ネットワーク侵入防止機能はCloud Edgeの基本機能の1つです。侵入防止システム (IPS) は、脅威、セキュリティホール、バックドアプログラムなど、さまざまな攻撃を識別してデバイスへの侵入を防止します。IPSをファイアウォールのセキュリティポリシーと併用することで、ファイアウォールのルールポリシーで許可されたトラフィックをさらに調べて脅威が含まれていないことを確認できるため、セキュリティを強化することができます。
IPSプロファイルは、バッファオーバーフローや不正なコード実行などのシステムの脆弱性を利用する攻撃に対する保護のレベルを指定します。初期設定のプロファイルを使用した場合、すべての既知の脅威からクライアントとサーバが保護されます。
公式のアップデートやパッチが提供されるまでの期間にビジネスの保護に利用できるように、脅威を検出するためのパターンファイルが先にリリースされます。Cloud EdgeのIPSは、トラフィックのパケットの内容を調べ、数百ものパターンファイルで構成される配置可能なルールのリストと照合して不適切な内容を含むパケットを削除するDPIシステムです。このパターンファイルの署名リストは数分間隔で絶えずアップデートされるため、脅威の出現や拡散が確認された直後からすぐに保護が適用されます。
IPSは、次のような種類の一般的な攻撃に対応しています。
  • DoS/DDoS攻撃
  • プロトコル攻撃
  • OS攻撃
  • アプリケーション攻撃
  • 不正な形式のトラフィック/無効なヘッダ攻撃
  • 不正プログラムおよび混合型の攻撃
  • TCPセグメント化およびIPフラグメント化
  • ポート検索
Cloud Edge IPSプロファイルによって検出される脅威の内容とそれらに対する保護について把握しやすくするために、Cloud Edgeでは、検出されたIPS違反のBID/CVE番号を可能な限り提供しています。この情報の入手場所の詳細については、IPSのBID/CVE情報の場所を参照してください。
プロファイルをカスタマイズすることで、信頼されたセキュリティゾーン間のトラフィックの脆弱性チェックは最小限にし、信頼されていないゾーン (インターネット) からの受信トラフィックや機密性が高い送信先 (サーバファーム) への送信トラフィックの保護を最大限にすることができます。
注意
注意
  • ブリッジモードでハードウェアスイッチチップセットを備えたCloud Edgeゲートウェイを配信する場合は、イントラネットトラフィックに対するIPS検索は、高セキュリティイントラネットのセキュリティ設定でのみサポートされます。
  • バランスイントラネットのセキュリティ設定を使用すると、L2-L3フラッドおよびポートの検索パターンがイントラネットトラフィックに対して機能します。スイッチインタフェース (sw0) の設定時に、IPSパターンの設定を行えます。
  • イントラネットトラフィックに対する高速イントラネットのセキュリティ設定では、IPSはサポートされません。
  • 外部ネットワークでのIPSは、3つすべてのイントラネットセキュリティ設定でサポートされます。
関連情報