[一般(General)] ページ
[General] ページを使用して、悪意のあるパケット、スプーフィングされたパケット、フラグメント化されたパケット、および DoS 攻撃から保護するためのセキュリティ設定を行います。このページの設定の詳細については、フラッドガード、アンチ スプーフィング、およびフラグメント値の設定を参照してください。
ナビゲーション パス
-
(デバイスビュー)ポリシーセレクタから [プラットフォーム(Platform)] > [セキュリティ(Security)] > [全般(General)] を選択します。
-
(ポリシービュー)ポリシータイプセレクタから、[PIX/ASA/FWSMプラットフォーム(PIX/ASA/FWSM Platform)] > [セキュリティ(Security)] > [全般(General)] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。
関連項目
フィールド リファレンス
要素 |
説明 |
---|---|
Disable Floodguard(PIX 6.3 および FWSM 2.x だけ) |
ファイアウォール デバイス上でフラッドガードをディセーブルにするには、このチェックボックスをオンにします。このオプションは、PIX 6.3 および FWSM 2.x デバイスでだけ使用できます。フラッドガード機能の詳細については、フラッドガード、アンチ スプーフィング、およびフラグメント値の設定を参照してください。 |
Global Fragment Settings 次のオプションを使用して、デバイスのグローバル フラグメント値を設定します。個々のインターフェイスに対するこれらの設定をオーバーライドできます。詳細については、[Add/Edit General Security Configuration] ダイアログボックスを参照してください。 |
|
Enable Default Settings |
デフォルトのフラグメント設定フィールドをイネーブルにするには、このチェックボックスをオンにします。 |
サイズ |
再構成を待機する IP 再構成データベースに格納できる最大フラグメント数を指定します。デフォルトは 200 です。 |
Chain |
完全な IP パケットをフラグメント化する場合の最大フラグメント数を指定します。デフォルトは 24 パケットです。 |
タイムアウト(Timeout) |
フラグメント化されたパケット全体が到着するのを待機する最大秒数を指定します。タイマーは、パケットの最初のフラグメントの到着後に開始されます。指定した秒数までに到着しなかったパケット フラグメントがある場合、到着済みのすべてのパケット フラグメントが廃棄されます。デフォルトは 5 秒です。 |
Interface Configuration Table このテーブルには、個々のアンチ スプーフィング設定およびフラグメント設定が定義されているすべてのインターフェイスが示されます。これらの設定の詳細については、フラッドガード、アンチ スプーフィング、およびフラグメント値の設定を参照してください。個々のインターフェイスにおけるこれらの値の設定の詳細については、[Add/Edit General Security Configuration] ダイアログボックスを参照してください。 |
フラッドガード、アンチ スプーフィング、およびフラグメント値の設定
[Platform] > [Security] の [General] ページを使用して、(PIX 6.3 または FWSM 2.x デバイスの)フラッドガードをイネーブルまたはディセーブルにし、個々のインターフェイスでユニキャスト リバース パス転送(アンチ スプーフィング)をイネーブルにし、デバイスおよびデバイスの各インターフェイスの IP フラグメント値を設定します。
フラッドガード
フラッドガードを使用すると、ユーザ認証サブシステムでリソースが不足した場合にファイアウォール リソースを再要求できます。インバウンドまたはアウトバウンドの uauth 接続が攻撃を受けている場合または過剰に使用されている場合、ファイアウォールは TCP ユーザ リソースをアクティブに再要求します。
ユーザ認証サブシステムのリソースが枯渇すると、緊急性に応じて、次の順序で、さまざまな状態の TCP ユーザ リソースが再要求されます。
-
Timewait
-
LastAck
-
FinWait
-
Embryonic
-
Idle
フラッドガードは、デフォルトでイネーブルになっています。このオプションは、PIX 6.3 または FWSM 2.x デバイスにだけ適用されます。
アンチ スプーフィング
ユニキャスト Reverse Path Forwarding(RPF; リバース パス転送)は、すべてのパケットの送信元 IP アドレスが、ルーティング テーブルに基づく正しい送信元インターフェイスに一致することを確認することによって、IP スプーフィング(本来の送信元を隠すために不正な送信元 IP アドレスを使用するパケット)を防止します。
通常、セキュリティ アプライアンスは、パケットの転送先を決めるときに、宛先アドレスだけを確認します。ユニキャスト RPF は、送信元アドレスも確認することをセキュリティ アプライアンスに指示します。これが、リバース パス転送と呼ばれる理由です。セキュリティアプライアンスの通過を許可するすべてのトラフィックについて、送信元アドレスに戻るルートをセキュリティアプライアンスのルーティング テーブルに含める必要があります。詳細については、RFC 2267 を参照してください。
たとえば、外部トラフィックの場合、セキュリティ アプライアンスは、デフォルトのルートを使用してユニキャスト RPF 保護を実現できます。トラフィックが外部インターフェイスから入り、その送信元アドレスをルーティング テーブルが認識できない場合、セキュリティ アプライアンスはデフォルトのルートを使用して、外部インターフェイスを送信元インターフェイスとして正しく識別します。
トラフィックが、ルーティング テーブルにとって既知であるが、内部インターフェイスに関連付けられているアドレスから外部インターフェイスに入る場合、セキュリティ アプライアンスはそのパケットをドロップします。同様に、トラフィックが未知の送信元アドレスから内部インターフェイスに入る場合、一致するルート(デフォルト ルート)は外部インターフェイスを示しているため、セキュリティ アプライアンスはそのパケットをドロップします。
ユニキャスト RPF は、次のように実装されます。
-
ICMP パケットにはセッションがないため、個々のパケットはチェックされません。
-
UDP および TCP にはセッションがあるため、初期パケットにはリバース ルート ルックアップが必要となります。セッション中に到着する後続のパケットは、セッションの一部として保持されている既存の状態を使用してチェックされます。最初のパケット以外のパケットは、最初のパケットと同じインターフェイスに到着したことを保証するためにチェックされます。
フラグメント設定
フラグメント設定によって、パケット フラグメンテーションの管理が提供され、Network File System(NFS; ネットワーク ファイル システム)との互換性が向上します。デフォルトでは、セキュリティ アプライアンスは、IP パケットごとに最大 24 のフラグメント、および再構成を待機する最大 200 のフラグメントを許可します。定期的にパケットをフラグメント化するアプリケーション(NFS over UDP など)がある場合は、ネットワーク上でフラグメントを許可する必要がある場合があります。ただし、トラフィックをフラグメント化するアプリケーションがない場合は、セキュリティ アプライアンス経由でのフラグメントを許可しないことを推奨します。フラグメント化されたパケットは、DoS 攻撃として使用されることがあるためです。
関連項目
[Add/Edit General Security Configuration] ダイアログボックス
[Add/Edit General Security Configuration] ダイアログボックスを使用して、アンチ スプーフィングをイネーブルまたはディセーブルにし、フラグメント オーバーライド設定値をインターフェイスに設定します。
ナビゲーション パス
[Add/Edit General Security Configuration] ダイアログボックスには、[Platform] > [Security] >[一般(General)] ページの [Anti-Spoofing and Fragment Interface Configuration] テーブルからアクセスできます。
関連項目
フィールド リファレンス
要素 |
説明 |
---|---|
インターフェイス(Interface) |
アンチ スプーフィングまたはフラグメント値を設定するインターフェイスの名前を入力または選択します。 |
Enable Anti-Spoofing |
指定したインターフェイスでユニキャスト RPF(アンチ スプーフィング)をイネーブルにするには、このチェックボックスをオンにします。 |
Override Default Fragment Settings |
指定したインターフェイスのデフォルトのフラグメント設定をオーバーライドするには、このチェックボックスをオンにして次のフィールドをイネーブルにしてから、新しい値を入力します。デバイスのデフォルトのグローバル フラグメント設定値については、[一般(General)] ページを参照してください。 |
サイズ |
指定したインターフェイスに関して、再構成を待機している IP 再構成データベースに格納できる最大フラグメント数を指定します。デフォルトは 200 です。 |
Chain |
指定したインターフェイスに関して、完全な IP パケットをフラグメント化する場合の最大フラグメント数を指定します。デフォルトは 24 パケットです。 |
タイムアウト(Timeout) |
フラグメント化されたパケット全体が、指定したインターフェイスに到着するのを待機する最大秒数を指定します。タイマーは、パケットの最初のフラグメントの到着後に開始されます。指定した秒数までに到着しなかったパケット フラグメントがある場合、到着済みのすべてのパケット フラグメントが廃棄されます。デフォルトは 5 秒です。 |