300シリーズマネージドスイッチのSYNレート保護

目的

Denial of Service(DOS)防御は、ネットワークセキュリティを強化するネットワークテクノロジーです。SYNレート保護は、ポートまたはLAGが受信できるSYNパケットの数を制限するDOS防止機能です。これは、ネットワークでのSYNフラッドを防止するために使用されます。SYNフラッドは、攻撃者が複数のSYN要求パケットをネットワークに送信するときに発生するDOS攻撃の一種です。これにより、ネットワークのリソースが過負荷になり、ネットワークが実際のトラフィックに反応しなくなります。

この機能を使用するには、[セキュリティスイートの設定]ページで、システムレベルおよびインターフェイスレベルの防止に対してDoS防止を有効にする必要があります。詳細については、「300シリーズマネージドスイッチのセキュリティスイート設定」を参照してください。

この記事では、300シリーズマネージドスイッチのインターフェイスにSYNレート制限を設定して適用する方法について説明します。

該当するデバイス

・ SF/SG 300シリーズマネージドスイッチ

[Software Version]

・ v1.2.7.76

SYNレート保護

ステップ1:Web設定ユーティリティにログインし、[Security] > [Denial of Service Prevention] > [SYN Rate Protection]を選択します。[SYN Rate Protection]ページが開きます。

ステップ2:[Add]をクリックしてSYN Rate Protectionを追加します。[Add SYN Rate Protection]ウィンドウが表示されます。

ステップ3:[Interface]フィールドで、目的のインターフェイスに対応するオプションボタンをクリックします。

・ Port:[Port]ドロップダウンリストから、SYNレート保護を適用するポートを選択します。

・ LAG:[LAG]ドロップダウンリストから、SYNレート保護を適用するLAGを選択します。

ステップ4:[IP address]フィールドで、目的のIPv4アドレスに対応するオプションボタンをクリックします。これらのIPアドレスからのパケットは、SYNレート保護によって制限されます。

・ User Defined — IPv4アドレスを入力します。

・すべてのアドレス：すべてのIPv4アドレスが適用されます。

ステップ5:[Network Mask]フィールドで、目的のネットワークマスクに対応するオプションボタンをクリックします。

・ Mask — IPアドレス形式でネットワークマスクを入力します。これにより、IPアドレスのサブネットマスクが定義されます。

・ Prefix Length – プレフィクス長（0 ～ 32の範囲の整数）を入力します。 これにより、IPアドレスのプレフィクス長によってサブネットマスクが定義されます。

ステップ6:[SYN Rate Limit]フィールドに値を入力します。これは、インターフェイスが1秒間に受信できるSYNパケットの最大数です。

ステップ7:[Apply]をクリックします。SYNレート制限がインターフェイスに適用されます。