UTM / 侵入防御（IPS）

侵入防御（IPS）機能は、サービス妨害（DoS）や不正アクセスと思われる異常なイベントを検出してログに記録、あるいは通信を遮断する機能です。

侵入防御（IPS）機能の処理は、ブリッジング用、ルーティング用の両インターフェースで受信したパケットに対して行われます。

侵入防御（IPS）機能の具体的な使用例については、「設定例集」をご覧ください。

検査タイミング

本機能は下記のタイミングでサポート対象のパケットを検査します。

Ethernetインターフェース（PPPoE、802.1Qを含む）での受信時
VLANインターフェースでの受信時
PPPインターフェース（USB型データ通信端末）での受信時
トンネルインターフェースでの受信時 ※初期設定では検査しません。後述する設定が必要です。
本製品が生成したパケット（自装置発パケット）の送信前

Note
初期設定では、トンネルインターフェースで受信したパケットは検査されません。
トンネルインターフェースで受信したパケットに本機能を適用するには、グローバルコンフィグモードのtunnel security-reprocessingコマンドを有効にしてください。
同コマンドの有効時は、すべてのトンネルインターフェースで受信パケットが検査対象になります（ただし、DS-Liteが自動設定するIPv4 over IPv6トンネルはサポート対象外）。

検出可能なイベント

本機能が検出可能なイベントは下記の10種類です。

PPPに関するエラーや異常
IPv4/IPv6に関するエラーや異常
TCPに関するエラーや異常
UDPに関するエラーや異常
ICMPv4/ICMPv6に関するエラーや異常
GREに関するエラーや異常
FTPバウンス攻撃
SMTPに関するエラーや異常
HTTPに関するエラーや異常
IP/TCP/UDP/ICMP/TCPv6/UDPv6/ICMPv6のチェックサム異常

侵入防御（IPS）機能を有効化すると、組み込みのIPSカテゴリーデータベースにもとづいて侵入防御（IPS）エンジンがパケットの内容を検査し、各トラフィックを上記10個のIPSカテゴリー（イベント種別）に分類します。

各カテゴリーに対するデフォルトのアクションはalert（ログへの記録）ですが、category actionコマンドでカテゴリーごとにアクションを変更可能です。

基本設定

侵入防御（IPS）の設定は、IPSモード（ipsコマンド）で行います。
IPSカテゴリー（イベント種別）ごとのアクション設定はcategory actionコマンドで、機能の有効化はprotectコマンドで行います。

以下、侵入防御（IPS）機能の基本的な設定手順を示します。

侵入防御（IPS）の設定を行うため、IPSモードに移行します。これにはipsコマンドを使います。
```
awplus(config)# ips ↓
```
異常イベントを検出したときに実行すべきアクションをIPSカテゴリー（イベント種別）ごとに指定します。これにはcategory actionコマンドを使います。
アクションには次の3つがあります。各イベントに対するデフォルトのアクションはalert（ログに記録）です。
- alert（ログに記録）
- deny（パケットを破棄）
- disable（何もしない）
指定可能なIPSカテゴリーには次のものがあります。
- checksum（IP/TCP/UDP/ICMP/TCPv6/UDPv6/ICMPv6のチェックサム異常）
- ftp-bounce（FTPバウンス攻撃）
- gre-decoder-events（GREに関するエラーや異常）
- http-events（HTTPに関するエラーや異常）
- icmp-decoder-events（ICMPv4/ICMPv6に関するエラーや異常）
- ip-decoder-events（IPv4/IPv6に関するエラーや異常）
- ppp-decoder-events（PPPに関するエラーや異常）
- smtp-events（SMTPに関するエラーや異常）
- stream-events（TCPに関するエラーや異常）
- udp-decoder-events（UDPに関するエラーや異常）
ここでは、IPSカテゴリー「checksum」、「ftp-bounce」に分類されたトラフィックを破棄（deny）するよう設定します。
また、IPSカテゴリー「http-events」に分類されたトラフィックに対しては何もしない（disable）よう設定します。
```
awplus(config-ips)# category checksum action deny ↓
awplus(config-ips)# category ftp-bounce action deny ↓
awplus(config-ips)# category http-events action disable ↓
```
3．侵入防御（IPS）機能を有効化します。これにはprotectコマンドを使います。
```
awplus(config-ips)# protect ↓
```

設定は以上です。

■ 侵入防御（IPS）機能の有効・無効はshow ipsコマンドで確認できます。

awplus# show ips ↓
Status:      Enabled (Active)
Events:      4

■ 侵入防御（IPS）機能が検出可能なイベント（IPSカテゴリー）の一覧は、show ips categoriesコマンドで確認できます。

awplus(config-ips)# do show ips categories ↓
Category (* = invalid)       Action
---------------------------------------
  checksum                   alert
  ftp-bounce                 alert
  gre-decoder-events         alert
  http-events                alert
  icmp-decoder-events        alert
  ip-decoder-events          alert
  ppp-decoder-events         alert
  smtp-events                alert
  stream-events              alert
  udp-decoder-events         alert

ログ

■ 侵入防御（IPS）のログを記録するには、以下のコマンド（log(filter)）を実行してください。初期設定では本機能のログは記録されません。

awplus(config)# log buffered level informational facility local5 ↓

PN: 613-002107 Rev.T