[index] AT-AR2050V/AT-AR3050S/AT-AR4050S コマンドリファレンス 5.4.6
Note - アプリケーションコントロール(DPI)機能はAT-AR2050Vでは使用できません。
Note - アプリケーションコントロール(DPI)機能を使用するにはアニュアルライセンスが必要です。
Note - HTTPSのように暗号化されたパケットは検査・判別できません。
Note - NAT機能でもルール設定時にアプリケーションの指定を行いますが、NATルールではアプリケーションコントロール(DPI)によって判別されたアプリケーションは指定できません。ruleコマンド(NATモード)でNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションか、applicationコマンドで定義するカスタムアプリケーション、あるいは、すべてを意味する「any」キーワードを指定してください。
awplus(config)# dpi ↓ |
awplus(config-dpi)# provider procera ↓ |
Note - アプリケーションコントロール(DPI)機能とファイアウォール機能を併用する場合は、アプリケーションシグネチャデータベースを更新するため、本製品からインターネットへのDNS通信とHTTPS通信を許可する必要があります。
awplus(config-dpi)# enable ↓ |
awplus# show application detail dpi ↓ |
awplus(config)# dpi ↓ awplus(config-dpi)# update-interval days 1 ↓ |
awplus# update dpi_procera_app_db now ↓ |
awplus# show resource dpi_procera_app_db ↓
--------------------------------------------------------------------------------
Resource Name Status Version Interval Last Download
Next Download Check
--------------------------------------------------------------------------------
dpi_procera_app_db unknown - 10 None
minutes N/A
|
awplus# show dpi ↓ Status: unlicensed Provider: procera Resource version: not set Resource update interval: 1 hour |
awplus# show dpi statistics ↓ Application Packets Bytes ------------------------------------------------- http 30 2020 icmp 348 29232 telnet 45 2553 |
Note - NAT機能でもルール設定時にアプリケーションの指定を行いますが、NATルールではアプリケーションコントロール(DPI)によって判別されたアプリケーションは指定できません。ruleコマンド(NATモード)でNAT対象トラフィックを指定するときは、あらかじめ定義されている事前定義済みアプリケーションか、applicationコマンドで定義するカスタムアプリケーション、あるいは、すべてを意味する「any」キーワードを指定してください。
Note - アプリケーションコントロール(DPI)機能では、各アプリケーション固有の通信パターンを検出するために一定量のパケットを受信してそのデータ部分を検査する必要があります。判別が完了していないトラフィック(判別中のトラフィック)は、特殊なアプリケーション名「undecided」で表されます。
awplus(config)# firewall ↓ awplus(config-firewall)# rule 10 permit X from public to private ↓ awplus(config-firewall)# rule 20 permit undecided from public to private ↓ awplus(config-firewall)# rule 30 permit dns from public.internet.myself to public ↓ awplus(config-firewall)# rule 40 permit https from public.internet.myself to public ↓ awplus(config-firewall)# rule 50 permit undecided from public.internet.myself to public ↓ awplus(config-firewall)# protect ↓ |
Note - ここでの「X」は説明のための架空のアプリケーション名です(本マニュアル執筆時点)。実際に使用するときは適切なアプリケーション名に置き換えてください。
Note - ルール「30」と「40」は、アプリケーションシグネチャデータベースを更新するため、本製品からインターネットへのDNS通信とHTTPS通信を許可するものですが、DPI機能の有効時には事前定義済みアプリケーション「dns」よりもDPIアプリケーション「dns」が優先されるため、ルール「30」を機能させるために本製品からインターネットへの通信についても、未判別のトラフィック(undecided)を許可する必要があります(ルール「50」)。
awplus(config)# firewall ↓ awplus(config-firewall)# rule 10 deny sharep2p from private to public ↓ awplus(config-firewall)# rule 20 deny winny from private to public ↓ awplus(config-firewall)# rule 30 permit any from private to public ↓ awplus(config-firewall)# rule 40 permit any from private to private ↓ awplus(config-firewall)# rule 50 permit dns from public.internet.myself to public ↓ awplus(config-firewall)# rule 60 permit https from public.internet.myself to public ↓ awplus(config-firewall)# rule 70 permit undecided from public.internet.myself to public ↓ awplus(config-firewall)# protect ↓ |
Note - ルール「50」と「60」は、アプリケーションシグネチャデータベースを更新するため、本製品からインターネットへのDNS通信とHTTPS通信を許可するものですが、DPI機能の有効時には事前定義済みアプリケーション「dns」よりもDPIアプリケーション「dns」が優先されるため、ルール「50」を機能させるために本製品からインターネットへの通信についても、未判別のトラフィック(undecided)を許可する必要があります(ルール「70」)。
(C) 2015 - 2016 アライドテレシスホールディングス株式会社
PN: 613-002107 Rev.K