UTM / 侵入防御(IPS)


検出可能なイベント
基本設定


侵入防御(IPS)機能は、サービス妨害(DoS)や不正アクセスと思われる異常なイベントを検出してログに記録、あるいは通信を遮断する機能です。

侵入防御(IPS)機能はUTMの最前列に位置する機能であり、ブリッジング用、ルーティング用の両インターフェースで受信したパケットに対して、UTM関連機能では最初に侵入防御(IPS)の処理が行われます。


侵入防御(IPS)機能の具体的な使用例については、「設定例集」をご覧ください。

検出可能なイベント

本機能が検出可能なイベントは下記の10種類です。

侵入防御(IPS)機能を有効化すると、組み込みのIPSカテゴリーデータベースにもとづいて侵入防御(IPS)エンジンがパケットの内容を検査し、各トラフィックを上記10個のIPSカテゴリー(イベント種別)に分類します。

各カテゴリーに対するデフォルトのアクションはalert(ログへの記録)ですが、category actionコマンドでカテゴリーごとにアクションを変更可能です。

基本設定

侵入防御(IPS)の設定は、IPSモード(ipsコマンド)で行います。
IPSカテゴリー(イベント種別)ごとのアクション設定はcategory actionコマンドで、機能の有効化はprotectコマンドで行います。

以下、侵入防御(IPS)機能の基本的な設定手順を示します。
  1. 侵入防御(IPS)の設定を行うため、IPSモードに移行します。これにはipsコマンドを使います。

    awplus(config)# ips
    


  2. 異常イベントを検出したときに実行すべきアクションをIPSカテゴリー(イベント種別)ごとに指定します。これにはcategory actionコマンドを使います。
    アクションには次の3つがあります。各イベントに対するデフォルトのアクションはalert(ログに記録)です。

    指定可能なIPSカテゴリーには次のものがあります。

    ここでは、IPSカテゴリー「checksum」、「ftp-bounce」に分類されたトラフィックを破棄(deny)するよう設定します。
    また、IPSカテゴリー「http-events」に分類されたトラフィックに対しては何もしない(disable)よう設定します。

    awplus(config-ips)# category checksum action deny
    awplus(config-ips)# category ftp-bounce action deny
    awplus(config-ips)# category http-events action disable
    


    3.侵入防御(IPS)機能を有効化します。これにはprotectコマンドを使います。

    awplus(config-ips)# protect
    


設定は以上です。


■ 侵入防御(IPS)機能の有効・無効はshow ipsコマンドで確認できます。

awplus# show ips
Status:      Enabled (Active)


■ 侵入防御(IPS)機能が検出可能なイベント(IPSカテゴリー)の一覧は、show ips categoriesコマンドで確認できます。

awplus(config-ips)# do show ips categories
Category (* = invalid)       Action
---------------------------------------
  checksum                   alert
  ftp-bounce                 alert
  gre-decoder-events         alert
  http-events                alert
  icmp-decoder-events        alert
  ip-decoder-events          alert
  ppp-decoder-events         alert
  smtp-events                alert
  stream-events              alert
  udp-decoder-events         alert


(C) 2015 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.F