この章

CHAPTER
54
ボットネットトラフィックフィルタの設定
マルウェアは、ホストが認識していないときにインストールされる悪意のあるソフトウェアです。プラ
イベートデータ（パスワード、クレジットカード番号、キーストローク、または独自データ）の送信
などのネットワークアクティビティを試みるマルウェアは、マルウェアが既知の不正な IP アドレスへ
の接続を開始したときにボットネットトラフィックフィルタによって検出できます。ボットネットト
ラフィックフィルタは、着信と発信の接続を既知の不正なドメイン名と IP アドレス（ブラックリス
ト）のダイナミックデータベースと照合して確認し、不審なアクティビティのログを記録します。マ
ルウェアアクティビティに関する syslog メッセージを確認すると、ホストを切り離して感染を解決す
るための手順を実行できます。
また、ブラックリストアドレスを選択してスタティックブラックリストに追加することで、Cisco ダ
イナミックデータベースを補完できます。ブラックリストに記載すべきでないと考えられるアドレス
が Cisco ダイナミックデータベースに含まれている場合は、それらのアドレスをスタティックホワイ
トリストに手動で入力できます。ホワイトリストにアドレスを入力した場合でも、それらのアドレスに
関する syslog メッセージは依然として生成されます。ただし、ターゲットになるのはブラックリスト
syslog メッセージだけであるため、これは単なる情報提供に過ぎません。
（注）
内部要件のために Cisco ダイナミックデータベースを使用しない場合は、スタティックブラックリス
トだけを使用することもできます（ターゲットにするマルウェアサイトをすべて特定できる場合）。
この章では、ボットネットトラフィックフィルタを設定する方法について説明します。この章は、次
の項で構成されています。
• 「ボットネットトラフィックフィルタに関する情報」（P.54-2）
• 「ボットネットトラフィックフィルタのライセンス要件」（P.54-6）
• 「ガイドラインと制限事項」（P.54-6）
• 「デフォルト設定」（P.54-6）
• 「ボットネットトラフィックフィルタの設定」（P.54-6）
• 「ボットネットトラフィックフィルタの監視」（P.54-15）
• 「ボットネットトラフィックフィルタの設定例」（P.54-17）
• 「関連情報」（P.54-19）
• 「ボットネットトラフィックフィルタの機能履歴」（P.54-19）
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
54-1
第 54 章
ボットネットトラフィックフィルタの設定
ボットネットトラフィックフィルタに関する情報
ボットネットトラフィックフィルタに関する情報
この項では、ボットネットトラフィックフィルタについて説明します。次の項目について説明します。
• 「ボットネットトラフィックフィルタのアドレスカテゴリ」（P.54-2）
• 「既知のアドレスに対するボットネットトラフィックフィルタのアクション」（P.54-2）
• 「ボットネットトラフィックフィルタのデータベース」（P.54-2）
• 「ボットネットトラフィックフィルタの動作」（P.54-5）
ボットネットトラフィックフィルタのアドレスカテゴリ
ボットネットトラフィックフィルタの監視対象のアドレスは次のとおりです。
• 既知のマルウェアアドレス：ダイナミックデータベースおよびスタティックブラックリストで識
別されるブラックリストに記載されているアドレス。
• 既知の許可アドレス：ホワイトリストに記載されているアドレス。ホワイトリストに記載するアド
レスは、ダイナミックデータベースのブラックリストに記載されていて、スタティックホワイト
リストで識別されるアドレスである必要があります。
• あいまいなアドレス：ブラックリストに記載されていないドメイン名を 1 つ以上含む複数のドメイ
ン名に関連付けられているアドレス。これらのアドレスはグレーリストに記載されます。
• リストに記載されていないアドレス：どのリストにも記載されていない不明アドレス。
既知のアドレスに対するボットネットトラフィックフィルタのアクション
リストに記載されていないアドレスについては、syslog メッセージは生成されません。ただし、ブ
ラックリスト、ホワイトリスト、およびグレーリストに記載されているアドレスについては、タイプ別
の syslog メッセージが生成されます。詳細については、「ボットネットトラフィックフィルタの
Syslog メッセージ」（P.54-15）を参照してください。
（注）
ボットネットトラフィックフィルタでは、トラフィックは自動的にブロックされません。ただし、既
知の不正な宛先へのトラフィックを拒否するアクセスリストを設定するか、shun コマンドを使用する
ことにより、必要に応じてトラフィックを手動でブロックできます。
ボットネットトラフィックフィルタのデータベース
ボットネットトラフィックフィルタでは、既知のアドレスについて 2 つのデータベースが使用されま
す。両方のデータベースを使用するか、ダイナミックデータベースをディセーブルにしてスタティッ
クデータベースだけを使用することができます。この項は、次の内容で構成されています。
• 「ダイナミックデータベースに関する情報」（P.54-3）
• 「スタティックデータベースに関する情報」（P.54-3）
• 「DNS 逆ルックアップキャッシュと DNS ホストキャッシュに関する情報」（P.54-4）
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
54-2
OL-18970-01-J
第 54 章
ボットネットトラフィックフィルタの設定
ボットネットトラフィックフィルタに関する情報
ダイナミックデータベースに関する情報
ボットネットトラフィックフィルタでは、Cisco アップデートサーバからダイナミックデータベース
の定期アップデートを受け取ることができます。このデータベースには、数千もの既知の不正なドメイ
ン名と IP アドレスが含まれています。
適応型セキュリティアプライアンスは、このダイナミックデータベースを次のように使用します。
1. DNS 応答のドメイン名とダイナミックデータベースのドメイン名が一致した場合、ボットネット
トラフィックフィルタは、このドメイン名と IP アドレスを DNS 逆ルックアップキャッシュに追
加します。
2. 感染したホストがマルウェアサイトの IP アドレスへの接続を開始した場合、適応型セキュリティ
アプライアンスは、疑わしいアクティビティを通知する syslog メッセージを送信します。
3. 場合によっては、IP アドレス自体がダイナミックデータベースで提供され、ボットネットトラ
フィックフィルタが DNS 要求を検査せずに、その IP アドレスへのすべてのトラフィックをログ
に記録することがあります。
データベースファイルは、フラッシュメモリではなく実行中のメモリに保存されます。データベース
を削除する必要がある場合は、代わりに dynamic-filter database purge コマンドを使用します。最初
に no dynamic-filter use-database コマンドを入力して、データベースの使用をディセーブルにしてく
ださい。
（注）
データベースを使用するには、適応型セキュリティアプライアンス用のドメインネームサーバを設定
して、適応型セキュリティアプライアンスが URL にアクセスできるようにしてください。
ダイナミックデータベースでドメイン名を使用するには、DNS パケット検査とボットネットトラ
フィックフィルタスヌーピングをイネーブルにする必要があります。適応型セキュリティアプライア
ンスは、ドメイン名とそれに関連付けられている IP アドレスを DNS パケット内から検出します。
スタティックデータベースに関する情報
不正な名前と見なすドメイン名または IP アドレス（ホストまたはサブネット）をブラックリストに手
動で入力できます。また、ホワイトリストに名前または IP アドレスを入力して、ダイナミックブラッ
クリストとホワイトリストの両方に表示される名前または IP アドレスが、syslog メッセージおよびレ
ポートでホワイトリストアドレスとしてだけ識別されるようにすることもできます。
スタティックデータベースにドメイン名を追加した場合、適応型セキュリティアプライアンスは、1
分間待機してからそのドメイン名の DNS 要求を送信し、ドメイン名と IP アドレスの組を DNS ホスト
キャッシュに追加します（このアクションはバックグラウンドプロセスで、適応型セキュリティアプ
ライアンスの設定の続行に影響しません）。
適応型セキュリティアプライアンス用のドメインネームサーバを設定していないか、ドメインネーム
サーバが使用できない場合は、代わりに DNS パケット検査とボットネットトラフィックフィルタス
ヌーピングをイネーブルにすることができます。DNS スヌーピングをイネーブルにすると、感染した
ホストがスタティックデータベースに記載されている名前の DNS 要求を送信したときに、適応型セ
キュリティアプライアンスがドメイン名とそれに関連付けられている IP アドレスを DNS パケット内
から検出し、その名前と IP アドレスを DNS 逆ルックアップキャッシュに追加します。
DNS 逆ルックアップキャッシュと DNS ホストキャッシュに関する情報
DNS スヌーピングがイネーブルになっているダイナミックデータベースを使用する場合、エントリは
DNS 逆ルックアップキャッシュに追加されます。スタティックデータベースを使用する場合、エント
リは DNS ホストキャッシュに追加されます（DNS スヌーピングがイネーブルになっているスタ
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
54-3
第 54 章
ボットネットトラフィックフィルタの設定
ボットネットトラフィックフィルタに関する情報
ティックデータベースと DNS 逆ルックアップキャッシュの使用方法については、
「スタティックデー
タベースに関する情報」（P.54-3）を参照してください）。
DNS 逆ルックアップキャッシュと DNS ホストキャッシュのエントリには、DNS サーバによって提供
される time to live（TTL; 存続可能時間）値があります。許容される最大 TTL 値は 1 日（24 時間）で
す。DNS サーバによって提供された TTL がこれより大きい場合は、TTL が 1 日以下に切り詰められま
す。
DNS 逆ルックアップキャッシュの場合、エントリがタイムアウトすると、感染したホストが既知のア
ドレスへの接続を開始して DNS スヌーピングが発生したときに、適応型セキュリティアプライアンス
がエントリを更新します。
DNS ホストキャッシュの場合、エントリがタイムアウトすると、適応型セキュリティアプライアンス
がエントリの更新を定期的に要求します。
DNS ホストキャッシュの場合、ブラックリストエントリとホワイトリストエントリの最大数はそれ
ぞれ 1000 です。
表 54-1 に、モデル別の DNS 逆ルックアップキャッシュの最大エントリ数を示します。
表 54-1
モデル別の DNS 逆ルックアップキャッシュエントリ
ASA モデル
ASA 5505
5000
ASA 5510
10,000
ASA 5520
20,000
ASA 5540
40,000
ASA 5550
40,000
ASA 5580
100,000
最大エントリ
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
54-4
OL-18970-01-J
第 54 章
ボットネットトラフィックフィルタの設定
ボットネットトラフィックフィルタに関する情報
ボットネットトラフィックフィルタの動作
図 1 に、DNS 検査とボットネットトラフィックフィルタスヌーピングがイネーブルになっているダ
イナミックデータベースを使用した場合のボットネットトラフィックフィルタの動作を示します。
図 1
ダイナミックデータベースを使用した場合のボットネットトラフィックフィルタの動作
ǻǭȥȪȆǣ ǢȗȩǤǢȳǹ
DNS
ㅒ࡞࠶ࠢࠕ࠶ࡊ
ࠠࡖ࠶ࠪࡘ
DNS ⷐ᳞㧦
1
bad.example.com
࠳ࠗ࠽ࡒ࠶ࠢ
࠺࡯࠲ࡌ࡯ࠬ
2a. ㅊട
3a. ৻⥌ߒߡ޿ࠆ߆?
DNS ࠨ࡯ࡃ
1a. ৻⥌ߒߡ޿ࠆ߆?
DNS ǹȌȸȔȳǰ
2
DNS ᔕ╵㧦
209.165.201.3
ࠗࡦ࠲࡯ࡀ࠶࠻
Syslog ࠨ࡯ࡃ
ȜȃȈȍȃȈ Ȉȩȕǣȃǯ
ȕǣȫǿ
3b. ㅍା
Syslog ࡔ࠶࠮࡯ࠫ
ࡑ࡞࠙ࠚࠕߩࡎ࡯ࡓ ࠨࠗ࠻
209.165.201.3
251169
ធ⛯వ㧦
ᗵᨴߒߚ 3
209.165.201.3
ࡎࠬ࠻
図 2 に、スタティックデータベースを使用した場合のボットネットトラフィックフィルタの動作を示
します。
図 2
スタティックデータベースを使用した場合のボットネットトラフィックフィルタの動作
ǻǭȥȪȆǣ ǢȗȩǤǢȳǹ
DNS
ࡎࠬ࠻ ࠠࡖ࠶ࠪࡘ 2a. ㅊട
3a. ৻⥌ߒߡ޿ࠆ߆?
ធ⛯వ㧦
3
209.165.201.3
ᗵᨴߒߚ
ࡎࠬ࠻
ࠬ࠲࠹ࠖ࠶ࠢ
࠺࡯࠲ࡌ࡯ࠬ
1
ࠛࡦ࠻࡝ߩㅊട㧦
bad.example.com
DNS ࠨ࡯ࡃ
1a. DNS ⷐ᳞㧦
bad.example.com
2
ࠗࡦ࠲࡯ࡀ࠶࠻
DNS ᔕ╵㧦
209.165.201.3
Syslog ࠨ࡯ࡃ
3b. ㅍା
Syslog ࡔ࠶࠮࡯ࠫ
ࡑ࡞࠙ࠚࠕߩࡎ࡯ࡓ ࠨࠗ࠻
209.165.201.3
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
54-5
251170
ȜȃȈȍȃȈ Ȉȩȕǣȃǯ
ȕǣȫǿ
第 54 章
ボットネットトラフィックフィルタの設定
ボットネットトラフィックフィルタのライセンス要件
ボットネットトラフィックフィルタのライセンス要件
次の表に、この機能のライセンス要件を示します。
モデル
ライセンス要件
すべてのモデル
ボットネットトラフィックフィルタライセンス。
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
コンテキストモードのガイドライン
シングルコンテキストモードとマルチコンテキストモードでサポートされています。
ファイアウォールモードのガイドライン
ルーテッドファイアウォールモードと透過ファイアウォールモードでサポートされています。
フェールオーバーのガイドライン
ステートフルフェールオーバーでは、DNS 逆ルックアップキャッシュ、DNS ホストキャッシュ、ま
たはダイナミックデータベースの複製はサポートされません。
IPv6 のガイドライン
IPv6 はサポートされません。
その他のガイドラインと制限事項
• TCP DNS トラフィックはサポートされません。
• スタティックデータベースには、最大 1000 個のブラックリストエントリとホワイトリストエン
トリを追加できます。
デフォルト設定
デフォルトでは、ボットネットトラフィックフィルタとダイナミックデータベースの使用はディセー
ブルになっています。
デフォルトでは、DNS 検査はイネーブルになっていますが、ボットネットトラフィックフィルタス
ヌーピングはディセーブルになっています。
ボットネットトラフィックフィルタの設定
この項は、次の内容で構成されています。
• 「ボットネットトラフィックフィルタの設定のタスクフロー」（P.54-7）
• 「ダイナミックデータベースの設定」（P.54-8）
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
54-6
OL-18970-01-J
第 54 章
ボットネットトラフィックフィルタの設定
ボットネットトラフィックフィルタの設定
• 「DNS スヌーピングのイネーブル化」（P.54-10）
• 「スタティックデータベースへのエントリの追加」（P.54-9）
• 「ボットネットトラフィックフィルタのロギングに使用されるトラフィック分類のイネーブル化」
（P.54-12）
• 「ボットネットトラフィックのブロック」（P.54-13）
• 「ダイナミックデータベースの検索」（P.54-14）
ボットネットトラフィックフィルタの設定のタスクフロー
ボットネットトラフィックフィルタを設定するには、次の手順を実行します。
ステップ 1
ダイナミックデータベースの使用をイネーブルにする。「ダイナミックデータベースの設定」（P.54-8）
を参照してください。
この手順では、Cisco アップデートサーバからのデータベースアップデートと、適応型セキュリティ
アプライアンスによるダウンロードされたダイナミックデータベースの使用をイネーブルにします。
ダウンロードされたデータベースのディセーブル化は、マルチコンテキストモードでデータベースの
使用をコンテキストごとに設定できるようにする場合に有用です。
ステップ 2
（オプション）スタティックエントリをデータベースに追加する。「スタティックデータベースへのエ
ントリの追加」（P.54-9）を参照してください。
この手順では、ブラックリストまたはホワイトリストに記載するドメイン名または IP アドレスでダイ
ナミックデータベースを補完します。ダイナミックデータベースをインターネット経由でダウンロー
ドしない場合は、ダイナミックデータベースの代わりにスタティックデータベースを使用できます。
ステップ 3
DNS スヌーピングをイネーブルにする。「DNS スヌーピングのイネーブル化」（P.54-10）を参照して
ください。
この手順では、DNS パケットの検査をイネーブルにします。DNS パケットの検査では、ドメイン名が
ダイナミックデータベースまたはスタティックデータベースのドメイン名と比較され（適応型セキュ
リティアプライアンス用の DNS サーバが使用できない場合）、ドメイン名と IP アドレスが DNS 逆
ルックアップキャッシュに追加されます。このキャッシュは、疑わしいアドレスへの接続が行われた
ときにボットネットトラフィックフィルタのロギング機能で使用されます。
ステップ 4
ボットネットトラフィックフィルタのロギングに使用されるトラフィック分類をイネーブルにする。
「ボットネットトラフィックフィルタのロギングに使用されるトラフィック分類のイネーブル化」
（P.54-12）を参照してください。
この手順では、ボットネットトラフィックフィルタをイネーブルにします。ボットネットトラフィッ
クフィルタでは、初期接続の各パケットの送信元 IP アドレスと宛先 IP アドレスがダイナミックデー
タベース、スタティックデータベース、DNS 逆ルックアップキャッシュ、および DNS ホストキャッ
シュの IP アドレスと比較され、一致するトラフィックが見つかった場合は syslog メッセージが送信さ
れます。
ステップ 5
syslog メッセージの情報に基づいてトラフィックをブロックする。「ボットネットトラフィックのブ
ロック」（P.54-13）を参照してください。
ボットネットトラフィックフィルタでは、トラフィックは自動的にブロックされませんが、必要に応
じてトラフィックを手動でブロックすることができます。これを行うには、トラフィックを拒否するア
クセスリストを設定するか、shun コマンドを使用して、ホストへのトラフィックとホストからのトラ
フィックをすべてブロックします。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
54-7
第 54 章
ボットネットトラフィックフィルタの設定
ボットネットトラフィックフィルタの設定
ダイナミックデータベースの設定
この手順では、データベースアップデートと、適応型セキュリティアプライアンスによるダウンロー
ドされたダイナミックデータベースの使用をイネーブルにします。ダウンロードされたデータベース
のディセーブル化は、マルチコンテキストモードでデータベースの使用をコンテキストごとに設定で
きるようにする場合に有用です。
デフォルトでは、ダイナミックデータベースのダウンロードおよび使用はディセーブルになっています。
前提条件
「DNS サーバの設定」（P.8-6）の説明に従って、適応型セキュリティアプライアンスによる DNS サー
バの使用をイネーブルにします。
詳細な手順
コマンド
目的
ステップ 1 dynamic-filter updater-client enable
例:
hostname(config)# dynamic-filter
updater-client enable
ステップ 2 （マルチコンテキストモード限定）
changeto context context_name
Cisco アップデートサーバからのダイナミックデータベースの
ダウンロードをイネーブルにします。マルチコンテキストモー
ドでは、システム実行スペースでこのコマンドを入力します。適
応型セキュリティアプライアンスにデータベースをまだインス
トールしていない場合は、約 2 分後にデータベースが適応型セ
キュリティアプライアンスにダウンロードされます。アップ
デートサーバは、将来のアップデートのために適応型セキュリ
ティアプライアンスがサーバにポーリングする頻度を決定しま
す（通常は 1 時間ごと）。
コンテキストに切り替えて、データベースの使用をコンテキスト
ごとに設定できるようにします。
例:
hostname# changeto context admin
hostname/admin#
ステップ 3 dynamic-filter use-database
例:
hostname(config)# dynamic-filter
use-database
ダイナミックデータベースの使用をイネーブルにします。マル
チコンテキストモードでは、コンテキスト実行スペースでこの
コマンドを入力します。
例
次のマルチモードの例では、ダイナミックデータベースのダウンロードと、context1 および context2
でのデータベースの使用をイネーブルにします。
hostname(config)# dynamic-filter updater-client enable
hostname(config)# changeto context context1
hostname/context1(config)# dynamic-filter use-database
hostname/context1(config)# changeto context context2
hostname/context2(config)# dynamic-filter use-database
次のシングルモードの例では、ダイナミックデータベースのダウンロードおよび使用をイネーブルに
します。
hostname(config)# dynamic-filter updater-client enable
hostname(config)# dynamic-filter use-database
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
54-8
OL-18970-01-J
第 54 章
ボットネットトラフィックフィルタの設定
ボットネットトラフィックフィルタの設定
次の作業
「スタティックデータベースへのエントリの追加」（P.54-9）を参照してください。
スタティックデータベースへのエントリの追加
スタティックデータベースを使用すると、ブラックリストまたはホワイトリストに記載するドメイン
名または IP アドレスでダイナミックデータベースを補完できます。詳細については、「スタティック
データベースに関する情報」（P.54-3）を参照してください。
前提条件
• マルチコンテキストモードでは、コンテキスト実行スペースでこの手順を実行します。
• 「DNS サーバの設定」（P.8-6）の説明に従って、適応型セキュリティアプライアンスによる DNS
サーバの使用をイネーブルにします。
詳細な手順
コマンド
目的
ステップ 1 dynamic-filter blacklist
例:
hostname(config)# dynamic-filter blacklist
ボットネットトラフィックフィルタのブラックリス
トを編集します。
ステップ 2 次のいずれかまたは両方を入力します。
name domain_name
例:
hostname(config-llist)# name bad.example.com
address ip_address mask
例:
hostname(config-llist)# address 10.1.1.1
255.255.255.255
ステップ 3 dynamic-filter whitelist
例:
hostname(config)# dynamic-filter whitelist
ブラックリストに名前を追加します。このコマンド
を複数回入力して、複数のエントリを追加できます。
最大 1000 個のブラックリストエントリを追加でき
ます。
ブラックリストに IP アドレスを追加します。このコ
マンドを複数回入力して、複数のエントリを追加で
きます。mask には、単一ホストまたはサブネットの
マスクを指定できます。
ボットネットトラフィックフィルタのホワイトリス
トを編集します。
ステップ 4 次のいずれかまたは両方を入力します。
name domain_name
例:
hostname(config-llist)# name good.example.com
address ip_address mask
例:
hostname(config-llist)# address 10.1.1.2
255.255.255.255
ホワイトリストに名前を追加します。このコマンド
を複数回入力して、複数のエントリを追加できます。
最大 1000 個のホワイトリストエントリを追加でき
ます。
ホワイトリストに IP アドレスを追加します。このコ
マンドを複数回入力して、複数のエントリを追加で
きます。mask には、単一ホストまたはサブネットの
マスクを指定できます。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
54-9
第 54 章
ボットネットトラフィックフィルタの設定
ボットネットトラフィックフィルタの設定
例
次に、ブラックリストおよびホワイトリストのエントリを作成する例を示します。
hostname(config)# dynamic-filter blacklist
hostname(config-llist)# name bad1.example.com
hostname(config-llist)# name bad2.example.com
hostname(config-llist)# address 10.1.1.1 255.255.255.0
hostname(config-llist)# dynamic-filter whitelist
hostname(config-llist)# name good.example.com
hostname(config-llist)# name great.example.com
hostname(config-llist)# name awesome.example.com
hostname(config-llist)# address 10.1.1.2 255.255.255.255
次の作業
「DNS スヌーピングのイネーブル化」（P.54-10）を参照してください。
DNS スヌーピングのイネーブル化
この手順では、DNS パケットの検査とボットネットトラフィックフィルタスヌーピングをイネーブ
ルにします。DNS パケットの検査とボットネットトラフィックフィルタスヌーピングでは、ドメイ
ン名がダイナミックデータベースまたはスタティックデータベースのドメイン名と比較され、ドメイ
ン名と IP アドレスがボットネットトラフィックフィルタの DNS 逆ルックアップキャッシュに追加さ
れます。このキャッシュは、疑わしいアドレスへの接続が行われたときにボットネットトラフィック
フィルタのロギング機能で使用されます。
次の手順では、DNS 検査で使用されるインターフェイス固有のサービスポリシーを作成します。モ
ジュラーポリシーフレームワークを使用した高度な DNS 検査オプションの設定の詳細については、
（P.41-1）および第 9 章「モジュラポリシーフレームワークの使用」を参照してください。
「DNS 検査」
前提条件
マルチコンテキストモードでは、コンテキスト実行スペースでこの手順を実行します。
制限事項
TCP DNS トラフィックはサポートされません。
DNS 検査のデフォルト設定と推奨設定
DNS 検査のデフォルト設定では、すべてのインターフェイスのすべての UDP DNS トラフィックが検
査され、DNS スヌーピングがディセーブルになっています。
DNS スヌーピングは、外部 DNS 要求が送信されるインターフェイスでだけイネーブルにすることを推
奨します。すべての UDP DNS トラフィック（内部 DNS サーバへの送信トラフィックを含む）に対し
て DNS スヌーピングをイネーブルにすると、適応型セキュリティアプライアンスで不要な負荷が発生
します。
たとえば、DNS サーバが外部インターフェイスに存在する場合は、外部インターフェイスのすべての
UDP DNS トラフィックに対して DNS 検査とスヌーピングをイネーブルにする必要があります。この
設定の推奨コマンドについては、「例」を参照してください。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
54-10
OL-18970-01-J
第 54 章
ボットネットトラフィックフィルタの設定
ボットネットトラフィックフィルタの設定
詳細な手順
ステップ 1
コマンド
目的
class-map name
DNS を検査するトラフィックを識別するためのクラスマップを
作成します。
例:
hostname(config)# class-map
dynamic-filter_snoop_class
ステップ 2 match parameters
例:
hostname(config-cmap)# match port udp eq
domain
ステップ 3 policy-map name
クラスマップのトラフィックを指定します。使用可能なパラメー
タの詳細については、「トラフィックの特定（レイヤ 3/4 クラス
マップ）」（P.9-13）を参照してください。たとえば、特定のアド
レスを送信元または宛先とする DNS トラフィックのアクセスリ
ストを指定したり、すべての UDP DNS トラフィックを指定した
りできます。
ポリシーマップを追加または編集し、クラスマップトラフィッ
クで実行するアクションを設定できるようにします。
例:
hostname(config)# policy-map
dynamic-filter_snoop_policy
ステップ 4 class name
ステップ 1 で作成したクラスマップを指定します。
例:
hostname(config-pmap)# class
dynamic-filter_snoop_class
ステップ 5 inspect dns [map_name]
DNS 検査とボットネットトラフィックフィルタスヌーピングを
イネーブルにします。map_name にデフォルトの DNS 検査ポリ
シーマップを使用するには、マップ名に preset_dns_map を指
定します。DNS 検査ポリシーマップの作成の詳細については、
「DNS 検査」（P.41-1）を参照してください。
dynamic-filter-snoop
例:
hostname(config-pmap-c)# inspect dns
preset_dns_map dynamic-filter-snoop
ステップ 6 service-policy policymap_name interface
interface_name
例:
hostname(config)# service-policy
dynamic-filter_snoop_policy interface
outside
インターフェイスでポリシーマップをアクティブにします。イン
ターフェイス固有のポリシーは、グローバルポリシーより優先
されます。各インターフェイスには、ポリシーマップを 1 つだけ
適用できます。
例
次の推奨設定では、すべての UDP DNS トラフィックのクラスマップを作成し、デフォルトの DNS 検
査ポリシーマップを使用して DNS 検査とボットネットトラフィックフィルタスヌーピングをイネー
ブルにし、そのポリシーマップを外部インターフェイスに適用します。
hostname(config)# class-map dynamic-filter_snoop_class
hostname(config-cmap)# match port udp eq domain
hostname(config-cmap)# policy-map dynamic-filter_snoop_policy
hostname(config-pmap)# class dynamic-filter_snoop_class
hostname(config-pmap-c)# inspect dns preset_dns_map dynamic-filter-snoop
hostname(config-pmap-c)# service-policy dynamic-filter_snoop_policy interface outside
次の作業
「ボットネットトラフィックフィルタのロギングに使用されるトラフィック分類のイネーブル化」
（P.54-12）を参照してください。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
54-11
第 54 章
ボットネットトラフィックフィルタの設定
ボットネットトラフィックフィルタの設定
ボットネットトラフィックフィルタのロギングに使用されるトラフィック
分類のイネーブル化
この手順では、ボットネットトラフィックフィルタをイネーブルにします。ボットネットトラフィッ
クフィルタでは、初期接続の各パケットの送信元 IP アドレスと宛先 IP アドレスが次の IP アドレスお
よびキャッシュと比較されます。
• ダイナミックデータベースの IP アドレス
• スタティックデータベースの IP アドレス
• DNS 逆ルックアップキャッシュ（ダイナミックデータベースのドメイン名の場合）
• DNS ホストキャッシュ（スタティックデータベースのドメイン名の場合）
アドレスが一致すると、適応型セキュリティアプライアンスが syslog メッセージを送信します。
前提条件
マルチコンテキストモードでは、コンテキスト実行スペースでこの手順を実行します。
推奨設定
DNS スヌーピングは必要ありませんが、ボットネットトラフィックフィルタを最大限に活用するため
（P.54-10）
に DNS スヌーピングを設定することをお勧めします（「DNS スヌーピングのイネーブル化」
を参照）。ダイナミックデータベースに DNS スヌーピングが設定されていない場合、ボットネットト
ラフィックフィルタでは、スタティックデータベースのエントリとダイナミックデータベースの IP
アドレスだけが使用されます。ダイナミックデータベースのドメイン名は使用されません。
インターネットに直接接続されているインターフェイスのすべてのトラフィックに対してボットネット
トラフィックフィルタをイネーブルにすることをお勧めします。この設定用の推奨コマンドについて
は、「例」を参照してください。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
54-12
OL-18970-01-J
第 54 章
ボットネットトラフィックフィルタの設定
ボットネットトラフィックフィルタの設定
詳細な手順
コマンド
目的
ステップ 1 （オプション）
access-list access_list_name extended
{deny | permit} protocol source_address
mask [operator port] dest_address mask
[operator port]
監視するトラフィックを指定します。アクセスリストを作成しな
い場合は、デフォルトですべてのトラフィックが監視されます。
アクセスリストの作成の詳細については、第 11 章「拡張アクセ
スリストの追加」を参照してください。
例:
hostname(config)# access-list
dynamic-filter_acl extended permit tcp any
any eq 80
ステップ 2 dynamic-filter enable [interface name]
[classify-list access_list]
例:
hostname(config)# dynamic-filter enable
interface outside classify-list
dynamic-filter_acl
すべてのトラフィックに対してボットネットトラフィックフィ
ルタをイネーブルにします。
interface キーワードを使用して、インターネットに直接接続さ
れているインターフェイスのすべてのトラフィックに対してボッ
トネットトラフィックフィルタをイネーブルにすることをお勧
めします。
classify-list キーワードでアクセスリストを指定すると、オプ
ションで監視対象を特定のトラフィックに制限できます。
このコマンドは、インターフェイスとグローバルポリシーごと
に 1 回だけ入力できます（interface キーワードを指定しない場
合）。各インターフェイスコマンドと各 global コマンドには、オ
プションの classify-list キーワードがあります。インターフェイ
ス固有のコマンドは、global コマンドより優先されます。
例
次の推奨設定では、外部インターフェイスのすべてのトラフィックを監視します。
hostname(config)# dynamic-filter enable interface outside
一部のトラフィックを監視対象から除外する場合は、アクセスリストを使用してトラフィックを制限で
きます。次に、外部インターフェイスのポート 80 のトラフィックだけを監視する例を示します。
hostname(config)# access-list dynamic-filter_acl extended permit tcp any any eq 80
hostname(config)# dynamic-filter enable interface outside classify-list dynamic-filter_acl
ボットネットトラフィックのブロック
ボットネットトラフィックフィルタでは、トラフィックは自動的にブロックされませんが、必要に応
じてトラフィックを手動でブロックすることができます。これを行うには、トラフィックを拒否するア
クセスリストを設定するか、shun コマンドツールを使用して、ホストへのトラフィックとホストから
のトラフィックをすべてブロックします。
たとえば、次のような syslog メッセージが表示されます。
ASA-4-338002: Dynamic Filter permitted black listed TCP traffic from inside:10.1.1.45/6798
(209.165.201.1/7890) to outside:209.165.202.129/80 (209.165.202.129/80), destination
209.165.202.129 resolved from dynamic list: bad.example.com
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
54-13
第 54 章
ボットネットトラフィックフィルタの設定
ボットネットトラフィックフィルタの設定
その後、次のいずれかのアクションを実行できます。
• トラフィックを拒否するアクセスリストを作成する。
たとえば、上記の syslog メッセージを使用して、10.1.1.45 の感染ホストから 209.165.202.129 の
マルウェアサイトへのトラフィックを拒否できます。また、さまざまなブラックリストアドレス
への多数の接続が存在する場合は、ホストコンピュータの感染を解決するまで 10.1.1.45 からのト
ラフィックをすべて拒否するアクセスリストを作成できます。たとえば、次のコマンドを実行する
と、10.1.1.5 から 209.165.202.129 へのトラフィックがすべて拒否されますが、内部インターフェ
イスのその他のトラフィックはすべて許可されます。
hostname(config)# access-list BLOCK_OUT extended deny ip host 10.1.1.45 host
209.165.202.129
hostname(config)# access-list BLOCK_OUT extended permit ip any any
hostname(config)# access-group BLOCK_OUT in interface inside
アクセスリストの作成の詳細については、第 11 章「拡張アクセスリストの追加」を参照してくだ
さい。インターフェイスへのアクセスリストの適用の詳細については、第 35 章「ネットワークア
クセスの許可または拒否」を参照してください。
（注）
アクセスリストでは、将来の接続がすべてブロックされます。アクティブな現在の接続を
ブロックするには、clear conn コマンドを入力します。たとえば、syslog メッセージに記
載されている接続だけを消去するには、clear conn address 10.1.1.45 address
209.165.202.129 コマンドを入力します。詳細については、『Cisco ASA 5500 Series
Command Reference』を参照してください。
• 感染したホストを排除する。
感染したホストを排除すると、そのホストからの接続がすべてブロックされます。そのため、特定
の宛先アドレスおよびポートへの接続をブロックする場合は、アクセスリストを使用する必要があ
ります。ホストを排除するには、次のコマンドを入力します。将来の接続をブロックすると同時に
現在の接続をドロップするには、宛先アドレス、送信元ポート、宛先ポート、およびオプションの
プロトコルを入力します。
hostname(config)# shun src_ip [dst_ip src_port dest_port [protocol]]
たとえば、10.1.1.45 からの将来の接続をブロックし、それと同時に syslog メッセージに記載され
ているマルウェアサイトへの現在の接続をドロップするには、次のように入力します。
hostname(config)# shun 10.1.1.45 209.165.202.129 6798 80
排除の詳細については、「不要な接続のブロック」（P.57-2）を参照してください。
感染を解決したら、アクセスリストを削除するか、排除を無効にしてください。排除を無効にするに
は、no shun src_ip を入力します。
ダイナミックデータベースの検索
ドメイン名または IP アドレスがダイナミックデータベースに含まれているかどうかを確認する場合
は、データベースから文字列を検索することができます。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
54-14
OL-18970-01-J
第 54 章
ボットネットトラフィックフィルタの設定
ボットネットトラフィックフィルタの監視
詳細な手順
コマンド
目的
dynamic-filter database find string
ドメイン名または IP アドレスをダイナミックデータベースから検索し
ます。string には、ドメイン名または IP アドレスのすべてまたは一部
を、3 文字以上の検索文字列で指定できます。一致する項目が複数見つ
かった場合は、最初の 2 つの項目が表示されます。一致する項目を絞り
込むために詳細な検索条件を指定するには、より長い文字列を入力しま
す。
例:
hostname# dynamic-filter database find
（注）
データベース検索では、正規表現はサポートされません。
例
次に、文字列「example.com 」で検索する例を示します。この例では、一致する項目が 1 つ見つかりま
す。
hostname# dynamic-filter database find bad.example.com
bad.example.com
一致する項目が 1 つ見つかりました。
次に、文字列「bad」で検索する例を示します。この例では、一致する項目が 3 つ以上見つかります。
hostname# dynamic-filter database find bad
bad.example.com
bad.example.net
Found more than 2 matches, enter a more specific string to find an exact
match
ボットネットトラフィックフィルタの監視
既知のアドレスがボットネットトラフィックフィルタによって分類されると、syslog メッセージが生
成されます。適応型セキュリティアプライアンスでコマンドを入力して、ボットネットトラフィック
フィルタの統計情報やその他のパラメータを監視することもできます。この項は、次の内容で構成され
ています。
• 「ボットネットトラフィックフィルタの Syslog メッセージ」（P.54-15）
• 「ボットネットトラフィックフィルタのコマンド」（P.54-16）
ボットネットトラフィックフィルタの Syslog メッセージ
ボットネットトラフィックフィルタでは、338nnn という番号が付いた詳細な syslog メッセージが生
成されます。メッセージでは、着信接続と発信接続、ブラックリストアドレス、ホワイトリストアド
レス、またはグレーリストアドレス、およびその他の多数の変数が区別されます（グレーリストには、
ブラックリストに記載されていないドメイン名を 1 つ以上含む複数のドメイン名に関連付けられている
アドレスが含まれています）。
syslog メッセージの詳細については、『Cisco ASA 5500 Series System Log Messages 』を参照してくだ
さい。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
54-15
第 54 章
ボットネットトラフィックフィルタの設定
ボットネットトラフィックフィルタの監視
ボットネットトラフィックフィルタのコマンド
ボットネットトラフィックフィルタを監視するには、次のいずれかのコマンドを入力します。
コマンド
目的
show asp table dynamic-filter [hits]
高速セキュリティパスにインストールされているボットネットトラ
フィックフィルタ規則を表示します。
show dynamic-filter data
ダイナミックデータベースが最後にダウンロードされた日時、データ
ベースのバージョン、データベースに含まれているエントリの数、10 個
のサンプルエントリなど、ダイナミックデータベースに関する情報を表
示します。
show dynamic-filter dns-snoop [detail]
ボットネットトラフィックフィルタの DNS スヌーピングの概要を表示
します。detail キーワードが指定された場合は、実際の IP アドレスと名
前を表示します。この出力には、ブラックリストに一致する名前だけで
なく、すべての検査済み DNS データが含まれます。スタティックエン
トリの DNS データは含まれません。
DNS スヌーピングデータを消去するには、clear dynamic-filter
dns-snoop コマンドを入力します。
show dynamic-filter reports top
[botnet-sites | botnet-ports |
infected-hosts]
上位 10 個のボットネットサイト、ポート、および感染ホストのレポー
トを生成します。このレポートはデータのスナップショットで、統計情
報の収集開始以降の上位 10 項目に一致しない場合があります。ホストの
場合、メモリへの影響を減らすためのタイムアウト値は 1 時間（変更不
可）です。サイトおよびポートのレポートでは、タイムアウト値はあり
ません。
レポートデータを消去するには、clear dynamic-filter reports コマンド
を入力します。
show dynamic-filter statistics [interface
name]
ボットネットトラフィックフィルタで監視された接続の数と、これらの
接続のうちホワイトリスト、ブラックリスト、およびグレーリストに一
致した数を表示します（グレーリストには、ブラックリストに記載され
ていないドメイン名を 1 つ以上含む複数のドメイン名に関連付けられて
いるアドレスが含まれています）。
統計情報をクリアするには、clear dynamic-filter statistics [interface
name] コマンドを入力します。
show dynamic-filter updater-client
サーバの IP アドレス、適応型セキュリティアプライアンスが次にサー
バに接続する日時、最後にインストールされたデータベースのバージョ
ンなど、アップデートサーバに関する情報を表示します。
例
次に、show dynamic-filter statistics コマンドの出力例を示します。
hostname# show dynamic-filter statistics
Enabled on interface outside
Total conns classified 2108, ingress 2108, egress 0
Total whitelist hits 0, ingress 0, egress 0
Total greylist hits 0, ingress 0, egress 0
Total blacklist hits 11, ingress 11, egress 0
Enabled on interface inside
Total conns classified 4908, ingress 4908, egress 0
Total whitelist hits 3, ingress 3, egress 0
Total greylist hits 0, ingress 0, egress 0
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
54-16
OL-18970-01-J
第 54 章
ボットネットトラフィックフィルタの設定
ボットネットトラフィックフィルタの設定例
Total blacklist hits 1179, ingress 1179, egress 0
次に、show dynamic-filter reports top botnet-sites コマンドの出力例を示します。
hostname# show dynamic-filter reports top botnet-sites
Site
Connections logged
---------------------------------------------------------------------bad1.example.com (10.67.22.34)
11
bad2.example.com (209.165.200.225)
8
bad1.cisco.example(10.131.36.158)
6
bad2.cisco.example(209.165.201.1)
2
horrible.example.net(10.232.224.2)
2
nono.example.org(209.165.202.130)
1
次に、show dynamic-filter reports top botnet-ports コマンドの出力例を示します。
hostname# show dynamic-filter reports top botnet-ports
Port
Connections logged
---------------------------------------------------------------------tcp 1000
617
tcp 2001
472
tcp 23
22
tcp 1001
19
udp 2000
17
udp 2001
17
tcp 8080
9
tcp 80
3
tcp >8192
2
次に、show dynamic-filter reports top infected-hosts コマンドの出力例を示します。
hostname# show dynamic-filter reports top infected-hosts
Host
Connections logged
---------------------------------------------------------------------10.10.10.51(inside)
1190
10.12.10.10(inside)
10
10.10.11.10(inside)
5
ボットネットトラフィックフィルタの設定例
この項では、シングルコンテキストモードおよびマルチコンテキストモードの推奨設定とその他の可
能な設定について説明します。この項は、次の内容で構成されています。
• 「推奨設定例」（P.54-17）
• 「その他の設定例」（P.54-18）
推奨設定例
次のシングルコンテキストモードの推奨設定例では、ダイナミックデータベースのダウンロードおよ
び使用をイネーブルにします。この設定では、すべての UDP DNS トラフィックのクラスマップを作成
し、デフォルトの DNS 検査ポリシーマップを使用して DNS 検査とボットネットトラフィックフィル
タスヌーピングをイネーブルにし、そのポリシーマップをインターネットに直接接続されている外部
インターフェイスに適用します。
hostname(config)# dynamic-filter updater-client enable
hostname/context1(config)# dynamic-filter use-database
hostname/context1(config)# class-map dynamic-filter_snoop_class
hostname/context1(config-cmap)# match port udp eq domain
hostname/context1(config-cmap)# policy-map dynamic-filter_snoop_policy
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
54-17
第 54 章
ボットネットトラフィックフィルタの設定
ボットネットトラフィックフィルタの設定例
hostname/context1(config-pmap)# class dynamic-filter_snoop_class
hostname/context1(config-pmap-c)# inspect dns preset_dns_map dynamic-filter-snoop
hostname/context1(config-pmap-c)# service-policy dynamic-filter_snoop_policy interface
outside
hostname/context1(config)# dynamic-filter enable interface outside
次のマルチコンテキストモードの推奨設定例では、2 つのコンテキストでボットネットトラフィック
フィルタをイネーブルにします。
hostname(config)# dynamic-filter updater-client enable
hostname(config)# changeto context context1
hostname/context1(config)# dynamic-filter use-database
hostname/context1(config)# class-map dynamic-filter_snoop_class
hostname/context1(config-cmap)# match port udp eq domain
hostname/context1(config-cmap)# policy-map dynamic-filter_snoop_policy
hostname/context1(config-pmap)# class dynamic-filter_snoop_class
hostname/context1(config-pmap-c)# inspect dns preset_dns_map dynamic-filter-snoop
hostname/context1(config-pmap-c)# service-policy dynamic-filter_snoop_policy interface
outside
hostname/context1(config)# dynamic-filter enable interface outside
hostname/context1(config)# changeto context context2
hostname/context2(config)# dynamic-filter use-database
hostname/context2(config)# class-map dynamic-filter_snoop_class
hostname/context2(config-cmap)# match port udp eq domain
hostname/context2(config-cmap)# policy-map dynamic-filter_snoop_policy
hostname/context2(config-pmap)# class dynamic-filter_snoop_class
hostname/context2(config-pmap-c)# inspect dns preset_dns_map dynamic-filter-snoop
hostname/context2(config-pmap-c)# service-policy dynamic-filter_snoop_policy interface
outside
hostname/context2(config)# dynamic-filter enable interface outside
その他の設定例
次の設定例では、ブラックリストとホワイトリストにスタティックエントリを追加します。次に、外
部インターフェイスのポート 80 のトラフィックをすべて監視します。
hostname(config)# dynamic-filter updater-client enable
hostname(config)# changeto context context1
hostname/context1(config)# dynamic-filter use-database
hostname/context1(config)# class-map dynamic-filter_snoop_class
hostname/context1(config-cmap)# match port udp eq domain
hostname/context1(config-cmap)# policy-map dynamic-filter_snoop_policy
hostname/context1(config-pmap)# class dynamic-filter_snoop_class
hostname/context1(config-pmap-c)# inspect dns preset_dns_map dynamic-filter-snoop
hostname/context1(config-pmap-c)# service-policy dynamic-filter_snoop_policy interface
outside
hostname/context1(config-pmap-c)# dynamic-filter blacklist
hostname/context1(config-llist)# name bad1.example.com
hostname/context1(config-llist)# name bad2.example.com
hostname/context1(config-llist)# address 10.1.1.1 255.255.255.0
hostname/context1(config-llist)# dynamic-filter whitelist
hostname/context1(config-llist)# name good.example.com
hostname/context1(config-llist)# name great.example.com
hostname/context1(config-llist)# name awesome.example.com
hostname/context1(config-llist)# address 10.1.1.2 255.255.255.255
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
54-18
OL-18970-01-J
第 54 章
ボットネットトラフィックフィルタの設定
関連情報
hostname/context1(config-llist)# access-list dynamic-filter_acl extended permit tcp any
any eq 80
hostname/context1(config)# dynamic-filter enable interface outside classify-list
dynamic-filter_acl
hostname/context1(config)# changeto context context2
hostname/context2(config)# dynamic-filter use-database
hostname/context2(config)# class-map dynamic-filter_snoop_class
hostname/context2(config-cmap)# match port udp eq domain
hostname/context2(config-cmap)# policy-map dynamic-filter_snoop_policy
hostname/context2(config-pmap)# class dynamic-filter_snoop_class
hostname/context2(config-pmap-c)# inspect dns preset_dns_map dynamic-filter-snoop
hostname/context2(config-pmap-c)# service-policy dynamic-filter_snoop_policy interface
outside
hostname/context2(config-pmap-c)# dynamic-filter blacklist
hostname/context2(config-llist)# name bad1.example.com
hostname/context2(config-llist)# name bad2.example.com
hostname/context2(config-llist)# address 10.1.1.1 255.255.255.0
hostname/context2(config-llist)# dynamic-filter whitelist
hostname/context2(config-llist)# name good.example.com
hostname/context2(config-llist)# name great.example.com
hostname/context2(config-llist)# name awesome.example.com
hostname/context2(config-llist)# address 10.1.1.2 255.255.255.255
hostname/context2(config-llist)# access-list dynamic-filter_acl extended permit tcp any
any eq 80
hostname/context2(config)# dynamic-filter enable interface outside classify-list
dynamic-filter_acl
関連情報
• syslog サーバを設定するには、第 74 章「ロギングの設定」を参照してください。
• トラフィックをブロックするアクセスリストを設定するには、第 11 章「拡張アクセスリストの追
加」を参照してください。インターフェイスへのアクセスリストの適用の詳細については、第 35
章「ネットワークアクセスの許可または拒否」を参照してください。
• 接続を排除するには、「不要な接続のブロック」（P.57-2）を参照してください。
ボットネットトラフィックフィルタの機能履歴
表 2 に、この機能のリリース履歴の一覧を示します。
表 2
ボットネットトラフィックフィルタの機能履歴
機能名
リリース
機能情報
ボットネットトラフィックフィルタ
8.2(1)
この機能が導入されました。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
54-19
第 54 章
ボットネットトラフィックフィルタの設定
ボットネットトラフィックフィルタの機能履歴
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
54-20
OL-18970-01-J

Download Report

この章

Paperzz.com

Your Paperzz