Hierarchical Navigation

ホーム
- 製品 & サービス
  - CISCO IOS/NX-OS ソフトウェア
    - CISCO IOS テクノロジー
      - CISCO IOS SECURITY
        
        CISCO IOS FLEXIBLE PACKET MATCHING (FPM)
        
        製品資料
        
        データシート
        
        Cisco Flexible Packet Matching

ダウンロード

Cisco Flexible Packet Matching

データシート

Cisco Flexible Packet Matching

Cisco® Flexible Packet Matching は、Cisco IOS® ソフトウェアリリース 12.4(4)T で導入された次世代のパケットフィルタリング機能です。Flexible Packet Matching を使用すると、パケット内のビットレベルでの詳細なフィルタリングが可能になります。ネットワークが攻撃を受けると、防御の最前線としてネットワークエッジに Access Control List（ACL; アクセスコントロールリスト）が導入されます。

課題

ネットワークに対する悪意のある攻撃は、頻繁かつ高度なものになっています。このような攻撃に対処するために、できるだけ柔軟で、さまざまなレベルのパケット検査機能を提供するツールが必要です。現在使用できるツールの多くは、詳細なパケット検査を実行できません。このようなツールによる検査は、既知のプロトコルヘッダー内にある特定のフィールドに限定されています。攻撃が、これらのツールが行う検査の範囲外のフィールドを使用すると、攻撃を分類して防御するのは困難になります。

Cisco Flexible Packet Matching は、トラフィックがネットワークに入ったときにフィルタリングを行い、直ちに廃棄して監査用にログを保持するための強力なツールをネットワーク管理者とセキュリティ管理者に提供します。Flexible Packet Matching を使用すると、ネットワーク管理者とセキュリティ管理者は、パケットのヘッダーまたはペイロード内で詳細に照合されるカスタムパターンを指定できます。また、Protocol Header Definition File（PHDF）という概念の導入により、パケット内のオフセットの位置に名前を付けることができるので、Flexible Packet Matching は非常に使いやすくなっています。PHDF には標準プロトコル用の既成の定義が含まれるため、実行時に簡単に導入できます。標準の XML エディタによって PHDF 用の高度なカスタムスクリプトを作成できます。

ソリューション

Cisco Flexible Packet Matching を使用すると、攻撃の特性についてパケットを検査し、適切なアクション（記録、廃棄、または ICMP 到達不能）を実行できます。Flexible Packet Matching は、レイヤ 2 ～ 7 の柔軟なステートレス分類メカニズムを提供します。ユーザは、任意のプロトコルおよびトラフィックのプロトコルスタックのフィールドに基づいて、分類基準を指定できます。分類結果に基づいて、分類されたトラフィックに対して廃棄または記録などのアクションを実行できます。

図 1 に Flexible Packet Matching の動作を示します。

図 1 Cisco Flexible Packet Matching

Protocol Header Definition File（PHDF）

パケットの分類に使用できるカスタムスクリプトは、PHDF を使用して作成できます。PHDF は、特定のパケットの構造を定義し、Cisco IOS ソフトウェアにプロトコル検査機能を追加します。PHDF 内で定義されたフィールド名は、パケットフィルタの定義に使用されます。PHDF を使用すると、ユーザは XML の柔軟性を利用してほとんどのプロトコルヘッダーを記述できます。PHDF の重要なコンポーネントは、バージョン、XML ファイルスキーマの場所、およびプロトコルフィールドの定義です。プロトコルフィールドの定義では、プロトコルヘッダー内の該当するフィールドの名前、フィールドを説明するコメント、ヘッダー内のプロトコルヘッダーフィールドの位置（オフセットはプロトコルヘッダーの開始位置を基準とする）、およびフィールドの長さを指定します。また、PHDF を使用して特定の「always match」基準を制約条件として定義することで、設定が簡素化されます。

管理オプション

Cisco Flexible Packet Matching 機能は、Cisco IOS CLI によって管理されます。これは、Secure Shell（SSH）プロトコル接続を介してデバイスを設定できるフル機能の CLI です。

他のセキュリティ展開ソリューションとの統合

Cisco Flexible Packet Matching 機能と、Cisco IPS（侵入防御システム）、ネットワークベースのプロトコル認識、および ACL などの他のシスコのパケット検査テクノロジーを組み合わせると、ネットワークオペレータは、ネットワーク内のトラフィックフローを識別および制御するのに最適な一連のツールを利用できます。

発注情報

Flexible Packet Matching は、Cisco IOS ソフトウェアリリース 12.4(4)T で導入されます。この機能を使用できるのは、Advanced Security、Advanced IP Services、および Advanced Enterprise ソフトウェアパッケージのみです。サポートされるハードウェアプラットフォームを次に示します。

Cisco 871 ルータ
Cisco 1700 シリーズモジュラアクセスルータ
Cisco 1812J ルータ
Cisco ISR 1800 シリーズ
Cisco 2600 シリーズマルチサービスルータ
Cisco 2600XM シリーズマルチサービスルータ
Cisco ISR 2800 シリーズ
Cisco 3700 シリーズマルチサービスルータ
Cisco ISR 3800 シリーズ
Cisco 7200 シリーズユニバーサルサービスルータ
Cisco 7301 ルータ

Cisco Flexible Packet Matching の発注情報について詳しくは、以下のサイトをご覧ください。
http://www.cisco.com/jp/product/hs/ios/security/fpm/

Cisco IOS ルータセキュリティの詳細については、以下のサイトをご覧ください。
http://www.cisco.com/jp/product/hs/security/irs/

Cisco IOS Security