安全性
您可以為 Sophos Switch 配置安全設定,例如 DoS 保護、802.1X 認證、連接埠安全性,以及新增或移除 RADIUS 和 TACACS+ 伺服器。
DoS
Sophos Switch 可以監控並封鎖拒絕服務 (DoS) 攻擊。DoS 攻擊是一種網路流量,目的是使主機不堪重負並中斷其與網路的連線。
選取開或關以開啟或關閉 DoS 保護。選取未設定以使用交換器本機設定。
開啟或關閉 DoS 後,按一下更新以儲存變更。
開啟 DoS 時,交換器會丟棄與以下 DoS 攻擊類型匹配的封包:
- 目的地 MAC 等於來源 MAC:丟棄來源 MAC 位址和目的地 MAC 位址相同的流量。
- LAND 攻擊目的地 IP 等於來源 IP (IPv4/IPv6):丟棄來源 IP 位址和目的地 IP 位址相同的封包。
-
TCP Blat (目的地 TCP 連接埠等於來源 TCP 連接埠):丟棄來源 TCP 和目的地 TCP 連接埠相同的 TCP 封包。
注意
網路時間協定 (NTP) 用戶端有時使用相同的來源連接埠和目的地連接埠。當您開啟 DoS 保護時,Sophos Switch 會將其偵測為 TCP Blat 攻擊並丟棄封包。如果您執行的是使用相同來源和目的地連接埠的舊版 NTP 用戶端,建議您關閉 DoS 保護。
-
UDP Blat (目的地 UDP 連接埠等於來源 UDP 連接埠):丟棄來源 UDP 和目的地 UDP 連接埠相同的 UDP 封包。
- 死亡之 Ping (IPv4/IPv6):丟棄透過分片處理之長度大於 64K 位元組的封包。
- IPv6 最小分片 (位元組):將 IPv6 分片的最小大小限制為 1240 位元組。
- ICMP 分片 (IPv4/IPv6):丟棄分片 ICMP 封包。
- IPv4 Ping 最大大小:將 IPv4 Ping 封包的最大長度限制為 512 位元組。
- IPv6 Ping 最大大小:將 IPv6 Ping 封包的最大長度限制為 512 位元組。
- Smurf 攻擊 (網路遮罩長度):將廣播 ICMP 封包的網路遮罩長度限制為 24 (x.x.x.255)。
- TCP 最小標頭大小 (位元組):將 TCP 標頭的最小大小限制為 20 位元組。
- TCP-SYN:丟棄設定了 SYN 旗標、未設定 ACK 旗標且來源連接埠小於 1024 的 TCP 封包。
- 空掃描:丟棄未設定旗標且序號為零的 TCP 封包。
- Xmas:丟棄序號為零且設定了 FIN、URG 和 PSH 旗標的 TCP 封包。
- TCP SYN-FIN:丟棄設定了 SYN 和 FIN 旗標的 TCP 封包。
- TCP SYN-RST:丟棄設定了 SYN 和 RST 旗標的 TCP 封包。
802.1X
Sophos Switch 支援基於 802.1X 的連接埠式網路存取控制,使用 RADIUS 或 TACACS+ 伺服器對用戶和裝置進行驗證。
全域設定
全域設定索引標籤是您開啟或關閉 802.1X 驗證的地方。您還可以管理訪客 VLAN 指派、設定訪客 VLAN ID,並選擇驗證方法。
您可以配置以下全域設定:
- 狀態:選取開啟或關閉以開啟或關閉 802.1X 認證。選取未設定以使用交換器本機設定。
- 訪客 VLAN:選取開啟或關閉。您必須選取開啟以設置訪客 VLAN ID。選取未設定以使用交換器本機設定。
- 訪客 VLAN ID:從已定義的 VLAN 列表中選取一個 VLAN。
- 驗證方法:從下拉列表中選取本地用戶、RADIUS或TACACS+。
配置來源顯示設定的來源。
點擊 更新 以保存設定,或點擊 清除 以刪除任何未保存的更改。
連接埠設定
在 連接埠設定索引標籤中,您可以配置連接埠設定,並使用 802.1X、MAC 驗證旁路 (MAB) 或兩者的組合來設定驗證。要配置 MAB,請參見 配置 MAC 驗證旁路 (MAB)。
選取您想要配置的連接埠,然後點擊 編輯。
您可以設定以下選項:
-
模式:從以下選項中選擇連接埠模式:
- 未設定:使用交換器本機設定。
- 自動:在介面上啟用 802.1X 認證。當使用 基於主機 作為 認證模式 時,您必須選擇 自動。
- 強制授權:在介面上阻止所有未經認證的流量。
- 強制取消授權:在介面上允許所有未經認證的流量。
-
MAB 模式:從以下選項中選擇 MAB 模式:
- 未設定:使用交換器上本機設定的 設定。
- MAB:僅使用 MAB。
- 混合:首先嘗試使用 802.1X 進行認證。在三次失敗的嘗試後,交換器將改用 MAB。
- 已停用:請勿使用 MAB。
-
驗證模式:從以下選項中選擇認證模式:
- 未設定:使用交換器上本機設定的 設定。
- 基於連接埠:對連接到每個連接埠的主機進行認證。
- 基於主機:對單一連接埠上的所有流量進行認證。
-
最大主機數:此設定僅在 認證模式 設定為 基於主機 時適用。它設置可以連接到連接埠的主機的最大數量。設置一個值在
1到10之間。 - 訪客 VLAN:開啟或關閉 訪客 VLAN。使用 基於主機 進行 驗證模式 時,必須將其關閉。
- Radius VLAN 指派:開啟或關閉RADIUS VLAN 分配。使用 基於主機 進行 驗證模式 時,必須將其關閉。
- 重新認證:開啟或關閉連接埠重新認證。
- 重新認證期:端口必須重新驗證之前的時間(以秒為單位)。設置一個值從
30到65535。預設值爲3600。 - 無訊息週期:在身份驗證失敗後,交換器嘗試重新驗證之前的時間(以秒為單位)。設置一個值從
0到65535。預設值爲60。 - 申請期:此設置控制交換器發送 EAP 請求的頻率(以秒為單位)。交換機在此間隔內發送三個請求,然後切換到 MAB。將值從
0設置到65535。預設值爲30。 - 授權狀態:顯示指定連接埠的身份驗證狀態。
Configuration source 顯示連接埠設置的來源。
點擊 更新 以保存設定,或點擊 清除 以刪除任何未保存的更改。
認證主機
Authenticated host 索引標籤顯示有關已驗證主機的信息。
連接埠安全性
在 Port security 索引標籤上,您可以限制交換機在特定連接埠上學習的 MAC 地址數量。
您可以設定以下選項:
- 連接埠:設定適用的連接埠。
- 狀態:選擇 Enabled 或 Disabled 以開啟或關閉 Port security。
- MAC 位址的最大數量:輸入交換機在指定連接埠上可以學習的最大 MAC 地址數。範圍為
1到256。
配置來源 顯示連接埠安全設置的來源。
點擊 更新 以保存設定,或點擊 清除 以刪除任何未保存的更改。
RADIUS 伺服器
您可以使用 RADIUS 伺服器來驗證訪問網絡的用戶。RADIUS 伺服器維護用戶數據庫,其中包含身份驗證信息。交換機將信息傳遞給 RADIUS 伺服器,以在授權網絡訪問之前驗證用戶。
您可以設定以下選項:
- 伺服器 ID:RADIUS 伺服器的 ID。
- 伺服器 IP:RADIUS 伺服器的 IP 位址。
- 授權連接埠:用於與 RADIUS 伺服器通信的連接埠。預設連接埠為
1812。 - 共用密碼:用於加密裝置與 RADIUS 伺服器之間所有 RADIUS 通信的字串。
- 逾時:裝置在切換到下一個伺服器之前,等待 RADIUS 伺服器回應的時間。預設值爲
3。 - 重試:在發生故障之前,發送到 RADIUS 伺服器的請求次數。預設值爲
3。
配置來源 顯示 RADIUS 伺服器設定的來源。
要創建新的 RADIUS 伺服器條目,請點擊 新增。
要刪除 RADIUS 伺服器條目,請選擇要移除的伺服器並點擊 刪除。
TACACS+ 伺服器
TACACS+ 伺服器提供網路存取的集中式身份驗證。TACACS+ 主要用於網路裝置的管理。
您可以設定以下選項:
- 伺服器 IP:TACACS+ 伺服器的 IP 位址。
- 優先性:TACACS+ 伺服器的優先權。優先權決定在有多個 TACACS+ 伺服器時,首先聯繫哪個伺服器進行身份驗證。
- 授權連接埠:伺服器進行身份驗證時所使用的連接埠。預設連接埠為
49。 - 共用密碼:在您的 TACACS+ 伺服器上配置的加密金鑰。這必須與您的 TACACS+ 伺服器完全匹配。
- 逾時:逾時 (秒)。逾時指定了 Sophos Switch 等待身份驗證回應的時間,然後再嘗試列表中下一個 TACACS+ 伺服器。預設值爲
5。
配置來源 顯示 RADIUS 伺服器設定的來源。
要創建新的 TACACS+ 伺服器條目,請點擊 新增。
要刪除 TACACS+ 伺服器條目,請選擇要移除的伺服器並點擊 刪除。
MAC ACL 和 ACE
MAC ACL & ACE 索引標籤顯示目前定義的基於 MAC 的 ACLs。
MAC ACL
要新增一個 ACL,請點擊 新增,輸入一個 名稱,由 4 到 30 個字母和數字組成,然後點擊 儲存。
您可以查看 MAC ACL 的下列詳細資料:
- 設定檔名稱:ACL 的名稱。
- 設定來源:顯示指定 ACL 設定的來源。
要刪除 ACL,請選擇您想要移除的 ACL,然後點擊 刪除。
注意
如果您嘗試刪除包含 ACE 的 ACL,系統會發出警告。您必須編輯 ACE 並將其移至另一個 ACL,或點擊 修正衝突,選擇要移除的條目,然後點擊 刪除依賴項 以刪除 ACE 及其所屬的 ACL。
MAC ACE
存取控制項目 (ACE) 是決定存取 控管 清單 (ACL) 流量分類的規則。您可以根據來源和目的地 MAC 位址、MAC 位址遮罩和 VLAN ID 等標準定義 MAC 位址 ACE。每個 MAC ACL 最多可包含 128 個 ACE。每個 ACE 是針對特定網路流量的參數集,以及當交換機識別到匹配流量時的行動。
MAC ACE 標籤顯示您交換機上配置的 MAC ACE 的詳細資訊。
若要建立新的 MAC ACE,請點選「新增」 ,設定 ACE,然後點選「儲存」以儲存您的設定。
要刪除 ACE,請選擇您想要移除的 ACE,然後點擊 刪除。
要更新 ACE 的設定,請點擊 編輯
。
您可以進行以下設定:
- ACL 名稱:ACE 所屬的 ACL。
- 順序:序列號是交換機應用 ACE 的順序。從
1到2147483647中選擇一個值,1為第一個處理的規則。 - 動作:如果封包符合標準,交換機所採取的行動。選擇 允許 以轉發符合 ACE 標準的流量,或選擇 拒絕 以捨棄它。
- VLAN ID:MAC位址所屬的VLAN ID。範圍為
1到4094。對於任何 VLAN,請將該欄位留空。 - 來源 MAC 位址:流量來源的 MAC 位址。
- 來源 MAC 位址遮罩:來源 MAC 位址的通配符遮罩。您可以使用
f和0的任何組合。f精確匹配指定的位元。0匹配任何位元。請參見 範例。 - 目的地 MAC 位址:流量發送到的 MAC 位址。
- 目的地 MAC 位址遮罩:目的 MAC 位址的通配符遮罩。您可以使用
f和0的任何組合。f精確匹配指定的位元。0匹配任何位元。請參見 範例。 - 802.1p 值:802.1p 是一種 QoS 優先級標準。從
0到7選擇一個值。0是最低優先級。請參見 QoS。 - EtherType 值:EtherType 是一個十六進位值,表示所使用的協議,並且是 802.1Q VLAN 標籤的基礎。您只能使用此選項來過濾以 Ethernet II 格式的封包。請參見 EtherTypes。
設定來源 顯示 MAC ACE 設定的來源。
範例
以下是如何使用 MAC 位址通配符遮罩的一些範例。
完全匹配
MAC 位址 a1:b2:c3:d4:e5:66 與通配符遮罩 ff:ff:ff:ff:ff:ff 僅匹配 a1:b2:c3:d4:e5:66。
部份匹配
MAC 位址 a1:b2:c3:d4:e5:66 與通配符遮罩 ff:ff:ff:00:00:00 匹配任何以 a1:b2:c3 開頭的 MAC 位址,無論最後三個八位元組包含什麼位元。
IPv4 ACL 和 ACE
IPv4 ACL & ACE 標籤顯示在交換機上配置的基於 IPv4 的 ACL。
IPv4 ACL
要新增一個新的 ACL,請點擊 新增,輸入新 ACL 的名稱,長度為 4 到 30 個字母和數字,然後點擊 儲存。
您可以查看 IPv4 ACL 的以下詳細資訊:
- 設定檔名稱:ACL 的名稱。
- 設定來源:顯示指定 ACL 設定的來源。
要刪除 ACL,請選擇您想要移除的 ACL,然後點擊 刪除。
注意
如果您嘗試刪除包含 ACE 的 ACL,系統會發出警告。您必須編輯 ACE 並將其移至另一個 ACL,或點擊 修正衝突,選擇要移除的條目,然後點擊 刪除依賴項 以刪除 ACE 及其所屬的 ACL。
IPv4 ACE
每個 IPv4 存取控管清單 (ACL) 包含最多 128 條稱為存取控制項 (ACE) 的個別規則。每個 ACE 是針對特定網路流量的參數集,以及當交換機識別到匹配流量時的行動。
要創建一個新的 IPv4 ACE,請點擊 新增。
要刪除 ACE,請選擇您想要移除的 ACE,然後點擊 刪除。
要更新 ACE 的設定,請點擊 編輯
。
您可以進行以下設定:
- ACL 名稱:ACE 所屬的 ACL。
- 順序:序列號是交換機應用 ACE 的順序。從
1到2147483647中選擇一個值,1為第一個處理的規則。 - 動作:如果封包符合條件,交換機所採取的行動。選擇 允許 以轉發符合 ACE 條件的流量,或選擇 拒絕 以捨棄它。
- 服務類型:允許您設置差異化服務字段代碼點 (DSCP) 值。輸入
0到63之間的值。請參見 差異化服務字段代碼點 (DSCP)。 - 來源 IP 位址:流量的來源 IP 地址。
- 來源網路遮罩:來源 IP 位址 的子網掩碼。
- 目的地 IP 位址:流量的目的地 IP 位址。
- 目的地網路遮罩:目的地 IP 位址 的子網掩碼。
- 目的地連接埠範圍:為流量選擇一個目的地連接埠範圍。請參見 連接埠範圍。
- 來源連接埠範圍:為流量選擇一個來源連接埠範圍。請參見 連接埠範圍。
-
通訊協定:從下拉列表中選擇以下選項之一:
- 任意:匹配所有通訊協定。
-
從列表中選擇:從 通訊協定列表 中選擇以下協議之一:
- IPv4:ICMP:網際網路控制消息協議 (ICMP) 允許網關或目的主機與來源主機進行通信。
- IPinIP:IP in IP 將 IP 封包封裝以在兩個路由器之間創建隧道。IP in IP 隧道顯示為單一介面,而不是幾個獨立的介面。
- TCP:傳輸控制協議 (TCP) 允許兩個主機進行通信並交換數據流。它保證數據包的傳送,並確保數據包按照發送的順序傳輸和接收。
- EGP:外部閘道協定(EGP)允許兩個相鄰的閘道主機在自治系統網路中交換路由資訊。
- IGP:內部閘道協定(IGP)允許在自治系統網路內的閘道之間交換路由資訊。
- UDP:使用者數據報協定(UDP)是一種傳輸封包但不保證送達的通訊協定。
- HMP:主機映射協定(HMP)從各種主機收集網路資訊。它監控互聯網及單一網路中的主機。
- RDP:可靠數據協定(RDP)類似於TCP,保證封包送達但不要求有序送達。
- IPv6:Rout:IPv6的路由標頭。
- IPv6:Frag:IPv6的片段標頭。
- 回覆:將封包與保留協定(RSVP)匹配。
- IPv6:ICMP:網際網路控制消息協議 (ICMP) 允許網關或目的主機與來源主機進行通信。
- OSPF:開放最短路徑優先(OSPF)協定是一種鏈路狀態分層內部閘道協定(IGP),用於網路路由。
- PIM:將封包與協定獨立多播(PIM)匹配。
- L2TP:第二層隧道協定(L2TP)支持 ISP 創建 VPN。
-
從 ID 中選取:輸入一個協定ID,範圍從
0到255。查看協定號碼。
-
ICMP:從下拉選單中選擇以下選項之一:
- 任意:匹配所有 ICMP 流量。
-
從清單中選取:從 ICMP 清單 中選擇以下選項之一:
- 回音回覆:裝置在接收到 ICMP 回音請求後發送的回應。
- 目的地不可達:ICMP 封包無法到達其目的地。
- 來源抑制:路由器發送的 ICMP 訊息,用於在繁忙環境中緩解網路擁塞。
- 回音請求:從一個裝置發送到另一個裝置的訊息,以檢查它們是否可以通信並測量所需的時間。
- 路由器通告:裝置發送的訊息,用於宣告其作為路由器的可用性。
- 路由器請求:主機發送的訊息,用於請求路由器資訊。
- 超出時間:此訊息表示 ICMP 封包的生存時間 (TTL) 在傳輸過程中已過期。
- 時間戳記:可以將時間戳添加到 ICMP 訊息中,以記錄發送時間。
- 時間戳回覆:當裝置接收到帶有時間戳的 ICMP 封包時,可以記錄該時間戳並將其時間戳回覆欄位添加到 ICMP 封包中。
- Traceroute:顯示封包在到達目的地的過程中經過的所有路由器。
-
從 ID 中選取:為 ICMP ID 輸入一個從
0到255的值。
-
ICMP 代碼:輸入
0到255之間的值。查看 網際網路控制訊息協定 (ICMP) 參數。 - TCP 標幟:您可以根據 Urg、Ack、Psh、Rst、Syn 和 Fin 標誌是否 設置 或 未設置 來過濾 TCP 流量。選擇 不在乎 以忽略 TCP 標誌。
配置來源 顯示 IPv4 ACE 設置的來源。
IPv6 ACL 和 ACE
IPv6 ACL & ACE 索引標籤顯示在交換機上配置的基於 IPv6 的 ACL。
IPv6 ACL
要新增一個新的 ACL,請點擊 新增,輸入新 ACL 的名稱,長度為 4 到 30 個字母和數字,然後點擊 儲存。
您可以查看 IPv4 ACL 的以下詳細資訊:
- 設定檔名稱:ACL 的名稱。
- 設定來源:顯示指定 ACL 設定的來源。
要刪除 ACL,請選擇您想要移除的 ACL,然後點擊 刪除。
注意
如果您嘗試刪除包含 ACE 的 ACL,系統會發出警告。您必須編輯 ACE 並將其移至另一個 ACL,或點擊 修正衝突,選擇要移除的條目,然後點擊 刪除依賴項 以刪除 ACE 及其所屬的 ACL。
IPv6 ACE
每個 IPv6 存取控管清單 (ACL) 包含最多 64 條稱為存取控管項目 (ACE) 的個別規則。每個 ACE 是針對特定網路流量的參數集,以及當交換機識別到匹配流量時的行動。
要創建新的 IPv6 ACE,請點擊 新增。
要刪除 ACE,請選擇您想要移除的 ACE,然後點擊 刪除。
要更新 ACE 的設定,請點擊 編輯
。
您可以進行以下設定:
- ACL 名稱:ACE 所屬的 ACL。
- 順序:序列號是交換機應用 ACE 的順序。從
1到2147483647中選擇一個值,1為第一個處理的規則。 - 動作:如果封包符合標準,交換機所採取的行動。選擇 允許 以轉發符合 ACE 標準的流量,或選擇 拒絕 以捨棄它。
- 服務類型:允許您設置差異化服務字段代碼點 (DSCP) 值。輸入
0到63之間的值。請參見 差異化服務字段代碼點 (DSCP)。 - 來源 IP 位址:流量的來源 IP 地址。
- 來源 IPv6 前綴長度:來源 IPv6 的 IPv6 前綴長度。
- 目的地 IP 位址:流量的目的地 IP 位址。
- 目的地 IPv6 前綴長度:目的地 IPv6 的 IPv6 前綴長度。
- 目的地連接埠範圍:為流量選擇一個目的地 連接埠範圍。請參見 連接埠範圍。
- 來源連接埠範圍:為流量選擇一個來源 連接埠範圍。請參見 連接埠範圍。
-
通訊協定:從下拉列表中選擇以下選項之一:
- 任意:匹配所有通訊協定。
-
從列表中選擇:從 協議列表 中選擇以下協議之一:
- TCP:傳輸控制協議 (TCP) 允許兩個主機進行通信並交換數據流。它保證數據包的傳送,並確保數據包按照發送的順序傳輸和接收。
- UDP:使用者數據報協定(UDP)是一種傳輸封包但不保證送達的通訊協定。
- IPv6:ICMP:網際網路控制訊息協定 (ICMP) 允許網關或目的主機與來源主機進行通信。
-
從 ID 中選取:為 協議 ID 輸入一個從
0到255的值。查看協定號碼。
-
ICMP:從下拉選單中選擇以下選項之一:
- 任意:匹配所有 ICMP 流量。
-
從清單中選取:從 ICMP 清單 中選擇以下選項之一:
- 目的地不可達:ICMP 封包無法到達其目的地。
- 封包過大:這表示 ICMP 封包超過網路的 MTU,並且太大而無法在該網路上傳輸。
- 超出時間:此訊息表示 ICMP 封包的生存時間 (TTL) 在傳輸過程中已過期。
- 參數問題:裝置無法解釋無效的參數。
- 回音請求:從一個裝置發送到另一個裝置的訊息,以檢查它們是否可以通信並測量所需的時間。
- 回音回覆:裝置在接收到 ICMP 回音請求後發送的回應。
- 路由器請求:主機發送的訊息,用於請求路由器資訊。
- 路由器通告:裝置發送的訊息,用於宣告其作為路由器的可用性。
- Nd Ns:這是一條 IPv6 鄰居發現協議 (NDP) 鄰居廣告消息。
- Nd Na:這是一條 IPv6 NDP 鄰居廣告消息。
-
從 ID 中選取:為 ICMP ID 輸入一個從
0到255的值。
-
ICMP 代碼:輸入
0到255之間的值。查看 網際網路控制訊息協定 (ICMP) 參數。 - TCP 標幟:您可以根據 Urg、Ack、Psh、Rst、Syn 和 Fin 標誌是否 設置 或 未設置 來過濾 TCP 流量。選擇 不在意 以忽略 TCP 標誌。
配置來源 顯示 IPv4 ACE 設置的來源。
連接埠範圍及綁定
連接埠範圍 索引標籤讓您指定用於 IPv4 和 IPv6 存取控制項目 (ACE) 的連接埠範圍。此功能通過讓您使用 ACE 阻止大量連接埠或僅允許特定功能的主機使用少量連接埠來提高安全性。
連接埠範圍
要創建新的連接埠範圍,請點擊 新增。
您可以進行以下設定:
-
名稱:請為您的連接埠範圍輸入名稱。
提示
我們建議使用一個清楚識別其包含連接埠的範圍名稱。您只能在選擇 ACE 的連接埠範圍時看到此名稱。您無法看到它包含的連接埠。
-
最小連接埠:您的範圍起始連接埠。
- 最大連接埠:您的範圍結束連接埠。
配置來源 顯示連接埠範圍設定的來源。
連接埠綁定
將存取控管清單 (ACL) 綁定到連接埠上會將您為該 ACL 定義的所有規則應用於這些連接埠。對於已綁定 ACL 的連接埠,交換機會丟棄所有不符合該 ACL 的流量。
您可以查看交換機上連接埠的以下資訊:
- 連接埠:綁定到 ACL 的連接埠。
- MAC ACL:綁定到該連接埠的 MAC ACL。
- IPv4 ACL:綁定到該連接埠的 IPv4 ACL。
- IPv6 ACL:綁定到該連接埠的 IPv6 ACL。
配置來源 顯示連接埠綁定設定的來源。
要綁定 ACL,請從下拉列表中選擇要綁定到連接埠的 MAC ACL 和 IPv4 ACL 或 IPv6 ACL。選擇 無 以不為連接埠分配任何 ACL,或選擇 未設定 以使用本地交換機 UI 中的連接埠綁定設定。
按一下更新,儲存您的變更。
注意
您不能同時綁定 IPv4 和 IPv6 ACL。您必須選擇其中一個。