クイックツアー / AMF Securityについて
AMF Securityの位置づけ
AMF-SEC(AMF-SECurity)は、ネットワーク運用管理の効率化とセキュリティー強化をSDN技術で実現するソリューションです。
AMF Securityは、同ソリューションの中核をなすSDNコントローラーとして、弊社のAMF(アライドテレシスマネージメントフレームワーク)対応製品と各種ビジネス・セキュリティー関連アプリケーションとの連携を実現します。
AMF Securityが管理する情報(OpenFlow)
AMF Securityは、登録されたデバイスのMACアドレス情報に基づき、管理下のOpenFlow対応ネットワークスイッチおよび無線LANアクセスポイント(以後、総称して「OpenFlowスイッチ」と記載します)にパケット制御フロー(フローエントリー)を設定(送信)し、デバイスのネットワーク接続を一括して制御することができます。
管理下のOpenFlowスイッチとはTCPセッションを確立し、OpenFlowプロトコルを使用して制御を行います。
デバイスには、ネットワークに接続可能な「ロケーション(場所)」と「スケジュール(期間)」の2つの条件を設定します。
また、「ロケーション」に設置された「OpenFlowスイッチ」やその「スイッチポート」といった、より細かな条件を指定することもできます。
これらの条件を満たした場合には、VLAN IDによって定義された論理的な「ネットワーク」への接続ができるようになります。
- ロケーション
デバイスの接続を許可する場所。
その場所に設置されたOpenFlowスイッチを登録することで、物理的なネットワーク空間を定義します。
- スケジュール
デバイスの接続を許可する期間。
接続を許可する開始日時と終了日時が指定できます。
- OpenFlowスイッチ
デバイスの接続を許可するOpenFlowスイッチ。
特定のOpenFlowスイッチに接続した場合のみ、ネットワークへのアクセスを許可します。
- スイッチポート
デバイスの接続を許可するOpenFlowスイッチのスイッチポート。
特定のスイッチポートに接続した場合のみ、ネットワークへのアクセスを許可します。
- ネットワーク
デバイスが接続するVLANサブネット(VLAN IDによって定義された論理的なネットワーク空間)。
これらの要素をセキュリティーポリシーと呼びます。
デバイスが持つMACアドレスインターフェースは、デバイスに割り当てられたセキュリティーポリシーをもとに接続・遮断・隔離といった管理を受けます。
デバイスには、複数のMACアドレスインターフェースを設定できます。
例えば、デバイスに無線インターフェースと有線インターフェースの2つのMACアドレスが登録されている場合、設定されたロケーション、スケジュールの条件を満たせば、どちらのインターフェースからでも同じネットワークへの接続が許可されます。
表 1:設定可能なセキュリティーポリシー(OpenFlow)
| デバイスが持つ管理情報
|
| デバイス
|
OpenFlowスイッチに接続するネットワーク機器。
|
| └
|
MACアドレス
|
デバイスが持つインターフェースのMACアドレス。
|
| :
|
(複数設定可能)
|
| └
|
セキュリティーポリシー
|
ネットワーク
|
デバイスを接続するVLANセグメント(VLAN ID)。
|
| ロケーション
|
デバイスの接続を許可する物理的な場所、空間。
|
| └
|
OpenFlowスイッチ
|
ロケーションに所属するネットワーク機器。
|
| └
|
スイッチポート
|
デバイスの接続を許可するスイッチポート。
|
| :
|
(複数設定可能)
|
| スケジュール
|
デバイスの接続を許可する期間(開始・終了日時)。
|
| (複数設定可能)
|
OpenFlowスイッチのネットワークポートには、OpenFlowコントローラーとの通信を行うための「コントロールプレーンポート」と、OpenFlowによって制御されユーザートラフィックが流れる「データプレーンポート」があります。
AMF Securityでは、データプレーンポートは、さらに役割の異なる「アップストリームポート」と「クライアントポート」の2つに分かれます。
- アップストリームポート
装置上に1つのみ設定され、上位ネットワークに接続されます。
- クライアントポート
残りすべてのデータプレーンポート。ユーザーデバイスはこのポートに接続されます。
AMF Securityは、ファイアウォールなどによって、アップストリームポートがより高位のセキュリティーによって保護されていることを前提としており、クライアントポートに接続されるデバイスを管理対象とします。
アップストリームポートは、初期設定では、最もOpenFlowポート番号が小さいポートに設定されます。この設定はOpenFlowスイッチ単位で変更可能です。
AMFアプリケーションプロキシー機能とは
AMFアプリケーションプロキシー機能は、AMFメンバー(エッジノード)に接続された端末を、AMFマスター(プロキシーノード)がAMF Securityに認証を行うことで通信制御を行います(AMFアプリケーションプロキシーホワイトリスト機能)。
また、AMF Securityからプロキシーノードに被疑端末の情報を通知し、エッジノードで該当端末の通信遮断を行うことも可能です(AMFアプリケーションプロキシーブラックリスト機能)。
・AMFアプリケーションプロキシーホワイトリスト機能およびブラックリスト機能
プロキシーノードはエッジノードを兼ねることもできます(サポート機種のみ)。
AMFコントローラーとの連携はできません。
ホワイトリスト機能のみ、ブラックリスト機能のみ、双方を併用して使用することもできます。
・AMFアプリケーションプロキシーホワイトリスト機能
AMFマスターに冗長性を持たせる場合はバーチャルシャーシスタック(VCS)を使用してください(サポート機種のみ)。
AMFコントローラー配下の複数のローカルマスターと連携する場合は、それぞれのローカルマスターは別エリアにしてください。
AMFアプリケーションプロキシー機能を利用するには、AMF Security、プロキシーノード、エッジノードのそれぞれに設定が必要です。
AMF Securityが管理する情報(AMFアプリケーションプロキシーホワイトリスト機能)
AMF Securityは、登録されたデバイスのMACアドレス情報に基づき、管理下のAMFメンバーのポート認証機能を使用し、デバイスのネットワーク接続を一括して制御することができます。
AMFアプリケーションプロキシーホワイトリスト機能は、AMFメンバーに接続された端末を、AMFマスターがAMF Security(ホワイトリストサーバー)に認証を行うことで、AMF SecurityからAMF対応機器でのアクセス制御を可能にするAMF-SEC(AMF-SECurity)の連携機能です。
これらの条件を満たした場合には、VLAN IDによって定義された論理的な「ネットワーク」への接続ができるようになります。
- ロケーション
デバイスの接続を許可する場所。
その場所に設置されたAMFメンバーを登録することで、物理的なネットワーク空間を定義します。
- スケジュール
デバイスの接続を許可する期間。
接続を許可する開始日時と終了日時が指定できます。
- スイッチポート
デバイスの接続を許可するAMFメンバーのスイッチポート。
特定のスイッチポートに接続した場合のみ、ネットワークへのアクセスを許可します。
- ネットワーク
デバイスが接続するVLANサブネット(VLAN IDによって定義された論理的なネットワーク空間)。
これらの要素をセキュリティーポリシーと呼びます。
デバイスが持つMACアドレスインターフェースは、デバイスに割り当てられたセキュリティーポリシーをもとに接続・遮断・隔離といった管理を受けます。
デバイスには、複数のMACアドレスインターフェースを設定できます。
例えば、デバイスに無線インターフェースと有線インターフェースの2つのMACアドレスが登録されている場合、設定されたロケーション、スケジュールの条件を満たせば、どちらのインターフェースからでも同じネットワークへの接続が許可されます。
表 2:設定可能なセキュリティーポリシー(AMFアプリケーションプロキシーホワイトリスト)
| デバイスが持つ管理情報
|
| デバイス
|
AMFメンバーに接続するネットワーク機器。
|
| └
|
MACアドレス
|
デバイスが持つインターフェースのMACアドレス。
|
| :
|
(複数設定可能)
|
| └
|
セキュリティーポリシー
|
ネットワーク
|
デバイスを接続するVLANセグメント(VLAN ID)。
|
| ロケーション
|
デバイスの接続を許可する物理的な場所、空間。
|
| └
|
AMFメンバー
|
ロケーションに所属するネットワーク機器。
|
| └
|
スイッチポート
|
デバイスの接続を許可するスイッチポート。
|
| :
|
(複数設定可能)
|
| スケジュール
|
デバイスの接続を許可する期間(開始・終了日時)。
|
| (複数設定可能)
|
本機能を使用するには、お使いのAlliedWare Plus機器のプロキシーノード、エッジノードの双方ともファームウェアバージョン 5.5.0-0.x 以降が必要です。
次に示す設定または操作で、「デバイス」/「接続中 デバイス一覧」画面に表示されるAMFアプリケーションプロキシー機能で認証されている端末情報を表示させる場合には、お使いのAlliedWare Plus機器のプロキシーノード、エッジノードの双方ともファームウェアバージョン 5.5.0-0.x 以降が必要です。また、プロキシーノード、エッジノードの設定については、「AMFマスター(プロキシーノード)、AMFメンバー(エッジノード)の設定」をご参照ください。
・「AMF」/「AMF アプリケーションプロキシー 設定」画面の「AMFメンバーがネットワークに接続した時に認証済み端末リストの再読み込みを行います。」のチェックボックスにチェックが入っている
・「スイッチ」/「接続中 AMF メンバー 一覧」画面で「同期」ボタンをクリックする
AMFマスター(プロキシーノード)、AMFメンバー(エッジノード)の設定
管理するAMFノードで以下は必須の設定です。
- すべてのAMFノード(プロキシーノード、エッジノードの双方)で service atmf-application-proxyコマンドを有効
- すべてのAMFノード(プロキシーノード、エッジノードの双方)で service httpコマンドを有効
- すべてのAMFノード(プロキシーノード、エッジノードの双方)で共通のユーザーを権限レベル15(特権レベル)で設定
- AMFマスター(プロキシーノード)で atmf topology-gui enableコマンドを有効
- AMFマスター(プロキシーノード)で application-proxy whitelist serverコマンドを設定
- AMFメンバー(エッジノード)の端末接続ポートでホワイトリスト機能関連コマンドを設定
詳細な設定については、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
なお、プロキシーノードとなるAlliedWare Plus機器の機種によっては、AMFアプリケーションプロキシー機能を利用するために、別途ライセンスが必要となる場合があります。
AMF Securityの設定
AMFアプリケーションプロキシーホワイトリスト機能を利用するためには、AMF SecurityにAMFマスター(プロキシーノード)のIPアドレス、権限レベル15(特権レベル)のアカウントのユーザー名とパスワード、事前共有鍵(PSK)を設定する必要があります。
- 「AMF」/「AMF アプリケーションプロキシー 設定」画面を表示します。
- 「追加」ボタンをクリックします。
- 「IPv4 アドレス」に、AMFマスター(プロキシーノード)のIPアドレスを入力します。
- 「ユーザー名」、「パスワード」に、AMFマスター(プロキシーノード)に設定されている権限レベル15(特権レベル)のアカウントのユーザー名とパスワードを入力します。
- 「事前共有鍵(PSK)」にAMFマスター(プロキシーノード)の application-proxy whitelist serverコマンドのkeyパラメーターで設定した事前共有鍵を入力します。
- ダイアログ下部の「登録」ボタンをクリックします。
本設定を行うと、AMFマスター(プロキシーノード)への定期問い合わせ(30秒間隔)を行うようになります。
AMFアプリケーションプロキシーによる遮断(AMFアプリケーションプロキシーブラックリスト機能)
AMF Securityからプロキシーノードへの被疑端末情報の通知
AMF Securityは、被疑端末を検出するセキュリティーソフトウェアや機器から情報を受信した際、または「ポリシー設定」/「アクション追加」画面でアクションを追加した際に、プロキシーノードに被疑端末の情報を通知します。この被疑端末の情報はAMF Security上に登録され、「ポリシー設定」/「アクション一覧」画面に表示されます。
なお、その情報を再度プロキシーノードに通知は行いません。
被疑端末の情報を保持しているプロキシーノードが再起動した場合、被疑端末の情報はプロキシーノードから削除されます。
再起動後、AMF Securityから被疑端末の情報の再通知はないため、プロキシーノードは被疑端末の情報を学習することはできません。
プロキシーノードに被疑端末の情報を学習させるためには、次の手順でAMF Securityから手動で被疑端末の情報を通知してください。
1. 「ポリシー設定」/「アクション一覧」画面を開きます。
2. 「CSV にエクスポート」ボタンをクリックし、CSVファイルを保存します。
3. 「システム設定」/「システム情報」画面を開きます。
4. 認証データの「インポート」ボタンをクリックして、「認証データのアップロード」画面を開きます。
5. 「ファイルを選択」ボタンをクリックし、保存したCSVファイルを選択して、「登録」ボタンをクリックします。
AMFアクション
AMF Securityは被疑端末の情報をプロキシーノードに通知する際に、通信遮断を指示するアクション(AMFアクション)を通知することができます。
AMF Securityで設定するAMFアクションは次のとおりです。
- AMF 依存
- 隔離
- パケット破棄
- リンクダウン
- IPフィルター
- ログ
「隔離」、「パケット破棄」、「リンクダウン」、「IPフィルター」、「ログ」を設定した場合は、エッジノード側に設定されたAMFアクションよりも優先して、これらのAMFアクションが実行されます。
「AMF 依存」を設定した場合は、AMF SecurityからAMFアクションは送信されず、エッジノード側で設定されたAMFアクションが実行されます。
複数の外部連携アプリケーションを併用する場合など、AMFマスターに被疑デバイスの情報が複数送信されるようなケースでは同一のAMFアクションを設定してください。
外部連携アプリケーションのAMFアクションの設定は「システム設定」/「トラップ監視設定」画面の「ルール」で行います。
「ポリシー設定」/「アクション一覧」画面で既に登録されている被疑デバイスのAMFアクションを変更したい場合には、先に登録されているアクションを削除してから、新しいアクションを登録してください。
ホワイトリストポートで「隔離」アクションを併用する場合は、お使いのAlliedWare Plus機器のプロキシーノード、エッジノードの双方ともファームウェアバージョン 5.5.0-2.x 以降が必要です。
ホワイトリストで許可された端末であっても、AMFアクションの対象となった場合、該当端末からの通信はアクションに従った処理になります。
被疑端末の遮断解除
被疑端末の遮断を解除(被疑端末の情報を削除)する場合には、「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除します。該当のアクションを削除すると、AMF Securityはプロキシーノードに被疑端末情報を削除するよう通知します。
プロキシーノード上でコマンドを実行することで遮断を解除することもできますが、その場合、プロキシーノードからAMF Securityに被疑デバイス情報を削除する指示は出しません。そのため、AMF Security上では被疑デバイス情報を保持したままになりますので、必要に応じて「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除してください。
プロキシーノード上で実行するコマンドについては、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
被疑端末の遮断ステータスの表示とメール送信
エッジノードでAMFアクションが適用された被疑端末のステータスは、「デバイス」/「接続中 デバイス一覧」画面に表示されます。
これは、AMF Securityが30秒間隔で定期的にプロキシーノードに問い合わせを行って情報を取得します。
本機能を使用するには、お使いのAlliedWare Plus機器のプロキシーノード、エッジノードの双方ともファームウェアバージョン 5.5.0-0.x 以降が必要です。
また、「システム設定」/「メール通知設定」画面でAMF Securityのメール通知設定を行うことで、メールを送信することもできます。
- 「遮断時にメールを送信します。」→「パケット破棄」、「リンクダウン」、「IPフィルター」、「ログ」のアクションで遮断された場合にメールを送信
- 「隔離時にメールを送信します。」→「隔離」のアクションで隔離された場合にメールを送信
AMF Securityがプロキシーノードに問い合わせを行った際に、被疑端末の情報に更新(別のスイッチに移動後に再度遮断等)があった場合は、「デバイス」/「接続中 デバイス一覧」画面に表示した情報を更新し、メール送信も行われます。
AMFマスター(プロキシーノード)、AMFメンバー(エッジノード)の設定
管理するAMFノードで以下は必須の設定です。
- すべてのAMFノード(プロキシーノード、エッジノードの双方)で service atmf-application-proxyコマンドを有効
- すべてのAMFノード(プロキシーノード、エッジノードの双方)で service httpコマンドを有効
- すべてのAMFノード(プロキシーノード、エッジノードの双方)で共通のユーザーを権限レベル15(特権レベル)で設定
- AMFマスター(プロキシーノード)で atmf topology-gui enableコマンドを有効
- AMFメンバー(エッジノード)の端末接続ポートで application-proxy threat-protectionコマンドを設定
詳細な設定については、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
なお、プロキシーノードとなるAlliedWare Plus機器の機種によっては、AMFアプリケーションプロキシー機能を利用するために、別途ライセンスが必要となる場合があります。
AMF Securityの設定
AMFアプリケーションプロキシーブラックリスト機能を利用するためには、AMF SecurityにAMFマスター(プロキシーノード)のIPアドレス、権限レベル15(特権レベル)のアカウントのユーザー名とパスワードを設定する必要があります。
- 「AMF」/「AMF アプリケーションプロキシー 設定」画面を表示します。
- 「追加」ボタンをクリックします。
- 「IPv4 アドレス」に、AMFマスター(プロキシーノード)のIPアドレスを入力します。
- 「ユーザー名」、「パスワード」に、AMFマスター(プロキシーノード)に設定されている権限レベル15(特権レベル)のアカウントのユーザー名とパスワードを入力します。
- ダイアログ下部の「登録」ボタンをクリックします。
本設定を行うと、AMFマスター(プロキシーノード)への定期問い合わせ(30秒間隔)を行うようになります。
AMF Securityと連携するアプリケーションの設定については、「システム設定」/「トラップ監視設定」をご参照ください。
TQのAMFアプリケーションプロキシー機能
TQのAMFアプリケーションプロキシー機能は、TQに接続された無線端末をAMF Securityが認証を行うことで通信制御を行います(AMFアプリケーションプロキシーホワイトリスト機能)。
また、連携する外部アプリケーションから被疑端末のIPアドレスをAMF Securityが受け取ると、そのIPアドレスをもとにAT-Vista Manager EXに端末のMACアドレスの問い合わせを行い、AWCプラグインが保持しているMACアドレスを取得して端末の通信制御が行われます(AMFアプリケーションプロキシーブラックリスト機能)。
サポートするアクションは、パケット破棄、隔離、ログ(該当デバイスの通信制御は行わずログの出力のみ)、リダイレクトURLです。
サポートするアクションは、製品・バージョンによって異なります。製品と対応バージョンは「対応製品と対応バージョン」をご参照ください。
TQに対するAMFアプリケーションプロキシー機能の設定は、AWCプラグインから行います(TQの管理画面からは行えません)。
AT-VST-APL版のAT-Vista Manager EXを使用する場合、AMF Securityは直接AWCプラグインに問い合わせを行います。
無線端末が接続した際の認証は、「AMFアプリケーションプロキシー(AMF Security)による認証」→「VAP(マルチSSID)設定のセキュリティーで設定されている認証」の順で行われます。双方の認証が成功しないと無線端末の接続は許可されません。
TQのAMFアプリケーションプロキシー機能では、以下の項目は未サポートです。
・ロケーションポリシー
・スケジュールポリシー
・セッションタイムアウト
・TQ上の認証情報の取得
・端末のIPアドレス表示
・デバイスの探索
・アカウントグループ
AMF Securityの再起動(サービスの再起動を含む)や接続中のOpenFlowスイッチとAMFマスターとの接続がいったん切断される設定を行うと、TQのAMFアプリケーションプロキシー機能で既に管理されているデバイス(「デバイス」/「接続中 デバイス一覧」画面に表示されているデバイス)が存在する場合、そのデバイスの認証、およびアクションは適用されたままになりますが、「デバイス」/「接続中 デバイス一覧」画面の表示からは削除されます。
AMF Securityの設定・操作については以下が該当します。
・「システム設定」/「ネットワーク設定」画面
WebサーバーのSSL証明書のアップロード・削除
データベース同期
データベース同期オプション設定
・「システム設定」/「ログ設定」画面
・「システム設定」/「時刻設定」画面
・「システム設定」/「OpenFlow設定」画面
・「システム設定」/「システム情報」画面
ホスト名
システム設定 - インポート
システム設定 - リセット
サービス - 全て再起動
・「システム設定」/「トラップ監視設定」画面
デバイスルックアップ
・「システム設定」/「メール通知設定」画面
・「システム設定」/「アクションログ」画面
アクションログのクリア
・「AMF」/「AMF アプリケーションプロキシー 設定」画面
AMFマスター
ホワイトリスト設定
WebサーバーのSSL証明書のアップロード・削除
・「AMF」/「TQ設定」画面
また、AT-VST-APLの設定画面でAMF Security アプリケーションの再起動(停止と起動)、AT-VST-APLの再起動も該当します。
対応製品と対応バージョン
本機能を使用するには、以下の製品と対応バージョンが必要です。
■ 使用するアクション:パケット破棄、隔離、ログ
表 3:AT-TQ5403/AT-TQm5403/AT-TQ5403e
| 対応製品
|
対応バージョン
|
| AT-TQ5403/AT-TQm5403/AT-TQ5403e
|
6.0.1-6.1以降
|
| AT-Vista Manager EX(AWCプラグイン)
|
3.6.0(3.6.0)以降
|
| AMF Security
|
2.3.0以降
|
表 4:AT-TQ6602
| 対応製品
|
対応バージョン
|
| AT-TQ6602
|
7.0.1-1.1以降
|
| AT-Vista Manager EX(AWCプラグイン)
|
3.7.0(3.7.0)以降
|
| AMF Security
|
2.3.0以降
|
表 5:AT-TQ6602 GEN2/AT-TQm6602 GEN2/AT-TQ6702 GEN2/AT-TQm6702 GEN2
| 対応製品
|
対応バージョン
|
| AT-TQ6602 GEN2/AT-TQm6602 GEN2/AT-TQ6702 GEN2/AT-TQm6702 GEN2
|
8.0.1-1.1以降
|
| AT-Vista Manager EX(AWCプラグイン)
|
3.9.0(3.9.0)以降
|
| AMF Security
|
2.3.0以降
|
■ 使用するアクション:リダイレクトURL
表 6:AT-TQ5403/AT-TQm5403/AT-TQ5403e
| 対応製品
|
対応バージョン
|
| AT-TQ5403/AT-TQm5403/AT-TQ5403e
|
6.0.3-0.1以降
|
| AT-Vista Manager EX(AWCプラグイン)
|
3.10.3(3.10.1)以降
|
| AMF Security
|
2.5.0以降
|
表 7:AT-TQ6602 GEN2/AT-TQm6602 GEN2/AT-TQ6702 GEN2/AT-TQm6702 GEN2
| 対応製品
|
対応バージョン
|
| AT-TQ6602 GEN2/AT-TQm6602 GEN2/AT-TQ6702 GEN2/AT-TQm6702 GEN2
|
8.0.2-1.1以降
|
| AT-Vista Manager EX(AWCプラグイン)
|
3.10.1(3.10.0)以降
|
| AMF Security
|
2.5.0以降
|
TQのダイナミック VLAN使用時の動作
TQのAMFアプリケーションプロキシー機能は、TQのVAP(マルチSSID)設定のセキュリティーでWPA エンタープライズを選択した場合、ダイナミック VLANの無効・有効によって認証時に無線端末に付与するVLAN IDが異なります。
- ダイナミック VLAN無効時
無線端末の認証をAMF Securityで行い、AMF SecurityからVLAN IDが付与されている場合、無線端末の所属VLANはAMF SecurityのVLAN IDとなります。AMF SecurityからVLAN IDが付与されていない場合、無線端末はVAPのVLAN IDに所属します。
AMF SecurityからVLAN IDが付与されない場合のAMF Securityの設定は以下のとおりです。
・ポリシー設定(隔離VLAN ID)でVLAN ID 0のネットワークを設定
・ネットワークを設定しない
- ダイナミック VLAN有効時
無線端末の認証をAMF Securityで行い、その後にWPA エンタープライズ側のRADIUSサーバーで認証を行います。無線端末が所属するVLANは以下のとおりです。
ただし、AMF Securityから隔離VLANのVLAN IDが付与されている場合は、ダイナミックVLANのVLAN IDの有無にかかわらず、AMF Securityから付与される隔離VLAN IDに所属します。
表 8:無線端末が所属するVLAN
| AMF Security付与VLAN ID
|
RADIUSサーバー付与VLAN ID
|
無線端末所属VLAN
|
| あり
|
あり
|
RADIUSサーバー付与VLAN ID
|
| なし
|
なし
|
VAP VLAN ID
|
| なし
|
あり
|
RADIUSサーバー付与VLAN ID
|
| あり
|
なし
|
AMF Security付与VLAN ID
|
AMF SecurityでVLAN IDなしの設定は以下のとおりです。
・ポリシー設定(隔離VLAN ID)でVLAN ID 0のネットワークを設定
・ネットワークを設定しない
■ TQにVLAN ID 1が付与された場合の動作
TQにVLAN ID 1が付与された場合の動作は、TQの管理VLANタグの設定によって異なります
詳細は、TQのリファレンスマニュアルをご参照ください。
クリティカルモード
クリティカルモードは、AMF Securityに電源断などの障害が発生した場合に、新規で接続する無線端末の処理を選択できます。
- 無効
新規で接続する無線端末は、AMF Securityによる認証ができないため接続がすべて拒否されます。
なお、既に接続していた無線端末はそのまま通信できます。
- 有効
新規で接続する無線端末をAMF Securityの認証なしで許可します。
通常は、AMF Securityの認証が成功してからVAP(マルチSSID)設定のセキュリティーで設定されている認証が行われますが、AMF Securityによる認証を行わずにVAP(マルチSSID)設定のセキュリティーで設定されている認証に進みます。
無線端末が所属するVLANは、VAP(マルチSSID)設定のセキュリティーで設定されている認証が成功した際に決定したVLANになります。
リダイレクトURLアクション
無線端末にリダイレクトURLアクションが適用されると、該当の無線端末は隔離アクションと同様に隔離ネットワークに接続されます。その後、該当の無線端末のWebアクセスはリダイレクトURLアクションに対応したTQから、設定された外部ページ(URL)に転送され、Webブラウザーには外部ページの内容が表示されます。
リダイレクトURLアクションを使用する場合は、使用する製品・バージョンがリダイレクトURLアクションに対応している必要があります。本アクションに対応していない製品では、意図しない動作になるため使用しないでください。また、AW+のAMFアプリケーションプロキシー機能では設定の項目がありません。OpenFlowはTQのAMFアプリケーションプロキシー機能と共通のアクションですが、未サポートのため使用しないでください。
AMF Securityでは、リダイレクトURLアクション用のサイト(デバイス隔離用サイト)を設定することができ、その外部ページに指定することができます。リダイレクトURLアクション用のサイトの設定は「AMF」/「リダイレクトURL設定」画面で行います。なお、本サイトのプロトコルはHTTPです。
本サイトはリダイレクトされたアクセスのみをサポートしており、通常のWebサーバーとしてはサポートしていません。
TQに対するリダイレクトURL関連の設定は、AT-Vista Manager EXのAWCプラグインから行います。
AMF SecurityをリダイレクトURLアクション用のサイトとして使用する場合、AWCプラグインで行うリダイレクトURLの外部ページURLの設定は以下のようにします。
http://(AMF SecurityのIPアドレス):(設定したポート番号)/index.html
例えば、AMF Securityに設定されたIPアドレスが「192.168.1.10」、「AMF」/「リダイレクトURL設定」画面で設定したポート番号が「8000」の場合は以下を指定します。
http://192.168.1.10:8000/index.html
コントロール対象となるネットワーク機器
AMF Securityによる管理の対象となるAlliedWare Plusスイッチおよび無線LANアクセスポイントについての最新情報は、AMF Securityおよび当該ネットワーク機器のリリースノートにて公開しております。
各製品のコマンドリファレンスおよびリリースノートは弊社ホームページにて公開、または保守契約者向けページに掲載されています。
http://www.allied-telesis.co.jp/
アプリケーション連携ソリューション
AMF Securityは、脅威検出、デバイス管理、人事情報管理など、各種業務アプリケーションとの連携によって、ネットワーク運用の効率化とセキュリティー強化を図ることができます。
連携するサービスやアプリケーションの最新情報については、弊社「AMF-SEC テクノロジー パートナープログラム」を通じて提供されます。パートナープログラムの詳細は、弊社ホームページより「AMF-SEC テクノロジー パートナープログラム」をご覧ください。