fw sam_policy del

説明

"fw sam_policy del" と "fw6 sam_policy del" コマンドです。

設定したSuspicious Activity Monitoring（SAM）ルール通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。を一度に1つ削除します。
設定された Rate Limiting ルールを 1 つずつ削除します。

注:

これらのコマンドは互換性があります。
- IPv4 の場合： "fw sam_policy" および "fw samp".
- IPv6 の場合： "fw6 sam_policy" および "fw6 samp".
Gaia Clish CheckPoint Gaiaオペレーティングシステムのデフォルトのコマンドラインシェルの名前。これは制限付きシェルです（役割ベースの管理は、シェルで使用可能なコマンドの数を制御します）。または Expert モードでこれらのコマンドのいずれかを実行します。
Security Gateway は、SAM Policy のルールを$FWDIR/database/sam_policy.db ファイルに保存する。
Security Gateway は、SAM Policy の管理設定を$FWDIR/database/sam_policy.mng ファイルに保存する。

重要：

これらのコマンドで設定した内容は、再起動後も有効です。
VSX 仮想システム拡張。Check Point Security Gatewayおよびその他のネットワークデバイスの仮想抽象化を備えたコンピュータまたはクラスタでホストされるCheckPoint仮想ネットワークソリューション。これらの仮想デバイスは、物理的な対応デバイスと同じ機能を提供します。モードは、SmartView Monitorで設定されたSuspicious Activity Policyをサポートしていません。sk79700をご覧ください。
VSXモードでは、該当するバーチャルシステムのコンテキストに移動する必要があります。
- Gaia Clishで、set virtual-system <VSID>を実行します。
- エキスパートモード CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。で、vsenv <VSID>を実行します。
クラスタ冗長構成で連携する2つ以上のセキュリティゲートウェイ（ハイアベイラビリティまたは負荷分散）をクラスタ化します。では、すべてのクラスタメンバを同じ方法で設定する必要があります。

ベストプラクティス - SAMポリシーのルールは、Security GatewayのCPUリソースを消費します。ルールの有効期限は、調査するための時間を確保しつつ、パフォーマンスに影響を与えないように設定します。必要なSAM Policyルールだけを残しておく。リスクがある活動を確認した場合、セキュリティポリシーの編集、ユーザへの教育など、リスクへの対応を行う。

IPv4用構文

fw [-d] sam_policy del '<Rule UID>'

IPv6用構文

fw6 [-d] sam_policy del '<Rule UID>'

パラメータ

説明

-d

デバッグモードでコマンドを実行します。

コマンド自体のトラブルシューティングを行う場合のみ使用します。

ベストプラクティス- このパラメータを使用する場合、出力をファイルにリダイレクトするか、script コマンドを使用して CLI セッション全体を保存してください。

'<Rule UID>'

削除したいルールのUIDを指定します。

重要：

引用符と角括弧('<...>')は必須です。
Rule UID を確認するには、fw sam_policy getコマンドを実行します。

手順

Suspicious Activity Monitoringポリシーデータベース内の既存のルールをすべてリストアップします。

Suspicious Activity Monitoring ポリシーデータベースにある既存のルールをすべてリストアップします。

IPv4の場合は、実行します。

fw sam_policy get

IPv6の場合は、実行してください。

fw6 sam_policy get

ルールはこのような形式で表示されます。

operation=add uid=<Value1,Value2,Value3,Value4> target=... timeout=... action=... log= ... name= ... comment=... originator= ... src_ip_addr=... req_tpe=...

IPv4 の場合の例です。

operation=add uid=<5ac3965f,00000000,3403a8c0,0000264a> target=all timeout=300 action=notify log=log name=Test\ Rule comment=Notify\ about\ traffic\ from\ 1.1.1.1 originator=John\ Doe src_ip_addr=1.1.1.1 req_tpe=ip

リストからUIDでルールを削除する

IPv4の場合は、実行します。

fw [-d] sam_policy del '<Rule UID>'

IPv6の場合は、実行してください。

fw6 [-d] sam_policy del '<Rule UID>'

IPv4 の場合の例です。

fw samp del '<5ac3965f,00000000,3403a8c0,0000264a>'

フラッシュオンリールールの追加

IPv4の場合は、実行します。

fw samp add -t 2 quota flush true

IPv6の場合は、実行してください。

fw6 samp add -t 2 quota flush true

説明する。

fw samp del" と "fw6 samp del" コマンドは、永続データベースからルールを削除するだけです。Security Gatewayは、次にポリシーをコンパイルして読み込むまで、削除されたルールを適用し続けます。ルールを直ちに強制的に削除するには、"fw samp del" と "fw6 samp del" コマンドの直後にフラッシュオンリーのルールを入力する必要があります。このフラッシュ専用ルールは、前のステップで指定したルールを直ちに削除し、2秒後にタイムアウトします。

ベストプラクティス-フラッシュ専用ルールに短いタイムアウト時間を指定します。これにより、データベース内に古くなったルールが蓄積されるのを防ぐことができます。