[index] AMF Security miniリファレンスマニュアル 2.2.2
Note・AMFアプリケーションプロキシーホワイトリスト機能およびブラックリスト機能
プロキシーノードはエッジノードを兼ねることもできます(サポート機種のみ)。
AMFコントローラーとの連携はできません。
ホワイトリスト機能のみ、ブラックリスト機能のみ、双方を併用して使用することもできます。
デバイス | AMFメンバーに接続するネットワーク機器。 | ||||
└ | MACアドレス | デバイスが持つインターフェースのMACアドレス。 | |||
(複数設定可能) | |||||
└ | セキュリティーポリシー | ネットワーク | デバイスを接続するVLANセグメント(VLAN ID)。 | ||
ロケーション | デバイスの接続を許可する物理的な場所、空間。 | ||||
└ | AMFメンバー | ロケーションに所属するネットワーク機器。 | |||
└ | スイッチポート | デバイスの接続を許可するスイッチポート。 | |||
(複数設定可能) | |||||
スケジュール | デバイスの接続を許可する期間(開始・終了日時)。 | ||||
(複数設定可能) |
Note本設定を行うと、AMFマスター(プロキシーノード)への定期問い合わせ(30秒間隔)を行うようになります。
Note被疑端末の情報を保持しているプロキシーノードが再起動した場合、被疑端末の情報はプロキシーノードから削除されます。
再起動後、AMF Security miniから被疑端末の情報の再通知はないため、プロキシーノードは被疑端末の情報を学習することはできません。
プロキシーノードに被疑端末の情報を学習させるためには、次の手順でAMF Security miniから手動で被疑端末の情報を通知してください。
1. 「ポリシー設定」/「アクション一覧」画面を開きます。
2. 「CSV にエクスポート」ボタンをクリックし、CSVファイルを保存します。
3. 「システム設定」/「システム情報」画面を開きます。
4. 認証データの「インポート」ボタンをクリックして、「認証データのアップロード」画面を開きます。
5. 「ファイルを選択」ボタンをクリックし、保存したCSVファイルを選択して、「登録」ボタンをクリックします。
Note複数の外部連携アプリケーションを併用する場合など、AMFマスターに被疑デバイスの情報が複数送信されるようなケースでは同一のAMFアクションを設定してください。
外部連携アプリケーションのAMFアクションの設定は「システム設定」/「トラップ監視設定」画面の「ルール」で行います。
「ポリシー設定」/「アクション一覧」画面で既に登録されている被疑デバイスのAMFアクションを変更したい場合には、先に登録されているアクションを削除してから、新しいアクションを登録してください。
Noteホワイトリストで許可された端末であっても、AMFアクションの対象となった場合、該当端末からの通信はアクションに従った処理になります。
Noteプロキシーノード上でコマンドを実行することで遮断を解除することもできますが、その場合、プロキシーノードからAMF Security miniに被疑デバイス情報を削除する指示は出しません。そのため、AMF Security mini上では被疑デバイス情報を保持したままになりますので、必要に応じて「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除してください。
プロキシーノード上で実行するコマンドについては、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
NoteAMF Security miniがプロキシーノードに問い合わせを行った際に、被疑端末の情報に更新(別のスイッチに移動後に再度遮断等)があった場合は、「デバイス」/「接続中 デバイス一覧」画面に表示した情報を更新し、メール送信も行われます。
Note本設定を行うと、AMFマスター(プロキシーノード)への定期問い合わせ(30秒間隔)を行うようになります。
NoteTQに対するAMFアプリケーションプロキシー機能の設定は、AWCプラグインから行います(TQの管理画面からは行えません)。
NoteAT-VST-APL/AT-VST-VRT版のAT-Vista Manager EXを使用する場合、AMF Security miniは直接AWCプラグインに問い合わせを行います。
Note無線端末が接続した際の認証は、「AMFアプリケーションプロキシー(AMF Security mini)による認証」→「VAP(マルチSSID)設定のセキュリティーで設定されている認証」の順で行われます。双方の認証が成功しないと無線端末の接続は許可されません。
NoteTQのAMFアプリケーションプロキシー機能では、以下の項目は未サポートです。
・ロケーションポリシー
・スケジュールポリシー
・セッションタイムアウト
・TQ上の認証情報の取得
・端末のIPアドレス表示
・デバイスの探索
・アカウントグループ
Note接続中のAMFマスターとの接続がいったん切断される設定を行うと、TQのAMFアプリケーションプロキシー機能で既に管理されているデバイス(「デバイス」/「接続中 デバイス一覧」画面に表示されているデバイス)が存在する場合、そのデバイスの認証、およびアクションは適用されたままになりますが、「デバイス」/「接続中 デバイス一覧」画面の表示からは削除されます。
AT-TQ5403/AT-TQm5403/AT-TQ5403e | 6.0.1-6.1以降 |
AT-Vista Manager EX(AWCプラグイン) | 3.6.0以降 |
AMF Security mini | 2.2.1以降 |
AT-TQ6602 | 7.0.1-1.1以降 |
AT-Vista Manager EX(AWCプラグイン) | 3.7.0以降 |
AMF Security mini | 2.2.1以降 |
AT-TQ6602 GEN2/AT-TQm6602 GEN2/AT-TQ6702 GEN2/AT-TQm6702 GEN2 | 8.0.1-1.1以降 |
AT-Vista Manager EX(AWCプラグイン) | 3.9.0以降 |
AMF Security mini | 2.2.1以降 |
NoteAMF Security miniからVLAN IDが付与されない場合のAMF Security miniの設定は以下のとおりです。
・ポリシー設定(隔離VLAN ID)でVLAN ID 0のネットワークを設定
・ネットワークを設定しない
NoteAMF Security miniでVLAN IDなしの設定は以下のとおりです。
・ポリシー設定(隔離VLAN ID)でVLAN ID 0のネットワークを設定
・ネットワークを設定しない
(C) 2020-2022 アライドテレシスホールディングス株式会社
PN: 613-002847 Rev.C