はじめに
サービス拒否攻撃や分散サービス拒否 (DoS) 攻撃は、インターネットに接続されたホストへのサービスを一時的または無期限に妨害または遮断することを目的とした、ユーザがコンピュータやネットワークのリソースを利用できない状態にする攻撃です。端末が過負荷状態にならないよう、Cloud Edgeを通過する1秒あたりのパケット数を制限することができます。
DoS対策として以下の設定があります。
全製品モデル
[ポリシー] > [セキュリティプロファイル] >[DoS対策]
CE100G2のみ
CE100G2には [セキュリティプロファイル] のDoS対策以外にも、下記に設定があります。
[ゲートウェイ] > 100G2 > [インターフェース] > [sw0]
共通点と異なる点
CE100G2にのみ存在し、ネットワークのsw0画面から行う設定を「100G2フラッド防止」、 すべての製品モデルで [セキュリティプロファイル] 画面から行う設定を「Dos対策」とした場合、共通点と異なる点は以下のとおりです。
共通点
- 各通信のパケット数を監視し、設定した上限値を超えた場合ブロックする。※1回の検出には送信元か送信先のいずれかのみ記録され、他方は空欄となります。(送信元はクライアントIP、送信先はサーバIPに記載されます。)
- ブロックされた通信は3分後自動的に解除する。
異なる点
100G2フラッド防止 | Dos対策 |
---|---|
CE100G2のみの機能 | すべてのモデルに利用可能な共通機能 |
ネットワーク設定として保存され、1台1台で設定する必要がある。また、デバイス交換の際設定し直す必要がある | セキュリティプロファイルに保存され、複数のデバイスに流用も可能。デバイス交換しても再設定は不要 |
TCP / UDP / ICMP / IGMP対応可能 | TCP / UDP / ICMP対応可能 |
TCPは送信元/送信先の組み合わせで監視し、UDP / ICMP / IGMPは送信元のみ監視 | 送信元/送信先分けて設定・監視 |
除外設定はない | 除外設定が可能 |