セキュリティコンフィギュレーションガイド：ゾーンベースポリシーファイアウォール、Cisco IOS XE Release 3S（ASR 1000）

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

ご利用いただける言語

Download Options

Book Title

セキュリティコンフィギュレーションガイド：ゾーンベースポリシーファイアウォール、Cisco IOS XE Release 3S（ASR 1000）

Chapter Title

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポート

PDF - Complete Book (6.79 MB) PDF - This Chapter (1.52 MB)
View with Adobe Reader on a variety of devices

検索結果

Updated:: 2017年6月28日

章のタイトル：分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポート

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポート
機能情報の確認
分散型サービス拒否攻撃に対する保護およびリソース管理のための IPv6 ファイアウォールサポートの制約事項
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートについて
ファイアウォールセッションのアグレッシブエージング
イベントレートモニタリング機能
ハーフオープン接続制限
TCP SYN フラッド攻撃
ファイアウォールリソース管理
ファイアウォールセッション
セッション定義
セッションレート
不完全なセッションまたはハーフオープンセッション
ファイアウォールリソース管理セッション
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの設定方法
IPv6 ファイアウォールの設定
ファイアウォールセッションのアグレッシブエージングの設定
ボックス単位のアグレッシブエージングの設定
デフォルト VRF のアグレッシブエージングの設定
VRF 単位のアグレッシブエージングの設定
ファイアウォールセッションのエージングアウトの設定
ファイアウォールイベントレートモニタリングの設定
ボックス単位のハーフオープンセッション制限の設定
VRF 検査パラメータマップのハーフオープンセッション制限の設定
グローバル TCP SYN フラッド制限の設定
ファイアウォールリソース管理の設定
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの設定例
例：IPv6 ファイアウォールの設定
例：ファイアウォールセッションのアグレッシブエージングの設定
例：ボックス単位のアグレッシブエージングの設定
例：デフォルト VRF のアグレッシブエージングの設定
例：VRF 単位のアグレッシブエージングの設定
例：ファイアウォールセッションのエージングアウトの設定
例：ファイアウォールイベントレートモニタリングの設定
例：ボックス単位のハーフオープンセッション制限の設定
例：VRF 検査パラメータマップのハーフオープンセッション制限の設定
例：グローバル TCP SYN フラッド制限の設定
例：ファイアウォールリソース管理の設定
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの追加情報
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの機能情報

IPv6 ゾーンベースファイアウォールは、分散型サービス拒否攻撃への保護およびファイアウォールリソース管理機能をサポートします。

分散型サービス拒否攻撃に対する保護機能は、グローバルレベルで（すべてのファイアウォールセッションに対して）および VPN ルーティングおよび転送（VRF）レベルで、サービス拒否（DoS）攻撃から保護します。分散型サービス拒否攻撃に対する保護機能を使用すると、分散型 DoS 攻撃を防ぐために、ファイアウォールセッションのアグレッシブエージング、ファイアウォールセッションのイベントレートモニタリング、ハーフオープン接続制限、およびグローバル TCP 同期（SYN）Cookie 保護を設定できます。

ファイアウォールリソース管理機能は、デバイス上に設定される VPN ルーティングおよび転送（VRF）セッションとグローバルファイアウォールセッションの数を制限します。

このモジュールでは、分散型サービス拒否攻撃への保護およびファイアウォールリソース管理機能を設定する方法について説明します。

機能情報の確認
分散型サービス拒否攻撃に対する保護およびリソース管理のための IPv6 ファイアウォールサポートの制約事項
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートについて
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの設定方法
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの設定例
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの追加情報
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの機能情報

機能情報の確認

ご使用のソフトウェアリリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の注意事項と機能情報については、Bug Search Tool およびご使用のプラットフォームとソフトウェアリリースに対応したリリースノートを参照してください。このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。 Cisco.com のアカウントは必要ありません。

分散型サービス拒否攻撃に対する保護およびリソース管理のための IPv6 ファイアウォールサポートの制約事項

次の制約事項がファイアウォールリソース管理機能に適用されます。

グローバルレベルまたは仮想ルーティングおよび転送（VRF）レベルのセッション制限を設定し、セッション制限を再設定した後、グローバルレベルまたは VRF レベルのセッション制限が最初に設定されたセッション数よりも低い場合、新しいセッションは追加されません。ただし、既存のセッションはドロップされません。

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートについて

ファイアウォールセッションのアグレッシブエージング

アグレッシブエージング機能により、ファイアウォールは、セッションを積極的にエージングアウトして、新しいセッションのためのスペースを確保することで、ファイアウォールセッションデータベースがいっぱいになるのを防ぐことができます。ファイアウォールは、アイドルセッションを削除して、そのリソースを保護します。アグレッシブエージング機能により、ファイアウォールセッションが存在できる時間は、エージングアウト時間と呼ばれる、タイマーで定義された時間よりも短くなります。

アグレッシブエージング機能には、アグレッシブエージング期間の開始と終了を定義するしきい値（高ウォーターマークと低ウォーターマーク）が含まれます。アグレッシブエージング期間は、セッションテーブルが高ウォーターマークを超えると開始され、低ウォーターマーク以下になると終了します。アグレッシブエージング期間中、セッションは、エージングアウト時間を使用して設定された期間よりも短い期間存在します。攻撃者が、ファイアウォールがセッションを終了するレートよりも短い時間でセッションを開始する場合、セッションを作成するために割り当てられているすべてのリソースが使用され、新しいすべての接続が拒否されます。このような攻撃を防ぐには、セッションを積極的にエージングアウトするようにアグレッシブエージング機能を設定できます。この機能はデフォルトで無効に設定されています。

ボックスレベル（ボックスはファイアウォールセッションテーブル全体を示します）および仮想ルーティングおよび転送（VRF）レベルでハーフオープンセッションおよび総セッションにアグレッシブエージングを設定できます。この機能を総セッションに設定している場合、ファイアウォールセッションリソースを消費するすべてのセッションが考慮されます。総セッションは、確立されているセッション、ハーフオープンセッション、および明確でないセッションデータベース内のセッションで構成されます。（確立状態にまだ到達していない TCP セッションはハーフオープンセッションと呼ばれます）。

ファイアウォールには、2 つのセッションデータベース（セッションデータベースおよび明確でないセッションデータベース）があります。セッションデータベースには、5 タプル（送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、およびプロトコル）のセッションが含まれます。タプルは、要素の順序付きリストです。明確でないセッションデータベースには、5 タプルよりも少ない（IP アドレスやポート番号などが欠落している）セッションが含まれます。ハーフオープンセッションのアグレッシブエージングの場合、ハーフオープンセッションだけが考慮されます。

インターネット制御メッセージプロトコル（ICMP）、TCP、および UDP のファイアウォールセッションにアグレッシブエージングアウト時間を設定できます。エージングアウト時間は、デフォルトでアイドル時間に設定されます。

イベントレートモニタリング機能

イベントレートモニタリング機能は、ゾーンの定義済みイベントのレートをモニタします。イベントレートモニタリング機能には基本脅威検出が含まれます。これにより、セキュリティデバイスは、ファイアウォールの内側にあるリソースへの考えられる脅威、異常や攻撃を検出し、それに対するアクションを実行できます。イベントの基本脅威検出レートを設定できます。特定のタイプのイベントの着信レートが、設定された脅威検出レートを超えると、イベントレートモニタリングはこのイベントを脅威と見なし、脅威を停止するアクションを実行します。脅威検出は、入力のゾーンだけでイベントを検査します（イベントレートモニタリング機能が入力ゾーンでイネーブルの場合）。

ネットワーク管理者は、アラートメッセージ（syslog または高速ロガー（HSL））を介して潜在的な脅威について通知され、攻撃ベクトルの検出、攻撃の発生元のゾーンの検出、特定の動作やトラフィックをブロックするようネットワークのデバイスを設定するなどのアクションを実行できます。

イベントレートモニタリング機能では、次のタイプのイベントをモニタします。

基本的なファイアウォールチェックエラーが原因でファイアウォールがドロップする：これには、ゾーンまたはゾーンペアのチェックエラー、または drop アクションを使用して設定されたファイアウォールポリシーなどが含まれる場合があります。
レイヤ 4 インスペクションエラーが原因でファイアウォールがドロップする：これには、最初の TCP パケットが同期（SYN）パケットではないため失敗した TCP インスペクションが含まれる場合があります。
TCP SYN Cookie 攻撃：これには、ドロップされた SYN パケット数、およびスプーフィング攻撃として送信された SYN Cookie の数の集計が含まれる場合があります。

イベントレートモニタリング機能では、異なるイベントの平均レートとバーストレートをモニタします。各イベントタイプには、設定可能なパラメータセット（平均しきい値、バーストしきい値、および期間）が含まれる関連レートによって制御されるレートオブジェクトがあります。期間はタイムスロットに分割されています。各タイムスロットは、期間の 1/30 です。

平均レートは、イベントタイプごとに計算されます。各レートオブジェクトは、30 の完了済みサンプリング値に加えて、現在稼働中のサンプリング期間を保持するための 1 つの値を保持します。現在のサンプリング値によって計算済みの最も古い値が置き換えられ、平均が計算されます。平均レートは、各期間で計算されます。平均レートが平均しきい値を超えると、イベントレートモニタリング機能は、これを潜在的な脅威と見なし、統計情報を更新し、ネットワーク管理者に通知します。

バーストレートは、トークンバケットアルゴリズムを使用して実装されます。各タイムスロットでは、トークンバケットがトークンで埋められます。発生する（特定のイベントタイプの）イベントごとに、トークンがバケットから削除されます。空のバケットは、バーストしきい値に到達したことを意味し、管理者は syslog または HSL を介してアラームを受信します。脅威検出統計情報の確認、およびゾーンのさまざまなイベントに対する潜在的脅威についての学習は、 show policy-firewall stats zoneコマンドの出力から行うことができます。

threat-detection basic-threat コマンドを使用して、最初に基本脅威検出をイネーブルにする必要があります。基本脅威検出を設定すると、脅威検出レートを設定できます。脅威検出レートを設定するには、threat-detection rate コマンドを使用します。

次の表に、イベントレートモニタリング機能がイネーブルの場合に適用可能な基本脅威検出のデフォルト設定を示します。

表 1 基本脅威検出のデフォルト設定
パケットドロップの理由	脅威検出の設定
基本的なファイアウォールドロップ	平均レート 400 パケット/秒（pps）バーストレート 1600 pps レート間隔 600 秒
インスペクションベースのファイアウォールドロップ	平均レート 400 pps バーストレート 1600 pps レート間隔 600 秒
SYN 攻撃ファイアウォールドロップ	平均レート 100 pps バーストレート 200 pps レート間隔 600 秒

ハーフオープン接続制限

ファイアウォールセッションテーブルは、ハーフオープンファイアウォール接続の制限をサポートします。ハーフオープンセッションの数を制限すると、ボックス単位レベルまたは仮想ルーティングおよび転送（VRF）レベルでハーフオープンセッションを使用してファイアウォールセッションテーブルを満たす可能性がある攻撃からファイアウォールを守り、セッションが確立されるのを防ぎます。ハーフオープン接続制限は、レイヤ 4 プロトコル、インターネット制御メッセージプロトコル（ICMP）、TCP、および UDP に設定できます。 UDP ハーフオープンセッションの数に設定された制限は、TCP または ICMP のハーフオープンセッションには影響しません。設定されたハーフオープンセッション制限を超えた場合、すべての新しいセッションは拒否され、ログメッセージが syslog または高速ロガー（HSL）のいずれかに生成されます。

次のセッションは、ハーフオープンセッションと見なされます。

スリーウェイハンドシェイクが完了していない TCP セッション。
UDP フローで 1 パケットだけが検出されている UDP セッション。
ICMP エコー要求または ICMP タイムスタンプの要求に対する応答を受信しない ICMP セッション。

TCP SYN フラッド攻撃

SYN フラッド攻撃を制限するようにグローバル TCP SYN フラッド制限を設定できます。 TCP SYN フラッディング攻撃は、サービス拒否（DoS）攻撃の一種です。設定された TCP SYN フラッド制限に到達すると、ファイアウォールは追加のセッションを作成する前にセッションの送信元を確認します。通常、TCP SYN パケットは、ファイアウォールの背後にある対象のエンドホストまたはサブネットアドレスの範囲に送信されます。これらの TCP SYN パケットによって、送信元 IP アドレスがスプーフィングされます。スプーフィング攻撃は、個人またはプログラムが不正なデータを使用してネットワークのリソースにアクセスしようとすることです。 TCP SYN フラッディングでは、ファイアウォールまたはエンドホスト上のすべてのリソースを占有し、そのために正当なトラフィックに対するサービス拒否が発生します。 VRF レベルおよびゾーンレベルで TCP SYN フラッド保護を設定できます。

SYN フラッド攻撃は次の 2 つのタイプに分かれています。

ホストのフラッディング：SYN フラッドパケットは、単一ホスト上のすべてのリソースを利用することを目的として、そのホストに送信されます。
ファイアウォールセッションテーブルのフラッディング：SYN フラッドパケットが、ファイアウォール上のセッションテーブルリソースを使い果たすことで、そのファイアウォールを通過する正当なトラフィックに対してリソースが拒否されることを目的として、ファイアウォール背後のアドレス範囲に送られます。

ファイアウォールリソース管理

リソース管理は、デバイス上の共有リソースの利用レベルを制限します。デバイス上の共有リソースは次のとおりです。

帯域幅
接続状態
メモリ使用率（テーブル単位）
セッションまたはコール数
1 秒あたりのパケット数
Ternary Content Addressable Memory（TCAM）エントリ

ファイアウォールリソース管理機能は、ゾーンベースのファイアウォールリソース管理をクラスレベルから VRF レベルおよびグローバルレベルに拡張します。クラスレベルのリソース管理は、クラスレベルでファイアウォールセッションのリソースを保護します。たとえば、最大セッション制限、セッションレート制限、不完全セッション制限などのパラメータは、ファイアウォールリソース（チャンクメモリなど）を保護し、これらのリソースが単一クラスによって使い果たされないようにします。

複数の仮想ルーティングおよび転送（VRF）インスタンスが同じポリシーを共有する場合、1 つの VRF インスタンスからのファイアウォールセッション設定要求によって総セッション数が最大制限に達する可能性があります。 1 つの VRF がデバイス上のリソースの最大量を消費すると、他の VRF インスタンスがデバイスリソースを共有することが難しくなります。 VRF ファイアウォールセッションの数を制限するために、ファイアウォールリソース管理機能を使用できます。

グローバルレベルでは、ファイアウォールリソース管理機能により、グローバルルーティングドメインでのファイアウォールセッションによるリソースの使用を制限できます。

セッション定義

仮想ルーティングおよび転送（VRF）レベルで、ファイアウォールリソース管理機能は、各 VRF インスタンスのファイアウォールセッションの数を追跡します。グローバルレベルでは、ファイアウォールリソース管理は、デバイスレベルではなくグローバルルーティングドメインで総ファイアウォールセッション数を追跡します。 VRF レベルとグローバルレベルの両方で、セッション数は、開かれたセッション、ハーフオープンセッション、および明確でないファイアウォールセッションデータベース内のセッションの合計です。確立状態にまだ到達していない TCP セッションはハーフオープンセッションと呼ばれます。

次のルールが、セッション制限の設定に適用されます:

クラスレベルのセッション制限は、グローバル制限を超えることができます。
クラスレベルのセッション制限は、関連付けられた VRF セッションの最大値を超えることができます。
グローバルコンテキストを含む VRF 制限の合計は、ハードコーディングされたセッション制限を超えることができます。

セッションレート

セッションレートは、特定の時間間隔でセッションが確立されるレートです。最大および最小のセッションレート制限を定義できます。セッションレートが指定された最大レートを超えると、ファイアウォールは新しいセッション設定要求を拒否するようになります。

リソース管理の観点から、最大および最小のセッションレート制限を設定すると、Cisco Packet Processor が多数のファイアウォールセッション設定要求を受信して過負荷状態になるのを防ぐことができます。

不完全なセッションまたはハーフオープンセッション

不完全なセッションは、ハーフオープンセッションです。最大セッション制限を設定することで、不完全なセッションが使用するリソースがカウントされ、不完全なセッション数の増加が制限されます。

ファイアウォールリソース管理セッション

次のルールが、ファイアウォールリソース管理セッションに適用されます。

デフォルトでは、開かれたセッションまたはハーフオープンセッションのセッション制限は無制限です。
開かれたセッションまたはハーフオープンセッションは、パラメータで制限され、個別にカウントされます。
開かれたセッション数またはハーフオープンセッション数には、インターネット制御メッセージプロトコル（ICMP）、TCP、または UDP セッションが含まれます。
開かれたセッションの数とレートを制限できます。
ハーフオープンセッションの数のみを制限できます。

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの設定方法

IPv6 ファイアウォールの設定

IPv4 ファイアウォールと IPv6 ファイアウォールを設定する手順は同じです。 IPv6 ファイアウォールを設定するには、IPv6 アドレスファミリだけが一致するようにクラスマップを設定する必要があります。

match protocol コマンドは、IPv4 トラフィックと IPv6 トラフィックの両方に適用され、IPv4 ポリシーまたは IPv6 ポリシーに含めることができます。

手順の概要

1. enable

2. configure terminal

3. vrf-definition vrf-name

4. address-family ipv6

5. exit-address-family

6. exit

7. parameter-map type inspect parameter-map-name

8. sessions maximum sessions

9. exit

10. ipv6 unicast-routing

11. ip port-map appl-name port port-num list list-name

12. ipv6 access-list access-list-name

13. permit ipv6 any any

14. exit

15. class-map type inspect match-all class-map-name

16. match access-group name access-group-name

17. match protocol protocol-name

18. exit

19. policy-map type inspect policy-map-name

20. class type inspect class-map-name

21. inspect [parameter-map-name]

22. end

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例： Device> enable	特権 EXEC モードを開始します。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例： Device# configure terminal	グローバルコンフィギュレーションモードを開始します。
ステップ 3	vrf-definition vrf-name 例： Device(config)# vrf-definition VRF1	仮想ルーティングおよび転送（VRF）ルーティングテーブルインスタンスを設定し、VRF コンフィギュレーションモードを開始します。
ステップ 4	address-family ipv6 例： Device(config-vrf)# address-family ipv6	VRF アドレスファミリコンフィギュレーションモードを開始して、標準 IPv6 アドレスプレフィックスを伝送するセッションを設定します。
ステップ 5	exit-address-family 例： Device(config-vrf-af)# exit-address-family	VRF アドレスファミリコンフィギュレーションモードを終了し、VRF コンフィギュレーションモードを開始します。
ステップ 6	exit 例： Device(config-vrf)# exit	VRF コンフィギュレーションモードを終了して、グローバルコンフィギュレーションモードを開始します。
ステップ 7	parameter-map type inspect parameter-map-name 例： Device(config)# parameter-map type inspect ipv6-param-map	ファイアウォールのグローバル検査タイプパラメータマップを、検査アクションに関連するしきい値、タイムアウト、およびその他のパラメータに関連付けることができるようにし、パラメータマップタイプ検査コンフィギュレーションモードを開始します。
ステップ 8	sessions maximum sessions 例： Device(config-profile)# sessions maximum 10000	ゾーンペア上に存在可能な最大許容セッション数を設定します。
ステップ 9	exit 例： Device(config-profile)# exit	パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。
ステップ 10	ipv6 unicast-routing 例： Device(config)# ipv6 unicast-routing	IPv6 ユニキャストデータグラムの転送をイネーブルにします。
ステップ 11	ip port-map appl-name port port-num list list-name 例： Device(config)# ip port-map ftp port 8090 list ipv6-acl	IPv6 アクセスコントロールリスト（ACL）を使用してポートツーアプリケーションマッピング（PAM）を確立します。
ステップ 12	ipv6 access-list access-list-name 例： Device(config)# ipv6 access-list ipv6-acl	IPv6 アクセスリストを定義し、IPv6 アクセスリストコンフィギュレーションモードを開始します。
ステップ 13	permit ipv6 any any 例： Device(config-ipv6-acl)# permit ipv6 any any	IPv6 アクセスリストに許可条件を設定します。
ステップ 14	exit 例： Device(config-ipv6-acl)# exit	IPv6 アクセスリストコンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。
ステップ 15	class-map type inspect match-all class-map-name 例： Device(config)# class-map type inspect match-all ipv6-class	アプリケーション固有検査タイプクラスマップを作成し、QoS クラスマップコンフィギュレーションモードを開始します。
ステップ 16	match access-group name access-group-name 例： Device(config-cmap)# match access-group name ipv6-acl	指定した ACL をベースにクラスマップに対して一致基準を設定します。
ステップ 17	match protocol protocol-name 例： Device(config-cmap)# match protocol tcp	指定されたプロトコルに基づくクラスマップの一致基準を設定します。
ステップ 18	exit 例： Device(config-cmap)# exit	QoS クラスマップコンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。
ステップ 19	policy-map type inspect policy-map-name 例： Device(config)# policy-map type inspect ipv6-policy	プロトコル固有検査タイプポリシーマップを作成し、QoS ポリシーマップコンフィギュレーションモードを開始します。
ステップ 20	class type inspect class-map-name 例： Device(config-pmap)# class type inspect ipv6-class	アクションを実行する対象のトラフィッククラスを指定し、QoS ポリシーマップクラスコンフィギュレーションモードを開始します。
ステップ 21	inspect [parameter-map-name] 例： Device(config-pmap-c)# inspect ipv6-param-map	ステートフルパケットインスペクションをイネーブルにします。
ステップ 22	end 例： Device(config-pmap-c)# end	QoS ポリシーマップクラスコンフィギュレーションモードを終了し、特権 EXEC モードを開始します。

ファイアウォールセッションのアグレッシブエージングの設定

アグレッシブエージング機能をボックス単位（ボックス単位とは、ファイアウォールセッションテーブル全体を意味します）、デフォルト VRF、および VRF 単位のファイアウォールセッションに設定できます。アグレッシブエージング機能が動作するには、ファイアウォールセッションのアグレッシブエージングおよびエージングアウト時間を設定する必要があります。

ファイアウォールセッションのアグレッシブエージングを設定するには、次の作業を実行します。

ボックス単位のアグレッシブエージングの設定
デフォルト VRF のアグレッシブエージングの設定
VRF 単位のアグレッシブエージングの設定
ファイアウォールセッションのエージングアウトの設定

ボックス単位のアグレッシブエージングの設定

ボックス単位とは、ファイアウォールセッションテーブル全体を意味します。 parameter-map type inspect-global コマンドに従ったすべての設定がボックスに適用されます。

手順の概要

1. enable

2. configure terminal

3. 次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

4. per-box max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

5. per-box aggressive-aging high {value low value | percent percent low percent percent}

6. exit

7. parameter-map type inspect parameter-map-name

8. tcp synwait-time seconds [ageout-time seconds]

9. end

10. show policy-firewall stats global

手順の詳細

コマンドまたはアクション

目的

ステップ 1

enable

例：

Device> enable

特権 EXEC モードをイネーブルにします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例：

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

例：

Device(config)# parameter-map type inspect-global

Device(config)# parameter-map type inspect global

しきい値とタイムアウトを関連付けるグローバルパラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーションモードを開始します。

ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。これら両方のコマンドを一緒に設定することはできません。
parameter-map type inspect-global コマンドを設定する場合は、ステップ 4 と 5 をスキップしてください。

（注）

parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォールセッションに適用されるためです。

ステップ 4

per-box max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

例：

Device(config-profile)# per-box max-incomplete 2000 aggressive-aging high 1500 low 1200

ファイアウォールセッションテーブルのハーフオープンセッションの上限およびアグレッシブエージングレートを設定します。

ステップ 5

per-box aggressive-aging high {value low value | percent percent low percent percent}

例：

Device(config-profile)# per-box aggressive-aging high 1700 low 1300

総セッションのアグレッシブエージング制限を設定します。

ステップ 6

exit

例：

Device(config-profile)# exit

パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。

ステップ 7

parameter-map type inspect parameter-map-name

例：

Device(config)# parameter-map type inspect pmap1

接続しきい値、タイムアウト、および inspect アクションに関連するその他のパラメータの検査タイプパラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーションモードを開始します。

ステップ 8

tcp synwait-time seconds [ageout-time seconds]

例：

Device(config-profile)# tcp synwait-time 30 ageout-time 10

セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

アグレッシブエージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。接続が低ウォーターマークを下回ると、アグレッシブエージングはディセーブルになります。

ステップ 9

end

例：

Device(config-profile)# end

パラメータマップタイプ検査コンフィギュレーションモードを終了し、特権 EXEC モードを開始します。

ステップ 10

show policy-firewall stats global

例：

Device# show policy-firewall stats global

グローバルなファイアウォール統計情報を表示します。

デフォルト VRF のアグレッシブエージングの設定

max-incomplete aggressive-aging コマンドを設定する場合、デフォルト VRF に適用されます。

手順の概要

1. enable

2. configure terminal

3. 次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

4. max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

5. session total number [aggressive-aging high {value low value | percent percent low percent percent}]

6. exit

7. parameter-map type inspect parameter-map-name

8. tcp synwait-time seconds [ageout-time seconds]

9. end

10. show policy-firewall stats vrf global

手順の詳細

コマンドまたはアクション

目的

ステップ 1

enable

例：

Device> enable

特権 EXEC モードをイネーブルにします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例：

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

例：

Device(config)# parameter-map type inspect-global

Device(config)# parameter-map type inspect global

ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。これら両方のコマンドを一緒に設定することはできません。
parameter-map type inspect-global コマンドを設定する場合は、ステップ 5 をスキップしてください。

（注）

ステップ 4

max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

例：

Device(config-profile)# max-incomplete 3455 aggressive-aging high 2345 low 2255

ハーフオープンファイアウォールセッションの上限およびアグレッシブエージング制限を設定します。

ステップ 5

session total number [aggressive-aging high {value low value | percent percent low percent percent}]

例：

Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60

総ファイアウォールセッションの合計制限およびアグレッシブエージング制限を設定します。

ステップ 6

exit

例：

Device(config-profile)# exit

パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。

ステップ 7

parameter-map type inspect parameter-map-name

例：

Device(config)# parameter-map type inspect pmap1

ステップ 8

tcp synwait-time seconds [ageout-time seconds]

例：

Device(config-profile)# tcp synwait-time 30 ageout-time 10

セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

アグレッシブエージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。接続が低ウォーターマークを下回ると、アグレッシブエージングはディセーブルになります。

ステップ 9

end

例：

Device(config-profile)# end

パラメータマップタイプ検査コンフィギュレーションモードを終了し、特権 EXEC モードを開始します。

ステップ 10

show policy-firewall stats vrf global

例：

Device# show policy-firewall stats vrf global

グローバル VRF ファイアウォールポリシーの統計情報を表示します。

VRF 単位のアグレッシブエージングの設定

手順の概要

1. enable

2. configure terminal

3. ip vrf vrf-name

4. rd route-distinguisher

5. route-target export route-target-ext-community

6. route-target import route-target-ext-community

7. exit

8. parameter-map type inspect-vrf vrf-pmap-name

9. max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

10. session total number [aggressive-aging {high value low value | percent percent low percent percent}]

11. alert on

12. exit

13. 次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

14. vrf vrf-name inspect vrf-pmap-name

15. exit

16. parameter-map type inspect parameter-map-name

17. tcp idle-time seconds [ageout-time seconds]

18. tcp synwait-time seconds [ageout-time seconds]

19. exit

20. policy-map type inspect policy-map-name

21. class type inspect match-any class-map-name

22. inspect parameter-map-name

23. end

24. show policy-firewall stats vrf vrf-pmap-name

手順の詳細

コマンドまたはアクション

目的

ステップ 1

enable

例：

Device> enable

特権 EXEC モードをイネーブルにします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例：

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

ip vrf vrf-name

例：

Device(config)# ip vrf ddos-vrf1

VRF インスタンスを定義し、VRF コンフィギュレーションモードを開始します。

ステップ 4

rd route-distinguisher

例：

Device(config-vrf)# rd 100:2

VRF インスタンスのルート識別子（RD）を指定します。

ステップ 5

route-target export route-target-ext-community

例：

Device(config-vrf)# route-target export 100:2

ルートターゲット拡張コミュニティを作成し、ルーティング情報をターゲット VPN 拡張コミュニティにエクスポートします。

ステップ 6

route-target import route-target-ext-community

例：

Device(config-vrf)# route-target import 100:2

ルートターゲット拡張コミュニティを作成し、ルーティング情報をターゲット VPN 拡張コミュニティからインポートします。

ステップ 7

exit

例：

Device(config-vrf)# exit

VRF コンフィギュレーションモードを終了して、グローバルコンフィギュレーションモードを開始します。

ステップ 8

parameter-map type inspect-vrf vrf-pmap-name

例：

Device(config)# parameter-map type inspect-vrf vrf1-pmap

VRF 検査タイプパラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーションモードを開始します。

ステップ 9

max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

例：

Device(config-profile)# max-incomplete 2000 aggressive-aging high 1500 low 1200

ハーフオープンセッションの上限およびアグレッシブエージング制限を設定します。

ステップ 10

session total number [aggressive-aging {high value low value | percent percent low percent percent}]

例：

Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60

総セッションの総セッション制限およびアグレッシブエージング制限を設定します。

総セッション制限を絶対値またはパーセンテージとして設定できます。

ステップ 11

alert on

例：

Device(config-profile)# alert on

ステートフルパケットインスペクションのアラートメッセージのコンソール表示をイネーブルにします。

ステップ 12

exit

例：

Device(config-profile)# exit

パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。

ステップ 13

次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

例：

Device(config)# parameter-map type inspect-global

Device(config)# parameter-map type inspect global

グローバルパラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーションモードを開始します。

ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。これら両方のコマンドを一緒に設定することはできません。
parameter-map type inspect-global コマンドを設定する場合は、ステップ 14 をスキップしてください。

（注）

ステップ 14

vrf vrf-name inspect vrf-pmap-name

例：

Device(config-profile)# vrf vrf1 inspect vrf1-pmap

パラメータマップで VRF をバインドします。

ステップ 15

exit

例：

Device(config-profile)# exit

パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。

ステップ 16

parameter-map type inspect parameter-map-name

例：

Device(config)# parameter-map type inspect pmap1

ステップ 17

tcp idle-time seconds [ageout-time seconds]

例：

Device(config-profile)# tcp idle-time 3000 ageout-time 100

アイドル状態の TCP セッションのタイムアウト、および TCP セッションのアグレッシブエージングアウト時間を設定します。

ステップ 18

tcp synwait-time seconds [ageout-time seconds]

例：

Device(config-profile)# tcp synwait-time 30 ageout-time 10

セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

アグレッシブエージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。接続が低ウォーターマークを下回ると、アグレッシブエージングはディセーブルになります。

ステップ 19

exit

例：

Device(config-profile)# exit

パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。

ステップ 20

policy-map type inspect policy-map-name

例：

Device(config)# policy-map type inspect ddos-fw

プロトコル固有検査タイプポリシーマップを作成し、QoS ポリシーマップコンフィギュレーションモードを開始します。

ステップ 21

class type inspect match-any class-map-name

例：

Device(config-pmap)# class type inspect match-any ddos-class

アクションを実行する対象のトラフィック（クラス）を指定し、QoS ポリシーマップクラスコンフィギュレーションモードを開始します。

ステップ 22

inspect parameter-map-name

例：

Device(config-pmap-c)# inspect pmap1

パラメータマップのステートフルパケットインスペクションをイネーブルにします。

ステップ 23

end

例：

Device(config-pmap-c)# end

QoS ポリシーマップクラスコンフィギュレーションモードを終了し、特権 EXEC モードを開始します。

ステップ 24

show policy-firewall stats vrf vrf-pmap-name

例：

Device# show policy-firewall stats vrf vrf1-pmap

VRF レベルポリシーファイアウォールの統計情報を表示します。

例

次に、show policy-firewall stats vrf vrf1-pmap コマンドの出力例を示します。

Device# show policy-firewall stats vrf vrf1-pmap

VRF: vrf1, Parameter-Map: vrf1-pmap
  Interface reference count: 2
       Total Session Count(estab + half-open): 80, Exceed: 0
       Total Session Aggressive Aging Period Off, Event Count: 0

                Half Open
       Protocol Session Cnt     Exceed
       -------- -----------     ------
       All      0               0
       UDP      0               0
       ICMP     0               0
       TCP      0               0

       TCP Syn Flood Half Open Count: 0, Exceed: 116
       Half Open Aggressive Aging Period Off, Event Count: 0

ファイアウォールセッションのエージングアウトの設定

ICMP、TCP、または UDP のファイアウォールセッションのエージングアウトを設定できます。

手順の概要

1. enable

2. configure terminal

3. 次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

4. vrf vrf-name inspect vrf-pmap-name

5. exit

6. parameter-map type inspect parameter-map-name

7. tcp idle-time seconds [ageout-time seconds]

8. tcp synwait-time seconds [ageout-time seconds]

9. exit

10. policy-map type inspect policy-map-name

11. class type inspect match-any class-map-name

12. inspect parameter-map-name

13. end

14. show policy-firewall stats vrf vrf-pmap-name

手順の詳細

コマンドまたはアクション

目的

ステップ 1

enable

例：

Device> enable

特権 EXEC モードをイネーブルにします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例：

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

例：

Device(config)# parameter-map type inspect-global

Device(config)# parameter-map type inspectglobal

グローバルパラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーションモードを開始します。

ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。これら両方のコマンドを一緒に設定することはできません。
parameter-map type inspect-global コマンドを設定する場合は、ステップ 4 をスキップしてください。

（注）

ステップ 4

vrf vrf-name inspect vrf-pmap-name

例：

Device(config-profile)# vrf vrf1 inspect vrf1-pmap

パラメータマップで VRF をバインドします。

ステップ 5

exit

例：

Device(config-profile)# exit

パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。

ステップ 6

parameter-map type inspect parameter-map-name

例：

Device(config)# parameter-map type inspect pmap1

ステップ 7

tcp idle-time seconds [ageout-time seconds]

例：

Device(config-profile)# tcp idle-time 3000 ageout-time 100

アイドル状態の TCP セッションのタイムアウト、および TCP セッションのアグレッシブエージングアウト時間を設定します。

tcp finwait-time コマンドを設定して、ファイアウォールが finish（FIN）-exchange を検出した後に TCP セッションが管理される時間の長さを指定することもできます。または、tcp synwait-time コマンドを設定して、セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

ステップ 8

tcp synwait-time seconds [ageout-time seconds]

例：

Device(config-profile)# tcp synwait-time 30 ageout-time 10

セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

アグレッシブエージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。接続が低ウォーターマークを下回ると、アグレッシブエージングはイネーブルになります。

ステップ 9

exit

例：

Device(config-profile)# exit

パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。

ステップ 10

policy-map type inspect policy-map-name

例：

Device(config)# policy-map type inspect ddos-fw

プロトコル固有検査タイプポリシーマップを作成し、QoS ポリシーマップコンフィギュレーションモードを開始します。

ステップ 11

class type inspect match-any class-map-name

例：

Device(config-pmap)# class type inspect match-any ddos-class

アクションを実行する対象のトラフィッククラスを指定し、QoS ポリシーマップクラスコンフィギュレーションモードを開始します。

ステップ 12

inspect parameter-map-name

例：

Device(config-pmap-c)# inspect pmap1

パラメータマップのステートフルパケットインスペクションをイネーブルにします。

ステップ 13

end

例：

Device(config-pmap-c)# end

QoS ポリシーマップクラスコンフィギュレーションモードを終了し、特権 EXEC モードを開始します。

ステップ 14

show policy-firewall stats vrf vrf-pmap-name

例：

Device# show policy-firewall stats vrf vrf1-pmap

VRF レベルポリシーファイアウォールの統計情報を表示します。

例

次に、show policy-firewall stats vrf vrf1-pmap コマンドの出力例を示します。

Device# show policy-firewall stats vrf vrf1-pmap

 VRF: vrf1, Parameter-Map: vrf1-pmap
  Interface reference count: 2
       Total Session Count(estab + half-open): 270, Exceed: 0
       Total Session Aggressive Aging Period Off, Event Count: 0

                Half Open
       Protocol Session Cnt     Exceed
       -------- -----------     ------
       All      0               0
       UDP      0               0
       ICMP     0               0
       TCP      0               0

       TCP Syn Flood Half Open Count: 0, Exceed: 12       
       Half Open Aggressive Aging Period Off, Event Count: 0

ファイアウォールイベントレートモニタリングの設定

手順の概要

1. enable

2. configure terminal

3. parameter-map type inspect-zone zone-pmap-name

4. alert on

5. threat-detection basic-threat

6. threat-detection rate fw-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second

7. threat-detection rate inspect-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second

8. threat-detection rate syn-attack average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second

9. exit

10. zone security security-zone-name

11. protection parameter-map-name

12. exit

13. zone-pair security zone-pair-name source source-zone destination destination-zone

14. end

15. show policy-firewall stats zone

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例： Device> enable	特権 EXEC モードをイネーブルにします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例： Device# configure terminal	グローバルコンフィギュレーションモードを開始します。
ステップ 3	parameter-map type inspect-zone zone-pmap-name 例： Device(config)# parameter-map type inspect-zone zone-pmap1	ゾーン検査パラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーションモードを開始します。
ステップ 4	alert on 例： Device(config-profile)# alert on	ゾーンのステートフルパケットインスペクションのアラートメッセージのコンソール表示をイネーブルにします。 log コマンドを使用して、アラートのロギングを syslog または高速ロガー（HSL）のいずれかに設定できます。
ステップ 5	threat-detection basic-threat 例： Device(config-profile)# threat-detection basic-threat	ゾーンの基本脅威検出を設定します。
ステップ 6	threat-detection rate fw-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second 例： Device(config-profile)# threat-detection rate fw-drop average-time-frame 600 average-threshold 100 burst-threshold 100	ファイアウォールのドロップイベントの脅威検出レートを設定します。 threat-detection rate コマンドを設定する前に、threat-detection basic-threat コマンドを設定する必要があります。
ステップ 7	threat-detection rate inspect-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second 例： Device(config-profile)# threat-detection rate inspect-drop average-time-frame 600 average-threshold 100 burst-threshold 100	ファイアウォールインスペクションベースのドロップイベントの脅威検出レートを設定します。
ステップ 8	threat-detection rate syn-attack average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second 例： Device(config-profile)# threat-detection rate syn-attack average-time-frame 600 average-threshold 100 burst-threshold 100	TCP SYN 攻撃イベントの脅威検出レートを設定します。
ステップ 9	exit 例： Device(config-profile)# exit	パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。
ステップ 10	zone security security-zone-name 例： Device(config)# zone security public	セキュリティゾーンを作成し、セキュリティゾーンコンフィギュレーションモードを開始します。
ステップ 11	protection parameter-map-name 例： Device(config-sec-zone)# protection zone-pmap1	ゾーン検査パラメータマップをゾーンに付加し、ゾーン検査パラメータマップで設定されている機能をゾーンに適用します。
ステップ 12	exit 例： Device(config-sec-zone)# exit	セキュリティゾーンコンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。
ステップ 13	zone-pair security zone-pair-name source source-zone destination destination-zone 例： Device(config)# zone-pair security private2public source private destination public	ゾーンペアを作成し、セキュリティゾーンペアコンフィギュレーションモードを開始します。
ステップ 14	end 例： Device(config-sec-zone-pair)# end	セキュリティゾーンペアコンフィギュレーションモードを終了し、特権 EXEC モードを開始します。
ステップ 15	show policy-firewall stats zone 例： Device# show policy-firewall stats zone	ゾーンレベルでファイアウォールポリシーの統計情報を表示します。

ボックス単位のハーフオープンセッション制限の設定

手順の概要

1. enable

2. configure terminal

3. 次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

4. alert on

5. per-box max-incomplete number

6. session total number

7. end

8. show policy-firewall stats global

手順の詳細

コマンドまたはアクション

目的

ステップ 1

enable

例：

Device> enable

特権 EXEC モードをイネーブルにします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例：

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

例：

Device(config)# parameter-map type inspect-global

Device(config)# parameter-map type inspect global

ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。これら両方のコマンドを一緒に設定することはできません。
parameter-map type inspect-global コマンドを設定する場合は、ステップ 5 と 6 をスキップしてください。

（注）

ステップ 4

alert on

例：

Device(config-profile)# alert on

ステートフルパケットインスペクションのアラートメッセージのコンソール表示をイネーブルにします。

ステップ 5

per-box max-incomplete number

例：

Device(config-profile)# per-box max-incomplete 12345

ファイアウォールセッションテーブルのハーフオープン接続の最大数を設定します。

ステップ 6

session total number

例：

Device(config-profile)# session total 34500

ファイアウォールセッションテーブルの総セッション制限を設定します。

ステップ 7

end

例：

Device(config-profile)# end

パラメータマップタイプ検査コンフィギュレーションモードを終了し、特権 EXEC モードを開始します。

ステップ 8

show policy-firewall stats global

例：

Device# show policy-firewall stats global

グローバルなファイアウォール統計情報を表示します。

VRF 検査パラメータマップのハーフオープンセッション制限の設定

手順の概要

1. enable

2. configure terminal

3. parameter-map type inspect-vrf vrf-name

4. alert on

5. max-incomplete number

6. session total number

7. exit

8. 次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

9. alert on

10. vrf vrf-name inspect vrf-pmap-name

11. end

12. show policy-firewall stats vrf vrf-pmap-name

手順の詳細

コマンドまたはアクション

目的

ステップ 1

enable

例：

Device> enable

特権 EXEC モードをイネーブルにします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例：

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

parameter-map type inspect-vrf vrf-name

例：

Device(config)# parameter-map type inspect-vrf vrf1-pmap

VRF 検査パラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーションモードを開始します。

ステップ 4

alert on

例：

Device(config-profile)# alert on

ステートフルパケットインスペクションのアラートメッセージのコンソール表示をイネーブルにします。

ステップ 5

max-incomplete number

例：

Device(config-profile)# max-incomplete 2000

VRF 単位のハーフオープン接続の最大数を設定します。

ステップ 6

session total number

例：

Device(config-profile)# session total 34500

VRF の総セッション制限を設定します。

ステップ 7

exit

例：

Device(config-profile)# exit

パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。

ステップ 8

次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

例：

Device(config)# parameter-map type inspect-global

Device(config)# parameter-map type inspect global

ご使用のリリースに基づいて、parameter-map type inspect-global コマンドまたは parameter-map type inspect global コマンドを使用できます。これら両方のコマンドを一緒に設定することはできません。
parameter-map type inspect-global コマンドを設定する場合は、ステップ 10 をスキップしてください。

（注）

ステップ 9

alert on

例：

Device(config-profile)# alert on

ステートフルパケットインスペクションのアラートメッセージのコンソール表示をイネーブルにします。

ステップ 10

vrf vrf-name inspect vrf-pmap-name

例：

Device(config-profile)# vrf vrf1 inspect vrf1-pmap

グローバルパラメータマップに VRF をバインドします。

ステップ 11

end

例：

Device(config-profile)# end

パラメータマップタイプ検査コンフィギュレーションモードを終了し、特権 EXEC モードを開始します。

ステップ 12

show policy-firewall stats vrf vrf-pmap-name

例：

Device# show policy-firewall stats vrf vrf1-pmap

VRF レベルポリシーファイアウォールの統計情報を表示します。

グローバル TCP SYN フラッド制限の設定

手順の概要

1. enable

2. configure terminal

3. 次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

4. alert on

5. per-box tcp syn-flood limit number

6. end

7. show policy-firewall stats vrf global

手順の詳細

コマンドまたはアクション

目的

ステップ 1

enable

例：

Device> enable

特権 EXEC モードをイネーブルにします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例：

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

例：

Device(config)# parameter-map type inspect-global

Device(config)# parameter-map type inspect global

グローバルパラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーションモードを開始します。

ご使用のリリースに基づいて、parameter-map type inspect-global コマンドまたは parameter-map type inspect global コマンドを設定できます。これら両方のコマンドを一緒に設定することはできません。
parameter-map type inspect-global コマンドを設定する場合は、ステップ 5 をスキップしてください。

（注）

ステップ 4

alert on

例：

Device(config-profile)# alert on

ステートフルパケットインスペクションのアラートメッセージのコンソール表示をイネーブルにします。

ステップ 5

per-box tcp syn-flood limit number

例：

Device(config-profile)# per-box tcp syn-flood limit 500

新しい SYN パケットの SYN Cookie 処理をトリガーする TCP ハーフオープンセッション数を制限します。

ステップ 6

end

例：

Device(config-profile)# end

パラメータマップタイプ検査コンフィギュレーションモードを終了し、特権 EXEC モードを開始します。

ステップ 7

show policy-firewall stats vrf global

例：

Device# show policy-firewall stats vrf global

（任意）グローバル VRF ファイアウォールポリシーのステータスを表示します。

コマンド出力には、存在する TCP ハーフオープンセッションの数も表示されます。

例

次に、show policy-firewall stats vrf global コマンドの出力例を示します。

Device# show policy-firewall stats vrf global
 
Global table statistics
       total_session_cnt: 0
       exceed_cnt:        0
       tcp_half_open_cnt: 0
       syn_exceed_cnt:    0

ファイアウォールリソース管理の設定

（注）

グローバルパラメータマップは、ルータレベルではなく、グローバルルーティングドメインで有効になります。

手順の概要

1. enable

2. configure terminal

3. parameter-map type inspect-vrf vrf-pmap-name

4. session total number

5. tcp syn-flood limit number

6. exit

7. parameter-map type inspect-global

8. vrf vrf-name inspect parameter-map-name

9. exit

10. parameter-map type inspect-vrf vrf-default

11. session total number

12. tcp syn-flood limit number

13. end

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例： Device> enable	特権 EXEC モードをイネーブルにします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例： Device# configure terminal	グローバルコンフィギュレーションモードを開始します。
ステップ 3	parameter-map type inspect-vrf vrf-pmap-name 例： Device(config)# parameter-map type inspect-vrf vrf1-pmap	VRF 検査タイプパラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーションモードを開始します。
ステップ 4	session total number 例： Device(config-profile)# session total 1000	セッションの総数を設定します。
ステップ 5	tcp syn-flood limit number 例： Device(config-profile)# tcp syn-flood limit 2000	新しい SYN パケットの同期（SYN）Cookie 処理をトリガーする TCP ハーフオープンセッション数を制限します。
ステップ 6	exit 例： Device(config-profile)# exit	パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。
ステップ 7	parameter-map type inspect-global 例： Device(config)# parameter-map type inspect-global	グローバルパラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーションモードを開始します。
ステップ 8	vrf vrf-name inspect parameter-map-name 例： Device(config-profile)# vrf vrf1 inspect vrf1-pmap	パラメータマップに VRF をバインドします。
ステップ 9	exit 例： Device(config-profile)# exit	パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。
ステップ 10	parameter-map type inspect-vrf vrf-default 例： Device(config)# parameter-map type inspect-vrf vrf-default	デフォルトの VRF 検査タイプパラメータマップを設定します。
ステップ 11	session total number 例： Device(config-profile)# session total 6000	セッションの総数を設定します。 session total コマンドを VRF 検査タイプパラメータマップおよびグローバルパラメータマップに設定できます。 VRF 検査タイプパラメータマップに session total コマンドを設定した場合、セッションは VRF 検査タイプパラメータマップに関連付けられます。 session total コマンドがグローバルパラメータマップに設定された場合、このコマンドはグローバルルーティングドメインに適用されます。
ステップ 12	tcp syn-flood limit number 例： Device(config-profile)# tcp syn-flood limit 7000	新しい SYN パケットの SYN Cookie 処理をトリガーする TCP ハーフオープンセッション数を制限します。
ステップ 13	end 例： Device(config-profile)# end	パラメータマップタイプ検査コンフィギュレーションモードを終了し、特権 EXEC モードを開始します。

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの設定例

例：IPv6 ファイアウォールの設定

Device# configure terminal
Device(config)# vrf-definition VRF1
Device(config-vrf)# address-family ipv6
Device(config-vrf-af)# exit-address-family
Device(config-vrf)# exit
Device(config)# parameter-map type inspect ipv6-param-map
Device(config-profile)# sessions maximum 10000
Device(config-profile)# exit
Device(config)# ipv6 unicast-routing
Device(config)# ip port-map ftp port 8090 list ipv6-acl
Device(config)# ipv6 access-list ipv6-acl
Device(config-ipv6-acl)# permit ipv6 any any
Device(config-ipv6-acl)# exit
Device(config)# class-map type inspect match-all ipv6-class
Device(config-cmap)# match access-group name ipv6-acl
Device(config-cmap)# match protocol tcp
Device(config-cmap)# exit
Device(config)# policy-map type inspect ipv6-policy
Device(config-pmap)# class type inspect ipv6-class
Device(config-pmap-c)# inspect ipv6-param-map
Device(config-pmap-c)# end

例：ボックス単位のアグレッシブエージングの設定

Device# configure terminal
Device(config)# parameter-map type inspect global
Device(config-profile)# per-box max-incomplete 2000 aggressive-aging 1500 low 1200
Device(config-profile)# per-box aggressive-aging high 1700 low 1300
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# end

例：デフォルト VRF のアグレッシブエージングの設定

Device# configure terminal
Device(config)# parameter-map type inspect global
Device(config-profile)# max-incomplete 2000 aggressive-aging high 1500 low 1200
Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# end

例：VRF 単位のアグレッシブエージングの設定

Device# configure terminal
Device(config)# ip vrf ddos-vrf1
Device(config-vrf)# rd 100:2
Device(config-vrf)# route-target export 100:2
Device(config-vrf)# route-target import 100:2
Device(config-vrf)# exit
Device(config)# parameter-map type inspect-vrf vrf1-pmap
Device(config-profile)# max-incomplete 3455 aggressive-aging high 2345 low 2255
Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
Device(config-profile)# alert on
Device(config-profile)# exit
Device(config)# parameter-map type inspect global
Device(config-profile)# vrf vrf1 inspect vrf1-pmap
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp idle-time 3000 ageout-time 100
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# exit
Device(config)# policy-map type inspect ddos-fw
Device(config-pmap)# class type inspect match-any ddos-class
Device(config-pmap-c)# inspect pmap1
Device(config-profile)# end

例：ファイアウォールセッションのエージングアウトの設定

Device# configure terminal
Device(config-profile)# exit
Device(config)# parameter-map type inspect global
Device(config-profile)# vrf vrf1 inspect vrf1-pmap
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp idle-time 3000 ageout-time 100
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# exit
Device(config)# policy-map type inspect ddos-fw
Device(config-profile)# class type inspect match-any ddos-class
Device(config-profile)# inspect pmap1
Device(config-profile)# end

例：ファイアウォールイベントレートモニタリングの設定

Device> enable
Device# configure terminal
Device(config)# parameter-map type inspect zone zone-pmap1
Device(config-profile)# alert on
Device(config-profile)# threat-detection basic-threat
Device(config-profile)# threat-detection rate fw-drop average-time-frame 600 average-threshold 100 burst-threshold 100
Device(config-profile)# threat-detection rate inspect-drop average-time-frame 600 average-threshold 100 burst-threshold 100
Device(config-profile)# threat-detection rate syn-attack average-time-frame 600 average-threshold 100 burst-threshold 100
Device(config-profile)# exit
Device(config)# zone security public
Device(config-sec-zone)# protection zone-pmap1
Device(config-sec-zone)# exit
Device(config)# zone-pair security private2public source private destination public
Device(config-sec-zone-pair)# end

例：ボックス単位のハーフオープンセッション制限の設定

Device# configure terminal  
Device(config)# parameter-map type inspect global 
Device(config-profile)# alert on 
Device(config-profile)# per-box max-incomplete 12345   
Device(config-profile)# session total 34500  
Device(config-profile)# end

例：VRF 検査パラメータマップのハーフオープンセッション制限の設定

Device# configure terminal  
Device(config)# parameter-map type inspect vrf vrf1-pmap 
Device(config-profile)# alert on 
Device(config-profile)# max-incomplete 3500 
Device(config-profile)# session total 34500 
Device(config-profile)# exit
Device(config)# parameter-map type inspect global
Device(config-profile)# alert on
Device(config-profile)# vrf vrf1 inspect vrf1-pmap 
Device(config-profile)# end

例：グローバル TCP SYN フラッド制限の設定

Device# configure terminal  
Device(config)# parameter-map type inspect global 
Device(config-profile)# alert on 
Device(config-profile)# per-box tcp syn-flood limit 500 
Device(config-profile)# end

例：ファイアウォールリソース管理の設定

Device# configure terminal
Device(config)# parameter-map type inspect-vrf vrf1-pmap
Device(config-profile)# session total 1000
Device(config-profile)# tcp syn-flood limit 2000
Device(config-profile)# exit
Device(config)# parameter-map type inspect-global
Device(config-profile)# vrf vrf1 inspect pmap1
Device(config-profile)# exit
Device(config)# parameter-map type inspect-vrf vrf-default
Device(config-profile)# session total 6000
Device(config-profile)# tcp syn-flood limit 7000
Device(config-profile)# end

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの追加情報

関連項目	マニュアルタイトル
Cisco IOS コマンド	『Cisco IOS Master Command List, All Releases』
セキュリティコマンド	『Security Command Reference: Commands A to C』『Security Command Reference: Commands D to L』『Security Command Reference: Commands M to R』『Security Command Reference: Commands S to Z』

シスコのテクニカルサポート

説明	リンク
シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンラインリソースを提供しています。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。	http://www.cisco.com/cisco/web/support/index.html

説明

リンク

シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンラインリソースを提供しています。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェアリリーストレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

表 2 分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの機能情報
機能名	リリース	機能情報
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポート	Cisco IOS XE Release 3.7S	IPv6 ゾーンベースファイアウォールは、分散型サービス拒否攻撃への保護およびファイアウォールリソース管理機能をサポートします。分散型サービス拒否攻撃に対する保護機能は、グローバルレベルで（すべてのファイアウォールセッションに対して）および VPN ルーティングおよび転送（VRF）レベルで、サービス拒否（DoS）攻撃から保護します。分散型 DoS 攻撃を防ぐために、ファイアウォールセッションのアグレッシブエージング、ファイアウォールセッションのイベントレートモニタリング、ハーフオープン接続制限、およびグローバル TCP SYN Cookie 保護を設定できます。ファイアウォールリソース管理機能は、デバイス上に設定される VPN ルーティングおよび転送（VRF）インスタンスとグローバルファイアウォールセッションの数を制限します。

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポート
機能情報の確認
分散型サービス拒否攻撃に対する保護およびリソース管理のための IPv6 ファイアウォールサポートの制約事項
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートについて
ファイアウォールセッションのアグレッシブエージング
イベントレートモニタリング機能
ハーフオープン接続制限
TCP SYN フラッド攻撃
ファイアウォールリソース管理
ファイアウォールセッション
セッション定義
セッションレート
不完全なセッションまたはハーフオープンセッション
ファイアウォールリソース管理セッション
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの設定方法
IPv6 ファイアウォールの設定
ファイアウォールセッションのアグレッシブエージングの設定
ボックス単位のアグレッシブエージングの設定
デフォルト VRF のアグレッシブエージングの設定
VRF 単位のアグレッシブエージングの設定
ファイアウォールセッションのエージングアウトの設定
ファイアウォールイベントレートモニタリングの設定
ボックス単位のハーフオープンセッション制限の設定
VRF 検査パラメータマップのハーフオープンセッション制限の設定
グローバル TCP SYN フラッド制限の設定
ファイアウォールリソース管理の設定
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの設定例
例：IPv6 ファイアウォールの設定
例：ファイアウォールセッションのアグレッシブエージングの設定
例：ボックス単位のアグレッシブエージングの設定
例：デフォルト VRF のアグレッシブエージングの設定
例：VRF 単位のアグレッシブエージングの設定
例：ファイアウォールセッションのエージングアウトの設定
例：ファイアウォールイベントレートモニタリングの設定
例：ボックス単位のハーフオープンセッション制限の設定
例：VRF 検査パラメータマップのハーフオープンセッション制限の設定
例：グローバル TCP SYN フラッド制限の設定
例：ファイアウォールリソース管理の設定
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの追加情報
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの機能情報

IPv6 ゾーンベースファイアウォールは、分散型サービス拒否攻撃への保護およびファイアウォールリソース管理機能をサポートします。

このモジュールでは、分散型サービス拒否攻撃への保護およびファイアウォールリソース管理機能を設定する方法について説明します。

機能情報の確認
分散型サービス拒否攻撃に対する保護およびリソース管理のための IPv6 ファイアウォールサポートの制約事項
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートについて
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの設定方法
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの設定例
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの追加情報
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの機能情報

機能情報の確認

分散型サービス拒否攻撃に対する保護およびリソース管理のための IPv6 ファイアウォールサポートの制約事項

次の制約事項がファイアウォールリソース管理機能に適用されます。

グローバルレベルまたは仮想ルーティングおよび転送（VRF）レベルのセッション制限を設定し、セッション制限を再設定した後、グローバルレベルまたは VRF レベルのセッション制限が最初に設定されたセッション数よりも低い場合、新しいセッションは追加されません。ただし、既存のセッションはドロップされません。

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートについて

ファイアウォールセッションのアグレッシブエージング

イベントレートモニタリング機能

イベントレートモニタリング機能では、次のタイプのイベントをモニタします。

基本的なファイアウォールチェックエラーが原因でファイアウォールがドロップする：これには、ゾーンまたはゾーンペアのチェックエラー、または drop アクションを使用して設定されたファイアウォールポリシーなどが含まれる場合があります。
レイヤ 4 インスペクションエラーが原因でファイアウォールがドロップする：これには、最初の TCP パケットが同期（SYN）パケットではないため失敗した TCP インスペクションが含まれる場合があります。
TCP SYN Cookie 攻撃：これには、ドロップされた SYN パケット数、およびスプーフィング攻撃として送信された SYN Cookie の数の集計が含まれる場合があります。

次の表に、イベントレートモニタリング機能がイネーブルの場合に適用可能な基本脅威検出のデフォルト設定を示します。

表 1 基本脅威検出のデフォルト設定
パケットドロップの理由	脅威検出の設定
基本的なファイアウォールドロップ	平均レート 400 パケット/秒（pps）バーストレート 1600 pps レート間隔 600 秒
インスペクションベースのファイアウォールドロップ	平均レート 400 pps バーストレート 1600 pps レート間隔 600 秒
SYN 攻撃ファイアウォールドロップ	平均レート 100 pps バーストレート 200 pps レート間隔 600 秒

ハーフオープン接続制限

次のセッションは、ハーフオープンセッションと見なされます。

スリーウェイハンドシェイクが完了していない TCP セッション。
UDP フローで 1 パケットだけが検出されている UDP セッション。
ICMP エコー要求または ICMP タイムスタンプの要求に対する応答を受信しない ICMP セッション。

TCP SYN フラッド攻撃

SYN フラッド攻撃は次の 2 つのタイプに分かれています。

ホストのフラッディング：SYN フラッドパケットは、単一ホスト上のすべてのリソースを利用することを目的として、そのホストに送信されます。
ファイアウォールセッションテーブルのフラッディング：SYN フラッドパケットが、ファイアウォール上のセッションテーブルリソースを使い果たすことで、そのファイアウォールを通過する正当なトラフィックに対してリソースが拒否されることを目的として、ファイアウォール背後のアドレス範囲に送られます。

ファイアウォールリソース管理

リソース管理は、デバイス上の共有リソースの利用レベルを制限します。デバイス上の共有リソースは次のとおりです。

帯域幅
接続状態
メモリ使用率（テーブル単位）
セッションまたはコール数
1 秒あたりのパケット数
Ternary Content Addressable Memory（TCAM）エントリ

ファイアウォールセッション

セッション定義
セッションレート
不完全なセッションまたはハーフオープンセッション
ファイアウォールリソース管理セッション

セッション定義

次のルールが、セッション制限の設定に適用されます:

クラスレベルのセッション制限は、グローバル制限を超えることができます。
クラスレベルのセッション制限は、関連付けられた VRF セッションの最大値を超えることができます。
グローバルコンテキストを含む VRF 制限の合計は、ハードコーディングされたセッション制限を超えることができます。

セッションレート

不完全なセッションまたはハーフオープンセッション

ファイアウォールリソース管理セッション

次のルールが、ファイアウォールリソース管理セッションに適用されます。

デフォルトでは、開かれたセッションまたはハーフオープンセッションのセッション制限は無制限です。
開かれたセッションまたはハーフオープンセッションは、パラメータで制限され、個別にカウントされます。
開かれたセッション数またはハーフオープンセッション数には、インターネット制御メッセージプロトコル（ICMP）、TCP、または UDP セッションが含まれます。
開かれたセッションの数とレートを制限できます。
ハーフオープンセッションの数のみを制限できます。

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの設定方法

IPv6 ファイアウォールの設定

match protocol コマンドは、IPv4 トラフィックと IPv6 トラフィックの両方に適用され、IPv4 ポリシーまたは IPv6 ポリシーに含めることができます。

手順の概要

1. enable

2. configure terminal

3. vrf-definition vrf-name

4. address-family ipv6

5. exit-address-family

6. exit

7. parameter-map type inspect parameter-map-name

8. sessions maximum sessions

9. exit

10. ipv6 unicast-routing

11. ip port-map appl-name port port-num list list-name

12. ipv6 access-list access-list-name

13. permit ipv6 any any

14. exit

15. class-map type inspect match-all class-map-name

16. match access-group name access-group-name

17. match protocol protocol-name

18. exit

19. policy-map type inspect policy-map-name

20. class type inspect class-map-name

21. inspect [parameter-map-name]

22. end

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例： Device> enable	特権 EXEC モードを開始します。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例： Device# configure terminal	グローバルコンフィギュレーションモードを開始します。
ステップ 3	vrf-definition vrf-name 例： Device(config)# vrf-definition VRF1	仮想ルーティングおよび転送（VRF）ルーティングテーブルインスタンスを設定し、VRF コンフィギュレーションモードを開始します。
ステップ 4	address-family ipv6 例： Device(config-vrf)# address-family ipv6	VRF アドレスファミリコンフィギュレーションモードを開始して、標準 IPv6 アドレスプレフィックスを伝送するセッションを設定します。
ステップ 5	exit-address-family 例： Device(config-vrf-af)# exit-address-family	VRF アドレスファミリコンフィギュレーションモードを終了し、VRF コンフィギュレーションモードを開始します。
ステップ 6	exit 例： Device(config-vrf)# exit	VRF コンフィギュレーションモードを終了して、グローバルコンフィギュレーションモードを開始します。
ステップ 7	parameter-map type inspect parameter-map-name 例： Device(config)# parameter-map type inspect ipv6-param-map	ファイアウォールのグローバル検査タイプパラメータマップを、検査アクションに関連するしきい値、タイムアウト、およびその他のパラメータに関連付けることができるようにし、パラメータマップタイプ検査コンフィギュレーションモードを開始します。
ステップ 8	sessions maximum sessions 例： Device(config-profile)# sessions maximum 10000	ゾーンペア上に存在可能な最大許容セッション数を設定します。
ステップ 9	exit 例： Device(config-profile)# exit	パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。
ステップ 10	ipv6 unicast-routing 例： Device(config)# ipv6 unicast-routing	IPv6 ユニキャストデータグラムの転送をイネーブルにします。
ステップ 11	ip port-map appl-name port port-num list list-name 例： Device(config)# ip port-map ftp port 8090 list ipv6-acl	IPv6 アクセスコントロールリスト（ACL）を使用してポートツーアプリケーションマッピング（PAM）を確立します。
ステップ 12	ipv6 access-list access-list-name 例： Device(config)# ipv6 access-list ipv6-acl	IPv6 アクセスリストを定義し、IPv6 アクセスリストコンフィギュレーションモードを開始します。
ステップ 13	permit ipv6 any any 例： Device(config-ipv6-acl)# permit ipv6 any any	IPv6 アクセスリストに許可条件を設定します。
ステップ 14	exit 例： Device(config-ipv6-acl)# exit	IPv6 アクセスリストコンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。
ステップ 15	class-map type inspect match-all class-map-name 例： Device(config)# class-map type inspect match-all ipv6-class	アプリケーション固有検査タイプクラスマップを作成し、QoS クラスマップコンフィギュレーションモードを開始します。
ステップ 16	match access-group name access-group-name 例： Device(config-cmap)# match access-group name ipv6-acl	指定した ACL をベースにクラスマップに対して一致基準を設定します。
ステップ 17	match protocol protocol-name 例： Device(config-cmap)# match protocol tcp	指定されたプロトコルに基づくクラスマップの一致基準を設定します。
ステップ 18	exit 例： Device(config-cmap)# exit	QoS クラスマップコンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。
ステップ 19	policy-map type inspect policy-map-name 例： Device(config)# policy-map type inspect ipv6-policy	プロトコル固有検査タイプポリシーマップを作成し、QoS ポリシーマップコンフィギュレーションモードを開始します。
ステップ 20	class type inspect class-map-name 例： Device(config-pmap)# class type inspect ipv6-class	アクションを実行する対象のトラフィッククラスを指定し、QoS ポリシーマップクラスコンフィギュレーションモードを開始します。
ステップ 21	inspect [parameter-map-name] 例： Device(config-pmap-c)# inspect ipv6-param-map	ステートフルパケットインスペクションをイネーブルにします。
ステップ 22	end 例： Device(config-pmap-c)# end	QoS ポリシーマップクラスコンフィギュレーションモードを終了し、特権 EXEC モードを開始します。

ファイアウォールセッションのアグレッシブエージングの設定

ファイアウォールセッションのアグレッシブエージングを設定するには、次の作業を実行します。

ボックス単位のアグレッシブエージングの設定
デフォルト VRF のアグレッシブエージングの設定
VRF 単位のアグレッシブエージングの設定
ファイアウォールセッションのエージングアウトの設定

ボックス単位のアグレッシブエージングの設定

手順の概要

1. enable

2. configure terminal

3. 次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

4. per-box max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

5. per-box aggressive-aging high {value low value | percent percent low percent percent}

6. exit

7. parameter-map type inspect parameter-map-name

8. tcp synwait-time seconds [ageout-time seconds]

9. end

10. show policy-firewall stats global

手順の詳細

コマンドまたはアクション

目的

ステップ 1

enable

例：

Device> enable

特権 EXEC モードをイネーブルにします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例：

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

例：

Device(config)# parameter-map type inspect-global

Device(config)# parameter-map type inspect global

ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。これら両方のコマンドを一緒に設定することはできません。
parameter-map type inspect-global コマンドを設定する場合は、ステップ 4 と 5 をスキップしてください。

（注）

ステップ 4

per-box max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

例：

Device(config-profile)# per-box max-incomplete 2000 aggressive-aging high 1500 low 1200

ファイアウォールセッションテーブルのハーフオープンセッションの上限およびアグレッシブエージングレートを設定します。

ステップ 5

per-box aggressive-aging high {value low value | percent percent low percent percent}

例：

Device(config-profile)# per-box aggressive-aging high 1700 low 1300

総セッションのアグレッシブエージング制限を設定します。

ステップ 6

exit

例：

Device(config-profile)# exit

パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。

ステップ 7

parameter-map type inspect parameter-map-name

例：

Device(config)# parameter-map type inspect pmap1

ステップ 8

tcp synwait-time seconds [ageout-time seconds]

例：

Device(config-profile)# tcp synwait-time 30 ageout-time 10

セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

アグレッシブエージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。接続が低ウォーターマークを下回ると、アグレッシブエージングはディセーブルになります。

ステップ 9

end

例：

Device(config-profile)# end

パラメータマップタイプ検査コンフィギュレーションモードを終了し、特権 EXEC モードを開始します。

ステップ 10

show policy-firewall stats global

例：

Device# show policy-firewall stats global

グローバルなファイアウォール統計情報を表示します。

デフォルト VRF のアグレッシブエージングの設定

max-incomplete aggressive-aging コマンドを設定する場合、デフォルト VRF に適用されます。

手順の概要

1. enable

2. configure terminal

3. 次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

4. max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

5. session total number [aggressive-aging high {value low value | percent percent low percent percent}]

6. exit

7. parameter-map type inspect parameter-map-name

8. tcp synwait-time seconds [ageout-time seconds]

9. end

10. show policy-firewall stats vrf global

手順の詳細

コマンドまたはアクション

目的

ステップ 1

enable

例：

Device> enable

特権 EXEC モードをイネーブルにします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例：

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

例：

Device(config)# parameter-map type inspect-global

Device(config)# parameter-map type inspect global

ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。これら両方のコマンドを一緒に設定することはできません。
parameter-map type inspect-global コマンドを設定する場合は、ステップ 5 をスキップしてください。

（注）

ステップ 4

max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

例：

Device(config-profile)# max-incomplete 3455 aggressive-aging high 2345 low 2255

ハーフオープンファイアウォールセッションの上限およびアグレッシブエージング制限を設定します。

ステップ 5

session total number [aggressive-aging high {value low value | percent percent low percent percent}]

例：

Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60

総ファイアウォールセッションの合計制限およびアグレッシブエージング制限を設定します。

ステップ 6

exit

例：

Device(config-profile)# exit

パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。

ステップ 7

parameter-map type inspect parameter-map-name

例：

Device(config)# parameter-map type inspect pmap1

ステップ 8

tcp synwait-time seconds [ageout-time seconds]

例：

Device(config-profile)# tcp synwait-time 30 ageout-time 10

セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

アグレッシブエージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。接続が低ウォーターマークを下回ると、アグレッシブエージングはディセーブルになります。

ステップ 9

end

例：

Device(config-profile)# end

パラメータマップタイプ検査コンフィギュレーションモードを終了し、特権 EXEC モードを開始します。

ステップ 10

show policy-firewall stats vrf global

例：

Device# show policy-firewall stats vrf global

グローバル VRF ファイアウォールポリシーの統計情報を表示します。

VRF 単位のアグレッシブエージングの設定

手順の概要

1. enable

2. configure terminal

3. ip vrf vrf-name

4. rd route-distinguisher

5. route-target export route-target-ext-community

6. route-target import route-target-ext-community

7. exit

8. parameter-map type inspect-vrf vrf-pmap-name

9. max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

10. session total number [aggressive-aging {high value low value | percent percent low percent percent}]

11. alert on

12. exit

13. 次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

14. vrf vrf-name inspect vrf-pmap-name

15. exit

16. parameter-map type inspect parameter-map-name

17. tcp idle-time seconds [ageout-time seconds]

18. tcp synwait-time seconds [ageout-time seconds]

19. exit

20. policy-map type inspect policy-map-name

21. class type inspect match-any class-map-name

22. inspect parameter-map-name

23. end

24. show policy-firewall stats vrf vrf-pmap-name

手順の詳細

コマンドまたはアクション

目的

ステップ 1

enable

例：

Device> enable

特権 EXEC モードをイネーブルにします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例：

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

ip vrf vrf-name

例：

Device(config)# ip vrf ddos-vrf1

VRF インスタンスを定義し、VRF コンフィギュレーションモードを開始します。

ステップ 4

rd route-distinguisher

例：

Device(config-vrf)# rd 100:2

VRF インスタンスのルート識別子（RD）を指定します。

ステップ 5

route-target export route-target-ext-community

例：

Device(config-vrf)# route-target export 100:2

ルートターゲット拡張コミュニティを作成し、ルーティング情報をターゲット VPN 拡張コミュニティにエクスポートします。

ステップ 6

route-target import route-target-ext-community

例：

Device(config-vrf)# route-target import 100:2

ルートターゲット拡張コミュニティを作成し、ルーティング情報をターゲット VPN 拡張コミュニティからインポートします。

ステップ 7

exit

例：

Device(config-vrf)# exit

VRF コンフィギュレーションモードを終了して、グローバルコンフィギュレーションモードを開始します。

ステップ 8

parameter-map type inspect-vrf vrf-pmap-name

例：

Device(config)# parameter-map type inspect-vrf vrf1-pmap

VRF 検査タイプパラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーションモードを開始します。

ステップ 9

max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

例：

Device(config-profile)# max-incomplete 2000 aggressive-aging high 1500 low 1200

ハーフオープンセッションの上限およびアグレッシブエージング制限を設定します。

ステップ 10

session total number [aggressive-aging {high value low value | percent percent low percent percent}]

例：

Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60

総セッションの総セッション制限およびアグレッシブエージング制限を設定します。

総セッション制限を絶対値またはパーセンテージとして設定できます。

ステップ 11

alert on

例：

Device(config-profile)# alert on

ステートフルパケットインスペクションのアラートメッセージのコンソール表示をイネーブルにします。

ステップ 12

exit

例：

Device(config-profile)# exit

パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。

ステップ 13

次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

例：

Device(config)# parameter-map type inspect-global

Device(config)# parameter-map type inspect global

グローバルパラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーションモードを開始します。

ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。これら両方のコマンドを一緒に設定することはできません。
parameter-map type inspect-global コマンドを設定する場合は、ステップ 14 をスキップしてください。

（注）

ステップ 14

vrf vrf-name inspect vrf-pmap-name

例：

Device(config-profile)# vrf vrf1 inspect vrf1-pmap

パラメータマップで VRF をバインドします。

ステップ 15

exit

例：

Device(config-profile)# exit

パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。

ステップ 16

parameter-map type inspect parameter-map-name

例：

Device(config)# parameter-map type inspect pmap1

ステップ 17

tcp idle-time seconds [ageout-time seconds]

例：

Device(config-profile)# tcp idle-time 3000 ageout-time 100

アイドル状態の TCP セッションのタイムアウト、および TCP セッションのアグレッシブエージングアウト時間を設定します。

ステップ 18

tcp synwait-time seconds [ageout-time seconds]

例：

Device(config-profile)# tcp synwait-time 30 ageout-time 10

セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

アグレッシブエージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。接続が低ウォーターマークを下回ると、アグレッシブエージングはディセーブルになります。

ステップ 19

exit

例：

Device(config-profile)# exit

パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。

ステップ 20

policy-map type inspect policy-map-name

例：

Device(config)# policy-map type inspect ddos-fw

プロトコル固有検査タイプポリシーマップを作成し、QoS ポリシーマップコンフィギュレーションモードを開始します。

ステップ 21

class type inspect match-any class-map-name

例：

Device(config-pmap)# class type inspect match-any ddos-class

アクションを実行する対象のトラフィック（クラス）を指定し、QoS ポリシーマップクラスコンフィギュレーションモードを開始します。

ステップ 22

inspect parameter-map-name

例：

Device(config-pmap-c)# inspect pmap1

パラメータマップのステートフルパケットインスペクションをイネーブルにします。

ステップ 23

end

例：

Device(config-pmap-c)# end

QoS ポリシーマップクラスコンフィギュレーションモードを終了し、特権 EXEC モードを開始します。

ステップ 24

show policy-firewall stats vrf vrf-pmap-name

例：

Device# show policy-firewall stats vrf vrf1-pmap

VRF レベルポリシーファイアウォールの統計情報を表示します。

例

次に、show policy-firewall stats vrf vrf1-pmap コマンドの出力例を示します。

Device# show policy-firewall stats vrf vrf1-pmap

VRF: vrf1, Parameter-Map: vrf1-pmap
  Interface reference count: 2
       Total Session Count(estab + half-open): 80, Exceed: 0
       Total Session Aggressive Aging Period Off, Event Count: 0

                Half Open
       Protocol Session Cnt     Exceed
       -------- -----------     ------
       All      0               0
       UDP      0               0
       ICMP     0               0
       TCP      0               0

       TCP Syn Flood Half Open Count: 0, Exceed: 116
       Half Open Aggressive Aging Period Off, Event Count: 0

ファイアウォールセッションのエージングアウトの設定

ICMP、TCP、または UDP のファイアウォールセッションのエージングアウトを設定できます。

手順の概要

1. enable

2. configure terminal

3. 次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

4. vrf vrf-name inspect vrf-pmap-name

5. exit

6. parameter-map type inspect parameter-map-name

7. tcp idle-time seconds [ageout-time seconds]

8. tcp synwait-time seconds [ageout-time seconds]

9. exit

10. policy-map type inspect policy-map-name

11. class type inspect match-any class-map-name

12. inspect parameter-map-name

13. end

14. show policy-firewall stats vrf vrf-pmap-name

手順の詳細

コマンドまたはアクション

目的

ステップ 1

enable

例：

Device> enable

特権 EXEC モードをイネーブルにします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例：

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

例：

Device(config)# parameter-map type inspect-global

Device(config)# parameter-map type inspectglobal

グローバルパラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーションモードを開始します。

ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。これら両方のコマンドを一緒に設定することはできません。
parameter-map type inspect-global コマンドを設定する場合は、ステップ 4 をスキップしてください。

（注）

ステップ 4

vrf vrf-name inspect vrf-pmap-name

例：

Device(config-profile)# vrf vrf1 inspect vrf1-pmap

パラメータマップで VRF をバインドします。

ステップ 5

exit

例：

Device(config-profile)# exit

パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。

ステップ 6

parameter-map type inspect parameter-map-name

例：

Device(config)# parameter-map type inspect pmap1

ステップ 7

tcp idle-time seconds [ageout-time seconds]

例：

Device(config-profile)# tcp idle-time 3000 ageout-time 100

アイドル状態の TCP セッションのタイムアウト、および TCP セッションのアグレッシブエージングアウト時間を設定します。

tcp finwait-time コマンドを設定して、ファイアウォールが finish（FIN）-exchange を検出した後に TCP セッションが管理される時間の長さを指定することもできます。または、tcp synwait-time コマンドを設定して、セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

ステップ 8

tcp synwait-time seconds [ageout-time seconds]

例：

Device(config-profile)# tcp synwait-time 30 ageout-time 10

セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

アグレッシブエージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。接続が低ウォーターマークを下回ると、アグレッシブエージングはイネーブルになります。

ステップ 9

exit

例：

Device(config-profile)# exit

パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。

ステップ 10

policy-map type inspect policy-map-name

例：

Device(config)# policy-map type inspect ddos-fw

プロトコル固有検査タイプポリシーマップを作成し、QoS ポリシーマップコンフィギュレーションモードを開始します。

ステップ 11

class type inspect match-any class-map-name

例：

Device(config-pmap)# class type inspect match-any ddos-class

アクションを実行する対象のトラフィッククラスを指定し、QoS ポリシーマップクラスコンフィギュレーションモードを開始します。

ステップ 12

inspect parameter-map-name

例：

Device(config-pmap-c)# inspect pmap1

パラメータマップのステートフルパケットインスペクションをイネーブルにします。

ステップ 13

end

例：

Device(config-pmap-c)# end

QoS ポリシーマップクラスコンフィギュレーションモードを終了し、特権 EXEC モードを開始します。

ステップ 14

show policy-firewall stats vrf vrf-pmap-name

例：

Device# show policy-firewall stats vrf vrf1-pmap

VRF レベルポリシーファイアウォールの統計情報を表示します。

例

次に、show policy-firewall stats vrf vrf1-pmap コマンドの出力例を示します。

Device# show policy-firewall stats vrf vrf1-pmap

 VRF: vrf1, Parameter-Map: vrf1-pmap
  Interface reference count: 2
       Total Session Count(estab + half-open): 270, Exceed: 0
       Total Session Aggressive Aging Period Off, Event Count: 0

                Half Open
       Protocol Session Cnt     Exceed
       -------- -----------     ------
       All      0               0
       UDP      0               0
       ICMP     0               0
       TCP      0               0

       TCP Syn Flood Half Open Count: 0, Exceed: 12       
       Half Open Aggressive Aging Period Off, Event Count: 0

ファイアウォールイベントレートモニタリングの設定

手順の概要

1. enable

2. configure terminal

3. parameter-map type inspect-zone zone-pmap-name

4. alert on

5. threat-detection basic-threat

6. threat-detection rate fw-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second

7. threat-detection rate inspect-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second

8. threat-detection rate syn-attack average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second

9. exit

10. zone security security-zone-name

11. protection parameter-map-name

12. exit

13. zone-pair security zone-pair-name source source-zone destination destination-zone

14. end

15. show policy-firewall stats zone

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例： Device> enable	特権 EXEC モードをイネーブルにします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例： Device# configure terminal	グローバルコンフィギュレーションモードを開始します。
ステップ 3	parameter-map type inspect-zone zone-pmap-name 例： Device(config)# parameter-map type inspect-zone zone-pmap1	ゾーン検査パラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーションモードを開始します。
ステップ 4	alert on 例： Device(config-profile)# alert on	ゾーンのステートフルパケットインスペクションのアラートメッセージのコンソール表示をイネーブルにします。 log コマンドを使用して、アラートのロギングを syslog または高速ロガー（HSL）のいずれかに設定できます。
ステップ 5	threat-detection basic-threat 例： Device(config-profile)# threat-detection basic-threat	ゾーンの基本脅威検出を設定します。
ステップ 6	threat-detection rate fw-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second 例： Device(config-profile)# threat-detection rate fw-drop average-time-frame 600 average-threshold 100 burst-threshold 100	ファイアウォールのドロップイベントの脅威検出レートを設定します。 threat-detection rate コマンドを設定する前に、threat-detection basic-threat コマンドを設定する必要があります。
ステップ 7	threat-detection rate inspect-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second 例： Device(config-profile)# threat-detection rate inspect-drop average-time-frame 600 average-threshold 100 burst-threshold 100	ファイアウォールインスペクションベースのドロップイベントの脅威検出レートを設定します。
ステップ 8	threat-detection rate syn-attack average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second 例： Device(config-profile)# threat-detection rate syn-attack average-time-frame 600 average-threshold 100 burst-threshold 100	TCP SYN 攻撃イベントの脅威検出レートを設定します。
ステップ 9	exit 例： Device(config-profile)# exit	パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。
ステップ 10	zone security security-zone-name 例： Device(config)# zone security public	セキュリティゾーンを作成し、セキュリティゾーンコンフィギュレーションモードを開始します。
ステップ 11	protection parameter-map-name 例： Device(config-sec-zone)# protection zone-pmap1	ゾーン検査パラメータマップをゾーンに付加し、ゾーン検査パラメータマップで設定されている機能をゾーンに適用します。
ステップ 12	exit 例： Device(config-sec-zone)# exit	セキュリティゾーンコンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。
ステップ 13	zone-pair security zone-pair-name source source-zone destination destination-zone 例： Device(config)# zone-pair security private2public source private destination public	ゾーンペアを作成し、セキュリティゾーンペアコンフィギュレーションモードを開始します。
ステップ 14	end 例： Device(config-sec-zone-pair)# end	セキュリティゾーンペアコンフィギュレーションモードを終了し、特権 EXEC モードを開始します。
ステップ 15	show policy-firewall stats zone 例： Device# show policy-firewall stats zone	ゾーンレベルでファイアウォールポリシーの統計情報を表示します。

ボックス単位のハーフオープンセッション制限の設定

手順の概要

1. enable

2. configure terminal

3. 次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

4. alert on

5. per-box max-incomplete number

6. session total number

7. end

8. show policy-firewall stats global

手順の詳細

コマンドまたはアクション

目的

ステップ 1

enable

例：

Device> enable

特権 EXEC モードをイネーブルにします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例：

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

例：

Device(config)# parameter-map type inspect-global

Device(config)# parameter-map type inspect global

ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。これら両方のコマンドを一緒に設定することはできません。
parameter-map type inspect-global コマンドを設定する場合は、ステップ 5 と 6 をスキップしてください。

（注）

ステップ 4

alert on

例：

Device(config-profile)# alert on

ステートフルパケットインスペクションのアラートメッセージのコンソール表示をイネーブルにします。

ステップ 5

per-box max-incomplete number

例：

Device(config-profile)# per-box max-incomplete 12345

ファイアウォールセッションテーブルのハーフオープン接続の最大数を設定します。

ステップ 6

session total number

例：

Device(config-profile)# session total 34500

ファイアウォールセッションテーブルの総セッション制限を設定します。

ステップ 7

end

例：

Device(config-profile)# end

パラメータマップタイプ検査コンフィギュレーションモードを終了し、特権 EXEC モードを開始します。

ステップ 8

show policy-firewall stats global

例：

Device# show policy-firewall stats global

グローバルなファイアウォール統計情報を表示します。

VRF 検査パラメータマップのハーフオープンセッション制限の設定

手順の概要

1. enable

2. configure terminal

3. parameter-map type inspect-vrf vrf-name

4. alert on

5. max-incomplete number

6. session total number

7. exit

8. 次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

9. alert on

10. vrf vrf-name inspect vrf-pmap-name

11. end

12. show policy-firewall stats vrf vrf-pmap-name

手順の詳細

コマンドまたはアクション

目的

ステップ 1

enable

例：

Device> enable

特権 EXEC モードをイネーブルにします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例：

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

parameter-map type inspect-vrf vrf-name

例：

Device(config)# parameter-map type inspect-vrf vrf1-pmap

VRF 検査パラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーションモードを開始します。

ステップ 4

alert on

例：

Device(config-profile)# alert on

ステートフルパケットインスペクションのアラートメッセージのコンソール表示をイネーブルにします。

ステップ 5

max-incomplete number

例：

Device(config-profile)# max-incomplete 2000

VRF 単位のハーフオープン接続の最大数を設定します。

ステップ 6

session total number

例：

Device(config-profile)# session total 34500

VRF の総セッション制限を設定します。

ステップ 7

exit

例：

Device(config-profile)# exit

パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。

ステップ 8

次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

例：

Device(config)# parameter-map type inspect-global

Device(config)# parameter-map type inspect global

ご使用のリリースに基づいて、parameter-map type inspect-global コマンドまたは parameter-map type inspect global コマンドを使用できます。これら両方のコマンドを一緒に設定することはできません。
parameter-map type inspect-global コマンドを設定する場合は、ステップ 10 をスキップしてください。

（注）

ステップ 9

alert on

例：

Device(config-profile)# alert on

ステートフルパケットインスペクションのアラートメッセージのコンソール表示をイネーブルにします。

ステップ 10

vrf vrf-name inspect vrf-pmap-name

例：

Device(config-profile)# vrf vrf1 inspect vrf1-pmap

グローバルパラメータマップに VRF をバインドします。

ステップ 11

end

例：

Device(config-profile)# end

パラメータマップタイプ検査コンフィギュレーションモードを終了し、特権 EXEC モードを開始します。

ステップ 12

show policy-firewall stats vrf vrf-pmap-name

例：

Device# show policy-firewall stats vrf vrf1-pmap

VRF レベルポリシーファイアウォールの統計情報を表示します。

グローバル TCP SYN フラッド制限の設定

手順の概要

1. enable

2. configure terminal

3. 次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

4. alert on

5. per-box tcp syn-flood limit number

6. end

7. show policy-firewall stats vrf global

手順の詳細

コマンドまたはアクション

目的

ステップ 1

enable

例：

Device> enable

特権 EXEC モードをイネーブルにします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例：

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

次のいずれかのコマンドを入力します。

parameter-map type inspect-global
parameter-map type inspect global

例：

Device(config)# parameter-map type inspect-global

Device(config)# parameter-map type inspect global

グローバルパラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーションモードを開始します。

ご使用のリリースに基づいて、parameter-map type inspect-global コマンドまたは parameter-map type inspect global コマンドを設定できます。これら両方のコマンドを一緒に設定することはできません。
parameter-map type inspect-global コマンドを設定する場合は、ステップ 5 をスキップしてください。

（注）

ステップ 4

alert on

例：

Device(config-profile)# alert on

ステートフルパケットインスペクションのアラートメッセージのコンソール表示をイネーブルにします。

ステップ 5

per-box tcp syn-flood limit number

例：

Device(config-profile)# per-box tcp syn-flood limit 500

新しい SYN パケットの SYN Cookie 処理をトリガーする TCP ハーフオープンセッション数を制限します。

ステップ 6

end

例：

Device(config-profile)# end

パラメータマップタイプ検査コンフィギュレーションモードを終了し、特権 EXEC モードを開始します。

ステップ 7

show policy-firewall stats vrf global

例：

Device# show policy-firewall stats vrf global

（任意）グローバル VRF ファイアウォールポリシーのステータスを表示します。

コマンド出力には、存在する TCP ハーフオープンセッションの数も表示されます。

例

次に、show policy-firewall stats vrf global コマンドの出力例を示します。

Device# show policy-firewall stats vrf global
 
Global table statistics
       total_session_cnt: 0
       exceed_cnt:        0
       tcp_half_open_cnt: 0
       syn_exceed_cnt:    0

ファイアウォールリソース管理の設定

（注）

グローバルパラメータマップは、ルータレベルではなく、グローバルルーティングドメインで有効になります。

手順の概要

1. enable

2. configure terminal

3. parameter-map type inspect-vrf vrf-pmap-name

4. session total number

5. tcp syn-flood limit number

6. exit

7. parameter-map type inspect-global

8. vrf vrf-name inspect parameter-map-name

9. exit

10. parameter-map type inspect-vrf vrf-default

11. session total number

12. tcp syn-flood limit number

13. end

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例： Device> enable	特権 EXEC モードをイネーブルにします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例： Device# configure terminal	グローバルコンフィギュレーションモードを開始します。
ステップ 3	parameter-map type inspect-vrf vrf-pmap-name 例： Device(config)# parameter-map type inspect-vrf vrf1-pmap	VRF 検査タイプパラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーションモードを開始します。
ステップ 4	session total number 例： Device(config-profile)# session total 1000	セッションの総数を設定します。
ステップ 5	tcp syn-flood limit number 例： Device(config-profile)# tcp syn-flood limit 2000	新しい SYN パケットの同期（SYN）Cookie 処理をトリガーする TCP ハーフオープンセッション数を制限します。
ステップ 6	exit 例： Device(config-profile)# exit	パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。
ステップ 7	parameter-map type inspect-global 例： Device(config)# parameter-map type inspect-global	グローバルパラメータマップを設定し、パラメータマップタイプ検査コンフィギュレーションモードを開始します。
ステップ 8	vrf vrf-name inspect parameter-map-name 例： Device(config-profile)# vrf vrf1 inspect vrf1-pmap	パラメータマップに VRF をバインドします。
ステップ 9	exit 例： Device(config-profile)# exit	パラメータマップタイプ検査コンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードを開始します。
ステップ 10	parameter-map type inspect-vrf vrf-default 例： Device(config)# parameter-map type inspect-vrf vrf-default	デフォルトの VRF 検査タイプパラメータマップを設定します。
ステップ 11	session total number 例： Device(config-profile)# session total 6000	セッションの総数を設定します。 session total コマンドを VRF 検査タイプパラメータマップおよびグローバルパラメータマップに設定できます。 VRF 検査タイプパラメータマップに session total コマンドを設定した場合、セッションは VRF 検査タイプパラメータマップに関連付けられます。 session total コマンドがグローバルパラメータマップに設定された場合、このコマンドはグローバルルーティングドメインに適用されます。
ステップ 12	tcp syn-flood limit number 例： Device(config-profile)# tcp syn-flood limit 7000	新しい SYN パケットの SYN Cookie 処理をトリガーする TCP ハーフオープンセッション数を制限します。
ステップ 13	end 例： Device(config-profile)# end	パラメータマップタイプ検査コンフィギュレーションモードを終了し、特権 EXEC モードを開始します。

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの設定例

例：IPv6 ファイアウォールの設定

Device# configure terminal
Device(config)# vrf-definition VRF1
Device(config-vrf)# address-family ipv6
Device(config-vrf-af)# exit-address-family
Device(config-vrf)# exit
Device(config)# parameter-map type inspect ipv6-param-map
Device(config-profile)# sessions maximum 10000
Device(config-profile)# exit
Device(config)# ipv6 unicast-routing
Device(config)# ip port-map ftp port 8090 list ipv6-acl
Device(config)# ipv6 access-list ipv6-acl
Device(config-ipv6-acl)# permit ipv6 any any
Device(config-ipv6-acl)# exit
Device(config)# class-map type inspect match-all ipv6-class
Device(config-cmap)# match access-group name ipv6-acl
Device(config-cmap)# match protocol tcp
Device(config-cmap)# exit
Device(config)# policy-map type inspect ipv6-policy
Device(config-pmap)# class type inspect ipv6-class
Device(config-pmap-c)# inspect ipv6-param-map
Device(config-pmap-c)# end

例：ボックス単位のアグレッシブエージングの設定

Device# configure terminal
Device(config)# parameter-map type inspect global
Device(config-profile)# per-box max-incomplete 2000 aggressive-aging 1500 low 1200
Device(config-profile)# per-box aggressive-aging high 1700 low 1300
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# end

例：デフォルト VRF のアグレッシブエージングの設定

Device# configure terminal
Device(config)# parameter-map type inspect global
Device(config-profile)# max-incomplete 2000 aggressive-aging high 1500 low 1200
Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# end

例：VRF 単位のアグレッシブエージングの設定

Device# configure terminal
Device(config)# ip vrf ddos-vrf1
Device(config-vrf)# rd 100:2
Device(config-vrf)# route-target export 100:2
Device(config-vrf)# route-target import 100:2
Device(config-vrf)# exit
Device(config)# parameter-map type inspect-vrf vrf1-pmap
Device(config-profile)# max-incomplete 3455 aggressive-aging high 2345 low 2255
Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
Device(config-profile)# alert on
Device(config-profile)# exit
Device(config)# parameter-map type inspect global
Device(config-profile)# vrf vrf1 inspect vrf1-pmap
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp idle-time 3000 ageout-time 100
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# exit
Device(config)# policy-map type inspect ddos-fw
Device(config-pmap)# class type inspect match-any ddos-class
Device(config-pmap-c)# inspect pmap1
Device(config-profile)# end

例：ファイアウォールセッションのエージングアウトの設定

Device# configure terminal
Device(config-profile)# exit
Device(config)# parameter-map type inspect global
Device(config-profile)# vrf vrf1 inspect vrf1-pmap
Device(config-profile)# exit
Device(config)# parameter-map type inspect pmap1
Device(config-profile)# tcp idle-time 3000 ageout-time 100
Device(config-profile)# tcp synwait-time 30 ageout-time 10
Device(config-profile)# exit
Device(config)# policy-map type inspect ddos-fw
Device(config-profile)# class type inspect match-any ddos-class
Device(config-profile)# inspect pmap1
Device(config-profile)# end

例：ファイアウォールイベントレートモニタリングの設定

Device> enable
Device# configure terminal
Device(config)# parameter-map type inspect zone zone-pmap1
Device(config-profile)# alert on
Device(config-profile)# threat-detection basic-threat
Device(config-profile)# threat-detection rate fw-drop average-time-frame 600 average-threshold 100 burst-threshold 100
Device(config-profile)# threat-detection rate inspect-drop average-time-frame 600 average-threshold 100 burst-threshold 100
Device(config-profile)# threat-detection rate syn-attack average-time-frame 600 average-threshold 100 burst-threshold 100
Device(config-profile)# exit
Device(config)# zone security public
Device(config-sec-zone)# protection zone-pmap1
Device(config-sec-zone)# exit
Device(config)# zone-pair security private2public source private destination public
Device(config-sec-zone-pair)# end

例：ボックス単位のハーフオープンセッション制限の設定

Device# configure terminal  
Device(config)# parameter-map type inspect global 
Device(config-profile)# alert on 
Device(config-profile)# per-box max-incomplete 12345   
Device(config-profile)# session total 34500  
Device(config-profile)# end

例：VRF 検査パラメータマップのハーフオープンセッション制限の設定

Device# configure terminal  
Device(config)# parameter-map type inspect vrf vrf1-pmap 
Device(config-profile)# alert on 
Device(config-profile)# max-incomplete 3500 
Device(config-profile)# session total 34500 
Device(config-profile)# exit
Device(config)# parameter-map type inspect global
Device(config-profile)# alert on
Device(config-profile)# vrf vrf1 inspect vrf1-pmap 
Device(config-profile)# end

例：グローバル TCP SYN フラッド制限の設定

Device# configure terminal  
Device(config)# parameter-map type inspect global 
Device(config-profile)# alert on 
Device(config-profile)# per-box tcp syn-flood limit 500 
Device(config-profile)# end

例：ファイアウォールリソース管理の設定

Device# configure terminal
Device(config)# parameter-map type inspect-vrf vrf1-pmap
Device(config-profile)# session total 1000
Device(config-profile)# tcp syn-flood limit 2000
Device(config-profile)# exit
Device(config)# parameter-map type inspect-global
Device(config-profile)# vrf vrf1 inspect pmap1
Device(config-profile)# exit
Device(config)# parameter-map type inspect-vrf vrf-default
Device(config-profile)# session total 6000
Device(config-profile)# tcp syn-flood limit 7000
Device(config-profile)# end

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの追加情報

関連項目	マニュアルタイトル
Cisco IOS コマンド	『Cisco IOS Master Command List, All Releases』
セキュリティコマンド	『Security Command Reference: Commands A to C』『Security Command Reference: Commands D to L』『Security Command Reference: Commands M to R』『Security Command Reference: Commands S to Z』

シスコのテクニカルサポート

説明	リンク
シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンラインリソースを提供しています。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。	http://www.cisco.com/cisco/web/support/index.html

説明

リンク

http://www.cisco.com/cisco/web/support/index.html

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの機能情報

表 2 分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの機能情報
機能名	リリース	機能情報
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポート	Cisco IOS XE Release 3.7S	IPv6 ゾーンベースファイアウォールは、分散型サービス拒否攻撃への保護およびファイアウォールリソース管理機能をサポートします。分散型サービス拒否攻撃に対する保護機能は、グローバルレベルで（すべてのファイアウォールセッションに対して）および VPN ルーティングおよび転送（VRF）レベルで、サービス拒否（DoS）攻撃から保護します。分散型 DoS 攻撃を防ぐために、ファイアウォールセッションのアグレッシブエージング、ファイアウォールセッションのイベントレートモニタリング、ハーフオープン接続制限、およびグローバル TCP SYN Cookie 保護を設定できます。ファイアウォールリソース管理機能は、デバイス上に設定される VPN ルーティングおよび転送（VRF）インスタンスとグローバルファイアウォールセッションの数を制限します。

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

セキュリティ コンフィギュレーション ガイド：ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S（ASR 1000）

偏向のない言語

翻訳について

検索結果

章のタイトル： 分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポート

機能情報の確認

分散型サービス拒否攻撃に対する保護およびリソース管理のための IPv6 ファイアウォール サポートの制約事項

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポートについて

ファイアウォール セッションのアグレッシブ エージング

イベント レート モニタリング機能

ハーフ オープン接続制限

TCP SYN フラッド攻撃

ファイアウォール リソース管理

ファイアウォール セッション

セッション定義

セッション レート

不完全なセッションまたはハーフ オープン セッション

ファイアウォール リソース管理セッション

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポートの設定方法

IPv6 ファイアウォールの設定

ファイアウォール セッションのアグレッシブ エージングの設定

ボックス単位のアグレッシブ エージングの設定

デフォルト VRF のアグレッシブ エージングの設定

VRF 単位のアグレッシブ エージングの設定

例

ファイアウォール セッションのエージング アウトの設定

例

ファイアウォール イベント レート モニタリングの設定

ボックス単位のハーフ オープン セッション制限の設定

VRF 検査パラメータ マップのハーフ オープン セッション制限の設定

グローバル TCP SYN フラッド制限の設定

例

ファイアウォール リソース管理の設定

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポートの設定例

例：IPv6 ファイアウォールの設定

例：ボックス単位のアグレッシブ エージングの設定

例：デフォルト VRF のアグレッシブ エージングの設定

例：VRF 単位のアグレッシブ エージングの設定

例：ファイアウォール セッションのエージング アウトの設定

例：ファイアウォール イベント レート モニタリングの設定

例：ボックス単位のハーフ オープン セッション制限の設定

例：VRF 検査パラメータ マップのハーフ オープン セッション制限の設定

例：グローバル TCP SYN フラッド制限の設定

例：ファイアウォール リソース管理の設定

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポートの追加情報

関連資料

シスコのテクニカル サポート

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポートの機能情報

機能情報の確認

分散型サービス拒否攻撃に対する保護およびリソース管理のための IPv6 ファイアウォール サポートの制約事項

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポートについて

ファイアウォール セッションのアグレッシブ エージング

イベント レート モニタリング機能

ハーフ オープン接続制限

TCP SYN フラッド攻撃

ファイアウォール リソース管理

ファイアウォール セッション

セッション定義

セッション レート

不完全なセッションまたはハーフ オープン セッション

ファイアウォール リソース管理セッション

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポートの設定方法

IPv6 ファイアウォールの設定

ファイアウォール セッションのアグレッシブ エージングの設定

ボックス単位のアグレッシブ エージングの設定

デフォルト VRF のアグレッシブ エージングの設定

VRF 単位のアグレッシブ エージングの設定

例

ファイアウォール セッションのエージング アウトの設定

例

ファイアウォール イベント レート モニタリングの設定

ボックス単位のハーフ オープン セッション制限の設定

VRF 検査パラメータ マップのハーフ オープン セッション制限の設定

グローバル TCP SYN フラッド制限の設定

例

ファイアウォール リソース管理の設定

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポートの設定例

例：IPv6 ファイアウォールの設定

例：ボックス単位のアグレッシブ エージングの設定

例：デフォルト VRF のアグレッシブ エージングの設定

セキュリティコンフィギュレーションガイド：ゾーンベースポリシーファイアウォール、Cisco IOS XE Release 3S（ASR 1000）

章のタイトル：分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポート

分散型サービス拒否攻撃に対する保護およびリソース管理のための IPv6 ファイアウォールサポートの制約事項

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートについて

ファイアウォールセッションのアグレッシブエージング

イベントレートモニタリング機能

ハーフオープン接続制限

ファイアウォールリソース管理

ファイアウォールセッション

セッションレート

不完全なセッションまたはハーフオープンセッション

ファイアウォールリソース管理セッション

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの設定方法

ファイアウォールセッションのアグレッシブエージングの設定

ボックス単位のアグレッシブエージングの設定

デフォルト VRF のアグレッシブエージングの設定

VRF 単位のアグレッシブエージングの設定

ファイアウォールセッションのエージングアウトの設定

ファイアウォールイベントレートモニタリングの設定

ボックス単位のハーフオープンセッション制限の設定

VRF 検査パラメータマップのハーフオープンセッション制限の設定

ファイアウォールリソース管理の設定

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの設定例

例：ボックス単位のアグレッシブエージングの設定

例：デフォルト VRF のアグレッシブエージングの設定

例：VRF 単位のアグレッシブエージングの設定

例：ファイアウォールセッションのエージングアウトの設定

例：ファイアウォールイベントレートモニタリングの設定

例：ボックス単位のハーフオープンセッション制限の設定

例：VRF 検査パラメータマップのハーフオープンセッション制限の設定

例：ファイアウォールリソース管理の設定

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの追加情報

シスコのテクニカルサポート

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの機能情報

分散型サービス拒否攻撃に対する保護およびリソース管理のための IPv6 ファイアウォールサポートの制約事項

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートについて

ファイアウォールセッションのアグレッシブエージング

イベントレートモニタリング機能

ハーフオープン接続制限

ファイアウォールリソース管理

ファイアウォールセッション

セッションレート

不完全なセッションまたはハーフオープンセッション

ファイアウォールリソース管理セッション

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの設定方法

ファイアウォールセッションのアグレッシブエージングの設定

ボックス単位のアグレッシブエージングの設定

デフォルト VRF のアグレッシブエージングの設定

VRF 単位のアグレッシブエージングの設定

ファイアウォールセッションのエージングアウトの設定

ファイアウォールイベントレートモニタリングの設定

ボックス単位のハーフオープンセッション制限の設定

VRF 検査パラメータマップのハーフオープンセッション制限の設定

ファイアウォールリソース管理の設定

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの設定例

例：ボックス単位のアグレッシブエージングの設定

例：デフォルト VRF のアグレッシブエージングの設定

例：VRF 単位のアグレッシブエージングの設定

例：ファイアウォールセッションのエージングアウトの設定

例：ファイアウォールイベントレートモニタリングの設定

例：ボックス単位のハーフオープンセッション制限の設定

例：VRF 検査パラメータマップのハーフオープンセッション制限の設定

例：ファイアウォールリソース管理の設定

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの追加情報

シスコのテクニカルサポート

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォールサポートの機能情報