300系列托管交换机上的互联网控制消息协议(ICMP)过滤配置
目标
Internet控制消息协议(ICMP)是一种网络层协议,用于报告和通知错误以及进行网络发现。在使用ICMP的网络上可以执行许多攻击。例如,ICMP泛洪拒绝服务(DoS)攻击是利用ICMP协议漏洞和不正确网络配置的攻击。ICMP过滤是防止此类攻击对网络的解决方案。可以配置交换机以过滤要阻止ICMP数据包的IP地址或端口。本文介绍如何在300系列托管交换机上配置ICMP过滤。
适用设备
· SF/SG 300系列托管交换机
软件版本
•1.3.0.62
启用拒绝服务级别防御
要应用ICMP过滤,必须首先确保交换机处于正确的拒绝服务级别防御。本节介绍如何在300系列托管交换机上启用正确的防御级别。
步骤1.登录Web配置实用程序,然后选择Security > Denial of Service Prevention > Security Suite Settings。“安全套件设置”页面打开:
步骤2.在DoS预防领域,有三个预防级别。单击System-Level and Interface-Level Prevention单选按钮。此级别允许您配置ICMP过滤。
步骤3.单击“应用”保存配置。
ICMP过滤配置
本节介绍如何在300系列托管交换机上配置ICMP过滤。
步骤1.登录Web配置实用程序,然后选择Security > Denial of Service Prevention > ICMP Filtering。ICMP过滤页面打开:
步骤2.单击Add。系统将显示Add ICMP Filtering窗口。
步骤3.在接口字段中,单击其中一个可用接口选项的单选按钮:
·端口 — 允许您选择要过滤ICMP数据包的端口。
· LAG — 允许您选择要从中过滤ICMP数据包的LAG。LAG将多个端口组成一个逻辑端口。
步骤4.在IP Address字段中,单击其中一个可用选项的单选按钮,以定义要从以下位置过滤ICMP数据包的IP地址/地址:
·用户定义 — 用户定义的ICMP数据包源。
·所有地址 — 所有IP地址范围的ICMP数据包源。
第5步在Network Mask字段中,单击其中一个可用选项的单选按钮,以输入步骤4中配置的IP地址的网络掩码:
·掩码 — 点格式的子网掩码,例如255.255.255.0。
·前缀长度 — 斜线格式的子网掩码,例如\24。
步骤6.单击“应用”保存配置。
下图描述了配置后的更改:
步骤7.(可选)要删除ICMP过滤器,请在ICMP过滤表中选中要删除的ICMP过滤器的复选框,然后单击删除。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
10-Dec-2018 |
初始版本 |
反馈