目录
配置DDoS攻击防范
以服务器防护场景为例,介绍如何通过命令行配置DDoS攻击防范。
组网需求
如图1所示,FW部署在内网出口处,企业内网部署了Web服务器。经检测,Web服务器经常受到SYN Flood、UDP Flood和HTTP Flood攻击,为了保障Web服务器的正常运行,需要在FW上开启攻击防范功能,用来防范以上三种类型的DDoS攻击。
配置思路
- 在FW连接外网的接口GigabitEthernet 1/0/1上启用流量统计功能(绑定接口GigabitEthernet 1/0/1),对外网访问企业内网的流量进行统计。
-
在FW上开启SYN Flood、UDP Flood和HTTP Flood攻击防范功能。各攻击防范对应的阈值先采用默认值,待阈值学习功能完成阈值学习后系统会自动应用学习结果。
操作步骤
- 配置攻击防范参数。
[FW] interface GigabitEthernet1/0/1 [FW-GigabitEthernet1/0/1] anti-ddos flow-statistic enable [FW-GigabitEthernet1/0/1] quit [FW] ddos-mode detect-clean - 配置阈值学习功能。
[FW] anti-ddos baseline-learn start [FW] anti-ddos baseline-learn tolerance-value 100 [FW] anti-ddos baseline-learn apply - 开启攻击防范功能。
[FW] anti-ddos syn-flood source-detect [FW] anti-ddos udp-flood dynamic-fingerprint-learn [FW] anti-ddos udp-frag-flood dynamic-fingerprint-learn [FW] anti-ddos http-flood defend alert-rate 2000 [FW] anti-ddos http-flood source-detect mode basic
配置脚本
以下仅给出与本案例有关的脚本。
#
sysname FW
#
interface GigabitEthernet1/0/1
anti-ddos flow-statistic enable
#
anti-ddos syn-flood source-detect
anti-ddos udp-flood dynamic-fingerprint-learn
anti-ddos udp-frag-flood dynamic-fingerprint-learn
anti-ddos http-flood defend alert-rate 2000
anti-ddos http-flood source-detect mode basic
anti-ddos baseline-learn tolerance-value 100
anti-ddos baseline-learn start
anti-ddos baseline-learn apply
#
return