Deep Security のステートフルファイアウォール設定メカニズムは、トラフィック履歴との関連における各パケット、TCPおよびIPヘッダ値の正当性、およびTCP接続状態の推移が分析されます。UDPやICMPなどのステートレスプロトコルの場合、履歴トラフィック分析に基づいた擬似ステートフルメカニズムが実装されます。パケットは次のようにステートフルメカニズムによって処理されます:
  1. 静的ファイアウォールルール条件によってパケットの通過が許可された場合、パケットはステートフルルーチンに渡されます。
  2. パケットを調べて、既存の接続に属しているかどうかが判断されます。
  3. TCPヘッダの正当性 (シーケンス番号、フラグの組み合わせなど) が調査されます。
注意
注意
ステートフルICMPフィルタは、Deep Security Agent 8.0以前で使用できます。
新しいステートフル構成を作成するには、次の手順を実行します:
  1. ステートフル構成を追加
  2. ステートフル構成情報を入力してください
  3. パケットインスペクションオプションを選択
ステートフル構成が完了したら、次の方法も学ぶことができます

ステートフル設定を追加する

[ポリシー]→[共通オブジェクト]→[その他]→[ファイアウォールステートフル設定]ページでステートフル構成を定義する方法は3つあります:
  • 新しい構成を作成します。[新規][新規ファイアウォールステートフル設定]をクリックします。
  • XMLファイルから設定をインポートします。[新規][ファイルからインポート]をクリックします。
  • 既存の設定をコピーして変更します。ファイアウォールステートフル設定リストの設定を右クリックし、[複製]をクリックします。新しい設定を編集するには、それを選択して[のプロパティ]をクリックします。

ステートフル設定情報を入力する

構成のために[名前][説明]を入力してください。

パケットインスペクションオプションを選択する

IP、TCP、UDP、ICMPパケットインスペクションのオプションを定義し、アクティブまたはパッシブFTPを有効にすることができます。

IPパケットインスペクション

[一般]タブの下で、[フラグメント化されたすべての受信パケットを拒否する]を選択して断片化されたパケットをドロップします。ドロップされたパケットは断片化分析をバイパスし、「IP断片化パケット」ログエントリを生成します。IPヘッダーの長さよりも短い全長のパケットは黙ってドロップされます。
警告
警告
攻撃者は、ファイアウォールルールをバイパスするために、フラグメント化されたパケットを作成して送信する場合があります。
注意
注意
ファイアウォールエンジンは、デフォルトで断片化されたパケットに対して一連のチェックを実行します。これはデフォルトの動作であり、再設定することはできません。以下の特性を持つパケットは破棄されます:
  • フラグメントのフラグ/オフセットが無効::IPヘッダ内の[DF]フラグまたは[MF]フラグのいずれかが1に設定されている、またはヘッダ内に含まれる[DF]フラグが1に設定されており、[オフセット]値が0以外に設定されているとき、パケットは破棄されます。
  • 最初のフラグメントが最小サイズ未満::[MF]フラグが1に設定されていて、[オフセット]値が0、合計の長さが (最大組み合わせヘッダ長である) 120バイトよりも短い場合、パケットは破棄されます。
  • IPフラグメントが範囲を超えている:: 合計パケット長と組み合わされた[オフセット]フラグの値が最大データグラム長である65,535バイトを超えた場合、パケットは破棄されます。
  • IPフラグメントのオフセットが小さすぎる::60バイトよりも小さい値を持つ0以外の[オフセット]フラグがある場合、パケットは破棄されます。

TCPパケットインスペクション

[TCP]タブの下で、有効にしたい次のオプションを選択してください。
  • CWR、ECEフラグを含むTCPパケットを拒否する:: これらのフラグは、ネットワーク輻輳時に設定されます。
    注意
    注意
    RFC 3168では、ECN (Explicit Congestion Notification) に使用する予約済みフィールドの6ビットのうち2ビットを、次のように定義しています。
    • ビット8から15: CWR-ECE-URG-ACK-PSH-RST-SYN-FIN
    • TCPヘッダフラグのビット名参照:
      • ビット8: CWR (Congestion Window Reduced) [RFC3168]
      • ビット9: ECE (ECN-Echo) [RFC3168]
    警告
    警告
    パケットの自動転送 (特にDoS攻撃によって生成されたものなど) によって、これらのフラグが設定されたパケットが作成されることがよくあります。
  • TCPステートフルインスペクションを有効にする:: TCPレベルでステートフルインスペクションを有効にします。ステートフルTCPインスペクションを有効にすると、次のオプションが利用可能です。
    • TCPステートフルログを有効にする:: TCPステートフルインスペクションイベントがログに記録されます。
    • 単一コンピュータからの受信接続数の上限:: 単一コンピュータからの接続数を制限すると、DoS攻撃の影響を低減できます。
    • 単一コンピュータへの送信接続数の上限:: 単一コンピュータへの送信接続数を制限すると、Nimdaなどのワームの影響を大幅に低減できます。
    • 単一コンピュータからのハーフオープン接続数の上限::ここに制限を設定することで、SYN FloodのようなDoS攻撃から保護することができます。ほとんどのサーバーには半開接続を閉じるためのタイムアウト設定がありますが、ここに値を設定することで半開接続が重大な問題になるのを防ぐことができます。SYN-SENT (リモート) エントリの指定された制限に達した場合、その特定のコンピュータからの後続のTCPパケットは破棄されます。
      注意
      注意
      単一コンピュータからのオープン接続を許可する数を決定する際に、使用している種類のプロトコルで妥当と考えられる単一コンピュータからのハーフオープン接続数と、輻輳を引き起こすことなくシステムが維持できる単一コンピュータからのハーフオープン接続数との間の数を選択します。
    • すでに確認されたパケット数が次を超過したときにACKストーム防御を有効にする::このオプションを設定して、ACKストーム攻撃が発生した場合のイベントを記録します。
      • ACKストームが検出されたときに接続を中断する:このオプションを設定して、攻撃が検出された場合に接続を切断するようにします。
      注意
      注意
      ACKストーム保護オプションはDeep Security Agent 8.0以前でのみ使用可能です。

FTPオプション

[FTPオプション]タブの下で、次のオプションを有効にできます:
注意
注意
以下のFTPオプションはDeep Security Agentバージョン8.0以前で使用可能です。
  • アクティブFTP
    • 受信を許可する::このコンピュータがサーバとして動作しているときにアクティブFTPを許可します。
    • 送信を許可する::このコンピュータがクライアントとして動作しているときにアクティブFTPを許可します。
  • パッシブFTP
    • 受信を許可する::このコンピュータがサーバとして動作しているときにパッシブFTPを許可します。
    • 送信を許可する::このコンピュータがクライアントとして動作しているときにパッシブFTPを許可します。

UDPパケットインスペクション

[UDP]タブの下で、次のオプションを有効にできます:
  • UDPステートフルインスペクションを有効にする:: UDPトラフィックのステートフルインスペクションを有効にする場合は選択します。
    注意
    注意
    UDPステートフルメカニズムは、要求されていない受信UDPパケットをドロップします。すべての送信UDPパケットに対して、ルールはUDP「ステートフル」テーブルを更新し、リクエストから60秒以内に発生した場合にのみUDP応答を許可します。特定の受信UDPトラフィックを許可したい場合は、[強制的に許可]ルールを作成する必要があります。例えば、DNSサーバを実行している場合、宛先ポート53への受信UDPパケットを許可するために[強制的に許可]ルールを作成する必要があります。
    警告
    警告
    UDPトラフィックのステートフルインスペクションがない場合、攻撃者はDNS Serverになりすまして、未承諾のUDP「応答」を送信元のポート53からファイアウォールの内側にあるコンピュータに送信する可能性があります。
    • UDPステートフルログを有効にする::このオプションを選択すると、ステートフルUDPインスペクションイベントのログを記録できるようになります。

ICMPパケットインスペクション

[ICMP]タブの下で、次のオプションを有効にできます:
注意
注意
ステートフルICMPインスペクションは、Deep Security Agent 8.0以前で使用できます。
  • ICMPステートフルインスペクションを有効にする::ICMPトラフィックのステートフルインスペクションを有効にする場合は選択します。
    注意
    注意
    ICMP (擬似ステートフル) メカニズムは、受信した未承諾のICMPパケットを破棄します。送信されるICMPパケットごとに、ルールはICMP「ステートフル」テーブルを作成または更新し、リクエストから60秒以内に発生した場合にのみICMP応答を許可します。(サポートされているICMPペアタイプ: タイプ0&8、13&14、15&16、17&18。)
    警告
    警告
    たとえば、ステートフルICMPインスペクションを有効にすると、エコー要求が送信された場合にICMPエコー応答を許可できます。要求されていないエコー応答は、Smurf増幅攻撃、マスターとデーモン間のトライブフラッドネットワーク通信、Loki2バックドアなど、さまざまな種類の攻撃の予兆である可能性があります。
  • ICMPステートフルログを有効にする:: このオプションを選択すると、ステートフルICMPインスペクションイベントのログを記録できるようになります。

ステートフル設定をエクスポートする

すべてのステートフル構成を .csv または .xml ファイルにエクスポートするには、[エクスポート] をクリックし、リストから対応するエクスポートアクションを選択します。特定のステートフル構成をエクスポートすることもできます。まずそれらを選択し、[エクスポート] をクリックしてから、リストから対応するエクスポートアクションを選択します。

ステートフル設定を削除する

ステートフル設定を削除するには、ファイアウォールステートフル設定リストの設定を右クリックし、[削除]をクリックしてから[OK]をクリックします。
注意
注意
1台以上のコンピュータに割り当てられたステートフル設定、またはポリシーの一部であるステートフル設定は削除できません。

ステートフル構成が割り当てられているポリシーとコンピュータを表示

[割り当て対象]タブで、どのポリシーとコンピュータがステートフルインスペクション構成に割り当てられているかを確認できます。リスト内のポリシーまたはコンピュータをクリックして、そのプロパティを確認してください。