設定
setコマンドを使用して設定可能なシステムコンポーネントの詳細です。
setコマンドを使用して、さまざまなシステムコンポーネントの設定とパラメータを定義します。
たとえば、set Press Tabと入力した後、設定可能なコンポーネントのリストを表示します。これらのオプションとそのパラメータについては、以下で説明します。
advanced-firewall
advanced-firewallオプションを使用すると、検査するトラフィック、プロトコルタイムアウト値、トラフィックフラグメンテーションなど、ファイアウォールに関連するさまざまなパラメータおよび設定を設定できます。設定に使用できるパラメータの完全なリストを次の表に示します。
構文 | 説明 |
---|---|
bypass-stateful-firewall-config [add] [del] [ dest_host] [dest_network] [source_host] [source_network] | アウトバウンドおよびリターントラフィックが常にソフォス ファイアウォールを通過しないホストまたはネットワークを追加します。 単一ホストまたはネットワーク全体を追加または削除できます。 |
icmp-error-message [allow] [deny] | ネットワーク/ホスト/ポートが到達不能、宛先ネットワーク/ホストが不明などの問題を示すICMPエラーパケットを許可または拒否します。 |
strict-icmp-tracking [on] [off] | ICMP応答パケットを許可またはドロップします。このオプション をonに設定すると 、すべてのICMP応答パケットがドロップされます。 |
tcp-appropriate-byte-count [on] [off] | 適切なバイトカウント(ABC)設定を制御します。ABCは、部分的な確認応答に応答して輻輳ウィンドウ(cwnd)をよりゆっくりと増加させる方法です。詳細については 、RFC3465を参照してください |
tcp-selective-acknowledgement [on] [off] | tcp-selective-acknowledgement Off: 選択的確認応答をディセーブルにします。選択的な確認応答を使用すると、データ受信者は正常に到着したすべてのセグメントについて送信者に通知できるため、送信者は実際に失われたセグメントだけを再送信する必要があります。 |
tcp-window-scaling [on] [off] | tcp-window-scaling Off: ウィンドウの拡大縮小を無効にします。TCPウィンドウのスケーリングにより、TCP受信ウィンドウのサイズが最大値である65,535バイトを超えます。詳細については 、RFC1232を参照してください |
fragmented-traffic [allow] [deny] | フラグメント化されたトラフィックを許可または拒否します。IPフラグメンテーションとは、IPデータグラムを送信して受信側で再構築する前に、より小さなパケットに分割するプロセスです詳細については 、RFC4459セクション3.1を参照してください |
ipv6-unknown-extension-header [allow] [deny] | 不明な拡張ヘッダーを持つIPv6パケットを許可またはドロップします。 |
strict-policy [on] [off] | 厳格なポリシーが適用されると、デバイスはファイアウォールに対する特定のトラフィックおよびIPベースの攻撃をドロップします。デフォルトでは、strictポリシーは常にオンです。strictポリシーがオフの場合、strictファイアウォールポリシーはディセーブルになります。 |
tcp-est-idle-timeout [2700-432000] | 確立されたTCP接続のアイドルタイムアウト値を秒単位で設定します。使用可能な値は2700-432000です。 |
tcp-seq-checking [on] [off] | すべてのTCPパケットには、シーケンス番号(SYN)と確認応答番号(ACK)が含まれています。ソフォス ファイアウォールは、特定のウィンドウ内のSYNおよびACK番号を監視して、パケットが実際にセッションの一部であることを確認します。ただし、特定のアプリケーションおよびサードパーティベンダーは、RFC以外の方法を使用してパケットの有効性を確認したり、サーバが無効なシーケンス番号を持つパケットを送信して確認応答を期待したりする場合があります。このため、ソフォス ファイアウォールでは、この機能を無効にすることができます。 |
udp-timeout [30-3600] | まだ確立されていないUDP接続のタイムアウト値を秒単位で設定します。使用可能な値は30~3600です。 |
udp-timeout-stream [30-3600] | UDPストリーム接続のタイムアウト値を秒単位で設定します。使用可能な値は30~3600です。UDPストリームは、2つのクライアントが、特定のポート上およびネットワークセグメント間で互いにUDPトラフィックを送信するときに確立されます。例: LANからWANへの接続です。 |
ftpbounce-prevention [control] [data] | FTP制御およびデータ接続に対するFTPバウンス攻撃を防止します。攻撃者が、自身のIPアドレスではなく、サードパーティのIPアドレスを持つポートコマンドをFTPサーバに送信すると、トラフィックはFTPバウンス攻撃と見なされます。 |
midstream-connection-pickup [on] [off] | ミッドストリーム接続ピックアップ設定を構成します。TCP接続の中間ストリームピックアップをイネーブルにすると、ソフォス ファイアウォールをライブネットワークのブリッジとして接続しても、サービスが失われることはありません。また、固有のネットワーク設計および設定によるネットワーク動作の処理にも使用できます。たとえば、ICMPリダイレクトメッセージにつながる非定型のルーティング設定などです。デフォルトでは、ソフォス ファイアウォールは、両方の展開モードで、追跡されていないすべての(中間ストリームセッション)TCP接続をドロップするように設定されています。 |
sys-traffic-nat [add] delete] [destination] [interface] [netmask] [snatip] | 管理者は、インターフェイスのIPアドレスが公開されないようにファイアウォールによって生成されたトラフィックをNAT処理したり、設定された宛先に送信されるトラフィックのNATのIPを変更したりできます。詳細については 、KB 122999を参照してください |
tcp-frto [on] [off] | 転送RTO(Recovery Time Objective:目標復旧時間)を有効または無効にします。F-RTOは、TCP再送信タイムアウトのための高度なリカバリアルゴリズムであり、パケット損失が通常、中間ルータの輻輳ではなくランダムな無線干渉によるものであるワイヤレス環境では特に有益です。F-RTOは送信側のみの変更です。したがって、ピアからのサポートは必要ありません。 |
tcp-timestamp [on] [off] | TCPタイムスタンプを有効または無効にします。タイムスタンプは、再送信タイムアウト方式よりも優れた方法でラウンドトリップ測定を計算するために使用されるTCPオプションです。 |
udp-timeout-stream [30-3600] | 確立されたUDP接続のUDPタイムアウト値を秒単位で設定します。使用可能な値は30~3600です。 |
arp-flux
ARPフラックスは、複数のイーサネットアダプタ(多くの場合、単一のマシン上)がARPクエリーに応答する場合に発生します。このため、リンク層アドレスからIPアドレスへのマッピングに問題が発生する可能性があります。ソフォス ファイアウォールは、両方のイーサネットインターフェイスからのARP要求に応答する場合があります。ARP要求を作成しているマシンでは、これらの複数の回答が混乱の原因になることがあります。ARPフラックスは、ソフォス ファイアウォールが同じメディアドメインまたはブロードキャストドメインに複数の物理接続を持つ場合にのみ影響します。
構文 | 説明 |
---|---|
on | ソフォス ファイアウォールが同じメディアまたはブロードキャストドメインに複数の物理接続を持つ場合、ソフォス ファイアウォールは両方のイーサネットインターフェイスからのARP要求に応答することがあります。 |
off | ソフォス ファイアウォールは、ソフォス ファイアウォールが同じメディアドメインまたはブロードキャストドメインに複数の物理接続を持つ場合、それぞれのイーサネットインターフェイスからのARP要求に応答します。 |
dns
TTL(存続可能時間)は、DNSレコードの変更が有効になるまでにかかる時間を決定します。ドメインの DNS レコードは、次の参照までキャッシュされます。に解決されるドメインの場合 localhost
、ソフォス ファイアウォールはDNSレコードのTTL値ではなく、デフォルトの間隔でDNSルックアップを実行します。
のDNSルックアップ localhost
を実行する間隔を変更します。たとえば、ソフォス レコードエントリをから localhost
別のホストに変更するときに、より低いTTL値を指定して、DNSファイアウォールがレコードを以前に更新するようにできます。
構文 | 説明 |
---|---|
localhost-ttl [60-655360] | 解決 localhost するドメインのDNSルックアップが実行される間隔(秒単位)です。 範囲:60~655360秒 デフォルトは次のとおりです。655360秒 |
fqdn-host
ソフォス ファイアウォールは、完全修飾ドメイン名によってエントリを定義するFQDNホストをサポートしています。完全修飾ドメイン名は、DNS要求で検出されたIPアドレスに解決されます。これにより、動的に割り当てられたIPアドレスをホスト定義として使用できるようになります。作成できるホストの数には、16,000という制限があります。これはGUIから設定することもできます。GUI設定の詳細については 、KB 123035を参照してください
構文 | 説明 |
---|---|
cache-ttl [60-86400] [ dns-reply-ttl] | FQDNホストのcache-ttl値を設定します。cache-ttl値は、キャッシュされたFQDNホストからIPアドレスへのバインディングが更新されるまでの時間を秒単位で表します。 範囲:1~86400秒 デフォルトは次のとおりです。3600秒 dns-reply-ttl:DNS応答パケットのttl値をcache-ttlとして使用します |
eviction [enable] [ disable] [interval] [ 60-86400] | ワイルドカードFQDNのサブドメインのIPアドレスが削除されるまでの時間(秒単位)です。使用可能な範囲は60~86400です。 |
idle-timeout [60-86400] [default] | idle-timeout値は、キャッシュされたFQDNホストからIPアドレスへのバインディングが削除されるまでの時間を秒単位で表します。 範囲:60~86400秒 デフォルトは次のとおりです。3600秒 |
learn-subdomains [enable] [disable] | ワイルドカードを使用してFQDNのサブドメインのIPアドレスを学習します。ローカルトラフィックのサブドメインのIPアドレスを知り、ソフォス ファイアウォールを通過する場合、つまり、ソフォス ファイアウォールを宛先または発信元としないトラフィックを知る場合は、イネーブルにします。 |
http_proxy
HTTPプロキシのパラメータを次のように設定します。
注
コマンドラインコンソールを使用してキャプティブポータルとWebプロキシに異なる最小バージョンを設定した場合、Web管理コンソールにはプロキシの最小TLSバージョンのみが表示されます。また、キャプティブポータルとWebプロキシの最小TLSバージョンが一致しないという警告も表示されます。
構文 | 説明 |
---|---|
add_via_header [on] [off] | プロキシを通過するトラフィックにViaヘッダーを追加または削除します。Viaヘッダーは、メッセージ転送のトラッキング、要求ループの回避、および要求/応答チェーンに沿った送信者のプロトコル機能の識別に使用されます。 |
captive_portal_tlsv1_0 [on] [off] | キャプティブポータルへのTLS 1.0を使用した接続を許可または拒否します。TLS 1.0は安全ではなくなったため、使用することはお勧めしません。特定のビジネスニーズで必要な場合にのみ、TLS 1.0をオンにします。 |
captive_portal_tlsv1_1 [on] [off] | キャプティブポータルへのTLS 1.1を使用した接続を許可または拒否します。TLS 1.1は安全ではなくなったため、使用することはお勧めしません。特定のビジネスニーズに応じてTLS 1.1をオンにします。 |
captive_portal_x_frame_options [on] [off] | キャプティブポータルトラフィックのxフレームオプションヘッダーの追加を有効または無効にします。x-frame-options(XFO)は、HTTP応答ヘッダーであり、2008年以降、HTTPセキュリティヘッダーとも呼ばれています。2013年にはRFC 7034として正式に発行されましたが、インターネット標準ではありません。このヘッダーは、サイトのコンテンツを処理するときのブラウザーの動作を示します。その最初の主な理由は、フレーム内のページのレンダリングを許可しないことでクリックジャッキアップ保護を提供することでした。詳細については 、RFC 7034を参照してください |
client_timeout [1-2147483647] [default] | プロキシ経由で接続が確立されているクライアントのタイムアウトを秒単位で設定します。使用可能な値は1~2147483647、デフォルトは60です。 |
connect_timeout [1-2147483647] [default] | プロキシ経由で接続を試行するタイムアウト値を秒単位で設定します。使用可能な値は1~2147483647、デフォルトは60です。 |
core_dump [on] [off] | プロキシでエラーが発生してクラッシュした場合に、コアダンプファイルを作成するかどうかを指定します。コアダンプファイルは問題のトラブルシューティングに役立ち、問題が発生した場合にサポートするのに役立ちます。 |
proxy_tlsv1_0 [on] [off] | プロキシを介したTLS 1.0を使用した接続を許可または拒否します。TLS 1.0は安全ではなくなったため、使用することはお勧めしません。特定のビジネスニーズで必要な場合にのみ、TLS 1.0をオンにします。 |
proxy_tlsv1_1 [on] [off] | プロキシを介したTLS 1.1を使用した接続を許可または拒否します。TLS 1.1は安全ではなくなったため、使用することはお勧めしません。特定のビジネスニーズに応じてTLS 1.1をオンにします。 |
relay_invalid_http_traffic [on] [off] | HTTPポートを介して送信される非HTTPトラフィックを、プロキシによってリレーするかドロップするかを決定します。一部のアプリケーションは、HTTP、80、443で通常使用されるポートを介してトラフィックを送信します。このような場合、プロキシは問題の原因となるトラフィックを処理できない可能性があります。このような場合は、このトラフィックのプロキシをすべてバイパスすることを推奨します。 |
response_timeout [1-2147483647] [default] | プロキシが新しい接続の応答を受信してから接続が終了するまで待機するタイムアウトを秒単位で設定します。使用可能な値は1~2147483647、デフォルトは60です。 |
tunnel_timeout [1-2147483647] [default] | HTTPS接続のセットアップ中にプロキシが応答を待機するタイムアウト値を秒単位で設定します。使用可能な値は1~2147483647、デフォルトは300です。 |
disable_tls_url_categories [on] [off] | SSL/TLSインスペクションルールのカテゴリルックアップをオンまたはオフにできます。DISABLE_TLS_URL_categoriesがオンの場合、トラフィックは分類されません。 これは、どのSSL/TLSインスペクションルールを選択するかに影響します。SSL/TLSインスペクションルールでは 、カテゴリおよびWebサイトに指定されたものとのみ照合され 、それ以外のものは照合されません。たとえば 、カテゴリとWebサイトに値anyを持つSSL/TLSルールがない場合、DISABLE_TLS_URL_categoriesがオンの場合、ルールは照合されません。デフォルトの動作が適用されます。 これらの設定は、トラフィックに適用されるWebポリシーにも影響します。TLSハンドシェイク中にWebポリシーが適用されると、トラフィックは分類されません。DISABLE_TLS_URL_categories設定は、HTTPまたは復号化されたHTTPSトラフィックのURLの分類には影響しません。これらのシナリオでは、パケットの内容全体が表示されるためです。 |
ips
Intrusion Prevention System(IPS;侵入防御システム)を設定できます。IPSは、シグニチャエンジン(snort)と事前定義されたシグニチャのセットで構成されています。署名は有害として知られるパターンです。IPSはトラフィックをこれらのシグニチャと比較し、一致するものが見つかった場合は高速で応答します。デバイスに含まれる折丁は編集できません。設定可能なパラメータについては、以下で説明します。
構文 | 説明 |
---|---|
enable_appsignatures [on] [off] | IPSのアプリケーションベースのシグネチャをオンまたはオフにします。アプリケーションシグニチャは、特定のデータストリームを使用しているアプリケーションを特定し、トラフィックが悪意のあるものか、または許可されるべきかを判断するのに役立ちます。デフォルトでは、有効になっています。 |
failclose [apply] [off] [on] [timeout] [tcp] [udp] [1-43200] | 障害が発生した場合に接続を閉じるかどうか、およびIPSを通過するTCP接続とUDP接続の両方のタイムアウトを秒単位で指定します。UDPトラフィックとTCPトラフィックの両方で使用可能なタイムアウト値は1~43200です。 |
http_response_scan_limit [0-262144] | HTTP応答パケットのスキャン制限を設定します。0-262144 の値を設定できます (フルスキャンを行うには 0 に設定します)。 |
inspect [all-content] [untrusted-content] | すべてのコンテンツまたは信頼できないコンテンツに対するIPSインスペクションを指定します。 untrusted-content: 信頼されていないコンテンツだけを検査します。SophosLabs によって信頼されているコンテンツを検査しません。最高のパフォーマンスを提供します。 all-content: すべてのコンテンツを検査します。最高のセキュリティを提供します。 デフォルト: 信頼されていないコンテンツだけを検査します。 |
ips-instance [apply] [clear] [add] [IPS] [cpu] [0-1] | 新しいIPS CPUインスタンスを作成し、IPSインスタンスをクリアするか、新しいIPS設定を適用します。 |
ips_mmap [on] [off] | mmapを有効にすると、特にローエンドデバイスでのRAM使用率が最適化されます。デフォルトでは、mmapはオンです。 |
lowmem-settings [on] [off] | IPSの低メモリ設定を有効または無効にします。これらの設定は、アプライアンスでメモリの問題が発生した場合にのみ適用されます。 |
maxpkts [numeric value above 8] [all] [default] | アプリケーション分類のために送信されるパケット数を設定します。デフォルトで 8 に設定されていますが、すべてのパケットを送信するように変更したり、8 より大きい任意の数に設定できます。 |
maxsesbytes-settings [update] [ numeric value] | maxsesbytes-settingsを使用すると、IPSでスキャンできる最大ファイルサイズを設定できます。設定したサイズよりも大きいファイルは、スキャンが省略されます。なお、この最大ファイルサイズは、セッション単位で適用されます。 |
packet-streaming [on] [off] | パケットストリーミングを許可するかどうかを決定します。パケットストリーミングは、システムでメモリの問題が発生している場合に、パケットのストリーミングを制限するために使用されます。 デフォルト設定であるstreamがonに設定されている場合、IPSエンジンはセッション中に内部テーブルを作成し、各セッションの終了時にそれらを削除します。また、すべての受信パケットが再構成され、既知のシグネチャにデータが一致するかどうかがチェックされます。 streamがoffに設定されている場合、パケットまたはセグメントの再構築ができなくなるため、Telnet、POP3、SMTP、HTTPなどのプロトコルは脆弱になります。データはパケットのチャンクに分割されることがあり、シグニチャをチェックするために再構築する必要があります。これらのプロトコルは、分割によって隠される悪意のあるファイルに対して脆弱になります。 |
scan_decrypted_port_agnostic [on] [off] | 復号化されたトラフィックのHTTPベースシグニチャの照合をオンまたはオフにします。 |
search-method [ac-bnfa] [ac-q] [hyperscan] | IPSシグニチャパターンマッチングに使用する検索方式を設定します。 AC-bnfa(低メモリー使用率、高性能) AC-q(高メモリー使用率、最高性能) Hyperscan(低メモリー使用率、最高性能) |
sip_ignore_call_channel [enable] [disable] | オーディオおよびビデオデータチャンネルを無視するかどうかを設定します。このようなチャネルを無視するには、このオプションを有効にします。 デフォルトでは有効になっています。 |
sip_preproc [enable] [disable] | SIPプリプロセッサを有効にするかどうかを設定します。これを有効にすると、すべてのSIPセッションがスキャンされ、ネットワーク攻撃が防止されます。 |
注
ps
やなどの高度なシェルCLIコマンドを使用すると top
、snortの全体的なメモリ消費量が /proc/meminfo
、Web管理コンソールの診断で報告されている量よりもはるかに多くなる場合があります。 ps
これは、および top
に、現在使用されているメモリではなく、全体的な予約済みメモリが表示されるためです。DPDKはすべてのXGSバージョンとハイエンドおよびローエンド・システムの両方でメモリー・リザベーションを使用するため、DPDKが有効になっている場合に適用されます。
ips_conf
管理者は、既存のIPS設定エントリを追加、削除、または編集できます。
構文 | 説明 |
---|---|
add [key] [text] [value] [text] | 新しいIPS設定を追加します。 |
del [key] [text] [value] [text] | および既存のIPS設定を削除します。 |
update [key] [text] [value] [text] | IPS設定を更新して終了します。 |
ランバイパス
このモードでは、1組または2組のインターフェイスがブリッジされるため、停電やハードウェアの故障時にスキャンを行わずにトラフィックフローを中断することができます。イネーブルにすると、オンボードモジュールと外部モジュールのすべてのモジュールでトラフィックがバイパスされます。電源が復旧すると、ソフォス ファイアウォールは自動的に通常の機能を再開します。たとえば、XG 750では、7つのモジュール(14のLANバイパスペア)が接続されている場合、14のペアすべてでバイパスがイネーブルになります。
構文 | 説明 |
---|---|
off | LANバイパスをオフにします。このオプションはデフォルトで選択されています。 |
on | LANバイパスをオンにします。 |
ネットワークに接続します
ルート、インターフェイス速度、MTU、MACアドレス、ポートなど、さまざまなネットワークパラメータを設定できます。
構文 | 説明 |
---|---|
interface-speed [PortID] [speed] [1000fd] [100fd] [100hd] [10fd] [10hd] [auto] | インターフェイス速度を設定できます。値は、Mbpsおよび全二重または半二重のいずれかで指定されます。Autoを指定すると、インターフェイスは接続されたネイバーデバイスと速度を自動的にネゴシエートできます。 |
macaddr [PortID] [default] [override] [string value] | インターフェイスのMACアドレスを設定できます。デフォルトでは既存のMACが保持されます。overrideパラメータを使用する場合は、必要なMACアドレス文字列を手動で定義する必要があります。 |
mtu-mss [PortID] [mtu ] [number value] [default] [mss] [number value] [default] | インターフェイスに必要なMTUおよびMSSを定義できます。デフォルト値は、MTU 1500およびMSS 1460です。 |
オンボックスレポートです
レポートがソフォス ファイアウォールで生成されているかどうかを確認できます。
構文 | 説明 |
---|---|
on | Boxレポートをオンにします。 |
off | Boxレポートをオフにします。 |
port-affinity
ポートアフィニティ設定を設定します。管理者は、CPUコアを特定のインターフェイスに手動で割り当てまたは割り当て解除できます。設定が完了すると、そのインターフェイスのすべてのネットワークトラフィックは、割り当てられたCPUコアによって処理されます。
注
CPUコアは、すでに設定されているインターフェイスにのみ割り当てることができます。
ポートアフィニティは、仮想アプライアンスがMicrosoft Hyper-Vに導入されている場合など、レガシーネットワークアダプタではサポートされません
注
XGSファイアウォールデバイスでポートアフィニティ設定を行う必要はありません。これらのデバイスでは、トラフィックは自動的にロードバランシングされ、CPUコア全体に分散されます。
構文 | 説明 |
---|---|
add [port] [PortID] [bind-with] [start-with] [cpu] [cpu number] | 目的のインターフェイスにポートアフィニティ設定を追加できます。 |
defsetup | デフォルトのポートアフィニティ設定を適用します。 |
del [port] [PortID] | 選択したポートの現在のポートアフィニティ設定を削除します。 |
fwonlysetup | これはレガシーのデフォルトポートアフィニティ設定であり、プロキシまたはIPSトラフィックを含まないプレーンファイアウォールトラフィックのみを処理します。 |
proxy-arp
プロキシがARP要求に応答する方法を定義できます。
構文 | 説明 |
---|---|
add [interface] [PortID] [dest_ip] [ dst_iprange] | プロキシARP設定を定義されたインターフェイスに適用します。 |
del [interface] [PortID] [dest_ip] [ dst_iprange] | 定義されたインターフェイスからプロキシARP設定を削除します |
report-disk-usage
レポートディスク使用率のウォーターマークをパーセントで設定します。ウォーターマークは、レポートディスクにデータを書き込むことができる最大の割合を表します。
構文 | 説明 |
---|---|
watermark [default] [numerical value] | ウォーターマークレベルを設定します。指定できる値は60~85です。 デフォルト: 80. |
ルーティングです
マルチキャストグループ制限、エイリアスの送信元ベースルート、およびWANロードバランシングのルーティングパラメータを設定できます。
構文 | 説明 |
---|---|
multicast-group-limit [numerical value] | マルチキャストグループ制限を適用します。 |
sd-wan-policy-route [system-generate-traffic] [reply-packet] [enable] [disable] | システム生成トラフィックおよび応答パケットのポリシールートをオンまたはオフにします。それぞれのルーティングを個別にオンにするようにしてください。ポリシーはWeb管理コンソールで設定します。 |
source-base-route-for-alias [enable] [disable] | エイリアスアドレスの送信元ベースルートを適用または削除します。 |
wan-load-balancing
| WANロードバランシングを設定して、複数のWANインターフェイス間でトラフィックを分散させます。 セッションの持続性は、特定のインターフェイスを介して同じセッションのトラフィックを送信します。重み付けラウンドロビンは、各インターフェイスで発生している負荷に応じて、異なるインターフェイス上でトラフィックを渡します。 セッション持続性を使用してトラフィックのバランスをとる場合、これは4つの方法で定義できます。 接続ベースでは、同じインターフェイスを介して同じ接続に関連するすべてのトラフィックが送信されます。 宛先は、すべてのトラフィックを同じインターフェイスを介して特定の送信元に送信するだけです。 送信元と宛先は、同じインターフェイスを介して、同じ送信元と宛先間のすべてのトラフィックを送信します。 送信元は、同じインターフェイス上の特定の送信元からのすべてのトラフィックのみを送信します。 さらに、IPv4、IPv6、またはすべてのトラフィックのバランスを選択できます。 |
service-param
デフォルトでは、ソフォス ファイアウォールは標準ポート上のすべてのHTTP、HTTPS、FTP、SMTP/S、POP、およびIMAPトラフィックを検査します。service-paramを使用して、非標準ポートで送信されるトラフィックの検査をイネーブルにします。
構文 | 説明 |
---|---|
FTP [add] [delete] [port] [port number] HTTP [add] [delete] [port] [port number] IMAP [add] [delete] [port] [port number] IM_MSN [add] [delete] [port] [port number] IM_YAHOO [add] [delete] [port] [port number] POP [add] [delete] [port] [port number] HTTPS [add] [delete] [port] [port number] [deny_unknown_proto] [on] [off] [invalid-certificate] [allow] [block] SMTP [add] [delete] [port] [port number] [failure_notification] [on] [off] [fast-isp-mode] [on] [off] [notification-port] [add] [port] [port number] [strict-protocol-check] [on] [off] SMTPS [add] [delete] [port] [port number] [invalid-certificate] [allow] [block] | 特定のプロトコルの非標準ポート上のトラフィックの検査を許可するには、add portコマンドを使用します。これは、service-paramコマンドリスト内で使用可能なすべてのサービスに対して機能します。 HTTPS、SMTP、およびSMTPSにはさらにオプションがあります。 |
ネットワークに接続します
速度、MACアドレス、MTU-MSS、LAGの詳細など、インターフェイスのさまざまなネットワークパラメータを設定できます。
構文 | 説明 |
---|---|
interface-speed [Port] [speed] [speed value] | 使用可能な速度値は次のとおりです。1000fd、100fd、100hd、10fd、10hdまたはautoです。fdとHDは半二重または全二重を示します。 |
macaddr [Port] [default] [override] [string] | インターフェイスのMACアドレスを設定できます。ここでは、使用する新しいMACアドレスを文字列で指定します。 |
mtu-mss [Port] [default] [number] | インターフェイスにMTU-MSS値を設定します。デフォルトは1500です。 |
lag-interface [interface_name] [lag-mgt] [active-backup] [auto] [Port] [lacp] [lacp-rate] [fast] [slow] [static-mode] [enable] [disable] [xmit-hash-policy] [layer2] [layer2+3] [layer3+4] [link-mgt] [down-delay] [value] [garp-count] [value] [monitor-interval] [value] [up-delay] [value] | 設定されているすべての遅延インターフェイスにさまざまなパラメータを設定できます。変数が値として指定されている場合、使用可能な値は次のとおりです。 down-delay使用可能な値は0~10000ミリ秒 GARPカウント値は0~255です 。monitor-interface値は0~10000ミリ秒 、up-delay値は0~10000ミリ秒です |
VPN
フェールオーバー設定、認証設定、MTUなど、VPN接続のさまざまなパラメータを設定できます。
構文 | 説明 |
---|---|
conn-remove-on-failover [all] [non-tcp] [conn-remove-tunnel-up] [disable] [enable] [l2tp] [authentication] [ANY] [CHAP] [MS_CHAPv2] [PAP] [mtu] [number] [pptp] [authentication] [ANY] [CHAP] [MS_CHAPv2] [PAP] | 認証パラメータは、L2TPおよびPPTP VPNのほか、すべてのトラフィックまたはTCP以外のトラフィックのグローバルフェールオーバーおよびフェールバックパラメータに設定できます。L2TPにMTUを設定できます。使用可能な値は576~1460で、デフォルトは1410です。 |