Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
AIP SSM と SSCでの IPS アプリケーション の設定
AIP SSM と SSCでの IPS アプリケーションの設定
発行日;2012/02/01 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

AIP SSM と SSCでの IPS アプリケーションの設定

AIP SSM と SSC に関する情報

AIP SSM/SSC と適応型セキュリティ アプライアンスの連携のしくみ

動作モード

仮想センサーの使用(AIP SSM 限定)

AIP SSM と AIP SSC の間の相違

AIP SSM/SSC のライセンス要件

ガイドラインと制限事項

AIP SSM/SSC の設定

AIP SSM/SSC タスクの概要

AIP SSM/SSC でのセキュリティ ポリシーの設定

セキュリティ コンテキストへの仮想センサーの割り当て(AIP SSM 限定)

AIP SSM/SSC へのトラフィックの誘導

AIP SSM/SSC の監視

AIP SSM/SSC の設定例

AIP SSM/SSC の機能履歴

AIP SSM と SSCでの IPS アプリケーションの設定

この章では、Advanced Inspection and Prevention Security Services Module(AIP SSM)または Advanced Inspection and Prevention Security Security Services Card(AIP SSC)で実行される IPS アプリケーションを設定する方法を説明します。


) SSC は ASA 5505 でサポートされます。どのモデルが SSM をサポートするかの詳細については、「モデルごとの SSM および SSC サポート」を参照してください。


この章には、次の項があります。

「AIP SSM と SSC に関する情報」

「AIP SSM/SSC のライセンス要件」

「ガイドラインと制限事項」

「AIP SSM/SSC の設定」

「AIP SSM/SSC の監視」

「AIP SSM/SSC の設定例」

「AIP SSM/SSC の機能履歴」

AIP SSM と SSC に関する情報

ASA 5500 シリーズ適応型セキュリティ アプライアンスに AIP SSM/SSC をインストールできます。AIP SSM/SSC は、予防的なフル機能の侵入防御サービスを提供する高度な IPS ソフトウェアを実行し、ワームやネットワーク ウイルスなどの悪意のあるトラフィックがネットワークに影響を与える前に、これらを阻止します。この項は、次の内容で構成されています。

「AIP SSM/SSC と適応型セキュリティ アプライアンスの連携のしくみ」

「動作モード」

「仮想センサーの使用(AIP SSM 限定)」

「AIP SSM と AIP SSC の間の相違」

AIP SSM/SSC と適応型セキュリティ アプライアンスの連携のしくみ

AIP SSM/SSC は適応型セキュリティ アプライアンスから個別のアプリケーションを実行します。ただし、それは適応型セキュリティ アプライアンス トラフィック フローに統合されます。AIP SSM/SSC には(SSM 上の管理インターフェイスだけを除き)外部インターフェイス自体は含まれません。適応型セキュリティ アプライアンスで IPS 検査用のトラフィックを識別した場合、トラフィックは適応型セキュリティ アプライアンスと AIP SSM/SSC を次のように流れます。

1. トラフィックは適応型セキュリティ アプライアンスに入ります。

2. ファイアウォール ポリシーが適用されます。

3. トラフィックはバックプレーンを経由して AIP SSM/SSC に送信されます。

トラフィックのコピーだけを AIP SSM/SSC に送信する方法については、「動作モード」を参照してください。

4. AIP SSM/SSC はそのセキュリティ ポリシーをトラフィックに適用し、適切なアクションを実行します。

5. 有効なトラフィックがバックプレーンを経由して適応型セキュリティ アプライアンスに戻されます。AIP SSM/SSC は、セキュリティ ポリシーに従って、一部のトラフィックをブロックし、ブロックされたトラフィックは渡されません。

6. VPN ポリシーが適用されます(設定されている場合)。

7. トラフィックは適応型セキュリティ アプライアンスから出ます。

図 59-1 は、AIP SSM/SSC がインライン モードで実行されているときのトラフィック フローを示しています。この例では、AIP SSM/SSC が攻撃と見なしたトラックは、自動的にブロックされています。それ以外のトラフィックは、適応型セキュリティ アプライアンスを通って転送されます。

図 59-1 適応型セキュリティ アプライアンスにおける AIP SSM/SSC トラフィック フロー:インライン モード

 

動作モード

次のいずれかのモードを使用して、トラフィックを AIP SSM/SSC に送信できます。

インライン モード:このモードは AIP SSM/SSC をトラフィック フローに直接配置します(図 59-1 を参照)。IPS 検査対象と認識されたトラフィックは、まず AIP SSM/SSC に渡されて検査を受けないと、適応型セキュリティ アプライアンスを通過することはできません。検査対象と認識されたすべてパケットは通過する前に分析されるため、このモードは最もセキュアです。また、AIP SSM/SSC はパケット単位のブロック ポリシーを実装できます。ただし、このモードは、スループットに影響を与えることがあります。

無差別モード:このモードでは、トラフィックの重複ストリームが AIP SSM/SSC に送信されます。このモードは安全性では劣りますが、トラフィックのスループットにほとんど影響を与えません。インライン モードとは異なり、無差別モードでは、AIP SSM/SSC は、適応型セキュリティ アプライアンスにトラフィックを排除するように指示するか、適応型セキュリティ アプライアンスの接続をリセットした場合にだけトラフィックをブロックできます。また、AIP SSM/SSC がトラフィックを分析している間、AIP SSM/SSC が排除する前に少量のトラフィックが適応型セキュリティ アプライアンスを通過することがあります。図 59-2 は、無差別モードの AIP SSM/SSC を示しています。この例では、AIP SSM/SSC は、脅威と見なしたトラフィックについての排除メッセージを適応型セキュリティ アプライアンスに送信します。

図 59-2 適応型セキュリティ アプライアンスにおける AIP SSM/SSC トラフィック フロー:無差別モード

 

仮想センサーの使用(AIP SSM 限定)

IPS ソフトウェアのバージョン 6.0 以降を実行している AIP SSM では、複数の仮想センサーを実行できます。つまり、AIP SSM に複数のセキュリティ ポリシーを設定することができます。各コンテキストまたはシングルモード適応型セキュリティ アプライアンスを 1 つまたは複数の仮想センサーに割り当てる、または複数のセキュリティ コンテキストを同じ仮想センサーに割り当てることができます。仮想センターの詳細(サポートされている最大センサー数など)については、IPS のマニュアルを参照してください。

図 59-3 では、1 つのセキュリティ コンテキストと 1 つの仮想センター(インライン モード)がペアになり、2 つのセキュリティ コンテキストが同じ仮想センサーを共有しています。

図 59-3 セキュリティ コンテキストと仮想センサー

 

図 59-4 では、シングルモードの適応型セキュリティ アプライアンスが複数の仮想センサー(インライン モード)とペアになっています。定義されている各トラフィック フローは異なるセンサーに進みます。

図 59-4 複数の仮想センサーがあるシングルモードのセキュリティ アプライアンス

 

AIP SSM と AIP SSC の間の相違

AIP SSC は ASA 5505 適応型セキュリティ アプライアンスの小規模なオフィスのインストレーション用に設計されていますが、AIP SSM は ASA 5510 以上のより高度なパフォーマンス要件をサポートします。次の機能は、AIP SSM ではサポートされていますが、AIP SSC ではサポートされていません。

仮想センサー

異常検出

デフォルトの無効にした署名の非無効化

AIP SSM/SSC のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

AIP SSM/SSC の IPS アプリケーションは、署名のアップデートをサポートするために個別の Cisco Services for IPS ライセンスを必要とします。その他のすべてのアップデートは、ライセンスがなくても使用できます。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

ASA 5505 適応型セキュリティ アプライアンスはマルチコンテキスト モードをサポートしないため、仮想センサーなどのマルチコンテキスト機能は AIP SSC ではサポートされません。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。

モデルのガイドライン

SSC は ASA 5505 だけでサポートされます。どのモデルが SSM をサポートするかの詳細については、「モデルごとの SSM および SSC サポート」を参照してください。

ASA 5505 適応型セキュリティ アプライアンスはマルチコンテキスト モードをサポートしないため、仮想センサーなどのマルチコンテキスト機能は AIP SSC ではサポートされません。

AIP SSM/SSC の設定

この項では、AIP SSM と AIP SSC に対して IPS を設定する方法、および次のトピックについて説明します。

「AIP SSM/SSC タスクの概要」

「AIP SSM/SSC でのセキュリティ ポリシーの設定」

「セキュリティ コンテキストへの仮想センサーの割り当て(AIP SSM 限定)」

「AIP SSM/SSC へのトラフィックの誘導」

AIP SSM/SSC タスクの概要

AIP SSM/SSC の設定は、SSM/SSC での IPS ソフトウェアの設定、およびその後の ASA 5500 シリーズ適応型セキュリティ アプライアンスの設定を含むプロセスです。AIP SSM/SSC を設定するには、次の手順を実行します。


ステップ 1 AIP SSM/SSC では、検査と保護ポリシーを設定することにより、トラフィックの検査方法と侵入検出時の対処を決定します。AIP SSM だけの場合、マルチセンサー モードで AIP SSM を実行する場合は、各仮想センサーに対する検査と保護ポリシーを設定します。「AIP SSM/SSC でのセキュリティ ポリシーの設定」を参照してください。

ステップ 2 (AIP SSM 限定)マルチコンテキスト モードの ASA 5500 では、各コンテキストに対してどの IPS 仮想センサーが使用可能かを指定します(仮想センサーを設定している場合)。「セキュリティ コンテキストへの仮想センサーの割り当て(AIP SSM 限定)」を参照してください。

ステップ 3 ASA 5500 で、AIP SSM/SSC に誘導するトラフィックを識別します。「AIP SSM/SSC へのトラフィックの誘導」を参照してください。


 

AIP SSM/SSC でのセキュリティ ポリシーの設定

この項では、AIP SSM/SSC で IPS アプリケーションにアクセスする方法について説明します。


) または、ASDM を使用して AIP SSM/SSC を設定することもできます。詳細については、ASDM のマニュアルを参照してください。

ASDM アクセスとその他の用途に対して SSC 管理インターフェイスを設定するには、「SSC 管理インタフェースの設定」も参照してください。


詳細な手順


ステップ 1 適応型セキュリティ アプライアンスから AIP SSM/SSC へのセッション。「SSM または SSC へのセッション接続」を参照してください。

ステップ 2 AIP SSM/SSC の初期コンフィギュレーション用のセットアップ ユーティリティを実行するには、次のコマンドを入力します。

sensor# setup
 

基本設定を求めるプロンプトが表示されます。

ステップ 3 IPS セキュリティ ポリシーを設定します。

AIP SSM だけの場合は、IPS バージョン 6.0 以降で仮想センサーを設定する場合は、センサーの 1 つをデフォルトとして指定します。ASA 5500 シリーズ適応型セキュリティ アプライアンスのコンフィギュレーションで仮想センサー名を指定しない場合は、デフォルト センサーが使用されます。

AIP SSM/SSC で実行される IPS ソフトウェアは、このマニュアルの対象ではないため、詳細なコンフィギュレーション情報については、次の IPS のマニュアルを参照してください。

http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/tsd_products_support_series_home.html

ステップ 4 AIP SSM/SSC の設定が完了したら、次のコマンドを入力して IPS ソフトウェアを終了します。

sensor# exit
 

適応型セキュリティ アプライアンスから AIP SSM/SSC へのセッションを接続した場合は、適応型セキュリティ アプライアンスのプロンプトに戻ります。


 

次の作業

マルチコンテキスト モードの適応型セキュリティ アプライアンスの場合は、「セキュリティ コンテキストへの仮想センサーの割り当て(AIP SSM 限定)」を参照してください。

シングルコンテキスト モードの適応型セキュリティ アプライアンスの場合は、「AIP SSM/SSC へのトラフィックの誘導」を参照してください。

セキュリティ コンテキストへの仮想センサーの割り当て(AIP SSM 限定)

適応型セキュリティ アプライアンスがマルチコンテキスト モードにある場合、1 つまたは複数の IPS 仮想センサーを各コンテキストに割り当てることができます。このようにすると、トラフィックを AIP SSM に送信するようにコンテキストを設定するときに、そのコンテキストに割り当てられているセンサーを指定できます。そのコンテキストに割り当てられていないセンサーを指定することはできません。コンテキストにセンサーを割り当てない場合は、AIP SSM に設定されているデフォルト センサーが使用されます。複数のコンテキストに同じセンサーを割り当てることができます。


) 仮想センサーを使用するために、マルチコンテキスト モードにする必要はありません。シングルモードで、トラフィック フローごとに異なるセンサーを使用できます。


前提条件

コンテキストの設定の詳細については、「セキュリティ コンテキストの設定」を参照してください。

詳細な手順

 

 
コマンド
目的

ステップ 1

context name
 
例:
hostname(config)# context admin
hostname(config-ctx)#

設定するコンテキストを識別します。システム実行スペースにこのコマンドを入力します。

ステップ 2

allocate-ips sensor_name [ mapped_name ] [ default ]
 
例:
hostname(config-ctx)# allocate-ips sensor1 highsec

コンテキストに割り当てるセンサーごとに、このコマンドを入力します。

sensor _name 引数は、AIP SSM に設定されているセンサー名です。AIP SSM に設定されているセンサーを表示するには、 allocate-ips ? と入力します。使用可能なすべてのセンサーが一覧表示されます。 show ips コマンドを入力することもできます。システム実行スペースで、 show ips コマンドを入力すると、使用可能なすべてのセンサーが一覧表示されます。このコマンドをコンテキストで入力すると、そのコンテキストにすでに割り当て済みのセンサーが表示されます。AIP SSM にまだ存在しないセンサー名を指定すると、エラーになりますが、 allocate-ips コマンドはそのまま入力されます。AIP SSM に指定した名前のセンサーを作成するまで、コンテキストはセンサーがダウンしていると見なします。

mapped_name 引数を、実際のセンサー名の代わりにコンテキストで使用可能なセンサー名のエイリアスとして使用します。マッピング名を指定しない場合、そのセンサー名がコンテキストで使用されます。セキュリティ保護上の目的から、コンテキストでどのセンサーが使用されているかをコンテキスト管理者に知られないようにすることができます。または、コンテキスト コンフィギュレーションをジェネリクス化することができます。たとえば、すべてのコンテキストで「sensor1」と「sensor2」という名前のセンサーを使用する場合、コンテキスト A の sensor1 と sensor2 には「highsec」センサーと「lowsec」センサーをマップできますが、コンテキスト B の sensor1 と sensor2 には「medsec」センサーと「lowsec」センサーをマップします。

default キーワードは、コンテキストごとに 1 つのセンサーをデフォルトのセンサーとして設定します。コンテキスト コンフィギュレーションでセンサー名を指定しない場合、コンテキストではこのデフォルト センサーが使用されます。デフォルト センサーは、コンテキストごとに 1 つだけ設定できます。デフォルト センサーを変更する場合は、 no allocate-ips sensor_name コマンドを入力して、現在のデフォルト センサーを削除してから、新しいデフォルト センサーを割り当てます。センサーをデフォルトとして指定せず、コンテキスト コンフィギュレーションにはセンサー名が含まれていない場合、トラフィックでは AIP SSM/SSC のデフォルト センサーが使用されます。

ステップ 3

changeto context context_name
 
例:
hostname# changeto context customer1

「AIP SSM/SSC へのトラフィックの誘導」での説明に従って、IPS セキュリティ ポリシーを設定するには各コンテキストに切り替えます。

次の例では、sensor1 と sensor2 をコンテキスト A に、sensor1 と sensor3 をコンテキスト B に割り当てます。いずれのコンテキストでもセンサー名を「ips1」と「ips2」にマッピングしています。コンテキスト A では、sensor1 はデフォルト センサーとして設定されていますが、コンテキスト B ではデフォルト センサーは設定されていないため、AIP SSM で設定されているデフォルトが使用されます。

hostname(config-ctx)# context A
hostname(config-ctx)# allocate-interface gigabitethernet0/0.100 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/0.102 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115 int3-int8
hostname(config-ctx)# allocate-ips sensor1 ips1 default
hostname(config-ctx)# allocate-ips sensor2 ips2
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/test.cfg
hostname(config-ctx)# member gold
 
hostname(config-ctx)# context sample
hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.212 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/1.230-gigabitethernet0/1.235 int3-int8
hostname(config-ctx)# allocate-ips sensor1 ips1
hostname(config-ctx)# allocate-ips sensor3 ips2
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/sample.cfg
hostname(config-ctx)# member silver
 
hostname(config-ctx)# changeto context A
...

次の作業

IPS セキュリティ ポリシーを設定するには各コンテキストに切り替えます(「AIP SSM/SSC へのトラフィックの誘導」で説明されています)。

AIP SSM/SSC へのトラフィックの誘導

この項では、適応型セキュリティ アプライアンスから AIP SSM/SSC に誘導するトラフィックを識別します。

前提条件

マルチコンテキスト モードでは、各コンテキスト実行スペースでこれらの手順を実行します。

詳細な手順

 

 
コマンド
目的

ステップ 1

class-map name
 
例:
hostname(config)# class-map ips_class

AIP SSM/SSC に送信するトラフィックを特定するためのクラスマップを作成します。

AIP SSM/SSC に複数のトラフィック クラスを送信する場合は、セキュリティ ポリシーで使用するための複数のクラスマップを作成できます。

ステップ 2

match parameter
 
例:
hostname(config-cmap)# match access-list ips_traffic

クラスマップのトラフィックを指定します。詳細については、「トラフィックの特定(レイヤ 3/4 クラスマップ)」を参照してください。

ステップ 3

policy-map name
 
例:
hostname(config)# policy-map ips_policy

クラスマップ トラフィックで実行するアクションを設定するポリシーマップを追加または編集します。

ステップ 4

class name
 
例:
hostname(config-pmap)# class ips_class

ステップ 1 で作成したクラスマップを識別します。

ステップ 5

ips { inline | promiscuous } { fail-close | fail-open } [ sensor { sensor_name | mapped_name }]
 
例:
hostname(config-pmap-c)# ips promiscuous fail-close

トラフィックが AIP SSM/SSC に送信されるように指定します。

inline キーワードと promiscuous キーワードは、AIP SSM/SSC の動作モードを制御します。詳細については、「動作モード」を参照してください。

fail-close キーワードは、AIP SSM/SSC が使用できない場合はすべてのトラフィックをブロックするように、適応型セキュリティ アプライアンスを設定します。

fail-open キーワードは、AIP SSM/SSC が使用できない場合はすべてのトラフィックを検査なしで通過させるように、適応型セキュリティ アプライアンスを設定します。

AIP SSM だけで仮想センサーを使用する場合は、 sensor sensor_name 引数を使用してセンサー名を指定できます。使用可能なセンサー名を表示するには、 ips ... sensor ? コマンドを入力します。使用可能なセンサーが一覧表示されます。 show ips コマンドを使用することもできます。適応型セキュリティ アプライアンスでマルチコンテキスト モードを使用する場合、コンテキストに割り当てたセンサーだけを指定できます(「セキュリティ コンテキストへの仮想センサーの割り当て(AIP SSM 限定)」を参照)。コンテキストで設定されている場合は、 mapped_name を使用します。センサー名を指定しない場合、トラフィックではデフォルト センサーが使用されます。マルチコンテキスト モードでは、デフォルト センサーをコンテキストに指定できます。シングルモードの場合、またはマルチモードでデフォルト センサーを指定しない場合、トラフィックでは AIP SSM で設定されているデフォルト センサーが使用されます。AIP SSM にまだ存在しない名前を入力すると、エラーになり、コマンドは拒否されます。

ステップ 6

(オプション)

class name2
 
例:
hostname(config-pmap)# class ips_class2
 

IPS トラフィックに複数のクラスマップを作成した場合、ポリシーに対して別のクラスを指定できます。

ポリシーマップ内でのクラスの順番が重要であることの詳細については、「レイヤ 3/4 ポリシーマップに関する情報」を参照してください。トラフィックを同じアクション タイプの複数のクラスマップに一致させることはできません。そのため、ネットワーク A を sensorA に進ませ、それ以外のすべてのトラフィックを sensorB に進ませる場合、まずネットワーク A に対して class コマンドを入力してから、すべてのトラフィックに対して class コマンドを入力する必要があります。このようにしないと、ネットワーク A を含むすべてのトラフィックが最初の class コマンドに一致して、sensorB に送信されます。

ステップ 7

(オプション)

ips { inline | promiscuous } { fail-close | fail-open } [ sensor { sensor_name | mapped_name }]
 
例:
hostname(config-pmap-c)# ips promiscuous fail-close

トラフィックの 2 番目のクラスが AIP SSM/SSC に送信されるように指定します。

ステップ 8

service-policy policymap_name {global | interface interface_name }
 
例:
hostname(config)# service-policy tcp_bypass_policy outside

1 つまたは複数のインターフェイスでポリシーマップをアクティブにします。 global はポリシーマップをすべてのインターフェイスに適用し、 interface は 1 つのインターフェイスに適用します。グローバル ポリシーは 1 つしか適用できません。インターフェイスのグローバル ポリシーは、そのインターフェイスにサービス ポリシーを適用することで上書きできます。各インターフェイスには、ポリシーマップを 1 つだけ適用できます。

AIP SSM/SSC の監視

「SSM と SSC の監視」を参照してください。

AIP SSM/SSC の設定例

次の例では、すべての IP トラフィックが AIP SSM/SSC に無差別モードで誘導され、何らかの理由で AIP SSM/SSC カードに障害が発生した場合はすべての IP トラフィックがブロックされます。

hostname(config)# access-list IPS permit ip any any
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list IPS
hostname(config-cmap)# policy-map my-ips-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips promiscuous fail-close
hostname(config-pmap-c)# service-policy my-ips-policy global
 

次の例では、10.1.1.0 ネットワークと 10.2.1.0 ネットワーク宛てのすべての IP トラフィックが AIP SSM にインライン モードで誘導され、何らかの理由で AIP SSM に障害が発生した場合は、すべてのトラフィックの通過が許可されます。my-ips-class トラフィックには sensor1 が使用され、my-ips-class2 トラフィックには sensor2 が使用されます。

hostname(config)# access-list my-ips-acl permit ip any 10.1.1.0 255.255.255.0
hostname(config)# access-list my-ips-acl2 permit ip any 10.2.1.0 255.255.255.0
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list my-ips-acl
hostname(config)# class-map my-ips-class2
hostname(config-cmap)# match access-list my-ips-acl2
hostname(config-cmap)# policy-map my-ips-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips inline fail-open sensor sensor1
hostname(config-pmap)# class my-ips-class2
hostname(config-pmap-c)# ips inline fail-open sensor sensor2
hostname(config-pmap-c)# service-policy my-ips-policy interface outside
 

AIP SSM/SSC の機能履歴

表 59-1 に、この機能のリリース履歴の一覧を示します。

 

表 59-1 AIP SSM/SSC の機能履歴

機能名
リリース
機能情報

AIP SSM

7.0(1)

AIP SSM が導入されました。 ips コマンドが導入されました。

仮想センサー

8.0(2)

仮想センサーのサポートが導入されました。仮想センサーを使用すると AIP SSM で複数のセキュリティ ポリシーを設定できます。 allocate-ips コマンドが導入されました。

ASA 5505 用 AIP SSC

8.2(1)

AIP SSC が導入されました。 allow-ssc-mgmt hw-module module ip 、および hw-module module allow-ip コマンドが導入されました。