VPN - IBM

®
User Guide
インターネットセキュリティシステムズ株式会社
〒 141-0021
東京都品川区上大崎 3-1-1
JR 東急目黒ビル 16F
(404) 236-2600
http://www.isskk.co.jp/
© Internet Security Systems, Inc. 2003-2006. All rights reserved worldwide. この出版物の適切な数のコピーの作成は内部で使用する
場合だけ許可されています。それ以外の場合のこの出版物のすべてまたは一部のコピーまたは複製は、 Internet Security
Systems, Inc. の事前の書面による同意なしにいかなる人物または企業にも許可されていません。
特許出願中。
Internet Security Systems、 ADDME、 ActiveAlert、 AlertCon、 AlertCon のロゴ、 FireCell、 FlexCheck、 SecurityFusion、
SecurePartner、 SiteProtector、 SecureU、 System Scanner、 Virtual Patch、 Wireless Scanner、および X-Press Update は Internet
Security Systems, Inc. の商標およびサービスマーク、 Database Scanner、 Internet Scanner、 Internet Security Systems のロゴ、
Online Scanner、 Proventia、 RealSecure、 SAFEsuite、 Secure Steps、および X-Force は同社の登録商標およびサービスマークで
す。 Network ICE、 Network ICE のロゴ、および ICEpac は Internet Security Systems, Inc. の完全所有子会社である Network ICE
Corporation の商標、 BlackICE は同社の許諾を受けた登録商標、および ICEcap は同社の登録商標です。 Powering Content
Security は Internet Security Systems, Inc. の完全所有子会社である Cobion AG の商標、および Cobion は同社の登録商標です。
SilentRunner は Raytheon Company の登録商標です。 Acrobat および Adobe は Adobe Systems Incorporated の登録商標です。
Certicom は Certicom Corp の商標、 Security Builder は Certicom Corp の登録商標です。 Check Point、 FireWall-1、 OPSEC、
Provider-1、および VPN-1 は、 Check Point Software Technologies Ltd. またはその関連会社の登録商標です。 Cisco および Cisco
IOS は Cisco Systems, Inc. の登録商標です。 HP-UX および OpenView は、Hewlett-Packard Company の登録商標です。 IBM および
AIX は IBM Corporation の登録商標です。 InstallShield は、米国またはその他の国あるいはその両方における InstallShield
Software Corporation の登録商標およびサービスマークです。 Intel および Pentium は Intel の登録商標です。 Lucent は Lucent
Technologies, Inc. の商標です。 ActiveX、 Microsoft、 Windows、および Windows NT は Microsoft Corporation の登録商標または商
標です。 Net8、 Oracle、 Oracle8、 SQL*Loader、および SQL*Plus は Oracle Corporation の登録商標または商標です。 Seagate
Crystal Reports、 Seagate Info、 Seagate、 Seagate Software、および Seagate の logo は Seagate Software Holdings, Inc. または Seagate
Technology, Inc. ( あるいはその両方 ) の商標または登録商標です。 Secure Shell および SSH は SSH Communications Security の商
標または登録商標です。 iplanet、 Sun、 Sun Microsystems、 Sun のロゴ、 Netra、 SHIELD、 Solaris、 SPARC、および UltraSPARC
は米国およびその他の国における Sun Microsystems, Inc. の商標または登録商標です。すべての SPARC 商標は、許可の下に使
用され、米国またはその他の国における SPARC International, Inc. の商標または登録商標です。 Adaptive Server、 SQL、 SQL
Server、および Sybase は Sybase, Inc.、その関連会社とライセンサーの商標です。 Tivoli は Tivoli Systems, Inc. の登録商標です。
Unix は米国およびその他の国において、 X/Open Company, Ltd. が独占的にライセンスを管理している登録商標です。この文書
で言及されているその他の名称はすべて、各所有者のブランド名、製品名、商標または登録商標であり、権利侵害の意図なし
に編集上の理由で使用されているものです。明細事項は予告なしに変更されることがあります。
免責 : この文書に記載されている情報は予告なしに変更されることがあります。この文書を ISS と X-Force 以外のソースから
入手した場合は、改変または変更されている可能性があります。この情報を使用することにより、いかなる種類の保証もなく
「現状」のまま、ユーザーの自己責任において使用することに同意したものとみなされます。 ISS と X-Force は、市場性および
特定目的への適合性の保証をはじめとするいかなる保証も、明示的にも暗黙的にも行いません。 ISS または X-Force は、いか
なる場合も、本文書の使用または配布から生じる直接的、間接的、付随的、結果的、あるいは特別な損害について、たとえ
ISS または X-Force がそのような損害の可能性について忠告を受けたとしても、責任を負いません。州によっては、結果的ま
たは付随的な損害の責任を除外または限定することが許可されていないため、前述の限定事項は適用されません。
ここに記されている商標名、商標、製造業者、またはそれ以外による、特定の商品、プロセス、またはサービスなどの引用
は、必ずしも Internet Security Systems, Inc による保証や推奨、または支持を表明したり暗示したりするものではありません。
ここに示されている作者の見解および意見は、必ずしも Internet Security Systems, Inc. の主張、または同社の見解および意見を
反映するものではなく、製品の保証や広告の目的で使用されてはなりません。
インターネットリソースへのリンクとアドレスは、リリース前に十分調査されていますが、刻々と変化するインターネット
の性質上、 Internet Security Systems はリソースの内容やその存在について保証することはできません。可能な場合には、参照
セクションには、他の方法で目的の情報が獲得できる代わりのサイトやキーワードが記載されています。リンクの破損や不適
切なリンクにお気づきの場合は、トピック名、リンク、その動作状況を [email protected] まで電子メールでご
連絡ください。
2006 年 8 月
前書き
概要
はじめに
本書では、 Proventia Network Multi-Function プライアンスの設定および管理方法について説明しま
す。アプライアンスは、最小限の追加設定で基本的なネットワーク防御を提供するデフォルト設定
で出荷されます。
取り扱い範囲
Proventia Network Multi-Function Security アプライアンス用の「User Guide」は、固有のセキュリ
ティ要件を満たすようにアプライアンス機能や防御機能を設定する場合に役立ちます。最適なパ
フォーマンスのためにアプライアンスを管理してアップデートする場合にも役立ちます。
対象読者
本書は、 Proventia Network Multi-Function Security アプライアンス全モデルのユーザーを対象として
います。ユーザーは自身のネットワークセキュリティポリシーおよび IP ネットワークに関する基
礎知識を持っている必要があります。
新機能
新機能と改良点は Readme ファイルに掲載されています。
Proventia® Network Multi-Function Security Appliance User Guide
3
本書の構成方法
はじめに
このアプライアンスのマニュアルは、 ISS Web サイト (http://www.isskk.co.jp/eval/
manuals.html または http://www.iss.net/support/documentation/ ( 英語版 )) から入
手できます。
最新情報
最新のアプライアンス情報については、製品のオンラインヘルプおよび readme ファイルを参照し
てください。
本書の内容
次の表では、本書のセクションについて説明します。
セクション
内容
パート I: 初期設定
初期設定プロセスと Proventia Setup Assistant について
パート II: システムの設定とアップ
デート
システムの設定、アップデート、およびバックアップに
ついて
パート III: 機能の設定
•
インターフェース
•
ルーティング
•
アプライアンスアクセス
•
サービス
•
ネットワークオブジェクト
•
通知
•
SiteProtector による管理
•
ハイアベイラビリティ
防御機能の設定方法について
•
ファイアウォール ( ネットワークアドレス変換を含
む)
•
アンチスパム
•
アンチウィルス
•
不正侵入防御
•
Web フィルタ
パート IV: VPN の設定
Virtual Private Network の設定方法について
パート V: システム監視
イベント、ログ、およびステータスの監視方法について
表 1: 本書の構成
関連マニュアル
本書に含まれない内容については、次の ISS Web サイトを参照してください。
Web サイト
内容
www.iss.net/support/documentation
•
www.iss.net/download/
表 2: 追加情報の Web サイト
4
よくある質問
•
データシート
•
Virtual Private Network およびファイア
ウォールについて
•
Readme ファイル
•
製品のダウンロードとアップロード
本書の構成方法
フィードバック
マニュアルに関するご意見は、インターネットセキュリティシステムズにとって貴重なものです。
ご意見ご提案は、 [email protected] までお寄せください。
Proventia® Network Multi-Function Security Appliance User Guide
5
本書で使用する表記規則
はじめに
このトピックでは、手順やコマンドをよりわかりやすくするために、本書で使われている印刷上の
表記規則を説明します。
手順
操作手順の説明の中で使用される表記規則は、次のとおりです。
表記規則
内容
例
太字 (Bold)
グラフィカルユーザーイン
ターフェースの要素。
[IP Address] ボックスに、コ
ンピュータのアドレスを入力
します。
[Print] チェックボックスを
オンにします。
[OK] をクリックします。
小型英大文字
(SMALL CAPS)
キーボードのキー。
[ENTER] キーを押します。
[+] ( プラス記号 ) キーを押し
ます。
等幅
(Constant
width)
ファイル名、フォルダ名、パ User.txt ファイルを
ス名など、表記どおりに入力 [Addresses] フォルダに保
存します。
する必要のある情報。
[Username] ボックスに
「IUSR__SMA」と入力しま
す。
等幅斜体
ファイル名、フォルダ名、パ [Identification information]
ス名など、ユーザーが指定すボックスに Version
る必要のある情報。
number ( バージョン番号 ) を
入力します。
(Constant
width
italic)
→
タスクバーまたはメニュー
バーからのコマンド実行順
序。
タスクバーから、 [ スタート
] → [ ファイル名を指定して
実行 ] の順に選択します。
[File] メニューで、 [Utilities]
→ [Compare Documents] の順
に選択します。
表 3: 操作手順に関する表記規則
コマンドの表記規則
コマンドラインで使用される表記規則は、次のとおりです。
表記規則
内容
例
等幅太字
(Constant
width bold)
表記どおりに入力する情報。
md ISS
斜体
状況によって異なる情報。
md フォルダ名
[]
オプションとしての情報。
dir [ ドライブ :][ パス ] [
ファイル名 ] [/P][/W]
[/D]
|
どちらか一方を選択する必要
のある情報。
verify [ON|OFF]
(Italic)
表 4: コマンドに関する表記規則
6
本書で使用する表記規則
表記規則
内容
例
{}
複数あるうちから 1 つ選択す % chmod {u g o
a}=[r][w][x] file
る必要のある情報。
表 4: コマンドに関する表記規則 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
7
テクニカルサポートについて
はじめに
ISS では、 Web サイトおよび電子メールまたは電話を通じてテクニカルサポートを提供していま
す。
ISS の Web サイト
Internet Security Systems (ISS) の Web サイト (http://www.isskk.co.jp/support.html または
http://www.iss.net/support/) では、オンラインマニュアル、最新バージョン一覧、詳細
な製品資料、ホワイトペーパー、テクニカルサポートナレッジベースなど、役立つ豊富な情報を
直接入手することができます。
サポートレベル ( 米国 )
米国 ISS では、 3 つのレベルのサポートを提供しています。
●
Standard
●
Select
●
Premium
どのレベルも、電話および電子的手段によるサポートを 24 時間体制で提供します。 Select サービス
と Premium サービスは、 Standard サービスよりも優れた機能とメリットを提供します。企業のサ
ポートレベルをご存知ない場合は、顧客サービス窓口 ([email protected]) にお問い合
わせください。
営業時間
北南米およびその他の地域におけるテクニカルサポートの営業時間は次のとおりです。
地域
営業時間
北南米
24 時間体制
日本国内
月曜から金曜までの午前 10 時から午後 5 時までです。ただ
し、 ISS の休業日は除きます。
注記 : 最寄りのサポートオフィスが南北アメリカ以外にあ
る場合は、その営業時間外におけるご質問・ご相談は、北南
米オフィスに電話または電子メールでお問い合わせいただく
ことができます。日本国内における ISS 製品に関する技術的
なお問い合わせは、本製品の保守契約を締結されている販売
代理店を通じてご連絡ください。
表 5: テクニカルサポート営業時間
問い合わせ窓口
テクニカルサポート用の連絡先は次のとおりです。
地域オフィス
電子的手段によるサポート
電話番号
北米
ISS Web サイトの MYISS セ
クションをご覧ください。
Standard:
www.iss.net
(1) (888) 447-4861 ( フリー
ダイヤル )
(1) (404) 236-2700
Select および Premium:
Welcome Kit を参照してくだ
さい。
表 6: テクニカルサポート窓口
8
テクニカルサポートについて
地域オフィス
電子的手段によるサポート
電話番号
南米
[email protected]
(1) (888) 447-4861 ( フリー
ダイヤル )
(1) (404) 236-2700
ヨーロッパ、中 [email protected]
東、アフリカ
(44) (1753) 845105
アジア太平洋、
オーストラリ
ア、フィリピン
[email protected]
(1) (888) 447-4861 ( フリー
ダイヤル )
日本
本製品の保守契約を締結され
ている販売代理店を通じてご
連絡ください。
(1) (404) 236-2700
本製品の保守契約を締結され
ている販売代理店を通じてご
連絡ください。
表 6: テクニカルサポート窓口 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
9
10
目次
前書き
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
本書の構成方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
本書で使用する表記規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
テクニカルサポートについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
パート I: 初期設定
第 1 章 : はじめに
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
機能の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
設定プロセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
サポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
20
22
24
第 2 章 : 初期設定
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
動作モードの選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
必要な情報の収集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セットアップコンピュータと電源ケーブルの接続 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
基本的なアプライアンス設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アプライアンスのネットワークへの接続 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proventia Manager の接続 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LCD の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
26
29
31
33
35
36
38
パート II: システムの設定とアップデート
第 3 章 : システムの設定とアップデート
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
システムの設定とアップデート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
システム設定のチェックリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
第 4 章 : ルーティングモードでのインターフェースの管理
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ルーティングインターフェースの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
静的ルートの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OSPF の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OSPF ルーターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OSPF エリアの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OSPF インターフェースの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OSPF 仮想リンクの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OSPF データベース情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OSPF 設定の操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
51
54
55
57
59
61
63
66
68
第 5 章 : トランスペアレントインターフェースの管理
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
トランスペアレントモードでのトラフィックの転送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
トランスペアレントインターフェースの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Proventia® Network Multi-Function Security Appliance User Guide
11
目次
第 6 章 : アプライアンスのアクセス制御
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
パスワードの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
ユーザーへのアプライアンスアクセス権の付与 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
第 7 章 : システムサービスの有効化
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
動的ホスト設定サービスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
リモートアクセスサービスの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
メールリレー制御および認証サービスの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アプライアンスアップデートのための Web プロキシサービスの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネットワーク管理サービス (SNMP) の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
77
78
82
83
85
86
第 8 章 : ネットワークオブジェクトの定義
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネットワークオブジェクトの定義と操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
動的アドレスの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SiteProtector での動的アドレス名の操作. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ビルトイン動的アドレスの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
87
89
92
94
97
第 9 章 : システムイベントのアラートとロギングの有効化
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
システムイベントのアラートとロギングの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
メールによるアラートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
第 10 章 : SiteProtector でのアプライアンスの管理とアップデート
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
SiteProtector の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
SiteProtector へのアプライアンスの登録. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
第 11 章 : アプライアンスのアップデート
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
自動アップデートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
アラートの有効化と自動アップデートのロギング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
SiteProtector からのアップライアンスアップデートの入手 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
手動によるアップデートのインストールと削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
第 12 章 : アプライアンスのバックアップと復元
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
バックアップと復元の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
システムのバックアップと復元 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
アプライアンスファームウェアの再インストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
システムツールの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
第 13 章 : アプライアンスの可用性の維持
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
セクション A: ルーティングアプライアンスのハイアベイラビリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
ハイアベイラビリティの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
ハイアベイラビリティの初期設定プロセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
ハイアベイラビリティのためのアプライアンスの接続. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
必要なポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
ハイアベイラビリティの有効化と無効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
ハイアベイラビリティの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
ハイアベイラビリティの IP アドレスとインターフェース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
ハイアベイラビリティの IP アドレスとインターフェースの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
12
目次
ハイアベイラビリティでのアプライアンスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
SiteProtector でのハイアベイラビリティアプライアンスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
ハイアベイラビリティ実装のアプライアンスのアップデート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
ハイアベイラビリティアプライアンスのバックアップと復元 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
ハイアベイラビリティのトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
セクション B: トランスペアレントアプライアンスのフェールオーバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
トランスペアレントモードでのフェールオーバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
トランスペアレントアプライアンスのフェールオーバーの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
パート III: 機能の設定
第 14 章 : ファイアウォールの設定
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
ファイアウォールルーティングにおけるトラフィックの許可と拒否 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
トランスペアレントファイアウォールでのトラフィックの許可と拒否 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
ファイアウォールイベントのアラートとロギングの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
アプリケーション層でのトラフィックのフィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
アシンメトリックリダイレクションの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
トランスペアレントファイアウォールでのローカルルーターの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
ネットワークアドレス変換. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
インバウンドとアウトバウンドの IP アドレスの変換 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
ポートアドレス変換 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
第 15 章 : 電子メールと Web コンテンツのフィルタリング
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
アンチスパム防御設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
アンチスパムイベントのアラートとロギングの有効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Web フィルタ防御機能の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Web フィルタリングイベントのアラートとロギングの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
フィルタデータベース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
第 16 章 : ウィルスの検出と削除
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
アンチウィルス防御機能の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
アンチウィルスイベントのアラートとロギングの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
隔離 (Quarantine) されたファイルの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
第 17 章 : 不正侵入の検出と防御
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
不正侵入防御機能の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
不正侵入イベントのアラートとロギングの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
不正侵入の隔離 (Quarantine) ルールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
不正侵入防御イシューリストの操作. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
パート IV: VPN の設定
第 18 章 : VPN の設定
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
セクション A: VPN の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
VPN の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
VPN 設定プロセス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
Proventia® Network Multi-Function Security Appliance User Guide
13
目次
VPN 設定ウィザード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
SoftRemote クライアントでの VPN の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
アプライアンス間での VPN の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Windows 2000 および XP クライアントでの VPN の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
L2TP/IPSEC VPN 接続の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
VPN ユーザーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
セクション B: 証明書の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
証明書について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
信頼された認証局ベースの証明書のインストールと削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
自己証明書の要求、アップロード、および削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
証明書失効リストのインストールと削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
セクション C: セキュリティゲートウェイの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
セキュリティゲートウェイの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
IPSEC Remote Client セキュリティゲートウェイの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
IPSEC Remote Client セキュリティゲートウェイでの RADIUS の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Manual Key IPSEC セキュリティゲートウェイの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Auto Key IPSEC セキュリティゲートウェイの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
L2TP/IPSEC Remote Client セキュリティゲートウェイの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
セキュリティゲートウェイでの作業. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
セクション D: IPSEC ポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
IPSEC および IPSEC ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
IPSEC のカプセル化モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
IPSEC VPN プロトコル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
L2TP と IPSEC の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
セキュリティアソシエーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
キー管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
IPSEC ポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
セクション E: IKE ポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
IKE SA 情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
IKE 自動キー管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
IKE トンネルネゴシエーションプロセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
IKE モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
Diffie-Hellman 交換 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
IKE ネットワークとセキュリティ設定の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
IKE リモート ID の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
IKE XAuth の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
パート V: システム監視
第 19 章 : イベント、ログ、およびステータスの監視
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
アラート、ログ、およびステータスの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
イベントに関する詳細情報の入手 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
イベントログの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
14
目次
付録
付録 A: 高度なパラメータ
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
高度なパラメータの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
アンチスパムの高度なパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
アンチウィルスの高度なパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
自動アップデートの高度なパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
データベースの高度なパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
DHCP の高度なパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
イベント通知の高度なパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
ファイアウォールと VPN の高度なパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
ハイアベイラビリティの高度なパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
不正侵入防御の高度なパラメータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
不正侵入防御のブロックルールキーワード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
不正侵入防御の防御レスポンスキーワード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
ステータスサマリの高度なパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Web フィルタの高度なパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
索引
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
用語集
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Proventia® Network Multi-Function Security Appliance User Guide
15
目次
16
パート I
®
初期設定
第1章
はじめに
概要
はじめに
初期設定プロセスを開始する前に、アプライアンス機能、設定プロセス、およびハードウェアにつ
いてよく理解しておく必要があります。
この章の内容
この章では、次のトピックについて説明します。
トピック
ページ
機能の概要
20
設定プロセス
22
サポート
24
Proventia® Network Multi-Function Security Appliance User Guide
19
第 1 章 : はじめに
機能の概要
はじめに
Proventia® Network Multi-Function Security アプライアンスは、 VPN 機能およびハイアベイラビリ
ティ機能に加えて、ネットワークの包括的なセキュリティ防御機能を提供します。固有のセキュリ
ティ要件を満たすようにアプライアンスを設定することができます。
説明
次の表では、アプライアンスの主な機能を簡潔に説明します。
機能
アンチスパム
説明
アンチスパム機能は、次のタスクを実行します。
•
スパムに対して、電子メールの中身、添付ファイル、および URL を分析す
る。
•
ユーザーが定義したスパムルールに基づいて、ネットワークに出入りする
電子メールを許可または拒否する。
•
容易に認識できるように、スパムメールの件名行に [SPAM] ラベルを追加
する。
参照 : 第 15 章「電子メールと Web コンテンツのフィルタリング」を参照して
ください。
アンチウィルス
アンチウィルス機能とウィルス予防システムは、次を含むすべてのネットワー
クトラフィックのウィルスを検出し、隔離します。
•
Web トラフィック (HTTP トラフィック )
•
ファイル転送トラフィック (FTP トラフィック )
•
電子メールトラフィック (SMTP および POP3 トラフィック )
これらの機能は、 WildList を 100% 網羅します。 WildList の詳細については、
www.wildlist.org を参照してください。
参照 : 第 16 章「ウィルスの検出と削除」を参照してください。
ファイアウォー
ル
ファイアウォール機能は、次の機能を備えています。
•
ステートフルパケットフィルタリング
アプライアンスは、発信元 IP アドレスとポート、宛先 IP アドレスとポー
ト、プロトコルなどの TCP/IP ヘッダーの情報に基づいて、ネットワーク
トラフィックを許可または拒否します。また、通信セッションの状態を追
跡したり、セッションを行うポートを動的に開閉したりします。
•
ネットワークアドレス変換
アプライアンスは、ネットワークに出入りするときにパケット中の IP アド
レスを変換します。 NAT は、インターネット通信のためにプライベート IP
アドレスをパブリック IP アドレスに変換する必要性と、ネットワーク上の
重要なアセットの IP アドレスを隠ぺいする必要性に対応します。
•
アプリケーション層ゲートウェイ防御
ファイアウォールは、ウィルス、スパム、および遮断される Web コンテ
ンツに対して、送受信メール (SMTP および POP3) トラフィック、ファイ
ル転送 (FTP) トラフィック、および Web (HTTP) トラフィックをフィルタ
リングします。
参照 : 第 14 章「ファイアウォールの設定」を参照してください。
表 7: 機能の説明
20
機能の概要
機能
説明
ハイアベイラ
ビリティ
ハイアベイラビリティ機能は、アプライアンスに対してフェールオーバー機
能を提供します。この機能は、少なくとも 2 つのアプライアンスが必要です。
•
プライマリアプライアンス - メインに動作するセキュリティデバイス。
•
セカンダリアプライアンス - プライマリデバイスで障害が発生した場合
に、自動的に動作を引き継ぐバックアップ用セキュリティデバイス。
参照 : 第 13 章「アプライアンスの可用性の維持」を参照してください。
不正侵入防御
不正侵入防御機能は、次の機能を備えています。
•
高速かつ詳細なトラフィックの不正侵入分析
•
不正侵入検知のための複数の方法
•
不正侵入のブロックとアラート
•
Virtual Patch テクノロジによる X-Force からの自動セキュリティアップ
デート
参照 : 第 17 章「不正侵入の検出と防御」を参照してください。
VPN
VPN (Virtual Private Network) 機能は、リモートユーザーや他のデバイスを安
全に、かつ非公開でネットワークに接続します。 VPN テクノロジはインター
ネット経由でセキュリティの高い接続を構築します。
参照 : 第 18 章「VPN の設定」を参照してください。
Web フィルタ
Web フィルタ機能は、企業の Web 閲覧ルールと適切な使用ガイドラインを強
制します。
参照 : 第 15 章「電子メールと Web コンテンツのフィルタリング」を参照して
ください。
表 7: 機能の説明 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
21
第 1 章 : はじめに
設定プロセス
はじめに
アプライアンスの設定と実装には、異なるアプローチがあります。このトピックでは、推奨される
アプローチについて説明します。
必須タスクとオプション
タスク
必須タスクは、セキュリティ要件、ネットワーク環境、および選択する動作モードによって異なり
ます。
注記 : アプライアンスが動作可能であることを確認したら、いつでもモードを変更したり、追加
インターフェースを有効にしたり、設定を変更したりすることができます。
プロセスの概要
次の表では、設定と実装のプロセスについて説明します。
段階
1
説明
初期設定 :
•
アプライアンスと付属品を取り出します。
•
初期設定のためにコンピュータを物理的にアプライアンスに接続し、接続を設定し
ます。
•
アプライアンスセットアップウィザードを実行し、初期設定プロセスに従って完了
させます。
•
コンピュータをアプライアンスから切断し、アプライアンスをプライベートネット
ワーク ( 内部 ) とインターネットに接続します。
参照 : 「パート I: 初期設定」 (17 ページ ) を参照してください。
2
システムの設定とアップデート :
•
アプライアンスに接続しているプライベートネットワークのインターフェースを設
定します。
•
アプライアンスに接続しているネットワーク上のトラフィックを正しくルーティン
グするために、ルーティングプロトコルa と静的ルートを設定します。
•
アプライアンスへの管理アクセス権限をネットワーク上のデバイスに与えます。
•
アプライアンスで実行予定のサービスを有効にします。
・動的なホスト設定サービス (DHCP)b
・リモートアクセスサービス (SSH)
・メールリレーおよび認証サービス (SMTP)
・ Web プロキシサービス (HTTP)
・ネットワーク管理サービス (SNMP)
•
ネットワーク上で一般的に参照される IP アドレスとポートに対して、名前とグルー
プを定義します。
•
システムエラーおよび警告を、電子メール、ネットワークメッセージ (SNMP ト
ラップ )、または SiteProtector Console で通知するようにシステムを設定します。
•
アプライアンスで、統合された SiteProtector による管理を有効にします。
•
アプライアンスをアップデートします。
•
アプライアンスをバックアップします。
参照 : 「パート II: システムの設定とアップデート」 (41 ページ ) を参照してください。
表 8: 設定プロセス
22
設定プロセス
段階
3
説明
防御機能の設定
•
ファイアウォールc の防御機能を設定します。
•
アンチスパムの防御機能を設定します。
•
アンチウィルスの防御機能を設定します。
•
不正侵入防御の防御機能を設定します。
•
Web フィルタの防御機能を設定します。
参照 : 「パート III: 機能の設定」 (167 ページ ) を参照してください。
4
VPN の設定
•
VPN とユーザーd の設定
参照 : 「パート VI: VPN の設定」 (229 ページ ) を参照してください。 .
表 8: 設定プロセス ( 続き )
a. 最適ルートの計算 (OSPF) などのルーティング機能は、ルーティングモードでのみ使用可能です。
b. DHCP サービスはルーティングモードでのみ使用可能です。
c. ファイアウォールの設定プロセスは、ルーティングモードとトランスペアレントモードによって異なり
ます。ネットワークアドレス変換などのファイアウォール機能は、ルーティングモードでのみ使用可能で
す。
d. VPN 機能は、ルーティングモードでのみ使用可能です。
Proventia® Network Multi-Function Security Appliance User Guide
23
第 1 章 : はじめに
サポート
はじめに
このトピックでは、 ISS カスタマサポートと協力してアプライアンスの問題を解決する際に役立つ
情報を提供します。
サポートへの連絡
カスタマサポートへの連絡方法を見つけるには :
●
システムサポート
ファイルの管理
ナビゲーションウィンドウで、 [Support] → [Support Contacts] の順に選択します。
システムサポートファイルには、 ISS カスタマサポートがトラブルシューティングで使用する情
報が保存されています。システムサポートファイルのファイル拡張子は、 tgz です。システムサ
ポートファイルを作成、ダウンロード、または削除するには :
1. ナビゲーションウィンドウで、 [Support] → [System Support File] の順に選択します。
2. 次のいずれかを行います。
操作
手順
ファイルを作成する
[Generate Support Data File] を選択します。
ファイルをダウンロード
する
1. ファイルの横にあるボタンを選択し、 [Download] アイコン
をクリックします。
2. 確認メッセージが表示されたら、 [OK] をクリックします。
3. メッセージに従って、ファイルをハードディスクに保存しま
す。
ファイルを削除する
24
ファイルの横にあるボタンを選択し、 [Delete] アイコンをクリッ
クします。
第2章
初期設定
概要
はじめに
アプライアンスの使用を開始する前に、この章の説明に従って初期設定プロセスを完了させる必要
があります。このプロセスでは、コンピュータを直接アプライアンスに接続し、セットアップウィ
ザードにアクセスして、ホスト名、インターフェース設定、日付、時刻、パスワードなどの基本的
なアプライアンス設定を行います。
参照 : プライアンスのパネル上にあるポート、ラベル、およびライトについては、製品に同梱さ
れている「Quick Start Card」を参照してください。
ラックの取り付け
この章では、アプライアンスをラックに取り付ける手順については説明していません。この手順に
ついては、製品に同梱されているキットまたは www.iss.net/support/documentation/ を
参照してください。
この章の内容
この章では、次のトピックについて説明します。
トピック
ページ
動作モードの選択
26
必要な情報の収集
29
セットアップコンピュータと電源ケーブルの接続
31
基本的なアプライアンス設定
33
アプライアンスのネットワークへの接続
35
Proventia Manager の接続
36
LCD の使用
38
Proventia® Network Multi-Function Security Appliance User Guide
25
第 2 章 : 初期設定
動作モードの選択
はじめに
設定プロセス中に、 Proventia Setup Assistant はアプライアンスの動作モードを選択するように要求
します。選択肢には、ルーティングモードとトランスペアレントモードがあります。選択するモー
ドは、固有のセキュリティおよびネットワーク要件によって異なります。このトピックでは、固有
の要件に最適なモードを選択するために役立つ情報を提供します。
モードの切り替え
警告 : 初期設定後にモードを切り替えることは可能ですが、技術的問題をトラブルシーティング
する場合またはアプライアンスをテストする場合を除いて推奨しません。正しい手順で実行しない
と、モードの切り替えによってアプライアンスにアクセスできなくなる場合があります。モードの
切り替え方法のすべての手順は、オンラインヘルプの「Switching Modes」を参照してください。
ルーティングモード
ルーティングモードの場合、アプライアンスは次のように動作します。
26
●
すべての防御機能を提供します (NAT および VPN 機能のあるファイアウォールを含む )。
●
静的および動的ルーティング機能 (Open Shortest Path First) を提供します。
●
インターフェースに対してルーティング可能な IP ネットワーク設定をする必要があります。
●
各ネットワークセグメントへのルートを設定する必要があります。
●
重複するサブネットをサポートしません。
●
ルーティングループをサポートしません。
●
アプライアンスの内側のネットワークへのトラフィックのルートを知るために、別のネット
ワークルーターが必要です。
動作モードの選択
ルーティングモードの
図
次の図は、ルーティングモードのアプライアンスを示します。
Internet
Proventia M -Series
eth0: 192.168.100.1
Router
eth1: 10.10.100.2
Internal IP: 10.10.100.1
eth2: 172.16.100 .1
eth3: 172.16.200 .1
eth1 (EXT 1)
eth3 (3)
eth0 (INT 0)
eth2 (2)
`
DMZ
172 .16.200.0/24
Corporate
192.168.100 .0/24
Web Server
`
Internal IP : 172.16.200.3
External IP : 10.10.200.3
Database Server
IP Address: 192.168.100.2
Engineering
172 .16.100.0/24
Email Server
Internal IP: 172.16.200.4
File Server
External IP : 10.10.200.4
IP Address: 172.16.100.2
図 1: ルーティングモードの図
Proventia® Network Multi-Function Security Appliance User Guide
27
第 2 章 : 初期設定
トランスペアレント
モード
トランスポートモード
の図
トランスペアレントモードの場合、アプライアンスは次のように動作します。
●
すべての防御機能を提供します (NAT 機能のないファイアウォールを含む )。
●
インターフェースに対してルーティング可能な IP ネットワーク設定をする必要がありません。
Proventia Manager にアクセスするには、アプライアンスに管理 IP アドレスを割り当てる必要
があります。
●
ネットワーク間のブリッジデバイスとして機能します。 NAT、 OSPF、 VPN などの複雑なルー
ティング機能は備えていません。
●
ネットワーク上の適所に既存のルーターインフラが配置されている必要があります。
●
ルーターの内側にアプライアンスを配置する必要があります。
●
アプライアンスとインターネットの直接接続をサポートしません。
●
IP アドレス、サブネット、およびルーターなどの既存のネットワーク設定に変更する必要が
ありません。
次の図は、トランスペアレントモードの実装を示します。
Internet
External Router
Internal IP: 10.10.100.1
Proventia M-Series
Management IP : 10.10.100.2
eth1 (EXT 1)
eth3 (3)
eth0 (INT 0)
eth2 (2)
Switch
Internal Router B
External IP : 10.10.100 .4
DMZ
10.10.100.0/24
Internal IP : 192.168.100.1
Internal Router A
External IP : 10.10.100 .3
Internal IP : 172.16.100 .1
DMZ
10.10.100.0/24
`
Corporate
192.168.100 .0/24
Web Server
IP Address: 10.10.100.11
`
Email Server
IP Address: 10.10.100.12
Engineering
172 .16.100.0/24
File Server
IP Address: 172.16.100.2
図 2: トランスペアレントモードの図
28
Database Server
IP Address: 192.168.100.2
必要な情報の収集
必要な情報の収集
はじめに
初期設定時に、 Proventia Setup Assistant はホスト名、ネットワーク設定、日付、時刻、パスワード
などの基本的なアプライアンス設定を行うように要求します。要求する情報は、選択するオペレー
ティングモードや他の設定によって異なります。
ワークシート
次のワークシートは、それぞれのモードおよび IP タイプ別に必要な情報を一覧します。スペース
には、あなたが入力した設定を記録し、設定プロセスで使用できるように保存しておきます。
モード
設定
あなたの設定
両方
ホスト名a
_____________________
ルーティン
グ
IP アドレス ( 内部インターフェース ETH 0)
_____._____._____._____
静的マスク ( 内部インターフェース ETH 0)
_____._____._____._____
ルーティン
グ
静的 IP アドレス ( 外部インターフェース ETH
1)b
_____._____._____._____
静的サブネットマスク ( 外部インターフェース
ETH 1)
_____._____._____._____
静的デフォルトゲートウェイ ( 外部インター
フェース ETH 1)
_____._____._____._____
PPPoE ユーザー名c
_____________________
PPPoE パスワード
_____________________
インターネット接続の種類
[Continuous] または [On
Demand]
Clamp Maximum Segment Size (MSS)d
_____________________
サービス名
_____________________
管理 IP アドレス e
_____._____._____._____
管理サブネットマスク
_____._____._____._____
管理デフォルトゲートウェイ
_____._____._____._____
第 1 DNS サーバーf
_____._____._____._____
第 2 DNS サーバー
_____._____._____._____
第 3 DNS サーバー
_____._____._____._____
DNS 検索パス g
______________________
ルーティン
グ
トランスペ
アレント
両方
表 9: 必要な情報のワークシート
Proventia® Network Multi-Function Security Appliance User Guide
29
第 2 章 : 初期設定
モード
設定
あなたの設定
両方
root パスワード
セキュリティ保護のため、こ
こではパスワードを記録せず、
安全な場所に保管してくださ
い。システム内のパスワード
をリセットしたり、調べたり
することはできません。パス
ワードを忘れた場合は、オリ
ジナルのソフトウェアを再イ
ンストールしてリセットする
必要があります。
管理者パスワード
Proventia Manager パスワード
ブートローダーパスワード
表 9: 必要な情報のワークシート ( 続き )
a. ホスト名には完全修飾ドメイン名を使用する必要があります。
b. デフォルトで、外部インターフェースは DHCP サーバーから IP 設定を自動的に取得するように設定され
ています。この設定を静的に変更した場合は、 IP アドレス、サブネットマスク、およびデフォルトゲート
ウェイをインターフェースに手動で割り当てる必要があります。
c. デフォルトで、外部インターフェースは DHCP サーバーから IP 設定を自動的に取得するように設定され
ています。この設定を PPPoE に変更する場合は、 PPPoE サーバーから IP 設定を取得するために、インター
フェースに必要な情報を入力する必要があります。
d. ClampMSS は、散発的なタイムアウトなどの DSL 接続に関する問題や、 SSH 接続に関する問題に対応する
テクノロジです。このテクノロジの詳細については、 www.dslreports.com/drtcp を参照してください。
e. トランスペアレントモードでは、アプライアンスはブリッジデバイスであり、ネットワークトラフィッ
クをルーティングしたり、インターフェースに対してルーティング可能な IP 設定を保持したりしません。
ここで割り当てた管理 IP 設定は、管理および設定のためだけにアプライアンスにアクセスする方法を提
供します。管理 IP 設定はネットワーク上で識別されません。
f. デフォルトで、アプライアンスは DNS サーバーに関する情報を自動的に取得するように設定されます。こ
の設定を手動に変更する場合は、 DNS 検索パスのほかに、第 1、第 2、および第 3 の DNS ネームサーバー
の IP アドレスを入力する必要があります。
g. DNS 検索パスを使用して、「 *.yourcompany.net」などの特定ドメインのホストを自動的に検索す
ることができます。たとえば、「website.yourcompany.net」と入力する代わりに、
「yourcompany.net」という DNS 検索パスを設定し、次に「website」と入力します。アプライア
ンスは、「yourcompany.net」内のホストを自動的に検索します。
30
セットアップコンピュータと電源ケーブルの接続
セットアップコンピュータと電源ケーブルの接続
はじめに
初期設定ウィザードにアクセスする前に、次の作業を行う必要があります。
●
初期設定で使用する PC またはラップトップコンピュータ (Pentium II 以上 ) を選択します。
●
セットアップコンピュータが Internet Explorer 6.0 以上を搭載していることを確認します。
●
セットアップコンピュータが IP 設定を自動的に取得するように設定されていることを確認し
ます。
●
電源ケーブルを接続し、コンピュータとアプライアンスの電源を入れます。
このトピックでは、これらの作業の手順について説明します。
セットアップコン
ピュータの IP 設定の確
認
セットアップコンピュータが IP 設定を自動的に取得するように設定されていることを確認するに
は:
注記 : コンピュータの IP 設定を確認する手順は、コンピュータのオペレーティングシステムに
よって異なります。ここに示す手順は Windows XP 用です。
1. セットアップコンピュータで、 [ スタート ] → [ 設定 ] → [ ネットワーク接続 ] → [ ローカル
エリア接続 ] の順に選択します。
2. [ ローカルエリア接続状態 ] ウィンドウで [ プロパティ ] をクリックします。
3. [ 全般 ] タブで、 [ インターネットプロトコル (TCP/IP)] を選択し、 [ プロパティ ] をクリック
します。
4. [IP アドレスを自動的に取得する ] がオンになっていることを確認します。オフになっている
場合は、オンにします。
注記 : 初期設定のために DNS サーバー設定を設定する必要はありません。
5. 開いているウィンドウを閉じ、 [ ネットワーク接続 ] を閉じます。
セットアップコン
ピュータと電源ケーブル
の接続
ケーブルを接続するには :
1. 製品に同梱されている赤色のイーサネットクロスオーバーケーブルと電源ケーブルを配線し
ます。
注記 : 青色のシリアルケーブルを使ってコンピュータをアプライアンスに接続することがで
きますが、このような接続は、オリジナルのアプライアンスソフトウェアをリカバリ用 CD
から再インストールする必要がある場合に使用してください。
2. 電源ケーブルを接続し、赤色のイーサネットクロスオーバーケーブルを次のように接続しま
す。
Proventia® Network Multi-Function Security Appliance User Guide
31
第 2 章 : 初期設定
POWER CABLE
CROSSOVER
INTERNAL INTERFACE
SETUP COMPUTER
32
The appliance provides an
IP address to the setup computer
for the initial setup (DHCP).
基本的なアプライアンス設定
基本的なアプライアンス設定
はじめに
Proventia Setup Assistant を使用すると、基本的なアプライアンス設定を行う場合に役立ちます。初
期設定の場合のみウィザードを使用してください。設定を変更する必要がある場合は、アプライア
ンスが動作可能になった後、 Proventia Manager で設定を変更します。
手順
Proventia Setup Assistant を使って基本的なアプライアンス設定を行うには :
1. アプライアンスに接続したセットアップコンピュータで Internet Explorer 6.0 以降を起動し、次
の IP アドレスに移動します。
https://192.168.123.123
2. Proventia ローカル管理インターフェースのログオンで、次のログイン資格情報を入力します。
■
ユーザー名 = admin
■
パスワード = admin
3. 動作モードを選択します。
■
ルーティング - すべてのセキュリティ機能とすべてのルーティング機能を備えています。
■
トランスペアレント - すべてのセキュリティ機能を備えていますが、ルーティング機能は備
えていません。
4. アプライアンスに完全修飾ドメイン名を割り当てます。
5. 選択したオペレーションモードに基づいて、インターフェースとネットワークを設定します。
「必要な情報の収集」 (29 ページ ) で収集した情報を使用して次の作業を完了させます。
モード
作業
ルーティング
内部インターフェースに IP 設定を割り当てる
外部インターフェースに IP 設定を割り当てる
DNS ネームサーバーを割り当てる
トランスペアレ
ント
管理 IP 設定を割り当てる
DNS ネームサーバーを割り当てる
6. アプライアンスのアクセス権限を割り当てます。
警告 : 最低でも 1 つのオプションをオンにしてください。オンにしない場合、アプライアンス
にアクセスできません。さらに、ソフトウェアを再インストールして権限をリセットする必要
があります。
オプション
説明
Management access
for machines on the
eth0 subnet enabled
内部インターフェース (ETH 0) と同じサブネットワーク内にある
1 つの IP アドレスを持つ任意のデバイスから、アプライアンス
にアクセスできます。
Management access
for machines on the
eth1 subnet enabled
外部インターフェース (ETH 1) と同じサブネットワーク内にある
1 つの IP アドレスを持つ任意のデバイスから、アプライアンス
にアクセスできます。
IP addresses
ここで指定するいずれかの IP アドレスを持つ任意のデバイスか
ら、アプライアンスにアクセスできます。
IP ranges
ここで指定する IP アドレスの範囲を持つ任意のデバイスから、
アプライアンスにアクセスできます。
Proventia® Network Multi-Function Security Appliance User Guide
33
第 2 章 : 初期設定
7. 内部 DHCP サーバーを設定し、これを有効または無効にします。
8. 日付、日時、およびパスワードを設定します。
9. 設定を確認し、保存します。
10. [Finish] をクリックしてウィザードを終了します。
11. Internet Explorer を閉じます。
34
アプライアンスのネットワークへの接続
アプライアンスのネットワークへの接続
はじめに
初期設定プロセスが完了したら、アプライアンスをネットワークに接続し、 Proventia Manager にア
クセスしてアプライアンス設定プロセスを続行することができます。このトピックでは、アプライ
アンスをネットワークに接続する方法について説明します。
アプライアンスのネット
ワークへの接続
アプライアンスをネットワークに接続するには :
重要 : ファイアウォールまたは他の防御機能を設定する前にアプライアンスをネットワークに接
続しても、ネットワークは脆弱点にさらされません。アプライアンスをネットワークに接続するこ
とによって、設定プロセスを通じて設定をテストすることができます。
1. アプライアンスからセットアップコンピュータを切断します。
2. 次のようにインターフェースをネットワークに接続します。
インターフェース
接続
ETH 0 (Internal)
プライベートネットワーク ( 内部 ) をこのインターフェースに接続し
ます。
ETH 1 (External)
パブリックネットワーク ( インターネット ) をこのインターフェース
に接続します。
3. 追加するプライベートの内部ネットワークがあれば、内部インターフェースに接続します。
4. ステータス情報について、前面パネルのライトを確認します。
色
表示
緑色
正常な接続
黄色 ( 点滅 )
接続中のアクティビティ
Proventia® Network Multi-Function Security Appliance User Guide
35
第 2 章 : 初期設定
Proventia Manager の接続
はじめに
初期設定後、初めて Proventia Manager に接続して、システムと防御機能を設定、アップデート、
およびバックアップできる状態になります。このトピックでは、初めて Proventia Manager に接続す
る方法について説明します。
手順
初めて Proventia Manager に接続するには :
1. 内部ネットワークに接続しているコンピュータで、 Internet Explorer 6.0 以降を起動し、次のい
ずれかに移動します。
■
https://123.45.67.89 などの内部インターフェース用に設定した IP アドレス
■
https://my_appliance.mycomputer.net などのアプライアンス用に設定したホスト
名
2. 次のログイン資格情報を入力します。
Proventia Manager で
の操作
■
ユーザー名 = admin
■
パスワード = Proventia Manager password
次の表では、一般的な Proventia Manager の操作手順を示します。
操作
手順
ウィンドウ内の項目にア
クセスする
アイコンをダブルクリックします。
ウィンドウ内の項目を展次のいずれかを行います。
開する
• 対応する [+] 記号をクリックします。
•
アイコンをダブルクリックします。
ウィンドウ内の項目を折次のいずれかを行います。
りたたむ
• 対応する [+] 記号をクリックします。
•
アイコンをダブルクリックします。
ページを最小化または最
大化する
ページ右上にある
任意のページを新しい
ウィンドウで開く
ナビゲーションウィンドウのページを右クリックし、メニューから
[Open in a new window] を選択します。
モジュールに関するア
ラートを表示する
その機能の任意のページの一番上にある
す。
表 10: Proventia Manager での操作
36
アイコンをクリックします。
をクリックしま
Proventia Manager の接続
操作
手順
変更を保存する
[Save Changes] をクリックします。
ナビゲーションウィンドウの保存されていない変更の横に、赤色の
フラグのアイコンが表示されます。複数のポリシーを変更して保存す
ることができます。たとえば、アプライアンスアクセスポリシー、
ファイアウォールアクセスポリシー、およびネットワークアドレス
変換ポリシーを変更し、この 3 つの変更を一度に保存することができ
ます。
重要 : 次の項目は個別に保存する必要があります。
•
証明書管理の設定
•
フィルタデータベースの設定
•
ハイアベイラビリティの変更
•
ライセンス情報
•
ネットワークの設定 ( インターフェース、動作モード、および
ルーティング )
•
SiteProtector による管理の設定
•
アップデートの設定
変更を取り消す
すべての公開ポリシーに対する変更をすべて取り消すことができま
す。たとえば、アプライアンスアクセスポリシー、ファイアウォー
ルポリシー、およびネットワークアドレス変換ポリシーを変更し、
その後、その変更を取り消します。この場合、 Proventia Manager は
3 つの公開ポリシーすべてに対する変更を取り消します。取り消した
変更を元に戻すことはできません。
ヘルプを取得する
ヘルプにアクセスするには、任意のページで [Help] ボタンをクリッ
クします。
表 10: Proventia Manager での操作 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
37
第 2 章 : 初期設定
LCD の使用
はじめに
このトピックでは、アプライアンス上にある LCD の使用方法について説明します。
重要 : LCD はパスワードで保護されていません。 LCD を無効にするには、このトピックの「LCD
の無効化」を参照して下さい。
LCD ボタン
次の表では、 LCD で使用可能なボタンについて説明します。
ボタン
説明
Enter - このボタンを押して項目を選択します。
Right Arrow - このボタンを押して [OK] や [Cancel] などのメニュー項目間を切り
替えます。
Right Arrow - このボタンを押して [OK] や [Cancel] などのメニュー項目間を切り
替えます。
Up Arrow - このボタンを押して [Firmware Version]、 [HA Status]、 [Reboot] など
のメニュー項目を移動します。
Down Arrow - このボタンを押して [Firmware Version]、 [HA Status]、 [Reboot]
などのメニュー項目を移動します。
表 11: LCD ボタンの説明
LCD の無効化
LCD を無効にするには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Services] の順に選択します。
2. [Services] タブを選択して [LCD Disabled] チェックボックスをオンにし、変更内容を保存しま
す。
注記 : LCD を有効にするには、 [Enabled] チェックボックスをオンにします。
手順
次の表では、一般的な LCD の操作手順を示します。
操作
手順
ファームウェアバージョンを確
認する
[Enter] → [Firmware Version] → [Enter]
不正侵入防御システムのバージョ
ン情報を確認する
[Enter] → [Down Arrow] → [IPS Version] → [Enter]
表 12: LCD の操作手順
38
LCD の使用
操作
手順
アンチウィルスシステムのバー
ジョン情報を確認する
[Enter] → [Down Arrow] → [AV Version] → [Enter]
ハイアベイラビリティ機能が有
効、無効、または不明かどうかを
表示する
[Enter] → [Down Arrow] → [HA Mode] → [Enter]
プライマリ、セカンダリ、不明な
どのアプライアンスのハイアベ
イラビリティステータスを表示
する
[Enter] → [Down Arrow] → [HA Status] → [Enter]
アプライアンスを再起動する
[Enter] → [Down Arrow] → [Reboot] → [OK] → [Enter]
アプライアンスをシャットダウン
する
[Enter] → [Down Arrow] → [Shutdown] → [OK] → [Enter]
LCD メニューを終了する
[Enter] → [Down Arrow] → [Exit] → [OK] → [Enter]
表 12: LCD の操作手順 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
39
第 2 章 : 初期設定
40
パート II
®
システムの設定とアップ
デート
第3章
システムの設定とアップデート
概要
はじめに
アプライアンス設定の第 2 段階は、システムの設定とアップデートの段階です。このステージで
は、始めてのアプライアンスインターフェースの設定、ルーティング設定の定義、アプライアン
スのアクセス設定、アプライアンスのアップデートなどの作業を行います。
注記 : このステージの手順は、特にアプライアンスに対してシステム設定を行うことを目的とし
ています。ファイアウォールなどの機能の設定方法については、「パート III: 機能の設定」
(167 ページ ) を参照してください。
この章の内容
この章では、次のトピックについて説明します。
トピック
ページ
システムの設定とアップデート
44
システム設定のチェックリスト
46
Proventia® Network Multi-Function Security Appliance User Guide
43
第 3 章 : システムの設定とアップデート
システムの設定とアップデート
はじめに
このトピックでは、システムの設定とアップデートの概要について説明します。
インターフェースの設定
アプライアンスは、ルーティングおよびトランスペアレントの 2 つのモードで動作するように設計
されています。インターフェースは各モードによって動作が異なり、異なる設定作業が必要です。
●
ルーティングモード - アプライアンスは、接続しているネットワークおよびサブネットワー
ク上のトラフィックをルーティングします。 IP アドレス、サブネットワークマスク、および
ゲートウェイルーター IP アドレスなどの IP ネットワーク設定をインターフェースに割り当て
る必要があります。静的ルーティングや Open Shortest Path First (OSPF) ルーティングなどの
ルーティング設定も行う必要があります。
参照 : 「ルーティングモードでのインターフェースの管理」 (49 ページ ) を参照してください。
●
トランスペアレントモード - アプライアンスは、インターフェース間のトラフィックのみを
転送します。複雑なルーティングタスクは行いません。また、インターフェースは IP アドレ
スを持っていません。このモードでは、アプライアンスはネットワークからは見えません。ト
ラフィックがインターフェース間を流れる前にインターフェースを有効にする必要があります
が、他の設定は必要ありません。このようなトラフィック転送は、送受信デバイスの MAC ア
ドレスに基づいています。
参照 : 「トランスペアレントインターフェースの管理」 (69 ページ ) を参照してください。
アプライアンスのインターフェース数は、モデルによって異なります。外部インターフェースをイ
ンターネットなどのパブリックネットワークに接続し、内部インターフェースを組織内の別のサ
ブネットワークに接続します。次は、インターフェースの接続例です。
アプライアンスのアクセ
スとユーザー認証
●
外部インターフェースをインターネットに接続する
●
第 1 の内部インターフェースを企業ネットワークに接続する
●
第 2 の内部インターフェースを広くアクセス可能なサブネットワーク (DMZ) に接続する
●
第 3 の内部インターフェースをプライベートネットワークに接続する
アプライアンスのアクセスは、システムの整合性を維持するために、厳密に規制、監視される必要
があります。アプライアンスは、ユーザーがシステムにログインするときに、ユーザー ID とパス
ワードの入力を要求します。アプライアンスへのアクセスを許可されたデバイスのリストを設定す
ることもできます。システムにログインしようとするユーザーは、許可されたいずれかのデバイス
からしかアクセスできません。
参照 : 「アプライアンスのアクセス制御」 (73 ページ ) を参照してください。
サービス
アプライアンスは、次のシステムレベルのサービスを提供します。
●
動的なホスト設定サービス (DHCP)
●
メールリレー制御および認証サービス (SMTP)
●
ネットワーク管理サービス (SNMP)
●
リモートアプライアンスアクセスサービス (SSH)
●
アプライアンスアップデートをダウンロードするための Web プロキシサービス (HTTP)
参照 : 「システムサービスの有効化」 (77 ページ ) を参照してください。
ネットワークオブジェ
クト
44
ファイアウォールルールや他のセキュリティポリシーを設定する前に、ファイアウォールを通過
する必要のあるネットワーク上のネットワークオブジェクト ( サーバー、コンピュータ、アプラ
イアンス、ポートなど ) と、ファイアウォールを通過する必要のないネットワークオブジェクト
を特定することができます。アプライアンス上のネットワークオブジェクトでこの情報を定義する
システムの設定とアップデート
ことができます。ネットワークオブジェクト機能は、ネットワーク上のオブジェクトに関する情報
に名前を付けたり、分類したり、アップデートしたりするための柔軟な方法を提供します。ネット
ワーク情報を手動で入力しなくても、ファイアウォールルールで名前の付いたネットワークオブ
ジェクトを参照することができます。これは、精度を高め、時間を節約します。
参照 : 「ネットワークオブジェクトの定義」 (87 ページ ) を参照してください。
通知
システム設定時に、システムイベントをセキュリティチームに通知する方法を決定します。シス
テムイベントには、プロセスエラー、システム警告、およびセキュリティアップデートアナウン
スが含まれます。アプライアンスは、電子メールによる通知、 SNMP ベースの通知、および
SiteProtector Console 経由の通知を行います。
参照 : 「システムイベントのアラートとロギングの有効化」 (101 ページ ) を参照してください。
SiteProtector による管
理
SiteProtector Console でアプライアンスと他の ISS 製品を管理することができます。コンソールは、
ポリシー管理機能やアップデート機能のほかに、すべての ISS セキュリティ製品の集中管理機能を
備えています。さらに、アプライアンスによって収集されたセキュリティイベントをコンソールで
監視し、分析することもできます。 SiteProtector Console でアプライアンスを管理するには、
SiteProtector をインストールして設定し、アプライアンスで SiteProtector の管理を有効にする必要
があります。
参照 : 詳細については、次のトピックを参照してください。
アップデート
●
「SiteProtector でのアプライアンスの管理とアップデート」 (105 ページ )
●
SiteProtector Installation Guide
●
SiteProtector User Guide for Security Managers
ISS はアプライアンスのアップデートを定期的にリリースします。アプライアンスが出荷されてか
ら、いくつかのアップデートがリリースされています。最新で最も安全なソフトウェアバージョン
を確実に保有できるように、 ISS では、初期設定後できるだけ早期にアプライアンスをアップデー
トすることを推奨します。アップデートは構成設定に影響しません。
注記 : 初めてアプライアンスをアップデートした後は、自動アップデート機能を有効にするか、
手動でアプライアンスを最新に保つ方法を構築する必要があります。
参照 : 「アプライアンスのアップデート」 (111 ページ ) を参照してください。
Proventia® Network Multi-Function Security Appliance User Guide
45
第 3 章 : システムの設定とアップデート
システム設定のチェックリスト
はじめに
このトピックでは、システム設定のチェックリストを示します。
チェックリスト
次の表では、システム設定に必要なすべての作業を確実に行うことができるように、作業のチェッ
クリストを示します。
9
作業

ルーティングモード :
•
内部および外部インターフェースのインターフェース設定を確認する。
•
必要に応じて、追加の内部インターフェースを設定して有効にする。
•
必要に応じて、静的ルートを定義する。
•
Open Shortest Path First (OSPF) を設定する ( 日本国内ではサポートしていません )。
参照 : 「ルーティングモードでのインターフェースの管理」 (49 ページ ) を参照してくださ
い。
トランスペアレントモード :
•
内部および外部インターフェースが有効になっていることを確認する。
•
アプライアンスの管理 IP アドレスを確認する。
•
必要に応じて、追加の内部インターフェースを有効にする。
参照 : 「トランスペアレントインターフェースの管理」 (69 ページ ) を参照してください。

アプライアンスアクセス :
•
アプライアンスへのアクセスを許可されたデバイスのリストを設定する。
•
システムパスワードを確認し、必要に応じて変更する。
参照 : 「アプライアンスのアクセス制御」 (73 ページ ) を参照してください。

サービス :
アプライアンスで実行予定のシステムレベルのサービスを有効にする。
•
動的なホスト設定サービス (DHCP)a
•
メールリレー制御および認証サービス (SMTP)
•
ネットワーク管理サービス (SNMP)
•
リモートアクセスサービス (SSH)
•
アプライアンスアップデートのための Web プロキシサービス (HTTP)
参照 : 「システムサービスの有効化」 (77 ページ ) を参照してください。

ネットワークオブジェクト :
•
ネットワークオブジェクト ( サーバー、コンピュータ、サービス、およびアプライアン
ス ) を特定し、アプライアンス上のネットワークオブジェクトの情報を定義する。
•
ビルトインの動的アドレスを確認する。
参照 : 「ネットワークオブジェクトの定義」 (87 ページ ) を参照してください。

通知設定 :
•
システム関連イベントをセキュリティチームに通知する方法を定義する。
•
この方法に基づいて通知を設定する。
参照 : 「システムイベントのアラートとロギングの有効化」 (101 ページ ) を参照してくだ
さい。
表 13: システム設定チェックリスト
46
システム設定のチェックリスト
9
作業

SiteProtector による管理 :
•
Agent Manager 情報などの、 SiteProtector による管理を有効にするために必要な情報を
収集する。
•
SiteProtector による管理を設定する。
参照 : 「SiteProtector でのアプライアンスの管理とアップデート」 (105 ページ ) を参照して
ください。

ハイアベイラビリティとフェールオーバー :
•
ルーティングアプライアンスの場合は、ハイアベイラビリティを有効にする ( オプショ
ン )。
参照 : 「ルーティングアプライアンスのハイアベイラビリティ」 (131 ページ ) を参照し
てください。
•
トランスペアレントアプライアンスの場合は、 Spanning Tree Protocol (STP) を使って
フェールオーバー機能を有効にする。
参照 : 「トランスペアレントアプライアンスのフェールオーバー」 (161 ページ ) を参照
してください。

アップデート :
•
アプライアンス上で、セキュリティコンテンツ、データベース、およびファームウェア
を含む完全な初期アップデートを実行する。
•
自動アップデートを設定するか、手動でアプライアンスを最新に保つ方法を構築する。
参照 : 「アプライアンスのアップデート」 (111 ページ ) を参照してください。
表 13: システム設定チェックリスト ( 続き )
a.
DHCP サービスはルーティングモードでのみ使用可能です。
Proventia® Network Multi-Function Security Appliance User Guide
47
第 3 章 : システムの設定とアップデート
48
第4章
ルーティングモードでのインターフェー
スの管理
概要
はじめに
ルーティングモードの場合、物理ネットワーク間のネットワークトラフィックをルーティングす
ることがアプライアンスの基本的な機能の 1 つです。このようなネットワークは、アプライアンス
の複数のインターフェースに接続されます。ルーティングを行うには、インターフェースを有効に
して、それぞれのネットワークに物理的に接続する必要があります。さらに、 IP アドレスやサブ
ネットマスクなどのネットワーク情報をインターフェースに割り当てる必要があります。外部およ
び内部インターフェースは初期設定時に設定されて有効になります。必要に応じて追加の内部イン
ターフェースを有効にし、他の内部ネットワークにアプライアンスを接続することができます。
インターフェースにトラフィックが到着すると、アプライアンスは 2 つの技術を使用してトラ
フィックのルーティング方法を決定します。
●
静的ルート - ネットワーク上の宛先への静的ルートを手動で定義します。アプライアンスは、
これらの宛先に向かうトラフィックを受信すると、ユーザーが定義した静的ルートに従って宛
先にトラフィックを送信します。
●
動的ルート - Open Shortest Path First (OSPF) ルーティングプロトコルを設定して有効すると、
アプライアンスは他のルーターと連携して、トラフィックのルーティングに最適な経路を決定
します。
この章では、外部インターフェース設定の変更、追加の内部インターフェースの設定、静的ルート
の定義、および OSPF ルーティングの有効化について説明します。
この章の内容
この章では、次のトピックについて説明します。
トピック
ページ
ルーティングインターフェースの設定
51
静的ルートの定義
54
OSPF の概要
55
OSPF ルーターの設定
57
OSPF エリアの設定
59
OSPF インターフェースの設定
66
OSPF 仮想リンクの設定
63
OSPF データベース情報の表示
66
Proventia® Network Multi-Function Security Appliance User Guide
49
第 4 章 : ルーティングモードでのインターフェースの管理
トピック
OSPF 設定の操作
50
ページ
66
ルーティングインターフェースの設定
はじめに
初期設定時に、外部インターフェースと 1 つの内部インターフェースを設定して有効にします。必
要に応じて、追加の内部インターフェースを設定して有効にします。このトピックでは、追加の内
部インターフェースの設定方法と、外部インターフェースの設定の変更方法について説明します。
内部インターフェースの内部インターフェースを設定するには :
設定
1. ナビゲーションウィンドウで [Configuration] → [System] → [Network] → [Interfaces] の順に
選択します。
2. [Internal Interfaces] タブを選択し、 [Add] アイコンをクリックします。
3. 次のように入力し、変更内容を保存します。
オプション
説明
Interface
内部インターフェースの名前を入力します (ETH 2 など )。
Enabled
インターフェースをアクティブにするには、このオプションをオ
ンにします。
IP Address
インターフェースの IP アドレスを入力します。
Subnet Mask
インターフェースのサブネットマスクを入力します。
Primary Management
Interface
このインターフェースを使用して SiteProtector でアプライアン
スを管理する場合は、このオプションをオンにします。
外部インターフェースの初期設定後に外部インターフェースを再設定するには :
再設定
1. ナビゲーションウィンドウで [Configuration] → [System] → [Network] → [Interfaces] の順に
選択します。
2. [External Interfaces] タブを選択して次のように入力し、変更内容を保存します。
オプション
説明
Interface
外部インターフェースの名前を入力します (EXT 1 など )。
Enabled
インターフェースをアクティブにするには、このオプションをオ
ンにします。
Host Name
次の例のようなホスト名を入力します。
gateway1.example.com
Primary Management
Interface
このインターフェースを使用して SiteProtector でアプライアン
スを管理する場合は、このオプションをオンにします。
Proventia® Network Multi-Function Security Appliance User Guide
51
第 4 章 : ルーティングモードでのインターフェースの管理
オプション
説明
IP Address, subnet
mask and default
gateway
この情報をインターフェースに割り当てるには、次の 3 つの方法
があります。
•
Static - インターフェースに IP アドレス、サブネットマス
ク、およびデフォルトゲートウェイ a を手動で割り当てます。
•
DHCP - インターフェースに DHCP サーバーを割り当てると、
インターフェースは動的に DHCP サーバーから IP アドレス、
サブネットマスク、およびデフォルトゲートウェイをリース
します。
インターフェース上で他のデバイスの MAC をクローン化b つ
まり複製する場合は、クローンオプションを選択し、
「AA:BB:CC:11:22:33」のようにデバイスの MAC アドレ
スを入力します。
•
PPPoEc - インターフェースはインターネットサービスプロ
バイダ (ISP) の PPPoE サーバーから IP アドレスをリースし
ます。インターフェースをサーバーに接続する前に、次の情
報をインターフェースに入力する必要があります。
・ PPPoE サーバーのアクセスに必要なユーザー名とパスワー
ド
・インターネット接続の種類 (Continuous または On
Demand)
・ Clamp MSSd の設定 ( オプション )
・サービス名 ( 米国の DSL 加入者の場合、通常要求されない
任意の情報 )
注記 : アプライアンスの起動時にインターフェースを有効にする
ために、デフォルト設定を保存しておきます。
DNS Server
インターフェースは IP アドレスに基づいてトラフィックをルー
ティングします。インターフェースは DNS サーバーと連携して
ホスト名を IP アドレスに変換します。たとえば、インター
フェースは DNS サーバーと連携して atlanta.fileserver01
を 172.16.100.2 に変換します。 DNS サーバーを検索するに
は、インターフェースは DNS サーバーの IP アドレスを識別して
いる必要があります。インターフェースに DNS サーバーを割り
当てるには、次の 2 つの方法があります。
•
Manual - DNS サーバーの IP アドレスを手動で入力します。
•
Dynamic - インターフェースは DNS サーバーの IP アドレス
をユーザーが入力しなくても動的に取得します。
注記 : 最大で 3 台の DNS サーバーを指定することができます。 1
台は必須です。
DNS Search Path
a.
52
入力する情報は、ホスト名にドメイン名を追加します。たとえ
ば、ホスト名「myappliance」に「mycompany.net」を追加
する場合は、「myappliance mycompany.net」と入力します。ア
プライアンスは、ホスト名を
「myappliance.mycompany.net」と解釈します。
デフォルトゲートウェイは、パケットの宛先がインターフェースのサブネットの外部にある場合に、
インターフェースがパケットを送信するルーターです。
ルーティングインターフェースの設定
b.
これは、アプライアンスの内側にあるデバイスの MAC アドレスのクローン化と、外部インター
フェースの MAC アドレスの複製に役立つ場合があります。アプライアンスの内側にあるデバイスに
接続するデバイスは、そのデバイス自体に直接接続していると見なすことができます。 MAC アドレ
スをクローン化すると、アプライアンスのインターフェースに新しい MAC アドレスを登録する必要
がなくなります。また、デバイスの MAC アドレスが変わったときに、すぐに新しい IP リースが発行
されないという DHCP サービスの問題を回避します。
c. PPPoE IP アドレスの詳細については、お使いのインターネットサービスプロバイダ (ISP) にお問い合
わせください。
d. ClampMSS は、散発的なタイムアウト、接続するがデータの受信に失敗する Web ブラウザの問題、
1K を超えるファイルのダウンロードの問題、 SSH 接続の問題など、 DSL 接続の問題に取り組むテク
ノロジです。詳細については、 www.dslreports.com/drtcp を参照してください。
Proventia® Network Multi-Function Security Appliance User Guide
53
第 4 章 : ルーティングモードでのインターフェースの管理
静的ルートの定義
はじめに
ネットワーク上の宛先への静的ルートを定義することができます。アプライアンスは、これらのい
ずれかの宛先へのパケットを受信すると、ユーザーが定義した静的ルートに従って宛先にパケット
を送信します。このトピックでは、ネットワーク上の IP アドレスに静的ルートを定義する方法に
ついて説明します。
ルーティングテーブル
の優先順位
同一の宛先に対して 2 つ以上のルートがある場合、ルーティングテーブル内で最も明確に限定さ
れたルートが優先されます。
例
次の静的ルートを定義します。
宛先
サブネットマスク
ゲートウェイ IP アドレス
10.0.0.0
255.0.0.0
192.168.1.1
10.1.1.0
255.255.255.0
192.168.1.2
10.1.0.0
255.255.0.0
192.168.1.3
表 14: ルーティングテーブルの優先順位
アプライアンスは、 10.1.1.1 のホストに向かうパケットを受信します。アプライアンスは、ルー
ター 192.168.1.2 にパケットを送信します。
静的ルートの連携
静的ルートを追加、編集、コピー、および削除するには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Network] → [Routing] の順に選
択します。
2. 次のいずれかを行い、変更内容を保存します。
操作
ルートを追加する
手順
1. [Add] アイコンをクリックします。
2. 次のフィールドに入力し、 [OK] をクリックします。
• Destination IP Address
• Subnet Mask
• Gateway IP Address
• Metric ( 発信元と宛先間のホップ数 )
ルートを編集する
1. 1 つの IP アドレスを選択し、 [Edit] アイコンをクリックしま
す。
2. 設定を編集し、 [OK] をクリックします。
ルートをコピーする
1. 1 つの IP アドレスを選択し、 [ Copy ] アイコンをクリックし
ます。
2. [Paste] アイコンをクリックします。
3. 設定を編集します。
ルートを削除する
54
1 つの IP アドレスを選択し、 [Remove] アイコンをクリックしま
す。
OSPF の概要
はじめに
ルーティングモードのアプライアンスには、 OSPF ルーティング機能があります。このトピックで
は、 OSPF の概要について説明します ( 日本国内ではサポートしていません )。
背景
ネットワークトポロジは、リンクの不具合などのさまざまな理由で頻繁に変わります。このような
問題に対応するため、アプライアンスには次の OSPF ベースルーティング機能があります。
●
サブネットワークヘのあらゆるルートを学習する
●
最適なルートを選択する
●
ネットワークの変更や問題に関係なくネットワーク内のトラフィックフローを維持する
ルートの学習
OSPF ルーターは、ネットワークに関するルーティング情報を頻繁に収集し、計算しています。
ルーターは内部ルーティングテーブルの情報を保存し、定期的に情報を他のルーターと共有しま
す。本質的に、 OSPF ルーターは連携してネットワーク上のあらゆる宛先とルートをマップし、宛
先への最適な経路を計算します。
ルートの選択
アプライアンスは OSPF ルーターとしてトラフィックをルーティングする場合、次のようなさまざ
まな要素を考慮します。
●
自身と宛先間のルーターの数 ( この地点は「ホップ」と呼ばれます )
●
ルート上の遅延
●
ルートの帯域幅、距離、およびトラフィックの平均負荷に基づくルートのコスト
●
インターフェース帯域幅に基づくインターフェースのコスト
トラフィックフローの
維持
OSPF ルーターは他のルーターとルーティング情報を頻繁に交換するため、デバイスはネットワー
ク上のルーティング問題を認識しながら、この情報に基づいて適切なルートを決定します。たとえ
ば、ルーター 1 はネットワーク上で不具合のあるリンクを学習し、このリンクを囲むようにトラ
フィックのルーティングを開始します。ルーター 1 は、ネットワーク上の他のルーター ( アプライ
アンスを含む ) とこの情報を共有します。この結果、すべてのルーターは不具合のあるリンクを囲
むようにトラフィックのルーティングを開始し、ネットワーク上で最適なトラフィックフローを
維持します。
作業の概要
次の表では、 OSPF の設定作業について説明します。
作業
説明
1
OSPF ルーターを設定する
2
OSPF エリアを設定する
3
OSPF インターフェースを設定する
4
OSPF 仮想リンクを設定する ( オプション )
表 15: OSPF の設定作業
図
次の図は、 OSPF 環境のアプライアンスを示します。
図 3: OSPF ルーティングの図
Proventia® Network Multi-Function Security Appliance User Guide
55
第 4 章 : ルーティングモードでのインターフェースの管理
56
OSPF ルーターの設定
OSPF ルーターの設定
はじめに
このトピックでは、 OSPF ルーターの設定方法について説明します。
要件
OSPF トラフィックを許可するために、 2 つのアクセスポリシーを設定する必要があります。また、
OSPF を有効にする前に NAT を無効にする必要があります。
手順
ルーターを設定するには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Network] → [OSPF] の順に選択
します。
2. [Enable OSPF] を選択し、 [Router ID] フィールドにアプライアンスの IP アドレス ( 通常は外
部インターフェースの IP アドレス ) を入力します。
ルーター ID は、 IP アドレスの形式をとる任意の数値です。この数値を実際のルーターの IP ア
ドレスにする必要はありません。実際の IP アドレスをルーター ID として使用せずに、その IP
アドレスの一部を使用すると、より容易に 2 つの数値を認識し、区別できることがあります。
次の例では、 ETH 1 の IP アドレスのうしろの 2 オクテットをルーター ID として使用していま
す。
■
実際のルーターの IP アドレス = 172.16.106.187
■
ルーターのルーター ID = 0.0.106.187
3. [Router Configuration] タブを選択して次のように入力し、変更内容を保存します。
オプション
Default Metric
説明
このフィールドに、ルートのデフォルトのホップ数を入力します。
設定可能値 = 0 ～ 16777214
Redistribute
System
Routes
1. アプライアンスが別の OSPF ルーターに LSA を送信するときに、
ファイアウォールの ( 静的 ) ルートなどの他のルートを含める場合は、
このオプションを選択します。
2. 対応する [Metric] フィールドに、他のアドバタイズされたルートのデ
フォルトホップ数を入力します。
デフォルト = enabled
設定可能値 = 0 ～ 16777214
デフォルト値 = 1
Redistribute
Connected
Routes
1. 内部ネットワークへの確立したルートを経由してルーティングされる
パケットを転送するには、このオプションを選択します。
Originate
Default Route
1. アプライアンスがデフォルトゲートウェイ ( 管理ゲートウェイ ) への
ルートを宛先 0.0.0.0 へのルートとしてアドバタイズするようにする
場合は、このオプションを選択します。
2. 対応する [Metric] フィールドに、ルートへのデフォルトのホップ数を
入力します。
2. 対応する [Metric] フィールドに、デフォルトゲートウェイへのルート
のデフォルトのホップ数を入力します。
設定可能値 = 0 ～ 16777214
デフォルト値 = 1
Proventia® Network Multi-Function Security Appliance User Guide
57
第 4 章 : ルーティングモードでのインターフェースの管理
58
オプション
説明
Always
Originate
Default Route
アプライアンスがデフォルトゲートウェイ ( 管理ゲートウェイ ) へのルー
トを宛先 0.0.0.0 へのルートとして常にアドバタイズするようにする場合
は、このオプションを選択します。
OSPF エリアの設定
OSPF エリアの設定
はじめに
作業の概要
OSPF エリアは、次の目的を実現するサブネットワークを一般化したものです。
●
ネットワークを管理ドメインに分割する
●
OSPF 対応アプライアンスがネットワーク上の他のルーターとやり取りするルーティング情報
の量を削減する
●
常駐するエリアのルーティング情報のみを維持するように OSPF 対応アプライアンスに命令す
る
次の表では、 OSPF エリアの設定作業について説明します。
作業
説明
1
エリアに数字または IP アドレスを割り当てる
2
エリアがスタブエリアかどうかを指定する
3
エリア内にあるルーター間の通信の認証を有効または無効にする
表 16: エリアの設定作業
考慮すべき事項
手順
エリアを定義する場合は、次の点を考慮してください。
●
すべてのエリアをバックボーンと呼ばれる中央のエリアに接続する必要があります。この
バックボーンエリアには、エリア ID 「0」を割り当てる必要があります。
●
バックボーンエリアをスタブエリアにすることはできません。
●
どのエリアでも 1 つ以上のインターフェースを有効にすることができます。
●
バックボーンエリア以外のどのエリアもスタブエリアとして指定することができます。
●
スタブエリアを仮想リンクのトランジットエリアとして指定することはできません。
●
スタブエリアから外部ルート (OSPF 以外のルートなど ) にルーティングする場合は、別の方法
(NAT など ) でデフォルトルートを設定する必要があります。
●
エリア内の各デバイスでは、 [Dead Interval] と [Hello Interval] を同じ値に設定する必要がありま
す。
OSPF エリアを設定するには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Network] → [OSPF] の順に選択
します。
2. [Area Configuration] タブを選択し、 [Add] アイコンをクリックします。
Proventia® Network Multi-Function Security Appliance User Guide
59
第 4 章 : ルーティングモードでのインターフェースの管理
3. 次のように入力し、変更内容を保存します。
フィールド
説明
Stub
スタブエリアを設定する場合はこのオプションを選択し、ルートの
デフォルトコストを入力します。
デフォルトコスト = 1
注記 : システムは、宛先までのホップ数ではなく、リンク帯域幅に基
づいてコストを算出します。アプライアンスは、最もコストの低い経
路を選択します。スタブネットワークは、アプライアンスのインター
フェース以外にネットワークに出入りする方法がないネットワークで
す。
Disable Summary
for Stub Area
そのエリアの要約したリンクステートアドバタイズメント (LSA) を
無効にする場合は、このオプションを選択します。
注記 : ルーターは、ネットワーク上のルーターに関する一連の複雑な
情報を維持し、リンクステートアドバタイズメント (LSA) と呼ばれ
るメッセージ形式で、この情報を他のルーターと共有します。
Authentication
ルーター間の通信の認証方法を選択します。
•
None - 認証なし
•
Plain - パスワードに最大 8 文字の英数字を入力します。
•
MD5 - MD5 キー ID と MD5 キー値を指定します。
デフォルト = disabled
注記 : 認証はオプションですが、認証を有効にした場合、エリア内の
すべてのルーターで同じ方法を有効にする必要があります。適切な認
証資格情報を持たないルーターは、他のルーターとルーティング情報
を交換できません。
IP Address
エリア ID の IP アドレスを入力する場合はこのオプションを選択し、
IP アドレスを入力します。
Area ID
エリア ID の数値を入力する場合はこのオプションを選択し、数値を
入力します。
設定可能値 = 0 ～ 4294967295
バックボーンエリアの値 = 0
Network
1. [Network] 領域で [Add] アイコンをクリックします。
2. [Network Address/#Network Bits (CIDR)] フィールドにネット
ワーク CIDR 値を入力し、 [OK] をクリックします。
60
OSPF インターフェースの設定
OSPF インターフェースの設定
はじめに
このトピックでは、インターフェースへの OSPF の設定方法について説明します。
手順
インターフェースに OSPF を設定するには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Network] → [OSPF] の順に選択
します。
2. [ Interface Configuration] タブを選択し、 [Add] アイコンをクリックします。
3. 次のように入力し、変更内容を保存します。
フィールド
説明
Interface Name
一覧から 1 つのインターフェースを選択します。
注記 : インターフェースを無効にするには、 [Disable OSPF for
Interface] を選択します。
Interface Cost
インターフェースルートのコストを設定します。
注記 : 大容量のインターフェースに低いコストを割り当てます。この
設定では、コストが低いためにインターフェースがルートに選択され
易くなります。
設定可能値 = 1 ～ 65535
Dead Interval
Dead 間隔を設定します。
Dead 間隔は、ルーターが、インターフェースがダウンしたとみなす
までインターフェースからのレスポンスを待機する時間です。
設定可能値 = 1 ～ 65535 秒
デフォルト = 40 秒
Hello Interval
Hello 間隔を設定します。
アプライアンスは他のルーターにメッセージを送信して、アプライア
ンスが動作中であることを確認します。これらのメッセージの間隔は
Hello 間隔と呼ばれます。
設定可能値 = 1 ～ 65535 秒
デフォルト = 10 秒
Priority
インターフェースの優先度を設定します。
サブネット上の少なくとも 1 つの OSPF ルーティングデバイスでは、
優先度を 0 より大きくする必要があります。
設定可能値 = 0 ～ 255
デフォルト値 = 1
Retransmission
Interval
再転送間隔を設定します。
Transmit Delay
転送遅延を設定します。
アプライアンスはルーティング情報に関するメッセージをエリアに送
信します。これらのメッセージの間隔は、再転送間隔と呼ばれます。
アプライアンスはメッセージをブロードキャストする前に時間を追加
します。この時間は、転送遅延と呼ばれます。
Proventia® Network Multi-Function Security Appliance User Guide
61
第 4 章 : ルーティングモードでのインターフェースの管理
フィールド
説明
Authentication
ルーター間の通信の認証方法を選択します。
•
None - 認証なし
•
Plain - パスワードに最大 8 文字の英数字を入力します。
•
MD5 - MD5 キー ID と MD5 キー値を指定します。
デフォルト = disabled
注記 : 認証はオプションですが、認証を有効にした場合、すべての
ルーターで同じ方法を有効にする必要があります。適切な認証資格情
報を持たないルーターは、他のルーターとルーティング情報を交換で
きません。
62
OSPF 仮想リンクの設定
OSPF 仮想リンクの設定
はじめに
OSPF プロトコルは、各ルーターがエリア 0 ( バックボーン ) に接続されている必要があります。物
理的にエリア 0 に接続されていない OSPF ルーターの場合は、ルーターとバックボーン間に仮想リ
ンクを作成することができます。このリンクは、物理的にエリア 0 に接続されている他の OSPF
ルーターにルーターを接続すると作成されます。
例
次の例は、 2 つのルーター間に仮想リンクを作成する方法を示します。この例では、ルーター Z と
ルーター A の間に仮想リンクを作成します。このリンクは、エリア 3 を通過するルーター Z から、
エリア 0 を通過するルーター A にトラフィックを渡すことができます。
作業
ルー
ター
1
Z
説明
エリア 0 以外のすべての OSPF エリアを定義します ( エリア 3 を含む )。
トラフィックはエリア 0 に直接接続される OSPF ルーターに到達するため
に、エリア 3 を通過する必要があります。
2
Z
[Configuration] → [System] → [Network] → [OSPF] → [Area
Configuration] の順に選択し、一覧にエリア 0 を追加します。
次のいずれかを使用するとエリア 0 を指定することができます。
•
Area ID = 0
•
IP address = 0.0.0.0
重要 : エリア 0 で定義した設定は、エリア内のすべての OSPF ルーターの設
定と正確に一致する必要があります。たとえば、エリア 0 の Hello 間隔が、
エリア 0 の既存の OSPF ルーターで 10 秒に設定されている場合、この
Hello 間隔に 10 秒を入力する必要があります。エリア 0 の設定がそのエリア
の OSPF ルーターの設定と一致しないと、ルーターは正常に通信できませ
ん。
3
4
5
Z
A
A
[Configuration] → [System] → [Network] → [OSPF] → [Virtual Link
Configuration] の順に選択し、次のように仮想リンクを追加します。
•
リモートルーター ID = ルーター A のルーター ID
•
すべての間隔および認証設定 = エリア 0 の間隔および認証設定と同じ
•
エリア ID または IP アドレス = 3 または 0.0.0.3 ( トラフィックが通過す
るエリアの ID またはアドレス )
次のようにルーター Z への相互仮想リンクを作成します。
•
リモートルーター ID = ルーター Z のリモートルーター ID
•
すべての間隔および認証設定 = エリア 0 の間隔および認証設定と同じ
•
エリア ID または IP アドレス = 3 または 0.0.0.3 ( トラフィックが通過す
るエリアの ID またはアドレス )
[Configuration] → [System] → [Network] → [OSPF] → [Database] の順に
選択し、 OSPF neighbor コマンドを実行します。
次の 2 つのエントリを確認します。
•
ルーター Z のルーター ID - これはルーター A がエリア 3 ( 通過エリア )
を監視する ID です。
•
VLINK0 ( ルーター Z のルーター ID)
表 17: 仮想リンクの設定例
Proventia® Network Multi-Function Security Appliance User Guide
63
第 4 章 : ルーティングモードでのインターフェースの管理
手順
OSPF 仮想リンクを設定するには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Network] → [OSPF] の順に選択
します。
2. [Virtual Link Configuration] タブを選択し、 [Add] アイコンをクリックします。
3. 次のフィールドに入力し、変更内容を保存します。
フィールド
説明
Remote Router
ID
エリア 0 に接続した OSPF ルーターのルーター ID を入力します。
例:
•
ルーター A はエリア 0 に接続されています。
•
ルーター A のルーター ID は 0.0.106.187 です。
•
ルーター Z はエリア 0 に接続されています。
•
ルーター Z は、ルーター A からエリア 0 への仮想リンクが必要で
す。
•
ルーター Z で、ルーター A のルーター ID (0.0.106.187) を入力しま
す。
•
ルーター A で、ルーター Z への相互仮想リンクを作成する必要があ
ります。
•
相互リンクの場合、ルーター A の [Virtual Link] タブ上のリモート
ルーター ID はルーター Z のルーター ID になります。
ルーター ID は、近隣ルーターやアプライアンスに接続されているルー
ターを区別します。情報の交換も許可します。
Dead Interval
Dead 間隔を、エリア 0 で設定されているのと同じ値に設定します。
Dead 間隔は、ルーターが、インターフェースがダウンしたとみなすま
でインターフェースからのレスポンスを待機する時間です。
設定可能値 = 1 ～ 65535 秒
デフォルト = 40 秒
Hello Interval
Hello 間隔を、エリア 0 で設定されているのと同じ値に設定します。
アプライアンスは他のルーターにメッセージを送信して、アプライア
ンスが動作中であることを確認します。これらのメッセージの間隔は
Hello 間隔と呼ばれます。
設定可能値 = 1 ～ 65535 秒
デフォルト = 10 秒
Retransmission
Interval
再転送間隔を、エリア 0 で設定されているのと同じ値に設定します。
Transmit Delay
転送遅延を、エリア 0 で設定されているのと同じ値に設定します。
アプライアンスはルーティング情報に関するメッセージをエリアに送
信します。これらのメッセージの間隔は、再転送間隔と呼ばれます。
アプライアンスはメッセージをブロードキャストする前に時間を追加
します。この時間は、転送遅延と呼ばれます。
64
OSPF 仮想リンクの設定
フィールド
説明
Authentication
エリア 0 で使用される認証方法を選択します。
•
None - 認証なし
•
Plain - パスワードに最大 8 文字の英数字を入力します。
•
MD5 - MD5 キー ID と MD5 キー値を指定します。
デフォルト = disabled
注記 : ルーター間の認証はオプションですが、すべてのルーターで同じ
方法を有効にする必要があります。
IP Address
Area ID
エリア 0 に到達するために通過する IP アドレス、またはそのエリアの
エリア ID のいずれかを設定します。
•
IP address - リモートエリアの IP アドレスを入力します。
•
Area ID - リモートエリアの数値を入力します。
設定可能値 = 0 ～ 4294967295
例:
•
ルーターは、エリア 0 に到達するためにエリア 1 を通過する必要が
あります。
•
エリア 1 の ID は 1 です。
•
ここでは「1」を入力します。
Proventia® Network Multi-Function Security Appliance User Guide
65
第 4 章 : ルーティングモードでのインターフェースの管理
OSPF データベース情報の表示
はじめに
アプライアンスは他のルーターと連携して、ネットワーク上で宛先やルーターをマップします。ま
た、時間、遅延、帯域幅などのルートに関する情報を算出します。アプライアンスは OSPF データ
ベースに情報を格納します。アプライアンスと他のルーターは、同一の同期された OSPF データ
ベースを持っています。このトピックでは、 OSPF データベース情報の表示方法について説明しま
す。
手順
SOPF データベース情報を表示するには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Network] → [OSPF] の順に選択
します。
2. [ Database] を選択し、次の情報を確認します。
項目
説明
OSPF Router ID
OSPF 設定でルーターを表す番号。この数値はアプライアンスの
外部 IP アドレスですが、次の IP アドレス形式である必要があり
ます。 xxx.xxx.xxx.xxx
例:
172.16.106.1
この数値を「0.0.0.0」に設定すると、ルーターは OSPF 設定に
指定されたインターフェースすべてを参照し、最も大きい数値を
ルーター ID として使用します。
Router Link States
特定のエリア設定でアクティブになっていて、アドバタイズして
いるルーター。
例:
Router Link States (Area 0.0.0.0)
Net Link States
エリアに割り当てられている指定ルーター。
例:
Net Link States (Area 0.0.0.0)
Summary Link States
エリアから別のネットワークへのルートの概要。
例:
Summary Link States (Area 0.0.0.0)
ASBR-Summary Link
States
66
自律システム境界ルーター (ASBR) へのルートの概要。 ASBR
は、スタブエリア外にある OSPF 自律システムと OSPF 以外の
ネットワークの間に位置します。 ASBR は、 OSPF と別のルー
ティングプロトコル (RIP など ) の両方を実行します。
OSPF データベース情報の表示
項目
説明
Link ID
ルーターリンクを表す数値。この数値はセクションによって異な
ります。
•
[Router Link States] セクション - [Link ID] はルーターの IP ア
ドレスです。
•
[Net Link States] セクション - [Link ID] は、そのエリア内にあ
るアドバタイジングルーターのインターフェースの IP アド
レスです。
•
[Summary Link States] セクション - [Link ID] は、アドバタイ
ジングルーターがアクセス可能なネットワーク IP アドレス
です。
•
[ASBR Summary Link States] セクション - [Link ID] はルー
ター ID です。
例:
[Summary Link States] セクションには、次の値が表示されます。
Link ID --------ADV Router
172.16.106.0 ---0.0.89.2
172.16.106.0 ---0.0.89.1
この例では、両方の ADV ルーターが、 172.16.106.0 ネットワー
クにアクセス可能であることをアドバタイズしています。
例:
[Originate Default Route] オプションを有効にした場合、 [AS
External Links] セクションの 0.0.0.0 という [Link ID] は、 ADV
ルーターがその他ルーターを宛先としない任意のパケットを受信
することを示します。
ADV Router
Link State Advertisement (LSA) を送信するアドバタイジング
ルーター。
Age
LSA の寿命。
Seq #
各 LSA には、発信元ルーターによってシーケンス番号が与えら
れます。各インターフェースで最初に生成された LSA には、
0x80000001 というシーケンス番号が与えられます。シーケンス
番号は、インターフェースで LSA が生成されるごとに増えてい
きます。シーケンス番号は 32 ビットの値です。
例:
0x80000001
Chsum
LSA パケットのチェックサム。
例:
0x7325
Link count
ADV ルーターが指定エリア内で持っているアクティブなリンク
の数。
Proventia® Network Multi-Function Security Appliance User Guide
67
第 4 章 : ルーティングモードでのインターフェースの管理
OSPF 設定の操作
はじめに
このトピックでは、 OSPF 設定の編集、コピー、または削除方法について説明します。
手順
OSPF を編集、コピー、または削除するには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Network] → [OSPF] の順に選択
します。
2. 次のいずれかのタブを選択します。
■
Area Configuration
■
Interface Configuration
■
Virtual Link Configuration
3. 次のいずれかを行い、変更内容を保存します。
操作
エントリを編集する
手順
1. エントリを選択し、 [Edit] アイコンをクリックします。
2. 設定を変更し、 [OK] をクリックします。
エントリをコピーする
1. エントリを選択し、 [Copy] アイコンをクリックします。
2. [Paste] アイコンをクリックします。
3. 設定を変更し、 [OK] をクリックします。
エントリを削除する
68
エントリを選択し、 [Remove] アイコンをクリックします。
第5章
トランスペアレントインターフェースの
管理
概要
はじめに
トランスペアレントモードでは、アプライアンスはインターフェース間のトラフィックのみを転
送します。複雑なルーティングタスクは行いません。インターフェースを有効にする必要がありま
すが、他の設定は必要ありません。このモードでは、 IP アドレスなどの IP ネットワーク設定をイ
ンターフェースに割り当てません。つまり、アプライアンスは本質的にネットワークから見えない
ことを意味します。初期設定すると、外部インターフェースと 1 つの内部インターフェースが有効
になります。このトピックでは、必要に応じて追加の内部インターフェースを有効にする方法につ
いて説明します。
注記 : 管理目的の場合のみ、目に見える管理 IP アドレスを内部インターフェースに割り当てます。
この IP アドレスを使用すると、アプライアンス上の Proventia Manager にアクセスすることができ
ます。
この章の内容
この章では、次のトピックについて説明します。
トピック
ページ
トランスペアレントモードでのトラフィックの転送
70
トランスペアレントインターフェースの有効化
71
Proventia® Network Multi-Function Security Appliance User Guide
69
第 5 章 : トランスペアレントインターフェースの管理
トランスペアレントモードでのトラフィックの転送
はじめに
このトピックでは、アプライアンスがトランスペアレントモードのインターフェース上でトラ
フィックを転送する方法について説明します。
ブリッジとは
トランスペアレントモードでは、アプライアンスは次を行うブリッジデバイスになります。
●
複数のネットワークセグメントを接続する。
●
ネットワークセグメント間の不要なトラフィックを削減する。
●
IP アドレスではなく、発信元および宛先 MAC アドレスなどの情報に基づくネットワークパ
ケットを転送する。
注記 : トランスペアレントモードでは、アプライアンスは最適経路の計算のような複雑なルー
ティング機能を行いません。
パケットとフレーム
アプライアンスがトランスペアレントモードになっている場合、パケットは「フレーム」と呼ば
れることがあります。パケットは通常、 IP アドレスの観点からネットワークトラフィックを参照
します。フレームは通常、 MAC アドレスの観点からネットワークトラフィックを参照します。さ
らに、トランスペアレントアプライアンスはポートでフレームを転送します。
ブリッジ機
ジ機能
トランスペアレントモードでは、アプライアンスは次のブリッジ機能を行うことができます。
●
ルートの学習
アプライアンスは接続しているすべてのネットワークセグメント上の MAC アドレスを学習し
ます。トラフィックがアプライアンスを通過すると、アプライアンスは通信デバイスの発信元
および宛先 MAC アドレスなどの情報をトラフィックから取り出し、 MAC アドレステーブル
と呼ばれるテーブルに情報を格納します。このテーブルは MAC アドレスとブリッジポートを
関連付けます。アプライアンスはこの情報を使用してトラフィックの転送を決定します。
●
●
70
トラフィックの転送
■
アプライアンスがフレームを受信し、そのフレームの宛先 MAC アドレスを識別できた場
合、アプライアンスは、 MAC アドレステーブルで MAC アドレスに関連付けられているブ
リッジポートを調べ、そのアドレスに関連付けられているポートからフレームを転送しま
す。
■
アプライアンスがフレームを受信し、そのフレームの MAC アドレスを識別できない場合、
アプライアンスは、そのフレームを受信したアプライアンスのポート以外のすべてのポー
トにそのフレームを転送します。
トラフィックのフィルタリング
■
アプライアンスは、受信したポートと同じポートにフレームを転送することはありません。
この機能はフィルタリングと呼ばれ、送信デバイスが送信したフレームを受信することを
回避し、ネットワーク上のトラフィックを削減します。
■
アプライアンスは宛先 MAC アドレスを識別し、発信元と宛先が同じネットワークセグメ
ント上にある場合、フレームをフィルタリングします。
トランスペアレントインターフェースの有効化
トランスペアレントインターフェースの有効化
はじめに
このトピックでは、トランスペアレントアプライアンス上で内部インターフェースを有効にし、
管理 IP アドレスを変更する方法について説明します。
注記 : トランスペアレントモードでは、内部インターフェースの有効化または無効化のみが可能
です。他の設定は必要ありません、インターフェースはこのモードでは表示されません。外部イン
ターフェースを無効にすることはできません。
内部インタフェースの有
効化
トランスペアレントモードで追加の内部インターフェースを有効にするには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Network] → [Interfaces] の順に
選択します。
2. [Internal Interfaces] タブを選択して次のいずれかを行い、変更内容を保存します。
操作
内部インターフェースを
有効にする
手順
1. [Add] アイコンをクリックし、一覧からインターフェースを
選択します。
2. [Enabled] チェックボックスをオンにし、 [OK] をクリックし
ます。
内部インターフェースを
無効にする
1. [Edit] アイコンをクリックし、一覧からインターフェースを
選択します。
2. [Enabled] チェックボックスをオフにし、 [OK] をクリックし
ます。
管理 IP 設定の変更
管理 IP アドレスを含む管理 IP 設定は、アプライアンスがトランスペアレントモードになってい
る場合のみ適用できます。この情報は、管理目的の場合のみアプライアンスにアクセスするために
使用され、ネットワークからは見えません。初期設定時に管理 IP 設定を行います。
管理 IP 設定を変更するには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Network] → [Interfaces] の順に
選択します。
2. [Management] タブを選択して次のように入力し、変更内容を保存します。
オプション
説明
Host Name
次の例のようなホスト名を入力します。
gateway1.example.com.
IP address, subnet,
and default gateway
管理 IP アドレス、サブネットマスク、およびデフォルトゲート
ウェイ IP アドレスを入力します。
注記 : デフォルトでは、アプライアンスは、そのアプライアンス
と同じサブネット上の任意のデバイスからアプライアンスにアク
セスできます。別のサブネット上のデバイスからアプライアンス
にアクセスする場合は、適切なアプライアンスアクセスポリ
シーを設定する必要があります。
参照 : 「ユーザーへのアプライアンスアクセス権の付与」
(75 ページ ) を参照してください。
Proventia® Network Multi-Function Security Appliance User Guide
71
第 5 章 : トランスペアレントインターフェースの管理
オプション
説明
DNS Servers
インターフェースは IP アドレスに基づいてトラフィックをルー
ティングします。インターフェースは DNS サーバーと連携して
ホスト名を IP アドレスに変換します。たとえば、インター
フェースは DNS サーバーと連携して atlanta.fileserver01
を 172.16.100.2 に変換します。 DNS サーバーを検索するに
は、インターフェースは DNS サーバーの IP アドレスを識別して
いる必要があります。インターフェースに DNS サーバーを割り
当てるには、次の 2 つの方法があります。
•
Manual - DNS サーバーの IP アドレスを手動で入力します。
•
Dynamic - インターフェースは DNS サーバーの IP アドレス
をユーザーが入力しなくても動的に取得します。
注記 : 最大で 3 台の DNS サーバーを指定することができます。 1
台は必須です。
DNS Search Path
72
入力する情報は、ホスト名にドメイン名を追加します。たとえ
ば、ホスト名「myappliance」に「mycompany.net」を追加
する場合は、「myappliance mycompany.net」と入力します。ア
プライアンスは、ホスト名を
「myappliance.mycompany.net」と解釈します。
第6章
アプライアンスのアクセス制御
概要
はじめに
アプライアンスのアクセスを制御するには、次の 2 つの方法があります。
●
ログイン資格情報 - システムにアクセスするユーザー ID とパスワードを入力します。ユー
ザー ID は常に「admin」ですが、パスワードは変更可能です。
重要 : アプライアンスのシャットダウンや再起動などの機能にアクセスする LCD を使用する
場合は、ログイン資格情報を入力する必要はありません。 LCD を無効にする方法については、
「LCD の使用」 (38 ページ ) を参照してください。
●
デバイス識別 - アプライアンスは、ユーザーが定義した、システムにアクセス可能な IP アドレ
スのリストを保持しています。ユーザーがリストにないデバイスからアプライアンスにアクセ
スを試みると、システムはアクセスを拒否します。
ネットワークオブジェ
クト
アプライアンスアクセスポリシーでは、動的アドレスを含む、名前の付いたネットワークオブ
ジェクトを使用することができます。アプライアンスアクセス設定を行う前に、ネットワークオ
ブジェクトを定義する必要があります。詳細については、「ネットワークオブジェクトの定義」
(87 ページ ) を参照してください。
この章の内容
この章では、次のトピックについて説明します。
トピック
ページ
パスワードの管理
74
ユーザーへのアプライアンスアクセス権の付与
75
Proventia® Network Multi-Function Security Appliance User Guide
73
第 6 章 : アプライアンスのアクセス制御
パスワードの管理
はじめに
Proventia Setup Assistant での初期設定プロセス時に、システムパスワードを設定します。 Proventia
Manager でいつでもパスワードを変更することができます。
パスワード
次のパスワードはユーザーが定義します。
●
Root - コマンドラインからアプライアンスにアクセスする場合、ユーザーはこのパスワードを
入力する必要があります。
●
Administrator - アプライアンスにアクセスする場合、ユーザーはこのパスワードを入力する必
要があります。
●
Proventia Manager - Proventia Manager にログインする場合、ユーザーはこのパスワードを入力
する必要があります。
●
Bootloader - ブートローダープログラムにアクセス場合やアプライアンスのブートオプション
を変更する場合は、 Bootloader パスワードを入力する必要があります。このパスワードは、常
に root パスワードと同じです。
重要 : LCD はパスワードで保護されていませんが、アプライアンスのシャットダウンや再起動な
どの機能を備えています。 LCD を無効にする方法については、「LCD の使用」 (38 ページ ) を参照
してください。
パスワードを忘れた場合パスワードは安全な場所に記録してください。パスワードを忘れた場合は、再発行や新規発行がで
きません。アプライアンスを再インストールする必要があります。
パスワードの変更
システムパスワードを変更するには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Passwords] の順に選択します。
2. 次の変更するパスワードに応じて、適切なセクションの [Current Password] に現在のパスワー
ドを入力します。
■
Root
■
Admin
■
Proventia Manager User
3. [New Password] の横にある [Set Password] をクリックします。
4. 新しいパスワードを入力し、確認のためにもう一度入力します。
5. [OK] をクリックし、変更内容を保存します。
ブートローダパス
ワード
ブートローダープログラムにアクセスする場合やアプライアンスのブートオプションを変更する
場合は、 Bootloader パスワードを入力する必要があります。このパスワードは、常に root パスワー
ドと同じです。
ブートローダパスワー
ドの有効化
ブートローダパスワードを有効にするには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Passwords] の順に選択します。
2. [Enable bootloader password] を選択し、変更内容を保存します。
74
ユーザーへのアプライアンスアクセス権の付与
ユーザーへのアプライアンスアクセス権の付与
はじめに
セキュリティ管理者などのユーザーにアプライアンスアクセス権限を与えることができます。シス
テムは、ユーザーが定義した、システムにアクセス可能な IP アドレスのリストを保持しています。
アプライアンスにアクセスする必要のあるユーザーは、リスト内のいずれかの IP アドレスからア
クセスする必要があります。それ以外の場合は、アクセスが拒否されます。このトピックでは、ア
プライアンスにアクセス可能な IP アドレスリストの設定方法について説明します。
重要 : ユーザーは、アプライアンスとの接続の開始に使用するデバイスに関係なく、ログイン資
格情報を入力する必要があります。
デフォルトポリシー
デフォルトでは、アプライアンスは、そのアプライアンスと同じサブネット上の任意のデバイスか
らアプライアンスにアクセスできます。別のサブネット上のデバイスからアプライアンスにアクセ
スする場合は、適切なアプライアンスアクセスポリシーを設定する必要があります。
例
アプライアンス上の内部インターフェース (eth0) の内側にある任意のデバイスにアプライアンス
アクセス権を与えるには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Appliance Access] の順に選択し
ます。
2. [Add] アイコンをクリックし、説明を入力します。
3. [Address Range] を選択し、 [Dynamic Address Range Name] を選択します。
4. [SysEth0Range] を選択し、 [OK] をクリックし、変更内容を保存します。
アプライアンス上の外部インターフェース (eth1) の内側にある任意のデバイスにアプライアンス
アクセス権を与えるには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Appliance Access] の順に選択し
ます。
2. [Add] アイコンをクリックし、説明を入力します。
3. [Address Range] を選択し、 [Dynamic Address Range Name] を選択します。
4. [SysEth1Range] を選択し、 [OK] をクリックし、変更内容を保存します。
手順
アプライアンスにアクセス可能な IP アドレスのリストを設定するには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Appliance Access] の順に選択し
ます。
2. ユーザーがこれらのデバイスからアプライアンスにアクセスしたことをログに記録する場合
は、 [Log Manager Access] を選択します。
3. [Add] アイコンをクリックし、説明を入力します。
4. 次のいずれかを行い、変更内容を保存します。
次のアクセスを許可する
場合
静的 IP アドレス
手順
1. [Single IP Address] を選択し、 [Static Address] を選択しま
す。
2. IP アドレスを入力し、 [OK] をクリックします。
アドレス名
1. [Single IP Address] を選択し、 [Address Name] を選択しま
す。
2. エントリを選択し、 [OK] をクリックします。
Proventia® Network Multi-Function Security Appliance User Guide
75
第 6 章 : アプライアンスのアクセス制御
次のアクセスを許可する
場合
動的アドレス名
手順
1. [Dynamic Address Name] を選択します。
2. エントリを選択し、 [OK] をクリックします。
静的 IP アドレスの範囲
1. [Address Range] を選択し、 [Static Address Range] を選択
します。
2. IP アドレスを入力し、 [OK] をクリックします。
アドレス範囲名
1. [Address Range] を選択し、 [Address Name Range] を選択
します。
2. エントリを選択し、 [OK] をクリックします。
動的アドレス範囲名
1. [Address Range] を選択し、 [Dynamic Address Range
Name] を選択します。
2. エントリを選択し、 [OK] をクリックします。
76
第7章
システムサービスの有効化
概要
はじめに
システム設定時に、アプライアンス上で実行する次のサービスを有効にします。
●
動的ホスト設定 (DHCP) サービス - このサービスは、 IP アドレス、 DNS サーバーアドレス、
およびゲートウェイアドレスを、この情報を要求したクライアントに自動的に送信します。ま
た、接続されているクライアントの数、クライアントが使用している IP アドレス、クライア
ントが接続した長さも示します。
●
リモートアクセスサービス (SSH) - このサービスは、アプライアンスとの暗号化された安全
なリモート接続の確立を実現します。
●
メールリレー制御および認証サービス (SMTP) - このサービスは、ユーザーがアプライアンス
からメッセージを発信することを制御し、何者かがユーザーのメールサーバーを使用してス
パムをリレーするのを阻止するのに役立ちます。
●
Web プロキシサービス (HTTP) - このサービスは、アプライアンスが Web プロキシサーバー
からアプライアンスアップデートを取り出すことを許可します。
●
ネットワーク管理サービス (SNMP) - このサービスは、 SNMP 管理アプリケーションが、監視
と管理を行うためにアプライアンスからネットワーク情報を取り出すことを許可します。ま
た、アプライアンスが SNMP 管理アプリケーションにシステムイベントやセキュリティイベ
ントなどのアラート ( トラップ ) を送信することも許可します。
この章では、これらのサービスを有効にする方法について説明します。
この章の内容
この章では、次のトピックについて説明します。
トピック
ページ
動的ホスト設定サービスの設定
78
リモートアクセスサービスの有効化
82
メールリレー制御および認証サービスの設定
83
アプライアンスアップデートのための Web プロキシサービスの有効化
85
ネットワーク管理サービス (SNMP) の有効化
86
Proventia® Network Multi-Function Security Appliance User Guide
77
第 7 章 : システムサービスの有効化
動的ホスト設定サービスの設定
はじめに
アプライアンスは、 Dynamic Host Configuration (DHCP) サービスを提供します。アプライアンスは、
スタンドアロンの DHCP サーバーまたは DHCP リレーエージェントとして機能します。
スタンドアロンの DHCP サーバーとして、アプライアンスは次のサービスを提供します。
●
IP アドレスと、サブネットマスクやゲートウェイ IP アドレスなどの他の TCP/IP 設定情報に
対するクライアント要求を処理する。
●
IP アドレスのリースを管理する。
●
使用可能な IP アドレスのデータベースを管理する。
●
通常、同じ IP アドレスを維持する Web サーバーやプリンタなどのホストの静的 IP アドレス
をサポートする。
多くの場合、 DHCP サーバーと DHCP クライアントは同じサブネットワーク内にあるため、これ
らのデバイス間の DHCP 通信はそのサブネットワークから出ることはありません。ただし、一部の
例では、デバイスが同じサブネットワーク内にないため、デバイス間の DHCP 通信が異なるサブ
ネットワーク間でやり取りされることがあります。この場合、アプライアンスは 1 つのサブネット
ワークから他のサブネットワークへ DHCP 関連のトラフィックを渡す、 DHCP リレーエージェン
トとして機能します。
IP アドレスのリースプ
ロセス
次の表では、クライアントに IP 情報をリースするときのプロセスについて説明します。
段階
説明
1
クライアントがネットワーク上でオンラインになり、 IP アドレスが必要であると判断
します。
2
クライアントがネットワークに IP アドレスの要求を送信します。
3
DHCP サーバーがその要求を受け取り、処理します。
4
DHCP サーバーがクライアントに IP アドレスと、サブネットマスク、リース時間、お
よび DHCP サーバーの IP アドレスを提供します。
5
クライアントがそのオファーを受け取り、受諾します。
注記 : クライアントがオファーを受諾すると、ネットワーク上にある他の DHCP サー
バーはそのクライアントへのオファーの送信を停止します。
6
リースを提供した DHCP サーバーが受諾メッセージを受け取り、プロセスが完了しま
す。
表 18: IP アドレスのリースプロセス
推奨事項
78
DHCP サーバーがリースできる IP アドレスの範囲は、スコープと呼ばれます。クライアントが IP
アドレスを維持できる時間は、リース時間と呼ばれます。 ISS では、スコープとリースについて次
の推奨事項を挙げています。
●
DHCP サーバーはサブネット内にない IP アドレスをリースできません。
●
スコープには、サブネット内のすべての DHCP クライアントに対して十分な IP アドレスを含
める必要があります。
●
スコープは DHCP サーバーごとに変える必要があります。
●
バックアップや代替の DHCP サーバーの場合は、プライマリとバックアップサーバーで同じ
アドレスを設定し、その両方のサーバー上で他方サーバーの範囲を明確に除外する必要があり
ます。
動的ホスト設定サービスの設定
サーバーの設定
●
頻繁に変更するネットワークの場合は、リース時間を短く設定します。固定のネットワークの
場合は、リース時間をより長く設定します。
●
無制限なリース時間の場合は、リースを行うコンピュータがオフラインになっていても、
DHCP リレーエージェントはリースされた IP アドレス解放しません。
DHCP サーバーを設定するには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [DHCP] の順に選択します。
2. [DHCP Server] タブを選択し、次のように入力します。
オプション
説明
DHCP Server Enabled
アプライアンス上のビルトインの DHCP サーバーを有効にする
場合は、このオプションを選択します。
DHCP Client Lease
Time (in seconds)
許可するリース時間を入力します。これは、アプライアンスがク
ライアントに IP アドレスをリースできる長さです。
Domain Name Suffix
次のようなドメイン名サフィックスを入力します。
.com
.net
.edu
.org
注記 : ドメイン名サフィックスは、組織の種類を表す一般的な
トップレベルドメインです。
3. [Address Settings] セクションで、 [Add] アイコンをクリックして次のフィールドを入力し、
[OK] をクリックします。
■
Address Range - これは、アプライアンスがクライアントにリースできる IP アドレスの範囲
です。
■
Subnet Mask - これは、アプライアンスがクライアントに割り当てるサブネットマスクで
す。
■
Gateway IP Address - これは、アプライアンスがクライアントに割り当てるゲートウェイ IP
アドレスです。内部インターフェースの IP アドレスである場合があります。
4. [DNS] セクションで、次のいずれかを行います。
操作
手順
デフォルトの DNS サー
バーを使用する
[Use Default] を選択します。
DNS サーバーを手動で
割り当てる
[Specify Settings] を選択し、次のように入力します。
•
[Primary Nameserver] に第 1 ネームサーバーの IP アドレス
•
[Secondary Nameserver] に第 2 ネームサーバーの IP アドレ
ス
•
[Secondary Nameserver] に第 3 ネームサーバーの IP アドレ
ス
5. [Static Address Assignments] セクションで、 [Add] アイコンをクリックして次のフィールドを入
力し、 [OK] をクリックします。
■
Host Name - これは、静的 IP アドレスを取得するデバイスの完全修飾ドメイン名前です。
Proventia® Network Multi-Function Security Appliance User Guide
79
第 7 章 : システムサービスの有効化
■
MAC Address - これは、デバイスのネットワークインターフェースカードの固有のハード
ウェアアドレスです。このアドレスは、 AA:BB:CC:11:22:33 のように 6 つの 16 進数の
ペアをコロンで区切って記述されます。
■
IP Address - これは、アプライアンスがデバイスに割り当てる静的 IP アドレスです。
注記 : 必要に応じて、他のデバイスの静的 IP アドレスを追加することができます。
6. [WINS Configuration] セクションで、次のサーバーの IP アドレスを入力します。
リレーエージェントの
有効化
■
[Preferred WINS server] に望ましい WINS サーバー
■
[Alternate WINS server] に別の WINS サーバー
アプライアンスが異なるサブネットワーク上にあるクライアントとサーバー間で DHCP 通信をリ
レーできるようにするには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [DHCP] の順に選択します。
2. Services] タブを選択し、 [Enabled] をクリックします。
3. インターフェースセクションで、次の作業を行います。
作業
説明
クライアント要求を受け取るインター
フェースを指定する
[Add] アイコンをクリックし、 DHCP クライア
ントが接続されているアプライアンスイン
ターフェースを選択します。
注記 : アプライアンスは、指定したイン
ターフェース上で DHCP 要求を待機しま
す。
リレーされたクライアント要求を送信する
インターフェースを指定する
注記 : この要求が適切な DHCP サーバー
にリレーされるように、アプライアンスは
このインターフェースの外にクライアント
要求をリレーします。
1. [Add] アイコンをクリックし、 DHCP サー
バーが接続
されているアプライアンスイン
バー
ターフェースを選択します。
2. [DHCP Servers] セクションで [Add] アイコ
ンをクリックし、 DHCP サーバーの IP ア
ドレスを入力します。
4. [OK] をクリックし、変更内容を保存します。
5. ファイアウォールアクセスポリシーで、自身 ( アプライアンス ) への DHCP 要求の許可が有
効になっていることを確認します。
現在のリース情報の表示現在の IP アドレスリースを表示するには :
1. ナビゲーションウィンドウで [Status] → [System] → [DHCP] の順に選択します。
2. 次のいずれかを行います。
操作
手順
リースを表示する
IP アドレスを選択し、 [Display] を選択します。
次の情報が表示されます。
リースをコピーする
•
DNS サーバーの IP アドレス
•
リースがアクティブになっている時間
1. IP アドレスを選択し、 [Copy] アイコン (
ます。
) をクリックし
2. [Paste] をクリックし、変更内容を保存します。
80
動的ホスト設定サービスの設定
DHCP 設定の操作
DHCP リレーエージェントおよびサーバー設定を含む DHCP 設定を追加、コピー、編集するには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [DHCP] の順に選択します。
2. 次のいずれかのタブを選択します。
■
Services
■
DHCP Server
3. 次のいずれかを行い、変更内容を保存します。
操作
手順
設定を追加する
適切なセクションの [Add] アイコンをクリックし、必要な情報を
入力します。
設定を編集する
1. 設定を選択し、 [Edit] アイコンをクリックします。
2. 設定を編集し、 [OK] をクリックします。
設定をコピーする
1. 設定を選択し、 [Copy] アイコン (
2. [Paste] アイコン (
) をクリックします。
) をクリックします。
3. 必要に応じて設定を編集します。
設定を削除する
4. 設定を選択し、 [Remove] アイコンをクリックします。
Proventia® Network Multi-Function Security Appliance User Guide
81
第 7 章 : システムサービスの有効化
リモートアクセスサービスの有効化
はじめに
プライベートまたはパブリックインターフェース上のアプライアンスへの暗号化された安全なリ
モート接続を確立することができます。暗号化された SSH ベースのリモート接続を確立すると、
アプライアンスのコマンドライン機能をリモートから実行することができます。リモートアクセ
スサービスはデフォルトで有効になっています。
手順
リモートアクセスサービスを有効にするには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Services] の順に選択します。
2. [Services] タブを選択して [Enabled] チェックボックスをオンにし、変更内容を保存します。
注記 : サービスを無効にするには、 [Enabled] チェックボックスをオフにします。
82
メールリレー制御および認証サービスの設定
スの設定
メールリレー制御および認証サービスの設定
スの設定
はじめに
アプライアンスは、メールのリレー制御サービスと認証サービスを提供します。これらのサービス
はデフォルトで無効になっています。
●
メールリレー制御 - アプライアンスは、アプライアンスからメールの発信を許可されている、
内部ネットワーク上のユーザー定義のコンピュータとドメインの一覧のリストを保持していま
す。許可されていないコンピュータまたはドメインがアプライアンスからメッセージの発信を
試みると、アプライアンスはそのメールを遮断します。このサービスは、権限のないユーザー
がメールサーバーを使用して他のネットワークに不正なメールをリレーするのを阻止するの
に役立ちます。
●
メール認証 - アプライアンスは、アプライアンスからメールを発信しようとするユーザーに対
し、ユーザー ID とパスワードの入力を要求します。
注記 : メールリレー制御および認証サービスは、 SMTP アプリケーション層ゲートウェイで有効
になっている必要があります。
参照 : 「アプリケーション層でのトラフィックのフィルタリング」 (180 ページ ) を参照してくださ
い。
手順
メールリレー制御および認証 (SMTP) サービスを設定するには :
1. ナビゲーションウィンドウで [Configuration] → [Services] の順に選択します。
2. [SMTP] タブを選択し、次のように入力します。
オプション
説明
My Domain
[My Domain] フィールドに、「mybiz.com」などの企業ドメイン
名を入力します。
注記 : このドメインとのメールの送受信が許可されます。
Relay Control Enabled
メールリレー制御サービスを有効にする場合は、このオプショ
ンをオンにします。
重要 : セミトランスペアレントモードで SMTP アプリケーショ
ン層ゲートウェイを実行する場合は、 [Email Relay Control] を有
効にする必要があります。
Local SMTP
Authentication
認証する場合は、このオプションをオンにします。
3. 次の作業を行い、変更内容を保存します。
操作
ユーザーがアプライアン
スからメールを発信する
ときに ID とパスワード
の入力を要求する
手順
1. [SMTP Users] セクションで、 [Add] アイコンをクリックし、
ユーザー名とパスワードを入力します。
2. [OK] をクリックします。
Proventia® Network Multi-Function Security Appliance User Guide
83
第 7 章 : システムサービスの有効化
操作
アプライアンスからメー
ルを発信できる IP アド
レスとサブネットのリス
トを設定する
手順
1. [Relay IPs] セクションで、 [Add] アイコンをクリックし、ア
プライアンスからメッセージの発信を許可されている IP アド
レスとサブネットマスクを入力します。
2. [OK] をクリックします。
注記 :IP アドレス範囲を入力できます。アプライアンスは範囲内
のコンピューターにメールをリレーします。ネットワークアドレ
スマスクの有効な範囲は、 /16 から /32 です。
アプライアンスからメー
ルを発信できるローカル
ドメインを設定する
1. [Local Domains] セクションで、 [Add] アイコンをクリック
し、アプライアンスからメッセージの発信を許可されている
ドメイン名を入力します。
2. [OK] をクリックします。
SMTP サービス設定の
操作
ユーザー、リレー IP、およびローカルドメインを含む、 SMTP サービス設定を追加、編集、コ
ピー、または削除するには :
1. ナビゲーションウィンドウで [Configuration] → [Services] の順に選択します。
2. [SMTP] タブを選択して次のいずれかを行い、変更内容を保存します。
操作
手順
設定を追加する
適切なセクションの [Add] アイコンをクリックし、必要な情報を
入力します。
設定を編集する
1. 設定を選択し、 [Edit] アイコンをクリックします。
2. 必要に応じて設定を編集し、 [OK] をクリックします。
設定をコピーする
1. 設定を選択し、 [Copy] アイコンをクリックします。
2. [Paste] アイコンをクリックします。
設定を削除する
84
設定を選択し、 [Remove] アイコンをクリックします。
アプライアンスアップデートのための Web プロキシサービスの有効化
アプライアンスアップデートのための Web プロキシサービスの有効
化
はじめに
アプライアンスが Web (HTTP) プロキシサーバーを通ってインターネットにアクセスし、 ISS から
アプライアンスアップデートを取得する場合は、 Web (HTTP) プロキシサービスを有効にする必要
があります。このサービスはアプライアンス用のアップデートを取得する場合のみ使用されます。
重要 : 正しい HTTP ALG ポリシーも有効にする必要があります。「アプリケーション層でのトラ
フィックのフィルタリング」 (180 ページ ) を参照してください。
手順
Web プロキシサーバーからアップデートを取得するためにアプライアンスを有効にするには :
1. ナビゲーションウィンドウで [Configuration] → [Services] の順に選択します。
2. [HTTP Proxy ] タブを選択し、 [Enable HTTP Proxy] を選択します。
3. 次のように入力し、 [OK] をクリックして変更内容を保存します。
オプション
説明
Address
プロキシサーバーの IP アドレス
Port
プロキシサーバーのポート
Enable Authentication
Web プロキシサーバーがインターネットにアクセスするために
ユーザー ID とパスワードを要求する場合は、このオプションを
選択し、ユーザー ID とパスワードを入力します。
Proventia® Network Multi-Function Security Appliance User Guide
85
第 7 章 : システムサービスの有効化
ネットワーク管理サービス (SNMP) の有効化
はじめに
メッセージ中のイベント
名の表示
このトピックでは、特に、次に挙げる機能のネットワーク管理サービス (SNMP) を有効にする方法
について説明します。
●
SNMP Get - Hewlett-Packard OpenView などのネットワーク上の SNMP 管理アプライアンスは、
監視と管理を行うためにアプライアンスから情報を取り出すことができます。
●
SNMP Traps - アプライアンスはシステムイベントやセキュリティイベントなどのアラート
(SNMP) を SNMP 管理アプリケーションに送信することができます。大量のアラートトラ
フィックがある環境では、 ISS はアラートのための望ましい方法として SNMP トラップを推奨
しています。
ISS によって割り当てられたイベントを SNMP トラップメッセージ中に表示するには :
1. ブラウザを開き、次の ISS のダウンロードページに移動します。
http://www.iss.net/download/
2. iss.mib ファイルをダウンロードします。
ISS MIB ファイアルは ISS SNMP トラップの形式を定義します。管理アプリケーションとこの
ファイルは連携して、 SNMP トラップに含まれる数値のオブジェクト識別子 (OID) を変換しま
す。
3. iss.mib ファイルを Hewlett-Packard OpenView などの SNMP 管理アプリケーションにインポート
またはコンパイルします。
参照 : 詳細については、 SNMP 管理アプリケーションのマニュアルを参照してください。
手順
SNMP Get および SNMP トラップを設定するには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Services] の順に選択します。
2. [SNMP] タブを選択して次の操作を行い、変更内容を保存します。
機能
説明
Get
[SNMP Get Enabled] を選択し、次のフィールドを入力します。
Trap
•
System Name
•
System Location
•
Contact Information
•
Get Community ( コミュニティ名 )
1. [SNMP Traps Enabled] を選択し、次のフィールドを入力します。
• Trap Receiver (SNMP Manager サーバーの IP アドレス )
• Trap Community(public または private コミュニティ名 )
2. [Trap Version] の一覧から、トラップのバージョンを選択します。
86
第8章
ネットワークオブジェクトの定義
概要
はじめに
ファイアウォールポリシーを設定する前に、ファイアウォールを通過する必要のあるネットワー
クオブジェクト ( デバイス、サービス、アプリケーションなど ) と、ファイアウォールを通過する
必要のないネットワークオブジェクトを定義する必要があります。使用されるポートやプロトコル
だけでなく、これらのオブジェクトに関連する IP アドレスやネットワークも定義する必要があり
ます。この情報を入手したら、中央に情報を取得して分類するために、ファイアウォール上でネッ
トワークオブジェクトに名前を付けて定義する必要があります。この章では、ネットワークオブ
ジェクトについてと、ファイアウォールでのこれらの定義方法について説明します。
利点
ネットワークオブジェクトを定義する作業は、ネットワークの大きさや複雑さによって手間と時
間がかかる場合がありますが、ファイアウォールポリシーの設定と変更の準備ができていれば、
ネットワークオブジェクトはいくつかの効果を発揮します。
●
ネットワーク情報に意味のある名前を付けることができます。
●
複数のファイアウォールポリシーのネットワークオブジェクトを再利用したり、参照したり
することができます。
●
中央にあるネットワークオブジェクトの情報を更新し、変更内容とそのオブジェクトを参照
するすべてのポリシーをシステム全体に配布することができます。
●
複数のファイアウォールポリシーの情報を、ポリシーを個別に編集せずに同時に更新するこ
とができます。
●
個別の IP アドレスやポート番号を入力せずに名前の付いたネットワークオブジェクトを入力
してファイアウォールポリシーを設定することで、時間を節約することができます。
ユーザー定義とシステム一部のネットワークオブジェクトはユーザー定義で、その他はシステム定義です。
定義
●
User-defined - これらのオブジェクトは、名前を付けて定義したアドレス名とポート名を含み
ます。これらのオブジェクトの情報は動的に更新されません。たとえば、ファイルサーバーの
IP アドレスを示す File_Server というネットワークオブジェクトを作成し、そのファイルサー
バーの IP アドレスを後から変更する場合は、新しい IP アドレスを使ってネットワークオブ
ジェクトを手動で更新する必要があります。
●
System-defined - これらのオブジェクトには、ビルトイン動的アドレスが含まれます。これら
のオブジェクトは、アプライアンスインターフェースの IP アドレスなどのファイアウォール
ポリシーで使用される、最も一般的に参照される情報を取得します。これらのオブジェクトの
情報は動的に更新されます。たとえば、内部インターフェースの IP アドレスを変更すると、
このインターフェースを示すビルトイン動的アドレスが動的に新しい IP アドレスに更新され
ます。
Proventia® Network Multi-Function Security Appliance User Guide
87
第 8 章 : ネットワークオブジェクトの定義
この章の内容
この章では、次のトピックについて説明します。
トピック
88
ページ
ネットワークオブジェクトの定義と操作
89
動的アドレスの定義
92
SiteProtector での動的アドレス名の操作
94
ビルトイン動的アドレスの操作
97
ネットワークオブジェクトの定義と操作
ネットワークオブジェクトの定義と操作
はじめに
このトピックでは、ネットワークオブジェクトの定義と操作の方法について説明します。
命名要件
ネットワークオブジェクトを作成する場合は、次の命名要件に従います。
種類
●
名前には空白スペースを含めないでください。
●
名前は 16 文字を超えないようにしてください。
●
保存後に名前を編集すると、別のネットワークオブジェクトまたはポリシーに対するリンク
が解除されます。新しい名前を使って接続を確立し直してください。
次の表は、作成できるユーザー定義のネットワークオブジェクトの種類について説明します。
ネットワークオブ
ジェクト
説明
Address names
IP アドレスに意味のある名前を付ける場合は、この種類を使用します。こ
の名前は次の IP 情報を表します。
Address groups
Port names
Port groups
•
1 つの IP アドレス
•
IP アドレスの範囲
•
1 つの IP アドレスと CIDR マスク
•
IP アドレスの範囲
•
1 つのアドレスリストには、 1 つ以上の IP アドレス範囲を含めること
ができます。
IP アドレスをさらにグループ化、命名、および管理する場合は、この種
類を使用します。このグループは次の情報を表します。
•
複数のアドレス名
•
他のアドレスグループ
ポート情報に意味のある名前を付ける場合は、この種類を使用します。こ
の名前は次のポート情報を表します。
•
1 つのポート
•
1 つ以上のポート範囲
ポート情報をさらにグループ化、命名、および管理する場合は、この種類
を使用します。このグループは次の情報を表します。
•
複数のポート名
•
他のポートグループ
表 19: ネットワークオブジェクトの説明
ネットワークオブジェ
クトの定義
ネットワークオブジェクトを定義するには :
1. ナビゲーションウィンドウで [Configuration] → [Objects] → [Network Objects] の順に選択し
ます。
2. 次のいずれかのタブを選択します。
■
Address Groups
■
Address Name
■
Port Groups
■
Port Name
Proventia® Network Multi-Function Security Appliance User Guide
89
第 8 章 : ネットワークオブジェクトの定義
3. 次のいずれかを行い、変更内容を保存します。
操作
アドレス名を追加する
手順
1. [Add] アイコンをクリックし、次のように入力します。
• [Name] に IP アドレスの名前
• [Comment] にコメント
2. [Addresses] セクションの [Add] アイコンをクリックし、次
のように IP アドレスを名前に関連付けます。
• [Any] を選択します。
• [Single IP Address] を選択し、 IP アドレスを入力します。
• [Address Range] を選択し、範囲内の先頭と末尾の IP ア
ドレスを入力します。
• [Network Address / #NetworkBits (CIDR)] を選択し、
「128.8.27.18 / 16」のように IP アドレスとマスクを入力し
ます。
• [IP Address List] を選択し、 1 つのアドレスリストを選択
します。
アドレスグループを定
義する
1. [Add] アイコンをクリックし、次のように入力します。
• [Name] に IP アドレスのグループの名前
• [Comment] にコメント
2. [Add] アイコンをクリックし、次のように他の名前とグルー
プをこのグループに関連付けます。
• [Address Name] を選択し、 1 つのアドレスリストを選択
します。
• [Address Group] を選択し、 1 つのアドレスリストを選択
します。
3. [OK] をクリックして [Add Addresses] ウィンドウを閉じま
す。
4. [OK] をクリックして [Add Address Groups] ウィンドウを閉
じます。
ポート名を定義する
1. [Add] アイコンをクリックし、次のように入力します。
• [Name ] にポートの名前
• [Comment] にコメント
2. [Port] セクションの [Add] アイコンをクリックし、ポートで
使用されるプロトコルを選択します。
• TCP
• UDP
3. [Ports] セクションで、次のいずれかを行います。
• [Single Port] を選択し、ポート番号を入力します。
• [Port Range] を選択し、リストからエントリを選択しま
す。
4. [OK] をクリックして [Add Ports] ウィンドウを閉じます。
5. [OK] をクリックして [Add Port Groups] ウィンドウを閉じま
す。
90
ネットワークオブジェクトの定義と操作
操作
ポートグループを定義
する
手順
1. [Add] アイコンをクリックし、次のように入力します。
• [Name] にポートのグループの名前
• [Comment] にコメント
2. [Port] セクションの [Add] アイコンをクリックし、次のいず
れかを行います。
• [Port Name] を選択し、リストからエントリを選択しま
す。
• [Port Group] を選択し、リストからエントリを選択しま
す。
3. [OK] をクリックして [Add Ports] ウィンドウを閉じます。
4. [OK] をクリックして [Add Port Groups] ウィンドウを閉じま
す。
ネットワークオブジェ
クトの操作
ネットワークオブジェクトを編集、コピー、または削除するには :
1. ナビゲーションウィンドウで [Configuration] → [Objects] → [Network Objects] の順に選択し
ます。
2. 次のいずれかのタブを選択します。
■
Address Groups
■
Address Names
■
Port Groups
■
Port Names
■
Dynamic Address Names
注記 : ここでは、名前のみを編集することができます。名前に関連付けたアドレスを編集する
には、 [Configuration] → [Objects] → [Dynamic Addresses] の順に移動してエントリを選択し、
[Edit] アイコンをクリックします。アドレスに関連付けた名前を変更するには、下向き矢印を
矢印
クリックし、リストからユーザーが定義した名前を選択します。
3. 次のいずれかを行い、変更内容を保存します。
操作
手順
ネットワークオブジェ
クトを編集する
1. エントリを選択し、 [Edit] アイコンをクリックします。
ネットワークオブジェ
クトをコピーする
1. エントリを選択し、 [Copy] アイコン (
す。
2. この項目を編集し、 [OK] をクリックします。
2. [Paste] アイコン (
ネットワークオブジェ
クトを削除する
) をクリックしま
) をクリックします。
エントリを選択し、 [Remove] アイコンをクリックします。
Proventia® Network Multi-Function Security Appliance User Guide
91
第 8 章 : ネットワークオブジェクトの定義
動的アドレスの定義
はじめに
このトピックでは、動的アドレスの設定と操作について説明します。
説明 : 動的アドレス名
動的アドレス名は、動的アドレスを含むネットワークオブジェクトです。動的アドレス名を作成す
ると、ネットワークオブジェクトは配置中のすべてのアプライアンスで使用できるようになりま
す。しかし、ネットワークオブジェクトにそれぞれのアプライアンスの情報を関連付ける必要があ
ります。動的アドレス名の内容はアプライアンス固有です。つまり、オブジェクトの内容はアプラ
イアンスによって異なります。ただし、ネットワークオブジェクトの名前は同じままです。
たとえば、「Internal Interfaces」という動的アドレス名を作成します。 A、 B、および C の 3 つのア
プライアンスが配置されています。「Internal Interfaces」というネットワークオブジェクトは、こ
の配置の 3 つのアプライアンスすべてで使用できますが、それぞれのアプライアンスに情報を関連
付けるまで、オブジェクトは空のままです。動的アドレス名の情報は、 3 つのアプライアンスすべ
てで異なりますが、オブジェクトの名前は変わらず「Internal Interfaces」のままです。
ユーザー定義の動的アド
レス名の追加
ユーザー定義の動的アドレス名を追加するには :
注記 : この手順では、名前のみを設定します。次の手順で IP アドレスを名前に関連付けます。
1. ナビゲーションウィンドウで [Configuration] → [Objects] → [Network Objects] の順に選択し
ます。
2. [Dynamic Addresses] タブを選択します。
3. [Add] アイコンをクリックし、次のフィールドを入力します。
IP アドレスと動的アド
レス名の関連付け
■
Name
■
Comment
IP アドレスをユーザー定義の動的アドレス名と関連付けるには :
注記 : IP アドレスをシステム定義の動的アドレス名に関連付けることはできません。これらの関連
付けは自動的に設定されます。
1. ナビゲーションウィンドウで [Configuration] → [Objects] → [Dynamic Addresses] の順に選択
します。
2. [Add] アイコンをクリックし、ユーザー定義の動的アドレス名を選択します。
3. 説明を入力し、次のいずれかを行い、変更内容を保存します。
92
オプション
説明
Any
すべての IP アドレスと名前を関連付ける場合はこのオプション
を選択し、 [OK] をクリックします。
Single IP Address
1 つの IP アドレスを名前に関連付ける場合はこのオプションを
選択し、 IP アドレスを入力し、 [OK] をクリックします。
Address Range
IP アドレスの範囲を名前に関連付ける場合はこのオプションを
選択し、最初と最後の IP アドレスを入力し、 [OK] をクリックし
ます。
Network Address /
#NetworkBits (CIDR)
1 つの IP アドレスとサブネットを名前に関連付ける場合はこの
オプションを選択し、アドレスを「128.8.27.18 /16」のような
CIDR 形式で入力し、 [OK] をクリックします。
動的アドレスの定義
オプション
説明
IP Address List
名前の付いた IP アドレスリストを名前に関連付ける場合はこの
オプションを選択し、名前の付いたリストを入力し、 [OK] をク
リックします。
Proventia® Network Multi-Function Security Appliance User Guide
93
第 8 章 : ネットワークオブジェクトの定義
SiteProtector での動的アドレス名の操作
はじめに
例
1 つのグループ内のすべてのリモートアプライアンスが、 SiteProtector Console から共通の動的アド
レス名を共有する場合は、 SiteProtector でグループポリシーを管理する方が容易です。 SiteProtector
Console からリモートアプライアンスを管理する SiteProtector 管理者で、リモートから動的アドレ
ス名を管理する場合は、次のことが可能です。
●
グループ内の各リモートアプライアンスに共通の動的アドレス名を与えることができます。
●
グループ内の各アプライアンスは、 SiteProtector からアプライアンス上の固有のポリシー設定
に動的アドレス名を解決します。
●
グループのポリシーを容易に管理することができます。
あなたは SiteProtector 管理者です。「Remote」という名前の SiteProtector グループを作成しました。
Remote グループに 3 つのアプライアンスを追加します。このグループは、 A、 B、および C という
名前の 3 つのアプライアンスを含んでいます。各アプライアンスは会社のリモートサイトにありま
す。
このグループ内の各アプライアンスは、社内の人事部用の内部サブネットを持っています。それぞ
れのリモート管理者は、人事部サブネット用の名前付きのアドレスリストを作成し、これに異な
る動的アドレス名を関連付けました。次の表では、この関係について説明します。
アプライア
ンス
A
動的アドレス名
動的アドレス名に関連付けた名前付きのアドレ
スリスト
HR_addressname
リストの名前 : HR_Net
このリストのアドレス :
192.168.0.1—192.168.0.50
B
Human_Res_AddressName
リストの名前 : HumanRes
このリストのアドレス :
192.168.0.51—192.168.0.100
C
HumanResource_AddressName
リストの名前 : HR
このリストのアドレス :
192.168.0.101—192.168.0.150
リモートサイトの 1 つは、 HR 社員がインターネットにアクセスすることを許可していません。次
の表では、各アプライアンスのサブネットと、インターネットで使用するそのファイアウォール
ポリシーについて説明します。
アプライア
ンス
ファイアウォールアクセスポリシー (HR サブネットのインターネットアクセ
ス)
A
許可 - プロトコル = HTTP - 発信元 = アプライアンス - 宛先 = HR サブネット
B
禁止 - プロトコル = HTTP - 発信元 = アプライアンス - 宛先 = HR サブネット
C
許可 - プロトコル = HTTP - 発信元 = アプライアンス - 宛先 = HR サブネット
Romote グループの 3 つのすべてのアプライアンスに、名前付きのアドレスリストを同じ動的アド
レス名に関連付けさせると、これらのサブネットのグループポリシーに容易に変更を行うことが
できます。
新しい動的アドレス名「HumanResources_AddressName」を作成します。この新しいネットワーク
オブジェクトは、グループの全ネットワークオブジェクトポリシーの一部です。各アプライアン
94
SiteProtector での動的アドレス名の操作
スは次に Agent Manager にハートビートを送信すると、グループポリシーの一部として新しいネッ
トワークオブジェクトポリシーを受け取ります。リモートの管理者は、ここで、新しい
HumanResources_AddressName ネットワークオブジェクトにアプライアンス上の HR サブネット
ファイアウォールポリシーを関連付けることができるようになります。ここで、各アプライアンス
は名前の付いたアドレスリストを同じ動的アドレス名に関連付けます。次の表では、この関係につ
いて説明します。
アプライア
ンス
A
動的アドレス名
動的アドレス名に関連付けた名前付きのアドレ
スリスト
HumanResources_AddressName
リストの名前 : HR_Net
このリストのアドレス :
192.168.0.1—192.168.5.50
B
HumanResources_AddressName
リストの名前 : HumanRes
このリストのアドレス :
192.168.0.51—192.168.0.100
C
HumanResources_AddressName
リストの名前 : HR
このリストのアドレス :
192.168.0.101—192.168.0.150
次に、人事部のすべての部署にインターネットへのアクセス権を与えることを決定しました。グ
ループアクセスポリシーにこの変更を行い、これを「HumanResources_AddressName 」ネットワー
クオブジェクトに関連付けます。アプライアンス B が Agent Manager にハートビートを送信する
と、アプライアンスはアクセスポリシーの変更を受け取ります。アプライアンス B を使用するリ
モートサイトの人事部サブネットは、インターネットアクセス権を持つようになりました。
プロセス
次の表は、 SiteProtector 管理者がグループ内の各アプライアンスに共通の動的アドレスを指定する
方法について説明します。
段階
1
説明
リモートの管理者は、 SiteProtector の [Management] ページで SiteProtector による管
理設定を行います。
[Local Settings Override SiteProtector Group Settings] チェックボックスがオンになっ
ていることを確認します。
2
アプライアンスが SiteProtector Agent Manager に最初にハートビートを送信すると、
アプライアンスは指定されたグループの一部として Agent Manager に登録されます。
Agent Manager はアプライアンスポリシーをすべて保存します。
3
SiteProtector Console で、 SiteProtector 管理者は SiteProtector ネットワークオブジェ
クトがグループポリシーになるように指定します。つまり、グループ内の各アプライア
ンスがこのポリシーを共有します。
注記 : ネットワークオブジェクトポリシーは、動的アドレス名を含む、すべてのネッ
トワークオブジェクトを指定します。
4
アプライアンスは次に Agent Manager にハートビートを送信すると、 Agent Manager
が SiteProtector グループポリシーをアプライアンスに適用します。このグループポリ
シーは、新しい動的アドレス名のネットワークオブジェクトを含んでいます。
5
SiteProtector Console で、リモート管理者は SiteProtector からアプライアンスを登録
解除します。
表 20: SiteProtector で動的アドレス名を使用するプロセス
Proventia® Network Multi-Function Security Appliance User Guide
95
第 8 章 : ネットワークオブジェクトの定義
段階
説明
6
Proventia Manager で、リモート管理者はアプライアンス上の固有のポリシーに
SiteProtector からの新しい動的アドレス名を関連付けます。
7
SiteProtector の [Management] ページで、リモート管理者はアプライアンスを
SiteProtector に再登録します。アプライアンスは Agent Manager にアップデートされた
ポリシーを送信します。
8
SiteProtector 管理者はここで、共通の動的アドレス名を使用してグループポリシーの
変更を行います。
表 20: SiteProtector で動的アドレス名を使用するプロセス
96
ビルトイン動的アドレスの操作
ビルトイン動的アドレスの操作
はじめに
アプライアンスはビルトインの一連の動的アドレスを備えており、自動的に設定を行います。この
トピックでは、動的アドレスとこの利点について説明します。
注記 : Proventia Manager で使用できるのと同じビルトイン動的アドレスは、 SiteProtector Console で
も使用できます。
説明
ビルトイン動的アドレス名は、アプライアンスが自動的に設定を行う動的アドレスです。ビルトイ
ン動的アドレス名は読み取り専用なので、編集したりシステムから削除したりすることはできませ
ん。アクセスポリシーとファイアウォールポリシーを設定または変更する場合のみ、ビルトイン
動的アドレスリストにアクセスすることができます。
ビルトイン動的アドレスは、内部および外部インターフェースの IP アドレスなど、ファイア
ウォールポリシーで最も一般的に使用される情報を取得します。
利点
ビルトイン動的アドレスには、次のような利点があります。
●
ネットワーク設定の変更にかかわらず、有効なアプライアンスアクセスポリシーとファイア
ウォールポリシーを維持する方法
例
ネットワーク設定を手動で変更し、これに対応する変更をアプライアンスアクセスポリシー
やファイアウォールポリシーで行わなかったため、アプライアンスからロックアウトされま
した。ポリシー中のビルトイン動的アドレスを参照すると、この問題の回避に役立つ場合があ
ります。
●
背景
SiteProtector Console で複数のアプライアンスを管理するための向上した機能
アプライアンスには、ネットワークに出入りするトラフィックの流れを制御する多くのセキュリ
ティポリシーを搭載することができます。これらの個々のポリシーは、 IP アドレスやポートなど
のいくつかの同じ情報を参照する場合があります。多くの個々のセキュリティポリシーに同じ IP
アドレスを入力する作業は、非常に面倒で間違いの元になります。 1 つの IP アドレスを変更すると
何が起こるかを考えてみてください。多くの異なるポリシーの情報を手動でアップデートする必要
がある場合があります。動的アドレスはこの問題に 1 つの解決策を提供します。
それぞれのセキュリティポリシーの情報を手動で設定するよりも、動的アドレスを参照するよう
にセキュリティポリシーを設定します。アプライアンスが自動で設定するビルトイン動的アドレ
ス、またはユーザーが作成するユーザー定義の動的アドレスを使用することができます。
適切な情報で動的アドレスを設定することは、 1 回限りの設定作業です。これ以降は、動的アドレ
スを参照する各ポリシーが常に正しい IP アドレスで設定されます。何らかの理由でこの IP アドレ
スを変更する必要がある場合は、いったん動的アドレスに変更します。動的アドレスを参照するす
べてのポリシーが自動的に新しい情報に更新されます。このアプローチは、セキュリティポリシー
で使用される情報の管理およびアップデートに費やされる時間を大幅に削減することができます。
ルーティングモードの
デフォルトアドレス
次の表では、ルーティングモードのビルトイン動的アドレスについて説明します。
名前a
意味
ポー
ト
SysEth0Ip
内部インターフェー
ス
eth 0 IP アドレス
172.10.15.20
SysEth0Net
内部ネットワーク
eth 0 IP アドレス / サブ
ネット
172.10.15.0/255.255.255.0
形式
例
表 21: ルーティングモードのビルトイン動的アドレス
Proventia® Network Multi-Function Security Appliance User Guide
97
第 8 章 : ネットワークオブジェクトの定義
名前a
意味
ポー
ト
SysEth0Cidr
内部ネットワーク
eth 0 CIDR
172.10.15.0/24
SysEth0Range
内部ネットワーク
eth 0 IP アドレス範囲
172.10.15.0 —
172.10.15.255
SysEth1Ipb
外部インターフェー
ス
eth 1 IP アドレス
172.10.15.20
SysEth1Net
外部ネットワーク
eth 1 IP アドレス / サブ
ネット
172.10.15.0/255.255.255.0
SysEth1Cidr
外部ネットワーク
eth 1 CIDR
172.10.15.0/24
SysEth1Range
外部ネットワーク
eth 1 IP アドレス範囲
172.10.15.0 —
172.10.15.255
SysEthxIpc
内部ネットワーク
IP アドレス
eth x IP アドレス
172.10.15.20
SysEthxNet
内部ネットワーク
IP アドレス
eth x IP アドレス / サブ
ネット
172.10.15.0/255.255.255.0
SysEthxCidr
内部ネットワーク
IP アドレス
eth x CIDR
172.10.15.0/24
SysEthxRange
内部ネットワーク
IP アドレス
eth x IP アドレス範囲
172.10.15.0 —
172.10.15.255
形式
例
表 21: ルーティングモードのビルトイン動的アドレス ( 続き )
a.
この一覧中のいくつかの名前には、インターフェース番号を示す x が付いています。インターフェースの
数は、アプライアンスモデルによって異なります。ビルトイン動的アドレスは、アプライアンス上の各イ
ンターフェースに含まれています。
b. このオブジェクトをポリシーで使用する方法には、次の 2 つの制約が適用されます。
• eth1 の IP アドレスは静的、またはインターフェースに永久にリースされたものである必要があります。
eth1 の IP アドレスが動的に変わる場合は、このオブジェクトをポリシーで使用しないでください。 IP
アドレスが変わると、システムは SysEth1Ip の情報を新しい IP アドレスに自動的にアップデートしま
せん。さらに、 SysEth1Ip を参照するポリシーもアップデートしないため、アプライアンスに予期せ
ぬポリシーが適用される可能性があります。
• このビルトイン動的アドレスはトランジットポリシーでのみ使用可能です。トランジットポリシーは
アプライアンスを通過するトラフィックに適用されます。
c. このビルトイン動的アドレスはトランジットポリシーでのみ使用可能です。トランジットポリシーはアプ
ライアンスを通過するトラフィックに適用されます。
98
ビルトイン動的アドレスの操作
トランスペアレント
モードのデフォルトア
ドレス
次の表では、トランスペアレントモードのビルトイン動的アドレスについて説明します。
名前
意味
例
SysTransmgmtIp
管理 IP アドレス
10.10.100.2
SysTransmgmtNet
管理 IP アドレスとサブネットマスク
10.10.100.0/
255.255.255.0
SysTransmgmtCidr
CIDR 形式の管理ネットワーク
10.10.100.0/24
SysTransmgmtRange
IP 範囲形式の管理ネットワーク
10.10.100.0—
10.10.100.255
表 22: トランスペアレントモードのビルトイン動的アドレス
ハイアベイラビリティ
標準のルーティングモードアプライアンスで使用可能なビルトイン動的アドレスは、アプライア
ンスがハイアベイラビリティで配置されている場合でも使用可能です。大きな違いは、ハイアベ
イラビリティにおける動的アドレスは、常に仮想の IP アドレスまたはネットワークを示し、実際
の IP アドレスまたはネットワークを示さないことです。
動的アドレスのアップグ
レード
前回のリリースでは、アプライアンスは次の動的アドレスを備えていました。
名前a
説明
変換
CORP
内部ネットワーク (eth0)
を示す
ポリシー中の CORP インスタンスを、次のいずれ
かの新しいビルトイン動的アドレスに置き換えるこ
とができます。
CORPTRANS
DMZ
管理 IP アドレスとサブ
ネットワークを示す
eth2 などのインター
フェース上のアプライア
ンスに接続された、広く
アクセス可能なプライ
ベートネットワークを
示す
•
SysEth0Net
•
SysEth0Cidr
•
SysEth0Range
ポリシー中の CORPTRANS インスタンスを、次の
いずれかの新しいビルトイン動的アドレスに置き換
えることができます。
•
SysTransmgmtNet
•
SysTransmgmtCidr
•
SysTransmgmtRange
ポリシー中の DMZ インスタンスを、いずれかの
ルーティングモードの内部ネットワーク用ビルト
イン動的アドレスに置き換えることができます
表 23: 動的アドレスのアップグレード
a.
新規インストールでは、これらの名前が含まれていませんが、アップグレードによってこれらの名前がな
くなることはありません。名前は新しいバージョンに移行されます。新しいビルトイン動的アドレス名を
参照するようにポリシーを変更することを推奨します。
Proventia® Network Multi-Function Security Appliance User Guide
99
第 8 章 : ネットワークオブジェクトの定義
100
第9章
システムイベントのアラートとロギング
の有効化
概要
はじめに
この章では、システムイベントのアラートとロギングの設定方法について説明します。
この章の内容
この章では、次のトピックについて説明します。
トピック
ページ
システムイベントのアラートとロギングの有効化
103
メールによるアラートの設定
102
Proventia® Network Multi-Function Security Appliance User Guide
101
第 9 章 : システムイベントのアラートとロギングの有効化
システムイベントのアラートとロギングの有効化
はじめに
イベントが発生すると、システムは電子メール、ネットワークメッセージ (SNMP トラップ )、ま
たは SiteProtector Console で警告を発することができます。さらに、そのイベントのログも記録しま
す。このトピックでは、イベントのアラートとロギングを有効にする方法について説明します。
ガイドライン
大量のイベントが予測される場合は、選択するアラートとロギングの種類を慎重に検討することを
推奨します。大量のアラートとログエントリには、かなりの保存領域と処理能力が必要です。
始める前に
アラートを有効にする前に、アラートを受信する方法に応じて、次の作業を行う必要があります。
●
ネットワークメッセージサービス (SNMP トラップ ) を有効にする。
参照 : 「ネットワーク管理サービス (SNMP) の有効化」 (86 ページ ) を参照してください。
●
メールによるアラートを設定する。
参照 : 「メールによるアラートの設定」 (103 ページ ) を参照してください。
●
SiteProtector をインストールして設定し、アプライアンスで SiteProtector による管理を有効に
する。
参照 : 「SiteProtector でのアプライアンスの管理とアップデート」 (105 ページ ) を参照してく
ださい。
システムイベント
手順
次のシステムイベントに対して、アラートとロギングを有効にすることができます。
●
システムエラーが発生した場合
●
システム警告が発生した場合
●
入手可能なアップデートに関する発表などのシステムアナウンスが発生した場合
システムイベントのアラートとロギングを有効にするには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Notification] の順に選択します。
2. [Event Notification] タブを選択します。
3. イベントの種類ごとにアラートとロギングのオプションを選択し、変更内容を保存します。
102
操作
手順
イベントのログを記録する
[Alert Logging for Event Name] を選択します。
メールでアラートを受け取る
[Email Enabled] を選択します。
ネットワークメッセージサービス
(SNMP トラップ ) でアラートを受け
取る
[SNMP Trap Enabled] を選択します。
SiteProtector Console にアラートを送
信する
[SiteProtector Enabled] を選択します。
メールによるアラートの設定
メールによるアラートの設定
はじめに
システムがメールでアラートを送信するには、メールの送信先やメールの内容に関するシステム情
報を入力する必要があります。
例
次の表では、 John Doe 宛てのメールの設定例と、これらの設定に基づくメールによるアラートの例
を示します。
オプション
値
結果
Name
Email to John Doe
SMTP
Host
www.mycompany.net
To
[email protected]
IP アドレス 192.168.134.10 の何者かが、遮断された
Web サイトへのアクセスを試みています。アプライアン
スはセキュリティイベントを検出し、 John Doe にこの
イベントに関するメールを送信します。次はこのメール
の例です。
Subject
Format
Proventia(R) M series
event: <AlertName>
Body
Format
空白 ( すべてのフィール
ドをメールに含める )
'WFM_URL_Blocked' event detected by
Proventia(R) M series at mycompany.net).
Details:
Alert ID: BCV58PJYUGPXWR6IKVZGEFGIE4
Alert Type: WebFilterAlert
Time: 2005-04-05 17:37:15 UTC
Priority: medium
HA Node: N/A
Message: Requested URL matched a blocked
category
Url: <http://playboy.com/>
Category: Erotic / Sex; General News /
Newspapers / Magazines
Client IP Address: 192.168.134.10
Actions:
DISPLAY=Default:0,EMAIL=Default:0
Event Specific Information:
:src: 192.168.134.10
:cat: action: block
表 24: メールによるアラートの例
メールによるアラートの
設定
メールによるアラートを設定するには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Notification] の順に選択します。
2. [Delivery Setup] タブを選択し、 [Add] アイコンをクリックします。
3. 次のフィールドを入力します。
フィールド
説明
Name
アラートの名前 ( 例 : John Doe 宛てのシステムアラート設定 )
SMTP Host
メールサーバーの IP アドレスまたは完全修飾ドメイン名
To
システムがアラートを送信するメールアドレス
Proventia® Network Multi-Function Security Appliance User Guide
103
第 9 章 : システムイベントのアラートとロギングの有効化
フィールド
説明
Subject Format
システムがメールの件名に含めるテキスト ( 例 : システムイベントの
名前 )
Body Format
システムがメールの本文に含める情報 ( 例 : 空白設定にすると、イベ
ントに関するすべての情報がメールに含まれます。 )
4. [OK] をクリックし、変更内容を保存します。
メールによるアラートの
操作
メールによるアラートの設定を編集、コピー、または削除するには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Notification] の順に選択します。
2. [Delivery Setup] タブを選択して次のいずれかを行い、変更内容を保存します。
実行内容
設定を編集する
手順
1. エントリを選択し、 [Edit] アイコンをクリックします。
2. 必要に応じてエントリを編集し、 [OK] をクリックします。
設定をコピーする
1. エントリを選択し、 [Copy] アイコン (
す。
2. [Paste] アイコン (
) をクリックしま
) をクリックします。
3. 必要に応じてエントリを編集します。
設定を削除する
104
エントリを選択し、 [Remove] アイコンをクリックします。
第 10 章
SiteProtector でのアプライアンスの管理
とアップデート
概要
はじめに
SiteProtector は、アプライアンスを含むすべての ISS 製品を中央から管理する機能を備えています。
SiteProtector でアプライアンスを管理する前に、この章で説明する統合プロセスを完了する必要が
あります。
可能な作業
SiteProtector Console では、次の作業を行うことができます。
許可されない作業
この章の内容
●
アラートとイベントを表示する。
●
SiteProtector X-Press Update Server を使ってアプライアンスにファームウェアアップデートとセ
キュリティコンテンツアップデートをダウンロードし、適用する。
●
アプライアンスグループへの設定と適用を同時に行う。
●
ファイアウォールを含むすべての防御機能を設定し、管理する。
●
アラート、ネットワークオブジェクト、およびサービスを管理する。
SiteProtector Console では、次の作業を行うことができません。
●
SiteProtector による管理を有効にする。
●
X-Press Update Server を使ってデータベースアップデートをダウンロードまたは適用する。
●
隔離されたファイルを表示し、管理する。
●
隔離テーブルの変更内容と DHCP リースを適用する。
●
ハイアベイラビリティを設定する。
この章では、次のトピックについて説明します。
トピック
ページ
SiteProtector の概要
106
SiteProtector へのアプライアンスの登録
108
Proventia® Network Multi-Function Security Appliance User Guide
105
第 10 章 : SiteProtector でのアプライアンスの管理とアップデート
SiteProtector の概要
はじめに
SiteProtector は、アプライアンスを含む Internet Security Systems (ISS) 製品全体にコマンド、制御、
および監視機能を提供する集中管理システムです。
アーキテクチャ
SiteProtector システムは、次から構成されます。
アプライアンスと連携す
るコンポーネント
●
コンポーネント - SiteProtector コンポーネントは、コアの SiteProtector 機能を備え、固有のチャ
ネルを使用してコンポーネントどうしの相互通信やアプライアンスなどの他の ISS 製品との通
信を行います。コンポーネントとポートの全一覧については、「SiteProtector Installation Guide」
を参照してください。
●
追加モジュール - これらは追加の SiteProtector 機能を備えています。
●
エージェント - エージェントは SiteProtector と連携してセキュリティイベントの検出と防御を
行う ISS 製品です。アプライアンスは SiteProtector Console の 1 つのエージェントと見なされ
ます。
SiteProtector は、それぞれが SiteProtector システム内で非常に固有の機能を持つ、異なるコンポー
ネントからなります。次の表では、アプライアンスと連携するいくつかの SiteProtector コンポーネ
ントについて説明します。
コンポーネ
ント
説明
Agent
Manger
Agent Manager は、 SiteProtector でアプライアンスを設定、アップデート、およ
び管理する機能を備えています。 SiteProtector X-Press Update Server と呼ばれる
アプライアンスの代替のアップデートサーバーの管理機能も備えています。
アプライアンスがセキュリティデータを生成すると、 Agent Manager は
SiteProtector Console でデータを表示するのに必要なデータ処理を容易にしま
す。
アプライアンスは、ハートビート信号を Agent Manager に定期的に送信してアク
ティブであることを示し、 Agent Manager からポリシーとアップデートを受信し
ます。ハートビート間隔はユーザーによって定義されます。
Central
Responses
Central Responses は、 SiteProtector システムからのアラート、ログエントリ、
およびレスポンスです。たとえば、セキュリティイベントがアプライアンスから
SiteProtector システムに入ると、 SiteProtector はメール、ネットワークメッセー
ジ (SNMP トラップ )、または SiteProtector Console によってアラートを送信す
ることができます。分析や監視のために SiteProtector のある中央の場所にイベン
トのログを記録することもできます。アプライアンスのステータスの変更につい
てアラートを要求することもできます。
表 25: SiteProtector コンポーネントの説明
106
SiteProtector の概要
コンポーネ
ント
説明
Console
コンソールは、次を含むすべての SiteProtector 作業を行うインターフェースで
す。
•
アプライアンスを設定し、管理する。
•
セキュリティポリシーを作成し、管理する。
•
アラートとロギングを有効にする。
•
ユーザーとユーザー権限を設定する
•
ネットワーク上のセキュリティイベントと脆弱点を監視する
•
レポートを作成する。
参照 : SiteProtector Console の使用方法については、 www.iss.net または http://
www.isskk.co.jp/ から入手可能な次のマニュアルを参照してください。
Site
Database
X-Press
Update
Server
•
SiteProtector User Guide for Security Managers
•
SiteProtector オンラインヘルプ
Site Database は、次の情報を格納します。
•
ISS 製品によって生成されたセキュリティデータ
•
セキュリティイベントの統計値
•
全製品のアップデートステータス
•
SiteProtector ユーザーアカウントと権限
X-Press Update Server は、連携するように設定されている SiteProtector や他の
ISS 製品をアップデートするための主要なツールです。 X-Press Update Server は
次の作業を行います。
•
ISS ダウンロードセンターに接続する。
•
アプライアンスにファームウェアアップデートとセキュリティコンテンツ
アップデートをダウンロードする。
•
アプライアンスにファームウェアアップデートとセキュリティコンテンツ
アップデートを適用する。
注記 : X-Press Update Server は、アプライアンスへのデータベースアップデー
トのダウンロードや適用を行いません。アプライアンスがデータベースアップ
デートのダウンロードや適用を行うには、インターネットにアクセスする必要が
あります。
表 25: SiteProtector コンポーネントの説明 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
107
第 10 章 : SiteProtector でのアプライアンスの管理とアップデート
SiteProtector へのアプライアンスの登録
はじめに
このトピックでは、アプライアンスを SiteProtector に登録する方法について説明します。
関連マニュアル
SiteProtector のインストール、設定、およびアップデート方法と、 SiteProtector でのポリシーの設定
および適用方法については、次を参照してください。
始める前に
手順
●
SiteProtector Installation Guide
●
SiteProtector User Guide for Security Managers
●
SiteProtector オンラインヘルプ
アプライアンスを SiteProtector に登録する前に、次の作業を行います。
●
SiteProtector をインストール、設定、アップデートする。
●
SiteProtector Console でアプライアンスのライセンスを設定する。アプライアンスが
SiteProtector からアップデートを受け取るには、このライセンスが必要です。
●
SiteProtector 2.0 Service Pack 5 以降を実行していることを確認する。
●
アプライアンスの SiteProtector Console で 1 つのグループを作成し、グループ設定を定義する。
グループには、同じ種類のアプライアンスのみを含めることができます。
●
統合プロセスで使用するために、次の情報を入手する。
■
アプライアンスを設置する SiteProtector グループの名前
■
アプライアンスと通信する各 SiteProtector Agent Manager の IP アドレスとポート
この情報を入手するには、 SiteProtector Console に移動し、エージェントビューで Agent
Manager のプロパティを確認します。
●
アプライアンスのプライマリ管理インターフェースの IP アドレスを確認する。このインター
フェースは、アプライアンスインターフェースを設定するときにユーザーによって定義され
ます。この情報を確認するには、 [Configuration] → [System] → [Network] → [Interfaces] の順
に移動します。
●
アプライアンスを最新のファームウェアにアップデートする。
SiteProtector によるアプライアンス管理を設定するには :
1. ナビゲーションウィンドウで [Configuration] → [SiteProtector Management] の順に選択しま
す。
2. [Register with SiteProtector] を選択します。
3. 次のいずれかを行います。
操作
手順
アプライアンスに個別の
設定とポリシーを維持さ
せる
[Local Settings Override SiteProtector Group Settings] オプ
ションをオンにします。
このオプションは、 SiteProtector でアプライアンス用の設定を定
義していない場合に推奨されます。このオプションは、アプライ
アンスが SiteProtector に含まれるデフォルトポリシーを引き継
ぐことを回避します。
アプライアンスに
[Local Settings Override SiteProtector Group Settings] オプ
SiteProtector からの設定ションをオフにします。
とポリシーを取得させるこのオプションは、 SiteProtector ですべてのアプライアンス設定
とポリシーを定義する場合に推奨されます。
108
SiteProtector へのアプライアンスの登録
4. 次のフィールドを入力します。
オプション
説明
Desired SiteProtector
Group for Sensor
SiteProtector Console は、監視と管理を行うためにネットワーク
デバイスをグループに分類します。アプライアンスを登録するグ
ループの名前を入力します。
注記 : アプライアンスを登録する前に、 SiteProtector でグループ
を作成する必要があります。作成しない場合、アプライアンスを
登録するときに SiteProtector がグループを作成します。
Heartbeat Interval
アプライアンスは SiteProtector とのセッションを開始するため
に、 SiteProtector に定期的に信号を送信します。これらの信号の
間隔を秒単位で入力します。
設定可能値 = 300 ～ 86,400 秒
5. [SiteProtector Management Level] セクションで、SiteProtector による管理のレベルを選択します。
レベル
説明
Policy Control
and Events
SiteProtector Console でアプライアンスを管理する場合はこのオプション
を選択します。
注記 :SiteProtector Console では、この設定に関係なく次の作業を行うこ
とができません。
Events Only
•
SiteProtector による管理を有効または無効にする。
•
ファームウェアアップデートを適用する。
•
隔離ファイルやテーブルを表示、管理する。
•
DHCP リースを表示する。
•
ハイアベイラビリティを設定する。
Proventia Manager でアプライアンスを管理し、 SiteProtector Console に
のみアラートを送信する場合は、このオプションを選択します。
注記 : アプライアンスは、この設定に関係なく SiteProtector に登録されま
す。アプライアンスは、指定したグループのエージェントとして表示さ
れ、ステータスには [Unmanaged] と表示されます。
Proventia® Network Multi-Function Security Appliance User Guide
109
第 10 章 : SiteProtector でのアプライアンスの管理とアップデート
6. [Agent Manager Configuration] セクションで、 [Add] アイコンをクリックし、 Agent Manger を設
定して変更内容を保存します。
オプション
説明
Authentication
level
アプライアンスと他の Agent Manager 間の信頼できるレベルを設定
します。
•
Trust-all - アプライアンスは、 SiteProtector のデジタル証明書を
使用せずに、 Agent Manager からの接続を常に信頼します。
•
First-time Trust - アプライアンスは SiteProtector の証明書を使用
せずに、 Agent Manager との最初の接続を信頼します。最初の接
続で、アプライアンスは必要な証明書を、 SiteProtector からアプ
ライアンス上の次の場所に自動的にコピーします。
/cache/spool/crm/cacerts directory
これ以降、アプライアンスはこの証明書を使用して Agent
Manager との接続を認証します。
•
Explicit Trust - 次の作業を行う必要があります。
• SiteProtector の証明書を、アプライアンス上の次の場所に手動
でコピーします。
/cache/spool/crm/cacerts directory
• 次の ISS のサポート Web サイトでナレッジベースの Article
番号 2202 ( 英語 ) を参照して、追加の設定作業を行いま
す。
http://www.iss.net/support/knowledgebase/
Agent Manager
Name, Address,
and Port
通信で使用される Agent Manager の名前、 IP アドレス、およびポー
トを入力します。
Account Name
アプライアンスが Agent Manager とのアクセスに使用する必要があ
るアカウント名とパスワードを入力します ( オプション )。
デフォルトポート = 3995
Use Proxy Settings アプライアンスがプロキシサーバーを経由して Agent Manager にア
クセスする必要がある場合は、このオプションを選択し、プロキシ
サーバーの IP アドレスとポートを入力します。
110
第 11 章
アプライアンスのアップデート
概要
はじめに
この章では、自動および手動アップデートによるアプライアンスの設定方法について説明します。
重要 : 最新の防御機能を確保するために、初期設定後できるだけ早急にアプライアンスをアップ
デートすることを強く推奨します。アップデートは、アプライアンスが最新の修正、機能、セキュ
リティコンテンツ、およびデータベースアップデートを保有していることを確認します。
要件
アプライアンスが ISS からアップデートを取得するために Web プロキシサーバーを通過する必要
がある場合、次の作業を行う必要があります。
●
アップデートをダウンロードするために Web (HTTP) プロキシサービスを有効にする。
参照 : 「アプライアンスアップデートのための Web プロキシサービスの有効化」 (85 ページ )
を参照してください。
●
アプリケーション層ゲートウェイで、 HTTPOUTBOUND という ALG ポリシーを有効にする。
参照 : 「アプリケーション層でのトラフィックのフィルタリング」 (180 ページ ) を参照してく
ださい。
種類
ISS では、アプライアンスに対して次の種類のアップデートを提供します。
タイプ
説明
ファームウェアアップデー
ト
システムソフトウェア用のアップデート。これらのアップデー
トは連続しているため、順番にインストールする必要がありま
す。
セキュリティコンテンツ
アップデート
アンチウィルスおよび不正侵入防御機能のアップデート。これら
のアップデートは累積的であるため、以前のアップデートがすべ
て含まれます。
データベースアップデート
フィルタデータベースのアップデート。これらのアップデート
は累積的であるため、以前のアップデートがすべて含まれます。
表 26: アップデートの種類
SiteProtector による
アップデート
SiteProtector によるアップデートのダウンロードと適用については、「SiteProtector でのアプライア
ンスの管理とアップデート」 (105 ページ ) を参照してください。
Proventia® Network Multi-Function Security Appliance User Guide
111
第 11 章 : アプライアンスのアップデート
この章の内容
この章では、次のトピックについて説明します。
トピック
112
ページ
自動アップデートの設定
113
アラートの有効化と自動アップデートのロギング
115
SiteProtector からのアップライアンスアップデートの入手
117
手動によるアップデートのインストールと削除
119
自動アップデートの設定
はじめに
次の自動アップデートを有効にすることができます。
●
フィルタデータベース
●
ファームウェア
●
セキュリティコンテンツ
このトピックでは、自動アップデートの設定方法について説明します。
注記 : アップデート後、アプライアンスを再起動する必要があります。
推奨事項
手順
アップデートをスケジューリングする場合は、次の作業を行うことを推奨します。
●
アップデートをインストールする前にシステムバックアップを作成する。
●
アップデート作業を定期的に (1 日 1 回など ) 行うように、自動アップデートをスケジューリン
グする。
●
システムのバックアップとアップデートのインストールを行う前に、少なくとも 1 時間はアッ
プデートをチェックするようにアプライアンスをスケジューリングする。この設定によって、
アプライアンスはこれらのプロセスを完了するのに十分な時間が与えられます。
●
アプライアンスは数分間オフラインになり、アップデートするのにかなりの時間がかかる可能
性があるため、通常の業務時間外にアップデートを実行するようにスケジューリングする。
セキュリティコンテンツ、データベース、およびファームウェアの自動アップデートを有効にす
るには :
1. ナビゲーションウィンドウで、 [Maintenance] → [Updates] → [Automatic Settings] の順に選択
します。
注記 : [Export Administration Regulation] ウィンドウが表示された場合は、内容を確認し、
[Yes] を選択してから [Submit] をクリックします。
2. [Update Settings] タブを選択し、次の作業を行います。
作業
説明
アプライアンスがアップ
デートをチェックする日
時をスケジューリングす
る
次のいずれかのオプションを選択します。
•
Check for updates daily or weekly - アップデートをチェッ
クする日時を設定します。
•
Check for updates at given intervals - アップデートを
チェックする間隔 (60 分に 1 回など ) を設定します。
最小 = 60 分
最大 = 1440 分
セキュリティアップデー次のいずれかのオプションを選択します。
トのための自動ダウン
• Automatically Download - アプライアンスはセキュリティ
ロードおよび自動インス
アップデートを自動的にダウンロードします。
トールオプションを設定
• Automatically Install - アプライアンスはセキュリティアッ
する
プデートを自動的にインストールします。
フィルタデータベースの [Automatically Update Web Filter and Antispam Database] を
ためのアップデートオプ選択すると、データベースは自動的に最新の状態に維持されま
す。
ションを設定する
Proventia® Network Multi-Function Security Appliance User Guide
113
第 11 章 : アプライアンスのアップデート
作業
説明
ファームウェアアップ
次から選択します。
デートのためのアップ
• Ignore Feature Upgrades - このオプションは、アプライア
デートオプションを選択
ンスがファームウェアを新しいシリーズに (3.x から 4.x へ、
する
など ) アップグレードできないようにします。アプライアン
スは、現在のファームウェアシリーズ用にリリースされた
アップデート (3.x シリーズのすべてのアップデートなど ) の
インストールを継続します。
•
Ignore Any Product Updates or Feature Upgrades Later
Than A Specified Version - このオプションは、アプライア
ンスが過去の特定のソフトウェアバージョンをアップグレー
ドできないようにします。
このオプションを有効にすると、アプライアンスはすべての
アップデートとアップグレードを通知します。ただし、指定
したファームウェアバージョン番号以降のファームウェア
バージョンは表示、ダウンロード、またはインストールされ
ません。
•
ファームウェアアップ
デートとバックアップの
オプションを設定する
Automatically Download - アプライアンスは上記で指定した
設定に基づいてアップデートを自動的にダウンロードします。
次のオプションから選択します。
•
Automatically Download - アプライアンスはファームウェア
アップデートを自動的にダウンロードします。
•
Perform Full System Backup Before Installation - システム
はファームウェアアップデートをインストールする前に、フ
ルシステムバックアップを作成します。
注記 : 自動によるシステムバックアップは、アプライアンス
がファームウェアアップデートをインストールする場合のみ
行われます。たとえば、 [Do Not Install] オプションを選択し
た場合、アプライアンスはアップデートをインストールする
までシステムバックアップを行いません。
•
Do Not Install - アプライアンスは、アップデートをダウン
ロードした後、ファームウェアアップデートをインストール
しません。
•
Automatically Install Updates - アプライアンスは、設定し
た時刻にファームウェアアップデートをインストールしま
す。
Delayed - 日時を設定する必要があります。
Immediate - 推奨しません。
•
Schedule One-Time Install - アプライアンスは、設定した時
刻に選択したアップデートをインストールします。
• Date and Time - インストールする時刻。
All Available Updates - アプライアンスはすべてのアップ
デートをインストールします。
Up To Specific Version - アプライアンスは特定のバージョ
ンまでのすべてのアップデートをインストールし、停止しま
す。
114
アラートの有効化と自動アップデートのロギング
アラートの有効化と自動アップデートのロギング
はじめに
アプライアンスはダウンロードおよびインストールが可能になったときに、アラートを送信するこ
とができます。また、アップデートプロセス時のエラーについてもアラートを送信することがで
きます。アラートは、電子メール、 SNMP トラップメッセージ、または SiteProtector Console で受
信することができます。このトピックでは、自動アップデートのアラートを有効にする方法につい
て説明します。
始める前に
自動アップデートのアラートを有効にする前に、アラートの受信方法によって、次の作業を行う必
要があります。
●
SNMP トラップメッセージの場合は、アプライアンス上のネットワーク管理サービス (SNMP)
を有効にする必要があります。
参照 : 「ネットワーク管理サービス (SNMP) の有効化」 (86 ページ ) を参照してください。
●
電子メールの場合は、メールアラートを設定する必要があります。
参照 : 「メールによるアラートの設定」 (103 ページ ) を参照してください。
アップデートイベント
手順
次のアップデートイベントに対して、アラートとロギングを有効にすることができます。
●
アップデートが入手可能になったとき
●
アップデートがインストールされたとき
●
アップデートプロセス時にエラーが発生したとき
自動アップデートのアラートを有効にするには :
1. ナビゲーションウィンドウで、 [Maintenance] → [Updates] → [Automatic Settings] の順に選択
します。
注記 : [Export Administration Regulation] ウィンドウが表示された場合は、内容を確認し、
[Yes] を選択してから [Submit] をクリックします。
2. [Event Notification] タブを選択します。
3. 次の作業を行い、変更内容を保存します。
操作
手順
アップデートが入手可能になったとき
に記録する
[Enable Alert Logging for Available Updates] を
選択します。
アップデートが入手可能になったとき
にアラートを受信する
次のアラート配信方法を選択します。
•
Email Enabled
•
SNMP Trap Enabled
•
SiteProtector Enabled
アップデートがインストールされたに
記録する
[Alert Logging for Update Installation] を選択しま
す。
アップデートがインストールされたと
きにアラートを受信する
次のアラート配信方法を選択します。
アップデートプロセス時にエラーが
発生したときに記録する
Proventia® Network Multi-Function Security Appliance User Guide
•
Email Enabled
•
SNMP Trap Enabled
•
SiteProtector Enabled
[Alert Logging for Update Errors] を選択します。
115
第 11 章 : アプライアンスのアップデート
116
操作
手順
アップデートプロセス時にエラーが
発生したときにアラートを受信する
次のアラート配信方法を選択します。
•
Email Enabled
•
SNMP Trap Enabled
•
SiteProtector Enabled
SiteProtector からのアップライアンスアップデートの入手
SiteProtector からのアップライアンスアップデートの入手
はじめに
アプライアンスは SiteProtector からアップデートを入手することができます。このトピックでは、
この機能を有効にする方法について説明します。
説明
次の場合は、 SiteProtector からアプライアンスアップデートを入手することを推奨します。
始める前に
必要な証明書のコピー
●
主に SiteProtector Console でアプライアンスを管理する場合
●
数多くのアプライアンスがある場合
●
アプライアンスを直接インターネットに接続しない場合
アプライアンスを設定して SiteProtector からアップデートを入手する前に、次の作業を行う必要が
あります。
●
SiteProtector アップデートサーバーのホスト名、 IP アドレス、およびポートを入手する。
●
アプライアンスと SiteProtector アップデートサーバー間の接続のための認証レベルを選択す
る。
●
explicit trust 認証の場合は、このトピックで説明するように、必要な証明書をアプライアンス
にコピーします。
explicit trust 認証のために必要な証明書をコピーするには :
1. SiteProtector X-Press Update Server 上で次の証明書ファイルを探します。
server-rsa.crt
注記 : このファイルは、アップデートサーバー上の次のデフォルトの場所に格納されていま
す。
Program Files\ISS\RealSecure SiteProtector\X-Press Update
Server\webserver\Apache2\conf\ssl.crt
2. Windows Secure Copy などの移行ユーティリティを使用して server-rsa.crt 証明書ファイルをコ
ピーし、アプライアンス上の次のディレクトリに貼り付けます。
/etc
注記 : 移行ユーティリティの実行方法については、ユーティリティの製品マニュアルを参照
してください。
手順
アプライアンスを設定して SiteProtector からアップデートを入手するには :
1. ナビゲーションウィンドウで、 [Maintenance] → [Updates] → [Automatic Settings] の順に選択
します。
注記 : [Export Administration Regulation] ウィンドウが表示された場合は、内容を確認し、
[Yes] を選択してから [Submit] をクリックします。
2. [Alternate Update Server] タブを選択します。
3. [Use Alternate Update Server] オプションを選択し、次のオプションを行います。
オプション
説明
Host or IP
SiteProtector アップデートサーバーの IP アドレスまたは完全修飾ドメイ
ン名を入力します。
Proventia® Network Multi-Function Security Appliance User Guide
117
第 11 章 : アプライアンスのアップデート
オプション
説明
Port
アプライアンスと SiteProtector アップデートサーバーが通信するポート
を入力します。
デフォルト = 3994
Trust Level
次のいずれかを選択します。
•
Trust-all - アプライアンスは、サーバーのデジタル証明書を使用せず
に、 SiteProtector アップデートサーバーとのの接続を常に信頼しま
す。
ヒント : これは、接続を設定する最も簡単な方法です。
•
Explicit-trust - アプライアンスは、サーバーのデジタル証明書を使っ
てサーバーの身元を確認します。アプライアンスに証明書を手動でコ
ピーし、その証明書がアプライアンス上に格納される場所の完全修飾
パスを入力する必要があります。
/etc/server-rsa.crt
ヒント : これは、 trust-all よりさらに安全な接続です。
4. 変更内容を保存します。
118
手動によるアップデートのインストールと削除
手動によるアップデートのインストールと削除
はじめに
次のアップデートを手動でインストールすることができます。
●
フィルタデータベース
●
ファームウェア
●
セキュリティコンテンツ
注記 : アップデート後、アプライアンスを再起動する必要があります。
作業の概要
次の表では、アプライアンスを手動でアップデートする場合の作業について説明します。
作業
説明
1
利用可能なアップデートを検索する
2
アップデートをダウンロードする
3
アップデートをインストールする
表 27: 手動でアプライアンスをアップデートする場合の作業
アップデートの検索
利用可能なアップデートを検索するには :
1. ナビゲーションウィンドウで、 [Maintenance] → [Updates] → [Status] の順に選択します。
注記 : [Export Administration Regulation] ウィンドウが表示された場合は、内容を確認し、
[Yes] を選択してから [Submit] をクリックします。
2. [Find Updates] をクリックします。
3. 次のいずれかを行います。
アップデートのダウン
ロード
次の場合
手順
アップデートがダウンロード可能
[View Available Downloads] をクリックします。
アップデートがインストール可能
[View Available Installs] をクリックします。
利用可能なアップデートをダウンロードするには、次のいずれかを行います。
操作
手順
[Updates Status] ページから
アップデートをダウンロード
する
1. ナビゲーションウィンドウで、 [Maintenance] →
[Updates] → [Status] の順に選択します。
[Updates to Downloads] ペー
ジからアップデートをダウン
ロードする
1. ナビゲーションウィンドウで、 [Maintenance] →
[Updates] → [Available Downloads] の順に選択します。
2. [Download Updates] をクリックします。
注記 :[Export Administration Regulation] ウィンドウが
表示された場合は、内容を確認し、 [Yes] を選択してか
ら [Submit] をクリックします。
2. [Download All Available Updates] をクリックします。
Proventia® Network Multi-Function Security Appliance User Guide
119
第 11 章 : アプライアンスのアップデート
手動によるアップデート
のインストール
アップデートを手動でインストールするには :
1. ナビゲーションウィンドウで、 [Maintenance] → [Updates] → [Available Installs] の順に選択し
ます。
注記 : [Export Administration Regulation] ウィンドウが表示された場合は、内容を確認し、
[Yes] を選択してから [Submit] をクリックします。
2. インストールするアップデートを選択し、 [Install Updates] をクリックします。
注記 : アップデート後、アプライアンスを再起動する必要があります。
アップデートの削除
アップデートの削除は、ロールバックと呼ばれます。次のように削除またはロールバックすること
ができます。
●
最後の不正侵入防御アップデートおよびアップデートパッケージ
●
最後のアンチウィルスアップデートおよびアップデートパッケージ
注記 : ファームウェアアップデートは削除またはロールバックできません。
例
次の例は、累積アップデートによるロールバックプロセスを示します。
作業
説明
1
バージョン 1.1 をインストールします。
2
バージョン 1.2 を省略し、バージョン 1.3 にアップデートします。
3
1.3 のアップデートを削除またはロールバックします。
4
アプライアンスはバージョン 1.1 に戻ります。
表 28: ロールバックプロセスの例
アップデートのロール
バック
アップデートをロールバックするには :
1. ナビゲーションウィンドウで、 [Maintenance] → [Updates] の順に選択します。
2. 次のいずれかを行います。
トラブルシューティング
操作
手順
アンチウィルスアップデー
トをロールバックする
[Rollback Last Update] をクリックし、 [OK] をクリックし
ます。
不正侵入防御アップデートを
ロールバックする
[Rollback Last Update] をクリックし、 [OK] をクリックし
ます。
ファームウェアアップデートの適用後に異常な動作が発生した場合は、次のことを試してくださ
い。
1. Web ブラウザを閉じます。
2. Java キャッシュの消去します。
3. Web ブラウザを再起動し、 Proventia Manager にログオンします。
注記 : Java キャッシュの消去方法については、お使いのオペレーティングシステムのマニュ
アルを参照してください。
120
第 12 章
アプライアンスのバックアップと復元
概要
はじめに
この章では、「スナップショット」バックアップおよびフルシステムバックアップの作成方法につ
いて説明します。
この章の内容
この章では、次のトピックについて説明します。
トピック
ページ
バックアップと復元の設定
122
システムのバックアップと復元
123
アプライアンスファームウェアの再インストール
124
システムツールの操作
127
Proventia® Network Multi-Function Security Appliance User Guide
121
第 12 章 : アプライアンスのバックアップと復元
バックアップと復元の設定
はじめに
設定のバックアップには、
ポリシーやログイン資格情報などのアプライアンス設定だけが含まれま
プ
す。バックアップファイルから設定を復元することができます。バックアップファイルを使用し
て複数のアプライアンスに設定を配布しないでください。 SiteProtector を使用すると、複数のアプ
ライアンスに設定を配布することができます。
FactoryDefault.settings というバックアップファイルには、オリジナルのアプライアンス設定が含ま
れます。オリジナルとは、工場出荷時設定を指します。このファイルは、削除しない限りアプライ
アンス上に保存されます。
推奨事項
アプライアンスを設定したら、その設定をできるだけ早くバックアップする必要があります。設
定をバックアップするまで、 [Restore from Backup] をクリックしないでください。クリックする
と、 FactoryDefault.settings ファイルから設定が復元され、設定が上書きされます。
FactoryDefault.settings ファイルを復元したら、初期セットアッププロセスをもう一度実行し、すべ
てのパスワードをデフォルト値にリセットする必要があります。
制約
次の制約が適用されます。
バックアップと復元
の設定
●
設定のバックアップファイルはモデル固有です。バックアップは、まったく同じモデルのア
プライアンス間でのみ互換性があります。あるモデルをアックアップし、このバックアップを
別のモデルに復元することはできません。
●
アプライアンスには、常に複数のバックアップファイルを格納することができます。
●
アプライアンスを SiteProtector に登録してある場合は、アプライアンス設定をバックアップす
る前に、 SiteProtector からアプライアンスを登録解除する必要があります。
設定をバックアップまたは復元するには :
重要 : ハイアベイラビリティアプライアンスで設定をバックアップまたは復元する場合は、この
手順を使用しないでください。詳細については、「ハイアベイラビリティアプライアンスのバック
アップと復元」 (157 ページ ) を参照してください。
1. ナビゲーションウィンドウで、 [Maintenance] → [Backup and Recovery] の順に選択します。
2. [Settings Backup] タブを確認し、次のいずれかを行います。
操作
設定をバックアップする
手順
1. [Add] アイコンをクリックし、バックアップファイルの名前
を入力します。
2. [Create] をクリックします。
設定を復元する
ファイルを選択し、 [Apply] をクリックします。
バックアップファイル
を削除する
ファイルを選択し、 [Delete] をクリックします。
バックアップファイル
をダウンロードする
ファイルを選択し、 [Download] をクリックします。
バックアップファイル
をアップロードする
1. [Add] をクリックします。
2. ファイル名を入力するか、 [Browse] をクリックしてファイル
を検索します。
3. [Upload] をクリックします。
122
システムのバックアップと復元
システムのバックアップと復元
はじめに
フルシステムバックアップには、アプライアンスのすべてのイメージとそのオペレーティングが
含まれます。バックアップファイルからシステム全体を復元することができます。ファームウェ
アアップデートを適用する前に、常にシステムをバックアップする必要があります。
制約
次の制約が適用されます。
システムのバックアップ
と復元
●
ファームウェアバージョン 1.7 以前のフルシステムバックアップは、ファームウェアバー
ジョン 1.8 以降と互換性がありません。 1.7 から 1.8 以降にアップデートした後、システムを
バックアップする必要があります。
●
アプライアンスには、常に 1 つのフルシステムバックアップファイルを格納することができ
ます。システムをバックアップするときに、既存のバックアップファイルを新しいバック
アップファイルで上書きします。
●
システムをバックアップすると、アプライアンスは数分間オフラインになります。
フルシステムをバックアップまたは復元するには :
重要 : ハイアベイラビリティアプライアンスで設定をバックアップまたは復元する場合は、この
手順を使用しないでください。詳細については、「ハイアベイラビリティアプライアンスのバック
アップと復元」 (157 ページ ) を参照してください。
1. ナビゲーションウィンドウで、 [Maintenance] → [Backup and Recovery] の順に選択します。
2. [Full Backup] タブを確認し、次のいずれかを行います。
目的
作業
オペレーティングシス
テムと設定をバックアッ
プする
[Create System Backup] をクリックします。
オペレーティングシス
テムの復元とバックアッ
プからの設定
注記 : バックアップまたは復元プロセス中は、アプライアンスに
アクセスできません。
1. [Restore from Backup] をクリックし、 OK] をクリックしま
す。
注記 : バックアップまたは復元プロセス中は、アプライアン
スにアクセスできません。
2. Web ブラウザウィンドウをすべて閉じ、 Java キャッシュを
消去します。
すべてのブラウザウィンドウを閉じて、 Java キャッシュを
消去する必要があります。そうしないと、システムを復元し
た後、 Proventia Manager が正しく機能しない場合がありま
す。キャッシュを消去する方法については、オペレーティン
グシステムのマニュアルを参照してください。
3. 5 分間待機してから、アプライアンスにアクセスします。
Proventia® Network Multi-Function Security Appliance User Guide
123
第 12 章 : アプライアンスのバックアップと復元
アプライアンスファームウェアの再インストール
はじめに
このトピックでは、製品に含まれるリカバリ CD からアプライアンスソフトウェアを再インス
トールする方法について説明します。この手順では、次の内容を行います。
●
アプライアンス用の、オリジナルの未設定のソフトウェアをインストールする。
●
ユーザーが定義した設定を、オリジナルのアプライアンス設定で上書きする。
●
オリジナルのデフォルトログイン資格情報を復元する。
■
ユーザー名 = admin
■
パスワード = admin
重要 : この手順は、フィルタデータベースを再インストールしません。アプライアンスが動作可
能になってから、 Proventia Manager でフィルタデータベースを入手することができます。フィル
タデータベース全体をダウンロードするのに、全部で 6 ～ 8 時間かかることがあります。
始める前に
アプライアンスファームウェアを再インストールする前に、次の作業を行う必要があります。
9
説明

再インストールプロセスでアプライアンスに直接接続する PC またはラップトップを選択
する。このコンピュータは、 Pre-boot eXecution (PXE) サーバーと呼ばれます。 Pentium II
以上のほとんどの PC を PXE ブートサーバーとして使用することができます。 PC は、サ
ポートするネットワークインターフェースカードとシリアルポートを持ち、次の要件を満
たす必要があります。
注記 : リカバリ CD は CD から実行し、 PC 上にソフトウェアをインストールしません。
要件 :
•
コンピュータの BIOS 設定は、 CD から再起動できるように設定する必要があります。
詳細については、コンピュータのマニュアルを参照してください。
•
Pentium II またはこれに準拠した CPU
•
64M RAM
•
IDE CD-ROM ドライブ
•
COM1 シリアルポート
•
次のいずれかのネットワークカード :
3Com 3c905C
Intel PRO/100 または PRO/1000
3Com 3c574 または 3Com 3c575
Netgear FA511 または Netgear FA411
Intel PRO/100 S モバイルアダプタ
重要 : ISS では、上記のネットワークカードのみをサポートしています。 Proventia M50 ア
プライアンスは、ネットワークインターフェースカードを自動的に検出します。
ネットワーク上で複数の PXE ブートサーバーが動作している場合は、 Mxx の再インストー
ルを開始する前に接続を切断する必要があります。
表 29: アプライアンスファームウェアを再インストールする前に
124
アプライアンスファームウェアの再インストール
9
説明

製品の同梱物を確認する。
•
リカバリ CD - この CD には、アプライアンス用のオリジナルの未設定ソフトウェアと、
インストール方法の手順が搭載されています。アンチスパムおよび Web フィルタ機能
で使用されるフィルタデータベースは含まれていません。ソフトウェアを再インストー
ルした後、 Proventia Manager でデータベースをインストールすることができます。
•
イーサネットクロスオーバケーブル ( 同梱の赤色のケーブル )
•
シリアルヌルモデムケーブル ( 同梱の青色のケーブル )
重要 : 他のケーブルの使用はサポートしていません。 PC とアプライアンスを接続する 1 本
のケーブルだけが必要です。

アプライアンス設定をバックアップし、リモートの場所にバックアップファイルをダウン
ロードする。
アプライアンスファームウェアを再インストールした後、バックアップファイルから設定
を復元することができます。

ルーティングモード :
次のアプライアンス設定を記録します。
•
すべてのインターフェースの IP アドレス、サブネットマスク、およびデフォルトゲー
トウェイ
•
ホスト名、ドメイン名、および DNS ネームサーバー
トランスペアレントモード :
次の管理インターフェース用のアプライアンス設定を記録します。

•
IP アドレス、サブネットマスク、およびデフォルトゲートウェイ
•
ホスト名、ドメイン名、および DNS ネームサーバー
アプライアンスの電源を切り、付属のケーブル 1 本を使って、コンピュータ (PXE サーバー
) とアプライアンスを直接接続します。
シリアルケーブルとデバイスを次のように接続します。
•
コンピュータ (PXE サーバー ) では、 COM1 というポートを使用します。
•
アプライアンスでは、 Console というポートを使用します。
イーサネットケーブルとデバイスを次のように接続します。
•
コンピュータ (PXE サーバー ) では、イーサネットポートを使用します。
•
アプライアンスでは、 ETH 0 というポートを使用します。
注記 : コンピュータ (PXE サーバー ) とアプライアンスを接続する場合は、アプライアンス
とインターネット間の接続を無効にします。再インストールプロセスを終了する場合は、
インターネット接続を再確立し、アプライアンスアップデートを取得します。
表 29: アプライアンスファームウェアを再インストールする前に ( 続き )
Mx モデル用ファーム
Mx モデル用ファームウェアを再インストールするには :
ウェアの再インストール
1. リカバリ CD を PC またはラップトップの CD-ROM ドライブに挿入し、コンピュータを再起動
します。
注記 : M50 モデルの場合のみ、リカバリ CD をアプライアンス上の CD-ROM デバイスに挿入
し、手順 4 に進みます。
[Proventia Mxx Boot Server CD] 画面に、次のように表示されます。
***You may now boot your Proventia Mxx via the network***
***Starting Terminal Emulator***
Proventia® Network Multi-Function Security Appliance User Guide
125
第 12 章 : アプライアンスのバックアップと復元
***Press Control-G to Exit and Reboot***
2. アプライアンスの電源を入れます。
3. 「Press L to boot from LAN, or press any other key to boot normally」と
表示されたら、 [L] キーを押します。
PXE ブートサーバーにアプライアンスからのステータスメッセージが表示され、ネットワー
ク経由でインストーラが起動します。
4. boot: プロンプトが表示されたら、「reinstall」と入力し、 [ENTER] キーを押します。
5. アプライアンスがソフトウェアを再インストールする間、待機します。
6. インストールが完了したら、 [CTRL] + [g] キーを押して CD を取り出し、通常モードでコン
ピュータを再起動します。
注記 : M50 モデルの場合のみ、アプライアンスはビープ音を鳴らして、リカバリ CD を自動
的に再起動し、取り出します。
次の手順
ソフトウェアを再インストールした後、アプライアンスが動作可能になる前に次の手順を完了する
必要があります。
作業
1
説明
初期セットアッププロセスを完了し、ネットワークにアプライアンスを再接続する。
参照 : 「初期設定」 (25 ページ ) を参照してください。
3
Proventia Manager にアクセスし、バックアップファイルからアプライアンス設定を復
元する ( オプション )。
参照 : 「バックアップと復元の設定」 (122 ページ ) を参照してください。
4
アンチスパムおよび Web フィルタ機能を使用する場合は、フィルタデータベースを入
手する。
Proventia Manager で、 [Maintenance] → [Filter DB] の順に選択し、 [Get Local DB] を
クリックする。このプロセスは、完了するのに 6 ～ 8 時間かかることがあります。
参照 : 「フィルタデータベース」 (210 ページ ) を参照してください。
表 30: ソフトウェアを再インストールした後の次の手順
126
システムツールの操作
システムツールの操作
はじめに
traceroute のプロトコ
ル
このトピックでは、システムツールを使用して接続性を確認し、次を含む保守作業を行う方法に
ついて説明します。
●
アプライアンスを再起動またはシャットダウンする。
●
Traceroute ユーティリティを使用して、コンピュータまたは宛先へのパスに沿って存在するす
べてのルーターをリストアップする。
●
ネットワーク上のコンピュータに ping を打ち、コンピュータへ到達可能かどうか確認する。
●
外部インターフェース上の PPPoE に再接続する。
●
外部インターフェースに対して DHCP リースをリリースまたは更新する。
traceroute ユーティリティに対して、 2 種類のプロトコルを使用することができます。
プロトコル説明
UDP
UNIX の「traceroute」コマンド。 traceroute のプロトコルに UDP を選択した場合、
アプライアンスは対象ホストのランダムなポートに UDP パケットを送信します。
Time to Live (TTL) のフィールドと宛先ポートのフィールドは、「ICMP Port
Unreachable」メッセージが返されるごと、または 30 ホップに達するごとに増え
ていきます。
ICMP
Windows の「tracery」コマンド。 traceroute のプロトコルに ICMP を選択した場
合、 TTL のフィールドと宛先ポートのフィールドは、「ICMP Port Unreachable」
メッセージが返されるごと、または 30 ホップに達するごとに増えていきます。
表 31: Traceroute のプロトコル
ツールの操作
システムツールを使用するには :
1. ナビゲーションウィンドウで、 [Maintenance] → [Tools] の順に選択します。
2. 次のいずれかを行います。
操作
手順
アプライアンスを再起動
する
[Reboot] をクリックします。
アプライアンスを停止し
ます。
[Shutdown] をクリックします。
ping の実行
[Ping] フィールドに、 ping を実行するコンピュータの IP アドレ
スを入力し、 [Submit] をクリックします。
デバイスへのルートをト
レースする
1. [Traceroute] フィールドに、トレースする IP アドレスを入力
します。
2. [Protocol] セクションでプロトコルを選択します。
• UDP (User Datagram Protocol)
• ICMP (Internet Control message Protocol)
3. [Submit] をクリックします。
外部インターフェース上
の PPPoE 接続を再接続
する
[Network Connection] セクションで、 [Reconnect PPPoE
Connection ] の横にある
Proventia® Network Multi-Function Security Appliance User Guide
ボタンをクリックします。
127
第 12 章 : アプライアンスのバックアップと復元
128
操作
手順
外部インターフェースに
対して DHCP リースを
リリースまたは更新する
[Network Connection] セクションで、 [Renew DHCP lease] の横
にある
ボタンをクリックします。
第 13 章
アプライアンスの可用性の維持
概要
はじめに
セキュリティ操作を維持するために、同一のバックアップアプライアンスを配置し、設定するこ
とができます。手動でフェールオーバーしてアプライアンスをバックアップしたり、自動フェール
オーバー機能を有効にすることができます。この機能はハイアベイラビリティと呼ばれ、アプラ
イアンスのルーティングにのみ使用可能です。この章では、プライマリアプライアンスおよび
バックアップアプライアンスを配置し、設定する方法について説明します。
注記 : ハイアベイラビリティ機能を有効にしない場合は、アプライアンスを閉じることができま
せん。
トランスペアレント
フェールオーバー
トランスペアレントアプライアンスは、バックアップアプライアンスにフェールオーバーするこ
ともできますが、この機能の設定プロセスはルーティングアプライアンスの設定プロセスとは異
なります。詳細については、「トランスペアレントアプライアンスのフェールオーバー」 (161 ペー
ジ ) を参照してください。
この章の内容
この章では、次のセクションについて説明します。
セクション
ページ
セクション A: 「ルーティングアプライアンスのハイアベイラビリティ」
131
セクション B: 「トランスペアレントアプライアンスのフェールオーバー」
161
Proventia® Network Multi-Function Security Appliance User Guide
129
第 13 章 : アプライアンスの可用性の維持
130
ルーティングアプライアンスのハイアベ
イラビリティ
セクション A:
概要
はじめに
このセクションでは、ルーティングモードで実行するアプライアンスに対するハイアベイラビリ
ティ機能の設定方法について説明します。
この章の内容
この章では、次のトピックについて説明します。
トピック
ページ
ハイアベイラビリティの概要
132
ハイアベイラビリティの初期設定プロセス
135
必要なポリシーの設定
143
ハイアベイラビリティの IP アドレスとインターフェース
145
ハイアベイラビリティの IP アドレスとインターフェースの操作
149
ハイアベイラビリティでのアプライアンスの管理
151
ハイアベイラビリティ実装のアプライアンスのアップデート
154
ハイアベイラビリティアプライアンスのバックアップと復元
157
ハイアベイラビリティのトラブルシューティング
159
Proventia® Network Multi-Function Security Appliance User Guide
131
第 13 章 : アプライアンスの可用性の維持
ハイアベイラビリティの概要
概要
このトピックでは、ハイアベイラビリティ機能の基本的な概要について説明します。
ハイアベイラビリティ
とは
ハイアベイラビリティとは、バックアップデバイスに自動的にフェールオーバーし、中断しない
セキュリティサービスをネットワークに提供し続けることができるデバイスを指して使用される
用語です。アプライアンスはハイアベイラビリティデバイスです。これは、アプライアンスが第 2
のバックアップデバイスと共に実装され、必要に応じてバックアップデバイスに自動的にフェー
ルオーバーするように設定されることを意味します。ポリシーを含むプライマリアプライアンス
設定がバックアップアプライアンス上に複製されるため、機能を失うことなくフェールオーバー
が行われます。
注記 : この機能は、ルーティングモードで実行中のアプライアンスでのみ利用可能です。アプラ
イアンスをトランスペアレントモードで実行しているときにもフェールオーバー機能を使用した
い場合は、 Spanning Tree Protocol (STP) を設定する必要があります。 STP は、プライマリアプライ
アンスに障害が発生した場合に、トラフィックをセカンダリ ( バックアップ ) アプライアンスに自
動的にリダイレクトする、アプライアンス上の内部ルーティングプロトコルです。詳細について
は、「トランスペアレントアプライアンスのフェールオーバー」 (161 ページ ) を参照してくださ
い。
用語
次の表では、この章で使用する用語を定義します。
用語
説明
プライマリアプライアンス
メインの操作用セキュリティデバイス。
セカンダリアプライアンス
プライマリアプライアンスに障害が発生した場合に、操作を引
き継ぐ受動的なバックアップデバイス。
クラスタ
ハイアベイラビリティ用に接続されて設定された、プライマリ
アプライアンスおよびセカンダリアプライアンスを指します。
ハイアベイラビリティ専用
インターフェース
2 つのデバイス間のアプライアンス同士の直接接続。
ハートビート
プライマリアプライアンスがアクティブであることを示す、プ
ライマリからセカンダリへの信号。
仮想 IP アドレス
クラスタを表す 1 つの IP アドレス。
自動フェールオーバー
プライマリアプライアンスに障害が発生した場合に、第 2 の
バックアップアプライアンスにセキュリティ操作を転送する自
動プロセス。
手動フェールオーバー
セカンダリアプライアンスに操作を強制的にフェールオーバー
させるプロセス
注記 :Force Failover システムツールを使用します。
アプライアンス障害
プライアマリアプライアンスがセカンダリアプライアンスに、
これ以上ハートビート信号を送信できない状態。
表 32: ハイアベイラビリティ用語
132
ハイアベイラビリティの概要
用語
説明
ウォームフェールオーバー
プライマリアプライアンスに障害が発生し、次を含む既存の接
続がすべて切断されると、ウォームフェールオーバーが発生し
ます。
•
FTP
•
VPN
•
他の TCP の固定接続
注記 : セカンダリアプライアンスで再接続する必要があります。
HTTP 接続の場合は、 [F5] キーを押してブラウザを更新し、イン
ターネット接続を再確立してください。
表 32: ハイアベイラビリティ用語 ( 続き )
許可されない作業
ハイアベイラビリティ機能を有効にすると、次の作業を行うことができません。
●
ネットワーク設定の変更
●
Proventia Setup Assistant の実行
セカンダリアプライアンスでは、アプライアンス設定や VPN 設定のオプションにアクセスできま
せん。たとえば、セカンダリアプライアンスでは次のすべてを設定できません。
●
アンチスパム
●
アンチウィルス
●
ファイアウォール
●
ネットワークオブジェクト
●
ネットワークインターフェース
●
パスワード
●
サービス
Proventia® Network Multi-Function Security Appliance User Guide
133
第 13 章 : アプライアンスの可用性の維持
論理図
次の図は、ハイアベイラビリティ実装で使用されるネットワーク設定を示します。
HA Settings
Virtual Gateway : 10.10.100.2
Internet
External VIP: 10.10.100.1
Internal VIP: 192.168.0.1
Ping Node (1): 10.10.100.2
Ping Node (2): 192.168.0.4
Router
Internal IP: 10.10.100.2
10.10.100 .0/30
192 .168 .1.0/30
NOTE: Using non-routable IP addresses for the external
interfaces is not necessary but is recommended as it
reduces the information given to potential attackers.
192.168.2.0/30
Primary
Secondary
eth0: 192 .168 .0.2
eth0: 192.168.0.3
eth1: 192 .168 .1.1
eth1: 192.168.1.2
eth7: 192 .168 .2.1
GW: 192.168.2.2
eth7: 192.168.2.2
192 .168 .0.0/24
GW: 192 .168 .2.1
File Server
IP Address: 192.168.0.4
134
`
`
ハイアベイラビリティの初期設定プロセス
ハイアベイラビリティの初期設定プロセス
はじめに
このトピックでは、プライマリおよびセカンダリアプライアンスを設定するのに必要なプロセス
の概要について説明します。
作業の概要
次の表では、プライマリおよびセカンダリアプライアンスを設定するための作業について説明し
ます。
9
作業

プライマリとセカンダリの両アプライアンスのライセンスを取得し、インストールする。

両アプライアンスを接続する。
参照 : 「ハイアベイラビリティのためのアプライアンスの接続」 (137 ページ ) を参照して
ください。

次のいずれかを行い、アプライアンス上でネットワーク設定を行います。
•
Proventia Setup Assistant を実行する。
•
Proventia Manager を使用する。
次のヒントは、この作業をする場合に役立ちます。
•
プライマリアプライアンスでは、内部インターフェース (INT0) と外部インターフェー
ス (EXT1) のみを設定する。
•
セカンダリアプライアンスのハイアベイラビリティ専用インターフェースをゲートウェ
イに指定する。
参照 : 「ルーティングモードでのインターフェースの管理」 (49 ページ ) を参照してくださ
い。

正しく機能するように、ハイアベイラビリティに必要なポリシーを設定する。
参照 : 「必要なポリシーの設定」 (139 ページ ) を参照してください。

セキュリティゲートウェイの Local ID 設定が仮想 IP アドレスになるように設定する。次の
値は使用しないでください。
•
エイリアス
•
プロキシ ARP を使用する IP アドレス
•
2 番目以降の仮想 IP アドレス
競合するセキュリティゲートウェイは削除し、再度追加する。
参照 : 「セキュリティゲートウェイの設定」 (259 ページ ) を参照してください。

仮想 IP アドレスを参照するように、次を変更する。a
•
ファイアウォールアクセスポリシー
•
ファイアウォールルール
•
アドバンストファイアウォールアプリケーション層ゲートウェイ (ALG) ポリシー
•
VPN 設定
•
外部 DNS エントリ
•
IPSEC ポリシー
•
Network Address Translation (NAT) ポリシー
注記 : この作業は、既存のポリシーを持つ既存のアプライアンスでのみ必要です。
表 33: ハイアベイラビリティを有効にする前に
a.
ポリシーでは Local ID を使用しないでください。これを仮想 IP アドレスに置き換えます。
Proventia® Network Multi-Function Security Appliance User Guide
135
第 13 章 : アプライアンスの可用性の維持
ハイアベイラビリティ
を無効にする前に
ハイアベイラビリティを無効にすると、仮想 IP アドレスを参照するポリシーや他の設定が正しく
機能しなくなります。ハイアベイラビリティ機能を無効にする前に、次の作業を行う必要があり
ます。
9
作業

仮想 IP アドレスを参照するポリシーまたは設定を変更するか、無効にする ( 必須のハイア
ベイラビリティポリシーを含む )。
仮想 IP アドレスを参照するポリシーおよび設定は、ハイアベイラビリティを無効にすると
機能しなくなります。
参照 : 「必要なポリシーの設定」 (139 ページ ) を参照してください。

セキュリティゲートウェイを設定する。
•
セキュリティゲートウェイが仮想 IP アドレス以外の IP アドレスになるように、 Local
ID 設定をリセットする。
•
競合するセキュリティゲートウェイは削除し、再度追加する。
参照 : 「セキュリティゲートウェイの設定」 (259 ページ ) を参照してください。

ポリシー、ネットワーク設定、および他の設定は、アプライアンスがスタンドアロンデバ
イスとして実行するように設定されていることを確認する。a
•
ファイアウォールアクセスポリシー
•
ファイアウォールルール
•
アドバンストファイアウォールアプリケーション層ゲートウェイ (ALG) ポリシー
•
VPN 設定
•
外部 DNS エントリ
•
IPSEC ポリシー
•
Network Address Translation (NAT) ポリシー
表 34: ハイアベイラビリティを無効にする前に
a.
136
スタンドアロンアプライアンスのポリシーまたは設定では、仮想 IP アドレスを使用しないでください。
仮想 IP アドレスは、ハイアベイラビリティ機能が有効になっている場合のみ動作します。
ハイアベイラビリティのためのアプライアンスの接続
ハイアベイラビリティのためのアプライアンスの接続
はじめに
このトピックでは、ハイアベイラビリティのためにプライマリアプライアンスとセカンダリアプ
ライアンスを接続する方法について説明します。
アプライアンスに接続す
る前に
プライマリおよびセカンダリアプライアンスを接続する前に、次の作業を行う必要があります。
アプライアンス間の接続に使用するポートを選択する。
●
両方のアプライアンスで、ポートを同じにする必要があります。
■
INT0 (eth0) または EXT1 (eth1) は使用しないでください。
■
プライマリおよびセカンダリの両方のデバイスで、同じアプライアンスモデルを使用しま
す。
■
インターフェースが専用のプライベートネットワーク上にあることを確認します。これは
インターフェース上の攻撃を阻止します。
■
ユーザーのネットワークトラフィックがインターフェースを通過しないようにします。
プライマリとセカンダリの両アプライアンスの電源が切れていることを確認する。
●
アプライアンスの接続
■
ハイアベイラビリティのためにプライマリおよびセカンダリアプライアンスを接続するには :
作業
1
2
3
説明
内部ネットワークの接続 :
•
内部ネットワークに接続されているスイッチを探す。
•
スイッチにプライマリアプライアンスとセカンダリアプライアンスを接続する。
•
接続には、アプライアンスインターフェース ETH 0 を使用する。
外部ネットワークの接続 :
•
外部ネットワークに接続されているスイッチを探す。
•
スイッチにプライマリアプライアンスとセカンダリアプライアンスを接続する。
•
接続には、アプライアンスインターフェース ETH 1 を使用する。
プライマリとセカンダリの接続 :
•
両方のアプライアンスのインターフェースをハイアベイラビリティ専用インター
フェースに指定する。このインターフェースは、ポート 2 ( プライマリ ) とポート
2 ( セカンダリ ) のように、両方のデバイスで同じにする必要があります。
•
接続用のイーサネットクロスオーバーケーブルを調達する。
•
イーサネットクロスオーバーケーブルでアプライアンスを接続する。
•
接続用に指定されたインターフェースを使用する。
注記 : 接続には標準のイーサネットケーブルを使用することができますが、 2 つのアプ
ライアンス間にスイッチを置いて、アプライアンスとスイッチを接続する必要がありま
す。標準のイーサネットケーブルは、 2 つのアプライアンス間の直接接続では機能しま
せん。
4
次の手順 :
•
プライマリアプライアンスで初期設定プロセスを完了させる。
•
セカンダリアプライアンスで初期設定プロセスを完了させる。
表 35: ハイアベイラビリティのためのアプライアンスの接続
Proventia® Network Multi-Function Security Appliance User Guide
137
第 13 章 : アプライアンスの可用性の維持
物理ネットワーク図
次の図は、ハイアベイラビリティ用に実装された 2 つのアプライアンス間の正しいケーブル接続
を示します。この例では、スイッチと標準のイーサネットケーブルが、アプライアンス上の内部
および外部インターフェースを接続するのに使用されます。クロスオーバーイーサネットケーブ
ルは、アプライアンスを直接接続するのに使用されます。
注記 : アプライアンス上のポート数はモデルによって異なりますが、ハイアベイラビリティのた
めのケーブル配線要件は同じままです。たとえば、アプライアンス間の接続では、両方のアプライ
アンスで同じポートを使用する必要があります。この図は、 M30 モデルの場合を示します。この
図では、両方のアプライアンスのポート ETH 0、 ETH 1、および ETH 2 がケーブル接続のために
使用されます。
Internet
Physical Connections
1: Primary External (EXT 1)
2: Secondary External (EXT 1)
3: Primary Internal (INT 0)
Router
4: Secondary Internal (INT 0)
HA: High Availability
External Switch
Primary Node
1
2
Secondary Node
HA
3
4
Internal Switch
LAN
図 4: ハイアベイラビリティのためのケーブル接続とインターフェース
138
必要なポリシーの設定
必要なポリシーの設定
はじめに
ネットワークオブジェ
クト
このトピックでは、ハイアベイラビリティに必要なポリシーと次の内容について説明します。
●
ネットワークオブジェクト
●
アクセスポリシー
●
ネットワークアドレス変換ルール
次の表では、必須のネットワークオブジェクトについて説明します。
ネットワークオブジェクト
説明
Cluster_IPAddresses
プライマリとセカンダリの両方のアプライアンスで有効になって
いる、次を含むすべてのインターフェースの IP アドレス範囲を
示します。
HA_Net_IPAddresses
•
HA インターフェース
•
仮想 IP アドレス
HA インターフェースの静的 IP アドレス範囲のみを示します。
表 36: ハイアベイラビリティに必要なネットワークオブジェクト
必須ポリシー
次の表では、必須ポリシーを一覧します。
名前
アク
ション
プロトコ
ル
発信元アド
レスa
発信元
ポート
宛先アドレ
ス
宛先ポート
Allow policy
synchronization over
HA network (HA ネッ
トワークでのポリ
シーの同期を許可す
る)
Allow
TCP
HA_Net_
IPAddresses
Any
Self
2998
説明 : このポリシーは、アプライアンスがポリシーや他の設定を同期することを許可します。こ
のポリシーは、プライマリおよびセカンダリアプライアンスで必須です。
Allow UDP heartbeat
on all enabled
interfaces ( すべての
有効なインター
フェースで UDP ハー
トビートを許可する )
Allow
UDP
Cluster_IP_
Addresses
Any
Self
694
説明 : このポリシーは、すべてのインターフェース上でアプライアンスからの必須のハートビー
ト信号を許可します。このポリシーは、プライマリおよびセカンダリアプライアンスで必須で
す。
表 37: ハイアベイラビリティの必須ポリシー
Proventia® Network Multi-Function Security Appliance User Guide
139
第 13 章 : アプライアンスの可用性の維持
名前
アク
ション
プロトコ
ル
発信元アド
レスa
発信元
ポート
宛先アドレ
ス
宛先ポート
Allow secondary
appliance updates
over HA network (HA
ネットワークでのセ
カンダリアプライア
ンスのアップデート
を許可する )
Allow
TCP
HA_Net_
IPAddresses
Any
Any
Any
説明 : このポリシーは、セカンダリアプライアンスがアップデートを受信することを許可しま
す。このポリシーは、プライマリアプライアンスでのみ必要です。両方のアプライアンスが自
動的にポリシーと設定を同期すると、プライマリアプライアンスはセカンダリアプライアンス
上にこのポリシーを複製します。
表 37: ハイアベイラビリティの必須ポリシー ( 続き )
a.
必須の NAT ルール
これらのポリシー中の発信元アドレスは、必須 IP アドレスをまとめて示すネットワークオブジェクトで
す。 HA_Net_IPAddresses は、 HA インターフェースの静的 IP アドレス範囲のみを示し、
Cluster_IP_Addresses は、 HA インターフェースや仮想 IP アドレスなどの、有効なインターフェースの IP
アドレス範囲を示します。
次の表は、必須のネットワークアドレス変換 (NAT) ルールについて説明します。
プロトコル発信元アド
レスa
発信元ポー宛先アドレス
ト
宛先ポート
変換済みアドレス
Any
None
Any
Single IP Address
ñ 外部仮想 IP アド
レスを使用
HA_Net_
IPAddresses
Any
説明 : このルールは、セカンダリアプライアンスがアップデートを受信できるように、セカンダ
リアプライアンスの発信元の NAT アドレスを指定します。
注記 : このルールは、プライマリアプライアンスでのみ必要です。両方のアプライアンスが自動
的にポリシーと設定を同期すると、プライマリアプライアンスはセカンダリアプライアンス上
にこのポリシーを複製します。
表 38: ハイアベイラビリティの必須 NAT ルール
a.
このルールの発信元アドレスは、 HA インターフェースの静的 IP アドレス範囲のみをまとめて示す
HA_Net_IPAddresses と呼ばれるネットワークオブジェクトです。
重要 : Hide NAT Source Rule と呼ばれる NAT ルールがデフォルトで有効になっており、すべてのプ
ライベート IP アドレスが eth1 インターフェースの IP アドレスに変換されます。ハイアベイラビ
リティ設定の場合は、 Hide NAT Source Rule を編集する必要があります。 IP アドレスエントリを
HA クラスタの仮想 IP アドレスに変更してください。
ポリシーとハイアベイ
ラビリティ
ハイアベイラビリティ実装は、少なくとも 2 つのアプライアンスで構成されます。
●
プライマリ - このアプライアンスは、メイン操作用のセキュリティデバイスとして機能しま
す。
●
セカンダリ ( バックアップ ) - このアプライアンスは、プライマリアプライアンスに障害が発生
した場合に、操作を引き継ぐ受動的なバックアップデバイスとして機能します。
この機能が正しく機能するために、 2 つのアプライアンスは、 2 つの静的 IP アドレスではなく、 1
つの仮想 IP アドレスで表示されます。仮想 IP アドレスは、ハイアベイラビリティ機能がアプライ
140
必要なポリシーの設定
アンス上で有効になっている場合のみ動作します。この機能が無効になっている場合は動作しませ
ん。
アプライアンスのすべてのポリシーは、仮想 IP アドレスのほかに次の内容も参照する必要があり
ます。
●
アプライアンスアクセスポリシー
●
ファイアウォールアクセスポリシー
●
IPSEC ポリシー
●
NAT ポリシー
●
ALG ポリシー
重要 : 2 つのアプライアンスのハイアベイラビリティ機能を有効にする前に、すべてのポリシー
が仮想 IP アドレスを参照していることを確認してください。そうしないと、アプライアンスはハ
イアベイラビリティ実装でトラフックを正しくルーティングできず、トラフィックが中断されま
す。
Proventia® Network Multi-Function Security Appliance User Guide
141
第 13 章 : アプライアンスの可用性の維持
ハイアベイラビリティの有効化と無効化
はじめに
このトピックでは、アプライアンスのハイアベイラビリティを有効または無効にする方法につい
て説明します。このトピックの情報は、ルーティングモードで実行するアプライアンスにのみ当
てはまります。
ハイアベイラビリティ
を有効にする前に
ハイアベイラビリティを有効にする前に、この章で説明した準備作業や設定作業を完了させる必
要があります。詳細については、次のトピックを参照してください。
ハイアベイラビリティ
の有効化
●
「ハイアベイラビリティの初期設定プロセス」 (135 ページ )
●
「必要なポリシーの設定」 (139 ページ )
●
「ハイアベイラビリティの設定」 (143 ページ )
ハイアベイラビリティを有効にするには :
1. ブラウザを開き、プライマリアプライアンスの固有の内部 IP アドレス (Proventia Manager) に
進みます。
2. プライマリアプライアンスのナビゲーションウィンドウで、 [Configuration] → [System] →
[High Availability] の順に選択します。
3. [Base Configuration] タブを選択し、 [Enabled] チェックボックスをオンにします。
4. [Save Changes] をクリックします。
5. ナビゲーションパネルで [Home] を選択し、次のステータス情報を確認します。
High Availability Active Status is Running.
ハイアベイラビリティ
を無効にする前に
ハイアベイラビリティを無効にする前に、この章で説明した準備作業や設定作業を完了させる必
要があります。詳細については、「ハイアベイラビリティの初期設定プロセス」 (135 ページ ) を参
照してください。
ハイアベイラビリティ
の無効化
ハイアベイラビリティを無効にするには :
1. ブラウザを開き、次のいずれかに進みます。
■
プライマリアプライアンスの静的 IP アドレス
■
クラスタの仮想 IP アドレス
2. プライマリアプライアンスのナビゲーションウィンドウで、 [Configuration] → [System] →
[High Availability] の順に選択します。
3. [Base Configuration] タブを選択し、 [Enabled] チェックボックスをオフにします。
4. [Save Changes] をクリックします。
5. ナビゲーションパネルで [Home] を選択し、次のステータス情報を確認します。
High Availability Active Status is Stopped.
142
ハイアベイラビリティの設定
ハイアベイラビリティの設定
はじめに
このトピックでは、ハイアベイラビリティの基本設定を行い、その機能を有効にする方法につい
て説明します。この手順は、アプライアンスがルーティングモードになっている場合のみ行うこ
とができます。
重要 : この操作は、プライマリアプライアンスでのみ行う必要があります。
基本設定
プライマリアプライアンスで基本設定を行うには :
1. プライマリアプライアンスのナビゲーションウィンドウで、 [Configuration] → [System] →
[High Availability] の順に選択します。
2. [Base Configuration] タブを選択し、次のように入力します。
オプション
説明
Enabled
このオプションを選択します。
HA interface Name
一覧からインターフェースを選択します。
注記 : このインターフェースは、プライマリおよびセカンダリア
プライアンスとクロスオーバーイーサネットケーブルを直接接
続するインターフェースです。
Dead Timeout ( ミリ秒
単位 )
Shared Secret
次のガイドラインを使用してこの値を設定します。
•
値を小さくすると、問題が発生してからアプライアンスが
バックアップアプライアンスにフェールオーバーするまでの
時間が短縮されます。
•
小さな値を使用すると、ネットワーク通信量が増加したとき
にアプライアンスがフェールオーバーする可能性があります。
•
デフォルト値はテスト済みであり、ほとんどの場合すべての
アプライアンスで有効です。
•
デフォルト値を微調整します。
•
デフォルト = 30000 ミリ秒 (30 秒 )
この文字列はアプライアンス間で共有されます。このフィールド
は必須です。
プライマリアプライアンスとセカンダリアプライアンス間で共
有されるシークレットテキスト文字列。
注記 : このテキスト文字列は 16 ～ 64 文字にしてください ( ス
ペースを含めない )。
Virtual Gateway
これは、アプライアンスの外部ゲートウェイの IP アドレスです。
3. 次の作業を行います。
タブ
Virtual IP Addresses
手順
1. [Add] アイコンをクリックします。
2. デフォルト設定の [Enabled] を承諾します。
3. ドロップダウンリストから [Interface Name] を選択します。
4. [ IP address] に IP アドレスを入力し、 [OK] をクリックしま
す。
Proventia® Network Multi-Function Security Appliance User Guide
143
第 13 章 : アプライアンスの可用性の維持
タブ
Monitor IP Addresses
手順
1. [Add] アイコンをクリックします。
2. デフォルト設定の [Enabled] を承諾します。
3. デバイスの IP アドレスを入力し、 [OK] をクリックします。
注記 : この IP アドレスはオプションです。
Alternate Node
Interfaces
1. [Add] アイコンをクリックし、セカンダリアプライアンスの
次の情報を入力します。
インターフェース名
IP アドレス
2. [OK] を選択します。
4. ナビゲーションパネルで [Home] を選択し、次のステータス情報を確認します。
High Availability Active Status is Running.
144
ハイアベイラビリティの IP アドレスとインターフェース
ハイアベイラビリティの IP アドレスとインターフェース
はじめに
必須 IP アドレス
このトピックでは、ハイアベイラビリティ用のインターフェースと IP アドレスについて、次の内
容を含めて説明します。
●
仮想 IP アドレス
●
監視 IP アドレス
●
代替ノードインターフェース
次の要件が適用されます。
●
プライマリアプライアンスとセカンダリアプライアンスの両方の内部インターフェースは、
静的 IP アドレスを持っている必要があります。
●
プライマリアプライアンスとセカンダリアプライアンスの両方の外部インターフェースは、
DHCP および PPPoE をサポートしません。
●
プライマリアプライアンスとセカンダリアプライアンスで有効になっているインターフェー
スは、少なくとも 1 つの仮想 IP アドレスを持っている必要があります。
●
仮想 IP アドレスは、他のアプライアンスインターフェースやネットワーク上に存在できませ
ん。
●
ハイアベイラビリティインターフェースは、静的 IP アドレスにする必要があります。
例
この例では、プライマリおよびセカンダリアプライアンスを次のように設定します。
●
内部インターフェース = 1 つの静的 IP アドレス
●
外部インターフェース = 1 つの静的 IP アドレス
●
ハイアベイラビリティインターフェース = 1 つの静的 IP アドレス
●
内部 = 1 つの仮想 IP アドレス
●
外部 = 1 つの仮想 IP アドレス
注記 : このアドレスは仮想ゲートウェイ IP アドレスでもあります。
仮想 IP アドレス
アプライアンスがハイアベイラビリティで配置されると、クライアントは仮想 IP アドレスを使っ
てアプライアンスと通信します。これらのアドレスは、両方のアプライアンスで設定されますが、
プライマリアプライアンスでのみ有効になります。この設定は、プライマリアプライアンスのみ
がネットワークトラフィックをルーティングすることを保証します。プライマリアプライアンス
は、フェールオーバーが発生するまで仮想 IP アドレスを所有しています。その時点で、セカンダ
リアプライアンスは仮想 IP アドレスを所有しています。
ハイアベイラビリティ管理作業は、仮想 IP アドレスのみを使用して行う必要があります。次の作
業を行う場合は、固有の IP アドレスを使って各アプライアンスに個別に接続することができます。
●
ファームウェアアップデートをインストールする場合
●
システムのバックアップを実行する場合
●
システムバックアップから復元する場合
Proventia® Network Multi-Function Security Appliance User Guide
145
第 13 章 : アプライアンスの可用性の維持
監視 IP アドレス
監視 IP アドレスは、外部および内部の接続を監視するために使用できるオプション機能です。次
の表では、監視プロセスについて説明します。
段階
説明
1
HA クラスタの外部にある別のネットワークデバイスの IP アドレスを指定します。こ
れが監視 IP アドレスです。
2
指定したデバイスは、 ICMP エコー要求パケットをアプライアンスに送信し、ユーザー
が定義した時間までその応答を待機します。この時間はデッドタイムアウトと呼ばれ
ます。
3
送信デバイスが指定した時間内に応答を受信した場合、そのアプライアンスは動作中で
あると見なされます。
送信デバイスが指定した時間内に応答を受信しなかった場合、そのアプライアンスは障
害が発生していると見なされます。
4
プライマリ HA アプライアンスはセカンダリアプライアンスを調査し、どちらのアプ
ライアンスが接続可能なネットワークデバイス数が多いかを判断します。
5
プライマリアプライアンスの方が少ない場合は、フェールオーバーが発生します。
表 39: 監視プロセス
監視 IP アドレスの選択
146
次のガイドラインは、監視 IP アドレスを選択する場合に役立ちます。
●
外部接続を監視する場合は、ルーターなどの Proventia クラスタの EXT1 (eth1) 側にあるデバイ
ス、または他の IP アドレスを指定可能なデバイスを選択します。
●
内部接続を監視する場合は、ファイルサーバーやドメインコントローラなどの、信頼性が高
く、平均的なトラフィックを維持しているネットワークに接続されたデバイスを選択します。
●
トラフィック負荷の高い Web サーバー、メールサーバー、その他のデバイスは、監視 IP アド
レスの候補にふさわしくありません。
●
ネットワークトラフィック量の混雑時に正常に機能するルーターやマネージドスイッチなど
のハードウェアデバイスは、監視 IP アドレスの候補に適しています。
●
ハイアベイラビリティを有効にした後で、監視 IP アドレスを追加または削除する場合は、ハ
イアベイラビリティを無効にしてから変更を行う必要があります。
●
ハイアベイラビリティを有効にする前に信頼できるデバイスを選択することで、不要なダウ
ンタイムを回避します。
ハイアベイラビリティの IP アドレスとインターフェース
図 : 監視 IP 物理ネット
ワーク図
次の物理ネットワーク図では、監視 IP デバイスを含む、一般的な HA 実装シナリオを示します。
図 5: 監視 IP の物理的な実装例
Proventia® Network Multi-Function Security Appliance User Guide
147
第 13 章 : アプライアンスの可用性の維持
図 : 監視 IP 論理ネット
ワーク図
次の例は、監視 IP を使用した標準的なハイアベイラビリティクラスタの論理ネットワーク図を示
します。
図 6: 監視 IP 論理ネットワーク図
代替ノードインター
フェース
148
代替ノードインターフェースは、 HA クラスタの他のアプライアンスに関する IP 情報を提供しま
す。代替ノード上のすべてのアクティブなインターフェース (HA インターフェースを含む ) に関
する IP 情報を入力する必要があります。
ハイアベイラビリティの IP アドレスとインターフェースの操作
ハイアベイラビリティの IP アドレスとインターフェースの操作
はじめに
このトピックでは、ハイアベイラビリティ用の次の種類の IP アドレスとインターフェースを追
加、編集、コピー、および削除する方法について説明します。
●
仮想 IP アドレス
●
監視 IP アドレス
●
代替ノードインターフェース
重要 : HA を有効にした後で、監視 IP アドレスを追加または削除する場合は、 HA を無効にしてか
ら変更を行う必要があります。不要なダウンタイムを回避するには、 HA を有効にする前に、明ら
かに信頼できるデバイスを選択することが重要です。
IP アドレスとインター
フェースの操作
仮想 IP アドレスまたは代替ノードインターフェースを追加、編集、コピー、または削除するには
:
1. ナビゲーションウィンドウで [Configuration] → [System] → [High Availability] の順に選択し
ます。
2. [Base Configuration] タブを選択し、次のいずれかを行います。
操作
仮想 IP アドレスを追加
する
手順
1. [Virtual IP Addresses ] タブを選択し、 [Add] アイコンをク
リックします。
2. デフォルト設定の [Enabled] を承諾します。
3. ドロップダウンリストから [Interface Name] を選択します。
4. [ IP address] に IP アドレスを入力し、 [OK] をクリックしま
す。
5. [Save Changes] をクリックします。
監視 IP アドレスの追加
1. [Monitor IP Addresses] タブを選択し、 [Add] アイコンをク
リックします。
2. デフォルト設定の [Enabled] を承諾します。
3. デバイスの IP アドレスを入力し、 [OK] をクリックします。
4. [Save Changes] をクリックします。
代替ノードを追加する
1. [Alternate Node Interfaces] タブを選択し、 [Add] アイコン
をクリックします。
2. セカンダリアプライアンスに関する次の情報を追加し、 [OK]
をクリックします。
インターフェース名
IP アドレス
3. [Save Changes] をクリックします。
次を変更します。
1. いずれかのタブを選択し、タブ上のエントリを選択します。
•
仮想 IP アドレス
2. [Edit] アイコンをクリックします。
•
監視 IP アドレス
3. この項目を編集し、 [OK] をクリックします。
•
代替ノード
4. [Save Changes] をクリックします。
Proventia® Network Multi-Function Security Appliance User Guide
149
第 13 章 : アプライアンスの可用性の維持
操作
次をコピーします。
•
仮想 IP アドレス
•
監視 IP アドレス
•
代替ノード
手順
1. いずれかのタブを選択し、エントリを選択します。
2. [Copy] アイコン (
(
) をクリックし、 [Paste] アイコン
) をクリックします。
3. [Save Changes] をクリックします。
150
次を削除します。
1. いずれかのタブを選択し、エントリを選択します。
•
仮想 IP アドレス
2. [Remove] アイコンをクリックします。
•
監視 IP アドレス
3. [Save Changes] をクリックします。
•
代替ノード
ハイアベイラビリティでのアプライアンスの管理
ハイアベイラビリティでのアプライアンスの管理
はじめに
このトピックでは、ハイアベイラビリティでアプライアンスをアップデートする場合の要件と推
奨事項について説明します。
アップデートの要件
アップデートの要件は、次のとおりです。
ステータス情報の表示
●
アプライアンスごとに手動でファームウェアアップデートを適用する必要があります。
●
アプライアンス上の自動ファームウェアアップデートを有効にすることはできません。
●
プライマリアプライアンスとセカンダリアプライアンスの両方に、同じバージョンのファー
ムウェアを適用します。
●
プライマリアプライアンスとセカンダリアプライアンスのファームウェアを、同じバージョ
ンにする必要があります。
●
アプライアンスごとにセキュリティコンテンツとデータベースの自動アップデートを有効に
することができます。
ハイアベイラビリティ機能を持つアプライアンスのステータス情報を表示するには :
1. ナビゲーションウィンドウで [Home] を選択します。
2. 次のステータス情報を確認します。
HA ステータス
説明
High Availability Mode
HA 機能のステータス。
High Availability Node Name
High Availability Operating As
High Availability Active Status
•
Enabled
•
Disabled
アプライアンスのノード名。形式は次のとおりです。
hostname.ipaddress
アプライアンスの HA ロール。
•
Unknown
•
Primary
•
Secondary
プライマリアプライアンスのステータス。
•
Running
•
Stopped
•
Not configured
•
Not installed
•
Unknown
表 40: ハイアベイラビリティステータス情報
Proventia® Network Multi-Function Security Appliance User Guide
151
第 13 章 : アプライアンスの可用性の維持
HA ステータス
説明
High Availability Secondary
Status
ハイアベイラビリティ機能が有効になっている場合、この
統計値はプライマリアプライアンス上でのみ表示されます。
これは、セカンダリアプライアンスのステータスです。オ
プションは次のとおりです。
•
Unknown
•
Running
•
Stopped
•
Failure
表 40: ハイアベイラビリティステータス情報 ( 続き )
SiteProtector でのクラ
スタの管理
SiteProtector Console でハイアベイラビリティクラスタを管理することができます。コンソールは、
クラスタを 1 つのアプライアンスとして表示し、 1 つの仮想 IP アドレスでクラスタを追跡します。
コンソールでクラスタからのイベントを表示するとき、イベントソースは仮想 IP アドレスです。
重要 : コンソールでクラスタのネットワーク設定を変更しないでください。
ハイアベイラビリティクラスタに対して SiteProtector による管理を有効にする前に、ハイアベイ
ラビリティを設定して有効にするためのプロセスを完了する必要があります。
注記 : ハイアベイラビリティを設定した時点で、セカンダリアプライアンスが既に SiteProtector
に登録されている場合は、次の作業を行う必要があります。
■
ハイアベイラビリティを設定して有効にするためのプロセスを完了する。
■
SiteProtector からアプライアンスを登録解除する。
アプライアンスのステータスは、 SiteProtector Console で「offline」と表示されます。
152
SiteProtector でのハイアベイラビリティアプライアンスの管理
SiteProtector でのハイアベイラビリティアプライアンスの管理
はじめに
このトピックでは、 SiteProtector でのハイアベイラビリティアプライアンスの管理方法について説
明します。 SiteProtector Agent Manager から HA アプライアンスを管理する場合は、仮想 IP アドレ
スを参照します。 SiteProtector では、 HA クラスタが 1 つのエンティティまたはエージェントとし
て表示されます
セカンダリアプライアンスが既に SiteProtector Agent Manager に登録されている場合は、
SiteProtector からセカンダリアプライアンスを登録解除する前に HA を有効にする必要がありま
す。 HA を有効にすると、アプライアンスは重複し、ステータスは SiteProtector Console で「offline」
と表示されます。
考慮すべき事項
次の点を考慮してください。
●
SiteProtector インターフェースの HA クラスタの構成では、 Proventia Manager インターフェー
スと同じ CPE およびポリシーコンポーネントを使用します。
●
SiteProtector は、発信元に HA 仮想 IP アドレスを持つ HA クラスタからイベントを受け取りま
す。
●
HA クラスタのネットワーク設定を変更しないでください。 SiteProtector で変更を行った場合
は、エラーメッセージを回避するためにその変更を取り消す必要があります。
●
SiteProtector は仮想 IP アドレスで識別して、 HA クラスタを 1 つのアプライアンスと見なしま
す。 SiteProtector は、一方のアプライアンスから他方のアプライアンスへのフェールオーバー
を検知しません。
●
アプライアンス上ですべてのネットワーク設定と HA 設定を有効にした後、 HA アプライアン
スクラスタに対する SiteProtector による管理を有効にします。
●
セカンダリアプライアンスが既に SiteProtector Agent Manager に登録されている場合は、
SiteProtector からセカンダリアプライアンスを登録解除する前に HA を有効にする必要があり
ます。 HA を有効にすると、アプライアンスは重複し、ステータスは SiteProtector Console で
「offline」と表示されます。
Proventia® Network Multi-Function Security Appliance User Guide
153
第 13 章 : アプライアンスの可用性の維持
ハイアベイラビリティ実装のアプライアンスのアップデート
はじめに
このトピックでは、ハイアベイラビリティ実装のプライマリアプライアンスとセカンダリアプラ
イアンスをアップデートする方法について説明します。
参照 : ウィルスシグネチャおよびフィルタデータベース用のアップデートの削除または自動アッ
プデートの設定方法については、「アプライアンスのアップデート」 (111 ページ ) を参照してくだ
さい。
要件
作業の概要
プライマリアプライアンスとセカンダリアプライアンスをアップデートするときに適用するのは、
次の要件です。
●
アプライアンスごとに手動でファームウェアアップデートを適用する必要があります。アプ
ライアンスで自動ファームウェアアップデートを有効にすることはできません。
●
プライマリアプライアンスとセカンダリアプライアンスの両方に、同じバージョンのファー
ムウェアを適用します。
●
プライマリアプライアンスとセカンダリアプライアンスのファームウェアを、同じバージョ
ンにする必要があります。
●
両方のアプライアンスで、ウィルス定義およびフィルタデータベース用の自動アプライアン
スアップデートを有効にすることができます。
●
アプライアンスのアップデートは、通常の業務時間外に行う必要があります。
次の表では、プライマリアプライアンスとセカンダリ ( バックアップ ) アプライアンスでファーム
ウェアをアップデートする場合の作業について説明します。
注記 : このプロセス中に、 2 つのブラウザを同時に開くことができます。 1 つはプライマリアプラ
イアンス用で、もう 1 つはセカンダリアプライアンス用です。プロセス中にプライマリアプライ
アンスとセカンダリアプライアンスを切り替えることが容易になります。
作業
アプライア
ンス
説明
1
プライマリ
ブラウザを開き、プライマリアプライアンスの固有の内部 IP アドレスを
入力します。
注記 : 仮想 IP アドレスは使用しないでください。
2
3
プライマリ
プライマリ
自動アップデートで設定されたプライマリアプライアンスですか。
•
そうである場合は、 [Maintenance] → [Updates] → [Updates to
Install] の順に選択し、アップデートが一覧されていることを確認しま
す。
•
そうでない場合は、 [Maintenance] → [Updates] → [Available
Downloads, ] の順に選択し、 [ Download All Available Updates] を
選択します。
1. ナビゲーションウィンドウで、 [Maintenance] → [Tools] の順に選択
します。
2. [Failover ] をクリックして、セカンダリアプライアンスにフェール
オーバーします。
表 41: プライマリアプライアンスとセカンダリ ( バックアップ ) アプライアンスのアップデート
作業
154
ハイアベイラビリティ実装のアプライアンスのアップデート
作業
アプライア
ンス
4
セカンダリ
説明
1. ブラウザを開き、セカンダリアプライアンスの固有の内部 IP アドレ
スを入力します。
2. ナビゲーションパネルで [Home] を選択し、次のステータスを確認し
ます。
High Availability Operating As is Primary.
5
プライマリ
ブラウザを開き、プライマリアプライアンスの固有の内部 IP アドレスを
入力します。
注記 : 仮想 IP アドレスは使用しないでください。
6
1. ナビゲーションウィンドウで、 [Maintenance] → [Backup and
Recovery] の順に選択します。
プライマリ
2. [Full Backup] タブを選択し、 [Create System Backup] をクリックし
ます。
3. 画面上の指示に従います。
7
1. ナビゲーションウィンドウで、 [Maintenance] → [Updates] →
[Available Installs] の順に選択します。
プライマリ
2. すべてのアップデートをインストールします。
8
1. ナビゲーションウィンドウで、 [Maintenance] → [Updates] の順に選
択します。
プライマリ
2. [Review History] タブを選択し、アップデートが正常にインストール
されたことを確認します。
9
セカンダリ
ブラウザを開き、セカンダリアプライアンスの固有の内部 IP アドレスを
入力します。
注記 : 仮想 IP アドレスは使用しないでください。
10
11
セカンダリ
セカンダリ
自動アップデートで設定されたセカンダリアプライアンスですか。
•
そうである場合は、 [Maintenance] → [Updates] → [Updates to
Install] の順に選択し、アップデートが一覧されていることを確認しま
す。
•
そうでない場合は、 [Maintenance] → [Updates] → [Available
Downloads, ] の順に選択し、 [ Download All Available Updates] を
選択します。
1. ナビゲーションウィンドウで、 [Maintenance] → [Tools] の順に選択
します。
2. [Failover ] をクリックして、プライマリアプライアンスにフェール
バックします。
12
プライマリ
1. ブラウザを開き、プライマリアプライアンスの固有の内部 IP アドレ
スを入力します。
2. ナビゲーションパネルで [Home] を選択し、次のステータスを確認し
ます。
High Availability Operating As is Primary.
表 41: プライマリアプライアンスとセカンダリ ( バックアップ ) アプライアンスのアップデート
作業 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
155
第 13 章 : アプライアンスの可用性の維持
作業
アプライア
ンス
説明
13
セカンダリ
ブラウザを開き、セカンダリアプライアンスの固有の内部 IP アドレスを
入力します。
注記 : 仮想 IP アドレスは使用しないでください。
14
セカンダリ
1. ナビゲーションウィンドウで、 [Maintenance] → [Backup and
Recovery] の順に選択します。
2. [Full Backup] タブを選択し、 [Create System Backup] をクリックし
ます。
3. 画面上の指示に従います。
15
セカンダリ
1. ナビゲーションウィンドウで、 [Maintenance] → [Updates] →
[Available Installs] の順に選択します。
2. すべてのアップデートをインストールします。
16
セカンダリ
1. ナビゲーションウィンドウで、 [Maintenance] → [Updates] の順に選
択します。
2. [Review History] タブを選択し、アップデートが正常にインストール
されたことを確認します。
表 41: プライマリアプライアンスとセカンダリ ( バックアップ ) アプライアンスのアップデート
作業 ( 続き )
156
ハイアベイラビリティアプライアンスのバックアップと復元
ハイアベイラビリティアプライアンスのバックアップと復元
はじめに
このトピックでは、ハイアベイラビリティアプライアンスをバックアップおよび復元する場合の
制約と推奨事項について説明します。
ハイアベイラビリティと通常のアプライアンスのバックアップおよび復元手順は、同じです。ハ
イアベイラビリティ実装の場合は、バックアップおよび復元作業を、プライマリアプライアンス
上で行う必要があります。これらの作業を行うためにプライマリアプライアンスにアクセスする
場合は、プライマリアプライアンスの静的 IP アドレスではなく、仮想 IP アドレスを使用する必要
があります。
参照 : バックアップおよび復元プロセスについては、「アプライアンスのバックアップと復元」
(121 ページ ) を参照してください。
制約
次の制約が適用されます。
●
プライマリアプライアンス上で設定をバックアップし、復元する必要があります。
注記 : ハイアベイラビリティ機能は、プライマリアプライアンスとセカンダリアプライアン
スの設定を同期します。セカンダリアプライアンスを再起動すると、セカンダリアプライア
ンスは自動的にプライマリアプライアンスから設定を取得します。
●
ハイアベイラビリティ機能を持たないアプライアンスから、ハイアベイラビリティが有効に
なっているアプライアンスに設定を復元することはできません。
推奨事項
プライマリアプライアンスとセカンダリアプライアンスを個別にバックアップしてから、両方の
アプライアンスでハイアベイラビリティを設定して有効にすることを推奨します。
アプライアンスのバック
アップ
次の表は、ハイアベイラビリティアプライアンスのバックアップ作業について説明します。
作業
アプライア
ンス
説明
1
セカンダリ
ブラウザを開き、セカンダリアプライアンスの固有の内部 IP アドレスに
進みます。
注記 : 仮想 IP アドレスは使用しないでください。
2
セカンダリ
フルシステムをバックアップします。
3
セカンダリ
Home ページに進み、次のステータスを確認します。
High Availability Active Status is Running.
4
プライマリ
ブラウザを開き、プライマリアプライアンスの固有の内部 IP アドレスに
進みます。
注記 : 仮想 IP アドレスは使用しないでください。
5
プライマリ
プライマリアプライアンスで HA 機能が正常に動作していることを確認
するには、 Home ページの [System Status] セクションに進み、 [High
Availability Active Status] が「Running」になっていることを確認しま
す。
6
プライマリ
ナビゲーションウィンドウで、 [Maintenance] → [Tools] の順に選択し、
をクリックすると、セカンダリアプライアンスにフェール
オーバーします。
表 42: ハイアベイラビリティ実装におけるアプライアンスのバックアップ作業
Proventia® Network Multi-Function Security Appliance User Guide
157
第 13 章 : アプライアンスの可用性の維持
作業
アプライア
ンス
説明
7
プライマリ
フルシステムをバックアップします。
8
クラスタ
ブラウザを開き、内部仮想 IP アドレスに移動します。
9
プライマリ
Home ページに進み、次のステータスを確認します。
High Availability Active Status is Running
表 42: ハイアベイラビリティ実装におけるアプライアンスのバックアップ作業 ( 続き )
アプライアンスの復元
次の表は、ハイアベイラビリティ実装のアプライアンスの復元作業について説明します。
作業
アプライア
ンス
説明
1
プライマリ
ブラウザを開き、プライマリアプライアンスの固有の内部 IP アドレスに
進みます。
注記 : 仮想 IP アドレスは使用しないでください。
2
プライマリ
ナビゲーションウィンドウで、 [Configuration] →[System] → [High
Availability] の順に選択し、 [HA Enabled] ボックスをオフにします。
注記 : この作業によって、両方のアプライアンスで HA 機能が無効化され
ます。
3
プライマリ
プライマリアプライアンス上にシステムバックアップを復元します。
4
セカンダリ
セカンダリアプライアンス上にシステムバックアップを復元します。
5
両方
ハイアベイラビリティ設定を再設定する。
参照 : 「アプライアンスの可用性の維持」 (129 ページ ) を参照してくださ
い。
表 43: ハイアベイラビリティ実装におけるアプライアンスの復元作業
158
ハイアベイラビリティのトラブルシューティング
はじめに
このトピックの情報は、 HA 設定のトラブルシューティングを行う場合に使用します。
問題点と解決法
次の表では、ハイアベイラビリティで発生する可能性のある問題点の解決法について説明します。
問題点
アプライアンスのハードド
ライブまたは他のハードウェ
アコンポーネントに障害が
発生している
解決法a
1. アプライアンスを交換し、新しいアプライアンスを設定しま
す。
2. ケーブルを接続します。
3. ナビゲーションウィンドウで [Configuration] → [System]
の順に選択します。
4. [Restore Secondary] をクリックしてハイアベイラビリティ
設定を最初期化します。
アプライアンスソフトウェ
アが正常に動作しない
1. アプライアンスのケーブルを取り外します。
2. 製品に同梱されているリカバリ CD からソフトウェアを再イ
ンストールします。
3. アプライアンスを再設定します。
4. ケーブルを接続します。
5. ナビゲーションウィンドウで [Configuration] → [System]
の順に選択します。
6. [Restore Secondary] をクリックしてハイアベイラビリティ
設定を再初期化します。
ソフトウェアは正常に動作し
ているが、ハイアベイラビ
リティ設定に問題がある
1. アプライアンス間のクロスオーバーケーブルを取り外し、も
う一度接続します。
2. ナビゲーションウィンドウで [Configuration] → [System]
の順に選択します。
3. [Restore Secondary] をクリックしてハイアベイラビリティ
設定を再初期化します。
表 44: ハイアベイラビリティのトラブルシューティング
a.
これらの手順で問題を解決できない場合、詳細については、この章のトピック「テクニカルサポートにつ
いて」 (8 ページ ) および「テクニカルサポートについて」 (8 ページ ) を参照してください。
Proventia® Network Multi-Function Security Appliance User Guide
159
第 13 章 : アプライアンスの可用性の維持
160
概要
トランスペアレントアプライアンスの
フェールオーバー
セクション B:
概要
はじめに
このトピックでは、トランスペアレントモードで実行するアプライアンスでフェールオーバー機
能を有効にする方法について説明します。
このセクションの内容
このセクションでは、次のトピックについて説明します。
トピック
ページ
トランスペアレントモードでのフェールオーバー
162
トランスペアレントアプライアンスのフェールオーバーの有効化
165
Proventia® Network Multi-Function Security Appliance User Guide
161
第 13 章 : アプライアンスの可用性の維持
トランスペアレントモードでのフェールオーバー
はじめに
用語
このトピックでは、次の内容について説明します。
●
用語の説明
●
作業の概要
●
この機能に必要な接続図
次の表では、このトピックで使用する用語を定義します。
用語
説明
ブリッジ ID
どちらのアプライアンスがプライマリであるかを判断します。
最小の MAC アドレス
ブリッジ ID を判断します。
ループ
アプライアンス間に複数のアクティブパスがある場合、ネットワー
ク内で発生します。
ルートブリッジ
プライマリアプライアンス ( 最小の MAC アドレスを持つアプライア
ンスもa )
Spanning Tree Protocol
アプライアンスに対して次の 1 組の冗長パスを維持し、ネットワーク
ループを排除する、ブリッジ管理プロトコル。
•
動作可能なアプライアンスへのプライマリパス
•
バックアップアプライアンスへのバックアップパス
パスを確立するために、プロトコルは次の作業を行います。
•
広範囲なネットワークにあるすべてのスイッチの橋渡しをするツ
リーを作成する。
•
冗長パスまたはバックアップパスとして知られるリンクを、強制
的にブロックされたスタンバイ状態にする。
•
2 つのネットワークデバイス間で、一度に 1 つのアクティブパス
( プライマリパス ) のみを許可する。
動作可能なアプライアンスへのプライマリパスに障害が発生すると、
STP プロトコルは自動的にバックアップアプライアンスへのバック
アップパスをアクティブにします。バックアップアプライアンスへ
のこの自動的なリルーティングは、 STP ベースフェールオーバー b
と呼ばれます。
注記 : 場合によっては、 STP がプライマリパスとバックアップパス
を両方とも許可し、ネットワーク上でループを引き起こす可能性があ
ります。
表 45: Spanning Tree Protocol の用語
a.
2 つのアプライアンスのうち、最小の MAC アドレスを持つアプライアンスはルートブリッジです。この
アプライアンスに障害が発生した場合は、他のアプライアンスがルートブリッジになります。
b. STP ベースフェールオーバーは常に自動で行われます。手動で強制的にトランスペアレントモードに
フェールオーバーすることはできません。
162
トランスペアレントモードでのフェールオーバー
作業の概要
次の表は、トランスペアレントモードで実行するアプライアンスにフェールオーバーを設定する
場合に必要な作業について説明します。
作業
1
説明
プライマリアプライアンスの設定 :
•
アプライアンスをインストールする。
•
1 本のケーブルで 1 つのインターフェースを接続する。
•
Proventia Setup Assistant を実行して、アプライアンスをトランスペアレントモー
ドに設定する。
注記 : 管理のために、一意の IP アドレスを割り当ててください。
2
セカンダリアプライアンスの設定 :
•
アプライアンスをインストールする。
•
1 本のケーブルで 1 つのインターフェースを接続する。a
•
Proventia Setup Assistant を実行して、アプライアンスをトランスペアレントモー
ドに設定する。b
注記 : 管理のために、一意の IP アドレスを割り当ててください。
3
プライマリアプライアンスの STP 設定 :
•
プライマリアプライアンスで STP を設定する。
参照 : 「トランスペアレントアプライアンスのフェールオーバーの有効化」 (165 ペー
ジ ) を参照してください。
4
セカンダリアプライアンスの STP 設定 :
•
セカンダリアプライアンスで STP を設定する。
参照 : 「トランスペアレントアプライアンスのフェールオーバーの有効化」 (165 ペー
ジ ) を参照してください。
表 46: トランスペアレントモードアプライアンスにフェールオーバーを設定する場合の作業
a.
プライマリアプライアンスとセカンダリアプライアンスを、スイッチ、ブリッジ、ハブなどの Spanning
Tree Protocol が有効になっているデバイスに接続します。 STP に準拠しないデバイスは使用しないでくだ
さい。フェールオーバー防御は、 STP に準拠しないデバイス上では動作せず、この機能をサポートしませ
ん。詳細については、次の物理ネットワーク図を参照してください。
b. この機能が正常に機能するように、プライマリアプライアンスの設定は、セカンダリアプライアンス上
に手動で複製される必要があります。
Proventia® Network Multi-Function Security Appliance User Guide
163
第 13 章 : アプライアンスの可用性の維持
物理ネットワーク図
次の図は、 STP ベースのフェールオーバー防御のために配置された 2 つのアプライアンスの正しい
ケーブル接続を示します。
注記 : STP ベースのフェールオーバー防御のための 2 つのアプライアンス間の直接接続はありませ
ん。この種類の防御は、プライマリアプライアンスが使用できない場合に、バックアップアプラ
イアンスに自動的にトラフィックをリルーティングする、ルーティングプロトコル設定に依存し
ます。
Internet
Physical Connections
1: Primary External (EXT 1)
2: Secondary External (EXT 1)
Router
3: Primary Internal (INT 0)
4: Secondary Internal (INT 0)
External Switch
Node A
1
3
2
4
Internal Switch
LAN
164
Node B
トランスペアレントアプライアンスのフェールオーバーの有効化
トランスペアレントアプライアンスのフェールオーバーの有効化
はじめに
このトピックでは、プライマリアプライアンスに障害が発生したときに、トラフィックがバック
アップアプライアンスに自動的にルーティングされるように、トランスペアレントアプライアン
スでの Spanning Tree Protocol の設定方法について説明します。
注記 : この作業を、まずプライマリアプライアンスで実行し、次にセカンダリアプライアンスで
行う必要があります。
要件
STP ベースのフェールオーバー機能は、次の要件を満たす、少なくとも 2 つのアプライアンスが必
要です。
●
各アプライアンスは、固有の識別子 ( 通常はアプライアンスの MAC アドレスに優先度値を加
えたもの ) を持っている必要があります。
●
アプライアンスの各ポートは、固有の識別子 ( 通常はポートの MAC アドレス ) を持っている必
要があります。
●
各ポートは、コストに関連付けられる必要があります。
注記 : コストは、ルート上の使用可能な帯域幅などの要素を示します。プロトコルはコスト
を考慮して、ネットワーク上のルートを選択します。
作業の概要
次の表では、トランスペアレントアプライアンスにフェールオーバーするための STP の設定作業
について説明します。
段階
1
説明
ルートブリッジを選択します。
最小の優先度値を割り当てられたブリッジが、ルートブリッジとなります。これは、
接続されているすべての LAN における、ルートブリッジ機能を実行する唯一のブリッ
ジです。
2
ルートポートを選択します。
各ブリッジは、ルートブリッジへの接続に使用するルートポートを特定します。ルー
トポートには、最小のパスコストが割り当てられます。
3
各 LAN の指定ブリッジを選択します。
指定ブリッジは、ルートブリッジに対する最小のコスト値を伴うパスを持ちます。指
定ブリッジは、その LAN からルートブリッジへパケットを転送します。
4
各ブリッジの指定ポートを選択します。
これは、 LAN 上の各ブリッジが指定ブリッジへの接続に使用するポートです。
表 47: STP のプロセス
STP の設定
トランスペアレントアプライアンスでフェールオーバー用の STP 設定を行うには :
1. ナビゲーションウィンドウで [Configuration] → [System] → [Network] → [Interfaces] の順に
選択します。
2. [Spanning Tree Protocol Enabled] チェックボックスをオンにします。
Proventia® Network Multi-Function Security Appliance User Guide
165
第 13 章 : アプライアンスの可用性の維持
3. 次のように入力し、変更内容を保存します。
フィールド
説明
Maximum Age (secs)
アプライアンスが待機状態に切り替わるまでの、インターフェー
ス上での Hellow パケットの最大待機時間を設定します。
設定可能値 = 6 ～ 39
166
Hello Time (secs)
Hello ブロードキャストメッセージの最大間隔を秒単位で設定し
ます。アプライアンスは、動作中であることを示すために Hello
ブロードキャストメッセージを送信します。
Forward Delay (secs)
アプライアンスが転送状態から待機状態に切り替わる場合、それ
ぞれの状態での待機時間を秒単位で設定します。
Aging Delay (secs)
アプライアンスが動的に学習した転送情報をエージアウトするま
での最大待機時間を秒単位で設定します。
パート III
®
機能の設定
第 14 章
ファイアウォールの設定
概要
はじめに
正しく設定されると、ファイアウォールはプライベートネットワークへのアクセスを制限し、プ
ライベートネットワークの制限付き領域にユーザーがアクセスできないようにすることもできま
す。さらに、ファイアウォールは次の機能を備えています。
●
パケットフィルタリング - ファイアウォールは、発信元 IP アドレス、宛先 IP アドレス、プロ
トコル、他のユーザー定義ルールなどの情報に基づいてトラフィックをフィルタリングしま
す。
●
ネットワークアドレス変換 - ファイアウォールは、ユーザーが定義した設定に基づいてネッ
トワークに出入りするときに、トラフィック中の IP アドレスを変換します。ネットワーク内
のプライベート IP アドレスを非公開にし、プライベートネットワーク内のすべてのデバイス
に対して 1 つのパブリック IP アドレスを与えることが可能です。
●
アプリケーション層トラフィックフィルタリング - ファイアウォールは、ユーザーが定義し
たルールに基づいて、電子メールトラフィック (SMTP および POP3)、 Web トラフィック
(HTTP)、およびファイル転送トラフィック (FTP) をフィルタリングします。
参照 : ファイアウォールの監視と、関連するステータス、イベント、および統計値の詳細な説明
については、オンラインヘルプを参照してください。
ネットワークオブジェ
クト
すべてのファイアウォールポリシーで名前付きのネットワークオブジェクトを使用することがで
きます。ファイアウォールを設定する前に、ネットワークオブジェクトを定義する必要がありま
す。詳細については、「ネットワークオブジェクトの定義」 (87 ページ ) を参照してください。
この章の内容
この章では、次のトピックについて説明します。
トピック
ページ
ファイアウォールルーティングにおけるトラフィックの許可と拒否
171
トランスペアレントファイアウォールでのトラフィックの許可と拒否
174
ファイアウォールイベントのアラートとロギングの有効化
178
アプリケーション層でのトラフィックのフィルタリング
180
アシンメトリックリダイレクションの設定
183
トランスペアレントファイアウォールでのローカルルーターの定義
183
ネットワークアドレス変換
187
インバウンドとアウトバウンドの IP アドレスの変換
190
Proventia® Network Multi-Function Security Appliance User Guide
169
第 14 章 : ファイアウォールの設定
トピック
ポートアドレス変換
170
ページ
195
ファイアウォールルーティングにおけるトラフィックの許可と拒否
はじめに
ファイアウォールは、アクセスポリシーを使用して、インターフェースを出入りするトラフィッ
クとインターフェースに接続したネットワークの処理方法を決定します。このトピックでは、効果
的なアクセスポリシーを定義するのに役立つ情報を提供します。
注記 : ファイアウォールアクセスポリシーは、通常、ネットワークを防御するための大規模戦略
の一部です。
許可と拒否
アクセスポリシーは、ファイアウォールに対して次の命令を明確に定義します。
●
許可するトラフィック - アクセスポリシーは、ファイアウォールの通過を許可するトラ
フィックの種類を明確に記述します。たとえば、 Web サーバーに対して HTTP 接続と HTTPS
接続だけを許可することができます。
●
拒否するトラフィック - アクセスポリシーは、ファイアウォールの通過を拒否するトラ
フィックの種類を明確に記述します。たとえば、プライベートネットワーク内のサーバーへ
のファイル転送 (FTP) 接続を拒否することができます。
アウトバウンドとインバ上記の例からわかるように、ファイアウォールアクセスポリシーは許可または拒否するトラ
フィックを定義するだけでなく、トラフィックの方向にも関係しています。一部のポリシーでは、
ウンド
インバウンドトラフィックの処理方法を定義し、その他はアウトバウンドトラフィックの処理方
法を定義します。
発信元と宛先
効果的なポリシー
●
アウトバウンド - これらのポリシーは、ネットワークを出るトラフィックに関係しています。
たとえば、ユーザーがインターネットにアクセスできるように Web ページ要求の送信を許可
する必要があるかもしれませんが、プライベートネットワークに Web サーバーをホストして
いない場合は、 Web ページ要求の受信を許可したくないかもしれません。
●
インバウンド - これらのポリシーは、ネットワークに入るトラフィックに関係しています。た
とえば、ユーザーが社外の他のドメインから電子メールを取得できるように、電子メールト
ラフィックの受信を許可する必要があるかもしれません。
最終的にアクセスポリシーは、ネットワーク内のデバイスがトラフィックを送受信できる、特定
の制御を提供します。ポート情報は、さらに、トラフィック制御をデバイス上の特定の通信チャネ
ルに制限します。ポートは、デバイス上の無形のアプリケーションやサービスを参照する傾向があ
りますが、 IP アドレスは物理デバイスを参照する傾向があります。
●
発信元 - アクセスポリシーの発信元は、ファイアウォールを通過するトラフィックを送信で
きるデバイスまたはネットワークを定義します。たとえば、販売ネットワーク内のデバイスが
顧客調査のために Web にアクセスすることを許可することはできますが、会計ネットワーク
内のデバイスがインターネットにアクセスすることは拒否します。ポリシーに発信元ポート情
報を追加すると、特定の通信チャネルで発生するようにデバイスの外向きの通信をさらに制限
します。
●
宛先 - アクセスポリシーの宛先は、ファイアウォールを通過するトラフィックを受信できる
デバイスまたはネットワークを定義します。たとえば、インターネットからメールトラ
フィックを受信する内部メールサーバーを許可し、他のすべてのデバイスを拒否することが
できます。このポリシーは、プライベートネットワークのユーザーに送信される前に、ウィ
ルスやスパムをスキャンする専用サーバーに受信メールを隔離するための大規模戦略の一部で
す。ポリシーに宛先ポート情報を追加すると、特定の通信チャネルで発生するようにデバイス
の内向きの通信をさらに制限します。
ここで示す例は、アクセスポリシーの主な機能を簡単に説明しています。効果的なアクセスポリ
シー設定は、ファイアウォールがセキュリティ要件、顧客、および内部ユーザーのニーズに適応す
ることを保証するために綿密な計画を必要とする複雑な作業です。また、アクセスポリシーは、
設計どおりに機能し続け、セキュリティとネットワークの要件を満たすことを保証するために継続
的なテスト、分析、および調整も必要です。
Proventia® Network Multi-Function Security Appliance User Guide
171
第 14 章 : ファイアウォールの設定
ネットワークオブジェ
クト
ファイアウォールポリシーの発信元または宛先としてネットワークオブジェクトを指定すること
ができます。ネットワークオブジェクトについては、「ネットワークオブジェクトの定義」
(87 ページ ) を参照してください。
トラフィックを許可する
ポリシーの定義
デバイスとネットワーク間のトラフィックを許可するアクセスポリシーを定義するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Access Policy] タブで [Add] アイコンをクリックします。
3. 次のタブに入力し、 [OK] をクリックして変更内容を保存します。
タブ
Access Policy
説明
1. [Enabled] を選択してポリシーを適用します。
2. [Add] アイコンをクリックし、 [Allow] を選択します。
3. [Log Enabled] を選択してこのポリシーに関連するセキュリティイベ
ントを記録します。
4. [comment] に、ポリシーのコメントまたは説明を入力します。
Protocol
ファイアウォールは、ここで指定したトラフィックの種類を許可します。
トラフィック ( プロトコル ) を入力または選択します。
Source
Address
ファイアウォールは、ここで指定した IP アドレスまたはネットワークか
ら発信されるトラフィックを許可します。発信元アドレスを選択または入
力します。
Source Port
ファイアウォールは、送信デバイスまたはネットワーク上のこのポートか
らトラフィックが発信されると、そのトラフィックを許可します。複数の
ポートを指定することができます。発信元ポートを選択または入力しま
す。
Destination
Address
ファイアウォールは、ここで指定した IP アドレスまたはネットワークに
トラフィックが送信されると、そのトラフィックを許可します。宛先アド
レスを選択または入力します。
Destination
Port
ファイアウォールは、受信デバイスまたはネットワーク上のこのポートに
トラフィックが送信されると、そのトラフィックを許可します。複数の
ポートを指定することができます。宛先ポートを選択または入力します。
4. [OK] をクリックし、変更内容を保存します。
トラフィックを拒否する
ポリシーの定義
デバイスとネットワーク間のトラフィックを拒否するアクセスポリシーを定義するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Access Policy] タブで [Add] アイコンをクリックします。
3. 次のタブに入力し、 [OK] をクリックして変更内容を保存します。
タブ
Access Policy
説明
1. [Enabled] を選択してポリシーを適用します。
2. [Add] アイコンをクリックし、 [Reject] を選択します。
3. [Log Enabled] を選択してこのポリシーに関連するセキュリティイベ
ントを記録します。
4. [comment] に、コメントまたはポリシーの説明を入力します。
172
ファイアウォールルーティングにおけるトラフィックの許可と拒否
タブ
説明
Protocol
ファイアウォールは、ここで指定したトラフィックの種類を拒否します。
トラフィック ( プロトコル ) の種類を入力または選択します。
Source
Address
ファイアウォールは、ここで指定した IP アドレスまたはネットワークか
ら発信されるトラフィックを拒否します。 IP アドレスを選択または入力
します。
Source Port
ファイアウォールは、送信デバイスまたはネットワーク上のこのポートか
ら発信されるトラフィックを拒否します。複数のポートを指定することが
できます。発信元ポートを選択または入力します。
Destination
Address
ファイアウォールは、ここで指定した IP アドレスまたはネットワークに
トラフィックが送信されると、そのトラフィックを拒否します。宛先アド
レスを選択または入力します。
Destination
Port
ファイアウォールは、受信デバイス上のこのポートにトラフィックが送信
されると、そのトラフィックを拒否します。複数のポートを指定すること
ができます。宛先ポートを選択または入力します。
4. [OK] をクリックし、変更内容を保存します。
アクセスポリシーの操
作
アクセスポリシーを編集、コピー、または削除するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Access Policy] タブを選択します。
3. 次のいずれかを行い、変更内容を保存します。
操作
アクセスポリシーを編
集する
手順
1. アクセスポリシーを選択し、 [Edit] アイコンをクリックしま
す。
2. ポリシーを編集し、 [OK] をクリックします。
アクセスポリシーをコ
ピーする
1. アクセスポリシーを選択し、 [Copy] アイコン (
リックします。
2. [Paste] アイコン (
) をク
) をクリックします。
3. 必要に応じてポリシーを編集し、 [OK] をクリックします。
アクセスポリシーを削
除します。
ポリシーを選択し、 [Remove] アイコンをクリックします。
Proventia® Network Multi-Function Security Appliance User Guide
173
第 14 章 : ファイアウォールの設定
トランスペアレントファイアウォールでのトラフィックの許可と拒否
はじめに
トランスペアレントモードでは、ファイアウォールは次の 2 つの技法を使用してトラフィックを
フィルタリングします。
●
MAC アドレスフィルタリング - アプライアンスは、ファイアウォールを通過するトラフィッ
クを送受信できるデバイスの、ユーザーが定義した MAC アドレスリストを保持しています。
許可されていないデバイスからのトラフィックは拒否されます。 MAC アドレスは、デバイス
のネットワークインターフェースカード (NIC) の固有のハードウェアアドレスです。
●
プロトコルフィルタリング ñ アプライアンスは、第 2 層でネットワークに出入りできるプロ
トコルを制御することができます。
このトピックでは、これらの種類のアクセスルールの設定方法と、トランスペアレントアプライ
アンスのデフォルトアクセスポリシーについて説明します。
アクセス制御の有効化
トランスペアレントファイアウォールでアクセス制御を有効にするには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Layer Two Access Control] タブを選択します。
3. 次のいずれかを行い、変更内容を保存します。
有効にするアクセス制御手順
MAC ベースのアクセス
ポリシーの追加
プロトコルアクセス制
御
[Protocol Access Control Enabled] チェックボックスをオンに
します。
MAC アドレスアクセス
制御
[MAC Access Control Enabled] チェックボックスをオンにしま
す。
トランスペアレントファイアウォールで MAC アドレスベースのアクセスポリシーを追加するに
は:
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Layer Two Access Control] タブを選択し、 [MAC Address Control] セクションの [Add] アイコ
ンをクリックします。
3. 次のように入力し、 [OK] をクリックして変更内容を保存します。
174
オプション
説明
Name
ルールの名前を入力します。
Enabled
ルールを適用する場合は、このオプションを選択します。
Log Enabled
ファイアウォールでこのルールに関連するイベントのログを記録
する場合は、このオプションを選択します。
Comment
ルールのコメントまたは説明を入力します。
トランスペアレントファイアウォールでのトラフィックの許可と拒否
オプション
説明
Protocol Classification
[Protocol ] セクションで、次の分類のいずれかを選択し、一覧か
ら 1 種類を選択します。
•
Ethertype based on DIX frame format
• IPV4
• IPV6
• ARP
• RARP
•
SAP based on LLC 802.2 Value
• NetBEUI
• SNA
•
SNAP based on SNAP Values
• IPV4
• IPV6
• ARP
• RARP
注記 : これらのフィールドの値を 16 進数で入力することができ
ます。使用可能な値については、 RFC 1010 を参照してくださ
い。
プロトコルベースアク
セスポリシーの追加
トランスペアレントファイアウォールでプロトコルベースのアクセスポリシーを追加するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Layer Two Access Control] タブを選択し、 [Protocol Access Rule] セクションの [Add] アイコン
をクリックします。
3. 次のように入力し、 [OK] をクリックして変更内容を保存します。
第 2 層のアクセスルー
ルの操作
オプション
説明
Name
ルールの名前を入力します。
Enabled
ポリシーを適用する場合は、このオプションを選択します。
MAC Address
トランスペアレントファイアウォールを通過するトラフィック
を送受信できるデバイスの MAC アドレスを入力します。
Log Enabled
ファイアウォールでこのポリシーに関連するイベントのログを記
録する場合は、このオプションを選択します。
Comment
ポリシーのコメントまたは説明を入力します。
プロトコルアクセスルールや MAC アドレスアクセスルールを含むアクセスルールを編集、コ
ピー、または削除するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Layer Two Access Control] タブを選択します。
Proventia® Network Multi-Function Security Appliance User Guide
175
第 14 章 : ファイアウォールの設定
3. 次のいずれかを行い、変更内容を保存します。
操作
手順
1. アクセスルールを選択し、[Edit] アイコンをクリックします。
アクセスルールを編集
する
2. このルールを編集し、 [OK] をクリックします。
アクセスルールをコ
ピーする
1. アクセスルールを選択し、 [Copy] アイコンをクリックしま
す。
2. [Paste] アイコンをクリックします。
3. このルールを編集し、 [OK] をクリックします。
アクセスルールを削除
する
デフォルトアクセスポ
リシー
アクセスルールを選択し、 [Remove] アイコンをクリックしま
す。
次の表では、トランスペアレントモードのデフォルトで有効および無効になっているアクセスポ
リシーについて説明します。
名前
アク
ション
プロトコ
ル
発信元アドレ
ス
発信元
ポート
宛先アドレス
Allow HTTPS from
CORPTRANS to
appliance
Allow
HTTPS
CORPTRANS
Any
Self
宛先ポート
説明 : このポリシーは、アプライアンスと同じサブネットにあるデバイスからアプライアンスへ
の Web アクセスを許可します。サブネットの外部のデバイスへの Web アクセスを許可するに
は、追加のルーターごとにアドレス名 ( ネットワークオブジェクト ) を作成し、ポリシーの発信
元アドレスリストにそのアドレス名を追加します。
Allow SSH traffic
from
CORPTRANS to
appliance
Allow
SSH
CORPTRANS
Any
Self
説明 : このポリシーは、アプライアンスと同じサブネットにあるデバイスからアプライアンスへ
の安全なリモートアクセス (SSH) を許可します。
Allow traffic to and
from the
CORPTRANS
subnet through the
appliance
Allow
Any
CORPTRANS
Any
CORPTRANS Any
説明 : このポリシーは、 CORPTRAN サブネットに出入りするすべてのトラフィックを許可しま
す。
Allow SNMP_TCP
and SNMP_UDP
traffic from any
source address to
the appliance
Allow
SNMP_
TCP
CORPTRANS
Any
CORPTRANS Any
SNMP_
UDP
説明 : このポリシーは、任意の発信元からアプライアンスへの TCP および UDP ベースデバイ
スの管理トラフィック (SNMP) を許可します。このポリシーは、セキュリティ上の脆弱点となる
ため、デフォルトでは無効になっています。デバイス管理のためにこのポリシーを一時的に有効
にし、後で無効にすることを推奨します。
表 48: トランスペアレントモードのデフォルトポリシーの説明
176
トランスペアレントファイアウォールでのトラフィックの許可と拒否
名前
アク
ション
プロトコ
ル
発信元アドレ
ス
発信元
ポート
宛先アドレス
宛先ポート
Allows BOOTPS
and BOOTPC
broadcast
messages from
any source
address to the
appliance
Allow
BOOTPS
Any
Any
Self
Any
BOOTPC
説明 : このポリシーは、任意の発信元アドレスからアプライアンスへのブロードキャストメッ
セージ (BOOTPS および BOOTPC) を許可します。
Reject all
broadcast traffic to
appliance
Deny
Broadcast
traffic
Any
Any
Self
Any
説明 : このポリシーは、任意の発信元アドレスからアプライアンスへのブロードキャストトラ
フィックをすべて拒否します。
Rejects all
Deny
broadcast traffic
from the appliance
Broadcast
traffic
Any
Any
Any
Any
説明 : このポリシーは、アプライアンスから任意の宛先へのブロードキャストトラフィックをす
べて拒否します。
表 48: トランスペアレントモードのデフォルトポリシーの説明 ( 続き )
アクセスポリシーの移
行
アップグレードすると、システムはプロセスの過程で既存のファイアウォールポリシーを自動的
に移行します。正しい設定と機能性のために、アップグレード後に移行したアクセスポリシーを
詳細に確認することを推奨します。移行したアクセスポリシーには、廃止予定の設定や新しい機
能に置き換えられた設定が含まれる場合があります。廃止予定の設定は引き続き機能しますが、今
後のポリシーと一致しない可能性があります。読み取り専用の [Deprecated] タブでは、廃止予定の
設定を含んでいるポリシーの横に次のインジケータが表示されます。
設定
説明
Deprecated
このチェックボックスは、ポリシーが廃止予定の設定を含んでいることを示
します。変更することを推奨します。
Direction
このフィールドに次のいずれかが表示されている場合、アクセスポリシーの
方向性の設定は廃止予定であり推奨できません。
•
Inbound
•
Outbound
アクセスポリシーは、デフォルトでネットワーク上のインバウンドとアウト
バウンドの両方のトラフィックに適用されます。移行されたファイアウォール
ルールがインバウンドまたはアウトバウンドの一方のネットワークトラ
フィックだけに適用されていた場合、この設定は廃止予定の非推奨設定です。
NAT Enabled
このチェックボックスは、アクセスポリシーが NAT ポリシーに関連付けられ
ていることを示します。変更することを推奨します。 NAT ポリシーはグロー
バルであり、個別のアクセスポリシーに関連付けることはできません。
Name
このフィールドには、このアクセスポリシーに関連付けられた NAT リストの
名前が表示されます。
表 49: 廃止予定の設定
Proventia® Network Multi-Function Security Appliance User Guide
177
第 14 章 : ファイアウォールの設定
ファイアウォールイベントのアラートとロギングの有効化
はじめに
イベントが発生すると、システムは電子メール、ネットワークメッセージ (SNMP トラップ )、ま
たは SiteProtector Console で警告を発することができます。さらに、そのイベントのログも記録し
ます。このトピックでは、イベントのアラートとロギングを有効にする方法について説明します。
ガイドライン
大量のイベントが予測される場合は、選択するアラートとロギングの種類を慎重に検討することを
推奨します。大量のアラートとログエントリには、かなりの保存領域と処理能力が必要です。
始める前に
アラートを有効にする前に、アラートを受信する方法に応じて、次の作業を行う必要があります。
●
ネットワーク管理サービス (SNMP トラップ ) を有効にする。
参照 : 「ネットワーク管理サービス (SNMP) の有効化」 (86 ページ ) を参照してください。
●
メールによるアラートを設定する。
参照 : 「メールによるアラートの設定」 (103 ページ ) を参照してください。
●
アプライアンスを SiteProtector に登録し、アプライアンスで SiteProtector による管理を有効に
する。
参照 : 「SiteProtector でのアプライアンスの管理とアップデート」 (105 ページ ) を参照してく
ださい。
ファイアウォールイベ
ント
次のファイアウォールイベントに対して、アラートとロギングを有効にすることができます。
●
Syn フラッドイベントが発生したとき
このイベントは、何者かが、コンピュータの処理速度を超える速さで複数の TCP 接続要求を
コンピュータに送信するときに発生します。コンピュータは正当な接続要求を受け入れず、
サービス不能状態になります。
●
Ping of Death イベントが発生したとき
何者かが ping コマンドを実行して、受信コンピュータの記憶容量が処理できるよりもサイズ
の大きいパケットを送信すると、このイベントが発生します (65535 バイトを超える長さ )。受
信コンピュータは断片化されたパケットを受信しますが、無意識のうちにパケットを再構築し
ます。パケットはコンピュータの容量バッファに対して過度に大きいため、バッファがオー
バーフローし、コンピュータはサービス不能状態になります。
●
IP スプーフィングイベントが発生したとき
このイベントは、デバイスがスプーフする、つまり他のデバイスの IP アドレスを所有するふ
りをするときに発生します。
178
●
ファイアウォールが不正なパケットを検出したとき
●
ファイアウォールが一般的な攻撃を検出したとき
●
アプライアンスがファイアウォールによるエラー、またはファイアウォールを通過するトラ
フィックによるエラーを検出したとき
●
ファイアウォールがユーザー定義のブロックルールに基づくトラフィックをブロックしたと
き
●
ファイアウォールがユーザー定義のブロックルールに基づくトラフィックを許可したとき
●
ファイアウォールがパケットの処理方法を説明するルールを見つけることができなかったとき
ファイアウォールイベントのアラートとロギングの有効化
手順
●
ユーザーがファイアウォール設定を変更したとき
●
ファイアウォールがステータスをアップデートし、ファイアウォール統計値を生成したとき
●
ファイアウォールが DNS 照会および応答を検出したとき
ファイアウォールイベントのアラートとロギングを有効にするには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Event Notification] タブを選択します。
3. Syn フラッドや IP スプーフィングなどのファイアウォールイベントの場合は、ログ記録とア
ラートを受信を行うイベントを選択し、次のアラート受信方法を選択します。
操作
手順
メールでアラートを受け取る
[Email Enabled] を選択します。
ネットワークメッセージサービ
ス (SNMP トラップ ) でアラート
を受け取る
[SNMP Trap Enabled] を選択します。
SiteProtector Console にアラート
を送信する
[SiteProtector Enabled] を選択します。
4. 許可または拒否イベントなどの一般的なイベントの場合は、ログ記録とアラート受信を行うイ
ベントを選択し、次のアラート受信方法を選択します。
操作
手順
メールでアラートを受け取る
[Email Enabled] を選択します。
ネットワークメッセージサービ
ス (SNMP トラップ ) でアラート
を受け取る
[SNMP Trap Enabled] を選択します。
SiteProtector Console にアラート
を送信する
[SiteProtector Enabled] を選択します。
5. 変更内容を保存します。
Proventia® Network Multi-Function Security Appliance User Guide
179
第 14 章 : ファイアウォールの設定
アプリケーション層でのトラフィックのフィルタリング
はじめに
ファイアウォールは、ウィルス、スパム、および遮断された Web コンテンツについて次のトラ
フィックをスキャンする、アプリケーション層フィルタリング機能を備えています。
●
Web トラフィック (HTTP)
●
電子メールトラフィック (SMTP)
●
ファイル転送トラフィック (FTP)
●
電子メールトラフィック (POP3)
このサービスは、アンチスパム、アンチウィルス、および Web の各フィルタで設定したセキュリ
ティポリシーが適用されます。 ALG サービスは、デフォルトでユーザーからは見えません。つま
り、フィルタリングソフトウェアはトラフィックを傍受して、そのトラフィックをスキャンし、
さらに発信元アドレスを変更せずに最終的な宛先にそのトラフィックをルーティングします。この
プロセスは通信デバイスからは見えません。
場合によっては、ネットワーク上の他のファイアウォール、ルーター、メールサーバーなどの他
のデバイスは、ファイアウォールからのトラフィックしか受け入れないことがあります。これは、
防御ネットワークが直接パブリックネットワークまたはインターネットから潜在的に有害なトラ
フィックを受信することを回避します。アプリケーションフィルタリングによっても、デバイス
は有害なトラフィックから保護されますが、このフィルタは発信元 IP アドレスを変更しないため、
これらの発信元から直接発信されているように見えます。デバイスはトラフィックを拒否すること
があります。この場合は、元の IP アドレスでフィルタリングされたトラフィックを許可するよう
に、これらのデバイスの設定を変更する必要があります。
注記 : アプライアンスがトランスペアレントモードになっている場合、 ALG もデフォルトでトラ
ンスペアレントモードになっています。この設定を変更することはできません。
参照 : セミトランスペアレントモードでアプリケーションフィルタリングサービスを実行する方
法については、「アンチスパムの高度なパラメータ」 (326 ページ ) の次のパラメータを参照してく
ださい。
例 : SMTP ALG
●
avm.se.ftp.pftpd.address_transparent
●
avm.se.http.phttpd.address_transparent
●
avm.se.pop3.ppop3d.address_transparent
●
avm.se.smtp.psmtpd.address_transparent
アプリケーション層ゲートウェイは、メール送信者とメール受信者との間でデータの受け渡しを行
いますが、ユーザーおよびサーバーからは見えません。ユーザーおよびサーバーが互いに直接やり
とりしているように見えます。
ネットワークの DMZ セグメントにメールサーバーを設定し、ポート 25 でのメール受け取りを
メールサーバーに許可するアクセスポリシーをアプライアンス上で作成することができます。
ネットワーク外部の送信者がネットワーク内部の受信者にメールを送信すると、アプリケーション
層ゲートウェイはそのメール (SMTP トラフィック ) を傍受し、ウィルスとスパムについてメール
をスキャンします。
ゲートウェイはメールサーバーに感染していないメールを渡します。このプロセスは、受信者や
サーバーからは見えません。ゲートウェイは、ユーザーが定義した設定に基づいて感染したファイ
ルを隔離または削除します。さらに、スパムに指定するか削除します。拒否されたメールの場合、
アプライアンスは送信者に拒否メッセージを送信します。
180
アプリケーション層でのトラフィックのフィルタリング
説明
次の表では、 ALG について説明します。
ALG
説明
SMTPa
ウィルスとスパムについて電子メールトラフィック (SMTP) をスキャンします。
アンチウィルス機能とアンチスパム機能を使用するには、 SMTP ファイアウォール
ALG を設定する必要があります。
HTTPb
ウィルスと遮断された Web コンテンツについて Web トラフィック (HTTP) をス
キャンします。
FTP
ウィルスについてファイル転送トラフィック (FTP) をスキャンします。
POP3
ウィルスとスパムについて電子メールトラフィック (SMTP) をスキャンします。
表 50: ALG の説明
a.
SMTP ALG は、設定が必要な唯一の ALG です。この ALG は、アンチスパムおよびアンチウィルス機能と
連携します。
b. HTTP ALG と HTTP プロキシサーバーは異なります。 HTTP プロキシサーバーは、アプライアンスの外部
にあり、ネットワークをインターネットに接続することができます。 HTTP プロキシサーバーを使用する
場合は、 Web フィルタ機能やアップデート機能を使用する前に、アプライアンスで HTTP プロキシサービ
スを設定する必要があります。
ALG ポリシー
ALG は、インバウンドまたはアウトバウンドのトラフィックをスキャンすることができます。
ALG ポリシーはスキャンの方向を制御します。
注記 : アンチウィルス機能を設定するときに、スキャンするプロトコルを指定することができま
す。
次の表は、デフォルトの ALG ポリシーについて説明します。
ポリシー
説明
POP3OUTBOUND
アウトバウンドの電子メールトラフィック (POP3) をスキャンす
る場合は、このポリシーを有効にします。
SMTPINBOUND
インバウンドのメールトラフィック (SMTP) をスキャンする場
合は、このポリシーを有効にします。
SMTPOUTBOUND
アウトバウンドのメールトラフィック (SMTP) をスキャンする
場合は、このポリシーを有効にします。
FTPOUTBOUND
アウトバウンドのファイル転送トラフィック (FTP) をスキャンす
る場合は、このポリシーを有効にします。
FTPINBOUND
インバウンドのファイル転送トラフィック (FTP) をスキャンする
場合は、このポリシーを有効にします。
HTTPOUTBOUND
アウトバウンドの Web トラフィック (HTTP) をスキャンする場
合は、このポリシーを有効にします。
表 51: デフォルトの ALG ポリシー
手順
ALG ポリシーを追加するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Advanced Firewall ALG] タブを選択し、 [Add] アイコンをクリックします。
Proventia® Network Multi-Function Security Appliance User Guide
181
第 14 章 : ファイアウォールの設定
3. 次のように入力し、 [OK] をクリックして変更内容を保存します。
ALG ポリシーの操作
オプション
説明
Name
ポリシーの名前を入力します。
Enabled
ポリシーを適用する場合は、このオプションを選択します。
Direction
スキャンする方向を選択します。
•
Inbound
•
Outbound
Comment
ポリシーの説明を入力します。
Protocol
スキャンするプロトコル ( トラフィックの種類 ) を選択します。
•
Web (HTTP)
•
File transfer (FTP)
•
Email (SMTP)
•
Email (POP3)
Source Address
発信元 IP アドレスを入力します。
Destination Address
宛先 IP アドレスを入力します。
Port
トラフィックの通信ポートを入力します。
ALG ポリシーを有効化、無効化、編集、コピー、または削除するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Advanced Firewall ALG] タブを選択します。
3. 次のいずれかを行い、変更内容を保存します。
操作
手順
ポリシーを有効にする
ポリシーを選択し、 [Enabled] オプションをクリックします。
ポリシーを無効にする
ポリシーを選択し、 [Enabled] オプションをオフにします。
ポリシーを編集する
1. 設定を選択し、 [Edit] アイコンをクリックします。
2. ポリシーを編集し、 [OK] をクリックします。
ポリシーをコピーする
1. ポリシーを選択し、 [Copy] アイコンをクリックします。
2. [Paste] アイコンをクリックします。
3. 必要に応じてポリシーを編集し、 [OK] をクリックします。
ポリシーを削除する
182
ポリシーを選択し、 [Remove] アイコンをクリックします。
アシンメトリックリダイレクションの設定
アシンメトリックリダイレクションの設定
はじめに
アプライアンスを通過する接続が一方向に限られている場合、アシンメトリックリダイレクショ
ン機能は、一群のホストまたはネットワーク間を行き来するすべてのトラフィックにセキュリティ
チェックの回避を許可します。
アプライアンスの内部インターフェースのいずれかのネットワークセグメントにホストとルー
ターが混在していると、いくつかのホストが別の内部ネットワークセグメントに対して非対称の
パスを持つ場合があります。同一サブネット上にルーターとして多数のホストが存在する場合、す
べてのホストに静的ルートを設定するのは現実的ではありません。アシンメトリックリダイレク
ションを使用して、非対称のトラフィックがアプライアンスを通過するのを許可し、必要であれば
ICMP リダイレクトメッセージを生成することができます。
図
次の例では、アシンメトリックリダイレクション機能を使用した一般的なネットワーク配置図を
示します。
Figure 7: アシンメトリックリダイレクション機能を使用したネットワークの例
この例では、ルーティングモードの通常動作どおり、アプライアンスはネットワークの外側に宛
てたすべてのトラフィックをフィルタリングします。メールサーバーとワークステーションは
別々のネットワークセグメントにありますが、内部ネットワークではハブとルーターが同一サブ
ネットにあり、ルーターは必ずしもすべての内部トラフィックをアプライアンス経由でルーティン
グするわけではありません。
Proventia® Network Multi-Function Security Appliance User Guide
183
第 14 章 : ファイアウォールの設定
プロセス例
上記の例では、アシンメトリックリダイレクションとファイアウォールが連携して、メールサー
バーとデスクトップ間のトラフィックがセキュリティチェックを迂回するのを許可しています。
次の表では、このプロセスについて説明します。
段階
説明
1
メールサーバーは、デスクトップにトラフィックを送信します。デスクトップは別の
ネットワーク上にあるため、メールサーバーはパケットをデフォルトルート、つまり
アプライアンスへ送信します。
2
アプライアンスはメールサーバーからのトラフィックを受信し、これがルーターを指
す経路と一致することを確認し、デスクトップへ向けてルーターを通じてトラフィック
を送信します。
3
デスクトップがメールサーバーにトラフックを送信する場合、トラフィックはデスク
トップのデフォルトルートを通過します。ルーターは直接関連付けられているネット
ワークが宛先となっていることを確認し、トラフィックを直接メールサーバーへ ( アプ
ライアンスを迂回して ) 送信します。
4
メールサーバーとネットワークの間のトラフィックがアプライアンスのセキュリティ
チェックを迂回するのを許可するには、 [Firewall/VPN Settings] ページの [Asymmetric
Redirection] タブを選択し、メールサーバーのネットワークの IP アドレス
(192.168.1.10/24) とデスクトップのネットワークの IP アドレス (10.1.1.0/24) を使用し
てアシンメトリックリダイレクションエントリを追加します。
5
アプライアンスは、内部ネットワーク上のメールサーバーとデスクトップの間のトラ
フィックがセキュリティチェックを迂回するのを許可しますファイアウォールは正当
なトラフックを遮断しません。また、アプライアンスは必要に応じて ICMP リダイレク
トメッセージを送信することができます。
表 52: アシンメトリックリダイレクションのプロセス例
このトピックでは、アシンメトリックリダイレクションの設定方法について説明します。
推奨事項
内部ホストと正しいルーティングを ICMP リダイレクトに依存しているルーティングデバイスが
両方ともネットワーク上にある場合に限り、アシンメトリックリダイレクション機能の使用を推
奨します。
アシンメトリックリダ
イレクションエントリ
の追加
アシンメトリックリダイレクションポリシーを追加するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Asymmetric Redirection] タブを選択し、 [Add] アイコンをクリックします。
3. 次のフィールドを入力します。
オプション
説明
Name
エントリの名前を入力します。
Enabled
ポリシーをアクティブにする場合は、このオプションを選択しま
す。
Comment
エントリの説明を入力します。
4. [Addresses] セクションで [Add] アイコンをクリックし、リダイレクトするアドレスを選択また
は入力します。
5. [OK] をクリックし、変更内容を保存します。
184
アシンメトリックリダ
イレクションエントリ
の操作
アシンメトリックリダイレクションエントリを編集、コピー、または削除するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Asymmetric Redirection] タブを選択します。
3. 次のいずれかを行い、変更内容を保存します。
操作
エントリを編集する
手順
1. エントリを選択し、 [Edit] アイコンをクリックします。
2. エントリを編集し、 [OK] をクリックします。
エントリをコピーする
1. エントリを選択し、 [Copy] アイコンをクリックします。
2. [Paste] アイコンをクリックします。
3. エントリを編集し、 [OK] をクリックします。
エントリを削除する
エントリを選択し、 [Remove] アイコンをクリックします。
Proventia® Network Multi-Function Security Appliance User Guide
185
第 14 章 : ファイアウォールの設定
トランスペアレントファイアウォールでのローカルルーターの定義
はじめに
トランスペアレントファイアウォールは、送受信デバイスの MAC アドレスに基づいてトラフィッ
クをルーティングします。トランスペアレントファイアウォールはトラフィックを受信すると、
正しいポート ( インターフェース ) に適切にトラフィックを転送する前に、トラフィックの IP アド
レスを MAC アドレスに変換する必要があります。
トランスペアレントファイアウォールは、 IP アドレスと、ネットワーク上のデバイスに対応する
MAC アドレスのシステム定義リストを保有し、この情報に基づいて独自にルーティングを行いま
す。場合によっては、アプライアンスは IP アドレスに対応する MAC アドレスを知らないことが
あります。この場合、アプライアンスはこの情報を参照してパケットを正しく転送するために、接
続されているルーターに依存します。トランスペアレントファイアウォールがこのローカルルー
ターと連携して IP アドレスを MAC アドレスに解決する前に、トランスペアレントファイア
ウォールでローカルルーターに関する情報を定義する必要があります。このトピックでは、ファ
イアウォールでこの情報を定義する方法について説明します。
ローカルルーターの操
作
Local Router テーブルでローカルルーターを追加、編集、コピー、または削除するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Local Routers] タブを選択します。
3. 次のいずれかを行い、変更内容を保存します。
操作
ローカルルーターを追
加する
手順
1. [Add] アイコンをクリックし、ルーターの名前を入力します。
2. 次のフィールドに入力し、 [OK] をクリックします。
• Router IP Address
• Comment ( 説明 )
ローカルルーター設定
を編集する
1. エントリを選択し、 [Edit] アイコンをクリックします。
ローカルルーター設定
をコピーする
1. ローカルルーターエントリを選択し、 [Copy] アイコンをク
リックします。
2. ローカルルーター設定を変更し、 [OK] をクリックします。
2. [Paste] アイコンをクリックします。
3. 設定を編集し、 [OK] をクリックします。
ローカルルーターを削
除する
186
ローカルルーターエントリを選択し、 [Remove] アイコンをク
リックします。
ネットワークアドレス変換
ネットワークアドレス変換
はじめに
ファイアウォールは、ネットワークアドレス変換 (NAT) 機能を備えています。この機能は、内部
ネットワークの IP アドレスを外部から隠ぺいし、すべての送信トラフィックに対して 1 つのパブ
リック IP アドレスを使用します。
注記 : 特定のプロトコルまたはポート上のパケットをすべて特定の IP アドレスにリダイレクトす
るように、アプライアンスを設定することができます。これを、ポート転送といいます。
用語
次の表では、いくつかの NAT 用語について説明します。
用語
説明
パブリック IP
アドレス
これらのアドレスは固有であり、インターネット上でだれでもアクセス可能で
す。これらは、インターネットサービスプロバイダによって割り当てられま
す。
プライベート
IP アドレス a
これらのアドレスは固有ではなく、インターネットからアクセスできません。
宛先 NAT
宛先 NAT はインバウンドのネットワークトラフィックに適用されます。これ
はファイアウォールがパケットを傍受するときに行われ、パケットのパブリッ
ク IP アドレスをプライベート IP アドレスに変換し、プライベートネット
ワーク内部の宛先にトラフィックを転送します。宛先 NAT はインバウンド
NAT とも呼ばれます。
発信元 NAT
発信元 NAT はアウトバウンドのネットワークトラフィックに適用されます。
これはファイアウォールがパケットを傍受するときに行われ、パケットのプラ
イベート IP アドレスをパブリック IP アドレスに変換し、プライベートネッ
トワーク外部の宛先にトラフィックを転送します。発信元 NAT はアウトバウ
ンド NAT とも呼ばれます。
動的 NAT
動的 NAT は、ファイアウォールがプライベート IP アドレスを最初に使用可能
なパブリック IP アドレスに変換するときに行われます。ファイアウォールは、
割り当てられるアドレスのプールから、最初に使用可能なパブリックアドレ
スを選択します。動的 NAT は次を変換することができます。
•
複数のプライベートアドレスを 1 つのパブリックアドレスに
•
複数のプライベートアドレスを複数のパブリックアドレスに
動的 NAT は多くの場合、 DHCP サービスと共に使用されます。
静的 NAT
静的 NAT は、ファイアウォールがプライベート IP アドレスを同じパプリック
IP アドレスに変換するときに、変換するたびに行われます。静的 NAT は、常
に 1 つのプライベートアドレスを 1 つのパブリックアドレスに変換します。
表 53: NAT 用語
a.
NAT プロセス
プライベート IP アドレスの詳細については、 www.ietf.org の「Address Allocation for Private Internets」を
参照してください。
次の表では、動的 NAT プロセスについて説明します。
段階
1
説明
プライベートネットワーク上のコンピュータは、インターネット上の Web サーバーに
アクセスを試みます。
表 54: 動的 NAT プロセス
Proventia® Network Multi-Function Security Appliance User Guide
187
第 14 章 : ファイアウォールの設定
段階
2
説明
ファイアウォールは次の作業を行います。
•
トラフィックを遮断する。
•
コンピューターのプライベートアドレスをそのアドレス変換テーブルに保存する。
•
プライベートアドレスを最初に使用可能なパブリック IP アドレスに置き換える。
注記 : アドレス変換テーブルは、元のプライベート IP アドレスをパブリックアドレス
に変換します。
3
Web サーバーはコンピュータに情報を送信し、ファイアウォールは次の作業を行いま
す。
•
トラフィックを遮断する。
•
アドレス変換テーブルで宛先アドレスを参照する。
•
元のプライベート IP アドレスとパブリックアドレス間のマッピングを見つける。
•
パブリックアドレスを元のプライベート IP アドレスに置き換える。
•
コンピュータにトラフィックを送信する。
注記 : ファイアウォールがアドレス変換テーブル上で 2 つのアドレスのマッピングを見
つけることができない場合は、トラフィックが中断されます。
4
内部のコンピュータがネットワーク外部と通信を続ける間、このプロセスが繰り返され
ます。
表 54: 動的 NAT プロセス ( 続き )
図
次の図は、一般的な NAT 実装例を示します。
Figure 8: NAT 実装
188
例
次の例では、インターネットから Web サーバーのプライベート IP アドレス (10.0.0.100) を隠ぺい
し、 Web サーバーへのアクセスを許可するのに必要なアクセスポリシーと NAT ルールを示しま
す。
ルールの種類と名前
アク
ション
プロトコ
ル
発信元アド
レス
発信元
ポート
宛先アドレス
宛先ポート
種類 : Destination NAT Rule
Allow
Any
Any
NA
192.166.0.1 Any
変換済みアド
レス
変換済み
ポート
10.0.0.100
ポートを
変換しな
いでくだ
さい
名前 : Allow destination NAT
traffic to the Web server
説明 : ファイアウォールは Web サーバーが受信するすべてのパケットを傍受し、パケットの宛先アドレスを 192.166.0.1 か
ら 10.0.0.100 に変換し、 Web サーバーにパケットを転送します。インターネット上のユーザーとデバイスからは、
192.166.0.1 でやり取りしているように見えます。 NAT は、実際のプライベート IP アドレス 10.0.0.100 をパブリックネッ
トワークから隠ぺいします。
種類 : Access Policy
Allow
Any
Any
Any
10.0.0.100
2998
NA
NA
名前 : Allow destination NAT
traffic to the Web server
説明 : ファイアウォールは、ポート 2998 でファイアウォールから Web サーバーへの任意のトラフィックを許可します。
種類 : Do Not Translate Rule Deny
Any
Any
Any
Any
Any
Any
Any
名前 : Do not translate
internal to DMZ
説明 : ファイアウォールは、トラフィックを傍受し、そのトラフィックを内部ネットワークから DMZ に変換しません。
種類 : Source NAT Rule
Allow
Any
10.0.0.100
NA
Any
Any
名前 : Allow source NAT
traffic from the Web server
192.168.0.1 ポートを
変換しな
いでくだ
さい
説明 : ファイアウォールは Web サーバーから送信するすべてのパケットを傍受し、パケットのアドレスを 10.0.0.100 から
192.166.0.1 に変換し、パブリックネットワークにパケットを転送します。インターネット上のユーザーとデバイスが Web
サーバーからレスポンスを取得すると、レスポンスは 192.168.0.1 から送信されたように見えます。 NAT は、実際のプライ
ベートアドレス 10.0.0.100 をパブリックネットワークから隠ぺいします。
種類 : Access Policy
Allow
Any
10.0.0.100
Any
Any
Any
NA
NA
名前 : Allow source NAT
traffic from the Web server
説明 : The firewall allows outgoing traffic from the Web server.
表 55: Web サーバーをインターネットにさらす方法の例
Proventia® Network Multi-Function Security Appliance User Guide
189
第 14 章 : ファイアウォールの設定
インバウンドとアウトバウンドの IP アドレスの変換
はじめに
このトピックでは、アウトバウンド ( 発信元 ) およびインバウンド ( 宛先 ) の NAT ポリシーの設定
手順について説明します。
重要 : 正しい NAT 設定には、ポリシーがネットワーク上でトラフィックフローと正しいルーティ
ングをを維持することを保証するために、綿密な計画とテストが必要です。
発信元 NAT ポリシーの
追加
発信元 NAT ポリシーを追加して送信トラフィックのアドレスを変換するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [NAT Policy] タブを選択します。
3. [Add] アイコンをクリックし、次のように入力します。
オプション
説明
Name
NAT ポリシーの名前を入力します。
Enabled
ポリシーをアクティブにする場合は、このオプションを選択しま
す。
Comment
NAT ポリシーのコメントまたは説明を入力します。
4. 次のタブを選択し、タブごとに次の手順を完了します。
190
タブ
説明
Protocol
プロトコルを選択します。
•
TCP
•
UDP
•
ICMP
•
AH
•
ESP
•
GRE
Source
Address
発信元 IP アドレスを選択します。これは、トラフィックを送信している
ネットワーク上のデバイスの IP アドレスです。ファイアウォールはこの
デバイスから送信されたパケット中のアドレスを変換します。
Destination
Address
宛先 IP アドレスを選択します。これは、トラフィックを受信しているデ
バイスの IP アドレスです。このデバイスは、送信デバイスの変換された
IP アドレスを認識します。
Destination
Port
宛先ポートを選択します。
インバウンドとアウトバウンドの IP アドレスの変換
タブ
説明
Translated
Address
次のいずれかを選択します。
•
NAT Configuration Item - ユーザーが定義した NAT 設定に基づいて発
信元アドレスを変換する場合はこのオプションを選択し、一覧から項
目を選択します。
•
Single IP Address - 発信元アドレスを 1 つの IP アドレスに変換する
場合は、このオプションを選択します。
•
IP Address of a Specific Interface - 発信元アドレスをアプライアンス
インターフェースの IP アドレスに変換する場合は、このオプションを
選択します。
•
Do not translate - 発信元アドレスが変換されないようにする場合は、
このオプションを選択します。
5. [OK] をクリックし、変更内容を保存します。
宛先 NAT ポリシーの追
加
宛先 NAT ポリシーを追加して受信トラフィックのアドレスを変換するには :
注記 : 1 つの宛先 NAT ポリシーで複数の IP アドレスを複数の IP アドレスに変換することはできま
せん。ポリシーで動的インターフェースを参照することはできません。
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [NAT Policy] タブを選択します。
3. [Add] アイコンをクリックし、次のように入力します。
オプション
説明
Name
NAT ポリシーの名前を入力します。
Enabled
ポリシーを適用する場合は、このオプションを選択します。
Comment
ポリシーのコメントまたは説明を入力します。
4. 次のタブを選択し、タブごとに次の手順を完了します。
タブ
説明
Protocol
プロトコルを選択します。
•
TCP
•
UDP
•
ICMP
•
AH
•
ESP
•
GRE
Source
Address
発信元 IP アドレスを選択します。これは、トラフィックを送信している
デバイスの IP アドレスです。ファイアウォールはこのデバイスから送信
されたパケット中のアドレスを変換します。
Destination
Address
宛先 IP アドレスを選択します。これは、トラフィックを受信しているデ
バイスの IP アドレスです。このデバイスは、送信デバイスの変換された
IP アドレスを認識します。
Proventia® Network Multi-Function Security Appliance User Guide
191
第 14 章 : ファイアウォールの設定
タブ
説明
Destination
Port
宛先ポートを選択します。
Translated
Address
次のいずれかのオプションを選択します。
Translated
Port
•
NAT Configuration Item - 宛先アドレスを NAT 設定に変換する場合は
このオプションを選択し、一覧から設定を選択します。
•
Single IP Address - 宛先アドレスを 1 つの IP アドレスに変換する場
合はこのオプションを選択し、 IP アドレスを入力します。
•
Do not translate - 受信トラフィックの IP アドレスが変換されないよ
うにする場合は、このオプションを選択します。
次のいずれかのオプションを選択します。
•
Do not translate - 受信ポートが変換されないようにする場合は、この
オプションを選択します。
•
Single Port - 受信ポートを別のポートに変換する場合はこのオプショ
ンを選択し、ポートを入力します。
5. [OK] をクリックし、変更内容を保存します。
NAT 設定ポリシーの追
加
NAT 設定ポリシーは、次のとおりです。
●
複数のアドレスを 1 つのアドレスに変換する。
●
1 つのアドレスを 1 つのアドレスに変換する。
●
複数のアドレスを複数のアドレスに変換する
注記 : HideasEth1 NAT と呼ばれる NAT ルールがデフォルトで有効になっています。このルール
は、すべてのプライベート IP アドレスをアプライアンスのパブリック IP アドレスに変換します。
ガイドライン
次のガイドラインは、 NAT ルールを設定する場合に役立ちます。
●
一対一の NAT 設定では、同じ数のプライベート IP アドレスとパブリックアドレスを使用す
る必要があります。
●
一対一の NAT ルールでは、アドレス範囲を使用しないでください。
●
一対一の NAT ルールでは、ポート変換を使用しないでください。
●
宛先 NAT ルールと共に、他対他の NAT ルールを使用しないでください。
●
宛先 NAT ルールでは、動的インターフェースを使用しないでください。
NAT 設定ポリシーを追加するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [NAT Policy] タブを選択し、 [NAT Configuration] タブを選択します。
3. [Add] アイコンをクリックし、ルーターの名前を入力します。
192
インバウンドとアウトバウンドの IP アドレスの変換
4. 次のいずれかを行い、変更内容を保存します。
操作
手順
複数のプライベートアドレスを 1
つのパブリックアドレスに変換
する
1. [Many to One] を選択し、次のいずれかのオプショ
ンを選択します。
• Static IP address- プライベート IP アドレスを 1
つの静的アドレスに変換する場合はこのオプション
を選択し、 [NAT IP Address] フィールドに IP アドレ
スを入力します。
• Address Name
• Dynamic Address Name
• Dynamic Interface— プライベート IP アドレスを
動的インターフェースの IP アドレスに変換する場合
はこのオプションを選択し、一覧からインター
フェースを選択します。
注記 : 静的 IP アドレスは、ネットワーク内のコン
ピュータと対応している必要はありません。ただし、イ
ンターネットサービスプロバイダ (ISP) は、その IP ア
ドレスへのルートを持っている必要があります。
2. NAT IP アドレスを入力します。
1 つのプライベートアドレスを 1
つのパブリックアドレスに変換
する
次のいずれかの種類を選択し、次の手順に進みます。
•
One To One NAT
•
Many To Many NAT
複数のプライベートアドレスを
複数のパブリックアドレスに変
換する
プライベートアドレス範囲をパ
ブリックアドレス範囲に変換す
る
5. 元のアドレス範囲と変換済みアドレス範囲を定義します。次の選択肢があります。
■
[IP Address Range] を選択し、 IP アドレス範囲を入力します。
■
[Address Range Name] を選択し、一覧から名前の付いた範囲を選択します。
■
[Dynamic Address Range Name] を選択し、一覧から名前の付いた範囲を選択します。
6. [OK] をクリックし、変更内容を保存します。
NAT ルールの操作
NAT ルールを編集、コピー、または削除するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [NAT Policy] タブを選択し、次のタブのいずれかを選択します。
■
Source NAT Rules
■
Destination NAT Rules
■
NAT Configuration
Proventia® Network Multi-Function Security Appliance User Guide
193
第 14 章 : ファイアウォールの設定
3. 次のいずれかを行い、変更内容を保存します。
操作
ルールを編集する
手順
1. ルールを選択し、 [Edit] アイコンをクリックします。
2. [Enabled] チェックボックスをオンまたはオフにします。
3. このルールを編集し、 [OK] をクリックします。
ルールをコピーする
1. ルールを選択し、 [Copy] アイコン (
2. [Paste] アイコン (
) をクリックします。
) をクリックします。
3. 必要に応じてルールを編集し、 [OK] をクリックします。
ルールを削除する
1. ルールを選択し、 [Remove] アイコンをクリックします。
2. [OK] をクリックします。
194
ポートアドレス変換
ポートアドレス変換
はじめに
ポートフォワーディングは、ファイアウォールがファイアウォールのパブリック IP アドレスを使
用してネットワークトラフィックを送受信するときに行われますが、ネットワーク上のポートに
トラフィックをリダイレクトします。ポートフォワーディングを使用すると、次を行うことがで
きます。
●
ネットワーク外部の侵入者から Telnet などのサービスを隠ぺいしますが、ネットワーク内の
ユーザーはサービスを利用できます。
●
リモートユーザーは、インターネットサービスプロバイダ (ISP) から余分な IP アドレスを取
得するのに追加費用を払わなくても、 Web サーバーや他デバイスを利用できます。
例
メールサーバーと Web サーバーをファイアウォールの内側に置きます。メールサーバーはポート
25 を使用し、 Web サーバーはポート 80 を使用します。どちらのサーバーも、ファイアウォールの
同じ IP アドレスを使用します。ポート 80 のトラフィックが Web サーバーに流れ、ポート 25 のト
ラフィックがメールサーバーに流れるように、ファイアウォールを設定します。一方のサーバー
は Web サーバー ( ポート 80) を実行し、もう一方のサーバーは FTP サーバー ( ポート 25) を実行し
ますが、どちらのサーバーもファイアウォールの IP アドレスを使用します。
要件
次の要件は、ポートフォワーディングルールを設定する場合に役立ちます。
●
静的 IP アドレスを使用する必要があります。
●
ポートフォワーディングルールを設定する前に、次の情報を入手する必要があります。
■
ローカルネットワーク上のサーバーの IP アドレス
■
インバウンドポート番号、プライベートポート番号、およびサーバーが処理するデータの
種類に対応するプロトコル
注記 : DHCP のサーバー IP アドレスを確認する場合は、 DHCP 情報をチェックします。
推奨事項
次の推奨事項は、ポートフォワーディングルールを設定する場合に役立ちます。
●
ファイアウォール上で実行中のサービスとの衝突を避けるため、 1 ～ 1023 のような wellknown ポートは使用しないでください。
●
バックドア、トロイの木馬、または不明なサービスでよく使用されるポート番号を避けます。
●
ポートフォワーディングルールに関する他の推奨事項については、 IANA に確認してくださ
い。
Proventia® Network Multi-Function Security Appliance User Guide
195
第 14 章 : ファイアウォールの設定
ポートフォワーディン
グの設定
ポートフォワーディングを設定するには :
注記 : 各サービスごとにポートフォワーディングを設定する必要があります。
1. 静的 IP アドレスを NAT IP アドレスに変換する Many-to-One NAT 設定を作成します。
注記 : NAT IP アドレスは、受信パケットが NAT を使用して送信されるプライベート IP アド
レス (192.16.100.6 など ) です。 HTTP などのサービスを実行している場合は、 Web サーバーの
内部 IP アドレスを NAT IP アドレスとして使用してください。
2. 次のルールを作成し、変更内容を保存します。
ルールの種
類
アク
ション
プロトコル
発信元アド
レス
発信元ポー
ト
宛先アドレ
ス
宛先ポート
変換済みア
ドレス
変換済み
ポート
Destination
NAT Rule
Allow
ユーザー
定義
Any
NA
1 つのパブ
リック IP
アドレス
ユーザー
定義
手順 1 で
作成した
Many-toOne 設定
を選択し
ます。
発信元
ポートと
同じ
Access
Policy
Allow
ユーザー
定義
Any
Any
1 つのパブ
リック IP
アドレス
ユーザー
定義
NA
NA
表 56: Web サーバーをインターネットにさらす方法の例
196
第 15 章
電子メールと Web コンテンツのフィルタ
リング
概要
はじめに
この章では、スパムや他の違法または攻撃的な要素に対して、電子メールと Web コンテンツを
フィルタリングする方法について説明します。
参照 : アンチスパムおよび Web フィルタのステータス、イベント、および統計値については、オ
ンラインスヘルプを参照してください。
フィルタデータベース
この章で説明する機能にはフィルタデータベースが必要です。詳細については、「フィルタデータ
ベース」 (210 ページ ) を参照してください。
ライセンスのリソース
この機能を使用するにはライセンスが必要です。次の表では、ライセンスのリソースについて説明
します。
リソース
説明
www.iss.net/issEn/MYISS/login_help.jhtml ライセンスを持ったユーザーを登録す
る場合はこのリンクに進みます。
www1.iss.net/cgi-bin/lrc
ライセンスの登録とダウンロードを行
う場合はこのリンクに進みます。
https://[email protected]
ライセンスの更新情報についてはこの
リンクに進みます。
ISS 販売代理店
ライセンスの入手については、販売代
理店までお問い合わせください。
Proventia Manager の [Licensing] ページから
[Maintenance] → [Licensing]
アプライアンスにライセンスをアップ
ロードする場合はこのページに進みま
す。
表 57: ライセンスのリソース
この章の内容
この章では、次のトピックについて説明します。
トピック
ページ
アンチスパム防御設定
199
アンチスパムイベントのアラートとロギングの有効化
203
Proventia® Network Multi-Function Security Appliance User Guide
197
第 15 章 : 電子メールと Web コンテンツのフィルタリング
トピック
198
ページ
Web フィルタ防御機能の設定
205
Web フィルタリングイベントのアラートとロギングの有効化
208
フィルタデータベース
210
アンチスパム防御設定
アンチスパム防御設定
はじめに
スパムとは、未承諾広告や不快な内容を含む電子メールです。また、ウィルス、ワーム、トロイの
木馬、およびスパイウェアを含むこともあります。大量のスパムは、受信トレイやメールサー
バーをいっぱいにするなど、メールリソースに悪影響を及ぼします。さらに、業務の妨害になっ
たり、場合によっては会社が法的責任にさらされることもあります。アンチスパム機能は、スパ
ム、違法 / 攻撃的コンテンツ、およびウィルスに対して電子メールをフィルタリングために、次の
テクノロジの組み合わせを使用します。
●
コンテンツ分析 - アプライアンスは、スパムや他の攻撃的および違法コンテンツに関連する
キーワード、画像、および URL のデータベースを保有しています。電子メールがアプライア
ンスを通過するときに、アプライアンスはこれらの要素に対して電子メール全体を分析しま
す。電子メールが十分に一致する要素を含んでいる場合、アプライアンスはその電子メールに
スパムのタグを付け、ユーザーが定義した防御設定に応じてこれをシステムから削除します。
参照 : アンチスパム機能は、コンテンツ分析中にフィルタデータベースと連携します。デー
タベースの詳細については、「フィルタデータベース」 (210 ページ ) を参照してください。
さらなる防御
●
ブラックリスト - アプライアンスは、スパム、違法 / 攻撃的コンテンツ、およびウィルスを含
む電子メールの既知の発信元である、ユーザーが定義したメールアドレスとドメイン名のリ
ストを保有しています。フィルタはこれらの発信元からの電子メールをブロックします。
●
ホワイトリスト - アプライアンスは、電子メールの正当な発信元である、ユーザーが定義した
メールアドレスとドメイン名のリストを保持しています。フィルタはこれらの発信元からの
電子メールを許可します。
アンチスパム、アンチウィルス、不正侵入防御、およびウィルス防御機能は連携して、悪意のある
スパムによるネットワークの侵害を阻止します。さらに、メールリレー制御および認証サービス
は、メールサーバーが他のネットワークにスパムをリレーするの回避するのに役立ちます。
参照 : 「メールリレー制御および認証サービスの設定」 (83 ページ ) を参照してください。
防御設定
考慮すべき事項
始める前に
アンチスパム防御設定は、次の内容を制御します。
●
フィルタがスパムをスキャンするメールプロトコル (SMTP および POP3)
●
フィルタがスパムを検出する積極性と精密性
●
フィルタが既知のスパムを処理する方法 ( 認識しやすいようにタグを付けたり、削除すること
が可能 )
●
フィルタがスパムメールの件名に挿入するテキスト文字 ([SPAM] など )
●
非スパマであり、電子メールの送信が許可されるべきメールアドレスおよびドメイン ( ホワイ
トリスト )
●
既知のスパマであり、ブロックされるべきメールアドレスおよびドメイン ( ブラックリスト )
ホワイトリストとブラックリストを定義する場合は、次の点を考慮してください。
●
アプライアンスは、メールの内容に関係なく、ホワイトリスト上のドメインおよびメールア
ドレスからの電子メールをすべて許可します。
●
アプライアンスは、メールの内容に関係なく、ブラックリスト上のドメインおよびメールア
ドレスからの電子メールをすべて拒否します。
アンチスパム機能を有効にする前に、この機能を使用するための最新のライセンスと、フィルタ
データベースの最新のコピーがあることを確認する必要があります。
Proventia® Network Multi-Function Security Appliance User Guide
199
第 15 章 : 電子メールと Web コンテンツのフィルタリング
手順
アンチスパム防御を設定するには :
1. ナビゲーションウィンドウで [Configuration] → [Antispam] の順に選択します。
2. [Protection Settings] タブを選択し、 [Spam Detection Enabled] を選択します。
3. [Protected Protocols] タブを選択し、スパムをスキャンするメールプロトコルを選択します。
■
SMTP
■
POP3
4. [Spam Tagging Sensitivity] タグを選択し、次のモードを設定します。
モード
説明
Learning
フィルタはスパムを削除しませんが、電子メールに SPAM または SPAM+ の
タグを付けます。このタグは、認識しやすいように [ 件名 ] 行に表示されます。
•
[SPAM] は、電子メールがスパムしきい値を下回っていることを示します。
•
[SPAM+] は、電子メールがスパムしきい値を上回っていることを示しま
す。
Delete
フィルタはいくつかの電子メールにスパムのタグを付け、それ以外は削除しま
す。
•
スパムしきい値を下回る電子メールは、 [SPAM] のタグが付けられます。
このタグは、認識しやすいように電子メールの [ 件名 ] 行に表示されます。
•
しきい値を上回る電子メールは削除されます。
5. 次のように [Delete Threshold] を設定します。
■
Minimal - スパムの検出と削除を行う際にフィルタリングを非常に厳しくする場合は、スラ
イダを左端に設定します。
■
Maximum - スパムの検出と削除を行う際にフィルタリングを寛大にする場合は、スライダ
を右端に設定します。
注記 : マーカーを下回るメールは、しきい値を下回ると見なされます。マーカーを上回る
メールは、しきい値を上回ると見なされます。
6. [Subject Tag Format] タブを選択し、次のように入力します。
フィールド
説明
Below Threshold
デフォルトで、システムは設定したしきい値を下回る電子メールの [
件名 ] 行に、 [SPAM] ラベルを追加します。 [ 件名 ] 行に表示されるテ
キスト文字を変更する場合は、ユーザーが定義したテキスト文字を入
力します。
Above Threshold
デフォルトで、システムは設定したしきい値を上回る電子メールの [
件名 ] 行に、 [SPAM+] ラベルを追加します。 [ 件名 ] 行に表示される
テキスト文字を変更する場合は、ユーザーが定義したテキスト文字を
入力します。
7. [Email Sender Whitelist ] と [Email Sender Blacklist] を選択し、 [Add] アイコンをクリックしま
す。
8. ドメイン名とメールアドレスを、ホワイトリストとブラックリストに追加します。有効なエ
ントリは次のとおりです。
200
■
1 つのドメイン名 ( ドメイン名に「http:\\」や「https:\\」は入力しないでください )
■
1 つのメールアドレス
■
メール配信リスト
アンチスパム防御設定
■
ワイルドカードを含むエントリ
- 疑問符 (?) は、任意の 1 文字を表します。
- アスタリスク (*) は、メールアドレスまたはドメインのグループを表します。
9. 変更内容を保存します。
ホワイトリストとブラッ
クリストに含まれるワイ
ルドカード
次の表では、いくつかのエントリ例について説明します。
例
説明
spam_sender@*
アプライアンスはドメインに関係なく、 spam_sender をスパム
の発信元と見なします。次の送信者はスパムの発信元であると考
えられます。
*spam_sender@
spam_sender
domain_name
•
[email protected]
•
[email protected]
これらの例に不完全なエントリがある場合、アプライアンスはこ
のエントリの最初と最後にワイルドカードがあると見なします。
アプライアンスは、これらの例のエントリを次のように解釈しま
す。
*spam_sender@*
*domain_name*
spam_sender または domain_name を含むメール送信者は、ド
メインや残りの部分の名前に関係なく、スパムの発信元と見なさ
れます。
spa?@*domain_name.net
*@domain_name.n?t
アプライアンスは、「spam@domain_name.net」をスパムの送
信元と見なします。
sp?m@*.net
spam@?omain_name.*
?pam@*
表 58: ホワイトリストとブラックリストのワイルドカードの例
ホワイトリストとブラッ
クリストのエントリの操
作
ホワイトリストとブラックリストのメールアドレスとドメイン名を編集、コピー、または削除す
るには :
1. ナビゲーションウィンドウで [Configuration] → [Antispam] の順に選択します。
2. [Protection Settings] タブを選択して次のいずれかを行い、変更内容を保存します。
操作
送信者を追加する
手順
1. [Add] アイコンをクリックし、ドメイン名またはメールアド
レスを入力します。
2. [OK] をクリックします。
送信者を編集する
1. エントリを選択し、 [Edit] アイコンをクリックします。
2. エントリを編集し、 [OK] をクリックします。
送信者をコピーする
1. エントリを選択し、 [Copy] アイコンをクリックします。
2. [Paste] アイコンをクリックします。
Proventia® Network Multi-Function Security Appliance User Guide
201
第 15 章 : 電子メールと Web コンテンツのフィルタリング
202
操作
手順
送信者を削除する
エントリを選択し、 [Remove] アイコンをクリックします。
アンチスパムイベントのアラートとロギングの有効化
アンチスパムイベントのアラートとロギングの有効化
はじめに
イベントが発生すると、システムは電子メール、ネットワークメッセージ (SNMP トラップ )、ま
たは SiteProtector Console で警告を発することができます。さらに、そのイベントのログも記録し
ます。このトピックでは、イベントのアラートとロギングを有効にする方法について説明します。
ガイドライン
大量のイベントが予測される場合は、選択するアラートとロギングの種類を慎重に検討することを
推奨します。大量のアラートとログエントリには、かなりの保存領域と処理能力が必要です。
始める前に
アラートを有効にする前に、アラートを受信する方法に応じて、次の作業を行う必要があります。
●
ネットワーク管理サービス (SNMP トラップ ) を有効にする。
参照 : 「ネットワーク管理サービス (SNMP) の有効化」 (86 ページ ) を参照してください。
●
電子メールによるアラートを設定する。
参照 : 「メールによるアラートの設定」 (103 ページ ) を参照してください。
●
アプライアンスを SiteProtector に登録し、アプライアンスで SiteProtector による管理を有効に
する。
参照 : 「SiteProtector でのアプライアンスの管理とアップデート」 (105 ページ ) を参照してく
ださい。
アンチスパムイベント
手順
次のアンチスパムイベントに対して、アラートとロギングを有効にすることができます。
●
この機能が電子メールにスパムのタグを付けたとき
●
この機能がスパムについて電子メールをスキャンしたとき
●
この機能がステータスをアップデートし、アンチスパム統計値を生成したとき
アンチスパムイベントのアラートとロギングを有効にするには :
1. ナビゲーションウィンドウで [Configuration] → [Antispam] の順に選択します。
2. [Event Notification] タブを選択します。
3. イベントごとにアラートとロギングのオプションを選択し、変更内容を保存します。
操作
手順
機能のロギングを有効にする
[Enable Event Logging] を選択します。
スパムと特定されたメールのみを
記録する
[Log Only Email Tagged As Spam] を選択します。
スキャンされたメールをすべて記
録する
[Log All Email] を選択します。
ネットワークメッセージサービ
ス (SNMP トラップ ) でアラート
を受け取る
[SNMP Trap Enabled] を選択します。
SiteProtector Console にアラート
を送信する
[SiteProtector Enabled] を選択します。
Proventia® Network Multi-Function Security Appliance User Guide
注意 : この設定は大量のアラートアクティビティを生成
し、システムパフォーマンスに悪影響を及ぼす可能性
があります。
203
第 15 章 : 電子メールと Web コンテンツのフィルタリング
操作
手順
ステータス情報と統計値に関する
アラートを受け取る
[Status Summary Enabled] を選択し、次のアラート受
信方法を選択します。
•
Email Enabled
•
SNMP Trap Enabled
•
SiteProtector Enabled
注記 : デフォルトで、システムは 1 日 1 回 ( 午前 8 時 )
アラートを送信します。スケジュールを変更するには、
「ステータスサマリの高度なパラメータ」 (364 ページ )
を参照してください。
204
Web フィルタ防御機能の設定
Web フィルタ防御機能の設定
はじめに
多くの企業は、職場から Web にアクセスする社員に対して、適切な使用ガイドラインを備えてい
ます。これらのポリシーは多くの場合、社員が攻撃的要素や違法コンテンツを含む Web サイトに
アクセスすることを禁止します。また、オンラインギャンブル、オンラインショッピング、
チャットルームなどの生産性を低下させる行為を禁止する場合もあります。不適切な Web 閲覧は、
ネットワークを Web からダウンロードされたウィルスなどの脅威にさらすこともあります。 Web
フィルタ機能は、 Web 閲覧ポリシーの適用に役立つように、次のテクノロジの組み合わせを使用
しています。
●
コンテンツ分析 - アプライアンスは、異なる Web コンテンツカテゴリに関連するキーワード、
画像、 URL、および他の情報のデータベースを保有しています。たとえば、不法行為やわいせ
つ情報に関連する要素の一覧を保有しています。ユーザーが Web ページを要求するときに、
フィルタはこれらの要素について Web ページのコンテンツをスキャンします。コンテンツが
要素と要素と十分に一致した場合、フィルタはその Web ページをブロックし、ユーザーが定
義したコンテンツフィルタリングルールに応じて、ユーザーのアクティビティを記録します。
参照 :Web フィルタ機能は、コンテンツ分析中にフィルタデータベースと連携します。データ
ベースの詳細については、「フィルタデータベース」 (210 ページ ) を参照してください。
●
宛先ブロックリスト - アプライアンスはユーザーが定義した、ブロックされたドメイン名と
IP アドレスのリストを保有しています。ユーザーがこれらの発信元から Web コンテンツを要
求すると、フィルタはそのコンテンツをブロックします。
●
宛先許可リスト - アプライアンスはユーザーが定義した、許可されたドメイン名と IP アドレ
スのリストを保有しています。ユーザーがこれらの発信元から Web コンテンツを要求すると、
フィルタはそのコンテンツを許可します。
●
発信元許可リスト - アプライアンスはユーザーが定義した、無制限にインターネットにアクセ
スできる IP アドレスのリストを保有しています。
始める前に
Web フィルタ機能を有効にする前に、この機能を使用するための最新のライセンスと、フィルタ
データベースの最新のコピーがあることを確認する必要があります。
手順
ブロックされたコンテンツリストを含む、 Web フィルタ防御機能を設定するには :
1. ナビゲーションウィンドウで、 [Configuration] → [Web Filter] → [Web Filter Settings] の順に
選択します。
2. [Protection Settings] タブを選択し、有効にするオプションを選択します。
オプション
説明
Web Filter Module
Enabled
コンテンツフィルタリングを有効にする場合は、このオプショ
ンを選択します。
URL Blocking Enabled
ブロックされたコンテンツを含む、 Web サイトへのアクセスか
らユーザーをブロックする場合は、このオプションを選択しま
す。ブロックされたコンテンツリストは、この手順でユーザー
定義されます。
Proventia® Network Multi-Function Security Appliance User Guide
205
第 15 章 : 電子メールと Web コンテンツのフィルタリング
3. 次のタブを選択し、コンテンツブロックルールの例外を定義し、変更を保存します。
タブ
説明
Filter Override Destination Allow
List
他のコンテンツブロックルールに関係なく、ユーザーが常にアクセ
スできるドメイン名または IP アドレスを追加します。
Filter Override Destination Block
List
他のコンテンツブロックルールに関係なく、ユーザーがアクセスで
きないドメイン名または IP アドレスを追加します。
このオーバーライドは、コンテンツがブロックされたコンテンツリ
ストにある Web サイトにユーザーがアクセスすることを許可する場
合に役立ちます。たとえば、ニュースコンテンツを含む Web サイト
をブロックする一方で、ユーザーが CNN Web サイトにアクセスする
ことを許可する場合は、 CNN Web サイトをこのリストに追加しま
す。
このオーバーライドは、 ISS Web フィルタカテゴリまたはフィルタ
データベースに一覧されていないコンテンツまたは Web サイトをブ
ロックする場合に役立ちます。
宛先許可リストおよび宛先ブロックリストの有効なエントリ例は次
のとおりです。
•
1 つの IP アドレスまたはドメイン名
•
先頭または末尾にワイルドカードを含む IP アドレスまたはドメイ
ン名 ( エントリの中央ではワイルドカードを使用しないでくださ
い。 )
• 疑問符 (?)
• アスタリスク (*)
例:
• *.iss.*
• iss
• *.iss.n?t
• ?*.net
• .iss.net
• 172.16.106.*
• 172.16.*
• 172.*
•
Filter Override Source Allow List
iss は、アプライアンスによって *iss* と解釈されます。
他のコンテンツブロックルールに関係なく、インターネットにアク
セスできるユーザーの静的 IP アドレスを追加します。
このオーバーライドは、特定のユーザーが無制限にインターネットに
アクセスできるようにする場合に役立ちます。
有効なエントリ例は次のとおりです。
•
1 つの IP アドレス
•
末尾セグメントにワイルドカード文字としてアスタリスク (*) を
含む IP アドレス ( アスタリスクは、次の例のようにエントリ中の
最後の文字である必要があります )
192.168.120.*
192.168.*
192.*
206
Web フィルタ防御機能の設定
4. ナビゲーションウィンドウで、 [Configuration] → [Web Filter] → [Web Filter] の順に選択しま
す。
5. ブロックするコンテンツを選択し、変更内容を保存します。
許可リストとブロック
リストの操作
■
Criminal activities ( 犯罪行為 )
■
Drugs, alcohol, and tobacco ( 薬物、アルコール、タバコ )
■
Entertainment and culture ( 娯楽と文化 )
■
Extreme ( 過激思想 )
■
Finance and investing ( 金融と投資 )
■
Games and gambling ( ゲームと賭博 )
■
Information and communication ( 情報と通信 )
■
Information technology ( 情報技術 )
■
Job search ( 求職 )
■
Lifestyle ( 生活様式 )
■
Medicine ( 医学 )
■
Nudity ( ヌード )
■
Ordering and online shopping ( 注文とオンラインショッピング )
■
Private home pages ( 個人のホームページ )
■
Society/Education/Religion ( 社会 / 教育 / 宗教 )
■
SPAM ( スパム )
■
Spyware ( スパイウェア )
■
Transportation ( 交通 )
■
Weapons ( 武器 )
許可リストとブロックリストのエントリを編集、コピー、または削除するには :
1. ナビゲーションウィンドウで、 [Configuration] → [Web Filter] → [Web Filter Settings] の順に
選択します。
2. 次のいずれかを行い、変更内容を保存します。
操作
エントリを編集する
手順
1. エントリを選択し、 [Edit] アイコンをクリックします。
2. エントリを編集し、 [OK] をクリックします。
エントリをコピーする
1. エントリを選択し、 [Copy] アイコン (
す。
2. [Paste] アイコン (
エントリを削除する
) をクリックしま
) をクリックします。
エントリを選択し、 [Remove] アイコンをクリックします。
Proventia® Network Multi-Function Security Appliance User Guide
207
第 15 章 : 電子メールと Web コンテンツのフィルタリング
Web フィルタリングイベントのアラートとロギングの有効化
はじめに
イベントが発生すると、システムは電子メール、ネットワークメッセージ (SNMP トラップ )、ま
たは SiteProtector Console で警告を発することができます。さらに、そのイベントのログも記録し
ます。このトピックでは、アラートとロギングを有効にする方法について説明します。
ガイドライン
大量のイベントが予測される場合は、選択するアラートとロギングの種類を慎重に検討することを
推奨します。大量のアラートとログエントリには、かなりの保存領域と処理能力が必要です。
前提条件
アラートを有効にする前に、アラートを受信する方法に応じて、次の作業を行う必要があります。
●
ネットワーク管理サービス (SNMP トラップ ) を有効にする。
参照 : 「ネットワーク管理サービス (SNMP) の有効化」 (86 ページ ) を参照してください。
●
電子メールによるアラートを設定する。
参照 : 「メールによるアラートの設定」 (103 ページ ) を参照してください。
●
アプライアンスを SiteProtector に登録し、アプライアンスで SiteProtector による管理を有効に
する。
参照 : 「SiteProtector でのアプライアンスの管理とアップデート」 (105 ページ ) を参照してく
ださい。
Web フィルタイベント
手順
次の Web フィルタイベントに対して、アラートとロギングを有効にすることができます。
●
フィルタが Web ページ要求をブロックしたとき
●
ユーザーがブロックされた Web ページを要求したとき
●
フィルタがステータスをアップデートし、 Web フィルタ統計値を生成したとき
Web フィルタイベントのアラートとロギングを有効にするには :
1. ナビゲーションウィンドウで、 [Configuration] → [Web Filter] → [Web Filter Settings] の順に
選択します。
2. [Event Notification] タブを選択します。
3. イベントごとにアラートとロギングのオプションを選択し、変更内容を保存します。
208
操作
手順
機能のロギングを有効にする
[Enable Event Logging] を選択します。
ブロックされた Web ページ要求
のみを記録する
[Log Only Blocked Web Page Requests] を選択しま
す。
Web ページ要求をすべて記録す
る
[Log All Web Page Requests] を選択します。
ネットワークメッセージサービ
ス (SNMP トラップ ) でアラート
を受け取る
[SNMP Trap Enabled] を選択します。
SiteProtector Console にアラート
を送信する
[SiteProtector Enabled] を選択します。
注意 : この設定は大量のアラートアクティビティを生成
し、システムパフォーマンスに悪影響を及ぼす可能性
があります。
Web フィルタリングイベントのアラートとロギングの有効化
操作
手順
ステータス情報と統計値に関する
アラートを受け取る
[Status Summary Enabled] を選択し、次のアラート受
信方法を選択します。
•
Email Enabled
•
SNMP Trap Enabled
•
SiteProtector Enabled
注記 : デフォルトで、システムは 1 日 1 回 ( 午前 8 時 )
アラートを送信します。スケジュールを変更するには、
「ステータスサマリの高度なパラメータ」 (364 ページ )
を参照してください。
Proventia® Network Multi-Function Security Appliance User Guide
209
第 15 章 : 電子メールと Web コンテンツのフィルタリング
フィルタデータベース
はじめに
アプライアンスは、ユーザーが定義した防御設定とフィルタデータベース (Filter DB) の情報に基
づいて、アンチスパムポリシーと Web フィルタポリシーを適用します。このトピックでは、フィ
ルタデータベースについて説明します。
説明
フィルタデータベースは、大量の Web コンテンツ、 Web サイト、 URL、および他の Web 関連情
報を分類する高度なメカニズムです。アンチスパム機能と Web フィルタ機能は、データベースと
連携してユーザーが定義したスパムとコンテンツのブロックルールを適用します。
●
アンチスパム機能は、データベースと連携してスパムを特定します。
●
Web フィルタ機能は、データベースと連携して、ユーザーが不適切と見なす Web コンテンツ
を特定します。
ISS は、次のようなさまざまな方法やデバイスを使用してデータベースを関連付け、情報を分類し
ます。
Web ラーン機能
●
自動化された Web クローラ
●
犯罪行為、賭博、ヌード、暴力などのカテゴリ
●
管理されたリンクの一覧
●
ニュースグループ
●
検索エンジン
●
テキスト分類
●
オブジェクト認識
●
不明または未認識の Web サイトを ISS に報告する Web ラーン対応アプライアンス
Web ラーン機能を有効にすると、今後のファイアウォールデータベースアップデートの調査と追
加のために、アプライアンスは不明または未認識の Web サイトを ISS に報告します。アプライア
ンスは、フィルタデータベースのアップデートプロセス時に、不明の URL 10 個をひとまとめに
して ISS に送信します。
Web ラーン機能を有効にし、 ISS によるフィルタデータベースの強化に役立てるには :
●
データベースプロパ
ティの表示
[Maintenance] → [Filter DB] の順に選択し、 [Web Learn.] を選択します。
データベースに関する情報を表示するには、 [Maintenance] → [Filter DB] の順に選択します。アプ
ライアンスは、次のフィルタデータベースに関する情報を表示します。
プロパティ
説明
Mode
現在のデータベースのステータス
Version
•
Not installed
•
Installed
ローカルデータベースのバージョン。次の形式で表示されます。
x.xxxx
表 59: データベース情報
210
フィルタデータベース
Status
ローカルデータベースのステータス
•
Download Progress
Installed
•
Downloading
•
Updating
ローカルデータベースのダウンロードの進行状況
•
x% ( ダウンロード済みのパーセンテージ )
•
Indexing Database
表 59: データベース情報 ( 続き )
データベースのアップ
デート
ISS では、継続的にデータベースのアップデートと強化を行っています。最新の機能を入手するに
は、フィルタデータベースを最新のバージョンに保つ必要があります。 1 日 1 回データベースを
アップデートすることを推奨します。自動アップデート機能は、自動アップデートが発生すると
データベースを自動的にアップデートします。自動アップデート機能の設定方法については、「ア
プライアンスのアップデート」 (111 ページ ) を参照してください。
データベースの入手
最新のアプライアンスは、デフォルトでフィルタデータベースを搭載してます。場合によっては、
データベースを手動で入手する必要があります。完全なフィルタデータベースを入手するには :
重要 : 既存のフィルタデータベースをアップデートする場合は、この手順を使用しないでくださ
い。
1. ナビゲーションウィンドウで、 [Maintenance] → [Filter DB] の順に選択します。
2. [Get Local DB] をクリックします。
注記 : 注記 :[Export Administration Regulation] ウィンドウが表示された場合は、内容を確認
し、 [Yes] を選択してから [Submit] をクリックします。
Firmware Update バージョン 1.7 以前で動作しているアプライアンスのデータベースを入手する場合
は、次のいずれかを行います。
問題点の報告
●
ISS の Web サイトから、 Firmware Update バージョン 1.8 以降をダウンロードする
●
ISS のダウンロードページからフィルタデータベースをダウンロードする
Web サイトの誤った分類など、フィルタデータベースに関する問題点を報告する場合は、本製品
の保守契約を締結されている販売代理店までご連絡ください。
●
http://www.iss.net/products_services/webfilter/test_site.php
●
[email protected]
●
[email protected]
Proventia® Network Multi-Function Security Appliance User Guide
211
第 15 章 : 電子メールと Web コンテンツのフィルタリング
212
第 16 章
ウィルスの検出と削除
概要
はじめに
この章では、アンチウィルスおよびウィルス防御システム (VPS) でウィルスを検出して削除する方
法について説明します。
参照 : これらの機能の監視方法と、関連するステータス、イベント、および統計値の詳細な説明
については、オンラインヘルプを参照してください。
ライセンスのリソース
この機能を使用するにはライセンスが必要です。次の表では、ライセンスのリソースについて説明
します。
リソース
説明
www.iss.net/issEn/MYISS/login_help.jhtml ライセンスを持ったユーザーを登録す
る場合はこのリンクに進みます。
www1.iss.net/cgi-bin/lrc
ライセンスの登録とダウンロードを行
う場合はこのリンクに進みます。
https://[email protected]
ライセンスの更新情報についてはこの
リンクに進みます。
ISS 販売代理店
ライセンスの入手については、販売代
理店までお問い合わせください。
Proventia Manager の [Licensing] ページから
[Maintenance] → [Licensing]
アプライアンスにライセンスをアップ
ロードする場合はこのページに進みま
す。
表 60: ライセンスのリソース
この章の内容
この章では、次のトピックについて説明します。
トピック
ページ
アンチウィルス防御機能の設定
214
アンチウィルスイベントのアラートとロギングの有効化
217
隔離 (Quarantine) されたファイルの管理
219
Proventia® Network Multi-Function Security Appliance User Guide
213
第 16 章 : ウィルスの検出と削除
アンチウィルス防御機能の設定
はじめに
ウィルスは、プログラム、データファイル、またはディスク領域に自身を添付する、自己増殖お
よび自己実行型コードです。ウィルスは、悪意のあるプログラムやトラップドアを含むことがあり
ますが、通常は常に悪意を持っています。ウィルスは直ちに識別され、削除される必要がありま
す。アンチウィルスおよびウィルス防御システムは、次のテクノロジを使用してウィルスの識別と
削除を行います。
●
シグネチャベースのウィルス検知 - アプライアンスは、 ISS が定義したシグネチャと呼ばれる
ウィルス定義リストを保有しています。これらは既知のウィルスのためのものです。アプライ
アンスは、これらのシグネチャについて電子メール、ファイル転送、および Web トラフィッ
クをスキャンし、感染したファイルがあれば適切な対応を取ります。暗号化されたファイル、
パスワードで保護されたファイル、またはユーザーが定義した除外ファイルリストはスキャ
ンしません。
参照 : ウィルスの詳細については、 www.wildlist.org を参照してください。
●
ビヘイビアベ
アベース
ースのウィルス検知 - アプライアンスは、悪意のあるコードの特徴について電子
メール、ファイル転送、および Web トラフィックを分析します。たとえば、悪意のあるプロ
グラムは自己増殖します。アプライアンスは自己増殖型コードを削除します。動作分析は、
ウィルス定義が存在しなくても、アプライアンスによるウィルス検知を可能にします。このよ
うなウィルス防御は、ゼロデイウィルス防御として知られています。アプライアンスは、疑
わしいファイルやプログラムを隔離するために適切な対応を取ります。 100 MB を超えるファ
イルでは、動作分析を行いません。
このトピックでは、アンチウィルス防御機能の設定方法について説明します。
透過性
始める前に
アンチウィルスソフトウェアは、デフォルトでトランスペアレントアプリケーション層ゲート
ウェイ (ALG) サービスとして機能します。トランスペアレントウィルススキャンを無効にする方
法については、「アンチウィルスの高度なパラメータ」 (327 ページ ) を参照してください。
●
avm.se.ftp.pftpd.address_transparent
●
avm.se.http.phttpd.address_transparent
●
avm.se.pop3.ppop3d.address_transparent
●
avm.se.smtp.psmtpd.address_transparent
アンチウィルスおよび VPS 機能を有効にする前に、スキャンする次のトラフィックの種類に対し
て ALG ポリシーを有効にする必要があります。
●
Web トラフィック (HTTP)
注記 : 外部のプロキシサーバーからクライアントへの Web トラフィック (HTTP) は防御され
ません。
●
電子メールトラフィック (SMTP および POP3)
●
ファイル転送 (FTP)
参照 : 「アプリケーション層でのトラフィックのフィルタリング」 (180 ページ ) を参照してくださ
い。
214
アンチウィルス防御機能の設定
手順
アンチウィルス防御機能を設定するには :
1. ナビゲーションウィンドウで [Configuration] → [Antivirus] の順に選択します。
2. 次のフィールドを入力します。
タブ
オプション
説明
Basic
Configuration
Antivirus Module Enabled
ウィルス防御を有効にする場合は、こ
のオプションを選択します。
General
Settings
Quarantine Infected Files
Found by Signature Engine
既知のウィルスに感染したファイルを
隔離する場合は、このオプションを選
択します。
Quarantine Infected Files
Found by VPS Engine
潜在的なウィルスに感染したファイル
を隔離する場合は、このオプションを
選択します。
•
HTTP using Signature
Engine
トラフィックとスキャンの種類を選択
します。
•
HTTP using VPS Engine
•
•
FTP using Signature Engine
•
FTP using VPS Engine
既知のウィルス ( シグネチャベー
ス ) と不明のウィルス (VPS) につ
いて、 Web トラフィック (HTTP)
のスキャン
•
SMTP using Signature
Engine
•
•
SMTP using VPS Engine
•
POP3 using Signature
Engine
既知のウィルス ( シグネチャベー
ス ) と不明のウィルス (VPS) につ
いて、ファイル転送トラフィック
(FTP) のスキャン
•
•
POP3 using VPS Engine
既知のウィルス ( シグネチャベー
ス ) と不明のウィルス (VPS) につ
いて、電子メールトラフィック
(SMTP および POP3) のスキャン
Protocols to
Protect
3. [File Extensions to Exclude from HTTP Antivirus] タブを選択し、ウィルススキャンから除外さ
れたファイル拡張子の一覧を確認し、編集します。アスタリスク (*) はワイルドカードとして
使用可能です。たとえば、「*.chm」や「*.dbx」などです。
4. [OK] をクリックし、変更内容を保存します。
ファイル拡張子の操作
[File Extensions Excluded from HTTP Antivirus] リストでファイル拡張子を追加、編集、コピー、また
は削除するには :
1. ナビゲーションウィンドウで [Configuration] → [Antivirus] の順に選択します。
2. [ Settings] を選択し、 [File Extensions to Exclude from HTTP Antivirus] タブを選択します。
3. 次のいずれかを行い、変更内容を保存します。
操作
手順
ファイル拡張子を追加す
る
[Add] アイコンをクリックし、ファイル拡張子を入力し、 [OK] を
クリックします。
ファイル拡張子を編集す
る
1. ファイル拡張子を選択し、 [Edit] アイコンをクリックします。
2. 拡張子を編集し、 [OK] をクリックします。
Proventia® Network Multi-Function Security Appliance User Guide
215
第 16 章 : ウィルスの検出と削除
操作
ファイル拡張子をコピー
する
手順
1. ファイル拡張子を選択し、 [Copy] アイコンをクリックしま
す。
2. [Paste] アイコンをクリックし、拡張子を編集し、 [OK] をク
リックします。
ファイル拡張子を削除す
る
216
ファイル拡張子を選択し、 [Remove] アイコンをクリックし、
[OK] をクリックします。
アンチウィルスイベントのアラートとロギングの有効化
アンチウィルスイベントのアラートとロギングの有効化
はじめに
イベントが発生すると、システムは電子メール、ネットワークメッセージ (SNMP トラップ )、ま
たは SiteProtector Console で警告を発することができます。さらに、そのイベントのログも記録し
ます。このトピックでは、イベントのアラートとロギングを有効にする方法について説明します。
ガイドライン
大量のイベントが予測される場合は、選択するアラートとロギングの種類を慎重に検討することを
推奨します。大量のイベントには、かなりの保存領域と処理能力が必要です。
始める前に
アラートを有効にする前に、アラートを受信する方法に応じて、次の作業を行う必要があります。
●
ネットワーク管理サービス (SNMP トラップ ) を有効にする。
参照 : 「ネットワーク管理サービス (SNMP) の有効化」 (86 ページ ) を参照してください。
●
電子メールによるアラートを設定する。
参照 : 「メールによるアラートの設定」 (103 ページ ) を参照してください。
●
アプライアンスを SiteProtector に登録し、アプライアンスで SiteProtector による管理を有効に
する。
参照 : 「SiteProtector でのアプライアンスの管理とアップデート」 (105 ページ ) を参照してく
ださい。
アンチウィルスイベン
ト
手順
次のアンチウィルスイベントに対して、アラートとロギングを有効にすることができます。
●
この機能がウィルスを検出したとき
●
この機能がステータスをアップデートし、アンチウィルス機能の統計数値を生成したとき
アンチウィルスイベントのアラートとロギングを有効にするには :
1. ナビゲーションウィンドウで [Configuration] → [Antivirus] の順に選択します。
2. [Event Notification] タブを選択します。
3. イベントの種類ごとにアラートとロギングのオプションを選択し、変更内容を保存します。
操作
手順
イベントのログを記録する
[Alert Logging for Event Name] を選択します。
メールでアラートを受け取る
[Email Enabled] を選択します。
重要 : 高度なパラメータ
attack.log_one_attack_every をデフォルト設
定の 100 のままにします。同じ種類のイベントが 100
回発生すると、システムは 100 のイベントではなく 1
つのイベントだけを記録し、電子メールを 1 回送信しま
す。
ネットワークアラート (SNMP ト
ラップ ) を受け取る
[SNMP Trap Enabled] を選択します。
SiteProtector Console にアラート
を送信する
[SiteProtector Enabled] を選択します。
Proventia® Network Multi-Function Security Appliance User Guide
217
第 16 章 : ウィルスの検出と削除
操作
手順
ステータスと統計値に関するア
ラートを受け取る
[Status Summary Enabled] を選択し、次のアラート受
信方法を選択します。
•
Email Enabled
•
SNMP Trap Enabled
•
SiteProtector Enabled
注記 : デフォルトで、システムは 1 日 1 回 ( 午前 8 時 )
アラートを送信します。スケジュールを変更するには、
「ステータスサマリの高度なパラメータ」 (364 ページ )
を参照してください。
218
隔離 (Quarantine) されたファイルの管理
イルの管理
隔離 (Quarantine) されたファイルの管理
はじめに
このトピックでは、隔離されたファイルの表示および削除方法について説明します。システムは、
ファイルの感染部分だけを隔離し、ファイルの残りの部分を削除します。
注意 : 隔離されたファイルの復元を試みる場合は、細心の注意を払ってください。
隔離されたファイルの操隔離されたファイルを表示または削除するには、次の作業を行います。
作
操作
手順
隔離されたファイルを表示す
る
[Quarantine File Management ] ページにアクセスします。
隔離されたファイルを削除す
る
ファイルを選択し、 [Delete] をクリックします。
隔離されたファイルをすべて
削除する
[Delete All] をクリックします。
Proventia® Network Multi-Function Security Appliance User Guide
219
第 16 章 : ウィルスの検出と削除
220
第 17 章
不正侵入の検出と防御
概要
はじめに
この章では、不正侵入防御機能を使ってネットワーク上の不正侵入を検出して防御する方法につい
て説明します。
参照 : この機能の監視方法と、関連するステータス、イベント、および統計値の詳細な説明につ
いては、オンラインヘルプを参照してください。
ライセンスのリソース
この機能を使用するにはライセンスが必要です。次の表では、ライセンスのリソースについて説明
します。
リソース
説明
www.iss.net/issEn/MYISS/login_help.jhtml ライセンスを持ったユーザーを登録す
る場合はこのリンクに進みます。
www1.iss.net/cgi-bin/lrc
ライセンスの登録とダウンロードを行
う場合はこのリンクに進みます。
https://[email protected]
ライセンスの更新情報についてはこの
リンクに進みます ( 米国のみ )。
ISS 販売代理店
ライセンスの入手については、販売代
理店までお問い合わせください。
Proventia Manager の [Licensing] ページから
[Maintenance] → [Licensing]
アプライアンスにライセンスをアップ
ロードする場合はこのページに進みま
す。
表 61: ライセンスのリソース
この章の内容
この章では、次のトピックについて説明します。
トピック
ページ
不正侵入防御機能の設定
222
不正侵入イベントのアラートとロギングの有効化
224
不正侵入の隔離 (Quarantine) ルールの管理
226
不正侵入防御イシューリストの操作
227
Proventia® Network Multi-Function Security Appliance User Guide
221
第 17 章 : 不正侵入の検出と防御
不正侵入防御機能の設定
はじめに
不正侵入は、デバイスがネットワーク上の脆弱点を悪用しようとしているとき、または後から攻撃
で使用できる情報についてデバイスがネットワークをスキャンしようとするときに行われます。不
正侵入防御機能は、次の作業を行います。
●
進行中の攻撃を検出してブロックする。
●
不正なポートスキャンやネットワーク調査などの監査を検出してブロックする。
●
電子メール、ネットワークメッセージ (SNMP トラップ )、または SiteProtector Console によっ
て、攻撃、監査、およびブロックアクティビティに関する警告を発する。
●
システムログで攻撃、監査、およびブロックアクティビティを記録する。
●
イベントをフィルタリングする。
このトピックでは、不正侵入防御機能の設定方法について説明します。
イベントフィルタ
イベントフィルタは、アプライアンスが生成するイベントを制御します。アプライアンスが特定
のホストまたはトラフィックのイベントを無視するようにする場合は、イベントフィルタを設定
してください。
手順
不正侵入防御機能を設定するには :
1. ナビゲーションウィンドウで、 [Configuration] → [Intrusion Prevention] → [Intrusion
Prevention Settings] の順に選択します。
2. [Protection Settings] タブを選択し、次のオプションを選択します。
オプション
説明
Intrusion Prevention Module
Enabled
不正侵入防御を有効にする場合は、このオプションを選択し
ます。
X-Force Protection
Responses, featuring Virtual
Patch Technology, enabled
X-Force がブロックレスポンスを含むすべてのシグネチャに
割り当てるデフォルトの防御レスポンスをすべて有効にする
場合は、このオプションを選択します。
アプライアンスが不正侵入をブロックするようにする場合
は、このオプションを有効にする必要があります。そうしな
いと、アプライアンスは不正侵入だけを検出し、その不正侵
入に関してアラートを送信します。
3. [Event Filters] タブを選択します。
4. 次のいずれかを行い、変更内容を保存します。
操作
イベントフィルタを追
加する
手順
1. [Add] アイコンをクリックします。
2. [Description] にフィルタの説明を入力し、 [Enabled] を選択
します。
3. [Issue Id] リストからイシューを選択します。
4. [OK] をクリックします。
222
不正侵入防御機能の設定
操作
イベントフィルタルー
ルを追加する
手順
1. イベントフィルタ項目を選択し、ダブルクリックします。
2. [Issue Id] リストからイシューを選択します。
3. [Event Filter] セクションで [Add] アイコンをクリックします。
4. [OK] をクリックします。
イベントフィルタルー
ルを編集する
1. [Event Filters] セクションで、エントリをダブルクリックしま
す。
2. [Not] をオンにします。
3. [Addresses] フィールドをダブルクリックします。
4. [Intruder Addresses] セクションまたは [Victim Addresses] セ
クションで、 [Edit] または [Add] をクリックします。
5. 次のいずれかを選択し、適切な IP アドレスを入力します。
• Any Address
• Single IP Address
• IP Address Range
• IP Address/Mask
6. [OK] をクリックします。
7. [Datagram] フィールドをダブルクリックします。
8. [Protocol] の矢印をクリックしてプロトコルのリストを確認
し、プロトコルを選択します。
9. [Intruder Ports] セクションまたは [Victim Ports] セクション
で、 [Edit] または [Add] をクリックします。
10. 次のいずれかを選択し、適切なポート番号を入力します。
• Any Port
• Single Port
• Port Range
11. [Not] をオンまたはオフにします。
12. [OK ] をクリックして [Port Expression Editor] ウィンドウを閉
じ、もう一度 [OK ] をクリックします。
イベントフィルタを削
除する
イベントフィルタを選択し、 [Remove] アイコンをクリックしま
す。
Proventia® Network Multi-Function Security Appliance User Guide
223
第 17 章 : 不正侵入の検出と防御
不正侵入イベントのアラートとロギングの有効化
はじめに
イベントが発生すると、システムは電子メール、ネットワークメッセージ (SNMP トラップ )、ま
たは SiteProtector Console で警告を発することができます。さらに、そのイベントのログも記録し
ます。このトピックでは、アラートとロギングを有効にする方法について説明します。
ガイドライン
大量のイベントが予測される場合は、選択するアラートとロギングの種類を慎重に検討することを
推奨します。大量のアラートとログエントリには、かなりの保存領域と処理能力が必要です。
始める前に
アラートを有効にする前に、アラートを受信する方法に応じて、次の作業を行う必要があります。
●
ネットワークメッセージサービス (SNMP トラップ ) を有効にする。
参照 : 「ネットワーク管理サービス (SNMP) の有効化」 (86 ページ ) を参照してください。
●
電子メールによるアラートを設定する。
参照 : 「メールによるアラートの設定」 (103 ページ ) を参照してください。
●
アプライアンスを SiteProtector に登録し、アプライアンスで SiteProtector による管理を有効に
する。
参照 : 「SiteProtector でのアプライアンスの管理とアップデート」 (105 ページ ) を参照してく
ださい。
不正侵入防御イベント
手順
次の不正侵入防御イベントに対して、アラートとロギングを有効にすることができます。
●
この機能が攻撃をブロックしたとき
●
この機能が攻撃を検出したが、ブロックしないとき
●
この機能が監査を検出したが、ブロックしないとき
●
この機能がステータスをアップデートし、統計値を生成したとき
●
隔離ルールが追加、削除、期限切れ、または一致したとき
●
この機能がパケット内の無効なチェックサムまたはプロトコルを検出したとき
●
この機能がリソースエラーを検出したとき
●
この機能が TCP 接続をブロックしたとき
不正侵入防御イベントのアラートとロギングを有効にするには :
1. ナビゲーションウィンドウで、 [Configuration] → [Intrusion Prevention] → [Intrusion
Prevention Settings] の順に選択します。
2. [Event Notification] タブを選択します。
3. イベントの種類ごとにアラートとロギングのオプションを選択し、変更内容を保存します。
224
操作
手順
イベントのログを記録する
Alert Logging for Event Name] を選択します。
メールでアラートを受け取る
[Email Enabled] を選択します。
ネットワークアラート (SNMP ト
ラップ ) を受け取る
[SNMP Trap Enabled] を選択します。
SiteProtector Console にアラート
を送信する
[SiteProtector Enabled] を選択します。
不正侵入イベントのアラートとロギングの有効化
操作
手順
ステータスと統計値に関するア
ラートを受け取る
[Status Summary Enabled] を選択し、次のアラート受
信方法を選択します。
•
Email Enabled
•
SNMP Trap Enabled
•
SiteProtector Enabled
注記 : デフォルトで、システムは 1 日 1 回 ( 午前 8 時 )
アラートを送信します。スケジュールを変更するには、
「ステータスサマリの高度なパラメータ」 (364 ページ )
を参照してください。
Proventia® Network Multi-Function Security Appliance User Guide
225
第 17 章 : 不正侵入の検出と防御
不正侵入の隔離
不正侵入の隔離 (Quarantine) ルールの管理
はじめに
システムは、イベントを検出すると自動的に隔離ルールを作成し、そのルールを隔離ルールテー
ブルに格納します。隔離ルールは、ブロックするパケットとブロック期間を指定します。このルー
ルはワームの拡散を防ぎ、バックドアまたはトロイの木馬に感染したシステムへのアクセスを拒否
します。このトピックでは、隔離ルールの表示および削除方法について説明します。
隔離ルールテーブル
表 62 では、隔離ルールテーブルのフィールドについて説明します。
フィールド a
説明
Source IP
ブロック対象パケットの発信元 IP アドレス。
Source Port
ブロック対象パケットの発信元ポート番号 ( プロトコルが 6 または 17 の
場合 )。
Dest IP
ブロック対象パケットの宛先 IP アドレス。
Dest Port
ブロック対象パケットの宛先ポート番号 ( プロトコルが 6 または 17 の場
合 )。
ICMP Type
ブロック対象パケットの ICMP タイプ番号 ( プロトコルが 1 の場合 )。
ICMP Code
ブロック対象パケットの ICMP コード番号 ( プロトコルが 1 の場合 )。
Protocol
ルールの IP プロトコル (ICMP = 1、 TCP = 6、 UDP = 17)。
Expiration Time
ルールの有効期限。
Block Percentage
ブロックするパケットのパーセンテージ。
表 62: 隔離ルールテーブルのフィールド
a.
隔離ルールの操作
アスタリスク (*) は無視されたフィールドを示します。
隔離ルールを表示または削除するには :
1. ナビゲーションウィンドウで、 [Configuration] → [Intrusion Prevention] → [Intrusion
Prevention Settings] の順に選択します。
2. [Quarantined Intrusions] を選択します。
3. 次のいずれかを行い、変更内容を保存します。
226
操作
手順
隔離ルールを表示する
エントリを選択し、 [Display] をクリックします。
隔離ルールを削除する
エントリを選択し、 [Remove] アイコンをクリックします。
不正侵入防御イシューリストの操作
不正侵入防御イシューリストの操作
はじめに
このトピックでは、不正侵入防御イシューの表示とコピーを行います。
イシューリストの
フィールド
表 63 では、リストに表示されるフィールドについて説明します。
フィールド
説明
Name
セキュリティチェック ( イシュー ) の名前。
Issue ID
イシューの固有の識別子。
Type
イシューのタイプ (attack または audit)。
Protocol
イシューのアプリケーションプロトコル ( 例 : http、 ftp、 smtp、 dns)。
Priority
イシューの危険度 (high、 medium、 low)。
Status
イシューの検出ステータス (enabled または disabled)。
Protection Response X-Force によって指定された、イシューの防御レスポンス。
表 63: イシューリストのフィールド
イシューリストの操作
イシューリストからイシューを表示またはコピーするには :
1. ナビゲーションウィンドウで、 [Configuration] → [Intrusion Prevention] → [Intrusion
Prevention Settings] の順に選択します。
2. [Issue List] を選択します。
3. 次のいずれかを行います。
操作
イシューを表示する
手順
1. イシューを選択し、 [Display] をクリックします。
2. [OK] をクリックします。
イシューをコピーする
1. イシューを選択し、 [Copy] アイコンをクリックします。
2. 情報をファイルに貼り付けます。
Proventia® Network Multi-Function Security Appliance User Guide
227
第 17 章 : 不正侵入の検出と防御
228
パート IV
®
VPN の設定
第 18 章
VPN の設定
概要
はじめに
この章では、 VPN を設定する方法について説明します。
この章の内容
この章では、次のセクションについて説明します。
セクション
ページ
セクション A: 「VPN の設定」
233
セクション B: 「証明書の管理」
253
セクション C: 「セキュリティゲートウェイの設定」
259
セクション D: 「IPSEC ポリシーの設定」
277
セクション E: 「IKE ポリシーの設定」
287
Proventia® Network Multi-Function Security Appliance User Guide
231
第 18 章 : VPN の設定
232
セクション A:
VPN の設定
概要
はじめに
このセクションの内容
このセクションでは、 Virtual Private Network (VPN) の使用方法と使用時期、また VPN の設定に付
随する設定作業について説明します。さらに、次の新しい VPN ウィザードを使用して VPN を設定
する手順について説明します。
●
SoftRemote VPN クライアントから M シリーズアプライアンス
●
M シリーズアプライアンスから M シリーズアプライアンス
●
Windows 2000 および XP から M シリーズアプライアンス
このセクションでは、次のトピックについて説明します。
トピック
ページ
VPN の概要
234
VPN 設定プロセス
237
VPN 設定ウィザード
238
SoftRemote クライアントでの VPN の設定
239
アプライアンス間での VPN の設定
241
Windows 2000 および XP クライアントでの VPN の設定
245
L2TP/IPSEC VPN 接続の設定
248
VPN ユーザーの設定
251
Proventia® Network Multi-Function Security Appliance User Guide
233
第 18 章 : VPN の設定
VPN の概要
はじめに
このトピックでは、 VPN に関する一般的な情報を説明します。
VPN とは
VPN は、リモートクライアントや LAN のようにデバイスを相互に接続します。 VPN は、物理的
接続のように機能する、 2 デバイス間の安全な接続です。費用のかかる専用回線やモデムの代わり
に、 VPN 接続は、専用のソフトウェアと既存のインターネット基盤を使用して接続を確立します。
本質的に、この接続はインターネットを通過するトンネルです。ネットワークトラフィックは、
インターネット上のトンネルを通って非公開かつ安全に移動することができます。インターネット
上のデバイスが VPN 上のトラフィックを挿入、表示、または受信することはできません。接続を
確立しているデバイスを認証し、 VPN 上のトラフィックを暗号化することが重要です。アプライ
アンスベースの VPN ソリューションは、認証と暗号化の両方をサポートします。これらのトピッ
クについては、この章でさらに説明します。
VPN トンネル
VPN は、公共のインターネット基盤を通過する非公開で安全な接続であることから、トンネルと
呼ばれます。ネットワークトラフィックは、このトンネルを通って接続されたデバイス間を移動
することができます。トンネル内のトラフィックは、秘匿性、機密性、および完全性を保証するた
めにカプセル化と暗号化が行われます。ほとんどのネットワークトラフィックはトンネルを通過
できます。通信デバイスにとって、トンネルは透過的です。通信デバイスは、トンネルの 2 つの終
点の間にあるルーター、スイッチ、プロキシサーバー、またはゲートウェイデバイスに気付きま
せん。
VPN トンネルの種類
次の表では、 VPN 機能を使って作成できる 2 種類のトンネルについて説明します。
トンネルの種類
説明
IPSec トンネル
IPSec トンネルには次のような特徴があります。
L2TP over IPSec トンネ
ル
•
非常に合理的で、調整可能。
•
認証とルーティングの設定には、手動による設定が必要です。
•
TCP/IP トラフィックに対してのみカプセル化をサポートします。
•
部門間の接続など、ゲートウェイどうしの接続に使用されます。
•
接続パラメータが変化しない場所の接続に適しています。
•
動的に設定を変更するクライアントの接続には、あまり適してい
ません。
L2TP over IPSec トンネルには次のような特徴があります。
•
暗号化に IPSec を使用します。
•
TCP/IP および IPX トラフィックのカプセル化をサポートします。
•
Windows 2000 および XP でサポートされています。
•
クライアントとサーバー間の接続に使用されます。
•
動的に設定を変更するクライアントの接続によく適しています。
•
ゲートウェイ間の接続に使用されます。
•
Microsoft オペレーティングシステムなどのオペレーティングシ
ステムは、トンネルのために保存されたネットワーク接続を維持
することができます。
表 64: VPN トンネルの種類
認証
234
ネットワークへの接続を試みるデバイスを認証することは非常に重要であり、認証済みのデバイス
だけが接続していることを保証することができます。アプライアンスベースの VPN ソリューショ
ンでは、数種類の認証を提供します。
VPN の概要
VPN コンポーネント
次の表では、アプライアンスで設定可能な VPN コンポーネントについて説明します。
コンポーネント
説明
セキュリティゲートウェ
イ
セキュリティゲートウェイは、 VPN トンネルのネットワーク上
にある接続ポイントです。たとえば、ネットワークに接続するリ
モートユーザーのために VPN トンネルを設定する場合、この接
続の 2 つの終点は、リモートクライアントとセキュリティゲー
トウェイになります。セキュリティゲートウェイとして機能する
実際のデバイスは、次のいずれかです。
•
ルーター
•
ファイアウォール
•
プロキシサーバー
•
Proventia アプライアンス
アプライアンスベースの VPN 接続の場合、セキュリティゲート
ウェイはアプライアンスです。 VPN 接続パラメータを設定すると
きに、その接続のセキュリティレベルやその接続で使用されるプ
ロトコルなどの情報を入力します。アプライアンスは、使用する
キー管理のタイプに応じて、 4 つのアプライアンスセキュリティ
ゲートウェイを備えています。
注記 :DMZ などの信頼されていないゾーンのトラフィックをさら
に防御するために、複数のセキュリティゲートウェイをプライ
ベートネットワーク内に設定することができます。
VPN の高度な設定
アプライアンスは、認証された VPN ユーザーと、認証された
ユーザーを認証するためのテクノロジである Remote
Authentication Dial-In User Service (RADIUS) を設定するための
高度な設定オプションを提供します。
ネットワークオブジェク
ト
ネットワークオブジェクトは、 IP アドレスやポート情報などの
一般的に使用されるネットワーク情報を含んでいます。ネット
ワークオブジェクトアプライアンス上に格納され、 VPN を設定
するときに使用可能です。詳細については、「ネットワークオブ
ジェクトの定義」 (87 ページ ) を参照してください。
高度なパラメータ
アプライアンスは、 VPN 設定をさらに調整してカスタマイズする
ために高度なパラメータを提供します。詳細については、「高度
なパラメータ」 (323 ページ ) を参照してください。
表 65: アプライアンスの VPN コンポーネント
VPN プロトコル
VPN プロトコルは次の内容を定義します。
●
ピアがデータパケットをカプセル化する方法
●
ピアが相互に認証する方法
●
ピアがパブリック / プライベート暗号化キーを交換する方法
●
ピアが VPN トンネルをネゴシエートする方法
●
ピアがデータを暗号化する方法
Proventia® Network Multi-Function Security Appliance User Guide
235
第 18 章 : VPN の設定
VPN 接続は次のプロトコルをサポートします。
プロトコル
定義
PPTP
Point-to-Point Tunneling Protocol。 Virtual Private Network (VPN) 作成の新
しい技術です。インターネットは本質的にオープンなネットワークであ
るため、 Point-to-Point Tunneling Protocol (PPTP) は、ある VPN ノードか
ら別の VPN ノードに送信されるメッセージを保護するために使用されま
す。
L2TP
Layer 2 Tunneling Protocol。 Point-to-Point Tunneling Protocol (PPTP) の
拡張であり、インターネット上で VPN の動作を有効にするためにイン
ターネットサービスプロバイダによって使用されます。 L2TP には暗号
化が備わっていませんが、リモートユーザーから企業 LAN への VPN 接
続を提供するために、 IPSec の使用がデフォルトで設定されています。
L2TP は、ほとんどの新しい Microsoft オペレーティングシステムに含ま
れています。
IPSEC
IPSEC は、 IP プロトコルに対する一連の拡張機能です。暗号化キーの管
理方法や様々なレベルでの VPN ピア認証方法など、多くの技術を 1 つの
完全なサービスに統合します。
表 66: VPN のネットワークプロトコル
VPN とハイアベイラビ
リティ
236
ハイアベイラビリティ用に配置し、設定したアプライアンスは、 VPN を設定するときに次の考慮
事項を確認する必要があります。
●
ネットワーク設定 - ハイアベイラビリティ機能を持つアプライアンスのネットワーク設定を
変更することはできません。設定を変更する前に、ハイアベイラビリティ機能を無効にする
必要があります。
●
接続の切断 - プライマリアプライアンスがバックアップアプライアンスにフェールオーバー
すると、 VPN、 FTP、 HTTP、他の TCP 接続などの既存の接続がすべて切断されます。フェー
ルオーバー後に、セカンダリアプライアンスで接続を再確立する必要があります。
●
セキュリティゲートウェイ設定 - VPN 接続のセキュリティゲートウェイとしてアプライアン
スを設定するときに、最初の仮想 IP アドレスを Local ID に使用する必要があります。 Local ID
には次のいずれも使用できません。
■
エイリアス
■
プロキシ ARP を使用する IP アドレス
■
2 番目の仮想 IP アドレス
VPN 設定プロセス
VPN 設定プロセス
はじめに
このトピックでは、 VPN 接続を設定するプロセスについて説明します。
作業の概要
次の表では、 VPN 接続の設定作業について説明します。
作業
1
説明
証明書をインストールして設定する ( オプション )。
「証明書の管理」 (253 ページ ) を参照してください。
2
セキュリティゲートウェイを設定する。
「セキュリティゲートウェイの設定」 (259 ページ ) を参照してください。
3
必要なアクセスポリシーを設定する。
「ファイアウォールルーティングにおけるトラフィックの許可と拒否」 (171 ページ ) を
参照してください。
4
IPSEC ポリシーを設定する。
「IPSEC ポリシーの設定」 (277 ページ ) を参照してください。
5
VPN ユーザーリストを設定する。
「VPN ユーザーの設定」 (251 ページ ) を参照してください。
6
RADIUS クライアントを設定する ( オプション )。
「IPSEC Remote Client セキュリティゲートウェイでの RADIUS の設定」 (263 ページ )
を参照してください。
表 67: VPN の設定作業
VPN 設定
アプライアンスと他のシステム間の VPN (Virtual Private Network) の設定方法については、次のド
キュメントを参照してください。
●
Configuring VPN from Proventia Integrated Security Appliance to Cisco PIX 515E (http://
documents.iss.net/literature/proventia/vpn_ex_cisco.pdf)
●
Configuring VPN from Proventia Integrated Security Appliance to Check Point Systems (http://
documents.iss.net/literature/proventia/vpn_ex_ckpt.pdf)
●
Configuring VPN from Proventia Integrated Security Appliance to Proventia Integrated Security
Appliance (http://documents.iss.net/literature/proventia/
vpn_ex_mseries.pdf)
●
Configuring VPN from Proventia Integrated Security Appliance to NetScreen Systems (http://
documents.iss.net/literature/proventia/vpn_ex_netscreen.pdf)
●
Configuring VPN from Proventia Integrated Security Appliance to SoftRemote Systems (http://
documents.iss.net/literature/proventia/vpn_ex_softremote.pdf)
●
Configuring VPN from Proventia Integrated Security Appliance to Symantec Systems (http://
documents.iss.net/literature/proventia/vpn_ex_symantec.pdf)
●
Configuring VPN from Proventia Integrated Security Appliance to Windows XP Systems (http://
documents.iss.net/literature/proventia/vpn_ex_winxp.pdf)
●
Configuring L2TP/IPSEC VPN Connections from Proventia M Series Appliance to Windows XPSystems
(http://documents.iss.net/literature/proventia/vpn_ex_winxp_L2TP.pdf)
Proventia® Network Multi-Function Security Appliance User Guide
237
第 18 章 : VPN の設定
VPN 設定ウィザード
はじめに
VPN ウィザードは、アプライアンスとさまざまな VPN クライアント間で VPN 接続を作成する作
業を容易にします。このウィザードは、提供された情報を使用して、必要とされるファイアウォー
ルルールやその他設定を作成します。
ウィザードの説明
次の表では、各 VPN ウィザードについて説明します。
ウィザード
説明
SoftRemote VPN Client to M Series Wizard SoftRemote VPN クライアントを使ってリモート接
続するユーザーを対象に、アプライアンスへの
VPN 接続を作成します。
M Series to M Series Wizard
2 つのアプライアンス間の VPN 接続を作成します。
注記 : このウィザードは、ウィザードを実行するア
プライアンスに対して、 VPN 接続パラメータを作
成します。接続パラメータを設定するには、他のア
プライアンス上でこのウィザードを再び実行する必
要があります。
W2K and XP to M Series Wizard
Windows 2000 または XP の VPN クライアントを
使ってリモート接続するユーザーを対象に、 VPN
接続を作成します。
表 68: VPN ウィザードの説明
生成されるポ
れるポリシー
ウィザードは VPN に対して次を作成します。
●
NAT 発信元ルール
●
IPSec ポリシー
注記 : ファイアウォール設定のこれらのポリシーを編集または削除することができます。ポリ
シーを削除する場合は、 VPN 接続を無効にします。
ネットワークオブジェ
クト
238
ウィザードでは、 IP アドレスに既存のネットワークオブジェクトを選択することができます。こ
の作業中にネットワークオブジェクトを作成または編集するには、ウィザードで使用可能な
[Configure] オプションをクリックします。
SoftRemote クライアントでの VPN の設定
SoftRemote クライアントでの VPN の設定
はじめに
このトピックでは、アプライアンスと SoftRemote クライアント間で VPN 接続を確立する方法につ
いて説明します。
注記 : このウィザードには、ほとんどのネットワーク用に最適化されたデフォルト設定が含まれ
ています。デフォルト設定を承諾することを推奨します。
手順
アプライアンスと SoftRemote クライアント間で VPN 接続を設定するには :
1. ナビゲーションウィンドウで [VPN] → [Wizards] → [SoftRemote VPN Client to M Series] の順
に選択します。
2. [Comment] フィールドに、最大 256 文字の英数字を入力します。
3. [Local Network Settings] セクションで、次のいずれかを行って [Local Network IP Address/#
Network Bits] を選択します。
操作
手順
固定 IP アドレス / マス
クを使用する
[Static Address/Mask] を選択し、アドレスとサブネットマスク
を入力します。
例:
128.8.27.18 / 16
アドレス名を使用する
[Address CIDR Name] を選択し、一覧からエントリを選択しま
す。
動的アドレス名を使用す
る
[Dynamic Address CIDR Name] を選択し、一覧からエントリを
選択します。
4. 次のフィールドを入力します。
フィールド
説明
Authenticate Peer
Users
VPN ユーザーを認証する場合はこのオプションを選択します。
New Security Gateway
Name
新しいゲートウェイ名に最大 32 文字の英数字を入力します。
5. [VPN Address Pool] セクションで、次のいずれかを行って [Address Range 1] を指定します。
注記 : 最大 3 つのアドレス範囲を指定することができます。クライアントがアプライアンス
で VPN トンネルを構築するときに、アプライアンスは SoftRemote クライアントに IP アドレ
ス範囲を割り当てます。 IP アドレスをネットワーク内の既存 IP アドレスと重複させることは
できません。
操作
手順
静的 IP アドレス / マス
クを使用する
[Static Address] を選択し、 IP アドレスを入力します。
アドレス名を使用する
[Address Name] を選択し、一覧からエントリを選択します。
動的アドレス名を使用す
る
[Dynamic Address Name] を選択し、一覧からエントリを選択
します。
Proventia® Network Multi-Function Security Appliance User Guide
239
第 18 章 : VPN の設定
6. [Local IP Address] セクションで、次のいずれかを行って認証のための IP アドレスオプション
を選択します。
操作
手順
静的 IP アドレスを使用
する
[Static Address] を選択し、 IP アドレスを入力します。
アドレス名を使用する
[Address Name] を選択し、一覧からエントリを選択します。
動的アドレス名を使用す
る
[Dynamic Address Name] を選択し、一覧からエントリを選択
します。
7. [Remote ID] セクションの [FQDN] (Fully Qualified Domain Name) フィールドに、完全修飾ド
メイン名を入力します。
例 : [email protected]
8. [Authentication Method] セクションで、次の認証モードを選択します。
操作
事前共有キーを使用する
手順
1. [Pre-Shared Key] を選択し、英数字 8 文字以上のテキスト文
字列を入力します。 #*! などの記号を含めることができます。
2. VPN 接続を確立するために VPN ピアにキーを入力します。
注記 : 共有キー認証は、メインモードではサポートされません。
DSS を使用する
[ DSS SIGN] を選択します。
RSA を使用する
[ RSA SIGN] を選択します。
9. 変更内容を保存します。
240
アプライアンス間での
ス間での VPN の設定
アプライアンス間での
ス間での VPN の設定
はじめに
このトピックでは、 Firewall/VPN M Series to M Series Wizard を使用して 2 つのアプライアンス間で
VPN 接続を確立する方法について説明します。
注記 : このウィザードには、ほとんどのネットワーク用に最適化されたデフォルト設定が含まれ
ています。デフォルト設定を承諾することを推奨します。
作業の概要
M Series to M Series Wizard を完了するには、次の作業を行う必要があります。
作業
説明
1
一般設定を指定する。
2
ローカルネットワーク設定を指定する。
3
リモートネットワーク設定を指定する。
4
VPN/ セキュリティゲートウェイ設定を指定する。
表 69: M to M VPN ウィザードの作業
作業 1: 一般設定を指定
する
一般設定を指定するには :
1. ナビゲーションウィンドウで [VPN] → [Wizards] → [M Series to M Series] の順に選択します。
2. [General] タブを選択し、次のように入力します。
作業 2: ローカルネット
ワーク設定を指定する
オプション
説明
Name
名前に最大 32 文字の英数字を入力します。
Comment
説明に最大 256 文字の英数字を入力します。
Log Enabled
ログを記録する場合はこのオプションを選択します。
ローカルネットワーク設定を指定するには :
●
[Local Network] タブを選択し、次のいずれかを行います。
操作
手順
1 つの IP アドレスを使
用する
[Single IP Address] を選択し、 IP アドレスを入力します。
サブネット上の IP アド
レスを使用する
[Network Address / #NetworkBits (CIDR)] を選択し、 IP アドレ
スとマスクを入力する
例 : 128.8.27.18 / 16
アドレス名を使用する
[Address Name] を選択し、一覧から項目を選択します。
動的アドレス名を使用す
る
[Dynamic Address Name] を選択し、一覧から項目を選択しま
す。
Proventia® Network Multi-Function Security Appliance User Guide
241
第 18 章 : VPN の設定
作業 3: リモートネット
ワーク設定を指定する
リモートネットワーク設定を指定するには :
●
[Remote Network] タブを選択し、次のいずれかを行います。
操作
手順
1 つの IP アドレスを使
用する
[Single IP Address] を選択し、 IP アドレスを入力します。
サブネット上の IP アド
レスを使用する
[Network Address / #NetworkBits (CIDR)] を選択し、 IP アドレ
スとマスクを入力する
例 : 128.8.27.18 / 16
作業 4:VPN セキュリ
ティゲートウェイ設定
を指定する
アドレス名を使用する
[Address Name] を選択し、一覧から項目を選択します。
動的アドレス名を使用す
る
[Dynamic Address Name] を選択し、一覧から項目を選択しま
す。
セキュリティゲートウェイ設定を指定するには :
1. [VPN] タブを選択し、次のいずれかを行います。
操作
手順
既存のセキュリティ
ゲートウェイを使用する
[Use Existing Auto Key IPSEC Security Gateway] を選択し、
一覧から項目を選択します。
新しいセキュリティ
ゲートウェイを作成する
手順 2 に進みます。
2. [Create New Auto Key IPSEC Security Gateway] を選択します。
3. [New Security Gateway Name] セクションの [Name] フィールドに、名前を入力します。
4. [Local IP Address] セクションで、次のいずれかを行います。
操作
手順
静的 IP アドレスを使用
する
[Static Address] を選択し、 IP アドレスを入力します。
アドレス名を使用する
[Address Name] を選択し、一覧からエントリを選択します。
動的アドレス名を使用す
る
[Dynamic Address Range Name] を選択し、一覧から動的アド
レス名のエントリを選択します。
5. [Remote IP Address] セクションで、次のいずれかを行います。
242
操作
手順
静的 IP アドレスを使用
する
[Static Address] を選択し、 IP アドレスを入力します。
アドレス名を使用する
[Address Name] を選択し、一覧からエントリを選択します。
動的アドレス名を使用す
る
[Dynamic Address Range Name] を選択し、一覧から動的アド
レス名のエントリを選択します。
アプライアンス間での
ス間での VPN の設定
6. [Remote ID] セクションで、次のいずれかを行います。
操作
手順
静的 IP アドレスを使用
する
[Static Address] を選択し、 IP アドレスを入力します。
ヒント : ほとんどの Windows L2TP/IPSEC クライアントでは、
[Static IP Address] を選択し、アプライアンスの外部 IP アドレ
スを入力します。
アドレス名を使用する
[Address Name] を選択し、一覧からエントリを選択します。
動的アドレス名を使用す
る
[Dynamic Address Name] を選択し、一覧からエントリを選択
します。
FQDN
[FQDN] を選択し、完全修飾ドメイン名を入力します。
例:
companyserver.iss.net
User FQDN
[User FQDN] を選択し、完全修飾ドメイン名を入力します。
例:
[email protected]
DER ASN1 DN
[DER ASN1 DN] を選択し、 [DER ASN1 DN] フィールドにデータ
を入力します。
これは、すべてのクライアントが共有する証明書の値であり、各
クライアントに与えられた x.509 証明書である必要があります。
オプションは次のとおりです。
/C ( 国 )
/S ( 州または地方 )
/L ( 地域または都市 )
/O ( 組織または会社 )
/OU ( 組織単位または担当部署 )
/CN ( 一般名 )
例:
/C=US /S=GA /L=Atlanta /O=ISS /OU=QA /CN=mycomputer
注記 : 証明書のフィールドでは、任意の値と一致するワイルド
カードとして「*」を使用してください。
Proventia® Network Multi-Function Security Appliance User Guide
243
第 18 章 : VPN の設定
7. [Authentication Method] セクションで、次のいずれかを行います。
注記 : 認証モードは、ローカルピアがリモートピアに対して自分自身の身元を証明する方法
を定義します。
操作
事前共有キーを使用する
手順
1. [Pre-Shared Key] を選択し、次のテキスト文字列を入力しま
す。
ヒント : テキスト文字列は、英数字 8 文字以上にする必要が
あります。 #*! などの記号を含めることができます。
2. VPN 接続を確立するために VPN ピアに事前共有キーを入力
します。
注記 : 事前共有キー認証は、メインモードではサポートされませ
ん。
DSS を使用する
[ DSS SIGN] を選択します。
RSA を使用する
[ RSA SIGN] を選択します。
8. 変更内容を保存します。
244
Windows 2000 および XP クライアントでの VPN の設定
Windows 2000 および XP クライアントでの VPN の設定
はじめに
このトピックでは、 VPN ウィザードを使用してアプライアンスと Windows 2000 または XP の VPN
クライアント間で VPN 接続を確立する方法について説明します。
注記 : このウィザードには、ほとんどのネットワーク用に最適化されたデフォルト設定が含まれ
ています。デフォルト設定を承諾することを推奨します。
手順
Firewall/VPN W2K and XP to M Series Wizard を完了するには :
1. ナビゲーションウィンドウで [VPN] → [Wizards] → [W2K/XP to M Series] の順に選択します。
2. [General] タブを選択し、次のフィールドを入力します。
フィールド
説明
Name
名前に最大 32 文字の英数字を入力します。
Comment
説明に最大 256 文字の英数字を入力します。
3. 次のいずれかを行って、ローカル L2TP トンネルの終点に割り当てる IP アドレスオプション
を選択します。
操作
手順
静的 IP アドレスを使用
する
[Static Address] を選択し、 IP アドレスを入力します。
ヒント : ほとんどの Windows L2TP/IPSEC クライアントでは、
このオプションを選択します。
例:
•
L2TP エンドポイント IP アドレス : 192.168.2.1
•
L2TP IP アドレスプール : 192.168.2.2-192.168.2.254
アドレス名を使用する
[Address Name] を選択し、一覧からエントリを選択します。
動的アドレス名を使用す
る
[Dynamic Address Name] を選択し、一覧からエントリを選択
します。
4. [Local Network Settings] セクションで、次のいずれかを行って [Local Network ID Type] の一覧
からオプションを選択します。
操作
手順
静的 IP アドレスを使用
する
[Static Address] を選択し、 IP アドレスを入力します。
アドレス名を使用する
[Address Range Name] を選択し、リストからアドレス項目を選
択します。
動的アドレス名を使用す
る
[Dynamic Address Range Name] を選択し、一覧から動的アド
レス名のエントリを選択します。
FQDN を使用する
[FQDN] を選択し、完全修飾ドメイン名を入力します。
ヒント : ほとんどの Windows L2TP/IPSEC クライアントでは、
このオプションを選択します。
例:
companyserver.iss.net
Proventia® Network Multi-Function Security Appliance User Guide
245
第 18 章 : VPN の設定
操作
手順
User FQDN を使用する
[User FQDN] を選択し、完全修飾ドメイン名を入力します。
例:
[email protected]
DER ASN1 DN を使用す
る
[DER ASN1 DN] を選択し、エントリを入力します。
これは、すべてのクライアントが共有する証明書の値であり、各
クライアントに与えられた x.509 証明書である必要があります。
オプションは次のとおりです。
/C ( 国 )
/S ( 州または地方 )
/L ( 地域または都市 )
/O ( 組織または会社 )
/OU ( 組織単位または担当部署 )
/CN ( 一般名 )
例:
/C=US /S=GA /L=Atlanta /O=ISS /OU=QA /CN=mycomputer
注記 : 証明書のフィールドでは、任意の値と一致するワイルド
カードとして「*」を使用してください。
5. 次のフィールドを入力します。
フィールド
説明
Local Network ID
選択した [Local ID Type] に対応するローカルの証明書情報を入
力します。
ヒント : ほとんどの Windows L2TP/IPSEC クライアントでは、
このフィールドにはアプライアンスの外部 IP アドレスを入力し
ます。
Remote ID Type
リストからオプションを選択します。
ヒント : 動的 IP アドレスを使用する Windows L2TP/IPSEC クラ
イアントの場合は、一覧から [IP Address] を選択します。
Remote Client ID
選択した [Remote ID Type] に対応するリモートの証明書情報を
入力します。
ヒント : 動的 IP アドレスを使用する Windows L2TP/IPSEC クラ
イアントの場合は、このフィールドに「0.0.0.0」と入力します。
こうすることで、 VPN トンネルの IPSEC コンポーネントの発信
側ピアとして任意の IP アドレスが許可されます。
6. [Authentication Method] セクションで、次のいずれかを行います。
246
Windows 2000 および XP クライアントでの VPN の設定
注記 : 認証モードは、ローカルピアがリモートピアに対して自分自身の身元を証明する方法
を定義します。
操作
事前共有キーを使用する
手順
1. [Pre-Shared Key] を選択し、次のテキスト文字列を入力しま
す。
ヒント : テキスト文字列は、英数字 8 文字以上にする必要が
あります。 #*! などの記号を含めることができます。
2. VPN 接続を確立するために VPN ピアに事前共有キーを入力
します。
注記 : 事前共有キー認証は、メインモードではサポートされませ
ん。
DSS を使用する
[ DSS SIGN] を選択します。
RSA を使用する
[ RSA SIGN] を選択します。
7. 変更内容を保存します。
Proventia® Network Multi-Function Security Appliance User Guide
247
第 18 章 : VPN の設定
L2TP/IPSEC VPN 接続の設定
はじめに
アプライアンスと Windows 2000 または XP の VPN クライアントとの間で、 L2TP/IPSEC VPN 接続
を設定することができます。 L2TP ( パケットカプセル化 ) と IPSEC ( 暗号化 ) の組み合わせ (L2TP/
IPSEC) は、インターネットなどのパブリックネットワークを通じてリモートアクセスを提供する
VPN 接続を作成するための非常に安全な技術です。
要件
Windows 2000 または XP のクライアントと L2TP/IPSEC 接続を設定する前に、次の作業を行う必要
があります。
●
アカウント認証をサポートし FRAME 設定コマンドを提供可能な RADIUS サーバーを保有し
ていることを確認する。
●
認証のための RSA または DSS の署名を受けた証明書を入手する ( 認証では事前共有秘密を使
用できません )。
●
User_FQDN PKI パラメータ ( メールアドレス ) のエントリが証明書に含まれていないことを確
認する。
●
次に説明する必要なアクセスポリシーを作成する。
●
次のいずれかをインストールする。
■
http://support.microsoft.com/?kbid=818043 にある Microsoft Hotfix
■
Windows XP Service Pack 2
重要 : この Windows hotfix は、 Windows XP Service Pack 2 に含まれています。 NAT デバイスの
内側でアプライアンスに接続を試みる Windows 2000 または Windows XP クライアントに、こ
の hotfix をインストールしてください。
L2TP IP アドレスプー
ル
L2TP IP アドレスプールを、 [VPN Advanced] ページで設定します。これらの IP アドレスは、 L2TP/
IPSEC VPN 接続を作成する場合に使用します。この作業中に、 IP アドレスに対して既存のネット
ワークオブジェクトを選択することができます。作業中にネットワークオブジェクトを作成また
は編集するには、ここで使用できる [Configure] オプションをクリックします。
L2TP IP アドレスプー
ルの設定
L2TP IP アドレスプールを設定するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [VPN Advanced] タブを選択します。
3. [L2TP IP Pool] タブを選択し、 [Add] アイコンをクリックします。
4. [Address Range] 領域で、次のいずれかを行います。
操作
手順
IP アドレス範囲を使用す [Static Address Range] を選択し、先頭と末尾の IP アドレスを
る
入力します。
アドレス名を使用する
[Address Range Name] を選択し、一覧からプライベートアド
レスを選択します。
動的アドレス名を使用す
る
[Dynamic Address Range Name] を選択し、一覧から動的アド
レスを選択します。
5. [OK] をクリックし、変更内容を保存します。
248
L2TP/IPSEC VPN 接続の設定
必要なアクセスポリ
シーの有効化
必要なアクセスポリシー L2TP/IPSEC VPN 接続を有効にするには :
1. ポート 1701 における発信元 ANY から宛先 SELF への UDP トラフィックを許可するアクセス
ポリシーを有効にします。
注記 : L2TP/IPSEC-to-M Series Wizard はこのポリシーを自動的に有効にします。さらに、リ
モートの L2TP/IPSEC VPN クライアントから発信されたトラフィックは、アプライアンスの外
部 IP アドレスを通じてルーティングされます。
2. アプライアンスの外部 IP アドレスから内部ネットワークへのトラフィックを許可する追加の
アクセスポリシーを作成します。
注記 : リモート接続している L2TP/IPSEC VPN クライアントから発信されたトラフィックが
内部ネットワークにアクセスするには、このポリシーを作成する必要があります。そうしない
と、アプライアンスはこのトラフィックをブロックし、 Firewall_Rule_Not_Found メッセージ
を表示します。
例
次の例は、クライアントによる内部ネットワークへのアクセスを許可するアクセスポリシーの使
用を示します。
ネットワーク設定 :
IP アドレス
説明
10.1.1.2
リモートの L2TP/IPSEC VAN クライアントの IP アドレス
172.16.1.5
アプライアンスの外部 IP アドレス
192.168.1.0/24
内部ネットワークの IP アドレス
アクセスポリシーの例 :
作業の概要
アク
ション
発信元 IP
発信元ポート
宛先 IP
宛先ポート
プロトコル
Allow
172.16.1.5
Any
192.168.1.0/24
Any
Any
Allow
10.1.1.2
Any
192.168.1.0/24
Any
Any
次の表では、 Windows 2000 または XP への L2TP/IPSEC VPN 接続の設定作業について説明します。
作業
1
説明
クライアントの証明書入手元となる信頼された認証局から、アプライアンスに証明書を
インストールする。
「証明書の管理」 (253 ページ ) を参照してください。
2
認証局に証明書を要求し、これをインストールする。
「証明書の管理」 (253 ページ ) を参照してください。
3
L2TP/IPSEC Remote Client セキュリティゲートウェイを設定する。
「セキュリティゲートウェイの設定」 (259 ページ ) を参照してください。
表 70: L2TP/IPSEC VPN 接続の設定作業
Proventia® Network Multi-Function Security Appliance User Guide
249
第 18 章 : VPN の設定
作業
4
説明
ポート 1701 で、発信元 ANY から宛先 SELF への UDP トラフィックを許可するアクセ
スポリシーを有効にする。
注記 :L2TP/IPSEC to M Series Wizard を使用する場合、アプライアンスはこのアクセス
ポリシーを自動的に有効にします。
「ファイアウォールルーティングにおけるトラフィックの許可と拒否」 (171 ページ ) を
参照してください。
5
RADIUS サーバーへの接続を設定する。
「RADIUS クライアントとサーバーの有効化」 (264 ページ ) を参照してください。
6
L2TP IP アドレスプールを設定する。
「VPN の設定」 (233 ページ ) を参照してください。
7
ユーザーの検証を行って PPTP アダプタのリモートエンドに割り当てる IP アドレスを
返すように、 RADIUS サーバーを設定する。
注記 :RADIUS サーバーコマンドの設定については、 RADIUS ソフトウェアのマニュア
ルを参照してください。
「RADIUS クライアントとサーバーの有効化」 (264 ページ ) を参照してください。
表 70: L2TP/IPSEC VPN 接続の設定作業 ( 続き )
250
VPN ユーザーの設定
VPN ユーザーの設定
はじめに
VPN ユーザーエントリ
の作成
[VPN Advanced] タブのエントリを作成、編集、削除することで、 VPN ユーザーリストを設定しま
す。 VPN ユーザーリストは、 XAuth が有効になっていて、かつ次のセキュリティゲートウェイで
一般認証が使用されている場合に、ユーザーを認証するために使用されます。
●
IPSEC Remote Client セキュリティゲートウェイ
●
Auto Key IPSEC セキュリティゲートウェイ
VPN ユーザーリストのエントリを作成するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [VPN Advanced] タブを選択します。
3. [VPN Users] タブを選択します。
4. 次のいずれかを行い、変更内容を保存します。
操作
手順
1. [Add] アイコンをクリックします。
ユーザーを追加する
2. 次のフィールドに入力し、 [OK] をクリックします。
ユーザーを編集する
•
User Name
•
Set Password ( ユーザーのパスワード )
•
Confirm Password( ユーザーのパスワード )
1. エントリを選択し、 [Edit] アイコンをクリックします。
2. エントリを編集し、 [OK] をクリックします。
ユーザーをコピーする
1. エントリを選択し、 [Copy] アイコン (
す。
2. [Paste] アイコン (
ユーザーを削除する
) をクリックしま
) をクリックします。
エントリを選択し、 [Remove] アイコンをクリックします。
Proventia® Network Multi-Function Security Appliance User Guide
251
第 18 章 : VPN の設定
252
セクション B:
証明書の管理
概要
はじめに
このセクションでは、アプライアンスにおける証明書の管理方法について説明します。
このセクションの内容
このセクションでは、次のトピックについて説明します。
トピック
ページ
証明書について
254
信頼された認証局ベースの証明書のインストールと削除
255
自己証明書の要求、アップロード、および削除
256
証明書失効リストのインストールと削除
258
Proventia® Network Multi-Function Security Appliance User Guide
253
第 18 章 : VPN の設定
証明書について
はじめに
セキュリティ証明書は、個人の証明書であれ Web サイトの証明書であれ、身元を「パブリック
キー」と関連付けます。証明書の所有者だけが、対応する「プライベートキー」を知っています。
所有者は「プライベートキー」を使用して、「デジタル署名」を行ったり、対応する「パブリック
キー」で暗号化された情報を復号化したりすることができます。証明書を他の人に送るということ
は、実際にパブリックキーを渡すということです。したがって、パブリックキーを受け取った側
は、そのパブリックキーを送ってきた人物だけが自分のプライベートキーを使って復号化して読
むことができるように、暗号化された情報を送ることができます。
セキュリティ証明書のデジタル署名コンポーネントは、電子的な ID カードです。このトピックで
は、証明書の用語とプロセスについて説明します。
暗号化またはデジタル署名された情報を送信できるようにするには、証明書を入手し、これを使用
するように Web ブラウザを設定する必要があります。安全な Web サイト ( 「https」で始まるアド
レスを持つサイト ) を訪問した場合、サイトは自動的に自分の証明書を訪問者へ送ります。
セキュリティ証明書は、個別の認証局によって発行されます。セキュリティ証明書にはさまざまな
クラスがあり、それぞれ異なるレベルの信頼性を提供します。個人のセキュリティ証明書を、認証
局 (Certificate Authority: CA) から入手することができます。
DSA 証明書の要件
DSA 証明書の要求は、証明書の署名に DSA を使用する CA によって必ず署名を受けている必要が
あります。 DSA 証明書が RSA CA によって署名されていると、証明書を証明書リポジトリに入れ
ることができません。
用語
次の表では、一般的な証明書用語について説明します。
用語
定義
デジタル署名アルゴリズム (Digital
Signature Algorithm: DSA)
大きい数のペアの形式でデジタル署名を生成する非対称暗
号アルゴリズム。署名は、署名者の身元と署名されたデー
タの完全性とを検証できるようなルールとパラメータを使
用して算出されます。
Rivest-Shamir-Adleman (RSA)
Ron Rivest、 Adi Shamir、および Leonard Adleman によっ
て 1977 年に考案された、非対称暗号化のアルゴリズム。
表 71: 証明書の用語
254
信頼された認証局ベースの証明書のインストールと削除
信頼された認証局ベースの証明書のインストールと削除
はじめに
このトピックでは、信頼された認証局から証明書をインストールおよび削除する方法について説明
します。
要件
信頼された認証局から証明書をインストールする前に、認証局から証明書をダウンロードする必要
があります。
証明書の操作
信頼された認証局から証明書をインストールまたは削除するには :
1. ナビゲーションウィンドウで、 [VPN] → [Certificate Management] → [Trusted Certificate
Authority] の順に選択します。
2. 次のいずれかを行い、変更内容を保存します。
操作
証明書をインストールす
る
手順
1. [ 参照 ] をクリックし、信頼された認証局から受け取った証明
書を探します。
2. [ 開く ] をクリックします。
3. [Upload] をクリックします。
証明書を削除する
証明書を選択し、 [Remove] アイコンをクリックします。
Proventia® Network Multi-Function Security Appliance User Guide
255
第 18 章 : VPN の設定
自己証明書の要求、アップロード、および削除
はじめに
このトピックでは、自己証明書を要求、アップロード、および削除する方法について説明します。
説明
自己証明書は、認証局 (CA) から要求したパブリックキー証明書です。
プロセスの概要
次の表では、自己証明書のセットアッププロセスを説明します。
段階
説明
1
証明書要求を作成する。
2
プライベートキーを CA に送信する。
3
パブリック証明書を CA から受け取る。
4
パブリック証明書ファイルをアプライアンスにアップロードする。
表 72: 自己証明書のセットアッププロセス
要件
自己証明書を作成する前に、信頼された認証局から証明書をインストールする必要があります。
自己証明書の要求
自己証明書を要求するには :
1. ナビゲーションウィンドウで、 [VPN] → [Certificate Management] → [Create Self Certificates]
の順に選択します。
2. [Generate Certificate Request] をクリックし、次のように入力します。
フィールド
説明
Key ID
証明書要求を識別できるように、 [Key ID] フィールドに 1 つ以上
の英数字を入力します。
Subject
要求の説明を入力します。
Department
部署名または番号を入力します。
Organization
会社名または組織名を入力します。
City, State, Postal
Code, and Country
Code
都市、
国番号を入力
します。
都市州、郵便番号、
郵便番号および国番号
国番号
E-mail
メールアドレスを入力します。
注記 : 国コードは 2 桁です。たとえば、アメリカ合衆国の国コー
ドは「US」です。
これは、証明書が送信される宛先のメールアドレスです。
Domain Name
会社のドメイン名を入力します。
IP Address
アプライアンスの外部 IP アドレス
Algorithm
認証アルゴリズムを選択します。
Key Length
キーの長さを選択します。
3. [Submit Request] をクリックします。
256
自己証明書の要求、アップロード、および削除
自己証明書の操作
パブリック証明書をアップロードまたは削除するには :
1. ナビゲーションウィンドウで、 [VPN] → [Certificate Management] → [Self Certificates] の順に
選択します。
2. 次のいずれかを行い、変更内容を保存します。
操作
手順
証明書をアップロードす
る
1. [Private Key Number] フィールドに、プライベートキー名 (
キー ID) を入力します。
注記 : アプライアンスに
アップロードする前に、
証明書をインストールす
る必要があります。
2. [ 参照 ] をクリックします。
3. 証明書を探し、 [ 開く ] をクリックします。
4. [Upload] をクリックします。
証明書がアプライアンスにインストールされ、 [Self
Certificate Certificates] ページが表示されます。
証明書を表示する
証明書を削除する
証明書を選択し、次の情報を確認します。
•
Subject name
•
Serial number
•
Issuer Name
•
Expiration Date
証明書を選択し、 [Remove] アイコンをクリックします。
Proventia® Network Multi-Function Security Appliance User Guide
257
第 18 章 : VPN の設定
証明書失効リストのインストールと削除
はじめに
このトピックでは、証明書失効リストをインストールおよび削除する方法について説明します。
注記 : アプライアンスは、証明書失効リストを必要としません。
説明
アプライアンスは、証明書失効リストを使用して証明書を検証します。
プロセス
次の表では、このプロセスについて説明します。
段階
説明
1
アプリケーションは、 VPN トンネルのリモートピアから証明書を受け取ります。
2
アプライアンスは、既知の認証局が証明書を発行したことを検証します。
3
アプライアンスは、ローカルにインストールされた証明書失効リストと証明書を比較し
ます。
4
認証局が既知である場合、アプライアンスは証明書が有効であると見なして接続を受け
入れます。それ以外の場合は、拒否します。
表 73: 証明書の検証プロセス
前提条件
証明書失効リストをインストールする前に、 CA の Web サイトから証明書失効リストをダウンロー
ドする必要があります。
証明書失効リストの操作証明書失効リストをインストールまたは削除するには :
1. ナビゲーションウィンドウで、 [VPN] → [Certificate Management] → [Certificate Revocation
List] の順に選択します。
2. 次のいずれかを行い、変更内容を保存します。
操作
証明書をインストールす
る
手順
1. [ 参照 ] をクリックします。
2. 証明書を探し、 [ 開く ] をクリックします。
3. [Upload] をクリックします。
証明書がアプライアンスにインストールされ、 [Self
Certificate Certificates] ページが表示されます。
証明書を削除する
258
証明書を選択し、 [Remove] アイコンをクリックします。
セクション C:
セキュリティゲートウェイの設定
概要
はじめに
このセクションでは、 VPN 設定用ネットワークオブジェクトとしてのセキュリティゲートウェイ
の作成と使用に関する情報と手順について説明します。
このセクションの内容
このセクションでは、次のトピックについて説明します。
トピック
ページ
セキュリティゲートウェイの概要
260
IPSEC Remote Client セキュリティゲートウェイの設定
261
IPSEC Remote Client セキュリティゲートウェイでの RADIUS の設定
263
Manual Key IPSEC セキュリティゲートウェイの設定
266
Auto Key IPSEC セキュリティゲートウェイの設定
269
L2TP/IPSEC Remote Client セキュリティゲートウェイの設定
271
Proventia® Network Multi-Function Security Appliance User Guide
259
第 18 章 : VPN の設定
セキュリティゲートウェイの概要
はじめに
セキュリティゲートウェイを使用して、一連の VPN 設定を定義します。セキュリティゲートウェ
イは、 VPN を設定するときに再利用可能なネットワークオブジェクトです。
種類
アプライアンスには、次の 4 種類のセキュリティゲートウェイがあります。
考慮すべき事項
●
IPSEC Remote Client
●
Auto Key IPSEC
●
Manual Key IPSEC
●
L2TP/IPSEC Remote Client
接続を通じて送信される情報の種類に基づいて、 VPN 接続のセキュリティレベルに関する選択を
行ってください。暗号化や認証アルゴリズムのオプションの安全性が高くなるほど、完了までに時
間がかかり、 CPU 使用率も高くなる可能性があります。
次の点を考慮してください。
VPN とハイアベイラビ
リティ
●
情報を強力に保護する必要がある場合は、より安全性の高い方法を選択してください。
●
VPN 接続において最も強力なレベルのセキュリティを必要としない場合は、時間やシステム
リソースを節約する比較的高速なオプションを検討してください。
●
DES 暗号化アルゴリズムは、処理速度は速いものの、安全性は 3DES 暗号化アルゴリズムに劣
ります。
●
MD5 認証アルゴリズムは、処理速度は速いものの、安全性は SHA1 認証アルゴリズムに劣り
ます。
●
事前認証キー認証モードは、処理速度は速いものの、安全性は RSA 署名モードに劣ります。
DSS 署名モードは、処理速度は遅いものの、安全性は RSA 署名モードに勝ります。
ハイアベイラビリティ実装は、 Proventia M に対してフェールオーバー機能を提供します。この実
装は、少なくとも 2 つのアプライアンスで構成されます。
●
メイン操作用のセキュリティデバイスとして機能するプライマリアプライアンス。
●
プライマリアプライアンスに障害が発生した場合に、操作を引き継ぐ受動的なバックアップ
デバイスとして機能するセカンダリアプライアンス。
この機能が正しく機能するために、 2 つのアプライアンスは、 2 つの静的 IP アドレスではなく、 1
つの仮想 IP アドレスで表示されます。仮想 IP アドレスは、ハイアベイラビリティ機能がアプライ
アンス上で有効になっている場合のみ動作します。この機能が無効になっている場合は動作しませ
ん。
ハイアベイラビリティ実装におけるすべてのセキュリティゲートウェイの Local ID 設定は、仮想
IP アドレスも参照する必要があります。
重要 : 2 つのアプライアンスのハイアベイラビリティ機能を有効にする前に、セキュリティゲー
トウェイが仮想 IP アドレスを参照していることを確認してください。そうしないと、 VPN が正常
に機能しません。
260
IPSEC Remote Client セキュリティゲートウェイの設定
IPSEC Remote Client セキュリティゲートウェイの設定
はじめに
このトピックでは、 IPSEC Remote Client セキュリティゲートウェイの設定方法について説明しま
す。
作業の概要
次の表では、 IPSEC Remote Client セキュリティゲートウェイを設定する場合の作業とタブについ
て説明します。
作業
説明
タブ
1
一般設定を定義する
IPSEC Remote Client Security Gateway
2
Define the IKE configuration.
IKE Configuration
3
IPSEC ポリシーを定義する
IPSEC Configuration
表 74: IPSEC Remote Client セキュリティゲートウェイの設定作業
手順
一般設定を定義するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Security Gateways] タブを選択します。
3. [IPSEC Remote Client Security Gateway] タブを選択し、 [Add] アイコンをクリックします。
4. 次のフィールドを入力します。
オプション
説明
Enabled
このオプションを選択します。
Name
名前に最大 32 文字を入力します。
Comment
説明に最大 256 文字を入力します。
5. [IKE Configuration] タブを選択し、次のように入力します。
フィールド
説明
Exchange Type
次の IKE モードを選択します。
•
Main Mode
•
Aggressive Mode
Local ID Type
ローカルホストが認証のためにリモートホストに送信するデー
タの種類を選択します。
Local ID Data
選択した [Local ID Type] に対応するローカルの証明書情報を入
力します。
Local IP Address
ローカルピア IP アドレスを入力します。
Remote IP Address
リモートピア IP アドレスを入力します。
6. 次を設定します。
■
IKE ネットワークとセキュリティの設定
■
リモート ID
■
IKE XAuth
Proventia® Network Multi-Function Security Appliance User Guide
261
第 18 章 : VPN の設定
参照 : 「IKE ポリシーの設定」 (287 ページ ) を参照してください。
7. [IKE Configuration Policy] タブを選択し、次のように入力します。
オプション
説明
First IP Range
範囲内の先頭と末尾の IP アドレスを入力します。
Second IP Range
注記 : 最初の IP 範囲のみ必須です。他の 2 つはオプションです。
IP アドレス範囲をネットワーク内の既存 IP アドレスと重複させ
ることはできません。
Third IP Range
Primary WINS IP
Secondary WINS IP
Primary DNS IP
Secondary DNS IP
これらのフィールドはオプションです。
ホスト名を解決する Domain Name System (DNS) サーバーの IP
アドレスを入力します。
これらのフィールドはオプションです。
Source Address/Mask
リモートクライアントがアクセスするローカルネットワークの
IP アドレスとサブネットマスクを入力します。
PFS Group ID
Diffie-Hellman グループを選択します。
Security Protocol
リストからセキュリティプロトコルを選択します。
Authentication Alg
一覧から認証アルゴリズムを選択します。
ESP Alg
一覧から暗号化方式を選択します。
AES Key Length
暗号化方式 AES を選択した場合は、一覧から AES キーの長さを
選択します。
Life Time Secs
セキュリティプロポーザルの有効期間 ( 秒数 ) を入力します。
Life Time KBytes
セキュリティプロポーザルがフィールドで有効になっている場
合に送信されるキロバイト数を入力します。
8. 変更内容を保存します。
262
ホスト名を解決する Windows Internet Name Service (WINS)
サーバーの IP アドレスを入力します。
IPSEC Remote Client セキュリティゲートウェイでの RADIUS の設定
IPSEC Remote Client セキュリティゲートウェイでの RADIUS の設
定
はじめに
RADIUS の機能
ユーザー名 / パスワードペアの認証に RADIUS サーバーを使用するために IPSEC Remote Client セ
キュリティゲートウェイを設定したら、アプライアンスが RADIUS サーバーと通信できるように
RADIUS クライアントを設定する必要があります。このトピックでは、ネットワークにアクセスす
る必要のあるリモートユーザーがアプライアンスに対して認証できるように Remote Authentication
Dial-In User Service (RADIUS) クライアントを有効にする方法について説明します。次の作業の手
順についても説明します。
●
RADIUS クライアントの有効化とプライマリサーバーの設定
●
バックアップサーバーの設定
ユーザー資格情報が RADIUS サーバー / クライアントによって検証されると、 IKE/Xauth プロセス
の間にユーザー固有の属性が取得されます。ユーザー名 / パスワードペアの認証に RADIUS サー
バーを使用するように IKE ポリシーを設定したら、 RADIUS クライアントおよびサーバーを適宜
設定する必要があります。 RADIUS クライアントを設定すると、アプライアンスが RADIUS サー
バーと通信できるようになります。
重要 : PAP 認証を正しく機能させるためには、 Proventia Manager の IKE Xauth 認証設定を
[Generic] に指定する必要があります。
重要 : IKE/Xauth メッセージが受諾されて返されるようにするには、 RADIUS サーバーで
「RADIUS_accept」を有効にしておく必要があります。具体的な手順については、 RADIUS サー
バーのマニュアルを参照してください。
要件
RADIUS ベースのユーザー認証を有効にするには、次の作業を行う必要があります。
●
RADIUS サーバーが Proventia M で使用されることを確認および設定する。
●
RADIUS サーバー内で、認証されるユーザーを設定する。
●
Proventia M で利用可能な RADIUS クライアントを設定する。
●
RADIUS 経由のリモートユーザー認証に Xauth を使用する IKE ポリシーを設定する。
注記 : Proventia M Series appliance は、次のような 3 種類の Xauth 方式をサポートしています。
■
ローカルデータベースを使用した一般的な Xauth
■
RADIUS を使用した一般的な XAuth (PAP)
■
RADIUS を使用した CHAP
注記 : 具体的な設定手順については、 RADIUS サーバーのマニュアルを参照してください。一般
的な設定は、「Configuring VPN from Proventia Integrated Security Appliance to SoftRemote Systems」ま
たは「Configuring VPN from Proventia Integrated Security Appliance to Proventia Integrated Security
Appliance 」 (http://www.iss.net/support/documentation/proventia/fwvpn/) に説明
されています。
Proventia® Network Multi-Function Security Appliance User Guide
263
第 18 章 : VPN の設定
RADIUS クライアント
とサーバーの有効化
この手順では、 RADIUS クライアントの有効化とプライマリ RADIUS サーバーの設定の方法を説
明します。
1. ナビゲーションウィンドウで [VPN] を選択します。
2. [VPN Advanced] タブを選択します。
3. [Radius Client Configuration ] タブを選択し、次のように入力します。
オプション
説明
Enabled
このオプションを選択します。
Primary Server Auth
Port
一覧からプライマリ RADIUS サーバーの認証ポートを選択しま
す。
Primary Server Acct
Port
一覧からプライマリ RADIUS サーバーのアカウントポートを選
択します。
ヒント : デフォルトポート番号の使用を推奨しますが、以前の
バージョンの標準ポート番号を各一覧から選択することもできま
す。
Secret with Primary
Server
アプライアンスが RADIUS サーバーと通信するときにクライア
ントとして使用する共通シークレットを入力します。
共有シークレットとは、自分の身元証明 ( 証明書または事前共有
シークレットキー ) です。Primary Server NAS ID
NAS ID を必要とするバックアップ RADIUS サーバーの場合は、
フィールドに NAS ID を入力します。
NAS ID を必要としないバックアップ RADIUS サーバーの場合
は、フィールドに「1」または「0」を入力します。
Network Access Server (NAS) は、一時的なオンデマンドのネッ
トワークアクセスをユーザーに提供するデバイスです。このア
クセスは、公衆交換電話網 (Public Switched Telephone Network:
PSTN) 回線または総合デジタル通信網 (Integrated Services
Digital Network: ISDN) 回線を使用したポイントツーポイントア
クセスです。 NAS は RADIUS のクライアントとして機能します。
クライアントは、ユーザー情報を宛先の RADIUS サーバーに渡
す役割を担います。
4. [Primary Server IP Address] セクションで、次のいずれかを行ってプライマリ RADIUS サー
バーの IP アドレスとサブネットマスクを指定します。
操作
手順
静的 IP アドレスを使用
する
[Static Address] を選択し、アドレスとサブネットマスクを入力
します。
アドレス名を使用する
[Address Subnet Name] を選択し、一覧からエントリを選択し
ます。
動的アドレス名を使用す
る
[Dynamic Address Subnet Name] を選択し、一覧からエントリ
を選択します。
5. 変更内容を保存します。
264
IPSEC Remote Client セキュリティゲートウェイでの RADIUS の設定
RADIUS バックアップ
サーバーの設定
この手順では、 RADIUS バックアップサーバーの設定方法を説明します。
1. 次のフィールドを入力します。
オプション
説明
Use Backup Server
このオプションを選択します。
Backup Server Auth
Port
一覧からバックアップ RADIUS サーバーの認証ポートを選択し
ます。
Backup Server Acct
Port
一覧からバックアップ RADIUS サーバーのアカウントポートを
選択します。
ヒント : デフォルトポート番号の使用を推奨します。ただし、以
前のバージョンの標準ポート番号を各一覧から選択することもで
きます。
Secret with Backup
Server
アプライアンスが RADIUS サーバーと通信するときにクライア
ントとして使用する共通シークレットを入力します。
Backup Server NAS ID
NAS ID を必要とするバックアップ RADIUS サーバーの場合は、
フィールドに NAS ID を入力します。
NAS ID を必要としないバックアップ RADIUS サーバーの場合
は、フィールドに「1」または「0」を入力します。
2. [Backup Server IP Address] セクションで、次のいずれかを行ってバックアップ RADIUS サー
バーの IP アドレスとサブネットマスクを指定します。
操作
手順
静的 IP アドレスを使用
する
[Static Address] を選択し、アドレスとサブネットマスクを入力
します。
アドレス名を使用する
[Address Subnet Name] を選択し、一覧からエントリを選択し
ます。
動的アドレス名を使用す
る
[Dynamic Address Subnet Name] を選択し、一覧からエントリ
を選択します。
3. [OK] をクリックし、変更内容を保存します。
Proventia® Network Multi-Function Security Appliance User Guide
265
第 18 章 : VPN の設定
Manual Key IPSEC セキュリティゲートウェイの設定
はじめに
このトピックでは、手動によるキー管理と、 Manual Key IPSEC セキュリティゲートウェイの設定
手順について説明します。このゲートウェイを使用すると、暗号化キーを手動で管理することがで
きます。
手動キー管理
手動キー管理では、管理者がキー情報を手作業で入力します。管理者は次の作業を行います。
●
プロトコルを設定する
●
各プロトコルのキー情報を入力する
●
Security Parameter Index (SPI) の値を手作業で入力する
キー情報と SPI の値には有効期限がなく、第三者によるセキュリティ侵害を受ける可能性がありま
す。地理的に離れているホストの間でキーを共有する必要があるため、キー情報は電子メールや郵
便、口頭などの保護されていない手段を通じて渡される可能性が高くなります。この種のやりとり
は傍受される可能性があり、インターネット上のトラフィックを傍受するのに必要な情報を第三者
が収集できてしまうおそれがあります。
作業の概要
次の表では、 Manual Key IPSEC セキュリティゲートウェイを設定する場合の作業とタブについて
説明します。
作業
説明
タブ
1
一般設定を定義する
Manual Key IPSEC Security Gateways
2
ローカルセキュリティゲートウェイ設定
を定義する
General
3
認証を設定する ( オプション )
AH Configuration
4
暗号化を設定する ( オプション )
ESP Configuration
5
初期ベクトルを定義する ( オプション )
Advanced
表 75: Manual Key IPSEC セキュリティゲートウェイを設定する場合の作業
手順
Manual Key IPSEC セキュリティゲートウェイを設定するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Security Gateways] タブを選択します。
3. [Manual Key IPSEC Security Gateways] タブを選択します。
4. [Add] アイコンをクリックします。
5. 次のフィールドを入力します。
266
オプション
説明
Enabled
このオプションを選択します。
Name
名前に最大 32 文字を入力します。
Comment
説明に最大 256 文字を入力します。
Encapsulation Mode
カプセル化モードを選択します。
Manual Key IPSEC セキュリティゲートウェイの設定
オプション
説明
Peer Security Gateway
リモートゲートウェイ IP アドレスを入力します。
ヒント : ワイルドカード IP アドレスを使用するには、次のよう
に入力します。
0.0.0.0
6. [General] タブを選択し、次のいずれかを行います。
次を使用する場合
手順
動的ローカルゲート
ウェイ
[Dynamic Local Gateway] を選択し、 [Dynamic Interface] フィー
ルドに「eth1」と入力します。
静的ローカルゲート
ウェイ
[Static Local Gateway] を選択し、 [Local Security Gateway]
フィールドにローカルゲートウェイ IP アドレスを入力します。
7. [AH Configuration] タブを選択して次のように入力し、 [OK] をクリックします。
オプション
説明
Authentication
Enabled
このオプションを選択します。
Auth Algorithm
[Auth Algorithm] リストから、認証アルゴリズムを選択します。
IN Key
Inbound セッションキーとして使用する文字列
文字列を入力
します。
文字列
OUT Key
Outbound セッションキーとして使用する文字列
文字列を入力
します。
文字列
IN SPI
各セッションで使用される Security Parameter Index を入力し
ます。
OUT SPI
各セッションで使用される Security Parameter Index を入力し
ます。
注記 : 各ポリシーの SPI 値は、一意である必要があります。
8. [ESP Configuration] タブを選択して次のように入力し、 [OK] をクリックします。
オプション
説明
Enabled
このオプションを選択します。
Encryption
[Encryption] リストから、暗号化方式を選択します。
•
ESP
•
ESP With Auth
Auth Algorithm
暗号化方式 ESP With Auth を選択した場合は、一覧から認証ア
ルゴリズムを選択します。
IN Auth Key
Inbound セッションキーとして使用する文字列
文字列を入力
します。
文字列
OUT Auth Key
Outbound セッションキーとして使用する文字列
文字列を入力
します。
文字列
ESP Algorithm
暗号化アルゴリズムを選択します。
IN SPI
各セッションで使用される Security Parameter Index を入力し
ます。
Proventia® Network Multi-Function Security Appliance User Guide
267
第 18 章 : VPN の設定
オプション
説明
OUT SPI
各セッションで使用される Security Parameter Index を入力し
ます。
注記 : 各ポリシーの SPI 値は、一意である必要があります。
IN ESP Key
Inbound セッションキーとして使用する文字列
文字列を入力
します。
文字列
OUT ESP Key
Outbound セッションキーとして使用する文字列
文字列を入力
します。
文字列
9. [Advanced] タブを選択し、使用する文字列を [Initialization Vector] フィールドに入力し、
[OK] をクリックします。
10. 変更内容を保存します。
268
Auto Key IPSEC セキュリティゲートウェイの設定
Auto Key IPSEC セキュリティゲートウェイの設定
はじめに
このトピックでは、 Auto Key IPSEC セキュリティゲートウェイの追加、編集、削除、コピー、貼
り付けの方法について説明します。
注記 : Auto Key IPSEC セキュリティゲートウェイを設定するには、 IKE 設定と IPSEC 設定を指定
する必要があります。セキュリティプロポーザルおよび高度な設定は、オプションです。
自動キー管理
自動キー管理では、 Internet Key Exchange (IKE) 方式を使用します。自動キーを使用する場合は、事
前共有秘密の使用をお勧めします。「IKE ポリシーの設定」 (287 ページ ) を参照してください。
作業の概要
次の表では、 Auto Key IPSEC セキュリティゲートウェイを設定する場合の作業とタブについて説
明します。
作業
説明
タブ
1
一般設定を定義する
Auto Key IPSEC Security Gateways
2
IKE 設定を定義する
IKE Configuration
3
IPSEC 設定を定義する
IPSEC Configuration
表 76: Auto Key IPSEC セキュリティゲートウェイを設定する場合の作業
手順
Auto Key IPSEC セキュリティゲートウェイを設定するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Security Gateways] タブを選択します。
3. [Auto Key IPSEC Security Gateways] タブを選択します。
4. [Add] アイコンをクリックし、次のように入力します。
オプション
説明
Enabled
このオプションを選択します。
Name
名前に最大 32 文字を入力します。
Comment
説明に最大 256 文字を入力します。
5. [IKE Configuration] タブを選択し、次のように設定します。
■
IKE ネットワークとセキュリティの設定
■
リモート ID
■
IKE XAuth
参照 : 「IKE ポリシーの設定」 (287 ページ ) を参照してください。
6. [IPSEC Policy] タブを選択し、次のように入力します。
オプション
説明
Encapsulation Mode
一覧からルールを選択します。
Perfect Forward
Secrecy
次のいずれかを選択します。
•
Diffie-Hellman Group (Diffie-Hellman グループ )
•
None ( なし )
Proventia® Network Multi-Function Security Appliance User Guide
269
第 18 章 : VPN の設定
7. [Security Proposals] セクションで [Add] アイコンをクリックします。
8. 次のフィールドに入力し、 [OK] をクリックします。
フィールド
説明
Security Protocol
セキュリティプロトコルを選択します。
Auth Algorithm
認証アルゴリズムを選択します。
ESP Algorithm
暗号化アルゴリズムを選択します。
AES key length
暗号化方式 AES を選択した場合は、キーの長さを選択します。
Auth Algorithm (for
ESP With Auth and AH)
ESP With Auth および AH セキュリティプロトコルを選択した
場合は、認証アルゴリズムを選択します。
Life Time Secs
セキュリティプロポーザルの有効期間 ( 秒数 ) を入力します。
Life Time KBytes
セキュリティプロポーザルが有効になっている場合に送信され
るキロバイト数を入力します。
Perfect Forward Secrecy が有効になっていると、 [Life Time
Secs] または [Life Time KBytes] が期限切れになったときに新し
いキーが生成されます。 Perfect Forward Secrecy が有効になっ
ていない場合は、既存のセッションキーが引き続き使用されま
すが、 SA は新しく作成されます。
9. [Advanced Settings] セクションで、次のように入力します。
オプション
説明
Enabled
このオプションを選択します。
PKT_VAL
次のいずれかを行います。
SPD_VAL
270
•
一覧からセキュリティアソシエーションを選択します。
•
このオプションを省略します。
次のいずれかを行います。
•
セキュリティアソシエーションとしてセキュリティアソシ
エーションパラメータを選択します。
•
このオプションを省略します。
L2TP/IPSEC Remote Client セキュリティゲートウェイの設定
L2TP/IPSEC Remote Client セキュリティゲートウェイの設定
はじめに
このトピックでは、 L2TP/IPSEC Remote Client セキュリティゲートウェイの設定方法について説明
します。
注記 : L2TP/IPSEC Remote Client セキュリティゲートウェイは 1 つしか設定できません。
作業の概要
次の表では、 L2TP/IPSEC Remote Client セキュリティゲートウェイを設定する場合の作業とタブに
ついて説明します。
作業
説明
タブ
1
一般設定を定義する
L2TP/IPSEC Remote Client Security
Gateway
2
IKE 設定を定義する。
IKE Configuration
3
IPSEC 設定を定義する
IPSEC Configuration
表 77: L2TP/IPSEC Remote Client セキュリティゲートウェイの設定作業
手順
L2TP/IPSEC Remote Client セキュリティゲートウェイを設定するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Security Gateways] タブを選択します。
3. [L2TP/IPSEC Remote Client Security Gateway] タブを選択し、 [Add] アイコンをクリックしま
す。
4. 次のフィールドを入力します。
オプション
説明
Enabled
このオプションを選択します。
Name
名前に最大 32 文字を入力します。
Comment
説明に最大 256 文字を入力します。
L2TP End Point IP
Address
アプライアンスがローカル L2TP トンネルの終点に割り当てる IP
アドレスを入力します。
これは、 L2TP VPN トンネルのアプライアンス側の IP アドレス
です。 This IP address is the endpoint of the local VPN connection.
アプライアンスの L2TP エンドポイント IP アドレスは、世界規
模で固有の固定 IP アドレスである必要があります。また、 L2TP
IP アドレスプールにないもの、または当該アプライアンスのそ
の他インターフェースで使用されていないものである必要があり
ます。
例:
•
L2TP エンドポイント IP アドレス : 192.168.2.1
•
L2TP IP アドレスプール : 192.168.2.2-192.168.2.254
Proventia® Network Multi-Function Security Appliance User Guide
271
第 18 章 : VPN の設定
オプション
説明
Disable L2TP Tunnel
Authentication
L2TP トンネル認証を有効にする場合は、このオプションを選択
します。
デフォルト設定 ( 無効化 ) のままにしておくことをお勧めしま
す。
L2TP Host Name
アプライアンスのホスト名を入力します。
注記 :L2TP/IPSEC Remote Client セキュリティゲートウェイの
L2TP ホスト名を設定する場合、この値はアプライアンスのホス
ト名です。このホスト名はアプライアンス設定時に設定済みであ
り、 [Proventia Manager Home] ページの右上角に表示されます。
例:
Device Name: myappliance.mycompany.com
5. [IKE Configuration] タブを選択し、 [Exchange Type] リストから IKE モードを選択します。
■
Main Mode ( メインモード )
■
Aggressive Mode ( アグレッシブモード )
6. [Local ID Type] リストから、次の表に示すオプションを選択します。
ID タイプ
説明
例
IP Address
ドット付き 10 進数形式
172.16.106.34
重要 : このオプションは、ほとん
どの Windows L2TP/IPSEC クラ
イアントで使用します。
FQDN
完全修飾ドメイン名
mycomputer.test.iss.net
User FQDN
ユーザーの完全修飾ドメイン名
[email protected]
DER ASN1 DN
/C ( 国 )
/C=US /S=GA /L=Atlanta /O=ISS
/OU=QA /CN=mycomputer
/S ( 州または地方 )
/L ( 地域または都市 )
/O ( 組織または会社 )
/OU ( 組織単位または担当部署 )
/CN ( 一般名 )
7. 次のフィールドを入力します。
フィールド
説明
Local ID Data
選択した [Local ID Type] に対応するローカルの証明書情報を入
力します。
ヒント : ほとんどの Windows L2TP/IPSEC クライアントの場合、
アプライアンスの外部 IP アドレスを入力します。
272
L2TP/IPSEC Remote Client セキュリティゲートウェイの設定
フィールド
説明
Remote ID Type
一覧から 1 つのオプションを選択します。
ヒント : 動的 IP アドレスを使用する Windows L2TP/IPSEC クラ
イアントの場合は、一覧から [IP Address] を選択します。
[Local ID Type] と [Remote ID Type] のオプションは同じです。
Remote ID Data
フィールドに、前に選択した [Remote ID Type] と対応するリ
モートの証明書情報を入力します。
ヒント : 動的 IP アドレスを使用する Windows L2TP/IPSEC クラ
イアントの場合は、このフィールドに「0.0.0.0」と入力しま
す。こうすることで、 VPN トンネルの IPSEC コンポーネントの
発信側ピアとして任意の IP アドレスが許可されます。
Encryption Algorithm
暗号化方式を選択します。
AES Key Length
暗号化方式 AES を選択した場合は、一覧から AES キーの長さを
選択します。それ以外の場合は、このフィールドを省略します。
Authentication
Algorithm
一覧から認証方式を選択します。
Authentication Mode
一覧から認証方式を選択します。
•
Pre-Shared Key ( 事前認証キー )
•
DSS Signed (DSS 署名 )
•
RSA Signed (RSA 署名 )
認証モードは、ローカルピアがリモートピアに対して自分自身
の身元を証明する方法を定義します。
Pre-Shared Key
Pre Shared Key 認証モードを選択した場合は、英数字 8 文字以
上のテキスト文字列を入力します。それ以外の場合は、この
フィールドを省略します。
ヒント : キーには記号を含めることができます。
VPN 接続を確立するには、この事前共有キーを VPN ピアと共有
する必要があります。事前共有キーは、メインモードではサ
ポートされていません。
Life Time Secs
IKE フェーズ 1 の暗号化設定と認証設定の有効期間 ( 秒数 ) を入
力します。
DH Group Descriptor
一覧から Diffie-Hellman グループを選択します。
8. [IPSEC Policy] タブを選択して次のように入力し、 [OK] をクリックします。
フィールド
説明
Encapsulation Mode
一覧からカプセル化モードを選択します。
Security Protocol
リストからセキュリティプロトコルを選択します。
Authentication
Algorithm
一覧から認証アルゴリズムを選択します。
Proventia® Network Multi-Function Security Appliance User Guide
273
第 18 章 : VPN の設定
フィールド
説明
Encryption Algorithm
一覧から暗号化方式を選択します。
AES Key Length
暗号化方式 AES を選択した場合は、一覧から AES キーの長さを
選択します。それ以外の場合は、このフィールドを省略します。
Life Time Secs
セキュリティプロポーザルの有効期間 ( 秒数 ) を入力します。
Life Time KBytes
セキュリティプロポーザルが有効になっている場合に送信され
るキロバイト数を入力します。
9. 変更内容を保存します。
274
セキュリティゲートウェイでの作業
セキュリティゲートウェイでの作業
はじめに
このトピックでは、セキュリティゲートウェイのコピー、編集、および削除方法について説明し
ます。
手順
ゲートウェイを編集、コピー、および削除するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Settings] を選択します。
3. [Security Gateways] タブを選択します。
4. 次のいずれかのタブを選択します。
■
Auto Key IPSEC Security Gateways
■
Manual Key IPSEC Security Gateways
■
L2TP/IPSEC Security Gateways
■
IPSEC Remote Client Security Gateway
5. 次のいずれかを行い、変更内容を保存します。
操作
ゲートウェイを編集する
手順
1. エントリを選択し、 [Edit] アイコンをクリックします。
2. 設定を編集し、 [OK] をクリックします。
ゲートウェイをコピーす
る
1. エントリを選択し、 [Copy] アイコン (
す。
2. [Paste] アイコン (
) をクリックしま
) をクリックします。
3. 必要に応じて設定を編集し、 [OK] をクリックします。
ゲートウェイを削除する
エントリを選択し、 [Remove] アイコンをクリックします。
Proventia® Network Multi-Function Security Appliance User Guide
275
第 18 章 : VPN の設定
276
概要
セクション D:
IPSEC ポリシーの設定
概要
はじめに
このセクションでは、 Internet Protocol Security (IPSEC) ポリシーを使用した安全な VPN 接続の作成
方法について説明します。
このセクションの内容
このセクションでは、次のトピックについて説明します。
トピック
ページ
IPSEC および IPSEC ポリシー
278
IPSEC のカプセル化モード
279
IPSEC VPN プロトコル
280
L2TP と IPSEC の使用
281
セキュリティアソシエーション
282
キー管理
283
IPSEC ポリシーの設定
284
Proventia® Network Multi-Function Security Appliance User Guide
277
第 18 章 : VPN の設定
IPSEC および IPSEC ポリシー
はじめに
Internet Protocol Security (IPSEC) は、インターネットなどの保護されていないネットワーク上で安
全な通信を可能にする一連のプロトコルです。 IPSEC は、 VPN セッションの作成に使用されます。
また、パブリックネットワーク上での Internet Protocol (IP) パケットの送信を、暗号化を使って保
護します。 IPSEC ポリシーは、次の内容を定義します。
●
IPSEC VPN セキュリティプロトコル
●
キー交換方式 ( キー管理 )
●
セキュリティアソシエーション (Security Association: SA)
IPSEC は、データに対して次のような保護を講じます。
●
データの完全性
●
リプレーに対する防御
●
データのプライバシー
●
起点認証
データの完全性
IPSEC は、不明な第三者によってパケットが変更されている場合に、そのパケットを廃棄すること
でデータを保護します。このテクニックは、データ認証、またはコンテンツの完全性と呼ばれるこ
ともあります。
リプレーに対する防御
IPSEC は、傍受およびリプレーからパケットを保護します。第三者が単独パケットまたは一連のパ
ケットを傍受し、ホストのセキュリティの侵害やサービス不能攻撃の実行を意図してパケットのリ
プレーを試みた場合、それを受信したホストは、パケットが既に受信済みであることを確認し、パ
ケットを削除します。
データのプライバシー
IPSEC は、 IP パケットを暗号化することで、送信される IP データグラムを保護します。 IPSEC 暗
号化は、保護されていないパブリックネットワーク上で第三者が待機し、パケットから個人情報
を入手することを防ぎます。第三者は IPSEC パケットを傍受しても、データを復号化できません。
起点認証
IPSEC パケットには、パケットを送信したホストを一意に識別する情報が常に含まれています。こ
の機能を、起点認証といいます。送信者認証、または否認防止ともいいます。
IPSEC での開始者と応
答者
IPSEC はピアツーピアを基準としています。開始者は、ネゴシエーションを開始する VPN ピアで
す。応答者は、ネゴシエーションに応答する VPN ピアです。アプライアンスを、ピアツーピア
VPN 接続の開始者、応答者、またはその両方として設定することができます。
IPSEC をトンネルモー
ドで使用する場合
IPSec トンネルは、 L2TP/IPSEC または PPTP の VPN トンネリングをサポートしない他のルーター、
ゲートウェイ、またはエンドシステムと互換性があります。 IPSEC トンネルモードは、リモート
アクセスにおける VPN 接続では使用しないでください。リモートアクセスにおける VPN 接続で
は、 L2TP/IPSEC または PPTP を使用してください。
278
IPSEC のカプセル化モード
サポート対象のモード
トンネルモード
IPSEC は、次のようなカプセル化モードをサポートしています。
●
トンネル ( システムのデフォルト )
●
トランスポート
トンネルモードは、最も使用されているカプセル化方式です。トンネルモードでは、 IP データグ
ラム全体が保護されます。トンネルモードでは、暗号化のエンドポイントではないホスト ( ゲー
トウェイデバイスなど ) へのパケット配信が許可されています。トンネルモードは、 IPSEC カプ
セル化モードのデフォルトオプションです。
トンネルモードの IPSEC パケットには、 IP ヘッダーが 2 つあります。
トランスポートモード
●
外側の IP ヘッダーには、パケット全体をゲートウェイデバイスに配信するための情報が含ま
れています。
●
内側の IP ヘッダーは暗号化されており、 VPN トンネルの向こう側にある対象ホストに宛てた
元の情報だけが含まれています。
トランスポートモードは、ホスト間トンネルに限って使用してください。トランスポートモード
は、上方のプロトコル層だけを保護するために使用されます。元の IP ヘッダーは暗号化されませ
ん。トランスポートモードは、暗号化のエンドポイントが通信のエンドポイントと同一である場
合のみに使用できます。
Proventia® Network Multi-Function Security Appliance User Guide
279
第 18 章 : VPN の設定
IPSEC VPN プロトコル
サポート対象のプロトコ
ル
Encapsulating
Security Protocol
IPSEC では、データの暗号化と認証のために次のプロトコルを使用します。
●
Encapsulating Security Protocol (ESP)
●
認証ヘッダー (Authentication Header: AH)
ESP は、データの完全性、リプレーに対する防御、データのプライバシー、および起点認証を確保
するために使用されます。 ESP では、対称キー暗号化を使用して IP パケット全体 ( ヘッダーとペ
イロード ) が暗号化されます。続いて、新しいヘッダーと ESP トレーラが追加されます。
注記 : 復号化前にパケットを認証できるだけの十分なデータがクリアテキスト形式になっている必
要があるため、トレーラの部分は暗号化されません。
注記 : ESP では、暗号化アルゴリズムと認証アルゴリズムの両方を使用します。
認証ヘッダー
280
AH は、データの完全性、起点認証、およびリプレーに対する防御を確保するために使用されま
す。 AH では IP データグラムを暗号化しないので、暗号化アルゴリズムの使用は必要ありません。
AH では、保護されたデータ ( 元のパケット ) の前に、クリアテキストのヘッダーが追加されます。
AH は、認証アルゴリズムを使用します。
L2TP と IPSEC の使用
L2TP と IPSEC の使用
はじめに
L2TP と IPSEC の組み合わせ (L2TP/IPSEC) は、インターネットなどのパブリックネットワークを
通じてリモートアクセスを提供する VPN 接続を作成するための、非常に安全な技術です。 L2TP/
IPSEC は IPSEC 単独よりも安全です。ただし、ユーザーのコンピュータと VPN サーバーとの間の
相互認証、およびクライアントとサーバーの間で交換されるすべてのデータに対して強力な暗号化
を行うためには、 IPSEC が使用されます。 L2TP と IPSEC は、任意の IP ネットワークにおいて IP、
IPX、およびその他プロトコルパケットのトンネリングとセキュリティを提供するために統合され
ています。 IPSEC Remote Client セキュリティゲートウェイを使用して、アプライアンス上で L2TP/
IPSEC VPN 接続を設定してください。
注記 : どのゲートウェイも L2TP または PPTP をサポートしない場合を除いて、 IPSec トンネルは
常に L2TP で設定される必要があります。
L2TP の機能
L2TP は、 PPTP の拡張です。 L2TP は元のパケットを、まず PPP フレーム内にカプセル化し ( 可能
であれば圧縮を行う )、続いてポート 1701 を使用して UDP メッセージ内にカプセル化します。
UDP メッセージは IP ペイロードであるため、 L2TP は IPSEC を使用してトンネルを保護します。
IPSEC は、次のプロトコルを使用します。
●
証明書に基づく認証または事前共有キーによる認証を使用して L2TP トンネルのセキュリティ
をネゴシエートする IKE プロトコル
●
パケットを暗号化する ESP
IPSEC メインモードおよびクイックモードのセキュリティアソシエーションが正常に確立される
と、 L2TP は、圧縮やユーザー認証のオプションを含めてトンネルをネゴシエートし、 PPP ベース
の認証を行います。
L2TP と IPSec の相違点 L2TP/IPSEC プロトコルは、 IPSEC を単独で使用した場合と次の点で異なります。
●
L2TP では、認証のために証明書が要求される。
●
L2TP では証明書による認証とユーザーレベルの認証の両方が行われるため、より安全である。
Proventia® Network Multi-Function Security Appliance User Guide
281
第 18 章 : VPN の設定
セキュリティアソシエーション
セキュリティアソシ
セキュリティアソシエーション (SA) は、 2 つのホストが IPSEC を使用して互いに通信する方法を
定義
します。 SA は、使用するプロトコル、使用するカプセル化モード、関係するキー、および
エーションが定義する内
キーの有効期間を定義します。
容
保持される場所
プロトコル
SA は、 IPSEC 接続の有効期間中 SA データベース (SADB) 内に保持されます。接続の有効期間は、
秒数または送信されるバイト数で指定できます。各ホストは、最低でも 2 つの SA を作成します。
●
SAin
●
SAout
ホストが 1 つ以上のプロトコル (ESP、 AH など ) を使用する場合、各プロトコルに対して SA の追
加ペアが作成されます。 SA は、 Manual Key IPSEC のように手動かつオフラインで作成されるか、
IKE のようにキー管理プロトコルによって作成されます。
次のイベントが発生した場合、 SA は削除されます。
●
SA 情報
SA の有効期間が期限切れになった場合
●
キーのセキュリティが侵害された場合
●
SA のバイト送信制限に達した場合
●
ホストが SA の削除を要求した場合
セキュリティアソシエーション (Security Association: SA) に関する統計値は、 [SA Information] セク
ションにあります。表 78 では、 SA 情報に関する統計値について説明します。
統計値
説明
IPSEC SA count
SAin と SAout の総数。
表 78: セキュリティアソシエーション (SA) に関する統計値
282
キー管理
キー管理
はじめに
IPSEC によってサポー
トされるモード
手動キー管理
暗号化システムには、 3 つの基本要素があります。
●
情報をコードに変換するアルゴリズム
●
アルゴリズムの秘密の起点である暗号化キー
●
キーを管理する管理システム
IPSEC はパブリックキーとプライベートキーを使用してトラフィックの暗号化と認証を行い、 2
つのキー交換モードをサポートしています。
●
手動
●
自動
手動によるキー管理では、キー情報が管理者の手作業によって入力されます。管理者はプロトコル
を設定し、各プロトコルにキー情報を提供し、 Security Parameter Index (SPI) の値を手作業で入力し
ます。キー情報と SPI の値には有効期限がなく、第三者によるセキュリティ侵害を受ける可能性が
あります。
地理的に離れているホストの間で共有秘密キー値を共有する必要があるため、キー情報は電子メー
ルや郵便、口頭などの保護されていない手段を通じて渡される可能性が高くなります。この種のや
りとりは傍受される可能性があり、インターネット上のトラフィックを傍受するのに必要な情報を
第三者が収集できてしまうおそれがあります。
参照 : 設定手順については、「セキュリティゲートウェイの設定」 (259 ページ ) を参照してくださ
い。
Security Parameters
Index (SPI)
Security Parameter Index (SPI) は、パケットが所属するセキュリティアソシエーション (SA) を一意
に識別する 32 ビットのフィールドです。 SPI はすべてのパケットに含まれているので、受信側の
ホストはこれを Security Parameters Database (SPDB) 内の項目と一致させ、受信パケットのセキュリ
ティをチェックするための SA を取得することができます。
SPI 値は、 IPSEC 接続の間中、変更されることはありません。通信が終了すると、 SPI 値は再要求
され、新しい IPSEC 接続で再び使用されます。
自動キー管理
自動キー管理では、 Internet Key Exchange (IKE) 方式を使用します。
参照 : 設定手順については、「セキュリティゲートウェイの設定」 (259 ページ ) を参照してくださ
い。
Proventia® Network Multi-Function Security Appliance User Guide
283
第 18 章 : VPN の設定
IPSEC ポリシーの設定
はじめに
IPSEC ポリシーの追加
このトピックでは、 IPSEC ポリシーの設定方法について説明します。次の作業の手順についても説
明します。
●
IPSEC ポリシーの追加
●
IPSEC ポリシーの編集
●
IPSEC ポリシーの削除
IPSEC ポリシーを追加するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [IPSEC Policy] タブを選択します。
3. [Add] アイコンをクリックし、次のように入力します。
フィールド
説明
Name
ポリシーの名前を入力します。
Enabled
このオプションを選択します。
Comment
ポリシーの説明を入力します。
Security Process
このポリシーを使用する IPSEC 接続のパケットに対するセキュ
リティアクションのオプションを選択します。
Protocol
•
Encrypt - パケットを VPN トンネルを通じてルーティングし
ます。
•
Bypass - パケットを VPN トンネルを通じてルーティングし
ません。
•
Discard - パケットを中断します。
IPSEC プロトコルを選択します。
•
TCP (Transmission Control Protocol) は、データストリーム
を交換する 2 ホスト間における通信に適用します。
•
UDP (User Datagram Protocol) は、 IP ネットワーク上で直接
の送受信を許可するコネクションレス型プロトコルに適用し
ます。
•
ICMP (Internet Control Message Protocol) は、エラーメッ
セージや制御メッセージ、情報メッセージを含むパケットに
適用します。
•
AH (Authentication Header: 認証ヘッダー ) は、データの完全
性、起点認証、およびリプレーに対する抵抗性 ( オプション )
を提供します。 AH の主な機能は、認証サービスを提供する
ことです。機密性は提供されません。
•
ESP (Encapsulating Security Payload) は、制限されたトラ
フィックフローの機密性に加え、データの機密性、完全性、
起点認証、アンチリプレーサービス ( オプション ) など、い
くつかのセキュリティサービスを提供します。
•
ALL は、すべてのプロトコルをポリシーに適用します。
4. ポリシーに関する次の情報を設定します。
■
284
発信元および宛先のアドレスおよびポート
IPSEC ポリシーの設定
■
手動キー管理または自動キー管理
5. [OK] をクリックし、変更内容を保存します。
IPSEC ポリシーの操作
IPSEC ポリシーを編集または削除するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [IPSEC Policy] タブを選択します。
3. 次のいずれかを行い、変更内容を保存します。
操作
ポリシーを編集する
手順
1. 設定を選択し、 [Edit] アイコンをクリックします。
2. ポリシーを編集し、 [OK] をクリックします。
リモート ID を削除する
ポリシーを選択し、 [Remove] アイコンをクリックします。
Proventia® Network Multi-Function Security Appliance User Guide
285
第 18 章 : VPN の設定
286
概要
セクション E:
IKE ポリシーの設定
概要
はじめに
このセクションでは、 Internet Key Exchange (IKE) ポリシーを使って Internet Protocol Security
(IPSEC) のセキュリティアソシエーションを作成する方法について説明します。 IKE は、追加の機
能、柔軟性、設定の容易さを提供することで IPSEC を強化します。また、 IPSEC セキュリティア
ソシエーションを自動的にネゴシエートし、手作業による事前設定を行わずに IPSEC の安全な通
信を有効にします。
このセクションの内容
このセクションでは、次のトピックについて説明します。
トピック
ページ
IKE 自動キー管理
289
IKE モード
293
Diffie-Hellman 交換
295
IKE ネットワークとセキュリティ設定の指定
296
IKE リモート ID の設定
298
IKE XAuth の設定
299
Proventia® Network Multi-Function Security Appliance User Guide
287
第 18 章 : VPN の設定
IKE SA 情報の表示
はじめに
このトピックでは、 IKE セキュリティアソシエーション情報を表示する方法について説明します。
IKE SA 情報
IKE SA 情報を表示するには :
ナビゲーションウィンドウで [Status] → [Firewall] → [Status] の順に選択します。
IKE ポリシーの状態は、 [IKE SA Information] セクションにポリシー名ごとに表示されます。表 79
では、 IKE SA 情報の統計値について説明します。
統計値
説明
Policy
Name
1 つ以上の VPN 接続で使用されているポリシーの名前。
State
ポリシーの現在の状態。
•
不使用 ( ポリシーが使われていないことを示す )
• INIT_IDLE
• RESP_IDLE
•
一時的 (IKE ネゴシエーションが発生していることを示す )
注記 : このステータスは数分間しか継続されません。
• MM_SA_WAIT
• AM_SA_WAIT
• RESP_KE_WAIT
• INIT_KE_WAIT
• RESP_ID_WAIT
• INIT_ID_WAIT
• HASH_WAIT
•
確定したステータス (IKE SA が確立したことを示す )
• SA_MATURE
表 79: IKE SA 情報
288
IKE 自動キー管理
はじめに
Internet Key Exchange (IKE) は、セキュリティアソシエーション (Security Association: SA) 作成と
IPSEC によって使われるキーの交換を行う、動的な手法を提供します。複数の VPN トンネルの配
置を円滑に行うために、自動キー管理が必要です。 IKE 自動キー管理は、次の方法で使用すること
ができます。
方法
説明
Pre-shared key
method
セッションの両方のピアが同じ事前共有キーを使用している場合は、この
キーを互いの認証に使用することができます。ピアはこのキーを実際に送
信し合うのではなく、このキーを Diffie-Hellman グループと併用してセ
キュリティネゴシエーションプロセスの一環としてのセッションキーを
作成します。ピアは、このセッションキーを使用して暗号化と認証を行
います。 IKE は、通信セッション中に、このセッションキーを自動的に再
生成します。
事前共有キーを自動キー管理と併用することをお勧めします。
Certificate method
このキー管理方法では、信頼された第三者機関である認証局 (Certificate
Authority: CA) の参加が必要です。 VPN の各ピアはまず、パブリック / プ
ライベートキーのペアと呼ばれる一連のキーを生成します。 CA は各ピア
に対応するパブリックキーに署名して、署名済みのデジタル証明書を作
成します。各ピアは CA に問い合わせ、自分の証明書と、 CA 自体の証明
書を入手します。アプライアンスに証明書をアップロードし、適切な
IPSEC トンネルとポリシーを設定したら、ピアが通信できるようになり
ます。 IKE は通信の間、ピアからピアへ署名済みデジタル証明書を送信す
ることによって、証明書の交換を管理します。署名済みデジタル証明書
は、各エンドでの CA 証明書の存在によって検証されます。この認証が完
了すると、 IPSEC トンネルは確立されます。
一般的に、証明書は手動キー管理や事前共有キーよりも管理しやすく、大
規模なネットワークに最も適しています。
表 80: 方法
Proventia® Network Multi-Function Security Appliance User Guide
289
第 18 章 : VPN の設定
IKE トンネルネゴシエーションプロセス
はじめに
このトピックでは、 IKE トンネルネゴシエーションプロセスについて説明します。
プロセス
次の表では、プロセスのフェーズについて説明します。
フェー説明
ズ
1
ピアは、通信チャネルの認証と保護の方法に関するプロポーザルを交換します。プロ
ポーザルには、次の情報が含まれます。
•
暗号化アルゴリズム
•
認証アルゴリズム
•
Diffie-Hellman グループとノンス ( 疑似乱数 )
•
身元確認のための事前共有キーまたは証明書
フェーズ 1 はメインモードまたはアグレッシブモードで行われます。
このセッションは暗号化されたチャネルを確立します。フェーズ 2 はこのチャネル上で
行われます。
2
ピアは次の作業を行います。
•
VPN トンネル内でのデータの暗号化と認証のために、セキュリティアソシエー
ション (SA) をネゴシエートする。
•
IPSEC プロポーザルを交換して、 SA で使用するセキュリティパラメータを決定す
る。
ピアは、最大 3 つのメッセージを使用して、プロポーザル決定と SA 確定を行うことが
できます。ピアは、プロポーザル中で次の項目を使用します。
•
セキュリティプロトコル : AH、 ESP、または両方
•
ESP を使用する場合は、暗号化方式 (DES、 3DES、または AES)
•
AH が使用されている場合は、認証アルゴリズム (MD5 または SHA1)
•
Perfect Forward Secrecy を使用する場合は、 Diffie-Hellman グループ
このセッションは、ホスト間の安全な通信を提供する IPSEC トンネルを確立します。
表 81: IKE トンネルネゴシエーションプロセス
暗号化アルゴリズム
暗号化アルゴリズムは、バイナリコード化された情報を暗号化および復号化するための数学アル
ゴリズムです。暗号化では、データが「暗号文」と呼ばれる理解不能な形式に変換されます。暗号
文の復号化では、データバンクが元の形式 ( プレーンテキスト ) に変換されます。次の表では、暗
号方式について説明します。
方式
説明
DES
Data Encryption Standard (DES) アルゴリズムは、 64 ビットから
成るデータのブロックを 64 ビットキーの管理下で暗号化するよ
うに設計されています。復号化は暗号化と同じキーを使用して行
われますが、復号化プロセスが暗号化プロセスの逆になるよう
に、キービットを扱うタイミングが変更されています。
重要 : キーの長さは 3 文字です。
表 82: 暗号化方式
290
IKE トンネルネゴシエーションプロセス
方式
説明
3DES
通信の当事者間で共有される Triple-Data Encryption Standard
(3DES) の秘密キーは、 DES-CBC アルゴリズムの単純な変種で
す。 DES 機能は暗号化→復号化→暗号化と 3 回実行され、それ
ぞれの段階で個別のキー (k1、 k2、 k3) が使用されます。
重要 : キーの長さは 24 文字です。
AES
Advanced Encryption Standard (AES) は、 128 ビットのデータブ
ロックを処理できる対称型ブロック暗号です。
重要 : キーの長さは 128、 192、または 256 ビットです。
表 82: 暗号化方式 ( 続き )
認証アルゴリズム
サポートされている認証アルゴリズムは、次のとおりです。
アルゴリズム
説明
MD5
Message Digest 5 (MD5) は、デジタル署名の作成に使用される
アルゴリズムです。これは、 32 ビットマシンでの使用を意図し
たものです。 MD5 は一方向ハッシュ関数です。つまり、メッ
セージを取り上げて一定の数列に変換するというもので、メッ
セージダイジェストともいいます。
一方向ハッシュ関数を使用すると、算出されたメッセージダイ
ジェストとパブリックキーで復号化されたメッセージダイジェ
ストとを比較して、メッセージが改ざんされていないことを確認
することができます。この比較を、ハッシュチェックといいま
す。
キーの長さは 16 文字です。
SHA1
Secure Hash Algorithm (SHA1) は、メッセージの圧縮表現 ( メッ
セージダイジェスト ) を生成します。メッセージダイジェスト
は、メッセージ用の署名を生成する間に使用されます。 SHA1 は
また、署名検証プロセスで受信メッセージのメッセージダイ
ジェストを算出する場合にも使用されます。送信中のメッセージ
に何らかの変更が加えられると、異なるメッセージダイジェス
トが生成され、署名の検証が失敗します。 SHA1 は、メッセージ
の送信者と意図された受信者の両方で、デジタル署名の算出と検
証に使用されます。
キーの長さは 20 文字です。
表 83: サポート対象の認証アルゴリズム
Diffie-Hellman グループ
Diffie-Hellman は、 5 つのグループで構成されています。このアプライアンスでは、 5 つのうち 3 つ
をサポートしています。グループは次のとおりです。
グループ
説明
Group 1
768 ビット MODP グループ ( サポート対象 )
Group 2
1024 ビット MODP グループ ( サポート対象 )
Group 3
155 ビット EC2N グループ ( サポート対象外 )
Group 4
185 ビット EC2N グループ ( サポート対象外 )
表 84: Diffie-Hellman グループの説明
Proventia® Network Multi-Function Security Appliance User Guide
291
第 18 章 : VPN の設定
グループ
説明
Group 5
1536 ビット MODP グループ ( サポート対象 )
表 84: Diffie-Hellman グループの説明 ( 続き )
注記 : グループ番号が大きいほど、第三者によるセッションキー値の推測は難しくなります。
292
IKE モード
IKE モード
はじめに
メインモード
IKE では、 2 つのモードのうち 1 つを使用できます。
●
メイン
●
アグレッシブ
メインモードの開始者 ( クライアント ) と応答者 ( サーバー ) は、次のプロセスで説明するように
6 つのメッセージを交換します。
段階
説明
1
開始者が IKE プロポーザルを応答者に送信します。プロポーザルは、フェーズ 1 ネゴ
シエーションの暗号化アルゴリズムと認証アルゴリズムを含んでいます。
2
応答者がプロポーザルを受け入れます。
3
開始者が Diffie-Hellman プロポーザルとノンス値 ( 乱数 ) を送信します。
4
応答者が Diffie-Hellman プロポーザルを受け入れ、自分自身のノンス値を送信します。
5
開始者が自分の身元証明 ( 証明書または事前共有秘密キー ) を送信します。
6
応答者が自分の身元証明 ( 証明書または事前共有秘密キー ) を送信します。
表 85: メインモードのプロセス
長所
暗号化方式が 1 と 2 のやりとりで確立されるため、 Diffie-Hellman 交換、 2 つのノンス値、および
身元証明は、すべて第三者による傍受から保護されます。
制約
メインモードを使用するには、各当事者の IP アドレスがわかっている必要があります。したがっ
て、応答者と開始者の両方で静的 IP アドレスを使用する必要があります。
注記 : 事前共有キーを使用する場合、メインモードトンネル ( 応答のみ ) は 1 つだけ許可されま
す。
アグレッシブモード
アグレッシブモードの開始者と応答者は、次のプロセスで説明するように 3 つのメッセージだけ
を交換します。
段階
1
説明
開始者が次の作業を行います。
•
暗号化および認証の IKE プロポーザルを送信する。
•
Diffie-Hellman 交換を開始する。
•
ノンス値と身元証明を送信する。
2
応答者がセキュリティプロポーザルを受け入れ、自分自身のノンス値と身元証明を送
信します。
3
開始者が身元と交換を確認します。
表 86: アグレッシブモードのプロセス
注記 : ピアの IP アドレスを知る必要がありません。
Proventia® Network Multi-Function Security Appliance User Guide
293
第 18 章 : VPN の設定
アグレッシブモードと
メインモード
アグレッシブモードでは Diffie-Hellman 交換と身元証明が暗号化開始の前に送信されるため、メイ
ンモードほど安全ではありません。
動的 IP アドレスの制約
開始者が動的 IP アドレスを持っている場合、使用できる方式はアグレッシブモードのみです。
294
Diffie-Hellman 交換
Diffie-Hellman 交換
はじめに
Diffie-Hellman (DH) 交換は、保護されていない通信チャネル ( インターネットなど ) を通じて共有
の秘密を送信するために使用されます。 Diffie-Hellman 交換では、個別の一方向関数を使用して、
交換プロセスで使用するキーマテリアルを生成します。
Diffie-Hellman 交換のプ
ロセス
Diffie-Hellman 交換は、次のような 2 段階のプロセスです。
段階
説明
1
各ピアがランダムな番号を選定し、両ピアが使用に同意している Diffie-Hellman アルゴ
リズム ( グループともいう ) の計算でその数値を使用します。この計算で、各ピアのパ
ブリックキーが作成されます。
2
ピアがパブリックキーを交換します。各ピアは、このキーを DH グループに基づいて
別の計算で使用し、共有秘密を生成します。
表 87: Diffie-Hellman 交換のプロセス
注記 : パブリックキーはインターネット上をクリアテキストで送信され、その演算についてもよ
く知られていますが、各ピアによって生成された秘密の乱数がないと、第三者は共有秘密を推測で
きません。
Proventia® Network Multi-Function Security Appliance User Guide
295
第 18 章 : VPN の設定
IKE ネットワークとセキュリティ設定の指定
はじめに
セキュリティゲートウェイの Internet Key Exchange (IKE) セキュリティ設定を指定します。次の手
順で、 IKE セキュリティ設定を指定します。
IKE ネットワーク設
定の指定
IKE ポリシーのネットワーク設定を指定するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Security Gateways] タブを選択します。
3. 次のいずれかのタブを選択します。
■
IPSEC Remote Client セキュリティゲートウェイ
■
Auto Key IPSEC セキュリティゲートウェイ
4. [Add] アイコンをクリックします。
5. [IKE Configuration] タブを選択し、次のように入力します。
フィールド
説明
Direction
ピアが VPN トンネルを使用する方法を選択します。
Exchange Type
次のいずれかのオプションを選択します。
•
Main Mode ( メインモード )
•
Aggressive Mode ( アグレッシブモード )
Local ID Type
一覧からタイプを選択します。
Local ID Data
選択した [Local ID Type] に対応するローカルの証明書情報を選
択します。
Local IP Address
ローカルピア IP アドレスを入力します。
Remote IP Address
リモートピア IP アドレスを入力します。
6. 暗号化を設定する場合は、次のいずれかを行います。
操作
手順
AES 暗号化を使用する
[AES] を選択し、 [AES Key Length] リストから AES キーの長さ
を選択します。
別の暗号化方式を使用す
る
1. 一覧から方式を選択します。
2. [Authentication Algorithm] リストから、認証方式を選択し
ます。
3. [Authentication Mode] を選択します。
[Pre-Shared Key] の場合は、事前共有キーの長さに英数字 8
文字以上のテキスト文字列を入力します。これには記号を含
めることができます。事前共有キーは、メインモードではサ
ポートされていません。
296
IKE ネットワークとセキュリティ設定の指定
7. 次のフィールドを入力します。
フィールド
説明
Life Time Secs
IKE フェーズ 1 の暗号化設定と認証設定の有効期間 ( 秒数 ) を入
力します。
Life Time KBytes
IKE フェーズ 1 の暗号化設定と認証設定が有効になっている場合
に送信されるキロバイト数を入力します。
DH Group
一覧から Diffie-Hellman グループを選択します。
Proventia® Network Multi-Function Security Appliance User Guide
297
第 18 章 : VPN の設定
IKE リモート ID の設定
はじめに
次のセキュリティゲートウェイに対して、 IKE リモート ID を設定することができます。
●
Auto Key IPSEC セキュリティゲートウェイ
●
IPSEC Remote Client セキュリティゲートウェイ
この作業で決定される内リモート ID はそれぞれ、 VPN 接続のエンドポイントを表します。セキュリティゲートウェイのリ
モート ID を設定すると、この VPN 接続のエンドポイントを最大 10 個まで入力することができま
容
す。入力しておくと、同一の VPN セッションで最大 10 ユーザーまでが接続可能になります。
制約
各セキュリティゲートウェイには、最大 10 個までのリモート ID が許可されています。
リモート ID の操作
リモート ID を追加、編集、コピー、または削除するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Security Gateways] タブを選択します。
3. 次のいずれかのタブを選択します。
■
IPSEC Remote Client Security Gateway
■
Auto Key IPSEC Security Gateway
4. 次のいずれかを行い、変更内容を保存します。
操作
リモート ID を追加する
手順
1. [Add] アイコンをクリックします。
2. [Remote ID Type] リストから、リモートピアが認証のため
にローカルピアに送信するデータの種類を選択します。
3. [Remote ID] フィールドに、選択した [Remote ID Type] と対
応するリモートの証明書情報を入力します。
4. [OK] をクリックします。
リモート ID を編集する
1. エントリを選択し、 [Edit] アイコンをクリックします。
2. エントリを編集し、 [OK] をクリックします。
リモート ID をコピーす
る
1. エントリを選択し、 [Copy] アイコン (
す。
2. [Paste] アイコン (
) をクリックしま
) をクリックします。
3. 必要に応じてエントリを編集し、 [OK] をクリックします。
リモート ID を削除する
298
ポリシーを選択し、 [Remove] アイコンをクリックします。
IKE XAuth の設定
IKE XAuth の設定
はじめに
次のセキュリティゲートウェイに対して、 XAuth を設定することができます。
●
Auto Key IPSEC セキュリティゲートウェイ
●
IPSEC Remote Client セキュリティゲートウェイ
セキュリティゲートウェイに対して XAuth を有効にした場合は、 IKE XAuth 設定を指定する必要
があります。
XAuth とは
XAuth (Extended Authentication) は、 IKE セッションに第 2 のユーザー名およびパスワードを提供し
ます。 XAuth プロセスは、 IKE フェーズ 1 の終了後に開始されます。 XAuth プロセスは次のように
行われます。
段階
説明
1
リモート VPN とピアがユーザー名とパスワードを要求します。
2
ローカルピアが次のいずれかの方法で資格情報を取得します。
•
ピアがユーザーにユーザー名とパスワードを要求する。
•
ピアがポリシー内のユーザー名とパスワードを探す。
3
ローカルピアがリモートピアに資格情報を転送します。
4
リモートピアがユーザー名とパスワードのペアを検証します。
表 88: XAuth プロセスの段階
名前 / パスワード認証の
方式
名前とパスワードのペアを認証するには、次の 2 つの方式があります。
方式
説明
Generic
この方式はビルトインのローカルデータベースを使用します。
この方式は、 SoftRemote VPN ピアまたは PAP 認証用です。
RADIUS
この方式は認証のために RADIUS サーバーに情報を渡します。
この方式は、 CHAP 認証をサポートする VPN クライアントです。
「IPSEC Remote Client セキュリティゲートウェイでの RADIUS
の設定」 (263 ページ ) を参照してください。
表 89: 名前 / パスワード認証の方式
IKE XAuth の設定
IKE ポリシーの XAuth を設定するには :
1. ナビゲーションウィンドウで [Configuration] → [Firewall] の順に選択します。
2. [Security Gateways] タブを選択します。
3. 次のいずれかのタブを選択します。
■
IPSEC Remote Client セキュリティゲートウェイ
■
Auto Key IPSEC セキュリティゲートウェイ
4. Auto Key IPSEC または IPSEC Remote Client ゲートウェイの場合は、 [XAuth] セクションに移
動し、 [Enabled] をオンにします。
Proventia® Network Multi-Function Security Appliance User Guide
299
第 18 章 : VPN の設定
5. 次のいずれかを行い、変更内容を保存します。
リモートピアが次の場
合
認証のためにユーザー名
とパスワードを提供する
手順
1. [Device Type] リストから [Edge Device ] を選択します。
2. ユーザー名を入力します。
3. [Set Password] をクリックし、パスワードを入力してから確
認します。
4. [OK] をクリックします。
認証のためにユーザー名
とパスワードを提供しな
い
1. [Device Type] リストから [IP Sec Host] を選択します。
2. 認証の方式を選択します。
Safenet Soft Remote VPN ピアまたは PAP (Password
Authentication Protocol) 認証の場合は、 [Generic]。
CHAP (Challenge Handshake Authentication Protocol) ベース
の認証をサポートする VPN クライアントの場合は、
[RADIUS]。
[RADIUS] を選択した場合は、 RADIUS クライアントも設定
する必要があります。「IPSEC Remote Client セキュリティ
ゲートウェイでの RADIUS の設定」 (263 ページ ) を参照して
ください。
3. [OK] をクリックします。
300
パート V
®
システム監視
第 19 章
イベント、ログ、およびステータスの監
視
概要
はじめに
この章では、イベント、ログ、およびステータスの監視方法について説明します。
参照 : 防御機能の監視方法と、関連するステータス、イベント、および統計値の詳細な説明につ
いては、オンラインヘルプを参照してください。
この章の内容
この章では、次のトピックについて説明します。
トピック
ページ
アラート、ログ、およびステータスの表示
304
イベントに関する詳細情報の入手
305
イベントログの操作
306
Proventia® Network Multi-Function Security Appliance User Guide
303
第 19 章 : イベント、ログ、およびステータスの監視
アラート、ログ、およびステータスの表示
はじめに
このトピックでは、アラート、ログ、およびステータスの表示方法について説明します。
参照 : 各機能のステータス情報の詳細な説明については、オンラインヘルプを参照してください。
アラートの表示
アラートを表示するには、ナビゲーションウィンドウで次の作業を行います。
次のアラートを表示する場合
手順
アンチスパム
[Status] → [Antispam] → [Alerts]
アンチウィルス
[Status] → [Antivirus] → [Alerts]
ファイアウォール
[Status] → [Firewall] → [Alerts]
不正侵入防御
[Status] → [Intrusion Prevention] → [Alerts]
ログ
[Logs] → [Alerts]
システム
[Status] → [System] → [Alerts]
アップデート
[Updates] → [Alerts]
Web フィルタ
[Status] → [Web Filter] → [Alerts]
ログの表示
システムログを表示するには、ナビゲーションウィンドウで [Logs] → [System Logs]
ステータスの表示
ステータスを表示するには、ナビゲーションウィンドウで次の作業を行います。
304
次のステータスを表示する場合
手順
アンチスパム
[Status] → [Antispam] → [Status]
アンチウィルス
[Status] → [Antivirus] → [Status]
DHCP
[Status] → [DHCP] → [Status]
ファイアウォール
[Status] → [Firewall] → [Status]
不正侵入防御
[Status] → [Intrusion Prevention] →[Status]
OSPF
[Status] → [OSPF] → [Status]
システム
[Status] → [System] → [Status]
Web フィルタ
[Status] → [Web Filter] → [Status]
イベントに関する詳細情報の入手
イベントに関する詳細情報の入手
はじめに
手順
このトピックでは、イベントに関する詳細情報の入手方法と、次の作業を行う方法について説明し
ます。
●
イベント詳細を表示する
●
不正侵入防御情報を入手する
●
アンチウィルス情報を入手する
イベントに関する詳細情報を入手するには、次のいずれかの作業を行います。
操作
手順
イベント詳細を表示する
[Alert Name] 列のイベント名をクリックします。
不正侵入防御イベントに関す
る X-Force 情報を入手する
アンチウィルスイベントに
関する情報を入手する
[Alert Name] 列の X-Force アラートアイコン (
クします。
[Alert Name] 列のア
アンチウィルスアイコン (
します。
Proventia® Network Multi-Function Security Appliance User Guide
) をクリッ
) をクリック
305
第 19 章 : イベント、ログ、およびステータスの監視
イベントログの操作
はじめに
このトピックは、イベントログの操作方法について説明します。
イベントログの操作
イベントログを操作するには、 [Alert Event Log] ページで次のいずれかを行います。
操作
手順
ログを更新する
[Refresh Data] リストからオプションを選択します。
1. [Filter Options] リストからオプションを選択します。
ログをフィルタリングする
2. 表示されたフィールドで、フィルタの基準を入力または選択
し、 [Go] をクリックします。
フィルタを削除する
[Filter Off] を選択し、 [Go] をクリックします。
ログを検索する
26 文字のアラート ID 番号を入力し、 [Go] をクリックします。
参照 : アラート ID 番号は、機能名ごとにこの章に記載されてい
ます。詳細については、次のトピックを参照してください。
•
「アンチスパムイベント」 (310 ページ )
•
「アンチウィルスイベント」 (310 ページ )
•
「ファイアウォールイベント」 (311 ページ )
•
「不正侵入防御イベント」 (317 ページ )
•
「統計イベント」 (318 ページ )
•
「システムイベント」 (318 ページ )
•
「アップデートイベント」 (319 ページ )
•
「Web フィルタイベント」 (319 ページ )
ヒント : アスタリスク (*) はワイルドカード検索で使用可能です。
詳細については、このトピックの「ワイルドカード検索」を参照
してください。
ログファイルを保存する
[Generate new log file from Alerts] をクリックします。
現在のログファイルは、 3 つのカンマ区切り値ファイル (.csv) と
して保存されます。この 3 つのファイルは、 [Alerts] 内に表示さ
れたデータを相互参照するために使用されます。ファイルは次の
とおりです。
ログを消去する
•
「ファイル名 _eventdata.csv」には、アラートレコー
ド番号と一致する個別レコードが含まれます。このファイル
には、イベント名と危険度も含まれます。
•
「ファイル名 _eventinfo.csv」には、アラートのイベ
ント固有情報のセクションに挙げられたデータが含まれます。
•
「ファイル名 _eventresp.csv」には、アラートの実行
したレスポンスのセクションに含まれるデータが含まれます。
[Clear Current Alerts] をクリックし、 [OK] をクリックします。
ヒント : ログを消去する前に、保管用コピーを保存することがで
きます。保存されたコピーは、法的な目的に役立ちます。
306
イベントログの操作
操作
手順
1. [View/Manage Log Files] をクリックします。
ログファイルをダウンロー
ドする
2. ダウンロードするファイルを選択し、 [Download] をクリッ
クします。
3. [Save the file to disk] を選択し、 [OK] をクリックします。
4. [File Name] にファイル名を入力し、 [Save] をクリックしま
す。
注記 : この手順は、アプライアンスからログファイルを削除しま
せん。
ログファイルを削除する
ワイルドカード検索
[View/Manage Log Files] クリックし、次のいずれかを行いま
す。
•
ファイルを選択し、 [Delete] をクリックし、 [OK] をクリック
します。
•
[Delete All] をクリックします。
アスタリスクワイルドカード文字 (*) を使用して、アラートイベントログの次のフィールドを検
索することができます。
●
Alert Name
●
Source IP Address
●
Destination IP Address
例
次の表では、ワイルドカード検索例の結果を示します。
検索
結果
129*( 発信元アドレスの場
129 で始まる発信元 IP アドレスのアラートがすべて表示されま
す。
合)
*129 ( 宛先アドレスの場合 129 で終わる宛先 IP アドレスのアラートがすべて表示されます。
)
*129* ( 発信元アドレスの
129 を含む発信元 IP アドレスのアラートがすべて表示されます。
場合 )
Firewall* ( アラート名
の場合 )
「Firewall」で始まる名前の付いたアラートがすべて表示されま
す。
表 90: ワイルドカード検索の例
ログのフィルタリング
ログファイルをフィルタリングするには、 [System Log] ページで次のいずれかを行います。
次をフィルタリングする場合手順
Risk Level ( 危険度 )
危険度を選択し、 [Go] をクリックします。
Alert Name ( アラート名 )
アラート名を入力し、 [Go] をクリックします。
表 91: フィルタオプション
Proventia® Network Multi-Function Security Appliance User Guide
307
第 19 章 : イベント、ログ、およびステータスの監視
次をフィルタリングする場合手順
Alert Type ( アラートタイプ
)
一覧からアラートタイプを選択し、 [Go] をクリックします。
Date and Time ( 日時 )
開始と終了の日時を入力し、 [Go] をクリックします。
参照 : 詳細については、このトピックの「フィルタオプション」
を参照してください。
入力形式 :
•
日付は「mm/dd/yyyy」の形式で入力する必要があります。
01/01/2004
•
時刻は「hh:mm:ss」の形式で入力する必要があります。
14:25:00
開始日または終了日を省略することができますが、 2 つのうち少
なくとも 1 つのフィールドには値を入力する必要があります。
[Start Date and Time] フィールドの日時を省略すると、アプライ
アンスはこの値を「00:00:00」と解釈します。 [End Date and
Time] フィールドの日時を省略すると、アプライアンスはこの値
を「23:59:59」と解釈します。
Source IP ( 発信元 IP)
イベントの発信元 IP アドレスを入力し、 [Go] をクリックしま
す。
Destination IP ( 宛先 IP)
イベントの宛先 IP アドレスを入力し、 [Go] をクリックします。
Source and Destination IP (
発信元と宛先の IP)
イベントの発信元と宛先の IP アドレスを入力し、 [Go] をクリッ
クします。
Source Port Number ( 発信元
のポート番号 )
イベントの発信元のポート番号を入力し、 [Go] をクリックしま
す。
Destination Port Number ( 宛
先のポート番号 )
イベントの宛先のポート番号を入力し、 [Go] をクリックします。
Protocol Number ( プロトコ
ル番号 )
イベントのプロトコル番号を入力し、 [Go] をクリックします。
Multiple Values ( 複数の値 )
一部またはすべてのフィールドで値を入力または選択し、 [Go]
をクリックします。
フィルタオプションごとに 1 つのフィールドが表示されます。
特定のイベントを検出するには、検索内容に含める各フィールド
値がイベントと一致している必要があります。
表 91: フィルタオプション ( 続き )
308
イベントログの操作
フィルタオプション
次の表では、アラートタイプのフィルタオプションについて説明します。
アラートタイプ
含まれるメッセージ
All Firewall
•
System Messages ( システムメッセージ ) - 以前の Resource
Errors。ファイアウォールまたはファイアウォールを通過するトラ
フィックに関して発生したエラーが、ログファイルに書き込まれ
ます。
•
Deny Rule Messages ( 拒否ルールに関するメッセージ ) - ログの
有効になった拒否ルールがファイアウォールポリシー内にあり、
このルールによってトラフィックがブロックされた場合に、イベ
ントがログファイルに書き込まれます。
•
Allow Rule Messages ( 許可ルールに関するメッセージ ) - ログの
有効になった許可ルールがファイアウォールポリシー内にあり、
このルールによってトラフィックが受容された場合に、イベント
がログファイルに書き込まれます。
•
Rule Not Found Messages ( ルールが見つからない場合のメッ
セージ ) - パケットがネットワークを通って来て、一致するファイ
アウォールポリシールールがないために中断された場合、イベン
トがログファイルに書き込まれます。
•
Configuration Changes ( 設定変更 ) - ファイアウォールルール、
リスト、またはその他設定可能なファイアウォール設定が変更さ
れた場合、イベントがログファイルに書き込まれます。
注記 : イベントは、どのユーザーが変更を行ったかについては指摘
しません。
Firewall Rule
Firewall Alerts
Firewall General
•
Access Statistics ( アクセス統計値 ) - 現在のネットワークアク
ティビティを説明するログ項目が、定期的に書き込まれます。
•
VPN Messages (VPN に関するメッセージ ) - ユーザーが IPSEC
ポリシーまたは手動 IPSEC ポリシーのいずれかを通じてネット
ワークにアクセスするたびに、イベントがログファイルに書き込
まれます。
•
DNS and ICMP Messages (DNS と ICMP に関するメッセージ ) すべての DNS 照会および応答のメッセージについて、イベントが
ログファイルに書き込まれます。
•
Allow Rule
•
Deny Rule
•
Syn フラッド
•
Ping of Death
•
IP スプーフィング
•
無効なパケット
•
一般的な攻撃
•
リソースエラー
•
VPN に関するメッセージ
Antivirus
アンチウィルスイベントに関するメッセージ
Antispam
•
スパムであるとタグ付けされたメールのみを記録する
•
すべてのメールを記録する
表 92: アラートタイプのフィルタオプション
Proventia® Network Multi-Function Security Appliance User Guide
309
第 19 章 : イベント、ログ、およびステータスの監視
アラートタイプ
含まれるメッセージ
Web Filter
•
ブロック済みの Web ページ要求
•
すべての Web ページ要求
•
ブロックされた攻撃 / 監査
•
ブロックされなかった攻撃
•
ブロックされなかった監査
•
一般的なイベント ( 隔離ルールおよびパケットのドロップ )
•
システムエラー
•
システム警告
•
システム通知
Intrusion Prevention
System
表 92: アラートタイプのフィルタオプション ( 続き )
アンチスパムイベント
表 93 では、アンチスパムイベントを示します。
イシュー
ID
イベント名
メッセージ
6000000
ASM_Spam_Detected
Email is classified as spam
メッセージ詳細については、イベントを参照し
てください。
6000001
ASM_Email_Received
Email received
メッセージ詳細については、イベントを参照し
てください。
表 93: アンチスパムイベント
アンチウィルスイベン
ト
表 94 では、アンチウィルスイベントを示します。
イシュー
ID
イベント名
メッセージ
2000000
Specific_Virus_Flood
メッセージ詳細については、イベントを参照し
てください。
2000001
Local_Client_Virus_Flood
メッセージ詳細については、イベントを参照し
てください。
2000002
Local_Client_Sent_Virus
メッセージ詳細については、イベントを参照し
てください。
2000003
Virus_Found_In_Encapsulating_
Object
メッセージ詳細については、イベントを参照し
てください。
2000004
Virus_Found_In_File
メッセージ詳細については、イベントを参照し
てください。
2000007
AVM_Internal_Error
メッセージ詳細については、イベントを参照し
てください。
表 94: アンチウィルスイベント
310
イベントログの操作
ファイアウォールイベ
ント
表 95 では、発生する可能性のあるファイアウォールイベントと、各イベントに関連付けられた
メッセージを示します。
ID
イベント名
3000012 Firewall_Resource_Error
メッセージ
パケット
Ceiling for number of connections reached,
dropping packet
ドロップ
Ceiling for number of connections to the
device, dropping packet
Memory allocation for connection failed,
dropping packet
Unable to send syn packet
Send final ACK to target failed
Attempt to release incorrect TCP nat port
Attempt to release incorrect UDP nat port
Attempt to release incorrect ICMP nat port
Traffic Police module Init function failed
(module not present)
Traffic Shaping module Init function failed
(module not present)
Unable to get PortMap for NAT %lx:%ld
Proto %u
Unable to free Unknown Protocol NAT port
for %lx:%ld
Unable to free TCP NAT port for%lx:%ld
Unable to free UDP NAT port for%lx:%ld
Unable to free ICMP NAT port for%lx:%ld
Unable to free GRE NAT port for%lx:%ld
Unable to free Unknown Protocol NAT port
for%lx:%ld
Aol ALG Alloc Entry Failed!
Dns Alloc Entry Failed!
Dropping DNS request as memory allocation
failed
Dmy ALG Alloc Entry Failed!
Invalid FTP PASV cmd reply seen, dropping
packet
FTP Get port failed
Invalid FTP PASV cmd reply seen, dropping
packet
FTP PASV cmd response came without
request, dropping packet
FTP ALG Alloc Entry Failed!
H.323:Registration Failed because
InitPerBuffers Failed
H.323: Unable to get Nat port
表 95: ファイアウォールイベント
Proventia® Network Multi-Function Security Appliance User Guide
311
第 19 章 : イベント、ログ、およびステータスの監視
ID
イベント名
メッセージ
パケット
300012
Firewall_Resource_Error
H.323:Failed to Allocate memory for
H323_H245 Connection
ドロップ
H.323:Failed to make H323_H245
Connection
H.323:Failed to Create memory for
pH323_RtpRtcp
H.323:Failed to Create memory for
pH323_T120
H.323:Failed to make connection for
H323T120
H.323:Failed to make connection for
H323RtpRtcp
H.323:Failed to Allocate Memory for
H323GK ALG Alloc Entry Failed!
Ils ALG Alloc Entry Failed!
IRC:Failed to allocate memory for IRC
connection
IRC:No of Messages are more than
MAX_IRC_REQUESTS
IRC:Size of Message is more than
MAX_IRCSIZE
IRC:Something wrong%d
IRC:Something gone wrong in Notice
Message
IRC:Unable to Allocate memory for IRCData
IRC:Unable to allocate create dynamic
association for IRC
IRC:Unable to create IGWbuf for IRC
Msn ALG Alloc Entry Failed!
N2P ALG Alloc Entry Failed!
N2PE ALG Alloc Entry Failed!
Pptp Alloc Entry Failed!
Rpc Alloc Entry Failed!
RPC Program Number%lu denied
Stored RPC transaction Id doesn't match
server response, dropping packet
RPC Server's response is undecipherable,
dropping packet
RTSP:Failed to allocate memory for RTSP
connection
RTSP:Failed to allocate IGWbuf for RTSP
connection
RTSP:Failed to NatPort for RTSP connection
RTSP:Failed to Create RTSP Data
connection
表 95: ファイアウォールイベント ( 続き )
312
イベントログの操作
ID
イベント名
3000012 Firewall_Resource_Error
メッセージ
パケット
Sql ALG Alloc Entry Failed!
ドロップ
Tftp ALG Alloc Entry Failed!
ALGSipInit::Could Not allocate Ctrl Info
ALGSipInit::Failed to set app process
ALGSipInit::Failed to set app process
ALGSipProcess::Unsupported SIP message
ALGSipProcess::ALGSipMangleMessage
returned error
ALGSipProcess::Failed to allocate new
buffer
ALGSipMangleMessage::Failed to create
association for RTP.
ALGSipMangleMessage::Failed to create
association for RTP.
ALGSipProcess::Failed to Allocate CtrlInfo
ALGSipProcess::Failed to create association
Memory allocation for AppRegister failed.
ICMP Type: %u Code: %u Memory allocation
failed, dropping packet
Unable to get PortMap for NAT %lx:%ld
Proto %u
Unable to get PortMap for NAT %lx:%ld
Proto %u
Unable to get PortMap for NAT %lx:%ld
Proto %u
Unable to allocate memory for NAT portmap
(%lx->%lx)
ADAlgRegisterNatPorts:Some ports in the
specified Range already Registered
AlgId %d Protocol %d StartPort %ld EndPort
%ld
ADAlgRegisterNatPorts: Unable to get
memory
ADAlgRegisterNatPorts:Invalid Range
StartPort %ld EndPort %ld
ADAlgRegisterNatPorts:Trying to register
twice. AlgId %d Protocol %d
Attempt to de-register port map for
unavailable NIP %lx-%lx
Something went wrong in function
ADLDelNatPort
Unable to get PortMap for NAT %lx Proto %d
表 95: ファイアウォールイベント ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
313
第 19 章 : イベント、ログ、およびステータスの監視
ID
イベント名
3000012 Firewall_Resource_Error
メッセージ
パケット
Attempt to Access Blocked NEWS Group %s
ドロップ
Attempt to contact ProxyServer, dropping
packet
HTTP request exceed the buffer limit of URL
keyword filtering
Denyed key-word \"%s\" found in the URL
Memory allocation failed URL filtering,
closing the connection
Invalid HTTP request, closing the connection
3000004 Firewall_Syn_Flood
Crossed 80% of resource. Possible flooding
(TCP)
許可
3000007 Firewall_IP_Spoofing
Spoofing detected, dropping packet
ドロップ
3000010 Firewall_Rule_Not_Found
Security policy unavailable for access policy,
dropping packet
ドロップ
Access Policy not found, dropping packet
3000011 Firewall_Allow_Rule
Service access request successful
許可
3000008 Firewall_Deny_Rule
Deny access policy matched, dropping
packet
ドロップ
Access policy referred on deny timerange,
dropping packet
3000013 Firewall_Access_Statistics
Connection terminated/closed/timed out.
Bytes transferred : %lu
表 95: ファイアウォールイベント ( 続き )
314
該当なし
イベントログの操作
ID
イベント名
3000006 Firewall_General_Attack
メッセージ
パケット
Possible Land attack detected, dropping
packet
ドロップ
Unable to find route for source, dropping
packet
Source IP is a broadcast address, dropping
packet
Unable to determine route to destination,
dropping packet
TCP connection request received is invalid,
dropping packet
Invalid ack value received for connection,
dropping packet
UDP echo response received for uninitiated
echo request (Possible smurf attack),
dropping packet
Echo response for uninitiated echo request
(Possible Smurf Attack), dropping packet
General attack detected, dropping packet
(not used currently)
IP header length is less then the minimum
length
Packet without any data received
Packet with Short TCP Header length
detected,packet dropped
Dropping packet due to length problem in
TCP
TCP Null Scan attack detected
Packet with Short UDP Header length
detected, packet dropped
Dropping packet because of invalid length in
UDP
Packet with Short ICMP length detected,
packet dropped
Dropping ICMP packet of type %d (unknown
type)
Post Connection SYN attack detected
Security Policy configured but plain pkt
received, dropping packet
Rate-Limiting: Max Conn Rate reached, new
conns will not be formed
Rate-Limiting: Max Conn Limit reached, new
conns will not be formed
Data packet received after reset, dropping
packet
Blind Spoofing attack detected
Zero bytes transferred for connection (nonICMP)
Zero bytes transferred for connection (ICMP)
表 95: ファイアウォールイベント ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
315
第 19 章 : イベント、ログ、およびステータスの監視
ID
イベント名
3000006 Firewall_General_Attack
メッセージ
パケット
Data connection not established from remote
ドロップ
Received Invalid DNS reply with ID: %u
FTP Bounce attack detected dropping packet
MIME Header Length Exceeded the
Maximum Limit in the HTTP Request
Maximun number of MIME Header in the
HTTP nequesyt exceeded
Rate-Limiting: Maximum Packet Rate
reached, dropping the packet
Rate-Limiting: Maximum Bandwidth
Reached, dropping the packet
Packet with sequence number out of range
detected, dropping packet
Invalid sequence number received with
Reset, dropping packet
ICMP Type: %u Code: %u, Received
duplicate sequence number: %u
ICMP Type: %u Code: %u Echo response
received for unknown sequence number %u,
dropping packet
Packet header length is less than expected,
dropping packet
Received packet is too small to yank IP
header, dropping packet
Checksum error, dropping packet
Packet without any data received, packet
dropped
Zero data length IP fragment detected,
dropping fragment
Length in IP Header > Data length. Possible
JOLT attack
Fragment of size less than configured
minimum fragment size detected
Fragment of size less than configured
minimum fragment size detected
Reassembly is currently disabled
IpReassembly Fragment count exceeds max
limit
IpReassembly last Fragment length changed
IP Reassembly : Overlapped IP fragment
received, Dropping Fragment
IP Reassembly : Overlapped IP fragment
received
IpReassembly Datagram size exceeds max
limit
IpReassembly time out
Icmp error message received for uninitiated
connection
ICMP error message contains less data than
expected (Possible attack)
Dropping ICMP error packet to external n/w
Dropping ICMP error packet
316
イベントログの操作
ID
イベント名
3000014 Firewall_DNS_and_ICMP
メッセージ
パケット
Received DNS request with ID: %u
許可
Received DNS reply with ID: %u
ICMP Type: %u Code: %u Sequence
number: %u received
3000015 Firewall_VPN
IKE Init Cookie: %s & Resp Cookie: %s
Deleting the IsakmpSA
許可
IKE Init Cookie: %s & Resp Cookie: %s IKE
phase-II msg not received after retries
IKE Init Cookie: %s & Resp Cookie: %s IKE
start phase-I success
IKE Init Cookie: %s & Resp Cookie: %s
Quick Mode completed of msg ID %s
IKE Init Cookie: %s & Resp Cookie: %s
Sending a Delete payload for phase-I
IKE Init Cookie: %s & Resp Cookie: %s
Sending a Delete payload for phase-II
IKE Init Cookie: %s & Resp Cookie: %s
Started phase-I negotiation
IKE Init Cookie: %s & Resp Cookie: %s
Started Quick Mode of Msg ID %s
3000016 Firewall_Configuration_
Change
Access policy with Rule id: %d has been
added
該当なし
Access policy with Rule id %d has been
deleted
Configuration for box access has been
modified
Configuration for firewall attacks has been
modified
Max association limits for different networks
has been modified
3000005 Firewall_Ping_of_Death
Ping of Death attack detected (protocol is
ICMP)
ドロップ
Jolt attack detected (protocol is not ICMP)
表 95: ファイアウォールイベント ( 続き )
不正侵入防御イベント
表 96 では、不正侵入防御イベントを示します。
イシュー
ID
イベント名
メッセージ
4000000
IPM_Dynamic_Rule_Added
メッセージ詳細については、イベントを参
照してください。
4000001
IPM_Dynamic_Rule_Removed
メッセージ詳細については、イベントを参
照してください。
4000002
IPM_Dynamic_Table_Cleared
メッセージ詳細については、イベントを参
照してください。
表 96: 不正侵入防御イベント
Proventia® Network Multi-Function Security Appliance User Guide
317
第 19 章 : イベント、ログ、およびステータスの監視
イシュー
ID
イベント名
メッセージ
4000003
IPM_Dynamic_Rule_Expired
メッセージ詳細については、イベントを参
照してください。
4000004
IPM_Packet_Dropped
メッセージ詳細については、イベントを参
照してください。
4000005
IPM_Internal_Error
IPM Internal Error. Contact ISS Technical
Support.
表 96: 不正侵入防御イベント ( 続き )
統計イベント
表 99 では、統計イベントを示します。
イシュー ID
イベント名
メッセージ
4000012
IPS_Stats
Intrusion prevention statistics summary
メッセージ詳細については、イベントを
参照してください。
3000017
FWM_Stats
Firewall statistics summary
メッセージ詳細については、イベントを
参照してください。
2000005
AVM_Stats
Antivirus statistics summary
メッセージ詳細については、イベントを
参照してください。
6000002
ASM_Stats
Antispam statistics summary
メッセージ詳細については、イベントを
参照してください。
5000003
WFM_Stats
Web filter statistics summary
メッセージ詳細については、イベントを
参照してください。
表 97: 統計イベント
システムイベント
表 98 では、システムイベントを示します。
イシュー
ID
イベント名
メッセージ
1000000
System_Info
The appliance is now restarted. You may access it
using Proventia Manager.
There are updates available to be installed.
There are updates available to be downloaded.
1000001
System_Warning
メッセージ詳細については、イベントを参照してくだ
さい。
1000002
System_Error
メッセージ詳細については、イベントを参照してくだ
さい。
1000003
System_Failed_Login
Failed login detected,srcip=%s,service=%s,username=%s
表 98: システムイベント
318
イベントログの操作
イシュー
ID
イベント名
メッセージ
1000004
System_Successful_Login
Successful login detected,srcip=%s,service=%s,username=%s
表 98: システムイベント ( 続き )
アップデートイベント
表 99 では、アップデートイベントを示します。
イシュー
ID
イベント名
メッセージ
7000000
Update_Available
Updates are available for security (Antivirus or Intrusion
Prevention), firmware and/or the Web Filter and Antispam
Database.
メッセージ詳細については、イベントを参照してください。
7000001
Update_Installation
Installations have occurred for security (Antivirus or Intrusion
Prevention) updates or firmware updates.
メッセージ詳細については、イベントを参照してください。
7000002
Update_Uninstall
A security update (Antivirus or Intrusion Prevention) has been
uninstalled.
注記 : ファームウェアまたはデータベースのアップデートをア
ンインストールあるいはロールバックすることはできません。
メッセージ詳細については、イベントを参照してください。
7000003
Update_Error
An error has occurred related to the update process.
メッセージ詳細については、イベントを参照してください。
表 99: アップデートイベント
Web フィルタイベント
表 100 では、 Web フィルタイベントを示します。
イシュー
ID
イベント名
メッセージ
5000000
WFM_URL_Blocked
Requested URL matched a blocked category
メッセージ詳細については、イベントを参照し
てください。
5000001
WFM_URL_Requested
URL request received
メッセージ詳細については、イベントを参照し
てください。
表 100: Web フィルタイベント
Proventia® Network Multi-Function Security Appliance User Guide
319
第 19 章 : イベント、ログ、およびステータスの監視
320
®
付録
付録 A
高度なパラメータ
概要
はじめに
この付録では、アプライアンスの高度なパラメータについて説明します。
この付録の内容
この付録では、次のトピックについて説明します。
トピック
ページ
高度なパラメータの概要
324
アンチスパムの高度なパラメータ
326
アンチウィルスの高度なパラメータ
327
自動アップデートの高度なパラメータ
341
データベースの高度なパラメータ
343
DHCP の高度なパラメータ
344
イベント通知の高度なパラメータ
345
ファイアウォールと VPN の高度なパラメータ
347
ハイアベイラビリティの高度なパラメータ
351
不正侵入防御の高度なパラメータの設定
352
不正侵入防御のブロックルールキーワード
360
不正侵入防御の防御レスポンスキーワード
362
ステータスサマリの高度なパラメータ
364
Web フィルタの高度なパラメータ
365
Proventia® Network Multi-Function Security Appliance User Guide
323
付録 A: 高度なパラメータ
高度なパラメータの概要
はじめに
高度なパラメータは、アプライアンスの動作をさらに制御します。高度なパラメータは名前と値の
ペアを含んでいます。各ペアには、デフォルト値が設定されています。この値を要件に合うように
変更することができます。この値は、次のいずれかです。
●
Boolean ( ブーリアン )
●
Number ( 数値 )
●
String ( 文字列 )
注記 : Proventia Manager は、 1 つの機能に対して最も一般的に使用される高度なパラメータのみを
表示します。他のパラメータは使用可能ですが、表示されません。
高度なパラメータの
操作
高度なパラメータを追加、編集、コピー、または削除するには :
注記 : この手順は、すべてのコンポーネントおよび機能で同一です。
1. ナビゲーションウィンドウで、次のいずれかを行います。
次のパラメータを設定する場合
手順
Antispam
[Configuration] → [Antispam]
Antivirus
[Configuration] → [Antivirus]
Firewall
[Configuration] → [Firewall]
Intrusion Prevention
[Configuration] → [Intrusion Prevention]
Web Filter
[Configuration] → [Web Filter]
Updates
[Maintenance] → [Updates] → [Automatic
Settings]
Filter database
[Maintenance] → [Filter DB]
DHCP
[Configuration] → [System] → [DHCP]
Event Notification (System)
[Configuration] → [System] → [Notification]
VPN
[VPN]
High Availability
[Configuration] → [System] → [High
Availability]
2. [Advanced Parameters] タブを選択し、次のいずれかを行います。
操作
パラメータを追加する
手順
1. [Add] アイコンをクリックします。
2. [Name] フィールドにパラメータ名を入力します。
3. [Description] フィールドに説明を入力します。
4. [Value] セクションで、値の種類と値を指定します。
5. [OK] をクリックします。
パラメータを編集する
1. パラメータを選択し、 [Edit] アイコンをクリックします。
2. パラメータを編集し、 [OK] をクリックします。
324
高度なパラメータの概要
操作
パラメータをコピーする
手順
1. 高度なパラメータを選択し、 [Copy] アイコン (
クします。
2. [Paste] アイコン (
) をクリッ
) をクリックします。
3. 必要に応じてパラメータを編集し、 [OK] をクリックします。
パラメータを削除する
高度なパラメータを選択し、 [Remove] アイコンをクリックしま
す。
3. 変更内容を保存します。
Proventia® Network Multi-Function Security Appliance User Guide
325
付録 A: 高度なパラメータ
アンチスパムの高度なパラメータ
はじめに
このトピックでは、 Proventia M シリーズアプライアンスのアンチスパム調整パラメータについて
説明します。
高度なパラメータの追
加、編集、および削除
高度なパラメータの追加、編集、および削除の手順については、「高度なパラメータの概要」
(324 ページ ) を参照してください。
高度なパラメータの説明次の表では、アンチスパムの高度な調整パラメータについて説明します。
名前
フィールドの
種類 / 値
デフォル
ト値
説明
asm.mailfilter.
config.log_level
Numeric
1
このパラメータを使用して、より高い詳
細度 (3 または 4) でロギングを設定しま
す。パラメータを入力し、 [Value] セク
ションの [Number] フィールドに数値を
入力します。
この設定は、 [Event Notification] タブの
設定よりも詳細なロギングを提供しま
す。
[Enable Event Logging] チェックボッ
クスは、デフォルトではオフになってい
ます。この状態でのログイングレベルは
0 です。
[Enable Event Logging] チェックボッ
クスをオンにすると、 [Log Only Email
Tagged As Spam] もデフォルトでオン
になります。この場合のロギングレベル
は 1 です。
[Log All Email] をオンにした場合、ロギ
ングレベルは 2 です。
asm.scanner.scannerd.
max_spam_scan_size
Numeric
50*1024
このパラメータを使用して、スパムス
キャンの規模を制限します。
asm.mailfilter.
tuning.check_chinese
Numeric
1
漢字に対するヒューリスティックチェッ
クを無効にします。
0 = オフ ( ヒューリスティックチェック
は無効 )
1 = オン ( ヒューリスティックチェック
は有効 )
注記 : 漢字のメールは、別のチェックに
よってスパムとしてタグ付けされる可能
性があります。
表 101: アンチスパムの高度なパラメータ
326
アンチウィルスの高度なパラメータ
アンチウィルスの高度なパラメータ
はじめに
このトピックでは、 Proventia M シリーズアプライアンスのアンチウィルス調整パラメータについ
て説明します。
高度なパラメータの追
加、編集、および削除
高度なパラメータの追加、編集、および削除の手順については、「高度なパラメータの概要」
(324 ページ ) を参照してください。
ファームウェアバー
ジョン 2.x から移行され
る調整パラメータ
アンチウィルスソフトウェアでは、 2 つのエンジンを使用してアプライアンスを防御します。
●
ウィルス定義 ( シグネチャ ) を使ってウィルスを検出するシグネチャエンジン
●
ウィルスシグネチャのアップデート前に新規および未知のウィルスやワームを特定する、動
作分析を利用したウィルス予防システム (Virus Prevention System: VPS) エンジン
重要 : ファームウェアリリース 3.x では、ウィルス定義 ( シグネチャ ) を使用してウィルスを検出
するシグネチャエンジンは、これまでのソフトウェアバージョンとは異なる働きをします。いく
つかの調整パラメータは新規であり、パラメータによっては以前のバージョンとは名前が変更され
ていたり、適用外となっています。アンチウィルス設定と調整パラメータを見直して、以前の
ファームウェアバージョンから移行されたパラメータはどれか、またパラメータを追加または変
更する必要はないかどうかを確認する必要があります。
高度なパラメータの説明表 102 では、アンチウィルスコンポーネントの高度なパラメータについて説明します。
名前
フィールドの種
類/値
デフォルト
値
説明
avm.se.ftp.pftpd.
address_transparent
Boolean
True
ルーティングモードでの FTP アプリ
ケーション層ゲートウェイの完全透過
性を有効または無効にします。
True/False
オプションは次のとおりです。
•
true ( 完全透過性を有効にする )
•
false ( 完全透過性を無効にする )
注記 : アンチウィルス、 Web フィル
タ、またはアンチスパムのモジュール
が有効になっているときにファーム
ウェアアップデートをアプライアン
スに適用すると、各パラメータのデ
フォルト値は false ( 無効 ) になりま
す。
リリース 2.x でアンチウィルスモ
ジュールが有効になっていないときに
ファームウェアアップデートをアプ
ライアンスに適用すると、各パラメー
タのデフォルト値は true ( 有効 ) にな
ります。
出荷時にリリース 3.x がインストール
されていた新規アプライアンスを使用
している場合、各パラメータのデフォ
ルト値は true ( 有効 ) になります。
表 102: アンチウィルスコンポーネントの高度なパラメータの説明
Proventia® Network Multi-Function Security Appliance User Guide
327
付録 A: 高度なパラメータ
名前
フィールドの種
類/値
デフォルト
値
説明
avm.se.ftp.pftpd.
enable_get_leak
Boolean,
False
ファイルのダウンロードプロセス中
に FTP クライアントがタイムアウト
しないように、バイトリークを有効に
します。
True / False
FTP クライアントは、特定のタイム
アウト期間内にデータを受信しないと
タイムアウトします。このパラメータ
は、タイムアウトを防ぐために、ス
キャンされない少量のデータを指定量
送信できるようにします。
avm.se.ftp.pftpd.
enable_put_leak
Boolean,
False
True / False
ファイルのアップロードプロセス中
に FTP サーバーがタイムアウトしな
いように、バイトリークを有効にしま
す。
FTP サーバーは、特定のタイムアウ
ト期間内にデータを受信しないとタイ
ムアウトします。このパラメータは、
タイムアウトを防ぐために、スキャン
されない少量のデータを指定量送信で
きるようにします。
avm.se.ftp.pftpd.
get_leak_interval
Numeric
50
ダウンロード - バイトリークの間隔 (
秒単位 )。
avm.se.ftp.pftpd.
idle_timeout
Numeric
300
idle_timeout は、トラフィックのない
状態で接続が保持される期間です。最
小値は 60、最大値は無制限です。
avm.se.ftp.pftpd.
max_connections
Numeric
500
サポートされる接続の最大数。プロセ
スが max_connections に対して十分
な容量を割り当てられない場合、
max_connections は利用可能な容量に
調整されます。最小値は 2、最大値は
3000 です。無効な値が指定された場
合は、デフォルト値が使用されます。
avm.se.ftp.pftpd.
max_msg_size
Numeric
1GB
max_msg_size は、 PFTPD ファイア
ウォール ALG を通過可能なファイル
の最大サイズです。最小値は 50,000、
最大値は 20GB です。
avm.se.ftp.pftpd.
max_scan_size
Numeric
1GB
max_scan_size は、 PFTPD ファイア
ウォール ALG を通じてスキャンされ
るファイルの最大サイズです。最小値
は 50,000 バイト、最大値は 2GB で
す。
avm.se.ftp.pftpd.
put_leak_interval
Numeric
50
アップロードバイトリークの間隔 ( 秒
単位 )。
表 102: アンチウィルスコンポーネントの高度なパラメータの説明 ( 続き )
328
アンチウィルスの高度なパラメータ
名前
フィールドの種
類/値
デフォルト
値
説明
avm.se.ftp.pftpd.
scanner_timeout
Numeric
300
このパラメータは、アンチウィルスに
よる FTP ファイルスキャンの結果を
待つ時間の長さを決定します。スキャ
ンが指定値 ( 秒数 ) より長くかかる
と、スキャナーが機能していないと見
なされ、スキャンプロセスが中止さ
れます。
avm.se.ftp.pftpd.
slow_streaming_timeout
Numeric
25
slow_streaming_timeout は、ファイア
ウォール ALG がコード 150 レスポン
スを制御チャネル上に生成するまでに
サーバーからファイルを取得する期間
です。最小値は 5、最大値は無制限で
す。
avm.se.ftp.pftpd.
vscan_fail_block
Boolean,
False
このパラメータは、スキャンが失敗し
た場合に FTP コンテンツがブロック
されるかどうかを決定します。
avm.se.http.phttpd.
address_transparent
Boolean
「注記
注記」
注記を
参照
Layer 3 ( ルーティング ) モードでの
HTTP プロトコルファイアウォール
ALG の完全透過性を有効または無効
にします。
True / False
True/False
オプションは次のとおりです。
•
true ( 完全透過性を有効にする )
•
false ( 完全透過性を無効にする )
注記 : アンチウィルス、 Web フィル
タ、またはアンチスパムのモジュール
が有効になっているときにファーム
ウェアアップデートをアプライアン
スに適用すると、各パラメータのデ
フォルト値は false ( 無効 ) になりま
す。
リリース 2.x でアンチウィルスモ
ジュールが有効になっていないときに
ファームウェアアップデートをアプ
ライアンスに適用すると、各パラメー
タのデフォルト値は true ( 有効 ) にな
ります。
出荷時にリリース 3.x がインストール
されていた新規アプライアンスを使用
している場合、各パラメータのデフォ
ルト値は true ( 有効 ) になります。
avm.se.http.phttpd.
allow_nonstandard
_methods
Boolean,
True / False
False
不明なタイプの要求 ( 「SOURCE」な
ど ) がアプライアンスを通過するのを
許可します。標準の要求方式は、
POST、 GET、 HEAD などです。不明
な方式の要求がすべて ALG を通じて
正しく処理されるという保証はありま
せん。
表 102: アンチウィルスコンポーネントの高度なパラメータの説明 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
329
付録 A: 高度なパラメータ
名前
フィールドの種
類/値
デフォルト
値
説明
avm.se.http.phttpd.
allow_range
Boolean,
False
HTTP/ 1.1 要求の範囲を許可します。
avm.se.http.phttpd.
cf_connections
Numeric
20
Web フィルタに対する同時接続の数。
パフォーマンスが遅い場合は、このパ
ラメータの数値を増やします。最大値
は 100、デフォルト設定は 20 です。
avm.se.http.phttpd.
idle_timeout
Numeric
1800
idle_timeout は、トラフィックのない
状態で接続がアクティブな状態を保つ
期間です。最小値は 60、最大値は無
制限です。
avm.se.http.phttpd.
max_connections
Numeric
600
サポートされる接続の最大数。プロセ
スが max_connections に対して十分
な容量を割り当てられない場合、
max_connections は利用可能な容量に
調整されます。最小値は 5、最大値は
2000、デフォルトは 600 です。無効
な値が指定された場合は、デフォルト
値が使用されます。
avm.se.http.phttpd.
max_header_line
Numeric
8000
max_header_line は、 PHTTPD ファ
イアウォール ALG の通過を許可され
た 1 つの要求または応答の最大長で
す。要求または応答中の行数ではあり
ません。このパラメータは、本文行に
は適用されません。このパラメータを
超えると、接続が閉じます。最小値は
2000、最大値は 20000 です。
avm.se.http.phttpd.
max_msg_size
Numeric
2GB
max_msg_size は、 PHTTPD ファイ
アウォール ALG を通過可能なファイ
ルの最大サイズです。最小値は
50MB、最大値は無制限です。
avm.se.http.phttpd.
max_scan_size
Numeric
100MB
max_scan_size は、 PHTTPD ファイ
アウォール ALG を通じてスキャンさ
れるファイルの最大サイズです。最小
値は 50MB、最大値は 2GB です。
True / False
このパラメータを True ( 有効 ) に設定
すると、セキュリティ上の脆弱点が発
生する場合があります。このパラメー
タが True である場合はダウンロード
の再開や部分的なダウンロードが許可
され、アンチウィルスシステムの
ウィルス検出機能が制限されます。し
たがって、ウィルスが通り抜ける危険
性があります。アンチウィルスモ
ジュールが有効になっている場合は、
このパラメータを False に設定するこ
とをお勧めします。
表 102: アンチウィルスコンポーネントの高度なパラメータの説明 ( 続き )
330
アンチウィルスの高度なパラメータ
名前
フィールドの種
類/値
デフォルト
値
説明
avm.se.http.phttpd.
max_url_length
Numeric
2000
max_url_length は、 PHTTPD ファイ
アウォール ALG の通過を許可された
URL に含まれる文字の最大数です。
このパラメータを使用する場合の最小
文字数は 1000、最大文字数は 10000
です。
avm.se.http.phttpd.
scanner_timeout
Numeric
300
このパラメータは、アンチウィルスに
よる HTTP ファイルスキャンの結果
を待つ時間の長さを決定します。ス
キャンが指定値 ( 秒数 ) より長くかか
ると、スキャナーが機能していないと
見なされ、スキャンプロセスが中止
されます。
avm.se.http.phttpd.
slow_streaming_timeout
Numeric
25
このタイムアウトは、ファイアウォー
ル ALG が受信者にヘッダー行を渡す
までにメッセージ本文を取得する期間
です。最小値は 5、最大値は無制限で
す。
avm.se.http.phttpd.
use_allow_list
Boolean,
False
このリストは、特定の URL からの特
定のファイルまたはファイルタイプ
を許可する場合に使用します。
True / False
表 102: アンチウィルスコンポーネントの高度なパラメータの説明 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
331
付録 A: 高度なパラメータ
名前
フィールドの種
類/値
デフォルト
値
説明
avm.se.http.phttpd.
use_extension_list
Boolean,
True
次の拡張子を持つファイルをウィルス
スキャンから除外するかどうかを指定
します。
• .nrg
• .aif
True / False
•
.aifc
•
.pbm
•
.aiff
•
.pxc
•
.asc
•
.pgm
•
.au
•
.png
•
.avi
•
.pnm
•
.bmp
•
.ppm
•
.csv
•
.ps
•
.eps
•
.qt
•
.gif
•
.ra
•
.gho
•
.ram
•
.ief
•
.rgb
•
.iso
•
.rm
•
.jpe
•
.rof
•
.jpeg
•
.snd
•
.jpg
•
.tex
•
.kar
•
.texi
•
.latex
•
.texinfo
•
.log
•
.tif
•
.mid
•
.tiff
•
.midi
•
.tsv
•
.mov
•
.txt
•
.movie
•
.wav
•
.mp2
•
.wma
•
.mp3
•
.xbm
•
.mpa
•
.xpm
•
.mpe
•
.xwd
•
.mpeg
設定は次のとおりです。
•
0 - 除外されたファイルはスキャン
されません。
•
1 - 除外されたファイルがスキャン
されます。
表 102: アンチウィルスコンポーネントの高度なパラメータの説明 ( 続き )
332
アンチウィルスの高度なパラメータ
名前
フィールドの種
類/値
デフォルト
値
説明
avm.se.http.phttpd.
vscan_fail_block
Boolean
False
このパラメータは、スキャンが失敗し
た場合に http コンテンツがブロック
されるかどうかを決定します。
avm.se.http.phttpd.wf_
bypass
Boolean
False
Web フィルタ機能が過負荷になると、
新しく受信した URL 要求の動作はこ
のパラメータの値によって異なりま
す。 False に設定されている場合、新
しい要求は URL スキャンの待ち行列
に入ります。 True に設定されている
場合、新しく受信した要求は URL ス
キャンを回避します。
avm.se.pop3.ppop3d.
address_transparent
Boolean
True
Layer 3 ( ルーティング ) モードでの
POP3 プロトコルファイアウォール
ALG の完全透過性を有効または無効
にします。
True/False
True/False
オプションは次のとおりです。
•
true ( 完全透過性を有効にする )
•
false ( 完全透過性を無効にする )
注記 : アンチウィルス、 Web フィル
タ、またはアンチスパムのモジュール
が有効になっているときにファーム
ウェアアップデートをアプライアン
スに適用すると、各パラメータのデ
フォルト値は false ( 無効 ) になりま
す。
リリース 2.x でアンチウィルスモ
ジュールが有効になっていないときに
ファームウェアアップデートをアプ
ライアンスに適用すると、各パラメー
タのデフォルト値は true ( 有効 ) にな
ります。
出荷時にリリース 3.x がインストール
されていた新規アプライアンスを使用
している場合、各パラメータのデフォ
ルト値は true ( 有効 ) となります。
avm.se.pop3.ppop3d.
idle_timeout
Numeric
1800
idle_timeout は、トラフィックのない
状態で接続が保持される期間です。最
大値は 60、最大値はなし、デフォル
ト値は 1800 です。
avm.se.pop3.ppop3d.
max_connections
Numeric
600
サポートされる接続の最大数。プロセ
スが max_connections に対して十分
な容量を割り当てられない場合、
max_connections は利用可能な容量に
調整されます。最小値は 5、最大値は
2000、デフォルトは 600 です。無効
な値が指定された場合は、デフォルト
値が使用されます。
表 102: アンチウィルスコンポーネントの高度なパラメータの説明 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
333
付録 A: 高度なパラメータ
名前
フィールドの種
類/値
デフォルト
値
説明
avm.se.pop3.ppop3d.
max_msg_size
Numeric
30MB
max_msg_size は、 ppop3d ファイア
ウォール ALG を通過可能なメッセー
ジの最大サイズです。最小値は 5000、
最大値は 1GB です。
avm.se.pop3.ppop3d.
max_spam_scan_size
Numeric
51200
(50KB)
アンチスパム機能は、このパラメータ
で指定したユーザー定義のサイズより
も大きい POP3 メールをスキャンし
ません。
avm.se.pop3.ppop3d.
scanner_timeout
Numeric
300
このパラメータは、アンチウィルスに
よる pop3 ファイルスキャンの結果を
待つ時間の長さを決定します。スキャ
ンが指定値 ( 秒数 ) より長くかかる
と、スキャナーが機能していないと見
なされ、スキャンプロセスが中止さ
れます。
avm.se.pop3.ppop3d.
slow_streaming_timeout
Numeric
25
slow_streaming_timeout は、ファイア
ウォール ALG がメールのヘッダー行
を生成する前にサーバーからメールを
取得する期間です。最小値は 5、最大
値は無制限です。
avm.se.pop3.ppop3d.
spam_bypass
Boolean
False
アンチスパム機能が過負荷になると、
現在の要求を処理し終えるまで、新し
いスキャン要求を処理できなくなりま
す。この場合、アプライアンスは処理
できるようになるまで、新しい要求を
破棄するか、待ち行列に入れておくこ
とができます。
この調整パラメータは、アプライアン
スが過負荷になった場合に新しいス
キャン要求を処理する方法を決定しま
す。
オプションは次のとおりです。
avm.se.pop3.ppop3d.
vscan_fail_block
Boolean
True/False
False
•
True ( デフォルト ) - アプライアン
スは新しいスキャン要求を破棄し、
この要求に関連する POP3 メール
はスパムのスキャンを回避します。
•
False - アプライアンスは、スキャ
ナが過負荷でないときに後で処理
するために、新しいスキャン要求
をプロセスの待ち行列に入れます。
このパラメータは、スキャンが失敗し
た場合に pop3 コンテンツがブロック
されるかどうかを決定します。
表 102: アンチウィルスコンポーネントの高度なパラメータの説明 ( 続き )
334
アンチウィルスの高度なパラメータ
名前
フィールドの種
類/値
デフォルト
値
説明
avm.se.quarantine.
quarantined.dir_size
Numeric
2G
駆除プロセスの間に維持される隔離
ディレクトリのサイズ。駆除のプロセ
スは、 max_age 設定より古いファイ
ルを削除することと、有効期間に基づ
いてファイルを削除してディレクトリ
ファイルの合計サイズを dir_size 設定
未満に保つことから成っています。最
小値は 50000 バイト、最大値は 2GB
です。
avm.se.quarantine.
quarantined.max_age
Numeric
2592000
駆除プロセスの間に隔離ディレクトリ
が維持するファイルの有効期間 ( 秒単
位 )。駆除のプロセスは、 max_age 設
定より古いファイルを削除すること
と、有効期間と max_files 設定に基づ
いてファイルを削除してディレクトリ
ファイルの合計サイズを dir_size 設定
未満に保つことから成っています。最
小値は 600 秒、最大値は 2592000 秒
です。
avm.se.quarantine.
quarantined.max_files
Numeric
1000
駆除プロセスの間に隔離ディレクトリ
が維持するファイルの数。駆除のプロ
セスは、 max_age 設定より古いファ
イルを削除することと、有効期間に基
づいてファイルを削除してディレクト
リファイルの合計サイズを dir_size
設定未満に保つことから成っていま
す。最小値は 1 ファイル、最大値は
1000 です。
avm.se.quarantine.
quarantined.
scan_frequency
Numeric
900
隔離ディレクトリがデータの駆除を行
う頻度 ( 秒単位 )。駆除のプロセスは、
max_age 設定より古いファイルを削
除することと、有効期間と max_files
設定に基づいてファイルを削除して
ディレクトリファイルの合計サイズ
を dir_size 設定未満に保つことから
成っています。最小値は 1 秒、最大値
は無制限です。
avm.se.scanner.
scannerd.disable_
caches
Boolean,
False
ファイルのキャッシュを無効にしま
す。有効 (True) になっている場合、
ファイルがアプライアンスを通過する
たびに、アンチウィルスシステムは
ファイルをスキャンします。この値を
有効にすると、パフォーマンスが低下
します。
True / False
表 102: アンチウィルスコンポーネントの高度なパラメータの説明 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
335
付録 A: 高度なパラメータ
名前
フィールドの種
類/値
デフォルト
値
説明
avm.se.scanner.
scannerd.max_pending_
virus_requests
Numeric
Twice the
value of
avm.se.
scanner.
scannerd.
num_virus
_scanners
アンチウィルス機能が過負荷になる
と、現在の要求を処理し終えるまで、
新しいスキャン要求を処理できなくな
ります。この場合、アプライアンスは
処理できるようになるまで、新しいス
キャン要求を待ち行列に入れておきま
す。
このパラメータは、待ち行列に入れて
おくことができるスキャン要求の最大
数を設定します。
例
この値を 8 に設定した場合、アプライ
アンスは、スキャン要求の処理中に過
負荷になると、一度に最大 8 つのス
キャン要求を待ち行列に入れます。
待ち行列に入れるスキャン要求の数を
増やすと、すべての要求が処理された
ことを確認するのに役立ちますが、シ
ステムパフォーマンスに悪影響を及
ぼす可能性もあります。
avm.se.scanner.
scannerd.max_
pending_vps_requests
Numeric
0
アンチウィルス機能が過負荷になる
と、現在の要求を処理し終えるまで、
新しいスキャン要求を処理できなくな
ります。この場合、アプライアンスは
処理できるようになるまで、新しいス
キャン要求を待ち行列に入れておきま
す。
このパラメータは、待ち行列に入れて
おくことができるスキャン要求の最大
数を設定します。
例
この値を 8 に設定した場合、アプライ
アンスは、スキャン要求の処理中に過
負荷になると、一度に最大 8 つのス
キャン要求を待ち行列に入れます。
待ち行列に入れるスキャン要求の数を
増やすと、すべての要求が処理された
ことを確認するのに役立ちますが、シ
ステムパフォーマンスに悪影響を及
ぼす可能性もあります。
avm.se.smtp.psmtpd.
max_spam_scan_size
Numeric
51200
(50KB)
このパラメータは、メールの大きさに
基づいてスパムをスキャンする SMTP
メールを決定します。
例
値を 40KB に設定した場合、アプライ
アンスは 40KB を超える大きさの電子
メールをスキャンしません。
表 102: アンチウィルスコンポーネントの高度なパラメータの説明 ( 続き )
336
アンチウィルスの高度なパラメータ
名前
フィールドの種
類/値
デフォルト
値
説明
avm.se.smtp.psmtpd.
spam_bypass
Boolean,
False
アンチスパム機能が過負荷になると、
現在の要求を処理し終えるまで、新し
いスキャン要求を処理できなくなりま
す。この場合、アプライアンスは処理
できるようになるまで、新しい要求を
破棄するか、待ち行列に入れておくこ
とができます。
True / False
この調整パラメータは、アプライアン
スが過負荷になった場合に新しいス
キャン要求を処理する方法を決定しま
す。
オプションは次のとおりです。
avm.se.smtp.psmtpd.
address_transparent
Boolean
True/False
True
•
True ( デフォルト ) - アプライアン
スは新しいスキャン要求を破棄し、
この要求に関連するメールはスパ
ムのスキャンを回避します。
•
False - アプライアンスは、スキャ
ナが過負荷でないときに後で処理
するために、新しいスキャン要求
をプロセスの待ち行列に入れます。
Layer 3 ( ルーティング ) モードでの
SMTP プロトコルファイアウォール
ALG の完全透過性を有効または無効
にします。
オプションは次のとおりです。
•
true ( 完全透過性を有効にする )
•
false ( 完全透過性を無効にする )
注記 : アンチウィルス、 Web フィル
タ、またはアンチスパムのモジュール
が有効になっているときにファーム
ウェアアップデートをアプライアン
スに適用すると、各パラメータのデ
フォルト値は false ( 無効 ) になりま
す。
リリース 2.x でアンチウィルスモ
ジュールが有効になっていないときに
ファームウェアアップデートをアプ
ライアンスに適用すると、各パラメー
タのデフォルト値は true ( 有効 ) にな
ります。
出荷時にリリース 3.x がインストール
されていた新規アプライアンスを使用
している場合、各パラメータのデフォ
ルト値は true ( 有効 ) となります。
表 102: アンチウィルスコンポーネントの高度なパラメータの説明 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
337
付録 A: 高度なパラメータ
名前
フィールドの種
類/値
デフォルト
値
説明
avm.se.smtp.psmtpd.
discard_spam
Boolean
False
スパムメールを通知なく削除するか
どうかを決定します。
注記 : このパラメータは、アンチスパ
ムソフトウェアが Delete Mode に設
定されている場合に限って適用されま
す。
オプションは次のとおりです。
avm.se.smtp.psmtpd.
discard_virus
Boolean
False
•
True - スパムメールを通知なく廃
棄します。
•
False - スパムメールが通知なく
廃棄されることはありません。
ウィルス感染したメールを通知なく削
除するかどうかを決定します。
オプションは次のとおりです。
•
True - ウィルス感染したメールを
通知なく廃棄します。
•
False - ウィルス感染したメールが
通知なく廃棄されることはありま
せん。
avm.se.smtp.psmtpd.
idle_timeout
Numeric
300
idle_timeout は、トラフィックのない
状態で接続が保持される期間です。最
小値は 30、最大値は無制限です。
avm.se.smtp.psmtpd.
max_connections
Numeric
600
サポートされる接続の最大数。プロセ
スが max_connections に対して十分
な容量を割り当てられない場合、
max_connections が調節されます。最
小値は 5、最大値は 3000 です。無効
な値が指定された場合は、デフォルト
値が使用されます。
avm.se.smtp.psmtpd.
max_errors
Numeric
5
セッション中に許可されるエラーの最
大数。最小値は 5、最大値は無制限で
す。
avm.se.smtp.psmtpd.
max_msg_size
Numeric
20MB
max_msg_size は、 psmtpd ファイア
ウォール ALG を通過可能なメッセー
ジの最大サイズです。最小値は
50000、最大値は無制限です。
avm.se.smtp.psmtpd.
max_rcpt
Numeric
200
許可される受信者の最大数。最小値は
5、最大値は無制限です。
avm.se.smtp.psmtpd.
scanner_timeout
Numeric
300
このパラメータは、アンチウィルスに
よる smtp ファイルスキャンの結果を
待つ時間の長さを決定します。スキャ
ンが指定値 ( 秒数 ) より長くかかる
と、スキャナーが機能していないと見
なされ、スキャンプロセスが中止さ
れます。
表 102: アンチウィルスコンポーネントの高度なパラメータの説明 ( 続き )
338
アンチウィルスの高度なパラメータ
名前
フィールドの種
類/値
デフォルト
値
説明
avm.se.smtp.psmtpd.
vscan_fail_block
Boolean
False
このパラメータは、スキャンが失敗し
た場合に SMTP コンテンツがブロッ
クされるかどうかを決定します。
avm.se.smtp.psmtpd.
vscan_timeout_block
Boolean
True
このパラメータは、アンチウィルス /
スパムスキャンがタイムアウトした
場合にスキャン済みメールがブロック
されるかどうかを決定します。
True/False
True/False
True の設定は、スキャンが予測より
長くかかった場合に、重複するメール
が転送されるのを防ぎます。
avm.vps.controller.
config.memlimit_interval
Numeric
10
seconds
iss-ibe-wine (wine-preloader) プロセス
がリソースを消費しすぎていないかど
うかの最小チェック間隔。
avm.vps.controller.
config.memlimit_virtual_
max
Numeric
2,048 MB
(2 GB)
iss-ibe-wine (wine-preloader) プロセス
に消費が許可されている仮想メモリ空
間の最大量。
avm.vps.controller.
config.memlimit_
real_max
Numeric
512 MB
iss-ibe-wine (wine-preloader) プロセス
に消費が許可されている実メモリの最
大量。
750
オープン
ファイル
ディスクリ
プタ
iss-ibe-wine (wine-preloader) プロセス
に許可されているオープンファイル
ディスクリプタの最大数。
avm.vps.controller.
Numeric
config.filedesc_limit_max
注記 :iss-ibe-wine がオープンしている
ファイルディスクリプタのそれぞれ
に対し、 wineserver プロセスも「シャ
ドーハンドル」をオープンします。
したがって、 iss-ibe-wine が 100 個の
ファイルディスクリプタをオープン
している場合、 iss-ibe-wine と
wineserver がそれぞれ 100 個をオー
プンするため、システムの総負荷は
200 オープンファイルディスクリプ
タとなります。
表 102: アンチウィルスコンポーネントの高度なパラメータの説明 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
339
付録 A: 高度なパラメータ
名前
フィールドの種
類/値
デフォルト
値
説明
avm.vps.server.config.
max_archive_depth
Numeric
1
階層構造のアーカイブ ( アーカイブ内
のアーカイブ ) が VPS によって処理
される深さを制限します。たとえば、
A.ZIP を VPS に提出するときに A.ZIP
には B.ZIP と C.ZIP が含まれ、 B.ZIP
には BA.ZIP と BB.ZIP が含まれる場
合、次のようになります。
この設定を 1 にすると、 A.ZIP 内の
ファイルが処理され、他のファイルは
処理されません。 2 に設定すると、
A.ZIP、 B.ZIP、および C.ZIP 内のファ
イルが処理され、 BA.ZIP と BB.ZIP 内
のファイルは処理されません。 3 に設
定すると、すべてのアーカイブ内の
ファイルがすべて処理されます。
avm.vps.server.config.
max_archive_breadth
Numeric
10
アーカイブが VPS によって処理され
る幅を制限します。 Proventia M のデ
フォルト値は 10 に設定されています。
-1 より小さい値は、警告が発生して
ログに記録されます。 -1 に設定する
と、 VPS はアーカイブの各階層の
ファイルをすべてスキャンします。値
が -1 より大きい場合は、スキャンさ
れるアーカイブの各階層のファイル数
に制限が設定されます。この値をゼロ
ベース、つまりゼロに設定すると、最
初のファイルがスキャンされ、 1 に設
定すると、最初の 2 つのファイルがス
キャンされます。
表 102: アンチウィルスコンポーネントの高度なパラメータの説明 ( 続き )
340
自動アップデートの高度なパラメータ
自動アップデートの高度なパラメータ
はじめに
このトピックでは、 Proventia M シリーズアプライアンスの自動アップデート調整パラメータにつ
いて説明します。
高度なパラメータの追
加、編集、および削除
高度なパラメータの追加、編集、および削除の手順については、「高度なパラメータの概要」
(324 ページ ) を参照してください。
高度なパラメータの説明表 103 では、自動アップデートの高度なパラメータについて説明します。
名前
フィールドの種類 /
値
デフォルト値
説明
Update.disable.
remote.discovery
Boolean
False
ダウンロードサイトでの
アップデートファイルのリ
モート検索を有効または無
効にします。
Update.disable.wfas
db.update.discovery
Boolean
False
Web Filter and Antispam
Database アップデートの検
出を有効または無効にしま
す。データベースがインス
トールされていても、アプ
ライアンスはデータベース
アップデートをチェックし
ません。
Update.enable.
comm.debug
Boolean
False
CrmTrace.txt ファイルへ送
信される Curl ログメッ
セージを有効または無効に
します。ログメッセージを
表示するには、 CRM のト
レースレベルを 6 ( デバッ
グ ) に設定する必要があり
ます。 Curl ログメッセージ
は、 Curl ライブラリがアッ
プデートサーバーと通信す
るときにライブラリから生
成されたデバッグメッセー
ジに由来します。
Update.filterdb.
update.cutoff
Numeric
20
フィルタデータベースアッ
プデートがいくつ期限切れ
となったらフィルタデータ
ベースの完全なダウンロー
ドとアップデートが強制さ
れるのか、その最大数を決
定します。期限切れのフィ
ルタデータベースアップ
デートがユーザー定義の限
界数に達すると、次にアッ
プデートが手動または自動
で開始されたときにフル
アップデートが強制されま
す。
True/False
True/False
True/False
表 103: アップデートの高度なパラメータ
Proventia® Network Multi-Function Security Appliance User Guide
341
付録 A: 高度なパラメータ
名前
フィールドの種類 /
値
デフォルト値
説明
Update.preserve.
update.files
Boolean
False
アップデートパッケージ
ファイルが正常にインス
トールされた後のファイル
削除を、有効または無効に
します。
True/False
注意 : このパラメータを有
効にすると、ディスク上の
アップデートファイルの数
が非常に大きくなる可能性
があります。長期間にわ
たってこのパラメーターを
有効にしないでください。
Update.update.
directory
String
/var/spool/updates
アップデートパッケージ
ファイルがダウンロードさ
れて手動でコピーされる場
合の、コピー先の完全修飾
パスを指定します。
Update.update.logs.
directory
String
/var/spool/updates/
logs
アップデートのインストー
ルとアンインストールのロ
グファイルがコピーされる
場合の、コピー先の完全修
飾ディレクトリを指定しま
す。
表 103: アップデートの高度なパラメータ ( 続き )
342
データベースの高度なパラメータ
データベースの高度なパラメータ
はじめに
このトピックでは、 Proventia M シリーズアプライアンスの Web Filter and Antispam Database パラ
メータについて説明します。
高度なパラメータの追
加、編集、および削除
高度なパラメータの追加、編集、および削除の手順については、「高度なパラメータの概要」
(324 ページ ) を参照してください。
高度なパラメータの説明次の表では、 Web Filter and Antispam Database の高度なパラメータについて説明します。
名前
フィールドの種類 /
値
デフォルト値
説明
debug.level
Numeric
0
診断メッセージの数を指定しま
す。設定は次のとおりです。
max_bandwidth
Numeric
0
•
0 - メッセージなし
•
1
•
2
•
3
•
4
完全なデータベースアップデー
トおよび漸増的アップデートを
ダウンロードするときに使用す
る帯域幅を制限します。
(0 = 無制限 )
表 104: Web Filter and Antispam Database の高度なパラメータの説明
Proventia® Network Multi-Function Security Appliance User Guide
343
付録 A: 高度なパラメータ
DHCP の高度なパラメータ
はじめに
このトピックでは、 Proventia M シリーズアプライアンスの DHCP 調整パラメータについて説明し
ます。
高度なパラメータの追
加、編集、および削除
高度なパラメータの追加、編集、および削除の手順については、「高度なパラメータの概要」
(324 ページ ) を参照してください。
高度なパラメータの説明表 103 では、 DHCP の高度なパラメータについて説明します。
名前
フィールドの種類 /
値
デフォルト値
説明
dhcpserver.ddnsupdate-style
String
なし
DHCP サーバーの ddnsupdate-style 設定を決定しま
す。
表 105: DHCP の高度なパラメータ
344
イベント通知の高度なパラメータ
イベント通知の高度なパラメータ
はじめに
このトピックでは、イベント通知の高度なパラメータについて説明します。
高度なパラメータの追
加、編集、および削除
高度なパラメータの追加、編集、および削除の手順については、「高度なパラメータの概要」
(324 ページ ) を参照してください。
高度なパラメータの説明表 106 では、次の値を使用して、デフォルトの高度なパラメータについて説明します。
●
●
<namespace> は、次のいずれかです。
■
不正侵入防御の場合は pam
■
システム、アンチウィルス、ファイアウォール、および VPN の場合は provm
<issue-id> は、イシューに関連付けられたアルゴリズム ID 番号です。
名前
フィールドの種類 /
値
デフォルト
値
説明
event.enabled.
<namespace>.
<issue-id>
Boolean/
なし
指定されたイベントを有効にするか無
効にするかを決定します。
event.priority.
<namespace>.
<issue-id>
Number
なし
特定のイベントの優先順位を設定しま
す。優先度は次のとおりです。
enabled、 disabled
1=高
2=中
3=低
event.response.
<namespace>.
<issue-id>
String/
なし
response keyword
イベントに対するレスポンスを設定し
ます。
レスポンスキーワードは次のとおりで
す。
•
DISPLAY:Default
•
EMAIL:Default or
EMAIL:<EmailName>
注記 :<EmailName> は、 [System
Notification] で設定された Email レ
スポンスの名前です。
レスポンスの高度なパラメータは、各
イベントに対して 1 つしか設定できま
せん。 1 つのイベントに複数のレスポ
ンスを設定するには、カンマを使用し
てレスポンスを区切ってください。
例:
event.response.pam.20000001
DISPLAY:Default,
EMAIL:Default
Eventlog.fullpolicy
String/
WRAP
WRAP、 STOP
イベントログがいっぱいであることを
示します。
表 106: 通知レスポンスの高度なパラメータの説明
Proventia® Network Multi-Function Security Appliance User Guide
345
付録 A: 高度なパラメータ
名前
フィールドの種類 /
値
デフォルト
値
説明
Eventlog.maxsize
Number
15000000
イベントログの最大サイズ ( バイト単
位 ) を特定します。
Trace.csf.filename
String
/tmp/
csf トレースファイルの名前を特定し
CrmTrace ます。
.txt
Trace.csf.level
Number
0
csf トレースファイルに表示するト
レース情報のレベルを特定します。ト
レースレベル設定は次のとおりです。
•
0 - トレースなし
•
1 - エラーのみ
•
2 - エラーおよび警告のみ
•
3 - エラー、警告、その他通知に値
する情報のみ
•
4 - エラー、警告、通知に値する情
報、および情報メッセージのみ
•
5 - エラー、警告、通知に値する情
報、情報メッセージ、およびデバッ
グメッセージのみ
•
6 - 1 ～ 5 の全レベル
Trace.other.
filename
String
/tmp/
CrmComm
Trace.txt
通信トレースファイルを識別します。
Trace.other.level
Number
0
通信トレースファイルに表示するト
レース情報のレベルを特定します。ト
レースレベル設定は次のとおりです。
•
0 - トレースなし
•
1 - エラーのみ
•
2 - エラーおよび警告のみ
•
3 - エラー、警告、その他通知に値
する情報のみ
•
4 - エラー、警告、通知に値する情
報、および情報メッセージのみ
•
5 - エラー、警告、通知に値する情
報、情報メッセージ、およびデバッ
グメッセージのみ
•
6 - 1 ～ 5 の全レベル
表 106: 通知レスポンスの高度なパラメータの説明 ( 続き )
346
ファイアウォールと VPN の高度なパラメータ
ファイアウォールと VPN の高度なパラメータ
はじめに
このトピックでは、 Proventia M シリーズアプライアンスのファイアウォールまたは VPN の高度な
パラメータについて説明します。
高度なパラメータの追
加、編集、および削除
高度なパラメータの追加、編集、および削除の手順については、「高度なパラメータの概要」
(324 ページ ) を参照してください。
高度なパラメータの説明表 107 では、ファイアウォールコンポーネントと VPN コンポーネントの高度なパラメータについ
て説明します。
名前
フィールドの
種類 / 値
デフォルト値
説明
attack.icmperror_messages
Boolean/
True
ファイアウォールが ICMP エ
ラーメッセージを検出して
レポートするかどうかを制御
します。
True、 False
attack.log_one_attack_every
Numeric
1
重複する攻撃項目でイベント
ログシステムが溢れるのを
防ぎます。
attack.log_one_policy_every
Numeric
1
重複するルール項目でイベン
トログシステムが溢れるの
を防ぎます。
attack.log_one_vpn_every
Numeric
1
重複する VPN 項目でイベン
トログシステムが溢れるの
を防ぎます。
attack.mimeflood
Boolean/
False
ファイアウォールが MIME フ
ラッド攻撃を検出してレポー
トするかどうかを制御しま
す。
True、 False
attack.mimeflood_maxhdrlen
Numeric
8192
MIME ヘッダーの最大サイズ
を指定します。
attack.mimeflood_maxhdrs
Numeric
16
攻撃がレポートされるまでに
検出される MIME ヘッダーの
最小数を指定します。
Boolean/
True
ファイアウォールが SYN フ
ラッド攻撃を検出するかどう
かを制御します。
attack.synflood
True、 False
connlim.external
Numeric
101150
外部ネットワークからの許可
された接続の最大数を指定し
ます。
connlim.exttoself
Numeric
5000
外部インターフェース (eth1)
からの許可された接続の最大
数を指定します。
表 107: ファイアウォールコンポーネントの高度なパラメータの説明
Proventia® Network Multi-Function Security Appliance User Guide
347
付録 A: 高度なパラメータ
名前
フィールドの
種類 / 値
デフォルト値
説明
connlim.internal
Numeric
101150
内部ネットワークからの許可
された接続の最大数を指定し
ます。
connlim.self
Numeric
101150
アプライアンスからの許可さ
れた接続の最大数を指定しま
す。
icmp.replay.detection
Boolean/
True
True、 False
( 有効 )
ICMP リプレーチェックの動
作を制御します。オプション
は次のとおりです。
•
有効 (True) になっている
場合、重複する ( リプ
レーされた ) ICMP パケッ
トの有無がチェックされ、
パケットの検出、記録、
削除が行われます。
•
無効 (False) になっている
場合、 ICMP パケットは
すべて、重複に関して
チェックされることなく
出入りが許可されます。
リプレーチェックを無効に
するには、このパラメータを
[Firewall Settings] →
[Advanced Parameters] タ
ブで追加し、 [Boolean] を選
択し、 [Enabled] チェック
ボックスをオフにします。
ipre.enabled
Boolean/
True
IP 再構築を有効または無効に
します。
True、 False
ipre.max_frag_count
Numeric
44
IP 再構築においてパケットご
とに許可されたフラグメント
の最大数を指定します。
ipre.max_packet_size
Numeric
65535
IP 再構築において許可された
最大パケットサイズを指定
します。
ipre.min_frag_size
Numeric
28
IP 再構築において許可された
最小フラグメントサイズを
指定します。
ipre.timeout
Numeric/
60
IP 再構築においてすべてのフ
ラグメントが受信される必要
のある期間を、秒数で指定し
ます。
60 seconds
データ転送の関連付け情報を
ファイアウォールがメモリ内
に保管する期間のタイムアウ
ト値 ( 秒単位 )。
1 - 120
inclusive
protection.bypass.timeout
Numeric
表 107: ファイアウォールコンポーネントの高度なパラメータの説明 ( 続き )
348
ファイアウォールと VPN の高度なパラメータ
名前
フィールドの
種類 / 値
デフォルト値
説明
radius.timeout
Numeric
5 seconds
ビルトインの RADIUS クラ
イアントが認証メッセージに
対する応答を待機する時間を
設定します。
radius.retry.limit
Numeric
5
RADIUS サーバーからの応答
が radius.timeout の期間に検
出されない場合に認証メッ
セージを再送信する回数を設
定します。
srvctimeout.ftp
Numeric
14400
FTP 接続がタイムアウトする
までの秒数を指定します。
srvctimeout.http
Numeric
360
HTTP 接続がタイムアウトす
るまでの秒数を指定します。
srvctimeout.https
Numeric
360
HTTPS 接続がタイムアウト
するまでの秒数を指定しま
す。
srvctimeout.icmp
Numeric
60
ICMP 接続がタイムアウトす
るまでの秒数を指定します。
srvctimeout.tcp
Numeric
14400
TCP 接続がタイムアウトす
るまでの秒数を指定します。
srvctimeout.udp
Numeric
60
UDP 接続がタイムアウトす
るまでの秒数を指定します。
stealth.external.enabled
Boolean,
False
外部から内部ホストへのトラ
フィックの起点に関する拒否
ルールと一致するすべてのパ
ケットについて、ステルス
ドロップを有効にします。
False
内部から外部ホストへのトラ
フィックの起点に関する拒否
ルールと一致するすべてのパ
ケットについて、ステルス
ドロップを有効にします。
False
外部または内部のホストから
アプライアンスの任意イン
ターフェースへのトラフィッ
クの起点に関する拒否ルール
と一致するすべてのパケット
について、ステルスドロッ
プを有効にします。
Firewall
Syslog に書き込まれるファ
イアウォール関連の各項目に
添付されるテキストを指定し
ます。
True / False
stealth.internal.enabled
Boolean,
True / False
stealth.self.enabled
Boolean,
True / False
syslog.firewall_name
String
表 107: ファイアウォールコンポーネントの高度なパラメータの説明 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
349
付録 A: 高度なパラメータ
名前
フィールドの
種類 / 値
デフォルト値
説明
syslog.server
String
127.0.0.1
ファイアウォールイベント
が書き込まれる syslog を指
定します。
注記 : この設定を変更する
と、ファイアウォールア
ラートと VPN アラートがア
ラートイベントログページ
に表示されなくなります。
表 107: ファイアウォールコンポーネントの高度なパラメータの説明 ( 続き )
350
ハイアベイラビリティの高度なパラメータ
ハイアベイラビリティの高度なパラメータ
はじめに
このトピックでは、 Proventia M シリーズアプライアンスのハイアベイラビリティの高度なパラ
メータについて説明します。
高度なパラメータの追
加、編集、および削除
高度なパラメータの追加、編集、および削除の手順については、「高度なパラメータの概要」
(324 ページ ) を参照してください。
考慮すべき事項
高度なパラメータを使用する場合は、セカンダリアプライアンスでのプロキシ ARP (Address
Resolution Protocol) を無効にしてください。こうすることで、セカンダリアプライアンスがプロキ
シ ARP アドレスに応答しないようにします。
高度なパラメータの説明次の表では、ハイアベイラビリティの高度なパラメータについて説明します。
名前
フィールドの種類 /
値
デフォルト値
説明
debug.log
Boolean
オフ
HA 用に別々のログファイルを有
効にします。
オン / オフ
ファイルは次のとおりです。
/var/log/ha-log and /var/
log/ha-debug
udp.broadcast
Boolean
オフ
ハートビート UDP パケットがすべ
ての内部インターフェースでブ
ロードキャストされるようにしま
す。
694
ハートビート UDP パケットを送信
するポートの値。
Boolean
オン / オフ
udp.port
integer 0.65535
表 108: ハイアベイラビリティの高度なパラメータの説明
Proventia® Network Multi-Function Security Appliance User Guide
351
付録 A: 高度なパラメータ
不正侵入防御の高度なパラメータの設定
はじめに
このトピックでは、 Proventia M シリーズアプライアンスの不正侵入防御の高度なパラメータにつ
いて説明します。
高度なパラメータの追
加、編集、および削除
高度なパラメータの追加、編集、および削除の手順については、「高度なパラメータの概要」
(324 ページ ) を参照してください。
高度なパラメータの説明表 109 では、不正侵入防御の高度なパラメータについて説明します。
名前
フィールドの種類 /
値
デフォルト値
説明
ipm.attacks
Boolean/
オン
オンに設定されていると、 IPM は
既知の攻撃イシューをすべて検出
してレポートするように PAM を
設定します。
オン / オフ
オフに設定されていると、 IPM は
攻撃イシューを検出またはレポー
トしないように PAM を設定しま
す。
ipm.audits
Boolean/
オフ
オン / オフ
オンに設定されていると、 IPM は
既知の監査イシューをすべて検出
してレポートするように PAM を
設定します。
オフに設定されていると、 IPM は
監査イシューを検出またはレポー
トしないように PAM を設定しま
す。
ipm.default.block.
duration
number/
秒数
3600 seconds
(1 時間 )
ブロックルールの有効期間がゼロ
である場合に、今後のトラフィッ
クをブロックする時間を秒数で指
定します。
ipm.drop.invalid.
checksum
Boolean/
オン
オンに設定されていると、不正侵
入防御ソフトウェアは、無効な
チェックサムを含むパケットをす
べてドロップします。
オン / オフ
オフに設定されていると、不正侵
入防御ソフトウェアは、無効な
チェックサムを含むパケットをド
ロップしません。
ipm.drop.invalid.
protocol
Boolean/
オン
オン / オフ
オンに設定されていると、不正侵
入防御ソフトウェアは、無効なプ
ロトコルを含むパケットをすべて
ドロップします。
オフに設定されていると、不正侵
入防御ソフトウェアは、無効なプ
ロトコルを含むパケットをドロッ
プしません。
表 109: 不正侵入防御の高度なパラメータの説明
352
不正侵入防御の高度なパラメータの設定
名前
フィールドの種類 /
値
デフォルト値
説明
ipm.drop.resource.
error
Boolean/
オン
オンに設定されていると、不正侵
入防御ソフトウェアは、攻撃に関
してパケットを調査する十分なリ
ソースがない場合に、エラーメッ
セージを発行して現在のパケット
をドロップします。
オン / オフ
オフに設定されていると、不正侵
入防御ソフトウェアは、十分なリ
ソースがない場合でも現在のパ
ケットをドロップしません。
ipm.drop.rogue.tcp.
packets
Boolean/
オフ
オン / オフ
オンに設定されていると、不正侵
入防御ソフトウェアは、パケット
が SYN パケットではなく既存の
接続の一部でもない場合に、エ
ラーメッセージを発行して現在の
TCP パケットをドロップします。
既に確立された TCP 接続の一部
であるパケットは、 PAM が再
ロードされたときにすべて不良パ
ケットと見なされます。これは、
PAM がすべての TCP 接続レコー
ドを消去するためです。
オフに設定されていると、不正侵
入防御ソフトウェアは、不良 TCP
パケットをドロップしません。
ipm.dump.all
Boolean/
オフ
オン / オフ
オンに設定されていると、不正侵
入防御ソフトウェアはすべてのパ
ケットを、 IP スタックから /var/
log/iss-ipm/dump.pid.tcpdump と
いう名前の TCPDUMP キャプ
チャファイルへ読み出されるとき
にダンプします。「pid」は、不正
侵入防御ソフトウェアパケット検
閲プロセスの現在のプロセス ID
です。
オフに設定されていると、不正侵
入防御ソフトウェアはすべてのパ
ケットを、 IP スタックから読み出
されるときにダンプしません。
表 109: 不正侵入防御の高度なパラメータの説明 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
353
付録 A: 高度なパラメータ
名前
フィールドの種類 /
値
デフォルト値
説明
ipm.dump.all.issues
Boolean/
オフ
オンに設定されていると、不正侵
入防御ソフトウェアは、イシュー
を誘発するパケットをすべてダン
プします。キャプチャされた単一
パケットは、 /var/log/iss-ipm/
issue.issueid.frame.pid.tcpdump
という名前の TCPDUMP キャプ
チャファイルに格納されます。
「issueid」は現在のイシューのイ
シュー ID、「frame」は現在のパ
ケットのフレーム番号、「pid」は
不正侵入防御ソフトウェアパケッ
ト検閲プロセスの現在のプロセス
ID です。
オン / オフ
オフに設定されていると、不正侵
入防御ソフトウェアは、高度なパ
ラメータ ipm.issue.dump.issueid
で指定されていない限り、イ
シューを誘発するパケットをダン
プしません。
ipm.dump.invalid.
checksum
Boolean/
オン
オン / オフ
オンに設定されていると、不正侵
入防御ソフトウェアは、無効な
チェックサムを含むパケットをす
べてダンプします。キャプチャさ
れた単一パケットは、 /var/log/issipm/invalidchecksum.frame.pid.tcpdump とい
う名前の TCPDUMP キャプチャ
ファイルに格納されます。
「frame」は現在のパケットのフ
レーム番号、「pid」は不正侵入防
御ソフトウェアパケット検閲プロ
セスの現在のプロセス ID です。
オフに設定されていると、不正侵
入防御ソフトウェアは、無効な
チェックサムを含むパケットをダ
ンプしません。
表 109: 不正侵入防御の高度なパラメータの説明 ( 続き )
354
不正侵入防御の高度なパラメータの設定
名前
フィールドの種類 /
値
デフォルト値
説明
ipm.dump.invalid.
protocol
Boolean/
オン
オンに設定されていると、不正侵
入防御ソフトウェアは、無効なプ
ロトコルを含むパケットをすべて
ダンプします。キャプチャされた
単一パケットは、 /var/log/iss-ipm/
invalid-protocol.frame.pid.tcpdump
という名前の TCPDUMP キャプ
チャファイルに格納されます。
「frame」は現在のパケットのフ
レーム番号、「pid」は不正侵入防
御ソフトウェアパケット検閲プロ
セスの現在のプロセス ID です。
オン / オフ
オフに設定されていると、不正侵
入防御ソフトウェアは、無効なプ
ロトコルを含むパケットをダンプ
しません。
ipm.issue.
<issue-id>
Boolean/
オフ
オン / オフ
オンに設定されていると、不正侵
入防御ソフトウェアは、指定され
たイシューを検出して報告するよ
うに PAM を設定します。
オフに設定されていると、不正侵
入防御ソフトウェアは、指定され
たイシューを検出して報告するよ
うに PAM を設定しません。
注記 : 「issue-id」は、イシューに
関連付けられたアルゴリズム ID
番号です。
表 109: 不正侵入防御の高度なパラメータの説明 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
355
付録 A: 高度なパラメータ
名前
フィールドの種類 /
値
ipm.issue.block.rule. String/
<issue-id>
1 つ以上のブロッキ
ングルールキー
ワード
デフォルト値
説明
なし
1 つ以上のブロックルールキー
ワードが指定されていると、不正
侵入防御ソフトウェアは、指定さ
れたイシューに対して PAM が推
奨するブロックルールと差し換え
ます。 1 つのイシューに対して複
数のブロックルールを指定するこ
とができます。文字列の値は、 1
つ以上のブロックルールキー
ワードから成るカンマ区切りリス
トとして解釈されます。
ブロックルールキーワードが指
定されていないと、不正侵入防御
ソフトウェアは、指定されたイ
シューに対して PAM が推奨する
ブロックルールをすべて無視しま
す。
参照 : キーワードの完全な一覧と
使用方法については、「不正侵入
防御のブロックルールキーワー
ド」 (360 ページ ) を参照してくだ
さい。
注記 : 「issue-id」は、イシューに
関連付けられたアルゴリズム ID
番号です。
表 109: 不正侵入防御の高度なパラメータの説明 ( 続き )
356
不正侵入防御の高度なパラメータの設定
名前
フィールドの種類 /
値
デフォルト値
説明
ipm.issue.dump.
<issue-id>
Boolean/
オフ
オンに設定されていると、不正侵
入防御ソフトウェアは、指定され
たイシューを誘発するパケットを
すべてダンプします。キャプチャ
された単一パケットは、 /var/log/
iss-ipm/
issue.issueid.frame.pid.tcpdump
という名前の TCPDUMP キャプ
チャファイルに格納されます。
「issue-id」は現在のイシューのア
ルゴリズム ID 番号、「frame」は
現在のパケットのフレーム番号、
「pid」は不正侵入防御ソフトウェ
アパケット検閲プロセスの現在の
プロセス ID です。この高度なパ
ラメータは、 ipm.dump.all.issues
が有効になっていると無視されま
す。
オン / オフ
オフに設定されていると、不正侵
入防御ソフトウェアは、高度なパ
ラメータ ipm.dump.all.issues で指
定されていない限り、イシューを
誘発するパケットをダンプしませ
ん。
注記 : 「issue-id」は、イシューに
関連付けられたアルゴリズム ID
番号です。
ipm.issue.log.
<issue-id>
Boolean/
オン
オン / オフ
オンに設定されていると、不正侵
入防御ソフトウェアは、指定され
たイシューを PAM が検出したと
きにイベントをシステムログ
ファイルに書き込みます。
オフに設定されていると、不正侵
入防御ソフトウェアは、指定され
たイシューに関するイベントをシ
ステムログファイルに書き込み
ません。
注記 : 「issue-id」は、イシューに
関連付けられたアルゴリズム ID
番号です。
表 109: 不正侵入防御の高度なパラメータの説明 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
357
付録 A: 高度なパラメータ
名前
フィールドの種類 /
値
デフォルト値
説明
ipm.issue.name.
<issue-id>
String/
なし
新しい名前が指定されていると、
不正侵入防御ソフトウェアは、指
定されたイシューに対して PAM
が推奨するイシュー名を無効にし
ます。
イシューの新しい名
前
新しい名前が指定されていない
と、不正侵入防御ソフトウェアは
警告メッセージを発行し、この高
度なパラメータを無視します。
注記 : 「issue-id」は、イシューに
関連付けられたアルゴリズム ID
番号です。
ipm.issue.priority.
<issue-id>
String/
なし
イシューの新しい優
先度 :
•
low
•
medium
•
high
新しい優先度が low、 medium、ま
たは high に設定されていると、
不正侵入防御ソフトウェアは、
PAM が推奨する優先度を無効に
します。
新しい優先度が low、 medium、ま
たは high に指定されていないと、
不正侵入防御ソフトウェアは警告
メッセージを発行し、この高度な
パラメータを無視します。
注記 : 「issue-id」は、イシューに
関連付けられたアルゴリズム ID
番号です。
ipm.issue.protocol.
<issue-id>
String/
なし
イシューの新しいプ
ロトコル
新しいプロトコルが指定されてい
ると、不正侵入防御ソフトウェア
は、指定されたイシューに対して
PAM が推奨するプロトコルを無
効にします。
新しいプロトコルが指定されてい
ないと、不正侵入防御ソフトウェ
アは警告メッセージを発行し、こ
の高度なパラメータを無視しま
す。
注記 : 「issue-id」は、イシューに
関連付けられたアルゴリズム ID
番号です。
表 109: 不正侵入防御の高度なパラメータの説明 ( 続き )
358
不正侵入防御の高度なパラメータの設定
名前
フィールドの種類 /
値
デフォルト値
説明
ipm.issue.response.
<issue-id>
String/
なし
新しいレスポンスキーワードが指
定されていると、不正侵入防御ソ
フトウェアは、指定されたイ
シューに対して PAM が推奨する
レスポンスと差し換えます。各イ
シューには、 1 セットのレスポン
スしか設定できません。文字列の
値は、 1 つ以上の防御レスポンス
キーワードから成るカンマ区切り
リストとして解釈されます。
イシューの新しいレ
スポンスキーワー
ド
新しいレスポンスキーワードが指
定されていないと、不正侵入防御
ソフトウェアは、指定されたイ
シューに対して PAM が推奨する
レスポンスをすべて無視します。
参照 : キーワードの完全な一覧と
使用方法については、「不正侵入
防御の防御レスポンスキーワー
ド」 (362 ページ ) を参照してくだ
さい。
注記 : 「issue-id」は、イシューに
関連付けられたアルゴリズム ID
番号です。
表 109: 不正侵入防御の高度なパラメータの説明 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
359
付録 A: 高度なパラメータ
不正侵入防御のブロックルールキーワード
はじめに
PAM (Protocol Analysis Module) には、隔離ルールテーブルが組み込まれています。このテーブルに
は、ブロックするパケットとブロック期間を指定する、ブロックルールと呼ばれる項目が含まれ
ています。不正侵入防御ソフトウェアは、推奨されるレスポンスに「block-future-traffic」または
「block-future-icmp-traffic」のレスポンスキーワードが含まれている場合に、ブロックルールを隔離
ルールテーブルに追加します。
新しいブロックルール
の作成
新しいブロックルールは、攻撃イシューまたは監査イシューのどちらについても作成することが
できます。既存のブロックルールは、次の高度なパラメータによって無効とすることができます。
ipm.issue.block.rule.issueid
ブロックルールキー
ワードの説明
ブロックルールは、フィルタリング対象パケットを定義する一連のフィールドで構成されていま
す。パケットをフィルタリングするには、このフィールドで指定された条件をパケットがすべて満
たしている必要があります。
不正侵入防御ソフトウェアは、次のブロックルールキーワードを認識します。
キーワード
フィールドの種類
説明
block-by-icmp-code
Boolean
有効に設定されていると、不正侵入防御ソ
フトウェアは、元の攻撃パケットまたは監
査パケットの ICMP コードと一致する ICMP
コードのパケットをすべてドロップします。
有効 / 無効
注記 : レスポンスの種類が block-futuretraffic である場合、このフィールドは無視さ
れます。
block-by-icmp-type
Boolean
有効 / 無効
有効に設定されていると、不正侵入防御ソ
フトウェアは、元の攻撃パケットまたは監
査パケットの ICMP タイプと一致する ICMP
タイプのパケットをすべてドロップします。
注記 : レスポンスの種類が block-futuretraffic である場合、このフィールドは無視さ
れます。
block-by-intruder-addr
Boolean
有効 / 無効
block-by-intruder-port
Boolean
有効 / 無効
有効に設定されていると、不正侵入防御ソ
フトウェアは、発信元または宛先の IP アド
レス ( ルールの指示によって異なる ) が元の
攻撃パケットまたは監査パケットの侵入側
アドレスと一致するパケットをすべてド
ロップします。
有効に設定されていると、不正侵入防御ソ
フトウェアは、発信元または宛先のポート (
ルールの指示によって異なる ) が元の攻撃パ
ケットまたは監査パケットの侵入側ポート
と一致するパケットをすべてドロップしま
す。
注記 : レスポンスの種類が block-futureicmp-traffic である場合、このフィールドは
無視されます。
表 110: ブロックルールキーワードの説明
360
不正侵入防御のブロックルールキーワード
キーワード
フィールドの種類
説明
block-by-victim-addr
Boolean
有効に設定されていると、不正侵入防御ソ
フトウェアは、発信元または宛先の IP アド
レス ( ルールの指示によって異なる ) が元の
攻撃パケットまたは監査パケットの被害側
アドレスと一致するパケットをすべてド
ロップします。
有効 / 無効
block-by-victim-port
Boolean
有効 / 無効
有効に設定されていると、不正侵入防御ソ
フトウェアは、発信元または宛先のポート (
ルールの指示によって異なる ) が元の攻撃パ
ケットまたは監査パケットの被害側ポート
と一致するパケットをすべてドロップしま
す。
注記 : レスポンスの種類が block-futureicmp-traffic である場合、このフィールドは
無視されます。
duration: <seconds>
Number
ブロックする期間を秒数で指定します。期
間がゼロに指定されている場合は、高度な
パラメータ ipm.default.block.duration で指
定された値にデフォルト設定されます。
percentage: <ratio>
Number
ブロックするパケットのパーセンテージを
指定します。値が 100 である場合は、すべ
てのパケットがブロックされます。
表 110: ブロックルールキーワードの説明 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
361
付録 A: 高度なパラメータ
不正侵入防御の防御レスポンスキーワード
はじめに
不正侵入防御ソフトウェアは、 1 つ以上の防御レスポンスを実行して、攻撃イシューや監査イ
シューが検出されたときに自動的にブロックすることができます。
新しいレスポンスの作成次の高度なパラメータを使用して、攻撃または監査のイシューに対する新しいレスポンスを作成し
たり、既存レスポンスよりも優先させたりすることができます。
ipm.issue.response.issueid
防御レスポンスキー
ワードの説明
不正侵入防御ソフトウェアは、次の防御レスポンスキーワードを認識します。
レスポンスキーワード
説明
block-connection または
block
不正侵入防御ソフトウェアは、 PAM 接続タギングを使用して、
現在の TCP 接続に関連付けられた今後のパケットをすべてド
ロップします。 UDP などのコネクションレス型プロトコルの場
合は、現在のパケットがドロップされます。
block-future-icmp-traffic また
は block-icmp-traffic
PAM によって推奨されているか、設定ファイルで指定されてい
る各ブロックルールに関して、不正侵入防御ソフトウェアは、
指定方向のみの今後の ICMP トラフィックをすべてブロックす
るため、隔離ルールテーブルに項目を 1 つ追加します。
block-future-traffic または
block-traffic
PAM によって推奨されているか、設定ファイルで指定されてい
る各ブロックルールに関して、不正侵入防御ソフトウェアは、
双方向の今後のトラフィックをすべてブロックするため、隔離
ルールテーブルに一対の項目を追加します。
block-intruder
現在のパケットが TCP パケットであれば、不正侵入防御ソフト
ウェアは、侵入側ホストと被害側ホストの間で今後発生するト
ラフィックをすべてブロックするために、一対の項目を隔離
ルールテーブルに追加します。現在のパケットが TCP ではない
場合、措置はとられません。
block-Trojan
現在のパケットが TCP パケットであれば、不正侵入防御ソフト
ウェアは、被害側ホスト上の被害側ポートを出入りする今後の
トラフィックをすべてブロックするために、一対の項目を隔離
ルールテーブルに追加します。現在のパケットが TCP ではない
場合、措置はとられません。
block-worm
現在のパケットが TCP パケットであれば、不正侵入防御ソフト
ウェアは、侵入側ホストと任意のシステム上の被害側ポートと
の間で今後発生するトラフィックをすべてブロックするために、
一対の項目を隔離ルールテーブルに追加します。現在のパケッ
トが TCP ではない場合、措置はとられません。
drop-packet または drop
不正侵入防御ソフトウェアは、現在のパケットをドロップしま
す。このパケットは、宛先まで転送されません。
none
現在のイシューに対して防御レスポンスを行わないように指定
します。
重要 : このキーワードは、その他のレスポンスキーワードと同
時に使用しないでください。
表 111: 防御レスポンスキーワードの説明
362
不正侵入防御の防御レスポンスキーワード
レスポンスキーワード
説明
reset
現在のパケットが TCP パケットであれば、不正侵入防御ソフト
ウェアは、侵入側と被害側の両方に TCP リセットパケットを送
信します。現在のパケットが TCP ではない場合、措置はとられ
ません。
注記 :
reset-intruder
•
高度なパラメータ ipm.allow.reset が無効になっていると、こ
のレスポンスは無視されます。
•
場合によっては、攻撃の影響を緩和するために、 PAM が被
害側への現在のパケットを変更することがあります。高度な
パラメータ ipm.allow.modify が無効になっていると、このレ
スポンスは無視されます。
現在のパケットが TCP パケットであれば、不正侵入防御ソフト
ウェアは、 TCP リセットパケットを侵入側に送信します。現在
のパケットが TCP ではない場合、措置はとられません。
注記 : 高度なパラメータ ipm.allow.reset が無効になっていると、
このレスポンスは無視されます。
reset-victim
現在のパケットが TCP パケットであれば、不正侵入防御ソフト
ウェアは、 TCP リセットパケットを被害側に送信します。現在
のパケットが TCP ではない場合、措置はとられません。
注記 :
•
高度なパラメータ ipm.allow.reset が無効になっていると、こ
のレスポンスは無視されます。
•
場合によっては、攻撃の影響を緩和するために、 PAM が被
害側への現在のパケットを変更することがあります。高度な
パラメータ ipm.allow.modify が無効になっていると、このレ
スポンスは無視されます。
表 111: 防御レスポンスキーワードの説明 ( 続き )
Proventia® Network Multi-Function Security Appliance User Guide
363
付録 A: 高度なパラメータ
ステータスサマリの高度なパラメータ
はじめに
このトピックでは、ステータスサマリ通知の高度なパラメータ高度なパラメータについて説明し
ます。
高度なパラメータの追
加、編集、および削除
高度なパラメータの追加、編集、および削除の手順については、「高度なパラメータの概要」
(324 ページ ) を参照してください。
説明
次の表では、高度な調整パラメータについて説明します。
名前
フィールドの
種類 / 値
デフォル
ト値
説明
stat_alert.weekly.<day>
String
なし
ステータスサマリイベントの通知を、
特定の曜日の特定の時刻にスケジューリ
ングします。 [Name] フィールドの
<day> 値は曜日、 [String] の値は時刻を
示します。 [String] の値は次の形式で指
定してください。
HH:MM:SS
stat_alert.daily
String
08:00:00
ステータスサマリイベントの通知を、
毎日の特定の時刻にスケジューリングし
ます。 [String] の値は時刻を示します。
[String] の値は次の形式で指定してくだ
さい。
HH:MM:SS
stat_alert.hourly.
<interval>
String
なし
指定時刻に開始する期間にステータスサ
マリイベント通知をスケジューリングし
ます。 [Name] フィールドの <interval>
値は期間の時間数、 [String] の値は期間
が開始する時刻を示します。 [String] の
値は次の形式で指定してください。
HH:MM:SS
表 112: ステータスサマリ通知の高度なパラメータの説明
364
Web フィルタの高度なパラメータ
Web フィルタの高度なパラメータ
はじめに
このトピックでは、 Proventia M シリーズアプライアンスの Web フィルタの高度なパラメータにつ
いて説明します。
高度なパラメータの追
加、編集、および削除
高度なパラメータの追加、編集、および削除の手順については、「高度なパラメータの概要」
(324 ページ ) を参照してください。
高度なパラメータの説明次の表では、 Web フィルタの高度な調整パラメータについて説明します。
名前
フィールドの
種類 / 値
デフォルト値
説明
wfm.webfilter.
config.log_level
Numeric
0
このパラメータを使用して、より高
い詳細度 (3 または 4) でロギングを設
定します。パラメータを入力し、
[Value] セクションの [Number]
フィールドに数値を入力します。
このパラメータは、 [Event
Notification] タブの設定よりも詳細
なロギングを提供します。
[Enable Event Logging] チェック
ボックスは、デフォルトではオフに
なっています。この設定でのロギン
グレベルは 0 です。
[Enable Event Logging] チェック
ボックスをオンにすると、 [Log Only
Blocked Web Page Requests] もデ
フォルトでオンになります。この場
合のロギングレベルは 1 です。
[Log All Web Page Requests] をオン
にした場合、ロギングレベルは 2 で
す。
表 113: Web フィルタの高度なパラメータの説明
Proventia® Network Multi-Function Security Appliance User Guide
365
付録 A: 高度なパラメータ
366
索引
d
アプリケーション層ゲートウェイ (ALG)
HyperText Transfer Protocol (HTTP)、フィルタリング
Dead Timeout
DHCP
180
143
i
78
DHCP サービスの設定と有効化
78
設定の操作 81
推奨事項
IANA
ICMP
ビルトインの DHCP サーバーの設定
リースの表示とコピー
79
Web サイト
128
79, 80
128
Diffie-Hellman グループ
DNS
DSA 証明書要求
IPSEC
8
236, 279
サポート対象のプロトコル
291
DNS 検索パス、初期設定
8
テクニカルサポート
リレーエージェントの設定と有効化
DHCP リースのリリースおよび更新
263
RADIUS クライアント
Internet Security Systems
80
リースのリリースおよび更新
384
127
IKE ポリシー
304
リースとステータスの表示
280
285
ポリシーの追加 284
ポリシー管理
29
254
IP アドレス
初期設定のデフォルト
e
33
187
変換
178
IP スプーフィング
Encapsulating Security Protocol (ESP)
ESP
181
280
l
280
f
L2TP
File Transfer Protocol (FTP)
L2TP/IPSEC VPN 接続
236
L2TP IP アドレスプール
アプリケーション層ゲートウェイ (ALG)
File Transfer Protocol (FTP)、フィルタリング
FTP
アプリケーション層ゲートウェイ (ALG)
181
180
181
248
設定
272
L2TP トンネル認証
L2TP ホスト名
LCD
272
38
39
h
再起動
HTTP
バージョン情報の確認
アプリケーション層ゲートウェイ (ALG)
使用と無効化
181
271
ボタン
38
38
38
HTTP サービス 85
HyperText Transfer Protocol (HTTP)
Proventia® Network Multi-Function Security Appliance User Guide
367
索引
m
接続の再接続
PPTP
174
MAC アドレス制御
174
36
一般的な操作手順
36
Proventia Manager パスワード
n
NAT
236
Proventia Manager
MAC アドレスフィルタリング
127
変更
74
74
33
33
124
Proventia Setup Assistant
187
ログイン資格情報
192
コンセプト 187
ポリシーの追加 192
例 189
NAT の各段階 187
ガイドライン
PXE ブートサーバー
r
Network Access Server (NAS)
RADIUS クライアント 263
RADIUS クライアントとサーバー
264
Network Address Translation (NAT)
169, 187
有効化
264
RADIUS クライアントとプライマリサーバー
o
設定
RADIUS サーバー
Open Shortest Path First (OSPF)
インターフェースの定義
root パスワード
変更
ステータスの表示
ルーターの定義
アプリケーション層ゲートウェイ (ALG)
55
181
83
フィルタリング 180
サービス設定
304
86
Simple Network Management Protocol (SNMP)
SiteProtector
p
コンポーネントの説明
195
Ping of Death 178
ping コマンド 127
プライマリ管理インターフェース
200
POP3、フィルタリング 180
Post Office Protocol 3 (POP3) 181
スパムのスキャン
51
プライマリネットワークインターフェース
SMTP
POP3
アプリケーション層ゲートウェイ (ALG)
108
106
アプライアンスの統合
195
使用例
368
82
283
Security Parameters Index (SPI)
Simple Mail Transfer Protocol (SMTP)
66
57
ステータスの表示
PPPoE
74
Secure Shell (SSH) プロトコル
68
データベースの表示
PAT
263
74
s
63
304
仮想リンクの定義
設定の管理
55
61
59
エリアの定義
OSPF
264
181
アプリケーション層ゲートウェイ (ALG)
83
サービスの管理 84
スパムのスキャン 200
SNMP 86
サービス設定
51
181
索引
SNMP メッセージ中のイベント名の表示
SSH
86
82
Syn フラッド
207
207
Web フィルタカテゴリ
コンテンツカテゴリ
178
設定
205
Web フィルタリング
t
205
URL ブロッキング
オーバーライド、「宛先許可リスト」
127
traceroute コマンド
オーバーライド、「発信元許可リスト」
設定
u
UDP
205
テクノロジ
205
207
Web フィルタリングのための宛先許可リスト 205, 206
Web フィルタリングのための宛先ブロックリスト 205,
206
Web フィルタリングのための発信元許可リスト 205, 206
ブロックするコンテンツカテゴリの選択
127
205
URL のブロック
v
Web プロキシサーバー
VPN
アプライアンスアップデートの取得
設定 237
VPN アドレス
Web プロキシサービス (HTTP)
RADIUS バックアップサーバーの設定
265
238
VPN ウィザード
RADIUS クライアント
263
VPN ユーザーリスト
236
251
117
z
アシンメトリックリダイレクション
w
184
ポリシーの設定
アップデート
Web 閲覧
アップデートのロールバック
205
Web コンテンツカテゴリ 207
使用ポリシーの適用
Web コンテンツフィルタリング
Web サイトのブロック
120
117
119
SiteProtector からの入手
アップデートの検索
205
Web サイト、 Internet Security Systems
8
205
Web フィルタ
304
イベントの一覧 208
高度なパラメータ 365
ステータスの表示 304
アラートの表示
Web フィルタイベント
アラートと通知
85
210
Web ラーン機能
X-Press Update Server
234
VPN のネットワークプロトコル
85
x
VPN 設定
VPN トンネル
206
206
オーバーライド、「宛先ブロックリスト」
127
traceroute のプロトコル
206
208
ロギング 208
Web フィルタ機能
Proventia® Network Multi-Function Security Appliance User Guide
アップデートのダウンロード
119
304
115
アラートの表示
イベントの一覧
自動によるアップデートのインストール
手動によるアップデートのインストール
種類と説明
113
120
111
セキュリティコンテンツアップデート
111
セキュリティコンテンツアップデートの削除
120
117
データベースアップデート 111
トラブルシューティング 120
代替アップデートサーバー
369
索引
154
ハイアベイラビリティ
124
要件
111
ファームウェアアップデート
180
アップデートイベント
115
アラートと通知
ログ記録
宛先 NAT
アプリケーションレイヤーゲートウェイ (ALG)
115
187
アプリケーション層ゲートウェイ (ALG)
アドレスグループ
アドレス名
191
89
デフォルトポリシー
ポリシーの設定
78
DHCP サーバー
78
SSH でのリモートアクセスの有効化
111
20
再起動 127
システムレベルサービス
77
127
22
シャットダウン
ハードウェアのライト
28
アンチウィルスアラートの表示
イベントの一覧
アラートと通知
217
217
217
ロギング
アンチスパム
アンチスパムアラートの表示
304
アンチスパムのステータスと統計値の表示
203
しきい値の削除 200
スパムのタグ付け 200
イベントの一覧
73
39
アプライアンスファームウェアの再インストール
スパムのタグ付け感度
設定
200
200
設定の考慮事項
防御設定
199
199
アンチスパムイベント
アラートと通知
ロギング
203
203
一般的なネットワーク攻撃
178
イベント
不正侵入の検出と防御
370
304
アンチウィルスイベント
アプライアンスのアクセス制御 73
アプライアンスのシャットダウン
125
Mx1004 の手順 125
Mx3006 の手順 125
304
アンチウィルスのステータスと統計値の表示
アプライアンスアクセスポリシー
M50 の手順
207
アンチウィルス
70
ルーターとして 26
ルーティングモード 26
アプライアンスアクセス 75
アクセス試行のログ記録 75
デフォルトポリシー 75
ポリシーの設定 75
ポリシー例 75
ネットワークオブジェクトの使用
224
アルコール、 Web コンテンツのブロック
35
35
ブリッジデバイス
LCD
208
アップデートイベント 115
アンチウィルスイベント 217
アンチスパムイベント 203
システムイベント 102
表示 304
ファイアウォールイベント 178
不正侵入検知および防御イベント
トランスペアレントモード
ネットワークへの接続
181
Web フィルタイベント
82
機能
設定プロセス
181
アラート
DHCP リレーエージェント
アップデート
180
セミトランスペアレント操作
アプライアンス
181
180
使用例
89
180
181
ゲートウェイの一覧
ポリシーの追加
169,
アプリケーション層トラフィックフィルタリング
224
304
索引
208
アップデート 115
アンチウィルス 217
アンチスパム 203
システム 102
ファイアウォール 178
Web フィルタ
高度なパラメータ
DHCP
イベント通知
不正侵入検知および防御イベント
343
データベース
351
ハイアベイラビリティ
347
ファイアウォールまたは VPN
352
不正侵入防御
205
コンテンツフィルタリング
205
URL のブロック
224
イベント名
205
Web サイトのブロック
オーバーライド、「宛先許可リスト」
SNMP メッセージの表示
86
オーバーライド、「発信元許可リスト」
設定
33
初期設定
トランスペアレントモードの管理
プライマリ管理インターフェース
ルーティングモードでの管理
オペレーティングシステム
69
51
49
隔離ルールの管理
51
51
219
226
39
サブネットワーク間の DHCP メッセージのリレー
要求
146
80
207
256
257
256
セットアッププロセス
256
システム
管理 IP アドレス
304
イベントの一覧 102
ステータスの表示 304
アラートの表示
71
74
変更 74
キー情報
キー交換で使用
LCD
管理
279
44
再起動
自己証明書
カプセル化方式
管理者パスワード
205
フィルタリング 199
シガレット、 Web コンテンツのブロック
397
監視 IP アドレス
207
例外の定義 206
コンテンツ分析
サービス、アプライアンスで利用可能
プライマリ管理インターフェース
隔離されたファイル
205
ブロックするコンテンツカテゴリの選択
スパム
外部インターフェース
ルーティングモードの設定
206
206
Web フィルタリング
123
バックアップと復元
206
オーバーライド、「宛先ブロックリスト」
6
印刷上の表記規則
インターフェース
システムイベント
アラートと通知
283
ログ記録
既知のスパムソース
定義
364
ステータスサマリ
208
アップデートイベント 115
アンチウィルスイベント 217
アンチスパムイベント 203
システムイベント 102
ファイアウォールイベント 178
説明
365
326
345
アンチスパム
Web フィルタイベント
IPSEC
344
Web フィルタ
イベント通知
仮想 IP
26
ルーティングモード
102
システムサポートファイル
200
24
システム設定
機能
トランスペアレントモード
102
28
Proventia® Network Multi-Function Security Appliance User Guide
工場出荷時設定の復元
122
371
索引
122
バックアップと復元
システムツール
127
スパムのタグ付け
システムのせってい
概要
スパムのフィルタリング
44
46
スパイウェア、トロイの木馬、ウィルス
103
77
メールによるアラート
システムレベルサービス
設定
防御設定
証明書 258
実装の考慮事項
静的 NAT
113
自動によるアプライアンスアップデート
132
セカンダリアプライアンス
障害が発生した HA アプライアンスの交換
119
159
統計値
282
282
ホスト通信の定義
セキュリティアソシエーション (SA) データベース
86
235
セキュリティゲートウェイ
258
失効リストのインストール
セキュリティコンテンツアップデート
初期設定
手動によるインストール
33
インターフェース
第 2 層のアクセス制御
255
ポリシー管理
図
Open Shortest Path First (OSPF)
監視 IP アドレス、物理ネットワーク
監視 IP アドレス、論理ネットワーク
トランスペアレントモード
ネットワークアドレス変換
183
147
148
28
188
ハイアベイラビリティ物理ネットワーク
ルーティングモード
27
138, 134
スナップショットの設定
208
アップデートイベント 115
アンチウィルスイベント 217
アンチスパムイベント 203
システムイベント 102
ファイアウォールイベント 178
Web フィルタイベント
自動によるインストール
122
手動によるインストール
199
既知のスパムソースの定義
200
111
113
119
テクニカルサポート
200
200
システムサポートファイル
200
207
通知
データベースアップデート
304
件名のタグ付け
175
不正侵入検知および防御イベント
ステータス情報
SMTP のスキャン
174
タバコ、 Web コンテンツのブロック
55
アシンメトリックリダイレクション
POP3 のスキャン
122
設定、バックアップと復元
信頼された認証局
インストール
120
手動による削除
35
111
113
119
自動によるインストール
33
Proventia Setup Assistant
初期設定後
282
セキュリティアソシエーション (SA)
283
手動によるアプライアンスアップデート
372
49
54
静的ルートの管理
113
設定とスケジュール
200
187
静的ルーティング
自動アップデート
情報の取得
証明書
200
スパムメールのタグ付け
28
26
ルーティングモード
手動キー管理
199
199
スパムのブロック
トランスペアレントモード
199
200
テクノロジ
失効リスト
スパム
199
考慮すべき事項
チェックリスト
表示
200
200
削除とタギング
24
224
282
索引
連絡
24
テクニカルサポート、 Internet Security Systems
8
デフォルトポリシー
181
電子メール
200
トランスペアレントモードの無効化
200
トランスペアレントモードの有効化
200
正当な発信元の識別 200
スパムのブロック
ルーティングモード
内部接続と外部接続の監視
28
26
187
動的アドレス 92
MD5
291
291
Secure Hash Algorithm (SHA1)
92
IP アドレスの関連付け
280
認証ヘッダー
99
97
ヌルモデムケーブル
125
ネットワークオブジェクト
89
アドレスグループ
94
制約 98
定義手順 92
使用例
89
アドレス名
アプライアンスアクセスポリシー
ルーティングモード
管理
99
トランスペアレントモード
87
定義
49
ドラッグ、 Web コンテンツのブロック
87
説明と長所
78
89
動的アドレス
207
75
91
システム定義とユーザー定義
97
動的ホスト設定サービス (DHCP)
動的ルーティング
171
ファイアウォールでの防御
認証
動的 NAT
92
アプライアンスアクセスポリシーでの使用
トラップ機能 86
トラフィックの転送
ビルトイン動的アドレス
70
トランスペアレントモード
ファイアウォールルールでの使用
アクセスに使用される IP アドレスの変更
アプライアンスへのアクセス
71
71
ポートグループ
ポート名
28
要件
28
89
35
ネットワークデバイス
トラフィックの転送
ネットワークオブジェクトの定義
ネットワークプロトコル
内部インターフェースの無効化
内部インターフェースの有効化
ファイアウォールルール
IPSEC
71
71
L2TP
PPTP
174
ファイアウォールアクセスポリシー
174
169
89
図
70
169
89
ネットワークケーブルの接続
28
説明 28, 44
73
97
ファイアウォールアクセスポリシーでの使用
トランスペアレントモード
実装の考慮事項
51
146
内部ネットワーク
トランスペアレント
機能
71
71
ルーティングモードの設定
動作モード
システム定義
234
トンネルモード 279
内部インターフェース
スパムソースの定義
アップグレード
279
トランスポートモード
トンネリング
アプリケーション層ゲートウェイ (ALG)
スパムのタグ
186
ローカルルーターの定義
87
236
236
236
バージョン情報
LCD での確認
38
134
アップデート作業の概要 154
ハイアベイラビリティ
Proventia® Network Multi-Function Security Appliance User Guide
373
索引
137
HA 専用インターフェース
143
Virtual Gateway 143
アップデート要件 151, 154
アプライアンスの管理 151
アプライアンスの再初期化 159
インターフェース名 143
監視 IP アドレス 146
Shared Secret
172
172
トラフィックの許可
トラフィックの拒否
169
プロトコルに基づくポリシーの定義 175
プロトコルフィルタリング 174
ルーティングモード 171
ネットワークオブジェクトの使用
159
ファイアウォールイベント
アラートと通知
151
ステータスの表示 151
代替ノード 149
物理ネットワーク図 138
論理ネットワーク図 134
パケットフィルタリング 169
ステータス情報
178
178
ロギング
ファイアウォールポリシー
移行
177
廃止予定の設定
177
ファイアウォールポリシーの廃止予定の設定
第 2 層のアクセス制御
74
174
MAC アドレスに基づくルールの定義
74
MAC アドレスフィルタリング
バックアップと復元
122
123
173
管理
フルシステム
171, 174
デフォルトルール 176
トランスペアレントモード 174
トラフィックの許可 172
トラフィックの拒否 172
コンセプトの概要
187
ポリシーの設定
パネルのライト
190
35
パブリック IP アドレス
187
犯罪行為、 Web コンテンツのブロック
207
表記規則、印刷上
手順
本書
フィルタデータベース
自動によるインストール
手動によるインストール
ファイアウォール
111
113
119
210
既存のアップデート 211
Web ラーン機能
手動によるアップデートのインストール
178
304
ファイアウォールステータスの表示 304
ローカルルーターの定義 186
ファイアウォールアクセスポリシー
MAC アドレスに基づくポリシーの定義
MAC アドレスフィルタリング
173
第 2 層のアクセス制御
374
113
119
自動によるアップデートのインストール
ファイアウォールアラートの表示
管理
171
210
ルーティングモード
ファームウェアアップデート
169
175
174
プロトコルフィルタリング
6
6
イベントの一覧
ネットワークオブジェクトの使用
プロトコルに基づくルールの定義
6
コマンド
174
174
システム設定のみ
発信元 NAT
177
ファイアウォールルール
パスワード
忘れた場合
174
トランスペアレントモード
障害が発生したアプライアンスの交換
管理
176
デフォルトポリシー
174
174
174
フルバージョンの入手
126, 211
フィルタリング
Web トラフィック
180
電子メールトラフィック
ファイル転送トラフィック
180
180
フィルタリング、アプリケーション層
ブートローダパスワード
有効化と無効化
不正侵入検知
74
74
180
索引
224
イベントの一覧
304
不正侵入ステータスの表示 304
不正侵入アラートの表示
マニュアルの場所
無効なパケット
不正侵入検知および防御イベント
アラートと通知
メールアドレス
正当なアドレスの定義
メールサーバー
224
メールによるアラート
不正侵入防御
メールリレーの阻止
イベントの一覧
304
不正侵入ステータスの表示 304
ブロックルール 360
防御レスポンスキーワード 362
プライベート IP アドレス 187
プライマリアプライアンス 132
プライマリ管理インターフェース 51
プライマリネットワークインターフェース
設定の管理
例
フルバックアップ
プロキシサーバー
200
メールの認証 83
メールリレー制御 83
51
メッセージダイジェスト
70
バー
263
DSA 証明書
254
要求
123
プロトコルアクセスルール
プロトコルフィルタリング
防御レスポンスキーワード
ポートアドレス変換 (PAT)
85
360
175
174
362
195
リモートアプライアンスアクセスサービス (SSH)
リレー IP アドレスの編集
ルーター
84
186
ローカルルーターの定義
静的ルートの管理
54
70
ルーティングとブリッジング
ルーティングモード
89
ポートフォワーディング
外部インターフェースの設定
196
ポート名 89
機能
ポリシー
図
設定
IKE
26
27
説明 26, 44
190
51
171
内部インターフェースの設定
ファイアウォールルール
ポリシーの設定
アプライアンスアクセス
ファイアウォールアクセスポリシー
75
アプリケーション層ゲートウェイ (ALG)
ホワイトリスト
51
26
実装の考慮事項
288
発信元 NAT
82
ルーティング
195
発信元 NAT
ポリシーの状態
197, 213, 221
ライセンスキーファイルの生成
ブロックルールキーワード
ポートグループ
291
認証アルゴリズム
ユーザー名 / パスワードペア認証用 RADIUS サー
アップデート取得のためのアプライアンスの有効化
例
83
スパムのタグ
199
ブリッジングとルーティング
103
メールの件名行
70
ブリッジ
83
104
メール認証サービス
199
スパムフィルタリング
200
103
設定
不正侵入アラートの表示
ブラックリスト
4
178
224
224
ロギング
199
スパムフィルタリング
181
190
199
ローカルドメインの編集
84
ロギング
Web フィルタ
208
アンチウィルスイベント
アンチスパムイベント
Proventia® Network Multi-Function Security Appliance User Guide
171
217
203
375
索引
178
ファイアウォールイベント
不正侵入検知および防御イベント
224
ログイン資格情報
administrator
74
Proventia Manager
74
Proventia Setup Assistant
root
33
74
ブートロードプログラム
ログ記録
74
115
アプライアンスアクセス 75
システムイベント 102
アップデートイベント
ログファイル
管理
表示
306
304
ワイルドカードによる検索
307
ワイルドカード
メール送信者のホワイトリストとブラックリスト
認証
376
291
201
用語集
802.3 Ethernet Standard (802.3 イーサネット標準 )—「802.3」という用語は、「イーサネット」という用語の代
わりに、またはこれと併せて使用されることが多く見られます。 802.3 IEEE グループは、 DIX イーサネッ
トと同等の機能を持つ CSMA/CD ネットワークの動作を標準化しました。「イーサネット」という用語
は、 DIX イーサネット実装と IEEE 802.3 標準を総称したものです。
a
Access Policy ( アクセスポリシー )—ファイアウォールの属性を定義する、一連のファイアウォール設定。
ファイアウォールはネットワークパケットを調査し、アクセスポリシー内のルールに基づいてパケット
の受容または拒否を決定します。アクセスポリシーは、 [Access Policy] ページで設定します。
ABR —Area Border Router。 1 つ以上の OSPF 領域の境界に置かれた、これら領域をバックボーンネットワークに
接続するルーターです。 ABR は、 OSPF バックボーンと付属エリアの両方に属すると見なされています。
また、バックボーンのトポロジとその他エリアのトポロジの両方が記載されたルーティングテーブルを
維持します。
Address Group ( アドレスグループ )—1 つ以上のアドレス名または 1 つ以上のアドレスグループを含むネット
ワークオブジェクト。
Address Name ( アドレス名 )—任意の IP アドレス、単一の IP アドレス、単一の IP アドレス範囲、単一の IP ア
ドレスと CIDR マスク、または単一のアドレスリストを含むネットワークオブジェクト。注記 :1 つのア
ドレスリストには、 1 つ以上の IP アドレス範囲を含めることができます。
AES —Advanced Encryption Standard (AES) は、 128 ビットのデータブロックを処理できる対称型ブロック暗号で
す。キーの長さは 128、 192、または 256 ビットとしてください。
AH —認証ヘッダー (Authentication Header: AH) は、データの完全性、起点認証、およびリプレーに対する抵抗性 (
オプション ) を提供します。 AH の主な機能は、認証サービスを提供することです。機密性は提供されま
せん。
ARP —Address Resolution Protocol。 ARP は、 Internet Protocol (IP) アドレスを、対応する物理ネットワークアドレ
スに変換します。 ARP は低レベルのネットワークプロトコルであり、 OSI モデルの第 2 層で機能します。
ASBR —自律システム境界ルーター (Autonomous System Boundary Router)。 ABR は、 OSPF 自律システムと OSPF
ではないネットワークとの間に位置します。 ASBR は、 OSPF と別のルーティングプロトコル (RIP など )
の間で動作します。 ASBR はスタブではない OSPF エリア内に存在する必要があります。
Area Configuration ( エリア設定 )—OSPF の場合、エリアとは IP がサブネット化されたネットワークを一般化し
たものです。 0 ～ 0xFFFFFFFF の数値、またはドット付き 10 進数形式の IP アドレスとして指定すること
ができます。エリア 0 はバックボーンエリアであり、デフォルトの設定です。
Alternate Node ( 代替ノード )—HA クラスタ内の一対アプライアンスのうち、セカンダリアプライアンス。
Alternate Node Interface ( 代替ノードインターフェース )—HA クラスタ内のセカンダリアプライアンスの内部
インターフェース。
Authentication Algorithm ( 認証アルゴリズム )—サポートされている認証アルゴリズムは、 MD5 と SHA1 です。
MD5 および SHA1 を参照してください。
Authentication Level ( 認証レベル )—SiteProtector は、 SSL 証明書を使用して認証を行います。 M シリーズアプ
ライアンスはこの証明書を使用して、 SiteProtector への接続を認証します。認証レベルのオプションは、
Proventia® Network Multi-Function Security Appliance User Guide
377
用語集
次のとおりです。
trust-all - アプライアンスは、 SiteProtector が提示した SSL 証明書を使用しません。アプライアンスはポー
ト 3995 ( または指定されたその他ポート ) におけるすべての接続を信頼し、このポートに接続可能な任意
のシステムにアラートを送信します。
first-time-trust - アプライアンスは、最初の接続において SSL 証明書を受け入れ、格納します。その後の
SiteProtector デスクトップコントローラに対するすべての接続において、 SiteProtector は同じ証明書を提
示する必要があります。
explicit-trust - SiteProtector を認証するため、接続の前にアプライアンスの正しい場所に SSL 証明書をコ
ピーする必要があります。証明書は、 /cache/spool/crm/cacerts ディレクトリに置いてください。 [explicittrust] を選択した場合は、追加の作業を行う必要があります。詳細については、次の場所にある Internet
Security Systems ナレッジベースの Article 番号 2202 ( 英語 ) を参照してください。
Authentication Mode ( 認証モード )—認証モードは、ローカルピアがリモートピアに対して自分自身の身元を
証明する方法を定義します。オプションには Pre-Shared Key、 DSS Signed、 RSA Signed があります。
b
Backbone ( バックボーン )—OSPF の場合、バックボーンとは、すべての OSPF エリア設定が物理的に接続して
いる必要のあるエリア設定です。バックボーンエリアには、エリア設定 ID 「0」を割り当てる必要があ
ります。
boot-P—BOOTstrap Protocol (boot-P) は、ディスクレスワークステーションにネットワーク設定情報を提供する
TCP/IP プロトコルです。このプロトコルによって、ディスクを持たないワークステーションは、起動時
に自分自身を動的に構成することができます。このプロトコルは、IP アドレスの割り当て、中央サーバー
の IP アドレスの検出、ホストによってロードされ実行されるファイルの名前の検出、といった 3 つの
サービスを提供します。ワークステーションは、初めて起動するときに BOOTP メッセージを中央サー
バーに送信します。中央サーバーは、ネットワーク設定情報をワークステーションに送り返します。
BOOTP の代わりに DHCP が使用される場合もあります。
c
Certificate Authority: CA ( 認証局 )—デジタル署名とパブリック / プライベートキーのペアの作成に使用される
デジタル証明書を発行する、信頼された第三者機関。認証局は、固有の証明書を付与された個人が自ら
名乗る身元を保証します。通常は、 CA がクレジットカード会社などの金融機関と提携すること、個人の
名乗る身元を確認するための情報をこうした機関に提供することを意味します。
Certificate ( 証明書 )—デジタル証明書は、 Web 通信保護の業界標準方式である Secure Sockets Layer (SSL) 技術を
使ってデータを暗号化します。デジタル証明書をインストールすると、 SSL 機能がオンになります。
CHAP—Challenge Handshake Authentication Protocol。 CHAP はスリーウェイハンドシェイクを使用して、ピアの身
元を定期的に確認します。これは最初に接続を確立するときに行われ、接続が確立された後も任意に繰
り返される場合があります。
Cost ( コスト )—OSPF の場合、コストは、特定インターフェースを通じてパケットを送信するために必要となる
オーバーヘッドを示します。経路のコストは、リンク帯域幅、パケットの宛先へ至るまでのホップ数、
トラフィックの平均負荷などさまざまな要因に基づいて算出されます。インターフェースのコストは、
宛先へ至るまでのホップ数というよりも、リンク帯域幅に基づいて算出されます。コスト値は、 Spanning
Tree Protocol 用のポートにも割り当てられます。コスト値を使用して、望ましいパスを指定することがで
きます。
Cluster ( クラスタ )—「ハイアベイラビリティ」を参照してください。
378
用語集
d
Database Update ( データベースアップデート )—Web フィルタ分類情報を含む、 ISS のデータベースサーバー
から入手可能な Web Filter and Antispam Database のアップデート。データベースアップデートは、ダウン
ロードとインストールが自動的に行われます。
Dead Interval— この値は、 OSPF ルーティング機能において、アプライアンスがダウンしているとみなすまでに
隣接ルーターが OSPF エコー ( キープアライブ ) パケットを待機する時間を秒単位で指定します。
Dead Timeout—セカンダリ HA アプライアンスが、プライマリアプライアンスへ送信したハートビートに対す
る応答を待つ一定の期間。デッドタイムアウト期間が切れると、セカンダリアプライアンスはプライマ
リアプライアンスに障害が発生したと見なし、すべてのインターフェースの仮想 IP アドレスを引き継ぎ
ます。
Delete Mode ( 削除モード )—Delete Mode では、選択した削除しきい値に従ってスパムメールが削除されます。
メールに含まれるスパム内容がしきい値よりも少ない場合は、メールの件名に「[SPAM]」というヘッ
ダーが追加されます。メールに含まれるスパム内容がしきい値よりも多い場合は、メールが削除されま
す。
Delete Threshold—[Delete Threshold] の設定を使用して、スパムメールのタグ付けまたは削除の基準として使わ
れるスパム内容のレベルを設定することができます。
Deprecated—廃止予定の、または新しい機能に取って代わられた、設定または機能。
DES—Data Encryption Standard (DES) アルゴリズムは、 64 ビットから成るデータのブロックを 64 ビットキーの管
理下で暗号化および復号化するように設計されています。復号化は暗号化と同じキーを使用して行われ
ますが、復号化プロセスが暗号化プロセスの逆になるように、キービットを扱うタイミングが変更され
ています。キーの長さは 3 文字としてください。
3DES—通信の当事者間で共有される Triple-Data Encryption Standard (3DES) の秘密キーは、 DES-CBC アルゴリズ
ムの単純な変種です。 DES 機能は暗号化→復号化→暗号化と 3 回実行され、それぞれの段階で個別の
キー (k1、 k2、 k3) が使用されます。キーの長さは 24 文字としてください。
Destination Address ( 宛先アドレス )—ネットワークパケットを受信するコンピュータの IP アドレス
Destination Blacklist—Destination Blacklist は、お使いのネットワークからアクセスできない URL、ドメイン、
または IP アドレスのリストです。このリストは、選択した Web フィルタに含まれていない宛先をブロッ
クする場合に使用できます。
Destination NAT Rule—着信ネットワークトラフィックのルーティング可能な IP アドレスを、ルーティング不
能な IP アドレスに変換します。 Destination NAT ルールは、別のポートに対する TCP または UDP パケッ
トの宛先ポートを変換することもできます。 Destination NAT ルールは、ネットワーク上のルーティング
不能な IP アドレスがネットワーク外部のユーザーから見えないようにします。
Destination Port ( 宛先ポート )—発信側のコンピュータが受信側のコンピュータへ開くように要請するポートの
番号。
Destination Whitelist—Destination Whitelist は、ブロックされた Web フィルタカテゴリに属している場合でも、
お使いのネットワークから常にアクセス可能な URL、ドメイン、または IP アドレスのリストです。ブ
ロックされたカテゴリに含まれる特定の宛先 (1 つのニュースサイトなど ) に対し、 Web フィルタよりも
優先させてアクセスを許可する場合に役立ちます。
DHCP—Dynamic Host Configuration Protocol (DHCP) は、アドレスの自動割り当てと IP ネットワークの改良された
設定管理をサポートします。
Proventia® Network Multi-Function Security Appliance User Guide
379
用語集
DHCP Lease (DHCP リース )—DHCP サーバーがクライアントに IP アドレスを割り当て、その使用を許可する期
間。クライアントに対してリースが行われると、リースはアクティブであると表現されます。許可され
たリース期間の半分が経過した場合、クライアントはアドレスリースの割り当てを DHCP サーバーに対
して更新する必要があります。リース期間は秒単位で規定されます。 0 秒のリース期間は、リースがクラ
イアントに対して永久的に予約されていること、つまりリースに有効期限がないことを指します。
DHCP Relay Agent (DHCP リレーエージェント )—DHCP サーバーがアプライアンスファイアウォールを通じ
てネットワーク上のクライアントと通信し、 IP アドレスを割り当てることができるようにするプロトコ
ル。リレーエージェントはアプライアンスインターフェース上に存在し、ネットワーク上のクライアン
トと DHCP サーバーとの間のファイアウォールを通じて DHCP メッセージを中継します。
Diffie-Hellman Group (Diffie-Hellman グループ )—Diffie-Hellman は、 7 つのグループで構成されています。この
アプライアンスでは、 7 つのうち 3 つをサポートしています。サポートされているグループは、グループ
1、
グループ 2、およびグループ 5 です。グループ番号が大きいほど、第三者によ
るセッションキー値の推測は難しくなります。 IPSEC ポリシーの場合、 New Group Exchange を使用して
作成された Private Group を使用することもできます。ここに挙げられたすべてのグループが Proventia
Manager の Diffie-Hellman グループ設定すべてで利用可能であるとは限りません。
Direction—アクセスポリシーでのネットワークトラフィックの方向を指定します。 [Direction] のオプションは、
次のとおりです。
Inbound - ネットワークへ入ってくるネットワークトラフィックに適用される
Outbound - ネットワークを出ていくネットワークトラフィックに適用される
Auto - 着信トラフィックと発信トラフィックの両方に適用される
DIX —Digital、 Intel、および Xerox によって標準化された、イーサネットネットワーキング実装。「イーサネッ
ト」という用語は、 DIX イーサネット実装と IEEE 802.3 標準を総称したものです。
DNS —Domain Name Server。ドメイン名を IP アドレスに変換するインターネットサービス。
Domain Name ( ドメイン名 )—IP アドレスに関連付けられた名前。ドメイン名は必ずドットで区切られた 2 つ以
上の部分から成っており、一般的には何らかの形の組織名と 3 文字以上のサフィックスで構成されてい
ます。たとえばホワイトハウスの Web サイトにアクセスする場合、 Web ブラウザのアドレスボックスに
ホワイトハウスの IP アドレスを入力することができますが、ほとんどの人は「www.whitehouse.gov」と
いうドメイン名を使用する方を好みます。この場合、ドメイン名は「whitehouse.gov」です。
Domain Name Suffix ( ドメイン名サフィックス )—URL またはメールアドレスの最後尾にある、一般的なトップ
レベルドメイン拡張子。ドメイン名に関連する組織の名前を表します。
DSA—Digital Signature Standard (DSS) は、電子文書認証用のデジタル署名を生成するために U.S. National Security
Agency (NSA) によって開発されたデジタル署名アルゴリズム (Digital Signature Algorithm: DSA) です。DSS
は、 1994 年に National Institute of Standards and Technology (NIST) によって提案されたもので、現在は電子
文書認証の米国政府標準となっています。
Dynamic Interface ( ダイナミックインターフェース )— このアプライアンスインターフェースは、 Many-to-One
NAT 設定で動的 IP アドレスを使用する場合に選択するアプライアンスインターフェースの名前です。オ
プションは eth0 ( 内部インターフェース )、 eth1 ( 常に外部インターフェース )、eth2 ( 内部インターフェー
スで使用可能 )、
PPP0 ( アプライアンス上で PPPoE が動作している場合に自動的に作成される )
です。
ダイナミックインターフェース機能は、外部インターフェースの DHCP 設定および PPPoE 設定とともに
使用してください。 DHCP の場合のダイナミックインターフェースは、アプライアンスの eth1 ( 外部 ) イ
ンターフェースです。 PPPoE の場合、動的アドレスは PPP0 です。このインターフェースは、 PPPoE がア
プライアンス上で動作している場合に自動的に作成されます。ルーティング不能アドレスは、 eth1 イン
ターフェースまたは PPP0 インターフェースに割り当てられた IP アドレスに変換されます。
Dynamic Address List ( ダイナミックアドレスリスト )—Dynamic Address Name に関連付けられた各アプライア
ンスに固有の IP アドレス。 Dynamic Address Name を作成し、アプライアンスの Dynamic Address List を定
380
用語集
義します。アプライアンス間で Dynamic Address Name を共有しながら、各アプライアンスの個別アドレ
スをそれぞれの Dynamic Address List 内で関連付けることができます。一連のアプライアンスに関する
SiteProtector 内でのポリシー変更を Dynamic Address Name を使って定義する場合、各アプライアンスは、
この名前に関連付けられた個別の Dynamic Address List を使用して変更内容を実装します。
Dynamic Address Name ( 動的アドレス名 )—異なる Dynamic Address List を持つ多数のアプライアンスの間で共
有可能な名前。各アプライアンスには、そのアプライアンスに固有のアドレスが含まれた 1 つ以上の
Dynamic Address List があります。この Dynamic Address List を、多数のアプライアンスから 1 つの
Dynamic Address Name ネットワークオブジェクトに関連付けることができます。一連のアプライアンス
に関する SiteProtector 内でのポリシー変更を Dynamic Address Name を使って定義する場合、各アプライア
ンスは、この名前に関連付けられた個別の Dynamic Address List を使用して変更内容を実装します。
e
Email Sender Blacklist—Email Sender Blacklist には、アプライアンスが常にスパムの送信元であると特定するド
メインとメールアドレスが含まれます。
Email Sender Whitelist—Email Sender Whitelist には、アプライアンスがスパムであると特定しないドメインおよ
びメールアドレスが含まれます。
Encryption Algorithm ( 暗号化アルゴリズム ) または ESP Algorithm (ESP アルゴリズム )—暗号化アルゴリズ
ムは、バイナリコード化された情報を暗号化および復号化するための数学アルゴリズムです。暗号化で
は、データが「暗号文」と呼ばれる理解不能な形式に変換されます。暗号文の復号化では、データバン
クが元の形式 ( プレーンテキスト ) に変換されます。暗号化方式は DES、 3DES、または AES です ((DES、
3DES、または AES を参照してください )。
ESP —Encapsulating Security Payload。データの機密性、完全性、起点認証、制限されたトラフィックフローの機
密性、アンチリプレーサービス ( オプション ) など、いくつかのセキュリティサービスを提供します。
EtherType Value—IEEE EtherType Field Registrar は、プロトコル識別の手がかりとなる数値を企業に割り当てま
す。元々 EtherType として知られる IEEE 802.3 (1998 Length/EtherType Field) は、 2 オクテットのフィール
ドです。 2 オクテットフィールドの値が 0600 (16 進法 ) と同等以上であれば、 MAC クライアントプロト
コルの性質を示すタイプフィールドです (EtherType 解釈 )。
Event Notification ( イベント通知 )— イベントに関する通知レスポンスをアプライアンスが送信する場合の方法
を、設定することができます。利用可能なレスポンスの種類は、次のとおりです。
- Email レスポンスは、個別のアドレスまたはメールグループに、メールによるアラートを送信します。
- このレスポンスに対して複数のメールによる通知を定義し、送信されるデータを設定することができま
す。
- SNMP レスポンスは、統合された SNMP サーバーに SNMP トラップを送信します。
- SiteProtector へのアラート配信は、 SiteProtector デスクトップコントローラにアラートを送信します。
f
Failover ( フェールオーバー )—ハイアベイラビリティ環境において、クラスタ内のプライマリアプライアンス
に障害が起こった場合にフェールオーバーが発生し、セカンダリアプライアンスがプライマリの役割を
引き受けます。セカンダリアプライアンスがプライマリアプライアンスからの応答を一定時間内に受信
しない場合 ( デッドタイムアウト )、プライマリアプライアンスに障害が発生したと見なされます。この
場合、セカンダリアプライアンスはすべてのインターフェースの仮想 IP をすべて引き継ぎ、プライマリ
アプライアンスになります。「Forced Failover」も参照してください。
Firewall ( ファイアウォール )— コンピュータまたはネットワークと外部ネットワークとの境界を強化する、シス
テムまたはシステムの組み合わせ。ファイアウォールの主な目的は、ネットワーク内部からインター
ネットへのアクセスおよびインターネットからネットワーク内部のコンピュータへの制限付きアクセス
Proventia® Network Multi-Function Security Appliance User Guide
381
用語集
を提供する、ネットワーク防御の単一ポイントとなることです。一般的なファイアウォールの種類には、
トラフィックをネットワークプロトコルパケットのレベルで調査するネットワークレベルのファイア
ウォール ( パケットフィルタ ) と、 FTP や電子メール、 Telnet などのトラフィックをアプリケーション層
で調査するアプリケーションレベルのファイアウォールの 2 種類があります。ファイアウォールはまた、
出ていくトラフィックに対してアドレスを再度割り当てたり、再度変換を行ったりすることもできま
す。Firewall ALG ( ファイアウォール ALG)—Firewall Application Layer Gateway ( 別名 Application Level Gateway)。
ALG は、ファイアウォールシステムと 2 つのネットワークの間で動作するアプリケーションプログラム
です。クライアントプログラムが宛先のサービスへの接続を確立すると、 ALG はその接続を検出し、
ファイアウォールを通過するファイルやその他コンテンツを分析します。ファイアウォール ALG は、身
元確認と認証で絶対に必要なもの以外、クライアントからの要求に何の変更も加えません。すべての接
続がファイアウォール ALG を通じて行われるため、ファイアウォールの背後にあるコンピュータは保護
されます。
Firewall General Message ( 一般のファイアウォールメッセージ )—一般的なメッセージは次のとおりです。
System Messages ( システムメッセージ ) - 以前の Resource Errors。ファイアウォールまたはファイア
ウォールを通過するトラフィックに関して発生したエラーが、ログファイルに書き込まれます。 – Errors
that occur with the firewall or with traffic going through the firewall. Such errors are written to the log file.
拒否ルールに関するメッセージ - ログの有効になった拒否ルールがファイアウォールポリシー内にあり、
このルールによってトラフィックがブロックされた場合に、イベントがログファイルに書き込まれます。
Allow Rule Messages ( 許可ルールに関するメッセージ ) - ログの有効になった許可ルールがファイア
ウォールポリシー内にあり、このルールによってトラフィックが受容された場合に、イベントがログ
ファイルに書き込まれます。
Rule Not Found Messages ( ルールが見つからない場合のメッセージ ) - パケットがネットワークを通って
来て、一致するファイアウォールポリシールールがないために中断された場合、イベントがログファイ
ルに書き込まれます。
Configuration Changes ( 設定変更 ) - ファイアウォールルール、リスト、またはその他設定可能なファイ
アウォール設定が変更された場合、イベントがログファイルに書き込まれます。どのユーザーが変更を
行ったのかイベントに示されていない場合は、次のメッセージが表示されます。
Access Statistics ( アクセス統計値 ) - 現在のネットワークアクティビティを説明するログ項目が、定期的
に書き込まれます。
VPN Messages (VPN に関するメッセージ ) - ユーザーが IPSEC ポリシーまたは
手動 IPSEC ポリシーのいずれかを通じてネットワークにアクセスするたびに、イベントがログファイル
に書き込まれます。
DNS and ICMP Messages (DNS と ICMP に関するメッセージ ) - すべての DNS 照会および応答のメッセー
ジについて、イベントがログファイルに書き込まれます。
Firmware Update ( ファームウェアアップデート )—ISS のダウンロードページから入手可能な、新しいプログラ
ムファイル、
fix またはパッチ、拡張機能、オンラインヘルプが含まれるアップデート。
ファームウェアアップデートは、自動的にダウンロードしてインストールすることができます。一部の
ファームウェアアップデートでは、インストール後にアプライアンスの再起動が必要です。
FTP—File Transfer Protocol は、インターネット上のコンピュータがファイル交換を行う場合に使用する一連の
ルールです。 FTP は、インターネットの TCP/IP プロトコル群を使用するアプリケーションプロトコルで
す。 FTP プロトコルは、一般的にポート 21 に指定されます。 FTP を使用して、ファイルの削除、名前変
更、移動、コピーをサーバーにて行うことができます。こうした作業を行うには、 FTP サーバーにログ
オンする必要があります。ただし、公的に利用可能なファイルにアクセスする場合は、匿名 FTP を使用
することができます。
FQDU—完全修飾ドメイン名 (Fully Qualified Domain Name: FQDN) は、ホスト、第 2 レベルドメイン、トップレ
ベルドメインを含む名前です。たとえば、「ftp.companyname.com」は FQDN です。
382
用語集
g
Gateway ( ゲートウェイ )—ネットワークゲートウェイは、 2 つのネットワークを結びつける相互ネットワーク
システムです。ネットワークゲートウェイは当然ながらネットワークの端に現れるため、ファイア
ウォールなどの関連機能はネットワークゲートウェイ上にインストールされる傾向にあります。
Gateway Antispam ( ゲートウェイアンチスパム )—Proventia アプライアンスは、ネットワークを通過するすべ
ての電子メールのテキスト、 URL、添付ファイルを分析します。無害なメールについては直ちに通過を
許可しますが、不適切なメールについては、メールがスパムであることを件名欄に表示すること、また
はメールを
削除することで対応します。
Gateway Antivirus ( ゲートウェイアンチウィルス )—アンチウィルス機能を使用すると、デスクトップ防御ク
ライアントが無効化していたり古くなっていたりする場合でも、ゲートウェイを通過するすべてのトラ
フィックがフィルタリングされます。ウィルス予防システム (Virus Prevention System: VPS) は、シグネ
チャベースのアンチウィルスアップデート防御だけでなく、あらゆる系統の悪意あるコードを事前に検
出および防止する動作分析も使用します。Ｐ roventia アプライアンスは、一箇所での簡単な管理を提供し
ます。また、 Web サイトおよび Web メール (HTTP)、ダウンロードサイト (FTP)、企業および個人の電子
メール (SMTP、 POP3) を発信元とするファイルの高速なリアルタイム分析を行い、 WildList を 100% 網羅
します。 WildList Organization International (http://www.wildlist.org) は、広く流布しているウィ
ルスに関する重要な情報源です。
GRE—Generic Route Encapsulation (GRE) プロトコルは、クライアントとサーバーとの間で Virtual Private Network
(VPN) を作成するために、 Point-to-Point Tunneling Protocol (PPTP) と合わせて使用されます。 PPTP 制御
セッションが確立されると、 GRE を使ってデータまたはペイロードが安全な方法でカプセル化されます。
トンネルを通過するデータまたはペイロードは Point-to-Point Protocol (PPP) ヘッダーが付けられ、 GRE パ
ケットの内部に置かれます。 GRE パケットは、 2 つのトンネルエンドポイントの間でデータを運びます。
GRE パケットが最終的な宛先 ( トンネルのエンドポイント ) に達するとヘッダーは廃棄され、カプセル化
されたパケットは最終的な宛先に転送されます。
h
Halt—ルーティングモードとトランスペアレントモードを切り替える場合、このオプションを使用して、 [Save
Changes] を選択した場合にシングルユーザー ( コマンドラインインターフェース ) 状態に入り、手作業
でアプライアンスの電源を切るまでそのままの状態に留まるかどうかを選択します。クリーンシャット
ダウンの前にケーブル配線の変更が必要な場合に、このオプションをお勧めします。
Ham ( ハム )—広告や不適切な内容を含まない、正当な電子メール。アプライアンスは Web Filter and Antispam
Database の情報と
メールアドレス、 Email Whitelist と Email Blacklist に含まれるドメインを使用
して、ハムが宛先へ到達するのを許可します。
Heartbeat ( ハートビート )—一方のアプライアンスからもう一方のアプライアンスに繰り返し送信される、アプ
ライアンスが動作中であることを示す信号。ハートビートは、アプライアンスのハイアベイラビリティ
機能において、一方のアプライアンスがもう一方のアプライアンスのステータスと可用性を確認するた
めに「ping」 ( ブロードキャスト / マルチキャストメッセージ ) を送信する場合に発生します。
Hello Interval— この値は、アプライアンスが機能していることを他のルーターに知らせるためにアプライアンス
がエコー ( キープアライブ ) パケットを送信する間隔を秒単位で設定します。
High Availability ( ハイアベイラビリティ )—Proventia M シリーズアプライアンスは、プライマリアプライアン
スおよび
セカンダリアプライアンスの 2 アプライアンス間で仮想 IP アドレスを使用す
ることで、アクティブ - パッシブのハイアベイラビリティを提供します。セカンダリアプライアンスは、
プライマリアプライアンスに障害が発生した場合、いつでもプライマリアプライアンスとして動作でき
るようにパッシブモードで待機します。 2 つのアプライアンスは、「クラスタペア」を構成するプライマ
リとセカンダリの間で専用のインターフェースリンクを使用して接続されます。アプライアンスは、定
Proventia® Network Multi-Function Security Appliance User Guide
383
用語集
期的にハートビートを送信してステータスを監視します。セカンダリアプライアンスがプライマリアプ
ライアンスからの応答を一定時間内に受信しない場合 ( デッドタイムアウト )、プライマリアプライアン
スに障害が発生したと見なされます。この場合、セカンダリアプライアンスはクラスタ内のインター
フェースの仮想 IP をすべて引き継ぎ、プライマリアプライアンスになります。
HTTP —Hypertext Transfer Protocol。 World Wide Web 上でテキスト、グラフィックイメージ、サウンド、ビデオ、
およびその他マルチメディアファイルをやりとりするためのルール一式です。 HTTP プロトコルは、
ポート 80 を使用します。
i
IANA—Internet Assigned Numbers Authority。 Local Internet Registry (LIR)、 National Internet Registry (NIR)、 Regional
Internet Registry (RIR) などのインターネットレジストリに IP アドレスを割り当てる、世界的な権威です。
これらのレジストリは、 IP アドレスをインターネットサービスプロバイダに割り当てます。企業がルー
ティング可能な IP アドレスの割り当てを必要とする場合、企業の ISP は自分の割り当ての中からアドレ
スを割り当てます。
ICMP—Internet Control Message Protocol (ICMP) は、エラーメッセージや制御メッセージ、情報メッセージを含む
パケットに適用されます。
ID Type (ID タイプ )—認証に使用されるデータの種類を規定します。
IKE—Internet Key Exchange。ユーザーの認証、暗号化方式のネゴシエーション、および秘密キーの交換を行うセ
キュリティアソシエーション (SA) を確立するための方法です。 IKE は、 IPSEC プロトコル内で使用され
ます。
IKE Direction—ピアが VPN トンネルを使用する方法。オプションには Initiator Only (VPN 要求を開始する )、
Responder Only (VPN 要求に応答する )、Both Directions (VPN 要求を開始し、応答する ) があります。
Inbound Policy (Inbound ポリシー )—Inbound ファイアウォールアクセスポリシーは、ネットワークへ入って
くるネットワークトラフィックに適用されます。
Initialization Vector ( 初期ベクトル )—初期ベクトルは、最初のパケットを暗号化するときに使用されます。後
に続くパケットは、前のパケットを暗号化するときに派生した値によって暗号化されます。初期ベクト
ルが指定されていない場合は、指定されたアルゴリズムを使用してランダムに選択されます。
Interface ( インターフェース )—2 つのシステムまたはデバイスをつなぐもの。接続タイプは内部、外部、または
PPPoE です。
Intrusion Prevention ( 不正侵入防御 )—Proventia アプライアンスは、折り紙付きの不正侵入防御技術を備えてい
ます。
高速かつ詳細なトラフィック分析
複数の検出方法
セキュリティ研究および脆弱点検出の世界的リーダーである X-Force から提供される自動アップデート
さらに、 X-Force によるイベントのタグ付け ( ブロック、アラート、調整など ) などの自動防御機能を備
えています。
IP Address (IP アドレス )—TCP/IP ネットワーク上にあるコンピュータまたはデバイスの識別子。 TCP/IP プロト
コルを使用するネットワークは、宛先の IP アドレスに従ってメッセージをルーティングします。
IP Address Classes (IP アドレスクラス )—ネットワーキングで一般的に使用されているルーティング不能な IP
アドレスは、次の 3 クラスに分かれています。
384
用語集
クラス A - 10.0.0.0 ～ 10.255.255.255
クラス B - 172.16.0.0 ～ 172.31.255.255
クラス C - 192.168.0.0 ～ 192.168.255.255
IPSEC—IP Security。インターネット上での認証と暗号化を提供するセキュリティプロトコル。
IPSEC Encapsulation Mode (IPSEC のカプセル化モード )—IPSEC は、次の方法でネットワークパケットをカ
プセル化します。
トンネル - 最も頻繁に使用されるカプセル化方式。トンネルモードでは、 IP データパケット全体が保護
されます。トンネルモードでは、暗号化のエンドポイントではないピア ( ゲートウェイデバイスなど )
へのパケット配信が許可されています。トンネルモードの IPSEC パケットには、 IP ヘッダーが 2 つあり
ます。外側の IP ヘッダーには、パケット全体をゲートウェイデバイスに配信するための情報が含まれて
います。
内側の IP ヘッダーは暗号化されており、 VPN トンネルの向こう側にある対象
ホストに宛てた元の情報だけが含まれています。
トランスポート - 上方のプロトコル層だけを保護します。元の IP ヘッダーは暗号化されません。トラン
スポートモードは、暗号化のエンドポイントが通信のエンドポイントと同一である場合のみに使用でき
ます。このため、トランスポートモードはピアツーピアトンネルに限定されます。
IPSEC Policy (IPSEC ポリシー )—IPSEC ポリシーは、 IP パケットにセキュリティを提供するために必要な
IPSEC プロトコル、キー交換方式、およびその他情報を定義します。
IPSEC Template Proposal (IPSEC テンプレートプロポーザル )—認証局 (CA) によって発行された証明書の内容
を定義する IPSEC 設定のプロファイル。 CA が IPSEC 証明書を発行できるように、テンプレートプロ
ポーザルを設定する必要があります。
IP Spoofing (IP スプーフィング )—あるシステムが IP ネットワークアドレスを使用して別のシステムに不法に
なりすまそうとする攻撃。この種の脆弱点によって、侵入者は TCP シーケンスの予測、安全でないソ
ケット、予測可能なパスワードを利用し、システムに対してパケットを偽造することができます。内部
ネットワークへ侵入するために IP アドレスをファイアウォールにとって受け入れ可能な IP アドレスに変
更するには、いくつか方法があります。スプーフィングは一般的に、攻撃者の身元を隠すため、または
ネットワークベースのやりとりを違法に乗っ取るために使用されます。
ISP— インターネットサービスプロバイダ (Internet Service Provider)。インターネットへのアクセスを顧客 ( 企業
や個人 ) に提供するベンダ。
IPV4—Internet Protocol version 4。
IPV6 —Internet Protocol version 4 のアップデートバージョン。
IPX —Internetwork Packet Exchange。 Novell NetWare オペレーティングシステムで使用されるネットワークプロト
コルです。 UDP/IP と同様、 IPX はコネクションレス型接続で使用されるデータグラムプロトコルです。
これより上位レベルのプロトコル (SPX および NCP) は、追加のエラー復旧サービスに使用されます。
l
L2TP—Layer 2 Tunneling Protocol。Point-to-Point Tunneling Protocol (PPTP) の拡張であり、インターネット上で VPN
の動作を有効にするためにインターネットサービスプロバイダによって使用されます。 L2TP には暗号
化が備わっていませんが、リモートユーザーから企業 LAN への VPN 接続を提供するために、 IPSEC の
使用がデフォルトで設定されています。 L2TP は、ほとんどの新しい Microsoft オペレーティングシステ
ムに含まれています。
L2TP Endpoint IP Address (L2TP エンドポイント IP アドレス )—L2TP トンネルのアプライアンス側 IP アドレ
ス。この IP アドレスは、ローカル VPN 接続のエンドポイントです。アプライアンスの L2TP エンドポイ
ント IP アドレスは、グローバルな固有の固定 IP アドレスである必要があります。また、 L2TP IP アドレ
Proventia® Network Multi-Function Security Appliance User Guide
385
用語集
スプールにないもの、または当該アプライアンスのその他インターフェースで使用されていないもので
ある必要があります。
例:
L2TP EndPoint IP Address: 192.168.2.1
L2TP IP Address Pool: 192.168.2.2-192.168.2.254
L2TP Host Name (L2TP ホスト名 )—L2TP/IPSEC Remote Client セキュリティゲートウェイの L2TP ホスト名を設
定する場合のこの値は、アプライアンスのホスト名です。このホスト名はアプライアンス設定時に設定
済みであり、 [Proventia Manager Home] ページの右上角に表示されます。例 Device Name:
myappliance.mycompany.com
L2TP IP Address Pool (L2TP IP アドレスプール )—アプライアンスがリモート VPN クライアントに割り当てる
IP アドレスの範囲。アプライアンスは、リモートクライアントから LAN への VPN 接続の要求を受け取
ると、 L2TP IP アドレスプールから L2TP エンドポイント IP アドレスをクライアントに割り当てます。
Learning Mode ( ラーニングモード )—Learning Mode では、選択した削除しきい値に従ってスパムメールがタグ
付けされます。メールに含まれるスパム内容がしきい値よりも少ない場合は、メールの件名に
「[SPAM]」というヘッダーが追加されます。メールに含まれるスパム内容がしきい値よりも多い場合は、
メールの件名に「[SPAM+]」というヘッダーが追加されます。 Learning Mode は、アプライアンスがどの
メールを [SPAM] および [SPAM+] と判断したのか知りたい場合に役立ちます。スパムメールの削除を開
始する前に、ネットワークにとって最上のパフォーマンスを得られるように [Delete Threshold] 設定を調
整することができます。
LLC —Logical Link Control。 LLC は IEEE 802 系の LAN 仕様によって定義され、 MAC (Media Access Control) 層に
対する共通のインターフェースポイントを提供します。 LLC は、プロトコルスタックのデータリンク層
の一部です。データリンク層は、ネットワーク媒体へのアクセスを制御し、特定ネットワークで配信す
るためにパケットまたはデータグラムの形式である上位層のデータをフレームに挿入する方法を定義し
ます。続いて、下位にある物理層 (MAC 層 ) が、フレーム化されたデータをビットストリームとして
ネットワーク媒体上で伝送します。
Local Router ( ローカルルーター )— ローカルルーターは、トランスペアレントモードにおいて、アプライアン
スと同じネットワークセグメントにあります。
LSA —Link State Advertisement。ルーターとそのインターフェース、隣接ルーター、およびネットワークの状態
を説明します。すべてのルーターおよびネットワークから収集されたリンクステートアドバタイズメン
トによって、各ルーターのトポロジデータベースが形成されます。最も一般的に使用される LSA の種類
は次のとおりです。
Router は、ルーターのインターフェース ( リンク ) の状態と各リンクの発信コストを含むタイプ 1 ( ルー
ター ) の LSA を使用します。ルーターは、ルーターのエリア内でのみ、この LSA をフラッドさせます。
スタブエリアの境界の ABR (Area Border Routers) は、タイプ 2 ( ネットワークサマリ ) の LSA を使用し
て、エリアへのデフォルト経路を 1 つアドバタイズします。
スタブエリアの境界の ASBR (Autonomous System Boundary Routers) は、タイプ 4 の LSA を使用して、
ASBR へのパスをアドバタイズします。
タイプ 5 の LSA は、 OSPF エリア設定に対して外部の宛先、またはエリア設定に対して外部のデフォルト
経路をアドバタイズします。
タイプ 4 およびタイプ 5 の LSA は、スタブエリアに入ることができません。「LSA タイプ」を参照して
ください。
LSA Types (LSA タイプ )—LSA タイプは次のとおりです。
タイプ 1 (Router LSA) は、スタブネットワークをアドバタイズし、リンクの状態とエリアに対するルー
ターのリンクのコストを説明します。この LSA は、このエリア内に限ってフラッドされ、ルーターが
386
用語集
Area Border Router (ABR) なのか Autonomous System Boundary Router (ASBR) なのか、ルーターが仮想リン
クの一端かどうか、を示します。
タイプ 2 (Network LSA) は、ネットワークに所属するすべてのルーターに関するリンク状態とコスト情報
を説明します。指定ルーターのみによって生成および追跡されます。
タイプ 3 (Network Summary LSA) は ABR によって生成され、別のエリア内にあるルーターに対して内部
ネットワークをアドバタイズします ( エリア間経路 )。この LSA は 1 つのネットワーク、または 1 つのア
ドバタイズメントにまとめられた一連のネットワークを表します。
タイプ 4 (ASBR Summary LSA) は、 ASBR が自分の場所をアドバタイズする場合に限り、 ASBR によって
生成されます。外部ネットワークに到達を試みるルーターは、これらのアドバタイズメントを使用して、
次のホップへの最適なパスを決定します。 ASBR はタイプ 4 LSA を生成します。
タイプ 5 (AS External LSA) は、別の AS からの経路を再配信 ( 通常は、異なるルーティングプロトコルか
ら OSPF へ ) します。
タイプ 8 (Link LSA) は、関連付けられたリンクを超えてフラッドすることはありません。 Link LSA は、
リンクに所属するすべてのルーターに対してルーターのリンクローカルアドレスを提供し、リンクに所
属するその他ルーターに一連の IPv6 プレフィックス ( リンクとの関連付け用 ) を通知し、ルーターに一
群のオプションビット ( リンクに対して発信元となるネットワーク LSA との関連付け用 ) のアサートを
許可します。
タイプ 9 (Intra-Area-Prefix LSA) には、Router LSA と Network LSA のいずれかとの関連性を説明するリンク
ステート ID が含まれます。ルーターは、各ルーターまたはトランジットネットワークに対して複数のタ
イプ 9 LSA を発信することができます。各 LSA には固有のリンクステート ID とプレフィックスが割り
当てられています。
m
MAC Address (MAC アドレス )—Medium Access Control アドレス。 MAC 名ともいいます。 MAC アドレスは、
ネットワーク内の各ネットワークインターフェースカード (Network Interface Card: NIC) に固有の番号で
す。 MAC アドレスは、通常は製造時にカード内にプログラムされます。 MAC アドレスには、 ROM (Read
Only Memory) にプログラムされた、変更不可能な個別の識別子が 2 つ含まれています。含まれているの
は、
IEEE から NIC 製造元に割り当てられた番号と、製造元によって割り当てられ
た拡張 ID です。 MAC 名は NIC カードに留まり、場所には依存しません。宛先および発信元の MAC アド
レスはネットワークパケットのヘッダーに含まれ、ルーティングデバイスはこの情報を使用してネット
ワーク上でパケットを転送します。
MAC Address Rule (MAC アドレスルール )— トランスペアレントモードの場合、 [Firewall Settings] ページでこ
れらのルールを定義して、ファイアウォールを通じてパケットを送信可能な発信元 MAC アドレスを指定
します。
Many-to-Many NAT ( 多対多の NAT)—グループ内の 1 つの IP アドレスまたはネットワーク内のルーティング不
能な IP アドレス範囲を、グループ内で最初に利用可能な IP アドレスまたはルーティング可能な IP アドレ
ス範囲に変換する NAT 設定。
Many-to-One NAT ( 多対一の NAT)—グループ内の 1 つの IP アドレスまたはネットワーク内のルーティング不能
な IP アドレス範囲を、別のポートを割り当てることで 1 つのルーティング可能な IP アドレスに変換する
NAT 設定。単一アドレス NAT、 PAT (Port Address Translation)、ポートレベル多重 NAT ともいいます。
Message Digest 5 (MD5)—デジタル署名の作成に使用されるアルゴリズム。これは、 32 ビットマシンでの使用
を意図したものです。 MD5 は一方向ハッシュ関数です。つまり、メッセージを取り上げて一定の数列に
変換するというもので、メッセージダイジェストともいいます。一方向ハッシュ関数を使用すると、算
出されたメッセージダイジェストとパブリックキーで復号化されたメッセージダイジェストとを比較し
Proventia® Network Multi-Function Security Appliance User Guide
387
用語集
て、メッセージが改ざんされていないことを確認することができます。この比較を、ハッシュチェック
といいます。
キーの長さは 16 文字です。
Metric ( メトリック )—宛先に対して 1 つ以上の経路が存在する場合、経路を最も良いものから悪いものの順にラ
ンク付けするために割り当てられた変数。ルーティングプロトコルごとに、異なるメトリックが使用さ
れます。メトリックの例としては、ホップカウント、帯域幅、負荷、遅延、信頼性、コストがあります。
Monitor IP Addresses ( 監視 IP アドレス )—監視 IP アドレスは、ネットワークが正常であるかどうかを定期的
に確認するために HA クラスタで使用できるオプション機能です。 HA クラスタ以外の他のネットワーク
デバイスの IP アドレスを指定して ICMP エコー要求パケットを送信し、その応答を待機します。デッド
タイムアウト期間内にアプライアンスが応答しない場合、接続はダウンしていると見なされます。プラ
イマリ HA アプライアンスはセカンダリアプライアンスを調査し、どちらのアプライアンスが接続可能
なネットワークデバイス数が多いかを判断します。プライマリアプライアンスの方が少ない場合は、
フェールオーバーが発生します。
MSS—Maximum Segment Size ( 最大セグメントサイズ )。単一の TCP パケットで送信可能なデータ量を規定する
MSS 値。IPv4 ネットワークでは、この値がインターフェース MTU (Maximum Transmission Unit) よりも 40
バイト少ない値である必要があります。
MSS Clamping (MSS クランプ )—Maximum Segment Size ( 最大セグメントサイズ ) クランプ。MSS クランプでは
TCP 接続の MSS ネゴシエーションを傍受して変更します。クライアントコンピュータの MTU を調整し
ないでパス MTU の問題に対処する場合に役立ちます。 [Clamp MSS] オプションを選択すると、 PPPoE に
おける TCP の最大セグメントサイズが「固定」または制御されます。 ClampMSS は、インターネットア
クセス、 FTP、および電子メールの TCP トラフィックに関する、 ICMP 関連の接続性の問題を解決しま
す。 [ClampMSS] オプションのデフォルト値は 1260 であり、このオプションはデフォルトで有効になっ
ています。
MTU—Maximum Transmission Unit。 MTU パラメータは、ネットワークが送信可能な物理的な最大パケットサイ
ズをバイト単位で指定します。ネットワークが相互接続していて、それらのネットワークの MTU サイズ
が異なる場合は、このパラメータが問題となります。 MTU の値よりも大きいパケットは、送信される前
に、もっと小さいパケットに分割 ( 断片化 ) されます。お使いのネットワークの MTU が、お使いのコン
ピュータとメッセージの最終的な宛先との間にあるすべてのネットワークのうちで最も小さい MTU と一
致することが理想です。間に入る MTU のうち 1 つよりもメッセージ内のパケットが大きい場合、ルー
ティングデバイスは、次のホップネットワークのフレームに収まるようにパケットを断片化します。こ
のプロセスは、送信速度を低下させます。多くの Web ブラウザなどいくつかのアプリケーションでは、
アプリケーションパケットで「断片化不可」フラグが設定されています。これらのパケットは、 MTU 制
限を超えているとドロップされます。
n
NAS ID—Network Access Server (NAS) は、インターネットなどのパケット界と公衆交換電話網 (Public Switched
Telephone Network: PSTN) などの回路界とを結び付ける、プラットフォームまたはプラットフォームの集
合です。
NAT—Network Address Translation。ローカルエリアネットワーク (Local Area Network: LAN) で、 1 セットの IP ア
ドレスを内部トラフィックで使用し、もう 1 セットのアドレスを外部トラフィックで使用できるように
する、ほとんどのファイアウォールに備わった機能。 NAT には、 LAN の外から内部 IP アドレスが見えな
いようにする、また多数の内部 IP アドレスを 1 つの外部 IP アドレスで使用できるという利点があります
( 多くのコンピュータで使用される DSL 接続または ISDN 接続で非常に役立ちます )。さらに、異なる内
部接続を 1 つのインターネット接続にまとめることができます。
NAT Configuration (NAT 設定 )—NAT ポリシーがネットワーク上の IP アドレスを変換する場合の方法を規定し
ます。 NAT 設定は、次のいずれかを指定できます。
Many-to-One NAT ( 多対一の NAT) - 多数のルーティング不能な内部アドレスを、ルーティング可能な 1
つの IP アドレスに変換します。
388
用語集
One-to-One NAT ( 一対一の NAT) - ルーティング不能な元の内部アドレスそれぞれを、ルーティング可能
な 1 つの IP アドレスに変換します。
Many-to-Many NAT ( 多対多の NAT) - ルーティング不能な内部 IP アドレスを、ルーティング可能な IP ア
ドレス範囲に変換します。
NAT Policy (NAT ポリシー )—Network Address Translation ポリシー。着信および発信のネットワークトラフィッ
クの IP アドレスをファイアウォールが変換する場合の方法を定義した、一連の NAT 設定。 NAT ポリ
シーは、 [NAT Policy] ページで設定します。
NETBEUI —NetBIOS Extended User Interface。 NetBEUI は、 NetBIOS の拡張バージョンであり、コンピュータが
ローカルエリアネットワークないで通信できるようにするプログラムです。 NetBEUI は、 NetBIOS の一
部として指定されなかったフレーム形式 ( またはデータ送信における情報の配列 ) を形式化します。
Netmask ( ネットマスク )—ネットワークマスクは、サブネットマスク、ネットマスク、およびアドレスマスク
とも呼ばれ、 1 オクテット中の何ビットがサブネットワークを識別し、何ビットがホストアドレスに空
間を提供するかを定義するために使用されます。
Network Object ( ネットワークオブジェクト )—定義して名前を付けるファイアウォールまたは VPN の要素、
または一連の要素。ネットワークオブジェクトを使用すると、頻繁に使用する要素または一連の要素に
名前を付け、これを複数のポリシーで共有することによって、ファイアウォールポリシーや VPN ポリ
シーを簡単に管理することができます。ネットワークオブジェクトは、 [Firewall/VPN Network Objects]
ページで設定します。
Nonce ( ノンス )—時間とともに変化するパラメータ。ノンスは時間とともに変化するため、現在の時刻とノン
スを比較することで、ファイルの再生または複製の試みが正当であるかどうかを簡単に見分けることが
できます。現在の時刻がノンスを超えない場合やノンスが存在しない場合、その試みは許可されます。
そうでない場合は、試みは許可されません。
NTLM —Windows NT LAN Manager。 NTLM では、認証にチャレンジ / レスポンス方式を使用します。この方式で
は、クライアントはサーバーへパスワードを送信しなくても身元を証明することができます。これは 3
つのメッセージで構成され、一般的にタイプ 1 ( ネゴシエーション )、タイプ 2 ( チャレンジ )、タイプ 3 (
認証 ) と呼ばれています。このプロトコルは Windows 2000 でも引き続きサポートされていますが、デ
フォルト / 標準としては Microsoft Kerberos に取って代わられています。NTLM プロトコルは Windows NT
4.0 オペレーティングシステムにおいてデフォルトのネットワーク認証でした。 Windows 2000 では、下位
のクライアントおよびサーバーとの互換性のために維持されていました。
NTP—Network Time Protocol は、設定時刻をネットワークタイムサーバーと同期します。
0
One-to-One NAT ( 一対一の NAT)—ネットワーク内の 1 つのルーティング不能な IP アドレスをルーティング可
能な IP アドレスに変換する NAT 設定。
OSPF—Open Shortest Path First。ノード間の距離といくつかの品質パラメータに基づき、 TCP/IP ネットワーク上
で IP トラフィックをルーティングする場合の最適なパスを決定するルーティングプロトコル。 OSPF は、
自律的なシステムの内部で動作するように設計された内部ゲートウェイプロトコル (Interior Gateway
Protocol) です。また、 RIP プロトコル ( 距離ベクトル型プロトコル ) に代わるものとして設計された、 RIP
よりもルーター間のアップデートトラフィックが少ないリンクステート型プロトコルでもあります。
OSPF Authentication (OSPF 認証 )—別のルーターから受け取る LSA に対してアプライアンスが求める認証を
指定します。オプションは次のとおりです。
None - 認証なし
Plain - 英数字 8 文字のパスワード
MD5 - MD5 キー ID と MD5 キー値が必要
Proventia® Network Multi-Function Security Appliance User Guide
389
用語集
重要 : 通信を行うために、すべてのルーターに同じ認証オプションを指定する必要があります。
OSPF MD5 Key (OSPF MD5 キー )—MD5 キーは、 1 ～ 16 文字の英数字です。 OSPF MD5 キーは、 MD5 キー値と
関連付けられた識別子を指定し、さらに OSPF MD5 認証が機能するために必要です。
OSPF MD5 Key ID (OSPF MD5 キー ID)—MD5 キー ID は、 MD5 キー値と関連付けられた識別子を指定します。
MD5 キー ID は、 1 ～ 255 文字の英数字です。 MD5 キー値もまた、 OSPF MD5 認証が機能するために必要
です。 MD5 認証が機能するためには、受信側と送信側のルーターが同一の MD5 キーを持っている必要が
あります。各インターフェースに MD5 キーを定義してください。
Outbound Policy (Outbound ポリシー )—Outbound ファイアウォールアクセスポリシーは、ネットワークを出
ていくネットワークトラフィックに適用されます。
p
Packet Value ( パケット値 )—指定された値がパケット内に存在する場合、セキュリティアソシエーションが作
成されます。
例 : 発信元 IP セレクタ値が 1 つだけで「PKT_VAL」に設定されている場合、 IP セキュリティポリシー
パラメータに含まれる可能性のあるすべての IP アドレスに関してセキュリティアソシエーションが作成
されます。発信元 IP アドレスの範囲が 10.1.5.1 ～ 10.1.5.100 である場合は、 100 個のセキュリティアソシ
エーションが作成されます。発信元 IP アドレスからのトラフィックがない場合、セキュリティアソシ
エーションは作成されません。
PAP—Password Authentication Protocol。 PAP では、保護されたシステムへアクセスする前に、ユーザーはパス
ワードの入力を要求されます。ユーザーの名前とパスワードは、サーバーへクリアテキストで送信され、
そこでユーザーアカウント名とパスワードのデータベースと比較されます。何者かによってパスワード
が傍受され、システムへのログオンに使用される可能性があるため、このテクニックは盗聴 ( スニッフィ
ング ) に対して脆弱です。
ほとんどの場合、 PAP は推奨されていません。しかし、一部の認証システムは、これ以上良い認証ス
キームを利用できないと PAP に戻ります。 CHAP (Challenge Handshake Authentication Protocol) がこれに代
わるプロトコルであり、チャレンジ / レスポンス技術を使用することで、いかなる形のパスワード送信も
行わないようにします。
PAT—Port Address Translation ( ポートアドレス変換 ) は、ネットワークアドレス変換の一種です。 PAT の間、
LAN 上の各コンピュータは同じ IP アドレスに変換されますが、ポート番号の割り当ては異なります。
PAT は、オーバーローディング、ポートマッピング、ポートレベル多重 NAT、または単一アドレス NAT
ともいいます。
Perfect Forward Secrecy—第三者によってキー値が発見される可能性を避けるため、IPSEC では Perfect Forward
Secrecy (PFS) として知られるプロセスを採用しています。このプロセスは、キー交換の両当事者によっ
て供給された値を基に、新しいキー値を定期的に作成します。両当事者は自分たちだけがわかるランダ
ムな値を提出するので、生成される新しいキーは、以前に作成されたキーとはまったく異なります。 PFS
を使用していると、第三者が対称キーをなんとか傍受したとしても、傍受したキーを短期間使用するこ
としかできません。さらに、新しく作成されたキーは前に傍受されたキーに基づいたものではないので、
第三者は新たにブルートフォースによる計算を開始して新しいキー値を推測しなければなりません。
IPSEC で PFS が有効になっていると、 PFS を使用しない場合よりも、新しいキーの作成に時間がかかり
ます。ただし、 PFS を使用すると、第三者によるデータの傍受や復号化を防ぐのに役立ちます。
PFS Group (PFS グループ )—Perfect Forward Secrecy グループ。このグループは、 Diffie-Hellman グループ 1 また
はグループ 2 です。 IPSEC の場合、 PFS グループは、最初の PFS キーと後続の PFS キーとの相違の度合い
を決定します。
390
用語集
Phishing ( フィッシング )—フィッシングはメール詐欺の一種です。加害者は、有名で信頼に足る Web サイトか
ら送られた正当なメールに見せかけたメールを送信し、受信者から個人情報や金融情報を集めようとし
ます。フィッシングエクスペディション (Phishing Expedition) は、その由来となるフィッシングエクスペ
ディション (Fishing Expedition: 法的尋問。自分に有利な情報を引き出すために相手に探りを入れること )
と同様に、投機的な企てです。フィッシャーは、「餌」に遭遇した者のうち少なくとも 2、 3 人が食いつ
くことを期待して、おとりを仕掛けます。フィッシャーによるなりすましで頻繁に利用される Web サイ
トには PayPal、 eBay、 MSN、 Yahoo、 BestBuy、 America Online があります。
Ping—ホストへのアクセスのトラブルシューティングに使われる一般的な方法。 ping は、 ICMP エコーメッセー
ジとその応答をテストします。 ping は、ホストに対する最も単純なテストです。 ping を実行して、パ
ケットが送信されたか、パケットが受信されたか、パケットロスの割合、往復にかかる時間 ( ミリ秒単
位 ) を確認します。 ping が失敗した場合は、 traceroute を試してください。「traceroute」 (396 ページ ) を参
照してください。
Ping of Death—Ping を使用して 65535 バイトを超える長さの ICMP エコーパケットを脆弱なコンピュータに送信
するサービス不能攻撃。 IP の仕様ではこのような大きさのパケットの作成が禁じられていますが、断片
化によってこのパケットの送信は許可されます。この脆弱点は、攻撃対象システムのネットワーキング
スタックの再構築コードに存在します。このパケットが再構築されると、割り当てられたバッファに対
してパケットが大きすぎるために、バッファオーバーフローが発生します。このバッファオーバーフ
ローは、特定システムのクラッシュ、再起動、または予測不能な方法での動作を引き起こす可能性があ
ります。この攻撃は ICMP に限らず、 IP を使用する任意のプロトコルで悪用可能です。
Policy ( ポリシー )—特定タイプのトラフィックの処理方法をファイアウォール /VPN モジュールに指示するファ
イアウォールルール。
Policy List ( ポリシーリスト )—特定のインターフェースおよび使用法に関するファイアウォールルールのリス
ト。
POP3 —Post Office Protocol version 3 (POP3) は、特定のインターネットサービスプロバイダからメールを取り出
すために、一般的に使用されるプロトコルです。 POP3 プロトコルは、ポート 110 を使用します。
PPP0—Point-to-Point Protocol over Ethernet (PPPoE) で使用されるアプライアンスインターフェース。PPPoE を有効
にすると、アプライアンスによってこのインターフェースが自動的に作成されます。
PPPoE—Point-to-Point Protocol over Ethernet。 PPPoE は、一般的なブロードバンド媒体 (DSL シングル回線、無線
デバイス、ケーブルモデムなど ) を通じてイーサネット上のユーザーをインターネットに接続するため
の規格です。
Port Group ( ポートグループ )— 1 つ以上のポート名または 1 つ以上のポートグループを含むネットワークオブ
ジェクト。
Port Name ( ポート名 )—
ジェクト。
単一のポートまたは複数のポート範囲のいずれかを含むネットワークオブ
PPTP —Point-to-Point Tunneling Protocol。リモートクライアントがプライベートネットワークに対する VPN トン
ネルを作成できるようにします。インターネットは本質的にオープンなネットワークであるため、 PPTP
は、ある VPN ノードから別の VPN ピアに送信されるメッセージを保護するために使用されます。 PPTP
は、ほとんどの Microsoft オペレーティングシステムに含まれています。
Primary Management Interface ( プライマリ管理インターフェース )—SiteProtector デスクトップコントローラ
がアプライアンスの識別に使用する、アプライアンスインターフェース ( 内部または外部 ) IP アドレス。
アプライアンスと通信する場合、または Proventia Manager を起動する場合に、最初に試されます。
Protection Bypass Policy ( プロテクション回避のポリシー )—特定の信頼できる企業 IP アドレスに宛てたトラ
フィックの発信元が、別な信頼できる企業 IP アドレスである場合、そのようなトラフィックすべてにセ
Proventia® Network Multi-Function Security Appliance User Guide
391
用語集
キュリティチェックの回避を許可します。アクセスポリシーは、 [Protection Bypass Policy] タブで設定し
ます。
Protocol ( プロトコル )— コンピュータによって使用される、合意済みの通信手段。製品がネットワーク上で動
作する場合 ( データの送信など ) に従う必要のあるルールおよび手順を説明する仕様。同じプロトコルを
使用していれば、製造元の異なる製品でも、同一のネットワーク上で通信することができます。 —
Protocol Access Rule ( プロトコルアクセスルール )— トランスペアレントモードの場合、 [Firewall/VPN
Settings] ページでこれらのルールを定義して、アプライアンスファイアウォールが許可またはドロップ
するトラフィックのプロトコルを指定します。
Proventia Setup Assistant —Proventia Setup Assistant は、アプライアンスの動作モード、ネットワークインター
フェース設定、 DNS 設定、およびパスワードを設定するために使用する、ブラウザベースのセットアッ
プユーティリティです。 Proventia Manager ( ローカル管理インターフェース ) へログオンする前に、これ
らの設定作業を行う必要があります。 Proventia Setup Assistant は、 2 通りの形式で利用可能です。
テキストベース
GUI ベース ( グラフィカルユーザーインターフェース )
Proventia Setup Utility (provsetup)—アプライアンスオペレーティングシステムのコマンドラインインター
フェース。このツールを使用して、初期接続設定、ネットワークインターフェース、およびパスワード
を設定します。また、 Web ブラウザを使用できない場合に、 Proventia Setup を使用してアプライアンス設
定を管理することもできます。 Proventia Manager にログオンするためには、 Proventia Setup Utility を使用
してネットワーク初期設定を設定する必要があります。
Proventia Manager (provmanager)—Proventia M シリーズ統合セキュリティアプライアンスの、 Web ベースの
ユーザーインターフェース。
q
Quarantine Rule ( 隔離ルール )—ブロックするネットワークパケットと、それらパケットをブロックする時間の
長さを指定する、動的に生成されるルール。アプライアンス上の IPS モジュールは、不正侵入に対応し
て隔離ルールを動的に生成し、そのルールを隔離テーブルに保存します。
r
RADIUS—Remote Authentication Dial-In User Service。認証データベース内で保持されるユーザープロファイルの
管理を集中化し、複数の VPN スイッチのサポートプロセスを簡易化する、クライアント / サーバーベー
スの認証ソフトウェア。リモートアクセスサーバーは、集中化された認証サーバーに接続する RADIUS
クライアントとして動作します。
Relay IP Address ( リレー IP アドレス )—別のドメインへメールを送信可能なネットワーク内部のユーザーを含
む、一連の IP アドレス。
RARP —Reverse Address Resolution Protocol。 RARP は ARP と逆の機能を持ち、ハードウェア (MAC) アドレスをイ
ンターネットアドレスにマッピングします。最初に初期化を行って自分のインターネットアドレスを見
つける場合に、主にディスクレスノードで使用されます。
Reboot—ルーティングモードとトランスペアレントモードを切り替える場合、このオプションを使用して、
[Save Changes] を選択した場合に [Network Mode] 領域で選択したモードで再起動するようにするかどうか
を選択します。
RIP—主に内部ルーティング環境で使用される、動的なネットワーク間ルーティングプロトコル。動的なルー
ティングプロトコルは固定的なルーティングプロトコルと異なり、経路を自動的に発見してルーティン
グテーブルを作成します。 RIP は、距離ベクトル型アルゴリズムを使用します。
392
用語集
Router ID —ルーター ID の値は、 OSPF において、隣接ルーターとアプライアンスに対してルーターを一意に識
別し、 LSA 情報を交換できるようにします。
Routing Mode ( ルーティングモード )—アプライアンスがルーティングネットワークモードになっている場合、
このプライアンスは完全な機能性で動作します。 Proventia Setup Assistant を使用すると、新しいアプライ
アンスをルーティングモードに設定したり、ネットワーク上にアプライアンスを設置してから [System]
→ [Networking] ページを使用してルーティングモードとトランスペアレントモードを切り替えたりする
ことができます。
Remote ID ( リモート ID)— リモート ID は、VPN クライアントがフェーズ 1 で VPN ゲートウェイから受信するこ
とを予期している ID です。 ID の種類は、認証に使用されるデータの種類を定義します。この ID は、IP
アドレス、
完全修飾ドメイン名、メールアドレス、文字列、または証明書発行者です。
RSA—Rivest-Shamir-Adleman。 1977 年に考案され、考案者にちなんで名付けられたパブリックキー暗号化アルゴ
リズム。大きい数のアルゴリズムであり、 RSA キーのサイズは 768 ～ 2048 バイトに及びます。 RSA は、
ほとんどのしつこいブルートフォース攻撃に対し、高い免疫性があります。 RSA Security Inc. は、この
RSA の中核的なアルゴリズムに基づいたセキュリティツールを数多く提供しています。 PGP (Pretty Good
Privacy) と SET (Secure Electronics Commerce) には、 RSA アルゴリズムが組み込まれています。
Rule GUID ( ルール GUID)—アクセスポリシーに割り当てられた、固有の識別子。アクセスポリシー ( または
ファイアウォールルール ) のルール GUID は、 [Alert Event Details] ウィンドウに表示されます。ルール
GUID は、一般的なファイアウォールアラートを生成したルールをアラートイベントログ内で特定する
ことができます。アクセスポリシーを編集しても [Rule GUID] の値は変わりませんが、上向きまたは下
向きの矢印ボタンをクリックしてポリシーを [Access Policy] 表内で上下に移動すると変わります。
Rule Order ( ルールの順序 )—[Access Policy] 表内でのアクセスポリシーの位置を示す値。アクセスポリシーを
表内で上下に移動すると、ルール ID の値が増加または低減します。この値は、ファイアウォールアラー
トとそれに対応するアクセスポリシーのトラブルシューティングに役立ちます。
s
SAP—Service Advertising Protocol。サーバーやルーターは、提供するサービスの種類を示すメッセージを、 SAP
を使用してブロードキャストします。これらのメッセージは、 60 秒ごとにブロードキャストされます。
SAP は、ネットワークデバイスがネットワークでの可用性に関する情報を交換できるようにする点で
RIP と似ています。しかし、 SAP のブロードキャストは、ネットワークにとって不要なトラフィックを増
やす可能性があります。 SAP のブロードキャストを削減するには、発生の間隔を大きくするか、広範囲
のリンクにおける SAP トラフィックを減らすためのフィルタを使用する必要があります。
Security Association Selector ( セキュリティアソシエーションセレクタ )—セキュリティアソシエーション
セレクタには、
Source IP Selector Value、 Destination IP Selector Value、 Transport Selector Value (
プロトコル )、 Source Port Selector Value、 Destination Port Selector Value、 User ID Selector Value ( 不使用 )、
Sensitivity Selector Value ( 不使用 ) があります。
Security Content Update ( セキュリティコンテンツのアップデート )—ISS のダウンロードページから入手可能
な、不正侵入防御とアンチウィルスのコンテンツを含むアップデート。セキュリティコンテンツアップ
デートは、自動的にダウンロードしてインストールすることができます。
Security Gateway ( セキュリティゲートウェイ )—VPN 接続のリモートピアを定義する一連の設定。セキュリ
ティゲートウェイを再利用して、 VPN 接続をすぐに作成することができます。セキュリティゲートウェ
イの種類には、
Auto Key IPSEC、 IPSEC Remote Client、 L2TP/IPSEC Remote Client、 Manual Key
IPSEC があります。
Security Policy Database Value ( セキュリティポリシーデータベース値 )—指定された値がセキュリティポリ
シーデータベース内に存在する場合、セキュリティアソシエーションが作成されます。
Proventia® Network Multi-Function Security Appliance User Guide
393
用語集
Security Process ( セキュリティプロセス )—IPSEC 接続におけるパケットに対するセキュリティアクションを
示します。オプションは、次のとおりです。
Encrypt ( パケットを VPN トンネルを通じてルーティングする )、 Bypass ( パケットを VPN トンネルを通
じてルーティングしない )、 Discard ( パケットをドロップする )
Security Parameters Index—Security Parameter Index (SPI) は、パケットが所属するセキュリティアソシエーショ
ン (SA) を一意に識別する 32 ビットのフィールドです。 SPI はすべてのパケットに含まれているので、受
信側のホストはこれを Security Parameters Database (SPDB) 内の項目と一致させ、受信パケットのセキュリ
ティをチェックするための SA を取得することができます。 SPI 値は、 IPSEC 接続の間中、変更されるこ
とはありません。通信が終了すると、 SPI 値は再要求され、新しい IPSEC 接続で再び使用されます。
Security protocol ( セキュリティプロトコル )—セキュリティプロトコルのオプションには、ESP With Auth (
データ暗号化とデータ認証を行う )、 ESP ( データ暗号化だけを行う )、ESP and AH (ESP プロトコルと AH
プロトコルの組み合わせ )、ESP With Auth and AH (ESP With Auth プロトコルと AH プロトコルの組み合わ
せ )、
AH ( パケット認証のみ ) があります。ここに挙げられたセキュリティプロト
コルのすべてが Proventia Manager の [Security Protocol] 設定で利用可能であるとは限りません。一部の製
造元では、 ESP With Auth を ESP と呼んでいます。
SHA1—Secure Hash Algorithm (SHA1) は、メッセージの圧縮表現 ( メッセージダイジェスト ) を生成します。メッ
セージダイジェストは、メッセージ用の署名を生成する間に使用されます。 SHA1 はまた、署名検証プ
ロセスで受信メッセージのメッセージダイジェストを算出する場合にも使用されます。送信中のメッ
セージに何らかの変更が加えられると、異なるメッセージダイジェストが生成され、署名の検証が失敗
します。 SHA1 は、メッセージの送信者と意図された受信者の両方で、デジタル署名の算出と検証に使用
されます。
キーの長さは 20 文字です。
Simple Network Management Protocol (SNMP)—ネットワークデバイスとその機能を管理および監視するため
に使用されるプロトコル。各ネットワークデバイスでのレポーティングプロセスアクティビティを使っ
てデータが SNMP エージェントから渡され、管理コンソールに送られます。エージェントは、情報を
MIB (Management Information Base) ファイルに含めて返します。
SiteProtector—ISS の管理コンソール。 SiteProtector は、アプライアンスやエージェント、センサーなどのさまざ
まなネットワークアセットを管理することができます。
SMTP —Simple Mail Transfer Protocol (SMTP) は、サーバー間で電子メールメッセージを送信するためのルール一
式です。メッセージは、メッセージ転送システムの管理下で送信されます。 SMTP は一般的に、メール
クライアントからメールサーバーにメッセージを送信するために使用されます。 SMTP プロトコルは、
ポート 25 を使用します。
SNA —Systems Network Architecture。 SNA は、 IBM のシステムおよびネットワークに関する一連の通信プロトコ
ルを規定する IBM のアーキテクチャです。 SNA は、 OSI モデルのようなアーキテクチャです。プロトコ
ルスタックが存在し、そうしたプロトコルスタックのさまざまなレベルで通信の発生する方法に関する
さまざまな構造上の定義が存在します。
Subnet Mask ( サブネットマスク )—「Netmask」を参照してください。
SubNetwork Attachment Point (SNAP)—Sub-Network Attachment Point。 SNAP ヘッダーは、イーサネットおよび
類似のネットワークパケット向けに IEEE で定義された第 2 層ヘッダーカプセル化形式です。 SNAP は、
IEEE 802.3 通信プロトコルスタックの論理リンク制御層で、 LLC/SNAP カプセル化において IEEE で定義
された論理リンク制御ヘッダーに対するトレーラとして使用されます。
SNMP —Simple Network Management Protocol。ネットワークデバイスとその機能を管理および監視するために使
用されるプロトコル。各ネットワークデバイスでのレポーティングプロセスアクティビティを使って
データが SNMP エージェントから渡され、管理コンソールに送られます。エージェントは、 MIB
(Management Information Base) ファイルに含まれた状態で情報を返します。
Source Address ( 発信元アドレス )—ネットワークパケットを送信するコンピュータの IP アドレス。
394
用語集
Source NAT Rule (Source NAT ルール )—発信ネットワークトラフィックのルーティング不能な内部 IP アドレ
スを、固有のルーティング可能な IP アドレスに変換します。 Source NAT ルールは、ネットワーク内部の
コンピュータがパブリックネットワーク上のコンピュータと通信できるようにします。
Source Port ( 発信元ポート )—発信元コンピュータによってネットワークパケットに割り当てられた、発信元
ポート。
Source Whitelist—Source Whitelist は、お使いのネットワークから自由にインターネットアクセスできる固定 IP
アドレスのリストです。ネットワーク内の特定のユーザーが無制限のインターネットアクセスを必要と
している場合に役立ちます。
重要 : Source Whitelist にユーザーを含めると、そのユーザーはすべての Web フィルタを免除されます。そ
のユーザーは、任意の URL、ドメイン、または IP アドレスにアクセス可能です (Destination Blacklist に
載っているものであっても同様 )。
SPAM ( スパム )—未承諾広告や不快な内容を含む電子メール。
Spyware ( スパイウェア )—個人または組織に関する情報を、当事者が気付かないうちに収集するのを支援する
技術。インターネット上では、侵入者がユーザーのコンピュータにプログラムを置き、秘密裏に情報を
集めて広告主または利害関係にある団体に中継する可能性があります。侵入者は、ウィルスとして、ま
たは新規プログラムのインストールによって、コンピュータ上にスパイウェアを置くことができます。
スパイボット、トラッキングソフトウェアともいいます。
SSH—Secure Shell は、 Windows および Unix のクライアントならびにサーバーへのログオンを保護します。 SSH
は、 telnet、 ftp およびその他リモートログオンユーティリティを、暗号化されたものに置き換えます。
SSL—Secure Sockets Layer (SSL) 証明書は、 SiteProtector 内のアプライアンスに対する接続を認証します。 SSL は、
SSL 接続を通じて送信するデータをプライベートキーを使って暗号化することで機能します。
Stateful Firewall ( ステートフルなファイアウォール )—ステートフルなファイアウォールモジュールは、アドレ
ス / ポート別の従来型の許可 / 拒否ルール、オブジェクトの名前付きリスト、 DHCP サーバー、NAT、
PAT、
DHCP クライアント、 PPPoE (DSL/ ケーブル接続用 )、および ICSA ( 認定待ち )
をサポートしています。
STP—Spanning Tree Protocol (STP) は、メディアアクセス制御ブリッジに関する IEEE 802.1 標準の一部であるリン
ク管理型プロトコルです。 STP はスパニングツリーアルゴリズム (STA) を使用し、デバイス間の複数の
アクティブパスによってネットワークで不要なループが発生するのを防止する一方で、パスの冗長性を
提供します。 Proventia アプライアンスの場合、トランスペアレントモードの 2 台のアプライアンスが重
複して接続されている場合に STP を使用することができます。「トランスペアレントモードでの STP を
使用したフェールオーバー防御」を参照してください。
Stub Domain ( スタブドメイン )—IP ネットワークにおいて IP アドレス指定を使用してローカルパケットルー
ティングを行う、 LAN ( ローカルエリアネットワーク ) などのローカルドメイン。ドメイン内のホスト
から発信されたトラフィック、またはそのようなホストを宛先とするトラフィックだけを扱います。ス
タブドメイン外と通信するには、 NAT (Network Address Translation) を使用する必要があります。
Subnet Mask ( サブネットマスク )—ルーティングデバイスがサブネット ( 「サブネットワーク」の省略形 ) 上で
パケットをより迅速に動かせるようにします。 IP アドレスには、ネットワークアドレスを表す数値と、
ホスト番号アドレスを表す数値が含まれています。固有のネットワーク番号を持つパケットがネット
ワークゲートウェイに達した後、ルーティングデバイスはサブネット番号をさらに使用して、このパ
ケットをネットワーク内で転送します。ルーターは、サブネットマスクを見て、注目するビットと無視
するビットを判断します。サブネットマスクによって、ルーティングデバイスは、 32 ビットのアドレス
全体ではなく、マスクによって選択されたビットだけを見ることができます。マスクとは、下部のどの
数値を見るのかルーティングデバイスに指示するため、数値を選別するというものです。サブネットマ
スクでは、「1」またはそれ以上の数値は「下部の数値を見よ」、「0」は「見るな」を意味します。
Proventia® Network Multi-Function Security Appliance User Guide
395
用語集
SYN Flood (SYN フラッド )—SYN パケットともいいます。偽造 TCP 接続要求を、標的のコンピュータが要求を
処理可能な速度よりも速く送信するサービス不能攻撃です。攻撃対象は、この不正な要求に応答した後、
返ってこない確認を待ち続けることになります。接続要求テーブルがいっぱいになると、新しい接続要
求はすべて無視されます。 SYN フラッドでコンピュータがクラッシュすることはほとんどありません。
攻撃者が攻撃を停止すると、ネットワークは通常の状態に戻ることが普通です。比較的新しいオペレー
ティングシステムまたはパッチを適用済みのオペレーティングシステムは、もっと効率よくリソースを
処理しますが、それでもこの攻撃に対して脆弱である可能性があります。メモリ割り当ての改良、特定
の着信接続のドロップ、 RST Cookie および SYN Cookie などのテクニック、さらに確認のタイムアウト値
の引き下げによって、 SYN フラッドの影響を減少させることができます。 SYN フラッド攻撃は、構造化
された攻撃の一部分である可能性があります。 TCP 乗っ取りにおいて接続の一端を無効化するために使
用されたり、認証またはサーバー間通信の阻止に使用されたりする可能性があります。
t
TCP —Transmission Control Protocol (TCP) は、データストリームを交換する 2 ホスト間における通信に適用され
ます。
traceroute—お使いのコンピュータからインターネットホストへのパケットを追跡し、ホストに達するまでにい
くつのホップが必要であるか、各ホップでどのくらいの時間がかかるのかを示すユーティリティ。
traceroute は UNIX ユーティリティです。
Translated Address ( 変換済みアドレス )—ネットワーク内コンピュータの公に面したアドレスとしてアプライ
アンスが使用する、ルーティング可能な IP アドレス。
Transmit Delay— この値は、 OSPF ルーティング機能において、アプライアンスがエリア設定を通じてブロード
キャストを行う前に LSA パケットの有効期限に追加する時間を秒数で設定します。
Transparent Mode ( トランスペアレントモード )—アプライアンスがトランスペアレントモードになっている
場合、このアプライアンスはブリッジデバイスとして機能し、 IP パケットヘッダーの発信元情報や宛先
情報をまったく変更せずに、ファイアウォールを通過するパケットにフィルタをかけます。すべてのイ
ンターフェースの IP アドレスは 0.0.0.0 に設定されるため、アプライアンスの存在はネットワークから見
えません。トランスペアレントモードでは、アプライアンスの一部の機能が使用できません。
TTL—Time to Live。 IP プロトコルで使用されます。 TTL は、パケット断片がネットワーク上の任意のデバイスに
よって削除可能となるまでの時間 ( 一般的には秒 ) です。多くの場合、パケットを永久的に循環させるよ
うなエラーをルーターが発生させた場合に使用されます。「Traceroute」と「UDP」も参照してください。
Tuning Parameter ( 調整パラメータ )—調整パラメータは、次のように指定します。ブーリアン値を有効に設定
するには、 [Boolean] を選択してから [Enabled] をオンにします。ブーリアン値を無効に設定するには、
[Boolean] を選択してから [Enabled] チェックボックスをオフにします。数値を指定するには、 [Number]
を選択し、 [Value] フィールドに数値を入力します。テキスト値を指定するには、 [String] を選択し、
[Value] フィールドにテキストを入力します。
u
UDP—User Datagram Protocol (UDP) は、 IP ネットワーク上での直接的な送受信を可能にするコネクションレス型
プロトコルに適用されます。
URI—Uniform Resource Indicator。インターネット上にあるリソースのアドレス。 URI には、 Universal Resource
Locator (URL) に加えて https などのプロトコルも含まれます。例 : http://www.iss.net.
URL Blocking (URL ブロッキング )—Web フィルタを有効にすると、 URL ブロッキングがデフォルトで有効にな
ります。 URL ブロッキングが有効になっている場合、アプライアンスは、選択した Web フィルタカテゴ
リに属する URL に対する要求をすべてブロックします。 URL ブロッキングを無効にすると、選択した
Web フィルタカテゴリ内の URL、ドメイン、または IP アドレスに対するアクセス要求が記録されます。
396
用語集
v
仮想 IP アドレス —仮想 IP アドレスは両方の HA アプライアンス ( プライマリおよびセカンダリ ) で設定されます
が、プライマリアプライアンスでのみ有効になっているため、プライマリアプライアンスだけがネット
ワークトラフィックをルーティングします。すべての外部クライアントはこれらのアドレスを使用して
HA クラスタと通信を行います。
Virtual Gateway ( 仮想ゲートウェイ )—デフォルトの HA クラスタ用外部ゲートウェイの IP アドレス。例 :
10.10.100.1
Virtual Link ( 仮想リンク )—OSPF プロトコルの場合は、各ルーターがエリア 0 ( バックボーン ) に接続されてい
る必要があります。物理的にエリア 0 に接続されていない OSPF ルーターの場合、エリア 0 に物理的に接
続している別の OSPF ルーターへこのルーターをリンクすることで、バックボーンに対する「仮想リン
ク」を作成することができます。
Virtual Management IP Address ( 仮想管理 IP アドレス )— トランスペアレントモードのアプライアンスの管理
に使用する固定 IP アドレス。この IP アドレスは、 CORPTRANS Dynamic Address Name に関連付けたのと
同じ IP アドレスである必要があります。ヘルプトピックの「Switching Between Routing Mode and
Transparent Mode」を参照してください。
VPN—Virtual Private Network。ユーザーがプライベートネットワークのようにインターネットにアクセスしたり、
これを利用したりできるようにします。
VPN Module (VPN モジュール )—Proventia M シリーズアプライアンスは、次のものからの VPN 接続を受け付け
ます。
サイトツーサイトの場合 : リモートのオフィスおよびパートナー
クライアントの場合 : ホームオフィスおよびモバイルユーザー
VPN Users—[VPN Users] リストを使用して、次のセキュリティゲートウェイで一般認証を使用するために
XAuth を有効にして設定します。
IPSEC Remote Client セキュリティゲートウェイ
Auto Key IPSEC セキュリティゲートウェイ
w
Web Filter (Web フィルタ )—ネットワーク上のユーザーが利用できる Web サイトを指定します。 Web フィルタ
モジュールを有効にすると、M シリーズアプライアンスは選択した Web フィルタ基準に従って Web サイ
トをブロックまたは許可します。
WildList—WildList Organization International (http://www.wildlist.org) は、実環境で広く流布しているウィルスに関
する重要な情報源です。
WINS—Windows Internet Naming Service。WINS は Microsoft 独自仕様の名前解決サービスです。NetBIOS 名から IP
アドレスの動的マッピングを行い、 TCP/IP ネットワーク内で NetBIOS API コールを解するネットワーク
リソースを特定する場合の問題を解決します。 WINS サーバーは、コンピュータ名 (NetBIOS 名 ) と IP ア
ドレスを自動的に保持します。ほとんどの場合、 NT ベースのドメインネームサーバーに Windows コン
ピュータの名前と IP アドレスを提供するために、 DHCP と併用されます。
x
XAuth—XAuth (Extended Authentication の略 ) は、 IKE セッションに第 2 のユーザー名およびパスワードを提供し
ます。 XAuth プログラムは、 X サーバーへの接続に使用される認証情報の編集および表示に使用されま
す。このプログラムは通常、あるマシンから認証レコードを抽出し、これを別のマシンにマージするた
めに使用されます。 X Window System 技術と混同しないようにしてください。
Proventia® Network Multi-Function Security Appliance User Guide
397
用語集
398
Internet Security Systems, Inc. Software License Agreement
THIS SOFTWARE PRODUCT IS PROVIDED IN OBJECT CODE AND IS LICENSED, NOT SOLD. BY INSTALLING, ACTIVATING,
COPYING OR OTHERWISE USING THIS SOFTWARE PRODUCT, YOU AGREE TO ALL OF THE PROVISIONS OF THIS SOFTWARE
LICENSE AGREEMENT (“LICENSE”). EXCEPT AS MAY BE MODIFIED BY AN APPLICABLE ISS LICENSE NOTIFICATION THAT
ACCOMPANIES, PRECEDES, OR FOLLOWS THIS LICENSE, AND AS MAY FURTHER BE DEFINED IN THE USER DOCUMENTATION
ACCOMPANYING THE SOFTWARE PRODUCT, YOUR RIGHTS AND OBLIGATIONS WITH RESPECT TO THE USE OF THIS SOFTWARE
PRODUCT ARE AS SET FORTH BELOW. IF YOU ARE NOT WILLING TO BE BOUND BY THIS LICENSE, RETURN ALL COPIES OF THE
SOFTWARE PRODUCT, INCLUDING ANY LICENSE KEYS, TO ISS WITHIN FIFTEEN (15) DAYS OF RECEIPT FOR A FULL REFUND OF
ANY PAID LICENSE FEE. IF THE SOFTWARE PRODUCT WAS OBTAINED BY DOWNLOAD, YOU MAY CERTIFY DESTRUCTION OF
ALL COPIES AND ANY LICENSE KEYS IN LIEU OF RETURN.
1. License - Upon your payment of the applicable fees and ISS delivery to you of the applicable license notification, Internet Security Systems, Inc. (“ISS”) grants to
you as the only end user (“Licensee”) a nonexclusive and nontransferable, limited license for the accompanying ISS software product, the related
documentation, and any associated license key(s) (Software), for use only on the specific network configuration, for the number and type of devices, and for the
time period (“Term”) that are specified in ISS quotation and Licensees purchase order, as accepted by ISS. ISS limits use of Software based upon the number of
nodes, users and/or the number and type of devices upon which it may be installed, used, gather data from, or report on, depending upon the specific Software
licensed. A device includes any network addressable device connected to Licensees network, including remotely, including but not limited to personal
computers, workstations, servers, routers, hubs and printers. A device may also include ISS hardware (each an Appliance) delivered with pre-installed Software
and the license associated with such shall be a non-exclusive, nontransferable, limited license to use such pre-installed Software only in conjunction with the ISS
hardware with which it is originally supplied and only during the usable life of such hardware. Except as provided in the immediately preceding sentence,
Licensee may reproduce, install and use the Software on multiple devices, provided that the total number and type are authorized by ISS. Licensee may make a
reasonable number of backup copies of the Software solely for archival and disaster recovery purposes. In connection with certain Software products, ISS
licenses security content on a subscription basis for a Term. Content subscriptions are licensed pursuant to this License based upon the number of protected
nodes or number of users. Security content is regularly updated and includes, but is not limited to, Internet content (URLs) and spam signatures that ISS
classifies, security algorithms, checks, decodes, and ISS related analysis of such information, all of which ISS regards as its confidential information and
intellectual property. Security content may only be used in conjunction with the applicable Software in accordance with this License. The use or re-use of such
content for commercial purposes is prohibited. Licensees access to the security content is through an Internet update using the Software. In addition, unknown
URLs may be automatically forwarded to ISS through the Software, analyzed, classified, entered into ISS URL database and provided to Licensee as security
content updates at regular intervals. ISS URL database is located at an ISS facility or as a mirrored version on Licensees premises. Any access by Licensee to
the URL database that is not in conformance with this License is prohibited. Upon expiration of the security content subscription Term, unless Licensee renews
such content subscription, Licensee shall implement appropriate system configuration modifications to terminate its use of the content subscription. Upon
expiration of the license Term, Licensee shall cease using the Software and certify return or destruction of it upon request.
2. Migration Utilities - For Software ISS markets or sells as a Migration Utility, the following shall apply. Provided Licensee holds a valid license to the ISS Software
to which the Migration Utility relates (the Original Software), ISS grants to Licensee as the only end user a nonexclusive and nontransferable, limited license to
the Migration Utility and the related documentation (“Migration Utility”) for use only in connection with Licensees migration of the Original Software to the
replacement software, as recommended by ISS in the related documentation. The Term of this License is for as long as Licensee holds a valid license to the
applicable Original Software. Licensee may reproduce, install and use the Migration Utility on multiple devices in connection with its migration from the Original
Software to the replacement software. Licensee shall implement appropriate safeguards and controls to prevent unlicensed use of the Migration Utility. Licensee
may make a reasonable number of backup copies of the Migration Utility solely for archival and disaster recovery purposes.
3. Third-party Products - Use of third party product(s) supplied hereunder, if any, will be subject solely to the manufacturers terms and conditions that will be
provided to Licensee upon delivery. ISS will pass any third party product warranties through to Licensee to the extent authorized. If ISS supplies Licensee with
Crystal Decisions Runtime Software, then the following additional terms apply: Licensee agrees not to alter, disassemble, decompile, translate, adapt or reverseengineer the Runtime Software or the report file (.RPT) format, or to use, distribute or integrate the Runtime Software with any general-purpose report writing,
data analysis or report delivery product or any other product that performs the same or similar functions as Crystal Decisions product offerings; Licensee agrees
not to use the Software to create for distribution a product that converts the report file (.RPT) format to an alternative report file format used by any generalpurpose report writing, data analysis or report delivery product that is not the property of Crystal Decisions; Licensee agrees not to use the Runtime Software on
a rental or timesharing basis or to operate a service bureau facility for the benefit of third parties unless Licensee first acquires an Application Service Provider
License from Crystal Decisions; CRYSTAL DECISIONS AND ITS SUPPLIERS DISCLAIM ALL WARRANTIES, EXPRESS, OR IMPLIED, INCLUDING
WITHOUT LIMITATION THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, AND NONINFRINGEMENT OF THIRD
PARTY RIGHTS. CRYSTAL DECISIONS AND ITS SUPPLIERS SHALL HAVE NO LIABILITY WHATSOEVER UNDER THIS AGREEMENT OR IN
CONNECTION WITH THE SOFTWARE. In this section 3 Software means the Crystal Reports software and associated documentation supplied by ISS and any
updates, additional modules, or additional software provided by Crystal Decisions in connection therewith; it includes Crystal Decisions Design Tools, Report
Application Server and Runtime Software, but does not include any promotional software or other software products provided in the same package, which shall
be governed by the online software license agreements included with such promotional software or software product.
4. Beta License - If ISS is providing Licensee with the Software, security content and related documentation, and/or an Appliance as a part of an alpha or beta test,
the following terms of this Section 4 additionally apply and supercede any conflicting provisions herein or any other license agreement accompanying, contained
or embedded in the subject prototype product or any associated documentation. ISS grants to Licensee a nonexclusive, nontransferable, limited license to use
the ISS alpha/beta software program, security content, if any, Appliance and any related documentation furnished by ISS (Beta Products) for Licensees
evaluation and comment (the “Beta License”) during the Test Period. ISS standard test cycle, which may be extended at ISS discretion, extends for sixty (60)
days, commencing on the date of delivery of the Beta Products (the “Test Period”). Upon expiration of the Test Period or termination of the Beta License,
Licensee shall, within thirty (30) days, return to ISS or destroy all copies of the beta Software, and shall furnish ISS written confirmation of such return or
destruction upon request. If ISS provides Licensee a beta Appliance, Licensee agrees to discontinue use of and return such Appliance to ISS upon ISS request
and direction. If Licensee does not promptly comply with this request, ISS may, in its sole discretion, invoice Licensee in accordance with ISS current policies.
Licensee will provide ISS information reasonably requested by ISS regarding Licensee’s experiences with the installation and operation of the Beta Products.
Licensee agrees that ISS shall have the right to use, in any manner and for any purpose, any information gained as a result of Licensees use and evaluation of
the Beta Products. Such information shall include but not be limited to changes, modifications and corrections to the Beta Products. Licensee grants to ISS a
perpetual, royalty-free, non-exclusive, transferable, sublicensable right and license to use, copy, make derivative works of and distribute any report, test result,
suggestion or other item resulting from Licensee’s evaluation of its installation and operation of the Beta Products. LICENSEE AGREES NOT TO EXPORT
BETA PRODUCTS DESIGNATED BY ISS IN ITS BETA PRODUCT DOCUMENTATION AS NOT YET CLASSIFIED FOR EXPORT TO ANY DESTINATION
OTHER THAN THE U.S. AND THOSE COUNTRIES ELIGIBLE FOR EXPORT UNDER THE PROVISIONS OF 15 CFR 740.17(A) (SUPPLEMENT 3),
CURRENTLY CANADA, THE EUROPEAN UNION, AUSTRALIA, JAPAN, NEW ZEALAND, NORWAY, AND SWITZERLAND. If Licensee is ever held or
deemed to be the owner of any copyright rights in the Beta Products or any changes, modifications or corrections to the Beta Products, then Licensee hereby
irrevocably assigns to ISS all such rights, title and interest and agrees to execute all documents necessary to implement and confirm the letter and intent of this
Section. Licensee acknowledges and agrees that the Beta Products (including its existence, nature and specific features) constitute Confidential Information as
defined in Section 18. Licensee further agrees to treat as Confidential Information all feedback, reports, test results, suggestions, and other items resulting from
Licensee’s evaluation and testing of the Beta Products as contemplated in this Agreement. With regard to the Beta Products, ISS has no obligation to provide
support, maintenance, upgrades, modifications, or new releases. However, ISS agrees to use its reasonable efforts to correct errors in the Beta Products and
related documentation within a reasonable time, and will provide Licensee with any corrections it makes available to other evaluation participants. The
documentation relating to the Beta Products may be in draft form and will, in many cases, be incomplete. Owing to the experimental nature of the Beta Products,
Licensee is advised not to rely exclusively on the Beta Products for any reason. LICENSEE AGREES THAT THE BETA PRODUCTS AND RELATED
DOCUMENTATION ARE BEING DELIVERED “AS IS” FOR TEST AND EVALUATION PURPOSES ONLY WITHOUT WARRANTIES OF ANY KIND,
INCLUDING WITHOUT LIMITATION ANY IMPLIED WARRANTY OF NONINFRINGEMENT, MERCHANTABILITY OR FITNESS FOR A PARTICULAR
PURPOSE. LICENSEE ACKNOWLEDGES AND AGREES THAT THE BETA PRODUCT MAY CONTAIN DEFECTS, PRODUCE ERRONEOUS AND
UNINTENDED RESULTS AND MAY AFFECT DATA NETWORK SERVICES AND OTHER MATERIALS OF LICENSEE. LICENSEES USE OF THE BETA
PRODUCT IS AT THE SOLE RISK OF LICENSEE. IN NO EVENT WILL ISS BE LIABLE TO LICENSEE OR ANY OTHER PERSON FOR DAMAGES,
DIRECT OR INDIRECT, OF ANY NATURE, OR EXPENSES INCURRED BY LICENSEE. LICENSEE’S SOLE AND EXCLUSIVE REMEDY SHALL BE TO
TERMINATE THE BETA PRODUCT LICENSE BY WRITTEN NOTICE TO ISS.
5. Evaluation License - If ISS is providing Licensee with the Software, security content and related documentation on an evaluation trial basis at no cost, such
license Term is 30 days from installation, unless a longer period is agreed to in writing by ISS. ISS recommends using Software and security content for
evaluation in a non-production, test environment. The following terms of this Section 5 additionally apply and supercede any conflicting provisions herein.
Licensee agrees to remove or disable the Software and security content from the authorized platform and return the Software, security content and
documentation to ISS upon expiration of the evaluation Term unless otherwise agreed by the parties in writing. ISS has no obligation to provide support,
maintenance, upgrades, modifications, or new releases to the Software or security content under evaluation. LICENSEE AGREES THAT THE EVALUATION
SOFTWARE, SECURITY CONTENT AND RELATED DOCUMENTATION ARE BEING DELIVERED AS IS FOR TEST AND EVALUATION PURPOSES
ONLY WITHOUT WARRANTIES OF ANY KIND, INCLUDING WITHOUT LIMITATION ANY IMPLIED WARRANTY OF NONINFRINGEMENT,
MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. IN NO EVENT WILL ISS BE LIABLE TO LICENSEE OR ANY OTHER PERSON FOR
DAMAGES, DIRECT OR INDIRECT, OF ANY NATURE, OR EXPENSES INCURRED BY LICENSEE. LICENSEES SOLE AND EXCLUSIVE REMEDY
SHALL BE TO TERMINATE THE EVALUATION LICENSE BY WRITTEN NOTICE TO ISS.
6. Covenants - ISS reserves all intellectual property rights in the Software, security content and Beta Products. Licensee agrees: (i) the Software, security content
or Beta Products is owned by ISS and/or its licensors, is a valuable trade secret of ISS, and is protected by copyright laws and international treaty provisions; (ii)
to take all reasonable precautions to protect the Software, security content or Beta Product from unauthorized access, disclosure, copying or use; (iii) not to
modify, adapt, translate, reverse engineer, decompile, disassemble, or otherwise attempt to discover the source code of the Software, security content or Beta
Product; (iv) not to use ISS trademarks; (v) to reproduce all of ISS and its licensors copyright notices on any copies of the Software, security content or Beta
Product; and (vi) not to transfer, lease, assign, sublicense, or distribute the Software, security content or Beta Product or make it available for time-sharing,
service bureau, managed services offering, or on-line use.
7. Support and Maintenance - Depending upon what maintenance programs Licensee has purchased, ISS will provide maintenance, during the period for which
Licensee has paid the applicable maintenance fees, in accordance with its prevailing Maintenance and Support Policy that is available at http://
documents.iss.net/maintenance_policy.pdf. Any supplemental Software code or related materials that ISS provides to Licensee as part of any support and
maintenance service are to be considered part of the Software and are subject to the terms and conditions of this License, unless otherwise specified.
8. Limited Warranty - The commencement date of this limited warranty is the date on which ISS provides Licensee with access to the Software. For a period of
ninety (90) days after the commencement date or for the Term (whichever is less), ISS warrants that the Software or security content will conform to material
operational specifications described in its then current documentation. However, this limited warranty shall not apply unless (i) the Software or security content is
installed, implemented, and operated in accordance with all written instructions and documentation supplied by ISS, (ii) Licensee notifies ISS in writing of any
nonconformity within the warranty period, and (iii) Licensee has promptly and properly installed all corrections, new versions, and updates made available by ISS
to Licensee. Furthermore, this limited warranty shall not apply to nonconformities arising from any of the following: (i) misuse of the Software or security content,
(ii) modification of the Software or security content, (iii) failure by Licensee to utilize compatible computer and networking hardware and software, or (iv)
interaction with software or firmware not provided by ISS. If Licensee timely notifies ISS in writing of any such nonconformity, then ISS shall repair or replace the
Software or security content or, if ISS determines that repair or replacement is impractical, ISS may terminate the applicable licenses and refund the applicable
license fees, as the sole and exclusive remedies of Licensee for such nonconformity. THIS WARRANTY GIVES LICENSEE SPECIFIC LEGAL RIGHTS, AND
LICENSEE MAY ALSO HAVE OTHER RIGHTS THAT VARY FROM JURISDICTION TO JURISDICTION. ISS DOES NOT WARRANT THAT THE
SOFTWARE OR THE SECURITY CONTENT WILL MEET LICENSEE’S REQUIREMENTS, THAT THE OPERATION OF THE SOFTWARE OR SECURITY
CONTENT WILL BE UNINTERRUPTED OR ERROR-FREE, OR THAT ALL SOFTWARE OR SECURITY CONTENT ERRORS WILL BE CORRECTED.
LICENSEE UNDERSTANDS AND AGREES THAT THE SOFTWARE AND THE SECURITY CONTENT ARE NO GUARANTEE AGAINST UNSOLICITED EMAILS, UNDESIRABLE INTERNET CONTENT, INTRUSIONS, VIRUSES, TROJAN HORSES, WORMS, TIME BOMBS, CANCELBOTS OR OTHER
SIMILAR HARMFUL OR DELETERIOUS PROGRAMMING ROUTINES AFFECTING LICENSEE’S NETWORK, OR THAT ALL SECURITY THREATS AND
VULNERABILITIES, UNSOLICITED E-MAILS OR UNDESIRABLE INTERNET CONTENT WILL BE DETECTED OR THAT THE PERFORMANCE OF THE
SOFTWARE AND SECURITY CONTENT WILL RENDER LICENSEES SYSTEMS INVULNERABLE TO SECURITY BREACHES. THE REMEDIES SET OUT
IN THIS SECTION 8 ARE THE SOLE AND EXCLUSIVE REMEDIES FOR BREACH OF THIS LIMITED WARRANTY.
9. Warranty Disclaimer - EXCEPT FOR THE LIMITED WARRANTY PROVIDED ABOVE, THE SOFTWARE AND SECURITY CONTENT ARE EACH PROVIDED
AS IS AND ISS HEREBY DISCLAIMS ALL WARRANTIES, BOTH EXPRESS AND IMPLIED, INCLUDING IMPLIED WARRANTIES RESPECTING
MERCHANTABILITY, TITLE, NONINFRINGEMENT, AND FITNESS FOR A PARTICULAR PURPOSE. LICENSEE EXPRESSLY ACKNOWLEDGES THAT
NO REPRESENTATIONS OTHER THAN THOSE CONTAINED IN THIS LICENSE HAVE BEEN MADE REGARDING THE GOODS OR SERVICES TO BE
PROVIDED HEREUNDER, AND THAT LICENSEE HAS NOT RELIED ON ANY REPRESENTATION NOT EXPRESSLY SET OUT IN THIS LICENSE.
10. Proprietary Rights - ISS represents and warrants that ISS has the authority to license the rights to the Software and security content that are granted herein. ISS
shall defend and indemnify Licensee from any final award of costs and damages against Licensee for any actions based on infringement of any U.S. copyright,
trade secret, or patent as a result of the use or distribution of a current, unmodified version of the Software and security content, but only if ISS is promptly
notified in writing of any such suit or claim, and only if Licensee permits ISS to defend, compromise, or settle same, and only if Licensee provides all available
information and reasonable assistance. In any such suit, if the use of the alleged infringing intellectual property is held to constitute an infringement and is
enjoined, or if in light of any claim, ISS deems it reasonably advisable to do so, ISS may at ISS sole option: (i) procure the right to continue the use of such
Software and security content for Licensee; (ii) replace or modify such Software and security content in a manner such that such Software and security content
are free of the infringement claim; or (iii) require Licensee to return the same to ISS and ISS shall refund the fees paid for the affected Software, security content
or portion thereof, less amortization for use (A) on a straight line basis over a period of three (3) years from the effective date of the applicable order for a
perpetual license, or (B) on a straight line basis over the subscription term for a term license. The foregoing is the exclusive remedy of Licensee and states the
entire liability of ISS with respect to claims of infringement or misappropriation relating to the Software and security content.
11. Limitation of Liability - ISS’ ENTIRE LIABILITY FOR MONETARY DAMAGES ARISING OUT OF THIS LICENSE SHALL BE LIMITED TO THE AMOUNT OF
THE LICENSE FEES ACTUALLY PAID BY LICENSEE UNDER THIS LICENSE, PRORATED OVER A THREE-YEAR TERM FROM THE DATE LICENSEE
RECEIVED THE SOFTWARE. OR SECURITY CONTENT, AS APPLICABLE, IN NO EVENT SHALL ISS BE LIABLE TO LICENSEE UNDER ANY THEORY
INCLUDING CONTRACT AND TORT (INCLUDING NEGLIGENCE AND STRICT PRODUCTS LIABILITY) FOR ANY SPECIAL, PUNITIVE, INDIRECT,
INCIDENTAL OR CONSEQUENTIAL DAMAGES, INCLUDING, BUT NOT LIMITED TO, COSTS OF PROCUREMENT OF SUBSTITUTE GOODS OR
SERVICES, DAMAGES FOR LOST PROFITS, LOSS OF DATA, LOSS OF USE, OR COMPUTER HARDWARE MALFUNCTION, EVEN IF ISS HAS BEEN
ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.
12. Termination - Licensee may terminate this License at any time by notifying ISS in writing. All rights granted under this License will terminate immediately, without
prior written notice from ISS, at the end of the term of the License, if not perpetual. If Licensee fails to comply with any provisions of this License, ISS may
immediately terminate this License if such default has not been cured within ten (10) days following written notice of default to Licensee. Upon termination or
expiration of a license for Software, Licensee shall cease all use of such Software, including Software pre-installed on ISS hardware, and destroy all copies of the
Software and associated documentation. Termination of this License shall not relieve Licensee of its obligation to pay all fees incurred prior to such termination
and shall not limit either party from pursuing any other remedies available to it.
13. General Provisions - This License, together with the identification of the Software and/or security content, pricing and payment terms stated in the applicable ISS
quotation and Licensee purchase order (if applicable) as accepted by ISS, constitute the entire agreement between the parties respecting its subject matter.
Standard and other additional terms or conditions contained in any purchase order or similar document are hereby expressly rejected and shall have no force or
effect. If Licensee has not already downloaded the Software, security content and documentation, then it is available for download at http://www.iss.net/
download/. All ISS hardware with pre-installed Software and any other products not delivered by download are delivered f.o.b. origin. This License will be
governed by the substantive laws of the State of Georgia, USA, excluding the application of its conflicts of law rules. This License will not be governed by the
United Nations Convention on Contracts for the International Sale of Goods, the application of which is expressly excluded. If any part of this License is found
void or unenforceable, it will not affect the validity of the balance of the License, which shall remain valid and enforceable according to its terms. This License
may only be modified in writing signed by an authorized officer of ISS.
14. Notice to United States Government End Users - Licensee acknowledges that any Software and security content furnished under this License is commercial
computer software and any documentation is commercial technical data developed at private expense and is provided with RESTRICTED RIGHTS. Any use,
modification, reproduction, display, release, duplication or disclosure of this commercial computer software by the United States Government or its agencies is
subject to the terms, conditions and restrictions of this License in accordance with the United States Federal Acquisition Regulations at 48 C.F.R. Section 12.212
and DFAR Subsection 227.7202-3 and Clause 252.227-7015 or applicable subsequent regulations. Contractor/manufacturer is Internet Security Systems, Inc.,
6303 Barfield Road, Atlanta, GA 30328, USA.
15. Export and Import Controls; Use Restrictions - Licensee will not transfer, export, or reexport the Software, security content, Beta Products, any related
technology, or any direct product of either except in full compliance with the export controls administered by the United States and other countries and any
applicable import and use restrictions. Licensee agrees that it will not export or reexport such items to anyone on the U.S. Treasury Department’s list of Specially
Designated Nationals or the U.S. Commerce Department’s Denied Persons List or Entity List or such additional lists as may be issued by the U.S. Government
from time to time, or to any country to which the United States has embargoed the export of goods or for use with chemical or biological weapons, sensitive
nuclear end-uses, or missiles. Licensee represents and warrants that it is not located in, under control of, or a national or resident of any such country or on any
such list. Many ISS software products include encryption and export outside of the United States or Canada is strictly controlled by U.S. laws and regulations.
ISS makes its current export classification information available at http://www.iss.net/export. Please contact ISS’ Sourcing and Fulfillment for export questions
relating to the Software or security content ([email protected]). Licensee understands that the foregoing obligations are U.S. legal requirements and agrees that
they shall survive any term or termination of this License.
16. Authority - Because the Software is designed to test or monitor the security of computer network systems and may disclose or create problems in the operation
of the systems tested, Licensee and the persons acting for Licensee represent and warrant that: (a) they are fully authorized by the Licensee and the owners of
the computer network for which the Software is licensed to enter into this License and to obtain and operate the Software in order to test and monitor that
computer network; (b) the Licensee and the owners of that computer network understand and accept the risks involved; and (c) the Licensee shall procure and
use the Software in accordance with all applicable laws, regulations and rules.
17. Disclaimers - Licensee acknowledges that some of the Software and security content is designed to test the security of computer networks and may disclose or
create problems in the operation of the systems tested. Licensee further acknowledges that neither the Software nor security content is fault tolerant or designed
or intended for use in hazardous environments requiring fail-safe operation, including, but not limited to, aircraft navigation, air traffic control systems, weapon
systems, life-support systems, nuclear facilities, or any other applications in which the failure of the Software and security content could lead to death or personal
injury, or severe physical or property damage. ISS disclaims any implied warranty of fitness for High Risk Use. Licensee accepts the risk associated with the
foregoing disclaimers and hereby waives all rights, remedies, and causes of action against ISS and releases ISS from all liabilities arising therefrom.
18. Confidentiality - “Confidential Information” means all information proprietary to a party or its suppliers that is marked as confidential. Each party acknowledges
that during the term of this Agreement, it will be exposed to Confidential Information of the other party. The obligations of the party (“Receiving Party”) which
receives Confidential Information of the other party (“Disclosing Party”) with respect to any particular portion of the Disclosing Party’s Confidential Information
shall not attach or shall terminate when any of the following occurs: (i) it was in the public domain or generally available to the public at the time of disclosure to
the Receiving Party, (ii) it entered the public domain or became generally available to the public through no fault of the Receiving Party subsequent to the time of
disclosure to the Receiving Party, (iii) it was or is furnished to the Receiving Party by a third parting having the right to furnish it with no obligation of confidentiality
to the Disclosing Party, or (iv) it was independently developed by the Receiving Party by individuals not having access to the Confidential Information of the
Disclosing Party. Each party acknowledges that the use or disclosure of Confidential Information of the Disclosing Party in violation of this License could severely
and irreparably damage the economic interests of the Disclosing Party. The Receiving Party agrees not to disclose or use any Confidential Information of the
Disclosing Party in violation of this License and to use Confidential Information of the Disclosing Party solely for the purposes of this License. Upon demand by
the Disclosing Party and, in any event, upon expiration or termination of this License, the Receiving Party shall return to the Disclosing Party all copies of the
Disclosing Party’s Confidential Information in the Receiving Party’s possession or control and destroy all derivatives and other vestiges of the Disclosing Party’s
Confidential Information obtained or created by the Disclosing Party. All Confidential Information of the Disclosing Party shall remain the exclusive property of
the Disclosing Party.
19. Compliance - From time to time, ISS may request Licensee to provide a certification that the Software and security content is being used in accordance with the
terms of this License. If so requested, Licensee shall verify its compliance and deliver its certification within forty-five (45) days of the request. The certification
shall state Licensees compliance or non-compliance, including the extent of any non-compliance. ISS may also, at any time, upon thirty (30) days prior written
notice, at its own expense appoint a nationally recognized software use auditor, to whom Licensee has no reasonable objection, to audit and examine use and
records at Licensee offices during normal business hours, solely for the purpose of confirming that Licensees use of the Software and security content is in
compliance with the terms of this License. ISS will use commercially reasonable efforts to have such audit conducted in a manner such that it will not
unreasonably interfere with the normal business operations of Licensee. If such audit should reveal that use of the Software or security content has been
expanded beyond the scope of use and/or the number of authorized devices or Licensee certifies such non-compliance, ISS shall have the right to charge
Licensee the applicable current list prices required to bring Licensee in compliance with its obligations hereunder with respect to its current use of the Software
and security content. In addition to the foregoing, ISS may pursue any other rights and remedies it may have at law, in equity or under this License.
20. Data Protection - The data needed to process this transaction will be stored by ISS and may be forwarded to companies affiliated with ISS and possibly to
Licensees vendor within the framework of processing Licensees order. All personal data will be treated confidentially.
Revised October 7, 2005.