GRANDSTREAM GCC601X(W) ワンネットワークソリューションファイアウォール
ユーザーマニュアル
GCC601X(W) ファイアウォール
このガイドでは、GCC601X(W) ファイアウォール モジュールの構成パラメータについて紹介します。
以上VIEW
以上view このページでは、GCCファイアウォールモジュールの全体的な洞察とセキュリティの脅威と統計をユーザーに提供します。view ページの内容:
- ファイアウォール サービス: ファイアウォール サービスとパッケージのステータスを、有効日と有効期限とともに表示します。
- トップ セキュリティ ログ: 各カテゴリのトップ ログを表示します。ユーザーはドロップダウン リストからカテゴリを選択するか、矢印アイコンをクリックしてセキュリティ ログ ページにリダイレクトし、詳細を確認できます。
- 保護統計: さまざまな保護統計を表示します。設定アイコンをクリックすると、すべての統計をクリアするオプションがあります。
- 上位にフィルタリングされたアプリケーション: フィルタリングされた上位のアプリケーションをカウント数とともに表示します。
- ウイルス Files: スキャンした fileウイルスを発見 file同様に、マルウェア対策を有効/無効にするには、ユーザーは設定アイコンをクリックします。
- 脅威レベル: 重大から軽微までの脅威レベルを色分けして表示します。
- 脅威の種類: 脅威の種類を色コードと繰り返し回数で表示します。ユーザーはマウス カーソルを色の上に置くと、名前と発生回数が表示されます。
- 上位の脅威: 上位の脅威をタイプと数とともに表示します。
ユーザーは最も重要な通知と脅威を簡単に見つけることができます。
ユーザーは、トップセキュリティログの下にある矢印アイコンをクリックしてセキュリティログセクションにリダイレクトするか、保護統計の下にある歯車アイコンにマウスを移動して統計をクリアするか、ウイルスの下にある fileマルウェア対策を無効にするには、 をクリックしてください。脅威レベルと脅威の種類の下で、ユーザーはグラフにマウスを合わせると詳細を表示することもできます。上記の図を参照してください。
ファイアウォールポリシー
ルールポリシー
ルール ポリシーを使用すると、GCC デバイスが受信トラフィックを処理する方法を定義できます。これは、WAN、VLAN、および VPN ごとに実行されます。
- 受信ポリシー: WAN または VLAN から開始されたトラフィックに対して GCC デバイスが行う決定を定義します。使用可能なオプションは、Accept、Reject、Drop です。
- IP マスカレード: IP マスカレードを有効にします。これにより、内部ホストの IP アドレスがマスカレードされます。
- MSS Clamp: このオプションを有効にすると、TCPセッションネゴシエーション中にMSS(最大セグメントサイズ)をネゴシエートできるようになります。
- ドロップ/拒否トラフィックのログ: このオプションを有効にすると、ドロップまたは拒否されたすべてのトラフィックのログが生成されます。
- ドロップ/拒否トラフィック ログ制限: 1 秒、99999999 分、XNUMX 時間、XNUMX 日あたりのログの数を指定します。範囲は XNUMX ~ XNUMX です。空の場合は制限はありません。
インバウンドルール
GCC601X(W) を使用すると、ネットワーク グループまたはポート WAN への着信トラフィックをフィルタリングし、次のようなルールを適用できます。
- 承認: トラフィックの通過を許可します。
- 拒否: パケットが拒否されたことを示す応答がリモート側に送信されます。
- ドロップ: パケットはリモート側に通知されることなくドロップされます。
転送ルール
GCC601X(W) は、異なるグループおよびインターフェース (WAN/VLAN/VPN) 間のトラフィックを許可する機能を提供します。
転送ルールを追加するには、「ファイアウォール モジュール」→「ファイアウォール ポリシー」→「転送ルール」に移動し、「追加」ボタンをクリックして新しい転送ルールを追加するか、「編集」アイコンをクリックしてルールを編集します。
高度なNAT
NAT またはネットワーク アドレス変換は、その名前が示すように、プライベート アドレスまたは内部アドレスをパブリック IP アドレスに変換またはマッピングするか、またはその逆を行うもので、GCC601X(W) は両方をサポートしています。
- SNAT: ソース NAT は、クライアントの IP アドレス (プライベート アドレスまたは内部アドレス) をパブリック アドレスにマッピングすることを指します。
- DNAT: 宛先 NAT は SNAT の逆のプロセスであり、パケットは特定の内部アドレスにリダイレクトされます。
ファイアウォールの高度な NAT ページでは、送信元 NAT と宛先 NAT の設定を行うことができます。ファイアウォール モジュール → ファイアウォール ポリシー → 高度な NAT に移動します。
スナト
SNAT を追加するには、「追加」ボタンをクリックして新しい SNAT を追加するか、「編集」アイコンをクリックして以前に作成した SNAT を編集します。以下の図と表を参照してください。
SNAT エントリを作成または編集するときは、以下の表を参照してください。
DTA
DNAT を追加するには、「追加」ボタンをクリックして新しい DNAT を追加するか、「編集」アイコンをクリックして以前に作成した DNAT を編集します。以下の図と表を参照してください。
DNAT エントリを作成または編集するときは、以下の表を参照してください。
グローバルコンフィギュレーション
フラッシュ接続の再ロード
このオプションを有効にしてファイアウォール構成を変更すると、以前のファイアウォール ルールによって許可されていた既存の接続は終了します。
新しいファイアウォール ルールが以前に確立された接続を許可しない場合は、その接続は終了され、再接続できなくなります。このオプションを無効にすると、新しいルールでこの接続の確立が許可されない場合でも、既存の接続はタイムアウトするまで継続できます。
セキュリティ防衛
DoS防御
基本設定 – セキュリティ防御
サービス拒否攻撃は、大量のリクエストをターゲットマシンに送りつけてシステムを過負荷にしたり、クラッシュやシャットダウンさせたりすることで、正当なユーザーがネットワーク リソースを使用できないようにすることを目的とした攻撃です。
IP例外
このページでは、ユーザーは DoS 防御スキャンから除外する IP アドレスまたは IP 範囲を追加できます。IP アドレスまたは IP 範囲をリストに追加するには、以下に示すように「追加」ボタンをクリックします。
名前を指定し、ステータスをオンに切り替えてから、IP アドレスまたは IP 範囲を指定します。
スプーフィング防御
スプーフィング防御セクションでは、さまざまなスプーフィング手法に対する複数の対策を提供しています。ネットワークをスプーフィングから保護するには、次の対策を有効にして、トラフィックが傍受され、スプーフィングされるリスクを排除してください。GCC601X(W) デバイスは、IP 情報だけでなく ARP 情報のスプーフィングに対抗する対策を提供しています。
ARPスプーフィング防御
- 矛盾する送信元 MAC アドレスを持つ ARP 応答をブロックする: GCC デバイスは特定のパケットの宛先 MAC アドレスを検証し、応答がデバイスによって受信されると、送信元 MAC アドレスを検証してそれらが一致していることを確認します。一致しない場合、GCC デバイスはパケットを転送しません。
- 不一致な宛先 MAC アドレスを持つ ARP 応答をブロック: GCC601X(W) は、応答を受信すると送信元 MAC アドレスを検証します。デバイスは宛先 MAC アドレスを検証し、それらが一致していることを確認します。
- そうでない場合、デバイスはパケットを転送しません。
- VRRP MAC を ARP テーブルに含めることを拒否します: GCC601X(W) は、生成された仮想 MAC アドレスを ARP テーブルに含めることを拒否します。
マルウェア対策
このセクションでは、ユーザーはマルウェア対策を有効にし、署名ライブラリ情報を更新できます。
構成
マルウェア対策を有効にするには、ファイアウォール モジュール → マルウェア対策 → 構成に移動します。
マルウェア対策: オン/オフを切り替えてマルウェア対策を有効/無効にします。
注記:
HTTPをフィルタリングするには URL「SSLプロキシ」を有効にしてください。
スプーフィング防御
ARPスプーフィング防御
矛盾する送信元 MAC アドレスを持つ ARP 応答をブロックする: GCC デバイスは特定のパケットの宛先 MAC アドレスを検証し、応答がデバイスによって受信されると、送信元 MAC アドレスを検証してそれらが一致していることを確認します。一致しない場合、GCC デバイスはパケットを転送しません。
不一致な宛先 MAC アドレスを持つ ARP 応答をブロック: GCC601X(W) は、応答を受信すると送信元 MAC アドレスを検証します。デバイスは宛先 MAC アドレスを検証し、それらが一致していることを確認します。
そうでない場合、デバイスはパケットを転送しません。
VRRP MAC を ARP テーブルに含めることを拒否します: GCC601X(W) は、生成された仮想 MAC アドレスを ARP テーブルに含めることを拒否します。
マルウェア対策
このセクションでは、ユーザーはマルウェア対策を有効にし、署名ライブラリ情報を更新できます。
構成
マルウェア対策を有効にするには、ファイアウォール モジュール → マルウェア対策 → 構成に移動します。
マルウェア対策: オン/オフを切り替えてマルウェア対策を有効/無効にします。
データ パケット検査の深さ: 設定に従って各トラフィックのパケット コンテンツをチェックします。深さが深くなるほど、検出率が高くなり、CPU 消費量も高くなります。深さには、低、中、高の 3 つのレベルがあります。
圧縮スキャン Files: 圧縮されたファイルのスキャンをサポート files
オーバーでview このページでは、ユーザーは統計情報をチェックし、viewまた、以下に示すように設定アイコンをクリックして、このページから直接マルウェア対策を無効にすることもできます。
詳細についてはセキュリティログを確認することもできます。
ウイルスシグネチャライブラリ
このページでは、ユーザーはマルウェア対策シグネチャ ライブラリ情報を手動で更新したり、毎日更新したり、スケジュールを作成したりできます。下の図を参照してください。
注記:
デフォルトでは毎日ランダムな時点(00:00~6:00)で更新されます。
侵入防止
侵入防止システム (IPS) と侵入検知システム (IDS) は、ネットワーク トラフィックを監視して疑わしいアクティビティや不正アクセスの試みを検出するセキュリティ メカニズムです。IDS はネットワーク パケットとログを分析して潜在的なセキュリティ脅威を特定し、IPS は悪意のあるトラフィックをリアルタイムでブロックまたは軽減することでこれらの脅威を積極的に防止します。IPS と IDS を組み合わせることで、ネットワーク セキュリティに対する階層型アプローチが提供され、サイバー攻撃から保護し、機密情報を保護できます。ボットネットは、マルウェアに感染し、悪意のあるアクターによって制御される侵害されたコンピューターのネットワークであり、通常は大規模なサイバー攻撃や違法行為を実行するために使用されます。
侵入検知システム
基本設定 – IDS/IPS
このタブでは、ユーザーは IDS/IPS モード、セキュリティ保護レベルを選択できます。
IDS/IPS モード:
- 通知: トラフィックを検出し、ブロックせずにユーザーに通知するだけです。これは IDS (侵入検知システム) と同等です。
- 通知とブロック: トラフィックを検出またはブロックし、セキュリティ上の問題について通知します。これは IPS (侵入防止システム) と同等です。
- アクションなし: 通知も防止も行われず、この場合 IDS/IPS は無効になります。
セキュリティ保護レベル: 保護レベル (低、中、高、極めて高、カスタム) を選択します。保護レベルによって、対応する保護レベルが異なります。ユーザーは保護タイプをカスタマイズできます。保護レベルが高いほど、保護ルールが多くなり、カスタムでは、IDS/IPS で検出する対象をユーザーが選択できます。
カスタム セキュリティ保護レベルを選択し、リストから特定の脅威を選択することもできます。下の図を参照してください。
通知と実行されたアクションを確認するには、セキュリティ ログで、以下に示すようにドロップダウン リストから IDS/IPS を選択します。
IP例外
このリストの IP アドレスは IDS/IPS によって検出されません。リストに IP アドレスを追加するには、以下に示すように「追加」ボタンをクリックします。
名前を入力し、ステータスを有効にして、IP アドレスのタイプ (送信元または宛先) を選択します。IP アドレスを追加するには、「+」アイコンをクリックし、IP アドレスを削除するには、以下に示すように「–」アイコンをクリックします。
ボットネット
基本設定 – ボットネット
このページでは、ユーザーは送信ボットネット IP とボットネット ドメイン名を監視するための基本設定を構成できます。次の 3 つのオプションがあります。
モニター: アラームは生成されますが、ブロックされません。
ブロック: ボットネットにアクセスする送信 IP アドレス/ドメイン名を監視およびブロックします。
アクションなし: アウトバウンド ボットネットの IP アドレス/ドメイン名が検出されません。
IP/ドメイン名の例外
このリストの IP アドレスはボットネットでは検出されません。リストに IP アドレスを追加するには、以下に示すように「追加」ボタンをクリックします。
名前を入力し、ステータスを有効にします。IP アドレス/ドメイン名を追加するには、「+」アイコンをクリックし、IP アドレス/ドメイン名を削除するには、以下に示すように「–」アイコンをクリックします。
署名ライブラリ – ボットネット
このページでは、ユーザーは IDS/IPS およびボットネット署名ライブラリ情報を手動で更新したり、毎日更新したり、スケジュールを作成したりできます。下の図を参照してください。
注記:
デフォルトでは毎日ランダムな時点(00:00~6:00)で更新されます。
コンテンツコントロール
コンテンツコントロール機能は、DNSに基づいてトラフィックをフィルタリング(許可またはブロック)する機能をユーザーに提供します。 URL、キーワード、アプリケーション。
DNSフィルタリング
DNS に基づいてトラフィックをフィルタリングするには、ファイアウォール モジュール → コンテンツ コントロール → DNS フィルタリングに移動します。「追加」ボタンをクリックして、以下に示すように新しい DNS フィルタリングを追加します。
次に、DNS フィルターの名前を入力し、ステータスを有効にして、アクション (許可またはブロック) を選択します。フィルターされた DNS の場合、2 つのオプションがあります。
シンプル マッチ: ドメイン名は、複数レベルのドメイン名のマッチングをサポートします。
ワイルドカード: キーワードとワイルドカード*を入力できます。ワイルドカード*は入力したキーワードの前または後にのみ追加できます。例:amp例: *.imag、news*、*news*。真ん中の*は通常の文字として扱われます。
フィルタリングされたDNSを確認するには、ユーザーはOverで見つけるか、view ページまたはセキュリティ ログの下に次のように表示されます。
Web フィルタリング
基本設定 – Web フィルタリング
このページでは、ユーザーはグローバルを有効/無効にすることができます web フィルタリングを有効にするか無効にするかはユーザーが選択できます web URL フィルタリング、 URL カテゴリフィルタリングとキーワードフィルタリングを独立して行い、HTTPSをフィルタリングする URL「SSL プロキシ」を有効にしてください。
URL フィルタリング
URL フィルタリングにより、ユーザーはフィルタリングが可能 URL 単純な一致(ドメイン名またはIPアドレス)またはワイルドカード(例:*ex)を使用してアドレスを検索します。ample*)。
作成するには URL フィルタリングするには、ファイアウォールモジュール→コンテンツフィルタリング→に移動します。 Web フィルタリングページ → URL 「フィルタリング」タブをクリックし、以下に示すように「追加」ボタンをクリックします。
名前を指定してからステータスをオンに切り替え、アクション(許可、ブロック)を選択し、最後に URL 単純なドメイン名、IP アドレス (単純一致)、またはワイルドカードを使用します。以下の図を参照してください。
URL カテゴリフィルタリング
ユーザーは、特定のドメイン/IPアドレスやワイルドカードでフィルタリングするだけでなく、例えば、カテゴリでフィルタリングすることもできます。amp攻撃や脅迫、成人向けなど
カテゴリ全体をブロックまたは許可するには、行の最初のオプションをクリックし、[すべて許可] または [すべてブロック] を選択します。以下に示すように、サブカテゴリごとにブロック/許可することもできます。
キーワードフィルタリング
キーワードフィルタリングでは、正規表現またはワイルドカード(例:*ex)を使用してフィルタリングできます。ample*)。
キーワードフィルタリングを作成するには、ファイアウォールモジュール→コンテンツフィルタリング→ Web フィルタリング ページ → キーワード フィルタリング タブに移動し、以下に示すように「追加」ボタンをクリックします。
名前を指定し、ステータスをオンに切り替えて、アクション (許可、ブロック) を選択し、最後に正規表現またはワイルドカードを使用してフィルタリングされたコンテンツを指定します。下の図を参照してください。
キーワードフィルタリングがオンで、アクションがブロックに設定されている場合、ユーザーが例えばampブラウザで「YouTube」を開くと、以下に示すようにファイアウォールの警告が表示されます。
Exampブラウザでのキーワードフィルタリング
アラートの詳細については、ファイアウォール モジュール → セキュリティ ログに移動してください。
URL 署名ライブラリ
このページでは、ユーザーは Web 署名ライブラリ情報を手動でフィルタリングしたり、毎日更新したり、スケジュールを作成したりするには、次の図を参照してください。
注記:
デフォルトでは毎日ランダムな時点(00:00~6:00)で更新されます。
アプリケーションフィルタリング
基本設定 – アプリケーションフィルタリング
このページで、ユーザーはグローバル アプリケーション フィルタリングを有効/無効にすることができ、その後、アプリ カテゴリごとに有効または無効にすることができます。
ファイアウォール モジュール → コンテンツ コントロール → アプリケーション フィルタリングに移動し、基本設定タブでアプリケーション フィルタリングをグローバルに有効にします。より適切な分類のために AI 認識を有効にすることもできます。
注記:
AI 認識を有効にすると、アプリケーション分類の精度と信頼性を最適化するために AI ディープラーニング アルゴリズムが使用され、CPU とメモリのリソースがさらに消費される可能性があります。
アプリフィルタリングルール
「アプリ フィルタリング ルール」タブでは、ユーザーは以下に示すようにアプリ カテゴリ別に許可/ブロックできます。
フィルタリングルールを上書きする
アプリ カテゴリを選択した場合でも、ユーザーには、フィルタリング ルールのオーバーライド機能を使用して、一般的なルール (アプリ カテゴリ) をオーバーライドするオプションが引き続き提供されます。
例えばampたとえば、ブラウザ アプリ カテゴリがブロックに設定されている場合、Opera Mini を許可するオーバーライド フィルタリング ルールを追加できます。これにより、Opera Mini を除くブラウザ アプリ カテゴリ全体がブロックされます。
オーバーライド フィルタリング ルールを作成するには、以下に示すように「追加」ボタンをクリックします。
次に、名前を指定してステータスをオンに切り替え、アクションを許可またはブロックに設定し、最後にリストから許可またはブロックするアプリを選択します。下の図を参照してください。
署名ライブラリ – アプリケーションフィルタリング
このページでは、ユーザーはアプリケーション フィルタリング シグネチャ ライブラリ情報を手動で更新したり、毎日更新したり、スケジュールを作成したりできます。下の図を参照してください。
注記:
デフォルトでは毎日ランダムな時点(00:00~6:00)で更新されます。
SSLプロキシ
SSL プロキシは、SSL 暗号化を使用してクライアントとサーバー間のデータ転送を保護するサーバーです。透過的に動作し、検出されることなくデータの暗号化と復号化を行います。主に、インターネット上で機密情報を安全に配信することを保証します。
SSL プロキシが有効になっている場合、GCC601x(w) は接続されたクライアントの SSL プロキシ サーバーとして機能します。
基本設定 – SSL プロキシ
SSLプロキシなどの機能を有効にすると、 Web フィルタリング、またはマルウェア対策は、特定の種類の攻撃を検出するのに役立ちます。 webSQLインジェクションやクロスサイトスクリプティング(XSS)攻撃など、サイトを侵害する攻撃が数多くあります。これらの攻撃は、サイトから情報を傷つけたり盗んだりしようとするものです。 webサイト。
これらの機能がアクティブになると、セキュリティ ログの下にアラート ログが生成されます。
ただし、これらの機能を有効にすると、ユーザーがWebサイトを閲覧する際に証明書に関する警告が表示される場合があります。 webこれは、ブラウザが使用されている証明書を認識しないために発生します。これらの警告を回避するには、ユーザーはブラウザに証明書をインストールできます。証明書が信頼されていない場合、一部のアプリケーションはインターネットにアクセスする際に正しく動作しない可能性があります。
HTTPS フィルタリングの場合、ユーザーは、ファイアウォール モジュール → SSL プロキシ → 基本設定に移動し、ドロップダウン リストから CA 証明書を選択するか、「追加」ボタンをクリックして新しい CA 証明書を作成した後、SSL プロキシをオンに切り替えることで、SSL プロキシを有効にすることができます。以下の図と表を参照してください。
]
SSL プロキシを有効にするには、ユーザーは以下に示すようにダウンロード アイコンをクリックして CA 証明書を手動でダウンロードできます。
その後、信頼された証明書の下にある目的のデバイスに CA 証明書を追加できます。
送信元アドレス
送信元アドレスが指定されていない場合、すべての送信接続は自動的に SSL プロキシ経由でルーティングされます。ただし、新しい送信元アドレスを手動で追加すると、明示的に含まれているアドレスのみが SSL 経由でプロキシされ、ユーザー定義の基準に基づいて選択的な暗号化が保証されます。
SSL プロキシ免除リスト
SSLプロキシは、クライアントとサーバー間のSSL/TLS暗号化トラフィックを傍受して検査するものであり、企業ネットワーク内のセキュリティと監視の目的で一般的に行われます。ただし、特定のシナリオではSSLプロキシが望ましくない、または実用的ではない場合があります。 webサイトまたはドメイン。
免除リストでは、ユーザーはIPアドレス、ドメイン、IP範囲、 web SSL プロキシから除外されるカテゴリ。
「追加」ボタンをクリックして、以下に示すように SSL 免除を追加します。
「コンテンツ」オプションでは、ユーザーは以下に示すように「+ アイコン」ボタンをクリックしてコンテンツを追加したり、「- アイコン」をクリックしてコンテンツを削除したりできます。
セキュリティログ
ログ
このページには、ソース IP、ソース インターフェイス、攻撃の種類、アクション、時間などの多くの詳細とともにセキュリティ ログがリストされます。リストを更新するには「更新」ボタンをクリックし、リストをローカル マシンにダウンロードするには「エクスポート」ボタンをクリックします。
ユーザーは次の方法でログをフィルタリングすることもできます。
1. 時間
注記:
ログはデフォルトで 180 日間保持されます。ディスク容量がしきい値に達すると、セキュリティ ログは自動的にクリアされます。
2. 攻撃
ログエントリを次の基準で並べ替えます:
1. ソースIP
2. ソースインターフェイス
3. 攻撃タイプ
4. アクション
詳細については、上図のように「詳細」列の下にある「感嘆符アイコン」をクリックしてください。
セキュリティログ
ユーザーが「エクスポート」ボタンをクリックすると、Excel file ローカルマシンにダウンロードされます。下の図を参照してください。
電子メール通知
このページでは、ユーザーは電子メール アドレスを使用して、通知するセキュリティ脅威を選択できます。リストから通知する内容を選択します。
注記:
最初に電子メール設定を構成する必要があります。「電子メール設定」をクリックして電子メール通知を有効にして構成します。下の図を参照してください。
E
仕様:
- 製品モデル: GCC601X(W) ファイアウォール
- サポート: WAN、VLAN、VPN
- 機能: ルールポリシー、転送ルール、高度な NAT
よくある質問(FAQ)
Q: 保護統計をクリアするにはどうすればよいですか?
A: 「保護統計」の下の歯車アイコンにマウスを合わせてクリックすると、統計がクリアされます。
ドキュメント / リソース
 |
GRANDSTREAM GCC601X(W) ワンネットワークソリューションファイアウォール [pdf] ユーザーマニュアル GCC601X W、GCC601X W ワン ネットワーキング ソリューション ファイアウォール、GCC601X W、ワン ネットワーキング ソリューション ファイアウォール、ネットワーキング ソリューション ファイアウォール、ソリューション ファイアウォール、ファイアウォール |
