画面を追加
ここにいる: セキュリティポリシー & オブジェクト > ゾーン/スクリーン。
画面を追加するには、次の手順に示します。
表 1 では、[画面の追加] ページのフィールドについて説明します。
フィールド |
アクション |
---|---|
メイン | |
画面名 |
画面オブジェクトの名前を入力します。 |
画面の説明 |
画面オブジェクトの説明を入力します。 |
パケットをドロップせずにアラームを生成 |
この機能を有効にする場合は、このチェック ボックスをオンにします。 |
IP スプーフィング |
この機能を有効にする場合は、このチェック ボックスをオンにします。 IP アドレス スプーフィングを有効にできることを指定します。IPスプーフィングとは、パケットヘッダーに誤った送信元アドレスが挿入され、パケットが信頼できる送信元から取得しているように見せかける場合です。 |
IP スイープ |
この機能を有効にする場合は、このチェック ボックスをオンにします。 ICMP アドレス スイープの数を指定します。IPアドレススイープは、アクティブホストからの応答をトリガーする意図で発生する可能性があります。 |
しきい値 |
IP スイープの時間間隔を入力します。
メモ:
リモート ホストがこの間隔で ICMP トラフィックを 10 個のアドレスに送信すると、IP アドレス スイープ攻撃にフラグが立てられ、さらにリモート ホストからの ICMP パケットが拒否されます。 範囲:1000~1000000マイクロ秒。デフォルト値は5000マイクロ秒です。 |
ポート スキャン |
この機能を有効にする場合は、このチェック ボックスをオンにします。 TCP ポート スキャンの数を指定します。この攻撃の目的は、少なくとも 1 つのポートが応答することを期待して利用可能なサービスをスキャンし、ターゲットにするサービスを特定することです。 |
しきい値 |
TCP ポート スキャンの時間間隔を入力します。
メモ:
リモート ホストがこの間隔で 10 個のポートをスキャンすると、ポート スキャン攻撃にフラグが立てられ、リモート ホストからのそれ以上のパケットが拒否されます。 範囲:1000~1000000マイクロ秒。デフォルト値は5000マイクロ秒です。 |
MS-Windows 防御 |
WinNuke 攻撃防御 — この機能を有効にするには、このチェック ボックスをオンにします。
メモ:
WinNuke は、Windows オペレーティング システムを実行しているインターネット上の任意のコンピューターを標的とする DoS 攻撃です。 |
IPv6 チェック |
以下の詳細を入力します。
|
サービス拒否 | |
土地攻撃防御 |
この機能を有効にする場合は、このチェック ボックスをオンにします。
メモ:
ランド攻撃は、攻撃者が被害者の IP アドレスを含むスプーフィングされた SYN パケットを宛先 IP アドレスと送信元 IP アドレスの両方として送信した場合に発生します。 |
破棄する攻撃防御 |
この機能を有効にする場合は、このチェック ボックスをオンにします。
メモ:
破棄攻撃は、フラグメント化された IP パケットの再構築を悪用します。 |
ICMP フラグメント保護 |
この機能を有効にする場合は、このチェック ボックスをオンにします。
メモ:
ICMP パケットには非常に短いメッセージが含まれています。ICMP パケットをフラグメント化する正当な理由はありません。 |
死のPing攻撃保護 |
この機能を有効にする場合は、このチェック ボックスをオンにします。
メモ:
最大法的長(65,535 バイト)を超える IP パケットが送信されると、ping of death が発生します。 |
大規模な ICMP パケット保護 |
この機能を有効にする場合は、このチェック ボックスをオンにします。 |
フラグメント トラフィックのブロック |
この機能を有効にする場合は、このチェック ボックスをオンにします。 |
SYN-ACK-ACK プロキシ保護 |
この機能を有効にする場合は、このチェック ボックスをオンにします。 |
しきい値 |
SYN-ACK-ACK プロキシ保護のしきい値を入力します。
メモ:
範囲は 1~250000 セッションです。デフォルト値は512セッションです。 |
異常 | |
Ip |
以下の詳細を入力します。
|
Tcp |
以下の詳細を入力します。
|
フラッド防御 | |
同じソースからのセッションを制限 |
同じソース IP からセッションが制限される範囲を入力します。 範囲:1~5,0000 セッション |
同じ宛先からのセッションを制限する |
同じ宛先 IP からセッションが制限される範囲を入力します。範囲は、1~5,0000 セッションです。 範囲:1~8000000 セッション/秒。デフォルト値は128セッションです。 |
ICMP フラッド保護 |
インターネット制御メッセージ プロトコル(ICMP)フラッド カウンターを有効にする場合は、このチェック ボックスをオンにします。
メモ:
ICMP フラッドは、通常、ICMP エコー要求が応答においてすべてのリソースを使用する場合に発生し、有効なネットワーク トラフィックを処理できなくなります。 |
しきい値 |
ICMP フラッド保護のしきい値を入力します。
メモ:
範囲:1~4000000 ICMP pps。 |
UDP フラッド保護 |
ユーザー データグラム プロトコル(UDP)フラッド カウンターを有効にする場合は、このチェック ボックスをオンにします。
メモ:
UDP フラッディングは、攻撃者が UDP データグラムを含む IP パケットをシステム リソースに送信し、有効な接続を処理できなくなった場合に発生します。 |
しきい値 |
UDP フラッド保護のしきい値を入力します。
メモ:
範囲:1~100000セッション。デフォルト値は1000セッションです。 |
UDP 許可リスト |
メモ:
UDP[許可リスト]ページで許可リストを編集するには、許可リスト名を選択して鉛筆アイコンをクリックします。 UDP 許可リスト ページで許可リストを削除するには、許可リスト名を選択し、削除アイコンをクリックします。 |
SYNフラッド防御 |
すべてのしきい値と管理タイムアウトオプションを有効にする場合は、このチェック ボックスをオンにします。 不完全な接続要求を開始するSYNセグメントがホストを圧倒し、正規の接続要求を処理できなくなった場合に、SYNフラッディングが発生することを指定します。 |
TCP 許可リスト |
メモ:
TCP[許可リスト]ページで許可リストを編集するには、許可リスト名を選択して鉛筆アイコンをクリックします。 TCP許可リストページで許可リストを削除するには、許可リスト名を選択して削除アイコンをクリックします。 |
攻撃のしきい値 |
SYN プロキシ メカニズムのトリガーに必要な 1 秒あたりの SYN パケット数を指定する値を入力します。
メモ:
範囲: 1~1000000 プロキシー・リクエスト/秒デフォルトの攻撃しきい値は625 ppsです。 |
アラームしきい値 |
値を入力して、デバイスがイベント アラーム ログにエントリを作成する 1 秒あたり半分完全なプロキシ接続の数を指定します。
メモ:
範囲:1~1000000 セグメント/秒。デフォルトのアラームしきい値は250 ppsです。 |
送信元のしきい値 |
1 つのソース IP アドレスから 1 秒に受信する SYN セグメントの数を指定する値を入力します(宛先 IP アドレスとポート番号に関係なく)。
メモ:
範囲:1秒あたり4~1000000セグメント。ソースのデフォルトしきい値は 25 pps です。 |
宛先のしきい値 |
デバイスがその宛先への接続リクエストのドロップを開始する前に、単一の宛先IPアドレスに対して1秒に受信するSYNセグメントの数を指定する値を入力します。保護されたホストが複数のサービスを実行する場合、宛先ポート番号に関係なく、宛先 IP アドレスのみに基づいてしきい値を設定することができます。
メモ:
範囲:1秒あたり4~1000000セグメント。デフォルトの宛先閾値は0 ppsです。 |
Ager タイムアウト |
半分完了の接続がキューからドロップするまでの最大時間を指定する値を入力します。正常なトラフィック状態中に接続が切断されるまで、タイムアウト値を小さくすることができます。 範囲:1~50秒。デフォルト値は20秒です。
メモ:
20秒は、不完全な接続要求を保持するのに合理的な時間です。 |
IPv6 EXTヘッダー | |
定義済みヘッダー タイプ |
以下の画面オプションを設定します。
|
ルーティング ヘッダー |
IPv6 ルーティング ヘッダー画面オプションを有効にする場合は、このチェック ボックスをオンにします。 |
ESP ヘッダー |
IPv6 カプセル化セキュリティ ペイロード ヘッダー画面オプションを有効にする場合は、このチェック ボックスをオンにします。 |
次のヘッダーなし |
[IPv6 に次のヘッダー画面がない] オプションを有効にする場合は、このチェック ボックスをオンにします。 |
モビリティ ヘッダー |
IPv6 モビリティ ヘッダー画面オプションを有効にする場合は、このチェック ボックスをオンにします。 |
フラグメント ヘッダー |
IPv6 フラグメント ヘッダー画面オプションを有効にする場合は、このチェック ボックスをオンにします。 |
AH ヘッダー |
IPv6 認証ヘッダー画面オプションを有効にする場合は、このチェック ボックスをオンにします。 |
新しいヘッダー |
IPv6 シン ヘッダー画面オプションを有効にする場合は、このチェック ボックスをオンにします。 |
HIP ヘッダー |
IPv6 ホスト識別プロトコルヘッダー画面オプションを有効にする場合は、このチェック ボックスをオンにします。 |
顧客定義ヘッダー タイプ |
ヘッダー範囲のタイプを定義する値を入力し、 + をクリックして追加します。 範囲:0~255 削除するには、1 つ以上のヘッダー タイプを選択して [X] をクリックします。 |
IPv6 extヘッダー制限 |
画面を通過できる IPv6 拡張ヘッダーの数を設定する値を入力します。 範囲:0~32 |
ゾーンに適用 | |
ゾーンに適用 |
[使用可能] 列からゾーンを選択し、右矢印を使用してゾーンを選択した列に移動します。 |