ips
侵入防止システム(IPS)を設定できます。IPS は、事前定義された署名を含む署名エンジン (snort) で構成されています。シグネチャは有害とされるパターンです。IPS はトラフィックをこれらの署名と比較し、一致を検出すると高速で応答します。ファイアウォールの組み込み署名を編集することはできません。
コマンド
set ips
show ips-settings
構文
set ips
enable_appsignatures [on|off]
ac_atr exception fwrules [<firewall rule IDs>|none]
failclose [on|off]
failclose timeout [tcp|udp] <1-43200>
failclose apply
http_response_scan_limit <0-262144>
scan_decrypted_port_agnostic [on|off]
inspect [all-content|untrusted-content]
ips-instance [add|clear] IPS cpu <0-maximum CPUs in the device>
ips-instance apply
ips_mmap [on|off]
maxpkts [numeric value more than 8| all| default]
packet-streaming [on|off]
pki-acceleration [enable|disable]
search-method [ac-bnfa|ac-q|hyperscan]
sip_ignore_call_channel [enable|disable]
sip_preproc [enable|disable]
tcp urgent-flag [allow|remove]
set ips engine_update_mode [reload|restart]
オプション
enable_appsignatures [on|off]-
アプリ署名を使用すると、ファイアウォールはトラフィックパターンに一致する悪意のあるアプリケーションを特定します。
デフォルト:
on ac_atr exception fwrules [<firewall rule IDs>|none]-
アプリケーション分類およびアクティブ脅威対応のために、ファイアウォールルールの例外を作成してファイアウォールルールをバイパスする。1つ以上のファイアウォールルールを指定できます。複数のルールを指定するには、ファイアウォールルールのIDをコンマで区切ったリストで入力してください。
例
set ips ac_atp_exception_fwrules 1,2ファイアウォールのルール例外を削除するには、「none」と入力してください。
例
set ips ac_atp_exception_fwrules none failclose [on|off]-
IPS エンジンが接続数やメモリ制限に達した際にファイアウォールが接続を処理する方法を制御します。ファイアウォールをオンにすると、上限に達すると新しい接続をドロップします。オフにすると、IPS サービスは古い接続をキャッシュから削除して、新しい接続のためのリソースを解放します。
このオプションのデフォルトのステータスは、アプライアンスに搭載されているRAMの量に依存します。
8 GBのRAMまたはそれ以下: オフに設定 8 GB以上のRAM: オンに設定
注
バックアップでこのオプションのステータスがファイアウォールに設定されているものと異なる場合、そのバックアップを復元すると、このオプションのステータスが変更されます。手動で構成を更新する必要があります。
failclose timeout [tcp|udp] <1-43200>-
IPS を通過する TCP および UDP 接続のタイムアウトを秒単位で設定します。
UDP および TCP トラフィックに使用できるタイムアウト値は、1 ~ 43200 です。
「failclose」がオフの場合、デフォルトのタイムアウト値は180秒です。
failcloseがオンの場合、デフォルトのタイムアウト値は600秒です。
failclose apply-
変更した後、"failclose" 設定を適用してください。「failclose」をオンまたはオフにするか、タイムアウト値を変更した後に、
set ips failclose applyを別途入力する必要があります。 http_response_scan_limit <0-262144>-
このコマンドは、HTTP レスポンスパケットのスキャンの上限値を設定します。フルスキャンの場合は、これを 0 に設定する必要があります。
範囲: 0~262144
scan_decrypted_port_agnostic [on|off]-
ポートに依存しない方法で複合化されたトラフィックをスキャンするためにそれをオンにしてください。例えば、復号されたトラフィックは、シグネチャがHTTPを使用していても、トラフィックはSSLであるため、正常にスキャンされます。
デフォルト:
on inspect [all-content|untrusted-content]-
IPSがすべてのコンテンツを検査すべきか、信頼されていないソースからのコンテンツのみを検査すべきかを指定してください。
all-content: すべてのコンテンツを検査します。最高のセキュリティを提供します。これはほとんどのユーザーにとって十分安全です。untrusted-content: 信頼されていないコンテンツのみを検査します。SophosLabs によって信頼されているコンテンツは検査しません。最高のパフォーマンスを提供します。
デフォルト:
untrusted-content ips-instance [add|clear] IPS cpu <0-maximum CPUs in the device>-
IPS CPU インスタンスを追加またはクリアします。IPS インスタンスを追加する際は、IPS インスタンスが使用する CPU を指定してください。
CPU範囲:デバイス内のCPU数を0から最大に増やします
ips-instance apply-
変更した後で IPS インスタンスの構成を適用してください。IPS CPU インスタンスを追加またはクリアした後、
set ips-instance applyを別途入力する必要があります。警告
このコマンドを実行した後に、ファイアウォールを再起動するように求められます。再起動しないと、更新された構成が適用されません。
ips_mmap [on|off]-
RAM使用量を最適化するために、特に低スペックなデバイスではそれをオンにしてください。
デフォルト:
on注
このオプションはSFOS 18.0およびそれ以降のバージョンでは非推奨となりました。
maxpkts [numeric value more than 8|all|default]-
クライアントとサーバーからの新規および更新された接続で、アプリケーションフィルターポリシーがスキャンするパケット数を指定してください。例えば、9を指定した場合、ファイアウォールはクライアントからの最初の9つのパケットとサーバーからの最初の9つのパケットをスキャンします。したがって、最初の9つのパケットをスキャンした後、アプリケーションの分類は完了しますが、IPSスキャンは継続されます。
デフォルト: 8
複雑または回避的なアプリケーション(例:プロキシやP2Pアプリケーション)を識別するために、このオプションを80に設定することをお勧めします。P2PおよびProxyおよびTunnelの推奨設定を構成する方法を参照してください
警告
この値を高く設定すると、接続速度が低下します。
packet-streaming [on|off]-
パケットストリーミングは、システムでメモリの問題が発生している場合、パケットのストリーミングを制限するとき使用します。
もし、 がオンになっている場合には (デフォルト設定)、IPS エンジンによってセッション中に内部テーブルが作成されますが、これはセッション終了時に削除されます。また、このコマンドは、全受信パケットを再構成し、データの既知の署名のチェックをします。
packet-streamingがオフに設定されている場合、ファイアウォールはパケットやセグメントを再構築しません。データはパケットのチャンクに分割されることがあり、署名を確認するために再構成する必要があります。したがって、Telnet、POP3、SMTP、およびHTTPなどのプロトコルを介したトラフィックは、分割によって隠された悪意のあるファイルに対して脆弱になっています。注
このオプションはSFOS 18.0およびそれ以降のバージョンでは非推奨となりました。
pki-acceleration [enable|disable]-
DPI エンジンによって検査される SSL / TLS フローの X.509 サーバー証明書の再署名を、Xstream Flow Processor の暗号化ハードウェアにオフロードします。デフォルト:
デフォルト:
enableSFOSバージョンおよびPKIアクセラレーションをサポートしていないXGSシリーズモデルでは、「無効」として表示されます。サポートバージョンとアプライアンスモデルの概要については、サポートバージョンとアプライアンスモデルの要約を参照してください。
PKIアクセラレーションのステータスを確認するには、
show ips-settingsを入力してください。PKIアクセラレーションを有効にするには、ファイアウォールアクセラレーションをオンにする必要があります。PKI の高速化がオンになっており、ファイアウォールの高速化がオフになっている場合には、ステータスは と表示されます 。Firewall acceleration を参照してください。
search-method [ac-bnfa|ac-q|hyperscan]-
IPS シグネチャパターンマッチングの検索方法を設定します。
ac-bnfa: : メモリ使用量が少なく、パフォーマンスが高い。ac-q: : メモリの使用量が多く、パフォーマンスが最も優れている。hyperscan: : メモリ使用量が少なく、パフォーマンスが最も優れている。
デフォルト:
hyperscan sip_ignore_call_channel [enable|disable]-
IPS スキャンからオーディオとビデオデータチャンネルを除外するためにオンにしてください。
デフォルト:
enable sip_preproc [enable|disable]-
すべてのSIPセッションをスキャンしてネットワーク攻撃を検出するためにオンにしてください。
デフォルト:
enable tcp urgent-flag [allow|remove]-
フラグが TCP パケットで送信される場合に、IPS が TCP 緊急フラグとポインタを処理する方法を設定します。
allow: パケットを変更せずに緊急フラグとポインタを許可します。:remove: 緊急フラグとポインタを削除してリセットします。
デフォルト:
remove set ips engine_update_mode [reload|restart]-
IPS シグネチャ パックが更新された場合に IPS エンジンを再読み込みするか再起動するかを指定してください。
reload: IPSエンジンの構成を再読み込みします。リロード中には構成が再読み込まれる際に一部のパケットがドロップされる可能性があります。restart: IPSエンジンを再起動します。すべての送受信接続は、エンジン再起動の際にIPSスキャニングをバイパスします。
デフォルト:
reload警告
セキュリティ上の理由から、この設定を変更しないよう強くお勧めします。
現在の設定を確認するには、次のコマンドを実行してください:
show ips_conf例
console> show ips_conf config stream 1 config maxsesbytes 0 config stdsig 1 config qnum 10 config maxpkts 8 config disable_tcpopt_experimental_drops 0 config enable_appsignatures 1 var SEARCH_METHOD hyperscan var SIP_STATUS enabled var IGNORE_CALL_CHANNEL enabled var TCP_POLICY windows var LOCAL_RULE local.rules var DETECT_ANOMALIES no var TCP_BLOCK nblock config inspect_content untrusted config sacmaxpkts 8 config snaplen 1514 var FAST_BLOCKING off var NORMALIZE_NULLS off var SMALL_SEGMENTS 3 var SMALL_SEGMENTS_BYTES 150 var SMALL_SEGMENTS_ACTION none var SMALL_SEGMENTS_PKTS 1 config decrypt_service_rule_detection on var TCP_URGENT removed config pki-acceleration disable config failclose off config update_mode reload show ips-settings-
現在設定されている IPS 設定と実行中のインスタンスを表示します。