Cisco Guard Web-Based Manager コンフィギュレーション ガイド (Software Release 5.1)
ゾーンの作成と設定
ゾーンの作成と設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

ゾーンの作成と設定

ゾーンの概要

ゾーン保護のアクティベーション方式と保護範囲のオプションについて

保護のアクティベーション方式

ゾーン保護の範囲

サブゾーンについて

ゾーン テンプレートからのゾーンの作成

既存のゾーンからのゾーンの作成

ゾーンの設定の変更

ゾーンの IP アドレス範囲の設定

ゾーンの削除

ゾーンの作成と設定

この章では、Cisco Guard(Guard)上にゾーンを作成し、管理する方法について説明します。

この章は、次の項で構成されています。

ゾーンの概要

ゾーン保護のアクティベーション方式と保護範囲のオプションについて

ゾーン テンプレートからのゾーンの作成

既存のゾーンからのゾーンの作成

ゾーンの設定の変更

ゾーンの IP アドレス範囲の設定

ゾーンの削除

ゾーンの概要

ゾーンは、Guard が Distributed Denial of Service(DDoS; 分散型サービス拒絶)攻撃からの保護に使用するネットワーク要素です。ゾーンは、次の要素の任意の組み合せです。

ネットワーク サーバ、ネットワーク クライアント、ルータ

ネットワーク リンクまたはサブネット、またはネットワーク全体

個々のインターネット ユーザまたは企業

インターネット サービス プロバイダー(ISP)

Guard は、ゾーンのネットワーク アドレスの範囲が重なっていない限り、複数のゾーンを同時に保護できます。

ゾーンには名前を付けて、ゾーンを指すときはその名前を使用します。

ゾーンの設定には、次のアトリビュートが含まれます。

ゾーンの説明:ゾーンの名前と説明を定義します。

ゾーンのネットワーク定義:ゾーンのネットワーク IP アドレスとサブネット マスクを含んだ、ゾーンのネットワーク アトリビュートを定義します。

ポリシー テンプレート:ラーニング プロセスを実行したときに Guard が作成するポリシーのタイプを定義します。

ポリシー:ゾーンのトラフィックを分析し、Guard がゾーンのトラフィックに異常があることを検出したときにアクションを実行します。ゾーン ポリシーには、ゾーン テンプレートに含まれているデフォルトのポリシーと、ラーニング プロセス中に Guard が作成したゾーン固有のポリシーがあります。

ゾーン フィルタ:ゾーンのトラフィックを必要な保護レベルに誘導し、Guard で特定のトラフィック フローを処理する方法を定義します。

次の方法により、ゾーンを作成することができます。

定義済みのゾーン テンプレートを使用する:システム定義のゾーン テンプレートから新しいゾーンを作成できます。デフォルトのポリシーとフィルタでゾーンを新しく作成するには、この方法を使用します。デフォルトのポリシーを持つゾーンは、オンデマンド保護に使用できます。

新しいゾーンを作成したら、そのゾーンのアトリビュートを設定する必要があります。

既存のゾーンをテンプレートとして使用する:既存のゾーンからゾーンを作成できます。新しいゾーンが既存のゾーンと類似のトラフィック パターンを持つ場合は、この方法を使用します。

Cisco Traffic Anomaly Detector からゾーンの設定をコピーする:Detector モジュールとのゾーンの設定の同期をイネーブルにできます。

この操作は、CLI を使用し、Cisco Traffic Anomaly Detector 側からだけ開始できます。詳細については、『 Cisco Guard Configuration Guide 』を参照してください。

ゾーン保護のアクティベーション方式と保護範囲のオプションについて

ゾーンの設定を定義するときに、Guard がゾーン保護を自動的にアクティブにするためのトリガー、つまりアクティベーション方式を定義できます。また、Guard が保護する範囲の大きさも定義できます。たとえば、ゾーン全体や、ゾーンの IP アドレス範囲内の特定の IP アドレスのみを Guard で保護することができます。

この項は、次の内容で構成されています。

保護のアクティベーション方式

ゾーン保護の範囲

サブゾーンについて

保護のアクティベーション方式

Guard は、ゾーン名に基づいて、または宛先変更されたトラフィックから抽出する情報に基づいてゾーン保護をアクティブにできます。

保護をアクティブにする方式として、次のものを使用できます。

ゾーン名:Guard は、ゾーン名に基づいてゾーン保護をアクティブにします。保護がアクティブになるには、外部から示される攻撃の兆候にゾーン名が含まれている必要があります。これが、Guard がゾーン保護のアクティベーションに使用するデフォルトの方式です。

IP アドレス:Guard は、ゾーンの一部である IP アドレスまたはサブネットで構成された外部からの攻撃の兆候を受信した場合に、ゾーン保護をアクティブにします。Guard はゾーンのデータベースをスキャンし、受信 IP アドレスまたはサブネットを含むアドレス範囲を持つゾーンをアクティブにします。受信 IP アドレスを含むアドレス範囲を持つ複数のゾーンが設定されている場合、Guard は、プレフィックスが最も長く一致するゾーンをアクティブにすることを選択します。つまり、受信 IP アドレスを含むアドレス範囲が最も限定的なゾーンがアクティブになります。受信 IP アドレスまたはサブネットは、ゾーンの IP アドレス範囲に完全に含まれている必要があります。

パケット:Guard は、データベースでゾーンのパケットを受信した場合に、ゾーン保護をアクティブにします。Guard がパケットを受信すると、ゾーンのデータベースをスキャンし、受信パケットの IP アドレスを含むアドレス範囲を持つゾーンをアクティブにします。受信パケットの IP アドレスを含むアドレス範囲を持つ複数のゾーンが設定されている場合、Guard は、プレフィックスが最も長く一致するゾーンをアクティブにします。つまり、受信したパケットの IP アドレスが含まれていて、アドレス範囲が最も詳細に特定されるゾーンです。受信 IP アドレスまたはサブネットは、ゾーンの IP アドレス範囲に完全に含まれている必要があります。

IP アドレスまたはパケット:Guard は、ゾーンを宛先とするトラフィック(パケット)を受信した場合、またはゾーンのアドレス範囲の一部である IP アドレスまたはサブネットで構成される外部からの攻撃の兆候を受信した場合に、ゾーン保護をアクティブにします。詳細については、上記の「パケット」および「IP アドレス」の説明を参照してください。

ゾーン保護の範囲

アクティベーション範囲は、Guard が外部からの攻撃の兆候を受信した場合に、ゾーン全体またはゾーンの一部に対してゾーン保護をアクティブにするかどうかを定義します。この兆候は、Cisco Traffic Anomaly Detector などの外部デバイスまたはゾーン(パケット)を宛先とするトラフィックからのコマンドで示されます。

Guard は、次のアクティベーション範囲をサポートします。

ゾーン全体:ゾーン全体の保護をアクティブにします。Guard は、ゾーンを宛先とするトラフィックを受信した場合、またはゾーンの一部である IP アドレスまたはサブネットで構成される外部からの攻撃の兆候を受信した場合に、保護をアクティブにします。

IP アドレスのみ:ゾーン内部の指定した IP アドレスまたはサブネットのみ保護をアクティブにします。Guard は、ゾーンを宛先とするトラフィックを受信した場合、またはゾーンの一部である IP アドレスまたはサブネットで構成される外部からの攻撃の兆候を受信した場合、サブゾーンと呼ばれる新しいゾーンを作成します(次の項の「サブゾーンについて」を参照)。これが、アクティベーション範囲パラメータのデフォルト設定です。

サブゾーンについて

ゾーンの一部(ソース ゾーンのすべての IP アドレス範囲を含まないゾーン)に対して保護をアクティブにした場合、Guard はサブゾーンを作成します。サブゾーンの IP アドレス範囲は、ソース ゾーンのアドレス範囲に含まれています。

サブゾーンの設定は、IP アドレスと名前を除いてソース ゾーンの設定と同じです。サブゾーンの名前は、ソース ゾーンの名前の最初の 30 文字、IP アドレス、およびサブネットで構成され、名前、IP アドレス、およびサブネットはアンダースコアで連結されています。サブゾーンが単一の IP アドレスで構成されている場合には、サブネットは付加されません。たとえば、ソース ゾーンの名前が scannet で、アドレス範囲 10.10.10.0 とサブネット 255.255.255.0 を持つとき、Guard が IP アドレス 10.10.10.192 の内部範囲およびサブネット 255.255.255.252 に対して保護モードをアクティブにする場合、サブゾーンの名前は scannet_10.10.10.192_255.255.255.252 となります。

サブゾーンの IP アドレスおよびサブネットは、Guard が外部からの攻撃の兆候で受信したもの、または Guard が保護モードをアクティブにする原因となったパケットの IP アドレスです。

サブゾーンのゾーン保護が終了すると、Guard はサブゾーンを消去しますが、サブゾーンの攻撃レポートは消去されません。Guard は、ソース ゾーンに対して設定されているアクティベーション方式および保護の終了のタイムアウトに基づいてサブゾーンのゾーン保護を終了します。

消去されたサブゾーンの攻撃レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports > Attack Summary を選択します。Attacks summary 画面が表示されます。

サブゾーンの攻撃レポートの要約がサブゾーンのレポート テーブルに表示されます。

ステップ 3 攻撃レポートの詳細を表示するには、サブゾーンのレポート テーブルに表示されている攻撃のいずれかのフィールドをクリックします。


 

ゾーン テンプレートからのゾーンの作成

ゾーン テンプレートを使用して新しいゾーンを作成するには、次の手順を実行します。


ステップ 1 次のいずれかの方法で、Create Zone 画面を表示します。

ナビゲーション ペインの Guard Summary をクリックして Guard の要約メニューを表示し、次のいずれかのメニュー オプションを選択します。

Zones > Create Zone を選択する

Zones > Zone list を選択し、Zone list 画面で Add をクリックする

ナビゲーション ペインで任意のゾーンをクリックしてゾーンのメイン メニューを表示し、そのメニューから Main > Create Zone を選択します。

ステップ 2 表4-1 の説明に従って、ゾーンの設定のパラメータを設定します。

 

表4-1 Zone Configuration Form のフィールド

フィールド
説明

Name

新しいゾーンの名前。先頭を英字にして、1 ~ 63 文字の英数字文字列を入力します。文字列にアンダースコア(_)を含めることはできますが、スペースを含めることはできません。

Description

ゾーンについて説明するテキスト。1 ~ 80 文字の英数字文字列を入力します。

Operation mode

Guard が実行するゾーンの保護方法を定義します。
Operation mode ドロップダウン リストから、次のいずれかを選択します。

Automatic :Guard は、攻撃の進行中に作成する動的フィルタをすべて自動的にアクティブにします。

Interactive: 攻撃の進行中に Guard が作成し、Guard 推奨事項として提示する動的フィルタを受け入れるか拒否するかについて、システム管理者が決定します。

ゾーンの動作モードの詳細については、「ゾーン保護のアクティブ化」「Guard が実行するゾーン保護の方法の設定」の項を参照してください。

Zone Template

ゾーンの設定内で使用するポリシーを定義するゾーン テンプレート。Template ドロップダウン リストから、次のいずれかを選択します。

GUARD_DEFAULT :デフォルトのゾーン テンプレート。Guard は、パケットの送信元 IP アドレスを Guard の TCP プロキシ IP アドレスに変更することがあります。このゾーン テンプレートは、該当のゾーン ネットワークの着信 IP アドレスに基づく IP ベースのアクセス リスト(ACL)、アクセス ポリシー、またはロード バランシング ポリシーを使用しない場合に使用することができます。

GUARD_TCP_NO_PROXY:TCP プロキシを使用しないゾーン用に設計されたゾーン テンプレート。このテンプレートは、インターネット リレー チャット(IRC)サーバ タイプ ゾーンなど、ゾーンが IP アドレスに基づいて運用されている場合に使用できます。

帯域幅限定リンク テンプレート :小規模なカスタマー(ゾーン)による大規模なネットワークに関係するアプリケーションを主な対象として、特定のサーバまたはサービスではなく、リンクに対する攻撃を検出するために設計されたゾーン テンプレート。リンク テンプレートをこの目的で使用するには、カスタマー(ゾーン)を既知の帯域幅ごとにセグメント化できる必要があります。リンク テンプレートを使用して新しいゾーンを作成するときは、protect-ip state を only-dest-ip にしてゾーンを定義することをお勧めします。帯域幅限定リンク ゾーン テンプレートは、128 Kbps、1 Mbps、4 Mbps、および 512 Kbps の各リンク用が用意されています。

GUARD_LINK_1M

GUARD_LINK_4M

GUARD_LINK_128K

GUARD_LINK_512K

リンク テンプレートで作成されるポリシーは、オンデマンドの保護を必要とするアプリケーションに使用できるように設定されます。リンク テンプレートを使用するときは、ラーニング プロセスのポリシー構築フェーズを実行することはできません。ただし、しきい値調整フェーズは実行できます(「ゾーン トラフィックのラーニング」「ラーニング プロセスについて」の項を参照)。

Zone Template
(続き)

これらのゾーンについては、ステップ 4 で activation-extent パラメータを IP address only に設定して、攻撃されているサブネットまたは範囲に基づいて Cisco Traffic Anomaly Detector 上でゾーン保護をアクティブにすることをお勧めします。

GUARD_VOIP :Session Initiation Protocol(SIP)over UDP を使用して Voice over IP(VoIP)セッションを確立し、セッション確立後に Real-time Transport Protocol/Real-time Control Protocol(RTP/RTCP)を使用して SIP エンドポイント間のボイス データを送信する VoIP サーバが含まれているゾーン用に設計されたゾーン テンプレート。

Max. Rate

Guard がネットワークに再び注入できるトラフィックの量。帯域幅の値は、ゾーンへの送信で測定された最大の帯域幅に設定します。帯域幅の最大値が不明な場合は、 Max. Rate フィールドおよび Burst フィールドをブランクのままにして、ドロップダウン リストから無制限の単位( unlimit )を選択します。

最大レートの整数を入力し、ドロップダウン リストから次のいずれかの測定単位を選択します。

unlimit :Guard がネットワークに再び注入するトラフィックのレートを制限しない場合は、このデフォルト設定を使用します。unlimit を選択した場合、 最大レート値を入力しないでください。

mbps メガビット/秒。

kbps キロビット/秒。

bps ビット/秒。

kpp キロパケット/秒。

pps パケット/秒。

Burst

最大レートを超過する前に、Guard がゾーンに再び注入できる最大トラフィック バースト サイズ(上記の Max. Rate を参照)。バースト サイズ レートの整数を入力します。Guard は、最大レート(Max. Rate)の測定単位をバースト パラメータに対して使用します。

Malicious-rate detection threshold

ドロップされるゾーン パケットの最小レート。レートがこのしきい値より低くなった場合、Guard がゾーンのゾーン保護を終了することがあります。Guard は、保護メカニズム(動的フィルタ、フレックスコンテンツ フィルタ、およびレート リミッタ)が攻撃の一部として識別したゾーン パケットをドロップします。ドロップされるパケットは、ゾーンの Dropped カウンタを使用してカウントされます。

レートがこのしきい値より低くなった場合、Guard がゾーン保護を終了することがあります。レートがこのしきい値を超えた場合、Guard は、ゾーンに対する攻撃と見なし、攻撃レポートを作成します。

Malicious-rate detection threshold のデフォルトは、10 パケット/秒(pps)です。

Protection-end Timer

Guard がゾーン保護を終了できる時刻。Guard では、作成する動的フィルタをチェックすることで攻撃が終了したかどうかを確認します。使用中になっている動的フィルタがなく、事前定義されている期間内に新しい動的フィルタが作成されなかった場合、Guard はゾーン保護を非アクティブにします。1 秒以上の値を入力します。無期限にすることもできます。

Filter-rate termination threshold

Malicious-rate termination threshold とともに使用して、Guard が動的フィルタを非アクティブにできるタイミングを指定するしきい値。このしきい値は、パケット/秒(pps)単位で定義します。

Malicious-rate termination threshold

Filter-rate termination threshold とともに使用して、 Guard が動的フィルタを非アクティブにできるタイミングを指定するしきい値。このしきい値は、パケット/秒(pps)単位で定義します。

IP address

ゾーンの IP アドレス。

Mask

ゾーンのアドレス マスク。アドレス マスクを Mask ドロップダウン リストから選択します。

ステップ 3 次のいずれかのオプションを選択します。

OK :新しいゾーン設定を保存します。ゾーンの全般ビュー画面が表示され、ゾーンの設定情報が示されます。

全般ビュー画面に表示される Activation および Packet-Dump のパラメータを設定するには、 Config をクリックして Config 画面を表示し、次のステップに進みます。

Activation のパラメータを設定する場合は、ステップ 4

Packet Dump のパラメータを設定する場合は、ステップ 5

Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。

Cancel:情報を保存せずに Create Zone 画面を終了します。Zone List 画面が表示されます。

ステップ 4 表4-2 の説明に従って、Activation 領域のパラメータを設定します。

 

表4-2 Activation のパラメータ

フィールド
説明

Activation interface

 

保護のアクティベーション方式。外部からの攻撃の兆候を受信したときに、ゾーン保護をアクティブにするゾーンを Cisco Traffic Anomaly Detector がどのように識別するかを定義します。Cisco Traffic Anomaly Detector は、次のアクティベーション方式をサポートします。

ゾーン名 :これがデフォルトのアクティベーション方式です。ゾーン保護をアクティブにするコマンドにゾーン名が含まれている必要があります。

ゾーン名によるアクティベーション方式を設定するには、両方のチェックボックスをオフにします。

By packet :Cisco Traffic Anomaly Detector は、ゾーンが宛先となっているトラフィックを受信したときにゾーン保護をアクティブにします。Cisco Traffic Anomaly Detector はゾーンのデータベースをスキャンし、受信パケットの IP アドレスを含むアドレス範囲を持つゾーンをアクティブにします。受信パケットの IP アドレスを含むアドレス範囲を持つゾーンが複数設定されている場合、Cisco Traffic Anomaly Detector は、プレフィックスが最も長く一致するゾーン(受信 IP アドレスを含むアドレス範囲が最も限定的なゾーン)をアクティブにします。受信 IP アドレスまたはサブネットは、ゾーンの IP アドレス範囲に完全に含まれている必要があります。

パケットによるアクティベーション方式を設定するには、 By packet チェックボックスをオンにします。

By IP address :Cisco Traffic Anomaly Detector は、ゾーンの一部である IP アドレスまたはサブネットで構成された外部デバイス(Guard など)からコマンドを受信したときにゾーン保護をアクティブにします。

Cisco Traffic Anomaly Detector はゾーンのデータベースをスキャンし、受信 IP アドレスまたはサブネットを含むアドレス範囲を持つゾーンをアクティブにします。受信 IP アドレスを含むアドレス範囲を持つゾーンが複数設定されている場合、Cisco Traffic Anomaly Detector は、プレフィックスが最も長く一致するゾーン(受信 IP アドレスを含むアドレス範囲が最も限定的なゾーン)をアクティブにします。

受信 IP アドレスまたはサブネットは、ゾーンの IP アドレス範囲に完全に含まれている必要があります。

パケットによるアクティベーション方式を設定するには、 By IP address チェックボックスをオンにします。

Activation interface
(続き)

 

By IP Address or By Packet :Cisco Traffic Anomaly Detector は、ゾーンを宛先とするトラフィック(パケット)を受信した場合、またはゾーンのアドレス範囲の一部である IP アドレスまたはサブネットで構成される外部デバイス(Guard など)からコマンドを受信した場合に、ゾーン保護をアクティブにします。詳細については、この項の「By IP address」および「By packet」の説明を参照してください。

IP アドレスまたはパケットによるアクティベーション方式を設定するには、 By IP address チェックボックスと By packet チェックボックスの両方をオンにします。

保護アクティベーションを By Packet または By IP Address or By Packet に設定した場合は、ゾーンが攻撃を受けたときに、トラフィックの宛先を手動で Guard に変更する必要があります。Activation interface のオプションの詳細については、「保護のアクティベーション方式」の項を参照してください。

Activation extent

Guard が、外部からの攻撃の兆候を受信した場合に、ゾーン全体またはゾーンの一部に対してゾーン保護をアクティブにするかどうかを定義します。

次のいずれかのオプションを選択します。

IP address only :ゾーン内部の指定した IP アドレスまたはサブネットだけ保護をアクティブにします。これがデフォルトのアクティベーション範囲設定です。

Entire zone :ゾーン全体の保護をアクティブにします。

Activation extent のオプションの詳細については、「ゾーン保護の範囲」の項を参照してください。

ステップ 5 表4-3 の説明に従って、Packet Dump 領域のパラメータを設定します。

 

表4-3 Packet Dump のパラメータ

フィールド
説明

Auto Packet Dump

次のいずれかのオプションの隣にあるチェックボックスをオンにします。

On:自動パケット ダンプをイネーブルにします。

Off:自動パケット ダンプをディセーブルにします(デフォルト設定)。

Max. disk space

Guard が自動パケット ダンプに使用するディスク スペースの最大容量を MB 単位で入力します。


 

既存のゾーンからのゾーンの作成

既存のゾーンをテンプレートとして使用して新しいゾーンを作成するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、ゾーン テンプレートとして使用するゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Main > Save as を選択します。 Zone Save as 画面が表示されます。

ステップ 3 新しいゾーンの名前を定義します。Name テキスト フィールドに、ゾーン名を 1 ~ 63 文字の英数字文字列で入力します。この文字列は英字で始まる必要があり、アンダースコアを含むことができますが、スペースを含むことはできません。

ステップ 4 次のいずれかのオプションを選択します。

OK :新しいゾーン設定を保存します。ゾーンの全般ビュー画面が表示されます。

Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。

Cancel:情報を保存せずに Zone Save as 画面を終了します。 ゾーンの全般ビュー画面が表示されます。


 

ゾーンの設定の変更

ゾーンの設定のパラメータを変更するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。ゾーンの全般ビューが表示されます。

ステップ 3 最初のテーブルの下にある Config をクリックします。Config Zone 画面が表示されます。

ステップ 4 目的のゾーン パラメータを変更します(パラメータについては、 表4-1 を参照)。

ステップ 5 次のいずれかのオプションを選択します。

OK :新しいゾーン設定を保存します。ゾーンの全般ビュー画面が表示されます。

Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。

Cancel:情報を保存せずに Zone Save as 画面を終了します。 ゾーンの全般ビュー画面が表示されます。


 

ゾーンの IP アドレス範囲の設定

ゾーン保護をアクティブにする前に、除外しない IP アドレスを少なくとも 1 つ設定する必要がありますが、ゾーンの IP アドレス範囲に対する IP アドレスの追加または削除は、いつでも可能です。大きなサブネットを設定してから、そのサブネットから特定の IP アドレスを除外することで、それらがゾーンの IP アドレス範囲に入らないように設定できます。

ゾーンの設定に IP アドレスを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。ゾーンの全般ビューが表示されます。

ステップ 3 2 番目のテーブルの下にある Add をクリックします。

Add Zone IP 画面が表示されます。

ステップ 4 次の IP アドレス情報を入力します。

IP Address:ゾーンの IP アドレス。IP アドレスをドット付き 10 進表記で入力します(たとえば、192.168.100.32)。

IP Mask:ゾーンの IP アドレス マスク。サブネット マスクをドット付き 10 進表記で入力します(たとえば、255.255.255.224)。デフォルトのサブネット マスクは 255.255.255.255 です。

ステップ 5 (オプション)ゾーンの IP アドレス範囲から IP アドレスを除外するには、 Exclude チェックボックスをオンにします。IP アドレスをドット付き 10 進表記で入力します(たとえば、192.168.100.50)。

ステップ 6 次のいずれかのオプションを選択します。

OK :新しいゾーン設定を保存します。ゾーンの全般ビュー画面が表示されます。

Cancel :情報を保存せずに Add Zone IP 画面を終了します。ゾーンの全般ビュー画面が表示されます。


 

ゾーンの IP アドレス範囲から IP アドレスを削除するには、削除する各 IP アドレスの隣にあるチェックボックスをオンにして、 Delete をクリックします。

ゾーンの IP アドレスまたはサブネットを変更する場合は、次のいずれかの作業を実施します。

新しい IP アドレスまたはサブネットが、ゾーンのネットワークに定義されていなかった新しいサービスで構成されている場合は、ゾーン保護をアクティブにする前にポリシー構築フェーズをアクティブにするか、サービスを手動で追加します。詳細については、次の項を参照してください。

「ゾーン トラフィックのラーニング」「ポリシー構築フェーズの停止」 の項

「ゾーンのポリシーの管理」「サービスの追加」 の項

ゾーン保護とラーニング プロセスがイネーブルの場合は、ゾーン ポリシーを未調整としてマークします。ゾーンに対する攻撃がある場合は、ゾーン ポリシーのステータスを未調整に変更しないでください。これは、ステータスを変更すると Guard で攻撃が検出されなくなり、Guard が悪意のあるトラフィックのしきい値をラーニングするためです。詳細については、「ゾーン トラフィックのラーニング」「ゾーンのポリシーに対する調整済みまたは未調整のマーク付け」の項を参照してください。

ゾーン保護とラーニング プロセスをイネーブルにしていない状態で、ゾーン保護とラーニング プロセスをアクティブにする予定もない場合は、ゾーン保護をアクティブにする前にしきい値調整フェーズをアクティブにします。詳細については、「ゾーン トラフィックのラーニング」「しきい値調整フェーズの開始」の項を参照してください。

ゾーンの削除

1 つまたはそれ以上のゾーンを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで Guard Summary をクリックします。Guard の要約メニューが表示されます。

ステップ 2 Guard のメイン メニューの Zones > Zone list を選択します。Zone list 画面が表示されます。

ステップ 3 削除する各ゾーンの隣にあるチェックボックスをオンにし、 Delete をクリックします。表示されているゾーンをすべて削除するには、Zone の隣にあるチェックボックスをオンにし、 Delete をクリックします。削除の確認画面が表示されます。

ステップ 4 次のいずれかのオプションを選択します。

OK :ゾーンを削除して Zone list 画面を表示します。

Cancel :ゾーンの削除要求を無視して Zone list 画面を表示します。