跳至內容
單擊此處打開本地管理的交換機的文檔,包括CLI和API指南。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=switch-management-security

安全性

您可以對 Sophos Switch 進行安全設定。

DoS

Sophos Switch 可以監控並封鎖拒絕服務 (DoS) 攻擊。DoS 攻擊是一種網路流量,目的是使主機不堪重負並中斷其與網路的連線。

選取以開啟或關閉 DoS 保護。選取未設定以使用交換器本機設定。

開啟或關閉 DoS 後,按一下更新以儲存變更。

開啟 DoS 時,交換器會丟棄與以下 DoS 攻擊類型匹配的封包:

  • 目的地 MAC 等於來源 MAC:丟棄來源 MAC 位址和目的地 MAC 位址相同的流量。
  • LAND 攻擊目的地 IP 等於來源 IP (IPv4/IPv6):丟棄來源 IP 位址和目的地 IP 位址相同的封包。

  • TCP Blat (目的地 TCP 連接埠等於來源 TCP 連接埠):丟棄來源 TCP 和目的地 TCP 連接埠相同的 TCP 封包。

    注意

    網路時間協定 (NTP) 用戶端有時使用相同的來源連接埠和目的地連接埠。當您開啟 DoS 保護時,Sophos Switch 會將其偵測為 TCP Blat 攻擊並丟棄封包。如果您執行的是使用相同來源和目的地連接埠的舊版 NTP 用戶端,建議您關閉 DoS 保護。

  • UDP Blat (目的地 UDP 連接埠等於來源 UDP 連接埠):丟棄來源 UDP 和目的地 UDP 連接埠相同的 UDP 封包。

  • 死亡之 Ping (IPv4/IPv6):丟棄透過分片處理之長度大於 64K 位元組的封包。
  • IPv6 最小分片 (位元組):將 IPv6 分片的最小大小限制為 1240 位元組。
  • ICMP 分片 (IPv4/IPv6):丟棄分片 ICMP 封包。
  • IPv4 Ping 最大大小:將 IPv4 Ping 封包的最大長度限制為 512 位元組。
  • IPv6 Ping 最大大小:將 IPv6 Ping 封包的最大長度限制為 512 位元組。
  • Smurf 攻擊 (網路遮罩長度):將廣播 ICMP 封包的網路遮罩長度限制為 24 (x.x.x.255)。
  • TCP 最小標頭大小 (位元組):將 TCP 標頭的最小大小限制為 20 位元組。
  • TCP-SYN:丟棄設定了 SYN 旗標、未設定 ACK 旗標且來源連接埠小於 1024 的 TCP 封包。
  • 空掃描:丟棄未設定旗標且序號為零的 TCP 封包。
  • Xmas:丟棄序號為零且設定了 FIN、URG 和 PSH 旗標的 TCP 封包。
  • TCP SYN-FIN:丟棄設定了 SYN 和 FIN 旗標的 TCP 封包。
  • TCP SYN-RST:丟棄設定了 SYN 和 RST 旗標的 TCP 封包。