История страницы

1

Включить защиту от ICMP flood-атак.

esr(config)# ip firewall screen dos-defense
icmp-threshold { <NUM> }

<NUM> – количество ICMP-пакетов в секунду, задается в диапазоне [1..10000].

2

Включить защиту от land-атак.

esr(config)# firewall screen dos-defense land

3

Включить ограничение числа пакетов, отправляемых за одну секунду на один адрес назначения

esr(config)# ip firewall screen dos-defense
limit-session-destination { <NUM> }

<NUM> – ограничение числа IP-пакетов в секунду, задается в диапазоне [1..10000].

4

Включить ограничение числа пакетов, отправляемых за одну секунду с единого адреса источника

esr(config)# ip firewall screen dos-defense
limit-session-source { <NUM> }

<NUM> – ограничение числа IP-пакетов в секунду, задается в диапазоне [1..10000].

5

Включить защиту от SYN flood-атак.

esr(config)# ip firewall screen dos-defense
syn-flood { <NUM> } [src-dsr]

<NUM> – максимальное количество TCP-пакетов с установленным флагом SYN в секунду, задается в диапазоне [1..10000].

src-dst – ограничение количества TCP-пакетов с установленным флагом SYN на основании адреса источника и адреса назначения.

6

Включить защиту от UDP flood-атак.

esr(config)# ip firewall screen dos-defense
udp-threshold { <NUM> }

<NUM> – максимальное количество UDP-пакетов в секунду, задается в диапазоне [1..10000].

7

Включить защиту от winnuke-атак.

esr(config)# ip firewall screen dos-defense winnuke

8

Включить блокировку TCP-пакетов с установленным флагом FIN и не установленным флагом ACK.

esr(config)# ip firewall screen spy-blocking fin-no-ack

9

Включить блокировку ICMP-пакетов различных типов.

esr(config)# ip firewall screen spy-blocking icmp-type

<TYPE> – тип ICMP, может принимать значения:

• destination-unreachable
• echo-request
• reserved
• source-quench
• time-exceeded

10

Включить защиту от IP sweep-атак.

esr(config)# ip firewall screen spy-blocking ip-sweep { <NUM> }

<NUM> – интервал выявления ip sweep атаки, задается в миллисекундах [1..1000000].

11

Включить защиту от port scan-атак.

esr(config)# ip firewall screen spy-blocking port-scan
{ <threshold> } [ <TIME> ]

<threshold> – интервал в секундах, в течение которого будет фиксироваться port scan-атака [1..10000].

<TIME> – время блокировки в миллисекундах [1..1000000].

12

Включить защиту от IP spoofing-атак.

esr(config)# ip firewall screen spy-blocking spoofing

14

Включить блокировку TCP-пакетов, с установленными флагами SYN и FIN.

esr(config)# ip firewall screen spy-blocking syn-fin

15

Включить блокировку TCP-пакетов, со всеми флагами или с набором флагов: FIN, PSH, URG. Данной командой обеспечивается защита от атаки XMAS.

esr(config)# ip firewall screen spy-blocking tcp-all-flag

16

Включить блокировку TCP-пакетов, с нулевым полем flags.

esr(config)# ip firewall screen spy-blocking tcp-no-flag

17

Включить блокировку фрагментированных
ICMP-пакетов.

esr(config)# ip firewall screen suspicious-packets icmp-fragment

18

Включить блокировку фрагментированных IP-пакетов.

esr(config)# ip firewall screen suspicious-packets ip-fragment

19

Включить блокировку ICMP-пакетов длиной более 1024 байт.

esr(config)# ip firewall screen suspicious-packets icmp-fragment

20

Включить блокировку фрагментированных TCP-пакетов, с флагом SYN.

esr(config)# ip firewall screen suspicious-packets syn-fragment

21

Включить блокировку фрагментированных UDP-пакетов.

esr(config)# ip firewall screen suspicious-packets udp-fragment

22

Включить блокировку пакетов, с ID протокола в заголовке IP равном 137 и более.

esr(config)# ip firewall screen suspicious-packets unknown-protocols

23

Установить частоту оповещения (по SNMP, syslog и в CLI) об обнаруженных и отраженных сетевых атаках.

esr(config)# ip firewall logging interval <NUM>

<NUM> – интервал времени в секундах [30 .. 2147483647].

24

Включить механизм обнаружения и логирования DoS-атак через CLI, Syslog и по SNMP.

esr(config)# logging firewall screen dos-defense <ATACK_TYPE>

<ATACK_TYPE> – тип DoS-атаки, принимает значения: icmp-threshold, land, limit-session-destination, limit-session-source, syn-flood, udp-threshold, winnuke.

25

Включить механизм обнаружения и логирования шпионской активности через CLI, Syslog и по SNMP.

esr(config)# logging firewall screen spy-blocking
{ <ATACK_TYPE> | icmp-type <ICMP_TYPE> }

<ATACK_TYPE> – тип шпионской активности, принимает значения: fin-no-ack, ip-sweep, port-scan, spoofing, syn-fin, tcp-all-flag, tcp-no-flag.

<ICMP_TYPE> – тип ICMP, принимает значения: destination-unreachable, echo-request, reserved, source-quench, time-exceeded.

26

Включить механизм обнаружения нестандартных пакетов и логирования через CLI, Syslog и по SNMP.

esr(config)# logging firewall screen suspicious-packets <PACKET_TYPE>

<PACKET_TYPE> – тип нестандартных пакетов, принимает значения: icmp-fragment, ip-fragment, large-icmp, syn-fragment, udp-fragment, unknown-protocols.

esr(config)# security zone <zone-name1>

esr(config)# security zone <zone-name2>

<zone-name> – до 12 символов.

Имена all, any и self зарезервированы.

esr(config-security-zone)# description <description>

esr(config- security-zone)# ip vrf forwarding <VRF>

esr(config)# ip firewall sessions counters

esr(config)# ip firewall sessions allow-unknown

6

Выбрать режим работы межсетевого экрана (необязательно).

В режиме stateful проверяется только первый пакет сессии, и если «прямой» трафик разрешён, «ответный» трафик разрешается автоматически.

В режиме stateless происходит проверка каждого пакета. «Прямой» и «ответный» трафики требуется разрешать в соответствующих zone-pair (см. шаг 29).

Работа межсетевого экрана по списку приложений возможна только в режиме stateless.

esr(config)# ip firewall mode <MODE>

<MODE> – режим работы межсетевого экрана, может принимать значения: stateful, stateless.

Значение по умолчанию: stateful.

7

Определить время жизни сессии для неподдерживаемых протоколов (необязательно).

esr(config)# ip firewall sessions generic-timeout <TIME>

<TIME> – время жизни сессии для неподдерживаемых протоколов, принимает значения в секундах [1..8553600].

По умолчанию: 60 секунд.

8

Определить время жизни ICMP-сессии, по истечении которого она считается устаревшей (необязательно).

esr(config)# ip firewall sessions icmp-timeout <TIME>

<TIME> – время жизни ICMP-сессии, принимает значения в секундах [1..8553600].

По умолчанию: 30 секунд.

9

Определить время жизни ICMPv6-сессии, по истечении которого она считается устаревшей (необязательно).

esr(config)# ip firewall sessions icmpv6-timeout <TIME>

<TIME> – время жизни ICMP-сессии, принимает значения в секундах [1..8553600].

По умолчанию: 30 секунд.

10

Определить размер таблицы сессий, ожидающих обработки (необязательно).

esr(config)# ip firewall sessions max-expect <COUNT>

<COUNT> – размер таблицы, принимает значения [1..8553600].

По умолчанию: 256.

11

Определить размер таблицы отслеживаемых сессий (необязательно).

esr(config)# ip firewall sessions max-tracking <COUNT>

<COUNT> – размер таблицы, принимает значения [1..8553600].
По умолчанию: 512000.

12

Определить время жизни TCP-сессии в состоянии «соединение устанавливается», по истечении которого она считается устаревшей (необязательно).

esr(config)# ip firewall sessions tcp-connect-timeout <TIME>

<TIME> – время жизни TCP-сессии в состоянии «соединение устанавливается», принимает значения в секундах [1..8553600].

По умолчанию: 60 секунд.

13

Определить время жизни TCP-сессии в состоянии «соединение закрывается», по истечении которого она считается устаревшей (необязательно).

esr(config)# ip firewall sessions tcp-disconnect-timeout <TIME>

<TIME> – время жизни TCP-сессии в состоянии «соединение закрывается» принимает значения в секундах [1..8553600].
По умолчанию: 30 секунд.

14

Определить время жизни TCP-сессии в состоянии «соединение установлено», по истечении которого она считается устаревшей (необязательно).

esr(config)# ip firewall sessions tcp-established-timeout <TIME>

<TIME> – время жизни TCP-сессии в состоянии «соединение установлено», принимает значения в секундах [1..8553600].

По умолчанию: 120 секунд.

15

Определить время ожидания, по истечении которого происходит фактическое удаление закрытой TCP-сессии из таблицы отслеживаемых сессий (необязательно).

esr(config)# ip firewall sessions tcp-latecome-timeout <TIME>

<TIME> – время ожидания, принимает значения в секундах [1..8553600].

По умолчанию: 120 секунд.

16

Включить функцию отслеживания сессий уровня приложений для отдельных протоколов (необязательно).

esr(config)# ip firewall sessions tracking

<PROTOCOL> – протокол уровня приложений [ftp, h323, pptp, netbios-ns, tftp], сессии которого должны отслеживаться.

<OBJECT-GROUP-SERVICE> – имя профиля TCP/UDP-портов sip-сессии, задаётся строкой до 31 символа. Если группа не указана, то отслеживание сессий sip будет осуществляться для порта 5060.

Вместо имени отдельного протокола можно использовать ключ «all», который включает функцию отслеживания сессий уровня приложений для всех доступных протоколов.

По умолчанию – отключено для всех протоколов.

17

Определить время жизни UDP-сессии в состоянии «соединение подтверждено», по истечении которого она считается устаревшей (необязательно).

esr(config)# ip firewall sessions udp-assured-timeout <TIME>

<TIME> – время жизни UDP-сессии в состоянии «соединение подтверждено», принимает значения в секундах [1..8553600].

По умолчанию: 180 секунд.

18

Определить время жизни UDP-сессии в состоянии «соединение не подтверждено», по истечении которого она считается устаревшей.

esr(config)# ip firewall sessions udp-wait-timeout <TIME>

<TIME> – время жизни UDP-сессии в состоянии «соединение не подтверждено», принимает значения в секундах [1..8553600].

По умолчанию: 30 секунд.

<ADDR> – МАС-адрес, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].

<WILDCARD> – маска МАС-адреса, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске.

22

Создать списки IP-адресов, которые будут использоваться при фильтрации.

esr(config)# object-group network <obj-group-name>

<obj-group-name> – до 31 символа.

23

Задать описание списка IP-адресов (необязательно).

esr(config-object-group-network)# description <description>

<description> – описание профиля, задается строкой до 255 символов.

24

Внести необходимые IPv4/IPv6-адреса в список.

esr(config-object-group-network)# ip prefix <ADDR/LEN> [ unit <ID> ]

<ADDR/LEN> – подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].

<ID> – номер юнита, принимает значения [1..2].

esr(config-object-group-network)# ip address-range
<FROM-ADDR>-<TO-ADDR> [ unit <ID> ]

<FROM-ADDR> – начальный IP-адрес диапазона адресов;

<TO-ADDR> – конечный IP-адрес диапазона адресов, опциональный параметр. Если параметр не указан, то командой задаётся одиночный IP-адрес.

Адреса задаются в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

<ID> – номер юнита, принимает значения [1..2].

esr(config-object-group-network)# ipv6 prefix <IPV6-ADDR/LEN> [ unit <ID> ]

<IPV6-ADDR/LEN> – IP-адрес и маска подсети, задаётся в виде X:X:X:X::X/EE, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и EE принимает значения [1..128].

<ID> – номер юнита, принимает значения [1..2].

esr(config-object-group-network)# ipv6 address-range
<FROM-ADDR>-<TO-ADDR> [ unit <ID> ]

<FROM-ADDR> – начальный IPv6-адрес диапазона адресов;

<TO-ADDR> – конечный IPv6-адрес диапазона адресов, опциональный параметр. Если параметр не указан, то командой задаётся одиночный IPv6-адрес.

Адреса задаются в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

<ID> – номер юнита, принимает значения [1..2].

25

Создать списки сервисов, которые будут использоваться при фильтрации.

esr(config)# object-group service <obj-group-name>

<obj-group-name> – имя профиля сервисов, задается строкой до 31 символа.

26

Задать описание списка сервисов (необязательно).

esr(config-object-group-service)# description <description>

<description> – описание профиля, задается строкой до 255 символов.

27

Внести необходимые сервисы (tcp/udp-порты) в список.

esr(config-object-group-service)# port-range <port>

<port> – принимает значение [1..65535].

Можно указать несколько портов перечислением через запятую «,» либо указать диапазон портов через «-».

28

Создать списки приложений, которые будут использоваться в механизме DPI.

esr(config)# object-group application <NAME>

<NAME> – имя профиля приложений, задается строкой до 31 символа.

29

Задать описание списка приложений (необязательно).

esr(config-object-group-application)# description <description>

<description> – описание профиля, задается строкой до 255 символов.

30

Внести необходимые приложения в списки.

esr(config-object-group-application)# application < APPLICATION >

<APPLICATION> – указывает приложение, попадающее под действие данного профиля.

31

Создать список доменных имен, которые будут использоваться при фильтрации.

esr(config)# object-group domain-name <NAME>

<NAME> – имя профиля доменных имен, задается строкой до 31 символа.

32

Задать описание списка доменных имен (необязательно).

esr(config-object-group-domain-name)# description <description>

<description> – описание профиля, задается строкой до 255 символов.

33

Внести необходимые доменные имена в списки.

esr(config-object-group-domain-name)# domain <DOMAIN>

<DOMAIN> – доменное имя, строка длинной от 1 до 253 символов.

34

Включить интерфейсы (физические, логические, E1/Multilink и подключаемые), сервер удаленного доступа (l2tp, openvpn, pptp) или туннели (gre, ip4ip4, l2tp, lt, pppoe, pptp) в зоны безопасности (если необходимо).

esr(config-if-gi)# security-zone <zone-name>

<zone-name> – до 12 символов.

Отключить функции Firewall на сетевом интерфейсе (физические, логические, E1/Multilink и подключаемые), сервере удаленного доступа (l2tp, openvpn, pptp) или туннели (gre, ip4ip4, l2tp, lt, pppoe, pptp) (если необходимо).

esr(config-if-gi)# ip firewall disable

Отключить функции Firewall глобально на всех сетевых сущностях (если необходимо).

esr(config)# ip firewall disable

35

esr(config)# security zone-pair <src-zone-name1> <dst-zone-name2>

<src-zone-name> – до 12 символов.

<dst-zone-name> – до 12 символов.

36

Создать правило межзонового взаимодействия.

esr(config-security-zone-pair)# rule <rule-number>

<rule-number> – 1..10000.

37

Задать описание правила (необязательно).

esr(config-security-zone-pair)# description <description>

<description> – до 255 символов.

38

Указать действие данного правила.

esr(config-security-zone-pair-rule)# action <action> [ log ]

39

Установить имя или номер IP-протокола, для которого должно срабатывать правило (необязательно).

esr(config-security-zone-pair-rule)# match [not] protocol <protocol-type>

<protocol-type> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre.

При указании значения «any» правило будет срабатывать для любых протоколов.

esr(config-security-zone-pair-rule)# match [not] protocol-id <protocol-id>

<protocol-id> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].

40

Установить IP-адрес отправителя, для которых должно срабатывать правило (необязательно).

address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона.
Параметр задаётся в виде A.B.C.D, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

prefix <ADDR/LEN> – IP-подсеть, используемая для срабатывания правила фильтрации firewall. Параметр задаётся в виде A.B.C.D/E, где каждая часть A – D принимает значения [0..255] и E принимает значения [1..32]; <IPv6-ADDR/LEN> – IPv6-адрес, задаётся в виде X:X:X:X::X/E, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и E принимает значения [1..128];

object-group network <OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа;

object-group domain-name <OBJ-GROUP-DOMAIN-NAME> – имя профиля доменных имен, задаётся строкой до 31 символа.

При указании значения any правило будет срабатывать для любого IP-адреса получателя.

41

Установить IP-адрес получателя, для которых должно срабатывать правило (необязательно).

esr(config-security-zone-pair-rule)# match [not] destination-address { address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } |
object-group { network <OBJ-GROUP-NETWORK-NAME> | domain-name <OBJ-GROUP-DOMAIN-NAME> } | any }

42

Установить MAC-адрес отправителя, для которого должно срабатывать правило (необязательно).

esr(config-security-zone-pair-rule)# match [not] source-mac {<mac-addr> | <OBJ-GROUP-NAME>}

<mac-addr> – задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].

<OBJ-GROUP-NAME> – имя профиля MAC-адресов, задаётся строкой до 31 символа.

43

Установить MAC-адрес получателя, для которого должно срабатывать правило (необязательно).

esr(config-security-zone-pair-rule)# match [not] destination-mac {<mac-addr> | <OBJ-GROUP-NAME>}

44

Установить TCP/UDP-порт отправителя, для которого должно срабатывать правило (если указан протокол).

esr(config-security-zone-pair-rule)# match [not] source-port <TYPE> {<PORT-SET-NAME> | <FROM-PORT> - <TO-PORT>}

<TYPE> – тип аргумента, устанавливаемый в качестве порта:

• object-group – group – указать имя профиля;
• port-range – range – указать диапазон портов;
• any – any – установить в качестве порта любой порт.

<PORT-SET-NAME> – задаётся строкой до 31 символа;

<FROM-PORT> – начальный порт диапазона;

<TO-PORT> – PORT> – конечный порт диапазона.

45

Установить TCP/UDP-порт получателя, для которого должно срабатывать правило (если указан протокол).

esr(config-security-zone-pair-rule)# match [not] destination-port <TYPE> {<PORT-SET-NAME> | <FROM-PORT> - <TO-PORT>}

47

Установить тип и код сообщений протокола ICMP, для которых должно срабатывать правило (если в качестве протокола выбран ICMP) (необязательно).

esr(config-security-zone-pair-rule)# match [not] icmp <ICMP_TYPE> <ICMP_CODE>

<ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0..255];

<ICMP_CODE> – код сообщения протокола ICMP, принимает значения [0..255]. При указании значения «any» правило будет срабатывать для любого кода сообщения протокола ICMP.

48

Установить тип и код сообщений протокола ICMPv6, для которых должно срабатывать правило (если в качестве протокола выбран ICMP) (необязательно).

esr(config-security-zone-pair-rule)# match [not] icmpv6 <ICMP_TYPE> <ICMP_CODE>

<ICMP_TYPE> – тип сообщения протокола ICMPv6, принимает значения [0..255];

<ICMP_CODE> – код сообщения протокола ICMPv6, принимает значения [0..255]. При указании значения «any» правило будет срабатывать для любого кода сообщения протокола ICMP.

49

Установить ограничение, при котором правило будет срабатывать только для трафика, измененного сервисом трансляции IP-адресов и портов получателя.

esr(config-security-zone-pair-rule)# match [not] destination-nat

50

Установить фильтрацию только для фрагментированных IP-пакетов (необязательно, доступно только для zone-pair any self и zone-pair <zone-name> any).

esr(config-security-zone-pair-rule)# match [not] fragment

51

Установить фильтрацию для IP-пакетов, содержащих ip-option (необязательно, доступно только для zone-pair any self и zone-pair <zone-name> any).

esr(config-security-zone-pair-rule)# match [not] ip-option

52

Включить правило межзонового взаимодействия.

esr(config-security-zone-pair-rule)# enable

53

Активировать фильтрацию и режим отслеживания сессий при прохождении пакетов между участниками одной Bridge-группы (необязательно).

esr(config-bridge)# ports firewall enable