1. No category

この章

CHAPTER
59
AIP SSM と SSC での IPS アプリケーション
の設定
この章では、Advanced Inspection and Prevention Security Services Module(AIP SSM)または
Advanced Inspection and Prevention Security Security Services Card(AIP SSC)で実行される IPS ア
プリケーションを設定する方法を説明します。
(注)
SSC は ASA 5505 でサポートされます。どのモデルが SSM をサポートするかの詳細については、「モ
デルごとの SSM および SSC サポート」(P.1-1)を参照してください。
この章には、次の項があります。
• 「AIP SSM と SSC に関する情報」(P.59-1)
• 「AIP SSM/SSC のライセンス要件」(P.59-4)
• 「ガイドラインと制限事項」(P.59-5)
• 「AIP SSM/SSC の設定」(P.59-5)
• 「AIP SSM/SSC の監視」(P.59-11)
• 「AIP SSM/SSC の設定例」(P.59-11)
• 「AIP SSM/SSC の機能履歴」(P.59-12)
AIP SSM と SSC に関する情報
ASA 5500 シリーズ適応型セキュリティ アプライアンスに AIP SSM/SSC をインストールできます。
AIP SSM/SSC は、予防的なフル機能の侵入防御サービスを提供する高度な IPS ソフトウェアを実行
し、ワームやネットワーク ウイルスなどの悪意のあるトラフィックがネットワークに影響を与える前
に、これらを阻止します。この項は、次の内容で構成されています。
• 「AIP SSM/SSC と適応型セキュリティ アプライアンスの連携のしくみ」(P.59-2)
• 「動作モード」(P.59-2)
• 「仮想センサーの使用(AIP SSM 限定)」(P.59-3)
• 「AIP SSM と AIP SSC の間の相違」(P.59-4)
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
59-1
第 59 章
AIP SSM と SSC での IPS アプリケーションの設定
AIP SSM と SSC に関する情報
AIP SSM/SSC と適応型セキュリティ アプライアンスの連携のしくみ
AIP SSM/SSC は適応型セキュリティ アプライアンスから個別のアプリケーションを実行します。ただ
し、それは適応型セキュリティ アプライアンス トラフィック フローに統合されます。AIP SSM/SSC
には(SSM 上の管理インターフェイスだけを除き)外部インターフェイス自体は含まれません。適応
型セキュリティ アプライアンスで IPS 検査用のトラフィックを識別した場合、トラフィックは適応型
セキュリティ アプライアンスと AIP SSM/SSC を次のように流れます。
1. トラフィックは適応型セキュリティ アプライアンスに入ります。
2. ファイアウォール ポリシーが適用されます。
3. トラフィックはバックプレーンを経由して AIP SSM/SSC に送信されます。
トラフィックのコピーだけを AIP SSM/SSC に送信する方法については、「動作モード」(P.59-2)
を参照してください。
4. AIP SSM/SSC はそのセキュリティ ポリシーをトラフィックに適用し、適切なアクションを実行し
ます。
5. 有効なトラフィックがバックプレーンを経由して適応型セキュリティ アプライアンスに戻されま
す。AIP SSM/SSC は、セキュリティ ポリシーに従って、一部のトラフィックをブロックし、ブ
ロックされたトラフィックは渡されません。
6. VPN ポリシーが適用されます(設定されている場合)。
7. トラフィックは適応型セキュリティ アプライアンスから出ます。
図 59-1 は、AIP SSM/SSC がインライン モードで実行されているときのトラフィック フローを示して
います。この例では、AIP SSM/SSC が攻撃と見なしたトラックは、自動的にブロックされています。
それ以外のトラフィックは、適応型セキュリティ アプライアンスを通って転送されます。
図 59-1
適応型セキュリティ アプライアンスにおける AIP SSM/SSC トラフィック フロー:インライン
モード
ǻǭȥȪȆǣ ǢȗȩǤǢȳǹ
ȡǤȳ ǷǹȆȠ
ౝㇱ
VPN
ࡐ࡝ࠪ࡯
ࡈࠔࠗࠕ࠙ࠜ࡯࡞
ᄖㇱ
ࡐ࡝ࠪ࡯
⺃ዉߐࠇࠆ࠻࡜ࡈࠖ࠶ࠢ
ࡃ࠶ࠢࡊ࡟࡯ࡦ
ࡉࡠ࠶ࠢ
AIP SSM/SSC
251157
IPS ࠗࡦࠬࡍ࡚ࠢࠪࡦ
動作モード
次のいずれかのモードを使用して、トラフィックを AIP SSM/SSC に送信できます。
• インライン モード:このモードは AIP SSM/SSC をトラフィック フローに直接配置します
(図 59-1 を参照)。IPS 検査対象と認識されたトラフィックは、まず AIP SSM/SSC に渡されて検
査を受けないと、適応型セキュリティ アプライアンスを通過することはできません。検査対象と
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
59-2
OL-18970-01-J
第 59 章
AIP SSM と SSC での IPS アプリケーションの設定
AIP SSM と SSC に関する情報
認識されたすべてパケットは通過する前に分析されるため、このモードは最もセキュアです。ま
た、AIP SSM/SSC はパケット単位のブロック ポリシーを実装できます。ただし、このモードは、
スループットに影響を与えることがあります。
• 無差別モード:このモードでは、トラフィックの重複ストリームが AIP SSM/SSC に送信されま
す。このモードは安全性では劣りますが、トラフィックのスループットにほとんど影響を与えませ
ん。インライン モードとは異なり、無差別モードでは、AIP SSM/SSC は、適応型セキュリティ ア
プライアンスにトラフィックを排除するように指示するか、適応型セキュリティ アプライアンス
の接続をリセットした場合にだけトラフィックをブロックできます。また、AIP SSM/SSC がトラ
フィックを分析している間、AIP SSM/SSC が排除する前に少量のトラフィックが適応型セキュリ
ティ アプライアンスを通過することがあります。図 59-2 は、無差別モードの AIP SSM/SSC を示
しています。この例では、AIP SSM/SSC は、脅威と見なしたトラフィックについての排除メッ
セージを適応型セキュリティ アプライアンスに送信します。
図 59-2
適応型セキュリティ アプライアンスにおける AIP SSM/SSC トラフィック フロー:無差別モード
ǻǭȥȪȆǣ ǢȗȩǤǢȳǹ
ȡǤȳ ǷǹȆȠ
ౝㇱ
VPN
ࡐ࡝ࠪ࡯
ࡈࠔࠗࠕ࠙ࠜ࡯࡞
㒰ᄖ
ࡔ࠶࠮࡯ࠫ
ࡐ࡝ࠪ࡯
ࠦࡇ࡯ߐࠇࠆ࠻࡜ࡈࠖ࠶ࠢ
ᄖㇱ
ࡃ࠶ࠢࡊ࡟࡯ࡦ
AIP SSM/SSC
251158
IPS ᬌᩏ
仮想センサーの使用(AIP SSM 限定)
IPS ソフトウェアのバージョン 6.0 以降を実行している AIP SSM では、複数の仮想センサーを実行で
きます。つまり、AIP SSM に複数のセキュリティ ポリシーを設定することができます。各コンテキス
トまたはシングルモード適応型セキュリティ アプライアンスを 1 つまたは複数の仮想センサーに割り
当てる、または複数のセキュリティ コンテキストを同じ仮想センサーに割り当てることができます。
仮想センターの詳細(サポートされている最大センサー数など)については、IPS のマニュアルを参照
してください。
図 59-3 では、1 つのセキュリティ コンテキストと 1 つの仮想センター(インライン モード)がペアに
なり、2 つのセキュリティ コンテキストが同じ仮想センサーを共有しています。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
59-3
第 59 章
AIP SSM と SSC での IPS アプリケーションの設定
AIP SSM/SSC のライセンス要件
図 59-3
セキュリティ コンテキストと仮想センサー
ǻǭȥȪȆǣ ǢȗȩǤǢȳǹ
ࠦࡦ࠹ࠠࠬ࠻
1
ȡǤȳ ǷǹȆȠ
ࠦࡦ࠹ࠠࠬ࠻
2
ࠦࡦ࠹ࠠࠬ࠻
3
࠮ࡦࠨ࡯
1
251160
࠮ࡦࠨ࡯
2
AIP SSM/SSC
図 59-4 では、シングルモードの適応型セキュリティ アプライアンスが複数の仮想センサー(インライン
モード)とペアになっています。定義されている各トラフィック フローは異なるセンサーに進みます。
図 59-4
複数の仮想センサーがあるシングルモードのセキュリティ アプライアンス
ǻǭȥȪȆǣ ǢȗȩǤǢȳǹ
ȡǤȳ ǷǹȆȠ
࠻࡜ࡈࠖ࠶ࠢ 1
࠻࡜ࡈࠖ࠶ࠢ 2
࠮ࡦࠨ࡯
1
࠮ࡦࠨ࡯
2
࠮ࡦࠨ࡯
3
AIP SSM/SSC
251159
࠻࡜ࡈࠖ࠶ࠢ 3
AIP SSM と AIP SSC の間の相違
AIP SSC は ASA 5505 適応型セキュリティ アプライアンスの小規模なオフィスのインストレーション
用に設計されていますが、AIP SSM は ASA 5510 以上のより高度なパフォーマンス要件をサポートし
ます。次の機能は、AIP SSM ではサポートされていますが、AIP SSC ではサポートされていません。
• 仮想センサー
• 異常検出
• デフォルトの無効にした署名の非無効化
AIP SSM/SSC のライセンス要件
次の表に、この機能のライセンス要件を示します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
59-4
OL-18970-01-J
第 59 章
AIP SSM と SSC での IPS アプリケーションの設定
ガイドラインと制限事項
モデル
ライセンス要件
すべてのモデル
基本ライセンス
AIP SSM/SSC の IPS アプリケーションは、署名のアップデートをサポートするために個別の Cisco
Services for IPS ライセンスを必要とします。その他のすべてのアップデートは、ライセンスがなくて
も使用できます。
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
コンテキスト モードのガイドライン
ASA 5505 適応型セキュリティ アプライアンスはマルチコンテキスト モードをサポートしないため、
仮想センサーなどのマルチコンテキスト機能は AIP SSC ではサポートされません。
ファイアウォール モードのガイドライン
ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。
モデルのガイドライン
• SSC は ASA 5505 だけでサポートされます。どのモデルが SSM をサポートするかの詳細について
は、「モデルごとの SSM および SSC サポート」(P.1-1)を参照してください。
• ASA 5505 適応型セキュリティ アプライアンスはマルチコンテキスト モードをサポートしないた
め、仮想センサーなどのマルチコンテキスト機能は AIP SSC ではサポートされません。
AIP SSM/SSC の設定
この項では、AIP SSM と AIP SSC に対して IPS を設定する方法、および次のトピックについて説明し
ます。
• 「AIP SSM/SSC タスクの概要」(P.59-5)
• 「AIP SSM/SSC でのセキュリティ ポリシーの設定」(P.59-6)
• 「セキュリティ コンテキストへの仮想センサーの割り当て(AIP SSM 限定)」(P.59-7)
• 「AIP SSM/SSC へのトラフィックの誘導」(P.59-9)
AIP SSM/SSC タスクの概要
AIP SSM/SSC の設定は、SSM/SSC での IPS ソフトウェアの設定、およびその後の ASA 5500 シリー
ズ適応型セキュリティ アプライアンスの設定を含むプロセスです。AIP SSM/SSC を設定するには、次
の手順を実行します。
ステップ 1
AIP SSM/SSC では、検査と保護ポリシーを設定することにより、トラフィックの検査方法と侵入検出
時の対処を決定します。AIP SSM だけの場合、マルチセンサー モードで AIP SSM を実行する場合は、
各仮想センサーに対する検査と保護ポリシーを設定します。「AIP SSM/SSC でのセキュリティ ポリ
シーの設定」(P.59-6)を参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
59-5
第 59 章
AIP SSM と SSC での IPS アプリケーションの設定
AIP SSM/SSC の設定
ステップ 2
ステップ 3
(AIP SSM 限定)マルチコンテキスト モードの ASA 5500 では、各コンテキストに対してどの IPS 仮
想センサーが使用可能かを指定します(仮想センサーを設定している場合)。「セキュリティ コンテキ
ストへの仮想センサーの割り当て(AIP SSM 限定)」(P.59-7)を参照してください。
ASA 5500 で、AIP SSM/SSC に誘導するトラフィックを識別します。「AIP SSM/SSC へのトラフィッ
クの誘導」(P.59-9)を参照してください。
AIP SSM/SSC でのセキュリティ ポリシーの設定
この項では、AIP SSM/SSC で IPS アプリケーションにアクセスする方法について説明します。
(注)
または、ASDM を使用して AIP SSM/SSC を設定することもできます。詳細については、ASDM のマ
ニュアルを参照してください。
ASDM アクセスとその他の用途に対して SSC 管理インターフェイスを設定するには、「SSC 管理イン
タフェースの設定」(P.58-4)も参照してください。
詳細な手順
ステップ 1
適応型セキュリティ アプライアンスから AIP SSM/SSC へのセッション。「SSM または SSC へのセッ
ション接続」(P.58-6)を参照してください。
ステップ 2
AIP SSM/SSC の初期コンフィギュレーション用のセットアップ ユーティリティを実行するには、次の
コマンドを入力します。
sensor# setup
基本設定を求めるプロンプトが表示されます。
ステップ 3
IPS セキュリティ ポリシーを設定します。
AIP SSM だけの場合は、IPS バージョン 6.0 以降で仮想センサーを設定する場合は、センサーの 1 つを
デフォルトとして指定します。ASA 5500 シリーズ適応型セキュリティ アプライアンスのコンフィギュ
レーションで仮想センサー名を指定しない場合は、デフォルト センサーが使用されます。
AIP SSM/SSC で実行される IPS ソフトウェアは、このマニュアルの対象ではないため、詳細なコン
フィギュレーション情報については、次の IPS のマニュアルを参照してください。
http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/tsd_products_support_series_home.html
ステップ 4
AIP SSM/SSC の設定が完了したら、次のコマンドを入力して IPS ソフトウェアを終了します。
sensor# exit
適応型セキュリティ アプライアンスから AIP SSM/SSC へのセッションを接続した場合は、適応型セ
キュリティ アプライアンスのプロンプトに戻ります。
次の作業
マルチコンテキスト モードの適応型セキュリティ アプライアンスの場合は、「セキュリティ コンテキ
ストへの仮想センサーの割り当て(AIP SSM 限定)」(P.59-7)を参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
59-6
OL-18970-01-J
第 59 章
AIP SSM と SSC での IPS アプリケーションの設定
AIP SSM/SSC の設定
シングルコンテキスト モードの適応型セキュリティ アプライアンスの場合は、「AIP SSM/SSC へのト
ラフィックの誘導」(P.59-9)を参照してください。
セキュリティ コンテキストへの仮想センサーの割り当て(AIP SSM 限定)
適応型セキュリティ アプライアンスがマルチコンテキスト モードにある場合、1 つまたは複数の IPS
仮想センサーを各コンテキストに割り当てることができます。このようにすると、トラフィックを AIP
SSM に送信するようにコンテキストを設定するときに、そのコンテキストに割り当てられているセン
サーを指定できます。そのコンテキストに割り当てられていないセンサーを指定することはできませ
ん。コンテキストにセンサーを割り当てない場合は、AIP SSM に設定されているデフォルト センサー
が使用されます。複数のコンテキストに同じセンサーを割り当てることができます。
(注)
仮想センサーを使用するために、マルチコンテキスト モードにする必要はありません。シングルモー
ドで、トラフィック フローごとに異なるセンサーを使用できます。
前提条件
コンテキストの設定の詳細については、
「セキュリティ コンテキストの設定」
(P.5-17)を参照してくだ
さい。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
59-7
第 59 章
AIP SSM と SSC での IPS アプリケーションの設定
AIP SSM/SSC の設定
詳細な手順
ステップ 1
コマンド
目的
context name
設定するコンテキストを識別します。システム実行スペースにこの
コマンドを入力します。
例:
hostname(config)# context admin
hostname(config-ctx)#
ステップ 2 allocate-ips sensor_name [mapped_name]
[default]
例:
hostname(config-ctx)# allocate-ips
sensor1 highsec
コンテキストに割り当てるセンサーごとに、このコマンドを入力し
ます。
sensor _name 引数は、AIP SSM に設定されているセンサー名です。
AIP SSM に設定されているセンサーを表示するには、allocate-ips ?
と入力します。使用可能なすべてのセンサーが一覧表示されます。
show ips コマンドを入力することもできます。システム実行スペー
スで、show ips コマンドを入力すると、使用可能なすべてのセン
サーが一覧表示されます。このコマンドをコンテキストで入力する
と、そのコンテキストにすでに割り当て済みのセンサーが表示され
ます。AIP SSM にまだ存在しないセンサー名を指定すると、エラー
になりますが、allocate-ips コマンドはそのまま入力されます。AIP
SSM に指定した名前のセンサーを作成するまで、コンテキストはセ
ンサーがダウンしていると見なします。
mapped_name 引数を、実際のセンサー名の代わりにコンテキスト
で使用可能なセンサー名のエイリアスとして使用します。マッピン
グ名を指定しない場合、そのセンサー名がコンテキストで使用され
ます。セキュリティ保護上の目的から、コンテキストでどのセン
サーが使用されているかをコンテキスト管理者に知られないように
することができます。または、コンテキスト コンフィギュレーショ
ンをジェネリクス化することができます。たとえば、すべてのコン
テキストで「sensor1」と「sensor2」という名前のセンサーを使用
する場合、コンテキスト A の sensor1 と sensor2 には「highsec」セ
ンサーと「lowsec」センサーをマップできますが、コンテキスト B
の sensor1 と sensor2 には「medsec」センサーと「lowsec」セン
サーをマップします。
default キーワードは、コンテキストごとに 1 つのセンサーをデフォ
ルトのセンサーとして設定します。コンテキスト コンフィギュレー
ションでセンサー名を指定しない場合、コンテキストではこのデ
フォルト センサーが使用されます。デフォルト センサーは、コンテ
キストごとに 1 つだけ設定できます。デフォルト センサーを変更す
る場合は、no allocate-ips sensor_name コマンドを入力して、現在
のデフォルト センサーを削除してから、新しいデフォルト センサー
を割り当てます。センサーをデフォルトとして指定せず、コンテキ
スト コンフィギュレーションにはセンサー名が含まれていない場
合、トラフィックでは AIP SSM/SSC のデフォルト センサーが使用
されます。
ステップ 3 changeto context context_name
例:
hostname# changeto context customer1
「AIP SSM/SSC へのトラフィックの誘導」(P.59-9)での説明に従っ
て、IPS セキュリティ ポリシーを設定するには各コンテキストに切
り替えます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
59-8
OL-18970-01-J
第 59 章
AIP SSM と SSC での IPS アプリケーションの設定
AIP SSM/SSC の設定
例
次の例では、sensor1 と sensor2 をコンテキスト A に、sensor1 と sensor3 をコンテキスト B に割り当
てます。いずれのコンテキストでもセンサー名を「ips1」と「ips2」にマッピングしています。コンテ
キスト A では、sensor1 はデフォルト センサーとして設定されていますが、コンテキスト B ではデ
フォルト センサーは設定されていないため、AIP SSM で設定されているデフォルトが使用されます。
hostname(config-ctx)#
hostname(config-ctx)#
hostname(config-ctx)#
hostname(config-ctx)#
int3-int8
hostname(config-ctx)#
hostname(config-ctx)#
hostname(config-ctx)#
hostname(config-ctx)#
context A
allocate-interface gigabitethernet0/0.100 int1
allocate-interface gigabitethernet0/0.102 int2
allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115
hostname(config-ctx)#
hostname(config-ctx)#
hostname(config-ctx)#
hostname(config-ctx)#
int3-int8
hostname(config-ctx)#
hostname(config-ctx)#
hostname(config-ctx)#
hostname(config-ctx)#
context sample
allocate-interface gigabitethernet0/1.200 int1
allocate-interface gigabitethernet0/1.212 int2
allocate-interface gigabitethernet0/1.230-gigabitethernet0/1.235
allocate-ips sensor1 ips1 default
allocate-ips sensor2 ips2
config-url ftp://user1:[email protected]/configlets/test.cfg
member gold
allocate-ips sensor1 ips1
allocate-ips sensor3 ips2
config-url ftp://user1:[email protected]/configlets/sample.cfg
member silver
hostname(config-ctx)# changeto context A
...
次の作業
IPS セキュリティ ポリシーを設定するには各コンテキストに切り替えます(「AIP SSM/SSC へのトラ
フィックの誘導」(P.59-9)で説明されています)。
AIP SSM/SSC へのトラフィックの誘導
この項では、適応型セキュリティ アプライアンスから AIP SSM/SSC に誘導するトラフィックを識別
します。
前提条件
マルチコンテキスト モードでは、各コンテキスト実行スペースでこれらの手順を実行します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
59-9
第 59 章
AIP SSM と SSC での IPS アプリケーションの設定
AIP SSM/SSC の設定
詳細な手順
ステップ 1
コマンド
目的
class-map name
AIP SSM/SSC に送信するトラフィックを特定するためのクラス
例:
hostname(config)# class-map ips_class
ステップ 2 match parameter
例:
hostname(config-cmap)# match access-list
ips_traffic
ステップ 3 policy-map name
例:
hostname(config)# policy-map ips_policy
ステップ 4 class name
マップを作成します。
AIP SSM/SSC に複数のトラフィック クラスを送信する場合は、
セキュリティ ポリシーで使用するための複数のクラスマップを
作成できます。
クラスマップのトラフィックを指定します。詳細については、
「トラフィックの特定(レイヤ 3/4 クラスマップ)」(P.9-13)を
参照してください。
クラスマップ トラフィックで実行するアクションを設定するポ
リシーマップを追加または編集します。
ステップ 1 で作成したクラスマップを識別します。
例:
hostname(config-pmap)# class ips_class
ステップ 5 ips {inline | promiscuous} {fail-close |
fail-open} [sensor {sensor_name |
mapped_name}]
例:
hostname(config-pmap-c)# ips promiscuous
fail-close
トラフィックが AIP SSM/SSC に送信されるように指定します。
inline キーワードと promiscuous キーワードは、AIP SSM/SSC
の動作モードを制御します。詳細については、「動作モード」
(P.59-2)を参照してください。
fail-close キーワードは、AIP SSM/SSC が使用できない場合は
すべてのトラフィックをブロックするように、適応型セキュリ
ティ アプライアンスを設定します。
fail-open キーワードは、AIP SSM/SSC が使用できない場合は
すべてのトラフィックを検査なしで通過させるように、適応型
セキュリティ アプライアンスを設定します。
AIP SSM だけで仮想センサーを使用する場合は、sensor
sensor_name 引数を使用してセンサー名を指定できます。使用
可能なセンサー名を表示するには、ips ... sensor ? コマンドを入
力します。使用可能なセンサーが一覧表示されます。show ips
コマンドを使用することもできます。適応型セキュリティ アプ
ライアンスでマルチコンテキスト モードを使用する場合、コン
テキストに割り当てたセンサーだけを指定できます(「セキュリ
ティ コンテキストへの仮想センサーの割り当て(AIP SSM 限
定)」(P.59-7)を参照)。コンテキストで設定されている場合は、
mapped_name を使用します。センサー名を指定しない場合、ト
ラフィックではデフォルト センサーが使用されます。マルチコ
ンテキスト モードでは、デフォルト センサーをコンテキストに
指定できます。シングルモードの場合、またはマルチモードで
デフォルト センサーを指定しない場合、トラフィックでは AIP
SSM で設定されているデフォルト センサーが使用されます。
AIP SSM にまだ存在しない名前を入力すると、エラーになり、
コマンドは拒否されます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
59-10
OL-18970-01-J
第 59 章
AIP SSM と SSC での IPS アプリケーションの設定
AIP SSM/SSC の監視
コマンド
目的
ステップ 6 (オプション)
IPS トラフィックに複数のクラスマップを作成した場合、ポリ
シーに対して別のクラスを指定できます。
class name2
例:
hostname(config-pmap)# class ips_class2
ステップ 7 (オプション)
ips {inline | promiscuous} {fail-close |
fail-open} [sensor {sensor_name |
mapped_name}]
ポリシーマップ内でのクラスの順番が重要であることの詳細に
ついては、「レイヤ 3/4 ポリシーマップに関する情報」(P.9-5)
を参照してください。トラフィックを同じアクション タイプの
複数のクラスマップに一致させることはできません。そのため、
ネットワーク A を sensorA に進ませ、それ以外のすべてのトラ
フィックを sensorB に進ませる場合、まずネットワーク A に対
して class コマンドを入力してから、すべてのトラフィックに対
して class コマンドを入力する必要があります。このようにしな
いと、ネットワーク A を含むすべてのトラフィックが最初の
class コマンドに一致して、sensorB に送信されます。
トラフィックの 2 番目のクラスが AIP SSM/SSC に送信されるよ
うに指定します。
例:
hostname(config-pmap-c)# ips promiscuous
fail-close
ステップ 8 service-policy policymap_name {global |
interface interface_name}
例:
hostname(config)# service-policy
tcp_bypass_policy outside
1 つまたは複数のインターフェイスでポリシーマップをアクティ
ブにします。global はポリシーマップをすべてのインターフェ
イスに適用し、interface は 1 つのインターフェイスに適用しま
す。グローバル ポリシーは 1 つしか適用できません。インター
フェイスのグローバル ポリシーは、そのインターフェイスに
サービス ポリシーを適用することで上書きできます。各イン
ターフェイスには、ポリシーマップを 1 つだけ適用できます。
AIP SSM/SSC の監視
「SSM と SSC の監視」(P.58-9)を参照してください。
AIP SSM/SSC の設定例
次の例では、すべての IP トラフィックが AIP SSM/SSC に無差別モードで誘導され、何らかの理由で
AIP SSM/SSC カードに障害が発生した場合はすべての IP トラフィックがブロックされます。
hostname(config)# access-list IPS permit ip any any
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list IPS
hostname(config-cmap)# policy-map my-ips-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips promiscuous fail-close
hostname(config-pmap-c)# service-policy my-ips-policy global
次の例では、10.1.1.0 ネットワークと 10.2.1.0 ネットワーク宛てのすべての IP トラフィックが AIP
SSM にインライン モードで誘導され、何らかの理由で AIP SSM に障害が発生した場合は、すべての
トラフィックの通過が許可されます。my-ips-class トラフィックには sensor1 が使用され、
my-ips-class2 トラフィックには sensor2 が使用されます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
59-11
第 59 章
AIP SSM と SSC での IPS アプリケーションの設定
AIP SSM/SSC の機能履歴
hostname(config)# access-list my-ips-acl permit ip any 10.1.1.0 255.255.255.0
hostname(config)# access-list my-ips-acl2 permit ip any 10.2.1.0 255.255.255.0
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list my-ips-acl
hostname(config)# class-map my-ips-class2
hostname(config-cmap)# match access-list my-ips-acl2
hostname(config-cmap)# policy-map my-ips-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips inline fail-open sensor sensor1
hostname(config-pmap)# class my-ips-class2
hostname(config-pmap-c)# ips inline fail-open sensor sensor2
hostname(config-pmap-c)# service-policy my-ips-policy interface outside
AIP SSM/SSC の機能履歴
表 59-1 に、この機能のリリース履歴の一覧を示します。
表 59-1
AIP SSM/SSC の機能履歴
機能名
リリース
AIP SSM
7.0(1)
機能情報
AIP SSM が導入されました。ips コマンドが導入されまし
た。
仮想センサー
8.0(2)
仮想センサーのサポートが導入されました。仮想センサー
を使用すると AIP SSM で複数のセキュリティ ポリシーを
設定できます。allocate-ips コマンドが導入されました。
ASA 5505 用 AIP SSC
8.2(1)
AIP SSC が導入されました。allow-ssc-mgmt、
hw-module module ip、および hw-module module
allow-ip コマンドが導入されました。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
59-12
OL-18970-01-J

 Download  Report

Paperzz.com

Your Paperzz

© Copyright 2026 Paperzz