Deep Security Managerを保護する

Agentを使用してDeep Security Managerを保護する

ホストコンピュータにAgentをインストールして[Deep Security Manager] ポリシーを適用し、Deep Security Managerを保護します。

Deep Security Managerのコンピュータ上のAgentを設定する

1. Managerと同じコンピュータにAgentをインストールします。
2. [コンピュータ] 画面で、Managerのコンピュータを追加します。この時点でポリシーの適用を選択しないでください。
3. [コンピュータ] 画面で、新しいコンピュータをダブルクリックして [詳細] 画面を表示し、[侵入防御]→[詳細]→[SSL設定] へ進みます。
4. 選択したコンピュータのSSL設定リストが表示されます。[新規] をクリックしてウィザードを開始し、新規SSL設定を作成します。
5. Managerで使用するインタフェースを指定します。[次へ] をクリックします。
6. [ポート選択] 画面で、HTTPS上のDeep Security Managerの管理コンソールで使用しているポートを保護するよう選択します。インストール時に別のポートを選択しないかぎり、初期設定では4119です。Managerで使用しているポートを確認するには、アクセスに使用するURLを確認してください。[次へ] をクリックします。
7. SSLの侵入防御分析をこのコンピュータのすべてのIPアドレスで実行するのか、それとも1つのIPアドレスでのみ実行するのかを指定します(この機能は、1つのコンピュータに複数の仮想マシンを設定する場合に使用できます)。
8. 次に、[Deep Security Manager内蔵のSSL資格情報を使用します] を選択します(このオプションは、ManagerのコンピュータのSSL設定を作成する場合にのみ表示されます)。[次へ] をクリックします。
9. ウィザードを終了して、[SSL設定] 画面を閉じます。
10. コンピュータの [詳細] 画面に戻ったら、[Deep Security Manager] ポリシーを適用します。これには、Deep Security Managerがポート4119で動作するのに必要なファイアウォールルールおよび侵入防御ルールが含まれます。

これでManagerのコンピュータは保護され、ManagerへのSSLを含むトラフィックはフィルタされます。

[Deep Security Manager] ポリシーには、Managerをリモートで利用できるように基本のファイアウォールルールが割り当てられています。Managerのコンピュータを別の目的で使用する場合は、追加でファイアウォールルールを割り当てる必要があります。また、このポリシーには、アプリケーションの種類 [Web Server Common] の侵入防御ルールが含まれます。必要に応じて、侵入防御ルールを追加で割り当てることもできます。

アプリケーションの種類 [Web Server Common] は、[HTTP] ポートリストのポート (4119を含まない) をフィルタすることが一般的であるため、ポリシーの [詳細] 画面の [侵入防御ルール] 画面にあるポート設定に対して、ポート4119をオーバーライドで追加します。

SSLデータインスペクションの詳細については、「SSLデータストリーム」を参照してください。