已解决: 3层交换机3650如何防御DOS攻击

magw00001 · ‎07-04-2017

请问：局域网服务器遭受DDOS攻击，那么在其服务器连接的3650上如何做好DOS防御，降低服务器遭受攻击的强度？

fortune · ‎07-04-2017

3650 确切来说是防不了DDOS的，如果能防就不是交换机了，你只能通过ACL 做一些策略限制，看到有危险的IP可以deny之，还有一个很有效果的方法就是deny没有必要的端口或者说威胁端口，这样是一个安全防护，建议购买思科ASA 防火墙或者专门的防火墙，防DDOS 设备来安全防护

在原帖中查看解决方案

fortune · ‎07-04-2017

3650 确切来说是防不了DDOS的，如果能防就不是交换机了，你只能通过ACL 做一些策略限制，看到有危险的IP可以deny之，还有一个很有效果的方法就是deny没有必要的端口或者说威胁端口，这样是一个安全防护，建议购买思科ASA 防火墙或者专门的防火墙，防DDOS 设备来安全防护

cruiseluo · ‎07-04-2017

由于3650并非安全设备，所以要用3650做DDOS防御只能通过访问列表。但是当DDOS发生时通常会有海量的源ip地址包涌进，所以通常设置白名单来让正常的源ip包进入，剩下的全部阻止。这是一种次优的解决方案，因为很有可能白名单中的源ip也是海量的。如果你只有3650这台设备来防御DDOS，可以在访问列表中设置白名单和黑名单，ip源地址的地址段可以化大点，然后根据具体情况细化。总的来说，这不是根本的方案。

one-time · ‎07-18-2017

你的回答很有效果哦~恭喜您获得20社区金钱！

13nash · ‎07-05-2017

DDOS有专门的设备的

one-time · ‎07-18-2017

你的回答很有效果哦~恭喜您获得20社区金钱！

zhangjialei · ‎07-05-2017

抗ddos或者dos的话，还是建议寻找专门做这一类的产品来解决，通过交换机的acl来做，并不是一个好办法。

one-time · ‎07-18-2017

你的回答很有效果哦~恭喜您获得20社区金钱！

13nash · ‎07-17-2017

呵呵，这个防不了

YilinChen · ‎07-17-2017

如果没办法明确哪些源IP是正常业务的，那防不了

one-time · ‎07-18-2017

你的回答很有效果哦~恭喜您获得20社区金钱！

sh666666 · ‎07-17-2017

需要新增一台抗DDOS的设备。:)

one-time · ‎07-18-2017

你的回答很有效果哦~恭喜您获得20社区金钱！

sh666666 · ‎07-18-2017

sh666666 发表于 2017-7-18 14:52
需要新增一台抗DDOS的设备。

为什么我的账号内的可用金钱突然少了800？:'(

shuangbao wang · ‎07-18-2017

对于网络设备一般来说只能通过acl来防止攻击，或者通过黑洞路由