Cisco Guard Web-Based Management 3.1(0) ユーザ ガイド
用語集
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

 


A
Analysis モジュール
このモジュールは、Guard が保護モードで運用されているときに有効になります。DDoS 攻撃の兆候がないときは、Guard は宛先変更したゾーン トラフィックをこのモジュールに通します。Analysis モジュールは、ゾーンのトラフィックを阻害せずにそのまま転送します。モジュールはフローを分析して、認識モジュールでサンプリングできるようにします。
ARP リダイレクト アタック
ローカル サブネットへの ARP プロトコルを利用した攻撃。

 


B
basic/default
選択するアクションが不明な場合に使用するユーザ フィルタ。basic/default がフローを検査し、どのアクションを実行するかを決定します。このユーザ フィルタは UDP トラフィックに使用されます。
basic/dns-proxy
TCP DNS アプリケーションの認証に使用されるユーザ フィルタ。
basic/redirect
http を介したアプリケーションの認証に使用されるユーザ フィルタ。
basic/reset
TCP (http を除く)を介したアプリケーションの認証に使用されるユーザ フィルタ。
basic モジュール
このモジュールは、Guard が保護モードで運用されているときに有効になります。このモジュールは、Guard の初期チャレンジ レスポンス ベースのスプーフィング防止メカニズムを利用します。攻撃が激化した場合、または疑わしいトラフィック フローの処理に Strong スプーフィング防止メカニズムが必要になる場合は、Guard がトラフィックを Strong 保護モジュールに転送します。
block-
unauthenticated
未認証トラフィックを処理するスプーフィング防止メカニズムにトラフィックを転送するポリシー アクション。
block-unauthenticated-basic
Basic スプーフィング防止メカニズムで認証されていない未認証トラフィック フローをドロップする動的フィルタ アクション。
block-unauthenticated-strong
Strong スプーフィング防止メカニズムで認証されていない未認証トラフィック フローをドロップする動的フィルタ アクション。
block-unauthenticated-dns
DNS スプーフィング防止メカニズムで認証されていない、DNS サーバ宛の未認証トラフィック フローをドロップする動的フィルタ アクション。

 


D
DDoS
「分散型サービス拒絶(DDoS)攻撃」を参照してください。
dns_tcp
DNS-TCP プロトコル トラフィックに関連する一連のポリシーを作成するポリシー テンプレート。
dns_udp
DNS-UDP プロトコル トラフィックに関連する一連のポリシーを作成するポリシー テンプレート。
DNS アタック
DNS サーバを飽和状態にする DNS 要求のフラッド。

 


F
404 File Not Found フラッド
無効なコンテンツまたはファイルを要求する、Web サーバを直接のターゲットとした有効な HTTP 要求のフラッド。セキュリティ ポリシーを確認し、エンド ユーザに対する効果を測定するために使用されます。
filter/drop
トラフィックをドロップ保護モジュールに転送してドロップするアクション(ポリシーまたは動的フィルタで設定)。
filter/strong
トラフィックを Strong 保護モジュール メカニズムに転送するアクション(ポリシーまたは動的フィルタで設定)。
FIN フラッド
無効な送信元からターゲット ノードに送信される接続リセットのフラッド。標的となるターゲットのネットワーク リソースを消費させます。FIN フラッドは、ファイアウォール ポリシーまたはルータ ポリシーが適切かどうかを確認するためにも使用されます。
Fraggle アタック
ブロードキャスト アドレスに返信先指定付きの UDP 要求を送信します。偽装された要求送信元アドレスが、攻撃のターゲットになります。返信先指定の付いたブロードキャスト要求を受信した側は、要求に応答し、ターゲット ネットワークをフラッドで飽和させます。この攻撃は Smurf アタックに似ていますが、ICMP ではなくブロードキャスト アドレス宛の UDP をトラフィック増幅に使用します。
fragments
断片化されたトラフィックに関連する一連のポリシーを作成するポリシー テンプレート。

 


G
Guard
ネットワーク要素を DDoS 攻撃から保護するために設計されたシステム。
Guard イベント ログ
Guard のアクティビティ、現在のイベント、実行したアクション、および保護手段を記録したログ ファイル。
Guard ユーザ コミュニティ(権限ドメイン)
Guard は、いくつかのユーザ グループ(Show、Dynamic、Configuration、および Administrator)に対してアクセス ドメインをイネーブルにします。これらのグループは、権限、つまり操作の実行可能範囲によって分類されています。最高かつ最大の権限を付与されているのは Administrator で、権限が最も小さいのは Show ユーザ レベルです。
GUI
グラフィカル ユーザ インターフェイスの略称。

 


H
http
ポート 80 (またはユーザ設定ポート)を経由する HTTP トラフィック(デフォルト)に関連する一連のポリシーを作成するポリシー テンプレート。
HTTP 接続フラッド
Web サーバの接続リソースをターゲットとした HTTP ハーフ要求のフラッド。また、ファイアウォール ポリシー(送信元に基づいて接続を制限するポリシー)が適切かどうかを確認するためにも使用されます。Web サーバまたは OS でネットワーク レベルの障害が発生し、クライアント側でも接続の失敗として現れ、ネットワークの耐障害性に影響を及ぼします。
https
(Hypertext Transfer Protocol over Secure Socket Layer、または HTTP over SSL)ユーザのページ要求、および Web サーバから返信されるページを暗号化および復号化するための、Netscape 社が開発したブラウザ組み込み Web プロトコル。HTTPS では、通常の HTTP アプリケーション レイヤの下で Secure Socket Layer (SSL)をサブレイヤとして使用します(下層の TCP/IP との対話には、HTTP ポート 80 ではなくポート 443 を使用します)。

 


I
ICMP リダイレクト アタック
ICMP リダイレクトによって、ターゲットとなったシステムでデータ過負荷が発生することがあります。
ICMP 到達不能アタック
攻撃者が、スプーフィングされたアドレスからホストに ICMP 到達不能パケットを送信します。この結果、ホストからスプーフィングされたアドレスへの正当な TCP 接続がすべて強制終了します。結果として、TCP セッションが再試行されてさらに多くの ICMP 到達不能パケットが送信されるため、DoS 状態が発生します。
ip_scan
IP スキャニング(送信元の IP が、ゾーン内の多数の宛先 IP にアクセスしようとしている状況)に関連する一連のポリシーを作成するポリシー テンプレート。「IP スキャニング」を参照してください。
IP フラグメンテーション アタック
Web サーバをターゲットとした、非常に細かく断片化された有効な HTTP 要求のフラッド。IDS に負荷をかけます。IDS システムの復旧能力とスケーラビリティを測定するために使用されます。
IP スキャニング
攻撃者がネットワークのホストに大量のクエリーを送信して、トラフィック送信先にできるホスト(IP アドレス)を見つけ出そうとする行為。IP スキャニングは、攻撃に対して脆弱なターゲットを見つけ出すためにインターネット上でしばしば使用されます。
IP トラフィックの宛先変更
1 つまたはそれ以上のゾーンのトラフィックの宛先を透過的に Guard へ変更し、正当でクリーンなトラフィックを Guard から元のデータ パスおよびゾーンに戻すプロセス。トラフィックの宛先変更は、ラーニング目的でも実行されます。
IRDP アタック
ICMP Router Discovery Protocol はスプーフィングされる可能性があり、Window マシンに偽りのルーティング エントリが入力されることがあります。IRDP では認証が発生しません。Microsoft Windows 95 または Microsoft Windows 98 を実行するシステムは、起動すると常に 3 つの ICMP ルータ送信要求パケットを 224.0.0.2 マルチキャスト アドレスに送信します。このマシンは、DHCP クライアントとして設定されていない場合、ホストに返信されるルータ アドバタイズメントをすべて無視します。ただし、DHCP クライアントとして設定されている場合は、Windows マシンは返信されるルータ アドバタイズメントをすべて受け入れ、処理します。

 


L
Land アタック
送信されたパケットの送信元 IP アドレスと宛先 IP アドレスが同一になっていて、応答のループが発生します。

 


N
notify
ポリシーのしきい値を超過した場合に、ユーザに通知するポリシー アクション。

 


O
open/close アタック
open/close アタックは、inetd を使用して外部サービスによってサービスされているいずれかのポートに対して、接続を頻繁にオープンおよびクローズするものです。許容される接続の数は、inetd の内部にハード コーディングされています。
other_protocols
TCP および UDP 以外のプロトコルに関連する一連のポリシーを作成するポリシー テンプレート。

 


P
ping フラッド
ICMP echo 要求のフラッド。ルータ、ファイアウォール、ロード バランサ、および Web サーバに負荷をかけます。エンドユーザに対する応答時間の増大や接続の失敗が発生し、耐障害性に影響を及ぼします。
Ping of Death
65536 バイトを超える大きな ICMP パケット。Ping of Death アタックによってシステムがダウンすることがあります。
port_scan
ポート スキャニング(送信元の IP が、ゾーン内の多数の宛先ポートにアクセスしようとしている状況)に関連する一連のポリシーを作成するポリシー テンプレート。「ポート スキャニング」を参照してください。
Protection-end Timer
このパラメータでは、使用中のフィルタがなく新しいフィルタも追加されていない場合に、Guard が保護を終了するまでのタイムアウト期限を決定します。

 


S
Secure Shell (SSH)による管理
ユーザは、Secure Shell (SSH)を利用してあらゆるネットワークから Guard にアクセスし、Guard を制御することができます。
Smurf フラッド
ブロードキャスト アドレスに送信される、返信先指定付きの ICMP (インターネット制御メッセージ プロトコル) ping 要求。偽装された要求送信元アドレスが、攻撃のターゲットになります。返信先指定の付いたブロードキャスト ping 要求を受信した側は、要求に応答し、ターゲット ネットワークをフラッドで飽和させます。
Strong モジュール
このモジュールは、Guard が保護モードで運用されているときに有効になります。DDoS 攻撃が激化して、現在のスプーフィング防止メカニズムでは不十分だと Guard が分析した場合、Detector は宛先変更されたゾーンのトラフィックを Strong 保護モジュールに送信するように指示します。このモジュールは、より強力なスプーフィング防止メカニズムを備えています。攻撃がさらに激化した場合、Guard は Drop 保護モジュールを利用します。
Strong
トラフィック フローに対して強力な認証が必要になった場合に使用されるユーザ フィルタ。すべての接続について認証が実行されます。Guard はプロキシとして動作するため、このフィルタは、IP アドレスに基づいてネットワークを運用している場合(アクセス リストを使用している場合など)は使用しないでください。
SYN フラッド
無効な送信元からターゲット ノードに送信される接続要求のフラッド。標的となるターゲットのネットワーク リソースを消費させます。また、ファイアウォール ポリシーまたはルータ ポリシーが適切かどうかを確認するためにも使用されます。

 


T
Targa アタック
無効な ICMP パケット、UDP パケット、および TCP パケットのフラッド。
tcp_connections
TCP 接続の特性に関連する一連のポリシーを作成するポリシー テンプレート。
TCP_NO_PROXY ポリシー テンプレート
TCP プロキシを使用しないゾーン用に設計されたテンプレート。このテンプレートは、インターネット リレー チャット(IRC)サーバ タイプ ゾーンなど、ゾーンが IP アドレスに基づいて運用されている場合に使用できます。
tcp_not_auth
Guard のスプーフィング防止メカニズムで認証されていない TCP 接続に関連する一連のポリシーを作成するポリシー テンプレート。
tcp_outgoing
このポリシー テンプレートは、ゾーンで開始された TCP 接続に関連する一連のポリシーを作成します。
tcp_ratio
このポリシー テンプレートは、さまざまなタイプの TCP パケットの比率(SYN パケットと FIN/RST パケットの比率など)に関連する一連のポリシーを作成します。
tcp_services
HTTP (ポート 80 やポート 8080 など)に関連しないポート上の TCP サービスに関連する一連のポリシーを作成するポリシー テンプレート。
tcp_services_ns
TCP サービスに関連する一連のポリシーを作成するポリシー テンプレート。デフォルトでは、ポリシーは IRC ポート(666X)、ssh、および telnet に関連するものになります。しきい値を超過すると、トラフィックがブロックされます。
TCP フラッド
TCP 通信では、TCP 接続ごとに一定のリソースが割り当てられます。悪意のあるホストが TCP 接続の確立と放棄を繰り返すと、サーバの大量のリソースを停滞させることができます。
TCP セグメンテーション
Web サーバまたはアプリケーション サーバをターゲットとした、非常に細かくセグメント化された TCP パケットのフラッド。この攻撃は、IDS とターゲット マシンの TCP スタックの両方に負荷をかけます。
Teardrop アタック
重複する IP フラグメントを送信します。
to-user-filters
トラフィックをユーザ フィルタに転送するアクション(ポリシーまたは動的フィルタで設定)。

 


U
UDP フラッド アタック
ルータ、ファイアウォール、ロード バランサ、および IDS システムをターゲットとした、多数の未加工 UDP (ユーザ データグラム プロトコル)パケットのフラッド。この攻撃は、ネットワークのリソースを停滞させます。
udp_services
UDP サービスに関連する一連のポリシーを作成するテンプレート。
UDP リフレクタ アタック
Web サーバ、DNS サーバ、およびルータは、SYN などの TCP パケットに応答して SYN 確認応答または RST を返し、クエリー要求に応答してクエリー応答を返し、特定の IP パケットに応答して ICMP Time Exceeded または ICMP Host Unreachable を返すため、すべてリフレクタです。スレーブ側の IP アドレスがスプーフィングされると、大量の DDoS 攻撃が実行されるおそれがあります。
URL アタック
URL アタックは、さまざまな手法で HTTP サーバを過負荷状態にしようとする攻撃です。たとえば、HTTP ボムを使用する、同じホーム ページや大規模な Web ページに持続的に要求を送信する、ページの表示更新要求を送信してプロキシ サーバをバイパスするなどの手口があります。これらの攻撃の多くは、ゾンビ攻撃ではなく人間が数百人規模で同時に実行するものです。

 


V
VPN アタック
特殊な細工を施した GRE パケットまたは IPIP パケットを使用して、VPN の宛先アドレスを攻撃します。

 


W
WBM
「Web Based Management」を参照してください。
Web Based Management
ブラウザを使用して Web 経由で Guard 保護およびゾーンを管理できるようにする(Guard の設定手順を除く)、HTTP を利用した Guard GUI インターフェイス。

 


アクセス コントロール リスト(ACL)
ACL は、ネットワークへのアクセスを制限するための基本的な手段として機能します。一連の許可条件と拒否条件を記述したリストで構成されます。このリストには、デバイス(通常はルータ)を通過できる接続を定義します。
宛先変更
Guard を使用してターゲット ホスト(ゾーン)を保護するには、ホストが送信先となっているトラフィックを Guard に宛先変更する必要があります。この手順には、ゾーンの IP アドレスごとのトラフィック転送方法の設定が含まれます。ゾーンの宛先変更の設定は、Guard のルーティング設定によって実施します。
宛先変更元ルータ
Guard で、ゾーンが送信先となっているトラフィックの元の宛先となっていたルータ。

 


インタラクティブ
ゾーンの保護モードの 1 つ。ユーザは、動的フィルタをインタラクティブ方式で有効にします。ポリシーの推奨する動的フィルタが推奨事項として表示され、ユーザは、実行するアクションをフィルタごとに指定します。

 


オンデマンド保護
この保護は、Guard がラーニング フェーズを完了していないときにゾーンが攻撃されると有効になります。この時点では、Guard は必要な保護ポリシーをゾーンのトラフィックに適用していません。

 


クライアント攻撃
正当な送信元からの攻撃。ハーフ接続を開いてサーバを過負荷状態にします。

 


コマンドライン インターフェイス(CLI)
ユーザが操作を実行するためのプロンプトライン インターフェイス。
コンパレータ
Guard の動的フィルタからの入力と Guard のユーザ フィルタからの入力を比較する Guard モジュール。比較が終了すると、コンパレータはより強力な保護手段を選択し、実行します。
コンビネーション攻撃
マルチプラットフォームの DoS 攻撃。BONK、JOLT、Land、Nestea、Netear、SynDrop、および Winnuke を統合して 1 つの攻撃に編成したものです。ルータ、ファイアウォール、Web サーバ、IDS システムなどのあらゆるネットワーク ノードをターゲットにします。

 


サービス拒絶(DoS)攻撃
コンピュータ通信プロトコルを利用して、コンピュータ ネットワーク通信を妨害する行為の一種。この攻撃の目的は、偽りのデータを使用してターゲットを過負荷にし、正当な接続試行を失敗させることです。DoS 攻撃では、ターゲット システムに侵入することを目的とした攻撃とは異なり、機密データが攻撃者の手に渡ることはありません。この種の攻撃では、高度な技術を持った攻撃者が重要なネットワーク ジャンクションを攻撃し、ネットワークとサーバをダウンさせることを狙います。攻撃が成功すると、資金およびリソースを大きく損失します。DoS 攻撃の例としては、SYN フラッド、トライブ フラッド ネットワーク(TFN)、および Ping of Death があります。
最大転送単位(MTU)
ネットワーク上で転送できる最大のフレーム サイズ。MTU よりも大きなメッセージは、小さなフレームに分割する必要があります。
サンプラ
保護手段を設定するために、すべてのトラフィックをサンプリングして Guard 認識モジュールに送信する Guard モジュール。

 


しきい値調整フェーズ
Guard がゾーンのトラフィックをさらに分析し、ポリシー構築フェーズで構築されたポリシーのしきい値を定義するフェーズです。このフェーズでは、ゾーンのサービスのトラフィック レートに合わせてポリシーが調整されます。

 


推奨事項
推奨事項は、ポリシーが作成したフィルタを有効にするかどうかについて、ユーザが決定できるようにするメカニズムです。推奨事項が作成されるのは、ゾーンがインタラクティブ モードに設定されている場合です。推奨事項は、動的フィルタを作成したポリシーに基づいて保留になっている、一連の動的フィルタの要約です。
スナップショット
ラーニング プロセスの結果の確認に使用される Guard メカニズム。
スプーフィング防止
IP スプーフィングと呼ばれる手法でネットワークに不正アクセスすることを防止するセキュリティ機能。「IP スプーフィング」を参照してください。
スプーフィングを利用した攻撃
コンピュータ システムに不正にアクセスするために、インターネットの送信データに偽りの送信元 IP アドレスを挿入する DDoS 攻撃手法。コンピュータ システムには、要求は信頼済みの送信元から送信されたように見えますが、応答パケットを当初の送信元にルーティングすることができません。IP スプーフィングが実行されると、不要なネットワーク輻輳やサービス拒絶状態が発生するおそれがあります。

 


ゾーン
Guard で保護の対象となるネットワーク要素。また、保護されているゾーンに関連するすべてのデータ(設定、ポリシー、フィルタなど)を含んだ Guard ファイル。
ゾーン帯域幅
Guard で、ゾーンへの転送が許可されるトラフィック帯域幅の量。ゾーン帯域幅は、バースト サイズおよびレート制限で設定します。
ゾンビ
分散型サービス拒絶攻撃(DDoS)において、意識しないままに参加者として機能しているデバイス。
ゾンビ攻撃
ゾンビ攻撃は、意識しないままに参加者として DDoS 攻撃を仕掛けるマシンを利用した攻撃の一種です。攻撃者はまず、最終的なターゲットではない、悪意のない多数のユーザにトロイの木馬を埋め込みます。このトロイの木馬に対して、ゾーンに「正当な」接続を実行するように指示します。

 


帯域幅飽和フラッド
Web サーバをターゲットとした、静的コンテンツを要求する単純な HTTP 要求によるフラッド。ルータ、ファイアウォール、IDS、およびロード バランサに負荷をかけます。これらのいずれかのノードで障害が発生すると、ネットワークの耐障害性に影響を及ぼします。

 


注入先ルータ
Guard で、ゾーンが送信先になっているクリーンなトラフィックの転送先となるルータ。

 


動的フィルタ
動的フィルタは、トラフィック フローを分析した結果として Guard が作成します。DDoS 攻撃をフィルタリングして排除するために使用されます。この一連のフィルタは、ゾーンのトラフィックおよび特定の DDoS 攻撃に合わせて継続的に調整されます。
トラフィックの宛先変更
Guard では、トラフィックのラーニングおよび悪意のあるトラフィックのフィルタリングのために、ゾーンのトラフィックを Detector の保護メカニズムに通す宛先変更技術を利用しています。保護メカニズムを通過したトラフィックは、ゾーンへ通じるパスに再び注入されます。
ドロップ モジュール
このモジュールは、Guard が保護モードで運用されているときに有効になります。使用されるのは、他の保護メカニズムがすべて効果がない場合、またはユーザ設定フィルタを利用して、宛先変更されたゾーン トラフィックをドロップ保護モジュールに転送する場合です。このモジュールは、フレックス フィルタ、ユーザ フィルタ、および動的フィルタが転送した悪意のあるゾーン トラフィックをドロップします。

 


認識モジュール
サンプリング ユニットからの入力を受信して、ゾーンのトラフィックを分析する Guard モジュール。Guard は推奨事項に基づいて保護手段を構築します。

 


ネットワーク タイム プロトコル(NTP)
Guard を時刻同期サーバと同期するためのプロトコル。

 


バースト/バースト サイズ
ゾーンへの転送が許容されるトラフィック ピーク値の上限(バースト サイズ レート)。バースト サイズの単位は、Kpps (キロパケット/秒)、pps (パケット/秒)、Kbps (キロビット/秒)、Mbps (メガビット/秒)、および bps (ビット/秒)です。
バイパス フィルタ
所定のトラフィック フローが Guard の保護メカニズムをバイパスすることを、ユーザが指定できるフィルタ。このフィルタを利用すると、Guard の保護ポリシーに合わせて Detector を適切に適用することができます。

 


フィルタ
フィルタは、宛先変更されたトラフィックを必要な保護モジュールに転送するためのメカニズムです。Guard を使用して優先フィルタを設定すると、さまざまなケース別にトラフィック転送メカニズムおよび DDoS 攻撃防止メカニズムをカスタマイズできます。
フラグメンテーション アタック
「IP フラグメンテーション アタック」を参照してください。
フレックス フィルタ
フレックス フィルタは、IP ヘッダーおよび TCP ヘッダーのフィールドに基づいたフィルタリングや、コンテンツのバイト数に基づいたフィルタリングなど、非常に柔軟なフィルタリング機能をユーザに提供するバークリー パケット フィルタです。複雑なブール式を使用することができます。フレックス フィルタは、指定したパケット フローをカウントするために使用されます。
分散型サービス拒絶(DDoS)攻撃
複数の送信元から開始される、サイトまたはサーバに対するサービス拒絶攻撃。この攻撃では、密かに制御を奪ったサーバを攻撃伝送用のエージェントとして機能させ、攻撃を実行することがあります。多くの場合、攻撃者はクライアント ソフトウェアを多数の悪意のないリモート コンピュータに配置し、それらのコンピュータを使用して攻撃を開始します。分散型サービス拒絶攻撃は、トラフィックの量が非常に多いために単純なサービス拒絶攻撃よりも脅威が大きく、防止することも困難になります。DDoS 攻撃の例としては、SYN フラッド、Smurf アタック、Targa アタックがあります。

 


ポート スキャニング
攻撃者がホストに大量のクエリーを送信して、トラフィック送信先にできるオープンなポートを見つけ出そうとする行為。ポート スキャニングは、攻撃に対して脆弱なターゲットを見つけ出すためにインターネット上でしばしば使用されます。
保護ポリシー
Guard のポリシーは、特定のトラフィック フローを計測して、しきい値を超過した場合にフローに対してアクションを実行するメカニズムです。ポリシーでは、たとえば、しきい値を超過した場合に動的フィルタを作成して、特定のトラフィックを Strong スプーフィング防止メカニズムに転送するように Guard に指示します。
ポリシー構築フェーズ
このフェーズでは、ゾーンのトラフィック特性に応じた保護ポリシーを Guard がポリシー テンプレート基づいて作成します。このフェーズでは、トラフィック フローは Guard をそのまま通過し、Detector はゾーンが使用しているサービスを検出します。
ポリシー テンプレート
ポリシー テンプレートは、処理規則を構成するポリシーと各テンプレートの出力をまとめたものです。ポリシー構築フェーズが完了すると、一連のポリシーになります。ポリシー テンプレートのユーザ設定パラメータは、Minimum Threshold と Maximum Services です。
ポリシーの運用パラメータ
ポリシーの運用に関連する一連のパラメータ。しきい値、ポリシーのしきい値、タイムアウト、およびアクションで構成されます。
保留中の動的フィルタ
保留中の動的フィルタは、ユーザがまだ対応(受け入れまたは無視)を決定していない動的フィルタです。保留中の動的フィルタが作成されるのは、ゾーンがインタラクティブ保護モードになっている場合のみです。一連の保留中動的フィルタは、推奨事項を構成します。「推奨事項」を参照してください。

 


ユーザ フィルタ
攻撃の疑いがある場合のトラフィック フロー処理規則を設定できる、ユーザ カスタマイズ フィルタ。ユーザは、優先的に使用するスプーフィング防止メカニズムを設定し、特定のトラフィック フローをドロップするように指定できます。

 


ループ UDP ポート アタック
この攻撃は 2 つの UDP サービスを使用します。chargen (ポート 19)および echo (ポート 17)をスプーフィングして、互いにデータを送信させます。

 


レート リミッタ
ゾーンのトラフィックのレートを制限する Guard モジュール。Guard のレート リミッタでは、バイパスされたトラフィックの帯域幅は考慮されません。