fw sam_policy add

説明

fw sam_policy add" と "fw6 sam_policy add" コマンド:

  • 一度に1つのSAM(Suspicious Activity Monitoring)ルールを追加します。

  • 一度に1つのレート制限ルールを追加します。

注:

  • これらのコマンドは互換性があります。

    • IPv4の場合: "fw sam_policy"および"fw samp"

    • IPv6の場合: "fw6 sam_policy"および"fw6 samp"

  • Gaia Clishまたはエキスパートモードでこれらのコマンドのいずれかを実行します。

  • セキュリティゲートウェイは、SAM Policyのルールを$FWDIR/database/sam_policy.dbファイルに保存します。

  • セキュリティゲートウェイは、SAMポリシー管理設定を$FWDIR/database/sam_policy.mng ファイルに保存します。

重要:

  • これらのコマンドで設定した内容は、再起動後も有効になります。

  • VSXモードは、SmartView Monitorで設定されたSuspicious Activity Policyをサポートしませんsk79700を参照してください。

  • VSXモードでは、該当するバーチャルシステムのコンテキストに移動する必要があります。

    • Gaia Clishで、次を実行します。set virtual-system <VSID>

    • エキスパートモードで、次を実行します。vsenv <VSID>

  • クラスタでは、すべてのクラスタメンバを同じ方法で設定する必要があります。

ベストプラクティスSAMポリシーのルールは、セキュリティゲートウェイのCPUリソースを消費します。ルールの有効期限は、調査するための時間を確保しつつ、パフォーマンスに影響を与えないように設定します。必要なSAMポリシールールだけを残しておきます。リスクがあるアクティビティを確認した場合、セキュリティポリシーの編集、ユーザへの教育など、リスクへの対応を行います。

IPv4のSuspicious Activity Monitoring (SAM) ルールを設定するための構文

fw [-d] sam_policy add [-u] -a {d|n|b} [-l {r|a}] [-t <Timeout>] [-f <Target>] [-n <"Rule Name">] [-c <"Rule Comment">] [-o <"Rule Originator">] [-z "<Zone>"] ip <IP Filter Arguments>

IPv6のSuspicious Activity Monitoring (SAM) ルールを設定するための構文

fw6 [-d] sam_policy add [-u] -a {d|n|b} [-l {r|a}] [-t <Timeout>] [-f <Target>] [-n <"Rule Name">] [-c <"Rule Comment">] [-o <"Rule Originator">] [-z "<Zone>"] ip <IP Filter Arguments>

IPv4のレート制限ルールを設定するための構文

fw [-d] sam_policy add [-u] -a {d|n|b} [-l {r|a}] [-t <Timeout>] [-f <Target>] [-n <"Rule Name">] [-c <"Rule Comment">] [-o <"Rule Originator">] [-z "<Zone>"] quota <Quota Filter Arguments>

IPv6のレート制限ルールを設定するための構文

fw6 [-d] sam_policy add [-u] -a {d|n|b} [-l {r|a}] [-t <Timeout>] [-f <Target>] [-n <"Rule Name">] [-c <"Rule Comment">] [-o <"Rule Originator">] [-z "<Zone>"] quota <Quota Filter Arguments

パラメータ

パラメータ

説明

-d

デバッグモードでコマンドを実行します。

コマンド自体のトラブルシューティングを行う場合のみ使用します。

ベストプラクティス - このパラメータを使用する場合、出力をファイルにリダイレクトするか、scriptコマンドを使用してCLIセッション全体を保存してください。

-u

オプションです。

ルールカテゴリがUser-definedであることを指定します。

デフォルトのルールカテゴリはAutoです。

-a {d | n | b}

必須です。

トラフィックがルール条件に一致する場合のルールアクションを指定します。

  • d- 接続を切る。

  • n- 接続を通知し(ログを生成し)、通過させる。

  • b- 接続をバイパスする - ポリシールールと照合することなく、接続を許可する。

    - アクションが[バイパス]に設定されているルールは、ログまたは制限の指定を持つことはできません。迂回したパケットと接続は、タイプ比率の制限を実施するための全体のパケット数とコネクション数にカウントされません。

-l {r | a}

オプションです。

このルールに一致するすべてのトラフィックに対して、どのタイプのログを生成するかを指定します。

  • -r- 定期的なログの作成

  • -a- 警告ログの作成

-t <Timeout>

オプションです。

ルールが適用される時間帯(秒)を指定します。

デフォルトのタイムアウトは無期限です。

-f <Target>

オプションです。

レート制限ルールを適用する対象のセキュリティゲートウェイを指定します。

<Target>次のいずれか:

  • all- これはデフォルトのオプションである。管理されているすべてのセキュリティゲートウェイでルールを実施することを指定します。

  • セキュリティゲートウェイまたはクラスタオブジェクトの名前 - このセキュリティゲートウェイまたはクラスタオブジェクトにのみルールを適用することを指定します(オブジェクト名はSmartConsoleで定義されたものである必要があります)。

  • グループオブジェクトの名前 - このグループオブジェクトのメンバであるすべてのセキュリティゲートウェイにルールを適用することを指定します(オブジェクト名はSmartConsoleで定義されているものである必要があります)。

-n "<Rule Name>"

オプションです。

このルールの名前(ラベル)を指定します。

注:

  • この文字列は二重引用符で囲む必要があります。

  • この文字列の長さは128文字までです。

  • この文字列の各スペースまたはバックスラッシュ文字の前に、バックスラッシュ(∕)文字を記述する必要があります。例:

    "This\ is\ a\ rule\ name\ with\ a\ backslash\ \\"

-c "<Rule Comment>"

オプションです。

このルールのコメントを指定します。

注:

  • この文字列は二重引用符で囲む必要があります。

  • この文字列の長さは128文字までです。

  • この文字列の各スペースまたはバックスラッシュ文字の前に、バックスラッシュ(∕)文字を記述する必要があります。例:

    "This\ is\ a\ comment\ with\ a\ backslash\ \\"

-o "<Rule Originator>"

オプションです。

このルールの発信者名を指定します。

注:

  • この文字列は二重引用符で囲む必要があります。

  • この文字列の長さは128文字までです。

  • この文字列の各スペースまたはバックスラッシュ文字の前に、バックスラッシュ(∕)文字を記述する必要があります。例:

    "Created\ by\ John\ Doe"

-z "<Zone>"

オプションです。

このルールのセキュリティゾーンの名前を指定します。

注:

  • この文字列は二重引用符で囲む必要があります。

  • この文字列の長さは128文字までです。

ip <IP Filter Arguments>

必須(このipパラメータまたはquotaパラメータを使用)。

不審なアクティビティモニタ(SAM)ルールを設定します。

SAM規則のIP Filter Argumentsを指定します(これらのオプションのうち少なくとも1つを使用する必要があります)。

[-C] [-s <Source IP>] [-m <Source Mask>] [-d <Destination IP>] [-M <Destination Mask>] [-p <Port>] [-r <Protocol>]

以下の説明を参照してください。

quota <Quota Filter Arguments>

必須(このquotaパラメータまたはipパラメータを使用)。

レート制限ルールを設定します。

レート制限ルールのQuota Filter Argumentsを指定します(以下の説明を参照)。

  • [flush true]

  • [source-negated {true | false}] source <Source>

  • [destination-negated {true | false}] destination <Destination>

  • [service-negated {true | false}] service <Protocol and Port numbers>

  • [<Limit1 Name> <Limit1 Value>] [<Limit2 Name> <Limit2 Value>] ...[<LimitN Name> <LimitN Value>]

  • [track <Track>]

重要:

  • Quotaルールは、セキュリティゲートウェイにすぐには適用されません。SAM(Suspicious Activity Monitoring)ポリシーデータベースへの登録のみとなります。SAM ポリシーデータベースからすべてのルールをすぐに適用するには、fw samp addコマンド構文に"flush true"を追加します。

  • 説明:

    新規接続のレート(および一般的なレート制限)については、ルールの制限に違反した場合、セキュリティゲートウェイはそのルールに一致するすべてのパケットもドロップします。

    セキュリティゲートウェイは、新規接続率を1秒単位で計算します。

    1秒タイマーが開始されると、セキュリティゲートウェイは既存のコネクションのパケットを含むすべてのパケットを許可します。

    その1秒間のある時点で、新規接続が多すぎる場合、セキュリティゲートウェイはその1秒間の残りの時間、残りのパケットをすべてブロックします。

    次の1秒間のインターバルが始まると、カウンタはリセットされ、プロセスはやり直されます。セキュリティゲートウェイは、ルールの制限に違反したポイントまで、パケットの通過を再び許可します。

不審なアクティビティモニタ(SAM)ルールのIPフィルター引数構文の説明

引数

説明

-C

開いている接続を閉じることを指定します。

-s <Source IP>

送信元 IPアドレスを指定します。

-m <Source Mask>

送信元サブネットマスクを指定します(ドット付き10進数形式 - x.y.z.w)。

-d <Destination IP>

宛先IPアドレスを指定します。

-M <Destination Mask>

宛先サブネットマスクを指定します(ドット付き10進数形式 - x.y.z.w)。

-p <Port>

ポート番号を指定する (IANA Service Name and Port Number Registry)。

-r <Protocol>

プロトコル番号を指定する (IANA Protocol Numbers)。

レート制限ルールのクォータフィルタ引数構文の説明

引数

説明

flush true

クォータルールをコンパイルして、すぐにSecureXLに読み込むことを指定します。

[source-negated {true | false}] source <Source>

ソース タイプとその値を指定します。

  • any

    このルールは、すべての送信元から送信されるパケットに適用されます。

  • range:<IP Address>
    または
    range:<IP Address Start>-<IP Address End>

    このルールは次から送信されるパケットに適用されます。

    • 指定されたIPv4アドレス(x.y.z.w)

    • 指定されたIPv6アドレス(xxxx:yyyy:...:zzz)

  • cidr:<IP Address>/<Prefix>

    このルールは次から送信されるパケットに適用されます。

    • IPv4アドレス(プレフィックス:0~32)

    • IPv6アドレス(プレフィックス:0~128)

  • cc:<Country Code>

    このルールは、Geo IPデータベースに基づいて、この国に割り当てられたソースIPアドレスと国コードを照合します。

    2文字のコードはISO 3166-1 alpha-2 で定義されています。

  • asn:<Autonomous System Number>

    このルールは、Geo IPデータベースに基づいて、この組織に割り当てられているソースIPアドレスと組織のAS番号を照合します。

    有効な構文はASnnnnで、nnnnは特定の組織に固有の番号です。

注:

  • デフォルトはsource-negated false

  • source-negated trueは、指定されたタイプを除くすべてのソースタイプを処理します。

[destination-negated {true | false}] destination <Destination>

宛先タイプとその値を指定します。

  • any

    このルールは、すべての宛先に送信されるパケットに適用されます。

  • range:<IP Address>
    または
    range:<IP Address Start>-<IP Address End>

    このルールが適用されるパケットの送信先:

    • 指定されたIPv4アドレス(x.y.z.w)

    • 指定されたIPv6アドレス(xxxx:yyyy:...:zzz)

  • cidr:<IP Address>/<Prefix>

    このルールが適用されるパケットの送信先:

    • IPv4アドレス(プレフィックス:0~32)

    • IPv6アドレス(プレフィックス:0~128)

  • cc:<Country Code>

    このルールは、Geo IPデータベースに基づいて、この国に割り当てられた宛先IPアドレスに国コードをマッチングさせます。

    2文字のコードはISO 3166-1 alpha-2で定義されています。

  • asn:<Autonomous System Number>

    このルールは、Geo IPデータベースを基に、この組織に割り当てられた宛先IPアドレスに組織のAS番号をマッチングさせます。

    有効な構文はASnnnnで、nnnnは特定の組織に固有の番号です。

注:

  • デフォルト:destination-negated false

  • destination-negated trueは、指定されたタイプ以外のすべての宛先タイプを処理します。

[service-negated {true | false}] service <Protocol and Port numbers>

プロトコル番号を指定する (IANA Protocol Numbers)とポート番号(IANA Service Name and Port Number Registry):

  • <Protocol>

    IPプロトコル番号(範囲:1〜255)

  • <Protocol Start>-<Protocol End>

    IPプロトコル番号の範囲

  • <Protocol>/<Port>

    IPプロトコル番号(1~255の範囲)、TCP/UDPポート番号(1~65535の範囲)

  • <Protocol>/<Port Start>-<Port End>

    IPプロトコル番号とTCP/UDPポート番号の範囲(1~65535)

注:

  • デフォルト:service-negated false

  • service-negated trueは、指定されたプロトコルとポートを持つトラフィック以外のすべてのトラフィックを処理

[<Limit 1 Name> <Limit 1 Value>] [<Limit 2 Name> <Limit 2 Value>] ... [<Limit N Name> <Limit N Value>]

クォータ制限とその値を指定します。

- 複数のクォータ制限を設定する場合は、スペースで区切ってください。

  • concurrent-conns <Value>

    このルールに合致する同時アクティブ接続の最大数を指定します。

  • concurrent-conns-ratio <Value>

    セキュリティGartner Magic Quadrantを介したアクティブな接続総数に対するconcurrent-conns値の最大比率を、65536分の1の単位で指定します(式:N / 65536 )。

  • pkt-rate <Value>

    このルールに一致する1秒あたりの最大パケット数を指定します。

  • pkt-rate-ratio <Value>

    セキュリティGartner Magic Quadrantを経由する全接続のレートに対するpkt-rate値の最大比率を、65536分の1の単位で指定します(式:N / 65536 )。

  • byte-rate <Value>

    このルールに一致するパケットの 1 秒あたりの最大総バイト数を指定します。

  • byte-rate-ratio <Value>

    セキュリティGartner Magic Quadrantを経由するすべての接続のバイト/秒レートに対するバイトレート値の最大比率を、65536分の1で指定します(式:N / 65536 )。

  • new-conn-rate <Value>

    ルールに合致する1秒あたりの最大接続数を指定します。

  • new-conn-rate-ratio <Value>

    セキュリティGartner Magic Quadrantを経由する1秒あたりの全接続数に対するnew-conn-rate値の最大比率を、65536分の1で指定します(式:N / 65536 )。

[track <Track>]

追跡オプションを指定します。

  • source

    特定の送信元 IP アドレスの接続、パケット、バイトをカウントし、このルールの累積は行いません。

  • source-service

    特定のソースIPアドレス、特定のIPプロトコルと宛先ポートの接続、パケット、バイトをカウントし、このルールの累積は行いません。

fw sam_policy add -a d -l r -t 3600 quota service any source range:172.16.7.11-172.16.7.13 new-conn-rate 5 flush true

説明:

  • このルールは、既存の接続のパケットを含め、このルールで設定したクォータを超えるすべての接続(-a d)のパケットをドロップします。

  • このルールで設定したクォータを超えるパケット(-l r)をログに記録します。

  • このルールは3600秒後に期限切れとなります(-t 3600)。

  • new-conn-rate 5このルールは、172.16.7.11 - 172.16.7.13 (source range:172.16.7.11-172.16.7.13) の範囲のソース IP アドレスからのトラフィック (service any) に対して、新しい接続の作成速度を毎秒5接続に制限します。

    - 1秒あたりのログエントリーの総数の制限は、fwaccel dos config set -n <rate>コマンドで設定します。

  • このルールには "flush true"パラメータが含まれているため、SAM(Suspicious Activity Monitoring)ポリシーデータベース内の他のルールとともに、SecureXL上で直ちにコンパイルされ読み込まれます。

fw sam_policy add -a n -l r quota service 1,50-51,6/443,17/53 service-negated true source cc:QQ byte-rate 0

説明:

  • このルールで設定されたクォータを超えるすべてのパケット (-a n) をログに記録し、通過させます。

  • このルールは期限切れにならない(timeout パラメータが指定されていない)。解除するには、明示的に削除する必要があります。

  • service-negated trueこのルールは、IPプロトコル番号1、50〜51、6ポート443、17ポート53のパケット(service 1,50-51,6/443,17/53)以外のすべてのパケットに適用されます。

  • このルールは、指定された国コード(cc:QQ)を持つ国に割り当てられている送信元IPアドレスからのすべてのパケットに適用されます。

  • このルールは、IPプロトコル番号1、50-51、6ポート443、17ポート53のパケット以外のトラフィックを通過させない(byte-rate 0)ものです。

  • このルールは、「flush true 」パラメータを含んでいないため、すぐにコンパイルされてSecureXLにインストールされるわけではありません。

fw sam_policy -a d quota source asn:AS64500,cidr:[::FFFF:C0A8:1100]/120 service any pkt-rate 0

説明:

  • このルールは、このルールに一致するすべてのパケットをドロップ(-a d)します。

  • このルールは期限切れにならない(timeout パラメータが指定されていない)。解除するには、明示的に削除する必要があります。

  • このルールは、自治体番号64500(asn:AS64500)からのパケットに適用されます。

  • このルールは、送信元 IPv6アドレス FFFF:C0A8:1100/120 (cidr:[::FFFF:C0A8:1100]/120) からのパケットに適用されます。

  • このルールは、すべてのトラフィック(service any)に適用されます。

  • このルールは、いかなるトラフィックも通過させません(pkt-rate 0)。

  • このルールは、「flush true 」パラメータを含んでいないため、すぐにコンパイルされてSecureXLにインストールされるわけではありません。

fw sam_policy add -a b quota source range:172.16.8.17-172.16.9.121 service 6/80

説明:

  • このルールは、このルールに一致するすべてのパケットをバイパス(-a b)します。

    - アクセスコントロールポリシーや他の種類のセキュリティポリシールールは引き続き適用されます。

  • このルールは期限切れにならない(timeout パラメータが指定されていない)。解除するには、明示的に削除する必要があります。

  • このルールは、送信元IPアドレスが172.16.8.17 - 172.16.9.121 (range:172.16.8.17-172.16.9.121) の範囲にあるパケットに適用されます。

  • このルールは、TCPポート80(service 6/80)に送信されるパケットに適用されます。

  • このルールは、「flush true 」パラメータを含んでいないため、すぐにコンパイルされてSecureXLにインストールされるわけではありません。

fw sam_policy add -a d quota service any source-negated true source cc:QQ concurrent-conns-ratio 655 track source

説明:

  • このルールは、このルールに一致するすべてのパケットをドロップ(-a d)します。

  • このルールはパケットを記録しません(-l r パラメータは指定されません)。

  • このルールは期限切れにならない(timeout パラメータが指定されていない)。解除するには、明示的に削除する必要があります。

  • このルールは、すべてのトラフィック(service any)に適用されます。

  • このルールは、指定された国コードの国に割り当てられたソースIPアドレス(source-negated true)を除くすべてのソースに適用されます(cc:QQ)。

  • cc:QQこのルールは、指定された国コードの国に割り当てられたソースIPアドレスからの接続(service-negated true)を除くすべてのトラフィック(service any)に対して、同時アクティブ接続の最大数を655/65536=~1% (concurrent-conns-ratio 655)に制限します。

  • このルールは、一致するソースからのトラフィックのみの接続、パケット、およびバイトをカウントし、このルールの累積ではありません。

  • このルールは、「flush true 」パラメータを含んでいないため、すぐにコンパイルされてSecureXLにインストールされるわけではありません。