 |
 |
 |
 |
|
|
|
|
|
|
|
 |
|
 |
機能概要 |
|
|
 |
パケットフィルターには、パケットのフィルタリングを、ハードウェア(ASIC)で行う「ハードウェアパケットフィルター」と、ソフトウェア(CPU)で行う「ソフトウェアパケットフィルター」の2種類があります。 |
|
|
 |
ハードウェアパケットフィルターは、ハードウェアで処理するため高速です。 |
|
|
 |
ソフトウェアパケットフィルターは、ハードウェアパケットフィルターよりも柔軟な設定できることや、パケットのログ取得できること、ポリシーフィルターによる経路選択フィルターとして使用できることが、メリットとしてあげられます。 |
|
|
 |
ソフトウェアパケットフィルターでフィルタリングできるパケットは、IPルーティングの対象となる(VLANを越える)パケットに限られます。 |
|
|
 |
以下の条件でパケットをフィルタリングできます。
|
|
|
・ |
Ethernetヘッダーの送信元、宛先MACアドレスとプロトコルタイプ(タグ付き、タグなし) |
・ |
入出力スイッチポート |
・ |
IPヘッダーのTOS優先度(precedence)またはDSCP(DiffServ Code Point)、TTL、プロトコル、始点・終点IPアドレス |
・ |
TCPヘッダーの始点・終点ポート、制御フラグ(Syn、Ack、Fin) |
・ |
UDPヘッダーの始点・終点ポート |
・ |
TCPセッションの方向 (ソフトウェアのみ)
|
|
|
 |
効果
|
|
|
|
 |
正規の送信元をIPアドレスで制限することができます。 |
|
|
 |
特定のパケットを排除することができます。
|
|
|
|
 |
|
 |
設定例 : サーバーへのtelnetを禁止する
|
|
|
|
|
|
|
|
|
 |
ADD SWITCH L3FILTER
MATCH=DIPADDR,PROTOCOL,TCPDPORT DCLASS=HOST |
|
|
|
|
|
|
|
フィルタリング条件(フィルターエントリー)とアクションを指定します。 |
|
|
 |
ADD SWITCH L3FILTER
MATCH=DIPADDR,PROTOCOL,TCPDPORT DCLASS=HOST
ADD SWITCH L3FILTER=1 ENTRY
DIPADDR=192.168.30.100 PROTOCOL=TCP
TCPDPORT=TELNET ACTION=DENY
|
|
|
|
|
|
|
|
|
|
|
|
 |
 |
|
 |
|
 |
機能概要 |
|
|
 |
DHCPパケットをスヌーピング(監視)してバインディングデータベースを構築し、動的に送信元IPフィルタリングを行う機能です。DHCPを使用したネットワーク環境において、正当なPC(DHCPクライアント)だけがIP通信をすることができます。 |
|
|
 |
物理ポートをTrustedポートとUntrustedポートで定義します。Trustedポートではスヌーピングせずに、全てのパケットを転送します。 |
|
|
 |
Untrustedポートでは、正しくDHCPサーバーからIPアドレスを割り当てられたDHCPクライアントだけが通信することができます。固定IP端末を接続しても通信を行うことはできません。 |
|
|
 |
Untrustedポートに固定IP端末を接続する場合は、StaticにMACアドレスを登録することで通信を許可するようにすることもできます。 |
|
|
 |
物理ポート毎に、DHCPクライアント数の上限を設定することができます。 |
|
|
 |
ARPセキュリティー機能を利用することで、不正なARPを利用した不正アクセスを防止することができます。 |
|
|
 |
リレーエージェント情報オプション(オプションコード82)の付加・検査・削除が行えます。
|
|
|
|
 |
|
 |
効果
|
|
|
|
 |
ARP poisoning attacksやIP address spoofingなどの様々な不正アクセスを防止することができます。 |
|
|
 |
DHCPサーバーと連動させることで、持込PCを禁止することができます。 |
|
|
 |
ProxyARPが有効になっている装置やDHCPサーバーが誤ってネットワークに接続された場合に、その影響でネットワークが利用できなくなる場合がありますが、DHCPスヌーピングでは不当なARPパケットやDHCPパケットを破棄しますので、これらの影響をなくすことができます。 |
|
 |
設定例 : Port1のみDHCPサーバーを許可する |
|
|
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
 |
SET DHCPSNOOPING PORT=1 TRUSTED=YES |
|
|
|
|
|
|
|
|
|
|
|
 |
 |
|
 |
|
 |
機能概要※1 |
|
|
 |
MACアドレスに基づき、ポートごとに通信を許可するデバイスを制限する機能です。(MACアドレスレベルのフィルタリング機能)
|
|
|
 |
通信を許可するMACアドレスは手動登録が行えるほか、スイッチの物理ポートごとに学習可能なMACアドレス数の上限を設定することで、自動登録することが可能です。 |
|
|
 |
自動登録したMACアドレスは、Staticエントリとして保持する※2ことも、FDBのエージアウトに合わせて削除する※3ことも可能です。
|
|
|
 |
アクションとして、パケット破棄、SNMPトラップ送信、物理ポートのディセーブルなどから選択することができます。 |
|
|
|
※1: |
ポートセキュリティーでは、複数のポートに同じMACアドレスを登録することができません。登録する機器が移動する場合などMACアドレスが複数ポートにまたがる場合は、MACアドレスベース認証をご利用ください。 |
|
|
|
※2: Limitedモード/Secureモード
|
|
|
※3: Dynamic Limitedモード |
|
|
|
 |
|
 |
効果
|
|
|
|
 |
MACアドレスをStaticに登録することで、該当ポートから通信が行える端末を制限することができます。 |
|
|
 |
MACアドレスの上限値を設定することで、MACアドレスを偽造しながら大量のフレームを送信する不正アクセスを防止することができます。(MAC flooding attacksなど) |
|
|
 |
MACアドレスの上限値を設定することで、サービス(インフラ)を提供する事業者などにおいて、利用者側で利用可能な端末の接続台数を制限することができます。 |
|
 |
設定例 : Port11のMACアドレス数を2に制限し、それを超えたら接続禁止
(不正フレームを破棄) |
|
|
|
|
|
|
|
|
 |
SET SWITCH PORT=11 LERAN=2
INTRUSIONACTION=DISABLE |
|
|
|
|
|
|
|
|
|
|
|
 |
 |
|
 |
|
 |
|
|
 |