fwaccel Synatk config

説明

fwaccel synatk config" と "fwaccel6 synatk config" コマンドは、現在のAccelerated SYN Defenderの設定を表示します。

IPv4用構文

fwaccel synatk config

IPv6用構文

fwaccel6 synatk config 

[Expert@MyGW:0]# fwaccel synatk config 
enabled 0 
enforce 1 
global_high_threshold 10000 
periodic_updates 1 
cookie_resolution_shift 6 
min_frag_sz 80 
high_threshold 5000 
low_threshold 1000 
score_alpha 100 
monitor_log_interval (msec) 60000 
grace_timeout (msec) 30000 
min_time_in_active (msec) 60000 
[Expert@MyGW:0]#

コンフィギュレーションパラメータの説明

パラメータ

説明

enabled

Accelerated SYN Defenderが有効か無効かを表示します。

  • 有効な値:0(無効)、1(有効)

  • デフォルト:0

enforce

Accelerated SYN Defenderが有効な場合、保護機能を実行することを示しています。

有効な値:

  • 0 - Accelerated SYN Defenderは、すべてのインタフェースでモニタモード(検出のみ)になっています。

  • 1 - Accelerated SYN Defenderは、ハーフオープンTCPコネクションの数が閾値を超えた場合に、外部インタフェースでのみ作動します。

  • 2 - ハーフオープンTCPコネクションの数が閾値を超えると、外部および内部インタフェースでAccelerated SYN Defenderが作動します。

global_high_threshold

グローバル高攻撃閾値番号。

fwaccel synatk -t<閾値>コマンドを参照してください。

periodic_updates

Check Point社内でのみ使用されます。

  • 有効な値:0(無効)、1(有効)

  • デフォルト:1

cookie_resolution_shift

Check Point社内でのみ使用されます。

  • 有効な値:1-7

  • デフォルト:6

min_frag_sz

TCP SYN Flood 攻撃の間、Accelerated SYN Defender はこの最小サイズ値より小さい TCP フラグメントを阻止します。

  • 有効な値:80以上

  • デフォルト:80

high_threshold

高い攻撃閾値の数値。

fwaccel synatk -t<閾値>コマンドを参照してください。

low_threshold

低い攻撃閾値の番号。

fwaccel synatk -t<閾値>コマンドを参照してください。

score_alpha

Check Point社内でのみ使用されます。

  • 有効な値:1-127

  • デフォルト:85399

monitor_log_interval (msec)

モニタ(検出のみ)モードでの連続した警告ログ間の間隔(ミリ秒)。

  • 有効な値:1000以上

  • デフォルト:60000

grace_timeout (msec)

Grace 状態(Ready と Active の間の遷移状態)に留まる最大時間(ミリ秒単位)。

グレース状態では、Accelerated SYN Defenderはクライアントに対してTCP SYN Cookieのチャレンジを停止しますが、クライアントから受信したTCP SYN Cookieの検証は継続します。

  • 有効な値:10000以上

  • デフォルト:30000

min_time_in_active (msec)

アクティブモードを維持するための最小時間(ミリ秒)。

アクティブモードでは、Accelerated SYN DefenderはSYN CookieでTPC SYNパケットに積極的に挑戦しています。

  • 有効な値:10000以上

  • デフォルト:60000