セキュアなFTDおよびASAのコントロールプレーンアクセスコントロールの設定

はじめに

このドキュメントでは、セキュアファイアウォール脅威対策(SFTD)および適応型セキュリティアプライアンス(ASA)のコントロールプレーンアクセスルールを設定するプロセスについて説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• セキュアファイアウォール脅威対策(FTD)
• Secure Firewall Device Manager(FDM)
• セキュアファイアウォール管理センター(FMC)
• セキュアファイアウォールASA
• Access Control List（ACL; アクセス コントロール リスト）
• FlexConfig

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Secure Firewall Threat Defenseバージョン7.2.5
• Secure Firewall Manager Center(FMC)バージョン7.2.5
• Secure Firewall Device Managerバージョン7.2.5
• セキュアファイアウォールASAバージョン9.18.3

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

通常、トラフィックはファイアウォールを通過し、データインターフェイス間でルーティングされます。状況によっては、セキュアなファイアウォールを「宛先」とするトラフィックを拒否することが有益です。Cisco Secure Firewallでは、コントロールプレーンアクセスコントロールリスト(ACL)を使用して、「to-the-box」トラフィックを制限できます。コントロールプレーンACLが役立つ可能性がある例は、セキュアファイアウォールへのVPN（サイト間またはリモートアクセスVPN）トンネルを確立できるピアを制御することです。

セキュアなファイアウォールのthrough-the-boxトラフィック

トラフィックは通常、1つのインターフェイス（インバウンド）から別のインターフェイス（アウトバウンド）へファイアウォールを通過します。これはthrough-the-boxトラフィックと呼ばれ、アクセスコントロールポリシー(ACP)とプレフィルタルールの両方で管理されます。

画像 1.through-the-boxトラフィックの例

セキュアなファイアウォールto-the-Boxトラフィック

トラフィックがFTDインターフェイス（サイト間またはリモートアクセスVPN）に直接着信する別のケースもあります。これはto-the-boxトラフィックと呼ばれ、その特定のインターフェイスのコントロールプレーンによって管理されます。

画像 2.To-the-boxトラフィックの例

コントロールプレーンACLに関する重要な考慮事項

• FMC/FTDバージョン7.0以降では、コントロールプレーンACLは、ASAで使用されるのと同じコマンド構文を使用して、FlexConfigを使用して設定する必要があります。
• キーワードcontrol planeはaccess-group設定に追加され、これによりトラフィックがセキュアなファイアウォールインターフェイスに強制されます。コマンドにコントロールプレーンワードが追加されないと、ACLはセキュアファイアウォールを通過するトラフィックを制限します。
• コントロールプレーンACLは、セキュアなファイアウォールインターフェイスへのSSH、ICMP、またはTELNET着信を制限しません。これらはプラットフォーム設定ポリシーに従って処理（許可/拒否）され、より高い優先順位を持ちます。
• コントロールプレーンACLは、セキュアファイアウォール自体へのトラフィックを制限しますが、FTDのアクセスコントロールポリシーまたはASAの通常のACLは、セキュアファイアウォールを通過するトラフィックを制御します。
• 通常のACLとは異なり、ACLの最後には暗黙の「deny」は存在しません。
• オブジェクトグループ検索(OGS)機能は、コントロールプレーンACL(Cisco Bug ID CSCwi58818)では動作しません。
• このドキュメントの作成時点では、FTDの位置情報機能を使用してFTDへのアクセスを制限することはできません。

設定

次の例では、特定の国からのIPアドレスのセットが、FTD RAVPNへのログインを試みることにより、VPNへのブルートフォースを試みます。これらのVPNのブルートフォース攻撃からFTDを保護する最善のオプションは、コントロールプレーンACLを設定して、外部のFTDインターフェイスへの接続をブロックすることです。

コンフィギュレーション

FMC管理対象FTDのコントロールプレーンACLの設定

外部FTDインターフェイスに対する着信VPNブルートフォース攻撃をブロックするようにコントロールプレーンACLを設定するためにFMCで実行する必要がある手順を次に示します。

ステップ 1：HTTPS経由でFMCグラフィックユーザインターフェイス(GUI)を開き、クレデンシャルでログインします。

画像 3.FMCログインページ

ステップ 2：拡張ACLを作成する必要があります。それには、Objects > Object Managementの順に移動します。

図 4.オブジェクト管理

ステップ 2.1：左側のパネルで、Access List > Extendedの順に移動し、拡張ACLを作成します。

図 5.拡張ACLメニュー

ステップ 2.2：次に、Add Extended Access Listを選択します。

図 6.拡張ACLの追加

ステップ 2.3：拡張ACLの名前を入力し、Addボタンをクリックしてアクセスコントロールエントリ(ACE)を作成します。

図 7.拡張ACLエントリ

ステップ 2.4：ACEのアクションをBlockに変更してから、FTDに対して拒否する必要があるトラフィックと一致するように送信元ネットワークを追加し、宛先ネットワークをAnyのままにして、ACEのエントリを作成するためにAddボタンをクリックします。

この例では、設定されたACEエントリにより、192.168.1.0/24サブネットからのVPNブルートフォース攻撃がブロックされます。

図 8.拒否されたネットワーク

ステップ 2.5：さらにACEエントリを追加する必要がある場合は、再度Addボタンをクリックして、ステップ2.4を繰り返します。その後、Saveボタンをクリックして、ACLの設定を完了します。

図 9.完成した拡張ACLエントリ

ステップ 3：次に、コントロールプレーンACLを外部FTDインターフェイスに適用するようにFlex-Configオブジェクトを設定する必要があります。このためには、左側のパネルに移動し、オプションFlexConfig > FlexConfig Objectを選択します。

図 10.FlexConfigオブジェクトメニュー

ステップ 3.1：Add FlexConfig Objectをクリックします。

図 11.Flexconfigオブジェクトの追加

ステップ 3.2：FlexConfigオブジェクトの名前を追加し、ACLポリシーオブジェクトを挿入します。それには、Insert > Insert Policy Object > Extended ACL Objectの順に選択します。

図 12.FlexConfigオブジェクト変数

ステップ 3.3：ACLオブジェクト変数の名前を追加してから、ステップ2.3で作成した拡張ACLを選択します。その後、Saveボタンをクリックします。

図 13.FlexConfigオブジェクト変数ACL割り当て

ステップ 3.4：次に、コントロールプレーンACLを外部インターフェイスのインバウンドとして設定します。

コマンドライン構文：

access-group "variable name starting with $ symbol" in interface "interface-name" control-plane

これは、次のコマンドの例に変換されています。この例では、ステップ2.3で作成したACL変数VAR-ACL-UNWANTED-COUNTRY:

access-group $VAR-ACL-UNWANTED-COUNTRY in interface outside control-plane

FlexConfigオブジェクトウィンドウで次のように設定する必要があります。その後、Saveボタンを選択してFlexConfigオブジェクトを完了します。

図 14.Flexconfigオブジェクト完全なコマンドライン

注：コントロールプレーンACLは、Outsideインターフェイスのように、セキュアファイアウォールで着信リモートアクセスVPNセッションを受信するインターフェイスに対してのみ設定することを強く推奨します。

ステップ 4：FtdにFlexConfigオブジェクト設定を適用する必要があります。そのためには、Devices > FlexConfigに移動します。

図 15.FlexConfig Policyメニュー

ステップ 4.1：次に、FTDにFlexConfigが作成されていない場合はNew Policyをクリックし、既存のFlexConfigポリシーを編集します。

図 16.FlexConfigポリシーの作成

ステップ 4.2：新しいFlexConfigポリシーの名前を追加し、作成したコントロールプレーンACLを適用するFTDを選択します。

図 17.FlexConfigポリシーデバイスの割り当て

ステップ 4.3：左側のパネルで、ステップ3.2で作成したFlexConfigオブジェクトを検索し、ウィンドウの中央にある右矢印をクリックしてそれをFlexConfigポリシーに追加します。最後に、Saveボタンをクリックします。

図 18.FlexConfigポリシーオブジェクトの割り当て

ステップ 5：FTDへの設定変更の導入に進み、このために、「導入(Deploy)」>「拡張導入(Advanced Deploy)」に移動します。

図 19.FTDの高度な導入

ステップ 5.1：次に、FlexConfigポリシーを適用するFTDを選択します。すべてが正しければ、Deployをクリックします。

図 20.FTD導入の検証

ステップ 5.2：この後、Deployment Confirmationウィンドウが表示されます。コメントを追加して展開を追跡し、展開に進みます。

図 21.FTD導入に関するコメント

ステップ 5.3：FlexConfigの変更を導入する際に、警告メッセージが表示される場合があります。ポリシー設定が正しいと確信できる場合のみ、Deployをクリックします。

図 22.FTD展開Flexconfigの警告

ステップ 5.4：ポリシーがFTDに対して正常に展開されたことを確認します。

図 23.FTDの導入に成功

手順 6： FTD用に新しいコントロールプレーンACLを作成するか、またはアクティブに使用されている既存のコントロールプレーンACLを編集した場合は、加えられた設定変更がFTDへの既存の接続に適用されないことを強調することが重要です。そのため、FTDへのアクティブな接続試行を手動でクリアする必要があります。そのためには、FTDのCLIに接続し、アクティブな接続をクリアします。

特定のホストIPアドレスのアクティブな接続をクリアするには、次の手順を実行します。

> clear conn address 192.168.1.10 all

サブネットネットワーク全体のアクティブな接続をクリアするには、次の手順を実行します。

> clear conn address 192.168.1.0 netmask 255.255.255.0 all

IPアドレスの範囲に対するアクティブな接続をクリアするには、次の手順を実行します。

> clear conn address 192.168.1.1-192.168.1.10 all

注：アクティブなVPNブルートフォース接続の解除をセキュアファイアウォールに対して強制的に実行するために、clear conn addressコマンドの最後にall キーワードを使用することを強くお勧めします。主に、VPNブルートフォース攻撃の性質によって定常的な接続試行の爆発が発生している場合です。

[ビデオ] FMCマネージドFTDのコントロールプレーンACLの設定

FDM管理対象FTDのコントロール・プレーンACLの構成

外部FTDインターフェイスに対する着信VPNブルートフォース攻撃をブロックするようにコントロールプレーンACLを設定するためにFDMで実行する必要がある手順を次に示します。

ステップ 1：HTTPS経由でFDM GUIを開き、ログイン情報を使用してログインします：

図 24.FDMのログイン・ページ

ステップ 2：オブジェクトネットワークを作成する必要があります。そのために、Objectsに移動します。

図 25.FDMメイン・ダッシュボード

ステップ 2.1：左側のパネルからNetworksを選択し、+ボタンをクリックして新しいネットワークオブジェクトを作成します。

図 26.オブジェクトの作成

ステップ 2.2：ネットワークオブジェクトの名前を追加し、オブジェクトのネットワークタイプを選択し、FTDに対して拒否する必要があるトラフィックに一致するようにIPアドレス、ネットワークアドレス、またはIPの範囲を追加します。次にOkボタンをクリックして、オブジェクトネットワークを完成させます。

– この例で設定するオブジェクトネットワークは、192.168.1.0/24サブネットからのVPNブルートフォース攻撃をブロックすることを目的としています。

図 27.ネットワークオブジェクトの追加

ステップ 3：次に、拡張ACLを作成する必要があります。このためには、トップメニューのDeviceタブに移動します。

図 28.デバイス設定ページ

ステップ 3.1：下にスクロールし、図に示すように、Advanced Configurationの画面でView Configurationを選択します。

図 29.FDMの詳細設定

ステップ 3.2：次に、左側のパネルからSmart CLI > Objectsに移動し、CREATE SMART CLI OBJECTをクリックします。

図 30.Smart CLIオブジェクト

ステップ 3.3：作成する拡張ACLの名前を追加し、CLIテンプレートのドロップダウンメニューからExtended Access Listを選択して、ステップ2.2で作成したネットワークオブジェクトを使用して、必要なACEを設定します。次に、OKボタンをクリックしてACLの設定を完了します。

図 31.拡張ACLの作成

注：ACLにさらにACEを追加する必要がある場合は、現在のACEの左側にマウスを置いて追加できます。追加すると、クリック可能な3つのドットが表示されなくなります。これらをクリックし、Duplicateを選択してACEを追加します。 

ステップ 4：次に、FlexConfigオブジェクトを作成する必要があります。それには、左側のパネルに移動し、FlexConfig > FlexConfig Objectsの順に選択し、CREATE FLEXCONFIG OBJECTをクリックします。

図 32.FlexConfigオブジェクト

ステップ 4.1：図に示すように、コントロールプレーンACLを作成し、外部インターフェイスのインバウンドとして設定するために、FlexConfigオブジェクトの名前を追加します。

コマンドライン構文：

access-group "ACL-name" in interface "interface-name" control-plane

これは、次のコマンド例に変換され、このコマンドは「ステップ3.3 ACL-UNWANTED-COUNTRY:

access-group ACL-UNWANTED-COUNTRY in interface outside control-plane

FlexConfigオブジェクトウィンドウでの設定方法を次に示します。その後、OKボタンを選択してFlexConfigオブジェクトの設定を完了します。

図 33.FlexConfigオブジェクトの作成

注：コントロールプレーンACLは、Outsideインターフェイスのように、セキュアファイアウォールで着信リモートアクセスVPNセッションを受信するインターフェイスに対してのみ設定することを強く推奨します。

ステップ 5：FlexConfigポリシーの作成に進みます。それには、Flexconfig > FlexConfig Policyに移動し、+ ボタンをクリックしてから、ステップ4.1で作成したFlexConfigオブジェクトを選択します。

図 34.FlexConfigポリシー

ステップ 5.1：作成したコントロールプレーンACLに対してFlexConfigプレビューに正しい設定が表示されていることを確認し、Saveボタンをクリックします。

図 35.FlexConfigポリシープレビュー

手順 6：VPNのブルートフォース攻撃から保護したいFTDに設定変更を展開します。このためには、トップメニューのDeploymentボタンをクリックして、展開する設定変更が正しいことを確認し、最後にDEPLOY NOWをクリックします。

図 36.展開の保留中

ステップ 6.1：ポリシーが正常に展開されたことを検証します。

図 37.正常に展開されました

手順 7： FTD用に新しいコントロールプレーンACLを作成するか、またはアクティブに使用されている既存のコントロールプレーンACLを編集した場合は、加えられた設定変更がFTDへの既存の接続に適用されないことを強調することが重要です。そのため、FTDへのアクティブな接続試行を手動でクリアする必要があります。そのためには、FTDのCLIに接続し、アクティブな接続をクリアします。

特定のホストIPアドレスのアクティブな接続をクリアするには、次の手順を実行します。

> clear conn address 192.168.1.10 all

サブネットネットワーク全体のアクティブな接続をクリアするには、次の手順を実行します。

> clear conn address 192.168.1.0 netmask 255.255.255.0 all

IPアドレスの範囲に対するアクティブな接続をクリアするには、次の手順を実行します。

> clear conn address 192.168.1.1-192.168.1.10 all

注：アクティブなVPNブルートフォース接続の解除をセキュアファイアウォールに対して強制的に実行するために、clear conn addressコマンドの終わりにキーワードallを使用することを強くお勧めします。主に、VPNブルートフォース攻撃の性質によって絶え間ない接続試行の爆発が発生している場合です。

CLIを使用したASAのコントロールプレーンACLの設定

外部インターフェイスに対する着信VPNブルートフォース攻撃をブロックするようにコントロールプレーンACLを設定するには、ASA CLIで次の手順を実行する必要があります。

ステップ 1：CLIを介してセキュアファイアウォールASAにログインし、configure terminalコマンドにアクセスできます。

asa# configure terminal

ステップ 2：ASAに対してブロックする必要があるトラフィックのホストIPアドレスまたはネットワークアドレスをブロックするように拡張ACLを設定するには、次のコマンドを使用します。

この例では、ACL-UNWANTED-COUNTRYという名前の新しいACLを作成し、設定されたACEエントリによって、192.168.1.0/24サブネットからのVPNブルートフォース攻撃をブロックします。

asa(config)# access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any

ステップ 3：次のaccess-groupコマンドを使用して、ACL-UNWANTED-COUNTRY ACLを外部ASAインターフェイスのコントロールプレーンACLとして設定します。

asa(config)# access-group ACL-UNWANTED-COUNTRY in interface outside control-plane

注：コントロールプレーンACLは、Outsideインターフェイスのように、セキュアファイアウォールで着信リモートアクセスVPNセッションを受信するインターフェイスに対してのみ設定することを強く推奨します。

ステップ 4： 新しいコントロールプレーンACLを作成するか、またはアクティブに使用されている既存のコントロールプレーンACLを編集した場合は、加えられた設定変更がASAへの既存の接続に適用されないことを強調することが重要です。そのため、ASAへのアクティブな接続試行を手動でクリアする必要があります。そのためには、アクティブな接続をクリアします。

特定のホストIPアドレスのアクティブな接続をクリアするには、次の手順を実行します。

asa# clear conn address 192.168.1.10 all

サブネットネットワーク全体のアクティブな接続をクリアするには、次の手順を実行します。

asa# clear conn address 192.168.1.0 netmask 255.255.255.0 all

IPアドレスの範囲に対するアクティブな接続をクリアするには、次の手順を実行します。

asa# clear conn address 192.168.1.1-192.168.1.10 all

注：アクティブなVPNブルートフォース接続の解除をセキュアファイアウォールに対して強制的に実行するために、clear conn addressコマンドの終わりにキーワードallを使用することを強くお勧めします。主に、VPNブルートフォース攻撃の性質によって絶え間ない接続試行の爆発が発生している場合です。

shunを使用してセキュアファイアウォールの攻撃をブロックする代替設定

セキュアファイアウォールに対する攻撃を即時にブロックするオプションの場合は、shun コマンドを使用できます。heshuncommandを使用すると、攻撃ホストからの接続をブロックできます。このshunコマンドの詳細を次に示します。

• IPアドレスを回避すると、発信元IPアドレスからの以降のすべての接続は廃棄され、ブロッキング機能が手動で削除されるまでログに記録されます。
• 指定されたホストアドレスを持つ接続が現在アクティブであるかどうかにかかわらず、heshuncommandのblocking関数が適用されます。
• 宛先アドレス、送信元ポートと宛先ポート、およびプロトコルを指定した場合は、一致する接続をドロップし、送信元IPアドレスからの以降のすべての接続を排除します。これらの特定の接続パラメータに一致するものだけでなく、以降のすべての接続が排除されます。
• 発信元IPアドレスごとにonescuncommandを指定できます。
• heshuncommandは攻撃を動的にブロックするために使用されるため、threat defensedevice設定には表示されません。
• インターフェイスの設定が削除されると、そのインターフェイスに接続されているすべてのシャントも削除されます。
• Shunコマンドの構文：

shun source_ip [ dest_ip source_port dest_port [ protocol]] [ vlan vlan_id]

• shunを無効にするには、このコマンドのno形式を使用します。

no shun source_ip [ vlan vlan_id]

ホストのIPアドレスを回避するには、次に示すセキュアファイアウォールの例に従います。 この例では、shun コマンドを使用して、送信元IPアドレス192.168.1.10からのVPNブルートフォース攻撃をブロックします。

FTDの設定例

ステップ 1：CLIを使用してFTDにログインし、shunコマンドを適用します。

> shun 192.168.1.10
Shun 192.168.1.10 added in context: single_vf
Shun 192.168.1.10 successful

ステップ 2： showコマンドを使用すると、FTD内の回避IPアドレスを確認し、IPアドレスごとに回避ヒットカウントをモニタできます。

> show shun
shun (outside) 192.168.1.10 0.0.0.0 0 0 0  

> show shun statistics
diagnostic=OFF, cnt=0
outside=ON, cnt=0

Shun 192.168.1.10 cnt=0, time=(0:00:28)

ASAの設定例

ステップ 1：CLIを使用してASAにログインし、shunコマンドを適用します。

asa# shun 192.168.1.10
Shun 192.168.1.10 added in context: single_vf
Shun 192.168.1.10 successful

ステップ 2： showコマンドを使用すると、ASAでの回避IPアドレスを確認し、IPアドレスごとの回避ヒットカウントを監視できます。

asa# show shun
shun (outside) 192.168.1.10 0.0.0.0 0 0 0

asa# show shun statistics 
outside=ON, cnt=0
inside=OFF, cnt=0
dmz=OFF, cnt=0
outside1=OFF, cnt=0
mgmt=OFF, cnt=0

Shun 192.168.1.10 cnt=0, time=(0:01:39)

注：secure firewall shunコマンドの詳細は、『Cisco Secure Firewall Threat Defense Command Reference』を参照してください。

確認

コントロールプレーンACL設定がセキュアファイアウォールに対して適切であることを確認するには、次の手順を実行します。

ステップ 1：CLI経由でセキュアファイアウォールにログインし、次のコマンドを実行して、コントロールプレーンACL設定が適用されていることを確認します。

FMC管理対象FTDの出力例は次のとおりです。

> show running-config access-list ACL-UNWANTED-COUNTRY 
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any

> show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane

FDM管理FTDの出力例は次のとおりです：

> show running-config object id OBJ-NET-UNWANTED-COUNTRY
object network OBJ-NET-UNWANTED-COUNTRY
subnet 192.168.1.0 255.255.255.0

> show running-config access-list ACL-UNWANTED-COUNTRY 
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any4 log default

> show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane

ASAの出力例：

asa# show running-config access-list ACL-UNWANTED-COUNTRY 
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any

asa# show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane

ステップ 2： コントロールプレーンACLが必要なトラフィックをブロックしていることを確認するには、packet-tracerコマンドを使用して、セキュアファイアウォールの外部インターフェイスへの着信TCP 443接続をシミュレートします。次に、show access-list <acl-name>コマンドを使用すると、セキュアファイアウォールへのVPNブルートフォース接続がコントロールプレーンACLによってブロックされるたびに、ACLのヒットカウントが増加します。

この例では、packet-tracerコマンドにより、ホスト192.168.1.10を送信元とし、セキュアファイアウォールの外部IPアドレスを宛先とする、TCP 443の着信接続がシミュレートされています。packet-tracerの出力で、トラフィックがドロップされていることを確認し、show access-listの出力で、設定されているコントロールプレーンACLのヒットカウントが増分されて表示されます。  

FTDの出力例

> packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.251 443
Phase: 1
Type: ACCESS-LIST
Subtype: log
Result: DROP
Elapsed time: 21700 ns
Config:
Additional Information:

Result:
input-interface: outside(vrfid:0)
input-status: up
input-line-status: up
Action: drop
Time Taken: 21700 ns
Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x00005623c7f324e7 flow (NA)/NA

> show access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f
access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x142f69bf

ASAの出力例

asa# packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.5 443
Phase: 1
Type: ACCESS-LIST
Subtype: 
Result: ALLOW
Elapsed time: 19688 ns
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: DROP
Elapsed time: 17833 ns
Config:
Additional Information:

Result:
input-interface: outside
input-status: up
input-line-status: up
Action: drop
Time Taken: 37521 ns
Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x0000556e6808cac8 flow (NA)/NA

asa# show access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f
access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x9b4d26ac 

注：Cisco Secure Client VPNなどのRAVPNソリューションがセキュアファイアウォールに実装されている場合は、セキュアファイアウォールへの実際の接続を実行し、コントロールプレーンACLが期待どおりに動作して必要なトラフィックをブロックしていることを確認できます。

関連バグ

• ENH | AnyConnectクライアント接続の位置情報ベース：Cisco Bug ID CSCvs65322
• DOC:ASA/FTDオブジェクトグループ検索はコントロールプレーンACLをサポートしていません：Cisco Bug ID CSCwi58818  

関連情報

• Secure Firewall Threat DefenseでのリモートアクセスVPNの位置情報ベースポリシーの設定
• セキュアファイアウォールのリモートアクセスVPNサービスを対象としたパスワードスプレー攻撃に対する推奨事項
• Cisco VPNテクノロジーリファレンスガイド