Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

画面の追加

あなたはここにいる: セキュリティポリシー&オブジェクト>ゾーン/スクリーン

画面を追加するには:

  1. 画面一覧ページの右上にある追加アイコン (+) をクリックします。

    [画面の追加] ページが表示されます。

  2. 表 1 に示すガイドラインに従って構成を完了します。
  3. [ OK ] をクリックして変更を保存します。変更を破棄する場合は、[ キャンセル] をクリックします。

表 1 に、「画面の追加」ページのフィールドを示します。

表 1: [画面の追加] ページのフィールド

アクション

メイン

スクリーンネーム

画面オブジェクトの名前を入力します。

画面の説明

画面オブジェクトの内容説明を入力します。

パケットをドロップせずにアラームを生成

チェックボックスをオンにすると、この機能が有効になります。

IPスプーフィング

チェックボックスをオンにすると、この機能が有効になります。

IP アドレス スプーフィングを有効にできることを指定します。IPスプーフィングとは、パケットヘッダーに偽の送信元アドレスを挿入して、パケットが信頼できる送信元から送信されたように見せることです。

IPスイープ

チェックボックスをオンにすると、この機能が有効になります。

ICMP アドレス スイープの数を指定します。IPアドレススイープは、アクティブなホストからの応答をトリガーする目的で発生する可能性があります。

IP スイープの時間間隔を入力します。

手記:

リモートホストがこの間隔内に10個のアドレスにICMPトラフィックを送信すると、IPアドレススイープ攻撃にフラグが立てられ、リモートホストからのさらなるICMPパケットは拒否されます。

範囲: 1000 から 1000000 マイクロ秒。デフォルト値は 5000 マイクロ秒です。

ポートスキャン

チェックボックスをオンにすると、この機能が有効になります。

TCP ポート スキャンの回数を指定します。この攻撃の目的は、少なくとも1つのポートが応答することを期待して利用可能なサービスをスキャンし、ターゲットとするサービスを特定することです。

TCP ポート スキャンの時間間隔を入力します。

手記:

リモートホストがこの間隔内に 10 個のポートをスキャンすると、ポートスキャン攻撃にフラグが立てられ、リモートホストからのそれ以降のパケットは拒否されます。

範囲: 1000 から 1000000 マイクロ秒。デフォルト値は 5000 マイクロ秒です。

MS-Windowsディフェンス

WinNuke 攻撃保護 - この機能を有効にするには、チェック ボックスをオンにします。

手記:

WinNukeは、Windowsオペレーティングシステムを実行しているインターネット上の任意のコンピューターを標的とするDoS攻撃です。

IPv6チェック

次の詳細を入力します。

  • 不正な形式の IPv6:IPv6 の不正な形式のヘッダー侵入検出サービス(IDS)オプションを有効にするには、このチェックボックスをオンにします。

  • [不正な ICMPv6]:このチェックボックスをオンにすると、[ICMPv6 の不正な IDS] オプションが有効になります。

サービス拒否

陸上攻撃防御

チェックボックスをオンにすると、この機能が有効になります。

手記:

ランド攻撃は、攻撃者が被害者のIPアドレスを宛先と送信元の両方のIPアドレスとして含むなりすましのSYNパケットを送信した場合に発生します。

ティアドロップ攻撃防御

チェックボックスをオンにすると、この機能が有効になります。

手記:

ティアドロップ攻撃は、フラグメント化されたIPパケットの再構築を悪用します。

ICMPフラグメント保護

チェックボックスをオンにすると、この機能が有効になります。

手記:

ICMPパケットには、非常に短いメッセージが含まれています。ICMPパケットがフラグメント化される正当な理由はありません。

死の攻撃保護のPing

チェックボックスをオンにすると、この機能が有効になります。

手記:

有効な最大長(65,535バイト)を超えるIPパケットが送信されると、ping of deathが発生します。

大型ICMPパケット保護

チェックボックスをオンにすると、この機能が有効になります。

フラグメントトラフィックのブロック

チェックボックスをオンにすると、この機能が有効になります。

SYN-ACK-ACK プロキシ保護

チェックボックスをオンにすると、この機能が有効になります。

SYN-ACK-ACK プロキシ保護のしきい値を入力します。

手記:

範囲は 1 から 250000 セッションからです。デフォルト値は 512 セッションです。

異常

IPアドレス

次の詳細を入力します。

  • [不適切なオプション(Bad Option)]:チェックボックスを選択して、不適切なオプション カウンタの数を指定します。

  • セキュリティ:ホストがセキュリティを送信する方法を有効にするには、チェックボックスをオンにします。

  • 不明なプロトコル:チェックボックスを選択して、セキュリティ付きIPアドレスオプションを有効にします。

  • [厳密な送信元ルート(Strict Source route)]:このチェックボックスをオンにすると、パケットが送信元から宛先に移動する経路リスト全体が有効になります。

  • [ソース ルート(Source route)]:チェックボックスを選択して、この機能を有効にします。

    IP送信がその宛先に向かう途中で取ることができるソースで設定された装置のIPアドレスの数を指定します。

  • [タイムスタンプ(Timestamp)]:チェックボックスをオンにすると、各ネットワークデバイスが発信元から宛先までの移動中にパケットを受信したときに記録される時間(UTC)が有効になります。

  • [ストリーム(Stream)]:このチェックボックスをオンにすると、16 ビットの SATNET ストリーム識別子がストリーミングをサポートしないネットワーク経由で伝送される方法が可能になります。

  • ルーズ ソース ルート:このチェックボックスをオンにすると、パケットが送信元から宛先への移動を実行するための部分的なルート リストが有効になります。

  • [ルートの記録(Record route)]:このチェックボックスをオンにすると、IP パケットが移動するパスに沿ったネットワーク デバイスの IP アドレスを記録できます。

TCP

次の詳細を入力します。

  • SYN フラグメント保護:TCP SYN フラグメントの数を有効にするには、チェックボックスをオンにします。

  • SYN および FIN フラグ セット保護:TCP SYN および FIN フラグの数を有効にするには、このチェックボックスをオンにします。

    手記:

    このオプションを有効にすると、Junos OS は TCP ヘッダーに SYN フラグと FIN フラグが設定されているかどうかをチェックします。そのようなヘッダーを検出すると、パケットをドロップします。

  • [ACK フラグ セット保護なしの FIN フラグ(FIN フラグ)]:ACK フラグが設定されていない TCP FIN フラグの数を有効にするには、このチェックボックスをオンにします。

  • フラグ セット保護なしの TCP パケット:フラグが設定されていない TCP ヘッダーの数を有効にするには、このチェックボックスをオンにします。

    手記:

    通常の TCP セグメント ヘッダーには、少なくとも 1 つのフラグ コントロール セットがあります。

洪水防御

同じソースからのセッションを制限する

同じ送信元 IP からのセッションを制限する範囲を入力します。

範囲: 1 から 50000 セッション。

同じ宛先からのセッションを制限する

同じ宛先IPからのセッションを制限する範囲を入力します。範囲は 1 から 50000 セッションからです。

範囲: 1 から 8000000 セッション/秒。デフォルト値は 128 セッションです。

ICMPフラッド防御

チェックボックスを選択して、インターネット制御メッセージプロトコル(ICMP)フラッドカウンターを有効にします。

手記:

ICMPフラッディングは通常、ICMPエコー要求が応答時にすべてのリソースを使用し、有効なネットワークトラフィックを処理できない場合に発生します。

ICMP フラッド防御のしきい値を入力します。

手記:

範囲: 1 から 4000000 ICMP pps。

UDPフラッド防御

チェック・ボックスを選択して、ユーザー・データグラム・プロトコル (UDP) フラッド・カウンターを使用可能にします。

手記:

UDP フラッディングは、攻撃者が UDP データグラムを含む IP パケットを低速のシステム リソースに送信し、有効な接続を処理できないようにしたときに発生します。

UDP フラッディング防御のしきい値を入力します。

手記:

範囲: 1 から 100000 セッション。デフォルト値は 1000 セッションです。

UDP 許可リスト

  1. [ 選択] をクリックします。

    UDP 許可リスト ウィンドウが表示されます。

  2. [+] をクリックして、許可リストに登録する IP アドレスを追加します。

    [許可リストの追加]ウィンドウが表示されます。

  3. 次の詳細を入力します。

    • 名前:IP アドレスのグループを識別する名前を入力します。

    • IPv4/IPv6 アドレス - IPv4 または IPv6 アドレスを入力します。

    • IPv4/IPv6 アドレス - 入力したアドレスを一覧表示します。

      手記:

      IP アドレスを選択し、[ X ] をクリックすると削除できます。

  4. [ OK ] をクリックして変更を保存します。

  5. [使用可能(Available)] 列から [許可リストの追加] ウィンドウで入力した IP アドレスのグループに関連付けた [UDP ホワイトリスト] ページで許可リスト名を選択し、右矢印を使用して [選択済み] 列に移動します。

  6. [ OK ] をクリックして変更を保存します。

手記:
  • [UDP 許可リスト] オプションは、[UDP フラッド保護] を選択した場合にのみ有効になります。

  • UDPホワイトリストウィンドウで作成した許可リストは、TCPホワイトリストウィンドウでも選択できるようになります。

UDP ホワイト リスト ページで許可リストを編集するには、許可リスト名を選択し、鉛筆アイコンをクリックします。

[UDP ホワイトリスト] ページで許可リストを削除するには、許可リスト名を選択し、削除アイコンをクリックします。

SYNフラッド防御

このチェック・ボックスを選択して、すべてのしきい値および ager タイムアウト・オプションを有効にします。

不完全な接続要求を開始する SYN セグメントにホストが圧倒され、正当な接続要求を処理できなくなった場合に、SYN フラッディングが発生することを指定します。

TCP 許可リスト

  1. [ 選択] をクリックします。

    TCP 許可リスト ウィンドウが表示されます。

  2. [+] をクリックして、許可する IP アドレスを追加します。

    [許可リストの追加]ウィンドウが表示されます。

  3. 次の詳細を入力します。

    • 名前:IP アドレスのグループを識別する名前を入力します。

    • IPv4/IPv6 アドレス - IPv4 または IPv6 アドレスを入力します。

    • IPv4/IPv6 アドレス - 入力したアドレスを一覧表示します。

      手記:

      IP アドレスを選択し、[ X ] をクリックすると削除できます。

  4. [ OK ] をクリックして変更を保存します。

  5. [使用可能(Available)] 列から [許可リストの追加] ウィンドウで入力した IP アドレスのグループに関連付けた [TCP ホワイトリスト] ページで許可リスト名を選択し、右矢印を使用して [選択済み] 列に移動します。

  6. [ OK ] をクリックして変更を保存します。

手記:
  • TCP ホワイト リスト オプションは、SYN フラッド保護を選択した場合にのみ有効になります。

  • TCP許可リストウィンドウで作成した許可リストは、UDPホワイトリストウィンドウでも選択できるようになります。

[TCP ホワイト リスト(TCP ホワイト リスト)] ページで許可リストを編集するには、許可リスト名を選択し、鉛筆アイコンをクリックします。

[TCP ホワイト リスト] ページで許可リストを削除するには、許可リスト名を選択し、削除アイコンをクリックします。

攻撃の閾値

値を入力して、SYN プロキシ メカニズムをトリガーするために必要な SYN パケット数/秒を指定します。

手記:

範囲: 1 秒あたり 1 から 1000000 のプロキシ要求。デフォルトの攻撃しきい値は 625 pps です。

アラームしきい値

値が入力され、デバイスがイベント アラーム ログにエントリを作成する1秒あたりのハーフコンプリートプロキシ接続数を指定します。

手記:

範囲: 1 から 1000000 セグメント/秒。デフォルトのアラームしきい値は 250 pps です。

ソースしきい値

値が入力され、デバイスがその送信元からの接続要求のドロップを開始する前に、(宛先 IP アドレスとポート番号に関係なく)単一の送信元 IP アドレスから 1 秒あたりに受信する SYN セグメントの数を指定します。

手記:

範囲:毎秒4〜1000000セグメント。デフォルトのソースしきい値は 25 pps です。

宛先しきい値

値が入力され、デバイスが宛先への接続要求のドロップを開始する前に、単一の宛先 IP アドレスに対して 1 秒あたりに受信する SYN セグメントの数を指定します。保護されたホストが複数のサービスを実行する場合は、宛先ポート番号に関係なく、宛先 IP アドレスのみに基づいてしきい値を設定できます。

手記:

範囲:毎秒4〜1000000セグメント。デフォルトの宛先しきい値は 0 pps です。

エイガータイムアウト

ハーフ完了した接続がキューからドロップされるまでの最大時間を指定する値を入力します。通常のトラフィック状態でドロップされた接続が表示されるまで、タイムアウト値を減らすことができます。

範囲: 1 から 50 秒。デフォルト値は20秒です。

手記:

20 秒は、不完全な接続要求を保持するのに妥当な時間です。

IPv6 EXTヘッダー

定義済みヘッダーの種類

次の画面オプションを設定します。

  • ホップバイホップヘッダー:リストからオプションを選択し、値を入力し、[ + ] をクリックして追加します。

    削除するには、1 つまたは複数のヘッダーを選択し、[ X] をクリックします。

  • 宛先ヘッダー - リストからオプションを選択し、値を入力して [+ ] をクリックして追加します。

    削除するには、1 つまたは複数のヘッダーを選択し、[ X] をクリックします。

ルーティングヘッダー

チェックボックスをオンにして、IPv6ルーティングヘッダー画面オプションを有効にします。

ESP ヘッダー

チェックボックスをオンにすると、[IPv6 カプセル化セキュリティペイロードのヘッダー画面]画面オプションが有効になります。

No-Nextヘッダー

このチェック・ボックスを選択して、「IPv6 の次のヘッダーなし」画面オプションを有効にします。

モビリティヘッダー

チェックボックスをオンにして、IPv6モビリティヘッダー画面オプションを有効にします。

フラグメントヘッダー

チェックボックスを選択して、IPv6フラグメントヘッダー画面オプションを有効にします。

AH ヘッダー

チェックボックスを選択して、[IPv6認証ヘッダー]画面オプションを有効にします。

Shim6 ヘッダー

チェック・ボックスを選択して、「IPv6 shim ヘッダー画面」オプションを有効にします。

HIPヘッダー

チェックボックスを選択して、IPv6ホスト識別プロトコルヘッダー画面オプションを有効にします。

カスタマ定義ヘッダタイプ

ヘッダー範囲のタイプを定義する値を入力し、[ + ] をクリックして追加します。

範囲: 0 から 255。

削除するには、1 つ以上のヘッダー タイプを選択し、[ X] をクリックします。

IPv6 extヘッダーの制限

画面を通過できる IPv6 拡張ヘッダーの数を設定する値を入力します。

範囲: 0 から 32。

ゾーンに適用

ゾーンに適用

[使用可能] 列からゾーンを選択し、右矢印を使用して [選択済み] 列に移動します。