画面の追加
あなたはここにいる: セキュリティポリシー&オブジェクト>ゾーン/スクリーン。
画面を追加するには:
表 1 に、「画面の追加」ページのフィールドを示します。
畑 |
アクション |
---|---|
メイン | |
スクリーンネーム |
画面オブジェクトの名前を入力します。 |
画面の説明 |
画面オブジェクトの内容説明を入力します。 |
パケットをドロップせずにアラームを生成 |
チェックボックスをオンにすると、この機能が有効になります。 |
IPスプーフィング |
チェックボックスをオンにすると、この機能が有効になります。 IP アドレス スプーフィングを有効にできることを指定します。IPスプーフィングとは、パケットヘッダーに偽の送信元アドレスを挿入して、パケットが信頼できる送信元から送信されたように見せることです。 |
IPスイープ |
チェックボックスをオンにすると、この機能が有効になります。 ICMP アドレス スイープの数を指定します。IPアドレススイープは、アクティブなホストからの応答をトリガーする目的で発生する可能性があります。 |
閾 |
IP スイープの時間間隔を入力します。
手記:
リモートホストがこの間隔内に10個のアドレスにICMPトラフィックを送信すると、IPアドレススイープ攻撃にフラグが立てられ、リモートホストからのさらなるICMPパケットは拒否されます。 範囲: 1000 から 1000000 マイクロ秒。デフォルト値は 5000 マイクロ秒です。 |
ポートスキャン |
チェックボックスをオンにすると、この機能が有効になります。 TCP ポート スキャンの回数を指定します。この攻撃の目的は、少なくとも1つのポートが応答することを期待して利用可能なサービスをスキャンし、ターゲットとするサービスを特定することです。 |
閾 |
TCP ポート スキャンの時間間隔を入力します。
手記:
リモートホストがこの間隔内に 10 個のポートをスキャンすると、ポートスキャン攻撃にフラグが立てられ、リモートホストからのそれ以降のパケットは拒否されます。 範囲: 1000 から 1000000 マイクロ秒。デフォルト値は 5000 マイクロ秒です。 |
MS-Windowsディフェンス |
WinNuke 攻撃保護 - この機能を有効にするには、チェック ボックスをオンにします。
手記:
WinNukeは、Windowsオペレーティングシステムを実行しているインターネット上の任意のコンピューターを標的とするDoS攻撃です。 |
IPv6チェック |
次の詳細を入力します。
|
サービス拒否 | |
陸上攻撃防御 |
チェックボックスをオンにすると、この機能が有効になります。
手記:
ランド攻撃は、攻撃者が被害者のIPアドレスを宛先と送信元の両方のIPアドレスとして含むなりすましのSYNパケットを送信した場合に発生します。 |
ティアドロップ攻撃防御 |
チェックボックスをオンにすると、この機能が有効になります。
手記:
ティアドロップ攻撃は、フラグメント化されたIPパケットの再構築を悪用します。 |
ICMPフラグメント保護 |
チェックボックスをオンにすると、この機能が有効になります。
手記:
ICMPパケットには、非常に短いメッセージが含まれています。ICMPパケットがフラグメント化される正当な理由はありません。 |
死の攻撃保護のPing |
チェックボックスをオンにすると、この機能が有効になります。
手記:
有効な最大長(65,535バイト)を超えるIPパケットが送信されると、ping of deathが発生します。 |
大型ICMPパケット保護 |
チェックボックスをオンにすると、この機能が有効になります。 |
フラグメントトラフィックのブロック |
チェックボックスをオンにすると、この機能が有効になります。 |
SYN-ACK-ACK プロキシ保護 |
チェックボックスをオンにすると、この機能が有効になります。 |
閾 |
SYN-ACK-ACK プロキシ保護のしきい値を入力します。
手記:
範囲は 1 から 250000 セッションからです。デフォルト値は 512 セッションです。 |
異常 | |
IPアドレス |
次の詳細を入力します。
|
TCP |
次の詳細を入力します。
|
洪水防御 | |
同じソースからのセッションを制限する |
同じ送信元 IP からのセッションを制限する範囲を入力します。 範囲: 1 から 50000 セッション。 |
同じ宛先からのセッションを制限する |
同じ宛先IPからのセッションを制限する範囲を入力します。範囲は 1 から 50000 セッションからです。 範囲: 1 から 8000000 セッション/秒。デフォルト値は 128 セッションです。 |
ICMPフラッド防御 |
チェックボックスを選択して、インターネット制御メッセージプロトコル(ICMP)フラッドカウンターを有効にします。
手記:
ICMPフラッディングは通常、ICMPエコー要求が応答時にすべてのリソースを使用し、有効なネットワークトラフィックを処理できない場合に発生します。 |
閾 |
ICMP フラッド防御のしきい値を入力します。
手記:
範囲: 1 から 4000000 ICMP pps。 |
UDPフラッド防御 |
チェック・ボックスを選択して、ユーザー・データグラム・プロトコル (UDP) フラッド・カウンターを使用可能にします。
手記:
UDP フラッディングは、攻撃者が UDP データグラムを含む IP パケットを低速のシステム リソースに送信し、有効な接続を処理できないようにしたときに発生します。 |
閾 |
UDP フラッディング防御のしきい値を入力します。
手記:
範囲: 1 から 100000 セッション。デフォルト値は 1000 セッションです。 |
UDP 許可リスト |
手記:
UDP ホワイト リスト ページで許可リストを編集するには、許可リスト名を選択し、鉛筆アイコンをクリックします。 [UDP ホワイトリスト] ページで許可リストを削除するには、許可リスト名を選択し、削除アイコンをクリックします。 |
SYNフラッド防御 |
このチェック・ボックスを選択して、すべてのしきい値および ager タイムアウト・オプションを有効にします。 不完全な接続要求を開始する SYN セグメントにホストが圧倒され、正当な接続要求を処理できなくなった場合に、SYN フラッディングが発生することを指定します。 |
TCP 許可リスト |
手記:
[TCP ホワイト リスト(TCP ホワイト リスト)] ページで許可リストを編集するには、許可リスト名を選択し、鉛筆アイコンをクリックします。 [TCP ホワイト リスト] ページで許可リストを削除するには、許可リスト名を選択し、削除アイコンをクリックします。 |
攻撃の閾値 |
値を入力して、SYN プロキシ メカニズムをトリガーするために必要な SYN パケット数/秒を指定します。
手記:
範囲: 1 秒あたり 1 から 1000000 のプロキシ要求。デフォルトの攻撃しきい値は 625 pps です。 |
アラームしきい値 |
値が入力され、デバイスがイベント アラーム ログにエントリを作成する1秒あたりのハーフコンプリートプロキシ接続数を指定します。
手記:
範囲: 1 から 1000000 セグメント/秒。デフォルトのアラームしきい値は 250 pps です。 |
ソースしきい値 |
値が入力され、デバイスがその送信元からの接続要求のドロップを開始する前に、(宛先 IP アドレスとポート番号に関係なく)単一の送信元 IP アドレスから 1 秒あたりに受信する SYN セグメントの数を指定します。
手記:
範囲:毎秒4〜1000000セグメント。デフォルトのソースしきい値は 25 pps です。 |
宛先しきい値 |
値が入力され、デバイスが宛先への接続要求のドロップを開始する前に、単一の宛先 IP アドレスに対して 1 秒あたりに受信する SYN セグメントの数を指定します。保護されたホストが複数のサービスを実行する場合は、宛先ポート番号に関係なく、宛先 IP アドレスのみに基づいてしきい値を設定できます。
手記:
範囲:毎秒4〜1000000セグメント。デフォルトの宛先しきい値は 0 pps です。 |
エイガータイムアウト |
ハーフ完了した接続がキューからドロップされるまでの最大時間を指定する値を入力します。通常のトラフィック状態でドロップされた接続が表示されるまで、タイムアウト値を減らすことができます。 範囲: 1 から 50 秒。デフォルト値は20秒です。
手記:
20 秒は、不完全な接続要求を保持するのに妥当な時間です。 |
IPv6 EXTヘッダー | |
定義済みヘッダーの種類 |
次の画面オプションを設定します。
|
ルーティングヘッダー |
チェックボックスをオンにして、IPv6ルーティングヘッダー画面オプションを有効にします。 |
ESP ヘッダー |
チェックボックスをオンにすると、[IPv6 カプセル化セキュリティペイロードのヘッダー画面]画面オプションが有効になります。 |
No-Nextヘッダー |
このチェック・ボックスを選択して、「IPv6 の次のヘッダーなし」画面オプションを有効にします。 |
モビリティヘッダー |
チェックボックスをオンにして、IPv6モビリティヘッダー画面オプションを有効にします。 |
フラグメントヘッダー |
チェックボックスを選択して、IPv6フラグメントヘッダー画面オプションを有効にします。 |
AH ヘッダー |
チェックボックスを選択して、[IPv6認証ヘッダー]画面オプションを有効にします。 |
Shim6 ヘッダー |
チェック・ボックスを選択して、「IPv6 shim ヘッダー画面」オプションを有効にします。 |
HIPヘッダー |
チェックボックスを選択して、IPv6ホスト識別プロトコルヘッダー画面オプションを有効にします。 |
カスタマ定義ヘッダタイプ |
ヘッダー範囲のタイプを定義する値を入力し、[ + ] をクリックして追加します。 範囲: 0 から 255。 削除するには、1 つ以上のヘッダー タイプを選択し、[ X] をクリックします。 |
IPv6 extヘッダーの制限 |
画面を通過できる IPv6 拡張ヘッダーの数を設定する値を入力します。 範囲: 0 から 32。 |
ゾーンに適用 | |
ゾーンに適用 |
[使用可能] 列からゾーンを選択し、右矢印を使用して [選択済み] 列に移動します。 |