実際のUTMを利用して、設定や動作を通じてその機能を解説していこう。ここでは題材として、英ソフォスの個人向けUTMソフトウエア「Sophos XG Firewall Home Edition(以下、XG Firewall Home)」を使用する。

 今回はIPS(Intrusion Prevention System)、VPN(Virtual Private Network)、DMZ(DeMilitarized Zone)の各機能について設定と動作を見ていく。

実習4:DoS攻撃を検知してブロックする

 UTMにはIPSの機能がある。ここではその1つであるDoS/DDoS(Denial of Service/Distributed Denial of Service)攻撃に対処する設定を説明する。

 DoS攻撃の一種である「SYN Flood攻撃」への対策を設定してみよう。SYN Flood攻撃は、短時間にTCPのSYNパケットを大量に送り付ける攻撃。サーバーに大量のTCP通信を受け付けさせて資源を使い尽くさせる。XG Firewall Homeはそうした攻撃のパケットをドロップできる。

DoS攻撃を検知して対処する
DoS攻撃を検知して対処する
[画像のクリックで拡大表示]

 管理画面の「侵入防御」にある「DoS/スプーフ防御」画面で、「SYNフラッド」の設定項目にSYN Flood攻撃とみなすパケットレートを設定する。DoS攻撃かどうかは一度に送られてくる通信の量によって識別するので、攻撃とみなすしきい値を入力する。

 下の図では、1分間で1万2000個または1秒間で100個のSYNパケットが送られてきたらドロップするように設定している。「適用フラグ」をチェックして適用すると、DoS攻撃の検知とドロップが有効になる。

DoS攻撃の防御を有効にする
DoS攻撃の防御を有効にする
[画像のクリックで拡大表示]

 動作確認のため、1分間に数十万個のSYNパケットをWANインターフェースのIPアドレスに対して送った。するとXG Firewall HomeはSYN Flood攻撃とみなし、約48万個のパケットをドロップした。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。