コンテンツにスキップ

設定

set コマンドで設定するシステムコンポーネントの詳細です。

さまざまなシステムコンポーネントの設定とパラメータを定義するときは、set コマンドを使用します。

たとえば、set 入力後に Tab キーを押すと、構成可能なコンポーネントのリストが表示されます。これらのオプションとパラメータについては、以下で説明します。

構文の説明

set main-command option [引数] {ユーザ定義入力} <範囲>

set advanced-firewall icmp-error-message allow

set advanced-firewall add dest_host 10.1.1.10

advanced-firewall

Advanced-firewall オプションを使用すると、検査対象のトラフィック、プロトコルタイムアウト値、トラフィックフラグメンテーションなど、ファイアウォール関連のさまざまなパラメータおよび設定を構成できます。構成に使用可能なパラメータの完全リストを以下の表に示します。

構文 説明
bypass-stateful-firewall-config [add|del] [dest_host|dest_network] {IP address | network IP address / netmask} [source_host|source_network] { IP address | network IP address / netmask}

送受信方向のトラフィックが常に Sophos Firewall を通過するわけではない場合に、ホストまたはネットワークを追加します。

単一ホストまたはネットワーク全体を追加または削除できます。

restrict-admin-console-wan-access [enable|disable]

WAN 送信元からの Web 管理コンソールへのアクセスを許可するか、拒否します。

enable を入力すると、すべての WAN 送信元からのアクセスがオフになります。これにより、より高いセキュリティレベルが保証されます。詳細は推奨の方法を参照してください。

デフォルト: enable

icmp-error-message [allow|deny] ネットワーク、ホストまたはポートに到達できない、宛先ネットワークまたはホストが不明などの問題を記述する ICMP エラーパケットを許可するか、拒否します。
strict-icmp-tracking [on|off] ICMP 応答パケットを許可するか、ドロップします。このオプションを「オン」に設定すると、すべての ICMP 応答パケットがドロップされます。
tcp-selective-acknowledgement [on|off]

TCP 選択的確認応答 (SACK) を使用すると、ファイアウォールは受信側が受信した特定のセグメントについて送信側に通知することを許可します。送信側は、TCP ウィンドウ全体ではなく、失われたセグメントと順序が正しくないセグメントのみを再送信できるため、効率的な再送信が保証されます。

不必要な再送信を最小限に抑え、レイテンシーを低減し、スループットを向上させて、より信頼性の高いデータ伝送を保証します。

tcp-window-scaling [on|off]

ウィンドウの拡縮を使用すると、ファイアウォールは、広帯域ネットワークをサポートする従来の 16 ビット制限 (64 KB) を超えて TCP ウィンドウサイズを拡張します。ウィンドウサイズを大きくすることで、単一の TCP 接続でより大きなデータ転送が可能になり、スループットが向上し、レイテンシが短縮されます。

ネットワーク容量に基づいてウィンドウサイズを動的に調整し、輻輳を回避し、データ伝送を最適化することで、フロー制御を最適化します。「RFC1232」を参照してください。

fragmented-traffic [allow|deny] 断片化されたトラフィックを許可または拒否します。IP フラグメンテーションは、IP データグラムをより小さなパケットに分割してから、受信側で送信して再構築するプロセスです。「RFC4459 セクション 3.1」をご覧ください
ipv6-unknown-extension-header [allow|deny] 拡張ヘッダーが不明である IPv6 パケットを許可またはドロップします。
strict-policy [on|off] 厳密なポリシーが適用されると、デバイスはファイアウォールに対する特定のトラフィックおよび IP ベースの攻撃をドロップします。既定設定では厳密ポリシーは常にオンになっています。厳密なポリシーがオフの場合、厳密なファイアウォールポリシーは無効になります。
tcp-est-idle-timeout <2700-432000> 確立された TCP 接続のアイドルタイムアウト値を秒単位で設定します。使用可能な値は 2700 ~ 432000 です。
tcp-seq-checking [on|off] すべての TCP パケットには、シーケンス番号 (SYN) と受信確認番号 (ACK) が含まれます。Sophos Firewall は、特定のウィンドウ内の SYN および ACK 番号を監視して、パケットがセッションの一部であることを確認します。しかし、特定のアプリケーションやサードパーティベンダーはパケットの有効性を検証するため、またはその他の理由で、RFC 以外の方法を使用するため、サーバーが無効なシーケンス番号を持つパケットを送信し、受信確認を期待する可能性があります。このため、Sophos Firewall ではこの機能をオフにする機能を提供しています。
udp-timeout <30-3600> まだ確立されていない UDP 接続のタイムアウト値を秒単位で設定します。使用可能な値は 30 ~ 3600 です。
udp-timeout-stream <30-3600> UDP ストリーム接続のタイムアウト値を秒単位で設定します。使用可能な値は 30 ~ 3600 です。UDP ストリームは、2 つのクライアントが特定のポート上で相互に、ネットワークセグメント間で UDP トラフィックを送信すると確立されます。例: LAN to WAN。
ftpbounce-prevention [control|data] FTP 制御およびデータ接続に対する FTP バウンス攻撃を防止します。攻撃者が、自身の IP アドレスではなく、サードパーティの IP アドレスを使用してポートコマンドを FTP サーバーに送信すると、トラフィックは FTP バウンス攻撃と見なされます。
midstream-connection-pickup [on|off] ミッドストリーム接続ピックアップ設定を構成してください。TCP 接続のミッドストリームピックアップを有効にすると、サービスを失うことなく、Sophos Firewall をライブネットワークのブリッジとして接続する際に役立ちます。また、これは、ネットワークの設計や設定が独自のものである場合に、ネットワーク動作を処理する際にも使用できます。たとえば、非定型ルーティング設定は、ICMP リダイレクトメッセージにつながります。Sophos Firewall はデフォルトで、2 つの展開モードで追跡されない (ミッドストリームセッション) TCP 接続をすべてドロップするように設定されています。
sys-traffic-nat [add|delete] [destination] {destination IP address} [interface] {interface} [netmask] {netmask} [snatip] {snat IP address}

管理者は、ファイアウォールによって生成されたトラフィックを NAT 処理し、インターフェースの IP アドレスが公開されないようにしたり、設定された宛先に送信されるトラフィックの NAT 処理 IP を変更したりできます。

例: set advanced-firewall sys-traffic-nat add destination 172.16.16.5 snatip 192.168.2.1

tcp-frto [on|off] 転送 RTO リカバリ (F-RTO) の有効・無効を切り替えます。F-RTO は、TCP 再送信タイムアウトのための強化リカバリアルゴリズムです。これは、パケット損失が通常、中間ルータの輻輳ではなくランダムな無線干渉によって発生するという、ワイヤレス環境で特に有益です。F-RTO は送信側のみで変更可能です。したがって、ピアからのサポートは必要ありません。
tcp-timestamp [on|off] TCP タイムスタンプの有効・無効を切り替えます。タイムスタンプは、転送 RTO リカバリ方式よりも優れた方法でラウンドトリップ測定を計算するために使用される TCP オプションです。
route-cache [on|off] ルートキャッシュの有効・無効を切り替えます。ルートキャッシングを使用すると、送信トラフィックの宛先ごとの負荷分散が可能になります。
ipv6-ready-logo-compliance [on|off] IPv6 Ready ロゴのコンプライアンスの有効・無効を切り替えます。IPv6 Ready ロゴは、IPv6 が動作し、すぐに使用できることをテストするプログラムです。有効にすると、ファイアウォールは IPv6 ロゴテストに合格します。

arp-flux

ARP フラックスは、複数のイーサネットアダプタ (多くの場合単一デバイス上) が ARP クエリに応答すると発生します。このため、リンク層アドレスから IP アドレスへのマッピングに問題が発生する可能性があります。Sophos Firewall は、2 つのイーサネットインターフェースからの ARP 要求に応答することがあります。ARP 要求を作成するデバイスでは、これらの複数の回答が混乱を引き起こす可能性があります。ARP フラックスが有効になるのは、Sophos Firewall が同じメディアまたはブロードキャストドメインに複数の物理接続を持っている場合だけです。

構文 説明
on Sophos Firewall は、Sophos Firewall が同一のメディアまたはブロードキャストドメインに複数の物理接続を持つ場合、両方のイーサネットインターフェースからの ARP 要求に応答することがあります。
off Sophos Firewall は、Sophos Firewall が同一のメディアまたはブロードキャストドメインに複数の物理接続を持つ場合、それぞれのイーサネットインターフェイスからの ARP 要求に応答します。

dns

TTL (生存期間) は、DNS レコードに変更が反映されるまでの時間を指定するものです。ドメインの DNS レコードは、次の参照までキャッシュされます。Sophos Firewall は、localhost に対して解決されるドメインの DNS レコードの TTL 値ではなく、デフォルトの間隔で DNS ルックアップを実行します。

DNSが localhost をルックアップする間隔を変更します。たとえば、DNS レコードエントリを localhost から別のホストに変更するとき、より低い TTL 値を指定すると、Sophos Firewall がレコードをより早く更新するようにすることができます。

構文 説明
localhost-ttl <60-655360>

localhost に対して解決されたドメインの DNS ルックアップが発生する間隔 (秒単位) です。

範囲: 60~655360 秒
デフォルト: 655360秒

fqdn-host

完全修飾ドメイン名 (FQDN) のホストは設定できます。DNS サーバーは、IP アドレスに対する FQDN 要求を解決します。FQDN ホストは、16,000 件まで作成できます。設定は、Web 管理コンソールで行うこともできます。

構文 説明
cache-ttl <60-86400> [dns-reply-ttl]

FQDN ホストの cache-ttl 値を設定します。cache-ttl 値は、キャッシュされた FQDN ホストと IP アドレスのバインディングが更新されるまでの時間を秒単位で表します。

範囲: 1~86400 秒

デフォルト: 3600 秒

dns-reply-ttl: DNS 応答パケットの ttl 値を cache-ttl として使用します。

eviction [enable | disable] [interval] <60-86400> ワイルドカード FQDN のサブドメインの IP アドレスが削除されるまでの時間 (秒単位)。使用可能な範囲は 60 ~ 86400 です。
idle-timeout <60-86400> [default]

idle-timeout 値は、キャッシュされた FQDN ホストから IP アドレスへのバインディングが削除されるまでの時間を秒単位で表します。

範囲: 60~86400 秒

デフォルト: 3600秒

learn-subdomains [enable | disable] ワイルドカードを使用して FQDN のサブドメインの IP アドレスを学習します。Sophos Firewall を通過するローカルトラフィックのサブドメインの IP アドレスを知りたい場合は、このオプションをオンにします。このサブドメインは、Sophos Firewall に送信されたものでも、Sophos Firewall が発信元になっているものでもありません。

http_proxy

HTTP プロキシのパラメータは次のように設定します。

コマンドラインコンソールを使用してキャプティブポータルと Web プロキシに、異なる最低限必要なバージョンを設定した場合、Web 管理コンソールにはプロキシの最低限必要な TLS バージョンのみ表示されます。また、キャプティブポータルと Web プロキシの最低限必要な TLS バージョンが一致しないという警告も表示されます。

構文 説明
add_via_header [on | off] プロキシを通過するトラフィックの via ヘッダーを追加または削除します。via ヘッダーは、メッセージ転送の追跡、要求ループの回避、および要求チェーンと応答チェーンに沿った送信者のプロトコル機能の識別に使用されます。
block_proxy_loop [on | off] プロキシループブロックの有効・無効を切り替えます。オンにしている場合、パケット内の via ヘッダーの重複が検出されると、Sophos Firewall はトラフィックをドロップします。「Duplicate via header values, proxy loop」というメッセージが awarrenhttp.log ファイルに出力されます。
captive_portal_tlsv1_0 [on | off] TLSv1 を使用したキャプティブポータルへの接続を許可または拒否します。TLSv1 は現時点では、安全ではないと見なされています。この機能は、特定のビジネスニーズに必要な場合にのみオンにする必要してください。
captive_portal_tlsv1_1 [on] [off] TLS 1.1 を使用したキャプティブポータルへの接続を許可または拒否します。TLS 1.1 は現時点では安全ではなく、その使用は推奨されません。特定のビジネスニーズに応じて TLS 1.1 をオンにしてください。
captive_portal_x_frame_options [on | off] キャプティブポータルトラフィックの x-frame-options ヘッダーのオン/オフを切り替える x-frame-options (XFO) は、HTTP 応答ヘッダーであり、HTTP セキュリティヘッダーとも呼ばれ、2008 年から存在しています。2013 年に RFC 7034 として公式に公開されましたが、インターネット標準ではありません。このヘッダーは、サイトのコンテンツを処理するときの動作をブラウザに指示します。導入の主な理由は、フレーム内のページのレンダリングを許可しないことにより、クリックジャック攻撃に対する保護を提供することでした。「RFC 7034」を参照してください。
client_timeout <1-2147483647> [default] プロキシ経由で確立された接続を持つクライアントのタイムアウトを秒単位で設定します。使用可能な値は 1 ~ 2147483647 です。デフォルトは60です。
connect_timeout <1-2147483647> [default] プロキシ経由で試行される接続のタイムアウト値を秒単位で設定します。使用可能な値は 1 ~ 2147483647 です。デフォルトは60です。
core_dump [on | off] プロキシでエラーが発生してクラッシュした場合に coredump ファイルを作成するかどうかを指定します。coredump ファイルは、問題のトラブルシューティングに役立ちます。
proxy_tlsv1_0 [on | off] プロキシ経由で TLS 1.0 を使用した接続を許可または拒否します。TLS 1.0 は、TLS 1.3 に取って代わられた非推奨の暗号プロトコルです。TLS 1.0 接続を使用することはお勧めしません。
proxy_tlsv1_1 [on] [off] プロキシ経由で TLS 1.1 を使用した接続を許可または拒否します。TLS 1.1 は現時点では安全ではなく、その使用は推奨されません。特定のビジネスニーズに応じて TLS 1.1 をオンにしてください。
relay_invalid_http_traffic [on | off] HTTP ポート経由で送信された非 HTTP トラフィックをプロキシによってリレーするかドロップするかを決定します。アプリケーションによっては、HTTP (80 および 443) で通常使用されるポートを介してトラフィックを送信します。このような場合、プロキシはトラフィックを処理できず、問題が発生する可能性があります。その場合には、このトラフィックのプロキシをバイパスすることをお勧めします。
response_timeout <1-2147483647> [default] プロキシが新しい接続からの応答を待機するタイムアウトを秒単位で設定します。このタイムアウトが経過すると、接続が終了します。使用可能な値は 1 ~ 2147483647 です。デフォルトは60です。
tunnel_timeout <1-2147483647> [default] プロキシが HTTPS 接続を設定する際に応答を待機するタイムアウト値を秒単位で設定します。使用可能な値は 1 ~ 2147483647 です。デフォルトは300です。
disable_tls_url_categories [on | off]

SSL / TLS インスペクションルールのカテゴリルックアップをオンまたはオフにできます。disable_tls_url_categories がオンの場合、トラフィックは分類されません。

これは、どの SSL / TLS インスペクションルールを選択するかに影響します。SSL / TLS インスペクションルールでは、「カテゴリと Webサイト」に「任意」と指定されたものとのみ照合され、それ以外は照合されません。たとえば、「カテゴリとウェブサイト」に対して「任意」の値が指定されている SSL / TLS ルールがない場合に、disable_tls_url_categories がオンの場合には、ルールは照合されません。デフォルトの動作が適用されます。

これらの設定は、トラフィックに適用されるすべての Web ポリシーにも影響します。TLS ハンドシェイク中に Web ポリシーが適用されると、トラフィックは分類されません。こういったシナリオでは、パケットの内容全体が表示されるため、disable_tls_url_categories 設定は HTTP トラフィックまたは復号化された HTTPS トラフィックの URL の分類には影響しません。

ips

このコマンドを使うと、侵入防御システム(IPS)の構成ができます。IPS は、事前定義された署名を含む署名エンジン (snort) で構成されています。署名は有害として知られるパターンです。IPS はトラフィックをこれらの署名と比較し、一致を検出すると高速で応答します。デバイスに含まれている署名は編集できません。設定されている構成を表示するには、「showコマンド」を参照してください。

以下の設定の構成が可能です。

構文 説明
enable_appsignatures [on | off] このコマンドは、IPS のアプリベースの署名を有効化 / 無効化します。アプリ署名を使用すると、ファイアウォールはトラフィックパターンに一致する悪意のあるアプリケーションを特定します。このオプションはデフォルトでオンになっています。
failclose [apply] [off | on] [timeout] [tcp | udp] <1-43200> 障害発生時に接続を閉じるかどうか、および IPS を通過する TCP 接続と UDP 接続の両方のタイムアウトを秒単位で指定します。UDP および TCP トラフィックに使用できるタイムアウト値は、1 ~ 43200 です。
http_response_scan_limit <0-262144> このコマンドは、HTTP レスポンスパケットのスキャンの上限値を設定します。使用可能な値は 0 ~ 262144 です。フルスキャンの場合は、これを 0 に設定する必要があります。
inspect [all-content | untrusted-content]

全コンテンツまたは信頼できないコンテンツの IPS インスペクションを指示します。

信頼できないコンテンツ: 信頼されていないコンテンツのみを検査します。SophosLabs によって信頼されているコンテンツは検査しません。最高のパフォーマンスを提供します。

すべてのコンテンツ: すべてのコンテンツを検査します。最高のセキュリティを提供します。

デフォルト: 信頼されていないコンテンツのみを検査します。これはほとんどのユーザーにとって十分安全です。

ips-instance [apply | clear | add] [IPS] [cpu] <0-1> 新しい IPS CPU インスタンスを作成し、IPS インスタンスをクリアするか、新しい IPS 設定を適用します。
ips_mmap [on | off] mmap を有効化すると、特にローエンドデバイスで RAM 使用量が最適化されます。デフォルトでは、mmap はオンになっています。
lowmem-settings [on | off] IPS の低メモリ設定を有効または無効にします。これらの設定は、アプライアンスでメモリの問題が発生した場合にのみ適用されます。
maxpkts [numeric value more than 8 | all | default] このコマンドは、アプリケーション分類のために送信されるパケット数です。デフォルトでは、maxpkts は 8 に設定されています。すべてのパケットを送信するか、8 より大きい任意の数のパケットを送信するように変更できます。
maxsesbytes-settings [update] [numeric value] maxsesbytes-settings では、IPS でスキャンできる最大ファイルサイズを設定できます。設定したサイズよりも大きいファイルはバイパスされ、スキャンが省略されます。なお、この最大ファイルサイズは、セッション単位で適用されます。
packet-streaming [on | off]

パケットストリーミングを許可するかどうかを決定します。パケットストリーミングは、システムでメモリの問題が発生している場合、パケットのストリーミングを制限するとき使用します。

もし、packet-streaming がオンになっている場合には (デフォルト設定)、IPS エンジンによってセッション中に内部テーブルが作成されますが、これはセッション終了時に削除されます。また、このコマンドは、全受信パケットを再構成し、データの既知の署名のチェックをします。

もし、packet-streaming がオフに設定されている場合、パケットまたはセグメントの再構成は行われなくなるため、Telnet、POP3、SMTP、HTTP などのプロトコルに脆弱性が生じます。データはパケットのチャンクに分割されることがあり、署名を確認するために再構成する必要があります。これらのプロトコルは、分割によって隠されてしまう、悪意のあるファイルに対しては脆弱です。

pki-acceleration [enable | disable]

DPI エンジンによって検査される SSL / TLS フローの X.509 サーバー証明書の再署名を、Xstream Flow Processor の暗号化ハードウェアにオフロードします。

デフォルト: サポートされているバージョンとアプライアンスで有効になっています。

PKI 高速化をサポートしていない SFOS バージョンおよび XGS シリーズモデルでは、ステータスは disabled と表示されます。「サポートされているバージョンとアプライアンスモデルの概要」を参照してください。

pki-acceleration ステータスを表示するには、show ips-settings と入力します。「show コマンド」を参照してください。

PKI の高速化を実行するには、ファイアウォール高速化をオンにする必要があります。PKI の高速化がオンになっており、ファイアウォールの高速化がオフになっている場合には、ステータスは enabled (inactive) と表示されます 。「ファイアウォールの高速化」を参照してください。

search-method [ac-bnfa | ac-q | hyperscan]

IPS シグネチャパターンマッチングの検索方法を設定します。

ac-bnfa: メモリ使用量が少なく、パフォーマンスが高い。

ac-q: メモリの使用量が多く、パフォーマンスが最も優れている。

hyperscan: メモリ使用量が少なく、パフォーマンスが最も優れている。

sip_ignore_call_channel [enable | disable]

このコマンドは、音声および動画のデータチャンネルを対象外とするかどうかを設定します。このようなチャンネルを無視するには、このオプションを有効にします。

デフォルトで有効になっています。

sip_preproc [enable | disable] このコマンドは、SIP プリプロセッサの有効 / 無効を設定します。これを有効化すると、全 SIP セッションのスキャンが行われ、ネットワーク攻撃が予防できます。
tcp urgent-flag [allow | remove]

フラグが TCP パケットで送信される場合に、IPS が TCP 緊急フラグとポインタを処理する方法を設定します。デフォルトはremoveです。

allow: パケットを変更せずに緊急フラグとポインタを許可します。

remove: 緊急フラグとポインタを削除してリセットします。

pstop などの Advanced Shell の CLI コマンドを使用すると、Web 管理コンソールの診断下または /proc/meminfo で報告されているよりも SNORT の全体的なメモリ消費量が多くなることがあります。これは ps および top が現在使用しているメモリではなく、予約済みメモリ全体を表示するためです。これは、ファイアウォールの高速化がオンになっている場合に適用されます。すべての XGS バージョンでメモリ予約を使用するためです。

ips_conf

このコマンドを指定すると、管理者が、既存の IPS 設定エントリを追加、削除、または編集できるようになります。

構文 説明
add [key] [text] [value] [text] 新しい IPS 設定を追加します。
del [key] [text] [value] [text] IPS 設定を削除して終了します。
update [key] [text] [value] [text] IPS 設定を更新して終了します。

lanbypass

オンにすると、ファイアウォールの LAN バイパスまたは Fail to Wire (FTW) が有効になります。このモードでは、1 つまたは 2 つのバイパスポートペアがブリッジされるため、停電やハードウェアの誤動作が発生してもスキャンせずにトラフィックフローを中断することがありません。再び電源供給が開始されると、ファイアウォールは自動的に通常の動作を再開します。詳細は、Sophos Firewall: LANバイパスの設定」を参照してください。

構文 説明
off lanbypass をオフに設定します。このオプションはデフォルトで選択されています。
on lanbypass をオンに設定します。

network

これを指定すると、リンクモード (速度とデュプレックス)、MAC アドレス、MTU-MSS、LAG など、さまざまなインターフェースネットワークパラメータが設定できます。

構文 説明
interface-link [PortID] [linkmode] [1000fd] [100fd] [100hd] [10fd] [10hd] [auto] [autoneg] [on] [off] [fecmode]

インターフェース速度とデュプレックスが設定できます。値は Mbps 単位で、全二重または半二重です。Auto を指定すると、インターフェースは接続されたネイバーデバイスと速度を自動的にネゴシエートします。

速度とデュプレックスの自動ネゴシエーションをオンまたはオフにし、インターフェースのFEC (前方誤り訂正) モードを選択します。FEC モードはアプライアンスモデルによって異なります。

macaddr [PortID] [default] [override] [string value] これを指定すると、インターフェースの MAC アドレスが設定できます。デフォルトでは、既存の MAC アドレスが保持されます。override パラメータを使用している場合は、MAC アドレスは手動で入力します。
mtu-mss [PortID] [mtu ] [number value] [default] [mss] [number value] [default] ここでは、インターフェースに必要な MTU および MSS が定義できます。デフォルト値は MTU 1500 および MSS 1460 です。
lag-interface [interface_name] [lag-mgt] [active-backup] [auto] [Port] [lacp] [lacp-rate] [fast] [slow] [static-mode] [enable] [disable] [xmit-hash-policy] [layer2] [layer2+3] [layer3+4] [link-mgt] [down-delay] [value] [garp-count] [value] [monitor-interval] [value] [up-delay] [value]

ここでは、設定済みの LAG インターフェイスにさまざまなパラメータを設定できます。変数が値として指定されている場合、使用可能な値は次のとおりです。

down-delay: 0 ~ 10000 ミリ秒

garp-count: 0 ~ 255

monitor-interface: 0 ~ 10000 ミリ秒

up-delay: 0 ~ 10000 ミリ秒

on-box-reports

Sophos Firewall でレポートを生成するかどうかを決定できます。

構文 説明
on ボックスレポートをオンにします。
off ボックスレポートをオフにします。

port-affinity

ポートアフィニティは設定できます。管理者は、CPU コアを特定のインターフェースに手動で割り当てたり、割り当てを解除したりできます。これを設定すると、割り当てられた CPU コアがそのインターフェースのすべてのネットワークトラフィックを処理します。

CPU コアは、すでに設定されているインターフェースにのみ割り当てることができます。

仮想アプライアンスが Microsoft Hyper-V に展開されている場合など、レガシーネットワークアダプタでは port-affinity はサポートされません。

XGS ファイアウォールデバイスでは、port-affinity 設定を構成する必要はありません。トラフィックは負荷分散され、これらのデバイスの CPU コアに自動的に分散されます。

構文 説明
add [port] {PortID} [bind-with | start-with] [cpu] [cpu number] ここでは、port-affinity 設定をインターフェイスに追加できます。
defsetup デフォルトの port-affinity 設定を適用します。
del [port] {PortID} 選択したポートの現在の port-affinity 設定を削除します。
fwonlysetup これは従来のデフォルトの port-affinity 設定であり、プロキシや IPS トラフィックを含まないプレーンなファイアウォールトラフィックのみを処理します。

proxy-arp

このコマンドを指定すると、プロキシが ARP 要求にどのように応答するかを定義できます。

構文 説明
add [interface] {PortID} [dest_ip | dst_iprange] {destination IP | destination IP range} 定義されたインターフェースに proxy-arp 設定を適用します。
del [interface] {PortID} [dest_ip | dst_iprange] {destination IP | destination IP range} 定義されたインターフェースから proxy-arp 設定を削除します。

report-disk-usage

レポートディスク使用率のウォーターマークをパーセンテージで設定します。ウォーターマークは、レポートディスクに書き込むことができるデータの割合を表します。

構文 説明
watermark [default | <60-85>]

ウォーターマークレベルを設定します。指定できる値は 60 ~ 85 です。

デフォルト: 80.

routing

ここから、マルチキャストグループ制限、エイリアスの送信元ベースルート、および WAN 負荷分散のルーティングパラメータを設定できます。

構文 説明
multicast-group-limit <number> マルチキャストグループ制限を適用します。デフォルトは250です。
sd-wan-policy-route [system-generate-traffic] [reply-packet] [enable | disable] システム生成トラフィックおよび応答パケットのポリシールートをオンまたはオフにします。ルーティングはそれぞれ個別にオンにしてください。ポリシーは Web 管理コンソールで設定します。
source-base-route-for-alias [enable | disable] エイリアスアドレスの送信元ベースルートを適用または削除します。複数の WAN インターフェースがあり、IPSec 接続にエイリアスアドレスを使用する場合は、このオプションをオンにする必要があります。
wan-load-balancing [session-persistence | weighted-round-robin] [connection-based | destination-only | source-and-destination | source-only] [ip-family] [all | ipv4 | ipv6]

WAN 負荷分散を設定して、複数の WAN インターフェース間でトラフィックを分散します。

セッションの永続性は、特定のインターフェースを介して同じセッションにトラフィックを送信します。重み付きラウンドロビンは、各インターフェースの負荷に応じて、異なるインターフェース上でトラフィックを渡します。

セッションの永続性を使用してトラフィックを分散する場合は、次の 4 つの方法が定義できます。

Connection-based 同一の接続に関連するすべてのトラフィックを同じインターフェース上で送信します。

Destination-only すべてのトラフィックを同一インターフェースを介して特定の送信元に送信します。

Source-and-destination 同一の送信元と宛先の間のすべてのトラフィックを同じインターフェイス上で送信します。

Source-only 特定の送信元からのすべてのトラフィックを同じインターフェイス上で送信します。

さらに、IPv4、IPv6、またはすべてのトラフィックのバランスをとることもできます。

service-param

Sophos Firewall はデフォルトで、すべての HTTP、HTTPS、FTP、SMTP/S、POP、IMAP トラフィックを標準ポート上で検査します。service-param は、非標準ポート上で送信されるトラフィックの検査を有効化する場合に使用します。

構文 説明
FTP [add | <p>delete] [port] {portID}

HTTP [add | <p>delete] [port] {portID}

IMAP [add | <p>delete] [port] {portID}

IM_MSN [add | <p>delete] [port] {portID}

IM_YAHOO [add | <p>delete] [port] [port number]

POP [add | <p>delete] [port] {portID}

HTTPS [add | delete] [port] {portID} [deny_unknown_proto] [on | off] [invalid-certificate] [allow | <p>block]

SMTP [add | delete] [port] {portID} [failure_notification] [on | off] [fast-isp-mode] [on | off] [notification-port] [add] [port] {portID} [strict-protocol-check] [on | <p>off]

SMTPS [add | delete] [port] {portID} [invalid-certificate] [allow | block]

特定のプロトコルの非標準ポート上のトラフィック検査を許可するには、add-port コマンドを使用します。これは service-param コマンドリスト内で使用可能なすべてのサービスに対して機能します。

HTTPS、SMTP、および SMTPS には、さらに多くのオプションがあります。

support_access

ここでは、サポートアクセスの有効・無効を切り替えることができます。

構文 説明
[enable|disable] サポートアクセスをオンまたはオフにします。オンにすると、アクセス ID とアクセス期間が表示されます。

vpn

ここでは、フェールオーバー設定、認証設定、MTU など、VPN 接続のさまざまなパラメータを設定できます。

これらのいくつかは詳細設定です。ネットワーク要件に基づいて、またはソフォスサポートからのアドバイスに従って使用してください。

構文 説明
conn-remove-on-failover [all | non-tcp] [conn-remove-tunnel-up] [enable | disable] [l2tp | pptp] [authentication] [ANY | CHAP | MS_CHAPv2 | PAP] [mtu] <576-1460> すべてのトラフィックまたは非 TCP トラフィックのグローバルフェールオーバーおよびフェールバックパラメータに加えて、L2TP および PPTP VPN に認証パラメータを設定できます。MTU は L2TP に設定できます。使用可能な値は 576 ~ 1460 です。デフォルトは1410です。

ipsec-performance

[ipsec-max-workqueue-items <1024-10240>]

[anti-replay window-size {32 | 64 | 128 | 256 | 512 | 1024 | 2048 | <p>4096}]

[cookie_threshold <number>]

ipsec-max-workqueue-items: Work Queue のサイズは 1024 ~ 10240 の任意の値に設定できます

anti-replay window-size: ファイアウォールは、リプレイ攻撃を防ぐために、設定された制限に従って、復号化中に検出されたパケットを追跡します。デフォルト: 1024.

cookie_threshold: cookie の検証は常にオンになっています。この機能は IKEv2 でのみ使用できます。模擬ハーフ SA の数が cookie しきい値を超えると、応答側はDoS 攻撃から保護するために cookie 要求をイニシエータに送信します。デフォルト: 30