300 Series Managed Switch의 DoS(Denial of Service) IP 프래그먼트 필터링 컨피그레이션

목표

네트워크 트래픽은 데이터그램이라는 여러 패킷을 사용하여 전송됩니다.  각 전송 방법(이더넷, 토큰 링 등)에는 처리할 수 있는 데이터그램의 최대 크기가 있습니다.  데이터그램이 전송 방법에 비해 너무 크면 작은 프래그먼트로 분할됩니다.  이 프로세스를 IP 단편화라고 합니다.대부분의 네트워크 트래픽은 프래그먼트화할 필요가 없습니다.실제로 프래그먼트된 트래픽은 DoS(Denial of Service) 공격에서와 같이 사용할 수 있습니다.  DoS 공격은 잘못된 트래픽으로 네트워크를 플러딩하고 네트워크를 느려지거나 차단합니다.300 Series Managed Switch는 IP 프래그먼트를 차단하여 DoS 공격의 네트워크 취약성을 감소시킵니다.이 문서에서는 300 Series Managed Switch에서 IP Fragments Filtering 설정을 구성하는 방법에 대해 설명합니다.

참고:IP 프래그먼트 필터는 DoS Prevention이 활성화된 경우에만 사용할 수 있습니다.  자세한 내용은 300 Series Managed Switches의 Security Suite 설정을 참조하십시오.

적용 가능한 디바이스

· SF/SG 300 Series Managed Switch

소프트웨어 버전

•1.3.0.62

IP 프래그먼트 필터 추가

1단계. 웹 구성 유틸리티에 로그인하고 Security(보안) > Denial of Service Prevention(서비스 거부 방지) > IP Fragments Filtering(IP 프래그먼트 필터링)을 선택합니다.IP Fragments Filtering 페이지가 열립니다.

2단계. 새 IP 프래그먼트 필터를 추가하려면 Add를 클릭합니다.Add IP Fragments Filtering 창이 나타납니다.

3단계. Interface 필드에서 원하는 인터페이스에 해당하는 라디오 버튼을 클릭합니다.  필터가 할당될 물리적 위치입니다.

· 포트 — 스위치의 물리적 포트입니다.  Port 드롭다운 목록에서 특정 포트를 선택합니다.

· LAG — 단일 포트로 작동하는 포트 그룹입니다.  LAG 드롭다운 목록에서 특정 LAG를 선택합니다.

4단계. IP Address 필드에서 필터링할 원하는 IPv4 주소에 해당하는 라디오 버튼을 클릭합니다.

· 사용자 정의 — 필터링할 IP 주소를 입력합니다.

· 모든 주소 — 모든 IPv4 주소가 필터링됩니다.

참고:4단계에서 모든 주소를 선택한 경우 6단계로 건너뜁니다.

5단계. Network Mask(네트워크 마스크) 필드에서 IP 주소의 서브넷 마스크를 정의하는 데 사용되는 방법에 해당하는 라디오 버튼을 클릭합니다.

· 마스크 — 네트워크 마스크 필드에 네트워크 마스크를 입력합니다.

· 접두사 길이 — 접두사 길이 필드에 접두사 길이(0~32 범위의 정수)를 입력합니다.

6단계. Apply(적용)를 클릭하여 변경 사항을 저장한 다음 Close(닫기)를 클릭하여 Add IP Fragments Filtering 창을 닫습니다.