华为防火墙DDoS攻击防范配置实战

华为防火墙DDoS攻击防范配置实战

本文将介绍如何在华为防火墙中配置DDoS攻击防范功能，以保护企业内网的Web服务器免受SYN Flood、UDP Flood和HTTP Flood攻击。

组网需求

如图1所示，防火墙（FW）部署在内网出口处，企业内网部署了Web服务器。经检测，Web服务器经常受到SYN Flood、UDP Flood和HTTP Flood攻击，为了保障Web服务器的正常运行，需要在FW上开启攻击防范功能，用来防范以上三种类型的DDoS攻击。

图1 攻击防范组网图

配置思路

1. 在FW连接外网的接口GigabitEthernet 1/0/1上启用流量统计功能（绑定接口GigabitEthernet 1/0/1），对外网访问企业内网的流量进行统计。
2. 为了合理设置DDoS攻击防范的阈值，需要在FW上开启阈值学习功能。为了配置方便，同时启用自动应用功能。
3. 在FW上开启SYN Flood、UDP Flood和HTTP Flood攻击防范功能。各攻击防范对应的阈值先采用默认值，待阈值学习功能完成阈值学习后系统会自动应用学习结果。

操作步骤

1. 配置攻击防范参数。

[FW] interface GigabitEthernet1/0/1
[FW-GigabitEthernet1/0/1] anti-ddos flow-statistic enable
[FW-GigabitEthernet1/0/1] quit
[FW] ddos-mode detect-clean  

2. 配置阈值学习功能。

[FW] anti-ddos baseline-learn start
[FW] anti-ddos baseline-learn tolerance-value 100
[FW] anti-ddos baseline-learn apply  

3. 开启攻击防范功能。

[FW] anti-ddos syn-flood source-detect
[FW] anti-ddos udp-flood dynamic-fingerprint-learn
[FW] anti-ddos udp-frag-flood dynamic-fingerprint-learn
[FW] anti-ddos http-flood defend alert-rate 2000
[FW] anti-ddos http-flood source-detect mode basic  

配置脚本

以下仅给出与本案例有关的脚本。

#
 sysname FW
#
interface GigabitEthernet1/0/1    
 anti-ddos flow-statistic enable 
#
 anti-ddos syn-flood source-detect
 anti-ddos udp-flood dynamic-fingerprint-learn        
 anti-ddos udp-frag-flood dynamic-fingerprint-learn       
 anti-ddos http-flood defend alert-rate 2000
 anti-ddos http-flood source-detect mode basic
 anti-ddos baseline-learn tolerance-value 100
 anti-ddos baseline-learn start 
 anti-ddos baseline-learn apply   
#
return