Cisco ASA シリーズファイアウォールCLIコンフィギュレーションガイドソフトウェアバージョン 9.3

check-retransmission

一貫性のない TCP 再送信を防止します。

checksum-verification

チェックサムを確認します。

exceed-mss { allow | drop }

データ長が TCP 最大セグメント サイズを超えるパケットに対するアクションを設定します。

（デフォルト） allow キーワードは、データ長が TCP 最大セグメント サイズを超えるパケットを許可します。

drop キーワードは、データ長が TCP 最大セグメント サイズを超えるパケットをドロップします。

invalid-ack { allow | drop }

無効な ACK を含むパケットに対するアクションを設定します。次のような場合に無効な ACK が検出される可能性があります。

• TCP 接続が SYN-ACK-received ステータスでは、受信した TCP パケットの ACK 番号が次の TCP パケット送信のシーケンス番号と同じでない場合、その ACK は無効です。

• 受信した TCP パケットの ACK 番号が次の TCP パケット送信のシーケンス番号より大きい場合は常に、その ACK は無効です。

allow キーワードは、無効な ACK を含むパケットを許可します。

（デフォルト） drop キーワードは、無効な ACK を含むパケットをドロップします。

queue-limit pkt_num [ timeout  seconds ]

バッファに格納して TCP 接続の正しい順序に設定できる、異常なパケットの最大数を設定します。1 ～ 250 パケットです。デフォルト値の 0 は、この設定がディセーブルであり、トラフィックのタイプに応じたデフォルトのシステム キュー制限が使用されることを意味します。

• アプリケーション インスペクション（ inspect コマンド）、IPS（ ips コマンド）、および TCP インスペクション再送信（TCP マップ check-retransmission コマンド）のための接続のキュー制限は、3 パケットです。ASA が異なるウィンドウ サイズの TCP パケットを受信した場合は、アドバタイズされた設定と一致するようにキュー制限がダイナミックに変更されます。

• 他の TCP 接続の場合は、異常なパケットはそのまま通過します。

queue-limit コマンドを 1 以上に設定した場合、すべての TCP トラフィックに対して許可される異常なパケットの数は、この設定と一致します。たとえば、アプリケーション インスペクション、IPS、および TCP check-retransmission のトラフィックの場合、TCP パケットからアドバタイズされたすべての設定が キュー制限 設定を優先して、無視されます。その他の TCP トラフィックについては、異常なパケットはバッファに格納されて、そのまま通過するのではなく、正しい順序に設定されます。

timeout seconds 引数は、異常なパケットがバッファ内に留まることができる最大時間を設定します。設定できる値は 1 ～ 20 秒です。タイムアウト期間内に正しい順序に設定されて渡されなかったパケットはドロップされます。デフォルトは 4 秒です。 pkt_num 引数を 0 に設定した場合は、どのトラフィックのタイムアウトも変更できません。 timeout キーワードを有効にするには、制限を 1 以上に設定する必要があります。

reserved-bits { allow | clear | drop }

TCP ヘッダーの予約ビットに対するアクションを設定します。

（デフォルト） allow キーワードは、TCP ヘッダーの予約ビットが設定されているパケットを許可します。

clear キーワードは、TCP ヘッダーの予約ビットを消去して、パケットを許可します。

drop キーワードは、TCP ヘッダーの予約ビットが設定されているパケットをドロップします。

seq-past-window { allow | drop }

パストウィンドウ シーケンス番号を含むパケットに対するアクションを設定します。つまり、受信した TCP パケットのシーケンス番号が、TCP 受信ウィンドウの右端より大きい場合です。

allow キーワードは、パストウィンドウ シーケンス番号を含むパケットを許可します。このアクションは、 queue-limit コマンドが 0（ディセーブル）に設定されている場合に限り許可されます。

（デフォルト） drop キーワードは、パストウィンドウ シーケンス番号を含むパケットをドロップします。

synack-data { allow | drop }

データを含む TCP SYNACK パケットに対するアクションを設定します。

allow キーワードは、データを含む TCP SYNACK パケットを許可します。

（デフォルト） drop キーワードは、データを含む TCP SYNACK パケットをドロップします。

syn-data { allow | drop }

データを含む SYN パケットに対するアクションを設定します。

（デフォルト） allow キーワードは、データを含む SYN パケットを許可します。

drop キーワードは、データを含む SYN パケットをドロップします。

tcp-options { selective-ack | timestamp | window-scale } { allow | clear }

または

tcp-options range lower upper { allow | clear | drop }

selective-ack、timestamp、window-scale などの TCP オプションを含むパケットに対するアクションを設定します。

（デフォルト） allow キーワードは、指定したオプションを含むパケットを許可します。

（ range の場合のデフォルト） clear キーワードは、オプションを消去して、パケットを許可します。

drop キーワードは、指定したオプションを含むパケットをドロップします。

selective-ack キーワードは、SACK オプションに対するアクションを設定します。

timestamp キーワードは、タイムスタンプ オプションに対するアクションを設定します。タイムスタンプ オプションを消去すると、PAWS と RTT がディセーブルになります。

widow-scale キーワードは、ウィンドウ スケール メカニズム オプションに対するアクションを設定します。

range キーワードは、オプションの範囲を指定します。 lower 引数は、範囲の下限を設定します。6、7、または 9 ～ 255 です。

upper 引数は、範囲の上限を設定します。6、7、または 9 ～ 255 です。

ttl-evasion-protection

TTL 回避保護をディセーブルにします。セキュリティ ポリシーを回避しようとする攻撃を防ぐ場合は、このコマンドを入力しないでください。

たとえば、攻撃者は TTL を非常に短くしてポリシーを通過するパケットを送信できます。TTL がゼロになると、ASA とエンドポイントの間のルータはパケットをドロップします。この時点で、攻撃者は TTL を長くした悪意のあるパケットを送信できます。このパケットは、ASA にとって再送信のように見えるため、通過します。一方、エンドポイント ホストにとっては、このパケットが攻撃者によって受信された最初のパケットになります。この場合、攻撃者はセキュリティによる攻撃の防止を受けず、攻撃に成功します。

urgent-flag { allow | clear }

URG フラグを含むパケットに対するアクションを設定します。URG フラグは、ストリーム中の他のデータよりもプライオリティの高い情報がこのパケットに含まれていることを示すために使用します。TCP RFC では、URG フラグの正確な解釈が明確にされていません。そのため、エンド システムは緊急オフセットをさまざまな方法で処理しており、これが攻撃に対する脆弱性になることがあります。

allow キーワードは、URG フラグを含むパケットを許可します。

（デフォルト） clear キーワードは、URG フラグを消去してパケットを許可します。

window-variation { allow | drop }

予想外のウィンドウ サイズの変更が発生した接続に対するアクションを設定します。ウィンドウ サイズ メカニズムによって、TCP は大きなウィンドウをアドバタイズでき、続いて、過剰な量のデータを受け入れずに、はるかに小さなウィンドウをアドバタイズできます。TCP 仕様により、「ウィンドウの縮小」は極力避けることが推奨されています。この条件が検出された場合に、接続をドロップできます。

（デフォルト） allow キーワードは、ウィンドウが変化した接続を許可します。

drop キーワードは、ウィンドウが変化した接続をドロップします。

ステップ 1

class-map name

hostname(config)# class-map bypass_traffic

ステートフル ファイアウォール インスペクションをディセーブルにするトラフィックを識別するためのクラス マップを作成します。

ステップ 2

match parameter

hostname(config-cmap)# match access-list bypass

クラス マップのトラフィックを指定します。詳細については、「トラフィックの特定（レイヤ 3/4 クラス マップ）」を参照してください。

ステップ 3

policy-map name

hostname(config)# policy-map tcp_bypass_policy

クラス マップ トラフィックで実行するアクションを設定するポリシー マップを追加または編集します。

ステップ 4

class name

hostname(config-pmap)# class bypass_traffic

ステップ 1 で作成したクラス マップを識別します。

ステップ 5

次のいずれかまたは複数の作業を実行します。

set connection {[ conn-max n ] [ embryonic-conn-max n ] [ per-client-embryonic-max n ] [ per-client-max n ] [ random-sequence-number { enable | disable }]}

hostname(config-pmap-c)# set connection conn-max 256 random-sequence-number disable

最大接続数を設定するか、TCP シーケンスのランダム化をイネーブルにするかどうかを設定します。

conn-max n 引数には、許可される同時 TCP/UDP 接続の最大数を 0 ～ 2000000 の範囲で設定します。デフォルトは 0 で、この場合は接続数が制限されません。

TCP または UDP の同時接続を許可するように 2 つのサーバが設定されている場合、接続制限数は、設定されている各サーバに別々に適用されます。

クラスに設定された場合、この引数では、クラス全体で許可される同時接続最大数が制限されます。この場合、1 つの攻撃ホストがすべての接続を使い果たし、クラスにおいて ACL に一致する他のホストが使用できる接続がなくなる可能性があります。

embryonic-conn-max n 引数には、許可される同時初期接続の最大数を 0 ～ 2000000 の範囲で設定します。デフォルトは 0 で、この場合は接続数が制限されません。

per-client-embryonic-max n 引数には、クライアントごとに許可される同時初期接続の最大数を 0 ～ 2000000 の範囲で設定します。デフォルトは 0 で、この場合は接続数が制限されません。

per-client-max n 引数には、クライアントごとに許可される同時接続の最大数を 0 ～ 2000000 の範囲で設定します。デフォルトは 0 で、この場合は接続数が制限されません。クラスに設定された場合、この引数では、クラスにおいて ACL に一致する各ホストに許可される同時接続最大数が制限されます。

random-sequence-number { enable | disable } キーワードで、TCP シーケンス番号のランダム化をイネーブルまたはディセーブルにします。詳細については、「TCP シーケンスのランダム化」を参照してください。

このコマンドを 1 行ですべて入力することも（順序は任意）、各属性を別々のコマンドとして入力することもできます。ASA は、コマンドを実行コンフィギュレーション内で 1 行に結合します。

（注） 管理トラフィックの場合は、conn-max キーワードと embryonic-conn-max キーワードだけを設定できます。

set connection timeout {[ embryonic hh : mm : ss] { idle hh : mm : ss [ reset ]] [ half-closed hh : mm : ss] [dcd hh : mm : ss [ max_retries ]]}

hostname(config-pmap-c)# set connection timeout idle 2:0:0 embryonic 0:40:0 half-closed 0:20:0 dcd

接続タイムアウトを設定します。グローバル タイムアウトについては、コマンド リファレンスの timeout コマンドを参照してください。次に説明するデフォルト値は、これらの動作のグローバルのデフォルト値を変更していないことを前提としています。グローバルのデフォルト値はここで説明する値を上書きします。

embryonic hh : mm : ss キーワードには、TCP 初期（ハーフオープン）接続が閉じられるまでのタイムアウトを 0:0:5 ～ 1193:00:00 の間で設定します。デフォルトは 0:0:30 です。この値を 0 に設置することもでき、この場合は接続がタイムアウトしないことを意味します。

idle hh : mm : ss キーワードは、いずれかのプロトコルの確立された接続が閉じてからのアイドル タイムアウト期間を 0:0:1 から 1193:0:0 の間で設定します。デフォルトは 1:0:0 です。この値を 0 に設置することもでき、この場合は接続がタイムアウトしないことを意味します。TCP トラフィックの場合、 reset キーワードを指定すると、接続のタイムアウト時にリセット パケットが TCP エンドポイントに送信されます。

The half-closed hh : mm : ss キーワードは、ハーフ クローズ接続が閉じられるまでのアイドル タイムアウト期間を 0:5:0（9.1(1) 以前の場合）または 0:0:30（9.1(2) 以降の場合）から 1193:0:0 の間で設定します。デフォルトは 0:10:0 です。ハーフクローズの接続は DCD の影響を受けません。また、ASA は、ハーフクローズ接続を切断するときにリセット パケットを送信しません。

dcd キーワードは、DCD をイネーブルにします。DCD では、デッド接続を検出して、トラフィックをまだ処理できる接続を期限切れにすることなく、そのデッド接続を期限切れにすることができます。DCD は、アイドル状態でも有効な接続を維持する場合に設定します。TCP 接続がタイムアウトすると、ASA は、エンドホストに DCD プローブを送信して接続の有効性を判断します。最大再試行回数を超えてもエンドホストの一方が応答しない場合、ASA はその接続を解放します。両方のエンドホストが応答して接続の有効性が確認されると、ASA はアクティビティ タイムアウトを現在時刻に更新し、それに応じてアイドル タイムアウトを再スケジュールします。retry-interval には、DCD プローブに応答がない場合に別のプローブを送信するまで待機する時間を、 hh : mm : ss 形式で、0:0:1 から 24:0:0 の範囲で設定します。デフォルトは 0:0:15 です。max-retries には、接続が無活動状態であると宣言するまでに失敗する DCD の連続再試行回数を設定します。最小値は 1、最大値は 255 です。デフォルトは 5 です。

デフォルトの udp アイドル タイムアウトは 2 分です。

デフォルトの icmp アイドル タイムアウトは 2 秒です。

デフォルトの esp および ha アイドル タイムアウトは 30 秒です。

その他すべてのプロトコルでは、デフォルトのアイドル タイムアウトは 2 分です。

タイムアウトにならないようにするには、0:0:0 を入力します。

このコマンドを 1 行ですべて入力することも（順序は任意）、各属性を別々のコマンドとして入力することもできます。コマンドは実行コンフィギュレーションで 1 行に結合されます。このコマンドは、管理トラフィックでは使用できません。

set connection advanced-options tcp-map-name

hostname(config-pmap-c)# set connection advanced-options tcp_map1

TCP ノーマライザをカスタマイズします。TCP マップを作成するには、「TCP マップを使用した TCP ノーマライザのカスタマイズ」を参照してください。

set connection advanced-options tcp-state-bypass

hostname(config-pmap-c)# set connection advanced-options tcp-state-bypass

TCP ステート バイパスをイネーブルにします。

ステップ 6

service-policy policymap_name {global | interface interface_name }

hostname(config)# service-policy tcp_bypass_policy outside

1 つまたは複数のインターフェイスでポリシー マップをアクティブにします。 global はポリシー マップをすべてのインターフェイスに適用し、 interface は 1 つのインターフェイスに適用します。グローバル ポリシーは 1 つしか適用できません。インターフェイスのグローバル ポリシーは、そのインターフェイスにサービス ポリシーを適用することで上書きできます。各インターフェイスには、ポリシー マップを 1 つだけ適用できます。