フラッド防止は、サービス拒否 (DDoS) 攻撃に対する保護に役立ちます。

DDoS 攻撃は、サーバに大量の要求を処理させて、使用可能なすべてのサーバ リソースを消費することにより、サーバでの正規のトラフィックの処理を妨害することを目的としています。フラッド防止プロファイルを作成すると、ICMP、UDP、ハーフオープンの TCP フローに対してアクティブなセッション制限を適用できます。分散ファイアウォールは、SYN_SENT および SYN_RECEIVED 状態にあるフロー エントリをキャッシュに保存し、ACK をイニシエータから受信した後に TCP 状態に昇格させ、3 方向ハンドシェイクを完了します。

手順

  1. [セキュリティ] > [全般設定] > [ファイアウォール] > [フラッド防止] に移動します。
  2. [セキュリティ] > [全般設定] > [フラッド防止] の順に移動します。
  3. [プロファイルの追加] をクリックして、[Edge ゲートウェイ プロファイルの追加] または [ファイアウォール プロファイルの追加] を選択します。
  4. フラッド防止プロファイルのパラメータを入力します。
    表 1. ファイアウォールと Edge Gateway プロファイルのパラメータ
    パラメータ 最小値と最大値 デフォルト
    TCP ハーフ オープン接続の制限:TCP SYN フラッド攻撃は、ファイアウォールで許可されるアクティブで、完全に確立されていない TCP フローの数を制限することで回避できます。 1 ~ 1,000,000

    ファイアウォール:なし

    Edge Gateway:1,000,000

    アクティブな TCP ハーフオープン接続の数を制限するには、このテキスト ボックスを設定します。このテキスト ボックスを空にすると、この制限は ESX ノードで無効になり、Edge Gateway の値がデフォルトになります。
    UDP アクティブ フロー制限:UDP フラッド攻撃は、ファイアウォールで許可されるアクティブな UDP フローの数を制限することで回避できます。UDP フロー制限の設定に達すると、新しいフローを確立する後続の UDP パケットがドロップされます。 1 ~ 1,000,000

    ファイアウォール:なし

    Edge Gateway:1,000,000

    アクティブな UDP 接続の数を制限するには、このテキスト ボックスを設定します。このテキスト ボックスを空にすると、この制限は ESX ノードで無効になり、Edge Gateway の値がデフォルトになります。
    ICMP アクティブ フロー制限:ICMP フラッド攻撃は、ファイアウォールで許可されるアクティブな ICMP フローの数を制限することで回避できます。ICMP フロー制限の設定に達すると、新しいフローを確立する後続の ICMP パケットがドロップされます。 1 ~ 1,000,000

    ファイアウォール:なし

    Edge Gateway:10,000

    アクティブな ICMP オープン接続の数を制限するには、このテキスト ボックスを設定します。このテキスト ボックスを空にすると、この制限は ESX ノードで無効になり、Edge Gateway の値がデフォルトになります。
    その他のアクティブ接続の制限 1 ~ 1,000,000

    ファイアウォール:なし

    Edge Gateway:10,000

    ICMP、TCP、UDP ハーフオープン接続以外のアクティブな接続数を制限するには、このテキスト ボックスを設定します。このテキスト ボックスを空にすると、この制限は ESX ノードで無効になり、Edge Gateway の値がデフォルトになります。
    SYN キャッシュ:SYN キャッシュは、TCP ハーフオープン接続制限が構成されている場合に使用されます。完全に確立されていない TCP セッションの syncache を維持することで、アクティブなハーフオープン接続の数が限定されます。このキャッシュは、SYN_SENT および SYN_RECEIVED 状態にあるフロー エントリを格納します。各 syncache エントリは、イニシエータから ACK を受信した後、完全な TCP 状態のエントリに昇格し、3 方向のハンドシェイクが完了します。 ファイアウォール プロファイルでのみ使用できます。 オンとオフを切り替えます。SYN キャッシュの有効化は、TCP ハーフオープン接続の制限が構成されている場合にのみ有効です。デフォルトは無効です。
    RST スプーフィング:SYN キャッシュから ハーフオープン状態を削除するときに、サーバに対して偽の RST を生成します。サーバで SYN フラッドに関連付けられた状態(ハーフオープン)をクリーンアップできます。 ファイアウォール プロファイルでのみ使用できます。 オンとオフを切り替えます。このオプションを使用するには、SYN キャッシュを有効にする必要があります
    NAT のアクティブ接続の制限 1 ~ 4294967295 Edge Gateway プロファイルでのみ使用できます。デフォルトは 4294967295 です。 このパラメータを設定して、ゲートウェイで生成される NAT 接続の数を制限します。
  5. プロファイルを Edge Gateway とファイアウォール グループに適用するには、[設定] をクリックします。
  6. [保存] をクリックします。

次のタスク

保存後、グループとプロファイルの優先順位の管理をクリックしてグループを管理し、プロファイルの割り当ての優先順位を設定します。