サブネット アプリケーション マッピング ルールの作成
サブネット アプリケーション マッピング ルールを作成し、特定のサブネットおよびマスクから発信されたトラフィックを結合または分離したり、より明確に識別したりできます。たとえば、サブネット ルールによって、アプリケーションの合計トラフィックをレポートに表示できます。
nfa1000
サブネット アプリケーション マッピング ルールを作成し、特定のサブネットおよびマスクから発信されたトラフィックを結合または分離したり、より明確に識別したりできます。たとえば、サブネット ルールによって、アプリケーションの合計トラフィックをレポートに表示できます。
Network Flow Analysis
では、まず最も限定的なサブネット一致を検索し、次にそのサブネットに対して定義されたすべてのポート範囲を確認することによって、サブネット アプリケーション マッピング ルールを適用します。最も限定的に一致するサブネット内にサブネットまたはポート範囲による一致が見つからない場合は、0.0.0.0/0 サブネットに対して定義されたルールが評価されます。重複するサブネットが定義されている場合は(0.0.0.0/0 以外)、最も限定的なサブネット一致のポート範囲のみが考慮されます。以下の手順に従います。
- [アプリケーション定義]ページを開きます。
- NFA Console メニューから[環境管理]を選択します。[環境管理]ページが表示されます。
- ページ左側のメニューから[アプリケーションの定義]-[アプリケーション定義]を選択します。[アプリケーション定義]ページが開きます。
- アプリケーション マッピングがルール用に選択された値であることを確認します。
- [ルールの追加]をクリックします。[アプリケーション マッピングの追加]ダイアログ ボックスが開きます。
- ダイアログ ボックスの上部で、ルール タイプとして[サブネット]を選択します。(デフォルトで[サブネット]が選択されます。)[アプリケーション マッピングの追加]ダイアログ ボックスに、サブネット アプリケーション マッピング ルール用のオプションが表示されます。
- 以下の設定の値を指定します。
- サブネット: データ ソースの IP アドレス(ドット付き 10 進数形式で指定)。すべてのアドレスに一致するサブネットを指定するには、サブネットおよびマスクとして 0.0.0.0/0 を使用します。
- マスク: サブネットに適用するマスク。
- プロトコル: ルールによって影響を受けるデータのプロトコル(TCP または UDP のいずれか)
- 開始ポート: 収集されるデータのポート範囲の開始(Base 10 進数形式で指定)。開始ポートはポート範囲に含まれます。有効な最大ポート値は 65535 です。
- 終了ポート: データ収集に使用する範囲内の最後のポート。終了ポートはポート範囲に含まれます。
- 宛先ポート: マップされたデータを収集するためのターゲット ポート他のルールによってすでに使用されている宛先ポートを指定した場合、関連するルールのトラフィックは結合されます。(オプション)[確認]をクリックして、指定されたポートがすでにデータを受信しているかどうか検出する確認を実行します。ポートがネイティブ データ(アプリケーション マッピング ルールによってマップされていないデータ)を受信している場合、確認は失敗します。指定された宛先ポート上にネイティブ データがある場合、そのデータは Rebase ポートにリダイレクトされます。
- 名前:[アプリケーション定義]ページにリスト表示されるルールの識別子ルール名は、特定のレポートでマップされたトラフィックのラベルとしても使用されます。他のルールが、このルールに対して指定されているのと同じ宛先ポートにトラフィックをマップする場合、結合されたトラフィックに使用する名前を指定します。
- 説明: (オプション)ルール タイプおよびその使用法を特定する追加のテキスト([アプリケーション定義]ページにのみ表示されます)
- [保存]をクリックします。ダイアログ ボックスが閉じます。新規ルールは、アプリケーション マッピングルール リストに追加されます。他のルールが同じポートにトラフィックをマップしている場合、新しいルール名を指定すると、他のルール名が更新されます。
- (オプション)レポートを実行し、指定した宛先ポート上のトラフィックがルールに適合していることを確認します。
- (オプション)レポート上で、新規作成または変更されたアプリケーション マッピング ルールによる影響を確認し、マップされたトラフィックがレポートでわかりやすく表示されるようにルール名の変更を検討します。