ネットワーク層DDoS攻撃保護

Cloudflareのネットワーク層DDoS攻撃保護管理ルールセットは、OSIモデルのレベル3および4で既知のDDoS攻撃ベクターに一致するために使用される事前構成されたルールのセットです。

Cloudflareは、管理ルールセット内のルールのリストを定期的に更新します。最近および今後の変更に関する詳細は、変更履歴を参照してください。

ネットワーク層DDoS攻撃保護管理ルールセットは常に有効であり、その動作をカスタマイズすることのみが可能です。

ルールセットの構成

誤検知や特定のトラフィックパターンに応じて、特定のルールの動作を調整する必要があるかもしれません。

管理ルールセット内のルールの動作を調整するには、以下のパラメータを変更します：

• 攻撃が検出されたときに実行されるアクション
• 攻撃検出メカニズムの感度レベル

ルールの動作を調整するには、以下のいずれかの方法を使用します：

• Cloudflareダッシュボードで管理ルールセットを構成する。
• Cloudflare APIを介して管理ルールセットを構成する。
• Terraformを使用して管理ルールセットを構成する。

管理ルールセットの動作を構成して、より強力な緩和アクションまたは低い感度を設定することができます。詳細については、管理ルールセットパラメータを参照してください。

オーバーライドは、オーバーライド式に応じて、すべてのパケットまたは受信パケットのサブセットに適用できます。詳細については、オーバーライド式を参照してください。

利用可能性

ネットワーク層DDoS攻撃保護管理ルールセットは、以下のCloudflareプランで利用可能です：

• Cloudflareにオンボードされたゾーン（Cloudflareネットワークを介してトラフィックがルーティングされるゾーン）
• SpectrumにオンボードされたIPアプリケーション
• Magic TransitにオンボードされたIPプレフィックス

ただし、EnterpriseプランのMagic TransitおよびSpectrumの顧客のみが管理ルールセットをカスタマイズできます。

関連Cloudflare製品

Magic Transitの顧客は、以下の追加製品を構成できます：

• 高度なTCP保護を有効にして、ランダム化されたおよび偽装されたACKフラッドやSYNおよびSYN-ACKフラッドなどの高度な状態外TCP攻撃を検出し、緩和します。
• 追加のネットワーク層攻撃をブロックするためにカスタムMagic Firewallルールを作成します。

Spectrumの顧客は、追加のネットワーク層攻撃をブロックするためにIPアクセスルールを使用できます。