Cisco Cisco SG200-26P 26-port Gigabit PoE Smart Switch ユーザーガイド

安全

DoS 

防护

 

思科 200 系列智能型交换机管理指南 

231

•

默认启用 SYN-FIN 防护 （即使已禁用 DoS 防护）。

•

如果启用了 SYN 保护，默认设置为“报告”。默认阈值为每秒 30 个 SYN 数据包。

•

默认情况下，其他所有 DoS 防护功能均为禁用状态。

配置 DoS 防护

可使用以下页面配置此功能。

安全套件设置

配置 DoS 防护全局设置并监控 SCT 的步骤：

步骤  1

单击安全 > DoS 防护 > 安全套件设置，此时将显示

安全套件设置

。

保护机制：已启用表示 SCT 已启用。

步骤  2

单击 CPU 使用率旁边的详情，以转到“CPU 使用率”页面并查看 CPU 资源利用率
信息。

步骤  3

单击 TCP SYN 保护旁边的编辑，以转到“SYN 保护”页面并启用此功能。

保护

在 SYN 攻击中，黑客可能利用网络端口对设备进行攻击，这将消耗 TCP 资源 （缓存）和 CPU 功率。

由于 CPU 使用 SCT 进行保护，流向 CPU 的 TCP 流量会受到限制。但是，如果一个或多个端口受到高速 SYN 
数据包的攻击， CPU 仅接收攻击程序的数据包，从而导致拒绝服务。

使用 SYN 保护功能时， CPU 计算每秒从每个网络端口进入 CPU 的 SYN 数据包数。

如果该数量高于阈值，将生成系统日志消息，但不会阻塞数据包。

配置 SYN 保护的步骤：

步骤  1

单击安全 > DoS 防护 > SYN 保护。

步骤  2

输入参数。

•

阻塞 SYN-FIN 数据包 - 选择以启用此功能。如果检测到同时带 SYN 和 FIN 标签的 TCP 数据包，将生成
系统日志消息。

•

保护模式 - 在以下三种模式间选择：

-

禁用

 - 

在特定接口上禁用此功能。

-

报告

 - 

生成系统日志消息。超过阈值时端口状态会更改为被攻击。