1.黑名单的基本概念
黑名单是根据报文的源IP地址进行过滤的一种方式,同基于ACL的包过滤功能相比,由于黑名单进行匹配的参数非常简单,可以实现高效率的报文过滤,从而有效地屏蔽特定IP地址发送来的报文,如图2.26所示。
图2.26 黑名单
黑名单表项可以由网络管理员手工添加,也可以由防火墙动态进行添加或删除,这种动态是与扫描攻击防范等功能配合实现的。当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图(比如地址扫描、端口扫描、试图以暴力猜测方式登录防火墙设备等)之后,便主动将攻击者的IP地址加入黑名单,之后,该IP地址发送的所有报文都将被过滤掉。
用户10.1.1.200正在进行端口扫描,系统自动将其加入黑名单;用户10.1.1.210正在进行地址扫描,自动将其加入黑名单;用户10.1.1.220试图以暴力猜测方式登录防火墙,自动将其加入黑名单。
图2.27 黑名单的动态添加功能
用户可配置的黑名单表项分为永久黑名单表项和非永久黑名单表项。永久黑名单表项建立后,一直存在,除非用户手工删除该项。对于非永久黑名单表项,用户可以指定生存时间,超出生存时间后,防火墙会自动将该黑名单表项删除,黑名单表项对应的IP地址发送的报文即可正常通过,如图2.28所示。
图2.28 黑名单的非永久老化
2.配置黑名单
在导航栏中选择“攻击防范”→“黑名单”,进入图2.29所示的页面。在“全局配置”中,选中“启用黑名单过滤功能”前的复选框,单击【确定】按钮,即可启用黑名单过滤功能。
在导航栏中选择“攻击防范”→“黑名单”,在“黑名单配置”中单击【新建】按钮,进入黑名单配置页面,如图2.30所示。
图2.29 黑名单
图2.30 新建黑名单(www.xing528.com)
3.黑名单典型配置举例
(1)组网需求 主机A和主机B分别位于防火墙Trust域和Untrust域中,现要在100分钟内过滤掉主机A发送的所有报文,如图2.31所示。
图2.31 黑名单配置组网图
(2)配置步骤
①启用黑名单过滤功能:
●在导航栏中选择“攻击防范”→“黑名单”。
●选中“启用黑名单过滤功能”前的复选框。
●单击【确定】按钮完成操作。
②新建一条黑名单表项:
●在“黑名单配置”中单击【新建】按钮。
●输入IP地址为“192.168.1.1”。
●选中“保留时间”前的复选框,并设置时间为“100”分钟。
●单击【确定】按钮完成操作。
③配置结果:
在“日志管理”→“日志报表”→“黑名单”中可以查看到新建黑名单表项的日志。
完成上述配置后,100分钟内从主机A Ping主机B不通。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。