セキュリティ コンフィギュレーション ガイド:ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S(ASR 1000)
分散型サービス拒否攻撃に対する保護
分散型サービス拒否攻撃に対する保護
発行日;2013/09/03   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

分散型サービス拒否攻撃に対する保護

分散型サービス拒否攻撃に対する保護機能は、グローバル レベルで(すべてのファイアウォール セッションに対して)および VPN ルーティングおよび転送(VRF)レベルで、サービス拒否(DoS)攻撃から保護します。 Cisco IOS XE Release 3.4S 以降のリリースでは、分散型 DoS 攻撃を防ぐために、ファイアウォール セッションのアグレッシブ エージング、ファイアウォール セッションのイベント レート モニタリング、ハーフ オープン接続制限、およびグローバル TCP SYN Cookie 保護を設定できます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の注意事項と機能情報については、Bug Search Tool およびご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

分散型サービス拒否攻撃に対する保護について

ファイアウォール セッションのアグレッシブ エージング

アグレッシブ エージング機能により、ファイアウォールは、セッションを積極的にエージング アウトして、新しいセッションのためのスペースを確保することで、ファイアウォール セッション データベースがいっぱいになるのを防ぐことができます。 ファイアウォールは、アイドル セッションを削除して、そのリソースを保護します。 アグレッシブ エージング機能により、ファイアウォール セッションが存在できる時間は、エージングアウト時間と呼ばれる、タイマーで定義された時間よりも短くなります。

アグレッシブ エージング機能には、アグレッシブ エージング期間の開始と終了を定義するしきい値(高ウォーターマークと低ウォーターマーク)が含まれます。 アグレッシブ エージング期間は、セッション テーブルが高ウォーターマークを超えると開始され、低ウォーターマーク以下になると終了します。 アグレッシブ エージング期間中、セッションは、エージングアウト時間を使用して設定された期間よりも短い期間存在します。 攻撃者が、ファイアウォールがセッションを終了するレートよりも短い時間でセッションを開始する場合、セッションを作成するために割り当てられているすべてのリソースが使用され、新しいすべての接続が拒否されます。 このような攻撃を防ぐには、セッションを積極的にエージング アウトするようにアグレッシブ エージング機能を設定できます。 この機能はデフォルトで無効に設定されています。

ボックス レベル(ボックスはファイアウォール セッション テーブル全体を示します)および仮想ルーティングおよび転送(VRF)レベルでハーフ オープン セッションおよび総セッションにアグレッシブ エージングを設定できます。 この機能を総セッションに設定している場合、ファイアウォール セッション リソースを消費するすべてのセッションが考慮されます。 総セッションは、確立されているセッション、ハーフ オープン セッション、および明確でないセッション データベース内のセッションで構成されます。 (確立状態にまだ到達していない TCP セッションはハーフ オープン セッションと呼ばれます)。

ファイアウォールには、2 つのセッション データベース(セッション データベースおよび明確でないセッション データベース)があります。 セッション データベースには、5 タプル(送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、およびプロトコル)のセッションが含まれます。 タプルは、要素の順序付きリストです。 明確でないセッション データベースには、5 タプルよりも少ない(IP アドレスやポート番号などが欠落している)セッションが含まれます。 ハーフ オープン セッションのアグレッシブ エージングの場合、ハーフ オープン セッションだけが考慮されます。

インターネット制御メッセージ プロトコル(ICMP)、TCP、および UDP のファイアウォール セッションにアグレッシブ エージング アウト時間を設定できます。 エージング アウト時間は、デフォルトでアイドル時間に設定されます。

イベント レート モニタリング機能

イベント レート モニタリング機能は、ゾーンの定義済みイベントのレートをモニタします。 イベント レート モニタリング機能には基本脅威検出が含まれます。これにより、セキュリティ デバイスは、ファイアウォールの内側にあるリソースへの考えられる脅威、異常や攻撃を検出し、それに対するアクションを実行できます。 イベントの基本脅威検出レートを設定できます。 特定のタイプのイベントの着信レートが、設定された脅威検出レートを超えると、イベント レート モニタリングはこのイベントを脅威と見なし、脅威を停止するアクションを実行します。 脅威検出は、入力のゾーンだけでイベントを検査します(イベント レート モニタリング機能が入力ゾーンでイネーブルの場合)。

ネットワーク管理者は、アラート メッセージ(syslog または高速ロガー(HSL))を介して潜在的な脅威について通知され、攻撃ベクトルの検出、攻撃の発生元のゾーンの検出、特定の動作やトラフィックをブロックするようネットワークのデバイスを設定するなどのアクションを実行できます。

イベント レート モニタリング機能では、次のタイプのイベントをモニタします。

  • 基本的なファイアウォール チェック エラーが原因でファイアウォールがドロップする:これには、ゾーンまたはゾーン ペアのチェック エラー、または drop アクションを使用して設定されたファイアウォール ポリシーなどが含まれる場合があります。
  • レイヤ 4 インスペクション エラーが原因でファイアウォールがドロップする:これには、最初の TCP パケットが同期(SYN)パケットではないため失敗した TCP インスペクションが含まれる場合があります。
  • TCP SYN Cookie 攻撃:これには、ドロップされた SYN パケット数、およびスプーフィング攻撃として送信された SYN Cookie の数の集計が含まれる場合があります。

イベント レート モニタリング機能では、異なるイベントの平均レートとバースト レートをモニタします。 各イベント タイプには、設定可能なパラメータ セット(平均しきい値、バーストしきい値、および期間)が含まれる関連レートによって制御されるレート オブジェクトがあります。 期間はタイム スロットに分割されています。各タイム スロットは、期間の 1/30 です。

平均レートは、イベント タイプごとに計算されます。 各レート オブジェクトは、30 の完了済みサンプリング値に加えて、現在稼働中のサンプリング期間を保持するための 1 つの値を保持します。 現在のサンプリング値によって計算済みの最も古い値が置き換えられ、平均が計算されます。 平均レートは、各期間で計算されます。 平均レートが平均しきい値を超えると、イベント レート モニタリング機能は、これを潜在的な脅威と見なし、統計情報を更新し、ネットワーク管理者に通知します。

バースト レートは、トークン バケット アルゴリズムを使用して実装されます。 各タイム スロットでは、トークン バケットがトークンで埋められます。 発生する(特定のイベント タイプの)イベントごとに、トークンがバケットから削除されます。 空のバケットは、バーストしきい値に到達したことを意味し、管理者は syslog または HSL を介してアラームを受信します。 脅威検出統計情報の確認、およびゾーンのさまざまなイベントに対する潜在的脅威についての学習は、 show policy-firewall stats zoneコマンドの出力から行うことができます。

threat-detection basic-threat コマンドを使用して、最初に基本脅威検出をイネーブルにする必要があります。 基本脅威検出を設定すると、脅威検出レートを設定できます。 脅威検出レートを設定するには、threat-detection rate コマンドを使用します。

次の表に、イベント レート モニタリング機能がイネーブルの場合に適用可能な基本脅威検出のデフォルト設定を示します。

表 1 基本脅威検出のデフォルト設定

パケット ドロップの理由

脅威検出の設定

基本的なファイアウォール ドロップ

平均レート 400 パケット/秒(pps)

バースト レート 1600 pps

レート間隔 600 秒

インスペクション ベースのファイアウォール ドロップ

平均レート 400 pps

バースト レート 1600 pps

レート間隔 600 秒

SYN 攻撃ファイアウォール ドロップ

平均レート 100 pps

バースト レート 200 pps

レート間隔 600 秒

ハーフ オープン接続制限

ファイアウォール セッション テーブルは、ハーフ オープン ファイアウォール接続の制限をサポートします。 ハーフ オープン セッションの数を制限すると、ボックス単位レベルまたは仮想ルーティングおよび転送(VRF)レベルでハーフ オープン セッションを使用してファイアウォール セッション テーブルを満たす可能性がある攻撃からファイアウォールを守り、セッションが確立されるのを防ぎます。 ハーフ オープン接続制限は、レイヤ 4 プロトコル、インターネット制御メッセージ プロトコル(ICMP)、TCP、および UDP に設定できます。 UDP ハーフ オープン セッションの数に設定された制限は、TCP または ICMP のハーフ オープン セッションには影響しません。 設定されたハーフ オープン セッション制限を超えた場合、すべての新しいセッションは拒否され、ログ メッセージが syslog または高速ロガー(HSL)のいずれかに生成されます。

次のセッションは、ハーフ オープン セッションと見なされます。
  • スリーウェイ ハンドシェイクが完了していない TCP セッション。
  • UDP フローで 1 パケットだけが検出されている UDP セッション。
  • ICMP エコー要求または ICMP タイムスタンプの要求に対する応答を受信しない ICMP セッション。

TCP SYN フラッド攻撃

SYN フラッド攻撃を制限するようにグローバル TCP SYN フラッド制限を設定できます。 TCP SYN フラッディング攻撃は、サービス拒否(DoS)攻撃の一種です。 設定された TCP SYN フラッド制限に到達すると、ファイアウォールは追加のセッションを作成する前にセッションの送信元を確認します。 通常、TCP SYN パケットは、ファイアウォールの背後にある対象のエンド ホストまたはサブネット アドレスの範囲に送信されます。 これらの TCP SYN パケットによって、送信元 IP アドレスがスプーフィングされます。 スプーフィング攻撃は、個人またはプログラムが不正なデータを使用してネットワークのリソースにアクセスしようとすることです。 TCP SYN フラッディングでは、ファイアウォールまたはエンド ホスト上のすべてのリソースを占有し、そのために正当なトラフィックに対するサービス拒否が発生します。 VRF レベルおよびゾーン レベルで TCP SYN フラッド保護を設定できます。

SYN フラッド攻撃は次の 2 つのタイプに分かれています。
  • ホストのフラッディング:SYN フラッド パケットは、単一ホスト上のすべてのリソースを利用することを目的として、そのホストに送信されます。
  • ファイアウォール セッション テーブルのフラッディング:SYN フラッド パケットが、ファイアウォール上のセッション テーブル リソースを使い果たすことで、そのファイアウォールを通過する正当なトラフィックに対してリソースが拒否されることを目的として、ファイアウォール背後のアドレス範囲に送られます。

分散型サービス拒否攻撃に対する保護の設定方法

ファイアウォールの設定

この作業では、次のことを実行します。
  • ファイアウォールを設定します。
  • セキュリティ送信元ゾーンを作成します。
  • セキュリティ宛先ゾーンを作成します。
  • 設定された送信元ゾーンと宛先ゾーンを使用して、セキュリティ ゾーン ペアを作成します。
  • ゾーン メンバーとしてインターフェイスを設定します。
手順の概要

    1.    enable

    2.    configure terminal

    3.    class-map type inspect match-any class-map-name

    4.    match protocol {icmp | tcp | udp}

    5.    exit

    6.    parameter-map type inspect global

    7.    redundancy

    8.    exit

    9.    policy-map type inspect policy-map-name

    10.    class type inspect class-map-name

    11.    inspect

    12.    exit

    13.    class class-default

    14.    drop

    15.    exit

    16.    exit

    17.    zone security security-zone-name

    18.    exit

    19.    zone security security-zone-name

    20.    exit

    21.    zone-pair security zone-pair-name source source-zone destination destination-zone

    22.    service-policy type inspect policy-map-name

    23.    exit

    24.    interface type number

    25.    ip address ip-address mask

    26.    encapsulation dot1q vlan-id

    27.    zone-member security security-zone-name

    28.    end

    29.    ゾーンを別のインターフェイスに付加するには、ステップ 21 ~ 25 を繰り返します。


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Device> enable         
     

    特権 EXEC モードをイネーブルにします。

    • パスワードを入力します(要求された場合)。
     
    ステップ 2configure terminal


    例:
    Device# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 3class-map type inspect match-any class-map-name


    例:
    Device(config)# class-map type inspect match-any ddos-class
     

    アプリケーション固有検査タイプ クラス マップを作成し、QoS クラスマップ コンフィギュレーション モードを開始します。

     
    ステップ 4match protocol {icmp | tcp | udp}


    例:
    Device(config-cmap)# match protocol tcp
     

    指定したプロトコルに基づいてクラス マップの一致基準を設定します。

     
    ステップ 5exit


    例:
    Device(config-cmap)# exit
     

    QoS クラスマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 6parameter-map type inspect global


    例:
    Device(config)# parameter-map type inspect global
     

    グローバル検査パラメータ マップを定義し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

     
    ステップ 7redundancy


    例:
    Device(config-profile)# redundancy
     

    ファイアウォール ハイ アベイラビリティをイネーブルにします。

     
    ステップ 8exit


    例:
    Device(config-profile)# exit
     

    パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 9policy-map type inspect policy-map-name


    例:
    Device(config)# policy-map type inspect ddos-fw
     

    プロトコル固有検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

     
    ステップ 10class type inspect class-map-name


    例:
    Device(config-pmap)# class type inspect ddos-class
     

    アクションを実行する対象のトラフィック クラスを指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

     
    ステップ 11inspect


    例:
    Device(config-pmap-c)# inspect
     

    ステートフル パケット インスペクションをイネーブルにします。

     
    ステップ 12exit


    例:
    Device(config-pmap-c)# exit
     

    QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

     
    ステップ 13class class-default


    例:
    Device(config-pmap)# class class-default
     

    アクションを実行する対象のデフォルト クラスを設定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

     
    ステップ 14drop


    例:
    Device(config-pmap-c)# drop
     

    同じゾーンの 2 つのインターフェイス間をトラフィックが通過できるようにします。

     
    ステップ 15exit


    例:
    Device(config-pmap-c)# exit
     

    QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

     
    ステップ 16exit


    例:
    Device(config-pmap)# exit
     

    QoS ポリシーマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 17zone security security-zone-name


    例:
    Device(config)# zone security private
     
    セキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。
    • ゾーン ペア(送信元ゾーンと宛先ゾーン)を作成するために 2 つのセキュリティ ゾーンが必要です。
     
    ステップ 18exit


    例:
    Device(config-sec-zone)# exit
     

    セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 19zone security security-zone-name


    例:
    Device(config)# zone security public
     
    セキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。
    • ゾーン ペア(送信元ゾーンと宛先ゾーン)を作成するために 2 つのセキュリティ ゾーンが必要です。
     
    ステップ 20exit


    例:
    Device(config-sec-zone)# exit
     

    セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 21zone-pair security zone-pair-name source source-zone destination destination-zone


    例:
    Device(config)# zone-pair security private2public source private destination public
     

    ゾーン ペアを作成し、セキュリティ ゾーンペア コンフィギュレーション モードを開始します。

     
    ステップ 22service-policy type inspect policy-map-name


    例:
    Device(config-sec-zone-pair)# service-policy type inspect ddos-fw
     

    ポリシー マップをトップレベル ポリシー マップに付加します。

     
    ステップ 23exit


    例:
    Device(config-sec-zone-pair)# exit
     

    セキュリティ ゾーンペア コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 24interface type number


    例:
    Device(config)# interface gigabitethernet 0/1/0.1
     

    インターフェイスを設定し、サブインターフェイス コンフィギュレーション モードを開始します。

     
    ステップ 25ip address ip-address mask


    例:
    Device(config-subif)# ip address 10.1.1.1 255.255.255.0
     

    サブインターフェイスの IP アドレスを設定します。

     
    ステップ 26encapsulation dot1q vlan-id


    例:
    Device(config-subif)# encapsulation dot1q 2
     

    インターフェイスで使用するカプセル化方式を設定します。

     
    ステップ 27zone-member security security-zone-name


    例:
    Device(config-subif)# zone-member security private
     

    ゾーン メンバーとしてインターフェイスを設定します。

    • security-zone-name 引数では、zone security コマンドを使用して設定したゾーンのいずれかを設定する必要があります。
    • インターフェイスがセキュリティ ゾーンにある場合、そのインターフェイスを通るトラフィックはどちらの方向でもすべて(デバイス宛またはデバイス発信のトラフィックを除く)デフォルトでドロップされます。 ゾーン メンバーであるインターフェイスをトラフィックが通過することを許可するには、そのゾーンをゾーン ペアの一部にして、そのゾーン ペアにポリシーを適用する必要があります。 ポリシーで、inspect または pass アクションを通してトラフィックが許可されると、トラフィックはインターフェイスを通過します。
     
    ステップ 28end


    例:
    Device(config-subif)# end
     

    サブインターフェイス コンフィギュレーション モードを終了して、特権 EXEC モードを開始します。

     
    ステップ 29ゾーンを別のインターフェイスに付加するには、ステップ 21 ~ 25 を繰り返します。  

     

    ファイアウォール セッションのアグレッシブ エージングの設定

    アグレッシブ エージング機能をボックス単位(ボックス単位とは、ファイアウォール セッション テーブル全体を意味します)、デフォルト VRF、および VRF 単位のファイアウォール セッションに設定できます。 アグレッシブ エージング機能が動作するには、ファイアウォール セッションのアグレッシブ エージングおよびエージング アウト時間を設定する必要があります。

    ファイアウォール セッションのアグレッシブ エージングを設定するには、次の作業を実行します。

    ボックス単位のアグレッシブ エージングの設定

    ボックス単位とは、ファイアウォール セッション テーブル全体を意味します。 parameter-map type inspect-global コマンドに従ったすべての設定がボックスに適用されます。

    手順の概要

      1.    enable

      2.    configure terminal

      3.    次のいずれかのコマンドを入力します。

      • parameter-map type inspect-global
      • parameter-map type inspect global

      4.    per-box max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

      5.    per-box aggressive-aging high {value low value | percent percent low percent percent}

      6.    exit

      7.    parameter-map type inspect parameter-map-name

      8.    tcp synwait-time seconds [ageout-time seconds]

      9.    end

      10.    show policy-firewall stats global


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 enable


      例:
      Device> enable          
       

      特権 EXEC モードをイネーブルにします。

      • パスワードを入力します(要求された場合)。
       
      ステップ 2configure terminal


      例:
      Device# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 3次のいずれかのコマンドを入力します。
      • parameter-map type inspect-global
      • parameter-map type inspect global


      例:
      Device(config)# parameter-map type inspect-global
      Device(config)# parameter-map type inspect global
       
      しきい値とタイムアウトを関連付けるグローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
      • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
      • parameter-map type inspect-global コマンドを設定する場合は、ステップ 4 と 5 をスキップしてください。
      (注)     

      parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

       
      ステップ 4per-box max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}


      例:
      Device(config-profile)# per-box max-incomplete 2000 aggressive-aging high 1500 low 1200
       

      ファイアウォール セッション テーブルのハーフ オープン セッションの上限およびアグレッシブ エージング レートを設定します。

       
      ステップ 5per-box aggressive-aging high {value low value | percent percent low percent percent}


      例:
      Device(config-profile)# per-box aggressive-aging high 1700 low 1300
       

      総セッションのアグレッシブ エージング制限を設定します。

       
      ステップ 6exit


      例:
      Device(config-profile)# exit
       

      パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

       
      ステップ 7parameter-map type inspect parameter-map-name


      例:
      Device(config)# parameter-map type inspect pmap1
       

      接続しきい値、タイムアウト、および inspect アクションに関連するその他のパラメータの検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

       
      ステップ 8tcp synwait-time seconds [ageout-time seconds]


      例:
      Device(config-profile)# tcp synwait-time 30 ageout-time 10
       

      セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

      • アグレッシブ エージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。 この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。 接続が低ウォーターマークを下回ると、アグレッシブ エージングはディセーブルになります。
       
      ステップ 9end


      例:
      Device(config-profile)# end
       

      パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

       
      ステップ 10show policy-firewall stats global


      例:
      Device# show policy-firewall stats global
       

      グローバルなファイアウォール統計情報を表示します。

       

      デフォルト VRF のアグレッシブ エージングの設定

      max-incomplete aggressive-aging コマンドを設定する場合、デフォルト VRF に適用されます。

      手順の概要

        1.    enable

        2.    configure terminal

        3.    次のいずれかのコマンドを入力します。

        • parameter-map type inspect-global
        • parameter-map type inspect global

        4.    max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

        5.    session total number [aggressive-aging high {value low value | percent percent low percent percent}]

        6.    exit

        7.    parameter-map type inspect parameter-map-name

        8.    tcp synwait-time seconds [ageout-time seconds]

        9.    end

        10.    show policy-firewall stats vrf global


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 enable


        例:
        Device> enable
         

        特権 EXEC モードをイネーブルにします。

        • パスワードを入力します(要求された場合)。
         
        ステップ 2configure terminal


        例:
        Device# configure terminal
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 3次のいずれかのコマンドを入力します。
        • parameter-map type inspect-global
        • parameter-map type inspect global


        例:
        Device(config)# parameter-map type inspect-global
        Device(config)# parameter-map type inspect global
         
        しきい値とタイムアウトを関連付けるグローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
        • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
        • parameter-map type inspect-global コマンドを設定する場合は、ステップ 5 をスキップしてください。
        (注)     

        parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

         
        ステップ 4max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}


        例:
        Device(config-profile)# max-incomplete 3455 aggressive-aging high 2345 low 2255
         

        ハーフ オープン ファイアウォール セッションの上限およびアグレッシブ エージング制限を設定します。

         
        ステップ 5session total number [aggressive-aging high {value low value | percent percent low percent percent}]


        例:
        Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
         

        総ファイアウォール セッションの合計制限およびアグレッシブ エージング制限を設定します。

         
        ステップ 6exit


        例:
        Device(config-profile)# exit
         

        パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

         
        ステップ 7parameter-map type inspect parameter-map-name


        例:
        Device(config)# parameter-map type inspect pmap1
         

        接続しきい値、タイムアウト、および inspect アクションに関連するその他のパラメータの検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

         
        ステップ 8tcp synwait-time seconds [ageout-time seconds]


        例:
        Device(config-profile)# tcp synwait-time 30 ageout-time 10
         

        セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

        • アグレッシブ エージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。 この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。 接続が低ウォーターマークを下回ると、アグレッシブ エージングはディセーブルになります。
         
        ステップ 9end


        例:
        Device(config-profile)# end
         

        パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

         
        ステップ 10show policy-firewall stats vrf global


        例:
        Device# show policy-firewall stats vrf global
         

        グローバル VRF ファイアウォール ポリシーの統計情報を表示します。

         

        ファイアウォール セッションのエージング アウトの設定

        ICMP、TCP、または UDP のファイアウォール セッションのエージング アウトを設定できます。

        手順の概要

          1.    enable

          2.    configure terminal

          3.    次のいずれかのコマンドを入力します。

          • parameter-map type inspect-global
          • parameter-map type inspect global

          4.    vrf vrf-name inspect vrf-pmap-name

          5.    exit

          6.    parameter-map type inspect parameter-map-name

          7.    tcp idle-time seconds [ageout-time seconds]

          8.    tcp synwait-time seconds [ageout-time seconds]

          9.    exit

          10.    policy-map type inspect policy-map-name

          11.    class type inspect match-any class-map-name

          12.    inspect parameter-map-name

          13.    end

          14.    show policy-firewall stats vrf vrf-pmap-name


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 enable


          例:
          Device> enable
                    
           

          特権 EXEC モードをイネーブルにします。

          • パスワードを入力します(要求された場合)。
           
          ステップ 2configure terminal


          例:
          Device# configure terminal
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 3次のいずれかのコマンドを入力します。
          • parameter-map type inspect-global
          • parameter-map type inspect global


          例:
          Device(config)# parameter-map type inspect-global
          Device(config)# parameter-map type inspectglobal
           
          グローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
          • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
          • parameter-map type inspect-global コマンドを設定する場合は、ステップ 4 をスキップしてください。
          (注)     

          parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

           
          ステップ 4vrf vrf-name inspect vrf-pmap-name


          例:
          Device(config-profile)# vrf vrf1 inspect vrf1-pmap
           

          パラメータ マップで VRF をバインドします。

           
          ステップ 5exit


          例:
          Device(config-profile)# exit
           

          パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

           
          ステップ 6parameter-map type inspect parameter-map-name


          例:
          Device(config)# parameter-map type inspect pmap1
           

          接続しきい値、タイムアウト、および inspect アクションに関連するその他のパラメータの検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

           
          ステップ 7tcp idle-time seconds [ageout-time seconds]


          例:
          Device(config-profile)# tcp idle-time 3000 ageout-time 100
           
          アイドル状態の TCP セッションのタイムアウト、および TCP セッションのアグレッシブ エージング アウト時間を設定します。
          • tcp finwait-time コマンドを設定して、ファイアウォールが finish(FIN)-exchange を検出した後に TCP セッションが管理される時間の長さを指定することもできます。または、tcp synwait-time コマンドを設定して、セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。
           
          ステップ 8tcp synwait-time seconds [ageout-time seconds]


          例:
          Device(config-profile)# tcp synwait-time 30 ageout-time 10
           

          セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

          • アグレッシブ エージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。 この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。 接続が低ウォーターマークを下回ると、アグレッシブ エージングはイネーブルになります。
           
          ステップ 9exit


          例:
          Device(config-profile)# exit
           

          パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

           
          ステップ 10policy-map type inspect policy-map-name


          例:
          Device(config)# policy-map type inspect ddos-fw
           

          プロトコル固有検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

           
          ステップ 11class type inspect match-any class-map-name


          例:
          Device(config-pmap)# class type inspect match-any ddos-class
           

          アクションを実行する対象のトラフィック クラスを指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

           
          ステップ 12inspect parameter-map-name


          例:
          Device(config-pmap-c)# inspect pmap1
           

          パラメータ マップのステートフル パケット インスペクションをイネーブルにします。

           
          ステップ 13end


          例:
          Device(config-pmap-c)# end
           

          QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

           
          ステップ 14show policy-firewall stats vrf vrf-pmap-name


          例:
          Device# show policy-firewall stats vrf vrf1-pmap
           

          VRF レベル ポリシー ファイアウォールの統計情報を表示します。

           

          次に、show policy-firewall stats vrf vrf1-pmap コマンドの出力例を示します。

          Device# show policy-firewall stats vrf vrf1-pmap
          
           VRF: vrf1, Parameter-Map: vrf1-pmap
            Interface reference count: 2
                 Total Session Count(estab + half-open): 270, Exceed: 0
                 Total Session Aggressive Aging Period Off, Event Count: 0
          
                          Half Open
                 Protocol Session Cnt     Exceed
                 -------- -----------     ------
                 All      0               0
                 UDP      0               0
                 ICMP     0               0
                 TCP      0               0
          
                 TCP Syn Flood Half Open Count: 0, Exceed: 12       
                 Half Open Aggressive Aging Period Off, Event Count: 0
          

          VRF 単位のアグレッシブ エージングの設定

          手順の概要

            1.    enable

            2.    configure terminal

            3.    ip vrf vrf-name

            4.    rd route-distinguisher

            5.    route-target export route-target-ext-community

            6.    route-target import route-target-ext-community

            7.    exit

            8.    parameter-map type inspect-vrf vrf-pmap-name

            9.    max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

            10.    session total number [aggressive-aging {high value low value | percent percent low percent percent}]

            11.    alert on

            12.    exit

            13.    次のいずれかのコマンドを入力します。

            • parameter-map type inspect-global
            • parameter-map type inspect global

            14.    vrf vrf-name inspect vrf-pmap-name

            15.    exit

            16.    parameter-map type inspect parameter-map-name

            17.    tcp idle-time seconds [ageout-time seconds]

            18.    tcp synwait-time seconds [ageout-time seconds]

            19.    exit

            20.    policy-map type inspect policy-map-name

            21.    class type inspect match-any class-map-name

            22.    inspect parameter-map-name

            23.    end

            24.    show policy-firewall stats vrf vrf-pmap-name


          手順の詳細
             コマンドまたはアクション目的
            ステップ 1 enable


            例:
            Device> enable
             

            特権 EXEC モードをイネーブルにします。

            • パスワードを入力します(要求された場合)。
             
            ステップ 2configure terminal


            例:
            Device# configure terminal
             

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 3ip vrf vrf-name


            例:
            Device(config)# ip vrf ddos-vrf1
             

            VRF インスタンスを定義し、VRF コンフィギュレーション モードを開始します。

             
            ステップ 4rd route-distinguisher


            例:
            Device(config-vrf)# rd 100:2
             

            VRF インスタンスのルート識別子(RD)を指定します。

             
            ステップ 5route-target export route-target-ext-community


            例:
            Device(config-vrf)# route-target export 100:2
             

            ルートターゲット拡張コミュニティを作成し、ルーティング情報をターゲット VPN 拡張コミュニティにエクスポートします。

             
            ステップ 6route-target import route-target-ext-community


            例:
            Device(config-vrf)# route-target import 100:2
             

            ルートターゲット拡張コミュニティを作成し、ルーティング情報をターゲット VPN 拡張コミュニティからインポートします。

             
            ステップ 7exit


            例:
            Device(config-vrf)# exit
             

            VRF コンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードを開始します。

             
            ステップ 8parameter-map type inspect-vrf vrf-pmap-name


            例:
            Device(config)# parameter-map type inspect-vrf vrf1-pmap
             

            VRF 検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

             
            ステップ 9max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}


            例:
            Device(config-profile)# max-incomplete 2000 aggressive-aging high 1500 low 1200
             

            ハーフ オープン セッションの上限およびアグレッシブ エージング制限を設定します。

             
            ステップ 10session total number [aggressive-aging {high value low value | percent percent low percent percent}]


            例:
            Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
             

            総セッションの総セッション制限およびアグレッシブ エージング制限を設定します。

            • 総セッション制限を絶対値またはパーセンテージとして設定できます。
             
            ステップ 11alert on


            例:
            Device(config-profile)# alert on
             

            ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

             
            ステップ 12exit


            例:
            Device(config-profile)# exit
             

            パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

             
            ステップ 13次のいずれかのコマンドを入力します。
            • parameter-map type inspect-global
            • parameter-map type inspect global


            例:
            Device(config)# parameter-map type inspect-global
            Device(config)# parameter-map type inspect global
             
            グローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
            • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
            • parameter-map type inspect-global コマンドを設定する場合は、ステップ 14 をスキップしてください。
            (注)     

            parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

             
            ステップ 14vrf vrf-name inspect vrf-pmap-name


            例:
            Device(config-profile)# vrf vrf1 inspect vrf1-pmap
             

            パラメータ マップで VRF をバインドします。

             
            ステップ 15exit


            例:
            Device(config-profile)# exit
             

            パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

             
            ステップ 16parameter-map type inspect parameter-map-name


            例:
            Device(config)# parameter-map type inspect pmap1
             

            接続しきい値、タイムアウト、および inspect アクションに関連するその他のパラメータの検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

             
            ステップ 17tcp idle-time seconds [ageout-time seconds]


            例:
            Device(config-profile)# tcp idle-time 3000 ageout-time 100
             

            アイドル状態の TCP セッションのタイムアウト、および TCP セッションのアグレッシブ エージング アウト時間を設定します。

             
            ステップ 18tcp synwait-time seconds [ageout-time seconds]


            例:
            Device(config-profile)# tcp synwait-time 30 ageout-time 10
             

            セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

            • アグレッシブ エージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。 この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。 接続が低ウォーターマークを下回ると、アグレッシブ エージングはディセーブルになります。
             
            ステップ 19exit


            例:
            Device(config-profile)# exit
             

            パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

             
            ステップ 20policy-map type inspect policy-map-name


            例:
            Device(config)# policy-map type inspect ddos-fw
             

            プロトコル固有検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

             
            ステップ 21class type inspect match-any class-map-name


            例:
            Device(config-pmap)# class type inspect match-any ddos-class
             

            アクションを実行する対象のトラフィック(クラス)を指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

             
            ステップ 22inspect parameter-map-name


            例:
            Device(config-pmap-c)# inspect pmap1
             

            パラメータ マップのステートフル パケット インスペクションをイネーブルにします。

             
            ステップ 23end


            例:
            Device(config-pmap-c)# end
             

            QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

             
            ステップ 24show policy-firewall stats vrf vrf-pmap-name


            例:
            Device# show policy-firewall stats vrf vrf1-pmap
             

            VRF レベル ポリシー ファイアウォールの統計情報を表示します。

             

            次に、show policy-firewall stats vrf vrf1-pmap コマンドの出力例を示します。

            Device# show policy-firewall stats vrf vrf1-pmap
            
            VRF: vrf1, Parameter-Map: vrf1-pmap
              Interface reference count: 2
                   Total Session Count(estab + half-open): 80, Exceed: 0
                   Total Session Aggressive Aging Period Off, Event Count: 0
            
                            Half Open
                   Protocol Session Cnt     Exceed
                   -------- -----------     ------
                   All      0               0
                   UDP      0               0
                   ICMP     0               0
                   TCP      0               0
            
                   TCP Syn Flood Half Open Count: 0, Exceed: 116
                   Half Open Aggressive Aging Period Off, Event Count: 0
            

            ファイアウォール イベント レート モニタリングの設定

            手順の概要

              1.    enable

              2.    configure terminal

              3.    parameter-map type inspect-zone zone-pmap-name

              4.    alert on

              5.    threat-detection basic-threat

              6.    threat-detection rate fw-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second

              7.    threat-detection rate inspect-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second

              8.    threat-detection rate syn-attack average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second

              9.    exit

              10.    zone security security-zone-name

              11.    protection parameter-map-name

              12.    exit

              13.    zone-pair security zone-pair-name source source-zone destination destination-zone

              14.    end

              15.    show policy-firewall stats zone


            手順の詳細
               コマンドまたはアクション目的
              ステップ 1 enable


              例:
              Device> enable    
               

              特権 EXEC モードをイネーブルにします。

              • パスワードを入力します(要求された場合)。
               
              ステップ 2configure terminal


              例:
              Device# configure terminal
               

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 3parameter-map type inspect-zone zone-pmap-name


              例:
              Device(config)# parameter-map type inspect-zone zone-pmap1
               

              ゾーン検査パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

               
              ステップ 4alert on


              例:
              Device(config-profile)# alert on
               
              ゾーンのステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。
              • log コマンドを使用して、アラートのロギングを syslog または高速ロガー(HSL)のいずれかに設定できます。
               
              ステップ 5threat-detection basic-threat


              例:
              Device(config-profile)# threat-detection basic-threat
               

              ゾーンの基本脅威検出を設定します。

               
              ステップ 6threat-detection rate fw-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second


              例:
              Device(config-profile)# threat-detection rate fw-drop average-time-frame 600 average-threshold 100 burst-threshold 100
               
              ファイアウォールのドロップ イベントの脅威検出レートを設定します。
              • threat-detection rate コマンドを設定する前に、threat-detection basic-threat コマンドを設定する必要があります。
               
              ステップ 7threat-detection rate inspect-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second


              例:
              Device(config-profile)# threat-detection rate inspect-drop average-time-frame 600 average-threshold 100 burst-threshold 100
               

              ファイアウォール インスペクション ベースのドロップ イベントの脅威検出レートを設定します。

               
              ステップ 8threat-detection rate syn-attack average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second


              例:
              Device(config-profile)# threat-detection rate syn-attack average-time-frame 600 average-threshold 100 burst-threshold 100
               

              TCP SYN 攻撃イベントの脅威検出レートを設定します。

               
              ステップ 9exit


              例:
              Device(config-profile)# exit
               

              パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

               
              ステップ 10zone security security-zone-name


              例:
              Device(config)# zone security public
               

              セキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

               
              ステップ 11protection parameter-map-name


              例:
              Device(config-sec-zone)# protection zone-pmap1
               

              ゾーン検査パラメータ マップをゾーンに付加し、ゾーン検査パラメータ マップで設定されている機能をゾーンに適用します。

               
              ステップ 12exit


              例:
              Device(config-sec-zone)# exit
               

              セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

               
              ステップ 13zone-pair security zone-pair-name source source-zone destination destination-zone


              例:
              Device(config)# zone-pair security private2public source private destination public
               

              ゾーン ペアを作成し、セキュリティ ゾーンペア コンフィギュレーション モードを開始します。

               
              ステップ 14end


              例:
              Device(config-sec-zone-pair)# end
               

              セキュリティ ゾーンペア コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

               
              ステップ 15show policy-firewall stats zone


              例:
              Device# show policy-firewall stats zone
               

              ゾーン レベルでファイアウォール ポリシーの統計情報を表示します。

               

              ボックス単位のハーフ オープン セッション制限の設定

              ボックス単位とは、ファイアウォール セッション テーブル全体を意味します。 parameter-map type inspect-global コマンドに従ったすべての設定がボックスに適用されます。

              手順の概要

                1.    enable

                2.    configure terminal

                3.    次のいずれかのコマンドを入力します。

                • parameter-map type inspect-global
                • parameter-map type inspect global

                4.    alert on

                5.    per-box max-incomplete number

                6.    session total number

                7.    end

                8.    show policy-firewall stats global


              手順の詳細
                 コマンドまたはアクション目的
                ステップ 1 enable


                例:
                Device> enable
                 

                特権 EXEC モードをイネーブルにします。

                • パスワードを入力します(要求された場合)。
                 
                ステップ 2configure terminal


                例:
                Device# configure terminal
                 

                グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 3次のいずれかのコマンドを入力します。
                • parameter-map type inspect-global
                • parameter-map type inspect global


                例:
                Device(config)# parameter-map type inspect-global
                Device(config)# parameter-map type inspect global
                 

                しきい値とタイムアウトを関連付けるグローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
                • parameter-map type inspect-global コマンドを設定する場合は、ステップ 5 と 6 をスキップしてください。
                (注)     

                parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

                 
                ステップ 4alert on


                例:
                Device(config-profile)# alert on
                 

                ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

                 
                ステップ 5per-box max-incomplete number


                例:
                Device(config-profile)# per-box max-incomplete 12345
                 

                ファイアウォール セッション テーブルのハーフ オープン接続の最大数を設定します。

                 
                ステップ 6session total number


                例:
                Device(config-profile)# session total 34500
                 

                ファイアウォール セッション テーブルの総セッション制限を設定します。

                 
                ステップ 7end


                例:
                Device(config-profile)# end
                 

                パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

                 
                ステップ 8show policy-firewall stats global


                例:
                Device# show policy-firewall stats global
                 

                グローバルなファイアウォール統計情報を表示します。

                 

                VRF 検査パラメータ マップのハーフ オープン セッション制限の設定

                手順の概要

                  1.    enable

                  2.    configure terminal

                  3.    parameter-map type inspect-vrf vrf-name

                  4.    alert on

                  5.    max-incomplete number

                  6.    session total number

                  7.    exit

                  8.    次のいずれかのコマンドを入力します。

                  • parameter-map type inspect-global
                  • parameter-map type inspect global

                  9.    alert on

                  10.    vrf vrf-name inspect vrf-pmap-name

                  11.    end

                  12.    show policy-firewall stats vrf vrf-pmap-name


                手順の詳細
                   コマンドまたはアクション目的
                  ステップ 1 enable


                  例:
                  Device> enable          
                   

                  特権 EXEC モードをイネーブルにします。

                  • パスワードを入力します(要求された場合)。
                   
                  ステップ 2configure terminal


                  例:
                  Device# configure terminal
                   

                  グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 3parameter-map type inspect-vrf vrf-name


                  例:
                  Device(config)# parameter-map type inspect-vrf vrf1-pmap
                   

                  VRF 検査パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                   
                  ステップ 4alert on


                  例:
                  Device(config-profile)# alert on
                   

                  ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

                   
                  ステップ 5max-incomplete number


                  例:
                  Device(config-profile)# max-incomplete 2000
                   

                  VRF 単位のハーフ オープン接続の最大数を設定します。

                   
                  ステップ 6session total number


                  例:
                  Device(config-profile)# session total 34500
                   

                  VRF の総セッション制限を設定します。

                   
                  ステップ 7exit


                  例:
                  Device(config-profile)# exit
                   

                  パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 8次のいずれかのコマンドを入力します。
                  • parameter-map type inspect-global
                  • parameter-map type inspect global


                  例:
                  Device(config)# parameter-map type inspect-global
                  Device(config)# parameter-map type inspect global
                   
                  しきい値とタイムアウトを関連付けるグローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
                  • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドまたは parameter-map type inspect global コマンドを使用できます。 これら両方のコマンドを一緒に設定することはできません。
                  • parameter-map type inspect-global コマンドを設定する場合は、ステップ 10 をスキップしてください。
                  (注)     

                  parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

                   
                  ステップ 9alert on


                  例:
                  Device(config-profile)# alert on
                   

                  ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

                   
                  ステップ 10vrf vrf-name inspect vrf-pmap-name


                  例:
                  Device(config-profile)# vrf vrf1 inspect vrf1-pmap
                   

                  グローバル パラメータ マップに VRF をバインドします。

                   
                  ステップ 11end


                  例:
                  Device(config-profile)# end
                   

                  パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

                   
                  ステップ 12show policy-firewall stats vrf vrf-pmap-name


                  例:
                  Device# show policy-firewall stats vrf vrf1-pmap
                   

                  VRF レベル ポリシー ファイアウォールの統計情報を表示します。

                   

                  グローバル TCP SYN フラッド制限の設定

                  手順の概要

                    1.    enable

                    2.    configure terminal

                    3.    次のいずれかのコマンドを入力します。

                    • parameter-map type inspect-global
                    • parameter-map type inspect global

                    4.    alert on

                    5.    per-box tcp syn-flood limit number

                    6.    end

                    7.    show policy-firewall stats vrf global


                  手順の詳細
                     コマンドまたはアクション目的
                    ステップ 1 enable


                    例:
                    Device> enable
                     

                    特権 EXEC モードをイネーブルにします。

                    • パスワードを入力します(要求された場合)。
                     
                    ステップ 2 configure terminal


                    例:
                    Device# configure terminal
                     

                    グローバル コンフィギュレーション モードを開始します。

                     
                    ステップ 3次のいずれかのコマンドを入力します。
                    • parameter-map type inspect-global
                    • parameter-map type inspect global


                    例:
                    Device(config)# parameter-map type inspect-global
                    Device(config)# parameter-map type inspect global
                     

                    グローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                    • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドまたは parameter-map type inspect global コマンドを設定できます。 これら両方のコマンドを一緒に設定することはできません。
                    • parameter-map type inspect-global コマンドを設定する場合は、ステップ 5 をスキップしてください。
                    (注)     

                    parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

                     
                    ステップ 4 alert on


                    例:
                    Device(config-profile)# alert on
                     

                    ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

                     
                    ステップ 5 per-box tcp syn-flood limit number


                    例:
                    Device(config-profile)# per-box tcp syn-flood limit 500
                     

                    新しい SYN パケットの SYN Cookie 処理をトリガーする TCP ハーフ オープン セッション数を制限します。

                     
                    ステップ 6 end


                    例:
                    Device(config-profile)# end
                     

                    パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

                     
                    ステップ 7 show policy-firewall stats vrf global


                    例:
                    Device# show policy-firewall stats vrf global 
                     

                    (任意)グローバル VRF ファイアウォール ポリシーのステータスを表示します。

                    • コマンド出力には、存在する TCP ハーフ オープン セッションの数も表示されます。
                     

                    次に、show policy-firewall stats vrf global コマンドの出力例を示します。

                    Device# show policy-firewall stats vrf global
                     
                    Global table statistics
                           total_session_cnt: 0
                           exceed_cnt:        0
                           tcp_half_open_cnt: 0
                           syn_exceed_cnt:    0

                    分散型サービス拒否攻撃に対する保護の設定例

                    例:ファイアウォールの設定

                    Router# configure terminal
                    Router(config)# class-map type inspect match-any ddos-class
                    Router(config-cmap)# match protocol tcp
                    Router(config-cmap-c)# exit
                    Router(config)# parameter-map type inspect global
                    Router(config-profile)# redundancy
                    Router(config-profile)# exit
                    Router(config)# policy-map type inspect ddos-fw
                    Router(config-pmap)# class type inspect ddos-class
                    Router(config-pmap-c)# inspect
                    Router(config-pmap-c)# exit
                    Router(config-pmap)# class class-default
                    Router(config-pmap-c)# drop
                    Router(config-pmap-c)# exit
                    Router(config-pmap)# exit
                    Router(config)# zone security private
                    Router(config-sec-zone)# exit
                    Router(config)# zone security public
                    Router(config-sec-zone)# exit
                    Router(config)# zone-pair security private2public source private destination public
                    Router((config-sec-zone-pair)# service-policy type inspect ddos-fw
                    Router((config-sec-zone-pair)# exit
                    Router(config)# interface gigabitethernet 0/1/0.1
                    Router(config-subif)# ip address 10.1.1.1 255.255.255.0
                    Router(config-subif)# encapsulation dot1q 2
                    Router(config-subif)# zone-member security private
                    Router(config-subif)# exit
                    Router(config)# interface gigabitethernet 1/1/0.1
                    Router(config-subif)# ip address 10.2.2.2 255.255.255.0
                    Router(config-subif)# encapsulation dot1q 2
                    Router(config-subif)# zone-member security public
                    Router(config-subif)# end
                           

                    例:ファイアウォール セッションのアグレッシブ エージングの設定

                    例:ボックス単位のアグレッシブ エージングの設定

                    Device# configure terminal
                    Device(config)# parameter-map type inspect global
                    Device(config-profile)# per-box max-incomplete 2000 aggressive-aging 1500 low 1200
                    Device(config-profile)# per-box aggressive-aging high 1700 low 1300
                    Device(config-profile)# exit
                    Device(config)# parameter-map type inspect pmap1
                    Device(config-profile)# tcp synwait-time 30 ageout-time 10
                    Device(config-profile)# end

                    例:デフォルト VRF のアグレッシブ エージングの設定

                    Device# configure terminal
                    Device(config)# parameter-map type inspect global
                    Device(config-profile)# max-incomplete 2000 aggressive-aging high 1500 low 1200
                    Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
                    Device(config-profile)# exit
                    Device(config)# parameter-map type inspect pmap1
                    Device(config-profile)# tcp synwait-time 30 ageout-time 10
                    Device(config-profile)# end
                    

                    例:ファイアウォール セッションのエージング アウトの設定

                    Device# configure terminal
                    Device(config-profile)# exit
                    Device(config)# parameter-map type inspect global
                    Device(config-profile)# vrf vrf1 inspect vrf1-pmap
                    Device(config-profile)# exit
                    Device(config)# parameter-map type inspect pmap1
                    Device(config-profile)# tcp idle-time 3000 ageout-time 100
                    Device(config-profile)# tcp synwait-time 30 ageout-time 10
                    Device(config-profile)# exit
                    Device(config)# policy-map type inspect ddos-fw
                    Device(config-profile)# class type inspect match-any ddos-class
                    Device(config-profile)# inspect pmap1
                    Device(config-profile)# end
                    

                    例:VRF 単位のアグレッシブ エージングの設定

                    Device# configure terminal
                    Device(config)# ip vrf ddos-vrf1
                    Device(config-vrf)# rd 100:2
                    Device(config-vrf)# route-target export 100:2
                    Device(config-vrf)# route-target import 100:2
                    Device(config-vrf)# exit
                    Device(config)# parameter-map type inspect-vrf vrf1-pmap
                    Device(config-profile)# max-incomplete 3455 aggressive-aging high 2345 low 2255
                    Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
                    Device(config-profile)# alert on
                    Device(config-profile)# exit
                    Device(config)# parameter-map type inspect global
                    Device(config-profile)# vrf vrf1 inspect vrf1-pmap
                    Device(config-profile)# exit
                    Device(config)# parameter-map type inspect pmap1
                    Device(config-profile)# tcp idle-time 3000 ageout-time 100
                    Device(config-profile)# tcp synwait-time 30 ageout-time 10
                    Device(config-profile)# exit
                    Device(config)# policy-map type inspect ddos-fw
                    Device(config-pmap)# class type inspect match-any ddos-class
                    Device(config-pmap-c)# inspect pmap1
                    Device(config-profile)# end
                    

                    例:ファイアウォール イベント レート モニタリングの設定

                    Device> enable
                    Device# configure terminal
                    Device(config)# parameter-map type inspect zone zone-pmap1
                    Device(config-profile)# alert on
                    Device(config-profile)# threat-detection basic-threat
                    Device(config-profile)# threat-detection rate fw-drop average-time-frame 600 average-threshold 100 burst-threshold 100
                    Device(config-profile)# threat-detection rate inspect-drop average-time-frame 600 average-threshold 100 burst-threshold 100
                    Device(config-profile)# threat-detection rate syn-attack average-time-frame 600 average-threshold 100 burst-threshold 100
                    Device(config-profile)# exit
                    Device(config)# zone security public
                    Device(config-sec-zone)# protection zone-pmap1
                    Device(config-sec-zone)# exit
                    Device(config)# zone-pair security private2public source private destination public
                    Device(config-sec-zone-pair)# end
                          

                    例:ボックス単位のハーフ オープン セッション制限の設定

                    Device# configure terminal  
                    Device(config)# parameter-map type inspect global 
                    Device(config-profile)# alert on 
                    Device(config-profile)# per-box max-incomplete 12345   
                    Device(config-profile)# session total 34500  
                    Device(config-profile)# end

                    例:VRF 検査パラメータ マップのハーフ オープン セッション制限の設定

                    Device# configure terminal  
                    Device(config)# parameter-map type inspect vrf vrf1-pmap 
                    Device(config-profile)# alert on 
                    Device(config-profile)# max-incomplete 3500 
                    Device(config-profile)# session total 34500 
                    Device(config-profile)# exit
                    Device(config)# parameter-map type inspect global
                    Device(config-profile)# alert on
                    Device(config-profile)# vrf vrf1 inspect vrf1-pmap 
                    Device(config-profile)# end
                          

                    例:グローバル TCP SYN フラッド制限の設定

                    Device# configure terminal  
                    Device(config)# parameter-map type inspect global 
                    Device(config-profile)# alert on 
                    Device(config-profile)# per-box tcp syn-flood limit 500 
                    Device(config-profile)# end

                    分散型サービス拒否攻撃に対する保護の追加情報

                    関連資料

                    関連項目

                    マニュアル タイトル

                    Cisco IOS コマンド

                    『Cisco IOS Master Command List, All Releases』

                    セキュリティ コマンド

                    『Cisco IOS Security Command Reference』

                    ファイアウォール リソース管理

                    『Configuring Firewall Resource Management feature』

                    ファイアウォール TCP SYN Cookie

                    『Configuring Firewall TCP SYN Cookie feature』

                    シスコのテクニカル サポート

                    説明

                    リンク

                    シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

                    http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

                    分散型サービス拒否攻撃に対する保護の機能情報

                    次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

                    プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

                    表 2 分散型サービス拒否攻撃に対する保護の機能情報

                    機能名

                    リリース

                    機能情報

                    分散型サービス拒否攻撃に対する保護

                    Cisco IOS XE Release 3.4S

                    分散型サービス拒否攻撃に対する保護機能は、ボックス単位レベル(すべてのファイアウォール セッションに対して)および VRF レベルで DoS 攻撃から保護します。 DDoS 攻撃を防ぐために、ファイアウォール セッションのアグレッシブ エージング、ファイアウォール セッションのイベント レート モニタリング、ハーフ オープン接続制限、およびグローバル TCP SYN Cookie 保護を設定できます。

                    次のコマンドが導入または変更されました。clear policy-firewall stats globalmax-incompletemax-incomplete aggressive-agingper-box aggressive-agingper-box max-incompleteper-box max-incomplete aggressive-agingper-box tcp syn-flood limitsession totalshow policy-firewall stats globalshow policy-firewall stats zonethreat-detection basic-threatthreat-detection rate、および udp half-open