[index] AT-AR2050V/AT-AR3050S/AT-AR4050S コマンドリファレンス 5.4.7
Noteアプリケーションコントロール(DPI)機能はAT-AR2050Vでは使用できません。
Noteアプリケーションコントロール(DPI)機能を使用するにはアニュアルライセンスが必要です。
Note基本的には、HTTPSのように暗号化されたパケットは検査・判別できませんが、一部のアプリケーション(Skype、Facebook等)に関しては暗号化されたパケットでも検査・判別が可能です。
NoteNAT機能でもルール設定時にアプリケーションの指定を行いますが、NATルールではアプリケーションコントロール(DPI)によって判別されたアプリケーションは指定できません。ruleコマンド(NATモード)でNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションか、applicationコマンドで定義するカスタムアプリケーション、あるいは、すべてを意味する「any」キーワードを指定してください。
awplus(config)# dpi ↓
awplus(config-dpi)# provider procera ↓
Noteアプリケーションコントロール(DPI)機能とファイアウォール機能を併用する場合は、アプリケーションシグネチャデータベースを更新するため、本製品からインターネットへのDNS通信とHTTPS通信を許可する必要があります。
awplus(config-dpi)# enable ↓
awplus# show application detail dpi ↓
awplus(config)# dpi ↓ awplus(config-dpi)# update-interval days 1 ↓
awplus# update dpi_procera_app_db now ↓
awplus# show resource dpi_procera_app_db ↓ -------------------------------------------------------------------------------- Resource Name Status Version Interval Last Download Next Download Check -------------------------------------------------------------------------------- dpi_procera_app_db unknown - 10 None minutes N/A
awplus# show dpi ↓ Status: unlicensed Provider: procera Resource version: not set Resource update interval: 1 hour
awplus# show dpi statistics ↓ Application Packets Bytes ------------------------------------------------- http 30 2020 icmp 348 29232 telnet 45 2553
NoteNAT機能でもルール設定時にアプリケーションの指定を行いますが、NATルールではアプリケーションコントロール(DPI)によって判別されたアプリケーションは指定できません。ruleコマンド(NATモード)でNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションか、applicationコマンドで定義するカスタムアプリケーション、あるいは、すべてを意味する「any」キーワードを指定してください。
Noteアプリケーションコントロール(DPI)機能では、各アプリケーション固有の通信パターンを検出するために一定量のパケットを受信してそのデータ部分を検査する必要があります。判別が完了していないトラフィック(判別中のトラフィック)は、特殊なアプリケーション名「undecided」で表されます。
awplus(config)# firewall ↓ awplus(config-firewall)# rule 10 permit X from public to private ↓ awplus(config-firewall)# rule 20 permit undecided from public to private ↓ awplus(config-firewall)# rule 30 permit dns from public.internet.myself to public ↓ awplus(config-firewall)# rule 40 permit https from public.internet.myself to public ↓ awplus(config-firewall)# rule 50 permit undecided from public.internet.myself to public ↓ awplus(config-firewall)# protect ↓
Noteここでの「X」は説明のための架空のアプリケーション名です(本マニュアル執筆時点)。実際に使用するときは適切なアプリケーション名に置き換えてください。
Noteルール「30」と「40」は、アプリケーションシグネチャデータベースを更新するため、本製品からインターネットへのDNS通信とHTTPS通信を許可するものですが、DPI機能の有効時には事前定義済みアプリケーション「dns」よりもDPIアプリケーション「dns」が優先されるため、ルール「30」を機能させるために本製品からインターネットへの通信についても、未判別のトラフィック(undecided)を許可する必要があります(ルール「50」)。
awplus(config)# firewall ↓ awplus(config-firewall)# rule 10 deny sharep2p from private to public ↓ awplus(config-firewall)# rule 20 deny winny from private to public ↓ awplus(config-firewall)# rule 30 permit any from private to public ↓ awplus(config-firewall)# rule 40 permit any from private to private ↓ awplus(config-firewall)# rule 50 permit dns from public.internet.myself to public ↓ awplus(config-firewall)# rule 60 permit https from public.internet.myself to public ↓ awplus(config-firewall)# rule 70 permit undecided from public.internet.myself to public ↓ awplus(config-firewall)# protect ↓
Noteルール「50」と「60」は、アプリケーションシグネチャデータベースを更新するため、本製品からインターネットへのDNS通信とHTTPS通信を許可するものですが、DPI機能の有効時には事前定義済みアプリケーション「dns」よりもDPIアプリケーション「dns」が優先されるため、ルール「50」を機能させるために本製品からインターネットへの通信についても、未判別のトラフィック(undecided)を許可する必要があります(ルール「70」)。
awplus(config)# log buffered level informational facility local5 ↓
2016 Nov 25 18:38:36 kern.info awplus kernel: Firewall rule 20: PERMIT IN=eth1 OUT=vlan1 MAC=00:00:cd:38:00:96:52:54:78:36:8f:a6:08:00 SRC=172.16.1.2 DST=192.168.1.1 LEN=239 TOS=0x00 PREC=0x00 TTL=63 ID=20563 DF PROTO=TCP SPT=80 DPT=46254 WINDOW=905 RES=000 ACK PSH URGP=0 MARK=0x1053
ファイアウォールのログを出力するための設定については、「UTM」/「ファイアウォール」をご覧ください。(C) 2015 - 2017 アライドテレシスホールディングス株式会社
PN: 613-002107 Rev.P