AMF Security（AT-VST-VRT版）リファレンスマニュアル 2.5.0

本マニュアルでは、AT-Vista Manager EX同梱の仮想化環境対応ソフトウェア AT-VST-VRT上で動作するAMF Securityの機能と設定画面について詳細に解説しています。本製品を活用するための参考資料としてご利用ください。

なお、設定を始める前に済ませておかなければならないこと、例えばAT-VST-VRTがコントロールする機器のネットワーク接続などについては説明しておりません。これらに関しては、弊社ホームページに掲載の各製品のユーザーマニュアルをご覧ください。

はじめに

対象製品とバージョン

本マニュアルは、以下の製品のソフトウェアバージョン「2.5.0」を対象に記述されています。ただし、執筆時には開発中のバージョンを用いたため、画面表示などが実際の製品とは異なる場合があります。また、旧バージョンから機能的な変更がない場合は、画面表示などに旧バージョンのものを使っている場合があります。あらかじめご了承ください。

AMF Securityアプリケーション（AT-VST-VRT版）

製品のご使用にあたっては、必ず弊社ホームページに掲載のリリースノートや添付書類をお読みになり、最新の情報をご確認ください。リリースノートや添付書類には、製品のバージョンごとの注意事項や最新情報が記載されています。

サポート機能と制限事項

原則として、本マニュアルに記載されていない機能はサポート対象外です。また、本マニュアルに記載されている機能でも、サポート対象外となることがあります。各バージョンにおける新規機能や機能の変更点、制限事項については、弊社ホームページに掲載のリリースノートや添付書類でご確認ください。

マニュアルの提供形態

本マニュアルは HTML（Hyper Text Markup Language）形式のオンラインマニュアルです。製品には同梱されておりません。弊社Webサイトにて最新バージョンを見ることができます。印刷物としては提供しておりませんので、印刷物が必要な場合はHTMLファイルをプリンターで出力してご使用ください。

本マニュアルをご覧になるには、Microsoft Edge/Google Chrome/Mozilla FirefoxなどのWebブラウザーが必要です。HTMLフレームを使用しているためフレーム対応のブラウザーが必要ですが、JavaScript、ActiveScriptなどのスクリプト言語、Javaアプレットなどは使用しておりませんので、これらの機能はオフでも構いません（AMF Securityの設定画面は、Java、JavaScriptを使用します）。

本マニュアルは、ハイパーリンク機能を利用して、ある機能から関連する別の機能へジャンプしたり、設定例のページから設定画面のリファレンスへジャンプしたりできるように作成してあります。

マニュアルの構成

本マニュアルの構成について説明します。

章構成

本マニュアルの章は、「設定画面へのアクセス」「クイックツアー」「リファレンス編」「付録」「設定例」に分けられています。
画面上部のフレームに表示されている項目が各章へのリンクです。章名をクリックすると、画面左側のフレームに節（サブメニュー）が表示されます。節のリンクをクリックすると、画面右側のフレームに設定画面などの解説が表示されます。

章構成は次のとおりです。

設定画面へのアクセス
設定画面へのログインとログアウト、ナビゲーションと各設定画面における設定の保存方法について説明します。

クイックツアー
AMF Securityの設定を行う際の作業の流れを紹介します。

リファレンス編
各設定画面を1つのページで詳細に説明しています。次に示す章に分けられています。

デバイス	デバイスの一覧表示、デバイスの追加、MACアドレスの一覧表示、接続中デバイスの一覧表示
グループ	未認証グループの一覧表示、タグの一覧表示
スイッチ	OpenFlowスイッチの一覧表示、接続中OpenFlowスイッチの一覧表示、AMFメンバーの一覧表示、接続中AMFメンバーの一覧表示
ポリシー設定	ネットワークの一覧表示、ロケーションの一覧表示、スケジュールの一覧表示、アクションの一覧表示
システム設定	アカウント設定、アカウントグループ設定、ネットワーク設定、ログ設定、時刻設定、OpenFlow設定、システム情報、トラップ監視設定、メール通知設定、ライセンス、AMF Securityログ、アクションログ
AMF	AMFアプリケーションプロキシー設定、TQ設定、リダイレクトURL設定

付録
補足的な事がらについて説明します。

設定例
具体的な構成例に基づいて、本製品およびAlliedWare Plus機器の設定方法を簡潔に説明します。

表記について

本マニュアルにおける各種表記について説明します。

AMF Security

本マニュアルでは、AT-VST-VRT上で動作するAMF Securityアプリケーションを「AMF Security」と総称します。

AT-VST-VRT

本マニュアルでは、アライドテレシス仮想化環境対応ソフトウェアAT-VST-VRTを「AT-VST-VRT」と総称します。

スイッチ

AMF Securityが管理するAlliedWare Plusスイッチおよび無線アクセスポイントを「スイッチ」と総称します。
AMF Securityによる管理の対象となるAlliedWare Plusスイッチおよび無線アクセスポイントについての最新情報は、AMF Securityおよび当該ネットワーク機器のコマンドリファレンス、セットアップガイドまたはリリースノートにて公開しております。
各製品のコマンドリファレンス、セットアップガイドおよびリリースノートは弊社ホームページにて公開、または保守契約者向けページに掲載されています。

例

設定例では、IPアドレス、ドメイン名、ログイン名、パスワードなどに具体的な文字列や値を使用していますが、これらは例として挙げただけの架空の存在です。実際に運用を行う場合は、お客様の環境におけるものをご使用ください。

また、本書の設定例はあくまでも説明のためのサンプルです。お客様の環境に適した設定を行う際の参考としてください。

ご注意

本書に関する著作権等の知的財産権は、アライドテレシス株式会社（弊社）の親会社であるアライドテレシスホールディングス株式会社が所有しています。
アライドテレシスホールディングス株式会社の同意を得ることなく、本書の全体または一部をコピーまたは転載しないでください。
弊社は、予告なく本書の全体または一部を修正・改訂することがあります。
弊社は改良のため製品の仕様を予告なく変更することがあります。

(C) 2021-2023 アライドテレシスホールディングス株式会社

商標について

CentreCOM、CentreNET、SwitchBlade、TELESYN、AlliedView、VCStackロゴ、EPSRingロゴ、LoopGuardロゴ、PoE plusロゴ、AT-UWC、Allied Telesis Unified Wireless Controller、SecureEnterpriseSDNロゴ、AT-VA、AT-Vista Managerはアライドテレシスホールディングス株式会社の登録商標です。
Deep Discovery、ウイルスバスターは、トレンドマイクロ株式会社の登録商標です。
UNIXは、X/Openカンパニーリミテッドがライセンスする米国ならびに他の国における登録商標です。
Windows、MS-DOS、Windows NTは、米国Microsoft Corporationの米国およびその他の国における登録商標です。
その他、この文書に記載されているソフトウェアおよび周辺機器の名称は各メーカーの商標または登録商標です。

AMF Securityで使用しているソフトウェアについて

Web GUI下部の「使用ソフトウェアについて」をクリックすると表示される画面で参照できます。

マニュアルバージョン

2021年 9月 Rev.A（Ver.2.3.0）
2022年 5月 Rev.B（Ver.2.3.2）
2022年 8月 Rev.C（Ver.2.4.0）
2022年10月 Rev.C_1（Ver.2.4.0）
2023年 3月 Rev.D（Ver.2.5.0）
2023年 4月 Rev.D_1（Ver.2.5.0）

設定画面へのアクセス / 設定の開始

AMF Securityを使用するための準備

AMF Securityを使用するための準備

AMF Securityを使用するには、AT-VST-VRTおよびAMF Securityアプリケーションが使用できる状態になっている必要があります。AT-VST-VRTの設定方法については、弊社ホームページに掲載されている「AT-VST-VRT リファレンスマニュアル」をご参照ください。

AMF Securityクライアント要件

AMF Securityに対する設定は、WebブラウザーからGUI（Graphical User Interface）にアクセスして行います。
AMF Securityは、下記のWebブラウザーでご使用ください。

Microsoft Edge
Google Chrome

Note
リリース済みの最新のバージョンをご利用ください。

Note
Microsoft EdgeはChromiumベースが対象です。
また、Internet Explorerモードは未サポートです。

AMF Securityの初期設定

AT-VST-VRTの初期状態では、AMF Securityのアプリケーションインスタンスは設定されていません。AT-VST-VRTの設定画面にログインして、AMF Securityのアプリケーションインスタンスを設定してください。
詳しくは、弊社ホームページに掲載されている「AT-VST-VRT リファレンスマニュアル」の「クイックツアー」/「アプリケーションの設定と起動」をご参照ください。

設定画面へのログイン

AMF Securityの設定画面にログインするには、次の手順に従ってください。

次に示すいずれかの方法で、AMF Securityの設定画面にログインします。
- Webブラウザーを起動し、AMF Securityに設定されたIPアドレスを入力する
  （ここでは 192.168.1.10 と仮定しています）
```
https://192.168.1.10
```
  Note
  WebブラウザーとAMF Securityとの間の通信は、HTTPSで行われます。
- AT-VST-VRTのダッシュボード画面で、「AMF-Sec-app」の「開く」ボタンをクリックする
- AT-VST-VRTのAMF Security管理画面で、「開く」ボタンをクリックする
AMF Security ログイン画面が表示されますので、「アカウント名」と「パスワード」を入力して、「ログイン」ボタンをクリックします。
入力したパスワードは、「●」で表示されます。

Note
初期設定の「アカウント名」は「manager」、「パスワード」は「friend」です。

Note
セキュリティーの警告画面が表示された場合は、画面の指示に従ってサイトの閲覧を続行してください。
なお、信頼できる認証局が発行したSSLサーバー証明書を取得している場合は、ログイン後、「システム設定」/「ネットワーク設定」画面または「AMF」/「AMF アプリケーションプロキシー設定」画面の「SSL証明書」で、AMF SecurityにSSLサーバー証明書を登録することができます。
AMF Securityのログインに成功すると、「デバイス」/「接続中デバイス一覧」画面が表示されます。

Note
各画面で何も操作しない状態が10分続くと自動的にログアウトされ、設定画面に操作を加えようとするとログイン画面が表示されます。
AMF Security ログイン画面で「ログイン情報を保持する。」にチェックを入れると、ログインした状態を保持します。

タイムゾーンの設定

AMF Securityは、AT-VST-VRTのシステム時刻を取得して使用しますが、タイムゾーン（時間帯）の設定を取得することはできません。そのため、例えば日本時間（JST: 協定世界時（UTC）より9時間早い）で使用するには、次の手順で設定を変更してください。

Note
タイムゾーンの設定を変更するとAMF Securityが再起動しますが、その後にAMF Securityログの時刻にタイムゾーンの設定を反映するために、AT-VST-VRTの設定画面でAMF Securityアプリケーションの再起動（停止と起動）が必要です。
AT-VST-VRTの操作方法は、弊社ホームページに掲載されている「AT-VST-VRT リファレンスマニュアル」をご参照ください。

なお、以後タイムゾーンの設定は保持されます。

「システム設定」メニューをクリックし、「時刻設定」サブメニューをクリックします。
「システム設定」/「時刻設定」画面が表示されますので、タイムゾーン項目の「編集」ボタンをクリックします。
「タイムゾーン選択」ダイアログが表示されますので、ドロップダウンリストから「Asia/Tokyo」を選択して、「登録」ボタンをクリックします。
AMF Securityが再起動し、再度AMF Security ログイン画面が表示されます。
ログイン後、「システム設定」/「時刻設定」画面が表示されます。
AMF Securityログの時刻にタイムゾーンの設定を反映するために、AT-VST-VRTの設定画面でAMF Securityアプリケーションの再起動（停止と起動）を行います。
AT-VST-VRTの操作方法は、弊社ホームページに掲載されている「AT-VST-VRT リファレンスマニュアル」をご参照ください。

タイムゾーンの設定は以上です。

ライセンスのインストール

AMF Securityを利用するには、ライセンスをインストールする必要があります。
ライセンスには、基本ライセンスと追加ライセンスがあります。

基本ライセンスは、AMF Securityを動作させるために必ず登録する必要があります。
基本ライセンスがインストールされるまで、OpenFlowおよびAMFアプリケーションプロキシーともに動作しません。
追加ライセンスはOpenFlowスイッチの追加用です。AMFアプリケーションプロキシーは基本ライセンスのみでノード用の追加ライセンスは不要です。
基本ライセンスがない状態でも追加ライセンスはインストールできますが、基本ライセンスがインストールされるまでAMF Securityは動作しません。

Note
ライセンスファイルをお持ちでない場合は、弊社窓口までお問い合わせください。
なお、ライセンスファイルの取得にあたって、「システム設定」/「システム情報」画面に表示されるAMF Securityのシリアル番号が必要となります。

ライセンスをインストールするには、次の手順に従ってください。

「システム設定」/「時刻設定」画面で、現在日時とタイムゾーンが正しいことを確認します。
設定画面の上部に表示されるメッセージ中の「ライセンスページ」をクリックします。
「システム設定」/「ライセンス」画面が表示されますので、「追加」ボタンをクリックします。
「ライセンスインストール」ダイアログが表示されます。「ファイルを選択」ボタンをクリックしてライセンスファイルを選択し、「登録」ボタンをクリックします。
「OK」ボタンをクリックします。
「システム設定」/「ライセンス」画面に、登録したライセンスの「名称」、「有効期限」などが表示されれば、インストールは成功です（下記は例です）。

Note
有効期限の開始日時前のライセンスは「状況」に「契約期間前」と表示されます。
インストールしたライセンスが期限内で「状況」が「有効」にならない場合には、「更新」ボタンをクリックしてください。

ライセンスのインストールは以上です。AMF Securityを利用することができるようになります。

ライセンスの表示

「システム設定」/「ライセンス」画面に表示されるライセンスは、ライセンスの種類によって表示が異なります。
ライセンスの表示例を示します。

OpenFlow用/AMFアプリケーションプロキシー用ライセンス

Note
AMFアプリケーションプロキシーを使用する場合には、基本ライセンスのみで動作します。

Note
OpenFlow用/AMFアプリケーションプロキシー用の基本ライセンス（50IP）は、スイッチ数が「10」の「BASE」と、スイッチ数が「40」の「ADD」に分割されて表示されます。
なお、上記画面はOpenFlow用の基本ライセンスと、追加ライセンスとしてスイッチ数が「450」を追加した例です。

ライセンスの有効期間

本製品のライセンスには有効期間があります。
本バージョンでインストールしたライセンスの期限日から28日前、21日前、14日前、7日前、1日前に、期限の警告メッセージがログに表示されます。

Note
「システム設定」/「メール通知設定」画面で以下の設定を行うことで、期限の警告メッセージをメールで送信することができます。
・「メール通知を有効にします。」チェックボックスにチェックを入れる
・SMTPサーバー設定

Note
OpenFlow用/AMFアプリケーションプロキシー用の基本ライセンスの期限の警告メッセージは、ライセンスの表示に沿って「BASE」と「ADD」のそれぞれがログに表示されます。また、メール通知設定を行っている場合はメールもそれぞれ送信されます。

ライセンスの期限が切れた後は、OpenFlowおよびAMFアプリケーションプロキシーともに機能が無効になり、設定画面の上部にメッセージが表示されます。
また「システム設定」/「ライセンス」画面でライセンスは表示されなくなります。
ライセンスを再インストールすると、自動的に機能が有効になります。
なお、更新用ライセンスをインストールした場合でも、現在有効になっているライセンスの期限の警告メッセージは表示されます。

Note
メール通知設定の設定が行われている場合にはメールも送信されます。

更新用ライセンスのインストール

ライセンス終了日時より前に更新用ライセンスをインストールすると、今までのライセンスと更新用ライセンスが「システム設定」/「ライセンス」画面に表示されます。
有効期限の開始日になっていないライセンスは「状況」に「契約期間前」と表示されます。

Note
有効期限の表示は説明のためのサンプルです。

上記のように有効期限が継続している場合にはOpenFlowおよびAMFアプリケーションプロキシーの機能は停止されることなく継続して使用できます。

Note
今までのライセンスと更新用ライセンスが以下の場合、ライセンスが切り替わるタイミングで接続中のOpenFlowスイッチとAMFマスターとの接続がいったん切断されます。
・OpenFlowスイッチの同時接続台数が変更

ライセンスの有効期限チェック

ライセンスの有効期限チェックは、AMF Securityのシステム時刻00:00:00～00:05:59に行われます。
インストール済みのライセンスが期限内で有効にならない場合には、「システム設定」/「ライセンス」画面で「更新」ボタンをクリックしてください。

ライセンスの再発行

発行したライセンスはAMF Securityのシリアル番号と紐付けされています。
以下の場合では、AMF Securityのシリアル番号が変更になるため発行済みのライセンスは使用できなくなり再発行が必要になりますので、「システム設定」/「システム情報」画面に表示されるシリアル番号を控えて弊社窓口までお問い合わせください。

AT-VST-VRT上でAMF Securityアプリケーションを削除し、再度AMF Securityアプリケーションをインストール
別の仮想マシン上のAT-VST-VRTにAMF Securityアプリケーションをリストア（移行）

設定画面へのアクセス / 設定画面の使い方

AMF Securityで使用しているソフトウェアについて

設定画面の基本的な画面構成と操作方法を説明します。

ナビゲーションメニュー

設定画面の上部には、ナビゲーションメニューがあります。

各メニュー項目をクリックすると、その下にサブメニューが表示されます。サブメニューをクリックすると、設定画面が表示されます。

一覧の検索と並べ替え

次に示す設定画面には、一覧の表示項目の絞り込みや並べ替えを行うためのコントロールが用意されています。

「デバイス」/「デバイス一覧」画面
「デバイス」/「MAC アドレス一覧」画面
「デバイス」/「接続中デバイス一覧」画面
「グループ」/「未認証グループ一覧」画面
「グループ」/「タグ一覧」画面
「スイッチ」/「OpenFlow スイッチ一覧」画面
「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面
「スイッチ」/「AMF メンバー一覧」画面
「スイッチ」/「接続中 AMF メンバー一覧」画面
「ポリシー設定」/「ネットワーク一覧」画面
「ポリシー設定」/「ロケーション一覧」画面
「ポリシー設定」/「スケジュール一覧」画面
「ポリシー設定」/「アクション一覧」画面
「システム設定」/「アクションログ」画面

設定画面ごとに、検索、絞り込み、並べ替えの対象となる項目を、次の表に示します。

表 1：検索・絞り込み・並べ替え対象項目
画面	項目	検索	絞り込み	並べ替え	備考
「デバイス」/「デバイス一覧」画面	デバイス ID	○	－	○
	タグ	○	－	○
	備考	○	－	○
	ポリシー数	×	－	×
	インターフェース数	×	－	×
	インターフェース：MAC アドレス※	×	－	×	※　一覧には表示されない。
	インターフェース：名称※	×	－	×	※　一覧には表示されない。
	インターフェース：備考※	×	－	×	※　一覧には表示されない。
「デバイス」/「MAC アドレス一覧」画面	MAC アドレス	○	－	○
	名称	○	－	○
	デバイス ID	○	－	○
	備考	○	－	○
	デバイス：タグ※	×	－	×	※　一覧には表示されない。
	デバイス：備考※	×	－	×	※　一覧には表示されない。
「デバイス」/「接続中デバイス一覧」画面	MAC アドレス	△※	－	○	※　検索対象は「mac=」以降の文字列、「ip=」以降の文字列、「vender=」以降の文字列のみ。
	デバイス ID	△※1	－	△※2	※1　検索にて「未登録」は対象外。未認証グループとして接続または検出されている場合は、検索対象は「group=」以降の文字列のみ。 ※2　並べ替えは、「未登録」→「未認証グループID」→「空欄」→「デバイス ID」の順を昇順とする。
	接続中スイッチ	△※1	－	△※2	※1　検索対象は、OpenFlowスイッチでは「ip=」以降のIPv4アドレス、「port=」以降のスイッチポート番号とカッコ内のOpenFlowポート番号の文字列とポートのリンクステータスのみ。AMFノードでは「id=」以降の文字列と「port=」以降のカッコ内のスイッチポート番号の文字列。TQのAMFアプリケーションプロキシーでは「id=」以降の文字列、「ip=」以降のIPv4アドレスと「port=」以降の文字列。 ※2　並べ替えの対象は、OpenFlowスイッチでは「ip=」以降の文字列、AMFノードでは「id=」以降の文字列のみ。TQのAMFアプリケーションプロキシーでは「id=」以降の文字列と「ip=」以降のIPv4アドレス。「port=」以降の文字列による並べ替えは対象外。
	接続中ネットワーク	△※1	－	△※2	※1　検索対象は「vlan=」以降のVLAN IDと「id=」以降のネットワークIDの文字列のみ。「タグなし・接続なし」を除く。 ※2　並べ替えは、「接続なし」→「空欄」→「vlan=タグなし」→「vlan=1～4094」の順を昇順とする。ネットワークIDによる並べ替えは対象外。
	状況	×	○	△※	※　並べ替えは、「認証済み」→「遮断中」→「リンクダウン」→「隔離中」→「認証失敗」→「検出」→「IPフィルター」→「ログ」→「リダイレクトURL」の順を昇順とする。
「グループ」/「未認証グループ一覧」画面	グループ ID	○	－	○
	有効	×	－	×
	備考	○	－	○
	ポリシー数	×	－	×
「グループ」/「タグ一覧」画面	タグ	○	－	○
	備考	○	－	○
	ポリシー数	×	－	×
「スイッチ」/「OpenFlow スイッチ一覧」画面	スイッチ ID	○	－	○
	Datapath ID	○	－	○
	アップストリームポート	○	－	○
	アカウントグループ ID	○	－	○
	備考	○	－	○
「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面	Datapath ID	○	－	○
	スイッチ ID	△※	－	○	※　未登録は検索対象外。
	IPv4 アドレス	○	－	○
	状況	×	○	△※	※　並べ替えは、「調整中」→「準備完了」の順を昇順とする。
	アップストリームポート	△※	－	×	※　検索対象はカッコの前のスイッチポート番号とカッコ内のOpenFlowポート番号の文字列のみ。
	ハードウェア情報	○	－	○
「スイッチ」/「AMF メンバー一覧」画面	名称	○	－	○
	アカウントグループ ID	○	－	○
	備考	○	－	○
「スイッチ」/「接続中 AMF メンバー一覧」画面	名称	○	－	○
	登録状況	×	－	×
	ドメイン名	○	－	○
	最終更新日時	×	－	×
「ポリシー設定」/「ネットワーク一覧」画面	ネットワーク ID	○	－	○
	VLAN ID	○	－	○
	備考	○	－	○
「ポリシー設定」/「ロケーション一覧」画面	ロケーション ID	○	－	○
	備考	○	－	○
	スイッチ数	×	－	×
「ポリシー設定」/「スケジュール一覧」画面	スケジュール ID	○	－	○
	開始日時	○	－	○
	終了日時	○	－	○
	備考	○	－	○
「ポリシー設定」/「アクション一覧」画面	アクション ID	○	－	○
	優先度	○	－	○
	条件	△※	－	×	※　検索対象は「mac=」「ip=」「device-name=」「tag=」「location=」「switch=」「network=」以降の文字列のみ。
	アクション (OpenFlow,TQ/AMF)	△※1	－	△※2	※1　検索対象は「通過(許可) ->」「破棄(遮断) ->」「隔離 ->」「リダイレクトURL ->」以降の文字列のみ。後続のAMFアクションは検索対象外。 ※2　並べ替えは、「通過(許可)」→「破棄(遮断)」→「隔離」→「ログ」→「リダイレクトURL」の順を昇順とする。後続のAMFアクションによる並べ替えは対象外。
	実行者	○	－	○
	原因	○	－	○
「システム設定」/「アカウント一覧」画面	アカウント名	－	－	○
「システム設定」/「アカウント一覧」画面	アカウントグループ ID	－	－	○
「システム設定」/「アカウントグループ一覧」画面	アカウントグループ ID	○	－	○
「システム設定」/「アカウントグループ一覧」画面	備考	○	－	○
「システム設定」/「アクションログ」画面	期間	○	－	－
	MAC アドレス	○	－	－
	デバイス IPv4 アドレス	○	－	－
	デバイスタグ	○	－	－
	アクションの実行者	○	－	－
	状況	－	○	－

表示件数

一覧画面上部に、表示項目の範囲と全項目件数を表示します。また、1ページあたりの表示件数をドロップダウンメニューから変更することができます。

検索フォームを使用した絞り込み

検索フォームにキーワードを入力することで、表示項目を絞り込むことができます。
半角スペース区切りで複数のキーワードを入力すると、すべてのキーワードが該当する項目のみを表示します（AND検索）。
表示項目のうち、該当した部分が赤くハイライト表示されます。また、検索対象外の項目でも該当した部分は赤くハイライト表示されます。

ドロップダウンメニューを使用した絞り込み

「デバイス」/「接続中デバイス一覧」画面と「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面では、ドロップダウンメニューを使用して、デバイスまたはOpenFlowスイッチの「状況」に応じて表示項目を絞り込むこともできます。

表 2：状況ドロップダウンメニュー
選択肢	表示対象
「デバイス」/「接続中デバイス一覧」画面
全て	認証済み・遮断中・リンクダウン・IPフィルター・隔離中・認証失敗・検出・リダイレクトURLの全てのデバイス
認証済み	登録されているデバイスのセキュリティーポリシーに一致、または未認証グループのセキュリティーポリシーに一致したデバイス
遮断中	外部システムからの指示や管理者の操作でネットワークから遮断されたデバイス
リンクダウン	AMFアプリケーションプロキシー機能で、接続されているポートが無効化されたデバイス
IPフィルター	AMFアプリケーションプロキシー機能で、通信をレイヤー3（IPレベル）で破棄されているデバイス
ログ	アクションを適用せず情報を取得したデバイス
隔離中	外部システムからの指示や管理者の操作で隔離ネットワークに接続されたデバイス
認証失敗	デバイスが未登録、またはセキュリティーポリシーに適合しないため、認証に失敗したデバイス
リダイレクトURL	TQのAMFアプリケーションプロキシー機能で、リダイレクトURLのアクションが適用されたデバイス
隔離中 \| 遮断中 \| リンクダウン \| IPフィルター \| 認証失敗 \| リダイレクトURL	隔離中・遮断中・リンクダウン・IPフィルター・認証失敗・リダイレクトURLのデバイス
検出	未認証グループを用いた端末の検出によって検出されたデバイス
「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面
全て	調整中・準備完了の全てのOpenFlowスイッチ
調整中	OpenFlow機能の初期設定やパケット制御フローの確認、アップストリームポートのポート名およびOpenFlowポート番号の設定など、AMF Securityとの同期を準備中のスイッチ。なお、アップストリームポートとして使用されるポート名およびOpenFlowポート番号が不一致の場合にも「調整中」が表示されます。
準備完了	OpenFlow機能の初期設定が完了し、デバイスが接続可能になったOpenFlowスイッチ

並べ替え

一覧の項目名の横のボタンをクリックすることで、選択した項目の順に並べ替えることができます。

並べ替えの順番

同じボタンをクリックするたびに、昇順→降順→初期状態の順に切り替えることができます。
並べ替え順の詳細については、設定画面へのアクセス「設定画面の使い方」/「一覧の検索と並べ替え」の「表 1：検索・絞り込み・並べ替え対象項目」をご参照ください。

設定の適用

各設定画面には「登録」ボタンがあります。各設定画面で設定内容を入力したら、画面を移動する前に必ず「登録」ボタンをクリックしてください。
「登録」ボタンをクリックすると、現在の設定画面における設定内容は直ちに適用されます。

Note
ステータスのみを表示する設定画面など、「登録」ボタンを持たない画面もあります。

AMF Securityで使用しているソフトウェアについて

画面下部の「使用ソフトウェアについて」をクリックすると、AMF Securityで使用しているソフトウェアの名前とライセンス情報を表示することができます。

設定画面へのアクセス / 設定の終了

すべての設定が終わったら画面右上の「ログアウト」メニューをクリックします。
設定画面からログアウトし、ログイン画面が表示されます。

Note
各画面で何も操作しない状態が10分続くと自動的にログアウトされ、設定画面に操作を加えようとするとログイン画面が表示されます。
AMF Security ログイン画面で「ログイン情報を保持する。」にチェックを入れると、ログインした状態を保持します。

クイックツアー / AMF Securityについて

AMF Securityの位置づけ

AMF Securityが管理する情報（OpenFlow）

AMFアプリケーションプロキシー機能とは

AMF Securityが管理する情報（AMFアプリケーションプロキシーホワイトリスト機能）

AMFマスター（プロキシーノード）、AMFメンバー（エッジノード）の設定

AMF Securityの設定

AMFアプリケーションプロキシーによる遮断（AMFアプリケーションプロキシーブラックリスト機能）

AMF Securityからプロキシーノードへの被疑端末情報の通知

AMFアクション

被疑端末の遮断解除

被疑端末の遮断ステータスの表示とメール送信

AMFマスター（プロキシーノード）、AMFメンバー（エッジノード）の設定

AMF Securityの設定

TQのAMFアプリケーションプロキシー機能

AMF Securityの位置づけ

AMF-SEC（AMF-SECurity）は、ネットワーク運用管理の効率化とセキュリティー強化をSDN技術で実現するソリューションです。
AMF Securityは、同ソリューションの中核をなすSDNコントローラーとして、弊社のAMF（アライドテレシスマネージメントフレームワーク）対応製品と各種ビジネス・セキュリティー関連アプリケーションとの連携を実現します。

AMF Securityが管理する情報（OpenFlow）

AMF Securityは、登録されたデバイスのMACアドレス情報に基づき、管理下のOpenFlow対応ネットワークスイッチおよび無線LANアクセスポイント（以後、総称して「OpenFlowスイッチ」と記載します）にパケット制御フロー（フローエントリー）を設定（送信）し、デバイスのネットワーク接続を一括して制御することができます。
管理下のOpenFlowスイッチとはTCPセッションを確立し、OpenFlowプロトコルを使用して制御を行います。
デバイスには、ネットワークに接続可能な「ロケーション（場所）」と「スケジュール（期間）」の2つの条件を設定します。
また、「ロケーション」に設置された「OpenFlowスイッチ」やその「スイッチポート」といった、より細かな条件を指定することもできます。
これらの条件を満たした場合には、VLAN IDによって定義された論理的な「ネットワーク」への接続ができるようになります。

ロケーション
デバイスの接続を許可する場所。
その場所に設置されたOpenFlowスイッチを登録することで、物理的なネットワーク空間を定義します。
スケジュール
デバイスの接続を許可する期間。
接続を許可する開始日時と終了日時が指定できます。
OpenFlowスイッチ
デバイスの接続を許可するOpenFlowスイッチ。
特定のOpenFlowスイッチに接続した場合のみ、ネットワークへのアクセスを許可します。
スイッチポート
デバイスの接続を許可するOpenFlowスイッチのスイッチポート。
特定のスイッチポートに接続した場合のみ、ネットワークへのアクセスを許可します。
ネットワーク
デバイスが接続するVLANサブネット（VLAN IDによって定義された論理的なネットワーク空間）。

これらの要素をセキュリティーポリシーと呼びます。
デバイスが持つMACアドレスインターフェースは、デバイスに割り当てられたセキュリティーポリシーをもとに接続・遮断・隔離といった管理を受けます。
デバイスには、複数のMACアドレスインターフェースを設定できます。
例えば、デバイスに無線インターフェースと有線インターフェースの2つのMACアドレスが登録されている場合、設定されたロケーション、スケジュールの条件を満たせば、どちらのインターフェースからでも同じネットワークへの接続が許可されます。

表 1：設定可能なセキュリティーポリシー（OpenFlow）
デバイスが持つ管理情報
デバイス	OpenFlowスイッチに接続するネットワーク機器。
└	MACアドレス	デバイスが持つインターフェースのMACアドレス。
└	：	（複数設定可能）
└	セキュリティーポリシー	ネットワーク			デバイスを接続するVLANセグメント（VLAN ID）。
		ロケーション			デバイスの接続を許可する物理的な場所、空間。
		└	OpenFlowスイッチ		ロケーションに所属するネットワーク機器。
			└	スイッチポート	デバイスの接続を許可するスイッチポート。
			：		（複数設定可能）
		スケジュール			デバイスの接続を許可する期間（開始・終了日時）。
		（複数設定可能）

OpenFlowスイッチのネットワークポートには、OpenFlowコントローラーとの通信を行うための「コントロールプレーンポート」と、OpenFlowによって制御されユーザートラフィックが流れる「データプレーンポート」があります。
AMF Securityでは、データプレーンポートは、さらに役割の異なる「アップストリームポート」と「クライアントポート」の2つに分かれます。

アップストリームポート
装置上に1つのみ設定され、上位ネットワークに接続されます。
クライアントポート
残りすべてのデータプレーンポート。ユーザーデバイスはこのポートに接続されます。

AMF Securityは、ファイアウォールなどによって、アップストリームポートがより高位のセキュリティーによって保護されていることを前提としており、クライアントポートに接続されるデバイスを管理対象とします。
アップストリームポートは、初期設定では、最もOpenFlowポート番号が小さいポートに設定されます。この設定はOpenFlowスイッチ単位で変更可能です。

AMFアプリケーションプロキシー機能とは

AMFアプリケーションプロキシー機能は、AMFメンバー（エッジノード）に接続された端末を、AMFマスター（プロキシーノード）がAMF Securityに認証を行うことで通信制御を行います（AMFアプリケーションプロキシーホワイトリスト機能）。
また、AMF Securityからプロキシーノードに被疑端末の情報を通知し、エッジノードで該当端末の通信遮断を行うことも可能です（AMFアプリケーションプロキシーブラックリスト機能）。

Note
・AMFアプリケーションプロキシーホワイトリスト機能およびブラックリスト機能
　プロキシーノードはエッジノードを兼ねることもできます（サポート機種のみ）。
　AMFコントローラーとの連携はできません。
　ホワイトリスト機能のみ、ブラックリスト機能のみ、双方を併用して使用することもできます。

・AMFアプリケーションプロキシーホワイトリスト機能
　AMFマスターに冗長性を持たせる場合はバーチャルシャーシスタック（VCS）を使用してください（サポート機種のみ）。
　AMFコントローラー配下の複数のローカルマスターと連携する場合は、それぞれのローカルマスターは別エリアにしてください。

AMFアプリケーションプロキシー機能を利用するには、AMF Security、プロキシーノード、エッジノードのそれぞれに設定が必要です。

AMF Securityが管理する情報（AMFアプリケーションプロキシーホワイトリスト機能）

AMF Securityは、登録されたデバイスのMACアドレス情報に基づき、管理下のAMFメンバーのポート認証機能を使用し、デバイスのネットワーク接続を一括して制御することができます。
AMFアプリケーションプロキシーホワイトリスト機能は、AMFメンバーに接続された端末を、AMFマスターがAMF Security（ホワイトリストサーバー）に認証を行うことで、AMF SecurityからAMF対応機器でのアクセス制御を可能にするAMF-SEC（AMF-SECurity）の連携機能です。
これらの条件を満たした場合には、VLAN IDによって定義された論理的な「ネットワーク」への接続ができるようになります。

ロケーション
デバイスの接続を許可する場所。
その場所に設置されたAMFメンバーを登録することで、物理的なネットワーク空間を定義します。
スケジュール
デバイスの接続を許可する期間。
接続を許可する開始日時と終了日時が指定できます。
スイッチポート
デバイスの接続を許可するAMFメンバーのスイッチポート。
特定のスイッチポートに接続した場合のみ、ネットワークへのアクセスを許可します。
ネットワーク
デバイスが接続するVLANサブネット（VLAN IDによって定義された論理的なネットワーク空間）。

表 2：設定可能なセキュリティーポリシー（AMFアプリケーションプロキシーホワイトリスト）
デバイスが持つ管理情報
デバイス	AMFメンバーに接続するネットワーク機器。
└	MACアドレス	デバイスが持つインターフェースのMACアドレス。
└	：	（複数設定可能）
└	セキュリティーポリシー	ネットワーク			デバイスを接続するVLANセグメント（VLAN ID）。
		ロケーション			デバイスの接続を許可する物理的な場所、空間。
		└	AMFメンバー		ロケーションに所属するネットワーク機器。
			└	スイッチポート	デバイスの接続を許可するスイッチポート。
			：		（複数設定可能）
		スケジュール			デバイスの接続を許可する期間（開始・終了日時）。
		（複数設定可能）

Note
本機能を使用するには、お使いのAlliedWare Plus機器のプロキシーノード、エッジノードの双方ともファームウェアバージョン 5.5.0-0.x 以降が必要です。

Note
次に示す設定または操作で、「デバイス」/「接続中デバイス一覧」画面に表示されるAMFアプリケーションプロキシー機能で認証されている端末情報を表示させる場合には、お使いのAlliedWare Plus機器のプロキシーノード、エッジノードの双方ともファームウェアバージョン 5.5.0-0.x 以降が必要です。また、プロキシーノード、エッジノードの設定については、「AMFマスター（プロキシーノード）、AMFメンバー（エッジノード）の設定」をご参照ください。

　・「AMF」/「AMF アプリケーションプロキシー設定」画面の「AMFメンバーがネットワークに接続した時に認証済み端末リストの再読み込みを行います。」のチェックボックスにチェックが入っている
　・「スイッチ」/「接続中 AMF メンバー一覧」画面で「同期」ボタンをクリックする

AMFマスター（プロキシーノード）、AMFメンバー（エッジノード）の設定

管理するAMFノードで以下は必須の設定です。

すべてのAMFノード（プロキシーノード、エッジノードの双方）で service atmf-application-proxyコマンドを有効
すべてのAMFノード（プロキシーノード、エッジノードの双方）で service httpコマンドを有効
すべてのAMFノード（プロキシーノード、エッジノードの双方）で共通のユーザーを権限レベル15（特権レベル）で設定
AMFマスター（プロキシーノード）で atmf topology-gui enableコマンドを有効
AMFマスター（プロキシーノード）で application-proxy whitelist serverコマンドを設定
AMFメンバー（エッジノード）の端末接続ポートでホワイトリスト機能関連コマンドを設定

詳細な設定については、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
なお、プロキシーノードとなるAlliedWare Plus機器の機種によっては、AMFアプリケーションプロキシー機能を利用するために、別途ライセンスが必要となる場合があります。

AMF Securityの設定

AMFアプリケーションプロキシーホワイトリスト機能を利用するためには、AMF SecurityにAMFマスター（プロキシーノード）のIPアドレス、権限レベル15（特権レベル）のアカウントのユーザー名とパスワード、事前共有鍵(PSK)を設定する必要があります。

「AMF」/「AMF アプリケーションプロキシー設定」画面を表示します。
「追加」ボタンをクリックします。
「IPv4 アドレス」に、AMFマスター（プロキシーノード）のIPアドレスを入力します。
「ユーザー名」、「パスワード」に、AMFマスター（プロキシーノード）に設定されている権限レベル15（特権レベル）のアカウントのユーザー名とパスワードを入力します。
「事前共有鍵(PSK)」にAMFマスター（プロキシーノード）の application-proxy whitelist serverコマンドのkeyパラメーターで設定した事前共有鍵を入力します。
ダイアログ下部の「登録」ボタンをクリックします。

Note
本設定を行うと、AMFマスター（プロキシーノード）への定期問い合わせ（30秒間隔）を行うようになります。

AMFアプリケーションプロキシーによる遮断（AMFアプリケーションプロキシーブラックリスト機能）

AMF Securityからプロキシーノードへの被疑端末情報の通知

AMF Securityは、被疑端末を検出するセキュリティーソフトウェアや機器から情報を受信した際、または「ポリシー設定」/「アクション追加」画面でアクションを追加した際に、プロキシーノードに被疑端末の情報を通知します。この被疑端末の情報はAMF Security上に登録され、「ポリシー設定」/「アクション一覧」画面に表示されます。
なお、その情報を再度プロキシーノードに通知は行いません。

Note
被疑端末の情報を保持しているプロキシーノードが再起動した場合、被疑端末の情報はプロキシーノードから削除されます。
再起動後、AMF Securityから被疑端末の情報の再通知はないため、プロキシーノードは被疑端末の情報を学習することはできません。
プロキシーノードに被疑端末の情報を学習させるためには、次の手順でAMF Securityから手動で被疑端末の情報を通知してください。
1. 「ポリシー設定」/「アクション一覧」画面を開きます。
2. 「CSV にエクスポート」ボタンをクリックし、CSVファイルを保存します。
3. 「システム設定」/「システム情報」画面を開きます。
4.　認証データの「インポート」ボタンをクリックして、「認証データのアップロード」画面を開きます。
5. 「ファイルを選択」ボタンをクリックし、保存したCSVファイルを選択して、「登録」ボタンをクリックします。

AMFアクション

AMF Securityは被疑端末の情報をプロキシーノードに通知する際に、通信遮断を指示するアクション（AMFアクション）を通知することができます。
AMF Securityで設定するAMFアクションは次のとおりです。

AMF 依存
隔離
パケット破棄
リンクダウン
IPフィルター
ログ

「隔離」、「パケット破棄」、「リンクダウン」、「IPフィルター」、「ログ」を設定した場合は、エッジノード側に設定されたAMFアクションよりも優先して、これらのAMFアクションが実行されます。
「AMF 依存」を設定した場合は、AMF SecurityからAMFアクションは送信されず、エッジノード側で設定されたAMFアクションが実行されます。

Note
複数の外部連携アプリケーションを併用する場合など、AMFマスターに被疑デバイスの情報が複数送信されるようなケースでは同一のAMFアクションを設定してください。
外部連携アプリケーションのAMFアクションの設定は「システム設定」/「トラップ監視設定」画面の「ルール」で行います。
「ポリシー設定」/「アクション一覧」画面で既に登録されている被疑デバイスのAMFアクションを変更したい場合には、先に登録されているアクションを削除してから、新しいアクションを登録してください。

Note
ホワイトリストポートで「隔離」アクションを併用する場合は、お使いのAlliedWare Plus機器のプロキシーノード、エッジノードの双方ともファームウェアバージョン 5.5.0-2.x 以降が必要です。

Note
ホワイトリストで許可された端末であっても、AMFアクションの対象となった場合、該当端末からの通信はアクションに従った処理になります。

被疑端末の遮断解除

被疑端末の遮断を解除（被疑端末の情報を削除）する場合には、「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除します。該当のアクションを削除すると、AMF Securityはプロキシーノードに被疑端末情報を削除するよう通知します。

Note
プロキシーノード上でコマンドを実行することで遮断を解除することもできますが、その場合、プロキシーノードからAMF Securityに被疑デバイス情報を削除する指示は出しません。そのため、AMF Security上では被疑デバイス情報を保持したままになりますので、必要に応じて「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除してください。
プロキシーノード上で実行するコマンドについては、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。

被疑端末の遮断ステータスの表示とメール送信

エッジノードでAMFアクションが適用された被疑端末のステータスは、「デバイス」/「接続中デバイス一覧」画面に表示されます。
これは、AMF Securityが30秒間隔で定期的にプロキシーノードに問い合わせを行って情報を取得します。

Note
本機能を使用するには、お使いのAlliedWare Plus機器のプロキシーノード、エッジノードの双方ともファームウェアバージョン 5.5.0-0.x 以降が必要です。

また、「システム設定」/「メール通知設定」画面でAMF Securityのメール通知設定を行うことで、メールを送信することもできます。

「遮断時にメールを送信します。」→「パケット破棄」、「リンクダウン」、「IPフィルター」、「ログ」のアクションで遮断された場合にメールを送信
「隔離時にメールを送信します。」→「隔離」のアクションで隔離された場合にメールを送信

Note
AMF Securityがプロキシーノードに問い合わせを行った際に、被疑端末の情報に更新（別のスイッチに移動後に再度遮断等）があった場合は、「デバイス」/「接続中デバイス一覧」画面に表示した情報を更新し、メール送信も行われます。

AMFマスター（プロキシーノード）、AMFメンバー（エッジノード）の設定

管理するAMFノードで以下は必須の設定です。

すべてのAMFノード（プロキシーノード、エッジノードの双方）で service atmf-application-proxyコマンドを有効
すべてのAMFノード（プロキシーノード、エッジノードの双方）で service httpコマンドを有効
すべてのAMFノード（プロキシーノード、エッジノードの双方）で共通のユーザーを権限レベル15（特権レベル）で設定
AMFマスター（プロキシーノード）で atmf topology-gui enableコマンドを有効
AMFメンバー（エッジノード）の端末接続ポートで application-proxy threat-protectionコマンドを設定

AMF Securityの設定

AMFアプリケーションプロキシーブラックリスト機能を利用するためには、AMF SecurityにAMFマスター（プロキシーノード）のIPアドレス、権限レベル15（特権レベル）のアカウントのユーザー名とパスワードを設定する必要があります。

「AMF」/「AMF アプリケーションプロキシー設定」画面を表示します。
「追加」ボタンをクリックします。
「IPv4 アドレス」に、AMFマスター（プロキシーノード）のIPアドレスを入力します。
「ユーザー名」、「パスワード」に、AMFマスター（プロキシーノード）に設定されている権限レベル15（特権レベル）のアカウントのユーザー名とパスワードを入力します。
ダイアログ下部の「登録」ボタンをクリックします。

Note
本設定を行うと、AMFマスター（プロキシーノード）への定期問い合わせ（30秒間隔）を行うようになります。

AMF Securityと連携するアプリケーションの設定については、「システム設定」/「トラップ監視設定」をご参照ください。

TQのAMFアプリケーションプロキシー機能

TQのAMFアプリケーションプロキシー機能は、TQに接続された無線端末をAMF Securityが認証を行うことで通信制御を行います（AMFアプリケーションプロキシーホワイトリスト機能）。
また、連携する外部アプリケーションから被疑端末のIPアドレスをAMF Securityが受け取ると、そのIPアドレスをもとにAT-Vista Manager EXに端末のMACアドレスの問い合わせを行い、AWCプラグインが保持しているMACアドレスを取得して端末の通信制御が行われます（AMFアプリケーションプロキシーブラックリスト機能）。
サポートするアクションは、パケット破棄、隔離、ログ（該当デバイスの通信制御は行わずログの出力のみ）、リダイレクトURLです。

Note
サポートするアクションは、製品・バージョンによって異なります。製品と対応バージョンは「対応製品と対応バージョン」をご参照ください。

Note
TQに対するAMFアプリケーションプロキシー機能の設定は、AWCプラグインから行います（TQの管理画面からは行えません）。

Note
AT-VST-VRT版のAT-Vista Manager EXを使用する場合、AMF Securityは直接AWCプラグインに問い合わせを行います。

Note
無線端末が接続した際の認証は、「AMFアプリケーションプロキシー（AMF Security）による認証」→「VAP（マルチSSID）設定のセキュリティーで設定されている認証」の順で行われます。双方の認証が成功しないと無線端末の接続は許可されません。

Note
TQのAMFアプリケーションプロキシー機能では、以下の項目は未サポートです。
・ロケーションポリシー
・スケジュールポリシー
・セッションタイムアウト
・TQ上の認証情報の取得
・端末のIPアドレス表示
・デバイスの探索
・アカウントグループ

Note
AMF Securityの再起動（サービスの再起動を含む）や接続中のOpenFlowスイッチとAMFマスターとの接続がいったん切断される設定を行うと、TQのAMFアプリケーションプロキシー機能で既に管理されているデバイス（「デバイス」/「接続中デバイス一覧」画面に表示されているデバイス）が存在する場合、そのデバイスの認証、およびアクションは適用されたままになりますが、「デバイス」/「接続中デバイス一覧」画面の表示からは削除されます。

AMF Securityの設定・操作については以下が該当します。

・「システム設定」/「ネットワーク設定」画面
　　WebサーバーのSSL証明書のアップロード・削除
　　データベース同期
　　データベース同期オプション設定
・「システム設定」/「ログ設定」画面
・「システム設定」/「時刻設定」画面
・「システム設定」/「OpenFlow設定」画面
・「システム設定」/「システム情報」画面
　　ホスト名
　　システム設定 - インポート
　　システム設定 - リセット
　　サービス - 全て再起動
・「システム設定」/「トラップ監視設定」画面
　　デバイスルックアップ
・「システム設定」/「メール通知設定」画面
・「システム設定」/「アクションログ」画面
　　アクションログのクリア
・「AMF」/「AMF アプリケーションプロキシー設定」画面
　　AMFマスター
　　ホワイトリスト設定
　　WebサーバーのSSL証明書のアップロード・削除
・「AMF」/「TQ設定」画面

また、AT-VST-VRTの設定画面でAMF Security アプリケーションの再起動（停止と起動）、AT-VST-VRTの再起動も該当します。

対応製品と対応バージョン

本機能を使用するには、以下の製品と対応バージョンが必要です。
■ 使用するアクション：パケット破棄、隔離、ログ

表 3：AT-TQ5403/AT-TQm5403/AT-TQ5403e
対応製品	対応バージョン
AT-TQ5403/AT-TQm5403/AT-TQ5403e	6.0.1-6.1以降
AT-Vista Manager EX（AWCプラグイン）	3.6.0（3.6.0）以降
AMF Security	2.3.0以降

表 4：AT-TQ6602
対応製品	対応バージョン
AT-TQ6602	7.0.1-1.1以降
AT-Vista Manager EX（AWCプラグイン）	3.7.0（3.7.0）以降
AMF Security	2.3.0以降

表 5：AT-TQ6602 GEN2/AT-TQm6602 GEN2/AT-TQ6702 GEN2/AT-TQm6702 GEN2
対応製品	対応バージョン
AT-TQ6602 GEN2/AT-TQm6602 GEN2/AT-TQ6702 GEN2/AT-TQm6702 GEN2	8.0.1-1.1以降
AT-Vista Manager EX（AWCプラグイン）	3.9.0（3.9.0）以降
AMF Security	2.3.0以降

■ 使用するアクション：リダイレクトURL

表 6：AT-TQ6602 GEN2/AT-TQm6602 GEN2/AT-TQ6702 GEN2/AT-TQm6702 GEN2
対応製品	対応バージョン
AT-TQ6602 GEN2/AT-TQm6602 GEN2/AT-TQ6702 GEN2/AT-TQm6702 GEN2	8.0.2-1.1以降
AT-Vista Manager EX（AWCプラグイン）	3.10.1（3.10.0）以降
AMF Security	2.5.0以降

TQのダイナミック VLAN使用時の動作

TQのAMFアプリケーションプロキシー機能は、TQのVAP（マルチSSID）設定のセキュリティーでWPA エンタープライズを選択した場合、ダイナミック VLANの無効・有効によって認証時に無線端末に付与するVLAN IDが異なります。

ダイナミック VLAN無効時
無線端末の認証をAMF Securityで行い、AMF SecurityからVLAN IDが付与されている場合、無線端末の所属VLANはAMF SecurityのVLAN IDとなります。AMF SecurityからVLAN IDが付与されていない場合、無線端末はVAPのVLAN IDに所属します。

Note
AMF SecurityからVLAN IDが付与されない場合のAMF Securityの設定は以下のとおりです。
・ポリシー設定（隔離VLAN ID）でVLAN ID 0のネットワークを設定
・ネットワークを設定しない

ダイナミック VLAN有効時
無線端末の認証をAMF Securityで行い、その後にWPA エンタープライズ側のRADIUSサーバーで認証を行います。無線端末が所属するVLANは以下のとおりです。
ただし、AMF Securityから隔離VLANのVLAN IDが付与されている場合は、ダイナミックVLANのVLAN IDの有無にかかわらず、AMF Securityから付与される隔離VLAN IDに所属します。

表 7：無線端末が所属するVLAN
AMF Security付与VLAN ID	RADIUSサーバー付与VLAN ID	無線端末所属VLAN
あり	あり	RADIUSサーバー付与VLAN ID
なし	なし	VAP VLAN ID
なし	あり	RADIUSサーバー付与VLAN ID
あり	なし	AMF Security付与VLAN ID

Note
AMF SecurityでVLAN IDなしの設定は以下のとおりです。
・ポリシー設定（隔離VLAN ID）でVLAN ID 0のネットワークを設定
・ネットワークを設定しない

■ TQにVLAN ID 1が付与された場合の動作
TQにVLAN ID 1が付与された場合の動作は、TQの管理VLANタグの設定によって異なります
詳細は、TQのリファレンスマニュアルをご参照ください。

クリティカルモード

クリティカルモードは、AMF Securityに電源断などの障害が発生した場合に、新規で接続する無線端末の処理を選択できます。

無効
新規で接続する無線端末は、AMF Securityによる認証ができないため接続がすべて拒否されます。
なお、既に接続していた無線端末はそのまま通信できます。
有効
新規で接続する無線端末をAMF Securityの認証なしで許可します。
通常は、AMF Securityの認証が成功してからVAP（マルチSSID）設定のセキュリティーで設定されている認証が行われますが、AMF Securityによる認証を行わずにVAP（マルチSSID）設定のセキュリティーで設定されている認証に進みます。
無線端末が所属するVLANは、VAP（マルチSSID）設定のセキュリティーで設定されている認証が成功した際に決定したVLANになります。

リダイレクトURLアクション

無線端末にリダイレクトURLアクションが適用されると、該当の無線端末は隔離アクションと同様に隔離ネットワークに接続されます。その後、該当の無線端末のWebアクセスはリダイレクトURLアクションに対応したTQから、設定された外部ページ（URL）に転送され、Webブラウザーには外部ページの内容が表示されます。
リダイレクトURLアクションを使用する場合は、使用する製品・バージョンがリダイレクトURLアクションに対応している必要があります。本アクションに対応していない製品では、意図しない動作になるため使用しないでください。また、AW+のAMFアプリケーションプロキシー機能では設定の項目がありません。OpenFlowはTQのAMFアプリケーションプロキシー機能と共通のアクションですが、未サポートのため使用しないでください。
AMF Securityでは、リダイレクトURLアクション用のサイト（デバイス隔離用サイト）を設定することができ、その外部ページに指定することができます。リダイレクトURLアクション用のサイトの設定は「AMF」/「リダイレクトURL設定」画面で行います。なお、本サイトのプロトコルはHTTPです。

Note
本サイトはリダイレクトされたアクセスのみをサポートしており、通常のWebサーバーとしてはサポートしていません。

TQに対するリダイレクトURL関連の設定は、AT-Vista Manager EXのAWCプラグインから行います。
AMF SecurityをリダイレクトURLアクション用のサイトとして使用する場合、AWCプラグインで行うリダイレクトURLの外部ページURLの設定は以下のようにします。

http://（AMF SecurityのIPアドレス）:（設定したポート番号）/index.html

例えば、AMF Securityに設定されたIPアドレスが「192.168.1.10」、「AMF」/「リダイレクトURL設定」画面で設定したポート番号が「8000」の場合は以下を指定します。

http://192.168.1.10:8000/index.html

コントロール対象となるネットワーク機器

AMF Securityによる管理の対象となるAlliedWare Plusスイッチおよび無線LANアクセスポイントについての最新情報は、AMF Securityおよび当該ネットワーク機器のリリースノートにて公開しております。
各製品のコマンドリファレンスおよびリリースノートは弊社ホームページにて公開、または保守契約者向けページに掲載されています。
http://www.allied-telesis.co.jp/

アプリケーション連携ソリューション

AMF Securityは、脅威検出、デバイス管理、人事情報管理など、各種業務アプリケーションとの連携によって、ネットワーク運用の効率化とセキュリティー強化を図ることができます。
連携するサービスやアプリケーションの最新情報については、弊社「AMF-SEC テクノロジーパートナープログラム」を通じて提供されます。パートナープログラムの詳細は、弊社ホームページより「AMF-SEC テクノロジーパートナープログラム」をご覧ください。

クイックツアー / AMF SecurityによるOpenFlowの認証の流れ

AMF Securityは、管理下のOpenFlowスイッチからの問い合わせに対して認証を実施します。
OpenFlowスイッチがAMF Securityに対して問い合わせを行うまでの流れは以下になります。

OpenFlowスイッチが、デバイスから何かパケットを受信する
OpenFlowスイッチは、パケットの送信元MACアドレスに対してのフローエントリーが登録されているか確認する。該当するフローエントリーが存在する場合、OpenFlowスイッチはフローエントリーに従ってパケットを送信する
該当するフローエントリーがない場合、OpenFlowスイッチはAMF Securityに問い合わせを行うパケット（PACKET_IN）を送信する

AMF SecurityはOpenFlowスイッチから受信した問い合わせのパケット（PACKET_IN）に記録されたデバイスのMACアドレスに対して認証プロセスの確認を実施し、接続/隔離先のネットワークを決定、または破棄を決定し、OpenFlowスイッチにフローエントリーを設定します。
AMF Securityの認証プロセスは、大別して、デバイス認証データ、未認証グループ、アクションの3つが存在します。

デバイス認証データ
MACアドレスが関連付けられたデバイスのセキュリティーポリシーに基づき、接続先のネットワーク（VLAN）を決定します。
未認証グループ
デバイス認証データに登録のないMACアドレスに対し、ロケーション、スケジュールに基づき、接続先のネットワークを提供します。
アクション
デバイスのMACアドレス、IPv4アドレス、デバイスID、デバイスタグ、ロケーション、OpenFlowスイッチ、接続中ネットワークなど、特定の条件に一致するデバイスに対し個別に破棄、隔離、または接続先VLANを指定します。
連携アプリケーションによるデバイスの隔離・遮断処理と同様のアクションを手動で作成できます。

デバイスの処理は、アクション、デバイス認証データ、未認証グループの順に行われます。

デバイスIDを条件にアクション、デバイス認証データ、未認証グループを設定している場合の例を示します。
次のように、アクションとデバイス認証データのセキュリティーポリシーに両方とも一致する場合、アクションが定義する処理が適用され、デバイス認証データの処理は行われません。

クイックツアー / 手動によるデバイスの追加

ここでは、AMF Securityによる端末管理の基本となる、手動によるデバイスの登録手順を説明します。
手動によってデバイスを登録する場合は、事前に、登録するデバイスが持つインターフェースのMACアドレスを確認しておく必要があります。

OpenFlowスイッチの登録

AMF Securityに接続中のOpenFlowスイッチの状況は、「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面で確認できます。

「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面に移動します。

この時点ではOpenFlowスイッチの個別設定がされていないため、アップストリームポートはOpenFlowポート番号が最も小さいものが選択されています。
一覧の中のDatapath IDのリンクをクリックし、「スイッチ」/「接続中 OpenFlow スイッチ詳細」画面を表示します。

「スイッチ」/「接続中 OpenFlow スイッチ詳細」画面では、選択したOpenFlowスイッチの詳細情報を確認することができます。
また、OpenFlowスイッチに設定されている各データプレーンポートのOpenFlowポート番号も確認できます。
画面右上の「戻る」ボタンをクリックして、「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面に移動します。
AMF Securityに登録する前の時点では、OpenFlowスイッチのスイッチIDは未登録と表示され、「登録」ボタンが表示されます。「登録」ボタンをクリックし、「スイッチ」/「OpenFlow スイッチ追加」画面を表示します。

スイッチ ID、アップストリームポートに指定したいOpenFlowポート番号またはポート名、備考を設定します。

Note
データパスIDはOpenFlowスイッチごとに異なる値が設定されるため、変更する必要はありません。

Note
所属させるアカウントグループIDは事前に設定が必要です。この章では、アカウントグループIDは設定しません。

ここでは、例として、次の情報を設定します。

表 1：設定データ
項目名	設定する情報	説明
スイッチ ID（必須項目）	x230-10GP（変更なし）	OpenFlowスイッチの名前です。既に使用されているスイッチIDを設定することはできません。スイッチIDは最大255文字で、英数字、記号以外に日本語も使用できます。ここでは「ハードウェア情報」の「x230-10GP」が自動入力されます。
Datapath ID（必須項目）	（変更なし）	OpenFlowスイッチのデータパスID（OpenFlowコントローラーが使用する識別子）です。通常はOpenFlowスイッチのMACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されるため、変更する必要はありません。自動設定されるデータパスIDはOpenFlowスイッチのMACアドレスの先頭にゼロを補完した16桁の16進数になります。なお、同じデータパスIDは複数登録できません。
アップストリームポート	port1.0.5（変更なし）	OpenFlowスイッチのアップストリームポートを設定します。アップストリームポートは1つの装置につき1つのみ登録できます。ポートの指定は、ポート名とOpenFlowポート番号のどちらも使用できます。
アカウントグループ ID	（設定なし）	OpenFlowスイッチが所属するアカウントグループIDを選択します。
備考	#1Fスイッチ	このOpenFlowスイッチの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

Note
AMF SecurityとOpenFlowスイッチとでデータパスIDが一致していない場合は、OpenFlowポートでのパケット転送が停止します。

「登録」ボタンをクリックします。
OpenFlowスイッチが登録されると、新規に追加した情報が「スイッチ」/「OpenFlow スイッチ一覧」画面に表示されます。

AMFメンバーの登録

AMF Securityに接続中のAMFメンバーの状況は、「スイッチ」/「接続中 AMF メンバー一覧」画面で確認できます。

「スイッチ」/「接続中 AMF メンバー一覧」画面に移動します。
AMF Securityに登録する前の時点では、登録状況は未登録と表示され、「登録」ボタンが表示されます。「登録」ボタンをクリックし、「スイッチ」/「AMF メンバー追加」画面を表示します。

備考を設定します。

Note
所属させるアカウントグループIDは事前に設定が必要です。この章では、アカウントグループIDは設定しません。

ここでは、例として、次の情報を設定します。

表 2：設定データ
項目名	設定する情報	説明
名称（必須項目）	AMF-Member（変更なし）	AMFメンバーの名称です。「スイッチ」/「OpenFlow スイッチ一覧」画面および「スイッチ」/「AMF メンバー一覧」画面で、既に使用されているスイッチIDと名称を設定することはできません。名称は最大255文字で、使用可能な文字は半角英数字とハイフン（-）、アンダースコア（_）のみです。
アカウントグループ ID	（設定なし）	AMFメンバーが所属するアカウントグループIDを選択します。
備考	#1Fスイッチ	AMFメンバーの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

Note
AMFメンバーの管理はAMFメンバーのホスト名で行うため、名称はAMFメンバーのホスト名と同一にしてください。

「登録」ボタンをクリックします。
AMFメンバーが登録されると、新規に追加した情報が「スイッチ」/「AMF メンバー一覧」画面に表示されます。

ネットワークの登録

接続先となるネットワークは、「ポリシー設定」/「ネットワーク追加」画面で登録することができます。

「ポリシー設定」/「ネットワーク一覧」画面に移動します。

この画面には、AMF Securityに登録されているネットワークの一覧が表示されます。この時点ではネットワークは登録されていません。
「ポリシー設定」/「ネットワーク一覧」画面の右上の「ネットワーク追加」ボタンをクリックし、「ポリシー設定」/「ネットワーク追加」画面に移動します。

この画面では、ネットワークの名前となるネットワークIDと、ネットワークに割り当てるVLAN IDが設定できます。
接続先ネットワークを設定することにより、接続許可デバイスが接続されるVLANセグメントを制御できます。VLANセグメントへの接続制御は、接続許可デバイスが送信したパケットにVLANタグを付加することにより実現します。

登録するネットワークの情報を入力します。

ここでは、ネットワーク「営業部」を登録する例として、次の情報を入力します。

表 3：設定データ
項目名	設定する情報	説明
ネットワーク ID（必須項目）	営業部	ネットワークの名称です。既に使用されているネットワークIDを設定することはできません。ネットワークIDは最大255文字で、英数字、記号以外に日本語も使用できます。
VLAN ID（必須項目）	123	ネットワークのVLAN IDを設定します。既に登録済みのVLAN IDを別のネットワークに割り当てることはできません。 VLAN IDに0を設定するとVLANタグを付与しません。これはネットワーク設定を行わない状態と同じ動作になります。 VLAN IDの設定範囲は0～4094です。
備考	営業ネットワーク	このネットワークの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

「登録」ボタンをクリックします。
ネットワークが登録されると、新規に追加した情報が「ポリシー設定」/「ネットワーク一覧」画面に表示されます。

ロケーションの登録

AMF Securityでは、デバイスがネットワークに接続できる物理的な場所をロケーションと呼びます。
ロケーションは、「ポリシー設定」/「ロケーション追加」画面から登録することができます。

「ポリシー設定」/「ロケーション一覧」画面に移動します。

この画面には、AMF Securityに登録されているロケーションの一覧が表示されます。この時点ではロケーションは登録されていません。
「ポリシー設定」/「ロケーション一覧」画面の右上の「ロケーション追加」ボタンをクリックし、「ポリシー設定」/「ロケーション追加」画面に移動します。

ロケーションには、その名前となるロケーションIDと、そのロケーションに設置されているAMFメンバーを選択し、登録することができます。
ロケーションを設定することにより、デバイスが接続可能なAMFメンバーを、オフィスのフロアや会議室など場所単位で制御することができます。

登録するロケーションの情報を入力します。

ここでは、ロケーション「1F」を登録する例として、次の情報を入力します。

表 4：設定データ
項目名	設定する情報	説明
ロケーション ID（必須項目）	1F	ロケーションの名称です。既に使用されているロケーションIDを設定することはできません。ロケーションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
備考	1Fエリア	このロケーションの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

「OpenFlow スイッチ / AMF メンバー」の「選択」ボタンをクリックします。
「ポリシー設定」/「OpenFlowスイッチ / AMFメンバー」ダイアログに、先ほどの「OpenFlowスイッチの登録」および「AMFメンバーの登録」の手順で登録したOpenFlowスイッチとAMFメンバーが一覧表示されます。
既に登録されている「AMF-Member」と「x230-10GP」が、物理的なロケーション「1F」に設置されているものとして、「AMF-Member」と「x230-10GP」の行の左端にあるチェックボックスにチェックを入れます。
ダイアログ下部の「登録」ボタンをクリックします。
「ポリシー設定」/「ロケーション追加」画面の「OpenFlow スイッチ / AMF メンバー」に、選択された「AMF-Member」と「x230-10GP」が表示されます。
「登録」ボタンをクリックします。
ロケーションが登録されると、新規に追加した情報が「ポリシー設定」/「ロケーション一覧」画面に表示されます。

スケジュールの登録

「ポリシー設定」/「スケジュール追加」画面から、スケジュールの登録を行います。

「ポリシー設定」/「スケジュール一覧」画面に移動します。

この画面には、AMF Securityに登録されているスケジュールの一覧が表示されます。この時点ではスケジュールは登録されていません。
「ポリシー設定」/「スケジュール一覧」画面の右上の「スケジュール追加」ボタンをクリックし、「ポリシー設定」/「スケジュール追加」画面に移動します。

スケジュールを設定することにより、デバイスが接続可能な期間を制御することができます。開始日時、終了日時を設定しない場合、制限がないものとして扱われます。

登録するスケジュールの情報を入力します。

ここでは、スケジュール「3月イベント」を登録する例として、次の情報を入力します。

表 5：設定データ
項目名	設定する情報	説明
スケジュール ID（必須項目）	3月イベント	スケジュールの名称です。既に使用されているスケジュールIDを設定することはできません。スケジュールIDは最大255文字で、英数字、記号以外に日本語も使用できます。
開始日時	2020-03-01 00:00:00	デバイスがネットワークに接続可能になる日時を設定します。カレンダーコントロールからの入力、または手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
終了日時	（空欄）	デバイスがネットワークに接続不可能になる日時を設定します。カレンダーコントロールからの入力、または手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
備考	3月営業会議	このスケジュールの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

終了日時が設定されていない場合、このスケジュールは、開始日時以降、無期限に有効となります。

「登録」ボタンをクリックします。
スケジュールが登録されると、新規に追加した情報が「ポリシー設定」/「スケジュール一覧」画面に表示されます。

デバイスの登録

AMF Securityは、管理するネットワークに接続可能なデバイスを登録することができます。
デバイスは「デバイス」/「デバイス追加」画面で登録することができます。

Note
セキュリティーポリシーを空欄にしたままデバイスを登録すると、デバイスは一時的にタグなしVLANに接続されます。既に利用者に配備済みのデバイスを登録する場合は、本ページに記載するように、デバイス情報の入力からセキュリティーポリシーの適用までを、一度に設定することをおすすめします。

「デバイス」/「デバイス一覧」画面に移動します。

この画面には、AMF Securityに登録されているデバイスの一覧が表示されます。この時点ではデバイスは登録されていません。
「デバイス」/「デバイス一覧」画面の右上の「デバイス追加」ボタンをクリックし、「デバイス」/「デバイス追加」画面に移動します。

この画面では、新規デバイスのデバイスID、そして必要な場合にはタグと備考を登録することができます。

登録するデバイスの情報を入力します。

ここでは、例として、次の情報を入力します。

表 6：設定データ
項目名	設定する情報	説明
デバイス ID（必須項目）	Device_1	AMF Securityに登録するデバイスのIDです。既に使用されているデバイスIDを設定することはできません。デバイスIDは最大255文字で、英数字、記号以外に日本語も使用できます。
タグ	User_A	デバイスIDとは別に、管理者がデバイスを識別しやすくするための名前として、タグを入力します（デバイスの利用者の名前など）。タグは最大255文字で、英数字、記号以外に日本語も使用できます。
備考	営業部所属	登録するデバイスに対して追加の説明やコメントがある場合に登録します。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

デバイスが持つインターフェースのMACアドレスを登録します。AMF Securityは、登録されていないMACアドレスからのネットワーク接続をすべて拒否します。
「インターフェース」欄の「追加」ボタンをクリックして、「デバイス」/「インターフェース編集」ダイアログを表示します。

Note
登録されていないデバイスに対して一時利用を許可するVLANセグメントを設定することもできます。この場合、別途「グループ」/「未認証グループ追加」画面で未認証グループの設定を行う必要があります。
インターフェースのMACアドレスと名称を登録します。
「登録」ボタンをクリックします。
「デバイス」/「デバイス追加」画面の「インターフェース」一覧に、設定したインターフェースのMACアドレスが表示されます。
デバイスにセキュリティーポリシーを適用します。
「ポリシー」欄の「追加」ボタンをクリックして、「デバイス」/「ポリシー編集」ダイアログを表示します。

各デバイスには、接続が許可されるネットワーク、ロケーション（場所）、スケジュール（期間）といったセキュリティーポリシーを設定します。
セキュリティーポリシーを設定しない場合、そのユーザーが所有するデバイスは、タグなしVLAN（VLANなしのネットワーク）に対し、すべての場所から常に接続可能になります。

Note
AMFメンバーに設定されているVLANにアクセス可能な場合、スイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。
セキュリティーポリシーの優先度を0～255の数字で入力します。
複数のセキュリティーポリシーが設定されている場合は、最も優先度の値が小さいセキュリティーポリシーから順に一致するかどうかの判定が行われます。
この例では、セキュリティーポリシーの優先度を10に設定します。
「ネットワーク」、「ロケーション」、「スケジュール」のドロップダウンリストに、先ほど登録した情報が一覧されています。ドロップダウンリストから、対象デバイスに割り当てるセキュリティーポリシーを選択します。
ドロップダウンリストには、登録されたネットワーク、ロケーション、スケジュールのうち100件までが表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列を含むセキュリティーポリシーが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から対象とするセキュリティーポリシーをクリックします。
この例では、ロケーション「1F」から、スケジュール「3月イベント」を満たす日時にアクセスした場合、ネットワーク「営業部」への接続が許可されます。
この時点で、ネットワーク、ロケーション、スケジュールとも、1件ずつしか登録されていないため絞り込みは不要です。それぞれのドロップダウンリストに表示されたセキュリティーポリシーをクリックして選択します。
ダイアログ下部の「登録」ボタンをクリックします。
「デバイス」/「デバイス一覧」画面の「ポリシー」一覧に、設定したセキュリティーポリシーが表示されます。
「登録」ボタンをクリックします。
デバイスが登録されると、新規に追加した情報が「デバイス」/「デバイス一覧」画面に表示されます。

基本的な設定の流れは以上です。

クイックツアー / 未認証グループによるゲストネットワークの提供

未認証グループとは

複数の未認証グループ登録時の判定順について

ここでは、AMF Securityに登録されていないデバイスに対して、特定のセキュリティーポリシーに従って、部分的なネットワークの利用を許可する方法を説明します。
AMF Securityに登録されていないデバイスに対してネットワークサービスを提供するには、未認証グループを設定します。

未認証グループとは

通常の認証に失敗したデバイスのうち、特定のロケーションおよびスケジュール条件に一致するものを未認証グループと呼び、専用のネットワークに接続します。
通常の認証に失敗したデバイスとは、次のようなものを指します。

AMF SecurityにMACアドレスが登録されていないデバイス
接続できるロケーションが一致しないデバイス（登録外のフロアからのアクセス、接続許可のないスイッチへのローミングなど）
接続できるスケジュールが一致しないデバイス（ネットワークの時間外利用、登録期限切れのデバイスからの接続など）

未認証グループをネットワークに接続するにあたって、接続を許可するロケーションやスケジュールを設定することができます。

ロケーションを設定した場合は、そのロケーションに登録されたOpenFlowスイッチおよびAMFメンバーからのみ接続が可能となります。ロケーションが選択されていない場合は、すべてのOpenFlowスイッチおよびAMFメンバーからアクセスが可能です。
スケジュールを設定した場合は、そのスケジュールに登録された期間のみ接続が可能となります。スケジュールが選択されていない場合はいつでもアクセスが可能です。

ロケーションとスケジュールの両方が設定されている場合は、両方の条件を満たすデバイスのみが専用ネットワークに接続できます。
デバイスが未認証グループとしてネットワークに接続している状態で、認証済みデバイスとしてのセキュリティーポリシーを満たす状態（スケジュールの開始時刻になるなど）になった場合、認証済みデバイスのネットワークに自動的に切り替わります。
ここでは、次のようなセキュリティーポリシーが設定されている場合を例として説明します。

表 1：デバイスに設定されているセキュリティーポリシー
スケジュール開始日時	スケジュール終了日時	ネットワーク
20XX-04-01 00:00:00	20XX-09-30 23:59:59	VLAN10

表 2：未認証グループに設定されているセキュリティーポリシー
スケジュール開始日時	スケジュール終了日時	ネットワーク
設定なし	設定なし	VLAN20

デバイスが「20XX-04-01 10:00:00」に接続する場合、OpenFlowスイッチには該当のデバイスのパケット制御フローが存在しません。この場合は、デバイスが接続されると認証が行われ、通常のデバイスのセキュリティーポリシーに一致するため、デバイスはVLAN10のネットワークに割り当てられます。
仮に、デバイスが「20XX-04-01 00:00:00」より前（例えば20XX-03-30 10:00:00）に接続すると、デバイスに設定されているセキュリティーポリシーには一致せず、未認証グループに設定されているセキュリティーポリシーに一致するため、デバイスはVLAN20のネットワークに割り当てられます。
その後、時間が経過して「20XX-04-01 00:00:00」になると、通常のデバイスに設定されているセキュリティーポリシーに一致するようになるため、デバイスはVLAN10のネットワークに割り当てられます。

複数の未認証グループ登録時の判定順について

複数の未認証グループが登録されており、その中にポリシーなしのものがある場合はその未認証グループは判定の対象になりませんのでご注意ください。ポリシーなし（ネットワーク、ロケーション、スケジュール）のものも判定の対象に含める場合には、優先度のみのポリシーを設定してください。
なお、未認証グループが1つでポリシーを登録する場合には、そのポリシーの優先度は任意の値を設定してください。また未認証グループが1つでポリシーが不要の場合は、ポリシーを設定する必要はありません（優先度のみのポリシーも不要です）。
上記は検出の未認証グループ（「端末の検出のみを行います。」チェックボックスにチェックが入っている場合）についても当てはまります。

未認証グループの追加

ここでは、クイックツアー「手動によるデバイスの追加」/「OpenFlowスイッチの登録」の手順に従った後、OpenFlowスイッチとして無線アクセスポイント「AT-TQ5403」、AMFメンバーとして「AMF-Member」を追加し、所定の期間中にこのOpenFlowスイッチを介して接続したデバイスに対して、ゲストネットワークを提供する例を考えます。

OpenFlowスイッチの登録

OpenFlowスイッチとしてAT-TQ5403を登録します。

「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面に移動します。
AMF Securityに登録する前の時点では、OpenFlowスイッチのスイッチIDは未登録と表示され、「登録」ボタンが表示されます。
ハードウェア情報欄に「AT-TQ5403」と表示されたOpenFlowスイッチのスイッチID欄の「登録」ボタンをクリックし、「スイッチ」/「OpenFlow スイッチ追加」画面を表示します。

スイッチID、アップストリームポートに指定したいOpenFlowポート番号またはポート名、備考を設定します。

Note
データパスIDはOpenFlowスイッチごとに異なる値が設定されるため、変更する必要はありません。

Note
所属させるアカウントグループIDは事前に設定が必要です。この章では、アカウントグループIDは設定しません。

ここでは、例として、次の情報を設定します。

表 3：設定データ
項目名	設定する情報	説明
スイッチ ID（必須項目）	AT-TQ5403（変更なし）	OpenFlowスイッチの名前です。「スイッチ」/「OpenFlow スイッチ一覧」画面および「スイッチ」/「AMF メンバー一覧」画面で、既に使用されているスイッチIDと名称を設定することはできません。スイッチIDは最大255文字で、英数字、記号以外に日本語も使用できます。ここでは「ハードウェア情報」の「AT-TQ5403」が自動入力されます。
Datapath ID（必須項目）	（変更なし）	OpenFlowスイッチのデータパスID（OpenFlowコントローラーが使用する識別子）です。通常はOpenFlowスイッチのMACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されるため、変更する必要はありません。自動設定されるデータパスIDはOpenFlowスイッチのMACアドレスの先頭にゼロを補完した16桁の16進数になります。なお、同じデータパスIDは複数登録できません。
アップストリームポート	eth1（変更なし）	OpenFlowスイッチのアップストリームポートを設定します。アップストリームポートは1つの装置につき1つのみ登録できます。ポートの指定は、ポート名とOpenFlowポート番号のどちらも使用できます。
アカウントグループ ID	（設定なし）	OpenFlowスイッチが所属するアカウントグループIDを選択します。
備考	#1F無線AP	このOpenFlowスイッチの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

Note
AMF SecurityとOpenFlowスイッチとでデータパスIDが一致していない場合は、OpenFlowポートでのパケット転送が停止します。

「登録」ボタンをクリックします。
OpenFlowスイッチが登録されると、新規に追加した情報が「スイッチ」/「OpenFlow スイッチ一覧」画面に表示されます。

AMFメンバーの登録

AMFメンバーとしてホスト名「AMF-Member_2」を登録します。

「スイッチ」/「接続中 AMF メンバー一覧」画面に移動します。
AMF Securityに登録する前の時点では、登録状況は未登録と表示され、「登録」ボタンが表示されます。
名称に「AMF-Member_2」と表示されたAMFメンバーの登録状況欄の「登録」ボタンをクリックし、「スイッチ」/「AMF メンバー追加」画面を表示します。

備考を設定します。

Note
所属させるアカウントグループIDは事前に設定が必要です。この章では、アカウントグループIDは設定しません。

ここでは、例として、次の情報を設定します。

表 4：設定データ
項目名	設定する情報	説明
名称（必須項目）	AMF-Member_2（変更なし）	AMFメンバーの名称です。「スイッチ」/「OpenFlow スイッチ一覧」画面および「スイッチ」/「AMF メンバー一覧」画面で、既に使用されているスイッチIDと名称を設定することはできません。名称は最大255文字で、使用可能な文字は半角英数字とハイフン（-）、アンダースコア（_）のみです。
アカウントグループ ID	（設定なし）	AMFメンバーが所属するアカウントグループIDを選択します。
備考	#1Fスイッチ	AMFメンバーの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

Note
AMFメンバーの管理はAMFメンバーのホスト名で行うため、名称はAMFメンバーのホスト名と同一にしてください。

「登録」ボタンをクリックします。
AMFメンバーが登録されると、新規に追加した情報が「スイッチ」/「AMF メンバー一覧」画面に表示されます。

ネットワークの登録

ゲストネットワークを他の業務ネットワークから切り離すため、ゲストネットワーク用のネットワークを登録します。

「ポリシー設定」/「ネットワーク一覧」画面に移動します。

この画面には、AMF Securityに登録されているネットワークの一覧が表示されます。
この時点ではネットワーク「営業部」（vlan123）が登録されています。
「ポリシー設定」/「ネットワーク一覧」画面の右上の「ネットワーク追加」ボタンをクリックし、「ポリシー設定」/「ネットワーク追加」画面に移動します。

この画面では、ネットワークの名前となるネットワークIDと、ネットワークに割り当てるVLAN IDが設定できます。
接続先ネットワークを設定することにより接続許可デバイスが接続されるVLANセグメントを制御できます。VLANセグメントへの接続制御は、接続許可デバイスが送信したパケットにVLANタグを付加することにより実現します。

登録するネットワークの情報を入力します。

ここでは、ネットワーク「ゲストネットワーク」を登録する例として、次の情報を入力します。

表 5：設定データ
項目名	設定する情報	説明
ネットワーク ID（必須項目）	来客用	ネットワークの名称です。既に使用されているネットワークIDを設定することはできません。ネットワークIDは最大255文字で、英数字、記号以外に日本語も使用できます。
VLAN ID（必須項目）	30	ネットワークのVLAN IDを設定します。既に登録済みのVLAN IDを別のネットワークに割り当てることはできません。 VLAN IDに0を設定するとVLANタグを付与しません。これはネットワーク設定を行わない状態と同じ動作になります。 VLAN IDの設定範囲は0～4094です。
備考	ゲストネットワーク	このネットワークの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

「登録」ボタンをクリックします。
ネットワークが登録されると、新規に追加した情報が「ポリシー設定」/「ネットワーク一覧」画面に表示されます。

ロケーションの登録

OpenFlowスイッチおよびAMFメンバーを設置しているロケーションを設定します。
ロケーションは、「ポリシー設定」/「ロケーション追加」画面から登録することができます。
今回は、新規ロケーション「1Fカンファレンスルーム」に対して、AMFメンバー「AMF-Member_2」を追加します。

「ポリシー設定」/「ロケーション一覧」画面に移動します。

この画面には、AMF Securityに登録されているロケーションの一覧が表示されます。この時点ではロケーション「1F」のみが登録されています。
「ポリシー設定」/「ロケーション一覧」画面の右上の「ロケーション追加」ボタンをクリックし、「ポリシー設定」/「ロケーション追加」画面に移動します。

登録するロケーションの情報を入力します。

ここでは、ロケーション「1Fカンファレンスルーム」を登録する例として、次の情報を入力します。

表 6：設定データ
項目名	設定する情報	説明
ロケーション ID（必須項目）	1Fカンファレンスルーム	ロケーションの名称です。既に使用されているロケーションIDを設定することはできません。ロケーションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
備考	1Fカンファレンスルーム	このロケーションの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

「OpenFlow スイッチ / AMF メンバー」の「選択」ボタンをクリックします。
「ポリシー設定」/「OpenFlowスイッチ / AMFメンバー」ダイアログに、登録済みのOpenFlowスイッチ「x230-10GP」「AT-TQ5403」、AMFメンバー「AMF-Member_2」が一覧表示されます。
このうち「AT-TQ5403」と「AMF-Member_2」が物理的なロケーション「1Fカンファレンスルーム」に設置されているものとして、「AT-TQ5403」と「AMF-Member_2」の行の左端にあるチェックボックスにチェックを入れます。
ダイアログ下部の「登録」ボタンをクリックします。
「ポリシー設定」/「ロケーション追加」画面の「OpenFlow スイッチ / AMF メンバー」に、選択されたスイッチ「x230-10GP」とAMFメンバー「AMF-Member_2」が表示されます。
「登録」ボタンをクリックします。
ロケーションが登録されると、新規に追加した情報が「ポリシー設定」/「ロケーション一覧」画面に表示されます。

スケジュールの登録

ゲストネットワークを提供する期間をスケジュールとして登録します。スケジュールを指定することで、この期間に限り、AMF Securityのデバイス認証データに登録のないMACアドレスからの接続を許可することができます。

「ポリシー設定」/「スケジュール一覧」画面に移動します。

この画面には、AMF Securityに登録されているスケジュールの一覧が表示されます。
この時点ではスケジュール「3月イベント」が登録されています。
「ポリシー設定」/「スケジュール一覧」画面の右上の「スケジュール追加」ボタンをクリックし、「ポリシー設定」/「スケジュール追加」画面に移動します。

スケジュールを設定することにより、デバイスが接続可能な期間を制御することができます。開始日時、終了日時を設定しない場合、制限がないものとして扱われます。

登録するスケジュールの情報を入力します。

ここでは、スケジュール「10月イベント」を登録する例として、次の情報を入力します。

表 7：設定データ
項目名	設定する情報	説明
スケジュール ID（必須項目）	10月イベント	スケジュールの名称です。既に使用されているスケジュールIDを設定することはできません。スケジュールIDは最大255文字で、英数字、記号以外に日本語も使用できます。
開始日時	2020-10-10 00:00:00	デバイスがネットワークに接続可能になる日時を設定します。カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
終了日時	2020-10-31 00:00:00	デバイスがネットワークに接続不可能になる日時を設定します。カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
備考	（空欄）	このスケジュールの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

「登録」ボタンをクリックします。
スケジュールが登録されると、新規に追加した情報が「ポリシー設定」/「スケジュール一覧」画面に表示されます。

未認証グループの登録

設定したセキュリティーポリシーに基づき、未認証グループを作成します。

「グループ」/「未認証グループ一覧」画面を表示します。
画面右上の「未認証グループ追加」ボタンをクリックし、「グループ」/「未認証グループ追加」画面を表示します。
「有効」チェックボックスにチェックが入っていることを確認します。
未認証グループのグループID、備考を入力します。
この例では、グループIDを「イベント来場者用」とし、備考は空欄とします。
「端末の検出のみを行います。」チェックボックスにチェックが入っていないことを確認します。
「端末の検出のみを行います。」チェックボックスにチェックが入っていると、未認証グループのセキュリティーポリシーに一致したMACアドレスは検出のみを行われ、ネットワークに接続するためのフローは作成されません。
ポリシーの「追加」ボタンをクリックして、「グループ」/「ポリシー編集」ダイアログを表示します。
セキュリティーポリシーの優先度を設定します。
ここでは、優先度を「30」に設定します。
未認証グループに適用するネットワークを設定します。
ここでは、ネットワークに「来客用」を指定します。
デバイスの検出条件となるセキュリティーポリシーを設定します。
ここでは、ロケーションに「1Fカンファレンスルーム」を、スケジュールに「10月イベント」を指定します。
「登録」ボタンをクリックして、「グループ」/「未認証グループ追加」画面に戻ります。
「グループ」/「未認証グループ追加」画面のポリシー欄に、ただ今作成したセキュリティーポリシーが表示されます。
「登録」ボタンをクリックして、「グループ」/「未認証グループ一覧」画面に戻ります。
以上の設定で、AMF Securityのデバイス認証データに登録されていないMACアドレスのうち、スケジュールに指定された2020/10/10～2020/10/31の間に「1Fカンファレンスルーム」の「AMF-Member_2」に接続したものを、未認証グループ「イベント来場者用」として、ネットワーク「来客用」（vlan30）に接続するようになります。
未認証グループに接続しているデバイスを確認するには、「デバイス」/「接続中デバイス一覧」画面を表示します。
AMF Security管理下のOpenFlowスイッチおよびAMFメンバーに接続しているデバイスのMACアドレスが一覧表示されます。
デバイスID欄には「group=イベント来場者用」が、接続中ネットワーク欄には「vlan=30 id=来客用」が表示されるようになります。また、状況欄には「認証済み」が表示されます。

クイックツアー / タグを使用した認証

ここでは、AMF Securityに登録されたデバイス ID（デバイス）に設定されているタグを使用した認証の設定方法を説明します。

タグを使用した認証とは

AMF Securityによる認証は、デバイス、未認証グループに設定されたセキュリティーポリシー（ポリシー）以外に、タグに設定されたポリシーで行うことができます。
通常は以下のようにAMF Securityのデバイスに端末（MACアドレス）を登録し、ポリシーを紐付けます。

表 1：デバイス ID（デバイス）の登録例
デバイス ID（1つ目）
デバイス ID	ユーザー1
インターフェース（MAC アドレス）	00:00:00:00:00:01 00:00:00:00:00:02
ポリシー	VLAN100
デバイス ID（2つ目）
デバイス ID	ユーザー2
インターフェース（MAC アドレス）	00:00:00:00:00:03 00:00:00:00:00:04 00:00:00:00:00:05
ポリシー	VLAN100

上記では「ユーザー1」が2台の端末、「ユーザー2」は3台の端末を所有しており、それぞれの端末はVLAN100に接続されます。
上記のようにユーザーが所有する端末を登録する方法で接続するネットワークを管理する場合、接続するネットワークを変更する場合は、各ユーザーの設定（ポリシー）を変更する必要があります。
このようなケースではタグを使用することで一括で変更することができます。

表 2：デバイス ID（デバイス）の登録例
デバイス ID（1つ目）
デバイス ID	ユーザー1
インターフェース（MAC アドレス）	00:00:00:00:00:01 00:00:00:00:00:02
ポリシー	なし
デバイス ID（2つ目）
デバイス ID	ユーザー2
インターフェース（MAC アドレス）	00:00:00:00:00:03 00:00:00:00:00:04 00:00:00:00:00:05
ポリシー	なし

表 3：タグの登録例
タグ
タグ	グループA
ポリシー	VLAN100

上記ではデバイスにポリシーを設定するのではなく、デバイスにはタグを設定し、別途作成したタグにポリシーを設定しています。
この場合、基本的な動作は同じですが、別途作成したタグのポリシーを変更することでユーザーが接続するネットワークを一括で変更することができます。
タグに設定するポリシーにはロケーション、スケジュールを設定することができるため、例えば場所（ロケーション）によって接続するネットワークが変更になる場合などでは、ポリシーのロケーションを設定することで実現できます。

Note
TQのAMFアプリケーションプロキシー機能では、ロケーションとスケジュールの項目は未サポートです。

タグの判定順について

タグに割り当てられているポリシーは優先度の値が小さい順に判定を行います。
複数のタグが登録されている場合は、各タグに割り当てられているポリシーの優先度の順で判定を行います。そのため各ポリシーには、異なる優先度を設定してください。
ポリシーなしのタグは、1つのみのタグ登録、複数のタグ登録を問わず判定の対象になりませんのでご注意ください。また、ネットワーク、ロケーション、スケジュールが不要の場合は優先度のみのポリシーを設定してください。

タグを使用した設定の例

ここでは、クイックツアー「タグを使用した認証」/「タグを使用した認証とは」に記載のケースを例に設定を行います。
AMF Securityに登録する端末の情報は以下を想定します。

ユーザー1（user_1）は2台の端末を所有（PC-1, PC-2）
ユーザー2（user_2）は3台の端末を所有（PC-3, PC-4, PC-5）
それぞれの端末はVLAN100に接続

AMF Securityに登録する認証データ（ネットワーク、デバイス、タグ）の概要は以下です。

端末が接続するネットワークはVLAN100
デバイスはユーザー1（user_1）とユーザー2（user_2）を登録
デバイスに共通のタグを設定する
デバイスにポリシーは設定しない
タグにポリシーを設定する（端末が接続するネットワークVLAN100を設定）

この設定によりデバイス「user_1」と「user_2」に登録されている5台の端末が接続するネットワークは、タグのポリシーの変更によって一括で変更されます。
例えば、5台の端末が接続するネットワークをVLAN100からVLAN101に変更する場合には、タグのポリシーでネットワークをVLAN101に変更するだけで可能です。

表 4：デバイス ID（デバイス）の設定データ
デバイス ID（1つ目）
デバイス ID	user_1
タグ	group_A
インターフェース
MAC アドレス	00:00:00:00:00:01
名称	PC-1
インターフェース
MAC アドレス	00:00:00:00:00:02
名称	PC-2
ポリシー	なし
デバイス ID（2つ目）
デバイス ID	user_2
タグ	group_A
インターフェース
MAC アドレス	00:00:00:00:00:03
名称	PC-3
インターフェース
MAC アドレス	00:00:00:00:00:04
名称	PC-4
インターフェース
MAC アドレス	00:00:00:00:00:05
名称	PC-5
ポリシー	なし

表 5：タグの設定データ
タグ
タグ	group_A
ポリシー	VLAN100

タグを使用した設定の流れ

設定の流れを次に示します。

「ポリシー設定」/「ネットワーク一覧」画面でネットワークを登録する
「グループ」/「タグ一覧」画面でタグを登録する
「デバイス」/「デバイス追加」画面でデバイスを登録する

ネットワークを登録する

接続先のネットワークを登録します。ネットワークは、「ポリシー設定」/「ネットワーク一覧」画面で登録することができます。

「ポリシー設定」/「ネットワーク一覧」画面に移動します。
「ポリシー設定」/「ネットワーク一覧」画面の右上の「ネットワーク追加」ボタンをクリックし、「ポリシー設定」/「ネットワーク追加」画面に移動します。
登録するネットワークの情報を入力します。

ここでは、次の情報を入力します。

表 6：設定データ
項目名設定する情報

ネットワーク ID VLAN100

VLAN ID 100

備考なし（空欄）
「登録」ボタンをクリックします。
ネットワークが登録されると、追加した情報が「ポリシー設定」/「ネットワーク一覧」画面に表示されます。

表 6：設定データ
項目名	設定する情報
ネットワーク ID	VLAN100
VLAN ID	100
備考	なし（空欄）

タグの登録

設定したポリシーに基づき、タグを登録します。タグは、「グループ」/「タグ一覧」画面で登録することができます。

「グループ」/「タグ一覧」画面に移動します。
画面右上の「タグ追加」ボタンをクリックし、「グループ」/「タグ追加」画面に移動します。
登録するタグの情報を入力します。

ここでは、次の情報を入力します。

表 7：設定データ
項目名設定する情報

タグ group_A

備考なし（空欄）
ポリシーの「追加」ボタンをクリックして、「グループ」/「ポリシー編集」ダイアログを表示します。

登録するポリシーの情報を入力します。

ここでは、次の情報を入力します。

表 8：設定データ
項目名	設定する情報
優先度	10
ネットワーク	VLAN100
ロケーション	なし（空欄）
スケジュール	なし（空欄）

「登録」ボタンをクリックして、「グループ」/「タグ追加」画面に戻ります。
「登録」ボタンをクリックします。
タグが登録されると、追加した情報が「グループ」/「タグ一覧」画面に表示されます。

デバイスの登録

AMF Securityにデバイス ID（デバイス）を登録します。デバイスは、「デバイス」/「デバイス追加」画面で登録することができます。

「デバイス」/「デバイス一覧」画面に移動します。
「デバイス」/「デバイス一覧」画面の右上の「デバイス追加」ボタンをクリックし、「デバイス」/「デバイス追加」画面に移動します。
この画面では、新規デバイスのデバイスID、タグを登録します。
登録するデバイスの情報を入力します。

ここでは、次の情報を入力します。

表 9：設定データ
項目名設定する情報

デバイス ID user_1

タグ group_A

備考なし（空欄）
デバイスが持つインターフェースのMACアドレスを登録します。AMF Securityは、登録されていないMACアドレスからのネットワーク接続をすべて拒否します。
「インターフェース」欄の「追加」ボタンをクリックして、「デバイス」/「インターフェース編集」ダイアログを表示します。
「ユーザー1（user_1）」の1台目の端末のMACアドレスと名称を登録します。

ここでは、次の情報を入力します。

表 10：設定データ
項目名設定する情報

MAC アドレス 00:00:00:00:00:01

名称 PC-1

備考なし（空欄）
「登録」ボタンをクリックします。
「デバイス」/「デバイス追加」画面の「インターフェース」一覧に、設定したインターフェースのMACアドレスが表示されます。
手順4～手順6と同じ手順で、もう1台の端末のMACアドレスと名称を登録します。

ここでは、次の情報を入力します。

表 11：設定データ
項目名設定する情報

MAC アドレス 00:00:00:00:00:02

名称 PC-2

備考なし（空欄）
本デバイス「user_1」にはポリシーを設定しないため、このまま「登録」ボタンをクリックします。

デバイスが登録されると、新規に追加した情報が「デバイス」/「デバイス一覧」画面に表示されます。

表 10：設定データ
項目名	設定する情報
MAC アドレス	00:00:00:00:00:01
名称	PC-1
備考	なし（空欄）

表 11：設定データ
項目名	設定する情報
MAC アドレス	00:00:00:00:00:02
名称	PC-2
備考	なし（空欄）

手順2～手順8と同じ手順で、「user_2」の「デバイス ID」も登録します。
なお「user_2」の「デバイス ID」に登録するタグは、「user_1」と共通の「group_A」を登録します。

表 12：設定データ
デバイス
項目名	設定する情報
デバイス ID	user_2
タグ	group_A ※ 「user_1」と共通
備考	なし（空欄）
インターフェース
項目名	設定する情報
MAC アドレス	00:00:00:00:00:03
名称	PC-3
備考	なし（空欄）
インターフェース
項目名	設定する情報
MAC アドレス	00:00:00:00:00:04
名称	PC-4
備考	なし（空欄）
インターフェース
項目名	設定する情報
MAC アドレス	00:00:00:00:00:05
名称	PC-5
備考	なし（空欄）

「デバイス」/「デバイス追加」画面
「デバイス」/「デバイス一覧」画面

設定は以上です。

クイックツアー / 一覧からのデバイス登録

IPアドレスによるデバイスの探索

接続中デバイス一覧からのデバイスの登録

新規デバイスにMACアドレスを関連付ける

既存のデバイスにMACアドレスを関連付ける

デバイスのフローエントリーを自動でOpenFlowスイッチに登録させる

未認証グループによるデバイスの検出

検出されたデバイスの登録

ここでは、AMF Security管理下のOpenFlowスイッチおよびAMFメンバーに対して物理的に接続しているデバイスを選択し、AMF Securityに登録する方法を説明します。

IPアドレスによるデバイスの探索

「デバイス」/「接続中デバイス一覧」画面では、AMF Security管理下のOpenFlowスイッチおよびAMFメンバーが受信したパケットからMACアドレスを参照し、検出されたデバイスを一覧に表示します。
しかし、一部のネットワーク機器（オフィス用複合機など）は定期的にパケットを送出しないため、「デバイス」/「接続中デバイス一覧」画面にMACアドレスが表示されない場合があります。
この場合にはデバイス探索機能を使用して、AMF SecurityはOpenFlowスイッチおよびAMFメンバーに対して、Probe ARPまたはARPを送信するように指示を出します。
OpenFlowスイッチおよびAMFメンバーは、Probe ARPまたARPに対する応答があった場合、AMF Securityに認証の問い合わせを行います。
AMF Securityは、OpenFlowスイッチおよびAMFメンバーからの問い合わせに記録されたMACアドレスを参照することで、デバイスを「デバイス」/「接続中デバイス一覧」画面に表示させることができます。

「デバイス」/「接続中デバイス一覧」画面を表示します。
画面右上の「デバイスの探索」ボタンをクリックし、「デバイス」/「デバイスの探索」ダイアログを表示します。
デバイス探索を行うIPv4アドレス、またはIPv4アドレス範囲を指定します。
IPv4アドレス範囲は、xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx（始点アドレス・終点アドレス）、または、xxx.xxx.xxx.xxx/xx（IPv4アドレスとサブネットマスク長）の形式で指定できます。

Note
デバイス探索の方法にARPを選択した場合は、送信元IPを指定します。送信元IPは、検索範囲と同一ネットワークのIPアドレスのうち、探索を行うネットワーク内で使用されていないものを指定してください。
始点アドレス・終点アドレスの指定は、IPアドレス数が4,094以下になるようにしてください。
サブネットマスク長の指定は、20～32ビットマスクの範囲で指定してください。
「検索」ボタンをクリックし、「デバイス」/「接続中デバイス一覧」画面に戻ります。

デバイスの探索は、OpenFlowスイッチでは指定したIPv4アドレスまたはIPv4アドレス範囲に対して3回行われ、AMFメンバーでは1回行われます。
デバイス探索の状況は、画面右上の「デバイス探索状況」欄に随時表示されます。
探索範囲内のデバイスから応答があった場合、「デバイス」/「接続中デバイス一覧」画面右上の「更新」ボタンをクリックすると、応答のあったMACアドレスが一覧に追加されます。デバイス探索によって検出されたデバイスは、既存のアクション、デバイス、未認証グループの各種セキュリティーポリシーに準じて処理され、いずれのセキュリティーポリシーにも一致しない場合は認証失敗となります。
この場合、クイックツアー「一覧からのデバイス登録」/「未認証グループによるデバイスの検出」の手順に従って、検出のみの未認証グループのセキュリティーポリシーを適切に設定することで、該当のデバイスを検出することができます。

接続中デバイス一覧からのデバイスの登録

「デバイス」/「接続中デバイス一覧」画面には、AMF Security管理下のOpenFlowスイッチおよびAMFメンバーに接続しているデバイスのMACアドレスが一覧表示されます。
「デバイス」/「接続中デバイス一覧」画面に表示されたMACアドレスがまだデバイスに関連付けられていない場合、新規デバイス、または、既存のデバイスのインターフェースとしてMACアドレスを関連付けることができます。

新規デバイスにMACアドレスを関連付ける

「デバイス」/「接続中デバイス一覧」画面を表示します。
OpenFlowスイッチに接続してパケットを送出しており、AMF Securityのデバイス認証データに登録のないデバイスのMACアドレスは、「認証失敗」として一覧に表示されています。
対象とする未登録のMACアドレスの、デバイスID欄の「登録」ボタンをクリックし、「デバイス」/「デバイス追加」ダイアログを表示します。
「デバイス」/「デバイス追加」ダイアログにて、「このMAC アドレスを新規デバイスとして登録します。」を選択して「登録」ボタンをクリックします。
「デバイス」/「デバイス追加」画面が表示されます。
インターフェース欄には、「デバイス」/「接続中デバイス一覧」画面で選択したMACアドレスが登録されます。
新規に登録するデバイスのデバイスID（必須項目）、タグ、備考を設定します。
必要に応じて、セキュリティーポリシーを設定することもできます。また、このデバイスの異なるインターフェースがあり、MACアドレスが判明している場合は、この時点でインターフェースを新規に追加することもできます。
「登録」ボタンをクリックします。
「デバイス」/「デバイス一覧」画面が表示されます。
登録したデバイスが新たに追加されました。

既存のデバイスにMACアドレスを関連付ける

接続中のMACアドレスが未登録で、どのデバイスのインターフェースのものか判明している場合、「デバイス」/「接続中デバイス一覧」画面から、該当のMACアドレスを既存のデバイスに関連付けることもできます。

「デバイス」/「接続中デバイス一覧」画面を表示します。
OpenFlowスイッチまたはAMFメンバーに接続してパケットを送出しており、AMF Securityのデバイス認証データに登録のないデバイスのMACアドレスは、「認証失敗」として一覧に表示されています。
対象とする未登録のMACアドレスの、デバイスID欄の「登録」ボタンをクリックし、「デバイス」/「デバイス追加」ダイアログを表示します。
「デバイス」/「デバイス追加」ダイアログにて、「このMAC アドレスを既存のデバイスに追加します。」を選択します。
該当のMACアドレスを登録するデバイスIDを指定します。
事前に登録されたデバイスIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をデバイスID、タグ、備考のいずれかに含むデバイスIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするデバイスIDをクリックします。
「登録」ボタンをクリックします。
「デバイス」/「デバイス更新」画面が表示されます。
インターフェース欄には、「デバイス」/「接続中デバイス一覧」画面で選択したMACアドレスが追加されます。
必要に応じて、デバイスID（必須項目）、タグ、備考、セキュリティーポリシーを設定することもできます。また、このデバイスの異なるインターフェースがあり、MACアドレスが判明している場合は、この時点でインターフェースを新規に追加することもできます。
「登録」ボタンをクリックします。
「デバイス」/「デバイス一覧」画面が表示されます。

デバイスのフローエントリーを自動でOpenFlowスイッチに登録させる

オフィス用複合機など自発的にパケットを送信しないデバイスに対して、OpenFlowスイッチ接続時にフローエントリーを自動で登録させることができます。
これにより、そのデバイスが自発的にパケットを送信しない場合でも認証済みの状態にすることができるため、他の端末からの通信が行えるようになります。

Note
端末から送信されるパケットを契機にした認証を行わないため、フローエントリーに合致するネットワークのブロードキャスト等が該当のOpenFlowポートから送信されるようになります。そのため、セキュリティー面の制限があることを考慮した上でご使用ください。

Note
フローエントリーを自動でOpenFlowスイッチに登録させるように設定したデバイスが、ポリシーに設定した以外のOpenFlowスイッチおよびOpenFlowポートに接続されてパケットを送信した場合には通常の認証が行われ、ポリシーに合致しないため認証失敗となります。その際に自動登録のフローエントリーは削除されるため、正しいOpenFlowスイッチおよびOpenFlowポートに接続し直しても状況が「認証失敗」のままとなり、通信が行えなくなる場合があります。通信が行えなくなった場合は、正しいOpenFlowスイッチおよびOpenFlowポートに接続し、クイックツアー「一覧からのデバイス登録」/「IPアドレスによるデバイスの探索」の手順に従って、デバイスの探索を行ってください。

「デバイス」/「接続中デバイス一覧」画面を表示します。

OpenFlowスイッチに接続してパケットを送出しており、AMF Securityのデバイス認証データに登録のないデバイスのMACアドレスは、「認証失敗」として一覧に表示されています。
パケットを自発的に送信しないデバイスの場合は、クイックツアー「一覧からのデバイス登録」/「IPアドレスによるデバイスの探索」の手順に従って、デバイスを表示させます。
該当のMACアドレスを持つインターフェースが接続しているOpenFlowスイッチのスイッチIDが登録されている場合、デバイスID欄に「固定登録」ボタンが表示されます。
対象とする未登録のMACアドレスの、デバイスID欄の「固定登録」ボタンをクリックします。
「デバイス」/「デバイス追加」画面が表示されます。
インターフェース欄には、「デバイス」/「接続中デバイス一覧」画面で選択したMACアドレスが登録されます。
ポリシーのロケーション欄には、該当のMACアドレスが接続されているOpenFlowスイッチのスイッチIDとスイッチポート、および「フローの有効期限を無限にします。」が自動で設定されます。

Note
OpenFlowスイッチのスイッチIDとスイッチポート、および「フローの有効期限を無限にします。」がすべて設定されているデバイスが、フローエントリーを自動で登録させる対象になります。
「デバイス」/「デバイス追加」画面で手動で入力した場合も、フローエントリーの自動登録の対象になります。
新規に登録するデバイスのデバイスID（必須項目）、タグ、備考を設定します。
また、必要に応じて、別の既知のインターフェースのMACアドレスやセキュリティーポリシーを設定することもできます。
「登録」ボタンをクリックします。
「デバイス」/「デバイス一覧」画面が表示されます。

未認証グループによるデバイスの検出

AMF Security管理下のOpenFlowスイッチまたはAMFメンバーに接続しているデバイスが多数ある場合、未認証グループの機能を利用して、特定のロケーションおよびスケジュール条件に一致するものを未認証グループにまとめ、識別することができます。
検出を有効にした未認証グループのセキュリティーポリシーに一致するMACアドレスは、「デバイス」/「接続中デバイス一覧」画面において、デバイスID欄に該当の未認証グループのグループIDが、状況欄には「検出」が表示されます。
この際、該当の未認証グループからのネットワークの接続は行いません。AMFアプリケーションプロキシー機能のTQも上記の未認証グループの機能は使用できますが、ロケーションとスケジュールの項目は未サポートです。

「グループ」/「未認証グループ一覧」画面を表示します。
画面右上の「未認証グループ追加」ボタンをクリックし、「グループ」/「未認証グループ追加」画面を表示します。
「有効」チェックボックスにチェックが入っていることを確認します。
未認証グループのグループID、備考を入力します。
この例では、グループIDを「1F 未認証端末」とし、備考は空欄とします。
「端末の検出のみを行います。」チェックボックスをクリックしてチェックを入れます。
ポリシーの「追加」ボタンをクリックして、「グループ」/「ポリシー編集」ダイアログを表示します。
セキュリティーポリシーの優先度を設定します。
ここでは、優先度を「10」に設定します。
今回は検出のみを行うため、ネットワークは空欄のままにします。

Note
「端末の検出のみを行います。」チェックボックスにチェックが入っていない場合、ネットワークを空欄にすると、デバイスはOpenFlowスイッチではタグなしVLAN（VLANなしのサブネット）、AMFメンバーの場合はAMFメンバーに設定されているVLANに接続されます。タグなしVLANにアクセス可能な場合、スイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。AMFアプリケーションプロキシー機能のTQでは、TQの設定に依存します。
詳細は、クイックツアー「AMF Securityについて」/「TQのAMFアプリケーションプロキシー機能」の「TQのダイナミック VLAN使用時の動作」をご参照ください。
デバイスの検出条件となるセキュリティーポリシーを設定します。
ここでは、ロケーションに「1F」を指定します。
AMF Securityのデバイス認証データに登録されていないMACアドレスのうち、ロケーション「1F」のいずれかのOpenFlowスイッチまたはAMFメンバーに接続されたものを、未認証グループ「1F 未認証端末」として検出します。
「登録」ボタンをクリックして、「グループ」/「未認証グループ追加」画面に戻ります。
「登録」ボタンをクリックして、「グループ」/「未認証グループ一覧」画面に戻ります。
「デバイス」/「接続中デバイス一覧」画面を表示します。
AMF Security管理下のOpenFlowスイッチおよびAMFメンバーに接続しているデバイスのMACアドレスが一覧表示されます。
AMF Securityのデバイス認証データに登録されていないMACアドレスのうち、ロケーション「1F」のいずれかのOpenFlowスイッチまたはAMFメンバーに接続されたものは、状況欄に「検出」が表示されるようになりました。
「デバイス」/「接続中デバイス一覧」画面の状況ドロップダウンメニューから「検出」を選択します。
AMF Securityのデバイス認証データに登録されていないMACアドレスのうち、状況が「検出」となっているMACアドレス、すなわち、ロケーション「1F」のいずれかのOpenFlowスイッチまたはAMFメンバーに接続されたもののみが一覧表示されます。
クイックツアー「一覧からのデバイス登録」/「接続中デバイス一覧からのデバイスの登録」の手順に従って、必要なデバイスをAMF Securityに登録します。

検出されたデバイスの登録

上記の未認証グループやIPアドレス探索を利用して、「デバイス」/「接続中デバイス一覧」画面に表示された機器は、クイックツアー「一覧からのデバイス登録」/「接続中デバイス一覧からのデバイスの登録」の手順に従って、正規に接続されたデバイスとして登録することができます。
また、多数のデバイスが検出された場合は、上記の手順による登録のほか、「デバイス」/「接続中デバイス一覧」画面の機器をCSVファイルにエクスポートし、CSVファイルを編集して、AMF Securityにインポートすることもできます。
詳しくは、付録「CSVを利用した認証データの作成」をご覧ください。

クイックツアー / アクションの登録

アクションとは

アクションの登録

アクションとは

AMF Securityには、デバイス認証データや未認証グループによる処理とは別に、特定の条件を満たすデバイスを個別に隔離、遮断、または、デバイス認証データの登録と異なるネットワークへの接続を行う、アクションと呼ばれる認証ルールがあります。
連携アプリケーションを利用する場合は、連携アプリケーションによる指示に基づいてアクションが動的に生成、処理されます。
また、連携アプリケーションを介さず、アクションを個別に作成することもできます。
OpenFlowではいずれの場合も、アクションはデバイス認証データや未認証グループより優先して処理されます。
AW+のAMFアプリケーションプロキシーでは、アクションが登録された際にプロキシーノードへ通知され、プロキシーノード、エッジノード側で処理されます。
TQのAMFアプリケーションプロキシーでは、OpenFlowと同様にアクションはデバイス認証データや未認証グループより優先して処理されます。
アクションの条件には、以下の項目を指定できます。

デバイスMACアドレス
デバイスIPv4アドレス
デバイス
デバイスタグ
ロケーション
OpenFlowスイッチ
接続中ネットワーク

条件を満たした場合、OpenFlowおよびTQのAMFアプリケーションプロキシー機能では、デバイスの接続を通過（許可）、隔離、破棄（遮断）のうち、指定されたOpenFlow/TQアクションを実行します。この際、通過先、または隔離先のVLAN IDを指定できます。
AW+のAMFアプリケーションプロキシーブラックリスト機能では、AMFアクションがプロキシーノードへ通知されます。

デバイスMACアドレスを指定 → 指定したMACアドレスをAMFマスターに送信
デバイスIPv4アドレスを指定 → 指定したIPv4アドレスをAMFマスターに送信
デバイスMACアドレスとデバイスIPv4アドレスを指定 → 指定したIPv4アドレスのみをAMFマスターに送信
デバイスまたはデバイスタグを指定 → 該当するデバイスに紐付けられたMACアドレスをAMFマスターに送信

AMFアクションに「IPフィルター」を指定する場合は、デバイスIPv4アドレスの指定が必要です。

アクションの登録

アクションを個別に作成する場合の例を示します。
アクションの登録は、「ポリシー設定」/「アクション追加」画面にて行います。
今回は、未認証グループにゲストネットワークを提供するOpenFlowスイッチ「AT-TQ4400」に接続されたMACアドレス「00:00:5E:00:53:01」のデバイスから不審なパケットの送出があったため、このデバイスの通信を遮断する場合を例にします。

「ポリシー設定」/「アクション一覧」画面に移動します。

この画面には、AMF Securityに登録されているアクションの一覧が表示されます。この時点ではアクションは登録されていません。
「ポリシー設定」/「アクション一覧」画面の右上の「アクション追加」ボタンをクリックし、「ポリシー設定」/「アクション追加」画面に移動します。

登録するアクションの情報を入力します。

ここでは、例として、次の情報を入力します。

表 1：設定データ
項目名	設定する情報	説明
アクション ID（必須項目）	不審デバイス遮断	AMF Securityに登録するアクションのIDです。既に使用されているアクションIDを設定することはできません。アクションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
優先度	10	アクションの優先度です。1～65535の数字で入力します。同時に条件を満たすアクションが存在する場合、より小さい値が割り当てられたアクションが優先して適用されます。値を省略した場合は10が設定されます。
原因	ポートスキャン	アクションの原因、適用理由など、管理上の情報を登録します。原因は最大255文字で、英数字、記号以外に日本語も使用できます。

アクションの条件を入力します。

ここでは、例として、デバイスのMACアドレスを条件に指定します。

表 2：設定データ：条件
項目名	設定する情報	説明
デバイス MAC アドレス	00:00:5E:00:53:01	アクションの対象とするデバイスのユニキャストMACアドレスを指定します。 MACアドレスの表記として使用可能なフォーマットは下記となります。 xx:xx:xx:xx:xx:xx, xx-xx-xx-xx-xx-xx, xxxx.xxxx.xxxx
デバイス IPv4 アドレス	（空欄）	アクションの対象とするデバイスのユニキャストIPv4アドレスを指定します。
デバイス	（空欄）	アクションの対象とするデバイスIDを指定します。事前に登録されたデバイスIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をデバイスID、タグ、備考のいずれかに含むデバイスIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするデバイスIDをクリックします。
デバイスタグ	（空欄）	アクションの対象とする、デバイスに設定されたタグを入力します。
ロケーション	（空欄）	アクションの対象とするロケーションIDです。事前に登録されたロケーションIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をロケーションIDまたは備考のいずれかに含むロケーションIDが、100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするロケーションIDをクリックします。
OpenFlow スイッチ	（空欄）	アクションの対象とするスイッチIDです。事前に登録されたスイッチIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をスイッチID、Datapath ID、アップストリームポート、備考のいずれかに含むスイッチIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするスイッチIDをクリックします。
接続中ネットワーク	（空欄）	アクションの対象とするネットワークIDです。事前に登録されたネットワークIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をネットワークID、VLAN ID、備考のいずれかに含むネットワークIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするネットワークIDをクリックします。

条件を満たした際に実行するアクションを入力します。
ここでは、該当のデバイスからの通信を破棄しますので、通過/隔離VLAN IDの指定は不要です。
また、AMFアプリケーションプロキシー機能は使用していないため、AMFアクションは「AMF 依存」のままにします。

表 3：設定データ：アクション
項目名	設定する情報	説明
OpenFlow/TQ アクション	破棄(遮断)	対象のデバイスに適用するOpenFlow/TQのAMFアプリケーションプロキシーアクションの内容です。・通過(許可)：デバイスの通信を許可します。・隔離：隔離ネットワークに接続します。・破棄(遮断)：デバイスからのパケットを破棄し、通信を遮断します。・ログ： AMF Securityからはアクションを通知せず、該当デバイスの通信制御は行われません。該当デバイスのログのみを出力します。・リダイレクトURL：該当デバイスにリダイレクトURLのアクションを適用し、隔離ネットワークに接続します。本アクションはTQのAMFアプリケーションプロキシーのみでサポート、OpenFlowでは未サポートです。
通過/隔離 VLAN ID	（空欄）	対象のデバイスのパケットを通過、または、隔離するVLAN IDです。
AMF アクション	AMF 依存	AW+のAMFアプリケーションプロキシー機能を使用して、該当デバイスの通信遮断を指示する際のアクションの内容です。・AMF 依存： AMF Securityからはアクションを通知せず、AMF機器側の設定に依存します。・隔離：該当デバイスを隔離用VLANに移動します。・パケット破棄：該当デバイスの通信をレイヤー2（MACレベル）で破棄します。・リンクダウン：該当デバイスが接続されているポートを無効化します。・IPフィルター：該当デバイスの通信をレイヤー3（IPレベル）で破棄します。・ログ： AMF Securityからログのアクションを通知しますが、該当デバイスの通信制御は行わずログのみを出力します。

Note
「隔離」アクションの動作は、お使いのAlliedWare Plus機器（エッジノード）の設定、ファームウェアバージョンによって動作が異なります。

・バージョン 5.5.0-2.x 以降でポート認証（AMFアプリケーションプロキシーホワイトリストを含む）のマルチプルダイナミックVLANとAMFアプリケーションプロキシーブラックリストを併用している場合：該当デバイスのMACアドレスのみを隔離用VLANに移動します。

・上記以外の場合：該当デバイスが接続されているポートを隔離用VLANに移動します。

Note
バージョン 5.5.0-2.x よりも前のバージョンでは隔離アクションとポート認証（AMFアプリケーションプロキシーホワイトリストを含む）を同一ポート上で併用する場合、ダイナミックVLANは使用できません。

「登録」ボタンをクリックします。
アクションが登録されると、新規に追加した情報が「ポリシー設定」/「アクション一覧」画面に表示されます。

設定は以上です。
この例のアクションを有効にすると、以後、アクションを削除するか、より優先度の高いアクションで接続が許可されない限り、該当のMACアドレスからの通信はすべて破棄されます。

クイックツアー / アカウントグループ

アカウントグループとは

アカウントグループの作成

アカウントの作成

アカウントグループを使ったデバイス管理の例

デバイスの登録

ここでは、複数のアカウントを作成し、複数のアカウントグループで管理する方法について説明します。

アカウントグループとは

アカウントは、認証データベース編集の可否、システム設定変更の可否の権限を分けることができますので、システム管理者と一般ユーザーを分けて登録できます。
アカウントグループは、アカウントおよびスイッチ（OpenFlowスイッチおよびAMFメンバー）に関連付けを行います。アカウントグループごとに、管理できるOpenFlowスイッチおよびAMFメンバー、その管理下のデバイスを表示することができます。
アカウントグループを使うことで、管理対象となるスイッチや、そのスイッチに接続しているデバイスが明確になるだけでなく、管理対象外のスイッチなどを表示できませんのでセキュリティーも強化できます。

アカウントグループの作成

アカウントグループには、以下の項目を設定できます。

アカウントグループID
備考

Note
初期設定のアカウントグループはありません。アカウントグループを作成しないと、アカウント作成やデバイス登録の際に「アカウントグループID」を選択できません。

アカウントグループの作成方法については、「システム設定」/「アカウントグループ一覧」をご覧ください。

アカウントの作成

アカウントには、以下の項目を設定できます。

アカウント名
パスワード
メールアドレス
アカウントグループID（アカウントグループを作成した場合に選択できます）
認証データベースの編集の可否
システム設定の変更の可否

初期設定の「アカウント名」は「manager」（変更不可）、「パスワード」は「friend」、「アカウントグループID」は未設定、認証データベースの編集は可能（変更不可）、システム設定の変更は可能（変更不可）で、AMF Securityの全権限があります。また、「manager」を削除することはできません。

Note
初期設定の「manager」を含め、「システム設定の変更を許可する。」チェックボックスにチェックが入ったすべてのアカウントのパスワードを忘れた場合、AT-VST-VRTの設定画面でAMF Securityアプリケーションの初期化（削除→再作成）が必要となります。パスワードは大切に管理してください。
なお、操作方法は弊社ホームページに掲載されている「AT-VST-VRT リファレンスマニュアル」をご参照ください。

Note
アカウントにメールアドレスを登録して、「システム設定」/「メール通知設定」画面でメール通知の設定を行っておくことで、パスワードを忘れた場合にメールによるパスワードの復旧が可能です。
メールによるパスワードの復旧手順については、付録「パスワードを忘れた場合」を参照してください。

Note
初期設定の「manager」やネットワーク全体を管理するために作成したアカウントには、アカウントグループを設定しないことをおすすめします。

アカウントの作成方法については、「システム設定」/「アカウント一覧」をご覧ください。

アカウントグループを使ったデバイス管理の例

登録したアカウントグループは、アカウントおよびスイッチ（OpenFlowスイッチおよびAMFメンバー）に関連付けを行います。
以下の画面では、ログインしたアカウントに設定されているアカウントグループと同じアカウントグループが設定されたスイッチ、およびそのスイッチに接続しているデバイスのみが表示されます。

「デバイス」/「接続中デバイス一覧」画面
「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面
「スイッチ」/「接続中 AMF メンバー一覧」画面

例えば、マシンルームにAMFマスター（AT-x930）が1台あり、フロアごとにAMFメンバー（AT-x510）が1台ある構成で、階ごとにアカウントグループを作成する場合を例に説明します。
■ アカウント名とアカウントグループの作成

表 1：設定データ
アカウント名	アカウントグループ	スイッチ / 設置場所
manager	なし（設定しない）	すべてのスイッチ / マシンルーム
1F_admin 1F_user	group_1	AMFメンバー（AT-x510_1F）/ 1階
2F_admin 2F_user	group_2	AMFメンバー（AT-x510_2F）/ 2階

■ 各スイッチに関連付けるアカウントグループ

表 2：設定データ
スイッチ	アカウントグループ
AMFマスター（AT-x930）	admin_group
AMFメンバー（AT-x510_1F）	group_1
AMFメンバー（AT-x510_2F）	group_2

この場合、「デバイス」/「接続中デバイス一覧」画面の表示例は次のようになります。

「manager」アカウント（アカウントグループなし）でログインした場合
「group_1」に所属する「1F_admin」アカウントでログインした場合

上記のように、登録したスイッチにアカウントグループを関連付けることで、ログインしたユーザーによって表示できるスイッチが異なり、管理対象となるスイッチや、そのスイッチに接続しているデバイスが明確になります。
なお、「スイッチ」/「接続中 AMF メンバー一覧」画面および「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面でも同様に関連付けされたスイッチが表示されますが、上記の例で全体を管理するシステム管理者のアカウント「manager」にはアカウントグループを未設定、およびAMFマスター（AT-x930）にフロアごとのAMFメンバーとは異なるアカウントグループ「admin_group」を設定することで、「manager」アカウントのみでAMFマスター（AT-x930）が表示されるようになります。

デバイスの登録

デバイスの登録方法は、クイックツアーの各項目を参照してください。
デバイスの追加または編集の画面で「アカウントグループID」を選択することで、そのデバイスと「アカウントグループID」を関連付けることができます。
「スイッチ」/「AMF メンバー追加」画面の例を示します。

Note
「アカウントグループID」が関連付けられたデバイスは、その「アカウントグループID」に所属するアカウントまたは「manager」（アカウントグループなし）でログインしないと表示されなくなります。誤って別の「アカウントグループID」を登録しないようにご注意ください。

クイックツアー / AMF Securityの同期

AMF Securityに機器障害が発生し、新しいAMF Securityに機器を交換した場合

経路断等や同期用のリンク（通信）のみが途絶後に復旧して、同期の再開が行えなかった場合

「データベース同期」項目の「自身」が「ダウン」と表示されている場合

「認証データ」の状態が「認証データベースの同期待ち状態です。」と表示されている場合

プライマリとセカンダリを入れ替える場合

同期の設定の無効化

AMF Securityの停止・起動の手順

AMF Securityアプリケーションの停止の手順

AMF Securityアプリケーションの起動の手順

2つのAT-VST-VRTを用意し、AMF Securityの認証データ（認証データベース）を同期することで、ネットワークの制御に冗長性を持たせることができます。
同期されたAMF Securityは、一方をプライマリ、もう一方をセカンダリと呼び、プライマリのAMF Securityのデータベースが、セカンダリのAMF Securityのデータベースにコピーされます。
設定はプライマリおよびセカンダリ両方のAMF Securityに対して行います。「データベース同期ノード設定」ダイアログで、両方のAMF SecurityのIPアドレスを指定して、プライマリまたはセカンダリのどちらにするかを選択します。
同期されるデータベースの情報は次のとおりです。

デバイス
未認証グループ
タグ
スイッチ
セキュリティーポリシー
- ネットワーク
- ロケーション
- スケジュール
- アクション
アカウントグループ

Note
「デバイス」/「接続中デバイス一覧」画面、「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面の内容は、実際に管理中のOpenFlowスイッチからの情報を取得し、表示します。このため、設定によっては、同期中のAMF Securityの設定画面にて、上記の内容が異なって表示される場合があります。

Note
AMF Securityの冗長構成は、AMFアプリケーションプロキシーホワイトリスト機能では未サポートです。

Note
認証済みの端末が別のポートに移動した場合などでOpenFlowのパケット制御フロー（フローエントリー）の更新が行われた際に、フローエントリーが削除されたことを示すログが複数記録される場合がありますが、認証の動作に影響はありません。

Note
データベース同期の設定は、「システム設定」/「システム情報」画面でエクスポート（ダウンロード）したファイルに含まれません。そのため、システム設定のファイルをインポートした後は、再度データベース同期の設定を行ってください。

Note
2つのAMF Securityは、同じNTPサーバーに時刻を同期している必要があります。NTPサーバーの設定は、AT-VST-VRTの設定画面で行います。設定方法は、弊社ホームページに掲載されている「AT-VST-VRT リファレンスマニュアル」をご参照ください。
また、2つのAMF Securityのタイムゾーンも、同じ設定である必要があります。

Note
認証データベースの同期開始後にシステム時刻が大きく変更された場合、認証データの変更を行えなくなることがあります。
この場合、各システムの認証データベースの同期を無効にして、システム時刻を正しく合わせた後に再度同期を有効にすることで復旧します。

同期に必要な要件

AMF Securityの同期を行う場合に必要な要件は次のとおりです。

2つのAT-VST-VRTを使用します。セカンダリに使用するAT-VST-VRTでは、AMF Securityアプリケーションの使用のみサポートしています。そのため、AT-VST-VRTの設定画面でAMF Securityアプリケーション以外を停止する必要があります。
AT-VST-VRTでのアプリケーションの停止方法については、弊社ホームページに掲載されている「AT-VST-VRT リファレンスマニュアル」の「クイックツアー」/「アプリケーションの設定と起動」をご参照ください。
同期に使用する2つのAT-VST-VRTおよびAMF Securityが、互いに疎通可能なIPv4セグメントに接続されている必要があります。
同期に使用するインターフェースは、OpenFlowスイッチとの接続に使用するインターフェース（コントロールプレーンポート兼管理用ポート）と共用になります。
2つのAMF Securityは、同じシステム設定を行っている必要があります。システム設定は同期によってコピーされません。
2つのAT-VST-VRTは、同じNTPサーバーに時刻を同期している必要があります。また、2つのAMF Securityのタイムゾーンも、同じ設定である必要があります。

また、あわせて、周辺の機器に対して、以下の設定を行うことをおすすめします。

管理下のOpenFlowスイッチに対して、OpenFlowコントローラーとして、2つのAMF SecurityのIPアドレスを設定してください。
一方のAMF SecurityのみをOpenFlowコントローラーとして指定している場合、2つのAMF Security間で、「デバイス」/「接続中デバイス一覧」画面、「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面の内容が異なって表示される場合があります。
連携アプリケーションを使用する場合は、SyslogメッセージまたはSNMPトラップの通知先として、2つのAMF SecurityのIPアドレスを設定してください。
一方のAMF SecurityのみをSyslogメッセージ/SNMPトラップの通知先に指定している場合、障害が発生すると、連携アプリケーションによるアクションの更新が正常に行われなくなることがあります。
通知先を1つしか設定できない場合は、その通知先のAMF Securityに「システム設定」/「トラップ監視設定」画面の「Syslog 転送先ホスト」「SNMP Trap 転送先ホスト」を設定しておくことで、アクションが更新できないケースを軽減することができます。

同期の設定

同期の設定はセカンダリで使用する機器、その後にプライマリで使用する機器の順で行います。

Note
同期の前に、必要に応じて、それぞれのAMF Securityにて、認証データのダウンロードを行いバックアップを作成しておくことをおすすめします。

2つのAMF Securityが疎通可能な状態にします。
セカンダリで使用するAMF Securityで、「システム設定」/「ネットワーク設定」画面を表示して、「データベース同期」項目の「有効化」ボタンをクリックします。
「データベース同期ノード設定」ダイアログが表示されます。
「自身の IPv4 アドレス」および「同期先 IPv4 アドレス」を入力して、「セカンダリとして有効化」ボタンをクリックします。
「OK」ボタンをクリックします。

Note
「OK」ボタンをクリック後、手順6のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。
メッセージが表示された後、AMF Securityが再起動しますので、再度AMF Securityにログインします。
ログイン後、「システム設定」/「ネットワーク設定」画面が表示されます。「データベース同期」項目に設定が反映されたことを確認します。
（この時点では、プライマリの設定をしていないため、同期先の「状態」項目は「ダウン」と表示されています。）

手順4の画面で「セカンダリとして有効化」の設定を行いましたので、もう1つのAMF Securityで「プライマリとして有効化」の設定を行ってください。
同期後は、AMF Securityの設定画面にログインすると、「manager@sesc /同期中 (プライマリ)」「manager@sesc /同期中 (セカンダリ)」のように、画面右上のホスト名に続いて、同期状態が表示されるようになります。
また、「システム設定」/「システム情報」画面の「データベース同期」項目にも同様に「同期中 (プライマリ)」などの同期状態が表示されます。

同期に障害が発生した場合

同期に障害が発生した場合、AMF Securityは以下のようにプライマリまたはセカンダリを決定します。

プライマリに電源断などの障害が発生してセカンダリのみの状態になった場合、セカンダリのAMF Securityは自動的にプライマリに昇格し、OpenFlowスイッチに対する管理を引き継ぎます。
2つのAMF Securityが正常に動作したまま同期用のリンク（通信）のみが途絶した場合は、それぞれがプライマリとして（セカンダリはプライマリに昇格して）、OpenFlowスイッチの管理を行います。この際、Web設定画面から設定を変更したり、一方のシステムのみにSyslogメッセージまたはSNMPトラップが通知されたりしない限りは、2つのAMF Securityが同じ情報に基づいてデバイスのフローを決定します。
セカンダリに電源断などの障害が発生した場合は、プライマリのAMF Securityが継続してOpenFlowスイッチに対する管理を行います。

障害からの復旧時

障害から復旧した際、対向の電源断によってセカンダリからプライマリに昇格したAMF Securityが存在する場合、そのAMF Securityがプライマリを継続します。
セカンダリに電源断などの障害が発生し、復旧した場合は、プライマリとセカンダリの変更は発生しません。
2つのAMF Securityが正常に動作したままネットワークの経路断等が発生した場合や、同期用のリンク（通信）のみが途絶しそれぞれがプライマリとして動作していた場合は、障害から復旧した際にプライマリとセカンダリが入れ替わることがあります。
また、一方のAMF Securityに機器障害が発生し、新しいAMF Securityに機器を交換した場合などは、同期の再開が行えないことがあります。
同期の再開が行えなかった場合に、復旧する手順を以下に示します。

Note
交換用のAMF Securityに対して、以前のAMF Securityと同様のシステム設定を設定しておく必要があります。

AMF Securityに機器障害が発生し、新しいAMF Securityに機器を交換した場合

次の手順で復旧します。

プライマリとして動作中のAMF Securityの設定画面で、「システム設定」/「システム情報」画面を表示します。
「認証データ」の「エクスポート」ボタンをクリックし、認証データをダウンロードします。
「システム設定」/「ネットワーク設定」画面を表示します。
「データベース同期」の「無効化」ボタンをクリックします。
「OK」ボタンをクリックします。

Note
「OK」ボタンをクリック後、画面上部に「ネットワーク設定を更新しました。設定を反映させるため、30秒後にログアウトします。」のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。
クイックツアー「AMF Securityの同期」/「同期の設定」の手順に従って、2つのAMF Securityに同期の設定を行います。

Note
同期の際、プライマリとして動作していたAMF Securityの認証データが消去されることがあります。
再同期後、プライマリのAMF Securityの設定画面で、「システム設定」/「システム情報」画面を表示します。
「認証データ」の「インポート」ボタンをクリックして、「認証データのアップロード」画面を開きます。
「ファイルを選択」ボタンをクリックし、手順2でダウンロードした認証データ（CSV形式）を選択して、「登録」ボタンをクリックします。

復旧手順は以上です。

経路断等や同期用のリンク（通信）のみが途絶後に復旧して、同期の再開が行えなかった場合

2つのAMF Securityの状態を確認し、「システム設定」/「ネットワーク設定」画面の「データベース同期」の「再接続」ボタンで復旧を行います。
同期の状態はそれぞれのAMF Securityで以下の2点を確認します。

「システム設定」/「ネットワーク設定」画面の「データベース同期」項目の「自身」と「同期先」の状態
「システム設定」/「システム情報」画面の「認証データ」の状態

「データベース同期」項目の「自身」が「ダウン」と表示されている場合

次の手順で復旧します。

「データベース同期」項目の「自身」が「ダウン」と表示されているAMF Securityの「システム設定」/「ネットワーク設定」画面を表示します。
「データベース同期」の「再接続」ボタンをクリックします。
「データベース同期ノード再接続」ダイアログが表示されます。
「セカンダリとして再接続」ボタンをクリックします。
「OK」ボタンをクリックします。

Note
「OK」ボタンをクリック後、画面上部に「ネットワーク設定を更新しました。設定を反映させるため、30秒後にログアウトします。」のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。
メッセージが表示された後、AMF Securityが再起動しますので、再度AMF Securityにログインします。
ログイン後、「システム設定」/「ネットワーク設定」画面が表示されます。「データベース同期」項目の表示が以下のようになっていることを確認します。
もう1つのAMF Securityの「システム設定」/「ネットワーク設定」画面を表示します。
「データベース同期」項目の「再接続」ボタンをクリックします。
「データベース同期ノード再接続」ダイアログが表示されます。
「プライマリとして再接続」ボタンをクリックします。
「OK」ボタンをクリックします。

Note
「OK」ボタンをクリック後、画面上部に「ネットワーク設定を更新しました。設定を反映させるため、30秒後にログアウトします。」のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。
メッセージが表示された後、AMF Securityが再起動しますので、再度AMF Securityにログインします。
ログイン後、「システム設定」/「ネットワーク設定」画面が表示されます。「データベース同期」項目の表示が以下のようになっていることを確認します。

復旧手順は以上です。

「認証データ」の状態が「認証データベースの同期待ち状態です。」と表示されている場合

次の手順で復旧します。

「認証データ」の状態が「認証データベースの同期待ち状態です。」と表示されていないAMF Securityの「システム設定」/「ネットワーク設定」画面を表示します。

Note
「認証データベースの同期待ち状態です。」と表示されていないAMF Security側の操作になりますのでご注意ください。
「データベース同期」項目の「再接続」ボタンをクリックします。
「データベース同期ノード再接続」ダイアログが表示されます。
「セカンダリとして再接続」ボタンをクリックします。
「OK」ボタンをクリックします。

Note
「OK」ボタンをクリック後、画面上部に「ネットワーク設定を更新しました。設定を反映させるため、30秒後にログアウトします。」のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。
メッセージが表示された後、AMF Securityが再起動しますので、再度AMF Securityにログインします。
ログイン後、「システム設定」/「ネットワーク設定」画面が表示されます。「データベース同期」項目の表示が以下のようになっていることを確認します。
もう1つのAMF Securityの「システム設定」/「ネットワーク設定」画面を表示します。
「データベース同期」項目の「再接続」ボタンをクリックします。
「データベース同期ノード再接続」ダイアログが表示されます。
「プライマリとして再接続」ボタンをクリックします。
「OK」ボタンをクリックします。

Note
「OK」ボタンをクリック後、画面上部に「ネットワーク設定を更新しました。設定を反映させるため、30秒後にログアウトします。」のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。
メッセージが表示された後、AMF Securityが再起動しますので、再度AMF Securityにログインします。
ログイン後、「システム設定」/「ネットワーク設定」画面が表示されます。「データベース同期」項目の表示が以下のようになっていることを確認します。
「システム設定」/「システム情報」画面を表示します。
「認証データ」の項目にサイズと更新日時が表示されていることを確認します。

復旧手順は以上です。

プライマリとセカンダリを入れ替える場合

全体の手順としては同期の設定を一度無効にして再設定を行います。

プライマリとして動作中のAMF Securityの設定画面で、「システム設定」/「システム情報」画面を表示します。
「認証データ」の「エクスポート」ボタンをクリックし、認証データをダウンロードします。
セカンダリとして動作中のAMF Securityの設定画面で、「システム設定」/「ネットワーク設定」画面を表示します。
「データベース同期」の「無効化」ボタンをクリックします。
「OK」ボタンをクリックします。

Note
「OK」ボタンをクリック後、画面上部に「ネットワーク設定を更新しました。設定を反映させるため、30秒後にログアウトします。」のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。
プライマリとして動作中のAMF Securityの設定画面で、「システム設定」/「ネットワーク設定」画面を表示します。
「データベース同期」の「無効化」ボタンをクリックします。
「OK」ボタンをクリックします。

Note
「OK」ボタンをクリック後、画面上部に「ネットワーク設定を更新しました。設定を反映させるため、30秒後にログアウトします。」のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。
クイックツアー「AMF Securityの同期」/「同期の設定」の手順に従って、2つのAMF Securityに同期の設定を再度行ってください。

プライマリとセカンダリを入れ替える手順は以上です。

同期の設定の無効化

バージョンアップなどで、同期の設定の無効化を行う手順は次のとおりです。

セカンダリで稼働しているAMF Securityの「システム設定」/「ネットワーク設定」画面で、「データベース同期」の「無効化」ボタンをクリックします。
「OK」ボタンをクリックします。

Note
「OK」ボタンをクリック後、画面上部に「ネットワーク設定を更新しました。設定を反映させるため、30秒後にログアウトします。」のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。
プライマリとして稼働しているAMF Securityの「システム設定」/「ネットワーク設定」画面を開き、「データベース同期」項目の同期先が「ダウン」になることを確認します。

Note
手順2を実施後、30秒～1分くらい掛かる場合があります。
プライマリとして稼働しているAMF Securityの「システム設定」/「ネットワーク設定」画面で、「データベース同期」の「無効化」ボタンをクリックします。
「OK」ボタンをクリックします。

Note
「OK」ボタンをクリック後、画面上部に「ネットワーク設定を更新しました。設定を反映させるため、30秒後にログアウトします。」のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。

AMF Securityの停止・起動の手順

メンテナンスなどで、同期中のAMF Securityの停止・起動を行う場合の手順は次のとおりです。

AMF Securityアプリケーションの停止の手順

セカンダリで稼働している機器の「AMF Securityアプリケーション管理」画面で、「停止」ボタンをクリックしてAMF Securityアプリケーションを停止します。
AT-VST-VRTでのアプリケーションの停止方法については、弊社ホームページに掲載されている「AT-VST-VRT リファレンスマニュアル」の「クイックツアー」/「アプリケーションの設定と起動」をご参照ください。
プライマリとして稼働しているAMF Securityの「システム設定」/「ネットワーク設定」画面を開き、「データベース同期」項目の同期先が「ダウン」になることを確認します。

Note
手順1を実施後、30秒～1分くらい掛かります。
手順1と同じ手順で、プライマリとして稼働している機器で、AMF Securityアプリケーションを停止します。

AMF Securityアプリケーションの起動の手順

プライマリで稼働していた機器の「AMF Securityアプリケーション管理」画面で、「起動」ボタンをクリックしてAMF Securityアプリケーションを起動します。
AT-VST-VRTでのアプリケーションの起動方法については、弊社ホームページに掲載されている「AT-VST-VRT リファレンスマニュアル」の「クイックツアー」/「アプリケーションの設定と起動」をご参照ください。
プライマリで稼働していたAMF Securityの「システム設定」/「ネットワーク設定」画面を開き、「データベース同期」項目の自身が「プライマリ」になることを確認します。

Note
手順1を実施後、30秒～1分くらい掛かります。
手順1と同じ手順で、セカンダリとして稼働していた機器で、AMF Securityアプリケーションを起動します。

クイックツアー / AMF Securityのバージョンアップ

本バージョンへのバージョンアップ

AMF Securityのバージョンアップ方法を説明します。
AMF Securityのバージョン更新（バージョンアップ）は、お使いのAT-VST-VRTで行いますが、バージョンアップ時に現在の認証データは削除されますので、バージョンアップを行う前に必ず認証データのバックアップを取得する必要があります。
なお、アップロードしたSSL証明書のファイル、トラップ監視設定のルールファイル、ライセンスは引き継がれます。

Note
バージョンアップを行うとAT-VST-VRTのストレージに以下のようなファイルが生成されることがありますが、バージョンアップやその後の動作には影響ありません。なお、これらのファイルは不要なためバージョンアップ後に削除してください。
・mongod-sesc-x.x.x-ATVSTxxx-x.x.x-x-xxxxxxxxxx-xxxx.tgz
・exception.log

バージョンアップの流れは以下です。

認証データのバックアップを行う
データベース同期を無効にする
本バージョンへバージョンアップを行う
データベース同期を有効にする
認証データをインポートする

Note
データベース同期を使用していない場合は、手順2と手順4は不要です

本バージョンへのバージョンアップ

本バージョンへのバージョンアップは次の手順に従ってください。

認証データのバックアップを行います。
AMF Securityの「システム設定」/「システム情報」画面を表示し、認証データの「エクスポート」ボタンをクリックして認証データをダウンロードします（データベース同期を使用している場合はプライマリのAMF Securityで行います）。
データベース同期を使用している場合は認証データベースの同期を無効にします。
無効にする手順は、クイックツアー「AMF Securityの同期」/「同期の設定の無効化」をご参照ください。
データベース同期を使用していない場合は次の手順に進んでください。
AT-VST-VRTで本バージョンにバージョン更新を行います。
詳細な手順は、「AT-VST-VRT リファレンスマニュアル」をご参照ください（データベース同期を使用している場合はそれぞれのAT-VST-VRTで行います）。
データベース同期を使用していた場合は、認証データベースの同期を有効にします。
有効にする手順は、クイックツアー「AMF Securityの同期」/「同期の設定」をご参照ください。
データベース同期を使用しない場合は次の手順に進んでください。
認証データをインポートします。
AMF Securityの「システム設定」/「システム情報」画面を表示し、認証データの「インポート」ボタンをクリックして、手順1でダウンロードした認証データをインポートします（データベース同期を使用している場合はプライマリのAMF Securityで行います）。

本バージョンへのバージョンアップは以上です。

クイックツアー / AMF Securityのバックアップとリストア

リダイレクトURLアクション用サイトのアップロードしたコンテンツ

AMF Securityのリストア

AMF Securityのリストア手順

AMF Securityのバックアップとリストア方法を説明します。

ライセンスについてのご注意

本バージョンのAMF Securityのリストアを行う場合、以下に該当するケースではライセンスの再発行が必要になりますので、新しくインストールしたAMF Securityの「システム設定」/「システム情報」画面に表示されるシリアル番号を控えて弊社窓口までお問い合わせください。

AT-VST-VRT上で本バージョンのAMF Securityアプリケーションを削除し、再度AMF Securityアプリケーションをインストール
別の仮想マシン上のAT-VST-VRTにAMF Securityアプリケーションをリストア（移行）

AMF Securityのバックアップ

AMF Securityをバックアップするためには、次に示すファイルを取得する必要があります。

システム設定
認証データ
AMF Securityログ
アクションログ
リダイレクトURLアクション用サイトのアップロードしたコンテンツ

各ファイルに含まれる設定内容と、ファイルの取得手順を説明します。

システム設定

AMF Security自体の設定です。
システム設定ファイルを取得するには、「システム設定」/「システム情報」画面の「システム設定」項目で「エクスポート」ボタンをクリックして、ファイルをダウンロードします。
ただし、システム設定には以下の項目は含まれませんので、リストア後に再設定が必要になります。ファイルやライセンスの再発行、設定内容を控えておいてください。

SSL証明書
「システム設定」/「ネットワーク設定」画面または「AMF」/「AMF アプリケーションプロキシー設定」画面の「SSL証明書」項目（2つの画面にありますが、同一の項目です）
データベース同期設定
「システム設定」/「ネットワーク設定」画面の「データベース同期設定」項目
トラップ監視設定のルール
「システム設定」/「トラップ監視設定」画面の「ルール」項目でアップロードしたルール
ライセンス
本バージョンでは「システム設定」/「システム情報」画面に表示されるシリアル番号をもとに発行したライセンスが必要です。

Note
ライセンスについてのご注意
本バージョンのAMF Securityのリストアを行う場合、以下に該当するケースではライセンスの再発行が必要になりますので、新しくインストールしたAMF Securityの「システム設定」/「システム情報」画面に表示されるシリアル番号を控えて弊社窓口までお問い合わせください。

・AT-VST-VRT上で本バージョンのAMF Securityアプリケーションを削除し、再度AMF Securityアプリケーションをインストール
・別の仮想マシン上のAT-VST-VRTにAMF Securityアプリケーションをリストア（移行）

認証データ

AMF Securityは、登録されたデバイスのMACアドレス情報に基づいて認証を行いますが、それをAMF Securityに登録します。このAMF Securityの認証プロセスに必要なデータを、認証データと呼んでいます。
認証データを取得するには、「システム設定」/「システム情報」画面の「認証データ」項目で「エクスポート」ボタンをクリックして、ファイルをダウンロードします。

AMF Securityログ

AMF Securityサービスが出力するログです。バックアップはできますが、リストアできません。
AMF Securityログを取得するには、「システム設定」/「AMF Securityログ」画面で「ダウンロード」ボタンをクリックして、ファイルをダウンロードします。

アクションログ

AMF Securityサービスが出力するログのうち、アクションに関するログです。バックアップはできますが、リストアできません。
アクションログを取得するには、「システム設定」/「アクションログ」画面で「ダウンロード」ボタンをクリックして、ファイルをダウンロードします。

リダイレクトURLアクション用サイトのアップロードしたコンテンツ

AMFアプリケーションプロキシー機能のリダイレクトURLアクション用サイトのアップロードしたコンテンツは、個別にバックアップする必要があります。初期状態のコンテンツを使用している場合は、バックアップする必要はありません。
アップロードしたコンテンツを取得するには、「AMF」/「リダイレクトURL設定」画面の「サイトコンテンツのカスタマイズ」項目で「ダウンロード」ボタンをクリックして、ファイルをダウンロードします。
AMF Securityのバックアップは以上です。

AMF Securityのリストア

AMF Securityのリストア方法を説明します。

Note
ライセンスについてのご注意
本バージョンのAMF Securityのリストアを行う場合、以下に該当するケースではライセンスの再発行が必要になりますので、新しくインストールしたAMF Securityの「システム設定」/「システム情報」画面に表示されるシリアル番号を控えて弊社窓口までお問い合わせください。

・AT-VST-VRT上で本バージョンのAMF Securityアプリケーションを削除し、再度AMF Securityアプリケーションをインストール
・別の仮想マシン上のAT-VST-VRTにAMF Securityアプリケーションをリストア（移行）

AMF Securityのリストア手順

AMF Securityのリストア手順を示します。

ライセンス
「システム設定」/「ライセンス」画面で「追加」ボタンをクリックして、ライセンスを登録してください。
SSL証明書（使用時のみ）
「システム設定」/「ネットワーク設定」画面または「AMF」/「AMF アプリケーションプロキシー設定」画面の「SSL証明書」項目で設定してください（2つの画面にありますが、同一の項目です）。
トラップ監視設定のルール（使用時のみ）
「システム設定」/「トラップ監視設定」画面の「ルール」項目でファイルをアップロードしてください。

ここまでの手順は順不同です。
以下は順番に実施してください。

システム設定
「システム設定」/「システム情報」画面の「システム設定」項目で「インポート」ボタンをクリックして、取得したシステム設定ファイルをリストアします。
AMF Securityアプリケーションの再起動（停止と起動）
AT-VST-VRTの設定画面でAMF Securityアプリケーションの再起動（停止と起動）を行ってください。なお、操作方法は弊社ホームページに掲載されている「AT-VST-VRT リファレンスマニュアル」をご参照ください。
リダイレクトURLアクション用サイトのコンテンツ（使用時のみ）
AMFアプリケーションプロキシー機能のリダイレクトURLアクション用サイトのコンテンツをアップロードします。「AMF」/「リダイレクトURL設定」画面の「サイトコンテンツのカスタマイズ」項目で「アップロード」ボタンをクリックして、ファイルをリストアします。
データベース同期設定（使用時のみ）
「システム設定」/「ネットワーク設定」画面の「データベース同期設定」項目で設定してください。
認証データ
「システム設定」/「システム情報」画面の「認証データ」項目で「インポート」ボタンをクリックして、取得した認証データファイルをリストアします。
なお、データベース同期を使用している場合は、プライマリで動作しているAMF Securityにリストアしてください。

AMF Securityのリストアは以上です。

リファレンス編 / デバイス

AMF Securityに登録されたネットワークデバイスを表示します。

デバイス一覧

AMF Securityに登録されたネットワークデバイスを表示します。

表 1：検索・並べ替え対象項目
項目	検索	並べ替え	備考
デバイス ID	○	○
タグ	○	○
備考	○	○
ポリシー数	×	×
インターフェース数	×	×
インターフェース：MAC アドレス※	×	×	※　一覧には表示されない。
インターフェース：名称※	×	×	※　一覧には表示されない。
インターフェース：備考※	×	×	※　一覧には表示されない。

表 2：表示データ
項目名	説明
デバイス ID	AMF Securityに登録されたデバイスのIDです。
タグ	デバイスIDとは別に、管理者が識別しやすくするための名前です。
備考	デバイスに対する追加の説明やコメントです。
ポリシー数	デバイスに設定されたセキュリティーポリシーの数です。
インターフェース数	デバイスの持つインターフェースとして登録されたMACアドレスの数です。

表 3：コマンドボタン
項目名	説明
ページ上部
デバイス追加	「デバイス追加」画面を表示します。
接続中デバイス一覧	「接続中デバイス一覧」画面を表示します。
CSV にエクスポート	デバイス一覧をCSV（カンマ区切りテキスト）形式でダウンロードします。
デバイス一覧
タイトル行
複数削除	一覧の各行左端のチェックボックスにチェックを入れたデバイスの情報を削除します。
各行
編集	選択したデバイスの「デバイス更新」画面を表示します。
削除	選択したデバイス情報を削除します。

Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

デバイス追加

AMF Securityに新しいデバイスを追加します。

表 4：設定データ
項目名	説明
デバイス ID（必須項目）	AMF Securityに登録するデバイスのIDです。既に使用されているデバイスIDを設定することはできません。デバイスIDは最大255文字で、英数字、記号以外に日本語も使用できます。
タグ	AMF Securityを利用するデバイスに対して、タグを入力します。デバイスIDとは別に、管理者がデバイスを識別しやすくするための名前として、タグを入力します。複数のタグを指定する場合は、セミコロン区切り（;）でタグを入力します。タグは「グループ」/「タグ一覧」画面のタグを使用した認証や、「システム設定」/「トラップ監視設定」画面のデバイスルックアップで「タグ」を設定した場合でも使用されます。タグを使用した認証で使用する場合には、タグは最大16文字で、英数字（セミコロン（;）を除く）、記号以外に日本語も使用できます。それ以外の場合には、タグは最大255文字で、英数字（セミコロン（;）を除く）、記号以外に日本語も使用できます。
備考	登録するデバイスに対して追加の説明やコメントがある場合に登録します。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

Note
複数のタグが指定されている場合は、タグを使用した認証で使用されます。デバイスルックアップのタグ使用時は、1つ目に設定されているタグのみが使用されます。

Note
「グループ」/「タグ一覧」画面のタグを使用した認証で使用するタグは、最大16文字で設定してください。

表 5：表示データ
項目名	説明
インターフェース
インターフェース	デバイスに関連付けるMACアドレスの一覧を表示します。
MACアドレス	デバイスが持つインターフェースのMACアドレスです。
名称	MACアドレスの管理用の名称です。
備考	MACアドレスに対する追加の説明やコメントです。
ポリシー
ポリシー	デバイスに設定するセキュリティーポリシーの一覧を表示します。
優先度	セキュリティーポリシーを適用する優先度です。0～255の数字で入力します。複数のセキュリティーポリシーが設定されている場合、デバイスに登録されたインターフェースがOpenFlowスイッチおよびAMFメンバーに接続されると、最も優先度の値が小さいセキュリティーポリシーから順に一致するかどうかの判定が行われます。
ネットワーク	デバイスを接続するネットワークのIDです。
ロケーション	スイッチを指定した場合はOpenFlowスイッチのIDとポート、それ以外の場合はロケーションのIDです。
スケジュール	スケジュールのIDです。

表 6：コマンドボタン
項目名	説明
インターフェース
追加	「インターフェース編集」ダイアログを表示し、デバイスに関連付けるインターフェースを新しく登録します。
各行
編集	「インターフェース編集」ダイアログを表示し、選択したインターフェースを編集します。
削除	選択したインターフェースを削除します。削除するインターフェースの行の左端に削除マークが付きます。
戻す	削除マークを付けたインターフェースを戻します。
ポリシー
追加	「ポリシー編集」ダイアログを表示し、デバイスに設定するセキュリティーポリシーを新しく登録します。
各行
編集	「ポリシー編集」ダイアログを表示し、選択したセキュリティーポリシーを編集します。
削除	選択したセキュリティーポリシーを削除します。削除するセキュリティーポリシーの行の左端に削除マークが付きます。
戻す	削除マークを付けたセキュリティーポリシーを戻します。
ページ下部
登録	入力したデバイス情報を新規に登録します。
キャンセル	デバイスの新規追加をキャンセルします。

Note
「削除」ボタンをクリックし、削除マークを付けたインターフェース、セキュリティーポリシーは、「登録」ボタンをクリックした際に削除されます。「登録」ボタンをクリックして削除されたインターフェース、セキュリティーポリシーは復元できませんので、新規に登録し直してください。

インターフェース編集

デバイスに関連付けるインターフェースのMACアドレスを追加、または、MACアドレスの詳細を更新します。

表 7：設定データ
項目名	説明
MAC アドレス（必須項目）	インターフェースのMACアドレスを設定します。同じMACアドレスの複数登録はできません。 MACアドレスの表記として使用可能なフォーマットは下記となります。 xx:xx:xx:xx:xx:xx, xx-xx-xx-xx-xx-xx, xxxx.xxxx.xxxx
名称	このMACアドレスを持つインターフェースの管理用の名称を設定します。最大255文字で、英数字、記号以外に日本語も使用できます。
備考	このMACアドレスの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

表 8：コマンドボタン
項目名	説明
ダイアログ下部
登録	新しいMACアドレス情報を登録、または、選択したMACアドレス情報を更新します。
キャンセル	MACアドレス情報の登録、または、更新をキャンセルします。

ポリシー編集

デバイスに設定するセキュリティーポリシーを追加、または、設定されたセキュリティーポリシーの詳細を更新します。

表 9：設定データ
項目名	説明
優先度（必須項目）	セキュリティーポリシーを適用する優先度です。0～255の数字で入力します。複数のセキュリティーポリシーが設定されている場合、登録されたデバイスがOpenFlowスイッチおよびAMFメンバーに接続されると、最も優先度の値が小さいセキュリティーポリシーから順に一致するかどうかの判定が行われます。
ネットワーク	デバイスを接続するネットワークを選択します。事前に登録されたネットワークIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をネットワークID、VLAN ID、備考のいずれかに含むネットワークIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするネットワークIDをクリックします。登録されたデバイスがOpenFlowスイッチ、AMFメンバー（エッジノード）、AMFアプリケーションプロキシーのTQに接続された場合は、ネットワークに設定されたVLANサブネットに接続されます。デバイスにネットワークが登録されていない場合（本設定を空欄、またはネットワークのセキュリティーポリシー設定でVLAN IDに0を設定した場合）は、OpenFlowスイッチではタグなしVLAN（VLANなしのサブネット）、AMFメンバーの場合はAMFメンバーに設定されているVLANに接続されます。VLANサブネットへの接続は、接続したOpenFlowおよびAMFメンバーの上位ネットワークに送信されるときに、設定されたVLAN IDを持つタグVLANとして送信することにより実現します。デバイスにネットワークを設定するためには、事前にネットワークを登録する必要があります。ネットワークの登録については、「ポリシー設定」/「ネットワーク追加」をご参照ください。また、登録されたデバイスがAMFアプリケーションプロキシーのTQに接続された場合は、TQの設定に依存します。詳細は、クイックツアー「AMF Securityについて」/「TQのAMFアプリケーションプロキシー機能」の「TQのダイナミック VLAN使用時の動作」をご参照ください。
ロケーション	デバイスがネットワークにアクセス可能なロケーションを選択します。事前に登録されたロケーションIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をロケーションIDまたは備考のいずれかに含むロケーションIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするロケーションIDをクリックします。デバイスにロケーションを設定した場合は、そのロケーションに登録されたOpenFlowスイッチおよびAMFメンバーからのみ接続が可能となります。ロケーションが選択されていない場合は、すべてのOpenFlowスイッチおよびAMFメンバーからアクセス可能です。デバイスにロケーションを設定するためには、事前にロケーションを登録する必要があります。ロケーションの登録については、「ポリシー設定」/「ロケーション追加」をご参照ください。
スケジュール	デバイスがネットワークにアクセス可能なスケジュールを選択します。事前に登録されたスケジュールIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をスケジュールID、または備考のいずれかに含むスケジュールIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするスケジュールIDをクリックします。デバイスにスケジュールを設定した場合は、そのスケジュールに登録された期間のみ接続が可能となります。スケジュールが選択されていない場合はいつでもアクセスが可能です。デバイスにスケジュールを設定するためには、事前にスケジュールを登録する必要があります。スケジュールの登録については、「ポリシー設定」/「スケジュール追加」をご参照ください。
OpenFlow スイッチ	デバイスがネットワークにアクセス可能なOpenFlowスイッチを選択します。事前に登録されたスイッチIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をスイッチID、Datapath ID、アップストリームポート、備考のいずれかに含むスイッチIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするスイッチIDをクリックします。 OpenFlow スイッチが設定されていた場合、ロケーションの設定は反映されません。 OpenFlow スイッチが設定されており、スイッチポートが設定されていなかった場合、ポートの指定はなしとなります。
スイッチポート	デバイスがネットワークにアクセス可能なOpenFlowスイッチのポートを指定します。 OpenFlow スイッチが設定されていなかった場合、反映されません。
フローの有効期限を無限にします。	設定したデバイスに関するフローの有効期限を無限にします。一定時間ごとの応答のない機器（複合機など）のために使用します。

Note
OpenFlowスイッチでタグなしVLAN（VLANなしのサブネット）、AMFメンバーでAMFメンバーに設定されているVLANにアクセス可能な場合、スイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。

Note
ポリシーに「OpenFlow スイッチ」、「スイッチポート」、「フローの有効期限を無限にします。」がすべて設定されているデバイスは、該当のOpenFlowスイッチがAMF Securityと接続した際に自動でOpenFlowスイッチにフローエントリーを登録するようになります。
これにより、そのデバイスが自発的にパケットを送信しない場合でも、認証済みの状態にすることができます。

表 10：コマンドボタン
項目名	説明
ダイアログ下部
登録	新しいポリシー情報を登録、または、選択したポリシー情報を更新します。
キャンセル	ポリシー情報の登録、または、更新をキャンセルします。

デバイス更新

既に設定されたデバイス情報を更新します。

表 11：設定データ
項目名	説明
デバイス ID（必須項目）	AMF Securityに登録されたデバイスのIDです。既に使用されているデバイスIDを設定することはできません。デバイスIDは最大255文字で、英数字、記号以外に日本語も使用できます。
タグ	AMF Securityを利用するデバイスに対して、タグを入力します。デバイスIDとは別に、管理者がデバイスを識別しやすくするための名前として、タグを入力します。複数のタグを指定する場合は、セミコロン区切り（;）でタグを入力します。タグは「グループ」/「タグ一覧」画面のタグを使用した認証や、「システム設定」/「トラップ監視設定」画面のデバイスルックアップで「タグ」を設定した場合でも使用されます。タグを使用した認証で使用する場合には、タグは最大16文字で、英数字（セミコロン（;）を除く）、記号以外に日本語も使用できます。それ以外の場合には、タグは最大255文字で、英数字（セミコロン（;）を除く）、記号以外に日本語も使用できます。
備考	登録するデバイスに対して追加の説明やコメントがある場合に登録します。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

Note
複数のタグが指定されている場合は、タグを使用した認証で使用されます。デバイスルックアップのタグ使用時は、1つ目に設定されているタグのみが使用されます。

Note
「グループ」/「タグ一覧」画面のタグを使用した認証で使用するタグは、最大16文字で設定してください。

表 12：表示データ
項目名	説明
インターフェース
インターフェース	デバイスに関連付けるMACアドレスの一覧を表示します。
MAC アドレス	デバイスが持つインターフェースのMACアドレスです。
名称	MACアドレスの管理用の名称です。
備考	MACアドレスに対する追加の説明やコメントです。
ポリシー
ポリシー	デバイスに設定するセキュリティーポリシーの一覧を表示します。
優先度	セキュリティーポリシーを適用する優先度です。0～255の数字で入力します。複数のセキュリティーポリシーが設定されている場合、デバイスに登録されたインターフェースがOpenFlowスイッチおよびAMFメンバーに接続されると、最も優先度の値が小さいセキュリティーポリシーから順に一致するかどうかの判定が行われます。
ネットワーク	デバイスを接続するネットワークのIDです。
ロケーション	スイッチを指定した場合はOpenFlowスイッチのIDとポート、それ以外の場合はロケーションのIDです。
スケジュール	スケジュールのIDです。

表 13：コマンドボタン
項目名	説明
インターフェース
追加	「インターフェース編集」ダイアログを表示し、デバイスに関連付けるインターフェースを新しく登録します。
各行
編集	「インターフェース編集」ダイアログを表示し、選択したインターフェースを編集します。
削除	選択したインターフェースを削除します。削除するインターフェースの行の左端に削除マークが付きます。
戻す	削除マークを付けたインターフェースを戻します。
ポリシー
追加	「ポリシー編集」ダイアログを表示し、デバイスに設定するセキュリティーポリシーを新しく登録します。
各行
編集	「ポリシー編集」ダイアログを表示し、選択したセキュリティーポリシーを編集します。
削除	選択したセキュリティーポリシーを削除します。削除するセキュリティーポリシーの行の左端に削除マークが付きます。
戻す	削除マークを付けたセキュリティーポリシーを戻します。
ページ下部
登録	選択したデバイス情報を更新します。
キャンセル	デバイス情報の更新をキャンセルします。

Note
「削除」ボタンをクリックし、削除マークを付けたインターフェース、セキュリティーポリシーは、「登録」ボタンをクリックした際に削除されます。「登録」ボタンをクリックして削除されたインターフェース、セキュリティーポリシーは復元できませんので、新規に登録し直してください。

インターフェース編集

デバイスに関連付けるインターフェースのMACアドレスを追加、または、MACアドレスの詳細を更新します。

表 14：設定データ
項目名	説明
MAC アドレス（必須項目）	インターフェースのMACアドレスを設定します。同じMACアドレスの複数登録はできません。 MACアドレスの表記として使用可能なフォーマットは下記となります。 xx:xx:xx:xx:xx:xx, xx-xx-xx-xx-xx-xx, xxxx.xxxx.xxxx
名称	このMACアドレスを持つインターフェースの管理用の名称を設定します。最大255文字で、英数字、記号以外に日本語も使用できます。
備考	このMACアドレスの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

表 15：コマンドボタン
項目名	説明
ダイアログ下部
登録	新しいMACアドレス情報を登録、または、選択したMACアドレス情報を更新します。
キャンセル	MACアドレス情報の登録、または、更新をキャンセルします。

ポリシー編集

デバイスに設定するセキュリティーポリシーを追加、または、設定されたセキュリティーポリシーの詳細を更新します。

表 16：設定データ
項目名	説明
優先度（必須項目）	セキュリティーポリシーを適用する優先度です。0～255の数字で入力します。複数のセキュリティーポリシーが設定されている場合、登録されたデバイスがOpenFlowスイッチおよびAMFメンバーに接続されると、最も優先度の値が小さいセキュリティーポリシーから順に一致するかどうかの判定が行われます。
ネットワーク	デバイスを接続するネットワークを選択します。事前に登録されたネットワークIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をネットワークID、VLAN ID、備考のいずれかに含むネットワークIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするネットワークIDをクリックします。登録されたデバイスがOpenFlowスイッチ、AMFメンバー（エッジノード）、AMFアプリケーションプロキシーのTQに接続された場合は、ネットワークに設定されたVLANサブネットに接続されます。デバイスにネットワークが登録されていない場合（本設定を空欄、またはネットワークのセキュリティーポリシー設定でVLAN IDに0を設定した場合）は、OpenFlowスイッチではタグなしVLAN（VLANなしのサブネット）、AMFメンバーの場合はAMFメンバーに設定されているVLANに接続されます。VLANサブネットへの接続は、接続したOpenFlowおよびAMFメンバーの上位ネットワークに送信されるときに、設定されたVLAN IDを持つタグVLANとして送信することにより実現します。デバイスにネットワークを設定するためには、事前にネットワークを登録する必要があります。ネットワークの登録については、「ポリシー設定」/「ネットワーク追加」をご参照ください。また、登録されたデバイスがAMFアプリケーションプロキシーのTQに接続された場合は、TQの設定に依存します。詳細は、クイックツアー「AMF Securityについて」/「TQのAMFアプリケーションプロキシー機能」の「TQのダイナミック VLAN使用時の動作」をご参照ください。
ロケーション	デバイスがネットワークにアクセス可能なロケーションを選択します。事前に登録されたロケーションIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をロケーションIDまたは備考のいずれかに含むロケーションIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするロケーションIDをクリックします。デバイスにロケーションを設定した場合は、そのロケーションに登録されたOpenFlowスイッチおよびAMFメンバーからのみ接続が可能となります。ロケーションが選択されていない場合は、すべてのOpenFlowスイッチおよびAMFメンバーからアクセス可能です。デバイスにロケーションを設定するためには、事前にロケーションを登録する必要があります。ロケーションの登録については、「ポリシー設定」/「ロケーション追加」をご参照ください。
スケジュール	デバイスがネットワークにアクセス可能なスケジュールを選択します。事前に登録されたスケジュールIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をスケジュールID、または備考のいずれかに含むスケジュールIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするスケジュールIDをクリックします。デバイスにスケジュールを設定した場合は、そのスケジュールに登録された期間のみ接続が可能となります。スケジュールが選択されていない場合はいつでもアクセスが可能です。デバイスにスケジュールを設定するためには、事前にスケジュールを登録する必要があります。スケジュールの登録については、「ポリシー設定」/「スケジュール追加」をご参照ください。
OpenFlow スイッチ	デバイスがネットワークにアクセス可能なOpenFlowスイッチを選択します。事前に登録されたスイッチIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をスイッチID、Datapath ID、アップストリームポート、備考のいずれかに含むスイッチIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするスイッチIDをクリックします。 OpenFlow スイッチが設定されていた場合、ロケーションの設定は反映されません。 OpenFlow スイッチが設定されており、スイッチポートが設定されていなかった場合、ポートの指定はなしとなります。
スイッチポート	デバイスがネットワークにアクセス可能なOpenFlowスイッチのポートを指定します。 OpenFlow スイッチが設定されていなかった場合、反映されません。
フローの有効期限を無限にします。	設定したデバイスに関するフローの有効期限を無限にします。一定時間ごとの応答のない機器（複合機など）のために使用します。

Note
OpenFlowスイッチでタグなしVLAN（VLANなしのサブネット）、AMFメンバーでAMFメンバーに設定されているVLANにアクセス可能な場合、スイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。

Note
ポリシーに「OpenFlow スイッチ」、「スイッチポート」、「フローの有効期限を無限にします。」がすべて設定されているデバイスは、該当のOpenFlowスイッチがAMF Securityと接続した際に自動でOpenFlowスイッチにフローエントリーを登録するようになります。
これにより、そのデバイスが自発的にパケットを送信しない場合でも、認証済みの状態にすることができます。

表 17：コマンドボタン
項目名	説明
ダイアログ下部
登録	新しいポリシー情報を登録、または、選択したポリシー情報を更新します。
キャンセル	ポリシー情報の登録、または、更新をキャンセルします。

MAC アドレス一覧

AMF Securityに登録されたMACアドレスを表示します。

表 18：検索・並べ替え対象項目
項目	検索	並べ替え	備考
MAC アドレス	○	○
名称	○	○
デバイス ID	○	○
備考	○	○
デバイス：タグ※	×	×	※　一覧には表示されない。
デバイス：備考※	×	×	※　一覧には表示されない。

表 19：表示データ
項目名	説明
MAC アドレス	AMF Securityに登録されたMACアドレスです。
名称	MACアドレスの管理用の名称です。
デバイス ID	MACアドレスに関連付けられたデバイスです。クリックすると、該当のデバイスの「デバイス更新」画面を表示します。
備考	このMACアドレスの追加説明やコメントです。

表 20：コマンドボタン
項目名	説明
ページ上部
接続中デバイス一覧	「接続中デバイス一覧」画面を表示します。
MAC アドレス一覧
タイトル行
複数削除	一覧の各行左端のチェックボックスにチェックを入れたMACアドレスの情報を削除します。
各行
編集	MACアドレスが関連付けられたデバイスの「デバイス更新」画面を表示します。
削除	選択したMACアドレス情報を削除します。

接続中デバイス一覧

AMF Security管理下のOpenFlowスイッチに接続しているデバイスと、AMFアプリケーションプロキシー機能で認証、およびアクションが適用されたデバイスの一覧を表示します。
アカウントグループを設定している場合、AMF Security管理下のOpenFlowスイッチおよびAMFメンバーに接続しているデバイスのうち、ログインしたアカウントが所属するアカウントグループに属するOpenFlowスイッチおよびAMFメンバーに接続されているデバイスのMACアドレスが一覧表示されます。
OpenFlowで制御されているデバイスは、管理者の手動によるデバイスの遮断、隔離といったアクションも、この画面で行います。
■ AW+のAMFアプリケーションプロキシーホワイトリスト機能およびブラックリスト機能について
AMFアプリケーションプロキシー機能でアクションが適用されたデバイスは、AMFマスターから取得した情報が一覧に表示されます。
AMFアプリケーションプロキシーホワイトリスト機能およびブラックリスト機能は互いに連動していないため、「デバイス」/「接続中デバイス一覧」画面の表示とエッジノードのステータスに不一致が発生する場合があります。
また、リンクダウンを伴わないAMFアプリケーションプロキシーホワイトリスト機能による認証の解除が行われた際、エッジノードから認証されたデバイスの情報が削除されますが、「デバイス」/「接続中デバイス一覧」画面には「認証済み」のデバイス情報が表示され続けます。

例1
AMFアプリケーションプロキシーホワイトリスト機能で認証された端末に遮断アクションが適用された場合、「デバイス」/「接続中デバイス一覧」画面には同じデバイスに対して「認証済み」と「遮断中」の両方が表示されます。
この場合、実際の端末は遮断アクションが適用された状態です。
例2
AMFアプリケーションプロキシーホワイトリスト機能で認証されたデバイスのセッションタイムアウトが満了した際、エッジノードから認証されたデバイスの情報が削除されますが、「デバイス」/「接続中デバイス一覧」画面には「認証済み」のデバイス情報が表示され続けます。
この場合、そのデバイスの再認証が発生した際にログの出力およびメールの通知が行われません。

■ TQのAMFアプリケーションプロキシー機能について
TQのAMFアプリケーションプロキシーホワイトリスト機能およびブラックリスト機能は互いに連動しています。
AMFアプリケーションプロキシーホワイトリスト機能で認証された端末に遮断アクションが適用された場合、「デバイス」/「接続中デバイス一覧」画面には「遮断中」の表示に切り替わります。

表 21：検索・絞り込み・並べ替え対象項目
項目	検索	絞り込み	並べ替え	備考
MAC アドレス	△※	－	○	※　検索対象は「mac=」以降の文字列、「ip=」以降の文字列、「vender=」以降の文字列のみ。
デバイス ID	△※1	－	△※2	※1　検索にて「未登録」は対象外。未認証グループとして接続または検出されている場合は、検索対象は「group=」以降の文字列のみ。 ※2　並べ替えは、「未登録」→「未認証グループ ID」→「空欄」→「デバイス ID」の順を昇順とする。
接続中スイッチ	△※1	－	△※2	※1　検索対象は、OpenFlowスイッチでは「ip=」以降のIPv4アドレス、「port=」以降のスイッチポート番号とカッコ内のOpenFlowポート番号の文字列とポートのリンクステータスのみ。AMFノードでは「id=」以降の文字列と「port=」以降のカッコ内のスイッチポート番号の文字列。TQのAMFアプリケーションプロキシーでは「id=」以降の文字列、「ip=」以降のIPv4アドレスと「port=」以降の文字列。 ※2　並べ替えの対象は、OpenFlowスイッチでは「ip=」以降の文字列、AMFノードでは「id=」以降の文字列のみ。TQのAMFアプリケーションプロキシーでは「id=」以降の文字列と「ip=」以降のIPv4アドレス。「port=」以降の文字列による並べ替えは対象外。
接続中ネットワーク	△※1	－	△※2	※1　検索対象は「vlan=」以降のVLAN IDと「id=」以降のネットワークIDの文字列のみ。「タグなし・接続なし」を除く。 ※2　並べ替えは、「接続なし」→「空欄」→「vlan=タグなし」→「vlan=1～4094」の順を昇順とする。ネットワークIDによる並べ替えは対象外。
状況	×	○	△※	※　並べ替えは、「認証済み」→「遮断中」→「リンクダウン」→「隔離中」→「認証失敗」→「検出」→「IPフィルター」→「ログ」→「リダイレクトURL」の順を昇順とする。

表 22：表示データ
項目名	説明
MAC アドレス	AMF Securityに管理されているMACアドレスとベンダー名が表示されます。 IPアドレスの指定によって遮断されたデバイスには、IPアドレスも表示されます（OpenFlowとAMFアプリケーションプロキシー機能（AW+）のみ）。 MACアドレスまたはIPアドレスをクリックすると、該当のデバイスの「接続中デバイス詳細」画面が表示されます。
デバイス ID	□ OpenFlow 該当MACアドレスのインターフェースを持つデバイスです。・MACアドレスを関連付けられたデバイスが存在する場合は、デバイスのセキュリティーポリシーに一致するかどうかにかかわらず、そのデバイスIDが表示されます。デバイスIDをクリックすると、「デバイス更新」画面が表示されます。・MACアドレスを関連付けられたデバイスが存在せず、接続がいずれかの未認証グループのセキュリティーポリシーに一致する場合は、「group=グループID」の形式でグループIDが表示されます。グループIDをクリックすると、「グループ」/「未認証グループ更新」画面が表示されます。・MACアドレスを関連付けられたデバイスが存在せず、かつ未認証グループのセキュリティーポリシーとも一致しない場合は、デバイスIDは「未登録」と表示されます。・MACアドレスを関連付けられたデバイスが存在しない場合に、接続スイッチのスイッチIDが登録されていないときは「登録」ボタンが、スイッチIDが登録されているときは「登録」ボタンと「固定登録」ボタンが表示されます。 □ AMFアプリケーションプロキシー機能（AW+/TQ）該当MACアドレスのインターフェースを持つデバイスです。・MACアドレスを関連付けられたデバイスが存在する場合は、デバイスのセキュリティーポリシーに一致するかどうかにかかわらず、そのデバイスIDが表示されます。デバイスIDをクリックすると、「デバイス更新」画面が表示されます。・MACアドレスを関連付けられたデバイスが存在せず、接続がいずれかの未認証グループのセキュリティーポリシーに一致する場合は、「group=グループID」の形式でグループIDが表示されます。グループIDをクリックすると、「グループ」/「未認証グループ更新」画面が表示されます。・MACアドレスを関連付けられたデバイスが存在せず、かつ未認証グループのセキュリティーポリシーとも一致しない場合は、デバイスIDは「未登録」と表示されます。・MACアドレスを関連付けられたデバイスが存在しない場合は、「登録」ボタンが表示されます。
接続中スイッチ	□ OpenFlow デバイスが接続しているOpenFlowスイッチのIPv4アドレス、およびOpenFlowスイッチのポート名とOpenFlowポート番号です。アカウントグループを設定している場合、ログインしたアカウントが所属するアカウントグループに属するOpenFlowスイッチのみ表示されます。 IPv4アドレスは「ip=IPv4アドレス」の形式で表示されます。「ip=」以降をクリックすると、「スイッチ」/「接続中 OpenFlow スイッチ詳細」画面を表示します。スイッチIDが登録されている場合は「id=スイッチID」の形式でスイッチIDが表示されます。「id=」以降をクリックすると、「スイッチ」/「OpenFlow スイッチ更新」画面を表示します。また、接続しているOpenFlowスイッチのOpenFlowポート番号とポート名が、「port=OpenFlowポート番号（ポート名）」の形式で表示されます。AlliedWare Plusスイッチでは、ポートのリンクステータスを「up/down」で表示します。AT-TQシリーズ無線LANアクセスポイントでは、常に「up」が表示されます。 □ AMFアプリケーションプロキシー機能（AW+） AMFアプリケーションプロキシーホワイトリスト機能で認証、およびAMFアクションが適用されたエッジノード、およびエッジノードのスイッチのポート名です。アカウントグループを設定している場合、ログインしたアカウントが所属するアカウントグループに属するAMFメンバーのみ表示されます。エッジノードは「id=エッジノード名」の形式で表示されます。エッジノードのスイッチのIPv4アドレスは「ip=IPv4アドレス」の形式で表示されます。また、エッジノードのスイッチのポート名が「port=（ポート名）」の形式で表示されます。なお、状況で表示されるAMFアクションが「IPフィルター」の場合、ポート名は表示されません。 □ AMFアプリケーションプロキシー機能（TQ）デバイスが接続しているTQのIPv4アドレス、およびポート名です。IPv4アドレスは「ip=IPv4アドレス」の形式で表示されます。また、TQのポート名が「port=（ポート名）」の形式で表示されます。ポートのリンクステータスは常に「unknown」が表示されます。
接続中ネットワーク	□ OpenFlow/AMFアプリケーションプロキシー機能（TQ）デバイスが接続しているVLAN IDおよびネットワークIDです。「vlan=VLAN ID」形式でVLAN IDを、「id=ネットワークID」形式でネットワークIDを表示します。「id=」以降をクリックすると、「ポリシー設定」/「ネットワーク更新」画面を表示します。遮断中のデバイスには「接続なし」が表示されます。 □ AMFアプリケーションプロキシー機能デバイスが接続しているVLAN IDおよびネットワークIDです。「vlan=VLAN ID」形式でVLAN IDを、「id=ネットワークID」形式でネットワークIDを表示します。「id=」以降をクリックすると、「ポリシー設定」/「ネットワーク更新」画面を表示します。アクションが適用されたデバイスには、接続中ネットワークは表示されません。
状況	□ OpenFlow/AMFアプリケーションプロキシー機能（TQ）デバイスの現在の状態です。・認証済み：登録されたデバイスのセキュリティーポリシーまたは未認証グループのセキュリティーポリシーに一致したデバイス、または外部システムからの指示や管理者の操作で許可されたデバイスです。外部システムからの指示や管理者の操作で許可された場合は、「action=」以降に許可の理由となったアクションID、および「解除」ボタンが表示されます。・遮断中：外部システムからの指示や管理者の操作で、ネットワークから遮断されたデバイスです。「action=」以降に、遮断の理由となったアクションID、および「解除」ボタンが表示されます。「解除」ボタンをクリックするか、「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除するまで、通常のネットワークに接続することはできません。遮断中のデバイスを、外部システムからの指示や管理者の操作で、隔離ネットワークに接続することは可能です。・隔離中：外部システムからの指示や管理者の操作で、隔離ネットワークに接続されたデバイスです。「action=」以降に、隔離の理由となったアクションID、および「解除」ボタンが表示されます。「解除」ボタンをクリックするまで、隔離ネットワーク以外に接続することはできません。隔離中のデバイスを、外部システムからの指示や管理者の操作で、ネットワークから遮断することは可能です。・認証失敗： MACアドレスが未登録、またはセキュリティーポリシーに適合しないため、認証に失敗したデバイスです。・検出：未認証グループを用いた端末の検出を用いて検出されたデバイスです。・ログ：情報取得のために通知されたデバイスです。「action=」以降に、通知の理由となったアクションID、および「解除」ボタンが表示されます。・リダイレクトURL：外部システムからの指示や管理者の操作で、リダイレクトURLのアクションが適用されたデバイスです。該当のデバイスは隔離と同様に隔離ネットワークに接続されます。「action=」以降に、リダイレクトURLが適用された理由となったアクションID、および「解除」ボタンが表示されます。「解除」ボタンをクリックするまで、隔離ネットワーク以外に接続することはできません。隔離中のデバイスを、外部システムからの指示や管理者の操作で、ネットワークから遮断することは可能です。なお、リダイレクトURLアクションはTQのAMFアプリケーションプロキシーのみでサポート、OpenFlowでは未サポートです。各状況をクリックすると、該当のデバイスの「接続中デバイス詳細」画面が表示されます。「認証済み」、「遮断中」、「隔離中」、または「ログ」の「action=」以降をクリックすると、適用されている「ポリシー設定」/「アクション詳細」画面が表示されます。 □ AMFアプリケーションプロキシー機能デバイスの現在の状態です。・認証済み：登録されたデバイスのセキュリティーポリシーに一致、または未認証グループのセキュリティーポリシーに一致したデバイスです。・遮断中： AMFアプリケーションプロキシー機能で、通信をレイヤー2（MACレベル）で破棄されているデバイスです。「action=」以降に、遮断の理由となったアクションID、および「解除」ボタンが表示されます。「解除」ボタンをクリックするか、「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除するまで、通常のネットワークに接続することはできません。・リンクダウン： AMFアプリケーションプロキシー機能で、接続されているポートが無効化されたデバイスです。「action=」以降に、遮断の理由となったアクションID、および「解除」ボタンが表示されます。「解除」ボタンをクリックするか、「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除するまで、通常のネットワークに接続することはできません。・IPフィルター： AMFアプリケーションプロキシー機能で、通信をレイヤー3（IPレベル）で破棄されているデバイスです。「action=」以降に、遮断の理由となったアクションID、および「解除」ボタンが表示されます。「解除」ボタンをクリックするか、「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除するまで、通常のネットワークに接続することはできません。・隔離中： AMFアプリケーションプロキシー機能で、隔離ネットワークに接続されているデバイスです。「action=」以降に、隔離の理由となったアクションID、および「解除」ボタンが表示されます。「解除」ボタンをクリックするまで、隔離ネットワーク以外に接続することはできません。・認証失敗： MACアドレスが未登録、またはセキュリティーポリシーに適合しないため、認証に失敗したデバイスです。・検出：未認証グループを用いた端末の検出を用いて検出されたデバイスです。・ログ：情報取得のために通知されたデバイスです。「action=」以降に、通知の理由となったアクションID、および「解除」ボタンが表示されます。各状況をクリックすると、該当のデバイスの「接続中デバイス詳細」画面が表示されます。「遮断中」、「リンクダウン」、「IPフィルター」、「隔離中」、または「ログ」の「action=」以降に理由となったアクションID、および「解除」ボタンが表示されます。「action=」以降をクリックすると、適用されている「ポリシー設定」/「アクション詳細」画面が表示されます。

接続ポートのポート名は、TQやAMFノード、登録するOpenFlowスイッチによって異なります。

表 23：接続ポート名
ポート名	説明
AlliedWare Plusスイッチ
portX.Y.Z	X:常に「1」。 Y:拡張モジュールベイの番号。本体内蔵ポートの場合は「0」。 Z:製品本体に表記されたポート番号（OpenFlowポート番号とは異なります）。
AT-TQシリーズ無線アクセスポイント
wlanX	無線インターフェース。
athX	無線インターフェース。
wdevXapY	無線インターフェース。

OpenFlowポート番号は、AlliedWare Plusスイッチの場合、OpenFlowスイッチ側の設定によって異なり、「スイッチ」/「接続中 OpenFlow スイッチ詳細」画面の「OpenFlow ポート一覧」欄にて確認できます。

表 24：コマンドボタン（項目名に※が付いているものは、OpenFlow用の項目です）
項目名		説明
ページ上部
デバイスの探索		「デバイスの探索」ダイアログを表示します。「デバイスの探索」を開始すると「デバイスの探索」ボタンが「探索の中止」に変わります。デバイス探索の実行時は、「デバイスの探索」ボタン/「探索の中止」ボタンの下の進捗欄に状況を表示します。
探索の中止		デバイスの探索を中止します。デバイスの探索の実行中のみ、「デバイスの探索」ボタンから変化して表示されます。
アクション一覧		「ポリシー設定」/「アクション一覧」画面を表示します。
CSV にエクスポート		デバイス一覧をCSV（カンマ区切りテキスト）形式でダウンロードします。
更新		「接続中デバイス一覧」画面の表示を現在の状況に更新します。
接続中デバイス一覧
タイトル行
複数切断		□ OpenFlow/AMFアプリケーションプロキシー機能（TQ）一覧の各行左端のチェックボックスにチェックを入れたデバイスの接続を一斉にネットワークから切断します。一時的な切断のため、切断されたデバイスは権限がある限りネットワークに再接続可能です。 □ AMFアプリケーションプロキシー機能 AMFアクションが適用されたデバイスに対して本操作は実行されません。ただし、同一のMACアドレスがOpenFlowでも表示されている場合は、そのOpenFlowのデバイスは上記が実行されます。 □ AMFアプリケーションプロキシーホワイトリスト機能一覧の各行左端のチェックボックスにチェックを入れたデバイスの接続を一斉にネットワークから切断します。一時的な切断のため、切断されたデバイスは権限がある限りネットワークに再接続可能です。
各行
デバイス ID	登録	（未登録のMACアドレスにのみ表示）「デバイス追加」ダイアログを表示し、MACアドレスを新規デバイスまたは既存のデバイスとして登録します。 MACアドレスを新規デバイスとして登録するか、既存のデバイスに追加するかは、「デバイス追加」ダイアログで選択します。
デバイス ID	固定登録※	（未登録のMACアドレスかつ使用されているOpenFlowスイッチが登録済みの場合にのみ表示）「デバイス」/「デバイス追加」画面を表示し、MACアドレスを新規デバイスとして登録します。この際、ロケーションとして、該当のデバイスが接続されたOpenFlowスイッチのIPv4アドレスとポート番号が登録されます。
状況	解除	（一致するアクションが存在する場合のみ表示）該当のアクションを解除します。
行末	切断	□ OpenFlow/AMFアプリケーションプロキシー機能（TQ）現在接続中のデバイスをネットワークから切断します。一時的な切断のため、切断されたデバイスは権限がある限りネットワークに再接続可能です。 □ AMFアプリケーションプロキシー機能 AMFアクションが適用されたデバイスに対して本操作は実行されません。ただし、同一のMACアドレスがOpenFlowでも表示されている場合は、そのOpenFlowのデバイスは上記が実行されます。 □ AMFアプリケーションプロキシーホワイトリスト機能現在接続中のデバイスをネットワークから切断します。一時的な切断のため、切断されたデバイスは権限がある限りネットワークに再接続可能です。
	遮断※	特定のデバイスをネットワークから遮断します。遮断されたデバイスは管理者が該当のアクションを削除しない限りネットワークに接続できません。デバイスが遮断されているときは、「遮断」ボタンは無効になります。
	隔離※	デバイスを通常のネットワークから切断し、隔離ネットワークに接続します。デバイスが隔離されているときは、「隔離」ボタンは無効になります。

Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

OpenFlowの隔離ネットワークのVLAN IDとAMFアプリケーションプロキシー機能（TQ）のVLAN IDは、「システム設定」/「OpenFlow設定」画面、「AMF」/「TQ設定」画面で設定可能です（共通設定）。

デバイス追加

「デバイス」/「接続中デバイス一覧」画面にて、MACアドレスの「登録」ボタンをクリックすると、未登録のMACアドレスを新規デバイスまたは既存のデバイスとして登録することができます。

表 25：設定データ
項目名	説明
このMAC アドレスを新規デバイスとして登録します。	「接続中デバイス一覧」画面で指定したMACアドレスを、新規デバイスのインターフェースとして登録します。
このMAC アドレスを既存のデバイスに追加します。	「接続中デバイス一覧」画面で指定したMACアドレスを、既存のデバイスの新規インターフェースとして登録します。
デバイス	「このMAC アドレスを既存のデバイスに追加します。」ラジオボタンをオンにした場合に、該当のMACアドレスを登録するデバイスIDを指定します。事前に登録されたデバイスIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をデバイスID、タグ、備考のいずれかに含むデバイスIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするデバイスIDをクリックします。

表 26：コマンドボタン
項目名	説明
ダイアログ下部
登録	入力したデバイスのインターフェースを新規に登録します。該当のMACアドレスを新規デバイスのインターフェースとして登録する場合は「デバイス」/「デバイス追加」画面を、既存のデバイスのインターフェースとして追加登録する場合は「デバイス」/「デバイス更新」画面を表示します。表示される「デバイス追加」画面、「デバイス更新」画面のインターフェース欄には、該当のMACアドレスが追加されますので、デバイスID、タグ、備考、セキュリティーポリシー、その他のインターフェースを必要に応じて設定し、「登録」ボタンをクリックしてください。
キャンセル	デバイスのインターフェースの新規追加をキャンセルします。

デバイスの探索

「デバイス」/「接続中デバイス一覧」画面にて、「デバイスの探索」ボタンをクリックすると、管理下のネットワークに対してデバイスの探索を行います。

表 27：設定データ
項目名	説明
検索範囲	デバイス探索を行うIPv4アドレス、またはIPv4アドレス範囲を指定します。 IPv4アドレス範囲は、以下のように指定します。　xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx（始点アドレス・終点アドレス）　xxx.xxx.xxx.xxx/xx（IPv4アドレスとサブネットマスク長）　xxx.xxx.xxx.xxx または xxx.xxx.xxx.xxx/32（1つのIPアドレスを指定）
Probe ARP / ARP	デバイス探索の方法を、Probe ARPまたはARPから選択します。ARPの場合は送信元IPを指定します。
送信元IP	探索方法で、ARPが選択されている場合のみ指定します。
OpenFlow スイッチ / AMF メンバー	□ OpenFlow 探索の対象となるOpenFlowスイッチを、「スイッチ」/「OpenFlow スイッチ一覧」画面に登録されているスイッチIDから指定します。複数のOpenFlowスイッチを指定する場合は、セミコロン区切り（;）でスイッチIDを入力します。OpenFlowスイッチを指定しない場合（空欄）は、接続しているすべてのOpenFlowスイッチが対象となります。 □ AMFアプリケーションプロキシー機能探索の対象となるAMFメンバーの名称を指定します。複数のAMFメンバーを指定する場合は、セミコロン区切り（;）で名称を入力します。AMFメンバーを指定しない場合（空欄）は、接続しているすべてのAMFメンバーが対象となります。

Note
送信元IPは、検索範囲と同一ネットワークのIPアドレスのうち、探索を行うネットワーク内で使用されていないものを指定してください。
始点アドレス・終点アドレスの指定は、IPアドレス数が4,094以下になるようにしてください。
サブネットマスク長の指定は、20～32ビットマスクの範囲で指定してください。

表 28：コマンドボタン
項目名	説明
ダイアログ下部
検索	入力したIPv4アドレスの検索を開始します。「検索」ボタンをクリックすると、「接続中デバイス一覧」画面に戻ります。「デバイスの探索」を開始すると「デバイスの探索」ボタンが「探索の中止」に変わります。デバイス探索の実行状況は、「デバイスの探索」ボタン/「探索の中止」ボタンの下の進捗欄に表示されます。
キャンセル	デバイス探索をキャンセルします。

接続中デバイス詳細

「デバイス」/「接続中デバイス一覧」画面にて、「MAC アドレス」項目のMACアドレスまたは「状況」項目の各状況をクリックすると、選択したデバイスの詳細を本画面に表示します。

表 29：表示データ
項目名	説明
MAC アドレス	AMF Securityに管理されているMACアドレスとベンダー名です。
IPv4 アドレス	デバイスのIPv4アドレスです。アドレスを特定することができた場合のみ表示されます。
デバイス ID	該当MACアドレスのインターフェースを持つデバイスです。・MACアドレスを関連付けられたデバイスが存在する場合は、デバイスのセキュリティーポリシーに一致するかどうかにかかわらず、そのデバイスIDが表示されます。デバイスIDをクリックすると、「デバイス更新」画面が表示されます。・MACアドレスを関連付けられたデバイスが存在せず、接続がいずれかの未認証グループのセキュリティーポリシーに一致する場合は、「group=グループID」の形式でグループIDが表示されます。グループIDをクリックすると、「グループ」/「未認証グループ更新」画面が表示されます。・MACアドレスにデバイスが関連付けられておらず、かつ未認証グループのセキュリティーポリシーを満たさない場合は、デバイスは空欄となります。
状況	□ OpenFlow/AMFアプリケーションプロキシー機能（TQ）デバイスの現在の状態です。・認証済み：登録されたセキュリティーポリシーに一致、または未認証グループのセキュリティーポリシーに一致したデバイスです。・遮断中：外部システムからの指示や管理者の操作でネットワークから遮断されたデバイスです。「action=」以降に、遮断の理由となったアクションID、および「解除」ボタンが表示されます。「解除」ボタンをクリックするか、「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除するまで、通常のネットワークに接続することはできません。遮断中のデバイスを、外部システムからの指示や管理者の操作で、隔離ネットワークに接続することは可能です。・隔離中：外部システムからの指示や管理者の操作で隔離ネットワークに接続されたデバイスです。「action=」以降に、隔離の理由となったアクションID、および「解除」ボタンが表示されます。「解除」ボタンをクリックするまで、隔離ネットワーク以外に接続することはできません。隔離中のデバイスを、外部システムからの指示や管理者の操作で、ネットワークから遮断することは可能です。・認証失敗： MACアドレスが未登録、またはセキュリティーポリシーに適合しないため、認証に失敗したデバイスです。・検出：未認証グループを用いた端末の検出を用いて検出されたデバイスです。・ログ：情報取得のために通知されたデバイスです。「action=」以降に、通知の理由となったアクションID、および「解除」ボタンが表示されます。・リダイレクトURL：外部システムからの指示や管理者の操作で、リダイレクトURLのアクションが適用されたデバイスです。該当のデバイスは隔離と同様に隔離ネットワークに接続されます。「action=」以降に、リダイレクトURLが適用された理由となったアクションID、および「解除」ボタンが表示されます。「解除」ボタンをクリックするまで、隔離ネットワーク以外に接続することはできません。隔離中のデバイスを、外部システムからの指示や管理者の操作で、ネットワークから遮断することは可能です。なお、リダイレクトURLアクションはTQのAMFアプリケーションプロキシーのみでサポート、OpenFlowでは未サポートです。 □ AMFアプリケーションプロキシー機能デバイスの現在の状態です。・認証済み：登録されたセキュリティーポリシーに一致、または未認証グループのセキュリティーポリシーに一致したデバイスです。・遮断中： AMFアプリケーションプロキシー機能で、通信をレイヤー2（MACレベル）で破棄されているデバイスです。・リンクダウン： AMFアプリケーションプロキシー機能で、接続されているポートが無効化されたデバイスです。・IPフィルター： AMFアプリケーションプロキシー機能で、通信をレイヤー3（IPレベル）で破棄されているデバイスです。・隔離中： AMFアプリケーションプロキシー機能で、隔離ネットワークに接続されているデバイスです。・認証失敗： MACアドレスが未登録、またはセキュリティーポリシーに適合しないため、認証に失敗したデバイスです。・検出：未認証グループを用いた端末の検出を用いて検出されたデバイスです。・ログ：情報取得のために通知されたデバイスです。
更新日時	現在の状況になった日時です。
接続中ネットワーク	デバイスが接続しているVLAN IDおよびネットワークIDです。「vlan=VLAN ID」形式でVLAN IDを、「id=ネットワークID」形式でネットワークIDを表示します。「id=」以降をクリックすると、「ポリシー設定」/「ネットワーク更新」画面を表示します。
アクションの実行者	デバイスの認証や、アクションの適用を要請したシステムなどの名前が表示されます。
アクションの原因	デバイスの認証や、アクションの適用を要請したシステムなどが原因（例：未認証グループによる接続など）を提示していた場合は、その原因が表示されます。また、アクションが連携アプリケーションの通知による場合、通知されたSyslogメッセージおよびSNMPトラップのメッセージの内容が表示されます。

Note
AMFアプリケーションプロキシー機能（AW+）では、「アクションの実行者」項目および「アクションの原因」項目の表示には、プロキシーノード、エッジノードの双方ともファームウェアバージョンが 5.5.0-0.x 以降である必要があります。

表 30：コマンドボタン
項目名	説明
ページ上部
戻る	「接続中デバイス一覧」画面に戻ります。
更新	「接続中デバイス詳細」画面の表示を現在の状況に更新します。

リファレンス編 / グループ

通常の認証に失敗したデバイスのうち、特定のロケーションおよびスケジュール条件に一致するものを未認証グループと呼び、専用のネットワークに接続します。
未認証グループについて詳しくは、クイックツアー「未認証グループによるゲストネットワークの提供」/「未認証グループとは」をご参照ください。
また、AMF Securityに登録されたデバイス ID（デバイス）に設定されているポリシーではなく、タグに設定されたポリシーで認証を行うことができます。
タグについて詳しくは、クイックツアー「タグを使用した認証」/「タグを使用した認証とは」をご参照ください。

未認証グループ一覧

AMF Securityに登録された未認証グループを表示します。

表 1：検索・並べ替え対象項目
項目	検索	並べ替え
グループ ID	○	○
有効	×	×
備考	○	○
ポリシー数	×	×

表 2：表示データ
項目名	説明
グループ ID	未認証グループの名称です。
有効	この未認証グループが有効であるかどうかを表示します。
備考	この未認証グループの追加説明やコメントです。
ポリシー数	未認証グループに設定されたセキュリティーポリシーの数です。

表 3：コマンドボタン
項目名	説明
ページ上部
未認証グループ追加	「未認証グループ追加」画面を表示します。
CSV にエクスポート	未認証グループ一覧をCSV（カンマ区切りテキスト）形式でダウンロードします。
未認証グループ一覧
タイトル行
複数削除	一覧の各行左端のチェックボックスにチェックを入れた未認証グループ情報を削除します。
各行
編集	選択した未認証グループの「未認証グループ更新」画面を表示します。
削除	選択した未認証グループ情報を削除します。

Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

未認証グループ追加

新しい未認証グループを設定します。

表 4：設定データ
項目名	説明
有効	この未認証グループを有効にするかどうかを設定します。
グループ ID（必須項目）	AMF Securityに登録する未認証グループのIDです。既に使用されているグループIDを設定することはできません。グループIDは最大255文字で、英数字、記号以外に日本語も使用できます。
備考	この未認証グループの追加説明やコメントです。備考は最大255文字で、英数字、記号以外に日本語も使用できます。
端末の検出のみを行います。	この未認証グループに設定されたセキュリティーポリシーにデバイスが一致した場合に、端末をネットワークに接続せずに、接続中デバイス一覧に表示のみ行います。

表 5：表示データ
項目名	説明
ポリシー
ポリシー	未認証グループに設定するセキュリティーポリシーの一覧を表示します。
優先度	セキュリティーポリシーを適用する優先度です。
ネットワーク	未認証グループのデバイスを接続するネットワークのIDです。
ロケーション	ロケーションのIDです。
スケジュール	スケジュールのIDです。

表 6：コマンドボタン
項目名	説明
ポリシー
タイトル行
追加	「ポリシー編集」ダイアログを表示し、未認証グループに設定するセキュリティーポリシーを新しく登録します。
各行
編集	「ポリシー編集」ダイアログを表示し、選択したセキュリティーポリシーを編集します。
削除	選択したセキュリティーポリシーを削除します。削除するセキュリティーポリシーの行の左端に削除マークが付きます。
戻す	削除マークを付けたセキュリティーポリシーを戻します。
ページ下部
登録	入力した未認証グループ情報を新規に登録します。
キャンセル	未認証グループの新規追加をキャンセルします。

Note
「削除」ボタンをクリックし、削除マークを付けたインターフェース、セキュリティーポリシーは、「登録」ボタンをクリックした際に削除されます。「登録」ボタンをクリックして削除されたインターフェース、セキュリティーポリシーは復元できませんので、新規に登録し直してください。

ポリシー編集

未認証グループに設定するセキュリティーポリシーを追加、または、設定されたセキュリティーポリシーの詳細を更新します。

表 7：設定データ
項目名	説明
優先度（必須項目）	セキュリティーポリシーを適用する優先度です。0～255の数字で入力します。複数のセキュリティーポリシーが設定されている場合、未認証グループのデバイスがOpenFlowスイッチおよびAMFメンバーに接続されると、最も優先度の値が小さいセキュリティーポリシーから順に一致するかどうかの判定が行われます。
ネットワーク	通常の認証に失敗したデバイスを接続するネットワークを選択します。事前に登録されたネットワークIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をネットワークID、VLAN ID、備考のいずれかに含むネットワークIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするネットワークIDをクリックします。登録されたデバイスがOpenFlowスイッチ、AMFメンバー（エッジノード）、AMFアプリケーションプロキシーのTQに接続された場合は、ネットワークに設定されたVLANサブネットに接続されます。デバイスにネットワークが登録されていない場合（本設定を空欄、またはネットワークのセキュリティーポリシー設定でVLAN IDに0を設定した場合）は、OpenFlowスイッチではタグなしVLAN（VLANなしのサブネット）、AMFメンバーの場合はAMFメンバーに設定されているVLANに接続されます。VLANサブネットへの接続は、接続したOpenFlowおよびAMFメンバーの上位ネットワークに送信されるときに、設定されたVLAN IDを持つタグVLANとして送信することにより実現します。デバイスにネットワークを設定するためには、事前にネットワークを登録する必要があります。ネットワークの登録については、「ポリシー設定」/「ネットワーク追加」をご参照ください。また、登録されたデバイスがAMFアプリケーションプロキシーのTQに接続された場合は、TQの設定に依存します。詳細は、クイックツアー「AMF Securityについて」/「TQのAMFアプリケーションプロキシー機能」の「TQのダイナミック VLAN使用時の動作」をご参照ください。
ロケーション	通常の認証に失敗したデバイスを、未認証グループに収容するロケーション（場所）を選択します。事前に登録されたロケーションIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をロケーションIDまたは備考のいずれかに含むロケーションIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするロケーションIDをクリックします。ロケーションを設定した場合は、そのロケーションに登録されたOpenFlowスイッチおよびAMFメンバーからのみ接続が可能となります。ロケーションが選択されていない場合は、すべてのOpenFlowスイッチおよびAMFメンバーからアクセス可能です。未認証グループにロケーションを設定するためには、事前にロケーションを登録する必要があります。ロケーションの登録については、「ポリシー設定」/「ロケーション追加」をご参照ください。
スケジュール	通常の認証に失敗したデバイスを、未認証グループに収容するスケジュール（期間）を選択します。事前に登録されたスケジュールIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をスケジュールID、備考のいずれかに含むスケジュールIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするスケジュールIDをクリックします。スケジュールを設定した場合は、そのスケジュールに登録された期間のみ接続が可能となります。スケジュールが選択されていない場合はいつでもアクセスが可能です。未認証グループにスケジュールを設定するためには、事前にスケジュールを登録する必要があります。スケジュールの登録については、「ポリシー設定」/「スケジュール追加」をご参照ください。

Note
OpenFlowスイッチでタグなしVLAN（VLANなしのサブネット）、AMFメンバーでAMFメンバーに設定されているVLANにアクセス可能な場合、スイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。

Note
TQのAMFアプリケーションプロキシー機能では、ロケーションとスケジュールの項目は未サポートです。

表 8：コマンドボタン
項目名	説明
ダイアログ下部
登録	新しいポリシー情報を登録、または、選択したポリシー情報を更新します。
キャンセル	ポリシー情報の登録、または、更新をキャンセルします。

未認証グループ更新

既に設定された未認証グループ設定を更新します。

表 9：設定データ
項目名	説明
有効	この未認証グループを有効にするかどうかを設定します。
グループ ID（必須項目）	AMF Securityに登録された未認証グループのIDです。既に使用されているグループIDを設定することはできません。グループIDは最大255文字で、英数字、記号以外に日本語も使用できます。
備考	この未認証グループの追加説明やコメントです。備考は最大255文字で、英数字、記号以外に日本語も使用できます。
端末の検出のみを行います。	この未認証グループに設定されたセキュリティーポリシーにデバイスが一致した場合に、端末をネットワークに接続せずに、接続中デバイス一覧に表示のみ行います。本設定をしている場合は、セキュリティーポリシーにネットワークが設定されていたとしてもネットワークには接続されません。

表 10：表示データ
項目名	説明
ポリシー
ポリシー	未認証グループに設定するセキュリティーポリシーの一覧を表示します。
優先度	セキュリティーポリシーを適用する優先度です。
ネットワーク	未認証グループのデバイスを接続するネットワークのIDです。
ロケーション	ロケーションのIDです。
スケジュール	スケジュールのIDです。

表 11：コマンドボタン
項目名	説明
ポリシー
タイトル行
追加	「ポリシー編集」ダイアログを表示し、未認証グループに設定するセキュリティーポリシーを新しく登録します。
各行
編集	「ポリシー編集」ダイアログを表示し、選択したセキュリティーポリシーを編集します。
削除	選択したセキュリティーポリシーを削除します。削除するセキュリティーポリシーの行の左端に削除マークが付きます。
戻す	削除マークを付けたセキュリティーポリシーを戻します。
ページ下部
登録	選択した未認証グループ情報を更新します。
キャンセル	未認証グループ情報の更新をキャンセルします。

Note
「削除」ボタンをクリックし、削除マークを付けたインターフェース、セキュリティーポリシーは、「登録」ボタンをクリックした際に削除されます。「登録」ボタンをクリックして削除されたインターフェース、セキュリティーポリシーは復元できませんので、新規に登録し直してください。

ポリシー編集

未認証グループに設定するセキュリティーポリシーを追加、または、設定されたセキュリティーポリシーの詳細を更新します。

表 12：設定データ
項目名	説明
優先度（必須項目）	セキュリティーポリシーを適用する優先度です。0～255の数字で入力します。複数のセキュリティーポリシーが設定されている場合、未認証グループのデバイスがOpenFlowスイッチおよびAMFメンバーに接続されると、最も優先度の値が小さいセキュリティーポリシーから順に一致するかどうかの判定が行われます。
ネットワーク	通常の認証に失敗したデバイスを接続するネットワークを選択します。事前に登録されたネットワークIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をネットワークID、VLAN ID、備考のいずれかに含むネットワークIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするネットワークIDをクリックします。登録されたデバイスがOpenFlowスイッチ、AMFメンバー（エッジノード）、AMFアプリケーションプロキシーのTQに接続された場合は、ネットワークに設定されたVLANサブネットに接続されます。デバイスにネットワークが登録されていない場合（本設定を空欄、またはネットワークのセキュリティーポリシー設定でVLAN IDに0を設定した場合）は、OpenFlowスイッチではタグなしVLAN（VLANなしのサブネット）、AMFメンバーの場合はAMFメンバーに設定されているVLANに接続されます。VLANサブネットへの接続は、接続したOpenFlowおよびAMFメンバーの上位ネットワークに送信されるときに、設定されたVLAN IDを持つタグVLANとして送信することにより実現します。デバイスにネットワークを設定するためには、事前にネットワークを登録する必要があります。ネットワークの登録については、「ポリシー設定」/「ネットワーク追加」をご参照ください。また、登録されたデバイスがAMFアプリケーションプロキシーのTQに接続された場合は、TQの設定に依存します。詳細は、クイックツアー「AMF Securityについて」/「TQのAMFアプリケーションプロキシー機能」の「TQのダイナミック VLAN使用時の動作」をご参照ください。
ロケーション	通常の認証に失敗したデバイスを、未認証グループに収容するロケーション（場所）を選択します。事前に登録されたロケーションIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をロケーションIDまたは備考のいずれかに含むロケーションIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするロケーションIDをクリックします。ロケーションを設定した場合は、そのロケーションに登録されたOpenFlowスイッチおよびAMFメンバーからのみ接続が可能となります。ロケーションが選択されていない場合は、すべてのOpenFlowスイッチおよびAMFメンバーからアクセス可能です。未認証グループにロケーションを設定するためには、事前にロケーションを登録する必要があります。ロケーションの登録については、「ポリシー設定」/「ロケーション追加」をご参照ください。
スケジュール	通常の認証に失敗したデバイスを、未認証グループに収容するスケジュール（期間）を選択します。事前に登録されたスケジュールIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をスケジュールID、備考のいずれかに含むスケジュールIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするスケジュールIDをクリックします。スケジュールを設定した場合は、そのスケジュールに登録された期間のみ接続が可能となります。スケジュールが選択されていない場合はいつでもアクセスが可能です。未認証グループにスケジュールを設定するためには、事前にスケジュールを登録する必要があります。スケジュールの登録については、「ポリシー設定」/「スケジュール追加」をご参照ください。

Note
OpenFlowスイッチでタグなしVLAN（VLANなしのサブネット）、AMFメンバーでAMFメンバーに設定されているVLANにアクセス可能な場合、スイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。

Note
TQのAMFアプリケーションプロキシー機能では、ロケーションとスケジュールの項目は未サポートです。

表 13：コマンドボタン
項目名	説明
ダイアログ下部
登録	新しいポリシー情報を登録、または、選択したポリシー情報を更新します。
キャンセル	ポリシー情報の登録、または、更新をキャンセルします。

タグ一覧

AMF Securityに登録されたタグを表示します。

表 14：検索・並べ替え対象項目
項目	検索	並べ替え
タグ	○	○
備考	○	○
ポリシー数	×	×

表 15：表示データ
項目名	説明
タグ	タグの名称です。
備考	このタグの追加説明やコメントです。
ポリシー数	タグに設定されたセキュリティーポリシーの数です。

表 16：コマンドボタン
項目名	説明
ページ上部
タグ追加	「タグ追加」画面を表示します。
CSV にエクスポート	タグ一覧をCSV（カンマ区切りテキスト）形式でダウンロードします。
タグ一覧
タイトル行
複数削除	一覧の各行左端のチェックボックスにチェックを入れたタグ情報を削除します。
各行
編集	選択したタグの「タグ更新」画面を表示します。
削除	選択したタグ情報を削除します。

Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

タグ追加

新しいタグを設定します。

表 17：設定データ
項目名	説明
タグ（必須項目）	AMF Securityに登録するタグです。既に使用されているタグを設定することはできません。タグは「デバイス」/「デバイス一覧」画面で登録する「デバイス ID」に設定の「タグ」と同一のものを設定します。タグは最大16文字で、英数字（セミコロン（;）を除く）、記号以外に日本語も使用できます。
備考	このタグの追加説明やコメントです。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

表 18：表示データ
項目名	説明
ポリシー	タグに設定するセキュリティーポリシーの一覧を表示します。
優先度	セキュリティーポリシーを適用する優先度です。
ネットワーク	ここで登録したタグと同一のタグを持つ「デバイス」/「デバイス一覧」画面の「デバイス ID」に登録されたデバイスを接続するネットワークのIDです。
ロケーション	ロケーションのIDです。
スケジュール	スケジュールのIDです。

表 19：コマンドボタン
項目名	説明
ポリシー
タイトル行
追加	「ポリシー編集」ダイアログを表示し、タグに設定するセキュリティーポリシーを新しく登録します。
各行
編集	「ポリシー編集」ダイアログを表示し、選択したセキュリティーポリシーを編集します。
削除	選択したセキュリティーポリシーを削除します。削除するセキュリティーポリシーの行の左端に削除マークが付きます。
戻す	削除マークを付けたセキュリティーポリシーを戻します。
ページ下部
登録	入力したタグ情報を新規に登録します。
キャンセル	タグの新規追加をキャンセルします。

Note
「削除」ボタンをクリックし、削除マークを付けたセキュリティーポリシーは、「登録」ボタンをクリックした際に削除されます。「登録」ボタンをクリックして削除されたセキュリティーポリシーは復元できませんので、新規に登録し直してください。

ポリシー編集

タグに設定するセキュリティーポリシーを追加、または、設定されたセキュリティーポリシーの詳細を更新します。

表 20：表示データ
項目名	説明
優先度（必須項目）	セキュリティーポリシーを適用する優先度です。0～255の数字で入力します。複数のセキュリティーポリシーが設定されている場合、「デバイス」/「デバイス一覧」画面の「デバイス ID」に登録されたデバイスが、OpenFlowスイッチ、AMFメンバー（エッジノード）、AMFアプリケーションプロキシーのTQに接続されると、最も優先度の値が小さいセキュリティーポリシーから順に一致するかどうかの判定が行われます。
ネットワーク	デバイスを接続するネットワークを選択します。事前に登録されたネットワークIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をネットワークID、VLAN ID、備考のいずれかに含むネットワークIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするネットワークIDをクリックします。登録されたデバイスがOpenFlowスイッチ、AMFメンバー（エッジノード）、AMFアプリケーションプロキシーのTQに接続された場合は、ネットワークに設定されたVLANサブネットに接続されます。デバイスにネットワークが登録されていない場合（本設定を空欄、またはネットワークのセキュリティーポリシー設定でVLAN IDに0を設定した場合）は、OpenFlowスイッチではタグなしVLAN（VLANなしのサブネット）、AMFメンバーの場合はAMFメンバーに設定されているVLANに接続されます。VLANサブネットへの接続は、接続したOpenFlowおよびAMFメンバーの上位ネットワークに送信されるときに、設定されたVLAN IDを持つタグVLANとして送信することにより実現します。デバイスにネットワークを設定するためには、事前にネットワークを登録する必要があります。ネットワークの登録については、「ポリシー設定」/「ネットワーク追加」をご参照ください。また、登録されたデバイスがAMFアプリケーションプロキシーのTQに接続された場合は、TQの設定に依存します。詳細は、クイックツアー「AMF Securityについて」/「TQのAMFアプリケーションプロキシー機能」の「TQのダイナミック VLAN使用時の動作」をご参照ください。
ロケーション	タグに収容するロケーション（場所）を選択します。事前に登録されたロケーションIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をロケーションIDまたは備考のいずれかに含むロケーションIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするロケーションIDをクリックします。ロケーションを設定した場合は、そのロケーションに登録されたOpenFlowスイッチおよびAMFメンバーからのみ接続が可能となります。ロケーションが選択されていない場合は、すべてのOpenFlowスイッチおよびAMFメンバーからアクセス可能です。タグにロケーションを設定するためには、事前にロケーションを登録する必要があります。ロケーションの登録については、「ポリシー設定」/「ロケーション追加」をご参照ください。
スケジュール	タグに収容するスケジュール（期間）を選択します。事前に登録されたスケジュールIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をスケジュールID、備考のいずれかに含むスケジュールIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするスケジュールIDをクリックします。スケジュールを設定した場合は、そのスケジュールに登録された期間のみ接続が可能となります。スケジュールが選択されていない場合はいつでもアクセスが可能です。タグにスケジュールを設定するためには、事前にスケジュールを登録する必要があります。スケジュールの登録については、「ポリシー設定」/「スケジュール追加」をご参照ください。

Note
OpenFlowスイッチでタグなしVLAN（VLANなしのサブネット）、AMFメンバーでAMFメンバーに設定されているVLANにアクセス可能な場合、スイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。

Note
TQのAMFアプリケーションプロキシー機能では、ロケーションとスケジュールの項目は未サポートです。

表 21：コマンドボタン
項目名	説明
ダイアログ下部
登録	新しいポリシー情報を登録、または、選択したポリシー情報を更新します。
キャンセル	ポリシー情報の登録、または、更新をキャンセルします。

タグ更新

既に設定されたタグ設定を更新します。

表 22：設定データ
項目名	説明
タグ（必須項目）	AMF Securityに登録するタグです。既に使用されているタグを設定することはできません。タグは「デバイス」/「デバイス一覧」画面で登録する「デバイス ID」に設定の「タグ」と同一のものを設定します。タグは最大16文字で、英数字（セミコロン（;）を除く）、記号以外に日本語も使用できます。
備考	このタグの追加説明やコメントです。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

表 23：表示データ
項目名	説明
ポリシー	タグに設定するセキュリティーポリシーの一覧を表示します。
優先度	セキュリティーポリシーを適用する優先度です。
ネットワーク	ここで登録したタグと同一のタグを持つ「デバイス」/「デバイス一覧」画面の「デバイス ID」に登録されたデバイスを接続するネットワークのIDです。
ロケーション	ロケーションのIDです。
スケジュール	スケジュールのIDです。

表 24：コマンドボタン
項目名	説明
ポリシー
タイトル行
追加	「ポリシー編集」ダイアログを表示し、タグに設定するセキュリティーポリシーを新しく登録します。
各行
編集	「ポリシー編集」ダイアログを表示し、選択したセキュリティーポリシーを編集します。
削除	選択したセキュリティーポリシーを削除します。削除するセキュリティーポリシーの行の左端に削除マークが付きます。
戻す	削除マークを付けたセキュリティーポリシーを戻します。
ページ下部
登録	入力したタグ情報を更新します。
キャンセル	タグ情報の更新をキャンセルします。

Note
「削除」ボタンをクリックし、削除マークを付けたセキュリティーポリシーは、「登録」ボタンをクリックした際に削除されます。「登録」ボタンをクリックして削除されたセキュリティーポリシーは復元できませんので、新規に登録し直してください。

ポリシー編集

タグに設定するセキュリティーポリシーを追加、または、設定されたセキュリティーポリシーの詳細を更新します。

表 25：表示データ
項目名	説明
優先度（必須項目）	セキュリティーポリシーを適用する優先度です。0～255の数字で入力します。複数のセキュリティーポリシーが設定されている場合、「デバイス」/「デバイス一覧」画面の「デバイス ID」に登録されたデバイスが、OpenFlowスイッチ、AMFメンバー（エッジノード）、AMFアプリケーションプロキシーのTQに接続されると、最も優先度の値が小さいセキュリティーポリシーから順に一致するかどうかの判定が行われます。
ネットワーク	デバイスを接続するネットワークを選択します。事前に登録されたネットワークIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をネットワークID、VLAN ID、備考のいずれかに含むネットワークIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするネットワークIDをクリックします。登録されたデバイスがOpenFlowスイッチ、AMFメンバー（エッジノード）、AMFアプリケーションプロキシーのTQに接続された場合は、ネットワークに設定されたVLANサブネットに接続されます。デバイスにネットワークが登録されていない場合（本設定を空欄、またはネットワークのセキュリティーポリシー設定でVLAN IDに0を設定した場合）は、OpenFlowスイッチではタグなしVLAN（VLANなしのサブネット）、AMFメンバーの場合はAMFメンバーに設定されているVLANに接続されます。VLANサブネットへの接続は、接続したOpenFlowおよびAMFメンバーの上位ネットワークに送信されるときに、設定されたVLAN IDを持つタグVLANとして送信することにより実現します。デバイスにネットワークを設定するためには、事前にネットワークを登録する必要があります。ネットワークの登録については、「ポリシー設定」/「ネットワーク追加」をご参照ください。また、登録されたデバイスがAMFアプリケーションプロキシーのTQに接続された場合は、TQの設定に依存します。詳細は、クイックツアー「AMF Securityについて」/「TQのAMFアプリケーションプロキシー機能」の「TQのダイナミック VLAN使用時の動作」をご参照ください。
ロケーション	タグに収容するロケーション（場所）を選択します。事前に登録されたロケーションIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をロケーションIDまたは備考のいずれかに含むロケーションIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするロケーションIDをクリックします。ロケーションを設定した場合は、そのロケーションに登録されたOpenFlowスイッチおよびAMFメンバーからのみ接続が可能となります。ロケーションが選択されていない場合は、すべてのOpenFlowスイッチおよびAMFメンバーからアクセス可能です。タグにロケーションを設定するためには、事前にロケーションを登録する必要があります。ロケーションの登録については、「ポリシー設定」/「ロケーション追加」をご参照ください。
スケジュール	タグに収容するスケジュール（期間）を選択します。事前に登録されたスケジュールIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をスケジュールID、備考のいずれかに含むスケジュールIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするスケジュールIDをクリックします。スケジュールを設定した場合は、そのスケジュールに登録された期間のみ接続が可能となります。スケジュールが選択されていない場合はいつでもアクセスが可能です。タグにスケジュールを設定するためには、事前にスケジュールを登録する必要があります。スケジュールの登録については、「ポリシー設定」/「スケジュール追加」をご参照ください。

Note
OpenFlowスイッチでタグなしVLAN（VLANなしのサブネット）、AMFメンバーでAMFメンバーに設定されているVLANにアクセス可能な場合、スイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。

Note
TQのAMFアプリケーションプロキシー機能では、ロケーションとスケジュールの項目は未サポートです。

表 26：コマンドボタン
項目名	説明
ダイアログ下部
登録	新しいポリシー情報を登録、または、選択したポリシー情報を更新します。
キャンセル	ポリシー情報の登録、または、更新をキャンセルします。

リファレンス編 / スイッチ

OpenFlow スイッチ一覧

AMF Securityに登録されたOpenFlowスイッチを表示します。

表 1：検索・並べ替え対象項目
項目	検索	並べ替え
スイッチ ID	○	○
Datapath ID	○	○
アップストリームポート	○	○
アカウントグループ ID	○	○
備考	○	○

表 2：表示データ
項目名	説明
スイッチ ID	AMF Securityに登録されたOpenFlowスイッチの名前です。
Datapath ID	OpenFlowスイッチのデータパスID（OpenFlowコントローラーが使用する識別子）です。通常、MACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されます。
アップストリームポート	OpenFlowスイッチのアップストリームポートです。
アカウントグループ ID	OpenFlowスイッチが所属するアカウントグループです。
備考	このOpenFlowスイッチの追加説明やコメントです。

表 3：コマンドボタン
項目名	説明
ページ上部
OpenFlow スイッチ追加	「OpenFlow スイッチ追加」画面を表示します。
接続中 OpenFlow スイッチ一覧	「接続中 OpenFlow スイッチ一覧」画面を表示します。
CSV にエクスポート	OpenFlowスイッチ一覧をCSV（カンマ区切りテキスト）形式でダウンロードします。
OpenFlow スイッチ一覧
タイトル行
複数削除	一覧の各行左端のチェックボックスにチェックを入れたOpenFlowスイッチ情報を削除します。
各行
編集	選択したOpenFlowスイッチの「OpenFlow スイッチ更新」画面を表示します。
削除	選択したOpenFlowスイッチ情報を削除します。

Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

OpenFlow スイッチ追加

新しいOpenFlowスイッチを登録します。
ここで登録されたスイッチはロケーション設定を行う際に使用できます。

Note
AMF Securityでは未登録のOpenFlowスイッチも管理対象になりますが、個別にアップストリームポートを設定する場合や、ロケーション認証を使用する場合は登録が必要となります。

Note
本設定を行うと、AMF Securityは該当するOpenFlowスイッチに設定されているパケット制御フローを初期化します。
また、該当するOpenFlowスイッチとの接続がいったん切断されます。

表 4：設定データ
項目名	説明
スイッチ ID（必須項目）	OpenFlowスイッチの名前です。「OpenFlow スイッチ一覧」画面および「AMF メンバー一覧」画面で、既に使用されているスイッチIDと名称を設定することはできません。スイッチIDは最大255文字で、英数字、記号以外に日本語も使用できます。「接続中 OpenFlow スイッチ一覧」画面で「登録」ボタンをクリックした場合、「ハードウェア情報」が自動入力されます（変更可）。既に使用されている場合は、「_X」（Xは数字）がハードウェア情報に続いて付与されます（例：AT-TQ4600_1）。
Datapath ID（必須項目）	OpenFlowスイッチのデータパスID（OpenFlowコントローラーが使用する識別子）です。通常はOpenFlowスイッチのMACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されるため、変更する必要はありません。自動設定されるデータパスIDはOpenFlowスイッチのMACアドレスの先頭にゼロを補完した16桁の16進数になります。なお、同じデータパスIDは複数登録できません。
アップストリームポート	OpenFlowスイッチのアップストリームポートを設定します。アップストリームポートは1つの装置につき1つのみ登録できます。ポートの指定は、ポート名とOpenFlowポート番号のどちらも使用できます。
アカウントグループ ID	OpenFlowスイッチが所属するアカウントグループIDを選択します。
備考	このOpenFlowスイッチの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

Note
AMF SecurityとOpenFlowスイッチとでデータパスIDが一致していない場合は、OpenFlowポートでのパケット転送が停止します。

Note
AMF SecurityからOpenFlowスイッチのデータパスIDを変更することはできません。

アップストリームポートのポート名は、登録するOpenFlowスイッチによって異なります。

表 5：アップストリームポートに指定できるポート名
ポート名	説明
AlliedWare Plusスイッチ
portX.Y.Z	X:常に「1」。 Y:拡張モジュールベイの番号。本体内蔵ポートの場合は「0」。 Z:製品本体に表記されたポート番号（OpenFlowポート番号とは異なります）。
AT-TQシリーズ無線アクセスポイント
eth0 eth1	イーサネットポート（有線インターフェース）。OpenFlowポート番号は常に「1」。

AlliedWare Plusスイッチの場合、OpenFlowポート番号は、OpenFlowスイッチ側の設定によって異なり、「接続中 OpenFlow スイッチ詳細」画面の「OpenFlow ポート一覧」欄にて確認できます。

Note
OpenFlowスイッチとして、AlliedWare PlusスイッチとAT-TQシリーズ無線アクセスポイントが混在している環境では、「システム設定」/「OpenFlow設定」画面の「既定アップストリームポート」を使用せず、個別にアップストリームポートを設定してください。

表 6：コマンドボタン
項目名	説明
ページ下部
登録	入力したOpenFlowスイッチ情報を新規に登録します。
キャンセル	OpenFlowスイッチの新規追加をキャンセルします。

OpenFlow スイッチ更新

既に設定されたOpenFlowスイッチ設定を更新します。

Note
OpenFlowスイッチ設定の更新を行うと、AMF Securityは該当するOpenFlowスイッチに設定されているパケット制御フローを初期化します。
また、該当するOpenFlowスイッチとの接続がいったん切断されます。

表 7：設定データ
項目名	説明
スイッチ ID（必須項目）	OpenFlowスイッチの名前です。「OpenFlow スイッチ一覧」画面および「AMF メンバー一覧」画面で、既に使用されているスイッチIDと名称を設定することはできません。スイッチIDは最大255文字で、英数字、記号以外に日本語も使用できます。
Datapath ID（必須項目）	OpenFlowスイッチのデータパスID（OpenFlowコントローラーが使用する識別子）です。通常はOpenFlowスイッチのMACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されるため、変更する必要はありません。自動設定されるデータパスIDはOpenFlowスイッチのMACアドレスの先頭にゼロを補完した16桁の16進数になります。なお、同じデータパスIDは複数登録できません。
アップストリームポート	OpenFlowスイッチのアップストリームポートを設定します。アップストリームポートは1つの装置につき1つのみ登録できます。ポートの指定は、ポート名とOpenFlowポート番号のどちらも使用できます。「システム設定」/「OpenFlow設定」画面で「既定アップストリームポート」が設定されている場合、この項目を空欄にすると、「既定アップストリームポート」の設定が使用されます。
アカウントグループ ID	OpenFlowスイッチが所属するアカウントグループIDを選択します。
備考	このOpenFlowスイッチの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

Note
AMF SecurityとOpenFlowスイッチとでデータパスIDが一致していない場合は、OpenFlowポートでのパケット転送が停止します。

アップストリームポートのポート名は、登録するOpenFlowスイッチによって異なります。

表 8：アップストリームポートに指定できるポート名
ポート名	説明
AlliedWare Plusスイッチ
portX.Y.Z	X:常に「1」。 Y:拡張モジュールベイの番号。本体内蔵ポートの場合は「0」。 Z:製品本体に表記されたポート番号（OpenFlowポート番号とは異なります）。
AT-TQシリーズ無線アクセスポイント
eth0 eth1	イーサネットポート（有線インターフェース）。OpenFlowポート番号は常に「1」。

OpenFlowポート番号は、AlliedWare Plusスイッチの場合、OpenFlowスイッチ側の設定によって異なり、「接続中 OpenFlow スイッチ詳細」画面の「OpenFlow ポート一覧」欄にて確認できます。

Note
OpenFlowスイッチとして、AlliedWare PlusスイッチとAT-TQシリーズ無線アクセスポイントが混在している環境では、「システム設定」/「OpenFlow設定」画面の「既定アップストリームポート」を使用せず、個別にアップストリームポートを設定してください。

表 9：コマンドボタン
項目名	説明
ページ下部
登録	選択したOpenFlowスイッチ情報を更新します。
キャンセル	OpenFlowスイッチ情報の更新をキャンセルします。

接続中 OpenFlow スイッチ一覧

現在接続中のOpenFlowスイッチを表示します。
アカウントグループを設定している場合、ログインしたアカウントが所属するアカウントグループに属するOpenFlowスイッチのみ表示されます。
表示されているOpenFlowスイッチと同一のIPアドレスと同一のDatapath IDのOpenFlowスイッチが接続してきた場合、既に接続しているセッションを切断し、新規のセッションを確立します。表示されているOpenFlowスイッチと同一のDatapath IDのOpenFlowスイッチが接続してきた場合、異なるIPアドレスの場合にはセッションは確立しません。

表 10：検索・絞り込み・並べ替え対象項目
項目	検索	絞り込み	並べ替え	備考
Datapath ID	○	－	○
スイッチ ID	△※	－	○	※　未登録は検索対象外。
IPv4 アドレス	○	－	○
状況	×	○	△※	※　並べ替えは、「調整中」→「準備完了」の順を昇順とする。
アップストリームポート	△※	－	×	※　検索対象はカッコの前のスイッチポート番号とカッコ内のOpenFlowポート番号の文字列のみ。
ハードウェア情報	○	－	○

表 11：表示データ
項目名	説明
Datapath ID	OpenFlowスイッチのデータパスID（OpenFlowコントローラーが使用する識別子）です。データパスIDをクリックすると、「接続中 OpenFlow スイッチ詳細」画面を表示します。
スイッチ ID	AMF Securityに登録されたOpenFlowスイッチの名前です。スイッチIDをクリックすると、「OpenFlow スイッチ更新」画面を表示します。 OpenFlowスイッチが登録されていない場合、未登録の表記と「登録」ボタンが表示されます。
IPv4 アドレス	OpenFlowスイッチのIPv4アドレスです。
状況	OpenFlowスイッチの状態です。・調整中： OpenFlow機能の初期設定やパケット制御フローの確認、アップストリームポートのポート名およびOpenFlowポート番号の設定など、AMF Securityとの同期を準備中です。なお、アップストリームポートとして使用されるポート名およびOpenFlowポート番号が不一致の場合にも「調整中」が表示されます。・準備完了： OpenFlow機能の初期設定が完了し、デバイスを接続できます。
アップストリームポート	アップストリームポートとして使用されているポート名およびOpenFlowポート番号です。
ハードウェア情報	OpenFlowスイッチが送ってきた自身の装置情報があれば表示します。

表 12：コマンドボタン
項目名	説明
ページ上部
OpenFlow スイッチ一覧	「OpenFlow スイッチ一覧」画面を表示します。
CSV にエクスポート	OpenFlowスイッチ一覧をCSV（カンマ区切りテキスト）形式でダウンロードします。
更新	「接続中 OpenFlow スイッチ一覧」画面の表示を現在の状況に更新します。
接続中 OpenFlowスイッチ一覧
タイトル行
複数全Flow 削除	一覧の各行左端のチェックボックスにチェックを入れたOpenFlowスイッチが持つ全フローエントリーを削除し、OpenFlowスイッチとの接続（TCPセッション）を切断します。
各行
全Flow 削除	現在OpenFlowスイッチが持つ全フローエントリーを削除し、OpenFlowスイッチとの接続（TCPセッション）を切断します。
登録	（OpenFlowスイッチが未登録の場合のみ）「OpenFlow スイッチ追加」画面を表示します。
編集	（OpenFlowスイッチが登録済みの場合のみ）「OpenFlow スイッチ更新」画面を表示します。

Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

接続中 OpenFlow スイッチ詳細

現在接続中のOpenFlowスイッチの詳細情報です。

表 13：表示データ
項目名	説明
スイッチ ID	AMF Securityに登録されたOpenFlowスイッチの名前です。
Datapath ID	OpenFlowスイッチのデータパスID（OpenFlowコントローラーが使用する識別子）です。
IPv4 アドレス	OpenFlowスイッチのIPv4アドレスです。
プロトコルバージョン	OpenFlowスイッチとの接続に使用されているOpenFlowプロトコルのバージョンです。
状況	OpenFlowスイッチの状態です。・調整中： OpenFlow機能の初期設定やパケット制御フローの確認、アップストリームポートのポート名およびOpenFlowポート番号の設定など、AMF Securityとの同期を準備中です。なお、アップストリームポートとして使用されるポート名およびOpenFlowポート番号が不一致の場合にも「調整中」が表示されます。・準備完了： OpenFlow機能の初期設定が完了し、デバイスを接続できます。
製造者	OpenFlowスイッチが送信した製造者情報です。
ハードウェア情報	OpenFlowスイッチが送ってきたハードウェア情報です。
ソフトウェア情報	OpenFlowスイッチが送ってきたソフトウェア情報です。
シリアル番号	OpenFlowスイッチが送ってきたシリアル番号情報です。
Datapath 情報	OpenFlowスイッチが送ってきたDatapathの情報です。
OpenFlow ポート一覧	OpenFlowスイッチが持つOpenFlowポート一覧です。

表 14：OpenFlow ポート一覧表示データ
項目名	説明
番号	OpenFlowポート番号です。
名称	ポート名です。
状態	ポートのリンクステータスです。
MAC アドレス	ポートのMACアドレスです。
アップストリームポート	アップストリームポートとして使用されているポートに * が表示されます。

Note
ポートのリンクステータスは、AlliedWare Plusスイッチでは「up/down」が表示されます。AT-TQシリーズ無線LANアクセスポイントでは常に「Up」が表示されます。

表 15：ポート名
ポート名	説明
AlliedWare Plusスイッチ
portX.Y.Z	X:常に「1」。 Y:拡張モジュールベイの番号。本体内蔵ポートの場合は「0」。 Z:製品本体に表記されたポート番号（OpenFlowポート番号とは異なります）。
eth0	マネージメントポート（対応のAlliedWare Plusスイッチのみ）。
AT-TQシリーズ無線アクセスポイント
eth0 eth1	イーサネットポート（有線インターフェース）。OpenFlowポート番号は常に「1」。
wlanX	無線インターフェース。
athX	無線インターフェース。

OpenFlowポート番号は、AlliedWare Plusスイッチの場合、OpenFlowスイッチ側の設定によって異なります。

表 16：コマンドボタン
項目名	説明
ページ上部
戻る	「接続中 OpenFlow スイッチ一覧」画面に戻ります。
更新	「接続中 OpenFlow スイッチ詳細」画面の表示を現在の状況に更新します。
状況
フロー表示	「OpenFlow スイッチフロー一覧」画面を表示します。

OpenFlow スイッチフロー一覧

OpenFlowスイッチが持つ、AMF Securityから送られたフローを表示します。

表 17：コマンドボタン
項目名	説明
ページ上部
戻る	「接続中 OpenFlow スイッチ詳細」画面に戻ります。
更新	「OpenFlow スイッチフロー一覧」画面の表示を現在の状況に更新します。

AMF メンバー一覧

AMF Securityに登録されたAMFメンバーを表示します。

表 18：検索・並べ替え対象項目
項目	検索	並べ替え
名称	○	○
アカウントグループ ID	○	○
備考	○	○

表 19：表示データ
項目名	説明
名称	AMF Securityに登録されたAMFメンバーの名前です。
アカウントグループ ID	AMFメンバーが所属するアカウントグループIDです。
備考	このAMFメンバーの追加説明やコメントです。

表 20：コマンドボタン
項目名	説明
ページ上部
AMF メンバー追加	「AMF メンバー追加」画面を表示します。
接続中 AMF メンバー一覧	「接続中 AMF メンバー一覧」画面を表示します。
CSV にエクスポート	AMFメンバー一覧をCSV（カンマ区切りテキスト）形式でダウンロードします。
AMF メンバー一覧
タイトル行
複数削除	一覧の各行左端のチェックボックスにチェックを入れたAMFメンバーの認証情報を削除します。
各行
編集	選択したAMFメンバーの「AMF メンバー更新」画面を表示します。
削除	選択したAMFメンバー情報を削除します。

Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

AMF メンバー追加

新しいAMFメンバー設定を登録します。
AMFメンバーの登録を行うと、セキュリティーポリシーのロケーションやアカウントグループを関連付けることができます。
ロケーションやアカウントグループを使用しない場合には、AMFメンバーの登録は必須ではありません。

Note
AMFメンバーの登録を行うと、AMF Securityは該当するAMFメンバーのすべての認証情報を削除します。

表 21：設定データ
項目名	説明
名称	AMFメンバーの名称です。「OpenFlow スイッチ一覧」画面および「AMF メンバー一覧」画面で、既に使用されているスイッチIDと名称を設定することはできません。名称は最大255文字で、使用可能な文字は半角英数字とハイフン（-）、アンダースコア（_）のみです。
アカウントグループ ID	AMFメンバーが所属するアカウントグループIDを選択します。
備考	AMFメンバーの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

Note
AMFメンバーの管理はAMFメンバーのホスト名で行うため、名称はAMFメンバーのホスト名と同一にしてください。

Note
AMFメンバーの名称は重複して登録できないため、AMFメンバーのホスト名も重複しないようにしてください。

表 22：コマンドボタン
項目名	説明
ページ下部
登録	入力したAMFメンバー情報を新規に登録します。
キャンセル	AMFメンバーの新規追加をキャンセルします。

AMF メンバー更新

既に設定されたAMFメンバー設定を更新します。

Note
AMFメンバーの更新を行うと、AMF Securityは該当するAMFメンバーのすべての認証情報を削除します。

表 23：設定データ
項目名	説明
名称	AMFメンバーの名称です。「OpenFlow スイッチ一覧」画面および「AMF メンバー一覧」画面で、既に使用されているスイッチIDと名称を設定することはできません。名称は最大255文字で、使用可能な文字は半角英数字とハイフン（-）、アンダースコア（_）のみです。
アカウントグループ ID	AMFメンバーが所属するアカウントグループIDを選択します。
備考	AMFメンバーの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

Note
AMFメンバーの管理はAMFメンバーのホスト名で行うため、名称はAMFメンバーのホスト名と同一にしてください。

表 24：コマンドボタン
項目名	説明
ページ下部
登録	選択したAMFメンバー情報を更新します。
キャンセル	AMFメンバー情報の更新をキャンセルします。

接続中 AMF メンバー一覧

現在接続中のAMFメンバーを表示します。
アカウントグループを設定している場合、ログインしたアカウントが所属するアカウントグループに属するAMFメンバーのみ表示されます。

表 25：検索・絞り込み・並べ替え対象項目
項目	検索	絞り込み	並べ替え
名称	○	－	○
登録状況	×	－	×
ドメイン名	○	－	○
IPv4 アドレス	×	－	○
最終更新日時	×	－	×

表 26：表示データ
項目名	説明
名称	AMFメンバーの名称（AMF Securityが使用する識別子）です。
登録状況	AMF Securityに登録されたAMFメンバーの登録状況です。「登録」ボタンをクリックすると、「AMF メンバー追加」画面を表示します。 AMFメンバーが登録されていない場合、未登録の表記と「登録」ボタンが表示されます。
ドメイン名	AMFメンバーのドメイン名です。
IPv4 アドレス	AMFメンバーのIPv4アドレスです。
最終更新日時	AMF SecurityとAMFメンバーが最後に通信した日時を表示します。

Note
AMFメンバーのIPv4アドレスは、AMFメンバーに「application-proxy whitelist advertised-address」が設定されていない場合には、AMFのマネージメントVLANのIPアドレスが表示されます。AMFメンバーに「application-proxy whitelist advertised-address」が設定されている場合は、指定したインターフェースのプライマリーIPv4アドレスが表示されますが、該当のAMFメンバー配下の端末の通信可否の問い合わせを受けていない場合には、AMFのマネージメントVLANのIPアドレスが表示されます。

表 27：コマンドボタン
項目名	説明
ページ上部
AMF メンバー一覧	「AMF メンバー一覧」画面を表示します。
CSV にエクスポート	接続中AMFメンバー一覧をCSV（カンマ区切りテキスト）形式でダウンロードします。
接続中 AMF メンバー一覧
タイトル行
複数削除	一覧の各行左端のチェックボックスにチェックを入れたAMFメンバーのすべての認証情報を削除します。
各行
登録	選択したAMFメンバーの「AMF メンバー更新」画面を表示します。
同期	選択したAMFメンバーの認証情報を取得します。本機能を使用するには、お使いのAlliedWare Plus機器のプロキシーノード、エッジノードの双方ともファームウェアバージョン 5.5.0-0.x 以降が必要です。
削除	選択したAMFメンバーのすべての認証情報を削除します。

Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

リファレンス編 / ポリシー設定

OpenFlowスイッチ / AMFメンバー

ロケーション更新

OpenFlowスイッチ / AMFメンバー

デバイス、または未認証グループに適用するセキュリティーポリシーを表示、設定します。
また、AMF Securityにセキュリティーポリシーに登録されているアクションの一覧を表示、またはアクションの追加もここから行います。

セキュリティーポリシーについて

セキュリティーポリシーには、次の属性があります。

ネットワーク
デバイスを接続できるVLANセグメント。
MACアドレスを登録されたデバイスがOpenFlowスイッチ、AMFメンバー（エッジノード）、AMFアプリケーションプロキシーのTQに接続された場合は、ネットワークに設定されたVLANサブネットに接続されます。
デバイスにネットワークが登録されていない場合は、OpenFlowスイッチではタグなしVLAN（VLANなしのサブネット）、エッジノードの場合はエッジノードに設定されているVLANに接続されます。
VLANサブネットへの接続は、設定されたVLAN IDを持つタグVLANとして送信することにより実現します。

Note
タグなしVLANにアクセス可能な場合、スイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。

Note
MACアドレスを登録されたデバイスがAMFアプリケーションプロキシーのTQに接続された場合は、TQの設定に依存します。詳細は、クイックツアー「AMF Securityについて」/「TQのAMFアプリケーションプロキシー機能」の「TQのダイナミック VLAN使用時の動作」をご参照ください。
ロケーション
デバイスを接続できる物理的な場所、空間。
デバイスにロケーションを設定した場合は、そのロケーションに登録されたOpenFlowスイッチ、もしくはエッジノードからのみ接続が可能となります。
ロケーションが選択されていない場合は、すべてのスイッチからアクセスが可能です。
スケジュール
デバイスを接続できる期間（開始・終了日時）。
デバイスにスケジュールを設定した場合は、そのスケジュールに登録された期間のみ接続が可能となります。スケジュールが選択されていない場合はいつでもアクセスが可能です。
スケジュールに終了日時を設定されたデバイスを隔離した際、隔離ネットワークに対するフロー有効時間がスケジュールの終了日時設定よりも優先されるため、終了日時を過ぎても隔離VLANを用いて通信ができてしまいます。このフローの有効時間は、「システム設定」/「OpenFlow設定」画面の「既定フロー有効時間」の値が適用されます。

デバイスには複数のセキュリティーポリシーを設定でき、セキュリティーポリシーに設定される優先度の値が最も小さいものが適用されます。
AMF Securityにスケジュールのセキュリティーポリシーが設定されている場合、AMF Securityはデバイスが接続した時点で一致するセキュリティーポリシーに基づいて接続を許可します。
仮に次のようなセキュリティーポリシーが設定されている場合を例として説明します。

表 1：デバイスに設定されているセキュリティーポリシー
優先度	スケジュール開始日時	スケジュール終了日時	ネットワーク
10	20XX-04-01 00:00:00	20XX-09-30 23:59:59	VLAN10
20	20XX-01-01 00:00:00	20XX-12-31 23:59:59	VLAN20

上記の状態でデバイスが「20XX-03-30 10:00:00」に接続すると、優先度20に設定されているセキュリティーポリシーに一致するため、デバイスはVLAN20のネットワークに割り当てられます。
その後、時間が経過して「20XX-04-01 00:00:00」になると、より優先度が高い、優先度10に設定されているセキュリティーポリシーに一致するようになるため、デバイスはVLAN10のネットワークに割り当てられます。

スケジュールの開始日時・終了日時について

スケジュールで設定する開始日時・終了日時は、「システム設定」/「時刻設定」画面で現在設定されているタイムゾーンの日時です。
スケジュールを登録後にタイムゾーンが変更されると、変更後のタイムゾーンに合わせてスケジュールの開始日時・終了日時が変更されます。
例として、タイムゾーンが「UTC」に設定されている状態でスケジュールの登録を行った後に、タイムゾーンを「Asia/Tokyo」に変更すると、スケジュールの開始日時・終了日時は「UTC+9時間」に変更されます。

表 2：タイムゾーンが「UTC」で以下を設定
スケジュール開始日時	スケジュール終了日時
20XX-04-01 08:00:00	20XX-09-30 23:59:59

表 3：タイムゾーンを「UTC」から「Asia/Tokyo」に変更
スケジュール開始日時	スケジュール終了日時
20XX-04-01 17:00:00	20XX-10-01 08:59:59

そのため、以下のようなスケジュールの設定に関連した操作を行う場合には、事前に使用されるタイムゾーンが設定されていることをご確認ください。

「ポリシー設定」でスケジュールの追加・更新
「システム設定」/「システム情報」画面で、認証データのエクスポート・インポート
AMF Securityの連携アプリケーション（API）による認証データの登録

Note
「システム設定」/「システム情報」画面でエクスポートするシステム設定には、タイムゾーンの設定が含まれます。AMF Securityのタイムゾーンの初期設定は「UTC」のため、AMF Securityの初期化や新規インストール後などに、バックアップしていたシステム設定と認証データをインポートする場合には、「システム設定」のインポート → AMF Securityアプリケーションの再起動（停止→起動） → 「認証データ」のインポートの順で行ってください。
AMF Securityアプリケーションの操作については、弊社ホームページに掲載されている「AT-VST-VRT リファレンスマニュアル」をご参照ください。

ネットワーク一覧

登録済みネットワーク設定の一覧を表示します。

表 4：検索・並べ替え対象項目
項目	検索	並べ替え
ネットワーク ID	○	○
VLAN ID	○	○
備考	○	○

表 5：表示データ
項目名	説明
ネットワーク ID	ネットワークの名称です。クリックすると、該当のネットワークの「ネットワーク更新」画面を表示します。
VLAN ID	ネットワークのVLAN IDです。
備考	ネットワークの追加説明やコメントです。

表 6：コマンドボタン
項目名	説明
ページ上部
ネットワーク追加	「ネットワーク追加」画面を表示します。
CSV にエクスポート	ネットワーク一覧をCSV（カンマ区切りテキスト）形式でダウンロードします。
ネットワーク一覧
タイトル行
複数削除	一覧の各行左端のチェックボックスにチェックを入れたネットワーク設定を削除します。
各行
編集	「ネットワーク更新」画面を表示します。
削除	ネットワーク設定を削除します。

Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

ネットワーク追加

新しいネットワークとそのネットワークのVLAN IDを設定します。
ネットワーク設定を利用することにより、接続許可デバイスが接続されるVLANセグメントを制御できます。
VLANセグメントへの接続制御は、接続許可デバイスが送信したパケットにVLANタグを付加することにより実現します。

表 7：設定データ
項目名	説明
ネットワーク ID（必須項目）	ネットワークの名称です。既に使用されているネットワークIDを設定することはできません。ネットワークIDは最大255文字で、英数字、記号以外に日本語も使用できます。
VLAN ID（必須項目）	ネットワークのVLAN IDを設定します。既に登録済みのVLAN IDを別のネットワークに割り当てることはできません。 VLAN IDに0を設定するとVLANタグを付与しません。これはネットワーク設定を行わない状態と同じ動作になります。 VLAN IDの設定範囲は0～4094です。
備考	このネットワークの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

表 8：コマンドボタン
項目名	説明
ページ下部
登録	入力したネットワーク情報を新規に登録します。
キャンセル	ネットワークの新規追加をキャンセルします。

ネットワーク更新

既に設定されたネットワーク設定を更新します。

表 9：設定データ
項目名	説明
ネットワーク ID（必須項目）	ネットワークの名称です。既に使用されているネットワークIDを設定することはできません。 IDは最大255文字で、英数字、記号以外に日本語も使用できます。
VLAN ID（必須項目）	ネットワークのVLAN IDを設定します。 VLAN IDに0を設定するとVLANタグを付与しません。これはネットワーク設定を行わない状態と同じ動作になります。 VLAN IDの設定範囲は0～4094です。
備考	このネットワークの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

表 10：コマンドボタン
項目名	説明
ページ下部
登録	選択したネットワーク情報を更新します。
キャンセル	ネットワーク情報の更新をキャンセルします。

ロケーション一覧

登録済みロケーション設定の一覧を表示します。

表 11：検索・並べ替え対象項目
項目	検索	並べ替え
ロケーション ID	○	○
備考	○	○
スイッチ数	×	×

表 12：表示データ
項目名	説明
ロケーション ID	ロケーションの名称です。クリックすると、該当のロケーションの「ロケーション更新」画面を表示します。
備考	ロケーションの追加説明やコメントです。
スイッチ数	ロケーションに登録されているOpenFlowスイッチおよびAMFメンバーの数です。

表 13：コマンドボタン
項目名	説明
ページ上部
ロケーション追加	「ロケーション追加」画面を表示します。
CSV にエクスポート	ロケーション一覧をCSV（カンマ区切りテキスト）形式でダウンロードします。
ロケーション一覧
タイトル行
複数削除	一覧の各行左端のチェックボックスにチェックを入れたロケーション設定を削除します。
各行
編集	選択したロケーションの「ロケーション更新」画面を表示します。
削除	選択したロケーション設定を削除します。

Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

ロケーション追加

新しいロケーションとそのロケーションに所属するOpenFlowスイッチ/AMFメンバーを設定します。
ここで登録したロケーションをデバイスに設定することで、デバイスはそのロケーションに登録されたOpenFlowスイッチおよびAMFメンバーからのみ接続できるようになります。

表 14：設定データ
項目名	説明
ロケーション ID（必須項目）	ロケーションの名称です。既に使用されているロケーションIDを設定することはできません。ロケーションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
備考	このロケーションの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。
OpenFlow スイッチ / AMF メンバー	このロケーションに所属するOpenFlowスイッチ/AMFメンバーの一覧です。

表 15：表示データ
項目名	説明
OpenFlow スイッチ
スイッチ ID	ロケーションに所属するOpenFlowスイッチの名前またはAMFメンバーの名称です。
Datapath ID	OpenFlowスイッチのデータパスID（OpenFlowコントローラーが使用する識別子）です。通常、MACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されます。
備考	このOpenFlowスイッチ/AMFメンバーの追加説明やコメントです。

表 16：コマンドボタン
項目名	説明
OpenFlowスイッチ / AMFメンバー
選択	「OpenFlowスイッチ / AMFメンバー」ダイアログを表示します。
ページ下部
登録	入力したロケーション情報を新規に登録します。
キャンセル	ロケーションの新規追加をキャンセルします。

OpenFlowスイッチ / AMFメンバー

ロケーション設定に所属するOpenFlowスイッチ/AMFメンバーの追加、削除を行う画面です。
この画面には、「スイッチ」/「OpenFlow スイッチ一覧」画面または「スイッチ」/「AMF メンバー一覧」画面にて登録されているOpenFlowスイッチ/AMFメンバーの一覧が表示されます。
OpenFlowスイッチ/AMFメンバー一覧の左端のボックスにチェックを入れることにより、当該のロケーションにOpenFlowスイッチ/AMFメンバーが追加されます。

表 17：表示データ
項目名	説明
スイッチ ID	AMF Securityに登録されたOpenFlowスイッチの名前またはAMFメンバーの名称です。
Datapath ID	OpenFlowスイッチのデータパスID（OpenFlowコントローラーが使用する識別子）です。通常、MACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されます。
備考	このOpenFlowスイッチ/AMFメンバーの追加説明やコメントです。

表 18：コマンドボタン
項目名	説明
ダイアログ下部
登録	チェックを入れたOpenFlowスイッチ/AMFメンバーをロケーションに登録します。
キャンセル	該当ロケーションに所属するOpenFlowスイッチ/AMFメンバー一覧の変更をキャンセルします。

ロケーション更新

既に設定されたロケーション設定を更新します。

表 19：設定データ
項目名	説明
ロケーション ID（必須項目）	ロケーションの名称です。既に使用されているロケーションIDを設定することはできません。ロケーションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
備考	このロケーションの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。
OpenFlow スイッチ / AMF メンバー	このロケーションに所属するOpenFlowスイッチ/AMFメンバーの一覧です。

表 20：表示データ
項目名	説明
OpenFlow スイッチ
スイッチ ID	ロケーションに所属するOpenFlowスイッチの名前またはAMFメンバーの名称です。
Datapath ID	OpenFlowスイッチのデータパスID（OpenFlowコントローラーが使用する識別子）です。通常、MACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されます。
備考	このOpenFlowスイッチ/AMFメンバーの追加説明やコメントです。

表 21：コマンドボタン
項目名	説明
OpenFlowスイッチ / AMFメンバー
選択	「OpenFlowスイッチ / AMFメンバー」ダイアログを表示します。
ページ下部
登録	選択したロケーション情報を更新します。
キャンセル	ロケーション情報の更新をキャンセルします。

OpenFlowスイッチ / AMFメンバー

表 22：表示データ
項目名	説明
スイッチ ID	AMF Securityに登録されたOpenFlowスイッチの名前またはAMFメンバーの名称です。
Datapath ID	OpenFlowスイッチのデータパスID（OpenFlowコントローラーが使用する識別子）です。通常、MACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されます。
備考	このOpenFlowスイッチ/AMFメンバーの追加説明やコメントです。

表 23：コマンドボタン
項目名	説明
ダイアログ下部
登録	チェックを入れたOpenFlowスイッチをロケーションに登録します。
キャンセル	ロケーションの新規追加をキャンセルします。

スケジュール一覧

登録済みスケジュール設定の一覧を表示します。

Note
スケジュールで設定する開始日時・終了日時は、「システム設定」/「時刻設定」画面で現在設定されているタイムゾーンの日時です。
詳しくは、「ポリシー設定」/「スケジュールの開始日時・終了日時について」をご参照ください。

表 24：検索・並べ替え対象項目
項目	検索	並べ替え
スケジュール ID	○	○
開始日時	○	○
終了日時	○	○
備考	○	○

表 25：表示データ
項目名	説明
スケジュール ID	スケジュールの名称です。クリックすると、該当のスケジュールの「スケジュール更新」画面を表示します。
開始日時	デバイスがネットワークに接続可能になる日時です。また、未認証グループによるデバイスの検出の検出条件（セキュリティーポリシー）としても使用できます。
終了日時	デバイスがネットワークに接続不可能になる日時です。また、未認証グループによるデバイスの検出の検出条件（セキュリティーポリシー）としても使用できます。
備考	スケジュールの追加説明やコメントです。

表 26：コマンドボタン
項目名	説明
ページ上部
スケジュール追加	「スケジュール追加」画面を表示します。
CSV にエクスポート	スケジュール一覧をCSV（カンマ区切りテキスト）形式でダウンロードします。
スケジュール一覧
タイトル行
複数削除	一覧の各行左端のチェックボックスにチェックを入れたスケジュール設定を削除します。
各行
編集	「スケジュール更新」画面を表示します。
削除	スケジュール設定を削除します。

Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

スケジュール追加

新しいスケジュールを設定します。
スケジュールを設定することによりデバイスがネットワークに接続可能な期間を制御することができます。

表 27：設定データ
項目名	説明
スケジュール ID（必須項目）	スケジュールの名称です。既に使用されているスケジュールIDを設定することはできません。スケジュールIDは最大255文字で、英数字、記号以外に日本語も使用できます。
開始日時	デバイスがネットワークに接続可能になる日時、または未認証グループによるデバイスの検出の開始日時を設定します。カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
終了日時	デバイスがネットワークに接続不可能になる日時、または未認証グループによるデバイスの検出の終了日時を設定します。カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
備考	このスケジュールの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

■ カレンダーコントロール

日付
時間

Note
曜日指定はできません。

表 28：コマンドボタン
項目名	説明
ページ下部
登録	入力したスケジュール情報を新規に登録します。
キャンセル	スケジュールの新規追加をキャンセルします。

スケジュール更新

既に設定されたスケジュール設定を更新します。

表 29：設定データ
項目名	説明
スケジュール ID（必須項目）	スケジュールの名称です。既に使用されているスケジュールIDを設定することはできません。スケジュールIDは最大255文字で、英数字、記号以外に日本語も使用できます。
開始日時	デバイスがネットワークに接続可能になる日時、または未認証グループによるデバイスの検出の開始日時を設定します。カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
終了日時	デバイスがネットワークに接続不可能になる日時、または未認証グループによるデバイスの検出の終了日時を設定します。カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
備考	このスケジュールの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

■ カレンダーコントロール

日付
時間

表 30：コマンドボタン
項目名	説明
ページ下部
登録	選択したスケジュール情報を更新します。
キャンセル	スケジュール情報の更新をキャンセルします。

アクション一覧

デバイスに対し、「デバイス」/「接続中デバイス一覧」画面、または連携するアプリケーションによって個別に設定された遮断、隔離などのアクションを一覧表示します。
また、表示されているアクションを削除することで、遮断、隔離などの状態を解除することができます。

Note
AMFアプリケーションプロキシー機能で、AMF SecurityがAMFマスターに送信した被疑デバイスの遮断を解除（被疑デバイスの情報を削除）する場合には、本画面で該当のアクションを削除します。AMFアプリケーションプロキシー機能については、クイックツアー「AMF Securityについて」/「AMFアプリケーションプロキシー機能とは」をご参照ください。

表 31：検索・並べ替え対象項目
項目	検索	並べ替え	備考
アクション ID	○	○
優先度	○	○
条件	△※	×	※　検索対象は「mac=」「ip=」「device-name=」「tag=」「location=」「switch=」「network=」以降の文字列のみ。
アクション (OpenFlow,TQ/AMF)	△※1	△※2	※1　検索対象は「通過(許可) ->」「破棄(遮断) ->」「隔離 ->」「リダイレクトURL ->」以降の文字列のみ。後続のAMFアクションは検索対象外。 ※2　並べ替えは、「通過(許可)」→「破棄(遮断)」→「隔離」→「ログ」→「リダイレクトURL」の順を昇順とする。後続のAMFアクションによる並べ替えは対象外。
実行者	○	○
原因	○	○

表 32：表示データ
項目名	説明
アクション ID	AMF Securityに登録されたアクションの名前です。登録されていない場合、自動的に割り当てられます。クリックすると、該当のアクションの「アクション詳細」画面を表示します。
優先度	アクションの優先度です。同時に条件を満たすアクションが存在する場合、より小さい値が割り当てられたアクションが優先して適用されます。
条件	アクションの条件です。
アクション (OpenFlow,TQ/AMF)	アクションの内容です。 OpenFlow/TQアクション（通過(許可)/隔離/破棄(遮断)/ログ/リダイレクトURL）、AMFアクション（AMF依存/隔離/パケット破棄/リンクダウン/IPフィルター/ログ）をそれぞれ表示します。
実行者	アクションを設定したシステムを表示します。「sesc.block」「sesc.action」はAMF Securityで操作したアクションを示し、「sesc.trap.XXX」は連携アプリケーションからのアクションを示します（XXXは連携アプリケーションによって異なります）。
原因	アクションの原因です。

表 33：コマンドボタン
項目名	説明
ページ上部
アクション追加	「アクション追加」画面を表示します。
CSV にエクスポート	アクション一覧をCSV（カンマ区切りテキスト）形式でダウンロードします。
更新	「アクション一覧」画面の表示を現在の状況に更新します。
アクション一覧
タイトル行
複数削除	左端のチェックボックスにチェックを入れたアクションを一括して削除します。
各行
削除	選択したアクションを個別に削除します。

Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

アクション追加

アクションを新規に追加します。

表 34：設定データ
項目名	説明
アクション ID（必須項目）	AMF Securityに登録するアクションのIDです。既に使用されているアクションIDを設定することはできません。アクションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
優先度	アクションの優先度です。1～65535の数字で入力します。同時に条件を満たすアクションが存在する場合、より小さい値が割り当てられたアクションが優先して適用されます。値を省略した場合は10が設定されます。
原因	アクションの原因、適用理由など、管理上の情報を登録します。原因は最大255文字で、英数字、記号以外に日本語も使用できます。
条件
デバイス MAC アドレス	アクションの対象とするデバイスのユニキャストMACアドレスを指定します。 MACアドレスの表記として使用可能なフォーマットは下記となります。 xx:xx:xx:xx:xx:xx, xx-xx-xx-xx-xx-xx, xxxx.xxxx.xxxx
デバイス IPv4 アドレス	アクションの対象とするデバイスのユニキャストIPv4アドレスを指定します。
デバイス	アクションの対象とするデバイスIDを指定します。事前に登録されたデバイスIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をデバイスID、タグ、備考のいずれかに含むデバイスIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするデバイスIDをクリックします。
デバイスタグ	アクションの対象とする、デバイスに設定されたタグを入力します。
ロケーション	アクションの対象とするロケーションIDです。事前に登録されたロケーションIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をロケーションIDまたは備考のいずれかに含むロケーションIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするロケーションIDをクリックします。
OpenFlow スイッチ	アクションの対象とするスイッチIDです。事前に登録されたスイッチIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をスイッチID、Datapath ID、アップストリームポート、備考のいずれかに含むスイッチIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするスイッチIDをクリックします。
接続中ネットワーク	アクションの対象とするネットワークIDです。事前に登録されたネットワークIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をネットワークID、VLAN ID、備考のいずれかに含むネットワークIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするネットワークIDをクリックします。
アクション
OpenFlow/TQ アクション	対象のデバイスに適用するOpenFlow/TQのAMFアプリケーションプロキシーアクションの内容です。・通過(許可)：デバイスの通信を許可します。・隔離：隔離ネットワークに接続します。・破棄(遮断)：デバイスからのパケットを破棄し、通信を遮断します。・ログ： AMF Securityからはアクションを通知せず、該当デバイスの通信制御は行われません。該当デバイスのログのみを出力します。・リダイレクトURL：該当デバイスにリダイレクトURLのアクションを適用し、隔離ネットワークに接続します。本アクションはTQのAMFアプリケーションプロキシーのみでサポート、OpenFlowでは未サポートです。
通過/隔離 VLAN ID	対象のデバイスのパケットを通過、または、隔離するVLAN IDです。
AMF アクション	AW+のAMFアプリケーションプロキシー機能を使用して、該当デバイスの通信遮断を指示する際のアクションの内容です。・AMF依存： AMF Securityからはアクションを通知せず、AMF機器側の設定に依存します。・隔離：該当デバイスを隔離用VLANに移動します。・パケット破棄：該当デバイスの通信をレイヤー2（MACレベル）で破棄します。・リンクダウン：該当デバイスが接続されているポートを無効化します。・IPフィルター：該当デバイスの通信をレイヤー3（IPレベル）で破棄します。・ログ： AMF Securityからはアクションを通知せず、該当デバイスの情報を取得します。

Note
「隔離」アクションの動作は、お使いのAlliedWare Plus機器（エッジノード）の設定、ファームウェアバージョンによって動作が異なります。

・バージョン 5.5.0-2.x 以降でポート認証（AMFアプリケーションプロキシーホワイトリストを含む）のマルチプルダイナミックVLANとAMFアプリケーションプロキシーブラックリストを併用している場合：該当デバイスのMACアドレスのみを隔離用VLANに移動します。

・上記以外の場合：該当デバイスが接続されているポートを隔離用VLANに移動します。

Note
バージョン 5.5.0-2.x よりも前のバージョンでは隔離アクションとポート認証（AMFアプリケーションプロキシーホワイトリストを含む）を同一ポート上で併用する場合、ダイナミックVLANは使用できません。

表 35：コマンドボタン
項目名	説明
ページ下部
登録	入力したアクションを新規に登録します。
キャンセル	アクションの新規追加をキャンセルします。

アクション詳細

設定されているアクションの詳細を表示します。

表 36：表示データ
項目名	説明
アクション ID	AMF Securityに登録されたアクションの名前です。登録されていない場合、自動的に割り当てられます。
優先度	アクションの優先度です。同時に条件を満たすアクションが存在する場合、より小さい値が割り当てられたアクションが優先して適用されます。
原因	アクションの原因です。
条件
デバイス MAC アドレス	アクションの対象とするデバイスのMACアドレスです。
デバイス IPv4 アドレス	アクションの対象とするデバイスのIPv4アドレスです。
デバイス	アクションの対象とするデバイスIDです。
デバイスタグ	アクションの対象とする、デバイスに設定されたタグです。
ロケーション	アクションの対象とするロケーションIDです。
OpenFlow スイッチ	アクションの対象とするスイッチIDです。
接続中ネットワーク	アクションの対象とするネットワークIDです。
アクション
OpenFlow/TQ アクション	対象のデバイスに適用するOpenFlow/TQのAMFアプリケーションプロキシーアクションの内容です。・通過(許可)：デバイスの通信を許可します。・隔離：隔離ネットワークに接続します。・破棄(遮断)：デバイスからのパケットを破棄し、通信を遮断します。・ログ： AMF Securityからはアクションを通知せず、該当デバイスの通信制御は行われません。該当デバイスのログのみを出力します。・リダイレクトURL：該当デバイスにリダイレクトURLのアクションを適用し、隔離ネットワークに接続します。本アクションはTQのAMFアプリケーションプロキシーのみでサポート、OpenFlowでは未サポートです。
通過/隔離 VLAN ID	対象のデバイスのパケットを通過、または、隔離するVLAN IDです。本項目はOpenFlow/TQ アクションが通過(許可)、隔離のときに表示されます。
AMF アクション	AW+のAMFアプリケーションプロキシー機能を使用して、該当デバイスの通信遮断を指示する際のアクションの内容です。・AMF依存： AMF Securityからはアクションを通知せず、AMF機器側の設定に依存します。・隔離：該当デバイスを隔離用VLANに移動します。・パケット破棄：該当デバイスの通信をレイヤー2（MACレベル）で破棄します。・リンクダウン：該当デバイスが接続されているポートを無効化します。・IPフィルター：該当デバイスの通信をレイヤー3（IPレベル）で破棄します。・ログ： AMF Securityからはアクションを通知せず、該当デバイスの情報を取得します。

Note
「隔離」アクションの動作は、お使いのAlliedWare Plus機器（エッジノード）の設定、ファームウェアバージョンによって動作が異なります。

・バージョン 5.5.0-2.x 以降でポート認証（AMFアプリケーションプロキシーホワイトリストを含む）のマルチプルダイナミックVLANとAMFアプリケーションプロキシーブラックリストを併用している場合：該当デバイスのMACアドレスのみを隔離用VLANに移動します。

・上記以外の場合：該当デバイスが接続されているポートを隔離用VLANに移動します。

Note
バージョン 5.5.0-2.x よりも前のバージョンでは隔離アクションとポート認証（AMFアプリケーションプロキシーホワイトリストを含む）を同一ポート上で併用する場合、ダイナミックVLANは使用できません。

表 37：コマンドボタン
項目名	説明
ページ上部
戻る	「アクション一覧」画面に戻ります。

リファレンス編 / システム設定

アカウント一覧

表 1：並べ替え対象項目
項目	並べ替え
アカウント名	○
アカウントグループ ID	○

表 2：表示データ
項目名	説明
アカウント名	ログインアカウント名です。クリックすると、該当のアカウントの「アカウント更新」画面を表示します。
アカウントグループ ID	ログインアカウントが所属するアカウントグループです。クリックすると、該当のアカウントグループの「アカウントグループ更新」画面を表示します。なお、ログインアカウントにアカウントグループを登録後、該当のアカウントグループを「システム設定」/「アカウントグループ一覧」画面で削除すると、上記の「アカウントグループ更新」画面へのリンクは削除されます。

表 3：コマンドボタン
項目名	説明
ページ上部
アカウント追加	新しいアカウント情報を追加します。
アカウント一覧
タイトル行
複数削除	左端のチェックボックスにチェックを入れたアカウントを一括して削除します。
各行
編集	選択したアカウント情報を編集します。
削除	選択したアカウント情報を個別に削除します。

Note
初期設定アカウント「manager」は削除できません。

アカウント追加

表 4：設定データ
項目名	説明
アカウント名（必須項目）	ログインアカウント名です。 64文字以内で下記の文字が使用可能です。 a-z, A-Z, 0-9, ' - _ .
パスワード	ログインアカウントのパスワードです。パスワードの設定を行うには、「編集」ボタンをクリックします。
Email アドレス	アカウントに関連付けるメールアドレスを入力します。パスワードを忘れた場合に、メールによるパスワードの復旧が可能です。
アカウントグループ ID	ログインアカウントが所属するアカウントグループIDを選択します。
権限
認証データベースの編集を許可する。	アカウントに対して認証データベースを変更する権限を付与します。
システム設定の変更を許可する。	アカウントに対してシステムの設定を変更する権限を付与します。

表 5：コマンドボタン
項目名	説明
パスワード
編集	「パスワード設定」ダイアログを表示し、アカウントのパスワードを設定します。
ページ下部
登録	入力したアカウントを新規に登録します。
キャンセル	アカウントの新規追加をキャンセルします。

Note
初期設定の「manager」を含め、「システム設定の変更を許可する。」チェックボックスにチェックが入ったすべてのアカウントのパスワードを忘れた場合、AT-VST-VRTの設定画面でAMF Securityアプリケーションの初期化（削除→再作成）が必要となります。パスワードは大切に管理してください。
なお、操作方法は弊社ホームページに掲載されている「AT-VST-VRT リファレンスマニュアル」をご参照ください。

Note
アカウントにメールアドレスを登録して、「システム設定」/「メール通知設定」画面でメール通知の設定を行っておくことで、パスワードを忘れた場合にメールによるパスワードの復旧が可能です。
メールによるパスワードの復旧手順については、付録「パスワードを忘れた場合」を参照してください。

パスワード設定

表 6：設定データ
項目名	説明
パスワード（必須項目）	ログインアカウントのパスワードを設定します。 6～64文字以内で下記の文字が使用可能です。 a-z, A-Z, 0-9, ! # $ % & ' * + - / = ? ^ _ ` { \| } ~ .
パスワード確認（必須項目）	パスワードの確認のため、パスワードをもう一度入力してください。

表 7：コマンドボタン
項目名	説明
ダイアログ下部
登録	入力したパスワードを設定します。
キャンセル	パスワードの設定をキャンセルします。

アカウント更新

表 8：設定データ
項目名	説明
アカウント名（必須項目）	ログインアカウント名です。 64文字以内で下記の文字が使用可能です。 a-z, A-Z, 0-9, ' - _ .
パスワード	ログインアカウントのパスワードです。パスワードの設定を行うには、「編集」ボタンをクリックします。
Email アドレス	アカウントに関連付けるメールアドレスを入力します。パスワードを忘れた場合に、メールによるパスワードの復旧が可能です。
アカウントグループ ID	ログインアカウントが所属するアカウントグループIDを選択します。
権限
認証データベースの編集を許可する。	アカウントに対して認証データベースを変更する権限を付与します。
システム設定の変更を許可する。	アカウントに対してシステムの設定を変更する権限を付与します。

表 9：コマンドボタン
項目名	説明
パスワード
編集	「パスワード設定」ダイアログを表示し、アカウントのパスワードを設定します。
ページ下部
登録	入力したアカウント情報に更新します。
キャンセル	アカウント情報の更新をキャンセルします。

Note
初期設定アカウント「manager」のアカウント名、権限は変更できません。

Note
初期設定の「manager」を含め、「システム設定の変更を許可する。」チェックボックスにチェックが入ったすべてのアカウントのパスワードを忘れた場合、AT-VST-VRTの設定画面でAMF Securityアプリケーションの初期化（削除→再作成）が必要となります。パスワードは大切に管理してください。
なお、操作方法は弊社ホームページに掲載されている「AT-VST-VRT リファレンスマニュアル」をご参照ください。

Note
アカウントにメールアドレスを登録して、「システム設定」/「メール通知設定」画面でメール通知の設定を行っておくことで、パスワードを忘れた場合にメールによるパスワードの復旧が可能です。
メールによるパスワードの復旧手順については、付録「パスワードを忘れた場合」を参照してください。

パスワード設定

表 10：設定データ
項目名	説明
パスワード（必須項目）	ログインアカウントのパスワードを設定します。 6～64文字以内で下記の文字が使用可能です。 a-z, A-Z, 0-9, ! # $ % & ' * + - / = ? ^ _ ` { \| } ~ .
パスワード確認（必須項目）	パスワードの確認のため、パスワードをもう一度入力してください。

表 11：コマンドボタン
項目名	説明
ダイアログ下部
登録	入力したパスワードを設定します。
キャンセル	パスワードの設定をキャンセルします。

アカウントグループ一覧

表 12：検索・並べ替え対象項目
項目	検索	並べ替え
アカウントグループ ID	○	○
備考	○	○

表 13：表示データ
項目名	説明
アカウントグループ ID	アカウントグループ名です。
備考	このアカウントグループの追加説明やコメントです。

表 14：コマンドボタン
項目名	説明
ページ上部
アカウントグループ追加	新しいアカウントグループ情報を追加します。
CSV にエクスポート	アカウントグループ一覧をCSV（カンマ区切りテキスト）形式でダウンロードします。
アカウントグループ一覧
タイトル行
複数削除	左端のチェックボックスにチェックを入れたアカウントグループを一括して削除します。
各行
編集	選択したアカウントグループ情報を編集します。
削除	選択したアカウントグループ情報を個別に削除します。

Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

アカウントグループ追加

表 15：設定データ
項目名	説明
アカウントグループ ID（必須項目）	ログインアカウントが所属するアカウントグループ名です。既に使用されているアカウントグループIDを設定することはできません。アカウントグループIDは最大255文字で、英数字、記号以外に日本語も使用できます。
備考	このアカウントグループの追加説明やコメントです。

表 16：コマンドボタン
項目名	説明
登録	入力したアカウントグループを新規に登録します。
キャンセル	アカウントグループの新規追加をキャンセルします。

アカウントグループ更新

表 17：設定データ
項目名	説明
アカウントグループ ID（必須項目）	ログインアカウントが所属するアカウントグループ名です。既に使用されているアカウントグループIDを設定することはできません。アカウントグループIDは最大255文字で、英数字、記号以外に日本語も使用できます。
備考	このアカウントグループの追加説明やコメントです。

表 18：コマンドボタン
項目名	説明
登録	入力したアカウントグループ情報を更新します。
キャンセル	アカウントグループ情報の更新をキャンセルします。

ネットワーク設定

ネットワーク関連の設定を行います。

Note
以下の設定を行うと、接続中のOpenFlowスイッチとAMFマスターとの接続がいったん切断されます。
・WebサーバーのSSL証明書のアップロード・削除
・データベース同期
・データベース同期オプション設定

サービス

表 19：設定データ
項目名	説明
Webサーバープロトコル	AMF Securityの設定画面でHTTP、HTTPSのどちらを使用するか設定します。初期設定はHTTPSです。
Webサーバーポート番号	AMF Securityの設定画面にアクセスするためのポート番号を設定します。1～65535の範囲から設定できます。初期設定は443です。

Note
サポートするセキュリティープロトコルはTLS 1.2、TLS 1.3です。

Note
AMF Securityは既に内部で使用しているポートがあります。使用しているポートについては、付録「AMF Security内部で使用しているポート番号」をご参照ください。

Note
Web設定画面へのアクセスでWebサーバープロトコルをHTTP、ポート番号に80を指定した場合、上記で設定されているWebサーバープロトコルとポート番号にリダイレクトされます。

Note
Webサーバープロトコルとポート番号の HTTPS / 80 の組み合わせは設定不可（予約済み）です。

Note
Webサーバープロトコルとポート番号が HTTPS / 80 に設定されているシステム設定のファイルをインポートした場合は、HTTP / 80 の設定に変更されます。

表 20：コマンドボタン
項目名	説明
登録	入力したサービス設定を保存します。

SSL証明書

Webサーバー（AMF Security）のSSLサーバー証明書、AMF Securityに搭載されているホワイトリスト認証サーバーのSSLサーバー証明書を登録します。
連携アプリケーションを使用するなど、HTTPSを利用して外部ネットワークからアクセスする場合は、信頼できる認証局からSSLサーバー証明書を取得し、AMF Securityにアップロードする必要があります。
また、AMFアプリケーションプロキシーホワイトリスト機能でコントロールセッションを暗号化する場合は、信頼できる認証局からSSLサーバー証明書を取得し、AMF Securityにアップロードしてください。
SSLサーバー証明書が登録されている場合は、SSLサーバー証明書の概要が表示されます。

証明書の発行手順に関しては、お客様の環境に合わせて最適な手順を選択してください。

サーバー証明書と一緒に、中間CA証明書やクロスルート証明書が提供されている場合は、これらのテキストを1つに連結したファイルをサーバー証明書としてアップロードします。テキストの連結方法の詳細については証明書の発行元にお問い合わせください。
アップロードできるSSLサーバー証明書の仕様は次のとおりです。

表 21：SSLサーバー証明書の仕様
形式 X.509、RFC6818

暗号化 PEM（Privacy Enhanced Mail）形式

拡張子 .crt

表 22：表示データ
項目名	説明
役割	Web（Webサーバー）またはWhiteList（認証サーバー）を表示します。
一般名称 (CN)	Webサーバー（AMF Security）または認証サーバー（AMF Security）の一般名称（コモンネーム）を表示します。
組織 (O)	Webサーバー（AMF Security）または認証サーバー（AMF Security）が所属する組織名を表示します。
有効期限 [UTC]	SSLサーバー証明書の有効期限を表示します。

表 23：コマンドボタン
項目名	説明
詳細	登録されたSSLサーバー証明書の詳細情報を表示します。
アップロード	「SSL証明書のアップロード」ダイアログを表示し、SSLサーバー証明書をAMF Securityに登録します。
削除	登録されたSSLサーバー証明書を削除し、初期設定されたAMF Securityの自己署名証明書を復旧します。

Note
AMFマスターの設定を行うと、AMF Securityは通常のセッションと暗号化されたセッションの両方を受け付けるようになります。どちらかを無効にすることはできません。

SSL証明書のアップロード

SSL証明書をアップロードする画面です。

表 24：設定データ
項目名	説明
証明書	「ファイルを選択」ボタンをクリックして、アップロードするSSLサーバー証明書を選択します。
秘密鍵	「ファイルを選択」ボタンをクリックして、アップロードするSSL秘密鍵を選択します。

表 25：コマンドボタン
項目名	説明
登録	選択されたSSL関連ファイルをシステムに取り込みます。
キャンセル	SSL証明書の設定をキャンセルします。

データベース同期

AMF Securityを冗長構成にして、認証データベースを同期する設定をします。
データベース同期の設定（有効化）はセカンダリで使用する機器、その後にプライマリで使用する機器の順で行います。
また、無効化する場合もセカンダリで使用する機器、その後にプライマリで使用する機器の順で行います。

Note
「デバイス」/「接続中デバイス一覧」画面、「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面の内容は、実際に管理中のOpenFlowスイッチからの情報を取得し、表示します。このため、設定によっては、同期中のAMF Securityの設定画面にて、上記の内容が異なって表示される場合があります。

Note
AMF Securityの冗長構成は、AMFアプリケーションプロキシーホワイトリスト機能では未サポートです。

Note
認証済みの端末が別のポートに移動した場合などでOpenFlowのパケット制御フロー（フローエントリー）の更新が行われた際に、フローエントリーが削除されたことを示すログが複数記録される場合がありますが、認証の動作に影響はありません。

Note
データベース同期の設定は、「システム設定」/「システム情報」画面でエクスポート（ダウンロード）したファイルに含まれません。そのため、システム設定のファイルをインポートした後は、再度データベース同期の設定を行ってください。

Note
2つのAMF Securityは、同じNTPサーバーに時刻を同期している必要があります。NTPサーバーの設定は、AT-VST-VRTの設定画面で行います。設定方法は、弊社ホームページに掲載されている「AT-VST-VRT リファレンスマニュアル」をご参照ください。
また、2つのAMF Securityのタイムゾーンも、同じ設定である必要があります。

Note
認証データベースの同期開始後にシステム時刻が大きく変更された場合、認証データの変更を行えなくなることがあります。
この場合、各システムの認証データベースの同期を無効にして、システム時刻を正しく合わせた後に再度同期を有効にすることで復旧します。

表 26：表示データ
項目名	説明
ノード	データベース同期のノードを、自身、同期先で表示します。
IPv4 アドレス	設定したIPv4 アドレスが表示されます。
状態	データベース同期の状態を、プライマリ、セカンダリ、準備中、ダウンで表示します。

表 27：コマンドボタン
項目名	説明
有効化	「データベース同期ノード設定」ダイアログを表示します。
無効化	データベース同期を無効にします。データベース同期が有効時のみ、「有効化」ボタンが変化して表示されます。
再接続	認証データベースに再接続します。

データベース同期ノード設定

表 28：設定データ
項目名	説明
自身の IPv4 アドレス	現在設定しているAMF SecurityのIPv4アドレスを設定します。
同期先 IPv4 アドレス	同期先のAMF SecurityのIPv4アドレスを設定します。

表 29：コマンドボタン
項目名	説明
プライマリとして有効化	プライマリとしてAMF Securityが動作します。
セカンダリとして有効化	セカンダリとしてAMF Securityが動作します。
閉じる	「ネットワーク設定」画面に戻ります。

データベース同期オプション設定

表 30：設定データ
項目名	説明
セカンダリホストへの認証データベースの更新に対してエラー応答を返さないようにします(連携アプリケーション利用時)	同期先のAMF SecurityのDBが出力するエラーログを非表示に設定します。
セカンダリホストによる重複したSyslogメッセージ及びメールの送信を抑制します。	セカンダリホストからのメッセージの送信を抑制することで、Syslogメッセージの重複を抑制します。

表 31：コマンドボタン
項目名	説明
登録	設定を保存します。

ログ設定

Note
本設定を行うと、接続中のOpenFlowスイッチとAMFマスターとの接続がいったん切断されます。

■ ログ出力
各種ログの出力レベルを設定します。

表 32：ログ出力設定データ
項目名	説明
端末認証結果	デバイス認証関連のログの出力レベルを設定します。初期設定は「情報 (Informational)」です。
OpenFlow制御関連	OpenFlowプロトコルに関連するログの出力レベルを設定します。初期設定は「情報 (Informational)」です。
OpenFlowパケット送受信	送受信されるOpenFlowパケットに関連するログの出力レベルを設定します。初期設定は「無効 (Disable)」です。
GUI操作	設定画面に関連するログの出力レベルを設定します。初期設定は「情報 (Informational)」です。
トラップ監視	Syslogメッセージまたはトラップを受信した際のログの出力レベルを設定します。初期設定は「情報 (Informational)」です。
引用内の二重引用符をエスケープします。	ログメッセージ内にある引用符をエスケープして出力するように設定します。初期設定はチェックなしです。

■ Syslog

表 33：Syslog設定データ
項目名	説明
Syslogサーバー	ログを送信する外部SyslogサーバーのIPv4アドレスまたはホスト名とUDPポート番号を設定します。指定方法は転送先ホストのIPv4アドレスとUDPポート番号をコロン（:）で結合したものを使用します。複数のSyslogサーバーを指定する場合は、セミコロン区切り（;）で入力します。UDPポート番号がプロトコルデフォルトポート番号（514）の場合はUDPポート番号の指定を省略できます。入力例： 192.168.1.100（IPv4アドレスのみ） 192.168.1.100:60514（ポート番号指定） 192.168.1.100;192.168.2.100（セミコロン区切りで複数設定） example100.co.jp（ホスト名）なお、以下のような先頭に0（ゼロ）を付けるIPv4アドレスの形式は入力可能ですが未サポートです。 192.168.001.001 172.016.0.1

Note
送信するSyslogデータのエンコード方式は「UTF-8」です。

Note
AMF Securityは既に内部で使用しているポートがあります。使用しているポートについては、付録「AMF Security内部で使用しているポート番号」をご参照ください。

表 34：コマンドボタン
項目名	説明
ページ下部
登録	入力したログ設定を保存します。

時刻設定

Note
本設定を行うと、AMF Securityが再起動します。そのため、接続中のOpenFlowスイッチとAMFマスターとの接続がいったん切断されます。

Note
タイムゾーンの設定を変更するとAMF Securityが再起動しますが、その後に設定を反映させるためにAT-VST-VRTの設定画面でAMF Securityアプリケーションの再起動（停止と起動）が必要になります。操作方法は弊社ホームページに掲載されている「AT-VST-VRT リファレンスマニュアル」をご参照ください。

なお、以後タイムゾーンの設定は保持されます。

■ システム時刻

表 35：表示データ
項目名	説明
現在日時	システムの日付を表示します。

表 36：表示データ
項目名	説明
タイムゾーン	システムのタイムゾーンです。初期設定はUTCです。

表 37：コマンドボタン
項目名	説明
編集	「タイムゾーン選択」ダイアログを表示し、システムのタイムゾーンを設定します。

タイムゾーン選択

表 38：設定データ
項目名	説明
タイムゾーン	システムのタイムゾーンをドロップダウンリストから選択します。

表 39：コマンドボタン
項目名	説明
登録	選択したタイムゾーンを保存します。

OpenFlow設定

Note
本設定を行うと、接続中のOpenFlowスイッチとAMFマスターとの接続がいったん切断されます。

表 40：設定データ
項目名	説明
OpenFlow TCP ポート番号	OpenFlowコントローラーのコントロールプレーンの待ち受けポート番号を設定します。 1～65535の範囲から設定できます。初期設定は6653です。
OpenFlow セッションタイムアウト	応答がないOpenFlowスイッチのセッションを切断するまでの時間を設定します（単位：秒）。 AMF Securityは、ここで設定された値の1/2の期間に管理下のOpenFlowスイッチからのメッセージを受信しなかった場合にEchoリクエストメッセージを送信し、そのEchoリクエストメッセージに対する応答（Echoリプライメッセージ）が設定した時間内になかった場合、自動的にセッションを切断します。 20～300が設定できます。初期設定は30です。
既定アップストリームポート	OpenFlowスイッチのアップストリームポートのデフォルト設定です。個別にアップストリームポートが設定されていないOpenFlowスイッチでは、この項目に設定されたデータプレーンポートがアップストリームポートとして使用されます。ポート名、または、OpenFlowポート番号を英数字で指定します。初期設定は空欄で、この場合、OpenFlowスイッチが持つポートのうちOpenFlowポート番号が最も小さいものが使用されます。
隔離 VLAN ID	隔離されたデバイスが所属するVLANセグメントのVLAN IDを設定します。 0～4094が設定できます。初期設定は4089です。
既定フロー有効時間 (Hard Timeout)	スイッチに設定されるフローの有効時間を設定します（単位：秒）。フローが設定されてからこの時間経過すると、デバイスからの通信が行われていても、そのフローは自動的に削除されます。 0～65535が設定できます。初期設定は65535です。0を指定すると、フローは自動的に削除されなくなります。デバイスに設定するセキュリティーポリシーにスケジュール設定がない場合は、このタイマーが設定されます。スケジュール設定がある場合、このタイマーはスケジュール設定の終了日時に依存します。端末が認証に成功した日時から終了日時までの時間（期間）が65535秒未満の場合は、その時間が設定されます。終了日時までの時間が65535秒以上の場合は、65535秒が設定されます。
既定フロー有効時間変動値	フローエントリーに設定される既定フロー有効時間を、フローエントリーごとに変動させる時間を設定します（単位：秒）。変動値は、0～入力値の範囲からランダムで選択され、既定フロー有効時間から変動値を減算した値がフローエントリーの既定フロー有効時間に設定されます。既定フロー有効時間よりも小さい値で、0～600が設定できます（既定フロー有効時間が0の場合は、0が設定可）。初期設定は0です（フローエントリーに設定される既定フロー有効時間は、設定値がそのまま設定されます）。例として「600秒」を設定した場合、0～600の範囲でランダムに値が決められ、実際にフローエントリーに設定される既定フロー有効時間は、その値を減算したものになります（既定フロー有効時間が65535（初期設定）の場合、64935～65535の範囲で設定されます）。
拒否フロー有効時間	通常の認証に失敗したデバイスの通信を遮断するためのフローの有効時間を設定します（単位：秒）。0～65535が設定できます。初期設定は30です。0を指定すると、遮断フローを設定しなくなります。
フロー無通信タイムアウト (Idle Timeout)	ネットワークから離脱するなどの原因でデバイスからの通信がなくなってからそのデバイスに関連するフローが削除されるまでの時間を設定します（単位：秒）。 0～65535が設定できます。初期設定は300です。0を指定すると、無通信状態になってもフローは削除されなくなります。
OpenFlow コントロールセッションを暗号化します。	OpenFlowスイッチとの接続で使用する通信を暗号化します。 OpenFlowスイッチとの接続方式としてTLSをサポートします。設定を有効にするには、OpenFlowスイッチ側でも暗号化の設定を行う必要があります。
スイッチに自身が送信したパケットを破棄するフローをインストールします。	管理下のOpenFlowスイッチに対し、OpenFlowスイッチ自身が送信したパケットを破棄するフローを登録します。
拒否フローの扱いを通常のフローと同一にします。	拒否フローのタイマーとフローエントリー削除時の動作を設定します。初期設定はチェックなしです。・チェックなし：拒否フローのタイマーは「拒否フロー有効時間」が設定され、OpenFlowスイッチがフローエントリー削除時にAMF Securityに通知しません。・チェックあり：拒否フローのタイマーは「既定フロー有効時間」と「フロー無通信タイムアウト」が設定され、OpenFlowスイッチがフローエントリー削除時にAMF Securityに通知します。

Note
AMF Securityは既に内部で使用しているポートがあります。使用しているポートについては、付録「AMF Security内部で使用しているポート番号」をご参照ください。

Note
既定アップストリームポートの設定は、AMF Securityに登録されていないOpenFlowスイッチに対して適用されます。OpenFlowスイッチとして、AlliedWare PlusスイッチとAT-TQシリーズ無線アクセスポイントとが混在している環境では、既定アップストリームポートが設定されていると、ポート番号体系が異なるためフローエントリーが正しく追加されなくなります。
AlliedWare PlusスイッチでOpenFlowポート番号が最も小さいもの以外をアップストリームポートにする場合には、OpenFlowスイッチの登録で個別にアップストリームポートを設定してください。
OpenFlowスイッチの登録については、「スイッチ」/「OpenFlow スイッチ追加」をご参照ください。

Note
「隔離 VLAN ID」の設定は、「AMF」/「TQ設定」画面の「隔離 VLAN ID」と共通設定です。

Note
「既定フロー有効時間」の設定は、「AMF」/「AMF アプリケーションプロキシー設定」画面の「セッションタイムアウト」と共通設定です。

表 41：コマンドボタン
項目名	説明
ページ下部
登録	入力したOpenFlow設定を保存します。

システム情報

ホスト名の設定、システム設定、認証データベースのバックアップ、復元、サービスの再起動などを行います。

Note
以下の設定・操作を行うと、接続中のOpenFlowスイッチとAMFマスターとの接続がいったん切断されます。
・ホスト名
・システム設定 - インポート
・システム設定 - リセット
・サービス - 全て再起動

Note
システム設定のエクスポート、インポートは、バックアップと復元を目的とする機能です。エクスポートしたファイルを改変したり、ご自身で編集したファイルをインポートしたりしないでください。
なお、システム設定のインポートは、ファイルの内容が正しければ、いずれの拡張子のファイルも指定できます。

■ システム情報

表 42：設定データ
項目名	説明
ホスト名	システムのホスト名です。初期設定は「sesc」です。ホスト名を変更する場合は、ホスト名を入力して「更新」ボタンをクリックします。 63文字以内で下記の文字が使用可能です。 a-z, A-Z, 0-9, - ハイフン（-）は先頭には使用できません。
シリアル番号	AMF Securityのシリアル番号です。
データベース同期	AMF Securityを冗長構成し、認証データベースを同期させているかどうかを、無効、同期中、切断中で表示します。

Note
AMF Securityのライセンスを発行する際はこのシリアル番号が必要です。
シリアル番号はAMF Securityのインストール時に作成されるため、以下の場合にはシリアル番号は新しいものになります。
・AT-VST-VRT上でAMF Securityアプリケーションを削除し、再度AMF Securityアプリケーションをインストール
・別の仮想マシン上のAT-VST-VRTにAMF Securityアプリケーションをリストア（移行）

なお、システム設定をリセットした場合にはシリアル番号は変更されません。

表 43：コマンドボタン
項目名	説明
更新	ホスト名を更新します。

■ ソフトウェア情報

表 44：表示データ
項目名	説明
バージョン	インストールされたAMF Securityのソフトウェアバージョンとソフトウェアビルド番号（内部バージョン）を表示します。
ビルド日時 [UTC]	インストールされたAMF Securityのソフトウェアが作成された日時です。

■ システム設定

表 45：設定データ
項目名	説明
サイズ	システム設定データのファイルサイズを表示します。
更新日時	システム設定データが更新された日時を表示します。

表 46：コマンドボタン
項目名	説明
エクスポート	システム設定をダウンロードします。
インポート	システム設定をインポートして復元します。
リセット	システム設定を初期設定状態に戻します。

エクスポート、インポート、またはリセットされるシステム設定には、対象外となる項目があります。
対象外となる項目については、個別で設定や削除を行ってください。

対象となる項目
- アカウント設定
- ネットワーク設定 - サービス設定
- ネットワーク設定 - データベース同期（システム設定のリセットのみ）
- ネットワーク設定 - データベース同期オプション設定
- ログ設定
- 時刻設定
- OpenFlow設定
- トラップ監視設定
- メール通知設定
- AMF設定
- TQ設定
対象外となる項目
- ネットワーク設定 - SSL証明書
- トラップ監視設定 - アップロードしたルール
- ライセンス（基本ライセンス、追加ライセンス）
- AMF - SSL証明書
- AMF - リダイレクトURL設定 - アップロードしたサイトのコンテンツ
- AMF Securityログ
- アクションログ

■ 認証データ

表 47：設定データ
項目名	説明
サイズ	認証データのファイルサイズを表示します。
更新日時	認証データが更新された日時を表示します。

表 48：コマンドボタン
項目名	説明
エクスポート	認証データをダウンロードします。
インポート	認証データをインポートして、運用中のAMF Securityに追加します。
リセット	すべての認証データを削除します。

Note
認証データはCSV（カンマ区切りテキスト）形式のファイルです。CSVファイルについては、付録「CSVファイル」をご参照ください。

Note
認証データに含まれるスケジュールの開始日時・終了日時は、「システム設定」/「時刻設定」画面で現在設定されているタイムゾーンの日時です。
詳しくは、「ポリシー設定」/「スケジュールの開始日時・終了日時について」をご参照ください。

Note
認証データのアップロードを行うと、AMF Securityは認証データに含まれているデバイスのMACアドレスに対応するパケット制御フローを初期化します。

Note
AT-SESC ソフトウェアバージョン 1.3.x以前の認証データのアップロードを行う方法では、既に登録されているデバイスに設定されているセキュリティーポリシーから、ネットワーク、ロケーション、スケジュールの各設定を削除することはできません。削除を行う場合は、該当デバイスを一度削除してから認証データのアップロードを行うか、「デバイス」/「デバイス更新」画面から直接セキュリティーポリシーを更新してください。

■ サービス

表 49：コマンドボタン
項目名	説明
全て再起動	AMF Securityの各種サービスのみ再起動します。AMF Securityが動作するサーバー自体は再起動せず、AMF Security関連のアプリケーションプロセスのみ再起動します。

■ 技術サポート情報

表 50：コマンドボタン
項目名	説明
ダウンロード	障害時の解析に活用する技術サポート情報をダウンロードします。

トラップ監視設定

連携アプリケーションによるネットワーク監視を行う場合に必要な、特定のSyslogメッセージやトラップに対する動作の設定を行います。
また、AMF Securityが受信したSyslogメッセージやトラップを、異なる管理機能を持つホストに転送することができます。

Note
ユーザー定義による任意のSyslogメッセージ/トラップに対する動作を設定することはできません。

Note
デバイスルックアップの設定を行うと、接続中のOpenFlowスイッチとAMFマスターとの接続がいったん切断されます。

■ プロトコル

表 51：設定データ
項目名	説明
Syslog ポート番号	Syslogメッセージの受信ポート番号です。1～65535が設定できます。初期設定は514です。
SNMP Trap ポート番号	SNMPトラップの受信ポート番号です。1～65535が設定できます。初期設定は162です。

Note
AMF Securityは既に内部で使用しているポートがあります。使用しているポートについては、付録「AMF Security内部で使用しているポート番号」をご参照ください。

■ ネットワーク
監視対象/監視外ネットワーク、SyslogメッセージやSNMPトラップの転送先ホストなどを設定します。
監視対象ネットワークと監視外ネットワークが重複する場合、監視外ネットワークに指定されるノードはトラップ監視の対象外となります。

Note
一部の連携アプリケーションでは、監視対象ネットワーク、監視外ネットワークの設定が無効となるものがあります。

表 52：設定データ
項目名	説明
監視対象ネットワーク	Syslogメッセージおよびトラップによる監視の対象とするIPv4ネットワークアドレスを設定します。複数のネットワークアドレスを指定する場合は、セミコロン区切り（;）でネットワークアドレスを入力します。空欄または0.0.0.0/0に設定すると、すべてのネットワークが監視対象となります。初期設定は0.0.0.0/0です。
監視外ネットワーク	Syslogメッセージおよびトラップによる監視の対象から除くIPv4ネットワークアドレスを設定します。複数のネットワークアドレスを指定する場合は、セミコロン区切り（;）でネットワークアドレスを入力します。
Syslog 転送先ホスト	トラップ監視モジュールが受信したSyslogメッセージを転送するホストを指定します。指定方法は転送先ホストのIPv4アドレスとSyslog待ち受けポート番号をコロン（:）で結合したものを使用します。複数のネットワークアドレスを指定する場合は、セミコロン区切り（;）で入力します。転送先ポートがプロトコルデフォルトポート番号（514）の場合は待ち受けポート番号の指定を省略できます。転送されるSyslogメッセージの送信元アドレスはAMF Securityのアドレスに変更されます。
SNMP Trap 転送先ホスト	トラップ監視モジュールが受信したSNMPトラップを転送するホストを指定します。指定方法は転送先ホストのIPv4アドレスとトラップ待ち受けポート番号をコロン（:）で結合したものを使用します。転送先ポートがプロトコルデフォルトポート番号（162）の場合は待ち受けポート番号の指定を省略できます。複数のネットワークアドレスを指定する場合は、セミコロン区切り（;）で入力します。転送されるSNMPメッセージの送信元アドレスはAMF Securityのアドレスに変更されます。

■ デバイスルックアップ
AMF Securityから通知するアクションの対象範囲を設定します。

表 53：設定データ
項目名	説明
なし	MACアドレスを対象にアクションを通知します。
デバイス	デバイスを対象にアクションを通知します。
タグ	デバイスタグを対象にアクションを通知します。

Note
AMFアプリケーションプロキシーの「IPフィルター」アクションのデバイスルックアップは未サポートです。

Note
端末のIPアドレスをもとに対象となる端末にアクションが適用された際に、「デバイス」/「接続中デバイス一覧」画面の「MACアドレス」の項目に「ip=」で表示されるIPアドレスは、アクションを適用するもとになったIPアドレスが表示されます。

表 54：コマンドボタン
項目名	説明
登録	入力したトラップ監視設定を保存します。

■ ルール
トラップ監視のルールは、トラップ監視設定ファイルを介して更新、追加されます。
初期設定では、弊社アドバンストVPNアクセス・ルーターAT-AR3050S/AT-AR4050SによるUTM（Unified Threat Management）関連機能のトラップ監視ルールが登録されています。

Note
トラップ監視ルールファイルは、弊社「AMF-SEC テクノロジーパートナープログラム」を通じて提供されます。パートナープログラムの詳細は、弊社ホームページより「AMF-SEC テクノロジーパートナープログラム」をご覧ください。

AT-AR3050S/AR4050S
アドバンストVPNアクセス・ルーターAT-AR3050S/AT-AR4050SのUTM関連機能によるデバイス管理のルールを設定します。

AT-AR3050S/AT-AR4050SからのSyslogメッセージを受信し、デバイスを監視する場合は、「このシステムのトラップ監視を有効にします。」のチェックボックスにチェックを入れます。
加えて、「トラップ監視対象選択リスト」の項目のうち、必要なものにチェックを入れます。

IP Reputation：Malware Categoryへのアクセスを検出
AT-AR3050S/AT-AR4050Sが提供するIPレピュテーション（IPアドレスブラックリスト）機能にて、マルウェアカテゴリー（マルウェアC&Cサーバー（CnC）、マルウェア感染ホスト（Bot）、モバイルC&Cサーバー（Mobile_CnC））に属する宛先との通信を検出したSyslogメッセージを受信した場合、該当デバイスの通信を遮断します。
IP Reputation：Spyware Categoryへのアクセスを検出
AT-AR3050S/AT-AR4050Sが提供するIPレピュテーション（IPアドレスブラックリスト）機能にて、スパイウェアカテゴリー（流出情報サイト（Drop）、スパイウェアC&Cサーバー（SpywareCnC）、モバイルスパイウェアC&Cサーバー（Mobile_Spyware_CnC））に属する宛先との通信を検出したSyslogメッセージを受信した場合、該当デバイスの通信を遮断します。
Malware Protection：LANからWANへの通信に既知のマルウェアを検出
AT-AR3050S/AT-AR4050Sが提供するマルウェアプロテクション（ストリーム型アンチウイルス）機能にて、既知のマルウェアを検出したSyslogメッセージを受信した場合、該当デバイスの通信を遮断します。
Antivirus：LANからWANへの通信に既知のウィルスを検出
AT-AR3050S/AT-AR4050Sが提供するアンチウイルス（プロキシー型アンチウイルス）機能にて、既知のウイルスを検出したSyslogメッセージを受信した場合、該当デバイスの通信を遮断します。
Firewall(IDS)：LANからWANへのSyn Flood攻撃を検出
AT-AR3050S/AT-AR4050Sが提供するファイアウォールの攻撃検出機能（IDS）にて、Syn Flood攻撃を検出したSyslogメッセージを受信した場合、該当デバイスの通信を遮断します。
Firewall(IDS)：LANからWANへのICMP Flood攻撃を検出
AT-AR3050S/AT-AR4050Sが提供するファイアウォールの攻撃検出機能（IDS）にて、ICMP Flood攻撃を検出したSyslogメッセージを受信した場合、該当デバイスの通信を遮断します。
Firewall(IDS)：LANからWANへのUDP Flood攻撃を検出
AT-AR3050S/AT-AR4050Sが提供するファイアウォールの攻撃検出機能（IDS）にて、UDP Flood攻撃を検出したSyslogメッセージを受信した場合、該当デバイスの通信を遮断します。
Firewall(IDS)：LANからWANへのTCP Stealth Scanを検出
AT-AR3050S/AT-AR4050Sが提供するファイアウォールの攻撃検出機能（IDS）にて、TCP Stealth Scan攻撃を検出したSyslogメッセージを受信した場合、該当デバイスの通信を遮断します。

Note
AT-AR3050S/AT-AR4050Sによるデバイスの管理には、別途AT-AR3050S/AT-AR4050S側の設定が必要となります。また、サポートするUTM関連機能の種類と条件、検出可能な攻撃の種類と検出条件については、AT-AR3050S/AT-AR4050Sのコマンドリファレンスをご参照ください。

表 55：コマンドボタン
項目名	説明
設定	「ルールの設定」画面を表示します。
編集	「文字エンコード編集」ダイアログを表示し、文字エンコード方式を設定します。

表 56：表示データ
項目名	説明
Version	トラップ監視ルールのバージョンを表示します。

表 57：設定データ
項目名	説明
このシステムのトラップ監視を有効にします。	AT-AR3050S/AT-AR4050SからのSyslogメッセージを受信し、デバイスを監視する場合は、チェックボックスにチェックを入れます。
ホストアドレス	AT-AR3050S/AT-AR4050SのSyslogメッセージの送信元IPv4アドレスを指定します。複数の送信元IPv4アドレスを指定する場合は、セミコロン区切り（;）でIPv4アドレスを入力します。初期設定は空欄で、任意の送信元IPv4アドレスのAT-AR3050S/AT-AR4050SからSyslogメッセージを受信します。
OpenFlow/TQ アクション	AMF Security管理下のOpenFlowスイッチおよびTQのAMFアプリケーションプロキシーで、該当デバイスの通信制御を行う際のアクションを選択します。・パケット破棄：デバイスからのパケットを破棄し、通信を遮断します。・隔離：隔離ネットワークに接続します。・ログ： AMF Securityからはアクションを通知せず、該当デバイスの通信制御は行われません。該当デバイスのログのみを出力します。・リダイレクトURL：該当デバイスにリダイレクトURLのアクションを適用し、隔離ネットワークに接続します。本アクションはTQのAMFアプリケーションプロキシーのみでサポート、OpenFlowでは未サポートです。
AMF アクション	AW+のAMFアプリケーションプロキシー機能を使用して、該当デバイスの通信遮断を指示する際のアクションを選択します。・パケット破棄：該当デバイスの通信をレイヤー2（MACレベル）で破棄します。・リンクダウン：該当デバイスが接続されているポートを無効化します。・隔離：該当デバイスを隔離用VLANに移動します。・AMF 依存： AMF Securityからはアクションを通知せず、AMF機器側の設定に依存します。・IPフィルター：該当デバイスの通信をレイヤー3（IPレベル）で破棄します。・ログ： AMF Securityからログのアクションを通知しますが、該当デバイスの通信制御は行わずログのみを出力します。
文字エンコード	連携アプリケーションから送信されるSyslog/SNMPトラップのメッセージのエンコード方式を設定します。エンコード方式によって以下の文字列を指定してください。・UTF-8： utf-8-sig を指定します。・Shift_JIS： shift-jis を指定します。初期設定はutf-8-sigです。本設定を空欄にした場合は、初期設定のutf-8-sigになります。

Note
「隔離」アクションの動作は、お使いのAlliedWare Plus機器（エッジノード）の設定、ファームウェアバージョンによって動作が異なります。

・バージョン 5.5.0-2.x 以降でポート認証（AMFアプリケーションプロキシーホワイトリストを含む）のマルチプルダイナミックVLANとAMFアプリケーションプロキシーブラックリストを併用している場合：該当デバイスのMACアドレスのみを隔離用VLANに移動します。

・上記以外の場合：該当デバイスが接続されているポートを隔離用VLANに移動します。

Note
バージョン 5.5.0-2.x よりも前のバージョンでは隔離アクションとポート認証（AMFアプリケーションプロキシーホワイトリストを含む）を同一ポート上で併用する場合、ダイナミックVLANは使用できません。

表 58：コマンドボタン
項目名	説明
ページ下部
登録	入力したルール設定を保存します。

ルールの設定

表 59：表示データ
項目名	説明
名称	トラップ監視ルールの名称を表示します。

表 60：コマンドボタン
項目名	説明
ファイルを選択	アップロードするルール設定ファイルを選択します。
アップロード	選択したルール設定ファイルをアップロードします。
削除	登録されているルール設定を削除します。
閉じる	「トラップ監視設定」画面に戻ります。

メール通知設定

メール通知の設定を行います。
デバイスの認証や遮断などのイベントが発生した場合や、パスワードを忘れたときやライセンスの期限に関する通知を、設定されたアドレスに対してメールを送信することができます。
また、AMF Securityが受信したSyslogメッセージおよびSNMPトラップの内容は、メール本文に記載して通知されます。

Note
Syslogメッセージ、SNMPトラップのメール記載機能は無効にすることはできません。

Note
本設定を行うと、接続中のOpenFlowスイッチとAMFマスターとの接続がいったん切断されます。

Note
パスワードを忘れたときにログイン情報を復旧させるには、「アカウント追加」画面または「アカウント更新」画面で、アカウントにメールアドレスを登録しておく必要があります。

メール送信処理はイベント種別ごとに以下のルールでキューイングし、メール送信に失敗した場合は再送を行います。

イベントが発生した際に、最初のイベント発生から10秒間は、同一イベントのメールを100件までキューイングする
キューイングしたメールは10秒後に1件のメールにまとめて送信する
最初のイベント発生後の10秒間に100件を超えるイベントが発生した場合は、新たにキューイングする
キューイングはメール通知設定のイベント種別ごとに行う
メール送信ができなかった際の再送処理は4回まで、最大で計5回の送信を試行する

メール通知機能を使用する場合は、「メール通知を有効にします。」チェックボックスにチェックを入れます。

Note
ライセンスの期限に関するメールは、本設定とSMTPサーバー設定を行うと送信されるようになります。

■ メール通知設定
次のイベント種別ごとに、チェックボックスを使用してメール通知の有効または無効を設定します。

デバイスの認証成功時
未認証グループの接続時
デバイスの認証失敗時
デバイスの検出時
デバイスの遮断時
デバイスの隔離時
デバイスにリダイレクトURL適用時
ライセンスを超過したOpenFlowスイッチの接続時
データベース同期状態が変化したとき

Note
「遮断時にメールを送信します。」「隔離時にメールを送信します。」チェックボックスにチェックが入っている場合、AMFアプリケーションプロキシー機能によって遮断または隔離が行われた場合もメール通知されます。
OpenFlow/TQ アクション/AMF アクションのログでメール通知する場合、「遮断時にメールを送信します。」チェックボックスにチェックを入れてください。

■ SMTPサーバー設定

表 61：設定データ
項目名	説明
SMTP サーバー	メールの送信に使用するSMTPサーバーのIPv4アドレスまたはホスト名を設定します。入力例： 192.168.1.100（IPv4アドレス） example-smtp.co.jp（ホスト名）なお、以下のような先頭に0（ゼロ）を付けるIPv4アドレスの形式は入力可能ですが未サポートです。 192.168.001.001 172.016.0.1
SMTPポート	SMTPサーバーのリスニングTCPポート番号を入力します。
送信者	メール送信者のメールアドレスを入力します。
受信者	メール受信者のメールアドレスを入力します。複数のメールアドレスを指定する場合は、セミコロン区切り（;）でメールアドレスを入力します。
ユーザー名	SMTPサーバーのユーザー名を入力します。
パスワード	SMTPサーバーのユーザー名に対応するパスワードを入力します。
暗号化	SMTPサーバーがTLSによる暗号化を使用する場合は、チェックボックスにチェックを入れます。
言語設定	メールの言語を日本語、英語から選択します。

Note
AMF Securityは既に内部で使用しているポートがあります。使用しているポートについては、付録「AMF Security内部で使用しているポート番号」をご参照ください。

Note
ブラウザーの言語設定が日本語の場合、メールの言語設定を英語に設定した場合でも、メール本文の一部が日本語で表記される場合があります。ブラウザーの言語設定、メールの言語設定ともに英語に設定すると、メール本文が英語表記で送信されます。ただし、認証データに含まれる文字列や、連携する外部アプリケーションから送られるメッセージの表記は、メールにもそのまま表記されます。

Note
AMFアプリケーションプロキシー機能で「パケット破棄」、「リンクダウン」、「IPフィルター」のアクションで遮断された場合にメールを送信する場合は、「遮断時にメールを送信します。」にチェックを入れます。

Note
暗号化はSTARTTLSのみをサポートしています。なお、一般的に使用されるSMTPのポート番号は587です。

表 62：コマンドボタン
項目名	説明
SMTPサーバー設定
テストメール送信	設定された情報を用いてテストメールの送信を試みます。
ページ下部
登録	SMTPサーバー設定を登録します。

ライセンス

AMF Securityを利用するには、ライセンスをインストールする必要があります。
ライセンスには、基本ライセンスと追加ライセンスがあります。

基本ライセンスは、AMF Securityを動作させるために必ず登録する必要があります。
基本ライセンスがインストールされるまで、OpenFlowおよびAMFアプリケーションプロキシーともに動作しません。
追加ライセンスはOpenFlowスイッチの追加用です。AMFアプリケーションプロキシーは基本ライセンスのみでノード用の追加ライセンスは不要です。
基本ライセンスがない状態でも追加ライセンスはインストールできますが、基本ライセンスがインストールされるまでAMF Securityは動作しません。

Note
ライセンスファイルをお持ちでない場合は、弊社窓口までお問い合わせください。
なお、ライセンスファイルの取得にあたって、「システム設定」/「システム情報」画面に表示されるAMF Securityのシリアル番号が必要となります。

Note
ライセンスについては、設定画面へのアクセス「設定の開始」/「ライセンスのインストール」をあわせてご参照ください。

表 63：表示データ
項目名	説明
最大 OpenFlow スイッチ同時接続数	AMF Securityに登録されたライセンスによって接続可能なOpenFlowスイッチの合計を表示します。
名称	ライセンス名を表示します。
有効期限	ライセンスの有効期限を表示します。
状況	ライセンスの状態です。有効：現在有効になっているライセンスです。契約期間前：有効期限の開始日時前のライセンスです。
スイッチ数	このライセンスでサポートされるOpenFlowスイッチ数を表示します。

表 64：コマンドボタン
項目名	説明
追加	「ライセンスインストール」ダイアログを表示します。
更新	ライセンスの有効期限チェックを行います。インストール済みのライセンスが期限内で有効にならない場合には、本ボタンをクリックしてください。

ライセンスインストール

表 65：コマンドボタン
項目名	説明
ファイルを選択	インストールするライセンスファイルを選択します。
登録	選択したライセンスファイルをインストールします。
キャンセル	「ライセンス」画面に戻ります。

AMF Securityログ

AMF Securityサービスが出力するログが表示されます。AMF Securityログ画面では、最新1000件までのログを表示できます。
画面右側の一覧から表示したいログの日付を選択することもできます。

表 66：コマンドボタン
項目名	説明
すべてのログのクリア	AMF Securityが保持しているすべてのログを消去します。
ダウンロード	直近のログをダウンロードします。
更新	「AMF Securityログ」画面の内容を最新の情報に更新します。

アクションログ

AMF Securityサービスが出力するログのうち、アクションに関するログを表示します。
本画面では、項目ごとに検索を行うことができます。

Note
Webブラウザーの仕様によっては、本画面ですべてのアクションログが表示できない場合があります。その場合は、ダウンロードを行ってアクションログを確認してください。

Note
アクションログのクリアを行うと、接続中のOpenFlowスイッチとAMFマスターとの接続がいったん切断されます。

表 67：表示データ
項目名	説明
日時	デバイスにアクションが適応された日時です。
MAC アドレス	デバイスのMACアドレスです。
デバイス ID	デバイスのIDです。
デバイス IPv4 アドレス	デバイスのIPv4アドレスです。
デバイスタグ	デバイスに設定されたタグです。
接続スイッチ ID	デバイスが接続しているスイッチのIDを表示します。
接続スイッチ IPv4 アドレス	デバイスが接続されたスイッチのIPv4アドレスです。
接続ポート ID	デバイスが接続されたポートのIDです。
接続ポート番号	デバイスが接続されたスイッチのポート番号です。
状況	デバイスに適応されたアクションのタイプを表示します。
VLAN ID	デバイスが所属するVLAN IDです。
ネットワーク ID	デバイスが所属するネットワークIDです。
アクション ID	デバイスに適応されたアクションのIDです。
優先度	デバイスに適応されたアクションの優先度を表示します。
アクションの実行者	デバイスに適応されたアクションの実行者を表示します。
原因	デバイスに適応されたアクションの原因を表示します。

表 68：コマンドボタン
項目名	説明
更新	「アクションログ」画面の内容を最新の情報に更新します。
ダウンロード	直近のログをダウンロードします。
アクションログのクリア	アクションログを消去します。

表 69：検索・絞り込み・並べ替え対象項目
項目	検索	絞り込み	並べ替え
期間	○	－	－
MAC アドレス	○	－	－
デバイス IPv4 アドレス	○	－	－
デバイスタグ	○	－	－
アクションの実行者	○	－	－
状況	－	○	－

リファレンス編 / AMF

AMF アプリケーションプロキシー設定

AMF マスター

AMF SecurityにAMFマスターを登録します。また、AMF Securityに登録されたAMFマスターの一覧を表示します。

Note
以下の設定を行うと、接続中のOpenFlowスイッチとAMFマスターとの接続がいったん切断されます。
・AMFマスター
・ホワイトリスト設定
・WebサーバーのSSL証明書のアップロード・削除

表 1：表示データ
項目名	説明
IPv4 アドレス	AMFアプリケーションプロキシー機能を使用するAMFマスターのIPv4アドレスです。
ユーザー名	AMFマスターに設定されている権限レベル15（特権レベル）のアカウントのユーザー名です。
接続状態	AMFマスターとの接続状態を、Good、Error、確認中、切断中で表示します。切断中は、基本ライセンスが登録されていないときに表示されます。

表 2：コマンドボタン
項目名	説明
追加	「AMF マスター編集」ダイアログを表示し、AMFマスターを新しく登録します。
編集	「AMF マスター編集」ダイアログを表示し、AMFマスター情報を更新します。
削除	AMFマスター情報を削除します。

AMF マスター編集

AMFマスター情報を登録または更新する画面です。

表 3：設定データ
項目名	説明
IPv4 アドレス	AMFアプリケーションプロキシー機能を使用するAMFマスターのIPv4アドレスを設定します。あわせて、以下のユーザー名、パスワードを指定する必要があります。
ユーザー名	AMFマスターに設定されている権限レベル15（特権レベル）のアカウントのユーザー名を設定します。
パスワード	上記のユーザー名のパスワードを設定します。
事前共有鍵(PSK)	AMFマスターに設定されているホワイトリストの共有鍵を設定します。

Note
上記と同一の権限レベル15（特権レベル）のアカウントは、すべてのAMFメンバーにも設定を行ってください。
権限レベル1～14（http webapi read-only-privilegeで設定したものを含む）のアカウントを指定した場合には、正常に動作しませんのでご注意ください。

表 4：コマンドボタン
項目名	説明
ダイアログ下部
登録	新しいAMFマスターを登録、または情報を更新します。
キャンセル	AMFマスターの登録、または情報の更新をキャンセルします。

Note
本設定を行うと、エッジノードの情報を取得するために、AMFマスター（プロキシーノード）への定期問い合わせ（30秒間隔）を行うようになります。

AMF Securityに設定するAMFマスターのアカウント（ユーザー名 / パスワード）は、AMFマスターおよびAMFメンバーにて事前に権限レベル15のユーザーアカウントを作成し、AMFマスターとAMFメンバーのコンソール接続に使用するユーザーアカウントと分けることをおすすめします。
AMFマスターとAMFメンバーのコンソール接続に使用するユーザーアカウントをAMF Securityに設定するアカウントと共用する場合は、AMFマスターとAMFメンバーのログイン失敗時のロックアウト時間（aaa local authentication attempts lockout-timeコマンド）を5分未満に設定してください。AMFマスターとAMFメンバーのログイン失敗時のロックアウト時間が5分以上に設定されており、かつ、AMFマスターとAMFメンバーのCLI接続用アカウントをAMF Securityに設定するアカウントと共用すると、AMFマスターとAMFメンバーへのログインに連続して失敗しアカウントがロックアウトされた場合やAMF SecurityでAMFマスターのアカウントの設定を間違った場合に、AMF SecurityからAMFネットワークの端末情報が取得できないうえ、AMF Securityからのポーリングにより継続的にロックアウトのタイマーが更新され、該当のユーザーがログインできないままになります。

ホワイトリスト設定

表 5：設定データ
項目名	説明
セッションタイムアウト	端末が認証に成功した際にスイッチに設定されるタイマーを設定します（単位：秒）。端末が認証に成功してからこの時間経過すると、未認証の状態に戻ります。 0～65535が設定できます。初期設定は65535です。0を指定すると、スイッチにタイマーは設定されず、認証済みの状態のままになります。デバイスに設定するセキュリティーポリシーにスケジュール設定がない場合は、このタイマーが設定されます。スケジュール設定がある場合、このタイマーはスケジュール設定の終了日時に依存します。端末が認証に成功した日時から終了日時までの時間（期間）が65535秒未満の場合は、その時間が設定されます。終了日時までの時間が65535秒以上の場合は、65535秒が設定されます。
AMFメンバーがネットワークに接続した時に認証済み端末リストの再読み込みを行います。	「デバイス」/「接続中デバイス一覧」画面に表示されるAMFアプリケーションプロキシー機能で認証されている端末情報を、AMF Securityが再起動したときなどに再度読み込みます。本機能を使用するには、お使いのAlliedWare Plus機器のプロキシーノード、エッジノードの双方ともファームウェアバージョン 5.5.0-0.x 以降が必要です。

Note
「セッションタイムアウト」の設定は、「システム設定」/「OpenFlow設定」画面の「既定フロー有効時間」と共通設定です。

表 6：コマンドボタン
項目名	説明
登録	入力したホワイトリスト設定を保存します。

SSL証明書

証明書の発行手順に関しては、お客様の環境に合わせて最適な手順を選択してください。

サーバー証明書と一緒に、中間CA証明書やクロスルート証明書が提供されている場合は、これらのテキストを1つに連結したファイルをサーバー証明書としてアップロードします。テキストの連結方法の詳細については証明書の発行元にお問い合わせください。
アップロードできるSSLサーバー証明書の仕様は次のとおりです。

表 7：SSLサーバー証明書の仕様
形式 X.509、RFC6818

暗号化 PEM（Privacy Enhanced Mail）形式

拡張子 .crt

表 8：表示データ
項目名	説明
役割	Web（Webサーバー）またはWhiteList（認証サーバー）を表示します。
一般名称 (CN)	Webサーバー（AMF Security）または認証サーバー（AMF Security）の一般名称（コモンネーム）を表示します。
組織 (O)	Webサーバー（AMF Security）または認証サーバー（AMF Security）が所属する組織名を表示します。
有効期限 [UTC]	SSLサーバー証明書の有効期限を表示します。

表 9：コマンドボタン
項目名	説明
詳細	登録されたSSLサーバー証明書の詳細情報を表示します。
アップロード	「SSL証明書のアップロード」ダイアログを表示し、SSLサーバー証明書をAMF Securityに登録します。
削除	登録されたSSLサーバー証明書を削除し、初期設定されたAMF Securityの自己署名証明書を復旧します。

Note
AMFマスターの設定を行うと、AMF Securityは通常のセッションと暗号化されたセッションの両方を受け付けるようになります。どちらかを無効にすることはできません。

SSL証明書のアップロード

SSL証明書をアップロードする画面です。

表 10：設定データ
項目名	説明
証明書	「ファイルを選択」ボタンをクリックして、アップロードするSSLサーバー証明書を選択します。
秘密鍵	「ファイルを選択」ボタンをクリックして、アップロードするSSL秘密鍵を選択します。

表 11：コマンドボタン
項目名	説明
登録	選択されたSSL関連ファイルをシステムに取り込みます。
キャンセル	SSL証明書の設定をキャンセルします。

TQ設定

Note
本設定を行うと、接続中のOpenFlowスイッチとAMFマスターとの接続がいったん切断されます。

その際に、TQのAMFアプリケーションプロキシー機能で既に管理されているデバイス（「デバイス」/「接続中デバイス一覧」画面に表示されているデバイス）が存在する場合、そのデバイスの認証、およびアクションは適用されたままになりますが、「デバイス」/「接続中デバイス一覧」画面の表示からは削除されます。

また、他の設定や操作（サービスの再起動など）で接続中のOpenFlowスイッチとAMFマスターとの接続がいったん切断される状態になった場合にも、「デバイス」/「接続中デバイス一覧」画面の表示からは削除されます。

共通設定

隔離用ネットワークのVLAN IDを指定します。

表 12：設定データ
項目名	説明
隔離 VLAN ID	隔離されたデバイスが所属するVLANセグメントのVLAN IDを設定します。 0～4094が設定できます。初期設定は4089です。

Note
本設定は「システム設定」/「OpenFlow設定」画面の「隔離 VLAN ID」と共通設定です。

表 13：コマンドボタン
項目名	説明
登録	入力した隔離 VLAN IDを登録します。

VistaManagerEX

登録されたAT-Vista Manager EXを一覧表示します。

表 14：表示データ
項目名	説明
IPv4 アドレス	AT-Vista Manager EXサーバーのIPアドレスです。 Windows版のAT-Vista Manager EXを使用する場合には、AT-Vista Manager EXサーバーのIPアドレスを指定します。 AT-VST-APL/AT-VST-VRT版のAT-Vista Manager EXを使用する場合は、AWCプラグインのIPアドレスを指定します。
ユーザー名	AT-Vista Manager EXの管理者アカウントのユーザー名です。

表 15：コマンドボタン
項目名	説明
追加	「VistaManagerEX 編集」ダイアログを表示し、AT-Vista Manager EXを新しく登録します。
編集	「VistaManagerEX 編集」ダイアログを表示し、AT-Vista Manager EXの情報を更新します。
削除	AT-Vista Manager EXを削除します。

VistaManagerEX 編集

AT-Vista Manager EXを登録または更新します。

表 16：設定データ
項目名	説明
IPv4 アドレス	AT-Vista Manager EXサーバーのIPアドレスを入力します。
ポート番号	AT-Vista Manager EXを使用するためのポート番号を設定します。本設定はAWCプラグインのポート番号を指定します。AWCプラグインのデフォルトのポート番号は5443ですが、ポート番号を変更している場合にはそのポート番号を指定します。 1～65535の範囲から設定できます。初期設定は5443です。
ユーザー名	AT-Vista Manager EXの管理者アカウントのユーザー名を入力します。
パスワード	AT-Vista Manager EXの管理者アカウントのパスワードを入力します。

表 17：コマンドボタン
項目名	説明
登録	入力したAT-Vista Manager EXの情報を登録します。
キャンセル	AT-Vista Manager EXの登録、または情報の更新をキャンセルします。

TQ一覧

AT-Vista Manager EXによる管理の対象となる無線アクセスポイントを一覧表示します。

Note
無線アクセスポイントはIPアドレスで登録します。重複したIPアドレスは登録できません。

表 18：表示データ
項目名	説明
IPv4 アドレス	無線アクセスポイントのIPアドレスです。

表 19：コマンドボタン
項目名	説明
インポート	CSVファイルを使用して、無線アクセスポイントを新しく登録、または情報を更新します。
リセット	登録されたすべての無線アクセスポイントを削除します。
追加	「TQ 編集」ダイアログを表示し、無線アクセスポイントを新しく登録します。
編集	「TQ 編集」ダイアログを表示し、無線アクセスポイントの情報を更新します。
削除	無線アクセスポイントを削除します。

■ CSVファイルの書式について
CSVファイルを使用して、無線アクセスポイントを新しく登録、または情報を更新する場合には、次に示す書式で、文字コードが「UTF-8」のCSVファイルを作成してください。

追加（行頭に"+"）または削除（行頭に"-"）が可能です
2番目のフィールドは「IPv4 アドレス」、3番目のフィールドは「事前共有鍵(PSK)」を記載します

"+","192.168.1.98","xxxxxxxxx" ↓
"+","192.168.1.99","xxxxxxxxx" ↓
"-","192.168.1.100" ↓

Note
削除を行う場合には、「事前共有鍵(PSK)」の指定は不要です。

TQ 編集

無線アクセスポイントを登録または更新します。

表 20：設定データ
項目名	説明
IPv4 アドレス	無線アクセスポイントのIPアドレスを入力します。既に登録されているIPアドレスで追加を行った場合は、既存の設定を上書きします。
事前共有鍵(PSK)	無線アクセスポイントに設定されているセキュリティーキー（AMFアプリケーションプロキシーサーバーのシークレット）を入力します。

表 21：コマンドボタン
項目名	説明
登録	入力した無線アクセスポイントの情報を登録します。
キャンセル	無線アクセスポイントの登録、または情報の更新をキャンセルします。

リダイレクトURL設定

AMFアプリケーションプロキシー機能のリダイレクトURLアクション用のサイトを設定します。
なお、本サイトのプロトコルはHTTPです。

Note
本サイトはリダイレクトURLアクションに対応した製品からリダイレクトされたアクセスのみをサポートしており、通常のWebサーバーとしてはサポートしていません。

表 22：設定データ
項目名	説明
デバイス隔離用サイトを有効にします。	サイトを有効にする場合はチェックボックスにチェックを入れます。
ポート番号	サイトのポート番号を設定します。1～65535の範囲から設定できます。初期設定は8000です。

Note
AMF Securityは既に内部で使用しているポートがあります。使用しているポートについては、付録「AMF Security内部で使用しているポート番号」をご参照ください。

表 23：コマンドボタン
項目名	説明
登録	入力したリダイレクトURL設定を保存します。

サイトコンテンツのカスタマイズ

本サイトは初期状態のコンテンツが用意されています。また、カスタマイズした任意のサイトコンテンツをアップロードして使用することもできます。

Note
本項目は「リダイレクトURL設定」が有効になっているときに操作できます（「デバイス隔離用サイトを有効にします。」のチェックボックスにチェックが入っている場合）。

表 24：表示データ
項目名	説明
現在のサイトコンテンツ	使用されるサイトのコンテンツの種類を表示します。・デフォルト：初期状態のコンテンツが使用されます。・カスタマイズ：アップロードされたコンテンツが使用されます。

表 25：コマンドボタン
項目名	説明
ダウンロード	サイトのコンテンツをダウンロードします。「現在のサイトコンテンツ」が「デフォルト」の場合は初期状態のコンテンツ、「カスタマイズ」の場合はアップロードされたコンテンツがダウンロードされます。
アップロード	サイトのコンテンツをアップロードします。
リセット	アップロードしたサイトのコンテンツをリセットし、初期状態にします。
サイトのサンプルページ	サイトのサンプルページを表示します。

Note
サイトのコンテンツをアップロードする場合には、コンテンツの文字コードは「UTF-8」、コンテンツのファイルの階層が決められた構造になっていること、ファイルがZIP形式で圧縮されている必要があります。サイトのカスタマイズについては、付録「リダイレクトURLアクション用サイトのカスタマイズ」をご参照ください。

サイトのサンプルページ

サイトのサンプルページを表示できます。以下は初期状態で用意されているサイトのサンプルページです。

付録 / パスワードを忘れた場合

AMF SecurityにSMTPサーバーを登録してある場合、AMF Securityのログイン情報を忘れたときは、アカウントに関連付けられたメールアドレスを使用してログイン情報を復旧させることができます。

Note
アカウント名やメールアドレスを忘れた場合、SMTPサーバーを登録していない場合、アカウントにメールアドレスを関連付けていない場合には、メールによるパスワードの復旧はできません。AT-VST-VRTの設定画面でAMF Securityアプリケーションの初期化（削除→再作成）が必要となります。
なお、操作方法は弊社ホームページに掲載されている「AT-VST-VRT リファレンスマニュアル」をご参照ください。

AMF Security ログイン画面右下の「パスワードを忘れましたか?」をクリックします。
「Email アドレス:」にアカウントに関連付けたメールアドレスを入力して、「メールを送信」ボタンをクリックします。
有効なSMTP設定が登録されている場合、「（メールアドレス）宛てにメールを送信しました。」メッセージが表示されますので、右下の「戻る」をクリックします。

入力したメールアドレス宛てに「AMF Security パスワード再設定ページ」という件名のメールが届きますので、メール本文に記載されたリンクをクリックします。
■ 件名

AMF Security パスワード再設定ページ

■ 本文

下記のリンクからAMF Securityのパスワード再設定ページにアクセス出来ます。このページでパスワードを再設定して下さい。
https://（AMF SecurityのIPアドレス）/page/system/password_reset/xxxxxxxxxxxxxxxxxxx
このページは10分間有効です。10分以内に再設定を行って下さい。
もしお心当たりがない場合は、このメールを無視して下さい。パスワードは変更されません。

「パスワードのリセット」画面が表示されますので、メールアドレスを関連付けたアカウント名、新しいパスワード、パスワード確認を入力し、「登録」ボタンをクリックします。
「パスワードの変更が完了しました。」というメッセージが表示され、その後にAMF Security ログイン画面が表示されます。

入力したメールアドレス宛てに「AMF Securityのパスワードが変更されました」という件名のメールが届きますので、メール本文に記載されたリンクをクリックします。
■ 件名

AMF Securityのパスワードが変更されました

■ 本文

AMF Securityのパスワードを変更しました。
下記のリンクからAMF Securityに再ログインすることが出来ます。
https://（AMF SecurityのIPアドレス）/page/system/login

AMF Security ログイン画面が表示されますので、アカウント名と変更後のパスワードを入力して、ログインします。

付録 / OpenFlowスイッチのセットアップ

AlliedWare Plusスイッチ

準備

AT-TQシリーズ無線LANアクセスポイント

準備

この節では、OpenFlowスイッチをAMF Securityによるネットワーク運用・管理に対応させるためのセットアップ手順について記載します。

AlliedWare Plusスイッチ

AlliedWare Plusでは、多岐にわたる機能を提供しています。
AlliedWare Plusが動作するスイッチをOpenFlowスイッチとして正しく動作させるためには、OpenFlowスイッチのIPアドレス、OpenFlowコントローラーのIPアドレスなどの一般的なOpenFlowスイッチに必要とされる最低限の初期設定のほかにも、いくつか必ず設定すべき項目があります。

準備

OpenFlowライセンスを用いてAMF Securityによる管理機能を利用するには、以下の準備が必要です。

OpenFlowライセンス対応ファームウェア（ファームウェアバージョン5.4.6以上）のインストール
OpenFlowライセンスの適用

AlliedWare PlusスイッチをOpenFlowスイッチとして使用する際の詳細な手順やコマンドについては、各スイッチ製品のコマンドリファレンスに記載されています。
また、AMF Securityによる管理の対象となるAlliedWare Plusスイッチについての最新情報は、AMF Securityおよび当該AlliedWare Plusスイッチのリリースノートにて公開しております。
各製品のコマンドリファレンスおよびリリースノートは弊社ホームページにて公開、または保守契約者向けページに掲載されています。

AT-TQシリーズ無線LANアクセスポイント

AMF Securityによる管理の対象となる無線アクセスポイントを次に記します。

AT-TQシリーズ：AT-TQ4600、AT-TQ4400、AT-TQ5403、AT-TQ5403e

またAMF Securityによる管理を行うにあたり、対象無線アクセスポイントと合わせて、対応する以下のライセンスが必要となります。

AT-TQ4000-FL15：AT-TQ4600/AT-TQ4400用OpenFlowライセンス

準備

AT-TQ4600、AT-TQ4400でOpenFlowライセンスを用いてAMF Securityによる管理機能を利用するには、OpenFlowライセンス対応ファームウェアのインストールが必要です。
AT-TQ4600、AT-TQ4400をOpenFlow機器として使用する際の詳細な手順については、該当製品の「AT-SecureEnterpriseSDN Controller対応セットアップガイド」に記載されています。
上記セットアップガイドは弊社ホームページにて公開されています。

付録 / AMF Security内部で使用しているポート番号

AMF Securityが使用する待ち受けポート番号

AMF Securityが送信するパケット

AMF Securityでは下記のポート番号を内部的に使用しています。各種のポート番号は重複しないように設定してください。

AMF Securityが使用する待ち受けポート番号

AMF Securityが提供するサービスは、下記のポート番号で待ち受けを行います。サービスの中には待ち受けポート番号を設定で変更できるものがありますが、変更する際は各サービスの待ち受けポート番号が重複しないように設定してください。

表 1：各サービスの待ち受けポート番号
サービス名		ポート番号	備考
Web設定画面	HTTP	80/TCP※	※　設定の変更可能。
Web設定画面	HTTPS	443/TCP※	※　設定の変更可能。
HTTP リダイレクトサービス	HTTP	80/TCP
AMFアプリケーションプロキシーブラックリスト機能（TQ）リダイレクトURLアクション用サイト	HTTP	8000/TCP※	※　設定の変更可能。
内部用DNS サーバー		53/TCP 53/UDP
ローカルネットワーク名前解決サービス		5355/TCP 5355/UDP
トラップ監視	Syslog	514/UDP※	※　設定の変更可能。
トラップ監視	SNMP Trap	162/UDP※	※　設定の変更可能。
OpenFlow コントローラー		6653/TCP※	※　設定の変更可能。
AMFアプリケーションプロキシーホワイトリスト機能（AW+）		1812/UDP 2083/TCP
AMFアプリケーションプロキシーホワイトリスト・ブラックリスト機能（TQ）		1812/UDP
ローカルログ管理		9999/UDP
認証データベース管理		27017/TCP

AMF Securityが送信するパケット

AMF Securityが提供する機能は、下記の宛先に向けてパケット送信する可能性があります。宛先サーバーとの間にファイアウォールなどがある場合は、適切なフィルタリング設定を行う必要があります。

表 2：各機能が送信するパケット
機能名		宛先ホスト	ポート番号	備考
Syslog送信		指定したホスト	514/UDP※	※　指定がない場合に使用されるデフォルトのポート番号。
トラップ監視転送	Syslog	指定したホスト	514/UDP※	※　指定がない場合に使用されるデフォルトのポート番号。
トラップ監視転送	SNMP	指定したホスト	162/UDP※	※　指定がない場合に使用されるデフォルトのポート番号。
AMFアプリケーションプロキシーホワイトリスト機能（AW+）	端末情報の取得	AMFマスター	443/TCP
AMFアプリケーションプロキシーブラックリスト機能（AW+）	アクション登録	AMFマスター	443/TCP
AMFアプリケーションプロキシーブラックリスト機能（AW+）	状態取得	AMFマスター	12943/TCP
AMFアプリケーションプロキシーホワイトリスト機能（TQ）		TQ	1812/UDP
AMFアプリケーションプロキシーブラックリスト機能（TQ）		TQ	3799/UDP
AMFアプリケーションプロキシーブラックリスト機能（TQ）		Vista Manager EX（AWCプラグイン）	指定したポート番号（TCP）※	※　デフォルトでは5443
メール通知		指定したホスト	指定したポート番号（TCP）
DNS通信		指定したDNSサーバー※	53/UDP	※　AT-VST-VRT「AMF Security」の「アプリケーション設定」で設定したDNSサーバー。

付録 / CSVファイル

接続中 AMF メンバー一覧のCSVファイルのエクスポート

各一覧画面の「CSV にエクスポート」ボタンをクリックすると、一覧の内容をCSV（カンマ区切りテキスト）形式でダウンロードすることができます。
また、これらをテキストエディターなどで編集して、「システム設定」/「システム情報」画面から認証データとしてインポートすることもできます。

Note
「デバイス」/「接続中デバイス一覧」画面、「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面からエクスポートできるCSVファイルは、通常の認証データとは書式が異なります。「システム設定」/「システム情報」画面からインポートすることはできません。

文字コード

各一覧画面でダウンロードしたCSVファイルと、「システム設定」/「システム情報」画面からダウンロードした認証データのCSVファイルのテキストの文字コードは「UTF-8」です。

Note
CSVファイルをAMF Securityにアップロードする場合、CSVファイルに日本語などのマルチバイト文字が含まれている場合、文字コードが「UTF-8」であることを確認してください。「UTF-8」以外の文字コードを使用した場合、アップロード時にエラーが表示されてアップロードができません。

出力される項目

CSVファイルをエクスポートできる画面と、CSVファイルに出力される項目は以下となります。

凡例

CSVファイルでは、複数のデータ項目（フィールド）を二重引用符（""）でくくり、カンマ（,）で区切ります。

Note
以下の例では画面表示のためカンマ（,）の後に半角スペースを表示していますが、実際にエクスポートされるCSVファイルでは、カンマの後に半角スペースは含まれません。
また、画面表示による折り返しと実際のデータの改行を区別するため、行末に矢印（ ↓）を表示していますが、実際にエクスポートされるCSVファイルでは、行末に矢印は含まれません。
カンマの前後や行末など、二重引用符（""）の外に文字や記号を含むCSVファイルをインポートするとエラーになります。

灰色の文字列はキーワード（予約語）を指します。基本的にそのまま入力してください。
青色の文字列は一般的な変数値（一般的な文字列、数値など）を示します。
スクエアブラケット（角カッコ、[ ]）で囲まれた部分は省略可能であることを示します。

デバイス

「デバイス」/「デバイス一覧」画面からエクスポートできる、またはデバイス定義としてインポートできるCSVファイルの書式を示します。
■ エクスポート例
エクスポート時のファイル名は、デフォルトではdevice.csvです。
エクスポート時は、1行目にコメント行が出力されます。インポート用のCSVファイルを作成する場合は、このヘッダーは不要です。
デバイス追加画面のデバイス ID・タグ・備考・インターフェースがテーブル名「device」で、セキュリティーポリシーがテーブル名「rule」でエクスポートされます。

"#","table","デバイス ID","備考","タグ" ↓
"+","device","device_1","device_note","User_A","%ports","%port","00:00:5e:00:53:20","MAC_name","MAC_note" ↓
"+","rule","device_1","sesc.device","","pass","10","True","%options","m_location_name=1F","m_schedule_name=3月イベント","s_network_name=営業部" ↓

■ 書式
デバイスの登録行（テーブル名「device」）は次の書式で記述します。

"+", "device", "（デバイス ID）", "（タグ）", "（備考）", "%ports", "%port", "（MACアドレス）", "（インターフェース名称）", "（備考）" ↓

複数のインターフェースを関連付ける場合は、「"%port"」以降（"%port"、MACアドレス、インターフェース名称、備考）を繰り返します。

"+", "device", "（デバイス ID）", "（タグ）", "（備考）", "%ports", "%port", "（MACアドレス）", "（インターフェース名称）", "（備考）", "%port", "（MACアドレス）", "（インターフェース名称）", "（インターフェース備考）", ... ↓

デバイスにセキュリティーポリシーを指定する場合は、デバイスの登録行（テーブル「device」）に続いて、セキュリティーポリシーの登録行（テーブル「rule」）を次の書式で記述します。

"+", "rule", "（デバイス ID）", "（実行者）（AMF Securityの設定画面で追加した場合はsesc.device）", "（（理由）（AMF Securityの設定画面で追加した場合は空欄）", "pass", "（優先度）", "True", "%options"[, "m_location_name=（ロケーション ID）"][, "m_ofs_name=（スイッチ ID）"][, "m_ofs_port=（ポート名）"][, "m_schedule_name=（スケジュール ID）"][, "m_network_name=（ネットワーク ID）"] ↓

セキュリティーポリシーの各フィールドは、指定が不要な場合は省略可能です。

ロケーション（m_location_name=（ロケーション ID））
OpenFlowスイッチ（m_ofs_name=（スイッチ ID））
スイッチポート（m_ofs_port=（ポート名））
スケジュール（m_schedule_name=（スケジュール ID））
ネットワーク（m_network_name=（ネットワーク ID））

複数のセキュリティーポリシーを指定する場合は、セキュリティーポリシーの登録行を複数記述します。同じ優先度を指定した場合、後から読み込んだもので上書きされます。

接続中デバイス一覧

「デバイス」/「接続中デバイス一覧」画面からエクスポートできるCSVファイルは、画面に表示されているMACアドレスの状態を出力するもので、通常のデバイス認証データとは書式が異なります。
「システム設定」/「システム情報」画面から直接インポートすることはできません。テキストエディターなどによる編集の手順については、付録「CSVを利用した認証データの作成」をご覧ください。

未認証グループ

「グループ」/「未認証グループ一覧」画面からエクスポートできる、または未認証グループ定義としてインポートできるCSVファイルの書式を示します。
■ エクスポート例
エクスポート時のファイル名は、デフォルトではgroup.csvです。
エクスポート時は、1行目にコメント行が出力されます。インポート用のCSVファイルを作成する場合は、このヘッダーは不要です。
「グループ」/「未認証グループ追加」画面のグループID・備考・有効/無効がテーブル名「group」で、セキュリティーポリシーがテーブル名「rule」でエクスポートされます。

"#","table","グループ ID","備考","アクション","有効" ↓
"+","group","イベント訪問客","","fail","true" ↓
"+","rule","イベント訪問客","sesc.unauthGroup","","pass","30","True","%options","m_location_name=1Fカンファレンスルーム","m_schedule_name=10月イベント","s_network_name=来客用" ↓

■ 書式
未認証グループの登録行は次の書式で記述します。

"+", "group", "（グループ ID）", "（備考）", "（detect：検出のみの未認証グループ、pass：セキュリティーポリシー設定を持たない通常の未認証グループ、fail：セキュリティーポリシー設定を持つ通常の未認証グループ）", "（true：有効またはfalse：無効）" ↓

未認証グループにセキュリティーポリシーを指定する場合は、未認証グループの登録行に続いて、セキュリティーポリシーの登録行を次の書式で記述します。

"+", "rule", "（グループ ID）", "（実行者）（AMF Securityの設定画面で追加した場合はsesc.unauthGroup）", "（グループ備考）", "（pass：通過またはdetect：検出のみ）", "（優先度）", "True", "%options"[, "m_location_name=（ロケーション ID）"][, "m_schedule_name=（スケジュール ID）"][, "m_network_name=（ネットワーク ID）"] ↓

セキュリティーポリシーの各フィールドは、指定が不要な場合は省略可能です。

ロケーション（m_location_name=（ロケーション ID））
スケジュール（m_schedule_name=（スケジュール ID））
ネットワーク（m_network_name=（ネットワーク ID））

「グループ」/「タグ一覧」画面からエクスポートできる、またはタグ定義としてインポートできるCSVファイルの書式を示します。
■ エクスポート例
エクスポート時のファイル名は、デフォルトではtag.csvです。
エクスポート時は、1行目にコメント行が出力されます。インポート用のCSVファイルを作成する場合は、このヘッダーは不要です。
「グループ」/「タグ追加」画面のタグ・備考がテーブル名「tag」で、セキュリティーポリシーがテーブル名「rule」でエクスポートされます。

"#","table","タグ","備考" ↓
"+","tag","Tag_group_A","Note_group_A" ↓
"+","rule","Tag_group_A","sesc.deviceTag","Note_group_A","permit","10","true","%options","m_location_name=1F Conference Room","m_schedule_name=October Event","s_network_name=VLAN100" ↓

■ 書式
タグの登録行は次の書式で記述します。

"+", "tag", "（タグ）", "（備考）" ↓

タグにセキュリティーポリシーを指定する場合は、タグの登録行に続いて、セキュリティーポリシーの登録行を次の書式で記述します。

"+", "rule", "（タグ）", "（実行者）（AMF Securityの設定画面で追加した場合はsesc.deviceTag）", "（タグ備考）", "permit", "（優先度）", "true", "%options"[, "m_location_name=（ロケーション ID）"][, "m_schedule_name=（スケジュール ID）"][, "m_network_name=（ネットワーク ID）"] ↓

セキュリティーポリシーの各フィールドは、指定が不要な場合は省略可能です。

ロケーション（m_location_name=（ロケーション ID））
スケジュール（m_schedule_name=（スケジュール ID））
ネットワーク（m_network_name=（ネットワーク ID））

OpenFlowスイッチ

「スイッチ」/「OpenFlow スイッチ一覧」画面からエクスポートできる、またはOpenFlowスイッチ定義としてインポートできるCSVファイルの書式を示します。
■ エクスポート例
エクスポート時のファイル名は、デフォルトではswitch.csvです。
エクスポート時は、1行目にコメント行が出力されます。インポート用のCSVファイルを作成する場合は、このヘッダーは不要です。
「スイッチ」/「OpenFlow スイッチ追加」画面のスイッチ ID・備考・Datapath ID・アップストリームポート・アカウントグループ IDが、テーブル名「switch」でエクスポートされます。

"#","table","スイッチ ID","備考","Datapath ID","アップストリームポート","アカウントグループ ID" ↓
"+","switch","x510-28GTX","#1Fスイッチ","0000xxxxxxxxxxxx","port1.0.2","" ↓
"+","switch","AT-TQ4600","#1F無線AP","0000xxxxxxxxxxxx","eth0","group1" ↓

■ 書式
OpenFlowスイッチの登録行は次の書式で記述します。

"+", "switch", "（スイッチ ID）", "（備考）", "（Datapath ID）", "（アップストリームポート）", "（アカウントグループ ID）" ↓

接続中 OpenFlow スイッチ一覧

「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面からエクスポートできるCSVファイルは、画面に表示されているOpenFlowスイッチの状態を出力するもので、通常の認証データとは書式が異なります。
「システム設定」/「システム情報」画面から直接インポートすることはできません。テキストエディターなどによる編集の手順については、付録「CSVを利用した認証データの作成」をご覧ください。

AMFメンバー

「スイッチ」/「AMF メンバー一覧」画面からエクスポートできる、またはAMFメンバー定義としてインポートできるCSVファイルの書式を示します。
■ エクスポート例
エクスポート時のファイル名は、デフォルトではswitch.csvです。
エクスポート時は、1行目にコメント行が出力されます。インポート用のCSVファイルを作成する場合は、このヘッダーは不要です。
「スイッチ」/「AMF メンバー追加」画面の名称・備考・アカウントグループ IDが、テーブル名「switch」でエクスポートされます。

"#","table","スイッチ ID","備考","Datapath ID","アップストリームポート","アカウントグループ ID" ↓
"+","switch","AMF-Member1","#1Fスイッチ","-","","" ↓
"+","switch","AMF-Member2","#1Fスイッチ","-","","group1" ↓

■ 書式
AMFメンバーの登録行は次の書式で記述します。

"+", "switch", "（名称）", "（備考）", "-", "", "（アカウントグループ ID）" ↓

接続中 AMF メンバー一覧のCSVファイルのエクスポート

接続中のAMFメンバー一覧を、CSVファイルに書き出します。

「スイッチ」/「接続中 AMF メンバー一覧」画面を表示します。
画面右上の「CSV にエクスポート」ボタンをクリックし、CSVファイルをダウンロードします。
エクスポート時のファイル名は、デフォルトではamf_member_active.csvです。

アカウントグループ

「システム設定」/「アカウントグループ一覧」画面からエクスポートできる、またはアカウントグループ定義としてインポートできるCSVファイルの書式を示します。
■ エクスポート例
エクスポート時のファイル名は、デフォルトではaccount_group.csvです。
エクスポート時は、1行目にコメント行が出力されます。インポート用のCSVファイルを作成する場合は、このヘッダーは不要です。
「システム設定」/「アカウントグループ追加」画面のアカウントグループ ID・備考が、テーブル名「account_group」でエクスポートされます。

'"#","table","アカウントグループ ID","備考" ↓
'"+","account_group","group1","営業管理" ↓
'"+","account_group","group2","来客管理" ↓

■ 書式
アカウントグループの登録行は次の書式で記述します。

"+", "account_group", "（アカウントグループ ID）", "（備考）" ↓

ネットワーク

「ポリシー設定」/「ネットワーク一覧」画面からエクスポートできる、またはネットワーク定義としてインポートできるCSVファイルの書式を示します。
■ エクスポート例
エクスポート時のファイル名は、デフォルトではnetwork.csvです。
エクスポート時は、1行目にコメント行が出力されます。インポート用のCSVファイルを作成する場合は、このヘッダーは不要です。
「ポリシー設定」/「ネットワーク追加」画面のネットワーク ID・備考・VLAN IDがテーブル名「network」でエクスポートされます。

"#","table","ネットワーク ID","備考","VLAN ID" ↓
"+","network","営業部","営業ネットワーク","123" ↓
"+","network","来客用","ゲストネットワーク","456" ↓

■ 書式
ネットワークの登録行は次の書式で記述します。

"+", "network", "（ネットワーク ID）", "（備考）", "（VLAN ID）" ↓

ロケーション

「ポリシー設定」/「ロケーション一覧」画面からエクスポートできる、またはロケーション定義としてインポートできるCSVファイルの書式を示します。
■ エクスポート例
エクスポート時のファイル名は、デフォルトではlocation.csvです。
エクスポート時は、1行目にコメント行が出力されます。インポート用のCSVファイルを作成する場合は、このヘッダーは不要です。
「ポリシー設定」/「ロケーション追加」画面のロケーション ID・備考・スイッチ IDがテーブル名「location」でエクスポートされます。

"#","table","ロケーション ID","備考" ↓
"+","location","1F","1Fエリア","%switch-names","x510-28GTX" ↓
"+","location","1Fカンファレンスルーム","1Fカンファレンスルーム","%switch-names","AT-TQ4400" ↓

■ 書式
ロケーションの登録行は次の書式で記述します。

"+", "location", "（ロケーション ID）", "（備考）", "%switch-names", "（スイッチ ID）" ↓

複数のOpenFlowスイッチを関連付ける場合は、関連付けるスイッチ IDを繰り返します。

"+", "location", "（ロケーション ID）", "（備考）", "%switch-names", "（スイッチ ID）", "（スイッチ ID）",... ↓

スケジュール

「ポリシー設定」/「スケジュール一覧」画面からエクスポートできる、またはスケジュール定義としてインポートできるCSVファイルの書式を示します。
■ エクスポート例
エクスポート時のファイル名は、デフォルトではschedule.csvです。
エクスポート時は、1行目にコメント行が出力されます。インポート用のCSVファイルを作成する場合は、このヘッダーは不要です。
「ポリシー設定」/「スケジュール追加」画面のスケジュール ID・備考・開始日時・終了日時がテーブル名「schedule」でエクスポートされます。

"#","table","スケジュール ID","備考","開始日時","終了日時" ↓
"+","schedule","入社","3月入社","20XX-03-01 00:00:00","" ↓
"+","schedule","10月末イベント","","20XX-10-25 00:00:00","20XX-11-04 00:00:00" ↓

■ 書式
スケジュールの登録行は次の書式で記述します。

"+", "schedule", "（スケジュール ID）", "（備考）", "（開始日時）", "（終了日時）" ↓

開始日時または終了日時を指定しない場合は空欄にします。

アクション

「ポリシー設定」/「アクション一覧」画面からエクスポートできる、またはアクション定義としてインポートできるCSVファイルの書式を示します。
■ エクスポート例
エクスポート時のファイル名は、デフォルトではaction.csvです。
エクスポート時は、1行目にコメント行が出力されます。インポート用のCSVファイルを作成する場合は、このヘッダーは不要です。
「ポリシー設定」/「アクション追加」画面のアクション ID・アクションの実行者・原因・OpenFlowアクション・優先度・AMFアクション・アクションの各種条件がテーブル名「action」でエクスポートされます。

"#","table","アクション ID","アクションの実行者","原因","アクション","優先度","有効" ↓
"+","action","不審デバイス遮断","sesc.action","ポートスキャン","drop","10","True","%options","m_device_mac=00:00:5E:00:53:01" ↓

■ 書式
アクションの登録行は次の書式で記述します。

"+", "action", "（アクション ID）", "（アクションの実行者）", "（理由）", "（pass（通過(許可)）、isolate（隔離）、drop（破棄(遮断)）、log-only（ログ）、またはredirect-url（リダイレクトURL））", "（優先度）", "True", "%options"[, "action_amf=（AMFアクション：isolate（隔離）、drop（パケット破棄）、link-down（リンクダウン）、ipfilter（IPフィルター）、またはlog-only（ログ））"][, "m_device_mac=（デバイスMACアドレス）"][, "m_device_ip=（デバイスIPv4アドレス）"][, "m_device_name=（デバイス ID）"][, "m_device_tag=（デバイスタグ）"][, "m_location_name=（ロケーション ID）"][, "m_ofs_name=（スイッチ ID）"][, "m_network_name=（ネットワーク ID）"][, "s_vlan_id=（通過/隔離 VLAN ID）"] ↓

「"%options"」以降の各フィールドは、指定が不要な場合は省略可能です。

AMFアクション（action_amf=（アクション））
デバイスMACアドレス（m_device_mac=（デバイスMACアドレス））
デバイスIPv4アドレス（m_device_ip=（デバイスIPv4アドレス））
デバイス（m_device_name=（デバイス ID））
デバイスタグ（m_device_tag=（デバイスタグ））
ロケーション（m_location_name=（ロケーション ID））
OpenFlowスイッチ（m_ofs_name=（スイッチ ID））
ネットワーク（m_network_name=（ネットワーク ID））
通過/隔離 VLAN ID（s_vlan_id=（通過/隔離 VLAN ID）））

認証データのダウンロード

「システム設定」/「システム情報」画面でダウンロードする認証データは、上記の各種データを必要な順で一括して記載したものです。
通常、すべての種類の認証データが登録されている場合、次の順で記述されます。

アカウントグループ
OpenFlowスイッチ
AMFメンバー
ロケーション
スケジュール
ネットワーク
デバイス
未認証グループ
アクション

■ エクスポート例

"+","account_group","group1","営業管理" ↓
"+","account_group","group2","来客管理" ↓
"+","switch","x510-28GTX","#1Fスイッチ","0000000000000001","port1.0.2","" ↓
"+","switch","AT-TQ4400","#1F無線AP","0000000000000002","eth0","group1" ↓
"+","switch","AMF-Member1","#1Fスイッチ","-","","" ↓
"+","switch","AMF-Member2","#1Fスイッチ","-","","group1" ↓
"+","location","1F","1Fエリア","%switch-names","x510-28GTX" ↓
"+","location","1Fカンファレンスルーム","1Fカンファレンスルーム","%switch-names","AT-TQ4400" ↓
"+","schedule","入社","3月入社","2017-03-01 00:00:00","" ↓
"+","schedule","10月末イベント","","2017-10-25 00:00:00","2017-11-04 00:00:00" ↓
"+","network","営業部","営業ネットワーク","123" ↓
"+","network","来客用","ゲストネットワーク","456" ↓
"+","device","device_1","device_note","User_A","%ports","%port","00:00:5e:00:53:20","MAC_name","MAC_note" ↓
"+","rule","device_1","sesc.device","","pass","10","True","%options","m_location_name=1F","m_schedule_name=入社","s_network_name=営業部" ↓
"+","group","イベント訪問客","","fail","true" ↓
"+","rule","イベント訪問客","sesc.unauthGroup","","pass","30","True","%options","m_location_name=1Fカンファレンスルーム","m_schedule_name=10月末イベント","s_network_name=来客用" ↓
"+","action","不審デバイス遮断","sesc.action","ポートスキャン","drop","10","True","%options","m_device_mac=00:00:5e:00:53:01" ↓

CSVファイルのインポート

「システム設定」/「システム情報」画面では、認証データをCSV形式でダウンロードしたり、テキストエディターなどで編集したCSVファイルをアップロードしたりすることができます。
アップロードするデータは、「システム設定」/「システム情報」画面からダウンロードした認証データ、または、各一覧画面のCSVファイルのどちらをもとにすることもできます。
各一覧画面のCSVファイルを編集して「システム設定」/「システム情報」画面から認証データとしてAMF Securityへアップロードする際、異なる画面のCSVファイルを編集したものアップロードする場合は、必要な情報を次の順でアップロードしてください。

セキュリティーポリシー定義
ロケーション、ネットワーク、スケジュールのいずれの順でインポートすることもできます。
ただし、ロケーションの定義をインポートする前に、必ずOpenFlowスイッチまたはAMFメンバーの定義をインポートしておく必要があります。
- ネットワーク
- OpenFlowスイッチまたはAMFメンバー ⇒ ロケーション
- スケジュール
デバイス・未認証グループ・タグ定義
デバイス認証データ、未認証グループ、タグの定義は、いずれの順でインポートすることもできます。
- デバイス
- 未認証グループ
- タグ
アクション定義
OpenFlowスイッチまたはAMFメンバー、セキュリティーポリシー（ネットワーク、ロケーション、スケジュール）、デバイス、未認証グループの認証データを一通りインポートした上で、最後にアクション定義をインポートします。

登録の順番が上記と異なる際、未登録の情報が含まれる場合は、エラーとなります。
例えば、デバイスの認証データをアップロードする際、セキュリティーポリシーに指定されたロケーション ID、スケジュール ID、ネットワーク ID、スイッチ ID、スイッチポートのうち、いずれか1つでもAMF Securityに登録されていないIDを記述した場合は、インポートに失敗し、デバイス認証データは更新されません。

付録 / CSVを利用した認証データの作成

OpenFlowスイッチの認証データの作成

OpenFlowスイッチ一覧のCSVファイルのエクスポート

テキストエディターによるCSVファイルの編集

CSVファイルのインポート

AMFメンバーの認証データの作成

接続中 AMF メンバー一覧のCSVファイルのエクスポート

テキストエディターによるCSVファイルの編集

CSVファイルのインポート

デバイスの認証データの作成

未認証グループによる対象デバイスの絞り込み・検出

デバイス一覧のCSVファイルのエクスポート

テキストエディターによるCSVファイルの編集

CSVファイルのインポート

既設のネットワークにAMF Securityを導入する場合、多数のOpenFlowスイッチやデバイスをAMF Securityに登録する必要があります。
デバイスやOpenFlowスイッチの一覧をCSVファイルにエクスポートし、CSVファイルを編集して、AMF Securityにインポートすることで、新規導入時の機器の登録作業を大幅に軽減することができます。
ここでは、「デバイス」/「接続中デバイス一覧」画面、「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面、「スイッチ」/「接続中 AMF メンバー一覧」画面から出力したCSVファイルから、AMF Securityの認証データとしてインポート可能なホワイトリストを作成するための手順を説明します。

Note
接続中のデバイスとOpenFlowスイッチの両方について、ホワイトリストを作成、インポートする必要がある場合は、OpenFlowスイッチからホワイトリストの作成、インポートを行うことをおすすめします。
OpenFlowスイッチから登録し、続いてOpenFlowスイッチのロケーションを設定しておくことで、デバイスが接続されたOpenFlowスイッチによって登録するデバイスを切り分けることができます。

上記は接続中のデバイスとAMFノードの場合も同様です。

OpenFlowスイッチの認証データの作成

多数のOpenFlowスイッチが接続されており、これらを一括してAMF Securityに登録する場合は、以下の流れで行います。

OpenFlowスイッチ一覧のCSVファイルのエクスポート
テキストエディターによるCSVファイルの編集
CSVファイルのインポート

OpenFlowスイッチ一覧のCSVファイルのエクスポート

接続中のOpenFlowスイッチの一覧を、CSVファイルに書き出します。

「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面を表示します。
画面右上の「CSV にエクスポート」ボタンをクリックし、CSVファイルをダウンロードします。
エクスポート時のファイル名は、デフォルトではchannel.csvです。

テキストエディターによるCSVファイルの編集

ダウンロードしたOpenFlowスイッチ一覧のCSVファイルを、テキストエディターで編集します。

Note
必要に応じて、ファイルのバックアップを作成してください。

文字コード「UTF-8」を取り扱いできるテキストエディターで、ダウンロードしたCSVファイルを開きます。
今回は、CSVファイルの内容は次のとおりであるとします。

Note
以下の例では画面表示による折り返しと実際のデータの改行を区別するため、行末に矢印（ ↓）を表示していますが、実際にエクスポートされるCSVファイルでは、行末に矢印は含まれません。
カンマの前後や行末など、二重引用符（""）の外に文字や記号を含むCSVファイルをインポートするとエラーになります。
1行目はコメント行です。
コメント行の内容は無視されるため、修正する必要はありません。また、不要な場合は削除しても構いません。
ここでは、簡便のため、コメント行は削除します。
8番目のフィールド（"%status"）以降はスイッチ認証データには不要なため、記述は無視されます。また、不要な場合は削除しても構いません。
ここでは、簡便のため、直前のカンマから削除します。
2番目のフィールドを「"channel"」から「"switch"」に書き換えます。
3番目のフィールドに、既にAMF Securityに登録されているものと重複しないスイッチ ID（例：「AT-TQ4600-1」、「AT-TQ4600-2」）を入力します。
4番目のフィールドに備考を入力します。
ここでは、備考に「20XX/11 ホワイトリストによる登録」を入力します。
以上で、基本的なスイッチ認証データの記述は完了です。
ファイルを文字コード「UTF-8」で保存します。

CSVファイルのインポート

編集したCSVファイルをAMF Securityにインポートします。
なお、先ほど編集したCSVファイルにはアカウントグループ ID「"group1"」が含まれているため、事前に設定が必要です。
アカウントグループの設定は「システム設定」/「アカウントグループ一覧」画面から行ってください。

「システム設定」/「システム情報」画面を開きます。
「認証データ」の「インポート」ボタンをクリックして、「認証データのアップロード」画面を開きます。
「ファイルを選択」ボタンをクリックし、先ほど編集したCSVファイルを選択して、「登録」ボタンをクリックします。

認証データの各フィールドが正しく記述されており、AMF Securityの既存の認証データとの整合性が確認できると、AMF Securityのデータベースに新しいOpenFlowスイッチとして登録されます。

AMFメンバーの認証データの作成

多数のAMFメンバーが接続されており、これらを一括してAMF Securityに登録する場合は、以下の流れで行います。

接続中 AMF メンバー一覧のCSVファイルのエクスポート
テキストエディターによるCSVファイルの編集
CSVファイルのインポート

接続中 AMF メンバー一覧のCSVファイルのエクスポート

接続中のAMFメンバーの一覧を、CSVファイルに書き出します。

「スイッチ」/「接続中 AMF メンバー一覧」画面を表示します。
画面右上の「CSV にエクスポート」ボタンをクリックし、CSVファイルをダウンロードします。
エクスポート時のファイル名は、デフォルトではamf_member_active.csvです。

テキストエディターによるCSVファイルの編集

ダウンロードしたAMFメンバー一覧のCSVファイルを、テキストエディターで編集します。

Note
必要に応じて、ファイルのバックアップを作成してください。

文字コード「UTF-8」を取り扱いできるテキストエディターで、ダウンロードしたCSVファイルを開きます。
今回は、CSVファイルの内容は次のとおりであるとします。

Note
以下の例では画面表示による折り返しと実際のデータの改行を区別するため、行末に矢印（ ↓）を表示していますが、実際にエクスポートされるCSVファイルでは、行末に矢印は含まれません。
カンマの前後や行末など、二重引用符（""）の外に文字や記号を含むCSVファイルをインポートするとエラーになります。
1行目はコメント行です。
コメント行の内容は無視されるため、修正する必要はありません。また、不要な場合は削除しても構いません。
ここでは、簡便のため、コメント行は削除します。
2番目のフィールドを「"amf_member_active"」から「"switch"」に書き換えます。
4番目のフィールドを備考に変更します。
ここでは、備考に「20XX/11 ホワイトリストによる登録」を入力します。
以上で、基本的なスイッチ認証データの記述は完了です。
ファイルを文字コード「UTF-8」で保存します。

CSVファイルのインポート

「システム設定」/「システム情報」画面を開きます。
「認証データ」の「インポート」ボタンをクリックし、「認証データのアップロード」画面を開きます。
「ファイルを選択」ボタンをクリックし、先ほど編集したCSVファイルを選択して、「登録」ボタンをクリックします。

認証データの各フィールドが正しく記述されており、AMF Securityの既存の認証データとの整合性が確認できると、AMF Securityのデータベースに新しいAMFメンバーとして登録されます。

デバイスの認証データの作成

多数のデバイスが接続され、その中から正規にネットワークに接続可能なデバイスを一括してAMF Securityに登録する場合は、以下の流れで行います。

未認証グループによる対象機器の絞り込み・検出
検出デバイス一覧のCSVファイルのエクスポート
テキストエディターによるCSVファイルの編集
CSVファイルのインポート

未認証グループによる対象デバイスの絞り込み・検出

「グループ」/「未認証グループ追加」画面から、ホワイトリストの対象とするデバイスを、未認証グループとして検出します。
これにより、多数のデバイスから、ロケーションまたはスケジュールによって、対象とするデバイスを絞り込むことができます。
ロケーションの登録や未認証グループの作成の詳細な手順は、クイックツアー「手動によるデバイスの追加」/「ロケーションの登録」、および、クイックツアー「一覧からのデバイス登録」/「未認証グループによるデバイスの検出」をご覧ください。

デバイス一覧のCSVファイルのエクスポート

MACアドレス一覧を、CSVファイルに書き出します。

Note
画面上の検索や絞り込みは、出力されるCSVファイルの内容に影響しません。CSVのエクスポートの際は接続中のすべてのデバイスがエクスポートされます。

「デバイス」/「接続中デバイス一覧」画面を表示します。
画面右上の「CSV にエクスポート」ボタンをクリックし、CSVファイルをダウンロードします。
エクスポート時のファイル名は、デフォルトではclient.csvです。

テキストエディターによるCSVファイルの編集

ダウンロードしたMACアドレス一覧のCSVファイルを、テキストエディターで編集します。

Note
必要に応じて、ファイルのバックアップを作成してください。

文字コード「UTF-8」を取り扱いできるテキストエディターで、ダウンロードしたCSVファイルを開きます。
今回は、CSVファイルの内容は次のとおりであるとします。

Note
以下の例では画面表示による折り返しと実際のデータの改行を区別するため、行末に矢印（ ↓）を表示していますが、実際にエクスポートされるCSVファイルでは、行末に矢印は含まれません。
カンマの前後や行末など、二重引用符（""）の外に文字や記号を含むCSVファイルをインポートするとエラーになります。
1行目はコメント行です。
コメント行の内容は無視されるため、修正する必要はありません。また、不要な場合は削除しても構いません。
ここでは、簡便のため、コメント行は削除します。
「デバイス」/「接続中デバイス一覧」画面上の検索や絞り込みは、出力されるCSVファイルの内容に影響しません。
未認証グループによって検出されたデバイス以外に、接続済み、隔離、遮断、認証失敗のデバイスが存在するネットワークでは、出力されたCSVファイルには接続済み、隔離、遮断、認証失敗のMACアドレス情報も出力されます。これらのデバイスの状況は、CSVの12番目のフィールドに記述されます。
12番目のフィールドが「検出」以外の行を削除します。
11番目のフィールド（"%status"）以降はデバイス認証データには不要なため、記述は無視されます。また、不要な場合は削除しても構いません。
ここでは、簡便のため、直前のカンマから削除します。
2番目のフィールドを「"client"」から「"device"」に書き換えます。
3番目のフィールドに、既にAMF Securityに登録されているものと重複しないデバイス ID（例：「device1」、「device2」、「device3」）を入力します。
必要に応じて、4番目のフィールドにデバイスの備考、5番目のフィールドにデバイスのタグを入力します。
ここでは、備考に「20XX/11 ホワイトリストによる登録」を入力します。タグは空欄とします。
必要に応じて、9番目のフィールドにインターフェースの名称、10番目のフィールドにインターフェースの備考を入力します。
ここでは、名称に「（デバイス ID）-1」（例：device1-1）を入力します。備考は空欄とします。
デバイス IDが、既にAMF Securityに登録されているもの、またはCSV内の他の行の記述されているものと重複する場合、最後に書かれた行の記述のみが有効になります。
複数のMACアドレスを1つのデバイスに関連付ける場合は、7～10番目のフィールド（"%port"、MACアドレス、インターフェース名称、インターフェース備考）を繰り返して記述します。
例えば、上記の例のMACアドレス「00:00:5e:00:53:30」と「00:00:5e:00:53:31」をデバイス ID「device1」に関連付ける場合は、次のように整形します。
以上で、基本的なデバイス認証データの記述は完了です。
デバイスにセキュリティーポリシーを設定しない場合は、ファイルを文字コード「UTF-8」で保存して、以下の手順を省略し、CSVファイルのインポートに進みます。
デバイスに対してセキュリティーポリシーを設定する場合は、「device」テーブルの各行に「rule」テーブルのCSV行を追加します。
ここでは、例として、すべてのデバイスに対して、以下のセキュリティーポリシーを設定します。

Note
セキュリティーポリシーの各項目は、あらかじめAMF Securityに登録されている必要があります。セキュリティーポリシーに指定されたロケーション ID、スケジュール ID、ネットワーク ID、スイッチ ID、スイッチポートのうち、いずれか1つでもAMF Securityに登録されていないIDを記述した場合は、インポートに失敗し、デバイス認証データは更新されません。

表 1：セキュリティーポリシー
項目設定

優先度 10

OpenFlowスイッチ AT-TQ4600-1

ネットワーク営業部

書式の詳細については、付録「CSVファイル」/「出力される項目」の「デバイス」をご覧ください。
以上で、セキュリティーポリシーを含むデバイス認証データの記述は完了です。
ファイルを文字コード「UTF-8」で保存します。

CSVファイルのインポート

編集したCSVファイルをAMF Securityにインポートします。

「システム設定」/「システム情報」画面を開きます。
「認証データ」の「インポート」ボタンをクリックして、「認証データのアップロード」画面を開きます。
「ファイルを選択」ボタンをクリックし、先ほど編集したCSVファイルを選択して、「登録」ボタンをクリックします。

認証データの各フィールドが正しく記述されており、AMF Securityの既存の認証データとの整合性が確認できると、AMF Securityのデータベースに新しいデバイスとして登録されます。

付録 / AT-AR3050S/AT-AR4050Sの設定

連携可能なUTM機能一覧

ARシリーズの設定

アドバンストVPNアクセス・ルーターAT-AR3050S/AT-AR4050S（以下、「ARシリーズ」）は、VPNルーター機能に加えファイアウォール、IPS/IDS、アンチウイルス/マルウェアプロテクションやIPレピュテーションなどのセキュリティー機能も搭載した次世代型ファイアウォールです。このARシリーズで検知された脅威情報をAMF Securityと連携し、エッジ・スイッチや無線LANアクセスポイントを制御することで、それらに接続されたユーザー端末、IP電話、プリンター、複合機、POS端末、医療機器、MC機器、その他IP対応デバイスを動的に管理・運用することが可能です。

連携可能なUTM機能一覧

ARルーターのUTM（Unified Threat Management）関連機能のうち、AMF Securityと連携可能な機能は次のとおりです。

Note
UTMオフロードに対応しているUTM機能については、UTMオフロードが有効な場合も連携が可能です。

■ IPレピュテーション（IPアドレスブラックリスト）
IPアドレスの分類リストをもとに、特定のIPアドレスを送信元または宛先とするパケットを制御できます。次のカテゴリーのものがAMF Securityと連携できます。

表 1：IPレピュテーション連携対応カテゴリー
カテゴリー	カテゴリー名（NAMEパラメーター）	説明
マルウェア	CnC マルウェアC&Cサーバー	既知のマルウェア（ボット）に命令を送るC&C（指令＆制御）サーバー。このカテゴリーには実際の活動が観測されたものとDGA（Domain Generation Algorithm）に基づいて予測されたものが含まれる。
	Bot マルウェア感染ホスト	マルウェアC&Cサーバーとの通信が観測されたホストおよびマルウェア（ボット）への感染が明確に認められるホスト。
	Mobile_CnC モバイルC&Cサーバー	モバイル環境向けのマルウェアC&Cサーバー。
スパイウェア	Drop 流出情報サイト	不正に取得されたパスワードやログなどの情報がアップロードされているホスト。マルウェアC&Cサーバーと重複する場合もある。情報をアップロードする側は含まない。
	SpywareCnC スパイウェアC&Cサーバー	ユーザーの行動を追跡する目的で使用されていると思われるサーバー。通常の広告配信サイトではなく、ツールバー、ゲーム、無料スクリーンセーバーなどのソフトウェアによって収集された情報の送信先である可能性が高い。
	Mobile_Spyware_CnC モバイルスパイウェアC&Cサーバー	モバイル環境向けのスパイウェアC&Cサーバー。

Note
別途ARシリーズ用のアニュアルライセンスが必要になります。

■ ファイアウォール
ARシリーズには、IPトラフィックフローの開始・終了を認識し、これに応じて動的なパケットフィルタリングを行うステートフルインスペクション型のファイアウォールが搭載されています。それに加え、下記の検出可能な攻撃をAMF Securityと連携できます。

表 2：連携可能な攻撃
検出可能な攻撃	説明
Syn Flood	特定の始点IPv4アドレスを持つTCP SYNパケットの数が、基準時間内（1秒以内）にしきい値に達したときに、該当攻撃を検出したとみなします。
ICMP Flood	特定の始点IPv4アドレスを持つICMPパケットの数が、基準時間内（1秒以内）にしきい値に達したときに、該当攻撃を検出したとみなします。
UDP Flood	特定の始点IPv4アドレスを持つUDPパケットの数が、基準時間内（1秒以内）にしきい値に達したときに、該当攻撃を検出したとみなします。
TCP Stealth Scan	不正はTCPパケットを検出したときに、該当攻撃を検出したとみなします（IPv4のみサポート対象）。

■ マルウェアプロテクション（ストリーム型アンチウイルス）
ARシリーズを通過するアプリケーションパケットのデータ部分を検査し、既知のマルウェアを検出した場合に該当パケットを通知/遮断する機能です。
本機能で検出された脅威情報とAMF Securityが連携可能です。

Note
別途ARシリーズ用のアニュアルライセンスが必要になります。

■ アンチウイルス（プロキシー型アンチウイルス）
ARシリーズを通過するHTTPレスポンスパケットに含まれるファイルをスキャンし、既知のウイルスを検出した場合に該当パケットを通知/遮断する機能です。
本機能で検出された脅威情報とAMF Securityが連携可能です。

Note
別途ARシリーズ用のアニュアルライセンスが必要になります。

Note
AT-AR4050Sのみサポートします。

ARシリーズの設定

ARシリーズの設定については、該当製品のコマンドリファレンスをご参照ください。
ARシリーズのコマンドリファレンスは弊社ホームページに掲載されています。

付録 / リダイレクトURLアクション用サイトのカスタマイズ

リダイレクトURLアクション用サイトコンテンツ

HTMLファイルの内容

多言語対応用の辞書ファイル

サイトのカスタマイズ例

AMFアプリケーションプロキシー機能のリダイレクトURLアクション用サイト内の文章やロゴはカスタマイズできます。
カスタマイズするには、任意のサイトのコンテンツを作成し、AMF Securityにアップロードします。
作成したサイトのコンテンツはAMF Securityのシステム設定のバックアップファイルには含まれませんので、個別に管理、保存してください。
サイトのコンテンツは「AMF」/「リダイレクトURL設定」画面でアップロード、ダウンロードができます。また、初期状態でもコンテンツは用意されておりダウンロードすることができます。初期状態のコンテンツを編集することにより、新規で作成するよりも容易にカスタマイズを行うことができます。
サイトのコンテンツは以下を満たす必要があります。

文字エンコードは「BOMなしUTF-8」で保存してください。それ以外の文字エンコードで保存した場合、サイトが正常に表示されない場合があります。
ファイル名は英数字とハイフン、アンダースコアのみを使用してください。
アップロードするサイトのコンテンツは後述するファイル構成に従って配置し、ZIP形式で圧縮してください。
ZIPファイルのファイル名は英数字とハイフン、アンダースコアのみを使用してください。

リダイレクトURLアクション用サイトコンテンツ

初期状態のリダイレクトURLアクション用サイトコンテンツの内容は以下のとおりです。

index.html（サイトのHTMLファイル）[必須]
i18n.json（多言語対応用の辞書ファイル）
index.css
img（画像ファイルが含まれるフォルダ）
- at-logo.svg
- favicon.png

Note
初期状態のリダイレクトURLアクション用サイトコンテンツは、「AMF」/「リダイレクトURL設定」画面の「デバイス隔離用サイトを有効にします。」のチェックボックスにチェックが入っていると、「サイトコンテンツのカスタマイズ」の「ダウンロード」ボタンで取得可能です。

リダイレクトURLアクションが適用された端末のWebアクセスは、リダイレクトURLアクションに対応した製品からAMF Securityに転送されます。その際、端末のWebブラウザーにはindex.htmlファイルの内容が表示されます。そのため、index.htmlファイルはサイトコンテンツの中に必ず含めてください。また、サイトコンテンツを多言語対応させる場合は、辞書ファイルi18n.jsonが必要です。

HTMLファイルの内容

index.htmlなどのHTMLファイルは一般的なWebサイトと同様にHTML言語で記述しますが、端末の情報などを表示するための下記の特殊キーワードが用意されています。

表 1：キーワード
キーワード	表示内容
{{mac}}	端末のMACアドレス
{{status}}	端末の状態
{{reason}}	端末の隔離理由
{{i18n['<keyword>']}}	多言語対応用の辞書の項目

上記のキーワードをHTMLファイル内の任意の場所に記述することにより、AMF SecurityはリダイレクトURLアクションが適用された端末からのアクセスを受けた際に、キーワードを該当する端末の情報に差し替えて表示します。

多言語対応用の辞書ファイル

サイトを多言語対応させるためには、i18n.jsonに下記の形式で辞書データを記述してください。
以下は英語と日本語の記述例です。

{
  "en": {
    "mac": "MAC Address",
    "reason": "Reason for quarantine"
    },
  "ja": {
    "mac": "MACアドレス",
    "reason": "隔離理由"
  },
}

この記述は、上記のとおり言語（"en"と"ja"）ごとにブロックが分かれており、各ブロックに辞書の項目が並ぶ構成です。
また、i18nキーワードをindex.html内の任意の場所に記述することにより、AMF Securityはキーワードに該当する辞書項目を埋め込んで表示します。
■ 例

  <div>
    <p>{{i18n['reason']}}: {{i18n['msgAuthFailed']}}</p>
  </div>

サイトのカスタマイズ例

初期状態のサイトコンテンツを編集して、メッセージとロゴを変更する手順です。

Note
以下の手順で編集を行うファイル（i18n.jsonとindex.html）は、「BOMなしUTF-8」文字エンコードで保存してください。

「AMF」/「リダイレクトURL設定」画面に移動します。
「デバイス隔離用サイトを有効にします。」のチェックボックスにチェックを入れて、「登録」ボタンをクリックします。

Note
サイトが有効になると、「サイトコンテンツのカスタマイズ」の項目が操作可能になります。
「サイトコンテンツのカスタマイズ」の「ダウンロード」ボタンをクリックし、初期状態のサイトコンテンツをダウンロードします。
ダウンロードしたサイトコンテンツを任意のフォルダに解凍します。
サイト内のメッセージを変更します。
i18n.jsonを開き、"ja"のブロックと"en"のブロックの"message"の項目を任意の文章に書き換え、保存します。
次にサイト内のロゴを変更します。
画像ファイルをimgフォルダの下に保存します。ファイル名は英数字とハイフン、アンダースコアのみを使用してください。

index.htmlを開き、以下の箇所を保存した画像ファイル名に変更し、保存します。

  <div class="title">
    <img class="logo" src="/img/<logo_file_name>"><span class="product">AMF Security</span>
  </div>

カスタマイズしたサイトコンテンツをアップロードします。
カスタマイズしたサイトコンテンツの中にindex.htmlが含まれることを確認します。
サイトコンテンツの階層が「リダイレクトURLアクション用サイトコンテンツ」に記載した構造と同じになるようにZIP形式で圧縮します。
ファイル名は英数字とハイフン、アンダースコアのみを使用してください。
「AMF」/「リダイレクトURL設定」画面の「アップロード」ボタンをクリックすると、「カスタマイズされたWebページのアップロード」ダイアログが表示されます。
「ファイルを選択」ボタンをクリックしてサイトコンテンツのファイルを選択し、「登録」ボタンをクリックします。
画面下部の「サイトのサンプルページ」をクリックし、カスタマイズしたサイトコンテンツが正常に表示されることを確認します。

サイトのカスタマイズは以上です。

設定例 / はじめに

本設定例では具体的な構成例に基づいて、AMF SecurityおよびAlliedWare Plus機器の設定方法を簡潔に説明しています。
設定を行う前に必要なこと、例えばAMF Securityのインストールや設定画面へのアクセスの準備、AlliedWare Plus機器の設定に使用するコンソールの準備、設定に使用するソフトウェアの使い方などについては説明しておりません。これらに関しては、本マニュアルの他の章や、お使いのAlliedWare Plus機器のマニュアルをご覧ください。

Note
本設定例では、ポリシー名、IPアドレス、ログイン名、パスワードなどに具体的な値を使用しておりますが、実際にはお客様の環境におけるものをご使用ください。
本マニュアル中の設定例は説明のためのサンプルです。お客様の環境に適した設定を行う際の参考としてください。

設定例 / AMFアプリケーションプロキシー機能によるデバイスの制御

AMFアプリケーションプロキシー機能の設定例

AMFマスター、AMFメンバー、ARルーター、AT-VST-VRTの設定手順

AMF Securityの設定手順

AMFアプリケーションプロキシー機能の設定例

AMFアプリケーションプロキシー機能の設定例です。
この例は、AW+のAMFアプリケーションプロキシーホワイトリスト機能とAMFアプリケーションプロキシーブラックリスト機能の基本設定です。
AMFアプリケーションプロキシーブラックリスト機能で連携するアプリケーションは、ARルーターのAT-AR3050S/AR4050SのUTM（Unified Threat Management）関連機能を使用し、アクションはパケット破棄を設定します。

Note
各機能を使用するには別途ライセンスが必要です。製品によって必要なライセンスが異なりますので、弊社ホームページなどでご確認ください。

Note
ARルーターのUTM関連機能のうち、AMF Securityと連携可能な機能は、付録「AT-AR3050S/AT-AR4050Sの設定」をご参照ください。

Note
ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、各製品のシステム時刻は正確に合わせて運用することをおすすめします。
なおAMF Securityは、AT-VST-VRTのシステム時刻を取得して使用します。AMF Securityのタイムゾーンの設定はAMF Securityで行いますが、NTPの同期先の設定はAT-VST-VRTで行います。

構成

本設定例では以下の構成を想定しています。

Note
本設定例では、AT-VST-VRTのAT-Vista Manager EX（プライグインを含む）は説明していません、設定については、AT-Vista Manager EXのリファレンスマニュアルをご参照ください。

Note
本構成のAMFマスターは、AT-VST-VRTのAMF Cloudではなく別の機器を使用していますが、AT-VST-VRTのAMF Cloudを使用することもできます。

Note
AT-VST-VRTの基本設定（IPアドレスやスタティック経路などの設定）の詳細は、「AT-VST-VRT リファレンスマニュアル」をご参照ください。

Note
AT-VST-VRTで行うAMF Securityの基本設定（アプリケーションの設定）の詳細は、「AT-VST-VRT リファレンスマニュアル」をご参照ください。

各製品の情報

■ AMFマスターの設定

表 1：設定データ
項目名	設定する情報
ユーザー名	manager
パスワード	friend
ホスト名	AMF-Master
AMFネットワーク名	AMF001
IPアドレス	192.168.1.254
AMF SecurityのIPアドレス	192.168.1.10
AMF Securityとの事前共有鍵	password

■ AMFメンバーの設定

表 2：設定データ
項目名	設定する情報
ユーザー名	manager
パスワード	friend
ホスト名	AMF-Member
AMFネットワーク名	AMF001
AMFアクション	パケット破棄

■ AT-AR4050Sの情報

表 3：AT-AR4050Sの情報
項目名	情報
ユーザー名	manager
パスワード	friend
ホスト名	awplus-UTM-Router
AMFネットワーク名	AMF001
ISP接続用ユーザー名	user@isp
ISP接続用パスワード	isppasswd
PPPoEサービス名	指定なし
WAN側IPアドレス	動的割り当て（IPCP）
DNSサーバー	自動取得（IPCP）
UTM関連機能のログ出力先	192.168.1.10
syslogメッセージ送信時の送信元IPv4アドレス	vlan1インターフェースのIPアドレス（192.168.1.1）

Note
ARルーターのUTM関連機能とAMF Securityの連携を行う場合は、ARルーターのホスト名を「awplus」から始まる名前にする必要があります。

■ AT-VST-VRTの情報

表 4：AT-VST-VRTの情報
項目名	情報
IPアドレス	192.168.1.100
スタティック経路（ゲートウェイ）	192.168.1.254

■ AMF Securityの情報

表 5：AMF Securityの情報
項目名	情報
IPv4アドレス	192.168.1.10
AMFマスターのIPアドレス	192.168.1.254
AMFマスターのユーザー名	manager
AMFマスターのパスワード	friend
AMFマスターとの事前共有鍵	password

Note
本設定例では、AMF Securityに設定するAMFマスターのアカウント（ユーザー名 / パスワード）をデフォルトの「manager / friend」を使用していますが、AMFマスターおよびAMFメンバーにて権限レベル15のユーザーアカウントを作成し、コンソール接続に使用するユーザーアカウントと分けることをおすすめします。

■ AMF Securityに登録するデバイス（端末）の認証情報

表 6：AMF Securityに登録するデバイス（端末）の認証情報
端末1
項目名	情報
デバイス ID	Device1
MACアドレス	00:00:00:00:00:01
ネットワーク（VLAN）	VLAN100
端末2
項目名	情報
デバイス ID	Device2
MACアドレス	00:00:00:00:00:02
ネットワーク（VLAN）	VLAN101

AMFマスターの設定手順

Note
製品によっては、手順中で有効にする機能が初期状態で有効になっているものもあります。

初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。
タイムゾーンを日本標準時に設定します。
ホスト名を設定します。
AMFネットワーク名を設定します
AMFマスターに設定します。
AMFアプリケーションプロキシー機能を有効にします。
Webサーバー機能を有効にします。
AMF SecurityとのGUI連携機能を有効にします。
AMFアプリケーションプロキシーホワイトリスト機能で連携するAMF SecurityのIPアドレスと事前共有鍵を設定します。
以下のVLANを作成します。
- AMFメンバーと接続するvlan10
- 端末のパケット転送に使用するvlan100とvlan101
以下のVLANにIPアドレスを設定します。
- ARルーターと接続するvlan1
- AMFメンバーと接続するvlan10
- 端末用と接続するvlan100とvlan101
ARルーターと接続するポート1.0.1にVLANを割り当て、AMFリンクに設定します。
Note
上記の設定を行うと以下が自動で設定されます。
　switchport trunk native vlan none
AMFメンバーと接続するポート1.0.3にVLANを割り当て、AMFリンクに設定します。
デフォルト経路を設定します

AMFマスターの設定は以上です。
現在の設定内容を起動時コンフィグとして保存する場合には以下を実行します。

AMF-Master(config)# end ↓
AMF-Master# copy running-config startup-config ↓

AMFメンバーの設定手順

Note
製品によっては、手順中で有効にする機能が初期状態で有効になっているものもあります。

初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。
タイムゾーンを日本標準時に設定します。
ホスト名を設定します。
AMFネットワーク名を設定します
AMFアプリケーションプロキシー機能を有効にします。
Webサーバー機能を有効にします。
以下のVLANを作成します。
- AMFマスターと接続するvlan10
- 端末のパケット転送に使用するvlan100とvlan101
以下のVLANにIPアドレスを設定します。
- AMFマスターと接続するvlan10
デフォルト経路を設定します
AMFマスターと接続するポート1.0.1にVLANを割り当て、AMFリンクに設定します。
端末が接続するポートでAMFアプリケーションプロキシーホワイトリスト機能の設定をします。
端末が認証後、他のポートへ移動して再度認証を行えるようにイングレスフィルタリングを無効にします。
Note
他のポートへ端末が移動する可能性がある場合は、端末の移動にかかわるすべてのポートで本設定を行う必要があります。イングレスフィルタリングが有効の場合、移動前のポートに端末の情報が残るため、移動先のポートで認証を受けられません。
端末が接続するポートでAMFアプリケーションプロキシーホワイトリスト機能を有効にします。
Note
対象のポートにおいて、認証失敗後の認証抑止期間（quietPeriod）のデフォルト設定は60秒のため、認証抑止期間を短くする場合には「auth timeout quiet-period」で設定を行ってください。

Note
AMF SecurityでVLANが割り当てられなかった端末は、ポートに設定されているVLAN（初期設定ではvlan1）を使用します。
端末が接続するポートでAMFアプリケーションプロキシーホワイトリスト機能のセッションタイムアウトを有効にします。
セッションタイムアウトを有効にすると、認証してからAMF Securityの「AMF」/「AMF アプリケーションプロキシー設定」画面で設定した時間の経過後、認証情報が削除されます。
セッションタイムアウトの設定が0秒の場合は、時間経過で認証情報の削除は行われません。
Note
スケジュール認証を行う場合は、本設定を有効にしてください。
端末が接続するポートで認証の動作モードをMulti-Supplicantモードに変更します。
動作モードを変更しない（Single-Hostモード）の場合、最初に認証したデバイスからの通信のみを許可します。
端末が接続するポートでダイナミックVLANを有効にします。
ダイナミックVLANが無効の場合、AMF SecurityでVLANアサインの設定をしていても、インターフェースに設定されたVLANを通信に使用します。
アプリケーションプロキシー機能で端末を遮断する際のアクションをパケット破棄に設定します。

AMFメンバーの設定は以上です。
現在の設定内容を起動時コンフィグとして保存する場合には以下を実行します。

AMF-Member(config-if)# end ↓
AMF-Member# copy running-config startup-config ↓

ARルーターの設定手順

Note
製品によっては、手順中で有効にする機能が初期状態で有効になっているものもあります。

LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。
タイムゾーンを日本標準時に設定します。
ホスト名を設定します。
ARルーターのUTM関連機能とAMF Securityの連携を行う場合は、ARルーターのホスト名を「awplus」から始まる名前にする必要があります。
AMFネットワーク名を設定します
AMFアプリケーションプロキシー機能を有効にします。
Webサーバー機能を有効にします。
WANポートeth1上にPPPoEインターフェースppp0を作成します。
PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。
- IPCPによるDNSサーバーアドレスの取得要求（ppp ipcp dns）
- LCP EchoによるPPP接続状態の確認（keepalive）
- IPCPによるIPアドレスの取得要求（ip address negotiated）
- ユーザー名（ppp username）
- パスワード（ppp password）
- MSS書き換え（ip tcp adjust-mss）
LAN側インターフェースにIPアドレスを設定します。
ファイアウォール、IPレピュテーション、マルウェアプロテクションのログを記録し、そのログメッセージをAMF Security（192.168.1.10）に送信する設定を行います。
これにはlogコマンドを使います。
AMFマスターと接続するLANポート1.0.1にVLANを割り当て、AMFリンクに設定します。
Note
上記の設定を行うと以下が自動で設定されます。
　switchport trunk native vlan none
IPレピュテーション（IPアドレスブラックリスト）機能の設定を行います。
IPレピュテーション機能とAMF Securityの連携を行うためには、連携可能なカテゴリーに対するアクションを「deny」に設定する必要があります。デフォルトの「alert」では連携しませんのでご注意ください。
マルウェアプロテクション（ストリーム型アンチウイルス）機能の設定を行います。
ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
内部ネットワークを表すゾーン「private」を作成します。
外部ネットワークを表すゾーン「public」を作成します。
外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
- rule 10 - 内部ネットワーク間の通信を許可します
- rule 20 - 内部ネットワークから外部への通信を許可します
- rule 30 - UTM各機能のデータベース更新や問い合わせ用に、ARルーターのWAN側インターフェースから外部へのDNS通信を許可します
- rule 40 - UTM各機能のデータベース更新用に、ARルーターのWAN側インターフェースから外部へのHTTPS通信を許可します
LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
DNSリレー機能を有効にします。
IPの経路情報をスタティックに設定します。
- LAN側（192.168.100.0/24, 192.168.101.0/24）へはAMFマスター（192.168.1.254）経由
- その他（0.0.0.0/0）は ppp0 経由（デフォルト経路）

ARルーターの設定は以上です。
現在の設定内容を起動時コンフィグとして保存する場合には以下を実行します。

awplus-UTM-Router(config)# end ↓
awplus-UTM-Router# copy running-config startup-config ↓

AT-VST-VRTの設定手順

AT-VST-VRTの基本設定（IPアドレスやスタティック経路などの設定）の詳細は、「AT-VST-VRT リファレンスマニュアル」をご参照ください。

AT-VST-VRTの設定画面へのアクセス
設定画面へのアクセス「設定の開始」
AT-VST-VRTのインターフェースのIPアドレス設定
リファレンス編「ネットワーク基本設定」/「インターフェース管理」
AT-VST-VRTのスタティック経路（ゲートウェイ）の設定
リファレンス編「ネットワーク基本設定」/「スタティック経路」
AT-VST-VRTのシステム時刻、NTPの同期先の設定
リファレンス編「システム」/「日付と時刻」

AMF Securityの設定手順

AMF Securityの基本設定は以下をご参照ください。

AT-VST-VRTでAMF Securityの設定
「AT-VST-VRT リファレンスマニュアル」クイックツアー「アプリケーションの設定と起動」
AMF Securityの初期設定
設定画面へのアクセス「設定の開始」/「AMF Securityを使用するための準備」を参照

「AMF」/「AMF アプリケーションプロキシー設定」画面を開き、AMFマスターを登録します。
AMF マスターの「追加」ボタンをクリックして、「AMF」/「AMF マスター編集」ダイアログを表示します。

AMFマスターのIPアドレス、ユーザー名、パスワード、事前共有鍵(PSK)を入力します。

ここでは、次の情報を入力します。

表 7：設定データ
項目名	設定する情報
IPv4 アドレス	192.168.1.254
ユーザー名	manager
パスワード	friend
事前共有鍵(PSK)	password

「登録」→「OK」ボタンをクリックします。
登録したAMFマスターは「AMF」/「AMF アプリケーションプロキシー設定」画面に表示され、しばらくすると接続状態の表示が「Good」になります（ブラウザーの画面の更新を行ってください）。

Note
AMF SecurityとAMFマスター間のIP通信ができていない場合や、AMFマスター、AMFメンバーの設定が不足していると、接続状態の表示が「Error」になります。この場合は通信経路、AMFマスター、AMFメンバーの設定を再度ご確認ください。
端末の接続先のネットワークを登録します。
ネットワークは、「ポリシー設定」/「ネットワーク一覧」画面で登録することができます。「ポリシー設定」/「ネットワーク一覧」画面に移動します。
「ポリシー設定」/「ネットワーク一覧」画面の右上の「ネットワーク追加」ボタンをクリックして、「ポリシー設定」/「ネットワーク追加」画面に移動します。
登録するネットワークの情報を入力します。

ここでは、次の情報を入力します。

表 8：設定データ
項目名設定する情報

ネットワーク ID VLAN100

VLAN ID 100

備考なし（空欄）
「登録」ボタンをクリックします。
ネットワークが登録されると、追加した情報が「ポリシー設定」/「ネットワーク一覧」画面に表示されます。
手順6～手順8と同じ手順で、もう1つのネットワークを登録します。
ここでは、次の情報を入力します。

表 9：設定データ
項目名設定する情報

ネットワーク ID VLAN101

VLAN ID 101

備考なし（空欄）
デバイス ID（デバイス）を登録します。
デバイスは、「デバイス」/「デバイス追加」画面で登録することができます。「デバイス」/「デバイス一覧」画面に移動します。
「デバイス」/「デバイス一覧」画面の右上の「デバイス追加」ボタンをクリックして、「デバイス」/「デバイス追加」画面に移動します。
この画面では、新規デバイスのデバイスID、インターフェース、ポリシーを登録します。
登録するデバイスの情報を入力します。

ここでは、次の情報を入力します。

表 10：設定データ
項目名設定する情報

デバイス ID Device1

タグなし（空欄）

備考なし（空欄）
デバイスが持つインターフェースのMACアドレスを登録します。
「インターフェース」欄の「追加」ボタンをクリックして、「デバイス」/「インターフェース編集」ダイアログを表示します。
「Device1」の端末のMACアドレスを登録します。

ここでは、次の情報を入力します。

表 11：設定データ
項目名設定する情報

MAC アドレス 00:00:00:00:00:01

名称なし（空欄）

備考なし（空欄）
「登録」ボタンをクリックします。
「デバイス」/「デバイス追加」画面の「インターフェース」一覧に、設定したインターフェースのMACアドレスが表示されます。
ポリシーの「追加」ボタンをクリックして、「デバイス」/「ポリシー編集」ダイアログを表示します。

登録するポリシーの情報を入力します。

ここでは、次の情報を入力します。

表 12：設定データ
項目名	設定する情報
優先度	10
ネットワーク	VLAN100
ロケーション	なし（空欄）
スケジュール	なし（空欄）

「登録」ボタンをクリックします。
「デバイス」/「デバイス追加」画面の「ポリシー」一覧に、設定したセキュリティーポリシーが表示されます。
「登録」ボタンをクリックします。
デバイスが登録されると、新規に追加した情報が「デバイス」/「デバイス一覧」画面に表示されます。

手順11～手順19と同じ手順で、「Device2」の「デバイス ID」も登録します。

表 13：設定データ
項目名	設定する情報
デバイス ID	Device2
タグ	なし（空欄）
備考	なし（空欄）
インターフェース
MAC アドレス	00:00:00:00:00:02
名称	なし（空欄）
備考	なし（空欄）
ポリシー
優先度	10
ネットワーク	VLAN101
ロケーション	なし（空欄）
スケジュール	なし（空欄）

「デバイス」/「デバイス追加」画面
「デバイス」/「デバイス一覧」画面

ARルーターのUTM関連機能で検知されて送られてきた脅威情報のログに基づいて自動的な対応動作を行うよう、トラップ監視設定を行います。
「システム設定」/「トラップ監視設定」画面に移動します。
この画面では、「ルール」を設定します。
「ルール」を入力します。

ここでは、次の情報を入力します。
- 「このシステムのトラップ監視を有効にします。」のチェックボックスにチェックを入れる
- 「ホストアドレス」にARルーターのIPアドレス（192.168.1.1）を入力（設定されたIPアドレスからの通知のみを受信）
- 「AMF アクション」は「AMF 依存」を選択（スイッチ側で設定したアクションが適用される）
- 「トラップ監視対象選択リスト」はすべてのチェックボックスにチェックを入れる
「登録」→「OK」ボタンをクリックします。

AMF Securityの設定は以上です。
AMFメンバーに接続した端末に対して、AMF Securityは登録された認証情報をもとに認証を行うようになります。
認証の結果は「デバイス」/「接続中デバイス一覧」画面で確認できます。

ARルーターのUTM関連機能で端末が検知されると、その被疑端末の情報はAMF Security上に登録され、「ポリシー設定」/「アクション一覧」画面に表示されます。同時に、AMF SecurityはAMFマスターに被疑端末の情報を通知します。

■ AMFマスター

AMF-Master#show application-proxy threat-protection all
Quarantine Vlan           : Not set
Global IP-Filter          : Disabled
IP-Filter Limit Exceeded  : 0
Redirect-URL              : Not set
Client IP        Interface       MAC Address     VLAN      Action
-----------------------------------------------------------------
192.168.101.100  -               -               -           none
AMF-Master#

本設定例ではAMFマスターがL3スイッチとして動作しているため、AMFマスター自身のARPテーブルから被疑端末のIPアドレスとMACアドレスの紐付けが行われ、パケット破棄のアクションが適用されます（AMFメンバーはFDBから被疑端末のMACアドレスを探索しアクションを適用）。
■ AMFマスター

AMF-Master#show application-proxy threat-protection all
Quarantine Vlan           : Not set
Global IP-Filter          : Disabled
IP-Filter Limit Exceeded  : 0
Redirect-URL              : Not set
Client IP        Interface       MAC Address     VLAN      Action
-----------------------------------------------------------------
192.168.101.100  -               0000.0000.0002  -           none
AMF-Master#

■ AMFメンバー

AMF-Member#show application-proxy threat-protection all
Quarantine Vlan           : Not set
Global IP-Filter          : Disabled
IP-Filter Limit Exceeded  : 0
Redirect-URL              : Not set
Client IP        Interface       MAC Address     VLAN      Action
-----------------------------------------------------------------
192.168.101.100  * (port1.0.3)   0000.0000.0002  101         drop
AMF-Member#

■ 「ポリシー設定」/「アクション一覧」画面

■ 「デバイス」/「接続中デバイス一覧」画面

「解除」→「OK」ボタンをクリックするとアクションを解除できます。

AMFマスター設定

!
hostname AMF-Master
!
service http
!
clock timezone JST plus 9:00
!
atmf network-name AMF001
atmf master
atmf topology-gui enable
!
service atmf-application-proxy
application-proxy whitelist server 192.168.1.10 key password
!
no spanning-tree rstp enable
!
vlan database
vlan 10,100-101 state enable
!
interface port1.0.1
switchport
switchport mode trunk
switchport trunk allowed vlan add 1
switchport trunk native vlan none
switchport atmf-link
!
interface port1.0.3
switchport
switchport mode trunk
switchport trunk allowed vlan add 10,100-101
switchport atmf-link
!
interface vlan1
ip address 192.168.1.254/24
!
interface vlan10
ip address 192.168.10.254/24
!
interface vlan100
ip address 192.168.100.254/24
!
interface vlan101
ip address 192.168.101.254/24
!
ip route 0.0.0.0/0 192.168.1.1
!
end

AMFメンバー設定

!
hostname AMF-Member
!
service http
!
clock timezone JST plus 9:00
!
atmf network-name AMF001
!
service atmf-application-proxy
!
no spanning-tree rstp enable
!
vlan database
vlan 10,100-101 state enable
!
interface port1.0.1
switchport
switchport mode trunk
switchport trunk allowed vlan add 10,100-101
switchport atmf-link
!
interface port1.0.2-1.0.3
switchport
switchport mode access ingress-filter disable
application-proxy whitelist enable
auth session-timeout
auth host-mode multi-supplicant
auth dynamic-vlan-creation type multi
application-proxy threat-protection drop
!
interface vlan10
ip address 192.168.10.10/24
!
ip route 0.0.0.0/0 192.168.10.254
!
end

ARルーター設定

!
hostname awplus-UTM-Router
!
log host 192.168.1.10
log host 192.168.1.10 level informational facility local5
!
service http
!
clock timezone JST plus 9:00
!
atmf network-name AMF001
!
zone private
network lan
ip subnet 192.168.1.0/24
ip subnet 192.168.10.0/24
ip subnet 192.168.100.0/24
ip subnet 192.168.101.0/24
!
zone public
network wan
ip subnet 0.0.0.0/0 interface ppp0
host ppp0
ip address dynamic interface ppp0
!
firewall
rule 10 permit any from private.lan to private.lan
rule 20 permit any from private.lan to public
rule 30 permit dns from public.wan.ppp0 to public.wan
rule 40 permit https from public.wan.ppp0 to public.wan
protect
!
nat
rule 10 masq any from private to public
enable
!
malware-protection
provider kaspersky
protect
!
ip-reputation
category Bot action deny
category CnC action deny
category Drop action deny
category Mobile_CnC action deny
category Mobile_Spyware_CnC action deny
category SpywareCnC action deny
provider proofpoint
protect
!
service atmf-application-proxy
!
no spanning-tree rstp enable
!
interface port1.0.1
switchport
switchport mode trunk
switchport trunk allowed vlan add 1
switchport trunk native vlan none
switchport atmf-link
!
interface eth1
encapsulation ppp 0
!
interface vlan1
ip address 192.168.1.1/24
!
interface ppp0
ppp ipcp dns request
keepalive
ip address negotiated
ppp username user@isp
ppp password isppasswd
ip tcp adjust-mss pmtu
!
ip route 0.0.0.0/0 ppp0
ip route 192.168.100.0/24 192.168.1.254
ip route 192.168.101.0/24 192.168.1.254
!
ip dns forwarding
!
end

タグを使用した認証の設定例

AMF Securityの認証データのデバイス ID（デバイス）に設定されているタグを使用した認証の設定例です。

Note
タグを使用した認証については、クイックツアー「タグを使用した認証」/「タグを使用した認証とは」をあわせてご参照ください。

本設定例は、AMF Securityの認証データの登録方法です。
通常はAMF Securityのデバイスに端末（MACアドレス）を登録してポリシーを紐付け、端末はそのポリシーに設定されたネットワークに接続します。
タグを使用する場合では、AMF Securityのデバイスにポリシーを設定せず、デバイスにはタグを設定し、別途作成したタグのポリシーに設定されたネットワークに接続します。
本設定例では、設定例「AMFアプリケーションプロキシー機能によるデバイスの制御」/「AMFアプリケーションプロキシー機能の設定例」の構成で、以下を想定します。
■ ユーザーと所有端末

ユーザー1（user_1）は2台の端末を所有（PC-1, PC-2）
ユーザー2（user_2）は3台の端末を所有（PC-3, PC-4, PC-5）
ユーザー3（user_3）は1台の端末を所有（PC-6）
ユーザー4（user_4）は1台の端末を所有（PC-7）
ユーザー5（user_5）は1台の端末を所有（PC-8）

■ 各ユーザーの所属

グループA（group_A）
　ユーザー1
　ユーザー2
　ユーザー3
グループB（group_B）
　ユーザー4
　ユーザー5

■ 所属（グループ）のネットワーク

グループA（group_A）
　VLAN100
グループB（group_B）
　VLAN101

Note
本設定例では端末数の増加に伴うAMFメンバーの端末が接続するポートの設定（ポート数の追加など）は記載しておりません。

AMF Securityに登録する認証データ（デバイス、タグ、ネットワーク）の概要は以下です。

デバイス
　user_1
　user_2
　user_3
　user_4
　user_5
所属（タグ）
　group_A
　group_B
デバイスに設定するタグ
　user_1 : group_A
　user_2 : group_A
　user_3 : group_A
　user_4 : group_B
　user_5 : group_B
デバイスにポリシーは設定しない
タグに設定するポリシー（ネットワーク）
　group_A : VLAN100
　group_B : VLAN101

表 14：デバイス ID（デバイス）の設定データ
デバイス ID（1つ目）
デバイス ID	user_1
タグ	group_A
インターフェース
MAC アドレス	00:00:00:00:00:01
名称	PC-1
インターフェース
MAC アドレス	00:00:00:00:00:02
名称	PC-2
ポリシー	なし
デバイス ID（2つ目）
デバイス ID	user_2
タグ	group_A
インターフェース
MAC アドレス	00:00:00:00:00:03
名称	PC-3
インターフェース
MAC アドレス	00:00:00:00:00:04
名称	PC-4
インターフェース
MAC アドレス	00:00:00:00:00:05
名称	PC-5
ポリシー	なし
デバイス ID（3つ目）
デバイス ID	user_3
タグ	group_A
インターフェース
MAC アドレス	00:00:00:00:00:06
名称	PC-6
ポリシー	なし
デバイス ID（4つ目）
デバイス ID	user_4
タグ	group_B
インターフェース
MAC アドレス	00:00:00:00:00:07
名称	PC-7
ポリシー	なし
デバイス ID（5つ目）
デバイス ID	user_5
タグ	group_B
インターフェース
MAC アドレス	00:00:00:00:00:08
名称	PC-8
ポリシー	なし

表 15：タグの設定データ
タグ（1つ目）
タグ	group_A
ポリシー	VLAN100
タグ（2つ目）
タグ	group_B
ポリシー	VLAN101

上記の設定によりグループに所属しているユーザー（端末）が接続するネットワークは、タグのポリシーの変更によって一括で変更されます。

AMFマスター、AMFメンバー、ARルーター、AT-VST-VRTの設定手順

AMFマスター、AMFメンバー、ARルーター、AT-VST-VRTの設定手順は、設定例「AMFアプリケーションプロキシー機能によるデバイスの制御」/「AMFアプリケーションプロキシー機能の設定例」をご参照ください。

AMF Securityの設定手順

基本設定とAMFマスター、ネットワーク、トラップ監視の設定は、設定例「AMFアプリケーションプロキシー機能によるデバイスの制御」/「AMFアプリケーションプロキシー機能の設定例」と共通です。
AMF Securityの設定手順の流れは以下です。

設定例「AMFアプリケーションプロキシー機能によるデバイスの制御」/「AMFアプリケーションプロキシー機能の設定例」の基本設定
設定例「AMFアプリケーションプロキシー機能によるデバイスの制御」/「AMFアプリケーションプロキシー機能の設定例」の手順1～手順9
「グループ」/「タグ一覧」画面でタグを登録する
「デバイス」/「デバイス追加」画面でデバイスを登録する
設定例「AMFアプリケーションプロキシー機能によるデバイスの制御」/「AMFアプリケーションプロキシー機能の設定例」の手順21以降

AMF Securityの基本設定を行います。
設定例「AMFアプリケーションプロキシー機能によるデバイスの制御」/「AMFアプリケーションプロキシー機能の設定例」の「AMF Securityの設定手順」の基本設定をご参照ください。
AMFマスター、ネットワークの設定を行います。
設定例「AMFアプリケーションプロキシー機能によるデバイスの制御」/「AMFアプリケーションプロキシー機能の設定例」の手順1～手順9をご参照ください。
設定したポリシーに基づき、タグを登録します。
タグは、「グループ」/「タグ一覧」画面で登録することができます。「グループ」/「タグ一覧」画面に移動します。
画面右上の「タグ追加」ボタンをクリックして、「グループ」/「タグ追加」画面に移動します。
登録するタグの情報を入力します。

ここでは、次の情報を入力します。

表 16：設定データ
項目名設定する情報

タグ group_A

備考なし（空欄）
ポリシーの「追加」ボタンをクリックして、「グループ」/「ポリシー編集」ダイアログを表示します。

登録するポリシーの情報を入力します。

ここでは、次の情報を入力します。

表 17：設定データ
項目名	設定する情報
優先度	10
ネットワーク	VLAN100
ロケーション	なし（空欄）
スケジュール	なし（空欄）

「登録」ボタンをクリックして、「グループ」/「タグ追加」画面に戻ります。
「登録」ボタンをクリックします。
タグが登録されると、追加した情報が「グループ」/「タグ一覧」画面に表示されます。

手順4～手順9と同じ手順で、もう1つのタグを登録します。

表 18：設定データ
項目名	設定する情報
タグ	group_B
備考	なし（空欄）
ポリシー
優先度	20
ネットワーク	VLAN101
ロケーション	なし（空欄）
スケジュール	なし（空欄）

デバイス ID（デバイス）を登録します。
デバイスは、「デバイス」/「デバイス追加」画面で登録することができます。「デバイス」/「デバイス一覧」画面に移動します。
「デバイス」/「デバイス一覧」画面の右上の「デバイス追加」ボタンをクリックして、「デバイス」/「デバイス追加」画面に移動します。
この画面では、新規デバイスのデバイスID、インターフェース、ポリシーを登録します。
登録するデバイスの情報を入力します。

ここでは、次の情報を入力します。

表 19：設定データ
項目名設定する情報

デバイス ID user_1

タグ group_A

備考なし（空欄）
デバイスが持つインターフェースのMACアドレスを登録します。
「インターフェース」欄の「追加」ボタンをクリックして、「デバイス」/「インターフェース編集」ダイアログを表示します。
「user_1」の端末のMACアドレスを登録します。

ここでは、次の情報を入力します。

表 20：設定データ
項目名設定する情報

MAC アドレス 00:00:00:00:00:01

名称 PC-1

備考なし（空欄）
「登録」ボタンをクリックします。
「デバイス」/「デバイス追加」画面の「インターフェース」一覧に、設定したインターフェースのMACアドレスが表示されます。
手順14～手順16と同じ手順で、もう1台の端末のMACアドレスと名称を登録します。

ここでは、次の情報を入力します。

表 21：設定データ
項目名設定する情報

MAC アドレス 00:00:00:00:00:02

名称 PC-2

備考なし（空欄）
本デバイス「user_1」にはポリシーを設定しないため、このまま「登録」ボタンをクリックします。
デバイスが登録されると、新規に追加した情報が「デバイス」/「デバイス一覧」画面に表示されます。

手順12～手順18と同じ手順で、「user_2」「user_3」「user_4」「user_5」の「デバイス ID」も登録します。
なお、各「デバイス ID」に登録するタグとインターフェースは以下です。

表 22：タグの設定データ
デバイス ID	登録するタグ
user_2～user_3	group_A
user_4～user_5	group_B

表 23：デバイス ID（デバイス）の設定データ
デバイス ID（user_2）
タグ	group_A ※ 「user_1～user_3」と共通
備考	なし（空欄）
インターフェース
MAC アドレス	00:00:00:00:00:03
名称	PC-3
備考	なし（空欄）
インターフェース
MAC アドレス	00:00:00:00:00:04
名称	PC-4
備考	なし（空欄）
インターフェース
MAC アドレス	00:00:00:00:00:05
名称	PC-5
備考	なし（空欄）
デバイス ID（user_3）
タグ	group_A ※ 「user_1～user_3」と共通
備考	なし（空欄）
インターフェース
MAC アドレス	00:00:00:00:00:06
名称	PC-6
備考	なし（空欄）
デバイス ID（user_4）
タグ	group_B ※ 「user_4～user_5」と共通
備考	なし（空欄）
インターフェース
MAC アドレス	00:00:00:00:00:07
名称	PC-7
備考	なし（空欄）
デバイス ID（user_5）
タグ	group_B ※ 「user_4～user_5」と共通
備考	なし（空欄）
インターフェース
MAC アドレス	00:00:00:00:00:08
名称	PC-8
備考	なし（空欄）

「デバイス」/「デバイス追加」画面（user_2）
「デバイス」/「デバイス追加」画面（user_3）
「デバイス」/「デバイス追加」画面（user_4）
「デバイス」/「デバイス追加」画面（user_5）
「デバイス」/「デバイス一覧」画面

トラップ監視の設定を行います。
設定例「AMFアプリケーションプロキシー機能によるデバイスの制御」/「AMFアプリケーションプロキシー機能の設定例」の手順21以降をご参照ください。

AMF Securityの設定は以上です。

設定例 / TQのAMFアプリケーションプロキシー機能によるデバイスの制御

TQのAMFアプリケーションプロキシー機能の設定例

リダイレクトURLのアクション使用時の設定

AWCプラグインの設定

AMF Securityの設定

表示例

TQのAMFアプリケーションプロキシー機能の設定例

この例は、TQのAMFアプリケーションプロキシーホワイトリスト機能とAMFアプリケーションプロキシーブラックリスト機能の基本設定です。
AMFアプリケーションプロキシーブラックリスト機能で連携するアプリケーションは、ARルーターのAT-AR3050S/AR4050SのUTM（Unified Threat Management）関連機能を使用し、アクションは隔離（指定したVLANにアサイン）を設定します。

Note
パケット破棄、隔離、ログのアクション使用時のAWCプラグインの設定は共通です。各アクションの設定、隔離用のVLAN IDの設定（隔離アクション使用時）はAMF Securityで行います。リダイレクトURLのアクション使用時は前述のアクション使用時とは異なりますが、設定する情報は記載しています。なお、リダイレクトURLアクション用のサイトはAMF Securityのサイトを使用します。リダイレクトURLのアクション使用時は、「リダイレクトURLのアクション使用時の設定」もご参照ください。

Note
製品によって必要なライセンスが異なりますので、弊社ホームページなどでご確認ください。

Note
ARルーターのUTM関連機能のうち、AMF Securityと連携可能な機能は、付録「AT-AR3050S/AT-AR4050Sの設定」をご参照ください。

Note
ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、各製品のシステム時刻は正確に合わせて運用することをおすすめします。なおAMF Securityは、AT-VST-VRTのシステム時刻を取得して使用します。AMF Securityのタイムゾーンの設定はAMF Securityで行いますが、NTPの同期先の設定はAT-VST-VRTで行います。

本設定例では、TQのダイナミック VLAN無効時を例にしています。ダイナミック VLAN有効時の設定で異なる箇所は、Noteで説明します。
また、AMF Securityに電源断などの障害が発生した場合に新規で接続する無線端末を、VAPに設定されたVLAN IDに所属させるために、クリティカルモードを有効にします。

Note
TQのAMFアプリケーションプロキシー機能は、VAP(マルチSSID)設定のセキュリティーでWPA エンタープライズを選択した場合、ダイナミック VLANの無効・有効によって認証時の動作が異なります。動作については、クイックツアー「AMF Securityについて」/「TQのAMFアプリケーションプロキシー機能」をご参照ください。
クリティカルモードの動作については、クイックツアー「AMF Securityについて」/「TQのAMFアプリケーションプロキシー機能」の「クリティカルモード」をご参照ください。

設定の流れ

TQのAMFアプリケーションプロキシー機能を使用する際の設定は、以下の流れで行います。

AWCプラグインのシステム設定にAMF SecurityのIPアドレスを設定
AWCプラグインのAP共通設定/VAP(マルチSSID)設定にAMFアプリケーションプロキシーサーバー（AMF Security）の情報を設定
AWCプラグインでAP共通設定をTQに適用
AMF SecurityにVista Manager EX、TQ関連の情報を設定
AMF Securityに連携するアプリケーションとして使用するAT-AR3050S/AR4050SのUTM関連機能のルールを設定
AMF SecurityにAMFアプリケーションプロキシーホワイトリスト機能の認証データを設定（ポリシー、デバイス）
ARルーターにUTM関連機能で検知された脅威情報をsyslogメッセージでAMF Securityに送信する設定

Note
TQに対するAMFアプリケーションプロキシー機能の設定は、AWCプラグインから行います（TQの管理画面からは行えません）。

構成

本設定例では以下の構成を想定していますが、各製品の基本設定は完了しているものとします。

主な基本設定

ARルーター AR4050S
PPPoEインターネット接続＋ファイアウォール/UTM
Vista Manager EX & AWCプラグイン
AMFネットワーク設定、無線APの登録（作成済みのAP共通設定をTQに適用済み）
AMF Security
ネットワーク設定（IPアドレス設定）
スイッチ
AMFマスター（L3スイッチ）、AMFメンバー（L2スイッチ）、無線端末通信用VLAN

AMF SecurityとVista Manager EX/TQ/ARルーターは、同一セグメント・別セグメントを問わずIPv4通信が可能な状態にします。

Note
各製品の設定の詳細は、それぞれの製品のマニュアルをご参照ください。

Note
本構成のAMFマスターは、AT-VST-VRTのAMF Cloudではなく別の機器を使用していますが、AT-VST-VRTのAMF Cloudを使用することもできます。

Note
AT-VST-VRTの基本設定（IPアドレスやスタティック経路などの設定）の詳細は、「AT-VST-VRT リファレンスマニュアル」をご参照ください。

Note
AT-VST-VRTで行うAMF Securityの基本設定（アプリケーションの設定）の詳細は、「AT-VST-VRT リファレンスマニュアル」をご参照ください。

各製品の情報

各製品の情報を次に示します。

表 1：AT-Vista Manager EXの情報
項目名	情報
IPアドレス	192.168.1.10
ユーザーID	manager
パスワード	TopSecret0!

表 2：AWCプラグインの情報
項目名	情報
IPアドレス	192.168.1.20
AWCプラグインのポート番号	5443

表 3：AMF Securityの情報
項目名	情報
IPアドレス	192.168.1.30

表 4：ARルーターの情報
項目名	情報
syslogメッセージ送信時の送信元IPv4アドレス	vlan1インターフェースのIPアドレス（192.168.1.1）

各製品の設定情報

各製品に設定する情報を次に示します。

Note
AWCプラグインに設定する情報とAMF Securityに設定する情報は、パケット破棄、隔離、ログのアクション使用時と、リダイレクトURLのアクション使用時のそれぞれを記載します。使用するアクションに合わせてご参照ください。

表 5：AWCプラグインに設定する情報：パケット破棄、隔離、ログのアクション使用時
項目名	設定する情報
システム設定/アクセス許可設定/AMF Security WebAPI
AMF SecurityのIPアドレス	192.168.1.30
無線設定/AP共通設定/VAP(マルチSSID)設定/詳細設定
MACアクセス制御	AMFアプリケーションプロキシー
AMFアプリケーションプロキシーサーバー Primary IPアドレス	192.168.1.30
AMFアプリケーションプロキシーサーバー Primary シークレット	password
AMFアプリケーションプロキシーサーバーポート番号	1812
クリティカルモード	有効

Note
AMFアプリケーションプロキシーサーバーポート番号は、1812のみサポートです。

表 6：AWCプラグインに設定する情報：リダイレクトURLのアクション使用時
項目名	設定する情報
システム設定/アクセス許可設定/AMF Security WebAPI
AMF SecurityのIPアドレス	192.168.1.30
無線設定/AP共通設定/VAP(マルチSSID)設定/詳細設定
MACアクセス制御	AMFアプリケーションプロキシー
リダイレクトURL	有効
外部ページURL	http://192.168.1.30:8000/index.html
AMFアプリケーションプロキシーサーバー Primary IPアドレス	192.168.1.30
AMFアプリケーションプロキシーサーバー Primary シークレット	password
AMFアプリケーションプロキシーサーバーポート番号	1812
クリティカルモード	有効

Note
AMFアプリケーションプロキシーサーバーポート番号は、1812のみサポートです。

表 7：AMF Securityに設定する情報：隔離のアクション使用時
項目名	設定する情報
AMF/TQ設定
共通設定
隔離/リダイレクトURL VLAN ID	250
VistaManagerEX
Vista Manager EXのIPv4アドレス	192.168.1.20
AWCプラグインのポート番号	5443
Vista Manager EXのユーザー名	manager
Vista Manager EXのパスワード	TopSecret0!
TQ
TQ5403-1のIPv4アドレス	192.168.10.151
事前共有鍵(PSK)	password
TQ5403-2のIPv4アドレス	192.168.10.152
事前共有鍵(PSK)	password
システム設定/トラップ監視設定/ルール
ホストアドレス	192.168.1.1
OpenFlow/TQ アクション	隔離
トラップ監視対象選択リスト	すべてにチェック

Note
AT-VST-VRTのAT-Vista Manager EXを使用するため、「Vista Manager EXのIPv4アドレス」にはAWCプラグインのIPv4アドレスを指定します。

表 8：AMF Securityに設定する情報：パケット破棄、ログのアクション使用時
項目名	設定する情報
AMF/TQ設定
VistaManagerEX
Vista Manager EXのIPv4アドレス	192.168.1.20
AWCプラグインのポート番号	5443
Vista Manager EXのユーザー名	manager
Vista Manager EXのパスワード	TopSecret0!
TQ
TQ5403-1のIPv4アドレス	192.168.10.151
事前共有鍵(PSK)	password
TQ5403-2のIPv4アドレス	192.168.10.152
事前共有鍵(PSK)	password
システム設定/トラップ監視設定/ルール
ホストアドレス	192.168.1.1
OpenFlow/TQ アクション	パケット破棄、もしくはログ
トラップ監視対象選択リスト	すべてにチェック

Note
「共通設定」の「隔離/リダイレクトURL VLAN ID」はパケット破棄、ログのアクションでは使用されませんので、デフォルトのままにします。

Note
「OpenFlow/TQ アクション」は使用するアクションを指定してください。

Note
AT-VST-VRTのAT-Vista Manager EXを使用するため、「Vista Manager EXのIPv4アドレス」にはAWCプラグインのIPv4アドレスを指定します。

表 9：AMF Securityに設定する情報：リダイレクトURLのアクション使用時
項目名	設定する情報
AMF/TQ設定
共通設定
隔離/リダイレクトURL VLAN ID	250
VistaManagerEX
Vista Manager EXのIPv4アドレス	192.168.1.20
AWCプラグインのポート番号	5443
Vista Manager EXのユーザー名	manager
Vista Manager EXのパスワード	TopSecret0!
TQ
TQ5403-1のIPv4アドレス	192.168.10.151
事前共有鍵(PSK)	password
TQ5403-2のIPv4アドレス	192.168.10.152
事前共有鍵(PSK)	password
システム設定/トラップ監視設定/ルール
ホストアドレス	192.168.1.1
OpenFlow/TQ アクション	リダイレクトURL
トラップ監視対象選択リスト	すべてにチェック
AMF/リダイレクトURL設定
デバイス隔離用サイトの設定
ポート番号	8000
サイトコンテンツのカスタマイズ
現在のサイトコンテンツ	デフォルト

Note
AT-VST-VRTのAT-Vista Manager EXを使用するため、「Vista Manager EXのIPv4アドレス」にはAWCプラグインのIPv4アドレスを指定します。

表 10：AMF Securityに登録するデバイス（無線端末）の認証情報
項目名	設定する情報
デバイス1
デバイス ID	Device1
MACアドレス	00:00:00:00:00:01
ネットワーク（VLAN）	VLAN100
デバイス2
デバイス ID	Device2
MACアドレス	00:00:00:00:00:02
ネットワーク（VLAN）	VLAN101

表 11：ARルーターに設定する情報
項目名	設定する情報
UTM関連機能のログ出力先	192.168.1.30

AWCプラグインの設定手順

アクセスを許可するAMF SecurityのIPアドレスを設定します。
AWCプラグインメニューから「システム設定」→「アクセス許可設定」の「編集」ボタンをクリックします。
「アクセス許可設定（AMF Security WebAPI）」ダイアログが表示されます。
アクセスを許可するIPアドレスにAMF SecurityのIPアドレス「192.168.1.30」を入力して、「追加」ボタンをクリックします。
IPアドレスの欄に入力したIPアドレス「192.168.1.30」が表示されていることを確認して、「保存」ボタンをクリックします。
「アクセス許可設定」の「編集」ボタンの横に、設定したIPアドレス「192.168.1.30」が表示されていることを確認します。
TQに割り当てたAP共通設定に、AMFアプリケーションプロキシー機能の情報を設定します。
AWCプラグインメニューから「無線設定」→「AP共通設定」をクリックします。
AP共通設定一覧が表示されます。

Note
AMFアプリケーションプロキシー機能はVAPに設定を行います。そのため、AMFアプリケーションプロキシー機能を使用するすべてのVAPに設定を行ってください。
AP共通設定一覧から、編集するAP共通設定の「詳細」ボタン（虫めがねアイコン）をクリックします。
AP共通設定の詳細画面が表示されます。コンテンツ欄右上の「編集」ボタンをクリックします。
設定を行う無線バンドを画面上部のボタンから選択します。
ここでは、無線3を選択します。
VAP(マルチSSID)設定のVAP一覧から設定するVAPをクリックして、詳細設定をクリックします。
MACアクセス制御で「AMFアプリケーションプロキシー」を選択します。

AMFアプリケーションプロキシー関連の情報を設定します。
パケット破棄、隔離、ログのアクション使用時は、次の情報を設定します。

表 12：設定する情報
項目名	設定する情報
AMFアプリケーションプロキシーサーバー Primary IPアドレス	192.168.1.30
AMFアプリケーションプロキシーサーバー Primary シークレット	password
AMFアプリケーションプロキシーサーバーポート番号	1812
クリティカルモード	有効

リダイレクトURLのアクション使用時は、「リダイレクトURLのアクション使用時の設定」をご参照ください。

上記の情報を設定後、コンテンツ欄右上の「保存」ボタンをクリックします。
設定が反映されるまでお待ちください。

設定が反映されると、AP共通設定の詳細画面に戻ります。
AP共通設定をTQに適用します。
AWCプラグインメニューから「無線設定」→「AP登録・設定」をクリックします。
無線APの一覧が表示されます。
無線AP「TQ5403-1」と「TQ5403-2」のチェックボックスにチェックを入れます。
コンテンツ欄右上のスパナアイコンにマウスオーバーし、表示されるメニューから「設定適用」をクリックします。
「設定適用」ダイアログが表示されますので、「OK」ボタンをクリックします。
完了のメッセージが表示されたら、「閉じる」ボタンをクリックします。
「設定状態」が「最新」になっていることを確認します。

AWCプラグインの設定は以上です。

AMF Securityの設定手順

「AMF」/「TQ設定」画面を表示して、隔離 VLAN ID、Vista Manager EX、TQの情報を設定します。
共通設定の隔離/リダイレクトURL VLAN IDに隔離VLANの「250」を入力して、「登録」ボタンをクリックします。

Note
パケット破棄、ログのアクション使用時は、デフォルトのままで設定は行わないため、手順4に進んでください。リダイレクトURLのアクション使用時は、隔離のアクション使用時と同様に本設定を行います。なお、リダイレクトURLのアクション使用時は、「リダイレクトURLのアクション使用時の設定」もご参照ください。
確認のダイアログが表示されますので、「OK」ボタンをクリックします。
VistaManagerEXの「追加」ボタンをクリックします。
「VistaManagerEX 編集」ダイアログが表示されます。

Vista Manager EXの情報を設定します。
次の情報を設定します。

表 13：設定する情報
項目名	設定する情報
Vista Manager EXのIPv4アドレス	192.168.1.20
AWCプラグインのポート番号	5443
Vista Manager EXのユーザー名	manager
Vista Manager EXのパスワード	TopSecret0!

Note
AT-VST-VRTのAT-Vista Manager EXを使用するため、「Vista Manager EXのIPv4アドレス」にはAWCプラグインのIPv4アドレスを指定します。

上記の情報を設定後、「登録」ボタンをクリックします。
確認のダイアログが表示されますので、「OK」ボタンをクリックします。
TQ 一覧の「追加」ボタンをクリックします。
「TQ 編集」ダイアログが表示されます。
TQの情報を設定します。
次の情報を設定します。

表 14：設定する情報
項目名設定する情報

TQ5403-1のIPv4アドレス 192.168.10.151

事前共有鍵(PSK) password
上記の情報を設定後、「登録」ボタンをクリックします。
確認のダイアログが表示されますので、「OK」ボタンをクリックします。
1台目のTQと同じ手順で、2台目のTQも設定します。

表 15：設定する情報
項目名設定する情報

TQ5403-2のIPv4アドレス 192.168.10.152

事前共有鍵(PSK) password

Note
TQの設定はCSVファイルを使用してインポートすることができます。
CSVファイルの書式については、リファレンス編「AMF」/「TQ設定」をご参照ください。

連携アプリケーションの設定
「システム設定」/「トラップ監視設定」画面を表示して、連携するアプリケーションとして使用するAT-AR3050S/AR4050SのUTM関連機能のルールを設定します。
ルールで「このシステムのトラップ監視を有効にします。」のチェックボックスにチェックを入れます。

ARルーター、アクション、トラップ監視対象の情報を設定します。
次の情報を設定します。

表 16：設定する情報
項目名	設定する情報
ホストアドレス	192.168.1.1
OpenFlow/TQ アクション	隔離
トラップ監視対象選択リスト	すべてにチェック

パケット破棄、ログのアクション使用時は、「パケット破棄」、もしくは「ログ」を設定し、リダイレクトURLのアクション使用時は、「リダイレクトURL」を設定してください。なお、リダイレクトURLのアクション使用時は、「リダイレクトURLのアクション使用時の設定」もご参照ください。

Note
ホストアドレスは、設定されたIPアドレスからの通知のみを受信する設定です。
トラップ監視対象は、ここではすべてを対象にしていますが、連携はARルーターで設定されているファイアウォール/UTMになります。
連携可能な機能については、付録「AT-AR3050S/AT-AR4050Sの設定」をご参照ください。

上記の情報を設定後、「登録」ボタンをクリックします。
確認のダイアログが表示されますので、「OK」ボタンをクリックします。

認証情報（ポリシー）の登録
デバイス（無線端末）の認証情報を登録します。
「ポリシー設定」/「ネットワーク一覧」画面を開き、「ネットワーク追加」ボタンをクリックして、「ネットワーク追加」画面を開きます。

Note
TQのVAP(マルチSSID)設定のセキュリティーでWPA エンタープライズを選択しダイナミック VLANを有効にして、WPA エンタープライズ側のRADIUSサーバーから付与されるVLAN IDに無線端末を所属させる場合には、ネットワークのポリシーの設定は不要です。
VLAN100を登録するため、ネットワーク ID、VLAN IDを次のとおり入力して、「登録」ボタンをクリックします。

表 17：設定する情報
項目名設定する情報

ネットワーク ID VLAN100

VLAN ID 100
VLAN100の登録と同じ手順で、VLAN101を登録します。

表 18：設定する情報
項目名設定する情報

ネットワーク ID VLAN101

VLAN ID 101

デバイスの登録
デバイスを登録します。
「デバイス」/「デバイス一覧」画面を開き、「デバイス追加」ボタンをクリックして、「デバイス追加」画面を開きます。
最初に登録するのは「Device1」です。
デバイス IDに「Device1」を入力します。
デバイス IDを入力したらインターフェース欄の「追加」ボタンをクリックして、「インターフェース編集」ダイアログを開きます。
同ダイアログではデバイスのMACアドレスの「00:00:00:00:00:01」を入力して、「登録」ボタンをクリックします。
次に、同デバイスにアサインするネットワークを指定するため、ポリシー欄の「追加」ボタンをクリックして、「ポリシー編集」ダイアログを開きます。

Note
TQのVAP(マルチSSID)設定のセキュリティーでWPA エンタープライズを選択しダイナミック VLANを有効にして、WPA エンタープライズ側のRADIUSサーバーから付与されるVLAN IDに無線端末を所属させる場合には、ポリシーの設定は不要です。
同ダイアログでは、ドロップダウンリストからアサインするネットワーク「VLAN100」を選択し、優先度「10」を入力して、「登録」ボタンをクリックします。
デバイス IDの入力と、インターフェース、ポリシーの追加が完了したら、「登録」ボタンをクリックします。
「デバイス」/「デバイス一覧」画面に戻ります。

「Device1」の登録と同じ手順で、「Device2」を登録します。

表 19：設定する情報
項目名	設定する情報
デバイス ID	Device2
インターフェース	00:00:00:00:00:02
ポリシー優先度	10
ポリシーネットワーク	VLAN101

AMF Securityの設定は以上です。

ARルーターの設定

logコマンドでUTM関連機能で検知された脅威情報を、syslogメッセージでAMF Securityに送信する設定を行います。
syslogメッセージの送信元IPv4アドレスは、vlan1インターフェースに設定されているIPv4アドレスを指定します。
Note
log date-formatコマンドで設定するログの日時フォーマットは、default, iso のどちらの設定でも動作可能です。

すべての製品の設定は以上です。

リダイレクトURLのアクション使用時の設定

リダイレクトURLのアクション使用時の設定について説明します。本アクション使用時はパケット破棄、隔離、ログのアクション使用時とは異なり、AWCプラグインとAMF Securityで設定が異なる箇所があります。一部、隔離のアクションと共通の項目もありますが、各製品の設定を記載します。

AWCプラグインの設定

AWCプラグインで行う設定では、VAP(マルチSSID)で「リダイレクトURL」と「外部ページURL」の設定が追加になります。
ここでは「外部ページURL」にはAMF SecurityのリダイレクトURLアクション用のサイトを指定しています。
AWCプラグインの設定 - 「無線設定」→「AP共通設定」→「VAP(マルチSSID)設定」→「詳細設定」

表 20：設定する情報
項目名	設定する情報
リダイレクトURL	有効
外部ページURL	http://192.168.1.30:8000/index.html
AMFアプリケーションプロキシーサーバー Primary IPアドレス	192.168.1.30
AMFアプリケーションプロキシーサーバー Primary シークレット	password
AMFアプリケーションプロキシーサーバーポート番号	1812
クリティカルモード	有効

AMF Securityの設定

AMF Securityでは、以下の設定がリダイレクトURLのアクションに関連した項目です。
なお、「AMF」/「リダイレクトURL設定」は、AMF SecurityのリダイレクトURLアクション用のサイトの設定です。他のサイトを使用する場合には本設定は不要です。

「AMF」/「TQ設定」
「システム設定」/「トラップ監視設定」/「ルール」
「AMF」/「リダイレクトURL設定」

表 21：AMF Securityの設定 - 「AMF」/「TQ設定」
項目名	設定する情報
共通設定
隔離/リダイレクトURL VLAN ID	250

表 22：AMF Securityの設定 - 「システム設定」/「トラップ監視設定」/「ルール」
項目名	設定する情報
ホストアドレス	192.168.1.1
OpenFlow/TQ アクション	リダイレクトURL
トラップ監視対象選択リスト	すべてにチェック

表 23：AMF Securityの設定 - 「AMF」/「リダイレクトURL設定」
項目名	設定する情報
デバイス隔離用サイトを有効にします。	チェック
デバイス隔離用サイトの設定
ポート番号	8000
サイトコンテンツのカスタマイズ
現在のサイトコンテンツ	デフォルト

表示例

TQに接続した無線端末を、AMF Securityは登録された認証情報をもとに認証を行うようになります。
認証の結果は、「デバイス」/「接続中デバイス一覧」画面で確認できます。

ARルーターのUTM関連機能で無線端末が検知されると、その無線端末の情報はAMF Security上に登録され、「ポリシー設定」/「アクション一覧」画面に表示されます。同時に、AMF Securityはその端末の情報（IPアドレス）をもとにAT-Vista Manager EXにMACアドレスの問い合わせを行い、AWCプラグインが保持している無線端末のMACアドレスを取得して通信制御が行われます。以下の表示では、無線端末のMACアドレスを取得してIPアドレスとMACアドレスが紐付いた状態です。

無線端末にアクションが適用されている状態は、「デバイス」/「接続中デバイス一覧」画面で確認できます。

「解除」→「OK」ボタンをクリックするとアクションを解除できます。

形式	X.509、RFC6818
暗号化	PEM（Privacy Enhanced Mail）形式
拡張子	.crt

項目	設定
優先度	10
OpenFlowスイッチ	AT-TQ4600-1
ネットワーク	営業部