- はじめに
- ASDM の概要
- プリファレンスの定義プリファレンスの定義およびコンフィギュレーション、診断、ファイル管理ツールの使用
- はじめる前に
- Startup Wizard の使用
- インターフェイスの設定
- マルチ モードのインターフェイスの設定
- Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポートおよび VLAN インターフェイスの設定
- グローバル オブジェクトの追加
- セキュリティ コンテキストの設定
- デバイスの設定値と管理の設定
- DHCP、DNS、および WCCP サービス
- AAA サーバおよびユーザ アカウントの設定
- 管理アクセスの設定
- ハイ アベイラビリティ
- ロギングの設定
- ダイナミック ルーティングおよびスタティック ルーティングの設定
- マルチキャスト ルーティングの設定
- ファイアウォール モードの概要
- EtherType ルールの設定
- AAA ルールの設定
- フィルタ ルールの設定
- サービス ポリシー ルールの設定
- アプリケーション レイヤ プロトコル インスペクションの設定
- NAT の設定
- ARP インスペクションおよびブリッジング パラメータの設定
- 高度なファイアウォール保護の設定
- QoS の設定
- VPN
- SSL VPN Wizard
- IKE
- General
- ダイナミック アクセス ポリシーの設定
- クライアントレス SSL VPN
- クライアントレス SSL VPN のエンド ユーザ設定
- 電子メール プロキシ
- SSL 設定の指定
- 証明書の設定
- IPS の設定
- Trend Micro Content Security の設定
- ロギングのモニタリング
- Trend Micro Content Security のモニタリング
- フェールオーバー動作のモニタ
- インターフェイスのモニタリング
- ルーティングのモニタリング
- VPN のモニタリング
- プロパティのモニタリング
- 機能のライセンスと仕様
- 許可および認証用の外部サーバの設定
Cisco ASDM ユーザ ガイド バージョン 6.0(3)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: アプリケーション レイヤ プロトコル インスペクションの設定
- インスペクション エンジンの概要
- アプリケーション検査の設定
- CTIQBE インスペクション
- DCERPC インスペクション
- DNS インスペクション
- ESMTP インスペクション
- FTP インスペクション
- GTP インスペクション
- H.323 インスペクション
- HTTP インスペクション
- インスタント メッセージ インスペクション
- ICMP インスペクション
- ICMP エラー インスペクション
- ILS インスペクション
- IPSec パススルー検査
- MGCP インスペクション
- NETBIOS インスペクション
- PPTP インスペクション
- RADIUS アカウンティング インスペクション
- RSH インスペクション
- RTSP インスペクション
- SIP インスペクション
- Skinny(SCCP)インスペクション
- SMTP および拡張 SMTP インスペクション
- SNMP Inspection
- SQL*Net インスペクション
- Sun RPC インスペクション
アプリケーション レイヤ プロトコル インスペクションの設定
この章では、アプリケーション レイヤ プロトコル インスペクションを設定する方法について説明します。インスペクション エンジンは、ユーザのデータ パケット内に IP アドレッシング情報を埋め込むサービスや、ダイナミックに割り当てられるポート上でセカンダリ チャネルを開くサービスに必要です。これらのプロトコルでは、高速パスでパケットを渡すのではなく、セキュリティ アプライアンス で詳細なパケット インスペクションを行う必要があります。そのため、インスペクション エンジンがスループット全体に影響を与えることがあります。
セキュリティ アプライアンス では、デフォルトでいくつかの一般的なインスペクション エンジンがイネーブルになっていますが、ネットワークによっては他のインスペクション エンジンをイネーブルにしなければならない場合があります。この章は、次の項で構成されています。
インスペクション エンジンの概要
•
「アプリケーション プロトコル インスペクションを使用するタイミング」
アプリケーション プロトコル インスペクションを使用するタイミング
ユーザが接続を確立すると、セキュリティ アプライアンス はアクセス リストと照合してパケットをチェックし、アドレス変換を作成し、高速パスでのセッション用にエントリを作成して、後続のパケットが時間のかかるチェックをバイパスできるようにします。ただし、高速パスは予測可能なポート番号に基づいており、パケット内部のアドレス変換を実行しません。
多くのプロトコルは、セカンダリの TCP ポートまたは UDP ポートを開きます。既知のポートで初期セッションが使用され、動的に割り当てられたポート番号がネゴシエーションされます。
パケットに IP アドレスを埋め込むアプリケーションもあります。この IP アドレスは送信元アドレスと一致する必要があり、通常、セキュリティ アプライアンスを通過するときに変換されます。
これらのアプリケーションを使用する場合は、アプリケーション インスペクションをイネーブルにする必要があります。
IP アドレスを埋め込むサービスに対してアプリケーション インスペクションをイネーブルにすると、セキュリティ アプライアンス は埋め込まれたアドレスを変換し、チェックサムや変換の影響を受けたその他のフィールドを更新します。
ダイナミックに割り当てられたポートを使用するサービスに対してアプリケーション インスペクションをイネーブルにすると、セキュリティ アプライアンス はセッションをモニタしてダイナミックに割り当てられたポートを特定し、所定のセッションの間、それらのポートでのデータ交換を許可します。
検査の制限事項
アプリケーション プロトコル検査には、次の制限事項があります。
• インスペクションが必要なマルチメディア セッションのステート情報は、ステートフル フェールオーバーのステート リンク経由では渡されません。GTP は例外で、ステート リンクで複製されます。
• 一部のインスペクション エンジンは、PAT、NAT、外部 NAT、または同一セキュリティ インターフェイス間の NAT をサポートしません。NAT サポートの詳細については、「デフォルトの検査ポリシー」を参照してください。
デフォルトの検査ポリシー
デフォルトでは、すべてのデフォルト アプリケーション インスペクション トラフィックに一致するポリシーがコンフィギュレーションに含まれ、すべてのインスペクションがすべてのインターフェイスのトラフィックに適用されます(グローバル ポリシー)。デフォルト アプリケーション インスペクション トラフィックには、各プロトコルのデフォルト ポートへのトラフィックが含まれます。適用できるグローバル ポリシーは 1 つだけなので、グローバル ポリシーを変更する(標準以外のポートにインスペクションを適用する場合や、デフォルトでイネーブルになっていないインスペクションを追加する場合など)には、デフォルトのポリシーを編集するか、デフォルトのポリシーをディセーブルにして新しいポリシーを適用する必要があります。
表 24-1 にサポートされているすべてのインスペクション、デフォルトのクラス マップで使用されるデフォルトのポート、およびデフォルトでオンになっているインスペクション エンジン(太字)を示します。この表には、NAT に関する制限事項も含まれています。
|
|
|
|
|
|
|---|---|---|---|---|
ActiveX と Java を除去する場合の MTU 制限に注意してください。MTU が小さすぎて Java タグまたは ActiveX タグを 1 つのパケットに納められない場合は、除去の処理は行われません。 |
||||
NetBIOS は、NBNS UDP ポート 137 および NBDS UDP ポート 138 に対してパケットの NAT 処理を実行することでサポートされます。 |
||||
デフォルトのルールには UDP ポート 111 が含まれています。TCP ポート 111 の Sun RPC インスペクションをイネーブルにする場合は、TCP ポート 111 を照合する新しいルールを作成し、Sun RPC インスペクションを実行する必要があります。 |
||||
| 1.デフォルト ポートに対してデフォルトでイネーブルになっているインスペクション エンジンは太字で表記されています。 2.セキュリティ アプライアンス は、これらの標準に準拠していますが、検査対象のパケットには準拠を強制しません。たとえば、各 FTP コマンドは特定の順序である必要がありますが、セキュリティ アプライアンス によってその順序を強制されることはありません。 |
アプリケーション検査の設定
この機能では、サービス ポリシー ルールを使用します。サービス ポリシーでは、一貫性と柔軟性を備えた方法で セキュリティ アプライアンス 機能を設定できます。たとえば、サービス ポリシーを使用すると、すべての TCP アプリケーションに適用されるタイムアウト コンフィギュレーションではなく、特定の TCP アプリケーションに固有のタイムアウト コンフィギュレーションを作成できます。詳細については、「「サービス ポリシー ルールの設定」」を参照してください。
一部のアプリケーションでは、デフォルトでインスペクションがイネーブルになっています。詳細については、「デフォルトの検査ポリシー」を参照してください。この項を参照してインスペクション ポリシーを変更してください。
アプリケーション インスペクションを設定する手順は、次のとおりです。
ステップ 1 [Configuration] > [Firewall] > [Service Policy Rules] をクリックします。
ステップ 2 「通過トラフィックのサービス ポリシー ルールの追加」を参照して、サービス ポリシー ルールを追加または編集します。
標準以外のポートを照合する場合は、非標準ポート用の新しいルールを作成します。各インスペクション エンジンの標準ポートについては、「デフォルトの検査ポリシー」を参照してください。必要に応じて同じサービス ポリシー内に複数のルールを組み合わせることができるため、照合するトラフィックに応じたルールを作成できます。ただし、トラフィックがインスペクション アクションを含むルールと一致し、その後同様にインスペクション アクションを含む別のルールとも一致した場合、最初に一致したルールだけが使用されます。
ステップ 3 [Edit Service Policy Rule] > [Rule Actions] ダイアログボックスで、[Protocol Inspection] タブをクリックします。
新しいルールの場合、[Add Service Policy Rule Wizard - Rule Actions] というダイアログボックス名が表示されます。
ステップ 4 適用する各インスペクション タイプをオンにします。
ステップ 5 (任意)一部のインスペクション エンジンでは、トラフィックにインスペクションを適用するときの追加パラメータを制御できます。インスペクション マップを設定するには、各インスペクション タイプの [Configure] をクリックします。
既存のマップを選択することも、新しいマップを作成することもできます。[Configuration] > [Firewall] > [Objects] > [Inspect Maps] ペインから、インスペクション マップを事前に定義できます。各インスペクション マップ タイプの詳細については、「インスペクション マップのフィールドの説明」を参照してください。
ステップ 6 必要に応じて、他の [Rule Actions] タブを使用し、このルールに対して他の機能を設定できます。
ステップ 7 [OK] をクリックします(またはウィザードで [Finish] をクリックします)。
CTIQBE インスペクション
この項では、CTIQBE アプリケーション インスペクションについて説明します。この項では、次のトピックについて取り上げます。
• 「制限事項」
CTIQBE インスペクションの概要
CTIQBE プロトコル インスペクションは、NAT、PAT、および双方向 NAT をサポートします。これによって、Cisco IP SoftPhone と他の Cisco TAPI/JTAPI アプリケーションが Cisco CallManager と連動し、 セキュリティ アプライアンス を越えてコール セットアップを行えるようになります。
TAPI と JTAPI は、多くの Cisco VoIP アプリケーションで使用されます。CTIQBE は、Cisco TSP が Cisco CallManager と通信するために使用されます。
制限事項
CTIQBE アプリケーション インスペクションの使用時に適用される制限を次にまとめます。
• CTIQBE アプリケーション インスペクションは、alias コマンドを使用するコンフィギュレーションをサポートしません。
• CTIQBE コールのステートフル フェールオーバーはサポートされていません。
• debug ctiqbe コマンドを入力すると、メッセージの伝送が遅れる場合があり、リアルタイム環境のパフォーマンスに影響することがあります。このデバッグまたはログをイネーブルにし、セキュリティ アプライアンス を介して Cisco IP SoftPhone でコール セットアップを完了できない場合は、Cisco IP SoftPhone の動作するシステムで Cisco TSP 設定のタイムアウト値を増やしてください。
次に、CTIQBE アプリケーション インスペクションを特定の事例で使用する際に、特別に注意が必要な事項をまとめます。
• 2 つの Cisco IP SoftPhone が異なる Cisco CallManager に登録されていて、各 CallManager が セキュリティ アプライアンス の異なるインターフェイスに接続されている場合、これら 2 つの電話間のコールは失敗します。
• Cisco IP SoftPhone と比較して Cisco CallManager の方がセキュリティの高いインターフェイス上に配置されている状態で、NAT または外部 NAT が Cisco CallManager IP アドレスに必要な場合、マッピングはスタティックである必要があります。Cisco IP SoftPhone では Cisco CallManager IP アドレスを PC 上の Cisco TSP コンフィギュレーションで明示的に指定することが必要なためです。
• PAT または外部 PAT の使用時に Cisco CallManager IP アドレスを変換する場合、Cisco IP SoftPhone を正常に登録させるには、TCP ポート 2748 を PAT(インターフェイス)アドレスと同じポートにスタティックにマッピングする必要があります。CTIQBE 受信ポート(TCP 2748)は固定されていて、Cisco CallManager、Cisco IP SoftPhone、Cisco TSP のいずれにおいてもユーザによる設定はできません。
DCERPC インスペクション
DCERPC は、Microsoft 社の分散クライアント/サーバ アプリケーションで広く使われているプロトコルです。このプロトコルによって、ソフトウェア クライアントがサーバにあるプログラムをリモートで実行できるようになります。
通常、このプロトコルの接続では、クライアントが予約済みポート番号で接続を受け入れるエンドポイント マッパーというサーバに、必要なサービスについてダイナミックに割り当てられるネットワーク情報を問い合わせます。次に、クライアントは、サービスを提供しているサーバのインスタンスへのセカンダリ接続をセットアップします。セキュリティ アプライアンスは、適切なポート番号とネットワーク アドレスへのセカンダリ接続を許可し、必要に応じて Network Address Translation(NAT; ネットワーク アドレス変換)を適用します。
DCERPC インスペクション マップは、TCP の予約済みポート 135 を経由した、EPM とクライアント間のネイティブ TCP の通信を検査します。クライアント用に EPM のマッピングとルックアップがサポートされています。クライアントとサーバは、どのセキュリティ ゾーンにあってもかまいません。埋め込まれたサーバの IP アドレスとポート番号は、EPM からの応答メッセージで受け取ります。クライアントが EPM から返されたサーバのポートに対して複数の接続を試みる可能性があるので、ピンホールが複数使用でき、ユーザがそのタイムアウトを設定できるようになっています。
DNS インスペクション
この項では、DNS アプリケーション インスペクションについて説明します。この項では、次のトピックについて取り上げます。
DNS アプリケーション インスペクションの動作
セキュリティ アプライアンス で DNS 応答が転送されるとすぐに、セキュリティ アプライアンス は DNS クエリーに関連付けられた DNS セッションを切断します。セキュリティ アプライアンス はまた、メッセージ交換をモニタして DNS 応答の ID が DNS クエリーの ID と一致することを確認します。
DNS インスペクションをイネーブルにすると(デフォルト)、セキュリティ アプライアンス は次の追加のタスクを実行します。
• NAT ルールを使用して作成されたコンフィギュレーションに基づいて DNS レコードを変換します。変換は、DNS 応答の A レコードだけに適用されるため、DNS リライトによって PTR レコードを必要とする逆ルックアップが影響を受けることはありません。
(注) 1 つの A レコードには複数の PAT ルールが適用可能で、使用する PAT ルールがあいまいなため、DNS リライトは PAT には適用できません。
• 最大 DNS メッセージ長を指定します(デフォルトは 512 バイト、最大長は 65535 バイト)。セキュリティ アプライアンス は必要に応じてリアセンブリを実行し、パケット長が設定されている最大長よりも短いことを確認します。セキュリティ アプライアンス は、最大長を超えるパケットをドロップします。
• ドメイン名の長さを 255 バイトに制限し、ラベルの長さを 63 バイトに制限します。
• DNS メッセージに圧縮ポインタが出現した場合、ポインタが参照するドメイン名の整合性を確認します。
複数の DNS セッションが同じ 2 つのホスト間で発生し、それらのセッションの 5 つのタプル(送信元/宛先 IP アドレス、送信元/宛先ポート、およびプロトコル)が同じものである場合、それらのセッションに対しては接続が 1 つだけ作成されます。DNS ID は app_id で追跡され、各 app_id のアイドル タイマーは独立して実行されます。
app_id の有効期限はそれぞれ独立して満了するため、正当な DNS 応答がセキュリティ アプライアンスを通過できるのは、限られた期間内だけであり、リソースの継続使用はできません。ただし、 show conn コマンドを入力した場合、新しい DNS セッションによってリセットされている DNS 接続のアイドル タイマーが表示されます。これは共有 DNS 接続の性質によるものであり、仕様です。
DNS リライトの動作
DNS インスペクションがイネーブルであるとき、DNS リライトは、任意のインターフェイスから送信された DNS メッセージの NAT を完全にサポートします。
内部のネットワーク上のクライアントが、外部インターフェイス上の DNS サーバから送信される内部アドレスの DNS 解決を要求した場合、DNS A レコードは正しく変換されます。DNS インスペクション エンジンがディセーブルである場合、A レコードは変換されません。
DNS インスペクションがイネーブルであれば、NAT ルールを使用して DNS リライトを設定できます。
• DNS クライアントがプライベート インターフェイスにある場合、 DNS 応答 のパブリック アドレス(ルーティング可能なアドレスまたは「マッピング」アドレス)をプライベート アドレス(「実際の」アドレス)に変換します。
• DNS クライアントがパブリック インターフェイスにある場合、プライベート アドレスをパブリック アドレスに変換します。
図 24-1 では、DNS サーバは外部(ISP)ネットワークにあります。サーバの実際のアドレス(192.168.100.1)は、スタティック NAT ルールを使用して ISP が割り当てるアドレス(209.165.200.5)にマッピングされています。内部インターフェイスの Web クライアントが http://server.example.com という URL の Web サーバにアクセスしようとすると、Web クライアントが動作するホストが、Web サーバの IP アドレスの解決を求める DNS 要求を DNS サーバに送信します。セキュリティ アプライアンス は、IP ヘッダーに含まれるルーティング不可の送信元アドレスを変換し、外部インターフェイスの ISP ネットワークに要求を転送します。DNS 応答が返されると、セキュリティ アプライアンス はアドレス変換を宛先アドレスだけではなく、DNS 応答の A レコードに含まれる、埋め込まれた Web サーバの IP アドレスにも適用します。結果として、内部ネットワーク上の Web クライアントは、内部ネットワーク上の Web サーバとの接続に使用する正しいアドレスを取得します。
図 24-1 DNS 応答に含まれるアドレスの変換(DNS リライト)
DNS リライトは、DNS 要求を作成するクライアントが DMZ ネットワークにあり、DNS サーバが内部インターフェイスにある場合にも機能します。
ESMTP インスペクション
ESMTP インスペクションは、スパム、フィッシング、不正な形式のメッセージによる攻撃、バッファ オーバーフロー/アンダーフロー攻撃を検出します。また、アプリケーション セキュリティとプロトコル準拠により、正常な ESMTP メッセージだけを通し、各種の攻撃の検出や送受信者およびメール中継のブロックも行います。
FTP インスペクション
この項では、FTP インスペクション エンジンについて説明します。この項では、次のトピックについて取り上げます。
FTP インスペクションの概要
FTP アプリケーション インスペクションは、FTP セッションを検査し、次の 4 つのタスクを実行します。
FTP アプリケーション インスペクションによって、FTP データ転送用にセカンダリ チャネルが用意されます。これらのチャネルのポートは、PORT コマンドまたは PASV コマンドを使用してネゴシエートされます。セカンダリ チャネルは、ファイル アップロード、ファイル ダウンロード、またはディレクトリ リスト イベントへの応答で割り当てられます。
(注) FTP インスペクション エンジンをディセーブルにすると、発信ユーザはパッシブ モードでしか接続を開始できなくなり、着信 FTP はすべてディセーブルになります。
厳密な FTP の使用方法
strict オプションにより厳密な FTP を使用すると、Web ブラウザが FTP 要求内の埋め込みコマンドを送信できなくなるため、保護されたネットワークのセキュリティが強化されます。厳密な FTP をイネーブルにするには、[Configuration] > [Firewall] > [Service Policy Rules] > [Edit Service Policy Rule] > [Rule Actions] > [Protocol Inspection] タブで、FTP の横にある [Configure] ボタンをクリックします。
(注) セキュリティ アプライアンスの通過を禁止する FTP コマンドを指定するには、「FTP Class Map」にしたがって FTP インスペクション マップを作成します。
インターフェイスに対して Strict オプションをオンにすると、FTP インスペクションによって次の動作が適用されます。
• FTP コマンドが確認応答されてからでないと、セキュリティ アプライアンスは新しいコマンドを許可しません。
• セキュリティ アプライアンスは、埋め込みコマンドを送信する接続をドロップします。
• 227 コマンドと PORT コマンドが、エラー文字列に表示されないように確認されます。
strict オプションがイネーブルの場合、各 FTP コマンドと応答シーケンスが追跡され、次の異常なアクティビティがないか確認されます。
• 切り捨てされたコマンド:PORT コマンドおよび PASV 応答コマンドのカンマの数が 5 であるかどうかが確認されます。カンマの数が 5 でない場合は、PORT コマンドが切り捨てられていると見なされ、TCP 接続は閉じられます。
• 不正なコマンド:FTP コマンドが、RFC の要求どおりに <CR><LF> 文字で終了しているかどうか確認されます。終了していない場合は、接続が閉じられます。
• RETR コマンドと STOR コマンドのサイズ:これらが、固定の定数と比較チェックされます。サイズが定数より大きい場合は、エラー メッセージがロギングされ、接続が閉じられます。
• コマンド スプーフィング:PORT コマンドは、常にクライアントから送信されます。PORT コマンドがサーバから送信される場合、TCP 接続は拒否されます。
• 応答スプーフィング:PASV 応答コマンド(227)は、常にサーバから送信されます。PASV 応答コマンドがクライアントから送信される場合、TCP 接続は拒否されます。これにより、ユーザが「227 xxxxx a1, a2, a3, a4, p1, p2.」を実行する場合のセキュリティ ホールが予防できます。
• TCP ストリーム編集:セキュリティ アプライアンスは、TCP ストリーム編集を検出した場合に接続が閉じられます。
• 無効ポート ネゴシエーション:ネゴシエートされたダイナミック ポート値が、1024 未満であるかどうかが調べられます。1 ~ 1024 の範囲のポート番号は、予約済み接続用に指定されているため、ネゴシエートされたポートがこの範囲内であった場合、TCP 接続は解放されます。
• コマンド パイプライン:PORT コマンドと PASV 応答コマンド内のポート番号の後に続く文字数が、定数の 8 と比べられます。8 より大きい場合は、TCP 接続が閉じられます。
• セキュリティ アプライアンスは、SYST コマンドに対する FTP サーバ応答を X の連続に置き換えることで、 FTP クライアントがサーバのシステム タイプを取得できないようにします。このデフォルトの動作を無効にするには、FTP マップで Low 設定を使用します。
FTP 検査の確認とモニタリング
FTP アプリケーション インスペクションでは、次のログ メッセージが生成されます。
• An Audit record 302002 is generated for each file that is retrieved or uploaded.
• The FTP command is checked to see if it is RETR or STOR and the retrieve and store commands are logged.
• The username is obtained by looking up a table providing the IP address.
• The username, source IP address, destination IP address, NAT address, and the file operation are logged.
• Audit record 201005 is generated if the secondary dynamic channel preparation failed due to memory shortage.
NAT と連携することにより、FTP アプリケーション インスペクションでは、アプリケーション ペイロード内の IP アドレスが変換されます。これは、RFC 959 に詳細に記述されています。
GTP インスペクション
(注) GTP インスペクションには、特別なライセンスが必要です。
GPRS は、モバイル ユーザに対して、GSM ネットワークと企業ネットワークまたはインターネットとの間で中断しない接続を提供します。GGSN は、GPRS 無線データ ネットワークと他のネットワークとの間のインターフェイスです。SGSN は、モビリティ、データ セッション管理、およびデータ圧縮を実行します(図 24-2 を参照)。
UMTS は、固定回線テレフォニー、モバイル、インターネット、コンピュータ テクノロジーの商用コンバージェンスです。UTRAN は、このシステムで無線ネットワークを実装するためのネットワーキング プロトコルです。GTP を使用すると、GGSN、SGSN、および UTRAN 間の UMTS/GPRS バックボーンで、マルチプロトコル パケットをトンネリングできます。
GTP には固有のセキュリティやユーザ データの暗号化は含まれていませんが、セキュリティ アプライアンス で GTP を使用することによって、これらの危険性からネットワークを保護できます。
SGSN は、GTP を使用する GGSN に論理的に接続されます。GTP を使用すると、GSN 間の GPRS バックボーンで、マルチプロトコル パケットをトンネリングできます。GTP は、トンネル制御および管理プロトコルを提供します。このプロトコルによって、SGSN は、トンネルの作成、変更、および削除を行い、モバイル ステーションに GPRS ネットワーク アクセスを提供できます。GTP は、トンネリング メカニズムを使用して、ユーザ データ パケットを伝送するためのサービスを提供します。
(注) GTP をフェールオーバーと同時に使用しているとき、GTP 接続が確立され、データがトンネルを超えて伝送される前にアクティブ装置に障害が発生した場合、GTP データ接続(「j」フラグが設定されています)は、スタンバイ装置に複製されません。これは、アクティブ装置が初期接続をスタンバイ装置に複製しないためです。
H.323 インスペクション
この項では、H.323 アプリケーション インスペクションについて説明します。この項では、次のトピックについて取り上げます。
• 「制限事項」
H.323 インスペクションの概要
H.323 インスペクションは、Cisco CallManager や VocalTec Gatekeeper など、H.323 準拠のアプリケーションをサポートします。H.323 は、International Telecommunication Union(ITU; 国際電気通信連合)によって定義されている、LAN を介したマルチメディア会議用のプロトコル群です。セキュリティ アプライアンスは、H.323 v3 機能の同一コール シグナリング チャネルでの複数コールを含めて、H.323 を Version 4 までサポートします。
H.323 検査をイネーブルにした場合、セキュリティ アプライアンスは、H.323 Version 3 で導入された機能である同一コール シグナリング チャネルでの複数コールをサポートします。この機能によってセットアップ時間が短縮され、セキュリティ アプライアンス でのポート使用が減少します。
H.323 インスペクションの 2 つの主要機能は次のとおりです。
• H.225 と H.245 の両メッセージ内に埋め込まれている必要な IPv4 アドレスを NAT 処理します。H.323 メッセージは PER 符号化形式で符号化されているため、セキュリティ アプライアンス では ASN.1 デコーダを使用して H.323 メッセージを復号化します。
H.323 の動作
H.323 のプロトコル コレクションでは、あわせて最大 2 つの TCP 接続と 4 ~ 6 つの UDP 接続を使用できます。FastConnect は 1 つの TCP 接続だけを使用し、RAS は登録、アドミッション、およびステータス用に 1 つの UDP 接続を使用します。
H.323 クライアントは最初に、TCP ポート 1720 を使用して H.323 サーバへの TCP 接続を確立し、Q.931 コール設定を要求します。H.323 端末は、コール セットアップ プロセスの一部として、H.245 TCP 接続に使用するため、クライアントに 1 つのポート番号を供給します。H.323 ゲートキーパーが使用されている環境では、初期パケットは UDP を使用して送信されます。
H.323 インスペクションは、Q.931 TCP 接続をモニタして、H.245 ポート番号を決定します。H.323 端末が、FastConnect を使用していない場合は、セキュリティ アプライアンス が H.225 メッセージのインスペクションに基づいて、H.245 接続をダイナミックに割り当てます。
各 H.245 メッセージ内で、H.323 エンドポイントが、後続の UDP データ ストリームに使用するポート番号を交換します。H.323 インスペクションは、H.245 メッセージを調査して、ポート番号を識別し、メディア交換用の接続をダイナミックに作成します。RTP はネゴシエートされたポート番号を使用し、RTCP はその次に高いポート番号を使用します。
H.323 制御チャネルは、H.225、H.245、および H.323 RAS を処理します。H.323 インスペクションでは、次のポートが使用されます。
H.225 コール シグナリングについて、well-known の H.323 ポート 1720 のトラフィックを許可しておく必要があります。ただし、H.245 シグナリング ポートは、H.225 シグナリング内のエンドポイントの間でネゴシエートされます。H.323 ゲートキーパーが使用されると、セキュリティ アプライアンスは ACF メッセージのインスペクションに基づいて H.225 接続を開きます。
H.225 メッセージを検査した後、セキュリティ アプライアンス は H.245 チャネルを開き、H.245 チャネルで送信されるトラフィックも検査します。セキュリティ アプライアンスを通過するすべての H.245 メッセージは、H.245 アプリケーション インスペクションを受けます。このインスペクションでは、埋め込み IP アドレスが変換され、H.245 メッセージでネゴシエートされたメディア チャネルが開かれます。
H.323 ITU 規準では、メッセージ長を定義する TPKT ヘッダーが最初に送信されてから、H.225 と H.245 が信頼できる接続上を送信されることが要求されています。TPKT ヘッダーは、必ずしも H.225 メッセージや H.245 メッセージと同一の TCP パケットで送信される必要はないため、セキュリティ アプライアンス は、メッセージを正しく処理して復号化するために TPKT 長を記憶しておく必要があります。セキュリティ アプライアンスは、次のメッセージに備えて、TPKT 長が含まれるレコードを接続ごとに保持します。
セキュリティ アプライアンスでメッセージ内の IP アドレスに NAT を行う必要がある場合、チェックサム、UUIE 長、および TPKT(H.225 メッセージが入っている TCP パケットに含まれている場合)は変更されます。TPKT が別の TCP パケットで送信される場合、セキュリティ アプライアンス がその TPKT へのプロキシ ACK を実行し、新しい TPKT を新しい長さで H.245 メッセージに追加します。
(注) セキュリティ アプライアンスは、TPKT に対する ACK の代理処理では TCP オプションをサポートしていません。
H.323 インスペクションを受けるパケットが通る各 UDP 接続は、H.323 接続としてマークされ、[Configuration] > [Firewall] > [Advanced] > [Global Timeouts] ペインで設定された H.323 タイムアウト値でタイムアウトします。
制限事項
H.323 アプリケーション インスペクションの使用に関して、次の既知の問題および制限があります。
• スタティック PAT は、H.323 メッセージのオプション フィールドに埋め込まれた IP アドレスを正しく変換できないことがあります。この問題が発生した場合は、H.323 でスタティック PAT を使用しないでください。
• H.323 アプリケーション インスペクションは、同一セキュリティ レベルのインターフェイス間の NAT ではサポートされていません。
• NetMeeting クライアントが H.323 ゲートキーパーに登録し、同じく H.323 ゲートキーパーに登録されている H.323 ゲートウェイを呼び出そうとすると、接続は確立されますが、どちらの方向でも音声が聞こえません。この問題は、セキュリティ アプライアンス の問題ではありません。
• ネットワーク スタティック アドレスを設定した場合、このネットワーク スタティック アドレスが第三者のネットマスクおよびアドレスと同じであると、すべての発信 H.323 接続が失敗します。
HTTP インスペクション
HTTP インスペクション エンジンを使用して、特定の攻撃、および HTTP トラフィックに関係する可能性があるその他の脅威から保護します。HTTP インスペクションは、次のようないくつかの機能を実行します。
• N2H2 または Websense を使用する URL のスクリーニング
2 つ目と 3 つ目の機能は、フィルタ ルールと共に設定します。
拡張 HTTP インスペクション機能はアプリケーション ファイアウォールとも呼ばれ、HTTP インスペクション マップを設定すると使用できます(「HTTP Class Map」を参照)。この機能を使用すると、攻撃者が HTTP メッセージを使用してネットワーク セキュリティ ポリシーを回避することを阻止できます。この機能は、すべての HTTP メッセージについて次のことを確認します。
インスタント メッセージ インスペクション
インスタント メッセージ(IM)インスペクション エンジンを使用すると、IM アプリケーションの制御を細かく調整して、ネットワークの使用を制御し、機密情報の漏洩やワームの繁殖などの企業のネットワークへの脅威を阻止できます。
ICMP インスペクション
ICMP インスペクション エンジンを使用すると、ICMP トラフィックが「セッション」を持つようになるため、TCP トラフィックや UDP トラフィックのように検査することが可能になります。ICMP インスペクション エンジンを使用しない場合、アクセス リストで ICMP にセキュリティ アプライアンスの通過を許可しないことをお勧めします。ステートフル インスペクションを実行しないと、ICMP がネットワーク攻撃に利用される可能性があります。ICMP インスペクション エンジンは、要求ごとに応答が 1 つだけであること、シーケンス番号が正しいことを確認します。
ICMP エラー インスペクション
この機能がイネーブルの場合、セキュリティ アプライアンスは、NAT コンフィギュレーションに基づいて ICMP エラー メッセージを送信する中間ホップ用の変換セッションを作成します。セキュリティ アプライアンスは、変換後の IP アドレスでパケットを上書きします。
ディセーブルの場合、セキュリティ アプライアンスは、ICMP エラー メッセージを生成する中間ノード用の変換セッションを作成しません。内部ホストとセキュリティ アプライアンスの間にある中間ノードによって生成された ICMP エラー メッセージは、NAT リソースをそれ以上消費することなく、外部ホストに到達します。外部ホストが traceroute コマンドを使用してセキュリティ アプライアンスの内部にある宛先までのホップをトレースする場合、これは適切ではありません。セキュリティ アプライアンスが中間ホップを変換しない場合、すべての中間ホップは、マッピングされた宛先 IP アドレスとともに表示されます。
ICMP ペイロードがスキャンされて、元のパケットから 5 つのタプルが取得されます。取得した 5 つのタプルを使用してルックアップを実行し、クライアントの元のアドレスを判別します。ICMP エラー インスペクション エンジンは、ICMP パケットに対して次の変更を加えます。
• IP ヘッダー内のマッピング IP を実際の IP(宛先アドレス)に変更し、IP チェックサムを修正する。
• ICMP パケットに変更を加えたため、ICMP ヘッダー内の ICMP チェックサムを修正する。
– 元のパケットのマッピング IP を実際の IP に変更する。
ILS インスペクション
ILS インスペクション エンジンは、LDAP を使用してディレクトリ情報を ILS サーバと交換する Microsoft NetMeeting、SiteServer、および Active Directory の各製品に対して Network Address Translation(NAT; ネットワーク アドレス変換)をサポートします。
セキュリティ アプライアンス は ILS に対して NAT をサポートします。NAT は、ILS または SiteServer Directory のエンドポイントの登録および検索で使用されます。LDAP データベースには IP アドレスだけが保存されるため、Port Address Translation(PAT; ポート アドレス交換)はサポートされません。
LDAP サーバが外部にある場合、内部ピアが外部 LDAP サーバに登録された状態でローカルに通信できるように、検索応答に対して NAT を行うことを検討してください。このような検索応答では、最初に xlate が検索され、次に DNAT エントリが検索されて正しいアドレスが取得されます。これらの検索が両方とも失敗した場合、アドレスは変更されません。NAT 0(NAT なし)を使用していて、DNAT の相互作用を想定していないサイトの場合は、パフォーマンスを向上させるためにインスペクション エンジンをオフにすることをお勧めします。
ILS サーバがセキュリティ アプライアンス境界の内部にある場合は、さらに設定が必要なことがあります。この場合、外部クライアントが指定されたポート(通常は TCP 389)の LDAP サーバにアクセスするためのホールが必要となります。
ILS トラフィックはセカンダリ UDP チャネルだけで発生するため、TCP 接続は一定の間隔 TCP アクティビティがなければ切断されます。デフォルトでは、この間隔は 60 分です。この値は、[Configuration] > [Firewall] > [Advanced] > [Global Timeouts] ペインで設定できます。
ILS/LDAP はクライアント/サーバ モデルに従っており、セッションは 1 つの TCP 接続で処理されます。クライアントのアクションに応じて、このようなセッションがいくつか作成されることがあります。
接続ネゴシエーション時間中、クライアントからサーバに BIND PDU が送信されます。サーバから成功を示す BIND RESPONSE を受信すると、ILS Directory に対する操作を実行するためのその他の操作メッセージ(ADD、DEL、SEARCH、MODIFY など)が交換される場合があります。ADD REQUEST PDU および SEARCH RESPONSE PDU には、NetMeeting セッションを確立するために H.323(SETUP および CONNECT メッセージ)によって使用される、NetMeeting ピアの IP アドレスが含まれている場合があります。Microsoft NetMeeting v2.X および v3.X は、ILS をサポートしています。
• BER 復号化機能を使用して LDAP REQUEST PDU/RESPONSE PDU を復号化する。
• BER 符号化機能を使用して、変換後のアドレスが含まれる PDU を符号化する。
• 新しく符号化された PDU を元の TCP パケットにコピーする。
• 1 人のユーザが複数のディレクトリで複数の ID を持つ場合、NAT はそのユーザを認識できない。
(注) H225 コール シグナリング トラフィックはセカンダリ UDP チャネルだけで発生するため、[Configuration] > [Firewall] > [Advanced] > [Global Timeouts] ペインの TCP オプションで指定された間隔が経過すると、TCP 接続は切断されます。デフォルトで、この間隔は 60 分に設定されています。
IPSec パススルー検査
Internet Protocol Security(IPSec)は、データ ストリームの各 IP パケットを認証および暗号化することによって、IP 通信をセキュリティで保護するためのプロトコル スイートです。IPSec には、セッションの開始時、およびセッション中に使用される暗号キーのネゴシエーション時に、エージェント間の相互認証を確立するためのプロトコルも含まれています。IPSec を使用して、ホスト(コンピュータ ユーザまたはサーバなど)のペア間、セキュリティ ゲートウェイ(ルータやファイアウォールなど)のペア間、またはセキュリティ ゲートウェイとホスト間のデータ フローを保護できます。
IPSec パススルー アプリケーション インスペクションは、IKE UDP ポート 500 接続に関連付けられた ESP(IP プロトコル 50)および AH(IP プロトコル 51)トラフィックを簡単に横断できます。このインスペクションは、冗長なアクセス リスト コンフィギュレーションを回避して ESP および AH トラフィックを許可し、タイムアウトと最大接続数を使用してセキュリティも確保します。
検査用パラメータの定義に使用する特定のマップを識別するには、IPSec パススルー検査パラメータを指定します。所定の IPSec パススルー検査のポリシーマップを設定し、パラメータ コンフィギュレーションにアクセスします。このコンフィギュレーションでは、ESP または AH トラフィックの制限を指定できます。パラメータ コンフィギュレーションでは、クライアントあたりの最大接続数と、アイドル タイムアウトを設定できます。
MGCP インスペクション
MGCP は、メディア ゲートウェイ コントローラまたはコール エージェントと呼ばれる外部のコール制御要素からメディア ゲートウェイを制御するために使用するマスター/スレーブ プロトコルです。メディア ゲートウェイは一般に、電話回線を通じた音声信号と、インターネットまたは他のパケット ネットワークを通じたデータ パケットとの間の変換を行うネットワーク要素です。NAT および PAT を MGCP とともに使用すると、限られた外部(グローバル)アドレスのセットで、内部ネットワークの多数のデバイスをサポートできます。メディア ゲートウェイの例は次のとおりです。
• トランキング ゲートウェイ。電話ネットワークと Voice over IP ネットワークとの間のインターフェイスです。このようなゲートウェイは通常、大量のデジタル回線を管理します。
• 住宅用ゲートウェイ。従来のアナログ(RJ11)インターフェイスを Voice over IP ネットワークに提供します。住宅用ゲートウェイの例としては、ケーブル モデムやケーブル セットトップ ボックス、xDSL デバイス、ブロードバンド ワイヤレス デバイスなどがあります。
• ビジネス ゲートウェイ。従来のデジタル PBX(構内交換機)インターフェイスまたは統合 soft PBX インターフェイスを Voice over IP ネットワークに提供します。
MGCP メッセージは UDP を介して送信されます。応答はコマンドの送信元アドレス(IP アドレスと UDP ポート番号)に返送されますが、コマンド送信先と同じアドレスからの応答は到達しない場合があります。これは、複数のコール エージェントがフェールオーバー コンフィギュレーションで使用されているときに、コマンドを受信したコール エージェントが制御をバックアップ コール エージェントに引き渡し、バックアップ コール エージェントが応答を送信する場合に起こる可能性があります。図 24-3 に、MGCP でどのように NAT が使用されるかを示します。
MGCP エンドポイントは、物理または仮想のデータ送信元および宛先です。メディア ゲートウェイには、他のマルチメディア エンドポイントとのメディア セッションを確立して制御するために、コール エージェントが接続を作成、変更、および削除できるエンドポイントが含まれています。また、コール エージェントは、特定のイベントを検出してシグナルを生成するようにエンドポイントに指示できます。エンドポイントは、サービス状態の変化を自動的にコール エージェントに伝達します。
MGCP トランザクションは、コマンドと必須応答で構成されます。次の 8 種類のコマンドがあります。
最初の 4 つのコマンドは、コール エージェントからゲートウェイに送信されます。Notify コマンドは、ゲートウェイからコール エージェントに送信されます。ゲートウェイは、DeleteConnection を送信することもあります。MGCP ゲートウェイをコール エージェントに登録するには、RestartInProgress コマンドを使用します。AuditEndpoint コマンドおよび AuditConnection コマンドは、コール エージェントからゲートウェイに送信されます。
すべてのコマンドは、コマンド ヘッダーと、その後ろに続くオプションのセッション記述で構成されます。すべての応答は、応答ヘッダーと、その後ろに続くオプションのセッション記述で構成されます。
• ゲートウェイがコール エージェントからのコマンドを受信するポート。通常、ゲートウェイは UDP ポート 2427 を受信します。
• コール エージェントがゲートウェイからのコマンドを受信するポート。通常、コール エージェントは UDP ポート 2727 を受信します。
(注) MGCP インスペクションでは、MGCP シグナリングと RTP データで異なる IP アドレスを使用することはサポートされていません。一般的かつ推奨される方法は、ループバック IP アドレスや仮想 IP アドレスなどの復元力のある IP アドレスから RTP データを送信することです。ただし、セキュリティ アプライアンス は、MGCP シグナリングと同じアドレスから RTP データを受信する必要があります。
NETBIOS インスペクション
NETBIOS インスペクションはデフォルトでイネーブルになっています。NetBios インスペクション エンジンは、セキュリティ アプライアンスの NAT コンフィギュレーションに基づいて、NetBios Name Service(NBNS; NetBios ネーム サービス)パケット内の IP アドレスを変換します。
PPTP インスペクション
PPTP は、PPP トラフィックのトンネリングに使用されるプロトコルです。PPTP セッションは、1 つの TCP チャネルと通常 2 つの PPTP GRE トンネルで構成されます。TCP チャネルは、PPTP GRE トンネルのネゴシエートと管理に使用される制御チャネルです。GRE トンネルは、2 つのホスト間の PPP セッションを伝送します。
PPTP アプリケーション インスペクションは、イネーブルになると、PPTP プロトコル パケットを検査し、PPTP トラフィックを許可するために必要な GRE 接続と xlate をダイナミックに作成します。RFC 2637 で定義されているバージョン 1 だけがサポートされます。
PAT は、PPTP TCP 制御チャネル上で修正バージョンの GRE(RFC 2637)がネゴシエートされたときに、その GRE に対してだけ実行されます。PAT は、未修正バージョンの GRE(RFC 1701、RFC 1702)には実行されません。
具体的には、 セキュリティ アプライアンス は、PPTP のバージョン通知と発信コールの要求/応答シーケンスを検査します。RFC 2637 で定義されている PPTP バージョン 1 だけが検査されます。どちらかの側から通知されたバージョンがバージョン 1 でない場合、TCP 制御チャネルでのそれ以降のインスペクションはディセーブルになります。また、発信コールの要求と応答のシーケンスは追跡されます。接続と xlate は、後続のセカンダリ GRE データ トラフィックを許可するために、必要に応じてダイナミックに割り当てられます。
PPTP インスペクション エンジンは、PPTP トラフィックを PAT で変換できるように、イネーブルにする必要があります。また、PAT は、PPTP TCP 制御チャネルで修正バージョンの GRE(RFC 2637)がネゴシエートされた場合に限り、その GRE に対してだけ実行されます。PAT は、未修正バージョンの GRE(RFC 1701、RFC 1702)には実行されません。
RFC 2637 で定義されているように、PPTP プロトコルは、主に、モデム バンク PPTP Access Concentrator(PAC; PPTP アクセス コンセントレータ)から開始されたヘッドエンド PPTP Network Server(PNS; PPTP ネットワーク サーバ)への PPP セッションのトンネリングに使用されます。このように使用された場合、PAC がリモート クライアントで PNS がサーバです。
ただし、Windows によって VPN で使用された場合、この関係は逆になります。PNS は、中央のネットワークにアクセスするためにヘッドエンド PAC への接続を開始するリモートのシングル ユーザ PC です。
RADIUS アカウンティング インスペクション
RADIUS アカウンティング インスペクションの詳細については、「Select RADIUS Accounting Map」を参照してください。
RSH インスペクション
RSH インスペクションはデフォルトでイネーブルになっています。RSH プロトコルは、TCP ポート 514 で RSH クライアントから RSH サーバへの TCP 接続を使用します。クライアントとサーバは、クライアントが STDERR 出力ストリームを受信する TCP ポート番号をネゴシエートします。RSH インスペクションは、必要に応じて、ネゴシエートされたポート番号の NAT をサポートします。
RTSP インスペクション
この項では、RTSP アプリケーション インスペクションについて説明します。この項では、次のトピックについて取り上げます。
• 「制限事項」
RTSP インスペクションの概要
RTSP インスペクション エンジンを使用することにより、セキュリティ アプライアンスは RTSP パケットを通過させることができます。RTSP は、RealAudio、RealNetworks、Apple QuickTime 4、RealPlayer、および Cisco IP/TV 接続によって使用されます。
(注) Cisco IP/TV では、RTSP TCP ポート 554 と TCP 8554 を使用します。
RTSP アプリケーションは、制御チャネルとしての TCP(例外的に UDP)とともに予約済みポート 554 を使用します。セキュリティ アプライアンスは、RFC 2326 に準拠して、TCP だけをサポートします。この TCP 制御チャネルは、クライアント上で設定されているトランスポート モードに応じて、音声/ビデオ トラフィックの送信に使用されるデータ チャネルのネゴシエーションに使用されます。
サポートされている RDT トランスポートは、rtp/avp、rtp/avp/udp、x-real-rdt、x-real-rdt/udp、x-pn-tng/udp です。
セキュリティ アプライアンスは、ステータス コード 200 の SETUP 応答メッセージを解析します。SETUP 応答メッセージが、着信方向に移動している場合は、サーバは セキュリティ アプライアンス との相対位置関係で外部に存在することになるため、サーバから着信する接続に対してダイナミック チャネルを開くことが必要になります。この応答メッセージが発信方向である場合、セキュリティ アプライアンス は、ダイナミック チャネルを開く必要はありません。
RFC 2326 では、クライアント ポートとサーバ ポートが、SETUP 応答メッセージ内に含まれていることは必要でないため、セキュリティ アプライアンス では、状態を維持し、SETUP メッセージ内のクライアント ポートを記憶します。QuickTime が、SETUP メッセージ内にクライアント ポートを設定すると、サーバは、サーバ ポートだけで応答します。
RTSP インスペクションは、PAT またはデュアル NAT をサポートしていません。また、セキュリティ アプライアンスは、RTSP メッセージが HTTP メッセージ内に隠される HTTP クローキングを認識できません。
RealPlayer の使用方法
RealPlayer を使用するときは、転送モードを正しく設定することが重要です。セキュリティ アプライアンスの場合、サーバからクライアントに、またはその逆にアクセス ルールを追加します。RealPlayer の場合、[Options] > [Preferences] > [Transport] > [RTSP] [Settings] をクリックして転送モードを変更します。
RealPlayer で TCP モードを使用する場合は、[Use TCP to Connect to Server] チェックボックスおよび [Attempt to use TCP for all content] チェックボックスをオンにします。セキュリティ アプライアンス で、インスペクション エンジンを設定する必要はありません。
RealPlayer で UDP モードを使用する場合、[Use TCP to Connect to Server] および [Attempt to use UDP for static content] チェックボックスをオンにします。 マルチキャストでの使用ができないライブ コンテンツについては、 セキュリティ アプライアンス で、 inspect rtsp port コマンドを追加します。
制限事項
• セキュリティ アプライアンス は、マルチキャスト RTSP または UDP による RTSP メッセージをサポートしません。
• セキュリティ アプライアンス には、RTSP メッセージが HTTP メッセージ内に隠されている HTTP クローキングを認識する機能はありません。
• 埋め込み IP アドレスが HTTP メッセージまたは RTSP メッセージの一部として SDP ファイル内に含まれているため、セキュリティ アプライアンスは、RTSP メッセージに NAT を実行できません。パケットはフラグメント化する可能性があり、セキュリティ アプライアンスはフラグメント化されたパケットに対して NAT を実行できません。
• Cisco IP/TV では、メッセージの SDP 部分に対してセキュリティ アプライアンスが実行する変換の数は、Content Manager にあるプログラム リストの数に比例します(各プログラム リストには、少なくとも 6 個の埋め込み IP アドレスを含めることができます)。
• Apple QuickTime 4 または RealPlayer 用の NAT を設定できます。Cisco IP/TV は、ビューアと Content Manager が外部ネットワークにあり、サーバが内部ネットワークにあるときにだけ NAT を使用できます。
SIP インスペクション
この項では、SIP アプリケーション インスペクションについて説明します。この項では、次のトピックについて取り上げます。
SIP インスペクションの概要
IETF で定義されている SIP により、特に 2 者間の音声会議などのコール処理セッションまたは「コール」が使用可能になります。SIP は、コール シグナリング用の SDP で動作します。SDP は、メディア ストリーム用のポートを指定します。SIP を使用することにより、セキュリティ アプライアンス は SIP VoIP ゲートウェイおよび VoIP プロキシ サーバをサポートできます。SIP と SDP の定義は、次の RFC に記載されています。
• SIP:Session Initiation Protocol、RFC 2543
• SDP:Session Description Protocol、RFC 2327
セキュリティ アプライアンス経由の SIP コールをサポートする場合は、シグナリング メッセージは予約済みの宛先ポート(UDP/TCP 5060)経由で送信され、メディア ストリームはダイナミックに割り当てられるため、メディア接続アドレスのシグナリング メッセージ、メディア ポート、およびメディアの初期接続を検査する必要があります。また、SIP は、IP パケットのユーザデータ部分に IP アドレスを埋め込みます。SIP インスペクションは、それらの埋め込まれた IP アドレスに NAT を適用します。
PAT を SIP で使用する場合、次の制限事項が適用されます。
• セキュリティ アプライアンスで保護されているネットワークの SIP プロキシにリモート エンドポイントを登録しようとすると、次のような一定の条件下で登録が失敗します。
– エンドポイントからプロキシ サーバに送信された REGISTER メッセージの接続先フィールドにポートが設定されていない。
• SDP 部分の所有者/作成者フィールド(o=)の IP アドレスが接続フィールド(c=)の IP アドレスと異なるパケットを SIP デバイスが送信すると、o= フィールドの IP アドレスが正しく変換されない場合があります。これは、o= フィールドでポート値を提供しない SIP プロトコルの制限によるものです。
SIP インスタント メッセージ
インスタント メッセージとは、ほぼリアルタイムにユーザ間でメッセージを転送することです。SIP は、Windows Messenger RTC Client バージョン 4.7.0105 を使用する Windows XP のチャット機能のみをサポートします。次の RFC で定義されているように、MESSAGE/INFO 方式および 202 Accept 応答を使用して IM をサポートします。
• Session Initiation Protocol(SIP)Specific Event Notification、RFC 3265
• Session Initiation Protocol(SIP)Extension for Instant Messaging、RFC 3428
MESSAGE/INFO 要求は、登録または加入の後、任意の時点で着信する可能性があります。たとえば、2 人のユーザはいつでもオンラインになる可能性がありますが、何時間もチャットをすることはありません。そのため、SIP インスペクション エンジンは、設定されている SIP タイムアウト値に従ってタイムアウトするピンホールを開きます。この値は、登録継続時間よりも 5 分以上長く設定する必要があります。登録継続時間は Contact Expires 値で定義し、通常 30 分です。
MESSAGE/INFO 要求は、通常、ポート 5060 以外の動的に割り当てられたポートを使用して送信されるため、SIP インスペクション エンジンを通過する必要があります。
(注) 現在は、チャット機能のみがサポートされています。ホワイトボード、ファイル転送、アプリケーション共有はサポートされていません。RTC Client 5.0 はサポートされていません。
SIP インスペクションは、テキストベースの SIP メッセージを変換し、メッセージの SDP 部分の内容長を再計算した後、パケット長とチェックサムを再計算します。また、エンドポイントが受信すべきアドレスまたはポートとして、SIP メッセージの SDP 部分に指定されたポートに対するメディア接続をダイナミックに開きます。
SIP インスペクションでは、SIP ペイロードから取得したインデックス CALL_ID/FROM/TO を持つデータベースが使用されます。これらのインデックスにより、コール、送信元、宛先が識別されます。このデータベースには、SDP のメディア情報フィールド内で見つかったメディア アドレスとメディア ポート、およびメディア タイプが格納されます。1 つのセッションに対して、複数のメディア アドレスとポートが存在することが可能です。セキュリティ アプライアンスは、これらのメディア アドレス/ポートを使用して、2 つのエンドポイント間に RTP/RTCP 接続を開きます。
初期コール セットアップ(INVITE)メッセージでは、予約済みポート 5060 を使用する必要があります。ただし、後続のメッセージにはこのポート番号がない場合もあります。SIP インスペクション エンジンはシグナリング接続のピンホールを開き、それらの接続を SIP 接続としてマークします。これは、SIP アプリケーションに到達した変換対象のメッセージに対して行われます。
コールのセットアップ時に、SIP セッションは、着信側エンドポイントから応答メッセージでメディア アドレスとメディア ポートを受信し、着信側エンドポイントがどの RTP ポートで受信するかを知らされるまで「一時的な」状態にあります。1 分以内に、応答メッセージの受信に障害があった場合は、シグナリング接続は切断されます。
最終的なハンドシェイクが行われると、コール状態はアクティブに移行し、シグナリング接続は、BYE メッセージの受信まで継続されます。
内部エンドポイントが、外部エンドポイントに発呼した場合、メディア ホールが、外部インターフェイスに対して開き、内部エンドポイントから送信された INVITE メッセージで指定された内部エンドポイントのメディア アドレスとメディア ポートに、RTP/RTCP UDP パケットが流れることが許可されます。内部インターフェイスに対する要求外の RTP/RTCP UDP パケットは、セキュリティ アプライアンス のコンフィギュレーションで特別に許可されない限り、セキュリティ アプライアンス を通過できません。
Skinny(SCCP)インスペクション
この項では、SCCP アプリケーション インスペクションについて説明します。この項では、次のトピックについて取り上げます。
• 「制限事項」
SCCP インスペクションの概要
Skinny(SCCP)は、VoIP ネットワークで使用される簡易プロトコルです。SCCP を使用する Cisco IP Phone は、H.323 環境でも使用できます。Cisco CallManager と併用すると、SCCP クライアントは、H.323 準拠端末と同時使用できます。セキュリティ アプライアンスのアプリケーション層機能は、SCCP バージョン 3.3 を認識します。SCCP プロトコルには、2.4、3.0.4、3.1.1、3.2、3.3.2 の 5 つのバージョンがあります。セキュリティ アプライアンスでは、バージョン 3.3.2 までのすべてのバージョンをサポートしています。
セキュリティ アプライアンスは、SCCP に対して PAT と NAT をサポートします。IP 電話で使用できるグローバル IP アドレスよりも IP 電話が多い場合は、PAT が必要です。Skinny アプリケーション インスペクションは、SCCP シグナリング パケットの NAT と PAT をサポートすることで、すべての SCCP シグナリング パケットとメディア パケットが セキュリティ アプライアンス を通過できるようにします。
Cisco CallManager と Cisco IP Phones 間の通常のトラフィックは SCCP を使用しており、特別な設定をしなくても SCCP インスペクションによって処理されます。セキュリティ アプライアンスは、TFTP サーバの場所を Cisco IP Phone とその他の DHCP クライアントに送信することで、DHCP オプション 150 および 66 もサポートします。Cisco IP Phone では、デフォルト ルートを設定する DHCP オプション 3 を要求に含めることもできます。
Cisco IP Phone のサポート
Cisco CallManager が Cisco IP Phone と比べてセキュリティの高いインターフェイスにあるトポロジでは、NAT が Cisco CallManager の IP アドレスに必要な場合、マッピングはスタティックである必要があります。これは、Cisco IP Phone では Cisco CallManager の IP アドレスをコンフィギュレーションで明示的に指定する必要があるためです。スタティック アイデンティティ エントリを使用すると、セキュリティが高いインターフェイス上にある Cisco CallManager が Cisco IP Phone からの登録を受け付けるようにできます。
Cisco IP Phone では、TFTP サーバにアクセスして、Cisco CallManager サーバに接続するために必要な設定情報をダウンロードする必要があります。
TFTP サーバと比較して Cisco IP Phone の方がセキュリティの低いインターフェイス上にある場合は、アクセス リストを使用して UDP ポート 69 の保護された TFTP サーバに接続する必要があります。TFTP サーバに対してはスタティック エントリが必要ですが、識別スタティック エントリにする必要はありません。NAT を使用する場合、識別スタティック エントリは同じ IP アドレスにマッピングされます。PAT を使用する場合は、同じ IP アドレスとポートにマッピングされます。
Cisco IP Phone が TFTP サーバおよび Cisco CallManager と比べてセキュリティの高いインターフェイス上にある場合、Cisco IP Phone が接続を開始できるようにするために、アクセス リストやスタティック エントリは必要ありません。
制限事項
SCCP に対する現在のバージョンの PAT および NAT サポートに適用される制限は、次のとおりです。
• PAT は、alias コマンドを含むコンフィギュレーションでは動作しません。
• 外部 NAT および PAT はサポート されません 。
内部の Cisco CallManager のアドレスが NAT または PAT 用に別の IP アドレスかポートを設定している場合、セキュリティ アプライアンスは現在のところ TFTP を経由して転送するファイルの内容に対して NAT または PAT をサポートしていないため、外部の Cisco IP Phone 用の登録は失敗します。セキュリティ アプライアンスは TFTP メッセージの NAT をサポートし、TFTP ファイル用にピンホールを開きますが、セキュリティ アプライアンス は電話の登録中に TFTP によって転送された Cisco IP Phone のコンフィギュレーション ファイルに埋め込まれた Cisco CallManager の IP アドレスとポートを変換することはできません。
(注) セキュリティ アプライアンスは、コール セットアップ中のコールを除き、SCCP コールのステートフル フェールオーバーをサポートします。
SMTP および拡張 SMTP インスペクション
ESMTP アプリケーション インスペクションを使用すると、セキュリティ アプライアンスを通過できる SMTP コマンドの種類を制限し、モニタ機能を追加することによって、SMTP ベースの攻撃からより強固に保護できます。
ESMTP は SMTP プロトコルの拡張で、ほとんどの観点で SMTP に似ています。便宜上、このマニュアルでは、SMTP という用語を SMTP と ESMTP の両方に使用します。拡張 SMTP に対するアプリケーション インスペクション処理は、SMTP アプリケーション インスペクションに似ており、SMTP セッションのサポートが含まれています。拡張 SMTP セッションで使用するほとんどのコマンドは、SMTP セッションで使用するコマンドと同じですが、ESMTP セッションの方が大幅に高速で、配信ステータス通知など信頼性およびセキュリティに関するオプションが増えています。
拡張 SMTP アプリケーション インスペクションでは、AUTH、EHLO、ETRN、HELP、SAML、SEND、SOML、VRFY の 8 つの拡張 SMTP コマンドのサポートが追加されます。セキュリティ アプライアンスは、7 つの RFC 821 コマンド(DATA、HELO、MAIL、NOOP、QUIT、RCPT、RSET)をサポートするとともに、合計 15 の SMTP コマンドをサポートします。
他の拡張 SMTP コマンド(ATRN、STARTLS、ONEX、VERB、CHUNKING など)やプライベート拡張はサポートされていません。サポートされないコマンドは、内部サーバにより拒否される X に変換されます。この結果は、「500 Command unknown: 'XXX'」のようなメッセージで表示されます。不完全なコマンドは、廃棄されます。
ESMTP インスペクション エンジンは、「2」、「0」、「0」を除いて、サーバ SMTP バナー内の文字をアスタリスクに変更します。Carriage Return(CR; 復帰)、および Linefeed(LF; 改行)は無視されます。
SMTP インスペクションをイネーブルにする場合、次のルールに従わないと、対話型の SMTP に使用する Telnet セッションが停止することがあります。SMTP コマンドの長さは 4 文字以上にする必要があります。復帰と改行で終了する必要があります。次の応答を発行する前に現在の応答を待機する必要があります。
SMTP サーバは、数値の応答コード、およびオプションの可読文字列でクライアント要求に応答します。SMTP アプリケーション インスペクションは、ユーザが使用できるコマンドとサーバが返送するメッセージを制御し、その数を減らします。SMTP インスペクションは、次の 3 つの主要なタスクを実行します。
• SMTP 要求を 7 つの基本 SMTP コマンドと 8 つの拡張コマンドに制限します。
• 監査証跡の生成:メール アドレス内に埋め込まれている無効な文字が置き換えられたときに、監査レコード 108002 を生成します。詳細については、RFC 821 を参照してください。
SMTP インスペクションでは、次の異常な署名がないかどうか、コマンドと応答のシーケンスをモニタします。
• 不正なコマンド終端(<CR><LR> で終了していない)
• MAIL コマンドと RCPT コマンドでは、メールの送信者と受信者が指定されます。異常な文字がないか、メール アドレスがスキャンされます。パイプ(|)が削除(空白スペースに変更)され、「<」および「>」については、メール アドレスの定義に使用される場合だけ許可されます(「<」の後には、必ず「>」が使用されている必要があります)。
• 未知のコマンドに対しては、セキュリティ アプライアンスはパケット内のすべての文字を X に変更します。この場合、サーバがクライアントに対してエラー コードを生成します。パケット内が変更されているため、TCP チェックサムは、再計算または調節する必要があります。
SNMP Inspection
SNMP アプリケーション インスペクションでは、SNMP トラフィックを特定のバージョンの SNMP に制限できます。以前のバージョンの SNMP は安全性が低いため、セキュリティ ポリシーを使用して特定の SNMP バージョンを拒否する必要が生じる場合もあります。セキュリティ アプライアンスは、SNMP バージョン 1、2、2c、または 3 を拒否できます。許可するバージョンは、SNMP マップを作成して制御します。
SQL*Net インスペクション
SQL*Net インスペクションはデフォルトでイネーブルになっています。
SQL*Net プロトコルは、さまざまなパケット タイプで構成されています。セキュリティ アプライアンスはこれらのパケットを処理して、セキュリティ アプライアンス のどちらの側の Oracle アプリケーションにも一貫性のあるデータ ストリームが表示されるようにします。
SQL*Net のデフォルトのポート割り当ては 1521 です。これは、Oracle が SQL*Net 用に使用している値ですが、Structured Query Language(SQL; 構造化照会言語)の IANA ポート割り当てとは一致しません。SQL*Net インスペクションを一連のポート番号に適用するには、 class-map コマンドを使用します。
セキュリティ アプライアンスは、すべてのアドレスを変換し、パケットを調べて、SQL*Net バージョン 1 用に開くすべての埋め込みポートを見つけます。
SQL*Net バージョン 2 の場合、データ長ゼロの REDIRECT パケットの直後に続くすべての DATA パケットまたは REDIRECT パケットはフィックスアップされます。
フィックスアップが必要なパケットには、埋め込みホスト アドレスおよびポート アドレスが次の形式で含まれています。
SQL*Net バージョン 2 の各 TNSFrame タイプ(Connect、Accept、Refuse、Resend、Marker)は、NAT 対象のアドレスがあるかどうかがスキャンされません。また、インスペクションがパケット内に埋め込まれたポートにダイナミック接続を開くこともありません。
SQL*Net バージョン 2 の TNSFrame、Redirect パケット、および Data パケットは、ペイロードのデータ長がゼロの REDIRECT TNSFrame タイプの後に続く場合、開くポートおよび NAT 対象のアドレスがあるかどうかスキャンされます。データ長ゼロの Redirect メッセージが セキュリティ アプライアンス を通過すると、後に続く Data メッセージまたは Redirect メッセージは変換対象であり、ポートはダイナミックに開かれると想定するフラグが、接続データ構造に設定されます。先行するパラグラフの TNS フレームのいずれかが Redirect メッセージの後に到着した場合、フラグはリセットされます。
SQL*Net インスペクション エンジンは、チェックサムを再計算し、IP および TCP の長さを変更し、新旧のメッセージの長さの差を使用してシーケンス番号と確認応答番号を再調整します。
SQL*Net バージョン 1 では、その他のすべての場合を想定しています。TNSFrame タイプ(Connect、Accept、Refuse、Resend、Marker、Redirect、Data)とすべてのパケットは、ポートおよびアドレスがあるかどうかスキャンされます。アドレスが変換され、ポート接続が開かれます。
Sun RPC インスペクション
この項では、Sun RPC アプリケーション インスペクションについて説明します。この項では、次のトピックについて取り上げます。
Sun RPC インスペクションの概要
Sun RPC インスペクション エンジンは、Sun RPC プロトコルのアプリケーション インスペクションをイネーブルまたはディセーブルにします。Sun RPC は、NFS および NIS で使用されます。Sun RPC サービスはどのポート上でも実行できます。サーバ上の Sun RPC サービスにアクセスしようとするクライアントは、そのサービスが実行されているポートを知る必要があります。そのためには、予約済みポート 111 でポート マッパー プロセス(通常は rpcbind)に照会します。
クライアントがサービスの Sun RPC プログラム番号を送信すると、ポート マッパー プロセスはサービスのポート番号を応答します。クライアントは、ポート マッパー プロセスによって特定されたポートを指定して、Sun RPC クエリーをサーバに送信します。サーバが応答すると、セキュリティ アプライアンス はこのパケットを代行受信し、そのポートで TCP と UDP の両方の初期接続を開きます。
(注) Sun RPC ペイロード情報の NAT または PAT はサポートされていません。
SUNRPC Server
[Configuration] > [Firewall] > [Advanced] > [SUNRPC Server] ペインには、セキュリティ アプライアンスを通過できる SunRPC サービスと、その固有のタイムアウト値がサーバ単位で表示されます。
• [Interface]:SunRPC サーバが常駐するインターフェイスを表示します。
• [IP address]:SunRPC サーバの IP アドレスを表示します。
• [Mask]:SunRPC サーバの IP アドレスのサブネット マスクを表示します。
• [Service ID]:セキュリティ アプライアンスを通過することを許可する、SunRPC プログラム番号、またはサービス ID を表示します。
• [Protocol]:SunRPC 転送プロトコル(TCP または UDP)を表示します。
• [Port]:SunRPC プロトコルのポート範囲を表示します。
• [Timeout]:SunRPC サービス トラフィックへのアクセスが閉じられるまでのアイドル時間を表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit SUNRPC Service
[Configuration] > [Firewall] > [Advanced] > [SUNRPC Server] > [Add/Edit SUNRPC Service] ダイアログボックスでは、セキュリティ アプライアンス を通過することを許可する SunRPC サービス、およびそれらの固有タイムアウトをサーバ単位で指定できます。
• [Interface Name]:SunRPC サーバが常駐するインターフェイスを指定します。
• [Protocol]:SunRPC 転送プロトコル(TCP または UDP)を指定します。
• [IP address]:SunRPC サーバの IP アドレスを指定します。
• [Port]:SunRPC プロトコルのポート範囲を指定します。
• [Mask]:SunRPC サーバの IP アドレスのサブネット マスクを指定します。
• [Timeout]:SunRPC サービス トラフィックへのアクセスが閉じられるまでのアイドル時間を指定します。形式は、HH:MM:SS です。
• [Service ID]:セキュリティ アプライアンスを通過することを許可する、SunRPC プログラム番号、またはサービス ID を指定します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
TFTP インスペクション
TFTP インスペクションはデフォルトでイネーブルになっています。
TFTP は、RFC 1350 に記述されているように、TFTP サーバとクライアントの間のファイルの読み書きを行うための簡易プロトコルです。
セキュリティ アプライアンスは、TFTP トラフィックを検査し、必要に応じてダイナミックに接続と変換を作成し、TFTP クライアントとサーバの間のファイル転送を許可します。具体的には、インスペクション エンジンは TFTP Read Request(RRQ; 読み取り要求)、Write Request(WRQ; 書き込み要求)、およびエラー通知(ERROR)を検査します。
有効な読み取り要求(RRQ)または書き込み要求(WRQ)を受信すると、必要に応じて、ダイナミックなセカンダリ チャネルと PAT 変換が割り当てられます。このセカンダリ チャネルは、これ以降 TFTP によってファイル転送またはエラー通知用に使用されます。
TFTP サーバだけがセカンダリ チャネル経由のトラフィックを開始できます。また、TFTP クライアントとサーバの間に存在できる不完全なセカンダリ チャネルは 1 つまでです。サーバからのエラー通知があると、セカンダリ チャネルは閉じます。
TFTP トラフィックのリダイレクトにスタティック PAT が使用されている場合は、TFTP インスペクションをイネーブルにする必要があります。
XDMCP インスペクション
XDMCP インスペクションはデフォルトでイネーブルになっていますが、XDMCP インスペクション エンジンは、 established コマンドが適切に構成されていないと使用できません。
XDMCP は、UDP ポート 177 を使用して X セッションをネゴシエートするプロトコルです。X セッションは確立時に TCP を使用します。
XWindows セッションを正常にネゴシエートして開始するために、セキュリティ アプライアンスは、Xhosted コンピュータからの TCP 戻り接続を許可する必要があります。戻り接続を許可するには、セキュリティ アプライアンスで established コマンドを使用します。XDMCP がディスプレイを送信するポートをネゴシエートすると、 established コマンドが参照され、この戻り接続を許可すべきかどうかが確認されます。
XWindows セッション中、マネージャは予約済みポート 6000 | n 上でディスプレイ Xserver と通信します。次の端末設定を行うと、各ディスプレイは別々に Xserver と接続します。
XDMCP が使用されている場合、ディスプレイは IP アドレスを使用してネゴシエートされます。IP アドレスは、セキュリティ アプライアンスが必要に応じて NAT を行うことができます。XDCMP インスペクションでは、PAT はサポートされません。
サービス ポリシーのフィールドの説明
この項では、各プロトコル インスペクション ダイアログボックスのフィールドについて説明します。次の項目を取り上げます。
• 「[Rule Actions] > [Protocol Inspection] タブ」
• 「Select IPSec-Pass-Thru Map」
[Rule Actions] > [Protocol Inspection] タブ
• [CTIQBE]:CTIQBE プロトコルでのアプリケーション インスペクションをイネーブルにします。
• [DCERPC]:DCERPC プロトコルでのアプリケーション インスペクションをイネーブルにします。
– [Configure]:[Select DCERPC Map] ダイアログボックスを表示します。このダイアログボックスでは、このプロトコルで使用するマップ名を選択できます。
• [DNS]:DNS プロトコルでのアプリケーション インスペクションをイネーブルにします。
– [Configure]:[Select DNS Map] ダイアログボックスを表示します。このダイアログボックスでは、このプロトコルで使用するマップ名を選択できます。
• [ESMTP]:ESMTP プロトコルでのアプリケーション インスペクションをイネーブルにします。
– [Configure]:[Select ESMTP Map] ダイアログボックスを表示します。このダイアログボックスでは、このプロトコルで使用するマップ名を選択できます。
• [FTP]:FTP プロトコルでのアプリケーション インスペクションをイネーブルにします。
– [Configure]:[Select FTP Map] ダイアログボックスを表示します。このダイアログボックスでは、このプロトコルで使用するマップ名を選択できます。
• [GTP]:GTP プロトコルでのアプリケーション インスペクションをイネーブルにします。
– [Configure]:[Select GTP Map] ダイアログボックスを表示します。このダイアログボックスでは、このプロトコルで使用するマップ名を選択できます。
(注) GTP インスペクションには、特別なライセンスが必要です。
• [H323 H225]:H323 H225 プロトコルでのアプリケーション インスペクションをイネーブルにします。
– [Configure]:[Select H323 H225 Map] ダイアログボックスを表示します。このダイアログボックスでは、このプロトコルで使用するマップ名を選択できます。
• [H323 RAS]:H323 RAS プロトコルでのアプリケーション インスペクションをイネーブルにします。
– [Configure]:[Select H323 RAS Map] ダイアログボックスを表示します。このダイアログボックスでは、このプロトコルで使用するマップ名を選択できます。
• [HTTP]:HTTP プロトコルでのアプリケーション インスペクションをイネーブルにします。
– [Configure]:[Select HTTP Map] ダイアログボックスを表示します。このダイアログボックスでは、このプロトコルで使用するマップ名を選択できます。
• [ICMP]:ICMP プロトコルでのアプリケーション インスペクションをイネーブルにします。
• [ICMP Error]:ICMP Error プロトコルでのアプリケーション インスペクションをイネーブルにします。
• [ILS]:ILS プロトコルでのアプリケーション インスペクションをイネーブルにします。
• [IM]:IM プロトコルでのアプリケーション インスペクションをイネーブルにします。
– [Configure]:[Select IM Map] ダイアログボックスを表示します。このダイアログボックスでは、このプロトコルで使用するマップ名を選択できます。
• [IPSec-Pass-Thru]:IPSec プロトコルでのアプリケーション インスペクションをイネーブルにします。
– [Configure]:[Select IPSec Map] ダイアログボックスを表示します。このダイアログボックスでは、このプロトコルで使用するマップ名を選択できます。
• [MGCP]:MGCP プロトコルでのアプリケーション インスペクションをイネーブルにします。
– [Configure]:[Select MGCP Map] ダイアログボックスを表示します。このダイアログボックスでは、このプロトコルで使用するマップ名を選択できます。
• [NETBIOS]:NetBIOS プロトコルでのアプリケーション インスペクションをイネーブルにします。
– [Configure]:[Select NETBIOS Map] ダイアログボックスを表示します。このダイアログボックスでは、このプロトコルで使用するマップ名を選択できます。
• [PPTP]:PPTP プロトコルでのアプリケーション インスペクションをイネーブルにします。
• [RSH]:RSH プロトコルでのアプリケーション インスペクションをイネーブルにします。
• [RTSP]:RTSP プロトコルでのアプリケーション インスペクションをイネーブルにします。
• [SCCP SKINNY]:Skinny プロトコルでのアプリケーション インスペクションをイネーブルにします。
– [Configure]:[Select SCCP (Skinny) Map] ダイアログボックスを表示します。このダイアログボックスでは、このプロトコルで使用するマップ名を選択できます。
• [SIP]:SIP プロトコルでのアプリケーション インスペクションをイネーブルにします。
– [Configure]:[Select SIP Map] ダイアログボックスを表示します。このダイアログボックスでは、このプロトコルで使用するマップ名を選択できます。
• [SNMP]:SNMP プロトコルでのアプリケーション インスペクションをイネーブルにします。
– [Configure]:[Select SNMP Map] ダイアログボックスを表示します。このダイアログボックスでは、このプロトコルで使用するマップ名を選択できます。
• [SQLNET]:SQLNET プロトコルでのアプリケーション インスペクションをイネーブルにします。
• [SUNRPC]:SunRPC プロトコルでのアプリケーション インスペクションをイネーブルにします。
• [TFTP]:TFTP プロトコルでのアプリケーション インスペクションをイネーブルにします。
• [XDMCP]:XDMCP プロトコルでのアプリケーション インスペクションをイネーブルにします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
『 Cisco Security Appliance Command Reference 』にあるプロトコルごとの Inspect コマンド ページ
Select DCERPC Map
[Select DCERPC Map] ダイアログボックスでは、DCERPC マップを選択または新しく作成できます。DCERPC マップにより、DCERPC アプリケーション インスペクションで使用されるコンフィギュレーションの値を変更できます。[Select DCERPC Map] テーブルには、アプリケーション インスペクションで選択可能な事前に設定されたマップのリストが表示されます。
• [Use the default DCERPC inspection map]:デフォルトの DCERPC マップの使用を指定します。
• [Select a DCERPC map for fine control over inspection]:定義済みのアプリケーション インスペクション マップを選択するか、新しいマップを追加できます。
• [Add]:そのインスペクションの [Add Policy Map] ダイアログボックスを開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Select DNS Map
[Select DNS Map] ダイアログボックスでは、DNS マップを選択または新しく作成できます。DNS マップにより、DNS アプリケーション インスペクションで使用されるコンフィギュレーションの値を変更できます。[Select DNS Map] テーブルには、アプリケーション インスペクションで選択可能な事前に設定されたマップのリストが表示されます。
• [Use the default DNS inspection map]:デフォルトの DNS マップの使用を指定します。
• [Select a DNS map for fine control over inspection]:定義済みのアプリケーション インスペクション マップを選択するか、新しいマップを追加できます。
• [Add]:そのインスペクションの [Add Policy Map] ダイアログボックスを開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Select ESMTP Map
[Select ESMTP Map] ダイアログボックスでは、ESMTP マップを選択または新しく作成できます。ESMTP マップにより、ESMTP アプリケーション インスペクションで使用されるコンフィギュレーションの値を変更できます。[Select ESMTP Map] テーブルには、アプリケーション インスペクションで選択可能な事前に設定されたマップのリストが表示されます。
• [Use the default ESMTP inspection map]:デフォルトの ESMTP マップの使用を指定します。
• [Select an ESMTP map for fine control over inspection]:定義済みのアプリケーション インスペクション マップを選択するか、新しいマップを追加できます。
• [Add]:そのインスペクションの [Add Policy Map] ダイアログボックスを開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Select FTP Map
[Select FTP Map] ダイアログボックスでは、厳密な FTP アプリケーション インスペクションのイネーブル化、FTP マップの選択、または新しい FTP マップの作成を行うことができます。FTP マップにより、FTP アプリケーション インスペクションで使用されるコンフィギュレーションの値を変更できます。[Select FTP Map] テーブルには、アプリケーション インスペクションで選択可能な事前に設定されたマップのリストが表示されます。
• [FTP Strict (prevent web browsers from sending embedded commands in FTP requests)]:厳密な FTP アプリケーション インスペクションをイネーブルにします。これによって、埋め込みコマンドが FTP 要求に含まれている場合、セキュリティ アプライアンスは接続をドロップします。
• [Use the default FTP inspection map]:デフォルトの FTP マップの使用を指定します。
• [Select an FTP map for fine control over inspection]:定義済みのアプリケーション インスペクション マップを選択するか、新しいマップを追加できます。
• [Add]:そのインスペクションの [Add Policy Map] ダイアログボックスを開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Select GTP Map
[Select GTP Map] ダイアログボックスでは、GTP マップを選択または新しく作成できます。GTP マップにより、GTP アプリケーション インスペクションで使用されるコンフィギュレーションの値を変更できます。[Select GTP Map] テーブルには、アプリケーション インスペクションで選択可能な事前に設定されたマップのリストが表示されます。
(注) GTP インスペクションには、特別なライセンスが必要です。必要なライセンスがないときにセキュリティ アプライアンスで GTP アプリケーション インスペクションのイネーブル化を試みると、セキュリティ アプライアンスはエラー メッセージを表示します。
• [Use the default GTP inspection map]:デフォルトの GTP マップの使用を指定します。
• [Select an GTP map for fine control over inspection]:定義済みのアプリケーション インスペクション マップを選択するか、新しいマップを追加できます。
• [Add]:そのインスペクションの [Add Policy Map] ダイアログボックスを開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Select H.323 Map
[Select H.323 Map] ダイアログボックスでは、H.323 マップを選択または新しく作成できます。H.323 マップにより、H.323 アプリケーション インスペクションで使用されるコンフィギュレーションの値を変更できます。[Select H.323 Map] テーブルには、アプリケーション インスペクションで選択可能な事前に設定されたマップのリストが表示されます。
• [Use the default H.323 inspection map]:デフォルトの H.323 マップの使用を指定します。
• [Select an H.323 map for fine control over inspection]:定義済みのアプリケーション インスペクション マップを選択するか、新しいマップを追加できます。
• [Add]:そのインスペクションの [Add Policy Map] ダイアログボックスを開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Select HTTP Map
[Select HTTP Map] ダイアログボックスでは、HTTP マップを選択または新しく作成できます。HTTP マップにより、HTTP アプリケーション インスペクションで使用されるコンフィギュレーションの値を変更できます。[Select HTTP Map] テーブルには、アプリケーション インスペクションで選択可能な事前に設定されたマップのリストが表示されます。
• [Use the default HTTP inspection map]:デフォルトの HTTP マップの使用を指定します。
• [Select an HTTP map for fine control over inspection]:定義済みのアプリケーション インスペクション マップを選択するか、新しいマップを追加できます。
• [Add]:そのインスペクションの [Add Policy Map] ダイアログボックスを開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Select IM Map
[Select IM Map] ダイアログボックスでは、IM マップを選択または新しく作成できます。IM マップにより、IM アプリケーション インスペクションで使用されるコンフィギュレーションの値を変更できます。[Select IM Map] テーブルには、アプリケーション インスペクションで選択可能な事前に設定されたマップのリストが表示されます。
• [Add]:そのインスペクションの [Add Policy Map] ダイアログボックスを開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Select IPSec-Pass-Thru Map
[Select IPSec-Pass-Thru] ダイアログボックスでは、IPSec マップを選択または新しく作成できます。IPSec マップにより、IPSec アプリケーション インスペクションで使用されるコンフィギュレーションの値を変更できます。[Select IPSec Map] テーブルには、アプリケーション インスペクションで選択可能な事前に設定されたマップのリストが表示されます。
• [Use the default IPSec inspection map]:デフォルトの IPSec マップの使用を指定します。
• [Select an IPSec map for fine control over inspection]:定義済みのアプリケーション インスペクション マップを選択するか、新しいマップを追加できます。
• [Add]:そのインスペクションの [Add Policy Map] ダイアログボックスを開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Select MGCP Map
[Select MGCP Map] ダイアログボックスでは、MGCP マップを選択または新しく作成できます。MGCP マップにより、MGCP アプリケーション インスペクションで使用されるコンフィギュレーションの値を変更できます。[Select MGCP Map] テーブルには、アプリケーション インスペクションで選択可能な事前に設定されたマップのリストが表示されます。
• [Use the default MGCP inspection map]:デフォルトの MGCP マップの使用を指定します。
• [Select an MGCP map for fine control over inspection]:定義済みのアプリケーション インスペクション マップを選択するか、新しいマップを追加できます。
• [Add]:そのインスペクションの [Add Policy Map] ダイアログボックスを開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Select NETBIOS Map
[Select NETBIOS Map] ダイアログボックスでは、NetBIOS マップを選択または新しく作成できます。NetBIOS マップにより、NetBIOS アプリケーション インスペクションで使用されるコンフィギュレーションの値を変更できます。[Select NetBIOS Map] テーブルには、アプリケーション インスペクションで選択可能な事前に設定されたマップのリストが表示されます。
• [Use the default IM inspection map]:デフォルトの NetBIOS マップの使用を指定します。
• [Select a NetBIOS map for fine control over inspection]:定義済みのアプリケーション インスペクション マップを選択するか、新しいマップを追加できます。
• [Add]:そのインスペクションの [Add Policy Map] ダイアログボックスを開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Select RTSP Map
[Select RTSP Map] ダイアログボックスでは、RTSP マップを選択または新しく作成できます。RTSP マップにより、RTSP アプリケーション インスペクションで使用されるコンフィギュレーションの値を変更できます。[Select RTSP Map] テーブルには、アプリケーション インスペクションで選択可能な事前に設定されたマップのリストが表示されます。
• [Use the default RTSP inspection map]:デフォルトの RTSP インスペクション マップの使用を指定します。
• [Select a RTSP inspect map for fine control over inspection]:定義済みのアプリケーション インスペクション マップを選択するか、新しいマップを追加できます。
• [Add]:そのインスペクションの [Add Policy Map] ダイアログボックスを開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Select SCCP (Skinny) Map
[Select SCCP (Skinny) Map] ダイアログボックスでは、SCCP (Skinny) マップを選択または新しく作成できます。[SCCP (Skinny)] マップにより、SCCP (Skinny) アプリケーション インスペクションで使用されるコンフィギュレーションの値を変更できます。[Select SCCP (Skinny) Map] テーブルには、アプリケーション インスペクションで選択可能な事前に設定されたマップのリストが表示されます。
• [Use the default SCCP (Skinny) inspection map]:デフォルトの SCCP (Skinny) マップの使用を指定します。
• [Select an SCCP (Skinny) map for fine control over inspection]:定義済みのアプリケーション インスペクション マップを選択するか、新しいマップを追加できます。
• [Add]:そのインスペクションの [Add Policy Map] ダイアログボックスを開きます。
• [TLS Proxy]:インスペクション マップの TLS プロキシ設定を指定できます。
– [Use TLS Proxy to enable inspection of encrypted traffic]:TLS プロキシを使用して、暗号化されたトラフィックのインスペクションをイネーブルにすることを指定します。
[TLS Proxy Name]:既存の TLS プロキシの名前。
[New]:TLS プロキシを追加するための [Add TLS Proxy] ダイアログボックスを開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Select SIP Map
[Select SIP Map] ダイアログボックスでは、SIP マップを選択または新しく作成できます。SIP マップにより、SIP アプリケーション インスペクションで使用されるコンフィギュレーションの値を変更できます。[Select SIP Map] テーブルには、アプリケーション インスペクションで選択可能な事前に設定されたマップのリストが表示されます。
• [Use the default SIP inspection map]:デフォルトの SIP マップの使用を指定します。
• [Select a SIP map for fine control over inspection]:定義済みのアプリケーション インスペクション マップを選択するか、新しいマップを追加できます。
• [Add]:そのインスペクションの [Add Policy Map] ダイアログボックスを開きます。
• [TLS Proxy]:インスペクション マップの TLS プロキシ設定を指定できます。
– [Use TLS Proxy to enable inspection of encrypted traffic]:TLS プロキシを使用して、暗号化されたトラフィックのインスペクションをイネーブルにすることを指定します。
[TLS Proxy Name]:既存の TLS プロキシの名前。
[New]:TLS プロキシを追加するための [Add TLS Proxy] ダイアログボックスを開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Select SNMP Map
[Select SNMP Map] ダイアログボックスでは、SNMP マップを選択または新しく作成できます。SNMP マップにより、SNMP アプリケーション インスペクションで使用されるコンフィギュレーションの値を変更できます。[Select SNMP Map] テーブルには、アプリケーション インスペクションで選択可能な事前に設定されたマップのリストが表示されます。
• [Use the default SNMP inspection map]:デフォルトの SNMP マップの使用を指定します。
• [Select an SNMP map for fine control over inspection]:定義済みのアプリケーション インスペクション マップを選択するか、新しいマップを追加できます。
• [Add]:そのインスペクションの [Add Policy Map] ダイアログボックスを開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
クラス マップのフィールドの説明
インスペクション クラス マップで、アプリケーションのトラフィックを、URL 文字列などアプリケーション固有の基準と照合します。次に、クラス マップをインスペクション マップから特定して、アクションをイネーブルにします。クラス マップを作成することとインスペクション マップでトラフィックの照合を直接定義することの違いは、クラス マップでは複雑な照合基準を作成でき、クラス マップを再利用できるという点です。インスペクション クラス マップは DNS、FTP、H.323、HTTP、IM、SIP のアプリケーションでサポートされます。
この項では、インスペクション クラス マップを設定する方法について説明します。次の項目を取り上げます。
DNS Class Map
[DNS Class Map] パネルでは、DNS インスペクションの DNS クラス マップを設定できます。
インスペクション クラス マップで、アプリケーションのトラフィックをアプリケーション固有の基準と照合します。次に、クラス マップをインスペクション マップから特定して、アクションをイネーブルにします。クラス マップを作成することとインスペクション マップでトラフィックの照合を直接定義することの違いは、クラス マップでは複雑な照合基準を作成でき、クラス マップを再利用できるという点です。インスペクション クラス マップは DNS、FTP、H.323、HTTP、IM、SIP のアプリケーションでサポートされます。
• [Match Conditions]:クラス マップに設定されているタイプ、照合基準、値を示します。
– [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
– [Criterion]:DNS クラス マップの基準を示します。
– [Value]:DNS クラス マップで照合する値を示します。
• [Description]:クラス マップの説明を示します。
• [Add]:DNS クラス マップの照合条件を追加します。
• [Edit]:DNS クラス マップの照合条件を編集します。
• [Delete]:DNS クラス マップの照合条件を削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit DNS Traffic Class Map
[Add/Edit DNS Traffic Class Map] ダイアログボックスでは、DNS クラス マップを定義できます。
• [Name]:DNS クラス マップの名前を 40 文字以内で入力します。
• [Description]:DNS クラス マップの説明を入力します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit DNS Match Criterion
[Add/Edit DNS Match Criterion] ダイアログボックスでは、DNS クラス マップの照合基準と値を定義できます。
• [Match Type]:基準に一致したトラフィックをクラス マップに含めるか、または一致しないトラフィックを含めるか指定します。
たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。
• [Criterion]:DNS トラフィックに適用する照合基準を指定します。
– [Header Flag]:ヘッダーの DNS フラグを照合します。
– [Type]:DNS クエリーまたはリソース レコードのタイプを照合します。
– [Class]:DNS クエリーまたはリソース レコードのクラスを照合します。
– [Question]:DNS の問い合わせを照合します。
– [Resource Record]:DNS リソース レコードを照合します。
– [Domain Name]:DNS クエリーやリソース レコードのドメイン名を照合します。
• [Header Flag Criterion Values]:DNS ヘッダー フラグの照合値の詳細を指定します。
– [Match Option]:完全一致または全ビット一致(ビット マスク一致)のどちらかを指定します。
– [Match Value]:ヘッダー フラグについて名前と値のどちらを照合するか指定します。
[Header Flag Name]:照合するヘッダー フラグ名を 1 つ以上選択できます。AA(authoritative answer)、QR(query)、RA(recursion available)、RD(recursion denied)、TC(truncation)のフラグ ビットがあります。
[Header Flag Value]:任意の 16 ビットの値を 16 進数で入力して照合できます。
• [Type Criterion Values]:DNS タイプの照合値の詳細を指定します。
– [DNS Type Field Name]:選択する DNS タイプを一覧表示します。
– [DNS Type Field Value]:DNS タイプ フィールドについて値と範囲のどちらを照合するか指定します。
[Value]:0 ~ 65535 の範囲の値を入力して照合できます。
[Range]:範囲を入力して照合します。両方とも 0 ~ 65535 の範囲の値を指定します。
• [Class Criterion Values]:DNS クラスの照合値の詳細を指定します。
– [DNS Class Field Name]:インターネットで照合する DNS クラス フィールド名を指定します。
– [DNS Class Field Value]:DNS クラス フィールドについて値と範囲のどちらを照合するか指定します。
[Value]:0 ~ 65535 の範囲の値を入力して照合できます。
[Range]:範囲を入力して照合します。両方とも 0 ~ 65535 の範囲の値を指定します。
• [Question Criterion Values]:DNS の問い合わせセクションの照合方法を指定します。
• [Resource Record Criterion Values]:DNS リソース レコードのセクションの照合方法を指定します。
– [Resource Record]:照合対象セクションを一覧表示します。
• [Domain Name Criterion Values]:DNS ドメイン名の照合方法を指定します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Manage Regular Expressions
[Manage Regular Expressions] ダイアログボックスでは、 正規表現を設定し、パターン照合で使用できます。「_default」で始まる正規表現はデフォルトの正規表現です。変更または削除はできません。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Manage Regular Expression Class Maps
[Manage Regular Expression Class Maps] ダイアログボックスでは、正規表現クラス マップを設定できます。詳細については、「 正規表現」を参照してください。
• [Match Conditions]:クラス マップの照合タイプと正規表現を示します。
– [Match Type]:照合タイプを示します。正規表現の場合、常に基準の肯定一致タイプ(等号(=)を表示したアイコン)になります。また、インスペクション クラス マップで否定一致(赤丸を表示したアイコン)の作成もできます。クラス マップに正規表現が複数ある場合は、照合タイプ アイコンの隣にそれぞれ「OR」を表示し、「match any」クラス マップになっていることを示します。正規表現のいずれか 1 つと一致するだけで、トラフィックがクラス マップに一致します。
– [Regular Expression]:クラス マップごとに登録されている正規表現を一覧表示します。
• [Description]:クラス マップの説明を示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
FTP Class Map
[FTP Class Map] パネルでは、FTP インスペクションの FTP クラス マップを設定できます。
インスペクション クラス マップで、アプリケーションのトラフィックをアプリケーション固有の基準と照合します。次に、クラス マップをインスペクション マップから特定して、アクションをイネーブルにします。クラス マップを作成することとインスペクション マップでトラフィックの照合を直接定義することの違いは、クラス マップでは複雑な照合基準を作成でき、クラス マップを再利用できるという点です。インスペクション クラス マップは DNS、FTP、H.323、HTTP、IM、SIP のアプリケーションでサポートされます。
• [Match Conditions]:クラス マップに設定されているタイプ、照合基準、値を示します。
– [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
– [Criterion]:FTP クラス マップの基準を示します。
– [Value]:FTP クラス マップで照合する値を示します。
• [Description]:クラス マップの説明を示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit FTP Traffic Class Map
[Add/Edit FTP Traffic Class Map] ダイアログボックスでは、FTP クラス マップを定義できます。
• [Name]:FTP クラス マップの名前を 40 文字以内で入力します。
• [Description]:FTP クラス マップの説明を入力します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit FTP Match Criterion
[Add/Edit FTP Match Criterion] ダイアログボックスでは、FTP クラス マップの照合基準と値を定義できます。
• [Match Type]:基準に一致したトラフィックをクラス マップに含めるか、または一致しないトラフィックを含めるか指定します。
たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。
• [Criterion]:FTP トラフィックに適用する照合基準を指定します。
– [Request-Command]:FTP 要求コマンドを照合します。
– [File Name]:FTP 転送のファイル名を照合します。
– [File Type]:FTP 転送のファイル タイプを照合します。
• [Request-Command Criterion Values]:FTP 要求コマンドの照合値の詳細を指定します。
– [Request Command]:照合する要求コマンドを 1 つ以上選択できます。
[CDUP]:現在のディレクトリから親ディレクトリへ移動します。
[GET]:retr(retrieve a file)コマンドの FTP クライアント コマンドです。
[PUT]:stor(store a file)コマンドの FTP クライアント コマンドです。
• [File Name Criterion Values]:FTP 転送のファイル名の照合方法を指定します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [File Type Criterion Values]:FTP 転送のファイル タイプの照合方法を指定します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Server Criterion Values]:FTP サーバの照合方法を指定します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [User Name Criterion Values]:FTP ユーザの照合方法を指定します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
H.323 Class Map
[H.323 Class Map] パネルでは、H.323 インスペクションの H.323 クラス マップを設定できます。
インスペクション クラス マップで、アプリケーションのトラフィックをアプリケーション固有の基準と照合します。次に、クラス マップをインスペクション マップから特定して、アクションをイネーブルにします。クラス マップを作成することとインスペクション マップでトラフィックの照合を直接定義することの違いは、クラス マップでは複雑な照合基準を作成でき、クラス マップを再利用できるという点です。インスペクション クラス マップは DNS、FTP、H.323、HTTP、IM、SIP のアプリケーションでサポートされます。
• [Name]:H.323 クラス マップの名前を示します。
• [Match Conditions]:クラス マップに設定されているタイプ、照合基準、値を示します。
– [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
– [Criterion]:H.323 クラス マップの基準を示します。
– [Value]:H.323 クラス マップで照合する値を示します。
• [Description]:クラス マップの説明を示します。
• [Delete]:H.323 クラス マップを削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit H.323 Traffic Class Map
[Add/Edit H.323 Traffic Class Map] ダイアログボックスでは、H.323 クラス マップを定義できます。
• [Name]:H.323 クラス マップの名前を 40 文字以内で入力します。
• [Description]:H.323 クラス マップの説明を入力します。
• [Delete]:H.323 クラス マップを削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit H.323 Match Criterion
[Add/Edit H.323 Match Criterion] ダイアログボックスでは、H.323 クラス マップの照合基準と値を定義できます。
• [Match Type]:基準に一致したトラフィックをクラス マップに含めるか、または一致しないトラフィックを含めるか指定します。
たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。
• [Criterion]:H.323 トラフィックに適用する照合基準を指定します。
– [Media Type]:メディア タイプを照合します。
• [Called Party Criterion Values]:H.323 受信側の照合方法を指定します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Calling Party Criterion Values]:H.323 発信元の照合方法を指定します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Media Type Criterion Values]:照合するメディア タイプを指定します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
HTTP Class Map
[HTTP Class Map] パネルでは、HTTP インスペクションの HTTP クラス マップを設定できます。
インスペクション クラス マップで、アプリケーションのトラフィックをアプリケーション固有の基準と照合します。次に、クラス マップをインスペクション マップから特定して、アクションをイネーブルにします。クラス マップを作成することとインスペクション マップでトラフィックの照合を直接定義することの違いは、クラス マップでは複雑な照合基準を作成でき、クラス マップを再利用できるという点です。インスペクション クラス マップは DNS、FTP、H.323、HTTP、IM、SIP のアプリケーションでサポートされます。
• [Name]:HTTP クラス マップの名前を示します。
• [Match Conditions]:クラス マップに設定されているタイプ、照合基準、値を示します。
– [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
– [Criterion]:HTTP クラス マップの基準を示します。
– [Value]:HTTP クラス マップで照合する値を示します。
• [Description]:クラス マップの説明を示します。
• [Delete]:HTTP クラス マップを削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit HTTP Traffic Class Map
[Add/Edit HTTP Traffic Class Map] ダイアログボックスでは、HTTP クラス マップを定義できます。
• [Name]:HTTP クラス マップの名前を 40 文字以内で入力します。
• [Description]:HTTP クラス マップの説明を入力します。
• [Delete]:HTTP クラス マップを削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit HTTP Match Criterion
[Add/Edit HTTP Match Criterion] ダイアログボックスでは、HTTP クラス マップの照合基準と値を定義できます。
• [Match Type]:基準に一致したトラフィックをクラス マップに含めるか、または一致しないトラフィックを含めるか指定します。
たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。
• [Criterion]:HTTP トラフィックに適用する照合基準を指定します。
– [Request/Response Content Type Mismatch]:応答のコンテンツ タイプが要求の accept フィールドの MIME タイプの 1 つと一致する必要があることを指定します。
– [Request Arguments]:要求の引数に正規表現照合を適用します。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
[Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
– [Request Body Length]:要求の本文に指定したバイト数より長いフィールドがある場合、正規表現で照合します。
[Greater Than Length]:要求フィールドの長さと照合するフィールドの値をバイト単位で入力します。
– [Request Body]:要求の本文に正規表現照合を適用します。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
[Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
– [Request Header Field Count]:要求ヘッダーのフィールド数が最大値の場合、正規表現で照合します。
[Predefined]:要求のヘッダー フィールドを次の中から指定します。accept、accept-charset、accept-encoding、accept-language、allow、authorization、cache-control、connection、content-encoding、content-language、content-length、content-location、content-md5、content-range、content-type、cookie、date、expect、expires、from、host、if-match、if-modified-since、if-none-match、if-range、if-unmodified-since、last-modified、max-forwards、pragma、proxy-authorization、range、referer、te、trailer、transfer-encoding、upgrade、user-agent、via、warning。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Greater Than Count]:ヘッダー フィールド数の最大値を入力します。
– [Request Header Field Length]:要求ヘッダーに指定したバイト数より長いフィールドがある場合、正規表現で照合します。
[Predefined]:要求のヘッダー フィールドを次の中から指定します。accept、accept-charset、accept-encoding、accept-language、allow、authorization、cache-control、connection、content-encoding、content-language、content-length、content-location、content-md5、content-range、content-type、cookie、date、expect、expires、from、host、if-match、if-modified-since、if-none-match、if-range、if-unmodified-since、last-modified、max-forwards、pragma、proxy-authorization、range、referer、te、trailer、transfer-encoding、upgrade、user-agent、via、warning。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Greater Than Length]:要求フィールドの長さと照合するフィールドの値をバイト単位で入力します。
– [Request Header Field]:要求のヘッダーに正規表現照合を適用します。
[Predefined]:要求のヘッダー フィールドを次の中から指定します。accept、accept-charset、accept-encoding、accept-language、allow、authorization、cache-control、connection、content-encoding、content-language、content-length、content-location、content-md5、content-range、content-type、cookie、date、expect、expires、from、host、if-match、if-modified-since、if-none-match、if-range、if-unmodified-since、last-modified、max-forwards、pragma、proxy-authorization、range、referer、te、trailer、transfer-encoding、upgrade、user-agent、via、warning。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
[Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
– [Request Header Count]:要求ヘッダー数が最大値の場合、正規表現で照合します。
[Greater Than Count]:ヘッダー数の最大値を入力します。
– [Request Header Length]:要求ヘッダーが指定したバイト数より長い場合、正規表現で照合します。
[Greater Than Length]:ヘッダーの長さをバイト単位で入力します。
– [Request Header non-ASCII]:要求ヘッダーに含まれる ASCII 以外の文字を照合します。
– [Request Method]:要求の方式を正規表現で照合します。
[Method]:照合する要求方式を次の中から指定します。bcopy、bdelete、bmove、bpropfind、bproppatch、connect、copy、delete、edit、get、getattribute、getattributenames、getproperties、head、index、lock、mkcol、mkdir、move、notify、options、poll、post、propfind、proppatch、put、revadd、revlabel、revlog、revnum、save、search、setattribute、startrev、stoprev、subscribe、trace、unedit、unlock、unsubscribe。
[Regular Expression]:正規表現の照合方法を指定します。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
[Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
– [Request URI Length]:要求の URI が指定したバイト数より長い場合、正規表現で照合します。
[Greater Than Length]:URI の長さをバイト単位で入力します。
– [Request URI]:要求の URI に正規表現照合を適用します。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
[Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
– [Response Body]:要求の本文を regex で照合します。
[ActiveX]:ActiveX の照合方法を指定します。
[Java Applet]:Java アプレットの照合方法を指定します。
[Regular Expression]:正規表現の照合方法を指定します。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
[Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
– [Response Body Length]:応答の本文に指定したバイト数より長いフィールドがある場合、正規表現で照合します。
[Greater Than Length]:応答フィールドの長さと照合するフィールドの値をバイト単位で入力します。
– [Response Header Field Count]:応答ヘッダーのフィールド数が最大値の場合、正規表現で照合します。
[Predefined]:応答のヘッダー フィールドを次の中から指定します。accept-ranges、age、allow、cache-control、connection、content-encoding、content-language、content-length、content-location、content-md5、content-range、content-type、date、etag、expires、last-modified、location、pragma、proxy-authenticate、retry-after、server、set-cookie、trailer、transfer-encoding、upgrade、vary、via、warning、www-authenticate。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Greater Than Count]:ヘッダー フィールド数の最大値を入力します。
– [Response Header Field Length]:応答ヘッダーに指定したバイト数より長いフィールドがある場合、正規表現で照合します。
[Predefined]:応答のヘッダー フィールドを次の中から指定します。accept-ranges、age、allow、cache-control、connection、content-encoding、content-language、content-length、content-location、content-md5、content-range、content-type、date、etag、expires、last-modified、location、pragma、proxy-authenticate、retry-after、server、set-cookie、trailer、transfer-encoding、upgrade、vary、via、warning、www-authenticate。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Greater Than Length]:応答フィールドの長さと照合するフィールドの値をバイト単位で入力します。
– [Response Header Field]:応答のヘッダーに正規表現照合を適用します。
[Predefined]:応答のヘッダー フィールドを次の中から指定します。accept-ranges、age、allow、cache-control、connection、content-encoding、content-language、content-length、content-location、content-md5、content-range、content-type、date、etag、expires、last-modified、location、pragma、proxy-authenticate、retry-after、server、set-cookie、trailer、transfer-encoding、upgrade、vary、via、warning、www-authenticate。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
[Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
– [Response Header Count]:応答ヘッダー数が最大値の場合、正規表現で照合します。
[Greater Than Count]:ヘッダー数の最大値を入力します。
– [Response Header Length]:応答ヘッダーが指定したバイト数より長い場合、正規表現で照合します。
[Greater Than Length]:ヘッダーの長さをバイト単位で入力します。
– [Response Header non-ASCII]:応答ヘッダーに含まれる ASCII 以外の文字を照合します。
– [Response Status Line]:ステータス行を正規表現で照合します。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
[Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
IM Class Map
[IM Class Map] パネルでは、IM インスペクションの IM クラス マップを設定できます。
インスペクション クラス マップで、アプリケーションのトラフィックをアプリケーション固有の基準と照合します。次に、クラス マップをインスペクション マップから特定して、アクションをイネーブルにします。クラス マップを作成することとインスペクション マップでトラフィックの照合を直接定義することの違いは、クラス マップでは複雑な照合基準を作成でき、クラス マップを再利用できるという点です。インスペクション クラス マップは DNS、FTP、H.323、HTTP、IM、SIP のアプリケーションでサポートされます。
• [Match Conditions]:クラス マップに設定されているタイプ、照合基準、値を示します。
– [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
– [Criterion]:IM クラス マップの基準を示します。
– [Value]:IM クラス マップで照合する値を示します。
• [Description]:クラス マップの説明を示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit IM Traffic Class Map
[Add/Edit IM Traffic Class Map] ダイアログボックスでは、IM クラス マップを定義できます。
• [Name]:IM クラス マップの名前を 40 文字以内で入力します。
• [Description]:IM クラス マップの説明を入力します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit IM Match Criterion
[Add/Edit IM Match Criterion] ダイアログボックスでは、IM クラス マップの照合基準と値を定義できます。
• [Match Type]:基準に一致したトラフィックをクラス マップに含めるか、または一致しないトラフィックを含めるか指定します。
たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。
• [Criterion]:IM トラフィックに適用する照合基準を指定します。
– [Version]:IM ファイル転送のサービス バージョンを照合します。
– [Client Login Name]:IM サービスのクライアント ログイン名を照合します。
– [Client Peer Login Name]:IM サービスのクライアントのピア ログイン名を照合します。
– [Source IP Address]:送信元 IP アドレスを照合します。
– [Destination IP Address]:宛先 IP アドレスを照合します。
– [Filename]:IM ファイル転送サービスのファイル名を照合します。
• [Protocol Criterion Values]:照合する IM プロトコルを指定します。
– [Yahoo! Messenger]:Yahoo!Messenger のインスタント メッセージを照合します。
– [MSN Messenger]:MSN Messenger のインスタント メッセージを照合します。
• [Service Criterion Values]:照合する IM サービスを指定します。
– [Chat]:IM メッセージ チャット サービスを照合します。
– [Conference]:IM コンファレンス サービスを照合します。
– [File Transfer]:IM ファイル転送サービスを照合します。
– [Voice Chat]:IM 音声チャット サービスを照合します(Yahoo の IM は対象外です)。
– [Web Cam]:IM Web カメラ サービスを照合します。
• [Version Criterion Values]:IM ファイル転送サービスで照合するバージョンを指定します。正規表現で照合します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Client Login Name Criterion Values]:IM サービスで照合するクライアント ログイン名を指定します。正規表現で照合します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Client Peer Login Name Criterion Values]:IM サービスで照合するクライアントのピア ログイン名を指定します。正規表現で照合します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Source IP Address Criterion Values]:IM サービスで照合する送信元 IP アドレスを指定します。
– [IP Address]:IM サービスの送信元 IP アドレスを入力します。
– [IP Mask]:送信元 IP アドレスのマスクです。
• [Destination IP Address Criterion Values]:IM サービスで照合する宛先 IP アドレスを指定します。
– [IP Address]:IM サービスの宛先 IP アドレスを入力します。
• [Filename Criterion Values]:IM ファイル転送サービスで照合するファイル名を指定します。正規表現で照合します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
SIP Class Map
[SIP Class Map] パネルでは、SIP インスペクションの SIP クラス マップを設定できます。
インスペクション クラス マップで、アプリケーションのトラフィックをアプリケーション固有の基準と照合します。次に、クラス マップをインスペクション マップから特定して、アクションをイネーブルにします。クラス マップを作成することとインスペクション マップでトラフィックの照合を直接定義することの違いは、クラス マップでは複雑な照合基準を作成でき、クラス マップを再利用できるという点です。インスペクション クラス マップは DNS、FTP、H.323、HTTP、IM、SIP のアプリケーションでサポートされます。
• [Match Conditions]:クラス マップに設定されているタイプ、照合基準、値を示します。
– [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
– [Criterion]:SIP クラス マップの基準を示します。
– [Value]:SIP クラス マップで照合する値を示します。
• [Description]:クラス マップの説明を示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit SIP Traffic Class Map
[Add/Edit SIP Traffic Class Map] ダイアログボックスでは、SIP クラス マップを定義できます。
• [Name]:SIP クラス マップの名前を 40 文字以内で入力します。
• [Description]:SIP クラス マップの説明を入力します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit SIP Match Criterion
[Add/Edit SIP Match Criterion] ダイアログボックスでは、SIP クラス マップの照合基準と値を定義できます。
• [Match Type]:基準に一致したトラフィックをクラス マップに含めるか、または一致しないトラフィックを含めるか指定します。
たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。
• [Criterion]:SIP トラフィックに適用する照合基準を指定します。
– [Called Party]:To ヘッダーに指定された受信側を照合します。
– [Calling Party]:From ヘッダーに指定された発信元を照合します。
– [Content Length]:ヘッダーのコンテンツの長さを照合します。0 ~ 65536 の範囲の値です。
– [Content Type]:ヘッダーのコンテンツ タイプを照合します。
– [IM Subscriber]:SIP IM の加入者を照合します。
– [Message Path]:SIP の Via ヘッダーを照合します。
– [Request Method]:SIP の要求方式を照合します。
– [Third-Party Registration]:サード パーティの登録要求者を照合します。
– [URI Length]:SIP ヘッダーにある URI を照合します。0 ~ 65536 の範囲の値です。
• [Called Party Criterion Values]:照合する受信側を指定します。正規表現で照合します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Calling Party Criterion Values]:照合する発信元を指定します。正規表現で照合します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Content Length Criterion Values]:指定値より長い SIP コンテンツ ヘッダーを照合します。
– [Greater Than Length]:ヘッダーの長さをバイト単位で入力します。
• [Content Type Criterion Values]:照合する SIP コンテンツ ヘッダーのタイプを指定します。
– [SDP]:SDP タイプの SIP コンテンツ ヘッダーを照合します。
– [Regular Expression]:正規表現を照合します。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
[Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [IM Subscriber Criterion Values]:照合する IM 登録者を指定します。正規表現で照合します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Message Path Criterion Values]:照合する SIP の Via ヘッダーを指定します。正規表現で照合します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Request Method Criterion Values]:照合する SIP 要求方式を指定します。
– [Request Method]:次の中から要求方式を指定します。ack、bye、cancel、info、invite、message、notify、options、prack、refer、register、subscribe、unknown、update。
• [Third-Party Registration Criterion Values]:照合するサード パーティの登録要求者を指定します。正規表現で照合します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [URI Length Criterion Values]:SIP ヘッダーで指定した値より長い、選択したタイプの URI を照合します。
– [URI type]:SIP URI または TEL URI を指定して照合します。
– [Greater Than Length]:長さをバイト単位で指定します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
インスペクション マップのフィールドの説明
この項では、インスペクション マップを設定する方法について説明します。次の項目を取り上げます。
(注) RADIUS インスペクション マップの詳細については、「管理トラフィックのサービス ポリシー ルールの追加」を参照してください。
• 「Instant Messaging (IM) Inspect Map」
• 「IPSec Pass Through Inspect Map」
セキュリティ アプライアンスのステートフル アプリケーション インスペクションにアルゴリズムを適用して、アプリケーションのセキュリティとサービスを保証します。アプリケーションの中には特別な処理を必要とするものがあり、専用のインスペクション エンジンでそのような場合に対応します。専用のインスペクション エンジンが必要なアプリケーションとは、ユーザのデータ パケットの中に IP アドレッシング情報を埋め込むサービスや、動的に割り当てられたポートでセカンダリ チャネルを開くサービスなどです。
アプリケーション インスペクション エンジンは NAT と連携し、アドレッシング情報が埋め込まれている場所の識別をサポートします。これによって、このような埋め込みアドレスを NAT で変換したり、変換の影響を受けるチェックサムやその他のフィールドをアップデートしたりできます。
各アプリケーション インスペクション エンジンはセッションを監視して、セカンダリ チャネルのポート番号も確認します。多くのプロトコルは、パフォーマンスを向上させるために、TCP または UDP のセカンダリ ポートを開きます。既知のポートで初期セッションが使用され、動的に割り当てられたポート番号がネゴシエーションされます。アプリケーション インスペクション エンジンは、この初期セッションをモニタし、ダイナミックに割り当てられたポートを特定し、所定のセッションの間、それらのポート上でのデータ交換を許可します。
また、ステートフル アプリケーション インスペクションにより、検査中のプロトコルの過程で発行されたコマンドと応答の有効性を監査します。セキュリティ アプライアンスは攻撃を確実に防御するため、トラフィックが検査されるプロトコルごとに RFC 仕様に準拠しているかどうかチェックします。
インスペクション マップ機能で、専用のプロトコル インスペクション エンジンを作成できます。インスペクション マップを利用して、プロトコル インスペクション エンジンのコンフィギュレーションを保存します。それから、グローバル セキュリティ ポリシーや特定のインターフェイスのセキュリティ ポリシーを使用して特定のトラフィック タイプにマップを関連付け、インスペクション マップのコンフィギュレーション設定をイネーブルにします。
[Security Policy] ペインの [Service Policy Rules] タブからインスペクション マップをトラフィックに適用すると、サービス ポリシーで指定した基準に従って照合が行われます。サービス ポリシーは、セキュリティ アプライアンスの特定のインターフェイスまたはすべてのインターフェイスに適用することができます。
DCERPC Inspect Map
[DCERPC] ペインでは、DCERPC アプリケーションの事前に設定されたインスペクション マップを表示できます。DCERPC マップでは、DCERPC アプリケーション インスペクションのデフォルト設定値を変更できます。
DCERPC は、Microsoft 社の分散クライアント/サーバ アプリケーションで広く使われているプロトコルです。このプロトコルによって、ソフトウェア クライアントがサーバにあるプログラムをリモートで実行できるようになります。
通常、このプロトコルの接続では、クライアントがウェルノウン ポート番号で接続を受け入れるエンドポイント マッパー(EPM)というサーバに、必要なサービスについて動的に割り当てられるネットワーク情報を問い合わせます。次に、クライアントは、サービスを提供しているサーバのインスタンスへのセカンダリ接続をセットアップします。セキュリティ アプライアンスは、適切なポート番号とネットワーク アドレスへのセカンダリ接続を許可し、必要に応じて Network Address Translation(NAT; ネットワーク アドレス変換)を適用します。
DCERPC インスペクション マップは、TCP の予約済みポート 135 を経由した、EPM とクライアント間のネイティブ TCP の通信を検査します。クライアント用に EPM のマッピングとルックアップがサポートされています。クライアントとサーバは、どのセキュリティ ゾーンにあってもかまいません。埋め込まれたサーバの IP アドレスとポート番号は、EPM からの応答メッセージで受け取ります。クライアントが EPM から返されたサーバのポートに対して複数の接続を試みる可能性があるので、ピンホールが複数使用でき、ユーザがそのタイムアウトを設定できるようになっています。
• [DCERPC Inspect Maps]:定義されている DCERPC インスペクション マップを一覧表示するテーブルです。
• [Add]:新しい DCERPC インスペクションを設定します。DCERPC インスペクション マップを編集するには、[DCERPC Inspect Maps] テーブルで DCERPC のエントリを選択し、[Customize] をクリックします。
• [Delete]:[DCERPC Inspect Maps] テーブルで選択したインスペクション マップを削除します。
• [Security Level]:セキュリティ レベル(High、Medium、Low)を選択します。
エンドポイント マッパー サービス ルックアップ:イネーブル
エンドポイント マッパー サービス ルックアップのタイムアウト:00:05:00
エンドポイント マッパー サービス ルックアップ:ディセーブル
エンドポイント マッパー サービス ルックアップ:ディセーブル
– [Customize]:[Add/Edit DCERPC Policy Map] ダイアログボックスを開き、追加の設定を行います。
– [Default Level]:セキュリティ レベルをデフォルトの Medium レベルに戻します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit DCERPC Policy Map
[Add/Edit DCERPC Policy Map] ペインでは、DCERPC アプリケーション インスペクション マップのセキュリティ レベルとパラメータを設定できます。
• [Name]:DCERPC マップの追加時に DCERPC マップの名前を入力します。DCERPC マップの編集時には、事前に設定した DCERPC マップの名前が表示されます。
• [Description]:DCERPC マップの説明を 200 文字以内で入力します。
• [Security Level]:セキュリティ レベル(High、Medium、Low)を選択します。
エンドポイント マッパー サービス ルックアップ:イネーブル
エンドポイント マッパー サービス ルックアップのタイムアウト:00:05:00
エンドポイント マッパー サービス ルックアップ:ディセーブル
エンドポイント マッパー サービス ルックアップ:ディセーブル
– [Default Level]:セキュリティ レベルをデフォルトの Medium レベルに戻します。
• [Details]:詳細な設定を行うためのパラメータを表示します。
– [Pinhole Timeout]:ピンホール タイムアウトを設定します。クライアントが使用するサーバ情報は、複数の接続のエンドポイント マッパーから返される場合があるため、タイムアウト値はクライアントのアプリケーション環境を考慮して設定します。範囲は、0:0:1 ~ 1193:0:0 です。デフォルトは 2 分です。
– [Enforce endpoint-mapper service]:バインディング中にエンドポイント マッパー サービスを適用します。
– [Enable endpoint-mapper service lookup]:エンドポイント マッパー サービスのルックアップをイネーブルにします。ディセーブルの場合、ピンホール タイムアウトが適用されます。
[Enforce Service Lookup Timeout]:指定されたサービス ルックアップ タイムアウトを適用します。
[Service Lookup Timeout]:ルックアップでピンホールした場合のタイムアウトを設定します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
DNS Inspect Map
[DNS] ペインでは、DNS アプリケーションの事前に設定されたインスペクション マップを表示できます。DNS マップを使用すると、DNS アプリケーション インスペクションに使用するデフォルト設定値を変更できます。
DNS アプリケーション インスペクションは、DNS スプーフィングとキャッシュ ポイズニングを防ぐための DNS メッセージ制御をサポートしています。ユーザが設定できるルールを使用して、特定の DNS タイプを許可、ドロップ、ロギングし、他の DNS タイプをブロックすることができます。たとえば、ゾーン転送をこの機能のあるサーバ間だけに制限できます。
公開サーバが特定の内部ゾーンだけをサポートしている場合に、DNS ヘッダーにある Recursion Desired フラグと Recursion Available フラグをマスクして、サーバを攻撃から守ることができます。また、DNS のランダム化をイネーブルにすると、ランダム化をサポートしていないサーバや強度の低い疑似乱数ジェネレータを使用するサーバのスプーフィングやキャッシュ ポイズニングを回避できます。照会できるドメイン名を制限することにより、公開サーバの保護がさらに確実になります。
不一致の DNS 応答数が過度に増えた場合(キャッシュ ポイズニング攻撃を示している可能性がある)、DNS 不一致のアラートを設定して通知することができます。さらに、すべての DNS メッセージにトランザクション署名(TSIG)を付けるようにチェックする設定も行うことができます。
• [DNS Inspect Maps]:定義されている DNS インスペクション マップを一覧表示するテーブルです。
• [Add]:新しい DNS インスペクション マップを設定します。DNS インスペクション マップを編集するには、[DNS Inspect Maps] テーブルで DNS のエントリを選択し、[Customize] をクリックします。
• [Delete]:[DNS Inspect Maps] テーブルで選択したインスペクション マップを削除します。
• [Security Level]:セキュリティ レベル(High、Medium、Low)を選択します。
• [Customize]:[Add/Edit DNS Policy Map] ダイアログボックスを開き、追加の設定を行います。
• [Default Level]:セキュリティ レベルをデフォルトの Low レベルに戻します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit DNS Policy Map(セキュリティ レベル)
[Add/Edit DNS Policy Map] ペインでは、DNS アプリケーション インスペクション マップのセキュリティ レベルと追加の設定値を設定できます。
• [Name]:DNS マップの追加時に DNS マップの名前を入力します。DNS マップの編集時には、事前に設定した DNS マップの名前が表示されます。
• [Description]:DNS マップの説明を 200 文字以内で入力します。
• [Security Level]:セキュリティ レベル(High、Medium、Low)を選択します。
– [Default Level]:セキュリティ レベルをデフォルトの Low レベルに戻します。
• [Details]:詳細な設定を行うための [Protocol Conformance] タブ、[Filtering] タブ、[Mismatch Rate] タブ、および [Inspection] タブを表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit DNS Policy Map(詳細)
[Add/Edit DNS Policy Map] ペインでは、DNS アプリケーション インスペクション マップのセキュリティ レベルと追加の設定値を設定できます。
• [Name]:DNS マップの追加時に DNS マップの名前を入力します。DNS マップの編集時には、事前に設定した DNS マップの名前が表示されます。
• [Description]:DNS マップの説明を 200 文字以内で入力します。
• [Security Level]:設定するセキュリティ レベルを表示します。
• [Protocol Conformance]:このタブで DNS のプロトコル準拠を設定します。
– [Enable DNS guard function]:DNS ヘッダーの識別フィールドを使用して、DNS クエリーと応答の不一致のチェックを行います。クエリーごとに 1 つの応答がセキュリティ アプライアンスを通過できます。
– [Enable NAT re-write function]:DNS 応答の A レコードにある IP アドレスの変換をイネーブルにします。
– [Enable protocol enforcement]:DNS メッセージの形式チェックをイネーブルにします。ドメイン名、ラベルの長さ、圧縮、ループしたポインタなどをチェックします。
– [Randomize the DNS identifier for DNS query]:DNS クエリー メッセージの DNS 識別子をランダム化します。
– [Enforce TSIG resource record to be present in DNS message]:TSIG リソース レコードが DNS トランザクションに存在する必要があります。TSIG を強制的に適用すると、次のアクションが実行されます。
[Drop packet]:パケットをドロップします(ロギングはイネーブルまたはディセーブルに指定できます)。
• [Filtering]:このタブで DNS のフィルタリングを設定します。
– [Global Settings]:設定がグローバルに適用されます。
[Drop packets that exceed specified maximum length (global)]:最大長(バイト)を超えるパケットをドロップします。
[Maximum Packet Length]:パケットの最大長をバイト単位で入力します。
– [Server Settings]:サーバの設定だけを適用します。
[Drop packets that exceed specified maximum length]:最大長(バイト)を超えるパケットをドロップします。
[Maximum Packet Length]:パケットの最大長をバイト単位で入力します。
[Drop packets sent to server that exceed length indicated by the RR]:[Resource Record] で指定された長さを超えるパケットがサーバに送信された場合はドロップします。
– [Client Settings]:クライアントの設定だけを適用します。
[Drop packets that exceed specified maximum length]:最大長(バイト)を超えるパケットをドロップします。
[Maximum Packet Length]:パケットの最大長をバイト単位で入力します。
[Drop packets sent to client that exceed length indicated by the RR]:[Resource Record] で指定された長さを超えるパケットがクライアントに送信された場合はドロップします。
• [Mismatch Rate]:このタブで DNS の ID 不一致レートを設定します。
– [Enable Logging when DNS ID mismatch rate exceeds specified rate]:DNS 識別子の不一致が多く発生した場合にレポートを表示します。
[Mismatch Instance Threshold]:不一致のインスタンスの最大数を入力します。この値を超えると、システム メッセージ ログに出力されます。
[Time Interval]:監視間隔時間(秒単位)を入力します。
• [Inspections]:このタブで DNS インスペクションのコンフィギュレーションを表示して、追加や編集ができます。
– [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
– [Criterion]:DNS インスペクションの基準を示します。
– [Value]:DNS インスペクションで照合する値を示します。
– [Action]:照合条件が一致したときのアクションを示します。
– [Add]:[Add DNS Inspect] ダイアログボックスが開き、DNS インスペクションを追加できます。
– [Edit]:[Edit DNS Inspect] ダイアログボックスが開き、DNS インスペクションを編集できます。
– [Delete]:DNS インスペクションを削除します。
– [Move Up]:インスペクションをリストの上に移動します。
– [Move Down]:インスペクションをリストの下に移動します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit DNS Inspect
[Add/Edit DNS Inspect] ダイアログボックスでは、DNS インスペクション マップの照合基準と値を定義できます。
• [Single Match]:DNS インスペクションに照合文が 1 つだけの場合に指定します。
• [Match Type]:トラフィックと値を一致させるかどうかを指定します。
たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。
• [Criterion]:DNS トラフィックに適用する照合基準を指定します。
– [Header Flag]:ヘッダーの DNS フラグを照合します。
– [Type]:DNS クエリーまたはリソース レコードのタイプを照合します。
– [Class]:DNS クエリーまたはリソース レコードのクラスを照合します。
– [Question]:DNS の問い合わせを照合します。
– [Resource Record]:DNS リソース レコードを照合します。
– [Domain Name]:DNS クエリーやリソース レコードのドメイン名を照合します。
• [Header Flag Criterion Values]:DNS ヘッダー フラグの照合値の詳細を指定します。
– [Match Option]:完全一致または全ビット一致(ビット マスク一致)のどちらかを指定します。
– [Match Value]:ヘッダー フラグについて名前と値のどちらを照合するか指定します。
[Header Flag Name]:照合するヘッダー フラグ名を 1 つ以上選択できます。AA(authoritative answer)、QR(query)、RA(recursion available)、RD(recursion denied)、TC(truncation)のフラグ ビットがあります。
[Header Flag Value]:任意の 16 ビットの値を 16 進数で入力して照合できます。
• [Type Criterion Values]:DNS タイプの照合値の詳細を指定します。
– [DNS Type Field Name]:選択する DNS タイプを一覧表示します。
– [DNS Type Field Value]:DNS タイプ フィールドについて値と範囲のどちらを照合するか指定します。
[Value]:0 ~ 65535 の範囲の値を入力して照合できます。
[Range]:範囲を入力して照合します。両方とも 0 ~ 65535 の範囲の値を指定します。
• [Class Criterion Values]:DNS クラスの照合値の詳細を指定します。
– [DNS Class Field Name]:インターネットで照合する DNS クラス フィールド名を指定します。
– [DNS Class Field Value]:DNS クラス フィールドについて値と範囲のどちらを照合するか指定します。
[Value]:0 ~ 65535 の範囲の値を入力して照合できます。
[Range]:範囲を入力して照合します。両方とも 0 ~ 65535 の範囲の値を指定します。
• [Question Criterion Values]:DNS の問い合わせセクションの照合方法を指定します。
• [Resource Record Criterion Values]:DNS リソース レコードのセクションの照合方法を指定します。
– [Resource Record]:照合対象セクションを一覧表示します。
• [Domain Name Criterion Values]:DNS ドメイン名の照合方法を指定します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Multiple Matches]:DNS インスペクションの複数の照合文を指定します。
– [DNS Traffic Class]:DNS トラフィック クラスを照合します。
– [Manage]:[Manage DNS Class Maps] ダイアログボックスが開き、DNS クラス マップの追加、編集、削除ができます。
• [Actions]:プライマリ アクションおよびログを設定します。
– [Primary Action]:Mask、Drop packet、Drop connection、None。
– [Enforce TSIG]:適用強制しない、パケットをドロップ、ログに出力、パケットをドロップしてログに出力。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Manage Class Maps
[Manage Class Map] ダイアログボックスでは、インスペクションのクラス マップを設定できます。
インスペクション クラス マップで、アプリケーションのトラフィックをアプリケーション固有の基準と照合します。次に、クラス マップをインスペクション マップから特定して、アクションをイネーブルにします。クラス マップを作成することとインスペクション マップでトラフィックの照合を直接定義することの違いは、クラス マップでは複雑な照合基準を作成でき、クラス マップを再利用できるという点です。インスペクション クラス マップは DNS、FTP、H.323、HTTP、インスタント メッセージ(IM)、SIP のアプリケーションでサポートされます。
• [Match Conditions]:クラス マップに設定されているタイプ、照合基準、値を示します。
– [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
– [Criterion]:クラス マップの基準を示します。
• [Description]:クラス マップの説明を示します。
• [Delete]:クラス マップの照合条件を削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
ESMTP Inspect Map
[ESMTP] ペインでは、ESMTP アプリケーションの事前に設定されたインスペクション マップを表示できます。ESMTP マップでは、ESMTP アプリケーション インスペクションのデフォルト設定値を変更できます。
スパム、フィッシング、不正な形式のメッセージ、バッファ オーバーフロー/アンダーフローなどの攻撃の大部分は ESMTP トラフィックから発生するので、ESMTP トラフィックのパケットを詳細に検査して制御します。アプリケーション セキュリティとプロトコルで正常な ESMTP メッセージだけを通し、各種の攻撃の検出、送受信者およびメール中継のブロックも行います。
• [ESMTP Inspect Maps]:定義されている ESMTP インスペクション マップを一覧表示するテーブルです。
• [Add]:新しい ESMTP インスペクション マップを設定します。ESMTP インスペクション マップを編集するには、[ESMTP Inspect Maps] テーブルで ESMTP のエントリを選択し、[Customize] をクリックします。
• [Delete]:[ESMTP Inspect Maps] テーブルで選択したインスペクション マップを削除します。
• [Security Level]:セキュリティ レベル(High、Medium、Low)を選択します。
MIME ファイル名の長さが 255 を超える場合、ログを出力
コマンドラインの長さが 512 を超える場合、接続をドロップ
送信者のアドレスの長さが 320 を超える場合、接続をドロップ
MIME ファイル名の長さが 255 を超える場合、接続をドロップ
コマンドラインの長さが 512 を超える場合、接続をドロップ
送信者のアドレスの長さが 320 を超える場合、接続をドロップしてログを出力
MIME ファイル名の長さが 255 を超える場合、接続をドロップしてログを出力
– [MIME File Type Filtering]:[MIME Type Filtering] ダイアログボックスを開き、MIME ファイル タイプのフィルタを設定します。
– [Customize]:[Add/Edit ESMTP Policy Map] ダイアログボックスを開き、追加の設定を行います。
– [Default Level]:セキュリティ レベルをデフォルトの Low レベルに戻します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
MIME File Type Filtering
[MIME File Type Filtering] ダイアログボックスでは、MIME ファイル タイプのフィルタを設定できます。
• [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
• [Criterion]:インスペクションの基準を示します。
• [Value]:インスペクションで照合する値を示します。
• [Action]:照合条件が一致したときのアクションを示します。
• [Add]:[Add MIME File Type Filter] ダイアログボックスが開き、MIME ファイル タイプのフィルタを追加できます。
• [Edit]:[Edit MIME File Type Filter] ダイアログボックスが開き、MIME ファイル タイプのフィルタを編集できます。
• [Delete]:MIME ファイル タイプのフィルタを削除します。
• [Move Down]:エントリをリストの下に移動します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit ESMTP Policy Map(セキュリティ レベル)
[Add/Edit ESMTP Policy Map] ペインでは、ESMTP アプリケーション インスペクション マップのセキュリティ レベルと追加の設定値を設定できます。
• [Name]:ESMTP マップの追加時に ESMTP マップの名前を入力します。ESMTP マップの編集時には、事前に設定した ESMTP マップの名前が表示されます。
• [Description]:ESMTP マップの説明を 200 文字以内で入力します。
• [Security Level]:セキュリティ レベル(High、Medium、Low)を選択します。
MIME ファイル名の長さが 255 を超える場合、ログを出力
コマンドラインの長さが 512 を超える場合、接続をドロップ
送信者のアドレスの長さが 320 を超える場合、接続をドロップ
MIME ファイル名の長さが 255 を超える場合、接続をドロップ
コマンドラインの長さが 512 を超える場合、接続をドロップ
送信者のアドレスの長さが 320 を超える場合、接続をドロップしてログを出力
MIME ファイル名の長さが 255 を超える場合、接続をドロップしてログを出力
– [MIME File Type Filtering]:[MIME Type Filtering] ダイアログボックスを開き、MIME ファイル タイプのフィルタを設定します。
– [Default Level]:セキュリティ レベルをデフォルトの Low レベルに戻します。
• [Details]:詳細な設定を行うための [Parameters] タブと [Inspections] タブを表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit ESMTP Policy Map(詳細)
[Add/Edit ESMTP Policy Map] ペインでは、ESMTP アプリケーション インスペクション マップのセキュリティ レベルと追加の設定値を設定できます。
• [Name]:ESMTP マップの追加時に ESMTP マップの名前を入力します。ESMTP マップの編集時には、事前に設定した ESMTP マップの名前が表示されます。
• [Description]:ESMTP マップの説明を 200 文字以内で入力します。
• [Security Level]:設定するセキュリティ レベルと MIME ファイル タイプ フィルタリング設定を表示します。
• [Parameters]:このタブで ESMTP インスペクション マップのパラメータを設定します。
– [Mask server banner]:バナーを難読化します。
– [Configure Mail Relay]:ESMTP のメール中継をイネーブルにします。
[Domain Name]:ローカル ドメインを指定します。
[Action]:Drop connection または Log。
• [Inspections]:このタブで ESMTP インスペクションのコンフィギュレーションを表示して、追加や編集ができます。
– [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
– [Criterion]:ESMTP インスペクションの基準を示します。
– [Value]:ESMTP インスペクションで照合する値を示します。
– [Action]:照合条件が一致したときのアクションを示します。
– [Add]:[Add ESMTP Inspect] ダイアログボックスが開き、ESMTP インスペクションを追加できます。
– [Edit]:Edit [ESMTP Inspect] ダイアログボックスが開き、ESMTP インスペクションを編集できます。
– [Delete]:ESMTP インスペクションを削除します。
– [Move Up]:インスペクションをリストの上に移動します。
– [Move Down]:インスペクションをリストの下に移動します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit ESMTP Inspect
[Add/Edit ESMTP Inspect] ダイアログボックスでは、ESMTP インスペクション マップの照合基準と値を定義できます。
• [Match Type]:トラフィックと値を一致させるかどうかを指定します。
たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。
• [Criterion]:ESMTP トラフィックに適用する照合基準を指定します。
– [Body Length]:本文の長さと指定した長さをバイト単位で照合します。
– [Body Line Length]:本文の行の長さと指定した長さをバイト単位で照合します。
– [Commands]:ESMTP プロトコルで交換されるコマンドを照合します。
– [Command Recipient Count]:コマンド宛先の数が指定した数より大きい場合に照合します。
– [Command Line Length]:コマンドラインが指定した長さより長い場合に、バイト単位で照合します。
– [EHLO Reply Parameters]:ESMTP の EHLO 応答パラメータを照合します。
– [Header Length]:ヘッダーの長さと指定した長さをバイト単位で照合します。
– [Header To Fields Count]:ヘッダーの [To] フィールドの数が指定した数より大きい場合に照合します。
– [Invalid Recipients Count]:無効な宛先の数が指定した数より大きい場合に照合します。
– [MIME File Type]:MIME ファイル タイプを照合します。
– [MIME Filename Length]:MIME ファイル名を照合します。
– [MIME Encoding]:MIME の符号化を照合します。
– [Sender Address]:送信者の電子メール アドレスを照合します。
– [Sender Address Length]:送信者の電子メール アドレスの長さを照合します。
• [Body Length Criterion Values]:本文の長さの照合値に関する詳細を指定します。
– [Greater Than Length]:本文の長さをバイト単位で指定します。
– [Action]:Reset、Drop connection、または Log。
• [Body Line Length Criterion Values]:本文の行の長さの照合値に関する詳細を指定します。
– [Greater Than Length]:本文の行の長さをバイト単位で指定します。
– [Action]:Reset、Drop connection、または Log。
• [Commands Criterion Values]:コマンドの照合値の詳細を指定します。
– [Add]:[Available Commands] テーブルで選択したコマンドを [Selected Commands] テーブルに追加します。
– [Remove]:選択したコマンドを [Selected Commands] テーブルから削除します。
– [Primary Action]:Mask、Reset、Drop Connection、None、または Limit Rate (pps)。
– [Rate Limit]:Do not limit rate、Limit Rate (pps)。
• [Command Recipient Count Criterion Values]:コマンド宛先の数の照合値に関する詳細を指定します。
– [Greater Than Count]:コマンド宛先の数を指定します。
– [Action]:Reset、Drop connection、または Log。
• [Command Line Length Criterion Values]:コマンドラインの長さの値に関する詳細を指定します。
– [Greater Than Length]:コマンドラインの長さをバイト単位で指定します。
– [Action]:Reset、Drop connection、または Log。
• [EHLO Reply Parameters Criterion Values]:EHLO 応答パラメータの照合値の詳細を指定します。
– [Add]:[Available Parameters] テーブルで選択したパラメータを [Selected Parameters] テーブルに追加します。
– [Remove]:選択したコマンドを [Selected Commands] テーブルから削除します。
– [Action]:Reset、Drop Connection、Mask、または Log。
• [Header Length Criterion Values]:ヘッダーの長さの照合値に関する詳細を指定します。
– [Greater Than Length]:ヘッダーの長さをバイト単位で指定します。
– [Action]:Reset、Drop Connection、Mask、または Log。
• [Header To Fields Count Criterion Values]:ヘッダーの To フィールド数の照合値に関する詳細を指定します。
– [Greater Than Count]:コマンド宛先の数を指定します。
– [Action]:Reset、Drop connection、または Log。
• [Invalid Recipients Count Criterion Values]:無効な宛先の数の照合値に関する詳細を指定します。
– [Greater Than Count]:コマンド宛先の数を指定します。
– [Action]:Reset、Drop connection、または Log。
• [MIME File Type Criterion Values]:MIME ファイル タイプの照合値の詳細を指定します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
– [Action]:Reset、Drop connection、または Log。
• [MIME Filename Length Criterion Values]:MIME ファイル名の長さの照合値に関する詳細を指定します。
– [Greater Than Length]:MIME ファイル名の長さをバイト単位で指定します。
– [Action]:Reset、Drop Connection、または Log。
• [MIME Encoding Criterion Values]:MIME の符号化の照合値に関する詳細を指定します。
– [Add]:[Available Encodings] テーブルで選択したパラメータを [Selected Encodings] テーブルに追加します。
– [Remove]:選択したコマンドを [Selected Commands] テーブルから削除します。
– [Action]:Reset、Drop Connection、または Log。
• [Sender Address Criterion Values]:送信者アドレスの照合値の詳細を指定します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
– [Action]:Reset、Drop Connection、または Log。
• [Sender Address Length Criterion Values]:送信者アドレスの長さの照合値に関する詳細を指定します。
– [Greater Than Length]:送信者アドレスの長さをバイト単位で指定します。
– [Action]:Reset、Drop Connection、または Log。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
FTP Inspect Map
[FTP] ペインでは、FTP アプリケーションの事前に設定されたインスペクション マップを表示できます。FTP マップでは、FTP アプリケーション インスペクションのデフォルト設定値を変更できます。
厳密な FTP インスペクションには、セキュリティと制御を向上させるためのコマンド フィルタリングとセキュリティ チェック機能が用意されています。プロトコルとの適合性のインスペクションには、パケットの長さのチェック、デリミタとパケットの形式のチェック、コマンドのターミネータのチェック、およびコマンドの検証が含まれます。
また、ユーザの値に基づいて FTP 接続をブロックできるので、FTP サイトにダウンロード用のファイルを置き、アクセスを特定のユーザだけに制限できます。ファイルのタイプ、サーバ名、および他の属性に基づいて、FTP 接続をブロックできます。インスペクション時に FTP 接続が拒否されると、システム メッセージのログが作成されます。
• [FTP Inspect Maps]:定義されている FTP インスペクション マップを一覧表示するテーブルです。
• [Add]:新しい FTP インスペクション マップを設定します。FTP インスペクション マップを編集するには、[FTP Inspect Maps] テーブルで FTP のエントリを選択し、[Customize] をクリックします。
• [Delete]:[FTP Inspect Maps] テーブルで選択したインスペクション マップを削除します。
• [Security Level]:セキュリティ レベル(Medium または Low)を選択します。
– [File Type Filtering]:[Type Filtering] ダイアログボックスを開き、ファイル タイプのフィルタを設定します。
– [Customize]:[Add/Edit FTP Policy Map] ダイアログボックスを開き、追加の設定を行います。
– [Default Level]:セキュリティ レベルをデフォルトの Medium レベルに戻します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
File Type Filtering
[File Type Filtering] ダイアログボックスでは、ファイル タイプ フィルタを設定できます。
• [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
• [Criterion]:インスペクションの基準を示します。
• [Value]:インスペクションで照合する値を示します。
• [Action]:照合条件が一致したときのアクションを示します。
• [Add]:[Add File Type Filter] ダイアログボックスが開き、ファイル タイプのフィルタを追加できます。
• [Edit]:[Edit File Type Filter] ダイアログボックスが開き、ファイル タイプのフィルタを編集できます。
• [Delete]:ファイル タイプのフィルタを削除します。
• [Move Down]:エントリをリストの下に移動します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit FTP Policy Map(セキュリティ レベル)
[Add/Edit FTP Policy Map] ペインでは、FTP アプリケーション インスペクション マップのセキュリティ レベルと追加の設定値を設定できます。
• [Name]:FTP マップの追加時に FTP マップの名前を入力します。FTP マップの編集時には、事前に設定した FTP マップの名前が表示されます。
• [Description]:FTP マップの説明を 200 文字以内で入力します。
• [Security Level]:セキュリティ レベル(Medium または Low)を選択します。
– [File Type Filtering]:[Type Filtering] ダイアログボックスを開き、ファイル タイプのフィルタを設定します。
– [Default Level]:セキュリティ レベルをデフォルトの Medium レベルに戻します。
• [Details]:詳細な設定を行うための [Parameters] タブと [Inspections] タブを表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit FTP Policy Map(詳細)
[Add/Edit FTP Policy Map] ペインでは、FTP アプリケーション インスペクション マップのセキュリティ レベルと追加の設定値を設定できます。
• [Name]:FTP マップの追加時に FTP マップの名前を入力します。FTP マップの編集時には、事前に設定した FTP マップの名前が表示されます。
• [Description]:FTP マップの説明を 200 文字以内で入力します。
• [Security Level]:設定するセキュリティ レベルとファイル タイプ フィルタリング設定を表示します。
• [Parameters]:このタブで FTP インスペクション マップのパラメータを設定します。
– [Mask greeting banner from the server]:FTP サーバとの接続時に表示されるバナーをマスクし、クライアントに対するサーバ情報の公開を防止します。
– [Mask reply to SYST command]:syst コマンドに対する応答をマスクし、クライアントに対するサーバ情報の公開を防止します。
• [Inspections]:このタブで FTP インスペクションのコンフィギュレーションを表示して、追加や編集ができます。
– [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
– [Criterion]:FTP インスペクションの基準を示します。
– [Value]:FTP インスペクションで照合する値を示します。
– [Action]:照合条件が一致したときのアクションを示します。
– [Add]:[Add FTP Inspect] ダイアログボックスが開き、FTP インスペクションを追加できます。
– [Edit]:[Edit FTP Inspect] ダイアログボックスが開き、FTP インスペクションを編集できます。
– [Delete]:FTP インスペクションを削除します。
– [Move Up]:インスペクションをリストの上に移動します。
– [Move Down]:インスペクションをリストの下に移動します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit FTP Map
[Add/Edit FTP Inspect] ダイアログボックスでは、FTP インスペクション マップの照合基準と値を定義できます。
• [Single Match]:FTP インスペクションに照合文が 1 つだけの場合に指定します。
• [Match Type]:トラフィックと値を一致させるかどうかを指定します。
たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。
• [Criterion]:FTP トラフィックに適用する照合基準を指定します。
– [Request-Command]:FTP 要求コマンドを照合します。
– [File Name]:FTP 転送のファイル名を照合します。
– [File Type]:FTP 転送のファイル タイプを照合します。
• [Request Command Criterion Values]:FTP 要求コマンドの照合値の詳細を指定します。
CDUP:現在の作業ディレクトリの親ディレクトリに移動するコマンド
SITE:サーバ システム固有のコマンド。通常、リモート管理に使用します。
STOU:一意のファイル名を使用してファイル名を保存するコマンド
• [File Name Criterion Values]:FTP ファイル名の照合値の詳細を指定します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [File Type Criterion Values]:FTP ファイル タイプの照合値の詳細を指定します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Server Criterion Values]:FTP サーバの照合値の詳細を指定します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [User Name Criterion Values]:FTP ユーザ名の照合値の詳細を指定します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Multiple Matches]:FTP インスペクションの複数の照合文を指定します。
– [FTP Traffic Class]:FTP トラフィック クラスを照合します。
– [Manage]:[Manage FTP Class Maps] ダイアログボックスが開き、FTP クラス マップの追加、編集、削除ができます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
GTP Inspect Map
[GTP] ペインでは、GTP アプリケーションの事前に設定されたインスペクション マップを表示できます。GTP マップでは、GTP アプリケーション インスペクションのデフォルト設定値を変更できます。
GTP は比較的新しいプロトコルで、インターネットなど TCP/IP ネットワークと無線接続する場合のセキュリティを提供します。GTP マップを使用して、タイムアウト値、メッセージ サイズ、トンネル数、およびセキュリティ アプライアンスを通過する GTP バージョンを制御できます。
(注) GTP インスペクションには、特別なライセンスが必要です。
• [GTP Inspect Maps]:定義されている GTP インスペクション マップを一覧表示するテーブルです。
• [Add]:新しい GTP インスペクション マップを設定します。GTP インスペクション マップを編集するには、[GTP Inspect Maps] テーブルで GTP のエントリを選択し、[Customize] をクリックします。
• [Delete]:[GTP Inspect Maps] テーブルで選択したインスペクション マップを削除します。
• [Security Level]:セキュリティ レベルは常に Low です。
• [IMSI Prefix Filtering]:[IMSI Prefix Filtering] ダイアログボックスを開き、IMSI プレフィックス フィルタを設定します。
• [Customize]:[Add/Edit GTP Policy Map] ダイアログボックスを開き、追加の設定を行います。
• [Default Level]:セキュリティ レベルをデフォルトに戻します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
IMSI Prefix Filtering
[IMSI Prefix] タブでは、GTP 要求の中で使用できるように IMSI プレフィックスを定義できます。
• [Mobile Country Code]:0 以外の 3 桁の値でモバイル カントリ コードを定義します。エントリが 1 桁または 2 桁の場合には、その先頭に 0 が付加されて 3 桁の値が作成されます。
• [Mobile Network Code]:2 桁または 3 桁の数字でネットワーク コードを定義します。
• [Add]:指定したカントリ コードとネットワーク コードを IMSI Prefix テーブルに追加します。
• [Delete]:指定したカントリ コードとネットワーク コードを IMSI Prefix テーブルから削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit GTP Policy Map(セキュリティ レベル)
[Add/Edit GTP Policy Map] ペインでは、GTP アプリケーション インスペクション マップのセキュリティ レベルと追加の設定値を設定できます。
• [Name]:GTP マップの追加時に GTP マップの名前を入力します。GTP マップの編集時には、事前に設定した GTP マップの名前が表示されます。
• [Description]:GTP マップの説明を 200 文字以内で入力します。
• [Security Level]:セキュリティ レベルは常に Low です。
– [IMSI Prefix Filtering]:[IMSI Prefix Filtering] ダイアログボックスを開き、IMSI プレフィックス フィルタを設定します。
– [Default Level]:セキュリティ レベルをデフォルトに戻します。
• [Details]:詳細な設定を行うための [Parameters] タブ、[IMSI Prefix Filtering] タブ、および [Inspections] タブを表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit GTP Policy Map(詳細)
[Add/Edit GTP Policy Map] ペインでは、GTP アプリケーション インスペクション マップのセキュリティ レベルと追加の設定値を設定できます。
• [Name]:GTP マップの追加時に GTP マップの名前を入力します。GTP マップの編集時には、事前に設定した GTP マップの名前が表示されます。
• [Description]:GTP マップの説明を 200 文字以内で入力します。
• [Security Level]:設定するセキュリティ レベルと IMSI プレフィックス フィルタリング設定を表示します。
• [Permit Parameters]:このタブで GTP インスペクション マップの許可パラメータを設定します。
[From object group]:オブジェクト グループを指定して、または [Browse] ボタンをクリックして、[Add Network Object Group] ダイアログボックスを開きます。
[To object group]:オブジェクト グループを指定して、または [Browse] ボタンをクリックして、[Add Network Object Group] ダイアログボックスを開きます。
– [Add]:指定したカントリ コードとネットワーク コードを IMSI Prefix テーブルに追加します。
– [Delete]:指定したカントリ コードとネットワーク コードを IMSI Prefix テーブルから削除します。
– [Permit Errors]:無効なパケットやインスペクション時にエラーが見つかったパケットを、ドロップしないでセキュリティ アプライアンスから送信します。デフォルトでは、解析時に失敗したすべての無効パケットがドロップされます。
• [General Parameters]:このタブで GTP インスペクション マップの一般パラメータを設定します。
– [Maximum Number of Requests]:許容される要求キュー サイズのデフォルト最大値を変更できます。要求キュー サイズのデフォルト最大値は 200 です。キューで応答待ちができる GTP 要求数の最大値を指定します。1 ~ 9999999 の範囲で指定できます。
– [Maximum Number of Tunnels]:許容されるトンネル数のデフォルト最大値を変更できます。デフォルトのトンネル制限値は 500 です。許可されるトンネルの最大数を指定します。グローバルなトンネル全体の制限値を 1 ~ 9999999 の範囲で指定できます。
[GSN timeout]:GSN を削除するまでの、非アクティブ期間のデフォルト最大値を変更できます。デフォルトは 30 分です。タイムアウト値を hh:mm:ss 形式で指定します。ここで hh は時間、mm は分、ss は秒です。値 0 は、切断しないことを意味します。
[PDP-Context timeout]:GTP セッションで PDP コンテキストを受け取るまでの、非アクティブ期間のデフォルト最大値を変更できます。デフォルトは 30 分です。タイムアウト値を hh:mm:ss 形式で指定します。ここで hh は時間、mm は分、ss は秒です。値 0 は、切断しないことを意味します。
[Request Queue]:GTP セッション中に GTP メッセージを受け取るまでの、非アクティブ期間のデフォルト最大値を変更できます。デフォルトは 1 分です。タイムアウト値を hh:mm:ss 形式で指定します。ここで hh は時間、mm は分、ss は秒です。値 0 は、切断しないことを意味します。
[Signaling]:GTP シグナリングを削除するまでの、非アクティブ期間のデフォルト最大値を変更できます。デフォルトは 30 分です。タイムアウト値を hh:mm:ss 形式で指定します。ここで hh は時間、mm は分、ss は秒です。値 0 は、切断しないことを意味します。
[Tunnel]:GTP トンネルの非アクティブ期間のデフォルト最大値を変更できます。デフォルトは 1 時間です。タイムアウト値を hh:mm:ss 形式で指定します。ここで hh は時間、mm は分、ss は秒です。値 0 は切断しないことを意味します。
[Request timeout]:GTP 要求のアイドル タイムアウト値を指定します。
[T3-Response timeout]:接続を削除するまでの、応答待ち時間の最大値を指定します。
• [IMSI Prefix Filtering]:このタブで GTP インスペクション マップの IMSI プレフィックス フィルタリングを設定します。
– [Mobile Country Code]:0 以外の 3 桁の値でモバイル カントリ コードを定義します。エントリが 1 桁または 2 桁の場合には、その先頭に 0 が付加されて 3 桁の値が作成されます。
– [Mobile Network Code]:2 桁または 3 桁の数字でネットワーク コードを定義します。
– [Add]:指定したカントリ コードとネットワーク コードを IMSI Prefix テーブルに追加します。
– [Delete]:指定したカントリ コードとネットワーク コードを IMSI Prefix テーブルから削除します。
• [Inspections]:このタブで GTP インスペクション マップを設定します。
– [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
– [Criterion]:GTP インスペクションの基準を示します。
– [Value]:GTP インスペクションで照合する値を示します。
– [Action]:照合条件が一致したときのアクションを示します。
– [Add]:[Add GTP Inspect] ダイアログボックスが開き、GTP インスペクションを追加できます。
– [Edit]:[Edit GTP Inspect] ダイアログボックスが開き、GTP インスペクションを編集できます。
– [Delete]:GTP インスペクションを削除します。
– [Move Up]:インスペクションをリストの上に移動します。
– [Move Down]:インスペクションをリストの下に移動します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit GTP Map
[Add/Edit GTP Inspect] ダイアログボックスでは、GTP インスペクション マップの照合基準と値を定義できます。
• [Match Type]:トラフィックと値を一致させるかどうかを指定します。
たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。
• [Criterion]:GTP トラフィックに適用する照合基準を指定します。
– [Access Point Name]:アクセス ポイント名を照合します。
– [Message ID]:メッセージ ID を照合します。
– [Message Length]:メッセージの長さを照合します。
• [Access Point Name Criterion Values]:照合するアクセス ポイント名を指定します。デフォルトでは、有効な APN のメッセージをすべて検査します。すべての APN が指定できます。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Message ID Criterion Values]:照合するメッセージの数値識別子を指定します。有効な指定範囲は 1 ~ 255 です。デフォルトでは、すべての有効なメッセージ ID が許可されます。
– [Value]:値を完全一致で照合するか、範囲で照合するかを指定します。
– [Action]:Drop packet または limit rate (pps)。
• [Message Length Criterion Values]:許可される UDP ペイロードの、メッセージの長さのデフォルト最大値を変更できます。
– [Minimum value]:UDP ペイロードの最小バイト数を指定します。範囲は、1 ~ 65536 です。
– [Maximum value]:UDP ペイロードの最大バイト数を指定します。範囲は、1 ~ 65536 です。
• [Version Criterion Values]:照合するメッセージの GTP バージョンを指定します。有効な指定範囲は 0 ~ 255 です。バージョン 0 を指定するには 0 を使用し、バージョン 1 を指定するには 1 を使用します。GTP のバージョン 0 はポート 3386 を使用し、バージョン 1 はポート 2123 を使用します。デフォルトでは、すべての GTP バージョンが許可されます。
– [Value]:値を完全一致で照合するか、範囲で照合するかを指定します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
H.323 Inspect Map
[H.323] ペインでは、H.323 アプリケーションの事前に設定されたインスペクション マップを表示できます。H.323 マップでは、H.323 アプリケーション インスペクションのデフォルト設定値を変更できます。
H.323 インスペクションは RAS、H.225、H.245 をサポートし、埋め込まれた IP アドレスとポートをすべて変換する機能を備えています。ステートのトラッキングとフィルタリングを実行し、インスペクション機能のアクティベーションをカスケードできます。H.323 インスペクションは、電話番号のフィルタリング、T.120 のダイナミック制御、H.245 のトンネル機能制御、HSI グループ、プロトコルのステート トラッキング、H.323 通話時間制限の適用、音声/ビデオ制御をサポートします。
• [H.323 Inspect Maps]:定義されている H.323 インスペクション マップを一覧表示するテーブルです。
• [Add]:新しい H.323 インスペクション マップを設定します。H.323 インスペクション マップを編集するには、[H.323 Inspect Maps] テーブルで H.323 のエントリを選択し、[Customize] をクリックします。
• [Delete]:[H.323 Inspect Maps] テーブルで選択したインスペクション マップを削除します。
• [Security Level]:セキュリティ レベル(High、Medium、Low)を選択します。
ペイロードを音声またはビデオに限定してシグナリング交換を適用:しない
ペイロードを音声またはビデオに限定してシグナリング交換を適用:する
– [Phone Number Filtering]:[Phone Number Filtering] ダイアログボックスが開き、電話番号フィルタを設定できます。
– [Customize]:[Add/Edit H.323 Policy Map] ダイアログボックスを開き、追加の設定を行います。
– [Default Level]:セキュリティ レベルをデフォルトの Medium レベルに戻します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Phone Number Filtering
[Phone Number Filtering] ダイアログボックスでは、電話番号のフィルタを設定できます。
• [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
• [Criterion]:インスペクションの基準を示します。
• [Value]:インスペクションで照合する値を示します。
• [Action]:照合条件が一致したときのアクションを示します。
• [Add]:[Add Phone Number Filter] ダイアログボックスが開き、電話番号のフィルタを追加できます。
• [Edit]:[Edit Phone Number Filter] ダイアログボックスが開き、電話番号を編集できます。
• [Move Down]:エントリをリストの下に移動します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit H.323 Policy Map(セキュリティ レベル)
[Add/Edit H.323 Policy Map] ペインでは、H.323 アプリケーション インスペクション マップのセキュリティ レベルと追加の設定値を設定できます。
• [Name]:H.323 マップの追加時に H.323 マップの名前を入力します。H.323 マップの編集時には、事前に設定した H.323 マップの名前が表示されます。
• [Description]:H323 マップの説明を 200 文字以内で入力します。
• [Security Level]:セキュリティ レベル(High、Medium、Low)を選択します。
ペイロードを音声またはビデオに限定してシグナリング交換を適用:しない
ペイロードを音声またはビデオに限定してシグナリング交換を適用:する
– [Phone Number Filtering]:[Phone Number Filtering] ダイアログボックスが開き、電話番号のフィルタを設定できます。
– [Default Level]:セキュリティ レベルをデフォルトに戻します。
• [Details]:詳細な設定を行うための [State Checking] タブ、[Call Attributes] タブ、[Tunneling and Protocol Conformance] タブ、[HSI Group Parameters] タブ、および [Inspections] タブを表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit H.323 Policy Map(詳細)
[Add/Edit H.323 Policy Map] ペインでは、H.323 アプリケーション インスペクション マップのセキュリティ レベルと追加の設定値を設定できます。
• [Name]:H.323 マップの追加時に H.323 マップの名前を入力します。H.323 マップの編集時には、事前に設定した H.323 マップの名前が表示されます。
• [Description]:H.323 マップの説明を 200 文字以内で入力します。
• [Security Level]:設定するセキュリティ レベルと電話番号フィルタリング設定を表示します。
• [State Checking]:このタブで H.323 インスペクション マップの状態確認パラメータを設定します。
– [Check state transition of H.225 messages]:H.323 の状態確認を H.225 メッセージに適用します。
– [Check state transition of RAS messages]:H.323 の状態確認を RAS メッセージに適用します。
• [Call Attributes]:このタブで H.323 インスペクション マップのコール属性パラメータを設定します。
– [Enforce call duration limit]:通話を一定の時間で制限します。
[Call Duration Limit]:通話制限時間(hh:mm:ss)。
– [Enforce presence of calling and called party numbers]:通話設定時に、強制的に発信側の番号を送信します。
• [Tunneling and Protocol Conformance]:このタブで H.323 インスペクション マップのトンネリングとプロトコル準拠パラメータを設定します。
– [Check for H.245 tunneling]:H.245 のトンネリングを許可します。
[Action]:Drop connection または Log。
– [Check RTP packets for protocol conformance]:ピンホールの RTP/RTCP パケットがプロトコルに準拠しているかどうかをチェックします。
[Limit payload to audio or video, based on the signaling exchange]:ペイロード タイプを強制的に音声やビデオにして、シグナリング交換を適用します。
• [HSI Group Parameters]:このタブで HSI グループを設定します。
– [HSI Group ID]:HSI グループの ID を示します。
– [IP Address]:HSI グループの IP アドレスを示します。
– [Endpoints]:HSI グループのエンドポイントを示します。
– [Add]:[Add HSI Group] ダイアログボックスが開き、HSI グループを追加できます。
– [Edit]:[Edit HSI Group] ダイアログボックスが開き、HSI グループを編集できます。
• [Inspections]:このタブで H.323 インスペクションのコンフィギュレーションを表示して、追加や編集ができます。
– [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
– [Criterion]:H.323 インスペクションの基準を示します。
– [Value]:H.323 インスペクションで照合する値を示します。
– [Action]:照合条件が一致したときのアクションを示します。
– [Add]:[Add H.323 Inspect] ダイアログボックスが開き、H.323 インスペクションを追加できます。
– [Edit]:[Edit H.323 Inspect] ダイアログボックスが開き、H.323 インスペクションを編集できます。
– [Delete]:H.323 インスペクションを削除します。
– [Move Up]:インスペクションをリストの上に移動します。
– [Move Down]:インスペクションをリストの下に移動します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit HSI Group
[Add/Edit HSI Group] ダイアログボックスでは、HSI グループを設定できます。
• [Group ID]:HSI のグループ ID を入力します。
• [IP Address]:HSI の IP アドレスを入力します。
• [Endpoints]:エンドポイントの IP アドレスとインターフェイスを設定します。
– [IP Address]:エンドポイントの IP アドレスを入力します。
– [Interface]:エンドポイントのインターフェイスを指定します。
• [Delete]:選択した HSI グループを削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit H.323 Map
[Add/Edit H.323 Inspect] ダイアログボックスでは、H.323 インスペクション マップの照合基準と値を定義できます。
• [Single Match]:H.323 インスペクションに照合文が 1 つだけの場合に指定します。
• [Match Type]:トラフィックと値を一致させるかどうかを指定します。
たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。
• [Criterion]:H.323 トラフィックに適用する照合基準を指定します。
– [Media Type]:メディア タイプを照合します。
• [Called Party Criterion Values]:H.323 受信側の照合方法を指定します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Calling Party Criterion Values]:H.323 発信元の照合方法を指定します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Media Type Criterion Values]:照合するメディア タイプを指定します。
• [Multiple Matches]:H.323 インスペクションの複数の照合文を指定します。
– [H323 Traffic Class]:H.323 トラフィック クラスを照合します。
– [Manage]:[Manage H.323 Class Maps] ダイアログボックスが開き、H.323 クラス マップの追加、編集、削除ができます。
• [Action]:Drop Packet、Drop Connection、または Reset。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
HTTP Inspect Map
[HTTP] ペインでは、HTTP アプリケーションの事前に設定されたインスペクション マップを表示できます。HTTP マップでは、HTTP アプリケーション インスペクションのデフォルト設定値を変更できます。
HTTP アプリケーション インスペクションで HTTP のヘッダーと本文をスキャンし、さまざまなデータ チェックができます。これらのチェックで、HTTP 構築、コンテンツ タイプ、トンネル プロトコル、メッセージ プロトコルなどがセキュリティ アプライアンスを通過することを防止します。
HTTP アプリケーション インスペクションでトンネル アプリケーションと ASCII 以外の文字を含む HTTP 要求や応答をブロックして、悪意のあるコンテンツが Web サーバに到達することを防ぎます。HTTP 要求や応答ヘッダーのさまざまな要素のサイズ制限、URL のブロッキング、HTTP サーバ ヘッダー タイプのスプーフィングもサポートされています。
• [HTTP Inspect Maps]:定義されている HTTP インスペクション マップを一覧表示するテーブルです。
• [Add]:新しい HTTP インスペクション マップを設定します。HTTP インスペクション マップを編集するには、[HTTP Inspect Maps] テーブルで HTTP のエントリを選択し、[Customize] をクリックします。
• [Delete]:[HTTP Inspect Maps] テーブルで選択したインスペクション マップを削除します。
• [Security Level]:セキュリティ レベル(High、Medium、Low)を選択します。
プロトコル違反時のアクション:Drop connection
要求のヘッダーに ASCII 以外の文字が含まれる場合の接続ドロップ:ディセーブル
プロトコル違反時のアクション:Drop connection
安全でない方式の接続ドロップ:GET、HEAD、POST だけを許可
要求のヘッダーに ASCII 以外の文字が含まれる場合の接続ドロップ:ディセーブル
プロトコル違反時のアクション:Drop Connection と Log
要求のヘッダーに ASCII 以外の文字が含まれる場合の接続ドロップ:イネーブル
– [URI Filtering]:[URI Filtering] ダイアログボックスが開き、URI フィルタを設定できます。
– [Customize]:[Edit HTTP Policy Map] ダイアログボックスを開き、追加の設定を行います。
– [Default Level]:セキュリティ レベルをデフォルトの Medium レベルに戻します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
URI Filtering
[URI Filtering] ダイアログボックスでは、URI フィルタを設定できます。
• [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
• [Criterion]:インスペクションの基準を示します。
• [Value]:インスペクションで照合する値を示します。
• [Action]:照合条件が一致したときのアクションを示します。
• [Add]:[Add URI Filtering] ダイアログボックスが開き、URI フィルタを追加できます。
• [Edit]:[Edit URI Filtering] ダイアログボックスが開き、URI フィルタを編集できます。
• [Move Down]:エントリをリストの下に移動します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit HTTP Policy Map(セキュリティ レベル)
[Add/Edit HTTP Policy Map] ペインでは、HTTP アプリケーション インスペクション マップのセキュリティ レベルと追加の設定値を設定できます。
• [Name]:HTTP マップの追加時に HTTP マップの名前を入力します。HTTP マップの編集時には、事前に設定した HTTP マップの名前が表示されます。
• [Description]:HTTP マップの説明を 200 文字以内で入力します。
• [Security Level]:セキュリティ レベル(High、Medium、Low)を選択します。
プロトコル違反時のアクション:Drop connection
要求のヘッダーに ASCII 以外の文字が含まれる場合の接続ドロップ:ディセーブル
プロトコル違反時のアクション:Drop connection
安全でない方式の接続ドロップ:GET、HEAD、POST だけを許可
要求のヘッダーに ASCII 以外の文字が含まれる場合の接続ドロップ:ディセーブル
プロトコル違反時のアクション:Drop Connection と Log
要求のヘッダーに ASCII 以外の文字が含まれる場合の接続ドロップ:イネーブル
– [URI Filtering]:[URI Filtering] ダイアログボックスが開き、URI フィルタを設定します。
– [Default Level]:セキュリティ レベルをデフォルトに戻します。
• [Details]:詳細な設定を行うための [Parameters] タブと [Inspections] タブを表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit HTTP Policy Map(詳細)
[Add/Edit HTTP Policy Map] ペインでは、HTTP アプリケーション インスペクション マップのセキュリティ レベルと追加の設定値を設定できます。
• [Name]:HTTP マップの追加時に HTTP マップの名前を入力します。HTTP マップの編集時には、事前に設定した HTTP マップの名前が表示されます。
• [Description]:HTTP マップの説明を 200 文字以内で入力します。
• [Security Level]:設定するセキュリティ レベルと URI フィルタリング設定を表示します。
• [Parameters]:このタブで HTTP インスペクション マップのパラメータを設定します。
– [Check for protocol violations]:HTTP プロトコル違反の有無をチェックします。
[Action]:Drop Connection、Reset、Log。
– [Spoof server string]:サーバの HTTP ヘッダーの値を指定の文字列で置き換えます。
[Spoof String]:サーバのヘッダー フィールドと置き換える文字列を入力します。最大 82 文字まで入力できます。
– [Body Match Maximum]:HTTP メッセージの本文照合時に検索される、最大文字数です。デフォルトは 200 バイトです。大きな値を指定すると、パフォーマンスに大きな影響を与えます。
• [Inspections]:このタブで HTTP インスペクションのコンフィギュレーションを表示して、追加や編集ができます。
– [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
– [Criterion]:HTTP インスペクションの基準を示します。
– [Value]:HTTP インスペクションで照合する値を示します。
– [Action]:照合条件が一致したときのアクションを示します。
– [Add]:[Add HTTP Inspect] ダイアログボックスが開き、HTTP インスペクションを追加できます。
– [Edit]:[Edit HTTP Inspect] ダイアログボックスが開き、HTTP インスペクションを編集できます。
– [Delete]:HTTP インスペクションを削除します。
– [Move Up]:インスペクションをリストの上に移動します。
– [Move Down]:インスペクションをリストの下に移動します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit HTTP Map
[Add/Edit HTTP Inspect] ダイアログボックスでは、HTTP インスペクション マップの照合基準と値を定義できます。
• [Single Match]:HTTP インスペクションに照合文が 1 つだけの場合に指定します。
• [Match Type]:トラフィックと値を一致させるかどうかを指定します。
たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。
• [Criterion]:HTTP トラフィックに適用する照合基準を指定します。
– [Request/Response Content Type Mismatch]:応答のコンテンツ タイプが要求の accept フィールドの MIME タイプの 1 つと一致する必要があることを指定します。
– [Request Arguments]:要求の引数に正規表現照合を適用します。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
[Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
– [Request Body Length]:要求の本文に指定したバイト数より長いフィールドがある場合、正規表現で照合します。
[Greater Than Length]:要求フィールドの長さと照合するフィールドの値をバイト単位で入力します。
– [Request Body]:要求の本文に正規表現照合を適用します。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
[Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
– [Request Header Field Count]:要求ヘッダーのフィールド数が最大値の場合、正規表現で照合します。
[Predefined]:要求のヘッダー フィールドを次の中から指定します。accept、accept-charset、accept-encoding、accept-language、allow、authorization、cache-control、connection、content-encoding、content-language、content-length、content-location、content-md5、content-range、content-type、cookie、date、expect、expires、from、host、if-match、if-modified-since、if-none-match、if-range、if-unmodified-since、last-modified、max-forwards、pragma、proxy-authorization、range、referer、te、trailer、transfer-encoding、upgrade、user-agent、via、warning。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Greater Than Count]:ヘッダー フィールド数の最大値を入力します。
– [Request Header Field Length]:要求ヘッダーに指定したバイト数より長いフィールドがある場合、正規表現で照合します。
[Predefined]:要求のヘッダー フィールドを次の中から指定します。accept、accept-charset、accept-encoding、accept-language、allow、authorization、cache-control、connection、content-encoding、content-language、content-length、content-location、content-md5、content-range、content-type、cookie、date、expect、expires、from、host、if-match、if-modified-since、if-none-match、if-range、if-unmodified-since、last-modified、max-forwards、pragma、proxy-authorization、range、referer、te、trailer、transfer-encoding、upgrade、user-agent、via、warning。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Greater Than Length]:要求フィールドの長さと照合するフィールドの値をバイト単位で入力します。
– [Request Header Field]:要求のヘッダーに正規表現照合を適用します。
[Predefined]:要求のヘッダー フィールドを次の中から指定します。accept、accept-charset、accept-encoding、accept-language、allow、authorization、cache-control、connection、content-encoding、content-language、content-length、content-location、content-md5、content-range、content-type、cookie、date、expect、expires、from、host、if-match、if-modified-since、if-none-match、if-range、if-unmodified-since、last-modified、max-forwards、pragma、proxy-authorization、range、referer、te、trailer、transfer-encoding、upgrade、user-agent、via、warning。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
[Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
– [Request Header Count]:要求ヘッダー数が最大値の場合、正規表現で照合します。
[Greater Than Count]:ヘッダー数の最大値を入力します。
– [Request Header Length]:要求ヘッダーが指定したバイト数より長い場合、正規表現で照合します。
[Greater Than Length]:ヘッダーの長さをバイト単位で入力します。
– [Request Header non-ASCII]:要求ヘッダーに含まれる ASCII 以外の文字を照合します。
– [Request Method]:要求の方式を正規表現で照合します。
[Method]:照合する要求方式を次の中から指定します。bcopy、bdelete、bmove、bpropfind、bproppatch、connect、copy、delete、edit、get、getattribute、getattributenames、getproperties、head、index、lock、mkcol、mkdir、move、notify、options、poll、post、propfind、proppatch、put、revadd、revlabel、revlog、revnum、save、search、setattribute、startrev、stoprev、subscribe、trace、unedit、unlock、unsubscribe。
[Regular Expression]:正規表現の照合方法を指定します。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
[Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
– [Request URI Length]:要求の URI が指定したバイト数より長い場合、正規表現で照合します。
[Greater Than Length]:URI の長さをバイト単位で入力します。
– [Request URI]:要求の URI に正規表現照合を適用します。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
[Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
– [Response Body]:要求の本文を regex で照合します。
[ActiveX]:ActiveX の照合方法を指定します。
[Java Applet]:Java アプレットの照合方法を指定します。
[Regular Expression]:正規表現の照合方法を指定します。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
[Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
– [Response Body Length]:応答の本文に指定したバイト数より長いフィールドがある場合、正規表現で照合します。
[Greater Than Length]:応答フィールドの長さと照合するフィールドの値をバイト単位で入力します。
– [Response Header Field Count]:応答ヘッダーのフィールド数が最大値の場合、正規表現で照合します。
[Predefined]:応答のヘッダー フィールドを次の中から指定します。accept-ranges、age、allow、cache-control、connection、content-encoding、content-language、content-length、content-location、content-md5、content-range、content-type、date、etag、expires、last-modified、location、pragma、proxy-authenticate、retry-after、server、set-cookie、trailer、transfer-encoding、upgrade、vary、via、warning、www-authenticate。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Greater Than Count]:ヘッダー フィールド数の最大値を入力します。
– [Response Header Field Length]:応答ヘッダーに指定したバイト数より長いフィールドがある場合、正規表現で照合します。
[Predefined]:応答のヘッダー フィールドを次の中から指定します。accept-ranges、age、allow、cache-control、connection、content-encoding、content-language、content-length、content-location、content-md5、content-range、content-type、date、etag、expires、last-modified、location、pragma、proxy-authenticate、retry-after、server、set-cookie、trailer、transfer-encoding、upgrade、vary、via、warning、www-authenticate。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Greater Than Length]:応答フィールドの長さと照合するフィールドの値をバイト単位で入力します。
– [Response Header Field]:応答のヘッダーに正規表現照合を適用します。
[Predefined]:応答のヘッダー フィールドを次の中から指定します。accept-ranges、age、allow、cache-control、connection、content-encoding、content-language、content-length、content-location、content-md5、content-range、content-type、date、etag、expires、last-modified、location、pragma、proxy-authenticate、retry-after、server、set-cookie、trailer、transfer-encoding、upgrade、vary、via、warning、www-authenticate。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
[Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
– [Response Header Count]:応答ヘッダー数が最大値の場合、正規表現で照合します。
[Greater Than Count]:ヘッダー数の最大値を入力します。
– [Response Header Length]:応答ヘッダーが指定したバイト数より長い場合、正規表現で照合します。
[Greater Than Length]:ヘッダーの長さをバイト単位で入力します。
– [Response Header non-ASCII]:応答ヘッダーに含まれる ASCII 以外の文字を照合します。
– [Response Status Line]:ステータス行を正規表現で照合します。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
[Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Multiple Matches]:HTTP インスペクションの複数の照合文を指定します。
– [H323 Traffic Class]:HTTP トラフィック クラスを照合します。
– [Manage]:[Manage HTTP Class Maps] ダイアログボックスが開き、HTTP クラス マップの追加、編集、削除ができます。
• [Action]:Drop connection、Reset、または Log。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Instant Messaging (IM) Inspect Map
[IM] ペインでは、インスタント メッセージ(IM)アプリケーションの事前に設定されたインスペクション マップを表示できます。インスタント メッセージ(IM)マップでは、インスタント メッセージ(IM)アプリケーション インスペクションのデフォルト設定値を変更できます。
インスタント メッセージ(IM)アプリケーション インスペクションで、ネットワーク アクセスの使用量を詳細に制御できます。また、機密情報の漏洩やその他の攻撃からネットワークを守ります。正規表現データベースのさまざまな検索パターンを使って、インスタント メッセージ(IM)をフィルタできます。フローが認識されない場合は、syslog が生成されます。
スコープを限定するには、アクセス リストから検査するトラフィック ストリームを指定します。UDP メッセージの場合、対応する UDP ポート番号も設定できます。Yahoo!Messenger および MSN Messenger のインスタント メッセージのインスペクションもサポートされています。
• [Name]:インスペクション マップの名前を 40 文字以内で入力します。
• [Description]:インスペクション マップの説明を 200 文字以内で入力します。
• [IM Inspect Maps]:定義されている IM インスペクション マップを一覧表示するテーブルです。
• [Add]:新しい IM インスペクション マップを設定します。
• [Edit]:[IM Inspect Maps] テーブルで選択した IM のエントリを編集します。
• [Delete]:[IM Inspect Maps] テーブルで選択したインスペクション マップを削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit Instant Messaging (IM) Policy Map
[Add/Edit Instant Messaging (IM) Policy Map] ペインでは、IM アプリケーション インスペクション マップのセキュリティ レベルと追加の設定値を設定できます。
• [Name]:IM マップの追加時に IM マップの名前を入力します。IM マップの編集時には、事前に設定した IM マップの名前が表示されます。
• [Description]:IM マップの説明を 200 文字以内で入力します。
• [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
• [Criterion]:IM インスペクションの基準を示します。
• [Value]:IM インスペクションで照合する値を示します。
• [Action]:照合条件が一致したときのアクションを示します。
• [Add]:[Add IM Inspect] ダイアログボックスが開き、IM インスペクションを追加できます。
• [Edit]:[Edit IM Inspect] ダイアログボックスが開き、IM インスペクションを編集できます。
• [Move Up]:インスペクションをリストの上に移動します。
• [Move Down]:インスペクションをリストの下に移動します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit IM Map
[Add/Edit IM Inspect] ダイアログボックスでは、IM インスペクション マップの照合基準と値を定義できます。
• [Single Match]:IM インスペクションに照合文が 1 つだけの場合に指定します。
• [Match Type]:トラフィックと値を一致させるかどうかを指定します。
たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。
• [Criterion]:IM トラフィックに適用する照合基準を指定します。
– [Source IP Address]:送信元 IP アドレスを照合します。
– [Destination IP Address]:宛先 IP アドレスを照合します。
– [Version]:IM ファイル転送のサービス バージョンを照合します。
– [Client Login Name]:IM サービスのクライアント ログイン名を照合します。
– [Client Peer Login Name]:IM サービスのクライアントのピア ログイン名を照合します。
– [Filename]:IM ファイル転送サービスのファイル名を照合します。
• [Protocol Criterion Values]:照合する IM プロトコルを指定します。
– [Yahoo!Messenger]:Yahoo!Messenger のインスタント メッセージを照合します。
– [MSN Messenger]:MSN Messenger のインスタント メッセージを照合します。
• [Service Criterion Values]:照合する IM サービスを指定します。
– [Chat]:IM メッセージ チャット サービスを照合します。
– [Conference]:IM コンファレンス サービスを照合します。
– [File Transfer]:IM ファイル転送サービスを照合します。
– [Voice Chat]:IM 音声チャット サービスを照合します(Yahoo の IM は対象外です)。
– [Web Cam]:IM Web カメラ サービスを照合します。
• [Source IP Address Criterion Values]:IM サービスで照合する送信元 IP アドレスを指定します。
– [IP Address]:IM サービスの送信元 IP アドレスを入力します。
– [IP Mask]:送信元 IP アドレスのマスクです。
• [Destination IP Address Criterion Values]:IM サービスで照合する宛先 IP アドレスを指定します。
– [IP Address]:IM サービスの宛先 IP アドレスを入力します。
• [Version Criterion Values]:IM ファイル転送サービスで照合するバージョンを指定します。正規表現で照合します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Client Login Name Criterion Values]:IM サービスで照合するクライアント ログイン名を指定します。正規表現で照合します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Client Peer Login Name Criterion Values]:IM サービスで照合するクライアントのピア ログイン名を指定します。正規表現で照合します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Filename Criterion Values]:IM ファイル転送サービスで照合するファイル名を指定します。正規表現で照合します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Multiple Matches]:IM インスペクションの複数の照合文を指定します。
– [IM Traffic Class]:IM トラフィック クラスを照合します。
– [Manage]:[Manage IM Class Maps] ダイアログボックスが開き、IM クラス マップの追加、編集、削除ができます。
• [Action]:Drop connection、Reset、または Log。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
IPSec Pass Through Inspect Map
[IPSec Pass Through] ペインでは、IPSec パススルー アプリケーションの事前に設定されたインスペクション マップを表示できます。IPSec パススルー マップでは、IPSec パススルー アプリケーション インスペクションのデフォルト設定値を変更できます。IPSec パススルー マップを使用すると、アクセス リストを参照しなくても、特定のフローを許可できます。
• [IPSec Pass Through Inspect Maps]:定義されている IPSec パススルー インスペクション マップを一覧表示するテーブルです。
• [Add]:新しい IPSec パススルー インスペクション マップを設定します。IPSec パススルー インスペクション マップを編集するには、[IPSec Pass Through Inspect Maps] テーブルで IPSec パススルーのエントリを選択し、[Customize] をクリックします。
• [Delete]:[IPSec Pass Through Inspect Maps] テーブルで選択したインスペクション マップを削除します。
• [Security Level]:セキュリティ レベル(High または Low)を選択します。
– [Customize]:[Add/Edit IPSec Pass Thru Policy Map] ダイアログボックスを開き、追加の設定を行います。
– [Default Level]:セキュリティ レベルをデフォルトの Low レベルに戻します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit IPSec Pass Thru Policy Map(セキュリティ レベル)
[Add/Edit IPSec Pass Thru Policy Map] ペインでは、IPSec パススルー アプリケーション インスペクション マップのセキュリティ レベルと追加の設定値を設定できます。
• [Name]:IPSec パススルー マップの追加時に IPSec パススルー マップの名前を入力します。IPSec パススルー マップの編集時には、事前に設定した IPSec パススルー マップの名前が表示されます。
• [Security Level]:セキュリティ レベル(High または Low)を選択します。
– [Default Level]:セキュリティ レベルをデフォルトの Low レベルに戻します。
• [Details]:追加の設定を行うパラメータを表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit IPSec Pass Thru Policy Map(詳細)
[Add/Edit IPSec Pass Thru Policy Map] ペインでは、IPSec パススルー アプリケーション インスペクション マップのセキュリティ レベルと追加の設定値を設定できます。
• [Name]:IPSec パススルー マップの追加時に IPSec パススルー マップの名前を入力します。IPSec パススルー マップの編集時には、事前に設定した IPSec パススルー マップの名前が表示されます。
• [Description]:IPSec パススルー インスペクション マップの説明を 200 文字以内で入力します。
• [Security Level]:設定するセキュリティ レベルを表示します。
• [Parameters]:ESP および AH パラメータを設定します。
– [Limit ESP flows per client]:クライアントごとの ESP フローを制限します。
– [Apply ESP idle timeout]:ESP アイドル タイムアウトを適用します。
– [Limit AH flows per client]:クライアントごとの AH フローを制限します。
– [Apply AH idle timeout]:AH アイドル タイムアウトを適用します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
MGCP Inspect Map
[MGCP] ペインでは、MGCP アプリケーションの事前に設定されたインスペクション マップを表示できます。MGCP マップでは、MGCP アプリケーション インスペクションのデフォルト設定値を変更できます。MGCP マップを使用して、VoIP デバイスと MGCP コール エージェント間の接続を管理できます。
• [MGCP Inspect Maps]:定義されている MGCP インスペクション マップを一覧表示するテーブルです。
• [Add]:新しい MGCP インスペクション マップを設定します。
• [Edit]:[MGCP Inspect Maps] テーブルで選択した MGCP のエントリを編集します。
• [Delete]:[MGCP Inspect Maps] テーブルで選択したインスペクション マップを削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Gateways and Call Agents
[Gateways and Call Agents] ダイアログボックスでは、ゲートウェイとコール エージェントのグループをマップに設定できます。
• [Group ID]:コール エージェント グループの ID を指定します。コール エージェント グループで、1 つ以上のコール エージェントを 1 つ以上の MGCP メディア ゲートウェイと関連付けます。ゲートウェイの IP アドレスは、1 つのグループ ID だけに関連付けできます。同じゲートウェイを別のグループ ID で使用できません。0 ~ 2147483647 の範囲の値を指定できます。
• [Criterion]:インスペクションの基準を示します。
• [Gateways]:関連付けられたコール エージェントによって制御されるメディア ゲートウェイの IP アドレスを識別します。メディア ゲートウェイは一般に、電話回線を通じた音声信号と、インターネットまたは他のパケット ネットワークを通じたデータ パケットとの間の変換を行うネットワーク要素です。通常、ゲートウェイはコマンドを、コール エージェントのデフォルト MGCP ポート(2727)に送信します。
• [Call Agents]:コール エージェント グループの MGCP メディア ゲートウェイを制御するコール エージェントの IP アドレスを識別します。通常、コール エージェントはコマンドを、ゲートウェイのデフォルト MGCP ポート(2427)に送信します。
• [Add]:[Add MGCP] ダイアログボックスが表示され、新規のアプリケーション インスペクション マップを定義できます。
• [Edit]:[Edit MGCP] ダイアログボックスが表示され、アプリケーション インスペクション マップ テーブルで選択したインスペクション マップを修正できます。
• [Delete]:アプリケーション インスペクション マップ テーブルで選択したインスペクション マップを削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit MGCP Policy Map
[Add/Edit MGCP Policy Map] ペインでは、MGCP アプリケーション インスペクション マップのコマンド キュー、ゲートウェイ、およびコール エージェントの設定値を設定できます。
• [Name]:MGCP マップの追加時に MGCP マップの名前を入力します。MGCP マップの編集時には、事前に設定した MGCP マップの名前が表示されます。
• [Description]:MGCP マップの説明を 200 文字以内で入力します。
• [Command Queue]:このタブで MGCP コマンドの許容キュー サイズを指定します。
– [Command Queue Size]:キューに入れるコマンドの最大数を指定します。1 ~ 2147483647 の範囲の値を指定できます。
• [Gateways and Call Agents]:このタブでゲートウェイとコール エージェント グループをマップに設定します。
– [Group ID]:コール エージェント グループの ID を指定します。コール エージェント グループで、1 つ以上のコール エージェントを 1 つ以上の MGCP メディア ゲートウェイと関連付けます。ゲートウェイの IP アドレスは、1 つのグループ ID だけに関連付けできます。同じゲートウェイを別のグループ ID で使用できません。0 ~ 2147483647 の範囲の値を指定できます。[Criterion]:インスペクションの基準を示します。
– [Gateways]:関連付けられたコール エージェントによって制御されるメディア ゲートウェイの IP アドレスを識別します。メディア ゲートウェイは一般に、電話回線を通じた音声信号と、インターネットまたは他のパケット ネットワークを通じたデータ パケットとの間の変換を行うネットワーク要素です。通常、ゲートウェイはコマンドを、コール エージェントのデフォルト MGCP ポート(2727)に送信します。
– [Call Agents]:コール エージェント グループの MGCP メディア ゲートウェイを制御するコール エージェントの IP アドレスを識別します。通常、コール エージェントはコマンドを、ゲートウェイのデフォルト MGCP ポート(2427)に送信します。
– [Add]:[Add MGCP Group] ダイアログボックスが表示され、ゲートウェイとコール エージェントの新規の MGCP グループを定義できます。
– [Edit]:[Edit MGCP] ダイアログボックスが表示され、[Gateways and Call Agents] テーブルで選択した MGCP グループを修正できます。
– [Delete]:[Gateways and Call Agents] テーブルで選択した MGCP グループを削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit MGCP Group
[Add/Edit MGCP Group] ダイアログボックスでは、MGCP アプリケーション インスペクションがイネーブルのときに使用される MGCP グループのコンフィギュレーションを定義できます。
• [Group ID]:コール エージェント グループの ID を指定します。コール エージェント グループで、1 つ以上のコール エージェントを 1 つ以上の MGCP メディア ゲートウェイと関連付けます。0 ~ 2147483647 の範囲の値を指定できます。
– [Gateway to Be Added]:関連付けられたコール エージェントによって制御されるメディア ゲートウェイの IP アドレスを指定します。メディア ゲートウェイは一般に、電話回線を通じた音声信号と、インターネットまたは他のパケット ネットワークを通じたデータ パケットとの間の変換を行うネットワーク要素です。通常、ゲートウェイはコマンドを、コール エージェントのデフォルト MGCP ポート(2727)に送信します。
– [Add]:指定した IP アドレスを IP アドレス テーブルに追加します。
– [Delete]:選択した IP アドレスを IP アドレス テーブルから削除します。
– [IP Address]:コール エージェント グループに設定されているゲートウェイの IP アドレスを一覧表示します。
– [Call Agent to Be Added]:コール エージェント グループの MGCP メディア ゲートウェイを制御するコール エージェントの IP アドレスを指定します。通常、コール エージェントはコマンドを、ゲートウェイのデフォルト MGCP ポート(2427)に送信します。
– [Add]:指定した IP アドレスを IP アドレス テーブルに追加します。
– [Delete]:選択した IP アドレスを IP アドレス テーブルから削除します。
– [IP Address]:コール エージェント グループに設定されているコール エージェントの IP アドレスを一覧表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
NetBIOS Inspect Map
[NetBIOS] ペインでは、NetBIOS アプリケーションの事前に設定されたインスペクション マップを表示できます。NetBIOS マップでは、NetBIOS アプリケーション インスペクションのデフォルト設定値を変更できます。
NetBIOS アプリケーション インスペクションでは、NetBIOS ネーム サービス パケットおよび NetBIOS データグラム サービス パケットに埋め込まれている IP アドレスで NAT を実行します。また、プロトコル準拠チェックを行って、さまざまなフィールドの数や長さの整合性を確認します。
• [NetBIOS Inspect Maps]:定義されている NetBIOS インスペクション マップを一覧表示するテーブルです。
• [Add]:新しい NetBIOS インスペクション マップを設定します。
• [Edit]:[NetBIOS Inspect Maps] テーブルで選択した NetBIOS のエントリを編集します。
• [Delete]:[NetBIOS Inspect Maps] テーブルで選択したインスペクション マップを削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit NetBIOS Policy Map
[Add/Edit NetBIOS Policy Map] ペインでは、NetBIOS アプリケーション インスペクション マップのプロトコル違反の設定値を設定できます。
• [Name]:NetBIOS マップの追加時に NetBIOS マップの名前を入力します。NetBIOS マップの編集時には、事前に設定した NetBIOS マップの名前が表示されます。
• [Description]:NetBIOS マップの説明を 200 文字以内で入力します。
• [Check for protocol violations]:プロトコル違反の有無をチェックして、指定したアクションを実行します。
– [Action]:Drop packet または Log。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
RTSP Inspect Map
[RTSP] ペインでは、RTSP アプリケーションの事前に設定されたインスペクション マップを表示できます。RTSP マップでは、RTSP アプリケーション インスペクションのデフォルト設定値を変更できます。RTSP マップを使用して、RTSP トラフィックを保護できます。
• [RTSP Inspect Maps]:定義されている RTSP インスペクション マップを一覧表示するテーブルです。
• [Add]:新しい RTSP インスペクション マップを設定します。
• [Edit]:[RTSP Inspect Maps] テーブルで選択した RTSP のエントリを編集します。
• [Delete]:[RTSP Inspect Maps] テーブルで選択したインスペクション マップを削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit RTSP Policy Map
[Add/Edit RTSP Policy Map] ペインでは、RTSP アプリケーション インスペクション マップのパラメータとインスペクション設定値を設定できます。
• [Name]:RTSP マップの追加時に RTSP マップの名前を入力します。RTSP マップの編集時には、事前に設定した RTSP マップの名前が表示されます。
• [Description]:RTSP マップの説明を 200 文字以内で入力します。
• [Parameters]:このタブで、メディア ポート ネゴシエーション中の予約済みポートの使用を制限し、URL の長さ制限を設定できます。
– [Enforce Reserve Port Protection]:メディア ポート ネゴシエーション中の予約済みポートの使用を制限できます。
– [Maximum URL Length]:メッセージで許容される URL の最大長を指定します。6000 以下の値を指定します。
• [Inspections]:このタブで RTSP インスペクションのコンフィギュレーションを表示して、追加や編集ができます。
– [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
– [Criterion]:RTSP インスペクションの基準を示します。
– [Value]:RTSP インスペクションで照合する値を示します。
– [Action]:照合条件が一致したときのアクションを示します。
– [Add]:[Add RTSP Inspect] ダイアログボックスが開き、RTSP インスペクションを追加できます。
– [Edit]:[Edit RTSP Inspect] ダイアログボックスが開き、RTSP インスペクションを編集できます。
– [Delete]:RTSP インスペクションを削除します。
– [Move Up]:インスペクションをリストの上に移動します。
– [Move Down]:インスペクションをリストの下に移動します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit RTSP Inspect
[Add/Edit RTSP Inspect] ダイアログボックスでは、RTSP インスペクション マップの照合基準、値、およびアクションを定義できます。
• [Match Type]:トラフィックと値を一致させるかどうかを指定します。
たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。
• [Criterion]:RTSP トラフィックに適用する照合基準を指定します。
– [URL Filter]:URL フィルタリングを照合します。
– [Request Method]:RTSP の要求方式を照合します。
• [URL Filter Criterion Values]:URL フィルタリングを照合するために指定します。正規表現で照合します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [URL Filter Actions]:プライマリ アクションおよびログを設定します。
– [Action]:Drop connection または Log。
• [Request Method Criterion Values]:照合する RTSP 要求方式を指定します。
– [Request Method]:要求方式を announce、describe、get_parameter、options、pause、play、record、redirect、setup、set_parameters、teardown のいずれかから指定します。
• [Request Method Actions]:プライマリ アクションを設定します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
SCCP (Skinny) Inspect Map
[SCCP (Skinny)] ペインでは、SCCP(Skinny)アプリケーションの事前に設定されたインスペクション マップを表示できます。SCCP(Skinny)マップでは、SCCP(Skinny)アプリケーション インスペクションのデフォルト設定値を変更できます。
Skinny アプリケーション インスペクションでは、パケット データ、ピンホールの動的開放に埋め込まれている IP アドレスとポート番号を変換します。また、追加のプロトコル準拠チェックと基本的なステート トラッキングも行います。
• [SCCP (Skinny) Inspect Maps]:定義されている SCCP (Skinny) インスペクション マップを一覧表示するテーブルです。
• [Add]:新しい SCCP(Skinny)インスペクション マップを設定します。SCCP (Skinny) インスペクション マップを編集するには、[SCCP (Skinny) Inspect Maps] テーブルで SCCP (Skinny) のエントリを選択し、[Customize] をクリックします。
• [Delete]:[SCCP (Skinny) Inspect Maps] テーブルで選択したインスペクション マップを削除します。
• [Security Level]:セキュリティ レベル(High または Low)を選択します。
ペイロードを音声またはビデオに限定してシグナリング交換を適用:しない
ペイロードを音声またはビデオに限定してシグナリング交換を適用:する
– [Message ID Filtering]:[Messaging ID Filtering] ダイアログボックスが開き、メッセージ ID フィルタを設定できます。
– [Customize]:[Add/Edit SCCP (Skinny) Policy Map] ダイアログボックスを開き、追加の設定を行います。
– [Default Level]:セキュリティ レベルをデフォルトの Low レベルに戻します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Message ID Filtering
[Message ID Filtering] ダイアログボックスでは、メッセージ ID のフィルタを設定できます。
• [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
• [Criterion]:インスペクションの基準を示します。
• [Value]:インスペクションで照合する値を示します。
• [Action]:照合条件が一致したときのアクションを示します。
• [Add]:[Add Message ID Filtering] ダイアログボックスが開き、メッセージ ID のフィルタを追加できます。
• [Edit]:[Edit Message ID Filtering] ダイアログボックスが開き、メッセージ ID のフィルタを編集できます。
• [Delete]:メッセージ ID のフィルタを削除します。
• [Move Down]:エントリをリストの下に移動します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit SCCP (Skinny) Policy Map(セキュリティ レベル)
[Add/Edit SCCP (Skinny) Policy Map] ペインでは、SCCP(Skinny)アプリケーション インスペクション マップのセキュリティ レベルと追加の設定値を設定できます。
• [Name]:SCCP(Skinny)マップの追加時に SCCP(Skinny)マップの名前を入力します。SCCP(Skinny)マップの編集時には、事前に設定した SCCP(Skinny)マップの名前が表示されます。
• [Description]:SCCP(Skinny)マップの説明を 200 文字以内で入力します。
• [Security Level]:セキュリティ レベル(High または Low)を選択します。
ペイロードを音声またはビデオに限定してシグナリング交換を適用:しない
ペイロードを音声またはビデオに限定してシグナリング交換を適用:する
– [Message ID Filtering]:[Messaging ID Filtering] ダイアログボックスが開き、メッセージ ID フィルタを設定できます。
– [Default Level]:セキュリティ レベルをデフォルトに戻します。
• [Details]:追加の設定を行うパラメータ、RTP 準拠、メッセージ ID のフィルタリング設定値を表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit SCCP (Skinny) Policy Map(詳細)
[Add/Edit SCCP (Skinny) Policy Map] ペインでは、SCCP(Skinny)アプリケーション インスペクション マップのセキュリティ レベルと追加の設定値を設定できます。
• [Name]:SCCP(Skinny)マップの追加時に SCCP(Skinny)マップの名前を入力します。SCCP(Skinny)マップの編集時には、事前に設定した SCCP(Skinny)マップの名前が表示されます。
• [Description]:DNS マップの説明を 200 文字以内で入力します。
• [Security Level]:設定するセキュリティ レベルとメッセージ ID のフィルタリング設定を表示します。
• [Parameters]:このタブで SCCP(Skinny)のパラメータを設定します。
– [Enforce endpoint registration]:Skinny エンドポイントを登録してから通話を受発信します。
[Maximum Message ID]:SCCP メッセージ ID に使用できる最大値を指定します。
– [SCCP Prefix Length]:Skinny メッセージのプレフィックスの長さを指定します。
[Minimum Prefix Length]:SCCP プレフィックスの長さの許容最小値を指定します。
[Maximum Prefix Length]:SCCP プレフィックスの長さの許容最大値を指定します。
– [Media Timeout]:メディア接続時のタイムアウト値を指定します。
– [Signaling Timeout]:シグナリング接続時のタイムアウト値を指定します。
• [RTP Conformance]:このタブで SCCP(Skinny)の RTP 準拠を設定します。
– [Check RTP packets for protocol conformance]:ピンホールをフローする RTP/RTCP パケットがプロトコルに準拠しているかどうかをチェックします。
[Limit payload to audio or video, based on the signaling exchange]:ペイロード タイプを強制的に音声やビデオにして、シグナリング交換を適用します。
• [Message ID Filtering]:このタブで SCCP(Skinny)のメッセージ ID フィルタリングを設定します。
– [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
– [Criterion]:インスペクションの基準を示します。
– [Value]:インスペクションで照合する値を示します。
– [Action]:照合条件が一致したときのアクションを示します。
– [Add]:[Add Message ID Filtering] ダイアログボックスが開き、メッセージ ID のフィルタを追加できます。
– [Edit]:[Edit Message ID Filtering] ダイアログボックスが開き、メッセージ ID のフィルタを編集できます。
– [Delete]:メッセージ ID のフィルタを削除します。
– [Move Down]:エントリをリストの下に移動します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit Message ID Filter
[Add Message ID Filter] ダイアログボックスでは、メッセージ ID のフィルタを設定できます。
• [Match Type]:トラフィックと値を一致させるかどうかを指定します。
たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。
• [Criterion]:SCCP (Skinny) トラフィックに適用する照合基準を指定します。
– [Message ID]:指定したメッセージ ID を照合します。
[Message ID]:SCCP メッセージ ID に使用できる最大値を指定します。
– [Message ID Range]:指定範囲のメッセージ ID を照合します。
[Lower Message ID]:SCCP メッセージ ID に使用できる下限値を指定します。
[Upper Message ID]:SCCP メッセージ ID に使用できる上限値を指定します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
SIP Inspect Map
[SIP] ペインでは、SIP アプリケーションの事前に設定されたインスペクション マップを表示できます。SIP マップでは、SIP アプリケーション インスペクションのデフォルト設定値を変更できます。
SIP は、インターネット会議、テレフォニー、プレゼンス、イベント通知、およびインスタント メッセージングに広く使用されているプロトコルです。テキストベースの性質とその柔軟性により、SIP ネットワークは数多くのセキュリティ脅威にさらされます。
SIP アプリケーション インスペクションでは、メッセージ ヘッダーおよび本文のアドレス変換、ポートの動的なオープン、および基本的な健全性チェックが行われます。SIP メッセージの健全性を実現するアプリケーション セキュリティおよびプロトコルへの準拠と、SIP ベースの攻撃の検出もサポートされます。
• [SIP Inspect Maps]:定義されている SIP インスペクション マップを一覧表示するテーブルです。
• [Add]:新しい SIP インスペクション マップを設定します。SIP インスペクション マップを編集するには、[SIP Inspect Maps] テーブルで SIP のエントリを選択し、[Customize] をクリックします。
• [Delete]:[SIP Inspect Maps] テーブルで選択したインスペクション マップを削除します。
• [Security Level]:セキュリティ レベル(High または Low)を選択します。
SIP インスタント メッセージ(IM)の拡張機能:イネーブル
サーバとエンドポイントの IP アドレスを非表示:ディセーブル
ソフトウェアのバージョンと SIP 以外の URI をマスク:ディセーブル
SIP インスタント メッセージ(IM)の拡張機能:イネーブル
サーバとエンドポイントの IP アドレスを非表示:ディセーブル
ソフトウェアのバージョンと SIP 以外の URI をマスク:ディセーブル
ペイロードを音声やビデオに限定してシグナリング交換を適用:しない
SIP 準拠:ステート チェックで失敗したパケットをドロップ
SIP インスタント メッセージ(IM)の拡張機能:イネーブル
サーバとエンドポイントの IP アドレスを非表示:ディセーブル
ソフトウェアのバージョンと SIP 以外の URI をマスク:イネーブル
ペイロードを音声やビデオに限定してシグナリング交換を適用:する
SIP 準拠:ステート チェックとヘッダー検証で失敗したパケットをドロップ
– [Customize]:[Add/Edit SIP Policy Map] ダイアログボックスを開き、追加の設定を行います。
– [Default Level]:セキュリティ レベルをデフォルトの Low レベルに戻します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit SIP Policy Map(セキュリティ レベル)
[Add/Edit SIP Policy Map] ペインでは、SIP アプリケーション インスペクション マップのセキュリティ レベルと追加の設定値を設定できます。
• [Name]:SIP の追加時に SIP マップの名前を入力します。SIP マップの編集時には、事前に設定した SIP マップの名前が表示されます。
• [Description]:SIP マップの説明を 200 文字以内で入力します。
• [Security Level]:セキュリティ レベル(High または Low)を選択します。
SIP インスタント メッセージ(IM)の拡張機能:イネーブル
サーバとエンドポイントの IP アドレスを非表示:ディセーブル
ソフトウェアのバージョンと SIP 以外の URI をマスク:ディセーブル
SIP インスタント メッセージ(IM)の拡張機能:イネーブル
サーバとエンドポイントの IP アドレスを非表示:ディセーブル
ソフトウェアのバージョンと SIP 以外の URI をマスク:ディセーブル
ペイロードを音声やビデオに限定してシグナリング交換を適用:しない
SIP 準拠:ステート チェックで失敗したパケットをドロップ
SIP インスタント メッセージ(IM)の拡張機能:イネーブル
サーバとエンドポイントの IP アドレスを非表示:ディセーブル
ソフトウェアのバージョンと SIP 以外の URI をマスク:イネーブル
ペイロードを音声やビデオに限定してシグナリング交換を適用:する
SIP 準拠:ステート チェックとヘッダー検証で失敗したパケットをドロップ
– [Default Level]:セキュリティ レベルをデフォルトに戻します。
• [Details]:追加の設定を行うフィルタリング、IP アドレスのプライバシー、ホップ カウント、RTP 準拠、SIP 準拠、フィールド マスク、およびインスペクションの設定値を表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit SIP Policy Map(詳細)
[Add/Edit SIP Policy Map] ペインでは、SIP アプリケーション インスペクション マップのセキュリティ レベルと追加の設定値を設定できます。
• [Name]:SIP の追加時に SIP マップの名前を入力します。SIP マップの編集時には、事前に設定した SIP マップの名前が表示されます。
• [Description]:SIP マップの説明を 200 文字以内で入力します。
• [Security Level]:設定するセキュリティ レベルを表示します。
• [Filtering]:このタブで SIP のフィルタリングを設定します。
– [Enable SIP instant messaging (IM) extensions]:インスタント メッセージの拡張機能をイネーブルにします。デフォルトはイネーブルです。
– [Permit non-SIP traffic on SIP port]:SIP トラフィック以外に SIP ポートの使用を許可します。デフォルトは許可です。
• [IP Address Privacy]:このタブで SIP の IP アドレスのプライバシーを設定します。
– [Hide server's and endpoint's IP addresses]:IP アドレスのプライバシーをイネーブルにします。デフォルトでは、ディセーブルです。
• [Hop Count]:このタブで SIP のホップ カウントを設定します。
– [Ensure that number of hops to destination is greater than 0]:Max-Forwards ヘッダーの値が 0 かどうかのチェックをイネーブルにします。
[Action]:Drop packet、Drop Connection、Reset、または Log。
• [RTP Conformance]:このタブで SIP の RTP 準拠を設定します。
– [Check RTP packets for protocol conformance]:ピンホールをフローする RTP/RTCP パケットがプロトコルに準拠しているかどうかをチェックします。
[Limit payload to audio or video, based on the signaling exchange]:ペイロード タイプを強制的に音声やビデオにして、シグナリング交換を適用します。
• [SIP Conformance]:このタブで SIP の SIP 準拠を設定します。
– [Enable state transition checking]:SIP のステート チェックをイネーブルにします。
[Action]:Drop packet、Drop Connection、Reset、または Log。
– [Enable strict validation of header fields]:SIP ヘッダー フィールドの検証をイネーブルにします。
[Action]:Drop packet、Drop Connection、Reset、または Log。
• [Field Masking]:このタブで SIP のフィールド マスクを設定します。
– [Inspect non-SIP URIs]:Alert-Info と Call-Info ヘッダーに含まれる SIP 以外の URI インスペクションをイネーブルにします。
– [Inspect server's and endpoint's software version]:User-Agent と Server ヘッダーに含まれる SIP エンドポイントのソフトウェア バージョンをインスペクションします。
• [Inspections]:このタブで SIP インスペクションのコンフィギュレーションを表示して、追加や編集ができます。
– [Match Type]:一致タイプを示します。肯定一致と否定一致があります。
– [Criterion]:SIP インスペクションの基準を示します。
– [Value]:SIP インスペクションで照合する値を示します。
– [Action]:照合条件が一致したときのアクションを示します。
– [Add]:[Add SIP Inspect] ダイアログボックスが開き、SIP インスペクションを追加できます。
– [Edit]:[Edit SIP Inspect] ダイアログボックスが開き、SIP インスペクションを編集できます。
– [Delete]:SIP インスペクションを削除します。
– [Move Up]:インスペクションをリストの上に移動します。
– [Move Down]:インスペクションをリストの下に移動します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit SIP Inspect
[Add/Edit SIP Inspect] ダイアログボックスでは、SIP インスペクション マップの照合基準と値を定義できます。
• [Single Match]:SIP インスペクションに照合文が 1 つだけの場合に指定します。
• [Match Type]:トラフィックと値を一致させるかどうかを指定します。
たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。
• [Criterion]:SIP トラフィックに適用する照合基準を指定します。
– [Called Party]:To ヘッダーに指定された受信側を照合します。
– [Calling Party]:From ヘッダーに指定された発信元を照合します。
– [Content Length]:ヘッダーのコンテンツの長さを照合します。
– [Content Type]:ヘッダーのコンテンツ タイプを照合します。
– [IM Subscriber]:SIP IM の加入者を照合します。
– [Message Path]:SIP の Via ヘッダーを照合します。
– [Request Method]:SIP の要求方式を照合します。
– [Third-Party Registration]:サード パーティの登録要求者を照合します。
– [URI Length]:SIP ヘッダーの URI を照合します。
• [Called Party Criterion Values]:照合する受信側を指定します。正規表現で照合します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Calling Party Criterion Values]:照合する発信元を指定します。正規表現で照合します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Content Length Criterion Values]:指定値より長い SIP コンテンツ ヘッダーを照合します。
– [Greater Than Length]:ヘッダーの長さをバイト単位で入力します。
• [Content Type Criterion Values]:照合する SIP コンテンツ ヘッダーのタイプを指定します。
– [SDP]:SDP タイプの SIP コンテンツ ヘッダーを照合します。
– [Regular Expression]:正規表現を照合します。
[Regular Expression]:照合する定義された正規表現を一覧表示します。
[Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
[Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
[Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [IM Subscriber Criterion Values]:照合する IM 登録者を指定します。正規表現で照合します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Message Path Criterion Values]:照合する SIP の Via ヘッダーを指定します。正規表現で照合します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [Request Method Criterion Values]:照合する SIP 要求方式を指定します。
– [Request Method]:次の中から要求方式を指定します。ack、bye、cancel、info、invite、message、notify、options、prack、refer、register、subscribe、unknown、update。
• [Third-Party Registration Criterion Values]:照合するサード パーティの登録要求者を指定します。正規表現で照合します。
– [Regular Expression]:照合する定義された正規表現を一覧表示します。
– [Manage]:[Manage Regular Expressions] ダイアログボックスが開き、正規表現を設定できます。
– [Regular Expression Class]:照合する定義された正規表現クラスを一覧表示します。
– [Manage]:[Manage Regular Expression Class] ダイアログボックスが開き、正規表現クラス マップを設定できます。
• [URI Length Criterion Values]:指定値より長い SIP ヘッダーの URI を指定して照合します。
– [URI type]:SIP URI または TEL URI を指定して照合します。
– [Greater Than Length]:長さをバイト単位で指定します。
• [Multiple Matches]:SIP インスペクションの複数の照合文を指定します。
– [SIP Traffic Class]:SIP トラフィック クラスを照合します。
– [Manage]:[Manage SIP Class Maps] ダイアログボックスが開き、SIP クラス マップの追加、編集、削除ができます。
• [Actions]:プライマリ アクションおよびログを設定します。
– [Action]:Drop packet、Drop Connection、Reset、または Log。(注)要求方式が invite か register の場合は、Limit rate (pps) アクションを使用できます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
SNMP Inspect Map
[SNMP] ペインでは、SNMP アプリケーションの事前に設定されたインスペクション マップを表示できます。SNMP マップでは、SNMP アプリケーション インスペクションのデフォルト設定値を変更できます。
• [Map Name]:すでに設定されているアプリケーション インスペクション マップを一覧表示します。マップをオンにし、[Edit] をクリックして、既存のマップの表示または変更ができます。
• [Add]:新しい SNMP インスペクション マップを設定します。
• [Edit]:[SNMP Inspect Maps] テーブルで選択した SNMP のエントリを編集します。
• [Delete]:[SNMP Inspect Maps] テーブルで選択したインスペクション マップを削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit SNMP Map
[Add/Edit SNMP Map] ダイアログボックスでは、SNMP のアプリケーション インスペクションを制御する SNMP マップを新規作成できます。
• [SNMP Map Name]:アプリケーション インスペクション マップの名前を定義します。
• [SNMP version 1]:SNMP バージョン 1 のアプリケーション インスペクションをイネーブルにします。
• [SNMP version 2 (party based)]:SNMP バージョン 2 のアプリケーション インスペクションをイネーブルにします。
• [SNMP version 2c (community based)]:SNMP バージョン 2c のアプリケーション インスペクションをイネーブルにします。
• [SNMP version 3]:SNMP バージョン 3 のアプリケーション インスペクションをイネーブルにします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フィードバック