二层IP地址欺骗攻击防护功能配置举例

本节介绍二层IP地址欺骗攻击防护功能的配置实例。

将安全网关的以太网口ethernet 0/0配置为l2-trust域，以太网口ethernet 0/1配置为l2-untrust域。

攻击防护组网图如下：

请按照以下步骤进行配置：

第一步：创建地址条目。

1. 从工具栏的<对象用户>下拉菜单选择『地址簿』，弹出<地址簿>对话框。
2. 点击『新建』按钮，弹出<配置地址簿>对话框。具体配置信息如下：
• 名称：l2-ip-spoof
• 从<成员>下拉菜单中选择『IP/掩码』
• 在<IP地址>和<网络掩码>文本框中，分别输入“192.168.1.0”和“24”，然后点击『添加』按钮。

6. 点击『确定』按钮并返回<地址簿>对话框。
7. 点击『关闭』按钮关闭<地址簿>对话框。

第二步：配置安全网关的接口ethernet0/0和ethernet0/1。

1. 从页面左侧导航树选择并点击“配置网络网络连接”，进入网络连接页面。
2. 选中接口列表中<ethernet0/0>对应的复选框，点击列表左上方的『编辑』按钮，弹出<接口配置>对话框。具体配置信息如下：
• 接口名：ethernet0/0
• 绑定安全域：二层安全域
• 安全域：从下拉菜单中选择“l2-trust”

3. 点击『确定』按钮保存所做配置并返回主配置页面。
4. 点击接口列表中<ethernet0/1>对应的复选框，点击列表左上方的『编辑』按钮，弹出<接口配置>对话框。具体配置信息如下：
• 接口名：ethernet0/1
• 绑定安全域：二层安全域
• 安全域：从下拉菜单中选择“l2-untrust”

5. 点击『确定』按钮保存所做配置并返回主配置页面。

第三步：配置策略规则。

1. 从页面左侧导航树选择并点击“配置安全策略”，进入策略页面。
2. 点击策略列表左上方的『新建』按钮，弹出<策略配置>对话框，显示策略基本配置选项。具体配置信息如下：
• 源安全域：l2-untrust
• 目的安全域：l2-trust
• 源地址：Any
• 目的地址：Any
• 服务簿：Any
• 行为：允许

3. 点击『确定』按钮保存所做配置并返回主配置页面。

第四步：开启l2-untrust安全域的二层IP地址欺骗攻击防护功能。

1. 从页面左侧导航树选择并点击“配置安全攻击防护”，进入攻击防护页面。
2. 从<安全域>下拉菜单中选择“l2-untrust”。
3. 选中<扫描/欺骗防护>栏中的<IP地址欺骗攻击防护>复选框，开启IP地址欺骗攻击防护功能。
4. 点击『确定』按钮保存所做配置。

第五步：在l2-untrust域中的PC上用工具构造IP或者ARP包，将包的源IP设置为192.168.1.100，向设备的ethernet0/1口发送。安全网关检测到IP欺骗攻击或者ARP攻击，给出告警信息并丢弃该包。