HP交换机5300病毒抑制功能原理及简单实现

　　对于企业网络，网络防病毒技术越来越受到管理者的高度重视，因为病毒的泛滥会直接影响办公及业务，造成高额的经济损失。现在网络中普遍采用的反病毒解决方案，如防病毒软件、防病毒防火墙、入侵检测系统等，并不能免受诸如Sasser、Slammer等蠕虫病毒或新病毒肆意入侵所造成的严重的破坏。出现这种现象的主要原因在于：

　　一、反病毒技术主要依靠病毒特征码来识别病毒，在没有出现能识别这种特征码之前，用户依旧处于被动的被攻击的地位。及在出现病毒及防病毒特征码出现之前的一段时间内，类似蠕虫的病毒就可以以毫秒级的速度不被限制的进行传播，造成网络带宽被耗尽、网络的传输设备如交换机的内存、ＣPU被耗尽、所有交换机的端口被阻塞。

　　二、入侵检测系统技术(IPS)曾被广泛的认为可以解决上述的问题，因它不依赖病毒的特征码，也无需人工干预，当出现病毒侵袭时，显示一点或多点对多点的连接数量增加，造成整体网络流量负载增加，网络状态异常，显示病毒出现预兆的报警信息。

　　HP通过在5300XL系列交换机的免费软件, 通过Virus Throtting功能，将网络防病毒技术提高到一个新的层次，这种技术并不是依靠病毒特征码进行病毒的识别，它无需外置IPS模块，而是根据类似蠕虫病毒的特性来进行病毒的划分，识别可路由ＶLAN上的数据特性，可通过简单的系统软件免费升级便可智能的进行病毒的抑制、阻断的防御，在不增加网络负担、管理复杂的前提下，将对病毒的反应所需的时间缩短到病毒出现的时间。

　　病毒抑制功能的实现在配置上主要分为以下几步：

一、在全局模式下对不同的连接次数设定敏感度

5308switch(config)#connection-rate-filter sensitivity<low|medium|high|aggressive>
抑制模式    同一源地址连接请求时间频率    对目的主机连接频率    处罚时间间隔
Low    < 0.1 秒    54    < 30 秒
Medium    < 1.0 秒    37    30－60秒
High    < 1.0 秒    22    60－90秒
Aggressive    < 1.0 秒    15    90－120秒
    
二、配置端口抑制模式

在全局配置模式下配置端口抑制
5308switch(config)#filter connection-rage <port-list> <notify-only|throttle|block>
如果交换机检测到从一台主机发出特定数量可路由的ip连接请求
notify-only: 产生错误日志,发送信息到snmp主机；
throttle: 产生错误日志,发送信息到snmp主机，同时在处罚间隔内阻断连接端口，处罚时间过期后，端口允许此主机进行网络连接，同时检测端口数据流量，如果依旧出现可疑的行为，交换机阻断连接端口；
block: 产生错误日志,发送信息到snmp主机，同时阻断所有路由与交换的流量数据；
举例：
 hp5308(config)#connection-rate-filter sensitivity low
 hp5308(config)#filter connection-rate b1 notify-only
 hp5308(config)#filter connection-rate a1-a4 throttle
 hp5308(config)#filter connection-rate b9 block

三、ACL的端口抑制

　　此功能可对源IP地址、TCP/UDP端口等进行端口抑制
举例：
   hp5308（config）#show config
     startup configuration:
     hostname “hp5308”
     connction-rate-filter sensitivity medium
     ip access-list connection-rate-filter “ignore server”
         filter ip 192.168.0.0 0.0.0.255
         ignore ip 0.0.0.0 255.255.255.255
         exit
     vlan 2
        untagged a1-a4
        Ip add 192.168.1.1 255.255.255.0
        Ip connection-rate-filter-access-group “ignore server”
    Filter connection-rage a1-a4 bloack

　　中国新闻技联网络媒体专业委员主任、中国计算机学会中文信息技术专委会主任李彦魁先生在《中国新闻技联网络媒体专业委员会第二届年会暨新技术新产品发布会》上对HP网络评价为：有了网络，就有了网络病毒，作为“解药”的杀毒软件，只能是亡羊补牢，有时面对如洪水般泛滥的网络病毒，束手无策，有看法，没办法。面对如此困惑，HP把高速公路网管理和对付SARS的理念用在了网络病毒的防护上，早发现、早报告、早隔离、早治疗，实现了基于网络流量的内网主动防御系统。