[index] AT-AR2050V/AT-AR3050S/AT-AR4050S コマンドリファレンス 5.5.0
NoteIPレピュテーション(IPアドレスブラックリスト)、マルウェアプロテクション、アプリケーションコントロール(DPI)、Webコントロール(URLフィルタリング)の各機能はAT-AR2050Vでは使用できません。また、アンチウイルスはAT-AR2050V、AT-AR3050Sでは使用できません。
NoteIPレピュテーション(IPアドレスブラックリスト)、マルウェアプロテクション、Webコントロール(URLフィルタリング)、アンチウイルスの各機能を使用するにはアニュアルライセンスが必要です。また、アプリケーションコントロール(DPI)機能において、サンドバイン社が提供するアプリケーションシグネチャデータベースを使用する場合もアニュアルライセンスが必要です(製品内蔵データベースを使用する場合はライセンス不要です)。
NoteUTM関連の機能は処理全般(通信処理、リソースの更新、インターネット上のサーバーへの問い合わせ等)で多くのメモリーおよびCPUリソースを消費するため、運用する環境の端末数(通信量)やサポートしている機能の組み合わせによっては、空きメモリーの減少を示すログ(Total Free Memory is now Low)が出力されたり、メモリー不足、スループット低下が起こる可能性があります。これらを回避するため、実際の運用ではネットワーク環境にあわせて使用する機能を設定してください。
NoteQoSはUTM機能ではありませんが、ルール指定にエンティティー定義、アプリケーション定義を使う点がUTM機能(ファイアウォール、NAT、Webコントロール)と共通なため、図に示しています。詳細は「トラフィック制御」/「Quality of Service」をご覧ください。
| アプリケーションコントロール(DPI) | |||||
| 侵入防御(IPS) | |||||
| IPレピュテーション(IPアドレスブラックリスト) | |||||
| マルウェアプロテクション | UDP、ICMPなどTCP以外のパケットや、ブリッジされる非IPパケットも検査対象 | ||||
| URLフィルター(URLブラックリスト) | |||||
| ファイアウォール | |||||
| NAT | |||||
| Webコントロール(URLフィルタリング) | 対象はHTTP/HTTPSパケットのみ | ||||
| アンチウイルス | 対象はHTTPレスポンスパケットのみ | ||||
Note本クイックツアーはUTM機能の概要紹介を目的としており、UTMの設定手順や運用方法を述べるものではありません。そのため、個々の手順や操作、コマンドについての詳細な説明は行っていません。
Note本クイックツアーでは概要紹介のためUTM関連の全機能を設定していますが、実際の運用ではネットワーク環境にあわせて必要な機能のみ設定してください。
| 始点IP/IPv6アドレス | 送信元エンティティー | エンティティー定義 |
| 終点IP/IPv6アドレス | 宛先エンティティー | |
| DSCP値 | ||
| IPプロトコル番号 | ||
| 始点TCP/UDPポート番号 | ||
| 終点TCP/UDPポート番号 | ||
| ICMPタイプ/コード | ||
NoteDSCP値はQoSおよびポリシーベースルーティング(PBR)でのみサポートです。各機能については「トラフィック制御」/「Quality of Service」、「トラフィック制御」/「ポリシーベースルーティング」をご覧ください。
Note有効なゾーンには最低1つのネットワークが存在し、また、該当ネットワークには最低1つのサブネットアドレスを関連付けておく必要があります。
awplus(config)# zone public ↓ awplus(config-zone)# network internet ↓ awplus(config-network)# ip subnet 0.0.0.0/0 interface ppp0 ↓ awplus(config-network)# ipv6 subnet ::/0 interface ppp1 ↓ awplus(config-network)# host myself ↓ awplus(config-host)# ip address 10.1.1.1 ↓ awplus(config-host)# ipv6 address 2001:db8:1:1::1 ↓ awplus(config-host)# exit ↓ awplus(config-network)# host vpngw ↓ awplus(config-host)# ip address 10.2.2.2 ↓ awplus(config-host)# ipv6 address 2001:db8:2:2::2 ↓ awplus(config-host)# exit ↓ awplus(config-network)# exit ↓ awplus(config-zone)# exit ↓
awplus(config)# zone dmz ↓ awplus(config-zone)# network servernet ↓ awplus(config-network)# ip subnet 172.16.10.0/24 ↓ awplus(config-network)# ipv6 subnet 2001:db8:1000:10::/64 ↓ awplus(config-network)# host web ↓ awplus(config-host)# ip address 172.16.10.1 ↓ awplus(config-host)# ipv6 address 2001:db8:1000:10::1 ↓ awplus(config-host)# exit ↓ awplus(config-network)# host dns ↓ awplus(config-host)# ip address 172.16.10.2 ↓ awplus(config-host)# ipv6 address 2001:db8:1000:10::2 ↓ awplus(config-host)# exit ↓ awplus(config-network)# host mail ↓ awplus(config-host)# ip address 172.16.10.3 ↓ awplus(config-host)# ipv6 address 2001:db8:1000:10::3 ↓ awplus(config-host)# exit ↓ awplus(config-network)# exit ↓ awplus(config-zone)# exit ↓
awplus(config)# zone private ↓ awplus(config-zone)# network wired ↓ awplus(config-network)# ip subnet 192.168.10.0/24 ↓ awplus(config-network)# ipv6 subnet 2001:db8:10:10::/64 ↓ awplus(config-network)# host adminpc ↓ awplus(config-host)# ip address 192.168.10.254 ↓ awplus(config-host)# ipv6 address 2001:db8:10:10::fe ↓ awplus(config-host)# exit ↓ awplus(config-network)# host dbserver ↓ awplus(config-host)# ip address 192.168.10.2 ↓ awplus(config-host)# exit ↓ awplus(config-network)# exit ↓ awplus(config-zone)# network wireless ↓ awplus(config-network)# ip subnet 192.168.20.0/24 ↓ awplus(config-network)# ipv6 subnet 2001:db8:20:100::/64 ↓ awplus(config-network)# exit ↓ awplus(config-zone)# network branch ↓ awplus(config-network)# ip subnet 192.168.100.0/24 ↓ awplus(config-network)# ipv6 subnet 2001:db8:10:100::/64 ↓ awplus(config-network)# exit ↓ awplus(config-zone)# network vpn ↓ awplus(config-network)# ip subnet 192.168.254.0/24 ↓ awplus(config-network)# exit ↓ awplus(config-zone)# exit ↓ awplus(config)#詳しくは、「UTM」/「エンティティー定義」をご覧ください。
awplus(config)# application mydb ↓ awplus(config-application)# protocol tcp ↓ awplus(config-application)# sport 1024 to 65535 ↓ awplus(config-application)# dport 8704 ↓ awplus(config-application)# exit ↓
awplus(config)# application isakmp ↓ awplus(config-application)# protocol udp ↓ awplus(config-application)# sport 500 ↓ awplus(config-application)# dport 500 ↓
awplus(config)# application esp ↓ awplus(config-application)# protocol 50 ↓ awplus(config-application)# exit ↓
Noteアプリケーションコントロール(DPI)はAT-AR2050Vでは使用できません。
Noteサンドバイン社が提供するアプリケーションシグネチャデータベースを使用するにはアニュアルライセンスが必要です。
NoteNAT機能でもルール設定時にアプリケーションの指定を行いますが、NATルールではアプリケーションコントロール(DPI)によって判別されたアプリケーションは指定できません。ruleコマンド(NATモード)でNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションか、applicationコマンドで定義するカスタムアプリケーション、あるいは、すべてを意味する「any」キーワードを指定してください。
awplus(config)# dpi ↓ awplus(config-dpi)# provider built-in ↓ または awplus(config-dpi)# provider procera ↓ awplus(config-dpi)# enable ↓ awplus(config-dpi)# exit ↓ awplus(config)#詳しくは、「UTM」/「アプリケーションコントロール(DPI)」をご覧ください。
awplus(config)# ips ↓ awplus(config-ips)# do show ips categories ↓ Category (* = invalid) Action --------------------------------------- checksum alert ftp-bounce alert gre-decoder-events alert http-events alert icmp-decoder-events alert ip-decoder-events alert ppp-decoder-events alert smtp-events alert stream-events alert udp-decoder-events alert awplus(config-ips)# category checksum action deny ↓ awplus(config-ips)# category ftp-bounce action deny ↓ awplus(config-ips)# category http-events action disable ↓ awplus(config-ips)# protect ↓ awplus(config-ips)# exit ↓ awplus(config)#詳しくは、「UTM」/「侵入防御(IPS)」をご覧ください。
NoteIPレピュテーション(IPアドレスブラックリスト)機能はAT-AR2050Vでは使用できません。
NoteIPレピュテーション(IPアドレスブラックリスト)機能を使用するにはアニュアルライセンスが必要です。
awplus(config)# ip-reputation ↓ awplus(config-ip-reputation)# provider proofpoint ↓ awplus(config-ip-reputation)# do show ip-reputation categories ↓ Category Action Description ----------------------------------------------------------------------------- AbusedTLD alert Abused or free TLD Related Bitcoin_Related alert Bitcoin Mining and related Blackhole alert Blackhole or Sinkhole systems Bot alert Known Infected Bot Brute_Forcer alert SSH or other brute forcer ChatServer alert POLICY Chat Server CnC alert Malware Command and Control Server Compromised alert Known compromised or Hostile DDoSAttacker alert DDoS Source DriveBySrc alert Driveby Source Drop alert Drop site for logs or stolen credentials DynDNS alert Domain or IP Related to a Dynamic DNS Entry or Request ... awplus(config-ip-reputation)# category Bot action deny ↓ awplus(config-ip-reputation)# category ChatServer action deny ↓ awplus(config-ip-reputation)# category DynDNS action disable ↓ awplus(config-ip-reputation)# protect ↓ awplus(config-ip-reputation)# exit ↓ awplus(config)#詳しくは、「UTM」/「IPレピュテーション」をご覧ください。
Noteマルウェアプロテクション機能はAT-AR2050Vでは使用できません。
Noteマルウェアプロテクション機能を使用するにはアニュアルライセンスが必要です。
awplus(config)# malware-protection ↓ awplus(config-malware)# provider kaspersky ↓ awplus(config-malware)# protect ↓ awplus(config-malware)# exit ↓ awplus(config)#詳しくは、「UTM」/「マルウェアプロテクション(ストリーム型アンチウイルス)」をご覧ください。
baddomain.example.com example.jp/badcontents/* example.com/files/xxxx/*
*/useful/* *.rel
awplus(config)# url-filter ↓ awplus(config-url-filter)# whitelist flash:/whitelist.txt ↓ awplus(config-url-filter)# blacklist flash:/blacklist.txt ↓ awplus(config-url-filter)# protect ↓
awplus(config)# firewall ↓ awplus(config-firewall)# rule permit any from private to public ↓ awplus(config-firewall)# rule permit mydb from private to private.wired.dbserver ↓ awplus(config-firewall)# rule permit ssh from private.wired.adminpc to dmz.servernet ↓ awplus(config-firewall)# rule permit http from public to dmz.servernet.web log ↓ awplus(config-firewall)# rule permit isakmp from public.internet.vpngw to public.internet.myself ↓ awplus(config-firewall)# rule permit esp from public.internet.vpngw to public.internet.myself ↓ awplus(config-firewall)# protect ↓ awplus(config-firewall)# exit ↓ awplus(config)#詳しくは、「UTM」/「ファイアウォール」をご覧ください。
awplus(config)# nat ↓ awplus(config-nat)# rule masq any from private to public ↓ awplus(config-nat)# rule portfwd http from public with dst dmz.servernet.web log ↓ awplus(config-nat)# enable ↓ awplus(config-nat)# exit ↓ awplus(config)#詳しくは、「UTM」/「NAT」をご覧ください。
NoteWebコントロール(URLフィルタリング)機能はAT-AR2050Vでは使用できません。
NoteWebコントロール(URLフィルタリング)機能を使用するにはアニュアルライセンスが必要です。
NoteWebコントロール(URLフィルタリング)またはアンチウイルス機能を有効にした本製品同士を接続する場合は、各製品に異なるホスト名(hostnameコマンド)を設定してください。
awplus(config)# web-control ↓ awplus(config-web-control)# provider digitalarts ↓ awplus(config-web-control)# action permit ↓ awplus(config-web-control)# do show web-control categories ↓ Category Category Hits Custom Custom Matches -------------------------------------------------------------------------------- Advocacy 0 "Alcohol, Tobacco" 0 "Amusement Facilities" 0 "Audio Streaming" 0 Blogs 0 "Browser Crashing Sites" 0 "Celebrities, Entertainment" 0 Chat 0 "Comics, Animation" 0 "Consumer Lending" 0 "Coupon Sites" 0 "Credit Cards, Online Payment, E-Money" 0 "Crime, Weapons" 0 ... awplus(config-web-control)# category Work ↓ awplus(config-category)# match chat-for-work ↓ awplus(config-category)# match work-blog ↓ awplus(config-category)# exit ↓ awplus(config-web-control)# rule permit Work from private ↓ awplus(config-web-control)# rule deny Blogs from private ↓ awplus(config-web-control)# rule deny Chat from private ↓ awplus(config-web-control)# rule deny "Crime, Weapons" from private ↓ awplus(config-web-control)# protect ↓ awplus(config-web-control)# exit ↓ awplus(config)#詳しくは、「UTM」/「Webコントロール」をご覧ください。
Noteアンチウイルス機能はAT-AR4050Sでのみサポートです。AT-AR3050S、AT-AR2050Vでは使用できません。
Noteアンチウイルス機能を使用するにはアニュアルライセンスが必要です。
NoteWebコントロール(URLフィルタリング)またはアンチウイルス機能を有効にした本製品同士を接続する場合は、各製品に異なるホスト名(hostnameコマンド)を設定してください。
awplus(config)# antivirus ↓ awplus(config-antivirus)# provider kaspersky ↓ awplus(config-antivirus)# protect ↓ awplus(config-antivirus)# exit ↓ awplus(config)#詳しくは、「UTM」/「アンチウイルス(プロキシー型アンチウイルス)」をご覧ください。
(C) 2015 - 2020 アライドテレシスホールディングス株式会社
PN: 613-002107 Rev.AG