RV34xシリーズルータの侵入防御システムの設定

ダウンロード オプション

  • PDF     (3.6 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (3.6 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (2.2 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2019 年 3 月 14 日
Document ID:1552582578065584

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

目的

このドキュメントの目的は、RV34xシリーズルータで侵入防御システム(IPS)を設定する方法を示すことです。

概要

侵入防御システム(IPS)はトラフィックをスキャンして、ブロックする既知の攻撃パターンを探します。ルータを通過するパケットとセッションを監視し、各パケットをスキャンして任意のCisco IPSシグニチャと一致させます。疑わしいアクティビティを検出すると、ログを記録またはブロックするように設計されています。IPSおよびウイルス対策データベースと定義を更新することが重要です。これらは手動または自動で更新できます。

Cisco Intrusion Prevention Systemの次のビデオをご覧ください。

ただし、IPSはルータのパフォーマンスに影響を与える可能性があります。一般に、ハイパーテキスト転送プロトコル(HTTP)トラフィックとファイル転送プロトコル(FTP)トラフィックの総スループットには影響しませんが、同時接続の最大数を大幅に減らすことができます。

特記事項:ルータの負荷が大きい場合は、問題が悪化する可能性があります。

次の表に、さまざまな設定でのパフォーマンスに関する予想される統計情報を示します。これらの値はガイドとして使用する必要があります。実際のパフォーマンスは多くの要因によって異なる場合があります。

  同時接続 接続レート HTTPスループット FTPスループット
デフォルト設定 40000 3,000 982 MB/秒 981 MB/秒
APP制御の有効化 15000-16000 1300 982 MB/秒 981 MB/秒
ウイルス対策を有効にする 16000 1,500 982 MB/秒 981 MB/秒
IPSの有効化 17000 1300 982 MB/秒 981 MB/秒
App Control Antivirus & IPSの有効化 15000-16000 1,000 982 MB/秒 981 MB/秒

 

次のフィールドは次のように定義されます。

同時接続数:同時接続数の合計。たとえば、あるサイトからファイルをダウンロードしている場合、つまり1つの接続であるSpotifyからオーディオをストリーミングして、別の接続を確立し、同時に2つの接続を確立します。

Connection Rate:処理できる接続要求の数/秒。

HTTP/FTPスループット:HTTPおよびFTPのスループットは、ダウンロード速度(MB/秒)です。

セキュリティライセンスが更新され、既存のアプリケーションやWebフィルタリングに加えてIPS保護が追加されました。セキュリティライセンスを取得するには、スマートアカウントが必要です。アクティブなスマートアカウントがない場合は、このドキュメントのセクション1が必要です。

RV34xでウイルス対策を設定する方法については、ここをクリックしてください

該当するデバイス

RV34x

[Software Version]

1.0.03.x

目次

1.        Smart Licensing

2.       侵入防御システムの設定

を選択します。       侵入防御システムシグニチャ

4.       侵入防御システムのシグニチャテーブル

5.       IPSステータス

6.       IPS定義の更新

7.       結論

Smart Licensing

アクティブなスマートアカウントがない場合は、次の手順に進む必要があります。

スマートライセンスアカウントの設定中に問題が発生した場合は、サポートチームが潜在的な問題を解決し、複数の方法で問題を解決できます。ご希望の方法で連絡してください。

       ルータコミュニティ: Cisco Small Business Support Community

       RV34xシリーズに関するFAQ: RV34xシリーズルータに関するFAQ

       スマートライセンスの概要: スマート ソフトウェア ライセンシング

       スマートライセンスに関するFAQ: パートナー、ディストリビュータ、およびお客様向けのスマートライセンスおよびスマートアカウントに関するFAQ

       ケースを送信します。 Support Case Manager

米国/カナダのサポート電話番号:1-866-606-1866またはSmall Business TACの連絡先

・ライセンスメール:licensing@cisco.com

ステップ1:最近Cisco.comアカウントを作成または閲覧した場合は、独自のスマートライセンスアカウントを作成するためのメッセージが表示されます。Smart Licenseアカウントの作成ページに移動するには、ここをクリックしてください。ログインが必要になる場合があります。

注:スマートアカウントのリクエスト手順の詳細については、ここをクリックしてください

ステップ2:ルータのスマートライセンスを購入する際には、ベンダーが独自のライセンスIDをスマートライセンスアカウントに移動するプロセスを行う必要があります。次の表は、バンドルの購入時に必要な情報を示しています。

注:IPSとアンチウイルスは、Webフィルタリングとアプリケーションフィルタリングに使用されるセキュリティライセンスの一部です。

必要な情報 情報の検索
Cisco.comユーザID アカウントプロファイルに配置するか、ここをクリックできます
スマートライセンスアカウント名 ライセンスを購入する前にスマートアカウントを作成しておくことをお勧めします。 これは、「スマートライセンスアカウントの作成」の記事のステップ8で
スマートライセンスSKU デバイスの製品識別コード。 例:RV340-K9-NA

 

注:ライセンスを購入していて、仮想アカウントに表示されない場合は、リセラーに連絡して転送を要求するか、または当社に連絡してください。

プロセスを適切に行うには、ライセンス請求書、シスコの販売注文番号、およびスマートアカウントライセンスページのスクリーンショットを用意する必要があります(チームと共有するため)。

ステップ3:トークンを生成するには、スマートソフトウェアライセンスアカウントに移動します。次に、[インベントリ] > [全般]タブをクリックします。[New Token...]ボタンをクリックします。

ステップ4:[Create Registration Token]ウィンドウが開きます。[説明]、[期限切れ]、[最大値]を入力します。使用回数。次に、[トークンの作成]ボタンを押します。

注:30日間の有効期限が推奨されます。

ステップ5:トークンが生成されたら、最近作成したトークンの右側にある[Token]リンク(白い矢印の付いた青いボックス)ボタンをクリックします。

ステップ6:コピーする完全なトークンが含まれた[Token]ウィンドウが表示されます。トークンを強調表示し、トークンを右クリックして[Copy]をクリックするか、キーボードのctrlボタンを押したままcを同時にクリックしてテキストをコピーします。

ステップ7:トークンをコピーしたら、デバイスにログインし、トークンキーをアップロードする必要があります。ルータのWeb設定ページにログインします。

ステップ8:[License]に移動します。

ステップ9:デバイスが登録解除されると、ライセンス認証ステータスが評価モードとして表示されます。[Smart Licensing Manager]ページから生成したトークン(このセクションのステップ6)を貼り付けます。次に、[登録]をクリックします

注:登録プロセスに時間がかかる可能性があります。完了するまでお待ちください。

ステップ10:トークンを登録したら、ライセンスを割り当てる必要があります。[ライセンスの選択]ボタンをクリックします。

ステップ11:[スマートライセンスの選択]ウィンドウが表示されます。Security-Licenseを確認し、Save and Authorizeを押します

ステップ12:セキュリテライセンスのステータスは、今すぐ承認されます。

これで、侵入防御システムの設定に進むことができます。

侵入防御システムの設定

ステップ1:まだルータにログインしていない場合は、ルータのWeb設定ページにログインします。

ステップ2:[Security] > [Threat/IPS] > [IPS]に移動します

ステップ3:侵入防御システム(IPS)機能を有効にするには、[オン(On)]を選択します。オフにするには、[オフ]を選択します

この例ではOnを選択します。

ステップ4:[Block Attacks (Prevention)]または[Log Only]を選択します。この例では、[Block Attacks (Prevention)]を選択します。 次のオプションを定義します。

       Block Attacks (Prevention) -すべての攻撃をブロックします。また、異常も記録されます。

Log Only:異常が特定された場合、このオプションはログのみを生成します(クライアント情報、シグニチャIDなど)。接続には影響しません。

ステップ5:使用するIPSセキュリティレベルを選択します。次のオプションを定義します。

Connectivity:このモードは、最も重要な攻撃を検出します。これにより、保護が最小限になります。(重大度が高い)リスク攻撃だけが検出されます。これは最もセキュアでないオプションです。

Balanced – 選択したモードは、重大な攻撃と同時に重大な攻撃を検出します。これは中程度の保護を提供します。(重大度の高+中)は、低リスクのシグニチャを渡すことによって検査されます。これは、IPSの中間レベルのセキュリティです。

       セキュリティ:セキュリティモードは、重大および重大な攻撃とともに通常の攻撃を検出します。これにより、最も保護が強化されます。すべてのルール(高+中+低)が検査されます。これは、IPSの最高のセキュリティレベルです。

注:選択するセキュリティレベルが高いほど、モニタされる攻撃が多くなるため、システムパフォーマンスへの影響が大きくなります。

このデモンストレーションでは[Balanced]を選択します。

侵入防御システムシグニチャ

ステップ6:[Last Update]フィールドに、最後に更新された署名の日時が表示されます。

kev_22819_rv34xipssignature_step1

ステップ7:[ファイルのバージョン(File Version)]に、使用されている署名のバージョンが表示されます。

kev_22819_rv34xipssignature_step2

ステップ8:シグニチャIDを検索するには、[Search by IPS Signature ID]フィールドにシグニチャIDを入力し、[Search]をクリックしてシグニチャがサポートされているかどうかを確認します。シグニチャIDがサポートされている場合、テーブルは次のような結果で更新されます。

注:シグニチャIDがサポートされていない場合、テーブルには何も表示されません。

kev_22819_rv34xipssignature_step3

侵入防御システムのシグニチャテーブル

ステップ9:[IPS Signature Table]、次のフィールドを次のように定義します。

Name:シグニチャの名前。

       ID:シグニチャの一意の識別子。IDをクリックすると、ウィンドウが開き、選択した署名の詳細が表示されます。

Severity :重大度はセキュリティへの影響を示します。

Category:シグニチャが属するカテゴリ。

kev_22819_rv34xipstable_step1

ステップ10:(オプション)IPSシグニチャテーブルでシグニチャIDをクリックした場合は、選択したシグニチャの完全な詳細を示すウィンドウが表示されます。

kev_22819_rv34xipstable_step2

ステップ11:IPSシグニチャテーブルの下部で、矢印と番号を選択して、テーブルを前後に移動します。[ページあたりの行数(Lines per page)]ドロップダウンリストで、ページあたりの行数(50100、または150)を選択することもできます。

kev_22819_rv34xipstable_step3

ステップ12:[Apply]をクリックして、実行コンフィギュレーションファイルに変更を保存します。

注:ルータが使用しているすべての設定は、現在実行コンフィギュレーションファイルに含まれています。このファイルは揮発性であり、リブートの間は保持されません。リブートの間も設定を保持するには、実行コンフィギュレーションファイルをスタートアップコンフィギュレーションファイルにコピーします。

次のいくつかの手順では、実行コンフィギュレーションをスタートアップコンフィギュレーションにコピーする方法を示します。

ステップ13:ページ上部のフッピーディスク(保存)アイコンをクリックします。これにより、[構成管理]にリダイレクトされ、実行構成をスタートアップコンフィギュレーションに保存します。

ステップ14:[Configuration Management]で、[Copy/Save Configuration]セクションまで下にスクロールします。[Source]が[Running Configuration]、[Destination]が[Startup Configuration]であることを確認してください[Apply] をクリックします。これにより、実行コンフィギュレーションファイルがスタートアップコンフィギュレーションファイルにコピーされ、リブート間も設定が保持されます。

IPSステータス

ステップ1:[Security] > [Threat/IPS] > [Status]に移動します

ステップ2:[Status] ページに、脅威と攻撃に対する対策およびIPS機能が設定されている場合の詳細情報が表示されます。ダッシュボードには、イベント全体の概要と、選択した日、週、月ごとに検出された脅威と攻撃の詳細情報が表示されます。

ステップ3:[IPS]タブをクリックします。これにより、攻撃を受けたクライアントのトップ10とIPS攻撃のトップ10が表示されます。

IPS定義の更新

IPS定義は、手動または自動で更新できます。ステップ1 ~ 2ではIPS定義を手動で更新する方法を示し、ステップ3 ~ 6ではIPS定義を自動的に更新する方法を示します。

ベスト プラクティス:セキュリティシグニチャを毎週自動的に更新することをお勧めします。

ステップ1:IPS定義を手動で更新するには、[Administration] > [File Management]に移動します

ステップ2:[File Management]ページの[Manual Upgrade]セクションまで下にスクロールします。[File Type] に[Signature File] を、[Upgrade From] に[cisco.com]を選択します。次に、[アップグレード]を押します。これにより、最新のセキュリティ署名がダウンロードされ、インストールされます。

ステップ3:IPS定義を自動的に更新するには、[システムの構成] > [自動更新]に移動します

ステップ4:[自動更新]ページが開きます。更新を週ごとまたは月ごとに確認できます。ルータに電子メールまたはWeb UIで通知させることができます。この例では、毎週チェックを選択します。

注:セキュリティシグニチャを毎週自動的に更新することをお勧めします。

ステップ5:[Automatic Update]セクションまで下にスクロールし、[Security Signature]フィールドを探します。[セキュリティ署名の更新]ドロップダウンリストで、自動更新する時刻を選択します。この例では、[Immediately]を選択します

ステップ6:[Apply]をクリックして、実行コンフィギュレーションファイルに変更を保存します。

注:上の[フロッピーディスク]アイコンをクリックして、[構成管理]ページに移動し、実行コンフィギュレーションファイルをスタートアップコンフィギュレーションファイルにコピーしてください。これにより、リブート間の設定が維持されます。

結論

これで、RV34xシリーズルータで侵入防御システム(IPS)が正しく設定されたはずです。

 

更新履歴

改定 発行日 コメント
1.0
19-Mar-2019
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ