fwaccel dos pbox

説明

fwaccel dos pbox コマンドは、SecureXL セキュリティゲートウェイを通過するIPv4およびIPv6トラフィックを高速化するセキュリティゲートウェイ上のCheck Point製品。のPenalty Boxのallow-listを制御します。

SecureXL Penalty Boxは、送信元が疑わしいパケットを早期にドロップする仕組みです。この機能の目的は、DoS/DDoS攻撃によって引き起こされる可能性のある高トラフィック負荷の下でセキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。がよりよく対処できるようにすることである。

SecureXLペナルティボックスは、アクセスコントロールポリシーがドロップするパケットを送信するクライアントや、IPS さまざまなタイプのリスクについてパケットとデータを検査および分析するセキュリティゲートウェイ上のCheck Point Software Blade（侵入防止システム）。の保護に違反するクライアントを検出する。SecureXL ペナルティボックスは、特定のクライアントを頻繁に検出した場合、そのクライアントをペナルティボックスに入れる。その時点から，SecureXLはブロックされた送信元IPアドレスから到着したすべてのパケットをドロップします。

SecureXLのPenalty Boxのallow-listは、SecureXL Penalty Boxが決してブロックしないソースIPアドレスを設定します。

重要：

このコマンドは、IPv4のみをサポートします。
VSX 仮想システム拡張。Check Point Security Gatewayおよびその他のネットワークデバイスの仮想抽象化を備えたコンピュータまたはクラスタでホストされるCheckPoint仮想ネットワークソリューション。これらの仮想デバイスは、物理的な対応デバイスと同じ機能を提供します。モードでは、該当するバーチャルシステムのコンテキストに移動する必要があります。Gaia Clish CheckPoint Gaiaオペレーティングシステムのデフォルトのコマンドラインシェルの名前。これは制限付きシェルです（役割ベースの管理は、シェルで使用可能なコマンドの数を制御します）。で、set virtual-system <VSID>を実行します。エキスパートモード CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。で、vsenv <VSID>を実行します。
クラスタ冗長構成で連携する2つ以上のセキュリティゲートウェイ（ハイアベイラビリティまたは負荷分散）をクラスタ化します。では、すべてのクラスタメンバを同じ方法で設定する必要があります。
SecureXLでPenalty Boxを実施するには、まずPenalty Boxを有効にする必要があります。

以下のコマンドを実行します。
Scalable Platformでは、すべてのSecurity Group Memberに対して、同じSecureXLコマンドを実行する必要があります。

そのため、SecureXLコマンドは、Gaia gClish Check Point Quantum Maestro Orchestratorに接続されたセキュリティアプライアンスおよびスケーラブルシャーシ上のセキュリティゲートウェイモジュール用のCheck Point Gaiaオペレーティングシステムのグローバルコマンドラインシェルの名前。このシェルで実行するコマンドは、Security Group内のすべてのSecurity Gateway Module / Security Applianceに適用されます。、またはExpertモードで実行する必要があります。
- Gaia gClishで、"fwaccel ..."と"fwaccel6 ..."コマンドを実行します。
- エキスパートモードで、"g_fwaccel ..."と"g_fwaccel6 ..."コマンドを実行します。
Scalable Platformでは、Security Groupに新しいSecurity Group Memberを追加すると、新しいSecurity Group Memberは"$FWDIR/conf/pbox-whitelist-v4.conf"設定ファイルを取り込みます。

IPv4用構文

fwaccel dos pbox

allow

-a <IPv4 Address>[/<Subnet Prefix>]

-d <IPv4 Address>[/<Subnet Prefix>]

-F

-l /<Path>/<Name of File>

-L

-s

flush

パラメータ

説明

パラメータなし

該当する内蔵の使用状況を表示します。

allow <options>

SecureXL ペナルティボックスの送信元 IP アドレスの許可リストを設定します。

重要- この許可リストは、SecureXL Penalty Boxがどのパケットをドロップするかを上書きします。サードパーティ製や自動ブラックリストを使用する前に、信頼できるネットワークとホストを許可リストに追加して、障害を回避してください。

注- このコマンドは、fwaccel dos allowコマンドと似ています。

allow -a <IPv4 Address>[/<Subnet Prefix>]

指定した IP アドレスをペナルティボックスの許可リストに追加します。

<IPv4 Address>

ネットワークまたはホストのIPアドレスを指定することができます。

<Subnet Prefix>

サブネットマスクの長さをフォーマットで指定する必要がある/<bits>.

ホストIPアドレスの場合は省略可能です。

ネットワークIPアドレスの場合は必須。

範囲 - /1 から /32 まで。

重要- サブネットプレフィックスを明示的に指定しない場合、このコマンドはサブネットプレフィックス/32を使用します。

例:

ホストの場合

192.168.20.30

192.168.20.30/32
ネットワークの場合

192.168.20.0/24

allow -d <IPv4 Address>[/<Subnet Prefix>]

指定した IP アドレスをペナルティーボックスの許可リストから削除します。

<IPv4 Address>

ネットワークまたはホストのIPアドレスを指定することができます。

<Subnet Prefix>

オプションです。サブネットマスクの長さをフォーマットで指定する必要がある/<bits>.

ホストIPアドレスの場合は省略可能です。

ネットワークIPアドレスの場合は必須。

範囲 - /1 から /32 まで。

重要- サブネットプレフィックスを明示的に指定しない場合、このコマンドはサブネットプレフィックス/32を使用します。

allow -F

Penalty Box allow-listからすべてのエントリを削除（フラッシュ）します。

allow -l /<Path>/<Name of File>

指定されたプレーンテキストファイルからPenalty Boxの許可リストエントリーを読み込みます。

重要：

このファイルは、touch またはvi コマンドで手動で作成し、設定する必要があります。
このファイルには、chmod +x コマンドで少なくとも読み取り権限を付与する必要があります。
このファイルの各エントリは、独立した行にする必要があります。
このファイルの各エントリは、この形式でなければなりません。

<IPv4 Address>[/<Subnet Prefix>]
SecureXLは、このファイル中の空行と#文字で始まる行を無視します。

allow -L

ペナルティーボックスの許可リストエントリーを、あらかじめ定義された名前のプレーンテキストファイルから読み込みます。

$FWDIR/conf/pbox-allow-list-v4.conf

Security Gatewayは、起動時に自動的にこのコマンド"fwaccel dos pbox allow -L"を実行します。

重要：

このファイルはデフォルトでは存在しません。
このファイルは、touch またはvi コマンドで手動で作成し、設定する必要があります。
このファイルには、chmod +x コマンドで少なくとも読み取り権限を付与する必要があります。
このファイルの各エントリは、独立した行にする必要があります。
このファイルの各エントリは、この形式でなければなりません。

<IPv4 Address>[/<Subnet Prefix>]
SecureXLは、このファイル中の空行と#文字で始まる行を無視します。

allow -s

現在のPenalty Boxのallow-listエントリーを表示します。

flush

ペナルティーボックスからすべての送信元IPアドレスを削除（フラッシュ）します。

例1 - オプションのサブネットプレフィックスを使用しないホストIPアドレスの追加

[Expert@MyGW:0]# fwaccel dos pbox allow -a 192.168.20.40
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos pbox allow -s
192.168.20.40/32
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos pbox allow -F
[Expert@MyGW:0]# fwaccel dos pbox allow -s
[Expert@MyGW:0]#

例2 - オプションのサブネットプレフィックスを使用したホストIPアドレスの追加

[Expert@MyGW:0]# fwaccel dos pbox allow -a 192.168.20.40/32
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos pbox allow -s
192.168.20.40/32
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos pbox allow -F
[Expert@MyGW:0]# fwaccel dos pbox allow -s
[Expert@MyGW:0]#

例3 - サブネットプレフィックスを必須とするネットワークIPアドレスの追加

[Expert@MyGW:0]# fwaccel dos pbox allow -a 192.168.20.0/24
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos pbox allow -s
192.168.20.0/24
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos pbox allow -F
[Expert@MyGW:0]# fwaccel dos pbox allow -s
[Expert@MyGW:0]#

例4 - エントリーを削除する

[Expert@MyGW:0]# fwaccel dos pbox allow -a 192.168.20.40/32
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos pbox allow -a 192.168.20.70/32
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos pbox allow -s
192.168.20.40/32
192.168.20.70/32
[Expert@MyGW:0]# fwaccel dos pbox allow -d 192.168.20.70/32
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos pbox allow -s
192.168.20.40/32
[Expert@MyGW:0]#