コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/22.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=CLI-system-dos-config

dos-config

サービス拒否 (DoS) ポリシーおよびルールを設定するときは、dos-config を使用します。送信元ごと、宛先ごと、またはグローバルに許可する 1 秒あたりの最大パケット数を設定することにより、SYN、UDP、ICMP、および IP パケットタイプのフラッド防御をオンにすることができます。トラフィックが制限を超えると、ファイアウォールはそれを攻撃とみなします。

コマンド

system dos-config

構文

system dos-config
add [dos-policy] [policy_name] [string] [ICMP-Flood | IP-Flood | SYN-Flood | UDP-Flood] [<1-10000> pps] [global | per-dst | per-src]
add [dos-rule] [rule_name] [string] [srcip | dstip] [ipaddress] [netmask] [netmask value] [protocol] [icmp | ip | tcp | udp] [rule-position] [position number] [src-interface] [interfacename] [src-zone] [DMZ | LAN | WAN | VPN | WiFi | custom zone] [dos-policy] [policy name]
delete [dos-policy] [dos-rule] [dos-policy] [rule-name | policy-name] [string]
flush [dos-rules | dos-rules | dos-policies] [rule-name | policy-name] [show | string]`

オプション

add [dos-policy] [policy_name] [string] [ICMP-Flood | IP-Flood | SYN-Flood | UDP-Flood] [<1-10000> pps] [global | per-dst | per-src]

サービス拒否 (DoS) ポリシーを作成します。

1秒あたりのパケット数 (PPS) の値のオプションは、1 ~ 10000 パケットです。

IP flood: IP flood はデバイスコンソールでのみ設定できます。Web 管理コンソールでは設定できません。IP flood をオンにしても、「侵入防御 > DoS 攻撃」の「適用」列には「なし」と表示されます。予期される動作です。

per-src: 1 つの送信元に許可する 1 秒あたりのパケット数 (PPS) を設定します。1 つの送信元からさらに多くのパケットが送信されると、Sophos Firewall はそのパケットをドロップします。この制限は、ユーザーごと、または IP アドレスごとの個々のソース要求に適用されます。

per-dest: 1つの宛先に許可する 1 秒あたりのパケット数 (PPS) を設定します。この制限は、ユーザーごと、または IP アドレスごとの個々の宛先要求に適用されます。

global: 送信元と宛先の要求に関係なく、ネットワークトラフィック全体に制限を適用します。この設定は、「侵入防御 > DoS 攻撃」に表示されるカウンタには適用されません。

per-src オプションを設定すると、送信元レートが毎分 2500 パケットで、ユーザー 100 人で構成されるネットワークの場合、各ユーザーには毎分 2500 パケットのパケットレートが許可されます。global オプションを選択すると、制限を 2500 パケット / 秒に設定し、ネットワークが 100 ユーザーで構成されている場合、全ユーザーからの全トラフィックに対しては 2500 パケット / 秒しか許可されません。

add [dos-rule] [rule_name] [string] [srcip | dstip] [ipaddress] [netmask] [netmask value] [protocol] [icmp | ip | tcp | udp] [rule-position] [position number] [src-interface] [interfacename] [src-zone] [DMZ | LAN | WAN | VPN | WiFi | custom zone] [dos-policy] [policy name]

サービス拒否 (DoS) ルールを作成すると、全パケットタイプまたは特定のパケットタイプにそのルール適用します。

flush [dos-rules | dos-rules | dos-policies] [rule-name | policy-name] [show | string]

DoS ルールおよびポリシーをフラッシュまたは表示します。文字列は、DoS ルールまたはポリシーの名前にする必要があります。

delete [dos-policy] [dos-rule] [dos-policy] [rule-name | policy-name] [string]

DoS ルールまたはポリシーを削除します。文字列は、DoS ルールまたはポリシーの名前にする必要があります。