Cisco Secure Firewall Threat Defense(FTD)の位置情報に基づいてトラフィックをブロックする最適な方法を説明してください。これは、リージョンから発信されるトラフィックと、リージョンを宛先とするトラフィックの両方に対して行われます。
着信トラフィックフィルタリングと発信トラフィックフィルタリングに別個のアクセスコントロールルールが必要かどうか、およびアクセスコントロールルールのNetworksタブのGeolocationタブで位置情報エントリがすでに使用可能なときに追加の位置情報オブジェクトを作成する必要があるかどうかについて、疑問が生じます。
FTDソフトウェアバージョン7.1他のソフトウェアバージョンも該当します。
Cisco Secure Firewall Management Center(FMC)ソフトウェアバージョン7.1他のソフトウェアバージョンも該当します。
Cisco FTDでの位置情報ベースのトラフィックフィルタリングは、FMCユーザインターフェイス(UI)のAccess Control Policy RuleセクションにあるNetworksタブで使用可能な既存の位置情報の機能を使用して、効果的に管理できます。 設定方法は、トラフィックの方向とポリシー要件によって異なります。
FMCのUIで、Policies > Security policies > Policy Editorに移動し、ルールを編集して、Networks > Geolocations タブを選択します。このセクションで使用可能な既存の位置情報エントリは、個別の位置情報オブジェクトを必要とせずに、アクセスコントロールポリシーの作成に直接使用できます。

ルール作成のアプローチは、トラフィックの方向性とポリシーの目的によって異なります。
特定の地域から発信された送信元トラフィックを識別するアクセスコントロールルールを作成し、ブロックアクションを適用します。ポリシーを適切に適用するには、これらのルールをルールの順序に適切に配置する必要があります。
特定の地理的領域に向けられた宛先トラフィックを識別するアクセスコントロールルールを設定します。セキュリティポリシーに応じて、これらの宛先へのトラフィックを許可またはブロックするように設定できます。
双方向の位置情報フィルタリングを実装する際には、次の理由から、個別のアクセスコントロールルールが必要です。
着信フィルタリングでは、発信元の位置情報の属性を評価するルールが必要です。
アウトバウンドフィルタリングでは、宛先の位置情報の属性を評価するルールが必要です。
トラフィックの方向性によって、アクセスコントロールエンジンで評価される位置情報フィールド(送信元または宛先)が決まります。
具体的なルール設定は、ネットワークトポロジ、セキュリティ要件、および地域ごとに必要なトラフィックフロー制御の目的によって異なります。
明確にする必要があるのは、トラフィックの方向に基づいて異なるルールタイプと設定が必要になる、位置情報ベースのアクセスコントロールの実装が複雑であるためです。セキュリティポリシーのアクセスコントロールルールのNetworksタブで既存の位置情報エントリを使用できることで、ポリシーの実装に追加のオブジェクト作成が必要かどうかについて混乱が生じる可能性があります。
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
09-Jul-2026
|
初版 |