Làm thế nào để Hạn chế Giao thông trên Junos Router Giao diện - núm vú

Để ngăn chặn một loại tấn công DoS trên router Junos của bạn, có thể sử dụng các cảnh sát Junos để cho router biết phải làm gì để hạn chế tác động của cuộc tấn công như vậy.

Một số cuộc tấn công DoS trên router hoạt động bằng cách làm tràn bộ định tuyến với lưu lượng truy cập, gửi quá nhiều lưu lượng đến các giao diện router nhanh đến mức các giao diện bị choáng ngợp và không thể điều khiển được lưu lượng thông thường nên được truyền qua giao diện.

Một phương pháp để chống lại cuộc tấn công này là sử dụng các cảnh sát Junos, bạn có thể chỉ định khi bạn xác định hành động mà một bộ lọc tường lửa nên thực hiện. Cảnh sát cho phép bạn giới hạn số lượng lưu lượng truy cập (hoặc thậm chí chỉ là một loại lưu lượng truy cập) mà một giao diện có thể nhận được, có thể hạn chế tác động của các cuộc tấn công DoS.

Cảnh sát kiểm soát băng thông tối đa cho phép (số bit trung bình của mỗi giây) và kích thước tối đa cho phép của một vụ nổ đơn lẻ khi lượng băng thông bị vượt quá. Bất kỳ lưu lượng truy cập nào nhận được vượt quá giới hạn thiết lập bị giảm.

Cảnh sát được sử dụng trong phần hành động (sau đó) của bộ lọc tường lửa. Để sử dụng chúng trong bộ lọc tường lửa, trước tiên bạn phải xác định cảnh sát. Ví dụ sau tạo ra một cảnh sát gọi là police-ssh-telnet với tốc độ truy cập tối đa là 1 Mbps và kích thước tối đa của một vụ nổ giao thông vượt quá giới hạn 25k. Giao thông vượt quá giới hạn này sẽ bị loại bỏ.

[chỉnh sửa tường lửa] fred @ router # đặt cảnh sát-ssh-telnet nếu-vượt quá giới hạn băng thông 1m [chỉnh sửa tường lửa] fred @ router # thiết lập cảnh sát-ssh-telnet nếu vượt quá giới hạn kích thước burst 25k [chỉnh sửa tường lửa] fred @ router # thiết lập cảnh sát-ssh-telnet sau đó loại bỏ

Sau đó bao gồm các cảnh sát trong một hành động lọc tường lửa. Ví dụ, bạn có thể thêm nó vào một bộ lọc tường lửa SSH-Telnet đã tồn tại trên giao diện loopback của router:

Lưu lượng phù hợp với giới hạn của cảnh sát sẽ thực hiện hành động mà bạn chỉ định trong thuật ngữ tường lửa - trong trường hợp này, nó được chấp nhận - trong khi lưu lượng vượt quá giới hạn trong cảnh sát sẽ thực hiện hành động quy định ở đó - trong trường hợp này, nó bị loại bỏ.

Luồng lưu lượng truy cập hạn chế tới Công cụ định tuyến bằng cách xác định các cảnh sát là một thực tiễn bảo mật tốt để ngăn không cho Công cụ định tuyến bị tràn ngập bởi lưu lượng không mong muốn hoặc do các cuộc tấn công có thể xảy ra trên router.Tất cả các quy trình giao thức định tuyến chạy trên Routing Engine, điều này rất quan trọng đối với hoạt động cốt lõi của router. Khi các quá trình này không thể chạy bình thường, kết quả có thể là một sự bất ổn của mạng.