この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ポリシー テンプレートは、ゾーン ポリシーを作成するために Detector がポリシー構築フェーズ中に使用するポリシー構築規則を集めたものです。ポリシー構築フェーズの終わりに、各テンプレートからポリシーのグループが出力されます。新しいゾーンを作成すると、Detector はゾーンの設定に一連のポリシー テンプレートを含めます。
この章では、ポリシー テンプレートを設定する方法について説明します。ゾーンのポリシー テンプレートの設定を変更すると、ラーニング プロセスのポリシー構築フェーズが影響を受けます。WBM を使用してゾーンのポリシー テンプレートをイネーブルまたはディセーブルにするか、変更すると、Detector がポリシー構築フェーズ中に作成するポリシーを制御できます。
Detector がポリシー構築フェーズ中に使用するポリシー テンプレートには、トラフィック フローのサービスと適合させるために、いくつかのタイプがあります。ポリシー テンプレートの名前は、作成するすべてのポリシーに共通の特性に由来し、プロトコル(DNS など)、アプリケーション(HTTP など)、または目的(ip_scan など)になります。たとえば、ポリシー テンプレート tcp_connections は、同時接続数など、接続に関連するポリシーを作成します。
表6-1 に、Detector の各ポリシー テンプレート タイプの説明を示します。
テンプレート |
|
---|---|
Detector には、指定したゾーン テンプレートから作成されたゾーン用の追加のポリシー テンプレートがあります。
表6-2 は、特定のゾーン テンプレートに基づいて Detector がゾーン設定に追加するポリシー テンプレートについての説明を示します。
|
|
worm_tcp: TCP ワームに関連しているポリシーのグループを構築します。Worm TCP ポリシーはワーム攻撃を管理します。ワーム攻撃では、1 つまたは複数の送信元 IP アドレスが、同一ポート上に数多くの宛先 IP アドレスとの不完全な接続を多数作成します。このポリシー テンプレートは、主に、IP アドレス定義がサブネットであるゾーンのために設計されています。 Detector は、このポリシー テンプレートから作成されたポリシーに対して、ポリシー構築フェーズではなくラーニング プロセスのしきい値調整フェーズでサービスを追加します。ポリシー テンプレートのパラメータ |
|
sip_udp:SIP1 over UDP を使用して VoIP セッションを確立し、セッション確立後に RTP/RTCP 2を使用して SIP エンドポイント間のボイス データを送信する VoIP3 セッションに関する一連のポリシーを構築します。 |
1.SIP = Session Initiation Protocol 2.RTP/RTCP = Real-Time Transport Protocol/Real-Time Control Protocol |
GUARD_ ゾーン テンプレートからゾーンを作成する場合は、Cisco Guard との同期が可能な追加のポリシー テンプレートのパラメータを設定することができます。Cisco Guard は、次の追加のポリシー テンプレートをサポートします。
• tcp_services_ns:TCP サービス。デフォルトでは、tcp_services_ns テンプレートによって作成されたポリシーは IRC ポート(666X)、SSH、および Telnet に関連します。このポリシー テンプレートは、トラフィック フローに強化保護レベルを適用するアクションを持つポリシーを作成しません。
• tcp_connections_ns、tcp_outgoing_ns、および http_ns:Cisco Guard には、TCP プロキシのスプーフィング防止機能を使用しないゾーンを保護するための追加のポリシー テンプレートが用意されています。Internet Relay Chat(IRC; インターネット リレー チャット)サーバ タイプ ゾーンなど、ゾーンが IP アドレスに基づいて制御されている場合や、ゾーン上で実行されているサービスのタイプが不明な場合、これらのポリシー テンプレートを使用できます。
GUARD_TCP_NO_PROXY ゾーン テンプレートを使用してゾーンを定義すると、Cisco Guard は、http、tcp_connections、tcp_outgoing の各ポリシー テンプレートを、http_ns、tcp_connections_ns、tcp_outgoing_ns の各ポリシー テンプレートにそれぞれ置き換えます。http_ns、tcp_connections_ns、tcp_outgoing_ns の各ポリシー テンプレートでは、Cisco Guard で強化保護レベルの使用を必要とするアクションを実行するポリシーは作成されません。
ラーニング プロセス中、ゾーンのトラフィックは Detector を透過的に流れます。アクティブなポリシー テンプレートはそれぞれ、ポリシー定義とゾーンのトラフィック特性に基づいてポリシーのグループを生成します。Detector は、ポリシー テンプレートが監視するサービス(プロトコルとポート番号)をトラフィック量のレベルによってランク付けします。次に Detector は、トラフィック量が最大のサービス、および定義済みの最小しきい値を超えたサービスを選択し、各サービスのポリシーを作成します。ポリシー テンプレートの中には、特定のポリシーが any というサービスで追加されなかったすべてのトラフィック フローを処理する追加のポリシーを作成するものもあります。
ポリシー構築フェーズを管理するには、ポリシー テンプレートのパラメータを次の方法で変更します。
• ポリシー テンプレートをイネーブルまたはディセーブルにします。ポリシー構築フェーズ中にポリシーを生成するのは、イネーブルになっているポリシー テンプレートだけです。
• ラーニング プロセスのどの時点で(サービスのトラフィック量に基づいて)ポリシー テンプレートがポリシーを作成するかを制御します。
• ラーニング プロセス中に Detector がポリシー テンプレートを使用して作成できるポリシーの最大数を定義します。
ポリシー テンプレートの設定を変更するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > Policy Templates > View を選択します。Policy Templates 画面が表示されます。
ステップ 3 ポリシー テンプレートを選択します。Config Policy template 画面が表示されます。
ステップ 4 ポリシー テンプレートの目的のパラメータを変更します。 表6-3 に、Policy
Template Form に表示されるポリシー テンプレートのパラメータの説明を示します。選択したポリシー テンプレートのタイプに応じて、このテーブルに表示されている一部または全部のパラメータが編集対象として表示されます。
• OK :新しいポリシー テンプレートの設定を保存します。Policy Template 画面が表示されます。
• Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。
• Cancel:情報を保存せずに Config policy template 画面を終了します。 Policy Template 画面が表示されます。
特定のポリシー テンプレートから作成されたすべてのポリシーを対象としてサービスを追加または削除するには、 第 8 章「ゾーンのポリシーの管理」 の「サービスの追加または削除」の項を参照してください。