分散サービス拒否攻撃について
分散サービス拒否 (DDoS) 攻撃は、フラッド攻撃とほぼ同じです。DDoS 攻撃では、さまざまなクライアントおよびサーバーが 1 台のコンピュータ システムに接続を送信することによって、システムに大きな負荷をかけようとします。DDoS攻撃が発生した場合、正式なユーザーが対象システムを使用できなくなります。
Firebox の既定の構成では、DDoS 攻撃を遮断するようになっています。この機能の設定を変更し、1 秒間に許可する最大パケット数を変更することができます。
次のオプションを設定できます:
サーバー クォータ当たり
サーバーごとのクォータは、すべての外部送信元から Firebox 外部インターフェイスへの1 秒あたりの接続数の制限を適用します。これには、静的 NAT ポリシーにより許可されている内部サーバーへの接続も含まれます。サーバーごとのクォータ は、発信元 IP アドレスにかかわらず、1 つの宛先 IP アドレスへの接続要求の数に基づく数値です。しきい値に達した後、Firebox はすべてのホストからの受信接続要求を切断します。
たとえば、サーバーごとのクォータの既定値が 100 に設定されている場合、1 秒の時間範囲で全ての外部 IP アドレスから受信したもののうち、Firebox は 101 番目以降の接続要求を切断されます。発信元 IP アドレスはブロックされたサイト リストに追加されません。
クライアント クォータ当たり
クライアントごとのクォータにより、Firebox で保護されている発信元からすべての宛先への 1 秒あたりのアウトバウンド接続の数に制限が適用されます。クライアントごとのクォータ は、宛先 IP アドレスにかかわらず、1 つの発信元 IP アドレスからの接続要求の数に基づく数値です。
たとえば、クライアントごとのクォータの既定値が 100 に設定されている場合、1 秒の時間範囲で信頼されているネットワークまたは任意ネットワーク上の IP アドレスから受信したもののうち、宛先 IP に関わらず Firebox は 101 番目以降の接続要求を切断します。発信元 IP アドレスはブロックされたサイト リストに追加されません。
- ファイアウォール > 既定のパケット処理 の順に選択します。
既定のパケット処理ページが開きます。
- サーバーごとのクォータ および クライアントごとのクォータ チェックボックスをオンまたはオフにします。
- サーバーごとのクォータ と クライアントごとのクォータ の制限を設定します。
DDos 攻撃を遮断するには、Policy Manager から以下の手順を実行します。
-
をクリックします。
または、設定 > 既定の脅威防止 > 既定のパケット処理 の順に選択します。
既定のパケット処理ダイアログ ボックスが開きます。
- サーバーごとのクォータ および クライアントごとのクォータ チェックボックスをオンまたはオフにします。
- サーバーごとのクォータ と クライアントごとのクォータ の制限を設定します。