fwaccel dos config

説明

fwaccel dos config およびfwaccel6 dos config コマンドは、SecureXL セキュリティゲートウェイを通過するIPv4およびIPv6トラフィックを高速化するセキュリティゲートウェイ上のCheck Point製品。の DoS ミティゲーション用 Rate Limiting のグローバル構成パラメータを制御します。

これらのグローバルパラメーターは、設定されたすべてのレートリミッターに適用されます。

重要：

VSX 仮想システム拡張。Check Point Security Gatewayおよびその他のネットワークデバイスの仮想抽象化を備えたコンピュータまたはクラスタでホストされるCheckPoint仮想ネットワークソリューション。これらの仮想デバイスは、物理的な対応デバイスと同じ機能を提供します。モードでは、該当するバーチャルシステムのコンテキストに移動する必要があります。Gaia Clish CheckPoint Gaiaオペレーティングシステムのデフォルトのコマンドラインシェルの名前。これは制限付きシェルです（役割ベースの管理は、シェルで使用可能なコマンドの数を制御します）。で、set virtual-system <VSID>を実行します。エキスパートモード CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。で、vsenv <VSID>を実行します。
クラスタ冗長構成で連携する2つ以上のセキュリティゲートウェイ（ハイアベイラビリティまたは負荷分散）をクラスタ化します。では、すべてのクラスタメンバを同じ方法で設定する必要があります。

IPv4用構文

fwaccel [-i <SecureXL ID>] dos config

get

set

{--disable-blacklists | --enable-blacklists}

{--disable-drop-frags | --enable-drop-frags}

{--disable-drop-opts | --enable-drop-opts}

{--disable-internal | --enable-internal}

{--disable-log-drops | --enable-log-drops}

{--disable-log-pbox | --enable-log-pbox}

{--disable-monitor | --enable-monitor}

{--disable-pbox | --enable-pbox}

{--disable-rate-limit | --enable-rate-limit}

{--disable-rule-cache | --enable-rule-cache}

{-n <NOTIF_RATE> | --notif-rate <NOTIF_RATE>}

{-p <PBOX_RATE> | --pbox-rate <PBOX_RATE>}

{-t <PBOX_TMO> | --pbox-tmo <PBOX_TMO>}

IPv6用構文

fwaccel6 dos config

get

set

{--disable-blacklists | --enable-blacklists}

{--disable-drop-frags | --enable-drop-frags}

{--disable-drop-opts | --enable-drop-opts}

{--disable-internal | --enable-internal}

{--disable-log-drops | --enable-log-drops}

{--disable-log-pbox | --enable-log-pbox}

{--disable-monitor | --enable-monitor}

{--disable-pbox | --enable-pbox}

{--disable-rate-limit | --enable-rate-limit}

{--disable-rule-cache | --enable-rule-cache}

{-n <NOTIF_RATE> | --notif-rate <NOTIF_RATE>}

{-p <PBOX_RATE> | --pbox-rate <PBOX_RATE>}

{-t <PBOX_TMO> | --pbox-tmo <PBOX_TMO>}

パラメータとオプション

パラメータまたはオプション

説明

-i <SecureXL ID>

SecureXLインスタンスIDを指定します（IPv4のみ）。

パラメータなし

該当する内蔵の使用状況を表示します。

get

コンフィギュレーションパラメータを表示します。

set <options>

パラメータを設定する。

--disable-blacklists

IPブラックリストを無効にします。

これはデフォルトの設定です。

--disable-drop-frags

すべてのフラグメントパケットのドロップを無効にします。これはデフォルトの設定です。

重要- このオプションはVSXのみに適用され、バーチャルスイッチを通してバーチャルシステムに到着するトラフィック（Warpインタフェースを通して受信したパケット）にのみ適用されます。R80.20 より，バーチャルスイッチからバーチャルシステムにワープする前に SecureXL で IP Fragment の再アセンブリーが発生します。IPフラグメントをブロックするには、バーチャルスイッチに本オプションを設定する必要があります。そうでなければ、IPフラグメントは仮想システムのWarpインタフェースに到着したときにすでに再集合されているため、これは何の効果もありません。

--disable-drop-opts

IP オプションを持つすべてのパケットのドロップを無効にします。

これはデフォルトの設定です。

--disable-internal

内部インタフェースでの実施を無効にします。

これはデフォルトの設定です。

--disable-log-drops

DoSモジュールがレート制限ポリシーによりパケットをドロップしたときの通知を無効にします。

--disable-log-pbox

管理者がペナルティボックスに IP アドレスを追加したときの通知を無効にします。

--disable-monitor

モニタオンリーモードを無効にする。

これはデフォルトの設定です。

このコマンドは、すべての Rate Limiting 機能に影響します。

また、fwaccel dos denyコマンドを参照してください。

--disable-pbox

IPペナルティボックスを無効にします。

これはデフォルトの設定です。

また、fwaccel dos pboxコマンドを参照してください。

--disable-rate-limit

レートリミッティングポリシーの実施を無効にします。

これはデフォルトの設定です。

--disable-rule-cache

Rate Limitingルールマッチのキャッシュを無効にします。

これにより、1秒間に大量の接続を行う場合のパフォーマンスが最適化されます。

--enable-blacklists

IPブラックリストを有効にする。

また、fwaccel dos denyコマンドを参照してください。

--enable-drop-frags

すべてのフラグメントパケットのドロップを有効にします。

--enable-drop-opts

IP オプションを持つすべてのパケットのドロップを有効にします。

--enable-internal

内部インタフェースでの実施を有効にします。

--enable-log-drops

DoSモジュールがレート制限ポリシーによってパケットをドロップしたときに、通知を有効にします。

これはデフォルトの設定です。

--enable-log-pbox

管理者がペナルティボックスにIPアドレスを追加したときに、通知を有効にします。

これはデフォルトの設定です。

--enable-monitor

モニタオンリーモードを有効にします（他の方法ではドロップされるパケットをすべて受け付けます）。

このコマンドは、すべての Rate Limiting 機能に影響します。

また、fwaccel dos denyコマンドを参照してください。

--enable-pbox

IPペナルティボックスを有効にします。

また、fwaccel dos pboxコマンドを参照してください。

--enable-rate-limit

レートリミッティングポリシーの実施を有効にします。

重要- このコマンドを実行した後、アクセスコントロールポリシーをインストールする必要があります。

--enable-rule-cache

Rate Limitingルールマッチのキャッシュを有効にします。

これにより、1接続あたりのパケット数が多い場合のパフォーマンスが最適化されます。

これはデフォルトの設定です。

-n <NOTIF_RATE>

--notif-rate <NOTIF_RATE>

各 SecureXL デバイスの 1 秒あたりの最大ドロップ通知数を設定します。

範囲:0 - (2³²-1)

デフォルト:85399

-p <PBOX_RATE>

--pbox-rate <PBOX_RATE>

SecureXLがペナルティボックスに送信元IPv4アドレスを追加する前に報告されたドロップパケットの最小数を設定します。

範囲:0 - (2³²-1)

デフォルト:400

-t <PBOX_TMO>

--pbox-tmo <PBOX_TMO>

SecureXL がペナルティボックスから IP を削除するまでの秒数を設定します。

範囲:0 - (2³²-1)

デフォルト:180

例1 - 非VSXゲートウェイの現在のDoS構成を取得する

[Expert@MyGW:0]# fwaccel dos config get
   rate limit: disabled (without policy)
         pbox: disabled
   blacklists: disabled
log blacklist: disabled
   drop frags: disabled
    drop opts: disabled
     internal: disabled
      monitor: disabled
    log drops: disabled
     log pbox: disabled
   notif rate: 100 notifications/second
    pbox rate: 500 packets/second
     pbox tmo: 180 seconds
[Expert@MyGW:0]#

例2：VSX以外のGatewayでPenalty Boxを有効にする

[Expert@MyGW:0]# fwaccel dos config set --enable-pbox
OK
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos config get
   rate limit: disabled (without policy)
         pbox: enabled
   blacklists: disabled
   drop frags: disabled
    drop opts: disabled
     internal: disabled
      monitor: disabled
    log drops: enabled
     log pbox: enabled
   notif rate: 100 notifications/second
    pbox rate: 500 packets/second
     pbox tmo: 180 seconds
[Expert@MyGW:0]#

コンフィギュレーションを永続化する

fwaccel dos config set" と "fwaccel6 dos config set" コマンドで定義された設定は、再起動するたびにデフォルト値に戻ります。これらの設定を永続させるには、これらの設定ファイルに該当するコマンドを追加します。

ファイル

説明

$FWDIR/conf/fwaccel_dos_rate_on_install

このIPv4用シェルスクリプトには、「fwaccel dos config set 」コマンドのみを記述する必要があります。

#!/bin/bash
fwaccel dos config set <options>

$FWDIR/conf/fwaccel6_dos_rate_on_install

このIPv6用シェルスクリプトには、「fwaccel6 dos config set 」コマンドのみを記述する必要があります。

#!/bin/bash
fwaccel6 dos config set <options>

重要- これらの設定ファイルには、fw sam_policyコマンドを含めないでください。設定したレートリミッティングポリシーは再起動後も有効です。fw sam_policy" コマンドを追加すると、レートポリシーインストーラーが無限ループで動作します。

注:

これらのファイルを作成・編集するには、エキスパートモードにログインしてください。
VSX Gatewayでは、これらのファイルを作成する前に、該当する仮想システムのコンテキストに移動してください。

vsenv <VSID>
これらのファイルがまだ存在しない場合は、以下のいずれかのコマンドでファイルを作成してください。
- touch $FWDIR/conf/<Name of File>
- vi $FWDIR/conf/<Name of File>
これらのファイルは、"#!/bin/bash"の行で始まる必要があります。
これらのファイルは、新しい空行で終わらなければなりません。
これらのファイルを編集した後、実行権限を割り当てる必要があります。

chmod +x $FWDIR/conf/<Name of File>

$FWDIR/conf/fwaccel_dos_rate_on_install ファイルの例です。

!/bin/bash
fwaccel dos config set --enable-internal
fwaccel dos config set --enable-pbox