Le filtrage SYN est une des fonctions de prévention DOS. Il est utilisé pour empêcher les connexions TCP depuis un port spécifique ou un LAG. Cela permet à l’administrateur du commutateur de bloquer les ports TCP indésirables. Les paquets destinés à ces ports TCP bloqués seront filtrés hors du système. Il est principalement utilisé pour filtrer les paquets TCP qui contiennent l'indicateur SYN.
Cet article explique comment configurer le filtrage SYN sur les commutateurs empilables de la gamme Sx500.
Commutateurs Empilables · Sx500
•v 1.2.7.76
Étape 1. Connectez-vous à l'utilitaire de configuration Web et choisissez Security > Denial of Service Prevention > SYN Filtering. La page SYN Filtering s'ouvre :
Étape 2. Cliquez sur Ajouter pour ajouter un nouveau filtre SYN. La fenêtre Ajouter un filtrage SYN apparaît.
Étape 3. Sélectionnez la case d'option correspondant au type d'interface souhaité dans le champ Interface.
· unité/logement — Dans les listes déroulantes Unité/logement, sélectionnez l'unité/logement approprié. L'unité identifie si le commutateur est actif ou membre de la pile. Le logement identifie le commutateur auquel est connecté le logement (le logement 1 est SF500 et le logement 2 est SG500). Si vous ne connaissez pas les termes utilisés, consultez Cisco Business : Glossaire des nouveaux termes.
- Port : dans la liste déroulante Port, sélectionnez le port approprié à configurer.
· LAG : sélectionnez le LAG sur lequel le STP est annoncé dans la liste déroulante LAG. Un LAG (Link Aggregate Group) est utilisé pour relier plusieurs ports entre eux. Les LAG multiplient la bande passante, augmentent la flexibilité des ports et assurent la redondance des liaisons entre deux périphériques pour optimiser l'utilisation des ports.
Étape 4. Sélectionnez la case d'option correspondant à l'adresse IPv4 souhaitée dans le champ IPv4 Address.
· User Defined : le filtre est défini sur l'adresse IP définie par l'utilisateur.
· Toutes les adresses : le filtre est défini sur toutes les adresses IP.
Étape 5. Sélectionnez la case d'option correspondant au masque de réseau souhaité dans le champ Masque de réseau.
· Mask : saisissez le masque de réseau au format d'adresse IP. Cette opération définit le masque de sous-réseau de l’adresse IP.
· Prefix length : saisissez la longueur du préfixe (entier compris entre 0 et 32). Le masque de sous-réseau est défini par la longueur de préfixe de l’adresse IP.
Étape 6. Cliquez sur la case d'option correspondant au port TCP souhaité qui doit être appliqué au filtre dans le champ Port TCP.
· Ports connus — Dans la liste déroulante Ports connus, sélectionnez un port TCP à filtrer.
· User Defined : saisissez un port TCP à filtrer.
· Tous les ports : tous les ports TCP sont filtrés.
Étape 7. Cliquez sur Apply.