安全性

您可以為 Sophos Switch 配置安全設定，例如 DoS 保護、802.1X 認證、連接埠安全性，並添加和移除 RADIUS 和 TACACS+ 伺服器。

DoS

Sophos Switch 可以監控並封鎖拒絕服務 (DoS) 攻擊。DoS 攻擊是一種網路流量，目的是使主機不堪重負並中斷其與網路的連線。

選取開或關以開啟或關閉 DoS 保護。選取未設定以使用交換器本機設定。

開啟或關閉 DoS 後，按一下更新以儲存變更。

開啟 DoS 時，交換器會丟棄與以下 DoS 攻擊類型匹配的封包：

• 目的地 MAC 等於來源 MAC：丟棄來源 MAC 位址和目的地 MAC 位址相同的流量。
• LAND 攻擊目的地 IP 等於來源 IP (IPv4/IPv6)：丟棄來源 IP 位址和目的地 IP 位址相同的封包。

• TCP Blat (目的地 TCP 連接埠等於來源 TCP 連接埠)：丟棄來源 TCP 和目的地 TCP 連接埠相同的 TCP 封包。

  Note

  網路時間協定 (NTP) 用戶端有時使用相同的來源連接埠和目的地連接埠。當您開啟 DoS 保護時，Sophos Switch 會將其偵測為 TCP Blat 攻擊並丟棄封包。如果您執行的是使用相同來源和目的地連接埠的舊版 NTP 用戶端，建議您關閉 DoS 保護。

• UDP Blat（目的地 UDP 連接埠等於來源 UDP 連接埠）：丟棄來源 UDP 和目的地 UDP 連接埠相同的 UDP 封包。

• 死亡之 Ping (IPv4/IPv6)：丟棄透過分片處理之長度大於 64K 位元組的封包。
• IPv6 最小分片 (位元組)：將 IPv6 分片的最小大小限制為 1240 位元組。
• ICMP 分片 (IPv4/IPv6)：丟棄分片 ICMP 封包。
• IPv4 Ping 最大大小：將 IPv4 Ping 封包的最大長度限制為 512 位元組。
• IPv6 Ping 最大大小：將 IPv6 Ping 封包的最大長度限制為 512 位元組。
• Smurf 攻擊 (網路遮罩長度)：將廣播 ICMP 封包的網路遮罩長度限制為 24 (x.x.x.255)。
• TCP 最小標頭大小 (位元組)：將 TCP 標頭的最小大小限制為 20 位元組。
• TCP-SYN：丟棄設定了 SYN 旗標、未設定 ACK 旗標且來源連接埠小於 1024 的 TCP 封包。
• 空掃描：丟棄未設定旗標且序號為零的 TCP 封包。
• Xmas：丟棄序號為零且設定了 FIN、URG 和 PSH 旗標的 TCP 封包。
• TCP SYN-FIN：丟棄設定了 SYN 和 FIN 旗標的 TCP 封包。
• TCP SYN-RST：丟棄設定了 SYN 和 RST 旗標的 TCP 封包。

802.1X

Sophos Switch 支援 802.1X 基於連接埠的網路存取控制，以使用 RADIUS 或 TACACS+ 伺服器來驗證使用者和設備。

整體設定

全域設定 標籤是您開啟或關閉 802.1X 認證的地方。您還可以管理來賓 VLAN 指派，設定來賓 VLAN ID，並選擇認證方法。

您可以配置以下全域設定：

• 狀態：選取開啟或關閉以開啟或關閉 802.1X 認證。選取未設定以使用交換器本機設定。
• 訪客 VLAN：選取開啟或關閉。您必須選取開啟以設定來賓 VLAN ID。選取未設定以使用交換器本機設定。
• 訪客 VLAN ID：從定義的 VLAN 列表中選取一個 VLAN。
• 驗證方法：從下拉列表中選取本地使用者、RADIUS或TACACS+。

配置來源 顯示設定的來源。

點擊 更新 以保存設置或 清除 以刪除任何未保存的更改。

連接埠設定

在 埠設定 索引標籤上，您可以配置埠設定並使用 802.1X、MAC 認證旁路 (MAB) 或兩者的組合來設置認證。要配置 MAB，請參見 配置 MAC 認證旁路 (MAB)。

選擇您要配置的埠，然後點擊 編輯。

您可以設定以下選項：

• 模式：從以下選項中選擇埠模式：

  • 未設定：使用在交換器上本機配置的設置。
  • 自動：在介面上啟用 802.1X 認證。當使用 基於主機 作為 認證模式 時，您必須選擇 自動。
  • 強制授權：阻止介面上的所有未經認證的流量。
  • 強制取消授權：允許介面上的所有未經認證的流量。

• MAB 模式：從以下選項中選擇 MAB 模式：

  • 未設定：使用在交換器上本機配置的設置。
  • MAB：僅使用 MAB。
  • 混合：首先嘗試使用 802.1X 進行認證。在三次失敗嘗試後，交換器將改用 MAB。
  • 已停用：請勿使用 MAB。

• 驗證模式：從以下選項中選擇認證模式：

  • 未設定：使用在交換器上本機配置的設置。
  • 基於連接埠：認證連接到每個埠的主機。
  • 基於主機：在單個埠上認證所有流量。

• 最大主機數：此設置僅在 認證模式 設置為 基於主機 時適用。它設置可以連接到埠的最大主機數。設置一個值從 1 到 10。

• 訪客 VLAN：開啟或關閉 來賓 VLAN。當使用 主機基礎 進行 身份驗證模式 時，必須將其關閉。
• Radius VLAN 指派：開啟或關閉 RADIUS VLAN 分配。當使用 主機基礎 進行 身份驗證模式 時，必須將其關閉。
• 重新認證：開啟或關閉端口重新身份驗證。
• 重新認證期：端口必須重新身份驗證之前的時間（以秒為單位）。設置一個值從 30 到 65535。預設值為 3600。
• 無訊息週期：在身份驗證失敗後，交換機嘗試重新身份驗證之前的時間（以秒為單位）。設置一個值從 0 到 65535。預設值為 60。
• 申請期：此設置控制交換機以秒為單位發送 EAP 請求的頻率。交換機在此間隔內發送三個請求，然後切換到 MAB。設置一個值從 0 到 65535。預設值為 30。
• 授權狀態：顯示指定端口的身份驗證狀態。

配置來源 顯示端口設置的來源。

點擊 更新 以保存設置或 清除 以刪除任何未保存的更改。

認證主機

已驗證主機 標籤顯示有關已驗證主機的信息。

連接埠安全性

在 端口安全性 標籤上，您可以限制交換機在特定端口上可以學習的 MAC 地址數量。

您可以設定以下選項：

• 連接埠：適用於該設置的端口。
• 狀態：選擇 啟用 或 禁用 以開啟或關閉 端口安全性。
• MAC 位址的最大數量：輸入交換機在指定端口上可以學習的最大 MAC 地址數量。範圍為 1 到 256。

配置來源 顯示端口安全設置的來源。

點擊 更新 以保存設置或 清除 以刪除任何未保存的更改。

RADIUS 伺服器

您可以使用 RADIUS 伺服器來驗證訪問網絡的用戶。RADIUS 伺服器維護用戶數據庫，其中包含身份驗證信息。交換器將資訊傳遞給 RADIUS 伺服器，以在授權網路存取之前驗證使用者。

您可以設定以下選項：

• 伺服器 ID：RADIUS 伺服器的 ID。
• 伺服器 IP：RADIUS 伺服器的 IP 位址。
• 授權連接埠：用於與 RADIUS 伺服器通信的連接埠。預設連接埠是 1812。
• 共用密碼：用於加密裝置與 RADIUS 伺服器之間所有 RADIUS 通信的字串。
• 逾時：裝置等待 RADIUS 伺服器的回答的時間，然後切換到下一個伺服器。預設值為 3。
• 重試：在發生故障之前發送到 RADIUS 伺服器的傳輸請求數量。預設值為 3。

配置來源 顯示 RADIUS 伺服器設定的來源。

要創建新的 RADIUS 伺服器條目，請點擊 新增。

要刪除 RADIUS 伺服器條目，請選擇要移除的伺服器並點擊 刪除。

TACACS+ 伺服器

TACACS+ 伺服器提供網路存取的集中式身份驗證。TACACS+ 主要用於網路裝置的管理。

您可以設定以下選項：

• 伺服器 IP：TACACS+ 伺服器的 IP 位址。
• 優先性：TACACS+ 伺服器的優先順序。優先順序決定在有多個 TACACS+ 伺服器時，首先聯繫哪個伺服器進行身份驗證。
• 授權連接埠：伺服器進行身份驗證時所使用的連接埠。預設連接埠是 49。
• 共用密碼：配置在您的 TACACS+ 伺服器上的加密金鑰。這必須與您的 TACACS+ 伺服器完全匹配。
• 逾時：逾時（秒）。超時指定了 Sophos Switch 等待身份驗證回應的時間，然後再嘗試列表中的下一個 TACACS+ 伺服器。預設值為 5。

配置來源 顯示 RADIUS 伺服器設定的來源。

要創建新的 TACACS+ 伺服器條目，請點擊 Add。

要刪除 TACACS+ 伺服器條目，選擇您要移除的伺服器，然後點擊 Delete。

MAC ACL 和 ACE

MAC ACL & ACE 標籤顯示當前定義的基於 MAC 的 ACL。

MAC ACL

要添加新的 ACL，請點擊 Add，輸入 Name，由 4 到 30 個字母和數字組成，然後點擊 Save。

您可以查看 MAC ACL 的以下詳細資訊：

• 設定檔名稱：ACL 的名稱。
• 設定來源：顯示指定 ACL 設置的來源。

要刪除 ACL，選擇您要移除的 ACL，然後點擊 Delete。

MAC ACE

存取控制條目 (ACE) 是決定存取控制列表 (ACL) 流量分類的規則。您可以根據標準定義 MAC 地址 ACE，例如來源和目標 MAC 地址和掩碼、VLAN ID 和服務質量 (QoS)。

MAC ACE 標籤顯示您交換機上配置的 MAC ACE 的詳細資訊。

要創建新的 MAC ACE，請點擊 Add，配置 ACE，然後點擊 Save 以保存您的設置。

要刪除 ACE，選擇您要移除的 ACE，然後點擊 Delete。

要更新 ACE 的設置，請點擊 Edit 。

您可以進行以下設定：

• ACL 名稱：ACE 所屬的 ACL。
• 順序：序列號是交換機應用 ACE 的順序。從 1 到 2147483647 中選擇一個值，1 是第一個處理的規則。
• 動作：如果數據包符合標準，開關所採取的行動。選擇 允許 以轉發符合 ACE 標準的流量，或 拒絕 以捨棄它。
• VLAN ID：MAC 地址所屬的 VLAN ID。範圍為 1 到 4094。對於任何 VLAN，請保持該字段為空。
• 來源 MAC 位址：流量來源的 MAC 地址。
• 來源 MAC 位址遮罩：來源 MAC 地址的通配符掩碼。您可以使用 f 和 0 的任何組合。 f 精確匹配指定的位。0 匹配任何位。請參見 範例。
• 目的地 MAC 位址：流量發送到的 MAC 地址。
• 目的地 MAC 位址遮罩：目的 MAC 地址的通配符掩碼。您可以使用 f 和 0 的任何組合。 f 精確匹配指定的位。0 匹配任何位。請參見 範例。
• 802.1p 值：802.1p 是一個 QoS 優先級標準。從 0 到 7 中選擇一個值。0 是最低優先級。請參見 QoS。
• 以太類型值：以太類型是一個十六進制值，表示所使用的協議，並且是 802.1Q VLAN 標記的基礎。您只能使用此選項過濾以太網 II 格式的數據包。請參見 以太類型。

配置來源 顯示 MAC ACE 設置的來源。

範例

以下是如何使用 MAC 地址通配符掩碼的一些示例。

IPv4 ACL 和 ACE

IPv4 ACL & ACE 標籤顯示在交換機上配置的基於 IPv4 的 ACL。

IPv4 ACL

要添加新的 ACL，請點擊 Add，輸入新 ACL 的名稱，長度為 4 到 30 個字母和數字，然後點擊 Save。

您可以查看 IPv4 ACL 的以下詳細資訊：

• 設定檔名稱：ACL 的名稱。
• 設定來源：顯示指定 ACL 設置的來源。

要刪除 ACL，選擇您要移除的 ACL，然後點擊 Delete。

IPv4 ACE

每個 IPv4 存取控制清單 (ACL) 包含最多 16 條稱為存取控制項 (ACE) 的個別規則。每個 ACE 是針對特定網路流量的參數集，以及當交換機識別匹配流量時的行動。

要創建新的 IPv4 ACE，請點擊 Add。

要刪除 ACE，請選擇要移除的 ACE，然後點擊 Delete。

要更新 ACE 的設置，請點擊 Edit 。

您可以進行以下設定：

• ACL 名稱：ACE 所屬的 ACL。
• 順序：序列號是交換機應用 ACE 的順序。從 1 到 2147483647 中選擇一個值，1 是第一個處理的規則。
• 動作：如果數據包符合標準，開關所採取的行動。選擇 允許 以轉發符合 ACE 標準的流量，或 拒絕 以捨棄它。
• 服務類型：允許您設置差異化服務字段代碼點 (DSCP) 值。輸入 0 到 63 之間的值請參見 差異化服務字段代碼點 (DSCP)。
• 來源 IP 位址：流量的來源 IP 位址。
• 來源網路遮罩：來源 IP 位址 的子網路遮罩。
• 目的地 IP 位址：流量的目的地 IP 位址。
• 目的地網路遮罩：目的地 IP 位址 的子網路遮罩。
• 目的地連接埠範圍：為流量選擇一個目的地連接埠範圍。請參見 連接埠範圍。
• 來源連接埠範圍：為流量選擇一個來源連接埠範圍。請參見 連接埠範圍。

• 通訊協定：從下拉列表中選擇以下選項之一：

  • 任意：匹配所有協議。

  • 從列表中選擇：從協議列表中選擇以下協議之一：

    • IPv4:ICMP：網際網路控制訊息協定（ICMP）允許閘道或目的主機與來源主機進行通信。
    • IPinIP：IP in IP 將 IP 封包封裝以在兩個路由器之間創建隧道。IP in IP 隧道顯示為單一介面，而不是幾個獨立的介面。
    • TCP：傳輸控制協定（TCP）允許兩個主機進行通信並交換數據流。它保證封包的傳遞，並確保封包按發送的順序傳輸和接收。
    • EGP：外部閘道協定（EGP）允許兩個相鄰的閘道主機在自治系統網絡中交換路由資訊。
    • IGP：內部閘道協定（IGP）允許在自治系統網絡內的閘道之間交換路由資訊。
    • UDP：用戶數據報協定（UDP）是一種傳輸封包但不保證交付的通信協定。
    • HMP：主機映射協定（HMP）從各種主機收集網絡資訊。它監控互聯網和單一網絡中的主機。
    • RDP：可靠數據協定（RDP）類似於 TCP，保證封包交付但不要求按順序交付。
    • IPv6:路由：IPv6 的路由標頭。
    • IPv6:片段:IPv6的片段標頭。
    • 回覆：將數據包與保留協議（RSVP）匹配。
    • IPv6:ICMP:網際網路控制訊息協定（ICMP）允許閘道或目的主機與來源主機進行通信。
    • OSPF：開放最短路徑優先（OSPF）協議是一種鏈路狀態分層內部網關協議（IGP），用於網絡路由。
    • PIM:將數據包與協議獨立多播（PIM）匹配。
    • L2TP:第二層隧道協議（L2TP）支持ISP創建VPN。

  • 從 ID 中選取：輸入一個協議ID，範圍從0到255。請參見協議號碼。

• ICMP：從下拉列表中選擇以下選項之一：

  • 任意：匹配所有ICMP流量。

  • 從清單中選取：從ICMP列表中選擇以下選項之一：

    • 回音回覆:設備在接收到ICMP回音請求後發送的響應。
    • 目的地不可達:ICMP數據包無法到達其目的地。
    • 來源抑制：路由器發送的ICMP消息，以減輕繁忙環境中的網絡擁塞。
    • 回音請求:從一個裝置發送到另一個裝置的消息，以檢查它們是否可以通信並測量所需的時間。
    • 路由器通告：裝置發送的消息，以宣告其作為路由器的可用性。
    • 路由器請求:主機發送的消息，以請求路由器信息。
    • 超出時間：此消息表示ICMP數據包的生存時間（TTL）在傳輸中過期。
    • 時間戳記：可以將時間戳添加到ICMP消息中，以記錄它們發送的時間。
    • 時間戳回覆:當裝置接收到帶有時間戳的ICMP數據包時，可以記錄該時間戳並將其時間戳回覆字段添加到ICMP數據包中。
    • Traceroute：顯示數據包在到達目的地的過程中經過的所有路由器。

  • 從 ID 中選取：為ICMP ID輸入一個值，範圍從0到255。

• ICMP 代碼：輸入 0 到 255 之間的值查看互聯網控制消息協議（ICMP）參數。

• TCP 標幟：您可以根據Urg、Ack、Psh、Rst、Syn和Fin標誌是否為 Set或Unset來過濾TCP流量。選擇 不在乎 以忽略TCP標誌。

配置來源顯示IPv4 ACE設置的來源。

IPv6 ACL 和 ACE

IPv6 ACL & ACE索引標籤顯示在交換機上配置的基於IPv6的ACL。

IPv6 ACL

要添加新的 ACL，請點擊 Add，輸入新 ACL 的名稱，長度為 4 到 30 個字母和數字，然後點擊 Save。

您可以查看 IPv4 ACL 的以下詳細資訊：

• 設定檔名稱：ACL 的名稱。
• 設定來源：顯示指定 ACL 設置的來源。

要刪除 ACL，選擇您要移除的 ACL，然後點擊 Delete。

IPv6 ACE

每個IPv6存取控制清單（ACL）最多包含16條稱為存取控制條目（ACE）的個別規則。每個 ACE 是針對特定網路流量的參數集，以及當交換機識別匹配流量時的行動。

要創建新的IPv6 ACE，請單擊新增。

要刪除 ACE，請選擇要移除的 ACE，然後點擊 Delete。

要更新 ACE 的設置，請點擊 Edit 。

您可以進行以下設定：

• ACL 名稱：ACE 所屬的 ACL。
• 順序：序列號是交換機應用 ACE 的順序。從 1 到 2147483647 中選擇一個值，1 是第一個處理的規則。
• 動作：如果數據包符合標準，開關所採取的行動。選擇 允許 以轉發符合 ACE 標準的流量，或 拒絕 以捨棄它。
• 服務類型：允許您設置差異化服務字段代碼點 (DSCP) 值。輸入 0 到 63 之間的值請參見 差異化服務字段代碼點 (DSCP)。
• 來源 IP 位址：流量的來源 IP 位址。
• 來源 IPv6 前綴長度：來源IPv6的IPv6前綴長度。
• 目的地 IP 位址：流量的目的地 IP 位址。
• 目的地 IPv6 前綴長度：目的地IPv6的IPv6前綴長度。
• 目的地連接埠範圍：為流量選擇一個目的地連接埠範圍。請參見 連接埠範圍。
• 來源連接埠範圍：為流量選擇一個來源連接埠範圍。請參見 連接埠範圍。

• 通訊協定：從下拉列表中選擇以下選項之一：

  • 任意：匹配所有協議。

  • 從列表中選擇：從協議列表中選擇以下協議之一：

    • TCP：傳輸控制協定（TCP）允許兩個主機進行通信並交換數據流。它保證封包的傳遞，並確保封包按發送的順序傳輸和接收。
    • UDP：用戶數據報協定（UDP）是一種傳輸封包但不保證交付的通信協定。
    • IPv6:ICMP:網際網路控制訊息協定（ICMP）允許閘道或目的主機與來源主機進行通信。

  • 從 ID 中選取：為協議ID輸入一個值，範圍從0到255。請參見協議號碼。

• ICMP：從下拉列表中選擇以下選項之一：

  • 任意：匹配所有ICMP流量。

  • 從清單中選取：從ICMP列表中選擇以下選項之一：

    • 目的地不可達:ICMP數據包無法到達其目的地。
    • 封包過大:這表示 ICMP 封包超過網路的 MTU，無法在該網路上傳輸。
    • 超出時間：此消息表示ICMP數據包的生存時間（TTL）在傳輸中過期。
    • 參數問題：裝置無法解釋無效的參數。
    • 回音請求:從一個裝置發送到另一個裝置的消息，以檢查它們是否可以通信並測量所需的時間。
    • 回音回覆:設備在接收到ICMP回音請求後發送的響應。
    • 路由器請求:主機發送的消息，以請求路由器信息。
    • 路由器通告：裝置發送的消息，以宣告其作為路由器的可用性。
    • Nd Ns:這是一個 IPv6 鄰居發現協定 (NDP) 的鄰居廣告訊息。
    • Nd Na:這是一個 IPv6 NDP 鄰居廣告訊息。

  • 從 ID 中選取：為ICMP ID輸入一個值，範圍從0到255。

• ICMP 代碼：輸入 0 到 255 之間的值查看互聯網控制消息協議（ICMP）參數。

• TCP 標幟：您可以根據Urg、Ack、Psh、Rst、Syn和Fin標誌是否為 Set 或 Unset來過濾TCP流量。選擇 不關心忽略TCP標誌。

配置來源顯示IPv4 ACE設置的來源。

連接埠範圍及綁定

連接埠範圍 索引標籤讓您指定在 IPv4 和 IPv6 存取控制條目 (ACE) 中使用的連接埠範圍。此功能通過讓您使用 ACE 阻止大量連接埠或僅允許特定功能的主機使用小範圍的連接埠來提高安全性。

連接埠範圍

要創建新的連接埠範圍，請點擊 新增。

您可以進行以下設定：

• 名稱：輸入您的連接埠範圍的名稱。

  Tip

  我們建議使用明確識別其包含的連接埠的連接埠範圍名稱。您只能在為 ACE 選擇連接埠範圍時看到此名稱。您無法看到它包含的連接埠。

• 最小連接埠：您範圍的起始連接埠。

• 最大連接埠：您範圍的結束連接埠。

配置來源 顯示連接埠範圍設定的來源。

連接埠綁定

將存取控制清單 (ACL) 綁定到連接埠會將您為該 ACL 定義的所有規則應用於這些連接埠。對於綁定了 ACL 的連接埠，交換機會丟棄所有不符合 ACL 的流量。

您可以查看交換機上端口的以下信息：

• 連接埠：與ACL綁定的端口。
• MAC ACL：綁定到端口的MAC ACL。
• IPv4 ACL：綁定到端口的IPv4 ACL。
• IPv6 ACL：綁定到端口的IPv6 ACL。

配置來源顯示埠綁定設定的來源。

要綁定ACL，從下拉列表中選擇要綁定到埠的MAC ACL和IPv4 ACL或IPv6 ACL。選擇無以不為埠分配任何ACL，或選擇未設定以使用本地交換機UI中的埠綁定設定。

按一下更新，儲存您的變更。