既定のパケット処理オプションについて

Firebox はパケットを受信すると、パケットの発信元および宛先を調査します。IP アドレスおよびポート番号が確認されます。また、デバイスでは、パケットを監視して、ネットワークが危険にさらされていることを示すパターンがないかを調査します。このプロセスは 既定のパケット処理 と呼びます。

既定のパケット処理では、以下の処理を行うことができます。

  • スプーフィング攻撃または SYN フラッド攻撃の一部である可能性のあるパケットなど、セキュリティ リスクとなる可能性のあるパケットを拒否する
  • IP アドレスへの送受信を行うすべてのトラフィックを自動的にブロックする
  • ログ ファイルにイベントを追加する
  • SNMP Management Server に SNMP トラップを送信する
  • 発生する可能性のあるセキュリティ リスクに関する通知を送信する

IPv4 と IPv6 トラフィックの両方に適用される IPSec、IKE、ICMP、SYN、および UDP フラッド攻撃に関連する既定のパケット処理オプション。その他のオプションはすべて IPv4 トラフィックにのみ適用されます。

Firebox がアクションを実行可能な脅威の種類の詳細については、次を参照してください:

ドロップインまたはブリッジ モードで構成されている Firebox では、default-packet-handling CLI コマンドを使用して、Firebox により ARP スプーフィング攻撃をドロップすることができます。このオプションは CLI のみで設定可能で、Fireware v12.2 以降でサポートされています。詳細については、製品ドキュメント ページの Command Line Interface リファレンス を参照してください。

既定のパケット処理を構成します

既定の Firebox の設定では、ほとんどの既定のパケット処理オプションが有効になっています。Firebox が実行するアクションのしきい値を変更することができます。既定のパケット処理のために選択したオプションを変更できます。

既定のパケット処理を設定するには、Fireware Web UI から以下の手順を実行します:

  1. ファイアウォール > 既定のパケット処理 の順に選択します。
    既定のパケット処理ページが開きます。

既定のパケット処理 ページのスクリーンショット

  1. アクションを実行する対象となるトラフィック パターンに対応するチェックボックスをオンにしてください。

既定のパケット処理を構成するには、Policy Manager から以下の手順を実行します:

  1. [既定のパケット処理] アイコン をクリックします。
    または、設定 > 既定の脅威防止 > 既定のパケット処理 の順に選択します。
    既定のパケット処理ダイアログ ボックスが開きます。

既定のパケット処理 ダイアログ ボックスのスクリーンショット

  1. アクションを実行する対象となるトラフィック パターンに対応するチェックボックスをオンにしてください。

ログ記録および通知オプションを設定する

既定のパケット処理 ダイアログ ボックスで指定されたイベントが発生すると、既定のデバイス設定は Firebox にログ メッセージを送信するよう指示します。

これらのイベントのログ メッセージは既定で有効化されており、無効にすることはできません:

  • IP および ARP スプーフィング攻撃
  • ポートとアドレス スキャン
  • IP ソース ルーティング
  • Ping-of-Death
  • IPSec、IKE、SYN、ICMP、UDP フラッド攻撃
  • DDOS 攻撃のソースと対象

これらのイベントのログ メッセージは既定で有効化されていますが、必要に応じて無効にすることができます。

  • 未処理の内部および外部パケット — 未処理のパケットとは、どのポリシー ルールにも一致しないパケットのことです。既定では、Firebox は常に未処理のパケットを拒否し、その発生を記録します。

これらのイベントのログ メッセージは既定で無効化されていますが、必要に応じて有効にすることができます。

  • 着信および発信ブロードキャスト — 既定では、許可された着信および発信ブロードキャストは記録されません。これらの許可されたブロードキャストのログ メッセージを送信するには、このオプションを有効にします。許可されているブロードキャストには、DHCP (Firebox デバイスが DHCP サーバーとして構成されている場合)、DHCP 中継、および BOVPN ブロードキャスト/マルチキャスト ルーティングが含まれます。拒否されたブロードキャストは、既定により必ず記録されます。

SNMP トラップまたは通知を構成するには、次の手順に従います。

  1. ログ記録 をクリックします。
    ログ記録と通知ダイアログ ボックスが開きます。
  2. 次に説明されているように、通知設定を構成します: ログ記録と通知の基本設定を行う

詳細については、次を参照してください:SNMP について または 通知について

関連情報:

ブロックされたサイトについて

ブロックされたポートについて