AMF Security miniリファレンスマニュアル 2.2.3

AMF Security miniリファレンスマニュアル 2.2.3

本マニュアルでは、本製品の設定画面について詳細に解説しています。本製品を活用するための参考資料としてご利用ください。

なお、設定を始める前に済ませておかなければならないこと、例えばAlliedWare PlusのWeb GUIの準備、AMF Security miniアプリケーションインスタンスの初期設定などについては説明しておりません。これらに関しては、弊社ホームページに掲載の各製品のコマンドリファレンスをご覧ください。

はじめに

対象製品とバージョン

本マニュアルは、以下の製品のソフトウェアバージョン「2.2.3」を対象に記述されています。ただし、執筆時には開発中のバージョンを用いたため、画面表示などが実際の製品とは異なる場合があります。また、旧バージョンから機能的な変更がない場合は、画面表示などに旧バージョンのものを使っている場合があります。あらかじめご了承ください。


製品のご使用にあたっては、必ず弊社ホームページに掲載のリリースノートや添付書類をお読みになり、最新の情報をご確認ください。リリースノートや添付書類には、製品のバージョンごとの注意事項や最新情報が記載されています。

サポート機能と制限事項

原則として、本マニュアルに記載されていない機能はサポート対象外です。また、本マニュアルに記載されている機能でも、サポート対象外となることがあります。各バージョンにおける新規機能や機能の変更点、制限事項については、弊社ホームページに掲載のリリースノートや添付書類でご確認ください。

マニュアルの提供形態

本マニュアルは HTML(Hyper Text Markup Language)形式のオンラインマニュアルです。製品には同梱されておりません。弊社Webサイトにて最新バージョンを見ることができます。印刷物としては提供しておりませんので、印刷物が必要な場合はHTMLファイルをプリンターで出力してご使用ください。

本マニュアルをご覧になるには、Microsoft Edge/Google Chrome/Mozilla FirefoxなどのWebブラウザーが必要です。HTMLフレームを使用しているためフレーム対応のブラウザーが必要ですが、JavaScript、ActiveScriptなどのスクリプト言語、Javaアプレットなどは使用しておりませんので、これらの機能はオフでも構いません(AMF Security miniの設定画面は、Java、JavaScriptを使用します)。

本マニュアルは、ハイパーリンク機能を利用して、ある機能から関連する別の機能へジャンプしたり、設定例のページから設定画面のリファレンスへジャンプしたりできるように作成してあります。

マニュアルの構成

本マニュアルの構成について説明します。

章構成

本マニュアルの章は、「設定画面へのアクセス」「クイックツアー」「リファレンス編」「付録」に分けられています。
画面上部のフレームに表示されている項目が各章へのリンクです。章名をクリックすると、画面左側のフレームに節(サブメニュー)が表示されます。節のリンクをクリックすると、画面右側のフレームに設定画面などの解説が表示されます。

章構成は次のとおりです。

設定画面へのアクセス
設定画面へのログインとログアウト、ナビゲーションと各設定画面における設定の保存方法について説明します。
クイックツアー
本製品の設定を行う際の作業の流れを紹介します。
リファレンス編
各設定画面を1つのページで詳細に説明しています。次に示す章に分けられています。
デバイスデバイスの一覧表示、更新、追加、MACアドレスインターフェースの編集、セキュリティーポリシーの編集、MACアドレスの一覧表示、更新、追加、接続中デバイス一覧
グループ未認証グループの一覧表示、更新、追加
スイッチAMFメンバーの一覧表示、更新、追加、接続中のAMFメンバーの状況表示
ポリシー設定ネットワークの一覧表示、更新、追加、ロケーションの一覧表示、更新、追加、スケジュールの一覧表示、更新、追加、適用中のアクションの一覧表示、アクションの追加
システム設定アカウント設定、アカウントグループ設定、ネットワーク設定、ログ設定、時刻設定、システム情報、トラップ監視設定、メール通知設定、AMF Securityログ、アクションログ
AMFAMF アプリケーションプロキシー 設定、TQ設定
付録
補足的な事がらについて説明します。

表記について

本マニュアルにおける各種表記について説明します。

AMF Security mini

本マニュアルでは、AMF Security miniアプリケーションインスタンスを「AMF Security mini」と総称します。

スイッチ

AMF Security miniが管理するAlliedWare Plusスイッチおよび無線アクセスポイントを「スイッチ」と総称します。
AMF Security miniによる管理の対象となるAlliedWare Plusスイッチおよび無線アクセスポイントについての最新情報は、AMF Security miniおよび当該ネットワーク機器のコマンドリファレンス、セットアップガイドまたはリリースノートにて公開しております。
各製品のコマンドリファレンス、セットアップガイドおよびリリースノートは弊社ホームページにて公開、または保守契約者向けページに掲載されています。

設定例では、IPアドレス、ドメイン名、ログイン名、パスワードなどに具体的な文字列や値を使用していますが、これらは例として挙げただけの架空の存在です。実際に運用を行う場合は、お客様の環境におけるものをご使用ください。

また、本書の設定例はあくまでも説明のためのサンプルです。お客様の環境に適した設定を行う際の参考としてください。

最新情報

製品の出荷後は、弊社Webサイトでマニュアルなどの正誤情報や改版されたマニュアル、アップデートされたソフトウェアなどの最新の情報を公開しています。


ご注意

本書に関する著作権等の知的財産権は、アライドテレシス株式会社(弊社)の親会社であるアライドテレシスホールディングス株式会社が所有しています。
アライドテレシスホールディングス株式会社の同意を得ることなく、本書の全体または一部をコピーまたは転載しないでください。
弊社は、予告なく本書の全体または一部を修正・改訂することがあります。
弊社は改良のため製品の仕様を予告なく変更することがあります。

(C) 2020-2023 アライドテレシスホールディングス株式会社

商標について


AMF Security miniで使用しているソフトウェアについて


マニュアルバージョン

設定画面へのアクセス / 設定の開始

AMF Security miniを使用するための準備
AMF Security miniクライアント要件
設定画面へのログイン
タイムゾーンの設定

AMF Security miniを使用するための準備

AMF Security miniを使用するには、お使いのAlliedWare Plus機器のWeb GUIで、AMF Security miniアプリケーションインスタンスの初期設定(イメージ選択、IPアドレス設定など)が必要です。設定方法については、弊社ホームページに掲載されている「コマンドリファレンス」の「Web GUI」/「Vista Manager mini - AMF Security mini」をご参照ください。

AMF Security miniクライアント要件

AMF Security miniに対する設定は、WebブラウザーからGUI(Graphical User Interface)にアクセスして行います。
AMF Security miniは、下記のWebブラウザーでご使用ください。
Note
リリース済みの最新のバージョンをご利用ください。

設定画面へのログイン

AMF Security miniの設定画面にログインするには、次の手順に従ってください。
  1. Webブラウザーを起動し、AMF Security miniに設定されたIPアドレスを入力します。
    (ここでは 192.168.1.10 と仮定しています)
    https://192.168.1.10
    Note
    WebブラウザーとAMF Security miniとの間の通信は、HTTPSで行われます。
  2. AMF Security ログイン画面が表示されますので、「アカウント名」と「パスワード」を入力して、「ログイン」ボタンをクリックします。
    入力したパスワードは、「●」で表示されます。
    Note
    初期設定の「アカウント名」は「manager」、「パスワード」は「friend」です。

    Note
    セキュリティーの警告画面が表示された場合は、画面の指示に従ってサイトの閲覧を続行してください。
    なお、信頼できる認証局が発行したSSLサーバー証明書を取得している場合は、ログイン後、「システム設定」/「ネットワーク設定」画面または「AMF」/「AMF アプリケーションプロキシー 設定」画面の「SSL証明書」で、AMF Security miniにSSLサーバー証明書を登録することができます。
  3. AMF Security miniのログインに成功すると、「デバイス」/「接続中 デバイス一覧」画面が表示されます。

    Note
    各画面で何も操作しない状態が10分続くと自動的にログアウトされ、設定画面に操作を加えようとするとログイン画面が表示されます。
    AMF Security ログイン画面で「ログイン情報を保持する。」にチェックを入れると、ログインした状態を保持します。

タイムゾーンの設定

AMF Security miniは、お使いのAlliedWare Plus機器のシステム時刻を取得して使用しますが、タイムゾーン(時間帯)の設定を取得することはできません。そのため、例えば日本時間(JST: 協定世界時(UTC)より9時間早い)で使用するには、次の手順で設定してください。
Note
タイムゾーンの設定を変更するとAMF Security miniが再起動しますが、その後にAMF Securityログの時刻にタイムゾーンの設定を反映するためにAW+のWeb GUI / Vista Manager mini - AMF Security mini画面で、AMF Security miniインスタンスの再起動(停止と起動)が必要です。操作方法は、弊社ホームページに掲載されているAW+のコマンドリファレンスをご参照ください。

なお、以後タイムゾーンの設定は保持されます。
  1. 「システム設定」メニューをクリックし、「時刻設定」サブメニューをクリックします。

  2. 「システム設定」/「時刻設定」画面が表示されますので、タイムゾーン項目の「編集」ボタンをクリックします。

  3. 「タイムゾーン選択」ダイアログが表示されますので、ドロップダウンリストから「Asia/Tokyo」を選択して、「登録」ボタンをクリックします。

  4. メッセージが表示された後、AMF Security miniが再起動し、再度AMF Security ログイン画面が表示されます。
    ログイン後、「システム設定」/「時刻設定」画面が表示されます。

  5. AMF Securityログの時刻にタイムゾーンの設定を反映するために、AW+のWeb GUI / Vista Manager mini - AMF Security mini画面でAMF Security miniインスタンスの再起動(停止と起動)を行います。
    AMF Security miniインスタンスの操作方法は、弊社ホームページに掲載されているAW+のコマンドリファレンスをご参照ください。
タイムゾーンの設定は以上です。

設定画面へのアクセス / 設定画面の使い方

ナビゲーションメニュー
一覧の検索と並べ替え
表示件数
検索フォームを使用した絞り込み
ドロップダウンメニューを使用した絞り込み
並べ替え
並べ替えの順番
設定の適用
AMF Security miniで使用しているソフトウェアについて

設定画面の基本的な画面構成と操作方法を説明します。

ナビゲーションメニュー

設定画面の上部には、ナビゲーションメニューがあります。

各メニュー項目をクリックすると、その下にサブメニューが表示されます。サブメニューをクリックすると、設定画面が表示されます。

一覧の検索と並べ替え

次に示す設定画面には、一覧の表示項目の絞り込みや並べ替えを行うためのコントロールが用意されています。
設定画面ごとに、検索、絞り込み、並べ替えの対象となる項目を、次の表に示します。
表 1:検索・絞り込み・並べ替え対象項目
画面 項目 検索 絞り込み 並べ替え 備考
「デバイス」/「デバイス一覧」画面 デバイス ID  
タグ  
備考  
ポリシー数 × ×  
インターフェース数 × ×  
インターフェース:MAC アドレス × ×  一覧には表示されない。
インターフェース:名称 × ×  一覧には表示されない。
インターフェース:備考 × ×  一覧には表示されない。
「デバイス」/「MAC アドレス一覧」画面 MAC アドレス  
名称  
デバイス ID  
備考  
デバイス:タグ × ×  一覧には表示されない。
デバイス:備考 × ×  一覧には表示されない。
「デバイス」/「接続中 デバイス一覧」画面 MAC アドレス  検索対象は「mac=」以降の文字列、「ip=」以降の文字列、「vendor=」以降の文字列のみ。
デバイス ID ※1 ※2 ※1 検索にて「未登録」は対象外。未認証グループとして接続または検出されている場合は、検索対象は「group=」以降の文字列のみ。
※2 並べ替えは、「未登録」→「未認証グループID」→「空欄」→「デバイス ID」の順を昇順とする。
接続中スイッチ ※1 ※2 ※1 検索対象は、AMFノードでは「id=」以降の文字列と「port=」以降のカッコ内のスイッチポート番号の文字列、TQのAMFアプリケーションプロキシーでは「id=」以降の文字列、「ip=」以降のIPv4アドレスと「port=」以降の文字列。
※2 並べ替えの対象は、AMFノードでは「id=」以降の文字列のみ、TQのAMFアプリケーションプロキシーでは「id=」以降の文字列と「ip=」以降のIPv4アドレス。「port=」以降の文字列による並べ替えは対象外。
接続中ネットワーク ※1 ※2 ※1 検索対象は「vlan=」以降のVLAN IDと「id=」以降のネットワークIDの文字列のみ。「タグなし・接続なし」を除く。
※2 並べ替えは、「接続なし」→「空欄」→「vlan=タグなし」→「vlan=1~4094」の順を昇順とする。ネットワークIDによる並べ替えは対象外。
状況 ×  並べ替えは、「認証済み」→「遮断中」→「リンクダウン」→「隔離中」→「認証失敗」→「検出」→「IPフィルター」→「ログ」の順を昇順とする。
「グループ」/「未認証グループ一覧」画面 グループ ID  
有効 × ×  
備考  
ポリシー数 × ×  
「スイッチ」/「AMF メンバー 一覧」画面 名称  
アカウントグループ ID  
備考  
「スイッチ」/「接続中 AMF メンバー 一覧」画面 名称  
登録状況 × ×  
ドメイン名  
最終更新日時 × ×  
「ポリシー設定」/「ネットワーク一覧」画面 ネットワーク ID  
VLAN ID  
備考  
「ポリシー設定」/「ロケーション一覧」画面 ロケーション ID  
備考  
スイッチ数 × ×  
「ポリシー設定」/「スケジュール一覧」画面 スケジュール ID  
開始日時  
終了日時  
備考  
「ポリシー設定」/「アクション一覧」画面 アクション ID  
優先度  
条件 ×  検索対象は「mac=」「ip=」「device-name=」「tag=」「location=」「switch=」「network=」以降の文字列のみ。
アクション (OpenFlow,TQ/AMF) ※1 ※2 ※1 検索対象は「通過(許可) ->」「破棄(遮断) ->」「隔離 ->」以降の文字列のみ。後続のAMFアクションは検索対象外。
※2 並べ替えは、「通過(許可)」→「破棄(遮断)」→「隔離」→「ログ」の順を昇順とする。後続のAMFアクションによる並べ替えは対象外。
実行者  
原因  
「システム設定」/「アカウント一覧」画面 アカウント名  
アカウントグループ ID  
「システム設定」/「アカウントグループ一覧」画面 アカウントグループ ID  
備考  
「システム設定」/「アクションログ」画面 期間  
MAC アドレス  
デバイス IPv4 アドレス  
デバイスタグ  
アクションの実行者  
状況  

表示件数

一覧画面上部に、表示項目の範囲と全項目件数を表示します。また、1ページあたりの表示件数をドロップダウンメニューから変更することができます。

検索フォームを使用した絞り込み

検索フォームにキーワードを入力することで、表示項目を絞り込むことができます。
半角スペース区切りで複数のキーワードを入力すると、すべてのキーワードが該当する項目のみを表示します(AND検索)。
表示項目のうち、該当した部分が赤くハイライト表示されます。また、検索対象外の項目でも該当した部分は赤くハイライト表示されます。

ドロップダウンメニューを使用した絞り込み

「デバイス」/「接続中 デバイス一覧」画面では、ドロップダウンメニューを使用して、デバイスの「状況」に応じて表示項目を絞り込むこともできます。

表 2:状況ドロップダウンメニュー
選択肢 表示対象
全て 認証済み・遮断中・リンクダウン・IPフィルター・隔離中・認証失敗・検出の全てのデバイス
認証済み 登録されているデバイスのセキュリティーポリシーに一致、または未認証グループのセキュリティーポリシーに一致したデバイス
遮断中 外部システムからの指示や管理者の操作でネットワークから遮断されたデバイス
リンクダウン AMFアプリケーションプロキシー機能で、接続されているポートが無効化されたデバイス
IPフィルター AMFアプリケーションプロキシー機能で、通信をレイヤー3(IPレベル)で破棄されているデバイス
ログ アクションを適用せず情報を取得したデバイス
隔離中 外部システムからの指示や管理者の操作で隔離ネットワークに接続されたデバイス
認証失敗 デバイスが未登録、またはセキュリティーポリシーに適合しないため、認証に失敗したデバイス
隔離中 | 遮断中 | リンクダウン | IPフィルター | 認証失敗 隔離中・遮断中・リンクダウン・IPフィルター・認証失敗のデバイス
検出 未認証グループを用いた端末の検出によって検出されたデバイス

並べ替え

一覧の項目名の横のボタンをクリックすることで、選択した項目の順に並べ替えることができます。

並べ替えの順番

同じボタンをクリックするたびに、昇順→降順→初期状態の順に切り替えることができます。
並べ替え順の詳細については、設定画面へのアクセス「設定画面の使い方」/「一覧の検索と並べ替え」の「表 1:検索・絞り込み・並べ替え対象項目」をご参照ください。

設定の適用

各設定画面には「登録」ボタンがあります。各設定画面で設定内容を入力したら、画面を移動する前に必ず「登録」ボタンをクリックしてください。
「登録」ボタンをクリックすると、現在の設定画面における設定内容は直ちに適用されます。
Note
ステータスのみを表示する設定画面など、「登録」ボタンを持たない画面もあります。

AMF Security miniで使用しているソフトウェアについて

画面下部の「使用ソフトウェアについて」をクリックすると、AMF Security miniで使用しているソフトウェアの名前とライセンス情報を表示することができます。

設定画面へのアクセス / 設定の終了

すべての設定が終わったら画面右上の「ログアウト」メニューをクリックします。
設定画面からログアウトし、ログイン画面が表示されます。

Note
各画面で何も操作しない状態が10分続くと自動的にログアウトされ、設定画面に操作を加えようとするとログイン画面が表示されます。
AMF Security ログイン画面で「ログイン情報を保持する。」にチェックを入れると、ログインした状態を保持します。

クイックツアー / AMF Security miniについて

AMF Security miniの位置づけ
AMFアプリケーションプロキシー機能とは
AMF Security miniが管理する情報(AMFアプリケーションプロキシーホワイトリスト機能)
AMFマスター(プロキシーノード)、AMFメンバー(エッジノード)の設定
AMF Security miniの設定
AMFアプリケーションプロキシーによる遮断(AMFアプリケーションプロキシーブラックリスト機能)
AMF Security miniからプロキシーノードへの被疑端末情報の通知
AMFアクション
被疑端末の遮断解除
被疑端末の遮断ステータスの表示とメール送信
AMFマスター(プロキシーノード)、AMFメンバー(エッジノード)の設定
AMF Security miniの設定
TQのAMFアプリケーションプロキシー機能
対応製品と対応バージョン
TQのダイナミック VLAN使用時の動作
クリティカルモード
コントロール対象となるネットワーク機器
アプリケーション連携ソリューション

AMF Security miniの位置づけ

AMF-SEC(AMF-SECurity)は、ネットワーク運用管理の効率化とセキュリティー強化をSDN技術で実現するソリューションです。
AMF Security miniは、同ソリューションの中核をなすSDNコントローラーとして、弊社のAMF(アライドテレシスマネージメントフレームワーク)対応製品と各種ビジネス・セキュリティー関連アプリケーションとの連携を実現します。

AMFアプリケーションプロキシー機能とは

AMFアプリケーションプロキシー機能は、AMFメンバー(エッジノード)に接続された端末を、AMFマスター(プロキシーノード)がAMF Security miniに認証を行うことで通信制御を行います(AMFアプリケーションプロキシーホワイトリスト機能)。
また、AMF Security miniからプロキシーノードに被疑端末の情報を通知し、エッジノードで該当端末の通信遮断を行うことも可能です(AMFアプリケーションプロキシーブラックリスト機能)。
Note
・AMFアプリケーションプロキシーホワイトリスト機能およびブラックリスト機能
 プロキシーノードはエッジノードを兼ねることもできます(サポート機種のみ)。
 AMFコントローラーとの連携はできません。
 ホワイトリスト機能のみ、ブラックリスト機能のみ、双方を併用して使用することもできます。
AMFアプリケーションプロキシー機能を利用するには、AMF Security mini、プロキシーノード、エッジノードのそれぞれに設定が必要です。

AMF Security miniが管理する情報(AMFアプリケーションプロキシーホワイトリスト機能)

AMF Security miniは、登録されたデバイスのMACアドレス情報に基づき、管理下のAMFメンバーのポート認証機能を使用し、デバイスのネットワーク接続を一括して制御することができます。
AMFアプリケーションプロキシーホワイトリスト機能は、AMFメンバーに接続された端末を、AMFマスターがAMF Security mini(ホワイトリストサーバー)に認証を行うことで、AMF Security miniからAMF対応機器でのアクセス制御を可能にするAMF-SEC(AMF-SECurity)の連携機能です。
これらの条件を満たした場合には、VLAN IDによって定義された論理的な「ネットワーク」への接続ができるようになります。
これらの要素をセキュリティーポリシーと呼びます。
デバイスが持つMACアドレスインターフェースは、デバイスに割り当てられたセキュリティーポリシーをもとに接続・遮断・隔離といった管理を受けます。
デバイスには、複数のMACアドレスインターフェースを設定できます。
例えば、デバイスに無線インターフェースと有線インターフェースの2つのMACアドレスが登録されている場合、設定されたロケーション、スケジュールの条件を満たせば、どちらのインターフェースからでも同じネットワークへの接続が許可されます。
表 1:設定可能なセキュリティーポリシー(AMFアプリケーションプロキシーホワイトリスト)
デバイスが持つ管理情報
デバイス AMFメンバーに接続するネットワーク機器。
MACアドレス デバイスが持つインターフェースのMACアドレス。
(複数設定可能)
セキュリティーポリシー ネットワーク デバイスを接続するVLANセグメント(VLAN ID)。
ロケーション デバイスの接続を許可する物理的な場所、空間。
AMFメンバー ロケーションに所属するネットワーク機器。
スイッチポート デバイスの接続を許可するスイッチポート。
(複数設定可能)
スケジュール デバイスの接続を許可する期間(開始・終了日時)。
(複数設定可能)

AMFマスター(プロキシーノード)、AMFメンバー(エッジノード)の設定

管理するAMFノードで以下は必須の設定です。
詳細な設定については、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
なお、プロキシーノードとなるAlliedWare Plus機器の機種によっては、AMFアプリケーションプロキシー機能を利用するために、別途ライセンスが必要となる場合があります。

AMF Security miniの設定

AMFアプリケーションプロキシーホワイトリスト機能を利用するためには、AMF Security miniにAMFマスター(プロキシーノード)のIPアドレス、権限レベル15(特権レベル)のアカウントのユーザー名とパスワード、事前共有鍵(PSK)を設定する必要があります。
  1. 「AMF」/「AMF アプリケーションプロキシー 設定」画面を表示します。
  2. 「追加」ボタンをクリックします。
  3. 「IPv4 アドレス」に、AMFマスター(プロキシーノード)のIPアドレスを入力します。
  4. 「ユーザー名」、「パスワード」に、AMFマスター(プロキシーノード)に設定されている権限レベル15(特権レベル)のアカウントのユーザー名とパスワードを入力します。
  5. 「事前共有鍵(PSK)」にAMFマスター(プロキシーノード)の application-proxy whitelist serverコマンドのkeyパラメーターで設定した事前共有鍵を入力します。
  6. ダイアログ下部の「登録」ボタンをクリックします。
Note
本設定を行うと、AMFマスター(プロキシーノード)への定期問い合わせ(30秒間隔)を行うようになります。

AMFアプリケーションプロキシーによる遮断(AMFアプリケーションプロキシーブラックリスト機能)

AMF Security miniからプロキシーノードへの被疑端末情報の通知

AMF Security miniは、被疑端末を検出するセキュリティーソフトウェアや機器から情報を受信した際、または「ポリシー設定」/「アクション追加」画面でアクションを追加した際に、プロキシーノードに被疑端末の情報を通知します。この被疑端末の情報はAMF Security mini上に登録され、「ポリシー設定」/「アクション一覧」画面に表示されます。
なお、その情報を再度プロキシーノードに通知は行いません。
Note
被疑端末の情報を保持しているプロキシーノードが再起動した場合、被疑端末の情報はプロキシーノードから削除されます。
再起動後、AMF Security miniから被疑端末の情報の再通知はないため、プロキシーノードは被疑端末の情報を学習することはできません。
プロキシーノードに被疑端末の情報を学習させるためには、次の手順でAMF Security miniから手動で被疑端末の情報を通知してください。
1. 「ポリシー設定」/「アクション一覧」画面を開きます。
2. 「CSV にエクスポート」ボタンをクリックし、CSVファイルを保存します。
3. 「システム設定」/「システム情報」画面を開きます。
4. 認証データの「インポート」ボタンをクリックして、「認証データのアップロード」画面を開きます。
5. 「ファイルを選択」ボタンをクリックし、保存したCSVファイルを選択して、「登録」ボタンをクリックします。

AMFアクション

AMF Security miniは被疑端末の情報をプロキシーノードに通知する際に、通信遮断を指示するアクション(AMFアクション)を通知することができます。
AMF Security miniで設定するAMFアクションは次のとおりです。
「隔離」、「パケット破棄」、「リンクダウン」、「IPフィルター」、「ログ」を設定した場合は、エッジノード側に設定されたAMFアクションよりも優先して、これらのAMFアクションが実行されます。
「AMF 依存」を設定した場合は、AMF Security miniからAMFアクションは送信されず、エッジノード側で設定されたAMFアクションが実行されます。
Note
複数の外部連携アプリケーションを併用する場合など、AMFマスターに被疑デバイスの情報が複数送信されるようなケースでは同一のAMFアクションを設定してください。
外部連携アプリケーションのAMFアクションの設定は「システム設定」/「トラップ監視設定」画面の「ルール」で行います。
「ポリシー設定」/「アクション一覧」画面で既に登録されている被疑デバイスのAMFアクションを変更したい場合には、先に登録されているアクションを削除してから、新しいアクションを登録してください。
Note
ホワイトリストで許可された端末であっても、AMFアクションの対象となった場合、該当端末からの通信はアクションに従った処理になります。

被疑端末の遮断解除

被疑端末の遮断を解除(被疑端末の情報を削除)する場合には、「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除します。該当のアクションを削除すると、AMF Security miniはプロキシーノードに被疑端末情報を削除するよう通知します。
Note
プロキシーノード上でコマンドを実行することで遮断を解除することもできますが、その場合、プロキシーノードからAMF Security miniに被疑デバイス情報を削除する指示は出しません。そのため、AMF Security mini上では被疑デバイス情報を保持したままになりますので、必要に応じて「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除してください。
プロキシーノード上で実行するコマンドについては、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。

被疑端末の遮断ステータスの表示とメール送信

エッジノードでAMFアクションが適用された被疑端末のステータスは、「デバイス」/「接続中 デバイス一覧」画面に表示されます。
これは、AMF Security miniが30秒間隔で定期的にプロキシーノードに問い合わせを行って情報を取得します。
また、「システム設定」/「メール通知設定」画面でAMF Security miniのメール通知設定を行うことで、メールを送信することもできます。
Note
AMF Security miniがプロキシーノードに問い合わせを行った際に、被疑端末の情報に更新(別のスイッチに移動後に再度遮断等)があった場合は、「デバイス」/「接続中 デバイス一覧」画面に表示した情報を更新し、メール送信も行われます。

AMFマスター(プロキシーノード)、AMFメンバー(エッジノード)の設定

管理するAMFノードで以下は必須の設定です。
詳細な設定については、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
なお、プロキシーノードとなるAlliedWare Plus機器の機種によっては、AMFアプリケーションプロキシー機能を利用するために、別途ライセンスが必要となる場合があります。

AMF Security miniの設定

AMFアプリケーションプロキシーブラックリスト機能を利用するためには、AMF Security miniにAMFマスター(プロキシーノード)のIPアドレス、権限レベル15(特権レベル)のアカウントのユーザー名とパスワードを設定する必要があります。
  1. 「AMF」/「AMF アプリケーションプロキシー 設定」画面を表示します。
  2. 「追加」ボタンをクリックします。
  3. 「IPv4 アドレス」に、AMFマスター(プロキシーノード)のIPアドレスを入力します。
  4. 「ユーザー名」、「パスワード」に、AMFマスター(プロキシーノード)に設定されている権限レベル15(特権レベル)のアカウントのユーザー名とパスワードを入力します。
  5. ダイアログ下部の「登録」ボタンをクリックします。
Note
本設定を行うと、AMFマスター(プロキシーノード)への定期問い合わせ(30秒間隔)を行うようになります。
AMF Security miniと連携するアプリケーションの設定については、「システム設定」/「トラップ監視設定」をご参照ください。

TQのAMFアプリケーションプロキシー機能

TQのAMFアプリケーションプロキシー機能は、TQに接続された無線端末をAMF Security miniが認証を行うことで通信制御を行います(AMFアプリケーションプロキシーホワイトリスト機能)。
また、連携する外部アプリケーションから被疑端末のIPアドレスをAMF Security miniが受け取ると、そのIPアドレスをもとにAT-Vista Manager EXに端末のMACアドレスの問い合わせを行い、AWCプラグインが保持しているMACアドレスを取得して端末の通信制御が行われます(AMFアプリケーションプロキシーブラックリスト機能)。
サポートするアクションは、パケット破棄、隔離、ログ(該当デバイスの通信制御は行わずログの出力のみ)です。
Note
TQに対するAMFアプリケーションプロキシー機能の設定は、AWCプラグインから行います(TQの管理画面からは行えません)。
Note
AT-VST-APL/AT-VST-VRT版のAT-Vista Manager EXを使用する場合、AMF Security miniは直接AWCプラグインに問い合わせを行います。
Note
無線端末が接続した際の認証は、「AMFアプリケーションプロキシー(AMF Security mini)による認証」→「VAP(マルチSSID)設定のセキュリティーで設定されている認証」の順で行われます。双方の認証が成功しないと無線端末の接続は許可されません。
Note
TQのAMFアプリケーションプロキシー機能では、以下の項目は未サポートです。
・ロケーションポリシー
・スケジュールポリシー
・セッションタイムアウト
・TQ上の認証情報の取得
・端末のIPアドレス表示
・デバイスの探索
・アカウントグループ
Note
接続中のAMFマスターとの接続がいったん切断される設定を行うと、TQのAMFアプリケーションプロキシー機能で既に管理されているデバイス(「デバイス」/「接続中 デバイス一覧」画面に表示されているデバイス)が存在する場合、そのデバイスの認証、およびアクションは適用されたままになりますが、「デバイス」/「接続中 デバイス一覧」画面の表示からは削除されます。

AMF Security miniの設定・操作については以下が該当します。

「システム設定」/「ネットワーク設定」画面
  WebサーバーのSSL証明書のアップロード・削除
「システム設定」/「ログ設定」画面
「システム設定」/「時刻設定」画面
「システム設定」/「システム情報」画面
  ホスト名
  システム設定 - インポート
  システム設定 - リセット
  サービス - 全て再起動
「システム設定」/「トラップ監視設定」画面
  デバイスルックアップ
「システム設定」/「メール通知設定」画面
「システム設定」/「アクションログ」画面
  アクションログのクリア
「AMF」/「AMF アプリケーションプロキシー 設定」画面
  AMFマスター
  ホワイトリスト設定
  WebサーバーのSSL証明書のアップロード・削除
「AMF」/「TQ設定」画面

また、AW+のWeb GUI / Vista Manager mini - AMF Security mini画面で、AMF Security miniインスタンスの再起動(停止→起動)、AW+の再起動も該当します。

対応製品と対応バージョン

本機能を使用するには、以下の製品と対応バージョンが必要です。
表 2:AT-TQ5403/AT-TQm5403/AT-TQ5403e
対応製品 対応バージョン
AT-TQ5403/AT-TQm5403/AT-TQ5403e 6.0.1-6.1以降
AT-Vista Manager EX(AWCプラグイン) 3.6.0(3.6.0)以降
AMF Security mini 2.2.1以降
表 3:AT-TQ6602
対応製品 対応バージョン
AT-TQ6602 7.0.1-1.1以降
AT-Vista Manager EX(AWCプラグイン) 3.7.0(3.7.0)以降
AMF Security mini 2.2.1以降
表 4:AT-TQ6602 GEN2/AT-TQm6602 GEN2/AT-TQ6702 GEN2/AT-TQm6702 GEN2
対応製品 対応バージョン
AT-TQ6602 GEN2/AT-TQm6602 GEN2/AT-TQ6702 GEN2/AT-TQm6702 GEN2 8.0.1-1.1以降
AT-Vista Manager EX(AWCプラグイン) 3.9.0(3.9.0)以降
AMF Security mini 2.2.1以降

TQのダイナミック VLAN使用時の動作

TQのAMFアプリケーションプロキシー機能は、TQのVAP(マルチSSID)設定のセキュリティーでWPA Enterpriseを選択した場合、ダイナミック VLANの無効・有効によって認証時に無線端末に付与するVLAN IDが異なります。
ダイナミック VLAN無効時:
無線端末の認証をAMF Securityで行い、AMF Security miniからVLAN IDが付与されている場合、無線端末の所属VLANはAMF Security miniのVLAN IDとなります。AMF Security miniからVLAN IDが付与されていない場合、無線端末はVAPのVLAN IDに所属します。
Note
AMF Security miniからVLAN IDが付与されない場合のAMF Security miniの設定は以下のとおりです。
・ポリシー設定(隔離VLAN ID)でVLAN ID 0のネットワークを設定
・ネットワークを設定しない
ダイナミック VLAN有効時:
無線端末の認証をAMF Security miniで行い、その後にWPA Enterprise側のRADIUSサーバーで認証を行います。無線端末が所属するVLANは以下のとおりです。
ただし、AMF Security miniから隔離VLANのVLAN IDが付与されている場合は、ダイナミックVLANのVLAN IDの有無にかかわらず、AMF Securityから付与される隔離VLAN IDに所属します。
表 5:無線端末が所属するVLAN
AMF Security mini付与VLAN ID RADIUSサーバー付与VLAN ID 無線端末所属VLAN
あり あり RADIUSサーバー付与VLAN ID
なし なし VAP VLAN ID
なし あり RADIUSサーバー付与VLAN ID
あり なし AMF Security付与VLAN ID
Note
AMF Security miniでVLAN IDなしの設定は以下のとおりです。
・ポリシー設定(隔離VLAN ID)でVLAN ID 0のネットワークを設定
・ネットワークを設定しない
■ TQにVLAN ID 1が付与された場合の動作
TQにVLAN ID 1が付与された場合の動作は、TQの管理VLANタグの設定によって異なります
詳細は、TQのリファレンスマニュアルをご参照ください。

クリティカルモード

クリティカルモードは、AMF Security miniに電源断などの障害が発生した場合に、新規で接続する無線端末の処理を選択できます。
無効:
新規で接続する無線端末は、AMF Security miniによる認証ができないため接続がすべて拒否されます。
なお、既に接続していた無線端末はそのまま通信できます。
有効:
新規で接続する無線端末をAMF Security miniの認証なしで許可します。
通常は、AMF Security miniの認証が成功してからVAP(マルチSSID)設定のセキュリティーで設定されている認証が行われますが、AMF Security miniによる認証を行わずにVAP(マルチSSID)設定のセキュリティーで設定されている認証に進みます。
無線端末が所属するVLANは、VAP(マルチSSID)設定のセキュリティーで設定されている認証が成功した際に決定したVLANになります。

コントロール対象となるネットワーク機器

AMF Security miniによる管理の対象となるAlliedWare Plusスイッチおよび無線LANアクセスポイントについての最新情報は、AMF Security miniおよび当該ネットワーク機器のリリースノートにて公開しております。
各製品のコマンドリファレンスおよびリリースノートは弊社ホームページにて公開、または保守契約者向けページに掲載されています。
http://www.allied-telesis.co.jp/

アプリケーション連携ソリューション

AMF Security miniは、脅威検出、デバイス管理、人事情報管理など、各種業務アプリケーションとの連携によって、ネットワーク運用の効率化とセキュリティー強化を図ることができます。
連携するサービスやアプリケーションの最新情報については、弊社「AMF-SEC テクノロジー パートナープログラム」を通じて提供されます。パートナープログラムの詳細は、弊社ホームページより「AMF-SEC テクノロジー パートナープログラム」をご覧ください。

クイックツアー / 手動によるデバイスの追加

AMFメンバーの登録
ネットワークの登録
ロケーションの登録
スケジュールの登録
デバイスの登録

ここでは、AMF Security miniによる端末管理の基本となる、手動によるデバイスの登録手順を説明します。
手動によってデバイスを登録する場合は、事前に、登録するデバイスが持つインターフェースのMACアドレスを確認しておく必要があります。

AMFメンバーの登録

「AMF」/「AMF アプリケーションプロキシー 設定」画面でAMFマスターを登録すると、AMF Security miniに接続中のAMFメンバーの状況を、「スイッチ」/「接続中 AMF メンバー 一覧」画面で確認できます。
  1. 「スイッチ」/「接続中 AMF メンバー 一覧」画面に移動します。

  2. AMF Security miniに登録する前の時点では、登録状況は未登録と表示され、「登録」ボタンが表示されます。「登録」ボタンをクリックし、「スイッチ」/「AMF メンバー 追加」画面を表示します。

  3. 備考を設定します。
    Note
    所属させるアカウントグループIDは事前に設定が必要です。この章では、アカウントグループIDは設定しません。

    ここでは、例として、次の情報を設定します。
    表 1:設定データ
    項目名 設定する情報 説明
    名称(必須項目) AMF-Member(変更なし) AMFメンバーの名称です。
    「スイッチ」/「AMF メンバー 一覧」画面で、既に使用されているスイッチIDと名称を設定することはできません。
    名称は最大255文字で、使用可能な文字は半角英数字とハイフン(-)、アンダースコア(_)のみです。
    アカウントグループ ID (設定なし) AMFメンバーが所属するアカウントグループIDを選択します。
    備考 #1Fスイッチ AMFメンバーの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。
    Note
    AMFメンバーの管理はAMFメンバーのホスト名で行うため、名称はAMFメンバーのホスト名と同一にしてください。
  4. 「登録」ボタンをクリックします。
    AMFメンバーが登録されると、新規に追加した情報が「スイッチ」/「AMF メンバー 一覧」画面に表示されます。

ネットワークの登録

接続先となるネットワークは、「ポリシー設定」/「ネットワーク追加」画面で登録することができます。
  1. 「ポリシー設定」/「ネットワーク一覧」画面に移動します。

    この画面には、AMF Security miniに登録されているネットワークの一覧が表示されます。この時点ではネットワークは登録されていません。
  2. 「ポリシー設定」/「ネットワーク一覧」画面の右上の「ネットワーク追加」ボタンをクリックし、「ポリシー設定」/「ネットワーク追加」画面に移動します。

    この画面では、ネットワークの名前となるネットワークIDと、ネットワークに割り当てるVLAN IDが設定できます。
    接続先ネットワークを設定することにより、接続許可デバイスが接続されるVLANセグメントを制御できます。VLANセグメントへの接続制御は、接続許可デバイスが送信したパケットにVLANタグを付加することにより実現します。
  3. 登録するネットワークの情報を入力します。

    ここでは、ネットワーク「営業部」を登録する例として、次の情報を入力します。
    表 2:設定データ
    項目名 設定する情報 説明
    ネットワーク ID(必須項目) 営業部 ネットワークの名称です。
    既に使用されているネットワークIDを設定することはできません。
    ネットワークIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    VLAN ID(必須項目) 123 ネットワークのVLAN IDを設定します。既に登録済みのVLAN IDを別のネットワークに割り当てることはできません。
    VLAN IDに0を設定するとVLANタグを付与しません。これはネットワーク設定を行わない状態と同じ動作になります。
    VLAN IDの設定範囲は0~4094です。
    備考 営業ネットワーク このネットワークの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。
  4. 「登録」ボタンをクリックします。
    ネットワークが登録されると、新規に追加した情報が「ポリシー設定」/「ネットワーク一覧」画面に表示されます。

ロケーションの登録

AMF Security miniでは、デバイスがネットワークに接続できる物理的な場所をロケーションと呼びます。
ロケーションは、「ポリシー設定」/「ロケーション追加」画面から登録することができます。
  1. 「ポリシー設定」/「ロケーション一覧」画面に移動します。

    この画面には、AMF Security miniに登録されているロケーションの一覧が表示されます。この時点ではロケーションは登録されていません。
  2. 「ポリシー設定」/「ロケーション一覧」画面の右上の「ロケーション追加」ボタンをクリックし、「ポリシー設定」/「ロケーション追加」画面に移動します。

    ロケーションには、その名前となるロケーションIDと、そのロケーションに設置されているAMFメンバーを選択し、登録することができます。
    ロケーションを設定することにより、デバイスが接続可能なAMFメンバーを、オフィスのフロアや会議室など場所単位で制御することができます。
  3. 登録するロケーションの情報を入力します。

    ここでは、ロケーション「1F」を登録する例として、次の情報を入力します。
    表 3:設定データ
    項目名 設定する情報 説明
    ロケーション ID(必須項目) 1F ロケーションの名称です。
    既に使用されているロケーションIDを設定することはできません。
    ロケーションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    備考 1Fエリア このロケーションの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。
  4. 「OpenFlow スイッチ / AMF メンバー」の「選択」ボタンをクリックします。
    「ポリシー設定」/「OpenFlow スイッチ / AMF メンバー」ダイアログに、先ほどの「AMFメンバーの登録」の手順で登録したAMFメンバーが一覧表示されます。
    既に登録されている「AMF-Member」が、物理的なロケーション「1F」に設置されているものとして、「AMF-Member」の行の左端にあるチェックボックスにチェックを入れます。

  5. ダイアログ下部の「登録」ボタンをクリックします。
    「ポリシー設定」/「ロケーション追加」画面の「OpenFlow スイッチ / AMF メンバー」に、選択された「AMF-Member」が表示されます。

  6. 「登録」ボタンをクリックします。
    ロケーションが登録されると、新規に追加した情報が「ポリシー設定」/「ロケーション一覧」画面に表示されます。

スケジュールの登録

「ポリシー設定」/「スケジュール追加」画面から、スケジュールの登録を行います。
  1. 「ポリシー設定」/「スケジュール一覧」画面に移動します。

    この画面には、AMF Security miniに登録されているスケジュールの一覧が表示されます。この時点ではスケジュールは登録されていません。
  2. 「ポリシー設定」/「スケジュール一覧」画面の右上の「スケジュール追加」ボタンをクリックし、「ポリシー設定」/「スケジュール追加」画面に移動します。

    スケジュールを設定することにより、デバイスが接続可能な期間を制御することができます。開始日時、終了日時を設定しない場合、制限がないものとして扱われます。
  3. 登録するスケジュールの情報を入力します。

    ここでは、スケジュール「3月イベント」を登録する例として、次の情報を入力します。
    表 4:設定データ
    項目名 設定する情報 説明
    スケジュール ID(必須項目) 3月イベント スケジュールの名称です。
    既に使用されているスケジュールIDを設定することはできません。
    スケジュールIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    開始日時 2020-03-01 00:00:00 デバイスがネットワークに接続可能になる日時を設定します。
    カレンダーコントロールからの入力、または手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
    終了日時 (空欄) デバイスがネットワークに接続不可能になる日時を設定します。
    カレンダーコントロールからの入力、または手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
    備考 3月営業会議 このスケジュールの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。
    終了日時が設定されていない場合、このスケジュールは、開始日時以降、無期限に有効となります。
  4. 「登録」ボタンをクリックします。
    スケジュールが登録されると、新規に追加した情報が「ポリシー設定」/「スケジュール一覧」画面に表示されます。

デバイスの登録

AMF Security miniは、管理するネットワークに接続可能なデバイスを登録することができます。
デバイスは「デバイス」/「デバイス追加」画面で登録することができます。
Note
セキュリティーポリシーを空欄にしたままデバイスを登録すると、デバイスは一時的にタグなしVLANに接続されます。既に利用者に配備済みのデバイスを登録する場合は、本ページに記載するように、デバイス情報の入力からセキュリティーポリシーの適用までを、一度に設定することをおすすめします。
  1. 「デバイス」/「デバイス一覧」画面に移動します。

    この画面には、AMF Security miniに登録されているデバイスの一覧が表示されます。この時点ではデバイスは登録されていません。
  2. 「デバイス」/「デバイス一覧」画面の右上の「デバイス追加」ボタンをクリックし、「デバイス」/「デバイス追加」画面に移動します。

    この画面では、新規デバイスのデバイスID、そして必要な場合にはタグと備考を登録することができます。
  3. 登録するデバイスの情報を入力します。

    ここでは、例として、次の情報を入力します。
    表 5:設定データ
    項目名 設定する情報 説明
    デバイス ID(必須項目) Device_1 AMF Security miniに登録するデバイスのIDです。
    既に使用されているデバイスIDを設定することはできません。
    デバイスIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    タグ User_A デバイスIDとは別に、管理者がデバイスを識別しやすくするための名前として、タグを入力します(デバイスの利用者の名前など)。
    タグは最大255文字で、英数字、記号以外に日本語も使用できます。
    備考 営業部所属 登録するデバイスに対して追加の説明やコメントがある場合に登録します。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。
  4. デバイスが持つインターフェースのMACアドレスを登録します。AMF Security miniは、登録されていないMACアドレスからのネットワーク接続をすべて拒否します。
    「インターフェース」欄の「追加」ボタンをクリックして、「デバイス」/「インターフェース編集」ダイアログを表示します。

    Note
    登録されていないデバイスに対して一時利用を許可するVLANセグメントを設定することもできます。この場合、別途「グループ」/「未認証グループ追加」画面で未認証グループの設定を行う必要があります。
  5. インターフェースのMACアドレスと名称を登録します。

  6. 「登録」ボタンをクリックします。
    「デバイス」/「デバイス追加」画面の「インターフェース」一覧に、設定したインターフェースのMACアドレスが表示されます。

  7. デバイスにセキュリティーポリシーを適用します。
    「ポリシー」欄の「追加」ボタンをクリックして、「デバイス」/「ポリシー編集」ダイアログを表示します。

    各デバイスには、接続が許可されるネットワーク、ロケーション(場所)、スケジュール(期間)といったセキュリティーポリシーを設定します。
    セキュリティーポリシーを設定しない場合、そのユーザーが所有するデバイスは、タグなしVLAN(VLANなしのネットワーク)に対し、すべての場所から常に接続可能になります。
    Note
    AMFメンバーに設定されているVLANにアクセス可能な場合、スイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。
  8. セキュリティーポリシーの優先度を0~255の数字で入力します。
    複数のセキュリティーポリシーが設定されている場合は、最も優先度の値が小さいセキュリティーポリシーから順に一致するかどうかの判定が行われます。
    この例では、セキュリティーポリシーの優先度を10に設定します。
  9. 「ネットワーク」、「ロケーション」、「スケジュール」のドロップダウンリストに、先ほど登録した情報が一覧されています。ドロップダウンリストから、対象デバイスに割り当てるセキュリティーポリシーを選択します。
    ドロップダウンリストには、登録されたネットワーク、ロケーション、スケジュールのうち100件までが表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列を含むセキュリティーポリシーが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から対象とするセキュリティーポリシーをクリックします。
    この例では、ロケーション「1F」から、スケジュール「3月イベント」を満たす日時にアクセスした場合、ネットワーク「営業部」への接続が許可されます。
    この時点で、ネットワーク、ロケーション、スケジュールとも、1件ずつしか登録されていないため絞り込みは不要です。それぞれのドロップダウンリストに表示されたセキュリティーポリシーをクリックして選択します。

  10. ダイアログ下部の「登録」ボタンをクリックします。
    「デバイス」/「デバイス一覧」画面の「ポリシー」一覧に、設定したセキュリティーポリシーが表示されます。

  11. 「登録」ボタンをクリックします。
    デバイスが登録されると、新規に追加した情報が「デバイス」/「デバイス一覧」画面に表示されます。

基本的な設定の流れは以上です。

クイックツアー / 未認証グループによるゲストネットワークの提供

未認証グループとは
複数の未認証グループ登録時の判定順について
未認証グループの追加
AMFメンバーの登録
ネットワークの登録
ロケーションの登録
スケジュールの登録
未認証グループの登録

ここでは、AMF Security miniに登録されていないデバイスに対して、特定のセキュリティーポリシーに従って、部分的なネットワークの利用を許可する方法を説明します。
AMF Security miniに登録されていないデバイスに対してネットワークサービスを提供するには、未認証グループを設定します。

未認証グループとは

通常の認証に失敗したデバイスのうち、特定のロケーションおよびスケジュール条件に一致するものを未認証グループと呼び、専用のネットワークに接続します。
通常の認証に失敗したデバイスとは、次のようなものを指します。
未認証グループをネットワークに接続するにあたって、接続を許可するロケーションやスケジュールを設定することができます。
ロケーションとスケジュールの両方が設定されている場合は、両方の条件を満たすデバイスのみが専用ネットワークに接続できます。
デバイスが未認証グループとしてネットワークに接続している状態で、認証済みデバイスとしてのセキュリティーポリシーを満たす状態(スケジュールの開始時刻になるなど)になった場合、認証済みデバイスのネットワークに自動的に切り替わります。
ここでは、次のようなセキュリティーポリシーが設定されている場合を例として説明します。
表 1:デバイスに設定されているセキュリティーポリシー
スケジュール開始日時 スケジュール終了日時 ネットワーク
20XX-04-01 00:00:00 20XX-09-30 23:59:59 VLAN10
表 2:未認証グループに設定されているセキュリティーポリシー
スケジュール開始日時 スケジュール終了日時 ネットワーク
設定なし 設定なし VLAN20
デバイスが「20XX-04-01 10:00:00」に接続する場合、AMFメンバーには該当のデバイスのパケット制御フローが存在しません。この場合は、デバイスが接続されると認証が行われ、通常のデバイスのセキュリティーポリシーに一致するため、デバイスはVLAN10のネットワークに割り当てられます。
仮に、デバイスが「20XX-04-01 00:00:00」より前(例えば20XX-03-30 10:00:00)に接続すると、デバイスに設定されているセキュリティーポリシーには一致せず、未認証グループに設定されているセキュリティーポリシーに一致するため、デバイスはVLAN20のネットワークに割り当てられます。
その後、時間が経過して「20XX-04-01 00:00:00」になると、通常のデバイスに設定されているセキュリティーポリシーに一致するようになるため、デバイスはVLAN10のネットワークに割り当てられます。

複数の未認証グループ登録時の判定順について

複数の未認証グループが登録されており、その中にポリシーなしのものがある場合はその未認証グループは判定の対象になりませんのでご注意ください。ポリシーなし(ネットワーク、ロケーション、スケジュール)のものも判定の対象に含める場合には、優先度のみのポリシーを設定してください。
なお、未認証グループが1つでポリシーを登録する場合には、そのポリシーの優先度は任意の値を設定してください。また未認証グループが1つでポリシーが不要の場合は、ポリシーを設定する必要はありません(優先度のみのポリシーも不要です)。
上記は検出の未認証グループ(「端末の検出のみを行います。」チェックボックスにチェックが入っている場合)についても当てはまります。

未認証グループの追加

ここでは、クイックツアー「手動によるデバイスの追加」/「AMFメンバーの登録」の手順に従った後、AMFメンバーとして「AMF-Member_2」を追加し、所定の期間中にこのAMFメンバーを介して接続したデバイスに対して、ゲストネットワークを提供する例を考えます。

AMFメンバーの登録

AMFメンバーとしてホスト名「AMF-Member_2」を登録します。
  1. 「スイッチ」/「接続中 AMF メンバー 一覧」画面に移動します。

  2. AMF Security miniに登録する前の時点では、登録状況は未登録と表示され、「登録」ボタンが表示されます。
    名称に「AMF-Member_2」と表示されたAMFメンバーの登録状況欄の「登録」ボタンをクリックし、「スイッチ」/「AMF メンバー 追加」画面を表示します。

  3. 備考を設定します。
    Note
    所属させるアカウントグループIDは事前に設定が必要です。この章では、アカウントグループIDは設定しません。

    ここでは、例として、次の情報を設定します。
    表 3:設定データ
    項目名 設定する情報 説明
    名称(必須項目) AMF-Member_2(変更なし) AMFメンバーの名称です。
    「スイッチ」/「AMF メンバー 一覧」画面で、既に使用されているスイッチIDと名称を設定することはできません。
    名称は最大255文字で、使用可能な文字は半角英数字とハイフン(-)、アンダースコア(_)のみです。
    アカウントグループ ID (設定なし) AMFメンバーが所属するアカウントグループIDを選択します。
    備考 #1Fスイッチ AMFメンバーの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。
    Note
    AMFメンバーの管理はAMFメンバーのホスト名で行うため、名称はAMFメンバーのホスト名と同一にしてください。
  4. 「登録」ボタンをクリックします。
    AMFメンバーが登録されると、新規に追加した情報が「スイッチ」/「AMF メンバー 一覧」画面に表示されます。

ネットワークの登録

ゲストネットワークを他の業務ネットワークから切り離すため、ゲストネットワーク用のネットワークを登録します。
  1. 「ポリシー設定」/「ネットワーク一覧」画面に移動します。

    この画面には、AMF Security miniに登録されているネットワークの一覧が表示されます。
    この時点ではネットワーク「営業部」(vlan123)が登録されています。
  2. 「ポリシー設定」/「ネットワーク一覧」画面の右上の「ネットワーク追加」ボタンをクリックし、「ポリシー設定」/「ネットワーク追加」画面に移動します。

    この画面では、ネットワークの名前となるネットワークIDと、ネットワークに割り当てるVLAN IDが設定できます。
    接続先ネットワークを設定することにより接続許可デバイスが接続されるVLANセグメントを制御できます。VLANセグメントへの接続制御は、接続許可デバイスが送信したパケットにVLANタグを付加することにより実現します。
  3. 登録するネットワークの情報を入力します。

    ここでは、ネットワーク「ゲストネットワーク」を登録する例として、次の情報を入力します。
    表 4:設定データ
    項目名 設定する情報 説明
    ネットワーク ID(必須項目) 来客用 ネットワークの名称です。
    既に使用されているネットワークIDを設定することはできません。
    ネットワークIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    VLAN ID(必須項目) 30 ネットワークのVLAN IDを設定します。既に登録済みのVLAN IDを別のネットワークに割り当てることはできません。
    VLAN IDに0を設定するとVLANタグを付与しません。これはネットワーク設定を行わない状態と同じ動作になります。
    VLAN IDの設定範囲は0~4094です。
    備考 ゲストネットワーク このネットワークの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。
  4. 「登録」ボタンをクリックします。
    ネットワークが登録されると、新規に追加した情報が「ポリシー設定」/「ネットワーク一覧」画面に表示されます。

ロケーションの登録

AMFメンバーを設置しているロケーションを設定します。
ロケーションは、「ポリシー設定」/「ロケーション追加」画面から登録することができます。
今回は、新規ロケーション「1Fカンファレンスルーム」に対して、AMFメンバー「AMF-Member_2」を追加します。
  1. 「ポリシー設定」/「ロケーション一覧」画面に移動します。

    この画面には、AMF Security miniに登録されているロケーションの一覧が表示されます。この時点ではロケーション「1F」のみが登録されています。
  2. 「ポリシー設定」/「ロケーション一覧」画面の右上の「ロケーション追加」ボタンをクリックし、「ポリシー設定」/「ロケーション追加」画面に移動します。

  3. 登録するロケーションの情報を入力します。

    ここでは、ロケーション「1Fカンファレンスルーム」を登録する例として、次の情報を入力します。
    表 5:設定データ
    項目名 設定する情報 説明
    ロケーション ID(必須項目) 1Fカンファレンスルーム ロケーションの名称です。
    既に使用されているロケーションIDを設定することはできません。
    ロケーションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    備考 1Fカンファレンスルーム このロケーションの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。
  4. 「OpenFlow スイッチ / AMF メンバー」の「選択」ボタンをクリックします。
    「ポリシー設定」/「OpenFlow スイッチ / AMF メンバー」ダイアログに、登録済みのAMFメンバー「AMF-Member_2」が一覧表示されます。
    このうち「AMF-Member_2」が物理的なロケーション「1Fカンファレンスルーム」に設置されているものとして、「AMF-Member_2」の行の左端にあるチェックボックスにチェックを付けます。

  5. ダイアログ下部の「登録」ボタンをクリックします。
    「ポリシー設定」/「ロケーション追加」画面の「OpenFlow スイッチ / AMF メンバー」に、選択されたAMFメンバー「AMF-Member_2」が表示されます。

  6. 「登録」ボタンをクリックします。
    ロケーションが登録されると、新規に追加した情報が「ポリシー設定」/「ロケーション一覧」画面に表示されます。

スケジュールの登録

ゲストネットワークを提供する期間をスケジュールとして登録します。スケジュールを指定することで、この期間に限り、AMF Security miniのデバイス認証データに登録のないMACアドレスからの接続を許可することができます。
  1. 「ポリシー設定」/「スケジュール一覧」画面に移動します。

    この画面には、AMF Security miniに登録されているスケジュールの一覧が表示されます。
    この時点ではスケジュール「3月イベント」が登録されています。
  2. 「ポリシー設定」/「スケジュール一覧」画面の右上の「スケジュール追加」ボタンをクリックし、「ポリシー設定」/「スケジュール追加」画面に移動します。

    スケジュールを設定することにより、デバイスが接続可能な期間を制御することができます。開始日時、終了日時を設定しない場合、制限がないものとして扱われます。
  3. 登録するスケジュールの情報を入力します。

    ここでは、スケジュール「10月イベント」を登録する例として、次の情報を入力します。
    表 6:設定データ
    項目名 設定する情報 説明
    スケジュール ID(必須項目) 10月イベント スケジュールの名称です。
    既に使用されているスケジュールIDを設定することはできません。
    スケジュールIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    開始日時 2020-10-10 00:00:00 デバイスがネットワークに接続可能になる日時を設定します。
    カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
    終了日時 2020-10-31 00:00:00 デバイスがネットワークに接続不可能になる日時を設定します。
    カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
    備考 (空欄) このスケジュールの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。
  4. 「登録」ボタンをクリックします。
    スケジュールが登録されると、新規に追加した情報が「ポリシー設定」/「スケジュール一覧」画面に表示されます。

未認証グループの登録

設定したセキュリティーポリシーに基づき、未認証グループを作成します。
  1. 「グループ」/「未認証グループ一覧」画面を表示します。

  2. 画面右上の「未認証グループ追加」ボタンをクリックし、「グループ」/「未認証グループ追加」画面を表示します。

  3. 「有効」チェックボックスにチェックが入っていることを確認します。
  4. 未認証グループのグループID、備考を入力します。
    この例では、グループIDを「イベント来場者用」とし、備考は空欄とします。

  5. 「端末の検出のみを行います。」チェックボックスにチェックが入っていないことを確認します。
    「端末の検出のみを行います。」チェックボックスにチェックが入っていると、未認証グループのセキュリティーポリシーに一致したMACアドレスは検出のみを行われ、ネットワークに接続するためのフローは作成されません。
  6. ポリシーの「追加」ボタンをクリックして、「グループ」/「ポリシー編集」ダイアログを表示します。

  7. セキュリティーポリシーの優先度を設定します。
    ここでは、優先度を「30」に設定します。
  8. 未認証グループに適用するネットワークを設定します。
    ここでは、ネットワークに「来客用」を指定します。
  9. デバイスの検出条件となるセキュリティーポリシーを設定します。
    ここでは、ロケーションに「1Fカンファレンスルーム」を、スケジュールに「10月イベント」を指定します。

  10. 「登録」ボタンをクリックして、「グループ」/「未認証グループ追加」画面に戻ります。
    「グループ」/「未認証グループ追加」画面のポリシー欄に、ただ今作成したセキュリティーポリシーが表示されます。

  11. 「登録」ボタンをクリックして、「グループ」/「未認証グループ一覧」画面に戻ります。
    以上の設定で、AMF Security miniのデバイス認証データに登録されていないMACアドレスのうち、スケジュールに指定された2020/10/10~2020/10/31の間に「1Fカンファレンスルーム」の「AMF-Member_2」に接続したものを、未認証グループ「イベント来場者用」として、ネットワーク「来客用」(vlan30)に接続するようになります。

  12. 未認証グループに接続しているデバイスを確認するには、「デバイス」/「接続中 デバイス一覧」画面を表示します。
    AMF Security mini管理下のAMFメンバーに接続しているデバイスのMACアドレスが一覧表示されます。
    デバイスID欄には「group=イベント来場者用」が、接続中ネットワーク欄には「vlan=30 id=来客用」が表示されるようになります。また、状況欄には「認証済み」が表示されます。

クイックツアー / 一覧からのデバイス登録

IPアドレスによるデバイスの探索
接続中 デバイス一覧からのデバイスの登録
新規デバイスにMACアドレスを関連付ける
既存のデバイスにMACアドレスを関連付ける
未認証グループによるデバイスの検出
検出されたデバイスの登録

ここでは、AMF Security mini管理下のAMFメンバーに対して物理的に接続しているデバイスを選択し、AMF Security miniに登録する方法を説明します。

IPアドレスによるデバイスの探索

「デバイス」/「接続中 デバイス一覧」画面では、AMF Security mini管理下のAMFメンバーが受信したパケットからMACアドレスを参照し、検出されたデバイスを一覧に表示します。
しかし、一部のネットワーク機器(オフィス用複合機など)は定期的にパケットを送出しないため、「デバイス」/「接続中 デバイス一覧」画面にMACアドレスが表示されない場合があります。
この場合にはデバイス探索機能を使用して、AMF Security miniはAMFメンバーに対して、Probe ARPまたはARPを送信するように指示を出します。
AMFメンバーは、Probe ARPまたARPに対する応答があった場合、AMF Security miniに認証の問い合わせを行います。
AMF Security miniは、AMFメンバーからの問い合わせに記録されたMACアドレスを参照することで、デバイスを「デバイス」/「接続中 デバイス一覧」画面に表示させることができます。
  1. 「デバイス」/「接続中 デバイス一覧」画面を表示します。

  2. 画面右上の「デバイスの探索」ボタンをクリックし、「デバイス」/「デバイスの探索」ダイアログを表示します。

  3. デバイス探索を行うIPv4アドレス、またはIPv4アドレス範囲を指定します。
    IPv4アドレス範囲は、xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx(始点アドレス・終点アドレス)、または、xxx.xxx.xxx.xxx/xx(IPv4アドレスとサブネットマスク長)の形式で指定できます。

    Note
    デバイス探索の方法にARPを選択した場合は、送信元IPを指定します。送信元IPは、検索範囲と同一ネットワークのIPアドレスのうち、探索を行うネットワーク内で使用されていないものを指定してください。
    始点アドレス・終点アドレスの指定は、IPアドレス数が4,094以下になるようにしてください。
    サブネットマスク長の指定は、20~32ビットマスクの範囲で指定してください。
  4. 「検索」ボタンをクリックし、「デバイス」/「接続中 デバイス一覧」画面に戻ります。

    デバイスの探索は、指定したIPv4アドレスまたはIPv4アドレス範囲に対して1回行われます。
    デバイス探索の状況は、画面右上の「デバイス探索状況」欄に随時表示されます。
    探索範囲内のデバイスから応答があった場合、「デバイス」/「接続中 デバイス一覧」画面右上の「更新」ボタンをクリックすると、応答のあったMACアドレスが一覧に追加されます。デバイス探索によって検出されたデバイスは、既存のアクション、デバイス、未認証グループの各種セキュリティーポリシーに準じて処理され、いずれのセキュリティーポリシーにも一致しない場合は認証失敗となります。
    この場合、クイックツアー「一覧からのデバイス登録」/「未認証グループによるデバイスの検出」の手順に従って、検出のみの未認証グループのセキュリティーポリシーを適切に設定することで、該当のデバイスを検出することができます。

接続中 デバイス一覧からのデバイスの登録

「デバイス」/「接続中 デバイス一覧」画面には、AMF Security mini管理下のAMFメンバーに接続しているデバイスのMACアドレスが一覧表示されます。
「デバイス」/「接続中 デバイス一覧」画面に表示されたMACアドレスがまだデバイスに関連付けられていない場合、新規デバイス、または、既存のデバイスのインターフェースとしてMACアドレスを関連付けることができます。

新規デバイスにMACアドレスを関連付ける

  1. 「デバイス」/「接続中 デバイス一覧」画面を表示します。
    AMFメンバーに接続してパケットを送出しており、AMF Security miniのデバイス認証データに登録のないデバイスのMACアドレスは、「認証失敗」として一覧に表示されています。

  2. 対象とする未登録のMACアドレスの、デバイスID欄の「登録」ボタンをクリックし、「デバイス」/「デバイス追加」ダイアログを表示します。

  3. 「デバイス」/「デバイス追加」ダイアログにて、「このMAC アドレスを新規デバイスとして登録します。」を選択して「登録」ボタンをクリックします。
  4. 「デバイス」/「デバイス追加」画面が表示されます。
    インターフェース欄には、「デバイス」/「接続中 デバイス一覧」画面で選択したMACアドレスが登録されます。
    新規に登録するデバイスのデバイスID(必須項目)、タグ、備考を設定します。
    必要に応じて、セキュリティーポリシーを設定することもできます。また、このデバイスの異なるインターフェースがあり、MACアドレスが判明している場合は、この時点でインターフェースを新規に追加することもできます。

  5. 「登録」ボタンをクリックします。
  6. 「デバイス」/「デバイス一覧」画面が表示されます。
    登録したデバイスが新たに追加されました。

既存のデバイスにMACアドレスを関連付ける

接続中のMACアドレスが未登録で、どのデバイスのインターフェースのものか判明している場合、「デバイス」/「接続中 デバイス一覧」画面から、該当のMACアドレスを既存のデバイスに関連付けることもできます。
  1. 「デバイス」/「接続中 デバイス一覧」画面を表示します。
    AMFメンバーに接続してパケットを送出しており、AMF Security miniのデバイス認証データに登録のないデバイスのMACアドレスは、「認証失敗」として一覧に表示されています。

  2. 対象とする未登録のMACアドレスの、デバイスID欄の「登録」ボタンをクリックし、「デバイス」/「デバイス追加」ダイアログを表示します。

  3. 「デバイス」/「デバイス追加」ダイアログにて、「このMAC アドレスを既存のデバイスに追加します。」を選択します。
  4. 該当のMACアドレスを登録するデバイスIDを指定します。
    事前に登録されたデバイスIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をデバイスID、タグ、備考のいずれかに含むデバイスIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするデバイスIDをクリックします。

  5. 「登録」ボタンをクリックします。
  6. 「デバイス」/「デバイス更新」画面が表示されます。
    インターフェース欄には、「デバイス」/「接続中 デバイス一覧」画面で選択したMACアドレスが追加されます。
    必要に応じて、デバイスID(必須項目)、タグ、備考、セキュリティーポリシーを設定することもできます。また、このデバイスの異なるインターフェースがあり、MACアドレスが判明している場合は、この時点でインターフェースを新規に追加することもできます。

  7. 「登録」ボタンをクリックします。
  8. 「デバイス」/「デバイス一覧」画面が表示されます。

未認証グループによるデバイスの検出

AMF Security mini管理下のAMFメンバーに接続しているデバイスが多数ある場合、未認証グループの機能を利用して、特定のロケーションおよびスケジュール条件に一致するものを未認証グループにまとめ、識別することができます。
検出を有効にした未認証グループのセキュリティーポリシーに一致するMACアドレスは、「デバイス」/「接続中 デバイス一覧」画面において、デバイスID欄に該当の未認証グループのグループIDが、状況欄には「検出」が表示されます。
この際、該当の未認証グループからのネットワークの接続は行いません。AMFアプリケーションプロキシー機能のTQも上記の未認証グループの機能は使用できますが、ロケーションとスケジュールの項目は未サポートです。
  1. 「グループ」/「未認証グループ一覧」画面を表示します。

  2. 画面右上の「未認証グループ追加」ボタンをクリックし、「グループ」/「未認証グループ追加」画面を表示します。

  3. 「有効」チェックボックスにチェックが入っていることを確認します。
  4. 未認証グループのグループID、備考を入力します。
    この例では、グループIDを「1F 未認証端末」とし、備考は空欄とします。
  5. 「端末の検出のみを行います。」チェックボックスをクリックしてチェックを入れます。

  6. ポリシーの「追加」ボタンをクリックして、「グループ」/「ポリシー編集」ダイアログを表示します。

  7. セキュリティーポリシーの優先度を設定します。
    ここでは、優先度を「10」に設定します。
  8. 今回は検出のみを行うため、ネットワークは空欄のままにします。
    Note
    「端末の検出のみを行います。」チェックボックスにチェックが入っていない場合、ネットワークを空欄にすると、デバイスはAMFメンバーに設定されているVLANに接続されます。AMFメンバーに設定されているVLANにアクセス可能な場合、スイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。AMFアプリケーションプロキシー機能のTQでは、TQの設定に依存します。
    詳細は、クイックツアー「AMF Securityについて」/「TQのAMFアプリケーションプロキシー機能」の「TQのダイナミック VLAN使用時の動作」をご参照ください。
  9. デバイスの検出条件となるセキュリティーポリシーを設定します。
    ここでは、ロケーションに「1F」を指定します。
    AMF Security miniのデバイス認証データに登録されていないMACアドレスのうち、ロケーション「1F」のいずれかのAMFメンバーに接続されたものを、未認証グループ「1F 未認証端末」として検出します。

  10. 「登録」ボタンをクリックして、「グループ」/「未認証グループ追加」画面に戻ります。

  11. 「登録」ボタンをクリックして、「グループ」/「未認証グループ一覧」画面に戻ります。

  12. 「デバイス」/「接続中 デバイス一覧」画面を表示します。
    AMF Security mini管理下のAMFメンバーに接続しているデバイスのMACアドレスが一覧表示されます。
    AMF Security miniのデバイス認証データに登録されていないMACアドレスのうち、ロケーション「1F」のいずれかのAMFメンバーに接続されたものは、状況欄に「検出」が表示されるようになりました。

  13. 「デバイス」/「接続中 デバイス一覧」画面の状況ドロップダウンメニューから「検出」を選択します。
    AMF Security miniのデバイス認証データに登録されていないMACアドレスのうち、状況が「検出」となっているMACアドレス、すなわち、ロケーション「1F」のいずれかのAMFメンバーに接続されたもののみが一覧表示されます。
  14. クイックツアー「一覧からのデバイス登録」/「接続中 デバイス一覧からのデバイスの登録」の手順に従って、必要なデバイスをAMF Security miniに登録します。

検出されたデバイスの登録

上記の未認証グループやIPアドレス探索を利用して、「デバイス」/「接続中 デバイス一覧」画面に表示された機器は、クイックツアー「一覧からのデバイス登録」/「接続中 デバイス一覧からのデバイスの登録」の手順に従って、正規に接続されたデバイスとして登録することができます。
また、多数のデバイスが検出された場合は、上記の手順による登録のほか、「デバイス」/「接続中 デバイス一覧」画面の機器をCSVファイルにエクスポートし、CSVファイルを編集して、AMF Security miniにインポートすることもできます。
詳しくは、付録「CSVを利用した認証データの作成」をご覧ください。

クイックツアー / アクションの登録

アクションとは
アクションの登録

アクションとは

AMF Security miniには、デバイス認証データや未認証グループによる処理とは別に、特定の条件を満たすデバイスを個別に隔離、遮断、または、デバイス認証データの登録と異なるネットワークへの接続を行う、アクションと呼ばれる認証ルールがあります。
連携アプリケーションを利用する場合は、連携アプリケーションによる指示に基づいてアクションが動的に生成、処理されます。
また、連携アプリケーションを介さず、アクションを個別に作成することもできます。
TQのAMFアプリケーションプロキシーではいずれの場合も、アクションはデバイス認証データや未認証グループより優先して処理されます。
AMFアプリケーションプロキシーでは、アクションが登録された際にプロキシーノードへ通知され、プロキシーノード、エッジノード側で処理されます。
アクションの条件には、以下の項目を指定できます。
条件を満たした場合、TQのAMFアプリケーションプロキシー機能ではデバイスの接続を通過(許可)、隔離、破棄(遮断)のうち、指定されたOpenFlow/TQアクションを実行します。この際、通過先、または隔離先のVLAN IDを指定できます。
AW+のAMFアプリケーションプロキシーブラックリスト機能では、AMFアクションがプロキシーノードへ通知されます。
AMFアクションに「IPフィルター」を指定する場合は、デバイスIPv4アドレスの指定が必要です。

アクションの登録

アクションを個別に作成する場合の例を示します。
アクションの登録は、「ポリシー設定」/「アクション追加」画面にて行います。
今回は、AW+のAMFアプリケーションプロキシーの構成で未認証グループにゲストネットワークを提供する「AMF-Member_2」に接続されたMACアドレス「00:00:5E:00:53:01」のデバイスから不審なパケットの送出があったため、このデバイスのパケットを破棄する場合を例にします。
  1. 「ポリシー設定」/「アクション一覧」画面に移動します。

    この画面には、AMF Security miniに登録されているアクションの一覧が表示されます。この時点ではアクションは登録されていません。
  2. 「ポリシー設定」/「アクション一覧」画面の右上の「アクション追加」ボタンをクリックし、「ポリシー設定」/「アクション追加」画面に移動します。

  3. 登録するアクションの情報を入力します。

    ここでは、例として、次の情報を入力します。
    表 1:設定データ
    項目名 設定する情報 説明
    アクション ID(必須項目) 不審デバイス遮断 AMF Security miniに登録するアクションのIDです。
    既に使用されているアクションIDを設定することはできません。
    アクションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    優先度 10 アクションの優先度です。1~65535の数字で入力します。
    同時に条件を満たすアクションが存在する場合、より小さい値が割り当てられたアクションが優先して適用されます。
    値を省略した場合は10が設定されます。
    原因 ポートスキャン アクションの原因、適用理由など、管理上の情報を登録します。
    原因は最大255文字で、英数字、記号以外に日本語も使用できます。
  4. アクションの条件を入力します。

    ここでは、例として、デバイスのMACアドレスを条件に指定します。
    表 2:設定データ:条件
    項目名 設定する情報 説明
    デバイス MAC アドレス 00:00:5E:00:53:01 アクションの対象とするデバイスのユニキャストMACアドレスを指定します。
    MACアドレスの表記として使用可能なフォーマットは下記となります。
    xx:xx:xx:xx:xx:xx, xx-xx-xx-xx-xx-xx, xxxx.xxxx.xxxx
    デバイス IPv4 アドレス (空欄) アクションの対象とするデバイスのユニキャストIPv4アドレスを指定します。
    デバイス (空欄) アクションの対象とするデバイスIDを指定します。
    事前に登録されたデバイスIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をデバイスID、タグ、備考のいずれかに含むデバイスIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするデバイスIDをクリックします。
    デバイスタグ (空欄) アクションの対象とする、デバイスに設定されたタグを入力します。
  5. 条件を満たした際に実行するAMFアクションを選択します。
    ここでは、該当のデバイスからのパケットを破棄しますので、「パケット破棄」を選択します。

    表 3:設定データ:アクション
    項目名 設定する情報 説明
    AMF アクション パケット破棄 AW+のAMFアプリケーションプロキシー機能を使用して、該当デバイスの通信遮断を指示する際のアクションの内容です。
    ・AMF 依存: AMF Security miniからはアクションを通知せず、AMF機器側の設定に依存します。
    ・隔離: 該当デバイスを隔離用VLANに移動します。
    ・パケット破棄: 該当デバイスの通信をレイヤー2(MACレベル)で破棄します。
    ・リンクダウン: 該当デバイスが接続されているポートを無効化します。
    ・IPフィルター: 該当デバイスの通信をレイヤー3(IPレベル)で破棄します。
    ・ログ: AMF Security miniからログのアクションを通知しますが、該当デバイスの通信制御は行わずログのみを出力します。
  6. 「登録」ボタンをクリックします。
    アクションが登録されると、新規に追加した情報が「ポリシー設定」/「アクション一覧」画面に表示されます。

設定は以上です。
この例のアクションを有効にすると、以後、アクションを削除するか、より優先度の高いアクションで接続が許可されない限り、該当のMACアドレスからの通信はすべて破棄されます。

クイックツアー / アカウントグループ

アカウントグループとは
アカウントグループの作成
アカウントの作成
アカウントグループを使ったデバイス管理の例
デバイスの登録

ここでは、複数のアカウントを作成し、複数のアカウントグループで管理する方法について説明します。

アカウントグループとは

アカウントは、認証データベース編集の可否、システム設定変更の可否の権限を分けることができますので、システム管理者と一般ユーザーを分けて登録できます。
アカウントグループは、アカウントおよびスイッチ(AMFメンバー)に関連付けを行います。アカウントグループごとに、管理できるAMFメンバー、その管理下のデバイスを表示することができます。
アカウントグループを使うことで、管理対象となるスイッチや、そのスイッチに接続しているデバイスが明確になるだけでなく、管理対象外のスイッチなどを表示できませんのでセキュリティーも強化できます。

アカウントグループの作成

アカウントグループには、以下の項目を設定できます。
Note
初期設定のアカウントグループはありません。アカウントグループを作成しないと、アカウント作成やデバイス登録の際に「アカウントグループID」を選択できません。
アカウントグループの作成方法については、「システム設定」/「アカウントグループ一覧」をご覧ください。

アカウントの作成

アカウントには、以下の項目を設定できます。
初期設定の「アカウント名」は「manager」(変更不可)、「パスワード」は「friend」、「アカウントグループID」は未設定、認証データベースの編集は可能(変更不可)、システム設定の変更は可能(変更不可)で、AMF Security miniの全権限があります。また、「manager」を削除することはできません。
Note
初期設定の「manager」を含め、「システム設定の変更を許可する。」チェックボックスにチェックが入ったすべてのアカウントのパスワードを忘れた場合、AW+のWeb GUI / Vista Manager mini - AMF Security mini画面でAMF Security miniインスタンスの初期化(削除→再作成)が必要となります。パスワードは大切に管理してください。
なお、AMF Security miniインスタンスの操作については、AW+のコマンドリファレンスをご参照ください。
Note
アカウントにメールアドレスを登録して、「システム設定」/「メール通知設定」画面でメール通知の設定を行っておくことで、パスワードを忘れた場合にメールによるパスワードの復旧が可能です。
メールによるパスワードの復旧手順については、付録「パスワードを忘れた場合」を参照してください。
Note
初期設定の「manager」やネットワーク全体を管理するために作成したアカウントには、アカウントグループを設定しないことをおすすめします。
アカウントの作成方法については、「システム設定」/「アカウント一覧」をご覧ください。

アカウントグループを使ったデバイス管理の例

登録したアカウントグループは、アカウントおよびスイッチ(AMFメンバー)に関連付けを行います。
以下の画面では、ログインしたアカウントに設定されているアカウントグループと同じアカウントグループが設定されたスイッチ、およびそのスイッチに接続しているデバイスのみが表示されます。
例えば、マシンルームにAMFマスター(AT-AR4050S)が1台あり、フロアごとにAMFメンバー(AT-x510)が1台ある構成で、階ごとにアカウントグループを作成する場合を例に説明します。
■ アカウント名とアカウントグループの作成
表 1:設定データ
アカウント名 アカウントグループ スイッチ / 設置場所
manager なし(設定しない) すべてのスイッチ / マシンルーム
1F_admin
1F_user 		group_1 AMFメンバー(AT-x510_1F)/ 1階
2F_admin
2F_user 		group_2 AMFメンバー(AT-x510_2F)/ 2階
■ 各スイッチに関連付けるアカウントグループ
表 2:設定データ
スイッチ アカウントグループ
AMFマスター(AT-AR4050S) admin_group
AMFメンバー(AT-x510_1F) group_1
AMFメンバー(AT-x510_2F) group_2
この場合、「デバイス」/「接続中 デバイス一覧」画面の表示例は次のようになります。
上記のように、登録したスイッチにアカウントグループを関連付けることで、ログインしたユーザーによって表示できるスイッチが異なり、管理対象となるスイッチや、そのスイッチに接続しているデバイスが明確になります。
なお、「スイッチ」/「接続中 AMF メンバー 一覧」画面でも同様に関連付けされたスイッチが表示されますが、上記の例で全体を管理するシステム管理者のアカウント「manager」にはアカウントグループを未設定、およびAMFマスター(AT-AR4050S)にフロアごとのAMFメンバーとは異なるアカウントグループ「admin_group」を設定することで、「manager」アカウントのみでAMFマスター(AT-AR4050S)が表示されるようになります。

デバイスの登録

デバイスの登録方法は、クイックツアーの各項目を参照してください。
デバイスの追加または編集の画面で「アカウントグループID」を選択することで、そのデバイスと「アカウントグループID」を関連付けることができます。
「スイッチ」/「AMF メンバー 追加」画面の例を示します。

Note
「アカウントグループID」が関連付けられたデバイスは、その「アカウントグループID」に所属するアカウントまたは「manager」(アカウントグループなし)でログインしないと表示されなくなります。誤って別の「アカウントグループID」を登録しないようにご注意ください。

クイックツアー / AMF Security miniのバージョンアップ

AMF Security miniのバージョンアップ方法を説明します。
以前のAMF Security mini ソフトウェアバージョンから本バージョンへのバージョン更新(バージョンアップ)は、お使いのAlliedWare Plus機器のWeb GUIで行います。
詳細な手順は、AW+のコマンドリファレンスの「Web GUI」/「Vista Manager mini - AMF Security mini」をご参照ください。

クイックツアー / AMF Security miniのバックアップとリストア

AMF Security miniのバックアップ
システム設定
認証データ
AMF Securityログ
アクションログ
AMF Security miniのリストア

AMF Security miniのバックアップとリストア方法を説明します。

AMF Security miniのバックアップ

AMF Security miniをバックアップするためには、次に示すファイルを取得する必要があります。
各ファイルに含まれる設定内容と、ファイルの取得手順を説明します。

システム設定

AMF Security mini自体の設定です。
システム設定ファイルを取得するには、「システム設定」/「システム情報」画面の「システム設定」項目で「エクスポート」ボタンをクリックして、ファイルをダウンロードします。
ただし、システム設定には以下の項目は含まれませんので、リストア後に再設定が必要になります。該当のファイルを準備しておいてください。

認証データ

AMF Security miniは、登録されたデバイスのMACアドレス情報に基づいて認証を行いますが、それをAMF Security miniに登録します。このAMF Security miniの認証プロセスに必要なデータを、認証データと呼んでいます。
認証データを取得するには、「システム設定」/「システム情報」画面の「認証データ」項目で「エクスポート」ボタンをクリックして、ファイルをダウンロードします。

AMF Securityログ

AMF Security miniサービスが出力するログです。バックアップはできますが、リストアできません。
AMF Securityログを取得するには、「システム設定」/「AMF Securityログ」画面で「ダウンロード」ボタンをクリックして、ファイルをダウンロードします。

アクションログ

AMF Security miniサービスが出力するログのうち、アクションに関するログです。バックアップはできますが、リストアできません。
アクションログを取得するには、「システム設定」/「アクションログ」画面で「ダウンロード」ボタンをクリックして、ファイルをダウンロードします。
AMF Security miniのバックアップは以上です。

AMF Security miniのリストア

AMF Security miniのリストア方法を説明します。
ここまでの手順は順不同です。
以下は順番に実施してください。
AMF Security miniのリストアは以上です。

リファレンス編 / デバイス

デバイス一覧
デバイス追加
インターフェース編集
ポリシー編集
デバイス更新
インターフェース編集
ポリシー編集
MAC アドレス一覧
接続中 デバイス一覧
デバイス追加
デバイスの探索
接続中 デバイス詳細

AMF Security miniに登録されたネットワークデバイスを表示します。

デバイス一覧

AMF Security miniに登録されたネットワークデバイスを表示します。

表 1:検索・並べ替え対象項目
項目 検索 並べ替え 備考
デバイス ID  
タグ  
備考  
ポリシー数 × ×  
インターフェース数 × ×  
インターフェース:MAC アドレス × ×  一覧には表示されない。
インターフェース:名称 × ×  一覧には表示されない。
インターフェース:備考 × ×  一覧には表示されない。
表 2:表示データ
項目名 説明
デバイス ID AMF Security miniに登録されたデバイスのIDです。
タグ デバイスIDとは別に、管理者が識別しやすくするための名前です。
備考 デバイスに対する追加の説明やコメントです。
ポリシー数 デバイスに設定されたセキュリティーポリシーの数です。
インターフェース数 デバイスの持つインターフェースとして登録されたMACアドレスの数です。
表 3:コマンドボタン
項目名 説明
ページ上部
デバイス追加 「デバイス追加」画面を表示します。
接続中 デバイス一覧 「接続中 デバイス一覧」画面を表示します。
CSV にエクスポート デバイス一覧をCSV(カンマ区切りテキスト)形式でダウンロードします。
デバイス一覧
タイトル行
複数削除 一覧の各行左端のチェックボックスにチェックを入れたデバイスの情報を削除します。
各行
編集 選択したデバイスの「デバイス更新」画面を表示します。
削除 選択したデバイス情報を削除します。
Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

デバイス追加

AMF Security miniに新しいデバイスを追加します。

表 4:設定データ
項目名 説明
デバイス ID(必須項目) AMF Security miniに登録するデバイスのIDです。
既に使用されているデバイスIDを設定することはできません。
デバイスIDは最大255文字で、英数字、記号以外に日本語も使用できます。
タグ AMF Security miniを利用するデバイスに対して、タグを入力します。
デバイスIDとは別に、管理者がデバイスを識別しやすくするための名前として、タグを入力します。
タグは最大255文字で、英数字、記号以外に日本語も使用できます。
備考 登録するデバイスに対して追加の説明やコメントがある場合に登録します。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。
表 5:表示データ
項目名 説明
インターフェース
インターフェース デバイスに関連付けるMACアドレスの一覧を表示します。
MACアドレス デバイスが持つインターフェースのMACアドレスです。
名称 MACアドレスの管理用の名称です。
備考 MACアドレスに対する追加の説明やコメントです。
ポリシー
ポリシー デバイスに設定するセキュリティーポリシーの一覧を表示します。
優先度 セキュリティーポリシーを適用する優先度です。0~255の数字で入力します。
複数のセキュリティーポリシーが設定されている場合、デバイスに登録されたインターフェースがAMFメンバーに接続されると、最も優先度の値が小さいセキュリティーポリシーから順に一致するかどうかの判定が行われます。
ネットワーク デバイスを接続するネットワークのIDです。
ロケーション ロケーションのIDです。
スケジュール スケジュールのIDです。
表 6:コマンドボタン
項目名 説明
インターフェース
追加 「インターフェース編集」ダイアログを表示し、デバイスに関連付けるインターフェースを新しく登録します。
各行
編集 「インターフェース編集」ダイアログを表示し、選択したインターフェースを編集します。
削除 選択したインターフェースを削除します。削除するインターフェースの行の左端に削除マークが付きます。
戻す 削除マークを付けたインターフェースを戻します。
ポリシー
追加 「ポリシー編集」ダイアログを表示し、デバイスに設定するセキュリティーポリシーを新しく登録します。
各行
編集 「ポリシー編集」ダイアログを表示し、選択したセキュリティーポリシーを編集します。
削除 選択したセキュリティーポリシーを削除します。削除するセキュリティーポリシーの行の左端に削除マークが付きます。
戻す 削除マークを付けたセキュリティーポリシーを戻します。
ページ下部
登録 入力したデバイス情報を新規に登録します。
キャンセル デバイスの新規追加をキャンセルします。
Note
「削除」ボタンをクリックし、削除マークを付けたインターフェース、セキュリティーポリシーは、「登録」ボタンをクリックした際に削除されます。「登録」ボタンをクリックして削除されたインターフェース、セキュリティーポリシーは復元できませんので、新規に登録し直してください。

インターフェース編集

デバイスに関連付けるインターフェースのMACアドレスを追加、または、MACアドレスの詳細を更新します。

表 7:設定データ
項目名 説明
MAC アドレス(必須項目) インターフェースのMACアドレスを設定します。同じMACアドレスの複数登録はできません。
MACアドレスの表記として使用可能なフォーマットは下記となります。
xx:xx:xx:xx:xx:xx, xx-xx-xx-xx-xx-xx, xxxx.xxxx.xxxx
名称 このMACアドレスを持つインターフェースの管理用の名称を設定します。
最大255文字で、英数字、記号以外に日本語も使用できます。
備考 このMACアドレスの追加説明やコメントを記載できます。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。
表 8:コマンドボタン
項目名 説明
ダイアログ下部
登録 新しいMACアドレス情報を登録、または、選択したMACアドレス情報を更新します。
キャンセル MACアドレス情報の登録、または、更新をキャンセルします。

ポリシー編集

デバイスに設定するセキュリティーポリシーを追加、または、設定されたセキュリティーポリシーの詳細を更新します。

表 9:設定データ
項目名 説明
優先度(必須項目) セキュリティーポリシーを適用する優先度です。0~255の数字で入力します。
複数のセキュリティーポリシーが設定されている場合、登録されたデバイスがAMFメンバーに接続されると、最も優先度の値が小さいセキュリティーポリシーから順に一致するかどうかの判定が行われます。
ネットワーク デバイスを接続するネットワークを選択します。
事前に登録されたネットワークIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をネットワークID、VLAN ID、備考のいずれかに含むネットワークIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするネットワークIDをクリックします。
登録されたデバイスがAMFメンバー(エッジノード)、AMFアプリケーションプロキシーのTQに接続された場合は、ネットワークに設定されたVLANサブネットに接続されます。デバイスにネットワークが登録されていない場合(本設定を空欄、またはネットワークのセキュリティーポリシー設定でVLAN IDに0を設定した場合)は、AMFメンバーに設定されているVLANに接続されます。VLANサブネットへの接続は、接続したAMFメンバーの上位ネットワークに送信されるときに、設定されたVLAN IDを持つタグVLANとして送信することにより実現します。
デバイスにネットワークを設定するためには、事前にネットワークを登録する必要があります。ネットワークの登録については、「ポリシー設定」/「ネットワーク追加」をご参照ください。
また、登録されたデバイスがAMFアプリケーションプロキシーのTQに接続された場合は、TQの設定に依存します。詳細は、クイックツアー「AMF Security miniについて」/「TQのAMFアプリケーションプロキシー機能」の「TQのダイナミック VLAN使用時の動作」をご参照ください。
ロケーション デバイスがネットワークにアクセス可能なロケーションを選択します。
事前に登録されたロケーションIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をロケーションIDまたは備考のいずれかに含むロケーションIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするロケーションIDをクリックします。
デバイスにロケーションを設定した場合は、そのロケーションに登録されたAMFメンバーからのみ接続が可能となります。
ロケーションが選択されていない場合は、すべてのAMFメンバーからアクセス可能です。
デバイスにロケーションを設定するためには、事前にロケーションを登録する必要があります。ロケーションの登録については、「ポリシー設定」/「ロケーション追加」をご参照ください。
スケジュール デバイスがネットワークにアクセス可能なスケジュールを選択します。
事前に登録されたスケジュールIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をスケジュールID、または備考のいずれかに含むスケジュールIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするスケジュールIDをクリックします。
デバイスにスケジュールを設定した場合は、そのスケジュールに登録された期間のみ接続が可能となります。スケジュールが選択されていない場合はいつでもアクセスが可能です。
デバイスにスケジュールを設定するためには、事前にスケジュールを登録する必要があります。スケジュールの登録については、「ポリシー設定」/「スケジュール追加」をご参照ください。
OpenFlow スイッチ 本バージョンでは未サポートです。
スイッチポート 本バージョンでは未サポートです。
フローの有効期限を無限にします。 本バージョンでは未サポートです。
Note
AMFメンバーに設定されているVLANにアクセス可能な場合、スイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。
表 10:コマンドボタン
項目名 説明
ダイアログ下部
登録 新しいポリシー情報を登録、または、選択したポリシー情報を更新します。
キャンセル ポリシー情報の登録、または、更新をキャンセルします。

デバイス更新

既に設定されたデバイス情報を更新します。

表 11:設定データ
項目名 説明
デバイス ID(必須項目) AMF Security miniに登録されたデバイスのIDです。
既に使用されているデバイスIDを設定することはできません。
デバイスIDは最大255文字で、英数字、記号以外に日本語も使用できます。
タグ AMF Security miniを利用するデバイスに対して、タグを入力します。
デバイスIDとは別に、管理者がデバイスを識別しやすくするための名前として、タグを入力します。
タグは最大255文字で、英数字、記号以外に日本語も使用できます。
備考 登録するデバイスに対して追加の説明やコメントがある場合に登録します。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。
表 12:表示データ
項目名 説明
インターフェース
インターフェース デバイスに関連付けるMACアドレスの一覧を表示します。
MAC アドレス デバイスが持つインターフェースのMACアドレスです。
名称 MACアドレスの管理用の名称です。
備考 MACアドレスに対する追加の説明やコメントです。
ポリシー
ポリシー デバイスに設定するセキュリティーポリシーの一覧を表示します。
優先度 セキュリティーポリシーを適用する優先度です。0~255の数字で入力します。
複数のセキュリティーポリシーが設定されている場合、デバイスに登録されたインターフェースがAMFメンバーに接続されると、最も優先度の値が小さいセキュリティーポリシーから順に一致するかどうかの判定が行われます。
ネットワーク デバイスを接続するネットワークのIDです。
ロケーション ロケーションのIDです。
スケジュール スケジュールのIDです。
表 13:コマンドボタン
項目名 説明
インターフェース
追加 「インターフェース編集」ダイアログを表示し、デバイスに関連付けるインターフェースを新しく登録します。
各行
編集 「インターフェース編集」ダイアログを表示し、選択したインターフェースを編集します。
削除 選択したインターフェースを削除します。削除するインターフェースの行の左端に削除マークが付きます。
戻す 削除マークを付けたインターフェースを戻します。
ポリシー
追加 「ポリシー編集」ダイアログを表示し、デバイスに設定するセキュリティーポリシーを新しく登録します。
各行
編集 「ポリシー編集」ダイアログを表示し、選択したセキュリティーポリシーを編集します。
削除 選択したセキュリティーポリシーを削除します。削除するセキュリティーポリシーの行の左端に削除マークが付きます。
戻す 削除マークを付けたセキュリティーポリシーを戻します。
ページ下部
登録 選択したデバイス情報を更新します。
キャンセル デバイス情報の更新をキャンセルします。
Note
「削除」ボタンをクリックし、削除マークを付けたインターフェース、セキュリティーポリシーは、「登録」ボタンをクリックした際に削除されます。「登録」ボタンをクリックして削除されたインターフェース、セキュリティーポリシーは復元できませんので、新規に登録し直してください。

インターフェース編集

デバイスに関連付けるインターフェースのMACアドレスを追加、または、MACアドレスの詳細を更新します。

表 14:設定データ
項目名 説明
MAC アドレス(必須項目) インターフェースのMACアドレスを設定します。同じMACアドレスの複数登録はできません。
MACアドレスの表記として使用可能なフォーマットは下記となります。
xx:xx:xx:xx:xx:xx, xx-xx-xx-xx-xx-xx, xxxx.xxxx.xxxx
名称 このMACアドレスを持つインターフェースの管理用の名称を設定します。
最大255文字で、英数字、記号以外に日本語も使用できます。
備考 このMACアドレスの追加説明やコメントを記載できます。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。
表 15:コマンドボタン
項目名 説明
ダイアログ下部
登録 新しいMACアドレス情報を登録、または、選択したMACアドレス情報を更新します。
キャンセル MACアドレス情報の登録、または、更新をキャンセルします。

ポリシー編集

デバイスに設定するセキュリティーポリシーを追加、または、設定されたセキュリティーポリシーの詳細を更新します。

表 16:設定データ
項目名 説明
優先度(必須項目) セキュリティーポリシーを適用する優先度です。0~255の数字で入力します。
複数のセキュリティーポリシーが設定されている場合、登録されたデバイスがAMFメンバーに接続されると、最も優先度の値が小さいセキュリティーポリシーから順に一致するかどうかの判定が行われます。
ネットワーク デバイスを接続するネットワークを選択します。
事前に登録されたネットワークIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をネットワークID、VLAN ID、備考のいずれかに含むネットワークIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするネットワークIDをクリックします。
登録されたデバイスがAMFメンバー(エッジノード)、AMFアプリケーションプロキシーのTQに接続された場合は、ネットワークに設定されたVLANサブネットに接続されます。デバイスにネットワークが登録されていない場合(本設定を空欄、またはネットワークのセキュリティーポリシー設定でVLAN IDに0を設定した場合)は、AMFメンバーに設定されているVLANに接続されます。VLANサブネットへの接続は、接続したAMFメンバーの上位ネットワークに送信されるときに、設定されたVLAN IDを持つタグVLANとして送信することにより実現します。
デバイスにネットワークを設定するためには、事前にネットワークを登録する必要があります。ネットワークの登録については、「ポリシー設定」/「ネットワーク追加」をご参照ください。
また、登録されたデバイスがAMFアプリケーションプロキシーのTQに接続された場合は、TQの設定に依存します。詳細は、クイックツアー「AMF Security miniについて」/「TQのAMFアプリケーションプロキシー機能」の「TQのダイナミック VLAN使用時の動作」をご参照ください。
ロケーション デバイスがネットワークにアクセス可能なロケーションを選択します。
事前に登録されたロケーションIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をロケーションIDまたは備考のいずれかに含むロケーションIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするロケーションIDをクリックします。
デバイスにロケーションを設定した場合は、そのロケーションに登録されたAMFメンバーからのみ接続が可能となります。
ロケーションが選択されていない場合は、すべてのAMFメンバーからアクセス可能です。
デバイスにロケーションを設定するためには、事前にロケーションを登録する必要があります。ロケーションの登録については、「ポリシー設定」/「ロケーション追加」をご参照ください。
スケジュール デバイスがネットワークにアクセス可能なスケジュールを選択します。
事前に登録されたスケジュールIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をスケジュールID、または備考のいずれかに含むスケジュールIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするスケジュールIDをクリックします。
デバイスにスケジュールを設定した場合は、そのスケジュールに登録された期間のみ接続が可能となります。スケジュールが選択されていない場合はいつでもアクセスが可能です。
デバイスにスケジュールを設定するためには、事前にスケジュールを登録する必要があります。スケジュールの登録については、「ポリシー設定」/「スケジュール追加」をご参照ください。
OpenFlow スイッチ 本バージョンでは未サポートとなります。
スイッチポート 本バージョンでは未サポートとなります。
フローの有効期限を無限にします。 本バージョンでは未サポートとなります。
Note
AMFメンバーに設定されているVLANにアクセス可能な場合、スイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。
表 17:コマンドボタン
項目名 説明
ダイアログ下部
登録 新しいポリシー情報を登録、または、選択したポリシー情報を更新します。
キャンセル ポリシー情報の登録、または、更新をキャンセルします。

MAC アドレス一覧

AMF Security miniに登録されたMACアドレスを表示します。

表 18:検索・並べ替え対象項目
項目 検索 並べ替え 備考
MAC アドレス  
名称  
デバイス ID  
備考  
デバイス:タグ × ×  一覧には表示されない。
デバイス:備考 × ×  一覧には表示されない。
表 19:表示データ
項目名 説明
MAC アドレス AMF Security miniに登録されたMACアドレスです。
名称 MACアドレスの管理用の名称です。
デバイス ID MACアドレスに関連付けられたデバイスです。
クリックすると、該当のデバイスの「デバイス更新」画面を表示します。
備考 このMACアドレスの追加説明やコメントです。
表 20:コマンドボタン
項目名 説明
ページ上部
接続中 デバイス一覧 「接続中 デバイス一覧」画面を表示します。
MAC アドレス一覧
タイトル行
複数削除 一覧の各行左端のチェックボックスにチェックを入れたMACアドレスの情報を削除します。
各行
編集 MACアドレスが関連付けられたデバイスの「デバイス更新」画面を表示します。
削除 選択したMACアドレス情報を削除します。

接続中 デバイス一覧

AMF Security mini管理下のAMFアプリケーションプロキシー機能で認証、およびアクションが適用されたデバイスの一覧を表示します。
アカウントグループを設定している場合、AMF Security mini管理下のAMFメンバーに接続しているデバイスのうち、ログインしたアカウントが所属するアカウントグループに属するAMFメンバーに接続されているデバイスのMACアドレスが一覧表示されます。
■ AW+のAMFアプリケーションプロキシーホワイトリスト機能およびブラックリスト機能について
AMFアプリケーションプロキシー機能でアクションが適用されたデバイスは、AMFマスターから取得した情報が一覧に表示されます。
AMFアプリケーションプロキシーホワイトリスト機能およびブラックリスト機能は互いに連動していないため、「デバイス」/「接続中 デバイス一覧」画面の表示とエッジノードのステータスに不一致が発生する場合があります。
また、リンクダウンを伴わないAMFアプリケーションプロキシーホワイトリスト機能による認証の解除が行われた際、エッジノードから認証されたデバイスの情報が削除されますが、「デバイス」/「接続中 デバイス一覧」画面には「認証済み」のデバイス情報が表示され続けます。
■ TQのAMFアプリケーションプロキシー機能について
TQのAMFアプリケーションプロキシーホワイトリスト機能およびブラックリスト機能は互いに連動しています。
AMFアプリケーションプロキシーホワイトリスト機能で認証された端末に遮断アクションが適用された場合、「デバイス」/「接続中 デバイス一覧」画面には「遮断中」の表示に切り替わります。

表 21:検索・絞り込み・並べ替え対象項目
項目 検索 絞り込み 並べ替え 備考
MAC アドレス  検索対象は「mac=」以降の文字列、「ip=」以降の文字列、「vendor=」以降の文字列のみ。
デバイス ID ※1 ※2 ※1 検索にて「未登録」は対象外。未認証グループとして接続または検出されている場合は、検索対象は「group=」以降の文字列のみ。
※2 並べ替えは、「未登録」→「未認証グループ ID」→「空欄」→「デバイス ID」の順を昇順とする。
接続中スイッチ ※1 ※2 ※1 検索対象は、AMFノードでは「id=」以降の文字列と「port=」以降のカッコ内のスイッチポート番号の文字列、TQのAMFアプリケーションプロキシーでは「id=」以降の文字列、「ip=」以降のIPv4アドレスと「port=」以降の文字列。
※2 並べ替えの対象は、AMFノードでは「id=」以降の文字列のみ、TQのAMFアプリケーションプロキシーでは「id=」以降の文字列と「ip=」以降のIPv4アドレス。「port=」以降の文字列による並べ替えは対象外。
接続中ネットワーク ※1 ※2 ※1 検索対象は「vlan=」以降のVLAN IDと「id=」以降のネットワークIDの文字列のみ。「タグなし・接続なし」を除く。
※2 並べ替えは、「接続なし」→「空欄」→「vlan=タグなし」→「vlan=1~4094」の順を昇順とする。ネットワークIDによる並べ替えは対象外。
状況 ×  並べ替えは、「認証済み」→「遮断中」→「リンクダウン」→「隔離中」→「認証失敗」→「検出」→「IPフィルター」→「ログ」の順を昇順とする。
表 22:表示データ
項目名 説明
MAC アドレス AMF Security miniに管理されているMACアドレスとベンダー名が表示されます。
IPアドレスの指定によって遮断されたデバイスには、IPアドレスも表示されます(AMFアプリケーションプロキシー機能(AW+)のみ)。
MACアドレスまたはIPアドレスをクリックすると、該当のデバイスの「接続中 デバイス詳細」画面が表示されます。
デバイス ID □ AMFアプリケーションプロキシー機能(AW+/TQ)
該当MACアドレスのインターフェースを持つデバイスです。
・MACアドレスを関連付けられたデバイスが存在する場合は、デバイスのセキュリティーポリシーに一致するかどうかにかかわらず、そのデバイスIDが表示されます。
デバイスIDをクリックすると、「デバイス更新」画面が表示されます。
・MACアドレスを関連付けられたデバイスが存在せず、接続がいずれかの未認証グループのセキュリティーポリシーに一致する場合は、「group=グループID」の形式でグループIDが表示されます。
グループIDをクリックすると、「グループ」/「未認証グループ更新」画面が表示されます。
・MACアドレスを関連付けられたデバイスが存在せず、かつ未認証グループのセキュリティーポリシーとも一致しない場合は、デバイスIDは「未登録」と表示されます。
・MACアドレスを関連付けられたデバイスが存在しない場合は、「登録」ボタンが表示されます。
接続中スイッチ □ AMFアプリケーションプロキシー機能(AW+)
AMFアプリケーションプロキシーホワイトリスト機能で認証、およびAMFアクションが適用されたエッジノード、およびエッジノードのスイッチのポート名です。アカウントグループを設定している場合、ログインしたアカウントが所属するアカウントグループに属するAMFメンバーのみ表示されます。
エッジノードは「id=エッジノード名」の形式で表示されます。
エッジノードのスイッチのIPv4アドレスは「ip=IPv4アドレス」の形式で表示されます。また、エッジノードのスイッチのポート名が「port=(ポート名)」の形式で表示されます。
なお、状況で表示されるAMFアクションが「IPフィルター」の場合、ポート名は表示されません。

□ AMFアプリケーションプロキシー機能(TQ)
デバイスが接続しているTQのIPv4アドレス、およびポート名です。IPv4アドレスは「ip=IPv4アドレス」の形式で表示されます。また、TQのポート名が「port=(ポート名)」の形式で表示されます。ポートのリンクステータスは常に「unknown」が表示されます。
接続中ネットワーク □ AMFアプリケーションプロキシー機能(TQ)
デバイスが接続しているVLAN IDおよびネットワークIDです。
「vlan=VLAN ID」形式でVLAN IDを、「id=ネットワークID」形式でネットワークIDを表示します。
「id=」以降をクリックすると、「ポリシー設定」/「ネットワーク更新」画面を表示します。
遮断中のデバイスには「接続なし」が表示されます。

□ AMFアプリケーションプロキシー機能(AW+)
デバイスが接続しているVLAN IDおよびネットワークIDです。
「vlan=VLAN ID」形式でVLAN IDを、「id=ネットワークID」形式でネットワークIDを表示します。
「id=」以降をクリックすると、「ポリシー設定」/「ネットワーク更新」画面を表示します。
アクションが適用されたデバイスには、接続中ネットワークは表示されません。
状況 □ AMFアプリケーションプロキシー機能(TQ)
デバイスの現在の状態です。

・認証済み: 登録されたデバイスのセキュリティーポリシーまたは未認証グループのセキュリティーポリシーに一致したデバイス、または外部システムからの指示や管理者の操作で許可されたデバイスです。外部システムからの指示や管理者の操作で許可された場合は、「action=」以降に許可の理由となったアクションID、および「解除」ボタンが表示されます。
・遮断中: 外部システムからの指示や管理者の操作で、ネットワークから遮断されたデバイスです。「action=」以降に、遮断の理由となったアクションID、および「解除」ボタンが表示されます。「解除」ボタンをクリックするか、「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除するまで、通常のネットワークに接続することはできません。遮断中のデバイスを、外部システムからの指示や管理者の操作で、隔離ネットワークに接続することは可能です。
・隔離中: 外部システムからの指示や管理者の操作で、隔離ネットワークに接続されたデバイスです。「action=」以降に、隔離の理由となったアクションID、および「解除」ボタンが表示されます。「解除」ボタンをクリックするまで、隔離ネットワーク以外に接続することはできません。隔離中のデバイスを、外部システムからの指示や管理者の操作で、ネットワークから遮断することは可能です。
・認証失敗: MACアドレスが未登録、またはセキュリティーポリシーに適合しないため、認証に失敗したデバイスです。
・検出: 未認証グループを用いた端末の検出を用いて検出されたデバイスです。
・ログ: 情報取得のために通知されたデバイスです。「action=」以降に、通知の理由となったアクションID、および「解除」ボタンが表示されます。

各状況をクリックすると、該当のデバイスの「接続中 デバイス詳細」画面が表示されます。
「認証済み」、「遮断中」、「隔離中」、または「ログ」の「action=」以降をクリックすると、適用されている「ポリシー設定」/「アクション詳細」画面が表示されます。

□ AMFアプリケーションプロキシー機能(AW+)
デバイスの現在の状態です。

・認証済み: 登録されたデバイスのセキュリティーポリシーに一致、または未認証グループのセキュリティーポリシーに一致したデバイスです。
・遮断中: AMFアプリケーションプロキシー機能で、通信をレイヤー2(MACレベル)で破棄されているデバイスです。「action=」以降に、遮断の理由となったアクションID、および「解除」ボタンが表示されます。「解除」ボタンをクリックするか、「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除するまで、通常のネットワークに接続することはできません。
・リンクダウン: AMFアプリケーションプロキシー機能で、接続されているポートが無効化されたデバイスです。「action=」以降に、遮断の理由となったアクションID、および「解除」ボタンが表示されます。「解除」ボタンをクリックするか、「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除するまで、通常のネットワークに接続することはできません。
・IPフィルター: AMFアプリケーションプロキシー機能で、通信をレイヤー3(IPレベル)で破棄されているデバイスです。「action=」以降に、遮断の理由となったアクションID、および「解除」ボタンが表示されます。「解除」ボタンをクリックするか、「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除するまで、通常のネットワークに接続することはできません。
・隔離中: AMFアプリケーションプロキシー機能で、隔離ネットワークに接続されているデバイスです。「action=」以降に、隔離の理由となったアクションID、および「解除」ボタンが表示されます。「解除」ボタンをクリックするまで、隔離ネットワーク以外に接続することはできません。
・認証失敗: MACアドレスが未登録、またはセキュリティーポリシーに適合しないため、認証に失敗したデバイスです。
・検出: 未認証グループを用いた端末の検出を用いて検出されたデバイスです。
・ログ: 情報取得のために通知されたデバイスです。「action=」以降に、通知の理由となったアクションID、および「解除」ボタンが表示されます。

各状況をクリックすると、該当のデバイスの「接続中 デバイス詳細」画面が表示されます。
「遮断中」、「リンクダウン」、「IPフィルター」、「隔離中」、または「ログ」の「action=」以降に理由となったアクションID、および「解除」ボタンが表示されます。「action=」以降をクリックすると、適用されている「ポリシー設定」/「アクション詳細」画面が表示されます。
接続ポートのポート名は、TQやAMFノードによって異なります。
表 23:接続ポート名
ポート名 説明
AlliedWare Plusスイッチ
portX.Y.Z X:常に「1」。
Y:拡張モジュールベイの番号。本体内蔵ポートの場合は「0」。
Z:製品本体に表記されたポート番号。
AT-TQシリーズ無線アクセスポイント
wlanX 無線インターフェース。
athX 無線インターフェース。
wdevXapY 無線インターフェース。
表 24:コマンドボタン
項目名 説明
ページ上部
デバイスの探索 「デバイスの探索」ダイアログを表示します。
「デバイスの探索」を開始すると「デバイスの探索」ボタンが「探索の中止」に変わります。デバイス探索の実行時は、「デバイスの探索」ボタン/「探索の中止」ボタンの下の進捗欄に状況を表示します。
探索の中止 デバイスの探索を中止します。
デバイスの探索の実行中のみ、「デバイスの探索」ボタンから変化して表示されます。
アクション一覧 「ポリシー設定」/「アクション一覧」画面を表示します。
CSV にエクスポート デバイス一覧をCSV(カンマ区切りテキスト)形式でダウンロードします。
更新 「接続中 デバイス一覧」画面の表示を現在の状況に更新します。
接続中 デバイス一覧
タイトル行
複数切断 □ AMFアプリケーションプロキシー機能(TQ)
一覧の各行左端のチェックボックスにチェックを入れたデバイスの接続を一斉にネットワークから切断します。
一時的な切断のため、切断されたデバイスは権限がある限りネットワークに再接続可能です。

□ AMFアプリケーションプロキシー機能(AW+)
AMFアクションが適用されたデバイスに対して本操作は実行されません。

□ AMFアプリケーションプロキシーホワイトリスト機能
一覧の各行左端のチェックボックスにチェックを入れたデバイスの接続を一斉にネットワークから切断します。
一時的な切断のため、切断されたデバイスは権限がある限りネットワークに再接続可能です。
各行
デバイス ID 登録 (未登録のMACアドレスにのみ表示)
「デバイス追加」ダイアログを表示し、MACアドレスを新規デバイスまたは既存のデバイスとして登録します。
MACアドレスを新規デバイスとして登録するか、既存のデバイスに追加するかは、「デバイス追加」ダイアログで選択します。
固定登録 本バージョンでは未サポートとなります。
状況 解除 (一致するアクションが存在する場合のみ表示)
該当のアクションを解除します。
行末 切断 □ AMFアプリケーションプロキシー機能(TQ)
現在接続中のデバイスをネットワークから切断します。
一時的な切断のため、切断されたデバイスは権限がある限りネットワークに再接続可能です。

□ AMFアプリケーションプロキシー機能(AW+)
AMFアクションが適用されたデバイスに対して本操作は実行されません。

□ AMFアプリケーションプロキシーホワイトリスト機能
現在接続中のデバイスをネットワークから切断します。
一時的な切断のため、切断されたデバイスは権限がある限りネットワークに再接続可能です。
遮断 本バージョンでは未サポートとなります。
隔離 本バージョンでは未サポートとなります。
Note
CSVファイルについては、付録「CSVファイル」をご参照ください。
AMFアプリケーションプロキシー機能(TQ)の隔離ネットワークのVLAN IDは、「AMF」/「TQ設定」画面で設定可能です。

デバイス追加

「デバイス」/「接続中 デバイス一覧」画面にて、MACアドレスの「登録」ボタンをクリックすると、未登録のMACアドレスを新規デバイスまたは既存のデバイスとして登録することができます。

表 25:設定データ
項目名 説明
このMAC アドレスを新規デバイスとして登録します。 「接続中 デバイス一覧」画面で指定したMACアドレスを、新規デバイスのインターフェースとして登録します。
このMAC アドレスを既存のデバイスに追加します。 「接続中 デバイス一覧」画面で指定したMACアドレスを、既存のデバイスの新規インターフェースとして登録します。
デバイス 「このMAC アドレスを既存のデバイスに追加します。」ラジオボタンをオンにした場合に、該当のMACアドレスを登録するデバイスIDを指定します。
事前に登録されたデバイスIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をデバイスID、タグ、備考のいずれかに含むデバイスIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするデバイスIDをクリックします。
表 26:コマンドボタン
項目名 説明
ダイアログ下部
登録 入力したデバイスのインターフェースを新規に登録します。
該当のMACアドレスを新規デバイスのインターフェースとして登録する場合は「デバイス」/「デバイス追加」画面を、既存のデバイスのインターフェースとして追加登録する場合は「デバイス」/「デバイス更新」画面を表示します。
表示される「デバイス追加」画面、「デバイス更新」画面のインターフェース欄には、該当のMACアドレスが追加されますので、デバイスID、タグ、備考、セキュリティーポリシー、その他のインターフェースを必要に応じて設定し、「登録」ボタンをクリックしてください。
キャンセル デバイスのインターフェースの新規追加をキャンセルします。

デバイスの探索

「デバイス」/「接続中 デバイス一覧」画面にて、「デバイスの探索」ボタンをクリックすると、管理下のネットワークに対してデバイスの探索を行います。

表 27:設定データ
項目名 説明
検索範囲 デバイス探索を行うIPv4アドレス、またはIPv4アドレス範囲を指定します。
IPv4アドレス範囲は、以下のように指定します。
 xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx(始点アドレス・終点アドレス)
 xxx.xxx.xxx.xxx/xx(IPv4アドレスとサブネットマスク長)
 xxx.xxx.xxx.xxx または xxx.xxx.xxx.xxx/32(1つのIPアドレスを指定)
Probe ARP / ARP デバイス探索の方法を、Probe ARPまたはARPから選択します。ARPの場合は送信元IPを指定します。
送信元IP 探索方法で、ARPが選択されている場合のみ指定します。
OpenFlow スイッチ / AMF メンバー □ AMFアプリケーションプロキシー機能
探索の対象となるAMFメンバーの名称を指定します。複数のAMFメンバーを指定する場合は、セミコロン区切り(;)で名称を入力します。AMFメンバーを指定しない場合(空欄)は、接続しているすべてのAMFメンバーが対象となります。
Note
送信元IPは、検索範囲と同一ネットワークのIPアドレスのうち、探索を行うネットワーク内で使用されていないものを指定してください。
始点アドレス・終点アドレスの指定は、IPアドレス数が4,094以下になるようにしてください。
サブネットマスク長の指定は、20~32ビットマスクの範囲で指定してください。
表 28:コマンドボタン
項目名 説明
ダイアログ下部
検索 入力したIPv4アドレスの検索を開始します。
「検索」ボタンをクリックすると、「接続中 デバイス一覧」画面に戻ります。「デバイスの探索」を開始すると「デバイスの探索」ボタンが「探索の中止」に変わります。デバイス探索の実行状況は、「デバイスの探索」ボタン/「探索の中止」ボタンの下の進捗欄に表示されます。
キャンセル デバイス探索をキャンセルします。

接続中 デバイス詳細

「デバイス」/「接続中 デバイス一覧」画面にて、「MAC アドレス」項目のMACアドレスまたは「状況」項目の各状況をクリックすると、選択したデバイスの詳細を本画面に表示します。

表 29:表示データ
項目名 説明
MAC アドレス AMF Security miniに管理されているMACアドレスとベンダー名です。
IPv4 アドレス デバイスのIPv4アドレスです。アドレスを特定することができた場合のみ表示されます。
デバイス ID 該当MACアドレスのインターフェースを持つデバイスです。
・MACアドレスを関連付けられたデバイスが存在する場合は、デバイスのセキュリティーポリシーに一致するかどうかにかかわらず、そのデバイスIDが表示されます。
デバイスIDをクリックすると、「デバイス更新」画面が表示されます。
・MACアドレスを関連付けられたデバイスが存在せず、接続がいずれかの未認証グループのセキュリティーポリシーに一致する場合は、「group=グループID」の形式でグループIDが表示されます。
グループIDをクリックすると、「グループ」/「未認証グループ更新」画面が表示されます。
・MACアドレスにデバイスが関連付けられておらず、かつ未認証グループのセキュリティーポリシーを満たさない場合は、デバイスは空欄となります。
状況 □ AMFアプリケーションプロキシー機能(TQ)
デバイスの現在の状態です。

・認証済み: 登録されたセキュリティーポリシーに一致、または未認証グループのセキュリティーポリシーに一致したデバイスです。
・遮断中: 外部システムからの指示や管理者の操作でネットワークから遮断されたデバイスです。「action=」以降に、遮断の理由となったアクションID、および「解除」ボタンが表示されます。「解除」ボタンをクリックするか、「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除するまで、通常のネットワークに接続することはできません。遮断中のデバイスを、外部システムからの指示や管理者の操作で、隔離ネットワークに接続することは可能です。
・隔離中: 外部システムからの指示や管理者の操作で隔離ネットワークに接続されたデバイスです。「action=」以降に、隔離の理由となったアクションID、および「解除」ボタンが表示されます。「解除」ボタンをクリックするまで、隔離ネットワーク以外に接続することはできません。隔離中のデバイスを、外部システムからの指示や管理者の操作で、ネットワークから遮断することは可能です。
・認証失敗: MACアドレスが未登録、またはセキュリティーポリシーに適合しないため、認証に失敗したデバイスです。
・検出: 未認証グループを用いた端末の検出を用いて検出されたデバイスです。
・ログ: 情報取得のために通知されたデバイスです。「action=」以降に、通知の理由となったアクションID、および「解除」ボタンが表示されます。

□ AMFアプリケーションプロキシー機能(AW+)
デバイスの現在の状態です。

・認証済み: 登録されたセキュリティーポリシーに一致、または未認証グループのセキュリティーポリシーに一致したデバイスです。
・遮断中: AMFアプリケーションプロキシー機能で、通信をレイヤー2(MACレベル)で破棄されているデバイスです。
・リンクダウン: AMFアプリケーションプロキシー機能で、接続されているポートが無効化されたデバイスです。
・IPフィルター: AMFアプリケーションプロキシー機能で、通信をレイヤー3(IPレベル)で破棄されているデバイスです。
・隔離中: AMFアプリケーションプロキシー機能で、隔離ネットワークに接続されているデバイスです。
・認証失敗: MACアドレスが未登録、またはセキュリティーポリシーに適合しないため、認証に失敗したデバイスです。
・検出: 未認証グループを用いた端末の検出を用いて検出されたデバイスです。
・ログ: 情報取得のために通知されたデバイスです。
更新日時 現在の状況になった日時です。
接続中ネットワーク デバイスが接続しているVLAN IDおよびネットワークIDです。
「vlan=VLAN ID」形式でVLAN IDを、「id=ネットワークID」形式でネットワークIDを表示します。「id=」以降をクリックすると、「ポリシー設定」/「ネットワーク更新」画面を表示します。
アクションの実行者 デバイスの認証や、アクションの適用を要請したシステムなどの名前が表示されます。
アクションの原因 デバイスの認証や、アクションの適用を要請したシステムなどが原因(例:未認証グループによる接続など)を提示していた場合は、その原因が表示されます。
また、アクションが連携アプリケーションの通知による場合、通知されたSyslogメッセージおよびSNMPトラップのメッセージの内容が表示されます。
表 30:コマンドボタン
項目名 説明
ページ上部
戻る 「接続中 デバイス一覧」画面に戻ります。
更新 「接続中 デバイス詳細」画面の表示を現在の状況に更新します。

リファレンス編 / グループ

未認証グループ一覧
未認証グループ追加
ポリシー編集
未認証グループ更新
ポリシー編集

通常の認証に失敗したデバイスのうち、特定のロケーションおよびスケジュール条件に一致するものを未認証グループと呼び、専用のネットワークに接続します。
未認証グループについて詳しくは、クイックツアー「未認証グループによるゲストネットワークの提供」/「未認証グループとは」をご参照ください。

未認証グループ一覧

AMF Security miniに登録された未認証グループを表示します。

表 1:検索・並べ替え対象項目
項目 検索 並べ替え
グループ ID
有効 × ×
備考
ポリシー数 × ×
表 2:表示データ
項目名 説明
グループ ID 未認証グループの名称です。
有効 この未認証グループが有効であるかどうかを表示します。
備考 この未認証グループの追加説明やコメントです。
ポリシー数 未認証グループに設定されたセキュリティーポリシーの数です。
表 3:コマンドボタン
項目名 説明
ページ上部
未認証グループ追加 「未認証グループ追加」画面を表示します。
CSV にエクスポート 未認証グループ一覧をCSV(カンマ区切りテキスト)形式でダウンロードします。
未認証グループ一覧
タイトル行
複数削除 一覧の各行左端のチェックボックスにチェックを入れた未認証グループ情報を削除します。
各行
編集 選択した未認証グループの「未認証グループ更新」画面を表示します。
削除 選択した未認証グループ情報を削除します。
Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

未認証グループ追加

新しい未認証グループを設定します。

表 4:設定データ
項目名 説明
有効 この未認証グループを有効にするかどうかを設定します。
グループ ID(必須項目) AMF Security miniに登録する未認証グループのIDです。
既に使用されているグループIDを設定することはできません。
グループIDは最大255文字で、英数字、記号以外に日本語も使用できます。
備考 この未認証グループの追加説明やコメントです。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。
端末の検出のみを行います。 この未認証グループに設定されたセキュリティーポリシーにデバイスが一致した場合に、端末をネットワークに接続せずに、接続中デバイス一覧に表示のみ行います。
表 5:表示データ
項目名 説明
ポリシー
ポリシー 未認証グループに設定するセキュリティーポリシーの一覧を表示します。
優先度 セキュリティーポリシーを適用する優先度です。
ネットワーク 未認証グループのデバイスを接続するネットワークのIDです。
ロケーション ロケーションのIDです。
スケジュール スケジュールのIDです。
表 6:コマンドボタン
項目名 説明
ポリシー
タイトル行
追加 「ポリシー編集」ダイアログを表示し、未認証グループに設定するセキュリティーポリシーを新しく登録します。
各行
編集 「ポリシー編集」ダイアログを表示し、選択したセキュリティーポリシーを編集します。
削除 選択したセキュリティーポリシーを削除します。削除するセキュリティーポリシーの行の左端に削除マークが付きます。
戻す 削除マークを付けたセキュリティーポリシーを戻します。
ページ下部
登録 入力した未認証グループ情報を新規に登録します。
キャンセル 未認証グループの新規追加をキャンセルします。
Note
「削除」ボタンをクリックし、削除マークを付けたインターフェース、セキュリティーポリシーは、「登録」ボタンをクリックした際に削除されます。「登録」ボタンをクリックして削除されたインターフェース、セキュリティーポリシーは復元できませんので、新規に登録し直してください。

ポリシー編集

未認証グループに設定するセキュリティーポリシーを追加、または、設定されたセキュリティーポリシーの詳細を更新します。

表 7:設定データ
項目名 説明
優先度(必須項目) セキュリティーポリシーを適用する優先度です。0~255の数字で入力します。
複数のセキュリティーポリシーが設定されている場合、未認証グループのデバイスがAMFメンバーに接続されると、最も優先度の値が小さいセキュリティーポリシーから順に一致するかどうかの判定が行われます。
ネットワーク 通常の認証に失敗したデバイスを接続するネットワークを選択します。
事前に登録されたネットワークIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をネットワークID、VLAN ID、備考のいずれかに含むネットワークIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするネットワークIDをクリックします。
登録されたデバイスがAMFメンバー(エッジノード)、AMFアプリケーションプロキシーのTQに接続された場合は、ネットワークに設定されたVLANサブネットに接続されます。デバイスにネットワークが登録されていない場合(本設定を空欄、またはネットワークのセキュリティーポリシー設定でVLAN IDに0を設定した場合)は、AMFメンバーに設定されているVLANに接続されます。VLANサブネットへの接続は、接続したAMFメンバーの上位ネットワークに送信されるときに、設定されたVLAN IDを持つタグVLANとして送信することにより実現します。
デバイスにネットワークを設定するためには、事前にネットワークを登録する必要があります。ネットワークの登録については、「ポリシー設定」/「ネットワーク追加」をご参照ください。
また、登録されたデバイスがAMFアプリケーションプロキシーのTQに接続された場合は、TQの設定に依存します。詳細は、クイックツアー「AMF Security miniについて」/「TQのAMFアプリケーションプロキシー機能」の「TQのダイナミック VLAN使用時の動作」をご参照ください。
ロケーション 通常の認証に失敗したデバイスを、未認証グループに収容するロケーション(場所)を選択します。
事前に登録されたロケーションIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をロケーションIDまたは備考のいずれかに含むロケーションIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするロケーションIDをクリックします。
ロケーションを設定した場合は、そのロケーションに登録されたAMFメンバーからのみ接続が可能となります。
ロケーションが選択されていない場合は、すべてのAMFメンバーからアクセス可能です。
未認証グループにロケーションを設定するためには、事前にロケーションを登録する必要があります。ロケーションの登録については、「ポリシー設定」/「ロケーション追加」をご参照ください。
スケジュール 通常の認証に失敗したデバイスを、未認証グループに収容するスケジュール(期間)を選択します。
事前に登録されたスケジュールIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をスケジュールID、備考のいずれかに含むスケジュールIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするスケジュールIDをクリックします。
スケジュールを設定した場合は、そのスケジュールに登録された期間のみ接続が可能となります。スケジュールが選択されていない場合はいつでもアクセスが可能です。
未認証グループにスケジュールを設定するためには、事前にスケジュールを登録する必要があります。スケジュールの登録については、「ポリシー設定」/「スケジュール追加」をご参照ください。
Note
AMFメンバーに設定されているVLANにアクセス可能な場合、スイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。
Note
TQのAMFアプリケーションプロキシー機能では、ロケーションとスケジュールの項目は未サポートです。
表 8:コマンドボタン
項目名 説明
ダイアログ下部
登録 新しいポリシー情報を登録、または、選択したポリシー情報を更新します。
キャンセル ポリシー情報の登録、または、更新をキャンセルします。

未認証グループ更新

既に設定された未認証グループ設定を更新します。

表 9:設定データ
項目名 説明
有効 この未認証グループを有効にするかどうかを設定します。
グループ ID(必須項目) AMF Security miniに登録された未認証グループのIDです。
既に使用されているグループIDを設定することはできません。
グループIDは最大255文字で、英数字、記号以外に日本語も使用できます。
備考 この未認証グループの追加説明やコメントです。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。
端末の検出のみを行います。 この未認証グループに設定されたセキュリティーポリシーにデバイスが一致した場合に、端末をネットワークに接続せずに、接続中デバイス一覧に表示のみ行います。本設定をしている場合は、セキュリティーポリシーにネットワークが設定されていたとしてもネットワークには接続されません。
表 10:表示データ
項目名 説明
ポリシー
ポリシー 未認証グループに設定するセキュリティーポリシーの一覧を表示します。
優先度 セキュリティーポリシーを適用する優先度です。
ネットワーク 未認証グループのデバイスを接続するネットワークのIDです。
ロケーション ロケーションのIDです。
スケジュール スケジュールのIDです。
表 11:コマンドボタン
項目名 説明
ポリシー
タイトル行
追加 「ポリシー編集」ダイアログを表示し、未認証グループに設定するセキュリティーポリシーを新しく登録します。
各行
編集 「ポリシー編集」ダイアログを表示し、選択したセキュリティーポリシーを編集します。
削除 選択したセキュリティーポリシーを削除します。削除するセキュリティーポリシーの行の左端に削除マークが付きます。
戻す 削除マークを付けたセキュリティーポリシーを戻します。
ページ下部
登録 選択した未認証グループ情報を更新します。
キャンセル 未認証グループ情報の更新をキャンセルします。
Note
「削除」ボタンをクリックし、削除マークを付けたインターフェース、セキュリティーポリシーは、「登録」ボタンをクリックした際に削除されます。「登録」ボタンをクリックして削除されたインターフェース、セキュリティーポリシーは復元できませんので、新規に登録し直してください。

ポリシー編集

未認証グループに設定するセキュリティーポリシーを追加、または、設定されたセキュリティーポリシーの詳細を更新します。

表 12:設定データ
項目名 説明
優先度(必須項目) セキュリティーポリシーを適用する優先度です。0~255の数字で入力します。
複数のセキュリティーポリシーが設定されている場合、未認証グループのデバイスがAMFメンバーに接続されると、最も優先度の値が小さいセキュリティーポリシーから順に一致するかどうかの判定が行われます。
ネットワーク 通常の認証に失敗したデバイスを接続するネットワークを選択します。
事前に登録されたネットワークIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をネットワークID、VLAN ID、備考のいずれかに含むネットワークIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするネットワークIDをクリックします。
登録されたデバイスがAMFメンバー(エッジノード)、AMFアプリケーションプロキシーのTQに接続された場合は、ネットワークに設定されたVLANサブネットに接続されます。デバイスにネットワークが登録されていない場合(本設定を空欄、またはネットワークのセキュリティーポリシー設定でVLAN IDに0を設定した場合)は、AMFメンバーに設定されているVLANに接続されます。VLANサブネットへの接続は、接続したAMFメンバーの上位ネットワークに送信されるときに、設定されたVLAN IDを持つタグVLANとして送信することにより実現します。
デバイスにネットワークを設定するためには、事前にネットワークを登録する必要があります。ネットワークの登録については、「ポリシー設定」/「ネットワーク追加」をご参照ください。
また、登録されたデバイスがAMFアプリケーションプロキシーのTQに接続された場合は、TQの設定に依存します。詳細は、クイックツアー「AMF Security miniについて」/「TQのAMFアプリケーションプロキシー機能」の「TQのダイナミック VLAN使用時の動作」をご参照ください。
ロケーション 通常の認証に失敗したデバイスを、未認証グループに収容するロケーション(場所)を選択します。
事前に登録されたロケーションIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をロケーションIDまたは備考のいずれかに含むロケーションIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするロケーションIDをクリックします。
ロケーションを設定した場合は、そのロケーションに登録されたAMFメンバーからのみ接続が可能となります。
ロケーションが選択されていない場合は、すべてのAMFメンバーからアクセス可能です。
未認証グループにロケーションを設定するためには、事前にロケーションを登録する必要があります。ロケーションの登録については、「ポリシー設定」/「ロケーション追加」をご参照ください。
スケジュール 通常の認証に失敗したデバイスを、未認証グループに収容するスケジュール(期間)を選択します。
事前に登録されたスケジュールIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をスケジュールID、備考のいずれかに含むスケジュールIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするスケジュールIDをクリックします。
スケジュールを設定した場合は、そのスケジュールに登録された期間のみ接続が可能となります。スケジュールが選択されていない場合はいつでもアクセスが可能です。
未認証グループにスケジュールを設定するためには、事前にスケジュールを登録する必要があります。スケジュールの登録については、「ポリシー設定」/「スケジュール追加」をご参照ください。
Note
AMFメンバーに設定されているVLANにアクセス可能な場合、スイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。
Note
TQのAMFアプリケーションプロキシー機能では、ロケーションとスケジュールの項目は未サポートです。
表 13:コマンドボタン
項目名 説明
ダイアログ下部
登録 新しいポリシー情報を登録、または、選択したポリシー情報を更新します。
キャンセル ポリシー情報の登録、または、更新をキャンセルします。

リファレンス編 / スイッチ

AMF メンバー 一覧
AMF メンバー 追加
AMF メンバー 更新
接続中 AMF メンバー 一覧

AMF メンバー 一覧

AMF Security miniに登録されたAMFメンバーを表示します。

表 1:検索・並べ替え対象項目
項目 検索 並べ替え
名称
アカウントグループ ID
備考
表 2:表示データ
項目名 説明
名称 AMF Security miniに登録されたAMFメンバーの名前です。
アカウントグループ ID AMFメンバーが所属するアカウントグループIDです。
備考 このAMFメンバーの追加説明やコメントです。
表 3:コマンドボタン
項目名 説明
ページ上部
AMF メンバー 追加 「AMF メンバー 追加」画面を表示します。
接続中 AMF メンバー 一覧 「接続中 AMF メンバー 一覧」画面を表示します。
CSV にエクスポート AMFメンバー一覧をCSV(カンマ区切りテキスト)形式でダウンロードします。
AMF メンバー 一覧
タイトル行
複数削除 一覧の各行左端のチェックボックスにチェックを入れたAMFメンバーの認証情報を削除します。
各行
編集 選択したAMFメンバーの「AMF メンバー 更新」画面を表示します。
削除 選択したAMFメンバー情報を削除します。
Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

AMF メンバー 追加

新しいAMFメンバー設定を登録します。
AMFメンバーの登録を行うと、セキュリティーポリシーのロケーションやアカウントグループを関連付けることができます。
ロケーションやアカウントグループを使用しない場合には、AMFメンバーの登録は必須ではありません。
Note
AMFメンバーの登録を行うと、AMF Security miniは該当するAMFメンバーのすべての認証情報を削除します。

表 4:設定データ
項目名 説明
名称 AMFメンバーの名称です。
「AMF メンバー 一覧」画面で、既に使用されているスイッチIDと名称を設定することはできません。
名称は最大255文字で、使用可能な文字は半角英数字とハイフン(-)、アンダースコア(_)のみです。
アカウントグループ ID AMFメンバーが所属するアカウントグループIDを選択します。
備考 AMFメンバーの追加説明やコメントを記載できます。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。
Note
AMFメンバーの管理はAMFメンバーのホスト名で行うため、名称はAMFメンバーのホスト名と同一にしてください。
Note
AMFメンバーの名称は重複して登録できないため、AMFメンバーのホスト名も重複しないようにしてください。
表 5:コマンドボタン
項目名 説明
ページ下部
登録 入力したAMFメンバー情報を新規に登録します。
キャンセル AMFメンバーの新規追加をキャンセルします。

AMF メンバー 更新

既に設定されたAMFメンバー設定を更新します。
Note
AMFメンバーの更新を行うと、AMF Security miniは該当するAMFメンバーのすべての認証情報を削除します。

表 6:設定データ
項目名 説明
名称 AMFメンバーの名称です。
「AMF メンバー 一覧」画面で、既に使用されているスイッチIDと名称を設定することはできません。
名称は最大255文字で、使用可能な文字は半角英数字とハイフン(-)、アンダースコア(_)のみです。
アカウントグループ ID AMFメンバーが所属するアカウントグループIDを選択します。
備考 AMFメンバーの追加説明やコメントを記載できます。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。
Note
AMFメンバーの管理はAMFメンバーのホスト名で行うため、名称はAMFメンバーのホスト名と同一にしてください。
表 7:コマンドボタン
項目名 説明
ページ下部
登録 選択したAMFメンバー情報を更新します。
キャンセル AMFメンバー情報の更新をキャンセルします。

接続中 AMF メンバー 一覧

現在接続中のAMFメンバーを表示します。
アカウントグループを設定している場合、ログインしたアカウントが所属するアカウントグループに属するAMFメンバーのみ表示されます。

表 8:検索・絞り込み・並べ替え対象項目
項目 検索 絞り込み 並べ替え
名称
登録状況 × ×
ドメイン名
IPv4 アドレス ×
最終更新日時 × ×
表 9:表示データ
項目名 説明
名称 AMFメンバーの名称(AMF Security miniが使用する識別子)です。
登録状況 AMF Security miniに登録されたAMFメンバーの登録状況です。
「登録」ボタンをクリックすると、「AMF メンバー 追加」画面を表示します。
AMFメンバーが登録されていない場合、未登録の表記と「登録」ボタンが表示されます。
ドメイン名 AMFメンバーのドメイン名です。
IPv4 アドレス AMFメンバーのIPv4アドレスです。
最終更新日時 AMF Security miniとAMFメンバーが最後に通信した日時を表示します。
Note
AMFメンバーのIPv4アドレスは、AMFメンバーに「application-proxy whitelist advertised-address」が設定されていない場合には、AMFのマネージメントVLANのIPアドレスが表示されます。AMFメンバーに「application-proxy whitelist advertised-address」が設定されている場合は、指定したインターフェースのプライマリーIPv4アドレスが表示されますが、該当のAMFメンバー配下の端末の通信可否の問い合わせを受けていない場合には、AMFのマネージメントVLANのIPアドレスが表示されます。
表 10:コマンドボタン
項目名 説明
ページ上部
AMF メンバー 一覧 「AMF メンバー 一覧」画面を表示します。
CSV にエクスポート 接続中AMFメンバー一覧をCSV(カンマ区切りテキスト)形式でダウンロードします。
接続中 AMF メンバー 一覧
タイトル行
複数削除 一覧の各行左端のチェックボックスにチェックを入れたAMFメンバーのすべての認証情報を削除します。
各行
登録 選択したAMFメンバーの「AMF メンバー 更新」画面を表示します。
同期 選択したAMFメンバーの認証情報を取得します。
削除 選択したAMFメンバーのすべての認証情報を削除します。
Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

リファレンス編 / ポリシー設定

セキュリティーポリシーについて
スケジュールの開始日時・終了日時について
ネットワーク一覧
ネットワーク追加
ネットワーク更新
ロケーション一覧
ロケーション追加
OpenFlow スイッチ / AMF メンバー
ロケーション更新
OpenFlow スイッチ / AMF メンバー
スケジュール一覧
スケジュール追加
スケジュール更新
アクション一覧
アクション追加
アクション詳細

デバイス、または未認証グループに適用するセキュリティーポリシーを表示、設定します。
また、AMF Security miniにセキュリティーポリシーに登録されているアクションの一覧を表示、またはアクションの追加もここから行います。

セキュリティーポリシーについて

セキュリティーポリシーには、次の属性があります。
デバイスには複数のセキュリティーポリシーを設定でき、セキュリティーポリシーに設定される優先度の値が最も小さいものが適用されます。
AMF Security miniにスケジュールのセキュリティーポリシーが設定されている場合、AMF Security miniはデバイスが接続した時点で一致するセキュリティーポリシーに基づいて接続を許可します。
仮に次のようなセキュリティーポリシーが設定されている場合を例として説明します。
表 1:デバイスに設定されているセキュリティーポリシー
優先度 スケジュール開始日時 スケジュール終了日時 ネットワーク
10 20XX-04-01 00:00:00 20XX-09-30 23:59:59 VLAN10
20 20XX-01-01 00:00:00 20XX-12-31 23:59:59 VLAN20
上記の状態でデバイスが「20XX-03-30 10:00:00」に接続すると、優先度20に設定されているセキュリティーポリシーに一致するため、デバイスはVLAN20のネットワークに割り当てられます。
その後、時間が経過して「20XX-04-01 00:00:00」になると、より優先度が高い、優先度10に設定されているセキュリティーポリシーに一致するようになるため、デバイスはVLAN10のネットワークに割り当てられます。

スケジュールの開始日時・終了日時について

スケジュールで設定する開始日時・終了日時は、「システム設定」/「時刻設定」画面で現在設定されているタイムゾーンの日時です。
スケジュールを登録後にタイムゾーンが変更されると、変更後のタイムゾーンに合わせてスケジュールの開始日時・終了日時が変更されます。
例として、タイムゾーンが「UTC」に設定されている状態でスケジュールの登録を行った後に、タイムゾーンを「Asia/Tokyo」に変更すると、スケジュールの開始日時・終了日時は「UTC+9時間」に変更されます。
表 2:タイムゾーンが「UTC」で以下を設定
スケジュール開始日時 スケジュール終了日時
20XX-04-01 08:00:00 20XX-09-30 23:59:59
表 3:タイムゾーンを「UTC」から「Asia/Tokyo」に変更
スケジュール開始日時 スケジュール終了日時
20XX-04-01 17:00:00 20XX-10-01 08:59:59
そのため、以下のようなスケジュールの設定に関連した操作を行う場合には、事前に使用されるタイムゾーンが設定されていることをご確認ください。
Note
「システム設定」/「システム情報」画面でエクスポートするシステム設定には、タイムゾーンの設定が含まれます。AMF Security miniのタイムゾーンの初期設定は「UTC」のため、AMF Security miniの初期化や新規インストール後などに、バックアップしていたシステム設定と認証データをインポートする場合には、「システム設定」のインポート → AMF Security miniインスタンスの再起動(停止→起動) → 「認証データ」のインポートの順で行ってください。
AMF Security miniインスタンスの操作については、AW+のコマンドリファレンスの「Web GUI」/「Vista Manager mini - AMF Security mini」をご参照ください。

ネットワーク一覧

登録済みネットワーク設定の一覧を表示します。

表 4:検索・並べ替え対象項目
項目 検索 並べ替え
ネットワーク ID
VLAN ID
備考
表 5:表示データ
項目名 説明
ネットワーク ID ネットワークの名称です。
クリックすると、該当のネットワークの「ネットワーク更新」画面を表示します。
VLAN ID ネットワークのVLAN IDです。
備考 ネットワークの追加説明やコメントです。
表 6:コマンドボタン
項目名 説明
ページ上部
ネットワーク追加 「ネットワーク追加」画面を表示します。
CSV にエクスポート ネットワーク一覧をCSV(カンマ区切りテキスト)形式でダウンロードします。
ネットワーク一覧
タイトル行
複数削除 一覧の各行左端のチェックボックスにチェックを入れたネットワーク設定を削除します。
各行
編集 「ネットワーク更新」画面を表示します。
削除 ネットワーク設定を削除します。
Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

ネットワーク追加

新しいネットワークとそのネットワークのVLAN IDを設定します。
ネットワーク設定を利用することにより、接続許可デバイスが接続されるVLANセグメントを制御できます。
VLANセグメントへの接続制御は、接続許可デバイスが送信したパケットにVLANタグを付加することにより実現します。

表 7:設定データ
項目名 説明
ネットワーク ID(必須項目) ネットワークの名称です。
既に使用されているネットワークIDを設定することはできません。
ネットワークIDは最大255文字で、英数字、記号以外に日本語も使用できます。
VLAN ID(必須項目) ネットワークのVLAN IDを設定します。既に登録済みのVLAN IDを別のネットワークに割り当てることはできません。
VLAN IDに0を設定するとVLANタグを付与しません。これはネットワーク設定を行わない状態と同じ動作になります。
VLAN IDの設定範囲は0~4094です。
備考 このネットワークの追加説明やコメントを記載できます。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。
表 8:コマンドボタン
項目名 説明
ページ下部
登録 入力したネットワーク情報を新規に登録します。
キャンセル ネットワークの新規追加をキャンセルします。

ネットワーク更新

既に設定されたネットワーク設定を更新します。

表 9:設定データ
項目名 説明
ネットワーク ID(必須項目) ネットワークの名称です。
既に使用されているネットワークIDを設定することはできません。
IDは最大255文字で、英数字、記号以外に日本語も使用できます。
VLAN ID(必須項目) ネットワークのVLAN IDを設定します。
VLAN IDに0を設定するとVLANタグを付与しません。これはネットワーク設定を行わない状態と同じ動作になります。
VLAN IDの設定範囲は0~4094です。
備考 このネットワークの追加説明やコメントを記載できます。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。
表 10:コマンドボタン
項目名 説明
ページ下部
登録 選択したネットワーク情報を更新します。
キャンセル ネットワーク情報の更新をキャンセルします。

ロケーション一覧

登録済みロケーション設定の一覧を表示します。

表 11:検索・並べ替え対象項目
項目 検索 並べ替え
ロケーション ID
備考
スイッチ数 × ×
表 12:表示データ
項目名 説明
ロケーション ID ロケーションの名称です。
クリックすると、該当のロケーションの「ロケーション更新」画面を表示します。
備考 ロケーションの追加説明やコメントです。
スイッチ数 ロケーションに登録されているAMFメンバーの数です。
表 13:コマンドボタン
項目名 説明
ページ上部
ロケーション追加 「ロケーション追加」画面を表示します。
CSV にエクスポート ロケーション一覧をCSV(カンマ区切りテキスト)形式でダウンロードします。
ロケーション一覧
タイトル行
複数削除 一覧の各行左端のチェックボックスにチェックを入れたロケーション設定を削除します。
各行
編集 選択したロケーションの「ロケーション更新」画面を表示します。
削除 選択したロケーション設定を削除します。
Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

ロケーション追加

新しいロケーションとそのロケーションに所属するAMFメンバーを設定します。
ここで登録したロケーションをデバイスに設定することで、デバイスはそのロケーションに登録されたAMFメンバーからのみ接続できるようになります。

表 14:設定データ
項目名 説明
ロケーション ID(必須項目) ロケーションの名称です。
既に使用されているロケーションIDを設定することはできません。
ロケーションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
備考 このロケーションの追加説明やコメントを記載できます。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。
OpenFlow スイッチ / AMF メンバー このロケーションに所属するAMFメンバーの一覧です。
表 15:表示データ
項目名 説明
OpenFlow スイッチ / AMF メンバー
スイッチ ID ロケーションに所属するAMFメンバーの名称です。
Datapath ID 本バージョンでは未サポートです。
備考 このAMFメンバーの追加説明やコメントです。
表 16:コマンドボタン
項目名 説明
OpenFlow スイッチ / AMF メンバー
選択 「OpenFlow スイッチ / AMF メンバー」ダイアログを表示します。
ページ下部
登録 入力したロケーション情報を新規に登録します。
キャンセル ロケーションの新規追加をキャンセルします。

OpenFlow スイッチ / AMF メンバー

ロケーション設定に所属するAMFメンバーの追加、削除を行う画面です。
この画面には、「スイッチ」/「AMF メンバー 一覧」画面にて登録されているAMFメンバーの一覧が表示されます。
AMFメンバー一覧の左端のボックスにチェックを入れることにより、当該のロケーションにAMFメンバーが追加されます。

表 17:表示データ
項目名 説明
スイッチ ID AMF Security miniに登録されたAMFメンバーの名称です。
Datapath ID 本バージョンでは未サポートです。
備考 このAMFメンバーの追加説明やコメントです。
表 18:コマンドボタン
項目名 説明
ダイアログ下部
登録 チェックを入れたAMFメンバーをロケーションに登録します。
キャンセル 該当ロケーションに所属するAMFメンバー一覧の変更をキャンセルします。

ロケーション更新

既に設定されたロケーション設定を更新します。

表 19:設定データ
項目名 説明
ロケーション ID(必須項目) ロケーションの名称です。
既に使用されているロケーションIDを設定することはできません。
ロケーションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
備考 このロケーションの追加説明やコメントを記載できます。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。
OpenFlow スイッチ / AMF メンバー このロケーションに所属するAMFメンバーの一覧です。
表 20:表示データ
項目名 説明
OpenFlow スイッチ / AMF メンバー
スイッチ ID ロケーションに所属するAMFメンバーの名称です。
Datapath ID 本バージョンでは未サポートです。
備考 このAMFメンバーの追加説明やコメントです。
表 21:コマンドボタン
項目名 説明
OpenFlow スイッチ / AMF メンバー
選択 「OpenFlow スイッチ / AMF メンバー」ダイアログを表示します。
ページ下部
登録 選択したロケーション情報を更新します。
キャンセル ロケーション情報の更新をキャンセルします。

OpenFlow スイッチ / AMF メンバー

ロケーション設定に所属するAMFメンバーの追加、削除を行う画面です。
この画面には、「スイッチ」/「AMF メンバー 一覧」画面にて登録されているAMFメンバーの一覧が表示されます。
AMFメンバー一覧の左端のボックスにチェックを入れることにより、当該のロケーションにAMFメンバーが追加されます。

表 22:表示データ
項目名 説明
スイッチ ID AMF Security miniに登録されたAMFメンバーの名称です。
Datapath ID 本バージョンでは未サポートです。
備考 このAMFメンバーの追加説明やコメントです。
表 23:コマンドボタン
項目名 説明
ダイアログ下部
登録 チェックを入れたAMFメンバーをロケーションに登録します。
キャンセル ロケーションの新規追加をキャンセルします。

スケジュール一覧

登録済みスケジュール設定の一覧を表示します。
Note
スケジュールで設定する開始日時・終了日時は、「システム設定」/「時刻設定」画面で現在設定されているタイムゾーンの日時です。
詳しくは、「ポリシー設定」/「スケジュールの開始日時・終了日時について」をご参照ください。

表 24:検索・並べ替え対象項目
項目 検索 並べ替え
スケジュール ID
開始日時
終了日時
備考
表 25:表示データ
項目名 説明
スケジュール ID スケジュールの名称です。
クリックすると、該当のスケジュールの「スケジュール更新」画面を表示します。
開始日時 デバイスがネットワークに接続可能になる日時です。また、未認証グループによるデバイスの検出の検出条件(セキュリティーポリシー)としても使用できます。
終了日時 デバイスがネットワークに接続不可能になる日時です。また、未認証グループによるデバイスの検出の検出条件(セキュリティーポリシー)としても使用できます。
備考 スケジュールの追加説明やコメントです。
表 26:コマンドボタン
項目名 説明
ページ上部
スケジュール追加 「スケジュール追加」画面を表示します。
CSV にエクスポート スケジュール一覧をCSV(カンマ区切りテキスト)形式でダウンロードします。
スケジュール一覧
タイトル行
複数削除 一覧の各行左端のチェックボックスにチェックを入れたスケジュール設定を削除します。
各行
編集 「スケジュール更新」画面を表示します。
削除 スケジュール設定を削除します。
Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

スケジュール追加

新しいスケジュールを設定します。
スケジュールを設定することによりデバイスがネットワークに接続可能な期間を制御することができます。

表 27:設定データ
項目名 説明
スケジュール ID(必須項目) スケジュールの名称です。
既に使用されているスケジュールIDを設定することはできません。
スケジュールIDは最大255文字で、英数字、記号以外に日本語も使用できます。
開始日時 デバイスがネットワークに接続可能になる日時、または未認証グループによるデバイスの検出の開始日時を設定します。
カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
終了日時 デバイスがネットワークに接続不可能になる日時、または未認証グループによるデバイスの検出の終了日時を設定します。
カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
備考 このスケジュールの追加説明やコメントを記載できます。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。
■ カレンダーコントロール
表 28:コマンドボタン
項目名 説明
ページ下部
登録 入力したスケジュール情報を新規に登録します。
キャンセル スケジュールの新規追加をキャンセルします。

スケジュール更新

既に設定されたスケジュール設定を更新します。

表 29:設定データ
項目名 説明
スケジュール ID(必須項目) スケジュールの名称です。
既に使用されているスケジュールIDを設定することはできません。
スケジュールIDは最大255文字で、英数字、記号以外に日本語も使用できます。
開始日時 デバイスがネットワークに接続可能になる日時、または未認証グループによるデバイスの検出の開始日時を設定します。
カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
終了日時 デバイスがネットワークに接続不可能になる日時、または未認証グループによるデバイスの検出の終了日時を設定します。
カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
備考 このスケジュールの追加説明やコメントを記載できます。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。
■ カレンダーコントロール
表 30:コマンドボタン
項目名 説明
ページ下部
登録 選択したスケジュール情報を更新します。
キャンセル スケジュール情報の更新をキャンセルします。

アクション一覧

デバイスに対し、「デバイス」/「接続中 デバイス一覧」画面、または連携するアプリケーションによって個別に設定された遮断、隔離などのアクションを一覧表示します。
また、表示されているアクションを削除することで、遮断、隔離などの状態を解除することができます。
Note
AMFアプリケーションプロキシー機能で、AMF Security miniがAMFマスターに送信した被疑デバイスの遮断を解除(被疑デバイスの情報を削除)する場合には、本画面で該当のアクションを削除します。AMFアプリケーションプロキシー機能については、クイックツアー「AMF Security miniについて」/「AMFアプリケーションプロキシー機能とは」をご参照ください。

表 31:検索・並べ替え対象項目
項目 検索 並べ替え 備考
アクション ID  
優先度  
条件 ×  検索対象は「mac=」「ip=」「device-name=」「tag=」「location=」「switch=」「network=」以降の文字列のみ。
アクション (OpenFlow,TQ/AMF) ※1 ※2 ※1 検索対象は「通過(許可) ->」「破棄(遮断) ->」「隔離 ->」以降の文字列のみ。後続のAMFアクションは検索対象外。
※2 並べ替えは、「通過(許可)」→「破棄(遮断)」→「隔離」→「ログ」の順を昇順とする。後続のAMFアクションによる並べ替えは対象外。
実行者  
原因  
表 32:表示データ
項目名 説明
アクション ID AMF Security miniに登録されたアクションの名前です。登録されていない場合、自動的に割り当てられます。
クリックすると、該当のアクションの「アクション詳細」画面を表示します。
優先度 アクションの優先度です。同時に条件を満たすアクションが存在する場合、より小さい値が割り当てられたアクションが優先して適用されます。
条件 アクションの条件です。
アクション (OpenFlow,TQ/AMF) アクションの内容です。
OpenFlow/TQアクション(通過(許可)/隔離/破棄(遮断)/ログ)、AMFアクション(AMF依存/隔離/パケット破棄/リンクダウン/IPフィルター/ログ)をそれぞれ表示します。
実行者 アクションを設定したシステムを表示します。
「sesc.action」はAMF Security miniで操作したアクションを示し、「sesc.trap.XXX」は連携アプリケーションからのアクションを示します(XXXは連携アプリケーションによって異なります)。
原因 アクションの原因です。
表 33:コマンドボタン
項目名 説明
ページ上部
アクション追加 「アクション追加」画面を表示します。
CSV にエクスポート アクション一覧をCSV(カンマ区切りテキスト)形式でダウンロードします。
更新 「アクション一覧」画面の表示を現在の状況に更新します。
アクション一覧
タイトル行
複数削除 左端のチェックボックスにチェックを入れたアクションを一括して削除します。
各行
削除 選択したアクションを個別に削除します。
Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

アクション追加

アクションを新規に追加します。

表 34:設定データ
項目名 説明
アクション ID(必須項目) AMF Security miniに登録するアクションのIDです。
既に使用されているアクションIDを設定することはできません。
アクションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
優先度 アクションの優先度です。1~65535の数字で入力します。
同時に条件を満たすアクションが存在する場合、より小さい値が割り当てられたアクションが優先して適用されます。値を省略した場合は10が設定されます。
原因 アクションの原因、適用理由など、管理上の情報を登録します。
原因は最大255文字で、英数字、記号以外に日本語も使用できます。
条件
デバイス MAC アドレス アクションの対象とするデバイスのユニキャストMACアドレスを指定します。
MACアドレスの表記として使用可能なフォーマットは下記となります。
xx:xx:xx:xx:xx:xx, xx-xx-xx-xx-xx-xx, xxxx.xxxx.xxxx
デバイス IPv4 アドレス アクションの対象とするデバイスのユニキャストIPv4アドレスを指定します。
デバイス アクションの対象とするデバイスIDを指定します。
事前に登録されたデバイスIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をデバイスID、タグ、備考のいずれかに含むデバイスIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするデバイスIDをクリックします。
デバイスタグ アクションの対象とする、デバイスに設定されたタグを入力します。
アクション
OpenFlow/TQ アクション 対象のデバイスに適用するTQのAMFアプリケーションプロキシーアクションの内容です。
・通過(許可): デバイスの通信を許可します。
・隔離: 隔離ネットワークに接続します。
・破棄(遮断): デバイスからのパケットを破棄し、通信を遮断します。
・ログ: AMF Security miniからはアクションを通知せず、該当デバイスの通信制御は行われません。該当デバイスのログのみを出力します。
通過/隔離 VLAN ID 対象のデバイスのパケットを通過、または、隔離するVLAN IDです。
AMF アクション AW+のAMFアプリケーションプロキシー機能を使用して、該当デバイスの通信遮断を指示する際のアクションの内容です。
・AMF依存: AMF Security miniからはアクションを通知せず、AMF機器側の設定に依存します。
・隔離: 該当デバイスを隔離用VLANに移動します。
・パケット破棄: 該当デバイスの通信をレイヤー2(MACレベル)で破棄します。
・リンクダウン: 該当デバイスが接続されているポートを無効化します。
・IPフィルター: 該当デバイスの通信をレイヤー3(IPレベル)で破棄します。
・ログ: AMF Security miniからはアクションを通知せず、該当デバイスの情報を取得します。
表 35:コマンドボタン
項目名 説明
ページ下部
登録 入力したアクションを新規に登録します。
キャンセル アクションの新規追加をキャンセルします。

アクション詳細

設定されているアクションの詳細を表示します。

表 36:表示データ
項目名 説明
アクション ID AMF Security miniに登録されたアクションの名前です。登録されていない場合、自動的に割り当てられます。
優先度 アクションの優先度です。同時に条件を満たすアクションが存在する場合、より小さい値が割り当てられたアクションが優先して適用されます。
原因 アクションの原因です。
条件
デバイス MAC アドレス アクションの対象とするデバイスのMACアドレスです。
アクション
OpenFlow/TQアクション 対象のデバイスに適用するTQのAMFアプリケーションプロキシーアクションの内容です。
・通過(許可): デバイスの通信を許可します。
・隔離: 隔離ネットワークに接続します。
・破棄(遮断): デバイスからのパケットを破棄し、通信を遮断します。
・ログ: AMF Security miniからはアクションを通知せず、該当デバイスの通信制御は行われません。該当デバイスのログのみを出力します。
通過/隔離 VLAN ID 対象のデバイスのパケットを通過、または、隔離するVLAN IDです。
本項目はOpenFlow/TQ アクションが通過(許可)、隔離のときに表示されます。
AMF アクション AW+のAMFアプリケーションプロキシー機能を使用して、該当デバイスの通信遮断を指示する際のアクションの内容です。
・AMF依存: AMF Security miniからはアクションを通知せず、AMF機器側の設定に依存します。
・隔離: 該当デバイスを隔離用VLANに移動します。
・パケット破棄: 該当デバイスの通信をレイヤー2(MACレベル)で破棄します。
・リンクダウン: 該当デバイスが接続されているポートを無効化します。
・IPフィルター: 該当デバイスの通信をレイヤー3(IPレベル)で破棄します。
・ログ: AMF Security miniからはアクションを通知せず、該当デバイスの情報を取得します。
表 37:コマンドボタン
項目名 説明
ページ上部
戻る 「アクション一覧」画面に戻ります。

リファレンス編 / システム設定

アカウント一覧
アカウント追加
パスワード設定
アカウント更新
パスワード設定
アカウントグループ一覧
アカウントグループ追加
アカウントグループ更新
ネットワーク設定
サービス
SSL証明書
SSL証明書のアップロード
ログ設定
時刻設定
タイムゾーン選択
システム情報
トラップ監視設定
ルールの設定
メール通知設定
AMF Securityログ
アクションログ

アカウント一覧


表 1:並べ替え対象項目
項目 並べ替え
アカウント名
アカウントグループ ID
表 2:表示データ
項目名 説明
アカウント名 ログインアカウント名です。
クリックすると、該当のアカウントの「アカウント更新」画面を表示します。
アカウントグループ ID ログインアカウントが所属するアカウントグループです。
クリックすると、該当のアカウントグループの「アカウントグループ更新」画面を表示します。
なお、ログインアカウントにアカウントグループを登録後、該当のアカウントグループを「システム設定」/「アカウントグループ一覧」画面で削除すると、上記の「アカウントグループ更新」画面へのリンクは削除されます。
表 3:コマンドボタン
項目名 説明
ページ上部
アカウント追加 新しいアカウント情報を追加します。
アカウント一覧
タイトル行
複数削除 左端のチェックボックスにチェックを入れたアカウントを一括して削除します。
各行
編集 選択したアカウント情報を編集します。
削除 選択したアカウント情報を個別に削除します。
Note
初期設定アカウント「manager」は削除できません。

アカウント追加


表 4:設定データ
項目名 説明
アカウント名(必須項目) ログインアカウント名です。
64文字以内で下記の文字が使用可能です。
a-z, A-Z, 0-9, ' - _ .
パスワード ログインアカウントのパスワードです。パスワードの設定を行うには、「編集」ボタンをクリックします。
Email アドレス アカウントに関連付けるメールアドレスを入力します。パスワードを忘れた場合に、メールによるパスワードの復旧が可能です。
アカウントグループ ID ログインアカウントが所属するアカウントグループIDを選択します。
権限
認証データベースの編集を許可する。 アカウントに対して認証データベースを変更する権限を付与します。
システム設定の変更を許可する。 アカウントに対してシステムの設定を変更する権限を付与します。
表 5:コマンドボタン
項目名 説明
パスワード
編集 「パスワード設定」ダイアログを表示し、アカウントのパスワードを設定します。
ページ下部
登録 入力したアカウントを新規に登録します。
キャンセル アカウントの新規追加をキャンセルします。
Note
初期設定の「manager」を含め、「システム設定の変更を許可する。」チェックボックスにチェックが入ったすべてのアカウントのパスワードを忘れた場合、AW+のWeb GUI / Vista Manager mini - AMF Security mini画面でAMF Security miniインスタンスの初期化(削除→再作成)が必要となります。パスワードは大切に管理してください。
なお、AMF Security miniインスタンスの操作については、AW+のコマンドリファレンスをご参照ください。
Note
アカウントにメールアドレスを登録して、「システム設定」/「メール通知設定」画面でメール通知の設定を行っておくことで、パスワードを忘れた場合にメールによるパスワードの復旧が可能です。
メールによるパスワードの復旧手順については、付録「パスワードを忘れた場合」を参照してください。

パスワード設定


表 6:設定データ
項目名 説明
パスワード(必須項目) ログインアカウントのパスワードを設定します。
6~64文字以内で下記の文字が使用可能です。
a-z, A-Z, 0-9, ! # $ % & ' * + - / = ? ^ _ ` { | } ~ .
パスワード確認(必須項目) パスワードの確認のため、パスワードをもう一度入力してください。
表 7:コマンドボタン
項目名 説明
ダイアログ下部
登録 入力したパスワードを設定します。
キャンセル パスワードの設定をキャンセルします。

アカウント更新


表 8:設定データ
項目名 説明
アカウント名(必須項目) ログインアカウント名です。
64文字以内で下記の文字が使用可能です。
a-z, A-Z, 0-9, ' - _ .
パスワード ログインアカウントのパスワードです。パスワードの設定を行うには、「編集」ボタンをクリックします。
Email アドレス アカウントに関連付けるメールアドレスを入力します。パスワードを忘れた場合に、メールによるパスワードの復旧が可能です。
アカウントグループ ID ログインアカウントが所属するアカウントグループIDを選択します。
権限
認証データベースの編集を許可する。 アカウントに対して認証データベースを変更する権限を付与します。
システム設定の変更を許可する。 アカウントに対してシステムの設定を変更する権限を付与します。
表 9:コマンドボタン
項目名 説明
パスワード
編集 「パスワード設定」ダイアログを表示し、アカウントのパスワードを設定します。
ページ下部
登録 入力したアカウント情報に更新します。
キャンセル アカウント情報の更新をキャンセルします。
Note
初期設定アカウント「manager」のアカウント名、権限は変更できません。
Note
初期設定の「manager」を含め、「システム設定の変更を許可する。」チェックボックスにチェックが入ったすべてのアカウントのパスワードを忘れた場合、AW+のWeb GUI / Vista Manager mini - AMF Security mini画面でAMF Security miniインスタンスの初期化(削除→再作成)が必要となります。パスワードは大切に管理してください。
なお、AMF Security miniインスタンスの操作については、AW+のコマンドリファレンスをご参照ください。
Note
アカウントにメールアドレスを登録して、「システム設定」/「メール通知設定」画面でメール通知の設定を行っておくことで、パスワードを忘れた場合にメールによるパスワードの復旧が可能です。
メールによるパスワードの復旧手順については、付録「パスワードを忘れた場合」を参照してください。

パスワード設定


表 10:設定データ
項目名 説明
パスワード(必須項目) ログインアカウントのパスワードを設定します。
6~64文字以内で下記の文字が使用可能です。
a-z, A-Z, 0-9, ! # $ % & ' * + - / = ? ^ _ ` { | } ~ .
パスワード確認(必須項目) パスワードの確認のため、パスワードをもう一度入力してください。
表 11:コマンドボタン
項目名 説明
ダイアログ下部
登録 入力したパスワードを設定します。
キャンセル パスワードの設定をキャンセルします。

アカウントグループ一覧


表 12:検索・並べ替え対象項目
項目 検索 並べ替え
アカウントグループ ID
備考
表 13:表示データ
項目名 説明
アカウントグループ ID アカウントグループ名です。
備考 このアカウントグループの追加説明やコメントです。
表 14:コマンドボタン
項目名 説明
ページ上部
アカウントグループ追加 新しいアカウントグループ情報を追加します。
CSV にエクスポート アカウントグループ一覧をCSV(カンマ区切りテキスト)形式でダウンロードします。
アカウントグループ一覧
タイトル行
複数削除 左端のチェックボックスにチェックを入れたアカウントグループを一括して削除します。
各行
編集 選択したアカウントグループ情報を編集します。
削除 選択したアカウントグループ情報を個別に削除します。
Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

アカウントグループ追加


表 15:設定データ
項目名 説明
アカウントグループ ID(必須項目) ログインアカウントが所属するアカウントグループ名です。
既に使用されているアカウントグループIDを設定することはできません。
アカウントグループIDは最大255文字で、英数字、記号以外に日本語も使用できます。
備考 このアカウントグループの追加説明やコメントです。
表 16:コマンドボタン
項目名 説明
登録 入力したアカウントグループを新規に登録します。
キャンセル アカウントグループの新規追加をキャンセルします。

アカウントグループ更新


表 17:設定データ
項目名 説明
アカウントグループ ID(必須項目) ログインアカウントが所属するアカウントグループ名です。
既に使用されているアカウントグループIDを設定することはできません。
アカウントグループIDは最大255文字で、英数字、記号以外に日本語も使用できます。
備考 このアカウントグループの追加説明やコメントです。
表 18:コマンドボタン
項目名 説明
登録 入力したアカウントグループ情報を更新します。
キャンセル アカウントグループ情報の更新をキャンセルします。

ネットワーク設定

ネットワーク関連の設定を行います。
Note
WebサーバーのSSL証明書のアップロード・削除の設定を行うと、接続中のAMFマスターとの接続がいったん切断されます。

サービス


表 19:設定データ
項目名 説明
Webサーバープロトコル AMF Security miniの設定画面でHTTP、HTTPSのどちらを使用するか設定します。初期設定はHTTPSです。
Webサーバーポート番号 AMF Security miniの設定画面にアクセスするためのポート番号を設定します。1~65535の範囲から設定できます。初期設定は443です。
Note
サポートするセキュリティープロトコルはTLS 1.2、TLS 1.3です。
Note
AMF Security miniは既に内部で使用しているポートがあります。使用しているポートについては、付録「AMF Security mini内部で使用しているポート番号」をご参照ください。
Note
Web設定画面へのアクセスでWebサーバープロトコルをHTTP、ポート番号に80を指定した場合、上記で設定されているWebサーバープロトコルとポート番号にリダイレクトされます。
Note
Webサーバープロトコルとポート番号の HTTPS / 80 の組み合わせは設定不可(予約済み)です。
Note
AMF Security mini ソフトウェアバージョン 1.7.0でWebサーバープロトコルとポート番号が HTTPS / 80 に設定されている状態で、本バージョンにバージョン更新(バージョンアップ)した場合や、同設定のシステム設定のファイルをインポートした場合は、HTTP / 80 の設定に変更されます。
表 20:コマンドボタン
項目名 説明
登録 入力したサービス設定を保存します。

SSL証明書

Webサーバー(AMF Security mini)のSSLサーバー証明書、AMF Security miniに搭載されているホワイトリスト認証サーバーのSSLサーバー証明書を登録します。
連携アプリケーションを使用するなど、HTTPSを利用して外部ネットワークからアクセスする場合は、信頼できる認証局からSSLサーバー証明書を取得し、AMF Security miniにアップロードする必要があります。
また、AMFアプリケーションプロキシーホワイトリスト機能でコントロールセッションを暗号化する場合は、信頼できる認証局からSSLサーバー証明書を取得し、AMF Security miniにアップロードしてください。
SSLサーバー証明書が登録されている場合は、SSLサーバー証明書の概要が表示されます。

証明書の発行手順に関しては、お客様の環境に合わせて最適な手順を選択してください。
表 22:表示データ
項目名 説明
役割 Web(Webサーバー)またはWhiteList(認証サーバー)を表示します。
一般名称 (CN) Webサーバー(AMF Security mini)または認証サーバー(AMF Security mini)の一般名称(コモンネーム)を表示します。
組織 (O) Webサーバー(AMF Security mini)または認証サーバー(AMF Security mini)が所属する組織名を表示します。
有効期限 [UTC] SSLサーバー証明書の有効期限を表示します。
表 23:コマンドボタン
項目名 説明
詳細 登録されたSSLサーバー証明書の詳細情報を表示します。
アップロード 「SSL証明書のアップロード」ダイアログを表示し、SSLサーバー証明書をAMF Security miniに登録します。
削除 登録されたSSLサーバー証明書を削除し、初期設定されたAMF Security miniの自己署名証明書を復旧します。
Note
AMFマスターの設定を行うと、AMF Security miniは通常のセッションと暗号化されたセッションの両方を受け付けるようになります。どちらかを無効にすることはできません。

SSL証明書のアップロード

SSL証明書をアップロードする画面です。

表 24:設定データ
項目名 説明
証明書 「ファイルを選択」ボタンをクリックして、アップロードするSSLサーバー証明書を選択します。
秘密鍵 「ファイルを選択」ボタンをクリックして、アップロードするSSL秘密鍵を選択します。
表 25:コマンドボタン
項目名 説明
登録 選択されたSSL関連ファイルをシステムに取り込みます。
キャンセル SSL証明書の設定をキャンセルします。

ログ設定

Note
本設定を行うと、接続中のAMFマスターとの接続がいったん切断されます。

■ ログ出力
各種ログの出力レベルを設定します。
表 26:ログ出力設定データ
項目名 説明
端末認証結果 デバイス認証関連のログの出力レベルを設定します。初期設定は「情報 (Informational)」です。
OpenFlow制御関連 本バージョンでは未サポートです。
OpenFlowパケット送受信 本バージョンでは未サポートです。
GUI操作 設定画面に関連するログの出力レベルを設定します。初期設定は「情報 (Informational)」です。
トラップ監視 Syslogメッセージまたはトラップを受信した際のログの出力レベルを設定します。初期設定は「情報 (Informational)」です。
引用内の二重引用符をエスケープします。 ログメッセージ内にある引用符をエスケープして出力するように設定します。初期設定はチェックなしです。
■ Syslog
表 27:Syslog設定データ
項目名 説明
Syslogサーバー ログを送信する外部SyslogサーバーのIPv4アドレスまたはホスト名とUDPポート番号を設定します。
指定方法は転送先ホストのIPv4アドレスとUDPポート番号をコロン(:)で結合したものを使用します。
複数のSyslogサーバーを指定する場合は、セミコロン区切り(;)で入力します。UDPポート番号がプロトコルデフォルトポート番号(514)の場合はUDPポート番号の指定を省略できます。

入力例:
192.168.1.100(IPv4アドレスのみ)
192.168.1.100:60514(ポート番号指定)
192.168.1.100;192.168.2.100(セミコロン区切りで複数設定)
example100.co.jp(ホスト名)

なお、以下のような先頭に0(ゼロ)を付けるIPv4アドレスの形式は入力可能ですが未サポートです。
192.168.001.001
172.016.0.1
Note
送信するSyslogデータのエンコード方式は「UTF-8」です。
Note
AMF Security miniは既に内部で使用しているポートがあります。使用しているポートについては、付録「AMF Security mini内部で使用しているポート番号」をご参照ください。
表 28:コマンドボタン
項目名 説明
ページ下部
登録 入力したログ設定を保存します。

時刻設定

Note
本設定を行うと、AMF Security miniが再起動します。そのため、接続中のAMFマスターとの接続がいったん切断されます。
Note
タイムゾーンの設定を変更するとAMF Security miniが再起動しますが、その後にAW+のWeb GUI / Vista Manager mini - AMF Security mini画面で、AMF Security miniインスタンスの再起動(停止→起動)も行ってください。AMF Security miniインスタンスの操作については、AW+のコマンドリファレンスをご参照ください。

なお、以後タイムゾーンの設定は保持されます。

表 29:表示データ
項目名 説明
現在日時 システムの日付を表示します。
表 30:設定データ
項目名 説明
タイムゾーン システムのタイムゾーンです。初期設定はUTCです。
表 31:コマンドボタン
項目名 説明
編集 「タイムゾーン選択」ダイアログを表示し、システムのタイムゾーンを設定します。

タイムゾーン選択


表 32:設定データ
項目名 説明
タイムゾーン システムのタイムゾーンをドロップダウンリストから選択します。
表 33:コマンドボタン
項目名 説明
登録 選択したタイムゾーンを保存します。

システム情報

ホスト名の設定、システム設定、認証データベースのバックアップ、復元、システムの再起動などを行います。
Note
以下の設定・操作を行うと、接続中のAMFマスターとの接続がいったん切断されます。
・ホスト名
・システム設定 - インポート
・システム設定 - リセット
・サービス - 全て再起動
Note
システム設定のエクスポート、インポートは、バックアップと復元を目的とする機能です。エクスポートしたファイルを改変したり、ご自身で編集したファイルをインポートしたりしないでください。
なお、システム設定のインポートは、ファイルの内容が正しければ、いずれの拡張子のファイルも指定できます。

■ システム情報
表 34:設定データ
項目名 説明
ホスト名 システムのホスト名です。初期設定は「sesc」です。
ホスト名を変更する場合は、ホスト名を入力して「更新」ボタンをクリックします。
63文字以内で下記の文字が使用可能です。
a-z, A-Z, 0-9, -
ハイフン(-)は先頭には使用できません。
データベース同期 本バージョンでは未サポートです。常に「無効」が表示されます。
表 35:コマンドボタン
項目名 説明
更新 ホスト名を更新します。
■ ソフトウェア情報
表 36:表示データ
項目名 説明
バージョン インストールされたAMF Security miniのソフトウェアバージョンとソフトウェアビルド番号(内部バージョン)を表示します。
ビルド日時 [UTC] インストールされたAMF Security miniのソフトウェアが作成された日時です。
■ システム設定
表 37:設定データ
項目名 説明
サイズ システム設定データのファイルサイズを表示します。
更新日時 システム設定データが更新された日時を表示します。
表 38:コマンドボタン
項目名 説明
エクスポート システム設定をダウンロードします。
インポート システム設定をインポートして復元します。
リセット システム設定を初期設定状態に戻します。
エクスポート、インポート、またはリセットされるシステム設定には、対象外となる項目があります。
対象外となる項目については、個別で設定や削除を行ってください。
■ 認証データ
表 39:設定データ
項目名 説明
サイズ 認証データのファイルサイズを表示します。
更新日時 認証データが更新された日時を表示します。
表 40:コマンドボタン
項目名 説明
エクスポート 認証データをダウンロードします。
インポート 認証データをインポートして、運用中のAMF Security miniに追加します。
リセット すべての認証データを削除します。
Note
認証データはCSV(カンマ区切りテキスト)形式のファイルです。CSVファイルについては、付録「CSVファイル」をご参照ください。
Note
認証データに含まれるスケジュールの開始日時・終了日時は、「システム設定」/「時刻設定」画面で現在設定されているタイムゾーンの日時です。
詳しくは、「ポリシー設定」/「スケジュールの開始日時・終了日時について」をご参照ください。
Note
認証データのアップロードを行うと、AMF Security miniは認証データに含まれているデバイスのMACアドレスに対応するパケット制御フローを初期化します。
Note
AT-SESC ソフトウェアバージョン 1.3.x以前の認証データのアップロードを行う方法では、既に登録されているデバイスに設定されているセキュリティーポリシーから、ネットワーク、ロケーション、スケジュールの各設定を削除することはできません。削除を行う場合は、該当デバイスを一度削除してから認証データのアップロードを行うか、「デバイス」/「デバイス更新」画面から直接セキュリティーポリシーを更新してください。
■ サービス
表 41:コマンドボタン
項目名 説明
全て再起動 AMF Security miniの各種サービスのみ再起動します。AMF Security miniが動作するAlliedWare Plus機器自体は再起動せず、AMF Security mini関連のアプリケーションプロセスのみ再起動します。
■ 技術サポート情報
表 42:コマンドボタン
項目名 説明
ダウンロード 障害時の解析に活用する技術サポート情報をダウンロードします。

トラップ監視設定

連携アプリケーションによるネットワーク監視を行う場合に必要な、特定のSyslogメッセージやトラップに対する動作の設定を行います。
また、AMF Security miniが受信したSyslogメッセージやトラップを、異なる管理機能を持つホストに転送することができます。
Note
ユーザー定義による任意のSyslogメッセージ/トラップに対する動作を設定することはできません。
Note
デバイスルックアップの設定を行うと、接続中のAMFマスターとの接続がいったん切断されます。

■ プロトコル
表 43:設定データ
項目名 説明
Syslog ポート番号 Syslogメッセージの受信ポート番号です。1~65535が設定できます。初期設定は514です。
SNMP Trap ポート番号 SNMPトラップの受信ポート番号です。1~65535が設定できます。初期設定は162です。
Note
AMF Security miniは既に内部で使用しているポートがあります。使用しているポートについては、付録「AMF Security mini内部で使用しているポート番号」をご参照ください。
■ ネットワーク
監視対象/監視外ネットワーク、SyslogメッセージやSNMPトラップの転送先ホストなどを設定します。
監視対象ネットワークと監視外ネットワークが重複する場合、監視外ネットワークに指定されるノードはトラップ監視の対象外となります。
Note
一部の連携アプリケーションでは、監視対象ネットワーク、監視外ネットワークの設定が無効となるものがあります。
表 44:設定データ
項目名 説明
監視対象ネットワーク Syslogメッセージおよびトラップによる監視の対象とするIPv4ネットワークアドレスを設定します。複数のネットワークアドレスを指定する場合は、セミコロン区切り(;)でネットワークアドレスを入力します。空欄または0.0.0.0/0に設定すると、すべてのネットワークが監視対象となります。初期設定は0.0.0.0/0です。
監視外ネットワーク Syslogメッセージおよびトラップによる監視の対象から除くIPv4ネットワークアドレスを設定します。複数のネットワークアドレスを指定する場合は、セミコロン区切り(;)でネットワークアドレスを入力します。
Syslog 転送先ホスト トラップ監視モジュールが受信したSyslogメッセージを転送するホストを指定します。指定方法は転送先ホストのIPv4アドレスとSyslog待ち受けポート番号をコロン(:)で結合したものを使用します。複数のネットワークアドレスを指定する場合は、セミコロン区切り(;)で入力します。転送先ポートがプロトコルデフォルトポート番号(514)の場合は待ち受けポート番号の指定を省略できます。転送されるSyslogメッセージの送信元アドレスはAMF Security miniのアドレスに変更されます。
SNMP Trap 転送先ホスト トラップ監視モジュールが受信したSNMPトラップを転送するホストを指定します。指定方法は転送先ホストのIPv4アドレスとトラップ待ち受けポート番号をコロン(:)で結合したものを使用します。転送先ポートがプロトコルデフォルトポート番号(162)の場合は待ち受けポート番号の指定を省略できます。複数のネットワークアドレスを指定する場合は、セミコロン区切り(;)で入力します。転送されるSNMPメッセージの送信元アドレスはAMF Security miniのアドレスに変更されます。
■ デバイスルックアップ
AMF Security miniから通知するアクションの対象範囲を設定します。
表 45:設定データ
項目名 説明
なし MACアドレスを対象にアクションを通知します。
デバイス デバイスを対象にアクションを通知します。
タグ デバイスタグを対象にアクションを通知します。
Note
AMFアプリケーションプロキシーの「IPフィルター」アクションのデバイスルックアップは未サポートです。
Note
端末のIPアドレスをもとに対象となる端末にアクションが適用された際に、「デバイス」/「接続中 デバイス一覧」画面の「MACアドレス」の項目に「ip=」で表示されるIPアドレスは、アクションを適用するもとになったIPアドレスが表示されます。
表 46:コマンドボタン
項目名 説明
登録 入力したトラップ監視設定を保存します。
■ ルール
トラップ監視のルールは、トラップ監視設定ファイルを介して更新、追加されます。
初期設定では、弊社アドバンストVPNアクセス・ルーターAT-AR3050S/AT-AR4050SによるUTM(Unified Threat Management)関連機能のトラップ監視ルールが登録されています。
Note
トラップ監視ルールファイルは、弊社「AMF-SEC テクノロジー パートナープログラム」を通じて提供されます。パートナープログラムの詳細は、弊社ホームページより「AMF-SEC テクノロジー パートナープログラム」をご覧ください。

ルールの設定


表 51:表示データ
項目名 説明
名称 トラップ監視ルールの名称を表示します。
表 52:コマンドボタン
項目名 説明
ファイルを選択 アップロードするルール設定ファイルを選択します。
アップロード 選択したルール設定ファイルをアップロードします。
削除 登録されているルール設定を削除します。
閉じる 「トラップ監視設定」画面に戻ります。

メール通知設定

メール通知の設定を行います。
デバイスの認証や遮断などのイベントが発生した場合や、パスワードを忘れたときに、設定されたアドレスに対してメールを送信することができます。
また、AMF Security miniが受信したSyslogメッセージおよびSNMPトラップの内容は、メール本文に記載して通知されます。
Note
Syslogメッセージ、SNMPトラップのメール記載機能は無効にすることはできません。
Note
本設定を行うと、接続中のAMFマスターとの接続がいったん切断されます。
Note
パスワードを忘れたときにログイン情報を復旧させるには、「アカウント追加」画面または「アカウント更新」画面で、アカウントにメールアドレスを登録しておく必要があります。
メール送信処理はイベント種別ごとに以下のルールでキューイングし、メール送信に失敗した場合は再送を行います。
メール通知機能を使用する場合は、「メール通知を有効にします。」チェックボックスにチェックを入れます。

■ メール通知設定
次のイベント種別ごとに、チェックボックスを使用してメール通知の有効または無効を設定します。
Note
「遮断時にメールを送信します。」「隔離時にメールを送信します。」チェックボックスにチェックが入っている場合、AMFアプリケーションプロキシー機能によって遮断または隔離が行われた場合もメール通知されます。
OpenFlow/TQ アクション/AMF アクションのログでメール通知する場合、「遮断時にメールを送信します。」チェックボックスにチェックを入れてください。なお本製品ではOpenFlowは未サポートです。
■ SMTPサーバー設定
表 53:設定データ
項目名 説明
SMTP サーバー メールの送信に使用するSMTPサーバーのIPv4アドレスまたはホスト名を設定します。

入力例:
192.168.1.100(IPv4アドレス)
example-smtp.co.jp(ホスト名)

なお、以下のような先頭に0(ゼロ)を付けるIPv4アドレスの形式は入力可能ですが未サポートです。
192.168.001.001
172.016.0.1
SMTPポート SMTPサーバーのリスニングTCPポート番号を入力します。
送信者 メール送信者のメールアドレスを入力します。
受信者 メール受信者のメールアドレスを入力します。複数のメールアドレスを指定する場合は、セミコロン区切り(;)でメールアドレスを入力します。
ユーザー名 SMTPサーバーのユーザー名を入力します。
パスワード SMTPサーバーのユーザー名に対応するパスワードを入力します。
暗号化 SMTPサーバーがTLSによる暗号化を使用する場合は、チェックボックスにチェックを入れます。
言語設定 メールの言語を日本語、英語から選択します。
Note
AMF Security miniは既に内部で使用しているポートがあります。使用しているポートについては、付録「AMF Security mini内部で使用しているポート番号」をご参照ください。
Note
ブラウザーの言語設定が日本語の場合、メールの言語設定を英語に設定した場合でも、メール本文の一部が日本語で表記される場合があります。ブラウザーの言語設定、メールの言語設定ともに英語に設定すると、メール本文が英語表記で送信されます。ただし、認証データに含まれる文字列や、連携する外部アプリケーションから送られるメッセージの表記は、メールにもそのまま表記されます。
Note
AMFアプリケーションプロキシー機能で「パケット破棄」、「リンクダウン」、「IPフィルター」のアクションで遮断された場合にメールを送信する場合は、「遮断時にメールを送信します。」にチェックを入れます。
Note
暗号化はSTARTTLSのみをサポートしています。なお、一般的に使用されるSMTPのポート番号は587です。
表 54:コマンドボタン
項目名 説明
SMTPサーバー設定
テストメール送信 設定された情報を用いてテストメールの送信を試みます。
ページ下部
登録 SMTPサーバー設定を登録します。

AMF Securityログ

AMF Security miniサービスが出力するログが表示されます。AMF Securityログ画面では、最新1000件までのログを表示できます。
画面右側の一覧から表示したいログの日付を選択することもできます。

表 55:コマンドボタン
項目名 説明
すべてのログのクリア AMF Security miniが保持しているすべてのログを消去します。
ダウンロード 直近のログをダウンロードします。
更新 「AMF Securityログ」画面の内容を最新の情報に更新します。

アクションログ

AMF Security miniサービスが出力するログのうち、アクションに関するログを表示します。
本画面では、項目ごとに検索を行うことができます。
Note
Webブラウザーの仕様によっては、本画面ですべてのアクションログが表示できない場合があります。その場合は、ダウンロードを行ってアクションログを確認してください。
Note
アクションログのクリアを行うと、接続中のAMFマスターとの接続がいったん切断されます。

表 56:表示データ
項目名 説明
日時 デバイスにアクションが適応された日時です。
MAC アドレス デバイスのMACアドレスです。
デバイス ID デバイスのIDです。
デバイス IPv4 アドレス デバイスのIPv4アドレスです。
デバイスタグ デバイスに設定されたタグです。
接続スイッチ ID デバイスが接続しているスイッチのIDを表示します。
接続スイッチ IPv4 アドレス デバイスが接続されたスイッチのIPv4アドレスです。
接続ポート ID デバイスが接続されたポートのIDです。
接続ポート番号 デバイスが接続されたスイッチのポート番号です。
状況 デバイスに適応されたアクションのタイプを表示します。
VLAN ID デバイスが所属するVLAN IDです。
ネットワーク ID デバイスが所属するネットワークIDです。
アクション ID デバイスに適応されたアクションのIDです。
優先度 デバイスに適応されたアクションの優先度を表示します。
アクションの実行者 デバイスに適応されたアクションの実行者を表示します。
原因 デバイスに適応されたアクションの原因を表示します。
表 57:コマンドボタン
項目名 説明
更新 「アクションログ」画面の内容を最新の情報に更新します。
ダウンロード 直近のログをダウンロードします。
アクションログのクリア アクションログを消去します。
表 58:検索・絞り込み・並べ替え対象項目
項目 検索 絞り込み 並べ替え
期間
MAC アドレス
デバイス IPv4 アドレス
デバイスタグ
アクションの実行者
状況

リファレンス編 / AMF

AMF アプリケーションプロキシー 設定
AMF マスター
AMF マスター 編集
ホワイトリスト設定
SSL証明書
SSL証明書のアップロード
TQ設定
共通設定
VistaManagerEX
VistaManagerEX 編集
TQ一覧
TQ 編集

AMF アプリケーションプロキシー 設定


AMF マスター

AMF Security miniにAMFマスターを登録します。また、AMF Security miniに登録されたAMFマスターの一覧を表示します。
Note
以下の設定を行うと、接続中のAMFマスターとの接続がいったん切断されます。
・AMFマスター
・ホワイトリスト設定
・WebサーバーのSSL証明書のアップロード・削除

表 1:表示データ
項目名 説明
IPv4 アドレス AMFアプリケーションプロキシー機能を使用するAMFマスターのIPv4アドレスです。
ユーザー名 AMFマスターに設定されている権限レベル15(特権レベル)のアカウントのユーザー名です。
接続状態 AMFマスターとの接続状態を、Good、Error、Warning、確認中で表示します。
Note
「接続状態」の表示については、付録「AMFマスターの接続状態の表示」をご参照ください。
表 2:コマンドボタン
項目名 説明
追加 「AMF マスター 編集」ダイアログを表示し、AMFマスターを新しく登録します。
編集 「AMF マスター 編集」ダイアログを表示し、AMFマスター情報を更新します。
削除 AMFマスター情報を削除します。

AMF マスター 編集

AMFマスター情報を登録または更新する画面です。

表 3:設定データ
項目名 説明
IPv4 アドレス AMFアプリケーションプロキシー機能を使用するAMFマスターのIPv4アドレスを設定します。
あわせて、以下のユーザー名、パスワードを指定する必要があります。
ユーザー名 AMFマスターに設定されている権限レベル15(特権レベル)のアカウントのユーザー名を設定します。
パスワード 上記のユーザー名のパスワードを設定します。
事前共有鍵(PSK) AMFマスターに設定されているホワイトリストの共有鍵を設定します。
Note
上記と同一の権限レベル15(特権レベル)のアカウントは、すべてのAMFメンバーにも設定を行ってください。
権限レベル1~14(http webapi read-only-privilegeで設定したものを含む)のアカウントを指定した場合には正常に動作しませんのでご注意ください。
表 4:コマンドボタン
項目名 説明
ダイアログ下部
登録 新しいAMFマスターを登録、または情報を更新します。
キャンセル AMFマスターの登録、または情報の更新をキャンセルします。
Note
本設定を行うと、エッジノードの情報を取得するために、AMFマスター(プロキシーノード)への定期問い合わせ(30秒間隔)を行うようになります。

AMF Security miniに設定するAMFマスターのアカウント(ユーザー名 / パスワード)は、AMFマスターおよびAMFメンバーにて事前に権限レベル15のユーザーアカウントを作成し、AMFマスターとAMFメンバーのコンソール接続に使用するユーザーアカウントと分けることをおすすめします。
AMFマスターとAMFメンバーのコンソール接続に使用するユーザーアカウントをAMF Security miniに設定するアカウントと共用する場合は、AMFマスターとAMFメンバーのログイン失敗時のロックアウト時間(aaa local authentication attempts lockout-timeコマンド)を5分未満に設定してください。AMFマスターとAMFメンバーのログイン失敗時のロックアウト時間が5分以上に設定されており、かつ、AMFマスターとAMFメンバーのCLI接続用アカウントをAMF Security miniに設定するアカウントと共用すると、AMFマスターとAMFメンバーへのログインに連続して失敗しアカウントがロックアウトされた場合やAMF Security miniでAMFマスターのアカウントの設定を間違った場合に、AMF Security miniからAMFネットワークの端末情報が取得できないうえ、AMF Security miniからのポーリングにより継続的にロックアウトのタイマーが更新され、該当のユーザーがログインできないままになります。

ホワイトリスト設定


表 5:設定データ
項目名 説明
セッションタイムアウト 端末が認証に成功した際にスイッチに設定されるタイマーを設定します(単位:秒)。
端末が認証に成功してからこの時間経過すると、未認証の状態に戻ります。
0~65535が設定できます。初期設定は65535です。0を指定すると、スイッチにタイマーは設定されず、認証済みの状態のままになります。

デバイスに設定するセキュリティーポリシーにスケジュール設定がない場合は、このタイマーが設定されます。スケジュール設定がある場合、このタイマーはスケジュール設定の終了日時に依存します。
端末が認証に成功した日時から終了日時までの時間(期間)が65535秒未満の場合は、その時間が設定されます。終了日時までの時間が65535秒以上の場合は、65535秒が設定されます。
AMFメンバーがネットワークに接続した時に認証済み端末リストの再読み込みを行います。 「デバイス」/「接続中 デバイス一覧」画面に表示されるAMFアプリケーションプロキシー機能で認証されている端末情報を、AMF Security miniが再起動したときなどに再度読み込みます。
表 6:コマンドボタン
項目名 説明
登録 入力したホワイトリスト設定を保存します。

SSL証明書

Webサーバー(AMF Security mini)のSSLサーバー証明書、AMF Security miniに搭載されているホワイトリスト認証サーバーのSSLサーバー証明書を登録します。
連携アプリケーションを使用するなど、HTTPSを利用して外部ネットワークからアクセスする場合は、信頼できる認証局からSSLサーバー証明書を取得し、AMF Security miniにアップロードする必要があります。
また、AMFアプリケーションプロキシーホワイトリスト機能でコントロールセッションを暗号化する場合は、信頼できる認証局からSSLサーバー証明書を取得し、AMF Security miniにアップロードしてください。
SSLサーバー証明書が登録されている場合は、SSLサーバー証明書の概要が表示されます。

証明書の発行手順に関しては、お客様の環境に合わせて最適な手順を選択してください。
表 8:表示データ
項目名 説明
役割 Web(Webサーバー)またはWhiteList(認証サーバー)を表示します。
一般名称 (CN) Webサーバー(AMF Security mini)または認証サーバー(AMF Security mini)の一般名称(コモンネーム)を表示します。
組織 (O) Webサーバー(AMF Security mini)または認証サーバー(AMF Security mini)が所属する組織名を表示します。
有効期限 [UTC] SSLサーバー証明書の有効期限を表示します。
表 9:コマンドボタン
項目名 説明
詳細 登録されたSSLサーバー証明書の詳細情報を表示します。
アップロード 「SSL証明書のアップロード」ダイアログを表示し、SSLサーバー証明書をAMF Security miniに登録します。
削除 登録されたSSLサーバー証明書を削除し、初期設定されたAMF Security miniの自己署名証明書を復旧します。
Note
AMFマスターの設定を行うと、AMF Security miniは通常のセッションと暗号化されたセッションの両方を受け付けるようになります。どちらかを無効にすることはできません。

SSL証明書のアップロード

SSL証明書をアップロードする画面です。

表 10:設定データ
項目名 説明
証明書 「ファイルを選択」ボタンをクリックして、アップロードするSSLサーバー証明書を選択します。
秘密鍵 「ファイルを選択」ボタンをクリックして、アップロードするSSL秘密鍵を選択します。
表 11:コマンドボタン
項目名 説明
登録 選択されたSSL関連ファイルをシステムに取り込みます。
キャンセル SSL証明書の設定をキャンセルします。

TQ設定

Note
本設定を行うと、接続中のAMFマスターとの接続がいったん切断されます。

その際に、TQのAMFアプリケーションプロキシー機能で既に管理されているデバイス(「デバイス」/「接続中 デバイス一覧」画面に表示されているデバイス)が存在する場合、そのデバイスの認証、およびアクションは適用されたままになりますが、「デバイス」/「接続中 デバイス一覧」画面の表示からは削除されます。

また、他の設定や操作(サービスの再起動など)で接続中のAMFマスターとの接続がいったん切断される状態になった場合にも、「デバイス」/「接続中 デバイス一覧」画面の表示からは削除されます。

共通設定

隔離用ネットワークのVLAN IDを指定します。

表 12:設定データ
項目名 説明
隔離 VLAN ID 隔離されたデバイスが所属するVLANセグメントのVLAN IDを設定します。
0~4094が設定できます。初期設定は4089です。
表 13:コマンドボタン
項目名 説明
登録 入力した隔離 VLAN IDを登録します。

VistaManagerEX

登録されたAT-Vista Manager EXを一覧表示します。

表 14:表示データ
項目名 説明
IPv4 アドレス AT-Vista Manager EXサーバーのIPアドレスです。
Windows版のAT-Vista Manager EXを使用する場合には、AT-Vista Manager EXサーバーのIPアドレスを指定します。
AT-VST-APL/AT-VST-VRT版のAT-Vista Manager EXを使用する場合は、AWCプラグインのIPアドレスを指定します。
ユーザー名 AT-Vista Manager EXの管理者アカウントのユーザー名です。
表 15:コマンドボタン
項目名 説明
追加 「VistaManagerEX 編集」ダイアログを表示し、AT-Vista Manager EXを新しく登録します。
編集 「VistaManagerEX 編集」ダイアログを表示し、AT-Vista Manager EXの情報を更新します。
削除 AT-Vista Manager EXを削除します。

VistaManagerEX 編集

AT-Vista Manager EXを登録または更新します。

表 16:設定データ
項目名 説明
IPv4 アドレス AT-Vista Manager EXサーバーのIPアドレスを入力します。
ポート番号 AT-Vista Manager EXを使用するためのポート番号を設定します。
本設定はAWCプラグインのポート番号を指定します。AWCプラグインのデフォルトのポート番号は5443ですが、ポート番号を変更している場合にはそのポート番号を指定します。
1~65535の範囲から設定できます。初期設定は5443です。
ユーザー名 AT-Vista Manager EXの管理者アカウントのユーザー名を入力します。
パスワード AT-Vista Manager EXの管理者アカウントのパスワードを入力します。
表 17:コマンドボタン
項目名 説明
登録 入力したAT-Vista Manager EXの情報を登録します。
キャンセル AT-Vista Manager EXの登録、または情報の更新をキャンセルします。

TQ一覧

AT-Vista Manager EXによる管理の対象となる無線アクセスポイントを一覧表示します。
Note
無線アクセスポイントはIPアドレスで登録します。重複したIPアドレスは登録できません。

表 18:表示データ
項目名 説明
IPv4 アドレス 無線アクセスポイントのIPアドレスです。
表 19:コマンドボタン
項目名 説明
インポート CSVファイルを使用して、無線アクセスポイントを新しく登録、または情報を更新します。
リセット 登録されたすべての無線アクセスポイントを削除します。
追加 「TQ 編集」ダイアログを表示し、無線アクセスポイントを新しく登録します。
編集 「TQ 編集」ダイアログを表示し、無線アクセスポイントの情報を更新します。
削除 無線アクセスポイントを削除します。
■ CSVファイルの書式について
CSVファイルを使用して、無線アクセスポイントを新しく登録、または情報を更新する場合には、次に示す書式で、文字コードが「UTF-8」のCSVファイルを作成してください。

Note
削除を行う場合には、「事前共有鍵(PSK)」の指定は不要です。

TQ 編集

無線アクセスポイントを登録または更新します。

表 20:設定データ
項目名 説明
IPv4 アドレス 無線アクセスポイントのIPアドレスを入力します。
既に登録されているIPアドレスで追加を行った場合は、既存の設定を上書きします。
事前共有鍵(PSK) 無線アクセスポイントに設定されているセキュリティーキー(AMFアプリケーションプロキシーサーバーのシークレット)を入力します。
表 21:コマンドボタン
項目名 説明
登録 入力した無線アクセスポイントの情報を登録します。
キャンセル 無線アクセスポイントの登録、または情報の更新をキャンセルします。

付録 / AMFマスターの接続状態の表示

Error、Warningの表示

AlliedWare PlusのAMFアプリケーションプロキシー機能を使用する際には、AMF Security miniにAMFマスター(プロキシーノード)を「AMF」/「AMF アプリケーションプロキシー 設定」画面で登録します。
Note
AlliedWare Plus機器の設定については、お使いのAlliedWare Plus機器のマニュアルや、クイックツアーの「AMF Security miniが管理する情報(AMFアプリケーションプロキシーホワイトリスト機能)」「AMFアプリケーションプロキシーによる遮断(AMFアプリケーションプロキシーブラックリスト機能)」をご参照ください。
AMF Security miniにAMFマスターを登録すると「AMF」/「AMF アプリケーションプロキシー 設定」画面の「接続状態」に、確認中、切断中、Good、Error、Warningのいずれかが表示されます。AMFマスターが登録されていないときは、何も表示されません。
Note
現在の接続状態を表示するためにはWebブラウザーの更新を行ってください。
「接続状態」のそれぞれの表示について、次の表に示します。
表 1:接続状態
表示 説明
確認中 AMFマスターを登録し、そのAMFマスターが管理しているAMFノードの情報を取得・確認中に表示されます。情報の取得・確認が完了すると、Good、Error、Warningの表示になります。
切断中 AMF Securityに基本ライセンスが登録されていない状態でAMFマスターを登録すると表示されます。
Good AMFマスターと接続し、そのAMFマスターが管理しているAMFノードの情報が正常に取得できると表示されます。
Error AMFマスターと接続ができなかった場合に表示されます。
Warning AMFマスターと接続し、そのAMFマスターが管理している一部のAMFノードの情報が正常に取得できなかったときに表示されます。
Note
Error、Warningが表示された場合は、付録「AMFマスターの接続状態の表示」/「Error、Warningの表示」をご参照ください。

Error、Warningの表示

AMF Security miniのAMFマスター(プロキシーノード)の「接続状態」に、Error、Warningが表示された場合は、AlliedWare Plus機器のAMFノード、AMF Security miniの設定不備などの可能性があります。
各製品の設定については、クイックツアーの「AMF Security miniが管理する情報(AMFアプリケーションプロキシーホワイトリスト機能)」「AMFアプリケーションプロキシーによる遮断(AMFアプリケーションプロキシーブラックリスト機能)」をご参照ください。
なお「システム設定」/「AMF Securityログ」画面にも、関連するログが出力されますのであわせてご確認ください。
Error表示時の確認内容
AMF Security miniに登録したAMFマスターと接続ができなかった場合に表示されるため、AMFアプリケーションプロキシー機能全般が正常に動作しません。「システム設定」/「AMF Securityログ」画面に出力されるログと合わせて以下をご確認ください。
Warning表示時の確認内容
AMF Security miniに登録したAMFマスターが管理している一部のAMFノードの情報が正常に取得できなかったときに表示されますが、情報が正常に取得できたAMFノードではAMFアプリケーションプロキシー機能は動作します。情報が正常に取得できなかったAMFノードについては、「システム設定」/「AMF Securityログ」画面に出力されるログと合わせて以下をご確認ください。
また、AMF Security miniを本バージョンに変更後にWarningの表示になった場合には、お使いのAlliedWare Plus機器に要因がある可能性もありますので、AlliedWare Plus機器のリリースノートも合わせてご確認ください。

付録 / パスワードを忘れた場合

AMF Security miniにSMTPサーバーを登録してある場合、AMF Security miniのログイン情報を忘れたときは、アカウントに関連付けられたメールアドレスを使用してログイン情報を復旧させることができます。

Note
アカウント名やメールアドレスを忘れた場合、SMTPサーバーを登録していない場合、アカウントにメールアドレスを関連付けていない場合には、メールによるパスワードの復旧はできません。
  1. AMF Security ログイン画面右下の「パスワードを忘れましたか?」をクリックします。

  2. 「Email アドレス:」にアカウントに関連付けたメールアドレスを入力して、「メールを送信」ボタンをクリックします。

  3. 有効なSMTP設定が登録されている場合、「(メールアドレス)宛てにメールを送信しました。」メッセージが表示されますので、右下の「戻る」をクリックします。

  4. 入力したメールアドレス宛てに「AMF Security パスワード再設定ページ」という件名のメールが届きますので、メール本文に記載されたリンクをクリックします。
    ■ 件名
    AMF Security パスワード再設定ページ
    ■ 本文
    下記のリンクからAMF Securityのパスワード再設定ページにアクセス出来ます。このページでパスワードを再設定して下さい。
https://(AMF SecurityのIPアドレス)/page/system/password_reset/xxxxxxxxxxxxxxxxxxx
このページは10分間有効です。10分以内に再設定を行って下さい。
もしお心当たりがない場合は、このメールを無視して下さい。パスワードは変更されません。
  5. 「パスワードのリセット」画面が表示されますので、メールアドレスを関連付けたアカウント名、新しいパスワード、パスワード確認を入力し、「登録」ボタンをクリックします。

  6. 「パスワードの変更が完了しました。」というメッセージが表示され、その後にAMF Security ログイン画面が表示されます。

  7. 入力したメールアドレス宛てに「AMF Securityのパスワードが変更されました」という件名のメールが届きますので、メール本文に記載されたリンクをクリックします。
    ■ 件名
    AMF Securityのパスワードが変更されました
    ■ 本文
    AMF Securityのパスワードを変更しました。
下記のリンクからAMF Securityに再ログインすることが出来ます。
https://(AMF SecurityのIPアドレス)/page/system/login
  8. AMF Security ログイン画面が表示されますので、アカウント名と変更後のパスワードを入力して、ログインします。

付録 / AMF Security mini内部で使用しているポート番号

AMF Security miniが使用する待ち受けポート番号
AMF Security miniが送信するパケット

AMF Security miniでは下記のポート番号を内部的に使用しています。各種のポート番号は重複しないように設定してください。

AMF Security miniが使用する待ち受けポート番号

AMF Security miniが提供するサービスは、下記のポート番号で待ち受けを行います。サービスの中には待ち受けポート番号を設定で変更できるものがありますが、変更する際は各サービスの待ち受けポート番号が重複しないように設定してください。
表 1:各サービスの待ち受けポート番号
サービス名 ポート番号 備考
Web設定画面 HTTP 80/TCP  設定の変更可能。
HTTPS 443/TCP  設定の変更可能。
HTTP リダイレクトサービス HTTP 80/TCP  
内部用DNS サーバー 53/TCP
53/UDP 		 
ローカルネットワーク名前解決サービス 5355/TCP
5355/UDP 		 
トラップ監視 Syslog 514/UDP  設定の変更可能。
SNMP Trap 162/UDP  設定の変更可能。
AMFアプリケーションプロキシーホワイトリスト機能(AW+) 1812/UDP
2083/TCP 		 
AMFアプリケーションプロキシーホワイトリスト・ブラックリスト機能(TQ) 1812/UDP  
ローカルログ管理 9999/UDP  
認証データベース管理 27017/TCP  

AMF Security miniが送信するパケット

AMF Security miniが提供する機能は、下記の宛先に向けてパケット送信する可能性があります。宛先サーバーとの間にファイアウォールなどがある場合は、適切なフィルタリング設定を行う必要があります。
表 2:各機能が送信するパケット
機能名 宛先ホスト ポート番号 備考
Syslog送信 指定したホスト 514/UDP  指定がない場合に使用されるデフォルトのポート番号。
トラップ監視転送 Syslog 指定したホスト 514/UDP  指定がない場合に使用されるデフォルトのポート番号。
SNMP 指定したホスト 162/UDP  指定がない場合に使用されるデフォルトのポート番号。
AMFアプリケーションプロキシーホワイトリスト機能(AW+) 端末情報の取得 AMFマスター 443/TCP  
AMFアプリケーションプロキシーブラックリスト機能(AW+) アクション登録 AMFマスター 443/TCP  
状態取得 AMFマスター 12943/TCP  
AMFアプリケーションプロキシーホワイトリスト機能(TQ) TQ 1812/UDP  
AMFアプリケーションプロキシーブラックリスト機能(TQ) TQ 3799/UDP  
Vista Manager EX(AWCプラグイン) 指定したポート番号(TCP)  デフォルトでは5443
メール通知 指定したホスト 指定したポート番号(TCP)  
DNS通信 指定したDNSサーバー 53/UDP  AW+のWeb GUI / Vista Manager mini - AMF Security mini画面の「アプリケーション設定」で設定したDNSサーバー。

付録 / CSVファイル

文字コード
出力される項目
凡例
デバイス
接続中 デバイス一覧
未認証グループ
AMFメンバー
接続中 AMF メンバー 一覧のCSVファイルのエクスポート
アカウントグループ
ネットワーク
ロケーション
スケジュール
アクション
認証データのダウンロード
CSVファイルのインポート

各一覧画面の「CSV にエクスポート」ボタンをクリックすると、一覧の内容をCSV(カンマ区切りテキスト)形式でダウンロードすることができます。
また、これらをテキストエディターなどで編集して、「システム設定」/「システム情報」画面から認証データとしてインポートすることもできます。
Note
「デバイス」/「接続中 デバイス一覧」画面、「スイッチ」/「接続中 AMF メンバー 一覧」画面からエクスポートできるCSVファイルは、通常の認証データとは書式が異なります。「システム設定」/「システム情報」画面からインポートすることはできません。

文字コード

各一覧画面でダウンロードしたCSVファイルと、「システム設定」/「システム情報」画面からダウンロードした認証データのCSVファイルのテキストの文字コードは「UTF-8」です。
Note
CSVファイルをAMF Security miniにアップロードする場合、CSVファイルに日本語などのマルチバイト文字が含まれている場合、文字コードが「UTF-8」であることを確認してください。「UTF-8」以外の文字コードを使用した場合、アップロード時にエラーが表示されてアップロードができません。

出力される項目

CSVファイルをエクスポートできる画面と、CSVファイルに出力される項目は以下となります。

凡例

CSVファイルでは、複数のデータ項目(フィールド)を二重引用符("")でくくり、カンマ(,)で区切ります。
Note
以下の例では画面表示のためカンマ(,)の後に半角スペースを表示していますが、実際にエクスポートされるCSVファイルでは、カンマの後に半角スペースは含まれません。
また、画面表示による折り返しと実際のデータの改行を区別するため、行末に矢印( ↓)を表示していますが、実際にエクスポートされるCSVファイルでは、行末に矢印は含まれません。
カンマの前後や行末など、二重引用符("")の外に文字や記号を含むCSVファイルをインポートするとエラーになります。

デバイス

「デバイス」/「デバイス一覧」画面からエクスポートできる、またはデバイス定義としてインポートできるCSVファイルの書式を示します。
■ エクスポート例
エクスポート時のファイル名は、デフォルトではdevice.csvです。
エクスポート時は、1行目にコメント行が出力されます。インポート用のCSVファイルを作成する場合は、このヘッダーは不要です。
デバイス追加画面のデバイス ID・タグ・備考・インターフェースがテーブル名「device」で、セキュリティーポリシーがテーブル名「rule」でエクスポートされます。

■ 書式
デバイスの登録行(テーブル名「device」)は次の書式で記述します。

複数のインターフェースを関連付ける場合は、「"%port"」以降("%port"、MACアドレス、インターフェース名称、備考)を繰り返します。

デバイスにセキュリティーポリシーを指定する場合は、デバイスの登録行(テーブル「device」)に続いて、セキュリティーポリシーの登録行(テーブル「rule」)を次の書式で記述します。

セキュリティーポリシーの各フィールドは、指定が不要な場合は省略可能です。
複数のセキュリティーポリシーを指定する場合は、セキュリティーポリシーの登録行を複数記述します。同じ優先度を指定した場合、後から読み込んだもので上書きされます。

接続中 デバイス一覧

「デバイス」/「接続中 デバイス一覧」画面からエクスポートできるCSVファイルは、画面に表示されているMACアドレスの状態を出力するもので、通常のデバイス認証データとは書式が異なります。
「システム設定」/「システム情報」画面から直接インポートすることはできません。テキストエディターなどによる編集の手順については、付録「CSVを利用した認証データの作成」をご覧ください。

未認証グループ

「グループ」/「未認証グループ一覧」画面からエクスポートできる、または未認証グループ定義としてインポートできるCSVファイルの書式を示します。
■ エクスポート例
エクスポート時のファイル名は、デフォルトではgroup.csvです。
エクスポート時は、1行目にコメント行が出力されます。インポート用のCSVファイルを作成する場合は、このヘッダーは不要です。
「グループ」/「未認証グループ追加」画面のグループID・備考・有効/無効がテーブル名「group」で、セキュリティーポリシーがテーブル名「rule」でエクスポートされます。

■ 書式
未認証グループの登録行は次の書式で記述します。

未認証グループにセキュリティーポリシーを指定する場合は、未認証グループの登録行に続いて、セキュリティーポリシーの登録行を次の書式で記述します。

セキュリティーポリシーの各フィールドは、指定が不要な場合は省略可能です。

AMFメンバー

「スイッチ」/「AMF メンバー 一覧」画面からエクスポートできる、またはAMFメンバー定義としてインポートできるCSVファイルの書式を示します。
■ エクスポート例
エクスポート時のファイル名は、デフォルトではswitch.csvです。
エクスポート時は、1行目にコメント行が出力されます。インポート用のCSVファイルを作成する場合は、このヘッダーは不要です。
「スイッチ」/「AMF メンバー 追加」画面の名称・備考・アカウントグループ IDが、テーブル名「switch」でエクスポートされます。

■ 書式
AMFメンバーの登録行は次の書式で記述します。

接続中 AMF メンバー 一覧のCSVファイルのエクスポート

接続中のAMFメンバー一覧を、CSVファイルに書き出します。
  1. 「スイッチ」/「接続中 AMF メンバー 一覧」画面を表示します。
  2. 画面右上の「CSV にエクスポート」ボタンをクリックし、CSVファイルをダウンロードします。
    エクスポート時のファイル名は、デフォルトではamf_member_active.csvです。

アカウントグループ

「システム設定」/「アカウントグループ一覧」画面からエクスポートできる、またはアカウントグループ定義としてインポートできるCSVファイルの書式を示します。
■ エクスポート例
エクスポート時のファイル名は、デフォルトではaccount_group.csvです。
エクスポート時は、1行目にコメント行が出力されます。インポート用のCSVファイルを作成する場合は、このヘッダーは不要です。
「システム設定」/「アカウントグループ追加」画面のアカウントグループ ID・備考が、テーブル名「account_group」でエクスポートされます。

■ 書式
アカウントグループの登録行は次の書式で記述します。

ネットワーク

「ポリシー設定」/「ネットワーク一覧」画面からエクスポートできる、またはネットワーク定義としてインポートできるCSVファイルの書式を示します。
■ エクスポート例
エクスポート時のファイル名は、デフォルトではnetwork.csvです。
エクスポート時は、1行目にコメント行が出力されます。インポート用のCSVファイルを作成する場合は、このヘッダーは不要です。
「ポリシー設定」/「ネットワーク追加」画面のネットワーク ID・備考・VLAN IDがテーブル名「network」でエクスポートされます。

■ 書式
ネットワークの登録行は次の書式で記述します。

ロケーション

「ポリシー設定」/「ロケーション一覧」画面からエクスポートできる、またはロケーション定義としてインポートできるCSVファイルの書式を示します。
■ エクスポート例
エクスポート時のファイル名は、デフォルトではlocation.csvです。
エクスポート時は、1行目にコメント行が出力されます。インポート用のCSVファイルを作成する場合は、このヘッダーは不要です。
「ポリシー設定」/「ロケーション追加」画面のロケーション ID・備考・スイッチ IDがテーブル名「location」でエクスポートされます。

■ 書式
ロケーションの登録行は次の書式で記述します。

複数のOpenFlowスイッチを関連付ける場合は、関連付けるスイッチ IDを繰り返します。

スケジュール

「ポリシー設定」/「スケジュール一覧」画面からエクスポートできる、またはスケジュール定義としてインポートできるCSVファイルの書式を示します。
■ エクスポート例
エクスポート時のファイル名は、デフォルトではschedule.csvです。
エクスポート時は、1行目にコメント行が出力されます。インポート用のCSVファイルを作成する場合は、このヘッダーは不要です。
「ポリシー設定」/「スケジュール追加」画面のスケジュール ID・備考・開始日時・終了日時がテーブル名「schedule」でエクスポートされます。

■ 書式
スケジュールの登録行は次の書式で記述します。

開始日時または終了日時を指定しない場合は空欄にします。

アクション

「ポリシー設定」/「アクション一覧」画面からエクスポートできる、またはアクション定義としてインポートできるCSVファイルの書式を示します。
■ エクスポート例
エクスポート時のファイル名は、デフォルトではaction.csvです。
エクスポート時は、1行目にコメント行が出力されます。インポート用のCSVファイルを作成する場合は、このヘッダーは不要です。
「ポリシー設定」/「アクション追加」画面のアクション ID・アクションの実行者・原因・OpenFlowアクション・優先度・AMFアクション・アクションの各種条件がテーブル名「action」でエクスポートされます。

■ 書式
アクションの登録行は次の書式で記述します。

「"%options"」以降の各フィールドは、指定が不要な場合は省略可能です。

認証データのダウンロード

「システム設定」/「システム情報」画面でダウンロードする認証データは、上記の各種データを必要な順で一括して記載したものです。
通常、すべての種類の認証データが登録されている場合、次の順で記述されます。
  1. アカウントグループ
  2. AMFメンバー
  3. ロケーション
  4. スケジュール
  5. ネットワーク
  6. デバイス
  7. 未認証グループ
  8. アクション
■ エクスポート例

CSVファイルのインポート

「システム設定」/「システム情報」画面では、認証データをCSV形式でダウンロードしたり、テキストエディターなどで編集したCSVファイルをアップロードしたりすることができます。
アップロードするデータは、「システム設定」/「システム情報」画面からダウンロードした認証データ、または、各一覧画面のCSVファイルのどちらをもとにすることもできます。
各一覧画面のCSVファイルを編集して「システム設定」/「システム情報」画面から認証データとしてAMF Security miniへアップロードする際、異なる画面のCSVファイルを編集したものアップロードする場合は、必要な情報を次の順でアップロードしてください。
  1. セキュリティーポリシー定義
    ロケーション、ネットワーク、スケジュールのいずれの順でインポートすることもできます。
    ただし、ロケーションの定義をインポートする前に、必ずAMFメンバーの定義をインポートしておく必要があります。
  2. デバイス・未認証グループ定義
    デバイス認証データと未認証グループの定義は、どちらから先にインポートすることもできます。
  3. アクション定義
    AMFメンバー、セキュリティーポリシー(ネットワーク、ロケーション、スケジュール)、デバイス、未認証グループの認証データを一通りインポートした上で、最後にアクション定義をインポートします。
登録の順番が上記と異なる際、未登録の情報が含まれる場合は、エラーとなります。
例えば、デバイスの認証データをアップロードする際、セキュリティーポリシーに指定されたロケーション ID、スケジュール ID、ネットワーク ID、スイッチ ID、スイッチポートのうち、いずれか1つでもAMF Security miniに登録されていないIDを記述した場合は、インポートに失敗し、デバイス認証データは更新されません。

付録 / CSVを利用した認証データの作成

AMFメンバーの認証データの作成
接続中 AMF メンバー 一覧のCSVファイルのエクスポート
テキストエディターによるCSVファイルの編集
CSVファイルのインポート
デバイスの認証データの作成
未認証グループによる対象デバイスの絞り込み・検出
デバイス一覧のCSVファイルのエクスポート
テキストエディターによるCSVファイルの編集
CSVファイルのインポート

既設のネットワークにAMF Security miniを導入する場合、多数のスイッチやデバイスをAMF Security miniに登録する必要があります。
デバイスやスイッチの一覧をCSVファイルにエクスポートし、CSVファイルを編集して、AMF Security miniにインポートすることで、新規導入時の機器の登録作業を大幅に軽減することができます。
ここでは、「デバイス」/「接続中 デバイス一覧」画面や「スイッチ」/「接続中 AMF メンバー 一覧」画面から出力したCSVファイルから、AMF Security miniの認証データとしてインポート可能なホワイトリストを作成するための手順を説明します。
Note
接続中のデバイスとAMFメンバーの両方について、ホワイトリストを作成、インポートする必要がある場合は、AMFメンバーからホワイトリストの作成、インポートを行うことをおすすめします。
AMFメンバーから登録し、続いてAMFメンバーのロケーションを設定しておくことで、デバイスが接続されたAMFメンバーによって登録するデバイスを切り分けることができます。

AMFメンバーの認証データの作成

多数のAMFメンバーが接続されており、これらを一括してAMF Security miniに登録する場合は、以下の流れで行います。
  1. 接続中 AMF メンバー 一覧のCSVファイルのエクスポート
  2. テキストエディターによるCSVファイルの編集
  3. CSVファイルのインポート

接続中 AMF メンバー 一覧のCSVファイルのエクスポート

接続中のAMFメンバーの一覧を、CSVファイルに書き出します。
  1. 「スイッチ」/「接続中 AMF メンバー 一覧」画面を表示します。
  2. 画面右上の「CSV にエクスポート」ボタンをクリックし、CSVファイルをダウンロードします。
    エクスポート時のファイル名は、デフォルトではamf_member_active.csvです。

テキストエディターによるCSVファイルの編集

ダウンロードしたAMFメンバー一覧のCSVファイルを、テキストエディターで編集します。
Note
必要に応じて、ファイルのバックアップを作成してください。
  1. 文字コード「UTF-8」を取り扱いできるテキストエディターで、ダウンロードしたCSVファイルを開きます。
    今回は、CSVファイルの内容は次のとおりであるとします。
    Note
    以下の例では画面表示による折り返しと実際のデータの改行を区別するため、行末に矢印( ↓)を表示していますが、実際にエクスポートされるCSVファイルでは、行末に矢印は含まれません。
    カンマの前後や行末など、二重引用符("")の外に文字や記号を含むCSVファイルをインポートするとエラーになります。

  2. 1行目はコメント行です。
    コメント行の内容は無視されるため、修正する必要はありません。また、不要な場合は削除しても構いません。
    ここでは、簡便のため、コメント行は削除します。

  3. 2番目のフィールドを「"amf_member_active"」から「"switch"」に書き換えます。

  4. 4番目のフィールドを備考に変更します。
    ここでは、備考に「20XX/11 ホワイトリストによる登録」を入力します。

  5. 以上で、基本的なスイッチ認証データの記述は完了です。
    ファイルを文字コード「UTF-8」で保存します。

CSVファイルのインポート

編集したCSVファイルをAMF Security miniにインポートします。
なお、先ほど編集したCSVファイルにはアカウントグループ ID「"group1"」が含まれているため、事前に設定が必要です。
アカウントグループの設定は「システム設定」/「アカウントグループ一覧」画面から行ってください。
  1. 「システム設定」/「システム情報」画面を開きます。
  2. 「認証データ」の「インポート」ボタンをクリックし、「認証データのアップロード」画面を開きます。
  3. 「ファイルを選択」ボタンをクリックし、先ほど編集したCSVファイルを選択して、 「登録」ボタンをクリックします。
認証データの各フィールドが正しく記述されており、AMF Security miniの既存の認証データとの整合性が確認できると、AMF Security miniのデータベースに新しいAMFメンバーとして登録されます。

デバイスの認証データの作成

多数のデバイスが接続され、その中から正規にネットワークに接続可能なデバイスを一括してAMF Security miniに登録する場合は、以下の流れで行います。
  1. 未認証グループによる対象機器の絞り込み・検出
  2. 検出デバイス一覧のCSVファイルのエクスポート
  3. テキストエディターによるCSVファイルの編集
  4. CSVファイルのインポート

未認証グループによる対象デバイスの絞り込み・検出

「グループ」/「未認証グループ追加」画面から、ホワイトリストの対象とするデバイスを、未認証グループとして検出します。
これにより、多数のデバイスから、ロケーションまたはスケジュールによって、対象とするデバイスを絞り込むことができます。
ロケーションの登録や未認証グループの作成の詳細な手順は、クイックツアー「手動によるデバイスの追加」/「ロケーションの登録」、および、クイックツアー「一覧からのデバイス登録」/「未認証グループによるデバイスの検出」をご覧ください。

デバイス一覧のCSVファイルのエクスポート

MACアドレス一覧を、CSVファイルに書き出します。
Note
画面上の検索や絞り込みは、出力されるCSVファイルの内容に影響しません。CSVのエクスポートの際は接続中のすべてのデバイスがエクスポートされます。
  1. 「デバイス」/「接続中 デバイス一覧」画面を表示します。
  2. 画面右上の「CSV にエクスポート」ボタンをクリックし、CSVファイルをダウンロードします。
    エクスポート時のファイル名は、デフォルトではclient.csvです。

テキストエディターによるCSVファイルの編集

ダウンロードしたMACアドレス一覧のCSVファイルを、テキストエディターで編集します。
Note
必要に応じて、ファイルのバックアップを作成してください。
  1. 文字コード「UTF-8」を取り扱いできるテキストエディターで、ダウンロードしたCSVファイルを開きます。
    今回は、CSVファイルの内容は次のとおりであるとします。
    Note
    以下の例では画面表示による折り返しと実際のデータの改行を区別するため、行末に矢印( ↓)を表示していますが、実際にエクスポートされるCSVファイルでは、行末に矢印は含まれません。
    カンマの前後や行末など、二重引用符("")の外に文字や記号を含むCSVファイルをインポートするとエラーになります。

  2. 1行目はコメント行です。
    コメント行の内容は無視されるため、修正する必要はありません。また、不要な場合は削除しても構いません。
    ここでは、簡便のため、コメント行は削除します。

  3. 「デバイス」/「接続中 デバイス一覧」画面上の検索や絞り込みは、出力されるCSVファイルの内容に影響しません。
    未認証グループによって検出されたデバイス以外に、接続済み、隔離、遮断、認証失敗のデバイスが存在するネットワークでは、出力されたCSVファイルには接続済み、隔離、遮断、認証失敗のMACアドレス情報も出力されます。これらのデバイスの状況は、CSVの12番目のフィールドに記述されます。
    12番目のフィールドが「検出」以外の行を削除します。
  4. 11番目のフィールド("%status")以降はデバイス認証データには不要なため、記述は無視されます。また、不要な場合は削除しても構いません。
    ここでは、簡便のため、直前のカンマから削除します。

  5. 2番目のフィールドを「"client"」から「"device"」に書き換えます。

  6. 3番目のフィールドに、既にAMF Security miniに登録されているものと重複しないデバイス ID(例:「device1」、「device2」、「device3」)を入力します。

  7. 必要に応じて、4番目のフィールドにデバイスの備考、5番目のフィールドにデバイスのタグを入力します。
    ここでは、備考に「20XX/11 ホワイトリストによる登録」を入力します。タグは空欄とします。

  8. 必要に応じて、9番目のフィールドにインターフェースの名称、10番目のフィールドにインターフェースの備考を入力します。
    ここでは、名称に「(デバイス ID)-1」(例:device1-1)を入力します。備考は空欄とします。

  9. デバイス IDが、既にAMF Security miniに登録されているもの、またはCSV内の他の行の記述されているものと重複する場合、最後に書かれた行の記述のみが有効になります。
    複数のMACアドレスを1つのデバイスに関連付ける場合は、7~10番目のフィールド("%port"、MACアドレス、インターフェース名称、インターフェース備考)を繰り返して記述します。
    例えば、上記の例のMACアドレス「00:00:5e:00:53:30」と「00:00:5e:00:53:31」をデバイス ID「device1」に関連付ける場合は、次のように整形します。

  10. 以上で、基本的なデバイス認証データの記述は完了です。
    デバイスにセキュリティーポリシーを設定しない場合は、ファイルを文字コード「UTF-8」で保存して、以下の手順を省略し、CSVファイルのインポートに進みます。
  11. デバイスに対してセキュリティーポリシーを設定する場合は、「device」テーブルの各行に「rule」テーブルのCSV行を追加します。
    ここでは、例として、すべてのデバイスに対して、以下のセキュリティーポリシーを設定します。
    Note
    セキュリティーポリシーの各項目は、あらかじめAMF Security miniに登録されている必要があります。セキュリティーポリシーに指定されたロケーション ID、スケジュール ID、ネットワーク ID、スイッチ ID、スイッチポートのうち、いずれか1つでもAMF Security miniに登録されていないIDを記述した場合は、インポートに失敗し、デバイス認証データは更新されません。
    表 1:セキュリティーポリシー
    項目 設定
    優先度 10
    ネットワーク 営業部
    書式の詳細については、付録「CSVファイル」/「出力される項目」の「デバイス」をご覧ください。

  12. 以上で、セキュリティーポリシーを含むデバイス認証データの記述は完了です。
    ファイルを文字コード「UTF-8」で保存します。

CSVファイルのインポート

編集したCSVファイルをAMF Security miniにインポートします。
  1. 「システム設定」/「システム情報」画面を開きます。
  2. 「認証データ」の「インポート」ボタンをクリックして、「認証データのアップロード」画面を開きます。
  3. 「ファイルを選択」ボタンをクリックし、先ほど編集したCSVファイルを選択して、「登録」ボタンをクリックします。
認証データの各フィールドが正しく記述されており、AMF Security miniの既存の認証データとの整合性が確認できると、AMF Security miniのデータベースに新しいデバイスとして登録されます。

付録 / AT-AR3050S/AT-AR4050Sの設定

連携可能なUTM機能一覧
ARシリーズの設定

アドバンストVPNアクセス・ルーターAT-AR3050S/AT-AR4050S(以下、「ARシリーズ」)は、VPNルーター機能に加えファイアウォール、IPS/IDS、アンチウイルス/マルウェアプロテクションやIPレピュテーションなどのセキュリティー機能も搭載した次世代型ファイアウォールです。このARシリーズで検知された脅威情報をAMF Security miniと連携し、エッジ・スイッチや無線LANアクセスポイントを制御することで、それらに接続されたユーザー端末、IP電話、プリンター、複合機、POS端末、医療機器、MC機器、その他IP対応デバイスを動的に管理・運用することが可能です。

連携可能なUTM機能一覧

ARルーターのUTM(Unified Threat Management)関連機能のうち、AMF Security miniと連携可能な機能は次のとおりです。
Note
UTMオフロードに対応しているUTM機能については、UTMオフロードが有効な場合も連携が可能です。
■ IPレピュテーション(IPアドレスブラックリスト)
IPアドレスの分類リストをもとに、特定のIPアドレスを送信元または宛先とするパケットを制御できます。次のカテゴリーのものがAMF Security miniと連携できます。
表 1:IPレピュテーション連携対応カテゴリー
カテゴリー カテゴリー名
(NAMEパラメーター) 		説明
マルウェア CnC
マルウェアC&Cサーバー 		既知のマルウェア(ボット)に命令を送るC&C(指令&制御)サーバー。このカテゴリーには実際の活動が観測されたものとDGA(Domain Generation Algorithm)に基づいて予測されたものが含まれる。
Bot
マルウェア感染ホスト 		マルウェアC&Cサーバーとの通信が観測されたホストおよびマルウェア(ボット)への感染が明確に認められるホスト。
Mobile_CnC
モバイルC&Cサーバー 		モバイル環境向けのマルウェアC&Cサーバー。
スパイウェア Drop
流出情報サイト 		不正に取得されたパスワードやログなどの情報がアップロードされているホスト。マルウェアC&Cサーバーと重複する場合もある。情報をアップロードする側は含まない。
SpywareCnC
スパイウェアC&Cサーバー 		ユーザーの行動を追跡する目的で使用されていると思われるサーバー。通常の広告配信サイトではなく、ツールバー、ゲーム、無料スクリーンセーバーなどのソフトウェアによって収集された情報の送信先である可能性が高い。
Mobile_Spyware_CnC
モバイルスパイウェアC&Cサーバー 		モバイル環境向けのスパイウェアC&Cサーバー。
Note
別途ARシリーズ用のアニュアルライセンスが必要になります。
■ ファイアウォール
ARシリーズには、IPトラフィックフローの開始・終了を認識し、これに応じて動的なパケットフィルタリングを行うステートフルインスペクション型のファイアウォールが搭載されています。それに加え、下記の検出可能な攻撃をAMF Security miniと連携できます。
表 2:連携可能な攻撃
検出可能な攻撃 説明
Syn Flood 特定の始点IPv4アドレスを持つTCP SYNパケットの数が、基準時間内(1秒以内)にしきい値に達したときに、該当攻撃を検出したとみなします。
ICMP Flood 特定の始点IPv4アドレスを持つICMPパケットの数が、基準時間内(1秒以内)にしきい値に達したときに、該当攻撃を検出したとみなします。
UDP Flood 特定の始点IPv4アドレスを持つUDPパケットの数が、基準時間内(1秒以内)にしきい値に達したときに、該当攻撃を検出したとみなします。
TCP Stealth Scan 不正はTCPパケットを検出したときに、該当攻撃を検出したとみなします(IPv4のみサポート対象)。
■ マルウェアプロテクション(ストリーム型アンチウイルス)
ARシリーズを通過するアプリケーションパケットのデータ部分を検査し、既知のマルウェアを検出した場合に該当パケットを通知/遮断する機能です。
本機能で検出された脅威情報とAMF Security miniが連携可能です。
Note
別途ARシリーズ用のアニュアルライセンスが必要になります。
■ アンチウイルス(プロキシー型アンチウイルス)
ARシリーズを通過するHTTPレスポンスパケットに含まれるファイルをスキャンし、既知のウイルスを検出した場合に該当パケットを通知/遮断する機能です。
本機能で検出された脅威情報とAMF Security miniが連携可能です。
Note
別途ARシリーズ用のアニュアルライセンスが必要になります。
Note
AT-AR4050Sのみサポートします。

ARシリーズの設定

ARシリーズの設定については、該当製品のコマンドリファレンスをご参照ください。
ARシリーズのコマンドリファレンスは弊社ホームページに掲載されています。

(C) 2020-2023 アライドテレシスホールディングス株式会社

PN: 613-002847 Rev.D