概要
Flow Management Filter とは?
詳細
【概要】
Flow Management Filter とは、一つの flow (*) がある一定のサイズを超えた場合に、
それ以降を検査せず Trust する、という特殊 filter です。
それ以降を検査せず Trust する、という特殊 filter です。
(*) TippingPoint IPS では flow(stream とも)を 5-tuple(ファイブタプル、
src IP / src port / dst IP / dst port / protocol の 5つ)で識別します。
一般的に攻撃は flow の最初の数バイトに含まれることから、IPS の負荷を下げる目的で
このような filter を用意しています。
バックアップ等大きなファイルの転送が IPS を通過するような環境で役立ちます。
【詳細】
TCP と UDP に 4つずつサイズ違いの filter が用意されており、TCP で一つ、UDP で
一つ、それぞれ enable できます。
一つ、それぞれ enable できます。
| TCP filter | UDP filter |
| 7620 (5MB) 7621 (10MB) 7622 (100MB) 7623 (500MB) | 7624 (5MB) 7625 (10MB) 7626 (100MB) 7627 (500MB) |
Action Set としては Trust の他に Trust + Notify も使用可能です。
最初は Trust + Notify で適用し、期待通りに動作することを確認したら Trust に変更
されることをお勧めします。
【確認方法】
Trust が働いたかどうかは Notification の他に IPS の Trusted Streams や
コマンド show np tier-stats で確認できます。
コマンド show np tier-stats で確認できます。
・Trusted Streams
* SMS client の場合
Devices > All Devices > 対象 IPS > Events > Trusted Streams タブ
Devices > All Devices > 対象 IPS > Events > Trusted Streams タブ
* LSM の場合
(NX/N) Events > Managed Streams > Trusted Streams
(TX/T) Monitor > Sessions > Trusted Streams
(NX/N) Events > Managed Streams > Trusted Streams
(TX/T) Monitor > Sessions > Trusted Streams
・show np tier-stats
実行例抜粋)
----------------------------------------------------------
Tier 2:
----------------------------------------------------------
Tx trust packets/sec = 0.0 (0.0) ★この部分
Utilization = 2.4% ( 36.7%)
Ratio to next tier = 100.0% [ 60.3%]
----------------------------------------------------------
