SonicOS 7 ルールとポリシー --- TZ シリーズ用

接続の制限について

接続制限の機能は、SYN Cookies および侵入防御サービス (IPS) などの機能と組み合わせたときに、追加のセキュリティと制御の層を提供することを目的としています。接続の制限では、アクセス ルールを分類基準として使用し、そのクラスのトラフィックに割り当て可能な合計接続キャッシュに対する最大パーセンテージを宣言して、ファイアウォールを介した接続を抑制する方法を提供します。

IPS と組み合わせて使用することによって、Sasser、Blaster、Nimda などの特定のクラスのマルウェアの拡散を緩和することができます。これらのワームは、異常に速い速度でランダムなアドレスへの接続を開始することによって拡散します。例えば、Nimda に感染した各ホストでは 1 秒間に 300~400 回の接続が試行され、Blaster の場合は 1 秒間に 850 個のパケットが送信され、Sasser の場合は 1 秒間に 5,120 回の試行が可能です。通常、悪意のないネットワーク トラフィック、特に保護ゾーン > 非保護ゾーン (LAN > WAN) へのトラフィックでは、これほど高い数値は見られません。この種の悪意のある活動によって、特に小規模な装置では、数秒間のうちに利用可能な接続キャッシュ リソースがすべて消費されます。

接続制限を使用すると、ワームやウイルスの拡散防止に加えて、他の種別の接続キャッシュ リソースの消費に関する問題も緩和できます。例えば、セキュリティに問題のない内部ホストでピアツーピア ソフトウェアが実行されているとき (IPS でこのようなサービスを許可するように設定している場合) や、内部または外部ホストでパケット ジェネレータやスキャン ツールが使用されている場合などに発生する問題を緩和できます。

さらに、接続制限を使用して、サーバに対して許可される正当な着信接続数を制限することにより、公開されているサーバ (ウェブ サーバなど) を保護することができます (つまり、スラッシュドット効果からサーバを保護できます)。これは、部分的にオープンな TCP 接続またはなりすましによる TCP 接続を検出して防止する、SYN フラッドに対する保護とは異なります。このような接続の制限は非保護ゾーンのトラフィックに最も多く適用されますが、必要に応じて任意のゾーンのトラフィックに適用できます。

接続制限を適用するには、特定の種別のトラフィックに割り当て可能な接続数の割合を、最大許容接続数に対するパーセンテージで定義します。前述の数値は既定の LAN > WAN 設定を示しており、この設定では利用可能なすべてのリソースが LAN > WAN (すべての送信元、すべての送信先、すべてのサービスの) トラフィックに割り当てられる可能性があります。

より限定的なルールを構築して、特定の種類のトラフィック (WAN 上の任意の送信先への FTP トラフィックなど) で消費できる接続のパーセンテージを制限したり、あるクラスのトラフィックに 100%を割り当てて、一般的なトラフィックは低いパーセンテージ (最小許容値は 1%) に制限して重要なトラフィック (重要なサーバへの HTTPS トラフィックなど) を優先したりすることができます。

IPS のシグネチャを接続制限の分類基準として使用することはできません。使用できるのは、アクセス ルール (アドレス、サービスなど) のみです。

Was This Article Helpful?

Help us to improve our support portal

Techdocs Article Helpful form

  • Hidden
  • Hidden

Techdocs Article NOT Helpful form

  • Still can't find what you're looking for? Try our knowledge base or ask our community for more help.
  • Hidden
  • Hidden