[index] AMF Securityリファレンスマニュアル 2.2.3
NoteタグなしVLANにアクセス可能な場合、スイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。
NoteMACアドレスを登録されたデバイスがAMFアプリケーションプロキシーのTQに接続された場合は、TQの設定に依存します。詳細は、クイックツアー「AMF Securityについて」/「TQのAMFアプリケーションプロキシー機能」の「TQのダイナミック VLAN使用時の動作」をご参照ください。
優先度 | スケジュール開始日時 | スケジュール終了日時 | ネットワーク |
---|---|---|---|
10 | 20XX-04-01 00:00:00 | 20XX-09-30 23:59:59 | VLAN10 |
20 | 20XX-01-01 00:00:00 | 20XX-12-31 23:59:59 | VLAN20 |
スケジュール開始日時 | スケジュール終了日時 |
---|---|
20XX-04-01 08:00:00 | 20XX-09-30 23:59:59 |
スケジュール開始日時 | スケジュール終了日時 |
---|---|
20XX-04-01 17:00:00 | 20XX-10-01 08:59:59 |
Note「システム設定」/「システム情報」画面でエクスポートするシステム設定には、タイムゾーンの設定が含まれます。AMF Securityのタイムゾーンの初期設定は「UTC」のため、AMF Securityの初期化や新規インストール後などに、バックアップしていたシステム設定と認証データをインポートする場合には、「システム設定」のインポート → AMF Securityの装置の再起動 → 「認証データ」のインポートの順で行ってください。
項目 | 検索 | 並べ替え |
---|---|---|
ネットワーク ID | ○ | ○ |
VLAN ID | ○ | ○ |
備考 | ○ | ○ |
項目名 | 説明 |
---|---|
ネットワーク ID | ネットワークの名称です。 クリックすると、該当のネットワークの「ネットワーク更新」画面を表示します。 |
VLAN ID | ネットワークのVLAN IDです。 |
備考 | ネットワークの追加説明やコメントです。 |
項目名 | 説明 |
---|---|
ページ上部 | |
ネットワーク追加 | 「ネットワーク追加」画面を表示します。 |
CSV にエクスポート | ネットワーク一覧をCSV(カンマ区切りテキスト)形式でダウンロードします。 |
ネットワーク一覧 | |
タイトル行 | |
複数削除 | 一覧の各行左端のチェックボックスにチェックを入れたネットワーク設定を削除します。 |
各行 | |
編集 | 「ネットワーク更新」画面を表示します。 |
削除 | ネットワーク設定を削除します。 |
NoteCSVファイルについては、付録「CSVファイル」をご参照ください。
項目名 | 説明 |
---|---|
ネットワーク ID(必須項目) | ネットワークの名称です。 既に使用されているネットワークIDを設定することはできません。 ネットワークIDは最大255文字で、英数字、記号以外に日本語も使用できます。 |
VLAN ID(必須項目) | ネットワークのVLAN IDを設定します。既に登録済みのVLAN IDを別のネットワークに割り当てることはできません。 VLAN IDに0を設定するとVLANタグを付与しません。これはネットワーク設定を行わない状態と同じ動作になります。 VLAN IDの設定範囲は0~4094です。 |
備考 | このネットワークの追加説明やコメントを記載できます。 備考は最大255文字で、英数字、記号以外に日本語も使用できます。 |
項目名 | 説明 |
---|---|
ページ下部 | |
登録 | 入力したネットワーク情報を新規に登録します。 |
キャンセル | ネットワークの新規追加をキャンセルします。 |
項目名 | 説明 |
---|---|
ネットワーク ID(必須項目) | ネットワークの名称です。 既に使用されているネットワークIDを設定することはできません。 IDは最大255文字で、英数字、記号以外に日本語も使用できます。 |
VLAN ID(必須項目) | ネットワークのVLAN IDを設定します。 VLAN IDに0を設定するとVLANタグを付与しません。これはネットワーク設定を行わない状態と同じ動作になります。 VLAN IDの設定範囲は0~4094です。 |
備考 | このネットワークの追加説明やコメントを記載できます。 備考は最大255文字で、英数字、記号以外に日本語も使用できます。 |
項目名 | 説明 |
---|---|
ページ下部 | |
登録 | 選択したネットワーク情報を更新します。 |
キャンセル | ネットワーク情報の更新をキャンセルします。 |
項目 | 検索 | 並べ替え |
---|---|---|
ロケーション ID | ○ | ○ |
備考 | ○ | ○ |
スイッチ数 | × | × |
項目名 | 説明 |
---|---|
ロケーション ID | ロケーションの名称です。 クリックすると、該当のロケーションの「ロケーション更新」画面を表示します。 |
備考 | ロケーションの追加説明やコメントです。 |
スイッチ数 | ロケーションに登録されているOpenFlowスイッチおよびAMFメンバーの数です。 |
項目名 | 説明 |
---|---|
ページ上部 | |
ロケーション追加 | 「ロケーション追加」画面を表示します。 |
CSV にエクスポート | ロケーション一覧をCSV(カンマ区切りテキスト)形式でダウンロードします。 |
ロケーション一覧 | |
タイトル行 | |
複数削除 | 一覧の各行左端のチェックボックスにチェックを入れたロケーション設定を削除します。 |
各行 | |
編集 | 選択したロケーションの「ロケーション更新」画面を表示します。 |
削除 | 選択したロケーション設定を削除します。 |
NoteCSVファイルについては、付録「CSVファイル」をご参照ください。
項目名 | 説明 |
---|---|
ロケーション ID(必須項目) | ロケーションの名称です。 既に使用されているロケーションIDを設定することはできません。 ロケーションIDは最大255文字で、英数字、記号以外に日本語も使用できます。 |
備考 | このロケーションの追加説明やコメントを記載できます。 備考は最大255文字で、英数字、記号以外に日本語も使用できます。 |
OpenFlow スイッチ / AMF メンバー | このロケーションに所属するOpenFlowスイッチ/AMFメンバーの一覧です。 |
項目名 | 説明 |
---|---|
OpenFlow スイッチ | |
スイッチ ID | ロケーションに所属するOpenFlowスイッチの名前またはAMFメンバーの名称です。 |
Datapath ID | OpenFlowスイッチのデータパスID(OpenFlowコントローラーが使用する識別子)です。通常、MACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されます。 |
備考 | このOpenFlowスイッチ/AMFメンバーの追加説明やコメントです。 |
項目名 | 説明 |
---|---|
OpenFlowスイッチ / AMFメンバー | |
選択 | 「OpenFlowスイッチ / AMFメンバー」ダイアログを表示します。 |
ページ下部 | |
登録 | 入力したロケーション情報を新規に登録します。 |
キャンセル | ロケーションの新規追加をキャンセルします。 |
項目名 | 説明 |
---|---|
スイッチ ID | AMF Securityに登録されたOpenFlowスイッチの名前またはAMFメンバーの名称です。 |
Datapath ID | OpenFlowスイッチのデータパスID(OpenFlowコントローラーが使用する識別子)です。通常、MACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されます。 |
備考 | このOpenFlowスイッチ/AMFメンバーの追加説明やコメントです。 |
項目名 | 説明 |
---|---|
ダイアログ下部 | |
登録 | チェックを入れたOpenFlowスイッチ/AMFメンバーをロケーションに登録します。 |
キャンセル | 該当ロケーションに所属するOpenFlowスイッチ/AMFメンバー一覧の変更をキャンセルします。 |
項目名 | 説明 |
---|---|
ロケーション ID(必須項目) | ロケーションの名称です。 既に使用されているロケーションIDを設定することはできません。 ロケーションIDは最大255文字で、英数字、記号以外に日本語も使用できます。 |
備考 | このロケーションの追加説明やコメントを記載できます。 備考は最大255文字で、英数字、記号以外に日本語も使用できます。 |
OpenFlow スイッチ / AMF メンバー | このロケーションに所属するOpenFlowスイッチ/AMFメンバーの一覧です。 |
項目名 | 説明 |
---|---|
OpenFlow スイッチ | |
スイッチ ID | ロケーションに所属するOpenFlowスイッチの名前またはAMFメンバーの名称です。 |
Datapath ID | OpenFlowスイッチのデータパスID(OpenFlowコントローラーが使用する識別子)です。通常、MACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されます。 |
備考 | このOpenFlowスイッチ/AMFメンバーの追加説明やコメントです。 |
項目名 | 説明 |
---|---|
OpenFlowスイッチ / AMFメンバー | |
選択 | 「OpenFlowスイッチ / AMFメンバー」ダイアログを表示します。 |
ページ下部 | |
登録 | 選択したロケーション情報を更新します。 |
キャンセル | ロケーション情報の更新をキャンセルします。 |
項目名 | 説明 |
---|---|
スイッチ ID | AMF Securityに登録されたOpenFlowスイッチの名前またはAMFメンバーの名称です。 |
Datapath ID | OpenFlowスイッチのデータパスID(OpenFlowコントローラーが使用する識別子)です。通常、MACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されます。 |
備考 | このOpenFlowスイッチ/AMFメンバーの追加説明やコメントです。 |
項目名 | 説明 |
---|---|
ダイアログ下部 | |
登録 | チェックを入れたOpenFlowスイッチをロケーションに登録します。 |
キャンセル | ロケーションの新規追加をキャンセルします。 |
Noteスケジュールで設定する開始日時・終了日時は、「システム設定」/「時刻設定」画面で現在設定されているタイムゾーンの日時です。
詳しくは、「ポリシー設定」/「スケジュールの開始日時・終了日時について」をご参照ください。
項目 | 検索 | 並べ替え |
---|---|---|
スケジュール ID | ○ | ○ |
開始日時 | ○ | ○ |
終了日時 | ○ | ○ |
備考 | ○ | ○ |
項目名 | 説明 |
---|---|
スケジュール ID | スケジュールの名称です。 クリックすると、該当のスケジュールの「スケジュール更新」画面を表示します。 |
開始日時 | デバイスがネットワークに接続可能になる日時です。また、未認証グループによるデバイスの検出の検出条件(セキュリティーポリシー)としても使用できます。 |
終了日時 | デバイスがネットワークに接続不可能になる日時です。また、未認証グループによるデバイスの検出の検出条件(セキュリティーポリシー)としても使用できます。 |
備考 | スケジュールの追加説明やコメントです。 |
項目名 | 説明 |
---|---|
ページ上部 | |
スケジュール追加 | 「スケジュール追加」画面を表示します。 |
CSV にエクスポート | スケジュール一覧をCSV(カンマ区切りテキスト)形式でダウンロードします。 |
スケジュール一覧 | |
タイトル行 | |
複数削除 | 一覧の各行左端のチェックボックスにチェックを入れたスケジュール設定を削除します。 |
各行 | |
編集 | 「スケジュール更新」画面を表示します。 |
削除 | スケジュール設定を削除します。 |
NoteCSVファイルについては、付録「CSVファイル」をご参照ください。
項目名 | 説明 |
---|---|
スケジュール ID(必須項目) | スケジュールの名称です。 既に使用されているスケジュールIDを設定することはできません。 スケジュールIDは最大255文字で、英数字、記号以外に日本語も使用できます。 |
開始日時 | デバイスがネットワークに接続可能になる日時、または未認証グループによるデバイスの検出の開始日時を設定します。 カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。 |
終了日時 | デバイスがネットワークに接続不可能になる日時、または未認証グループによるデバイスの検出の終了日時を設定します。 カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。 |
備考 | このスケジュールの追加説明やコメントを記載できます。 備考は最大255文字で、英数字、記号以外に日本語も使用できます。 |
Note曜日指定はできません。
項目名 | 説明 |
---|---|
ページ下部 | |
登録 | 入力したスケジュール情報を新規に登録します。 |
キャンセル | スケジュールの新規追加をキャンセルします。 |
項目名 | 説明 |
---|---|
スケジュール ID(必須項目) | スケジュールの名称です。 既に使用されているスケジュールIDを設定することはできません。 スケジュールIDは最大255文字で、英数字、記号以外に日本語も使用できます。 |
開始日時 | デバイスがネットワークに接続可能になる日時、または未認証グループによるデバイスの検出の開始日時を設定します。 カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。 |
終了日時 | デバイスがネットワークに接続不可能になる日時、または未認証グループによるデバイスの検出の終了日時を設定します。 カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。 |
備考 | このスケジュールの追加説明やコメントを記載できます。 備考は最大255文字で、英数字、記号以外に日本語も使用できます。 |
項目名 | 説明 |
---|---|
ページ下部 | |
登録 | 選択したスケジュール情報を更新します。 |
キャンセル | スケジュール情報の更新をキャンセルします。 |
NoteAMFアプリケーションプロキシー機能で、AMF SecurityがAMFマスターに送信した被疑デバイスの遮断を解除(被疑デバイスの情報を削除)する場合には、本画面で該当のアクションを削除します。AMFアプリケーションプロキシー機能については、クイックツアー「AMF Securityについて」/「AMFアプリケーションプロキシー機能とは」をご参照ください。
項目 | 検索 | 並べ替え | 備考 |
---|---|---|---|
アクション ID | ○ | ○ | |
優先度 | ○ | ○ | |
条件 | △※ | × | ※ 検索対象は「mac=」「ip=」「device-name=」「tag=」「location=」「switch=」「network=」以降の文字列のみ。 |
アクション (OpenFlow,TQ/AMF) | △※1 | △※2 | ※1 検索対象は「通過(許可) ->」「破棄(遮断) ->」「隔離 ->」以降の文字列のみ。後続のAMFアクションは検索対象外。 ※2 並べ替えは、「通過(許可)」→「破棄(遮断)」→「隔離」→「ログ」の順を昇順とする。後続のAMFアクションによる並べ替えは対象外。 |
実行者 | ○ | ○ | |
原因 | ○ | ○ |
項目名 | 説明 |
---|---|
アクション ID | AMF Securityに登録されたアクションの名前です。登録されていない場合、自動的に割り当てられます。 クリックすると、該当のアクションの「アクション詳細」画面を表示します。 |
優先度 | アクションの優先度です。同時に条件を満たすアクションが存在する場合、より小さい値が割り当てられたアクションが優先して適用されます。 |
条件 | アクションの条件です。 |
アクション (OpenFlow,TQ/AMF) | アクションの内容です。 OpenFlow/TQアクション(通過(許可)/隔離/破棄(遮断)/ログ)、AMFアクション(AMF依存/隔離/パケット破棄/リンクダウン/IPフィルター/ログ)をそれぞれ表示します。 |
実行者 | アクションを設定したシステムを表示します。 「sesc.block」「sesc.action」はAMF Securityで操作したアクションを示し、「sesc.trap.XXX」は連携アプリケーションからのアクションを示します(XXXは連携アプリケーションによって異なります)。 |
原因 | アクションの原因です。 |
項目名 | 説明 |
---|---|
ページ上部 | |
アクション追加 | 「アクション追加」画面を表示します。 |
CSV にエクスポート | アクション一覧をCSV(カンマ区切りテキスト)形式でダウンロードします。 |
更新 | 「アクション一覧」画面の表示を現在の状況に更新します。 |
アクション一覧 | |
タイトル行 | |
複数削除 | 左端のチェックボックスにチェックを入れたアクションを一括して削除します。 |
各行 | |
削除 | 選択したアクションを個別に削除します。 |
NoteCSVファイルについては、付録「CSVファイル」をご参照ください。
項目名 | 説明 |
---|---|
アクション ID(必須項目) | AMF Securityに登録するアクションのIDです。 既に使用されているアクションIDを設定することはできません。 アクションIDは最大255文字で、英数字、記号以外に日本語も使用できます。 |
優先度 | アクションの優先度です。1~65535の数字で入力します。 同時に条件を満たすアクションが存在する場合、より小さい値が割り当てられたアクションが優先して適用されます。値を省略した場合は10が設定されます。 |
原因 | アクションの原因、適用理由など、管理上の情報を登録します。 原因は最大255文字で、英数字、記号以外に日本語も使用できます。 |
条件 | |
デバイス MAC アドレス | アクションの対象とするデバイスのユニキャストMACアドレスを指定します。 MACアドレスの表記として使用可能なフォーマットは下記となります。 xx:xx:xx:xx:xx:xx, xx-xx-xx-xx-xx-xx, xxxx.xxxx.xxxx |
デバイス IPv4 アドレス | アクションの対象とするデバイスのユニキャストIPv4アドレスを指定します。 |
デバイス | アクションの対象とするデバイスIDを指定します。 事前に登録されたデバイスIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をデバイスID、タグ、備考のいずれかに含むデバイスIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするデバイスIDをクリックします。 |
デバイスタグ | アクションの対象とする、デバイスに設定されたタグを入力します。 |
ロケーション | アクションの対象とするロケーションIDです。 事前に登録されたロケーションIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をロケーションIDまたは備考のいずれかに含むロケーションIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするロケーションIDをクリックします。 |
OpenFlow スイッチ | アクションの対象とするスイッチIDです。 事前に登録されたスイッチIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をスイッチID、Datapath ID、アップストリームポート、備考のいずれかに含むスイッチIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするスイッチIDをクリックします。 |
接続中ネットワーク | アクションの対象とするネットワークIDです。 事前に登録されたネットワークIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をネットワークID、VLAN ID、備考のいずれかに含むネットワークIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするネットワークIDをクリックします。 |
アクション | |
OpenFlow/TQ アクション | 対象のデバイスに適用するOpenFlow/TQのAMFアプリケーションプロキシーアクションの内容です。 ・通過(許可): デバイスの通信を許可します。 ・隔離: 隔離ネットワークに接続します。 ・破棄(遮断): デバイスからのパケットを破棄し、通信を遮断します。 ・ログ: AMF Securityからはアクションを通知せず、該当デバイスの通信制御は行われません。該当デバイスのログのみを出力します。 |
通過/隔離 VLAN ID | 対象のデバイスのパケットを通過、または、隔離するVLAN IDです。 本項目はOpenFlow/TQ アクションが通過(許可)、隔離のときに表示されます。 |
AMF アクション | AW+のAMFアプリケーションプロキシー機能を使用して、該当デバイスの通信遮断を指示する際のアクションの内容です。 ・AMF依存: AMF Securityからはアクションを通知せず、AMF機器側の設定に依存します。 ・隔離: 該当デバイスを隔離用VLANに移動します。 ・パケット破棄: 該当デバイスの通信をレイヤー2(MACレベル)で破棄します。 ・リンクダウン: 該当デバイスが接続されているポートを無効化します。 ・IPフィルター: 該当デバイスの通信をレイヤー3(IPレベル)で破棄します。 ・ログ: AMF Securityからはアクションを通知せず、該当デバイスの情報を取得します。 |
Note「隔離」アクションの動作は、お使いのAlliedWare Plus機器(エッジノード)の設定、ファームウェアバージョンによって動作が異なります。
・バージョン 5.5.0-2.x 以降でポート認証(AMFアプリケーションプロキシーホワイトリストを含む)のマルチプルダイナミックVLANとAMFアプリケーションプロキシーブラックリストを併用している場合:該当デバイスのMACアドレスのみを隔離用VLANに移動します。
・上記以外の場合:該当デバイスが接続されているポートを隔離用VLANに移動します。
Noteバージョン 5.5.0-2.x よりも前のバージョンでは隔離アクションとポート認証(AMFアプリケーションプロキシーホワイトリストを含む)を同一ポート上で併用する場合、ダイナミックVLANは使用できません。
項目名 | 説明 |
---|---|
ページ下部 | |
登録 | 入力したアクションを新規に登録します。 |
キャンセル | アクションの新規追加をキャンセルします。 |
項目名 | 説明 |
---|---|
アクション ID | AMF Securityに登録されたアクションの名前です。登録されていない場合、自動的に割り当てられます。 |
優先度 | アクションの優先度です。同時に条件を満たすアクションが存在する場合、より小さい値が割り当てられたアクションが優先して適用されます。 |
原因 | アクションの原因です。 |
条件 | |
デバイス MAC アドレス | アクションの対象とするデバイスのMACアドレスです。 |
デバイス IPv4 アドレス | アクションの対象とするデバイスのIPv4アドレスです。 |
デバイス | アクションの対象とするデバイスIDです。 |
デバイスタグ | アクションの対象とする、デバイスに設定されたタグです。 |
ロケーション | アクションの対象とするロケーションIDです。 |
OpenFlow スイッチ | アクションの対象とするスイッチIDです。 |
接続中ネットワーク | アクションの対象とするネットワークIDです。 |
アクション | |
OpenFlow/TQ アクション | 対象のデバイスに適用するOpenFlow/TQのAMFアプリケーションプロキシーアクションの内容です。 ・通過(許可): デバイスの通信を許可します。 ・隔離: 隔離ネットワークに接続します。 ・破棄(遮断): デバイスからのパケットを破棄し、通信を遮断します。 ・ログ: AMF Securityからはアクションを通知せず、該当デバイスの通信制御は行われません。該当デバイスのログのみを出力します。 |
通過/隔離 VLAN ID | 対象のデバイスのパケットを通過、または、隔離するVLAN IDです。 本項目はOpenFlow/TQ アクションが通過(許可)、隔離のときに表示されます。 |
AMF アクション | AW+のAMFアプリケーションプロキシー機能を使用して、該当デバイスの通信遮断を指示する際のアクションの内容です。 ・AMF依存: AMF Securityからはアクションを通知せず、AMF機器側の設定に依存します。 ・隔離: 該当デバイスを隔離用VLANに移動します。 ・パケット破棄: 該当デバイスの通信をレイヤー2(MACレベル)で破棄します。 ・リンクダウン: 該当デバイスが接続されているポートを無効化します。 ・IPフィルター: 該当デバイスの通信をレイヤー3(IPレベル)で破棄します。 ・ログ: AMF Securityからはアクションを通知せず、該当デバイスの情報を取得します。 |
Note「隔離」アクションの動作は、お使いのAlliedWare Plus機器(エッジノード)の設定、ファームウェアバージョンによって動作が異なります。
・バージョン 5.5.0-2.x 以降でポート認証(AMFアプリケーションプロキシーホワイトリストを含む)のマルチプルダイナミックVLANとAMFアプリケーションプロキシーブラックリストを併用している場合:該当デバイスのMACアドレスのみを隔離用VLANに移動します。
・上記以外の場合:該当デバイスが接続されているポートを隔離用VLANに移動します。
Noteバージョン 5.5.0-2.x よりも前のバージョンでは隔離アクションとポート認証(AMFアプリケーションプロキシーホワイトリストを含む)を同一ポート上で併用する場合、ダイナミックVLANは使用できません。
項目名 | 説明 |
---|---|
ページ上部 | |
戻る | 「アクション一覧」画面に戻ります。 |