Land攻击防护功能配置举例

本节介绍Land攻击防护功能的配置实例。

将安全网关的以太网口ethernet 0/0配置为trust域，以太网口ethernet 0/2配置为untrust域，以太网口ethernet 0/1配置为DMZ域。需要对DMZ域内的服务器进行Land攻击防护。

攻击防护组网图如下：

请按照以下步骤进行配置：

第一步：配置安全网关接口ethernet0/0、ethernet0/2以及ethernet0/1。

1. 访问“网络接口”，进入接口列表页面。
2. 点击接口列表中ethernet0/0相对应的『编辑』按钮，进入接口基本配置页面。具体配置信息如下：

• 接口名：ethernet0/0
• 安全域类型：三层安全域
• 安全域：从下拉菜单中选择“trust”
• IP类型：静态IP
• IP/网络掩码：192.168.1.1/24

3. 点击『确定』按钮保存所做配置并返回主配置页面。
4. 点击接口列表中ethernet0/2相对应的『编辑』按钮，进入接口基本配置页面。具体配置信息如下：

• 接口名：ethernet0/2
• 安全域类型：三层安全域
• 安全域：从下拉菜单中选择“untrust”
• IP类型：静态IP
• IP/网络掩码：202.1.0.1/24

6. 点击『确定』按钮保存所做配置并返回主配置页面。
7. 点击接口列表中ethernet0/1相对应的『编辑』按钮，进入接口基本配置页面。具体配置信息如下：

• 接口名：ethernet0/1
• 安全域类型：三层安全域
• 安全域：从下拉菜单中选择“dmz”
• IP类型：静态IP
• IP/网络掩码：10.0.0.1/8

6. 点击『确定』按钮。

第二步：配置策略规则。

1. 访问“防火墙策略”，进入策略列表页面。
2. 在策略列表<源安全域>下拉菜单中选中“untrust”，<目的安全域>下拉菜单中选中“dmz”，并点击『新建』按钮，主窗口显示策略基本配置选项。具体配置信息如下：

• 源安全域：untrust
• 源地址：Any
• 目的安全域：dmz
• 目的地址：Any
• 服务簿：Any
• 行为：允许

3. 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。

第三步：开启untrust域的Land攻击防护功能。

1. 访问“防火墙攻击防护”，进入攻击防护页面。
2. 从<安全域>下拉菜单中选择“untrust”。
3. 选中<拒绝服务防护>栏中的<Land攻击防护>复选框，开启Land攻击防护功能。然后从<行为>下拉菜单选择“丢弃”。
4. 点击『确定』按钮保存所做配置。

第四步：检测对服务器10.110.1.1配置的Land攻击防护功能。给报文设置相同的源IP和目的IP地址，向10.110.1.1发送。安全网关检测到Land攻击，并报警。