エンハンストファイアウォールモジュール(受注停止)
インターネット接続との境界に高度なファイアウォール機能を適用できるモジュールです。
品目
エンハンストファイアウォールには、以下の品目があります。
| 品目 | 内容 |
|---|---|
| EF-1(受注停止) | インターネットアクセスモジュールの通信に対し、高度なファイアウォール機能を適用します |
機能品目
エンハンストファイアウォールモジュールの機能を示します。
| 機能品目 | 性能指標 | 内容 |
|---|---|---|
| 基本機能(受注停止) | 200Mbps(1 Core) 400Mbps(2 Core) |
IPネットワークアドレス、プロトコル、ポート番号などでアクセス制御を行えます |
| 脅威対策(受注停止) | 100Mbps(1 Core) 200Mbps(2 Core) |
基本機能に加え、Check Point社の提供する脅威対策(アンチウイルス及びアンチボット)機能を提供します |
| サンドボックス(受注停止) | 100Mbps(1 Core) 200Mbps(2 Core) |
基本機能及び脅威対策機能に加え、Check Point社の提供するサンドボックス機能を提供します |
基本機能
IPネットワークアドレス、プロトコル、ポート番号などでアクセス制御を行えます。
以下の条件でポリシーを設定できます。ポリシーの数に上限及び下限はありません。「IIJ Omnibusポータル」で入力した内容が上から適用されます。
| 項目 | 指定可能な値 | 内容 |
|---|---|---|
| ポリシー名称 | 任意 | ポリシーに名称を設定します |
| アクション | Permit/Deny | ルールにマッチする通信の許可または遮断を選択します |
| プロトコル番号 | 0-255/ANY | プロトコル番号を指定します |
| 通信元IPアドレス | IPv4ネットワークアドレス/ANY/アドレスグループオブジェクト名 |
通信元IPネットワークアドレスを指定します。アドレスグループオブジェクトを定義している場合は、オブジェクト名を指定できます |
| 通信先IPアドレス | IPv4ネットワークアドレス/ANY/アドレスグループオブジェクト名 |
通信先IPネットワークアドレスを指定します。アドレスグループオブジェクトを定義している場合は、オブジェクト名を指定できます |
| 通信元ポート番号 | 1-65535/ANY | 通信元ポート番号を指定します |
| 通信元ポート番号 | 1-65535/ANY | 通信先ポート番号を指定します |
- IPネットワークアドレスは、アドレスグループオブジェクトとして定義できます。
- 設定したオブジェクトは、ポリシーに適用できます。
アドレスグループオブジェクトは、500項目まで定義できます。
項目 指定可能な値 内容 オブジェクト名 任意 アドレスグループオブジェクトに名称を設定します 対象IPネットワークアドレス IPv4ネットワークアドレス グルーピングするIPv4ネットワークアドレスを列挙します
ユーザ指定の任意のセグメントを内部(NPS)向け経路として設定できます。
項目 指定可能な値 内容 内部向け経路設定 IPv4ネットワークアドレス RFC1918で定義されたプライベートIPアドレス3セグメントに加え、100経路まで経路追加が可能
【注意】
- ユーザが任意に指定したセグメントにインターネット上に存在するアドレスが含まれる場合、インターネット上の該当アドレスとは通信できません。
- RFC6598で定義されているISP Shared Address(100.64.0.0/10)、RFC3927で定義されているリンクローカルアドレス(169.254.0.0/16)およびIIJが保持するグローバルIPアドレスを内部向け経路として設定はできません。
- 外部向け経路の変更はできません。
- インターネット(外部)向けの静的経路の変更はできません。
脅威対策
Check Point社の提供するアンチウイルス(AV)及びアンチボット(AB)の機能を提供します。
マルウエアの検出及び駆除、感染端末と指令(C&C)サーバ間の通信遮断、ユーザの不正なWebサイトへのアクセスを抑止します。
機能
| 項目 | 内容 |
|---|---|
| アンチウイルス | ウイルス、スパイウエアなどの不正なファイルを検知及び除去します。更に、不正なWebサイトへのアクセスを遮断します |
| アンチボット | 多層的な検出エンジンによって感染端末を検出します。更に、感染端末によるC&Cサーバへの接続を停止します |
仕様
| 項目 | 内容 |
|---|---|
| 対応プロトコル | HTTP |
| 検査ファイルサイズ上限 | 150Mbyte |
| 検知時の動作 | ブロック |
| 適用対象 | 基本機能で定義したポリシー中で、HTTPを対象とするすべてのポリシー |
ブロック画面
ブロックされた場合は、クライアント端末にブロックされたことを示す画面が表示されます。
サンドボックス(受注停止)
Check Point社の提供するクラウド型のサンドボックス機能を提供します。
クラウドサイト(ThreadCloud)上の仮想サンドボックス内でファイルをエミュレートし、新しい脅威やゼロデイ攻撃を検出及び防御します。
機能
| 項目 | 内容 |
|---|---|
| 標的型攻撃や未知のマルウエアを検出・防御 | 仮想サンドボックス内でファイルをエミュレートして、新しい脅威やゼロデイ攻撃を検出及び防御します |
| CPUレベルでのエミュレーションをサポート | CPUベースの命令フローを監視し、オペレーティング・システムまたはハードウェアのセキュリティ機能をすり抜けようと試みる攻撃を検出します |
| ThreatCloudによるリアルタイムのセキュリティ情報配信 | 検出されたゼロデイ攻撃またはマルウエアの情報がThreatCloudにアップロードされると、同サービスを利用している他のすべてのゲートウェイへリアルタイムに配信されます |
仕様
| 項目 | 内容 |
|---|---|
| 対応プロトコル | HTTP |
| 検査ファイルサイズ上限 | 50Mbyte |
| 検知時の動作 | 解析が終わるまで保持 |
| ファイル検査数 | 1カ月あたり、1 Coreの場合は10,000、2 Coreの場合は20,000 |
| サポートするファイルタイプ | xlsx、ppt、pptx、exe、tar、zip、rar、Seven-Z、rtf、dot、docm、dotx、dotm、 xlt、xlm、xltx、xlsm、xltm、xlsb、xla、xlam、xll、xlw、pps、pptm、potx、 potm、ppam、ppsx、ppsm、sldx、sldm、csv、scr、swf、hwp、jar、cab、tgz、 pif、gz、bz2、tbz2、tb2、tbz |
| 適用対象 | 基本機能で定義したポリシー中で、HTTP及びHTTPSを対象とするすべてのポリシー |
オプション
本サービスには、以下のオプションがあります。いずれのオプションも、設定変更の依頼を「IIJ Omnibusポータル」で24時間365日受け付けます。
| 項目 | 内容 |
|---|---|
運用オプション※1 |
基本機能の設定を弊社が行います |
| 拡張運用オプション | 基本機能の設定を弊社が行います 更に、以下のサービスレベル目標(SLO)に準拠して対応します
|
※1:運用オプションは、必ずご契約ください。
【注意】
- 設定変更の実施に際して、依頼を行った運用管理担当者の連絡先に電話で内容確認の連絡をします。
- 連絡がとれない場合は設定変更を実施できません。
日次ログ及び月次報告書
「IIJ Omnibusポータル」で日次の動作ログ(テキスト)及び月次報告書(PDF)を提供します。
動作ログは過去1カ月分、月次報告書は過去1年間分をダウンロードできます。
月次報告書には、以下の内容が含まれます。
- サービス(プロトコル)別統計
- 接続方向別統計
- 破棄・拒絶した通信
- 侵入防御統計
- マルウェアレポート(脅威対策またはサンドボックスを利用する場合)
- ThreatEmulationレポート(サンドボックスを利用する場合)
契約条件
本モジュールを契約するには、インターネットアクセスモジュールのご契約が必要です。