ソリューション
業種別
用途別
統合化SDNソリューション
SDN/ネットワーク統合管理ソリューション
SDN/アプリケーション連携ソリューション
xシリーズポータル
プライベートクラウドソリューション
ワイヤレスソリューション
脅威可視化統合監視ソリューション
映像監視ソリューション
データセンターソリューション
スイッチ・セキュリティーソリューション
スイッチセキュリティー
Basicセキュリティー
Advancedセキュリティー
LAN環境での不正アクセス対策
VLANソリューション
UTM&VPNルーターポータル
省電力ソリューション
スイッチ・セキュリティーソリューション
Basicセキュリティー
パケットフィルター
DHCPスヌーピング
ポートセキュリティー
Basicセキュリティー対応機器

パケットフィルター
機能概要
パケットフィルターには、パケットのフィルタリングを、ハードウェア(ASIC)で行う「ハードウェアパケットフィルター」と、ソフトウェア(CPU)で行う「ソフトウェアパケットフィルター」の2種類があります。
ハードウェアパケットフィルターは、ハードウェアで処理するため高速です。
ソフトウェアパケットフィルターは、ハードウェアパケットフィルターよりも柔軟な設定できることや、パケットのログ取得できること、ポリシーフィルターによる経路選択フィルターとして使用できることが、メリットとしてあげられます。
ソフトウェアパケットフィルターでフィルタリングできるパケットは、IPルーティングの対象となる(VLANを越える)パケットに限られます。
以下の条件でパケットをフィルタリングできます。
Ethernetヘッダーの送信元、宛先MACアドレスとプロトコルタイプ(タグ付き、タグなし)
入出力スイッチポート
IPヘッダーのTOS優先度(precedence)またはDSCP(DiffServ Code Point)、TTL、プロトコル、始点・終点IPアドレス
TCPヘッダーの始点・終点ポート、制御フラグ(Syn、Ack、Fin)
UDPヘッダーの始点・終点ポート
TCPセッションの方向 (ソフトウェアのみ)
効果
正規の送信元をIPアドレスで制限することができます。
特定のパケットを排除することができます。
パケットフィルター
設定例 : サーバーへのtelnetを禁止する
フィルターを作成します。
ADD SWITCH L3FILTER
MATCH=DIPADDR,PROTOCOL,TCPDPORT DCLASS=HOST
フィルタリング条件(フィルターエントリー)とアクションを指定します。
ADD SWITCH L3FILTER
MATCH=DIPADDR,PROTOCOL,TCPDPORT DCLASS=HOST
ADD SWITCH L3FILTER=1 ENTRY
DIPADDR=192.168.30.100 PROTOCOL=TCP
TCPDPORT=TELNET ACTION=DENY
設定例 : サーバーへのtelnetを禁止する
DHCPスヌーピング
機能概要
DHCPパケットをスヌーピング(監視)してバインディングデータベースを構築し、動的に送信元IPフィルタリングを行う機能です。DHCPを使用したネットワーク環境において、正当なPC(DHCPクライアント)だけがIP通信をすることができます。
物理ポートをTrustedポートとUntrustedポートで定義します。Trustedポートではスヌーピングせずに、全てのパケットを転送します。
Untrustedポートでは、正しくDHCPサーバーからIPアドレスを割り当てられたDHCPクライアントだけが通信することができます。固定IP端末を接続しても通信を行うことはできません。
Untrustedポートに固定IP端末を接続する場合は、StaticにMACアドレスを登録することで通信を許可するようにすることもできます。
物理ポート毎に、DHCPクライアント数の上限を設定することができます。
ARPセキュリティー機能を利用することで、不正なARPを利用した不正アクセスを防止することができます。
リレーエージェント情報オプション(オプションコード82)の付加・検査・削除が行えます。
DHCPスヌーピング
効果
ARP poisoning attacksIP address spoofingなどの様々な不正アクセスを防止することができます。
DHCPサーバーと連動させることで、持込PCを禁止することができます。
ProxyARPが有効になっている装置やDHCPサーバーが誤ってネットワークに接続された場合に、その影響でネットワークが利用できなくなる場合がありますが、DHCPスヌーピングでは不当なARPパケットやDHCPパケットを破棄しますので、これらの影響をなくすことができます。
設定例 : Port1のみDHCPサーバーを許可する
DHCPスヌーピングを有効にします。
ENABLE DHCPSNOOPING
Port1をTrustedポートとします。
SET DHCPSNOOPING PORT=1 TRUSTED=YES
設定例 : Port1のみDHCPサーバーを許可する
ポートセキュリティー
機能概要※1
MACアドレスに基づき、ポートごとに通信を許可するデバイスを制限する機能です。(MACアドレスレベルのフィルタリング機能)
通信を許可するMACアドレスは手動登録が行えるほか、スイッチの物理ポートごとに学習可能なMACアドレス数の上限を設定することで、自動登録することが可能です。
自動登録したMACアドレスは、Staticエントリとして保持する※2ことも、FDBのエージアウトに合わせて削除する※3ことも可能です。
アクションとして、パケット破棄、SNMPトラップ送信、物理ポートのディセーブルなどから選択することができます。
※1 ポートセキュリティーでは、複数のポートに同じMACアドレスを登録することができません。登録する機器が移動する場合などMACアドレスが複数ポートにまたがる場合は、MACアドレスベース認証をご利用ください。
※2: Limitedモード/Secureモード
※3: Dynamic Limitedモード
ポートセキュリティー
効果
MACアドレスをStaticに登録することで、該当ポートから通信が行える端末を制限することができます。
MACアドレスの上限値を設定することで、MACアドレスを偽造しながら大量のフレームを送信する不正アクセスを防止することができます。(MAC flooding attacksなど)
MACアドレスの上限値を設定することで、サービス(インフラ)を提供する事業者などにおいて、利用者側で利用可能な端末の接続台数を制限することができます。
設定例 : Port11のMACアドレス数を2に制限し、それを超えたら接続禁止
      (不正フレームを破棄)
不正フレームは、破棄します。
SET SWITCH PORT=11 LERAN=2
INTRUSIONACTION=DISABLE
設定例 : Port11のMACアドレス数を2に制限し、それを超えたら接続禁止(不正フレームを破棄)
Basicセキュリティー対応機器
Basicセキュリティー対応機器一覧 PDF (24KB)


PAGE TOP