ビュー:
ポリシーまたはコンピュータのネットワークエンジンの設定を編集するには、ポリシーまたはコンピュータのポリシーエディターまたはコンピュータエディターを開き、[設定][詳細]をクリックします。
注意
注意
[詳細]タブには[イベント]設定も含まれています。それらの設定については、ログファイルサイズの制限を参照してください。また、「エージェント構成パッケージが大きすぎる」設定の表示を制御する[Generate an Alert when Agent configuration package exceeds maximum size]設定も含まれています。
次の設定を確認できます。
  • Network Engine Mode: ネットワークエンジンは、IPS、ファイアウォール、およびWebレピュテーションモジュール内のコンポーネントであり、パケットをブロックするか許可するかを決定します。ファイアウォールおよびIPSモジュールでは、ネットワークエンジンがパケットの健全性チェックを行い、各パケットがファイアウォールおよびIPSルール (ルールマッチングと呼ばれる) を通過することを確認します。ネットワークエンジンはインラインまたはタップモードで動作できます。インラインで動作する場合、パケットストリームはネットワークエンジンを通過し、設定したルールに基づいてドロップされるか通過します。ステートフルテーブルが維持され、ファイアウォールルールが適用され、トラフィックの正規化が行われるため、IPSおよびファイアウォールルールを適用できます。タップモードで動作する場合、ドライバーフックの問題やインターフェースの分離を除いて、パケットは常に通過します。タップモードでは、パケット遅延も発生し、スループットの低下を引き起こす可能性があります。
    inline-vs-tap=23460f5b-8de7-4155-aeaa-6cf3ee6bae51.png
  • Network Engine Status Check: この設定は、エージェントがネットワークエンジンのステータスをモニタするかどうかを決定します。デフォルトでは有効になっていますが、無効にすることもできます。関連するイベントについては、Network Engine Status (Windows)を参照してください。
  • Failure Response: ここでの設定は、ネットワークエンジンが不良パケットを検出した際の動作を決定します。デフォルトではそれらをブロックします (Fail closed) が、以下に説明する理由により一部を通過させることもできます (Fail open)。
    • Network Engine System Failure: この設定は、ネットワークエンジンホストで発生するシステム障害の結果として発生する不良パケットをネットワークエンジンがブロックするか許可するかを決定します。例えば、メモリ不足障害、割り当てメモリ障害、ネットワークエンジン (DPI) デコード障害などです。オプションは以下の通りです:
      • [Fail closed] (デフォルト): ネットワークエンジンは不正なパケットをブロックします。ルールのマッチングは行いません。このオプションは最高レベルのセキュリティを提供します。
      • Fail open: ネットワークエンジンは不良パケットを通過させ、ルールマッチングを行わず、イベントをログに記録します。エージェントが頻繁にネットワーク例外に遭遇する場合、負荷が大きいかリソースが不足しているため、Fail openの使用を検討してください。
    • Network Packet Sanity Check Failure: この設定は、ネットワークエンジンがパケット健全性チェックに失敗したパケットをブロックするか許可するかを決定します。健全性チェックの失敗例: ファイアウォール健全性チェックの失敗、ネットワーク層2、3、または4の属性チェックの失敗、TCP状態チェックの失敗。オプションは次の通りです:
      • [Fail closed] (デフォルト): ネットワークエンジンは失敗したパケットをブロックします。ルールのマッチングは行いません。このオプションは最高レベルのセキュリティを提供します。
      • Fail open: ネットワークエンジンは失敗したパケットを許可し、ルールマッチングを行わず、イベントをログに記録します。パケットの整合性チェックを無効にし、ルールマッチング機能を維持したい場合は、Fail openの使用を検討してください。
  • Anti-Evasion Posture: 反回避設定は、分析を回避しようとする異常なパケットのネットワークエンジン処理を制御します。詳細については、反回避設定の構成を参照してください。
  • Advanced Network Engine Options: [継承]チェックボックスの選択を解除すると、これらの設定をカスタマイズできます。
    • CLOSED timeout: ゲートウェイ用。ゲートウェイが「ハードクローズ」(RST) を渡すと、RSTを受け取ったゲートウェイ側は接続を閉じる前にこの時間だけ接続を維持します。
    • SYN_SENT Timeout: SYN-SENT状態が続いて接続を終了するまでの時間
    • SYN_RCVD Timeout: SYN_RCVD状態が続いて接続を終了するまでの時間。
    • FIN_WAIT1 Timeout: FIN-WAIT1状態が続いて接続を終了するまでの時間。
    • ESTABLISHEDタイムアウト: ESTABLISHED状態が続いて接続を終了するまでの時間。
    • ERROR Timeout: エラー状態で接続を維持する期間。(UDP接続の場合、エラーはさまざまなUDPの問題によって引き起こされる可能性があります。TCP接続の場合、エラーはファイアウォールによってパケットがドロップされることが原因である可能性があります。)
    • DISCONNECT Timeout:アイドル接続を切断するまでの維持時間。
    • CLOSE_WAIT Timeout: CLOSE_WAIT状態が続いて接続を終了するまでの時間。
    • CLOSING Timeout: CLOSING状態が続いて接続を終了するまでの時間
    • LAST_ACKタイムアウト: LAST_ACK状態が続いて接続を終了するまでの時間。
    • ACK Storm timeout: ACKストーム内で再送されたACK間の最大時間です。言い換えれば、ACKがこのタイムアウトより低い頻度で再送されている場合、それらはACKストームの一部とは見なされません。
    • Boot Start Timeout: ゲートウェイ用。ゲートウェイが起動されたとき、すでにゲートウェイを通過する確立された接続が存在する可能性があります。このタイムアウトは、ゲートウェイが起動される前に確立された接続の一部である可能性がある非SYNパケットが閉じるまでの許容時間を定義します。
    • コールドスタートタイムアウト: ステートフル機能が開始される前に確立された接続に属することができる非SYNパケットを許可する時間。
    • UDPタイムアウト: UDP接続の最大継続時間。
    • ICMP Timeout: ICMP接続の最大継続時間。
    • Allow Null IP: 送信元または送信先IPアドレスがないパケットを許可またはブロックします。
    • Block IPv6 on Agents and Appliances versions 8 and earlier: 古いバージョン8.0のエージェントでIPv6パケットをブロックまたは許可する。
    • Block IPv6 on Agents and Appliances versions 9 and later: バージョン9以降のエージェントでIPv6パケットをブロックまたは許可します。
    • Connection Cleanup Timeout: 閉じた接続のクリーンアップ間隔 (次を参照)。
    • Maximum Connections per Cleanup: 定期的な接続クリーンアップごとにクリーンアップする最大の閉じた接続数 (前述を参照)。
    • 同一の送信元/送信先IPアドレスのブロック: 同じ送信元および送信先IPアドレスを持つパケットをブロックまたは許可します。(ループバックインターフェースには適用されません。)
    • 最大TCP接続数:最大同時TCP接続数
    • 最大UDP接続数: 最大同時UDP接続数。
    • Maximum ICMP Connections: 最大同時ICMP接続数。
    • Maximum Events per Second: 1秒あたりに書き込めるイベントの最大数。
    • TCP MSS Limit: 'TCP MSS'は、TCPヘッダー内のパラメータで、TCPセグメントの最大セグメントサイズをバイト単位で定義します。'TCP MSS Limit'設定は、TCP MSSパラメータに許可される最小値を定義します。このパラメータに低い制限を設けることは重要です。なぜなら、リモート攻撃者が非常に小さな最大セグメントサイズ (MSS) でTCP接続を設定した場合に発生するカーネルパニックやサービス拒否 (DoS) 攻撃を防ぐためです。これらの攻撃の詳細については、CVE-2019-11477、CVE-2019-11478、およびCVE-2019-11479を参照してください。'TCP MSS Limit'のデフォルトは128バイトで、ほとんどの攻撃サイズから保護します。'No Limit'の値は、下限がなく、任意のTCP MSS値が受け入れられることを意味します。
    • Number of Event Nodes: ドライバーがログ/イベント情報を折りたたむために一度に使用するカーネルメモリの最大量。
      注意
      注意
      イベントフォールディングは、同じタイプのイベントが連続して発生する場合に起こります。そのような場合、エージェントはすべてのイベントを1つに「フォールド」します。
    • ステータスコードを無視: このオプションを使用すると、特定の種類のイベントを無視できます。例えば、「無効なフラグ」が多数発生している場合、そのイベントのすべてのインスタンスを無視することができます。
    • ステータスコードを無視: 上記と同じ。
    • ステータスコードを無視: 上記と同じ。
    • 詳細ログポリシー:
      • Bypass: イベントのフィルタリングは行われません。「ステータスコードを無視する」設定 (上記) やその他の詳細設定を上書きしますが、Server & Workload Protectionコンソールで定義されたログ設定は上書きしません。例えば、Server & Workload Protectionコンソールのファイアウォールステートフル構成プロパティウィンドウから設定されたファイアウォールステートフル構成のログオプションには影響しません。
      • Normal: 再送の破棄を除くすべてのイベントがログに記録されます。
      • 初期設定:は、エンジンがタップモードの場合は「タップモード」(下) に切り替わり、エンジンがインラインモードの場合は「通常」(上) に切り替わります。
      • Backwards Compatibility Mode: サポート専用。
      • Verbose Mode: "Normal"と同じですが、再送信のドロップを含みます。
      • Stateful and Normalization Suppression: 再送の廃棄、接続範囲外、無効なフラグ、無効なシーケンス、無効なACK、未承諾のUDP、未承諾のICMP、ポリシーの許可外を無視します。
      • Stateful, Normalization, and Frag Suppression:は、[Stateful and Normalization Suppression]が無視するすべてのものと断片化に関連するイベントを無視します。
      • Stateful, Frag, and Verifier Suppression:[Stateful, Normalization, and Frag Suppression]が無視するすべてのものと検証関連のイベントを無視します。
      • Tap Mode: 再送の廃棄、接続範囲外、無効なフラグ、無効なシーケンス、無効なACK、ACK再送の上限、切断された接続上のパケットを無視します。
        注意
        注意
        ログイベント数を減らすで、[Stateful and Normalization Suppression][Stateful, Normalization, and Frag Suppression][Stateful, Frag, and Verifier Suppression]、および[Tap Mode]で無視されるイベントのより包括的なリストを参照してください。
    • Silent TCP Connection Drop: サイレントTCP接続ドロップがオンの場合、RSTパケットはローカルスタックにのみ送信されます。RSTパケットはネットワーク上には送信されません。これにより、潜在的な攻撃者に送信される情報量が減少します。
      注意
      注意
      サイレントTCP接続ドロップを有効にする場合、DISCONNECTタイムアウトも調整する必要があります。DISCONNECTタイムアウトの可能な値は0秒から10分です。接続がエージェントによって閉じられる前にアプリケーションによって閉じられるように、十分に高く設定する必要があります。DISCONNECTタイムアウト値に影響を与える要因には、OS、接続を作成しているアプリケーション、およびネットワークトポロジーが含まれます。
    • Enable Debug Mode: デバッグモードでは、エージェントは一定数のパケットをキャプチャします (以下の設定で指定されたデバッグモードで保持するパケット数)。ルールがトリガーされ、デバッグモードがオンの場合、エージェントはルールがトリガーされる前に通過した最後のXパケットの記録を保持します。それらのパケットをServer & Workload Protectionにデバッグイベントとして返します。
      注意
      注意
      デバッグモードは非常に簡単に過剰なログ生成を引き起こす可能性があるため、クライアントサービスの監督下でのみ使用してください。
    • Number of Packets to retain in Debug Mode: デバッグモードがオンのときに保持してログに記録するパケットの数。
    • Log All Packet Data: 特定のファイアウォールまたはIPSルールに関連付けられていないイベントのパケットデータを記録します。つまり、「Dropped Retransmit」や「Invalid ACK」などのイベントのパケットデータをログに記録します。
      注意
      注意
      イベントの集約によってまとめられたイベントのパケットデータは保存できません
    • Log only one packet within period: このオプションが有効であり、[Log All Packet Data] が無効の場合、ほとんどのログにはヘッダーデータのみが含まれます。[Period for Log only one packet within period] 設定で指定された通り、定期的に完全なパケットが添付されます。
    • Period for Log only one packet within period: [Log only one packet within period]が有効な場合、この設定はログが完全なパケットデータを含む頻度を指定します。
    • Maximum data size to store when packet data is captured: ログに添付されるヘッダーまたはパケットデータの最大サイズ。
    • Generate Connection Events for TCP: はTCP接続が確立されるたびにファイアウォールイベントを生成します。
    • Generate Connection Events for ICMP: はICMP接続が確立されるたびにファイアウォールイベントを生成します。
    • Generate Connection Events for UDP:はUDP接続が確立されるたびにファイアウォールイベントを生成します。
    • Bypass CISCO WAAS Connections: このモードは、プロプライエタリなCISCO WAAS TCPオプションが選択された接続に対するTCPシーケンス番号のステートフル解析をバイパスします。このプロトコルは、ステートフルファイアウォールチェックを妨げる無効なTCPシーケンスおよびACK番号に余分な情報を含んでいます。CISCO WAASを使用しており、ファイアウォールログに無効なSEQまたは無効なACKが表示される場合にのみ、このオプションを有効にしてください。このオプションが選択されている場合でも、WAASが有効でない接続に対してはTCPステートフルシーケンス番号チェックが引き続き実行されます。
    • Drop Evasive Retransmit: 処理済みデータを含む受信パケットは、回避的な再送信攻撃技術を防ぐために破棄されます。
    • Verify TCP Checksum: セグメントのチェックサムフィールドデータは、セグメントの整合性を評価するために使用されます。
    • 最小フラグメントオフセット:は許容されるIPフラグメントオフセットの最小値を定義します。この値より小さいオフセットを持つパケットは「IPフラグメントオフセットが小さすぎる」という理由で破棄されます。0に設定すると制限は適用されません。(デフォルト60)
    • 最小フラグメントサイズ:は許容されるIPフラグメントサイズの最小値を定義します。この値より小さい断片化されたパケットは、「最初のフラグメントが小さすぎる」として潜在的に悪意があると判断され、破棄されます。(デフォルト120)
    • SSL Session Size:はSSLセッションキーのために維持されるSSLセッションエントリの最大数を設定します。
    • SSL Session Time:はSSLセッション更新キーが有効である期間を設定します。
    • Filter IPv4 Tunnels:Server & Workload Protectionによって使用されていません。
    • Filter IPv6 Tunnels:Server & Workload Protectionによって使用されていません。
    • Strict Teredo Port Check:Server & Workload Protectionによって使用されていません。
    • Drop Teredo Anomalies:Server & Workload Protectionで使用されていません。
    • Maximum Tunnel Depth:Server & Workload Protectionで使用されていません。
    • Action if Maximum Tunnel Depth Exceeded:Server & Workload Protectionによって使用されていません。
    • Drop IPv6 Extension Type 0:Server & Workload Protectionで使用されていません。
    • Drop IPv6 Fragments Lower Than minimum MTU: IETF RFC 2460で指定された最小MTUサイズを満たさないIPv6フラグメントを破棄します。
    • Drop IPv6 Reserved Addresses: これらの予約済みアドレスを削除します。
      • IETF予約済み0000::/8
      • IETF予約済み0100::/8
      • IETF予約済み0200::/7
      • IETF予約済み0400::/6
      • IETFは0800::/5を予約しました
      • IETFは1000::/4を予約しました
      • IETF予約済み4000::/2
      • IETF予約済み8000::/2
      • IETF予約済みC000::/3
      • IETF予約済みE000::/4
      • IETF予約済みF000::/5
      • IETFはF800::/6を予約しました
    • Drop IPv6 Site Local Addresses: ローカルアドレスFEC0::/10をドロップします。
    • Drop IPv6 Bogon Addresses: これらのアドレスを削除する:
      • "ループバック ::1
      • "IPv4互換アドレス", ::/96
      • "IPv4マップドアドレス" ::FFFF:0.0.0.0/96
      • "IPv4マップドアドレス", ::/8
      • "OSI NSAPプレフィックス (RFC4048により廃止)" 0200::/7
      • "6bone (非推奨)", 3ffe::/16
      • "ドキュメントプレフィックス", 2001:db8::/32
    • Drop 6to4 Bogon Addresses: これらのアドレスを削除してください。
      • "6to4 IPv4マルチキャスト", 2002:e000:: /20
      • "6to4 IPv4ループバック", 2002:7f00:: /24
      • "6to4 IPv4デフォルト", 2002:0000:: /24
      • "6to4 IPv4無効", 2002:ff00:: /24
      • "6to4 IPv4 10.0.0.0/8", 2002:0a00:: /24
      • "6to4 IPv4 172.16.0.0/12", 2002:ac10:: /28
      • "6to4 IPv4 192.168.0.0/16", 2002:c0a8:: /32
    • Drop IP Packet with Zero Payload: ペイロードの長さがゼロのIPパケットを破棄します。
    • Drop Unknown SSL Protocol: クライアントがServer & Workload Protectionに誤ったプロトコルで接続を試みた場合、接続を切断します。デフォルトでは、「http/1.1」以外のプロトコルはエラーを引き起こします。
    • Force Allow DHCP DNS:次の非表示ファイアウォールルールが有効かどうかを制御します。
      ルールの種類
      優先度
      方向
      プロトコル
      送信元ポート
      宛先ポート
      強制的に許可
      4
      送信
      DNS
      任意
      53
      強制的に許可
      4
      送信
      DHCP
      68
      67
      強制的に許可
      4
      受信
      DHCP
      67
      68
      ルールが有効な場合、エージェントコンピュータは、記載されているプロトコルとポートを使用してServer & Workload Protectionに接続できます。このプロパティには、以下の値を使用できます。
      • 継承: ポリシーから設定を継承します。
      • ルールをオフにする: ルールを無効にします。この設定により、エージェントコンピューターがオフラインに表示される可能性があることに注意してください
      • DNSクエリを許可: DNS関連のルールのみを有効にします。
      • DNSクエリとDHCPクライアントを許可: 3つのルールをすべて有効にする
    • Force Allow ICMP type3 code4:は、次の非表示のファイアウォールルールが有効かどうかを制御します。
      ルールの種類
      優先度
      方向
      プロトコル
      種類
      コード
      強制的に許可
      4
      受信
      ICMP
      3
      4
      これらのルールを有効にすると、リレーコンピュータが Server & Workload Protection に接続できるようになり、リレーのハートビートが送信されます。以下の値を使用できます。
      • 継承: ポリシーから設定を継承します。
      • ルールをオフにする: ルールを無効にします。この値は接続タイムアウトや「宛先に到達できません」応答を引き起こす可能性があります。
      • ICMPタイプ3コード4の強制許可ルールを追加: ルールを有効にします。
    • Fragment Timeout: 設定されている場合、IPSルールはパケット (またはパケットフラグメント) の内容が疑わしいと判断された場合にその内容を検査します。この設定は、検査後に残りのパケットフラグメントを待機する時間を決定し、その後パケットを破棄します。
    • Maximum number of fragmented IP packets to keep:Server & Workload Protectionが保持する断片化されたパケットの最大数を指定します。
    • Send ICMP to indicate fragmented packet timeout exceeded: この設定が有効でフラグメントタイムアウトが超過した場合、ICMPパケットがリモートコンピュータに送信されます。
    • Bypass MAC addresses that don't belong to host: 宛先MACアドレスがホストに属していない受信パケットをバイパスします。このオプションを有効にすると、NICチーミングやプロミスキャスモードのNICが原因で作成されたパケットを取得することによって発生するネットワークイベントの数が、バージョン10.2以降のエージェントで減少します。