设为首页   锐捷官网
用其他帐号登录:
查看: 1106|回复: 0

[路由器] 防火墙功能 >> 网络入口过滤

[复制链接]

761

主题

733

帖子

3830

积分

版主

Rank: 7Rank: 7Rank: 7

积分
3830
发表于 2015-4-30 14:45:41 | 显示全部楼层 |阅读模式

1、什么是网络入口过滤
很多的DoS/DDoS攻击都是采用假冒的源IP地址,网络入口过滤(Network Ingress Filtering, RFC2827)的目的就是防御这种攻击,或者限制其范围和降低攻击的机会。它通过在数据包进入网络时,检查其所声称的源 IP 地址是否满足路由通告的网络前缀,如果不是,将其过滤掉。在网络入口处的路由器上实施这种过滤机制,对于阻止不符合进入规则的假冒 IP攻击非常有效。不过,对来自合法 IP地址前缀的假冒攻击将完全没有作用。
2、如何配置网络入口过滤
缺省情况下网络入口过滤功能是关闭的,如果要启用网络入口过滤功能,请在接口模式下使用 ip ingress-filter 命令,如:
Ruijie(config-if)# ip ingress-filter log
上述命令将启用接口上的网络入口过滤功能,同时开启了网络入口过滤的日志功能;
ip ingress-filter 命令的 no形式可以禁止接口上的网络入口过滤功能,如:
Ruijie(config-if)# no ip ingress-filter log
上述命令将禁止接口上的网络入口过滤功能。
3、如何查看网络入口过滤信息
若要查看当前的 ip-mac 地址绑定记录或统计信息,请使用 show ip ingress-filter命令,如:
Ruijie(config)# show ip ingress-filter  
Firewall Network-ingress-filter is enable, blocked 0
flowsInterface FastEthernet 1/0: log is on, blocked 0 flows  
通过上述命令可以查看网络入口过滤功能是否启用,阻断了多少条非法的流等信息。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则