IPS ポリシー ルールの作成
始める前に
「IPS ポリシーについて」トピックをお読みください。
「IPS ポリシー テンプレートについて」トピックをお読みください。
IPS ポリシーと IPS ポリシー テンプレートを作成します。IPS ポリシーの作成および IPS ポリシー テンプレートの作成を参照してください。
このページを使用して、一致するトラフィックパターンが見つかったときに実行するアクションを定義する侵入防御システム(IPS)ルールを作成します。IPS ポリシーにルールを追加、編集、または削除できます。
IPS ポリシーの作成時に、事前定義された IPS テンプレートを使用できます。これらのテンプレートには、攻撃オブジェクトに関連付けられた既定のアクションを使用するルールが含まれています。独自の送信元アドレスと宛先アドレスを選択し、セキュリティ ニーズを反映した IPS アクションを選択することで、これらのテンプレートをネットワーク上で機能するようにカスタマイズできます。
IPSルールは、攻撃オブジェクトを使用してステートフルシグネチャとプロトコルの異常に基づいて既知および未知の攻撃を検出することにより、ネットワークを攻撃から保護します。IPS 免除ルールは、不要なアラームが生成されないようにします。
IPS ポリシー ルールを設定するには、次の手順に従います。
- IPSポリシー>ポリシー>ポリシー>またはテンプレートの設定を選択します。
- 作成したポリシーの [ ルールの追加] リンク をクリックします。
- [作成] をクリックし、[IPS ルール] または [除外ルール] を選択します。
- 表 1 および 表 2 に示すガイドラインに従って、設定を完了します。
- [ 公開] をクリックします。
設定した新しい IPS ルールが作成されます。このルールは、IPS ポリシーまたは IPS ポリシー テンプレートで使用できます。
設定 |
ガイドライン |
---|---|
名前 |
英数字、コロン、ピリオド、ダッシュ、アンダースコアの一意の文字列を入力します。スペースは使用できません。最大長は 255 文字です。 |
IPSタイプ |
指定した型のルールを表示します。たとえば、IPS、免除などです。 |
Src. ゾーン |
[ソース ゾーン] フィールドをクリックし、ソース ゾーンのエディター設定を構成します。 |
ソースゾーンエディタ |
|
ゾーン |
ソースのゾーンを選択します。ゾーンの例外を使用して、各デバイスのゾーンに固有のゾーンを指定することもできます。任意のゾーンから発信されるネットワーク トラフィックを監視するには、any を指定します。デフォルト値は any です。 |
住所 |
[送信元アドレス] フィールドをクリックし、送信元アドレス設定を構成します。 |
送信元アドレス |
|
アドレス選択 |
ルールの選択したアドレス一覧にアドレスを含めるか、除外します。ソース オブジェクトの任意の IP アドレスを含めるように選択することもできます。 |
アドレス |
[使用可能] 列から、ルールの選択した一覧に含める使用可能な IP アドレスを 1 つ以上選択します。 |
新しい送信元アドレスの追加 |
ボタンをクリックして、新しい送信元アドレスを追加します。 |
宛先ゾーン |
[宛先ゾーン] フィールドをクリックし、宛先ゾーンのエディター設定を構成します。 |
宛先ゾーンエディタ |
|
ゾーン |
宛先のゾーンを選択します。ゾーンの例外を使用して、デバイスごとに一意の from ゾーンを指定することもできます。任意のゾーンへのネットワーク トラフィックを監視するには、any を指定します。デフォルト値は any です。 |
宛先住所 |
[宛先アドレス] フィールドをクリックし、宛先アドレス設定を構成します。 |
宛先アドレス |
|
アドレス選択 |
ルールの選択したアドレス一覧にアドレスを含めるか、除外します。ソース オブジェクトの任意の IP アドレスを含めるように選択することもできます。 |
アドレス |
[使用可能] 列から、ポリシー ルールの選択済みリストに含める使用可能な IP アドレスを 1 つ以上選択します。 |
新しい宛先アドレスの追加 |
ボタンをクリックして、新しい宛先アドレスを追加します。 |
サービス |
[サービス] フィールドをクリックし、サービス エディターの設定を構成します。 |
サービス エディター |
|
サービス |
ポリシー ルールで使用可能なサービスを選択します。例えば:
デフォルト値は「デフォルト」です。Security Directorのサービスは、ドメインネームシステム(DNS)などのデバイス上のアプリケーションを指します。サービスはプロトコルとポートに基づいており、ポリシーに追加すると、Security Directorによって管理されるすべてのデバイスに適用できます。 |
新しいサービスの追加 |
ボタンをクリックして、新しいサービスを追加します。 |
IPSシグネチャ |
[IPS シグネチャ] フィールドをクリックし、IPS シグネチャ設定を行います。 |
IPSシグネチャ |
|
IPS シグネチャ |
[使用可能(Available)] 列から、ポリシー ルールの選択したリストに含める使用可能な IPS シグネチャを 1 つ以上選択します。 |
新しい IPS シグネチャの追加 |
ボタンをクリックして、新しい IPS シグネチャを追加します。 |
アクション |
[アクション] フィールドをクリックし、アクション設定を構成します。 |
アクション |
|
アクション |
監視対象トラフィックがルールで指定された攻撃オブジェクトと一致した場合にIPSが実行するアクションのオプションを選択します。
メモ:
DSCP 値は、攻撃として検出された最初のパケットには適用されませんが、後続のパケットに適用されます。 |
通知オプション。 |
[通知] フィールドをクリックし、通知設定を構成します。 |
通知オプション。 |
|
攻撃ロギング |
攻撃をログに記録するには、このオプションを有効にします。 |
アラート フラグ |
攻撃ログにアラート フラグを追加するには、このオプションを有効にします。 |
ログパケット |
ルールが一致した場合にパケット キャプチャをログに記録するには、このオプションを有効にします。 |
変更前のパケット |
攻撃がキャプチャされる前に処理されたパケット数を入力します。 |
後のパケット |
攻撃がキャプチャされた後に処理されたパケット数を入力します。 |
ポストウィンドウタイムアウト |
セッションの攻撃後パケットをキャプチャする時間制限を入力します。 タイムアウトが経過すると、パケット キャプチャは実行されません。範囲は 0 から 1800 秒からです。 |
IPアクションオプト。 |
[IP アクション] フィールドをクリックし、IP アクション設定を構成します。 |
IPアクションオプト。 |
|
IPアクション |
同じ IP アクション属性を使用する今後の接続にアクションを適用するオプションを選択します。
|
IP ターゲット |
今後の接続をブロックするオプションを選択します。
|
更新タイムアウト |
IP アクションのタイムアウトを更新して、今後の接続が IP アクション・フィルターと一致したときに期限切れにならないようにするには、このオプションを有効にします。 |
タイムアウト値 |
トラフィックが一致した後も IP アクションが有効であり続ける秒数を入力します。 デフォルト値は 0 秒で、範囲は 0〜64,800 秒です。 |
取得されたログ |
ルールに一致するトラフィックに対するIPアクションに関する情報をログに記録するには、このオプションを有効にします。 |
ログ作成 |
このオプションを有効にすると、IP アクション・フィルターにログ・イベントが生成されます。 |
追加のオプト |
[追加] フィールドをクリックし、追加設定を構成します。 |
追加のオプト |
|
重大 度 |
ルールで継承された攻撃の重大度を上書きする重大度レベルを選択します。レベルは、重大度の高い順に、情報、警告、マイナー、メジャー、クリティカルです。最も危険なレベルはクリティカルで、サーバーをクラッシュさせたり、ネットワークを制御したりしようとします。情報は最も危険性の低いレベルであり、ネットワーク管理者がセキュリティ システムの穴を発見するために使用します。 |
ターミナル |
ターミナルルールフラグを設定するには、このオプションを有効にします。デバイスは、端末ルールに一致すると、セッションのルールの一致を停止します。 |
説明 |
IPS ポリシー ルールの説明を入力します。最大長は 4096 文字です。 |
設定 |
ガイドライン |
---|---|
名前 |
英数字、コロン、ピリオド、ダッシュ、アンダースコアの一意の文字列を入力します。スペースは使用できません。最大長は 63 文字です。 |
IPSタイプ |
指定した型のルールを表示します。たとえば、IPS、免除などです。 |
IPSシグネチャ |
[IPS シグネチャ] フィールドをクリックし、IPS シグネチャ設定を行います。 |
IPSシグネチャ |
|
IPS シグネチャ |
[使用可能(Available)] 列から、ポリシー ルールの選択したリストに含める使用可能な IPS シグネチャを 1 つ以上選択します。 |
新しい IPS シグネチャの追加 |
ボタンをクリックして、新しい IPS シグネチャを追加します。 |
アクション |
[アクション] フィールドをクリックし、アクション設定を構成します。 |
アクション |
|
アクション |
監視対象トラフィックがルールで指定された攻撃オブジェクトと一致した場合にIPSが実行するアクションのオプションを選択します。
メモ:
DSCP 値は、攻撃として検出された最初のパケットには適用されませんが、後続のパケットに適用されます。 |
通知オプション。 |
[通知] フィールドをクリックし、通知設定を構成します。 |
通知オプション。 |
|
攻撃ロギング |
攻撃をログに記録するには、このオプションを有効にします。 |
アラート フラグ |
攻撃ログにアラート フラグを追加するには、このオプションを有効にします。 |
ログパケット |
ルールが一致した場合にパケット キャプチャをログに記録するには、このオプションを有効にします。 |
変更前のパケット |
攻撃がキャプチャされる前に処理されたパケット数を入力します。 |
後のパケット |
攻撃がキャプチャされた後に処理されたパケット数を入力します。 |
ポストウィンドウタイムアウト |
セッションの攻撃後パケットをキャプチャする時間制限を入力します。 タイムアウトが経過すると、パケット キャプチャは実行されません。範囲は 0 から 1800 秒からです。 |
IPアクションオプト。 |
[IP アクション] フィールドをクリックし、IP アクション設定を構成します。 |
IPアクションオプト。 |
|
IPアクション |
同じ IP アクション属性を使用する今後の接続にアクションを適用するオプションを選択します。
|
IP ターゲット |
今後の接続をブロックするオプションを選択します。
|
更新タイムアウト |
IP アクションのタイムアウトを更新して、今後の接続が IP アクション・フィルターと一致したときに期限切れにならないようにするには、このオプションを有効にします。 |
タイムアウト値 |
トラフィックが一致した後も IP アクションが有効であり続ける秒数を入力します。 デフォルト値は 0 秒で、範囲は 0〜64,800 秒です。 |
取得されたログ |
ルールに一致するトラフィックに対するIPアクションに関する情報をログに記録するには、このオプションを有効にします。 |
ログ作成 |
このオプションを有効にすると、IP アクション・フィルターにログ・イベントが生成されます。 |
追加のオプト |
[追加] フィールドをクリックし、追加設定を構成します。 |
追加のオプト |
|
重大 度 |
ルールで継承された攻撃の重大度を上書きする重大度レベルを選択します。レベルは、重大度の高い順に、情報、警告、マイナー、メジャー、クリティカルです。最も危険なレベルはクリティカルで、サーバーをクラッシュさせたり、ネットワークを制御したりしようとします。情報は最も危険性の低いレベルであり、ネットワーク管理者がセキュリティ システムの穴を発見するために使用します。 |
ターミナル |
ターミナルルールフラグを設定するには、このオプションを有効にします。デバイスは、端末ルールに一致すると、セッションのルールの一致を停止します。 |
説明 |
IPS ポリシー ルールの説明を入力します。最大長は 1024 文字です。 |