外部ネットワークフィード

ネットワークフィードオブジェクトは、外部の HTTP/HTTPS サーバで生成されたフィードを強制するためのネットワークオブジェクトです。フィードには、IP アドレス (単一または範囲)、ドメイン、またはその両方を含めることができます。

例:

  • シングルIP (1.1.1.1)

  • 範囲 (1.1.1.1-2.2.2.2)

  • IP + マスクレン (1.1.1.1/24)

  • FQDNドメイン(google.com)

  • 非FQDNドメイン(*.google.com)

フィードは、サポートされているフォーマット(下記参照)で書かれていなければならない。セキュリティゲートウェイ は、外部ソースサーバ上のフィードの変更に応じて、ネットワークフィード オブジェクトを自動的に取得、解析、更新する。アップデートを有効にするために、ポリシーをインストールする必要はありません。アクセスコントロール / HTTPSインスペクション / NATポリシーの外部ネットワーク フィード オブジェクトをソースまたは宛先として使用できます。

- セキュリティゲートウェイ上でホストされているローカルフィードはサポートされていません。

使用事例

この機能は、ネットワーク・データ・プロバイダーとして外部ソースを使用し、このデータをルールベースで使用したいすべてのお客様に関連します。

ネットワークフィードを使用すると、セキュリティゲートウェイは自動的にフィードを更新します:

  • 飼料の手動メンテナンスが少なくて済む

  • ポリシーのインストール数を削減

  • ポリシー設定の簡素化

注:

  • うまく動作させるには、セキュリティゲートウェイ が HTTP/HTTPS を通じてフィードサーバにアクセスできる必要があります。そうでなければ、セキュリティゲートウェイはフィードを取得できない。

  • セキュリティゲートウェイは、最大500のネットワークフィードオブジェクトをサポートする。各オブジェクトは最大50,000個のIPアドレスを保持できる。オブジェクトごとのドメイン数に制限はない。

  • セキュリティゲートウェイは、以下のタイプのオブジェクトを合計5,000個サポートする:動的オブジェクト、更新可能オブジェクト、汎用データセンター・オブジェクト、ネットワーク・フィード・オブジェクト。セキュリティゲートウェイは、これらすべてのオブジェクトタイプを合わせて、合計350,000のIPアドレスと12,500のドメインをサポートする。

  • サポートされているフィード形式フラットリスト、JSON

  • ダイナミックオブジェクトとドメインオブジェクトは、セキュリティゲートウェイのネットワークフィードを強制する。

  • SmartConsoleには、フィードの更新イベント(更新中にエラー/警告が発生した場合)、およびフィードの更新が成功した場合のログが表示されます。ログの検索フィールドでネットワークフィード名を検索します。

  • マルチドメインサーバ環境では、グローバルオブジェクトとしてネットワークフィードを定義できます。

  • セキュリティゲートウェイが常にネットワークフィードに到達できるようにする。ネットワークフィードに到達できない、またはアクセスできない場合、セキュリティゲートウェイはキャッシュされた最新バージョンを使用する。

  • ネットワークフィードに有効なエントリだけが含まれていることを確認してください。セキュリティゲートウェイは無効なエントリを無視し、残りのリストを使用します。

外部ネットワークフィードを設定するには

  1. SmartConsoleで、オブジェクトエクスプローラーに移動します。

  2. New >More >Network Object >Network Feed をクリックする。

    New Network Feedウィンドウが開きます。

  3. Network

    Feed URL- 外部サーバのフィードにアクセスするための URL を設定します。

    ベストプラクティス- HTTPではなくHTTPSを使用すること。

  4. Feed Parsing:

    Format- フィードのコンテンツ構造を設定し、セキュリティゲートウェイ がフィードを解析する方法を知るようにする。サポートされているフォーマットは、フラットリストとJSONです。

    フラットリスト形式を選択した場合は、以下の設定を行う:

    • Data type- ドロップダウンメニューからドメイン、IPアドレス、またはIPアドレス/ドメインを選択し、セキュリティゲートウェイが強制するデータタイプを認識します。

    • Delimiter- フィード内のデータ値を区切ります。

    • Ignore lines with prefix- フィードで無視する行を定義する。

    JSON形式を選択した場合は、以下の設定を行ってください:

    • Data Type- ドロップダウンメニューからドメイン、IPアドレス、またはIPアドレス/ドメインを選択し、セキュリティゲートウェイが強制するデータタイプを認識します。

    • JSON Query- フィードからデータを抽出する方法をJQ構文で定義。JQについての詳細は以下をご覧ください。http://stedolan.github.io/jq/

  5. Advanced Settings:

    • Authentication- URLの認証に使用するユーザ名とパスワードを入力します。

    • Network:

      • Use gateway proxy for connection- セキュリティゲートウェイが外部サーバに接続するときにプロキシを使用する場合は、このチェックボックスを選択します。

      • Check feed interval- セキュリティゲートウェイのフィード更新間隔(分)。デフォルトは60分。

  6. Test Feed:

    1. Test Feed ボタンをクリックして、セキュリティゲートウェイ が Feed URL に接続でき、Feed URL を含むサーバの証明書が有効であることを確認します。

      Test Feedウィンドウが開きます。

    2. Select gateway フィールドのドロップダウンメニューから、テストを実行するセキュリティゲートウェイを選択する:

      • テストが成功すれば、test completed successfully

      • テストに失敗すると、エラーメッセージが表示されます。

      • 無効な証明書が原因でテストに失敗した場合、以下のエラーメッセージが表示される:Test failed to authenticate the server certificate

        この場合、信頼できるサーバであれば、エラーメッセージを無視して接続することができる。

        サーバに接続するには、Accept certificate anyway を選択します。

      - "Select gateway" メニューには、VSX ゲートウェイ と以下の VSX バーチャルデバイスは表示されない:仮想システム、仮想ルーター、バーチャルスイッチ。

  7. クリックOK

  8. アクセスコントロールルールベースでNew Network Feed オブジェクトを使用する。

  9. アクセスコントロールポリシーをインストールします。

モニタリング

セキュリティゲートウェイのネットワークフィードをモニタするには、エキスパートモードで以下のコマンドを実行します:

- クラスタでは、すべてのクラスタメンバでこれらのコマンドを実行してください。

操作

コマンド

ネットワーク・フィード更新イベントのエラーと警告メッセージを見る

grep -i <Name of Network Feed> $FWDIR/log/efo_error.elg

ポリシーで使用されるすべてのネットワークフィードのIPアドレスのリストを取得する

dynamic_objects -efo_show

特定のネットワークフィードに関連するドメインと IP 範囲のリストを取得する。

dynamic_objects -efo <Name of Network Feed>

特定のIPアドレスに関連するドメインのリストを取得する。

domains_tool -ip <IP Address>

特定のドメインに関連するIPアドレスのリストを取得する。

domains_tool -d <Name of Domain>

トラブルシューティング

セキュリティゲートウェイのネットワークフィードをデバッグするには、エキスパートモードで以下のコマンドを実行します:

- クラスタでは、すべてのクラスタメンバでこれらの手順を実行してください。

操作

手順

ネットワークフィードマッチングのためのカーネルデバッグの収集

重要- このカーネルデバッグは高いCPU負荷を引き起こす。メンテナンスウィンドウをスケジュールします。

詳細は次を参照: R81.20 Quantum Security Gateway Guide> カーネルデバッグの

  1. カーネルデバッグオプションを設定する:

    fw ctl debug 0

    fw ctl debug -buf 8200

    fw ctl debug -m RAD_KERNEL all

    fw ctl debug -m DOMO all

    fw ctl debug -m UP all

  2. カーネルデバッグの設定を調べる:

    fw ctl debug -m

  3. カーネルデバッグを開始する:

    fw ctl kdebug -T -f > /var/log/kernel_debug.txt

  4. 問題を再現する。

  5. カーネルデバッグを停止する - CTRL+Cキーを押す。

  6. カーネルデバッグオプションをリセットする:

    fw ctl debug 0

  7. カーネルデバッグ出力ファイルを分析する:

    /var/log/kernel_debug.txt

ポリシーインストールデバッグを収集し、ネットワークフィードに関する情報を確認する。

  1. 最初のシェルでデバッグを開始する:

    fw -d fetchlocal -d $FWDIR/state/__tmp/FW1/ >> /var/log/policy_installation.txt 2>&1

  2. 番目のシェルで、出力ファイルをモニタする:

    tail -f /var/log/policy_installation.txt

  3. 最初のシェルで、デバッグを停止する:

    CTRL+Cキーを押す。

  4. 番目のシェルで、出力ファイルのモニタを停止する:

    CTRL+Cキーを押す。

  5. デバッグ出力ファイルを分析する:

    /var/log/policy_installation.txt

ネットワークフィードの更新イベントのデバッグを収集する

  1. 最初のシェルでデバッグを開始する:

    TDERROR_ALL_ALL=1 dynamic_objects -efo_update <Name of Network Feed> >> /var/log/network_feed_update.txt 2>&1

  2. 番目のシェルで、出力ファイルをモニタする:

    tail -f /var/log/network_feed_update.txt

  3. 最初のシェルで、デバッグを停止する:

    CTRL+Cキーを押す。

  4. 番目のシェルで、出力ファイルのモニタを停止する:

    CTRL+Cキーを押す。

  5. デバッグ出力ファイルを分析する:

    /var/log/network_feed_update.txt