ポリシーまたはコンピュータのネットワークエンジンの設定を編集するには、ポリシーまたはコンピュータの[ポリシーエディタ]または[コンピュータエディタ]を開き、[設定]→[詳細]をクリックします。
![]() |
注意[詳細]タブには[イベント]設定も含まれています。これらの設定についての情報は、ログファイルサイズの制限を参照してください。また、[Agentの設定パッケージが最大サイズを超えた場合にアラートを生成する]設定も含まれており、[Agentの設定パッケージが大きすぎる]設定の表示を制御します。
|
以下の設定を使用できます。
-
[ネットワークエンジンモード] : ネットワークエンジンは、侵入防御、ファイアウォール、およびWebレピュテーションモジュール内のコンポーネントであり、パケットをブロックするか許可するかを決定します。ファイアウォールおよび侵入防御モジュールの場合、ネットワークエンジンはパケットの健全性チェックを行い、各パケットがファイアウォールおよび侵入防御ルール (ルールマッチングと呼ばれる) を通過することを確認します。ネットワークエンジンはインラインまたはタップモードで動作できます。インラインで動作する場合、パケットストリームはネットワークエンジンを通過し、設定したルールに基づいてドロップされるか通過します。ステートフルテーブルが維持され、ファイアウォールルールが適用され、トラフィックの正規化が行われるため、侵入防御およびファイアウォールルールが適用されます。タップモードで動作する場合、ドライバーフックの問題やインタフェース制限を除いて、パケットは常に通過します。タップモードでは、スループットの低下を引き起こす可能性のあるパケット遅延も発生します。
-
ネットワークエンジンのステータスチェック: この設定は、エージェントがネットワークエンジンのステータスをモニタするかどうかを決定します。これはデフォルトで有効になっていますが、無効にすることもできます。関連するイベントについては、ネットワークエンジンのステータス (Windows OS)を参照してください。
-
[エラー発生時の処理]: ここでの設定は、ネットワークエンジンが不良パケットを検出したときの動作を決定します。デフォルトではそれらをブロックします (Fail closed) が、以下に説明する理由により一部を通過させることもできます (Fail open)。
-
[ネットワークエンジンのシステムエラー]: この設定は、ネットワークエンジンホストで発生するシステム障害 (メモリ不足障害、割り当てメモリ障害、ネットワークエンジン (DPI) デコード障害など) の結果として発生する不良パケットをネットワークエンジンがブロックするか許可するかを決定します。オプションは次のとおりです:
-
[Fail-Closed] (デフォルト): ネットワークエンジンは不正なパケットをブロックします。ルールマッチングは行いません。このオプションは最高レベルのセキュリティを提供します。
-
[Fail-Open]: ネットワークエンジンは不正なパケットを通過させ、ルールマッチングを行わず、イベントを記録します。エージェントやVirtual Applianceが高負荷やリソース不足のために頻繁にネットワーク例外に遭遇する場合は、[Fail-Open]の使用を検討してください。
-
-
[ネットワークパケットのサニティチェックエラー]: この設定は、ネットワークエンジンがパケット健全性チェックに失敗したパケットをブロックするか許可するかを決定します。健全性チェックの失敗例: ファイアウォール健全性チェックの失敗、ネットワーク層2、3、または4属性チェックの失敗、TCP状態チェックの失敗。オプションは以下の通りです:
-
[Fail-Closed] (デフォルト): ネットワークエンジンは失敗したパケットをブロックします。ルールのマッチングは行いません。このオプションは最高レベルのセキュリティを提供します。
-
[Fail-Open]: ネットワークエンジンは失敗したパケットを許可し、そのパケットに対してルールマッチングを行わず、イベントを記録します。パケットの整合性チェックを無効にし、ルールマッチング機能を保持したい場合は、[Fail-Open]を使用することを検討してください。
-
-
-
[回避技術対策モード]: 回避技術対策設定は、分析を回避しようとする異常なパケットのネットワークエンジン処理を制御します。詳細については、回避技術対策設定の構成を参照してください。
-
[ネットワークエンジンの詳細オプション]: [継承]チェックボックスの選択を解除すると、これらの設定をカスタマイズできます。
-
CLOSEDタイムアウト::ゲートウェイ用。ゲートウェイが「ハードクローズ」(RST) を伝えると、RSTを受信したゲートウェイ側は、接続を終了するまで、設定された時間の間、接続をアライブにします。
-
SYN_SENTタイムアウト:: 接続を終了するまでSYN_SENT状態になっている時間。
-
SYN_RCVDタイムアウト:: 接続を終了するまでSYN_RCVD状態になっている時間。
-
FIN_WAIT1タイムアウト:: 接続を終了するまでFIN_WAIT1状態になっている時間。
-
ESTABLISHEDタイムアウト:: 接続を終了するまでESTABLISHED状態になっている時間。
-
ERRORタイムアウト:: エラー状態で接続を維持する時間。(UDP接続の場合、エラーはさまざまなUDPの問題によって引き起こされる可能性があります。TCP接続の場合、エラーはおそらくファイアウォールによってパケットがドロップされることが原因です。)
-
DISCONNECTタイムアウト::切断するまで接続がアイドル状態になっている時間。
-
CLOSE_WAITタイムアウト:: 接続を終了するまでCLOSE_WAIT状態になっている時間。
-
CLOSINGタイムアウト::接続を終了するまでCLOSING状態になっている時間。
-
LAST_ACKタイムアウト::接続を終了するまでLAST_ACK状態になっている時間。
-
ACKストームタイムアウト::ACKストーム内でACKが再送される最大期間。つまり、ACKが再送される頻度が低く、このタイムアウトが発生した場合、ACKはACKストームの一部とはみなされません。
-
ブートスタートタイムアウト:: ゲートウェイ使用時。ゲートウェイが起動されると、ゲートウェイを通過する既存の接続がすでに存在する場合があります。このタイムアウトは、ゲートウェイが起動される前に確立された接続の一部である可能性がある非SYNパケットを閉じるために許可される時間を定義します。
-
コールドスタートタイムアウト:: ステートフル機能が開始される前に、確立された接続に属している非SYNパケットを許可する時間。
-
UDPタイムアウト::UDP接続の最大時間。
-
ICMPタイムアウト::ICMP接続の最大時間。
-
Null IPを許可::送信元または送信先IPアドレスがないパケットを許可またはブロックします。
-
バージョン8以前のAgentとApplianceでIPv6をブロック:: バージョン8.0以前のAgentおよびApplianceでIPv6パケットをブロックまたは許可します。バージョン8.0以前のDeep Security AgentおよびApplianceはファイアウォールルールまたはDPIルールをIPv6ネットワークトラフィックに適用できないため、こうした古いバージョンの初期設定ではIPv6トラフィックがブロックされています。
-
バージョン9以降のAgentとApplianceでIPv6をブロック:: バージョン9.0以降のAgentおよびApplianceでIPv6パケットをブロックまたは許可します。
-
接続クリーンナップタイムアウト:: 切断された接続のクリーンナップ時間 (次を参照)。
-
最大接続数 (クリーンナップ単位)::定期的な接続クリーンナップごとに実施するクリーンナップで切断される接続の最大数 (前を参照)。
-
送信元と送信先が同じIPアドレスをブロック::送信元および送信先IPアドレスが同じパケットをブロックまたは許可します。(ループバックインターフェースには適用されません。)
-
最大TCP接続数::最大TCP同時接続数。
-
最大UDP接続数:: 最大UDP同時接続数。
-
最大ICMP接続数::最大ICMP同時接続数。
-
最大イベント数 (秒単位)::毎秒書き込み可能なイベントの最大数。
-
TCP MSSの制限:: TCP MSSは、TCPヘッダー内のパラメーターで、TCPセグメントの最大セグメントサイズをバイト単位で定義します。TCP MSS制限設定は、TCP MSSパラメーターに許可される最小値を定義します。このパラメーターの下限を設定することは重要です。なぜなら、リモート攻撃者が非常に小さい最大セグメントサイズ (MSS) でTCP接続を設定した場合にカーネルパニックやサービス拒否 (DoS) 攻撃を防ぐためです。これらの攻撃の詳細については、CVE-2019-11477、CVE-2019-11478、およびCVE-2019-11479を参照してください。TCP MSS制限のデフォルトは128バイトで、ほとんどの攻撃サイズから保護します。制限なしの値は、下限がなく、任意のTCP MSS値が受け入れられることを意味します。
注意
TCP MSS制限オプションは、以下のDeep Security Agentバージョンでのみ動作します: Deep Security Agent 20Deep Security Agent 12.0 update 1以降Deep Security Agent 11.0 update 13以降Deep Security Agent 10.0 update 20以降 -
イベントノードの数:: いつでもログおよびイベントを折りたためるよう、ドライバがそれらを格納するのに使用するカーネルメモリの最大容量。イベントの折りたたみは、同じ種類のイベントが連続して発生する場合に発生します。そのような場合、エージェントまたはアプライアンスはすべてのイベントを1つに折りたたみます。
-
ステータスコードの無視::このオプションを使用すると、特定の種類のイベントを無視できます。たとえば、たくさんの「不正なフラグ」が表示される場合は、そのイベントの全インスタンスを無視してかまいません。
-
ステータスコードの無視::上記と同じ。
-
ステータスコードの無視::上記と同じ。
-
詳細なログ記録ポリシー::
-
バイパス:: イベントのフィルタリングはありません。ステータスコードの無視設定やその他の高度な設定をオーバーライドしますが、Deep Security Managerで定義されたログ設定はオーバーライドしません。例えば、Deep Security Managerのファイアウォールステートフル構成プロパティウィンドウから設定されたファイアウォールステートフル構成のログオプションには影響しません。
-
標準:: 再送の破棄イベント以外はすべてログに記録されます。
-
初期設定::エンジンがタップモードの場合は、タップモードに切り替わり、インラインモードの場合は、標準に切り替わります。
-
下位互換性モード::サポートでのみ使用します。
-
詳細モード::標準モードで記録されるログに加え、再送の破棄イベントも記録します。
-
ステートフルおよび正規化の抑制::再送の破棄、セッション情報なし、不正なフラグ、不正なシーケンス、不正なACK、許可されていないUDP応答、許可されていないICMP応答、およびポリシーで未許可を無視します。
-
ステートフル、正規化、およびフラグメントの抑制:: は、ステートフルおよび正規化の抑制] が無視するものすべてに加え、フラグメンテーション関連のイベントも無視します。
-
ステートフル、フラグメント、および検証機能の抑制:: は "[ステートフル、正規化、およびフラグメントの抑制]" が無視するすべての項目と検証関連のイベントを無視します。
-
タップモード::再送の破棄、セッション情報なし、不正なフラグ、不正なシーケンス、不正なACK、ACK再送の上限、切断された接続上のパケットを無視します。
ステートフルおよび正規化抑制; ステートフル、正規化、およびフラグ抑制; ステートフル、フラグ、および検証抑制; およびタップ]モードで無視されるイベントの詳細なリストについては、ログイベントの数を減らすを参照してください。 -
-
サイレントTCP接続拒否:: サイレントTCP接続ドロップがオンの場合、RSTパケットはローカルスタックにのみ送信されます。RSTパケットはネットワーク上には送信されません。これにより、潜在的な攻撃者に送信される情報の量が減少します。Silent TCP Connection Dropを有効にする場合、DISCONNECT Timeoutも調整する必要があります。DISCONNECT Timeoutの設定可能な値は0秒から10分です。接続がDeep Security Agentまたはアプライアンスによって閉じられる前に、アプリケーションによって閉じられるように十分に高く設定する必要があります。DISCONNECT Timeoutの値に影響を与える要因には、OS、接続を作成しているアプリケーション、およびネットワークトポロジーが含まれます。
-
デバッグモードを有効にする:デバッグモードでは、エージェント/アプライアンスは一定数のパケットをキャプチャします (以下の設定で指定されたパケット数: デバッグモードで保持するパケット数)。ルールがトリガーされ、デバッグモードがオンの場合、エージェント/アプライアンスはルールがトリガーされる前に通過した最後のXパケットの記録を保持します。それらのパケットをデバッグイベントとしてマネージャに返します。
注意
デバッグモードでは簡単に大量のログが生成されるので、サポート担当者が指示した場合にのみ使用してください。 -
デバッグモードで保持するパケットの数::デバッグモードがオンのとき、維持してログするパケット数。
-
すべてのパケットデータをログに記録する::特定のファイアウォールまたはIPSルールに関連しないイベントのパケットデータを記録します。つまり、「Dropped Retransmit」や「Invalid ACK」などのイベントのパケットデータをログに記録します。
注意
イベントの集約によってまとめられたイベントのパケットデータは保存できません -
期間内で1つのパケットデータのみをログに記録する::このオプションが有効であり、[すべてのパケットデータをログに記録する]が無効の場合、ほとんどのログにはヘッダーデータのみが含まれます。完全なパケットは、1つのパケットデータのみをログに記録する期間]設定で指定された間隔で定期的に添付されます。
-
1つのパケットデータのみをログに記録する期間::[期間内で1つのパケットデータのみをログに記録する] を有効にした場合、この設定にログにパケット全体のデータ含める頻度を指定できます。
-
パケットデータがキャプチャされたときに格納する最大データサイズ::ログに追加されるヘッダデータまたはパケットデータの最大サイズ。
-
TCPの接続イベントを生成する::TCP接続が確立されるたびにファイアウォールイベントが生成されます。
-
ICMPの接続イベントを生成する::ICMP接続が確立されるたびにファイアウォールイベントが生成されます。
-
UDPの接続イベントを生成する::UDP接続が確立されるたびにファイアウォールイベントが生成されます。
-
Cisco WAAS接続のバイパス:: このモードは、プロプライエタリなCISCO WAAS TCPオプションが選択された接続に対して、TCPシーケンス番号のステートフル解析をバイパスします。このプロトコルは、ステートフルファイアウォールチェックに干渉する無効なTCPシーケンス番号およびACK番号に追加情報を含みます。このオプションは、CISCO WAASを使用していて、ファイアウォールログに無効なSEQまたは無効なACKが表示される場合にのみ有効にしてください。このオプションが選択されている場合でも、WAASが有効になっていない接続に対してはTCPステートフルシーケンス番号チェックが引き続き実行されます。
-
回避再送の破棄::処理済みのデータを含む受信パケットは、回避再送の攻撃を避けるため、破棄されます。
-
TCPチェックサムの確認::セグメントのチェックサムフィールドのデータは、セグメントの整合性を評価するために使用されます。
-
最小フラグメントオフセット:: は許容されるIPフラグメントオフセットの最小値を定義します。この値より小さいオフセットのパケットは「IPフラグメントオフセットが小さすぎる」という理由で破棄されます。0に設定すると制限は適用されません。(デフォルトは60)
-
最小フラグメントサイズ:: は許容される最小のIPフラグメントサイズを定義します。この値より小さいフラグメント化されたパケットは、「最初のフラグメントが最小サイズ未満」という不正の可能性により破棄されます。(デフォルトは120)
-
SSLセッションのサイズ::SSLセッションキーに保持されるSSLセッションエントリの最大数を設定します。
-
SSLセッションの時間::SSLセッション更新キーの有効期間を設定します。
-
IPv4トンネルのフィルタ:: このバージョンのDeep Securityでは使用されません。
-
IPv6トンネルのフィルタ::このバージョンのDeep Securityでは使用されません。
-
厳密なTeredoのポート確認::このバージョンのDeep Securityでは使用されません。
-
Teredoの異常のドロップ:: このバージョンのDeep Securityでは使用されません。
-
最大トンネル深度:: このバージョンのDeep Securityでは使用されません。
-
最大トンネル深度超過時の処理:: このバージョンのDeep Securityでは使用されません。
-
IPv6拡張タイプ0のドロップ:: このバージョンのDeep Securityでは使用されません。
-
最小MTU未満のIPv6フラグメントのドロップ:: IETF RFC 2460によって規定された最小MTUサイズに満たないIPv6フラグメントがドロップされます。
-
IPv6予約済みアドレスのドロップ: 次の予約済みアドレスをドロップします。
-
IETFによって予約済み 0000::/8
-
IETFによって予約済み 0100::/8
-
IETFによって予約済み 0200::/7
-
IETFによって予約済み 0400::/6
-
IETFによって予約済み 0800::/5
-
IETFによって予約済み 1000::/4
-
IETFによって予約済み 4000::/2
-
IETFによって予約済み 8000::/2
-
IETFによって予約済み C000::/3
-
IETFによって予約済み E000::/4
-
IETFによって予約済み F000::/5
-
IETFによって予約済み F800::/6
許可されるIPv6アドレスは次のとおりです。-
64:ff9b::/96 - RFC 6052に従ったIPv4とIPv6アドレス間のアルゴリズムマッピングで使用される既知のプレフィックス。
-
64:ff9b:1::/48 - RFC 8215に従って、ローカル使用IPv4/IPv6変換用に予約されたプレフィックス。
詳細については、Internet Protocol Version 6 Address Spaceを参照してください。 -
-
IPv6サイトローカルアドレスのドロップ:: サイトローカルアドレスFEC0::/10をドロップします。
-
IPv6 Bogonアドレスのドロップ::次のアドレスをドロップします。
-
"ループバック"::1
-
IPv4互換アドレス ::/96
-
IPv4にマッピングされたアドレス ::FFFF:0.0.0.0/96
-
IPv4にマッピングされたアドレス ::/8
-
OSI NSAP用プレフィックス (RFC4048非推奨) 0200::/7
-
6bone (非推奨) 3ffe::/16
-
文書記述用アドレスプレフィックス 2001:db8::/32
-
-
6to4 Bogonアドレスのドロップ::次のアドレスをドロップします。
-
6to4 IPv4マルチキャスト 2002:e000:: /20
-
6to4 IPv4ループバック 2002:7f00:: /24
-
6to4 IPv4初期設定 2002:0000:: /24
-
6to4 IPv4無効 2002:ff00:: /24
-
6to4 IPv4 10.0.0.0/8 2002:0a00:: /24
-
6to4 IPv4 172.16.0.0/12 2002:ac10:: /28
-
6to4 IPv4 192.168.0.0/16 2002:c0a8:: /32
-
-
ゼロペイロードのIPパケットのドロップ:: ゼロ長ペイロードのIPパケットをドロップします。
-
不明なSSLプロトコルを破棄:: クライアントが誤ったプロトコルでDeep Security Managerに接続しようとした場合、接続を切断します。デフォルトでは、http/1.1以外のプロトコルはエラーを引き起こします。
-
DHCP DNSを強制的に許可::次の隠しファイアウォールルールが有効かどうかを制御します:ルールの種類優先度方向プロトコルSourceportDestinationport強制的に許可4送信DNS任意53強制的に許可4送信DHCP6867強制的に許可4受信DHCP6768ルールが有効になっている場合、エージェントコンピュータは、リストされたプロトコルとポートを使用してマネージャに接続できます。このプロパティの次の値が利用可能です:
-
継承: ポリシーから設定を継承します。
-
ルールをオフにする: ルールを無効にします。この設定によって、Agentコンピュータがオフラインで表示されることがあります。
-
DNSクエリを許可: DNS関連のルールのみを有効にします。
-
DNSクエリとDHCPクライアントを許可: すべての3つのルールを有効にする
-
-
ICMP type3 code4を強制的に許可:: 次の非表示ファイアウォールルールが有効かどうかを制御します:ルールの種類優先度方向プロトコル種類コード強制的に許可4受信ICMP34有効にすると、これらのルールによりRelayコンピュータがマネージャに接続し、Relayのハートビートが送信されるようになります。利用可能な値は次のとおりです:
-
継承: ポリシーから設定を継承します。
-
ルールをオフにする: ルールを無効にします。この値は接続タイムアウトや「宛先に到達できません」応答を引き起こす可能性があります。
-
ICMP type3 code4の強制的に許可ルールの追加: ルールを有効にします。
-
-
フラグメントタイムアウト:: 設定されている場合、IPSルールはパケット (またはパケット断片) の内容が疑わしいと判断された場合にその内容を検査します。この設定は、検査後に残りのパケット断片を破棄する前に待機する時間を決定します。
-
保持するフラグメント化されたIPパケットの最大数::はDeep Securityが保持する断片化されたパケットの最大数を指定します。
-
フラグメント化されたパケットのタイムアウトを超過したことを示すためにICMPを送信する:: この設定を有効にした場合、フラグメントのタイムアウトを過ぎるとICMPパケットがリモートコンピュータに送信されます。
-
ホストに属さないMACアドレスのバイパス::宛先MACアドレスがホストに属していない受信パケットをバイパスします。このオプションを有効にすると、NICチーミングやNICがプロミスキャスモードになっているエージェントおよびアプライアンス (バージョン10.2以降) で作成されたパケットを取得することによって引き起こされるネットワークイベントの数が減少します。
-