安全性

您可以設定Sophos Switch的安全設置，例如 DoS 防護、802.1X 身份驗證、連接埠安全，以及新增和刪除 RADIUS 和 TACACS+ 伺服器。

DoS

Sophos Switch 可以監控並封鎖拒絕服務 (DoS) 攻擊。DoS 攻擊是一種網路流量，目的是使主機不堪重負並中斷其與網路的連線。

選取開或關以開啟或關閉 DoS 保護。選擇“未設定”以使用交換器上本地配置的設定。

開啟或關閉 DoS 後，按一下更新以儲存變更。

開啟 DoS 時，交換器會丟棄與以下 DoS 攻擊類型匹配的封包：

• 目的地 MAC 等於來源 MAC：丟棄來源 MAC 位址和目的地 MAC 位址相同的流量。
• LAND 攻擊目的地 IP 等於來源 IP (IPv4/IPv6)：丟棄來源 IP 位址和目的地 IP 位址相同的封包。

• TCP Blat (目的地 TCP 連接埠等於來源 TCP 連接埠)：丟棄來源 TCP 和目的地 TCP 連接埠相同的 TCP 封包。

  注意

  網路時間協定 (NTP) 用戶端有時使用相同的來源連接埠和目的地連接埠。當您開啟 DoS 保護時，Sophos Switch 會將其偵測為 TCP Blat 攻擊並丟棄封包。如果您執行的是使用相同來源和目的地連接埠的舊版 NTP 用戶端，建議您關閉 DoS 保護。

• UDP Blat（目標 UDP 連接埠等於來源 UDP 連接埠）：丟棄來源 UDP 連接埠和目標 UDP 連接埠相同的 UDP 封包。

• 死亡之 Ping (IPv4/IPv6)：丟棄透過分片處理之長度大於 64K 位元組的封包。
• IPv6 最小分片 (位元組)：將 IPv6 分片的最小大小限制為 1240 位元組。
• ICMP 分片 (IPv4/IPv6)：丟棄分片 ICMP 封包。
• IPv4 Ping 最大大小：將 IPv4 Ping 封包的最大長度限制為 512 位元組。
• IPv6 Ping 最大大小：將 IPv6 ping 封包的最大長度限制為 512 位元組。
• Smurf 攻擊 (網路遮罩長度)：將廣播 ICMP 封包的網路遮罩長度限制為 24 (x.x.x.255)。
• TCP 最小標頭大小 (位元組)：將 TCP 標頭的最小大小限制為 20 位元組。
• TCP-SYN：丟棄設定了 SYN 旗標、未設定 ACK 旗標且來源連接埠小於 1024 的 TCP 封包。
• 空掃描：丟棄未設定旗標且序號為零的 TCP 封包。
• Xmas：丟棄序號為零且設定了 FIN、URG 和 PSH 旗標的 TCP 封包。
• TCP SYN-FIN：丟棄設定了 SYN 和 FIN 旗標的 TCP 封包。
• TCP SYN-RST：丟棄設定了 SYN 和 RST 標誌的 TCP 封包。

802.1X

Sophos Switch支援 802.1X 基於連接埠的網路存取 控制，可使用 RADIUS 或 TACACS+ 伺服器對使用者和裝置進行身份驗證。

全域設定

在「全域設定」索引標籤中，您可以啟用或停用 802.1X 驗證。您也可以管理訪客 VLAN 分配、設定訪客 VLAN ID 並選擇驗證方法。

您可以配置以下全域設定：

• 狀態：選擇“開”或“關”以開啟或關閉 802.1X 身份驗證。選擇“未設定”以使用交換器上本地配置的設定。
• 訪客 VLAN：選擇“開”或“關” 。必須選擇「開啟」才能設定訪客 VLAN ID 。選擇“未設定”以使用交換器上本地配置的設定。
• 訪客 VLAN ID：從已定義的VLAN清單中選擇一個VLAN。
• 驗證方法：從下拉清單中選擇本機使用者、 RADIUS或TACACS+ 。

配置源顯示設定的來源。

點擊“更新”儲存設置，或點擊“清除”刪除任何未儲存的更改。

連接埠設定

在「連接埠設定」索引標籤上，您可以設定連接埠設置，並使用 802.1X、MAC 驗證繞過 (MAB) 或兩者的組合來設定驗證。若要設定 MAB，請參閱設定 MAC 認證繞過 (MAB) 。

選擇要設定的端口，然後按一下“編輯” 。

您可以設定以下選項：

• 模式：請從以下選項中選擇連接埠模式：

  • 未設定：使用交換器上本地配置的設定。
  • 自動：啟用介面上的 802.1X 身份驗證。當使用基於主機的身份驗證模式時，必須選擇“自動” 。
  • 強制授權：阻止介面上所有未經認證的流量。
  • 強制取消授權：允許介面上所有未經身份驗證的流量。

• MAB 模式：請從下列選項中選擇 MAB 模式：

  • 未設定：使用交換器上本地配置的設定。
  • MAB：僅使用單株抗體。
  • 混合：請先嘗試使用 802.1X 進行身份驗證。三次嘗試失敗後，交換器改用 MAB。
  • 已停用：請勿使用 MAB。

• 驗證模式：請從以下選項中選擇身份驗證模式：

  • 未設定：使用交換器上本地配置的設定。
  • 基於連接埠：對連接到每個連接埠的主機進行身份驗證。
  • 基於主機：對單一連接埠上的所有流量進行身份驗證。

• 最大主機數：此設定僅在身份驗證模式設定為基於主機時適用。它設定可以連接到連接埠的最大主機數。設定一個值1到10。

• 訪客 VLAN：啟用或停用訪客VLAN 。使用基於主機的身份驗證模式時，必須將其關閉。
• Radius VLAN 指派：開啟或關閉RADIUS VLAN 分配。使用基於主機的身份驗證模式時，必須將其關閉。
• 重新認證：啟用或停用連接埠重新認證。
• 重新認證期：連接埠重新驗證所需的時間（以秒為單位）。設定一個值30到65535。預設值爲 3600。
• 無訊息週期：交換器在身份驗證嘗試失敗後嘗試重新進行身份驗證所需的時間（以秒為單位）。設定一個值0到65535。預設值爲 60。
• 申請期：此設定控制交換器發送 EAP 請求的頻率，單位為秒。交換器在此時間間隔內發送三個請求，然後切換到 MAB。設定一個值0到65535。預設值爲 30。
• 授權狀態：顯示指定連接埠的身份驗證狀態。

配置來源顯示連接埠設定的來源。

點擊“更新”儲存設置，或點擊“清除”刪除任何未儲存的更改。

認證主機

「已驗證主機」索引標籤顯示有關已驗證主機的資訊。

連接埠安全性

在「連接埠安全性」索引標籤上，您可以限制交換器在特定連接埠上可以學習到的 MAC 位址數量。

您可以設定以下選項：

• 連接埠：設定所套用的連接埠。
• 狀態：選擇“啟用”或“停用”來開啟或關閉連接埠安全功能。
• MAC 位址的最大數量：輸入交換器在指定連接埠上可以學習到的最大 MAC 位址數。範圍是1到256。

配置來源顯示連接埠安全設定的來源。

點擊“更新”儲存設置，或點擊“清除”刪除任何未儲存的更改。

RADIUS 伺服器

您可以使用 RADIUS 伺服器來驗證存取網路的使用者身分。RADIUS 伺服器維護一個使用者資料庫，其中包含身份驗證資訊。交換器將資訊傳遞給 RADIUS 伺服器，以驗證使用者身份，然後授權使用者存取網路。

您可以設定以下選項：

• 伺服器 ID：RADIUS 伺服器的 ID。
• 伺服器 IP：RADIUS 伺服器的 IP 位址。
• 授權連接埠：用於與 RADIUS 伺服器通訊的連接連接埠。預設連接埠是1812。
• 共用密碼：用於加密裝置與 RADIUS 伺服器之間所有 RADIUS 通訊的字串。
• 逾時：裝置在切換到下一個伺服器之前等待 RADIUS 伺服器回應的時間。預設值爲 3。
• 重試：發生故障前發送到 RADIUS 伺服器的已傳送請求數。預設值爲 3。

設定來源顯示 RADIUS 伺服器設定的來源。

若要建立新的 RADIUS 伺服器項目，請按一下「新增」 。

若要刪除 RADIUS 伺服器項目，請選擇要刪除的伺服器，然後按一下「刪除」 。

TACACS+ 伺服器

TACACS+ 伺服器為網路存取提供集中式身份驗證。TACACS+ 主要用於網路設備的管理。

您可以設定以下選項：

• 伺服器 IP：TACACS+伺服器的IP位址。
• 優先性：TACACS+伺服器的優先權。當您有多個 TACACS+ 伺服器時，優先順序決定了首先聯繫哪個伺服器進行身份驗證。
• 授權連接埠：伺服器用於身份驗證的通訊連接連接埠。預設連接埠是49。
• 共用密碼：在 TACACS+ 伺服器上設定的加密 金鑰。這必須與您的 TACACS+ 伺服器完全匹配。
• 逾時：超時時間（秒）。逾時時間指定Sophos Switch在嘗試清單中的下一個 TACACS+ 伺服器之前等待身份驗證回應的時間。預設值爲 5。

設定來源顯示 RADIUS 伺服器設定的來源。

若要建立新的 TACACS+ 伺服器項目，請按一下「新增」 。

若要刪除 TACACS+ 伺服器項目，請選擇要刪除的伺服器，然後按一下「刪除」 。

MAC ACL 和 ACE

MAC ACL 和 ACE索引標籤顯示目前定義的基於 MAC 的 ACL。

MAC ACL

若要新增新的 ACL，請按一下「新增」 ，輸入名稱（4 到 30 個字母和數字），然後按一下「儲存」 。

您可以查看以下 MAC ACL 的詳細資訊：

• 設定檔名稱：前十字韌帶的名稱。
• 設定來源：顯示指定 ACL 設定的來源。

若要刪除 ACL，請選擇要刪除的 ACL，然後按一下「刪除」 。

MAC ACE

存取控制條目 (ACE) 是確定存取 控制清單 (ACL) 流量分類的規則。您可以根據來源 MAC 位址和目標 MAC 位址、MAC 位址遮罩和 VLAN ID 等標準定義 MAC 位址 ACE。每個 MAC ACL 最多包含 16 個 ACE。每個 ACE 都是一組特定網路流量的參數，以及交換器在識別到匹配流量時的操作。

MAC ACE索引標籤顯示交換器上設定的 MAC ACE 的詳細資訊。

若要建立新的 MAC ACE，請點選「新增」 ，設定 ACE，然後點選「儲存」以儲存您的設定。

若要刪除 ACE，請選擇要刪除的 ACE，然後按一下「刪除」 。

若要更新ACE的設置，請點選「

您可以進行以下設定：

• ACL 名稱：ACE 所屬的 ACL。
• 順序：序號是交換器應用ACE的順序。從以下選項中選擇一個值1到2147483647， 和1是第一個被處理的規則。
• 動作：交換器在資料包符合條件時所採取的操作。選擇「允許」以轉送符合 ACE 標準的流量，或選擇「拒絕」捨棄該流量。
• VLAN ID：MAC位址所屬的VLAN ID。範圍是1到4094。對於任何 VLAN，請將此欄位留空。
• 來源 MAC 位址：流量來源的 MAC 位址。
• 來源 MAC 位址遮罩：來源 MAC 位址的通配符遮罩。你可以使用任意組合f和0。f與指定的位元完全匹配。0匹配任意一位。請參見 範例。
• 目的地 MAC 位址：流量傳送到的 MAC 位址。
• 目的地 MAC 位址遮罩：目標 MAC 位址的通配符遮罩。你可以使用任意組合f和0。f與指定的位元完全匹配。0匹配任意一位。請參見 範例。
• 802.1p 值：802.1p 是一種服務品質優先標準。從以下選項中選擇一個值0到7。0優先級最低。請參見 QoS。
• 乙太網路類型值：EtherType 是一個十六進位值，表示所使用的協議，是 802.1Q VLAN 標記的基礎。此選項只能用於過濾乙太網路 II 格式的資料包。請參閱乙太網路類型。

配置來源顯示 MAC ACE 設定的來源。

範例

以下是一些如何使用 MAC 位址通配符遮罩的範例。

IPv4 ACL 和 ACE

IPv4 ACL 和 ACE索引標籤顯示交換器上設定的基於 IPv4 的 ACL。

IPv4 ACL

若要新增新的 ACL，請按一下「新增」 ，輸入新 ACL 的名稱（4 到 30 個字母和數字），然後按一下「儲存」 。

您可以查看以下有關 IPv4 ACL 的詳細資訊：

• 設定檔名稱：前十字韌帶的名稱。
• 設定來源：顯示指定 ACL 設定的來源。

若要刪除 ACL，請選擇要刪除的 ACL，然後按一下「刪除」 。

IPv4 ACE

每個 IPv4存取 控管 清單(ACL) 最多包含 16 個稱為存取 控制條目 (ACE) 的單獨規則。每個 ACE 都是一組特定網路流量的參數，以及交換器在識別到匹配流量時的操作。

若要建立新的 IPv4 ACE，請按一下「新增」 。

若要刪除 ACE，請選擇要刪除的 ACE，然後按一下「刪除」 。

若要更新ACE的設置，請點選「

您可以進行以下設定：

• ACL 名稱：ACE 所屬的 ACL。
• 順序：序號是交換器應用ACE的順序。從以下選項中選擇一個值1到2147483647， 和1是第一個被處理的規則。
• 動作：交換器在資料包符合條件時所採取的操作。選擇「允許」以轉送符合 ACE 標準的流量，或選擇「拒絕」捨棄該流量。
• 服務類型：允許您設定差異化服務欄位代碼點 (DSCP) 值。輸入 0 到 63 之間的值。請參閱差異化服務欄位代碼點（DSCP） 。
• 來源 IP 位址：流量的來源IP位址。
• 來源網路遮罩：來源IP位址的子網路。
• 目的地 IP 位址：流量的目的地 IP 位址。
• 目的地網路遮罩：目標 IP 位址的子網路。
• 目的地連接埠範圍：選擇流量的目的地 連接埠範圍。請參見 連接埠範圍。
• 來源連接埠範圍：選擇流量的來源連接埠範圍。請參見 連接埠範圍。

• 通訊協定：請從下拉清單中選擇以下選項之一：

  • 任意：符合所有協議。

  • 從清單中選擇：請從協議清單中選擇以下協議之一：

    • IPv4：ICMP ：網際網路控制訊息協定 (ICMP) 允許網關或目標主機與來源主機通訊。
    • IPinIP ：IP in IP 將 IP 封包封裝起來，在兩個路由器之間建立隧道。在 IP 隧道中，IP 位址會顯示為一個單一接口，而不是多個獨立的接口。
    • TCP：傳輸控制協定（TCP）允許兩個主機進行通訊和交換資料流。它保證資料包的送達，並確保資料包按發送順序進行傳輸和接收。
    • 埃及鎊：外部網關協定 (EGP) 允許兩個相鄰的網關主機在自治系統網路中交換路由資訊。
    • IGP ：內部網關協定 (IGP) 允許自治系統網路內的網關之間交換路由資訊。
    • UDP：用戶資料報協議（UDP）是一種通訊協議，它可以傳輸資料包，但不保證資料包的送達。
    • HMP ：主機映射協定（HMP）從各種主機收集網路資訊。它可以監控整個互聯網以及單一網路內的主機。
    • RDP：可靠資料協定 (RDP) 與 TCP 類似，它保證資料包的交付，但不要求按順序交付。
    • IPv6:Rout:IPv6路由封包頭。
    • IPv6：分片：IPv6 分片頭。
    • 回覆：將資料包與預訂協議 (RSVP) 進行比對。
    • IPv6：ICMP ：網際網路控制訊息協定 (ICMP) 允許網關或目標主機與來源主機通訊。
    • OSPF：開放最短路徑優先 (OSPF) 協定是一種連結狀態分層內部網關協定 (IGP)，用於網路路由。
    • PIM ：將資料包與協定無關組播 (PIM) 進行比對。
    • L2TP:二層隧道協定 (L2TP) 支援網際網路服務供應商 (ISP) 建立 VPN。

  • 從 ID 中選取：輸入協定 ID0到255。請參閱協議編號。

• ICMP：請從下拉清單中選擇以下選項之一：

  • 任意：匹配所有 ICMP 流量。

  • 從清單中選取：請從ICMP 清單中選擇以下選項之一：

    • 迴聲回覆：裝置在收到 ICMP 回顯請求後發送的回應。
    • 目的地不可達：ICMP 封包無法到達目的地。
    • 來源抑制：路由器發送 ICMP 訊息，以緩解繁忙環境下的網路擁塞。
    • 回顯請求：從一台裝置向另一台設備發送訊息，以檢查它們是否可以通訊並測量所需時間。
    • 路由器通告：裝置發送的用於宣布其可作為路由器使用的訊息。
    • 路由器請求：主機發送的用於請求路由器訊息的訊息。
    • 超出時間：此訊息顯示 ICMP 封包的生存時間 (TTL) 在傳輸過程中已過期。
    • 時間戳記：可以在 ICMP 訊息中新增時間戳，以記錄訊息的傳送時間。
    • 時間戳回覆：當裝置收到帶有時間戳記的 ICMP 封包時，它可以記錄時間戳，並將時間戳回應欄位新增至 ICMP 封包中。
    • Traceroute：顯示資料包到達目的地途中經過的所有路由器。

  • 從 ID 中選取：輸入一個值0到255用於ICMP ID 。

• ICMP 代碼：輸入 0 到 255 之間的值。請參閱網際網路控制訊息協定（ICMP）參數。

• TCP 標幟：您可以根據Urg 、 Ack 、 Psh 、 Rst 、 Syn和Fin標誌是否設定或未設定來過濾 TCP 流量。選擇“不考慮忽略 TCP 標誌”。

配置來源顯示 IPv4 ACE 設定的來源。

IPv6 ACL 和 ACE

IPv6 ACL 和 ACE索引標籤顯示交換器上設定的基於 IPv6 的 ACL。

IPv6 ACL

若要新增新的 ACL，請按一下「新增」 ，輸入新 ACL 的名稱（4 到 30 個字母和數字），然後按一下「儲存」 。

您可以查看以下有關 IPv4 ACL 的詳細資訊：

• 設定檔名稱：前十字韌帶的名稱。
• 設定來源：顯示指定 ACL 設定的來源。

若要刪除 ACL，請選擇要刪除的 ACL，然後按一下「刪除」 。

IPv6 ACE

每個 IPv6存取 控管 清單(ACL) 最多包含 16 個稱為存取 控制條目 (ACE) 的單獨規則。每個 ACE 都是一組特定網路流量的參數，以及交換器在識別到匹配流量時的操作。

若要建立新的 IPv6 ACE，請按一下「新增」 。

若要刪除 ACE，請選擇要刪除的 ACE，然後按一下「刪除」 。

若要更新ACE的設置，請點選「

您可以進行以下設定：

• ACL 名稱：ACE 所屬的 ACL。
• 順序：序號是交換器應用ACE的順序。從以下選項中選擇一個值1到2147483647， 和1是第一個被處理的規則。
• 動作：交換器在資料包符合條件時所採取的操作。選擇「允許」以轉送符合 ACE 標準的流量，或選擇「拒絕」捨棄該流量。
• 服務類型：允許您設定差異化服務欄位代碼點 (DSCP) 值。輸入 0 到 63 之間的值。請參閱差異化服務欄位代碼點（DSCP） 。
• 來源 IP 位址：流量的來源IP位址。
• 來源 IPv6 前綴長度：來源 IPv6 位址的 IPv6 前綴長度。
• 目的地 IP 位址：流量的目的地 IP 位址。
• 目的地 IPv6 前綴長度：目標 IPv6位址的IPv6 前綴長度。
• 目的地連接埠範圍：選擇流量的目的地 連接埠範圍。請參見 連接埠範圍。
• 來源連接埠範圍：選擇流量的來源連接埠範圍。請參見 連接埠範圍。

• 通訊協定：請從下拉清單中選擇以下選項之一：

  • 任意：符合所有協議。

  • 從清單中選擇：請從協議清單中選擇以下協議之一：

    • TCP：傳輸控制協定（TCP）允許兩個主機進行通訊和交換資料流。它保證資料包的送達，並確保資料包按發送順序進行傳輸和接收。
    • UDP：用戶資料報協議（UDP）是一種通訊協議，它可以傳輸資料包，但不保證資料包的送達。
    • IPv6：ICMP ：網際網路控制訊息協定 (ICMP) 允許網關或目標主機與來源主機通訊。

  • 從 ID 中選取：輸入一個值0到255協議 ID 。請參閱協議編號。

• ICMP：請從下拉清單中選擇以下選項之一：

  • 任意：匹配所有 ICMP 流量。

  • 從清單中選取：請從ICMP 清單中選擇以下選項之一：

    • 目的地不可達：ICMP 封包無法到達目的地。
    • 數據包過大：這表明 ICMP 封包超過了網路的​​ MTU，太大而無法在該網路上傳輸。
    • 超出時間：此訊息顯示 ICMP 封包的生存時間 (TTL) 在傳輸過程中已過期。
    • 參數問題：裝置無法辨識無效參數。
    • 回顯請求：從一台裝置向另一台設備發送訊息，以檢查它們是否可以通訊並測量所需時間。
    • 迴聲回覆：裝置在收到 ICMP 回顯請求後發送的回應。
    • 路由器請求：主機發送的用於請求路由器訊息的訊息。
    • 路由器通告：裝置發送的用於宣布其可作為路由器使用的訊息。
    • Nd Ns ：這是 IPv6 鄰居發現協定 (NDP) 鄰居通告訊息。
    • Nd Na ：這是 IPv6 NDP 鄰居通告訊息。

  • 從 ID 中選取：輸入一個值0到255用於ICMP ID 。

• ICMP 代碼：輸入 0 到 255 之間的值。請參閱網際網路控制訊息協定（ICMP）參數。

• TCP 標幟：您可以根據Urg 、 Ack 、 Psh 、 Rst 、 Syn和Fin標誌是否設定或未設定來過濾 TCP 流量。選擇“不考慮忽略 TCP 標誌”。

配置來源顯示 IPv4 ACE 設定的來源。

連接埠範圍及綁定

「連接埠範圍」索引標籤可讓您指定要在 IPv4 和 IPv6存取 控制條目 (ACE) 中使用的連接埠範圍。此功能可透過允許您使用 ACE 來阻止大範圍端口或僅允許具有特定功能的主機存取小範圍端口，從而提高安全性。

連接埠範圍

若要建立新的連接埠範圍，請按一下「新增」 。

您可以進行以下設定：

• 名稱：請輸入連接埠範圍的名稱。

  提示

  我們建議使用能夠清晰標識其包含連接埠的連接埠範圍名稱。只有在為 ACE 選擇連接埠範圍時才能看到此名稱。你看不到它所包含的連接埠。

• 最小連接埠：您的設備起始連接連接埠。

• 最大連接埠：這是您產品系列的末端連接埠。

配置來源顯示連接埠範圍設定的來源。

連接埠綁定

將存取 控管 清單(ACL) 綁定到端口，會將您為該 ACL 定義的所有規則套用至這些連接埠。對於綁定了 ACL 的端口，交換機會丟棄所有與 ACL 不匹配的流量。

您可以查看交換器上各連接埠的以下資訊：

• 連接埠：ACL 綁定的連接埠。
• MAC ACL：綁定到連接埠的MAC ACL。
• IPv4 ACL：綁定到連接埠的IPv4 ACL。
• IPv6 ACL：綁定到連接埠的IPv6 ACL。

配置來源顯示連接埠綁定設定的來源。

若要綁定 ACL，請從下拉清單中選擇要綁定到連接埠的MAC ACL和IPv4 ACL或IPv6 ACL 。選擇「無」表示不為連接埠指派任何 ACL，選擇「未設定」表示使用本機交換器 UI 中的連接埠綁定設定。

按一下更新，儲存您的變更。