FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

FortiGate FortiOS5.4におけるベスト・プラクティス ポリシー設定編

2017.08.24 (Thu)

◯ポリシー設定

トラフィックポリシーで「すべて許可」を
FortiGateユニットで設定することは非常に望ましくありません。
これにより設定が大幅に簡素化されますが、安全性は低くなります。
セキュリティ対策として、デフォルトでポリシールールベースが
「拒否」されるのがベストプラクティスであり、逆の方法はありません。

◯ポリシー設定の変更
負荷の高いシステムでは、CPU使用率と確立されたセッションへの影響を最小限に抑えるため、
使用率の低い時間に構成の変更を計画します。
変更時は、ハードウェアアクセラレーションセッションを停止することをお勧めします。

ハードウェアアクセラレーションセッションでは、
CLIコマンドを使用して非アクセラレーション動作を設定して、
プロセッサのポリシー構成の変更管理方法を制御できます。次のCLIコマンドを使用します。

config system settings
set firewall-session-dirty { check-all | check-new | check-policy-option }
end









設定値の詳細

・check-all
CPUはすべての現在のセッションをフラッシュし、それらを再評価します。
これはデフォルトのオプションです。
・check-new
CPUは既存のセッションを保持し、新しいセッションにのみポリシー変更を適用します。
これにより、CPU負荷とパケット損失の可能性が低減されます。
・check-policy-option
firewall-session-dirtyファイアウォールポリシーのフィールドで選択したオプションを使用します
(check-allまたはcheck-new、上記のように、ポリシーごとに)。


◯ポリシーホワイトリスト登録
必要な受信トラフィックと送信トラフィックのみを許可します。
可能であれば、トラフィックを特定のアドレスまたはサブネットに制限してください。
これにより、FortiGateユニットは予期しないアドレスとの間でトラフィックをドロップすることができます。


◯IPSとDoSポリシー
一般に公開されているサービスへの攻撃から保護することが重要なので、
一致するシグネチャをブロックするようにIPSシグネチャを設定します。
たとえば、Webサーバーを使用している場合は、Webサーバー署名の処理をブロックに構成します。

FortiGateユニットには、特定のソフトウェアタイトルを
DoS攻撃から保護するために作成されたIPSシグネチャが含まれています。
インストールしたソフトウェアのシグネチャを有効にし、
署名アクションを[ブロック]に設定します。

DoS攻撃は脆弱性に対して開始されます。
FortiGardユニットがリリースされたときに、
新しく更新されたIPSシグネチャを自動的に受信するように、
FortiGuard IPSサブスクリプションを維持します。

DoSポリシーを使用し、ネットワークトラフィックとトポロジに基づいて適切なレベルに構成します。
これにより、異常な金額が受け取られた場合にトラフィックを減らすのに役立ちます。
キーは、良いしきい値を設定することです。
しきい値は、通常のトラフィックの1秒あたりの最大セッション数/パケット数を定義します。
しきい値を超えると、アクションがトリガーされます。
しきい値のデフォルト値は一般的な推奨値ですが、ネットワークには非常に異なる値が必要な場合があります。
環境に適切な値を見つける1つの方法は、アクションをPassにしてロギングを有効にすることです。
通常のトラフィックが攻撃レポートを生成し始める値を判断できるようになるまで、
ログを観察し、しきい値を調整します。
必要なマージンでこの値より上のしきい値を設定します。
マージンが小さければ小さいほど、システムがDoS攻撃から保護されることに注意してください。





[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]

FortiGate完全攻略 [ 椎屋淳伸 ]
価格:3024円(税込、送料無料) (2017/8/22時点)



関連記事
スポンサーサイト



コメント


管理者のみに表示

トラックバック