目次
このページのトピック

ネットワークエンジン設定

ポリシーまたはコンピュータのネットワークエンジン設定を編集するには、設定するポリシーまたはコンピュータのポリシーエディタまたはコンピュータエディタを開き、[設定]→[詳細] の順にクリックします。

Advanced タブには、 Events 設定も含まれています。これらの設定については、「ログファイルのサイズを制限する」を参照してください。このタブには、[Agentの設定パッケージが最大サイズを超えた場合にアラートを生成する] 設定もあります。この設定を使用して、[Agentの設定パッケージが大きすぎる] 設定の表示を制御します。

以下の設定を使用できます。

  • ネットワークエンジンモード: ネットワークエンジンは、侵入防御、ファイアウォールおよびWebレピュテーションモジュール内のコンポーネントであり、パケットをブロックするか許可するかを決定します。ファイアウォールおよび侵入防御モジュールの場合、ネットワークエンジンはパケットの健全性チェックを実行し、各パケットがファイアウォールルールと侵入防御ルール(ルールマッチングとも呼ばれます)を通過することも確認します。ネットワークエンジンは、インラインモードまたはタップモードで動作できます。インラインで動作している場合、パケットストリームはネットワークエンジンを通過し、設定したルールに基づいて破棄または転送されます。ステートフルテーブルが維持され、 ファイアウォールルールが適用され、 侵入防御ルールとファイアウォールルールを適用できるようにトラフィックの正規化が実行されます。タップモードで動作している場合、パケットは常に渡されます。ただし、ドライバのフックの問題またはインタフェースの隔離は例外です。タップモードでは、パケット遅延も導入されるため、スループットが低下する可能性があります。

    インラインモードとタップモードを示す図

  • ネットワークエンジンのステータスチェック: この設定は、エージェントがネットワークエンジンのステータスを監視するかどうかを決定します。これは初期設定で有効になっていますが、無効にすることもできます。関連するイベントについては、ネットワークエンジンのステータス (Windows)を参照してください。

  • エラー発生時の処理: この設定では、不良パケット検出時のネットワークエンジンの動作を決定します。初期設定 (Fail-Closed) では、不良パケットはブロックされますが、後述する理由により、一部の不良パケットを通過させることもできます (Fail-Open)。
    • Network Engine System Failure:ネットワークエンジンが、ネットワークメモリ不足、割り当てられたメモリ不足、およびネットワークエンジン(DPI)など、ネットワークエンジンホストのシステム障害の結果として発生した不良パケットをブロックするか、許可するかを決定します。デコードの失敗が発生します。 オプションは次のとおりです。
      • Fail open (初期設定): ネットワークエンジンは、障害のあるパケットの通過を許可します。ルールの照合は実行せず、イベントをログに記録します。負荷が高いかリソースが不足しているためにエージェントでネットワーク例外が頻繁に発生する場合は、 Fail open の使用を検討してください。
      • Fail closed: ネットワークエンジンが障害のあるパケットをブロックします。ルール照合は実行しません。このオプションは、最高レベルのセキュリティを提供します。
    • ネットワークパケットの健全性チェックの失敗:ネットワークエンジンがパケットの正常性チェックに失敗したパケットをブロックするか、許可するかを設定します。健全性チェック失敗の例: ファイアウォール 正常性検査の失敗、ネットワーク層2,3、または4属性の確認の失敗、TCPの状態の確認の失敗。オプションは次のとおりです。
      • Fail open (初期設定): ネットワークエンジンは、失敗したパケットを許可し、一致するルールは実行せず、イベントをログに記録します。パケットの健全性チェックを無効にして、ルールの一致機能を保持する場合は、 Fail open の使用を検討してください。
      • Fail closed: ネットワークエンジンは失敗したパケットをブロックします。ルール照合は実行しません。このオプションは、最高レベルのセキュリティを提供します。
  • 防御の姿勢:防御設定分析を回避しようとしているかもしれない異常なパケットのネットワークエンジン処理を制御します。詳細については、「回避技術対策の設定」を参照してください。
  • 高度なネットワークエンジンのオプション:あなたがを選択解除する継承されるチェックボックスをオンにして、次の設定をカスタマイズできます。

    • CLOSED timeout: ゲートウェイ用です。ゲートウェイが「ハードクローズ」(RST) を伝えると、RSTを受信したゲートウェイ側は、接続を終了するまで、設定された時間の間、接続をアライブにします。
    • SYN_SENTタイムアウト: 接続を終了するまでSYN_SENT状態になっている時間。
    • SYN_RCVDタイムアウト: 接続を終了するまでSYN_RCVD状態になっている時間。
    • FIN_WAIT1タイムアウト: 接続を終了するまでFIN_WAIT1状態になっている時間。
    • ESTABLISHEDタイムアウト: 接続を終了するまでESTABLISHED状態になっている時間。
    • ERRORタイムアウト: エラー状態で接続を保持する時間 (UDP接続の場合、エラーはさまざまなUDPの問題が原因で発生する可能性があります。TCP接続の場合、おそらくパケットが ファイアウォールによって破棄されたためです。)
    • DISCONNECTタイムアウト: 切断するまで接続がアイドル状態になっている時間。
    • CLOSE_WAITタイムアウト: 接続を終了するまでCLOSE_WAIT状態になっている時間。
    • CLOSINGタイムアウト: 接続を終了するまでCLOSING状態になっている時間。
    • LAST_ACKタイムアウト: 接続を終了するまでLAST_ACK状態になっている時間。
    • ACKストームタイムアウト: ACKスモール内の再送信されたACK間の最大期間。つまり、ACKが再送される頻度が低く、このタイムアウトが発生した場合、ACKはACKストームの一部とはみなされません。
    • ブートスタートタイムアウト: ゲートウェイで使用します。ゲートウェイが再起動されるとき、ゲートウェイを通過している既存の接続が確立している場合があります。このタイムアウトでは、ゲートウェイが再起動される前に、確立された接続の一部である非SYNパケットを許可する時間が定義されます。
    • コールドスタートタイムアウト: ステートフル機能が開始される前に、確立された接続に属している非SYNパケットを許可する時間。
    • UDPタイムアウト: UDP接続の最大時間。
    • ICMPタイムアウト: ICMP接続の最大時間。
    • Null IPを許可: 送信元または送信先IPアドレスがないパケットを許可またはブロックします。
    • では、クライアントおよびアプライアンスバージョン8以前のIPv6をブロックします。 古いバージョン8.0のエージェントでIPv6パケットをブロックまたは許可します。
    • エージェントおよびアプライアンスバージョン9以降でのIPv6のブロック: バージョン9以降のエージェントでIPv6パケットをブロックまたは許可します。
    • 接続クリーンナップタイムアウト: 切断された接続のクリーンナップ時間 (次を参照)。
    • クリーンナップごとの最大接続数: 定期的な接続クリーンナップごとのクリーンナップへのクローズ接続の最大数(前を参照)。
    • 送信元と送信先が同じIPアドレスをブロック: 送信元および送信先IPアドレスが同じパケットをブロックまたは許可します(ループバックインタフェースには適用されません)。
    • TCP接続の最大数: 最大同時TCP接続数
    • 最大UDP接続数: 最大UDP同時接続数。
    • 最大ICMP接続数: 最大ICMP同時接続数。
    • 1秒あたりの最大イベント数: 1秒あたりにイベントを記録できる最大数。
    • TCP MSSの制限: 「TCP MSS」は、TCPセグメントの最大セグメントサイズをバイト単位で定義するTCPヘッダ内のパラメータです。[TCP MSS制限]設定は、TCP MSSパラメータに許可される最小値を定義します。リモート攻撃者が極小の最大セグメントサイズ(MSS)でTCP接続を確立した場合に発生するカーネルパニック攻撃およびサービス拒否(DoS)攻撃を防止できるため、このパラメータの下限値を設定することは重要です。これらの攻撃の詳細については、CVE-2019-11477、CVE-2019-11478、およびCVE-2019-11479を参照してください。「TCP MSS Limit」の初期設定は128バイトで、ほとんどの攻撃サイズに対して保護されます。「No Limit」の値は、下限がなく、TCP MSS値が許可されていることを意味します。
    • イベントノードの数: いつでもログ/イベントを折りたためるよう、ドライバがそれらを格納するのに使用するカーネルメモリの最大容量。

      イベントの折りたたみは、同じ種類のイベントが連続して多く発生したときに実行されます。このような場合、エージェントはすべてのイベントを1つに「折り畳み」ます。

    • 無視ステータスコード: このオプションを使用すると、特定の種類のイベントを無視できます。たとえば、たくさんの「不正なフラグ」が表示される場合は、そのイベントの全インスタンスを無視してかまいません。

    • 無視ステータスコード: 上記と同じです。
    • 無視ステータスコード: 上記と同じです。
    • 詳細なログ記録ポリシー:

      • バイパス: イベントをフィルタしません。オーバーライド よりも優先されますが、 Workload Security コンソールで定義されているログ設定は優先されません。たとえば、 Workload Security コンソールの[ ファイアウォール ステートフル設定プロパティ]画面から ファイアウォール ステートフル設定ログオプションが設定されても影響を受けません。
      • 標準: 再送の破棄を除くすべてのイベントがログに記録されます。
      • 初期設定: エンジンがタップモードの場合は下の [タップモード] に切り替わり、インラインモードの場合は、[標準] に切り替わります。
      • 下位互換性モード: サポートでのみ使用します。
      • 詳細モード: 「標準モード」で記録されるログに加え、再送の破棄イベントも記録します。
      • ステートフルおよび正規化抑制: ドロップされた再送信、接続の無効化、無効なフラグ、無効なシーケンス、無効なack、unsolicited udp、unicicited ICMP、許可されていないポリシーは無視されます。
      • ステートフル、正規化、およびフラグ抑制: では、フラグメンテーションに関連するイベントだけでなく、 のステートフルおよび正規化の抑制 も無視します。
      • ステートフル、フラグ、およびベリファイアサプレッション: では、 ステートフル、正規化、およびフラグ抑圧のすべてが無視されます。 では、ベリファイア関連のイベントだけでなく無視されます。
      • タップモード: ドロップされた再送信、接続の無効化、無効なフラグ、無効なシーケンス、無効なack、max ack再送信、パケットが閉じられた接続は無視されます。

        で無視されるイベントの包括的なリスト, ステートフル、正規化、およびフラグ抑圧, ステートフル、フラグ、およびベリファイア抑制、および タップモードを参照ログに記録されたイベント数を減らします。

    • サイレントTCP接続ドロップ: サイレントTCP接続切断がオンの場合、RSTパケットはローカルスタックにのみ送信されます。送信元にRSTパケットは送信されません。これにより、潜在的な攻撃者に返す情報量は削減されます。

      [サイレントTCP接続拒否] を有効化する場合、DISCONNECTタイムアウトも調整する必要があります。DISCONNECTタイムアウトの値の範囲は、0秒から10分までの間で設定します。これは、 エージェントによって接続が切断される前に、アプリケーションによって接続が切断されるように十分に高く設定する必要があります。DISCONNECTタイムアウト値に影響を与える要因としては、OS、接続を確立するアプリケーション、およびネットワークトポロジーが挙げられます。

    • デバッグモードを有効にする: デバッグモードの場合、エージェントは一定数のパケットをキャプチャします(以下の設定で指定します:デバッグモードで保持するパケット数)。ルールがトリガされ、デバッグモードがオンの場合、エージェントは、ルールがトリガされる前に最後に通過したX個のパケットのレコードを保持します。デバッグイベントとしてこれらのパケットが Workload Security に返されます。

      デバッグモードでは簡単に大量のログが生成されるので、サポート担当者が指示した場合にのみ使用してください。

    • デバッグモードで保持するパケット数: デバッグモードがオンの場合に保持するログの数。

    • すべてのパケットデータをログに記録:特定のイベントに関連付けられていないイベントのパケットデータを記録します。ファイアウォールまたは侵入防御ルール。つまり、「再送の破棄」や「不正なACK」などのイベントのパケットデータを記録します。

      イベントの集約によってまとめられたイベントのパケットデータは保存できません

    • 期間内に1つのパケットのみをログに記録: このオプションを有効にして、 すべてのパケットデータ をログに記録しない場合、ほとんどのログにヘッダデータのみが含まれます。パケット全体は、[1つのパケットデータのみをログに記録する期間] の指定に従って定期的に記録されます。

    • 期間内の1つのパケットのみをログに記録する期間: 期間内の1つのパケットのみをログに記録する場合、この設定ではログにフルパケットデータが含まれる頻度を指定します。
    • パケットデータのキャプチャ時に格納する最大データサイズ: ログに添付するヘッダまたはパケットデータの最大サイズ。
    • TCP用接続イベントの生成: TCP接続が確立されるたびに、 ファイアウォール イベントを生成します。
    • ICMP接続イベントの生成: ICMP接続が確立されるたびに、 ファイアウォール イベントが生成されます。
    • UDPの接続イベントを生成する: UDP接続が確立されるたびに、 ファイアウォール イベントを生成します。
    • バイパスCISCO WAAS接続: このモードでは、プロキシモードのCISCO WAAS TCPオプションが選択された状態で開始された接続のTCPシーケンス番号のステートフル分析をバイパスします。このプロトコルは、ステートフル ファイアウォール チェックに干渉する無効なTCPシーケンス番号およびACK番号の余分な情報を保持します。CISCO WAASを使用していて、 ファイアウォール ログに無効なSEQまたは無効なACKが表示されている場合にのみ、このオプションを有効にしてください。このオプションを選択すると、WAASが有効化されていない接続に対してもTCPステートフルシーケンス番号の確認が実行されます。
    • ドロップ回避型再送信: すでに処理されたデータを含む着信パケットは、回避可能な再送信攻撃手法を回避するためにドロップされます。
    • Verify TCP Checksum: セグメントのチェックサムフィールドデータは、セグメントの整合性を評価するために使用されます。
    • 最小フラグメントオフセット: 許容可能な最小のIPフラグメントオフセットを定義します。オフセットがこの値未満のパケットは、「最小オフセット値以下のIPフラグメント」という理由で破棄されます。0を設定すると制限がなくなります。初期設定は60です。
    • 最小フラグメントサイズ: 許容可能な最小のIPフラグメントサイズを定義します。この値より小さいフラグメント化されたパケットは、「最初のフラグメントが最小サイズ未満」という不正の可能性により破棄されます。初期設定は120です。
    • SSLセッションのサイズ: SSLセッションキーに対して維持されるSSLセッションエントリの最大数を設定します。
    • SSLセッション時間: 期限切れになるまでのSSLセッション更新キーの有効期間を設定します。
    • フィルタIPv4トンネル: Workload Securityでは使用されていません。
    • フィルタIPv6トンネル: Workload Security。
    • Strict Teredo Port Check: Workload Securityでは使用されていません。
    • Drop Teredo Anomalies: Workload Securityでは使用されていません。
    • 最大トンネルの深さ: Workload Securityでは使用されません。
    • Maximum Tunnel Depth Exceeded If Action: Workload Securityでは使用されません。
    • ドロップIPv6エクステンションタイプ0: Workload Securityでは使用されていません。
    • 最小MTU未満のIPv6フラグメントのドロップ: IETF RFC 2460によって規定された最小MTUサイズに満たないIPv6フラグメントがドロップされます。
    • IPv6予約済みアドレスのドロップ: 次の予約済みアドレスをドロップします。
      • IETFによって予約済み 0000::/8
      • IETFによって予約済み 0100::/8
      • IETFによって予約済み 0200::/7
      • IETFによって予約済み 0400::/6
      • IETFによって予約済み 0800::/5
      • IETFによって予約済み 1000::/4
      • IETFによって予約済み 4000::/2
      • IETFによって予約済み 8000::/2
      • IETFによって予約済み C000::/3
      • IETFによって予約済み E000::/4
      • IETFによって予約済み F000::/5
      • IETFによって予約済み F800::/6
    • Ipv6サイトローカルアドレスのドロップ: サイトローカルアドレスFEC0::/1をドロップします。
    • IPv6 Bogonアドレスのドロップ: 次のアドレスをドロップします。
      • ループバック ::1
      • IPv4互換アドレス ::/96
      • IPv4にマッピングされたアドレス ::FFFF:0.0.0.0/96
      • IPv4にマッピングされたアドレス ::/8
      • OSI NSAP用プレフィックス (RFC4048非推奨) 0200::/7
      • 6bone (非推奨) 3ffe::/16
      • 文書記述用アドレスプレフィックス 2001:db8::/32
    • 6to4 Bogonアドレスのドロップ: 次のアドレスをドロップします。
      • 6to4 IPv4マルチキャスト 2002:e000:: /20
      • 6to4 IPv4ループバック 2002:7f00:: /24
      • 6to4 IPv4初期設定 2002:0000:: /24
      • 6to4 IPv4無効 2002:ff00:: /24
      • 6to4 IPv4 10.0.0.0/8 2002:0a00:: /24
      • 6to4 IPv4 172.16.0.0/12 2002:ac10:: /28
      • 6to4 IPv4 192.168.0.0/16 2002:c0a8:: /32
    • ゼロペイロードのIPパケットのドロップ: ゼロ長ペイロードのIPパケットをドロップします。
    • 不明なSSLプロトコルを削除: クライアントが間違ったプロトコルを使用して Workload Security への接続を試行した場合、接続を切断します。初期設定では、プロトコルが「http/1.1」以外であるとエラーになります。
    • DHCP DNSを強制的に許可: 以下の非表示のファイアウォールルールを有効にするかどうかを制御します。

      ルールの種類 優先度 方向 プロトコル 送信元
      ポート
      送信先
      ポート
      強制的に許可 4 送信 DNS 任意 53
      強制的に許可 4 送信 DHCP 68 67
      強制的に許可 4 受信 DHCP 67 68

      ルールが有効な場合、エージェントコンピュータは、記載されているプロトコルとポートを使用して Workload Security に接続できます。このプロパティには、以下の値を使用できます。

      • 継承: ポリシーから設定を継承します。
      • ルールをオフにする: ルールを無効にします。この設定によって、Agentコンピュータがオフラインで表示されることがあります。
      • DNSクエリを許可: DNS関連のルールのみを有効にします。
      • DNSクエリとDHCPクライアントを許可する:3つのルールをすべて有効にする
    • ICMP type3 code4を強制的に許可: 以下の非表示のファイアウォールルールを有効にするかどうかを制御します。

      ルールの種類 優先度 方向 プロトコル 種類 コード
      強制的に許可 4 受信 ICMP 3 4

      これらのルールを有効にすると、リレーコンピュータが Workload Security に接続できるようになり、リレーのハートビートが送信されます。以下の値を使用できます。

      • 継承: ポリシーから設定を継承します。
      • ルールをオフにする: ルールを無効にします。この値によって、接続がタイムアウトするか、「送信先に到達できません」という応答が発生する可能性があります。
      • ICMPタイプ3の強制ルールの追加code4:ルールを有効にします。
    • フラグメントタイムアウト: このように設定されている場合、 侵入防御 ルールは、パケット(またはパケットフラグメント)の内容が不審と判断された場合、その内容を検査します。この設定では、検査後、パケットを破棄するまで残りのパケットフラグメントを待機する時間が定義されます。

    • 保持するフラグメントIPパケットの最大数: Workload Security が保持するフラグメント化パケットの最大数を指定します。
    • フラグメント化されたパケットのタイムアウトを超過したことを示すためにICMPを送信する: この設定を有効にした場合、フラグメントのタイムアウトを過ぎるとICMPパケットがリモートコンピュータに送信されます。
    • ホストに属していないMACアドレスをバイパスします。 宛先MACアドレスがホストに属していない受信パケットをバイパスします。このオプションを有効にすると、NICのチーム化によって作成されたパケットや、バージョン10.2以降のエージェントでプロミスキャスモード(promiscuous mode)のNICが作成されるため、ネットワークイベントが減少します。