Intrusion Prevention を構成する

Intrusion Prevention Service（IPS） を使用するには、サービスを有効にするための機能キーを所有している必要があります。詳細については、次を参照してください：

• Firebox 機能キーを追加する
• 機能キーを手動で追加または削除する

IPS スキャン モード

IPS には 2 種類のスキャン モードがあります

• フル スキャン — IPS が有効化されているポリシーのすべてのパケットがスキャンされます。
• 高速スキャン — 各接続でスキャンされるパケットの数を減らして、パフォーマンスを改善します。

フル スキャン モードでは、ファイルの大部分が検査されるため、完了までにより多くの時間とリソースが必要となります。高速スキャン モードでは、各ファイルで小さな部分が検査されます。ほとんどの場合、これで十分にすべての脅威が特定されます。そのため、IPS のパフォーマンスが大幅に向上します。WatchGuard は、ほとんどの環境で高速スキャン モードを使用することをお勧めしています。

IPS の脅威のレベル

IPS では、脅威の重度に基づいて、IPS の署名の脅威のレベルが 5 段階に分けられています。脅威のレベルは、最も高いものから最も低いものの順に以下のようになっています。

• 重大
• 高
• 中
• 低
• 情報

IPS を有効にすると、デフォルトの設定では、重大、高、中、または低の脅威のレベルに一致するトラフィックを切り離して記録します。情報の脅威レベルに一致するトラフィックは、許可され、デフォルトでは記録されません。

IPS アクション

各脅威のレベルに対して、次のいずれかのアクションを選択します：

• 許可 — 接続を許可します。
• ドロップ — 要求が拒否され、接続が中断されます。コンテンツのソースに情報が一切送信されません。
• ブロック — 要求が拒否され、接続が中断され、ブロックされたサイトリストにコンテンツ発信元の IP アドレスが追加されます。IPS 署名と一致するコンテンツがクライアントから届いた場合、ブロックされたサイトリストにクライアントの IP アドレスが追加されます。そのコンテンツがサーバーから送信された場合、そのサーバーの IP アドレスがブロックされたサイト リストに追加されます。

IPS の有効化と構成

Firebox にアクティブな IPS 登録がある場合、Web Setup Wizard および Quick Setup Wizard は自動的に IPS を推奨設定で有効化します。詳細については、Setup Wizard の既定のポリシーと設定 を参照してください。

IPS が自動的に有効化されなかった場合、Fireware Web UI または Policy Manager で有効化できます。

IPS を有効化すると、IPS 署名の自動更新が無効になっている場合は警告メッセージが表示されます。自動更新を構成するには、IPS 更新サーバーを構成する を参照してください。

HTTPS プロキシ ポリシーの IPS を有効化する場合に、IPS で HTTPS コンテンツがスキャンされるようにするには、HTTPS プロキシ アクションのコンテンツ インスペクションも有効にする必要があります。詳細については、HTTPS プロキシ：コンテンツ インスペクション を参照してください。

その他の IPS 設定を構成する

署名を最新の状態に維持するために、IPS 署名の自動更新を有効化してください。

• 署名更新の設定を構成するには、更新サーバー を選択します。詳細については、IPS 更新サーバーを構成する を参照してください。
• 構成内の各ポリシーについて、IPS を無効または有効にすることができます。詳細については、ポリシーの IPS を有効または無効にする を参照してください。
• 例外リストに署名を追加するには、署名 を選択します。詳細については、IPS 例外を構成する を参照してください。
• IPS の通知設定を構成するには、通知 をクリックします。詳細については、ログ記録と通知の基本設定を行う を参照してください。