set connection
ポリシーマップ内のトラフィッククラスに対して接続制限を指定するには、クラスコンフィギュレー
ションモードで
set connection
コマンドを使用します。これらの指定を削除して、無制限の接続数を許可するには、このコマンドの
no
形式を使用します。set connection {[conn-max n] [embryonic-conn-max n] [per-client-embryonic-max n]
[per-client-max n] [random-sequence-number {enable | disable}]}
no set connection {[conn-max n] [embryonic-conn-max n] [per-client-embryonic-max n] [per-client-max n] [random-sequence-number {enable | disable}]}
構文の説明
conn-max n
許可するTCP
またはUDP
同時接続最大数を0
~65535
の範囲で設 定します。デフォルトは0
で、無制限の数の接続を許可します。たと えば、TCP
またはUDP
の同時接続を許可するように2
つのサーバが 設定されている場合、接続制限数は、設定されている各サーバに 別々に適用されます。クラスに設定された場合、このキーワードで は、クラス全体で許可される同時接続最大数が制限されます。この 場合、1
つの攻撃ホストがすべての接続を使い果たし、クラスにおい てアクセスリストに一致する他のホストが使用できる接続がなくな る可能性があります。embryonic-conn-max n
許可する同時初期接続最大数を0
~65535
の範囲で設定します。デ フォルトは0
で、無制限の数の接続を許可します。per-client-embryonic-max n
クライアントごとに許可する同時初期接続最大数を0
~65535
の範 囲で設定します。クライアントは、適応型セキュリティアプライア ンスを介して接続の初期パケット(新しい接続を構築する)を送信 するホストとして定義されます。access-list
がclass-map
とともに 使用され、この機能のトラフィックが照合される場合、初期接続制 限は、アクセスリストに一致するすべてのクライアントの累積初期 接続数ではなく、ホストごとに適用されます。デフォルトは0
で、無 制限の数の接続を許可します。このキーワードは管理クラスマップ には使用できません。per-client-max n
クライアントごとに許可する同時接続最大数を0
~65535
の範囲で設定します。クライアントは、適応型セキュリティアプライアンス を介して接続の初期パケット(新しい接続を構築する)を送信する ホストとして定義されます。
access-list
がclass-map
とともに使用 され、この機能のトラフィックが照合される場合、接続制限は、ア クセスリストに一致するすべてのクライアントの累積接続数ではな く、ホストごとに適用されます。デフォルトは0
で、無制限の数の接 続を許可します。このキーワードは管理クラスマップには使用でき ません。クラスに設定された場合、このキーワードでは、クラスに おいてアクセスリストに一致する各ホストに許可される同時接続最 大数が制限されます。第 23 章 same-security-traffic コマンド~ show asdm sessions コマンド set connection
シーケンス番号ランダム化は、デフォルトでイネーブルです。
コマンドモード 次の表に、コマンドを入力できるモードを示します。
コマンド履歴
使用上のガイドライン モジュラポリシーフレームワークを使用してこのコマンドを設定します。最初に、
class-map
コマン ド(通過トラフィック)またはclass-map type management
コマンド(管理トラフィック)を使用し て、タイムアウトを適用するトラフィックを定義します。次に、policy-map
コマンドを入力してポリ シーを定義し、class
コマンドを入力してクラスマップを参照します。クラスコンフィギュレーション モードで、set connection
コマンドを入力できます。最後に、service-policy
コマンドを使用して、ポ リシーマップをインターフェイスに適用します。モジュラポリシーフレームワークの仕組みの詳細に ついては、『Cisco ASA 5500 Series Configuration Guide using the CLI
』を参照してください。(注)
NAT
コンフィギュレーションで最大接続数、最大初期接続数、およびTCP
シーケンスランダム化を設 定することもできます。同じトラフィックに対して両方の方法を使用してこれらの値を設定した場合、適応型セキュリティアプライアンスは小さい方の制限値を使用します。
TCP
シーケンスのランダム化 がいずれかの方法でディセーブルにされている場合、適応型セキュリティアプライアンスはTCP
シー ケンスのランダム化をディセーブルにします。TCP
代行受信の概要初期接続の数を制限することで、
DoS
攻撃から保護できます。適応型セキュリティアプライアンスで は、クライアントごとの制限および初期接続制限を利用してTCP
代行受信を発生させます。代行受信 によって、TCP SYN
パケットを使用してインターフェイスをフラッディングするDoS
攻撃から内部シ ステムを保護します。初期接続とは、送信元と宛先との間で必要となるハンドシェイクを完了していな い接続要求のことです。TCP
代行受信では、SYN
クッキーアルゴリズムを使用して、TCP SYN
フ ラッディング攻撃を防止します。SYN
フラッディング攻撃は、通常スプーフされたIP
アドレスから発 信された一連のSYN
パケットによって行われます。SYN
パケットが継続的にフラッディングされるこ とにより、サーバのSYN
キューがいっぱいになり、サーバで接続要求を処理できなくなります。初期 接続しきい値を超えると、適応型セキュリティアプライアンスはサーバのプロキシとして動作し、ク ライアントのSYN
要求に対してSYN-ACK
応答を返します。適応型セキュリティアプライアンスは、クライアントから
ACK
を受信すると、クライアントを認証してサーバへの接続を許可できます。コマンドモード
ファイアウォールモード セキュリティコンテキスト
ルーテッド
トランスペ
アレント シングル
マルチ
コンテキスト システム
クラスコンフィギュレーション
• • • • —
リリース 変更内容
7.0(1)
このコマンドが追加されました。7.1(1) per-client-embryonic-max
キーワードおよびper-client-max
キーワードが追加さ れました。8.0(2)
このコマンドが、適応型セキュリティアプライアンスへの管理トラフィックにおいて、レイヤ
3/4
管理クラスマップでも使用できるようになりました。conn-max
およびembryonic-conn-max
キーワードのみ使用できます。第 23 章 same-security-traffic コマンド~ show asdm sessions コマンド
set connection
クライアントレス
SSL
の互換性のための管理パケットに対するTCP
代行受信のディセーブル化 デフォルトで、TCP
管理接続では、常にTCP
代行受信がイネーブルになっています。TCP
代行受信が イネーブルの場合、スリーウェイTCP
接続確立ハンドシェイクパケットが代行受信され、適応型セ キュリティアプライアンスでクライアントレスSSL
のパケットを処理できなくなります。クライアントレス
SSL
では、スリーウェイハンドシェイクパケットを処理して、クライアントレスSSL
接続の選択的
ACK
やその他のTCP
オプションを提供する機能が必要です。管理トラフィックに対してTCP
代行受信をディセーブルにするために、初期接続制限を設定できます。初期接続制限数に達した後での み、
TCP
代行受信がイネーブルになります。TCP
シーケンスランダム化概要各
TCP
接続には、2
つのISN
があります。1
つはクライアントが生成し、1
つはサーバが生成します。適応型セキュリティアプライアンスは、着信と発信の両方向で通過する
TCP SYN
のISN
をランダム 化します。保護対象のホストの
ISN
をランダム化することにより、新しい接続に使用される次のISN
を攻撃者が 予測して新しいセッションをハイジャックする可能性が回避されます。TCP
初期シーケンス番号のランダム化は、必要に応じてディセーブルにすることができます。次の例 を参考にしてください。•
別のインラインファイアウォールも初期シーケンス番号をランダム化している場合、トラフィッ クには影響しませんが、両方のファイアウォールでこのアクションを実行する必要はありません。•
適応型セキュリティアプライアンスを通じてeBGP
マルチホップを使用している場合、eBGP
ピアは
MD5
を使用しますランダム化によって
MD5
チェックサムが中断されます。•
適応型セキュリティアプライアンスに接続のシーケンス番号をランダム化しないように要求する、WAAS
デバイスを使用します。例 次に、
set connection
コマンドを使用して、同時接続最大数を256
に設定し、TCP
シーケンス番号ランダム化をディセーブルにする例を示します。
hostname(config)# policy-map localpolicy1 hostname(config-pmap)# class local_server
hostname(config-pmap-c)# set connection conn-max 256 random-sequence-number disable hostname(config-pmap-c)#
次に、トラフィックを
CSC SSM
に転送するサービスポリシーでのset connection
コマンドの使用例 を示します。set connection
コマンドによって、CSC SSM
でトラフィックがスキャンされる各クライ アントが最大5
接続に制限されます。hostname(config)# policy-map csc_policy hostname(config-pmap)# class local_server
hostname(config-pmap-c)# set connection per-client-max 5 hostname(config-pmap-c)# csc fail-close
hostname(config-pmap-c)#
複数のパラメータを指定してこのコマンドを入力することも、各パラメータを個別のコマンドとして入 力することもできます。コマンドは、適応型セキュリティアプライアンスによって実行コンフィギュ レーション内の