- FireSIGHT System ユーザ ガイド
- Contents
- Cisco FireSIGHT システムの概要
- FireSIGHT システム へのログイン
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスの設定
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- 集約インターフェイスのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- ユーザに基づくトラフィックの制御
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- ネットワーク資産に応じた侵入防御の調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの理解と作成
- マルウェアと禁止されたファイルのブロッ キング
- ネットワーク トラフィックの接続のロギ ング
- 接続およびセキュリティ インテリジェンス のデータの使用
- マルウェアとファイル アクティビティの 分析
- 侵入イベントの操作
- インシデント対応
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ネットワーク検出の概要
- ネットワーク検出の拡張
- アクティブ スキャンの設定
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- FireSIGHT システムのコンプライアンス ツー ルとしての使用
- トラフィック プロファイルの作成
- 修復の設定
- ダッシュボードの使用
- Context Explorer の使用
- レポートの操作
- ワークフローの概要と使用
- カスタム テーブルの使用
- イベントの検索
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システム のライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ設定の指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、お よび通信ポート
- サードパーティ製品
- Glossary
FireSIGHT System バージョン 5.4.1 ユーザ ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2018年8月6日
章のタイトル: IPS デバイスの設定
IPS デバイスの設定
パッシブまたはインラインのいずれかの IPS 展開でデバイスを設定できます。パッシブ展開では、ネットワーク トラフィックのフローからアウト オブ バンドでシステムを展開します。インライン展開では、2 つのポートを一緒にバインドすることで、ネットワーク セグメント上でシステムを透過的に設定します。
パッシブ IPS 展開について
パッシブ(受動)IPS 展開では、FireSIGHT システムは、スイッチ SPAN またはミラー ポートを使用してネットワークを流れるトラフィックを監視します。SPAN またはミラー ポートでは、スイッチ上の他のポートからトラフィックをコピーできます。これにより、ネットワーク トラフィックのフローに含まれなくても、ネットワークでのシステムの可視性が備わります。パッシブ展開で構成されたシステムでは、特定のアクション(トラフィックのブロッキングやシェーピングなど)を実行することができません。パッシブ インターフェイスはすべてのトラフィックを無条件で受信します。このインターフェイスで受信されたトラフィックは再送されません。
(注
) 発信トラフィックにはフロー制御パケットが含まれています。そのため、アプライアンスのパッシブ インターフェイスに発信トラフィックが表示されることがあり、設定によっては、イベントが生成されることもあります。これは正常な動作です。
パッシブ インターフェイスの設定
管理対象デバイス上の 1 つ以上の物理ポートをパッシブ インターフェイスとして設定できます。
Cisco パッケージのインストール時に、Blue Coat X-Series 向け Cisco NGIPS インターフェイスをパッシブまたはインラインのいずれかに設定します。FireSIGHT システム Web インターフェイスを使用して、Blue Coat X-Series 向け Cisco NGIPS インターフェイスを再設定することはできません。詳細については、Blue Coat X シリーズ インターフェイス用の Cisco NGIPS の設定を参照してください。
センシング インターフェイスまたはインライン セットの MTU の任意の値(シリーズ 2)または最高値(シリーズ 3)を変更すると、変更を適用する際、変更したインターフェイスだけではなく、デバイス上のすべてのセンシング インターフェイスに対するトラフィック インスペクションが一時的に中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびインターフェイスのタイプに応じて異なります。
Snort の再開によるトラフィックへの影響を参照してください。
手順 1 [デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。
[デバイス管理(Device Management)] ページが表示されます。
手順 2 パッシブ インターフェイスを設定するデバイスの横にある編集アイコン(
)をクリックします。
[インターフェイス(Interfaces)] タブが表示されます。
手順 3 パッシブ インターフェイスとして設定するインターフェイスの横にある編集アイコン( )をクリックします。
[インターフェイスの編集(Edit Interface)] ポップアップ ウィンドウが表示されます。
手順 4 [パッシブ(Passive)] をクリックして、パッシブ インターフェイスのオプションを表示します。
手順 5 オプションで、[セキュリティ ゾーン(Security Zone)] ドロップダウン リストから既存のセキュリティ ゾーンを選択するか、または [新規(New)] を選択して新しいセキュリティ ゾーンを追加します。
手順 6 [有効化(Enabled)] チェック ボックスをオンにして、パッシブ インターフェイスがトラフィックを監視できるようにします。
このチェック ボックスをオフにすると、インターフェイスは無効になり、ユーザはセキュリティ上の理由によりアクセスできなくなります。
手順 7 [モード(Mode)] ドロップダウン リストからリンク モードを指定するオプションを選択するか、または [自動ネゴシエーション(Autonegotiation)] を選択して、速度とデュプレックス設定を自動的にネゴシエートするようにインターフェイスを設定します。モード設定は銅インターフェイスでのみ使用可能であることに注意してください。
(注) 8000 シリーズ アプライアンスのインターフェイスは、半二重オプションをサポートしません。
手順 8 [MDI/MDIX] ドロップダウン リストから、インターフェイスの設定対象として MDI(メディア依存型インターフェイス)、MDIX(メディア依存型インターフェイス クロスオーバー)、または Auto-MDIX のいずれかを指定するオプションを選択します。MDI/MDIX 設定は銅線インターフェイス専用であることに注意してください。
デフォルトでは、MDI/MDIX は Auto-MDIX に設定され、MDI と MDIX の間のスイッチングを自動的に処理してリンクを確立します。
手順 9 [MTU] フィールドに最大伝送ユニット(MTU)を入力して、パケットの最大許容サイズを指定します。
設定可能な MTU の範囲は、FireSIGHT システムのデバイス モデルおよびインターフェイスのタイプによって異なる場合があります。詳細については、管理対象デバイスの MTU の範囲を参照してください。
パッシブ インターフェイスが設定されます。デバイス設定を適用するまでは、変更内容が有効にならないことに注意してください(詳しくはデバイスへの変更の適用を参照してください)。
インライン IPS 展開について
インライン展開では、2 つのポートを一緒にバインドすることで、ネットワーク セグメント上で FireSIGHT システムを透過的に設定します。これによって、隣接するネットワーク デバイスの設定がなくても、任意のネットワーク環境にシステムをインストールすることができます。インライン インターフェイスはすべてのトラフィックを無条件に受信しますが、これらのインターフェイスで受信されたすべてのトラフィックは、明示的にドロップされない限り、インライン セットの外部に再送信されます。
インライン インターフェイスの設定
管理対象デバイス上の 1 つ以上の物理ポートをインライン インターフェイスとして設定できます。インライン インターフェイスがインライン展開環境のトラフィックを処理できるようにするには、その前に、インライン インターフェイスのペアをインライン セットに割り当てる必要があります。
インライン ペアのインターフェイスをそれぞれ異なる速度に設定した場合、またはインターフェイスが異なる速度にネゴシエートされる場合は、システムによって警告が出されることに注意してください。
Cisco パッケージのインストール時に、Blue Coat X-Series 向け Cisco NGIPS インターフェイスをパッシブまたはインラインのいずれかに設定します。FireSIGHT システム Web インターフェイスを使用して、Blue Coat X-Series 向け Cisco NGIPS インターフェイスを再設定することはできません。詳細については、Blue Coat X シリーズ インターフェイス用の Cisco NGIPS の設定を参照してください。
(注) インターフェイスをインライン インターフェイスとして設定すると、そのインターフェイスの NetMod 上の隣接ポートも自動的にインライン インターフェイスとなり、インライン インターフェイスのペアが完成します。
仮想デバイスでインライン インターフェイスを設定するには、隣接するインターフェイスを使用してインライン ペアを作成する必要があります。
手順 1 [デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。
[デバイス管理(Device Management)] ページが表示されます。
手順 2 インライン インターフェイスを設定するデバイスの横にある編集アイコン( )をクリックします。
[インターフェイス(Interfaces)] タブが表示されます。
手順 3 インライン インターフェイスとして設定するインターフェイスの横にある編集アイコン( )をクリックします。
[インターフェイスの編集(Edit Interface)] ポップアップ ウィンドウが表示されます。
手順 4 [インライン(Inline)] をクリックして、インライン インターフェイスのオプションを表示します。
手順 5 オプションで、[セキュリティ ゾーン(Security Zone)] ドロップダウン リストから既存のセキュリティ ゾーンを選択するか、または [新規(New)] を選択して新しいセキュリティ ゾーンを追加します。
手順 6 [インライン セット(Inline Set)] ドロップダウン リストから既存のインライン セットを選択するか、または [新規(New)] を選択して新しいインライン セットを追加します。
新しいインライン セットを追加した場合は、インライン インターフェイスのセットアップ後に、そのインライン セットを [デバイス管理(Device Management)] ページ([デバイス(Devices)] > [デバイス管理(Device Management)] > [インライン セット(Inline Set)])で設定する必要があることに注意してください。詳細については、インライン セットの追加を参照してください。
手順 7 [有効化(Enabled)] チェック ボックスをオンにして、インライン インターフェイスがトラフィックを処理できるようにします。
このチェック ボックスをオフにすると、インターフェイスは無効になり、ユーザはセキュリティ上の理由によりアクセスできなくなります。
手順 8 [モード(Mode)] ドロップダウン リストからリンク モードを指定するオプションを選択するか、または [自動ネゴシエーション(Autonegotiation)] を選択して、速度とデュプレックス設定を自動的にネゴシエートするようにインターフェイスを設定します。モード設定は銅インターフェイスでのみ使用可能であることに注意してください。
(注) 8000 シリーズ アプライアンスのインターフェイスは、半二重オプションをサポートしません。
手順 9 [MDI/MDIX] ドロップダウン リストから、インターフェイスの設定対象として MDI(メディア依存型インターフェイス)、MDIX(メディア依存型インターフェイス クロスオーバー)、または Auto-MDIX のいずれかを指定するオプションを選択します。MDI/MDIX 設定は銅線インターフェイス専用であることに注意してください。
デフォルトでは、MDI/MDIX は Auto-MDIX に設定され、MDI と MDIX の間のスイッチングを自動的に処理してリンクを確立します。
インライン インターフェイスが設定されます。デバイス設定を適用するまでは、変更内容が有効にならないことに注意してください(詳しくはデバイスへの変更の適用を参照してください)。
インライン セットの設定
インライン展開でインライン インターフェイスを使用するには、事前に、インライン セットを設定してインライン インターフェイス ペアをそれらに割り当てる必要があります。インライン セットは、デバイス上の 1 つ以上のインライン インターフェイス ペアからなるグループです。インライン インターフェイス ペアは、一度に 1 つのインライン セットにのみ属することができます。
デバイス トラフィックがインバウンド(着信)であるかアウトバウンド(発信)であるかに応じて、異なるインライン インターフェイス ペアを使用してネットワーク上のホストと外部ホスト間のトラフィックをルーティングするように、管理対象デバイスのインターフェイスを設定できます。これは 非同期ルーティング 設定です。非同期ルーティングを展開し、インライン セットに 1 つのインターフェイス ペアしか含めないと、デバイスがトラフィックの半分しか認識しないため、ネットワーク トラフィックが適切に分析されない可能性があります。
同じインライン インターフェイス セットに複数のインライン インターフェイス ペアを追加すると、システムが着信トラフィックと発信トラフィックを同じトラフィック フローの一部として識別できるようになります。パッシブ インターフェイスの場合、これは同じセキュリティ ゾーンにインターフェイス ペアを含めることによっても実現できます。
非同期ルーティング構成を通過するトラフィックから接続イベントが生成された場合、そのイベントは同じインライン インターフェイス ペアの入力インターフェイスと出力インターフェイスを識別できます。たとえば、次の図の構成では、 eth3 を入力インターフェイス、 eth2 を出力インターフェイスとして識別する接続イベントが生成されます。これは、この構成の予期される動作です。
(注) 単一のインライン インターフェイス セットに複数のインターフェイス ペアを割り当てたときに、重複トラフィックの問題が発生した場合は、システムがパケットを一意に識別できるように再設定します。たとえば、別のインライン セットにインターフェイス ペアを再度割り当てるか、セキュリティ ゾーンを変更することができます。
インライン セットを使用するデバイスでは、デバイスの再起動後にパケットを転送する目的でソフトウェア ブリッジが自動的にセットアップされます。デバイスが再起動しているときには、実行中のソフトウェア ブリッジはありません。インライン セットでパイパス モードを有効にすると、デバイスの再起動中にハードウェア バイパスになります。この場合、システムが停止して再起動する際に、デバイスとのリンクの再ネゴシエーションが原因で数秒間のパケットが失われる可能性があります。ただし、Snort の再起動中には、システムはトラフィックを通過させます。
センシング インターフェイスまたはインライン セットの MTU の任意の値(シリーズ 2)または最高値(シリーズ 3)を変更すると、変更を適用する際、変更したインターフェイスだけではなく、デバイス上のすべてのセンシング インターフェイスに対するトラフィック インスペクションが一時的に中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびインターフェイスのタイプに応じて異なります。
Snort の再開によるトラフィックへの影響を参照してください。
インライン セットの表示
[デバイス管理(Device Management)] ページの [インライン セット(Inline Sets)] タブには、デバイスに設定されているすべてのインライン セットのリストが表示されます。仮想デバイスまたは Blue Coat X-Series 向け Cisco NGIPS では、バイパス モードになるようインライン セットを設定することはできません。「インライン セット テーブル ビューのフィールド」表には、各セットの要約情報が含まれています。
|
|
|
|---|---|
インライン セットに割り当てられたインライン インターフェイスのすべてのペアを示すリスト。[インターフェイス(Interfaces)] タブでペアのいずれかのインターフェイスを無効にした場合、そのペアは含まれません。 |
|
インライン セットの追加
[デバイスの管理(Device Management)] ページの [インライン セット(Inline Sets)] タブからインライン セットを追加できます。または、インライン インターフェイスを設定するときにインライン セットを追加できます。
インライン セットにはインライン インターフェイス ペア のみ を割り当てることができます。管理対象デバイスでインライン インターフェイスを設定する前にインライン セットを作成する必要がある場合は、空のインライン セットを作成し、後からそれにインターフェイスを追加できます。
手順 1 [デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。
[デバイス管理(Device Management)] ページが表示されます。
手順 2 インライン セットを追加するデバイスの横にある編集アイコン( )をクリックします。
[インターフェイス(Interfaces)] タブが表示されます。
手順 3 [インライン セット(Inline Sets)] をクリックします。
[インライン セット(Inline Sets)] タブが表示されます。
手順 4 [インライン セットの追加(Add Inline Set)] をクリックします。
[インライン セットの追加(Add Inline Set)] ポップアップ ウィンドウが表示されます。
手順 5 [名前(Name)] フィールドに、インライン セットの名前を入力します。英数字とスペースを使用できます。
手順 6 インライン セットに追加するインライン インターフェイス ペアを選択する方法として、次の 2 つのオプションがあります。
)をクリックします。複数のインライン インターフェイス ペアを選択するには、Ctrl キーまたは Shift キーを使用します。
)をクリックします。
ヒント インライン セットからインライン インターフェイスを削除するには、1 つ以上のインライン インターフェイス ペアを選択して、選択項目の削除アイコン(
)をクリックします。インライン セットからすべてのインターフェイス ペアを削除するには、「すべてを削除」アイコン()をクリックします。また、[インターフェイス(Interfaces)] タブでペアのいずれかのインターフェイスを無効にすると、ペアが削除されます。
手順 7 [MTU] フィールドに最大伝送ユニット(MTU)を入力して、パケットの最大許容サイズを指定します。
設定可能な MTU の範囲は、FireSIGHT システムのデバイス モデルおよびインターフェイスのタイプによって異なる場合があります。詳細については、管理対象デバイスの MTU の範囲を参照してください。
手順 8 オプションで、[フェールセーフ(Failsafe)] を選択すると、トラフィックは検出をバイパスしてデバイスを引き続き通過することが許可されます。管理対象デバイスは、内部トラフィック バッファをモニタし、それらのバッファが満杯である場合は検出をバイパスします。
内部トラフィック バッファがいっぱいになった場合、インライン セットでデバイスの [フェールセーフ(Failsafe)] を有効にすると、パケットがドロップされるリスクは大幅に軽減されます。ただし、特定の状況では、デバイスによってパケットがドロップされることがあります。最悪の場合、デバイスでネットワークが一時的に停止することがあります。
なお、シリーズ 3 および 3D9900 のデバイスでのみ、このオプションを使用できます。
手順 9 インターフェイスでの障害発生時にインライン インターフェイスのリレーがどのように応答するかを設定するには、次のようにバイパス モードを選択します。
(注) バイパス モードでは、アプライアンスの再起動時に少数のパケットが失われることがあります。また、クラスタ デバイス上のインライン セット、仮想デバイスまたは Blue Coat X-Series 向け Cisco NGIPS 上のインライン セット、8000 シリーズ デバイス上の非バイパス NetMod、および 3D7115 または 3D7125 デバイス上の SFP モジュールに対しては、バイパス モードを設定できないので注意してください。
インライン セットが追加されます。デバイス設定を適用するまでは、変更内容が有効にならないことに注意してください(詳しくはデバイスへの変更の適用を参照してください)。
ヒント タップ モード、リンク ステート伝達、トランスペアレント インライン モードなど、インライン セットの詳細設定については、インライン セットの詳細オプションの設定を参照してください。
インライン セットの詳細オプションの設定
インライン セットを設定する際に考慮できるオプションがいくつかあります。各オプションの詳細については、後述の項を参照してください。
3D9900 およびシリーズ 3 デバイスでは、インライン(またはフェール オープン付きインライン)インターフェイス セットを作成するときにタップ モードを使用できます。
タップ モードの場合、デバイスはインラインで展開されますが、パケットがデバイスを通過する代わりに各パケットのコピーがデバイスに送信され、ネットワーク トラフィック フローは影響を受けません。パケット自体ではなくパケットのコピーを処理するため、ドロップするように設定したルール、および置換キーワードを使用するルールはパケット ストリームに影響を与えません。ただし、これらのタイプのルールでは、トリガー時に侵入イベントが生成され、侵入イベントのテーブル ビューには、トリガーの原因となったパケットがインライン展開でドロップされたことが示されます。
インライン展開されたデバイスでタップ モードを使用することには、いくつかの利点があります。たとえば、デバイスがインラインであるかのようにデバイスとネットワークの間の配線をセットアップし、デバイスが生成するタイプの侵入イベントを分析することができます。その結果に基づいて、効率性に影響を与えることなく最適なネットワーク保護を提供するように、侵入ポリシーを変更して廃棄ルールを追加できます。デバイスをインラインで展開する準備ができたら、タップ モードを無効にして、デバイスとネットワークの間の配線を再びセットアップすることなく、不審なトラフィックをドロップし始めることができます。
同じインライン セットでこのオプションと厳密な TCP 強制を有効にすることはできないことに注意してください。
リンク ステートの伝達は、インライン セットのペアの両方で状態を追跡できるよう、バイパス モードで設定されるインライン セットの機能です。リンク ステート伝搬は、銅線および光ファイバの両方の設定可能なバイパス インターフェイスで使用できます。
リンク ステートの伝達によって、インライン セットのインターフェイスの 1 つが停止した場合、インライン インターフェイス ペアの 2 番目のインターフェイスも自動的に停止します。停止したインターフェイスが再び起動すると、2 番目のインターフェイスも自動的に起動します。つまり、1 つのインターフェイスのリンク ステートが変化すると、アプライアンスはその変化を検知し、それに合わせて他のインターフェイスのリンク ステートを更新します。ただし、アプライアンスがリンク ステートの変更を伝達するのに最大 4 秒かかります。
(注) リンク ステート伝達がトリガーされると、シリーズ 2 デバイス(3D9900 を除く)でフェール オープンとして設定された光ファイバ インライン セットは、ハードウェア バイパス モードをアクティブ化します。この場合、関連するインターフェイス カードのバイパスは自動的に終了しません。バイパス モードを手動で解除する必要があります。インライン セットの光ファイバ インターフェイスおよびハードウェア バイパスの詳細については、フェール オープンに設定された光ファイバ インライン セットでのバイパス モードの除去を参照してください。
障害状態のネットワーク デバイスを自動的に避けてトラフィックを再ルーティングするようにルータが設定されている復元力の高いネットワーク環境では、リンク ステートの伝達が特に有効です。
クラスタ化されたデバイスで設定されたインライン セットのリンク ステート伝達を無効にすることはできません。
なお、仮想デバイス、Blue Coat X-Series 向け Cisco NGIPS、および Cisco ASA with FirePOWER Services では、リンク ステートの伝達はサポートされていません。
トランスペアレント(透過的)インライン モード オプションを使用すると、デバイスは「Bump In The Wire」として機能できます。これは、送信元と宛先に関係なく、認識されるすべてのネットワーク トラフィックをデバイスが転送することを意味します。シリーズ 3 および 3D9900 のデバイスではこのオプションを無効にできません。
最大の TCP セキュリティを実現するには、厳密な適用(強制)を有効にできます。この機能は、3 ウェイ ハンドシェイクが完了していない接続をブロックします。厳密な適用では次のパケットもブロックされます。
- 3 ウェイ ハンドシェイクが完了していない接続の非 SYN TCP パケット
- レスポンダが SYN-ACK を送信する前に TCP 接続のイニシエータから送信された非 SYN/RST パケット
- SYN の後、セッションの確立前に TCP 接続のレスポンダから送信された非 SYN-ACK/RST パケット
- イニシエータまたはレスポンダから確立された TCP 接続の SYN パケット
なお、シリーズ 2、仮想デバイス、および Blue Coat X-Series 向け Cisco NGIPS では、このオプションはサポートされていません。また、同じインライン セットで、このオプションとタップ モードを有効にすることはできません。
手順 1 [デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。
[デバイス管理(Device Management)] ページが表示されます。
手順 2 インライン セットを編集するデバイスの横にある編集アイコン( )をクリックします。
[インターフェイス(Interfaces)] タブが表示されます。
手順 3 [インライン セット(Inline Sets)] をクリックします。
[インライン セット(Inline Sets)] タブが表示されます。
手順 4 編集するインライン セットの横にある編集アイコン( )をクリックします。
[インライン セットの編集(Edit Inline Set)] ポップアップ ウィンドウが表示されます。
手順 5 [詳細設定(Advanced)] をクリックします。
手順 6 オプションで、シリーズ 3 および 3D9900 デバイスのインライン インターフェイスでタップ モードを有効にするために [Tap Mode] を選択します。
なお、仮想デバイス、Blue Coat X-Series 向け Cisco NGIPS、および シリーズ 2 デバイス(3D9900 を除く)では、このオプションはサポートされていません。さらに、同じインライン セットで、[タップ モード(Tap Mode)] と [TCP の厳密な適用(Strict TCP Enforcement)] を有効にすることはできません。
手順 7 オプションで、シリーズ 2 またはシリーズ 3 デバイスで [リンク ステートの伝達(Propagate Link State)] を選択します。停止したネットワーク デバイスを避けてトラフィックを再ルーティングする機能がネットワークのルータに備わっている場合、このオプションが特に便利です。
クラスタ化されたデバイスで設定されたインライン セットのリンク ステート伝達を無効にすることはできません。
なお、仮想デバイスおよび Blue Coat X-Series 向け Cisco NGIPS では、このオプションはサポートされていません。
手順 8 オプションで、シリーズ 3 デバイスで TCP の厳密な適用を有効化するには、[TCP の厳密な適用(Strict TCP Enforcement)] を選択します。
なお、シリーズ 2、仮想デバイス、および Blue Coat X-Series 向け Cisco NGIPS では、このオプションはサポートされていません。また、同じインライン セットで、[TCP の厳密な適用(Strict TCP Enforcement)] と [タップ モード(Tap Mode)] を有効にすることはできません。
手順 9 オプションで、[トランスペアレント インライン モード(Transparent Inline Mode)] を選択します。
シリーズ 3 および 3D9900 のデバイスではこのオプションを無効にできません。
変更が保存されます。デバイス設定を適用するまでは、変更内容が有効にならないことに注意してください(詳しくはデバイスへの変更の適用を参照してください)。
フェール オープンに設定された光ファイバ インライン セットでのバイパス モードの除去
サポートされるデバイス: シリーズ 2(3D9900 を除く)
フェール オープンに設定された光ファイバ インライン セットを持つシリーズ 2 デバイスでリンク ステート伝達が有効になっている場合、そのデバイスがバイパス モードになると、すべてのネットワーク トラフィックは分析されずにインライン セットを通過します。リンクが復元した場合、フェール オープンに設定されているほとんどの光ファイバ インライン セットは、自動的にはバイパスから戻りません。コマンド ライン ツールを使用して、インライン セットのバイパス モードを強制的に解除できます。
このツールは、フェール オープンに設定された光ファイバ インライン インターフェイスを持つインライン セットに対して機能します。フェール オープンに設定された銅線インライン インターフェイスを持つインライン セットでこのツールを使用する必要はありません。
(注) デバイス上でフェール オープンに設定されたインライン セットに問題がある場合は、サポート担当に連絡してください。
デバイス上で、フェール オープンに設定された光ファイバ インライン セットのバイパス モードを強制的に解除する方法:
手順 1 デバイスでターミナル ウィンドウを開き、管理者ユーザとしてサインインします。
手順 3 インターフェイスを切り替えてバイパス モードを解除すると、デバイスがトラフィックを分析していることを示すメッセージが syslog に表示されます。次に例を示します。
インライン セットの削除
インライン セットを削除すると、そのセットに割り当てられたインライン インターフェイスを別のセットに含めることができるようになります。それらのインターフェイスは削除されません。
手順 1 [デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。
[デバイス管理(Device Management)] ページが表示されます。
手順 2 インライン セットを削除するデバイスの横にある編集アイコン( )をクリックします。
[インターフェイス(Interfaces)] タブが表示されます。
手順 3 [インライン セット(Inline Sets)] をクリックします。
[インライン セット(Inline Sets)] タブが表示されます。
手順 4 削除するインライン セットの横にある削除アイコン(
)をクリックします。
手順 5 プロンプトが表示されたら、インライン セットを削除することを確認します。
インライン セットが削除されます。デバイス設定を適用するまでは、変更内容が有効にならないことに注意してください(詳しくはデバイスへの変更の適用を参照してください)。
Blue Coat X シリーズ インターフェイス用の Cisco NGIPS の設定
Blue Coat X-Series 向け Cisco NGIPS パッケージを展開するとき、またはパッケージをインストールした後で、パッシブ インターフェイスまたはインライン インターフェイスを作成します。Blue Coat X-Series 向け Cisco NGIPS を 防御センター に追加する場合、これらのインターフェイスは設定済みです。Blue Coat X-Series 向け Cisco NGIPS は、高度な設定オプションをサポートしていません。
FireSIGHT システム Web インターフェイスを使用して、Blue Coat X-Series 向け Cisco NGIPS インターフェイスを再設定することはできません。再設定するには、まず 防御センター から現在のインターフェイスを削除した後、新しいインターフェイスを作成する必要があります。インターフェイスの作成と削除の詳細については、『 Blue Coat X-Series 向け Cisco NGIPS Installation Guide 』を参照してください。
Blue Coat X-Series 向け Cisco NGIPS でインターフェイスを設定する方法:
手順 1 [デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。
[デバイス管理(Device Management)] ページが表示されます。
手順 2 設定するデバイスの横にある編集アイコン(
)をクリックします。
[インターフェイス(Interfaces)] タブが表示されます。すべての Blue Coat X-Series 向け Cisco NGIPS インターフェイスでリンクが常にアクティブ(
)と表示されることに注意してください。
手順 3 設定するインターフェイスの横にある編集アイコン( )をクリックします。
手順 4 [セキュリティ ゾーン(Security Zone)] ドロップダウンリストから、既存のセキュリティ ゾーンを選択するか、または [新規(New)] を選択して、新しいセキュリティ ゾーンを追加します。
手順 5 インライン インターフェイスの場合、オプションで、[インライン セット(Inline Set)] ドロップダウン リストから既存のインライン セットを選択するか、[新規(New)] を選択して新しいインライン セットを追加します。
新しいインライン セットを追加した場合は、インライン インターフェイスのセットアップ後に、そのインライン セットを [デバイス管理(Device Management)] ページ([デバイス(Devices)] > [デバイス管理(Device Management)] > [インライン セット(Inline Set)])で設定する必要があることに注意してください。詳細については、インライン セットの追加を参照してください。
インターフェイスが設定されます。メニュー バーの右上にある [変更を適用(Apply Changes)] をクリックしてデバイス設定を適用するまでは、変更内容が有効になりません。
フィードバック