set connection

set connection

ポリシーマップ内のトラフィッククラスに対して接続制限を指定するには、クラスコンフィギュレー

ションモードで

set connection

コマンドを使用します。これらの指定を削除して、無制限の接続数を

許可するには、このコマンドの

no

形式を使用します。

set connection {[conn-max n] [embryonic-conn-max n] [per-client-embryonic-max n]

[per-client-max n] [random-sequence-number {enable | disable}]}

no set connection {[conn-max n] [embryonic-conn-max n] [per-client-embryonic-max n] [per-client-max n] [random-sequence-number {enable | disable}]}

構文の説明

conn-max n

許可する

TCP

または

UDP

同時接続最大数を

0

～

65535

の範囲で設 定します。デフォルトは

0

で、無制限の数の接続を許可します。たと えば、

TCP

または

UDP

の同時接続を許可するように

2

つのサーバが 設定されている場合、接続制限数は、設定されている各サーバに 別々に適用されます。クラスに設定された場合、このキーワードで は、クラス全体で許可される同時接続最大数が制限されます。この 場合、

1

つの攻撃ホストがすべての接続を使い果たし、クラスにおい てアクセスリストに一致する他のホストが使用できる接続がなくな る可能性があります。

embryonic-conn-max n

許可する同時初期接続最大数を

0

～

65535

の範囲で設定します。デ フォルトは

0

で、無制限の数の接続を許可します。

per-client-embryonic-max n

クライアントごとに許可する同時初期接続最大数を

0

～

65535

の範 囲で設定します。クライアントは、適応型セキュリティアプライア ンスを介して接続の初期パケット（新しい接続を構築する）を送信 するホストとして定義されます。

access-list

が

class-map

とともに 使用され、この機能のトラフィックが照合される場合、初期接続制 限は、アクセスリストに一致するすべてのクライアントの累積初期 接続数ではなく、ホストごとに適用されます。デフォルトは

0

で、無 制限の数の接続を許可します。このキーワードは管理クラスマップ には使用できません。

per-client-max n

クライアントごとに許可する同時接続最大数を

0

～

65535

の範囲で

設定します。クライアントは、適応型セキュリティアプライアンス を介して接続の初期パケット（新しい接続を構築する）を送信する ホストとして定義されます。

access-list

が

class-map

とともに使用 され、この機能のトラフィックが照合される場合、接続制限は、ア クセスリストに一致するすべてのクライアントの累積接続数ではな く、ホストごとに適用されます。デフォルトは

0

で、無制限の数の接 続を許可します。このキーワードは管理クラスマップには使用でき ません。クラスに設定された場合、このキーワードでは、クラスに おいてアクセスリストに一致する各ホストに許可される同時接続最 大数が制限されます。

第 23 章 same-security-traffic コマンド～ show asdm sessions コマンド set connection

シーケンス番号ランダム化は、デフォルトでイネーブルです。

コマンドモード 次の表に、コマンドを入力できるモードを示します。

コマンド履歴

使用上のガイドライン モジュラポリシーフレームワークを使用してこのコマンドを設定します。最初に、

class-map

コマン ド（通過トラフィック）または

class-map type management

コマンド（管理トラフィック）を使用し て、タイムアウトを適用するトラフィックを定義します。次に、

policy-map

コマンドを入力してポリ シーを定義し、

class

コマンドを入力してクラスマップを参照します。クラスコンフィギュレーション モードで、

set connection

コマンドを入力できます。最後に、

service-policy

コマンドを使用して、ポ リシーマップをインターフェイスに適用します。モジュラポリシーフレームワークの仕組みの詳細に ついては、『

Cisco ASA 5500 Series Configuration Guide using the CLI

』を参照してください。

（注）

NAT

コンフィギュレーションで最大接続数、最大初期接続数、および

TCP

シーケンスランダム化を設 定することもできます。同じトラフィックに対して両方の方法を使用してこれらの値を設定した場合、

適応型セキュリティアプライアンスは小さい方の制限値を使用します。

TCP

シーケンスのランダム化 がいずれかの方法でディセーブルにされている場合、適応型セキュリティアプライアンスは

TCP

シー ケンスのランダム化をディセーブルにします。

TCP

代行受信の概要

初期接続の数を制限することで、

DoS

攻撃から保護できます。適応型セキュリティアプライアンスで は、クライアントごとの制限および初期接続制限を利用して

TCP

代行受信を発生させます。代行受信 によって、

TCP SYN

パケットを使用してインターフェイスをフラッディングする

DoS

攻撃から内部シ ステムを保護します。初期接続とは、送信元と宛先との間で必要となるハンドシェイクを完了していな い接続要求のことです。

TCP

代行受信では、

SYN

クッキーアルゴリズムを使用して、

TCP SYN

フ ラッディング攻撃を防止します。

SYN

フラッディング攻撃は、通常スプーフされた

IP

アドレスから発 信された一連の

SYN

パケットによって行われます。

SYN

パケットが継続的にフラッディングされるこ とにより、サーバの

SYN

キューがいっぱいになり、サーバで接続要求を処理できなくなります。初期 接続しきい値を超えると、適応型セキュリティアプライアンスはサーバのプロキシとして動作し、ク ライアントの

SYN

要求に対して

SYN-ACK

応答を返します。適応型セキュリティアプライアンスは、

クライアントから

ACK

を受信すると、クライアントを認証してサーバへの接続を許可できます。

コマンドモード

ファイアウォールモード セキュリティコンテキスト

ルーテッド

トランスペ

アレント シングル

マルチ

コンテキスト システム

クラスコンフィギュレーション

• • • • —

リリース 変更内容

7.0(1)

このコマンドが追加されました。

7.1(1) per-client-embryonic-max

キーワードおよび

per-client-max

キーワードが追加さ れました。

8.0(2)

このコマンドが、適応型セキュリティアプライアンスへの管理トラフィックにお

いて、レイヤ

3/4

管理クラスマップでも使用できるようになりました。

conn-max

および

embryonic-conn-max

キーワードのみ使用できます。

第 23 章 same-security-traffic コマンド～ show asdm sessions コマンド

set connection

クライアントレス

SSL

の互換性のための管理パケットに対する

TCP

代行受信のディセーブル化 デフォルトで、

TCP

管理接続では、常に

TCP

代行受信がイネーブルになっています。

TCP

代行受信が イネーブルの場合、スリーウェイ

TCP

接続確立ハンドシェイクパケットが代行受信され、適応型セ キュリティアプライアンスでクライアントレス

SSL

のパケットを処理できなくなります。クライアン

トレス

SSL

では、スリーウェイハンドシェイクパケットを処理して、クライアントレス

SSL

接続の

選択的

ACK

やその他の

TCP

オプションを提供する機能が必要です。管理トラフィックに対して

TCP

代行受信をディセーブルにするために、初期接続制限を設定できます。初期接続制限数に達した後での み、

TCP

代行受信がイネーブルになります。

TCP

シーケンスランダム化概要

各

TCP

接続には、

2

つの

ISN

があります。

1

つはクライアントが生成し、

1

つはサーバが生成します。

適応型セキュリティアプライアンスは、着信と発信の両方向で通過する

TCP SYN

の

ISN

をランダム 化します。

保護対象のホストの

ISN

をランダム化することにより、新しい接続に使用される次の

ISN

を攻撃者が 予測して新しいセッションをハイジャックする可能性が回避されます。

TCP

初期シーケンス番号のランダム化は、必要に応じてディセーブルにすることができます。次の例 を参考にしてください。

•

別のインラインファイアウォールも初期シーケンス番号をランダム化している場合、トラフィッ クには影響しませんが、両方のファイアウォールでこのアクションを実行する必要はありません。

•

適応型セキュリティアプライアンスを通じて

eBGP

マルチホップを使用している場合、

eBGP

ピア

は

MD5

を使用します

ランダム化によって

MD5

チェックサムが中断されます。

•

適応型セキュリティアプライアンスに接続のシーケンス番号をランダム化しないように要求する、

WAAS

デバイスを使用します。

例 次に、

set connection

コマンドを使用して、同時接続最大数を

256

に設定し、

TCP

シーケンス番号ラ

ンダム化をディセーブルにする例を示します。

hostname(config)# policy-map localpolicy1 hostname(config-pmap)# class local_server

hostname(config-pmap-c)# set connection conn-max 256 random-sequence-number disable hostname(config-pmap-c)#

次に、トラフィックを

CSC SSM

に転送するサービスポリシーでの

set connection

コマンドの使用例 を示します。

set connection

コマンドによって、

CSC SSM

でトラフィックがスキャンされる各クライ アントが最大

5

接続に制限されます。

hostname(config)# policy-map csc_policy hostname(config-pmap)# class local_server

hostname(config-pmap-c)# set connection per-client-max 5 hostname(config-pmap-c)# csc fail-close

hostname(config-pmap-c)#

複数のパラメータを指定してこのコマンドを入力することも、各パラメータを個別のコマンドとして入 力することもできます。コマンドは、適応型セキュリティアプライアンスによって実行コンフィギュ レーション内の

1

つの行に連結されます。たとえば、クラスコンフィギュレーションモードで次の

2

ドキュメント内 same-security-traffic コマンド～ show asdm sessions コマンド (ページ 53-56)