二层IP地址欺骗攻击防护功能配置举例

本节介绍二层IP地址欺骗攻击防护功能的配置实例。

将安全网关的以太网口ethernet 0/0配置为l2-trust域，以太网口ethernet 0/1配置为l2-untrust域。

攻击防护组网图如下：

请按照以下步骤进行配置：

第一步：创建创建地址条目并指定关联二层安全域。

1. 访问“对象地址簿”，进入地址簿列表页面。
2. 点击『新建』按钮，进入地址簿基本配置页面。
3. 在<名称>文本框中输入l2-ip-spoof。
4. 在<关联安全域>文本框中输入l2-trust。
5. 点击<成员列表>相对应的『添加』按钮，进入地址簿成员配置页面。具体配置信息如下：

• 类型：IP地址
• 成员：192.168.1.0/24

6. 点击『确定』按钮并返回地址簿基本配置页面。
7. 点击『确定』按钮并返回地址簿列表页面。

第二步：配置安全网关的接口ethernet0/0和ethernet0/1。

1. 访问“网络接口”，进入接口列表页面。
2. 点击接口列表中ethernet0/0相对应的『编辑』按钮，进入接口基本配置页面。具体配置信息如下：

• 接口名：ethernet0/0
• 安全域类型：二层安全域
• 安全域：从下拉菜单中选择“l2-trust”

3. 点击『确定』按钮保存所做配置并返回主配置页面。
4. 点击接口列表中ethernet0/1相对应的『编辑』按钮，进入接口基本配置页面。具体配置信息如下：

• 接口名：ethernet0/1
• 安全域类型：二层安全域
• 安全域：从下拉菜单中选择“l2-untrust”

5. 点击『确定』按钮保存所做配置并返回主配置页面。

第三步：配置策略规则。

1. 访问“防火墙策略”，进入策略列表页面。
2. 在策略列表<源安全域>下拉菜单中选中“l2-untrust”，<目的安全域>下拉菜单中选中“l2-trust”，并点击『新建』按钮，主窗口显示策略基本配置选项。具体配置信息如下：

• 源安全域：l2-untrust
• 源地址：Any
• 目的安全域：l2-trust
• 目的地址：Any
• 服务簿：Any
• 行为：允许

3. 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。

第四步：开启l2-untrust安全域的二层IP地址欺骗攻击防护功能。

1. 访问“防火墙攻击防护”，进入攻击防护页面。
2. 从<安全域>下拉菜单中选择“l2-untrust”。
3. 选中<扫描/欺骗防护>栏中的<IP地址欺骗攻击防护>复选框，开启IP地址欺骗攻击防护功能。
4. 点击『确定』按钮保存所做配置。

第五步：在l2-untrust域中的PC上用工具构造IP或者ARP包，将包的源IP设置为192.168.1.100，向设备的ethernet0/1口发送。安全网关检测到IP欺骗攻击或者ARP攻击，给出告警信息并丢弃该包。