300系列托管交换机的SYN速率保护
目标
拒绝服务(DOS)防御是一种提高网络安全性的网络技术。SYN速率保护是DOS防御功能,它限制端口或LAG可接收的SYN数据包数量。这用于防止网络上发生SYN泛洪。SYN泛洪是攻击者向网络发送多个SYN请求数据包时发生的一种DOS攻击。这会过载网络资源,使网络对实际流量无响应。
要使用此功能,必须在“安全套件设置”(Security Suite Settings)页面上将DoS防御启用为“系统级”(System-Level)和“接口级”(Interface-Level Prevention)。有关详细信息,请参阅300系列托管交换机上的安全套件设置。
本文介绍如何配置300系列托管交换机上的接口并应用SYN速率限制。
适用设备
· SF/SG 300系列托管交换机
软件版本
•v1.2.7.76
SYN速率保护
步骤1.登录Web配置实用程序,然后选择Security > Denial of Service Prevention > SYN Rate Protection。“SYN速率保护”页打开:
步骤2.单击Add添加SYN速率保护。系统将显示Add SYN Rate Protection窗口。
步骤3.在Interface字段中,点击与所需接口对应的单选按钮。
·端口 — 从端口下拉列表中选择SYN速率保护将应用到的端口。
· LAG — 从LAG下拉列表中,选择SYN速率保护将应用到的LAG。
步骤4.在IP地址字段中点击与所需IPv4地址对应的单选按钮。来自这些IP地址的数据包将受SYN速率保护的限制。
·用户定义 — 输入IPv4地址。
·所有地址 — 所有IPv4地址均适用。
步骤5.在Network Mask字段中,点击与所需网络掩码对应的单选按钮。
·掩码 — 以IP地址格式输入网络掩码。这将定义IP地址的子网掩码。
·前缀长度(Prefix Length) — 输入前缀长度(0到32范围内的整数)。 这将按IP地址的前缀长度定义子网掩码。
步骤6.在SYN Rate Limit字段中输入值。这是接口每秒可接收的最大SYN数据包数。
步骤7.单击“应用”。SYN速率限制应用于接口。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
13-Dec-2018 |
初始版本 |
反馈