接続設定に関する情報
接続の設定は、ASA を経由する TCP フローなどのトラフィック接続の管理に関連するさまざまな機能で構成されます。一部の機能は、特定のサービスを提供するために設定する名前付きコンポーネントです。
接続の設定には、次が含まれています。
-
さまざまなプロトコルのグローバル タイムアウト:すべてのグローバル タイムアウトにデフォルト値があるため、早期の接続の切断が発生した場合にのみグローバル タイムアウトを変更する必要があります。
-
トラフィック クラスごとの接続タイムアウト:サービス ポリシーを使用して、特定のタイプのトラフィックのグローバル タイムアウトを上書きできます。すべてのトラフィック クラスのタイムアウトにデフォルト値があるため、それらの値を設定する必要はありません。
-
接続制限と TCP 代行受信:デフォルトでは、ASA を経由する(または宛先とする)接続の数に制限はありません。サービス ポリシー ルールを使用して特定のトラフィック クラスに制限を設定することで、サービス妨害(DoS)攻撃からサーバーを保護できます。特に、初期接続(TCP ハンドシェイクを完了していない初期接続)に制限を設定できます。これにより、SYN フラッディング攻撃から保護されます。初期接続の制限を超えると、TCP 代行受信コンポーネントは、プロキシ接続に関与してその攻撃が抑制されていることを確認します。
-
Dead Connection Detection(DCD; デッド接続検出):アイドル タイムアウトの設定を超えたために接続が閉じられるように、頻繁にアイドル状態になっても有効な接続を維持する場合、Dead Connection Detection をイネーブルにして、アイドル状態でも有効な接続を識別してそれを維持することができます(接続のアイドル タイマーをリセットすることによって)。アイドル時間を超えるたびに、DCD は接続の両側にプローブを送信して、接続が有効であることを両側で合意しているかどうかを確認します。show service-policy コマンド出力には、DCD からのアクティビティ量を示すためのカウンタが含まれています。show conn detail コマンドを使用すると、発信側と受信側の情報およびプローブの送信頻度を取得できます。
-
TCP シーケンスのランダム化:それぞれの TCP 接続には 2 つの ISN(初期シーケンス番号)が割り当てられており、そのうちの 1 つはクライアントで生成され、もう 1 つはサーバーで生成されます。デフォルトでは、ASA は、着信と発信の両方向で通過する TCP SNY の ISN をランダム化します。ランダム化により、攻撃者が新しい接続に使用される次の ISN を予測して新しいセッションをハイジャックするのを阻止します。必要に応じて、トラフィック クラスごとにランダム化をディセーブルにすることができます。
-
TCP 正規化:TCP ノーマライザは、異常なパケットから保護します。一部のタイプのパケット異常をトラフィック クラスで処理する方法を設定できます。
-
TCPステート バイパス:ネットワークで非対称ルーティングを使用するかどうかをチェックする TCP ステートをバイパスできます。
-
SCTP ステート バイパス:SCTP プロトコル検証が必要なければ、Stream Control Transmission Protocol(SCTP)のステートフル インスペクションをバイパスできます。
-
フローのオフロード:フローが NIC 自体で切り替えられる超高速パスにオフロードされるトラフィックを識別して選択できます。オフロードによって、大容量ファイルの転送など、データ集約型アプリケーションのパフォーマンスを向上させることができます。
-
IPsec フローのオフロード:IPsec サイト間 VPN またはリモートアクセス VPN セキュリティ アソシエーション(SA)の初期設定後、IPsec 接続はデバイスのフィールド プログラマブル ゲート アレイ(FPGA)にオフロードされるため、デバイスのパフォーマンスが向上します。この機能をサポートするプラットフォームでは、デフォルトで有効になっています。