この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ポリシー テンプレートは、ゾーンのトラフィック フローで検出するサービスに対して新しいゾーン ポリシーを構築するために Detector モジュールがラーニング プロセスのポリシー構築フェーズ実行中に使用する規則およびガイドラインをまとめたものです。各ポリシー テンプレートの出力は、ゾーン トラフィック内の DDoS 攻撃を検出するために Detector モジュールが使用するゾーン ポリシーのセットです。新しいゾーンを作成する場合、Detector モジュールは新しいゾーン設定にポリシー テンプレートのセットを組み込みます。
この章では、高度なポリシー テンプレート設定作業を実施する方法について説明します。ゾーンのポリシー テンプレートの設定を変更すると、ラーニング プロセスのポリシー生成フェーズが影響を受けます。WBM を使用すると、ゾーンのポリシー テンプレートをイネーブルやディセーブルにしたり、または変更したりして、Detector モジュールがポリシー生成フェーズ中に作成するポリシーを制御できます。
トラフィック フローのサービスに一致させるために、Detector モジュールがポリシー構築フェーズ中に使用できるポリシー テンプレートには、いくつかのタイプがあります。ポリシー テンプレートの名前は、Detector モジュールがテンプレートから作成するすべてのポリシーに共通の特性に由来しています。この特性は、プロトコル(DNS など)やアプリケーション(http など)、目的(ip_scan など)です。たとえば、ポリシー テンプレート tcp_connections は、同時接続数など、接続に関連するポリシーを作成します。
表 6-1 に、Detector モジュールのポリシー テンプレートの各タイプを示します。
|
|
---|---|
ユーザが DETECTOR_WORM ゾーン テンプレートを使用してゾーンを定義する場合、Detector モジュールには追加のポリシー テンプレートが用意されています。
表 6-2 で、DETECTOR_WORM に関する Detector モジュールのポリシー テンプレートについて説明します。
GUARD_ ゾーン テンプレートからゾーンを作成する場合、Cisco Anomaly Guard Module に同期させることができる追加のポリシー テンプレートのパラメータを設定できます。Cisco Anomaly Guard Module は、次の追加のポリシー テンプレートをサポートします。
• tcp_services_ns:TCP サービス。デフォルトでは、tcp_services_ns テンプレートによって作成されたポリシーは IRC ポート(666X)、SSH、および Telnet に関連します。このポリシー テンプレートは、トラフィック フローに強化保護レベルを適用するアクションを持つポリシーを作成しません。
• tcp_connections_ns、tcp_outgoing_ns、および http_ns:Cisco Anomaly Guard Module には、TCP プロキシのスプーフィング防止メカニズムを使用しないゾーンを保護するための追加のポリシー テンプレートが用意されています。ゾーンが IP アドレスに応じて管理される場合(Internet Relay Chat(IRC; インターネット リレー チャット)サーバタイプ ゾーンなど)、またはゾーンでどのようなタイプのサービスが実行されているか分からない場合は、このようなポリシー テンプレートを使用できます。
GUARD_TCP_NO_PROXY ゾーン テンプレートを使用してゾーンを定義する場合、Cisco Anomaly Guard Module は、http、tcp_connections、および
tcp_outgoing のポリシー テンプレートをそれぞれ http_ns、tcp_connections_ns、および tcp_outgoing_ns のポリシー テンプレートに置き換えます。http_ns、tcp_connections_ns、および tcp_outgoing_ns の各ポリシー テンプレートは、Cisco Anomaly Guard Module に対して強化保護レベルの使用を要求するアクションを実行するポリシーを作成しません。
ポリシー構築フェーズを管理するには、ポリシー テンプレートの特定のパラメータを次の方法で変更して、ポリシー生成フェーズを管理します。
• ポリシー テンプレートをイネーブルまたはディセーブルにします。イネーブルにされたポリシー テンプレートだけが、Detector モジュールがポリシー生成フェーズ中に検出するサービスに基づいてポリシーを作成します。一部のポリシー テンプレートは、特定のポリシーが追加されていないすべてのトラフィック フローを処理するために、追加のポリシーを作成します。このようなポリシーは、 any というサービスで追加されます。
• ラーニング プロセスのどの時点で(サービスのトラフィック量に基づいて)ポリシー テンプレートがポリシーを作成するかを制御します。
• ラーニング プロセス中に Detector モジュールがポリシー テンプレートを使用して作成するポリシーの最大数を定義します。
ポリシー テンプレートの設定を変更するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > Policy templates を選択します。Policy Templates 画面が表示されます。
ステップ 3 ポリシー テンプレートを選択します。Config Policy template 画面が表示されます。
ステップ 4 ポリシー テンプレートの目的のパラメータを変更します。 表 6-3 に、Policy
Template Form に表示されるポリシー テンプレートのパラメータの説明を示します。選択したポリシー テンプレートのタイプに応じて、このテーブルに表示されている一部または全部のパラメータが編集対象として表示されます。
• OK :新しいポリシー テンプレートの設定を保存します。Policy Template 画面が表示されます。
• Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。
• Cancel:情報を保存せずに Config policy template 画面を終了します。 Policy Template 画面が表示されます。
特定のポリシー テンプレートから作成されたすべてのポリシーを対象としてサービスを追加または削除するには、 第 8 章「ゾーンのポリシーの管理」 の「サービスの追加または削除」の項を参照してください。