セキュリティ コンフィギュレーション ガイド:ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S(ASR 1000)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

セキュリティ コンフィギュレーション ガイド:ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S(ASR 1000)

Chapter Title

分散型サービス拒否攻撃に対する保護

検索結果

Updated:
2017年6月28日

章のタイトル: 分散型サービス拒否攻撃に対する保護

目次

分散型サービス拒否攻撃に対する保護機能は、グローバル レベルで(すべてのファイアウォール セッションに対して)および VPN ルーティングおよび転送(VRF)レベルで、サービス拒否(DoS)攻撃から保護します。 Cisco IOS XE Release 3.4S 以降のリリースでは、分散型 DoS 攻撃を防ぐために、ファイアウォール セッションのアグレッシブ エージング、ファイアウォール セッションのイベント レート モニタリング、ハーフ オープン接続制限、およびグローバル TCP SYN Cookie 保護を設定できます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の注意事項と機能情報については、Bug Search Tool およびご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

分散型サービス拒否攻撃に対する保護について

ファイアウォール セッションのアグレッシブ エージング

アグレッシブ エージング機能により、ファイアウォールは、セッションを積極的にエージング アウトして、新しいセッションのためのスペースを確保することで、ファイアウォール セッション データベースがいっぱいになるのを防ぐことができます。 ファイアウォールは、アイドル セッションを削除して、そのリソースを保護します。 アグレッシブ エージング機能により、ファイアウォール セッションが存在できる時間は、エージングアウト時間と呼ばれる、タイマーで定義された時間よりも短くなります。

アグレッシブ エージング機能には、アグレッシブ エージング期間の開始と終了を定義するしきい値(高ウォーターマークと低ウォーターマーク)が含まれます。 アグレッシブ エージング期間は、セッション テーブルが高ウォーターマークを超えると開始され、低ウォーターマーク以下になると終了します。 アグレッシブ エージング期間中、セッションは、エージングアウト時間を使用して設定された期間よりも短い期間存在します。 攻撃者が、ファイアウォールがセッションを終了するレートよりも短い時間でセッションを開始する場合、セッションを作成するために割り当てられているすべてのリソースが使用され、新しいすべての接続が拒否されます。 このような攻撃を防ぐには、セッションを積極的にエージング アウトするようにアグレッシブ エージング機能を設定できます。 この機能はデフォルトで無効に設定されています。

ボックス レベル(ボックスはファイアウォール セッション テーブル全体を示します)および仮想ルーティングおよび転送(VRF)レベルでハーフ オープン セッションおよび総セッションにアグレッシブ エージングを設定できます。 この機能を総セッションに設定している場合、ファイアウォール セッション リソースを消費するすべてのセッションが考慮されます。 総セッションは、確立されているセッション、ハーフ オープン セッション、および明確でないセッション データベース内のセッションで構成されます。 (確立状態にまだ到達していない TCP セッションはハーフ オープン セッションと呼ばれます)。

ファイアウォールには、2 つのセッション データベース(セッション データベースおよび明確でないセッション データベース)があります。 セッション データベースには、5 タプル(送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、およびプロトコル)のセッションが含まれます。 タプルは、要素の順序付きリストです。 明確でないセッション データベースには、5 タプルよりも少ない(IP アドレスやポート番号などが欠落している)セッションが含まれます。 ハーフ オープン セッションのアグレッシブ エージングの場合、ハーフ オープン セッションだけが考慮されます。

インターネット制御メッセージ プロトコル(ICMP)、TCP、および UDP のファイアウォール セッションにアグレッシブ エージング アウト時間を設定できます。 エージング アウト時間は、デフォルトでアイドル時間に設定されます。

イベント レート モニタリング機能

イベント レート モニタリング機能は、ゾーンの定義済みイベントのレートをモニタします。 イベント レート モニタリング機能には基本脅威検出が含まれます。これにより、セキュリティ デバイスは、ファイアウォールの内側にあるリソースへの考えられる脅威、異常や攻撃を検出し、それに対するアクションを実行できます。 イベントの基本脅威検出レートを設定できます。 特定のタイプのイベントの着信レートが、設定された脅威検出レートを超えると、イベント レート モニタリングはこのイベントを脅威と見なし、脅威を停止するアクションを実行します。 脅威検出は、入力のゾーンだけでイベントを検査します(イベント レート モニタリング機能が入力ゾーンでイネーブルの場合)。

ネットワーク管理者は、アラート メッセージ(syslog または高速ロガー(HSL))を介して潜在的な脅威について通知され、攻撃ベクトルの検出、攻撃の発生元のゾーンの検出、特定の動作やトラフィックをブロックするようネットワークのデバイスを設定するなどのアクションを実行できます。

イベント レート モニタリング機能では、次のタイプのイベントをモニタします。

  • 基本的なファイアウォール チェック エラーが原因でファイアウォールがドロップする:これには、ゾーンまたはゾーン ペアのチェック エラー、または drop アクションを使用して設定されたファイアウォール ポリシーなどが含まれる場合があります。
  • レイヤ 4 インスペクション エラーが原因でファイアウォールがドロップする:これには、最初の TCP パケットが同期(SYN)パケットではないため失敗した TCP インスペクションが含まれる場合があります。
  • TCP SYN Cookie 攻撃:これには、ドロップされた SYN パケット数、およびスプーフィング攻撃として送信された SYN Cookie の数の集計が含まれる場合があります。

イベント レート モニタリング機能では、異なるイベントの平均レートとバースト レートをモニタします。 各イベント タイプには、設定可能なパラメータ セット(平均しきい値、バーストしきい値、および期間)が含まれる関連レートによって制御されるレート オブジェクトがあります。 期間はタイム スロットに分割されています。各タイム スロットは、期間の 1/30 です。

平均レートは、イベント タイプごとに計算されます。 各レート オブジェクトは、30 の完了済みサンプリング値に加えて、現在稼働中のサンプリング期間を保持するための 1 つの値を保持します。 現在のサンプリング値によって計算済みの最も古い値が置き換えられ、平均が計算されます。 平均レートは、各期間で計算されます。 平均レートが平均しきい値を超えると、イベント レート モニタリング機能は、これを潜在的な脅威と見なし、統計情報を更新し、ネットワーク管理者に通知します。

バースト レートは、トークン バケット アルゴリズムを使用して実装されます。 各タイム スロットでは、トークン バケットがトークンで埋められます。 発生する(特定のイベント タイプの)イベントごとに、トークンがバケットから削除されます。 空のバケットは、バーストしきい値に到達したことを意味し、管理者は syslog または HSL を介してアラームを受信します。 脅威検出統計情報の確認、およびゾーンのさまざまなイベントに対する潜在的脅威についての学習は、 show policy-firewall stats zoneコマンドの出力から行うことができます。

threat-detection basic-threat コマンドを使用して、最初に基本脅威検出をイネーブルにする必要があります。 基本脅威検出を設定すると、脅威検出レートを設定できます。 脅威検出レートを設定するには、threat-detection rate コマンドを使用します。

次の表に、イベント レート モニタリング機能がイネーブルの場合に適用可能な基本脅威検出のデフォルト設定を示します。

表 1 基本脅威検出のデフォルト設定

パケット ドロップの理由

脅威検出の設定

基本的なファイアウォール ドロップ

平均レート 400 パケット/秒(pps)

バースト レート 1600 pps

レート間隔 600 秒

インスペクション ベースのファイアウォール ドロップ

平均レート 400 pps

バースト レート 1600 pps

レート間隔 600 秒

SYN 攻撃ファイアウォール ドロップ

平均レート 100 pps

バースト レート 200 pps

レート間隔 600 秒

ハーフ オープン接続制限

ファイアウォール セッション テーブルは、ハーフ オープン ファイアウォール接続の制限をサポートします。 ハーフ オープン セッションの数を制限すると、ボックス単位レベルまたは仮想ルーティングおよび転送(VRF)レベルでハーフ オープン セッションを使用してファイアウォール セッション テーブルを満たす可能性がある攻撃からファイアウォールを守り、セッションが確立されるのを防ぎます。 ハーフ オープン接続制限は、レイヤ 4 プロトコル、インターネット制御メッセージ プロトコル(ICMP)、TCP、および UDP に設定できます。 UDP ハーフ オープン セッションの数に設定された制限は、TCP または ICMP のハーフ オープン セッションには影響しません。 設定されたハーフ オープン セッション制限を超えた場合、すべての新しいセッションは拒否され、ログ メッセージが syslog または高速ロガー(HSL)のいずれかに生成されます。

次のセッションは、ハーフ オープン セッションと見なされます。
  • スリーウェイ ハンドシェイクが完了していない TCP セッション。
  • UDP フローで 1 パケットだけが検出されている UDP セッション。
  • ICMP エコー要求または ICMP タイムスタンプの要求に対する応答を受信しない ICMP セッション。

TCP SYN フラッド攻撃

SYN フラッド攻撃を制限するようにグローバル TCP SYN フラッド制限を設定できます。 TCP SYN フラッディング攻撃は、サービス拒否(DoS)攻撃の一種です。 設定された TCP SYN フラッド制限に到達すると、ファイアウォールは追加のセッションを作成する前にセッションの送信元を確認します。 通常、TCP SYN パケットは、ファイアウォールの背後にある対象のエンド ホストまたはサブネット アドレスの範囲に送信されます。 これらの TCP SYN パケットによって、送信元 IP アドレスがスプーフィングされます。 スプーフィング攻撃は、個人またはプログラムが不正なデータを使用してネットワークのリソースにアクセスしようとすることです。 TCP SYN フラッディングでは、ファイアウォールまたはエンド ホスト上のすべてのリソースを占有し、そのために正当なトラフィックに対するサービス拒否が発生します。 VRF レベルおよびゾーン レベルで TCP SYN フラッド保護を設定できます。

SYN フラッド攻撃は次の 2 つのタイプに分かれています。
  • ホストのフラッディング:SYN フラッド パケットは、単一ホスト上のすべてのリソースを利用することを目的として、そのホストに送信されます。
  • ファイアウォール セッション テーブルのフラッディング:SYN フラッド パケットが、ファイアウォール上のセッション テーブル リソースを使い果たすことで、そのファイアウォールを通過する正当なトラフィックに対してリソースが拒否されることを目的として、ファイアウォール背後のアドレス範囲に送られます。

分散型サービス拒否攻撃に対する保護の設定方法

ファイアウォールの設定

この作業では、次のことを実行します。
  • ファイアウォールを設定します。
  • セキュリティ送信元ゾーンを作成します。
  • セキュリティ宛先ゾーンを作成します。
  • 設定された送信元ゾーンと宛先ゾーンを使用して、セキュリティ ゾーン ペアを作成します。
  • ゾーン メンバーとしてインターフェイスを設定します。
手順の概要

    1.    enable

    2.    configure terminal

    3.    class-map type inspect match-any class-map-name

    4.    match protocol {icmp | tcp | udp}

    5.    exit

    6.    parameter-map type inspect global

    7.    redundancy

    8.    exit

    9.    policy-map type inspect policy-map-name

    10.    class type inspect class-map-name

    11.    inspect

    12.    exit

    13.    class class-default

    14.    drop

    15.    exit

    16.    exit

    17.    zone security security-zone-name

    18.    exit

    19.    zone security security-zone-name

    20.    exit

    21.    zone-pair security zone-pair-name source source-zone destination destination-zone

    22.    service-policy type inspect policy-map-name

    23.    exit

    24.    interface type number

    25.    ip address ip-address mask

    26.    encapsulation dot1q vlan-id

    27.    zone-member security security-zone-name

    28.    end

    29.    ゾーンを別のインターフェイスに付加するには、ステップ 21 ~ 25 を繰り返します。


手順の詳細
      コマンドまたはアクション 目的
    ステップ 1 enable


    例: 
    Device> enable
     

    特権 EXEC モードをイネーブルにします。

    • パスワードを入力します(要求された場合)。
     
    ステップ 2 configure terminal


    例: 
    Device# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 3 class-map type inspect match-any class-map-name


    例: 
    Device(config)# class-map type inspect match-any ddos-class
     

    アプリケーション固有検査タイプ クラス マップを作成し、QoS クラスマップ コンフィギュレーション モードを開始します。

     
    ステップ 4 match protocol {icmp | tcp | udp}


    例: 
    Device(config-cmap)# match protocol tcp
     

    指定したプロトコルに基づいてクラス マップの一致基準を設定します。

     
    ステップ 5 exit


    例: 
    Device(config-cmap)# exit
     

    QoS クラスマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 6 parameter-map type inspect global


    例: 
    Device(config)# parameter-map type inspect global
     

    グローバル検査パラメータ マップを定義し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

     
    ステップ 7 redundancy


    例: 
    Device(config-profile)# redundancy
     

    ファイアウォール ハイ アベイラビリティをイネーブルにします。

     
    ステップ 8 exit


    例: 
    Device(config-profile)# exit
     

    パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 9 policy-map type inspect policy-map-name


    例: 
    Device(config)# policy-map type inspect ddos-fw
     

    プロトコル固有検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

     
    ステップ 10 class type inspect class-map-name


    例: 
    Device(config-pmap)# class type inspect ddos-class
     

    アクションを実行する対象のトラフィック クラスを指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

     
    ステップ 11 inspect


    例: 
    Device(config-pmap-c)# inspect
     

    ステートフル パケット インスペクションをイネーブルにします。

     
    ステップ 12 exit


    例: 
    Device(config-pmap-c)# exit
     

    QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

     
    ステップ 13 class class-default


    例: 
    Device(config-pmap)# class class-default
     

    アクションを実行する対象のデフォルト クラスを設定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

     
    ステップ 14 drop


    例: 
    Device(config-pmap-c)# drop
     

    同じゾーンの 2 つのインターフェイス間をトラフィックが通過できるようにします。

     
    ステップ 15 exit


    例: 
    Device(config-pmap-c)# exit
     

    QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

     
    ステップ 16 exit


    例: 
    Device(config-pmap)# exit
     

    QoS ポリシーマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 17 zone security security-zone-name


    例: 
    Device(config)# zone security private
     
    セキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。
    • ゾーン ペア(送信元ゾーンと宛先ゾーン)を作成するために 2 つのセキュリティ ゾーンが必要です。
     
    ステップ 18 exit


    例: 
    Device(config-sec-zone)# exit
     

    セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 19 zone security security-zone-name


    例: 
    Device(config)# zone security public
     
    セキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。
    • ゾーン ペア(送信元ゾーンと宛先ゾーン)を作成するために 2 つのセキュリティ ゾーンが必要です。
     
    ステップ 20 exit


    例: 
    Device(config-sec-zone)# exit
     

    セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 21 zone-pair security zone-pair-name source source-zone destination destination-zone


    例: 
    Device(config)# zone-pair security private2public source private destination public
     

    ゾーン ペアを作成し、セキュリティ ゾーンペア コンフィギュレーション モードを開始します。

     
    ステップ 22 service-policy type inspect policy-map-name


    例: 
    Device(config-sec-zone-pair)# service-policy type inspect ddos-fw
     

    ポリシー マップをトップレベル ポリシー マップに付加します。

     
    ステップ 23 exit


    例: 
    Device(config-sec-zone-pair)# exit
     

    セキュリティ ゾーンペア コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 24 interface type number


    例: 
    Device(config)# interface gigabitethernet 0/1/0.1
     

    インターフェイスを設定し、サブインターフェイス コンフィギュレーション モードを開始します。

     
    ステップ 25 ip address ip-address mask


    例: 
    Device(config-subif)# ip address 10.1.1.1 255.255.255.0
     

    サブインターフェイスの IP アドレスを設定します。

     
    ステップ 26 encapsulation dot1q vlan-id


    例: 
    Device(config-subif)# encapsulation dot1q 2
     

    インターフェイスで使用するカプセル化方式を設定します。

     
    ステップ 27 zone-member security security-zone-name


    例: 
    Device(config-subif)# zone-member security private
     

    ゾーン メンバーとしてインターフェイスを設定します。

    • security-zone-name 引数では、zone security コマンドを使用して設定したゾーンのいずれかを設定する必要があります。
    • インターフェイスがセキュリティ ゾーンにある場合、そのインターフェイスを通るトラフィックはどちらの方向でもすべて(デバイス宛またはデバイス発信のトラフィックを除く)デフォルトでドロップされます。 ゾーン メンバーであるインターフェイスをトラフィックが通過することを許可するには、そのゾーンをゾーン ペアの一部にして、そのゾーン ペアにポリシーを適用する必要があります。 ポリシーで、inspect または pass アクションを通してトラフィックが許可されると、トラフィックはインターフェイスを通過します。
     
    ステップ 28 end


    例: 
    Device(config-subif)# end
     

    サブインターフェイス コンフィギュレーション モードを終了して、特権 EXEC モードを開始します。

     
    ステップ 29 ゾーンを別のインターフェイスに付加するには、ステップ 21 ~ 25 を繰り返します。  

     

    ファイアウォール セッションのアグレッシブ エージングの設定

    アグレッシブ エージング機能をボックス単位(ボックス単位とは、ファイアウォール セッション テーブル全体を意味します)、デフォルト VRF、および VRF 単位のファイアウォール セッションに設定できます。 アグレッシブ エージング機能が動作するには、ファイアウォール セッションのアグレッシブ エージングおよびエージング アウト時間を設定する必要があります。

    ファイアウォール セッションのアグレッシブ エージングを設定するには、次の作業を実行します。

    ボックス単位のアグレッシブ エージングの設定

    ボックス単位とは、ファイアウォール セッション テーブル全体を意味します。 parameter-map type inspect-global コマンドに従ったすべての設定がボックスに適用されます。

    手順の概要

      1.    enable

      2.    configure terminal

      3.    次のいずれかのコマンドを入力します。

      • parameter-map type inspect-global
      • parameter-map type inspect global

      4.    per-box max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

      5.    per-box aggressive-aging high {value low value | percent percent low percent percent}

      6.    exit

      7.    parameter-map type inspect parameter-map-name

      8.    tcp synwait-time seconds [ageout-time seconds]

      9.    end

      10.    show policy-firewall stats global


    手順の詳細
        コマンドまたはアクション 目的
      ステップ 1 enable


      例: 
      Device> enable
       

      特権 EXEC モードをイネーブルにします。

      • パスワードを入力します(要求された場合)。
       
      ステップ 2 configure terminal


      例: 
      Device# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 3 次のいずれかのコマンドを入力します。
      • parameter-map type inspect-global
      • parameter-map type inspect global


      例: 
      Device(config)# parameter-map type inspect-global
      Device(config)# parameter-map type inspect global
       
      しきい値とタイムアウトを関連付けるグローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
      • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
      • parameter-map type inspect-global コマンドを設定する場合は、ステップ 4 と 5 をスキップしてください。
      (注)     

      parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

       
      ステップ 4 per-box max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}


      例: 
      Device(config-profile)# per-box max-incomplete 2000 aggressive-aging high 1500 low 1200
       

      ファイアウォール セッション テーブルのハーフ オープン セッションの上限およびアグレッシブ エージング レートを設定します。

       
      ステップ 5 per-box aggressive-aging high {value low value | percent percent low percent percent}


      例: 
      Device(config-profile)# per-box aggressive-aging high 1700 low 1300
       

      総セッションのアグレッシブ エージング制限を設定します。

       
      ステップ 6 exit


      例: 
      Device(config-profile)# exit
       

      パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

       
      ステップ 7 parameter-map type inspect parameter-map-name


      例: 
      Device(config)# parameter-map type inspect pmap1
       

      接続しきい値、タイムアウト、および inspect アクションに関連するその他のパラメータの検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

       
      ステップ 8 tcp synwait-time seconds [ageout-time seconds]


      例: 
      Device(config-profile)# tcp synwait-time 30 ageout-time 10
       

      セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

      • アグレッシブ エージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。 この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。 接続が低ウォーターマークを下回ると、アグレッシブ エージングはディセーブルになります。
       
      ステップ 9 end


      例: 
      Device(config-profile)# end
       

      パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

       
      ステップ 10 show policy-firewall stats global


      例: 
      Device# show policy-firewall stats global
       

      グローバルなファイアウォール統計情報を表示します。

       

      デフォルト VRF のアグレッシブ エージングの設定

      max-incomplete aggressive-aging コマンドを設定する場合、デフォルト VRF に適用されます。

      手順の概要

        1.    enable

        2.    configure terminal

        3.    次のいずれかのコマンドを入力します。

        • parameter-map type inspect-global
        • parameter-map type inspect global

        4.    max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

        5.    session total number [aggressive-aging high {value low value | percent percent low percent percent}]

        6.    exit

        7.    parameter-map type inspect parameter-map-name

        8.    tcp synwait-time seconds [ageout-time seconds]

        9.    end

        10.    show policy-firewall stats vrf global


      手順の詳細
          コマンドまたはアクション 目的
        ステップ 1 enable


        例: 
        Device> enable
         

        特権 EXEC モードをイネーブルにします。

        • パスワードを入力します(要求された場合)。
         
        ステップ 2 configure terminal


        例: 
        Device# configure terminal
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 3 次のいずれかのコマンドを入力します。
        • parameter-map type inspect-global
        • parameter-map type inspect global


        例: 
        Device(config)# parameter-map type inspect-global
        Device(config)# parameter-map type inspect global
         
        しきい値とタイムアウトを関連付けるグローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
        • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
        • parameter-map type inspect-global コマンドを設定する場合は、ステップ 5 をスキップしてください。
        (注)     

        parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

         
        ステップ 4 max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}


        例: 
        Device(config-profile)# max-incomplete 3455 aggressive-aging high 2345 low 2255
         

        ハーフ オープン ファイアウォール セッションの上限およびアグレッシブ エージング制限を設定します。

         
        ステップ 5 session total number [aggressive-aging high {value low value | percent percent low percent percent}]


        例: 
        Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
         

        総ファイアウォール セッションの合計制限およびアグレッシブ エージング制限を設定します。

         
        ステップ 6 exit


        例: 
        Device(config-profile)# exit
         

        パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

         
        ステップ 7 parameter-map type inspect parameter-map-name


        例: 
        Device(config)# parameter-map type inspect pmap1
         

        接続しきい値、タイムアウト、および inspect アクションに関連するその他のパラメータの検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

         
        ステップ 8 tcp synwait-time seconds [ageout-time seconds]


        例: 
        Device(config-profile)# tcp synwait-time 30 ageout-time 10
         

        セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

        • アグレッシブ エージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。 この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。 接続が低ウォーターマークを下回ると、アグレッシブ エージングはディセーブルになります。
         
        ステップ 9 end


        例: 
        Device(config-profile)# end
         

        パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

         
        ステップ 10 show policy-firewall stats vrf global


        例: 
        Device# show policy-firewall stats vrf global
         

        グローバル VRF ファイアウォール ポリシーの統計情報を表示します。

         

        ファイアウォール セッションのエージング アウトの設定

        ICMP、TCP、または UDP のファイアウォール セッションのエージング アウトを設定できます。

        手順の概要

          1.    enable

          2.    configure terminal

          3.    次のいずれかのコマンドを入力します。

          • parameter-map type inspect-global
          • parameter-map type inspect global

          4.    vrf vrf-name inspect vrf-pmap-name

          5.    exit

          6.    parameter-map type inspect parameter-map-name

          7.    tcp idle-time seconds [ageout-time seconds]

          8.    tcp synwait-time seconds [ageout-time seconds]

          9.    exit

          10.    policy-map type inspect policy-map-name

          11.    class type inspect match-any class-map-name

          12.    inspect parameter-map-name

          13.    end

          14.    show policy-firewall stats vrf vrf-pmap-name


        手順の詳細
            コマンドまたはアクション 目的
          ステップ 1 enable


          例: 
          Device> enable
           

          特権 EXEC モードをイネーブルにします。

          • パスワードを入力します(要求された場合)。
           
          ステップ 2 configure terminal


          例: 
          Device# configure terminal
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 3 次のいずれかのコマンドを入力します。
          • parameter-map type inspect-global
          • parameter-map type inspect global


          例: 
          Device(config)# parameter-map type inspect-global
          Device(config)# parameter-map type inspectglobal
           
          グローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
          • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
          • parameter-map type inspect-global コマンドを設定する場合は、ステップ 4 をスキップしてください。
          (注)     

          parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

           
          ステップ 4 vrf vrf-name inspect vrf-pmap-name


          例: 
          Device(config-profile)# vrf vrf1 inspect vrf1-pmap
           

          パラメータ マップで VRF をバインドします。

           
          ステップ 5 exit


          例: 
          Device(config-profile)# exit
           

          パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

           
          ステップ 6 parameter-map type inspect parameter-map-name


          例: 
          Device(config)# parameter-map type inspect pmap1
           

          接続しきい値、タイムアウト、および inspect アクションに関連するその他のパラメータの検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

           
          ステップ 7 tcp idle-time seconds [ageout-time seconds]


          例: 
          Device(config-profile)# tcp idle-time 3000 ageout-time 100
           
          アイドル状態の TCP セッションのタイムアウト、および TCP セッションのアグレッシブ エージング アウト時間を設定します。
          • tcp finwait-time コマンドを設定して、ファイアウォールが finish(FIN)-exchange を検出した後に TCP セッションが管理される時間の長さを指定することもできます。または、tcp synwait-time コマンドを設定して、セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。
           
          ステップ 8 tcp synwait-time seconds [ageout-time seconds]


          例: 
          Device(config-profile)# tcp synwait-time 30 ageout-time 10
           

          セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

          • アグレッシブ エージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。 この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。 接続が低ウォーターマークを下回ると、アグレッシブ エージングはイネーブルになります。
           
          ステップ 9 exit


          例: 
          Device(config-profile)# exit
           

          パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

           
          ステップ 10 policy-map type inspect policy-map-name


          例: 
          Device(config)# policy-map type inspect ddos-fw
           

          プロトコル固有検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

           
          ステップ 11 class type inspect match-any class-map-name


          例: 
          Device(config-pmap)# class type inspect match-any ddos-class
           

          アクションを実行する対象のトラフィック クラスを指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

           
          ステップ 12 inspect parameter-map-name


          例: 
          Device(config-pmap-c)# inspect pmap1
           

          パラメータ マップのステートフル パケット インスペクションをイネーブルにします。

           
          ステップ 13 end


          例: 
          Device(config-pmap-c)# end
           

          QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

           
          ステップ 14 show policy-firewall stats vrf vrf-pmap-name


          例: 
          Device# show policy-firewall stats vrf vrf1-pmap
           

          VRF レベル ポリシー ファイアウォールの統計情報を表示します。

           

          次に、show policy-firewall stats vrf vrf1-pmap コマンドの出力例を示します。 

          Device# show policy-firewall stats vrf vrf1-pmap

 VRF: vrf1, Parameter-Map: vrf1-pmap
  Interface reference count: 2
       Total Session Count(estab + half-open): 270, Exceed: 0
       Total Session Aggressive Aging Period Off, Event Count: 0

                Half Open
       Protocol Session Cnt     Exceed
       -------- -----------     ------
       All      0               0
       UDP      0               0
       ICMP     0               0
       TCP      0               0

       TCP Syn Flood Half Open Count: 0, Exceed: 12       
       Half Open Aggressive Aging Period Off, Event Count: 0

          VRF 単位のアグレッシブ エージングの設定

          手順の概要

            1.    enable

            2.    configure terminal

            3.    ip vrf vrf-name

            4.    rd route-distinguisher

            5.    route-target export route-target-ext-community

            6.    route-target import route-target-ext-community

            7.    exit

            8.    parameter-map type inspect-vrf vrf-pmap-name

            9.    max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

            10.    session total number [aggressive-aging {high value low value | percent percent low percent percent}]

            11.    alert on

            12.    exit

            13.    次のいずれかのコマンドを入力します。

            • parameter-map type inspect-global
            • parameter-map type inspect global

            14.    vrf vrf-name inspect vrf-pmap-name

            15.    exit

            16.    parameter-map type inspect parameter-map-name

            17.    tcp idle-time seconds [ageout-time seconds]

            18.    tcp synwait-time seconds [ageout-time seconds]

            19.    exit

            20.    policy-map type inspect policy-map-name

            21.    class type inspect match-any class-map-name

            22.    inspect parameter-map-name

            23.    end

            24.    show policy-firewall stats vrf vrf-pmap-name


          手順の詳細
              コマンドまたはアクション 目的
            ステップ 1 enable


            例: 
            Device> enable
             

            特権 EXEC モードをイネーブルにします。

            • パスワードを入力します(要求された場合)。
             
            ステップ 2 configure terminal


            例: 
            Device# configure terminal
             

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 3 ip vrf vrf-name


            例: 
            Device(config)# ip vrf ddos-vrf1
             

            VRF インスタンスを定義し、VRF コンフィギュレーション モードを開始します。

             
            ステップ 4 rd route-distinguisher


            例: 
            Device(config-vrf)# rd 100:2
             

            VRF インスタンスのルート識別子(RD)を指定します。

             
            ステップ 5 route-target export route-target-ext-community


            例: 
            Device(config-vrf)# route-target export 100:2
             

            ルートターゲット拡張コミュニティを作成し、ルーティング情報をターゲット VPN 拡張コミュニティにエクスポートします。

             
            ステップ 6 route-target import route-target-ext-community


            例: 
            Device(config-vrf)# route-target import 100:2
             

            ルートターゲット拡張コミュニティを作成し、ルーティング情報をターゲット VPN 拡張コミュニティからインポートします。

             
            ステップ 7 exit


            例: 
            Device(config-vrf)# exit
             

            VRF コンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードを開始します。

             
            ステップ 8 parameter-map type inspect-vrf vrf-pmap-name


            例: 
            Device(config)# parameter-map type inspect-vrf vrf1-pmap
             

            VRF 検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

             
            ステップ 9 max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}


            例: 
            Device(config-profile)# max-incomplete 2000 aggressive-aging high 1500 low 1200
             

            ハーフ オープン セッションの上限およびアグレッシブ エージング制限を設定します。

             
            ステップ 10 session total number [aggressive-aging {high value low value | percent percent low percent percent}]


            例: 
            Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
             

            総セッションの総セッション制限およびアグレッシブ エージング制限を設定します。

            • 総セッション制限を絶対値またはパーセンテージとして設定できます。
             
            ステップ 11 alert on


            例: 
            Device(config-profile)# alert on
             

            ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

             
            ステップ 12 exit


            例: 
            Device(config-profile)# exit
             

            パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

             
            ステップ 13 次のいずれかのコマンドを入力します。
            • parameter-map type inspect-global
            • parameter-map type inspect global


            例: 
            Device(config)# parameter-map type inspect-global
            Device(config)# parameter-map type inspect global
             
            グローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
            • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
            • parameter-map type inspect-global コマンドを設定する場合は、ステップ 14 をスキップしてください。
            (注)     

            parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

             
            ステップ 14 vrf vrf-name inspect vrf-pmap-name


            例: 
            Device(config-profile)# vrf vrf1 inspect vrf1-pmap
             

            パラメータ マップで VRF をバインドします。

             
            ステップ 15 exit


            例: 
            Device(config-profile)# exit
             

            パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

             
            ステップ 16 parameter-map type inspect parameter-map-name


            例: 
            Device(config)# parameter-map type inspect pmap1
             

            接続しきい値、タイムアウト、および inspect アクションに関連するその他のパラメータの検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

             
            ステップ 17 tcp idle-time seconds [ageout-time seconds]


            例: 
            Device(config-profile)# tcp idle-time 3000 ageout-time 100
             

            アイドル状態の TCP セッションのタイムアウト、および TCP セッションのアグレッシブ エージング アウト時間を設定します。

             
            ステップ 18 tcp synwait-time seconds [ageout-time seconds]


            例: 
            Device(config-profile)# tcp synwait-time 30 ageout-time 10
             

            セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

            • アグレッシブ エージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。 この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。 接続が低ウォーターマークを下回ると、アグレッシブ エージングはディセーブルになります。
             
            ステップ 19 exit


            例: 
            Device(config-profile)# exit
             

            パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

             
            ステップ 20 policy-map type inspect policy-map-name


            例: 
            Device(config)# policy-map type inspect ddos-fw
             

            プロトコル固有検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

             
            ステップ 21 class type inspect match-any class-map-name


            例: 
            Device(config-pmap)# class type inspect match-any ddos-class
             

            アクションを実行する対象のトラフィック(クラス)を指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

             
            ステップ 22 inspect parameter-map-name


            例: 
            Device(config-pmap-c)# inspect pmap1
             

            パラメータ マップのステートフル パケット インスペクションをイネーブルにします。

             
            ステップ 23 end


            例: 
            Device(config-pmap-c)# end
             

            QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

             
            ステップ 24 show policy-firewall stats vrf vrf-pmap-name


            例: 
            Device# show policy-firewall stats vrf vrf1-pmap
             

            VRF レベル ポリシー ファイアウォールの統計情報を表示します。

             

            次に、show policy-firewall stats vrf vrf1-pmap コマンドの出力例を示します。 

            Device# show policy-firewall stats vrf vrf1-pmap

VRF: vrf1, Parameter-Map: vrf1-pmap
  Interface reference count: 2
       Total Session Count(estab + half-open): 80, Exceed: 0
       Total Session Aggressive Aging Period Off, Event Count: 0

                Half Open
       Protocol Session Cnt     Exceed
       -------- -----------     ------
       All      0               0
       UDP      0               0
       ICMP     0               0
       TCP      0               0

       TCP Syn Flood Half Open Count: 0, Exceed: 116
       Half Open Aggressive Aging Period Off, Event Count: 0

            ファイアウォール イベント レート モニタリングの設定

            手順の概要

              1.    enable

              2.    configure terminal

              3.    parameter-map type inspect-zone zone-pmap-name

              4.    alert on

              5.    threat-detection basic-threat

              6.    threat-detection rate fw-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second

              7.    threat-detection rate inspect-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second

              8.    threat-detection rate syn-attack average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second

              9.    exit

              10.    zone security security-zone-name

              11.    protection parameter-map-name

              12.    exit

              13.    zone-pair security zone-pair-name source source-zone destination destination-zone

              14.    end

              15.    show policy-firewall stats zone


            手順の詳細
                コマンドまたはアクション 目的
              ステップ 1 enable


              例: 
              Device> enable
               

              特権 EXEC モードをイネーブルにします。

              • パスワードを入力します(要求された場合)。
               
              ステップ 2 configure terminal


              例: 
              Device# configure terminal
               

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 3 parameter-map type inspect-zone zone-pmap-name


              例: 
              Device(config)# parameter-map type inspect-zone zone-pmap1
               

              ゾーン検査パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

               
              ステップ 4 alert on


              例: 
              Device(config-profile)# alert on
               
              ゾーンのステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。
              • log コマンドを使用して、アラートのロギングを syslog または高速ロガー(HSL)のいずれかに設定できます。
               
              ステップ 5 threat-detection basic-threat


              例: 
              Device(config-profile)# threat-detection basic-threat
               

              ゾーンの基本脅威検出を設定します。

               
              ステップ 6 threat-detection rate fw-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second


              例: 
              Device(config-profile)# threat-detection rate fw-drop average-time-frame 600 average-threshold 100 burst-threshold 100
               
              ファイアウォールのドロップ イベントの脅威検出レートを設定します。
              • threat-detection rate コマンドを設定する前に、threat-detection basic-threat コマンドを設定する必要があります。
               
              ステップ 7 threat-detection rate inspect-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second


              例: 
              Device(config-profile)# threat-detection rate inspect-drop average-time-frame 600 average-threshold 100 burst-threshold 100
               

              ファイアウォール インスペクション ベースのドロップ イベントの脅威検出レートを設定します。

               
              ステップ 8 threat-detection rate syn-attack average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second


              例: 
              Device(config-profile)# threat-detection rate syn-attack average-time-frame 600 average-threshold 100 burst-threshold 100
               

              TCP SYN 攻撃イベントの脅威検出レートを設定します。

               
              ステップ 9 exit


              例: 
              Device(config-profile)# exit
               

              パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

               
              ステップ 10 zone security security-zone-name


              例: 
              Device(config)# zone security public
               

              セキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

               
              ステップ 11 protection parameter-map-name


              例: 
              Device(config-sec-zone)# protection zone-pmap1
               

              ゾーン検査パラメータ マップをゾーンに付加し、ゾーン検査パラメータ マップで設定されている機能をゾーンに適用します。

               
              ステップ 12 exit


              例: 
              Device(config-sec-zone)# exit
               

              セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

               
              ステップ 13 zone-pair security zone-pair-name source source-zone destination destination-zone


              例: 
              Device(config)# zone-pair security private2public source private destination public
               

              ゾーン ペアを作成し、セキュリティ ゾーンペア コンフィギュレーション モードを開始します。

               
              ステップ 14 end


              例: 
              Device(config-sec-zone-pair)# end
               

              セキュリティ ゾーンペア コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

               
              ステップ 15 show policy-firewall stats zone


              例: 
              Device# show policy-firewall stats zone
               

              ゾーン レベルでファイアウォール ポリシーの統計情報を表示します。

               

              ボックス単位のハーフ オープン セッション制限の設定

              ボックス単位とは、ファイアウォール セッション テーブル全体を意味します。 parameter-map type inspect-global コマンドに従ったすべての設定がボックスに適用されます。

              手順の概要

                1.    enable

                2.    configure terminal

                3.    次のいずれかのコマンドを入力します。

                • parameter-map type inspect-global
                • parameter-map type inspect global

                4.    alert on

                5.    per-box max-incomplete number

                6.    session total number

                7.    end

                8.    show policy-firewall stats global


              手順の詳細
                  コマンドまたはアクション 目的
                ステップ 1 enable


                例: 
                Device> enable
                 

                特権 EXEC モードをイネーブルにします。

                • パスワードを入力します(要求された場合)。
                 
                ステップ 2 configure terminal


                例: 
                Device# configure terminal
                 

                グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 3 次のいずれかのコマンドを入力します。
                • parameter-map type inspect-global
                • parameter-map type inspect global


                例: 
                Device(config)# parameter-map type inspect-global
                Device(config)# parameter-map type inspect global
                 

                しきい値とタイムアウトを関連付けるグローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
                • parameter-map type inspect-global コマンドを設定する場合は、ステップ 5 と 6 をスキップしてください。
                (注)     

                parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

                 
                ステップ 4 alert on


                例: 
                Device(config-profile)# alert on
                 

                ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

                 
                ステップ 5 per-box max-incomplete number


                例: 
                Device(config-profile)# per-box max-incomplete 12345
                 

                ファイアウォール セッション テーブルのハーフ オープン接続の最大数を設定します。

                 
                ステップ 6 session total number


                例: 
                Device(config-profile)# session total 34500
                 

                ファイアウォール セッション テーブルの総セッション制限を設定します。

                 
                ステップ 7 end


                例: 
                Device(config-profile)# end
                 

                パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

                 
                ステップ 8 show policy-firewall stats global


                例: 
                Device# show policy-firewall stats global
                 

                グローバルなファイアウォール統計情報を表示します。

                 

                VRF 検査パラメータ マップのハーフ オープン セッション制限の設定

                手順の概要

                  1.    enable

                  2.    configure terminal

                  3.    parameter-map type inspect-vrf vrf-name

                  4.    alert on

                  5.    max-incomplete number

                  6.    session total number

                  7.    exit

                  8.    次のいずれかのコマンドを入力します。

                  • parameter-map type inspect-global
                  • parameter-map type inspect global

                  9.    alert on

                  10.    vrf vrf-name inspect vrf-pmap-name

                  11.    end

                  12.    show policy-firewall stats vrf vrf-pmap-name


                手順の詳細
                    コマンドまたはアクション 目的
                  ステップ 1 enable


                  例: 
                  Device> enable
                   

                  特権 EXEC モードをイネーブルにします。

                  • パスワードを入力します(要求された場合)。
                   
                  ステップ 2 configure terminal


                  例: 
                  Device# configure terminal
                   

                  グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 3 parameter-map type inspect-vrf vrf-name


                  例: 
                  Device(config)# parameter-map type inspect-vrf vrf1-pmap
                   

                  VRF 検査パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                   
                  ステップ 4 alert on


                  例: 
                  Device(config-profile)# alert on
                   

                  ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

                   
                  ステップ 5 max-incomplete number


                  例: 
                  Device(config-profile)# max-incomplete 2000
                   

                  VRF 単位のハーフ オープン接続の最大数を設定します。

                   
                  ステップ 6 session total number


                  例: 
                  Device(config-profile)# session total 34500
                   

                  VRF の総セッション制限を設定します。

                   
                  ステップ 7 exit


                  例: 
                  Device(config-profile)# exit
                   

                  パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 8 次のいずれかのコマンドを入力します。
                  • parameter-map type inspect-global
                  • parameter-map type inspect global


                  例: 
                  Device(config)# parameter-map type inspect-global
                  Device(config)# parameter-map type inspect global
                   
                  しきい値とタイムアウトを関連付けるグローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
                  • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドまたは parameter-map type inspect global コマンドを使用できます。 これら両方のコマンドを一緒に設定することはできません。
                  • parameter-map type inspect-global コマンドを設定する場合は、ステップ 10 をスキップしてください。
                  (注)     

                  parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

                   
                  ステップ 9 alert on


                  例: 
                  Device(config-profile)# alert on
                   

                  ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

                   
                  ステップ 10 vrf vrf-name inspect vrf-pmap-name


                  例: 
                  Device(config-profile)# vrf vrf1 inspect vrf1-pmap
                   

                  グローバル パラメータ マップに VRF をバインドします。

                   
                  ステップ 11 end


                  例: 
                  Device(config-profile)# end
                   

                  パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

                   
                  ステップ 12 show policy-firewall stats vrf vrf-pmap-name


                  例: 
                  Device# show policy-firewall stats vrf vrf1-pmap
                   

                  VRF レベル ポリシー ファイアウォールの統計情報を表示します。

                   

                  グローバル TCP SYN フラッド制限の設定

                  手順の概要

                    1.    enable

                    2.    configure terminal

                    3.    次のいずれかのコマンドを入力します。

                    • parameter-map type inspect-global
                    • parameter-map type inspect global

                    4.    alert on

                    5.    per-box tcp syn-flood limit number

                    6.    end

                    7.    show policy-firewall stats vrf global


                  手順の詳細
                      コマンドまたはアクション 目的
                    ステップ 1 enable


                    例: 
                    Device> enable
                     

                    特権 EXEC モードをイネーブルにします。

                    • パスワードを入力します(要求された場合)。
                     
                    ステップ 2 configure terminal


                    例: 
                    Device# configure terminal
                     

                    グローバル コンフィギュレーション モードを開始します。

                     
                    ステップ 3 次のいずれかのコマンドを入力します。
                    • parameter-map type inspect-global
                    • parameter-map type inspect global


                    例: 
                    Device(config)# parameter-map type inspect-global
                    Device(config)# parameter-map type inspect global
                     

                    グローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                    • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドまたは parameter-map type inspect global コマンドを設定できます。 これら両方のコマンドを一緒に設定することはできません。
                    • parameter-map type inspect-global コマンドを設定する場合は、ステップ 5 をスキップしてください。
                    (注)     

                    parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

                     
                    ステップ 4 alert on


                    例: 
                    Device(config-profile)# alert on
                     

                    ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

                     
                    ステップ 5 per-box tcp syn-flood limit number


                    例: 
                    Device(config-profile)# per-box tcp syn-flood limit 500
                     

                    新しい SYN パケットの SYN Cookie 処理をトリガーする TCP ハーフ オープン セッション数を制限します。

                     
                    ステップ 6 end


                    例: 
                    Device(config-profile)# end
                     

                    パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

                     
                    ステップ 7 show policy-firewall stats vrf global


                    例: 
                    Device# show policy-firewall stats vrf global
                     

                    (任意)グローバル VRF ファイアウォール ポリシーのステータスを表示します。

                    • コマンド出力には、存在する TCP ハーフ オープン セッションの数も表示されます。
                     

                    次に、show policy-firewall stats vrf global コマンドの出力例を示します。 

                    Device# show policy-firewall stats vrf global
 
Global table statistics
       total_session_cnt: 0
       exceed_cnt:        0
       tcp_half_open_cnt: 0
       syn_exceed_cnt:    0

                    分散型サービス拒否攻撃に対する保護の設定例

                    例:ファイアウォールの設定

                    Router# configure terminal
Router(config)# class-map type inspect match-any ddos-class
Router(config-cmap)# match protocol tcp
Router(config-cmap-c)# exit
Router(config)# parameter-map type inspect global
Router(config-profile)# redundancy
Router(config-profile)# exit
Router(config)# policy-map type inspect ddos-fw
Router(config-pmap)# class type inspect ddos-class
Router(config-pmap-c)# inspect
Router(config-pmap-c)# exit
Router(config-pmap)# class class-default
Router(config-pmap-c)# drop
Router(config-pmap-c)# exit
Router(config-pmap)# exit
Router(config)# zone security private
Router(config-sec-zone)# exit
Router(config)# zone security public
Router(config-sec-zone)# exit
Router(config)# zone-pair security private2public source private destination public
Router((config-sec-zone-pair)# service-policy type inspect ddos-fw
Router((config-sec-zone-pair)# exit
Router(config)# interface gigabitethernet 0/1/0.1
Router(config-subif)# ip address 10.1.1.1 255.255.255.0
Router(config-subif)# encapsulation dot1q 2
Router(config-subif)# zone-member security private
Router(config-subif)# exit
Router(config)# interface gigabitethernet 1/1/0.1
Router(config-subif)# ip address 10.2.2.2 255.255.255.0
Router(config-subif)# encapsulation dot1q 2
Router(config-subif)# zone-member security public
Router(config-subif)# end

                    例:ファイアウォール セッションのアグレッシブ エージングの設定

                    例:ボックス単位のアグレッシブ エージングの設定

                    Device# configure terminal
Device(config)# parameter-map type inspect global
Device(config-profile)# per-box max-incomplete 2000 aggressive-aging 1500 low 1200
Device(config-profile)# per-box aggressive-aging high 1700 low 1300
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# end

                    例:デフォルト VRF のアグレッシブ エージングの設定

                    Device# configure terminal
Device(config)# parameter-map type inspect global
Device(config-profile)# max-incomplete 2000 aggressive-aging high 1500 low 1200
Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# end

                    例:ファイアウォール セッションのエージング アウトの設定

                    Device# configure terminal
Device(config-profile)# exit
Device(config)# parameter-map type inspect global
Device(config-profile)# vrf vrf1 inspect vrf1-pmap
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp idle-time 3000 ageout-time 100
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# exit
Device(config)# policy-map type inspect ddos-fw
Device(config-profile)# class type inspect match-any ddos-class
Device(config-profile)# inspect pmap1
Device(config-profile)# end

                    例:VRF 単位のアグレッシブ エージングの設定

                    Device# configure terminal
Device(config)# ip vrf ddos-vrf1
Device(config-vrf)# rd 100:2
Device(config-vrf)# route-target export 100:2
Device(config-vrf)# route-target import 100:2
Device(config-vrf)# exit
Device(config)# parameter-map type inspect-vrf vrf1-pmap
Device(config-profile)# max-incomplete 3455 aggressive-aging high 2345 low 2255
Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
Device(config-profile)# alert on
Device(config-profile)# exit
Device(config)# parameter-map type inspect global
Device(config-profile)# vrf vrf1 inspect vrf1-pmap
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp idle-time 3000 ageout-time 100
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# exit
Device(config)# policy-map type inspect ddos-fw
Device(config-pmap)# class type inspect match-any ddos-class
Device(config-pmap-c)# inspect pmap1
Device(config-profile)# end

                    例:ファイアウォール イベント レート モニタリングの設定

                    Device> enable
Device# configure terminal
Device(config)# parameter-map type inspect zone zone-pmap1
Device(config-profile)# alert on
Device(config-profile)# threat-detection basic-threat
Device(config-profile)# threat-detection rate fw-drop average-time-frame 600 average-threshold 100 burst-threshold 100
Device(config-profile)# threat-detection rate inspect-drop average-time-frame 600 average-threshold 100 burst-threshold 100
Device(config-profile)# threat-detection rate syn-attack average-time-frame 600 average-threshold 100 burst-threshold 100
Device(config-profile)# exit
Device(config)# zone security public
Device(config-sec-zone)# protection zone-pmap1
Device(config-sec-zone)# exit
Device(config)# zone-pair security private2public source private destination public
Device(config-sec-zone-pair)# end

                    例:ボックス単位のハーフ オープン セッション制限の設定

                    Device# configure terminal  
Device(config)# parameter-map type inspect global 
Device(config-profile)# alert on 
Device(config-profile)# per-box max-incomplete 12345   
Device(config-profile)# session total 34500  
Device(config-profile)# end

                    例:VRF 検査パラメータ マップのハーフ オープン セッション制限の設定

                    Device# configure terminal  
Device(config)# parameter-map type inspect vrf vrf1-pmap 
Device(config-profile)# alert on 
Device(config-profile)# max-incomplete 3500 
Device(config-profile)# session total 34500 
Device(config-profile)# exit
Device(config)# parameter-map type inspect global
Device(config-profile)# alert on
Device(config-profile)# vrf vrf1 inspect vrf1-pmap 
Device(config-profile)# end

                    例:グローバル TCP SYN フラッド制限の設定

                    Device# configure terminal  
Device(config)# parameter-map type inspect global 
Device(config-profile)# alert on 
Device(config-profile)# per-box tcp syn-flood limit 500 
Device(config-profile)# end

                    分散型サービス拒否攻撃に対する保護の追加情報

                    関連資料

                    関連項目

                    マニュアル タイトル

                    Cisco IOS コマンド

                    『Cisco IOS Master Command List, All Releases』

                    セキュリティ コマンド

                    『Cisco IOS Security Command Reference』

                    ファイアウォール リソース管理

                    『Configuring Firewall Resource Management feature』

                    ファイアウォール TCP SYN Cookie

                    『Configuring Firewall TCP SYN Cookie feature』

                    シスコのテクニカル サポート

                    説明

                    リンク

                    シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

                    http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

                    分散型サービス拒否攻撃に対する保護の機能情報

                    次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

                    プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

                    表 2 分散型サービス拒否攻撃に対する保護の機能情報

                    機能名

                    リリース

                    機能情報

                    分散型サービス拒否攻撃に対する保護

                    Cisco IOS XE Release 3.4S

                    分散型サービス拒否攻撃に対する保護機能は、ボックス単位レベル(すべてのファイアウォール セッションに対して)および VRF レベルで DoS 攻撃から保護します。 DDoS 攻撃を防ぐために、ファイアウォール セッションのアグレッシブ エージング、ファイアウォール セッションのイベント レート モニタリング、ハーフ オープン接続制限、およびグローバル TCP SYN Cookie 保護を設定できます。

                    次のコマンドが導入または変更されました。clear policy-firewall stats globalmax-incompletemax-incomplete aggressive-agingper-box aggressive-agingper-box max-incompleteper-box max-incomplete aggressive-agingper-box tcp syn-flood limitsession totalshow policy-firewall stats globalshow policy-firewall stats zonethreat-detection basic-threatthreat-detection rate、および udp half-open

                    目次

                    分散型サービス拒否攻撃に対する保護機能は、グローバル レベルで(すべてのファイアウォール セッションに対して)および VPN ルーティングおよび転送(VRF)レベルで、サービス拒否(DoS)攻撃から保護します。 Cisco IOS XE Release 3.4S 以降のリリースでは、分散型 DoS 攻撃を防ぐために、ファイアウォール セッションのアグレッシブ エージング、ファイアウォール セッションのイベント レート モニタリング、ハーフ オープン接続制限、およびグローバル TCP SYN Cookie 保護を設定できます。

                    機能情報の確認

                    ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の注意事項と機能情報については、Bug Search Tool およびご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

                    プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

                    分散型サービス拒否攻撃に対する保護について

                    ファイアウォール セッションのアグレッシブ エージング

                    アグレッシブ エージング機能により、ファイアウォールは、セッションを積極的にエージング アウトして、新しいセッションのためのスペースを確保することで、ファイアウォール セッション データベースがいっぱいになるのを防ぐことができます。 ファイアウォールは、アイドル セッションを削除して、そのリソースを保護します。 アグレッシブ エージング機能により、ファイアウォール セッションが存在できる時間は、エージングアウト時間と呼ばれる、タイマーで定義された時間よりも短くなります。

                    アグレッシブ エージング機能には、アグレッシブ エージング期間の開始と終了を定義するしきい値(高ウォーターマークと低ウォーターマーク)が含まれます。 アグレッシブ エージング期間は、セッション テーブルが高ウォーターマークを超えると開始され、低ウォーターマーク以下になると終了します。 アグレッシブ エージング期間中、セッションは、エージングアウト時間を使用して設定された期間よりも短い期間存在します。 攻撃者が、ファイアウォールがセッションを終了するレートよりも短い時間でセッションを開始する場合、セッションを作成するために割り当てられているすべてのリソースが使用され、新しいすべての接続が拒否されます。 このような攻撃を防ぐには、セッションを積極的にエージング アウトするようにアグレッシブ エージング機能を設定できます。 この機能はデフォルトで無効に設定されています。

                    ボックス レベル(ボックスはファイアウォール セッション テーブル全体を示します)および仮想ルーティングおよび転送(VRF)レベルでハーフ オープン セッションおよび総セッションにアグレッシブ エージングを設定できます。 この機能を総セッションに設定している場合、ファイアウォール セッション リソースを消費するすべてのセッションが考慮されます。 総セッションは、確立されているセッション、ハーフ オープン セッション、および明確でないセッション データベース内のセッションで構成されます。 (確立状態にまだ到達していない TCP セッションはハーフ オープン セッションと呼ばれます)。

                    ファイアウォールには、2 つのセッション データベース(セッション データベースおよび明確でないセッション データベース)があります。 セッション データベースには、5 タプル(送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、およびプロトコル)のセッションが含まれます。 タプルは、要素の順序付きリストです。 明確でないセッション データベースには、5 タプルよりも少ない(IP アドレスやポート番号などが欠落している)セッションが含まれます。 ハーフ オープン セッションのアグレッシブ エージングの場合、ハーフ オープン セッションだけが考慮されます。

                    インターネット制御メッセージ プロトコル(ICMP)、TCP、および UDP のファイアウォール セッションにアグレッシブ エージング アウト時間を設定できます。 エージング アウト時間は、デフォルトでアイドル時間に設定されます。

                    イベント レート モニタリング機能

                    イベント レート モニタリング機能は、ゾーンの定義済みイベントのレートをモニタします。 イベント レート モニタリング機能には基本脅威検出が含まれます。これにより、セキュリティ デバイスは、ファイアウォールの内側にあるリソースへの考えられる脅威、異常や攻撃を検出し、それに対するアクションを実行できます。 イベントの基本脅威検出レートを設定できます。 特定のタイプのイベントの着信レートが、設定された脅威検出レートを超えると、イベント レート モニタリングはこのイベントを脅威と見なし、脅威を停止するアクションを実行します。 脅威検出は、入力のゾーンだけでイベントを検査します(イベント レート モニタリング機能が入力ゾーンでイネーブルの場合)。

                    ネットワーク管理者は、アラート メッセージ(syslog または高速ロガー(HSL))を介して潜在的な脅威について通知され、攻撃ベクトルの検出、攻撃の発生元のゾーンの検出、特定の動作やトラフィックをブロックするようネットワークのデバイスを設定するなどのアクションを実行できます。

                    イベント レート モニタリング機能では、次のタイプのイベントをモニタします。

                    • 基本的なファイアウォール チェック エラーが原因でファイアウォールがドロップする:これには、ゾーンまたはゾーン ペアのチェック エラー、または drop アクションを使用して設定されたファイアウォール ポリシーなどが含まれる場合があります。
                    • レイヤ 4 インスペクション エラーが原因でファイアウォールがドロップする:これには、最初の TCP パケットが同期(SYN)パケットではないため失敗した TCP インスペクションが含まれる場合があります。
                    • TCP SYN Cookie 攻撃:これには、ドロップされた SYN パケット数、およびスプーフィング攻撃として送信された SYN Cookie の数の集計が含まれる場合があります。

                    イベント レート モニタリング機能では、異なるイベントの平均レートとバースト レートをモニタします。 各イベント タイプには、設定可能なパラメータ セット(平均しきい値、バーストしきい値、および期間)が含まれる関連レートによって制御されるレート オブジェクトがあります。 期間はタイム スロットに分割されています。各タイム スロットは、期間の 1/30 です。

                    平均レートは、イベント タイプごとに計算されます。 各レート オブジェクトは、30 の完了済みサンプリング値に加えて、現在稼働中のサンプリング期間を保持するための 1 つの値を保持します。 現在のサンプリング値によって計算済みの最も古い値が置き換えられ、平均が計算されます。 平均レートは、各期間で計算されます。 平均レートが平均しきい値を超えると、イベント レート モニタリング機能は、これを潜在的な脅威と見なし、統計情報を更新し、ネットワーク管理者に通知します。

                    バースト レートは、トークン バケット アルゴリズムを使用して実装されます。 各タイム スロットでは、トークン バケットがトークンで埋められます。 発生する(特定のイベント タイプの)イベントごとに、トークンがバケットから削除されます。 空のバケットは、バーストしきい値に到達したことを意味し、管理者は syslog または HSL を介してアラームを受信します。 脅威検出統計情報の確認、およびゾーンのさまざまなイベントに対する潜在的脅威についての学習は、 show policy-firewall stats zoneコマンドの出力から行うことができます。

                    threat-detection basic-threat コマンドを使用して、最初に基本脅威検出をイネーブルにする必要があります。 基本脅威検出を設定すると、脅威検出レートを設定できます。 脅威検出レートを設定するには、threat-detection rate コマンドを使用します。

                    次の表に、イベント レート モニタリング機能がイネーブルの場合に適用可能な基本脅威検出のデフォルト設定を示します。

                    表 1 基本脅威検出のデフォルト設定

                    パケット ドロップの理由

                    脅威検出の設定

                    基本的なファイアウォール ドロップ

                    平均レート 400 パケット/秒(pps)

                    バースト レート 1600 pps

                    レート間隔 600 秒

                    インスペクション ベースのファイアウォール ドロップ

                    平均レート 400 pps

                    バースト レート 1600 pps

                    レート間隔 600 秒

                    SYN 攻撃ファイアウォール ドロップ

                    平均レート 100 pps

                    バースト レート 200 pps

                    レート間隔 600 秒

                    ハーフ オープン接続制限

                    ファイアウォール セッション テーブルは、ハーフ オープン ファイアウォール接続の制限をサポートします。 ハーフ オープン セッションの数を制限すると、ボックス単位レベルまたは仮想ルーティングおよび転送(VRF)レベルでハーフ オープン セッションを使用してファイアウォール セッション テーブルを満たす可能性がある攻撃からファイアウォールを守り、セッションが確立されるのを防ぎます。 ハーフ オープン接続制限は、レイヤ 4 プロトコル、インターネット制御メッセージ プロトコル(ICMP)、TCP、および UDP に設定できます。 UDP ハーフ オープン セッションの数に設定された制限は、TCP または ICMP のハーフ オープン セッションには影響しません。 設定されたハーフ オープン セッション制限を超えた場合、すべての新しいセッションは拒否され、ログ メッセージが syslog または高速ロガー(HSL)のいずれかに生成されます。

                    次のセッションは、ハーフ オープン セッションと見なされます。
                    • スリーウェイ ハンドシェイクが完了していない TCP セッション。
                    • UDP フローで 1 パケットだけが検出されている UDP セッション。
                    • ICMP エコー要求または ICMP タイムスタンプの要求に対する応答を受信しない ICMP セッション。

                    TCP SYN フラッド攻撃

                    SYN フラッド攻撃を制限するようにグローバル TCP SYN フラッド制限を設定できます。 TCP SYN フラッディング攻撃は、サービス拒否(DoS)攻撃の一種です。 設定された TCP SYN フラッド制限に到達すると、ファイアウォールは追加のセッションを作成する前にセッションの送信元を確認します。 通常、TCP SYN パケットは、ファイアウォールの背後にある対象のエンド ホストまたはサブネット アドレスの範囲に送信されます。 これらの TCP SYN パケットによって、送信元 IP アドレスがスプーフィングされます。 スプーフィング攻撃は、個人またはプログラムが不正なデータを使用してネットワークのリソースにアクセスしようとすることです。 TCP SYN フラッディングでは、ファイアウォールまたはエンド ホスト上のすべてのリソースを占有し、そのために正当なトラフィックに対するサービス拒否が発生します。 VRF レベルおよびゾーン レベルで TCP SYN フラッド保護を設定できます。

                    SYN フラッド攻撃は次の 2 つのタイプに分かれています。
                    • ホストのフラッディング:SYN フラッド パケットは、単一ホスト上のすべてのリソースを利用することを目的として、そのホストに送信されます。
                    • ファイアウォール セッション テーブルのフラッディング:SYN フラッド パケットが、ファイアウォール上のセッション テーブル リソースを使い果たすことで、そのファイアウォールを通過する正当なトラフィックに対してリソースが拒否されることを目的として、ファイアウォール背後のアドレス範囲に送られます。

                    分散型サービス拒否攻撃に対する保護の設定方法

                    ファイアウォールの設定

                    この作業では、次のことを実行します。
                    • ファイアウォールを設定します。
                    • セキュリティ送信元ゾーンを作成します。
                    • セキュリティ宛先ゾーンを作成します。
                    • 設定された送信元ゾーンと宛先ゾーンを使用して、セキュリティ ゾーン ペアを作成します。
                    • ゾーン メンバーとしてインターフェイスを設定します。
                    手順の概要

                      1.    enable

                      2.    configure terminal

                      3.    class-map type inspect match-any class-map-name

                      4.    match protocol {icmp | tcp | udp}

                      5.    exit

                      6.    parameter-map type inspect global

                      7.    redundancy

                      8.    exit

                      9.    policy-map type inspect policy-map-name

                      10.    class type inspect class-map-name

                      11.    inspect

                      12.    exit

                      13.    class class-default

                      14.    drop

                      15.    exit

                      16.    exit

                      17.    zone security security-zone-name

                      18.    exit

                      19.    zone security security-zone-name

                      20.    exit

                      21.    zone-pair security zone-pair-name source source-zone destination destination-zone

                      22.    service-policy type inspect policy-map-name

                      23.    exit

                      24.    interface type number

                      25.    ip address ip-address mask

                      26.    encapsulation dot1q vlan-id

                      27.    zone-member security security-zone-name

                      28.    end

                      29.    ゾーンを別のインターフェイスに付加するには、ステップ 21 ~ 25 を繰り返します。


                    手順の詳細
                        コマンドまたはアクション 目的
                      ステップ 1 enable


                      例: 
                      Device> enable
                       

                      特権 EXEC モードをイネーブルにします。

                      • パスワードを入力します(要求された場合)。
                       
                      ステップ 2 configure terminal


                      例: 
                      Device# configure terminal
                       

                      グローバル コンフィギュレーション モードを開始します。

                       
                      ステップ 3 class-map type inspect match-any class-map-name


                      例: 
                      Device(config)# class-map type inspect match-any ddos-class
                       

                      アプリケーション固有検査タイプ クラス マップを作成し、QoS クラスマップ コンフィギュレーション モードを開始します。

                       
                      ステップ 4 match protocol {icmp | tcp | udp}


                      例: 
                      Device(config-cmap)# match protocol tcp
                       

                      指定したプロトコルに基づいてクラス マップの一致基準を設定します。

                       
                      ステップ 5 exit


                      例: 
                      Device(config-cmap)# exit
                       

                      QoS クラスマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                       
                      ステップ 6 parameter-map type inspect global


                      例: 
                      Device(config)# parameter-map type inspect global
                       

                      グローバル検査パラメータ マップを定義し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                       
                      ステップ 7 redundancy


                      例: 
                      Device(config-profile)# redundancy
                       

                      ファイアウォール ハイ アベイラビリティをイネーブルにします。

                       
                      ステップ 8 exit


                      例: 
                      Device(config-profile)# exit
                       

                      パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                       
                      ステップ 9 policy-map type inspect policy-map-name


                      例: 
                      Device(config)# policy-map type inspect ddos-fw
                       

                      プロトコル固有検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

                       
                      ステップ 10 class type inspect class-map-name


                      例: 
                      Device(config-pmap)# class type inspect ddos-class
                       

                      アクションを実行する対象のトラフィック クラスを指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

                       
                      ステップ 11 inspect


                      例: 
                      Device(config-pmap-c)# inspect
                       

                      ステートフル パケット インスペクションをイネーブルにします。

                       
                      ステップ 12 exit


                      例: 
                      Device(config-pmap-c)# exit
                       

                      QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

                       
                      ステップ 13 class class-default


                      例: 
                      Device(config-pmap)# class class-default
                       

                      アクションを実行する対象のデフォルト クラスを設定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

                       
                      ステップ 14 drop


                      例: 
                      Device(config-pmap-c)# drop
                       

                      同じゾーンの 2 つのインターフェイス間をトラフィックが通過できるようにします。

                       
                      ステップ 15 exit


                      例: 
                      Device(config-pmap-c)# exit
                       

                      QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

                       
                      ステップ 16 exit


                      例: 
                      Device(config-pmap)# exit
                       

                      QoS ポリシーマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                       
                      ステップ 17 zone security security-zone-name


                      例: 
                      Device(config)# zone security private
                       
                      セキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。
                      • ゾーン ペア(送信元ゾーンと宛先ゾーン)を作成するために 2 つのセキュリティ ゾーンが必要です。
                       
                      ステップ 18 exit


                      例: 
                      Device(config-sec-zone)# exit
                       

                      セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                       
                      ステップ 19 zone security security-zone-name


                      例: 
                      Device(config)# zone security public
                       
                      セキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。
                      • ゾーン ペア(送信元ゾーンと宛先ゾーン)を作成するために 2 つのセキュリティ ゾーンが必要です。
                       
                      ステップ 20 exit


                      例: 
                      Device(config-sec-zone)# exit
                       

                      セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                       
                      ステップ 21 zone-pair security zone-pair-name source source-zone destination destination-zone


                      例: 
                      Device(config)# zone-pair security private2public source private destination public
                       

                      ゾーン ペアを作成し、セキュリティ ゾーンペア コンフィギュレーション モードを開始します。

                       
                      ステップ 22 service-policy type inspect policy-map-name


                      例: 
                      Device(config-sec-zone-pair)# service-policy type inspect ddos-fw
                       

                      ポリシー マップをトップレベル ポリシー マップに付加します。

                       
                      ステップ 23 exit


                      例: 
                      Device(config-sec-zone-pair)# exit
                       

                      セキュリティ ゾーンペア コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                       
                      ステップ 24 interface type number


                      例: 
                      Device(config)# interface gigabitethernet 0/1/0.1
                       

                      インターフェイスを設定し、サブインターフェイス コンフィギュレーション モードを開始します。

                       
                      ステップ 25 ip address ip-address mask


                      例: 
                      Device(config-subif)# ip address 10.1.1.1 255.255.255.0
                       

                      サブインターフェイスの IP アドレスを設定します。

                       
                      ステップ 26 encapsulation dot1q vlan-id


                      例: 
                      Device(config-subif)# encapsulation dot1q 2
                       

                      インターフェイスで使用するカプセル化方式を設定します。

                       
                      ステップ 27 zone-member security security-zone-name


                      例: 
                      Device(config-subif)# zone-member security private
                       

                      ゾーン メンバーとしてインターフェイスを設定します。

                      • security-zone-name 引数では、zone security コマンドを使用して設定したゾーンのいずれかを設定する必要があります。
                      • インターフェイスがセキュリティ ゾーンにある場合、そのインターフェイスを通るトラフィックはどちらの方向でもすべて(デバイス宛またはデバイス発信のトラフィックを除く)デフォルトでドロップされます。 ゾーン メンバーであるインターフェイスをトラフィックが通過することを許可するには、そのゾーンをゾーン ペアの一部にして、そのゾーン ペアにポリシーを適用する必要があります。 ポリシーで、inspect または pass アクションを通してトラフィックが許可されると、トラフィックはインターフェイスを通過します。
                       
                      ステップ 28 end


                      例: 
                      Device(config-subif)# end
                       

                      サブインターフェイス コンフィギュレーション モードを終了して、特権 EXEC モードを開始します。

                       
                      ステップ 29 ゾーンを別のインターフェイスに付加するには、ステップ 21 ~ 25 を繰り返します。  

                       

                      ファイアウォール セッションのアグレッシブ エージングの設定

                      アグレッシブ エージング機能をボックス単位(ボックス単位とは、ファイアウォール セッション テーブル全体を意味します)、デフォルト VRF、および VRF 単位のファイアウォール セッションに設定できます。 アグレッシブ エージング機能が動作するには、ファイアウォール セッションのアグレッシブ エージングおよびエージング アウト時間を設定する必要があります。

                      ファイアウォール セッションのアグレッシブ エージングを設定するには、次の作業を実行します。

                      ボックス単位のアグレッシブ エージングの設定

                      ボックス単位とは、ファイアウォール セッション テーブル全体を意味します。 parameter-map type inspect-global コマンドに従ったすべての設定がボックスに適用されます。

                      手順の概要

                        1.    enable

                        2.    configure terminal

                        3.    次のいずれかのコマンドを入力します。

                        • parameter-map type inspect-global
                        • parameter-map type inspect global

                        4.    per-box max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

                        5.    per-box aggressive-aging high {value low value | percent percent low percent percent}

                        6.    exit

                        7.    parameter-map type inspect parameter-map-name

                        8.    tcp synwait-time seconds [ageout-time seconds]

                        9.    end

                        10.    show policy-firewall stats global


                      手順の詳細
                          コマンドまたはアクション 目的
                        ステップ 1 enable


                        例: 
                        Device> enable
                         

                        特権 EXEC モードをイネーブルにします。

                        • パスワードを入力します(要求された場合)。
                         
                        ステップ 2 configure terminal


                        例: 
                        Device# configure terminal
                         

                        グローバル コンフィギュレーション モードを開始します。

                         
                        ステップ 3 次のいずれかのコマンドを入力します。
                        • parameter-map type inspect-global
                        • parameter-map type inspect global


                        例: 
                        Device(config)# parameter-map type inspect-global
                        Device(config)# parameter-map type inspect global
                         
                        しきい値とタイムアウトを関連付けるグローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
                        • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
                        • parameter-map type inspect-global コマンドを設定する場合は、ステップ 4 と 5 をスキップしてください。
                        (注)     

                        parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

                         
                        ステップ 4 per-box max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}


                        例: 
                        Device(config-profile)# per-box max-incomplete 2000 aggressive-aging high 1500 low 1200
                         

                        ファイアウォール セッション テーブルのハーフ オープン セッションの上限およびアグレッシブ エージング レートを設定します。

                         
                        ステップ 5 per-box aggressive-aging high {value low value | percent percent low percent percent}


                        例: 
                        Device(config-profile)# per-box aggressive-aging high 1700 low 1300
                         

                        総セッションのアグレッシブ エージング制限を設定します。

                         
                        ステップ 6 exit


                        例: 
                        Device(config-profile)# exit
                         

                        パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                         
                        ステップ 7 parameter-map type inspect parameter-map-name


                        例: 
                        Device(config)# parameter-map type inspect pmap1
                         

                        接続しきい値、タイムアウト、および inspect アクションに関連するその他のパラメータの検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                         
                        ステップ 8 tcp synwait-time seconds [ageout-time seconds]


                        例: 
                        Device(config-profile)# tcp synwait-time 30 ageout-time 10
                         

                        セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

                        • アグレッシブ エージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。 この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。 接続が低ウォーターマークを下回ると、アグレッシブ エージングはディセーブルになります。
                         
                        ステップ 9 end


                        例: 
                        Device(config-profile)# end
                         

                        パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

                         
                        ステップ 10 show policy-firewall stats global


                        例: 
                        Device# show policy-firewall stats global
                         

                        グローバルなファイアウォール統計情報を表示します。

                         

                        デフォルト VRF のアグレッシブ エージングの設定

                        max-incomplete aggressive-aging コマンドを設定する場合、デフォルト VRF に適用されます。

                        手順の概要

                          1.    enable

                          2.    configure terminal

                          3.    次のいずれかのコマンドを入力します。

                          • parameter-map type inspect-global
                          • parameter-map type inspect global

                          4.    max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

                          5.    session total number [aggressive-aging high {value low value | percent percent low percent percent}]

                          6.    exit

                          7.    parameter-map type inspect parameter-map-name

                          8.    tcp synwait-time seconds [ageout-time seconds]

                          9.    end

                          10.    show policy-firewall stats vrf global


                        手順の詳細
                            コマンドまたはアクション 目的
                          ステップ 1 enable


                          例: 
                          Device> enable
                           

                          特権 EXEC モードをイネーブルにします。

                          • パスワードを入力します(要求された場合)。
                           
                          ステップ 2 configure terminal


                          例: 
                          Device# configure terminal
                           

                          グローバル コンフィギュレーション モードを開始します。

                           
                          ステップ 3 次のいずれかのコマンドを入力します。
                          • parameter-map type inspect-global
                          • parameter-map type inspect global


                          例: 
                          Device(config)# parameter-map type inspect-global
                          Device(config)# parameter-map type inspect global
                           
                          しきい値とタイムアウトを関連付けるグローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
                          • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
                          • parameter-map type inspect-global コマンドを設定する場合は、ステップ 5 をスキップしてください。
                          (注)     

                          parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

                           
                          ステップ 4 max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}


                          例: 
                          Device(config-profile)# max-incomplete 3455 aggressive-aging high 2345 low 2255
                           

                          ハーフ オープン ファイアウォール セッションの上限およびアグレッシブ エージング制限を設定します。

                           
                          ステップ 5 session total number [aggressive-aging high {value low value | percent percent low percent percent}]


                          例: 
                          Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
                           

                          総ファイアウォール セッションの合計制限およびアグレッシブ エージング制限を設定します。

                           
                          ステップ 6 exit


                          例: 
                          Device(config-profile)# exit
                           

                          パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                           
                          ステップ 7 parameter-map type inspect parameter-map-name


                          例: 
                          Device(config)# parameter-map type inspect pmap1
                           

                          接続しきい値、タイムアウト、および inspect アクションに関連するその他のパラメータの検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                           
                          ステップ 8 tcp synwait-time seconds [ageout-time seconds]


                          例: 
                          Device(config-profile)# tcp synwait-time 30 ageout-time 10
                           

                          セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

                          • アグレッシブ エージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。 この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。 接続が低ウォーターマークを下回ると、アグレッシブ エージングはディセーブルになります。
                           
                          ステップ 9 end


                          例: 
                          Device(config-profile)# end
                           

                          パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

                           
                          ステップ 10 show policy-firewall stats vrf global


                          例: 
                          Device# show policy-firewall stats vrf global
                           

                          グローバル VRF ファイアウォール ポリシーの統計情報を表示します。

                           

                          ファイアウォール セッションのエージング アウトの設定

                          ICMP、TCP、または UDP のファイアウォール セッションのエージング アウトを設定できます。

                          手順の概要

                            1.    enable

                            2.    configure terminal

                            3.    次のいずれかのコマンドを入力します。

                            • parameter-map type inspect-global
                            • parameter-map type inspect global

                            4.    vrf vrf-name inspect vrf-pmap-name

                            5.    exit

                            6.    parameter-map type inspect parameter-map-name

                            7.    tcp idle-time seconds [ageout-time seconds]

                            8.    tcp synwait-time seconds [ageout-time seconds]

                            9.    exit

                            10.    policy-map type inspect policy-map-name

                            11.    class type inspect match-any class-map-name

                            12.    inspect parameter-map-name

                            13.    end

                            14.    show policy-firewall stats vrf vrf-pmap-name


                          手順の詳細
                              コマンドまたはアクション 目的
                            ステップ 1 enable


                            例: 
                            Device> enable
                             

                            特権 EXEC モードをイネーブルにします。

                            • パスワードを入力します(要求された場合)。
                             
                            ステップ 2 configure terminal


                            例: 
                            Device# configure terminal
                             

                            グローバル コンフィギュレーション モードを開始します。

                             
                            ステップ 3 次のいずれかのコマンドを入力します。
                            • parameter-map type inspect-global
                            • parameter-map type inspect global


                            例: 
                            Device(config)# parameter-map type inspect-global
                            Device(config)# parameter-map type inspectglobal
                             
                            グローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
                            • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
                            • parameter-map type inspect-global コマンドを設定する場合は、ステップ 4 をスキップしてください。
                            (注)     

                            parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

                             
                            ステップ 4 vrf vrf-name inspect vrf-pmap-name


                            例: 
                            Device(config-profile)# vrf vrf1 inspect vrf1-pmap
                             

                            パラメータ マップで VRF をバインドします。

                             
                            ステップ 5 exit


                            例: 
                            Device(config-profile)# exit
                             

                            パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                             
                            ステップ 6 parameter-map type inspect parameter-map-name


                            例: 
                            Device(config)# parameter-map type inspect pmap1
                             

                            接続しきい値、タイムアウト、および inspect アクションに関連するその他のパラメータの検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                             
                            ステップ 7 tcp idle-time seconds [ageout-time seconds]


                            例: 
                            Device(config-profile)# tcp idle-time 3000 ageout-time 100
                             
                            アイドル状態の TCP セッションのタイムアウト、および TCP セッションのアグレッシブ エージング アウト時間を設定します。
                            • tcp finwait-time コマンドを設定して、ファイアウォールが finish(FIN)-exchange を検出した後に TCP セッションが管理される時間の長さを指定することもできます。または、tcp synwait-time コマンドを設定して、セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。
                             
                            ステップ 8 tcp synwait-time seconds [ageout-time seconds]


                            例: 
                            Device(config-profile)# tcp synwait-time 30 ageout-time 10
                             

                            セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

                            • アグレッシブ エージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。 この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。 接続が低ウォーターマークを下回ると、アグレッシブ エージングはイネーブルになります。
                             
                            ステップ 9 exit


                            例: 
                            Device(config-profile)# exit
                             

                            パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                             
                            ステップ 10 policy-map type inspect policy-map-name


                            例: 
                            Device(config)# policy-map type inspect ddos-fw
                             

                            プロトコル固有検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

                             
                            ステップ 11 class type inspect match-any class-map-name


                            例: 
                            Device(config-pmap)# class type inspect match-any ddos-class
                             

                            アクションを実行する対象のトラフィック クラスを指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

                             
                            ステップ 12 inspect parameter-map-name


                            例: 
                            Device(config-pmap-c)# inspect pmap1
                             

                            パラメータ マップのステートフル パケット インスペクションをイネーブルにします。

                             
                            ステップ 13 end


                            例: 
                            Device(config-pmap-c)# end
                             

                            QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

                             
                            ステップ 14 show policy-firewall stats vrf vrf-pmap-name


                            例: 
                            Device# show policy-firewall stats vrf vrf1-pmap
                             

                            VRF レベル ポリシー ファイアウォールの統計情報を表示します。

                             

                            次に、show policy-firewall stats vrf vrf1-pmap コマンドの出力例を示します。 

                            Device# show policy-firewall stats vrf vrf1-pmap

 VRF: vrf1, Parameter-Map: vrf1-pmap
  Interface reference count: 2
       Total Session Count(estab + half-open): 270, Exceed: 0
       Total Session Aggressive Aging Period Off, Event Count: 0

                Half Open
       Protocol Session Cnt     Exceed
       -------- -----------     ------
       All      0               0
       UDP      0               0
       ICMP     0               0
       TCP      0               0

       TCP Syn Flood Half Open Count: 0, Exceed: 12       
       Half Open Aggressive Aging Period Off, Event Count: 0

                            VRF 単位のアグレッシブ エージングの設定

                            手順の概要

                              1.    enable

                              2.    configure terminal

                              3.    ip vrf vrf-name

                              4.    rd route-distinguisher

                              5.    route-target export route-target-ext-community

                              6.    route-target import route-target-ext-community

                              7.    exit

                              8.    parameter-map type inspect-vrf vrf-pmap-name

                              9.    max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

                              10.    session total number [aggressive-aging {high value low value | percent percent low percent percent}]

                              11.    alert on

                              12.    exit

                              13.    次のいずれかのコマンドを入力します。

                              • parameter-map type inspect-global
                              • parameter-map type inspect global

                              14.    vrf vrf-name inspect vrf-pmap-name

                              15.    exit

                              16.    parameter-map type inspect parameter-map-name

                              17.    tcp idle-time seconds [ageout-time seconds]

                              18.    tcp synwait-time seconds [ageout-time seconds]

                              19.    exit

                              20.    policy-map type inspect policy-map-name

                              21.    class type inspect match-any class-map-name

                              22.    inspect parameter-map-name

                              23.    end

                              24.    show policy-firewall stats vrf vrf-pmap-name


                            手順の詳細
                                コマンドまたはアクション 目的
                              ステップ 1 enable


                              例: 
                              Device> enable
                               

                              特権 EXEC モードをイネーブルにします。

                              • パスワードを入力します(要求された場合)。
                               
                              ステップ 2 configure terminal


                              例: 
                              Device# configure terminal
                               

                              グローバル コンフィギュレーション モードを開始します。

                               
                              ステップ 3 ip vrf vrf-name


                              例: 
                              Device(config)# ip vrf ddos-vrf1
                               

                              VRF インスタンスを定義し、VRF コンフィギュレーション モードを開始します。

                               
                              ステップ 4 rd route-distinguisher


                              例: 
                              Device(config-vrf)# rd 100:2
                               

                              VRF インスタンスのルート識別子(RD)を指定します。

                               
                              ステップ 5 route-target export route-target-ext-community


                              例: 
                              Device(config-vrf)# route-target export 100:2
                               

                              ルートターゲット拡張コミュニティを作成し、ルーティング情報をターゲット VPN 拡張コミュニティにエクスポートします。

                               
                              ステップ 6 route-target import route-target-ext-community


                              例: 
                              Device(config-vrf)# route-target import 100:2
                               

                              ルートターゲット拡張コミュニティを作成し、ルーティング情報をターゲット VPN 拡張コミュニティからインポートします。

                               
                              ステップ 7 exit


                              例: 
                              Device(config-vrf)# exit
                               

                              VRF コンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードを開始します。

                               
                              ステップ 8 parameter-map type inspect-vrf vrf-pmap-name


                              例: 
                              Device(config)# parameter-map type inspect-vrf vrf1-pmap
                               

                              VRF 検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                               
                              ステップ 9 max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}


                              例: 
                              Device(config-profile)# max-incomplete 2000 aggressive-aging high 1500 low 1200
                               

                              ハーフ オープン セッションの上限およびアグレッシブ エージング制限を設定します。

                               
                              ステップ 10 session total number [aggressive-aging {high value low value | percent percent low percent percent}]


                              例: 
                              Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
                               

                              総セッションの総セッション制限およびアグレッシブ エージング制限を設定します。

                              • 総セッション制限を絶対値またはパーセンテージとして設定できます。
                               
                              ステップ 11 alert on


                              例: 
                              Device(config-profile)# alert on
                               

                              ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

                               
                              ステップ 12 exit


                              例: 
                              Device(config-profile)# exit
                               

                              パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                               
                              ステップ 13 次のいずれかのコマンドを入力します。
                              • parameter-map type inspect-global
                              • parameter-map type inspect global


                              例: 
                              Device(config)# parameter-map type inspect-global
                              Device(config)# parameter-map type inspect global
                               
                              グローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
                              • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
                              • parameter-map type inspect-global コマンドを設定する場合は、ステップ 14 をスキップしてください。
                              (注)     

                              parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

                               
                              ステップ 14 vrf vrf-name inspect vrf-pmap-name


                              例: 
                              Device(config-profile)# vrf vrf1 inspect vrf1-pmap
                               

                              パラメータ マップで VRF をバインドします。

                               
                              ステップ 15 exit


                              例: 
                              Device(config-profile)# exit
                               

                              パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                               
                              ステップ 16 parameter-map type inspect parameter-map-name


                              例: 
                              Device(config)# parameter-map type inspect pmap1
                               

                              接続しきい値、タイムアウト、および inspect アクションに関連するその他のパラメータの検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                               
                              ステップ 17 tcp idle-time seconds [ageout-time seconds]


                              例: 
                              Device(config-profile)# tcp idle-time 3000 ageout-time 100
                               

                              アイドル状態の TCP セッションのタイムアウト、および TCP セッションのアグレッシブ エージング アウト時間を設定します。

                               
                              ステップ 18 tcp synwait-time seconds [ageout-time seconds]


                              例: 
                              Device(config-profile)# tcp synwait-time 30 ageout-time 10
                               

                              セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

                              • アグレッシブ エージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。 この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。 接続が低ウォーターマークを下回ると、アグレッシブ エージングはディセーブルになります。
                               
                              ステップ 19 exit


                              例: 
                              Device(config-profile)# exit
                               

                              パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                               
                              ステップ 20 policy-map type inspect policy-map-name


                              例: 
                              Device(config)# policy-map type inspect ddos-fw
                               

                              プロトコル固有検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

                               
                              ステップ 21 class type inspect match-any class-map-name


                              例: 
                              Device(config-pmap)# class type inspect match-any ddos-class
                               

                              アクションを実行する対象のトラフィック(クラス)を指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

                               
                              ステップ 22 inspect parameter-map-name


                              例: 
                              Device(config-pmap-c)# inspect pmap1
                               

                              パラメータ マップのステートフル パケット インスペクションをイネーブルにします。

                               
                              ステップ 23 end


                              例: 
                              Device(config-pmap-c)# end
                               

                              QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

                               
                              ステップ 24 show policy-firewall stats vrf vrf-pmap-name


                              例: 
                              Device# show policy-firewall stats vrf vrf1-pmap
                               

                              VRF レベル ポリシー ファイアウォールの統計情報を表示します。

                               

                              次に、show policy-firewall stats vrf vrf1-pmap コマンドの出力例を示します。 

                              Device# show policy-firewall stats vrf vrf1-pmap

VRF: vrf1, Parameter-Map: vrf1-pmap
  Interface reference count: 2
       Total Session Count(estab + half-open): 80, Exceed: 0
       Total Session Aggressive Aging Period Off, Event Count: 0

                Half Open
       Protocol Session Cnt     Exceed
       -------- -----------     ------
       All      0               0
       UDP      0               0
       ICMP     0               0
       TCP      0               0

       TCP Syn Flood Half Open Count: 0, Exceed: 116
       Half Open Aggressive Aging Period Off, Event Count: 0

                              ファイアウォール イベント レート モニタリングの設定

                              手順の概要

                                1.    enable

                                2.    configure terminal

                                3.    parameter-map type inspect-zone zone-pmap-name

                                4.    alert on

                                5.    threat-detection basic-threat

                                6.    threat-detection rate fw-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second

                                7.    threat-detection rate inspect-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second

                                8.    threat-detection rate syn-attack average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second

                                9.    exit

                                10.    zone security security-zone-name

                                11.    protection parameter-map-name

                                12.    exit

                                13.    zone-pair security zone-pair-name source source-zone destination destination-zone

                                14.    end

                                15.    show policy-firewall stats zone


                              手順の詳細
                                  コマンドまたはアクション 目的
                                ステップ 1 enable


                                例: 
                                Device> enable
                                 

                                特権 EXEC モードをイネーブルにします。

                                • パスワードを入力します(要求された場合)。
                                 
                                ステップ 2 configure terminal


                                例: 
                                Device# configure terminal
                                 

                                グローバル コンフィギュレーション モードを開始します。

                                 
                                ステップ 3 parameter-map type inspect-zone zone-pmap-name


                                例: 
                                Device(config)# parameter-map type inspect-zone zone-pmap1
                                 

                                ゾーン検査パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                                 
                                ステップ 4 alert on


                                例: 
                                Device(config-profile)# alert on
                                 
                                ゾーンのステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。
                                • log コマンドを使用して、アラートのロギングを syslog または高速ロガー(HSL)のいずれかに設定できます。
                                 
                                ステップ 5 threat-detection basic-threat


                                例: 
                                Device(config-profile)# threat-detection basic-threat
                                 

                                ゾーンの基本脅威検出を設定します。

                                 
                                ステップ 6 threat-detection rate fw-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second


                                例: 
                                Device(config-profile)# threat-detection rate fw-drop average-time-frame 600 average-threshold 100 burst-threshold 100
                                 
                                ファイアウォールのドロップ イベントの脅威検出レートを設定します。
                                • threat-detection rate コマンドを設定する前に、threat-detection basic-threat コマンドを設定する必要があります。
                                 
                                ステップ 7 threat-detection rate inspect-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second


                                例: 
                                Device(config-profile)# threat-detection rate inspect-drop average-time-frame 600 average-threshold 100 burst-threshold 100
                                 

                                ファイアウォール インスペクション ベースのドロップ イベントの脅威検出レートを設定します。

                                 
                                ステップ 8 threat-detection rate syn-attack average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second


                                例: 
                                Device(config-profile)# threat-detection rate syn-attack average-time-frame 600 average-threshold 100 burst-threshold 100
                                 

                                TCP SYN 攻撃イベントの脅威検出レートを設定します。

                                 
                                ステップ 9 exit


                                例: 
                                Device(config-profile)# exit
                                 

                                パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                                 
                                ステップ 10 zone security security-zone-name


                                例: 
                                Device(config)# zone security public
                                 

                                セキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

                                 
                                ステップ 11 protection parameter-map-name


                                例: 
                                Device(config-sec-zone)# protection zone-pmap1
                                 

                                ゾーン検査パラメータ マップをゾーンに付加し、ゾーン検査パラメータ マップで設定されている機能をゾーンに適用します。

                                 
                                ステップ 12 exit


                                例: 
                                Device(config-sec-zone)# exit
                                 

                                セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                                 
                                ステップ 13 zone-pair security zone-pair-name source source-zone destination destination-zone


                                例: 
                                Device(config)# zone-pair security private2public source private destination public
                                 

                                ゾーン ペアを作成し、セキュリティ ゾーンペア コンフィギュレーション モードを開始します。

                                 
                                ステップ 14 end


                                例: 
                                Device(config-sec-zone-pair)# end
                                 

                                セキュリティ ゾーンペア コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

                                 
                                ステップ 15 show policy-firewall stats zone


                                例: 
                                Device# show policy-firewall stats zone
                                 

                                ゾーン レベルでファイアウォール ポリシーの統計情報を表示します。

                                 

                                ボックス単位のハーフ オープン セッション制限の設定

                                ボックス単位とは、ファイアウォール セッション テーブル全体を意味します。 parameter-map type inspect-global コマンドに従ったすべての設定がボックスに適用されます。

                                手順の概要

                                  1.    enable

                                  2.    configure terminal

                                  3.    次のいずれかのコマンドを入力します。

                                  • parameter-map type inspect-global
                                  • parameter-map type inspect global

                                  4.    alert on

                                  5.    per-box max-incomplete number

                                  6.    session total number

                                  7.    end

                                  8.    show policy-firewall stats global


                                手順の詳細
                                    コマンドまたはアクション 目的
                                  ステップ 1 enable


                                  例: 
                                  Device> enable
                                   

                                  特権 EXEC モードをイネーブルにします。

                                  • パスワードを入力します(要求された場合)。
                                   
                                  ステップ 2 configure terminal


                                  例: 
                                  Device# configure terminal
                                   

                                  グローバル コンフィギュレーション モードを開始します。

                                   
                                  ステップ 3 次のいずれかのコマンドを入力します。
                                  • parameter-map type inspect-global
                                  • parameter-map type inspect global


                                  例: 
                                  Device(config)# parameter-map type inspect-global
                                  Device(config)# parameter-map type inspect global
                                   

                                  しきい値とタイムアウトを関連付けるグローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                                  • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
                                  • parameter-map type inspect-global コマンドを設定する場合は、ステップ 5 と 6 をスキップしてください。
                                  (注)     

                                  parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

                                   
                                  ステップ 4 alert on


                                  例: 
                                  Device(config-profile)# alert on
                                   

                                  ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

                                   
                                  ステップ 5 per-box max-incomplete number


                                  例: 
                                  Device(config-profile)# per-box max-incomplete 12345
                                   

                                  ファイアウォール セッション テーブルのハーフ オープン接続の最大数を設定します。

                                   
                                  ステップ 6 session total number


                                  例: 
                                  Device(config-profile)# session total 34500
                                   

                                  ファイアウォール セッション テーブルの総セッション制限を設定します。

                                   
                                  ステップ 7 end


                                  例: 
                                  Device(config-profile)# end
                                   

                                  パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

                                   
                                  ステップ 8 show policy-firewall stats global


                                  例: 
                                  Device# show policy-firewall stats global
                                   

                                  グローバルなファイアウォール統計情報を表示します。

                                   

                                  VRF 検査パラメータ マップのハーフ オープン セッション制限の設定

                                  手順の概要

                                    1.    enable

                                    2.    configure terminal

                                    3.    parameter-map type inspect-vrf vrf-name

                                    4.    alert on

                                    5.    max-incomplete number

                                    6.    session total number

                                    7.    exit

                                    8.    次のいずれかのコマンドを入力します。

                                    • parameter-map type inspect-global
                                    • parameter-map type inspect global

                                    9.    alert on

                                    10.    vrf vrf-name inspect vrf-pmap-name

                                    11.    end

                                    12.    show policy-firewall stats vrf vrf-pmap-name


                                  手順の詳細
                                      コマンドまたはアクション 目的
                                    ステップ 1 enable


                                    例: 
                                    Device> enable
                                     

                                    特権 EXEC モードをイネーブルにします。

                                    • パスワードを入力します(要求された場合)。
                                     
                                    ステップ 2 configure terminal


                                    例: 
                                    Device# configure terminal
                                     

                                    グローバル コンフィギュレーション モードを開始します。

                                     
                                    ステップ 3 parameter-map type inspect-vrf vrf-name


                                    例: 
                                    Device(config)# parameter-map type inspect-vrf vrf1-pmap
                                     

                                    VRF 検査パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                                     
                                    ステップ 4 alert on


                                    例: 
                                    Device(config-profile)# alert on
                                     

                                    ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

                                     
                                    ステップ 5 max-incomplete number


                                    例: 
                                    Device(config-profile)# max-incomplete 2000
                                     

                                    VRF 単位のハーフ オープン接続の最大数を設定します。

                                     
                                    ステップ 6 session total number


                                    例: 
                                    Device(config-profile)# session total 34500
                                     

                                    VRF の総セッション制限を設定します。

                                     
                                    ステップ 7 exit


                                    例: 
                                    Device(config-profile)# exit
                                     

                                    パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                                     
                                    ステップ 8 次のいずれかのコマンドを入力します。
                                    • parameter-map type inspect-global
                                    • parameter-map type inspect global


                                    例: 
                                    Device(config)# parameter-map type inspect-global
                                    Device(config)# parameter-map type inspect global
                                     
                                    しきい値とタイムアウトを関連付けるグローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
                                    • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドまたは parameter-map type inspect global コマンドを使用できます。 これら両方のコマンドを一緒に設定することはできません。
                                    • parameter-map type inspect-global コマンドを設定する場合は、ステップ 10 をスキップしてください。
                                    (注)     

                                    parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

                                     
                                    ステップ 9 alert on


                                    例: 
                                    Device(config-profile)# alert on
                                     

                                    ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

                                     
                                    ステップ 10 vrf vrf-name inspect vrf-pmap-name


                                    例: 
                                    Device(config-profile)# vrf vrf1 inspect vrf1-pmap
                                     

                                    グローバル パラメータ マップに VRF をバインドします。

                                     
                                    ステップ 11 end


                                    例: 
                                    Device(config-profile)# end
                                     

                                    パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

                                     
                                    ステップ 12 show policy-firewall stats vrf vrf-pmap-name


                                    例: 
                                    Device# show policy-firewall stats vrf vrf1-pmap
                                     

                                    VRF レベル ポリシー ファイアウォールの統計情報を表示します。

                                     

                                    グローバル TCP SYN フラッド制限の設定

                                    手順の概要

                                      1.    enable

                                      2.    configure terminal

                                      3.    次のいずれかのコマンドを入力します。

                                      • parameter-map type inspect-global
                                      • parameter-map type inspect global

                                      4.    alert on

                                      5.    per-box tcp syn-flood limit number

                                      6.    end

                                      7.    show policy-firewall stats vrf global


                                    手順の詳細
                                        コマンドまたはアクション 目的
                                      ステップ 1 enable


                                      例: 
                                      Device> enable
                                       

                                      特権 EXEC モードをイネーブルにします。

                                      • パスワードを入力します(要求された場合)。
                                       
                                      ステップ 2 configure terminal


                                      例: 
                                      Device# configure terminal
                                       

                                      グローバル コンフィギュレーション モードを開始します。

                                       
                                      ステップ 3 次のいずれかのコマンドを入力します。
                                      • parameter-map type inspect-global
                                      • parameter-map type inspect global


                                      例: 
                                      Device(config)# parameter-map type inspect-global
                                      Device(config)# parameter-map type inspect global
                                       

                                      グローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                                      • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドまたは parameter-map type inspect global コマンドを設定できます。 これら両方のコマンドを一緒に設定することはできません。
                                      • parameter-map type inspect-global コマンドを設定する場合は、ステップ 5 をスキップしてください。
                                      (注)     

                                      parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

                                       
                                      ステップ 4 alert on


                                      例: 
                                      Device(config-profile)# alert on
                                       

                                      ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

                                       
                                      ステップ 5 per-box tcp syn-flood limit number


                                      例: 
                                      Device(config-profile)# per-box tcp syn-flood limit 500
                                       

                                      新しい SYN パケットの SYN Cookie 処理をトリガーする TCP ハーフ オープン セッション数を制限します。

                                       
                                      ステップ 6 end


                                      例: 
                                      Device(config-profile)# end
                                       

                                      パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

                                       
                                      ステップ 7 show policy-firewall stats vrf global


                                      例: 
                                      Device# show policy-firewall stats vrf global
                                       

                                      (任意)グローバル VRF ファイアウォール ポリシーのステータスを表示します。

                                      • コマンド出力には、存在する TCP ハーフ オープン セッションの数も表示されます。
                                       

                                      次に、show policy-firewall stats vrf global コマンドの出力例を示します。 

                                      Device# show policy-firewall stats vrf global
 
Global table statistics
       total_session_cnt: 0
       exceed_cnt:        0
       tcp_half_open_cnt: 0
       syn_exceed_cnt:    0

                                      分散型サービス拒否攻撃に対する保護の設定例

                                      例:ファイアウォールの設定

                                      Router# configure terminal
Router(config)# class-map type inspect match-any ddos-class
Router(config-cmap)# match protocol tcp
Router(config-cmap-c)# exit
Router(config)# parameter-map type inspect global
Router(config-profile)# redundancy
Router(config-profile)# exit
Router(config)# policy-map type inspect ddos-fw
Router(config-pmap)# class type inspect ddos-class
Router(config-pmap-c)# inspect
Router(config-pmap-c)# exit
Router(config-pmap)# class class-default
Router(config-pmap-c)# drop
Router(config-pmap-c)# exit
Router(config-pmap)# exit
Router(config)# zone security private
Router(config-sec-zone)# exit
Router(config)# zone security public
Router(config-sec-zone)# exit
Router(config)# zone-pair security private2public source private destination public
Router((config-sec-zone-pair)# service-policy type inspect ddos-fw
Router((config-sec-zone-pair)# exit
Router(config)# interface gigabitethernet 0/1/0.1
Router(config-subif)# ip address 10.1.1.1 255.255.255.0
Router(config-subif)# encapsulation dot1q 2
Router(config-subif)# zone-member security private
Router(config-subif)# exit
Router(config)# interface gigabitethernet 1/1/0.1
Router(config-subif)# ip address 10.2.2.2 255.255.255.0
Router(config-subif)# encapsulation dot1q 2
Router(config-subif)# zone-member security public
Router(config-subif)# end

                                      例:ファイアウォール セッションのアグレッシブ エージングの設定

                                      例:ボックス単位のアグレッシブ エージングの設定

                                      Device# configure terminal
Device(config)# parameter-map type inspect global
Device(config-profile)# per-box max-incomplete 2000 aggressive-aging 1500 low 1200
Device(config-profile)# per-box aggressive-aging high 1700 low 1300
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# end

                                      例:デフォルト VRF のアグレッシブ エージングの設定

                                      Device# configure terminal
Device(config)# parameter-map type inspect global
Device(config-profile)# max-incomplete 2000 aggressive-aging high 1500 low 1200
Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# end

                                      例:ファイアウォール セッションのエージング アウトの設定

                                      Device# configure terminal
Device(config-profile)# exit
Device(config)# parameter-map type inspect global
Device(config-profile)# vrf vrf1 inspect vrf1-pmap
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp idle-time 3000 ageout-time 100
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# exit
Device(config)# policy-map type inspect ddos-fw
Device(config-profile)# class type inspect match-any ddos-class
Device(config-profile)# inspect pmap1
Device(config-profile)# end

                                      例:VRF 単位のアグレッシブ エージングの設定

                                      Device# configure terminal
Device(config)# ip vrf ddos-vrf1
Device(config-vrf)# rd 100:2
Device(config-vrf)# route-target export 100:2
Device(config-vrf)# route-target import 100:2
Device(config-vrf)# exit
Device(config)# parameter-map type inspect-vrf vrf1-pmap
Device(config-profile)# max-incomplete 3455 aggressive-aging high 2345 low 2255
Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
Device(config-profile)# alert on
Device(config-profile)# exit
Device(config)# parameter-map type inspect global
Device(config-profile)# vrf vrf1 inspect vrf1-pmap
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp idle-time 3000 ageout-time 100
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# exit
Device(config)# policy-map type inspect ddos-fw
Device(config-pmap)# class type inspect match-any ddos-class
Device(config-pmap-c)# inspect pmap1
Device(config-profile)# end

                                      例:ファイアウォール イベント レート モニタリングの設定

                                      Device> enable
Device# configure terminal
Device(config)# parameter-map type inspect zone zone-pmap1
Device(config-profile)# alert on
Device(config-profile)# threat-detection basic-threat
Device(config-profile)# threat-detection rate fw-drop average-time-frame 600 average-threshold 100 burst-threshold 100
Device(config-profile)# threat-detection rate inspect-drop average-time-frame 600 average-threshold 100 burst-threshold 100
Device(config-profile)# threat-detection rate syn-attack average-time-frame 600 average-threshold 100 burst-threshold 100
Device(config-profile)# exit
Device(config)# zone security public
Device(config-sec-zone)# protection zone-pmap1
Device(config-sec-zone)# exit
Device(config)# zone-pair security private2public source private destination public
Device(config-sec-zone-pair)# end

                                      例:ボックス単位のハーフ オープン セッション制限の設定

                                      Device# configure terminal  
Device(config)# parameter-map type inspect global 
Device(config-profile)# alert on 
Device(config-profile)# per-box max-incomplete 12345   
Device(config-profile)# session total 34500  
Device(config-profile)# end

                                      例:VRF 検査パラメータ マップのハーフ オープン セッション制限の設定

                                      Device# configure terminal  
Device(config)# parameter-map type inspect vrf vrf1-pmap 
Device(config-profile)# alert on 
Device(config-profile)# max-incomplete 3500 
Device(config-profile)# session total 34500 
Device(config-profile)# exit
Device(config)# parameter-map type inspect global
Device(config-profile)# alert on
Device(config-profile)# vrf vrf1 inspect vrf1-pmap 
Device(config-profile)# end

                                      例:グローバル TCP SYN フラッド制限の設定

                                      Device# configure terminal  
Device(config)# parameter-map type inspect global 
Device(config-profile)# alert on 
Device(config-profile)# per-box tcp syn-flood limit 500 
Device(config-profile)# end

                                      分散型サービス拒否攻撃に対する保護の追加情報

                                      関連資料

                                      関連項目

                                      マニュアル タイトル

                                      Cisco IOS コマンド

                                      『Cisco IOS Master Command List, All Releases』

                                      セキュリティ コマンド

                                      『Cisco IOS Security Command Reference』

                                      ファイアウォール リソース管理

                                      『Configuring Firewall Resource Management feature』

                                      ファイアウォール TCP SYN Cookie

                                      『Configuring Firewall TCP SYN Cookie feature』

                                      シスコのテクニカル サポート

                                      説明

                                      リンク

                                      シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

                                      http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

                                      分散型サービス拒否攻撃に対する保護の機能情報

                                      次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

                                      プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

                                      表 2 分散型サービス拒否攻撃に対する保護の機能情報

                                      機能名

                                      リリース

                                      機能情報

                                      分散型サービス拒否攻撃に対する保護

                                      Cisco IOS XE Release 3.4S

                                      分散型サービス拒否攻撃に対する保護機能は、ボックス単位レベル(すべてのファイアウォール セッションに対して)および VRF レベルで DoS 攻撃から保護します。 DDoS 攻撃を防ぐために、ファイアウォール セッションのアグレッシブ エージング、ファイアウォール セッションのイベント レート モニタリング、ハーフ オープン接続制限、およびグローバル TCP SYN Cookie 保護を設定できます。

                                      次のコマンドが導入または変更されました。clear policy-firewall stats globalmax-incompletemax-incomplete aggressive-agingper-box aggressive-agingper-box max-incompleteper-box max-incomplete aggressive-agingper-box tcp syn-flood limitsession totalshow policy-firewall stats globalshow policy-firewall stats zonethreat-detection basic-threatthreat-detection rate、および udp half-open

                                      このドキュメントは役に立ちましたか?

                                      Feedbackフィードバック

                                      シスコに問い合わせ