proventia network ips gxシリーズのご紹介€“ fail close によりproventia...

IBM Internet Security Systems

© 2008 IBM Corporation

Proventia ® Network IPS GXシリーズのご紹介

日本アイ・ビー・エム株式会社

ISS事業部



Proventia Network IPS の概要



Proventia Network IPSの概要L2での実装

– IPアドレスを持たないため透過的に実装

– Fail Open機能の搭載（一部モデルはオプションの外付けユニット使用）

– リンクプロパゲーション

3つの実装モードを搭載

– Inline Protection：通過トラフィックを確認した上で、防御設定を実施

– Inline Simulation：インライン型で設置し、検知内容をシミュレーション（防御なし）

– Passive：ネットワークのモニタリング（IDSモード）

最大8ポート4インラインセグメントサポート（GX5xxx/G2000）

– IPSとして4セグメント、IDSとして8セグメントまで利用可能

– 非対称ルーティングネットワークへの対応

HA（ハイアベイラビリティ）対応

– Active-Standby（全モデル）、Active-Active （GX5xxx/G2000のみ）

ネットワークポートの前面集約化（GX Seriesのみ）

– ネットワーク機器との接続性向上

筐体のサイズ変更

– スイッチラック等への実装対応

監視ポートのGBIC化（２Uの一部モデル）

– 運用ネットワークの変更に対応

外付けバイパスユニットへの対応（２Uモデル）

– 障害時対応の容易化

– 1Uモデルはバイパスユニットを内蔵



Proventia Network IPSの概要（続き）Virtual IPS/Granular Policy機能

– VLAN、ポート、IPアドレス毎にルールの追加が可能

X-Force recommended blocking responses using Virtual PatchTM technology の搭載

– X-Force推奨のポリシー設定、Virtual Patchを自動的に実現

X-Press Updateによる自動更新

柔軟に設定可能な検知・防御ポリシー

カスタムシグネチャの搭載（Snort互換）

監視ポートからのKillパケット送出（Passive mode）

ローカル管理コンソールの搭載

SiteProtectorによる集中管理

Network Time Protocol（NTP）サポート

SNMPによる管理

二つのログオンアカウントrootとadmin– 通常はadminを使用し、各種設定を実施

– リモートからのrootアカウントによるアクセスの無効化が可能

LCDパネルの搭載

– Shutdownや初期設定等をパネルからの操作可能



Proventia Network IPS ラインナップ



Proventia Network IPS ラインナップ

100-127V 50/60Hz、200-240V 50-60Hz

5

1.5

225×50×205

×

×

内蔵

1（GX3002のみリンクスピードは10/100限定）

０

０

2（10/100のみ）

×

○（VLAN ID毎、IPアドレスレンジ毎、監視ポート毎）

1

1

10

Tabletop

GX3002

－

－

－

－

○

○

外付

16

---

---

16

8

6000

2U

GX6116

27

8.9 (100-127V)5.4 (200-240V)

430×87.5×672

○

○

内蔵

０

８

０

８

４

2000

2U

G2000C

C：内蔵F：外付

４

４

０

2U

G2000CF

外付

８

０

０

2U

G2000F

４

０

４

2U

GX5108CF

０

０

８

1200

2U

GX5108C

４

０

４

2U

GX5008CF

18

8.4 (100-127V)4.2 (200-240V)

430×88×520

○

○

外付

０

０

８

○（非対称ルーティングネットワーク、ロードバランシングネットワーク等への対応）

８

４

400

2U

GX5008

０

０

４

２

２

1U

GX4004

11.5

4.96 (100-127V)2.48 (200-240V)

100～240V(50 ～ 60Hz)

429×44×382

×

×

内蔵

専用（１ポート）または監視用インターフェイスから出力（GX3002のみリンクスピードは10/100限定）

０

０

２

×

１

１

200

1U

GX4002

電圧／周波数

電流 (A)

本体外寸（W×H×D）

Copper10/100/1000

管理用インターフェース

パッシブモード時監視セグメント数

Virtual IPS/Granular Policy

ハイアベイラビリティ対応

電源冗長化

1000Fiber

SFPインターフェイス

Copper

Copper10/100/1000

10/100/1000

重量（kg）

記憶装置冗長化（RAID１構成）

インラインバイパスユニット

Reset 送信用インタフェース

監視用インターフェース

インラインモード時防御セグメント数

保障帯域（Mbps）

筐体サイズ



Proventia Network IPS 型番命名規則

GX5108CF の場合

– GXGX5108CF• Product Family（製品群）

– GX515108CF• Platform Indicator（製品ライン）

• 40 = 200Mbps(1U)、 50 = 400Mbps(2U)、 51 = 1200Mbps(2U) – GX510808CF

• Protected Ports（監視ポート数）

– GX5108CFCF• 監視インターフェース種類

• C = Copper only、CF = Copper + SFP Port、F ＝ SFP Port only



Proventia Network IPS GXシリーズ(1U)

ポート、操作系を前面に集約する事でネットワーク機器との接続性を向上

バイパス機能（Fail Open）を内蔵

従来のA201、G100～G200相当のモデル

写真はGX4004



Proventia Network IPS GXシリーズ(2U)

ポート、操作系を前面に集約する事でネットワーク機器との接続性を向上

外付によるバイパスユニットの提供

HA構成対応

従来のA604、A1204、G400～G1200相当のモデル

写真はGX5108



LCD表示の提供

フロントパネルにLCDユニットを搭載

– Firmware、XPUバージョンの表示

– Shutdown、Rebootの実行が可能

– 初期設定時のIP Address、Subnet Mask、Default Gatewayの設定（初期設定後、SSHにて残りの設定を実施）

写真は1Uモデル写真は2Uモデル



Mini GBICモデルの提供

GXシリーズ(2U一部モデル)は監視ポートをMini GBICで提供

– 運用開始後にFiberとCupperの変更が可能

– 対応モデルはGX 5008CF/5108CFのファイバーポート、GX5008F/5108Fの全

て

mini-GBIC (カッパーおよびファイバ SFP) インターフェースの外観



ネットワークの可用性維持



Proventia Network IPS のネットワーク可能性維持

Proventia Network IPS はインラインでの実装を想定し、以下の

機能を実装することにより可用性の維持を実現しています

– リンクプロパゲート

• リンクの状況を対向機器に伝播し、ネットワークに対して透過的に実装

– Unanalyzed Policy（ソフトウェアバイパス）

• 設定変更時、過負荷時における可用性の維持

– Fail Open/ Fail Close• 機器障害時における可用性の維持



Proventia

リンクプロパゲーション機能とは

– Proventia Network IPS の監視ポートペアの片側がLink Down/Upした際に、もう一方も対向装置の状態に関わらず連動してLink Down/Upさせる機能

リンクプロパゲーション

NW-b

NW-a ×

NW-b

NW-a

①Link Down

②自動で連動

③プロパゲーション

④ リンクプロパゲーションにより Link Down

×

×

× ×

×

①Link Down

②自動で連動

※ この機能により、上下のネットワーク機器からProventia Network IPS が透過的に見えるよう

になります。

※ 設定により、有効（リンク状況の遷移あり） /無効（リンク状況の遷移なし）が選択可能です。



“Unanalyzed Policy”とは

– 以下の場合における動作設定

• Policy、responseの内容を追加/変更/削除する場合

• Firewall Settingsの内容を追加/変更/削除する場合

• X-Press Updateを適用する場合

• 解析エンジンの処理能力を超えた場合

設定

– 以下の２つのモードが選択できます

• Forward– 対向するネットワーク機器とのリンクを保持し、トラフィックを全て通過させます

• Drop– 対向するネットワーク機器とのリンクを保持しつつも、トラフィックを全て遮断します

※ この状態では検知/防御は行われません

ソフトウェアバイパス（Unanalyzed Policy ）



Proventia Network IPS の停止時や特定の操作時に通信を通過（Fail Open）/遮断（Fail Close）させる機能

• GX 4000シリーズ（1Uモデル）– Fail Open 機能が内蔵

• GX 5000シリーズ（2Uモデル）– 本体のみでは Fail Close機能のみ提供

– Fail Openは別売のExternal Bypass Unit が必要

• G2000シリーズのCupper 監視ポート– Fail Open/Fail Closeが選択可能

• G2000シリーズのFiber 監視ポート– Fail Close専用

（Fail Openは別売の External Bypass Unit が必要）

ハードウェアバイパス機能



ハードウェアバイパスの条件

「ハードウェアバイパス」は以下の場合に行われます。

– Local Tuning Parameter内の設定変更

（Link Speed、Adapter Mode、 Unanalyzed Policy、 Propagate Link などの変更）

– Firmware を適用

– 電源がOff時または監視エンジン停止時

– Alert QueueサイズまたはAlert Queue full Policyを変更

注意：ハードウェアバイパスモードが動作するときには3秒程度のリンクダウン/リンクアップが発生します



外付けバイパスユニット

2Uモデルの電源障害時にFail Openさせるために使用（電源供給時はアプライアンス内蔵のユニットにてFail Openを実装）

1Uサイズで4インラインセグメント分のユニットを搭載

電源はUSBケーブル経由でIPSより供給

IPSPower

Detection

SX or LXBypass Module

TXBypass Module



外付バイパスユニットの接続と動作

2Uモデルは電源断時のFail Openを実装するために別売の外部バイパスユニットが必要です。

左図のように結線する事で、Network IPSで電源断が発生した場合、外部バイパスユニットにて通信をBypassさせ

ます。

通常時

バイパス時Bypass Unit

GX 5000/5100



Proventia Network IPS の防御



多彩な防御機能

イベントを発生させたTCPコネクションのすべてのパケットをドロップし、Inline監視インタフェースからResetパケットを送信

してコネクションを切断します。Drop Connection with Reset

イベントを発生させたパケット（UDP/ICMP）のすべてのパケットをドロップします。Drop Packet

ファイアウォールのルールを定義し、トラフィックのアクセス制御やフィルタリングを行うことができます。Firewall Rule

防御アクション

★攻撃の特性に応じ、Proventiaが適切な防御方法を選択

ワームトラフィックを検知した後、攻撃元のIPアドレス、攻撃先のポート番号の情報を得て、指定した時間範囲で上記設定のパケットを全て遮断します。

ワームに感染したマシン(攻撃元IPアドレス限定)から、不特定マシンに対して脆弱点のあるサービス(攻撃先ポート番号特定)への、攻撃を遮断する。それ以外は通信許可となります。

Block-worm

不正な攻撃を検知した後、攻撃元のIPアドレス、攻撃先のIPアドレスの情報を得て、指定した時間範囲で上記設定のパケットを全て遮断します。

侵入者のPCから、被害側PCへの通信の一切を遮断する。それ以外は通信許可となります。

Block-intruder

バックドア（トロイの木馬）プログラムの攻撃を検知した後、攻撃先のIPアドレス、攻撃先のポート番号の情報を得て、指定した時間範囲で上記設定のパケットを全て遮断します。

不特定多数のマシンから、バックドア(トロイの木馬：ポート番号特定される)を、仕組まれマシン(攻撃先IPアドレス限定)からの通信を遮断する。それ以外は通信許可となります。

Block-trojan

Dynamic Blockingの種類



Proventia Network IPSの冗長ネットワークへの対応



High Availability

Active/Standby、Active/Activeをサポート

– Fail Close によりProventia 停止時には上下のネットワーク機

器に障害通知可能

– リンクプロパゲーション機能により上下どちらかのネットワーク機器障害を反対側に通知可能

– HAペアーのProventia間はセッション情報を完全共有（HAモード時は1台で2ラインまで監視可能）

検知イベント

– イベントをトリガした Proventia がイベントを通知するため2重

イベントの発生はなし



FirewallA

FirewallB

SwitchA

SwitchB

RouterA

RouterB

VRRP HSRP

①リンクダウン発生②リンク状態をプロパゲート

③FirewallとRouterがフェイルオーバー実施

High Availability対応

Active – Standby 構成




Active – Active 構成

VRRP

F

A

A

E

CDGH（Session情報共有用)

B

E

F

B

SwitchA

FirewallA

FirewallB

SwitchB

SwitchA

SwitchB

非対称ルーティングのサポート

– A-B/E-F間のセッションをC-D/G-Hで共有

マルチセグメント対応

– 1台のProventia Gで最大2ラインまで冗長化対応

※上記構成の場合は合計保証帯域は2台の合計となります（GX5108の場合、2台の合計で1200Mbpsとなります。）




Active – Active 構成時の内部動作

A C E G

B D F H

seg.1 seg.2

seg.1 seg.2

ACEG

BDFH

seg.1seg.2

seg.1seg.2

HA(seg.1)

HA(seg.2)

HA(seg.1)

HA(seg.2)

互いに通信の内容を共有しあう事により、2台のどのラインを流れても確実に防御が可能（HAモードで使用した場合には、最大監視セグメントは半分になります）




非対称ルーティングのサポート

•通信の往復が異なるProventia Network IPSを通過しても防御可能

•この際、検出のトリガーとなったパケットを検出した側がイベントを出すため2重イベントとなる事はありません



Proventia の管理



二つの管理

ローカル管理コンソール:LMIの装備

– Proventia Manager

– HTTPS

– 小規模なネットワークに最適

• イベント（ログ）の管理を行わない

• 評価利用

集中管理コンソール

– SiteProtector

– エンタープライズレベルの管理システム

– 複数台のProventiaの同時管理、運用可能

– SQL Serverへのイベント保存



Proventia Managerによる単体運用

ブラウザで管理

– インストール操作は不要

– 要Java 1.4.5 or 1.5

基本操作を実行可能

– 監視ポリシー設定

– 防御レスポンス設定

– XPUの適用

– 簡易イベント監視



統合管理マネージメントSiteProtector

各種ISS製品を統合管理

グループ管理

– イベントの表示・解析をグループ毎に実施

ユーザーアクセス管理

– SiteProtectorを操作するユーザ権限を管理

– Microsoft Active Directoryとの統合

ポリシー管理

– グループ単位、個別のエージェント単位

イベント・インシデント解析

セントラルアラーティング機能

– 閾値や設定した条件に従って、メールやSNMPで通知

– エージェントのステータスを通知

グラフィカルレポートと分析グラフの提供

– HTML、PDF、CSV形式でレポートを作成

– 約30種類のレポートテンプレートを提供

Proventia Network IPS の管理にはSiteProtectorの利用を推奨します

システム要件および規模に合わせた構成例は下記をご参照ください

http://www.isskk.co.jp/document/m_SP.html



Proventia単体での管理機能(CLI)コマンドラインインターフェース(CLI)

– シリアルポート接続またはSSHでProventiaへアクセスし、以下の

基本設定の実施が可能

• ネットワーク、NTP、SNMPの設定

• エージェントステータスの確認と再起動

• バックアップ/リストアの実施

• パスワードの管理（パスワード変更はLMIから

でも可能）

その他の設定は、LMI またはSiteProtectorから行います。



SiteProtectorとの通信



SiteProtector機能紹介（１）

Summaryタブ

– 各種サマリ情報を表示、表示する情報のタイプを選択

•表示可能な項目•Available Updates (入手可能なアップデート)•Event History By Day (1 日ごとのイベント履歴)•Event History By Week (週ごとのイベント履歴)•Event History By Month (月ごとのイベント履歴)•Group Summary (グループ概要)•Scan Progress (スキャン進行状況)•System Health (システムの健全性)•Ticket Status (チケットステータス)•Today's Event Summary By Source(本日のイベント概要、発信元別)•Today's Event Summary By Target(本日のイベント概要、宛先別)•Today's Event Summary By Security Tag Name (本日のイベント概要、セキュリティタグ名別)•Vulnerability History By Day (1 日ごとの脆弱性履歴)•Vulnerability History By Week (週ごとの脆弱性履歴)•Vulnerability History By Month (月ごとの脆弱性履歴)•Vulnerability Summary By Operating System(オペレーティングシステムごとの脆弱性概要)



SiteProtector機能紹介（２）

SiteProtectorのコンポーネント、Sensorを表示

状態を表示

アップデートの有無を表示

Sensorタブ

– SiteProtectorのコンポーネント及び各種Sensor、Scannerの情報

Assetタブ

– 組織構造、地理的条件、センサーの種類等に基づいてAssetをグループ化し分類

各Assetの脆弱性

の状態により表示

ホスト名、IPアドレスなどを表示

Asset毎にインストールされているISS製品を

表示

Assetをグループ分け



SiteProtector機能紹介（３）

Analysisタブ

– イベントフィルタリング機能

• イベント名や危険度別、件数等の列に従い柔軟に表示をカスタマイズ

• 多種にわたるフィルタリング設定で必要な情報のみを抽出することが可能

– カウント表示機能

• 検知イベントも同一イベントはまとめて、イベント数をカウント表示

グループを対象としフィルタリング

日時、送信元IP、宛先IP等でフィルタリング

規定の条件を元に表示を変更可能

イベント数をカウント表示また、ベースライン表示も可



SiteProtector機能紹介（４）Analysisタブ（続き）

– 検知インシデントの情報

• IPアドレスやポート番号、プロトコルなどの表示

• インシデントに関しての詳細情報を表示



SiteProtector機能紹介（５）

Policyタブ

– グループ単位の設定、もしくはアプライアンス単位の設定の選択が可能

Ticketタブ

– チケッティングシステム

• ワークフローを管理するチケッティングシステム

• 脆弱性マネージメント、インシデントのコントロールを行う

• 誰が、何を、何時までに実施するのかをワークフローで管理



SiteProtector機能紹介（６）Reportタブ

– 用意されているテンプレートを元にレポートの出力が可能 (Reporting Module:有償ライセンス)

– これらのレポートで組織全体にわたる傾向を見極めたり、Proventia等ISSプロダクトの投入効果の評価、

セキュリティ状態の確認を行う場合に役立ちます

– レポート形式は“PDF”、“HTML”、“CSV”となります



SiteProtector機能紹介（７）コンソール情報のエクスポート

– 画面情報をHTML、CSV、PDFへ変換が可能

• エクスポートされるデータは、表示されているデータに基づいてエクスポートされる

CSVへ

HTMLへ

PDFへ



SiteProtector機能紹介（８）Central Response機能

– Proventia Network IPSから直接 EmailやSNMPにて通知するのではなく、SiteProtectorが受け取ったイベントに対してレスポンスを行う

– イベントに対して条件を設定し、条件に合致した場合にEmail、SNMPによる通知を実施

– イベント名(HTTP*という記述も可)、送信元IPアドレス、送信元ポート、宛先IPアドレス、宛先ポート、

レスポンスの頻度、イベントステータスやプライオリティ等を条件に設定が可

– 1,000回の攻撃イベントを検知した際に、1,000回の電子メールを送信するのではなく、条件に合致するイベントが1,000個通知された場合に、1回のEmail、SNMPによる通知を実施

※SP6ではProventiaのStatusに応じて通知することが可能

ProventiaがOfflineになった場合

メールにて通知

設定例



SiteProtector機能紹介（９）SiteProtector Web Access

– ブラウザ(IE6以上)を用いて、SiteProtectorにアクセス

– 完全なコマンド、コントロールを必要としないユーザに対して、軽量なソリューションとして提供が可能

– SP6よりレポートの作成、閲覧も可能



ポリシーチューニング



X-Force Default Blocking

ユーザ設定が優先

チェック有無で設定

X-Force Default Blocking の活用

– X-Force が決定した標準防御状態ポリシーの自動設定

• 危険度が高く誤検知がないシグネチャのみ検知・防御対象



ポリシーチューニングホワイトリスト

非イベント検知対象の設定

– Firewallルールで該当IP、プロトコルをignoreすること

で、イベント検知対象から外すことが可能

非防御対象の設定

– Firewallルールで該当IP、プロトコルをMonitorすること

で、防御対象から外すことが可能



ポリシーチューニング

シグネチャの変更を行うと User Overriddenのチェックがつきます。



Virtual IPS機能



Virtual IPS/Granular Policy機能とは

1台のProventia上に、Virtual IPSを定義し、それぞれのVirtual IPSで異なるポリシー、レスポンスを設定可能

– 監視ポート毎

– IPアドレスレンジ、サブネットレンジ毎

– VLANID又はVLANIDレンジ毎

これまで複数台のIPSが必要だったケースでも1台に集約可能

コストメリットネットワーク構成簡略化運用負荷低減

ポリシーA

ポリシーB

ポリシーC

ポリシーA ポリシーCポリシーB



Virtual IPSの考え方１

全保護対象領域

Proventia Network IPSが

保護する全保護領域

特定の‘領域’を定義

領域の組み合わせ

Adapter

VLan Range

IP Address Range

Protection Domain AProtection Domain A

Protection Domain BProtection Domain B

Protection Domain CProtection Domain C



Virtual IPSの考え方２

全保護対象領域（ Global Domain）

Protection Domain AProtection Domain A

Protection Domain BProtection Domain B

Protection Domain CProtection Domain C

差分ポリシーA

差分ポリシーC

Global Policy

特定の領域に対するポリシー

全体に対するポリシー

差分ポリシーB



Virtual IPSの動作例

全保護対象領域（Global Domain）

192.168.0.1~192.168.0.254Policy A

Global PolicyIP_Tunnel_Bad_Version を有

防御を有効

IP_Tunnel_Bad_Version を有※防御をOFF（検知のみ）

192.168.0.10からの攻撃 → 検知のみ（Policy Aが適用）192.168.1.10からの攻撃 → 検知と防御（Global Policyが適用）

その結果、このような動作となります

※ Protection Domain用のポリシーがGlobal Policyより優先されます



Virtual IPSの使い方例

XPUで新規追加されたシグネチャの評価

– Global PolicyはTrust X-Forceの防御設定で利用

– 全体をカバーするProtection Domainもしくは特定の領域のみのProtection Domainを構成

– XPUで追加されたシグネチャだけをProtection Domainに設定

• 防御レスポンスを外し、検知のみに設定

– 評価終了後Protection Domainからポリシーを削除



アップデートについて



アップデート

弊社製品は以下のアップデートが提供されております。（本アップデートを利用するには保守契約が必要となります）

– X-Press Update• シグネチャの追加および修正

– Firmware• 機能追加

• Proventiaが再起動される

いずれもスケジュールによる自動ダウンロード及び自動適用が可能



X-Press Update 設定

SiteProtector、LMIのいずれからも設定可能

ダウンロードとインストールを組み合わせて設定可能

スケジューリング可能

X-Press UpdateとFirmware Updateを別々に設定可能



アップデートの仕組み

Update Server(3994)

Agent Manager(3995)

SiteProtector2.0 SP6

HTTPS:443

RetrieveCatalog Files

&Update Files

Application Server (SPCore)

Copy Catalog Files

&Update Files

Heart Beat

HTTPS ForceRefresh

HTTPS：443ForceRefresh

3994PullUpdate Files

Heart BeatHTTPS:443 www.iss.netupdate.iss.net

OR

Agent Manager(3995)



アップデートの注意点

名前解決（Proventia Network IPSから直接アップデートする際は必須）

– Proventia Network IPS上で名前解決が必要

– DNSもしくはフォワーダが利用できることを確認

プロキシ経由でのアップデート（Proventia Network IPSから直接アップデート）

– Updates / Settings / Advanced Parameters に以下のパラメータを追加

• Update.proxy.enable = true/false（ブーリアン）

• Update.proxy.url = https://123.123.123.123（文字列）

• Update.proxy.port = 1234（数値）

– プロキシ認証は利用不可

Update Server 経由のアップデート

– パラメータの追加で設定可能

• 設定メニューからUpdate--> Settings--> Advanced Parameterを選択

– Name = Update.source.url (Case Sensitive)– Type = String– Value = https://ip-address-update-server:3994/XPU (Case Sensitive)



アップデートについて



SNMP管理の三つの方法

SNMPトラップによる検知イベントの報告

Proventia Network IPSに異常が発生した際のSNMPト

ラップ送信

SNMP Readによるハードウェア情報の取得



ソフトウェア関連のSNMPイベント

– Appliance starts up or SNMP daemon starts up– Appliance shuts down or SNMP daemon shuts down– Link up notification for management interface– Link down notification for HA heartbeat interface– issDaemon is not running– issCSF is not running– iss-netengine is not running– issdrivermgr is not running– sshd is not running– 1 minute CPU load average is over 90%– 5 minute CPU load average is over 70%– 15 minute CPU load average is over 50%– Free disk space is less than 10%– Very little swap space left

必要なMIB– UCD-SNMP-MIB

Proventiaの/usr/share/snmp 配下に保存



イベント関連のSNMPProventia Network IPS が検知した攻撃イベントをSNMPトラップで報告

– ISS.MIBが必要

• https://isskk.e-srvc.com/cgi-bin/isskk.cfg/php/enduser/std_adp.php?p_faqid=1630



SNMP Read

SNMP read により Proventia Network IPSのハードウェアに関

する情報を取得可能



初期導入の方法とリカバリー



Proventia Network IPSの導入

購入後（及びリカバリー後）は初期設定が必要となります。

– 必要な環境

• Serial Portを持ったPC

– 必要な情報

• パスワード

• 管理ポート用のIPアドレス

• タイムゾーンと日時

• Agent名• 監視ポートのモードとリンクスピード

※このほかに LCDにて管理ポートのネットワーク設定まで実施し、それ以後の設定をSSH接続にて行う方法もあります。



バックアップとリストアProventia Network IPSはHDD内にバックアップを保持できます

– バックアップは1世代までのディスクイメージ全体を保存

– このほかに工場出荷時のイメージを保存済

– バックアップ/リストアはコマンドラインインターフェースから実施

– バックアップ/リストア間はバイパス状態となります



Reinstallについて

GXシリーズにてreinstallを実行する際は、CDROMドライブ付属のPCを用いてPXEブート機能を利用します

PXEブート機能をサポートするNICをご確認ください

(Proventia Network IPS User’s Guide)



その他情報



設置例



Proventiaの優位性レイテンシに対しての疑問

ＩＰＳ自身の機器障害や電源供給停止時の対応策

どのシグネチャを有効、無効にするべきか判断が難しい

正規通信をブロックしてしまった時のネットワークサービス障害が不安

GX400x：平均85～120μ秒程度

G2000：20～40μ秒程度

FailOpen機能でトラフィックを通過させることが可能

GX400x/G2000Cはバイパスユニットを内臓

GX5x08/G2000Fは外部バイパスユニットを使用

X-Force推奨レスポンスを提供

導入前にシュミレーションモードで一定期間評価を行うことが可能



Proventia Network IPSに関する情報

Proventia に関する情報は以下をご参照ください

– IBM ISS事業部（株）ホームページ

• http://www.isskk.co.jp/– Proventia Network IPS

• http://www.isskk.co.jp/product/proventia/network_ips.html

– マニュアルダウンロード

• http://www.isskk.co.jp/document/manuals.html

– ナレッジベース（日本語）

• https://isskk.e-srvc.com/

– ナレッジベース（英語）

• https://iss.custhelp.com/

– セキュリティセンター

• http://www.isskk.co.jp/security_center.html



©Copyright IBM Japan, Ltd. 2008

日本アイ・ビー・エム株式会社

Produced in Japan Jun 2008 All Rights Reserved

●この説明資料の情報は2008年6月現在のものです。仕様は予告なく変更される場合があります。

●記載のデータはIBM社内の調査に基づくものであり、全ての場合において同等の効果が得られることを意味するものではありません。効果はお客様の環境その他の要因によって異なります。

●製品、サービスなどの詳細については、[email protected]弊社もしくはビジネス・パートナーの営業担当員にご相談ください。

IBM、IBMロゴ、X-Force、Proventia Network MFSは、International Business Machines Corporationの米国およびその他の国における商標。

Microsoftは、Microsoft Corporationの米国およびその他の国における商標。

Adobeは、Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標。

他の会社名、製品名およびサービス名等はそれぞれ各社の商標。

本資料に関するお問合せ

日本アイ・ビー・エム株式会社ITS事業 ISS事業部

パートナーセールス部TEL ： 03-5740-4060E-Mail ： [email protected] ： http://www.ibm.com/services/jp/index.wss/offerfamily/its/b1327874 ※当資料に関するお問い合わせは、担当営業、または上記までご連絡ください。

proventia network ips gxシリーズのご紹介€“ fail close によりproventia...

Documents