fw sam_policy add

説明

"fw sam_policy add" と "fw6 sam_policy add" コマンドです。

一度に1つのSAM（Suspicious Activity Monitoring）ルール通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。を追加します。
一度に1つのレート制限ルールを追加します。

注:

これらのコマンドは互換性があります。
- IPv4 の場合： "fw sam_policy" および "fw samp".
- IPv6 の場合： "fw6 sam_policy" および "fw6 samp".
Gaia Clish CheckPoint Gaiaオペレーティングシステムのデフォルトのコマンドラインシェルの名前。これは制限付きシェルです（役割ベースの管理は、シェルで使用可能なコマンドの数を制御します）。または Expert モードでこれらのコマンドのいずれかを実行します。
Security Gateway は、SAM Policy のルールを$FWDIR/database/sam_policy.db ファイルに保存する。
Security Gateway は、SAM Policy の管理設定を$FWDIR/database/sam_policy.mng ファイルに保存する。

重要：

これらのコマンドで設定した内容は、再起動後も有効です。
VSX 仮想システム拡張。Check Point Security Gatewayおよびその他のネットワークデバイスの仮想抽象化を備えたコンピュータまたはクラスタでホストされるCheckPoint仮想ネットワークソリューション。これらの仮想デバイスは、物理的な対応デバイスと同じ機能を提供します。モードは、SmartView Monitorで設定されたSuspicious Activity Policyをサポートしていません。sk79700をご覧ください。
VSXモードでは、該当するバーチャルシステムのコンテキストに移動する必要があります。
- Gaia Clishで、set virtual-system <VSID>を実行します。
- エキスパートモード CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。で、vsenv <VSID>を実行します。
クラスタ冗長構成で連携する2つ以上のセキュリティゲートウェイ（ハイアベイラビリティまたは負荷分散）をクラスタ化します。では、すべてのクラスタメンバを同じ方法で設定する必要があります。

ベストプラクティス - SAMポリシーのルールは、Security GatewayのCPUリソースを消費します。ルールの有効期限は、調査するための時間を確保しつつ、パフォーマンスに影響を与えないように設定します。必要なSAM Policyルールだけを残しておく。リスクがある活動を確認した場合、セキュリティポリシーの編集、ユーザへの教育など、リスクへの対応を行う。

IPv4 の Suspicious Activity Monitoring (SAM) ルールを設定するための構文

fw [-d] sam_policy add [-u] -a {d|n|b} [-l {r|a}] [-t <Timeout>] [-f <Target>] [-n <"Rule Name">] [-c <"Rule Comment">] [-o <"Rule Originator">] [-z "<Zone>"] ip <IP Filter Arguments>

IPv6 の Suspicious Activity Monitoring (SAM) ルールを設定するための構文

fw6 [-d] sam_policy add [-u] -a {d|n|b} [-l {r|a}] [-t <Timeout>] [-f <Target>] [-n <"Rule Name">] [-c <"Rule Comment">] [-o <"Rule Originator">] [-z "<Zone>"] ip <IP Filter Arguments>

IPv4 のレート制限ルールを設定するための構文

fw [-d] sam_policy add [-u] -a {d|n|b} [-l {r|a}] [-t <Timeout>] [-f <Target>] [-n <"Rule Name">] [-c <"Rule Comment">] [-o <"Rule Originator">] [-z "<Zone>"] quota <Quota Filter Arguments>

IPv6 のレート制限ルールを設定するための構文

fw6 [-d] sam_policy add [-u] -a {d|n|b} [-l {r|a}] [-t <Timeout>] [-f <Target>] [-n <"Rule Name">] [-c <"Rule Comment">] [-o <"Rule Originator">] [-z "<Zone>"] quota <Quota Filter Arguments

パラメータ

パラメータ

説明

-d

デバッグモードでコマンドを実行します。

コマンド自体のトラブルシューティングを行う場合のみ使用します。

ベストプラクティス- このパラメータを使用する場合、出力をファイルにリダイレクトするか、script コマンドを使用して CLI セッション全体を保存してください。

-u

オプションです。

ルールカテゴリがUser-defined であることを指定する。

デフォルトのルールカテゴリーは、Auto です。

-a {d | n | b}

必須

トラフィックがルール条件に一致する場合のルールアクションを指定します。

d - 接続を解除する。
n - 接続について通知（ログを生成）し、通過させる。
b - 接続をバイパスする - ポリシールールと照らし合わせることなく、接続を通過させます。

注 - アクションがBypass に設定されているルールは、ログや制限の指定を行うことができません。迂回したパケットとコネクションは、タイプ比率の制限を実施するための全体のパケット数とコネクション数にカウントされません。

-l {r | a}

オプションです。

このルールに一致するすべてのトラフィックに対して、どのタイプのログを生成するかを指定します。

-r - 通常のログを生成する
-a - アラートログを生成する

-t <Timeout>

オプションです。

ルールが適用される時間帯（秒）を指定する。

デフォルトのタイムアウトは無期限です。

-f <Target>

オプションです。

レート制限ルールを適用する対象の Security Gateway を指定します。

<Target> はこれらのいずれかになります。

all - これはデフォルトのオプションです。管理されているすべてのSecurity Gatewayでルールを実施することを指定します。
Security GatewayまたはClusterオブジェクトの名前 - このSecurity GatewayまたはClusterオブジェクトにのみルールを適用することを指定します（オブジェクト名はSmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で定義されたものである必要があります）。
グループオブジェクトの名前 - このグループオブジェクトのメンバであるすべてのSecurity Gatewayにルールを適用することを指定します（オブジェクト名はSmartConsoleで定義されているものである必要があります）。

-n "<Rule Name>"

オプションです。

このルールの名前（ラベル）を指定します。

注:

この文字列は二重引用符で囲む必要があります。
この文字列の長さは128文字までとする。

この文字列の各スペースまたはバックスラッシュ文字の前に、バックスラッシュ(∕)文字を記述する必要があります。例：

"This\ is\ a\ rule\ name\ with\ a\ backslash\ \\"

-c "<Rule Comment>"

オプションです。

このルールのコメントを指定する。

注:

この文字列は二重引用符で囲む必要があります。
この文字列の長さは128文字までとする。

この文字列の各スペースまたはバックスラッシュ文字の前に、バックスラッシュ(∕)文字を記述する必要があります。例：

"This\ is\ a\ comment\ with\ a\ backslash\ \\"

-o "<Rule Originator>"

オプションです。

このルールの発信者名を指定する。

注:

この文字列は二重引用符で囲む必要があります。
この文字列の長さは128文字までとする。

この文字列の各スペースまたはバックスラッシュ文字の前に、バックスラッシュ(∕)文字を記述する必要があります。例：

"Created\ by\ John\ Doe"

-z "<Zone>"

オプションです。

このルールのセキュリティゾーンの名前を指定します。

注:

この文字列は二重引用符で囲む必要があります。
この文字列の長さは128文字までとする。

ip <IP Filter Arguments>

必須（このip パラメータ、またはquota パラメータを使用する）。

Suspicious Activity Monitoring (SAM) ルールを設定します。

SAM規則のIP Filter Argumentsを指定します(これらのオプションのうち少なくとも1つを使用する必要があります)。

[-C] [-s <Source IP>] [-m <Source Mask>] [-d <Destination IP>] [-M <Destination Mask>] [-p <Port>] [-r <Protocol>]

以下の解説をご覧ください。

quota <Quota Filter Arguments>

必須（このquota パラメータ、またはip パラメータを使用する）。

Rate Limiting ルールを設定します。

レート制限ルールのQuota Filter Argumentsを指定します（以下の説明を参照）。

[flush true]
[source-negated {true | false}] source <Source>
[destination-negated {true | false}] destination <Destination>
[service-negated {true | false}] service <Protocol and Port numbers>
[<Limit1 Name> <Limit1 Value>] [<Limit2 Name> <Limit2 Value>] ...[<LimitN Name> <LimitN Value>]
[track <Track>]

重要：

Quotaルールは、Security Gatewayにすぐには適用されません。SAM（Suspicious Activity Monitoring）ポリシーデータベースへの登録のみとなります。SAM ポリシーデータベースからすべてのルールをすぐに適用するには、fw samp add コマンド構文に "flush true" を追加します。
説明する。

新規接続のレート（および一般的なレート制限）については、ルールの制限に違反した場合、Security Gatewayはそのルールに一致するすべてのパケットもドロップします。

Security Gatewayは、新規接続率を1秒単位で計算する。

1秒タイマーが開始されると、Security Gatewayは既存のコネクションのパケットを含むすべてのパケットを許可します。

その1秒間のある時点で、新規接続が多すぎる場合、セキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。はその1秒間の残りの時間、残りのパケットをすべてブロックします。

次の1秒間のインターバルが始まると、カウンターはリセットされ、プロセスはやり直されます。セキュリティゲートウェイは、ルールの制限に違反したポイントまで、パケットの通過を再び許可します。

Suspicious Activity Monitoring (SAM) ルールのIP Filter Arguments の構文について説明します。

論証	説明
`-C`	開いている接続を閉じることを指定する。
`-s <Source IP>`	送信元 IP アドレスを指定します。
`-m <Source Mask>`	送信元サブネットマスクを指定します（ドット付き10進数形式 - x.y.z.w）。
`-d <Destination IP>`	宛先IPアドレスを指定します。
`-M <Destination Mask>`	Destination subnet maskを指定します（ドット付き10進数形式 - x.y.z.w）。
`-p <Port>`	ポート番号を指定します（IANA Service Name and Port Number Registry 参照）。
`-r <Protocol>`	プロトコル番号を指定する（IANA Protocol Numbers 参照）。

Rate Limiting ルールのQuota Filter Arguments の構文についての説明。

論証	説明
`flush true`	クォータ規則をコンパイルして，すぐにSecureXL セキュリティゲートウェイを通過するIPv4およびIPv6トラフィックを高速化するセキュリティゲートウェイ上のCheck Point製品。にロードすることを指定します。
`[source-negated {true \| false}] source <Source>`	ソースの種類とその値を指定する。 `any` このルールは、すべての送信元から送信されるパケットに適用されます。 `range:<IP Address>` or `range:<IP Address Start>-<IP Address End>` から送信されるパケットに適用されるルールです。指定されたIPv4アドレス(x.y.z.w) 指定されたIPv6アドレス（xxxx:yyyy:...:zzz) `cidr:<IP Address>/<Prefix>` から送信されるパケットに適用されるルールです。 IPv4 アドレス（プレフィックス：0～32）。 IPv6アドレス（プレフィックス：0～128）。 `cc:<Country Code>` このルールは、Geo IPデータベースに基づいて、この国に割り当てられたソースIPアドレスと国コードを照合します。 2文字コードは、ISO 3166-1 alpha-2 で定義されています。 `asn:<Autonomous System Number>` このルールは、Geo IPデータベースに基づいて、この組織に割り当てられているソースIPアドレスと組織のAS番号を照合します。有効な構文は、ASnnnn で、nnnn は特定の組織に固有の番号です。注: デフォルト値：`source-negated false` `source-negated true` はすべてのソースタイプを処理し、except は指定されたタイプを処理します。
`[destination-negated {true \| false}] destination <Destination>`	デスティネーションタイプとその値を指定する。 `any` このルールは、すべての宛先に送信されるパケットに適用されます。 `range:<IP Address>` or `range:<IP Address Start>-<IP Address End>` に送信されるパケットに適用されるルールです。指定されたIPv4アドレス(x.y.z.w) 指定されたIPv6アドレス（xxxx:yyyy:...:zzz) `cidr:<IP Address>/<Prefix>` に送信されるパケットに適用されるルールです。 IPv4 アドレス（プレフィックス：0～32）。 IPv6アドレス（プレフィックス：0～128）。 `cc:<Country Code>` このルールは、Geo IPデータベースに基づいて、この国に割り当てられた宛先IPアドレスに国コードをマッチングさせます。 2文字コードは、ISO 3166-1 alpha-2 で定義されています。 `asn:<Autonomous System Number>` このルールは、Geo IPデータベースを基に、この組織に割り当てられた宛先IPアドレスに組織のAS番号をマッチングさせます。有効な構文は、ASnnnn で、nnnn は特定の組織に固有の番号です。注: デフォルト値： `destination-negated false` `destination-negated true` は、指定されたタイプ以外のすべてのデスティネーションタイプを処理します。
`[service-negated {true \| false}] service <Protocol and Port numbers>`	プロトコル番号（IANA Protocol Numbers 参照）、ポート番号（IANA Service Name and Port Number Registry 参照）を指定します。 `<Protocol>` IPプロトコル番号（範囲：1〜255 `<Protocol Start>-<Protocol End>` IPプロトコル番号の範囲 `<Protocol>/<Port>` IPプロトコル番号（1～255の範囲）、TCP/UDPポート番号（1～65535の範囲）。 `<Protocol>/<Port Start>-<Port End>` IPプロトコル番号とTCP/UDPポート番号の範囲（1～65535）。注: デフォルト値： `service-negated false` `service-negated true` は、指定されたプロトコルとポートを持つトラフィック以外のすべてのトラフィックを処理します
`[<Limit 1 Name> <Limit 1 Value>] [<Limit 2 Name> <Limit 2 Value>] ... [<Limit N Name> <Limit N Value>]`	クォータ制限とその値を指定します。注 - 複数のクォータ制限を設定する場合は、スペースで区切ってください。 `concurrent-conns <Value>` このルールに合致する同時アクティブ接続の最大数を指定します。 `concurrent-conns-ratio <Value>` Security Gateway を介したアクティブな接続の総数に対するconcurrent-conns の値の最大比率を 65536 分の 1 で指定します(式:`N / 65536`)。 `pkt-rate <Value>` このルールに一致する1秒あたりの最大パケット数を指定します。 `pkt-rate-ratio <Value>` Security Gateway を介した全接続の割合に対するpkt-rate の値の最大比を、65536 分の 1 の単位で指定します(式:`N / 65536`)。 `byte-rate <Value>` このルールに一致するパケットの 1 秒あたりの最大総バイト数を指定します。 `byte-rate-ratio <Value>` Security Gateway を経由するすべての接続のバイト/秒レートに対するbyte-rate 値の最大比率を 65536 分の 1 で指定します(式:`N / 65536`)。 `new-conn-rate <Value>` ルールに合致する 1 秒あたりの最大接続数を指定します。 `new-conn-rate-ratio <Value>` Security Gateway を通過する毎秒の全接続数に対するnew-conn-rate の値の最大比率を 65536 分の 1 で指定します(式:`N / 65536`)。
`[track <Track>]`	トラッキングオプションを指定します。 `source` 特定の送信元 IP アドレスの接続、パケット、バイトをカウントし、このルールの累積は行いません。 `source-service` 特定のソースIPアドレス、特定のIPプロトコルと宛先ポートの接続、パケット、バイトをカウントし、このルールの累積は行いません。

例

例1 - 範囲を指定したレート制限ルール

fw sam_policy add -a d -l r -t 3600 quota service any source range:172.16.7.11-172.16.7.13 new-conn-rate 5 flush true

説明します。

このルールは、既存の接続のパケットを含め、このルールで設定したクォータを超えるすべての接続(-a d)のパケットをドロップします。
このルールで設定したクォータを超えるパケット(-l r)をログに記録します。
このルールは3600秒後に期限切れとなります(-t 3600)。
new-conn-rate 5このルールは、172.16.7.11 - 172.16.7.13 (source range:172.16.7.11-172.16.7.13) の範囲のソース IP アドレスからのトラフィック (service any) に対して、新しい接続の作成速度を毎秒5接続に制限します。

注 - 1秒あたりのログエントリーの総数の上限は、fwaccel dos config set -n <rate> コマンドで設定します。
このルールには「flush true 」パラメータが含まれているため、SAM（Suspicious Activity Monitoring）ポリシーデータベース内の他のルールとともに、SecureXL上で直ちにコンパイルされロードされます。

例 2 - サービス仕様のレート制限ルール

fw sam_policy add -a n -l r quota service 1,50-51,6/443,17/53 service-negated true source cc:QQ byte-rate 0

説明します。

このルールで設定されたクォータを超えるすべてのパケット (-a n) をログに記録し、通過させます。
このルールは期限切れにならない（timeout パラメータが指定されていない）。解除するには、明示的に削除する必要があります。
service-negated trueこのルールは、IPプロトコル番号1、50〜51、6ポート443、17ポート53のパケット(service 1,50-51,6/443,17/53)以外のすべてのパケットに適用されます。
このルールは、指定された国コード(cc:QQ)を持つ国に割り当てられている送信元IPアドレスからのすべてのパケットに適用されます。
このルールは、IPプロトコル番号1、50-51、6ポート443、17ポート53のパケット以外のトラフィックを通過させない(byte-rate 0)ものです。
このルールは、「flush true 」パラメータを含んでいないため、すぐにコンパイルされてSecureXLにインストールされるわけではありません。

例3 - ASNによるレートリミッティングルール

fw sam_policy -a d quota source asn:AS64500,cidr:[::FFFF:C0A8:1100]/120 service any pkt-rate 0

説明します。

このルールは、このルールに一致するすべてのパケットをドロップ(-a d)します。
このルールは期限切れにならない（timeout パラメータが指定されていない）。解除するには、明示的に削除する必要があります。
このルールは、自治体番号64500(asn:AS64500)からのパケットに適用されます。
このルールは、送信元 IPv6 アドレス FFFF:C0A8:1100/120 (cidr:[::FFFF:C0A8:1100]/120) からのパケットに適用されます。
このルールは、すべてのトラフィック（service any ）に適用されます。
このルールは、いかなるトラフィックも通過させません(pkt-rate 0)。
このルールは、「flush true 」パラメータを含んでいないため、すぐにコンパイルされてSecureXLにインストールされるわけではありません。

例 4 - ホワイトリストによるレート制限ルール

fw sam_policy add -a b quota source range:172.16.8.17-172.16.9.121 service 6/80

説明します。

このルールは、このルールに一致するすべてのパケットをバイパス(-a b)します。

注 - アクセスコントロールポリシーや他の種類のセキュリティポリシールールは引き続き適用されます。
このルールは期限切れにならない（timeout パラメータが指定されていない）。解除するには、明示的に削除する必要があります。
このルールは、送信元 IP アドレスが 172.16.8.17 - 172.16.9.121 (range:172.16.8.17-172.16.9.121) の範囲にあるパケットに適用されます。
このルールは、TCPポート80(service 6/80)に送信されるパケットに適用されます。
このルールは、「flush true 」パラメータを含んでいないため、すぐにコンパイルされてSecureXLにインストールされるわけではありません。

例 5 - トラッキングを使用したレートリミッティングルール

fw sam_policy add -a d quota service any source-negated true source cc:QQ concurrent-conns-ratio 655 track source

説明します。

このルールは、このルールに一致するすべてのパケットをドロップ(-a d)します。
このルールはパケットを記録しません（-l r パラメータは指定されません）。
このルールは期限切れにならない（timeout パラメータが指定されていない）。解除するには、明示的に削除する必要があります。
このルールは、すべてのトラフィック（service any ）に適用されます。
このルールは，指定された国コードの国に割り当てられたソースIPアドレス(source-negated true)を除くすべてのソースに適用されます(cc:QQ)．
cc:QQこのルールは，指定された国コードの国に割り当てられた送信元IPアドレスからの接続(service-negated true)を除くすべてのトラフィック(service any)に対して，同時にアクティブになる最大接続数を655/65536=~1%(concurrent-conns-ratio 655)に制限するものです。
このルールは、このルールに一致するソースからのトラフィックのみの接続、パケット、およびバイトをカウントし、このルールの累積ではありません。
このルールは、「flush true 」パラメータを含んでいないため、すぐにコンパイルされてSecureXLにインストールされるわけではありません。