[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [DCERPC] を選択します。

次のいずれかを実行します。

新しいマップの場合、名前（最大 40 文字）と説明を入力します。マップを編集するときは、変更できるのは説明のみです。

[DCERPC Inspect Map] ダイアログボックスの [Security Level] のビューで、希望する設定に一致するレベルを選択します。

必要なオプションを設定します。

（任意）[Inspections] タブをクリックして、特定のタイプのメッセージに対して実行するアクションを定義します。

1. 次のいずれかを実行します。

   • [Add] をクリックして、新しい基準を追加します。

   • 既存の基準を選択し、[Edit] をクリックします。

2. [Single Match] を選択して基準を直接定義するか、または [Multiple Match] を選択して基準を定義する DCERPC クラス マップを選択します。

3. 基準をここで定義した場合は、基準の一致タイプとして [Match] （トラフィックは基準と一致する必要がある）または [No Match] （トラフィックは基準と異なる必要がある）を選択します。次に、希望する UUID を選択します。

   • ms-rpc-epm ：Microsoft RPC EPM メッセージを照合します。

   • ms-rpc-isystemactivator ：ISystemMapper メッセージを照合します。

   • ms-rpc-oxidresolver ：OxidResolver メッセージを照合します。

4. 接続をリセットするか、ログに記録するかを選択します。接続をリセットすることを選択した場合、ロギングを有効にすることもできます。接続をリセットすると、パケットがドロップされ、接続が閉じられ、サーバまたはクライアントに TCP リセットが送信されます。

5. [OK] をクリックして、基準を追加します。必要に応じてプロセスを繰り返します。

[OK] をクリックします。

[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [DNS] を選択します。

次のいずれかを実行します。

新しいマップの場合、名前（最大 40 文字）と説明を入力します。マップを編集するときは、変更できるのは説明のみです。

[DNS Inspect Map] ダイアログ ボックスの [Security Level] ビューで、必要なコンフィギュレーションと最もよく一致するレベルを選択します。デフォルトのレベルは [Low] です。

[Protocol Conformance] タブをクリックし、必要なオプションを選択します。

[Filtering] タブをクリックし、必要なオプションを選択します。

[不一致レート（Mismatch Rate）] タブをクリックして、DNS ID 不一致レートが指定したしきい値を超えた場合のロギングを有効にするかどうかを選択します。たとえば、しきい値を 3 秒あたり 30 個の不一致に設定できます。

[Inspections] タブをクリックし、トラフィックの特性に基づいて実装する特定のインスペクションを定義します。

1. 次のいずれかを実行します。

   • [Add] をクリックして、新しい基準を追加します。

   • 既存の基準を選択し、[Edit] をクリックします。

2. [Single Match] を選択して基準を直接定義するか、または [Multiple Match] を選択して基準を定義する DNS クラス マップを選択します。

3. 基準をここで定義した場合は、基準の一致タイプとして [Match] （トラフィックは基準と一致する必要がある）または [No Match] （トラフィックは基準と異なる必要がある）を選択します。たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。次に、基準を以下のように設定します。

   • [Header Flag]：フラグが等しい必要があるか、または指定された値を含む必要があるかを選択した後、ヘッダー フラグ名を選択するか、またはヘッダーの 16 進値（0x0 ～ 0xfff）を入力します。複数のヘッダー値を選択する場合、「等しい」はすべてのフラグがパケットに存在する必要があることを示し、「含む」はいずれか 1 つのフラグでもパケットに存在すればよいことを示します。ヘッダー フラグ名は、AA（権限応答）、QR（クエリー）、RA（使用できる再帰）、RD（必要な再帰）、TC（切り捨て）です。

   • [Type]：パケットの DNS タイプ フィールドの名前または値です。フィールド名は、A（IPv4 アドレス）、AXFR（フル ゾーン転送）、CNAME（正規の名前）、IXFR（増分ゾーン転送）、NS（権限ネーム サーバ）、SOA（権限ゾーンの開始）、TSIG（トランザクション署名）です。値は、DNS タイプ フィールドの 0 ～ 65535 の任意の数字です。特定の値または値の範囲を入力します。

   • [Class]：パケットの DNS クラス フィールドの名前または値です。使用可能な唯一のフィールド名は Internet です。値は、DNS クラス フィールドの 0 ～ 65535 の任意の数字です。特定の値または値の範囲を入力します。

   • [Question]：DNS メッセージの質問部分です。

   • [Resource Record]：DNS のリソース レコードです。追加、応答、権限の各リソース レコード セクションと照合するかどうかを選択します。

4. 一致したトラフィックに対して実行する主要なアクションを選択します。パケットのドロップ、接続の切断、マスク（ヘッダー フラグ一致の場合のみ）、何もしない、のいずれかです。

5. ロギングをイネーブルまたはディセーブルにするかどうかを選択します。TSIG を強制する場合は、ロギングをディセーブルにする必要があります。

6. TSIG リソース レコードの存在を強制するかどうかを選択します。パケットのドロップ、パケットのロギング、またはパケットのドロップとロギングが可能です。通常、TSIG を強制するには [Primary Action] で [None] を選択し、[Log] で [Disable] を選択する必要があります。ただし、ヘッダー フラグ一致の場合は、マスクのプライマリ アクションととともに TSIG を適用できます。

7. [OK] をクリックして、インスペクションを追加します。必要に応じてプロセスを繰り返します。

[DNS Inspect Map] ダイアログ ボックスの [OK] をクリックします。

[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [FTP] を選択します。

次のいずれかを実行します。

新しいマップの場合、名前（最大 40 文字）と説明を入力します。マップを編集するときは、変更できるのは説明のみです。

[FTP Inspect Map] ダイアログ ボックスの [Security Level] ビューで、必要なコンフィギュレーションと最もよく一致するレベルを選択します。デフォルトのレベルは [High] です。

[Parameters] タブをクリックし、サーバからの接続時バナーをマスクするかどうか、または SYST コマンドへの応答をマスクするかどうかを選択します。

[Inspections] タブをクリックし、トラフィックの特性に基づいて実装する特定のインスペクションを定義します。

1. 次のいずれかを実行します。

   • [Add] をクリックして、新しい基準を追加します。

   • 既存の基準を選択し、[Edit] をクリックします。

2. [Single Match] を選択して基準を直接定義するか、または [Multiple Match] を選択して基準を定義する FTP クラス マップを選択します。

3. 基準をここで定義した場合は、基準の一致タイプとして [Match] （トラフィックは基準と一致する必要がある）または [No Match] （トラフィックは基準と異なる必要がある）を選択します。たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。次に、基準を以下のように設定します。

   • [File Name]：転送されるファイルの名前を、選択した正規表現または正規表現クラスと照合します。

   • [File Type]：転送されるファイルの MIME またはメディア タイプを、選択した正規表現または正規表現クラスと照合します。

   • [Server]：FTP サーバの名前を、選択した正規表現または正規表現クラスと照合します。

   • [User]：ログイン ユーザの名前を、選択した正規表現または正規表現クラスと照合します。

   • [Request Command]：パケットで使用される FTP コマンドです。以下の任意の組み合わせです。

     • APPE：ファイルに追加します。

     • CDUP：現在の作業ディレクトリの親ディレクトリに変更します。

     • DELE：サーバのファイルを削除します。

     • GET：サーバからファイルを取得します。

     • HELP：ヘルプ情報を提供します。

     • MKD：サーバにディレクトリを作成します。

     • PUT：ファイルをサーバに送信します。

     • RMD：サーバのディレクトリを削除します。

     • RNFR：「変更前の」ファイル名を指定します。

     • RNTO：「変更後の」ファイル名を指定します。

     • SITE：サーバ固有のコマンドの指定に使用されます。通常、これはリモート管理に使用されます。

     • STOU：一義的なファイル名を使用してファイルを保存します。

4. ロギングをイネーブルまたはディセーブルにするかどうかを選択します。アクションは常に接続をリセットします。パケットをドロップして接続を閉じ、サーバまたはクライアントに TCP リセットを送信します。

5. [OK] をクリックして、インスペクションを追加します。必要に応じてプロセスを繰り返します。

[FTP Inspect Map] ダイアログ ボックスの [OK] をクリックします。

[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [HTTP] を選択します。

次のいずれかを実行します。

新しいマップの場合、名前（最大 40 文字）と説明を入力します。マップを編集するときは、変更できるのは説明のみです。

[HTTP Inspect Map] ダイアログ ボックスの [Security Level] ビューで、必要なコンフィギュレーションと最もよく一致するレベルを選択します。デフォルトのレベルは [Low] です。

[Parameters] タブをクリックし、必要なオプションを設定します。

[Inspections] タブをクリックし、トラフィックの特性に基づいて実装する特定のインスペクションを定義します。

1. 次のいずれかを実行します。

   • [Add] をクリックして、新しい基準を追加します。

   • 既存の基準を選択し、[Edit] をクリックします。

2. [Single Match] を選択して基準を直接定義するか、または [Multiple Match] を選択して基準を定義する HTTP クラス マップを選択します。

3. 基準をここで定義した場合は、基準の一致タイプとして [Match] （トラフィックは基準と一致する必要がある）または [No Match] （トラフィックは基準と異なる必要がある）を選択します。たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。次に、基準を以下のように設定します。

   • [Request/Response Content Type Mismatch]：応答のコンテンツ タイプが要求の accept フィールドの MIME タイプの 1 つと一致しないパケットを照合します。

   • [Request Arguments]：要求の引数を、選択した正規表現または正規表現クラスと照合します。

   • [Request Body Length]：要求の本文が指定したバイト数より大きいパケットを照合します。

   • [Request Body]：要求の本文を、選択した正規表現または正規表現クラスと照合します。

   • [Request Header Field Count]：要求のヘッダー フィールドの数が指定した数より多いパケットを照合します。フィールドのヘッダー タイプを正規表現または定義済みのタイプと照合できます。定義済みのタイプは次のとおりです。accept、accept-charset、accept-encoding、accept-language、allow、authorization、cache-control、connection、content-encoding、content-language、content-length、content-location、content-md5、content-range、content-type、cookie、date、expect、expires、from、host、if-match、if-modified-since、if-none-match、if-range、if-unmodified-since、last-modified、max-forwards、pragma、proxy-authorization、range、referer、te、trailer、transfer-encoding、upgrade、user-agent、via、warning。

   • [Request Header Field Length]：要求のヘッダー フィールドの長さが指定したバイト数より大きいパケットを照合します。フィールドのヘッダー タイプを正規表現または定義済みのタイプと照合できます。定義済みのタイプは、上の [Request Header Field Count] に対する一覧と同じです。

   • [Request Header Field]：要求の選択したヘッダー フィールドの内容を、選択した正規表現または正規表現クラスと照合します。事前定義されたヘッダー タイプを指定するか、または正規表現を使用してヘッダーを選択できます。

   • [Request Header Count]：要求のヘッダーの数が指定した数より多いパケットを照合します。

   • [Request Header Length]：要求のヘッダーの長さが指定したバイト数より大きいパケットを照合します。

   • [Request Header Non-ASCII]：要求のヘッダーに ASCII 以外の文字が含まれるパケットを照合します。

   • [Request Method]：要求メソッドが定義済みのタイプまたは選択した正規表現もしくは正規表現クラスと一致するパケットを照合します。定義済みのタイプは次のとおりです。bcopy、bdelete、bmove、bpropfind、bproppatch、connect、copy、delete、edit、get、getattribute、getattributenames、getproperties、head、index、lock、mkcol、mkdir、move、notify、options、poll、post、propfind、proppatch、put、revadd、revlabel、revlog、revnum、save、search、setattribute、startrev、stoprev、subscribe、trace、unedit、unlock、unsubscribe。

   • [Request URI Length]：要求の URI の長さが指定したバイト数より大きいパケットを照合します。

   • [Request URI]：要求の URI の内容を、選択した正規表現または正規表現クラスと照合します。

   • [Request Body]：要求の本文を、選択した正規表現または正規表現クラスあるいは ActiveX または Java アプレットの内容と照合します。

   • [Response Body Length]：応答の本文の長さが指定したバイト数より大きいパケットを照合します。

   • [Response Header Field Count]：応答のヘッダー フィールドの数が指定した数より多いパケットを照合します。フィールドのヘッダー タイプを正規表現または定義済みのタイプと照合できます。定義済みのタイプは次のとおりです。accept-ranges、age、allow、cache-control、connection、content-encoding、content-language、content-length、content-location、content-md5、content-range、content-type、date、etag、expires、last-modified、location、pragma、proxy-authenticate、retry-after、server、set-cookie、trailer、transfer-encoding、upgrade、vary、via、warning、www-authenticate。

   • [Response Header Field Length]：応答のヘッダー フィールドの長さが指定したバイト数より大きいパケットを照合します。フィールドのヘッダー タイプを正規表現または定義済みのタイプと照合できます。定義済みのタイプは、上の [Response Header Field Count] に対する一覧と同じです。

   • [Response Header Field]：応答の選択したヘッダー フィールドの内容を、選択した正規表現または正規表現クラスと照合します。事前定義されたヘッダー タイプを指定するか、または正規表現を使用してヘッダーを選択できます。

   • [Response Header Count]：応答のヘッダーの数が指定した数より多いパケットを照合します。

   • [Response Header Length]：応答のヘッダーの長さが指定したバイト数より大きいパケットを照合します。

   • [Response Header Non-ASCII]：応答のヘッダーに ASCII 以外の文字が含まれるパケットを照合します。

   • [Response Status Line]：応答のステータス行の内容を、選択した正規表現または正規表現クラスと照合します。

4. 接続のドロップ、リセット、またはログへの記録を行うかどうか選択します。接続のドロップまたはリセットの場合は、ロギングをイネーブルまたはディセーブルにできます。

5. [OK] をクリックして、インスペクションを追加します。必要に応じてプロセスを繰り返します。

[HTTP Inspect Map] ダイアログ ボックスの [OK] をクリックします。

[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [IP Options] を選択します。

次のいずれかを実行します。

新しいマップの場合、名前（最大 40 文字）と説明を入力します。マップを編集するときは、変更できるのは説明のみです。

許可するオプションを [Drop] リストから [Allow] リストに移動して選択します。

[OK] をクリックします。

[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [IPsec Pass Through] を選択します。

次のいずれかを実行します。

新しいマップの場合、名前（最大 40 文字）と説明を入力します。マップを編集するときは、変更できるのは説明のみです。

[IPsec Pass Through Inspect Map] ダイアログ ボックスの [Security Level] ビューで、必要なコンフィギュレーションと最もよく一致するレベルを選択します。

ESP および AH トンネルを許可するかどうかを選択します。

[OK] をクリックします。

[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [IPv6] を選択します。

次のいずれかを実行します。

新しいマップの場合、名前（最大 40 文字）と説明を入力します。マップを編集するときは、変更できるのは説明のみです。

[Enforcement] タブをクリックし、既知の IPv6 拡張ヘッダーだけを許可するかどうか、または RFC 2460 で定義されている IPv6 拡張ヘッダーの順序を適用するかどうかを選択します。準拠しないパケットはドロップされ、ログに記録されます。

（任意）[Header Matches] タブをクリックし、IPv6 メッセージのヘッダーに基づいてドロップまたはログに記録するトラフィックを指定します。

1. 次のいずれかを実行します。

   • [Add] をクリックして、新しい基準を追加します。

   • 既存の基準を選択し、[Edit] をクリックします。

2. 一致する IPv6 拡張ヘッダーを選択します。

   • 認証（AH）認証ヘッダー。

   • 宛先オプション ヘッダー。

   • カプセル化セキュリティ ペイロード（ESP）ヘッダー。

   • フラグメント ヘッダー。

   • ホップバイホップ オプション ヘッダー。

   • [Routing header]：1 つのヘッダー タイプ番号または番号の範囲を指定します。

   • [Header Count]：パケットをドロップまたはログに記録しないで許可する拡張ヘッダーの最大数を指定します。

   • [Routing header address count]：パケットをドロップまたはログに記録しないで許可するタイプ 0 ルーティング ヘッダー内のアドレスの最大数を指定します。

3. パケットをドロップするか、ログに記録するかを選択します。パケットをドロップする場合は、ロギングをイネーブルにすることもできます。

4. [OK] をクリックして、インスペクションを追加します。必要に応じてプロセスを繰り返します。

[IPv6 Inspect Map] ダイアログ ボックスの [OK] をクリックします。

[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [ESMTP] を選択します。

次のいずれかを実行します。

新しいマップの場合、名前（最大 40 文字）と説明を入力します。マップを編集するときは、変更できるのは説明のみです。

[ESMTP Inspect Map] ダイアログ ボックスの [Security Level] ビューで、必要なコンフィギュレーションと最もよく一致するレベルを選択します。

[Parameters] タブをクリックし、必要なオプションを設定します。

[Filtering] タブをクリックし、必要なオプションを設定します。

[Inspections] タブをクリックし、トラフィックの特性に基づいて実装する特定のインスペクションを定義します。

1. 次のいずれかを実行します。

   • [Add] をクリックして、新しい基準を追加します。

   • 既存の基準を選択し、[Edit] をクリックします。

2. 基準の一致タイプとして、[Match] （トラフィックは基準と一致する必要がある）または [No Match] （トラフィックは基準と異なる必要がある）を選択します。たとえば、文字列「example.com」で [No Match] を選択した場合、「example.com」を含むトラフィックはすべてクラス マップの対象外になります。次に、基準を設定します。

   • [Body Length]： ESMTP 本文メッセージの長さが指定したバイト数より大きいメッセージと一致します。

   • [Body Line Length] ：ESMTP 本文メッセージの行の長さが指定したバイト数より大きいメッセージと一致します。

   • [Commands]：メッセージのコマンド動詞と一致します。 次のコマンドの 1 つまたは複数を指定できます。auth、data、ehlo、etrn、helo、help、mail、noop、quit、rcpt、rset、saml、soml、vrfy。

   • [Command Recipient Count]： 受信者の数が指定した値より大きいメッセージと一致します。

   • [Command Line Length] ：コマンド動詞の行の長さが指定したバイト数より大きいメッセージと一致します。

   • [EHLO Reply Parameters] ：ESMTP EHLO 応答パラメータと一致します。次のパラメータの 1 つまたは複数を指定できます。8bitmime、auth、binaryname、checkpoint、dsn、etrn、others、pipelining、size、vrfy。

   • [Header Length] ：ESMTP ヘッダーの長さが指定したバイト数より大きいメッセージと一致します。

   • [Header Line Length] ：ESMTP ヘッダーの行の長さが指定したバイト数より大きいメッセージと一致します。

   • [Header To: Fields Count] ：ヘッダーの To フィールドの数が指定した値より大きいメッセージと一致します。

   • [Invalid Recipients Count] ：無効な受信者の数が指定した値より大きいメッセージと一致します。

   • [MIME File Type] ：MIME またはメディア ファイル タイプを、指定した正規表現または正規表現クラスと照合します。

   • [MIME Filename Length] ：ファイル名が指定したバイト数より大きいメッセージと一致します。

   • [MIME Encoding] ：MIME エンコーディング タイプと一致します。次のタイプの 1 つまたは複数を指定できます。7bit、8bit、base64、binary、others、quoted-printable。

   • [Sender Address] ：送信者の電子メール アドレスを、指定した正規表現または正規表現クラスと照合します。

   • [Sender Address Length] ：送信者のアドレスが指定したバイト数より大きいメッセージと一致します。

3. 接続のドロップ、リセット、またはログへの記録を行うかどうか選択します。接続のドロップまたはリセットの場合は、ロギングをイネーブルまたはディセーブルにできます。コマンドおよび EHLO 応答パラメータの場合、コマンドをマスクすることもできます。コマンドの一致の場合、1 秒間のパケット数制限を適用することもできます。

4. [OK] をクリックして、インスペクションを追加します。必要に応じてプロセスを繰り返します。

[ESMTP Inspect Map] ダイアログ ボックスの [OK] をクリックします。

[Configuration] > [Firewall] > [Advanced] > [SUNRPC Server] を選択します。

次のいずれかを実行します。

サービス プロパティを設定します。

[OK] をクリックします。

（任意）これらのサービス用に作成されたピンホールをモニタします。

hostname# show sunrpc-server active
LOCAL FOREIGN SERVICE TIMEOUT
-----------------------------------------------
1 209.165.200.5/0 192.168.100.2/2049 100003 0:30:00
2 209.165.200.5/0 192.168.100.2/2049 100003 0:30:00
3 209.165.200.5/0 192.168.100.2/647 100005 0:30:00
4 209.165.200.5/0 192.168.100.2/650 100005 0:30:00