概要
ASA は、パケットが出力インターフェイスを出る直前(または VPN 暗号化が設定されている場合は暗号化が行われる前)、および他のファイアウォール ポリシーが適用された後に、パケットを AIP SSM に転送します。たとえば、アクセス リストによってブロックされたパケットは、AIP SSM に転送されません。
AIP SSM を設定すると、インライン モードまたは混合モード、およびフェールオープン モードまたはフェールオーバー モードでトラフィックが検査できます。
ASA で、AIP SSM に転送されて、AIP SSM によって検査されるトラフィックを識別するには、次の手順を実行します。
1. class-map コマンドを使用して、IPS トラフィック クラスを定義します。
2. policy-map コマンドを使用して、トラフィック クラスを 1 つまたは複数のアクションに関連付けることよって IPS ポリシー マップを作成します。
3. service-policy コマンドを使用して、ポリシー マップを 1 つまたは複数のインターフェイスに関連付けることによって IPS セキュリティ ポリシーを作成します。
IPS トラフィック検査を設定するには、ASA CLI または ASDM が使用できます。
IPS トラフィックを AIP SSM に送信するための ASA の設定
(注) このためのコマンドの詳細については、『Cisco Security Appliance Command Line Configuration Guide』の第 18 章「Using Modular Policy Framework」を参照してください。
次のオプションが適用されます。
• access-list word :アクセス コントロール要素を設定します。 word はアクセス リスト識別子です(最大 241 文字)。
• access-group word :access-list をインターフェイスにバインドしてトラフィックをフィルタリングします。 word はアクセス リスト識別子です(最大 241 文字)。
• class-map class_map_name :IPS トラフィック クラスを定義します。
• match :トラフィック クラスに含まれるトラフィックを定義します。
トラフィック クラス マップには、 match コマンドが含まれます。パケットをクラス マップと照合してマッチングをとる場合、マッチング結果は一致または不一致です。
– access-list :アクセス リストのマッチングをとります。
– any :すべてのパケットのマッチングをとります。
• policy-map policy_map_name :トラフィック クラスを 1 つまたは複数のアクションに関連付けることよって IPS ポリシー マップを作成します。
• ips [inline | promiscuous][fail-close | fail-open] :トラフィックを AIP SSM に割り当てます。
– inline :AIP SSM をトラフィック フローに直接置きます。
トラフィックは、まず AIP SSM を通過し、これによって検査されないと ASA を通過し続けることができません。このモードは、すべてのパケットが分析された後に通過を許可されるので、最も安全です。また AIP SSM は、パケットごとにブロッキング ポリシーを実装することもできます。ただし、このモードはスループットに影響を及ぼすことがあります。
– promiscuous :トラフィックの重複したストリームを AIP SSM に送信します。
このモードは安全性は低くなりますが、トラフィックのスループットにはほとんど影響を及ぼしません。インライン モードとは異なり、AIP SSM がトラフィックをブロックできるのは、ASA にトラフィックをブロックするように指示した場合、または ASA 上の接続をリセットした場合だけです。さらに、AIP SSM がトラフィックを分析している間に、AIP SSM がブロックする前に少量のトラフィックが ASA を通過する場合があります。
– fail-close :AIP SSM が使用不能の場合は、すべてのトラフィックをブロックするように ASA を設定します。
– fail-open :AIP SSM が使用不能の場合は、検査しないで、すべてのトラフィックの通過を許可するように ASA を設定します。
• service-policy service_policy_name [ global | interface interface_name ]:ポリシー マップを 1 つまたは複数のインターフェイスに関連付けることによって IPS セキュリティ ポリシーを作成します。
– global :ポリシー マップをすべてのインターフェイスに適用します。
1 つのグローバル ポリシーのみが許可されます。インターフェイス上のグローバル ポリシーは、そのインターフェイスにサービス ポリシーを適用することで無効にできます。各インターフェイスには 1 つのポリシー マップしか適用できません。
– interface :1 つのインターフェイスにポリシーを適用します。
ASA から AIP SSM にトラフィックを送信して IPS が検査できるようにするには、次の手順を実行します。
ステップ 1 ASA にログインします。
ステップ 2 コンフィギュレーション モードに入ります。
ステップ 3 IPS アクセス リストを作成します。
asa(config)# access-list IPS permit ip any any
ステップ 4 アクセス リストをインターフェイスおよびトラフィック方向に適用するには、アクセス グループを使用します。
asa(config)# access-group IPS [in|out] interface [DMZ|inside|mgmt|outside]
ステップ 5 IPS トラフィック クラスを定義します。
asa(config)# class-map class_map_name
asa(config-cmap)# match [access-list | any]
ステップ 6 IPS ポリシー マップを定義します。
asa(config-cmap)# policy-map policy_map_name
ステップ 7 アクションを割り当てる、ステップ 5 からのクラス マップを指定します。
asa(config-pmap)# class class_map_name
ステップ 8 トラフィックを AIP SSM に割り当てます。
asa(config-pmap-c)# ips [inline | promiscuous] [fail-close | fail-open]
ステップ 9 IPS サービス ポリシーを定義します。
asa(config-pmap-c)# service-policy policymap_name [global | interface interface_name]
ステップ 10 設定を確認します。
asa(config-pmap-c)# show running-config
match access-list all_traffic
class-map inspection_default
match default-inspection-traffic
ips promiscuous fail-close
service-policy my-ids-policy global
ステップ 11 コンフィギュレーションを終了して保存します。
次の例は、すべての IP トラフィックを混合モードで AIP SSM に転送し、何らかの理由で AIP SSM に障害が発生したらすべての IP トラフィックをブロックします。
hostname(config)# access-list IPS permit ip any any
asa(config)# access-group IPS in interface inside
asa(config)# access-group IPS in interface outside
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list IPS
hostname(config-cmap)# policy-map my-ids-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips promiscuous fail-close
hostname(config-pmap-c)# service-policy my-ids-policy global