この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ポリシー テンプレートとは、ラーニング プロセスのポリシー構築フェーズ中に Guard モジュールが使用する規則およびガイドラインの集合のことで、ゾーンのトラフィック フローで検出されたサービスについて新しいゾーン ポリシーを構築するために使用されます。各ポリシー テンプレートの出力は、ゾーンを DDos 攻撃から保護するために Guard モジュールが使用する、一連のゾーン ポリシーになります。新しいゾーンを作成する場合、Guard モジュールは、新しいゾーン設定に一連のポリシー テンプレートを含めます。
この章では、高度なポリシー テンプレート設定作業を実施する方法について説明します。ゾーンのポリシー テンプレートの設定を変更すると、ラーニング プロセスのポリシー生成フェーズが影響を受けます。WBM を使用すると、ゾーンのポリシー テンプレートをイネーブルにする、ディセーブルにする、または変更することで、ポリシー生成フェーズ中に Guard モジュールが作成するポリシーを制御できます。
Guard モジュールがポリシー構築フェーズ中に使用できるポリシー テンプレートには、トラフィック フローのサービスに適合させるために、複数のタイプがあります。ポリシー テンプレートの名前は、Guard モジュールがテンプレートから作成するすべてのポリシーに共通の特性に由来しています。この特性は、プロトコル(DNS など)やアプリケーション(http など)、目的(ip_scan など)です。たとえば、ポリシー テンプレート tcp_connections は、同時接続数など、接続に関連するポリシーを作成します。
表 6-1 に、Guard モジュールのポリシー テンプレートの各タイプの説明を示します。
Guard モジュールは、まず、専用ポート 6660 ~ 6670 および 21 ~ 23 上の TCP トラフィックのインジケータを探します。Guard モジュールがこれらのポート上でトラフィックを検出すると、次のアクションが実行されます。
• tcp_services_ns ポリシー テンプレートは、ポート 6660 ~ 6670 および 21 ~ 23 上の TCP トラフィックに関連する一連のポリシーを作成します。
• tcp_services ポリシー テンプレートは、他のすべてのポート上の TCP サービスを処理します。
Guard モジュール がこれらのポート上でトラフィックを検出しない場合、tcp_services_ns ポリシー テンプレートは使用されません。
表 6-2 に、Guard モジュールをプロキシとして機能させないゾーン用に設計されたその他のポリシー テンプレートを示します。これらのポリシー テンプレートは、インターネット リレー チャット(IRC)サーバ タイプ ゾーンなど、ゾーンが IP アドレスに基づいて運用されている場合に使用できます。これらのテンプレートで作成されたポリシーには、強化保護レベルをトラフィック フローに適用するアクションがありません。
GUARD_TCP_NO_PROXY ゾーン テンプレートを使用してゾーンを定義する場合、Guard モジュールは、 表 6-2 に記載されたポリシー テンプレートを使用します。Guard モジュールは、http、tcp_connections、および tcp_outgoing のポリシー テンプレートをそれぞれ http_ns、tcp_connections_ns、および tcp_outgoing_ns のポリシー テンプレートに置き換えます。
|
|
---|---|
ポリシー構築フェーズを管理するには、ポリシー テンプレートの特定のパラメータを次の方法で変更して、ポリシー生成フェーズを管理します。
• ポリシー テンプレートをイネーブルまたはディセーブルにします。イネーブルになっているポリシー テンプレートだけが、ポリシー生成フェーズ中に Guard モジュールが検出するサービスに基づいてポリシーを作成します。一部のポリシー テンプレートは、特定のポリシーが追加されていないすべてのトラフィック フローを処理するために、追加のポリシーを作成します。このようなポリシーは、 any というサービスで追加されます。
• ラーニング プロセスのどの時点で(サービスのトラフィック量に基づいて)ポリシー テンプレートがポリシーを作成するかを制御します。
• ラーニング プロセス中にポリシー テンプレートを使用して Guard モジュールが作成できるポリシーの最大数を定義します。
ポリシー テンプレートの設定を変更するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > Policy templates を選択します。Policy Templates 画面が表示されます。
ステップ 3 ポリシー テンプレートを選択します。Config Policy template 画面が表示されます。
ステップ 4 ポリシー テンプレートの目的のパラメータを変更します。 表 6-3 に、Policy Template Form に表示されるポリシー テンプレートのパラメータの説明を示します。選択したポリシー テンプレートのタイプに応じて、このテーブルに表示されている一部または全部のパラメータが編集対象として表示されます。
• OK :新しいポリシー テンプレートの設定を保存します。Policy Template 画面が表示されます。
• Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。
• Cancel:情報を保存せずに Config policy template 画面を終了します。 Policy Template 画面が表示されます。
特定のポリシー テンプレートで作成されたすべてのポリシーからサービスを追加または削除する方法については、「ゾーンのポリシーの管理」の「サービスの追加」または「サービスの削除」の項を参照してください。