Cisco Guard Web-Based Management 3.1(0) ユーザ ガイド
ゾーンの作成と設定
ゾーンの作成と設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

ゾーンの作成と設定

概要

ゾーンのホーム ページ

ゾーンのステータス バー

ゾーン トラフィックの要約

ゾーンのステータスの要約

ゾーンの最近のイベント

ゾーンの管理

ゾーンの再設定

ゾーンの削除

ゾーンのステータス アイコン

ゾーンの作成と設定

ここでは、ゾーンを作成および管理する方法について説明します。この章は、次の項で構成されています。

概要

ゾーンのホーム ページ

ゾーンの管理

ゾーンのステータス アイコン

概要

ゾーンは、Guard で DDoS 攻撃からの保護の対象となるネットワーク要素です。ゾーンは、ネットワーク サーバ、クライアント、ルータ、ネットワーク リンク、サブネット、ネットワーク全体、個々のインターネット ユーザ、企業、インターネット サービス プロバイダー(ISP)、またはこれらを組み合わせたものを包含できます。Guard では、ゾーンのネットワーク アドレス範囲が互いに重複していない場合に限り、複数のゾーンを同時に保護できます。

ゾーンの基本設定:ゾーンの名前、説明、ネットワーク アドレス、操作定義、および基本的なネットワーク特性(帯域幅など)が含まれます。詳細については、「ゾーンの管理」を参照してください。

保護ポリシー:ポリシーは、特定のトラフィック フローを計測して、しきい値を超過した場合にフローに対してアクションを実行するメカニズムです。保護ポリシーは、処理規則を提供するポリシー テンプレートに基づいて構築されます。このポリシーは 2 つのラーニング フェーズ中に構築されます。詳細については、「ゾーンの保護」を参照してください。ポリシーに基づいて実行されるアクションの範囲は、単なる通知から、Guard のスプーフィング防止メカニズムまたはゾンビ防止メカニズムへのトラフィックの転送、悪意のあるトラフィックのドロップにまで及びます。詳細については、「ゾーン フィルタとポリシー テンプレートの設定」を参照してください。

フィルタ:ゾーンのフィルタは、宛先変更されたトラフィックを必要な保護モジュールに転送するメカニズムです。フィルタを設定すると、さまざまな場合に合わせてトラフィック転送メカニズムおよび DDoS 攻撃防止メカニズムをカスタマイズできます。詳細については、「ゾーン フィルタとポリシー テンプレートの設定」を参照してください。

宛先変更:Guard を使用してターゲット ホスト(ゾーン)を保護するには、ホストが送信先となっているトラフィックの宛先を Guard に変更する必要があります。ゾーンの宛先変更は、ゾーン設定ファイルではなく、Guard のルーティング設定によって設定します。ゾーン宛先変更の設定については、『 Cisco Guard User Guide 』を参照してください。

ゾーンのホーム ページ

ゾーンのホーム ページ図 4-1)には、ゾーンのステータスの要約が示されます。

このページには、次に示すさまざまな方法で移動することができます。

ナビゲーション ペインの All Zones リストでゾーンを選択する。

ゾーンが保護モードになっている場合は、ナビゲーション ペインの
Protected Zones リストでゾーンを選択する。

ゾーンのページで、ナビゲーション パスの Zone を選択する。

ゾーンのリスト( Guard Summary > Zones > Zone list )でゾーンを選択する。

ゾーンのホーム ページは、次の 4 つのセクションに分けられています。

ゾーンのステータス バー

ゾーン トラフィックの要約

ゾーンのステータスの要約

ゾーンの最近のイベント

特定の状況では、ゾーンのステータス バーの下に次のボタンが表示されます。

Protect: ゾーンを保護モードに切り替えます。これは、ゾーンのメイン メニューで Protection > Protect を選択するのと同じ操作です。ゾーンがスタンバイ状態の場合のみ使用できます。

Deactivate: ゾーンの検出状態を無効にします。これは、ゾーンのメイン メニューで Protection > Deactivate を選択するのと同じ操作です。ゾーンが保護モードの場合のみ使用できます。

Report :現在の攻撃レポートにリンクしています。これは、ゾーンのメイン メニューで Diagnostics > Attack レポートを選択し、現在の攻撃(終了時刻が attack in progress になっている攻撃)をクリックするのと同じ操作です。進行中の攻撃がある場合のみ使用できます。詳細については、「ゾーンの統計情報と診断」を参照してください。

図 4-1 ゾーンのホーム ページ

ゾーンのステータス バー

ゾーンのステータス バーを使用すると、ゾーンのステータスをすばやく参照することができます。また、次の情報が示されます。

ゾーンの名前。

ゾーンの動作モード。動作モードはカッコで囲まれています。ゾーンが、自動保護モードまたはインタラクティブ保護モードのどちらになっているかを示します。動作モードが表示されるのは、ゾーンがアクティブになっている場合のみです。詳細については、「ゾーンの管理」を参照してください。

ゾーンのステータス。ゾーンが保護モードとラーニング モードのどちらになっているかを示し、protected、inactive、constructing policy、tuning thresholds のいずれかの値を示します。詳細については、「ゾーンのステータスの要約」を参照してください。

新しい推奨事項の通知。ゾーンがインタラクティブ モードになっている場合は、新しい推奨事項があることを示すインジケータがゾーンのステータス バーに表示されます。 詳細については、「インタラクティブ推奨モード」を参照してください。

ゾーン トラフィックの要約

ゾーン トラフィックの要約グラフには、ゾーンに関連する最近 2 時間のトラフィック レートが bps 単位で表示されます。ゾーンに Guard から送信された正当なトラフィックは、緑色で表示されます。ゾーンが送信先となっていた悪意のあるトラフィックは、赤色で表示されます。

表 4-1 に、ゾーン トラフィックの要約グラフの下に表示されるフィールドの説明を示します。

 

表 4-1 ゾーン トラフィックの要約グラフの下に表示されるフィールドの説明

フィールド
説明

Min

最近 2 時間に計測されたトラフィック レートの最小値(bps 単位)。

Max

最近 2 時間に計測されたトラフィック レートの最大値(bps 単位)。

Avg

最近 2 時間に計測されたトラフィック レートの平均値(bps 単位)。

Cur

現在のトラフィック レート(bps 単位)。

この情報は、正当なトラフィックと悪意のあるトラフィックに分けて表示されます。

ゾーンのステータスの要約

ゾーンのステータスの要約では、次の情報が提供されます。

有効な動的フィルタの数。

Active dynamic filters は、動的フィルタのページへのリンクを提供します。詳細については、「動的フィルタ」を参照してください。

保留中の動的フィルタの数。

保留中の動的フィルタの数は、ゾーンがインタラクティブ保護モードになっていて新しい推奨事項がある場合は、1 以上になります。

Pending dynamic filters は、推奨事項のページへのリンクを提供します。動的フィルタの詳細については、「動的フィルタ」を参照してください。推奨事項の詳細については、「インタラクティブ推奨モード」を参照してください。

Last attack time :ゾーンが最後に攻撃を受けた日時。

Activation Time :保護が有効になった日時。

ゾーンの最近のイベント

最近のイベント テーブルには、ゾーンで最近発生した notify 以上の重大度を持つイベントが表示されます。これらのイベントは、ゾーンのイベント ログと Guard イベント ログにも表示されます。

ゾーンの管理

ゾーンを DDoS 攻撃から保護するには、ゾーンのネットワークの特性を Guard で設定する必要があります。

新しいゾーンを作成するには、次のいずれかの手順を実行します。

Guard のメイン メニューの Zones > Create Zone を選択する。

Guard のメイン メニューの Zones > Zone list を選択し、 Add をクリックする。

ゾーンのメイン メニューの Main > Create Zone を選択する。

ゾーンのメイン メニューの Main > Save as を選択する。

上の操作を実行すると、現在のゾーンの基本設定が新しいゾーンにコピーされます。これは、CLI コマンド zone に copy-from-this オプションを指定して実行するのと同じ操作です。詳細については、『 Cisco Guard User Guide 』を参照してください。

表 4-2 に、ゾーンの基本設定フィールドの説明を示します。

 

表 4-2 ゾーン設定のフィールドの説明

フィールド
説明

Name

ゾーンの名前。

Description

ゾーンの説明。

From Template

ゾーン設定を定義したテンプレート。このテンプレートは、次のいずれかになります。

DEFAULT :Guard のデフォルト ゾーン テンプレート。

TCP_NO_PROXY:TCP プロキシを使用しないゾーン用に設計されたテンプレート。このテンプレートは、インターネット リレー チャット(IRC)サーバ タイプ ゾーンなど、ゾーンが IP アドレスに基づいて運用されている場合に使用できます。詳細については、『 Cisco Guard User Guide 』を参照してください。

帯域幅限定リンク テンプレート :既知の帯域幅を持つゾーンごとにセグメント化された大規模なサブネットを、オンデマンドで保護するためのテンプレート。ゾーンを保護するには、攻撃を受けるサブネットまたは範囲を対象として設定する必要があります。このようなゾーンは、protect-ip-state を only-dest-ip にして定義することをお勧めします。詳細については、『 Cisco Traffic Anomaly Detector Web-Based Management (WBM) User Guide 』の Protect-IP state の説明を参照してください。

帯域幅限定リンク テンプレートは、128 Kbps、1 Mbps、4 Mbps、および 512 Kbps のリンクを対象とした次のものが用意されています。

LINK_128K

LINK_1M

LINK_4M

LINK_512K

これらのテンプレートに対してポリシー構築を実行することはできません。

Operation mode

ゾーンの動的フィルタの有効化に使用するモードを示します。表示される値は、次のいずれかです。

Automatic :動的フィルタは自動的に有効になります。

Interactive :インタラクティブ モードでは、各動的フィルタで実行されるアクションを定義できます。ポリシーが推奨する動的フィルタは、推奨事項として表示されます。各動的フィルタを受け入れるか、拒否するかを指定できます。

詳細については、「インタラクティブ推奨モード」を参照してください。

Max. Rate

ゾーンに送信できるトラフィックの量。整数値で表示されます。レートの計測単位は、ビット、キロビット、キロパケット、メガビット、またはパケット数です。この値は、ゾーンで処理できるトラフィック量に基づいて設定してください。

Burst

ゾーンへの送信が許容されるトラフィック ピーク値の上限。ピーク値は整数値にします。単位は、ビット、キロビット、キロパケット、メガビット、またはパケット数です。レートの単位と同じものにしてください。

Flex filter

(オプション)フレックス フィルタを設定します。詳細については、「フレックス フィルタの設定」を参照してください。

Filter Action

(オプション)フレックス フィルタのアクションを設定します。使用可能な値は、次のいずれかです。

disable :フレックス フィルタをディセーブルにします。

count :フレックス フィルタをフローの計数に使用します。

drop :フレックス フィルタをフローのドロップに使用します。

Protection-end Timer

Guard での保護を終了する時刻。

Guard では、動的フィルタの追加をチェックすることで攻撃が終了したかどうかを確認します。使用中になっている動的フィルタがなく、事前定義されている期間内に新しい動的フィルタが追加されなかった場合、Guard は保護を終了します。

使用可能な値は、数秒間から無期限です。

Filter-rate termination threshold

このしきい値は、Malicious-rate termination threshold とともに使用して、Guard が動的フィルタを無効にできるタイミングを指定します。

このしきい値は、パケット/秒(pps)単位で定義します。

詳細については、「動的フィルタの終了」の注を参照してください。

Malicious-rate termination threshold

このしきい値は Filter-rate termination threshold とともに使用して、 Guard が動的フィルタを無効にできるタイミングを指定します。

このしきい値は、パケット/秒(pps)単位で定義します。

詳細については、「動的フィルタの終了」の注を参照してください。

IP address

ゾーンの IP アドレス。

Mask

ゾーンのアドレス マスク。アドレス マスクをドロップダウン リストから選択します。


) 帯域幅の値は、ゾーンへの送信で計測された最大の帯域幅に設定することをお勧めします。値が不明な場合は、burst および Max. rate をブランクのまま(デフォルト)にし、ドロップダウン リストから単位として unlimited を選択します。


ゾーンを作成すると、設定が 3 つのテーブルに表示されます。

ゾーンの基本設定を変更するには、最初のテーブルの下にある Config ボタンをクリックし、パラメータを Zone Form に入力します。

フレックス フィルタの設定を変更するには、フレックス フィルタの情報が示された 2 番目のテーブルの下にある Config ボタンをクリックし、パラメータを Zone Form に入力します。「フレックス フィルタの設定」を参照してください。

IP アドレスおよびサブネットを追加するには、3 番目の(IP)テーブルの下にある Add ボタンをクリックします。ゾーンの IP アドレスまたはサブネットごとにこの手順を繰り返す必要があります。ゾーンが有効になっている間も、追加の IP アドレスおよびサブネットを入力または削除することができます。


動的フィルタの終了

動的フィルタのタイムアウト期限が満了したときに、次のいずれかに該当すると、 Guard は動的フィルタを無効にするかどうかを判定します。

悪意のあるトラフィックの合計レート(スプーフィングされたトラフィックとドロップされたトラフィックの合計)が、Malicious-rate termination threshold 値以下である。

Filter-rate termination threshold が、次の 2 つの値以上である。

動的フィルタの現在のトラフィック レート

ユーザが設定した期間内(ポリシーの Timeout パラメータで定義)における動的フィルタの平均トラフィック レート

動的フィルタのタイムアウトの詳細については、「パラメータの設定」を参照してください。


 

ゾーンの再設定

既存のゾーンを再設定するには、ゾーンのメイン メニューの Configuration > General を選択し、最初のテーブルの下にある Config ボタンをクリックします。

ゾーンの削除

ゾーンを削除するには、 Guard のメイン メニューの Zones > Zone list を選択し、ゾーンのチェックボックスをオンにして、 Delete をクリックします。

ゾーンのステータス アイコン

アイコンはゾーンのステータスを表し、ナビゲーション ペインおよびゾーンのステータス バーに表示されます。 表 4-3 に、ゾーンのステータス アイコンの説明を示します。

 

表 4-3 ゾーンのステータス アイコン

アイコン
ステータス

 

 

スタンバイ ゾーン。

 

 

いずれかのラーニング フェーズに入っているゾーン。

 

 

保護モードになっているゾーン。

 

ゾーンの新しい推奨事項が利用可能になっていることを示します。このアイコンは、ゾーンのアイコンに加えて表示されます。