Cisco Guard Web-Based Manager コンフィギュレーション ガイド Software Release 6.1
ポリシー テンプレートの設定
ポリシー テンプレートの設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

ポリシー テンプレートの設定

ポリシー テンプレートについて

ポリシー テンプレートの設定の変更

ポリシー テンプレートの設定

この章では、Cisco Guard(Guard)がゾーンのポリシーの作成に使用するゾーンのポリシー テンプレートの設定方法について説明します。

この章は、次の項で構成されています。

ポリシー テンプレートについて

ポリシー テンプレートの設定の変更

ポリシー テンプレートについて

ポリシー テンプレートは、ゾーンのポリシーを作成するために Guard がラーニング プロセスのポリシー構築フェーズ中に使用するポリシー構築規則を集めたものです。新しいゾーンを作成すると、Guard はゾーンの設定に一連のポリシー テンプレートを含めます。各ポリシー テンプレートの使用により、Guard は、ポリシー構築フェーズ中にゾーンのトラフィックの特性に基づいてポリシーのグループを生成できます。Guard は、ポリシーを使用して、ゾーンのトラフィックにゾーンへの攻撃の兆候を示す異常がないかどうかを監視します。ゾーンのポリシーは、特定のトラフィック フローがポリシーのしきい値を超過すると、そのフローに対してアクションを実行するように設定されます。

ゾーンのポリシー テンプレートの設定を変更すると、ポリシー構築フェーズが影響を受けます。WBM を使用してゾーンのポリシー テンプレートをイネーブルまたはディセーブルにするか、変更すると、Guard がポリシー構築フェーズ中に作成するポリシーを制御できます。

Guard がポリシー構築フェーズ中に使用するポリシー テンプレートには、トラフィック フローのサービスと適合させるために、いくつかのタイプがあります。ポリシー テンプレートの名前は、作成するすべてのポリシーに共通の特性に由来し、Domain Name System(DNS)などのプロトコル、HTTP などのアプリケーション、または ip_scan などの目的を表すものになります。たとえば、ポリシー テンプレート tcp_connections は、同時接続数など、接続に関連するポリシーを作成します。

表6-1 に、Guard のポリシー テンプレート タイプの説明を示します。

 

表6-1 ポリシー テンプレート

ポリシー テンプレート
作成される一連のポリシーの関連先

dns_tcp

DNS-TCP プロトコル トラフィック。

dns_udp

DNS-UDP プロトコル トラフィック。

fragments

断片化されたトラフィック。

http

ポート 80(デフォルト)またはその他のユーザ設定ポートを通過する HTTP トラフィック。

ip_scan

IP スキャニング。クライアントが特定の送信元 IP アドレスからゾーン内の多数の宛先 IP アドレスにアクセスしようとしている状況です。このポリシー テンプレートは、主に、IP アドレス定義がサブネットであるゾーンのために設計されています。

デフォルトでは、このポリシー テンプレートはディセーブルになっています。このポリシー テンプレートのデフォルトのアクションは、notify です。


) このポリシー テンプレートから生成されたポリシーはリソース消費量が多いため、ネットワーク パフォーマンスに影響を及ぼす可能性があります。


other_protocols

TCP と UDP 以外のプロトコル。

port_scan

ポート スキャニング。クライアントが特定の送信元 IP アドレスからゾーン内の多数のポートにアクセスしようとしている状況です。

デフォルトでは、このポリシー テンプレートはディセーブルになっています。このポリシー テンプレートのデフォルトのアクションは、notify です。


) このポリシー テンプレートから生成されたポリシーはリソース消費量が多いため、ネットワーク パフォーマンスに影響を及ぼす可能性があります。


tcp_connections

TCP 接続の特性。

tcp_not_auth

Guard のスプーフィング防止機能が認証していない TCP 接続。

tcp_outgoing

ゾーンによって開始された TCP 接続。

tcp_ratio

SYN パケットと FIN/RST パケットの比率など、各種の TCP パケットの比率。

tcp_services

HTTP 関連ポート(ポート 80 や 8080 など)以外のポートの TCP サービス。

tcp_services_ns

TCP サービス。デフォルトでは、tcp_services_ns テンプレートによって作成されたポリシーは IRC ポート(666X)、SSH、および Telnet に関連します。このポリシー テンプレートは、トラフィック フローに強化保護レベルを適用するアクションを持つポリシーを作成しません。

udp_services

UDP サービス。

Guard には、GUARD_SIP ゾーン テンプレートから作成されたゾーン用の追加のポリシー テンプレートがあります。 表6-2 に、説明を示します。

 

表6-2 特定のポリシー テンプレート

ゾーン テンプレート
ポリシー テンプレート

GUARD_VOIP

sip_udp:Voice-over IP(VoIP)セッションに関する一連のポリシーを構築します。この VoIP セッションは、Session Initiation Protocol over UDP を使用して確立し、セッション確立後に Real-Time Transport/Real-Time Control Protocol(RTP/RTCP)を使用して SIP エンドポイント間のボイス データを送信するものです。


) Guard は、まず、専用ポート 6660 ~ 6670 および 21 ~ 23 上の TCP トラフィックのインジケータに関連します。これらのポート上でトラフィックがトレースされる場合、tcp_services_ns ポリシー テンプレートがポリシーのグループを構築し、tcp_services ポリシー テンプレートが他のポート上の TCP サービスを監視します。これらのポート上でトラフィックがトレースされない場合、tcp_services_ns ポリシー テンプレートは使用されません。tcp_services_ns ポリシー テンプレートから作成されたポリシーには、サービスを追加できます。


表6-3 に、Guard をプロキシとして使用しないゾーン用に設計されたその他のポリシー テンプレートを示します。Internet Relay Chat(IRC; インターネット リレー チャット)サーバ タイプ ゾーンなど、ゾーンが IP アドレスに基づいて制御されている場合や、ゾーン上で実行されているサービスのタイプが不明な場合、これらのポリシー テンプレートを使用できます。

GUARD_TCP_NO_PROXY ゾーン テンプレートを使用してゾーンを定義すると、Guard は 表6-3 で説明するポリシー テンプレートを使用します。Guard は、ポリシー テンプレート http、
tcp_connections、および tcp_outgoing をポリシー テンプレート http_ns、tcp_connections_ns、および tcp_outgoing_ns に置き換えます。ポリシー テンプレート http_ns、tcp_connections_ns、および tcp_outgoing_ns からは、強化保護レベルをトラフィック フローに適用することを Guard に求めるアクションを持つポリシーは作成されません。

 

表6-3 TCP_NO_PROXY ポリシー テンプレート

ポリシー テンプレート
作成される一連のポリシーの関連先

tcp_connections_ns

TCP 接続の特性。

tcp_outgoing_ns

ゾーンによって開始された TCP 接続。

http_ns

ポート 80(デフォルト)またはその他のユーザ設定ポートを通過する HTTP トラフィック。

ポリシー テンプレートの設定の変更

ラーニング プロセス中、Guard は、透過的に流れるトラフィックを分析します。アクティブなポリシー テンプレートはそれぞれ、ポリシー定義とゾーンのトラフィック特性に基づいて、ポリシーのグループを生成します。Guard は、ポリシー テンプレートが監視するサービス(プロトコルとポート番号)をトラフィック量のレベルによってランク付けします。次に Guard は、トラフィック量が最大のサービス、および定義済みの最小しきい値を超えたサービスを選択し、各サービスのポリシーを作成します。ポリシー テンプレートの中には、特定のポリシーが追加されなかったすべてのトラフィック フローを any というサービスで処理するために、追加のポリシーを作成するものもあります。

次のようにポリシー テンプレートのパラメータを変更し、ポリシー構築フェーズを管理することができます。

ポリシー テンプレートをイネーブルまたはディセーブルにします。ポリシー構築フェーズ中にポリシーを生成できるのは、イネーブルになっているポリシー テンプレートだけです。

ポリシー テンプレートがラーニング プロセスのどの時点でサービスのトラフィック量に基づいてポリシーを作成するかを制御します。

ポリシー構築フェーズ中に Guard がポリシー テンプレートを使用して作成できるポリシーの最大数を定義します。

ポリシー テンプレートの設定を変更するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Configuration > Policy templates > View を選択します。Policy Templates 画面が表示されます。

ステップ 3 ポリシー テンプレートを選択します。Config Policy Template 画面が表示されます。

ステップ 4 ポリシー テンプレートの目的のパラメータを変更します。 表6-4 に、Policy Template フォームに表示されるポリシー テンプレートのパラメータの説明を示します。選択したポリシー テンプレートのタイプに応じて、このテーブルに表示されている一部または全部のパラメータが編集対象として表示されます。

 

表6-4 ポリシー テンプレートのパラメータ

パラメータ
説明

State

ポリシー テンプレートの動作状態。次のいずれかのオプションを選択します。

enable:Guard は、ラーニング プロセスのポリシー構築フェーズ実行中にポリシー テンプレートをトラフィック フローに適用します。Guard は、サービスを検出すると、そのサービス用に設計されているポリシー テンプレートの規則に基づいて、新しいポリシーを作成します。

disable:Guard は、ラーニング プロセスのポリシー構築フェーズ実行中にポリシー テンプレートをトラフィック フローに適用しません。ディセーブルになっているポリシー テンプレートに関連付けられたサービスを検出した場合、Guard は新しいポリシーを作成しません。


注意 ポリシー テンプレートをディセーブルにすると、ゾーン保護に大きな支障をきたす恐れがあります。ポリシー テンプレートをディセーブルにした場合、Guard は、そのポリシー テンプレートが管理対象にしている悪意のあるトラフィック タイプを管理するポリシーを作成しません。

Min Threshold

サービスの最小トラフィック量。サービスのトラフィック レートがしきい値を超過すると、Guard は、しきい値を超過した特定のトラフィック フローに応じて、そのサービス トラフィックに関連するポリシーを構築します。このしきい値を設定することにより、保護動作をより適切にゾーン サービスの既知のトラフィック量に合せることができます。

適切なトラフィック保護に不可欠なポリシー テンプレートの最小しきい値パラメータを設定することはできません。tcp_services、udp_services、other_protocols、http、fragments などのポリシーでは、ゾーンのトラフィックの必要に応じて常にポリシーが作成されます。

最小しきい値レートを入力します(パケット/秒単位)。同時接続および SYN/FIN 比率を測定する場合、しきい値は接続の合計数です。

Max Services

ポリシー テンプレートがポリシーを選択して作成する対象となるサービス(プロトコル番号またはポート番号)の最大数。Guard は、ポリシー テンプレートが関連しているサービスを、各サービスのトラフィック量のレベルによってランク付けします。次に Guard は、トラフィック量が最大のサービス、および定義済みの最小しきい値( min-threshold パラメータで定義したもの)を超えたサービスを選択し、各サービスのポリシーを作成します。Guard は、any というサービスが含まれたポリシーを追加して、このポリシー テンプレートの特性を備えた他のすべてのトラフィック フローを処理する場合もあります。


) サービスの最大数が大きいほど、ゾーンは多くのメモリを使用します。


最大サービス数パラメータは、tcp_services、tcp_services_ns、udp_services、および他のプロトコルなどのサービスを検出するポリシー テンプレートだけに定義できます。最大サービス数は、特定のサービスを監視するポリシー テンプレート(サービス 53 を監視する dns_tcp など)や、特定のトラフィック特性に関連するポリシー テンプレート( fragments など)には定義できません。

Guard は、ポリシーのトラフィック特性に基づいて、サービスのトラフィック レートを測定します。トラフィック特性は、送信元 IP アドレスまたは宛先 IP アドレスです。サービス any を監視するポリシーは、特定のポリシーによって処理されないために精密ではないすべてのサービス上の送信元 IP アドレスのレートを測定します。

サービス数を制限することにより、独自のトラフィック フロー要件に合せて Guard ポリシーを設定できます。

ステップ 5 次のいずれかのオプションを選択します。

OK :新しいポリシー テンプレートの設定を保存します。Policy Template 画面が表示されます。

Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。

Cancel :情報を保存せずに Config policy template 画面を終了します。Policy Template 画面が表示されます。


 

特定のポリシー テンプレートで作成されたすべてのポリシーに関してサービスを追加または削除する方法については、「ゾーンのポリシーの管理」「サービスの追加」または「サービスの削除」の項を参照してください。