109
概要
概要
Web Intelligenceは正当なトラフィックを通過させながら、個々の攻撃だけでなく各種の攻撃を総
合的に遮断するチェック•ポイントのステートフル・インスペクション、Application Intelligence、 およびMalicious Code Protector技術をベースにしています。
• Malicious Code Protectorはチェック・ポイントが特許出願中の技術であり、Webサーバおよ
びアプリケーションを狙った悪質なコードを遮断します。 データ・ストリーム内の実行コード だけでなく、不審な動作も特定することにより、Web通信に潜む悪質な実行可能コードを検 出できます。 Malicious Code Protectorはカーネル・ベースで検査されるため、ワイヤ・ス ピードでの高パフォーマンスのセキュリティ保護を実現します。
• Application Intelligenceは、各アプリケーションの動作を詳細に理解したうえで、アプリケー
ション・レベルの攻撃を検出および防御する統合ネットワーク・セキュリティ技術です。
• ステートフル・インスペクションはネットワークに出入りする情報のフローを分析するため、
通信セッション情報とアプリケーション情報に基づいてセキュリティに関する意思決定をリ アルタイムで行うことができます。 これは、複雑なプロトコルを使用した通信であっても、ネッ トワークで送受信されるすべての通信の状態とコンテキストを追跡することで実現されます。
Web intelligenceはVPN-1 Powerのアドオンです。 SmartDefenseのサブスクリプション・サービス に加入されたお客様は、SmartDefenseとWeb Intelligenceの両方をワン・クリックで自動的に更新 できます。 更新は頻繁にリリースされ、弊社WebサイトのSmartDerenseのページから入手できます。
http://www.checkpoint.co.jp/defense/advisories/public/index.html
有効なサブスクリプション・ライセンスをお持ちのお客様はSmartDefenseアドバイザリにアクセ スし、最新の攻撃手法とSmartDefenseおよびWeb Intelligenceでの対応策、ネットワークを保護 するための情報、ツールや実用例などを参照できます。
ヒント:チェック・ポイント・ソフトウェアの最新バージョンには最新の防御策が組み込ま れているので、ゲートウェイのバージョンを最新の状態に保つことをお勧めします。
Malicious Code(悪質なコード)
第4章 Web Intelligence 111
Malicious Code (悪質なコード)
このセクションで説明している保護機能により、Webサーバまたはクライアント上で、攻撃者が悪 質なコードを実行できないようにします。
General HTTP Worm Catcher ( HTTP ワーム全般の捕捉)
この保護機能により、あらかじめ設定されたパターンに基づいて検出および遮断されるワーム・シ グネチャを設定できます。この検出はカーネルで行われるため、非常に迅速です。 セキュリティ・
サーバは必要ありません。
この保護機能はすべてのトラフィックまたは特定のWebサーバに適用することができます。 攻撃 が遮断されると、カスタマイズ可能なWebページでユーザに通知できます。
表 4-175
デフォルトの設定: オン(定義済みWebサーバの場合)
保護機能により生成されるログ: Worm catcher pattern found. cmd.exe
NGXのパフォーマンスへの影響: なし(アクセラレーションが有効なC2Sトラフィッ ク上でのみ動作)
表 4-176
NG FP3~R55 R55W
NGX(R60)管理 サーバから保護機 能をオンにした場 合の動作
NGX(R60)管理 サーバから保護機能を Monitor-Onlyにした場 合の動作
NGX(R60)管理 サーバから保護機 能をオンにした場 合の動作
NGX(R60)管理 サーバから保護機能を Monitor-Onlyにした場 合の動作
同じ 保護を実施 同じ 同じ