コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=intrusion-prevention-prevent-dos-ddos

DoS および DDoS 攻撃を阻止する

ネットワークをサービス拒否 (DoS) と 分散型サービス拒否 (DDoS) 攻撃から保護するためのベストプラクティスを説明します。

DoS 攻撃からネットワークを保護する

適切な DoS 設定を行うことで、IPv4 および Ipv6 トラフィックのネットワークを DoS 攻撃から保護できます。

  1. IPS (侵入防御システム) > DoS/スプーフ防御」に移動します。

  2. DoS の設定」で、ネットワークトラフィックに応じてパケットレートとバーストレートを設定し、各設定の横の「フラグの適用」を選択します。

    たとえば、「ICMP/ICMPv6 フラッド」で「送信元あたりのパケットレート (パケット/分)」を 1200 に設定し、その横の「フラグの適用」を選択して、ICMP および ICMPv6 トラフィックのスキャンをオンにします。

    IPS DoS 攻撃。

  3. 適用」をクリックします。

DoS 設定が適用されると、ファイアウォールはネットワークトラフィックを確認して、設定した上限値を超えていないことを確認します。

この例では、ネットワークトラフィックの ICMP パケットと ICMPv6 パケットをスキャンします。特定の送信元からの ICMP/ICMPv6 パケット数が 1200/秒を超えた場合、超過パケットを破棄し、攻撃が終わるまで破棄し続けます。

DDoS 攻撃からネットワークを保護する

IPS (侵入防御システム) ポリシーを使用することによって、DDoS 攻撃からネットワークを保護できます。

DDoS シグネチャは、XGS 5500 以上のファイアウォールでのみ利用可能です。

  1. IPS (侵入防御) > IPS ポリシー」の順に選択します。
  2. 追加」をクリックします。
  3. ポリシー名を入力します。例: DDoS_Protection
  4. 保存」をクリックします。
  5. DDoS_Protection ポリシーの編集 「編集」ボタン。 をクリックします。
  6. 追加」をクリックします。
  7. スマートフィルタ」に ddos と入力し、Enter キーを押します。
  8. 処理」を「パケットの切断」に設定します。
  9. 保存」をクリックし、もう一度「保存」をクリックします。

  10. ルールとポリシー」に移動して、IPS (侵入防御システム) ポリシーをファイアウォールルールに適用します。

    ファイアウォールルールに IPS ポリシーを適用する。

その他のリソース