[index] AT-AR2010V コマンドリファレンス 5.4.7
Note基本的には、HTTPSのように暗号化されたパケットは検査・判別できませんが、一部のアプリケーション(Skype、Facebook等)に関しては暗号化されたパケットでも検査・判別が可能です。
NoteNAT機能でもルール設定時にアプリケーションの指定を行いますが、NATルールではアプリケーションコントロール(DPI)によって判別されたアプリケーションは指定できません。ruleコマンド(NATモード)でNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションか、applicationコマンドで定義するカスタムアプリケーション、あるいは、すべてを意味する「any」キーワードを指定してください。
awplus(config)# dpi ↓
awplus(config-dpi)# provider built-in ↓
awplus(config-dpi)# enable ↓
awplus# show application detail dpi ↓■ アプリケーションコントロール(DPI)機能の有効・無効とアプリケーションシグネチャデータベースの提供元は、show dpiコマンドで確認できます。
awplus# show dpi ↓ Status: running Provider: built-in
awplus# show dpi statistics ↓ Application Packets Bytes ------------------------------------------------- http 30 2020 icmp 348 29232 telnet 45 2553
NoteNAT機能でもルール設定時にアプリケーションの指定を行いますが、NATルールではアプリケーションコントロール(DPI)によって判別されたアプリケーションは指定できません。ruleコマンド(NATモード)でNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションか、applicationコマンドで定義するカスタムアプリケーション、あるいは、すべてを意味する「any」キーワードを指定してください。
Noteアプリケーションコントロール(DPI)機能では、各アプリケーション固有の通信パターンを検出するために一定量のパケットを受信してそのデータ部分を検査する必要があります。判別が完了していないトラフィック(判別中のトラフィック)は、特殊なアプリケーション名「undecided」で表されます。
Note製品内蔵のアプリケーションシグネチャデータベースを使用する場合(provider built-in)は、以下の点にご注意ください。
- レイヤー4レベルの情報で検知可能なアプリケーションであっても、一部のアプリケーションに関しては、上位レイヤー(レイヤー5以上)の情報を検知することにより、意図しないアプリケーションとして検知する場合があります。また、アプリケーションが持つ情報の形式によっては、正常に検知できない場合があります。
これらのアプリケーションを意図したアプリケーションとして検知させるには、カスタムアプリケーション定義を使用してください。
- ファイアウォール機能と併用する構成では、本製品が送信するパケットをすべて許可(permit any)するよう設定してください。
- 製品内蔵データベースは、ファームウェアのバージョンアップ時をのぞきアップデートされません。
- 製品内蔵データベースを使用する場合、TCPストリームの再構築や並べ替えはサポートされません。そのため、本来ならシグネチャとマッチするはずのデータが複数パケットにまたがった場合は、該当アプリケーションを正しく検知できません。
awplus(config)# firewall ↓ awplus(config-firewall)# rule 10 permit X from public to private ↓ awplus(config-firewall)# rule 20 permit undecided from public to private ↓ awplus(config-firewall)# rule 30 permit dns from public.internet.myself to public ↓ awplus(config-firewall)# rule 40 permit https from public.internet.myself to public ↓ awplus(config-firewall)# rule 50 permit ssl from public.internet.myself to public ↓ awplus(config-firewall)# rule 60 permit undecided from public.internet.myself to public ↓ awplus(config-firewall)# protect ↓
Noteここでの「X」は説明のための架空のアプリケーション名です(本マニュアル執筆時点)。実際に使用するときは適切なアプリケーション名に置き換えてください。
Noteアプリケーションコントロール(DPI)機能とファイアウォール機能の併用環境で、サンドバイン社の提供するアプリケーションシグネチャデータベースを使用する場合は、データベースを更新するため、本製品からインターネットへのDNS/HTTPS/SSL通信を許可する必要があります。
Noteルール「30」~「50」は、アプリケーションシグネチャデータベースを更新するため、本製品からインターネットへのDNS/HTTPS/SSL通信を許可するものですが、DPI機能の有効時には事前定義済みアプリケーション「dns」よりもDPIアプリケーション「dns」が優先されるため、ルール「30」を機能させるために本製品からインターネットへの通信についても、未判別のトラフィック(undecided)を許可する必要があります(ルール「60」)。
awplus(config)# firewall ↓ awplus(config-firewall)# rule 10 deny sharep2p from private to public ↓ awplus(config-firewall)# rule 20 deny winny from private to public ↓ awplus(config-firewall)# rule 30 permit any from private to public ↓ awplus(config-firewall)# rule 40 permit any from private to private ↓ awplus(config-firewall)# rule 50 permit dns from public.internet.myself to public ↓ awplus(config-firewall)# rule 60 permit https from public.internet.myself to public ↓ awplus(config-firewall)# rule 70 permit ssl from public.internet.myself to public ↓ awplus(config-firewall)# rule 80 permit undecided from public.internet.myself to public ↓ awplus(config-firewall)# protect ↓
Noteアプリケーションコントロール(DPI)機能とファイアウォール機能の併用環境で、サンドバイン社の提供するアプリケーションシグネチャデータベースを使用する場合は、データベースを更新するため、本製品からインターネットへのDNS/HTTPS/SSL通信を許可する必要があります。
Noteルール「50」~「70」は、アプリケーションシグネチャデータベースを更新するため、本製品からインターネットへのDNS/HTTPS/SSL通信を許可するものですが、DPI機能の有効時には事前定義済みアプリケーション「dns」よりもDPIアプリケーション「dns」が優先されるため、ルール「50」を機能させるために本製品からインターネットへの通信についても、未判別のトラフィック(undecided)を許可する必要があります(ルール「80」)。
awplus(config)# log buffered level informational facility local5 ↓
2017 Oct 24 10:59:37 kern.info awplus kernel: Firewall: DENY in policy IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:a4:ba:db:15:e9:d3:08:00 SRC=172.16.1.2 DST=172.16.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=49384 PROTO=UDP SPT=137 DPT=137 LEN=58 MARK=0x1013
ファイアウォールのログを出力するための設定については、「UTM」/「ファイアウォール」をご覧ください。(C) 2016 - 2018 アライドテレシスホールディングス株式会社
PN: 613-002311 Rev.K