إعدادات مجموعة الأمان على المحولات المدارة 300 Series

الهدف

توفر مجموعة الأمان على المحولات المدارة طراز 300 من Cisco الحماية من هجمات رفض الخدمة (DoS). يهاجم DoS شبكات التدفق بحركة مرور خاطئة، مما يجعل موارد خادم الشبكة غير متوفرة أو غير مستجيبة للمستخدمين الشرعيين. وبشكل عام، هناك نوعان من هجمات رفض الخدمة الفعلية. تغرق هجمات رفض الخدمة (DoS) العنيفة الخادم وتستهلك عرض النطاق الترددي للخادم والشبكة. تعالج الهجمات المنهجية نقاط ضعف البروتوكولات مثل رسالة TCP SYN إلى أنظمة التعطل. يشرح هذا المقال الإعدادات المتاحة في مجموعة الأمان على المحولات المدارة فئة 300.

ملاحظة: لا تكون قوائم التحكم في الوصول (ACL) وسياسات جودة الخدمة المتقدمة نشطة على منفذ ما عند تمكين حماية هجوم رفض الخدمة (DoS).

الأجهزة القابلة للتطبيق

· المحولات المدارة SF/SG 300 Series

إصدار البرامج

•1.3.0.62

تكوين إعدادات مجموعة الأمان

الخطوة 1. قم بتسجيل الدخول إلى الأداة المساعدة لتكوين الويب واختر الأمان > منع الخدمة > إعدادات مجموعة الأمان. يتم فتح صفحة إعدادات مجموعة الأمان:

ملاحظة: يتم تمكين آلية حماية وحدة المعالجة المركزية (CPU) بشكل افتراضي على المحولات المدارة من السلسلة 300 ولا يمكن تعطيلها. يستخدم المحول تقنية Secure Core (SCT)، والتي تسمح للمحول بمعالجة إدارة حركة مرور البروتوكول بغض النظر عن مقدار حركة مرور البيانات الإجمالية التي يتم استقبالها. 

الخطوة 2. (إختياري) انقر فوق التفاصيل في حقل إستخدام وحدة المعالجة المركزية لعرض إستخدام وحدة المعالجة المركزية. راجع المقالة إستخدام وحدة المعالجة المركزية (CPU) على المحولات المدارة طراز 200/300 Series للحصول على مزيد من المعلومات.

الخطوة 3. (إختياري) انقر فوق تحرير في حقل حماية نظام TCP لتحرير إعدادات حماية نظام TCP. راجع تكوين تصفية مزامنة المقالة (SYN) على المحولات المدارة من السلسلة 300 للحصول على مزيد من المعلومات.

الخطوة 4. في حقل منع رفض الخدمة (DoS)، انقر فوق زر الراديو الذي يتوافق مع طريقة منع رفض الخدمة (DoS) التي تريد إستخدامها. الخيارات المتاحة هي:

· تعطيل — تعطيل ميزة حماية رفض الخدمة (DoS). إذا تم إختيار "تعطيل"، فقم بالتخطي إلى الخطوة 13.

· النظام - منع المستوى - يتيح ميزات حماية رفض الخدمة (DoS) التي تحمي من غزو طروادة، وتوزيع Stacheldraht، والتصفح الخلفي لطروادة، وعناوين أهل المريخ.

· النظام - الوقاية على مستوى الخدمة والحماية على مستوى الواجهة - يمكن من إتخاذ جميع التدابير الأمنية المحددة في منطقة الحماية ضد رفض الخدمة.

الخطوة 5. حدد خانة الاختيار enable في حقل توزيع Stacheldraht لتجاهل حزم TCP باستخدام رقم منفذ TCP للمصدر 16660.

الخطوة 6. حدد خانة الاختيار enable في حقل Invasor Trojan لتجاهل حزم TCP مع غاية TCP ميناء من 2140 ومصدر TCP ميناء من 1024.

الخطوة 7. حدد خانة الاختيار enable في حقل FrontManage Trojan الخلفي لتجاهل حزم UDP باستخدام منفذ UDP الوجهة الذي يساوي 31337 ومنفذ UDP المصدر لعام 1024.

ملاحظة: في حين أن هناك مئات من هجمات رفض الخدمة (DoS)، يتم إستخدام المنافذ المذكورة أعلاه بشكل شائع للنشاط الضار. غير أنها تستخدم أيضا للمرور المشروع.  إذا كان لديك جهاز يستخدم أي من المنافذ المذكورة أعلاه، فسيتم حظر هذه المعلومات.

الخطوة 8. انقر فوق تحرير في حقل العناوين المريخية لتحرير جدول العناوين المريخية. يتجاهل جدول عناوين Martian الحزم من عناوين IP المحددة. لتحرير قائمة عناوين Martian، ارجع إلى تكوين عنوان Martian لرفض الخدمة (DoS) على المحولات المدارة فئة 300.

ملاحظة: تتطلب الخطوات 9-12 إختيار الوقاية على مستوى النظام وعلى مستوى الواجهة في الخطوة 4. تخطي الخطوة 13 إذا قمت باختيار نوع آخر لمنع رفض الخدمة (DoS).

الخطوة 9. انقر فوق تحرير في حقل تصفية SYN للسماح للمسؤول بحظر منافذ TCP معينة. لتكوين تصفية SYN، ارجع إلى تكوين تصفية نظام رفض الخدمة (DoS) على المحولات المدارة من السلسلة 300.

الخطوة 10. انقر فوق تحرير في حقل "حماية معدل SYN" لتحديد عدد حزم SYN التي تم تلقيها. لتكوين حماية معدل SYN، ارجع إلى المقالة حماية معدل SYN على المحولات المدارة من السلسلة 300.

الخطوة 11. انقر فوق تحرير في حقل تصفية ICMP للسماح بحظر حزم ICMP من مصادر معينة. لتكوين تصفية ICMP، ارجع إلى المقالة تكوين تصفية بروتوكول رسائل التحكم في الإنترنت (ICMP) على المحولات المدارة من السلسلة 300.

الخطوة 12. انقر فوق تحرير في حقل IP المجزأ لحظر حزم IP المجزأة. لتكوين تصفية أجزاء IP، ارجع إلى تكوين تصفية أجزاء IP الخاصة برفض الخدمة (DoS) على المحولات المدارة من السلسلة 300.

الخطوة 13. انقر فوق تطبيق لحفظ التغييرات أو انقر فوق إلغاء لإلغاء التغييرات.