この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco Anomaly Guard Module のゾーン保護は、次のどちらかの方法でアクティブにできます。
• 自動(Cisco Traffic Anomaly Detector Module などの外部トリガー デバイスを使用)
• 手動(Guard モジュールの CLI または WBM を使用)
ゾーンの設定内容に応じて、Guard モジュールは、ゾーン名、または宛先変更されたトラフィックから抽出する情報に基づいて、ゾーン保護をアクティブにします。保護をアクティブにする方式として、次のものを使用できます。
• ゾーン名:Guard は、ゾーン名に基づいてゾーン保護をアクティブにします。
• IP アドレス:Guard は、ゾーンの一部である IP アドレスまたはサブネットで構成された外部からの攻撃の兆候を受信した場合に、ゾーン保護をアクティブにします。
• パケット:Guard は、データベースでゾーンのパケットを受信した場合に、ゾーン保護をアクティブにします。
• IP アドレスまたはパケット:Guard モジュールは、ゾーンを宛先とするトラフィック(パケット)を受信した場合、またはゾーンのアドレス範囲の一部である IP アドレスまたはサブネットで構成される外部からの攻撃の兆候を受信した場合に、ゾーン保護をアクティブにします。
保護のアクティベーション方式の詳細については、「ゾーンの作成と設定」の「保護のアクティベーション方式」の項を参照してください。
ゾーン保護がアクティブになると、Guard モジュールはゾーン ポリシーをトラフィック フローに適用します。ポリシーのしきい値超過が発生し(攻撃があったことを示す)、トラフィック異常によってポリシー アクションがトリガーされた場合、Guard モジュールは攻撃を管理するために動的フィルタの作成を開始します。トラフィックの動的フィルタを作成する必要がなくなると、Guard モジュールは攻撃が終了したものと判別します。
この章では、WBM を使用して Guard モジュールでゾーン保護をアクティブにし、管理する方法について説明します。
• ゾーン保護の管理
Guard モジュールには、ゾーン保護を実行するためのオプションが複数用意されています。たとえば、Guard モジュールでゾーン保護動作のあらゆる面を管理することや、攻撃の進行中に Guard モジュールを監視し、指示することができます。
• オンデマンド保護
• Protect および Protect and Learn
オンデマンド保護は、ゾーンを定義するとすぐに Guard モジュールが実行するタイプの保護です。ゾーン定義プロセスを開始するために選択するゾーン テンプレートには、一連の定義済みのポリシーおよびオンデマンド保護のユーザ フィルタが含まれています。次の状況の場合、ゾーン保護にはオンデマンド保護を使用します。
• Guard モジュールでラーニング プロセスを実行する時間がない場合
ゾーン テンプレート ポリシーのデフォルトのしきい値は、Guard モジュールがトラフィック異常を識別するとすぐに Guard モジュールのスプーフィング防止機能がアクティブになるような値に設定されます。オンデマンド保護を使用する場合、Guard モジュールはゾーン トラフィックをラーニングしていないため、Guard モジュールにはゾーン トラフィックのパターンに関する特定の知識がありません。そのため、送信元 IP アドレスからのトラフィックのブロック(ドロップ)に使用されるしきい値は、比較的高い値に設定されています。Guard モジュールにはゾーン トラフィックに関する特定の知識がないため、オンデマンド保護では、スプーフィング以外の攻撃を軽減する場合にはユーザの介入が必要です。オンデマンド保護を使用するゾーンが攻撃を受けている間は、ゾーンの正当なトラフィックと悪意のあるトラフィックのレートを監視して、Guard モジュールの軽減アクションを確認してください。
Guard モジュールでゾーン トラフィックをラーニングすると、Guard モジュールはオンデマンド保護に使用したゾーン設定ポリシーを、ゾーン専用に作成したポリシーに置き換えます。
WBM を使用して手動でゾーン保護をアクティブにする場合、Guard モジュールでは次のゾーン保護オプションを使用できます。
• Protect:Guard モジュールはゾーン トラフィックを分析し、トラフィック異常を検出すると、動的フィルタの作成を開始します。
• Protect and Learn:Guard モジュールはゾーン トラフィックにトラフィック異常がないかどうかを分析し、同時にラーニング プロセスのしきい値調整フェーズを開始します。しきい値調整フェーズ用にトラフィックを分析する間、Guard モジュールはゾーン設定のポリシーのしきい値を、新しいしきい値の情報で自動的に調整します。トラフィックの分析中に攻撃を検出した場合、Guard モジュールはしきい値調整フェーズを一時停止して、攻撃を管理します。ゾーンに対する攻撃が終了すると、Guard モジュールはしきい値調整フェーズおよびゾーン保護を再開します。
攻撃の進行中、Guard モジュールは 2 つの動作モードのどちらかで動作し、作成した動的フィルタを自動的にアクティブにするか、または動的フィルタをアクティブにするかどうかをユーザが決定するまで待機します。ゾーン設定を定義する場合、次のいずれかの設定を選択して、ゾーンの動作モードを設定します。
• Automatic operation mode :Guard モジュールは、作成した動的フィルタを、ユーザの介入なしに自動的にアクティブにします。
• Interactive operation mode :Guard モジュールが推奨する動的フィルタをアクティブにするか、無視するかをユーザが選択します。インタラクティブ ゾーン動作モードを使用する場合、Guard モジュールでは、継続的に攻撃を分析し、提案する動的フィルタをキューイングする間に、ユーザがゾーン保護の方式を決定できます。
この項では、ゾーン保護を手動でアクティブ化または非アクティブ化する手順について説明します。また、ゾーン保護をアクティブ化した後でトラフィックの宛先変更および保護を確認できる情報についても説明します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、ゾーン保護をアクティブにします。
• ゾーンのステータス画面の Protect & Learn または Protect をクリックします。
• ゾーンのメイン メニューの Protection > Protect を選択します。
• Guard モジュールは、ゾーン トラフィックを自身に宛先変更し、異常についてトラフィック フローの分析を開始します。正当なトラフィックは、その目的の宛先へと転送されるネットワークに再び注入されます。悪意のあるトラフィックは Guard モジュールによってフィルタリングされ、ドロップされます。
• ゾーンの名前が、ナビゲーション ペインの Protected Zones リストに追加されます。
• ゾーンのステータス アイコンが、スタンバイ から保護 に変更されます。
• Recent Events テーブルに、保護されるゾーンの詳細なリストとともに、保護開始のイベント タイプが表示されます。
オンデマンド保護を使用すると、Guard モジュールがゾーン固有のトラフィック パターンをラーニングしてゾーン設定に必要な変更を加える前に、ゾーンを保護できます。オンデマンド保護を使用する場合、選択するゾーン テンプレートのデフォルト設定値を使用して、攻撃を処理する新しいゾーンを特別に作成します。次のいずれかの状況に当てはまる場合、ゾーンのオンデマンド保護が必要となることがあります。
• Guard モジュールが現在、ラーニング プロセス(ポリシー構築またはしきい値調整)を実行している
• Guard が Protect and Learn モードにあるが、ゾーンのトラフィック特性をまだラーニングしていない
• ゾーンのトラフィックを表さないと判断したポリシーのしきい値を受け入れている
オンデマンド保護をアクティブにするには、次の手順を実行します。
ステップ 1 攻撃を処理する新しいゾーンを作成します(「ゾーンの作成と設定」の「ゾーン テンプレートからのゾーンの作成」の項を参照)。
ステップ 2 ナビゲーション ペインで、作成したゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 3 次のいずれかの方法で、ゾーン保護をアクティブにします。
• ゾーンのステータス画面の Protect をクリックします。
• ゾーンのメイン メニューの Protection > Protect を選択します。
• Guard モジュールは、ゾーン トラフィックを自身に宛先変更し、異常についてトラフィック フローの分析を開始します。正当なトラフィックは、その目的の宛先へと転送されるネットワークに再び注入されます。悪意のあるトラフィックは Guard モジュールによってフィルタリングされ、ドロップされます。
• ゾーンの名前が、ナビゲーション ペインの Protected Zones リストに追加されます。
• ゾーンのステータス アイコンが、スタンバイ から保護 に変更されます。
• Recent Events テーブルに、保護されるゾーンの詳細なリストとともに、保護開始のイベント タイプが表示されます。
ステップ 4 ゾーンのトラフィック パターンを分析します(「Guard モジュールとゾーンの動作の監視」の「ゾーンのカウンタの表示」の項を参照)。
ゾーンのステータス画面からトラフィックのカウンタを表示すると、ゾーン トラフィックが Guard モジュールに正常に宛先変更されているかどうか、および保護プロセスが正常に動作しているかどうかを確認できます。
ゾーンのステータス画面を表示するには、ナビゲーション ペインでゾーンをクリックします。ゾーンのステータス画面に次の項目が表示される場合、トラフィックの宛先変更が機能しています。
• Traffic Rate テーブルの正当なトラフィック レートが 0より大きい値を示します。
• Recent Events テーブルに、保護されるゾーンの詳細なリストとともに、保護開始のイベント タイプが表示されます。
悪意のあるトラフィック レートが 0 より大きい場合、攻撃が進行中であることを示します。攻撃の進行中にゾーン保護が適切に機能していることを確認するには、ゾーンのステータス画面で次のことを確認します。
• ゾーンのステータス テーブルに示されているアクティブな動的フィルタの数が 0 より大きい。
• Traffic Rate テーブルに示されている正当なトラフィック レートが 0 より大きい。
ゾーンに対する攻撃がなく、疑わしいトラフィックの兆候もない場合、Guard モジュールはすべての宛先変更されたトラフィックを正当なトラフィックと見なし、ゾーンに転送します。正当なトラフィックのカウンタは、その後 Received トラフィック カウンタと同じになります。Received トラフィック カウンタの表示方法や、他の Guard モジュール診断ツールの使用方法の詳細については、「Guard モジュールとゾーンの動作の監視」を参照してください。
ゾーンに対する攻撃がなく、別のソースを利用してゾーン トラフィックの異常を検出する場合は、ゾーン保護を非アクティブにし、トラフィックの Guard モジュールへの宛先変更を終了してもかまいません。
ステップ 1 ナビゲーション ペインで、保護されているゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 ゾーンのステータス画面および攻撃レポート画面で、ゾーン保護を非アクティブにする前に、ゾーンが現在攻撃されていないことを確認します。
ステップ 3 次のいずれかの方法で、ゾーン保護を非アクティブにします。
• ゾーンのステータス画面の Deactivate をクリックします。
• ゾーンのメイン メニューの Protection > Deactivate を選択します。
• Guard モジュールが、ゾーン トラフィックを自身に宛先変更することを停止します。
• ゾーンの名前が、ナビゲーション ペインの Protected Zones リストから削除されます。
• ゾーンのステータス アイコンが、保護 からスタンバイ に変更されます。
• Recent Events テーブルに、保護されないゾーンの詳細なリストとともに、保護停止のイベント タイプが表示されます。
Guard モジュールが動的フィルタを作成するのは、ゾーン保護がアクティブのときに、Guard モジュールがトラフィック異常を検出した場合のみです。このため、保護されているゾーンで攻撃が発生している場合、動的フィルタの表示および管理だけを実行できます。
動的フィルタは有効期間が限定されています。動的フィルタのタイムアウトが満了すると、Guard モジュールは動的フィルタを非アクティブにするかどうかを決定します。Guard モジュールが動的フィルタを非アクティブにしないと決定した場合、フィルタのアクティベーション タイムアウトが新たにゼロから再びカウントされます。次の条件の どちらか に当てはまる場合、Guard モジュールは動的フィルタを非アクティブにします。
• ゾーンにおける悪意のあるトラフィックの合計レート(スプーフィングされたトラフィックとドロップされたトラフィックの合計)が、Malicious-rate termination threshold 以下である。
• 動的フィルタのアクションが to-user-filter でない(フィルタのレート カウンタに N/A と表示されていない)場合で、Filter-rate termination threshold が次の 両方 の値以上である。
–ユーザが設定した期間内における動的フィルタの平均トラフィック レート
攻撃中に手動でゾーン保護を制御するには、攻撃中に動的フィルタを追加または削除します。攻撃が終了すると、Guard モジュールは動的フィルタをすべて削除します。
ステップ 1 ナビゲーション ペインで、保護されているゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、動的フィルタのリストを表示します。
• ゾーンのメイン メニューの Protection > Dynamic filters を選択します。
• ゾーン ステータス ページのゾーンのステータス テーブルで、 Active Dynamic filters をクリックします。
動的フィルタのテーブルには、動的フィルタを作成したポリシーに応じて動的フィルタが示され、進行中の攻撃に関する情報が表示されます。 表 9-1 に、動的フィルタのテーブルに表示される情報の説明を示します。
パラメータの値が * となっている場合は、次のいずれかの状態であることを示します。
特定の動的フィルタの詳細の表示については、「動的フィルタの詳細の表示」の項を参照してください。
特定の動的フィルタの詳細情報を表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインで、保護されているゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、動的フィルタのリストを表示します。
• ゾーンのメイン メニューの Protection > Dynamic filters を選択します。
• ゾーンのステータス ページにあるゾーンのステータス テーブルで、 Active dynamic filters をクリックします。このリンクは、アクティブな動的フィルタがある場合のみ有効となります。
ステップ 3 目的の動的フィルタの Details カラムにある i をクリックします。Dynamic filter details 画面が表示されます。
Dynamic filter details 画面には、次の攻撃情報に関する説明を示す 3 つのテーブルが含まれています。
• 軽減された攻撃。軽減されたフローは、検出された攻撃フローよりも範囲が広い可能性があります。たとえば、ポート 80 に対するスプーフィング以外の攻撃では、ポート 80 だけでなく、送信元 IP から発信されるすべての TCP トラフィックがブロックされます。
• フィルタを作成したトリガー。 表 9-2 に、トリガー パラメータの説明を示します。
|
|
---|---|
ゾーンに対する攻撃中に、動的フィルタを追加してゾーン保護を実行することができます。
ステップ 1 ナビゲーション ペインで、保護されているゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、動的フィルタのリストを表示します。
• ゾーンのメイン メニューの Protection > Dynamic filters を選択します。
• ゾーン ステータス ページのゾーンのステータス テーブルで、 Active Dynamic filters をクリックします。
ステップ 3 Add をクリックします。Add Dynamic Filter 画面が表示されます。
表 9-3 の説明に従って、動的フィルタのパラメータを定義します。
• OK :動的フィルタの情報を保存します。Guard モジュールが新しい動的フィルタをアクティブにします。
• Cancel :情報を保存せずに Add Dynamic filter 画面を終了します。Dynamic Filters 画面が表示されます。
Guard モジュールが動的フィルタのアクションをトラフィック フローに適用しないようにするには、動的フィルタを削除します。攻撃のトラフィック フローで変更がある場合、Guard が新しい動的フィルタを設定し続けるため、動的フィルタの削除が有効である期間は限られています。Guard モジュールが不要な動的フィルタを作成しないようにするには、「不要な動的フィルタの作成の防止」の項を参照してください。
ステップ 1 ナビゲーション ペインで、保護されているゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、動的フィルタを表示します。
• ゾーンのメイン メニューの Protection > Dynamic filters を選択します。
• ゾーンのステータス画面にあるゾーンのステータス テーブルで、 Active dynamic filters をクリックします。
ステップ 3 削除する動的フィルタの隣にあるチェックボックスをオンにします。
ステップ 4 Delete をクリックします。Guard モジュールが動的フィルタを削除します。
ゾーンに転送するトラフィックに Guard モジュールが動的フィルタを適用している場合、Guard モジュールが不要な動的フィルタを作成しないようにするには、次のアクションのいずれかを実行します。
• 動的フィルタを作成するポリシーを非アクティブにします(「ゾーンのポリシーの管理」の「ポリシーのパラメータの変更」の項を参照)。動的フィルタのリストを表示して、不要な動的フィルタを作成したポリシーを発見するには、「動的フィルタのリストの表示」の項を参照してください。
• 目的のトラフィック フロー用のバイパス フィルタを設定します(「ゾーンのフィルタの設定」の「バイパス フィルタの管理」の項を参照)。
• 不要な動的フィルタを作成したポリシーのしきい値を大きくします(「ゾーンのポリシーの管理」の「ポリシーのパラメータの変更」の項を参照)。
インタラクティブ動作モードでゾーン保護を実行するとGuard モジュールは、攻撃の進行中に作成する動的フィルタのキューを作成します。キューイングされた動的フィルタは、保留動的フィルタと呼ばれます。Guard モジュールは、保留動的フィルタを作成したポリシーに従って保留動的フィルタをグループ化し、Guard モジュールの推奨事項として表示します。ユーザは、Guard モジュールの推奨事項(関連付けられた保留動的フィルタをすべて含む)に対応することも、個々の保留動的フィルタに対応することもできます。
Guard モジュールでは、新しい推奨事項が使用可能になると、Guard モジュールの推奨事項のアイコン が表示されます。このアイコンは、次の位置に表示されます。
• ナビゲーション ペインにある、 All Zones リストのゾーン アイコンの隣
• ナビゲーション ペインにある、 Protected Zones リストのゾーン アイコンの隣
• ゾーン ステータス ページにあるゾーン ステータス バー
Guard モジュールに新しい推奨事項がある場合は、ゾーンのステータス画面に表示される保留動的フィルタの数が 0 を超えています。
Guard モジュールの推奨事項を表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。
• ゾーンのメイン メニューの Protection > Recommendations を選択します。
• ゾーンのステータス画面のゾーン ステータス テーブルで、ゾーンのステータス要約にある Pending Dynamic filters をクリックします。
表 9-4 に、推奨事項テーブルに含まれているフィールドの説明を示します。
パラメータの値が * となっている場合は、次のいずれかの状態であることを示します。
• Guard モジュールがフィルタのパラメータに対して複数の値を測定した。異なる値を表示するには、すべての保留動的フィルタのリストを確認します。
Guard モジュールの推奨事項を表示して対応するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。
• ゾーンのメイン メニューの Protection > Recommendations を選択します。
• ゾーンのステータス画面のゾーン ステータス テーブルで、ゾーンのステータス要約にある Pending Dynamic filters をクリックします。
ステップ 3 Filters timeout ボックスに、フィルタのタイムアウト値(秒)を入力します。
ステップ 4 目的の推奨事項の隣にあるチェックボックスをオンにします。
• accept :特定の推奨事項を受け入れます。Guard モジュールは、推奨事項に関連付けられた保留動的フィルタをアクティブにします。
• always-accept :特定の推奨事項を常に受け入れます。現在の攻撃期間では、Guard モジュールは、推奨事項を作成したポリシーの推奨事項を自動的に受け入れます。Guard モジュールは、 always-accept 推奨事項を表示しません。
• always-ignore :特定の推奨事項を常に無視します。現在の攻撃期間では、Guard モジュールは、推奨事項を作成したポリシーの推奨事項を自動的に無視します。将来の攻撃でポリシーが推奨事項を作成しないようにするには、そのポリシーをディセーブルまたは非アクティブにします(「ゾーンのポリシーの管理」の「ポリシーのパラメータの変更」の項を参照)。
特定の推奨事項への対応として決定した always-ignore は、その推奨事項の保留動的フィルタを作成したポリシーのインタラクティブ状態を変更することによって変更できます。
必要に応じて、推奨事項に関連付けられている動的フィルタをすべて受け入れるのではなく、保留動的フィルタの一部を選択して受け入れることもできます。詳細については、「推奨事項の保留動的フィルタの表示」の項を参照してください。
Guard モジュールの推奨事項に関連付けられた保留動的フィルタを表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。
• ゾーンのメイン メニューの Protection > Recommendations を選択します。
• ゾーンのステータス画面のゾーン ステータス テーブルで、ゾーンのステータス要約にある Pending Dynamic filters をクリックします。
ステップ 3 目的の推奨事項の # of PFs(Pending Filters; 保留中のフィルタ)カラムに表示されている数値をクリックします。Pending dynamic filters 画面が表示されます。
表 9-5 に、保留動的フィルタのテーブルに含まれているフィールドの説明を示します。
|
|
---|---|
フィルタを作成したポリシー。ポリシーの名前をクリックすると、ポリシーの詳細が表示されます。詳細については、「ゾーンのポリシーの管理」を参照してください。 |
|
パラメータの値が * となっている場合は、次のいずれかの状態であることを示します。
Guard モジュールでは、ポリシーが作成した動的フィルタは、少なくともユーザが定義した期間中(フィルタ タイムアウト)はアクティブになります。
動的フィルタの詳細情報を表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。
• ゾーンのメイン メニューの Protection > Recommendations を選択します。
• ゾーンのステータス画面のゾーン ステータス テーブルで、ゾーンのステータス要約にある Pending Dynamic filters をクリックします。
ステップ 3 目的の推奨事項の # of PFs(Pending Filters; 保留中のフィルタ)カラムに表示されている数値をクリックします。Pending dynamic filters 画面が表示されます。
ステップ 4 目的の保留動的フィルタの Details カラムにある i をクリックします。Filter details 画面が表示されます。
保留動的フィルタの詳細には、次の情報を表示する 3 つのテーブルが含まれています。
• フィルタ作成のトリガー。このテーブルには、攻撃トラフィックが超過したポリシーのしきい値、およびフィルタ作成の原因となった攻撃の概算レートが表示されます。
保留動的フィルタの一部を選択して受け入れるには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 次のいずれかの方法で、推奨事項のリストを表示します。
• ゾーンのメイン メニューの Protection > Recommendations を選択します。
• ゾーンのステータス画面のゾーン ステータス テーブルで、ゾーンのステータス要約にある Pending Dynamic filters をクリックします。
ステップ 3 目的の推奨事項の # of PFs(Pending Filters; 保留中のフィルタ)カラムに表示されている数値をクリックします。Pending dynamic filters 画面が表示されます。
ステップ 4 Filters timeout ボックスに、動的フィルタのタイムアウト値(秒)を入力します。
ステップ 5 目的の保留動的フィルタ(アクティブにするフィルタ)の隣にあるチェックボックスをオンにします。
ステップ 6 Accept をクリックします。Guard モジュールが、選択された保留動的フィルタをアクティブにします。
攻撃の進行中に動的フィルタをアクティブにする方法は、ゾーンに対する攻撃を管理するときに Guard モジュールが動作する動作モードによって決まります。Guard モジュールは、次の動作モードで動作するように設定できます。
• 自動動作モード:Guard モジュールは、動的フィルタを作成し、そのすべてをアクティブにします。
• インタラクティブ動作モード:ユーザは、攻撃の進行中に Guard モジュールが作成する動的フィルタの推奨事項に対応する必要があります。Guard モジュールの推奨事項をアクティブにするか、無視することができます。
ゾーン動作モードは、ゾーン設定の一部として設定します。また、ゾーン動作モードの設定変更は、Guard モジュールがゾーンに対する攻撃を管理している場合を含め、いつでも実行できます。
ゾーンの動作モード設定をインタラクティブから自動に変更するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。General 画面が表示されます。
ステップ 3 Config をクリックします。Config 画面が表示されます。
ステップ 4 Operation Mode parameter ドロップダウン リストから、 automatic を選択します。
ステップ 5 OK をクリックします。Guard モジュールが、ゾーンの新しい動作モード設定で、ゾーンの設定をアップデートします。ゾーン保護が現在アクティブになっている場合、Guard モジュールは保留動的フィルタと新しい動的フィルタをすべて自動的にアクティブにします。
ゾーンの動作モード設定を自動からインタラクティブに変更するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。General 画面が表示されます。
ステップ 3 Config をクリックします。Config 画面が表示されます。
ステップ 4 Operation Mode parameter ドロップダウン リストから、 interactive を選択します。
ステップ 5 OK をクリックします。Guard モジュールが、ゾーンの新しい動作モード設定で、ゾーンの設定をアップデートします。ゾーン保護が現在アクティブになっている場合、攻撃を検出すると、Guard モジュールは推奨事項を作成します。
ゾーンのステータス画面に表示される保留動的フィルタの数が 1,000 を超えると、Guard モジュールは推奨事項の情報をログ ファイルに記録してから、新しい推奨事項をすべて廃棄し始めます。保留動的フィルタの数が 1,000 フィルタを超えたときは、ゾーン動作モードを自動に変更することをお勧めします。自動動作モードで動作している場合、Guard モジュールは、動的フィルタを作成し、そのすべてをアクティブにします。
(注) 保留動的フィルタの数が 1000 を超えたときは、動作モードに関して推奨された変更を適用する前に、まずゾーン保護を非アクティブにする必要があります。ゾーンの動作モードを変更する前にゾーン保護を非アクティブにする必要があるのは、この場合のみです。
保留動的フィルタの数が 1,000 フィルタを超えたときに、ゾーンの動作モードを自動に変更するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューとゾーンのステータス画面が表示されます。
ステップ 2 Deactivate をクリックします。Guard モジュールがゾーン保護を停止し、保留動的フィルタをすべて削除します。
ステップ 3 ゾーンのメイン メニューの Configuration > General を選択します。General 画面が表示されます。
ステップ 4 Config をクリックします。Config 画面が表示されます。
ステップ 5 Operation Mode parameter ドロップダウン リストから、 automatic を選択します。
ステップ 6 OK をクリックします。Guard モジュールが、新しい動作モード設定で、ゾーンの設定をアップデートします。
ステップ 7 Protect をクリックします。Guard モジュールがゾーン保護を開始し、動的フィルタを作成してそのすべてをアクティブにします。