跳至內容
部分或全部頁面已經過機器翻譯。
單擊此處打開本地管理的交換機的文檔,包括CLI和API指南。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=switch-management-security

安全性

您可以為 Sophos Switch 設定安全設定,例如 DoS 防護、802.1X 驗證、連接埠安全,以及新增與移除 RADIUS 和 TACACS+ 伺服器。

DoS

Sophos Switch 可以監控並封鎖拒絕服務 (DoS) 攻擊。DoS 攻擊是一種網路流量,目的是使主機不堪重負並中斷其與網路的連線。

選取以開啟或關閉 DoS 保護。選擇「未設定」以使用交換器上配置的本地設定。

開啟或關閉 DoS 後,按一下更新以儲存變更。

開啟 DoS 時,交換器會丟棄與以下 DoS 攻擊類型匹配的封包:

  • 目的地 MAC 等於來源 MAC:丟棄來源 MAC 位址和目的地 MAC 位址相同的流量。
  • LAND 攻擊目的地 IP 等於來源 IP (IPv4/IPv6):丟棄來源 IP 位址和目的地 IP 位址相同的封包。

  • TCP Blat (目的地 TCP 連接埠等於來源 TCP 連接埠):丟棄來源 TCP 和目的地 TCP 連接埠相同的 TCP 封包。

    注意

    網路時間協定 (NTP) 用戶端有時使用相同的來源連接埠和目的地連接埠。當您開啟 DoS 保護時,Sophos Switch 會將其偵測為 TCP Blat 攻擊並丟棄封包。如果您執行的是使用相同來源和目的地連接埠的舊版 NTP 用戶端,建議您關閉 DoS 保護。

  • UDP 盲發(目的地 UDP 連接埠等於來源 UDP 連接埠):當源 UDP 連接埠與目的地 連接埠相同時,會捨棄 UDP 封包。

  • 死亡之 Ping (IPv4/IPv6):丟棄透過分片處理之長度大於 64K 位元組的封包。
  • IPv6 最小分片 (位元組):將 IPv6 分片的最小大小限制為 1240 位元組。
  • ICMP 分片 (IPv4/IPv6):丟棄分片 ICMP 封包。
  • IPv4 Ping 最大大小:將 IPv4 Ping 封包的最大長度限制為 512 位元組。
  • IPv6 最大 Ping 尺寸:將 IPv6 ping 封包的最大長度限制為 512 位元組。
  • Smurf 攻擊 (網路遮罩長度):將廣播 ICMP 封包的網路遮罩長度限制為 24 (x.x.x.255)。
  • TCP 最小標頭大小 (位元組):將 TCP 標頭的最小大小限制為 20 位元組。
  • TCP-SYN:丟棄設定了 SYN 旗標、未設定 ACK 旗標且來源連接埠小於 1024 的 TCP 封包。
  • 空掃描:丟棄未設定旗標且序號為零的 TCP 封包。
  • Xmas:丟棄序號為零且設定了 FIN、URG 和 PSH 旗標的 TCP 封包。
  • TCP SYN-FIN:丟棄設定了 SYN 和 FIN 旗標的 TCP 封包。
  • TCP SYN-RST:捨棄設定有 SYN 和 RST 標誌的 TCP 封包。

802.1X

Sophos Switch 支援基於 802.1X 連接埠的網路存取 控制,可透過 RADIUS 或 TACACS+ 伺服器驗證使用者與裝置身分。

整體設定

全球設定」索引標籤是您啟用或停用 802.1X 驗證的所在位置。您亦可管理訪客 VLAN 分配設定、設定訪客 VLAN ID,並選擇驗證方式。

您可以設定以下全域設定:

  • 狀態:選擇開啟 或關閉以啟用或停用 802.1X 驗證。選擇「未設定」以使用交換器上配置的本地設定。
  • 訪客 VLAN:選擇開啟關閉。您必須選擇「開啟」以設定訪客 VLAN ID。選擇「未設定」以使用交換器上配置的本地設定。
  • 訪客 VLAN ID:從已定義的虛擬區域網路清單中選擇一個虛擬區域網路。
  • 驗證方法:從下拉式清單中選擇「本地使用者」、「RADIUS」或「TACACS+」。

設定來源顯示設定項目的原始來源。

點擊「更新」以儲存設定,或點擊「清除」以刪除任何未儲存的變更。

連接埠設定

在「連接埠設定」索引標籤中,您可以設定連接埠參數,並透過 802.1X、MAC 驗證繞過 (MAB) 或兩者組合的方式設定驗證機制。要設定 MAB,請參閱MAC 驗證繞過 (MAB)

選擇您要設定的連接埠,然後點擊「編輯」。

您可以設定以下選項:

  • 模式:請從以下選項中選擇連接埠模式:

    • 未設定:使用在交換器上本地設定的設定。
    • 自動:在介面上啟用 802.1X 驗證。當使用主機為基礎的 驗證模式時,必須選擇自動
    • 強制授權:在介面上封鎖所有未經認證的流量。
    • 強制取消授權:允許所有未經認證的流量通過此介面。

  • MAB 模式:請從以下選項中選擇 MAB 模式:

    • 未設定:使用在交換器上本地設定的設定。
    • MAB:僅使用MAB。
    • 混合:請先嘗試使用 802.1X 進行驗證。經過三次失敗嘗試後,該開關改用MAB替代方案。
    • 已停用:請勿使用 MAB。

  • 驗證模式:請從以下選項中選擇驗證模式:

    • 未設定:使用在交換器上本地設定的設定。
    • 基於連接埠:驗證連接至每個連接埠的宿主機。
    • 基於主機:驗證單一連接埠上的所有流量。

  • 最大主機數:此設定僅在驗證模式設定為基於主機時生效。此設定值決定單一連接埠可連接的主機最大數量。設定一個介於110之間的數值。

  • 訪客 VLAN:開啟或關閉訪客 VLAN。當使用基於主機的 驗證模式時,您必須關閉此功能。
  • Radius VLAN 指派:開啟或關閉RADIUS VLAN 分配功能。當使用基於主機的 驗證模式時,您必須關閉此功能。
  • 重新認證:開啟或關閉連接埠重新驗證功能。
  • 重新認證期:連接埠必須重新驗證的時間(以秒為單位)。設定一個介於3065535 之間的數值。預設值為 3600
  • 無訊息週期:在驗證失敗後,開關嘗試重新驗證所需的時間(以秒為單位)。設定一個介於065535 之間的數值。預設值為 60
  • 申請期:此設定控制交換器發送 EAP 請求的頻率,單位為秒。此開關在此間隔內發送三次請求後,便會切換至MAB模式。設定一個介於065535 之間的數值。預設值為 30
  • 授權狀態:顯示指定連接埠的驗證狀態。

設定來源顯示連接埠設定的來源。

點擊「更新」以儲存設定,或點擊「清除」以刪除任何未儲存的變更。

認證主機

已驗證主機」索引標籤顯示已驗證主機的相關資訊。

連接埠安全性

「連接埠安全」索引標籤頁中,您可以限制交換器在特定連接埠上可學習的MAC位址數量。

您可以設定以下選項:

  • 連接埠:設定所適用的連接埠。
  • 狀態:選擇「啟用」或「停用」以開啟或關閉連接埠安全功能
  • MAC 位址的最大數量:請輸入交換器可在指定連接埠上學習的最大MAC位址數量。範圍為 1256

設定來源顯示連接埠安全設定的來源。

點擊「更新」以儲存設定,或點擊「清除」以刪除任何未儲存的變更。

RADIUS伺服器

您可以使用 RADIUS 伺服器來驗證存取網路的使用者。RADIUS 伺服器維護使用者資料庫,其中包含驗證資訊。交換器會將資訊傳遞至 RADIUS 伺服器,在授權網路存取前先對使用者進行驗證。

您可以設定以下選項:

  • 伺服器識別碼:RADIUS 伺服器的識別碼。
  • 伺服器 IP:RADIUS 伺服器的 IP 位址。
  • 授權連接埠:用於與 RADIUS 伺服器通訊的連接埠。預設連接埠為1812
  • 共用密碼:用於加密裝置與 RADIUS 伺服器之間所有 RADIUS 通訊的加密金鑰。
  • 逾時:裝置在切換至下一個伺服器前,等待 RADIUS 伺服器回應的時間長度。預設值為 3
  • 重試:發生故障前傳送至 RADIUS 伺服器的傳輸請求數量。預設值為 3

設定來源顯示 RADIUS 伺服器設定的來源。

若要建立新的 RADIUS 伺服器項目,請點擊「新增」。

要刪除 RADIUS 伺服器條目,請選取要移除的伺服器,然後點擊「刪除」

TACACS+ 伺服器

TACACS+ 伺服器提供集中式認證以管理網路存取權限。TACACS+ 主要用於網路裝置的管理。

您可以設定以下選項:

  • 伺服器 IP:TACACS+ 伺服器的 IP 位址。
  • 優先性:TACACS+ 伺服器的優先級。當您擁有多個TACACS+伺服器時,優先順序決定了系統在進行伺服器驗證時首先聯繫哪個伺服器。
  • 授權連接埠:伺服器 驗證時所使用的連接埠。預設連接埠為49
  • 共用密碼:您在 TACACS+ 伺服器上設定的加密 金鑰。此設定必須與您的 TACACS+ 伺服器完全一致。
  • 逾時:超時(以秒為單位)。超時設定指定 Sophos Switch 在嘗試清單中的下一個 TACACS+ 伺服器之前,等待驗證回應的時間長度。預設值為 5

設定來源顯示 RADIUS 伺服器設定的來源。

若要建立新的 TACACS+ 伺服器項目,請點擊「新增」。

要刪除 TACACS+ 伺服器條目,請選取要移除的伺服器,然後點擊「刪除」