300シリーズマネージドスイッチでの同期(SYN)フィルタリング設定

ダウンロード オプション

  • PDF     (431.9 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (405.3 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (164.4 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2018 年 12 月 13 日
Document ID:SMB1099

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

300シリーズマネージドスイッチでの同期(SYN)フィルタリング設定

目的

TCPは、信頼性の高い順序でパケットを配信するトランスポート層プロトコルであり、エラーの検出や、データが正しく完全に受信されるまで再送信をトリガーする失われたデータも可能です。クライアントは、データを送信する前に、サーバに同期(SYN)パケットを使用した接続を要求して、接続を開始します。次に、サーバはクライアントにSYNパケットと確認応答(ACK)パケットを送信し、クライアントはサーバ応答を確認するACKパケットを送信します。クライアントとサーバ間のこの3ウェイハンドシェイク接続の後、データを送信できます。

SYNフラッド攻撃は、このTCP 3ウェイハンドシェイクが中断されると発生します。悪意のあるクライアントはSYNパケットでサーバをフラッディングし、サーバはすべての悪意のあるクライアント要求に対してSYNおよびACKパケットで応答しますが、悪意のあるクライアントはACKパケットを返信しません。サーバは、単に到着しないACKパケットを待ち、正当なユーザのサーバのリソースを消費し、最終的にネットワークをダウンさせます。SYNフィルタリングは、これらの攻撃を防止します。この記事では、300シリーズマネージドスイッチでSYNフィルタリングを設定する方法について説明します。

該当するデバイス

・ SF/SG 300シリーズマネージドスイッチ

[Software Version]

・ v1.2.7.76

サービスレベル拒否防御の有効化

SYNフィルタリングを適用するには、最初に、スイッチが正しいDenial of Service(DoS;サービス拒否)レベルの防止であることを確認する必要があります。このセクションでは、300シリーズマネージドスイッチで適切な防御レベルを有効にする方法について説明します。

ステップ1:Web構成ユーティリティにログインし、[Security] > [Denial of Service Prevention] > [Security Suite Settings]を選択します。「セキュリティ・スイートの設定」ページが開きます。

ステップ2:[DoS Prevention(DoS防御)]フィールドには、3つのレベルの防御があります。[System-Level and Interface-Level Prevention]をクリックします。このレベルでは、SYNフィルタリングを設定できます。

ステップ3:[Apply]をクリックして設定を保存します。 

TCP SYNパケットのフィルタ

このセクションでは、300シリーズマネージドスイッチでSYNフィルタリングを設定する方法について説明します。

ステップ1:Web設定ユーティリティにログインし、[Security] > [Denial of Service Prevention] > [SYN Filtering]を選択します。[SYN Filtering]ページが開きます。

ステップ2:[Add]をクリックします。[Add SYN Filtering]ウィンドウが表示されます。

ステップ3:[Interface]フィールドで、使用可能なインターフェイスオプションの1つのオプションボタンをクリックします。

・ Port — Portドロップダウンリストから、SYNパケットをフィルタリングするポートを選択できます。

・ LAG:[Link Aggregation Group (LAG)]ドロップダウンリストから、SYNパケットをフィルタリングするLAGを選択できます。LAGは、複数のポートを1つの論理ポートにグループ化します。

ステップ4:[IPv4 Address(IPv4アドレス)]フィールドで、使用可能なオプションの1つのオプションボタンをクリックして、SYNパケットをフィルタリングするIPv4アドレス/アドレスを定義します。

・ User Defined — SYNパケットフィルタを定義するIPv4アドレスを入力できます。

・ All addresses:このオプションは、SYNパケットのすべてのIPv4アドレスをフィルタリングします。

ステップ5 [Network Mask]フィールドで、使用可能なオプションの1つのオプションボタンをクリックし、ステップ4で設定したIPアドレスのネットワークマスクを入力します。

・ Mask:このオプションでは、IPアドレスのサブネットマスクを入力できます。

・ Prefix Length:このオプションでは、サブネットマスクIPアドレスをプレフィクス形式で入力できます。

ステップ5:[TCPポート(TCP Port)]フィールドで、使用可能なオプションのいずれかをクリックして、フィルタリングするTCPポートを決定します。

・ Known Ports:このオプションでは、[Known Ports]ドロップダウンリストからポートを選択できます。たとえば、HTTPは80、TELNETは23です。

・ユーザー定義:このオプションでは、フィルタリングするTCPポート番号を入力できます。

・ All ports:すべてのTCPポートをフィルタリングします。

ステップ6:[Apply]をクリックして設定を保存します。SYNフィルタリングテーブルが変更されます。

ステップ7:(オプション)SYNフィルタを削除するには、SYNフィルタリングテーブルで、削除するSYNフィルタのチェックボックスをオンにします。次に、[削除]をクリックします

更新履歴

改定 発行日 コメント
1.0
13-Dec-2018
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ