300系列托管交换机的安全套件设置

目标

Cisco 300系列托管交换机的安全套件提供针对拒绝服务(DoS)攻击的保护。DoS攻击使用虚假流量泛洪网络，使网络服务器资源不可用或对合法用户无响应。通常，有两种DoS攻击。暴力DoS攻击会泛洪服务器并消耗服务器和网络带宽。系统性攻击操纵TCP SYN消息等协议漏洞，使系统崩溃。本文介绍300系列托管交换机的安全套件中的可用设置。

注意：启用DoS攻击保护时，访问控制列表(ACL)和高级QoS策略在端口上不活动。

适用设备

· SF/SG 300系列托管交换机

软件版本

•1.3.0.62

安全套件设置配置

步骤1.登录Web配置实用程序，然后选择Security > Denial of Service Prevention > Security Suite Settings。“安全套件设置”页面打开：

注意：默认情况下，300系列托管交换机上已启用CPU保护机制，无法禁用。交换机使用安全核心技术(SCT)，它允许交换机处理管理和协议流量，而不管接收的总流量是多少。 

步骤2.（可选）单击“CPU利用率”字段中的“详细信息”，查看CPU利用率。有关详细信息，请参阅“CPU Utilization on 200/300 Series Managed Switches(200/300系列托管交换机上的CPU利用率)”一文。

步骤3.（可选）单击TCP SYN保护字段中的编辑，编辑TCP SYN保护设置。有关详细信息，请参阅300系列托管交换机上的同步(SYN)过滤配置文章。

步骤4.在DoS Prevention字段中，点击与要使用的DoS防御方法对应的单选按钮。可用选项包括：

·禁用 — 禁用DoS保护功能。如果选择Disable，请跳至步骤13。

· System - Level-Prevention — 启用DoS保护功能，可保护Invasor特洛伊木马、Stacheldraht Distribution、Back Orifice特洛伊木马和火星地址。

·系统 — 级别防御和接口级别保护 — 启用拒绝服务保护区中定义的所有安全措施。

步骤5.选中Stacheldraht Distribution字段中的Enable复选框，以丢弃源TCP端口号为16660的TCP数据包。

步骤6.选中Invasor Trojan字段中的Enable复选框，以丢弃目标TCP端口为2140且源TCP端口为1024的TCP数据包。

步骤7.选中Back Orifice特洛伊木马字段中的Enable复选框以丢弃目标UDP端口等于31337且源UDP端口为1024的UDP数据包。

注意：虽然有数百种DoS攻击，但上述端口通常被恶意活动利用。但是，它们也用于合法流量。  如果您的设备使用上述任何端口，该信息将被阻止。

步骤8.在“Martian Addresses”字段中单击“Edit”编辑“Martian Addresses Table”。“火星地址表”丢弃来自选定IP地址的数据包。要编辑Martian地址列表，请参阅300系列托管交换机上的拒绝服务(DoS)Martian地址配置文章。

注意：步骤9-12要求在步骤4中选择系统级和接口级防御。如果选择了其他DoS防御类型，请跳至步骤13。

步骤9.在SYN过滤字段中单击编辑，以允许管理员阻止某些TCP端口。要配置SYN过滤，请参阅300系列托管交换机上的拒绝服务(DoS)SYN过滤配置文章。

步骤10.在SYN Rate Protection字段中单击Edit以限制收到的SYN数据包的数量。要配置SYN速率保护，请参阅“SYN Rate Protection on 300 Series Managed Switches（300系列托管交换机上的SYN速率保护）”一文。

步骤11.在ICMP过滤字段中单击编辑，以允许阻止来自某些源的ICMP数据包。要配置ICMP过滤，请参阅300系列托管交换机上的互联网控制消息协议(ICMP)过滤配置一文。

步骤12.在IP Fragemented字段中单击Edit以阻止分段的IP数据包。要配置IP分段过滤，请参阅300系列托管交换机上的拒绝服务(DoS)IP分段过滤配置文章。

步骤13.单击“应用”保存更改，或单击“取消”取消更改。