻擊防御Anti-DDos典型引流回注場景DNS交互過程DNS Request Flood攻擊攻擊原理針對緩存服務器攻擊針對授權服務器攻擊DNS Request Flood攻擊源可能是虛假源，也可能是真實源。針對不同類型的攻擊源，采取的防御方式也不同。DNS Request Flood防御原理針對虛假源攻擊緩存服務器DNS Request Flood防御原理針對虛假源攻擊授權服

12、務器DNS Request Flood防御原理針對真實源攻擊如果是真實源攻擊，經(jīng)過上述防御過程后，通過的DNS報文還很大，則可以繼續(xù)采用以下方式進行防御：DNS請求報文限速指定域名限速源IP限速Anti-DDoS設備還支持對異常DNS報文的檢查，根據(jù)預定義的規(guī)則分別從以下三個方面進行檢測：DNS報文的格式DNS報文的長度DNS報文的TTLDNS Request Flood防御原理針對真實源攻擊如果是真實源攻擊，經(jīng)過上述防御過程后，通過的DNS報文還很大，則可以繼續(xù)采用以下方式進行防御：DNS請求報文限速指定域名限速源IP限速Anti-DDoS設備還支持對異常DNS報文的檢查，根據(jù)預定義的規(guī)則分

13、別從以下三個方面進行檢測：DNS報文的格式DNS報文的長度DNS報文的TTL 目錄DDos通用攻擊防范技術流量型攻擊防范技術TCP類報文攻擊防御UDP類報文攻擊防御DNS類報文攻擊防御HTTP & HTTPS類報文攻擊防御Anti-DDos典型引流回注場景HTTP Flood攻擊與防御原理防御HTTP Flood攻擊的方法包括源認證、目的IP的URI檢測和指紋學習攻擊原理攻擊者通過代理或僵尸向目標服務器發(fā)起大量的HTTP報文，請求涉及數(shù)據(jù)庫操作的URI或其它消耗系統(tǒng)資源的URI，造成服務器資源耗盡，無法響應正常請求。防御原理HTTP Flood源認證目的IP的URI檢測指紋學習HTTP慢速攻擊

14、與防御原理HTTP慢速攻擊是利用HTTP現(xiàn)有合法機制，在建立了與HTTP服務器的連接后，盡量長時間保持該連接，不釋放，達到對HTTP服務器的攻擊。攻擊原理防御原理針對HTTP慢速攻擊的特點，Anti-DDoS設備對每秒鐘HTTP并發(fā)連接數(shù)進行檢查，當每秒鐘HTTP并發(fā)連接數(shù)超過設定值時，會觸發(fā)HTTP報文檢查，檢查出以下任意一種情況，都認定受到HTTP慢速連接攻擊，則將該源IP地址判定為攻擊源，加入動態(tài)黑名單，同時斷開此IP地址與HTTP服務器的連接。HTTPS類報文攻擊防御通過源認證方法來防御HTTPS Flood攻擊。攻擊原理攻擊者通過代理、僵尸網(wǎng)絡或者直接向目標服務器發(fā)起大量的HTTPS

15、連接，造成服務器資源耗盡，無法響應正常的請求。防御原理通過源認證對HTTPS攻擊進行防御，清洗設備基于目的地址對HTTPS請求報文速率進行統(tǒng)計，當HTTPS請求速率超過閾值時，啟動源認證防御。SSL DoS攻擊與防御原理通過源認證和SSL防御結合防御SSL DoS攻擊。攻擊原理SSL握手的過程中，在協(xié)商加密算法時服務器CPU的開銷是客戶端開銷的15倍左右。攻擊者利用這一特點，在一個TCP連接中不停地快速重新協(xié)商。防御原理清洗設備基于目的地址對HTTPS請求報文速率進行統(tǒng)計，當HTTPS請求速率超過閾值時，啟動源認證防御和SSL防御：源認證SSL防御 目錄DDos通用攻擊防范技術流量型攻擊防范技

16、術Anti-DDos典型引流回注場景解決方案三要素控制聯(lián)動管理中心ATIC檢測中心清洗中心專業(yè)流量清洗設備清洗非法流量上報流量數(shù)據(jù)專業(yè)流量分析設備檢測異常流量上報流量數(shù)據(jù)策略聯(lián)動設備管理策略管理報表呈現(xiàn)安裝在服務器上軟件管理系統(tǒng)異常流量清洗系統(tǒng)組成檢測中心清洗中心上級網(wǎng)絡城域網(wǎng)寬帶接入網(wǎng)無源分光1 識別攻擊流量，然后將數(shù)據(jù)上報到管理中心2 對檢測中心采集的結果進行分析， 對需要控制的流量進行引流操作，并下發(fā)防范控制策略3 對非法流量進行引流清洗；清洗后的流量注回管理服務器采集器管理中心SNMPSNMP由三大核心系統(tǒng)組成旁掛布署或直路部署在網(wǎng)絡出口處管理服務器和采集器之間通過TCP協(xié)議（JAVA

17、的一種通訊接口），可選用SSL加密；管理服務器通過telnet或者SSH向網(wǎng)絡設備下發(fā)策略；管理服務器對網(wǎng)絡設備的監(jiān)控采用SNMP；檢測中心和清洗中心向采集器上報日志采用的是UDP報文防御系統(tǒng)三大中心設備介紹AntiDDos 8000SIG1000ESIG9280EAntii-DDos1500DAnti-DDos 1500服務器+軟件系統(tǒng)清洗中心設備檢測中心設備管理中心設備Netflow Box第三方NetFlow設備清洗設備檢測設備異常流量清洗系統(tǒng)組成檢測中心Netflow BoxOptical SplittingNetflowor第三方設備如Arbor、威睿的檢測設備。檢測板Anti-DD

18、os 1500DAnti-DDos 8000 檢測板SIG解決方案推薦使用可以使用Anti-DDos 8000 的檢測板或Anti-DDos 1500來進行檢測。也可以使用專用的DPI設備SIG系列來聯(lián)動檢測；同時解決方案也支持使用Netflow協(xié)議來進行采樣檢測。清洗中心完成對異常流量的引流、檢測清除、清洗后流量的回注等功能。支持多種引流方式，可以實現(xiàn)完全動態(tài)引流。支持多種回注方式，根據(jù)不同情況可以靈活選擇。以動態(tài)引流為例：異常流量清洗系統(tǒng)組成清洗中心引流回注1.Message：受到攻擊！From 管理中心4. 把不干凈的流量給清洗掉再說3.OK，把到的流量給你處理2.我知道怎么到清洗板An

19、tiDDos 8000AntiDDos1550D異常流量清洗系統(tǒng)組成管理中心管理中心是整個方案的中樞，通過管理中心將檢測分析中心和清洗中心連接起來形成完整的解決方案。管理中心分為管理服務器和數(shù)據(jù)采集器兩個部分，可安裝在一臺服務器上，亦可安裝在不同服務器上。設備監(jiān)控流量Anti-DDoS設備數(shù)據(jù)采集器數(shù)據(jù)采集器數(shù)據(jù)采集器管理服務器管理流量管理中心管理中心由1個管理服務器和多個數(shù)據(jù)采集器組成。異常日志&攻擊日志&流量日志&抓包報文Anti-DDoS設備Anti-DDoS設備直路部署方式客戶網(wǎng)絡TrustDMZWebMailOAFWFW清洗中心管理中心直路部署（主備方式）清洗前流量清洗后流量日志流量

20、管理流量SWSW客戶網(wǎng)絡TrustDMZWebMailOAFW管理中心旁路部署（單向引流）清洗前流量清洗后流量日志流量管理流量SW清洗中心旁路單向靜態(tài)引流部署方式Router客戶網(wǎng)絡Trust DMZWebMailOAFW管理中心旁路部署（雙向引流）清洗前流量清洗后流量日志流量管理流量SW清洗中心旁路雙向靜態(tài)引流部署方式RouterInput TrafficInput TrafficOutput Traffic上行流量客戶網(wǎng)絡Trust DMZWebMailOA管理中心旁路動態(tài)引流部署（檢測、清洗分離）清洗前流量清洗后流量日志流量管理流量檢測中心清洗中心鏡像流量旁路動態(tài)引流部署方式FWRout

21、erSW引流回注分光或鏡像應用場景一： BGP引流、靜態(tài)路由回注場景說明此種應用場景下，清洗設備旁路部署，當攻擊發(fā)生時，清洗設備通過EBGP向NE40E發(fā)布引流路由進行引流，清洗完成后清洗設備通過靜態(tài)路由進行回注。G3/0/2G5/0/0G4/0/0 Server NE40E清洗中心G4/1/07. 5.1.2G5/1/0 UserATIC檢測中心SW參考配置清洗設備同NE40E之間EBGP配置：清洗設備配置靜態(tài)路由進行引流并通過此路由回注：# bgp 200 group 1 external peer as-number 100 peer group 1 /配置EBGP peer # ipv

22、4-family unicast undo synchronization import-route static /BGP中配置引入靜態(tài)路由，用于清洗設備通告引流 peer 1 enable peer enable peer group 1 # ip route-static 55 /手工配置靜態(tài)路由進行引流并回注，下一跳為回注鏈路NE40E對應接口?；?firewall detect-server bgp-route import next-hop /或者通過與檢測設備聯(lián)動，由檢測設備檢測并下發(fā)策略，通過此條命令關聯(lián)生成靜態(tài)路由進行引流回注。參考配置（續(xù)）NE40E回注接口配置策略路由進行

23、回注流量轉發(fā)，避免查找FIB產(chǎn)生報文循環(huán)：(1) 配置策略路由要引用的acl：acl number 3000 rule 0 deny ip destination 0 rule 1 deny ip destination 0 /到自身接口流量不進行策略路由轉發(fā) rule 10 permit ip (2) 配置策略路由：traffic classifier c if-match acl 3000traffic behavior b1 remark ip-nexthop /策略路由轉發(fā)的下一跳地址qos policy p1 classifier c behavior b1 (3) 策略路由應用到接

24、口：interface G4/1/0 qos apply policy p1 應用場景二：BGP引流、策略路由回注場景說明此種應用場景下，清洗設備旁路部署，當攻擊發(fā)生時，清洗設備通過EBGP向NE40E發(fā)布引流路由進行引流，清洗完成后清洗設備通過策略路由將去往不同目的的流量回注至NE40E不同的接口。G3/0/2G4/0/0G4/0/0 Server 00NE40E清洗中心G4/1/0 7. 5.1.2G4/1/0.1 G5/0/0 G5/0/0.1 User Server 00參考配置清洗設備同NE40E之間EBGP配置：清洗設備配置靜態(tài)路由進行引流并通過此路由回注：# bgp 200 gr

25、oup 1 external peer as-number 100 peer group 1 /配置EBGP peer # ipv4-family unicast undo synchronization import-route static /BGP中配置引入靜態(tài)路由，用于清洗設備通告引流 peer 1 enable peer enable peer group 1 # ip route-static 55 /手工配置靜態(tài)路由進行引流并回注，下一跳為回注鏈路NE40E對應接口?；?firewall detect-server bgp-route import next-hop /或者通過與

26、檢測設備聯(lián)動，由檢測設備檢測并下發(fā)策略，通過此條命令關聯(lián)生成靜態(tài)路由進行引流回注。參考配置（續(xù)）回注時，若去往不同目的的流量需要注進NE40E不同的接口進行轉發(fā)，則清洗設備清洗設備通過上述靜態(tài)路由進行回注不夠靈活或不能滿足要求。此時，可以采用在清洗設備引流接口配置策略路由，根據(jù)目的ip的不同將清洗后的流量回注至NE40E的不同接口進行后續(xù)轉發(fā)（此策略路由優(yōu)于上述靜態(tài)路由，故該靜態(tài)路由此時只用作引流，不用作回注）：acl number 3000 rule 5 deny ip destination 0 rule 15 permit ip destination 00 0 # acl number

27、 3100 rule 5 permit ip destination 00 0 # traffic classifier c2 if-match acl 3100 traffic classifier c1 if-match acl 3000 traffic behavior b2 remark ip-nexthop output-interface GigabitEthernet5/0/0 /策略路由回注下一跳和出接口 traffic behavior b1 remark ip-nexthop output-interface GigabitEthernet5/0/0.1 /策略路由回注下一

28、跳和出接口 qos policy p1 classifier c1 behavior b1 classifier c2 behavior b2 # interface GigabitEthernet4/0/0 ip address qos apply policy p1 應用場景三：BGP引流、MPLS LSP回注場景說明此種應用場景下，清洗設備旁路部署，當攻擊發(fā)生時，清洗設備通過BGP引流，在出接口，將清洗后的流量打上LSP標簽通過MPLS回注至接入層路由器。Page 51R1R2E4/1/14 Server /24MPLS AttackE4/1/9/24 User/24E4/1/54/24

29、G4/0/7/24G4/0/14/24E4/1/4 BGP 92 BGP 83清洗中心E8000ER1配置BGP配置，MA5200與E8000E建立BGP關系，用于E8000E動態(tài)發(fā)布BGP引流策略OSPF配置，用于基礎路由發(fā)布：接口下使能MPLS ，用于建立MPLS ISP隧道bgp 92 peer as-number 83 # ipv4-family unicast undo synchronization peer enable # ipv4-family vpnv4 policy vpn-target# ospf 1 area network 2 network 55 network

30、55 network 55 interface Ethernet4/1/4 description connect with 55(85) ip address mpls mpls ldp # interface Ethernet4/1/5 description C-83-4/0/14 ip address 4 mpls mpls ldp E8080E配置出接口使能mpls，用于建立MPLS lsp隧道OSPF配置，用于基礎路由發(fā)布：mpls lsr-id 3 mpls # interface GigabitEthernet4/0/14 description c-92-5 ip addre

31、ss mpls mpls ldp Mpls lsp-trigger all /發(fā)布MPLS標簽ospf 1 area network 55 network 3 bgp 83 peer as-number 92 # ipv4-family unicast undo synchronization peer enable # ipv4-family vpnv4 policy vpn-target 配置BGP，與R1建立EBGP（用于BGP引流路由的發(fā)布其它配置 undo firewall session link-state check /去使能鏈路狀態(tài)檢測firewall ddos bgp-ne

32、xt-hop fib-filter firewall ddos bgp-next-hop /引流策略下一跳及路由過濾配置R2配置出接口使能mplsOSPF配置，用于基礎路由發(fā)布：發(fā)布MPLS標簽 # interface Vlan-interface200 ip address mpls mpls ldp enable ospf 1 area network 5 network 55 network 55 Mpls lsp-trigger all注意事項注意：采用一層mpls標簽回注，需要保證在部署清洗設備之前路由器R1上不存在32位的主機路由。應用場景四：BGP引流、MPLS VPN回注場景說

33、明此種應用場景下，清洗設備旁路部署，當攻擊發(fā)生時，清洗設備通過BGP引流，在引流接口查找私網(wǎng)路由，將清洗后的流量打上兩層標簽通過MPLS VPN回注至接入層路由器。MA5200S8508-AE4/1/14G0/1/4 VLAN200 Server VPN1VLAN 111 /24MPLS VPNAttack清洗中心E8080EE4/1/9/24 User/24E4/1/54/24G4/0/7/24G4/0/14/24E64/1/4 BGP 92 BGP 83 BGP 55MA5200配置BGP配置， MA5200與E8000E建立BGP關系，用于E8000E動態(tài)發(fā)布BGP引流策略OSPF配置，

34、用于基礎路由發(fā)布：接口下使能MPLS ，用于建立MPLS ISP隧道bgp 92 peer as-number 83 # ipv4-family unicast undo synchronization peer enable # ipv4-family vpnv4 policy vpn-target ospf 1 area network 2 network 55 network 55 network 55 interface Ethernet4/1/4 description connect with 55(85) ip address mpls mpls ldp # interface

35、Ethernet4/1/5 description C-83-4/0/14 ip address 4 mpls mpls ldp 配置默認路由。當FW撤銷引流BGP路由時，保證流量能夠正常到達受保護的網(wǎng)絡。 ip route-static E8080E配置配置VPN。配置vpn1 ，保證vpn-target 與 S8508 上的vpn-target一致。ip vpn-instance vpn1 route-distinguisher 100:100 vpn-target 200:200 munity vpn-target 200:200 munity # 引流入接口綁定vpn1# interf

36、ace GigabitEthernet4/0/7 description c-92-9 ip binding vpn-instance vpn1 ip address # firewall zone vpn-instance vpn1 trust set priority 85 add interface GigabitEthernet4/0/7 # firewall packet-filter default permit interzone vpn-instance vpn1 local trust direction inbound firewall packet-filter defa

37、ult permit interzone vpn-instance vpn1 local trust direction outbound firewall packet-filter default permit interzone trust vpn-instance vpn1 trust direction inbound firewall packet-filter default permit interzone trust vpn-instance vpn1 trust direction outbound E8080E配置（續(xù)）出口使能MPLS，用于建立MPLS ISP隧道OSP

38、F配置，用于基礎路由發(fā)布：mpls lsr-id 3 mpls # interface GigabitEthernet4/0/14 description c-92-5 ip address mpls mpls ldp ospf 1 area network 55 network 3 E8080E配置（續(xù)）配置BGP。bgp 83 peer 5 as-number 55 peer 5 ebgp-max-hop 100 peer 5 connect-interface LoopBack0 # ipv4-family unicast undo synchronization import-rout

39、e static peer 5 enable # ipv4-family vpnv4 undo policy vpn-target peer 5 enable peer 5 route-policy ptest import / 對于從S8505學習到BGP路由打上no-advertise 屬性，使其不再對外發(fā)布 # ipv4-family vpn-instance vpn1 peer as-number 92 import-route static # route-policy ptest permit node 1 /配置路由策略，使能bgp no-advertise屬性 apply co

40、mmunity no-advertise E8080E配置（續(xù)）其它配置。ip route-static vpn-instance vpn1 /用于攻擊防范反彈報文的發(fā)送 undo firewall session link-state check /去使能鏈路狀態(tài)檢測firewall ddos bgp-next-hop fib-filter firewall ddos bgp-next-hop /引流策略下一跳及路由過濾配置 S8505配置配置VPN，配置vpn1 ，保證vpn-target 與E8080E上的vpn-target一致OSPF配置，用于基礎路由發(fā)布：ip vpn-instan

41、ce vpn1 route-distinguisher 100:100 vpn-target 200:200 munity vpn-target 200:200 munity # interface Vlan-interface111 /保護網(wǎng)絡入接口綁定vpn1 description c-i-0/1/1-pc-87 ip binding vpn-instance vpn1 ip address ospf 1 area network 5 network 55 出接口使能MPLSinterface Vlan-interface200 ip address mpls mpls ldp enab

42、le S8505配置配置BGP。bgp 55 log-peer-change group ebgp external peer ebgp as-number 83 peer ebgp munity peer ebgp ebgp-max-hop 100 peer 3 group ebgp peer 3 connect-interface LoopBack55 # ipv4-family vpn-instance vpn1 import-route direct /導入需要發(fā)布的VPN私網(wǎng)路由，這里只導入了直連路由 # ipv4-family vpnv4 peer ebgp enable peer

43、 3 group ebgp配置靜態(tài)路由。ip route-static vpn-instance vpn1 public preference 60應用場景五：BGP引流、MPLS VPN回注（單條鏈路）場景說明此種應用場景下，清洗設備旁路部署，當攻擊發(fā)生時，清洗設備通過單條鏈路進行BGP引流、MPLS VPN回注。其中清洗設備采用E-Trunk(捆綁了2個GE接口)口進行引流回注,NE40E_1Loopback 0 /32Loopback 1023 /32Loopback 1023 /32Server00NE40E_2清洗中心MPLS VPNE-Trunk 1 /24E-Trunk 1 /24應用場景五：BGP引流、MPLS VPN回注（單條鏈路）場景說明此種應用場景下，清洗設備旁路部署，當攻擊發(fā)生時，清洗設備通過單條鏈路進行BGP引流、MPLS VPN回注。其中清洗設備采用E-Trunk(捆綁了2個GE接口)口進行引流回注,NE40E_1Loopback 0 /32Loopback 1023 /32Loopback 1023 /32Server00NE40E_2清洗中