目次
このページのトピック

ネットワークエンジン設定

ポリシーまたはコンピュータのネットワークエンジン設定を編集するには、設定するポリシーまたはコンピュータの [ポリシー] エディタまたは [コンピュータ] エディタを開き、[設定]→[詳細] の順にクリックします。

[詳細] タブには、イベント設定も含まれています。これらの設定の詳細については、「ログファイルサイズの制限」を参照してください。さらに、[Agentの設定パッケージが最大サイズを超えた場合にアラートを生成する] 設定が含まれており、これにより [Agentの設定パッケージが大きすぎる] 設定の表示を制御します。

以下の設定を使用できます。

  • ネットワークエンジンモード: ネットワークエンジンは、侵入防御、ファイアウォールおよびWebレピュテーションモジュール内のコンポーネントであり、パケットをブロックするか許可するかを決定します。ファイアウォールおよび侵入防御モジュールの場合、ネットワークエンジンはパケットの健全性チェックを実行し、各パケットがファイアウォールルールと侵入防御ルール(ルールマッチングとも呼ばれます)を通過することも確認します。ネットワークエンジンは、インラインモードまたはタップモードで動作できます。インラインで動作している場合、パケットストリームはネットワークエンジンを通過し、設定したルールに基づいて破棄または転送されます。ステートフルテーブルが維持され、 ファイアウォールルールが適用され、 侵入防御ルールとファイアウォールルールを適用できるようにトラフィックの正規化が実行されます。タップモードで動作している場合、パケットは常に渡されます。ただし、ドライバのフックの問題またはインタフェースの隔離は例外です。タップモードでは、パケット遅延も導入されるため、スループットが低下する可能性があります。

    インラインモードとタップモードを示す図

  • ネットワークエンジンのステータスチェック: この設定は、エージェントがネットワークエンジンのステータスを監視するかどうかを決定します。これは初期設定で有効になっていますが、無効にすることもできます。関連するイベントについては、ネットワークエンジンのステータス (Windows)を参照してください。

  • エラー発生時の処理: この設定では、不良パケット検出時のネットワークエンジンの動作を決定します。初期設定 (Fail-Closed) では、不良パケットはブロックされますが、後述する理由により、一部の不良パケットを通過させることもできます (Fail-Open)。

    • Network Engine System Failure:ネットワークエンジンが、ネットワークメモリ不足、割り当てられたメモリ不足、およびネットワークエンジン(DPI)など、ネットワークエンジンホストのシステム障害の結果として発生した不良パケットをブロックするか、許可するかを決定します。デコードの失敗が発生します。 オプションは次のとおりです。
      • Fail open (初期設定): ネットワークエンジンは、障害のあるパケットの通過を許可します。ルールの照合は実行せず、イベントをログに記録します。負荷が高いかリソースが不足しているためにエージェントでネットワーク例外が頻繁に発生する場合は、 Fail open の使用を検討してください。
      • Fail closed: ネットワークエンジンが障害のあるパケットをブロックします。ルール照合は実行しません。このオプションは、最高レベルのセキュリティを提供します。
    • ネットワークパケットの健全性チェックの失敗:ネットワークエンジンがパケットの正常性チェックに失敗したパケットをブロックするか、許可するかを設定します。健全性チェック失敗の例: ファイアウォール 正常性検査の失敗、ネットワーク層2,3、または4属性の確認の失敗、TCPの状態の確認の失敗。オプションは次のとおりです。
      • Fail open (初期設定): ネットワークエンジンは、失敗したパケットを許可し、一致するルールは実行せず、イベントをログに記録します。パケットの健全性チェックを無効にして、ルールの一致機能を保持する場合は、 Fail open の使用を検討してください。
      • Fail closed: ネットワークエンジンは失敗したパケットをブロックします。ルール照合は実行しません。このオプションは、最高レベルのセキュリティを提供します。
  • 防御の姿勢:防御設定分析を回避しようとしているかもしれない異常なパケットのネットワークエンジン処理を制御します。詳細については、「回避技術対策の設定」を参照してください。

  • 高度なネットワークエンジンのオプション:あなたがを選択解除する継承されるチェックボックスをオンにして、次の設定をカスタマイズできます。

    • CLOSEDタイムアウト: ゲートウェイ用。ゲートウェイがハードクローズ (RST) を渡すと、RSTを受信した側は、接続を終了する前に指定された時間だけ接続を維持します。

    • SYN_SENTタイムアウト: SYN-SENT状態を維持してから接続を終了するまでの時間。

    • SYN_RCVDタイムアウト: SYN_RCVD状態を維持してから接続を終了するまでの時間。

    • FIN_WAIT1タイムアウト: FIN-WAIT1状態を維持してから接続を終了するまでの時間。

    • ESTABLISHEDタイムアウト: ESTABLISHED状態を維持してから接続を終了するまでの時間。

    • ERRORタイムアウト: 接続がエラー状態で維持される時間。 UDP接続の場合、UDPに関するさまざまな問題が原因でエラーが発生する可能性があります。 TCP接続の場合、ファイアウォールによってパケットがドロップされたことが原因と考えられます。

    • DISCONNECTタイムアウト: アイドル状態の接続を維持してから切断するまでの時間。

    • CLOSE_WAITタイムアウト: 接続を閉じるまでCLOSE-WAIT状態を維持する時間。

    • CLOSINGタイムアウト: CLOSING状態を維持してから接続を終了するまでの時間。

    • LAST_ACKタイムアウト: 接続を閉じるまでにLAST-ACK状態を維持する時間。

    • ACKストームタイムアウト: ACKストーム内でACKを再送信する最大間隔。つまり、ACKがこのタイムアウトよりも低い頻度で再送信されている場合、それらはACKストームの一部とは見なされません。

    • ブートスタートタイムアウト: ゲートウェイで使用します。ゲートウェイが再起動されるとき、ゲートウェイを通過している既存の接続が確立している場合があります。このタイムアウトでは、ゲートウェイが再起動される前に、確立された接続の一部である非SYNパケットを許可する時間が定義されます。

    • コールドスタートタイムアウト: ステートフルメカニズムが開始される前に確立された接続に属する可能性のある非SYNパケットを許可する時間。

    • UDPタイムアウト: UDP接続の最大時間。

    • ICMPタイムアウト: ICMP接続の最大時間。

    • Null IPを許可: 送信元または送信先IPアドレスがないパケットを許可またはブロックします。

    • では、クライアントおよびアプライアンスバージョン8以前のIPv6をブロックします。 古いバージョン8.0のエージェントでIPv6パケットをブロックまたは許可します。

    • エージェントおよびアプライアンスバージョン9以降でのIPv6のブロック: バージョン9以降のエージェントでIPv6パケットをブロックまたは許可します。

    • 接続クリーンナップタイムアウト: クローズされた接続をクリーンナップする間隔。

    • 最大接続数 (クリーンナップ単位): 定期的な接続クリーンナップごとにクリーンナップするクローズされた接続の最大数。

    • 送信元と送信先が同じIPアドレスをブロック: 送信元と送信先のIPアドレスが同じパケットをブロックまたは許可します。これは、ループバックインタフェースには適用されないことに注意してください。

    • TCP接続の最大数: 最大同時TCP接続数

    • 最大UDP接続数: 最大UDP同時接続数。

    • 最大ICMP接続数: 最大ICMP同時接続数。

    • 1秒あたりの最大イベント数: 1秒あたりにイベントを記録できる最大数。

    • TCP MSSの制限: TCP MSSはTCPヘッダのパラメータで、TCPセグメントの最大セグメントサイズをバイト単位で定義します。 [TCP MSSの制限] 設定では、TCP MSSパラメータに許可される最小値を定義します。このパラメータの下限を設定することは重要です。これにより、リモートの攻撃者が非常に小さな最大セグメントサイズ (MSS) でTCP接続を設定したときに発生する可能性のあるカーネルパニックやサービス拒否 (DoS) 攻撃を防ぐことができます。これらの攻撃の詳細については、CVE-2019-11477、CVE-2019-11478、およびCVE-2019-11479を参照してください。 TCP MSSの制限の初期設定は128バイトで、ほとんどの攻撃サイズから保護されます。 [制限なし] の値は、下限がなく、すべての TCP MSS 値が受け入れられることを意味します。

    • イベントノードの数: いつでもログやイベントを折りたためるよう、ドライバがそれらを格納するのに使用するカーネルメモリの最大容量。

      イベントの折りたたみは、同じ種類のイベントが多数連続して発生した場合に発生します。このような場合、Agentはすべてのイベントを1つにまとめます。

    • ステータスコードの無視: このオプションは、特定の種類のイベントを無視します。たとえば、たくさんの「不正なフラグ」が表示される場合は、そのイベントの全インスタンスを無視してかまいません。

    • ステータスコードの無視: このオプションは、特定の種類のイベントを無視します。たとえば、たくさんの「不正なフラグ」が表示される場合は、そのイベントの全インスタンスを無視してかまいません。

    • ステータスコードの無視: このオプションは、特定の種類のイベントを無視します。たとえば、たくさんの「不正なフラグ」が表示される場合は、そのイベントの全インスタンスを無視してかまいません。

    • 詳細なログ記録ポリシー:

      • バイパス: イベントをフィルタしません。 [ステータスコードの無視] 設定およびその他の詳細設定はオーバーライドされますが、Workload Securityコンソールで定義されたログ設定はオーバーライドされません。たとえば、Workload Securityコンソールの [ファイアウォールステートフル設定のプロパティ] 画面で設定したファイアウォールステートフル設定のログオプションは影響を受けません。
      • 標準: 再送の破棄を除くすべてのイベントがログに記録されます。
      • 初期設定: エンジンがタップモードの場合はタップモードに切り替わり、エンジンがインラインモードの場合は通常に切り替わります。
      • 下位互換性モード: サポートでのみ使用します。
      • 詳細モード: 「標準モード」で記録されるログに加え、再送の破棄イベントも記録します。
      • ステートフルおよび正規化抑制: ドロップされた再送信、接続の無効化、無効なフラグ、無効なシーケンス、無効なack、unsolicited udp、unicicited ICMP、許可されていないポリシーは無視されます。
      • ステートフル、正規化、およびフラグ抑制: では、フラグメンテーションに関連するイベントだけでなく、 のステートフルおよび正規化の抑制 も無視します。
      • ステートフル、フラグ、およびベリファイアサプレッション: では、 ステートフル、正規化、およびフラグ抑圧のすべてが無視されます。 では、ベリファイア関連のイベントだけでなく無視されます。
      • タップモード: ドロップされた再送信、接続の無効化、無効なフラグ、無効なシーケンス、無効なack、max ack再送信、パケットが閉じられた接続は無視されます。

        で無視されるイベントの包括的なリスト, ステートフル、正規化、およびフラグ抑圧, ステートフル、フラグ、およびベリファイア抑制、および タップモードを参照ログに記録されたイベント数を減らします。

    • サイレントTCP接続拒否: サイレントTCP接続拒否が有効な場合、RSTパケットはローカルスタックにのみ送信されます。ネットワーク上でRSTパケットは送信されません。これにより、潜在的な攻撃者に送信される情報量が削減されます。

      サイレントTCP接続ドロップを有効にする場合は、DISCONNECTタイムアウトも調整する必要があります。 DISCONNECTタイムアウトに指定できる値の範囲は、0秒~10分です。Agentによって接続が閉じられる前に、アプリケーションによって接続が閉じられるように、この値を十分に高く設定する必要があります。 DISCONNECTタイムアウト値に影響を与える要因には、オペレーティングシステム、接続を確立しているアプリケーション、およびネットワークトポロジなどがあります。

    • デバッグモードの有効化: デバッグモードの場合、Agentは一定数のパケットをキャプチャします ([デバッグモードで保持するパケット数] の設定で指定)。ルールがトリガーされ、デバッグモードがオンの場合、Agentは、ルールがトリガーされる前に通過した最後のX個のパケットの記録を保持します。これらのパケットはデバッグイベントとしてWorkload Securityに返されます。

      デバッグモードは大量のログ生成を引き起こす可能性があるため、Client Servicesの監視下でのみ使用してください。

    • デバッグモードで保持するパケット数: デバッグモードがオンの場合に保持するログの数。

    • すべてのパケットデータをログに記録する: 特定のファイアウォールルールまたは侵入防御ルールに関連付けられていないイベントのパケットデータを記録します。つまり、再送信の破棄や無効なACKなどのイベントのパケットデータをログに記録します。

      イベントの集約によってまとめられたイベントのパケットデータは保存できません

    • 期間内に1つのパケットのみをログに記録: このオプションを有効にして、 すべてのパケットデータ をログに記録しない場合、ほとんどのログにヘッダデータのみが含まれます。パケット全体は、[1つのパケットデータのみをログに記録する期間] の指定に従って定期的に記録されます。

    • 期間内の1つのパケットのみをログに記録する期間: 期間内の1つのパケットのみをログに記録する場合、この設定ではログにフルパケットデータが含まれる頻度を指定します。

    • パケットデータのキャプチャ時に格納する最大データサイズ: ログに添付するヘッダまたはパケットデータの最大サイズ。

    • TCP用接続イベントの生成: TCP接続が確立されるたびに、 ファイアウォール イベントを生成します。

    • ICMP接続イベントの生成: ICMP接続が確立されるたびに、 ファイアウォール イベントが生成されます。

    • UDPの接続イベントを生成する: UDP接続が確立されるたびに、 ファイアウォール イベントを生成します。

    • バイパスCISCO WAAS接続: このモードでは、プロキシモードのCISCO WAAS TCPオプションが選択された状態で開始された接続のTCPシーケンス番号のステートフル分析をバイパスします。このプロトコルは、ステートフル ファイアウォール チェックに干渉する無効なTCPシーケンス番号およびACK番号の余分な情報を保持します。CISCO WAASを使用していて、 ファイアウォール ログに無効なSEQまたは無効なACKが表示されている場合にのみ、このオプションを有効にしてください。このオプションを選択すると、WAASが有効化されていない接続に対してもTCPステートフルシーケンス番号の確認が実行されます。

    • ドロップ回避型再送信: すでに処理されたデータを含む着信パケットは、回避可能な再送信攻撃手法を回避するためにドロップされます。

    • Verify TCP Checksum: セグメントのチェックサムフィールドデータは、セグメントの整合性を評価するために使用されます。

    • 最小フラグメントオフセット: 許容されるIPフラグメントの最小オフセットを定義します。オフセットがこれよりも小さいパケットは、「IPフラグメントオフセットが小さすぎます」という理由でドロップされます。 0に設定すると、制限は適用されません。初期設定は60です。

    • 最小フラグメントサイズ: 許容されるIPフラグメントの最小サイズを定義します。これよりも小さいフラグメント化されたパケットは、「最初のフラグメントが小さすぎます」という理由で、悪意のある可能性があるパケットとしてドロップされます。初期設定は120です。

    • SSLセッションのサイズ: SSLセッションキーに対して維持されるSSLセッションエントリの最大数を設定します。

    • SSLセッション時間: 期限切れになるまでのSSLセッション更新キーの有効期間を設定します。

    • フィルタIPv4トンネル: Workload Securityでは使用されていません。

    • フィルタIPv6トンネル: Workload Security。

    • Strict Teredo Port Check: Workload Securityでは使用されていません。

    • Drop Teredo Anomalies: Workload Securityでは使用されていません。

    • 最大トンネルの深さ: Workload Securityでは使用されません。

    • Maximum Tunnel Depth Exceeded If Action: Workload Securityでは使用されません。

    • ドロップIPv6エクステンションタイプ0: Workload Securityでは使用されていません。

    • 最小MTU未満のIPv6フラグメントのドロップ: IETF RFC 2460によって規定された最小MTUサイズに満たないIPv6フラグメントがドロップされます。

    • IPv6予約済みアドレスのドロップ: 次の予約済みアドレスをドロップします。

      • IETFによって予約済み 0000::/8
      • IETFによって予約済み 0100::/8
      • IETFによって予約済み 0200::/7
      • IETFによって予約済み 0400::/6
      • IETFによって予約済み 0800::/5
      • IETFによって予約済み 1000::/4
      • IETFによって予約済み 4000::/2
      • IETFによって予約済み 8000::/2
      • IETFによって予約済み C000::/3
      • IETFによって予約済み E000::/4
      • IETFによって予約済み F000::/5
      • IETFによって予約済み F800::/6

      許可されるIPv6アドレスは次のとおりです。

      • 64:ff9b::/96 - RFC 6052に従って、IPv4アドレスとIPv6アドレスの間のアルゴリズムマッピングで使用される既知のプレフィックス。
      • 64:ff9b:1::/48 - RFC 8215に従って、ローカル使用IPv4/IPv6変換用に予約されたプレフィックス。

      詳細については、「Internet Protocol Version 6 Address Space」を参照してください。

    • Ipv6サイトローカルアドレスのドロップ: サイトローカルアドレスFEC0::/1をドロップします。

    • IPv6 Bogonアドレスのドロップ: 次のアドレスをドロップします。

      • "loopback"::1
      • IPv4互換アドレス ::/96
      • "IPv4 mapped address"::FFFF:0.0.0.0/96
      • "IPv4 mapped address",::/8
      • OSI NSAP用プレフィックス (RFC4048非推奨) 0200::/7
      • 6bone (非推奨) 3ffe::/16
      • 文書記述用アドレスプレフィックス 2001:db8::/32
    • 6to4 Bogonアドレスのドロップ: 次のアドレスをドロップします。

      • 6to4 IPv4マルチキャスト 2002:e000:: /20
      • 6to4 IPv4ループバック 2002:7f00:: /24
      • 6to4 IPv4初期設定 2002:0000:: /24
      • 6to4 IPv4無効 2002:ff00:: /24
      • 6to4 IPv4 10.0.0.0/8 2002:0a00:: /24
      • 6to4 IPv4 172.16.0.0/12 2002:ac10:: /28
      • 6to4 IPv4 192.168.0.0/16 2002:c0a8:: /32
    • ゼロペイロードのIPパケットのドロップ: ゼロ長ペイロードのIPパケットをドロップします。

    • 不明なSSLプロトコルを破棄: クライアントが間違ったプロトコルを使用してWorkload Securityに接続しようとした場合に接続を切断します。初期設定では、http/1.1以外のプロトコルを使用するとエラーが発生します。

    • DHCP DNSを強制的に許可: 以下の非表示のファイアウォールルールを有効にするかどうかを制御します。

      ルールの種類 優先度 方向 プロトコル 送信元
      ポート
      送信先
      ポート
      強制的に許可 4 送信 DNS 任意 53
      強制的に許可 4 送信 DHCP 68 67
      強制的に許可 4 受信 DHCP 67 68

      ルールが有効な場合、エージェントコンピュータは、記載されているプロトコルとポートを使用して Workload Security に接続できます。このプロパティには、以下の値を使用できます。

      • 継承: ポリシーから設定を継承します。
      • ルールをオフにする: ルールを無効にします。この設定によって、Agentコンピュータがオフラインで表示されることがあります。
      • DNSクエリを許可: DNS関連のルールのみを有効にします。
      • DNSクエリとDHCPクライアントを許可する:3つのルールをすべて有効にする
    • ICMP type3 code4を強制的に許可: 以下の非表示のファイアウォールルールを有効にするかどうかを制御します。

      ルールの種類 優先度 方向 プロトコル 種類 コード
      強制的に許可 4 受信 ICMP 3 4

      これらのルールを有効にすると、リレーコンピュータが Workload Security に接続できるようになり、リレーのハートビートが送信されます。以下の値を使用できます。

      • 継承: ポリシーから設定を継承します。
      • ルールをオフにする: ルールを無効にします。この値によって、接続がタイムアウトするか、「送信先に到達できません」という応答が発生する可能性があります。
      • ICMPタイプ3の強制ルールの追加code4:ルールを有効にします。
    • フラグメントタイムアウト: このように設定されている場合、 侵入防御 ルールは、パケット(またはパケットフラグメント)の内容が不審と判断された場合、その内容を検査します。この設定では、検査後、パケットを破棄するまで残りのパケットフラグメントを待機する時間が定義されます。

    • 保持するフラグメントIPパケットの最大数: Workload Security が保持するフラグメント化パケットの最大数を指定します。

    • フラグメント化されたパケットのタイムアウトを超過したことを示すためにICMPを送信する: この設定を有効にした場合、フラグメントのタイムアウトを過ぎるとICMPパケットがリモートコンピュータに送信されます。

    • ホストに属していないMACアドレスをバイパスします。 宛先MACアドレスがホストに属していない受信パケットをバイパスします。このオプションを有効にすると、NICのチーム化によって作成されたパケットや、バージョン10.2以降のエージェントでプロミスキャスモード(promiscuous mode)のNICが作成されるため、ネットワークイベントが減少します。