300シリーズマネージドスイッチでのインターネット制御メッセージプロトコル(ICMP)フィルタリングの設定

目的

Internet Control Message Protocol(ICMP)は、エラーの報告と通知、およびネットワーク検出に使用されるネットワーク層プロトコルです。ICMPを使用してネットワーク上で実行できる攻撃は多数あります。たとえば、ICMPフラッドサービス拒否(DoS)攻撃は、ICMPプロトコルの脆弱性と不正なネットワーク設定を悪用する攻撃です。ICMPフィルタリングは、ネットワークに対するこのような攻撃を防止するためのソリューションです。ICMPパケットをブロックするIPアドレスまたはポートをフィルタするようにスイッチを設定できます。この記事では、300シリーズマネージドスイッチでICMPフィルタリングを設定する方法について説明します。

該当するデバイス

・ SF/SG 300シリーズマネージドスイッチ

[Software Version]

•1.3.0.62

サービスレベル拒否防御の有効化

ICMPフィルタリングを適用するには、最初にスイッチが正しいDenial of Service（DoS；サービス拒否）レベルの防止にあることを確認する必要があります。このセクションでは、300シリーズマネージドスイッチで適切な防御レベルを有効にする方法について説明します。

ステップ1:Web構成ユーティリティにログインし、[Security] > [Denial of Service Prevention] > [Security Suite Settings]を選択します。「セキュリティ・スイートの設定」ページが開きます。

ステップ2:[DoS Prevention]フィールドには、3つのレベルの予防があります。[System-Level and Interface-Level Prevention]オプションボタンをクリックします。このレベルでは、ICMPフィルタリングを設定できます。

ステップ3:[Apply]をクリックして設定を保存します。

ICMPフィルタリングの設定

このセクションでは、300シリーズマネージドスイッチでICMPフィルタリングを設定する方法について説明します。

ステップ1:Web設定ユーティリティにログインし、[Security] > [Denial of Service Prevention] > [ICMP Filtering]を選択します。[ICMP Filtering]ページが開きます。

ステップ2:[Add]をクリックします。[Add ICMP Filtering]ウィンドウが表示されます。

ステップ3:[Interface] フィールドで、使用可能なインターフェイスオプションの1つのオプションボタンをクリックします。

・ポート：ICMPパケットのフィルタの発信元ポートを選択できます。

・ LAG:ICMPパケットのフィルタに使用するLAGを選択できます。LAGは、複数のポートを1つの論理ポートにグループ化します。

ステップ4:[IP Address] フィールドで、使用可能なオプションの1つのオプションボタンをクリックして、ICMPパケットをフィルタするIPアドレス/アドレスを定義します。

・ユーザ定義：ユーザ定義のICMPパケットソース。

・すべてのアドレス：IPアドレスのICMPパケットソースのすべての範囲。

ステップ5 [Network Mask] フィールドで、使用可能なオプションの1つのオプションボタンをクリックし、ステップ4で設定したIPアドレスのネットワークマスクを入力します。

・マスク：ドット形式のサブネットマスク(255.255.255.0など)。

・プレフィックス長：スラッシュ形式のサブネットマスク（例： \24）。

ステップ6:[Apply]をクリックして設定を保存します。

次の図は、設定後の変更を示しています。

ステップ7:（オプション）ICMPフィルタを削除するには、ICMPフィルタリングテーブルで削除するICMPフィルタのチェックボックスをオンにし、[削除]をクリックします。