それぞれの条件付きフィルターには、Block または Simulate のモード設定があります。条件付きフィルターのモードは、ipsec コマンドによってフィルターが作成または更新されたときに設定されます。
条件付きフィルターはデフォルトで Block モード状態にあり、トラフィックは破棄されることになります。Simulate モードの条件付きフィルターはブロックをシミュレートします。これにより、トラフィックを破棄せずに、条件付きフィルターを使用可能にした場合の影響をモニターすることができます。
パケットが条件付きフィルターに一致し、かつモードが Simulate の場合は、モードが Simulate モードでないと仮定するとそのパケットが破棄されていたが、実際にはパケットは破棄されておらず、IP のフィルタリングが継続されていることを示すメッセージがログに記録されます。その後、そのパケットは Block モードの条件付きフィルターには一致して、破棄される可能性がありますが、別のシミュレーション・フィルターには一致しません。
DMD 構成ファイルでは、DmStackConfig ステートメント上で Active、Simulate、または Inactive のモードも提供しています。
- Active を設定すると、防御フィルタリングが使用可能になり、個別フィルターのモード設定が順守されます。
- Simulate を設定すると、防御フィルタリングが使用可能になり、個別フィルターのモード設定はオーバーライドされます。スタックにインストールされているすべての条件付きフィルターに Simulate モードが使用されます。
- Inactive を指定すると、条件付きフィルターは使用不可になります。
表 1 は、DmStackConfig ステートメントのモード設定と ipsec コマンドによって設定される個別フィルターのモード設定との間の相互作用を要約したものです。
表 1. DmStackConfig ステートメントのモード設定と個別のフィルターのモード設定との間の相互作用| |
DmStackConfig ステートメントのモード設定 |
|---|
| |
Active |
Simulate |
Inactive |
|---|
| ipsec コマンドによって設定される個別フィルター・モード |
Block |
パケットをブロック |
パケットのブロックをシミュレート |
条件付きフィルターなし |
| Simulate |
パケットのブロックをシミュレート |
パケットのブロックをシミュレート |
条件付きフィルターなし |
ヒント: - 防御フィルタリングを初めて実装するときには、DmStackConfig ステートメントに Simulate モードを指定することができます。TCP/IP スタックの条件付きフィルターはすべて、Simulate モードであるかのように扱われます。パケットが条件付きフィルターに一致すると、syslog メッセージ EZD1722I が生成され、IP フィルタリングが継続されます。このスタックに追加された条件付きフィルターは、追加されたときのモード (Block または Simulate) を保持します。多くの場合、個別のフィルターには、デフォルト・モード (Block) を使用します。
- Simulate モードでの条件付きフィルターのテストを完了したら、DmStackConfig ステートメントにモード Active を指定します。モードが Simulate から Active に変更時にスタックにインストールされている条件付きフィルターがある場合は、個別の条件付きフィルターのモードが使用されます。
- 防御フィルタリングがアクティブになっており (DmStackConfig ステートメントに Mode Active と指定)、追加の自動化を実装してテストしたい場合は、スタック全体に対する全体モードを Simulate に戻すことができます。ただし、新規自動化によって追加された条件付きフィルターのモードのみを Simulate にしても構いません。
自動化アクションは、ipsec -F add コマンドに mode キーワードを使用することにより、Simulate モード指定で個別の条件付きフィルターを追加することができます。テストの後、自動化アクションを更新し、ipsec -F add コマンドに mode キーワードを使用して、Block モード指定で条件付きフィルターを追加することができます。
DmStackConfig ステートメントについて詳しくは、「z/OS Communications Server: IP 構成解説書」を参照してください。ipsec コマンドの -F オプションを使用した条件付きフィルターの追加または更新について詳しくは、「z/OS Communications Server: IP システム管理者のコマンド」を参照してください。