300 Series Managed Switch의 Security Suite 설정

다운로드 옵션

  • PDF     (186.1 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (131.8 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (144.5 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2018년 12월 10일
문서 ID:SMB1076

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

300 Series Managed Switch의 Security Suite 설정

목표

Cisco 300 Series Managed Switches의 Security Suite는 DoS(Denial of Service) 공격으로부터 보호합니다. DoS 공격은 잘못된 트래픽으로 네트워크를 플러딩하므로 네트워크 서버 리소스를 사용할 수 없거나 합법적인 사용자에게 응답하지 않습니다. 일반적으로 두 가지 유형의 DoS 공격이 있습니다. 무작위 대입 DoS 공격은 서버를 플러딩하고 서버 및 네트워크 대역폭을 사용합니다. 체계적인 공격은 충돌 시스템에 대한 TCP SYN 메시지와 같은 프로토콜 취약성을 조작합니다. 이 문서에서는 300 Series Managed Switches의 Security Suite에서 사용할 수 있는 설정에 대해 설명합니다.

참고: DoS 공격 보호가 활성화된 경우 포트에서 ACL(Access Control List) 및 고급 QoS 정책이 활성화되지 않습니다.

적용 가능한 디바이스

· SF/SG 300 Series Managed Switch

소프트웨어 버전

•1.3.0.62

Security Suite 설정 구성

1단계. 웹 구성 유틸리티에 로그인하고 보안 > 서비스 거부 방지 > 보안 제품군 설정을 선택합니다. Security Suite 설정 페이지가 열립니다.

참고: CPU 보호 메커니즘은 300 Series Managed Switches에서 기본적으로 활성화되며 비활성화할 수 없습니다. 이 스위치는 SCT(Secure Core Technology)를 사용하며, 이를 통해 총 트래픽을 수신하더라도 스위치가 관리 및 프로토콜 트래픽을 처리할 수 있습니다. 

2단계. (선택 사항) CPU Utilization(CPU 사용률) 필드에서 Details(세부사항)를 클릭하여 CPU 사용률을 확인합니다. 자세한 내용은 200/300 Series Managed Switch의 CPU 사용률을 참조하십시오.

3단계. (선택 사항) TCP SYN Protection(TCP SYN 보호) 필드에서 Edit(수정)를 클릭하여 TCP SYN 보호 설정을 편집합니다. 자세한 내용은 300 Series Managed Switches의 SYN(Synchronize) Filtering Configuration(SYN(SYN) 필터링 컨피그레이션)을 참조하십시오.

4단계. DoS Prevention(DoS 방지) 필드에서 사용하려는 DoS 방지 방법에 해당하는 라디오 버튼을 클릭합니다. 사용 가능한 옵션은 다음과 같습니다.

· Disable — DoS 보호 기능을 비활성화합니다. Disable(비활성화)을 선택한 경우 13단계로 건너뜁니다.

· System - Level-Prevention — Invasor Trojan, Stacheldraw Distribution, Back Orifice Trojan 및 Martian 주소로부터 보호하는 DoS 보호 기능을 활성화합니다.

· System - Level-Prevention 및 Interface-Level Protection — Denial of Service Protection(서비스 거부 보호) 영역에 정의된 모든 보안 조치를 활성화합니다.

5단계. Stacheldraw Distribution 필드의 Enable 확인란을 선택하여 소스 TCP 포트 번호가 16660인 TCP 패킷을 삭제합니다.

6단계. Invalor Trojan 필드에서 Enable 확인란을 선택하여 대상 TCP 포트가 2140이고 소스 TCP 포트가 1024인 TCP 패킷을 삭제합니다.

7단계. Back Orifice Trojan 필드의 Enable 확인란을 선택하여 대상 UDP 포트가 31337이고 소스 UDP 포트가 1024인 UDP 패킷을 삭제합니다.

참고: 수백 건의 DoS 공격이 있지만 위에 언급된 포트는 악의적인 활동에 일반적으로 이용됩니다. 그러나 합법적인 트래픽에도 사용됩니다.  위의 포트 중 하나를 사용하는 디바이스가 있는 경우 해당 정보가 차단됩니다.

8단계. Martian Addresses 필드에서 Edit를 클릭하여 Martian Addresses 테이블을 편집합니다. Martian Addresses 테이블은 선택한 IP 주소의 패킷을 버립니다. Martian 주소 목록을 수정하려면 300 Series Managed Switches의 DoS(Denial of Service) Martian Address Configuration을 참조하십시오.

참고: 9-12단계에서는 4단계에서 시스템 레벨 및 인터페이스 레벨 방지를 선택해야 합니다. 다른 DoS 방지 유형을 선택한 경우 13단계로 건너뜁니다.

9단계. SYN Filtering(SYN 필터링) 필드에서 Edit(수정)를 클릭하여 관리자가 특정 TCP 포트를 차단할 수 있도록 합니다. SYN 필터링을 구성하려면 300 Series Managed Switch의 DoS(Denial of Service) SYN Filtering Configuration(서비스 거부(DoS) SYN 필터링 컨피그레이션) 문서를 참조하십시오.

10단계. SYN Rate Protection(SYN 속도 보호) 필드에서 Edit(수정)를 클릭하여 수신된 SYN 패킷 수를 제한합니다. SYN Rate Protection을 구성하려면 300 Series Managed Switches의 SYN Rate Protection을 참조하십시오.

11단계. 특정 소스의 ICMP 패킷을 차단하려면 ICMP Filtering 필드에서 Edit를 클릭합니다. ICMP 필터링을 구성하려면 300 Series Managed Switch의 ICMP(Internet Control Message Protocol) Filtering Configuration을 참조하십시오.

12단계. 프래그먼트된 IP 패킷을 차단하려면 IP Fragmented 필드에서 Edit를 클릭합니다. IP 프래그먼트 필터링을 구성하려면 300 Series Managed Switch의 DoS(Denial of Service) IP Fragments Filtering Configuration(서비스 거부(DoS) IP 프래그먼트 필터링 컨피그레이션) 문서를 참조하십시오.

13단계. 적용을 클릭하여 변경 사항을 저장하거나 취소를 클릭하여 변경 사항을 취소합니다.

개정 이력

개정 게시 날짜 의견
1.0
10-Dec-2018
최초 릴리스

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의