在300系列托管交换机上同步(SYN)过滤配置

目标

TCP是一种传输层协议，它提供可靠、有序的数据包传输，还允许检测错误和触发重新传输的丢失数据，直到正确且完整地接收数据。在客户端发送数据之前，它会请求与同步(SYN)数据包连接到服务器以开始连接。然后，服务器向客户端发送SYN和确认(ACK)数据包，客户端发送ACK数据包以确认服务器响应。在客户端与服务器之间进行三次握手连接后，可以发送数据。

当此TCP三次握手中断时，会发生SYN泛洪攻击。恶意客户端使用SYN数据包泛洪服务器，服务器对所有恶意客户端请求使用SYN和ACK数据包进行响应，但恶意客户端不会发回ACK数据包。服务器等待ACK数据包，而ACK数据包不会到达，这会消耗合法用户的服务器资源，并最终导致网络瘫痪。SYN过滤可防止这些攻击。本文介绍如何在300系列托管交换机上配置SYN过滤。

适用设备

· SF/SG 300系列托管交换机

软件版本

•v1.2.7.76

启用拒绝服务级别防御

要应用SYN过滤，首先需要确保交换机处于正确的拒绝服务级别防御。本节介绍如何在300系列托管交换机上启用正确的防御级别。

步骤1.登录Web配置实用程序，然后选择Security > Denial of Service Prevention > Security Suite Settings。“安全套件设置”页面打开：

步骤2.在DoS防御领域，有三个预防级别。单击System-Level and Interface-Level Prevention。此级别允许您配置SYN过滤。

步骤3.单击“应用”保存配置。 

过滤TCP SYN数据包

本节介绍如何在300系列托管交换机上配置SYN过滤。

步骤1.登录Web配置实用程序并选择Security > Denial of Service Prevention > SYN Filtering。“SYN过滤”(SYN Filtering)页面打开：

步骤2.单击“添加”。系统将显示Add SYN Filtering（添加SYN过滤）窗口：

步骤3.在Interface字段中，单击其中一个可用接口选项的单选按钮：

·端口 — 允许您从Port下拉列表中选择要从中过滤SYN数据包的端口。

· LAG — 允许您从链路聚合组(LAG)下拉列表中选择要从中过滤SYN数据包的LAG。LAG将多个端口组成一个逻辑端口。

步骤4.在IPv4 Address字段中，点击其中一个可用选项的单选按钮，以定义要从以下地址过滤SYN数据包的IPv4地址/地址：

·用户定义 — 允许您输入定义SYN数据包过滤器的IPv4地址。

·所有地址 — 此选项过滤SYN数据包的所有IPv4地址。

第5步在Network Mask字段中，点击其中一个可用选项的单选按钮，以输入步骤4中配置的IP地址的网络掩码：

·掩码 — 此选项允许您输入IP地址的子网掩码。

·前缀长度(Prefix Length) — 此选项允许您以前缀格式输入子网掩码IP地址。

步骤5.在TCP Port字段中，单击其中一个可用选项以确定要过滤的TCP端口：

· Known Ports — 此选项允许您从Known Ports下拉列表中选择端口。例如，HTTP为80,TELNET为23。

·用户定义 — 此选项允许您输入要过滤的TCP端口号。

·所有端口 — 此选项过滤所有TCP端口。

步骤6.单击“应用”保存配置。对SYN过滤表进行了更改：

步骤7.（可选）要删除SYN过滤器，请在SYN过滤表中，选中要删除的SYN过滤器的复选框。然后单击删除。