FirePOWER デバイスのルールの展開について

ダウンロード オプション

  • PDF     (1.1 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.1 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (699.7 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2017 年 6 月 14 日
Document ID:200522

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

このドキュメントでは、Firepower Management Center(FMC)から導入されたアクセスコントロールルールのセンサーへの変換について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • FirePOWER の知識
  • FMCでのアクセスコントロールポリシーの設定に関する知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Firepower Management Centerバージョン6.0.0以降
  • ソフトウェアバージョン6.0.1以降を実行するASA Firepower Defenseイメージ(ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5585-X)
  • ソフトウェアバージョン6.0.0以降を実行するASA Firepower SFRイメージ(ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5585-X)
  • Firepower 7000/8000シリーズセンサーバージョン6.0.0以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

背景説明

アクセスコントロールルールは、次のパラメータの1つまたは複数の組み合わせを使用して作成されます。

  • IPアドレス(送信元および宛先)
  • ポート(送信元および宛先)
  • URL(システム提供カテゴリおよびカスタムURL)
  • アプリケーション検出器
  • VLAN
  • ゾーン

アクセスルールで使用されるパラメータの組み合わせに基づいて、ルール拡張はセンサーで変更されます。このドキュメントでは、FMCのルールのさまざまな組み合わせと、センサーでの対応する拡張について説明します。

ルール拡張について

IPベースのルールの拡張

図に示すように、FMCからのアクセスルールの設定を検討します。

これは、Management Centerの単一のルールです。ただし、センサーに配置した後、図に示すように4つのルールに展開されます。

268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any  (log dcforward flowstart)
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any  (log dcforward flowstart)
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any  (log dcforward flowstart)
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any  (log dcforward flowstart)
268435456 allow any any  any any any  any any any  (ipspolicy 2)

  

2つのサブネットが送信元として設定され、2つのホストが宛先アドレスとして設定されたルールを導入すると、このルールはセンサー上の4つのルールに拡張されます。

注:宛先ネットワークに基づいてアクセスをブロックする必要がある場合は、Security IntelligenceでBlacklistsの機能を使用する方法が適しています。

カスタムURLを使用したIPベースのルールの拡張

図に示すように、FMCからのアクセスルールの設定を検討します。

これは、Management Centerの単一のルールです。ただし、センサーに展開すると、図に示すように8つのルールに拡張されます。

268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any  (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any  (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any  (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any  (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any  (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any  (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any  (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any  (log dcforward flowstart) (url "twitter.com")
268435456 allow any any  any any any  any any any  (ipspolicy 2) 

2つのサブネットが送信元、2つのホストが宛先アドレス、2つのカスタムURLオブジェクトがManagement Center上の1つのルールに設定されたルールを導入すると、このルールはセンサー上の8つのルールに拡張されます。つまり、カスタムURLカテゴリごとに、送信元と宛先のIP/ポート範囲が組み合わされ、設定および作成されます。

ポートを使用したIPベースルールの拡張

図に示すように、FMCからのアクセスルールの設定を検討します。

これは、Management Centerの単一のルールです。ただし、センサーに展開すると、図に示すように16のルールに拡張されます。

268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268435456 allow any any any any any any any any (ipspolicy 2)

2つのサブネットが送信元、2つのホストが宛先アドレス、2つのポートを宛先とする2つのカスタムURLオブジェクトを持つルールを導入すると、このルールはセンサー上の16のルールに拡張されます。

注:アクセスルールでポートを使用する必要がある場合は、標準アプリケーションに存在するアプリケーション検出器を使用してください。これにより、効率的な方法でルールを拡張できます。 

図に示すように、FMCからのアクセスルールの設定を検討します。

ポートの代わりにアプリケーションディテクタを使用すると、図に示すように、拡張ルールの数が16から8に減ります。

268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")

VLANを使用したIPベースルールの拡張

図に示すように、FMCからのアクセスルールの設定を検討します。

Rule AllowFileには、一部のアプリケーションディテクタ、侵入ポリシー、およびファイルポリシーと2つのVLAN IDに一致する1行があります。ルールAllowFileは2つのルールに拡張されます。


268436480 allow any any any any any any 1 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4)
268436480 allow any any any any any any 2 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4)

IPSポリシーとファイルポリシーは各アクセスコントロールルールに固有ですが、複数のアプリケーションディテクタが同じルールで参照されるため、拡張には参加しません。2つのVLAN IDと3つのアプリケーションディテクタを持つルールを検討する場合、各VLANに1つずつ、2つのルールしかありません。

URLカテゴリを使用したIPベースルールの拡張

図に示すように、FMCからのアクセスルールの設定を検討します。

ブロックルールは、アダルトおよびポルノのURLカテゴリAny Reputation and Alcoal and Tobacco Reputation 1-3.これは管理センターの単一のルールですが、センサーに展開すると、次のように2つのルールに拡張されます。


268438530 deny any any  any any any  any any any  (log dcforward flowstart) (urlcat 11)
268438530 deny any any  any any any  any any any  (log dcforward flowstart) (urlcat 76) (urlrep le 60)

2つのサブネットが送信元として設定され、2つのホストが宛先アドレスとして設定された1つのルールと、2つのURLカテゴリを持つ2つのポートを宛先とする2つのカスタムURLオブジェクトを展開すると、このルールはセンサー上の32のルールに展開されます。

ゾーンを使用したIPベースのルールの拡張

ゾーンには、ポリシーで参照される番号が割り当てられます。

ポリシーで参照されるゾーンが、そのゾーンがプッシュされるデバイス上のどのインターフェイスにも割り当てられていない場合、そのゾーンはanyと見なされて、anyはルールの拡張には結びつきません。

ソース・ゾーンと宛先ゾーンがルール内で同じ場合、ゾーン・ファクタはanyと見なされ、ANYはルールの拡張につながらないため、1つのルールのみが追加されます。

図に示すように、FMCからのアクセスルールの設定を検討します。

2つのルールがあります。1つのルールにゾーンが設定されていますが、送信元と宛先のゾーンが同じです。もう1つのルールには特定の設定はありません。この例では、インターフェイスのアクセスルールはルールに変換されません。


268438531 allow any any any any any any any any (log dcforward flowstart)<-----Allow Access Rule
268434432 allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)<----------Default Intrusion Prevention Rule

センサーでは、同じインターフェイスを含むゾーンベースの制御が拡張につながらないため、両方のルールが同じように表示されます。

ゾーンベースのアクセスコントロールルールアクセスのルールの拡張は、ルールで参照されているゾーンがデバイスのインターフェイスに割り当てられたときに発生します。

次に示すように、FMCからのアクセスルールの設定を検討します。

ルールInterfacesには、送信元ゾーンが内部ゾーン、宛先ゾーンが内部ゾーン、外部ゾーン、DMZであるゾーンベースルールが含まれます。このルールでは、内部およびDMZインターフェイスゾーンがインターフェイスに設定され、外部がデバイスに存在しません。これは同じ拡張です。


268436480 allow 0 any any 2 any any any any (log dcforward flowstart) <------Rule for Internal to DMZ)
268438531 allow any any any any any any any any (log dcforward flowstart)<--------Allow Access rule
268434432 allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)<--------Default Intrusion Prevention: Balanced Security over Connectivity

ルールは特定のインターフェイスペアに対して作成されます。ルールはInternal > DMZでは、クリアゾーンの指定を行い、Internal > Internalルールは作成されません。

拡張されるルールの数は、有効な関連付けられたゾーンに対して作成できるゾーンの送信元と宛先のペアの数に比例します。これには、同じ送信元と宛先のゾーンのルールが含まれます。

注:FMCから無効にされたルールは、ポリシーの展開中に伝搬されず、センサーに拡張されません。

ルール拡張の一般式

センサーのルール数= (送信元サブネットまたはホストの数) * (宛先Sの数) * (送信元ポートの数) * (カスタムURLの数)* (VLANタグの数)* (URLカテゴリの数)*(有効な送信元および宛先ゾーンペアの数)

注:計算では、フィールド内の任意の値が1で置き換えられます。ルールの組み合わせ内の値anyは1と見なされ、ルールの増加や拡張は行われません。

ルール拡張による導入エラーのトラブルシューティング

アクセスルールを追加した後に導入エラーが発生した場合は、ルールの拡張制限に達した場合に次の手順に従ってください

次のキーワードを含むメッセージが表示されたら、/var/log/action.queue.logを確認してください。

エラー – ルールが多すぎます – ルール28を書き込み、最大ルール9094

上記のメッセージは、拡張されているルールの数に問題があることを示しています。上記のシナリオに基づいてルールを最適化するために、FMCの設定を確認します。

関連情報

TAC Authored

シスコ エンジニア提供

  • Raghunath Kulkarni
    Cisco TACエンジニア
  • Avinash N
    Cisco TACエンジニア
  • Prashant Joshi
    Cisco TACエンジニア

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています