セッションコントロールの操作 (asg_session_control)

新しい通信セッションを開く速度を制御することができます。

セッションコントロール

説明

Expert モードで "asg_session_control" コマンドを使用すると、事前に定義したルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。に基づき、新しい通信セッションを開く速度を設定することができます。

このコマンドは、Session Rate Throttling とも呼ばれます。

:セッションレート制御はデフォルトで無効になっています。セッションコントロールのルールは、$FWDIR/conf/control_rules ファイルで作成します。

構文

# asg_session_control
      apply
      disable
      stats
      verify

パラメータ

パラメータ

説明

パラメータなし

コマンドの構文とヘルプ情報を表示します。

apply

すべてのセキュリティグループ閉じた アクティブ/アクティブクラスタ機能を提供するセキュリティアプライアンスの論理グループ。セキュリティグループには 1 つ以上のセキュリティアプライアンスを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。すべてのセキュリティグループには以下が含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス(ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定)、(C) Check Point Management Server が接続されている管理用ポート。メンバにセッションレートルールを適用します。

disable

すべてのセキュリティグループメンバのセッションレートルールを無効にします。

stats

すべてのセッション・レート・ルールとドロップされたトラフィックの統計情報を表示します。

verify

コンフィギュレーションが正しいかどうかを確認します。

セッション制御ルールの定義

$FWDIR/conf/control_rules ファイルにセッション・レート・ルールを定義します。

各ルールには1行を使用します。

各ルールには、"limit" パラメータを含める必要があります。その他のパラメータは任意である。

重要- ルールはできるだけ具体的に定義し、複数のルールが同じトラフィックに適用されないようにします。ルールが重なると予想外の結果になることがあります。

ベストプラクティス- 各ルールのすべてのパラメータを明示的に定義する。

ルール構文

[src <IP Address>/<Mask>] [dst <IP Address>/<Mask>] [dport <Port>] [proto <Protocol>] [limit <Rate>] [limit_ongoing {0 | 1}]

パラメータ

パラメータ

説明

src <IP Address>/<Mask>

送信元IPv4アドレスとネットマスクを指定します。

dst <IP Address>/<Mask>

宛先IPv4アドレスとネットマスクを指定します。

dport <Port>

宛先ポート番号を指定します。

IANA Service Name and Port Number Registry参照してください。

proto <Protocol>

プロトコル番号を指定する。

IANA Protocol Numbers参照してください。

limit <Rate>

1秒間に許可される新規接続数の最大値を指定します。

limit_ongoing {0 | 1}

ルール制限の適用方法を指定します。

  • 0 - 確立された接続のパケット数を制限しない。

  • 1 - 確立された接続のパケット数を制限する。

注:

  • 指定された上限を超える新規接続は遮断されます。

  • パラメータを含めない場合、ルールはそのパラメータのすべての値に適用されます。

    たとえば、「src 」パラメータを含めない場合、ルールはすべてのソースIPv4アドレスに適用されます。

  • パラメータ値としてアスタリスク文字* (例: "src *" )を指定すると、そのパラメータがすべての値に適用されることを明示的に意味します。

セッションコントロールの統計情報を表示する

説明

"asg_session_control stats" コマンドは、セッション制御規則を表示します。

構文

asg_session_control stats

セッション制御ルールの適用

説明

"asg_session_control apply" コマンドは、設定されたセッション制御ルールを適用します。

構文

asg_session_control apply

セッションコントロールの無効化

説明

asg_session_control disable" コマンドは、設定されたセッション制御規則を無効にします。

構文

asg_session_control disable