Network Security Platform I-2700 Sensor 製品ガイド

I-2700 Sensor Product Guide
改訂 1.0
McAfee® Network Security Platform
Network Security Sensor
McAfee®
Network Protection
業界トップのネットワークセキュリティソリューション
著作権
Copyright © 2001 - 2009 McAfee, Inc. All Rights Reserved. この印刷物のいかなる部分についても、McAfee, Inc.、または供給業者あるいは関連会社の書面による許可なしには、
複製、送信、複写、検索システムへの格納、他言語への翻訳、あるいはいかなる形態による使用も禁止されています。
商標
ActiveSecurity、アクティブセキュリティ、Entercept、Enterprise Secure Cast、エンタープライズセキュアキャスト、E-Policy Orchestrator、イーポリシー・オーケストレイター、
GroupShield、グループシールド、IntruShield、McAfee、マカフィー、NetShield、ネットシールド、SpamKiller、VirusScan、WebShield、ウェブシールドは米国法人 McAfee, Inc.
またはその関係会社の登録商標です。McAfee ブランドの製品は赤を基調としています。本書中のその他の登録商標および商標はそれぞれその所有者に帰属します。
ライセンス情報と特許情報
ライセンス条項
お客様へ: お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます) を
よくお読みください。どのような種類のライセンスを取得したか不明である場合は、販売およびその他関連のライセンス証書を参照するか、ソフトウェアパッケージに含まれて
いる注文書または購入製品の一部として個別に受け取った文書 (ブックレット、製品 CD のファイル、またはソフトウェアパッケージをダウンロードした Web サイトから入手
できるファイル) を確認してください。本契約の規定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返品いただけれ
ば、所定の条件を満たすことによりご購入額全額をお返しいたします。
帰属
本製品には下記のソフトウェアおよびテクノロジーが含まれている場合があります。
* OpenSSL Toolkit で使用するために OpenSSL Project によって開発されたソフトウェア (http://www.openssl.org/)。* Eric A. Young によって記述された暗号化ソフトウェアお
よび Tim J. Hudson に記述されたソフトウェア。* ユーザが特定のプログラムまたはその一部をコピー、修正、再配布したり、そのソースコードにアクセスを許諾する GNU GPL
(General Public License) またはその他の同様のフリーソフトウェアライセンス下のユーザに対して、その他の権利において、使用許諾 (または二次使用許諾) されているいく
つかのソフトウェアプログラム。GPL では、ソフトウェアを実行可能なバイナリ形式で配布する場合に、そのソースコードも一緒に提供することが定められています。本製品
に GPL で配布されているソフトウェアが含まれている場合、そのソースコードが製品 CD に収録されています。この使用許諾契約で認められた権利を超えて、ソフトウェアプ
ログラムを使用、コピーまたは変更する権利を McAfee が付与することを無償ソフトウェアライセンスが義務付けている場合は、この契約にある権利と制限より優先されます。
* Henry Spencer によって作成されたソフトウェア。Copyright 1992, 1993, 1994, 1997 Henry Spencer. * Robert Nordier によって作成されたソフトウェア。Copyright (C) 1996-7
Robert Nordier. * Douglas W. Sauder によって作成されたソフトウェア。* Apache Software Foundation (http://www.apache.org/) によって開発されたソフトウェア。このソフト
ウェアの使用許諾条件については、www.apache.org/licenses/LICENSE-2.0.txtを参照。* International Components for Unicode ("ICU") Copyright (C) 1995-2002 International
Business Machines Corporation and others. * CrystalClear Software, Inc. によって開発されたソフトウェア。Copyright (C) 2000 CrystalClear Software, Inc. * FEAD (R) Optimizer
(R) technology, Copyright Netopsystems AG, Berlin, Germany. * Outside In (R) Viewer Technology (C) 1992-2001 Stellent Chicago, Inc. および/または Outside In (R) HTML
Export, (C) 2001 Stellent Chicago, Inc. * Thai Open Source Software Center Ltd. および Clark Cooper が著作権を所有するソフトウェア。 (C) 1998, 1999, 2000. * Expat
maintainers が著作権を所有するソフトウェア。* The Regents of the University of California が著作権を所有するソフトウェア。 (C) 1996, 1989, 1998-2000. * Gunnar Ritter が
著作権を所有するソフトウェア。* Sun Microsystems, Inc., 4150 Network Circle, Santa Clara, California 95054, U.S.A が著作権を所有するソフトウェア。 (C) 2003. * Gisle Aas が
著作権を所有するソフトウェア。(C) 1995-2003. * Michael A. Chase に著作権のあるソフトウェア (C) 1999-2000. * Neil Winton に著作権のあるソフトウェア (C) 1995-1996. *
RSA Data Security, Inc., に著作権のあるソフトウェア (C) 1990-1992. * Sean M. Burke に著作権のあるソフトウェア (C) 1999, 2000. * Martijn Koster に著作権のあるソフト
ウェア (C) 1995). * Brad Appleton に著作権のあるソフトウェア (C) 1996-1999. * Michael G. Schwern に著作権のあるソフトウェア (C) 2001. * Graham Barr に著作権のあるソ
フトウェア (C) 1998). * Larry Wall および Clark Cooper に著作権のあるソフトウェア (C) 1998-2000. * Frodo Looijaard に著作権のあるソフトウェア (C) 1997. * Python
Software Foundation. Copyright (C) 2001, 2002, 2003) に著作権のあるソフトウェア。このソフトウェアの使用許諾契約のコピーはwww.python.orgで参照できます。* Beman
Dawes に著作権のあるソフトウェア (C) 1994-1999, 2002. * Andrew Lumsdaine、Lie-Quan Lee、Jeremy G. Siek が作成したソフトウェア (C) 1997-2000 University of Notre
Dame. * Simone Bordet および Marco Cravero が著作権を所有するソフトウェア。(C) 2002。* Stephen Purcell が著作権を所有するソフトウェア。(C) 2001。* インディアナ大
学 Extreme! 研究室 (http://www.extreme.indiana.edu/) によって開発されたソフトウェア。* International Business Machines Corporation およびその関係会社が著作権を所有す
るソフトウェア (C) 1995-2003. * カリフォルニア大学バークレー校によって開発されたソフトウェア。* mod_sslプロジェクト (http://www.modssl.org/) で使用するために Ralf S.
Engelschall <[email protected]> が開発したソフトウェア。* Kevlin Henney の著作権で保護されているソフトウェア (C) 2000-2002. * Peter Dimov と Multi Media Ltd. の著
作権で保護されているソフトウェア (C) 2001, 2002. * David Abrahams の著作権で保護されているソフトウェア (C) 2001, 2002. ドキュメントについては、
http://www.boost.org/libs/bind/bind.htmlを参照。* Steve Cleary、Beman Dawes、Howard Hinnant および John Maddock の著作権で保護されているソフトウェア (C) 2000. *
Boost.orgの著作権で保護されているソフトウェア (C) 1999-2002. * Nicolai M. Josuttis の著作権で保護されているソフトウェア (C) 1999. * Jeremy Siek の著作権で保護されて
いるソフトウェア (C) 1999-2001. * Daryle Walker の著作権で保護されているソフトウェア (C) 2001. * Chuck Allison および Jeremy Siek の著作権で保護されているソフト
ウェア (C) 2001, 2002. * Samuel Kremppの著作権で保護されているソフトウェア (C) 2001. アップデート、ドキュメント、改定履歴については、http://www.boost.org を参照。
* Doug Gregor ([email protected]) の著作権で保護されているソフトウェア (C) 2001, 2002. * Cadenza New Zealand Ltd.の著作権で保護されているソフトウェア (C) 2000. *
Jens Maurer の著作権で保護されているソフトウェア (C) 2000, 2001. * Jaakko Järvi ([email protected]) の著作権で保護されているソフトウェア (C) 1999, 2000. * Ronald
Garciaの著作権で保護されているソフトウェア (C) 2002. * David Abrahams、Jeremy Siek とDaryle Walker の著作権で保護されているソフトウェア (C) 1999-2001. * Stephen
Cleary ([email protected]) の著作権で保護されているソフトウェア (C) 2000. * Housemarque Oy <http://www.housemarque.com> の著作権で保護されているソフトウェ
ア (C) 2001. * Paul Moore の著作権で保護されているソフトウェア (C) 1999. * Dr. John Maddock の著作権で保護されているソフトウェア (C) 1998-2002. * Greg Colvin と
Beman Dawes の著作権で保護されているソフトウェア (C) 1998, 1999. * Peter Dimov の著作権で保護されているソフトウェア (C) 2001, 2002. * Jeremy Siek とJohn R.
Bandela の著作権で保護されているソフトウェア (C) 2001. * Joerg Walter と Mathias Koch の著作権で保護されているソフトウェア (C) 2000-2002. * Carnegie Mellon
Universityの著作権で保護されているソフトウェア (C) 1989, 1991, 1992. * Cambridge Broadband Ltd.の著作権で保護されているソフトウェア (C) 2001-2003. * Sparta, Inc.の著
作権で保護されているソフトウェア (C) 2003-2004. * Cisco, Inc. および Information Network Center of Beijing University of Posts and Telecommunicationsの著作権で保護され
ているソフトウェア (C) 2004. * Simon Josefsson の著作権で保護されているソフトウェア。(C) 2003. * Thomas Jacob の著作権で保護されているソフトウェア (C) 2003-2004. *
Advanced Software Engineering Limitedの著作権で保護されているソフトウェア (C) 2004. * Todd C. Miller の著作権で保護されているソフトウェア (C) 1998. * The Regents of
the University of Californiaの著作権で保護されているソフトウェア (C) 1990, 1993. BerkeleyにChris Torek より寄贈されたソフトウェアから生成したコードを含む。
2009 年 12 月発行/ I-2700 Sensor Product Guide
700-2387-16 / 1.0 - 日本語
目次
まえがき .......................................................................................................... v
McAfee Network Security Platform について .............................................................. v
本書について ............................................................................................................... v
このガイドの構成................................................................................................. v
対象読者 ......................................................................................................................vi
本書の表記規則............................................................................................................vi
関連資料 .....................................................................................................................vii
テクニカルサポートの連絡先 .................................................................................. viii
第 1 章 Network Security Sensor の概要 .................................................. 1
Network Security Sensor とは .................................................................................... 1
センサの機能 ............................................................................................................... 1
センサプラットフォーム............................................................................................ 1
Network Security Platform I-2700 Sensor .................................................................... 2
センサのポート .................................................................................................... 2
I-2700 のフロントパネルの LED ....................................................................... 4
第 2 章インストール前の準備...................................................................... 6
I-2700 センサの仕様 ................................................................................................... 6
ネットワークトポロジの考慮事項 ............................................................................. 7
安全対策 ...................................................................................................................... 7
光ファイバーポートの併用................................................................................. 8
使用上の制限 ............................................................................................................... 8
センサの開梱 ............................................................................................................... 9
センサの梱包箱の内容.......................................................................................... 9
第 3 章設定前のセンサのセットアップ ..................................................... 10
セットアップの概要 .................................................................................................. 10
センサの設置 ............................................................................................................. 10
シャーシへのラックマウントの取り付け................................................................. 10
ラックへの I-2700 センサの取り付け ............................................................... 11
I-2700 への冗長電源の設置....................................................................................... 12
GBIC の挿入 ............................................................................................................. 12
GBIC の挿入 ...................................................................................................... 13
GBIC の取り外し ............................................................................................... 13
センサの配線 ............................................................................................................. 14
センサの電源オン ...................................................................................................... 14
センサの電源オフ............................................................................................... 14
iii
第 4 章センサへのケーブルの接続 ............................................................ 15
コンソールポートの配線.......................................................................................... 15
補助ポートの配線 ...................................................................................................... 15
レスポンスポートの配線.......................................................................................... 16
マネジメントポートの配線 ...................................................................................... 16
モニタリングポートの配線 ...................................................................................... 17
ピアポートの使用 ............................................................................................. 17
モニタリングポートのデフォルトの速度設定 .................................................. 18
ルータ、スイッチ、ハブ、PC 用のケーブルの種類.......................................... 19
フェールクローズドングルの使用 .................................................................... 19
フェールオープンハードウェアの使用 ............................................................. 19
In-Line モードで監視する場合のセンサの配線 ......................................................... 19
In-Line モードで監視する場合のセンサの配線 ......................................................... 20
内部 TAP モードで監視する場合のセンサの配線 .................................................... 21
外部 TAP モードでのセンサの GBIC ポートの配線 ............................................... 22
SPAN/Hub モードで監視する場合の I-2700 センサの配線 ..................................... 22
I-2700 センサでのフェールオーバー用相互接続ポートの配線.......................... 22
索引 ............................................................................................................... 25
iv
まえがき
以下では、本製品について簡単に説明し、本書の内容および構成について説明します。ま
た、本書をサポートするマニュアルおよび McAfee テクニカルサポートへの連絡方法に
ついても説明します。
McAfee Network Security Platform について
McAfee® Network Security Platform (旧 McAfee® IntruShield®) は、大企業、電話会社、サー
ビスプロバイダネットワーク向けの最も包括的で高性能な、拡張可能なネットワークア
クセス制御 (NAC)、ネットワーク侵入防御システム (IPS) および Network Threat
Behavior Analysis (NTBA) を提供します。スパイウェアや既知のゼロデイ攻撃や暗号化に
よる攻撃に対して、比類なき保護対策を実現します。
McAfee® Network Threat Behavior Analysis アプライアンスは、ネットワーク上で送受信さ
れている NetFlow 情報をリアルタイムに分析し、ネットワークトラフィックを監視しま
す。McAfee Network Security Sensor、NAC センサ、NTBA アプライアンスをインストー
ルして単一のマネージャで管理することで、NAC と IPS の機能を補完することができま
す。
本書について
このガイドでは、McAfee® Network Security Sensor に必要な情報が記載されています。実
物と殆ど同じ McAfee Network Security Sensor (センサ) の画像を使用し、センサの開梱か
らユーザの要件ごとの製品環境への配備まで、分かりやすい手順で説明します。
このガイドの構成
このガイドの内容は次のとおりです。
•
第 1 章、「Network Security Sensorの概要」 (1ページ) では、センサの機能とポート
の構成、およびフロントパネルの LED について説明します。
•
第 2 章、「インストール前の準備」 (6ページ) では、システムの仕様と、安全性およ
び使用に関するセンサの要件を説明します。
•
第 3 章、「センサのセットアップ」 (10 ページ) では、センサを設定する前に実行す
る必要のある手順について説明します。
•
第 4 章、「センサへのケーブルの接続」 (15ページ) では、センサとネットワーク、
モニタリングおよびレスポンスケーブルとの接続方法や、さまざまな動作モードに対
するセンサの配線方法について説明します。
v
まえがき
McAfee® Network Security Platform
対象読者
本書は、センサのインストール、設定、メンテナンスを行うネットワークの専門家および
メンテナンス担当者を対象としています。IPS 関連のタスク、タスク同士の関係、特定の
タスクを実行するコマンドなどに精通している必要はありません。
本書の表記規則
本書は次の表記規則に従っています。
規則
例
ユーザインターフェース (UI) と [Properties] (プロパティ) タブの [Service] (サービ
して表示されるフィールド、ボタス) フィールドに、必要なサービスの名前を指定
ン、タブ、オプション、選択項目、します。
コマンドなどは Arial Narrow の太字
で表記しています。
メニュー項目やグループを順番に
選択するときの手順を表します。
[My Company]、[Admin Domain] (管理ドメイン)、
[Summary] (サマリ) の順に選択します。
操作手順を表す場合には、番号付 1. [Configuration] (設定) タブで [Backup] (バック
きの箇条書きを使用しています。アップ) をクリックします。
キーボードのキーの名前を示す場
合に、大文字を使用しています。
ENTER キーを押します。
ユーザがそのまま入力する構文、
キーワード、値は Courier New
フォントで表記しています。
setup と入力して ENTER を押します。
特定の状況や環境に基づいて入力センサの IP アドレスを入力して ENTER キー
する必要のある可変情報は、イタを押します。
リック体で表記しています。
必須で入力するパラメータは不等
号括弧で囲んであります。
set Sensor ip <A.B.C.D>
操作を行う前に必ず参照しなけれ
ばならない情報や、データの削除
など、操作を行うと問題が発生す
ることを警告する場合に、この
マークを使用しています。
警告:
電気機器を取り扱う場合に怪我や
事故に繋がるような操作や行為を
記述する場合に、このマークを使
用しています。
危険:
vi
まえがき
McAfee® Network Security Platform
規則
例
関連する情報を示す場合に、この
マークを使用しています。
注意:
関連資料
本書のほかに、以下のマニュアルとオンラインヘルプが用意されています。これらの資料
の詳細については、『Quick Tour』 (クイックツアー) を参照してください。
•
Quick Tour (クイックツアー)
•
Installation Guide (インストールガイド)
•
Upgrade Guide (アップグレードガイド)
•
Getting Started Guide (スタートガイド)
•
IPS Deployment Guide (IPS 配備ガイド)
•
Manager Configuration Basics Guide (マネージャコンフィグレーションベーシック
ガイド)
•
Administrative Domain Configuration Guide (管理ドメインコンフィグレーションガ
イド)
•
Manager Server Configuration Guide (マネージャサーバコンフィグレーションガ
イド)
•
IPS Configuration Guide (IPS コンフィグレーションガイド)
•
CLI Guide (CLI ガイド)
•
Device Configuration Guide (デバイスコンフィグレーションガイド)
•
System Status Monitoring Guide (システムの状態の監視ガイド)
•
Reports Guide (レポートガイド)
•
Custom Attack Definitions Guide (カスタム攻撃定義ガイド)
•
Central Manager Administrator's Guide (セントラルマネージャ管理者ガイド)
•
Troubleshooting Guide (トラブルシューティングガイド)
•
NAC Configuration Guide (NAC コンフィグレーションガイド)
•
Integration Guide (インテグレーションガイド)
•
Best Practices Guide (考慮事項ガイド)
•
I-1200 Sensor Product Guide (I-1200 センサ製品ガイド)
•
I-1400 Sensor Product Guide (I-1400 センサ製品ガイド)
•
I-3000 Sensor Product Guide (I-3000 センサ製品ガイド)
•
I-4000 Sensor Product Guide (I-4000 センサ製品ガイド)
•
I-4010 Sensor Product Guide (I-4010 センサ製品ガイド)
•
Gigabit Optical Fail-Open Bypass Kit Guide (Gigabit 光フェールオープンバイパス
キットガイド)
•
Gigabit Copper Fail-Open Bypass Kit Guide (Gigabit 銅線フェールオープンバイパス
キットガイド)
vii
まえがき
McAfee® Network Security Platform
•
Special Topics Guide—In-line Sensor Deployment (関連トピックガイド－ In-line
センサ配備)
•
Special Topics Guide—Sensor High Availability (関連トピックガイド－高可用性セ
ンサ)
•
Special Topics Guide—Virtualization (関連トピックガイド－仮想化)
•
Special Topics Guide—Denial-of-Service (関連トピックガイド－サービス拒否)
テクニカルサポートの連絡先
テクニカルサポートの連絡先及びサポート内容については、購入サポート窓口までお問い
合わせください。
オンライン
弊社テクニカルサポート:
登録ユーザの方は、最新のドキュメントや技術情報を入手したり、McAfee KnowledgeBase
にいつでもアクセスすることができます。また、技術的な問題をオンラインで解決したり、
ソフトウェアのダウンロードやシグネチャのアップデートを行うこともできます。
電話
テクニカルサポートの受付時間は米国太平洋標準時の月曜日から金曜日の午前 7 時から
午後 5 時までです。Gold または Platinum サービスを契約している場合には、曜日時間
にかかわらずサポートを受けることができます。世界各国の電話連絡先については、
http://www.mcafee.com/us/about/contact/index.html を参照してください。
注意: McAfee テクニカルサポートの受付時に、承認番号とシステムのシリアル番
号が必要になります。また、オンラインの問い合わせでは、ユーザ名とパスワード
を入力する必要があります。
viii
第 1章
Network Security Sensor の概要
このセクションでは、McAfee® Network Security Sensor を詳しく説明します。
Network Security Sensor とは
McAfee Network Security Sensor (センサ) は、拡張性と柔軟性に優れた高性能なコンテン
ツ処理アプライアンスで、侵入、誤使用、分散型サービス拒否 (DDoS) 攻撃を正確に検知
し、防御することができます。
センサは、ワイヤレベルの速度でトラフィックを処理し、非常に高い精度で侵入を検知し
ます。また、企業環境のセキュリティ要件に合わせて柔軟に対応できるように設計されて
います。センサを重要なアクセスポイントに配備することにより、リアルタイムにトラ
フィックを監視し、管理者の設定に従って不正な活動を検知し、対応することが可能です。
センサを配備して接続が確立すると、センサの設定や管理をMcAfee® Network Security
Managerサーバから行うことができます。
センサの設定方法および McAfee Network Security Manager (マネージャ) との接続方法
については、本書の以降の章で説明します。マネージャサーバの詳細については、『Getting
Started Guide』 (スタートガイド) を参照してください。
センサの機能
デバイスの基本的な機能は、特定のネットワークセグメントのトラフィックを分析し、攻
撃を検知した場合にレスポンスを実行することです。デバイスはネットワークを通過する
パケットのヘッダ情報とデータ部分を検査し、不正な活動を示すパターンや不審な動作が
ないかを調査します。デバイスは、ユーザが設定したポリシー (ルールセット) に従って
パケットを検査します。ルールセットには、検知の対象とする攻撃や、攻撃が検知された
場合の対応方法を定義します。
攻撃が検知されると、センサは設定されたポリシーに従って対応します。センサは、攻撃
に対してさまざまな処理を実行します。たとえば、アラートやパケットログの生成、TCP
接続のリセットの遮断などを実行します。また、不正なパケットを「スクラビング」した
り、宛先に到達する前に攻撃パケット全体をドロップしたりします。
センサプラットフォーム
弊社では、さまざまな帯域幅や配備方針に対応するため、複数のセンサプラットフォーム
を提供しています。
1
Network Security Sensor の概要
McAfee® Network Security Platform
本書では、センサについて説明します。
Network Security Platform I-2700 Sensor
Network Security Platform I-2700 Sensor (センサ) には、6 個の Fast Ethernet ポート (イ
ンターフェース) と 2 個の GBIC スロットが装備され、最大 600 Mbps までの集約トラ
フィックを監視できます。6 個の Fast Ethernet ポートを使用することにより、全二重モー
ド 10/100 Mbps Ethernet セグメントを 3 つまで監視することができます (TAP または
In-Line モード) 。半二重モードでは 6 つのセグメントが監視できます (SPAN ポートま
たはハブ)。全二重リンクと半二重リンクを組み合わせて監視することも可能です。このセ
ンサは、インターフェースの他のポートが In-Line モードで動作していても、スニッフィ
ングモード (全二重または半二重リンク) で監視することができます。
センサのポート
I-2700 は 2 ラックユニット (2RU) で、次のポートを装備しています。
図 1:I-2700 センサ
名前
説明
1
コンソールポート
2
補助ポート
3
マネジメントポート
4
外部コンパクトフラッシュポート
5
GBIC モニタリングポートまたはフェール
オーバー用相互接続ポート (4A のみ)
6
10/100 モニタリングポート
7
レスポンスポート
2
Network Security Sensor の概要
McAfee® Network Security Platform
1
RS-232C コンソールポート 1 個。センサのセットアップと設定に使用します。
2
RS-232C 補助ポート 1 個。ダイアルアップ接続でセンサのセットアップと設定を行
う場合に使用します。
3
10/100 マネジメントポート 1 個。マネージャサーバとセキュア接続を確立するた
めに使用します。センサとマネージャサーバ間の通信ではセキュアチャネルが使用
されます。これらのチャネルでは、公開鍵認証によってセンサとマネージャ間の接続
が暗号化され、相互認証が行われます。この Ethernet ポートは、インストール時に
ユーザによって IP アドレスが割り当てられます。
4
外部コンパクトフラッシュポート 1 個。このポートは 2 つの用途で使用することが
できます。オプションのフェールオープンハードウェアの制御に使用されます
(『Gigabit Optical Fail-Open Bypass Kit Guide』 (Gigabit光フェールオープンバイパスキッ
トガイド) を参照) 。また、センサの内部フラッシュが破損し、外部コンパクトフラッ
シュを使用して再起動する必要がある場合に使用します。詳細については、McAfee サ
ポートサイトの KnowledgeBase (https://mysupport.mcafee.com) を参照してくださ
い。
5
GBIC モニタリングポート 2 個。最大 600 Mbps までの連続したトラフィックを転
送する Gigabit Ethernet セグメントを監視できます。センサにフェールオーバー機能
を実装する場合には、このポートの一方 (4A) を相互接続ポートとして使用します。
注意: In-Line モードで実行中の場合、センサの GBIC インターフェースは
フェールクローズに対応しています。センサに障害が発生すると接続は切断さ
れ、データフローは中断または遮断されます。フェールオープン機能を使用す
るには Optical Fail Open Kit が必要です。17 ページの「モニタリングポート
の配線」を参照してください。
6
10/100 モニタリングポート 6 個。SPAN モードで使用すると 6 つのセグメントを
監視できます。TAP モードで使用すると、全二重モードのセグメントを 3 つ監視で
きます。In-Line モードでは 3 つのセグメントを監視できます。また、2 個のポート
を全二重モード用に、4 個のポートを半二重モード用に組み合わせて使用することが
できます。これらのポートはステルスモードで動作します。つまり、これらのポート
には IP アドレスは割り当てられていません。IDS 検知方法に応答する TCP/IP ス
タックも存在しないため、侵入者からは完全に見えない状態になります。
7
レスポンスポート 3 個。SPAN モードで実行しているときに、応答パケットをネッ
トワークに (スイッチまたはルータ経由で) 戻すことができます。
8
電源装置。センサの電源ポートはセンサの背面にあります。この電源装置には標準の
IEC ポート (IEC320-C13) を使用します。2 m の標準的な NEMA 5-15P (US) 電源
ケーブル (3 線) が付属しています。米国以外のユーザは、適切な電源ケーブルを使用
してください。
9
冗長電源 (別売)。I-2700 は冗長電源をサポートしています。電源ポートはセンサの背
面にあります。冗長電源の仕様は、上記で説明しているセンサを含む電源装置の仕様
と同じです。
10 内部 TAP (見えません)。10/100 ポートとの併用により、ステルスモードでの監視が
可能になります。SPAN ポートまたはハブに接続したり、外付けの TAP を用意する
必要はありません。ピアモードでネットワークセグメントを監視するように 10/100
ポートのペアを構成している場合には、内部 TAP を使用してネットワークセグメン
トを直接センサに接続することができます。片方のポートは装置 A (ファイアウォー
ル、ルータ、スイッチなど) からのパケットを送受信し、もう一方のポートは装置 B か
らのパケットを送受信します。内部 TAP モードは、必要に応じて In-Line モードに
切り替えることができます。
3
Network Security Sensor の概要
McAfee® Network Security Platform
注意: GBIC ポートには他社製の外部 TAP を使用する必要があります。正規の販売
代理店から提供されている TAP を使用してください。認定メーカーについては、
McAfee サポートサイトの KnowledgeBase (https://mysupport.mcafee.com) を参
照してください。
注意: 内部 TAP はフェールオープンに対応しています。内部 TAP モードでの実行
中にセンサで物理的な障害が発生してもネットワークトラフィックの流れは止ま
らず、パケットはそのまま送信されます (ただし、ネットワークデバイスの接続が
確立されるまで中断が発生する場合があります)。
フェールクローズ機能を使用する場合には、配線を変える必要があります。通常の
Cat 5/Cat 5e ケーブルはフェールオープンに対応しています。弊社提供のフェール
クローズドングルを使用することにより、フェールクローズ機能が有効になります。
詳細については、「モニタリングポートの配線」を参照してください。
I-2700 のフロントパネルの LED
フロントパネルの LED は、センサの状態とポート上のアクティビティを示します。次の
表に、センサのフロントパネルの LED を示します。
LED
Power
ステータス
緑色
説明
センサは電源が入り、機能していま
す。
オフ
センサに電源が入っていない。
Management Port
Speed
黄色
ポート速度は 100 Mbps です。
オフ
ポート速度は 10 Mbps です。
Management Port
Link
緑色
リンクは接続されています。
オフ
リンクは切断されています。
Sys
緑色
センサは動作しています。
黄色
センサは起動中です。
緑色
ファンは動作しています。
黄色
ファンは動作していません。
緑色
ファンは動作しています。
黄色
ファンは動作していません。
緑色
シャーシ内で計測された吸気温度は
正常です。(シャーシ温度は正常です。)
黄色
シャーシ内で計測された吸気温度は
高すぎます。(シャーシ温度が高すぎま
す。)
Fan A
Fan B
Temp
4
Network Security Sensor の概要
McAfee® Network Security Platform
LED
Flash
ステータス
緑色
説明
外部コンパクトフラッシュ上のアク
ティビティがあります。(フェールオー
プンコントローラの挿入など)
オフ
外部コンパクトフラッシュ上のアク
ティビティはありません。
Gigabit Port 4A and
4B Act
黄色
データを転送中です。
オフ
転送中のデータはありません。
Gigabit Port 4A and
4B Link
緑色
リンクは接続されています。
オフ
リンクは切断されています。
10/100 Monitoring
Ports Speed
黄色
ポート速度は 100 Mbps です。
オフ
ポート速度は 10 Mbps です。
10/100 Monitoring
Ports Link
緑色
リンクは接続されています。
オフ
リンクは切断されています。
Response Port Speed 黄色
Response Port Link
ポート速度は 100 Mbps です。
オフ
ポート速度は 10 Mbps です。
緑色
リンクは接続されています。
オフ
リンクは切断されています。
5
第 2章
インストール前の準備
センサの仕様、安全対策、センサの開梱
この章では、McAfee® Network Security Sensors (センサ) をネットワークに配備する前の
考慮事項について説明します。ここでは、システム要件、設置計画、センサの取り扱いに
関する安全上の考慮事項、およびセンサに適用される使用上の制限について説明します。
I-2700 センサの仕様
次の表では、センサの仕様について説明します。
センサの仕様
寸法
説明
(ラックマウントおよびケーブルマネジメントを除く)
•
幅:17.32 in. (43.99 cm.)
•
高さ:3.46 in. (8.8 cm.)
•
奥行:20.4 in. (51.81 cm.)
(ラックマウントおよびケーブルマネジメントを含む)
•
幅:19.00 in. (48.26 cm.)
•
高さ:1.69 in. (4.29 cm.)
•
奥行:18.50 in. (46.99 cm.)
ケーブルおよび電源コードは寸法に含まれていません。
重量
20 lb. (9.09 kg.)
電圧
100-240 VAC
周波数
50/60 Hz
振動、動作時
5 - 200 Hz、0.5 g（1oct/min）
振動、非動作時
5 - 200 Hz、1 g（1oct/min）
200 - 500 Hz、2 g（1oct/min）
電源要件
250 W
周囲温度 (結露なし)
動作時
0C (32F) - 40C (104F)
非動作時
-40C (-40F) - 70C (158F)
6
インストール前の準備
McAfee® Network Security Platform
センサの仕様
相対湿度 (結露なし)
説明
動作時
10% - 90% 結露なし
非動作時
5% - 95% 結露なし
システムの熱損失
854 BTU/hr
排気量
200 lfm (1 m/s)
高度
海抜 0 - 10,000 ft (3050 m)
スループット
600 Mbps
ケーブルの仕様：
センサで使用するケーブルについて、以下の仕様に注意してください。
•
伝送速度を毎秒 1 Gigabit (Gigabit Ethernet) に上げるためには、カテゴリ 5E (Cat
5e) ケーブルが必要です。
•
10 または 100 Mbps で実行する Ethernet ネットワークでは、カテゴリ 5 (Cat 5) ま
たは Cat 5e ケーブルを使用できます。
注意: 本書の説明では、ケーブルの仕様は Cat 5 または Cat 5e です。
ネットワークトポロジの考慮事項
McAfee® Network Security Platform (旧 McAfee® IntruShield® Network Intrusion Prevention
System) を配備する場合、ネットワークを保護するために必要な構成レベルや設置するセ
ンサとマネージャの数を決定するために、ネットワークに関する基本的な知識が必要です。
McAfee Network Security Platform Sensor は、1 つ以上のネットワークセグメントのト
ラフィックを監視するための専用センサです。Network Security Platform の配備でのネッ
トワークトポロジの考慮事項については、『IPS Deployment Guide』 (IPS 配備ガイド) の「配
備前の考慮事項」を参照してください。
安全対策
特に断りのない限り、これらの安全対策はすべてのセンサモデルに適用されます。製品を
設置する前に、以下をよくお読みください。
これらの安全性に関する警告に従わない場合、怪我をする危険があります。
7
インストール前の準備
McAfee® Network Security Platform
危険：
•
電源につなぐ前に、設置手順をよくお読みください。
•
センサの電源をすべて切る場合は、冗長電源を含めたすべての電源コードを抜いてく
ださい。
•
この装置の設置、交換、修理は、訓練を受けた相応の資格のある人物のみが行ってく
ださい。
•
電源が入っている装置に触れる前に、貴金属類 (指輪、ネックレス、時計など) を外し
てください。電源および接地に接続すると金属部分が発熱し、やけどをしたり、端子
の金属部分が溶ける場合があります。
•
この装置は接地接続してください。通常の使用中には、確実にホストを接地接続して
ください。
•
センサのカバーを外さないでください。カバーを外すと保証の対象外となります。
•
この装置はテストの結果、FCC 規定の Part 15 に記載されている Class A デジタル
装置の規制に適合するものとして認定されています。これらの規制は、機器を住宅環
境で使用した場合に発生し得る有害な電波障害に対して適切な防止策を講じることを
目的としています。この装置は、電磁波を使用、発生、および外部に放出することが
あります。そのため、取り扱い説明書に従って設置および使用しない場合には、無線
通信に重大な受信障害を起こすことがあります。また、この装置を住宅環境で使用す
ると有害な電波障害を起こすことがあります。その場合には、ユーザの責任において、
電波障害の対策を講じる必要があります。
光ファイバーポートの併用
•
光ファイバーポート (FDDI、OC-3、OC-12、OC-48、ATM、GBIC、100BaseFX な
ど) は、Class 1 レーザーポートまたは Class 1 LED ポートとみなされます。
•
これらの製品はテストの結果、IEC 60825-1、IEC 60825-2、EN 60825-1、EN 60825-2、
21CFR1040 における Class 1 の規制に適合するものとして認定されています。
危険: 光ファイバーポートの開口部を凝視しないでください。ケーブルが接続され
ていない場合、ポートの開口部から不可視の放射線が放射されている場合がありま
す。
使用上の制限
センサの使用上の制限は次のとおりです。
•
センサのカバーを外さないでください。カバーを外すと保証の対象外となります。
•
センサアプライアンスは多目的のワークステーションではありません。
•
センサアプライアンスを Network Security Platform の機能以外に使用しないでくだ
さい。
•
Network Security Platform の通常の機能に含まれていないハードウェアやソフトウェ
アをセンサアプライアンスに設置したり、変更しないでください。
8
インストール前の準備
McAfee® Network Security Platform
センサの開梱
センサを開梱するには、以下の手順に従います。
1
設置する場所からできるだけ近い場所にセンサの入った箱を置きます。
2
表面の文字が正しい向きになるように箱を置きます。
3
箱の上部の蓋を開けます。
4
付属品の箱を取り出します。
5
部品が揃っているかどうかを確認します。部品の一覧は、梱包明細書と 9 ページの「セ
ンサの梱包箱の内容」に記載されています。
6
センサの周囲の梱包材を取り除きます。
7
静電防止用の袋からセンサを取り出します。
8
後でセンサを輸送しなければならない場合に備えて、箱や梱包材は保存しておいてく
ださい。
センサの梱包箱の内容
センサの梱包箱には以下が同梱されています。
•
センサ 1 台
•
電源コード 1 本。2 m の標準的な NEMA 5-15p (US) 電源ケーブル (3 線) が付属し
ています。米国以外のユーザは、適切な規格の電源ケーブルを使用してください。
•
ラックマウント一式
•
フェールクローズドングル (I-1200 では 2 個、I-1400 では 4 個、I-2700 では 6 個)
•
Quick Start Guide (クイックスタートガイド)
•
リリースノート
9
第 3章
設定前のセンサのセットアップ
この章では、Network Security Manager (マネージャ) を介してMcAfee® Network Security
Sensor (センサ) を設定する前のセンサのセットアップ方法を説明します。
セットアップの概要
センサをセットアップするには、以下の手順に従います。
1
センサを設置します。10 ページの「センサの設置」を参照してください。
2
GBIC を挿入します。
3
電源、ネットワーク、モニタリングケーブルを接続します。15 ページの「センサへ
のケーブルの接続」を参照してください。
4
センサの電源を入れます。「センサの電源をオン」を参照してください。
センサをセットアップして電源を入れたら、設定を行うことができます。
センサの設置
監視するスイッチやルータに近く、物理的に安全な場所にセンサを配置します。通信ラッ
クを使用することをお勧めします。
センサをラックに設置する場合、ラックマウントをセンサに取り付けてからラックに設置
します。ラックマウントは、シャーシの前方部分もしくは中央部分のどちらかに取り付け
ます。
センサは、2RU (2 ラックユニット) です。
シャーシへのラックマウントの取り付け
警告: シャーシにラックマウントを取り付ける前に、電源がオフになっていること
を確認してください。電源ケーブルおよびネットワークインターフェースケーブ
ルをすべてセンサから取り外してください。
ラックマウントには、シャーシへの取り付けに使用する穴があります。
10
設定前のセンサのセットアップ
McAfee® Network Security Platform
►
シャーシにラックマウントを取り付けるには、次の手順に従います。
1
必要な部品がすべて揃っているかどうかを確認します。(ラックマウント 2 つ、皿ね
じ 12 本)。
2
シャーシの右側面にラックマウントを取り付けます。プラスドライバーを使用して
シャーシに皿ねじを固定します。
3
同様に、左側面にもラックマウントを取り付けます。
図 2:センサのシャーシへラックマウントの取り付け
ラックへの I-2700 センサの取り付け
センサはラックに設置することをお勧めします。センサなどラックに設置するハードウェ
アの多くは、19 インチの機器ラックや Telco タイプのラックに適合しています。センサ
の前面と背面の両方をメンテナンス可能な状態で設置する必要があります。
注意: ラックにセンサを設置する前に、電源がオフになっていることを確認してくだ
さい。電源ケーブルおよびネットワークインターフェースケーブルをすべてセン
サから取り外してください。
2 本のラックポストまたは帯状の設置部分にラックマウントを固定して、センサをラッ
クに設置します。ラックマウントにより 2 本のラックポストにセンサが固定されます。
センサの残りの部分は、ラックマウントから飛び出している状態になります。
注意: センサをラックに設置する作業は 2 人で行ってください。1 人がセンサを持
ち、もう 1 人がセンサをラックに固定します。
2 本のラックポストまたは帯状の設置部分にラックマウントを固定してセンサを設置し
ます。ラックマウントでセンサ全体の重量を支えます。確実にラックに固定してください。
11
設定前のセンサのセットアップ
McAfee® Network Security Platform
図 3:ラックへの I-2700 センサの取り付け
I-2700 への冗長電源の設置
標準的なセンサには、ホットスワップ可能な電源装置が 1 つ含まれています。冗長性を強
化するため、ホットスワップ可能な電源装置 (弊社より別途購入) を追加することができま
す。
各モジュールには、ユニットへの出し入れに使用するハンドルと固定用ねじがあります。
図 4:I-2700 への電源装置の取り付け
GBIC の挿入
GBIC は、ホットスワップが可能な入出力デバイスです。Gigabit Ethernet ポートに接続し、
光ファイバネットワークのモジュールポートをリンクします。弊社または認定メーカー
から入手した McAfee® Network Security Platform 対応の GBIC を使用してください。
注意: 互換性を保証するため、Network Security Platform は Network Security
Platform または Network Security Platform 認定ベンダー経由で購入した GBIC の
みをサポートしています。認定メーカーのリストについては、Network Security
Platform サポートサイトの KnowledgeBase (https://mysupport.mcafee.com) を参
照してください。
ここでは、2 つのクリップを使用してセンサに固定する GBIC の挿入方法について説明し
ます。使用している GBIC によって手順が多少異なる場合があります。詳細については、
メーカーによる挿入手順を参照してください。
12
設定前のセンサのセットアップ
McAfee® Network Security Platform
GBIC の挿入
►
クリップが付いている GBIC を挿入するには、以下の手順に従います。
1
GBIC を保護パッケージから取り出します。
2
GBIC のモデルがネットワークに適しているかを確認します。
3
親指と人差し指で GBIC の両側を持ち、モジュールソケットに挿入します。
通常、GBIC には正しく挿入されるようにロックキーが付いています。
図 5:センサの GBIC スロットへの GBIC の挿入
4
ソケットについているフラップを押しながら GBIC をスライドさせ、カチッという音
がするまで差し込みます。カチッという音が聞こえれば、GBIC はスロットに固定さ
れています。
5
通常、GBIC の光ケーブル差込口には保護プラグが付いています。ネットワークイン
ターフェースケーブルを取り付ける準備ができたら、GBIC の光ケーブル差込口につ
いているプラグは取り外してください。取り外したプラグは、今後の使用に備えて保
管してください。
GBIC の取り外し
►
クリップが付いている GBIC を取り外すには、以下の手順に従います。
1
GBIC コネクタからネットワークの光ファイバケーブルの接続を切ります。
2
GBIC の両側にある 2 つのプラスチックのタブを同時につまみ、GBIC のロックを解
除します。
3
Gigabit Ethernet モジュールスロットから GBIC を取り出します。Gigabit Ethernet
モジュールコネクタを保護するフラップが下ります。
4
GBIC の光ケーブル差込口に GBIC プラグを差し込んで GBIC スロットを保護しま
す。
13
設定前のセンサのセットアップ
McAfee® Network Security Platform
センサの配線
センサのモニタリングポート、レスポンスポート、コンソールポート、マネジメント
ポートにケーブルを接続するには、15 ページの「センサへのケーブルの接続」の手順に従っ
てください。
センサの電源オン
センサをラックに設置し、必要なネットワーク接続と電源装置の接続が完了するまでは、
センサに電源を入れないでください。
1
センサの電源装置に電源ケーブルを接続します。
2
電源ケーブルを電源に接続します。
センサの電源オフ
電源をオフにする前に、CLI の shutdown コマンドを使用してセンサを停止してください。
14
第 4章
センサへのケーブルの接続
この章の手順に従って、McAfee® Network Security Sensor (センサ) の各ポートにケーブル
を接続します。
コンソールポートの配線
コンソールポートは、センサのセットアップと設定に使用します。
1
コンソールを接続するには、付属の DB9 コンソールケーブルをコンソールポート
(センサのフロントパネルの Console) に差し込みます。
2
センサの設定に使用する PC またはターミナルサーバ (正しく設定された
Windows ハイパーターミナルを実行する PC など) の COM ポートに、コンソール
ポートケーブルのもう一方の端を直接接続します。最初の設定時にはコンソールに直
接接続する必要があります。
ハイパーターミナルを使用する場合は、次のように設定します。
名前
3
設定
ボーレート
9600
データビット
8
パリティ
なし
ストップビット
1
フロー制御
なし
センサの電源を入れます。
補助ポートの配線
補助ポート (Aux) はセンサのセットアップと設定に使用します。設定するにはモデムにア
クセスします。
センサの最初の設定時には、モデムを使用することはできません。
15
センサへのケーブルの接続
McAfee® Network Security Platform
1
モデムを接続するには、ストレートモデムケーブルを補助ポート (センサのフロン
トパネルのAux) に差し込みます。
2
補助ポートにモデムを接続します。
3
モデムに電話線を接続します。
Aux ポートを次のように設定します。
名前
設定
ボーレート
9600
データビット
8
パリティ
なし
ストップビット
1
フロー制御
なし
モデムを次のように設定します。
•
9600 bps のポート速度
•
1 回目の呼び出しで応答
•
NVRAM に設定を保存
レスポンスポートの配線
センサのレスポンスポートは、TAP または SPAN モードで動作させる場合に、攻撃に対
する応答を送信するために使用します。スイッチまたはルータに応答パケットを挿入する
ため、レスポンスポートを使用する必要があります。
►
次の手順に従って、レスポンスポートをネットワークデバイスに接続
します。
1
Cat 5/Cat 5e ケーブルをレスポンスポート (センサのフロントパネルの Rx) に差し
込みます。
2
攻撃に対する応答を送信するネットワークデバイス (ハブ、スイッチ、ルータなど) に
ケーブルのもう一方の端を接続します。
マネジメントポートの配線
マネジメントポート (Mgmt) は、McAfee® Network Security Manager (マネージャ) サー
バとの通信に使用します。
16
センサへのケーブルの接続
McAfee® Network Security Platform
►
次の手順に従って、センサをマネージャサーバに接続します。
1
Cat 5/Cat 5e ケーブルをマネジメントポート (センサのフロントパネルの Mgmt)
に差し込みます。
2
ケーブルのもう一方の端をマネージャサーバに接続するネットワークデバイス (ハ
ブ、スイッチ、ルータなど) に接続します。
注意: 管理トラフィックを隔離して保護するために、センサとマネージャの通信には
専用の管理サブネットを使用してください。
モニタリングポートの配線
Sensor のモニタリングポートを介して監視するネットワークデバイスに接続します。セ
ンサは、次の表に示す動作モードで配備できます。センサのモニタリングポートの配線手
順については、該当するページを参照してください。
センサの配線モード
参照
In-Line モード (10/100 ポート、
フェールクローズ)
In-Line モードで監視する場合のセンサの配線 (19
ページ)
In-Line モード (GBIC ポート、
フェールオープン)
フェールオープンハードウェアの使用 (19 ページ)
内部 TAP モード (10/100 ポー
ト)
内部 TAP モードで監視する場合のセンサの配線
外部 TAP モード (GBIC ポート)
外部 TAP モードでのセンサの GBIC ポートの配線
(22 ページ)
SPAN/Hub モード
SPAN/Hub モードで監視する場合のセンサの配線
フェールオーバー
センサのフェールオーバー用配線 (23 ページ)
ピアポートの使用
全二重モードでセンサを配備するには、センサ上の 2 つのモニタリングピアポートを使
用する必要があります。センサでは、2 つ 1 組で配線されたポートがトラフィックを処理
します。
次のポートはペアで配線されており、共に使用する必要があります。
17
センサへのケーブルの接続
McAfee® Network Security Platform
ポートのペア
1A と 1B (10/100 ポート)
2A と 2B (10/100 ポート)
3A と 3B (10/100 ポート)
4A と 4B の GBIC ポート
注意: 1A と 2A のようなペアを設定して連動させることはできません。
図 6:I-2700 のピアポート
モニタリングポートのデフォルトの速度設定
スイッチまたはルータのポートは、センサの設定に一致するモニタリングポートに接続し
てください。
モニタリングポー
ト
10/100 ポート
動作モード
SPAN
速度と全二重/半二重の設定
オートネゴシエーションはオフ。
速度と全二重/半二重は設定可能
TAP
オートネゴシエーションはオフ。
速度は設定可能。
外部 TAP は常に半二重、内部 TAP は全二重、
半二重
In-Line
オートネゴシエーションはオフ。
速度と全二重/半二重は設定可能
GBIC ポート
SPAN
オートネゴシエーションはオン
TAP
オートネゴシエーションはオフ
In-Line
オートネゴシエーションはオン
18
センサへのケーブルの接続
McAfee® Network Security Platform
ルータ、スイッチ、ハブ、PC 用のケーブルの種類
この章で使用する配線方法は次のとおりです。
•
ルータのポートを 10/100 モニタリングポートに接続する場合は、クロスオーバー
Ethernet RJ45 ケーブルを使用します。
•
スイッチ/ハブのポートを 10/100 モニタリングポートに接続する場合は、ストレー
ト Ethernet RJ45 ケーブルを使用します。
•
PC のルータのポートをセンサのマネジメントポートに接続する場合は、クロスオー
バー Ethernet RJ45 ケーブルを使用します。
注意: PC をセンサのモニタリングポートに接続する場合も、クロスオーバー
Ethernet RJ45 ケーブルを使用する必要があります。
フェールクローズドングルの使用
センサに付属のフェールクローズドングルは、センサの 10/100 モニタリングポートの
機能を補うものです。センサの 10/100 モニタリングポートにドングルを差し込み、ドン
グルに Cat 5/Cat 5e ケーブルを接続します。
次の表に、ドングルが必要な動作モードを示します。
SPAN
TAP
In-Line
フェールオープン (トラ
フィックは通過)
なし
ドングルは不
要
ドングルは不要
フェールクローズ (トラ
フィックは停止)
ドングル
なし
ドングル
フェールオープンハードウェアの使用
センサの GE ポートはフェールクローズで機能します。フェールオープン機能を使用する
には、オプションの Gigabit Fail-Open Bypass Kit を使用する必要があります。このキッ
トには、バイパススイッチとこのスイッチをセンサに接続する装置が含まれています。こ
のキットは別売りです。
このキットのインストール方法およびトラブルシューティングについては、キットのマ
ニュアルを参照してください。キットを使用した場合のフェールオープン動作については、
23 ページの「Gigabit Fail-Open kitの使用」を参照してください。
In-Line モードで監視する場合のセンサの配線
In-Line モードでは、センサポートをペアで使用する必要があります。「ピアポートの使
用」を参照してください。
19
センサへのケーブルの接続
McAfee® Network Security Platform
警告: In-Line モードでセンサを配線する場合は、トラフィックフローにセンサを挿
入するためにネットワークを一時的に中断する必要があります。ネットワークの中
断時間を短縮するには、他の設定をすべて完了してから In-Line モードのセンサの
配線を行ってください。
センサの内蔵 10/100 ポートはフェールオープンに対応しています。センサに障害が発生
してもトラフィックフローは中断されずに継続します。トラフィックを中断させるには、
センサに付属のフェールクローズドングルを使用する必要があります。
►
In-Line モードで監視するデバイスにセンサを接続するには、次の手順に
従います。
注意: この手順では例として 1A と 1B のポートペアを使用します。
1
次のいずれかを実行します。
フェールクローズで動作させるには、Cat 5/Cat 5e ケーブルとフェールクローズ
ドングルをポート 1A に差し込みます。センサで問題が発生すると、フェールク
ローズドングルによってトラフィックが中断されます。
フェールオープンで動作させるには、Cat 5/Cat 5e ケーブルをポート 1A に差し
込みます。
注意: ネットワークデバイスごとのケーブルの種類については、19 ページの
「ルータ、スイッチ、ハブ、PC 用のケーブルの種類」を参照してください。
2
別の Cat 5/Cat 5e ケーブルをポート 1B に差し込みます。
3
監視するネットワークデバイスに各ケーブルのもう一方の端を接続します。たとえば、
スイッチとルータ間のトラフィックを監視する場合は、1A に差し込んだケーブルを
スイッチに接続し、1B に差し込んだケーブルをルータに接続します。
In-Line モードで監視する場合のセンサの配線
In-Line モードでは、センサポートをペアで使用する必要があります。17 ページの「ピア
ポートの使用」を参照してください。
警告: In-Line モードでセンサを配線する場合は、トラフィックフローにセンサを挿
入するためにネットワークを一時的に中断する必要があります。ネットワークの中
断時間を短縮するには、他の設定をすべて完了してから In-Line モードのセンサの
配線を行ってください。
センサの内蔵 10/100 ポートはフェールオープンに対応しています。センサに障害が発生
してもトラフィックフローは中断されずに継続します。トラフィックを中断させるには、
センサに付属のフェールクローズドングルを使用する必要があります。
►
In-Line モードで監視するデバイスにセンサを接続するには、次の手順に
従います。
注意: この手順では例として 1A と 1B のポートペアを使用します。
20
センサへのケーブルの接続
McAfee® Network Security Platform
1
次のいずれかを実行します。
フェールクローズで動作させるには、Cat 5/Cat 5e ケーブルとフェールクローズ
ドングルをポート 1A に差し込みます。センサで問題が発生すると、フェールク
ローズドングルによってトラフィックが中断されます。
フェールオープンで動作させるには、Cat 5/Cat 5e ケーブルをポート 1A に差し
込みます。
注意: ネットワークデバイスごとのケーブルの種類については、19 ページの
「ルータ、スイッチ、ハブ、PC 用のケーブルの種類」を参照してください。
2
別の Cat 5/Cat 5e ケーブルをポート 1B に差し込みます。
3
監視するネットワークデバイスに各ケーブルのもう一方の端を接続します。たとえば、
スイッチとルータ間のトラフィックを監視する場合は、1A に差し込んだケーブルを
スイッチに接続し、1B に差し込んだケーブルをルータに接続します。
内部 TAP モードで監視する場合のセンサの配線
内部 TAP モードでは、センサの両方のポートを使用する必要があります。「ピアポート
の使用」を参照してください。
センサの内部 TAP はフェールオープンに対応しています。センサに障害が発生してもト
ラフィックフローは中断されずに継続します。ただし、センサでのエラー発生時や再起動
時には、センサに接続されていた 2 つのデバイス間で接続が確立されるまで、ネットワー
クが一時的に (数秒から数分) 中断する場合があります。
注意: フェールオープンで動作させる場合は、2 個の TAP ポート (たとえば、1A と
1B) に接続する 2 本の LAN ケーブルの長さの合計を 100m 以下にしてください。
警告: In-Line モードの配線と同様に、内部 TAP モードではセンサをトラフィック
フローに挿入するために一時的にネットワークを中断する必要があります。ネット
ワークの中断時間を短縮するには、他の設定をすべて完了してから内部TAPモード
のセンサの配線を行ってください。
内部 TAP は機械的にループバックするように設計されています。センサのエラー
発生時や再起動時には、センサに接続されていた 2 つのデバイス間で接続が確立さ
れるまで、ネットワークが一時的に中断します。
►
内部 TAP モードで監視するデバイスにセンサを接続するには、次の手
順に従います。
1
フェールオープンで動作させるには、Cat 5/Cat 5e ケーブルをポート 1A に差し込み
ます。
2
別の Cat 5/Cat 5e ケーブルをポート 1B に差し込みます。
注意: ネットワークデバイスごとのケーブルの種類については、19 ページの
「ルータ、スイッチ、ハブ、PC 用のケーブルの種類」を参照してください。
21
センサへのケーブルの接続
McAfee® Network Security Platform
3
監視するネットワークデバイスに各ケーブルのもう一方の端を接続します。たとえば、
スイッチとルータ間のトラフィックを監視する場合は、1A に差し込んだケーブルを
スイッチに接続し、1B に差し込んだケーブルをルータに接続します。
外部 TAP モードでのセンサの GBIC ポートの配線
センサの GBIC ポートは、他社製の外部 TAP と併用する必要があります。
注意: 認定メーカーのリストについては、Network Security Platform サポートサイ
トの KnowledgeBase (https://mysupport.mcafee.com) を参照してください。外部
TAP モードでは、ポートをペアで使用する必要があります (1A および 1B など)。
►
外部 TAP モードで監視するデバイスにセンサを接続するには、次の手
順に従います。
1
GBIC 用の適切なケーブルを xA (1A など) というラベルの付いた GBIC ポートに差
し込みます。
2
xB (1B など) というラベルの付いたもう一方の GBIC ポートに別のケーブルを差し
込みます。
3
各ケーブルのもう一方の端を TAP に接続します。
4
監視対象のネットワークデバイスを TAP に接続します。
SPAN/Hub モードで監視する場合の I-2700 センサの配線
SPAN/Hub モードで監視する場合は、ポートをペアで使用する必要はありません。ポート
を単独で使用できます。SPAN ポートまたはハブポートに 10/100 ポートを接続するに
は、センサに付属のフェールクローズドングルを使用する必要があります。
►
SPAN ポートまたはハブにセンサを接続するには、次の手順に従います。
1
いずれかのモニタリングポートに、SC タイプの光ファイバケーブルとフェールク
ローズドングルを差し込みます。
2
ケーブルのもう一方の端を SPAN ポートまたはハブに接続します。
注意: ネットワークデバイスごとのケーブルの種類については、19 ページの
「ルータ、スイッチ、ハブ、PC 用のケーブルの種類」を参照してください。
I-2700 センサでのフェールオーバー用相互接続ポートの配線
フェールオーバーで動作させるには、全く同じ 2 台のセンサ (同一ソフトウェアを使用す
る同一モデル) を相互接続ケーブルで接続する必要があります。
以前は、プライマリセンサのモニタリングポートのペアが In-Line モードである場合に
のみ、センサのフェールオーバーペアを作成できました。センサのフェールオーバーペ
アの作成が柔軟になり、プライマリセンサのモニタリングポートのペアが In-Line モー
ドではない場合 (TAP または SPAN) も作成可能となりました。
22
センサへのケーブルの接続
McAfee® Network Security Platform
たとえば、I-2700 で、1A-1B と 2A-2B のポートペアが In-Line モードで設定されてい
て、ポート 3A-3B が SPAN モードで設定されている場合です。
注意: センサを In-Line のフェールクローズモードで実行する場合には、製品に付
属のフェールクローズドングルを使用する必要があります。
TAP モードで接続すると、TCP reset は使用できません。
フェールオーバーのセンサの配線
Gigabit ポート 4A は、センサの相互接続ポートです。2 台のセンサ間でフェールオーバー
通信を行う場合、追加する必要があるハードウェアはフェールオーバーケーブルのみです。
►
2 台のセンサをフェールオーバー接続するには、次の手順に従います。
1
GBIC 用の適切なケーブルをアクティブなセンサのポート 4A に差し込みます。
2
ケーブルのもう一方の端をスタンバイ状態のセンサのポート 4A に接続します。
図 7:フェールオーバー接続の 2 台の I-2700
Gigabit Fail-Open kit の使用
Gigabit Fail-Open Kit (別売り) を使用すると、重要なネットワークリンク上に配備された
In-Line モードの Network Security Platform センサで障害が発生した場合に、リスクを最
小限に抑えることができます。このキットは、銅線バージョンでも光ファイババージョン
でも使用可能です。
デフォルトでは、Network Security Platform センサの Gigabit Ethernet (GE) モニタリング
ポートはフェールクローズ対応に設定されています。センサを In-Line モードで配備した
場合、ハードウェアで障害が発生するとネットワークが停止します。GE ポートをフェー
ルオープンで動作させるには、オプションのキットに含まれる外部バイパススイッチを使
用する必要があります。
センサが正常に動作している場合、設置したバイパススイッチにはコントロールケーブ
ルを介してセンサから電源が供給されます。センサが動作中の場合、スイッチは「オン」
になり、すべてのトラフィックがセンサに直接ルーティングされます。センサで障害が発
23
センサへのケーブルの接続
McAfee® Network Security Platform
生すると、スイッチは自動的にバイパス状態に移行します。In-Line のトラフィックはネッ
トワークリンクを通過しますが、センサへはルーティングされません。センサがオンライ
ンになった後も、ユーザが手動でフェールオープンに戻すまで、フェールオープンとして
設定されたポートは迂回モードになります。
警告 1: センサが停止すると、センサに接続しているデバイス間のリンクが少しの間
切断されます。ピアデバイス間のネットワークリンクを再ネゴシエーションする
必要があります。2 つのピアデバイス間の再ネゴシエーションによる接続の中断は
数秒間継続します。ネットワークデバイスの種類によっては、数分間継続する場合
もあります。
警告 2: センサが In-Line モードに切り替わる際にも、センサと各ピアデバイス間
で再ネゴシエーションが行われ、接続が中断する場合があります。この状態が継続
する時間もデバイスによって異なりますが、数秒から数分継続します。
このキットのインストール方法とトラブルシューティングについては、キットに付属のク
イックスタートガイドを参照してください。詳細については、『Gigabit Optical Fail-Open
Bypass Kit Guide』 (光フェールオープンバイパスキットガイド) または、『Gigabit Copper
Fail-Open Bypass Kit Guide』 (銅線フェールオープンバイパスキットガイド) を参照してく
ださい。
24
索引
１
き
10/100 ポート.......................................................... 2
起動 LED ................................................................. 4
10/100 マネジメントポート ........................... 16
10/100 モニタリングポートのリンク LED ...... 4
こ
10/100 レスポンスポート ............................... 16
コンソールポート .................................................. 2
10/100 レスポンスポートの速度 LED ............. 4
コンソールポートの配線...................................... 15
10/100 レスポンスポートのリンク LED.......... 4
コンパクトフラッシュポート............................... 2
Ｇ
せ
GBIC の挿入.................................................... 12, 13
センサの機能 ........................................................... 1
GBIC の取り外し................................................... 13
センサの説明 ........................................................... 1
GBIC ポートの Act LED ......................................... 4
センサの電源オン .................................................. 14
GBIC ポートのリンク LED..................................... 4
センサへの接続...................................................... 16
GBIC ポート用センサの配線................................. 22
GBIC モニタリングポート .................................... 2
そ
速度 LED ................................................................. 4
Ｉ
I-2700 のポート....................................................... 2
て
In-Line モード........................................................ 19
テクニカルサポート............................................. viii
In-Line モードでの配備 ......................................... 19
電源 LED ................................................................. 4
Ｌ
な
LED の説明.............................................................. 4
内部 TAP モード .................................................. 21
内部 TAP モードの配線........................................ 21
Ｓ
Sys LED ................................................................... 4
ね
熱要件 ...................................................................... 6
Ｔ
TAP モード............................................................. 21
は
配線............................................................ 14, 15, 16
お
配線方法................................................................. 14
温度 LED ................................................................. 4
ひ
表記規則...................................................................vi
ふ
ファンの LED .......................................................... 4
フェールオーバー用相互接続ポート........................ 2
フェールオープン .................................................... 2
フェールオープンハードウェアの使用 ................ 23
フェールクローズ .................................................... 2
フェールクローズ機能の使用 .................................. 2
フェールクローズドングル .................................... 2
フェールクローズドングルが必要な場合....... 19, 21
フェールクローズドングルの使用、TAP モード 21
フラッシュ LED ...................................................... 4
フロントパネルの LED.......................................... 4
ほ
補助ポート ............................................................... 2
補助ポートの配線 .................................................. 15
り
リンク LED.............................................................. 4

Download Report