Yamachanさん、こんばんわ。

例えばTCP SYN Floodであれば、SYN Cookieの防御機能を使えば制御可能です。ASAはコネクションがどういう状態でどれくらい貼られているかをチェックできます。 例えば、以下マニュアルの「Embryonic Connections」を 100に設定すれば、同時に貼れる不完全なコネクション数を 全体で100までに設定できます。つまり、正しくSYN-ACKを交換しTCPをEstablishできてない(もしくはEstablishを試みている最中の) 指定TCPコネクションを 最大100までに制限するような設定になります。

https://www.cisco.com/c/en/us/td/docs/security/asa/asa96/asdm76/firewall/asdm-76-firewall-config/conns-connlimits.html#ID-2068-00000456

なお、「Per Client Embryonic Connections」を利用すれば、送信元クライアント毎の 不完全なコネクションの最大数も設定可能です。

仮に閾値を超えた場合は、以下のようなログが出力されます。 詳しくはシスログメッセージガイドの 201010-201013あたりを確認ください。 なお、SYN Cookie関連の201010と201012は Informationalレベルのデフォルト出力になるため、ASDM Loggingや Internal BufferにInformationalでの出力を有効かすると 出力されるようになるはずです。ただ Informationalレベルは普通のコネクションログも出て 大量に出力され 流れやすいので、Flood検知/ブロック時の指定シスログメッセージIDの出力レベルは WarningやErrorなどに変更したほうがいいかもしれません。 そうすれば、ASDMやLogging Bufferのログ出力をWarningにしても出力されます。 ロギングのチューニング例はこちらのURLが参考になります。

%ASA-6-201010: Embryonic connection limit exceeded econns/limit for dir packet from

上記URLはASDMの場合の設定例ですが、CLIの場合の設定例や確認例は以下ドキュメントも参考になるかと思います。 ASDMからでも、ToolsからCLIは実行できます。

https://supportforums.cisco.com/t5/-/-/ta-p/3158482#toc-hId--1211332811

なお、上記設定のコネクション量制限が可能なのはTCPやUDPとなり、ICMPは残念ながらコネクション流量制限は対応してなかったと思います。（※ASAはICMP処理は特殊な処理・扱いだったはずです。。）

また、非信頼の外部からのICMPはブロックするのがセキュリティ上は推奨されます。これはICMPは内部IPを探るための手段に用いられることが多いためです。そのため、外部からのICMPはブロックするのも1つの手段かもしれません。

上記がご参考になれば幸いです。