通過トラフィックのサービス ポリシー ルールの追加
通過トラフィックのサービス ポリシー ルールを追加するには、次の手順を実行します。
ステップ 1 [Configuration] > [Firewall] > [Service Policy Rules] で、[Add] をクリックします。
[Add Service Policy Rule Wizard - Service Policy] ダイアログボックスが表示されます。
(注) [Add] ボタンの右側にある小さな矢印ではなく [Add] ボタンをクリックすると、通過トラフィック ルールがデフォルトで追加されます。[Add] ボタン上の矢印をクリックすると、通過トラフィック ルールと管理トラフィック ルールのいずれかを選択できます。
ステップ 2 [Create a Service Policy and Apply To] 領域で、次のオプションの 1 つをクリックします。
• [Interface]。 このオプションでは、サービス ポリシーが 1 つのインターフェイスに適用されます。インターフェイス ポリシーは、グローバル ポリシーより優先されます。
a. ドロップダウン リストからインターフェイスを選択します。
すでにポリシーが適用されているインターフェイスを選択する場合は、ウィザードの指示に従って、新しいサービス ポリシー ルールをそのインターフェイスに追加できます。
b. 新しいサービス ポリシーの場合は、[Policy Name] フィールドに名前を入力します。
c. (任意)[Description] フィールドに説明を入力します。
• [Global - applies to all interfaces]。このオプションでは、サービス ポリシーがすべてのインターフェイスにグローバルに適用されます。デフォルト アプリケーション インスペクションのサービス ポリシー ルールを含むグローバル ポリシーは、デフォルトで存在します。詳細については、「デフォルトのグローバル ポリシー」を参照してください。ウィザードを使用してルールをグローバル ポリシーに追加できます。
ステップ 3 [Next] をクリックします。
[Add Service Policy Rule Wizard - Traffic Classification Criteria] ダイアログボックスが表示されます。
ステップ 4 次のオプションのいずれかをクリックして、ポリシーのアクションを適用するトラフィックを指定します。
• [Create a new traffic class]。[Create a new traffic class] フィールドにトラフィック クラス名を入力し、説明(任意)を入力します。
基準のいずれかを使用してトラフィックを特定します。
– [Default Inspection Traffic]:このクラスは、セキュリティ アプライアンス が検査可能なすべてのアプリケーションによって使用される、デフォルトの TCP および UDP ポートを照合します。
デフォルト ポートのリストについては、「デフォルトの検査ポリシー」を参照してください。セキュリティ アプライアンス には、デフォルトのインスペクション トラフィックに一致して、すべてのインターフェイス上のトラフィックに共通検査を適用するデフォルト グローバル ポリシーが含まれます。Default Inspection Traffic クラスにポートが含まれているすべてのアプリケーションが、ポリシー マップにおいてデフォルトでイネーブルになっているわけではありません。
Source and Destination IP Address (uses ACL) クラスを Default Inspection Traffic クラスと一緒に指定して、照合されるトラフィックを絞り込むことができます。Default Inspection Traffic クラスによって照合するポートが指定されるため、アクセス リストのポートはすべて無視されます。
– [Source and Destination IP Address (uses ACL)]:このクラスは拡張アクセス リストで指定されているトラフィックを照合します。セキュリティ アプライアンスがトランスペアレント ファイアウォール モードで動作している場合は、EtherType アクセス リストを使用できます。
(注) このタイプの新しいトラフィック クラスを作成する場合は、最初にアクセス コントロール エントリ(ACE)を 1 つだけ指定できます。ルールを追加した後は、同じインターフェイスまたはグローバル ポリシーに新しいルールを追加し、それから [Traffic Classification] ダイアログボックス(以下を参照)で [Add rule to existing traffic class] を指定することによって、ACE を追加できます。
– [Tunnel Group]:このクラスは、QoS を適用するトンネル グループのトラフィックを照合します。その他にもう 1 つのトラフィック照合オプションを指定してトラフィック照合対象をさらに絞込み、[Any Traffic]、[Source and Destination IP Address (uses ACL)]、または [Default Inspection Traffic] を排除できます。
– [TCP or UDP Destination Port]:1 つのポートまたは連続する一定範囲のポートを照合します。
ヒント 複数の非連続ポートを使用するアプリケーションの場合は、[Source and Destination IP Address (uses ACL)] を使用して各ポートを照合します。
– [RTP Range]:クラス マップは、RTP トラフィックを照合します。
– [IP DiffServ CodePoints (DSCP)]:このクラスは、IP ヘッダーの最大 8 つの DSCP 値を照合します。
– [IP Precedence]:このクラス マップは、IP ヘッダーの TOS バイトによって表される、最大 4 つの Precedence 値を照合します。
– [Any Traffic]:すべてのトラフィックを照合します。
• [Add rule to existing traffic class]。すでに同じインターフェイスにサービス ポリシー ルールを指定している場合、またはグローバル サービス ポリシーを追加する場合は、このオプションによって既存のアクセス リストに ACE を追加できます。このインターフェイスのサービス ポリシー ルールで [Source and Destination IP Address (uses ACL)] オプションを選択した場合は、事前に作成したすべてのアクセス リストに ACE を追加できます。このトラフィック クラスでは、複数の ACE を追加する場合であっても、1 セットのルール アクションしか指定できません。この手順全体を繰り返すことによって、複数の ACE を同じトラフィック クラスに追加できます。ACE の順序の変更方法については、「サービス ポリシー ルールの順序の管理」を参照してください。
• [Use an existing traffic class]。別のインターフェイスのルールで使用されるトラフィック クラスを作成した場合は、そのトラフィック クラス定義をこのルールで再使用できます。1 つのルールのトラフィック クラスを変更すると、その変更は同じトラフィック クラスを使用するすべてのルールに継承されます。コンフィギュレーションに CLI で入力した class-map コマンドが含まれている場合は、それらのトラフィック クラス名も使用できます(ただし、そのトラフィック クラスの定義を表示するには、そのルールを作成する必要があります)。
• [Use class default as the traffic class]。このオプションでは、すべてのトラフィックを照合する class-default クラスを使用します。class-default クラスは、セキュリティ アプライアンスによって自動的に作成され、ポリシーの最後に配置されます。アクションを何も適用しない場合でもセキュリティ アプライアンスによって作成されますが、内部での使用に限られます。必要に応じて、このクラスにアクションを適用できます。これは、すべてのトラフィックを照合する新しいトラフィック クラスを作成するよりも便利な場合があります。class-default クラスを使用して、このサービス ポリシーにルールを 1 つだけ作成できます。これは、各トラフィック クラスを関連付けることができるのは、サービス ポリシーごとに 1 つのルールだけであるためです。
ステップ 5 [Next] をクリックします。
ステップ 6 次に表示されるダイアログボックスは、選択したトラフィック照合基準に応じて異なります。
(注) [Any Traffic] オプションの場合には、追加設定を行うための特別なダイアログボックスはありません。
• [Default Inspections]:このダイアログボックスは情報提供の目的でだけ表示され、トラフィック クラスに含まれるアプリケーションとポートが示されます。
• [Source and Destination Address]:このダイアログボックスでは、送信元アドレスと宛先アドレスを設定できます。
a. [Match] または [Do Not Match] をクリックします。
[Match] オプションでは、アドレスが一致するトラフィックにアクションを適用する場合のルールを作成します。[Do Not Match] オプションでは、トラフィックを指定したアクションの適用から免除します。たとえば、10.1.1.25 を除いて、10.1.1.0/24 のトラフィックすべてを照合し、そのトラフィックに接続制限を適用するとします。この場合は、2 つのルール([Match] オプションを使用した 10.1.1.0/24 に対するルールおよび [Do Not Match] オプションを使用した 10.1.1.25 に対するルール)を作成します。必ず、Do Not Match ルールが Match ルールの上になるように配置してください。順序を逆にすると、10.1.1.25 が最初に Match ルールを照合することになります。
b. [Source] フィールドで、送信元 IP アドレスを入力するか、[...] ボタンをクリックして ASDM にすでに定義されている IP アドレスを選択します。
プレフィックス/長さ表記(10.1.1.0/24 など)を使用してアドレスとサブネット マスクを指定します。マスクを使用せずに IP アドレスを入力すると、そのアドレスは最後が 0 であってもホスト アドレスと見なされます。
任意の送信元アドレスを指定するには、 any を入力します。
アドレスが複数ある場合はカンマで区切ります。
c. [Destination] フィールドで、宛先 IP アドレスを入力するか、[...] ボタンをクリックして ASDM にすでに定義されている IP アドレスを選択します。
プレフィックス/長さ表記(10.1.1.0/24 など)を使用してアドレスとサブネット マスクを指定します。マスクを使用せずに IP アドレスを入力すると、そのアドレスは最後が 0 であってもホスト アドレスと見なされます。
任意の宛先アドレスを指定するには、 any を入力します。
アドレスが複数ある場合はカンマで区切ります。
d. [Service] フィールドで、宛先サービスの IP サービス名または番号を入力するか、[...] ボタンをクリックしてサービスを選択します。
TCP または UDP のポート番号、あるいは ICMP サービス番号を指定する場合は、 プロトコル / ポート を入力します。たとえば、TCP/8080 と入力します。
デフォルトでは、サービスは IP です。
サービスが複数ある場合はカンマで区切ります。
e. (任意)[Description] フィールドに説明を入力します。
f. (任意)TCP または UDP の送信元サービスを指定するには、[More Options] 領域をクリックして開き、[Source Service] フィールドに TCP サービスまたは UDP サービスを入力します。
宛先サービスと送信元サービスは同じである必要があります。[Destination Service] フィールドをコピーし、[Source Service] フィールドに貼り付けます。
g. (任意)ルールを非アクティブにするには、[More Options] 領域をクリックして開き、[Enable Rule] をオフにします。
この設定は、ルールを削除せずに無効にしたい場合に便利です。
h. (任意)ルールの時間範囲を指定するには、[More Options] 領域をクリックして開き、[Time Range] ドロップダウン リストから時間範囲を選択します。
新しい時間範囲を追加するには、[...] ボタンをクリックします。詳細については、「時間範囲の設定」を参照してください。
この設定は、事前に設定した時間にだけルールをアクティブにする場合に便利です。
• [Tunnel Group]:[Tunnel Group] ドロップダウン リストからトンネル グループを選択するか、または [New] をクリックして新しいトンネル グループを追加します。詳細については、「[Add IPSec Remote Access Connection] および [Add SSL VPN Access Connection]」を参照してください。
各フローをポリシングするには、[Match flow destination IP address] をオンにします。固有の IP 宛先アドレスに向かうトラフィックは、すべてフローと見なされます。
• [Destination Port]:[TCP] または [UDP] をクリックします。
[Service] フィールドに、ポート番号または名前を入力するか、または [...] をクリックして ASDM で定義済みのサービスを選択します。
• [RTP Range]:RTP ポート範囲を 2000 ~ 65534 の間で入力します。範囲内の最大ポート数は、16383 です。
• [IP DiffServ CodePoints (DSCP)]:[DSCP Value to Add] 領域で、[Select Named DSCP Values] から値を選択するか、または [Enter DSCP Value (0-63)] フィールドに値を入力し、[Add] をクリックします。
必要に応じて値を追加するか、または [Remove] ボタンを使用して値を削除します。
• [IP Precedence]:[Available IP Precedence] 領域で値を選択し、[Add] をクリックします。
必要に応じて値を追加するか、または [Remove] ボタンを使用して値を削除します。
ステップ 7 [Next] をクリックします。
[Add Service Policy Rule - Rule Actions] ダイアログボックスが表示されます。
ステップ 8 次の項の説明に従って 1 つ以上のルール アクションを設定します。
• 「アプリケーション レイヤ プロトコル インスペクションの設定」
• 「接続の設定」
• 「[QoS] タブのフィールド情報」
• 「IPS の設定」
• 「Trend Micro Content Security の設定」
ステップ 9 [Finish] をクリックします。
管理トラフィックのサービス ポリシー ルールの追加
管理目的でセキュリティ アプライアンスに転送されるトラフィックのサービス ポリシーを作成できます。このタイプのセキュリティ ポリシーでは、RADIUS アカウンティング検査と接続制限を実行できます。この項では、次のトピックについて取り上げます。
• 「RADIUS アカウンティング インスペクションの概要」
• 「管理トラフィックのサービス ポリシー ルールの設定」
RADIUS アカウンティング インスペクションの概要
よく知られている問題の 1 つに GPRS ネットワークでの過剰請求攻撃があります。過剰請求攻撃では、利用していないサービスについて料金を請求されるため、ユーザが怒りや不満を感じるおそれがあります。この場合、悪意のある攻撃者は、サーバへの接続をセットアップし、SGSN から IP アドレスを取得します。攻撃者がコールを終了しても、攻撃者のサーバはパケットの送信を続けます。このパケットは GGSN によってドロップされますが、サーバからの接続はアクティブなままです。攻撃者に割り当てられていた IP アドレスが解放され、正規ユーザに再割り当てされるので、正規ユーザは、攻撃者が利用するサービスの分まで請求されることになります。
RADIUS アカウンティング インスペクションでは、GGSN によって検出されるトラフィックが正規のものであることを確認することによって、このタイプの攻撃を防止します。RADIUS アカウンティングの機能を正しく設定しておくと、セキュリティ アプライアンスは、RADIUS アカウンティング要求の開始メッセージと終了メッセージに含まれる Framed IP 属性との照合結果に基づいて接続を切断します。終了メッセージの Framed IP 属性の IP アドレスが一致している場合、セキュリティ アプライアンスは、一致する IP アドレスを持つ送信元との接続をすべて検索します。
セキュリティ アプライアンスでメッセージを検証できるように、RADIUS サーバとの事前共有秘密キーを設定することもできます。事前共有秘密キーを設定しないと、セキュリティ アプライアンスは、メッセージの送信元を検証する必要がなく、その IP アドレスが、RADIUS メッセージの送信を許可されているアドレスの 1 つかどうかだけをチェックします。
管理トラフィックのサービス ポリシー ルールの設定
管理トラフィックのサービス ポリシーを追加するには、次の手順を実行します。
ステップ 1 [Configuration] > [Firewall] > [Service Policy Rules] ペインで、[Add] の横の下矢印をクリックします。
ステップ 2 [Add Management Service Policy Rule] を選択します。
[Add Management Service Policy Rule Wizard - Service Policy] ダイアログボックスが表示されます。
ステップ 3 [Create a Service Policy and Apply To] 領域で、次のオプションの 1 つをクリックします。
• [Interface]。 このオプションでは、サービス ポリシーが 1 つのインターフェイスに適用されます。インターフェイス ポリシーは、グローバル ポリシーより優先されます。
a. ドロップダウン リストからインターフェイスを選択します。
すでにポリシーが適用されているインターフェイスを選択する場合は、ウィザードの指示に従って、新しいサービス ポリシー ルールをそのインターフェイスに追加できます。
b. 新しいサービス ポリシーの場合は、[Policy Name] フィールドに名前を入力します。
c. (任意)[Description] フィールドに説明を入力します。
• [Global - applies to all interfaces]。このオプションでは、サービス ポリシーがすべてのインターフェイスにグローバルに適用されます。デフォルト アプリケーション インスペクションのサービス ポリシー ルールを含むグローバル ポリシーは、デフォルトで存在します。詳細については、「デフォルトのグローバル ポリシー」を参照してください。ウィザードを使用してルールをグローバル ポリシーに追加できます。
ステップ 4 [Next] をクリックします。
[Add Management Service Policy Rule Wizard - Traffic Classification Criteria] ダイアログボックスが表示されます。
ステップ 5 次のオプションのいずれかをクリックして、ポリシーのアクションを適用するトラフィックを指定します。
• [Create a new traffic class]。[Create a new traffic class] フィールドにトラフィック クラス名を入力し、説明(任意)を入力します。
基準のいずれかを使用してトラフィックを特定します。
– [Source and Destination IP Address (uses ACL)]:このクラスは拡張アクセス リストで指定されているトラフィックを照合します。セキュリティ アプライアンスがトランスペアレント ファイアウォール モードで動作している場合は、EtherType アクセス リストを使用できます。
(注) このタイプの新しいトラフィック クラスを作成する場合は、最初にアクセス コントロール エントリ(ACE)を 1 つだけ指定できます。ルールを追加した後は、同じインターフェイスまたはグローバル ポリシーに新しいルールを追加し、それから [Traffic Classification] ダイアログボックス(以下を参照)で [Add rule to existing traffic class] を指定することによって、ACE を追加できます。
– [TCP or UDP Destination Port]:1 つのポートまたは連続する一定範囲のポートを照合します。
ヒント 複数の非連続ポートを使用するアプリケーションの場合は、[Source and Destination IP Address (uses ACL)] を使用して各ポートを照合します。
• [Add rule to existing traffic class]。すでに同じインターフェイスにサービス ポリシー ルールを指定している場合、またはグローバル サービス ポリシーを追加する場合は、このオプションによって既存のアクセス リストに ACE を追加できます。このインターフェイスのサービス ポリシー ルールで [Source and Destination IP Address (uses ACL)] オプションを選択した場合は、事前に作成したすべてのアクセス リストに ACE を追加できます。このトラフィック クラスでは、複数の ACE を追加する場合であっても、1 セットのルール アクションしか指定できません。この手順全体を繰り返すことによって、複数の ACE を同じトラフィック クラスに追加できます。ACE の順序の変更方法については、「サービス ポリシー ルールの順序の管理」を参照してください。
• [Use an existing traffic class]。別のインターフェイスのルールで使用されるトラフィック クラスを作成した場合は、そのトラフィック クラス定義をこのルールで再使用できます。1 つのルールのトラフィック クラスを変更すると、その変更は同じトラフィック クラスを使用するすべてのルールに継承されます。コンフィギュレーションに CLI で入力した class-map コマンドが含まれている場合は、それらのトラフィック クラス名も使用できます(ただし、そのトラフィック クラスの定義を表示するには、そのルールを作成する必要があります)。
ステップ 6 [Next] をクリックします。
ステップ 7 次に表示されるダイアログボックスは、選択したトラフィック照合基準に応じて異なります。
• [Source and Destination Address]:このダイアログボックスでは、送信元アドレスと宛先アドレスを設定できます。
a. [Match] または [Do Not Match] をクリックします。
[Match] オプションでは、アドレスが一致するトラフィックにアクションを適用する場合のルールを作成します。[Do Not Match] オプションでは、トラフィックを指定したアクションの適用から免除します。たとえば、10.1.1.25 を除いて、10.1.1.0/24 のトラフィックすべてを照合し、そのトラフィックに接続制限を適用するとします。この場合は、2 つのルール([Match] オプションを使用した 10.1.1.0/24 に対するルールおよび [Do Not Match] オプションを使用した 10.1.1.25 に対するルール)を作成します。必ず、Do Not Match ルールが Match ルールの上になるように配置してください。順序を逆にすると、10.1.1.25 が最初に Match ルールを照合することになります。
b. [Source] フィールドで、送信元 IP アドレスを入力するか、[...] ボタンをクリックして ASDM にすでに定義されている IP アドレスを選択します。
プレフィックス/長さ表記(10.1.1.0/24 など)を使用してアドレスとサブネット マスクを指定します。マスクを使用せずに IP アドレスを入力すると、そのアドレスは最後が 0 であってもホスト アドレスと見なされます。
任意の送信元アドレスを指定するには、 any を入力します。
アドレスが複数ある場合はカンマで区切ります。
c. [Destination] フィールドで、宛先 IP アドレスを入力するか、[...] ボタンをクリックして ASDM にすでに定義されている IP アドレスを選択します。
プレフィックス/長さ表記(10.1.1.0/24 など)を使用してアドレスとサブネット マスクを指定します。マスクを使用せずに IP アドレスを入力すると、そのアドレスは最後が 0 であってもホスト アドレスと見なされます。
任意の宛先アドレスを指定するには、 any を入力します。
アドレスが複数ある場合はカンマで区切ります。
d. [Service] フィールドで、宛先サービスの IP サービス名または番号を入力するか、[...] ボタンをクリックしてサービスを選択します。
TCP または UDP のポート番号、あるいは ICMP サービス番号を指定する場合は、 プロトコル / ポート を入力します。たとえば、TCP/8080 と入力します。
デフォルトでは、サービスは IP です。
サービスが複数ある場合はカンマで区切ります。
e. (任意)[Description] フィールドに説明を入力します。
f. (任意)TCP または UDP の送信元サービスを指定するには、[More Options] 領域をクリックして開き、[Source Service] フィールドに TCP サービスまたは UDP サービスを入力します。
宛先サービスと送信元サービスは同じである必要があります。[Destination Service] フィールドをコピーし、[Source Service] フィールドに貼り付けます。
g. (任意)ルールを非アクティブにするには、[More Options] 領域をクリックして開き、[Enable Rule] をオフにします。
この設定は、ルールを削除せずに無効にしたい場合に便利です。
h. (任意)ルールの時間範囲を指定するには、[More Options] 領域をクリックして開き、[Time Range] ドロップダウン リストから時間範囲を選択します。
新しい時間範囲を追加するには、[...] ボタンをクリックします。詳細については、「時間範囲の設定」を参照してください。
この設定は、事前に設定した時間にだけルールをアクティブにする場合に便利です。
• [Destination Port]:[TCP] または [UDP] をクリックします。
[Service] フィールドに、ポート番号または名前を入力するか、または [...] をクリックして ASDM で定義済みのサービスを選択します。
ステップ 8 [Next] をクリックします。
「Add Management Service Policy Rule - Rule Actions」ダイアログボックスが表示されます。
ステップ 9 RADIUS アカウンティング インスペクションを設定するには、[RADIUS Accounting Map] ドロップダウン リストからインスペクション マップを選択するか、または [Configure] をクリックしてマップを追加します。
詳細については、「RADIUS アカウンティング フィールドの説明」を参照してください。
ステップ 10 最大接続数を設定するには、[Maximum Connections] 領域で次の値を 1 つ以上入力します。
• [TCP & UDP Connections]:トラフィック クラスのすべてのクライアントで同時に接続される TCP および UDP 接続の最大数を 65,536 までの範囲で指定します。どちらのプロトコルともデフォルトは 0 で、接続可能な最大許容数に設定されています。
• [Embryonic Connections]:ホストごとの初期接続の最大数を 65,536 までの範囲で指定します。初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。この制限により、TCP 代行受信機能がイネーブルになります。デフォルトは 0 で、最大初期接続数であることを示します。TCP 代行受信は、TCP SYN パケットを使用してインターフェイスをフラッディングすることによる DoS 攻撃から内部システムを保護します。初期接続制限を超えると、クライアントからセキュリティ レベルのより高いサーバに送信される TCP SYN パケットが、TCP 代行受信機能によって代行受信されます。検証プロセス中に SYN クッキーが使用され、ドロップされる有効なトラフィックの数が最小限に抑えられます。したがって、到達不能なホストからの接続試行がサーバに到達することはありません。
ステップ 11 [Finish] をクリックします。
RADIUS アカウンティング フィールドの説明
この項では、RADIUS アカウンティング フィールドの一覧を示します。説明する内容は次のとおりです。
• 「Select RADIUS Accounting Map」
• 「Add RADIUS Accounting Policy Map」
• 「RADIUS インスペクション マップ」
• 「RADIUS インスペクション マップ(ホスト)」
• 「RADIUS インスペクション マップ(その他)」
Select RADIUS Accounting Map
[Select RADIUS Accounting Map] ダイアログボックスでは、定義済み RADIUS アカウンティング マップを選択するか、新しい RADIUS アカウンティング マップを定義できます。
フィールド
• [Add]:新しい RADIUS アカウンティング マップを追加できます。
モード
次の表は、この機能を使用できるモードを示したものです。
Add RADIUS Accounting Policy Map
[Add RADIUS Accounting Policy Map] ダイアログボックスでは、RADIUS アカウンティング マップの基本設定を追加できます。
フィールド
• [Name]:事前に設定されている RADIUS アカウンティング マップの名前を入力します。
• [Description]:RADIUS アカウンティング マップの説明を 100 文字以内で入力します。
• [Host Parameters] タブ:
– [Host IP Address]:RADIUS メッセージの送信元となるホストの IP アドレスを指定します。
– [Key: (optional)]:キーを指定します。
– [Add]:[Host] テーブルにホスト エントリを追加します。
– [Delete]:[Host] テーブルからホスト エントリを削除します。
• [Other Parameters] タブ:
– [Attribute Number]:「Accounting Start」を受信したときに確認する属性番号を指定します。
– [Add]:[Attribute] テーブルにエントリを追加します。
– [Delete]:[Attribute] テーブルからエントリを削除します。
– [Send response to the originator of the RADIUS message]:RADIUS メッセージの送信元ホストにメッセージを返信します。
– [Enforce timeout]:ユーザのタイムアウトをイネーブルにします。
• [Users Timeout]:データベース内のユーザのタイムアウト(hh:mm:ss)。
モード
次の表は、この機能を使用できるモードを示したものです。
RADIUS インスペクション マップ
[RADIUS] ペインでは、事前に設定された RADIUS アプリケーション インスペクション マップを表示できます。RADIUS マップでは、RADIUS アプリケーション インスペクションで使用されるコンフィギュレーションのデフォルト値を変更できます。RADIUS マップを使用すると、過剰請求攻撃を防御できます。
フィールド
• [Name]:インスペクション マップの名前を 40 文字以内で入力します。
• [Description]:インスペクション マップの説明を 200 文字以内で入力します。
• [RADIUS Inspect Maps]:定義されている RADIUS インスペクション マップを一覧表示するテーブルです。定義されているインスペクション マップは、[Inspect Maps] ツリーの [RADIUS] エリアにも表示されます。
• [Add]:新規の RADIUS インスペクション マップを、[RADIUS Inspect Maps] テーブルの定義リストと [Inspect Maps] ツリーの [RADIUS] エリアに追加します。RADIUS マップを新たに設定するには、[Inspect Maps] ツリーで [RADIUS] エントリを選択します。
• [Delete]:[RADIUS Inspect Maps] テーブルで選択したアプリケーション インスペクション マップを削除します。[Inspect Maps] ツリーの [RADIUS] エリアからも削除されます。
モード
次の表は、この機能を使用できるモードを示したものです。
RADIUS インスペクション マップ(ホスト)
[RADIUS Inspect Map Host Parameters] ペインでは、インスペクション マップのホスト パラメータを設定できます。
フィールド
• [Name]:事前に設定されている RADIUS アカウンティング マップの名前を示します。
• [Description]:RADIUS アカウンティング マップの説明を 200 文字以内で入力します。
• [Host Parameters]:ホストのパラメータを設定できます。
– [Host IP Address]:RADIUS メッセージの送信元となるホストの IP アドレスを指定します。
– [Key: (optional)]:キーを指定します。
• [Add]:[Host] テーブルにホスト エントリを追加します。
• [Delete]:[Host] テーブルからホスト エントリを削除します。
モード
次の表は、この機能を使用できるモードを示したものです。
RADIUS インスペクション マップ(その他)
[RADIUS Inspect Map Other Parameters] ペインでは、インスペクション マップに追加するパラメータを設定できます。
フィールド
• [Name]:事前に設定されている RADIUS アカウンティング マップの名前を示します。
• [Description]:RADIUS アカウンティング マップの説明を 200 文字以内で入力します。
• [Other Parameters]:追加するパラメータを設定できます。
– [Send response to the originator of the RADIUS message]:RADIUS メッセージの送信元ホストにメッセージを返信します。
– [Enforce timeout]:ユーザのタイムアウトをイネーブルにします。
[Users Timeout]:データベース内のユーザのタイムアウト(hh:mm:ss)。
– [Enable detection of GPRS accounting]:GPRS アカウンティングの検出をイネーブルにします。このオプションは、GTP/GPRS ライセンスがイネーブルの場合にだけ使用できます。
– [Validate Attribute]:属性情報です。
[Attribute Number]:「Accounting Start」を受信したときに確認する属性番号を指定します。
[Add]:[Attribute] テーブルにエントリを追加します。
[Delete]:[Attribute] テーブルからエントリを削除します。
モード
次の表は、この機能を使用できるモードを示したものです。