ポリシーまたはコンピュータのネットワークエンジンの設定を編集するには、ポリシーまたはコンピュータの設定を行うために[ポリシー]または[コンピュータ]エディターを開き、
をクリックします。[詳細]タブには[イベント]設定も含まれています。それらの設定に関する情報は、ログファイルサイズの制限を参照してください。さらに、[Generate an Alert when Agent configuration package exceeds maximum size]設定が含まれており、[Agent configuration package too large]設定の表示を制御します。
以下の設定を使用できます。
-
ネットワークエンジンモード: ネットワークエンジンは、IPS、ファイアウォール、およびWebレピュテーションモジュール内のコンポーネントであり、パケットをブロックするか許可するかを決定します。ファイアウォールとIPSモジュールでは、ネットワークエンジンがパケットの整合性チェックを行い、各パケットがファイアウォールとIPSルールを通過することを確認します (ルールマッチングと呼ばれます)。ネットワークエンジンはインラインまたはタップモードで動作できます。インラインで動作する場合、パケットストリームはネットワークエンジンを通過し、設定したルールに基づいてドロップされるか通過します。ステートフルテーブルが維持され、ファイアウォールルールが適用され、トラフィックの正規化が行われるため、IPSとファイアウォールルールを適用できます。タップモードで動作する場合、ドライバーフックの問題やインターフェースの分離を除いて、パケットは常に通過します。タップモードでは、パケット遅延も発生し、スループットの低下を招く可能性があります。
-
Network Engine Status Check: この設定はエージェントがネットワークエンジンの状態をモニタするかどうかを決定します。デフォルトで有効になっていますが、無効にすることもできます。関連するイベントについては、ネットワークエンジンの状態 (Windows)を参照してください。
-
Failure Response: ここでの設定は、ネットワークエンジンが不良パケットを検出した際の動作を決定します。デフォルトの対応はパケットをブロックする (フェイルクローズ) ですが、以下の理由で一部のパケットを通過させる (フェイルオープン) ことができます。
- ネットワークエンジンのシステムエラー: この設定は、ネットワークエンジンホストでのシステム障害 (メモリ不足障害、割り当てメモリ障害、ネットワークエンジン (DPI) デコード障害など) の結果として発生する不良パケットをブロックするか許可するかを決定します。オプションは次のとおりです:
- [Fail open] (デフォルト): ネットワークエンジンは不正なパケットを通過させ、ルールマッチングを行わず、イベントをログに記録します。エージェントが頻繁にネットワーク例外に遭遇する場合、負荷が高いかリソースが不足しているため、[Fail open]の使用を検討してください。
- Fail closed: ネットワークエンジンは不正なパケットをブロックします。ルールのマッチングは行いません。このオプションは最高レベルのセキュリティを提供します。
- ネットワークパケットのサニティチェックエラー: この設定は、ネットワークエンジンがパケット健全性チェックに失敗したパケットをブロックするか許可するかを決定します。健全性チェックの失敗例には、ファイアウォール健全性チェックの失敗、ネットワーク層2、3、または4属性チェックの失敗、TCP状態チェックの失敗が含まれます。オプションは以下の通りです:
- [Fail open](デフォルト): ネットワークエンジンは失敗したパケットを許可し、そのパケットに対してルールマッチングを行わず、イベントを記録します。パケットの整合性チェックを無効にし、ルールマッチング機能を保持したい場合は、[Fail open]を使用することを検討してください。
- Fail closed: ネットワークエンジンは失敗したパケットをブロックします。ルールのマッチングは行いません。このオプションは最高レベルのセキュリティを提供します。
- ネットワークエンジンのシステムエラー: この設定は、ネットワークエンジンホストでのシステム障害 (メモリ不足障害、割り当てメモリ障害、ネットワークエンジン (DPI) デコード障害など) の結果として発生する不良パケットをブロックするか許可するかを決定します。オプションは次のとおりです:
-
Anti-Evasion Posture: 反回避設定は、分析を回避しようとする異常なパケットのネットワークエンジン処理を制御します。詳細については、反回避設定の構成を参照してください。
-
ネットワークエンジンの詳細 Options: [継承]チェックボックスの選択を解除すると、これらの設定をカスタマイズできます。
-
[CLOSED timeout:] ゲートウェイ用。ゲートウェイがハードクローズ (RST) を通過した場合、RSTを受信したゲートウェイ側は接続を閉じる前にこの時間だけ接続を維持します。
-
[SYN_SENT Timeout:] 接続を閉じる前にSYN-SENT状態に留まる時間。
-
[SYN_RCVD Timeout:] 接続を閉じる前にSYN-RCVD状態に留まる時間。
-
[FIN_WAIT1 Timeout:] 接続を閉じる前にFIN-WAIT1状態に留まる時間。
-
[ESTABLISHED Timeout:] 接続を閉じる前にESTABLISHED状態に留まる時間。
-
[ERROR Timeout:] エラー状態で接続を維持する時間。UDP接続の場合、エラーはさまざまなUDPの問題によって引き起こされる可能性があります。TCP接続の場合、エラーはファイアウォールによってパケットがドロップされることが原因である可能性があります。
-
[DISCONNECT Timeout:] 接続が切断される前にアイドル状態を維持する時間。
-
[CLOSE_WAIT Timeout:] 接続を閉じる前にCLOSE-WAIT状態に留まる時間。
-
[CLOSING Timeout:] 接続を閉じる前にCLOSING状態に留まる時間。
-
[LAST_ACK Timeout:] 接続を閉じる前にLAST-ACK状態に留まる時間。
-
[ACK Storm timeout:] ACKストーム内で再送されたACKの最大期間。言い換えれば、ACKがこのタイムアウトより低い頻度で再送されている場合、それらはACKストームの一部とは見なされません。
-
[Boot Start Timeout:] ゲートウェイ用。ゲートウェイが起動されたとき、すでにゲートウェイを通過する確立された接続が存在する可能性があります。このタイムアウトは、ゲートウェイが起動される前に確立された接続の一部である可能性がある非SYNパケットを閉じるために許可される時間を定義します。
-
[Cold Start Timeout:] ステートフルメカニズムが開始される前に確立された接続に属する可能性のある非SYNパケットを許可する時間。
-
[UDP Timeout:] UDP接続の最大持続時間。
-
[ICMP Timeout:] ICMP接続の最大継続時間。
-
[Allow Null IP:] 送信元または送信先IPアドレスがないパケットを許可またはブロックします。
-
[Block IPv6 on Agents and Appliances versions 8 and earlier:] 古いバージョン8.0のエージェントでIPv6パケットをブロックまたは許可します。
-
[Block IPv6 on Agents and Appliances versions 9 and later:] バージョン9以降のエージェントでIPv6パケットをブロックまたは許可します。
-
[Connection Cleanup Timeout:] 閉じた接続のクリーンアップ間隔。
-
[Maximum Connections per Cleanup:] 定期的な接続クリーンアップごとにクリーンアップする閉じた接続の最大数。
-
[Block Same Src-Dest IP Address:] 同じ送信元および送信先IPアドレスを持つパケットをブロックまたは許可します。ただし、ループバックインターフェースには適用されません。
-
[Maximum TCP Connections:]最大同時TCP接続数
-
[Maximum UDP Connections:] 最大同時UDP接続数。
-
[Maximum ICMP Connections:]最大同時ICMP接続数。
-
[Maximum Events per Second:] 1秒あたりに記録できるイベントの最大数。
-
[TCP MSS Limit:] TCP MSSは、TCPセグメントの最大セグメントサイズをバイト単位で定義するTCPヘッダーのパラメータです。TCP MSS制限設定は、TCP MSSパラメータに許可される最小値を定義します。このパラメータの下限を設定することは重要であり、リモート攻撃者が非常に小さな最大セグメントサイズ (MSS) でTCP接続を設定した場合に発生する可能性のあるカーネルパニックやサービス拒否 (DoS) 攻撃を防ぎます。これらの攻撃の詳細については、CVE-2019-11477、CVE-2019-11478、およびCVE-2019-11479を参照してください。TCP MSS制限のデフォルトは128バイトであり、ほとんどの攻撃サイズから保護します。制限なしの値は、下限がなく、任意のTCP MSS値が受け入れられることを意味します。
-
[Number of Event Nodes:] ドライバーがログとイベント情報を折りたたむために一度に使用するカーネルメモリの最大量。イベントの折りたたみは、同じ種類のイベントが多数連続して発生した場合に発生します。このような場合、Agentはすべてのイベントを1つにまとめます。
-
[Ignore Status Code:] このオプションを使用すると、特定の種類のイベントを無視できます。たとえば、多くの無効なフラグを受け取っている場合、そのイベントのすべてのインスタンスを無視することができます。
-
[Ignore Status Code:] このオプションを使用すると、特定の種類のイベントを無視できます。たとえば、多くの無効なフラグを受け取っている場合、そのイベントのすべてのインスタンスを無視することができます。
-
[Ignore Status Code:] このオプションを使用すると、特定の種類のイベントを無視できます。たとえば、多くの無効なフラグを受け取っている場合、そのイベントのすべてのインスタンスを無視することができます。
-
Advanced Logging Policy:
-
[Bypass:] イベントのフィルタリングなし。ステータスコードの無視設定やその他の詳細設定を上書きしますが、Workload Securityコンソールで定義されたログ設定は上書きしません。例えば、Workload Securityコンソールのファイアウォールステートフル構成プロパティウィンドウから設定されたファイアウォールステートフル構成のログオプションには影響しません。
-
[Normal:] すべてのイベントが記録されますが、再送信のドロップは除きます。
-
[Default:]は、エンジンがタップモードの場合はタップモードに切り替わり、インラインモードの場合は通常モードに切り替わります。
-
[Backwards Compatibility Mode:] サポート専用。
-
[Verbose Mode:] 通常と同じですが、再送信されたドロップを含みます。
-
[Stateful and Normalization Suppression:]は、ドロップされた再送信、接続外、無効なフラグ、無効なシーケンス、無効なACK、未承諾のUDP、未承諾のICMP、許可されたポリシー外を無視します。
-
[Stateful, Normalization, and Frag Suppression:] は、[Stateful and Normalization Suppression] が無視するすべてのものと、断片化に関連するイベントを無視します。
-
[Stateful, Frag, and Verifier Suppression:]は[Stateful, Normalization, and Frag Suppression]が無視するすべてのものと検証関連イベントを無視します。
-
タップモード:は、ドロップされた再送信、接続外、不正なフラグ、不正なシーケンス、不正なACK、最大ACK再送信、閉じた接続上のパケットを無視します。ログイベント数を減らすを参照すると、[ステートフルおよび正規化の抑制]、[ステートフル、正規化およびフラグメントの抑制]、[ステートフル, フラグおよび確認の抑制]、[タップモード]で無視されるイベントのより包括的なリストが表示されます。
-
-
[Silent TCP Connection Drop:] サイレントTCP接続ドロップが有効な場合、RSTパケットはローカルスタックにのみ送信されます。RSTパケットはネットワーク上には送信されません。これにより、潜在的な攻撃者に送信される情報量が減少します。サイレントTCP接続ドロップを有効にする場合は、DISCONNECTタイムアウトも調整する必要があります。 DISCONNECTタイムアウトに指定できる値の範囲は、0秒~10分です。Agentによって接続が閉じられる前に、アプリケーションによって接続が閉じられるように、この値を十分に高く設定する必要があります。 DISCONNECTタイムアウト値に影響を与える要因には、オペレーティングシステム、接続を確立しているアプリケーション、およびネットワークトポロジなどがあります。
-
[デバッグモードを有効にする:] デバッグモードでは、エージェントは特定の数のパケット (設定デバッグモードで保持するパケット数で指定) をキャプチャします。ルールがトリガーされ、デバッグモードがオンの場合、エージェントはルールがトリガーされる前に通過した最後のXパケットの記録を保持します。それらのパケットをデバッグイベントとしてWorkload Securityに返します。デバッグモードは大量のログ生成を引き起こす可能性があるため、Client Servicesの監視下でのみ使用してください。
-
[Number of Packets to retain in Debug Mode:] デバッグモードがオンのときに保持してログに記録するパケットの数。
-
[Log All Packet Data:] 特定のファイアウォールまたはIPSルールに関連付けられていないイベントのパケットデータを記録します。つまり、Dropped RetransmitやInvalid ACKなどのイベントのパケットデータをログに記録します。イベントの集約によってまとめられたイベントのパケットデータは保存できません
-
[Log only one packet within period:] このオプションが有効であり、[Log All Packet Data] が無効の場合、ほとんどのログにはヘッダーデータのみが含まれます。[Period for Log only one packet within period] 設定で指定された通り、定期的に完全なパケットが添付されます。
-
[Period for Log only one packet within period:] [Log only one packet within period]が有効な場合、この設定はログに完全なパケットデータが含まれる頻度を指定します。
-
[Maximum data size to store when packet data is captured:] ログに添付されるヘッダーまたはパケットデータの最大サイズ。
-
[Generate Connection Events for TCP:] はTCP接続が確立されるたびにファイアウォールイベントを生成します。
-
[Generate Connection Events for ICMP:]はICMP接続が確立されるたびにファイアウォールイベントを生成します。
-
[Generate Connection Events for UDP:] はUDP接続が確立されるたびにファイアウォールイベントを生成します。
-
[Bypass CISCO WAAS Connections:] このモードは、プロプライエタリなCISCO WAAS TCPオプションが選択された接続に対するTCPシーケンス番号のステートフル解析をバイパスします。このプロトコルは、ステートフルファイアウォールチェックを妨げる無効なTCPシーケンスおよびACK番号に余分な情報を運びます。CISCO WAASを使用しており、ファイアウォールログに無効なSEQまたは無効なACKが表示される接続がある場合にのみ、このオプションを有効にしてください。このオプションが選択されている場合でも、WAASが有効でない接続に対してはTCPステートフルシーケンス番号チェックが引き続き実行されます。
-
[Drop Evasive Retransmit:] すでに処理されたデータを含む受信パケットは、回避的な再送信攻撃技術を防ぐために破棄されます。
-
[Verify TCP Checksum:] セグメントのチェックサムフィールドデータは、セグメントの整合性を評価するために使用されます。
-
[Minimum Fragment Offset:]は許容される最小のIPフラグメントオフセットを定義します。この値より小さいオフセットを持つパケットは「IPフラグメントオフセットが小さすぎる」という理由で破棄されます。0に設定すると、制限は適用されません。デフォルト値は0です。
-
[Minimum Fragment Size:]は許容されるIPフラグメントサイズの最小値を定義します。この値より小さいフラグメント化されたパケットは、「最初のフラグメントが小さすぎる」という理由で潜在的に悪意のあるものとして破棄されます。0に設定すると、制限は適用されません。デフォルト値は0です。
-
[SSL Session Size:]はSSLセッションキーのために維持されるSSLセッションエントリの最大数を設定します。
-
[SSL Session Time:]はSSLセッション更新キーが有効である期間を設定します。
-
[Filter IPv4 Tunnels:]はWorkload Securityで使用されていません。
-
[Filter IPv6 Tunnels:]はWorkload Securityで使用されていません。
-
[Strict Teredo Port Check:]はWorkload Securityで使用されていません。
-
[Drop Teredo Anomalies:]はWorkload Securityで使用されていません。
-
[Maximum Tunnel Depth:]はWorkload Securityで使用されていません。
-
[Action if Maximum Tunnel Depth Exceeded:] はWorkload Securityで使用されていません。
-
[Drop IPv6 Extension Type 0:]はWorkload Securityで使用されていません。
-
[Drop IPv6 Fragments Lower Than minimum MTU:] IETF RFC 2460で指定された最小MTUサイズを満たさないIPv6フラグメントをドロップします。
-
Drop IPv6 Reserved Addresses: これらの予約済みアドレスを削除する:
- IETFによって予約済み 0000::/8
- IETFによって予約済み 0100::/8
- IETFによって予約済み 0200::/7
- IETFによって予約済み 0400::/6
- IETFによって予約済み 0800::/5
- IETFによって予約済み 1000::/4
- IETFによって予約済み 4000::/2
- IETFによって予約済み 8000::/2
- IETFによって予約済み C000::/3
- IETFによって予約済み E000::/4
- IETFによって予約済み F000::/5
- IETFによって予約済み F800::/6
許可されるIPv6アドレスは次のとおりです。- 64:ff9b::/96 - RFC 6052に従って、IPv4アドレスとIPv6アドレスの間のアルゴリズムマッピングで使用される既知のプレフィックス。
- 64:ff9b:1::/48 - RFC 8215に従って、ローカル使用IPv4/IPv6変換用に予約されたプレフィックス。
詳細については、Internet Protocol Version 6 Address Spaceを参照してください。 -
[Drop IPv6 Site Local Addresses:] サイトローカルアドレスFEC0::/10を削除します。
-
[Drop IPv6 Bogon Addresses:] これらのアドレスを削除する:
- ループバック::1
- IPv4互換アドレス ::/96
- IPv4にマッピングされたアドレス::FFFF:0.0.0.0/96
- IPv4にマッピングされたアドレス,::/8
- OSI NSAP用プレフィックス (RFC4048非推奨) 0200::/7
- 6bone (非推奨) 3ffe::/16
- 文書記述用アドレスプレフィックス 2001:db8::/32
-
[Drop 6to4 Bogon Addresses:] これらのアドレスを削除する:
- 6to4 IPv4マルチキャスト 2002:e000:: /20
- 6to4 IPv4ループバック 2002:7f00:: /24
- 6to4 IPv4初期設定 2002:0000:: /24
- 6to4 IPv4無効 2002:ff00:: /24
- 6to4 IPv4 10.0.0.0/8 2002:0a00:: /24
- 6to4 IPv4 172.16.0.0/12 2002:ac10:: /28
- 6to4 IPv4 192.168.0.0/16 2002:c0a8:: /32
-
[Drop IP Packet with Zero Payload:] ペイロードの長さがゼロのIPパケットを破棄します。
-
[Drop Unknown SSL Protocol:] クライアントが誤ったプロトコルでWorkload Securityに接続しようとした場合、接続を切断します。デフォルトでは、http/1.1以外のプロトコルはエラーを引き起こします。
-
[DHCP DNSを強制的に許可:]次の非表示ファイアウォールルールが有効かどうかを制御します。ルールの種類優先度方向プロトコルSourceportDestinationport強制的に許可4送信DNS任意53強制的に許可4送信DHCP6867強制的に許可4受信DHCP6768ルールが有効な場合、エージェントコンピュータは、記載されているプロトコルとポートを使用して Workload Security に接続できます。このプロパティには、以下の値を使用できます。
- 継承: ポリシーから設定を継承します。
- ルールをオフにする: ルールを無効にします。この設定によって、Agentコンピュータがオフラインで表示されることがあります。
- DNSクエリを許可: DNS関連のルールのみを有効にします。
- DNSクエリとDHCPクライアントを許可する:3つのルールをすべて有効にする
-
[ICMP type3 code4を強制的に許可:]次の非表示ファイアウォールルールが有効かどうかを制御します。ルールの種類優先度方向プロトコル種類コード強制的に許可4受信ICMP34これらのルールを有効にすると、リレーコンピュータが Workload Security に接続できるようになり、リレーのハートビートが送信されます。以下の値を使用できます。
- 継承: ポリシーから設定を継承します。
- ルールをオフにする: ルールを無効にします。この値は接続タイムアウトや「宛先に到達できません」応答を引き起こす可能性があります。
- ICMPタイプ3の強制ルールの追加code4:ルールを有効にします。
-
[Fragment Timeout:] 設定されている場合、IPSルールは疑わしいと判断されたパケット (またはパケットフラグメント) の内容を検査します。この設定は、検査後に残りのパケットフラグメントを破棄するまでの待機時間を決定します。
-
[Maximum number of fragmented IP packets to keep:]はWorkload Securityが保持する断片化されたパケットの最大数を指定します。
-
[Send ICMP to indicate fragmented packet timeout exceeded:] この設定が有効であり、フラグメントタイムアウトが超過した場合、ICMPパケットがリモートコンピュータに送信されます。
-
[Bypass MAC addresses that don't belong to host:] 宛先MACアドレスがホストに属さない受信パケットをバイパスします。このオプションを有効にすると、NICチーミングやプロミスキャスモードのNICがバージョン10.2以降のエージェントで作成されるパケットを取得することによって引き起こされるネットワークイベントの数が減少します。
-