FPR4K/9K用 Radware vDP の Japan TAC サポートについて
Firepower 4100/9300 シリーズ(FPR4K/9K)では、Distributed Denial-of-Service (DDoS) 対策用の Radware virtual DefensePro (vDP) に対応しておりますが、当機能の利用には 別途ライセンスの購入が必要です。また、Radware vDP は Japan TAC サポート対象外となるため、ご契約をお持ちでTACサポートをご希望時は、こちら を参照して Global TACにSRオープンをして頂く必要があります。
DoS/DDoS対策の 代替機能について
ASAソフトウェア利用時は、以下の機能を用いることで、コネクションFloodや SYN Flood攻撃発生時の自動防御も可能です。また、ASAやASAvが動作するハードウェアであれば、以下機能は利用可能です。以下の機能は、専用のDDoS/DoS対策用装置に比べると、細かな設定や制御/検出はできませんが、簡易的なDoS/DDoS対策機能として利用が可能です。以下機能に関しては、Japan TACサポート対象内となります。
- MPFを用いた TCP SYN Flood対策 (embryonic-conn-max/per-client-embryonic-max)
- MPFを用いた TCP/UDP Connection数制限 (conn-max)
- MPFを用いた クライアント毎の許可する同時接続数の制限 (per-client-max)
上記機能を利用し、例えば以下のような設定・運用が可能です。
- SYN Flood攻撃が発生した場合 ASAが代理応答し内部システムを保護する
- 特定サーバーIPアドレス宛の TCP443の最大コネクション数を1000までに制限する
- クライアント1台あたりの最大コネクション数を200までに制限する
ASAの 簡易DoS/DDoS対策機能と 設定例について詳しくは、以下ドキュメントなどを参照してください
また、DoS/DDoS攻撃が発生時の 送信元IPアドレスの分析には、シスログから分析する方法も有効ですが、show local-host コマンドの利用が便利です。
よくある質問
FTDソフトウェア利用時に MPFの 接続設定は利用可能ですか
FTDのFlexConfig機能を用いての設定も可能ですが、MPFの上記機能はFTDで正式にサポート・テストされたものではないため、FlexConfig機能利用時の動作やトラブルはサポート対象外となります。
