セッションコントロールの操作 (asg_session_control)

新しい通信セッションを開く速度を制御することができます。

セッションコントロール

説明

Expert モードで "asg_session_control" コマンドを使用すると、事前に定義したルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。に基づき、新しい通信セッションを開く速度を設定することができます。

このコマンドは、Session Rate Throttling とも呼ばれます。

:セッションレート制御はデフォルトで無効になっています。セッションコントロールのルールは、$FWDIR/conf/control_rules ファイルで作成します。

構文

# asg_session_control
      apply
      disable
      stats
      verify

パラメータ

パラメータ

説明

パラメータなし

コマンドの構文とヘルプ情報を表示します。

apply

すべてのセキュリティグループ閉じた アクティブ/アクティブクラスタ機能を提供するセキュリティアプライアンスの論理グループ。セキュリティグループには 1 つ以上のセキュリティアプライアンスを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。すべてのセキュリティグループには以下が含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス(ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定)、(C) Check Point Management Server が接続されている管理用ポート。メンバにセッションレートルールを適用します。

disable

すべてのセキュリティグループメンバのセッションレートルールを無効にします。

stats

すべてのセッション・レート・ルールとドロップされたトラフィックの統計情報を表示します。

verify

コンフィギュレーションが正しいかどうかを確認します。

セッション制御ルールの定義

$FWDIR/conf/control_rules ファイルにセッション・レート・ルールを定義します。

各ルールには1行を使用します。

各ルールには、"limit" パラメータを含める必要があります。その他のパラメータは任意である。

重要- ルールはできるだけ具体的に定義し、複数のルールが同じトラフィックに適用されないようにします。ルールが重なると予想外の結果になることがあります。

ベストプラクティス- 各ルールのすべてのパラメータを明示的に定義する。

ルール構文

[src <IP Address>/<Mask>] [dst <IP Address>/<Mask>] [dport <Port>] [proto <Protocol>] [limit <Rate>] [limit_ongoing {0 | 1}]

パラメータ

パラメータ

説明

src <IP Address>/<Mask>

送信元IPv4アドレスとネットマスクを指定します。

dst <IP Address>/<Mask>

宛先IPv4アドレスとネットマスクを指定します。

dport <Port>

宛先ポート番号を指定します。

IANA Service Name and Port Number Registry参照してください。

proto <Protocol>

プロトコル番号を指定する。

IANA Protocol Numbers参照してください。

limit <Rate>

1秒間に許可される新規接続数の最大値を指定します。

limit_ongoing {0 | 1}

ルール制限の適用方法を指定します。

  • 0 - 確立された接続のパケット数を制限しない。

  • 1 - 確立された接続のパケット数を制限する。

注:

  • 指定された上限を超える新規接続は遮断されます。

  • パラメータを含めない場合、ルールはそのパラメータのすべての値に適用されます。

    たとえば、「src 」パラメータを含めない場合、ルールはすべてのソースIPv4アドレスに適用されます。

  • パラメータ値としてアスタリスク文字* (例: "src *" )を指定すると、そのパラメータがすべての値に適用されることを明示的に意味します。

src * dst 1.1.1.0/24 dport 67 proto 17 limit 20 limit_ongoing 1

このルールは、このトラフィックに対して、1秒間に20件の新規接続の制限を定義します。

  • すべての送信元IPアドレスから

  • 宛先ネットワークへ 1.1.1.0/24

  • 宛先ポート67

  • Over UDP (プロトコル17)

dst 1.1.1.1/32 dport 80 proto 6 limit 13

このルールでは、このトラフィックに対して、1秒間に13の新規接続の制限を定義します。

  • すべての送信元IPアドレスから

  • 宛先ホストへ 1.1.1.1/32

  • 宛先ポート80

  • Over TCP (プロトコル6)

セッションコントロールの統計情報を表示する

説明

"asg_session_control stats" コマンドは、セッション制御規則を表示します。

構文

asg_session_control stats

出力には、各セキュリティグループメンバのセッション制御ルールと、各ルールによってドロップされた接続が表示されます。

1_01:
Rule ID Source             Destination        DPort PR  Limit Drops         Attempts
------- ------------------ ------------------ ----- --- ----- ------------- -------------
      1                  *         1.1.1.0/24    67  17    20             3            19
      2                  *         2.2.2.2/32    80   6    13             0            12
 
1_02:
Rule ID Source             Destination        DPort PR  Limit Drops         Attempts
------- ------------------ ------------------ ----- --- ----- ------------- -------------
      1                  *         1.1.1.0/24    67  17    20             0            19
      2                  *         2.2.2.2/32    80   6    13             2            13

セッション制御ルールの適用

説明

"asg_session_control apply" コマンドは、設定されたセッション制御ルールを適用します。

構文

asg_session_control apply 

-*- 2 blades: 1_01 1_02 -*-
Rule ID Source             Destination        DPort PR  Limit Ongoing
------- ------------------ ------------------ ----- --- ----- -------
      1                  *         1.1.1.0/24    67  17    20       1
      2                  *         2.2.2.2/32    80   6    13       0

セッションコントロールの無効化

説明

asg_session_control disable" コマンドは、設定されたセッション制御規則を無効にします。

構文

asg_session_control disable

-*- 2 blades: 1_01 1_02 -*-

Resetting session rate entries

Session rate entries configured successfully