Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

パケット キャプチャ用の IDP ユーティリティ

入力します向けIDPユーティリティは、SRXシリーズファイアウォールに特化したツールで、IDPイベントに関連するパケットデータをキャプチャ、管理、分析することができます。

入力しますユーティリティは、ネットワークトラフィックを記録するファイルである入力しますファイルの分析に使用されます。IDPユーティリティを使用すると、ネットワーク管理者はこれらの入力しますファイルを調べて、ネットワークトラフィック内の潜在的なセキュリティ上の脅威や異常を特定できます。

Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。

お使いのプラットフォームに関連する注意事項については、「 プラットフォーム固有のパケットキャプチャ動作」 セクションを確認してください。

パケット キャプチャについて

SRX300、SRX320、SRX340、SRX345、SRX550、SRX550HMデバイスでは、IDP検証プロセスを改善するために、CLIコマンドが導入され、入力します(PCAP)トラフィックのコンテキストと関連データのみを表示およびクリアできるようになりました。

入力しますユーティリティをinetモードまたは透過モードで実行して、プロトコルコンテキストを生成できます。コマンドラインPCAPフィーダーユーティリティツールは、UNIXシェルプロンプト(%)から実行する必要があります。

PCAP フィーダー ユーティリティは、トラフィックで使用可能な送信元と宛先の IPv4 アドレスのペア、パケットが供給されるインターフェイス、およびこれらの PCAP が挿入されるインターフェイスに設定された IPV4 アドレスを使用します。 PCAPがこれらのインターフェイスに供給されると、PCAPに関連付けられたコンテキストのリストとデータがコンテキストに照合されます。コンテキスト、ヒット、および関連データは、PCAP フィーダーによって生成されたトラフィックについてのみ表示されます。ライブ交通量の統計情報はキャプチャされません。パケットをフィードする際は、必ずインターフェイスのサブネットIPにパケットをフィードしてください。インターフェイス IP にパケットをフィードすると、IDP セキュリティ処理でコンテキストが検出されない可能性があります。インターフェイス IP を除く他のすべてのサブネット IP を使用できます。

PCAP フィーダー ユーティリティ ツールを使用して新しい PCAP を実行する前に、次の clear contexts コマンドを使用して既存のコンテキストとデータをクリアします。

InetモードのPCAPフィーダーに使用されるコマンドの例:

又は

透過モードのPCAPフィーダーに使用されるコマンドの例:

又は

表 1 は、上記のサンプル出力からの PCAP フィーダー ツールのフィールドを定義しています。

表1:

Fields

Description

pcap --quiet

コンソールにログが表示されないようにします

pcap --verbose

コンソールにログを表示できるようにします

インターフェイス-IP1

PCAP パケットを供給する最初のインターフェイスの IP アドレス

インターフェース-IP2

PCAPパケットを供給するための他のインターフェイスのIPアドレス

PCAP-IP1

PCAPに表示されるIPアドレス

PCAP-IP2型

PCAPに別のIPアドレスが表示される

インターフェイス1

SRX デバイスのインターフェイス1

インターフェイス2

SRX デバイスのインターフェイス1

PCAPフィーダーは以下をサポートしていません。

  • IPv6

  • FTPなどの複数チャネルプロトコル

例:パケット キャプチャ フィーダーを inet モードで入力します

この例では、入力します(PCAP)フィーダーをinetモードで実行してプロトコルコンテキストを生成する方法を説明します。

必要条件

開始する前に、以下を実行します。

  • ネットワークインターフェイスを設定します。

概要

関連する IDP ポリシーで PCAP フィーダーを実行し、関連するプロトコル コンテキストを取得します。この例では、クワイエット モードで pcap-ip1 6.0.0.1 と pcap-ip2 7.0.0.1 を使用して PCAP が供給されます。

構成

プロシージャ

CLIクイック構成

この例を迅速に設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルのCLIにコピーアンドペーストして、設定モードから commit を入力します。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

アプリケーションを作成し、IDP ポリシーに関連付けるには:

  1. わかりやすい名前を割り当ててポリシーを作成し、ルールベースをポリシーに関連付け、ルールベースにルールを追加して、ルールの一致条件を定義します。

  2. ポリシーを設定します。

  3. ゾーンを設定し、インターフェイスを割り当てます。

  4. 転送インターフェイスを設定します。

業績

設定モードから、 show security idp コマンドと show applications コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

設定の確認

目的

PCAPフィーダーツールを使用してPCAPを実行した後、IDP攻撃コンテキストを確認します。

アクション

動作モードから show security idp attack context コマンドを入力します。

サンプル出力
コマンド名

例:透過モードでのフィーダー入力します設定

この例では、入力します(PCAP)フィーダーを透過モードで実行し、プロトコルコンテキストを生成する方法を説明します。

必要条件

開始する前に、以下を実行します。

  • ネットワークインターフェイスを設定します。

概要

関連するIDPポリシーでPCAPフィーダーを実行し、パケットキャプチャから実行されているパケットから関連するプロトコルコンテキストを取得するには、入力します。この例では、パケットにフィードするために、PCAPフィーダー pcap-ip 2 7.0.0.1 がクワイエットモードで使用されています。

構成

プロシージャ

CLIクイック構成

この例を迅速に設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルのCLIにコピーアンドペーストして、設定モードから commit を入力します。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

アプリケーションを作成し、IDP ポリシーに関連付けるには:

  1. 設定グループを設定します。

  2. わかりやすい名前を割り当ててポリシーを作成し、ルールベースをポリシーに関連付け、ルールベースにルールを追加して、ルールの一致条件を定義します。

  3. ポリシーを設定します。

  4. ゾーンを設定し、インターフェイスを割り当てます。

  5. 転送インターフェイスを設定します。

  6. VLAN-IDを設定します。

業績

設定モードから、 show security idp コマンドと show applications コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

設定の確認

目的

PCAPフィーダーツールを使用してPCAPを実行した後、IDP攻撃コンテキストを確認します。

アクション

動作モードから show security idp attack context コマンドを入力します。

サンプル出力
コマンド名

プラットフォーム固有のパケット キャプチャ動作

Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。

次の表を使用して、プラットフォームのプラットフォーム固有の動作を確認します。

プラットホーム

SRXシリーズファイアウォール

パケット キャプチャをサポートする SRX300、SRX320、SRX340、SRX345 ファイアウォールは、ユーザーが現在の分析状態を表示し、入力します トラフィック専用に以前に処理されたデータをリセットできる request security idp pcap-analysis コマンドをサポートしています。