UTM / 侵入防御(IPS)


検査タイミング
検出可能なイベント
基本設定
ログ


侵入防御(IPS)機能は、サービス妨害(DoS)や不正アクセスと思われる異常なイベントを検出してログに記録、あるいは通信を遮断する機能です。

侵入防御(IPS)機能の処理は、ブリッジング用、ルーティング用の両インターフェースで受信したパケットに対して行われます。


侵入防御(IPS)機能の具体的な使用例については、「設定例集」をご覧ください。

検査タイミング

本機能は下記のタイミングでサポート対象のパケットを検査します。
Note
初期設定では、トンネルインターフェースで受信したパケットは検査されません。
トンネルインターフェースで受信したパケットに本機能を適用するには、グローバルコンフィグモードのtunnel security-reprocessingコマンドを有効にしてください。
同コマンドの有効時は、すべてのトンネルインターフェースで受信パケットが検査対象になります(ただし、DS-Lite、LW4o6、MAP-E、IPv6 over IPv4トンネルインターフェースはサポート対象外)。

検出可能なイベント

本機能が検出可能なイベントは下記の10種類です。

侵入防御(IPS)機能を有効化すると、組み込みのIPSカテゴリーデータベースにもとづいて侵入防御(IPS)エンジンがパケットの内容を検査し、各トラフィックを上記10個のIPSカテゴリー(イベント種別)に分類します。

各カテゴリーに対するデフォルトのアクションはalert(ログへの記録)ですが、category actionコマンドでカテゴリーごとにアクションを変更可能です。

基本設定

侵入防御(IPS)の設定は、IPSモード(ipsコマンド)で行います。
IPSカテゴリー(イベント種別)ごとのアクション設定はcategory actionコマンドで、機能の有効化はprotectコマンドで行います。

以下、侵入防御(IPS)機能の基本的な設定手順を示します。
  1. 侵入防御(IPS)の設定を行うため、IPSモードに移行します。これにはipsコマンドを使います。
    awplus(config)# ips
    

  2. 異常イベントを検出したときに実行すべきアクションをIPSカテゴリー(イベント種別)ごとに指定します。これにはcategory actionコマンドを使います。
    アクションには次の3つがあります。各イベントに対するデフォルトのアクションはalert(ログに記録)です。

    指定可能なIPSカテゴリーには次のものがあります。

    ここでは、IPSカテゴリー「checksum」、「ftp-bounce」に分類されたトラフィックを破棄(deny)するよう設定します。
    また、IPSカテゴリー「http-events」に分類されたトラフィックに対しては何もしない(disable)よう設定します。
    awplus(config-ips)# category checksum action deny
    awplus(config-ips)# category ftp-bounce action deny
    awplus(config-ips)# category http-events action disable
    

    3.侵入防御(IPS)機能を有効化します。これにはprotectコマンドを使います。
    awplus(config-ips)# protect
    

設定は以上です。


■ 侵入防御(IPS)機能の有効・無効はshow ipsコマンドで確認できます。
awplus# show ips
Status:      Enabled (Active)
Events:      4

■ 侵入防御(IPS)機能が検出可能なイベント(IPSカテゴリー)の一覧は、show ips categoriesコマンドで確認できます。
awplus(config-ips)# do show ips categories
Category (* = invalid)       Action
---------------------------------------
  checksum                   alert
  ftp-bounce                 alert
  gre-decoder-events         alert
  http-events                alert
  icmp-decoder-events        alert
  ip-decoder-events          alert
  ppp-decoder-events         alert
  smtp-events                alert
  stream-events              alert
  udp-decoder-events         alert

ログ

■ 侵入防御(IPS)のログを記録するには、以下のコマンド(log(filter))を実行してください。初期設定では本機能のログは記録されません。
awplus(config)# log buffered level informational facility local5


(C) 2015 - 2019 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.AA