セキュリティ サービス > 侵入防御

トピック:
侵入防御サービスの概要
侵入防御サービスの設定

侵入防御サービスの概要

侵入防御サービス (IPS) は、ウェブ、電子メール、ファイル転送、Windows サービス、DNS などの主要ネットワーク サービスに対する拡張保護を実現する構成可能な高性能精密パケット検査エンジンを備えています。SonicWALL IPS は、アプリケーションの脆弱性ばかりでなくトロイの木馬、ピアツーピア、スパイウェア、バックドア侵入企図から保護することを目的に設計されています。また、SonicWALLの精密パケット検査エンジンで使用されている広範なシグネチャ言語により、アプリケーションおよびプロトコルで新たに見つかった脆弱性に対する事前対処的な防御を実現します。SonicWALL IPS は、SonicWALL の業界で有力な分散執行型手法 (DEA) を介して新しいハッカー攻撃のシグネチャの管理および更新に伴う高価で時間のかかる負担を軽減します。SonicWALL IPS の詳細なシグネチャ情報によって攻撃をグローバル、攻撃グループ別、またはシグネチャごとに検出して防止することで、柔軟性を祭壇源に高めるとともに、偽陽性による誤検出を抑制できます。

トピック:
SonicWALL 精密パケット検査
SonicWALL 精密パケット検査の概要
SonicWALL IPS の用語
IPS 状況
IPS グローバル設定
ゾーンに対する IPS 保護の設定
IPS ポリシー

SonicWALL 精密パケット検査

精密パケット検査では、パケットのデータ部分を確認します。精密パケット検査技術には、侵入検出と侵入防御があります。 侵入検出は、トラフィック内の異常を検出して管理者に警告します。侵入防御は、トラフィック内の異常を検出してそれに対応し、トラフィックの通過を阻止します。侵入防御はトラフィックの異常を検出して反応することによりトラフィックの通過を阻止します。

精密パケット検査は、通過するトラフィックをルールに基づいてファイアウォールで分類できるようにする技術です。これらのルールには、パケットの第 3 層および第 4 層の内容に関する情報ばかりでなく、アプリケーション データ (例、FTP セッション、HTTP ウェブ ブラウザ セッション、またはミドルウェア データベース接続) など、パケットのペイロードの内容を記述している情報も含まれています。管理者はこの技術により、ファイアウォールを通過する侵入を、検出してログに記録するだけでなく、阻止することができます (たとえば、パケットの破棄、TCP 接続のリセットなど)。SonicWALL の精密パケット検査技術は、TCP 断片化が発生していない場合と同様に TCP断片化バイト ストリーム検査を適切に処理します。

SonicWALL 精密パケット検査の概要

精密パケット検査技術を使用すると、ファイアウォールでプロトコル内を精査し、アプリケーション層で情報を検証して、アプリケーションの脆弱性を対象とした攻撃を阻止できます。これは、SonicWALL侵入防御サービスの背後にある技術です。SonicWALL の精密パケット検査技術は、SonicWALL分散執行型手法から配布される動的シグネチャ更新を可能にします。

次の手順では、SonicWALL 精密パケット検査手法の概要を説明します。

1
パターン定義言語インタープリタは、既知および不明なプロトコル、アプリケーション、企図の検出と防止のために記述できるシグネチャを使用します。
2
順不同で到着する TCP パケットは、精密パケット検査フレームワークにより再構築されます。
3
精密パケット検査エンジンの前処理には、パケットのペイロードの正規化を伴います。たとえば、HTTP 要求は URL エンコードされる場合があり、このため、要求はペイロードで適切なパターン一致を実行するために URL デコードされます。
4
精密パケット検査エンジンのポストプロセッサは、変更なしにパケットを渡すか、パケットを削除するか、TCP 接続をリセットするアクションを実行します。
5
SonicWALL の精密パケット検査フレームワークは、パケットが順不同でない限り、再構築を実行することなく TCP の断片全体で完全なシグネチャ一致をサポートします。これにより、プロセッサとメモリの効率的な使用が可能になり、パフォーマンスが向上します。

図 68. SonicWALL 精密パケット検査手法

SonicWALL IPS の用語
ステートフル パケット検査 - パケットのヘッダを調べ、ポート、プロトコル、および IP アドレスに基づいてアクセスを制御します。
精密パケット検査 - パケットのデータ部分が調査されます。ファイアウォールでプロトコル内を精査し、アプリケーション層で情報を検証して、アプリケーションの脆弱性を対象とした攻撃を阻止できます。
侵入検知 - 情報技術の隙を狙った悪質なアクティビティを特定してフラグを設定するプロセスです。
偽陽性 - 誤って検出された攻撃トラフィックのパターンを指します。
侵入防御 - トラフィックの異常や悪質なアクティビティを検出し、それに対処することです。
シグネチャ - 侵入、ワーム、アプリケーション悪用、ピア ツー ピア、インスタント メッセージングなどのトラフィックを検出して阻止することを目的に作成されたコードです。