５．Firewallの設定:Netscreen/SSGの設定

2007年02月27日

「Firewall」の記事一覧

あこ笑顔（アコ）博士、NetscreenはFirewallとして有名だと聞きました。
CheckPoint社のFirewall１やCiscoのASAやPIXなどと世界的なシェアを分け合っているんですよね。

博士　ズームイン

（博士）その通りだよ。
Netscreenはアコちゃんが言ったFirewall１やPIXなどに比べて設定がとても簡単で、わかりやすい。
大企業においてはFirewall１の方がシェアが多いようだが、中小ではかなりのシェアがあるよ。

[記事一覧]
Screening一覧
 Screenオプション
 ステートフルインスペクション
 ポリシーの新規作成

06:50 │コメント(1)

2006年06月09日

Screening一覧

Firewallなので、さまざまな攻撃を防御することができる。
Screeningの画面から、防御したい攻撃をチェックする。

博士　望遠鏡（博士）誤検知の可能性があるので、何でもかんでもチェックするとアプリケーションや業務に支障が出る場合があるよ。
閾値が設定できるものもあるので、適切に設定しよう。
デフォルトの設定からスタートするのもよいだろう。

あこスマイル

（アコ）　Screeningという言葉に違和感がありますが、L3レベル（パケットフィルタ）より上位のFirewall機能と考えると、分かりやすいですね。

コマンドラインからは以下が入力可能（GUIも同様）

◆set zone untrust screen に続くコマンド
alarm-without-drop   Don't drop packet, only generate alarm
block-frag           enable ip fragment blocking
component-block      enable component block protection
fin-no-ack           enable Fin bit with no ACK bit in flags protection
icmp-flood           enable icmp flood protection
icmp-fragment        enable icmp fragment protection
icmp-large           enable too large icmp packet (size > 1024) protection
ip-bad-option        enable ip with bad option detection
ip-filter-src        filter ip src route option
ip-loose-src-route   enable ip with loose source route option detection
ip-record-route      enable ip with record route option detection
ip-security-opt      enable ip with security option detection
ip-spoofing          enable address spoofing protection
ip-stream-opt        enable ip with stream option detection
ip-strict-src-route enable ip with strict source route option detection
ip-sweep             enable address sweep protection
ip-timestamp-opt     enable ip with timestamp option detection
land                 enable land protection
limit-session        limit sessions
mal-url              block malicious URL
ping-death           enable ping of death protection
port-scan            enable port scan protection
syn-ack-ack-proxy    enable syn-ack-ack proxy protection
syn-fin              enable SYN & FIN bits set attack protection
syn-flood            enable SYN flood protection
syn-frag             enable SYN frag packet detection
tcp-no-flag          enable TCP packet without flag protection
tear-drop            enable teardrop protection
udp-flood            enable udp flood protection
unknown-protocol     enable unknown protocol protection
winnuke              enable winnuke attack protection

■説明
land：送信元と受信元を同一に偽装したパケットを送りつける攻撃
syn-flood:Dos攻撃の一種。3wayハンドシェイクのsynだけを送る
tear-drop：分割したパケットを元に戻す処理において、値を偽装して不整合を起こさせるもの。
icmp-flood：pingなどのicmpパケットを大量に送るDos攻撃の一種
port-scan：空いているポートをチェックする機能
ip-spoofing:IPアドレスの偽装
icmp-large：ICMPのパケットサイズが大きいものを送りつける

08:15 │コメント(0)

2006年06月06日

Screenオプション

SYN attack
ICMP　flood
Ping　Of　Death
Port　Scan
など

デフォルトではUntrust側に以下の5つが設定されている。
①SYN Flood
②Ping Death
③TearDrop
④LAND Attack
⑤IP Soure Route

18:53 │コメント(0)

ステートフルインスペクション

---動的フィルタリング
ステートフルインスペクションまたはダイナミックフィルタリングという。
静的フィルタリングでのACKビットのチェックは、あまり意味がない。ACKビットをたてた
外部からのパケットを通してしまうから。動的フィルタリングは行きと戻りのパケットの対応
関係を調査する。

18:52 │コメント(0)

2006年05月22日

ポリシーの新規作成

（例）外部から内部へのルールを作成する。
「FROM」を「Untrust」、「To」を「Trust」にして「New」ボタンを押す。

policy

23:00 │コメント(0)