コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=web-server-general-settings

全般設定

Slow HTTP プロテクションを設定し、TLS バージョンを設定します。

Slow HTTP プロテクションの設定

Slow HTTP 攻撃とは、攻撃者が Web サーバーに断片的な HTTP リクエストをゆっくりと 1 つずつ送信する DoS (Denial of Service) 攻撃です。HTTP リクエストが不完全な場合や、転送レートが非常に低い場合、サーバーのリソースが残りのデータを待機してビジー状態になります。サーバーの同時接続プールが上限に達すると、DoS が発生します。

Slow HTTP プロテクションでは、要求ヘッダーのタイムアウトを設定して、Slow HTTP 攻撃を防止します。

  • ソフトリミット: 要求ヘッダーの受信に設ける時間制限の最小値。

  • ハードリミット: 要求ヘッダーの受信に設ける時間制限の最大値。

  • 拡張率: ソフトリミットに設定されているタイムアウトを延長するデータ量 (バイト)。この量を超えるたびに、ソフトリミットが 1 秒増加します。

  • スキップするネットワーク/ホスト: Slow HTTP プロテクションから影響を受けないネットワークやホスト。

制限事項

Sophos Firewall は、IP ホストの種類が「IP」および「ネットワーク」の場合のみに保護を適用します。「IP 範囲」や「IP リスト」は指定しないでください。

TLS バージョンの設定

WAF への接続に最低限必要な TLS バージョンを選択します。

バージョンを選択する前に、ブラウザが TLS に対応しているかどうかを確認してください。TLS バージョン 1.2 を選択した場合、Microsoft Internet Explorer 8 以前や Windows XP 上で実行されているクライアントは WAF に接続できません。

次のいずれかのバージョンを選択してください。

  • TLS v1 以上: SSLv3 以外のすべてのプロトコルが含まれます。これはレガシーシステムに使用します。
  • TLS v1.1 以上: SSLv3 および TLSv1 以外のすべてのプロトコルが含まれます。
  • TLS v1.2 (汎用): TLSv1.2 プロトコルだけが含まれます。使用が推奨されていない暗号も含まれています。これはレガシーシステムで必要になる可能性があります。
  • TLS v1.2 (厳格): 推奨される TLSv1.2 プロトコル暗号のみが含まれています。
  • TLS v1.3: TLSv1.3 プロトコル暗号だけが含まれます。

  • カスタム TLS: OpenSSL 構文を使用して、次の詳細を手動で入力します。

    • プロトコル: プロトコルを入力します。
    • 暗号スイート: 指定したプロトコルの暗号を入力します。ここには TLS v1.3 暗号を入力しないでください。
    • TLS v1.3 暗号スイートのみ: TLS v1.3 プロトコルを使用している場合は、TLS v1.3 暗号のみを入力します。

    OpenSSL 構文については、 「Apache モジュール mod_ssl」を参照してください。