h3c防火墙允许ping(h3c防火墙安全策略)

目前网络上各种病毒和攻击横行，毫无顾忌，损失巨大。为此，越来越多的路由器配备了防火墙功能。对于高端路由器，更可以通过命令来设置路由器，减少病毒和攻击带来的损失。本文以H3C路由器为例介绍如何防范DDOS攻击。

1.使用ip验证单播反向路径来检查通过路由器的每个数据包。在数据包到达网络接口的所有路由项中，如果没有到数据包源IP地址的路由，路由器将丢弃该数据包。在ISP中实现单地址反向传输路径转发，防止SMURF攻击和其他基于IP地址伪装的攻击，可以保护网络和客户免受来自互联网其他部分的入侵。

第二，要使用单播RPF，需要打开路由器的CEF交换选项，不需要将输入接口配置为CEF交换。只要路由器开启CEF功能，所有独立的网络接口都可以配置为其他交换模式。反向传输路径转发属于在一个网络接口或子接口上激活的输入功能，处理路由器收到的数据包。

第三，使用访问控制列表过滤所有列出的地址。

界面xy

ip访问-组101 in

访问列表101拒绝ip 10.0.0.0 0.255.255.255 any

访问列表101拒绝ip 192.168.0.0 0.0.255.255 any

访问列表101拒绝ip 172.16.0.0 0.15.255.255 any

访问列表101允许ip any any

4.ISP端边界路由器应该只接受源地址属于客户端网络的通信，而客户端网络应该只接受源地址没有被客户端网络过滤的通信。

访问列表190允许ip {客户端网络} {客户端网络掩码} any

访问列表190拒绝ip any any [log]

接口{内部网络接口} {网络接口号}

ip访问-组190 in

5.如果打开CEF功能，通过使用单地址反向路径转发，可以充分缩短访问控制列表的长度，从而提高路由器性能。为了支持单播RPF，只需要在路由器中全开CEF即可；打开此功能的网络接口不必是CEF交换接口。

不及物动词如果突变率设置为30%以上，许多合法的SYN数据包可能会丢失。使用show interfaces rate-limit命令检查该网络接口的正常和过度速率有助于确定适当的突变速率。这个SYN速率限制值的设定标准是在保证正常通信的基础上尽量小。

最后，一般情况下，建议测量网络正常工作时的SYN包流量，并以此基准值进行调整。测量过程中需要保证网络的正常运行，避免出现较大误差。