動的フィルタのタイムアウトの設定 [ 書式 ][書式]

ip filter dynamic timer option=timeout [option=timeout...]

no ip filter dynamic timer [設定値及び初期値]

• option : オプション名

• [設定値] :

設定値 説明

tcp-syn-timeout SYN を受けてから設定された時間内にコネクションが確立しな

ければセッションを切断する

tcp-fin-timeout FIN を受けてから設定された時間が経てばコネクションを強制

的に解放する

tcp-idle-time 設定された時間内に TCP コネクションのデータが流れなければ

コネクションを切断する

udp-idle-time 設定された時間内に UDP コネクションのデータが流れなけれ

ばコネクションを切断する

dns-timeout DNS の要求を受けてから設定された時間内に応答を受けなけれ

ばコネクションを切断する

• [初期値] :

• tcp-syn-timeout=30

• tcp-fin-timeout=5

• tcp-idle-time=3600

• udp-idle-time=30

• dns-timeout=5

• timeout

• [設定値] : 待ち時間 ( 秒 )

• [初期値] : -[説明]

動的フィルタのタイムアウトを設定する。

[ノート]

本設定はすべての検査において共通に使用される。

7.1.14 侵入検知機能の動作の設定

[書式]

ip interface intrusion detection direction [type] switch [option]

ip pp intrusion detection direction [type] switch [option]

ip tunnel intrusion detection direction [type] switch [option]

no ip interface intrusion detection direction [type] switch [option]

no ip pp intrusion detection direction [type] switch [option]

no ip tunnel intrusion detection direction [type] switch [option]

[設定値及び初期値]

• interface

• [設定値] : LAN インタフェース名、WAN インタフェース名

• [初期値] :

-• direction : 観察するパケット・コネクションの方向

• [設定値] :

設定値 説明

in インタフェースの内向き

out インタフェースの外向き

• [初期値] :

-• type : 観察するパケット・コネクションの種類

• [設定値] :

設定値 説明

ip IP ヘッダ

ip-option IP オプションヘッダ

設定値 説明

fragment フラグメント

icmp ICMP

udp UDP

tcp TCP

ftp FTP

winny Winny

share Share

default 設定していないものすべて

• [初期値] :

-• switch

• [設定値] :

設定値 説明

on 実行する

off 実行しない

• [初期値] :

• TYPE を指定しないとき=off

• TYPE を指定したとき=on

• option

• [設定値] :

設定値 説明

reject=on 不正なパケットを破棄する

reject=off 不正なパケットを破棄しない

• [初期値] : off [説明]

指定したインタフェースで、指定された向きのパケットやコネクションについて異常を検知する。

type オプションを省略したときには、侵入検知機能の全体についての設定になる。

[ノート]

危険性の高い攻撃については、reject オプションの設定に関わらず、常にパケットを破棄する。

Winny については、バージョン 2 の検知が可能であり、それ以前のバージョンには対応していない。

Share については、バージョン1.0 EX2 (ShareTCP版) の検知が可能であり、それ以前のバージョンには対応していな

い。

WAN インタフェースは Rev.11.00.16 以降で指定可能。

7.1.15 1 秒間に侵入検知情報を通知する頻度の設定

[書式]

ip interface intrusion detection notice-interval frequency ip pp intrusion detection notice-interval frequency ip tunnel intrusion detection notice-interval frequency no ip interface intrusion detection notice-interval no ip pp intrusion detection notice-interval no ip tunnel intrusion detection notice-interval [設定値及び初期値]

• interface

• [設定値] : LAN インタフェース名、WAN インタフェース名

• [初期値] :

-• frequency

• [設定値] : 頻度 (1...1000)

• [初期値] : 1 [説明]

1 秒間に侵入検知情報を通知する頻度を設定する。

[ノート]

WAN インタフェースは Rev.11.00.16 以降で指定可能。

7.1.16 重複する侵入検知情報の通知抑制の設定