セキュリティ コンフィギュレーション ガイド:ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S(ASR 1000)
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポート
分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポート
発行日;2013/09/03   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポート

IPv6 ゾーンベース ファイアウォールは、分散型サービス拒否攻撃への保護およびファイアウォール リソース管理機能をサポートします。

分散型サービス拒否攻撃に対する保護機能は、グローバル レベルで(すべてのファイアウォール セッションに対して)および VPN ルーティングおよび転送(VRF)レベルで、サービス拒否(DoS)攻撃から保護します。 分散型サービス拒否攻撃に対する保護機能を使用すると、分散型 DoS 攻撃を防ぐために、ファイアウォール セッションのアグレッシブ エージング、ファイアウォール セッションのイベント レート モニタリング、ハーフオープン接続制限、およびグローバル TCP 同期(SYN)Cookie 保護を設定できます。

ファイアウォール リソース管理機能は、デバイス上に設定される VPN ルーティングおよび転送(VRF)セッションとグローバル ファイアウォール セッションの数を制限します。

このモジュールでは、分散型サービス拒否攻撃への保護およびファイアウォール リソース管理機能を設定する方法について説明します。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の注意事項と機能情報については、Bug Search Tool およびご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

分散型サービス拒否攻撃に対する保護およびリソース管理のための IPv6 ファイアウォール サポートの制約事項

次の制約事項がファイアウォール リソース管理機能に適用されます。

  • グローバル レベルまたは仮想ルーティングおよび転送(VRF)レベルのセッション制限を設定し、セッション制限を再設定した後、グローバル レベルまたは VRF レベルのセッション制限が最初に設定されたセッション数よりも低い場合、新しいセッションは追加されません。ただし、既存のセッションはドロップされません。

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポートについて

ファイアウォール セッションのアグレッシブ エージング

アグレッシブ エージング機能により、ファイアウォールは、セッションを積極的にエージング アウトして、新しいセッションのためのスペースを確保することで、ファイアウォール セッション データベースがいっぱいになるのを防ぐことができます。 ファイアウォールは、アイドル セッションを削除して、そのリソースを保護します。 アグレッシブ エージング機能により、ファイアウォール セッションが存在できる時間は、エージングアウト時間と呼ばれる、タイマーで定義された時間よりも短くなります。

アグレッシブ エージング機能には、アグレッシブ エージング期間の開始と終了を定義するしきい値(高ウォーターマークと低ウォーターマーク)が含まれます。 アグレッシブ エージング期間は、セッション テーブルが高ウォーターマークを超えると開始され、低ウォーターマーク以下になると終了します。 アグレッシブ エージング期間中、セッションは、エージングアウト時間を使用して設定された期間よりも短い期間存在します。 攻撃者が、ファイアウォールがセッションを終了するレートよりも短い時間でセッションを開始する場合、セッションを作成するために割り当てられているすべてのリソースが使用され、新しいすべての接続が拒否されます。 このような攻撃を防ぐには、セッションを積極的にエージング アウトするようにアグレッシブ エージング機能を設定できます。 この機能はデフォルトで無効に設定されています。

ボックス レベル(ボックスはファイアウォール セッション テーブル全体を示します)および仮想ルーティングおよび転送(VRF)レベルでハーフ オープン セッションおよび総セッションにアグレッシブ エージングを設定できます。 この機能を総セッションに設定している場合、ファイアウォール セッション リソースを消費するすべてのセッションが考慮されます。 総セッションは、確立されているセッション、ハーフ オープン セッション、および明確でないセッション データベース内のセッションで構成されます。 (確立状態にまだ到達していない TCP セッションはハーフ オープン セッションと呼ばれます)。

ファイアウォールには、2 つのセッション データベース(セッション データベースおよび明確でないセッション データベース)があります。 セッション データベースには、5 タプル(送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、およびプロトコル)のセッションが含まれます。 タプルは、要素の順序付きリストです。 明確でないセッション データベースには、5 タプルよりも少ない(IP アドレスやポート番号などが欠落している)セッションが含まれます。 ハーフ オープン セッションのアグレッシブ エージングの場合、ハーフ オープン セッションだけが考慮されます。

インターネット制御メッセージ プロトコル(ICMP)、TCP、および UDP のファイアウォール セッションにアグレッシブ エージング アウト時間を設定できます。 エージング アウト時間は、デフォルトでアイドル時間に設定されます。

イベント レート モニタリング機能

イベント レート モニタリング機能は、ゾーンの定義済みイベントのレートをモニタします。 イベント レート モニタリング機能には基本脅威検出が含まれます。これにより、セキュリティ デバイスは、ファイアウォールの内側にあるリソースへの考えられる脅威、異常や攻撃を検出し、それに対するアクションを実行できます。 イベントの基本脅威検出レートを設定できます。 特定のタイプのイベントの着信レートが、設定された脅威検出レートを超えると、イベント レート モニタリングはこのイベントを脅威と見なし、脅威を停止するアクションを実行します。 脅威検出は、入力のゾーンだけでイベントを検査します(イベント レート モニタリング機能が入力ゾーンでイネーブルの場合)。

ネットワーク管理者は、アラート メッセージ(syslog または高速ロガー(HSL))を介して潜在的な脅威について通知され、攻撃ベクトルの検出、攻撃の発生元のゾーンの検出、特定の動作やトラフィックをブロックするようネットワークのデバイスを設定するなどのアクションを実行できます。

イベント レート モニタリング機能では、次のタイプのイベントをモニタします。

  • 基本的なファイアウォール チェック エラーが原因でファイアウォールがドロップする:これには、ゾーンまたはゾーン ペアのチェック エラー、または drop アクションを使用して設定されたファイアウォール ポリシーなどが含まれる場合があります。
  • レイヤ 4 インスペクション エラーが原因でファイアウォールがドロップする:これには、最初の TCP パケットが同期(SYN)パケットではないため失敗した TCP インスペクションが含まれる場合があります。
  • TCP SYN Cookie 攻撃:これには、ドロップされた SYN パケット数、およびスプーフィング攻撃として送信された SYN Cookie の数の集計が含まれる場合があります。

イベント レート モニタリング機能では、異なるイベントの平均レートとバースト レートをモニタします。 各イベント タイプには、設定可能なパラメータ セット(平均しきい値、バーストしきい値、および期間)が含まれる関連レートによって制御されるレート オブジェクトがあります。 期間はタイム スロットに分割されています。各タイム スロットは、期間の 1/30 です。

平均レートは、イベント タイプごとに計算されます。 各レート オブジェクトは、30 の完了済みサンプリング値に加えて、現在稼働中のサンプリング期間を保持するための 1 つの値を保持します。 現在のサンプリング値によって計算済みの最も古い値が置き換えられ、平均が計算されます。 平均レートは、各期間で計算されます。 平均レートが平均しきい値を超えると、イベント レート モニタリング機能は、これを潜在的な脅威と見なし、統計情報を更新し、ネットワーク管理者に通知します。

バースト レートは、トークン バケット アルゴリズムを使用して実装されます。 各タイム スロットでは、トークン バケットがトークンで埋められます。 発生する(特定のイベント タイプの)イベントごとに、トークンがバケットから削除されます。 空のバケットは、バーストしきい値に到達したことを意味し、管理者は syslog または HSL を介してアラームを受信します。 脅威検出統計情報の確認、およびゾーンのさまざまなイベントに対する潜在的脅威についての学習は、 show policy-firewall stats zoneコマンドの出力から行うことができます。

threat-detection basic-threat コマンドを使用して、最初に基本脅威検出をイネーブルにする必要があります。 基本脅威検出を設定すると、脅威検出レートを設定できます。 脅威検出レートを設定するには、threat-detection rate コマンドを使用します。

次の表に、イベント レート モニタリング機能がイネーブルの場合に適用可能な基本脅威検出のデフォルト設定を示します。

表 1 基本脅威検出のデフォルト設定

パケット ドロップの理由

脅威検出の設定

基本的なファイアウォール ドロップ

平均レート 400 パケット/秒(pps)

バースト レート 1600 pps

レート間隔 600 秒

インスペクション ベースのファイアウォール ドロップ

平均レート 400 pps

バースト レート 1600 pps

レート間隔 600 秒

SYN 攻撃ファイアウォール ドロップ

平均レート 100 pps

バースト レート 200 pps

レート間隔 600 秒

ハーフ オープン接続制限

ファイアウォール セッション テーブルは、ハーフ オープン ファイアウォール接続の制限をサポートします。 ハーフ オープン セッションの数を制限すると、ボックス単位レベルまたは仮想ルーティングおよび転送(VRF)レベルでハーフ オープン セッションを使用してファイアウォール セッション テーブルを満たす可能性がある攻撃からファイアウォールを守り、セッションが確立されるのを防ぎます。 ハーフ オープン接続制限は、レイヤ 4 プロトコル、インターネット制御メッセージ プロトコル(ICMP)、TCP、および UDP に設定できます。 UDP ハーフ オープン セッションの数に設定された制限は、TCP または ICMP のハーフ オープン セッションには影響しません。 設定されたハーフ オープン セッション制限を超えた場合、すべての新しいセッションは拒否され、ログ メッセージが syslog または高速ロガー(HSL)のいずれかに生成されます。

次のセッションは、ハーフ オープン セッションと見なされます。
  • スリーウェイ ハンドシェイクが完了していない TCP セッション。
  • UDP フローで 1 パケットだけが検出されている UDP セッション。
  • ICMP エコー要求または ICMP タイムスタンプの要求に対する応答を受信しない ICMP セッション。

TCP SYN フラッド攻撃

SYN フラッド攻撃を制限するようにグローバル TCP SYN フラッド制限を設定できます。 TCP SYN フラッディング攻撃は、サービス拒否(DoS)攻撃の一種です。 設定された TCP SYN フラッド制限に到達すると、ファイアウォールは追加のセッションを作成する前にセッションの送信元を確認します。 通常、TCP SYN パケットは、ファイアウォールの背後にある対象のエンド ホストまたはサブネット アドレスの範囲に送信されます。 これらの TCP SYN パケットによって、送信元 IP アドレスがスプーフィングされます。 スプーフィング攻撃は、個人またはプログラムが不正なデータを使用してネットワークのリソースにアクセスしようとすることです。 TCP SYN フラッディングでは、ファイアウォールまたはエンド ホスト上のすべてのリソースを占有し、そのために正当なトラフィックに対するサービス拒否が発生します。 VRF レベルおよびゾーン レベルで TCP SYN フラッド保護を設定できます。

SYN フラッド攻撃は次の 2 つのタイプに分かれています。
  • ホストのフラッディング:SYN フラッド パケットは、単一ホスト上のすべてのリソースを利用することを目的として、そのホストに送信されます。
  • ファイアウォール セッション テーブルのフラッディング:SYN フラッド パケットが、ファイアウォール上のセッション テーブル リソースを使い果たすことで、そのファイアウォールを通過する正当なトラフィックに対してリソースが拒否されることを目的として、ファイアウォール背後のアドレス範囲に送られます。

ファイアウォール リソース管理

リソース管理は、デバイス上の共有リソースの利用レベルを制限します。 デバイス上の共有リソースは次のとおりです。

  • 帯域幅
  • 接続状態
  • メモリ使用率(テーブル単位)
  • セッションまたはコール数
  • 1 秒あたりのパケット数
  • Ternary Content Addressable Memory(TCAM)エントリ

ファイアウォール リソース管理機能は、ゾーンベースのファイアウォール リソース管理をクラス レベルから VRF レベルおよびグローバル レベルに拡張します。 クラス レベルのリソース管理は、クラス レベルでファイアウォール セッションのリソースを保護します。 たとえば、最大セッション制限、セッション レート制限、不完全セッション制限などのパラメータは、ファイアウォール リソース(チャンク メモリなど)を保護し、これらのリソースが単一クラスによって使い果たされないようにします。

複数の仮想ルーティングおよび転送(VRF)インスタンスが同じポリシーを共有する場合、1 つの VRF インスタンスからのファイアウォール セッション設定要求によって総セッション数が最大制限に達する可能性があります。 1 つの VRF がデバイス上のリソースの最大量を消費すると、他の VRF インスタンスがデバイス リソースを共有することが難しくなります。 VRF ファイアウォール セッションの数を制限するために、ファイアウォール リソース管理機能を使用できます。

グローバル レベルでは、ファイアウォール リソース管理機能により、グローバル ルーティング ドメインでのファイアウォール セッションによるリソースの使用を制限できます。

ファイアウォール セッション

セッション定義

仮想ルーティングおよび転送(VRF)レベルで、ファイアウォール リソース管理機能は、各 VRF インスタンスのファイアウォール セッションの数を追跡します。 グローバル レベルでは、ファイアウォール リソース管理は、デバイス レベルではなくグローバル ルーティング ドメインで総ファイアウォール セッション数を追跡します。 VRF レベルとグローバル レベルの両方で、セッション数は、開かれたセッション、ハーフ オープン セッション、および明確でないファイアウォール セッション データベース内のセッションの合計です。 確立状態にまだ到達していない TCP セッションはハーフ オープン セッションと呼ばれます。

ファイアウォールには、2 つのセッション データベース(セッション データベースおよび明確でないセッション データベース)があります。 セッション データベースには、5 タプル(送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、およびプロトコル)のセッションが含まれます。 タプルは、要素の順序付きリストです。 明確でないセッション データベースには、5 タプルよりも少ない(IP アドレスやポート番号などが欠落している)セッションが含まれます。

次のルールが、セッション制限の設定に適用されます:

  • クラス レベルのセッション制限は、グローバル制限を超えることができます。
  • クラス レベルのセッション制限は、関連付けられた VRF セッションの最大値を超えることができます。
  • グローバル コンテキストを含む VRF 制限の合計は、ハードコーディングされたセッション制限を超えることができます。

セッション レート

セッション レートは、特定の時間間隔でセッションが確立されるレートです。 最大および最小のセッション レート制限を定義できます。 セッション レートが指定された最大レートを超えると、ファイアウォールは新しいセッション設定要求を拒否するようになります。

リソース管理の観点から、最大および最小のセッション レート制限を設定すると、Cisco Packet Processor が多数のファイアウォール セッション設定要求を受信して過負荷状態になるのを防ぐことができます。

不完全なセッションまたはハーフ オープン セッション

不完全なセッションは、ハーフ オープン セッションです。 最大セッション制限を設定することで、不完全なセッションが使用するリソースがカウントされ、不完全なセッション数の増加が制限されます。

ファイアウォール リソース管理セッション

次のルールが、ファイアウォール リソース管理セッションに適用されます。

  • デフォルトでは、開かれたセッションまたはハーフ オープン セッションのセッション制限は無制限です。
  • 開かれたセッションまたはハーフ オープン セッションは、パラメータで制限され、個別にカウントされます。
  • 開かれたセッション数またはハーフ オープン セッション数には、インターネット制御メッセージ プロトコル(ICMP)、TCP、または UDP セッションが含まれます。
  • 開かれたセッションの数とレートを制限できます。
  • ハーフ オープン セッションの数のみを制限できます。

分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポートの設定方法

IPv6 ファイアウォールの設定

IPv4 ファイアウォールと IPv6 ファイアウォールを設定する手順は同じです。 IPv6 ファイアウォールを設定するには、IPv6 アドレス ファミリだけが一致するようにクラス マップを設定する必要があります。

match protocol コマンドは、IPv4 トラフィックと IPv6 トラフィックの両方に適用され、IPv4 ポリシーまたは IPv6 ポリシーに含めることができます。

手順の概要

    1.    enable

    2.    configure terminal

    3.    vrf-definition vrf-name

    4.    address-family ipv6

    5.    exit-address-family

    6.    exit

    7.    parameter-map type inspect parameter-map-name

    8.    sessions maximum sessions

    9.    exit

    10.    ipv6 unicast-routing

    11.    ip port-map appl-name port port-num list list-name

    12.    ipv6 access-list access-list-name

    13.    permit ipv6 any any

    14.    exit

    15.    class-map type inspect match-all class-map-name

    16.    match access-group name access-group-name

    17.    match protocol protocol-name

    18.    exit

    19.    policy-map type inspect policy-map-name

    20.    class type inspect class-map-name

    21.    inspect [parameter-map-name]

    22.    end


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Device> enable
     
    特権 EXEC モードを開始します。
    • パスワードを入力します(要求された場合)。
     
    ステップ 2 configure terminal


    例:
    Device# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 3 vrf-definition vrf-name


    例:
    Device(config)# vrf-definition VRF1
     

    仮想ルーティングおよび転送(VRF)ルーティング テーブル インスタンスを設定し、VRF コンフィギュレーション モードを開始します。

     
    ステップ 4 address-family ipv6


    例:
    Device(config-vrf)# address-family ipv6
     

    VRF アドレス ファミリ コンフィギュレーション モードを開始して、標準 IPv6 アドレス プレフィックスを伝送するセッションを設定します。

     
    ステップ 5 exit-address-family


    例:
    Device(config-vrf-af)# exit-address-family
     

    VRF アドレス ファミリ コンフィギュレーション モードを終了し、VRF コンフィギュレーション モードを開始します。

     
    ステップ 6 exit


    例:
    Device(config-vrf)# exit
     

    VRF コンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 7 parameter-map type inspect parameter-map-name


    例:
    Device(config)# parameter-map type inspect ipv6-param-map
     

    ファイアウォールのグローバル検査タイプ パラメータ マップを、検査アクションに関連するしきい値、タイムアウト、およびその他のパラメータに関連付けることができるようにし、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

     
    ステップ 8 sessions maximum sessions


    例:
    Device(config-profile)# sessions maximum 10000
     

    ゾーン ペア上に存在可能な最大許容セッション数を設定します。

     
    ステップ 9 exit


    例:
    Device(config-profile)# exit
     

    パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 10 ipv6 unicast-routing


    例:
    Device(config)# ipv6 unicast-routing
     

    IPv6 ユニキャスト データグラムの転送をイネーブルにします。

     
    ステップ 11 ip port-map appl-name port port-num list list-name


    例:
    Device(config)# ip port-map ftp port 8090 list ipv6-acl
     

    IPv6 アクセス コントロール リスト(ACL)を使用してポートツーアプリケーション マッピング(PAM)を確立します。

     
    ステップ 12 ipv6 access-list access-list-name


    例:
    Device(config)# ipv6 access-list ipv6-acl
     

    IPv6 アクセス リストを定義し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。

     
    ステップ 13 permit ipv6 any any


    例:
    Device(config-ipv6-acl)# permit ipv6 any any
     

    IPv6 アクセス リストに許可条件を設定します。

     
    ステップ 14 exit


    例:
    Device(config-ipv6-acl)# exit
     

    IPv6 アクセス リスト コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 15 class-map type inspect match-all class-map-name


    例:
    Device(config)# class-map type inspect match-all ipv6-class
     

    アプリケーション固有検査タイプ クラス マップを作成し、QoS クラスマップ コンフィギュレーション モードを開始します。

     
    ステップ 16 match access-group name access-group-name


    例:
    Device(config-cmap)# match access-group name ipv6-acl
     

    指定した ACL をベースにクラス マップに対して一致基準を設定します。

     
    ステップ 17 match protocol protocol-name


    例:
    Device(config-cmap)# match protocol tcp
     

    指定されたプロトコルに基づくクラス マップの一致基準を設定します。

     
    ステップ 18 exit


    例:
    Device(config-cmap)# exit
     

    QoS クラスマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 19 policy-map type inspect policy-map-name


    例:
    Device(config)# policy-map type inspect ipv6-policy
     

    プロトコル固有検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

     
    ステップ 20 class type inspect class-map-name


    例:
    Device(config-pmap)# class type inspect ipv6-class
     

    アクションを実行する対象のトラフィック クラスを指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

     
    ステップ 21 inspect [parameter-map-name]


    例:
    Device(config-pmap-c)# inspect ipv6-param-map
     

    ステートフル パケット インスペクションをイネーブルにします。

     
    ステップ 22 end


    例:
    Device(config-pmap-c)# end
     

    QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

     

    ファイアウォール セッションのアグレッシブ エージングの設定

    アグレッシブ エージング機能をボックス単位(ボックス単位とは、ファイアウォール セッション テーブル全体を意味します)、デフォルト VRF、および VRF 単位のファイアウォール セッションに設定できます。 アグレッシブ エージング機能が動作するには、ファイアウォール セッションのアグレッシブ エージングおよびエージング アウト時間を設定する必要があります。

    ファイアウォール セッションのアグレッシブ エージングを設定するには、次の作業を実行します。

    ボックス単位のアグレッシブ エージングの設定

    ボックス単位とは、ファイアウォール セッション テーブル全体を意味します。 parameter-map type inspect-global コマンドに従ったすべての設定がボックスに適用されます。

    手順の概要

      1.    enable

      2.    configure terminal

      3.    次のいずれかのコマンドを入力します。

      • parameter-map type inspect-global
      • parameter-map type inspect global

      4.    per-box max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

      5.    per-box aggressive-aging high {value low value | percent percent low percent percent}

      6.    exit

      7.    parameter-map type inspect parameter-map-name

      8.    tcp synwait-time seconds [ageout-time seconds]

      9.    end

      10.    show policy-firewall stats global


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 enable


      例:
      Device> enable          
       

      特権 EXEC モードをイネーブルにします。

      • パスワードを入力します(要求された場合)。
       
      ステップ 2configure terminal


      例:
      Device# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 3次のいずれかのコマンドを入力します。
      • parameter-map type inspect-global
      • parameter-map type inspect global


      例:
      Device(config)# parameter-map type inspect-global
      Device(config)# parameter-map type inspect global
       
      しきい値とタイムアウトを関連付けるグローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
      • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
      • parameter-map type inspect-global コマンドを設定する場合は、ステップ 4 と 5 をスキップしてください。
      (注)     

      parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

       
      ステップ 4per-box max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}


      例:
      Device(config-profile)# per-box max-incomplete 2000 aggressive-aging high 1500 low 1200
       

      ファイアウォール セッション テーブルのハーフ オープン セッションの上限およびアグレッシブ エージング レートを設定します。

       
      ステップ 5per-box aggressive-aging high {value low value | percent percent low percent percent}


      例:
      Device(config-profile)# per-box aggressive-aging high 1700 low 1300
       

      総セッションのアグレッシブ エージング制限を設定します。

       
      ステップ 6exit


      例:
      Device(config-profile)# exit
       

      パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

       
      ステップ 7parameter-map type inspect parameter-map-name


      例:
      Device(config)# parameter-map type inspect pmap1
       

      接続しきい値、タイムアウト、および inspect アクションに関連するその他のパラメータの検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

       
      ステップ 8tcp synwait-time seconds [ageout-time seconds]


      例:
      Device(config-profile)# tcp synwait-time 30 ageout-time 10
       

      セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

      • アグレッシブ エージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。 この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。 接続が低ウォーターマークを下回ると、アグレッシブ エージングはディセーブルになります。
       
      ステップ 9end


      例:
      Device(config-profile)# end
       

      パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

       
      ステップ 10show policy-firewall stats global


      例:
      Device# show policy-firewall stats global
       

      グローバルなファイアウォール統計情報を表示します。

       

      デフォルト VRF のアグレッシブ エージングの設定

      max-incomplete aggressive-aging コマンドを設定する場合、デフォルト VRF に適用されます。

      手順の概要

        1.    enable

        2.    configure terminal

        3.    次のいずれかのコマンドを入力します。

        • parameter-map type inspect-global
        • parameter-map type inspect global

        4.    max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

        5.    session total number [aggressive-aging high {value low value | percent percent low percent percent}]

        6.    exit

        7.    parameter-map type inspect parameter-map-name

        8.    tcp synwait-time seconds [ageout-time seconds]

        9.    end

        10.    show policy-firewall stats vrf global


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 enable


        例:
        Device> enable
         

        特権 EXEC モードをイネーブルにします。

        • パスワードを入力します(要求された場合)。
         
        ステップ 2configure terminal


        例:
        Device# configure terminal
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 3次のいずれかのコマンドを入力します。
        • parameter-map type inspect-global
        • parameter-map type inspect global


        例:
        Device(config)# parameter-map type inspect-global
        Device(config)# parameter-map type inspect global
         
        しきい値とタイムアウトを関連付けるグローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
        • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
        • parameter-map type inspect-global コマンドを設定する場合は、ステップ 5 をスキップしてください。
        (注)     

        parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

         
        ステップ 4max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}


        例:
        Device(config-profile)# max-incomplete 3455 aggressive-aging high 2345 low 2255
         

        ハーフ オープン ファイアウォール セッションの上限およびアグレッシブ エージング制限を設定します。

         
        ステップ 5session total number [aggressive-aging high {value low value | percent percent low percent percent}]


        例:
        Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
         

        総ファイアウォール セッションの合計制限およびアグレッシブ エージング制限を設定します。

         
        ステップ 6exit


        例:
        Device(config-profile)# exit
         

        パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

         
        ステップ 7parameter-map type inspect parameter-map-name


        例:
        Device(config)# parameter-map type inspect pmap1
         

        接続しきい値、タイムアウト、および inspect アクションに関連するその他のパラメータの検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

         
        ステップ 8tcp synwait-time seconds [ageout-time seconds]


        例:
        Device(config-profile)# tcp synwait-time 30 ageout-time 10
         

        セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

        • アグレッシブ エージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。 この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。 接続が低ウォーターマークを下回ると、アグレッシブ エージングはディセーブルになります。
         
        ステップ 9end


        例:
        Device(config-profile)# end
         

        パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

         
        ステップ 10show policy-firewall stats vrf global


        例:
        Device# show policy-firewall stats vrf global
         

        グローバル VRF ファイアウォール ポリシーの統計情報を表示します。

         

        VRF 単位のアグレッシブ エージングの設定

        手順の概要

          1.    enable

          2.    configure terminal

          3.    ip vrf vrf-name

          4.    rd route-distinguisher

          5.    route-target export route-target-ext-community

          6.    route-target import route-target-ext-community

          7.    exit

          8.    parameter-map type inspect-vrf vrf-pmap-name

          9.    max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}

          10.    session total number [aggressive-aging {high value low value | percent percent low percent percent}]

          11.    alert on

          12.    exit

          13.    次のいずれかのコマンドを入力します。

          • parameter-map type inspect-global
          • parameter-map type inspect global

          14.    vrf vrf-name inspect vrf-pmap-name

          15.    exit

          16.    parameter-map type inspect parameter-map-name

          17.    tcp idle-time seconds [ageout-time seconds]

          18.    tcp synwait-time seconds [ageout-time seconds]

          19.    exit

          20.    policy-map type inspect policy-map-name

          21.    class type inspect match-any class-map-name

          22.    inspect parameter-map-name

          23.    end

          24.    show policy-firewall stats vrf vrf-pmap-name


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 enable


          例:
          Device> enable
           

          特権 EXEC モードをイネーブルにします。

          • パスワードを入力します(要求された場合)。
           
          ステップ 2configure terminal


          例:
          Device# configure terminal
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 3ip vrf vrf-name


          例:
          Device(config)# ip vrf ddos-vrf1
           

          VRF インスタンスを定義し、VRF コンフィギュレーション モードを開始します。

           
          ステップ 4rd route-distinguisher


          例:
          Device(config-vrf)# rd 100:2
           

          VRF インスタンスのルート識別子(RD)を指定します。

           
          ステップ 5route-target export route-target-ext-community


          例:
          Device(config-vrf)# route-target export 100:2
           

          ルートターゲット拡張コミュニティを作成し、ルーティング情報をターゲット VPN 拡張コミュニティにエクスポートします。

           
          ステップ 6route-target import route-target-ext-community


          例:
          Device(config-vrf)# route-target import 100:2
           

          ルートターゲット拡張コミュニティを作成し、ルーティング情報をターゲット VPN 拡張コミュニティからインポートします。

           
          ステップ 7exit


          例:
          Device(config-vrf)# exit
           

          VRF コンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードを開始します。

           
          ステップ 8parameter-map type inspect-vrf vrf-pmap-name


          例:
          Device(config)# parameter-map type inspect-vrf vrf1-pmap
           

          VRF 検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

           
          ステップ 9max-incomplete number aggressive-aging high {value low value | percent percent low percent percent}


          例:
          Device(config-profile)# max-incomplete 2000 aggressive-aging high 1500 low 1200
           

          ハーフ オープン セッションの上限およびアグレッシブ エージング制限を設定します。

           
          ステップ 10session total number [aggressive-aging {high value low value | percent percent low percent percent}]


          例:
          Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
           

          総セッションの総セッション制限およびアグレッシブ エージング制限を設定します。

          • 総セッション制限を絶対値またはパーセンテージとして設定できます。
           
          ステップ 11alert on


          例:
          Device(config-profile)# alert on
           

          ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

           
          ステップ 12exit


          例:
          Device(config-profile)# exit
           

          パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

           
          ステップ 13次のいずれかのコマンドを入力します。
          • parameter-map type inspect-global
          • parameter-map type inspect global


          例:
          Device(config)# parameter-map type inspect-global
          Device(config)# parameter-map type inspect global
           
          グローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
          • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
          • parameter-map type inspect-global コマンドを設定する場合は、ステップ 14 をスキップしてください。
          (注)     

          parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

           
          ステップ 14vrf vrf-name inspect vrf-pmap-name


          例:
          Device(config-profile)# vrf vrf1 inspect vrf1-pmap
           

          パラメータ マップで VRF をバインドします。

           
          ステップ 15exit


          例:
          Device(config-profile)# exit
           

          パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

           
          ステップ 16parameter-map type inspect parameter-map-name


          例:
          Device(config)# parameter-map type inspect pmap1
           

          接続しきい値、タイムアウト、および inspect アクションに関連するその他のパラメータの検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

           
          ステップ 17tcp idle-time seconds [ageout-time seconds]


          例:
          Device(config-profile)# tcp idle-time 3000 ageout-time 100
           

          アイドル状態の TCP セッションのタイムアウト、および TCP セッションのアグレッシブ エージング アウト時間を設定します。

           
          ステップ 18tcp synwait-time seconds [ageout-time seconds]


          例:
          Device(config-profile)# tcp synwait-time 30 ageout-time 10
           

          セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

          • アグレッシブ エージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。 この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。 接続が低ウォーターマークを下回ると、アグレッシブ エージングはディセーブルになります。
           
          ステップ 19exit


          例:
          Device(config-profile)# exit
           

          パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

           
          ステップ 20policy-map type inspect policy-map-name


          例:
          Device(config)# policy-map type inspect ddos-fw
           

          プロトコル固有検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

           
          ステップ 21class type inspect match-any class-map-name


          例:
          Device(config-pmap)# class type inspect match-any ddos-class
           

          アクションを実行する対象のトラフィック(クラス)を指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

           
          ステップ 22inspect parameter-map-name


          例:
          Device(config-pmap-c)# inspect pmap1
           

          パラメータ マップのステートフル パケット インスペクションをイネーブルにします。

           
          ステップ 23end


          例:
          Device(config-pmap-c)# end
           

          QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

           
          ステップ 24show policy-firewall stats vrf vrf-pmap-name


          例:
          Device# show policy-firewall stats vrf vrf1-pmap
           

          VRF レベル ポリシー ファイアウォールの統計情報を表示します。

           

          次に、show policy-firewall stats vrf vrf1-pmap コマンドの出力例を示します。

          Device# show policy-firewall stats vrf vrf1-pmap
          
          VRF: vrf1, Parameter-Map: vrf1-pmap
            Interface reference count: 2
                 Total Session Count(estab + half-open): 80, Exceed: 0
                 Total Session Aggressive Aging Period Off, Event Count: 0
          
                          Half Open
                 Protocol Session Cnt     Exceed
                 -------- -----------     ------
                 All      0               0
                 UDP      0               0
                 ICMP     0               0
                 TCP      0               0
          
                 TCP Syn Flood Half Open Count: 0, Exceed: 116
                 Half Open Aggressive Aging Period Off, Event Count: 0
          

          ファイアウォール セッションのエージング アウトの設定

          ICMP、TCP、または UDP のファイアウォール セッションのエージング アウトを設定できます。

          手順の概要

            1.    enable

            2.    configure terminal

            3.    次のいずれかのコマンドを入力します。

            • parameter-map type inspect-global
            • parameter-map type inspect global

            4.    vrf vrf-name inspect vrf-pmap-name

            5.    exit

            6.    parameter-map type inspect parameter-map-name

            7.    tcp idle-time seconds [ageout-time seconds]

            8.    tcp synwait-time seconds [ageout-time seconds]

            9.    exit

            10.    policy-map type inspect policy-map-name

            11.    class type inspect match-any class-map-name

            12.    inspect parameter-map-name

            13.    end

            14.    show policy-firewall stats vrf vrf-pmap-name


          手順の詳細
             コマンドまたはアクション目的
            ステップ 1 enable


            例:
            Device> enable
                      
             

            特権 EXEC モードをイネーブルにします。

            • パスワードを入力します(要求された場合)。
             
            ステップ 2configure terminal


            例:
            Device# configure terminal
             

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 3次のいずれかのコマンドを入力します。
            • parameter-map type inspect-global
            • parameter-map type inspect global


            例:
            Device(config)# parameter-map type inspect-global
            Device(config)# parameter-map type inspectglobal
             
            グローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
            • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
            • parameter-map type inspect-global コマンドを設定する場合は、ステップ 4 をスキップしてください。
            (注)     

            parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

             
            ステップ 4vrf vrf-name inspect vrf-pmap-name


            例:
            Device(config-profile)# vrf vrf1 inspect vrf1-pmap
             

            パラメータ マップで VRF をバインドします。

             
            ステップ 5exit


            例:
            Device(config-profile)# exit
             

            パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

             
            ステップ 6parameter-map type inspect parameter-map-name


            例:
            Device(config)# parameter-map type inspect pmap1
             

            接続しきい値、タイムアウト、および inspect アクションに関連するその他のパラメータの検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

             
            ステップ 7tcp idle-time seconds [ageout-time seconds]


            例:
            Device(config-profile)# tcp idle-time 3000 ageout-time 100
             
            アイドル状態の TCP セッションのタイムアウト、および TCP セッションのアグレッシブ エージング アウト時間を設定します。
            • tcp finwait-time コマンドを設定して、ファイアウォールが finish(FIN)-exchange を検出した後に TCP セッションが管理される時間の長さを指定することもできます。または、tcp synwait-time コマンドを設定して、セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。
             
            ステップ 8tcp synwait-time seconds [ageout-time seconds]


            例:
            Device(config-profile)# tcp synwait-time 30 ageout-time 10
             

            セッションをドロップする前に、TCP セッションが確立状態に達するまでソフトウェアが待機する時間を指定します。

            • アグレッシブ エージングがイネーブルになると、最も古い TCP 接続の SYN 待機タイマーがデフォルトから設定済みエージアウト時間にリセットされます。 この例では、接続がタイムアウトするまで 30 秒待機する代わりに、最も古い TCP 接続のタイムアウトが 10 秒に設定されます。 接続が低ウォーターマークを下回ると、アグレッシブ エージングはイネーブルになります。
             
            ステップ 9exit


            例:
            Device(config-profile)# exit
             

            パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

             
            ステップ 10policy-map type inspect policy-map-name


            例:
            Device(config)# policy-map type inspect ddos-fw
             

            プロトコル固有検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

             
            ステップ 11class type inspect match-any class-map-name


            例:
            Device(config-pmap)# class type inspect match-any ddos-class
             

            アクションを実行する対象のトラフィック クラスを指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

             
            ステップ 12inspect parameter-map-name


            例:
            Device(config-pmap-c)# inspect pmap1
             

            パラメータ マップのステートフル パケット インスペクションをイネーブルにします。

             
            ステップ 13end


            例:
            Device(config-pmap-c)# end
             

            QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

             
            ステップ 14show policy-firewall stats vrf vrf-pmap-name


            例:
            Device# show policy-firewall stats vrf vrf1-pmap
             

            VRF レベル ポリシー ファイアウォールの統計情報を表示します。

             

            次に、show policy-firewall stats vrf vrf1-pmap コマンドの出力例を示します。

            Device# show policy-firewall stats vrf vrf1-pmap
            
             VRF: vrf1, Parameter-Map: vrf1-pmap
              Interface reference count: 2
                   Total Session Count(estab + half-open): 270, Exceed: 0
                   Total Session Aggressive Aging Period Off, Event Count: 0
            
                            Half Open
                   Protocol Session Cnt     Exceed
                   -------- -----------     ------
                   All      0               0
                   UDP      0               0
                   ICMP     0               0
                   TCP      0               0
            
                   TCP Syn Flood Half Open Count: 0, Exceed: 12       
                   Half Open Aggressive Aging Period Off, Event Count: 0
            

            ファイアウォール イベント レート モニタリングの設定

            手順の概要

              1.    enable

              2.    configure terminal

              3.    parameter-map type inspect-zone zone-pmap-name

              4.    alert on

              5.    threat-detection basic-threat

              6.    threat-detection rate fw-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second

              7.    threat-detection rate inspect-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second

              8.    threat-detection rate syn-attack average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second

              9.    exit

              10.    zone security security-zone-name

              11.    protection parameter-map-name

              12.    exit

              13.    zone-pair security zone-pair-name source source-zone destination destination-zone

              14.    end

              15.    show policy-firewall stats zone


            手順の詳細
               コマンドまたはアクション目的
              ステップ 1 enable


              例:
              Device> enable    
               

              特権 EXEC モードをイネーブルにします。

              • パスワードを入力します(要求された場合)。
               
              ステップ 2configure terminal


              例:
              Device# configure terminal
               

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 3parameter-map type inspect-zone zone-pmap-name


              例:
              Device(config)# parameter-map type inspect-zone zone-pmap1
               

              ゾーン検査パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

               
              ステップ 4alert on


              例:
              Device(config-profile)# alert on
               
              ゾーンのステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。
              • log コマンドを使用して、アラートのロギングを syslog または高速ロガー(HSL)のいずれかに設定できます。
               
              ステップ 5threat-detection basic-threat


              例:
              Device(config-profile)# threat-detection basic-threat
               

              ゾーンの基本脅威検出を設定します。

               
              ステップ 6threat-detection rate fw-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second


              例:
              Device(config-profile)# threat-detection rate fw-drop average-time-frame 600 average-threshold 100 burst-threshold 100
               
              ファイアウォールのドロップ イベントの脅威検出レートを設定します。
              • threat-detection rate コマンドを設定する前に、threat-detection basic-threat コマンドを設定する必要があります。
               
              ステップ 7threat-detection rate inspect-drop average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second


              例:
              Device(config-profile)# threat-detection rate inspect-drop average-time-frame 600 average-threshold 100 burst-threshold 100
               

              ファイアウォール インスペクション ベースのドロップ イベントの脅威検出レートを設定します。

               
              ステップ 8threat-detection rate syn-attack average-time-frame seconds average-threshold packets-per-second burst-threshold packets-per-second


              例:
              Device(config-profile)# threat-detection rate syn-attack average-time-frame 600 average-threshold 100 burst-threshold 100
               

              TCP SYN 攻撃イベントの脅威検出レートを設定します。

               
              ステップ 9exit


              例:
              Device(config-profile)# exit
               

              パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

               
              ステップ 10zone security security-zone-name


              例:
              Device(config)# zone security public
               

              セキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

               
              ステップ 11protection parameter-map-name


              例:
              Device(config-sec-zone)# protection zone-pmap1
               

              ゾーン検査パラメータ マップをゾーンに付加し、ゾーン検査パラメータ マップで設定されている機能をゾーンに適用します。

               
              ステップ 12exit


              例:
              Device(config-sec-zone)# exit
               

              セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

               
              ステップ 13zone-pair security zone-pair-name source source-zone destination destination-zone


              例:
              Device(config)# zone-pair security private2public source private destination public
               

              ゾーン ペアを作成し、セキュリティ ゾーンペア コンフィギュレーション モードを開始します。

               
              ステップ 14end


              例:
              Device(config-sec-zone-pair)# end
               

              セキュリティ ゾーンペア コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

               
              ステップ 15show policy-firewall stats zone


              例:
              Device# show policy-firewall stats zone
               

              ゾーン レベルでファイアウォール ポリシーの統計情報を表示します。

               

              ボックス単位のハーフ オープン セッション制限の設定

              ボックス単位とは、ファイアウォール セッション テーブル全体を意味します。 parameter-map type inspect-global コマンドに従ったすべての設定がボックスに適用されます。

              手順の概要

                1.    enable

                2.    configure terminal

                3.    次のいずれかのコマンドを入力します。

                • parameter-map type inspect-global
                • parameter-map type inspect global

                4.    alert on

                5.    per-box max-incomplete number

                6.    session total number

                7.    end

                8.    show policy-firewall stats global


              手順の詳細
                 コマンドまたはアクション目的
                ステップ 1 enable


                例:
                Device> enable
                 

                特権 EXEC モードをイネーブルにします。

                • パスワードを入力します(要求された場合)。
                 
                ステップ 2configure terminal


                例:
                Device# configure terminal
                 

                グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 3次のいずれかのコマンドを入力します。
                • parameter-map type inspect-global
                • parameter-map type inspect global


                例:
                Device(config)# parameter-map type inspect-global
                Device(config)# parameter-map type inspect global
                 

                しきい値とタイムアウトを関連付けるグローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドと parameter-map type inspect global コマンドがサポートされます。 これら両方のコマンドを一緒に設定することはできません。
                • parameter-map type inspect-global コマンドを設定する場合は、ステップ 5 と 6 をスキップしてください。
                (注)     

                parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

                 
                ステップ 4alert on


                例:
                Device(config-profile)# alert on
                 

                ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

                 
                ステップ 5per-box max-incomplete number


                例:
                Device(config-profile)# per-box max-incomplete 12345
                 

                ファイアウォール セッション テーブルのハーフ オープン接続の最大数を設定します。

                 
                ステップ 6session total number


                例:
                Device(config-profile)# session total 34500
                 

                ファイアウォール セッション テーブルの総セッション制限を設定します。

                 
                ステップ 7end


                例:
                Device(config-profile)# end
                 

                パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

                 
                ステップ 8show policy-firewall stats global


                例:
                Device# show policy-firewall stats global
                 

                グローバルなファイアウォール統計情報を表示します。

                 

                VRF 検査パラメータ マップのハーフ オープン セッション制限の設定

                手順の概要

                  1.    enable

                  2.    configure terminal

                  3.    parameter-map type inspect-vrf vrf-name

                  4.    alert on

                  5.    max-incomplete number

                  6.    session total number

                  7.    exit

                  8.    次のいずれかのコマンドを入力します。

                  • parameter-map type inspect-global
                  • parameter-map type inspect global

                  9.    alert on

                  10.    vrf vrf-name inspect vrf-pmap-name

                  11.    end

                  12.    show policy-firewall stats vrf vrf-pmap-name


                手順の詳細
                   コマンドまたはアクション目的
                  ステップ 1 enable


                  例:
                  Device> enable          
                   

                  特権 EXEC モードをイネーブルにします。

                  • パスワードを入力します(要求された場合)。
                   
                  ステップ 2configure terminal


                  例:
                  Device# configure terminal
                   

                  グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 3parameter-map type inspect-vrf vrf-name


                  例:
                  Device(config)# parameter-map type inspect-vrf vrf1-pmap
                   

                  VRF 検査パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                   
                  ステップ 4alert on


                  例:
                  Device(config-profile)# alert on
                   

                  ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

                   
                  ステップ 5max-incomplete number


                  例:
                  Device(config-profile)# max-incomplete 2000
                   

                  VRF 単位のハーフ オープン接続の最大数を設定します。

                   
                  ステップ 6session total number


                  例:
                  Device(config-profile)# session total 34500
                   

                  VRF の総セッション制限を設定します。

                   
                  ステップ 7exit


                  例:
                  Device(config-profile)# exit
                   

                  パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 8次のいずれかのコマンドを入力します。
                  • parameter-map type inspect-global
                  • parameter-map type inspect global


                  例:
                  Device(config)# parameter-map type inspect-global
                  Device(config)# parameter-map type inspect global
                   
                  しきい値とタイムアウトを関連付けるグローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。
                  • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドまたは parameter-map type inspect global コマンドを使用できます。 これら両方のコマンドを一緒に設定することはできません。
                  • parameter-map type inspect-global コマンドを設定する場合は、ステップ 10 をスキップしてください。
                  (注)     

                  parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

                   
                  ステップ 9alert on


                  例:
                  Device(config-profile)# alert on
                   

                  ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

                   
                  ステップ 10vrf vrf-name inspect vrf-pmap-name


                  例:
                  Device(config-profile)# vrf vrf1 inspect vrf1-pmap
                   

                  グローバル パラメータ マップに VRF をバインドします。

                   
                  ステップ 11end


                  例:
                  Device(config-profile)# end
                   

                  パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

                   
                  ステップ 12show policy-firewall stats vrf vrf-pmap-name


                  例:
                  Device# show policy-firewall stats vrf vrf1-pmap
                   

                  VRF レベル ポリシー ファイアウォールの統計情報を表示します。

                   

                  グローバル TCP SYN フラッド制限の設定

                  手順の概要

                    1.    enable

                    2.    configure terminal

                    3.    次のいずれかのコマンドを入力します。

                    • parameter-map type inspect-global
                    • parameter-map type inspect global

                    4.    alert on

                    5.    per-box tcp syn-flood limit number

                    6.    end

                    7.    show policy-firewall stats vrf global


                  手順の詳細
                     コマンドまたはアクション目的
                    ステップ 1 enable


                    例:
                    Device> enable
                     

                    特権 EXEC モードをイネーブルにします。

                    • パスワードを入力します(要求された場合)。
                     
                    ステップ 2 configure terminal


                    例:
                    Device# configure terminal
                     

                    グローバル コンフィギュレーション モードを開始します。

                     
                    ステップ 3次のいずれかのコマンドを入力します。
                    • parameter-map type inspect-global
                    • parameter-map type inspect global


                    例:
                    Device(config)# parameter-map type inspect-global
                    Device(config)# parameter-map type inspect global
                     

                    グローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                    • ご使用のリリースに基づいて、parameter-map type inspect-global コマンドまたは parameter-map type inspect global コマンドを設定できます。 これら両方のコマンドを一緒に設定することはできません。
                    • parameter-map type inspect-global コマンドを設定する場合は、ステップ 5 をスキップしてください。
                    (注)     

                    parameter-map type inspect-global コマンドを設定する場合は、per-box コンフィギュレーションはサポートされません。これは、デフォルトで、すべての per-box コンフィギュレーションがすべてのファイアウォール セッションに適用されるためです。

                     
                    ステップ 4 alert on


                    例:
                    Device(config-profile)# alert on
                     

                    ステートフル パケット インスペクションのアラート メッセージのコンソール表示をイネーブルにします。

                     
                    ステップ 5 per-box tcp syn-flood limit number


                    例:
                    Device(config-profile)# per-box tcp syn-flood limit 500
                     

                    新しい SYN パケットの SYN Cookie 処理をトリガーする TCP ハーフ オープン セッション数を制限します。

                     
                    ステップ 6 end


                    例:
                    Device(config-profile)# end
                     

                    パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

                     
                    ステップ 7 show policy-firewall stats vrf global


                    例:
                    Device# show policy-firewall stats vrf global 
                     

                    (任意)グローバル VRF ファイアウォール ポリシーのステータスを表示します。

                    • コマンド出力には、存在する TCP ハーフ オープン セッションの数も表示されます。
                     

                    次に、show policy-firewall stats vrf global コマンドの出力例を示します。

                    Device# show policy-firewall stats vrf global
                     
                    Global table statistics
                           total_session_cnt: 0
                           exceed_cnt:        0
                           tcp_half_open_cnt: 0
                           syn_exceed_cnt:    0

                    ファイアウォール リソース管理の設定


                    (注)  


                    グローバル パラメータ マップは、ルータ レベルではなく、グローバル ルーティング ドメインで有効になります。


                    手順の概要

                      1.    enable

                      2.    configure terminal

                      3.    parameter-map type inspect-vrf vrf-pmap-name

                      4.    session total number

                      5.    tcp syn-flood limit number

                      6.    exit

                      7.    parameter-map type inspect-global

                      8.    vrf vrf-name inspect parameter-map-name

                      9.    exit

                      10.    parameter-map type inspect-vrf vrf-default

                      11.    session total number

                      12.    tcp syn-flood limit number

                      13.    end


                    手順の詳細
                       コマンドまたはアクション目的
                      ステップ 1 enable


                      例:
                      Device> enable
                       

                      特権 EXEC モードをイネーブルにします。

                      • パスワードを入力します(要求された場合)。
                       
                      ステップ 2 configure terminal


                      例:
                      Device# configure terminal
                       

                      グローバル コンフィギュレーション モードを開始します。

                       
                      ステップ 3 parameter-map type inspect-vrf vrf-pmap-name


                      例:
                      Device(config)# parameter-map type inspect-vrf vrf1-pmap
                       

                      VRF 検査タイプ パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                       
                      ステップ 4 session total number


                      例:
                      Device(config-profile)# session total 1000
                       

                      セッションの総数を設定します。

                       
                      ステップ 5 tcp syn-flood limit number


                      例:
                      Device(config-profile)# tcp syn-flood limit 2000
                       

                      新しい SYN パケットの同期(SYN)Cookie 処理をトリガーする TCP ハーフ オープン セッション数を制限します。

                       
                      ステップ 6 exit


                      例:
                      Device(config-profile)# exit
                       

                      パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                       
                      ステップ 7 parameter-map type inspect-global


                      例:
                      Device(config)# parameter-map type inspect-global
                       

                      グローバル パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

                       
                      ステップ 8 vrf vrf-name inspect parameter-map-name


                      例:
                      Device(config-profile)# vrf vrf1 inspect vrf1-pmap
                       

                      パラメータ マップに VRF をバインドします。

                       
                      ステップ 9 exit


                      例:
                      Device(config-profile)# exit
                       

                      パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                       
                      ステップ 10 parameter-map type inspect-vrf vrf-default


                      例:
                      Device(config)# parameter-map type inspect-vrf vrf-default
                       

                      デフォルトの VRF 検査タイプ パラメータ マップを設定します。

                       
                      ステップ 11 session total number


                      例:
                      Device(config-profile)# session total 6000
                       

                      セッションの総数を設定します。

                      • session total コマンドを VRF 検査タイプ パラメータ マップおよびグローバル パラメータ マップに設定できます。 VRF 検査タイプ パラメータ マップに session total コマンドを設定した場合、セッションは VRF 検査タイプ パラメータ マップに関連付けられます。 session total コマンドがグローバル パラメータ マップに設定された場合、このコマンドはグローバル ルーティング ドメインに適用されます。
                       
                      ステップ 12 tcp syn-flood limit number


                      例:
                      Device(config-profile)# tcp syn-flood limit 7000
                       

                      新しい SYN パケットの SYN Cookie 処理をトリガーする TCP ハーフ オープン セッション数を制限します。

                       
                      ステップ 13 end


                      例:
                      Device(config-profile)# end
                       

                      パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

                       

                      分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポートの設定例

                      例:IPv6 ファイアウォールの設定

                      Device# configure terminal
                      Device(config)# vrf-definition VRF1
                      Device(config-vrf)# address-family ipv6
                      Device(config-vrf-af)# exit-address-family
                      Device(config-vrf)# exit
                      Device(config)# parameter-map type inspect ipv6-param-map
                      Device(config-profile)# sessions maximum 10000
                      Device(config-profile)# exit
                      Device(config)# ipv6 unicast-routing
                      Device(config)# ip port-map ftp port 8090 list ipv6-acl
                      Device(config)# ipv6 access-list ipv6-acl
                      Device(config-ipv6-acl)# permit ipv6 any any
                      Device(config-ipv6-acl)# exit
                      Device(config)# class-map type inspect match-all ipv6-class
                      Device(config-cmap)# match access-group name ipv6-acl
                      Device(config-cmap)# match protocol tcp
                      Device(config-cmap)# exit
                      Device(config)# policy-map type inspect ipv6-policy
                      Device(config-pmap)# class type inspect ipv6-class
                      Device(config-pmap-c)# inspect ipv6-param-map
                      Device(config-pmap-c)# end

                      例:ファイアウォール セッションのアグレッシブ エージングの設定

                      例:ボックス単位のアグレッシブ エージングの設定

                      Device# configure terminal
                      Device(config)# parameter-map type inspect global
                      Device(config-profile)# per-box max-incomplete 2000 aggressive-aging 1500 low 1200
                      Device(config-profile)# per-box aggressive-aging high 1700 low 1300
                      Device(config-profile)# exit
                      Device(config)# parameter-map type inspect pmap1
                      Device(config-profile)# tcp synwait-time 30 ageout-time 10
                      Device(config-profile)# end

                      例:デフォルト VRF のアグレッシブ エージングの設定

                      Device# configure terminal
                      Device(config)# parameter-map type inspect global
                      Device(config-profile)# max-incomplete 2000 aggressive-aging high 1500 low 1200
                      Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
                      Device(config-profile)# exit
                      Device(config)# parameter-map type inspect pmap1
                      Device(config-profile)# tcp synwait-time 30 ageout-time 10
                      Device(config-profile)# end
                      

                      例:VRF 単位のアグレッシブ エージングの設定

                      Device# configure terminal
                      Device(config)# ip vrf ddos-vrf1
                      Device(config-vrf)# rd 100:2
                      Device(config-vrf)# route-target export 100:2
                      Device(config-vrf)# route-target import 100:2
                      Device(config-vrf)# exit
                      Device(config)# parameter-map type inspect-vrf vrf1-pmap
                      Device(config-profile)# max-incomplete 3455 aggressive-aging high 2345 low 2255
                      Device(config-profile)# session total 1000 aggressive-aging high percent 80 low percent 60
                      Device(config-profile)# alert on
                      Device(config-profile)# exit
                      Device(config)# parameter-map type inspect global
                      Device(config-profile)# vrf vrf1 inspect vrf1-pmap
                      Device(config-profile)# exit
                      Device(config)# parameter-map type inspect pmap1
                      Device(config-profile)# tcp idle-time 3000 ageout-time 100
                      Device(config-profile)# tcp synwait-time 30 ageout-time 10
                      Device(config-profile)# exit
                      Device(config)# policy-map type inspect ddos-fw
                      Device(config-pmap)# class type inspect match-any ddos-class
                      Device(config-pmap-c)# inspect pmap1
                      Device(config-profile)# end
                      

                      例:ファイアウォール セッションのエージング アウトの設定

                      Device# configure terminal
                      Device(config-profile)# exit
                      Device(config)# parameter-map type inspect global
                      Device(config-profile)# vrf vrf1 inspect vrf1-pmap
                      Device(config-profile)# exit
                      Device(config)# parameter-map type inspect pmap1
                      Device(config-profile)# tcp idle-time 3000 ageout-time 100
                      Device(config-profile)# tcp synwait-time 30 ageout-time 10
                      Device(config-profile)# exit
                      Device(config)# policy-map type inspect ddos-fw
                      Device(config-profile)# class type inspect match-any ddos-class
                      Device(config-profile)# inspect pmap1
                      Device(config-profile)# end
                      

                      例:ファイアウォール イベント レート モニタリングの設定

                      Device> enable
                      Device# configure terminal
                      Device(config)# parameter-map type inspect zone zone-pmap1
                      Device(config-profile)# alert on
                      Device(config-profile)# threat-detection basic-threat
                      Device(config-profile)# threat-detection rate fw-drop average-time-frame 600 average-threshold 100 burst-threshold 100
                      Device(config-profile)# threat-detection rate inspect-drop average-time-frame 600 average-threshold 100 burst-threshold 100
                      Device(config-profile)# threat-detection rate syn-attack average-time-frame 600 average-threshold 100 burst-threshold 100
                      Device(config-profile)# exit
                      Device(config)# zone security public
                      Device(config-sec-zone)# protection zone-pmap1
                      Device(config-sec-zone)# exit
                      Device(config)# zone-pair security private2public source private destination public
                      Device(config-sec-zone-pair)# end
                            

                      例:ボックス単位のハーフ オープン セッション制限の設定

                      Device# configure terminal  
                      Device(config)# parameter-map type inspect global 
                      Device(config-profile)# alert on 
                      Device(config-profile)# per-box max-incomplete 12345   
                      Device(config-profile)# session total 34500  
                      Device(config-profile)# end

                      例:VRF 検査パラメータ マップのハーフ オープン セッション制限の設定

                      Device# configure terminal  
                      Device(config)# parameter-map type inspect vrf vrf1-pmap 
                      Device(config-profile)# alert on 
                      Device(config-profile)# max-incomplete 3500 
                      Device(config-profile)# session total 34500 
                      Device(config-profile)# exit
                      Device(config)# parameter-map type inspect global
                      Device(config-profile)# alert on
                      Device(config-profile)# vrf vrf1 inspect vrf1-pmap 
                      Device(config-profile)# end
                            

                      例:グローバル TCP SYN フラッド制限の設定

                      Device# configure terminal  
                      Device(config)# parameter-map type inspect global 
                      Device(config-profile)# alert on 
                      Device(config-profile)# per-box tcp syn-flood limit 500 
                      Device(config-profile)# end

                      例:ファイアウォール リソース管理の設定

                      Device# configure terminal
                      Device(config)# parameter-map type inspect-vrf vrf1-pmap
                      Device(config-profile)# session total 1000
                      Device(config-profile)# tcp syn-flood limit 2000
                      Device(config-profile)# exit
                      Device(config)# parameter-map type inspect-global
                      Device(config-profile)# vrf vrf1 inspect pmap1
                      Device(config-profile)# exit
                      Device(config)# parameter-map type inspect-vrf vrf-default
                      Device(config-profile)# session total 6000
                      Device(config-profile)# tcp syn-flood limit 7000
                      Device(config-profile)# end
                      

                      分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポートの追加情報

                      シスコのテクニカル サポート

                      説明

                      リンク

                      シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

                      http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

                      分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポートの機能情報

                      次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

                      プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

                      表 2 分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポートの機能情報

                      機能名

                      リリース

                      機能情報

                      分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポート

                      Cisco IOS XE Release 3.7S

                      IPv6 ゾーンベース ファイアウォールは、分散型サービス拒否攻撃への保護およびファイアウォール リソース管理機能をサポートします。

                      分散型サービス拒否攻撃に対する保護機能は、グローバル レベルで(すべてのファイアウォール セッションに対して)および VPN ルーティングおよび転送(VRF)レベルで、サービス拒否(DoS)攻撃から保護します。 分散型 DoS 攻撃を防ぐために、ファイアウォール セッションのアグレッシブ エージング、ファイアウォール セッションのイベント レート モニタリング、ハーフオープン接続制限、およびグローバル TCP SYN Cookie 保護を設定できます。

                      ファイアウォール リソース管理機能は、デバイス上に設定される VPN ルーティングおよび転送(VRF)インスタンスとグローバル ファイアウォール セッションの数を制限します。