USG防火墙:安全防护:黑名单(ip地址虽然被加入到了黑名单,但是还可以抓到流量的)
USG防火墙:安全防护:黑名单
USG2110-F: USG2110 V300R001C00SPCa00
firewall blacklist enable
firewall blacklist item x.x.x.x
firewall blacklist enable
firewall blacklist item source-ip x.x.x.x
firewall blacklist item destination-ip x.x.x.x
简介
黑名单是一种安全防护措施,系统丢弃命中黑名单的报文。与通过安全策略进行报文过滤相比,黑名单匹配的方式相对简单,可以用来对特定用户或IP的报文进行快速过滤。
黑名单类型
FW支持把用户、源地址或目的地址加入黑名单,这三种类型的黑名单的详细说明如表所示。
类型 | 说明 |
---|---|
用户类型的黑名单 | 将特定的用户加入黑名单后,FW将丢弃来自或去往该用户的报文。 |
源地址类型的黑名单 | 将特定的源地址加入黑名单后,FW将丢弃来自该源地址的报文。 创建源地址类型的黑名单时,还可以指定该源地址对应的协议类型或源端口号。系统将只丢弃来自该源地址指定的协议类型/源端口的报文,来自该源地址对应的其它协议类型/端口号的报文不受黑名单控制。 |
目的地址类型的黑名单 | 将特定的目的地址加入黑名单后,FW将丢弃去往该目的地址的报文。 创建目的地址类型的黑名单时,还可以指定该目的地址对应的协议类型或目的端口号。系统将只丢弃去往该目的地址指定的协议类型/目的端口的报文,去往该目的地址对应的其它协议类型/端口号的报文不受黑名单控制。 |
创建与删除
黑名单表项可以手工进行创建,也可以由系统动态生成,其详细说明如表所示。
创建方式 | 所属的黑名单类型 | 超时时间 | |
---|---|---|---|
手工创建 | 由管理员手工创建。 | 用户类型的黑名单、源地址类型的黑名单、目的地址类型的黑名单 | 由管理员手工指定 |
动态生成 | 攻击防范黑名单:由于某IP地址频繁访问不同的IP地址或端口,被攻击防范功能认为在进行IP地址扫描攻击或端口扫描攻击,该IP地址将被自动加入黑名单中。 | 源地址类型的黑名单 | 缺省为20分钟,不可修改 |
入侵防御黑名单:被入侵防御功能认为在进行入侵行为,IP地址将被自动加入黑名单中。 | 源地址类型的黑名单、目的地址类型的黑名单 | 缺省为5分钟,可手工修改 | |
反病毒黑名单:被反病毒功能认为某流量携带病毒,该流量的源IP地址将自动加入黑名单中。 | 源地址类型的黑名单 | 缺省为5分钟,可手工修改 | |
关联检测黑名单:如果报文命中安全策略且上送智能感知引擎进行IPS关联检测(自定义关联签名匹配)后被阻断,则判定为一次入侵。当同一源或目的IP地址在某一时间段入侵次数达到阈值,在阻断的同时,将该IP地址加入黑名单。 | 源地址类型的黑名单、目的地址类型的黑名单 | 缺省为5分钟,可手工修改 | |
IDS联动黑名单:FW与IDS联动,由IDS设备下发的黑名单表项。 | 源地址类型的黑名单、目的地址类型的黑名单 | IDS设备向FW下发的黑名单表项中包含老化时间,如果下发的老化时间小于10分钟,FW上该表项的老化时间缺省就是下发的时间;如果下发的老化时间大于10分钟,FW上该表项的老化时间缺省就是10分钟。 该超时时间不可修改。 | |
HiSec Insight联动黑名单:FW与HiSec Insight联动,HiSec Insight设备识别到恶意会话后向FW下发阻断指令,FW将阻断指令中携带的恶意会话的目的IP加入黑名单表项。 | 源地址类型的黑名单、目的地址类型的黑名单 | 缺省为30分钟,可手工修改 |
通过不同创建方式创建的黑名单,其加入原因也不同,如手工创建的加入原因为“手工加入”,动态生成的加入原因有“IP地址扫描”、“端口扫描”等。如果动态生成的黑名单被手动编辑后,加入原因会自动切换为“手工加入”。
多次创建同一黑名单表项时,后创建的黑名单表项会覆盖原有的黑名单表项。
黑名单表项可以被动态地进行删除,也可以手工进行删除:
手工创建和动态创建的黑名单表项都可以指定超时时间,当超时时间结束后黑名单表项将被自动删除,从而对相应报文的过滤功能也随之消失。对于手工创建的黑名单,还可以指定超时时间为无期限,该黑名单表项将永久生效。
除了通过超时时间动态地进行黑名单的删除,您可以手工进行黑名单的删除。
黑名单使用限制和注意事项
License支持
黑名单功能不受License控制。
使用限制
在CPU上创建黑名单时,支持创建IPv4和IPv6类型;在硬件芯片上创建黑名单时,仅支持创建IPv4类型。
通过Web只能创建和查看CPU类型的黑名单,无法创建和查看硬件芯片类型的黑名单。
硬件芯片上的黑名单仅对业务口流量生效,对管理口流量不生效。
设备重启后配置恢复过程中,硬件芯片上的黑名单表项不会立即恢复,在表项恢复前,可能会出现匹配黑名单的流量无法被阻断。
对于USG6110E, USG6307E/6311E/6311E-POE, USG6510E/6510E-POE/6510E-DK, USG6331E/6530E, USG6306E/6308E/6312E/6322E/6332E/6350E/6360E/6380E, USG6515E/6550E/6560E/6580E, USG6000E-E03/6000E-E07, USG6106E, USG6301E-C/6302E-C/6303E-C/6305E/6306E-B/6308E-B/6309E/6315E/6318E-B/6325E/6335E/6338E-B/6355E/6358E-B/6365E/6378E-B/6385E/6388E-B/6398E-B, USG6501E-C/6502E-C/6503E-C/6520E-K/6525E/6555E/6560E-K/6565E/6575E-B/6585E/6590E-K, USG6605E-B,当同时创建硬件芯片黑名单和静态白名单时,流量优先匹配硬件芯片黑名单,如果流量命中了硬件芯片黑名单会被丢弃,不会再匹配白名单。
执行命令firewall blacklist enable,开启黑名单功能,黑名单表项生效。
黑名单表项需要使用该命令开启黑名单功能后才会生效。没有开启黑名单功能的情况下,用户依然可以手工创建黑名单表项。
FW的黑名单功能不支持区分VLAN。
在CPU上创建黑名单表项
当流量到达CPU时,如果命中了黑名单,则被直接丢弃。
执行命令firewall blacklist item user user-name [ timeout minutes ],创建用户类型的黑名单表项。
将特定的用户加入黑名单后,设备将丢弃来自或去往该用户的报文。
执行命令firewall blacklist item source-ip { source-IPv4-address | source-IPv6-address } [ source-port source-port ] [ protocol { tcp | udp | icmp | protocol-num } ] [ timeout minutes ],创建源地址类型的黑名单表项。
将特定的源IP加入黑名单后,设备将丢弃来自该源IP的报文。创建源地址类型的黑名单时,还可以指定该源IP对应的协议类型/源端口号。系统将只丢弃来自该源IP指定的协议类型/源端口的报文,来自该源IP对应的其它协议类型/端口号的报文不受黑名单控制。
执行命令firewall blacklist item destination-ip { destination-IPv4-address | destination-IPv6-address } [ destination-port destination-port ] [ protocol { tcp | udp | icmp | protocol-num } ] [ timeout minutes ],创建目的地址类型的黑名单表项。
将特定的目的IP加入黑名单后,设备将丢弃去往该目的IP的报文。创建目的地址类型的黑名单时,还可以指定该目的IP对应的协议类型或目的端口号。系统将只丢弃去往该目的IP指定的协议类型/目的端口的报文,去往该目的IP对应的其它协议类型/端口号的报文不受黑名单控制。
其中超时时间timeout minutes是指黑名单表项的生效时长,单位为分钟。超时时间结束后,该黑名单表项将被系统自动删除。如不指定超时时间,该黑名单表项将永久生效。
在硬件芯片上创建黑名单表项
通过在硬件芯片上创建黑名单,流量到达硬件芯片时,如果命中了黑名单,则被直接丢弃,不会上送到CPU,从而降低CPU的使用率。
执行命令firewall blacklist hardware item source-ip source-IPv4-address [ source-port source-port ] [ protocol { tcp | udp | icmp | protocol-num } ],创建源地址类型的黑名单表项。
执行命令firewall blacklist hardware item destination-ip destination-IPv4-address [ destination-port destination-port ] [ protocol { tcp | udp | icmp | protocol-num } ],创建目的地址类型的黑名单表项。
可选:执行命令firewall dynamic-resource used-up alarm blacklist enable [ threshold threshold ],开启黑名单表使用率达到阈值时发送日志和告警功能。
查看命令
指定超时时间的黑名单表项永久有效,会被写入配置文件。带有超时时间的黑名单表项不会被写入配置文件,因为这些表项在超时时间结束后就会被自动删除,所以只能暂时保留在内存中。如果重启设备,带有超时时间的黑名单表项将会丢失。
CPU上的黑名单表项可以通过display firewall blacklist item命令查看。
在本例中,从屏显信息可以看出,当前CPU上一共存在一个黑名单表项,其中Age Time字段为Permanent的1.1.1.1是永久黑名单。
如果需要清除命中黑名单统计次数,请在系统视图下执行命令reset firewall blacklist statistics。
硬件芯片上的黑名单表项可以通过display firewall blacklist hardware item命令查看。
在本例中,从屏显信息可以看出,当前设备硬件芯片上一共存在一个源地址类型的黑名单表项。
ip地址虽然被加入到了黑名单,但是还可以抓到流量的:
报文示踪诊断
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » USG防火墙:安全防护:黑名单(ip地址虽然被加入到了黑名单,但是还可以抓到流量的)
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm