...
Данная команда включает защиту от ICMP flood атак. При включенной защите ограничивается количество icmp-пакетов всех типов в секунду для одного source адреса назначения.
Использование отрицательной формы команды (no) отключает защиту от ICMP flood атак.
...
| Блок кода |
|---|
esr(config)# ip firewall screen spy-blocking spoofing |
ip firewall screen spy-blocking
...
spoofing exclude <object-
...
group>
Данная команда включает блокировку TCP-пакетов, с установленными флагами SYN и FIN.
Использование отрицательной формы команды (no) отключает блокировку TCP-пакетов, с установленными флагами SYN и FIN.
Синтаксис
исключает из защиты от IP-spoofing атак указанную Object Group. В Object Group помещается список из допустимых адресов, которые будут игнорироваться. Команда используется вместе с основной ip firewall screen spy-blocking spoofing, которая включает защиту, иначе она не будет иметь эффекта. В случае, если на маршрутизатор приходит spoofing от разрешённых подсетей (например, частый опрос устройств в сети), то пакеты пропускаются.
Использование отрицательной формы команды (no) отключает исключение группы из защиты от ip-spoofing атак.
Синтаксис
[no] ip firewall screen spy-blocking spoofing exclude <object-group>Параметры
<object-group> – список разрешённых для spoofing подсетей в Object Group.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall screen spy-blocking spoofing exclude <object-group> |
ip firewall screen spy-blocking syn-fin
Данная команда включает блокировку TCP-пакетов, с установленными флагами SYN и FIN.
Использование отрицательной формы команды (no) отключает блокировку TCP-пакетов, с установленными флагами SYN и FIN.
Синтаксис
[no] ip firewall [no] ip firewall screen spy-blocking syn-fin
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall screen spy-blocking syn-fin |
...
Использование отрицательной формы команды (no) отключает блокировку TCP-пакетов, со всеми флагами или с набором флагов: FIN,PSH,URG.
Синтаксис
[no] ip firewall screen spy-blocking tcp-all-flag
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall screen spy-blocking tcp-all-flag |
| Scroll Pagebreak |
|---|
ip firewall screen spy-blocking tcp-no-flag
...
Использование отрицательной формы команды (no) отключает блокировку TCP-пакетов, с нулевым полем flags.
Синтаксис
[no] ip firewall screen spy-blocking tcp-no-flag
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall screen spy-blocking tcp-no-flag |
...
Использование отрицательной формы команды (no) отключает блокировку фрагментированных ICMP-пакетов.
Синтаксис
[no] ip firewall screen suspicious-packets icmp-fragment
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall screen suspicious-packets icmp-fragment |
...
Использование отрицательной формы команды (no) отключает блокировку фрагментированных пакетов.
Синтаксис
[no] ip firewall screen suspicious-packets ip-fragment
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall screen suspicious-packets ip-fragment |
...
Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов длиной более 1024 байт.
Синтаксис
[no] ip firewall screen suspicious-packets large-icmp
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall screen suspicious-packets large-icmp |
...
Использование отрицательной формы команды (no) отключает блокировку фрагментированных TCP- пакетов, с флагом SYN.
Синтаксис
[no] ip firewall screen suspicious-packets syn-fragment
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall screen suspicious-packets syn-fragment |
...
Использование отрицательной формы команды (no) отключает блокировку фрагментированных UDP-пакетов.
Синтаксис
[no] ip firewall screen suspicious-packets udp-fragment
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall screen suspicious-packets udp-fragment |
...
Использование отрицательной формы команды (no) отключает блокировку пакетов, с ID протокола в заголовке IP равном 137 и более.
Синтаксис
[no] ip firewall screen suspicious-packets unknown-protocols
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall screen suspicious-packets unknown-protocols |
...
Использование отрицательной формы команды (no) возвращает таймер к значению по умолчанию.
Синтаксис
ip firewall logging interval <NUM>
no ip firewall logging interval
Параметры
<NUM> – интервал времени в секундах [30 .. 2147483647].
Значение по умолчанию
30
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall logging interval 60 |
...
Использование отрицательной формы команды (no) отключает детальный вывод сообщений.
Синтаксис
[no] logging firewall screen detailed
Параметры
Отсутствуют.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# logging firewall screen detailed |
...
Использование отрицательной формы команды (no) отключает механизм обнаружения и логирования обнаруженных и отраженных DoS-атак.
Синтаксис
[no] logging firewall screen dos-defense <ATACK_TYPE>
Параметры
<ATACK_TYPE> – тип DoS-атаки, принимает значения:
...
Подробное описание DoS-атак приведено в разделе Управление логированием и защитой от сетевых атак#Управление защитой от сетевых атак.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# logging firewall screen dos-defense land |
...
Использование отрицательной формы команды (no) отключает механизм обнаружения и логирования обнаруженной и блокированной шпионской активности.
Синтаксис
[no] logging firewall screen spy-blocking { <ATACK_TYPE> | icmp-type <ICMP_TYPE> }Параметры
<ATACK_TYPE> – тип шпионской активности, принимает значения:
...
Подробное описание шпионских активностей приведено в разделе Управление логированием и защитой от сетевых атак#Управление защитой от сетевых атак.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# logging firewall screen spy-blocking icmp-type echo-request |
...
Использование отрицательной формы команды (no) отключает механизм обнаружения и логирования обнаруженных и блокированных нестандартных пакетов.
Синтаксис
[no] logging firewall screen suspicious-packets <PACKET_TYPE>
Параметры
< PACKET_TYPE> – тип нестандартных пакетов, принимает значения:
...
Подробное описание защиты от нестандартных пакетов приведено в разделе Управление логированием и защитой от сетевых атак#Управление защитой от сетевых атак.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# logging firewall screen suspicious-packets icmp-fragment |
...
Данная команда позволяет просматривать статистику по обнаруженным сетевым атакам.
Синтаксис
show ip firewall screens counters
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show ip firewall screens counters
DDoS:
Destination limit screen: --
Source limit screen: --
ICMP threshold screen: 1
UDP threshold screen: --
SYN flood screen: 0
Land attack screen: 1
Winnuke attack screen: --
Suspicious packets:
ICMP fragmented screen: --
UDP fragmented screen: --
Large ICMP screen: 4
Fragmented SYN screen: --
Unknown protocol screen: --
Fragmented IP screen: --
Spying:
Port scanning screen: --
IP sweep secreen: --
SYN-FIN screen: --
TCP all flags screen: --
FIN no ACK screen: --
TCP no flags screen: --
Spoofing screen: --
ICMP types:
ICMP reserved screen: --
ICMP quench screen: --
ICMP echo request screen: --
ICMP time exceeded screen: --
ICMP unreachable screen: -- |
...