Sx500系列堆疊式交換機上的拒絕服務(DoS)SYN速率保護配置
目標
拒絕服務(DoS)攻擊是攻擊者試圖阻止合法使用者使用網路中的資源或服務。DoS攻擊可能導致大量時間和金錢損失。DoS攻擊防禦配置為提高網路中的安全性,並防止具有特定IP地址範圍的資料包進入網路。
TCP SYN泛洪會導致伺服器停止響應請求,因為攻擊者導致伺服器過載,請求開啟與客戶端的新連線。SYN Rate Protection頁面限制了交換機在輸入埠上接收的SYN資料包數。這樣可以停止連線到交換機的伺服器上的SYN泛洪攻擊。
附註:僅當裝置處於第2層模式時,SYN速率保護才可用。
本文介紹如何在Sx500系列堆疊式交換機上配置SYN速率保護。
適用裝置
· Sx500系列堆疊式交換器
軟體版本
· v1.2.7.76
SYN速率保護
步驟1.登入到Web配置實用程式,然後選擇Security > Denial of Service Prevention > SYN Rate Protection。SYN Rate Protection頁面開啟:
步驟2.按一下Add新增新的SYN速率限制。出現Add SYN Rate Protection視窗。
步驟3.在Interface欄位中點選與所需介面型別對應的單選按鈕。
·裝置/插槽 — 從Unit/Slot下拉選單選擇適當的裝置/插槽。裝置可識別交換器是處於作用中還是堆疊中的成員。插槽標識連線到哪個插槽的交換機(插槽1是SF500,插槽2是SG500)。 如果您不熟悉使用的術語,請檢視思科業務:新字詞詞彙表.
— 埠 — 從埠(Port)下拉選單中,選擇要配置的相應埠。
· LAG — 從LAG下拉選單中選擇通告STP的LAG。連結彙總組(LAG)用於將多個連線埠連結在一起。LAG可增加頻寬,增加埠靈活性,並在兩台裝置之間提供鏈路冗餘以最佳化埠使用。
步驟4.點選與「IP地址」欄位中所需的IP地址對應的單選按鈕。
·使用者定義 — SYN速率限制被定義為使用者定義的IP地址。
·所有地址 — 對所有IP地址定義SYN速率限制。
步驟5.點選與Network Mask欄位中所需的網路掩碼對應的單選按鈕。
·掩碼 — 輸入IP地址格式的網路掩碼。定義IP地址的子網掩碼。
·字首長度 — 輸入字首長度(介於0到32之間的整數)。 這會按IP地址的字首長度定義子網掩碼。
步驟6.在SYN速率限制欄位中輸入SYN速率限制值。此值是介面每秒可接收的SYN封包的最大值,其中PPS代表每秒封包。
步驟7.按一下Apply。
意見