Land攻击防护功能配置举例

本节介绍Land攻击防护功能的配置实例。

将安全网关的以太网口ethernet 0/0配置为trust域，以太网口ethernet 0/2配置为untrust域，以太网口ethernet 0/1配置为DMZ域。需要对DMZ域内的服务器进行Land攻击防护。

攻击防护组网图如下：

请按照以下步骤进行配置：

第一步：配置安全网关接口ethernet0/0、ethernet0/2以及ethernet0/1。

1. 从页面左侧导航树选择并点击“配置网络网络连接”，进入网络连接页面。
2. 选中接口列表中<ethernet0/0>对应的复选框，点击列表左上方的『编辑』按钮，弹出<接口配置>对话框。具体配置信息如下：
• 接口名：ethernet0/0
• 绑定安全域：三层安全域
• 安全域：从下拉菜单中选择“trust”

3. 点击『确定』按钮保存所做配置并返回主配置页面。
4. 选中接口列表中<ethernet0/2>对应的复选框，点击列表左上方的『编辑』按钮，弹出<接口配置>对话框。具体配置信息如下：
• 接口名：ethernet0/2
• 绑定安全域：三层安全域
• 安全域：从下拉菜单中选择“untrust”
• 类型：静态IP
• IP：202.1.0.1
• 网络掩码：24

6. 点击『确定』按钮保存所做配置并返回主配置页面。
7. 选中接口列表中<ethernet0/1>对应的复选框，点击列表左上方的『编辑』按钮，弹出<接口配置>对话框。具体配置信息如下：
• 接口名：ethernet0/1
• 绑定安全域：三层安全域
• 安全域：从下拉菜单中选择“dmz”
• 类型：静态IP
• IP：10.0.0.1
• 网络掩码：8

6. 点击『确定』按钮保存所做配置并返回主配置页面。

第二步：配置策略规则。

1. 从页面左侧导航树选择并点击“配置安全策略”，进入策略页面。
2. 点击策略列表左上方的『新建』按钮，弹出<策略配置>对话框，显示策略基本配置选项。具体配置信息如下：
• 源安全域：untrust
• 目的安全域：dmz
• 源地址：Any
• 目的地址：Any
• 服务簿：Any
• 行为：允许

3. 点击『确定』按钮保存所做配置并返回主配置页面。

第三步：开启untrust域的Land攻击防护功能。

1. 从页面左侧导航树选择并点击“配置安全攻击防护”，进入攻击防护页面。
2. 从<安全域>下拉菜单中选择“untrust”。
3. 选中<拒绝服务防护>栏中的<Land攻击防护>复选框，开启Land攻击防护功能。然后从<行为>下拉菜单选择“丢弃”。
4. 点击『确定』按钮保存所做配置。

第四步：检测对服务器10.110.1.1配置的Land攻击防护功能。给报文设置相同的源IP和目的IP地址，向10.110.1.1发送。安全网关检测到Land攻击，丢弃攻击包并报警。