購入する または契約更新する
購入する または契約更新する
New! Cisco Secure Access の最新情報をチェック:ソフトウェアリリースノートとアナウンスメントはこちら
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
731
閲覧回数
3
いいね!
3
返信

DDos Attack(DDos攻撃)

Ron-Yohei
Level 1
Level 1

‎2023-12-01 12:31 PM

We would like to install software to counter DDOS attacks on our Firepower 1120.
Which product should we use?

現在利用しているFirepower1120にDDOS攻撃への対策ソフトウェアを導入したい。
どの製品を利用すべきかご教示いただきたい。

ラベル:
0 いいね!
3件の返信3

Akira Muranaka
Level 8
Level 8

‎2023-12-01 01:50 PM

こんにちは! DDoS対策はソフトウェアベースでサポートされてます。

ASAの場合、MPFを利用した「set connection」コマンドで設定が可能です。私のお客様も大規模な所は設定してます。
https://www.cisco.com/c/ja_jp/support/docs/security/asa-5500-x-series-next-generation-firewalls/100830-asa-pix-netattacks.html#topic1

https://community.cisco.com/t5/-/-/ta-p/3158482#toc-hId-1822553668

 
FTDの場合は バージョン 7.2以降でサポートの「Portscan Detection and Prevention」機能で、GUIで簡単にDDoS防御設定が可能です。
https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/720/management-center-device-config-72/threat-detection.html

 

ご参考になれば・・!

Ron-Yohei
Level 1
Level 1
Akira Muranakaに対する応答

‎2023-12-01 02:26 PM

Akira Muranakaさん

早速ありがとうございます。
レイヤー3.4の保護の部分で参考にさせていただきます!
ちなみにレイヤー7へのDDos攻撃対策(もし他もあれば)はどういったものがあるかもしわかればご教示いただけますと幸いです!

 
 
0 いいね!

Akira Muranaka
Level 8
Level 8

‎2023-12-01 03:01 PM ‎2023-12-01 03:03 PM 更新

こんにちは!  

ASAのMPFは「アプリケーションレイヤーゲートウェイ(ALG)」ですので、TCP80/443など利用する HTTP Syn Flood も防御できます。

なお、ASA/FTDのDDoS対策機能は簡易機能ですので、より柔軟で細かな制御や監視をされたい場合はRadwareさんなど専用の DDoS対策装置を入れられるケースが多いかと思います。

私のお客様の場合は、中~大規模の場合は ASA/FTDのDDoS対策機能で済ませ(※追加投資不要で運用も楽なので)、それよりも大規模なSPや商用サイトクラスになると 専用のDDoS対策装置を入れられてるケースが多いです。

ただ、実際のところ、DDoS攻撃は8割は「SYN Floodや UDP Flood」攻撃ですので、ASA/FTDのデフォルト保持機能で多くのDDoS攻撃を対処可能です。

https://nsfocusglobal.com/ddos-attack-landscape-and-smart-protection/

AkiraMuranaka_0-1701410374628.png

 

Customers Also Viewed These Support Documents