この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ポリシー テンプレートは、ゾーン ポリシーを作成するために、Detector モジュールがポリシー構築フェーズ中に使用するポリシー構築規則を集めたものです。ポリシー構築フェーズの終わりに、各テンプレートからポリシーのグループが出力されます。新しいゾーンを作成すると、Detector モジュールはゾーンの設定に一連のポリシー テンプレートを含めます。
この章では、ポリシー テンプレートを設定する方法について説明します。ゾーンのポリシー テンプレートの設定を変更すると、ラーニング プロセスのポリシー構築フェーズが影響を受けます。WBM を使用してゾーンのポリシー テンプレートをイネーブルまたはディセーブルにするか、変更すると、Detector モジュールがポリシー構築フェーズ中に作成するポリシーを制御できます。
Detector モジュールがポリシー構築フェーズ中に使用するポリシー テンプレートには、トラフィック フローのサービスと適合させるために、いくつかのタイプがあります。ポリシー テンプレートの名前は、作成するすべてのポリシーに共通の特性に由来し、プロトコル(DNS など)、アプリケーション(HTTP など)、または目的(ip_scan など)になります。たとえば、ポリシー テンプレート tcp_connections は、同時接続数など、接続に関連するポリシーを作成します。
表6-1 に、Detector モジュールのポリシー テンプレートの各タイプを示します。
Detector モジュールには、 表6-2 に示すように、特定のゾーン テンプレートから作成されたゾーンのための追加のポリシー テンプレートがあります。
GUARD_ ゾーン テンプレートからゾーンを作成する場合、Cisco Anomaly Guard Module に同期させることができる、追加のポリシー テンプレートのパラメータを設定できます。Cisco Anomaly Guard Module は、次の追加のポリシー テンプレートをサポートします。
• tcp_services_ns:TCP サービス。デフォルトでは、tcp_services_ns テンプレートによって作成されたポリシーは IRC ポート(666X)、SSH、および Telnet に関連します。このポリシー テンプレートは、トラフィック フローに強化保護レベルを適用するアクションを持つポリシーを作成しません。
• tcp_connections_ns、tcp_outgoing_ns、および http_ns:Cisco Anomaly Guard Module には、TCP プロキシのスプーフィング防止機能を使用しないゾーンを保護するための、追加のポリシー テンプレートが用意されています。Internet Relay Chat(IRC; インターネット リレー チャット)サーバ タイプ ゾーンなど、ゾーンが IP アドレスに基づいて制御されている場合や、ゾーン上で実行されているサービスのタイプが不明な場合、これらのポリシー テンプレートを使用できます。
• GUARD_TCP_NO_PROXY ゾーン テンプレートを使用してゾーンを定義する場合、Cisco Anomaly Guard Module は、http、tcp_connections、および tcp_outgoing のポリシー テンプレートをそれぞれ http_ns、tcp_connections_ns、および tcp_outgoing_ns のポリシー テンプレートに置き換えます。http_ns、tcp_connections_ns、および tcp_outgoing_ns の各ポリシー テンプレートは、Cisco Anomaly Guard Module に対して強化保護レベルの使用を要求するアクションを実行するポリシーを作成しません。
ラーニング プロセス中、ゾーンのトラフィックは Detector モジュールを透過的に流れます。アクティブなポリシー テンプレートはそれぞれ、ポリシー定義とゾーンのトラフィック特性に基づいてポリシーのグループを生成します。Detector モジュールは、ポリシー テンプレートが監視するサービス(プロトコルとポート番号)をトラフィック量のレベルによってランク付けします。次に Detector モジュールは、トラフィック量が最大のサービス、および定義済みの最小しきい値を超えたサービスを選択し、各サービスのポリシーを作成します。ポリシー テンプレートの中には、特定のポリシーが any というサービスで追加されなかったすべてのトラフィック フローを処理する追加のポリシーを作成するものもあります。
ポリシー構築フェーズを管理するには、ポリシー テンプレートのパラメータを次の方法で変更します。
• ポリシー テンプレートをイネーブルまたはディセーブルにします。ポリシー構築フェーズ中にポリシーを生成するのは、イネーブルになっているポリシー テンプレートだけです。
• ラーニング プロセスのどの時点で(サービスのトラフィック量に基づいて)ポリシー テンプレートがポリシーを作成するかを制御します。
• ラーニング プロセス中に Detector モジュールがポリシー テンプレートを使用して作成するポリシーの最大数を定義します。
ポリシー テンプレートの設定を変更するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > Policy Templates > View を選択します。Policy Templates 画面が表示されます。
ステップ 3 ポリシー テンプレートを選択します。Config Policy template 画面が表示されます。
ステップ 4 ポリシー テンプレートのパラメータを変更します。 表6-3 に、Policy Template Form に表示されるポリシー テンプレート パラメータの説明を示します。選択したポリシー テンプレートのタイプに応じて、このテーブルに表示されている一部または全部のパラメータが編集対象として表示されます。
• OK :新しいポリシー テンプレートの設定を保存します。Policy Template 画面が表示されます。
• Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。
• Cancel :情報を保存せずに Config policy template 画面を終了します。Policy Template 画面が表示されます。
特定のポリシー テンプレートから作成されたすべてのポリシーを対象として、サービスを追加または削除するには、 第8章「ゾーンのポリシーの管理」 の「サービスの追加」または「サービスの削除」の項を参照してください。