Cisco Traffic Anomaly Detector Module Web-Based Manager コンフィギュレーション ガイド Software Release 6.1 and 6.1-XG
- Updated:
- 2017年6月14日
章のタイトル: ポリシー テンプレートの設定
ポリシー テンプレートの設定
この章では、Cisco Traffic Anomaly Detector Module(Detector モジュール)がゾーンのポリシーの作成に使用するゾーンのポリシー テンプレートの設定方法について説明します。
ここでは、Detector モジュールの付属製品である Cisco Guard(Guard)について説明します。Guard は Distributed Denial of Service(DDoS; 分散型サービス拒絶)攻撃を検出および軽減するデバイスです。攻撃トラフィックをドロップし、正当なトラフィックをネットワークに再注入することで、トラフィックがゾーンを通過するときにゾーン トラフィックをクリーニングします。Detector モジュールは、ゾーンが攻撃を受けていると判断したときに、Guard の攻撃軽減サービスをアクティブにすることができます。また、Detector モジュールはゾーンの設定を Guard と同期させることもできます。Guard の詳細については、『 Cisco Anomaly Guard Module Configuration Guide 』または『 Cisco Guard Configuration Guide 』を参照してください。
ポリシー テンプレートについて
ポリシー テンプレートは、ゾーンのポリシーを作成するために Detector モジュールがラーニング プロセスのポリシー構築フェーズ中に使用するポリシー構築規則を集めたものです。新しいゾーンを作成すると、Detector モジュールはゾーンの設定に一連のポリシー テンプレートを含めます。各ポリシー テンプレートの使用により、Detector モジュールは、ポリシー構築フェーズ中にゾーンのトラフィックの特性に基づいてポリシーのグループを生成できます。Detector モジュールは、ポリシーを使用して、ゾーンのトラフィックにゾーンへの攻撃の兆候を示す異常がないかどうかを監視します。ゾーンのポリシーは、特定のトラフィック フローがポリシーのしきい値を超過すると、そのフローに対してアクションを実行するように設定されます。
ゾーンのポリシー テンプレートの設定を変更すると、ポリシー構築フェーズが影響を受けます。WBM を使用してゾーンのポリシー テンプレートをイネーブルまたはディセーブルにするか、変更すると、Detector モジュールがポリシー構築フェーズ中に作成するポリシーを制御できます。
Detector モジュールがポリシー構築フェーズ中に使用するポリシー テンプレートには、トラフィック フローのサービスと適合させるために、いくつかのタイプがあります。ポリシー テンプレートの名前は、作成するすべてのポリシーに共通の特性に由来し、Domain Name System(DNS; ドメイン ネーム システム)などのプロトコル、HTTP などのアプリケーション、またはip_scan などの目的を表すものになります。たとえば、ポリシー テンプレート tcp_connections は、同時接続数など、接続に関連するポリシーを作成します。
表6-1 に、Detector モジュールのポリシー テンプレート タイプの説明を示します。
Detector モジュールには、 表6-2 に示すように、特定のゾーン テンプレートから作成されたゾーンのための追加のポリシー テンプレートがあります。
GUARD_ ゾーン テンプレートからゾーンを作成する場合、Guard に同期させることができる、追加のポリシー テンプレートのパラメータを設定できます。Guard は、次の追加のポリシー テンプレートをサポートします。
•
tcp_services_ns:TCP サービス。デフォルトでは、tcp_services_ns テンプレートによって作成されたポリシーは IRC ポート(666X)、Secure Shell(SSH; セキュア シェル)、および Telnet に関連します。このポリシー テンプレートは、トラフィック フローに強化保護レベルを適用するアクションを持つポリシーを作成しません。
• tcp_connections_ns、tcp_outgoing_ns、および http_ns:Guard には、TCP プロキシのスプーフィング防止機能を使用しないゾーンを保護できる、追加のポリシー テンプレートが用意されています。Internet Relay Chat(IRC; インターネット リレー チャット)サーバ タイプ ゾーンなど、ゾーンが IP アドレスに基づいて制御されている場合や、ゾーン上で実行されているサービスのタイプが不明な場合、これらのポリシー テンプレートを使用できます。
• GUARD_TCP_NO_PROXY ゾーン テンプレートを使用してゾーンを定義する場合、Guard は、ポリシー テンプレート http、tcp_connections、および tcp_outgoing を、ポリシー テンプレート http_ns、tcp_connections_ns、および tcp_outgoing_ns に置き換えます。http_ns、tcp_connections_ns、および tcp_outgoing_ns の各ポリシー テンプレートは、Guard に対して強化保護レベルの使用を要求するアクションを実行するポリシーを作成しません。
ポリシー テンプレートの設定の変更
ラーニング プロセス時、Detector モジュールはゾーン トラフィックのコピーを分析します。アクティブなポリシー テンプレートはそれぞれ、ポリシー定義とゾーンのトラフィック特性に基づいて、ポリシーのグループを生成します。Detector モジュールは、ポリシー テンプレートが監視するサービス(プロトコルとポート番号)をトラフィック量のレベルによってランク付けします。次に Detector モジュールは、トラフィック量が最大のサービス、および定義済みの最小しきい値を超えたサービスを選択し、各サービスのポリシーを作成します。ポリシー テンプレートの中には、特定のポリシーが追加されなかったすべてのトラフィック フローを any というサービスで処理するために、追加のポリシーを作成するものもあります。
次のようにポリシー テンプレートのパラメータを変更し、ポリシー構築フェーズを管理することができます。
• ポリシー テンプレートをイネーブルまたはディセーブルにします。ポリシー構築フェーズ中にポリシーを生成できるのは、イネーブルになっているポリシー テンプレートだけです。
• ポリシー テンプレートがラーニング プロセスのどの時点でサービスのトラフィック量に基づいてポリシーを作成するかを制御します。
• ポリシー構築フェーズ中に Detector モジュールがポリシー テンプレートを使用して作成できるポリシーの最大数を定義します。
ポリシー テンプレートの設定を変更するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > Policy Templates > View を選択します。Policy Templates 画面が表示されます。
ステップ 3 ポリシー テンプレートを選択します。Config Policy Template 画面が表示されます。
ステップ 4 ポリシー テンプレートの目的のパラメータを変更します。 表6-3 に、Policy Template フォームに表示されるポリシー テンプレートのパラメータの説明を示します。選択したポリシー テンプレートのタイプに応じて、この表に表示されている一部または全部のパラメータが編集対象として表示されます。
• OK :新しいポリシー テンプレートの設定を保存します。Policy Template 画面が表示されます。
• Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。
• Cancel :情報を保存せずに Config policy template 画面を終了します。Policy Template 画面が表示されます。
特定のポリシー テンプレートで作成されたすべてのポリシーに関してサービスを追加または削除する方法については、 第8章「ゾーンのポリシーの管理」 の「サービスの追加」または「サービスの削除」の項を参照してください。
フィードバック