Cisco ACE XML ゲートウェイ スタートアップ ガイド Software Version 5.1
攻撃の防止
攻撃の防止
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 637KB) | フィードバック

攻撃の防止

  • ACE XML Gateway は、DoS 攻撃の疑いがある動きを検出します。特に Web サービスが受けやすい DoS 攻撃に属する XDos(XML Denial-of-Service)に有効です。
  • XDoS 攻撃はサービス プロバイダを悪用するために、XML メッセージの処理で発生するオーバーヘッドを利用しようとします。ACE XML Gateway はバックエンド インフラに対して障壁として機能し、DoS 攻撃が到達する前に阻止します。

XML Gateway アクティビティの表示

  • XDoS 攻撃が始まると、ACE XML Gateway はイベントのログを記録し、監視システムに通知します。そのほかに、そのトラフィックの出所となる IP アドレスから流れるトラフィックを一時的に遮断することもできます。
  • 直前に検出された XDoS 攻撃を表示するには、Manager Dashboard を開きます。直前 1 時間の間に検出した XDoS 攻撃が Denial-of-Service Protection チャートに表示されます。
DoS 攻撃の防御
 
  • 凡例で示されているように、このグラフは XDoS 攻撃の疑いのある動きを 6 種類の指標で情報提供します。
  • Service Latency(サービスの遅延) ― 許容範囲の遅延しきい値を超えるバックエンド サービスの遅延が繰り返し発生した場合に始動します(タイムアウトを含む)。
  • Service Errors(サービスのエラー) ― SOAP のエラーまたは HTTP 500 エラーなど、バックエンド サービスが異常な数のエラーを返したときに始動します。
  • Authentication(認証) ― 過剰な数の 401/403 エラーが返されたときに始動します(HTTP Unauthorized/Forbidden)。
  • CPU Usage(CPU 使用率) ― ACE XML Gateway で、メッセージの処理に極端な数値の CPU サイクルを必要としたときに始動します。たとえば 1 つのメッセージで検証する必要のあるシグニチャが何千もあるような場合です。
  • Service Errors(内部エラー) ― スキーマ検証エラー、悪意のあるコンテンツ、不正なデジタル署名などの、多数の内部エラーが検出されたときに始動します。
  • Overall request rate(総合要求レート) ― 受信要求の数が過度な場合に始動します。これは Web サイトやその他のネットワーク サーバに対する DoS 攻撃と類似した攻撃です。
  • DoS 攻撃検出しきい値の現在の設定は、 Denial-Of-Service Protection Settings ページから確認、修正することができます。

DoS 攻撃防御の設定

  • DoS 攻撃を防御するためのトラフィックしきい値を変更する手順は次のとおりです。
  • 操作メニューの Policy セクションで [Denial-of-Service Protection] リンクをクリックします( Global Security サブヘッドの下)。
  • Denial-Of-Service Protection Settings ページで、DoS 攻撃の各カテゴリについて適切な設定変更を行います。
  • DoS 攻撃元と疑われる IP アドレスからのトラフィックを ACE XML Gateway に遮断させたい場合は、チェックボックス [When an attack is detected, block the attacking IP address for at least 5 seconds] をチェックしてください。
  • [Save Changes] をクリックしたあと、ポリシーを導入して ACE XML Gateway への変更を有効にします。
  •