- ゾーンベース ポリシー ファイアウォール
- ゾーンベース ポリシー ファイアウォール IPv6 サポート
- VRF-Aware Cisco IOS XE ファイアウォール
- ゾーンベース ポリシー ファイアウォールのネストされたクラス マップ サポート
- ファイアウォール ステートフル シャーシ間冗長性の設定
- IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポート
- ゾーンベース ファイアウォールおよび NAT のシャーシ間非対称ルーティング サポート
- IPv6 ゾーンベース ファイアウォールのシャーシ間ハイ アベイラビリティ サポート
- ICMP のファイアウォール ステートフル インスペクション
- Skinny Client Control Protocol のファイアウォール サポート
- VRF-Aware Software インフラストラクチャの設定
- VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポート
- 分散型サービス拒否攻撃に対する保護
- ファイアウォール リソース管理の設定
- 分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポート
- ファイアウォール TCP SYN Cookie の設定
- GPRS トンネリング プロトコル サポートの設定
- GPRS トンネリング プロトコル サポート
- ファイアウォールの GGSN プーリング サポート
- Cisco Firewall-SIP の機能拡張 ALG
- ファイアウォールおよび NAT 対応の MSRPC ALG サポート
- ファイアウォールおよび NAT 対応の Sun RPC ALG サポート
- ファイアウォールおよび NAT 対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP
- IPv6 ファイアウォールの FTP66 ALG サポート
- NAT およびファイアウォールの SIP ALG の強化
- TCP リセット セグメント制御
- ファイアウォール高速ロギング
セキュリティ コンフィギュレーション ガイド:ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S(ASR 1000)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月28日
章のタイトル: ファイアウォール TCP SYN Cookie の設定
目次
- ファイアウォール TCP SYN Cookie の設定
- 機能情報の確認
- ファイアウォール TCP SYN Cookie の設定の制約事項
- ファイアウォール TCP SYN Cookie の設定について
- TCP SYN フラッド攻撃
- ファイアウォール TCP SYN Cookie の設定方法
- ファイアウォールによるホスト保護の設定
- ファイアウォール セッション テーブル保護の設定
- グローバル ルーティング ドメインのファイアウォール セッション テーブル保護の設定
- VRF ドメインのファイアウォール セッション テーブル保護の設定
- ファイアウォール TCP SYN Cookie の設定例
- ファイアウォールによるホスト保護の設定例
- ファイアウォール セッション テーブル保護の設定例
- ファイアウォール TCP SYN Cookie の追加情報
- ファイアウォール TCP SYN Cookie の設定の機能情報
ファイアウォール TCP SYN Cookie 機能は、TCP SYN フラッディング攻撃からファイアウォールを保護します。 TCP SYN フラッディング攻撃は、サービス拒否(DoS)攻撃の一種です。 通常、TCP 同期(SYN)パケットは、ファイアウォールの背後にある対象のエンド ホストまたはサブネット アドレスの範囲に送信されます。 これらの TCP SYN パケットによって、送信元 IP アドレスがスプーフィングされます。 スプーフィング攻撃は、個人またはプログラムが、データを改ざんして不正な優位性を獲得し、別のものになりすますことです。 TCP SYN フラッディングでは、ファイアウォールまたはエンド ホスト上のすべてのリソースを占有し、そのために正当なトラフィックに対する DoS が発生します。 ファイアウォールおよびファイアウォール背後のエンド ホストでの TCP SYN フラッディングを防ぐには、ファイアウォール TCP SYN Cookie 機能を設定する必要があります。
- 機能情報の確認
- ファイアウォール TCP SYN Cookie の設定の制約事項
- ファイアウォール TCP SYN Cookie の設定について
- ファイアウォール TCP SYN Cookie の設定方法
- ファイアウォール TCP SYN Cookie の設定例
- ファイアウォール TCP SYN Cookie の追加情報
- ファイアウォール TCP SYN Cookie の設定の機能情報
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の注意事項と機能情報については、Bug Search Tool およびご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。 Cisco.com のアカウントは必要ありません。
ファイアウォール TCP SYN Cookie の設定の制約事項
- デフォルト ゾーンは、ゾーン タイプ パラメータ マップをサポートしていないため、デフォルト ゾーンにファイアウォール TCP SYN Cookie 機能を設定できません。
- ファイアウォール TCP SYN Cookie 機能は、加入者単位のファイアウォールをサポートしません。
ファイアウォール TCP SYN Cookie の設定について
TCP SYN フラッド攻撃
ファイアウォール TCP SYN Cookie 機能は、DoS 攻撃タイプである TCP SYN フラッディング攻撃からファイアウォールを保護するソフトウェアを実装します。
SYN フラッド攻撃は、ハッカーが集中的な接続要求でサーバをフラッディングさせると発生します。 このようなメッセージには到達不可の返信アドレスが含まれているため、接続を確立することができません。 結果としての未解決オープン接続の量が最終的にサーバを過負荷にし、有効な要求に対するサービス拒否を招く可能性があるため、正規ユーザが Web サイトへの接続、電子メールへのアクセス、FTP サービスの使用などを実行できなくなります。
SYN フラッド攻撃は次の 2 つのタイプに分かれています。
- ホストのフラッディング:SYN フラッド パケットは、単一ホスト上のすべてのリソースを利用することを目的として、そのホストに送信されます。
- ファイアウォール セッション テーブルのフラッディング:SYN フラッド パケットが、ファイアウォール上のセッション テーブル リソースを使い果たすことでそのファイアウォールを通過する正当なトラフィックに対してリソースが拒否されることを目的として、ファイアウォール背後のアドレス範囲に送られます。
ファイアウォール TCP SYN Cookie 機能により、TCP 接続要求を代行受信して検証して、SYN フラッディング攻撃を防止することができます。 ファイアウォールは、クライアントからサーバに送信される TCP SYN パケットを代行受信します。 TCP SYN Cookie は、トリガーされると、設定された VPN ルーティングおよび転送(VRF)またはゾーンに向かうすべての SYN パケットで機能します。 TCP SYN Cookie は、宛先サーバの代わりにクライアントとの接続を確立し、クライアントの代わりにサーバとの別の接続を確立して、2 つの半接続をトランスペアレントにバインドします。 したがって、到達不能なホストからの接続試行がサーバに到達することはありません。 TCP SYN Cookie は、接続されている間、パケットを代行受信して転送します。
ファイアウォール TCP SYN Cookie 機能は、グローバル ルーティング ドメインおよび VRF ドメインにセッション テーブル SYN フラッド保護を提供します。 ファイアウォールはグローバル テーブルのセッションを保存するため、TCP ハーフ オープン セッション数に対する制限を設定できます。 TCP ハーフ オープン セッションは、確立状態に達していないセッションです。 VRF 認識ファイアウォールでは、各 VRF の TCP ハーフ オープン セッション数に対する制限を設定できます。 グローバル レベルと VRF レベルの両方で、設定されている制限に達すると、TCP SYN Cookie は、追加のセッションを作成する前に、ハーフ オープン セッションの送信元を確認します。
ファイアウォール TCP SYN Cookie の設定方法
ファイアウォールによるホスト保護の設定
TCP SYN パケットが、単一ホスト上のすべてのリソースを占有することを目的として、そのホストに送信されます。 ホストの保護は、送信元ゾーンに対してのみ設定できます。 宛先ゾーンに対する保護を設定しても、TCP SYN 攻撃から宛先ゾーンは保護されません。
ファイアウォールによるホスト保護を設定するには、次の作業を実行します。
 (注) |
show コマンドを任意の順序で指定できます。 |
1. enable
2. configure terminal
3. parameter-map type inspect-zone zone-pmap-name
4. tcp syn-flood rate per-destination maximum-rate
5. max-destination limit
6. exit
7. zone security zone-name
8. protection parameter-map-name
9. exit
10. show parameter-map type inspect-zone zone-pmap-name
11. show zone security
12. show policy-firewall stats zone zone-name
手順の詳細
ファイアウォール セッション テーブル保護の設定
ファイアウォール上のセッション テーブル リソースを使い果たすことでそのファイアウォールを通過する正当なトラフィックに対するサービスを拒否することを目的として、TCP SYN パケットがファイアウォール背後のアドレス範囲に送信されます。 グローバル ルーティング ドメインまたは VRF ドメインにファイアウォール セッション テーブル保護を設定できます。
グローバル ルーティング ドメインのファイアウォール セッション テーブル保護の設定
グローバル ルーティング ドメインにファイアウォール セッション テーブル保護を設定するには、次の作業を実行します。
(注) |
グローバル パラメータ マップは、ルータ レベルではなく、グローバル ルーティング ドメインで有効になります。 |
1. enable
2. configure terminal
3. parameter-map type inspect global
4. tcp syn-flood limit number
5. end
6. show policy-firewall stats vrf global
手順の詳細
VRF ドメインのファイアウォール セッション テーブル保護の設定
VRF ドメインにファイアウォール セッション テーブル保護を設定するには、次の作業を実行します。
(注) |
show コマンドを任意の順序で指定できます。 |
1. enable
2. configure terminal
3. parameter-map type inspect-vrf vrf-pmap-name
4. tcp syn-flood limit number
5. exit
6. parameter-map type inspect global
7. vrf vrf-name inspect parameter-map-name
8. end
9. show parameter-map type inspect-vrf
10. show policy-firewall stats vrf vrf-name
手順の詳細
ファイアウォール TCP SYN Cookie の設定例
ファイアウォールによるホスト保護の設定例
次に、ファイアウォールによるホスト保護を設定する例を示します。
Router(config)# parameter-map type inspect-zone zone-pmap
Router(config-profile)# tcp syn-flood rate per-destination 400
Router(config-profile)# max-destination 10000
Router(config-profile)# exit
Router(config)# zone security secure-zone
Router(config-sec-zone)# protection zone-pmap
ファイアウォール セッション テーブル保護の設定例
グローバル パラメータ マップ
次に、グローバル ルーティング ドメインにファイアウォール セッション テーブル保護を設定する例を示します。
Router# configure terminal
Router(config)# parameter-map type inspect global
Router(config-profile)# tcp syn-flood limit 500
Router(config-profile)# end
VRF 検査タイプ パラメータ マップ
次に、VRF ドメインにファイアウォール セッション テーブル保護を設定する例を示します。
Router# configure terminal
Router(config)# parameter-map type inspect-vrf vrf-pmap
Router(config-profile)# tcp syn-flood limit 200
Router(config-profile)# exit
Router(config)# parameter-map type inspect global
Router(config-profile)# vrf vrf1 inspect vrf-pmap
Router(config-profile)# end
ファイアウォール TCP SYN Cookie の追加情報
関連資料
| 関連項目 |
マニュアル タイトル |
|---|---|
| Cisco IOS コマンド |
|
| セキュリティ コマンド |
|
シスコのテクニカル サポート
| 説明 |
リンク |
|---|---|
| シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
ファイアウォール TCP SYN Cookie の設定の機能情報
次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。 Cisco.com のアカウントは必要ありません。
| 機能名 |
リリース |
機能情報 |
|---|---|---|
| ファイアウォール TCP SYN Cookie |
Cisco IOS XE Release 3.3S |
ファイアウォール TCP SYN Cookie 機能は、TCP SYN フラッディング攻撃からファイアウォールを保護します。 TCP SYN フラッディング攻撃は、DoS 攻撃の一種です。 通常、TCP SYN パケットは、ファイアウォールの背後にある対象のエンド ホストまたはサブネット アドレスの範囲に送信されます。 これらの TCP SYN パケットによって、送信元 IP アドレスがスプーフィングされます。 スプーフィング攻撃は、個人またはプログラムが、データを改ざんして不正な優位性を獲得し、別のものになりすますことです。 TCP SYN フラッディングでは、ファイアウォールまたはエンド ホスト上のすべてのリソースを占有することで正当なトラフィックに対する DoS が発生します。 ファイアウォールおよびファイアウォール背後のエンド ホストでの TCP SYN フラッディングを防ぐには、ファイアウォール TCP SYN Cookie 機能を設定する必要があります。 次のコマンドが導入または変更されました。parameter-map type inspect-vrf、parameter-map type inspect-zone、parameter-map type inspect global、show policy-firewall stats、tcp syn-flood rate per-destination、tcp syn-flood limit。 |