Справочник команд cli (02. 04. 2020) Версия по 5

Справочник команд CLI (ESR)
484
•
•
•
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip proxy https redirect-port
3001
urls local
Данной командой в профиль фильтрации добавляется локальный список url-адресов и действий для данного списка
Использование отрицательной формы команды
(no) устанавливает значение по умолчанию.
Синтаксис
urls local action { redirect-url }
no urls local
Параметры
– список URL для которых будет применяться действие;
– действие, которое будет происходить для http-запросов на адреса, описанные в указанном списке
URL. Возможные значения:
permit – пропускать http-запросы;
deny – блокировать http-запросы;
redirect – перенаправлять запросы на определенный url-адрес.
– url-адрес для перенаправления http-запросов. Указывается только в режиме redirect.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-PROPOSAL
Пример
esr(config-profile)# urls local OGU_DENY action deny

Справочник команд CLI (ESR)
485
•
•
•
urls remote
Данной командой в профиль фильтрации добавляется ссылка на удаленный список url-адресов и действий для данного списка
Использование отрицательной формы команды
(no) устанавливает значение по умолчанию.
Синтаксис
urls remote action { redirect-url }
no urls remote
Параметры
– имя файла, содержащее список URL и расположенного на сервере прописанном в команде ip http proxy server-url (см. раздел ip http proxy server-url
). Имя файла задается строкой до 31 символов
.;
– действие, которое будет происходить для http-запросов на адреса, описанные в файле с указанным именем
. Возможные значения:
permit – пропускать http-запросы;
deny – блокировать http-запросы;
redirect – перенаправлять запросы на определенный url-адрес.
– url-адрес для перенаправления http-запросов. Указывается только в режиме redirect.
Необходимый уровень привилегий
15
Командный режим
CONFIG-PROFILE
Пример
esr(config-profile)# urls remote http-deny action deny

Справочник команд CLI (ESR)
486
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
23 Управление логированием и защитой от сетевых атак
Управление защитой от сетевых атак ip firewall screen dos-defense icmp-threshold ip firewall screen dos-defense land ip firewall screen dos-defense limit-session-destination ip firewall screen dos-defense limit-session-source ip firewall screen dos-defense syn-flood ip firewall screen dos-defense udp-threshold ip firewall screen dos-defense winnuke ip firewall screen spy-blocking fin-no-ack ip firewall screen spy-blocking icmp-type destination-unreachable ip firewall screen spy-blocking icmp-type echo-request ip firewall screen spy-blocking icmp-type reserved ip firewall screen spy-blocking icmp-type source-quench ip firewall screen spy-blocking icmp-type time-exceeded ip firewall screen spy-blocking ip-sweep ip firewall screen spy-blocking port-scan ip firewall screen spy-blocking spoofing ip firewall screen spy-blocking syn-fin ip firewall screen spy-blocking tcp-all-flags ip firewall screen spy-blocking tcp-no-flag ip firewall screen suspicious-packets icmp-fragment ip firewall screen suspicious-packets ip-fragment ip firewall screen suspicious-packets large-icmp ip firewall screen suspicious-packets syn-fragment ip firewall screen suspicious-packets udp-fragment ip firewall screen suspicious-packets unknown-protocols
Управление оповещением о сетевых атаках ip firewall logging interval logging firewall screen detailed logging firewall screen dos-defense logging firewall screen spy-blocking logging firewall screen suspicious-packets show ip firewall screens counters
Управление защитой от сетевых атак
ip firewall screen dos-defense icmp-threshold
Данная команда включает защиту от
ICMP flood атак. При включенной защите ограничивается количество icmp-пакетов всех типов в секунду для одного адреса назначения.
Использование отрицательной формы команды
(no) отключает защиту от ICMP flood атак.
Синтаксис
ip firewall screen dos-defense icmp-threshold { }
no ip firewall screen dos-defense icmp-threshold
Параметры
– количество icmp-пакетов в секунду задается в диапазоне [1..10000]

Справочник команд CLI (ESR)
487
Значение по умолчанию
Выключено
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen dos-defense icmp-threshold
2000
ip firewall screen dos-defense land
Данная команда включает защиту от land-атак. При включенной защите блокируются пакеты с одинаковыми source и destination ip, и флагом SYN в заголовке TCP.
Использование отрицательной формы команды
(no) отключает защиту от land-атак.
Синтаксис
[no] ip firewall screen dos-defense land
Параметры
Команда не содержит параметров
Значение по умолчанию
Выключено
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen dos-defense land

Справочник команд CLI (ESR)
488
ip firewall screen dos-defense limit-session-destination
Когда таблица ip-сессий хоста переполняется, он больше не в состоянии организовывать новые сессии и отбрасывает запросы
(такое может происходить при различных DoS-атаках: SYN flood, UDP flood, ICMP flood, и т.д.). Команда включает ограничение количества одновременных сессий на основании адреса назначения
, которое смягчает DoS-атаки.
Использование отрицательной формы команды
(no) снимает ограничение на количество одновременных ip-сессий на основании адреса назначения.
Синтаксис
ip firewall screen dos-defense limit-session-destination { }
no ip firewall screen dos-defense limit-session-destination
Параметры
– ограничение количества ip-сессий задается в диапазоне [1..10000].
Значение по умолчанию
Выключено
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen dos-defense limit-session-destination
1000
ip firewall screen dos-defense limit-session-source
Когда таблица ip-сессий хоста переполняется, он больше не в состоянии организовывать новые сессии и отбрасывает запросы
(такое может происходить при различных DoS-атаках: SYN flood, UDP flood, ICMP flood, и т.д.). Команда включает ограничение количества одновременных сессий на основании адреса источника
, которое смягчает DoS-атаки.
Использование отрицательной формы команды
(no) снимает ограничение на количество одновременных ip-сессий на основании адреса источника.
Синтаксис
ip firewall screen dos-defense limit-session-source { }
no ip firewall screen dos- defense limit-session-source

Справочник команд CLI (ESR)
489
Параметры
– ограничение количества ip-сессий задается в диапазоне [1..10000].
Значение по умолчанию
Выключено
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen dos-defense limit-session-source
1000
ip firewall screen dos-defense syn-flood
Данная команда включает защиту от
SYN flood атак. При включенной защите ограничивается количество
TCP пакетов с установленным флагом SYN в секунду для одного адреса назначения.
Использование отрицательной формы команды
(no) отключает защиту от SYN flood атак.
Синтаксис
ip firewall screen dos-defense syn-flood { } [src-dsr]
no ip firewall screen dos- defense syn-flood
Параметры
– максимальное количество TCP-пакетов с установленным флагом SYN в секунду задается в диапазоне
[1..10000].
src-dst – ограничение количества TCP-пакетов с установленным флагом SYN на основании адреса источника и адреса назначения
Значение по умолчанию
Выключено
Необходимый уровень привилегий
15
Командный режим
CONFIG

Справочник команд CLI (ESR)
490
Пример
esr(config)# ip firewall screen dos-defense syn-flood
100
src-dsr
ip firewall screen dos-defense udp-threshold
Данная команда включает защиту от
UDP flood атак. При включенной защите ограничивается количество
UDP пакетов в секунду для одного адреса назначения.
Использование отрицательной формы команды
(no) отключает защиту от UDP flood.
Синтаксис
ip firewall screen dos-defense udp-threshold { }
no ip firewall screen dos-defense udp-threshold
Параметры
– максимальное количество UDP-пакетов в секунду задается в диапазоне [1..10000].
Значение по умолчанию
Выключено
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen dos-defense udp-threshold
ip firewall screen dos-defense winnuke
Данная команда включает защиту от winnuke-атак. При включенной защите блокируются TCP-пакеты с установленным флагом
URG и 139 портом назначения.
Использование отрицательной формы команды
(no) отключает защиту от winnuke-атак.
Синтаксис
[no] ip firewall screen dos-defense winnuke
Параметры
Команда не содержит параметров

Справочник команд CLI (ESR)
491
Значение по умолчанию
Выключено
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen dos-defense winnuke
ip firewall screen spy-blocking fin-no-ack
Данная команда включает блокировку
TCP-пакетов с установленным флагом FIN и не установленным флагом
ACK.
Использование отрицательной формы команды
(no) отключает блокировку TCP-пакетов с установленным флагом
FIN и не установленным флагом ACK.
Синтаксис
[no] ip firewall screen spy-blocking fin-no-ack
Параметры
Команда не содержит параметров
Значение по умолчанию
Выключено
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking fin-no-ack

Справочник команд CLI (ESR)
492
ip firewall screen spy-blocking icmp-type destination-unreachable
Данная команда включает блокировку всех
ICMP-пакетов 3 типа (destination-unreachable), включая пакеты
, сгенерированные самим маршрутизатором.
Использование отрицательной формы команды
(no) отключает блокировку ICMP-пакетов 3 типа.
Синтаксис
[no] ip firewall screen spy-blocking icmp-type destination-unreachable
Параметры
Команда не содержит параметров
Значение по умолчанию
Выключено
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking icmp-type destination-unreachable
ip firewall screen spy-blocking icmp-type echo-request
Данная команда включает блокировку всех
ICMP пакетов 8 типа (echo-request), включая пакеты, сгенерированные самим маршрутизатором
Использование отрицательной формы команды
(no) отключает блокировку ICMP-пакетов 8 типа.
Синтаксис
[no] ip firewall screen spy-blocking icmp-type echo-request
Параметры
Команда не содержит параметров
Значение по умолчанию
Выключено

Справочник команд CLI (ESR)
493
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking icmp-type echo-request
ip firewall screen spy-blocking icmp-type reserved
Данная команда включает блокировку всех
ICMP-пакетов 2 и 7 типов (reserved), включая пакеты, сгенерированные самим маршрутизатором
Использование отрицательной формы команды
(no) отключает блокировку ICMP-пакетов 2 и 7 типов.
Синтаксис
[no] ip firewall screen spy-blocking icmp-type reserved
Параметры
Команда не содержит параметров
Значение по умолчанию
Выключено
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking icmp-type reserved
ip firewall screen spy-blocking icmp-type source-quench
Данная команда включает блокировку всех
ICMP-пакетов 4 типа (source quench), включая пакеты, сгенерированные самим маршрутизатором
Использование отрицательной формы команды
(no) отключает блокировку ICMP-пакетов 4 типа.

Справочник команд CLI (ESR)
494
Синтаксис
[no] ip firewall screen spy-blocking icmp-type source-quench
Параметры
Команда не содержит параметров
Значение по умолчанию
Выключено
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking icmp-type source-quench
ip firewall screen spy-blocking icmp-type time-exceeded
Данная команда включает блокировку всех
ICMP-пакетов 11 типа (time exceeded), включая пакеты, сгенерированные самим маршрутизатором
Использование отрицательной формы команды
(no) отключает блокировку ICMP-пакетов 11 типа.
Синтаксис
[no] ip firewall screen spy-blocking icmp-type time-exceeded
Параметры
Команда не содержит параметров
Значение по умолчанию
Выключено
Необходимый уровень привилегий
15
Командный режим
CONFIG

Справочник команд CLI (ESR)
495
Пример
esr(config)# ip firewall screen spy-blocking icmp-type time-exceeded
ip firewall screen spy-blocking ip-sweep
Данная команда включает защиту от
IP-sweep атак. При включенной защите, если в течение заданного в параметрах интервала приходит более
10 ICMP-запросов от одного источника, первые 10 запросов пропускаются маршрутизатором
, а 11 и последующие отбрасываются на оставшееся время интервала.
Использование отрицательной формы команды
(no) отключает защиту от ip-sweep атак.
Синтаксис
ip firewall screen spy-blocking ip-sweep { }
no ip firewall screen spy-blocking ip- sweep
Параметры
– интервал выявления ip sweep атаки, задается в миллисекундах [1..1000000].
Значение по умолчанию
Выключено
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking ip-sweep
1000
ip firewall screen spy-blocking port-scan
Данная команда включает защиту от port scan атак. Если в течение первого заданного интервала времени
() на один источник приходит более 10 TCP-пакетов с флагом SYN на разные TCP- порты
, то такое поведение фиксируется как port scan атака и все последующие пакеты такого рода от источника блокируются на второй заданный интервал времени
().
Использование отрицательной формы команды
(no) отключает защиту от port scan атак.
Синтаксис
ip firewall screen spy-blocking port-scan { } [ ]
no ip firewall screen spy-blocking port-scan

Справочник команд CLI (ESR)
496
Параметры
– интервал в миллисекундах, в течении которого будет фиксироваться port scan атака
[1..1000000].
– время блокировки в миллисекундах [1..1000000].
Значение по умолчанию
Выключено
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking port-scan
100 1000
ip firewall screen spy-blocking spoofing
Данная команда включает защиту от
IP spoofing атак. При включенной защите маршрутизатор проверяет пакеты на соответствие адреса источника и записей в таблице маршрутизации и в случае несоответствия пакет отбрасывается
. Например, если пакет с адресом источника 10.0.0.1/24 приходит на интерфейс
Gi1/0/1, а в таблице маршрутизации данная подсеть располагается за интерфейсом
Gi1/0/2, то считается, что адрес источника был подменен.
Использование отрицательной формы команды
(no) отключает защиту от ip spoofing атак.
Синтаксис
[no] ip firewall screen spy-blocking spoofing
Параметры
Команда не содержит параметров
Значение по умолчанию
Выключено
Необходимый уровень привилегий
15
Командный режим
CONFIG

Справочник команд CLI (ESR)
497
Пример
esr(config)# ip firewall screen spy-blocking spoofing
ip firewall screen spy-blocking syn-fin
Данная команда включает блокировку
TCP-пакетов, с установленными флагами SYN и FIN.
Использование отрицательной формы команды
(no) отключает блокировку TCP-пакетов, с установленными флагами
SYN и FIN.
Синтаксис
[no] ip firewall screen spy-blocking syn-fin
Параметры
Команда не содержит параметров
Значение по умолчанию
Выключено
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking syn-fin
ip firewall screen spy-blocking tcp-all-flags
Данная команда включает блокировку
TCP-пакетов, со всеми флагами или с набором флагов: FIN, PSH,
URG. Обеспечивается защита от атаки XMAS.
Использование отрицательной формы команды
(no) отключает блокировку TCP-пакетов, со всеми флагами или с набором флагов
: FIN,PSH,URG.