ビュー:
Server & Workload Protection ステートフルファイアウォール設定メカニズムは、トラフィック履歴、TCPおよびIPヘッダ値の正確性、およびTCP接続状態の遷移のコンテキストで各パケットを分析します。 UDPやICMPなどのステートレスプロトコルの場合、トラフィックの履歴分析に基づいて擬似ステートフルメカニズムが実装されます。パケットは、ステートフルメカニズムによって次のように処理されます。
  1. 静的ファイアウォールルール条件によってパケットの通過が許可された場合、パケットはステートフルルーチンに渡されます。
  2. パケットを調べて、既存の接続に属しているかどうかが判断されます。
  3. TCPヘッダの正当性 (シーケンス番号、フラグの組み合わせなど) が調査されます。
新しいステートフル設定を作成するには、次の手順に従います。

手順

  1. ステートフル設定の追加
  2. ステートフル設定情報の入力
  3. パケット検査オプションの選択

次に進む前に

ステートフル設定の後は、次の操作について説明します。

ステートフル設定を追加する 親トピック

でステートフル設定を定義するには、次の3つの方法があります。[Policies] [共通オブジェクト] [その他] [ファイアウォールステートフル設定]ページ:
  • 新しい設定を作成します。クリック[新規] [新規ファイアウォールステートフル設定]
  • XMLファイルから設定をインポートします。クリック[新規] [ファイルからインポート]
  • 既存の設定をコピーして変更します。 [ファイアウォールステートフル設定] リストで設定を右クリックし、 [複製]をクリックします。新しい設定を編集するには、設定を選択して [プロパティ]をクリックします。

ステートフル設定情報の入力 親トピック

設定の [名前][説明] を入力します。

パケット検査オプションの選択 親トピック

IP、TCP、UDPおよびICMPパケットインスペクションのオプションを定義し、アクティブまたはパッシブFTPを有効化できます。

IPパケットインスペクション 親トピック

[一般] タブで、フラグメント化されたパケットをドロップする [フラグメント化されたすべての受信パケットを拒否する] を選択します。破棄されたパケットは断片化分析をバイパスし、「IP断片化パケット」ログエントリが生成されます。合計長がIPヘッダ長よりも短いパケットは、通知なしでドロップされます。
警告
警告
攻撃者は、ファイアウォールルールをバイパスするために、フラグメント化されたパケットを作成して送信する場合があります。
注意
注意
初期設定では、ファイアウォールエンジンはフラグメント化されたパケットに対して一連のチェックを実行します。これは初期設定の動作であり、再設定することはできません。次の特性を持つパケットはドロップされます。
  • [フラグメントのフラグ/オフセットが無効:] IPヘッダの [DF] フラグと [MF] フラグのいずれかが1に設定されているか、ヘッダに1に設定された [DF] フラグと0以外の [オフセット] 値が含まれている場合、パケットはドロップされます。
  • [最初のフラグメントが最小サイズ未満:] [MF] フラグが1に設定され、 [オフセット] 値が0で、パケットの合計長が120バイト (ヘッダの合計の最大長) 未満の場合、パケットはドロップされます。
  • [IPフラグメントが範囲を超えている:] [オフセット] フラグの値とパケットの合計長の合計がデータグラムの最大長である65535バイトを超えると、パケットは破棄されます。
  • [IPフラグメントのオフセットが小さすぎる:] 60バイト未満の値を持つゼロ以外の [オフセット] フラグがある場合、パケットはドロップされます。

TCPパケット検査 親トピック

[TCP] タブで、有効にするオプションを次の中から選択します。
  • [CWR、ECEフラグを含むTCPパケットを拒否:] これらのフラグは、ネットワークが輻輳しているときに設定されます。
    注意
    注意
    RFC 3168では、ECN (Explicit Congestion Notification) に使用する予約済みフィールドの6ビットのうち2ビットを、次のように定義しています。
    • ビット8~15: CWR-ECE-URG-ACK-PSH-RST-SYN-FIN
    • TCPヘッダフラグのビット名参照:
      • ビット8: CWR (Congestion Window Reduced) [RFC3168]
      • ビット9: ECE (ECN-Echo) [RFC3168]
    警告
    警告
    パケットの自動転送 (特にDoS攻撃によって生成されたものなど) によって、これらのフラグが設定されたパケットが作成されることがよくあります。
  • [TCPステートフルインスペクションを有効にする:] TCPレベルでステートフルインスペクションを有効にします。ステートフルTCP検査を有効にすると、次のオプションが使用可能になります。
    • [TCPステートフルログを有効にする:] TCPステートフルインスペクションイベントがログに記録されます。
    • [単一コンピュータからの受信接続数の上限:] 1台のコンピュータからの接続数を制限すると、サービス拒否攻撃の影響を軽減できます。
    • [単一コンピュータへの送信接続数の上限:] 1台のコンピュータへの送信接続の数を制限すると、Nimdaに似たワームの影響を大幅に減らすことができます。
    • [単一コンピュータからのハーフオープン接続数の上限:] ここで制限を設定すると、SYNフラッドなどのDoS攻撃から保護できます。ほとんどのサーバには、ハーフオープン接続を閉じるためのタイムアウト設定がありますが、ここで値を設定することで、ハーフオープン接続が重大な問題になるのを防ぐことができます。 SYN-SENT (リモート) エントリが指定された制限に達すると、そのコンピュータからの後続のTCPパケットがドロップされます。
      注意
      注意
      1台のコンピュータから許可するオープン接続の数を決定するときは、使用するプロトコルの種類に応じて1台のコンピュータからのハーフオープン接続の妥当な数と、ハーフオープン接続の数の間で適切な数を選択します。 1台のコンピュータからの接続で、システムが混雑することなく維持できます。
    • [すでに確認されたパケット数が次を超過したときにACKストーム防御を有効にする:] ACKストーム攻撃が発生したイベントをログに記録するには、このオプションを設定します。
      • [ACKストームが検出されたときに接続を中断する:] このオプションを設定すると、攻撃が検出された場合に接続が切断されます。 ACKストーム保護オプションは、バージョン8.0以前のAgentでのみ使用できます。

FTPオプション 親トピック

[FTPオプション] タブでは、次のオプションを有効にできます。
注意
注意
次のFTPオプションは、バージョン8.0以前のエージェントで使用できます。
  • [アクティブFTP]
    • [受信を許可する:] このコンピュータがサーバとして動作しているときにアクティブFTPを許可します。
    • [送信を許可する:] このコンピュータがクライアントとして動作しているときにアクティブFTPを許可します。
  • [パッシブFTP]
    • [受信を許可する:] このコンピュータがサーバとして動作しているときにパッシブFTPを許可します。
    • [送信を許可する:] このコンピュータがクライアントとして動作しているときにパッシブFTPを許可します。

UDPパケットインスペクション 親トピック

[UDP] タブでは、次のオプションを有効にできます。
  • [UDPステートフルインスペクションを有効にする:] UDPトラフィックのステートフルインスペクションを有効にする場合に選択します。
    注意
    注意
    UDPステートフルメカニズムは、未承諾の受信UDPパケットをドロップします。送信UDPパケットごとに、ルールはUDP「ステートフル」テーブルを更新し、要求から60秒以内にUDP応答が発生した場合にのみUDP対応を許可します。特定の受信UDPトラフィックを許可する場合は、 [強制的に許可] ルールを作成する必要があります。たとえば、DNSサーバを実行している場合は、受信UDPパケットを宛先ポート53に許可するための [強制的に許可] ルールを作成する必要があります。
    警告
    警告
    UDPトラフィックのステートフルインスペクションがない場合、攻撃者はDNSサーバになりすまして、未承諾のUDP「応答」を送信元のポート53からファイアウォールの内側にあるコンピュータに送信する可能性があります。
    • [UDPステートフルログを有効にする:] このオプションを選択すると、UDPステートフル検査イベントのログが有効になります。

ICMPパケットインスペクション 親トピック

[ICMP] タブでは、次のオプションを有効にできます。
注意
注意
ICMPステートフルインスペクションは、バージョン8.0以前のエージェントで使用できます。
  • [ICMPステートフルインスペクションを有効にする:] ICMPトラフィックのステートフルインスペクションを有効にする場合に選択します。
    注意
    注意
    ICMP (疑似) ステートフルメカニズムは、受信要求のないICMPパケットをドロップします。送信ICMPパケットごとに、ルールはICMP「ステートフル」テーブルを作成または更新し、要求から60秒以内にICMP応答が発生した場合にのみICMP対応を許可します。 (サポートされるICMPペアの種類: Type 0と8、13と14、15と16、17と18)
    警告
    警告
    ステートフルICMP検査を有効にすると、たとえば、エコー要求が送信された場合にのみICMPエコー応答を許可できます。要求されていないエコー応答は、Smurfアンプ攻撃、マスターとデーモン間のTribe Flood Network通信、またはLoki 2バックドアなど、いくつかの種類の攻撃の兆候である可能性があります。
    • [ICMPステートフルログを有効にする:] このオプションを選択すると、ICMPステートフル検査イベントのログが有効になります。

ステートフル設定をエクスポートする 親トピック

すべてのステートフル設定を.csvファイルまたは.xmlファイルにエクスポートするには、 [エクスポート] をクリックし、リストから対応するエクスポート処理を選択します。特定のステートフル設定をエクスポートするには、最初にステートフル設定を選択し、 [エクスポート] をクリックして、リストから対応するエクスポート処理を選択します。

ステートフル設定を削除する 親トピック

ステートフル設定を削除するには、[ファイアウォールステートフル設定] の一覧で設定を右クリックし、 [削除] をクリックしてから、 [OK]をクリックします。
注意
注意
1台以上のコンピュータに割り当てられたステートフル設定、またはポリシーの一部であるステートフル設定は削除できません。

ステートフル設定が割り当てられたポリシーとコンピュータを表示する 親トピック

ステートフルインスペクション設定に割り当てられているポリシーとコンピュータは、 [割り当て対象] タブで確認できます。リスト内のポリシーまたはコンピュータをクリックすると、それらのプロパティが表示されます。