华安解密之DDoS攻防 23 实战篇之城域网防护( 二 ) _DDoS攻防

7. 配置引流和回注功能。
8. 保存配置。
管理中心需要完成以下主要功能的配置。
1. 第一次登录管理中心。
2. 创建Anti-DDoS设备。
3. 配置相应的防御策略。
4. 保存配置。
另外，还要完成对接路由器的相关配置，本举例给出的路由器配置仅作参考，现网中请根据路由器具体型号进行配置。
威睿Netflow设备支持的防御
威睿Netflow属于第三方设备，在实际使用中请以威睿公司最新Netflow版本支持的功能为准。
威睿Netflow设备支持防御的攻击列表

文章插图

0x03 配置过程配置清洗设备
步骤 1 加载License 。
<AntiDDoS> system-view [AntiDDoS] license active lic_antiddos8000_20160530.dat步骤 2 指定业务板子卡为清洗。
[AntiDDoS] firewall ddos clean-spu slot 3 card 0 [AntiDDoS] firewall ddos clean-spu slot 3 card 1步骤 3 配置Telnet功能。
配置VTY管理员界面认证方式为AAA，管理员闲置断连的时间为5分钟（缺省10分钟）。
本举例以Telnet为例介绍配置步骤。但Telnet方式有一定安全风险，如果对安全性要求很高，建议使用Stelnet方式。

[AntiDDoS] telnet server enable [AntiDDoS] user-interface vty 0 4 [AntiDDoS-ui-vty0-4] authentication-mode aaa [AntiDDoS-ui-vty0-4] user privilege level 3 [AntiDDoS-ui-vty0-4] idle-timeout 5 [AntiDDoS-ui-vty0-4] quit [AntiDDoS] aaa [AntiDDoS-aaa] manager-user atic [AntiDDoS-aaa-manager-user-atic] password  Enter Password:  Confirm Password:    [AntiDDoS-aaa-manager-user-atic] service-type telnet [AntiDDoS-aaa-manager-user-atic] quit

步骤 4 配置接口IP地址，并将各接口加入相应的安全区域。
# 配置接口IP地址。

[AntiDDoS] interface GigabitEthernet 2/0/1 [AntiDDoS-GigabitEthernet2/0/1] undo service-manage enable [AntiDDoS-GigabitEthernet2/0/1] ip address 10.1.2.2 24 [AntiDDoS-GigabitEthernet2/0/1] quit [AntiDDoS] interface GigabitEthernet 2/0/1.100 [AntiDDoS-GigabitEthernet2/0/1.100] undo service-manage enable [AntiDDoS-GigabitEthernet2/0/1.100] ip address 10.1.3.2 24 [AntiDDoS-GigabitEthernet2/0/1.100] vlan-type dot1q 100 [AntiDDoS-GigabitEthernet2/0/1.100] quit [AntiDDoS] interface GigabitEthernet 3/0/0 [AntiDDoS-GigabitEthernet3/0/0] undo service-manage enable [AntiDDoS-GigabitEthernet3/0/0] ip address 10.1.6.1 24 [AntiDDoS-GigabitEthernet3/0/0] quit

# 加入安全区域。

[AntiDDoS] firewall zone trust [AntiDDoS-zone-trust] add interface GigabitEthernet 2/0/1 [AntiDDoS-zone-trust] add interface GigabitEthernet 2/0/1.100 [AntiDDoS-zone-trust] add interface GigabitEthernet 3/0/0 [AntiDDoS-zone-trust] quit

步骤 5 打开域间缺省包过滤。
[AntiDDoS] security-policy [AntiDDoS-policy-security] default action permit [AntiDDoS-policy-security] quit步骤 6 配置SNMP功能。
SNMPv2c方式有一定安全风险，如果对安全性要求很高，建议使用SNMPv3方式。本举例以SNMPv2c为例介绍配置步骤。

[AntiDDoS] snmp-agent [AntiDDoS] snmp-agent sys-info version v2c [AntiDDoS] snmp-agent community read public@123 [AntiDDoS] snmp-agent community write private@123

步骤 7 配置清洗口。

[AntiDDoS] interface GigabitEthernet 2/0/1 [AntiDDoS-GigabitEthernet2/0/1] anti-ddos clean enable [AntiDDoS-GigabitEthernet2/0/1] anti-ddos flow-statistic enable [AntiDDoS-GigabitEthernet2/0/1] quit

步骤 8 在清洗设备上，配置生成动态路由时使用的下一跳地址。
<AntiDDoS> system-view [AntiDDoS] firewall ddos bgp-next-hop 10.1.3.1步骤 9 对生成的32位主机UNR路由进行FIB过滤。
[AntiDDoS] firewall ddos bgp-next-hop fib-filter步骤 10 在清洗设备上配置BGP功能及团体属性。

[AntiDDoS] route-policy 1 permit node 1 [AntiDDoS-route-policy] Apply community no-advertise [AntiDDoS-route-policy] quit [AntiDDoS] bgp 100 [AntiDDoS-bgp] peer 10.1.2.1 as-number 100 [AntiDDoS-bgp] import-route unr [AntiDDoS-bgp] ipv4-family unicast [AntiDDoS-bgp-af-ipv4] peer 10.1.2.1 route-policy 1 export [AntiDDoS-bgp-af-ipv4] peer 10.1.2.1 advertise-community [AntiDDoS-bgp-af-ipv4] quit [AntiDDoS-bgp] quit

完成上述配置后，清洗设备上生成的UNR路由会被引入到BGP中，并通过BGP发布到Router1 。这样，当Router1收到目的地址为1.1.1.1/32的流量时，通过查路由表，根据最长掩码匹配原则，优先将流量从接口GE1/0/1转发至清洗设备。
步骤 11 配置清洗设备的loopback地址。
[AntiDDoS] interface loopback 1 [AntiDDoS-LoopBack1] ip address 2.2.2.2 32 [AntiDDoS-LoopBack1] quit步骤 12 在清洗设备上配置MPLS功能，实现回注功能。