Cisco Security Manager 4.2 ユーザ ガイド
IOS IPS ルータの設定
IOS IPS ルータの設定
発行日;2012/05/08 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

IOS IPS ルータの設定

Cisco IOS IPS について

IPS サブシステムおよび IOS IPS リビジョンのサポートについて

ライトウェイト シグニチャによる Cisco IOS IPS シグニチャ スキャン

ルータ設定ファイルおよびシグニチャ イベント アクション プロセッサ(SEAP)

Cisco IOS IPS の制限事項および制約事項

Cisco IOS IPS 設定の概要

Cisco IOS IPS ルータでの最初の準備

Cisco IOS IPS のシグニチャ カテゴリの選択

Cisco IOS IPS の一般的な設定値の設定

IOS IPS インターフェイス ルールの設定

[IPS Rule] ダイアログボックス

[Pair] ダイアログボックス

IOS IPS ルータの設定

Integrated Services Router(ISR; サービス統合型ルータ)などの一部の Cisco IOS ルータは、IPS 5.1 ソフトウェアに基づいたネイティブな IPS 機能を備えています。これらのデバイス上で基本的な IPS インスペクションを設定することにより、IPS センサーによるインスペクションを補強したり、小規模ネットワークをサポートしたりできます。

この章の構成は、次のとおりです。

「Cisco IOS IPS について」

「Cisco IOS IPS 設定の概要」

Cisco IOS IPS について

Cisco Security Manager を Cisco IOS Intrusion Prevention System(IOS IPS; IOS 侵入防御システム)とともに使用して、サポートされている Cisco IOS ソフトウェア リリース 12.4(11)T2 以降を使用する Cisco ルータで侵入防御を管理できます。

Cisco IOS IPS は、インライン侵入防御センサーとして機能し、パケットとセッションがルータを通過するときに監視し、各パケットをスキャンして Cisco IOS IPS シグニチャと照合します。疑わしいアクティビティを検出すると、ネットワーク セキュリティが侵害される前に対応し、Cisco IOS syslog メッセージまたは Security Device Event Exchange(SDEE)を使用してイベントを記録します。

さまざまな脅威に対して適切な対応を選択するように Cisco IOS IPS を設定できます。Signature Event Action Processor(SEAP)は、忠実度、重大度、ターゲットの価値レーティングなどのパラメータに基づいて、シグニチャ イベントが実行するアクションを動的に制御できます。これらのアクションは、[Signatures] ポリシーおよび [Event Actions] ポリシーを使用して Security Manager で設定できます。

セッション内のパケットがシグニチャと一致すると、Cisco IOS IPS は必要に応じて次のいずれかのアクションを実行できます。

syslog サーバまたは中央管理インターフェイスにアラームを送信する。

パケットをドロップする。

接続をリセットする。

指定した期間、攻撃者の送信元 IP アドレスからのトラフィックを拒否する。

指定した期間、シグニチャが確認された接続上のトラフィックを拒否する。

シスコでは、柔軟性を念頭に置いて Cisco IOS ソフトウェアベースの侵入防御機能および Cisco IOS Firewall を開発しているため、false positive の場合にシグニチャを個別にディセーブルにできます。通常は、ネットワーク セキュリティ ポリシーをサポートするために、ファイアウォールと Cisco IOS IPS の両方をイネーブルにすることを推奨します。ただし、異なるルータ インターフェイス上で、これらの機能を個別にイネーブルにすることもできます。

Cisco IOS IPS 設定プロセスの全般的な説明については、「Cisco IOS IPS 設定の概要」を参照してください。

ここでは、次の項目について説明します。

「IPS サブシステムおよび IOS IPS リビジョンのサポートについて」

「ライトウェイト シグニチャによる Cisco IOS IPS シグニチャ スキャン」

「ルータ設定ファイルおよびシグニチャ イベント アクション プロセッサ(SEAP)」

「Cisco IOS IPS の制限事項および制約事項」

IPS サブシステムおよび IOS IPS リビジョンのサポートについて

Cisco Security Manager では IOS IPS のマイナー リビジョンが自動的にサポートされます。サポートされているマイナー リビジョンを確認するには、IPS サブシステム バージョンが必要です。

IPS サブシステム バージョンは、Cisco IOS IPS 機能の変更の追跡に使用されるバージョン番号です。サブシステム番号は、デバイスのプロパティで示されます(デバイスを右クリックし、[Device Properties] を選択します)。Cisco IOS IPS を実行しているルータ上のコマンドラインで show subsys name ips コマンドを使用して、詳細な Cisco IOS IPS サブシステム バージョンを表示することもできます。3.x サブシステムは、IPS 5.x に相当します。Cisco IOS ソフトウェア リリースでサポートされているサブシステムのリストについては、Cisco.com で、該当するリリースの Security Manager の『 Supported Devices and Software Versions for Cisco Security Manager 』を参照してください。

IPS サブシステムのバージョンは、バージョンの相違がポストフィックスだけである場合は、マイナーとなります。たとえば、3.0.1 から 3.0.2 へのリビジョンは、マイナーな変更であると見なされます。別の例として、3.0.1 から 3.1.1 もマイナーなバージョン変更と見なされます。ただし、新しい機能が含まれているマイナー リビジョンは、Cisco Security Manager によって自動的にサポートされるわけではありません。

ライトウェイト シグニチャによる Cisco IOS IPS シグニチャ スキャン

ライトウェイト シグニチャによる Cisco IOS IPS シグニチャ スキャンを Cisco IOS Release 15.0(1)M に追加することにより、Cisco IOS IPS の機能が拡張されます。この機能拡張により、既存のシグニチャ セットと機能的に同等だがより軽量なシグニチャをロードして、より大規模なシグニチャ セットをロードできるようになります。このとき、追加メモリを大幅に消費したり、既存のシグニチャ セットによって消費されるメモリ量を減らしたりする必要はありません。これらのシグニチャは、ライトウェイト シグニチャと呼ばれています。

Security Manager は、ISR およびモジュラ アクセス ルータ上で、LWE のカスタム シグニチャを検出および調整できます。また、ISR およびモジュラ アクセス ルータ上の LWE シグニチャ向けに、次の機能をサポートしています。

新しいシグニチャ タイプ

シグニチャ カテゴリ

デフォルトの新しいシグニチャ カテゴリ認識

新しいエンジン更新レベル

ライセンス ステータス:バイパス、期限切れ、または未インストール

ルータ設定ファイルおよびシグニチャ イベント アクション プロセッサ(SEAP)

Cisco IOS Release 12.4(11)T 以降、Cisco IOS IPS では、Signature Definition File(SDF; シグニチャ定義ファイル)が使用されなくなりました。このため、Security Manager では、廃止予定の組み込みシグニチャ セットである 128.sdf、256.sdf、および attack-drop.sdf を使用できません。

代わりに、ルータは、3 つの設定ファイル(デフォルト設定、デルタ設定、および SEAP 設定)が含まれているディレクトリを介して、シグニチャ定義情報にアクセスします。この場所は、[IPS] > [General Settings] ポリシーを使用して設定できます。

SEAP は、シグニチャ イベントのデータ フローを調整する制御ユニットです。SEAP を使用すると、Event Risk Rating(ERR; イベント リスク レーティング)フィードバックに基づく高度なフィルタリングおよびシグニチャの上書きを実行できます。ERR は、false positive を最小限に抑えるために、ユーザが選択するアクション適用レベルを制御するために使用します。

シグニチャは、以前は NVRAM に格納されていましたが、現在はデルタ設定ファイルに格納されます。

Cisco IOS IPS の制限事項および制約事項

Cisco IOS IPS ルータは、専用 IPS センサー アプライアンスおよびサービス モジュールでサポートされているすべての機能をサポートしているわけではありません。また、IOS IPS をサポートするルータが IPS 機能に割り当てるメモリの量は、IPS センサーが割り当てるメモリの量よりも多くはない可能性があります。次の制限事項および制約事項を考慮する必要があります。

IOS IPS デバイスを設定する場合は、必要なシグニチャだけを選択します。Security Manager で使用可能なシグニチャをすべて選択すると、IOS IPS ルータで使用できるメモリを超過する可能性があります。これにより、配布が失敗したり、デバイスが一部のシグニチャしかロードできなかったり、パフォーマンスが大幅に低下したりする可能性があります。配布に失敗した場合は、選択するシグニチャ セットの数を減らしてから、デバイスに設定を再配布します。

仮想センサーは、IOS IPS ではサポートされていません。

IOS IPS ルータでイベント アクション フィルタを使用する場合は、イベント アクション フィルタの基準に一致したイベントから IPS アクションのサブセットだけを削除できます。使用可能なイベント アクションの詳細については、「[Add Filter Item]/[Edit Filter Item] ダイアログボックス」および「IPS イベント アクションについて」を参照してください。

IOS IPS は、IPS ソフトウェア 5.1 がベースになっています。したがって、これ以降のバージョンの IPS ソフトウェアで導入された機能は、通常、IOS IPS では使用できません。たとえば、次の機能は設定できません。

グローバル相関。

異常検出。

イベント アクション ネットワーク識別ポリシーでの OS ID。

Cisco IOS IPS 設定の概要

さまざまなデバイスに侵入防御システムを設定できます。設定の視点から、デバイスは 2 つのグループに分けられます。1 つは、完全な IPS ソフトウェアを実行する専用アプライアンスおよびサービス モジュール(ルータ、スイッチ、および ASA デバイスの場合)です。もう 1 つは、Cisco IOS ソフトウェア 12.4(11)T 以降(Cisco IOS IPS)を実行する IPS 対応ルータです。

次の手順では、Cisco IOS IPS ルータでの IPS 設定の概要について説明します。ルータにインストールされている IPS サービス モジュールを含む、専用 IPS デバイスについては、「IPS 設定の概要」を参照してください。

Cisco IOS IPS は機能が限定されています。ブランチ オフィスや中小規模のネットワーク向けであり、1 つのネットワークで IPS を展開するときに使用します。Cisco IOS IPS ルータでは、通常、専用アプライアンスと同数のシグニチャを使用することはできません。また、Cisco IOS IPS は IPS ソフトウェア バージョン 5.1 に基づいているため、グローバル相関などの高度な機能を設定できません。Cisco IOS IPS デバイスを設定する場合、このデバイスは少数の IPS 機能を実行するルータであるため、通常は標準のルータ ポリシーを設定します。一方、IPS アプライアンスおよびサービス モジュール用のプラットフォーム ポリシーは、IPS ソフトウェア専用となります。


ヒント Cisco IOS IPS を設定する前に、Cisco.com で『Cisco IOS Intrusion Prevention System Deployment Guide』を読んでください。


ステップ 1 デバイスを設置し、ネットワークに接続します。デバイス ソフトウェアをインストールし、基本的なデバイス構成を実行します。デバイス上で実行するすべてのサービスに必要なライセンスをインストールします。最初に実行する設定量は、Security Manager で設定する必要がある内容に影響します。必須の基本設定については、次を参照してください。

「Cisco IOS ルータでの SSL の設定」

「SSH の設定」

「Cisco IOS デバイスでのライセンスの設定」

「Cisco IOS IPS ルータでの最初の準備」

「Cisco IOS IPS のシグニチャ カテゴリの選択」

ステップ 2 デバイスを Security Manager のデバイス インベントリに追加します(「デバイス インベントリへのデバイスの追加」を参照してください)。デバイスを追加する場合は、次の項目を必ず選択してください。

ネットワークまたはエクスポート ファイルから追加する場合は、ポリシー検出用の [IPS Policies] を選択します。

設定ファイルから、または手動定義によって追加する場合は、[Options] リストから [IPS] を選択します。そうしないと、Security Manager から見て、デバイスが IPS 対応ではなくなります。

ステップ 3 ルータ上の IPS ファイルの場所を指定するように、IPS の一般的な設定値を設定します。詳細については、「Cisco IOS IPS の一般的な設定値の設定」を参照してください。

ステップ 4 IPS をイネーブルにし、IPS インスペクションの適用対象トラフィックのインターフェイスを識別するように、IPS インターフェイス ルールを設定します。詳細については、「IOS IPS インターフェイス ルールの設定」を参照してください。

ステップ 5 IPS シグニチャおよびイベント アクションを設定します。イベント アクション ポリシーの設定は、カスタムのシグニチャの作成よりも簡単であるため、特定のシグニチャを編集する前に、イベント アクション フィルタを使用して、シグニチャの動作を変更するように上書きしてみてください。詳細については、次のトピックを参照してください。

「イベント アクション ルールの設定」

「シグニチャの設定」

ステップ 6 デバイスを次のように保守します。

必要に応じて、設定を更新および再配布します。

更新したシグニチャおよびエンジン パッケージを適用します。更新の確認、更新の適用、および定期的な自動更新の設定については、「IPS 更新の管理」を参照してください。


 

Cisco IOS IPS ルータでの最初の準備

Cisco IOS IPS ルータを Security Manager インベントリに追加する前に、いくつかの準備手順を実行する必要があります。Cisco.com のホワイト ペーパー『 Getting Started with Cisco IOS IPS with 5.x Format Signatures 』では、基本設定の各手順について説明しています。インターフェイス ルールの設定など、一部の手順はルータを Security Manager に追加したあとでも実行できますが、少なくとも基本手順は実行する必要があります。

次の手順では、CLI で実行する必要がある手順について説明しています。これらの手順が必須である理由は、Security Manager では実行できないか、または CLI で 1 回限りの設定として実行した方が簡単であるためです。このホワイト ペーパーには、CLI で実行できる追加の手順が含まれており、デバイスをインベントリに追加したときに Security Manager によってこれらの設定が検出されます。多くの設定を CLI で実行しておくと、Security Manager で実行する必要がある設定が少なくなります。


ヒント また、「Cisco IOS ルータでの SSL の設定」「SSH の設定」、および 「Cisco IOS デバイスでのライセンスの設定」で説明しているように、基本的なルータ設定手順も実行しておく必要があります。次に示すのは、IPS 設定だけに適用される手順です。


ステップ 1 フラッシュ上に IPS ファイルのディレクトリを作成します。たとえば、次のコマンドによって ips という名前のディレクトリが作成されます。

router# mkdir ips
Create directory filename [ips]?
Created dir flash:ips
 

この時点で、IPS 用のこのディレクトリをルータが使用するように任意で設定できます。または、あとで Security Manager で設定することもできます([IPS] > [General Settings] ポリシー)。次のコマンドを使用して、CLI でこの設定を行います。

router# configure terminal
router(config)# ip ips config location flash:ips
 

ステップ 2 Cisco IOS IPS 暗号化キーを設定します。暗号化キーは、マスター シグニチャ ファイル(sigdef-default.xml)のデジタル署名を検証するために使用されます。マスター シグニチャ ファイルの内容は、すべてのリリースでの真正性および整合性を保証するために、シスコの秘密キーによって署名されています。

暗号化キーに必要な CLI は、 http://download-sj.cisco.com/cisco/ciscosecure/ids/sigup/5.0/ios/realm-cisco.pub.key.txt で入手できます(Cisco.com にログインする必要があります)。


ヒント 暗号化キーの設定は、CLI を使用して行うのが最も簡単な方法です。または、IOS_IPS_PUBLIC_KEY 事前定義 FlexConfig オブジェクトをルータの FlexConfig ポリシーに割り当てて、Security Manager で設定することもできます。FlexConfig の詳細については、「FlexConfig の管理」を参照してください。


a. テキスト ファイルを開き、その内容をクリップボードにコピーします(すべてのテキストを選択し、Ctrl を押した状態で C を押します)。

b. 必要に応じて、ルータ CLI プロンプトで configure terminal を入力します。

c. コピーしたテキスト ファイルをルータ プロンプトに貼り付けます。

d. コンフィギュレーション モードを終了します。

e. show run コマンドを入力して、キーが適切に設定されたことを確認します。

ステップ 3 IPS 通知用として syslog がデフォルトで設定されています。SDEE を通知に使用する場合は、次のように SDEE をイネーブルにします。

router# configure terminal
router(config)# ip ips notify sdee
 

ステップ 4 編集するシグニチャ カテゴリを選択します。詳細については、「Cisco IOS IPS のシグニチャ カテゴリの選択」を参照してください。


 

Cisco IOS IPS のシグニチャ カテゴリの選択

IPS 5.x 形式のシグニチャを使用する Cisco IPS アプライアンスおよび Cisco IOS IPS は、シグニチャ カテゴリで機能します。すべてのシグニチャがカテゴリにグループ化され、カテゴリは階層化されています。個々のシグニチャは、複数のカテゴリに属することができます。最上位のカテゴリによって、一般的なシグニチャ タイプを定義できます。各最上位シグニチャ カテゴリの下には、サブカテゴリが存在します(サポートされている最上位カテゴリのリストについては、ご使用のルータの CLI ヘルプ(?)を category コマンドで使用してください。)

ルータにはメモリとリソースの制約があるため、一部の Cisco IOS IPS シグニチャしかロードできません。したがって、カテゴリによって定義されているシグニチャのセットを選択し、そのセットだけをロードすることを推奨します。カテゴリは、「上から下」の順に適用されるため、最初にすべてのシグニチャを廃棄してから、特定のカテゴリの廃棄を解除します。シグニチャが廃棄された場合、ルータは、すべてのシグニチャに関する情報をロードできますが、並行スキャン データ構造を構築しません。

廃棄されたシグニチャは Cisco IOS IPS によってスキャンされないため、アラームは起動しません。シグニチャがご使用のネットワークに関係ない場合、またはルータのメモリを節約する必要がある場合は、必要に応じてシグニチャを廃棄してください。

Security Manager では、シグニチャ カテゴリ コマンドは管理されません。このコマンドは、ポリシーを使用して直接設定できません。ただし、このコマンドを設定する FlexConfig オブジェクトを含めるように、FlexConfig ポリシーを設定できます。事前定義されたオブジェクトとして IOS_IPS_SIGNATURE_CATEGORY があり、このオブジェクトを使用できます。基本とは異なるカテゴリを設定する場合は、このオブジェクトをコピーして、編集します。FlexConfig の使用方法については、「FlexConfig の管理」を参照してください。


ヒント デバイスによって編集が試行される IPS シグニチャのサブセットの選択に category コマンドを使用しない場合は、Security Manager によって、デバイス リソースのオーバーロードを回避するための IOS IPS 基本カテゴリをイネーブルにするようにカテゴリ コマンドが設定されます。デバイスでカテゴリを手動で変更して、編集する別のシグニチャ セットを選択できます。カテゴリを設定してから、デバイスを Security Manager に追加することを推奨します。ただし、これは、デバイスを手動定義で追加している場合は実行できません。

次の例は、最初にすべてのシグニチャを廃棄し、次に基本的なカテゴリを設定し、基本的なシグニチャの廃棄を解除する方法を示しています。

Router> enable
Router# configure terminal
Router(config)# ip ips signature-category
Router(config-ips-category)# category all
Router(config-ips-category-action)# retired true
Router(config-ips-category-action)# exit
Router(config-ips-category)# category ios_ips basic
Router(config-ips-category-action)# retired false
Router(config-ips-category-action)# exit
 

Cisco IOS IPS の一般的な設定値の設定

[General Settings] ページを使用して、特定のルータ用に定義された Cisco IOS IPS プロパティに対して使用するグローバル設定を指定します。デフォルト設定は、大半の状況に適していますが、IPS 設定ファイルの場所を指定する必要があります。設定ファイルをルータに格納する場合は、「Cisco IOS IPS ルータでの最初の準備」で説明しているように、最初にディレクトリを作成する必要があります。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [IPS] > [General Settings] を選択します。

(ポリシー ビュー)[IPS (Router)] > [General Settings] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「Cisco IOS IPS 設定の概要」

「Cisco IOS IPS について」

フィールド リファレンス

 

表 43-1 [General Settings] ページ

要素
説明

Block Traffic when IPS engine is unavailable

IPS エンジンが使用できない場合(シグニチャ エンジンが構築中であったり、構築に失敗した場合など)に、検査されていないすべてのトラフィックをブロックするかどうか。

このオプションを選択すると、IPS によって処理できない場合、検査用に指定されたすべてのトラフィックがドロップされます(フェールクローズ モードとも呼ばれます)。選択しなかった場合、トラフィックはルータ上の他のルールに従って通過を許可されます(デフォルト)。

Apply Deny Action On

Deny Attacker Inline イベントまたは Deny Flow Inline イベントのトラフィックをドロップするために、ACL エントリを適用する場所。次の値のいずれかを指定します。

[Ingress Interface](デフォルト):トラフィックの発生元であるネットワークに接続されたインターフェイスで拒否アクションを強制的に実行します。

[IPS enabled interfaces]:トリガーされた IPS ルールが適用されるインターフェイスで拒否アクションを強制的に実行します。

このオプションをイネーブルにすると、IOS IPS は、ACL を IPS インターフェイスに直接適用し、攻撃トラフィックを最初に受信したインターフェイスには適用しません。ルータでロード バランシングが実行されていない場合は、この設定をイネーブルにしないでください。ルータでロード バランシングが実行されている場合は、この設定をイネーブルにすることを推奨します。

SDEE Properties

Maximum Subscriptions

許可される同時 SDEE サブスクリプションの最大数。1 ~ 3 の範囲で指定します。SDEE サブスクリプションは、SDEE イベントのライブ フィードです。

デフォルトは 1 です。

Maximum Alerts

ルータが格納する SDEE アラートの最大数。10 ~ 2000 の範囲で指定します。格納するアラートの数が増えると、より多くのルータ メモリが使用されます。

デフォルトは 200 です。

Maximum Messages

ルータが格納する SDEE メッセージの最大数。10 ~ 500 の範囲で指定します。格納するメッセージの数が増えると、より多くのルータ メモリが使用されます。

デフォルトは 200 です。

IPS Config Location Properties

IPS Config Location

ルータが IOS IPS 固有の設定ファイルを保存する場所。これらの設定ファイルは、IOS IPS 設定が Security Manager で変更または更新されるたびに、自動的に更新されます。ルータが再起動すると、これらの設定ファイルから IOS IPS 設定が取得および復元されます。

ルータ上の場所を指定するには、ディレクトリの名前を入力します。すでに存在しているディレクトリである必要があります。Security Manager によってディレクトリは作成されません。flash:ips などです。

(注) ルータに LEFS ベースのファイル システムがある場合、ルータのメモリにディレクトリを作成することはできません。この場合、flash: は設定場所として使用されます。

リモート システム上の場所を指定する場合は、その場所に到達するために必要なプロトコルおよび URL のパスを指定します。たとえば、設定ファイルを HTTP サーバに保存する場合は、http://172.27.108.5/ips-cfg と入力します。

IOS IPS 設定ファイルの保存用としてサポートされているサーバは、http: //、https: //、ftp: //、rcp: //、scp: //、および tftp: // です。

Max retries

リモート システムに設定ファイルを保存する場合に、ルータがそのリモート システムへの接続を試行する回数。

デフォルトは 1 です。

Timeout seconds between retries

リモート システムに設定ファイルを保存する場合に、設定場所への接続を再試行するまでにルータが待機する時間。

デフォルトは 1 です。

IOS IPS インターフェイス ルールの設定

IPS インターフェイス ルール ポリシーを使用して、IPS インスペクションを Cisco IOS IPS ルータでイネーブルにし、IPS インスペクションが適用されるインターフェイスを指定します。ACL を設定することで、またはインターフェイスに対するトラフィック方向を指定することで、インスペクションが適用されるインターフェイス上のトラフィックのサブセットを識別できます。

関連項目

「Cisco IOS IPS 設定の概要」

「Cisco IOS IPS について」


ステップ 1 次のいずれかを実行して、変更するインターフェイス ルール ポリシーを開きます。

(デバイス ビュー)ポリシー セレクタから [IPS] > [Interface Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [IPS (Router)] > [Interface Rules] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ポリシーには、ルールの名前、検査されるトラフィックを定義する ACL の名前(ある場合)、検査されるインターフェイスやトラフィック方向など、既存のインターフェイス ルールが示されます。ACL が指定されていない場合、指定された方向のインターフェイス上のすべてのトラフィックが検査されます。

ルールには番号が付けられていますが、ルールの順序は IPS 処理には影響しません。

ステップ 2 [Enable IPS] を選択し、デバイスへの IOS IPS 設定の配布をイネーブルにします。

[Enable IPS] が選択されていない場合、IPS ルールはすべてのルータ インターフェイスから削除され、IPS はディセーブルになります。また、いずれのシグニチャまたはイベント アクション ポリシーも配布されません。

ステップ 3 インターフェイス ルールを設定します。これらのルールによって、IPS が検査するインターフェイスおよびインターフェイス上のトラフィック方向が識別されます。これらのルールには、検査するトラフィックのサブセットを識別するための ACL を任意で含めることができます。

ルールを追加するには、[Add Row](+)ボタンをクリックし、[Add IPS Rule] ダイアログボックスに入力します。詳細については、「[IPS Rule] ダイアログボックス」を参照してください。

ルールを編集するには、ルールを選択し、[Edit Row](鉛筆)ボタンをクリックします。

ルールを削除するには、ルールを選択し、[Delete Row](ゴミ箱)ボタンをクリックします。


 

[IPS Rule] ダイアログボックス

[Add IPS Rule] または [Edit IPS Rule] ダイアログボックスを使用して、アクティブ シグニチャ ポリシーを使用して検査するトラフィック フローを特定します。

ナビゲーション パス

[Interface Rules] ポリシーで、[Add Row] ボタンをクリックして新しいルールを追加するか、またはルールを選択し、[Edit Row] ボタンをクリックします。[Interface Rules] ポリシーを開く方法については、「IOS IPS インターフェイス ルールの設定」を参照してください。

フィールド リファレンス

 

表 43-2 [Add IPS Rule]/[Edit IPS Rule] ダイアログボックス

要素
説明

Rule Name

この IPS ルールの一意な名前。

IPS ルール名では、大文字と小文字が区別されません。定義済みの別のルール名と同じ文字が含まれているルール名は、大文字と小文字の違いがあっても使用できません。たとえば、MYRULE と MyRule は同じと見なされます。

ACL Name

IPS インスペクションが適用されるトラフィックを定義する ACL ポリシー オブジェクトの名前。ACL を指定しなかった場合は、[Interface Pairs] テーブルに示されているインターフェイス/方向のペアに該当するすべてのトラフィックに対してインスペクションが適用されます。

ヒント ACL を作成している場合は、許可エントリによって、検査が適用されるトラフィックが特定され、拒否エントリによって、検査が免除されるトラフィックが特定されます。ACL の最後には暗黙的な deny any any ルールがあるため、免除トラフィックを特定する場合は、permit any any ルールを ACL の最後に必ず追加してください。

ACL ポリシー オブジェクトの名前を入力します。または、[Select] をクリックしてリストから選択するか、新しいオブジェクトを作成します。

[Interface Pairs] テーブル

IPS インスペクションが適用されるインターフェイスとトラフィック方向のペア。

ペアを追加するには、[Add Row](+)ボタンをクリックし、[Adding Pair] ダイアログボックスに入力します。「[Pair] ダイアログボックス」を参照してください。

ペアを編集するには、ペアを選択し、[Edit Row](鉛筆)ボタンをクリックします。

ペアを削除するには、ペアを選択し、[Delete Row](ゴミ箱)ボタンをクリックします。

[Pair] ダイアログボックス

[Adding Pair] または [Editing Pair] ダイアログボックスを使用して、Cisco IOS IPS インターフェイス ルールに追加する、インターフェイスとトラフィック方向のペアを特定します。ルールの設定については、「IOS IPS インターフェイス ルールの設定」を参照してください。

ナビゲーション パス

[Add IPS Rule] または [Edit IPS Rule] ダイアログボックスで、[Add Row] ボタンをクリックして新しいペアを追加するか、またはペアを選択して [Edit Row] ボタンをクリックします。[Add IPS Rule] または [Edit IPS Rule] ダイアログボックスを開く方法については、「[IPS Rule] ダイアログボックス」を参照してください。

フィールド リファレンス

 

表 43-3 [Adding Pair]/[Editing Pair] ダイアログボックス

要素
説明

Direction

IPS インスペクションが実行される、インターフェイスにおけるトラフィック方向。次のいずれかを選択します。

[In](デフォルト):IPS ルールは、インバウンド トラフィックに適用されます。

[Out]:IPS ルールは、アウトバウンド トラフィックに適用されます。

[Both]:IPS ルールは、インバウンド トラフィックとアウトバウンド トラフィックの両方に適用されます。

Interfaces

IPS ルールを適用するインターフェイス。インターフェイスまたはインターフェイス ロール オブジェクトの名前を入力します。あるいは、[Select] をクリックしてリストからインターフェイスまたはインターフェイス ロールを選択するか、新しいインターフェイス ロールを作成します。

インターフェイス ロールを使用する場合、そのロールで定義されているデバイス上のすべてのインターフェイスに対してルールが適用されます。ロールに一致するインターフェイスは、既存のルールと競合できません。複数のインターフェイス ルールに同じインターフェイスを指定することはできません。