Cisco Guard Web-Based Manager コンフィギュレーション ガイド (Software Release 5.1)
ポリシー テンプレートの設定
ポリシー テンプレートの設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

ポリシー テンプレートの設定

ポリシー テンプレートの使用

ポリシー テンプレート設定の変更

ポリシー テンプレートの設定

ポリシー テンプレートは、ゾーン ポリシーを作成するために Guard がポリシー構築フェーズ中に使用するポリシー構築規則を集めたものです。ポリシー構築フェーズの終わりに、各テンプレートからポリシーのグループが出力されます。新しいゾーンを作成すると、Guard はゾーンの設定に一連のポリシー テンプレートを含めます。

この章では、ポリシー テンプレートを設定する方法について説明します。ゾーンのポリシー テンプレートの設定を変更すると、ラーニング プロセスのポリシー構築フェーズが影響を受けます。WBM を使用してゾーンのポリシー テンプレートをイネーブルまたはディセーブルにするか、変更すると、Guard がポリシー構築フェーズ中に作成するポリシーを制御できます。

この章は、次の項で構成されています。

ポリシー テンプレートの使用

ポリシー テンプレート設定の変更

ポリシー テンプレートの使用

Guard がポリシー構築フェーズ中に使用するポリシー テンプレートには、トラフィック フローのサービスと適合させるために、いくつかのタイプがあります。ポリシー テンプレートの名前は、作成するすべてのポリシーに共通の特性に由来し、プロトコル(DNS など)、アプリケーション(HTTP など)、または目的(ip_scan など)になります。たとえば、ポリシー テンプレート tcp_connections は、同時接続数など、接続に関連するポリシーを作成します。

表6-1 に、Guard の各ポリシー テンプレート タイプの説明を示します。

 

表6-1 ポリシー テンプレート

ポリシー
テンプレート
作成される一連のポリシーの関連先

dns_tcp

DNS-TCP プロトコル トラフィック。

dns_udp

DNS-UDP プロトコル トラフィック。

fragments

断片化されたトラフィック。

http

ポート 80(デフォルト)またはその他のユーザ設定ポートを通過する HTTP トラフィック。

ip_scan

IP スキャニング。クライアントが特定の送信元 IP アドレスからゾーン内の多数の宛先 IP アドレスにアクセスしようとしている状況です。このポリシー テンプレートは、主に、IP アドレス定義がサブネットであるゾーンのために設計されています。

デフォルトでは、このポリシー テンプレートはディセーブルになっています。このポリシー テンプレートのデフォルトのアクションは、notify です。


) このポリシー テンプレートから生成されたポリシーはリソース消費量が多いため、パフォーマンスに影響を及ぼす可能性があります。


other_protocols

TCP と UDP 以外のプロトコル。

port_scan

ポート スキャニング。クライアントが特定の送信元 IP アドレスからゾーン内の多数のポートにアクセスしようとしている状況です。

デフォルトでは、このポリシー テンプレートはディセーブルになっています。このポリシー テンプレートのデフォルトのアクションは、notify です。


) このポリシー テンプレートから生成されたポリシーはリソース消費量が多いため、パフォーマンスに影響を及ぼす可能性があります。


tcp_connections

TCP 接続の特性。

tcp_not_auth

Guard のスプーフィング防止機能が認証していない TCP 接続。

tcp_outgoing

ゾーンによって開始された TCP 接続。

tcp_ratio

SYN パケットと FIN/RST パケットの比率など、各種の TCP パケットの比率。

tcp_services

HTTP 関連ポート(ポート 80 や 8080 など)以外のポートの TCP サービス。

tcp_services_ns

TCP サービス。デフォルトでは、tcp_services_ns テンプレートによって作成されたポリシーは IRC ポート(666X)、SSH、および Telnet に関連します。このポリシー テンプレートは、トラフィック フローに強化保護レベルを適用するアクションを持つポリシーを作成しません。

udp_services

UDP サービス。

Guard には、GUARD_SIP ゾーン テンプレートから作成されたゾーン用の追加のポリシー テンプレートがあります。 表6-2 に、説明を示します。

 

表6-2 特定のポリシー テンプレート

ゾーン
テンプレート
ポリシー テンプレート

GUARD_SIP

sip_udp:SIP1 over UDP を使用して VoIP セッションを確立し、セッション確立後に RTP/RTCP 2を使用して SIP エンドポイント間のボイス データを送信する VoIP3 セッションに関する一連のポリシーを構築します。

1.SIP = Session Initiation Protocol

2.RTP/RTCP = Real-Time Transport Protocol/Real-Time Control Protocol

3.VoIP = Voice over IP


) Guard は、まず、専用ポート 6660 ~ 6670 および 21 ~ 23 上の TCP トラフィックのインジケータに関連します。

これらのポート上でトラフィックがトレースされる場合、tcp_services_ns ポリシー テンプレートはポリシーのグループを構築し、tcp_services ポリシー テンプレートは他のポート上の TCP サービスを監視します。

これらのポート上でトラフィックがトレースされない場合、tcp_services_ns ポリシー テンプレートは使用されません。

tcp_services_ns ポリシー テンプレートから作成されたポリシーには、サービスを追加できます。


 

表6-3 に、Guard をプロキシとして使用しないゾーン用に設計されたその他のポリシー テンプレートを示します。Internet Relay Chat(IRC; インターネット リレー チャット)サーバ タイプ ゾーンなど、ゾーンが IP アドレスに基づいて制御されている場合や、ゾーン上で実行されているサービスのタイプが不明な場合、これらのポリシー テンプレートを使用できます。

GUARD_TCP_NO_PROXY ゾーン テンプレートを使用してゾーンを定義すると、Guard は 表6-3 で説明するポリシー テンプレートを使用します。Guard は、ポリシー テンプレート http、tcp_connections、および tcp_outgoing をポリシー テンプレート http_ns、tcp_connections_ns、および tcp_outgoing_ns に置き換えます。ポリシー テンプレート http_ns、tcp_connections_ns、および tcp_outgoing_ns からは、強化保護レベルをトラフィック フローに適用することを Guard に求めるアクションを持つポリシーは作成されません。

 

表6-3 TCP_NO_PROXY ポリシー テンプレート

ポリシー テンプレート
作成される一連のポリシーの関連先

tcp_connections_ns

TCP 接続の特性。

tcp_outgoing_ns

ゾーンによって開始された TCP 接続。

http_ns

ポート 80(デフォルト)またはその他のユーザ設定ポートを通過する HTTP トラフィック。

ポリシー テンプレート設定の変更

ラーニング プロセス中、ゾーンのトラフィックは Guard を透過的に流れます。アクティブなポリシー テンプレートはそれぞれ、ポリシー定義とゾーンのトラフィック特性に基づいてポリシーのグループを生成します。Guard は、ポリシー テンプレートが監視するサービス(プロトコルとポート番号)をトラフィック量のレベルによってランク付けします。次に Guard は、トラフィック量が最大のサービス、および定義済みの最小しきい値を超えたサービスを選択し、各サービスのポリシーを作成します。ポリシー テンプレートの中には、特定のポリシーが any というサービスで追加されなかったすべてのトラフィック フローを処理する追加のポリシーを作成するものもあります。

ポリシー構築フェーズを管理するには、ポリシー テンプレートのパラメータを次の方法で変更します。

ポリシー テンプレートをイネーブルまたはディセーブルにします。ポリシー構築フェーズ中にポリシーを生成するのは、イネーブルになっているポリシー テンプレートだけです。

ラーニング プロセスのどの時点で(サービスのトラフィック量に基づいて)ポリシー テンプレートがポリシーを作成するかを制御します。

ラーニング プロセス中に Guard がポリシー テンプレートを使用して作成できるポリシーの最大数を定義します。

ポリシー テンプレートの設定を変更するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Configuration > Policy templates > View を選択します。Policy Templates 画面が表示されます。

ステップ 3 ポリシー テンプレートを選択します。Config Policy template 画面が表示されます。

ステップ 4 ポリシー テンプレートの目的のパラメータを変更します。 表6-4 に、Policy Template Form に表示されるポリシー テンプレートのパラメータの説明を示します。選択したポリシー テンプレートのタイプに応じて、このテーブルに表示されている一部または全部のパラメータが編集対象として表示されます。

 

表6-4 ポリシー テンプレートのパラメータ

パラメータ
説明

State

ポリシー テンプレートの動作状態。次のいずれかのオプションを選択します。

enable :ポリシー テンプレートは、ラーニング プロセスのポリシー構築フェーズ実行中にトラフィック フローに適用されます。Guard は、サービスを検出すると、そのサービス用に設計されているポリシー テンプレートの規則に基づいて、新しいポリシーを作成します。

disable :Guard は、ラーニング プロセスのポリシー構築フェーズ実行中にポリシー テンプレートをトラフィック フローに適用しません。Guard は、ディセーブルになっているポリシー テンプレートに関連するサービスを検出しても、新しいポリシーを作成しません。


注意 ポリシー テンプレートをディセーブルにすると、ゾーン保護に大きな支障をきたす恐れがあります。ポリシー テンプレートをディセーブルにした場合、Guard は、そのポリシー テンプレートが管理対象にしている悪意のあるトラフィック タイプを管理するポリシーを作成しません。

Min Threshold

最小しきい値パラメータは、サービスの最小トラフィック量を定義します。このしきい値を超えると、Guard は、しきい値を超えた特定のトラフィック フローに応じて、サービス トラフィックに関連するポリシーを構築します。このしきい値を設定することにより、保護動作をより適切にゾーン サービスのトラフィック量に合わせることができます。

適切なゾーン保護に不可欠で、常にポリシーを構築するポリシー テンプレート(tcp_services、tcp_services_ns、
udp_services、other_protocols、http、fragments など)には、最小しきい値パラメータを設定することはできません。

最小しきい値レートを入力します(パケット/秒単位)。同時接続および SYN/FIN 比率を測定する場合、しきい値は接続の合計数です。

Max Services

最大サービス数パラメータは、ポリシー テンプレートがポリシーを選択して作成するサービス(プロトコル番号またはポート番号)の最大数を定義します。 Guard は、ポリシー テンプレートが関連しているサービスを、各サービスのトラフィック量のレベルによってランク付けします。次に Guard は、トラフィック量が最大のサービス、および定義済みの最小しきい値( min-threshold パラメータで定義したもの)を超えたサービスを選択し、各サービスのポリシーを作成します。Guard は、any というサービスが含まれたポリシーを追加して、このポリシー テンプレートの特性を備えた他のすべてのトラフィック フローを処理する場合もあります。


サービスの最大数が大きいほど、ゾーンは多くのメモリを使用します。


Max Services
(続き)

最大サービス数パラメータは、tcp_services、tcp_services_ns、udp_services、および他のプロトコルなどのサービスを検出するポリシー テンプレートだけに定義できます。このパラメータは、特定のサービスを監視するポリシー テンプレート(サービス 53 を監視する dns_tcp など)や、特定のトラフィック特性に関連するポリシー テンプレート( fragments など)には設定できません。

Guard は、ポリシーのトラフィック特性に基づいて、サービスのトラフィック レートを測定します。トラフィック特性は、送信元 IP アドレスまたは宛先 IP アドレスです。サービス any を監視するポリシーは、特定のポリシーによって処理されないために精密ではないすべてのサービス上の送信元 IP アドレスのレートを測定します。

サービス数を制限することにより、独自のトラフィック フロー要件に合わせて Guard ポリシーを設定できます。

ステップ 5 次のいずれかのオプションを選択します。

OK :新しいポリシー テンプレートの設定を保存します。Policy Template 画面が表示されます。

Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。

Cancel:情報を保存せずに Config policy template 画面を終了します。 Policy Template 画面が表示されます。


 

特定のポリシー テンプレートで作成されたすべてのポリシーからサービスを追加または削除する方法については、「ゾーンのポリシーの管理」「サービスの追加」または「「サービスの削除」の項を参照してください。