接続の追跡時に VLAN ヘッダーを無視する（Ignore the VLAN header when tracking connections）

トラフィックの識別時に VLAN ヘッダーを無視するか、それとも考慮するかを指定します。次のようになります。

• このオプションを選択すると、VLAN ヘッダーが無視されます。この設定は、異なる方向に移動するトラフィックで同じ接続について異なる VLAN タグを検出する可能性がある展開済みデバイスに使用します。

• このオプションを無効にすると、VLAN ヘッダーが考慮されます。この設定は、異なる方向に移動するトラフィックで同じ接続について異なる VLAN タグを検出しない展開済みデバイスに使用します。

（注）	このオプションは、ASA FirePOWER ではサポートされていません。

アクティブ応答の最大数（Maximum Active Responses）

TCP 接続あたりのアクティブ応答の最大数を指定します。アクティブ応答が開始された接続でさらにトラフィックが発生し、前のアクティブ応答を送信してから [最小応答秒数（Minimum Response Seconds）] を超えるトラフィックが発生した場合、システムは指定された最大数に達するまで、別のアクティブ応答を送信します。0 を設定すると、resp または react ルールによってトリガーされる追加のアクティブ応答が無効になります。侵入廃棄ルールでのアクティブ応答およびアクティブ応答のキーワードを参照してください。

トリガーされた resp または react ルールは、このオプションの設定に関係なく、アクティブ応答を開始することに注意してください。

最小応答時間（秒）（Minimum Response Seconds）

[最大アクティブ応答数（Maximum Active Responses）] に達するまで、システムがアクティブ応答を開始した接続で発生した追加のトラフィックに対して次のアクティブ応答を送信するまで待機する時間を指定します。

トラブルシューティング オプション：セッション終了ロギングしきい値（Troubleshooting Options: Session Termination Logging Threshold）

注意	[セッション終了ロギングしきい値（Session Termination Logging Threshold）] は、サポート担当から指示されない限り変更しないでください。

トラブルシューティングの電話中に、個別の接続が指定したしきい値を超えた場合にメッセージを記録するようにシステムを設定することをサポートから依頼される場合があります。このオプションの設定を変更するとパフォーマンスに影響するので、必ずサポートのガイダンスに従って実行してください。

このオプションは、ログに記録されるメッセージのバイト数を指定します。セッションが終了し、メッセージが指定のバイト数を超えた場合は、ログに記録されます。

（注）	上限は 1 GB ですが、管理対象デバイスでストリーム処理のために割り当てられるメモリの量によっても制限されます。

次のオプションは、いずれも、パッシブ展開またはインライン展開で [有効（Enabled）] または [無効（Disabled）] に設定することができます。インライン展開では [ドロップ（Drop）] に設定することもできます。

• ICMP チェックサム（ICMP Checksums）

• IP チェックサム（IP Checksums）

• TCP チェックサム（TCP Checksums）

• UDP チェックサム（UDP Checksums）

違反パケットをドロップするには、オプションを [ドロップ（Drop）] に設定するだけでなく、関連付けられているネットワーク分析ポリシーの [インライン モード（Inline Mode）] を有効にし、確実にデバイスがインラインで展開されるようにする必要があります。

パッシブ展開またはタップ モードでのインライン展開で、これらのオプションを [ドロップ（Drop）] に設定することは、[有効（Enabled）] に設定するのと同じです。

すべてのチェックサム検証オプションは、デフォルトで、[有効（Enabled）] になっています。ただし、FTD ルーテッド トランスペアレント インターフェイスでは、IP チェックサム検証に失敗したパケットは常にドロップされます。FTD ルーテッドおよびトランスペアレント インターフェイスが、パケットを Snort プロセスに渡す前に、正しくないチェックサムを使用して UDP パケットを修正することに注意してください。

最小 TTL（Minimum TTL）

[TTL のリセット（Reset TTL）] がこのオプションに設定する値以上の値に設定されている場合、このオプションは以下を指定します。

• [IPv4 の正規化（Normalize IPv4）] が有効にされている場合は、[IPv4 存続可能時間（TTL）（IPv4 Time to Live (TTL)）] フィールドの最小許容値。TTL のパケット値がこの値を下回る場合、[TTL のリセット（Reset TTL）] に設定された値に正規化されます。

• [IPv6 の正規化（Normalize IPv6）] が有効にされている場合は、[IPv6 ホップ リミット（IPv6 Hop Limit）] フィールドの最小許容値。ホップ リミットの値がこの値を下回る場合、[TTL のリセット（Reset TTL）] に設定された値に正規化されます。

このフィールドが空白の場合、システムは値が 1 であると想定します。

（注）	FTD ルーテッドおよびトランスペアレント インターフェイスの場合、[最小 TTL（Minimum TTL）] および [TTL のリセット（Reset TTL）] オプションは無視されます。接続の最大 TTL は最初のパケットの TTL によって決定します。後続パケットの TTL は削減できますが、増やすことはできません。システムは、TTL をその接続の以前の最小 TTL にリセットします。これにより、TTL 回避攻撃を阻止します。

パケット復号化の [プロトコル ヘッダー異常の検出（Detect Protocol Header Anomalies）] オプションが有効になっている場合、デコーダ ルール カテゴリで次のルールを有効にして、このオプションに関する イベントを生成し、インライン展開では、違反パケットをドロップします。 を行うことができます。

• 指定の最小値を下回る TTL が設定された IPv4 パケットが検出された場合にトリガーするには、ルール 116:428 を有効にします。

• 指定の最小値を下回るホップ リミットが設定された IPv6 パケットが検出された場合にトリガーするには、ルール 116:270 を有効にします。

TTL のリセット（Reset TTL）

[最小 TTL（Minimum TTL）] の値以上の値を設定した場合、以下のフィールドが正規化されます。

• [IPv4 の正規化（Normalize IPv4）] が有効にされている場合は、[IPv4 TTL] フィールド

• [IPv6 の正規化（Normalize IPv6）] が有効にされている場合は、[IPv6 ホップ リミット（IPv6 Hop Limit）] フィールド

パケット値が [最小 TTL（Minimum TTL）] を下回る場合、システムはパケットの TTL またはホップ リミットの値をこのオプションに対して設定された値に変更して、パケットを正規化します。このフィールドを空白のままにするか、0 に設定するか、または [最小 TTL（Minimum TTL）] 未満の値に設定すると、このオプションは無効になります。

IPv4 の正規化（Normalize IPv4）

IPv4 トラフィックの正規化を有効にします。システムは、以下の場合にも必要に応じて TTL フィールドを正規化します。

• このオプションが有効になっていて、さらに、

• [TTL のリセット（Reset TTL）] に設定された値によって TTL の正規化が有効になっている。

このオプションを有効にすると、追加の IPv4 オプションを有効にすることもできます。

このオプションを有効にすると、システムは以下の基本の IPv4 正規化を実行します。

• 過剰なペイロードを持つパケットを、IP ヘッダーに指定されたデータグラム長まで切り捨てます。

• [差別化サービス（DS）（Differentiated Services (DS)）] フィールド（旧称 [タイプ オブ サービス（TOS）（Type of Service (TOS)）] フィールド）をクリアします。

• すべてのオプション オクテットを 1（[操作なし（No Operation）]）に設定します。

このオプションは、FTD ルーテッドおよびトランスペアレント インターフェイスでは無視されます。FTD デバイスは、各ルーテッドまたはトランスペアレント インターフェイスのルータ アラート、End of Options List（EOOL）、およびオペレーションなし（NOP）オプションを持つ RSVP パケットをドロップします。

フラグメント禁止ビットの正規化（Normalize Don't Fragment Bit）

[IPv4 フラグ（IPv4 Flags）] ヘッダー フィールドの単一ビットの [フラグメント禁止（Don't Fragment）] サブフィールドをクリアします。このオプションを有効にすると、ダウンストリームのルータがパケットをドロップする代わりに、必要に応じてパケットをフラグメント化できます。また、このオプションを有効にすることで、ドロップされるパケットを巧妙に作成してポリシーを回避する試みを防ぐこともできます。このオプションを選択するには、[IPv4 の正規化（Normalize IPv4）] を有効にする必要があります。

IPv4 の正規化（Normalize Reserved Bit）

[IPv4 フラグ（IPv4 Flags）] ヘッダー フィールドの単一ビットの [予約済み（Reserved）] サブフィールドをクリアします。通常は、このオプションを有効にします。このオプションを選択するには、[IPv4 の正規化（Normalize IPv4）] を有効にする必要があります。

TOS ビットの正規化（Normalize TOS Bit）

1 バイトの [差別化サービス（Differentiated Services）]（旧称 [タイプ オブ サービス（Type of Service）]）フィールドをクリアします。このオプションを選択するには、[IPv4 の正規化（Normalize IPv4）] を有効にする必要があります。

余剰ペイロードの正規化（Normalize Excess Payload）

過剰なペイロードを持つパケットを、IP ヘッダーに指定されたデータグラム長にレイヤ 2（たとえば、イーサネット）ヘッダーを合計した長さにまで切り捨てます。ただし、最小フレーム長より小さく切り捨てることはしません。このオプションを選択するには、[IPv4 の正規化（Normalize IPv4）] を有効にする必要があります。

このオプションは、FTD ルーテッドおよびトランスペアレント インターフェイスでは無視されます。過剰なペイロードを持つパケットは、常にこれらのインターフェイスでドロップされます。

IPv6 の正規化（Normalize IPv6）

[ホップバイホップ オプション（Hop-by-Hop Options）] および [宛先オプション（Destination Options）] 拡張ヘッダーに含まれるすべてのオプション タイプ フィールドを 00（スキップして処理を続行）に設定します。このオプションが有効にされていて、[Reset TTL] に設定された値が ホップ リミット正規化を有効にしている場合、システムは必要に応じてホップ リミット フィールドも正規化します。

ICMPv4 の正規化（Normalize ICMPv4）

ICMPv4 トラフィックのエコー（要求）およびエコー応答メッセージで 8 ビットのコード フィールドをクリアします。

ICMPv6 の正規化（Normalize ICMPv6）

ICMPv6 トラフィックのエコー（要求）およびエコー応答メッセージで 8 ビットのコード フィールドをクリアします。

予約済みビットの正規化またはクリア（Normalize/Clear Reserved Bits）

TCP ヘッダーの予約ビットをクリアします。

オプション パディング バイトの正規化またはクリア（Normalize/Clear Option Padding Bytes）

TCP オプションのパディング バイトをクリアします。

URG=0 の場合に緊急ポインタをクリア（Clear Urgent Pointer if URG=0）

緊急（URG）制御ビットが設定されていない場合、16 ビットの TCP ヘッダー [緊急ポインタ（Urgent Pointer）] フィールドをクリアします。

空のペイロードに設定された緊急ポインタまたは URG をクリア（Clear Urgent Pointer/URG on Empty Payload）

ペイロードがない場合、TCP ヘッダー [緊急ポインタ（Urgent Pointer）] フィールドおよび URG 制御ビットをクリアします。

緊急ポインタが設定されていない場合 URG をクリア（Clear URG if Urgent Pointer is Not Set）

緊急ポインタが設定されていない場合、TCP ヘッダー URG 制御ビットをクリアします。

緊急ポインタの正規化（Normalize Urgent Pointer）

ポインタがペイロード長を上回る場合、2 バイトの TCP ヘッダー [緊急ポインタ（Urgent Pointer）] フィールドをペイロード長に設定します。

TCP ペイロードの正規化（Normalize TCP Payload）

再送信されるデータの一貫性が確保されるように [TCP データ（TCP Data）] フィールドの正規化を有効にします。正しく再構成できないセグメントはすべてドロップされます。

SYN に関するデータを削除（Remove Data on SYN）

TCP オペレーティング システム ポリシーが Mac OS 以外の場合、同期（SYN）パケットのデータを削除します。

また、このオプションにより、TCP ストリーム プリプロセッサの [ポリシー（Policy）] オプションが [Mac OS] に設定されていない場合にトリガー可能なルール 129:2 もまた無効になります。

RST に関するデータを削除（Remove Data on RST）

TCP リセット（RST）パケットからデータを削除します。

データをウィンドウにトリミング（Trim Data to Window）

[TCP データ（TCP Data）] フィールドを [ウィンドウ（Window）] フィールドに指定されたサイズにまで切り捨てます。

データを MSS にトリミング（Trim Data to MSS）

ペイロードが MSS より長い場合、[TCP データ（TCP Data）] フィールドを最大セグメント サイズ（MSS）にまで切り捨てます。

解決不可能な TCP ヘッダーの異常をブロック（Block Unresolvable TCP Header Anomalies）

このオプションを有効にすると、システムは無効になり受信ホストによってブロックされる可能性が高い異常な TCP パケット（正規化されている場合）をブロックします。たとえば、システムは確立されたセッションの後に送信された SYN パケットをブロックします。

また、システムは、ルールが有効にされているかどうかに関係なく、以下に示す TCP ストリーム プリプロセッサ ルールのいずれかに一致するパケットもドロップします。

• 129:1

• 129:3

• 129:4

• 129:6

• 129:8

• 129:11

• 129:14 ～129:19

[ブロックされたパケットの合計（Total Blocked Packets）] パフォーマンス グラフには、インライン展開でブロックされたパケットの数が示され、パッシブ展開とタップ モードでのインライン展開の場合は、インライン展開でブロックされる予想数が示されます。

明示的な混雑通知（ECN）（Explicit Congestion Notification）

明示的輻輳通知（ECN）フラグのパケット単位またはストリーム単位の正規化を以下のように有効にします。

• [パケット（Packet）] を選択すると、ネゴシエーションに関係なく、パケット単位で ECN フラグがクリアされます。

• [ストリーム（Stream）] を選択すると、ECN の使用がネゴシエートされていない場合、ストリーム単位で ECN フラグがクリアされます。

[ストリーム（Stream）] を選択した場合、この正規化が実行されるようにするには、TCP ストリーム プリプロセッサの [TCP 3 ウェイ ハンドシェイク必須（Require TCP 3-Way Handshake）] オプションも有効にされている必要があります。

既存の TCP オプションをクリア（Clear Existing TCP Options）

[これらの TCP オプションを許可（Allow These TCP Options）] を有効にします。

これらの TCP オプションを許可（Allow These TCP Options）

トラフィックで許可する特定の TCP オプションの正規化を無効にします。

明示的に許可されたオプションは、正規化されません。オプションを [操作なし（No Operation）]（TCP オプション 1）に設定して明示的に許可していないオプションは、正規化されます。

[これらの TCP オプションを許可（Allow These TCP Options）] の設定に関係なく、次のオプションは最適な TCP パフォーマンスに一般的に使用されるため、システムは常にこれらのオプションを許可します。

• 最大セグメント サイズ（MSS）（Maximum Segment Size (MSS)）

• ウィンドウ スケール（Window Scale）

• タイム スタンプ TCP（Time Stamp TCP）

他のそれほど一般的に使用されないオプションについては、システムは自動的に許可しません。

特定のオプションを許可するには、オプション キーワード、オプション番号、またはこの両方のカンマ区切りリストを設定します。以下に、一例を示します。

	sack, echo, 19

オプション キーワードを指定するということは、そのキーワードと関連付けられた 1 つ以上の TCP オプションの番号を指定することと同じです。たとえば、sack を指定することは、TCP オプション 4（Selective Acknowledgment Permitted）および TCP オプション 5（Selective Acknowledgment）を指定することと同じです。オプション キーワードでは、大文字と小文字が区別されません。

また、any を指定すると、すべての TCP オプションが許可されるため、実質的にすべての TCP オプションの正規化が無効にされます。

次の表に、許可する TCP オプションを指定する方法を要約します。フィールドを空のままにすると、システムは MSS、ウィンドウ スケール、およびタイムスタンプのオプションのみを許可します。

このオプションに any を指定しない場合、正規化には次のものが含まれます。

• MSS、ウィンドウ スケール、タイムスタンプ、およびその他の明示的に許可されたオプションを除き、すべてのオプションのバイトを [操作なし（No Operation）]（TCP オプション 1）に設定します。

• タイムスタンプは存在していても無効な場合、あるいは有効であってもネゴシエートされない場合、タイムスタンプ オクテットを [操作なし（No Operation）] に設定します。

• タイムスタンプがネゴシエートされるものの、存在しない場合、パケットをブロックします。

• 確認応答（ACK）制御ビットが設定されていない場合、[タイム スタンプ エコー応答（TSecr）（Time Stamp Echo Reply (TSecr)）] オプション フィールドをクリアします。

• SYN 制御ビットが設定されていない場合、[MSS] および [ウィンドウ スケール（Window Scale）] オプションを [操作なし（No Operation）]（TCP オプション 1）に設定します。

IP 最適化を有効または無効にすることだけを選択することもできますが、シスコでは、それよりも細かいレベルで、有効にする IP 最適化プリプロセッサの動作を指定することを推奨しています。

以下の説明でプリプロセッサ ルールが言及されていない場合、オプションにはプリプロセッサ ルールが関連付けられていません。

次のグローバル オプションを構成できます。

事前に割り当てられたフラグメント（Preallocated Fragments）

プリプロセッサが一度に処理できる個々のフラグメントの最大数。事前割り当てするフラグメント ノードの数を指定すると、静的メモリ割り当てが有効になります。

注意	個々のフラグメントの処理には、約 1550 バイトのメモリが使用されます。プリプロセッサで個々のフラグメントを処理するために必要なメモリが、管理対象デバイスに事前定義された使用可能なメモリ量の制限を上回る場合は、管理対象デバイスのメモリ制限が優先されます。

IP 最適化ポリシーごとに、以下のオプションを設定できます。

ネットワーク

最適化ポリシーを適用するホスト（複数可）の IP アドレス。

単一の IP アドレスまたはアドレス ブロック、あるいはこれらのいずれかまたは両方をカンマで区切ったリストを指定できます。デフォルト ポリシーを含め、合計で最大 255 個のプロファイルを指定できます。

（注）	システムは、各リーフドメインに個別のネットワークマップを作成します。マルチドメイン展開では、実際の IP アドレスを使用してこの設定を抑制すると、予期しない結果になる可能性があります。 上書き対応オブジェクトを使用すると、子孫ドメインの管理者は、グローバル コンフィギュレーションを自分のローカル環境に調整できます。

デフォルト ポリシーの default 設定では、別のターゲットベース ポリシーでカバーされていないモニター対象ネットワーク セグメントのすべての IP アドレスが指定されることに注意してください。したがって、デフォルト ポリシーの IP アドレスまたは CIDR ブロック/プレフィックス長は指定できず、また指定する必要もありません。また、別のポリシーでこの設定を空白にしたり、any を表すアドレス表記（0.0.0.0/0 または ::/0）を使用したりすることはできません。

ポリシー

モニター対象ネットワーク セグメント上のホスト一式に使用する最適化ポリシー。

ターゲット ホストのオペレーティング システムに応じて、7 つの最適化ポリシーの 1 つを選択できます。以下の表に、7 つのポリシーと、それぞれのポリシーを使用するオペレーティング システムを記載します。First と Last というポリシー名は、これらのポリシーが元のオーバーラップ パケットまたは後続のオーバーラップ パケットのどちらを優先するかを反映しています。

このオプションは、FTD ルーテッドおよびトランスペアレント インターフェイスでは無視されます。

Timeout

プリプロセッサ エンジンがフラグメント化されたパケットを再構成する際に使用できる最大時間（秒数）を指定します。指定された時間内にパケットを再構成できない場合、プリプロセッサ エンジンはパケットの再構成試行を停止し、受信したフラグメントを破棄します。

最小 TTL（Min TTL）

パケットに許容される最小 TTL 値を指定します。このオプションは、TTL ベースの挿入攻撃を検出します。

このオプションに イベントを生成し、インライン展開では、違反パケットをドロップします。 するには、ルール 123:11 を有効にします。

異常検知（Detect Anomalies）

オーバーラップ フラグメントのようなフラグメンテーション問題を識別します。

このオプションは、FTD ルーテッドおよびトランスペアレント インターフェイスでは無視されます。

このオプションに イベントを生成し、インライン展開では、違反パケットをドロップします。 するには、次のルールを有効にすることができます：

• 123:1 ～ 123:4

• 123:5（BSD ポリシー）

• 123:6 ～ 123:8

オーバーラップ範囲（Overlap Limit）

セッション内で重複しているセグメントの設定された数が検出されると、そのセッションの最適化を停止することを指定します。

このオプションを設定するには、[異常検知（Detect Anomalies）] を有効にする必要があります。値が空白の場合、このオプションは無効になります。値 0 は、無制限の重複セグメント数を指定します。

このオプションは、FTD ルーテッドおよびトランスペアレント インターフェイスでは無視されます。重複フラグメントは、それらのインターフェイスでは常にドロップされます。

このオプションに関する イベントを生成し、インライン展開では、違反パケットをドロップします。 を行うには、ルール 123:12 を有効にできます。

最小フラグメント サイズ（Minimum Fragment Size）

設定されたバイト数より小さい最後でないフラグメントが検出された場合、そのパケットは悪意のあるものとみなされることを指定します。

このオプションを設定するには、[異常検知（Detect Anomalies）] を有効にする必要があります。値が空白の場合、このオプションは無効になります。値 0 は、無制限のバイト数を指定します。

このオプションに関する イベントを生成し、インライン展開では、違反パケットをドロップします。 を行うには、ルール 123:13 を有効にできます。

以下の説明でプリプロセッサ ルールが言及されていない場合、オプションにはプリプロセッサ ルールが関連付けられていません。

GTP データ チャネルのデコード（Decode GTP Data Channel）

カプセル化された GTP（General Packet Radio Service（GPRS）トンネリング プロトコル）データ チャネルをデコードします。デフォルトでは、デコーダはポート 3386 ではバージョン 0 のデータをデコードし、ポート 2152 ではバージョン 1 のデータをデコードします。GTP_PORTS デフォルト変数を使用して、カプセル化された GTP トラフィックを識別するポートを変更できます。

このオプションに イベントを生成し、インライン展開では、違反パケットをドロップします。 するには、ルール 116:297 および 116:298 を有効にします。

[標準外ポートで Teredo を検知（Detect Teredo on Non-Standard Ports）]

ポート 3544 以外の UDP ポートで識別される IPv6 トラフィックの Teredo トンネリングを検査します。

IPv6 トラフィックが存在する場合、システムは常にこのトラフィックを検査します。デフォルトでは、IPv6 インスペクションには 4in6、6in4、6to4、および 6in6 トンネリング方式が含まれます。また、UDP ヘッダーがポート 3544 を指定している場合は、Teredo トンネリングも含まれます。

IPv4 ネットワークでは、IPv4 ホストが Teredo プロトコルを使用して、IPv4 ネットワーク アドレス変換（NAT）デバイスを介して IPv6 トラフィックをトンネリングできます。Teredo は、IPv6 パケットを IPv4 UDP データグラムにカプセル化して、IPv4 NAT デバイスの背後で IPv6 接続を許可します。システムは通常、UDP ポート 3544 を使用して Teredo トラフィックを識別します。ただし、攻撃者が検出を免れるために標準以外のポートを使用する可能性も考えられます。[非標準ポートでの Teredo の検出（Detect Teredo on Non-Standard Ports）] を有効にすることで、システムに Teredo トンネリングのすべての UDP ペイロードを検査させることができます。

Teredo のデコードは、外側のネットワーク層に IPv4 が使用されている場合に限り、最初の UDP 見出しに対してのみ行われます。UDP データが IPv6 データにカプセル化されるため、Teredo IPv6 層の後に 2 つめの UDP 層が存在する場合、ルール エンジンは UDP 侵入ルールを使用して、内側および外側の両方の UDP 層を分析します。

policy-other ルール カテゴリの侵入ルール 12065、12066、12067、および 12068 は Teredo トラフィックを検出しますが、デコードは行わないので注意してください。（任意）これらのルールを使用してインライン展開で Teredo トラフィックをドロップすることができます。ただし、[非標準ポートでの Teredo の検出（Detect Teredo on Non-Standard Ports）] を有効にする場合は、これらのルールを無効化するか、トラフィックをドロップせずにイベントを生成するように設定する必要があります。

[余長値の検知（Detect Excessive Length Value）]

パケット ヘッダーが実際のパケット長を超えるパケット長を指定しているかどうかを検出します。

このオプションは、FTD ルーテッド、トランスペアレント、およびインライン インターフェイスでは無視されます。超過ヘッダー長を持つパケットは常にドロップされます。ただし、このオプションは FTD インライン タップおよびパッシブ インターフェイスに適用されます。

このオプションに関して イベントを生成し、インライン展開では、違反パケットをドロップします。 を行うには、ルール 116:6、116:47、116:97、および 116:275 を有効にできます。

[間違いな IP オプションを検知（Detect Invalid IP Options）]

無効な IP オプションを使用したエクスプロイトを識別するために、無効な IP ヘッダー オプションを検出します。たとえば、ファイアウォールに対するサービス妨害攻撃は、システムをフリーズさせる原因になります。ファイアウォールが無効なタイムスタンプおよび IP セキュリティ オプションを解析しようとして、ゼロ長のチェックに失敗すると、回復不可能な無限ループが発生します。ルール エンジンはゼロ長のオプションを識別し、ファイアウォールでの攻撃を軽減するために使用できる情報を提供します。

FTD デバイスは、各ルーテッドまたはトランスペアレント インターフェイスのルータ アラート、End of Options List（EOOL）、およびオペレーションなし（NOP）オプションを持つ RSVP パケットをドロップします。インライン、インライン タップ、またはパッシブ インターフェイスについては、IP オプションは上記のように処理されます。

このオプションに関して イベントを生成し、インライン展開では、違反パケットをドロップします。 を行うには、ルール 116:4 および 116:5 を有効にします。

[実験的 TCP オプションを検知（Detect Experimental TCP Options）]

試験的な TCP オプションが設定された TCP ヘッダーを検出します。以下の表は、それらのオプションを示しています。

これらのオプションは試験的なものであるため、一部のシステムでは考慮されず、悪用される恐れがあります。

（注）	上記の表に記載されている試験的オプションに加えて、26 より大きいオプション番号を持つ TCP オプションは、試験的オプションと見なされます。

このオプションに イベントを生成し、インライン展開では、違反パケットをドロップします。 するには、ルール 116:58 を有効にします。

廃止された TCP オプションを検知

廃止された TCP オプションが設定された TCP ヘッダーを検出します。これらのオプションは廃止されたものであるため、一部のシステムでは考慮されず、悪用される恐れがあります。以下の表は、それらのオプションを示しています。

このオプションに イベントを生成し、インライン展開では、違反パケットをドロップします。 するには、ルール 116:57 を有効にします。

[T または TCP を検知（Detect T/TCP）]

CC.ECHO オプションが設定された TCP ヘッダーを検出します。CC.ECHO オプションは、TCP for Transactions（T/TCP）が使用されていることを確認します。T/TCP ヘッダー オプションは幅広く使用されていないため、一部のシステムでは考慮されず、悪用される恐れがあります。

このオプションに イベントを生成し、インライン展開では、違反パケットをドロップします。 するには、ルール 116:56 を有効にします。

[その他の TCP オプションを検知（Detect Other TCP Options）]

他の TCP デコード イベント オプションでは検出されない無効な TCP オプションが設定された TCP ヘッダーを検出します。たとえば、このオプションは、無効な長さ、またはオプション データが TCP ヘッダーに収まらない長さの TCP オプションを検出します。

このオプションは、FTD ルーテッドおよびトランスペアレント インターフェイスでは無視されます。無効な TCP オプションを持つパケットは常にドロップされます。

このオプションに関して イベントを生成し、インライン展開では、違反パケットをドロップします。 を行うには、ルール 116:54、116:55、および 116:59 を有効にできます。

[プロトコルヘッダの異常を検知（Detect Protocol Header Anomalies）]

より具体的な IP および TCP デコーダ オプションでは検出されない他のデコード エラーを検出します。たとえば、このデコーダは、不正な形式のデータ リンク プロトコル ヘッダーを検出する場合があります。

このオプションは、FTD ルーテッド、トランスペアレント、およびインライン インターフェイスでは無視されます。ヘッダー異常があるパケットは常にドロップされます。ただし、このオプションは Threat Defense インライン タップおよびパッシブ インターフェイスに適用されます。

このオプションに関する イベントを生成し、インライン展開では、違反パケットをドロップします。 を行うには、次のルールを有効にすることができます。

その他のパケット デコーダ オプションに関連付けられていないパケット デコーダ ルールを有効にすることもできます。

以下の説明でプリプロセッサ ルールが言及されていない場合、オプションにはプリプロセッサ ルールが関連付けられていません。

次のグローバル TCP オプションを構成できます。

パケット タイプ パフォーマンスの向上（Packet Type Performance Boost）

送信元ポートおよび宛先ポートの両方を any に設定した TCP ルールで、flow または flowbits オプションが使用されている場合を除き、有効化された侵入ルールに指定されていないポートおよびアプリケーション プロトコルのすべてについて、TCP トラフィックを無視するように設定します。このオプションはパフォーマンスを向上させますが、攻撃を見逃す可能性があります。

TCP ポリシーごとに、以下のオプションを設定できます。

ネットワーク（Network）

TCP ストリーム再アセンブリ ポリシーを適用するホストの IP アドレスを指定します。

単一の IP アドレスまたはアドレス ブロックを指定できます。デフォルト ポリシーを含め、合計で最大 255 個のプロファイルを指定できます。

（注）	システムは、各リーフドメインに個別のネットワークマップを作成します。マルチドメイン展開では、実際の IP アドレスを使用してこの設定を抑制すると、予期しない結果になる可能性があります。 上書き対応オブジェクトを使用すると、子孫ドメインの管理者は、グローバル コンフィギュレーションを自分のローカル環境に調整できます。

デフォルト ポリシーの default 設定では、別のターゲットベース ポリシーでカバーされていないモニター対象ネットワーク セグメントのすべての IP アドレスが指定されることに注意してください。したがって、デフォルト ポリシーの IP アドレスまたは CIDR ブロック/プレフィックス長は指定できず、また指定する必要もありません。また、別のポリシーでこの設定を空白にしたり、any を表すアドレス表記（0.0.0.0/0 または ::/0）を使用したりすることはできません。

ポリシー

TCP ポリシーを適用するターゲット ホスト（複数可）のオペレーティング システムを識別します。[Mac OS] 以外のポリシーを選択すると、システムは同期（SYN）パケットからデータを削除し、ルール 129:2 に対するイベントの生成を無効にします。インライン正規化プリプロセッサの [SYN に関するデータを削除（Remove Data on SYN）] オプションを有効にすると、ルール 129:2 も無効になることに注意してください。

以下の表に、オペレーティング システム ポリシーとそれを使用するホスト オペレーティング システムをリストします。

ヒント	First オペレーティング システム ポリシーは、ホストのオペレーティング システムが不明な場合にはある程度の保護対策になります。ただし、攻撃を見逃す可能性もあります。オペレーティング システムが既知であれば、ポリシーを編集して、その正しいオペレーティング システムを指定してください。

Timeout

侵入ルール エンジンが非アクティブなストリームを状態テーブルで保持する秒数（1 ～ 86400 秒）。指定された期間内にストリームが再アセンブルされない場合、侵入ルール エンジンはそのストリームを状態テーブルから削除します。

（注）	ネットワーク トラフィックがデバイスの帯域幅制限に到達しやすいセグメントに、管理対象デバイスが展開されている場合は、処理のオーバーヘッド量を削減するために、この値を大きい値（たとえば、600 秒）に設定することを検討してください。

FTD デバイスはこのオプションを無視します。その代りに高度なおアクセス制御の Threat Defense サービス ポリシーの設定を使用します。詳細については、サービス ポリシー ルールの設定を参照してください。

最大 TCP ウィンドウ（Maximum TCP Window）

受信側ホストで指定されている TCP ウィンドウの最大許容サイズを 1 ～ 1073725440 バイトの範囲で指定します。値を 0 に設定すると、TCP ウィンドウ サイズのチェックが無効になります。

注意	上限は RFC で許可される最大ウィンドウ サイズです。これは、攻撃者が検出を回避できないようにすることを目的としていますが、あまりにも大きな最大ウィンドウ サイズを設定すると、システム自体がサービス妨害を招く可能性があります。

[ステートフル インスペクションの異常（Stateful Inspection Anomalies）] が有効になっている場合は、ルール 129:6 を有効にして、このオプションに対し イベントを生成し、インライン展開では、違反パケットをドロップします。 することができます。

オーバーラップ範囲（Overlap Limit）

セッションで許容するオーバーラップ セグメントの数を 0（無制限）～ 255 の範囲で指定します。セッションで、この指定された値に達すると、セグメントの再構成が停止します。[ステートフル インスペクションの異常（Stateful Inspection Anomalies）] が有効にされていて、それに付随するプリプロセッサ ルールが有効にされている場合、イベントも生成されます。

このオプションに イベントを生成し、インライン展開では、違反パケットをドロップします。 するには、ルール 129:7 を有効にします。

ファクタをフラッシュ（Flush Factor）

インライン展開では、ここで設定するサイズ減少なしのセグメントの数（1 ～ 2048）の後にサイズが減少したセグメントが検出されると、システムは検出用に累積されたセグメント データをフラッシュします。値を 0 に設定すると、要求または応答の終わりを示す可能性のあるこのセグメント パターンの検出が無効になります。このオプションを有効にするには、インライン正規化の [TCP ペイロードの正規化（Normalize TCP Payload）] オプションを有効にする必要があることに注意してください。

ステートフル インスペクションの異常（Stateful Inspection Anomalies）

TCP スタックの異常な動作を検出します。付随するプリプロセッサ ルールが有効にされている場合、TCP/IP スタックが不完全に作成されていると、多数のイベントが生成される可能性があります。

このオプションは、FTD ルーテッドおよびトランスペアレント インターフェイスでは無視されます。

このオプションに イベントを生成し、インライン展開では、違反パケットをドロップします。 するには、次のルールを有効にすることができます：

• 129:1 ～ 129:5

• 129:6（Mac OS のみ）

• 129:8 ～ 129:11

• 129:13 ～ 129:19

次の点に注意してください。

• ルール 129:6 でトリガーするには、さらに [最大 TCP ウィンドウ（Maximum TCP Window）] に 0 より大きい値を設定する必要があります。

• ルール 129:9 および 129:10 でトリガーするには、さらに [TCP セッションのハイジャック（TCP Session Hijacking）] を有効にする必要があります。

TCP セッションのハイジャック（TCP Session Hijacking）

3 ウェイ ハンドシェイク中に TCP 接続の両端から検出されたハードウェア（MAC）アドレスの有効性を、セッションで受信した後続のパケットに照合して検査することにより、TCP セッション ハイジャックを検出します。[ステートフル インスペクションの異常（Stateful Inspection Anomalies）] が有効にされていて、2 つの対応するプリプロセッサ ルールのいずれかが有効にされている場合、接続のどちらかの側の MAC アドレスが一致しないと、システムがイベントを生成します。

このオプションは、FTD ルーテッドおよびトランスペアレント インターフェイスでは無視されます。

このオプションに対し イベントを生成し、インライン展開では、違反パケットをドロップします。 するには、ルール 129:9 および 129:10 を有効にします。これらのルールのいずれかを使用してイベントを生成するには、[ステートフル インスペクションの異常（Stateful Inspection Anomalies）] を有効にする必要があります。

連続した小型セグメント（Consecutive Small Segments）

[ステートフル インスペクションの異常（Stateful Inspection Anomalies）] が有効にされている場合、連続する小さな TCP セグメントの許容数を 1 ～ 2048 の範囲で指定します。値を 0 に設定すると、連続する小さな TCP セグメントのチェックが無効になります。

このオプションは、[小さなセグメント サイズ（Small Segment Size）] オプションと同時に設定し、両方とも無効にするか、両方にゼロ以外の値を設定する必要があります。通常は、それぞれのセグメントの長さが 1 バイトであったとしても、ACK が介在することなく 2000 個もの連続するセグメントを受信することはないので注意してください。

このオプションは、FTD ルーテッドおよびトランスペアレント インターフェイスでは無視されます。

このオプションに イベントを生成し、インライン展開では、違反パケットをドロップします。 するには、ルール 129:12 を有効にします。

小型セグメントのサイズ（Small Segment Size）

[ステートフル インスペクションの異常（Stateful Inspection Anomalies）] が有効にされている場合、小さいと見なされる TCP セグメントのサイズを 1 ～ 2048 バイトの範囲で指定します。値を 0 に設定すると、小さいセグメントのサイズの指定が無効になります。

このオプションは、FTD ルーテッドおよびトランスペアレント インターフェイスでは無視されます。

このオプションは、[連続する小さなセグメント（Consecutive Small Segments）] オプションと同時に設定し、両方とも無効にするか、両方にゼロ以外の値を設定する必要があります。2048 バイトの TCP セグメントは、標準的な 1500 バイトのイーサネット フレームより大きいことに注意してください。

小型セグメントを無視したポート（Ports Ignoring Small Segments）

[ステートフル インスペクションの異常（Stateful Inspection Anomalies）]、[連続する小さなセグメント（Consecutive Small Segments）]、および [小さなセグメント サイズ（Small Segment Size）] が有効になっている場合は、小さい TCP セグメントの検出を無視する 1 つ以上のポートのカンマ区切りリストを指定します。このオプションを空白のままにすると、ポートはすべて無視されないように指定されます。

このオプションは、FTD ルーテッドおよびトランスペアレント インターフェイスでは無視されます。

リストには任意のポートを追加できますが、このリストが適用されるのは、TCP ポリシーの [ストリーム再構成を実行（Perform Stream Reassembly on）] ポート リストに指定されているポートのみです。

TCP 3 ウェイ ハンドシェイク必須（Require TCP 3-Way Handshake）

TCP スリーウェイ ハンドシェイクの完了時に確立されたセッションだけを処理することを指定します。パフォーマンスを向上させ、SYN フラッド攻撃から保護し、部分的に非同期の環境での運用を可能にするには、このオプションを無効にします。確立された TCP セッションには含まれていない情報を送信して誤検出を発生させようとする攻撃を回避するには、このオプションを有効にします。

このオプションに イベントを生成し、インライン展開では、違反パケットをドロップします。 するには、ルール 129:20 を有効にします。

3 ウェイ ハンドシェイク タイムアウト（3-Way Handshake Timeout）

[TCP 3 ウェイ ハンドシェイク必須（Require TCP 3-Way Handshake）] が有効にされている場合、ハンドシェイクを完了するまでの時間制限を 0（無制限）～ 86400 秒（24 時間）の範囲で指定します。このオプションの値を変更するには、[TCP 3 ウェイ ハンドシェイク必須（Require TCP 3-Way Handshake）] を有効にする必要があります。

Firepower ソフトウェア デバイスと FTD インライン、インラインタップ、およびパッシブ インターフェイスの場合、デフォルトは 0 です。FTD のルーティッド インターフェイスおよびトランスペアレント インターフェイスの場合、タイムアウトは常に 30 秒であり、ここで設定した値は無視されます。

パケット サイズ パフォーマンスの向上（Packet Size Performance Boost）

再アセンブリ バッファで大きいパケットをキューに入れないようにプリプロセッサを設定します。このオプションはパフォーマンスを向上させますが、攻撃を見逃す可能性があります。1 ～ 20 バイトの小さなパケットを使用した検出回避の試行から保護するには、このオプションを無効にします。すべてのトラフィックが非常に大きなパケットからなるため、そのような攻撃は起こらないと確信できる場合は、このオプションを有効にします。

レガシー再構成（Legacy Reassembly）

パケットを再構成する際に、廃止されたストリーム 4 プリプロセッサをエミュレートするようにストリーム プリプロセッサを設定します。これにより、ストリーム プリプロセッサで再構成されたイベントを、ストリーム 4 プリプロセッサで再構成された、同じデータ ストリームに基づくイベントと比較できます。

非同期ネットワーク（Asynchronous Network）

モニター対象ネットワークが非同期ネットワーク（システムにトラフィックの半分だけが見えるネットワーク）であるかどうかを指定します。このオプションを有効にすると、システムは TCP ストリームを再構成しないため、パフォーマンスが向上します。

このオプションは、FTD ルーテッドおよびトランスペアレント インターフェイスでは無視されます。

クライアント ポートでのストリーム再構成の実行（Perform Stream Reassembly on Client Ports）

接続のクライアント側のポートに基づくストリームの再アセンブリを有効にします。つまり、Web サーバー、メール サーバー、または一般に $HOME_NET で指定された IP アドレスによって定義されたその他の IP アドレスを宛先とするストリームが再構成されます。不正なトラフィックがクライアントから発生する可能性がある場合は、このオプションを使用します。

このオプションは、FTD ルーテッドおよびトランスペアレント インターフェイスでは無視されます。

クライアント サービスでのストリーム再構成の実行（Perform Stream Reassembly on Client Services）

接続のクライアント側のサービスに基づくストリームの再アセンブリを有効にします。不正なトラフィックがクライアントから発生する可能性がある場合は、このオプションを使用します。

選択するクライアント サービスごとに、1 つ以上のクライアント ディテクタを有効にする必要があります。デフォルトでは、Cisco が提供するすべてのディテクタはアクティブになっています。関連するクライアント アプリケーションに有効にされているディレクタがない場合、システムは自動的に Cisco 提供のすべてのディテクタをアプリケーションに対して有効にします。そのようなディテクタが提供されていない場合は、最後に変更されたユーザ定義のディテクタをアプリケーションに対して有効にします。

この機能には、保護ライセンスと制御ライセンスが必要です。

このオプションは、FTD ルーテッドおよびトランスペアレント インターフェイスでは無視されます。

サーバ ポートでのストリーム再構成の実行（Perform Stream Reassembly on Server Ports）

接続のサーバー側のポートに基づくストリームの再アセンブリのみを有効にします。つまり、Web サーバー、メール サーバー、または一般に $EXTERNAL_NET で指定された IP アドレスによって定義されたその他の IP アドレスから発信されたストリームが再構成されます。サーバ側の攻撃を監視する必要がある場合は、このオプションを使用します。ポートを指定しないことによって、このオプションを無効にできます。

このオプションは、FTD ルーテッドおよびトランスペアレント インターフェイスでは無視されます。

（注）

サービスを徹底的に検査するには、Perform Stream Reassembly on Server Ports フィールドにポート番号を追加することに加えて、Perform Stream Reassembly on Server Services フィールドにサービス名を追加します。たとえば、HTTP サービスを検査するには、Perform Stream Reassembly on Server Ports フィールドにポート番号 80 を追加することに加えて、Perform Stream Reassembly on Server Services フィールドに 'HTTP' サービスを追加します。

サーバー サービスでのストリーム再構成の実行（Perform Stream Reassembly on Server Services）

接続のサーバー側のサービスに基づくストリームの再アセンブリのみを有効にします。サーバ側の攻撃を監視する必要がある場合は、このオプションを使用します。サービスを指定しないことによって、このオプションを無効にできます。

1 つ以上のディテクタを有効にする必要があります。デフォルトでは、Cisco が提供するすべてのディテクタはアクティブになっています。サービスに有効にされているディレクタがない場合、システムは自動的に Cisco 提供のすべてのディテクタを関連するアプリケーション プロトコルに対して有効にします。そのようなディテクタが提供されていない場合は、最後に変更されたユーザ定義のディテクタをアプリケーション プロトコルに対して有効にします。

この機能には、保護ライセンスと制御ライセンスが必要です。

このオプションは、FTD ルーテッドおよびトランスペアレント インターフェイスでは無視されます。

両方のポートでのストリーム再構成の実行（Perform Stream Reassembly on Both Ports）

接続のクライアント側とサーバー側の両方のポートに基づくストリーム再構成を有効にします。同じポートで、不正なトラフィックがクライアントとサーバ間のいずれの方向でも移動する可能性がある場合は、このオプションを使用します。ポートを指定しないことによって、このオプションを無効にできます。

このオプションは、FTD ルーテッドおよびトランスペアレント インターフェイスでは無視されます。

両方のサービスでのストリーム再構成の実行（Perform Stream Reassembly on Both Services）

接続のクライアント側とサーバー側の両方のサービスに基づくストリーム再構成を有効にします。同じサービスで、不正なトラフィックがクライアントとサーバー間のいずれの方向でも移動する可能性がある場合は、このオプションを使用します。サービスを指定しないことによって、このオプションを無効にできます。

1 つ以上のディテクタを有効にする必要があります。デフォルトでは、Cisco が提供するすべてのディテクタはアクティブになっています。関連するクライアント アプリケーションまたはアプリケーション プロトコルに対して有効になっているディレクタがない場合、システムは自動的に Cisco 提供のすべてのディテクタをアプリケーションまたはアプリケーション プロトコルに対して有効にします。そのようなディテクタが提供されていない場合は、最後に変更されたユーザ定義のディテクタをアプリケーションまたはアプリケーション プロトコルに対して有効にします。

この機能には、保護ライセンスと制御ライセンスが必要です。

このオプションは、FTD ルーテッドおよびトランスペアレント インターフェイスでは無視されます。

トラブルシューティング オプション：最大キューイング バイト（Troubleshooting Options: Maximum Queued Bytes）

トラブルシューティングの電話中に、TCP 接続の片側でキューイングできるデータの量を指定するようにサポートから依頼される場合があります。値 0 は、無制限のバイト数を指定します。

注意	このトラブルシューティング オプションの設定を変更するとパフォーマンスに影響するので、必ずガイダンスに従って実行してください。

トラブルシューティング オプション：最大キューイング セグメント（Troubleshooting Options：Maximum Queued Segments）

トラブルシューティングの電話中に、TCP 接続の片側でキューイングできるデータ セグメントの最大バイト数を指定するようにサポートから依頼される場合があります。値 0 は、無制限のデータ セグメント バイト数を指定します。

注意	このトラブルシューティング オプションの設定を変更するとパフォーマンスに影響するので、必ずガイダンスに従って実行してください。

Timeout

プリプロセッサが非アクティブなストリームを状態テーブルに保持する秒数を指定します。指定した時間内に追加のデータグラムが現れなかった場合、プリプロセッサはそのストリームを状態テーブルから削除します。

FTD デバイスはこのオプションを無視します。その代りに高度なおアクセス制御の Threat Defense サービス ポリシーの設定を使用します。詳細については、サービス ポリシー ルールの設定を参照してください。

パケット タイプ パフォーマンスの向上（Packet Type Performance Boost）

送信元および宛先ポートの両方を any に設定した UDP ルールで flow または flowbits オプションが使用されている場合を除き、有効化されたルールに指定されていないポートおよびアプリケーション プロトコルのすべてについて、UDP トラフィックを無視するようにプリプロセッサを設定します。このオプションはパフォーマンスを向上させますが、攻撃を見逃す可能性があります。