Deep Security Managerを保護するには、ManagerのホストコンピュータにAgentをインストールし、Deep Security Managerポリシーを適用します。
-
Managerと同じコンピュータにAgentをインストールします。
-
[コンピュータ]に移動します。
-
Managerのコンピュータを追加します。ポリシーは、まだ適用しないでください。
-
ルールなしで[侵入防御]をオンにします。新しいコンピュータをダブルクリックして、その[詳細]ウィンドウを表示し、[侵入防御]→[一般]→ [設定]→[オン]に移動します。
-
[侵入防御]がオンになるのを待ちます。
-
[侵入防御]→ [詳細]→[SSL設定]に移動します。
-
[SSL設定の表示]→[新規] をクリックしてウィザードを開始し、新規SSL設定を作成します。
-
Managerで使用するインタフェースを指定します。[次へ] をクリックします。
-
[ポート]画面で、 Deep Security Manager GUIのポート番号を保護するかどうかを選択します。[次へ] をクリックします。
-
SSLの侵入防御分析をこのコンピュータのすべてのIPアドレスで実行するのか、それとも1つのIPアドレスでのみ実行するのかを指定します(この機能は、1つのコンピュータに複数の仮想マシンを設定する場合に使用できます)。
-
[Deep Security Manager内蔵のSSL資格情報を使用します] を選択します。(このオプションは、ManagerのコンピュータのSSL設定を作成する場合にのみ表示されます)。[次へ] をクリックします。
-
ウィザードを終了して、[SSL設定] 画面を閉じます。
-
コンピュータの [詳細] 画面に戻ります。[Deep Security Managerポリシー]を適用します。このポリシーには、Deep Security ManagerのGUIのポート番号を保護するために必要なファイアウォールルールと侵入防御ルールが含まれています。
これでManagerのコンピュータは保護され、ManagerへのSSLを含むトラフィックはフィルタされます。
 |
注意SSLトラフィックをフィルタするようにAgentを設定すると、Deep Security Agentからいくつかの[更新エラー]イベントが返されることがあります。これらは、Managerコンピュータで発行された新しいSSL証明書が原因の証明書の更新エラーです。これを修正するには、Webページを更新してから、
Deep Security ManagerのGUIに再接続してください。
|
[Deep Security Manager] ポリシーには、Managerをリモートで利用できるように基本のファイアウォールルールが割り当てられています。Managerのコンピュータを別の目的で使用する場合は、追加でファイアウォールルールを割り当てる必要があります。また、このポリシーには、アプリケーションの種類
[Webサーバ共通] の侵入防御ルールが含まれます。必要に応じて、侵入防御ルールを追加で割り当てることもできます。
[Webサーバ共通]アプリケーションタイプは通常[HTTP]ポートリストでフィルタリングされ、Deep Security Manager GUIのポート番号を含まないため、ポリシーの[詳細]ウィンドウの[IPSルール]ページでポート設定にオーバーライドとして追加されます。
SSLデータの検査の詳細については、TLSトラフィックの検査を参照してください。