300シリーズマネージドスイッチでのサービス拒否(DoS)IPフラグメントフィルタリングの設定

目的

ネットワークトラフィックは、データグラムと呼ばれる複数のパケットを使用して送信されます。  各トランスポート方式（イーサネット、トークンリングなど）には、処理できるデータグラムの最大サイズがあります。  データグラムが伝送方式に対して大きすぎる場合は、小さなフラグメントに分割されます。  このプロセスはIPフラグメンテーションと呼ばれます。ほとんどのネットワークトラフィックはフラグメント化する必要はありません。実際、フラグメント化されたトラフィックは、サービス拒否(DoS)攻撃と同様に使用できます。  DoS攻撃は、誤ったトラフィックでネットワークをフラッディングし、ネットワークの速度を低下または停止させます。300シリーズマネージドスイッチはIPフラグメントをブロックできるため、DoS攻撃に対するネットワークの脆弱性が軽減されます。この記事では、300シリーズマネージドスイッチのIPフラグメントフィルタリングの設定方法について説明します。

注：IPフラグメントフィルタは、DoS防御が有効になっている場合にのみ使用できます。  詳細については、『300シリーズマネージドスイッチのセキュリティスイート設定』を参照してください。

該当するデバイス

・ SF/SG 300シリーズマネージドスイッチ

[Software Version]

•1.3.0.62

IPフラグメントフィルタの追加

ステップ1:Web設定ユーティリティにログインし、[Security] > [Denial Of Service Prevention] > [IP Fragments Filtering]を選択します。[IP Fragments Filtering]ページが開きます。

ステップ2:[Add]をクリックして、新しいIPフラグメントフィルタを追加します。[Add IP Fragments Filtering]ウィンドウが表示されます。

ステップ3:[Interface]フィールドで、目的のインターフェイスに対応するオプションボタンをクリックします。  これは、フィルタが割り当てられる物理的な場所です。

・ポート：スイッチの物理ポート。  [Port]ドロップダウンリストから特定のポートを選択します。

・ LAG：単一ポートとして機能するポートのグループ。  [LAG]ドロップダウンリストから特定のLAGを選択します。

ステップ4:[IP Address（IPアドレス）]フィールドで、フィルタリングするIPv4アドレスに対応するオプションボタンをクリックします。

・ User Defined – フィルタリングするIPアドレスを入力します。

・すべてのアドレス：すべてのIPv4アドレスがフィルタリングされます。

注：ステップ4で[All addresses]を選択した場合は、ステップ6に進みます。

ステップ5:[Network Mask]フィールドで、IPアドレスのサブネットマスクを定義するために使用する方法に対応するオプションボタンをクリックします。

・ Mask — [Network mask]フィールドにネットワークマスクを入力します。

・ Prefix Length — Prefix lengthフィールドにプレフィクス長（0 ～ 32の範囲の整数）を入力します。

ステップ6:[Apply]をクリックして変更を保存し、[Close]をクリックして[Add IP Fragments Filtering]ウィンドウを閉じます。