Cisco Guard Web-Based Manager コンフィギュレーション ガイド Software Release 6.1
ゾーン保護のアクティブ化
ゾーン保護のアクティブ化
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

ゾーン保護のアクティブ化

ゾーン保護のアクティべーションのオプションについて

オンデマンド保護について

Protect 機能および Protect and Learn 機能について

自動およびインタラクティブ ゾーン動作モード

保護のアクティベーション方式

ゾーン保護の管理

ゾーン保護のアクティブ化

オンデマンド保護のアクティブ化

ゾーン名が不明な場合の IP アドレスの保護

ゾーン トラフィックの宛先変更および保護の確認

ゾーン保護の非アクティブ化

動的フィルタの管理

動的フィルタのリストの表示

動的フィルタの詳細の表示

動的フィルタの追加

動的フィルタの削除

動的フィルタの作成の防止

自動保護モードまたはインタラクティブ保護モードのアクティブ化

自動保護モードのアクティブ化

インタラクティブ保護モードでのゾーンのアクティブ化

保留動的フィルタの数が 1000 を超えた場合の対応

動的フィルタに関する の推奨事項の管理

推奨事項の表示

推奨事項への対応

推奨事項の保留動的フィルタの表示

保留動的フィルタの詳細の表示

保留動的フィルタの受け入れ

ゾーン保護のアクティブ化

この章では、Cisco Guard(Guard)でゾーン保護をアクティブにする方法について説明します。Guard の CLI または WBM を使用して手動で行う方法と、Cisco Traffic Anomaly Detector(Detector)などの外部トリガー デバイスを使用して自動的に行う方法があります。

Guard の付属製品である Detector は、Distributed Denial of Service(DDoS; 分散型サービス拒絶)攻撃検出デバイスで、ゾーンのトラフィックのコピーを分析します。Detector は、ゾーンが攻撃を受けていると判断したときに、Guard の攻撃軽減サービスをアクティブにすることができます。また、Detector はゾーンの設定を Guard と同期させることもできます。Detector の詳細については、『 Cisco Traffic Anomaly Detector Module Configuration Guide 』および『 Cisco Traffic Anomaly Detector Configuration Guide 』を参照してください。

この章は、次の項で構成されています。

ゾーン保護のアクティべーションのオプションについて

ゾーン保護の管理

動的フィルタの管理

自動保護モードまたはインタラクティブ保護モードのアクティブ化

動的フィルタに関する Guard の推奨事項の管理

ゾーン保護のアクティべーションのオプションについて

ゾーン保護がアクティブになると、Guard はゾーンのポリシーをトラフィック フローに適用します。ポリシーのしきい値超過が発生し(攻撃があったことを示す)、トラフィック異常によってポリシー アクションがトリガーされた場合、Guard は攻撃を軽減するために動的フィルタの作成を開始します。トラフィックの動的フィルタを作成する必要がなくなると、Guard は攻撃が終了したものと判断します。

Guard には、ゾーン保護を実行するためのオプションが複数用意されています。たとえば、Guard でゾーン保護動作のあらゆる面を管理することや、攻撃の進行中に Guard のアクションを監視し、指示することができます。次のゾーン保護の特性を定義することもできます。

アクティべーション方式:ゾーン名、ゾーンのアドレス範囲、または受信したトラフィックに応じてゾーンをアクティブにします。外部デバイス(Detector など)によってゾーンの保護がアクティブになる場合は、アクティべーション方式を設定する必要があります。

アクティべーション範囲:ゾーンのアドレス範囲全体またはゾーン内の特定の IP アドレスのみに対してゾーンの保護をアクティブにします。アクティべーション範囲は、Detector などの外部デバイスによってゾーンの保護がアクティブになる場合にのみゾーンに適用されます。

保護の終了のタイムアウト:Guard がゾーンの保護を終了するタイムアウトを定義します。

この項は、次の内容で構成されています。

オンデマンド保護について

Protect 機能および Protect and Learn 機能について

自動およびインタラクティブ ゾーン動作モード

保護のアクティベーション方式

オンデマンド保護について

Guard でゾーン トラフィックをラーニングする前にゾーンを保護する必要がある場合、事前定義されているゾーン テンプレートの 1 つを使用してゾーンを保護することができます。これが オンデマンド保護 です。ゾーン テンプレートに事前定義されているポリシーとフィルタは、Guard にとって未知のトラフィック特性を持つゾーンを保護することができます。これらのゾーン ポリシーのデフォルトのしきい値は、Guard がゾーン トラフィックにトラフィック異常を検出するとすぐにスプーフィング防止機能をアクティブにできるよう調整されています。

Guard は特定のゾーン トラフィック パターンを認識していないので、送信元 IP アドレスのブロック(ドロップ)に使用される事前定義されたしきい値は、高い値に設定されています。オンデマンド保護では、非スプーフィング攻撃の軽減中に人間が介在する必要があります。ゾーンの正当なトラフィック レートおよび悪意のあるトラフィック レートを監視し、Guard の軽減アクションを表示する必要があります。

ゾーンに対する攻撃があり、次の条件のいずれかが当てはまる場合、ゾーンにオンデマンド保護を使用できます。

ゾーンがラーニング プロセスに入っている。

Protect and Learn 機能をイネーブルにしたが、Guard がゾーンのトラフィック特性をラーニングしていない。

ゾーンのトラフィックを表していない可能性のあるポリシーのしきい値を受け入れた。

Guard は、ゾーンのトラフィックをラーニングすると、オンデマンド保護に使用したゾーン設定ポリシーを、ゾーン専用に作成したポリシーに置き換えます。

Protect 機能および Protect and Learn 機能について

手動でゾーン保護をアクティブにする場合、Guard では次のゾーン保護オプションを使用できます。

Protect:Guard は、ゾーンのトラフィックを分析し、ゾーン トラフィックにトラフィック異常を検出すると、動的フィルタの作成を開始します。

Protect and Learn 機能:Guard は、最後に受け入れたしきい値を使用してゾーン トラフィックの異常を監視しながら、ラーニング プロセスのしきい値調整フェーズを開始します。しきい値調整フェーズ用にトラフィックを分析する間、Guard はゾーン設定のポリシーのしきい値を、新しいしきい値の情報で自動的に調整します。トラフィックの分析中に攻撃を検出した場合、Guard は、攻撃の軽減中に攻撃トラフィックのしきい値をラーニングしないよう、しきい値調整フェーズを一時停止します。ゾーンに対する攻撃が終了すると、Guard はしきい値調整フェーズを再開します。

自動およびインタラクティブ ゾーン動作モード

Guard では、次のいずれかの動作モードでゾーンを保護するように設定できます。

自動保護モード:攻撃中に作成した動的フィルタを自動的にアクティブにします。

インタラクティブ保護モード:攻撃中に動的フィルタを作成しますが、アクティブにしません。代わりに、Guard は 推奨事項 として動的フィルタをグループ化します。ユーザは推奨事項を確認して、動的フィルタを受け入れるか、無視するか、自動アクティべーションに誘導するかを決定します。

ゾーン設定の動作モード設定は、いつでも変更することができます。

保護のアクティベーション方式

ゾーンの設定内容に応じて、Guard は、ゾーン名、または宛先変更されたトラフィックから抽出する情報に基づいて、ゾーン保護をアクティブにします。保護をアクティブにする方式として、次のものを使用できます。

ゾーン名:Guard は、ゾーン名に基づいてゾーン保護をアクティブにします。

IP アドレス:Guard は、ゾーンのアドレス範囲の一部である IP アドレス、またはサブネットで構成された外部からの攻撃の兆候を受信した場合に、ゾーン保護をアクティブにします。

パケット:Guard は、データベースでゾーンのパケットを受信した場合に、ゾーン保護をアクティブにします。

IP アドレスまたはパケット:Guard は、ゾーンを宛先とするトラフィック(パケット)を受信した場合、またはゾーンのアドレス範囲の一部である IP アドレスまたはサブネットで構成される外部からの攻撃の兆候を受信した場合に、ゾーン保護をアクティブにします。

保護のアクティベーション方式の詳細については、「ゾーンの作成と設定」「保護のアクティベーション方式について」の項を参照してください。

ゾーン保護の管理

この項では、ゾーン保護を手動でアクティブにする方法、ゾーン保護を非アクティブにする方法、およびゾーン保護をアクティブにした後でトラフィックの宛先変更と保護を確認する方法について説明します。

この項は、次の内容で構成されています。

ゾーン保護のアクティブ化

オンデマンド保護のアクティブ化

ゾーン名が不明な場合の IP アドレスの保護

ゾーン トラフィックの宛先変更および保護の確認

ゾーン保護の非アクティブ化

ゾーン保護のアクティブ化

ゾーン保護をアクティブにするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、ゾーン保護をアクティブにします。

Protect のみをアクティブにするには、 Protect をクリックするか、ゾーンのメイン メニューで Protection > Protect を選択します。

Protect and Learn をアクティブにするには、 Protect & Learn をクリックします。

Guard は、ゾーン トラフィックを自身に宛先変更し、異常についてトラフィック フローの分析を開始します。正当なトラフィックは、その目的の宛先へと転送されるネットワークに再び注入されます。悪意のあるトラフィックは Guard によってフィルタリングされ、ドロップされます。

ナビゲーション ペインの Protected Zones リストにゾーン名が追加され、最近のイベント テーブルには、 保護されるゾーン の詳細なリストとともに、 保護開始 のイベント タイプが表示されます。

ゾーンのステータス アイコンが保護 に変更されます。


 

オンデマンド保護のアクティブ化

オンデマンド保護を使用すると、Guard がゾーン固有のトラフィック特性をラーニングして、それに従ってゾーン ポリシーを設定する前に、ゾーンを保護できます。オンデマンド保護を使用するには、ゾーン テンプレートの 1 つを使用して新しいゾーンを作成します。Guard は、ゾーン テンプレートの定義済みポリシーとポリシーしきい値を使用してゾーンを保護します。ゾーンに対する攻撃があり、次の条件のいずれかが当てはまる場合、ゾーンにオンデマンド保護を使用できます。

ラーニング プロセスをアクティブにしたが、Guard のゾーンがゾーンのトラフィック特性のラーニング プロセスを完了していない。

Protect and Learn 機能をアクティブにしたが、Guard がゾーンのトラフィック特性をラーニングしていない。

ゾーンのトラフィック レートを正確に表していない可能性のあるポリシーのしきい値を受け入れた。

オンデマンド保護をアクティブにするには、次の手順を実行します。


ステップ 1 次の手順を実行して、攻撃を処理する新しいゾーンを作成します。

a. ナビゲーション ペインの Guard Summary をクリックして、Guard の要約メニューを表示します。

b. Guard の要約メニューで Zones > Create Zone を選択します。

c. ゾーン設定のパラメータを設定します。

詳細については、「ゾーンの作成と設定」「ゾーン テンプレートからのゾーンの作成」の項を参照してください。

ステップ 2 ナビゲーション ペインで、作成したゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 3 Protect をクリックしてゾーン保護をアクティブにします。Guard は、ゾーン トラフィックを自身に宛先変更し、異常についてトラフィック フローの分析を開始します。正当なトラフィックは、その目的の宛先へと転送されるネットワークに再び注入されます。悪意のあるトラフィックは Guard によってフィルタリングされ、ドロップされます。

ナビゲーション ペインの Protected Zones リストにゾーン名が追加され、最近のイベント テーブルには、保護されるゾーンの詳細なリストとともに、保護開始のイベント タイプが表示されます。

ゾーンのステータス アイコンが保護 に変更されます。

ステップ 4 ゾーンのトラフィック パターンを分析します(「Guard およびゾーンの動作の監視」「ゾーンのカウンタの表示」の項を参照)。


 

ゾーン名が不明な場合の IP アドレスの保護

特定の IP アドレスが含まれている IP アドレス範囲を持つゾーンの名前が不明な場合でも、その IP アドレスを保護することができます。Guard は、IP アドレスのアクティベーション方式に基づいて、特定の IP アドレスが含まれている IP アドレス範囲を持つゾーンのゾーン保護をアクティブにします。詳細については、「ゾーンの作成と設定」「保護のアクティベーション方式について」の項を参照してください。

特定の IP アドレスの保護をアクティブにするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインの Guard Summary をクリックします。Guard の要約メニューが表示されます。

ステップ 2 Guard の要約メニューで Main > Protect IP を選択します。Protect IP 画面が表示されます。

ステップ 3 表9-1 の説明に従って、保護する IP アドレスを入力します。

 

表9-1 保護 IP アドレスの定義

パラメータ
説明

IP address

ゾーンのアドレス範囲内にある特定の IP アドレス。IP アドレスをドット付き 10 進表記で入力します。たとえば、192.168.5.6 と入力します。

IP mask

ゾーン保護をアクティブにするサブネット マスク。IP アドレスをドット付き 10 進表記で入力します。たとえば、255.255.255.252 と入力します。

ステップ 4 OK をクリックして保護をアクティブにします。


 

ゾーン トラフィックの宛先変更および保護の確認

ゾーンのステータス画面からトラフィックのカウンタを表示すると、ゾーン トラフィックが Guard に正常に宛先変更されているかどうか、および保護プロセスが動作しているかどうかを確認できます。

ゾーンのステータス画面を表示するには、ナビゲーション ペインでゾーンをクリックします。ゾーンのステータス画面に次の項目が表示される場合、トラフィックの宛先変更が機能しています。

トラフィック レート テーブルの正当なトラフィック レートが、0 より大きい値を示している。

最近のイベント テーブルに、 保護されるゾーン の詳細なリストとともに、 保護開始 のイベント タイプが表示される。

悪意のあるトラフィック レートが 0 より大きい場合、攻撃が進行中です。攻撃の進行中にゾーン保護が適切に機能していることを確認するには、ゾーンのステータス画面で次のことを確認します。

ゾーンのステータス テーブルに示されているアクティブな動的フィルタの数が 0 より大きい。

ゾーンをインタラクティブ保護モードに設定した場合、保留動的フィルタの数が 0 より大きい可能性があります。保留動的フィルタをアクティブにする必要があります。詳細については、「動的フィルタに関する Guard の推奨事項の管理」の項を参照してください。

トラフィック レート テーブルに示されている正当なトラフィック レートが 0 より大きい。

ゾーンに対する攻撃がなく、疑わしいトラフィックの兆候もない場合、Guard はすべての宛先変更されたトラフィックを正当なトラフィックと見なし、ゾーンに転送します。その結果、Legitimate トラフィック カウンタのレートは、Received トラフィック カウンタのレートと同じになります。Received トラフィック カウンタの表示方法や、他の Guard の診断ツールの使用方法の詳細については、「Guard およびゾーンの動作の監視」を参照してください。

ゾーン保護の非アクティブ化

ゾーンに対する攻撃がなく、別のソース(Detector など)を利用してゾーン トラフィックの異常を検出する場合は、ゾーン保護を非アクティブにし、トラフィックの Guard への宛先変更を終了してもかまいません。

ゾーン保護を非アクティブにするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、保護されているゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 ゾーンのステータス画面および攻撃レポート画面で、ゾーン保護を非アクティブにする前に、ゾーンが現在攻撃されていないことを確認します。

ステップ 3 次のいずれかの方法で、ゾーン保護を非アクティブにします。

ゾーンのステータス画面の Deactivate をクリックします。

ゾーンのメイン メニューで Protection > Deactivate を選択します。

Protect 機能のみをイネーブルにしていた場合、Guard はゾーン トラフィックを自身に宛先変更することを停止し、ゾーンのステータス アイコンはスタンバイ に変更されます。

Protect and Learn 機能をイネーブルにしていた場合、Deactivate ウィンドウが表示されます。手順 4 に進みます。

ステップ 4 Stop Protection チェックボックスをオンにします。

ステップ 5 (オプション) Stop Learning チェックボックスをオンにしてラーニング プロセスのしきい値調整フェーズを停止し、Deactivate ウィンドウで次のいずれかのオプションを選択して、Guard が新しいしきい値を処理する方法を定義します。

Reject :しきい値調整フェーズの現在の結果を無視します。

Accept :しきい値調整フェーズの現在の結果を、ゾーンの設定に使用します。使用するしきい値の選択方法を定義できます。

表9-2 に、しきい値の選択方法のパラメータの説明を示します。

 

表9-2 しきい値の選択方法

パラメータ
説明

Threshold selection method

受け入れるしきい値を選択する方法。ドロップダウン リストから、次のいずれかのオプションを選択します。

Accept new thresholds:ラーニング プロセスの結果をゾーンの設定に保存します。

Accept max. thresholds:ポリシーの現在のしきい値とラーニングしたしきい値とを比較し、値の大きい方をゾーンの設定に保存します。これがデフォルトの方法です。

Accept weighted thresholds:次の公式に基づいて、保存するポリシーのしきい値を計算します。

新しいしきい値 =(ラーニングしたしきい値 * 重み + 現在のしきい値 * (100 - 重み)) / 100

Weight フィールドに重み値を入力します。

Keep current thresholds:ラーニング プロセスの提案されたしきい値をすべて拒否します。ポリシーは、現在のしきい値を保持します。

Weight

Guard が新しいしきい値の計算に使用する重みを定義します。このオプションは、Accept weighted thresholds という方法を選択した場合にだけアクティブになります。次の式に、Guard が使用する重み値を入力します。

新しいしきい値 =(ラーニングしたしきい値 * 重み + 現在のしきい値 *(100 - 重み)) / 100

ステップ 6 OK をクリックして、選択内容を確認します。Guard がゾーン トラフィックを自身に宛先変更することを停止します。ナビゲーション ペインの Protected Zones リストからゾーン名が削除されます。


 

動的フィルタの管理

動的フィルタは、必須の保護レベルをトラフィック フローに適用し、攻撃を軽減する方法を定義します。Guard は、フローがゾーン ポリシーのしきい値を超えた場合にゾーン トラフィックに異常を検出し、動的フィルタを作成して、このフィルタ セットをゾーンのトラフィックおよび特定の DDoS 攻撃に合せて継続的に調整します。保護されているゾーンで攻撃が発生している場合にのみ、動的フィルタを表示および管理できます。Guard は、ゾーン保護がアクティブになっていて、そのゾーンが攻撃を受けている場合にのみ動的フィルタを作成します。

動的フィルタのタイムアウトが満了すると、Guard は、現在のトラフィック状態に基づいて動的フィルタを非アクティブにするかどうかを決定します。Guard が動的フィルタを非アクティブにしないことを決定した場合、フィルタはポリシー タイムアウト パラメータが定義した期間中はアクティブなままです。次の条件の どちらか に当てはまる場合、Guard は動的フィルタを非アクティブにします。

ゾーンにおける悪意のあるトラフィックの合計レート(スプーフィングされたトラフィックとドロップされたトラフィックの合計)が、Zone-malicious-rate termination threshold 以下である。

動的フィルタがトラフィック レートを測定し(フィルタのレート カウンタに N/A と表示されていない)、Filter-rate termination threshold が次の両方の値以上である。

動的フィルタの現在のトラフィック レート。

ユーザが設定した期間内における動的フィルタの平均トラフィック レート。この期間はポリシー タイムアウト パラメータによって定義されます。


) アクションが to-user-filters、block-unauthenticated、redirect/zombie、または notify の動的フィルタは、トラフィック レートを測定しません。


攻撃中に手動でゾーン保護を制御するには、攻撃中に動的フィルタを追加または削除します。攻撃が終了すると、Guard は動的フィルタをすべて削除します。

この項は、次の内容で構成されています。

動的フィルタのリストの表示

動的フィルタの詳細の表示

動的フィルタの追加

動的フィルタの削除

動的フィルタの作成の防止

動的フィルタのリストの表示

動的フィルタのリストを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、保護されているゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、動的フィルタのリストを表示します。

ゾーンのメイン メニューで Protection > Dynamic filters を選択します。

ゾーンのステータス テーブルで Active dynamic filters をクリックします。

Dynamic Filters 画面が表示されます。


 

動的フィルタのテーブルには、動的フィルタを作成したポリシーに従って動的フィルタが示され、進行中の攻撃に関する情報が表示されます。 表9-3 に、動的フィルタのテーブルに表示される情報の説明を示します。

 

表9-3 動的フィルタのテーブルに含まれているフィールドの説明

フィールド
説明

Created by

動的フィルタを作成したポリシー。ポリシーの名前をクリックすると、ポリシーの詳細が表示されます。

Activation

フィルタがアクティブになった日時。

Expiration

フィルタの満了時間。フィルタの有効期限が満了すると、Guard は動的フィルタの終了基準に基づいて、動的フィルタを非アクティブにするかどうかを決定します。Guard が動的フィルタを非アクティブにしないことを決定した場合、フィルタはポリシー タイムアウト パラメータが定義した期間中はアクティブなままです。

Src IP

動的フィルタの適用対象となる送信元 IP アドレス。

Protocol

動的フィルタの適用対象となるプロトコルの番号。

Dst Port

動的フィルタの適用対象となる宛先ポート。

Fragments

トラフィック フローの断片化設定。攻撃ストリームに、断片化されたパケットが含まれているかどうかを指定します。

Action

動的フィルタが実行するアクション。次の動的フィルタ アクションのいずれかを選択します。

to-user-filters:トラフィックをユーザ フィルタに転送します。デフォルトのユーザ フィルタを変更した場合は、動的フィルタを処理するユーザ フィルタが存在することを確認してください。

filter/strong:特定のトラフィックに強化保護スプーフィング防止機能を適用します。

filter/drop:トラフィックをドロップします。

block-unauthenticated-basic:基本的なスプーフィング防止機能を拡張して、認証されなかったトラフィック フローをドロップします。

block-unauthenticated-strong:強力なスプーフィング防止機能を拡張して、認証されなかったトラフィック フローをドロップします。

block-unauthenticated-dns:Domain Name System(DNS)スプーフィング防止機能により未認証と定義された、DNS UDP サーバ(プロトコル=UDP、ポート=53)宛てのトラフィック フローをドロップします。

redirect/zombie:basic/redirect のアクションが指定されたすべてのユーザ フィルタの認証を拡張します。

Rate (pps)

攻撃の概算レート(パケット/秒単位)。

Details

このフィルタに関する追加情報が存在することを示します。 i をクリックすると、追加情報が表示されます。

アスタリスク(*)は、フィルタがすべてのフィールド値に対して処理を実行すること、または複数の値がフィルタに一致したことを示します。

特定の動的フィルタの詳細の表示については、「動的フィルタの詳細の表示」の項を参照してください。

動的フィルタの詳細の表示

特定の動的フィルタの詳細情報を表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、保護されているゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、動的フィルタのリストを表示します。

ゾーンのメイン メニューで Protection > Dynamic filters を選択します。

ゾーンのステータス テーブルで Active dynamic filters をクリックします。このリンクは、アクティブな動的フィルタがある場合のみ有効となります。

Dynamic Filters 画面が表示されます。

ステップ 3 詳細を表示する動的フィルタの Details カラムにある i をクリックします。Dynamic Filter Details 画面が表示されます。


 

Dynamic Filter Details 画面には、次の攻撃情報に関する説明を示す 3 つのテーブルがあります。

フィルタを作成したポリシー。

軽減された攻撃。軽減されたフローは、検出された攻撃フローよりも範囲が広い可能性があります。たとえば、ポート 80 に対するスプーフィング以外の攻撃では、ポート 80 だけでなく、送信元 IP から発信されるすべての TCP トラフィックがブロックされます。

フィルタを作成したトリガー。 表9-4 に、トリガーのパラメータの説明を示します。

 

表9-4 トリガーに含まれているフィールドの説明

フィールド
説明

Policy Threshold

攻撃トラフィックが超過した、ポリシーのしきい値。

Triggering rate

フィルタの作成原因となった攻撃の概算レート。

動的フィルタの追加

ゾーンに対する攻撃中に、動的フィルタを追加してゾーン保護を制御できます。

動的フィルタを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、保護されているゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、動的フィルタのリストを表示します。

ゾーンのメイン メニューで Protection > Dynamic filters を選択します。

ゾーン ステータス ページのゾーンのステータス テーブルで Active dynamic filters をクリックします。

Dynamic filters 画面が表示されます。

ステップ 3 Add をクリックします。Add Dynamic Filter 画面が表示されます。

ステップ 4 表9-5 の説明に従って、動的フィルタのパラメータを定義します。

 

表9-5 動的フィルタに含まれているフィールドの説明

フィールド
説明

Source IP

特定の IP アドレスから送信されるトラフィックを動的フィルタに転送します。IP アドレスをドット付き 10 進表記で入力します(たとえば、192.168.100.1)。すべての IP アドレスを示すには、アスタリスク( * )を使用するか、ブランクのままにします。

Source Subnet

特定のサブネットから送信されるトラフィックを動的フィルタに転送します。サブネットを Source Subnet ドロップダウン リストから選択します。

Protocol

特定のプロトコルで送信されるトラフィックを動的フィルタに転送します。すべてのプロトコルを指定するには、アスタリスク( * )を使用するか、ブランクのままにします。

有効なプロトコル番号のリストについては、次の Internet Assigned Numbers Authority(IANA)の Web サイトを参照してください。

http://www.iana.org/assignments/protocol-numbers

Dst Port

特定のポートを宛先とするトラフィックを動的フィルタに転送します。すべての宛先ポートを指定するには、アスタリスク( * )を使用するか、ブランクのままにします。

有効なポート番号のリストについては、次の Internet Assigned Numbers Authority(IANA)の Web サイトを参照してください。

http://www.iana.org/assignments/port-numbers

Fragments

フィルタの処理基準となる断片化設定を指定します。Fragments ドロップダウン リストで、目的のトラフィック タイプを次のいずれかから選択します。

without:動的フィルタは、断片化されていないトラフィックを処理します。

with:動的フィルタは、断片化されているトラフィックを処理します。

* :動的フィルタは、断片化されたトラフィックと断片化されていないトラフィックの両方を処理します。

Action

特定のトラフィック タイプに対してフィルタが実行するアクションを指定します。フィルタのアクションを Action ドロップダウン リストから選択します。

to-user-filters:特定のトラフィックをユーザ フィルタに転送します。デフォルトのユーザ フィルタを変更した場合は、これらの動的フィルタを処理するユーザ フィルタが存在することを確認してください。

filter/strong:特定のトラフィックに強力な保護レベルのスプーフィング防止機能を適用します。

filter/drop:トラフィックをドロップします。

block-unauthenticated-basic:基本的な保護レベルのスプーフィング防止機能を拡張して、認証されなかったトラフィック フローをドロップします。

block-unauthenticated-strong:強力な保護レベルのスプーフィング防止機能を拡張して、認証されなかったトラフィック フローをドロップします。

block-unauthenticated-dns:DNS スプーフィング防止機能により認証されなかった、DNS UDP サーバ(プロトコル=UDP、ポート=53)宛てのトラフィックをドロップします。

redirect/zombie:basic/redirect のアクションが指定されたすべてのユーザ フィルタの認証を拡張します。

Timeout (Sec)

フィルタがアクティブである最短時間。次のいずれかのタイムアウト オプションを選択します。

時間を制限しない場合は、Forever チェックボックスをオンにします。

seconds チェックボックスをオンにして、フィルタがアクティブである時間(秒)を指定する 1 ~ 3,000,000 の整数を入力します。

ステップ 5 次のいずれかのオプションを選択します。

OK :動的フィルタの情報を保存します。Guard が新しい動的フィルタをアクティブにします。

Cancel :情報を保存せずに Add Dynamic filter 画面を終了します。Dynamic Filters 画面が表示されます。


 

動的フィルタの削除

Guard が動的フィルタのアクションをトラフィック フローに適用しないようにするには、動的フィルタを削除します。ゾーンの保護がイネーブルで、攻撃のトラフィック フローで変更がある場合、Guard が新しい動的フィルタを設定し続けるため、動的フィルタの削除が有効である期間は限られています。Guard が不要な動的フィルタを作成しないようにするには、「動的フィルタの作成の防止」の項を参照してください。

動的フィルタを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、保護されているゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、動的フィルタを表示します。

ゾーンのメイン メニューで Protection > Dynamic filters を選択します。

ゾーンのステータス テーブルで Active dynamic filters をクリックします。

Dynamic filters 画面が表示されます。

ステップ 3 削除する動的フィルタの隣にあるチェックボックスをオンにします。

ステップ 4 Delete をクリックして、動的フィルタを削除します。


 

動的フィルタの作成の防止

ゾーンに転送するトラフィックに Guard が動的フィルタを適用している場合、Guard がこれらの動的フィルタを作成しないように設定するには、次のアクションのいずれかを実行します。

動的フィルタを作成するポリシーを非アクティブにする(「ゾーンのポリシーの管理」「ポリシーのパラメータの変更」の項を参照)。動的フィルタのリストを表示して、不要な動的フィルタを作成したポリシーを特定するには、「動的フィルタのリストの表示」の項を参照してください。

目的のトラフィック フロー用のバイパス フィルタを設定する。詳細については、「ゾーン フィルタの設定」「バイパス フィルタの管理」の項を参照してください。

不要な動的フィルタを作成したポリシーのしきい値を大きくする。詳細については、「ゾーンのポリシーの管理」「ポリシーのパラメータの変更」の項を参照してください。

自動保護モードまたはインタラクティブ保護モードのアクティブ化

ゾーンを保護するときに Guard が次のいずれかのモードで動作するよう設定することによって、ゾーンの動的フィルタのアクティべーションを制御できます。

自動保護モード:Guard は、作成する動的フィルタをすべてアクティブにします。この動作モードはデフォルトです。

インタラクティブ保護モード:Guard は、そのゾーンに対して作成する動的フィルタを自動的にアクティブにしません。代わりに、動的フィルタを保存し、推奨事項としてグループ化します。攻撃の進行中に Guard が作成する動的フィルタ推奨事項に対応する必要があります。推奨事項を確認して、動的フィルタを受け入れるか、無視するか、自動アクティべーションに誘導するかを決定します。

ゾーンの保護モードの動作は、ゾーンの設定の一部として設定します。ゾーンの保護モードの設定は、Guard がゾーンに対する攻撃を軽減しているときを含めて、いつでも変更できます。

この項は、次の内容で構成されています。

自動保護モードのアクティブ化

インタラクティブ保護モードでのゾーンのアクティブ化

保留動的フィルタの数が 1000 を超えた場合の対応

自動保護モードのアクティブ化

ゾーンを自動保護モードでアクティブにするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 ゾーンのメイン メニューで Configuration > General を選択します。General 画面が表示されます。

ステップ 3 Config をクリックします。Config 画面が表示されます。

ステップ 4 Operation Mode ドロップダウン リストから、 automatic を選択します。

ステップ 5 OK をクリックします。Guard が、ゾーンの新しい動作モード設定で、ゾーンの設定をアップデートします。ゾーン保護が現在アクティブになっている場合、Guard は保留動的フィルタと新しい動的フィルタをすべて自動的にアクティブにします。


 

インタラクティブ保護モードでのゾーンのアクティブ化

ゾーンをインタラクティブ保護モードでアクティブにするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 ゾーンのメイン メニューで Configuration > General を選択します。General 画面が表示されます。

ステップ 3 Config をクリックします。Config 画面が表示されます。

ステップ 4 Operation Mode ドロップダウン リストから、 interactive を選択します。

ステップ 5 OK をクリックします。Guard が、ゾーンの新しい動作モード設定で、ゾーンの設定をアップデートします。ゾーン保護が現在アクティブになっている場合、Guard は、ゾーン トラフィックに異常を検出すると、推奨事項を作成します。


 

保留動的フィルタの数が 1000 を超えた場合の対応

保留動的フィルタの数が 1000 を超えた場合、Guard は次のアクションを実行します。

エラー メッセージを表示して、ゾーンを非アクティブにしてから自動検出モードで再度アクティブにするよう指示する。

推奨事項をゾーンのログ ファイルに記録してから破棄する。

Guard に 1000 を超える保留動的フィルタがあるときにゾーン トラフィックに異常を検出するには、次の手順を実行して、ゾーンの動作を自動保護モードに設定する必要があります。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 Deactivate をクリックします。Guard がゾーン保護を停止し、保留動的フィルタをすべて削除します。

ステップ 3 ゾーンのメイン メニューで Configuration > General を選択します。General 画面が表示されます。

ステップ 4 Config をクリックします。Config 画面が表示されます。

ステップ 5 Operation Mode ドロップダウン リストから automatic を選択し、 OK をクリックします。ゾーンの設定が新しい保護設定でアップデートされます。

ステップ 6 Protect をクリックします。Guard が自動保護モードの動作を開始し、動的フィルタを作成してそのすべてをアクティブにします。


 

動的フィルタに関する Guard の推奨事項の管理

Guard は、インタラクティブ動作モードでゾーンの保護を実行している場合、攻撃を軽減するために作成されたがアクティブになっていない動的フィルタのリストを生成します。このリストの動的フィルタは、保留動的フィルタと呼ばれます。Guard は、保留動的フィルタを作成したポリシーに基づいて保留動的フィルタをグループ化し、推奨事項として表示します。ユーザは、Guard の推奨事項(関連付けられた保留動的フィルタをすべて含む)に対応することも、個々の保留動的フィルタに対応することもできます。

この項は、次の内容で構成されています。

推奨事項の表示

推奨事項への対応

推奨事項の保留動的フィルタの表示

保留動的フィルタの詳細の表示

保留動的フィルタの受け入れ

推奨事項の表示

Guard では、新しい推奨事項が使用可能になると、次の場所に推奨事項のアイコン が表示されます。

ナビゲーション ペインにある、 All Zones リストのゾーン アイコンの隣

ナビゲーション ペインにある、 Protected Zones リストのゾーン アイコンの隣

ゾーン ステータス バーにあるゾーン ページ

ゾーン リストのテーブル

Guard に新しい推奨事項がある場合は、ゾーンのステータス画面に表示される保留動的フィルタの数が 0 を超えています。

推奨事項のリストを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。

ゾーンのメイン メニューで Protection > Recommendations を選択します。

ゾーンのステータス テーブルで Pending Dynamic filters をクリックします。

Recommendations 画面が表示されます。


 

表9-6 に、推奨事項テーブルに含まれているフィールドの説明を示します。

 

表9-6 推奨事項テーブルに含まれているフィールドの説明

フィールド
説明

ID

Guard が推奨事項に割り当てた識別番号。

Recommendation

Guard が推奨するアクション。

Created By

フィルタを作成したポリシー。ポリシーの名前をクリックすると、ポリシーの詳細が表示されます。

# of PFs

推奨事項に関連付けられている保留動的フィルタの数。保留になっている各フィルタは、トラフィック フローがポリシーのしきい値を超過した結果、作成されたものです。数値をクリックすると、推奨事項に関連付けられている保留動的フィルタが表示されます。

Attack flow

攻撃フローに関する情報。攻撃フローに関する次の詳細が提供されます。

Src IP :送信元 IP アドレス。

Protocol :プロトコル番号。

Dst Port :宛先ポート。

Dst IP :宛先 IP アドレス。

Thr.

攻撃フローが超過した、ポリシーのしきい値。

Min.

攻撃レートの最小値。いくつかの保留フィルタを含んでいる推奨事項において、保留動的フィルタの最小のレートが表示されます。

Max.

攻撃レートの最大値。いくつかの保留動的フィルタを含んでいる推奨事項において、保留動的フィルタの最大のレートが表示されます。

Creation

推奨事項が作成された日時。

パラメータの 1 つにワイルドカードとしてアスタリスク(*)が使用される場合、次の状態であることを示します。

値が特定されていない。

パラメータに対して複数の値が測定されている。それぞれの値を表示するには、すべての保留動的フィルタのリストを確認します。

推奨事項への対応

推奨事項に対応するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。

ゾーンのメイン メニューで Protection > Recommendations を選択します。

ゾーンのステータス テーブルで Pending Dynamic filters をクリックします。

Recommendations 画面が表示されます。

ステップ 3 Filters timeout ボックスに、フィルタのタイムアウト値(秒)を入力します。

ステップ 4 対応する推奨事項の隣にあるチェックボックスをオンにします。

ステップ 5 次のいずれかのボタンをクリックします。

accept :特定の推奨事項を受け入れます。Guard は、推奨事項に関連付けられた保留動的フィルタをアクティブにします。

always-accept :特定の推奨事項を受け入れます。現在の攻撃期間では、Guard は、推奨事項を作成したポリシーの推奨事項を自動的に受け入れます。このアクションを実行すると、Guard はそのような推奨事項を表示しなくなります。

always-ignore :特定の推奨事項を無視します。現在の攻撃期間では、Guard は、推奨事項を作成したポリシーの推奨事項を自動的に無視します。将来の攻撃でポリシーが推奨事項を作成しないようにするには、そのポリシーをディセーブルまたは非アクティブにします(「ゾーンのポリシーの管理」「ポリシーのパラメータの変更」の項を参照)。

特定の推奨事項への対応として決定した always-ignore または always-accept は、その推奨事項の保留動的フィルタを作成したポリシーのインタラクティブ状態を変更することによって変更できます。


 

推奨事項に関連付けられている動的フィルタをすべて受け入れるのではなく、保留動的フィルタの一部を選択して受け入れることもできます。詳細については、「推奨事項の保留動的フィルタの表示」の項を参照してください。

推奨事項の保留動的フィルタの表示

推奨事項を作成した保留動的フィルタを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。

ゾーンのメイン メニューで Protection > Recommendations を選択します。

ゾーンのステータス テーブルで Pending Dynamic filters をクリックします。

Recommendations 画面が表示されます。

ステップ 3 表示する推奨事項の # of PFs(Pending Filters; 保留中のフィルタ)カラムに表示されている数値をクリックします。Pending Dynamic Filters 画面が表示されます。


 

表9-7 に、保留動的フィルタのテーブルに含まれているフィールドの説明を示します。

 

表9-7 保留動的フィルタに含まれているフィールドの説明

フィールド
説明

Created by

保留動的フィルタを作成したポリシー。ポリシーの名前をクリックすると、ポリシーの詳細が表示されます。詳細については、「ゾーンのポリシーの管理」を参照してください。

Activation

保留動的フィルタが作成された日時。

Src IP

攻撃ストリームの送信元 IP アドレス。

Protocol

攻撃ストリームのプロトコル番号。

Dst Port

攻撃ストリームの宛先ポート。

Fragments

攻撃ストリームの断片化設定。攻撃ストリームの中に断片化されたパケットが含まれているかどうかを示します。

Action

フィルタが実行するアクション。

Recent rate

保留動的フィルタによって測定された現在の攻撃レート。

Rate (pps)

トリガー レート。動的フィルタの作成原因となった攻撃の概算レートです。

Details

このフィルタに関する追加情報が存在することを示します。 i をクリックすると、追加情報が表示されます。

パラメータの値がアスタリスク(*)になっている場合は、次のいずれかの状態であることを示します。

値が特定されていない。

フィルタのパラメータに対して複数の値が測定された。

Guard は、定義された期間中(フィルタ タイムアウト)にポリシーが作成した保留動的フィルタをアクティブにします。

保留動的フィルタの詳細の表示

動的フィルタの詳細情報を表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。

ゾーンのメイン メニューで Protection > Recommendations を選択します。

ゾーンのステータス テーブルで Pending Dynamic filters をクリックします。

Recommendations 画面が表示されます。

ステップ 3 表示する推奨事項の # of PFs(Pending Filters; 保留中のフィルタ)カラムに表示されている数値をクリックします。Pending dynamic filters 画面が表示されます。

ステップ 4 表示する目的の保留動的フィルタの Details カラムにある i をクリックします。Filter Details 画面が表示されます。


 

保留動的フィルタの詳細には、次の情報を表示する 3 つのテーブルがあります。

保留動的フィルタを作成したポリシー。

攻撃フロー。

保留動的フィルタ作成のトリガー。このレート テーブルには、攻撃トラフィックが超過したポリシーのしきい値、および保留動的フィルタ作成の原因となった攻撃の概算レートが表示されます。

保留動的フィルタの受け入れ

保留動的フィルタを選択的に受け入れるには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。

ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。

ゾーンのメイン メニューで Protection > Recommendations を選択します。

ゾーンのステータス テーブルで Pending Dynamic filters をクリックします。

Recommendations 画面が表示されます。

ステップ 3 表示する推奨事項の # of PFs(Pending Filters; 保留中のフィルタ)カラムに表示されている数値をクリックします。Pending Dynamic Filters 画面が表示されます。

ステップ 4 Filters timeout ボックスに、動的フィルタのタイムアウト(秒)を入力します。

ステップ 5 アクティブにする保留動的フィルタの隣にあるチェックボックスをオンにします。

ステップ 6 Accept をクリックします。Guard が、選択された保留動的フィルタをアクティブにします。