この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
IPv6 ゾーンベース ファイアウォールでは、分散型サービス妨害攻撃の防止およびリソース管理がサポートされています。
分散型サービス妨害攻撃の防止機能は、グローバル レベル(すべてのファイアウォール セッション)および VPN ルーティングおよび転送(VRF)レベルでのサービス妨害(DoS)攻撃からの保護を提供します。分散型サービス妨害攻撃からの保護機能により、分散型 DoS 攻撃を防止するため、ファイアウォール セッションのアグレッシブ エージング、ファイアウォール セッションのイベント レート モニタ、ハーフオープン接続制限、およびグローバル TCP 同期(SYN)Cookie 保護を設定できます。
ファイアウォール リソース管理機能では、デバイスで設定されているグローバル ファイアウォール セッションと VPN ルーティングおよび転送(VRF)インスタンスの数が制限されます。
このモジュールでは、分散型サービス妨害攻撃からの保護機能とファイアウォール リソース管理機能を設定する方法について説明します。
ファイアウォール リソース管理機能には次の制約事項が適用されます。
グローバル レベルまたは Virtual Routing and Forwarding(VRF)レベルでのセッション制限を設定し、その後このセッション制限を再設定すると、グローバル レベルまたは VRF レベルのセッション制限が初期設定セッション数を下回っている場合に、新しいセッションが追加されません。ただし、現在のセッションはドロップされません。
アグレッシブ エージング機能により、ファイアウォールは、セッションを積極的にエージング アウトし、新しいセッションのためのスペースを確保することで、ファイアウォール セッション データベースがいっぱいになるのを防ぐことができます。ファイアウォールはそのリソースを保護するため、アイドル セッションを削除します。アグレッシブ エージング機能により、ファイアウォール セッションが存在できる時間は、タイマーで定義されている時間(エージングアウト時間)よりも短くなります。
アグレッシブ エージング機能には、アグレッシブ エージング期間の開始と終了を定義するしきい値(高位水準点と低位水準点)があります。アグレッシブ エージング期間は、セッション テーブルが高位水準点を超えると開始され、低位水準点を下回ると終了します。アグレッシブ エージングの期間中、セッションの存続期間は、エージングアウト時間を使用して設定した期間よりも短くなります。ファイアウォールがセッションを終了する時間よりも短い時間で攻撃者がセッションを開始する場合、セッションを作成するために割り当てられているすべてのリソースが使用され、新しいすべての接続が拒否されます。このような攻撃を防ぐには、セッションを積極的にエージングアウトするようにアグレッシブ エージング機能を設定できます。この機能はデフォルトで無効に設定されています。
ボックス レベル(ボックスはファイアウォール セッション テーブル全体を示します)および Virtual Routing and Forwarding(VRF)レベルで、ハーフオープン セッションおよび総セッションにアグレッシブ エージングを設定できます。この機能を総セッションに対して設定している場合、ファイアウォール セッション リソースを使用するすべてのセッションが考慮されます。総セッションは、確立されたセッション、ハーフオープン セッション、および不明確セッション データベース内のセッションで構成されます。(確立状態に達していない TCP セッションはハーフオープン セッションと呼ばれます)。
ファイアウォールには 2 つのセッション データベースがあります。1 つはセッション データベースで、もう 1 つは不正確なセッション データベースです。セッション データベースには、5 タプル(送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、およびプロトコル)が設定されているセッションが含まれます。タプルは、要素の番号付きリストです。不正確なセッション データベースには、5 つ未満のタプル(欠落した IP アドレス、ポート番号など)のセッションが含まれます。ハーフオープン セッションのアグレッシブ エージングでは、ハーフオープン セッションだけが考慮されます。
Internet Control Message Protocol(ICMP)、TCP、および UDP ファイアウォール セッションにはアグレッシブ エージングアウト時間を設定できます。エージングアウト時間は、デフォルトではアイドル時間に設定されます。
イベント レート モニタリング機能は、ゾーンの事前定義イベントのレートをモニタします。イベント レート モニタリング機能には基本脅威検出機能が含まれています。これはセキュリティ デバイスの機能であり、ファイアウォールの内側にあるリソースで発生する可能性のある脅威、異常、および攻撃を検出し、それらに対するアクションを実行します。イベントの基本脅威検出レートを設定できます。特定タイプのイベントの着信レートが、設定されている脅威検出レートを超えると、イベント レート モニタリング機能はこのイベントを脅威と見なし、脅威を阻止するためのアクションを実行します。脅威検出機能は、入力ゾーンでのみイベントを検査します(イベント レート モニタリング機能が入力ゾーンで有効な場合)。
ネットワーク管理者に対し、発生する可能性のある脅威に関する情報がアラート メッセージ(syslog または高速ロガー(HSL))で通知されます。ネットワーク管理者は攻撃ベクトルの検出、攻撃元ゾーンの検出、または特定の動作やトラフィックをブロックするようにネットワーク上のデバイスを設定するなどのアクションを実行できます。
イベント レート モニタリング機能は、次のタイプのイベントをモニタします。
基本ファイアウォール チェックが失敗したためにファイアウォールがドロップする:これには、ゾーンまたはゾーンペアのチェック失敗、ドロップ アクションを使用して設定されたファイアウォール ポリシーなどがあります。
レイヤ 4 インスペクションの失敗が原因でファイアウォールがドロップする:これには、1 番目の TCP パケットが同期(SYN)パケットではないために失敗した TCP インスペクションが含まれることがあります。
TCP SYN Cookie 攻撃:これには、ドロップされた SYN パケットの数と、スプーフィング攻撃として送信された SYN Cookie の数の集計が含まれることがあります。
イベント レート モニタリング機能は、さまざまなイベントの平均レートとバースト レートをモニタします。各イベント タイプにはレート オブジェクトがあります。レート オブジェクトは、設定可能なパラメータ(平均しきい値、バーストしきい値、期間)が含まれる関連レートにより制御されます。期間はタイム スロットに分割されます。各タイム スロットは期間の 1/30 です。
平均レートは、イベント タイプごとに計算されます。各レート オブジェクトは、30 個の完了済みサンプリング値と、現在進行中のサンプリング期間を保持するための 1 つの値を保持します。計算済みの最も古い値が現在のサンプリング値で置き換えられ、平均が再計算されます。平均レートは各期間で計算されます。平均レートが平均しきい値を超えると、イベント レート モニタリング機能はこれを潜在的な脅威と解釈し、統計情報を更新し、ネットワーク管理者に通知します。
バースト レートは、トークン バケット アルゴリズムを使用して実装されます。各タイムスロットで、トークン バケットがトークンで埋められます。発生する(特定のイベント タイプの)イベントごとに、バケットからトークンが削除されます。空のバケットは、バーストしきい値に到達したことを意味し、管理者が syslog または HSL からアラームを受信します。 show policy-firewall stats zone コマンドの出力から、脅威検出統計情報を確認し、ゾーン内でさまざまなイベントに対する潜在的な脅威を理解することができます。
最初に threat-detection basic-threat コマンドを使用して、基本脅威検出機能を有効にする必要があります。基本脅威検出機能を設定したら、脅威検出レートを設定できます。脅威検出レートを設定するには、threat-detection rate コマンドを使用します。
次の表では、イベント レート モニタリング機能が有効な場合に適用可能な基本脅威検出のデフォルト設定について説明します。
|
パケット ドロップの理由 |
脅威検出の設定 |
|---|---|
|
基本的なファイアウォール ドロップ |
平均レート 400 パケット/秒(pps) バースト レート 1600 pps レート間隔 600 秒 |
|
インスペクション ベースのファイアウォール ドロップ |
平均レート 400 pps バースト レート 1600 pps レート間隔 600 秒 |
|
SYN 攻撃ファイアウォール ドロップ |
平均レート 100 pps バースト レート 200 pps レート間隔 600 秒 |
ファイアウォール セッション テーブルでは、ファイアウォールのハーフオープン接続数を制限できるようになっています。ハーフオープン セッション数を制限することで、ハーフオープン セッションでボックスごとのレベルや Virtual Routing and Forwarding(VRF)レベルでファイアウォール セッション テーブルをいっぱいにしてセッションを確立できないようにする攻撃に対し、ファイアウォールを防御できます。ハーフオープン接続の制限は、レイヤ 4 プロトコル、Internet Control Message Protocol(ICMP)、TCP、UDP に対して設定できます。UDP ハーフオープン セッション数に対して設定された制限は、TCP や ICMP のハーフオープン セッションには影響しません。設定されたハーフオープン セッションの制限を超えると、すべての新規セッションが拒否され、ログ メッセージが Syslog または高速ロガー(HSL)に生成されます。
3 ウェイ ハンドシェイクを完了していない TCP セッション。
UDP フローで 1 つのパケットだけが検出された UDP セッション。
ICMP エコー要求または ICMP タイムスタンプ要求に対する応答を受信していない ICMP セッション。
グローバルの TCP SYN フラッド制限を設定して、SYN フラッド攻撃を制限できます。TCP SYN フラッド攻撃は、サービス妨害(DoS)攻撃の一種です。設定済みの TCP SYN フラッド制限に達すると、ファイアウォールは、さらにセッションを作成する前に、セッションの送信元を確認します。通常は、TCP SYN パケットはファイアウォールの背後のターゲット エンド ホストまたはサブネット アドレスの範囲に送信されます。これらの TCP SYN パケットによって、送信元 IP アドレスがスプーフィングされます。スプーフィング攻撃では、個人やプログラムが偽のデータを使用してネットワーク内のリソースにアクセスしようとします。TCP SYN フラッディングは、ファイアウォールまたはエンド ホスト上のすべてのリソースを乗っ取る可能性があるため、サービス妨害がトラフィックを正当化することになります。TCP SYN フラッド保護は、VRF レベルとゾーン レベルで設定できます。
ホスト フラッド:SYN フラッド パケットが単一のホストに送信され、そのホスト上のすべてのリソースを使用することが意図されます。
ファイアウォール セッション テーブル フラッド:SYN フラッド パケットがファイアウォールの背後のアドレスの範囲に送信され、ファイアウォール上のセッション テーブル リソースを枯渇させ、その結果、リソースの拒否がファイアウォールを通過するトラフィックを正当化することが意図されます。
リソース管理では、デバイス上の共有リソースの利用レベルが制限されます。デバイス上の共有リソースには次のものがあります。
帯域幅
接続状態
メモリ使用率(テーブル単位)
セッションまたはコールの数
Packets per second(1 秒あたりのパケット数)
Ternary content addressable memory(TCAM)エントリ
ファイアウォール リソース管理機能は、ゾーンベースのファイアウォール リソース管理をクラス レベルから VRF レベルおよびグローバル レベルに拡張します。クラス レベルのリソース管理は、クラス レベルでファイアウォール セッションのリソースを保護します。たとえば、最大セッション制限、セッション レート制限、不完全セッション制限などのパラメータは、ファイアウォール リソース(チャンク メモリなど)を保護し、これらのリソースが単一クラスによって使い果たされないようにします。
複数の Virtual Routing and Forwarding(VRF)インスタンスが同じポリシーを共有する場合、1 つの VRF インスタンスからのファイアウォール セッション設定要求によって総セッション数が最大制限に達する可能性があります。1 つの VRF がデバイス上で最大量のリソースを消費すると、他の VRF インスタンスがデバイス リソースを共有することが難しくなります。VRF ファイアウォール セッションの数を制限するには、ファイアウォール リソース管理機能を使用できます。
グローバル レベルでは、ファイアウォール リソース管理機能により、グローバル ルーティング ドメインでのファイアウォール セッションによるリソースの使用を制限できます。
Virtual Routing and Forwarding(VRF)レベルでは、ファイアウォール リソース管理機能により、各 VRF インスタンスのファイアウォール セッション数が追跡されます。グローバル レベルでは、ファイアウォール リソース管理機能により、デバイスレベルではなくグローバル ルーティング ドメインでのファイアウォール セッションの合計数が追跡されます。VRF とグローバル レベルの両方では、セッション数はオープン セッションとハーフオープン セッションと不正確なファイアウォール セッション データベース内のセッションの合計です。まだ確立状態に達していない TCP セッションは、ハーフオープン セッションと呼ばれます。
ファイアウォールには 2 つのセッション データベースがあります。1 つはセッション データベースで、もう 1 つは不正確なセッション データベースです。セッション データベースには、5 つのタプル(送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、およびプロトコル)のセッションが含まれます。タプルは、要素の番号付きリストです。不正確なセッション データベースには、5 つ未満のタプル(欠落した IP アドレス、ポート番号など)のセッションが含まれます。
次の規則は、セッション制限の設定に適用されます。
クラスレベル セッションの上限は、グローバルの制限を超える可能性があります。
クラスレベル セッションの上限は、関連する VRF セッションの最大値を超える可能性があります。
VRF 制限値の合計は、グローバルなコンテキストを含め、ハードコーディングされたセッションの制限を超える可能性があります。
セッション レートは、セッションが特定の時間間隔で確立されるレートです。最大および最小セッション レート制限を定義できます。セッション レートが指定された最大レートを超えると、ファイアウォールは新しいセッションのセットアップ要求を拒否し始めます。
リソース管理の観点から最大および最小セッション レート制限を設定すると、多数のファイアウォール セッションのセットアップ要求が受信された場合に、Cisco Packet Processor が過負荷になることを防ぐのに役立ちます。
未完了セッションはハーフオープン セッションです。未完了セッションで使用されるリソースがカウントされ、未完了セッション数の増加は最大セッション数制限を設定することにより制限されます。
ファイアウォール リソース管理セッションには次のルールが適用されます。
デフォルトでは、オープン セッションまたはハーフオープン セッションのセッション制限は無制限です。
オープン セッションまたはハーフオープン セッションは、パラメータで制限され、個別にカウントされます。
オープン セッションの数またはハーフオープン セッションの数には、Internet Control Message Protocol(ICMP)、TCP、または UDP セッションが含まれます。
オープン セッションの数とレートを制限できます。
ハーフオープン セッションではセッションの数だけを制限できます。
IPv4 ファイアウォールと IPv6 ファイアウォールを設定する手順は同じです。IPv6 ファイアウォールを設定するには、IPv6 アドレス ファミリだけがマッチングされるようにクラス マップを設定する必要があります。
match protocol コマンドは IPv4 トラフィックと IPv6 トラフィックの両方に適用され、IPv4 ポリシーと IPv6 ポリシーのどちらにもこれを含めることができます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
vrf-definition vrf-name Example: |
Virtual Routing and Forwarding(VRF)ルーティング テーブル インスタンスを設定し、VRF コンフィギュレーション モードを開始します。 |
|
Step 4 |
address-family ipv6 Example: |
VRF アドレス ファミリ コンフィギュレーション モードを開始して、標準 IPv6 アドレス プレフィックスを伝送するセッションを設定します。 |
|
Step 5 |
exit-address-family Example: |
VRF アドレス ファミリ コンフィギュレーション モードを終了し、VRF コンフィギュレーション モードを開始します。 |
|
Step 6 |
exit Example: |
VRF コンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードを開始します。 |
|
Step 7 |
parameter-map type inspect parameter-map-name Example: |
ファイアウォールのグローバル検査タイプ パラメータ マップを、検査アクションに関連するしきい値、タイムアウト、その他のパラメータに接続できるようにし、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。 |
|
Step 8 |
sessions maximum セッション Example: |
ゾーン ペア上に存在可能な最大許容セッション数を設定します。 |
|
Step 9 |
exit Example: |
パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
|
Step 10 |
ipv6 unicast-routing Example: |
IPv6 ユニキャスト データグラムの転送を有効にします。 |
|
Step 11 |
ip port-map appl-name port port-num list list-name Example: |
IPv6 アクセス コントロール リスト(ACL)を使用してポート/アプリケーション間マッピング(PAM)を確立します。 |
|
Step 12 |
ipv6 access-list access-list-name Example: |
IPv6 アクセスリストを定義し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。 |
|
Step 13 |
permit ipv6 any any Example: |
IPv6 アクセス リストに許可条件を設定します。 |
|
Step 14 |
exit Example: |
IPv6 アクセス リスト コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
|
Step 15 |
class-map type inspect match-all class-map-name Example: |
アプリケーション固有の検査タイプ クラス マップを作成し、QoS クラス マップ コンフィギュレーション モードを開始します。 |
|
Step 16 |
match access-group name access-group-name Example: |
指定した ACL をベースにクラス マップに対して一致基準を設定します。 |
|
Step 17 |
match protocol protocol-name Example: |
指定されたプロトコルに基づき、クラス マップの一致基準を設定します。 |
|
Step 18 |
exit Example: |
QoS クラス マップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
|
Step 19 |
policy-map type inspect policy-map-name Example: |
プロトコル固有の検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。 |
|
Step 20 |
class type inspect class-map-name Example: |
アクションの実行対象となるトラフィック クラスを指定し、QoS ポリシー マップ クラス コンフィギュレーション モードを開始します。 |
|
Step 21 |
inspect [parameter-map-name] Example: |
ステートフル パケット インスペクションをイネーブルにします。 |
|
Step 22 |
end Example: |
QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
アグレッシブ エージング機能は、ボックス単位(ボックス単位とは、ファイアウォール セッション テーブル全体を意味します)、デフォルト VRF、および VRF 単位のファイアウォール セッションに設定できます。アグレッシブ エージング機能が動作するには、ファイアウォール セッションのアグレッシブ エージングおよびエージング アウト時間を設定する必要があります。
ファイアウォール セッションのアグレッシブ エージングを設定するには、次の作業を実行します。
ボックス単位とは、ファイアウォール セッション テーブル全体という意味です。parameter-map type inspect-global コマンドに続くすべての設定がボックスに適用されます。
| Command or Action | Purpose | |||
|---|---|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
||
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 3 |
次のいずれかのコマンドを入力します。
Example: |
|
||
|
Step 4 |
per-box max-incomplete number aggressive-aging high {value low value | percent percent low percent percent} Example: |
ファイアウォール セッション テーブル内のハーフ オープン セッションの上限およびアグレッシブ エージング レートを設定します。 |
||
|
Step 5 |
per-box aggressive-aging high {value low value | percent percent low percent percent} Example: |
総セッションのアグレッシブ エージング制限を設定します。 |
||
|
Step 6 |
exit Example: |
パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 7 |
parameter-map type inspect parameter-map-name Example: |
接続しきい値、タイムアウト、およびその他の inspect アクションに関連するパラメータの検査タイプパラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーション モードを開始します。 |
||
|
Step 8 |
tcp synwait-time seconds [ageout-time seconds] Example: |
セッションをドロップする前に、TCP セッションが確立状態になるのを待機する時間を指定します。
|
||
|
Step 9 |
end Example: |
パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
||
|
Step 10 |
show policy-firewall stats global Example: |
グローバル ファイアウォール統計情報を表示します。 |
max-incomplete aggressive-aging command, it applies to the default VRF. を設定する場合
| Command or Action | Purpose | |||
|---|---|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
||
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 3 |
次のいずれかのコマンドを入力します:
Example: |
|
||
|
Step 4 |
max-incomplete number aggressive-aging high {value low value | percent percent low percent percent} Example: |
ハーフオープン ファイアウォール セッションの上限およびアグレッシブ エージング制限を設定します。 |
||
|
Step 5 |
session total number [aggressive-aging high {value low value | percent percent low percent percent}] Example: |
総ファイアウォール セッションの合計制限およびアグレッシブ エージング制限を設定します。 |
||
|
Step 6 |
exit Example: |
パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 7 |
parameter-map type inspect parameter-map-name Example: |
接続しきい値、タイムアウト、およびその他の inspect アクションに関連するパラメータの検査タイプパラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーション モードを開始します。 |
||
|
Step 8 |
tcp synwait-time seconds [ageout-time seconds] Example: |
セッションをドロップする前に、TCP セッションが確立状態になるのを待機する時間を指定します。
|
||
|
Step 9 |
end Example: |
パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
||
|
Step 10 |
show policy-firewall stats vrf global Example: |
グローバル VRF ファイアウォール ポリシー統計を表示します。 |
| Command or Action | Purpose | |||
|---|---|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
||
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 3 |
ip vrf vrf-name Example: |
VRF インスタンスを定義し、VRF コンフィギュレーション モードを開始します。 |
||
|
Step 4 |
rd route-distinguisher Example: |
VRF インスタンスのルート識別子(RD)を指定します。 |
||
|
Step 5 |
route-target export route-target-ext-community Example: |
ルート ターゲット拡張コミュニティを作成し、ルーティング情報をターゲット VPN 拡張コミュニティにエクスポートします。 |
||
|
Step 6 |
route-target import route-target-ext-community Example: |
ルート ターゲット拡張コミュニティを作成し、ターゲット VPN 拡張コミュニティからルーティング情報をインポートします。 |
||
|
Step 7 |
exit Example: |
VRF コンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 8 |
parameter-map type inspect-vrf vrf-pmap-name Example: |
VRF 検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。 |
||
|
Step 9 |
max-incomplete number aggressive-aging high {value low value | percent percent low percent percent} Example: |
ハーフ オープン セッションの上限およびアグレッシブ エージング制限を設定します。 |
||
|
Step 10 |
session total number [aggressive-aging {high value low value | percent percent low percent percent}] Example: |
総セッション制限および総セッションに関するアグレッシブ エージング制限を設定します。
|
||
|
Step 11 |
alert on Example: |
ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。 |
||
|
Step 12 |
exit Example: |
パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 13 |
次のいずれかのコマンドを入力します。
Example: |
|
||
|
Step 14 |
vrf vrf-name inspect vrf-pmap-name Example: |
パラメータ マップに VRF をバインドします。 |
||
|
Step 15 |
exit Example: |
パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 16 |
parameter-map type inspect parameter-map-name Example: |
接続しきい値、タイムアウト、およびその他の inspect アクションに関連するパラメータの検査タイプパラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーション モードを開始します。 |
||
|
Step 17 |
tcp idle-time seconds [ageout-time seconds] Example: |
アイドル状態の TCP セッションのタイムアウト、および TCP セッションのアグレッシブ エージング アウト時間を設定します。 |
||
|
Step 18 |
tcp synwait-time seconds [ageout-time seconds] Example: |
セッションをドロップする前に、TCP セッションが確立状態になるのを待機する時間を指定します。
|
||
|
Step 19 |
exit Example: |
パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 20 |
policy-map type inspect policy-map-name Example: |
プロトコル固有の検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。 |
||
|
Step 21 |
class type inspect match-any class-map-name Example: |
アクションの実行対象となるトラフィック(クラス)を指定し、QoS ポリシー マップ クラス コンフィギュレーション モードを開始します。 |
||
|
Step 22 |
inspect parameter-map-name Example: |
パラメータ マップのステートフル パケット インスペクションをディセーブルにします。 |
||
|
Step 23 |
end Example: |
QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
||
|
Step 24 |
show policy-firewall stats vrf vrf-pmap-name Example: |
VRF レベル ポリシー ファイアウォール統計情報を表示します。 |
次に、show policy-firewall stats vrf vrf1-pmap コマンドの出力例を示します。
Device# show policy-firewall stats vrf vrf1-pmap
VRF: vrf1, Parameter-Map: vrf1-pmap
Interface reference count: 2
Total Session Count(estab + half-open): 80, Exceed: 0
Total Session Aggressive Aging Period Off, Event Count: 0
Half Open
Protocol Session Cnt Exceed
-------- ----------- ------
All 0 0
UDP 0 0
ICMP 0 0
TCP 0 0
TCP Syn Flood Half Open Count: 0, Exceed: 116
Half Open Aggressive Aging Period Off, Event Count: 0
ICMP、TCP、または UDP ファイアウォール セッションのエージング アウトを設定できます。
| Command or Action | Purpose | |||
|---|---|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
||
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 3 |
次のいずれかのコマンドを入力します。
Example: |
|
||
|
Step 4 |
vrf vrf-name inspect vrf-pmap-name Example: |
パラメータ マップに VRF をバインドします。 |
||
|
Step 5 |
exit Example: |
パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 6 |
parameter-map type inspect parameter-map-name Example: |
接続しきい値、タイムアウト、およびその他の inspect アクションに関連するパラメータの検査タイプパラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーション モードを開始します。 |
||
|
Step 7 |
tcp idle-time seconds [ageout-time seconds] Example: |
|
||
|
Step 8 |
tcp synwait-time seconds [ageout-time seconds] Example: |
セッションをドロップする前に、TCP セッションが確立状態になるのを待機する時間を指定します。
|
||
|
Step 9 |
exit Example: |
パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 10 |
policy-map type inspect policy-map-name Example: |
プロトコル固有の検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。 |
||
|
Step 11 |
class type inspect match-any class-map-name Example: |
アクションの実行対象となるトラフィック クラスを指定し、QoS ポリシー マップ クラス コンフィギュレーション モードを開始します。 |
||
|
Step 12 |
inspect parameter-map-name Example: |
パラメータ マップのステートフル パケット インスペクションをディセーブルにします。 |
||
|
Step 13 |
end Example: |
QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
||
|
Step 14 |
show policy-firewall stats vrf vrf-pmap-name Example: |
VRF レベル ポリシー ファイアウォール統計情報を表示します。 |
次に、show policy-firewall stats vrf vrf1-pmap コマンドの出力例を示します。
Device# show policy-firewall stats vrf vrf1-pmap
VRF: vrf1, Parameter-Map: vrf1-pmap
Interface reference count: 2
Total Session Count(estab + half-open): 270, Exceed: 0
Total Session Aggressive Aging Period Off, Event Count: 0
Half Open
Protocol Session Cnt Exceed
-------- ----------- ------
All 0 0
UDP 0 0
ICMP 0 0
TCP 0 0
TCP Syn Flood Half Open Count: 0, Exceed: 12
Half Open Aggressive Aging Period Off, Event Count: 0
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
parameter-map type inspect-zone zone-pmap-name Example: |
ゾーン検査パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。 |
|
Step 4 |
alert on Example: |
|
|
Step 5 |
threat-detection basic-threat Example: |
ゾーンの基本脅威検出を設定します。 |
|
Step 6 |
threat-detection rate fw-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second Example: |
|
|
Step 7 |
threat-detection rate inspect-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second Example: |
ファイアウォール インスペクション ベースのドロップ イベントに関する脅威検出レートを設定します。 |
|
Step 8 |
threat-detection rate syn-attack average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second Example: |
TCP SYN 攻撃イベントの脅威検出レートを設定します。 |
|
Step 9 |
exit Example: |
パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
|
Step 10 |
zone security security-zone-name Example: |
セキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。 |
|
Step 11 |
protection parameter-map-name Example: |
ゾーン検査パラメータ マップをゾーンにアタッチし、ゾーン検査パラメータ マップで設定されている機能をゾーンに適用します。 |
|
Step 12 |
exit Example: |
セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
|
Step 13 |
zone-pair security zone-pair-name source source-zone destination destination-zone Example: |
ゾーン ペアを作成し、セキュリティ ゾーンペア コンフィギュレーション モードを開始します。 |
|
Step 14 |
end Example: |
セキュリティ ゾーン ペア コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
|
Step 15 |
show policy-firewall stats zone Example: |
ゾーン レベルでのポリシー ファイアウォール統計情報を表示します。 |
ボックス単位とは、ファイアウォール セッション テーブル全体という意味です。parameter-map type inspect-global コマンドに続くすべての設定がボックスに適用されます。
| Command or Action | Purpose | |||
|---|---|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
||
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 3 |
次のいずれかのコマンドを入力します。
Example: |
接続しきい値およびタイムアウトのグローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
|
||
|
Step 4 |
alert on Example: |
ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。 |
||
|
Step 5 |
per-box max-incomplete number Example: |
ファイアウォール セッション テーブルのハーフオープン接続の最大数を設定します。 |
||
|
Step 6 |
session total number Example: |
ファイアウォール セッション テーブルの合計セッション制限を設定します。 |
||
|
Step 7 |
end Example: |
パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
||
|
Step 8 |
show policy-firewall stats global Example: |
グローバル ファイアウォール統計情報を表示します。 |
| Command or Action | Purpose | |||
|---|---|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
||
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 3 |
parameter-map type inspect-vrf vrf-name Example: |
VRF 検査パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。 |
||
|
Step 4 |
alert on Example: |
ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。 |
||
|
Step 5 |
max-incomplete number Example: |
VRF ごとのハーフ オープン接続の最大数を設定します。 |
||
|
Step 6 |
session total number Example: |
VRF の総セッション制限を設定します。 |
||
|
Step 7 |
exit Example: |
パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 8 |
次のいずれかのコマンドを入力します。
Example: |
|
||
|
Step 9 |
alert on Example: |
ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。 |
||
|
Step 10 |
vrf vrf-name inspect vrf-pmap-name Example: |
グローバル パラメータ マップに VRF をバインドします。 |
||
|
Step 11 |
end Example: |
パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
||
|
Step 12 |
show policy-firewall stats vrf vrf-pmap-name Example: |
VRF レベル ポリシー ファイアウォール統計情報を表示します。 |
| Command or Action | Purpose | |||
|---|---|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
||
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 3 |
次のいずれかのコマンドを入力します。
Example: |
グローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
|
||
|
Step 4 |
alert on Example: |
ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。 |
||
|
Step 5 |
per-box tcp syn-flood limit number Example: |
新しい SYN パケットの SYN Cookie 処理をトリガーする TCP ハーフ オープン セッションの数を制限します。 |
||
|
Step 6 |
end Example: |
パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
||
|
Step 7 |
show policy-firewall stats vrf global Example: |
(任意)グローバル VRF ファイアウォール ポリシーのステータスを表示します。
|
次に、show policy-firewall stats vrf global コマンドの出力例を示します。
Device# show policy-firewall stats vrf global
Global table statistics
total_session_cnt: 0
exceed_cnt: 0
tcp_half_open_cnt: 0
syn_exceed_cnt: 0 Note |
グローバル パラメータ マップは、ルータ レベルではなく、グローバル ルーティング ドメインで有効になります。 |
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
parameter-map type inspect-vrf vrf-pmap-name Example: |
VRF 検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。 |
|
Step 4 |
session total number Example: |
セッションの総数を設定します。 |
|
Step 5 |
tcp syn-flood limit number Example: |
新しい SYN パケットの同期(SYN)Cookie 処理をトリガーする TCP ハーフ オープン セッションの数を制限します。 |
|
Step 6 |
exit Example: |
パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
|
Step 7 |
parameter-map type inspect-global Example: |
グローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。 |
|
Step 8 |
vrf vrf-name inspect parameter-map-name Example: |
VRF をパラメータ マップにバインドします。 |
|
Step 9 |
exit Example: |
パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
|
Step 10 |
parameter-map type inspect-vrf vrf-default Example: |
デフォルトの VRF 検査タイプ パラメータ マップを設定します。 |
|
Step 11 |
session total number Example: |
セッションの総数を設定します。
|
|
Step 12 |
tcp syn-flood limit number Example: |
新しい SYN パケットの SYN Cookie 処理をトリガーする TCP ハーフ オープン セッションの数を制限します。 |
|
Step 13 |
end Example: |
パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
Device# configure terminal
Device(config)# vrf-definition VRF1
Device(config-vrf)# address-family ipv6
Device(config-vrf-af)# exit-address-family
Device(config-vrf)# exit
Device(config)# parameter-map type inspect ipv6-param-map
Device(config-profile)# sessions maximum 10000
Device(config-profile)# exit
Device(config)# ipv6 unicast-routing
Device(config)# ip port-map ftp port 8090 list ipv6-acl
Device(config)# ipv6 access-list ipv6-acl
Device(config-ipv6-acl)# permit ipv6 any any
Device(config-ipv6-acl)# exit
Device(config)# class-map type inspect match-all ipv6-class
Device(config-cmap)# match access-group name ipv6-acl
Device(config-cmap)# match protocol tcp
Device(config-cmap)# exit
Device(config)# policy-map type inspect ipv6-policy
Device(config-pmap)# class type inspect ipv6-class
Device(config-pmap-c)# inspect ipv6-param-map
Device(config-pmap-c)# end例:ファイアウォール セッションのアグレッシブ エージングの設定
Device# configure terminal
Device(config)# parameter-map type inspect global
Device(config-profile)# per-box max-incomplete 2000 aggressive-aging 1500 low 1200
Device(config-profile)# per-box aggressive-aging high 1700 low 1300
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# endDevice# configure terminal
Device(config)# parameter-map type inspect global
Device(config-profile)# max-incomplete 2000 aggressive-aging high 1500 low 1200
Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# end
Device# configure terminal
Device(config)# ip vrf ddos-vrf1
Device(config-vrf)# rd 100:2
Device(config-vrf)# route-target export 100:2
Device(config-vrf)# route-target import 100:2
Device(config-vrf)# exit
Device(config)# parameter-map type inspect-vrf vrf1-pmap
Device(config-profile)# max-incomplete 3455 aggressive-aging high 2345 low 2255
Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
Device(config-profile)# alert on
Device(config-profile)# exit
Device(config)# parameter-map type inspect global
Device(config-profile)# vrf vrf1 inspect vrf1-pmap
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp idle-time 3000 ageout-time 100
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# exit
Device(config)# policy-map type inspect ddos-fw
Device(config-pmap)# class type inspect match-any ddos-class
Device(config-pmap-c)# inspect pmap1
Device(config-profile)# end
Device# configure terminal
Device(config-profile)# exit
Device(config)# parameter-map type inspect global
Device(config-profile)# vrf vrf1 inspect vrf1-pmap
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp idle-time 3000 ageout-time 100
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# exit
Device(config)# policy-map type inspect ddos-fw
Device(config-profile)# class type inspect match-any ddos-class
Device(config-profile)# inspect pmap1
Device(config-profile)# end
Device> enable
Device# configure terminal
Device(config)# parameter-map type inspect zone zone-pmap1
Device(config-profile)# alert on
Device(config-profile)# threat-detection basic-threat
Device(config-profile)# threat-detection rate fw-drop average-time-frame 600 average-threshold 100 burst-threshold 100
Device(config-profile)# threat-detection rate inspect-drop average-time-frame 600 average-threshold 100 burst-threshold 100
Device(config-profile)# threat-detection rate syn-attack average-time-frame 600 average-threshold 100 burst-threshold 100
Device(config-profile)# exit
Device(config)# zone security public
Device(config-sec-zone)# protection zone-pmap1
Device(config-sec-zone)# exit
Device(config)# zone-pair security private2public source private destination public
Device(config-sec-zone-pair)# end
Device# configure terminal
Device(config)# parameter-map type inspect global
Device(config-profile)# alert on
Device(config-profile)# per-box max-incomplete 12345
Device(config-profile)# session total 34500
Device(config-profile)# end
Device# configure terminal
Device(config)# parameter-map type inspect vrf vrf1-pmap
Device(config-profile)# alert on
Device(config-profile)# max-incomplete 3500
Device(config-profile)# session total 34500
Device(config-profile)# exit
Device(config)# parameter-map type inspect global
Device(config-profile)# alert on
Device(config-profile)# vrf vrf1 inspect vrf1-pmap
Device(config-profile)# end
Device# configure terminal
Device(config)# parameter-map type inspect global
Device(config-profile)# alert on
Device(config-profile)# per-box tcp syn-flood limit 500
Device(config-profile)# end
Device# configure terminal
Device(config)# parameter-map type inspect-vrf vrf1-pmap
Device(config-profile)# session total 1000
Device(config-profile)# tcp syn-flood limit 2000
Device(config-profile)# exit
Device(config)# parameter-map type inspect-global
Device(config-profile)# vrf vrf1 inspect pmap1
Device(config-profile)# exit
Device(config)# parameter-map type inspect-vrf vrf-default
Device(config-profile)# session total 6000
Device(config-profile)# tcp syn-flood limit 7000
Device(config-profile)# end
|
関連項目 |
マニュアル タイトル |
|---|---|
|
Cisco IOS コマンド |
|
|
セキュリティ コマンド |
|
|
説明 |
リンク |
|---|---|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。|
機能名 |
リリース |
機能情報 |
|---|---|---|
|
IPv6 ファイアウォールでの分散型サービス妨害攻撃の防止およびリソース管理のサポート |
Cisco IOS XE Release 3.7S |
IPv6 ゾーンベース ファイアウォールでは、分散型サービス妨害攻撃の防止およびリソース管理がサポートされています。 分散型サービス妨害攻撃の防止機能は、グローバル レベル(すべてのファイアウォール セッション)および VPN ルーティングおよび転送(VRF)レベルでのサービス妨害(DoS)攻撃からの保護を提供します。分散型 DoS 攻撃を防止するため、ファイアウォール セッションのアグレッシブ エージング、ファイアウォール セッションのイベント レート モニタ、ハーフオープン接続制限、およびグローバル TCP SYN Cookie 保護を設定できます。 ファイアウォール リソース管理機能では、デバイスで設定されているグローバル ファイアウォール セッションと VPN ルーティングおよび転送(VRF)インスタンスの数が制限されます。 |
|
IPv6 ファイアウォールでの分散型サービス妨害攻撃の防止およびリソース管理のサポート |
Cisco IOS XE Release 3.10S |
Cisco IOS XE リリース 3.10S では、Cisco CSR 1000 シリーズ ルータのサポートが追加されました。 |
フィードバック