300系列托管交换机上的拒绝服务(DoS)IP分段过滤配置
目标
网络流量使用多个称为数据报的数据包发送。 每种传输方法(以太网、令牌环等)都具有可处理的最大数据报大小。 如果数据报对于传输方法而言太大,则会分为较小的分段。 此过程称为IP分段。大多数网络流量不必进行分段。事实上,已分段的流量可以用作拒绝服务(DoS)攻击。 DoS攻击会泛洪具有虚假流量的网络,并减缓或停止网络。300系列托管交换机可以阻止IP分段,从而降低网络受DoS攻击的漏洞。本文介绍如何在300系列托管交换机上配置IP分段过滤设置。
注意:IP分段过滤器仅在启用DoS防御时才可使用。 有关帮助,请参阅“300系列托管交换机上的安全套件设置”一文。
适用设备
· SF/SG 300系列托管交换机
软件版本
•1.3.0.62
添加IP分段过滤器
步骤1.登录到Web配置实用程序,然后选择Security > Denial Of Service Prevention > IP Fragments Filtering。“IP分片过滤”页面打开:
步骤2.单击Add添加新的IP分段过滤器。系统将显示Add IP Fragments Filtering窗口。
步骤3.在Interface字段中,点击与所需接口对应的单选按钮。 这是过滤器将分配给的物理位置。
·端口 — 交换机上的物理端口。 从Port下拉列表中选择特定端口。
· LAG — 充当单个端口的一组端口。 从LAG下拉列表中选择特定LAG。
步骤4.点击与要在IP Address字段中过滤的所需IPv4地址对应的单选按钮。
·用户定义 — 输入要过滤的IP地址。
·所有地址 — 过滤所有IPv4地址。
注意:如果在步骤4中选择了所有地址,请跳至步骤6。
步骤5.在Network Mask字段中,点击与用于定义IP地址的子网掩码的方法对应的单选按钮。
·掩码 — 在网络掩码字段中输入网络掩码。
·前缀长度(Prefix Length) — 在前缀长度(Prefix length)字段中输入前缀长度(范围为0到32的整数)。
步骤6.单击Apply保存更改,然后单击Close关闭Add IP Fragments Filtering窗口。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
11-Dec-2018 |
初始版本 |
反馈