企业新闻
当前位置:企业新闻

解决华为交换机受到外网SNMP报文攻击的方法

来源:未知 时间:2018-12-06 13:29
 

     核心交换机S5700直接与外网相连,内部连接着服务器等设备,交换机版本为 V200R008C00SPC500,由于交换机经常受到来自外网的SNMP报文攻击,所以在交换机上做了相关的acl策略阻止SNMP报文,acl策略如下:

  #

  acl name SNMP_Deny_ACL 3998

  rule 5 deny udp destination-port eq snmp

  rule 10 deny udp destination-port eq snmptrap

  同时也在连接外网的唯一的一个接口做了调用,策略也正常启用并抓取成功,配置如下:

  interface GigabitEthernet0/0/1

  description "WAN1 Connected to Ucloud "

  port link-type access

  traffic-filter inbound acl name SNMP_Deny_ACL

  traffic-filter outbound acl name SNMP_Deny_ACL

  相关策略运行后但交换机还是能够收到外网的SNMP报文,问题并没有得到根本的解决。

  

解决方案

 

  上述在接口下调用acl策略只是针对外网的SNMP报文无法访问内部服务器等设备,只是对于内部网络的一个安全保障,但是并不能解决SNMP报文进入交换机的问题,所以必须在交换机的全局下做一个阻止外网SNMP报文并允许内部网管的SNMP报文的访问的策略,而且在全局下直接调用,相关配置如下:

  # 设置满足ACL 2000匹配条件的网管可以通过SNMP访问设备。

   system-view

  [HUAWEI] acl 2000

  [HUAWEI-basic-2000] rule permit source 192.168.10.10 0

  [HUAWEI-basic-2000] quit

  [HUAWEI] snmp-agent acl 2000

  这个就是把需要通过snmp管理我们的设备的网管ip放行,其他的都拒绝掉,这样交换机就不会再收到外网的SNMP报文攻击了。


上一篇:提醒:HPE远程监控管理软件需要紧急更新
下一篇:分布式存储的解决方案
蜀ICP备2020034250号-1   川公网安备 51010802000119号

售前客服

售前客服

电话:028-83252151

传真:028-85259033

咨询热线:15378180513
在线客服