文档编号:327
浏览:7986 评分:18
最后更新于:2009-02-03
问题描述:
内网电脑在某一时间出现了无法上网但可以ping通路由器的情况,并且在“系统状态-系统信息-系统历史记录”中,查看到“NAT Host exhausted X.X.X.X”信息,该现象属于明显的“内网电脑伪造源地址攻击”的情况。由于内网使用了三层交换机,而且三层交换机开启了路由功能,所以无法通过在路由器“安全配置”中设置“DOS/DDOS攻击防御”来解决该问题。
解决办法:
在路由器配置防火墙策略,允许来自内网电脑IP网段的数据通过路由器访问外网,禁止非内网电脑IP网段的数据通过路由器。完成上述配置后,请重启路由器。
下边我们以某企业为例说明。
设备型号:HiPER4240G
版 本: kv4240Gv2008.bin
网络环境:LAN口地址为192.168.16.1/24,他三层交换机下边还有如下几个网段:172.16.16.0/24,172.16.18.0/24,172.16.32.0/24
操作步骤:
1)先到webui/防火墙/地址组中建立一个组(这里以in_add地址组为例)包含所有内网地址如图1所示。
图1
2)在webui/防火墙/访问控制策略中,允许该地址段的地址通过路由上网如图2所示。
图2
保存后在访问控制信息列表里看到如图3所示。
图3
3)在webui/防火墙/访问控制策略中,禁止其他用户通过路由上网,其实pass就包含了所有的用户,修改pass动作为禁止即可如图4所示。
图4
4)启用LAN/IN方向的策略如图5所示。
图5
5)上述策略配置之后,把路由重启即可。