[index] AT-TQ6702 GEN2-R コマンドリファレンス 5.5.5
Note基本的には、HTTPSのように暗号化されたパケットは検査・判別できませんが、一部のアプリケーション(Skype、Facebook等)に関しては暗号化されたパケットでも検査・判別が可能です。
Noteサンドバイン社が提供するアプリケーションシグネチャデータベースを使用するにはアニュアルライセンスが必要です。
ライセンスのインストール方法については「運用・管理」/「システム」の「ライセンスキーのインストール」をご参照ください。
Noteサンドバイン社が提供するアプリケーションシグネチャデータベースがまだダウンロードされていない状態で、あらかじめDPIの設定を行い、アニュアルライセンスの更新を実行すると、以下のログが表示されますが、ライセンス、データベースともに正しく取得されます。
local5.crit awplus streamd[512]: Could not open NAVL library local5.crit awplus streamd[512]: Failed to enable DPI provider
Noteサンドバイン社が提供するアプリケーションシグネチャデータベースを使用する場合、サーバーからリソースファイルがダウンロードされると、リソースファイルの読み込みが開始されます。このリソースファイルの読み込み中は通信が破棄される可能性がありますのでご注意ください。
NoteNAT機能でもルール設定時にアプリケーションの指定を行いますが、NATルールではアプリケーションコントロール(DPI)によって判別されたアプリケーションは指定できません。ruleコマンド(NATモード)でNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションか、applicationコマンドで定義するカスタムアプリケーション、あるいは、すべてを意味する「any」キーワードを指定してください。
Note初期設定では、トンネルインターフェースで受信したパケットは検査されません。
トンネルインターフェースで受信したパケットに本機能を適用するには、グローバルコンフィグモードのtunnel security-reprocessingコマンドを有効にしてください。
tunnel security-reprocessingコマンドの有効時は、すべてのトンネルインターフェースで受信パケットが検査対象になります。
awplus(config)# dpi ↓
awplus(config-dpi)# provider built-in ↓
awplus(config-dpi)# provider procera ↓
Noteアプリケーションコントロール(DPI)機能とファイアウォール機能の併用環境で、サンドバイン社の提供するアプリケーションシグネチャデータベースを使用する場合は、データベースを更新するため、本製品からインターネットへのDNS/HTTPS/SSL/TCP通信を許可する必要があります。
awplus(config-dpi)# enable ↓
awplus# show application detail dpi ↓
awplus(config)# dpi ↓ awplus(config-dpi)# update-interval days 1 ↓
awplus# update dpi_procera_app_db now ↓
awplus# show resource dpi_procera_app_db ↓ -------------------------------------------------------------------------------- Resource Name Status Version Interval Last Download Next Download Check -------------------------------------------------------------------------------- dpi_procera_app_db unknown - 10 None minutes N/A
awplus# show dpi ↓ Status: running Provider: built-in Mode: learning Counters: per entity Providing application database: enabled Web Categorization: disabled
awplus# show dpi statistics ↓ Application Packets Bytes ------------------------------------------------- arp 1741 170618 http 27 3299 mdns 15 2017 netbios 479 78911 ssdp 12 2616 dhcp 16 6080 ssl_no_cert 6415 6327945 ssh 245 46526 dhcpv6 151 28087 llmnr 18 2038
awplus(config-dpi)# counters detailed ↓
awplus# show dpi statistics private ↓ Statistics for entity: private Application TX Packets RX Packets TX Bytes RX Bytes ------------------------------------------------------------------------------- ssl_no_cert 6470 6470 6092823 6092823 ssh 201 201 29037 29037 http 32 32 2978 2978
NoteWebカテゴライザーによる分類が完了していないトラフィック(分類中のトラフィック)は、特殊なアプリケーション名「uncategorized」で表されます。
また、Webカテゴライザーによる分類ができなかった場合、そのトラフィックは通常のDPIアプリケーションとして判定されます。
NoteOpenText社が提供するURLカテゴリーデータベースを使用するにはWebカテゴライズ機能のアニュアルライセンスが必要です。
ライセンスのインストール方法については「運用・管理」/「システム」の「ライセンスキーのインストール」をご参照ください。
awplus(config-dpi)# web-categorization opentext ↓
Noteアプリケーションコントロール(DPI)機能とファイアウォール機能の併用環境で、OpenText社が提供するURLカテゴリーデータベースを使用する場合は、データベースに問い合わせるため、本製品からインターネットへの通信を許可する必要があります。
Webカテゴライズ機能の有効時には、この通信を表す「system」というアプリケーションが自動的に定義されますので、ファイアウォールルールで「system」アプリケーションの通信を許可するよう設定してください。
次にルールの一例を示します(エンティティー「public.wan.ppp0」が本製品のWAN側インターフェース、「public.wan」がWAN側ネットワークを表していると仮定しています)。
awplus(config-firewall)# rule permit system from public.wan.ppp0 to public.wan ↓
awplus# dpi categorize www.google.com www.bbc.co.uk ↓ http://www.google.com: search-engines http://www.bbc.co.uk: news-media
Note各カテゴリーの概要についてはプロバイダーカテゴリー一覧をご覧ください。
awplus# show application detail ↓ ... abortion 0x49 DPI: Web Categorization - Abortion topics, either pro-life or pro-choice. about 0x341 DPI: English source for original information and advice (Cat=Web Services, Prod=3, Risk=1) abscbn 0x718 DPI: Filipino commercial broadcast television network (Cat=Streaming Media, Prod=2, Risk=1) acas 0x10F DPI: DEC's Application Control Architecture Services (Cat=Networking, Prod=5, Risk=1) accweath 0x571 DPI: Website that provides weather forecasting services worldwide. (Cat=Web Services, Prod=3, Risk=1) ...
awplus(config)# application example-sites ↓ awplus(config-application)# hostname www.example.com ↓ awplus(config-application)# hostname .example.jp ↓カスタムWebカテゴリーは、OpenText社が提供するURLカテゴリーデータベースよりも優先的に適用されます。
Note上記の手順によりカスタムWebカテゴリーとして作成したアプリケーション定義は、「UTM」/「アプリケーション定義」で説明している通常のアプリケーション定義としては使用できません。
NoteNAT機能でもルール設定時にアプリケーションの指定を行いますが、NATルールではアプリケーションコントロール(DPI)によって判別されたアプリケーションは指定できません。ruleコマンド(NATモード)でNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションか、applicationコマンドで定義するカスタムアプリケーション、あるいは、すべてを意味する「any」キーワードを指定してください。
Noteアプリケーションコントロール(DPI)機能では、各アプリケーション固有の通信パターンを検出するために一定量のパケットを受信してそのデータ部分を検査する必要があります。判別が完了していないトラフィック(判別中のトラフィック)は、特殊なアプリケーション名「undecided」で表されます。
Noteアプリケーションシグネチャデータベースを使用する場合は、以下の点にご注意ください。
- レイヤー4レベルの情報で検知可能なアプリケーションであっても、一部のアプリケーションに関しては、上位レイヤー(レイヤー5以上)の情報を検知することにより、意図しないアプリケーションとして検知する場合があります。また、アプリケーションが持つ情報の形式によっては、正常に検知できない場合があります。
これらのアプリケーションを意図したアプリケーションとして検知させるには、カスタムアプリケーション定義を使用してください。
- 製品内蔵データベースをファイアウォール機能と併用する構成では、本製品が送信するパケットをすべて許可(permit any)するよう設定してください。
- 製品内蔵データベースは、ファームウェアのバージョンアップ時をのぞきアップデートされません。
- 製品内蔵データベースを使用する場合、TCPストリームの再構築や並べ替えはサポートされません。そのため、本来ならシグネチャとマッチするはずのデータが複数パケットにまたがった場合は、該当アプリケーションを正しく検知できません。
awplus(config)# firewall ↓ awplus(config-firewall)# rule 10 permit X from public to private ↓ awplus(config-firewall)# rule 20 permit undecided from public to private ↓ awplus(config-firewall)# rule 30 permit dns from public.internet.myself to public ↓ awplus(config-firewall)# rule 40 permit https from public.internet.myself to public ↓ awplus(config-firewall)# rule 50 permit ssl from public.internet.myself to public ↓ awplus(config-firewall)# rule 60 permit TCP from public.internet.myself to public ↓ awplus(config-firewall)# rule 70 permit undecided from public.internet.myself to public ↓ awplus(config-firewall)# protect ↓
Noteここでの「X」は説明のための架空のアプリケーション名です(本マニュアル執筆時点)。実際に使用するときは適切なアプリケーション名に置き換えてください。
Noteアプリケーションコントロール(DPI)機能とファイアウォール機能の併用環境で、サンドバイン社の提供するアプリケーションシグネチャデータベースを使用する場合は、データベースを更新するため、本製品からインターネットへのDNS/HTTPS/SSL/TCP通信を許可する必要があります。
Noteルール「30」~「60」は、アプリケーションシグネチャデータベースを更新するため、本製品からインターネットへのDNS/HTTPS/SSL/TCP通信を許可するものですが、DPI機能の有効時には事前定義済みアプリケーション「dns」よりもDPIアプリケーション「dns」が優先されるため、ルール「30」を機能させるために本製品からインターネットへの通信についても、未判別のトラフィック(undecided)を許可する必要があります(ルール「70」)。
awplus(config)# firewall ↓ awplus(config-firewall)# rule 10 deny sharep2p from private to public ↓ awplus(config-firewall)# rule 20 deny winny from private to public ↓ awplus(config-firewall)# rule 30 permit any from private to public ↓ awplus(config-firewall)# rule 40 permit any from private to private ↓ awplus(config-firewall)# rule 50 permit dns from public.internet.myself to public ↓ awplus(config-firewall)# rule 60 permit https from public.internet.myself to public ↓ awplus(config-firewall)# rule 70 permit ssl from public.internet.myself to public ↓ awplus(config-firewall)# rule 80 permit TCP from public.internet.myself to public ↓ awplus(config-firewall)# rule 90 permit undecided from public.internet.myself to public ↓ awplus(config-firewall)# protect ↓
Noteアプリケーションコントロール(DPI)機能とファイアウォール機能の併用環境で、サンドバイン社の提供するアプリケーションシグネチャデータベースを使用する場合は、データベースを更新するため、本製品からインターネットへのDNS/HTTPS/SSL/TCP通信を許可する必要があります。
Noteルール「50」~「80」は、アプリケーションシグネチャデータベースを更新するため、本製品からインターネットへのDNS/HTTPS/SSL/TCP通信を許可するものですが、DPI機能の有効時には事前定義済みアプリケーション「dns」よりもDPIアプリケーション「dns」が優先されるため、ルール「50」を機能させるために本製品からインターネットへの通信についても、未判別のトラフィック(undecided)を許可する必要があります(ルール「90」)。
awplus(config)# log buffered level informational facility local5 ↓
2017 Oct 24 10:59:37 kern.info awplus kernel: Firewall: DENY in policy IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:a4:ba:db:15:e9:d3:08:00 SRC=172.16.1.2 DST=172.16.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=49384 PROTO=UDP SPT=137 DPT=137 LEN=58 MARK=0x1013
2016 Nov 25 18:38:36 kern.info awplus kernel: Firewall rule 20: PERMIT IN=eth1 OUT=vlan1 MAC=00:00:cd:38:00:96:52:54:78:36:8f:a6:08:00 SRC=172.16.1.2 DST=192.168.1.1 LEN=239 TOS=0x00 PREC=0x00 TTL=63 ID=20563 DF PROTO=TCP SPT=80 DPT=46254 WINDOW=905 RES=000 ACK PSH URGP=0 MARK=0x1053
| セキュリティー | |||
| システム、ネットワーク、ユーザーに害を及ぼす可能性があるコンテンツを含むサイト | |||
| マルウェアサイト | malware | ウイルス、トロイの木馬、スクリプト、ドライブバイダウンロードなど悪意のあるコンテンツを含むサイト | |
| フィッシング・詐欺 | phishing | 実在するサイトを装って不正に個人情報を入手しようとするサイト | |
| プロキシー回避・アノニマイザー | proxy-avoidance-anonymizers | URLフィルタリングをバイパスするためのプロキシーサーバーや、コンテンツフィルタリングの回避に利用可能なWeb翻訳サイト | |
| スパイウェア・アドウェア | spyware-adware | ユーザーの同意なしに情報収集やトラッキングを行うスパイウェア・アドウェアサイト、未承諾のポップアップ広告を使用するサイトなど | |
| ボットネット | botnets | ネットワーク攻撃の起点となるボットネットの一部と判定されたURLまたはIPアドレス | |
| 迷惑メールURL | spam-urls | 迷惑メールに含まれていたURL | |
| キーロガー・モニター | keyloggers-monitoring | ユーザーのキー入力を記録したり、Web閲覧履歴を監視したりするソフトウェアのダウンロードおよび情報サイト | |
| DNS over HTTPS | dns-over-https | 既知のDNS over HTTPS (DoH)プロバイダーおよびドメイン | |
| 一般カテゴリー | |||
| 各環境のニーズに合ったフィルタリングポリシーを設定するために分類した一般的なカテゴリー | |||
| 不動産 | real-estate | 不動産の賃貸・購入・販売、不動産関連情報を提供しているサイト | |
| コンピューター/インターネットセキュリティー | computer-security | コンピューターやインターネットのセキュリティーに関するサイト | |
| ビジネス・経済 | business-economy | 企業サイト、企業情報、経済学、マーケティング、経営、起業などに関するサイト | |
| コンピューター/インターネット | computer-internet-info | コンピューターやインターネット技術に関する全般的な情報サイト。SaaSなどインターネット上でサービスを提供する各種サイトを含む | |
| オークション | auctions | 個人間の物品売買をサポートしているオークションサイト。クラシファイド広告サイトは除く | |
| ショッピング | shopping | 百貨店、小売店、カタログサイト、オンラインショップなど | |
| 旅行 | travel | 旅行会社、航空会社、レンタカー、ホテル、リゾート、旅行情報サイトなど | |
| ホーム・ガーデン | home-garden | 家のメンテナンス・安全対策・装飾、ガーデニング、家電製品などに関するサイト | |
| 軍事 | military | 軍隊、軍事史などに関するサイト | |
| ソーシャルネットワーキング | social-media | SNS(ソーシャルネットワーキングサービス)サイト | |
| 証券投資 | stock-advice | 証券投資に関する情報。株価、市場ニュースサイトなど | |
| 教育・訓練 | training-tools | オンライン教育、職業訓練、ソフトウェア教育、スキル訓練などに関するサイト | |
| エンターテインメント・アート | entertainment-arts | 映画、ビデオ、テレビ、音楽、書籍、漫画、映画館、ギャラリー、アーティスト、評論、演劇、舞台、公演、美術館、芸術作品などに関するサイト | |
| 個人サイト・ブログ | personal-sites-blogs | 個人やグループによるサイトおよびブログ | |
| 地域情報 | local-information | シティーガイド、レストラン・ホテル・観光情報など特定の地域に関する情報サイト | |
| 求人情報 | job-search | 求人サイト | |
| 参考・調査 | reference-research | オンライン辞書、地図、センサス、年鑑、図書目録、系図など | |
| ゲーム | games | オンラインゲーミング、ダウンロード、コンピューターゲーム・ボードゲームなどの情報、ゲーム雑誌サイト。オンライン宝くじや懸賞サイトを含む | |
| 哲学・政治 | philosophy-political | 特定の哲学的、政治的思想の議論、推進を目的とするサイト | |
| ペイ・ツー・サーフ | pay-to-surf | 特定のリンクをクリックしたり、特定のメールやWebページを読むことでユーザーに報酬が支払われる「ペイ・ツー・サーフ」サイト | |
| 狩猟・釣り | hunting-fishing | スポーツハンティング、狩猟クラブ、釣りに関するサイト | |
| クラブ・サークル | society | 特定の興味・分野に関する各種団体、協会、クラブ、サークル、同好会、グループなどのサイト | |
| 教育機関 | educational-institutions | 保育園、幼稚園、小学校、中学校、高等学校、大学、専門学校などのサイト | |
| スポーツ | sports | スポーツチーム、スポーツに関するサイト | |
| こども | kids | こども向けサイト、ティーンエイジャー向けサイト | |
| 検索エンジン | search-engines | 検索エンジンサイト | |
| ポータル | internet-portals | 多様なコンテンツを集約したポータルサイト | |
| 音楽 | music | 楽曲の販売・ストリーミング、楽曲・歌詞・音楽グループ・ライブ・音楽ビジネスの情報サイト | |
| ニュース・メディア | news-media | オンラインニュースサイト、天気予報サイト、テレビ、ラジオ、新聞、雑誌などのマスメディアサイト | |
| 動的生成コンテンツ | dynamically-generated | URLパラメーターやブラウザーの位置情報などに応じて動的にコンテンツを生成するサイト | |
| ファッション・美容 | fashion-beauty | ファッション誌、美容、服、化粧品などの情報サイト | |
| レクリエーション・趣味 | recreation-hobbies | ハイキング、キャンプ、コレクション、アート、工作、ペットなどレクリエーションや趣味に関する情報サイト | |
| 自動車・バイクなど | motor-vehicles | エンジン付きの乗り物。乗用車、トラック、バイク、モーターボートなどのレビュー、ディスカッション、カタログ、売買などに関するサイト | |
| 生成AI | generative-ai | 文章、画像、動画、音声、コードなどを出力する生成AIツールのサイト | |
| ITリソース | |||
| ネットワーク帯域に負荷を与えるコンテンツを含む可能性があるサイト | |||
| ストリーミングメディア | streaming-media | 音声・映像のストリーミングサイト | |
| シェアウェア・フリーウェア | shareware-freeware | ソフトウェア、スクリーンセーバー、アイコン、壁紙、ユーティリティー、着信音などのダウンロードサイト。寄付を求めるサイト、オープンソースプロジェクトのサイトを含む | |
| P2Pファイル共有 | p2p-software | P2P型ファイル共有クライアントの配布サイト、ファイル共有サイトなど | |
| オンライングリーティングカード | online-greeting-cards | オンライングリーティングカードサイト | |
| オンラインストレージ | personal-storage | ファイル、音楽、写真などのオンラインストレージサイト | |
| Web広告 | web-advertisements | Web広告・バナーサイト | |
| CDN | content-delivery-networks | 広告、メディア、画像、動画などを配信するためのコンテンツデリバリーネットワーク(CDN) | |
| インターネット通信 | internet-communication | インターネット電話、VoIPサービス、メッセージングサービスなど | |
| Webホスティング | web-hosting | Webページのホスティングサービス | |
| プライバシー | |||
| 個人情報のやりとりが発生する可能性が高いサイト | |||
| 金融サービス | financial-services | 銀行、保険、ローンなどに関わるサイト。市場ニュースや証券会社などは除く | |
| 法律 | legal | 法律に関するサイト、法律事務所、弁護士事務所、法律問題に関するディスカッションサイトなど | |
| Webメール | webmail | Webメールサービス | |
| 政府 | government | 政府、自治体サイト | |
| 健康・医療 | health-medicine | 健康や医療に関する情報。各種医療機関、医療保険などのサイト | |
| センシティブ | |||
| 職場や特定のグループにとって不適切なコンテンツを含む可能性があるサイト | |||
| カルト・オカルト | cult-occult | 占星術、呪術、魔術、悪魔崇拝、超常現象などに関するサイト | |
| 薬物乱用 | drug-abuse | 違法・合法を問わず薬物の乱用およびその治療に関する情報 | |
| アダルト・ポルノ | pornography | アダルトグッズ・ビデオ販売、性風俗店情報、露骨な性的描写を含むサイトなど | |
| 出会い | dating | 出会い系サイト | |
| 性教育 | sex-education | 性教育に関するサイト | |
| 宗教 | religion | 宗教に関するサイト | |
| ギャンブル | gambling | ギャンブル、宝くじ・ナンバーズ、オンラインカジノ、射幸性の高いゲーム、その他の賭博行為に関するサイト | |
| Web翻訳 | translation | 指定したURLのページを別の言語に翻訳して表示するサイト。一種のプロキシーとして機能するためフィルタリング回避に使われることもある | |
| マリファナ | marijuana | マリファナに関するサイト | |
| ハッキング | hacking | 不正アクセスなどのハッキングに関するサイト | |
| 武器 | weapons | 銃・ナイフなどの武器や武術用具の販売、レビュー、情報などを提供するサイト | |
| 水着・下着 | swimsuits-intimate-apparel | 水着や下着などに関するサイト | |
| 疑問符付きサイト | questionable | 下品なユーモアや「すぐに稼ぐ方法」などを紹介するサイト、Webブラウザーの挙動をおかしくするサイトなど | |
| ヘイト・レイシズム | hate-racism | ヘイトクライムや人種差別などに関わるサイト | |
| 暴力 | violence | 暴力を肯定するコンテンツ、過激な暴力描写を含むサイトなど | |
| 不正行為 | cheating | 不正行為を助長するコンテンツ(フリー論文、試験問題のコピー、盗作など)を含むサイト | |
| 悪趣味 | gross | 吐瀉物、血まみれの服など嫌悪感を催させるコンテンツを含むサイト | |
| ヌード | nudity | 全裸または半裸の人物画や写真(芸術作品など、必ずしも性的な意味合いを含まない)を含むサイト | |
| 違法・非合法 | illegal | 犯罪行為、著作権・知的財産権侵害などに関わるサイト | |
| 中絶 | abortion | 人工妊娠中絶に関するトピックを扱うサイト | |
| パークドメイン | parked-domains | 有用なコンテンツを持たないサイト。工事中サイトやWebサーバーのデフォルトホームページが表示されるようなサイトを含む | |
| アルコール・タバコ | alcohol-tobacco | アルコール、タバコに関するサイト | |
| 画像・動画検索 | image-video-search | 画像・動画検索サイト、オンラインアルバム、写真共有サイト、画像ホスティングサイトなど | |
| 自傷行為 | self-harm | 拒食症、過食症などを含む自傷行為を助長するサイト | |
| 低THC大麻製品 | low-thc-cannabis-products | 精神作用のない低THC製品(CBDオイル、レジン、エキス、ハーブ、サプリメント、食品、洗面/スキンケア用品など)を扱っているサイト | |
| その他(Misc.) | |||
| デッドサイト | dead-sites | 応答しないWebサイト | |
(C) 2023 - 2025 アライドテレシスホールディングス株式会社
PN: 613-003212 Rev.K