check point ngx smartdefense...

Check Point NGX SmartDefense保護機能

リファレンス・ガイド

NGX R60 以上

703073 2006 年 7 月

TM

© 2003-2007 Check Point Software Technologies Ltd.

All rights reserved. 本製品および関連ドキュメントは著作権法によって保護されており、その使用、複写、逆コンパイルを制限するライセンス契約に基づいて配布

されています。本製品または関連ドキュメントのいかなる部分も、チェック・ポイントの書面による事前承諾を得ない限り、いかなる形態や方法によっても複製

することはできません。本マニュアルを製作するにあたっては細心の注意が払われていますが、チェック・ポイントはいかなる誤りまたは欠落に対しても一切責

任を負いません。本マニュアルおよびその記述内容は、予告なく変更される場合があります。

権利の制限

米国政府による本製品の使用、複写、または開示は、DFARS（連邦国防調達規定）252.227-7013 および FAR（連邦調達規定）52.227-19 の技術データおよびコ

ンピュータ・ソフトウェアに関する権利条項（c）（1）（ii）により制限されます。

商標

2003-2007 Check Point Software Technologies Ltd. All rights reserved.Check Point、AlertAdvisor、Application Intelligence、Check Point Endpoint Security、CheckPoint Express、Check Point Express CI、Check Point のロゴ、ClusterXL、Confidence Indexing、ConnectControl、Connectra、Connectra Accelerator Card、CooperativeEnforcement、Cooperative Security Alliance、CoreXL、CoSa、DefenseNet、Dynamic Shielding Architecture、Eventia、Eventia Analyzer、Eventia Reporter、EventiaSuite、FireWall-1、FireWall-1 GX、FireWall-1 SecureServer、FloodGate-1、Hacker ID、Hybrid Detection Engine、IMsecure、INSPECT、INSPECT XL、Integrity、Integrity Clientless Security、Integrity SecureClient、InterSpect、IPS-1、IQ Engine、MailSafe、NG、NGX、Open Security Extension、OPSEC、OSFirewall、Pointsec、Pointsec Mobile、Pointsec PC、Pointsec Protector、Policy Lifecycle Management、Provider-1、PURE Security、puresecurity のロゴ、Safe@Home、Safe@Office、SecureClient、SecureClient Mobile、SecureKnowledge、SecurePlatform、SecurePlatform Pro、SecuRemote、SecureServer、SecureUpdate、SecureXL、SecureXLTurbocard、Security Management Portal、Sentivist, SiteManager-1、SmartCenter、SmartCenter Express、SmartCenter Power、SmartCenter Pro、SmartCenterUTM、SmartConsole、SmartDashboard、SmartDefense、SmartDefense Advisor、Smarter Security、SmartLSM、SmartMap、SmartPortal、SmartUpdate、SmartView、

SmartView Monitor、SmartView Reporter、SmartView Status、SmartViewTracker、SMP、SMP On-Demand、SofaWare、SSL Network Extender、Stateful Clustering、TrueVector、Turbocard、UAM、UserAuthority、User-to-Address Mapping、UTM-1、UTM-1 Edge、VPN-1、VPN-1 Accelerator Card、VPN-1 Edge、VPN-1 Express、VPN-1 Express CI、VPN-1 Power、VPN-1 Power VSX、VPN-1 Pro、VPN-1 SecureClient、VPN-1 SecuRemote、VPN-1 SecureServer、VPN-1 UTM、VPN-1 VSX、Web Intelligence、ZoneAlarm、ZoneAlarm Anti-Spyware、ZoneAlarm Antivirus、ZoneAlarm ForceField、ZoneAlarm Internet Security Suite、ZoneAlarm Pro、ZoneAlarmSecure Wireless Router、Zone Labs、および Zone Labs のロゴは、Check Point Software Technologies Ltd. あるいはその関連会社の商標または登録商標です。

ZoneAlarm is a Check Point Software Technologies, Inc. Company. 本書に記載されているその他の製品名は、各所有者の商標または商標登録です。本書に記載さ

れた製品は米国の特許 No. 5,606,668、5,835,726、5,987,611、6,496,935、6,873,988、6,850,943 および 7,165,076 により保護されています。また、その他の米

国における特許やその他の国における特許で保護されているか、出願中の可能性があります。

サード・パーティの商標および著作権については、以下の項を参照してください。サード・パーティの商標および著作権

目次 5

目次

序文本書の対象読者......................................................................................................... 10本書の内容................................................................................................................ 11関連ドキュメント ..................................................................................................... 12関連情報 ................................................................................................................... 14ドキュメントに関するご意見 ................................................................................... 15

第 1 章はじめに概要および目的......................................................................................................... 18

SmartDefense ..................................................................................................... 18Web Intelligence.................................................................................................. 19

最新版のマニュアルの入手方法 ............................................................................... 20本書の構成................................................................................................................ 21本書で使用されるステータス表示............................................................................ 22

第 2 章 Network Security 概要........................................................................................................................... 24Denial Of Service（サービス妨害攻撃）.................................................................... 25

Teardrop（ティアドロップ攻撃）........................................................................ 25Ping of Death（ピング・オブ・デス攻撃）.......................................................... 26LAND（ランド攻撃）........................................................................................... 27Non TCP Flooding（非 TCP フラッド攻撃）....................................................... 28

IP and ICMP（IP プロトコルと ICMP プロトコル）................................................. 29Packet Sanity（パケットの正当性）.................................................................... 29Max Ping Size（Ping の最大サイズ）.................................................................. 30IP Fragments（IP フラグメント）........................................................................ 31Network Quota（ネットワーク・クォータ）....................................................... 32Block Welchia ICMP（Welchia ワーム ICMP の遮断）........................................ 33Block CISCO IOS DOS（CISCO IOS に対するサービス妨害攻撃の遮断）........ 34Block Null Payload ICMP（Null ペイロード ICMP の遮断）................................ 35

TCP（TCP プロトコル）........................................................................................... 36SYN Attack Configuration（SYN 攻撃の設定）.................................................... 36Small PMTU（スモール PMTU 攻撃）................................................................. 37Spoofed Reset Protection（偽装 Reset 攻撃からの保護）.................................. 38Sequence Verifier（シーケンス・ベリファイア）............................................... 39

6

Fingerprint Scrambling（フィンガープリントのスクランブル）............................... 40ISN Spoofing（ISN スプーフィング）.................................................................. 40TTL（Time To Live）............................................................................................ 41IP ID .................................................................................................................... 42

Successive Events（不審なイベント）..................................................................... 43Address Spoofing（アドレス・スプーフィング）............................................... 43Denial of Service（サービス妨害攻撃）............................................................... 44Local Interface Spoofing（ローカル・インタフェース・スプーフィング）........ 45Successive Alerts（不審な警告）......................................................................... 46Successive Multiple Connections（不審な複数接続）......................................... 47

DShield Storm Center............................................................................................... 48Retrieve and Block Malicious IPs（悪質な IP の取得と遮断）............................. 48Report to DShield（DShield への報告）............................................................... 49

Port Scan（ポート・スキャン攻撃）......................................................................... 50Host Port Scan（ホスト・ポート・スキャン）.................................................... 50Sweep Scan（スイープ・スキャン）.................................................................. 51

Dynamic Ports（動的ポート）................................................................................... 52Block Data Connections to Low Ports（ロー・ポートへのデータ接続を遮断）.. 52

第 3 章 Application Intelligence 概要........................................................................................................................... 54Mail ........................................................................................................................... 55

POP3/IMAP Security（POP3/IMAP セキュリティ）............................................ 55Mail Security Server（メール・セキュリティ・サーバ）.................................... 56Block ASN.1 Bitstring Encoding Attack over SMTP（ASN.1 ビット文字列の

エンコードを悪用した SMTP 経由の攻撃を遮断）........................................... 57FTP（FTP プロトコル）............................................................................................ 58

FTP Bounce（FTP バウンス攻撃）...................................................................... 58FTP Security Server（FTP セキュリティ・サーバ）........................................... 59

Microsoft Networks（Microsoft ネットワーク）......................................................... 60File and Print Sharing（ファイルとプリンタ共有）............................................. 60Block Null CIFS Sessions（Null CIFS セッションの遮断）................................. 61Block Popup Messages（ポップアップ・メッセージの遮断）........................... 62Block ASN.1 Bitstring Encoding Attack（ASN.1 ビット文字列の

エンコードを悪用した攻撃を遮断）.................................................................. 63Block WINS Replication Attack（WINS レプリケーション攻撃の遮断）............. 64Block WINS Name Validation Attack（WINS 名の検証を悪用した

攻撃の遮断）...................................................................................................... 65Peer to Peer（ピア・ツー・ピア、P2P）................................................................. 66

Excluded Services/Network Objects（サービス / ネットワーク・

オブジェクトの除外）....................................................................................... 66ポート 80 番を使用するすべてのプロトコル...................................................... 67すべてのプロトコル ............................................................................................ 68

目次 7

Instant Messengers（インスタント・メッセンジャー、IM）................................... 69Excluded Services/Network Objects（サービス / ネットワーク・

オブジェクトの除外）....................................................................................... 69MSN Messenger over SIP（SIP 上の MSN メッセンジャー）............................. 70MSN Messenger over MSNMS（MSNMS 上の MSN メッセンジャー）............. 71Skype .................................................................................................................. 72Yahoo! Messenger .............................................................................................. 73ICQ ...................................................................................................................... 74

DNS（DNS プロトコル）.......................................................................................... 75Protocol Enforcement – TCP（TCP 上の DNS プロトコルの検査）.................... 75Protocol Enforcement – UDP（UDP 上の DNS プロトコルの検査）................... 76Domain Block List（遮断するドメインのリスト）............................................... 77Cache Poisoning Protections（キャッシュ・ポイズニング攻撃からの保護）.... 78Resource Records Enforcements（リソース・レコードの制限）....................... 79

VoIP（VoIP プロトコル）.......................................................................................... 80DOS Protection（DOS 攻撃からの保護）............................................................ 80H323.................................................................................................................... 81SIP....................................................................................................................... 82MGCP（特定コマンドの許可）............................................................................ 86SCCP（Skinny）.................................................................................................. 87

SNMP（SNMP プロトコル）..................................................................................... 88Allow Only SNMPv3 Traffic（SNMPv3 のトラフィックのみ許可）..................... 88Drop Requests with Default Community Strings for SNMPv1 and SNMPv2（SNMPv1 と SNMPv2 のデフォルトのコミュニティ文字列を

使用する要求を破棄）....................................................................................... 89VPN Protocols（VPN プロトコル）........................................................................... 90

PPTP Enforcement（PPTP プロトコル標準の厳密適用）................................... 90SSL Enforcement（SSL 標準の厳密適用）.......................................................... 91Block IKE Aggressive Exchange（IKE アグレッシブ・モードによる

鍵交換を遮断）.................................................................................................. 92IKE Enforcement（IKE 標準の厳密適用）............................................................ 93SSH – Detect SSH over Non-Standard Ports（SSH – 非標準ポートを使用する

SSH の検出）..................................................................................................... 94SSH Enforcement（SSH プロトコル標準の厳密適用）....................................... 95

Content Protection（コンテンツの保護）.................................................................. 96Malformed JPEG（不正な JPEG ファイル）....................................................... 96Malformed ANI File（不正な ANI ファイル）....................................................... 97

MS-RPC（MS-RPC プロトコル）............................................................................. 98DCOM – Allow DCE-RPC interfaces other than End-Point Mapper on

Port 135（ポート 135 番上でエンドポイント・マッパー以外の

DCE-RPC インタフェースを許可）................................................................... 98Drop Unauthenticated DCOM（未認証の DCOM を破棄）.................................. 99MS-RPC Program Lookup（MS-RPC のプログラム・ルックアップ）............... 99

8

MS-SQL（MS SQL プロトコル）............................................................................ 100MS-SQL Monitor Protocol（MS SQL Monitor プロトコル）............................... 100MS-SQL Server Protocol（MS SQL Server プロトコル）................................. 101

Routing Protocols（ルーティング・プロトコル）................................................... 102OSPF................................................................................................................. 102BGP – Block non-MD5 authenticated BGP connections（BGP – MD5 で認証されていない BGP 接続を遮断）.................................... 103RIP（RIP プロトコル）...................................................................................... 104IGMP（IGMP プロトコル）................................................................................ 105

SUN-RPC（SUN-RPC プロトコル）....................................................................... 106SUN-RPC Program Lookup（SUN-RPC プログラム・ルックアップ）............. 106

DHCP（DHCP プロトコル）................................................................................... 107SOCKS（SOCKS プロトコル）.............................................................................. 108

第 4 章 Web Intelligence 概要......................................................................................................................... 110Malicious Code（悪質なコード）............................................................................ 111

General HTTP Worm Catcher（HTTP ワーム全般の捕捉）............................... 111Malicious Code Protector .................................................................................. 112

Application Layer（アプリケーション層）.............................................................. 113Cross Site Scripting（クロス・サイト・スクリプティング）............................ 113LDAP Injection（LDAP インジェクション攻撃）............................................... 114SQL Injection（SQL インジェクション攻撃）................................................... 115Command Injection（コマンド・インジェクション）....................................... 116Directory Traversal（ディレクトリ・トラバーサル）........................................ 117

Information Disclosure（情報公開）........................................................................ 118Header Spoofing（ヘッダ・スプーフィンング）............................................... 118Directory Listing（ディレクトリ・リスト）....................................................... 119Error Concealment（エラーの秘匿）................................................................. 120

HTTP Protocol Inspection（HTTP プロトコル・インスペクション）..................... 121HTTP Format Sizes（HTTP フォーマット・サイズ）....................................... 121ASCII Only Request（要求を ASCII 文字に限定）............................................. 124ASCII Only Response Headers（応答ヘッダを ASCII 文字に限定）................. 125Header Rejection（特定のヘッダを遮断）......................................................... 126HTTP Methods（HTTP メソッド）.................................................................... 127Block HTTP on Non-Standard Port（非標準ポートを使用する

HTTP を遮断）................................................................................................. 128Block Malicious HTTP Encodings（悪質な HTTP エンコードの遮断）............. 129

索引 ................................................................. 137

9

序文序文

この章の構成

本書の対象読者 10ページ

本書の内容 11ページ

関連ドキュメント 12ページ

関連情報 14ページ

ドキュメントに関するご意見 15ページ

本書の対象読者

10

本書の対象読者本書は、ポリシー管理やユーザ・サポートなど、企業内でネットワーク・セキュリティの保守を担

当する管理者を対象にしています。

本書では、以下の基本事項を理解していることを前提にしています。

• システム管理

• 基本オペレーティング・システム

• インターネット・プロトコル（IP、TCP、UDPなど）

本書の内容

序文 11

本書の内容本書は以下の各章で構成されています。

章説明

第1章「はじめに」システム管理者向けに、旧リリースにポリシーを

インストールする場合に各保護機能で予測される動作

（下位互換性）について説明します。

第2章「Network Security」 Network Securityの各保護機能について説明します。

第3章「Application Intelligence」 Application Intelligenceの各保護機能について説明します。

第4章「Web Intelligence」 Web Intelligenceの各保護機能について説明します。

関連ドキュメント

12

関連ドキュメントこのリリースには、以下のマニュアルが含まれます。

表 P-1 VPN-1 Power Suite のマニュアル

タイトル説明

Internet Security Product Suite導入の

手引き

NGX R65の概要および製品のインストールとアップグレードの手順に

ついて説明しています。また、新機能、ライセンス、ハードウェアと

ソフトウェアの最小要件などについても説明しています。

アップグレード・

ガイド

VPN-1/FireWall-1 NG以降のチェック・ポイント製品で利用できるすべ

てのアップグレード・パスについて説明しています。このガイドでは

特に、NGX R65へのアップグレードに重点を置いています。

SmartCenter SmartCenter管理ソリューションについて説明しています。このガイ

ドでは、ネットワークの境界、ネットワーク内部、あらゆるユーザの

エンド・ポイントでのセキュリティ導入の設定、管理および監視を制

御するためのソリューションを紹介しています。

ファイアウォールとSmartDefense

ネットワーク・アクセスの制御と保護、ネットワーク接続の確立、

SmartDefenseを使用したネットワークおよびアプリケーション・レベ

ルの攻撃に対する防御、Web Intelligenceを使用したWebサーバとアプ

リケーションの保護、および統合Webセキュリティ機能について取り

上げます。さらに、ウイルス対策用のCVP（コンテンツ・ベクトリン

グ・プロトコル）アプリケーション、Webサイトへのアクセスを制限

するためのURL フィルタリング（UFP）アプリケーションの使用方法、

およびVoIPトラフィックを保護する方法について説明しています。

バーチャル・プライ

ベート・ネットワーク

このガイドでは、VPNの基本的なコンポーネントについて説明し、VPNインフラストラクチャを構成する技術に関する基本情報を提供します。

Eventia Reporter トラフィックを監視および監査する方法、チェック・ポイントVPN-1Power、SecureClient、およびSmartDefenseによって記録されたすべて

のイベントの詳細レポートや要約レポートを、選択した形式（リスト、

棒グラフ、円グラフなど）を使用して生成する方法について説明して

います。

SecurePlatform™/SecurePlatform Pro

SecurePlatformのインストールと設定の方法について説明しています。

また、SecurePlatformの管理方法とダイナミック・ルーティング（ユ

ニキャストおよびマルチキャスト）プロトコルについても説明してい

ます。

Provider-1/SiteManager-1

Provider-1/SiteManager-1セキュリティ管理ソリューションについて

説明しています。このガイドでは、3層のマルチポリシー管理アーキテ

クチャ、およびネットワーク・オペレーティング・センター環境に共

通して見られる、時間のかかる繰り返し作業を自動化するためのネッ

トワーク・オペレーティング・センター指向の機能のホストについて

詳しく説明します。

関連ドキュメント

序文 13

表 P-2 Integrity サーバのマニュアル

タイトル説明

インストール・ガイド： Integrity Advanced Serverのインストール、設定、および

保守

Integrity Advanced Serverのインストール、設定、および

保守の方法について説明しています。

管理者ガイド： Using Integrity Advanced Server

画面ごとのユーザ・インタフェース要素の説明と関連する章

への相互参照を紹介しています。ヘルプ・システムの使い方

も含めた管理コンソールの操作の概要を説明します。

Integrity Advanced Server Administrator Guide

Integrity Advanced Serverで管理者およびエンドポイントの

セキュリティを管理する方法を説明しています。 Integrity Advanced Server Gateway Integration Guide

VPN（バーチャル・プライベート・ネットワーク）ゲートウェ

イ・デバイスを Integrity Advanced Serverと統合する方法に

ついて説明しています。また、統合SecureClient/Integrityクラ

イアント・パッケージの導入方法についても説明しています。

System Requirements: Integrity Advanced Server

クライアントとサーバの要件について説明します。

Installation and Administration Guide: Installing and using Integrity Agent for Linux

Integrity Agent for Linuxのインストールと設定の方法につい

て説明しています。

Integrity XML Policy Reference Guide

IntegrityクライアントのXMLポリシー・ファイルの内容につ

いて説明しています。

Integrity Client Management Guide

コマンド・ライン・パラメータを使用して、Integrityクライア

ントのインストーラの動作およびインストール後の動作を制

御する方法を説明しています。

関連情報

14

関連情報• チェック・ポイント製品の詳細な技術情報については、弊社のナレッジ・ベース

SecureKnowledge（https://secureknowledge.checkpoint.com/）を参照してください。

• 本書の最新版については、ユーザ・センター

http://www.checkpoint.com/support/technical/documentsを参照してください。

https://secureknowledge.checkpoint.com/

https://secureknowledge.checkpoint.com/

http://www.checkpoint.com/support/technical/documents

ドキュメントに関するご意見

序文 15

ドキュメントに関するご意見チェック・ポイントは継続的にドキュメントの改善に努めています。ご意見やご要望がありましたら、

遠慮なく以下の宛先までお送りください。

[email protected]

mailto:[email protected]?subject=Check Point User Guide feedback

ドキュメントに関するご意見

16

17

第章1はじめに

この章の構成

概要および目的 18ページ

最新版のマニュアルの入手方法 20ページ

本書の構成 21ページ

本書で使用されるステータス表示 22ページ

概要および目的

18

概要および目的本書は、いくつかの章とセクションで構成されており、NGX（R60）SmartDefense およびWebIntelligenceの保護機能と以下の旧バージョンの製品との連動について、概要を説明しています。

• NG FP3

• NG With Application Intelligence（R54）

• NG With Application Intelligence（R55）（R55Pを含む）

• NG With Application Intelligence（R55W）

本書の目的は、システム管理者向けに、旧リリースにポリシーをインストールする場合に各保護機

能で予測される動作（下位互換性）を説明することにあります。

SmartDefenseとWeb Intelligenceの保護機能を完全に理解するには、ご自身でNGX（R60）の動

作に慣れることをお勧めします。動作に慣れるには、『CheckPoint R65 ファイアウォールと

SmartDefense』を参照してください。

SmartDefenseチェック・ポイントのSmartDefenseは、攻撃の検出と防御を行うさまざまなコンポーネントに対

する統一セキュリティ・フレームワークを提供します。 SmartDefenseは、セキュリティ・ルール・

ベースで明示的に保護が定義されていない場合でも、能動的にネットワークを保護します。

SmartDefenseはネットワーク内の活動を妨げることなく動作を分析し、潜在的な脅威となるイベ

ントを追跡して必要に応じて通知を送信します。 SmartDefenseはインテリジェントなセキュリ

ティ技術を使用して、すべての既知のネットワーク攻撃および未知のさまざまな攻撃から組織を守

ります。

最新の防御手段を実施するために最新の技術的知識は必要ありません。ワン・クリックで、

SmartDefenseのWebサイトから最新の防御手段をすべて入手できます。

SmartDefenseのコンソールでは、以下を実行できます。

• 防御する攻撃を選択し、その攻撃の詳細情報を表示する。

• 攻撃ごとに、ログ・オプションなどのパラメータを簡単に設定する。

• 攻撃の情報をリアルタイムに受信し、新しい機能をSmartDefenseで更新する。

Web Intelligence

第 1 章はじめに 19

Web Intelligenceチェック・ポイントのWeb Intelligenceを使用すると、Webサーバやアプリケーションの攻撃保護

機能を設定、実施、および更新できます。 Web Intelligenceの保護機能は、Webベースの攻撃に対

して特別に設計されており、SmartDefenseが提供するネットワーク・レベルとアプリケーション・

レベルの保護機能を補完します。さらに、Web Intelligenceアドバイザリでは、Web Intelligenceお

よび新しい攻撃に対する事前防御に関する情報をオンラインで提供しています。

Web Intelligenceは、Webサーバ自体への攻撃からWebアプリケーションが使用するデータベース

への攻撃にいたるまで、既知の攻撃を幅広く防御します。さらに、インテリジェント・セキュリ

ティ技術を採用することにより、新種および未知のさまざまな攻撃も防御します。

Webファイアウォールや旧来の侵入防止システムとは異なり、Web Intelligenceは外部の攻撃から

Webを能動的に保護します。クライアントとWebサーバ間の通信が、公開されている標準のセキュ

リティ対策に準拠していることを確認し、攻撃者が不適切なシステム・コマンドを実行できないよ

うにします。さらに、Webサーバへのトラフィックを調べて、悪質なコードが含まれていないかど

うかを確認します。 Web Intelligenceを使用すると、セキュリティやパフォーマンスを低下させず

にWebサーバとWebアプリケーションへのアクセスを許可することができます。

最新版のマニュアルの入手方法

20

最新版のマニュアルの入手方法SmartDefenseとWeb Intelligenceの保護機能は継続的に更新されています。したがって、このマニュアル

の最新オンラインバージョンはユーザ・センターhttp://www.checkpoint.com/support/technical/documentsで入手してください。その他の情報については、チェック・ポイントのパートナーにお問い合わせ

ください。

http://www.checkpoint.com/support/technical/documents

本書の構成

第 1 章はじめに 21

本書の構成本書はいくつかの章に分かれています。

第2章「Network Security」では、ネットワーク・レベルおよびトランスポート・レベルでの攻撃

に対する防御を可能にする、ネットワーク・セキュリティ保護の概要を説明します。

第3章「Application Intelligence」では、SmartDefenseのApplication Intelligence機能を使用して、

アプリケーション層でのさまざまな保護を可能にするApplication Intelligenceの保護機能の概要を

説明します。

第4章「Web Intelligence」では、Webサーバおよびアプリケーションに対する高性能な攻撃防御

機能について説明します。このアドオンは、悪質なコードを探し、プロトコルとセキュリティの推

奨手順を確実に実行することで、能動的に攻撃防御を行います。

本書で使用されるステータス表示

22

本書で使用されるステータス表示本書では、特定のシナリオにおける各保護機能の条件をステータスで表しています。ステータスは

以下のとおりです。

• オン

保護機能がデフォルトでオンであることを示しています。ただし、保護オプション内では

デフォルトでオン /オフになる場合があります。

• オフ

保護機能がデフォルトでオフであることを示しています。

• 同じ

保護機能の動作がNGX（R60）と同じであることを示しています。

• 常にオン

NGX（R60）でオフに設定していても、このリリースのモジュールでは保護機能をオフにでき

ないことを示しています。

• 保護を実施

保護機能が有効であることを示しています。

• *保護を実施

保護機能が有効ではあるが、この保護機能はR55のリリース時にはなかったことを示してい

ます。この保護機能を有効にする前に、SmartDashboardを更新する必要があります。

• 保護を非実施

保護機能が有効でないことを示しています。

• 許可

すべてのコマンドが許可されていることを示しています。

• N/A

該当しないことを示しています。

23

第章2Network Security

この章の構成

概要 24ページ

Denial Of Service（サービス妨害攻撃） 25ページ

IP and ICMP（IPプロトコルと ICMPプロトコル） 29ページ

TCP（TCPプロトコル） 36ページ

Fingerprint Scrambling（フィンガープリントのスクランブル） 40ページ

Successive Events（不審なイベント） 43ページ

DShield Storm Center 48ページ

Port Scan（ポート・スキャン攻撃） 50ページ

Dynamic Ports（動的ポート） 52ページ

概要

24

概要Application Intelligenceは、主にアプリケーション・レベルの防御に使用されます。しかし現実に

は、ネットワーク・アプリケーションを標的とする多くの攻撃は、実際にはネットワーク層とトラ

ンスポート層を標的にしています。

ハッカーはアプリケーション層にアクセスするための手段としてこれらの低レベル層を狙い、最終

的にはアプリケーションとデータ自体を標的とします。また、低レベル層を標的とすることで、正

規のユーザやアプリケーションがサービスを利用するのを妨げたり拒否させたりできます（DoS攻

撃など）。これらの理由から、SmartDefenseではアプリケーション層だけでなく、ネットワーク層

とトランスポート層の問題にも対処します。

ネットワーク層のプロトコル（IP、ICMPなど）に対する不正操作を防ぐことは、多層セキュリ

ティ・ゲートウェイにおいて必要不可欠です。ネットワーク層への攻撃では、インターネット・プ

ロトコル（IP）が最も一般的に利用されます。

ネットワーク層と同様にトランスポート層のプロトコル（TCP、UDP）も、アプリケーションと

データを攻撃するためのアクセス・ポイントとして頻繁に使用されます。

以下のページでは、NGX（R60）より前のバージョンからネットワーク・レベルとトランスポート・

レベルでの攻撃に対する各種のSmartDefense保護機能を設定するのに役立つ情報を紹介します。

これらの情報を利用して、ネットワーク・コンポーネントやファイアウォールへの直接の攻撃に対

する保護機能を設定できます。

IP、TCP、UDPまたは ICMPネットワーク・プロトコルを対象とするこれらの攻撃の影響は、単に

組織内で使用されているオペレーティング・システムを識別することから、ネットワーク上のホス

トとサーバに対するサービス妨害攻撃にまで至ります。

Denial Of Service（サービス妨害攻撃）

第 2 章 Network Security 25

Denial Of Service（サービス妨害攻撃）サービス妨害攻撃（DoS攻撃）は、サービスの正常な動作を妨害することを目的としています。このタイプの攻撃は、オペレーティング・システムの脆弱性を悪用し、リモートからマシンの異常終

了を引き起こします。

SmartDefenseによって生成されるログにより攻撃を検出できます。これらのログは攻撃別に生成

できます。

Teardrop（ティアドロップ攻撃）

ティアドロップ攻撃は、2つ目以降のフラグメントに不正なオフセット値を含む大きなパケットの

フラグメンテーションを利用しようとする攻撃です。この保護機能を選択することにより、ティア

ドロップ攻撃が遮断されます。

このチェックボックスをオンにしていない場合でも、ティアドロップ攻撃は遮断され、［Virtualdefragmentation error: Overlapping fragments］としてログに記録されます。

表 2-1

デフォルトの設定：オン

保護機能により生成されるログ： Teardrop attack detected

NGXのパフォーマンスへの影響：なし

表 2-2

NG FP3 ～ R55 R55W

NGX（R60）管理サー

バから保護機能を

オンにした場合の

動作

NGX（R60）管理サー

バから保護機能を

Monitor-Onlyにした

場合の動作

NGX（R60）管理

サーバから保護機

能をオンにした場

合の動作

NGX（R60）管理

サーバから保護機能を


場合の動作

同じ N/A 同じ N/A

Ping of Death（ピング・オブ・デス攻撃）

26

Ping of Death（ピング・オブ・デス攻撃）

ピング・オブ・デス攻撃は、64 KBを超えるIPパケットをネットワークに送信しようとする攻撃です。

この保護機能を選択することにより、ピング・オブ・デス攻撃が遮断されます。

このチェックボックスをオンにしていない場合でも、ピング・オブ・デス攻撃は遮断され、［Virtualdefragmentation error: Packet too big］としてログに記録されます。

表 2-3


保護機能により生成されるログ： Ping of Death


表 2-4

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理


能をオンにした

場合の動作

NGX（R60）管理



場合の動作


LAND（ランド攻撃）


LAND（ランド攻撃）

この保護機能により、ランド攻撃を遮断できます。ランド攻撃は、同じ発信元ホスト /ポートで

コンピュータにパケットを送信しようとする攻撃です。

この保護機能を選択することにより、ランド攻撃が遮断されます。

この保護機能が有効な場合は、ランド攻撃を仕掛けるパケットは遮断されます。

表 2-5


保護機能により生成されるログ： Land Attack


表 2-6

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作

同じ保護を非実施同じ同じ

Non TCP Flooding（非 TCP フラッド攻撃）

28

Non TCP Flooding（非 TCP フラッド攻撃）

この保護機能を使用すると、開いている非TCP接続の割合を制限することにより非TCPフラッド

攻撃を遮断できます。しきい値を設定することにより、SmartDefenseは非TCP接続に指定した割

合以上の帯域が使用されるのを防ぎます。

さらに、このしきい値を超える非TCP接続を追跡できます。

表 2-7

デフォルトの設定：オフ

保護機能により生成されるログ： NGXのパフォーマンスへの影響：アクセラレーションが有効

表 2-8

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作

保護を非実施保護を非実施同じ N/A

IP and ICMP（IP プロトコルと ICMP プロトコル）


IP and ICMP（IP プロトコルと ICMP プロトコル）このセクションで説明する保護機能により、第3層の総合的なシーケンス・チェック（IPプロトコル

と ICMPプロトコル）および第4層の検査（UDP、TCP、および IPのオプションの正当性検査）を

実行できます。

Packet Sanity（パケットの正当性）

この保護機能は、第3層と第4層で幾つかの正当性検査を行います。たとえば、パケット・サイズ

やUDP、TCPのヘッダ長を確認したり、IPのオプションを一部制限したり、TCPフラグを検証し

たりできます。

また、検査でパケットに異常が発見された場合に、その事実をログに記録するかどうかも設定でき

ます。

Monitor-Onlyモードを使用すると、正当でないトラフィックを遮断せずに追跡できます。ただし、

Monitor-Onlyモードに設定すると、フラグメント化されたパケットがフィルタ処理されずに通過し

ます。フラグメント化されたパケットに何らかの攻撃が潜んでいる恐れがあるため、この設定は

ネットワークを攻撃にさらすことになります。

Monitor-Onlyモードではパケットの正当性はオフになっていますが、以下の正当性検査は依然とし

て実行され、該当する場合、これらのパケットは破棄されます。

– 無効なUDP長を持つUDPパケット

– ヘッダが破損しているTCPパケット

これらの場合はいずれも、SmartDefenseログが生成されます。

表 2-9


保護機能により生成されるログ： NGXのパフォーマンスへの影響：アクセラレーションが有効

表 2-10

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作

常にオン保護を実施常にオン常にオン

Max Ping Size（Ping の最大サイズ）

30

Max Ping Size（Ping の最大サイズ）

この保護機能により、ICMPエコー・リクエストの最大許容データ・サイズを制限できます。リク

エストが不正な形式になる「ピング・オブ・デス攻撃」と混同しないでください。

表 2-11


保護機能により生成されるログ： NGXのパフォーマンスへの影響：なし

表 2-12

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作


IP Fragments（IP フラグメント）


IP Fragments（IP フラグメント）

この保護機能により、フラグメント化された IPパケットに対してSmartDefenseゲートウェイを通

過させるかどうかを設定できます。許可されるフラグメント化されたパケット（不完全なパケット）

の数に制限を設定することが可能です。

また、構成されていないパケットを保持するタイムアウトを設定できます。

表 2-13

デフォルトの設定：許可

保護機能により生成されるログ： NGXのパフォーマンスへの影響：フラグメントをファイアウォールに転送（フラグ

メント化されていないトラフィックは影響なし）

表 2-14

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作


Network Quota（ネットワーク・クォータ）

32

Network Quota（ネットワーク・クォータ）

ネットワーク・クォータは、同じ発信元 IPから確立できる接続数を制限することで、DoS攻撃を遮

断します。

特定の発信元からの接続が許可された接続数を超えると、ネットワーク・クォータはその発信元か

らの新たな接続をすべて遮断するか、イベントを記録します。

表 2-15


保護機能により生成されるログ： Network Quota

NGXのパフォーマンスへの影響：テンプレートが無効

表 2-16

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作

同じ同じ同じ同じ

注： R55W のネットワーク・クォータ保護機能では、［Monitor Only］は［Only track the event］と呼ばれていました。

Block Welchia ICMP（Welchia ワーム ICMP の遮断）


Block Welchia ICMP（Welchia ワーム ICMP の遮断）

この保護機能が有効な場合、SmartDefenseはWelchiaワーム固有のPingパケットを識別して、

破棄します。

表 2-17


保護機能により生成されるログ： Welchia/Nachi Worm ICMP Packet Detected

NGXのパフォーマンスへの影響：なし（ICMPのアクセラレーションが無効）

表 2-18

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作


Block CISCO IOS DOS（CISCO IOS に対するサービス妨害攻撃の遮断）

34

Block CISCO IOS DOS（CISCO IOS に対するサービス妨害攻撃の遮断）

この保護機能により、CISCO IOSに対するサービス妨害攻撃から保護するプロトコルを設定でき

ます。また、実施モジュールから何ホップ先のCiscoルータまで保護するのかも指定できます。

表 2-19


保護機能により生成されるログ： Cisco IOS Enforcement Violation


表 2-20

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作


Block Null Payload ICMP（Null ペイロード ICMP の遮断）


Block Null Payload ICMP（Null ペイロード ICMP の遮断）

この保護機能が有効な場合、SmartDefenseはNullペイロードのPingパケットを識別して、破棄し

ます。

VPN-1 NG AI（R55）では、SmartView Trackerを使用して、ルール番号99501のDropログ・エン

トリで識別します。

表 2-21


保護機能により生成されるログ： Null Payload Echo Request


表 2-22

NG FP3 ～ R55 R55W

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作


TCP（TCP プロトコル）

36

TCP（TCP プロトコル）このセクションで説明する保護機能により、包括的なTCPプロトコルの検査を設定できます。

SYN Attack Configuration（SYN 攻撃の設定）

この保護機能により、SYN攻撃を検出してネットワークを保護する方法を設定できます。 1箇所

(SmartDefense)でSYN攻撃に対する保護（SmartDefenseによる保護）を有効にし、すべてのモ

ジュール（ゲートウェイ）に対する保護パラメータを一括で指定するか、または現在の個々のゲー

トウェイに対して以前のSYNDefender（SYN攻撃）の設定を有効にするかを選択できます。

SYN攻撃に対する保護は、モジュールごとに個別に設定できます。このページでモジュール固有の

設定を無効にすることが可能です。

表 2-23


保護機能により生成されるログ： NGXのパフォーマンスへの影響： TCPセッションのアクセラレーションが無効

（テンプレートが無効） Relayモード - セッション・

ハンドシェイクをFWに転送

表 2-24

NG FP3 ～ R55 R55W

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作

同じ保護を実施同じ同じ

Small PMTU（スモール PMTU 攻撃）


Small PMTU（スモール PMTU 攻撃）

この保護機能は、設定オプション［Minimal MTU size］で許可されるパケット・サイズを制御しま

す。極端に小さな値では攻撃は防御されず、また不必要に大きな値では正当なリクエストが破棄さ

れて「ブラック・ホール」効果が生じ、パフォーマンスが低下する恐れがあります。

表 2-25


保護機能により生成されるログ： NGXのパフォーマンスへの影響：なし（アクセラレーションが有効）

表 2-26

NG FP3 ～ R55 R55W

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作


Spoofed Reset Protection（偽装 Reset 攻撃からの保護）

38

Spoofed Reset Protection（偽装 Reset 攻撃からの保護）

この保護機能により、あらかじめ設定した期間について接続ごとに許可されるRSTパケットの数に

しきい値が設定されます。

指定したサービスをこの保護から除外することが可能です。 HTTPのように比較的短いセッション

を特徴とするサービスはこの攻撃の影響を受けないため、パフォーマンス上の理由から、これらの

サービスをこの保護から除外することをお勧めします。

表 2-27


保護機能により生成されるログ： NGXのパフォーマンスへの影響： RSTパケットをファイアウォールに転送

表 2-28

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

保護を非実施保護を非実施保護を非実施保護を非実施

Sequence Verifier（シーケンス・ベリファイア）


Sequence Verifier（シーケンス・ベリファイア）

シーケンス・ベリファイアは、TCPパケットの現在のシーケンス番号とTCPの接続状態をマッチ

ングさせるシーケンス検証機能です。 TCPセッションにおいて、既存の接続には一致するがシーケ

ンス番号が正しくないパケットは、パケットのシーケンスがセキュリティを損なう恐れがある場合

に破棄されるかデータが取り除かれます。

この保護機能により、適切な追跡オプションを選択し、追跡するシーケンス外パケットのタイプを

定義できます。

表 2-29



表 2-30

NG FP3 ～ R55 R55W

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

同じ保護を非実施同じ保護を非実施

Fingerprint Scrambling（フィンガープリントのスクランブル）

40

Fingerprint Scrambling（フィンガープリントのスクランブル）

SmartDefense では、フィンガープリンティングで一般的に使用されるフィールドの一部をスクラ

ンブルし、ファイアウォール背後のホストのオリジナル識別情報を秘匿できます。ただし、フィン

ガープリンティングを完全に防ぐことはほぼ不可能です。また、この機能によりファイアウォール

で保護されたホストのフィンガープリンティングは困難になりますが、そこにファイアウォールが

あるという事実を隠すわけではありません（つまり、ファイアウォールの存在をフィンガープリン

ティングすることは依然として可能です）。

この保護機能により、暗号化されていない（プレーンな）接続、暗号化された接続（VPN接続また

はHTTPS接続）、またはその両方に対してフィンガープリントをスプーフィングすることを選択で

きます。

ISN Spoofing（ISN スプーフィング）

ISNスクランブラは、サーバが使用するシーケンス番号とクライアントが認識するシーケンス番号

に違いを生じさせることにより、この攻撃に対抗します。この番号の違いは、暗号化機能により高

いエントロピーを持つため、サーバの ISNの推測が事実上不可能になります。実際のサーバのエン

トロピーが、ISNスクランブラで選択されているエントロピーよりも高い場合は、高いほうのエン

トロピーがクライアントに送信されます。

表 2-31


保護機能により生成されるログ： NGXのパフォーマンスへの影響： TCPトラフィックのアクセラレーションが無効

表 2-32

NG FP3 ～ R55 R55W

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作


TTL（Time To Live）


TTL（Time To Live）この保護機能により、TTLの使用を有効または無効にし、パケットをTTLパケットとして識別する

方法を定義します。

すべてのパケット（またはすべての送信パケット）のTTLフィールドを指定した番号に変更できま

す。これにより、リスナはホストのルータ（ホップ）の数を知ることができず、元のTTL値を知る

こともできなくなります。

表 2-33



表 2-34

NG FP3 ～ R55 R55W

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作


IP ID

42

IP IDこの保護機能では、元の IP IDを無効にして、代わりにファイアウォールが生成した IDに設定する

ことができるため、元のオペレーティング・システムで使用されるアルゴリズムをマスキングし、

オペレーティング・システムの IDを隠すことができます。多くのオペレーティング・システムで使

用されているRandom、Incremental、および Incremental LE（リトル・エンディアン）の3種類の

アルゴリズムを使用できます。

表 2-35



表 2-36

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作


Successive Events（不審なイベント）


Successive Events（不審なイベント）このセクションで説明する保護機能により、いくつかの一般的な属性も含めて、チェック・ポイン

トのさまざまな種類のMalicious Activity Detectionsを設定できます。

これらの検出はすべて、SmartDefenseが生成するログに依存しています。デフォルトでは、チェッ

ク・ポイントのMalicious Activity Detectionsは検出された攻撃を遮断するのではなく、警告を生成

します。 User Defined Alerts（ユーザ定義警告）などのほかのアクションを実行するように設定す

ることができます。

Address Spoofing（アドレス・スプーフィング）

この保護機能により、アドレス・スプーフィングを防御するためのパラメータを設定できます。指定した秒数間に一定の数を超えるイベントが検出されると、攻撃はアドレス・スプーフィングとし

て検出（定義）されます。

表 2-37



表 2-38

NG FP3 ～ R55 R55W

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

同じ保護を実施同じ保護を実施

Denial of Service（サービス妨害攻撃）

44

Denial of Service（サービス妨害攻撃）

ネットワークをDoS攻撃から保護するために、SmartDefenseはしきい値を利用してDoS攻撃を識

別します。このしきい値により、指定した時間に一定の量を超えるイベントが発生すると、DoSイ

ベントとして検出されます。

このしきい値の限界に達すると、DoSイベントの発生がログに記録され、警告が生成されます。

この保護機能により、DoS攻撃として処理するイベントの頻度、およびこれらの攻撃が検出された

ときに取るアクションを定義できます。

表 2-39



表 2-40

NG FP3 ～ R55 R55W

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作


Local Interface Spoofing（ローカル・インタフェース・スプーフィング）


Local Interface Spoofing（ローカル・インタフェース・スプーフィング）

この保護機能により、ローカル・インタフェース・スプーフィングを防御するためのパラメータを

設定できます。指定した秒数間に一定の数を超えるイベントが検出されると、攻撃はローカル・イ

ンタフェース・スプーフィングとして検出（定義）されます。

表 2-41



表 2-42

NG FP3 ～ R55 R55W

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作


Successive Alerts（不審な警告）

46

Successive Alerts（不審な警告）

この保護機能により、不審な警告を防御するためのパラメータを設定できます。指定した秒数間に

一定の数を超えるイベントが検出されると、攻撃は不審な警告として検出（定義）されます。

表 2-43



表 2-44

NG FP3 ～ R55 R55W

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作


Successive Multiple Connections（不審な複数接続）


Successive Multiple Connections（不審な複数接続）

この保護機能により、不審な複数接続を防御するためのパラメータを設定できます。指定した秒数

間に一定の数を超えるイベントが検出されると、攻撃は不審な複数接続として検出（定義）されます。

表 2-45


保護機能により生成されるログ： Successive Multiple Connections


表 2-46

NG FP3 ～ R55 R55W

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作


DShield Storm Center

48

DShield Storm CenterStorm Centerは攻撃に関するログ情報を収集します。この情報は、利用者全員の利益のために世界

中の組織から自発的に提供されます。 Storm Centerは、ネットワーク・セキュリティへのリアルタ

イムの脅威に関するレポートを作成して、すぐに利用できる形で提示します。

SmartDefense Storm Centerモジュールにより、ネットワークStorm Centerとネットワーク・セ

キュリティ情報を必要とする組織の間で情報交換が可能になります。

このセクションで説明する保護機能により、DShield Storm Centerから悪質な IPのリストを取得

し、それらの IPを遮断することができます。また、DShieldにログを提出することもできます。

Retrieve and Block Malicious IPs（悪質な IP の取得と遮断）

この保護機能により、DShield.org（代表的なStorm Centerの1つ）から悪質な IPアドレスを受け

取り、すべてのゲートウェイで遮断するか、特定のゲートウェイで遮断するかを決めることができ

ます。

表 2-47



表 2-48

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作


Report to DShield（DShield への報告）


Report to DShield（DShield への報告）

この保護機能により、Storm Centerにログを送信して、ほかの組織が同じネットワークへの脅威に

対処するのに役立てることができます。

表 2-49



表 2-50

NG FP3 ～ R55 R55W

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理



場合の動作


Port Scan（ポート・スキャン攻撃）

50

Port Scan（ポート・スキャン攻撃）このセクションで説明する保護機能により、情報収集の発生を検出して、該当する情報が脆弱なコ

ンピュータを攻撃するために使用されないようにすることができます。

ポート・スキャンとは、ネットワーク内の開いた状態のTCPポートおよびUDPポートの情報を収

集する方法です。情報を収集すること自体は攻撃ではありませんが、収集した情報は後で脆弱なコ

ンピュータを標的にして攻撃するために使用できます。

ポート・スキャンは、nmapなどのスキャン・ユーティリティを使用するハッカー、またはほかの

コンピュータに自身を感染させようとするワームによって実施されます。ポート・スキャンは、一

般的にはポートにアクセスして応答を待つことによって行われます。応答によって、ポートが開い

ているかどうかを判断できます。

Host Port Scan（ホスト・ポート・スキャン）

SmartDefenseには3つのレベルのポート・スキャン検出感度があります。それぞれのレベルは、一

定の時間にスキャンされた動作していないポートの量を表しています。ポート・スキャンが検出さ

れると、ログまたは警告が生成されます。

表 2-51


保護機能により生成されるログ： Port Scan


表 2-52

NG FP3 ～ R55 R55W

NGX（R60）管理


能をオンにし

た場合の動作

NGX（R60）管理


能をMonitor-Onlyにした場合の動作

NGX（R60）管理



場合の動作

NGX（R60）管理




Sweep Scan（スイープ・スキャン）


Sweep Scan（スイープ・スキャン）

SmartDefenseには3つのレベルのポート・スキャン検出感度があります。それぞれのレベルは、一

定の時間にスキャンされた動作していないポートの量を表しています。ポート・スキャンが検出さ

れると、ログまたは警告が生成されます。

表 2-53


保護機能により生成されるログ： Port Scan


表 2-54

NG FP3 ～ R55 R55W

NGX（R60）管理



場合の動作

NGX（R60）管理



NGX（R60）管理



場合の動作

NGX（R60）管理




Dynamic Ports（動的ポート）

52

Dynamic Ports（動的ポート）この保護機能が有効になっている場合、クライアントがこれらの保護されたポートに動的に接続し

ようとすると、接続が破棄されます。

Block Data Connections to Low Ports（ロー・ポートへのデータ接続を遮断）

［Block data connections to low ports］では、1024より低い番号の動的に開かれたポートを許可す

るかどうかを指定します。ロー・ポート範囲は多くの標準サービスで使用されているため、通常は

ロー・ポートを許可しません。

表 2-55



表 2-56

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



NGX（R60）管理



合の動作

NGX（R60）管理




53

第章3Application Intelligence

この章の構成

概要 54ページ

Mail 55ページ

FTP（FTPプロトコル） 58ページ

Microsoft Networks（Microsoftネットワーク） 60ページ

Peer to Peer（ピア・ツー・ピア、P2P） 66ページ

Instant Messengers（インスタント・メッセンジャー、IM） 69ページ

DNS（DNSプロトコル） 75ページ

VoIP（VoIPプロトコル） 80ページ

SNMP（SNMPプロトコル） 88ページ

VPN Protocols（VPNプロトコル） 90ページ

Content Protection（コンテンツの保護） 96ページ

MS-RPC（MS-RPCプロトコル） 98ページ

MS-SQL（MS SQLプロトコル） 100ページ

Routing Protocols（ルーティング・プロトコル） 102ページ

SUN-RPC（SUN-RPCプロトコル） 106ページ

DHCP（DHCPプロトコル） 107ページ

SOCKS（SOCKSプロトコル） 108ページ

概要

54

概要ファイアウォールを直接攻撃するのではなく、ネットワーク・アプリケーションの脆弱性を利用す

る攻撃がますます増加しています。チェック・ポイントのApplication Intelligenceは複数の高度な

機能をファイアウォールとSmartDefenseに統合することで、アプリケーション・レベルでの攻撃

を検出して防御します。チェック・ポイントのApplication Intelligenceは INSPECTインテリジェン

ト・インスペクション技術に基づいており、アプリケーションへの攻撃と脅威に対する保護機能を

SmartDefenseに提供します。

図 3-1 OSI（開放型システム間相互接続）参照モデル

Application Intelligenceによる防御では、SmartDefenseのApplication Intelligence機能を使用して、

アプリケーション層での各種保護機能を設定できます。

注： OSI 参照モデルとは、ネットワーク上のデバイス間でデータを転送する方法を記述し

たフレームワークまたはガイドラインです。

アプリケーション層は実際にエンド・ユーザが使用するソフトウェア・アプリケーションで

はなく、ソフトウェア・アプリケーションがネットワークを介して通信できるようにする一連

のサービスです。第5層、第6層、および第7層の違いは明確でない部分があり、他社の同

種製品にはこのユーザ・ガイドと同様にこれらの層を組み合わせているものもあります。

Mail

第 3 章 Application Intelligence 55

Mailこのセクションで説明する保護機能により、メール・トラフィックに適用するアクションの種類を

選択できます。

POP3/IMAP Security（POP3/IMAP セキュリティ）

この保護機能により、POP3/IMAPプロトコルを使用してネットワークに配信される電子メール・

メッセージを制限できます。このオプションを使用すれば、不正な動作を認識して遮断することが

可能です。たとえば、SmartDefenseは（バッファ・オーバーラン攻撃で行われるように）ユーザ名

とパスワードの長さを強制的に設定できます。これにより、コンピュータを破壊する恐れのある長

い文字列の使用を防ぐことができます。

SmartDefense は、ネットワーク・リソースの使用が意図的に中断される状況を防ぐこともできます。

サービス妨害攻撃で使用される可能性のあるNOOPコマンド（「no operation=何もしない」コマンド）

の数を制限します。

表 3-57


保護機能により生成されるログ： NGXのパフォーマンスへの影響： POP3/IMAPアクセラレーションが無効（セキュリ

ティ・サーバが有効）

表 3-58

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理


Monitor-Onlyにした場

合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

保護を非実施保護を非実施同じ同じ

Mail Security Server（メール・セキュリティ・サーバ）

56

Mail Security Server（メール・セキュリティ・サーバ）

この保護機能により、セキュリティ・サーバを通過するSMTP接続に適用するアクションの種類を


SMTPセキュリティ・サーバでは、SMTPプロトコルを厳密に適用できます。通常、セキュリティ・

サーバは標準セキュリティ・ポリシーでリソースまたは認証ルールを指定して有効化します。

表 3-59

デフォルトの設定：オン - ルール・ベースで使用されるリソースに関連

した接続の場合のみ

保護機能により生成されるログ： NGXのパフォーマンスへの影響： SMTPアクセラレーションが無効（セキュリティ・

サーバが有効）

表 3-60

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Block ASN.1 Bitstring Encoding Attack over SMTP（ASN.1 ビット文字列のエンコードを悪用した SMTP 経由の攻撃を遮断）


Block ASN.1 Bitstring Encoding Attack over SMTP（ASN.1 ビット文字列のエンコードを悪用した SMTP経由の攻撃を遮断）

SmartDefenseは、通信を分析し、SMTP認証のGSSAPI構造内のASN.1エンコードを検索して、

この脆弱性に対する保護を提供します。

SMTPセキュリティ・サーバですでにGSSAPI認証方式を遮断しています。

表 3-61


保護機能により生成されるログ： MS-ASN.1 Enforcement Violation

NGXのパフォーマンスへの影響：保護機能がオンになっている関連プロトコルのアク

セラレーションが無効

表 3-62

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

同じ（R55のみ）同じ（R55のみ）同じ同じ

FTP（FTP プロトコル）

58

FTP（FTP プロトコル）このセクションで説明する保護機能により、FTPプロトコルについてさまざまな設定を行うことが

できます。

FTP Bounce（FTP バウンス攻撃）

この保護機能により、ファイアウォールを狙ったFTPバウンス攻撃を無効にすることができます。

SmartDefenseはカーネル・レベルで検査を行い、攻撃を無効にします。

SmartDefenseでは、FTP PORTコマンドの宛先を検証し、FTPバウンス攻撃に対して必須の保護

を実行します。さらに、［Network Security］の［Dynamic Ports］タブの設定に従って、動的ポー

トへの接続を遮断します。

表 3-63



表 3-64

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


FTP Security Server（FTP セキュリティ・サーバ）


FTP Security Server（FTP セキュリティ・サーバ）

FTPセキュリティ・サーバは、FTPコマンド（PUT/GET）、ファイル名制限、およびCVPチェック

（ウイルスなど）に基づいて、認証サービスおよびコンテンツ・セキュリティを提供します。さら

に、ルールの［Track］が［Log］の場合、FTPセキュリティ・サーバはFTPのgetおよびputコマ

ンドをログに記録します。

通常、セキュリティ・ポリシーに指定のルールを使用することにより、セキュリティ・サーバが有

効になります。

表 3-65

デフォルトの設定：オン - ルール・ベースで使用されるリソースに関連

した接続の場合のみ

保護機能により生成されるログ： NGXのパフォーマンスへの影響： FTPアクセラレーションが無効（セキュリティ・

サーバが有効）

表 3-66

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Microsoft Networks（Microsoft ネットワーク）

60

Microsoft Networks（Microsoft ネットワーク）このセクションで説明する保護機能により、Microsoftネットワーキング・プロトコルに適用するア

クションの種類を選択できます。

File and Print Sharing（ファイルとプリンタ共有）

この保護機能により、CIFS Worm Defenderが検出して遮断するワーム・シグネチャを設定できます。

表 3-67


保護機能により生成されるログ：

NGXのパフォーマンスへの影響： Microsoftネットワーク・プロトコルのアクセラレー

ションが無効

表 3-68

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Block Null CIFS Sessions（Null CIFS セッションの遮断）


Block Null CIFS Sessions（Null CIFS セッションの遮断）

この保護機能が有効な場合、SmartDefenseはNullセッションの試行を遮断します。

表 3-69


保護機能により生成されるログ： NGXのパフォーマンスへの影響： CIFSプロトコルのセッション・レート・アクセラ

レーションが無効

表 3-70

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

*保護を実施保護を非実施同じ同じ

Block Popup Messages（ポップアップ・メッセージの遮断）

62

Block Popup Messages（ポップアップ・メッセージの遮断）

この保護機能が有効になっている場合、Windowsポップアップ・メッセージを送信しようとする試

みはすべて遮断されます。

表 3-71


保護機能により生成されるログ： NGXのパフォーマンスへの影響： Microsoftネットワーク・プロトコルのアクセラレー

ションが無効

表 3-72

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Block ASN.1 Bitstring Encoding Attack（ASN.1 ビット文字列のエンコードを悪用した攻撃を遮断）


Block ASN.1 Bitstring Encoding Attack（ASN.1 ビット文字列のエンコードを悪用した攻撃を遮断）

SmartDefenseは、通信を分析し、さまざまなプロトコルのGSS-API構造内のASN.1 BERエンコー

ドを検索して、この脆弱性に対する保護を提供します。

表 3-73


保護機能により生成されるログ： MS-ASN.1 Enforcement Violation

NGXのパフォーマンスへの影響：保護機能がオンになっている関連プロトコルのアク


表 3-74

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Block WINS Replication Attack（WINS レプリケーション攻撃の遮断）

64

Block WINS Replication Attack（WINS レプリケーション攻撃の遮断）

この保護機能により、SmartDefense は不正なWINS パケットを認識します。これにより、

SmartDefenseは有害なパケットがネットワークに侵入する前に、そのパケットを捕捉することが

できます。

表 3-75


保護機能により生成されるログ： MS WINS Replication Protocol Enforcement Violation

NGXのパフォーマンスへの影響：クライアント /サーバ接続上のMicrosoft WINSト

ラフィックのアクセラレーションが無効

表 3-76

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Block WINS Name Validation Attack（WINS 名の検証を悪用した攻撃の遮断）


Block WINS Name Validation Attack（WINS 名の検証を悪用した攻撃の遮断）

この保護機能により、SmartDefense は不正なNBNS パケットを認識します。これにより、

SmartDefenseは有害なパケットがネットワークに侵入する前に、そのパケットを捕捉することが

できます。

表 3-77


保護機能により生成されるログ： MS WINS Name Validation Enforcement Violation

NGXのパフォーマンスへの影響：クライアント /サーバ接続上のMicrosoft WINSトラ

フィックのアクセラレーションが無効

表 3-78

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Peer to Peer（ピア・ツー・ピア、P2P）

66

Peer to Peer（ピア・ツー・ピア、P2P）このセクションで説明する保護機能により、P2Pトラフィックを遮断できます。

このセクションの保護機能は、メッセージ転送やファイル共有に使用されるP2Pアプリケーション

（KazaaやGnutellaなど）の使用を遮断します。 HTTPになりすますP2Pアプリケーションに対して

は、遮断するHTTPパターンを定義できます。

SmartDefenseは、フィンガープリントとHTTPヘッダを確認することによって、使用しているTCPポートに関係なく、P2Pセッションを検出します。

Excluded Services/Network Objects（サービス / ネットワーク・オブジェクトの除外）

R55W以降のバージョンでは、 P2Pプロトコルに対してスキャンされないホストとポートのホワイ

ト・リストを作成することができるようになりました。ただし、この機能はR55以前のモジュール

には存在しないため、古いモジュールに保護をインストールすると、除外されたオブジェクトでも

保護が有効になります。

表 3-79



表 3-80

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


ポート 80 番を使用するすべてのプロトコル


ポート 80 番を使用するすべてのプロトコル

これらの保護機能により、以下のP2Pアプリケーションを遮断できます。

• KaZaA

• Gnutella

• eMule

• BitTorrent

• SoulSeek

• IRC

表 3-81



NGXのパフォーマンスへの影響：ポート80番のセッション・レート・アクセラレー

ションが無効

表 3-82

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


すべてのプロトコル

68

すべてのプロトコル

これらの保護機能により、以下のP2Pアプリケーションを遮断できます。

• KaZaA

• Gnutella

• eMule

• BitTorrent

• SoulSeek

• IRC

旧バージョン（FP3～R55）の場合、［Header Rejection］をオンにすると、HTTPは保護されます。

表 3-83


保護機能により生成されるログ： NGXのパフォーマンスへの影響：セッション・レート・アクセラレーションが無効

表 3-84

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Instant Messengers（インスタント・メッセンジャー、IM）


Instant Messengers（インスタント・メッセンジャー、IM）

このセクションで説明する保護機能により、IMプロトコルを使用する IMアプリケーションを遮断

できます。 IMアプリケーションには、音声通話、メッセージ転送、ファイル共有などの多くの機能

があります。

Excluded Services/Network Objects（サービス / ネットワーク・オブジェクトの除外）

R55W以降のバージョンでは、 P2Pプロトコルに対してスキャンされないホストとポートのホワイ

ト・リストを作成することができるようになりました。ただし、この機能はR55以前のモジュール

には存在しないため、古いモジュールに保護をインストールすると、除外されたオブジェクトでも

保護が有効になります。

表 3-85


保護機能により生成されるログ： NGXのパフォーマンスへの影響：

表 3-86

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


MSN Messenger over SIP（SIP 上の MSN メッセンジャー）

70

MSN Messenger over SIP（SIP上のMSNメッセンジャー）

この保護機能により、SIPベースのMSNメッセンジャーから送信されるすべて、または特定のMSNメッセンジャー・アプリケーション（ファイル転送、アプリケーション共有、ホワイト・ボード、

リモート・アシスタント）を遮断できます。

SmartDefenseは、SIP（Session Initiation Protocol）RFC 3261への準拠を確認します。MSNメッ

センジャーを完全に遮断するか、特定のアプリケーション（ファイル転送、アプリケーション共有、

ホワイト・ボード、リモート・アシスタント）を選択して遮断することができます。

［SmartDefense］→［Application Intelligence］→［VoIP］→［SIP］で［block sip based instantmessaging］を選択すると、SIPによるMSNアプリケーションがすべて自動的に遮断されます。

表 3-87


保護機能により生成されるログ： NGXのパフォーマンスへの影響： SIPトラフィックのアクセラレーションが無効

表 3-88

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


MSN Messenger over MSNMS（MSNMS 上の MSN メッセンジャー）


MSN Messenger over MSNMS（MSNMS 上の MSNメッセンジャー）

この保護機能により、特定のMSNメッセンジャー・アプリケーション（動画、音声、ファイル転

送、アプリケーション共有、ホワイト・ボード、リモート・アシスタント）を遮断できます。

MSNメッセンジャーを完全に遮断するか、特定のアプリケーション（動画、音声、ファイル転送、

アプリケーション共有、ホワイト・ボード、リモート・アシスタント）を選択して遮断することが

できます。

MSNMSによるMSNメッセンジャーを完全に遮断するために設定は不要です。これには、セキュ

リティ・ルールが必要だからです。

MSNMSベースの特定の IMアプリケーションを選択して遮断するには、これを可能にするMSNMSサービス（TCP1863）でセキュリティ・ルールを定義して、SmartDefenseを設定する必要があり

ます。

表 3-89


保護機能により生成されるログ： NGXのパフォーマンスへの影響： VPN-1 – セッション・レート・アクセラレーションが無効

Interspect – なし

表 3-90

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Skype

72

SkypeSmartDefenseは、SkypeフィンガープリントとHTTPヘッダを識別して、Skypeトラフィックを遮

断できます。 SmartDefenseは、P2Pセッションを開始するために使用されるTCPポートに関係な

く、P2Pトラフィックを検出できます。 Skypeでは、P2P電話通信にUDPまたはTCPポート1024番以上、またはHTTPを使用します。

SkypeはSSLに似たセッションを使用してファイアウォールをバイパスするため、SSLポートを完

全に遮断するか、［VPN Protocols］ブランチで［Block SSL null-pointer assignment］を有効にす

る必要があります。

SmartDefenseは、HTTP要求と応答上のP2P接続を検出します。

表 3-91



NGXのパフォーマンスへの影響： VPN-1 – セッション・レート・アクセラレーションが無効


表 3-92

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Yahoo! Messenger


Yahoo! MessengerSmartDefenseは、フィンガープリントとHTTPヘッダを識別して、Yahoo! Messengerトラフィッ

クを遮断できます。 SmartDefenseは、P2Pセッションを開始するために使用されるTCPポートに

関係なく、P2Pトラフィックを検出できます。

Yahoo! Messengerは、TCPポート5050番とTCPポート80番をメッセージに、TCPポート5100番を動画に、TCPポート5000番を音声に、TCPポート5010番をファイル転送に使用します。

SmartDefenseは、HTTPによるP2Pの要求および応答接続を検出します。

表 3-93





表 3-94

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


ICQ

74

ICQSmartDefenseは、ICQのフィンガープリントとHTTPヘッダを識別して、ICQトラフィックを遮断

できます。 SmartDefenseは、P2Pセッションを開始するために使用されるTCPポートに関係なく、

P2Pトラフィックを検出できます。

ICQは、TCPポート5190番を接続に使用します。ファイルの転送と共有はTCPポート3574/7320番によって行われます。

SmartDefenseは、HTTPによるP2Pの要求および応答接続を検出します。

表 3-95





表 3-96

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


DNS（DNS プロトコル）


DNS（DNS プロトコル）このセクションで説明する保護機能により、DNS関連のさまざまな脆弱性を保護し、DNSプロト

コルの厳密適用と検証（TCPおよびUDP）を行うことにより、プロトコル違反を防ぎます。

Protocol Enforcement – TCP（TCP 上の DNS プロトコルの検査）

SmartDefenseは、変更されたDNSパケットを認識します。これにより、SmartDefenseは有害なパ

ケットがネットワークに侵入する前に、そのパケットを捕捉することができます。

この保護機能では、TCPプロトコルの厳密な適用が可能です。 TCPを使用して送信された変更のな

いDNSパケットだけがネットワークに入ることができます。この場合、TCPを使用するすべての

DNSポートは、ネットワークに入ろうとするDNSパケットがすべて変更されていないことを確認

するために監視されます。

TCPプロトコルを厳密に適用することにより、故意に変更されたDNSパケットがシステムに侵入

する可能性は低くなります。

表 3-97



NGXのパフォーマンスへの影響： DNS/TCPアクセラレーションが無効

表 3-98

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Protocol Enforcement – UDP（UDP 上の DNS プロトコルの検査）

76

Protocol Enforcement – UDP（UDP 上の DNS プロトコルの検査）

SmartDefenseは、変更されたDNSパケットを認識します。これにより、SmartDefenseは有害なパ

ケットがネットワークに侵入する前に、そのパケットを捕捉することができます。

このウィンドウでUDPプロトコルを厳密に適用できます。 UDPにより送信された変更のないDNSパケットだけがネットワークに入ることができます。この場合、UDPを使用するすべてのDNSポー

トは、ネットワークに入ろうとするDNSパケットがすべて変更されていないことを確認するため

に監視されます。

UDPプロトコルを厳密に適用することにより、故意に変更されたDNSパケットがシステムに侵入

する可能性は低くなります。

表 3-99



NGXのパフォーマンスへの影響： DNS/UDPアクセラレーションが無効

表 3-100

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

同じ保護を非実施同じ N/A

Domain Block List（遮断するドメインのリスト）


Domain Block List（遮断するドメインのリスト）

この保護機能により、不要なトラフィックを除外するための遮断リストを作成できます。

SmartDefense には、不要なトラフィックを除外するための遮断リストが含まれています。

SmartDefenseは、ユーザがこの遮断リストに指定したドメイン・アドレスにアクセスすることを

許可しません。遮断するドメインのリストは、手作業で更新されます。

表 3-101



NGXのパフォーマンスへの影響： DNSアクセラレーションが無効

表 3-102

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Cache Poisoning Protections（キャッシュ・ポイズニング攻撃からの保護）

78

Cache Poisoning Protections（キャッシュ・ポイズニング攻撃からの保護）

この保護機能によりキャッシュ・ポイズニング攻撃を防御することができます。

DNSトラフィックを減らすために、ネーム・サーバはキャッシュを維持します。 DNSキャッシュ

は、各ゾーンのTTLに従って更新されます。キャッシュ・ポイズニング攻撃は、DNSサーバがリ

モート・ネーム・サーバから故意に変更されたマッピング情報を受け取りキャッシュすることによ

り発生します。 DNSサーバは誤った情報をキャッシュして、要求に対して送信します。その結果、

電子メール・メッセージやURLアドレスがリダイレクトされ、ユーザが送信した情報がキャプチャ

および破壊される場合があります。

表 3-103




表 3-104

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Resource Records Enforcements（リソース・レコードの制限）


Resource Records Enforcements（リソース・レコードの制限）

この保護機能により、TCPを使用して送信されるDNSクエリに対する応答内で許可される回答

（Answer）、権威 (Authority)、および追加 (Additional)のリソース・レコードの最大数を設定できます。

表 3-105


保護機能により生成されるログ： DNS Enforcement Violation


表 3-106

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


VoIP（VoIP プロトコル）

80

VoIP（VoIP プロトコル）このセクションで説明する保護機能により、VoIPネットワークへのDoS攻撃に対する保護を有効

にできます。 VoIPのページでは、VoIPプロトコルに対する保護機能を設定できます。

SmartDefenseは発信者と受信者のアドレスを検証し、発信者と受信者がVoIPコールを送受信でき

ることを確認します。また、SmartDefenseは許可されている各ポートを通過するパケットの内容を

検査し、適切な情報が含まれていることを確認します。完全なステートフル・インスペクションを

H.323、SIP、MGCPおよびSCCPコマンドで実施することで、RFC規格に従って、すべてのVoIPパケットの構造が正しいこと、および正しい順序で到着することを保証します。

DOS Protection（DOS 攻撃からの保護）

悪質な IP電話端末は、ネットワークに大量のコールを送信することによってサービス妨害攻撃を

行い、電話ネットワークを正しい目的で使用できなくすることができます。

この保護機能により、VPN-1 Powerゲートウェイが特定の IPアドレスに対して1分間に許可する

コール数を制限することで、サービス拒否攻撃を防ぎます。ハンドオーバー・デバイスは多数のコー

ルを送信するので、ハンドオーバー・デバイスからのコールはカウントされません。

表 3-107



NGXのパフォーマンスへの影響： VoIPトラフィックのアクセラレーションが無効

表 3-108

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


H323


H323この保護機能により以下のアプリケーション層の検査を実行できます。

• プロトコルを厳密に適用します。これにはH.323パケットの順序と方向が含まれます。

• 送信された電話番号が24文字を超える場合にパケットを破棄します。これによってサーバで

バッファ・オーバーランが発生するのを防ぎます。

• 動的ポートが別のサービスによって使用されていない場合にのみ開くことを許可します。たと

えば、接続メッセージがH.245に対してポート80番を要求した場合は、ポートは開かれません。これによって予約済みポートが不正に使用されるのを防ぎます。

表 3-109




表 3-110

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


SIP

82

SIPこの保護機能により、SIPヘッダの内容を確認できます。このオプションが選択され、ルール・ベー

スに明示的なSIPルールがある場合、SmartDefenseはSIPヘッダを検証して、無効な文字を検索し

ます。

表 3-111




表 3-112

NG FP3 ～ R55 R55W

NGX（R60）管理サーバか

ら保護機能をオンにした場

合の動作

NGX（R60）管理



NGX（R60）管理



合の動作

NGX（R60）管理



同じ

「Block SIP-base video/audio/Instant Messaging」および

「Default Proxy Registration Expiration ...」は実施されま

せん

保護を非実施同じ

「Block SIP calls that use ...」および「Drop unknown SIP message」は実施

されません

保護を非実施

SIP


Block SIP Calls That Use Two Different Voice Connections (RTP) for incoming Audio and Outgoing Audio（受信音声と送信音声のそれぞれに異なる音声接続

（RTP）を使用する SIP コールを遮断）

Verify SIP Header Content（SIP ヘッダの内容を検証）

表 3-113




表 3-114

R55で保護機能がオンの場合の

動作

R55Wで保護機能がオンの

場合の動作

R60で保護機能がオンの

場合の動作

保護を実施保護を実施保護を実施

表 3-115




表 3-116


動作


場合の動作


場合の動作


SIP

84

Block SIP-base Video/Audio（SIP 上の動画と音声を遮断）

Block SIP-based Instant Messaging（SIP 上の IM を遮断）

表 3-117

デフォルトの設定：オフ（R60より前の全バージョン）/オン（R60）



表 3-118


動作


場合の動作


場合の動作

保護を非実施保護を実施保護を実施

表 3-119




表 3-120


場合の動作


場合の動作


動作


SIP


Drop Unknown SIP Messages（不明な SIP メッセージを破棄）

Default Proxy Registration Expiration Time Period（デフォルトのプロキシ登録の有効期間）

表 3-121




表 3-122

R55で保護機能がオンの場

合の動作


場合の動作


動作

保護を非実施保護を非実施保護を実施

表 3-123

デフォルトの設定： 600秒



表 3-124


場合の動作


場合の動作


動作

保護を非実施保護を非実施保護を実施

MGCP（特定コマンドの許可）

86

Block the Destination from Re-inviting Calls（Re-Invite呼び出しの制限）

MGCP（特定コマンドの許可）

SmartDefense は、MGCP に対する完全なネットワーク・レベルのセキュリティを提供します。

SmartDefenseは、RFC-2705、RFC-3435（バージョン1.0）、および ITU TGCP仕様J.171に厳密

に準拠しています。また、フラグメント化されたパケットの検査、アンチ・スプーフィング、サー

ビス妨害攻撃に対する保護など、すべてのSmartDefenseの機能がサポートされています。ただし、

MGCPでのNATはサポートされていません。

さらに、SmartDefenseはハンドオーバー・ロケーションを制限して制御信号とデータ接続を制御

します。

表 3-125




表 3-126


場合の動作


場合の動作


動作


表 3-127

デフォルトの設定：許可



表 3-128

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


SCCP（Skinny）


SCCP（Skinny）SCCP（Skinny Client Control Protocol）は、テレフォニー・ゲートウェイをコール・エージェント

（またはメディア・ゲートウェイ・コントローラ）と呼ばれる外部のコール制御デバイスから制御

します。

SmartDefenseは、SCCPベースのVoIP通信に対して完全な接続性とネットワーク・レベルのセキュ

リティを提供します。すべてのSCCPトラフィックが検査され、適正なトラフィックは通過を許可

され、攻撃は遮断されます。アンチ・スプーフィングやサービス妨害攻撃に対する保護など、

SmartDefenseのすべての機能がサポートされています。フラグメント化されたパケットは、カーネ

ル・ベースのストリーミングを使用して調査され、セキュリティが保護されます。ただし、SCCPデバイスでのNATはサポートされていません。

さらに、SmartDefenseはハンドオーバー・ロケーションを制限して制御信号とデータ接続を制御

します。

SmartDefenseは状態を追跡し、すべてのSCCPメッセージに対して状態が有効であることを検証

します。多くの主要なメッセージに対しては、メッセージのパラメータの存在と正当性も検証します。

SmartDefenseは、SCCP接続に対して追加のコンテンツ・セキュリティ検査を実行することで、高

度な保護を提供できます。

表 3-129




表 3-130

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


SNMP（SNMP プロトコル）

88

SNMP（SNMP プロトコル）このセクションで説明する保護機能は、SNMPv3（最新バージョンのSNMP）を厳密に適用し、そ

れより前のバージョンを拒否するオプションにより、SNMPの脆弱性に対する保護を提供します。

また、このウィンドウではSNMPのすべてのバージョンを許可する一方で、SNMPv1とSNMPv2のデフォルトのコミュニティ文字列を利用した要求を破棄することもできます。

Allow Only SNMPv3 Traffic（SNMPv3 のトラフィックのみ許可）

この保護機能により、旧バージョンのSNMPの使用を防止します。 SNMPv3を強制させることにより、

SmartDefenseは認証機能を使用できない旧バージョンのSNMP（SNMPv1およびSNMPv2）の使

用を制限することができます。

表 3-131



NGXのパフォーマンスへの影響： SNMPトラフィックのアクセラレーションが無効

表 3-132

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Drop Requests with Default Community Strings for SNMPv1 and SNMPv2（SNMPv1 と SNMPv2 のデフォルトのコミュニティ文字列を使用する要求を破棄）


Drop Requests with Default Community Strings for SNMPv1 and SNMPv2（SNMPv1 と SNMPv2 のデフォルトのコミュニティ文字列を使用する要求を破棄）

SNMPv1とSNMPv2のデフォルトのコミュニティ文字列を利用した要求を破棄することにより、

SNMPv1とSNMPv2に関連した暗号化されていないテキストがネットワーク経由で送信されるの

を防ぎます。

表 3-133



NGXのパフォーマンスへの影響： SNMPトラフィックのアクセラレーションが無効

表 3-134

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


VPN Protocols（VPN プロトコル）

90

VPN Protocols（VPN プロトコル）このセクションで説明する保護機能により、VPN（バーチャル・プライベート・ネットワーク）プ

ロトコルに適用するアクションの種類を選択できます。

PPTP Enforcement（PPTP プロトコル標準の厳密適用）

この保護機能により、PPTPプロトコルを厳密に適用します。 PPTPセッションはRFC規格（メッ

セージ・タイプ、パケットの長さなど）に準拠するように設定されます。 PPTP制御接続が予期せ

ず終了する場合、GREトンネルは自動的に終了します。さらに、この保護機能を有効にすることに

より、PPTP接続に対するHide NATおよびStatic NATを実施できます。

表 3-135



NGXのパフォーマンスへの影響： PPTPトラフィックのアクセラレーションが無効

表 3-136

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


SSL Enforcement（SSL 標準の厳密適用）


SSL Enforcement（SSL 標準の厳密適用）

この保護機能が有効な場合、SmartDefenseは不正な形式のSSL Client Helloパケットを識別して、

破棄します。

表 3-137


保護機能により生成されるログ： Invalid SSL Packet

NGXのパフォーマンスへの影響：ゲートウェイを通過するSSLトラフィックのアクセ

ラレーションが無効

表 3-138

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Block IKE Aggressive Exchange（IKE アグレッシブ・モードによる鍵交換を遮断）

92

Block IKE Aggressive Exchange（IKE アグレッシブ・モードによる鍵交換を遮断）

この保護機能が有効になっている場合、SmartDefenseは IKEアグレッシブ・モードによる鍵交換

を識別して、破棄します。

表 3-139


保護機能により生成されるログ： IKE Aggressive Packet Detected

NGXのパフォーマンスへの影響：ゲートウェイを通過するクライアントからサーバ方

向の IKEトラフィックのアクセラレーションが無効（サーバからクライアント方向のアクセラレーショ

ンは有効）

表 3-140

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


IKE Enforcement（IKE 標準の厳密適用）


IKE Enforcement（IKE 標準の厳密適用）

この保護機能により、ペイロードのタイプと長さ、最大ペイロード数、およびパケット長について、

IKEプロトコルがRFC 2409へ準拠するように設定されます。［IKE payload enforcement］を有効

にすることにより、SmartDefenseは IKE Security Associationペイロードに追加のチェックを行い

ます。「Monitor-Only（監視のみ）」モードを使用すると、接続を遮断せずに IKEプロトコル違反を

追跡できます。

表 3-141


保護機能により生成されるログ： IKE Enforcement Violation

NGXのパフォーマンスへの影響：ゲートウェイを通過するクライアントからサーバ方

向の IKEトラフィックのアクセラレーションが無効（サーバからクライアント方向のアクセラレーション

は有効）

表 3-142

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


SSH – Detect SSH over Non-Standard Ports（SSH – 非標準ポートを使用する SSH の検出）

94

SSH – Detect SSH over Non-Standard Ports（SSH – 非標準ポートを使用する SSH の検出）

SSHバージョン1および2は、通常TCPポート22番で使用されます。この保護機能では、［BlockAll SSH Versions］と［Run SSH Enforcement］のいずれかを選択できます。

• ［Block All SSH Versions］を選択すると、すべてのTCPポート上のSSHトラフィック（任意

のSSHバージョン）が遮断されます。

• ［Run SSH Enforcement］を選択すると、SSH Enforcement保護機能がTCPポート22番を含む

すべての非標準ポートに適用されます。

表 3-143


保護機能により生成されるログ： SSH Connection on a Non-Standard Port

NGXのパフォーマンスへの影響：すべてのトラフィックのセッション・レート・アク


表 3-144

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


SSH Enforcement（SSH プロトコル標準の厳密適用）


SSH Enforcement（SSH プロトコル標準の厳密適用）

SSH Enforcement 保護機能は、TCP ポート22 番のSSH トラフィックに適用されます。SSHEnforcementにより特定の防御属性を選択および選択解除できます。［Block SSH v1］を選択する

ことにより、SSHバージョン2だけがTCPポート22番で有効になります。

表 3-145



NGXのパフォーマンスへの影響： SSHトラフィックのセッション・レート・アクセラ

レーションが無効

表 3-146

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Content Protection（コンテンツの保護）

96

Content Protection（コンテンツの保護）このセクションで説明する保護機能により、複数のプロトコルを使用した不正なコンテンツを遮断

できます。

Malformed JPEG（不正な JPEG ファイル）

この保護機能を有効にすることにより、SmartDefenseはプロトコル・タイプがHTTPのすべての

サービスについて不正な形式のJPEGファイルを遮断します。

［Perform strict enforcement］を有効にすることにより、JPEGファイルを内容に基づいて検出でき

ます。

表 3-147


保護機能により生成されるログ： JPEG Content Protection Violation

NGXのパフォーマンスへの影響： HTTPのアクセラレーションが無効

表 3-148

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Malformed ANI File（不正な ANI ファイル）


Malformed ANI File（不正な ANI ファイル）

この保護機能を有効にすることにより、SmartDefenseはプロトコル・タイプがHTTPのすべての

サービスについて不正な形式のANIファイルを遮断します。

表 3-149


保護機能により生成されるログ： ANI Content Protection Violation

NGXのパフォーマンスへの影響： HTTPのアクセラレーションが無効

表 3-150

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


MS-RPC（MS-RPC プロトコル）

98

MS-RPC（MS-RPC プロトコル）

DCOM – Allow DCE-RPC interfaces other than End-Point Mapper on Port 135（ポート 135 番上でエンドポイント・マッパー以外の DCE-RPC インタフェースを許可）

この保護機能により、特定のMS-RPCインタフェース（DCOMインタフェースなど）がルール・

ベースで許可されている場合に、このインタフェースを許可します。 DCE-RPCサービスを使用し

てこれらのインタフェースを作成し、このページで保護機能を適用できます。

SmartDefenseは正当なDCOMトラフィックを許可する一方で、「Blaster」ワームとその亜種を無

条件で遮断します。

表 3-151



NGXのパフォーマンスへの影響： RPCトラフィックのアクセラレーションが無効

表 3-152

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Drop Unauthenticated DCOM（未認証の DCOM を破棄）


Drop Unauthenticated DCOM（未認証の DCOM を破棄）

MS-RPC Program Lookup（MS-RPC のプログラム・ルックアップ）

この保護機能により、ルックアップ動作要求を遮断し、この脆弱性が利用されるのを防ぎます。

表 3-153




表 3-154

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


表 3-155




表 3-156

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


MS-SQL（MS SQL プロトコル）

100

MS-SQL（MS SQL プロトコル）このセクションで説明する保護機能により、MS SQL Serverプロトコルにについてさまざまな設定

を行うことができます。

MS-SQL Monitor Protocol（MS SQL Monitor プロトコル）

この保護機能により、MS SQL Monitorプロトコル（ポート1434番 /UDPで動作）に適用されるさ

まざまな設定を行うことができます。

表 3-157


保護機能により生成されるログ： MS-SQL Monitor Protocol Enforcement Violation

NGXのパフォーマンスへの影響： MS-SQLトラフィックのアクセラレーションが無効

表 3-158

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


MS-SQL Server Protocol（MS SQL Server プロトコル）


MS-SQL Server Protocol（MS SQL Server プロトコル）

この保護機能により、MS SQL Serverプロトコル（tcp/1433で動作）に複数の設定を行うことがで

きます。

表 3-159


保護機能により生成されるログ： MS-SQL Server Protocol Enforcement Violation

NGXのパフォーマンスへの影響： MS-SQLトラフィックのアクセラレーションが無効

表 3-160

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Routing Protocols（ルーティング・プロトコル）

102

Routing Protocols（ルーティング・プロトコル）このセクションで説明する保護により、ルーティング・プロトコルに適用するアクションの種類を


OSPFこの保護機能を有効にすると、SmartDefenseはOSPFパケット・ヘッダの正当性を検証します。こ

れには、プロトコル・バージョン、メッセージ・タイプ、パケット長が含まれます。さらに、

SmartDefenseはMD5で認証されていない、安全でないと考えられるOSPFトラフィックを遮断し

ます。

表 3-161


保護機能により生成されるログ： OSPF enforcement violation

NGXのパフォーマンスへの影響： Performance Pack – なし（アクセラレーションが無効） Nokia – これらのプロトコルのアクセラレーションが無効

表 3-162

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


BGP – Block non-MD5 authenticated BGP connections（BGP – MD5 で認証されていない BGP 接続を遮断）


BGP – Block non-MD5 authenticated BGP connections（BGP – MD5 で認証されていない BGP 接続を遮断）

この保護機能を有効にすることにより、SmartDefenseはMD5で認証されていない、安全でないと

考えられるBGPトラフィックを検出して遮断します。

表 3-163


保護機能により生成されるログ： BGP Enforcement Violation


表 3-164

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


RIP（RIP プロトコル）

104

RIP（RIP プロトコル）

この保護機能を有効にすることにより、SmartDefenseはRIPパケット・ヘッダの検証を実施しま

す。さらに、SmartDefenseはMD5で認証されていない、安全でないと考えられるRIPトラフィッ

クを遮断します。

表 3-165


保護機能により生成されるログ： RIP Enforcement Violation


表 3-166

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


IGMP（IGMP プロトコル）


IGMP（IGMP プロトコル）

この保護機能を有効にすることにより、SmartDefenseは IGMPパケット・ヘッダの検証を実施し

ます。さらに、SmartDefenseはMD5以外で認証され、安全でないと考えられる IGMPトラフィッ

クを遮断します。

表 3-167


保護機能により生成されるログ： IGMP protocol Enforcement Violation


表 3-168

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


SUN-RPC（SUN-RPC プロトコル）

106

SUN-RPC（SUN-RPC プロトコル）このセクションで説明する保護機能により、SUN-RPC（Remote Procedure Calls）プロトコルに

適用するアクションの種類を選択できます。

SUN-RPC Program Lookup（SUN-RPC プログラム・ルックアップ）

NG with Application Intelligence（R55）以降で利用できるこの保護機能により、SUN-RPCインタ

フェース・スキャニングを遮断します。

表 3-169


保護機能により生成されるログ： SUN-RPC Enforcement Violation

NGXのパフォーマンスへの影響： SUN – RPCトラフィックのアクセラレーションが無効

表 3-170

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


DHCP（DHCP プロトコル）


DHCP（DHCP プロトコル）この保護機能を有効にすることにより、SmartDefenseはDHCPパケット・ヘッダおよびオプショ

ンの検証を実施します。

表 3-171


保護機能により生成されるログ： DHCP Protocol Enforcement Violation


表 3-172

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


SOCKS（SOCKS プロトコル）

108

SOCKS（SOCKS プロトコル）この保護機能により、SOCKSプロトコルが厳密に適用されます。 SOCKSプロトコル・ポート（デ

フォルトでは1080番）を使用したSOCKSプロトコル以外の通信は遮断されます。

SOCKSバージョン4のみ、または認証されていないSOCKS通信（トロイの木馬による情報のトン

ネリングに使用される）も遮断できます。

表 3-173


保護機能により生成されるログ： SOCKS Enforcement Violation


表 3-174

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


109

第章4Web Intelligence

この章の構成

概要 110ページ

Malicious Code（悪質なコード） 111ページ

Application Layer（アプリケーション層） 113ページ

Information Disclosure（情報公開） 118ページ

HTTP Protocol Inspection（HTTPプロトコル・インスペクション） 121ページ

概要

110

概要Web Intelligenceは正当なトラフィックを通過させながら、個々の攻撃だけでなく各種の攻撃を総

合的に遮断するチェック •ポイントのステートフル・インスペクション、Application Intelligence、およびMalicious Code Protector技術をベースにしています。

• Malicious Code Protectorはチェック・ポイントが特許出願中の技術であり、Webサーバおよ

びアプリケーションを狙った悪質なコードを遮断します。データ・ストリーム内の実行コード

だけでなく、不審な動作も特定することにより、Web通信に潜む悪質な実行可能コードを検

出できます。 Malicious Code Protectorはカーネル・ベースで検査されるため、ワイヤ・ス

ピードでの高パフォーマンスのセキュリティ保護を実現します。

• Application Intelligenceは、各アプリケーションの動作を詳細に理解したうえで、アプリケー

ション・レベルの攻撃を検出および防御する統合ネットワーク・セキュリティ技術です。

• ステートフル・インスペクションはネットワークに出入りする情報のフローを分析するため、

通信セッション情報とアプリケーション情報に基づいてセキュリティに関する意思決定をリ

アルタイムで行うことができます。これは、複雑なプロトコルを使用した通信であっても、ネッ

トワークで送受信されるすべての通信の状態とコンテキストを追跡することで実現されます。

Web intelligenceはVPN-1 Powerのアドオンです。 SmartDefenseのサブスクリプション・サービス

に加入されたお客様は、SmartDefenseとWeb Intelligenceの両方をワン・クリックで自動的に更新

できます。更新は頻繁にリリースされ、弊社WebサイトのSmartDerenseのページから入手できます。

http://www.checkpoint.co.jp/defense/advisories/public/index.html

有効なサブスクリプション・ライセンスをお持ちのお客様はSmartDefenseアドバイザリにアクセ

スし、最新の攻撃手法とSmartDefenseおよびWeb Intelligenceでの対応策、ネットワークを保護

するための情報、ツールや実用例などを参照できます。

ヒント：チェック・ポイント・ソフトウェアの最新バージョンには最新の防御策が組み込ま

れているので、ゲートウェイのバージョンを最新の状態に保つことをお勧めします。

http://www.checkpoint.com/techsupport/documentation/smartdefense/index.html

Malicious Code（悪質なコード）

第 4 章 Web Intelligence 111

Malicious Code（悪質なコード）このセクションで説明している保護機能により、Webサーバまたはクライアント上で、攻撃者が悪

質なコードを実行できないようにします。

General HTTP Worm Catcher（HTTP ワーム全般の捕捉）

この保護機能により、あらかじめ設定されたパターンに基づいて検出および遮断されるワーム・シ

グネチャを設定できます。この検出はカーネルで行われるため、非常に迅速です。セキュリティ・

サーバは必要ありません。

この保護機能はすべてのトラフィックまたは特定のWebサーバに適用することができます。攻撃

が遮断されると、カスタマイズ可能なWebページでユーザに通知できます。

表 4-175

デフォルトの設定：オン（定義済みWebサーバの場合）

保護機能により生成されるログ： Worm catcher pattern found. cmd.exe

NGXのパフォーマンスへの影響：なし（アクセラレーションが有効なC2Sトラフィッ

ク上でのみ動作）

表 4-176

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Malicious Code Protector

112

Malicious Code Protectorこの保護機能は、マシン・コードを逆アセンブルすることにより、URL、HTTP要求ヘッダ、およ

びHTTP要求本文を分析します。危険を評価し、それに応じて接続を許可または拒否します。アセ

ンブラ・コードを動的に分析するため、パターンや更新を必要とせずに、将来の脆弱性の大部分を

防御できます。

誤検出を最小限に抑え、優れたセキュリティを実現するために、3つのレベルの保護を使用できま

す。これらのセキュリティ・レベルにより、攻撃の検知率と誤検出のバランスを調整します。レベ

ルは、環境に合わせていつでも変更できます。詳細については、オンライン・ヘルプを参照してく

ださい。

この保護機能は、オンライン・ヘルプで指定されたプラットフォーム上で動作するWebサーバに対

する通信に利用できます。

表 4-177


保護機能により生成されるログ： Malicious code detected in URL



表 4-178

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理

サーバから保護機能

をオンにした場合の

動作

NGX（R60）管理



合の動作

保護を非実施保護を非実施同じ（Solarisを除く）同じ

Application Layer（アプリケーション層）


Application Layer（アプリケーション層）このセクションの保護機能により、Webアプリケーションが特別な命令として解釈するテキスト、

タグ、コマンド、その他の文字を攻撃者が挿入できないようにします。これらの文字がフォームや

URLに挿入されると、攻撃者により個人データの窃取、悪質な目的によるWebサイトへの通信セッ

ションのリダイレクト、データベースからの情報の窃取、不正アクセス、許可されないコマンドの

実行などが行なわれる可能性があります。

Cross Site Scripting（クロス・サイト・スクリプティング）

クロス・サイト・スクリプティング攻撃を防ぐために、POSTコマンドを使用して送信される、ス

クリプティング・コードを含むHTTP要求は拒否されます。また、この保護機能は、情報送信のも

う一つの手法である、URLの一部にエンコードされたデータを認識します。スクリプティング・コー

ドが要求から取り除かれるのではなく、要求全体が拒否されます。




ださい。

表 4-179


保護機能により生成されるログ： Cross Site Scripting detected in URL: 'script'



表 4-180

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


LDAP Injection（LDAP インジェクション攻撃）

114

LDAP Injection（LDAP インジェクション攻撃）

この保護機能は、Webアプリケーションに送信されたフォームおよびURL内のLDAPクエリの悪

用を識別することにより、LDAPサーバを保護します。攻撃が検出されると、接続が拒否されます。

最適な検出感度で優れたセキュリティを提供するために、3つのレベルの保護を利用できます。詳細については、オンライン・ヘルプを参照してください。

検査するLDAPフィールドのリストはカスタマイズできるため、標準のLDAPフィールドとカスタ

マイズしたLDAPフィールドの使用を制御できます。

表 4-181


保護機能により生成されるログ： LDAP Injection detected in URL: 'uid'



表 4-182

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


SQL Injection（SQL インジェクション攻撃）


SQL Injection（SQL インジェクション攻撃）

Web Intelligenceは、フォームおよびURL内のSQLコマンドを検索します。コマンドが見つかると、

接続は拒否されます。




ださい。

表 4-183


保護機能により生成されるログ： SQL Injection detected in URL: 'select'



表 4-184

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Command Injection（コマンド・インジェクション）

116

Command Injection（コマンド・インジェクション）

この保護機能では、フォームおよびURLのシステム・コマンドを検索します。コマンドが見つかる

と、接続は拒否されます。




ださい。

表 4-185


保護機能により生成されるログ： Command Injection detected in URL: 'chown'



表 4-186

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Directory Traversal（ディレクトリ・トラバーサル）


Directory Traversal（ディレクトリ・トラバーサル）

この保護機能では、URLに不正なトラバーサル文字の組み合わせが含まれていないか確認します。

URLに不正なディレクトリ要求が含まれている要求は遮断されます。

表 4-187


保護機能により生成されるログ： directory traversal overflow http://1.2.3.4/../../



表 4-188

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Information Disclosure（情報公開）

118

Information Disclosure（情報公開）Webサイトを攻撃する前に攻撃者が行う最初の手順の1つは、サイトに関する情報を収集すること

です。ハッカーの目的は、Webサーバの攻撃に使用できる情報を入手することです。これは、「フィ

ンガープリンティング」として知られています。

このセクションで説明する保護機能により、Webサーバでユーザに必要のない情報を公開すること

を防ぐことができます。

Header Spoofing（ヘッダ・スプーフィンング）

この保護機能により、ヘッダ名とヘッダ値を識別する正規表現を利用し、HTTP要求または応答に

表示される特定のヘッダを削除または変更できます。たとえば、通常のサーバのヘッダには、Webサー

バ名とバージョン番号が含まれています。この保護機能を使用してバージョン情報を秘匿します。

注：この保護機能を有効にすると、保護が適用される Web トラフィックのパフォーマンス

が低下します。

表 4-189


保護機能により生成されるログ： Header Spoofing, replacing header, new header is 'IIS'

NGXのパフォーマンスへの影

響：

すべてのHTTPトラフィックのアクセラレーションが無効

表 4-190

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Directory Listing（ディレクトリ・リスト）


Directory Listing（ディレクトリ・リスト）

この保護機能により、ディレクトリ・リストを含むWebページを識別し、それらを遮断します。

最適な検出感度で優れたセキュリティを提供するために、3つのレベルの保護を利用できます。詳細については、オンライン・ヘルプを参照してください。

表 4-191


保護機能により生成されるログ： Directory Listing detected

NGXのパフォーマンスへの影響：すべてのHTTPトラフィックのアクセラレーションが無効

表 4-192

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Error Concealment（エラーの秘匿）

120

Error Concealment（エラーの秘匿）

この保護機能は、HTTP応答内のWebサーバのエラー・メッセージを検索し、発見された場合、Webページがユーザに表示されるのを防ぎます。

エラー・メッセージは2種類の方法で検出され、秘匿されます。

1番目の方法では、不要な情報を表示する4XXおよび5XXエラー・ステータス・コードを含むHTTP応答を秘匿します。秘匿するステータス・コードを選択できます。

2番目の方法では、Webアプリケーション・エンジンで生成されたエラー・メッセージを秘匿しま

す。この方法は、アプリケーション・エンジンがWebサーバにエラーがあることを通知しない場合

に必要で、この場合、Webサーバにはエラーがないというエラー情報が表示されます。特定のアプ

リケーション・エンジンからのメッセージを識別するパターンを設定できます。これらのパターン

が検出されると、ページが遮断されます。

表 4-193


保護機能により生成されるログ： Concealed HTTP response status code: '413'

NGXのパフォーマンスへの影響：すべてのHTTPトラフィックのアクセラレーションが無効

表 4-194

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


HTTP Protocol Inspection（HTTP プロトコル・インスペクション）


HTTP Protocol Inspection（HTTP プロトコル・インスペクション）

HTTPプロトコルに厳密なポリシーを適用して、セッションがRFC標準と共通のセキュリティ対策

に準拠するようにします。

Web Intelligenceは、バージョンNG with Application Intelligence（R55W）以降の実施モジュール

を通過するすべての接続に対して、パフォーマンスの高いカーネル・レベルの検査を実行します。

NG with Application Intelligence（R55）以前のバージョンの実施モジュールの場合は、選択肢があ

ります。パフォーマンスを最適化するためにカーネルを使用してHTTPプロトコル・インスペク

ションを実行するか、プロトコルを厳密に適用するためにHTTPセキュリティ・サーバを使用して

HTTPプロトコル・インスペクションを実行するかを選択できます。 3つ目の選択肢では、オプショ

ンをルール・ベースで使用されるリソースに関連する接続にだけ適用し、セキュリティ・サーバを

使用するオプションを実施します。

HTTP Format Sizes（HTTP フォーマット・サイズ）

HTTP要求および応答内のさまざまな要素のサイズを制限することは優れたセキュリティ手法で

す。これにより、バッファ・オーバーランの可能性が低くなり、ヘッダに挿入されるコードのサイ

ズが制限されます。

この保護機能により、HTTP要求および応答内のさまざまな要素に上限を設定できます。また、ヘッ

ダ名を記述する正規表現を使用して、特定のヘッダに制限を設定することもできます。検出された

HTTP接続に複数の要求が含まれる場合、この制限はそれぞれの要求に個別に適用されます。

表 4-195



122

Maximum Request Body Size（要求本文の最大サイズ）：

Maximum URL Length（URL の最大長）：

表 4-196


保護機能により生成されるログ： Request body length exceeded allowed maximum length of 49152 bytes



表 4-197

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


表 4-198


保護機能により生成されるログ： URL length exceeded allowed maximum length of 2048 bytes

NGXのパフォーマンスへの影響：なし（アクセラレーションが有効なC2Sトラフィック上で

のみ動作）

表 4-199

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作




Maximum Header Value Length（ヘッダ値の最大長）：

Maximum Number of Headers（ヘッダの最大数）：

表 4-200


保護機能により生成されるログ： 'host' header length exceeded maximum allowed length

NGXのパフォーマンスへの影響：なし（アクセラレーションが有効なC2Sトラフィック

上でのみ動作）

表 4-201

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


表 4-202


保護機能により生成されるログ： Number of HTTP headers exceeded allowed maximum of 500

NGXのパフォーマンスへの影響：なし（アクセラレーションが有効なC2Sトラフィック上

でのみ動作）

表 4-203

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


ASCII Only Request（要求を ASCII 文字に限定）

124

ASCII Only Request（要求を ASCII 文字に限定）

この保護機能では、HTTP要求内の非ASCII文字列を識別して遮断できます。 HTTP要求ヘッダと

フォーム・フィールドを遮断することが可能です。ユーザがWebフォームを送信すると、データは

URLのクエリ・セクションまたはHTTP要求の本文として転送されます。

表 4-204


保護機能により生成されるログ： Invalid character detected in request URL: '0xff'



表 4-205

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


ASCII Only Response Headers（応答ヘッダを ASCII 文字に限定）


ASCII Only Response Headers（応答ヘッダを ASCII文字に限定）

この保護機能では、ASCII文字以外の値を含む応答を破棄します。

このページで、すべてのHTTPヘッダをASCII文字のみに強制できます。これにより、悪質なコン

テンツがHTTPプロトコル・ヘッダを通過するのを防ぐことができます。

注：この保護機能を有効にすると、保護が適用される Web トラフィックのパフォーマンス

が低下します。

表 4-206


保護機能により生成されるログ： Invalid character detected in response headers: '0xff'

NGXのパフォーマンスへの影響：すべてのHTTPトラフィックのアクセラレーションが

無効

表 4-207

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Header Rejection（特定のヘッダを遮断）

126

Header Rejection（特定のヘッダを遮断）

この保護機能により、特定のヘッダとヘッダ値を含むHTTP要求を遮断できます。

HTTPヘッダ名と値は大文字と小文字の区別のある正規表現で定義されます。

表 4-208


保護機能により生成されるログ： Header Rejection pattern found in request



表 4-209

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

同じ（従来は

「ピア・ツー・

ピア」と呼ばれて

いました）

保護を実施同じ同じ

HTTP Methods（HTTP メソッド）


HTTP Methods（HTTP メソッド）

この保護機能を使用して、HTTP要求で使用するHTTPメソッドを制御します。

Web Intelligenceでは、HTTPメソッドを「Standard Safe（GET、HEAD、およびPOST）」、「StandardUnsafe（その他の標準HTTPメソッド）」、および「WebDAV」の3つのグループに分けています。

デフォルトでは、「Standard Safe」メソッド以外のすべてのメソッドは遮断されます。

ユーザが、Microsoft Hotmail、Outlook Web Access、およびFrontPageなどのアプリケーションに

アクセスできるようにするためには、非RFC準拠のWebDAV HTTPメソッドの使用を許可する必

要があります。

遮断するメソッドを正確に選択できます。たとえば、GETおよびPOSTメソッドだけが許可されて

いて、その他のメソッドが遮断されている場合、WebDavメソッドを使用するHTTP要求である

MKCOL/HTTP/1.0は拒否されます。

表 4-210


保護機能により生成されるログ： Blocked Method: 'PUT'



表 4-211

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Block HTTP on Non-Standard Port（非標準ポートを使用する HTTP を遮断）

128

Block HTTP on Non-Standard Port（非標準ポートを使用する HTTP を遮断）

SmartDefenseでは、セキュリティ管理者によってHTTPで使用できるポートとして設定されてい

ないTCPポート上のHTTPトラフィックを検出して遮断できます。

非標準ポートでHTTPトラフィックを許可する方法の詳細については、CPSA-2005-01「セキュリ

ティを強化するための推奨設定：非標準の HTTP ポートを使用するHTTP トラフィックのブロッ

ク」を参照してください。

表 4-212



NGXのパフォーマンスへの影響：

表 4-213

NG FP3 ～ R55 R55W

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作

NGX（R60）管理



合の動作


Block Malicious HTTP Encodings（悪質な HTTP エンコードの遮断）


Block Malicious HTTP Encodings（悪質な HTTPエンコードの遮断）

URI内のNULLエンコードは、通常、URIベースの制限をバイパスしたり、一部のWebサーバが

NULL文字のあとのパラメータを無視することを利用する場合に使用されます。

この保護機能により、URIのパス部分にNULLエンコードを含むHTTP要求を遮断できます。

表 4-214



NGXのパフォーマンスへの影響：

表 4-215

NG FP3 ～ R55 R55W

NGX（R60）管理サーバ

から保護機能をオンに

した場合の動作

NGX（R60）管理


Monitor-Onlyにした場合

の動作

NGX（R60）管

理サーバから保

護機能をオンに

した場合の動作

NGX（R60）管理



保護を非実施（R54、FP3）同じ（R55のみ）

保護を非実施（R54、FP3）同じ（R55のみ）

同じ同じ

Block Malicious HTTP Encodings（悪質な HTTP エンコードの遮断）

130

131

サード・パーティの商標および著作権

Entrust は、米国およびその他の国における Entrust Technologies, Inc. の登録商標です。 Entrust のロゴ、Entrust の製品およびサービスの

名称も Entrust Technologies, Inc. の登録商標です。Entrust Technologies Limited は、Entrust Technologies, Inc. の完全所有子会社です。

FireWall-1 および SecuRemote には、Entrust の証明書管理技術が採用されています。

Verisign は Verisign Inc. の商標です。

下記は、ソフトウェアのうちミシガン大学が著作権を所有する部分に関する記述です。 Portions of the software copyright 1992-1996 Regents of the University of Michigan. All rights reserved. Redistribution and use in source and binary forms are permitted provided that this notice is preserved and that due credit is given to the University of Michigan at Ann Arbor. The name of the University may not be used to endorse or promote products derived from this software without specific prior written permission. This software is provided “as is” without express or implied warranty. Copyright Sax Software (terminal emulation only).

下記は、ソフトウェアのうちカーネギー・メロン大学が著作権を所有する部分に関する記述です。

Copyright 1997 by Carnegie Mellon University. All Rights Reserved.

Permission to use, copy, modify, and distribute this software and its documentation for any purpose and without fee is hereby granted, provided that the above copyright notice appear in all copies and that both that copyright notice and this permission notice appear in supporting documentation, and that the name of CMU not be used in advertising or publicity pertaining to distribution of the software without specific, written prior permission.CMU DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE, INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS, IN NO EVENT SHALL CMU BE LIABLE FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.

下記は、ソフトウェアのうち The Open Group が著作権を所有する部分に関する記述です。

THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE OPEN GROUP BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

下記は、ソフトウェアのうち OpenSSL Project が著作権を所有する部分に関する記述です。 This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit (http://www.openssl.org/).

THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE OpenSSL PROJECT OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

下記は、ソフトウェアのうち Eric Young が著作権を所有する部分に関する記述です。 THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. Copyright 1998 The Open Group.

132

下記は、ソフトウェアのうち Jean-loup Gailly および Mark Adler が著作権を所有する部分に関する記述です。Copyright (C) 1995-2002 Jean-loup Gailly and Mark Adler. This software is provided 'as-is', without any express or implied warranty. In no event will the authors be held liable for any damages arising from the use of this software. Permission is granted to anyone to use this software for any purpose, including commercial applications, and to alter it and redistribute it freely, subject to the following restrictions:

1. The origin of this software must not be misrepresented; you must not claim that you wrote the original software. If you use this software in a product, an acknowledgment in the product documentation would be appreciated but is not required.

2. Altered source versions must be plainly marked as such, and must not be misrepresented as being the original software.

3. This notice may not be removed or altered from any source distribution.

下記は、ソフトウェアのうち Gnu Public License が著作権を所有する部分に関する記述です。 This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version. This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.You should have received a copy of the GNU General Public License along with this program; if not, write to the Free Software Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.

下記は、ソフトウェアのうち Thai Open Source Software Center Ltd および Clark Cooper が著作権を所有する部分に関する記述です。Copyright (c) 2001, 2002 Expat maintainers. Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions: The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software. THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.GDChart is free for use in your applications and for chart generation. YOU MAY NOT re-distribute or represent the code as your own. Any re-distributions of the code MUST reference the author, and include any and all original documentation. Copyright. Bruce Verderaime. 1998, 1999, 2000, 2001. Portions copyright 1994, 1995, 1996, 1997, 1998, 1999, 2000, 2001, 2002 by Cold Spring Harbor Laboratory. Funded under Grant P41-RR02188 by the National Institutes of Health. Portions copyright 1996, 1997, 1998, 1999, 2000, 2001, 2002 by Boutell.Com, Inc. Portions relating to GD2 format copyright 1999, 2000, 2001, 2002 Philip Warner. Portions relating to PNG copyright 1999, 2000, 2001, 2002 Greg Roelofs. Portions relating to gdttf.c copyright 1999, 2000, 2001, 2002 John Ellson ([email protected]). Portions relating to gdft.c copyright 2001, 2002 John Ellson ([email protected]). Portions relating to JPEG and to color quantization copyright 2000, 2001, 2002, Doug Becker and copyright (C) 1994, 1995, 1996, 1997, 1998, 1999, 2000, 2001, 2002, Thomas G. Lane. This software is based in part on the work of the Independent JPEG Group. See the file README-JPEG.TXT for more information. Portions relating to WBMP copyright 2000, 2001, 2002 Maurice Szmurlo and Johan Van den Brande. Permission has been granted to copy, distribute and modify gd in any context without fee, including a commercial application, provided that this notice is present in user-accessible supporting documentation. This does not affect your ownership of the derived work itself, and the intent is to assure proper credit for the authors of gd, not to interfere with your productive use of gd. If you have questions, ask. "Derived works" includes all programs that utilize the library. Credit must be given in user-accessible documentation. This software is provided "AS IS." The copyright holders disclaim all warranties, either express or implied, including but not limited to implied warranties of merchantability and fitness for a particular purpose, with respect to this code and accompanying documentation. Although their code does not appear in gd 2.0.4, the authors wish to thank David Koblas, David Rowley, and Hutchison Avenue Software Corporation for their prior contributions.

Licensed under the Apache License, Version 2.0 (the "License"); you may not use this file except in compliance with the License. You may obtain a copy of the License at http://www.apache.org/licenses/LICENSE-2.0

The curl license

COPYRIGHT AND PERMISSION NOTICE

Copyright (c) 1996 - 2004, Daniel Stenberg, <[email protected]>.All rights reserved.

Permission to use, copy, modify, and distribute this software for any purpose

with or without fee is hereby granted, provided that the above copyright

notice and this permission notice appear in all copies.

133

THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT OF THIRD PARTY RIGHTS. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

Except as contained in this notice, the name of a copyright holder shall not be used in advertising or otherwise to promote the sale, use or other dealings in this Software without prior written authorization of the copyright holder.

The PHP License, version 3.0

Copyright (c) 1999 - 2004 The PHP Group. All rights reserved.

Redistribution and use in source and binary forms, with or without modification, is permitted provided that the following conditions are met:

1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.

2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.

3. The name "PHP" must not be used to endorse or promote products derived from this software without prior written permission. For written permission, please contact [email protected].

4. Products derived from this software may not be called "PHP", nor may "PHP" appear in their name, without prior written permission from [email protected]. You may indicate that your software works in conjunction with PHP by saying "Foo for PHP" instead of calling it "PHP Foo" or "phpfoo"

5. The PHP Group may publish revised and/or new versions of the license from time to time. Each version will be given a distinguishing version number. Once covered code has been published under a particular version of the license, you may always continue to use it under the terms of that version. You may also choose to use such covered code under the terms of any subsequent version of the license published by the PHP Group. No one other than the PHP Group has the right to modify the terms applicable to covered code created under this License.

6. Redistributions of any form whatsoever must retain the following acknowledgment:

"This product includes PHP, freely available from <http://www.php.net/>".

THIS SOFTWARE IS PROVIDED BY THE PHP DEVELOPMENT TEAM ``AS IS'' AND ANY EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE PHP DEVELOPMENT TEAM OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

This software consists of voluntary contributions made by many individuals on behalf of the PHP Group. The PHP Group can be contacted via Email at [email protected].

For more information on the PHP Group and the PHP project, please see <http://www.php.net>. This product includes the Zend Engine, freely available at <http://www.zend.com>.

This product includes software written by Tim Hudson ([email protected]).

THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS

INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

134

Copyright (c) 1998, 1999, 2000 Thai Open Source Software Center Ltd

Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions:The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software.

THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

Copyright 2003, 2004 NextHop Technologies, Inc. All rights reserved.

Confidential Copyright Notice

Except as stated herein, none of the material provided as a part of this document may be copied, reproduced, distrib-uted, republished, downloaded, displayed, posted or transmitted in any form or by any means, including, but not lim-ited to, electronic, mechanical, photocopying, recording, or otherwise, without the prior written permission of NextHop Technologies, Inc. Permission is granted to display, copy, distribute and download the materials in this doc-ument for personal, non-commercial use only, provided you do not modify the materials and that you retain all copy-right and other proprietary notices contained in the materials unless otherwise stated. No material contained in this document may be "mirrored" on any server without written permission of NextHop. Any unauthorized use of any material contained in this document may violate copyright laws, trademark laws, the laws of privacy and publicity, and communications regulations and statutes. Permission terminates automatically if any of these terms or condi-tions are breached. Upon termination, any downloaded and printed materials must be immediately destroyed.

Trademark Notice

The trademarks, service marks, and logos (the "Trademarks") used and displayed in this document are registered and unregistered Trademarks of NextHop in the US and/or other countries. The names of actual companies and products mentioned herein may be Trademarks of their respective owners. Nothing in this document should be construed as granting, by implication, estoppel, or otherwise, any license or right to use any Trademark displayed in the document. The owners aggressively enforce their intellectual property rights to the fullest extent of the law. The Trademarks may not be used in any way, including in advertising or publicity pertaining to distribution of, or access to, materials in

this document, including use, without prior, written permission. Use of Trademarks as a "hot" link to any website is prohibited unless establishment of such a link is approved in advance in writing. Any questions concerning the use of these Trademarks should be referred to NextHop at U.S. +1 734 222 1600.

U.S. Government Restricted Rights

The material in document is provided with "RESTRICTED RIGHTS." Software and accompanying documentation are provided to the U.S. government ("Government") in a transaction subject to the Federal Acquisition Regulations with Restricted Rights. The Government's rights to use, modify, reproduce, release, perform, display or disclose are

restricted by paragraph (b)(3) of the Rights in Noncommercial Computer Software and Noncommercial Computer Soft-ware Documentation clause at DFAR 252.227-7014 (Jun 1995), and the other restrictions and terms in paragraph (g)(3)(i) of Rights in Data-General clause at FAR 52.227-14, Alternative III (Jun 87) and paragraph (c)(2) of the Commer-cial

Computer Software-Restricted Rights clause at FAR 52.227-19 (Jun 1987).

Use of the material in this document by the Government constitutes acknowledgment of NextHop's proprietary rights in them, or that of the original creator. The Contractor/Licensor is NextHop located at 1911 Landings Drive, Mountain View, California 94043. Use, duplication, or disclosure by the Government is subject to restrictions as set forth in applicable laws and regulations.

Disclaimer Warranty Disclaimer Warranty Disclaimer Warranty Disclaimer Warranty

THE MATERIAL IN THIS DOCUMENT IS PROVIDED "AS IS" WITHOUT WARRANTIES OF ANY KIND EITHER EXPRESS OR IMPLIED. TO THE FULLEST EXTENT POSSIBLE PURSUANT TO THE APPLICABLE LAW, NEXTHOP DISCLAIMS ALL WARRANTIES,

135

EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, IMPLIED WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, NON INFRINGEMENT OR OTHER VIOLATION OF RIGHTS. NEITHER NEXTHOP NOR ANY OTHER PROVIDER OR DEVELOPER OF MATERIAL CONTAINED IN THIS DOCUMENT WARRANTS OR MAKES ANY REPRESEN-TATIONS REGARDING THE USE, VALIDITY, ACCURACY, OR RELIABILITY OF, OR THE RESULTS OF THE USE OF, OR OTHERWISE RESPECTING, THE MATERIAL IN THIS DOCUMENT.

Limitation of Liability

UNDER NO CIRCUMSTANCES SHALL NEXTHOP BE LIABLE FOR ANY DIRECT, INDIRECT, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES, INCLUDING, BUT NOT LIMITED TO, LOSS OF DATA OR PROFIT, ARISING OUT OF THE USE, OR THE INABILITY TO USE, THE MATERIAL IN THIS DOCUMENT, EVEN IF NEXTHOP OR A NEXTHOP AUTHORIZED REPRESENTATIVE HAS ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. IF YOUR USE OF MATERIAL FROM THIS DOCUMENT RESULTS IN THE NEED FOR SERVICING, REPAIR OR CORRECTION OF EQUIPMENT OR DATA, YOU ASSUME ANY COSTS THEREOF. SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF INCIDENTAL OR CONSEQUENTIAL DAMAGES, SO THE ABOVE LIMITATION OR EXCLUSION MAY NOT FULLY APPLY TO YOU.

Copyright ComponentOne, LLC 1991-2002. All Rights Reserved.

BIND: ISC Bind (Copyright (c) 2004 by Internet Systems Consortium, Inc. ("ISC"))

Copyright 1997-2001, Theo de Raadt: the OpenBSD 2.9 Release

PCRE LICENCE

PCRE is a library of functions to support regular expressions whose syntax and semantics are as close as possible to those of the Perl 5 language. Release 5 of PCRE is distributed under the terms of the "BSD" licence, as specified below. The documentation for PCRE, supplied in the "doc" directory, is distributed under the same terms as the software itself.

Written by: Philip Hazel <[email protected]>

University of Cambridge Computing Service, Cambridge, England. Phone:

+44 1223 334714.

Copyright (c) 1997-2004 University of Cambridge All rights reserved.

Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:

* Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.

* Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.

* Neither the name of the University of Cambridge nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission.

THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

Eventia Reporter には、MySQL AB が著作権を所有している、またはライセンスを許諾しているソフトウェアが含まれています。

2007 年 3 月 137

索引

AAddress Spoofing 43Allow Only SNMPv3 Traffic 88Application Intelligence 110Application Layer 113ASCII Only Request 124ASCII Only Response

Headers 125

BBGP 103Block ASN.1 Bitstring Encoding

Attack 63Block ASN.1 Bitstring Encoding

Attack over SMTP 57Block CISCO IOS DOS 34Block Data Connections to Low

Ports 52Block HTTP on Non-Standard

Port 128Block IKE Aggressive

Exchange 92, 93Block Malicious HTTP

Encodings 129Block Null CIFS Sessions 61Block Null Payload ICMP 35Block Popup Messages 62Block SSL Null-Pointer

Assignment 91Block Welchia ICMP 33Block WINS Name Validation

Attack 65Block WINS Replication

Attack 64

CCache Poisoning Protections 78Command Injection 116Content Protection 96Cross Site Scripting 113

DDCOM 98Denial Of Service 25Denial of Service 44DHCP 107Directory Listing 119Directory Traversal 117DNS 75Domain Block List 77DOS Protection 80Drop Requests to Default

Community Strings 89Drop Unauthenticated DCOM 99DShield Storm Center 48Dynamic Ports 52

EError Concealment 120

FFile and Print Sharing 60Fingerprint Scrambling 40FTP 58FTP Bounce 58FTP Security Server 59

GGeneral HTTP Worm

Catcher 111

HH323 81Header Rejection 126Header Spoofing 118Host Port Scan 50HTTP Format Sizes 121HTTP Methods 127HTTP Protocol Inspection 121

IICQ 74IGMP 105Information Disclosure 118Instant Messengers 69IP and ICMP 29IP Fragments 31IP ID 42ISN Spoofing 40

LLAND 27LDAP Injection 114Local Interface Spoofing 45

MMail 55Mail Security Server 56Malformed ANI File 97Malformed JPEG 96

138

Malicious Code 111Malicious Code Protector 110,

112Maximum Header Value

Length 123Maximum Number of

Headers 123Maximum Request Body

Size 83, 122Maximum URL Length 122Max Ping Size 30MGCP (allowed commands) 86Microsoft Networks 60MSN Messenger over

MSNMS 71MSN messenger over SIP 70MS-RPC 98MS-RPC Program Lookup 99MS-SQL 100MS-SQL Monitor Protocol 100MS-SQL Server Protocol 101

NN/A 22Network Quota 32NG FP3 18NG R55W 18NG With Application Intelligence（R54）18

NG With Application Intelligence R55 18

Non TCP Flooding 28

OOSPF 102

PPacket Sanity 29Peer to Peer 66Ping of Death 26POP3/IMAP Security 55

Port Scan 50PPTP Enforcement 90Protocol Enforcement - TCP 75Protocol enforcement - UDP 76

RReport to DShield 49Resource Records

Enforcements 79Retrieve and Block Malicious

IPs 48RIP 104Routing Protocols 102

SSCCP（Skinny）87Sequence Verifier 39SIP 82Skype 72Small PMTU 37SmartDefense 18SNMP 88SOCKS 108Spoofed Reset Protection 38SQL Injection 115SSH - Detect SSH over Non-

Standard Ports 94SSH Enforcement 95Successive Alerts 46Successive Events 43Successive Multiple

Connections 47SUN-RPC 106SUN-RPC Program Lookup 106Sweep Scan 51SYN Attack Configuration 36

TTCP 36Teardrop 25TTL 41

VVoIP 80VPN Protocols 90

WWeb Intelligence 19

YYahoo! Messenger 73

お同じ 22オフ 22オン 22

き許可 22

すステートフル・

インスペクション 110

つ常にオン 22

ほ保護を実施 22保護を非実施 22

check point ngx smartdefense...

Documents