Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

画面を追加

ここにいる: セキュリティポリシー & オブジェクト > ゾーン/スクリーン

画面を追加するには、次の手順に示します。

  1. 画面リスト ページの右上にある追加アイコン (+) をクリックします。

    [画面の追加] ページが表示されます。

  2. 表 1 に示すガイドラインに従って、設定を完了します。
  3. [OK] をクリックして変更を保存します。変更を破棄する場合は、[キャンセル] をクリックします。

表 1 では、[画面の追加] ページのフィールドについて説明します。

表 1: 追加画面ページのフィールド

フィールド

アクション

メイン

画面名

画面オブジェクトの名前を入力します。

画面の説明

画面オブジェクトの説明を入力します。

パケットをドロップせずにアラームを生成

この機能を有効にする場合は、このチェック ボックスをオンにします。

IP スプーフィング

この機能を有効にする場合は、このチェック ボックスをオンにします。

IP アドレス スプーフィングを有効にできることを指定します。IPスプーフィングとは、パケットヘッダーに誤った送信元アドレスが挿入され、パケットが信頼できる送信元から取得しているように見せかける場合です。

IP スイープ

この機能を有効にする場合は、このチェック ボックスをオンにします。

ICMP アドレス スイープの数を指定します。IPアドレススイープは、アクティブホストからの応答をトリガーする意図で発生する可能性があります。

しきい値

IP スイープの時間間隔を入力します。

メモ:

リモート ホストがこの間隔で ICMP トラフィックを 10 個のアドレスに送信すると、IP アドレス スイープ攻撃にフラグが立てられ、さらにリモート ホストからの ICMP パケットが拒否されます。

範囲:1000~1000000マイクロ秒。デフォルト値は5000マイクロ秒です。

ポート スキャン

この機能を有効にする場合は、このチェック ボックスをオンにします。

TCP ポート スキャンの数を指定します。この攻撃の目的は、少なくとも 1 つのポートが応答することを期待して利用可能なサービスをスキャンし、ターゲットにするサービスを特定することです。

しきい値

TCP ポート スキャンの時間間隔を入力します。

メモ:

リモート ホストがこの間隔で 10 個のポートをスキャンすると、ポート スキャン攻撃にフラグが立てられ、リモート ホストからのそれ以上のパケットが拒否されます。

範囲:1000~1000000マイクロ秒。デフォルト値は5000マイクロ秒です。

MS-Windows 防御

WinNuke 攻撃防御 — この機能を有効にするには、このチェック ボックスをオンにします。

メモ:

WinNuke は、Windows オペレーティング システムを実行しているインターネット上の任意のコンピューターを標的とする DoS 攻撃です。

IPv6 チェック

以下の詳細を入力します。

  • 異常な IPv6 — IPv6 異常ヘッダー侵入検出サービス(IDS)オプションを有効にするには、このチェック ボックスをオンにします。

  • 異常な ICMPv6—ICMPv6 異常 IDS オプションを有効にするには、このチェック ボックスをオンにします。

サービス拒否

土地攻撃防御

この機能を有効にする場合は、このチェック ボックスをオンにします。

メモ:

ランド攻撃は、攻撃者が被害者の IP アドレスを含むスプーフィングされた SYN パケットを宛先 IP アドレスと送信元 IP アドレスの両方として送信した場合に発生します。

破棄する攻撃防御

この機能を有効にする場合は、このチェック ボックスをオンにします。

メモ:

破棄攻撃は、フラグメント化された IP パケットの再構築を悪用します。

ICMP フラグメント保護

この機能を有効にする場合は、このチェック ボックスをオンにします。

メモ:

ICMP パケットには非常に短いメッセージが含まれています。ICMP パケットをフラグメント化する正当な理由はありません。

死のPing攻撃保護

この機能を有効にする場合は、このチェック ボックスをオンにします。

メモ:

最大法的長(65,535 バイト)を超える IP パケットが送信されると、ping of death が発生します。

大規模な ICMP パケット保護

この機能を有効にする場合は、このチェック ボックスをオンにします。

フラグメント トラフィックのブロック

この機能を有効にする場合は、このチェック ボックスをオンにします。

SYN-ACK-ACK プロキシ保護

この機能を有効にする場合は、このチェック ボックスをオンにします。

しきい値

SYN-ACK-ACK プロキシ保護のしきい値を入力します。

メモ:

範囲は 1~250000 セッションです。デフォルト値は512セッションです。

異常

Ip

以下の詳細を入力します。

  • 不正オプション — 不正オプション カウンターの数を指定する場合は、このチェック ボックスをオンにします。

  • セキュリティ — ホストがセキュリティを送信する方法を有効にする場合は、このチェック ボックスをオンにします。

  • 不明なプロトコル — セキュリティ オプション付きの IP アドレスを有効にする場合は、このチェック ボックスをオンにします。

  • ストリクト ソース ルート — 送信元から宛先へのパケットの移動を実行するパケットの完全なルート リストを有効にする場合は、このチェック ボックスをオンにします。

  • 送信元ルート — この機能を有効にするには、このチェック ボックスをオンにします。

    IP 伝送が宛先に向けて取ることを許可される送信元で設定されたデバイスの IP アドレスの数を指定します。

  • タイムスタンプ — 送信元から宛先への接続時に各ネットワーク デバイスがパケットを受信したときに(UTC で)記録される時間を有効にする場合は、このチェック ボックスをオンにします。

  • Stream —ストリーミングをサポートしていないネットワークを介して16ビットSATNETストリーム識別子を転送する方法を有効にする場合は、このチェック ボックスをオンにします。

  • ルーズ ソース ルート — 送信元から宛先へのパケットのルート リストの一部を有効にする場合は、このチェック ボックスをオンにします。

  • 記録ルート — IP パケットが移動するパスに沿ったネットワーク デバイスの IP アドレスを記録できるようにする場合は、このチェック ボックスをオンにします。

Tcp

以下の詳細を入力します。

  • SYN フラグメント保護 — TCP SYN フラグメントの数を有効にする場合は、このチェック ボックスをオンにします。

  • SYNおよびFINフラグセット保護 -TCP SYNおよびFINフラグの数を有効にするには、このチェック ボックスをオンにします。

    メモ:

    このオプションを有効にすると、Junos OSはSYNおよびFINフラグがTCPヘッダーで設定されているかをチェックします。このようなヘッダーを検出すると、パケットをドロップします。

  • ACK フラグセット保護なしの FIN フラグ — ACK フラグを設定せずに設定された TCP FIN フラグの数を有効にする場合は、このチェック ボックスをオンにします。

  • フラグセット保護なしのTCPパケット — フラグセットなしのTCPヘッダーの数を有効にする場合は、このチェック ボックスをオンにします。

    メモ:

    通常の TCP セグメント ヘッダーには、少なくとも 1 つのフラグ制御セットがあります。

フラッド防御

同じソースからのセッションを制限

同じソース IP からセッションが制限される範囲を入力します。

範囲:1~5,0000 セッション

同じ宛先からのセッションを制限する

同じ宛先 IP からセッションが制限される範囲を入力します。範囲は、1~5,0000 セッションです。

範囲:1~8000000 セッション/秒。デフォルト値は128セッションです。

ICMP フラッド保護

インターネット制御メッセージ プロトコル(ICMP)フラッド カウンターを有効にする場合は、このチェック ボックスをオンにします。

メモ:

ICMP フラッドは、通常、ICMP エコー要求が応答においてすべてのリソースを使用する場合に発生し、有効なネットワーク トラフィックを処理できなくなります。

しきい値

ICMP フラッド保護のしきい値を入力します。

メモ:

範囲:1~4000000 ICMP pps。

UDP フラッド保護

ユーザー データグラム プロトコル(UDP)フラッド カウンターを有効にする場合は、このチェック ボックスをオンにします。

メモ:

UDP フラッディングは、攻撃者が UDP データグラムを含む IP パケットをシステム リソースに送信し、有効な接続を処理できなくなった場合に発生します。

しきい値

UDP フラッド保護のしきい値を入力します。

メモ:

範囲:1~100000セッション。デフォルト値は1000セッションです。

UDP 許可リスト

  1. [ 選択] をクリックします

    UDP 許可リスト ウィンドウが表示されます。

  2. 許可リストにしたい IP アドレスを追加するには、 + をクリックします。

    [許可リストの追加] ウィンドウが表示されます。

  3. 以下の詳細を入力します。

    • 名前 — IP アドレスのグループを識別する名前を入力します。

    • IPv4/IPv6アドレス—IPv4またはIPv6アドレスを入力します。

    • IPv4/IPv6 アドレス(es)— 入力したアドレスをリストします。

      メモ:

      IP アドレスを選択し、 X をクリックして削除できます。

  4. [OK] をクリックして変更を保存します。

  5. [使用可能] 列から [許可リストの追加] ウィンドウに入力した IP アドレスのグループに関連付けた UDP 許可リストの名前を選択し、右矢印を使用して選択した列に移動します。

  6. [OK] をクリックして変更を保存します。

メモ:
  • UDP 許可リスト オプションは、UDP フラッド保護を選択した場合にのみ有効になります。

  • UDP 許可リスト ウィンドウで作成した許可リストは、TCP 許可リスト ウィンドウでも選択できます。

UDP[許可リスト]ページで許可リストを編集するには、許可リスト名を選択して鉛筆アイコンをクリックします。

UDP 許可リスト ページで許可リストを削除するには、許可リスト名を選択し、削除アイコンをクリックします。

SYNフラッド防御

すべてのしきい値と管理タイムアウトオプションを有効にする場合は、このチェック ボックスをオンにします。

不完全な接続要求を開始するSYNセグメントがホストを圧倒し、正規の接続要求を処理できなくなった場合に、SYNフラッディングが発生することを指定します。

TCP 許可リスト

  1. [ 選択] をクリックします

    TCP 許可リスト ウィンドウが表示されます。

  2. 許可する IP アドレスを追加するには、 + をクリックします。

    [許可リストの追加] ウィンドウが表示されます。

  3. 以下の詳細を入力します。

    • 名前 — IP アドレスのグループを識別する名前を入力します。

    • IPv4/IPv6アドレス—IPv4またはIPv6アドレスを入力します。

    • IPv4/IPv6 アドレス(es)— 入力したアドレスをリストします。

      メモ:

      IP アドレスを選択し、 X をクリックして削除できます。

  4. [OK] をクリックして変更を保存します。

  5. [使用可能] 列から [許可リストの追加] ウィンドウに入力した IP アドレスのグループに関連付けた TCP 許可リストの名前を選択し、右矢印を使用して選択した列に移動します。

  6. [OK] をクリックして変更を保存します。

メモ:
  • TCP 許可リスト オプションは、SYN フラッド保護を選択した場合にのみ有効になります。

  • TCP 許可リスト ウィンドウで作成した許可リストは、UDP 許可リスト ウィンドウでも選択できます。

TCP[許可リスト]ページで許可リストを編集するには、許可リスト名を選択して鉛筆アイコンをクリックします。

TCP許可リストページで許可リストを削除するには、許可リスト名を選択して削除アイコンをクリックします。

攻撃のしきい値

SYN プロキシ メカニズムのトリガーに必要な 1 秒あたりの SYN パケット数を指定する値を入力します。

メモ:

範囲: 1~1000000 プロキシー・リクエスト/秒デフォルトの攻撃しきい値は625 ppsです。

アラームしきい値

値を入力して、デバイスがイベント アラーム ログにエントリを作成する 1 秒あたり半分完全なプロキシ接続の数を指定します。

メモ:

範囲:1~1000000 セグメント/秒。デフォルトのアラームしきい値は250 ppsです。

送信元のしきい値

1 つのソース IP アドレスから 1 秒に受信する SYN セグメントの数を指定する値を入力します(宛先 IP アドレスとポート番号に関係なく)。

メモ:

範囲:1秒あたり4~1000000セグメント。ソースのデフォルトしきい値は 25 pps です。

宛先のしきい値

デバイスがその宛先への接続リクエストのドロップを開始する前に、単一の宛先IPアドレスに対して1秒に受信するSYNセグメントの数を指定する値を入力します。保護されたホストが複数のサービスを実行する場合、宛先ポート番号に関係なく、宛先 IP アドレスのみに基づいてしきい値を設定することができます。

メモ:

範囲:1秒あたり4~1000000セグメント。デフォルトの宛先閾値は0 ppsです。

Ager タイムアウト

半分完了の接続がキューからドロップするまでの最大時間を指定する値を入力します。正常なトラフィック状態中に接続が切断されるまで、タイムアウト値を小さくすることができます。

範囲:1~50秒。デフォルト値は20秒です。

メモ:

20秒は、不完全な接続要求を保持するのに合理的な時間です。

IPv6 EXTヘッダー

定義済みヘッダー タイプ

以下の画面オプションを設定します。

  • ホップバイホップヘッダー — リストからオプションを選択し、値を入力し、 + をクリックして追加します。

    削除するには、1 つ以上のヘッダーを選択して [X]をクリックします。

  • 宛先ヘッダー — リストからオプションを選択して値を入力し、 + をクリックして追加します。

    削除するには、1 つ以上のヘッダーを選択して [X]をクリックします。

ルーティング ヘッダー

IPv6 ルーティング ヘッダー画面オプションを有効にする場合は、このチェック ボックスをオンにします。

ESP ヘッダー

IPv6 カプセル化セキュリティ ペイロード ヘッダー画面オプションを有効にする場合は、このチェック ボックスをオンにします。

次のヘッダーなし

[IPv6 に次のヘッダー画面がない] オプションを有効にする場合は、このチェック ボックスをオンにします。

モビリティ ヘッダー

IPv6 モビリティ ヘッダー画面オプションを有効にする場合は、このチェック ボックスをオンにします。

フラグメント ヘッダー

IPv6 フラグメント ヘッダー画面オプションを有効にする場合は、このチェック ボックスをオンにします。

AH ヘッダー

IPv6 認証ヘッダー画面オプションを有効にする場合は、このチェック ボックスをオンにします。

新しいヘッダー

IPv6 シン ヘッダー画面オプションを有効にする場合は、このチェック ボックスをオンにします。

HIP ヘッダー

IPv6 ホスト識別プロトコルヘッダー画面オプションを有効にする場合は、このチェック ボックスをオンにします。

顧客定義ヘッダー タイプ

ヘッダー範囲のタイプを定義する値を入力し、 + をクリックして追加します。

範囲:0~255

削除するには、1 つ以上のヘッダー タイプを選択して [X] をクリックします。

IPv6 extヘッダー制限

画面を通過できる IPv6 拡張ヘッダーの数を設定する値を入力します。

範囲:0~32

ゾーンに適用

ゾーンに適用

[使用可能] 列からゾーンを選択し、右矢印を使用してゾーンを選択した列に移動します。