SonicOS 7 システム --- TZ シリーズ用

Technical Documentation>  インターフェース>  IPv4 のインターフェース設定>  レイヤ 2 ブリッジ モード>  L2 ブリッジ インターフェース ゾーンの選択>  セキュリティ サービスの方向性
Table of Contents

セキュリティ サービスの方向性

L2 ブリッジ モードを中心とした配備では、ブリッジ ペア インターフェースに対するゾーンを適切に選択するために、セキュリティ サービスの適用性を理解することが大切です。セキュリティ サービスの適用性は、次のような基準に基づいて決定されます。

  1. サービスの方向:
    • GAV は、主にインバウンド サービスです。HTTP、FTP、IMAP、SMTP、POP3、TCPのインバウンド ストリームが検査されます。SMTP についてはアウトバウンド要素もあります。
    • アンチスパイウェア は、主にインバウンドです。インバウンドの HTTP、FTP、IMAP、SMTP、POP3 が検査され、通常はクラス ID によって識別されたスパイウェア コンポーネントの配信 (取得など) の有無がチェックされます。これとは別にアウトバウンド コンポーネントも存在します。 スパイウェア コンポーネントの認識をトリガーする IPS シグネチャに固有の方向性 (すなわち“送信") と対比して、ここでは“アウトバウンド"という用語を用いています。通常、これらのコンポーネントは、インターネット上のウェブ サーバ (WAN ホスト) から、クライアント (LAN ホストなど) によって HTTP 経由で取得されるため、送信の分類基準 (「 IPS: トラフィックの方向」を参照) が使用されます。「 IPS: トラフィックの方向」でいうと、これは送信接続に該当し、送信方向に分類されるシグネチャが必要となります。
    • IPS には、受信、送信、両方向の 3 つの方向があります。受信と送信については「 IPS: トラフィックの方向」に説明したとおりです。両方向とは、表において交差するすべてのポイントを指します。
    • 精度を高めるため、接続状態 (SYN または確立済みなど) やフローにおけるパケットの送信元 (始動者または応答者など)、他の要素も考慮されます。

  2. トラフィックの方向: IPS に関連したトラフィックの方向は、主にトラフィック フローの送信元および送信先ゾーンによって決まります。通常、装置がパケットを受信すると、そのパケットの送信元ゾーンが即座に判明し、その送信先ゾーンも、ルート (または VPN) 調査を実行することによってすぐに判別されます。

    パケットの方向性は、その送信元と送信先に基づき、受信と送信 (インバウンド/アウトバウンドと混同しないようにしてください) のいずれかに分類されます。この決定には、「 IPS: トラフィックの方向 」に示す基準が使用されます。

    IPS: トラフィックの方向
    送信先/送信元 非保護 公開 無線 暗号化 保護 マルチキャスト
    非保護 受信 受信 受信 受信 受信 受信
    公開 送信 送信 送信 受信 受信 受信
    無線 送信 送信 信頼 信頼 信頼 受信
    暗号化 送信 送信 信頼 信頼 信頼 送信
    保護 送信 送信 信頼 信頼 信頼 送信
    表のデータは変更される場合があります。            

    この分類に加えて、あるゾーンから別のゾーンへと、より高い信頼性を持って転送されるパケットは、本質的に高レベルのセキュリティ (LAN | 無線 | 暗号化 <--> LAN | 無線 | 暗号化) が確保されていることを表す、特別な信頼という種別に分類されます。信頼として分類されたトラフィックには、すべてのシグネチャが適用されます (受信、送信、および両方向)。

  3. シグネチャの方向: これは、主に IPS に関連したものです。各シグネチャには、SonicWall のシグネチャ開発チームにより方向が割り当てられます。これは、擬陽性を最小限に抑えるための最適化措置として行われます。シグネチャには、次の方向があります。
    • 受信 - 受信および信頼に適用されます。シグネチャの大半は受信です。 これには、アプリケーションの脆弱性を狙ったあらゆる形態の攻撃のほか、列挙やフットプリンティングといった、あらゆる試みが含まれます。シグネチャの約 85%は受信です。
    • 送信 - 送信および信頼に適用されます。送信に分類されるシグネチャの例としては、IM や P2P のログイン試行のほか、悪性の応答 (例: 攻撃の応答) などがあります。シグネチャの約 10%は送信です。
    • 両方向 - すべてに適用されます。例えば、両方向のシグネチャには、IM ファイル転送、各種 NetBIOS 攻撃 (例: Sasser の通信)、各種 DoS 攻撃 (例: ポート 0 宛ての UDP/TCPトラフィック) があります。シグネチャの約 5%は両方向です。
  4. ゾーンの適用: シグネチャがトリガーされるためには、必要なセキュリティ サービスが、経路上のゾーンの少なくとも 1 つで有効になっている必要があります。例えば、インターネット (X1、WAN) 上のホストが Microsoft ターミナル サーバ (X3、セカンダリ ブリッジ インターフェース、LAN) にアクセスしている場合、IPS が WAN、LAN、またはその両方で有効になっていれば、受信のシグネチャである "IPS 検出警告: MISC MS ターミナル サーバ要求、SID: 436、優先順位: 低" がトリガーされます。