ビュー:
Workload Security ステートフルファイアウォール設定メカニズムは、トラフィック履歴、TCPおよびIPヘッダ値の正確さ、およびTCP接続状態の遷移のコンテキストで各パケットを分析します。UDPやICMPなどのステートレスプロトコルの場合、履歴トラフィック分析に基づいた擬似ステートフルメカニズムが実装されます。パケットは、ステートフルメカニズムによって次のように処理されます。
  1. 静的ファイアウォールルール条件によってパケットの通過が許可された場合、パケットはステートフルルーチンに渡されます。
  2. パケットを調べて、既存の接続に属しているかどうかが判断されます。
  3. TCPヘッダの正当性 (シーケンス番号、フラグの組み合わせなど) が調査されます。
新しいステートフル設定を作成するには、次の手順を実行する必要があります。
  1. ステートフル構成を追加
  2. ステートフル構成情報を入力
  3. パケットインスペクションオプションを選択
ステートフル設定が完了したら、次の方法についても学習できます。

ステートフル設定を追加する 親トピック

[ポリシー][共通オブジェクト][その他][ファイアウォールステートフル設定]ページでステートフル設定を定義する方法は3つあります:
  • 新しい構成を作成するには、[新規][新規ファイアウォールステートフル設定]をクリックします。
  • XMLファイルから設定をインポートするには、[新規][ファイルからインポート]をクリックします。
  • 既存の構成をコピーして変更します。[ファイアウォールステートフル設定]リストで構成を右クリックし、[複製]をクリックします。新しい構成を編集するには、それを選択して[プロパティ]をクリックします。

ステートフル構成情報を提供する 親トピック

設定のために[名前][説明]を入力してください。

パケットインスペクションオプションを選択する 親トピック

IP、TCP、UDPおよびICMPパケット検査のオプションを定義し、アクティブまたはパッシブFTPを有効にすることができます。

IPパケットインスペクション 親トピック

[一般]タブで[フラグメント化されたすべての受信パケットを拒否する]を選択して、断片化されたパケットをドロップします。ドロップされたパケットは断片化分析をバイパスし、IP断片化パケットログエントリを生成します。IPヘッダーの長さよりも小さい総長のパケットは静かにドロップされます。
警告
警告
攻撃者は、ファイアウォールルールをバイパスするために、断片化されたパケットを作成して送信することがあります。
ファイアウォールエンジンは、デフォルトで断片化されたパケットに対して一連のチェックを実行します。これはデフォルトの動作であり、再構成することはできません。以下の特性を持つパケットは破棄されます:
  • フラグメントのフラグ/オフセットが無効: パケットは、IPヘッダー内の[DF]フラグと[MF]フラグのいずれかが1に設定されている場合、またはヘッダーに[DF]フラグが1に設定されており、[オフセット]の値が0以外の場合にドロップされます。
  • 最初のフラグメントが小さすぎる: パケットは、[MF]フラグが1に設定され、[オフセット]値が0で、合計長が120バイト未満 (最大結合ヘッダー長) の場合にドロップされます。
  • [IPフラグメントが範囲を超えている:] パケットは、[オフセット] フラグ値とパケット全体の長さを組み合わせた値が最大データグラム長65535バイトを超える場合に破棄されます。
  • IPフラグメントのオフセットが小さすぎる: パケットは、[オフセット] フラグがゼロ以外で、値が60バイト未満の場合にドロップされます。

TCPパケットインスペクション 親トピック

[TCP]タブで、次のオプションのうち有効にするものを選択してください。
  • [CWR、ECEフラグを含むTCPパケットを拒否する:] これらのフラグはネットワーク混雑時に設定されます。
    警告
    警告
    サービス拒否攻撃などによって生成される自動パケット送信は、これらのフラグが設定されたパケットを生成することがよくあります。
    RFC 3168では、ECN (Explicit Congestion Notification) に使用する予約済みフィールドの6ビットのうち2ビットを、次のように定義しています。
    • ビット8から15: CWR-ECE-URG-ACK-PSH-RST-SYN-FIN
    • TCPヘッダフラグのビット名参照:
      • ビット8: CWR (Congestion Window Reduced) [RFC3168]
      • ビット9: ECE (ECN-Echo) [RFC3168]
  • [TCPステートフルインスペクションを有効にする:] TCPレベルでステートフルインスペクションを有効にします。ステートフルTCPインスペクションを有効にすると、次のオプションが利用可能になります。
    • TCPステートフルログを有効にする: このオプションを選択すると、TCPステートフルインスペクションイベントのログが有効になります。
    • 単一コンピュータからの受信接続数の上限: 1台のコンピュータからの接続数を制限することで、サービス拒否攻撃の影響を軽減できます。
    • 単一コンピュータへの送信接続数の上限: 1台のコンピュータへの送信接続数を制限することで、Nimdaのようなワームの影響を大幅に軽減できます。
    • 単一コンピュータからのハーフオープン接続数の上限: ここで制限を設定することで、SYN FloodのようなDoS攻撃から保護できます。ほとんどのサーバーには半開接続を閉じるためのタイムアウト設定がありますが、ここで値を設定することで、半開接続が重大な問題になるのを防ぐことができます。SYN-SENT (リモート) エントリの指定された制限に達した場合、その特定のコンピュータからの後続のTCPパケットは破棄されます。
      単一コンピュータからのオープン接続を許可する数を決定する際に、使用している種類のプロトコルで妥当と考えられる単一コンピュータからのハーフオープン接続数と、輻輳を引き起こすことなくシステムが維持できる単一コンピュータからのハーフオープン接続数との間の数を選択します。
    • すでに確認されたパケット数が次を超過したときにACKストーム防御を有効にする: このオプションを設定すると、ACKストーム攻撃が発生したことを示すイベントが記録されます。
      • ACKストームが検出されたときに接続を中断する: このオプションを設定すると、そのような攻撃が検出された場合に接続が切断されます。ACKストーム保護オプションはバージョン8.0以前のエージェントでのみ利用可能です。

FTPオプション 親トピック

エージェントバージョン8.0以前のエージェントを使用している場合、[FTPオプション]タブで次のオプションを有効にできます。
  • アクティブFTP
    • 受信を許可する: このコンピュータがサーバとして動作している場合、アクティブFTPを許可します。
    • 送信を許可する: このコンピュータがクライアントとして動作しているときにアクティブFTPを許可します。
  • パッシブFTP
    • 受信を許可する: このコンピュータがサーバとして動作しているときにパッシブFTPを許可します。
    • 送信を許可する: このコンピュータがクライアントとして動作している場合、パッシブFTPを許可します。

UDPパケットインスペクション 親トピック

[UDP]タブの下で、次のオプションを有効にすることができます。
  • UDPステートフルインスペクションを有効にする: UDPトラフィックのステートフルインスペクションを有効にするには選択してください。
    UDPステートフルメカニズムは、要求されていない受信UDPパケットを破棄します。すべての送信UDPパケットに対して、ルールはUDPステートフルテーブルを更新し、要求から60秒以内に発生した場合のみUDP対応を許可します。特定の受信UDPトラフィックを許可したい場合は、[Force Allow]ルールを作成してください。例えば、DNSサーバを運用している場合は、送信先ポート53への受信UDPパケットを許可する[Force Allow]ルールを作成してください。
    警告
    警告
    UDPトラフィックのステートフルインスペクションを行わないと、攻撃者はDNSサーバになりすまし、送信元ポート53からファイアウォールの背後にあるコンピュータに迷惑なUDP応答を送信する可能性があります。
  • UDPステートフルログを有効にする: このオプションを選択すると、UDPステートフルインスペクションイベントのログが有効になります。

ICMPパケットインスペクション 親トピック

エージェントバージョン8.0以前のエージェントを使用している場合、[ICMP]タブで次のオプションを有効にできます。
  • ICMPステートフルインスペクションを有効にする: ICMPトラフィックのステートフルインスペクションを有効にするには選択します。
    ICMP (疑似) ステートフルメカニズムは、受信した未承諾のICMPパケットを破棄します。送信されるICMPパケットごとに、ルールはそのICMPステートフルテーブルを作成または更新し、リクエストから60秒以内に発生した場合にのみICMP応答を許可します。サポートされているICMPペアタイプ: タイプ0&8、13&14、15&16、17&18。
    警告
    警告
    たとえば、ステートフルICMPインスペクションを有効にすると、エコー要求が送信された場合にICMPエコー応答を許可できます。要求されていないエコー応答は、Smurf増幅攻撃、マスターとデーモン間のトライブフラッドネットワーク通信、Loki2バックドアなど、さまざまな種類の攻撃の予兆である可能性があります。
  • ICMPステートフルログを有効にする: このオプションを選択すると、ICMPステートフルインスペクションイベントのログが有効になります。

ステートフル設定をエクスポートする 親トピック

すべてのステートフル構成を.csvまたは.xmlファイルにエクスポートするには、[エクスポート]をクリックし、リストから対応するエクスポートアクションを選択します。特定のステートフル構成をエクスポートする場合は、まずそれらを選択し、[エクスポート]をクリックしてから、リストから対応するエクスポートアクションを選択します。

ステートフル設定を削除する 親トピック

ステートフル構成を削除するには、[ファイアウォールステートフル設定]リストで構成を右クリックし、[削除]をクリックしてから[OK]をクリックします。
1台以上のコンピュータに割り当てられたステートフル設定、またはポリシーの一部であるステートフル設定は削除できません。

ステートフル設定が割り当てられたポリシーとコンピュータの表示 親トピック

[割り当て対象]タブで、ステートフルインスペクション構成に割り当てられているポリシーとコンピュータを確認できます。リスト内のポリシーまたはコンピュータをクリックすると、そのプロパティを表示できます。