FTD デバイスの設定

インターフェイス

Security Cloud Control を使用して、FDM-managed デバイスのデータインターフェイスまたは管理/診断インターフェイスを設定および編集できます。

現時点では、Security Cloud Control はルーテッドインターフェイスとブリッジグループのみを設定できます。パッシブインターフェイスの設定はサポートしていません。

Firepower インターフェイス設定に関する注意事項と制約事項

Security Cloud Control を使用してデバイスを設定する場合、インターフェイス構成に関するいくつかの制限があります。次の機能のいずれかが必要な場合は、Firepower Management Center を使用してデバイスを設定する必要があります。

Firewall

  • ルーテッド ファイアウォール モードのみがサポートされます。トランスペアレント ファイアウォール モードのインターフェイスは設定できません。

  • スイッチポートモード用に設定されたインターフェイスをサポートするのは、Firepower 1010 の物理 デバイスだけです。詳細については、「FDM-Managed デバイスのスイッチ ポート モード インターフェイス」を参照してください。

パッシブ

  • 現時点では、Security Cloud Control はインターフェイステーブルのパッシブ インターフェイス モードを識別しないため、パッシブインターフェイスまたは ERSPAN インターフェイスを設定できません。パッシブインターフェイスを設定および識別するには、FDM-managed UI を使用する必要があります。

IPS 専用モード

  • インターフェイスをインライン(インライン セット内)またはインライン タップ(IPS オンリー処理用)に設定することはできません。IPS 専用モードのインターフェイスは、多数のファイアウォールのチェックをバイパスし、IPS セキュリティ ポリシーのみをサポートします。対照的に、ファイアウォール モードのインターフェイスでは、トラフィックが、フローの維持、IP レイヤおよび TCP レイヤの両方でのフロー状態の追跡、TCP の標準化などのファイアウォール機能の対象となります。

  • また、任意で、セキュリティポリシーに従ってファイアウォールモードのトラフィックに IPS 機能を設定することもできます。

EtherChannel

Security Cloud Control は、バージョン 6.5 以降を実行しているデバイスの読み取り、作成、および機能をサポートします。EtherChannel インターフェイスを作成するには、「FDM 管理対象デバイスの EtherChannel インターフェイスの追加」を参照してください。プレフィックスを作成

  • 一度にアクティブにできるインターフェイスの数はデバイスモデルによって異なりますが、Firepower の物理デバイスには最大 48 の EtherChannel を設定できます。デバイス固有の制限については、「デバイス固有の要件」を参照してください。

  • チャネルグループ内のすべてのインターフェイスは、同じメディアタイプと容量である必要があり、同じ速度とデュプレックスに設定する必要があります。メディアタイプは RJ-45 または SFP のいずれかです。異なるタイプ(銅と光ファイバ)の SFP を混在させることができます。容量の大きいインターフェイスで速度を低く設定することによってインターフェイスの容量(1 GB インターフェイスと 10 GB インターフェイスなど)を混在させることはできません。

  • EtherChannel の接続先デバイスも 802.3ad EtherChannel をサポートしている必要があります。

  • FDM 管理対象デバイスは、VLAN タグ付きの LACPDU をサポートしていません。Cisco IOS vlan dot1Q tag native コマンドを使用して隣接スイッチのネイティブ VLAN タギングを有効にすると、FDM-managed デバイスはタグ付きの LACPDU をドロップします。隣接スイッチのネイティブ VLAN タギングは、必ず無効化してください。

  • すべての FDM-managed デバイスのコンフィギュレーションは、メンバー物理インターフェイスではなく論理 EtherChannel インターフェイスを参照します。


    (注)  

    ポートチャネルとして設定されたインターフェイスは、物理インターフェイス、冗長インターフェイスのみ使用でき、サブインターフェイスのみがブリッジ グループ メンバー インターフェイスとしてサポートされます。

ブリッジ グループ

現時点では、Security Cloud Control は 1 つのブリッジグループの設定をサポートしています。デバイスがブリッジグループをサポートしているかどうかを判断するには、「Bridge Group Compatibility in FDM-Managed Device Configurations」 [英語] で詳細を確認してください。

インターフェイスをブリッジグループに追加する際、次の点に注意してください。

  • インターフェイスには名前が必要です。

  • 静的に、または DHCP を介してインターフェイス用に定義された IPv4 または IPv6 アドレスは設定できません。

  • BVI は、VLAN インターフェイスまたは他のルーテッドインターフェイスのいずれかをメンバーインターフェイスとして持つことができますが、1 つの BVI で両方をメンバーインターフェイスとして持つことはできません。

  • BVI は、VLAN インターフェイスまたは他のルーテッドインターフェイスのいずれかをメンバーインターフェイスとして持つことができますが、1 つの BVI で両方をメンバーインターフェイスとして持つことはできません。

  • インターフェイスは、Point-to-Point Protocol over Ethernet(PPPoE)にはできません。

  • インターフェイスをセキュリティゾーンに関連付けることはできません(ゾーン内にある場合)。インターフェイスをブリッジグループに追加する前に、そのインターフェイスのすべての NAT ルールを削除する必要があります。

  • メンバーインターフェイスは個別に有効または無効にします。そのため、未使用のインターフェイスはブリッジ グループから削除することなく無効化できます。ブリッジ グループ自体は常に有効になっています。

  • ブリッジグループの メンバー になるインターフェイスを設定できます。インターフェイスの要件と作成については、「ブリッジグループの設定」を参照してください。

Point-to-Point Protocol over Ethernet

  • IPv4 では、Point-to-Point Protocol over Ethernet(PPPoE)を設定できません。インターネット インターフェイスが DSL、ケーブルモデム、または ISP へのその他の接続に接続されていて、ISP が PPPoE を使用して IP アドレスを提供している場合、これらを設定するには、FDM を使用する必要があります。

VLAN

VLAN インターフェイスと VLAN メンバーを設定するには、「Configure an FDM-Managed Device VLAN」 [英語] で詳細を確認してください。スイッチポートモード用に VLAN を設定するには、「Configure an FDM-Managed Device VLAN for Switch Port Mode」 [英語] で詳細を確認してください。

  • このインターフェイスは物理的である必要があります。

  • このインターフェイスは管理専用にできません。

  • このインターフェイスは、BVI、サブインターフェイス、別の VLAN インターフェイス、EtherChannel など、他のタイプのインターフェイスとして関連付けることはできません。

  • このインターフェイスを BVI メンバーまたは etherchannel メンバーにすることはできません。

  • デバイスモデルは、さまざまな数の VLAN メンバーをサポートします。詳細については、「デバイスモデルごとの VLAN メンバーの最大数」を参照してください。


    (注)  

    お使いの環境に VLAN を設定するには、「Firepower VLAN サブインターフェイスと 802.1Q トランキングの設定」で詳細を確認してください。

ネットワーク モジュール カード

任意のネットワークモジュールのインストールは、ASA 5515-X、5525-X、5545-X、5555-X、および Firepower 2100 シリーズデバイスに限定されます。

  • カードはブートストラップ中(つまり、初期インストールまたは再イメージ化、ローカル/リモート管理間の切り替え時)にのみ検出されます。Security Cloud Control はこれらのインターフェイスの速度とデュプレックスに正しいデフォルトを設定します。利用可能なインターフェイスの合計数を変更することなく、オプションのカードを、インターフェイスの速度/デュプレックスのオプションを変更するカードと交換する場合、交換されたインターフェイスの正しい速度/デュプレックスの値をシステムが認識できるように、デバイスを再起動します。デバイスとのコンソール セッションまたは SSH から、reboot コマンドを入力します。次に、Security Cloud Control を使用して、機能の変更を含む各物理インターフェイスを編集し、有効な速度とデュプレックスのオプションを選択します。システムは元の設定を自動的に修正しないためです。すぐに変更を展開して、システムの正しい動作を確認します。

  • FDM-managed Secure Firewall 3100 シリーズデバイスでは、ネットワーク モジュールを有効または無効にしたり、インターフェイスのブレークアウト活性挿抜(OIR)を実行したりすることはできません。


(注)  

カードをインターフェイスの総数が変更されたカードと交換する、または他のオブジェクトによって参照されたインターフェイスを削除すると、予期しない問題が発生することがあります。このような変更が必要な場合は、まずセキュリティゾーンのメンバーシップ、VPN 接続など、削除するインターフェイスへの参照をすべて削除してください。変更を行う前にバックアップを実行することもお勧めします。

仮想 FDM-Managed デバイスのインターフェース

  • 仮想 FDM-managed デバイスを再初期化せずにインターフェイスを追加または削除することはできません。FDM-managed デバイスでこれらのアクションを実行する必要があります。


    (注)  

    ただし、異なる速度/デュプレックス機能を持っているインターフェイスと交換した場合、システムを再起動します(デバイスの CLI コンソールから、reboot コマンドを入力します)。これにより、システムが新しい速度/デュプレックス値を認識できるようになります。次に、Security Cloud Control を使用して、機能の変更を含む各インターフェイスを編集し、有効な速度とデュプレックスのオプションを選択します。システムは元の設定を自動的に修正しないためです。すぐに変更を展開して、システムの正しい動作を確認します。

デバイスモデルによる VLAN メンバーの最大数

デバイスモデルにより、設定できる VLAN サブインターフェイスの最大数が制限されます。データインターフェイスでのみサブインターフェイスを設定することができ、管理インターフェイスでは設定できないことに注意してください。次の表で、各デバイスモデルの制限について説明します。

モデル

VLAN サブインターフェイスの最大数

Firepower 1010

60

Firepower 1120

512

Firepower 1140、Firepower 1150

1024

Firepower 2100

1024

Cisco Secure Firewall 3100

1024

Firepower 4100

1024

Firepower 9300

1024

ASA 5508-X

50

ASA 5515-X

100

ASA 5516-X

100

ASA 5525-X

200

ASA 5545-X

300

ASA 5555-X

500

ISA 3000

100

Firepower データインターフェイス

Security Cloud Control は、FDM-managed デバイスでのルーテッドインターフェイスとブリッジ仮想インターフェイスの設定をサポートしています。

ルーテッド インターフェイス

各レイヤ 3 ルーテッド インターフェイス(またはサブインターフェイス)に、固有のサブネット上の IP アドレスが必要です。通常、これらのインターフェイスをスイッチ、別のルータ上のポート、または ISP/WAN ゲートウェイに接続します。

スタティック アドレスを割り当てるか、または DHCP サーバから取得できます。ただし、DHCP サーバがデバイス上の静的に定義されたインターフェイスと同じサブネット アドレスを提供すると、システムは DHCP インターフェイスを無効にします。DHCP を使用してアドレスを取得しているインターフェイスがトラフィックの通過を停止している場合は、アドレスがデバイス上の別のインターフェイスのサブネットと重複していないかどうかを確認してください。

ルーテッドインターフェイスでは、IPv6 アドレスと IPv4 アドレスの両方を設定できます。IPv4 と IPv6 の両方で、デフォルト ルートを設定してください。このタスクは、Firepower Device Manager を使用して FDM-managed デバイスで実行する必要があります。デフォルトルートの設定については、『Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン x.x.x 用』の「基本 > ルーティング」を参照してください。

ブリッジグループとブリッジ仮想インターフェイス

ブリッジ グループは、FDM-managed デバイスがルーティングではなくブリッジするインターフェイスのグループです。ブリッジインターフェイスはブリッジ グループに属し、すべてのインターフェイスは同じネットワーク内にあります。ブリッジ グループはブリッジ ネットワーク上に IP アドレスを持つブリッジ仮想インターフェイス(BVI)で表されます。ブリッジグループに含まれるインターフェースを「メンバー」と呼びます。

BVI に名前を付けると、ルーテッド インターフェイスと BVI の間のルーティングを実行できます。この場合、BVI はメンバー インターフェイスとルーテッド インターフェイス間のゲートウェイとして機能します。BVI に名前を指定しない場合、ブリッジ グループ メンバーのインターフェイス上のトラフィックはブリッジ グループを離れることができません。通常、インターネットにメンバー インターフェイスをルーティングするため、インターフェイスに名前を付けます。

FDM-managed デバイスは 1 つのブリッジグループのみをサポートしているため、Security Cloud Control ではその 1 つのブリッジグループのみを管理でき、デバイス上に追加のブリッジグループを作成できません。Security Cloud Control では、仮想 FDM-managed デバイスインスタンスではなく、ハードウェアに直接インストールされた FDM-managed デバイス上の BVI のみを管理できます。

ルーテッドモードでブリッジグループを使用する方法として、外部スイッチの代わりに FDM-managed デバイスの予備インターフェイスを使用する方法があります。ブリッジ グループのメンバー インターフェイスにエンドポイントを直接接続できます。また、BVI と同じネットワークにより多くのエンドポイントを追加するために、スイッチを接続できます。

パッシブ インターフェイス

パッシブ インターフェイスは、スイッチ SPAN(スイッチド ポート アナライザ)またはミラー ポートを使用してネットワーク全体を流れるトラフィックをモニターします。SPAN またはミラー ポートでは、スイッチ上の他のポートからトラフィックをコピーできます。この機能により、ネットワーク トラフィックのフローに含まれなくても、ネットワークでのシステムの可視性が備わります。パッシブ展開で構成されたシステムでは、特定のアクション(トラフィックのブロッキングやシェーピングなど)を実行することができません。パッシブ インターフェイスはすべてのトラフィックを無条件で受信します。このインターフェイスで受信されたトラフィックは再送されません。

現時点では、FDM-managed デバイスのパッシブインターフェイスの管理に関する Security Cloud Control のサポートには制限があります。

  • FDM-managed デバイスでパッシブインターフェイスを設定する必要があります。

  • Security Cloud Control を使用して、ルーテッドインターフェイスをパッシブインターフェイスに変更したり、パッシブインターフェイスをルーテッドインターフェイスに変更したりできません。

  • Security Cloud Control では、インターフェイステーブル内のパッシブインターフェイスが識別されません。

管理/診断インターフェイス

管理ラベル付けされた物理ポート(または、FDM-managed仮想デバイスの場合は Management0/0 仮想インターフェイス)には、2 つの別個のインターフェイスが実際に関連付けられています。

  • 管理仮想インターフェイス:この IP アドレスは、システムの通信に使用されます。これはシステムがスマート ライセンスに使用し、データベースの更新情報を取得するためのアドレスです。これに対して管理セッションを開くことができます(Firepower Device Manager および CLI)。[システム設定(System Settings)] > [管理インターフェイス(Management Interface)] で定義されている管理アドレスを設定する必要があります。

  • 診断物理インターフェイス:物理管理ポートは、実際には診断という名前が付けられています。外部 syslog サーバーに syslog メッセージを送信するためにこのインターフェイスを使用できます。診断物理インターフェイスの IP アドレスの設定は任意です。syslog で使用する場合にのみ、インターフェイスを設定します。このインターフェイスは、Security Devices > [インターフェイス(Interfaces)]ページで確認して設定できます。診断物理インターフェイスは管理トラフィックのみを許可し、トラフィックのスルーは許可しません。

(ハードウェア デバイス)管理/診断を設定する際、物理ポートをネットワークに接続しないことをお勧めします。代わりに、管理 IP アドレスのみを設定し、インターネットからの更新情報を得るためのゲートウェイとして、データ インターフェイスを使用するように設定します。次に、HTTPS/SSH トラフィック(デフォルトで HTTPS は有効)への内部インターフェイスを開き、内部 IP アドレスを使用して Firepower Device Manager を開きます。このタスクは、Firepower Device Manager で直接実行する必要があります。手順については、『Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager 用) 』の「管理アクセスリストの設定」を参照してください。

FDM-managed仮想デバイスの推奨設定は、Management0/0 を内部インターフェイスと同じネットワークに接続し、内部インターフェイスをゲートウェイとして使用することです。診断用に別のアドレスを設定しないでください。


(注)  

管理インターフェイスを編集する際の特別な手順については、Firepower バージョン 6.4 以降の『Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager 用)』を参照してください。 コンフィギュレーション ガイドを開き、「基本」 > 「インターフェイス」 > 「管理/診断インターフェイス」に移動します。管理インターフェイスの設定は Firewall Device Manager で行う必要があることに注意してください。

Security Cloud Control にオンボーディングされた FDM-managed デバイスの管理インターフェイス設定を変更する場合は、Security Cloud Control から、または Firewall Device Manager で変更できます。ただし、接続が失われる可能性を回避するため、Firewall Device Manager で変更を実行することを推奨します。ローカル Firewall Device Manager にアクセスできる、または接続が失われた場合にアクセスできるユーザーがいることを確認することを推奨します。

インターフェイスの設定

以下のトピックを使用して、インターフェイスを設定します。

Firepower インターフェイスの設定におけるセキュリティゾーンの使用

各インターフェイスは単一のセキュリティ ゾーンに割り当てることができます。ゾーンに基づいてセキュリティ ポリシーを適用されます。たとえば、内部インターフェイスを内部ゾーンに割り当て、外部インターフェイスを外部ゾーンに割り当てることができます。また、たとえば、トラフィックが内部から外部に移動できるようにアクセス コントロール ポリシーを設定することはできますが、外部から内部に向けては設定できません。

各ゾーンは、ルーテッドまたはパッシブのいずれかのモードになっています。これはインターフェイスのモードに直接関係します。ルーテッド インターフェイスとパッシブ インターフェイスは、同じモードのセキュリティ ゾーンにのみ追加できます。

ブリッジ仮想インターフェイス(BVI)は、セキュリティゾーンに追加されません。メンバーインターフェイスのみがセキュリティゾーンに追加されます。

ゾーンには診断インターフェイスや管理インターフェイスを含めません。ゾーンは、データ インターフェイスにのみ適用されます。

Security Cloud Control は、現在、ASA デバイスまたは FDM-managed デバイス上の仮想トンネルインターフェイス(VTI)トンネルの管理、監視、使用をサポートしていません。VTI トンネルが設定されているデバイスを Security Cloud Control にオンボーディングすることは可能ですが、VTI インターフェイスは無視されます。セキュリティゾーンまたはスタティックルートが VTI を参照する場合、Security Cloud Control は VTI 参照を除いてセキュリティゾーンとスタティックルートを読み取ります。VTI トンネルに対する Security Cloud Control のサポートは近日中に提供されます。

セキュリティゾーンの詳細については、「セキュリティ ゾーン オブジェクト」を参照してください。

FDM-Managed デバイスインターフェイスのセキュリティゾーンへの割り当て

はじめる前に

セキュリティゾーンを追加する場合、インターフェイスには次の制限があります。

  • インターフェイスには名前が必要です。

  • このインターフェイスは管理専用にできません。このオプションは、インターフェイスの [詳細設定(Advanced)] タブから有効または無効にします。

  • ブリッジ グループ インターフェイスにセキュリティゾーンを割り当てることはできません。

  • スイッチポートモード用に設定したインターフェイスにセキュリティゾーンを割り当てることはできません。

  • Security Cloud Control は、現在、ASA デバイスまたは FDM-managed デバイス上の仮想トンネルインターフェイス(VTI)トンネルの管理、監視、使用をサポートしていません。VTI トンネルが設定されているデバイスを Security Cloud Control にオンボーディングすることは可能ですが、VTI インターフェイスは無視されます。セキュリティゾーンまたはスタティックルートが VTI を参照する場合、Security Cloud Control は VTI 参照を除いてセキュリティゾーンとスタティックルートを読み取ります。VTI トンネルに対する Security Cloud Control のサポートは近日中に提供されます。

Firepower インターフェイスをセキュリティゾーンに割り当てる

セキュリティゾーンを既存のインターフェイスに関連付けるには、以下の手順を実行します。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] デバイスをクリックし、変更する FDM-managed デバイスを選択します。

ステップ 4

右側にある [管理(Management)] ペインで、[インターフェイス(Interfaces)] をクリックします。

ステップ 5

セキュリティゾーンを追加するインターフェイスを選択し、[編集(Edit)] をクリックします。

ステップ 6

[セキュリティゾーン(Security Zone)] ドロップダウンメニューを使用して、このインターフェイスに関連付けるセキュリティゾーンを選択します。

(注)  

 

必要に応じて、[新規作成(Create New)] をクリックして、このドロップダウンメニューから新しいセキュリティゾーンを作成します。

ステップ 7

[保存(Save)] をクリックします。

ステップ 8

設定変更を Security Cloud Control から FDM-Managed デバイスに展開します

Firepower インターフェイス設定での Auto-MDI/MDX の使用

RJ-45 インターフェイスでは、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX を有効にするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションがディセーブルにされ、Auto-MDI/MDIX もディセーブルになります。ギガビット イーサネットの速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常にイネーブルになり、ディセーブルにできません。

これらの設定は、インターフェイスの編集時に [詳細(Advanced)] タブで行います。

Firepower インターフェイス設定での MAC アドレスの使用

Media Access Control(MAC)アドレスを手動で設定してデフォルト値を上書きできます。

高可用性設定の場合は、インターフェイスのアクティブ MAC アドレスとスタンバイ MAC アドレスの両方を設定できます。アクティブ ユニットがフェールオーバーしてスタンバイ ユニットがアクティブになると、その新規アクティブ ユニットがアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。

アクティブおよびスタンバイの MAC アドレスは、インターフェイスを設定する際に [詳細(Advanced)] タブで指定します。

デフォルトの MAC アドレス

デフォルトの MAC アドレスの割り当ては、インターフェイスのタイプによって異なります。

  • 物理インターフェイス:物理インターフェイスは Burned-In MAC Address を使用します。

  • サブインターフェイス:物理インターフェイスのすべてのサブインターフェイスは同じ Burned-In MAC Address を使用します。サブインターフェイスに一意の MAC アドレスを割り当てることが必要になる場合があります。たとえば、サービス プロバイダーによっては、MAC アドレスに基づいてアクセス コントロールを実行する場合があります。また、IPv6 リンクローカル アドレスは MAC アドレスに基づいて生成されるため、サブインターフェイスに一意の MAC アドレスを割り当てることで、一意の IPv6 リンクローカル アドレスが可能になります。

Firepower インターフェイス設定での MTU 設定の使用

MTU について

MTU は、FDM-managed デバイスが特定のイーサネット インターフェイスで送信可能な最大フレームペイロードサイズを指定します。MTU 値は、イーサネット ヘッダー、VLAN タギング、またはその他のオーバーヘッドを含まないフレーム サイズです。たとえば、MTU を 1500 に設定すると、予想されるフレーム サイズは、ヘッダーを含めて 1518 バイトです。または、VLAN を使用している場合は、1522 バイトです。これらのヘッダーに対応するために MTU 値を高く設定しないでください。

『Path MTU Discovery』

FDM-managed デバイスは、Path MTU Discovery(RFC 1191 の定義に従う)をサポートします。つまり、2 台のホスト間のネットワーク パス内のすべてのデバイスで MTU を調整できます。したがってパスの最小 MTU の標準化が可能です。

MTU とフラグメンテーション

IPv4 では、出力 IP パケットが指定された MTU より大きい場合、2 つ以上のフレームにフラグメント化されます。フラグメントは送信先(場合によっては中継先)で組立て直されますが、フラグメント化はパフォーマンス低下の原因となります。IPv6 では、通常、パケットはフラグメント化を許可されていません。したがってフラグメント化を避けるために、IP パケットを MTU サイズ以内に収める必要があります。

UDP または ICMP の場合、アプリケーションではフラグメント化を避けるために MTU を考慮する必要があります。


(注)  

FDM-managed デバイスはメモリに空きがある限り、設定された MTU よりも大きいフレームを受信できます。

MTU とジャンボ フレーム

より大きな MTU は、より大きなパケットの送信が可能です。より大きなパケットは、ネットワークにとってより効率的な場合があります。次のガイドラインを参照してください。

  • トラフィックパスの MTU の一致:すべての FDM-managed デバイスインターフェイスとトラフィック パス内のその他のデバイスのインターフェイスでは、MTU が同じになるように設定することを推奨します。MTU の一致により、中間デバイスでのパケットのフラグメント化が回避できます。

  • ジャンボフレームへの対応:ジャンボフレームとは、標準的な最大値 1522 バイト(レイヤ 2 ヘッダーおよび VLAN ヘッダーを含む)より大きく、9216 バイトまでのイーサネットパケットのことです。ジャンボ フレームに対応するために、9198 バイトまでの MTU を設定できます。FDM-managed 仮想の最大値は 9000 です。


    (注)  

    MTU を増やすとジャンボ フレームに割り当てるメモリが増え、他の機能(アクセス ルールなど)の最大使用量が制限される場合があります。ASA 5500-X シリーズデバイスまたは FDM-managed 仮想のデフォルト値の 1,500 よりも MTU のサイズを大きくする場合は、システムを再起動する必要があります。ジャンボ フレームのサポートが常に有効な場合、Firepower 2100 シリーズ デバイスを再起動する必要はありません。

    Firepower 3100 デバイスでは、ジャンボフレームのサポートがデフォルトで有効になっています。

Firepower インターフェイスの IPv6 アドレッシング

Firepower 物理インターフェイスに、次の 2 種類のユニキャスト IPv6 アドレスを設定できます。

  • [グローバル(Global)]:グローバルアドレスは、パブリックネットワークで使用可能なパブリックアドレスです。ブリッジ グループの場合、各メンバーインターフェイスではなくブリッジ仮想インターフェイス(BVI)上でグローバル アドレスを設定します。次のいずれかをグローバル アドレスとして指定することはできません。

    • 内部で予約済みの IPv6 アドレス:fd00::/56 (from=fd00:: to= fd00:0000:0000:00ff:ffff:ffff:ffff:ffff)

    • 未指定のアドレス(::/128 など)

    • ループバック アドレス(::1/128)

    • マルチキャストアドレス(ff00::/8)

    • リンクローカル アドレス(fe80::/10)

  • [リンクローカル(Link-local)]:リンクローカルアドレスは、直接接続されたネットワークだけで使用できるプライベートアドレスです。ルータは、リンクローカル アドレスを使用してパケットを転送するのではなく、特定の物理ネットワーク セグメント上で通信だけを行います。ルータは、アドレス設定またはアドレス解決およびネイバー探索などのネットワーク検出機能に使用できます。リンクローカル アドレスがセグメントでのみ使用可能であり、インターフェイス MAC アドレスに接続されているため、各インターフェイスは独自のアドレスを持つ必要があります。

最低限、IPv6 が動作するようにリンクローカル アドレスを設定する必要があります。グローバル アドレスを設定すると、リンクローカル アドレスがインターフェイスに自動的に設定されるため、リンクローカル アドレスを個別に設定する必要はありません。グローバル アドレスを設定しない場合は、リンクローカル アドレスを自動的にするか、手動で設定する必要があります。

Firepower インターフェイスの設定

インターフェイス接続(物理的または仮想)のためにケーブルを接続するとき、インターフェイスを設定する必要があります。少なくとも、トラフィックを通過させることができるように、インターフェイスに名前を付けて有効化します。インターフェイスがブリッジグループのメンバーである場合、インターフェイスに名前を付けるだけで十分です。インターフェイスがブリッジ仮想インターフェイス(BVI)の場合、BVI に IP アドレスを割り当てる必要があります。単一の物理インターフェイスではなく、VLAN サブインターフェイスを特定のポートで作成する場合、通常、物理インターフェイスではなくサブインターフェイス上で IP アドレスを設定します。VLAN サブインターフェイスを使用すると、物理インターフェイスを異なる VLAN ID がタグ付けされた複数の論理インターフェイスに分割できます。

インターフェイス リストは、利用可能なインターフェイス、その名前、アドレスおよびステータスを表示します。インターフェイスの行を選択し、[操作(Actions)] ウィンドウで [編集(Edit)] をクリックして、インターフェイスの状態(オンまたはオフ)を変更したり、インターフェイスを編集したりすることができます。このリストは、設定に基づいたインターフェイス特性を示します。インターフェイスの行を展開して、サブインターフェイスまたはブリッジグループメンバーを表示します。

物理 Firepower インターフェイスの設定

少なくとも 1 つの物理インターフェイスを有効にして使用できるようにする必要があります。通常、物理インターフェイスに名前を付けて IP アドレッシングを設定する必要がありますが、VLAN サブインターフェイスを設定する予定の場合、パッシブ モード インターフェイスを設定している場合、またはインターフェイスをブリッジグループに追加する予定の場合は、IP アドレッシングを設定しません。


(注)  

ブリッジ グループ メンバー インターフェイスまたはパッシブインターフェイスに IP アドレスを設定することはできません。ただし、IPv6 アドレッシングとは関連がない詳細設定を変更することは可能です。

接続されたネットワークでの送信を一時的に防ぐために、インターフェイスを無効にできます。インターフェイスの設定を削除する必要はありません。現時点では、Security Cloud Control はルーテッドインターフェイスとブリッジグループのみを設定できます。Security Cloud Control はパッシブインターフェイスを一覧表示しますが、Security Cloud Control からアクティブインターフェイスとして再設定することはできません。


(注)  

Security Cloud Control では、IPv4 の Point-to-Point Protocol over Ethernet(PPPoE)はサポートされていません。FDM-managed でこのオプションを設定すると、Security Cloud Control UI で問題が発生する可能性があります。デバイスに PPPoE を構成する必要がある場合は、FDM-managed デバイスで適切な変更を行う必要があります。

手順
手順

ステップ 1

左側のペインで Security Devices をクリックし、インターフェイスを設定するデバイスをクリックし、右側の [管理(Management)] ペインで [インターフェイス(Interfaces)] をクリックします。

ステップ 2

[インターフェイス(Interfaces)] ページで、設定する物理インターフェイスを選択します。

ステップ 3

右側の [操作(Actions)] ウィンドウで、[編集(Edit)] をクリックします。

ステップ 4

[論理名(Logical Name)] に物理インターフェイの論理名を入力し、任意で [説明(Description)] を入力します。サブインターフェイスを設定する場合を除き、インターフェイスには名前が必要です。

(注)  

 

名前を変更すると、その変更は古い名前を使用しているすべての場所(セキュリティ ゾーン、syslog サーバー オブジェクト、DHCP サーバーの定義を含む)に自動的に反映されます。ただし、通常、ポリシーや設定に名前のないインターフェイスは使用できないため、最初に古い名前を使用しているすべての設定を削除しないと、その名前は削除できません。

ステップ 5

次のいずれかのオプションを選択します。

  • サブインターフェースを追加する場合:

この物理インターフェイスのサブインターフェイスを設定する予定の場合、すでに設定している可能性が高いです。[保存(Save)] をクリックして、「Firepower VLAN サブインターフェイスと 802.1Q トランキングの設定」に進みます。それ以外の場合は続行します。

(注)  

 

サブインターフェイスを設定している場合でも、インターフェイスに名前を付けて、IP アドレスを指定できます。これは一般的な設定ではありませんが、必要だとわかっている場合は設定できます。
物理インターフェイスの IPv4 アドレス指定

警告

DHCP アドレスプールを設定して保存すると、DHCP アドレスプールがインターフェイスに設定された IP アドレスにバインドされます。DHCP アドレスプールを設定した後にインターフェイスのサブネットマスクを編集すると、FDM-managed デバイスへの展開に失敗します。また、FDM-managed コンソールで DHCP アドレスプールを編集し、FDM-managed デバイスから Security Cloud Control に設定を読み込むと、読み込みに失敗します。

手順

ステップ 1

[物理インターフェースの編集(Editing Physical Interface)] ダイアログで、[IPv4アドレス(IPv4 Address)] タブをクリックします。

ステップ 2

[タイプ(Type)] フィールドから次のいずれかのオプションを選択します。

  • [スタティック(Static)]:変わらないアドレスを割り当てる必要がある場合は、このオプションを選択します。​インターフェイスに接続されたネットワークに対するインターフェイスの IP アドレスとサブネットマスクを入力します。たとえば、10.100.10.0/24 ネットワークを接続する場合は、「10.100.10.1/24」と入力します。入力するアドレスがネットワーク ID またはネットワークのブロードキャストアドレスではなく、そのネットワークでまだ使用されていないことを確認してください。

    • [スタンバイIPアドレスとサブネットマスク(Standby IP Address and Subnet Mask)]:高可用性を設定し、このインターフェイスの HA をモニターリングしている場合は、同じサブネット上にスタンバイ IP アドレスも設定します。スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスにより使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ ユニットはネットワーク テストを使用してスタンバイ インターフェイスをモニターできず、リンク ステートをトラックすることしかできません。

    • (任意)[DHCPアドレスプール(DHCP Address Pool)]:単一の DHCP サーバーの IP アドレス、または IP アドレスの範囲を入力します。IP アドレスの範囲は、選択したインターフェイスと同じサブネット上に存在する必要があり、インターフェイス自体の IP アドレス、ブロードキャスト アドレス、またはサブネット ネットワーク アドレスを含めることはできません。プールの開始アドレスと終了アドレスをハイフンで区切って指定します。この DHCP サーバを一時的に無効にするには、[Firepower Threat Defenseデバイス設定(Firepower Threat Defense Device Settings)] ページの [DHCPサーバー(DHCP Servers)] セクションでサーバーを編集します。DHCP サーバーの設定

  • [ダイナミック(Dynamic)](DHCP):ネットワーク上の DHCP サーバーからアドレスを取得する必要がある場合は、このオプションを選択します。必要に応じて、次のオプションを変更します。

    • [デフォルトルートを取得(Obtain Default Route)]:デフォルトルートを DHCP サーバーから取得するかどうかを指定します。通常、このオプションのチェックボックスをオンにします。

    • [ルートメトリック(Route Metric)]:DHCP サーバーからデフォルトルートを取得する場合、学習済みルートまでのアドミニストレーティブ ディスタンスは 1 ~ 255 の間です。

      (注)  

       

      インターフェイスに対して設定されている DHCP サーバがある場合は、その設定が表示されます。DHCP アドレス プールを編集または削除できます。インターフェイスの IP アドレスを別のサブネットに変更する場合は、インターフェイスの変更を保存する前に、DHCP サーバーを削除するか、新しいサブネット上にアドレスプールを設定する必要があります。

ステップ 3

設定が完了した場合、または次のいずれかの手順を続行する場合は、[保存(Save)] をクリックします。

物理インターフェイスの IPv6 アドレス指定の設定
手順

ステップ 1

[物理インターフェースの編集(Editing Physical Interface)] ダイアログで、[IPv6アドレス(IPv6 Address)] タブをクリックします。

ステップ 2

[状態(State)]:グローバルアドレスを設定しない場合に IPv6 処理を有効にしてリンクローカルアドレスを自動的に設定するには、[状態(State)] スライダをクリックして有効にします。リンクローカルアドレスはインターフェイスの MAC アドレス(Modified EUI-64 形式)に基づいて生成されます。

(注)  

 

IPv6 を無効にしても、明示的な IPv6 アドレスを指定して設定されているインターフェイス、または自動設定が有効になっているインターフェイスの IPv6 処理は無効になりません。

ステップ 3

[アドレスの自動設定(Address Auto Configuration)]:アドレスを自動的に設定するには、チェックボックスをオンにします。IPv6 ステートレス自動設定では、デバイスが存在するリンクで使用する IPv6 グローバル プレフィックスのアドバタイズメントなどの、IPv6 サービスを提供するようにルータが設定されている場合に限り、グローバルな IPv6 アドレスが生成されます。IPv6 ルーティング サービスがリンクで使用できない場合、リンクローカル IPv6 アドレスのみが取得され、そのデバイスが属するネットワーク リンクの外部にはアクセスできません。リンクローカル アドレスは Modified EUI-64 インターフェイス ID に基づいています。

RFC 4862 では、ステートレス自動設定用に設定されたホストはルータ アドバタイズメント メッセージを送信しないと規定されていますが、この場合は、FDM-managed デバイスがルータ アドバタイズメント メッセージを送信します。メッセージを抑制して、RFC に準拠するためには、[RA を抑制(Suppress RA)] を選択します。

ステップ 4

[RAを抑制(Suppress RA)]:ルータアドバタイズメントを抑制する場合にチェックボックスをオンにします。Firepower Threat Defense デバイスをルータアドバタイズメントに参加させると、ネイバーデバイスがデフォルトのルータアドレスをダイナミックに把握できるようになります。デフォルトでは、ルータ アドバタイズメント メッセージ(ICMPv6 Type 134)は、設定済みの各 IPv6 インターフェイスに定期的に送信されます。

ルータ アドバタイズメントもルータ要請メッセージ(ICMPv6 Type 133)に応答して送信されます。ルータ要請メッセージは、システムの起動時にホストから送信されるため、ホストは、次にスケジュールされているルータ アドバタイズメント メッセージを待つことなくただちに自動設定できます。

Firepower Threat Defense デバイスで IPv6 プレフィックスを提供する必要がないインターフェイス(外部インターフェイスなど)では、これらのメッセージを抑制できます。

ステップ 5

[リンクローカルアドレス(Link-Local Address)]:アドレスをリンク ローカルのみとして使用する場合に入力します。リンクローカル アドレスでは、ローカル ネットワークの外部にはアクセスできません。リンクローカル アドレスはブリッジ グループ インターフェイスには設定できません。

(注)  

 

リンクローカル アドレスは、FE8、FE9、FEA、または FEB で始まっている必要があります。例、fe80::20d:88ff:feee:6a82。Modified EUI-64 形式に基づくリンクローカル アドレスを自動的に割り当てることを推奨します。たとえば、他のデバイスが Modified EUI-64 形式の使用を必要とする場合、手動で割り当てたリンクローカル アドレスのパケットはドロップされる可能性があります。

ステップ 6

[スタンバイリンクローカルアドレス(Standby Link-Local Address)]:インターフェイスがデバイスの高可用性ペアに接続する場合は、このアドレスを設定します。このインターフェイスが接続されている他の FDM-managed デバイスのインターフェイスのリンクローカルアドレスを入力します。

ステップ 7

[スタティックアドレスとプレフィックス(Static Address/Prefix)]:ステートレス自動設定を使用しない場合、完全なスタティックグローバル IPv6 アドレスとネットワークプレフィックスを入力します。たとえば、「2001:0DB8::BA98:0:3210/48」のように入力します。IPv6 アドレッシングの詳細については、「Firepower インターフェイスの IPv6 アドレッシング」を参照してください。

ステップ 8

[スタンバイIPアドレス(Standby IP Address)]:高可用性を設定し、このインターフェイスの HA をモニタリングしている場合は、同じサブネット上にスタンバイ IPv6 アドレスも設定します。スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスにより使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ ユニットはネットワーク テストを使用してスタンバイ インターフェイスをモニターできず、リンク ステートをトラックすることしかできません。

ステップ 9

設定が完了した場合、または次のいずれかの手順を続行する場合は、[保存(Save)] をクリックします。

物理インターフェイスの有効化
手順

ステップ 1

有効化するインターフェイスを選択します。

ステップ 2

インターフェイスの論理名に関連付けられている、ウィンドウ右上の [状態(State)] スライダを青にスライドします。

ステップ 3

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Firepower VLAN サブインターフェイスと 802.1Q トランキングの設定

VLAN サブインターフェイスを使用すると、物理インターフェイスを異なる VLAN ID がタグ付けされた複数の論理インターフェイスに分割できます。VLAN サブインターフェイスが 1 つ以上あるインターフェイスは、自動的に 802.1Q トランクとして設定されます。VLAN では、所定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスまたはデバイスを追加しなくても、ネットワーク上で使用できるインターフェイスの数を増やすことができます。

物理インターフェイスをスイッチのトランク ポートに接続する場合は、サブインターフェイスを作成します。スイッチ トランク ポートで表示できる各 VLAN のサブインターフェイスを作成します。物理インターフェイスをスイッチのアクセス ポートに接続する場合は、サブインターフェイスを作成しても意味がありません。


(注)  

必要に応じて詳細設定を変更することはできますが、ブリッジ グループ メンバー インターフェイスの IP アドレスを設定することはできません。

はじめる前に

物理インターフェイス上のタグなしパケットの禁止。物理インターフェイスはタグの付いていないパケットを通過させるため、サブインターフェイスを使用する場合、通常は物理インターフェイスでトラフィックを通過させないようにします。サブインターフェイスでトラフィックを通過させるには物理的インターフェイスを有効にする必要があるため、インターフェイスに名前を付けないことでトラフィックを通過させないようにします。物理インターフェイスにタグの付いていないパケットを通過させる場合には、通常のようにインターフェイスに名前を付けることができます。

手順
手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、インターフェイスを設定するデバイスをクリックします。

ステップ 4

右側の [管理(Management)] ペインで [インターフェイス(Interfaces)] をクリックします。

ステップ 5

[インターフェイス(Interfaces)] ページで、設定する物理インターフェイスを選択し、右側の操作ウィンドウで [+新しいサブインターフェイス(+ New Subinterface)] をクリックします。

[親インターフェイス(Parent Interface)] フィールドには、このサブインターフェイスを作成する対象の物理インターフェイス名が表示されます。いったん作成したサブインターフェイスの親インターフェイスは変更できません。

ステップ 6

[論理名(Logical Name)] に物理インターフェイの論理名を入力し、任意で [説明(Description)] を入力します。論理名を設定しないと、インターフェイスの残りの設定は無視されます。

(注)  

 

名前を変更すると、その変更は古い名前を使用しているすべての場所(セキュリティ ゾーン、syslog サーバー オブジェクト、DHCP サーバーの定義を含む)に自動的に反映されます。ただし、通常、ポリシーや設定に名前のないインターフェイスは使用できないため、最初に古い名前を使用しているすべての設定を削除しないと、その名前は削除できません。

ステップ 7

VLAN ID とサブインターフェイス ID を次のように設定します。

  • [VLAN ID]:VLAN ID を 1 ~ 4094 の範囲で入力します。これは、このサブインターフェイス上のパケットにタグを付けるために使用されます。

  • [サブインターフェイスID(Sub-Interface ID)]:サブインターフェイス ID を 1 ~ 4294967295 の範囲の整数で入力します。許可されるサブインターフェイスの番号は、プラットフォームによって異なります。いったん作成したサブインターフェイスの ID は変更できません。

サブインターフェイスの IPv4 アドレスの設定」および「サブインターフェイスの IPv6 アドレスの設定」に進みます。

サブインターフェイスの IPv4 アドレスの設定
手順

ステップ 1

[サブインターフェースの追加(Adding Subinterface)] ダイアログで、[IPv4アドレス(IPv4 Address)] タブをクリックします。

ステップ 2

[タイプ(Type)] フィールドから次のいずれかのオプションを選択します。

  • [スタティック(Static)]:変わらないアドレスを割り当てる必要がある場合は、このオプションを選択します。

    インターフェイスに接続されたネットワークに対するインターフェイスの IP アドレスとサブネットマスクを入力します。たとえば、10.100.10.0/24 ネットワークを接続する場合は、「10.100.10.1/24」と入力します。入力するアドレスがネットワーク ID またはネットワークのブロードキャストアドレスではなく、そのネットワークでまだ使用されていないことを確認してください。

  • [スタンバイIPアドレス(Standby IP Address)] および [サブネットマスク(Subnet Mask)]:このインターフェイスがデバイスの高可用性ペアで使用されている場合にのみ入力します。

  • [ダイナミック(Dynamic)](DHCP):ネットワーク上の DHCP サーバーからアドレスを取得する必要がある場合は、このオプションを選択します。必要に応じて、次のオプションを変更します。

    • [デフォルトルートを取得(Obtain Default Route)]:デフォルトルートを DHCP サーバーから取得するかどうかを指定します。通常、このオプションのチェックボックスをオンにします。

    • [ルートメトリック(Route Metric)]:DHCP サーバーからデフォルトルートを取得する場合、学習済みルートまでのアドミニストレーティブ ディスタンスは 1 ~ 255 の間です。

      DHCP サーバーの設定」を参照してください。

      (注)  

       

      インターフェイスに対して設定されている DHCP サーバがある場合は、その設定が表示されます。DHCP アドレス プールを編集または削除できます。インターフェイスの IP アドレスを別のサブネットに変更する場合は、インターフェイスの変更を保存する前に、DHCP サーバーを削除するか、新しいサブネット上にアドレスプールを設定する必要があります。

ステップ 3

設定が完了した場合、または次のいずれかの手順を続行する場合は、[作成(Create)] をクリックします。

サブインターフェイスの IPv6 アドレスの設定
手順

ステップ 1

[IPv6アドレス(IPv6 Address)] タブをクリックします。

ステップ 2

IPv6 処理の有効化:グローバルアドレスを設定しない場合に IPv6 処理を有効にしてリンクローカルアドレスを自動的に設定するには、[状態(State)] スライダを青にスライドします。リンクローカルアドレスはインターフェイスの MAC アドレス(Modified EUI-64 形式)に基づいて生成されます。

(注)  

 

IPv6 を無効にしても、明示的な IPv6 アドレスを指定して設定されているインターフェイス、または自動設定が有効になっているインターフェイスの IPv6 処理は無効になりません。

ステップ 3

[アドレスの自動設定(Address Auto Configuration)]:アドレスを自動的に設定するには、チェックボックスをオンにします。IPv6 ステートレス自動設定では、デバイスが存在するリンクで使用する IPv6 グローバルプレフィックスのアドバタイズメントなどの、IPv6 サービスを提供するようにルータが設定されている場合に限り、グローバルな IPv6 アドレスが生成されます。IPv6 ルーティング サービスがリンクで使用できない場合、リンクローカル IPv6 アドレスのみが取得され、そのデバイスが属するネットワーク リンクの外部にはアクセスできません。リンクローカル アドレスは Modified EUI-64 インターフェイス ID に基づいています。

ステップ 4

[RAを抑制(Suppress RA)]:ルータアドバタイズメントを抑制する場合にチェックボックスをオンにします。Firepower Threat Defense デバイスをルータアドバタイズメントに参加させると、ネイバーデバイスがデフォルトのルータアドレスをダイナミックに把握できるようになります。デフォルトでは、ルータ アドバタイズメント メッセージ(ICMPv6 Type 134)は、設定済みの各 IPv6 インターフェイスに定期的に送信されます。

ルータ アドバタイズメントもルータ要請メッセージ(ICMPv6 Type 133)に応答して送信されます。ルータ要請メッセージは、システムの起動時にホストから送信されるため、ホストは、次にスケジュールされているルータ アドバタイズメント メッセージを待つことなくただちに自動設定できます。

Firepower Threat Defense デバイスで IPv6 プレフィックスを提供する必要がないインターフェイス(外部インターフェイスなど)では、これらのメッセージを抑制できます。

ステップ 5

[リンクローカルアドレス(Link-Local Address)]:アドレスをリンク ローカルのみとして使用する場合に入力します。リンクローカル アドレスでは、ローカル ネットワークの外部にはアクセスできません。

(注)  

 

リンクローカル アドレスは、FE8、FE9、FEA、または FEB で始まっている必要があります。例、fe80::20d:88ff:feee:6a82。Modified EUI-64 形式に基づくリンクローカル アドレスを自動的に割り当てることを推奨します。たとえば、他のデバイスが Modified EUI-64 形式の使用を必要とする場合、手動で割り当てたリンクローカル アドレスのパケットはドロップされる可能性があります。

ステップ 6

[スタンバイリンクローカルアドレス(Standby Link-Local Address)]:インターフェイスがデバイスの高可用性ペアに接続する場合は、このアドレスを設定します。

ステップ 7

[スタティックアドレスとプレフィックス(Static Address/Prefix)]:ステートレス自動設定を使用しない場合、完全なスタティックグローバル IPv6 アドレスとネットワークプレフィックスを入力します。たとえば、「2001:0DB8::BA98:0:3210/48」のように入力します。IPv6 アドレッシングの詳細については、136 ページの「IPv6 アドレッシング」を参照してください。

ステップ 8

[スタンバイIPアドレス(Standby IP Address)]:高可用性を設定し、このインターフェイスの HA をモニタリングしている場合は、同じサブネット上にスタンバイ IPv6 アドレスも設定します。スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスにより使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ ユニットはネットワーク テストを使用してスタンバイ インターフェイスをモニターできず、リンク ステートをトラックすることしかできません。

ステップ 9

設定が完了した場合、または次のいずれかの手順を続行する場合は、[作成(Create)] をクリックします。

物理インターフェイスの有効化
手順

ステップ 1

サブインターフェースを有効にするには、サブインターフェースの論理名に関連付けられている [状態(State)] スライダを青にスライドします。

ステップ 2

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

高度な Firepower インターフェイスオプションの設定

高度なインターフェイス オプションには、ほとんどのネットワークに適合するデフォルト設定が用意されています。ネットワークの問題を解決する場合のみ設定を行います。

次の手順では、インターフェイスが定義済みであることを前提としています。インターフェイスを最初に編集または作成するときに、これらの設定を編集することもできます。

この手順と手順内のすべてのステップはオプションです。

制限事項

  • Firepower 2100 シリーズ デバイス上の管理インターフェイスに MTU、デュプレックス、速度を設定することはできません。

  • 名前のないインターフェイスの MTU は、1500 バイトに設定する必要があります。

手順

ステップ 1

ナビゲーションウィンドウで、Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、インターフェイスを設定するデバイスをクリックします。

ステップ 4

右側の [管理(Management)] ペインで [インターフェイス(Interfaces)] をクリックします。

ステップ 5

[インターフェイス(Interfaces)] ページで、設定する物理インターフェイスを選択し、右側の操作ウィンドウで [編集(Edit)] をクリックします。

ステップ 6

[詳細(Advanced)] タブをクリックします。

ステップ 7

[HAモニタリングの有効化(Enable for HA Monitoring)] は自動的に有効になります。これが有効になっている場合、高可用性の設定でピア装置にフェールオーバーするかどうかの判断要素にインターフェイスの状態が含まれます。このオプションは、高可用性を設定しない場合は無視されます。インターフェイスの名前を設定しない場合も、無視されます。

ステップ 8

データインターフェイスを管理専用に指定する場合は、[管理専用(Management Only)] チェックボックスをオンにします。

管理専用インターフェイスはトラフィックの通過を許可しないため、データインターフェイスを [管理専用(Management Only)] インターフェイスに設定する意味はあまりありません。管理/診断インターフェイスは、常に管理専用であるため、この設定を変更することはできません。

ステップ 9

IPv6 DHCP の設定を変更します。

  • [IPv6アドレス設定でDHCPを有効化する(Enable DHCP for IPv6 address configuration)]:IPv6 ルータのアドバタイズメントパケットに、管理アドレス設定フラグを設定するかどうか。このフラグは、取得されるステートレス自動設定のアドレス以外のアドレスの取得に DHCPv6 を使用する必要があることを、IPv6 自動設定クライアントに通知します。

  • [IPv6のアドレス以外の設定でDHCPを有効化する(Enable DHCP for IPv6 non-address configuration)]:IPv6 ルータのアドバタイズメント パケットに、その他のアドレス設定フラグを設定するかどうか。このフラグは、DHCPv6 から DNS サーバ アドレスなどの追加情報の取得に DHCPv6 を使用する必要があることを、IPv6 自動設定クライアントに通知します。

ステップ 10

[DADの試行(DAD Attempts)]:インターフェイスで重複アドレス検出(DAD)を実行する頻度(0 ~ 600)。デフォルトは 1 です。ステートレス自動設定プロセスでは、DAD はアドレスがインターフェイスに割り当てられる前に、新しいユニキャスト IPv6 アドレスの一意性を検証します。重複アドレスがインターフェイスのリンクローカル アドレスであれば、インターフェイス上で IPv6 パケットの処理はディセーブルになります。重複アドレスがグローバル アドレスであれば、そのアドレスは使用されません。インターフェイスは、ネイバー送信要求メッセージを使用して、重複アドレス検出を実行します。重複アドレス検出(DAD)プロセスを無効にするには、この値を 0 に設定します。

ステップ 11

[MTU](最大伝送ユニット)を目的の値に変更します。

デフォルトの MTU は 1500 バイトです。64 ~ 9198 の値を指定できます(Firepower Threat Defense Virtual の場合は最大値が 9000)。ジャンボ フレームが頻繁にやり取りされるネットワークでは、大きな値に設定します。詳細については、「インターフェースの MTU の 設定」を参照してください。

(注)  

 

ASA 5500-X シリーズ デバイス、ISA 3000 シリーズ デバイス、または Firepower Threat Defense Virtual で MTU を 1500 より大きい値に設定する場合は、デバイスを再起動する必要があります。CLI にログインし、reboot コマンドを使用します。ジャンボフレームのサポートが常に有効な場合、Firepower 2100 または Secure Firewall 3100 シリーズデバイスを再起動する必要はありません。

ステップ 12

(物理インターフェイスのみ)速度およびデュプレックスの設定を変更します。

デフォルトでは、インターフェイスは接続相手のインターフェイスに対し、互いに最適なデュプレックスおよび速度をネゴシエートしますが、必要に応じて、特定のデュプレックスおよび速度を強制的に適用することもできます。記載されているオプションは、インターフェイスでサポートされるもののみです。ネットワークモジュールのインターフェイスにこれらのオプションを設定する前に、「インターフェイス設定の制限事項」 をお読みください。

  • [二重(Duplex)]:[自動(Auto)]、[ハーフ(Half)]、[フル(Full)]、または [デフォルト(Default)] を選択します。 [自動(Auto)] は、インターフェイスによってサポートされる場合のみデフォルトとなります。たとえば、Firepower 2100 または Secure Firewall 3100 シリーズデバイスの SFP インターフェイスでは [自動(Auto)] を選択できません。Firepower Device Manager が設定を試行できないことを示すために [Default] を選択します。

    既存の設定は、すべてそのまま変更されません。

  • [速度(Speed)]:[自動(Auto)] を選択してインターフェイスに速度をネゴシエートさせるか(これがデフォルトです)、または特定の速度:[10]、[100]、[1000]、[10000] Mbps を選択します。 次の特別オプションも選択できます。

    既存の設定は、すべてそのまま変更されません。

    インターフェイスのタイプによって、選択可能なオプションが制限されます。たとえば、Firepower 2100 シリーズ デバイスの SFP+ インターフェイスは 1000(1 Gbps)および 10000(10 Gpbs)のみをサポートし、SFP インターフェイスは 1000(1 Gbps)のみをサポートしますが、GigabitEthernet ポートは 10000(10 Gpbs)をサポートしません。その他のデバイス上の SPF インタ フェースでは [ネゴシエートなし(No Negotiate)] が必須の場合があります。インターフェイスのサポート対象については、ハードウェアのマニュアルを参照してください。

ステップ 13

(必要に応じて、サブインターフェイスおよび高可用性装置に推奨されます。)MAC アドレスを設定します。

[MACアドレス(MAC Address)]:H.H.H 形式の Media Access Control。H は 16 ビットの 16 進数です。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は 000C.F142.4CDE と入力します。MAC アドレスはマルチキャスト ビット セットを持つことはできません。つまり、左から 2 番目の 16 進数字を奇数にすることはできません。

[スタンバイMACアドレス(Standby MAC Address)]:高可用性で使用します。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイ アドレスを使用します。

ステップ 14

[作成(Create)] をクリックします。

ブリッジグループの設定

ブリッジ グループは 1 つ以上のインターフェイスをグループ化する仮想インターフェイスです。インターフェイスをグループ化する主な理由は、スイッチド インターフェイスのグループを作成することにあります。そのため、ブリッジ グループに含まれているインターフェイスにワークステーションやその他のエンドポイント デバイスを直接接続できます。それらは別の物理スイッチを介して接続する必要はありませんが、スイッチをブリッジ グループ メンバーに接続することもできます。

グループ メンバーには IP アドレスはありません。代わりに、すべてのメンバー インターフェイスがブリッジ仮想インターフェイス(BVI)の IP アドレスを共有します。BVI で IPv6 を有効にすると、メンバー インターフェイスには一意のリンクローカル アドレスが自動的に割り当てられます。

通常は、メンバー インターフェイス経由で接続されているエンドポイントの IP アドレスを提供するブリッジ グループ インターフェイス(BVI)に DHCP サーバーを設定します。ただし、必要に応じて、メンバー インターフェイスに接続されているエンドポイントにスタティック アドレスを設定できます。ブリッジ グループ内のすべてのエンドポイントには、ブリッジ グループの IP アドレスと同じサブネットの IP アドレスが必要です。


(注)  

ISA 3000 では、デバイスは inside という名前のブリッジグループ BVI で事前に設定されており、outside インターフェイスを除くすべてのデータインターフェイスを含んでいます。そのため、デバイスにはインターネットやその他のアップストリーム ネットワークへの接続に使用される 1 つのポートが事前に設定されています。また、その他のポートはすべて有効になっていて、エンドポイントへの直接接続に使用できます。新しいサブネットで内部インターフェイスを使用する場合は、まず必要なインターフェイスを BVI から削除する必要があります。

FDM-managed デバイスは、1 つのブリッジグループのみをサポートします。したがって、Security Cloud Control ではその 1 つのブリッジグループのみを管理でき、デバイス上に追加のブリッジグループを作成することはできません。

Security Cloud Control でブリッジグループを作成した後、設定が FDM-managed デバイスに展開されるまで、ブリッジグループ ID はわかりません。FDM-managed デバイスは、BVI1 などのブリッジグループ ID を割り当てます。インターフェイスが削除され、新しいブリッジグループが作成されると、新しいブリッジグループには、BVI2 などの増分された番号が割り当てられます。

はじめる前に

ブリッジグループのメンバーになるインターフェイスを設定します。具体的には、各メンバーインターフェイスは、次の要件を満たしている必要があります。

  • インターフェイスには名前が必要です。

  • インターフェイスは管理専用として設定できません。

  • インターフェイスはパッシブモードで設定できません。

  • インターフェイスを EtherChannel インターフェイスまたは EtherChannel サブインターフェイスにすることはできません。

  • 静的に、または DHCP を介してインターフェイス用に定義された IPv4 または IPv6 アドレスは設定できません。現在使用しているインターフェイスからアドレスを削除する必要がある場合、そのインターフェイスのその他の設定(アドレスを持つインターフェイスに依存するスタティック ルート、DHCP サーバー、NAT ルールなど)も削除する必要がある場合があります。IP アドレスを持つインターフェイスをブリッジグループに追加しようとすると、Security Cloud Control は警告を表示します。インターフェイスをブリッジグループに追加し続けると、Security Cloud Control はインターフェイス設定から IP アドレスを削除します。

  • BVI は、VLAN インターフェイスまたは他のルーテッドインターフェイスのいずれかをメンバーインターフェイスとして持つことができますが、1 つの BVI で両方をメンバーインターフェイスとして持つことはできません。

  • インターフェイスは、Point-to-Point Protocol over Ethernet(PPPoE)にはできません。

  • インターフェイスをセキュリティゾーンに関連付けることはできません(ゾーン内にある場合)。インターフェイスをブリッジグループに追加する前に、そのインターフェイスのすべての NAT ルールを削除する必要があります。

  • メンバーインターフェイスは個別に有効または無効にします。そのため、未使用のインターフェイスはブリッジ グループから削除することなく無効化できます。ブリッジ グループ自体は常に有効になっています。

  • ブリッジグループではクラスタリングがサポートされません。


(注)  

ブリッジグループは、ルーテッドモードの Firepower 2100 デバイス、またはブリッジされた ixgbevf インターフェイスを備えた VMware ではサポートされていません。

ブリッジ グループ インターフェイス名の設定とブリッジグループメンバーの選択

この手順では、ブリッジ グループ インターフェイス(BVI)に名前を付け、ブリッジグループに追加するインターフェイスを選択します。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、ブリッジグループを作成するデバイスを選択します。

ステップ 4

次のいずれかを実行します。

  • BVI ブリッジグループを選択し、操作ウィンドウで [編集(Edit)] をクリックします。

  • プラスボタン をクリックして、ブリッジ グループ インターフェイスを選択します。

(注)  

 

作成および設定できるのは 1 つのブリッジグループのみです。ブリッジ グループをすでに定義している場合は、新しいグループ作成するのではなく、そのグループを編集する必要があります。新しいブリッジ グループを作成する必要がある場合は、まず既存のブリッジ グループを削除する必要があります。

ステップ 5

次を設定します。

  • [論理名(Logical Name)]:ブリッジグループに名前を付ける必要があります。最大 48 文字です。英字は小文字にする必要があります。例、[inside] または [outside]。名前を設定しないと、インターフェイスの残りの設定は無視されます。

(注)  

 

名前を変更すると、その変更は古い名前を使用しているすべての場所(セキュリティ ゾーン、syslog サーバー オブジェクト、DHCP サーバーの定義を含む)に自動的に反映されます。ただし、通常、ポリシーや設定に名前のないインターフェイスは使用できないため、最初に古い名前を使用しているすべての設定を削除しないと、その名前は削除できません。

  • (任意)[説明(Description)]:説明は 200 文字以内で、改行を入れずに 1 行で入力します。

ステップ 6

[ブリッジグループメンバー(Bridge Group Members)] タブをクリックします。1 つのブリッジグループに最大 64 個のインターフェイスまたはサブインターフェイスを追加できます。

  • インターフェイスを確認して、ブリッジグループに追加します。

  • ブリッジグループから削除するインターフェイスのチェックボックスをオフにします。

ステップ 7

[保存(Save)] をクリックします。

BVI に名前とメンバーインターフェイスが追加されました。次のタスクに進み、ブリッジ グループ インターフェイスを設定します。メンバーインターフェイス自体に対して次のタスクを実行していません。
BVI の IPv4 アドレスの設定
手順

ステップ 1

ブリッジグループを作成するデバイスを選択します。

ステップ 2

インターフェイスのリストで [BVI] を選択し、操作ウィンドウで [編集(Edit)] をクリックします。

ステップ 3

[IPv4アドレス(IPv4 Address)] タブをクリックして、IPv4 アドレスを設定します。

ステップ 4

[タイプ(Type)] フィールドから次のいずれかのオプションを選択します。

  • [スタティック(Static)]:変わらないアドレスを割り当てる必要がある場合は、このオプションを選択します。ブリッジ グループの IP アドレスとサブネット マスクを入力します。接続されているエンドポイントはすべて、このネットワーク上に存在することになります。ブリッジ グループが事前設定されたモデルでは、デフォルトの BVI の「内部」ネットワークは 192.168.1.1/24(つまり 255.255.255.0)です。このアドレスがネットワーク上ですでに使用されていないことを確認します。

    高可用性を設定し、このインターフェイスの HA をモニタしている場合は、同じサブネット上のスタンバイ IP アドレスも設定します。スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスにより使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ ユニットはネットワーク テストを使用してスタンバイ インターフェイスをモニターできず、リンク ステートをトラックすることしかできません。

    (注)  

     

    インターフェイスに対して設定されている DHCP サーバがある場合は、その設定が表示されます。DHCP アドレス プールを編集または削除できます。インターフェイスの IP アドレスを別のサブネットに変更する場合は、インターフェイスの変更を保存する前に、DHCP サーバーを削除するか、新しいサブネット上にアドレスプールを設定する必要があります。「DHCP サーバーの設定」を参照してください。

  • [ダイナミック(Dynamic)](DHCP):ネットワーク上の DHCP サーバーからアドレスを取得する必要がある場合は、このオプションを選択します。これはブリッジ グループの一般的なオプションではありませんが、必要に応じて設定できます。高可用性を設定する場合、このオプションは使用できません。必要に応じて、次のオプションを変更します。

    • [ルートメトリック(Route Metric)]:DHCP サーバーからデフォルトルートを取得する場合、学習済みルートまでのアドミニストレーティブ ディスタンスは 1 ~ 255 の間です。デフォルトは 1 です。

    • [デフォルトルートを取得(Obtain Default Route)]:チェックボックスをオンにすると、デフォルトルートが DHCP サーバーから取得されます。通常は、デフォルトのこのオプションを選択します。

ステップ 5

次の手順のいずれかに進みます。
BVI の IPv6 アドレスの設定
手順

ステップ 1

[IPv6アドレス(IPv6 Address)] タブをクリックして、BVI の IPv6 アドレスを設定します。

ステップ 2

IPv6 アドレスの次の項目を設定します。

ステップ 3

IPv6 処理の有効化:グローバルアドレスを設定しない場合に IPv6 処理を有効にしてリンクローカルアドレスを自動的に設定するには、[状態(State)] スライダを青にスライドします。リンクローカル アドレスはインターフェイスの MAC アドレス(Modified EUI-64 形式)に基づいて生成されます。

(注)  

 

IPv6 を無効にしても、明示的な IPv6 アドレスを指定して設定されているインターフェイス、または自動設定が有効になっているインターフェイスの IPv6 処理は無効になりません。

ステップ 4

[RAを抑制(Suppress RA)]:ルータアドバタイズメントを抑制するかどうかを指定します。Firepower Threat Defense デバイスをルータアドバタイズメントに参加させると、ネイバーデバイスがデフォルトのルータアドレスをダイナミックに把握できるようになります。デフォルトでは、ルータ アドバタイズメント メッセージ(ICMPv6 Type 134)は、設定済みの各 IPv6 インターフェイスに定期的に送信されます。

ルータ アドバタイズメントもルータ要請メッセージ(ICMPv6 Type 133)に応答して送信されます。ルータ要請メッセージは、システムの起動時にホストから送信されるため、ホストは、次にスケジュールされているルータ アドバタイズメント メッセージを待つことなくただちに自動設定を行うことができます。

FDM-managed デバイスで IPv6 プレフィックスを提供する必要がないインターフェイス(外部インターフェイスなど)では、これらのメッセージを抑制できます。

ステップ 5

[スタティックアドレスとプレフィックス(Static Address/Prefix)]:ステートレス自動設定を使用しない場合、完全なスタティックグローバル IPv6 アドレスとネットワークプレフィックスを入力します。たとえば、「2001:0DB8::BA98:0:3210/48」のように入力します。IPv6 アドレッシングの詳細については、「IPv6 アドレッシング」を参照してください。

ステップ 6

[スタンバイIPアドレス(Standby IP Address)]:高可用性を設定し、このインターフェイスの HA をモニタリングしている場合は、同じサブネット上にスタンバイ IPv6 アドレスも設定します。スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスにより使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ ユニットはネットワーク テストを使用してスタンバイ インターフェイスをモニターできず、リンク ステートをトラックすることしかできません。

ステップ 7

次の手順のいずれかに進みます。
高度なインターフェイス オプションの設定

ブリッジグループのメンバーインターフェイスに対して最も詳細なオプションを設定しますが、一部はブリッジ グループ インターフェイス自体でも使用できます。

手順

ステップ 1

詳細設定には、ほとんどのネットワークに適しているデフォルト設定があります。デフォルト設定はネットワークの問題を解決する場合のみ編集します。

ステップ 2

[OK] をクリックします。

ステップ 3

[保存(Save)] をクリックして、Firepower デバイスに変更を展開します。詳細については、「Security Cloud Control から FTD への設定変更の展開」を参照してください。

次のタスク

  • 使用する予定のすべてのメンバー インターフェイスが有効になっていることを確認します。

  • ブリッジ グループの DHCP サーバを設定します。「DHCP サーバーの設定」を参照してください。

  • メンバー インターフェイスを適切なセキュリティ ゾーンに追加します。

  • アイデンティティ、NAT、アクセスなどのポリシーにより、ブリッジ グループとメンバー インターフェイスに必要なサービスが提供されることを確認します。

FDM-Managed 設定におけるブリッジグループの互換性

各種設定でインターフェイスを指定する際、ブリッジ仮想インターフェイス(BVI)を指定できる場合もあれば、ブリッジ グループのメンバーを指定できる場合もあります。次の表では、BVI をいつ使用でき、メンバーインターフェイスをいつ使用できるかを示します。

Firepower Threat Defense の設定タイプ

BVI が使用可能

BVI メンバーが使用可能

DHCP サーバー

対応

非対応

DNS サーバー

対応

対応

管理アクセス

対応

非対応

NAT(ネットワーク アドレス変換。)

非対応

はい

セキュリティ ゾーン

非対応

はい

サイト間 VPN アクセスポイント

非対応

はい

Syslog サーバー(Syslog Server)

対応

非対応
ブリッジグループの削除

ブリッジ グループを削除すると、そのメンバーは標準のルーテッド インターフェイスになり、NAT ルールまたはセキュリティ ゾーンのメンバーシップはすべて維持されます。インターフェイスを編集して、IP アドレスを付与できます。新しいブリッジ グループを作成する必要がある場合は、まず既存のブリッジ グループを削除する必要があります。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

[FTD] タブをクリックして、ブリッジグループを削除するデバイスを選択します。

ステップ 4

BVI ブリッジグループを選択し、操作ウィンドウで [削除(Remove)] をクリックします。

ステップ 5

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

FDM-Managed デバイスの EtherChannel インターフェイスの追加

EtherChannel インターフェイスの制限事項

EtherChannel は、デバイスモデルによっては、同じメディアタイプと容量のメンバーインターフェイスを複数含めることができますが、同じ速度とデュプレックスに設定する必要があります。容量の大きいインターフェイスで速度を低く設定することによってインターフェイスの容量(1 GB インターフェイスと 10 GB インターフェイスなど)を混在させることはできません。リンク集約制御プロトコル(LACP)では、2 つのネットワーク デバイス間でリンク集約制御プロトコル データ ユニット(LACPDU)を交換することによって、インターフェイスが集約されます。

EtherChannel インターフェイスには、物理設定とソフトウェアバージョンに基づいた多くの制限があります。詳細については、以下のセクションを参照してください。

インターフェイスの一般的な制限事項

  • EtherChannel は、FDM-managed バージョン 6.5 以降を実行しているデバイスでのみ使用できます。

  • Security Cloud Control は次の Firepower デバイスで EtherChannel インターフェイス構成をサポートします。1010、1120、1140、1150、2110、2120、2130、2140、3110、3120、3130、および 3140。デバイスモデルごとのインターフェイスの制限については、「デバイス固有の要件」を参照してください。

  • チャネルグループ内のすべてのインターフェイスは、同じメディアタイプと容量である必要があり、同じ速度とデュプレックスに設定する必要があります。メディアタイプは RJ-45 または SFP のいずれかです。異なるタイプ(銅と光ファイバ)の SFP を混在させることができます。容量の大きいインターフェイスで速度を低く設定することによってインターフェイスの容量(1 GB インターフェイスと 10 GB インターフェイスなど)を混在させることはできません。

  • EtherChannel の接続先デバイスも 802.3ad EtherChannel をサポートしている必要があります。

  • FDM-managed デバイスは、VLAN タグ付きの LACPDU をサポートしていません。Cisco IOS vlan dot1Q tag native コマンドを使用して隣接スイッチのネイティブ VLAN タギングを有効にすると、FDM-managed デバイスはタグ付きの LACPDU をドロップします。隣接スイッチのネイティブ VLAN タギングは、必ず無効化してください。

  • すべての FDM-managed デバイスのコンフィギュレーションは、メンバー物理インターフェイスではなく論理 EtherChannel インターフェイスを参照します。

  • ポートチャネル インターフェイスは物理インターフェイスとして表示されます。

デバイス固有の制限事項

次のデバイスには、特定のインターフェイスの制限事項があります。

1000 シリーズ

  • Firepower 1010 は、最大 8 つの EtherChannel インターフェイスをサポートします。

  • Firepower 1120、1140、1150 は、最大 12 の EtherChannel インターフェイスをサポートします。

  • 1000 シリーズは、LACP 高速レートをサポートしていません。 LACP では常に通常のレートが使用されます。この値は設定不可能です。

2100 シリーズ

  • Firepower 2110 および 2120 モデルは、最大 12 の EtherChannel インターフェイスをサポートします。

  • Firepower 2130 および 2140 モデルは、最大 16 の EtherChannel インターフェイスをサポートします。

  • 2100 シリーズは LACP 高速レートをサポートしていません。 LACP は常に通常のレートを使用します。この値は設定不可能です。

Secure Firewall 3100 シリーズ

  • すべての Secure Firewall 3100 モデルは最大 16 の EtherChannel インターフェイスをサポートします。

  • Secure Firewall 3100 モデルは LACP 高速レートをサポートします。

  • Secure Firewall 3100 シリーズモデルは、ネットワークモジュールの有効化と無効化、およびインターフェイスのブレークアウト活性挿抜(OIR)をサポートしていません。

4100 シリーズおよび 9300 シリーズ

  • 4100 および 9300 シリーズで EtherChannel を作成または設定することはできません。これらのデバイスの EtherChannel は、FXOS シャーシで設定する必要があります。

  • 4100 および 9300 シリーズの EtherChannel は、物理インターフェイスとして Security Cloud Control に表示されます。

EtherChannel インターフェイスの追加

次の手順を使用して、EtherChannel を FDM 管理対象デバイスに追加します。

手順

ステップ 1

[デバイス] タブをクリックします。

ステップ 2

[FTD] タブをクリックして、EtherChannel を追加するデバイスを選択します。

ステップ 3

右側の [管理(Management)] ペインで、[インターフェイス(Interfaces)] を選択します。

ステップ 4

プラスアイコンをクリックし、[EtherChannel Interface] を選択します。

ステップ 5

[Logical Name] を入力します。

ステップ 6

(任意)説明を入力します。

ステップ 7

[EtherChannel ID] を入力します。

Firepower 1010 シリーズの場合は、1 ~ 8 の値を入力します。

Firepower 2100、3100、4100、および 9300 シリーズの場合は、1 ~ 48 の値を入力します。

ステップ 8

[リンク集約制御プロトコル(Link Aggregation Control Protocol)] のドロップダウンボタンをクリックし、次の 2 つのオプションのいずれかを選択します。

  • [アクティブ(Active)]:LACP アップデートを送信および受信します。アクティブ EtherChannel は、アクティブまたはパッシブ EtherChannel と接続を確立できます。LACP トラフィックを最小にする必要がある場合以外は、アクティブ モードを使用する必要があります。

  • [オン(On)]:EtherChannel は常にオンであり、LACP は使用されません。[オン(On)] の EtherChannel は、[オン(On)] と設定されている別の EtherChannel のみと接続できます。

ステップ 9

メンバーとして EtherChannel に含めるインターフェイスを検索して選択します。1 つ以上のインターフェースを含める必要があります

警告:EtherChannel インターフェイスをメンバーとして追加し、すでに IP アドレスが設定されている場合、Security Cloud Control はそのメンバーの IP アドレスを削除します。

ステップ 10

[保存(Save)] をクリックします。

FDM-Managed デバイスの EtherChannel インターフェイスの編集または削除

次の手順を使用して、既存の EtherChannel インターフェイスを変更したり、EtherChannel インターフェイスを FDM-managedデバイスから削除したりします。

EtherChannel の編集

EtherChannel には制限事項がいくつかあるため、変更時には注意が必要です。詳細については、「Firepower インターフェイス設定に関する注意事項と制約事項」を参照してください。


(注)  

EtherChannel には 1 つ以上のメンバーが必要です。

既存のEtherChannel を編集するには、次の手順を実行します。

手順

ステップ 1

ナビゲーションウィンドウで、Security Devices をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

[FTD] タブをクリックし、変更する EtherChannel に関連付けられている Firewall Threat Defense を選択します。

ステップ 4

右側にある [管理(Management)] ペインで、[インターフェイス(Interfaces)] をクリックします。

ステップ 5

[インターフェイス(Interfaces )] ページで、編集する EtherChannel インターフェイスを選択します。右側の操作ウィンドウで、編集アイコン をクリックします。

ステップ 6

次の項目のいずれかを変更します。

  • 論理名

  • 状態

  • [説明(Description)]

  • セキュリティゾーンの割り当て

  • リンクアグリケーション制御プロトコルのステータス

  • [IPv4]、[IPv6]、[詳細(Advanced)] タブのいずれかの IP アドレス設定

  • EtherChannel メンバー

警告

 

EtherChannel インターフェイスをメンバーとして追加し、すでに IP アドレスが設定されている場合、Security Cloud Control はメンバーの IP アドレスを削除します。

ステップ 7

[Save] をクリックします。

EtherChannel インターフェイスの削除

(注)  

高可用性(HA)またはその他の設定に関連付けられた EtherChannel インターフェイスの場合は、Security Cloud Control から削除する前に、すべての設定から EtherChannel インターフェイスを手動で削除する必要があります。

次の手順を使用して、FDM-managed デバイスから EtherChannel インターフェイスを削除します。

手順

ステップ 1

ナビゲーションウィンドウで、Security Devices をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

[FTD] タブをクリックし、削除する EtherChannel に関連付けられている Firewall Threat Defense を選択します。

ステップ 4

右側の [管理(Management)] ペインで、[インターフェイス(Interfaces)] を選択します。

ステップ 5

[インターフェイス(Interfaces )] ページで、編集する EtherChannel インターフェイスを選択します。右側の [アクション(Actions)] ペインで、[削除(Remove)] をクリックします。

ステップ 6

削除する EtherChannel インターフェイスを確認し、[OK] をクリックします。

EtherChannel インターフェイスへのサブインターフェイスの追加

EtherChannel サブインターフェイス

[インターフェイス(Interfaces)] ページでは、各インターフェイスを展開して、デバイスのどのインターフェイスにサブインターフェイスがあるかを表示できます。この展開されたビューには、一意の論理名、有効/無効状態、関連するセキュリティゾーン、およびサブインターフェイスのモードも表示されます。サブインターフェイスのインターフェイスタイプとモードは、親インターフェイスによって決定されます。

一般的な制限事項

Security Cloud Control は、次のインターフェイスタイプのサブインターフェイスをサポートしていません。

  • 管理専用に設定されたインターフェース

  • スイッチポートモード用に設定されたインターフェイス

  • パッシブインターフェイス

  • VLAN インターフェイス

  • ブリッジ仮想インターフェイス(BVI)

  • すでに別の EtherChannel インターフェイスのメンバーになっているインターフェイス

次のサブインターフェイスを作成できます

  • ブリッジグループメンバー

  • EtherChannel インターフェイス

  • 物理インターフェイス

EtherChannel インターフェイスへのサブインターフェイスの追加

既存のインターフェイスにサブインターフェイスを追加するには、次の手順を実行します。

手順

ステップ 1

ナビゲーションウィンドウで、Security Devices をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

[FTD] タブをクリックして、EtherChannel を追加する Firewall Threat Defense を選択します。右側の [管理(Management)] ペインで、[インターフェイス(Interfaces)] を選択します。

ステップ 4

サブインターフェイスをグループ化するインターフェイスを選択します。[+] アイコンをクリックし、[Subinterface] を選択します。

ステップ 5

[Logical Name] を入力します。

ステップ 6

(任意)説明を入力します。

ステップ 7

(任意)セキュリティゾーンをサブインターフェイスに割り当てます。サブインターフェイスに論理名がない場合は、セキュリティゾーンを割り当てることができないので注意してください。

ステップ 8

VLAN ID を入力します。

ステップ 9

[EtherChannel ID] を入力します。1 ~ 48 の値を使用します。Firepower 1010 シリーズの場合は 1 ~ 8 の値を使用します。

ステップ 10

[IPv4]、[IPv6]、または [詳細設定(Advanced)] タブを選択して、サブインターフェイスの IP アドレスを設定します。

ステップ 11

[Save] をクリックします。

EtherChannel のサブインターフェイスの編集または削除

既存のサブインターフェイスを変更、またはサブインターフェイスを Etherchannel インターフェイスから削除するには、次の手順を実行します。


(注)  

サブインターフェイスと EtherChannel インターフェイスには、設定に関する一連のガイドラインと制限事項があります。詳細については、一般的なサブインターフェイスの制限事項を参照してください。

サブインターフェイスの編集

EtherChannel インターフェイスに関連付けられている既存のサブインターフェイスを編集するには、次の手順を実行します。

手順

ステップ 1

ナビゲーションウィンドウで、Security Devices をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

[FTD] タブをクリックし、編集する EtherChannel およびサブインターフェイスに関連付けられている Firewall Threat Defense を選択します。

ステップ 4

右側の [管理(Management)] ペインで、[インターフェイス(Interfaces)] を選択します。

ステップ 5

サブインターフェイスが属している Etherchannel インターフェイスを見つけて展開します。

ステップ 6

編集対象のサブインターフェイスを選択します。右側の操作ウィンドウで、編集アイコン をクリックします。

ステップ 7

次の項目のいずれかを変更します。

  • 論理名

  • 状態

  • [説明(Description)]

  • セキュリティゾーンの割り当て

  • VLAN ID

  • [IPv4]、[IPv6]、[詳細(Advanced)] タブのいずれかの IP アドレス設定

ステップ 8

[Save] をクリックします。

EtherChannel からのサブインターフェイスの削除

EtherChannel インターフェイスから既存のサブインターフェイスを削除するには、次の手順を実行します。

手順

ステップ 1

ナビゲーションウィンドウで、Security Devices をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

[FTD] タブをクリックし、編集する EtherChannel およびサブインターフェイスに関連付けられている Firewall Threat Defense を選択します。右側の [管理(Management)] ペインで、[インターフェイス(Interfaces)] を選択します。

ステップ 4

サブインターフェイスが属している Etherchannel インターフェイスを見つけて展開します。

ステップ 5

削除対象のサブインターフェイスを選択します。

ステップ 6

右側の [アクション(Actions)] ペインで、[削除(Remove)] をクリックします。

ステップ 7

削除するサブインターフェイスを確認し、[OK] をクリックします。

仮想 FDM-Managed デバイスへのインターフェイスの追加

仮想 FDM-managed デバイスを導入する場合は、その仮想マシンにインターフェイスを割り当てます。次に、FDM-managed デバイス内から、ハードウェアデバイスの場合と同じ方法を使用して、それらのインターフェイスを設定します。

ただし、仮想マシンにさらに仮想インターフェイスを追加して、FDM に自動的に認識させることはできません。仮想 FDM-managed デバイス向けに追加の物理インターフェイスが必要な場合は、基本的にもう一度やり直す必要があります。新しい仮想マシンを導入することもできれば、次の手順を使用することもできます。


注意    

仮想マシンにインターフェイスを追加するには、仮想 FDM-managedの設定を完全に消去する必要があります。設定でそのまま残しておける唯一の部分は、管理アドレスとゲートウェイ設定です。

はじめる前に

FDM-managed デバイスで次の手順を実行します。

  • 仮想 FDM-managed デバイスの設定を調べ、新しい仮想マシンで複製する設定を書き留めておきます。

  • [デバイス(Devices)] > [スマートライセンス(Smart License)] > [設定の表示(View Configuration)] を選択し、すべての機能ライセンスを無効にします。

手順

ステップ 1

仮想 FDM-managed デバイスの電源をオフにします。

ステップ 2

仮想マシンソフトウェアを使用して、仮想 FDM-managed デバイスにインターフェイスを追加します。VMware の場合、仮想アプライアンスはデフォルトで e1000(1 Gbit/s)インターフェイスを使用します。また、vmxnet3 または ixgbe(10 Gbit/s)インターフェイスを使用することもできます。

ステップ 3

仮想 FDM-managed デバイスの電源をオンにします。

ステップ 4

仮想 FDM-managed デバイスコンソールを開いてローカルマネージャを削除し、ローカルマネージャを有効にします。ローカル マネージャを削除してから、それを有効にすると、デバイス設定がリセットされ、システムに新しいインターフェイスを認識させることができます。管理インターフェイス設定はリセットされません。次の SSH セッションはコマンドを表示します。 

> show managers
Managed locally.
> configure manager delete
If you enabled any feature licenses, you must disable them in Firepower Device Manager before deleting the local manager. Otherwise, those licenses remain assigned to the device in Cisco Smart Software Manager.
Do you want to continue[yes/no] yes
DCHP Server Disabled
> show managers
No managers configured.
> configure manager local
>

ステップ 5

FDM-managed デバイスへのブラウザセッションを開き、デバイスのセットアップウィザードを完了して、デバイスを設定します。詳細については、『Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン x.x.x 用)』の「使用する前に」の章にある「初期設定の完了」のセクションを参照してください。

FDM-Managed デバイスのスイッチ ポート モード インターフェイス

Firepower 1010 物理インターフェイスごとに、ファイアウォール インターフェイスまたはスイッチポートとしてその動作を設定できます。スイッチポートは、ハードウェアのスイッチ機能を使用して、レイヤ 2 でトラフィックを転送します。同じ VLAN 上のスイッチポートは、ハードウェアスイッチングを使用して相互に通信できます。トラフィックには、FDM-managed デバイスのセキュリティポリシーは適用されません。アクセスポートはタグなしトラフィックのみを受け入れ、単一の VLAN に割り当てることができます。トランクポートはタグなしおよびタグ付きトラフィックを受け入れ、複数の VLAN に属することができます。バージョン 6.4 に再イメージ化されたデバイスの場合、イーサネット 1/2 ~ 1/8 は VLAN 1 のアクセススイッチポートとして設定されています。バージョン 6.4 以降に手動でアップグレードされたデバイスの場合、イーサネット構成はアップグレード前の構成を維持します。同じ VLAN 上のスイッチポートは、ハードウェアスイッチングを使用して相互に通信でき、トラフィックには、FDM-managed デバイスのセキュリティポリシーは適用されないことに注意してください。

アクセスまたはトランク

スイッチポートとして設定されている物理インターフェイスは、アクセスポートまたはトランクポートとして割り当てることができます。

アクセスポートは、トラフィックを 1 つの VLAN にのみ転送し、タグなしのトラフィックのみを受け入れます。トラフィックを単一のホストまたはデバイスに転送する場合は、このオプションを強くお勧めします。また、インターフェイスに関連付ける VLAN を指定する必要があり、指定しないとデフォルトで VLAN 1 に設定されます。

トランクポートは、トラフィックを複数の VLAN に転送します。1 つの VLAN インターフェイスをネイティブトランクポートとして割り当て、少なくとも 1 つの VLAN を関連トランクポートとして割り当てる必要があります。最大 20 のインターフェイスを選択して、スイッチ ポート インターフェイスに関連付けることができます。これにより、異なる VLAN ID からのトラフィックがスイッチ ポート インターフェイスを通過できるようになります。タグなしのトラフィックがスイッチポートを通過する場合、そのトラフィックは、ネイティブ VLAN インターフェイスの VLAN ID でタグ付けされます。1002 ~ 1005 のデフォルトのファイバ分散データインターフェイス(FDDI)およびトークンリング ID は、VLAN ID に使用できないことに注意してください。

ポートモードの変更

ルーテッドモードに設定されているインターフェイスを VLAN メンバーとして選択すると、Security Cloud Control は、そのインターフェイスをスイッチポートモードに自動的に変換し、デフォルトでは、そのインターフェイスをアクセスポートとして設定します。その結果、論理名と関連する静的 IP アドレスが、そのインターフェイスから削除されます。

設定の制限

次の制限事項に注意してください。

  • 物理 Firepower 1010 デバイスのみが、スイッチポートモード設定をサポートしています。仮想 FDM-managed デバイスは、スイッチポートモードをサポートしていません。

  • Firepower 1010 デバイスは最大 60 の VLAN を許容します。

  • スイッチポートモードに設定される VLAN インターフェイスは、名前のないインターフェイスである必要があります。これは、MTU を 1500 バイトに設定する必要があることを意味します。

  • スイッチポートモードとして設定されているインターフェイスは削除できません。インターフェイスモードをスイッチポートモードからルーテッドモードに手動で変更する必要があります。

  • スイッチポートモードに設定されるインターフェイスは、IP アドレスをサポートしません。インターフェイスが現在、VPN、DHCP で参照されているか、それらのために設定されているか、静的ルートに関連付けられている場合は、IP アドレスを手動で削除する必要があります

  • ブリッジ グループ インターフェイスのメンバーをスイッチポートとして使用することはできません。

  • VLAN インターフェイスの MTU は 1500 バイトである必要があります。名前のない VLAN インターフェイスは、他の設定をサポートしません。

  • スイッチポートモードは、次をサポートしていません。

    • 診断インターフェイス。

    • 動的、マルチキャスト、または等コストマルチパス(ECMP)ルーティング。

    • パッシブインターフェイス。

    • ポート EtherChannel(または EtherChannel のメンバーであるインターフェイスの使用)。

    • サブインターフェイス。

    • フェールオーバーおよびステートリンク。

ハイアベイラビリティおよびスイッチ ポート モード インターフェイス

ハイアベイラビリティを使用する場合は、スイッチポート機能を使用しないでください。スイッチポートはハードウェアで動作するため、アクティブユニットスタンバイユニットの両方でトラフィックを通過させ続けます。ハイアベイラビリティは、トラフィックがスタンバイユニットを通過するのを防ぐように設計されていますが、この機能はスイッチポートには拡張されていません。通常のハイアベイラビリティのネットワーク設定では、両方のユニットのアクティブなスイッチポートがネットワークループにつながります。スイッチング機能には外部スイッチを使用することをお勧めします。VLAN インターフェイスはフェールオーバーによってモニターできますが、スイッチポートはモニターできません。


(注)  

ファイアウォール インターフェイスはフェールオーバー リンクとしてのみ使用できます。
テンプレートのスイッチポートモード設定

スイッチポートモード用に設定されたインターフェイスを持つデバイスのテンプレートを作成できます。テンプレートからデバイスにインターフェイスをマッピングするときは、次のシナリオに注意してください。

  • テンプレートを適用する前にテンプレート インターフェイスに VLAN メンバーが含まれていない場合、Security Cloud Control は、それを、同じプロパティを持つ使用可能なデバイスインターフェイスに自動的にマッピングします。

  • VLAN メンバーを含まないテンプレート インターフェイスが、N/A として設定されているデバイスインターフェイスにマッピングされている場合、Security Cloud Control は、テンプレートが適用されるデバイスにインターフェイスを自動的に作成します

  • VLAN メンバーを含むテンプレート インターフェイスが、存在しないデバイスインターフェイスにマッピングされている場合、テンプレートの適用は失敗します。

  • テンプレートは、複数のテンプレート インターフェイスを同じデバイスインターフェイスにマッピングすることをサポートしていません。

  • テンプレートの管理インターフェイスは、デバイスの管理インターフェイスにマッピングされる必要があります。

FDM-Managed デバイス VLAN の設定

サブインターフェイスまたはスイッチポートを設定する場合は、最初に VLAN インターフェイスを設定する必要があります。


(注)  

FDM-managed デバイスは、最大 60 個の VLAN インターフェイスをサポートします。

手順

ステップ 1

ナビゲーションウィンドウで、Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、VLAN 作成の対象となるデバイスを選択します。

ステップ 4

右側の [管理(Management)] ペインで、[インターフェイス(Interfaces)] をクリックします。

ステップ 5

[インターフェイス(Interfaces)] ページで、 ボタンをクリックします。

ステップ 6

次を設定します。

  • [親インターフェイス(Parent Interface)]:サブインターフェイスの追加先となる物理インターフェイスです。いったん作成したサブインターフェイスの親インターフェイスは変更できません。

  • (任意)[論理名(Logical Name)]:VLAN の名前を 48 文字以内で設定します。英字は小文字にする必要があります。VLANと他のVLANまたはファイアウォールインターフェイス間でルーティングしない場合は、VLANインターフェイス名を空白のままにします。

    (注)  

     

    論理名を入力しない場合は、[詳細オプション(Advanced Options)] の [MTU] を「1500」に設定する必要があります。[MTU] を「1500」以外に変更する場合は、VLAN に論理名を付ける必要があります。

  • (任意)[説明(Description)]:説明は 200 文字以内で、改行を入れずに 1 行で入力します。

  • (任意)[セキュリティゾーン(Security Zone)]:サブインターフェースをセキュリティゾーンに割り当てます。論理名がない場合、サブインターフェイスを割り当てることはできません。サブインターフェイスの作成後にセキュリティゾーンを割り当てることもできます。詳細については、「Firepower インターフェイスの設定におけるセキュリティゾーンの使用」を参照してください。

  • (任意)[VLAN ID]:VLAN ID を 1 ~ 4070 の範囲で入力します。これは、このサブインターフェイス上のパケットにタグを付けるために使用されます。

    (注)  

     

    ​​​​​​デフォルトでは VLAN インターフェイスがルーティングされます。後でこの VLAN インターフェイスをブリッジグループに追加すると、Security Cloud Control では自動的にモードが[BridgeGroupMember] に切り替わります。同様に、この VLAN インターフェイスをスイッチポートモードに変更すると、Security Cloud Control では自動的にモードがスイッチポートに切り替わります。

  • (任意)[サブインターフェイスID(Sub-Interface ID)]:サブインターフェイス ID を 1 ~ 4294967295 の範囲の整数で入力します。この ID は、インターフェイス ID に追加されます。たとえば、Ethernet1/1.100 のようになります。便宜上 VLAN ID を一致させることもできますが、必須ではありません。いったん作成したサブインターフェイスの ID は変更できません。

ステップ 7

[IPv4 アドレス(IPv4 Address)] タブをクリックし、[タイプ(Type)] フィールドで次のオプションのいずれかを選択します。

  • [スタティック(Static)]:変更されない必要があるアドレスを割り当てる場合は、このオプションを選択します。インターフェイスに接続されたネットワークに対するインターフェイスの IP アドレスとサブネット マスクを入力します。たとえば、10.100.10.0/24 ネットワークを接続する場合は、「10.100.10.1/24」と入力します。このアドレスがネットワーク上ですでに使用されていないことを確認します。

    高可用性を設定し、このインターフェイスの HA をモニタしている場合は、同じサブネット上のスタンバイ IP アドレスも設定します。スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスにより使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ ユニットはネットワーク テストを使用してスタンバイ インターフェイスをモニターできず、リンク ステートをトラックすることしかできません。

    (注)  

     

    インターフェイスに対して設定されている DHCP サーバがある場合は、その設定が表示されます。DHCP アドレス プールを編集または削除できます。インターフェイスの IP アドレスを別のサブネットに変更する場合は、インターフェイスの変更を保存する前に、DHCP サーバーを削除するか、新しいサブネット上にアドレスプールを設定する必要があります。詳細については、「DHCP サーバーの設定」を参照してください。

  • [ダイナミック(Dynamic)](DHCP):ネットワーク上の DHCP サーバーからアドレスを取得する必要がある場合は、このオプションを選択します。高可用性を設定する場合、このオプションは使用できません。必要に応じて、次のオプションを変更します。

    • [ルートメトリック(Route Metric)]:DHCP サーバーからデフォルトルートを取得する場合、学習済みルートまでのアドミニストレーティブ ディスタンスは 1 ~ 255 の間です。デフォルトは 1 です。

    • [デフォルトルートを取得(Obtain Default Route)]:チェックボックスをオンにすると、デフォルトルートが DHCP サーバーから取得されます。通常は、デフォルトのこのオプションを選択します。

  • [DHCPアドレスプール(DHCP Address Pool)]:インターフェイスに対して設定されている DHCP サーバーがある場合は、その設定が表示されます。DHCP アドレス プールを編集または削除できます。インターフェイスの IP アドレスを別のサブネットに変更する場合は、インターフェイスの変更を保存する前に、DHCP サーバーを削除するか、新しいサブネット上にアドレスプールを設定する必要があります。

ステップ 8

(任意)[IPv6アドレス(IPv6 Address)] タブをクリックして、以下を設定します。

  • [状態(State)]:グローバルアドレスを設定しない場合に IPv6 処理を有効にしてリンクローカルアドレスを自動的に設定するには、[状態(State)] スライダを青にスライドします。リンクローカル アドレスはインターフェイスの MAC アドレス(Modified EUI-64 形式)に基づいて生成されます。

    (注)  

     

    IPv6 を無効にしても、明示的な IPv6 アドレスを指定して設定されているインターフェイス、または自動設定が有効になっているインターフェイスの IPv6 処理は無効になりません。

  • [アドレスの自動設定(Address Auto Configuration)]:アドレスを自動的に設定するには、チェックボックスをオンにします。IPv6 ステートレス自動設定では、デバイスが存在するリンクで使用する IPv6 グローバル プレフィックスのアドバタイズメントなどの、IPv6 サービスを提供するようにルータが設定されている場合に限り、グローバルな IPv6 アドレスが生成されます。IPv6 ルーティング サービスがリンクで使用できない場合、リンクローカル IPv6 アドレスのみが取得され、そのデバイスが属するネットワーク リンクの外部にはアクセスできません。リンクローカル アドレスは Modified EUI-64 インターフェイス ID に基づいています。

  • [RAを抑制(Suppress RA)]:ルータアドバタイズメントを抑制するかどうかを指定します。ネイバーデバイスがデフォルトのルータアドレスをダイナミックに把握できるように、Firewall Threat Defense はルータアドバタイズメントに参加できます。デフォルトでは、ルータ アドバタイズメント メッセージ(ICMPv6 Type 134)は、設定済みの各 IPv6 インターフェイスに定期的に送信されます。

    ルータ アドバタイズメントもルータ要請メッセージ(ICMPv6 Type 133)に応答して送信されます。ルータ要請メッセージは、システムの起動時にホストから送信されるため、ホストは、次にスケジュールされているルータ アドバタイズメント メッセージを待つことなくただちに自動設定を行うことができます。

    FDM-managed デバイスで IPv6 プレフィックスを提供する必要がないインターフェイス(外部インターフェイスなど)では、これらのメッセージを抑制することを推奨します。

  • [スタティックアドレスとプレフィックス(Static Address/Prefix)]:ステートレス自動設定を使用しない場合、完全なスタティックグローバル IPv6 アドレスとネットワークプレフィックスを入力します。たとえば、「2001:0DB8::BA98:0:3210/48」のように入力します。IPv6 アドレッシングの詳細については、「Firepower インターフェイスの IPv6 アドレッシング」を参照してください。

  • [スタンバイIPアドレス(Standby IP Address)]:高可用性を設定し、このインターフェイスの HA をモニタリングしている場合は、同じサブネット上にスタンバイ IPv6 アドレスも設定します。スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスにより使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ ユニットはネットワーク テストを使用してスタンバイ インターフェイスをモニターできず、リンク ステートをトラックすることしかできません。

ステップ 9

(任意)[詳細(Advanced)] タブをクリックします。

  • インターフェイスの状態を高可用性設定でピア装置にフェールオーバーするかどうか判断する際の要素にする場合は、[HAモニタリングの有効化(Enable for HA Monitoring)] を選択します。

    このオプションは、高可用性を設定しない場合は無視されます。インターフェイスの名前を設定しない場合も、無視されます。

  • データインターフェイスを管理専用に指定する場合は、[管理専用(Management Only)] を選択します。

    管理専用インターフェイスはトラフィックの通過を許可しないため、データ インターフェイスを管理専用に設定する意味はあまりありません。管理/診断インターフェイスは、常に管理専用であるため、この設定を変更することはできません。

  • [IPv6設定(IPv6 Configuration)] を変更します。

    • [IPv6アドレス設定でDHCPを有効化する(Enable DHCP for IPv6 address configuration)]:IPv6 ルータのアドバタイズメントパケットに、管理アドレスアクセス設定フラグを設定するかどうか。このフラグは、取得されるステートレス自動設定のアドレス以外のアドレスの取得に DHCPv6 を使用する必要があることを、IPv6 自動設定クライアントに通知します。

    • [IPv6のアドレス以外の設定でDHCPを有効化する(Enable DHCP for IPv6 non-address configuration)]:IPv6 ルータのアドバタイズメントパケットに、その他のアドレス設定フラグを設定するかどうか。このフラグは、DHCPv6 から DNS サーバ アドレスなどの追加情報の取得に DHCPv6 を使用する必要があることを、IPv6 自動設定クライアントに通知します。

    • [DAD の試行(DAD Attempts)]:インターフェイスが重複アドレス検出(DAD)を実行する頻度(0 ~ 600)。デフォルトは 1 です。ステートレス自動設定プロセスでは、DAD はアドレスがインターフェイスに割り当てられる前に、新しいユニキャスト IPv6 アドレスの一意性を検証します。重複アドレスがインターフェイスのリンクローカル アドレスであれば、インターフェイス上で IPv6 パケットの処理はディセーブルになります。重複アドレスがグローバル アドレスであれば、そのアドレスは使用されません。インターフェイスは、ネイバー送信要求メッセージを使用して、重複アドレス検出を実行します。重複アドレス検出(DAD)プロセスを無効にするには、この値を 0 に設定します。

  • [MTU](最大伝送ユニット)を目的の値に変更します。

    デフォルトの MTU は 1500 バイトです。64 ~ 9198(仮想 FDM-managed デバイスの場合は 9000、 Firepower 4100/9300 の場合は 9184)の値を指定できます。ジャンボ フレームが頻繁にやり取りされるネットワークでは、大きな値に設定します。

    (注)  

     

    ASA 5500-X シリーズデバイス、ISA 3000 シリーズデバイス、または 仮想 FDM-managed デバイスで MTU を 1500 より大きい値に設定する場合は、VLAN の名前を未設定にし、デバイスを再起動する必要があります。CLI にログインし、reboot コマンドを使用します。HA にデバイスが設定されている場合、スタンバイデバイスも再起動する必要があります。ジャンボ フレームのサポートが常に有効な場合、Firepower モデルを再起動する必要はありません。

  • (サブインターフェイスと HA ペアの場合は任意)MAC アドレスを設定します。

    デフォルトでは、システムはインターフェイスのネットワーク インターフェイス カード(NIC)に焼き込まれた MAC アドレスを使用します。したがって、インターフェイスのすべてのサブインターフェイスは同じ MAC アドレスを使用するため、サブインターフェイスごとに一意のアドレスを作成する必要がある場合があります。手動設定されたアクティブ/スタンバイ MAC アドレスも、高可用性を設定する場合に推奨されます。MAC アドレスを定義すると、フェールオーバー時にネットワークの一貫性を維持できます。

    • [MACアドレス(MAC Address)]:H.H.H 形式の Media Access Control。H は 16 ビットの 16 進数です。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は 000C.F142.4CDE と入力します。MAC アドレスはマルチキャスト ビット セットを持つことはできません。つまり、左から 2 番目の 16 進数字を奇数にすることはできません。

    • [スタンバイ MAC アドレス(Standby MAC Address)]:HA ペアで使用します。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイ アドレスを使用します。

ステップ 10

このデバイスに別のサブインターフェイスを作成する場合は、サブインターフェイスの設定を完了する前に、[別のサブインターフェイスを作成(Create another)] をオンにします。

ステップ 11

(任意)作成時にサブインターフェイスをアクティブにするには、ポップアップウィンドウの右上隅にある [状態(State)] スライダーを灰色から青色に切り替えます。

ステップ 12

[OK] をクリックします。

ステップ 13

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

スイッチポートモード用 FDM-Managed デバイス VLAN の設定

構成する前に、スイッチポートモードの制限事項を必ずお読みください。詳細については、『FTD のスイッチ ポート モード インターフェイス』を参照してください。


(注)  

VLAN メンバーの物理インターフェイスへの割り当てや編集はいつでも実行できます。新しい構成を確認したら、必ず変更をデバイスに展開してください。

スイッチポートモードでの VLAN インターフェイスの作成
手順

ステップ 1

ナビゲーションウィンドウで、Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、インターフェイスを設定するデバイスを選択します。

ステップ 4

右側の [管理(Management)] ペインで、[インターフェイス(Interfaces)] をクリックします。

ステップ 5

[インターフェイス(Interfaces)] ページで、 ボタンをクリックし、[VLANインターフェイス(VLAN Interface)] を選択します。

ステップ 6

[VLANメンバー(VLAN Members)] タブを表示し、目的の物理インターフェイスを選択します。

(注)  

 

アクセスまたはネイティブトランク用に設定された VLAN インターフェイスを参照するメンバーを追加する場合、1 つの VLAN のみをメンバーとして選択できます。関連トランク用に設定された VLAN インターフェイスを参照する物理インターフェイスには、最大 20 個のインターフェイスをメンバーとして追加できます。

ステップ 7

FDM 管理対象 VLAN の設定」の説明に従って、残りの VLAN インターフェイスを設定します。

ステップ 8

[保存(Save)] をクリックします。VLAN 設定をリセットし、IP アドレスをインターフェイスに再割り当てすることを確認します。

ステップ 9

行った変更を今すぐレビューして展開するか、複数の変更を後から一度に展開します。

スイッチポートモードに使用する既存の物理インターフェイスの設定
手順

ステップ 1

ナビゲーションウィンドウで、Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、インターフェイスを設定するデバイスを選択します。

ステップ 4

右側の [管理(Management)] ペインで、[インターフェイス(Interfaces)] をクリックします。

ステップ 5

[インターフェイス(Interfaces )] ページで、変更する物理インターフェイスを選択します。右側の操作ウィンドウで、編集アイコン をクリックします。

ステップ 6

スイッチポートモードに設定されるインターフェイスは、論理名をサポートしません。インターフェイスに論理名がある場合は、削除します。

ステップ 7

[モード(Mode)] を見つけ、ドロップダウンメニューで [スイッチポート(Switch Port)] を選択します。

ステップ 8

スイッチポートモードの物理インターフェイスを設定します。

  • (任意)このスイッチポートを保護対象として設定するには、[保護ポート(Protected Port)] チェックボックスをオンにします。これにより、スイッチポートが同じ VLAN 上の他の保護されたスイッチポートと通信するのを防ぐことができます。スイッチ ポート上のデバイスが主に他の VLAN からアクセスされる場合、VLAN 内アクセスを許可する必要がない場合、および感染やその他のセキュリティ侵害に備えてデバイスを相互に分離する場合に、スイッチ ポートが相互に通信しないようにします。たとえば、3 つの Web サーバーをホストする DMZ がある場合、各スイッチポートにこのオプションを適用すると、Web サーバーを相互に分離できます。内部ネットワークと外部ネットワークはいずれも 3 つの Web サーバーすべてと通信でき、その逆も可能ですが、Web サーバーは相互に通信できません。

  • [使用タイプ(Usage Type)] で、[アクセス(Access)] または [トランク(Trunk)] を選択します。必要なポートタイプを判別するには、「FTD のスイッチ ポート モード インターフェイス」を参照してください。

    • [トランク(Trunk)] を選択した場合、1 つの VLAN インターフェイスをタグなしトラフィックを転送するための [ネイティブトランクVLAN(Native Trunk VLAN )] として選択し、1 つ以上をタグ付きトラフィックを転送するための [関連するVLAN(Associated VLAN)] として選択する必要があります。 アイコンをクリックして、既存の物理インターフェイスを表示します。関連する VLAN として最大 20 個の VLAN インターフェイスを選択できます。

    • [新しい VLANを作成(Create new VLAN)] をクリックすると、アクセスモードに設定された新しい VLAN インターフェイスを作成できます。

ステップ 9

[保存(Save)] をクリックします。VLAN 設定をリセットし、IP アドレスをインターフェイスに再割り当てすることを確認します。

ステップ 10

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Firepower インターフェイスの表示とモニターリング

Firepower インターフェイスを表示するには、次の手順を実行します。

手順

ステップ 1

ナビゲーションウィンドウで、Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、インターフェイスを表示するデバイスをクリックします。

ステップ 4

右側の [管理(Management)] ペインで [インターフェイス(Interfaces)] をクリックします。

ステップ 5

インターフェイステーブルでインターフェイスを選択します。

  • インターフェイスの行を展開すると、サブインターフェイスの情報が表示されます。

  • 右側には詳細なインターフェイス情報が表示されます。

CLI でのインターフェイスのモニタリング

SSH を使用してデバイスに接続し、以下のコマンドを実行することで、インターフェイスに関する基本的な情報、動作、および統計を表示できます。

SSH を使用してデバイスに簡単に接続するには、モニターする FDM-managed デバイスを SSH デバイスとしてオンボードしてから、Security Cloud Control で >_ コマンド ライン インターフェイスを使用します。

  • show interface は、インターフェイスの統計情報および設定情報を表示します。このコマンドには多数のキーワードがあり、必要な情報を取得するために使用できます。使用可能なオプションを表示するには、「?」をキーワードとして使用します。

  • show ipv6 interface は、インターフェイスに関する IPv6 設定情報を表示します。

  • show bridge-group は、メンバー情報や IP アドレスを含む、ブリッジ仮想インターフェイス(BVI)に関する情報を表示します。

  • show conn は、インターフェイスを介して現在確立されている接続に関する情報を表示します。

  • show traffic は、各インターフェイスを介して移動するトラフィックに関する統計情報を表示します。

  • show ipv6 traffic は、デバイスを介して移動する IPv6 トラフィックに関する統計情報を表示します。

  • show dhcpd は、インターフェイスでの DHCP の使用状況、特にインターフェイスで設定されている DHCP サーバーに関する統計情報とその他の情報を表示します。

Firepower デバイスに追加したインターフェイスの FXOS を使用した同期

Firepower 4100 シリーズまたは 9300 シリーズ デバイスで、Firepower eXtensible Operating System(FXOS)Chassis Manager を使用して Firepower デバイスにインターフェイスを追加すると、Security Cloud Control では設定の変更が認識されず、設定の競合が報告されます。

Security Cloud Control に新しく追加されたインターフェイスを表示するには、次の手順を実行します。

手順

ステップ 1

FDM-managedデバイスにログインします。

ステップ 2

FDM-managed のメインページの [インターフェイス(Interfaces)] パネルで、[すべてのインターフェイスの表示(View All Interfaces)] をクリックします。

ステップ 3

[インターフェイスのスキャン(Scan Interfaces)] ボタンをクリックします。

ステップ 4

インターフェイスがスキャンされるのを待ってから、[OK] をクリックします。

ステップ 5

FDM-managedデバイスに変更を展開します。

ステップ 6

管理者またはネットワーク管理者として Security Cloud Control にログインします。

ステップ 7

左側のペインで Security Devices をクリックします。

ステップ 8

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 9

[FTD] タブをクリックして、想定した新しいインターフェイス構成があるデバイスを選択します。

ステップ 10

Security Cloud Control に保存されている設定のコピーとデバイス上の設定のコピーをすぐに比較するには、[変更の確認(Check for Changes)] をクリックします。Security Cloud Control はインターフェイスの変更を検出し、デバイスの [セキュリティデバイス(Security Devices)] ページで [競合検出(Conflict Detected)] 状態を報告します。

ステップ 11

検出された競合を解決するには、[競合の確認(Review Conflict)] をクリックして、アウトオブバンドの変更を受け入れます。

ルーティング

ルーティングは、送信元から宛先にネットワーク経由で情報を移動する行為のことです。その間に、通常は少なくとも 1 つの中間ノードがあります。ルーティングには、最適なルーティング パスの決定と、インターネットワーク経由でのパケットの転送という 2 つの基本的なアクティビティが含まれます。

Security Cloud Control を使用すると、FDM-managed デバイスのデフォルトルートやその他のスタティックルートを定義できます。ここでは、ルーティングの基本と Security Cloud Control を使用して FDM-managed デバイスで静的ルーティングを設定する方法について説明します。

静的ルーティングとデフォルトルートについて

接続されていないホストまたはネットワークにトラフィックをルーティングするには、ホストまたはネットワークへのルートを定義する必要があります。定義したルートは静的ルートになります。デフォルトルートを設定することも検討してください。デフォルトルートは、他の方法でデフォルトのネットワークゲートウェイにルーティングされていないすべてのトラフィックを対象とし、通常はネクストホップルータです。

デフォルトルート

特定のネットワークへのルートが不明な場合、最も単純なオプションは、すべてのトラフィックを上流に位置するルータに送信するデフォルトルートを設定して、トラフィックのルーティングをルータに任せることです。デフォルトルートは、スタティックルートが定義されていない IP パケットすべてを、FTD デバイスが送信するゲートウェイの IP アドレスを特定するルートです。デフォルトルートとは、つまり宛先の IP アドレスとして 0.0.0.0/0(IPv4)または ::/0(IPv6)が指定されたスタティックルートのことです。

スタティック ルート

スタティックルートは、あるネットワークから別のネットワークへのルートであり、手動で定義してルーティングテーブルに入力します。次の場合は、スタティック ルートを使用します。

  • ネットワークは小規模で安定しており、デバイス間のルートの追加や変更を手動で簡単に管理できます。

  • ネットワークがサポート対象外のルータ ディスカバリ プロトコルを使用している。

  • ルーティング プロトコルが関係するトラフィックまたは CPU のオーバーヘッドをなくす必要がある。

  • 場合によっては、デフォルト ルートだけでは不十分である。デフォルトのゲートウェイでは宛先ネットワークに到達できない場合があるため、スタティック ルートをさらに詳しく設定する必要があります。たとえば、デフォルトのゲートウェイが外部にある場合、デフォルトルートからは、FDM-managed デバイスに直接接続されていない内部ネットワークにはトラフィックを転送できません。

  • ダイナミック ルーティング プロトコルをサポートしていない機能を使用している。

制限事項

  • Security Cloud Control は、現在、ASA デバイスまたは FDM-managed デバイス上の仮想トンネルインターフェイス(VTI)トンネルの管理、監視、使用をサポートしていません。VTI トンネルが設定されているデバイスを Security Cloud Control にオンボーディングすることは可能ですが、VTI インターフェイスは無視されます。セキュリティゾーンまたはスタティックルートが VTI を参照する場合、Security Cloud Control は VTI 参照を除いてセキュリティゾーンとスタティックルートを読み取ります。VTI トンネルに対する Security Cloud Control のサポートは近日中に提供されます。

  • ソフトウェアバージョン 7.0 以降を実行している FDM-managed デバイスでは、等コストマルチパス(ECMP)トラフィックゾーンを設定できます。FDM-managed デバイスは Security Cloud Control にオンボードすると、グローバル VRF ルートにある ECMP 設定を読み込めますが、変更はできません。これは、同じメトリック値を持つ同じ宛先ネットワークへのルートが許可されないためです。FDM を使用して ECMP トラフィックゾーンを作成および変更すると、Security Cloud Control に読み込むことができます。ECMP の詳細については、『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager、バージョン 7.0 以降』[英語] で「Routing Basics and Static Routes」章の「Equal-Cost Multi-Path(ECMP)Routing」項を参照してください。

ルーティング テーブルとルート選択

NAT 変換(xlates)およびルールで出力インターフェイスを決定しない場合、システムはルーティングテーブルを使用してパケットのパスを決定します。

ルーティングテーブルのルートには、指定ルートに相対的な優先順位を定める「アドミニストレーティブ ディスタンス」というメトリックが含まれています。パケットが複数のルート エントリと一致する場合、最短距離のルート エントリが使用されます。直接接続されたネットワーク(インターフェイス上で定義されたネットワーク)の距離は 0 のため、これが常に優先されます。スタティック ルートのデフォルトの距離は 1 ですが、1 ~ 254 の距離で作成できます。

特定の宛先が指定されたルートは、デフォルト ルート(宛先が 0.0.0.0/0 または ::/0 のルート)よりも優先されます。

ルーティング テーブルへの入力方法

FDM-managed デバイス ルーティング テーブルには、静的に定義されたルートと直接接続されたルートを入力できます。同じルートが複数の方法で入力される可能性があります。同じ宛先への 2 つのルートがルーティング テーブルに追加されると、ルーティング テーブルに残るルートは次のように決定されます。

  • 2 つのルートのネットワーク プレフィックス長(ネットワーク マスク)が異なる場合は、どちらのルートも固有と見なされ、ルーティング テーブルに入力されます。入力された後は、パケット転送ロジックが 2 つのうちどちらを使用するかを決定します。

たとえば、次のルートがルーティングテーブルに入力されているとします。

  • 192.168.32.0/24

  • 192.168.32.0/19

192.168.32.0/24 ルートの方がネットワークプレフィクスが長いにもかかわらず、両方のルートがルーティングテーブルにインストールされます。この 2 つのルートのプレフィックス長(サブネットマスク)がそれぞれ異なるためです。これらは異なる宛先と見なされ、パケット転送ロジックが使用するルートを決定します。

  • 同じ宛先への複数のパスがルーティングテーブルに入力されている場合、スタティックルートの場合と同様に、より適切なメトリックを持つルートがルーティングテーブルに入力されます。

メトリックは特定のルートに関連付けられた値で、ルートを最も優先されるものから順にランク付けします。メトリックの判定に使用されるパラメータは、ルーティング プロトコルによって異なります。メトリックが最も小さいパスは最適パスとして選択され、ルーティング テーブルにインストールされます。同じ宛先への複数のパスのメトリックが等しい場合は、これらの等コスト パスに対してロード バランシングが行われます。

転送の決定方法

転送の決定は次の順序で行われます。

  • NAT 変換(xlate)とルールによって、出力インターフェイスが決定されます。NAT ルールによって出力インターフェイスが決定されない場合、ルーティングテーブルを使用してパケットのパスが決定されます。

  • 宛先が、ルーティング テーブル内のエントリと一致しない場合、パケットはデフォルト ルートに指定されているインターフェイスを通して転送されます。デフォルト ルートが設定されていない場合、パケットは破棄されます。

  • 宛先が、ルーティング テーブル内の 1 つのエントリと一致した場合、パケットはそのルートに関連付けられているインターフェイスを通して転送されます。

  • 宛先が、ルーティング テーブル内の複数のエントリと一致する場合、パケットはネットワーク プレフィックス長がより長いルートに関連付けられているインターフェイスから転送されます。たとえば、192.168.32.1 宛てのパケットが、ルーティング テーブルの次のルートを使用してインターフェイスに到着したとします。

  • 192.168.32.0/24 のゲートウェイ 10.1.1.2

  • 192.168.32.0/19 のゲートウェイ 10.1.1.3

この場合、192.168.32.1 は 192.168.32.0/24 ネットワークに含まれるため、192.168.32.1 宛てのパケットは 10.1.1.2 宛てに送信されます。このアドレスはまた、ルーティングテーブルの他のルートにも含まれますが、ルーティングテーブル内では 192.168.32.0/24 の方が長いプレフィックスを持ちます(24 ビットと 19 ビット)。パケットを転送する場合、プレフィックスが長い方が常に短いものより優先されます。


(注)  

ルートの変更が原因で新しい同様の接続が異なる動作を引き起こしたとしても、既存の接続は設定済みのインターフェイスを使用し続けます。

FDM-Managed デバイスのスタティックルートとデフォルトルートの設定

Firepower Threat Defense(FTD)デバイスでスタティックルートを定義して、システムのインターフェイスに直接接続されていないネットワークに向かうパケットの送信先をデバイスが認識できるようにします。

デフォルトルートの作成を検討してください。これは、ネットワーク 0.0.0.0/0 のルートです。このルートは、既存の NAT変換、スタティック NAT ルール、またはその他のスタティックルートでは出力インターフェイスを判別できないパケットの送信先を定義します。

デフォルト ゲートウェイを使用してもすべてのネットワークに到達できない場合、他のスタティック ルートが必要になる可能性があります。たとえば、デフォルト ルートは通常、外部インターフェイスの上流に位置するルータです。デバイスに直接接続されていない追加の内部ネットワークがあり、それらにデフォルト ゲートウェイを介してアクセスできない場合、これらそれぞれの内部ネットワークに対してスタティック ルートが必要です。

システムのインターフェイスに直接接続されたネットワークのスタティック ルートを定義することはできません。システムは自動でこれらのルートを作成します。

手順

手順

ステップ 1

ナビゲーションウィンドウで、Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

FTD デバイスをクリックし、静的ルートを定義するデバイスを選択します。

ステップ 4

右側の [管理(Management)] ペインで、 [ルーティング(Routing)] をクリックします。

ステップ 5

[ルーティングの選択(Select Routing)] ページで、次のいずれかを実行します。

  • 新しい静的ルートを追加するには、プラスボタン をクリックします。

  • 編集するルートの編集アイコンをクリックします。

ルートが不要になったら、ルートの [ごみ箱(trash can)] アイコンをクリックして削除します。

ステップ 6

ルート プロパティの設定

  • [プロトコル(Protocol)]:ルートが IPv4 アドレス用か IPv6 アドレス用かを選択します。

  • [インターフェイス(Interface)]:トラフィックの送信経路となるインターフェイスを選択します。ゲートウェイ アドレスは、このインターフェイスを介してアクセス可能である必要があります。

  • [ゲートウェイ(Gateway)]:宛先ネットワークへのゲートウェイの IP アドレスを識別するネットワークオブジェクトを選択します。トラフィックはこのアドレスに送信されます。

  • [メトリック(Metric)]:ルートのアドミニストレーティブ ディスタンス。1~254 の範囲で指定します。スタティック ルートのデフォルトは 1 です。インターフェイスとゲートウェイの間に追加ルータがある場合、アドミニストレーティブ ディスタンスとしてホップ数を入力します。

    アドミニストレーティブ ディスタンスは、ルートを比較するために使用されるパラメータです。番号が低いほど、ルートに高い優先順位が与えられます。接続されたルート(デバイスのインターフェイスに直接接続されているネットワーク)は、スタティック ルートよりも常に優先されます。

  • [宛先ネットワーク(Destination Network)]:宛先ネットワークを識別するネットワークオブジェクトを選択します。ホストが含まれ、このルートのゲートウェイが使用される宛先ネットワークです。

    デフォルトルートを定義するには、事前定義された any-ipv4 または any-ipv6set ネットワークオブジェクトを使用するか、0.0.0.0/0(IPv4)または ::/0(IPv6)ネットワークのオブジェクトを作成します。

ステップ 7

[OK] をクリックします。

ステップ 8

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

静的ルートの例

この例で使用されるアドレスについては、「静的ルートのネットワーク構成図」を参照してください。

宛先ネットワーク 20.30.1.0/24 の 20.30.1.2 にあるホストへのリターントラフィックを許可する静的ルートを作成することを目的としています。

パケットは、宛先に到達するためにどのパスでも通過できます。ネットワークはインターフェイス上でパケットを受信すると、宛先への最適なルートを使用するためにパケットの転送先を決定します。


(注)  

DMZ はインターフェイスに直接接続されているため、静的ルートはありません。

たとえば、宛先に到達するための次の 2 つのルートについて考えます。

ルート 1:
手順

ステップ 1

パケットは外部インターフェイス 209.165.201.0/27 に戻り、20.30.1.2 を探します。

ステップ 2

パケットに対して、宛先と同じネットワーク上にあるゲートウェイ 192.168.1.2 に内部インターフェイスを介して到達するように指示します。

ステップ 3

そこから、そのネットワークのゲートウェイアドレス 20.30.1.1 によって宛先ネットワークを識別します。

ステップ 4

IP アドレス 20.30.1.2 は、20.30.1.1 と同じサブネット上にあります。ルータはパケットをスイッチに転送し、スイッチはそのパケットを 20.30.1.2 に転送します。

インターフェイス:内部、宛先ネットワーク:20.30.1.0/24、ゲートウェイ:192.168.1.2、メトリック:1
ルート 2:
手順

ステップ 1

パケットは外部インターフェイス 209.165.201.0/27 に戻り、20.30.1.2 を探します。

ステップ 2

パケットに対して、宛先ネットワークから複数ホップ離れたゲートウェイ 192.168.50.20 に内部インターフェイスを介して到達するように指示します。

ステップ 3

そこから、そのネットワークのゲートウェイアドレス 20.30.1.1 によって宛先ネットワークを識別します。

ステップ 4

IP アドレス 20.30.1.2 は、20.30.1.0 と同じサブネット上にあります。ルータはパケットをスイッチに転送し、スイッチはそのパケットを 20.30.1.2 に転送します。

インターフェイス:内部、宛先ネットワーク:20.30.1.0/24、ゲートウェイ:192.168.50.20、メトリック:100

これらのルートの完成した静的ルートの追加テーブルは、次のようになります。

ルーティングのモニタリング

ルーティングをモニタリングし、トラブルシューティングするには、デバイスの Firewall Device Manager を開いて CLI コンソールを開くか、SSH を使用してデバイスの CLI にログインし、次のコマンドを使用します。

  • show route は、直接接続されたネットワークのルートを含め、データ インターフェイスのルーティング テーブルを表示します。

  • show ipv6 route は、直接接続されたネットワークのルートを含め、データ インターフェイスの IPv6 ルーティング テーブルを表示します。

  • show network は、管理ゲートウェイを含め、仮想管理インターフェイスの設定を表示します。仮想インターフェイスを介したルーティングは、データ インターフェイスを管理ゲートウェイに指定しなければ、データ インターフェイス ルーティング テーブルによって処理されません。

  • show network-static-routes は、configure network static-routes コマンドを使用して仮想管理インターフェイス用に設定されたスタティック ルートを表示します。通常、ほとんどの場合、管理ゲートウェイは管理ルーティングに対して十分機能するため、スタティック ルートは存在しません。これらのルートは、データ インターフェイス上のトラフィックには使用できません。このコマンドは、CLI コンソールでは使用できません。

静的ルートのネットワーク構成図

次のネットワーク構成図に基づいて静的ルートの構成について説明します。

仮想ルーティングおよびフォワーディングについて

VRF について

仮想ルーティングおよびフォワーディング(VRF)により、ルーティングテーブルの複数のインスタンスがルータに同時に存在できます。Firepower バージョン 6.6 では、デフォルトの VRF テーブルとユーザ作成の VRF テーブルを持つことができるようになりました。1 つの VRF テーブルで、EX、OSPF、BGP、IGRP などのさまざまなルーティングプロトコルを複数タイプ処理できます。VRF テーブル内の各ルーティングプロトコルは、エントリとしてリストされます。複数のタイプの一般的なルーティングプロトコルの処理に加えて、別の VRF のインターフェイスを参照するようにルーティングプロトコルを設定できます。これにより、複数のデバイスを使用せずにネットワークパスをセグメント化できます。

詳細については、「仮想ルータと、仮想ルーティングおよびフォワーディング(VRF)について」を参照してください。

Security Cloud Control の VRF

この機能は Firepower バージョン 6.6 の新機能です。FDM-managedSecurity Cloud Control にオンボードされると、[デバイスルーティング(Device Routing)] ページには、FDM-managed デバイスのグローバルルータで定義された VRF のみが読み込まれてサポートされます。Security Cloud Control でグローバル VRF を表示するには、[セキュリティデバイス(Security Devices)] ページでデバイスを選択し、ウィンドウの右側にある [管理(Management)] ペインで [ルーティング(Routing)] を選択します。ここでグローバル VRF を表示、変更、および削除できます。Security Cloud Control は FDM から設定を読み込む際に VRF の名前を保持します。

Security Cloud Control Firewall Device Manager ではユーザー定義の仮想ルータで設定した VRF は読み込まれません。Firewall Device Manager を介して VRF テーブルを作成および管理する必要があります。

グローバルルートおよびユーザ定義ルートの詳細については、『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager、バージョン 7.0 以降』[英語] で「Virtual Routers」章の「Managing Virtual Routers」項を参照してください。

オブジェクトの概要

オブジェクトは、1 つ以上のセキュリティポリシーで使用できる情報のコンテナです。オブジェクトを使用すると、ポリシーの一貫性を簡単に維持できます。単一のオブジェクトを作成し、異なるポリシーを使用して、オブジェクトを変更すると、その変更がオブジェクトを使用するすべてのポリシーに伝播されます。オブジェクトを使用しない場合は、同じ変更が必要なすべてのポリシーを個別に変更する必要があります。

デバイスをオンボードすると、Security Cloud Control はそのデバイスで使用されるすべてのオブジェクトを認識して保存し、[オブジェクト(Objects)] ページにリストします。[オブジェクト(Objects)] ページから、既存のオブジェクトを編集したり、セキュリティポリシーで使用する新しいオブジェクトを作成したりできます。

Security Cloud Control は、複数のデバイスで使用されるオブジェクトを共有オブジェクトと呼び、[オブジェクト(Objects)] ページでこのバッジ でそれらを識別します。

共有オブジェクトが何らかの「問題」を引き起こし、複数のポリシーまたはデバイス間で完全に共有されなくなる場合があります。

  • 重複オブジェクトとは、同じデバイス上にある、名前は異なるが値は同じである 2 つ以上のオブジェクトです。通常、重複したオブジェクトは同じ目的を果たし、さまざまなポリシーによって使用されます。重複するオブジェクトは、この問題のアイコン で識別されます。

  • 不整合オブジェクトとは、2 つ以上のデバイス上にある、名前は同じだが値は異なるオブジェクトです。ユーザーは、さまざまな設定の中で、同じ名前と内容のオブジェクトを作成することがあります。これらのオブジェクトの値が時間の経過につれて相互に異なる値になり、不整合が生じます。不整合オブジェクトは、この問題のアイコン で識別されます。

  • 未使用オブジェクトは、デバイス構成に存在するものの、別のオブジェクト、アクセスリスト、NAT ルールによって参照されていないオブジェクトです。未使用オブジェクトは、この問題のアイコン で識別されます。

ルールやポリシーですぐに使用するためのオブジェクトを作成することもできます。ルールやポリシーに関連付けないオブジェクトを作成できます。関連付けられていないオブジェクトをルールまたはポリシーで使用すると、Security Cloud Control ではそのコピーが作成され、そのコピーが使用されます。

[オブジェクト(Objects)] メニューに移動するか、ネットワークポリシーの詳細でオブジェクトを表示することにより、Security Cloud Control によって管理されているオブジェクトを表示できます。

Security Cloud Control を使用すると、サポートされているデバイス全体のネットワークオブジェクトとサービスオブジェクトを 1 つの場所から管理できます。Security Cloud Control を使用すると、次の方法でオブジェクトを管理できます。

  • さまざまな基準に基づいて、します。https://securitydocs.cisco.com/api/v0/apps?appId=SccCdo&topic=cdo_object_filter

  • デバイス上の重複、未使用、および不整合のオブジェクトを見つけて、それらのオブジェクトの問題を統合、削除、または解決します。

  • 関連付けられていないオブジェクトを見つけて、それらが未使用であれば削除します。

  • デバイス間で共通の共有オブジェクトを検出します。

  • 変更をコミットする前に、オブジェクトへの変更が一連のポリシーとデバイスに与える影響を評価します。

  • 一連のオブジェクトとそれらの関係を、さまざまなポリシーやデバイスで比較します。

  • デバイスが Security Cloud Control にオンボードされた後、デバイスによって使用されているオブジェクトをキャプチャします。

オンボードされたデバイスからのオブジェクトの作成、編集、または読み取りで問題が発生した場合は、『Cisco Security Cloud Control のトラブルシューティング』を参照してください。

オブジェクトの概要

オブジェクトは、1 つ以上のセキュリティポリシーで使用できる情報のコンテナです。オブジェクトを使用すると、ポリシーの一貫性を簡単に維持できます。単一のオブジェクトを作成し、異なるポリシーを使用して、オブジェクトを変更すると、その変更がオブジェクトを使用するすべてのポリシーに伝播されます。オブジェクトを使用しない場合は、同じ変更が必要なすべてのポリシーを個別に変更する必要があります。

デバイスをオンボードすると、Security Cloud Control はそのデバイスで使用されるすべてのオブジェクトを認識して保存し、[オブジェクト(Objects)] ページにリストします。[オブジェクト(Objects)] ページから、既存のオブジェクトを編集したり、セキュリティポリシーで使用する新しいオブジェクトを作成したりできます。

Security Cloud Control は、複数のデバイスで使用されるオブジェクトを共有オブジェクトと呼び、[オブジェクト(Objects)] ページでこのバッジ でそれらを識別します。

共有オブジェクトが何らかの「問題」を引き起こし、複数のポリシーまたはデバイス間で完全に共有されなくなる場合があります。

  • 重複オブジェクトとは、同じデバイス上にある、名前は異なるが値は同じである 2 つ以上のオブジェクトです。通常、重複したオブジェクトは同じ目的を果たし、さまざまなポリシーによって使用されます。重複するオブジェクトは、この問題のアイコン で識別されます。

  • 不整合オブジェクトとは、2 つ以上のデバイス上にある、名前は同じだが値は異なるオブジェクトです。ユーザーは、さまざまな設定の中で、同じ名前と内容のオブジェクトを作成することがあります。これらのオブジェクトの値が時間の経過につれて相互に異なる値になり、不整合が生じます。不整合オブジェクトは、この問題のアイコン で識別されます。

  • 未使用オブジェクトは、デバイス構成に存在するものの、別のオブジェクト、アクセスリスト、NAT ルールによって参照されていないオブジェクトです。未使用オブジェクトは、この問題のアイコン で識別されます。

ルールやポリシーですぐに使用するためのオブジェクトを作成することもできます。ルールやポリシーに関連付けないオブジェクトを作成できます。関連付けられていないオブジェクトをルールまたはポリシーで使用すると、Security Cloud Control ではそのコピーが作成され、そのコピーが使用されます。

[オブジェクト(Objects)] メニューに移動するか、ネットワークポリシーの詳細でオブジェクトを表示することにより、Security Cloud Control によって管理されているオブジェクトを表示できます。

Security Cloud Control を使用すると、サポートされているデバイス全体のネットワークオブジェクトとサービスオブジェクトを 1 つの場所から管理できます。Security Cloud Control を使用すると、次の方法でオブジェクトを管理できます。

  • さまざまな基準に基づいて、します。https://securitydocs.cisco.com/api/v0/apps?appId=SccCdo&topic=cdo_object_filter

  • デバイス上の重複、未使用、および不整合のオブジェクトを見つけて、それらのオブジェクトの問題を統合、削除、または解決します。

  • 関連付けられていないオブジェクトを見つけて、それらが未使用であれば削除します。

  • デバイス間で共通の共有オブジェクトを検出します。

  • 変更をコミットする前に、オブジェクトへの変更が一連のポリシーとデバイスに与える影響を評価します。

  • 一連のオブジェクトとそれらの関係を、さまざまなポリシーやデバイスで比較します。

  • デバイスが Security Cloud Control にオンボードされた後、デバイスによって使用されているオブジェクトをキャプチャします。

オンボードされたデバイスからのオブジェクトの作成、編集、または読み取りで問題が発生した場合は、『Cisco Security Cloud Control のトラブルシューティング』を参照してください。

オブジェクト タイプ

以下の表では、デバイス用に作成し、Security Cloud Control を使用して管理できるオブジェクトについて説明します。

表 1. FDM 管理対象デバイスのオブジェクトタイプ

オブジェクト

説明

アプリケーション フィルタ

アプリケーション フィルタ オブジェクトは、IP 接続で使用されるアプリケーション、あるいはタイプ、カテゴリ、タグ、リスク、またはビジネスとの関連性によってアプリケーションを定義するフィルタを定義します。ポートの仕様を使用する代わりに、これらのオブジェクトをポリシーで使用し、トラフィックを制御できます。

AnyConnect クライアント プロファイル

AnyConnect クライアント プロファイル オブジェクトは、通常はリモートアクセス VPN ポリシーの構成で使用するファイルオブジェクトおよび表明ファイルです。このオブジェクトには、AnyConnect クライアントプロファイルと AnyConnect クライアントイメージファイルを含めることができます。

証明書フィルタ

デジタル証明書は、認証に使用されるデジタル ID を提供します。証明書は、SSL(セキュア ソケット レイヤ)、TLS(Transport Layer Security)、および DTLS(データグラム TLS)接続(HTTPS や LDAPS など)に使用されます。

DNS Group

www.example.com などの完全修飾ドメイン名(FQDN)を IP アドレスに解決するのには、DNS サーバーが必要です。管理インターフェイスとデータインターフェイスに異なる DNS グループオブジェクトを構成できます。

位置情報(GeoLocation)

地理位置情報オブジェクトは、トラフィックの送信元または接続先であるデバイスをホストする国と大陸を定義します。IP アドレスを使用する代わりに、これらのオブジェクトをポリシーで使用してトラフィックを制御できます。

IKEv1ポリシー

IKEv1 ポリシーオブジェクトには、VPN 接続を定義する際に IKEv1 ポリシーに必要なパラメータが含まれています。

IKEv2 ポリシー

IKEv2 ポリシーオブジェクトには、VPN 接続を定義する際に IKEv2 ポリシーに必要なパラメータが含まれています。

IKEv1 IPSec プロポーザル

IPsec プロポーザル オブジェクトは、IKE フェーズ 1 ネゴシエーション時に使用される IPsec プロポーザルを設定します。IPsec プロポーザルでは、IPsec トンネル内のトラフィックを保護するためのセキュリティ プロトコルとアルゴリズムの組み合わせを定義します。

IKEv2 IPSec プロポーザル

IPsec プロポーザル オブジェクトは、IKE フェーズ 2 ネゴシエーション時に使用される IPsec プロポーザルを設定します。IPsec プロポーザルでは、IPsec トンネル内のトラフィックを保護するためのセキュリティ プロトコルとアルゴリズムの組み合わせを定義します。

ネットワーク(Network)

ホストまたはネットワークのアドレスを定義するネットワーク グループおよびネットワーク オブジェクト(総称してネットワーク オブジェクトと呼ばれます)。

セキュリティ ゾーン

セキュリティ ゾーンとはインターフェイスのグループ分けです。ゾーンは、トラフィックの管理と分類に役立つようにネットワークをセグメントに分割します。

サービス

サービスオブジェクト、サービスグループ、ポートグループは、TCP/IP プロトコルスイートの一部が考慮されたプロトコルまたはポートを含む再利用可能なコンポーネントです。

SGT グループ

SGT ダイナミックオブジェクトは、ISE によって割り当てられた SGT に基づいて送信元または宛先アドレスを識別し、着信トラフィックと照合できます。

Syslog サーバー

syslog サーバーのオブジェクトはコネクション型メッセージまたは診断システム ログ(syslog)メッセージを受信できるサーバーを指定します。

URL

URL オブジェクトとグループ(URL オブジェクトと総称する)を使用して、Web リクエストの URL または IP アドレスを定義します。これらのオブジェクトを使用して、アクセス制御ポリシーに手動の URL フィルタリング、またはセキュリティ インテリジェンス ポリシーにブロッキングを実装できます。

共有オブジェクト

Security Cloud Control では、複数のデバイス上の同じ名前と同じ内容のオブジェクトを「共有オブジェクト」と呼びます。共有オブジェクトはこのアイコンで識別されます。
これは、[オブジェクト(Objects)]ページに表示されます。共有オブジェクトを使用すると、1 ヵ所でオブジェクトを変更でき、その変更がそのオブジェクトを使用する他のすべてのポリシーに影響するため、ポリシーの維持が容易になります。共有オブジェクトを使用しない場合は、同じ変更が必要なすべてのポリシーを個別に変更する必要があります。

共有オブジェクトを調査する場合、Security Cloud Control ではオブジェクトの内容がオブジェクトテーブルに表示されます。共有オブジェクトの内容はまったく同じです。Security Cloud Control では、オブジェクトの要素の結合された、つまり「フラット化された」ビューが詳細ペインに表示されます。詳細ペインでは、ネットワーク要素が単純なリストにフラット化されており、名前付きオブジェクトに直接関連付けられていないことに注意してください。

オブジェクトのオーバーライド

オブジェクトのオーバーライドを使用すると、特定のデバイス上の共有ネットワークオブジェクトの値をオーバーライドできます。Security Cloud Control は、オーバーライドの設定時に指定したデバイスに対応する値を使用します。これらのオブジェクトは、名前は同じで値が異なる複数のデバイス上にありますが、Security Cloud Control は、これらの値がオーバーライドとして追加されただけでは、それらを不整合オブジェクトとして識別しません。

ほとんどのデバイスに有効な定義を設定したオブジェクトを作成した後、異なる定義を必要とする少数のデバイスについて、オーバーライドを使用してオブジェクトに対する変更内容を指定できます。また、すべてのデバイスに対してオーバーライドする必要があるオブジェクトを作成し、そのオブジェクトを使用してすべてのデバイスに適用する単一のポリシーを作成することもできます。オブジェクト オーバーライドでは、デバイス全体で使用する共有ポリシーの小さなセットを作成し、個々のデバイスの必要に応じてポリシーを変更できます。

たとえば、各オフィスにプリンタサーバーがあり、プリンタ サーバー オブジェクト print-server を作成しているシナリオを考えてみましょう。ACL には、プリンタサーバーのインターネットへのアクセスを拒否するルールを設定しています。プリンタ サーバー オブジェクトには、オフィスごとに変更できるデフォルト値があります。これを行うには、オブジェクトのオーバーライドを使用し、すべての場所でルールと「printer-server」オブジェクトの一貫性を維持します(値は異なる場合があります)。


(注)  

Security Cloud Control を使用すると、ルールセット内のルールに関連付けられたオブジェクトをオーバーライドできます。新しいオブジェクトをルールに追加する場合、デバイスをルールセットに接続して変更を保存しないと、オブジェクトを上書きできません。詳細については、「FTD のルールセットの設定」を参照してください。


(注)  

一貫性のないオブジェクトがある場合は、オーバーライドを使用してそれらを 1 つの共有オブジェクトに結合できます。詳細については、不整合オブジェクトの問題を解決するを参照してください。

関連付けのないオブジェクト

ルールやポリシーですぐに使用するためのオブジェクトを作成できますが、ルールやポリシーに関連付けないオブジェクトを作成することもできます。関連付けられていないオブジェクトをルールまたはポリシーで使用すると、Security Cloud Control ではそのコピーが作成され、そのコピーが使用されます。関連付けられていない元のオブジェクトは、夜間のメンテナンスジョブで削除されるか、ユーザーが削除するまで、使用可能な一連のオブジェクト内に残ります。

関連付けられていないオブジェクトはコピーとして Security Cloud Control に残り、オブジェクトに関連付けられたルールまたはポリシーが誤って削除された場合にすべての設定が失われないようにします。

左側のペインで、[オブジェクト(Objects)] > [] の順にクリックし、[関連付けなし(Unassociated)] チェックボックスをオンにします。

オブジェクトの比較

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで、[オブジェクト(Objects)] をクリックして、オプションを選択します。

ステップ 3

ページのオブジェクトをフィルタ処理して、比較するオブジェクトを見つけます。

ステップ 4

[比較(Compare)] ボタンをクリックします。

ステップ 5

比較するオブジェクトを最大 3 つまで選択します。

ステップ 6

画面の下部にオブジェクトを並べて表示します。

  • [オブジェクトの詳細(Object Details)] タイトルバーの上下の矢印をクリックして、表示するオブジェクト詳細を調整します。

  • [詳細(Details)] ボックスと [関係(Relationships)] ボックスを展開するか折りたたんで、表示する情報を調整します。

ステップ 7

(オプション)[関係(Relationships)] ボックスには、オブジェクトの使用方法が表示されます。オブジェクトはデバイスまたはポリシーに関連付けられている場合があります。オブジェクトがデバイスに関連付けられている場合は、デバイス名をクリックしてから [構成の表示(View Configuration)] をクリックして、デバイスの構成を表示できます。Security Cloud Control はデバイスの構成ファイルを表示し、そのオブジェクトのエントリをハイライトします。

フィルタ

[セキュリティデバイス(Security Devices)] ページと [オブジェクト(Objects)] ページのさまざまなフィルタを使用して、探しているデバイスやオブジェクトを検索できます。

フィルタ処理するには、[セキュリティデバイス(Security Devices)] タブ、[ポリシー(Policies)] タブ、および [オブジェクト(Objects)] タブの左側のペインで をクリックします。

セキュリティ デバイス フィルタでは、デバイスタイプ、ハードウェアとソフトウェアのバージョン、Snort バージョン、設定ステータス、接続状態、競合検出、Secure Device Connector、およびラベルでフィルタ処理できます。フィルタを適用して、選択したデバイスタイプのタブ内のデバイスを見つけることができます。フィルタを使用して、選択したデバイスタイプのタブ内のデバイスを見つけることができます。


(注)  

[FTD] タブを開くと、フィルタペインでフィルタを使用できます。これにより、Security Cloud Control からデバイスにアクセスするために使用されている管理アプリケーションに基づいて FDM-managed デバイスが表示されます。

  • FDM:FTD API または FDM を使用して管理されるデバイス。

  • FMC-FTD:Firepower Management Center を使用して管理されるデバイス。

  • FTD:FTD 管理を使用して管理されるデバイス。

オブジェクトフィルタを使用すると、デバイス、問題タイプ、共有オブジェクト、関連付けのないオブジェクト、およびオブジェクトタイプでフィルタ処理できます。結果にシステムオブジェクトを含めるかどうかを選択できます。検索フィールドを使用して、特定の名前、IP アドレス、またはポート番号を含むフィルタ結果内のオブジェクトを検索することもできます。

オブジェクトタイプフィルタを使用すると、ネットワークオブジェクト、ネットワークグループ、URL オブジェクト、URL グループ、サービスオブジェクト、サービスグループなどのタイプによってオブジェクトをフィルタ処理できます。共有オブジェクトフィルタを使用すると、デフォルト値またはオーバーライド値を持つオブジェクトをフィルタ処理できます。

デバイスとオブジェクトをフィルタ処理する場合、検索語を組み合わせて、関連する結果を見つけるためのいくつかの潜在的な検索戦略を作成することができます。

次の例では、「問題(使用されていない、または、不整合)、かつ、共有オブジェクト(デフォルト値、または、追加の値を持つ)かつ、関連付けられていないオブジェクト」を検索するフィルタが適用されます。

オブジェクトフィルタ

フィルタ処理するには、[オブジェクト(Object)] タブの左側のペインで をクリックします。

  • [デバイスごとのフィルタ(Filter by Device)]:特定のデバイスを選択して、選択したデバイスで見つかったオブジェクトを表示できます。

  • [問題(Issues)]:未使用のオブジェクト、重複するオブジェクト、および一貫性のないオブジェクトを選択して表示できます。

  • [無視された問題(Ignored Issues)]:不整合を無視したすべてのオブジェクトを表示できます。

  • [共有オブジェクト(Shared Objects)]:複数のデバイスで共有されていることが Security Cloud Control によって検出されたすべてのオブジェクトを表示できます。デフォルト値またはオーバーライド値のみ、あるいはその両方を持つ共有オブジェクトを表示することを選択できます。

  • [関連付けられていないオブジェクト(Unassociated Objects)]:ルールまたはポリシーに関連付けられていないすべてのオブジェクトを表示できます。

  • [オブジェクトタイプ(Object Type)]:オブジェクトタイプを選択して、ネットワークオブジェクト、ネットワークグループ、URL オブジェクト、URL グループ、サービスオブジェクト、サービスグループなど、選択したタイプのオブジェクトのみを表示できます。

サブフィルタ – 各メインフィルタ内には、選択をさらに絞り込むために適用できるサブフィルタがあります。これらのサブフィルタは、オブジェクトタイプ(ネットワーク、サービス、プロトコルなど)に基づいています。

このフィルタバーで選択されたフィルタは、以下の条件に一致するオブジェクトを返します。

* 2 つのデバイスのいずれかにあるオブジェクト([デバイスでフィルタ処理(Filter by Device)] をクリックしてデバイスを指定します)。および

* 一貫性のないオブジェクト。および

* ネットワークオブジェクトまたはサービスオブジェクト。 および

* オブジェクトの命名規則に「グループ」という単語が含まれているオブジェクト。

[システムオブジェクトの表示(Show System Objects)] がオンになっているため、結果にはシステムオブジェクトとユーザー定義オブジェクトの両方が含まれます。

[システム定義オブジェクトの表示(Show System-Defined Objects)] フィルタ

一部のデバイスには、一般的なサービス用に事前定義されたオブジェクトがあります。これらのシステム オブジェクトは既に作成されており、ルールやポリシーで使用できるので便利です。オブジェクトテーブルには多くのシステムオブジェクトが含まれる場合があります。システムオブジェクトは編集または削除できません。

[システム定義オブジェクトの表示(Show System-Defined Objects)] は、デフォルトではオフになっています。オブジェクトテーブルにシステムオブジェクトを表示するには、フィルタバーで [システム定義オブジェクトの表示(Show System-Defined Objects)] をオンにします。オブジェクトテーブルでシステムオブジェクトを非表示にするには、フィルタバーで [システムオブジェクトを表示(Show System Objects)] をオフのままにします。

システムオブジェクトを非表示にすると、それらは検索およびフィルタ処理の結果に含まれなくなります。システムオブジェクトを表示すると、それらはオブジェクトの検索とフィルタ処理の結果に含まれます。

オブジェクトフィルタを設定する

条件を必要な数だけ設定してフィルタリングできます。フィルタリングするカテゴリが多いほど、予想される結果は少なくなります。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで [オブジェクト(Objects)] をクリックします。

ステップ 3

ページ上部のフィルタアイコン をクリックして、フィルタパネルを開きます。オブジェクトが誤って除外されないように、チェック付きのフィルタのチェックを外します。さらに、検索フィールドを見て、検索フィールドに入力された可能性のあるテキストを削除します。

ステップ 4

結果を特定のデバイスで見つかったものに限定したい場合:

  1. [デバイスでフィルタ処理(Filter By Device)] をクリックします。

  2. すべてのデバイスを検索するか、デバイスタブをクリックして特定の種類のデバイスのみを検索します。

  3. フィルタ条件に含めるデバイスのチェックボックスをオンにします。

  4. [OK] をクリックします。

ステップ 5

検索結果にシステムオブジェクトを含めるには、[システムオブジェクトを表示(Show System Objects)] をオンにします。検索結果でシステムオブジェクトを除外するには、[システムオブジェクトを表示(Show System Objects)] をオフにします。

ステップ 6

[問題(Issues)] で、フィルタリングするオブジェクトの問題のチェックボックスをオンにします。複数の問題をオンにすると、オンにしたいずれかのカテゴリのオブジェクトがフィルタ結果に含まれます。

ステップ 7

問題があったが管理者によって無視されたオブジェクトを表示する場合は、[無視(Ignored)] の問題をチェックします。

ステップ 8

2 つ以上のデバイス間で共有されるオブジェクトをフィルタリングする場合は、[共有オブジェクト(Shared Objects)] で必要なフィルタをオンにします。

  • [デフォルト値(Default Values)]:デフォルト値のみを持つオブジェクトをフィルタリングします。

  • [オーバーライド値(Override Values)]:オーバーライドされた値を持つオブジェクトをフィルタリングします。

  • [追加の値(Additional Values)]:追加の値を持つオブジェクトをフィルタリングします。

ステップ 9

ルールまたはポリシーの一部ではないオブジェクトをフィルタリングする場合は、[関連付けなし(Unassociated)] をオンにします。

ステップ 10

フィルタリングする [オブジェクトタイプ(Object Types)] をオンにします。

ステップ 11

オブジェクト名、IP アドレス、またはポート番号を [オブジェクト(Objects)] 検索フィールドに追加して、フィルタリングされた結果の中から検索条件に一致するオブジェクトを見つけることもできます。
フィルタ基準からデバイスを除外する場合

デバイスをフィルタリング基準に追加すると、結果にはデバイス上のオブジェクトは表示されますが、それらのオブジェクトと他のデバイスとの関係は表示されません。たとえば、ObjectA が ASA1 と ASA2 の間で共有されている場合、オブジェクトをフィルタリングして ASA1 上の共有オブジェクトを検索すると、ObjectA は見つかりますが、[関係(Relationships)] ペインには、オブジェクトが ASA1 にあることだけが表示されます。

オブジェクトが関連するすべてのデバイスを表示するには、検索条件でデバイスを指定しないでください。他の条件でフィルタリングし、必要に応じて検索条件を追加します。Security Cloud Control が識別するオブジェクトを選択し、[関係(Relationships)] ペインを調べます。そのオブジェクトに関連するすべてのデバイスとポリシーが表示されます。

オブジェクトの無視の解除

未使用、重複、不整合のオブジェクトを解決する方法の 1 つは、それらを無視することです。オブジェクトが未使用重複、または不整合であっても、その状態には正当な理由があると判断し、オブジェクトの問題を未解決のままにすることを選択する場合もあります。将来のある時点で、これらの無視されたオブジェクトを解決することが必要になる場合があります。オブジェクトの問題を検索するときに Security Cloud Control は無視されたオブジェクトを表示しないため、無視されたオブジェクトのオブジェクトリストをフィルタリングし、結果に基づいて操作する必要があります。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで、[オブジェクト(Objects)] をクリックして、オプションを選択します。

ステップ 3

無視されたオブジェクトをフィルタリングして検索します

ステップ 4

[オブジェクト(Object)] テーブルで、無視を解除するオブジェクトをすべて選択します。一度に 1 つのオブジェクトの無視を解除できます。

ステップ 5

詳細ペインで [無視の解除(Unignore)] をクリックします。

ステップ 6

要求を確認します。これで、オブジェクトを問題でフィルタリングすると、以前は無視されていたオブジェクトが見つかるはずです。

オブジェクトの削除

1 つのオブジェクトまたは複数のオブジェクトを削除できます。

1 つのオブジェクトの削除

注意    

If Cloud-Delivered Firewall Management Center is deployed on your tenant:

Changes you make to the ASA, FDM, and FTD network objects and groups are reflected in the corresponding Cloud-Delivered Firewall Management Center network object or group. In addition, an entry is created in the Devices with Pending Changes page for each on-premises Firewall Management Center with Discover & Manage Network Objects enabled, from which you can choose and deploy the changes to the on-premises Firewall Management Center on which you have these objects.

Deleting a network object or group from either page deletes the object or group from both pages.
手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで [オブジェクト(Objects)] をクリックします。

ステップ 3

オブジェクトフィルタと検索フィールドを使用して、削除するオブジェクトを見つけ、それを選択します。

ステップ 4

[関係(Relationships)] ペインを確認します。オブジェクトがポリシーまたはオブジェクトグループで使用されている場合は、そのポリシーまたはグループから削除するまでオブジェクトを削除できません。

ステップ 5

[アクション(Actions)] ペインで、[削除(Remove)] アイコン をクリックします。

ステップ 6

[OK] をクリックしてオブジェクトの削除を確認します。

ステップ 7

行った変更をレビューして展開するか、待機してから複数の変更を一度に展開します。

未使用オブジェクトのグループの削除

デバイスをオンボードしてオブジェクトの問題解決に取り組むと、多くの未使用のオブジェクトが見つかります。一度に最大 50 個の未使用オブジェクトを削除できます。

手順

ステップ 1

[問題(Issues)] フィルタを使用して、未使用のオブジェクトを見つけます。デバイスフィルタを使用する際に [デバイスなし(No Device)] を選択し、デバイスに関連付けられていないオブジェクトを検索することもできます。オブジェクトリストをフィルタリングすると、オブジェクトのチェックボックスが表示されます。

ステップ 2

オブジェクト テーブル ヘッダーの [すべて選択(Select all)] チェックボックスをオンにして、フィルタによって検出されオブジェクトテーブルに表示されるすべてのオブジェクトを選択するか、削除する個々のオブジェクトの個々のチェックボックスをオンにします。

ステップ 3

[アクション(Actions)] ペインで、[削除(Remove)] アイコン をクリックします。

ステップ 4

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

ネットワーク オブジェクト

1 つのネットワークオブジェクトには、ホスト名、ネットワーク IP アドレス、IP アドレスの範囲、完全修飾ドメイン名(FQDN)または CIDR 表記のサブネットワークのいずれか 1 つを入れることができます。[ネットワークグループ(Network groups)] は、ネットワークオブジェクトと、グループに追加するその他の個々のアドレスまたはサブネットワークのコレクションです。ネットワークオブジェクトとネットワークグループは、アクセスルール、ネットワークポリシー、および NAT ルールで使用されます。Security Cloud Control を使用して、ネットワークオブジェクトとネットワークグループを作成、更新、および削除できます。

すべてのプラットフォームが Cisco Meraki や Multicloud Defense などのネットワークオブジェクトをサポートしているわけではないことに注意してください。ダイナミックオブジェクトを共有すると、Security Cloud Control は、発信元のプラットフォームまたはデバイスからの適切な情報を、Security Cloud Control が使用できる一連の使用可能な情報に自動的に変換します。

表 2. ネットワークオブジェクトで許可される値

デバイス タイプ(Device Type)

[IPv4 / IPv6]

シングル アドレス

アドレス範囲

完全修飾ドメイン名

CIDR 表記法によるサブネット

FTD

IPv4 と IPv6

対応

対応

対応

対応

Multicloud Defense

IPv4 と IPv6

対応

対応

対応

対応
表 3. ネットワークグループで許可されるコンテンツ

デバイス タイプ(Device Type)

IP 値

[ネットワーク オブジェクト(Network Object)]

ネットワーク グループ

FTD

非対応

対応

対応

Multicloud Defense

対応

対応

対応
製品間でのネットワークオブジェクトの再利用

Cloud-Delivered Firewall Management Center とテナントにオンボーディングされている 1 つ以上の on-premises Firewall Management Center を含む Security Cloud Control テナントがある場合は、次の手順を実行します。

  • Secure Firewall Threat DefenseFDM-managedFirewall Threat Defense、Cisco ASA、または Cisco Meraki ネットワークオブジェクトまたはグループを作成すると、そのオブジェクトのコピーが、Cloud-Delivered Firewall Management Center の設定時に使用する [オブジェクト(Objects)] ページのオブジェクトリストにも追加されます。その逆も同様です。

  • Secure Firewall Threat DefenseFDM-managedFirewall Threat Defense、または ASA ネットワークオブジェクトまたはグループを作成すると、[ネットワークオブジェクトの検出と管理(Discover & Manage Network Objects)] が有効になっている各On-Premises Firewall Management Center の [保留中の変更があるデバイス(Devices with Pending Changes)] ページにエントリが作成されます。このリストから、オブジェクトを選択して、そのオブジェクトを使用するon-premises Firewall Management Center に展開し、不要なオブジェクトを破棄できます。、[管理(Administration)] > [Firewall Management Center] に移動し on-premises Firewall Management Center を選択します。[オブジェクト(Objects)] をクリックし、On-Premises Firewall Management Center ユーザーインターフェイスでオブジェクトを確認して、ポリシーに割り当てます。

いずれかのページのネットワークオブジェクトやグループに加えた変更は、両方のページのオブジェクトまたはグループインスタンスに適用されます。1 つのページからオブジェクトを削除すると、そのオブジェクトの対応するコピーも他のページから削除されます。

例外

  • 同じ名前のネットワークオブジェクトがすでに Cloud-Delivered Firewall Management Center に存在する場合、新しい Secure Firewall Threat DefenseFDM-managed Firewall Threat Defense、Cisco ASA、または Cisco Meraki ネットワークオブジェクトは、Security Cloud Control の [オブジェクト(Objects)] ページには複製されません。

  • オンプレミスの Cisco Secure Firewall Management Center によって管理されるオンボード済み Firewall Threat Defense デバイスのネットワークオブジェクトおよびグループは複製されず、Cloud-Delivered Firewall Management Center で使用できません。

    Cloud-Delivered Firewall Management Center に 移行したオンプレミスの Cisco Secure Firewall Management Center インスタンスの場合、ネットワークオブジェクトとグループは、FTD デバイスに展開されたポリシーで使用されていれば、Security Cloud Control オブジェクトページに複製されることに注意してください。

  • Security Cloud ControlCloud-Delivered Firewall Management Center の間のネットワークオブジェクトの共有は、新しいテナントでは自動的に有効になりますが、既存のテナントでは要求する必要があります。ネットワークオブジェクトが Cloud-Delivered Firewall Management Center と共有されていない場合は、TAC に連絡して、テナントで機能を有効にしてもらいます。

  • Security Cloud ControlOn-Premises Firewall Management Center の間のネットワークオブジェクトの共有は、Security Cloud Control に対して導入準備された新しいon-premises Firewall Management CenterSecurity Cloud Control では自動的に有効になりません。ネットワークオブジェクトがOn-Premises Firewall Management Center と共有されていない場合は、[設定(Settings)] on-premises Firewall Management Center の [ネットワークオブジェクトの検出と管理(Discover & Manage Network Objects)] トグルボタンが有効になっていることを確認するか、TAC に連絡してテナントで機能を有効にしてもらいます。

ネットワークオブジェクトの表示

Security Cloud Control を使用して作成するネットワークオブジェクトと、オンボーディングしたデバイスの設定から Security Cloud Control が認識するネットワークオブジェクトは、[オブジェクト(Objects)] ページに表示されます。これらのネットワークオブジェクトには、それぞれのオブジェクトタイプのラベルが付けられています。これにより、オブジェクトタイプでフィルタリングして、探しているオブジェクトをすばやく見つけることができます。

[オブジェクト(Objects)] ページでネットワークオブジェクトを選択すると、オブジェクトの値が [詳細(Detail)] ペインに表示されます。[関係(Relationships)] ペインには、オブジェクトがポリシーで使用されているかどうか、およびオブジェクトが保存されているデバイスが表示されます。

ネットワークグループをクリックすると、そのグループの内容が表示されます。ネットワークグループは、ネットワークオブジェクトによってグループに与えられたすべての値の集合体です。

Firepower ネットワークオブジェクトまたはネットワークグループの作成または編集

Firepower ネットワークオブジェクトには、CIDR 表記で表現されたホスト名、IP アドレス、またはサブネットアドレスを含めることができます。ネットワークグループは、アクセスルール、ネットワークポリシー、および NAT ルールで使用されるネットワークオブジェクトとネットワークグループの集合体です。Security Cloud Control を使用して、ネットワークオブジェクトとネットワークグループを作成、読み取り、更新、および削除できます。

Firepower ネットワークオブジェクトおよびグループは、ASAFirewall Threat DefenseFDM-managed、および Meraki デバイスで使用できます。「製品間でのネットワークオブジェクトの再利用」を参照してください。


(注)  

If Cloud-Delivered Firewall Management Center is deployed on your tenant:

When you create an FTD, FDM, or ASA network object or group on the Objects page, a copy of the object is automatically added to the Cloud-Delivered Firewall Management Center and vice-versa. In addition, an entry is created in the Devices with Pending Changes page for each on-premises Firewall Management Center with Discover & Manage Network Objects enabled, from which you can choose and deploy the objects to the on-premises Firewall Management Center on which you want these objects.

注意    

If Cloud-Delivered Firewall Management Center is deployed on your tenant:

Changes you make to the ASA, FDM, and FTD network objects and groups are reflected in the corresponding Cloud-Delivered Firewall Management Center network object or group. In addition, an entry is created in the Devices with Pending Changes page for each on-premises Firewall Management Center with Discover & Manage Network Objects enabled, from which you can choose and deploy the changes to the on-premises Firewall Management Center on which you have these objects.

Deleting a network object or group from either page deletes the object or group from both pages.
表 4. ネットワークオブジェクトに追加できる IP アドレス

デバイス タイプ(Device Type)

[IPv4 / IPv6]

シングル アドレス

アドレス範囲

部分修飾ドメイン名(PQDN)

CIDR 表記法によるサブネット
Firepower [IPv4 / IPv6] 対応 対応 対応 対応
Firepower ネットワークオブジェクトの作成

(注)  

If Cloud-Delivered Firewall Management Center is deployed on your tenant:

When you create an FTD, FDM, or ASA network object or group on the Objects page, a copy of the object is automatically added to the Cloud-Delivered Firewall Management Center and vice-versa. In addition, an entry is created in the Devices with Pending Changes page for each on-premises Firewall Management Center with Discover & Manage Network Objects enabled, from which you can choose and deploy the objects to the on-premises Firewall Management Center on which you want these objects.
手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

青色のプラスボタン をクリックして、オブジェクトを作成します。

ステップ 4

[FTD] > [ネットワーク(Network)] をクリックします。

ステップ 5

[オブジェクト名(Object Name)] を入力します。

ステップ 6

[ネットワークオブジェクトの作成(Create a network object)] を選択します。

ステップ 7

[値(Value)] セクションで、次の手順を実行します。

  • [eq] を選択し、単一の IP アドレス、CIDR 表記で表されるサブネットアドレス、または部分修飾ドメイン名(PQDN)を入力します。

  • [範囲(range)] を選択し、IP アドレスの範囲を入力します。

(注)  

 

ホストビット値を設定しないでください。0 以外のホストビット値を入力すると、オブジェクトの作成中に Security Cloud Control が設定を解除します。これは、Cloud-Delivered Firewall Management Center はホストビットが設定されていない IPv6 オブジェクトのみを受け入れるためです。

ステップ 8

[Add] をクリックします。

[Attention(注意)] :新たに作成されたネットワークオブジェクトは、ルールやポリシーの一部ではないため、いずれの FDM-managed デバイスにも関連付けられていません。それらのオブジェクトを表示するには、オブジェクトフィルタで [関連付けなし(Unassociated)] オブジェクトカテゴリを選択します。詳細については、「オブジェクトフィルタ」を参照してください。デバイスのルールやポリシーに関連付けられていないオブジェクトを使用すると、そのオブジェクトはそのデバイスに関連付けられます。

Firepower ネットワークグループの作成

[ネットワークグループ(network group)] には、ネットワークオブジェクトとネットワークグループを含めることができます。新しいネットワークグループを作成するときに、名前、IP アドレス、IP アドレス範囲、または FQDN で既存のオブジェクトを検索し、[ネットワークグループ(network group)] に追加できます。オブジェクトが存在しない場合は、同じインターフェイスでそのオブジェクトをすぐに作成し、[ネットワークグループ(Network Group)] に追加できます。


(注)  

If Cloud-Delivered Firewall Management Center is deployed on your tenant:

When you create an FTD, FDM, or ASA network object or group on the Objects page, a copy of the object is automatically added to the Cloud-Delivered Firewall Management Center and vice-versa. In addition, an entry is created in the Devices with Pending Changes page for each on-premises Firewall Management Center with Discover & Manage Network Objects enabled, from which you can choose and deploy the objects to the on-premises Firewall Management Center on which you want these objects.
手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

青色のプラスボタン をクリックして、オブジェクトを作成します。

ステップ 4

[FTD] > [ネットワーク(Network)] をクリックします。

ステップ 5

[オブジェクト名(Object Name)] を入力します。

ステップ 6

[ネットワークグループの作成(Create a network group)] を選択します。

ステップ 7

[値(Values)] フィールドに、値または名前を入力します。入力を開始すると、入力に一致するオブジェクト名または値が Security Cloud Control によって表示されます。

ステップ 8

表示されている既存のオブジェクトの 1 つを選択するか、入力した名前または値に基づいて新しいオブジェクトを作成できます。

ステップ 9

Security Cloud Control で一致が検出された場合、既存のオブジェクトを選択するには、[追加(Add)] をクリックして、ネットワークオブジェクトまたはネットワークグループを新しいネットワークグループに追加します。

ステップ 10

存在しない値またはオブジェクトを入力した場合は、次のいずれかを実行できます。

  • [この名前の新しいオブジェクトとして追加(Add as New Object With This Name)] をクリックして、その名前の新しいオブジェクトを作成します。値を入力し、チェックマークをクリックして保存します。

  • [新しいオブジェクトの追加(Add as New Object)] をクリックして、新しいオブジェクトを作成します。オブジェクト名と値は同じです。名前を入力し、チェックマークをクリックして保存します。

値がすでに存在していても、新しいオブジェクトは作成できます。それらのオブジェクトに変更を加えて保存できます。

:編集アイコンをクリックして、詳細を変更できます。削除ボタンをクリックしても、オブジェクト自体は削除されず、代わりに、ネットワークグループから削除されます。

ステップ 11

必要なオブジェクトを追加したら、[保存(Save)] をクリックして新しいネットワークグループを作成します。

ステップ 12

すべてのデバイスの設定変更をプレビューして展開します
Firepower ネットワークオブジェクトの編集

注意    

If Cloud-Delivered Firewall Management Center is deployed on your tenant:

Changes you make to the ASA, FDM, and FTD network objects and groups are reflected in the corresponding Cloud-Delivered Firewall Management Center network object or group. In addition, an entry is created in the Devices with Pending Changes page for each on-premises Firewall Management Center with Discover & Manage Network Objects enabled, from which you can choose and deploy the changes to the on-premises Firewall Management Center on which you have these objects.

Deleting a network object or group from either page deletes the object or group from both pages.
手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

オブジェクトフィルタと検索フィールドを使用して、編集するオブジェクトを見つけます。

ステップ 4

ネットワークオブジェクトを選択し、[アクション(Actions)] ペインで編集アイコン をクリックします。

ステップ 5

「Firepower ネットワークグループの作成」で作成したのと同じ方法で、ダイアログボックスの値を編集します。

(注)  

 
ネットワークグループからオブジェクトを削除するには、横にある削除アイコンをクリックします。

ステップ 6

[保存(Save)] をクリックします。Security Cloud Control は、変更の影響を受けるデバイスを表示します。

ステップ 7

[確認(Confirm)] をクリックして、オブジェクトとその影響を受けるデバイスへの変更を確定します。
Firepower ネットワークグループの編集

注意    

If Cloud-Delivered Firewall Management Center is deployed on your tenant:

Changes you make to the ASA, FDM, and FTD network objects and groups are reflected in the corresponding Cloud-Delivered Firewall Management Center network object or group. In addition, an entry is created in the Devices with Pending Changes page for each on-premises Firewall Management Center with Discover & Manage Network Objects enabled, from which you can choose and deploy the changes to the on-premises Firewall Management Center on which you have these objects.

Deleting a network object or group from either page deletes the object or group from both pages.
手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

オブジェクトフィルタと [検索(Search)] フィールドを使用して、編集するネットワークグループを見つけます。

ステップ 4

ネットワークグループを選択し、[アクション(Actions)] ペインで編集アイコン をクリックします。

ステップ 5

オブジェクトの名前と説明を必要に応じて変更します。

ステップ 6

ネットワークグループにすでに追加されているオブジェクトまたはネットワークグループを変更する場合は、次の手順を実行します。

  1. オブジェクト名またはネットワークグループの横に表示される編集アイコン をクリックして、それらを変更します。

  2. チェックマークをクリックして変更内容を保存します。:削除アイコンをクリックして、ネットワークグループから値を削除できます。

ステップ 7

ネットワークグループに新しいネットワークオブジェクトまたはネットワークグループを追加する場合は、次の手順を実行する必要があります。

  1. [値(Values)] フィールドに、新しい値または既存のネットワークオブジェクトの名前を入力します。入力を開始すると、入力に一致するオブジェクト名または値が Security Cloud Control によって表示されます。表示されている既存のオブジェクトの 1 つを選択するか、入力した名前または値に基づいて新しいオブジェクトを作成できます。

  2. Security Cloud Control で一致が検出された場合、既存のオブジェクトを選択するには、[追加(Add)] をクリックして、ネットワークオブジェクトまたはネットワークグループを新しいネットワークグループに追加します。

  3. 存在しない値またはオブジェクトを入力した場合は、次のいずれかを実行できます。

    • [この名前の新しいオブジェクトとして追加(Add as New Object With This Name)] をクリックして、その名前の新しいオブジェクトを作成します。値を入力し、チェックマークをクリックして保存します。

    • [新しいオブジェクトの追加(Add as New Object)] をクリックして、新しいオブジェクトを作成します。オブジェクト名と値は同じです。名前を入力し、チェックマークをクリックして保存します。

値がすでに存在していても、新しいオブジェクトは作成できます。それらのオブジェクトに変更を加えて保存できます。

ステップ 8

[保存(Save)] をクリックします。Security Cloud Control に変更の影響を受けるポリシーが表示されます。

ステップ 9

[確認(Confirm)] をクリックして、オブジェクトとその影響を受けるデバイスへの変更を確定します。

ステップ 10

すべてのデバイスの設定変更をプレビューして展開します
オブジェクトオーバーライドの追加

注意    

If Cloud-Delivered Firewall Management Center is deployed on your tenant:

Changes you make to the ASA, FDM, and FTD network objects and groups are reflected in the corresponding Cloud-Delivered Firewall Management Center network object or group. In addition, an entry is created in the Devices with Pending Changes page for each on-premises Firewall Management Center with Discover & Manage Network Objects enabled, from which you can choose and deploy the changes to the on-premises Firewall Management Center on which you have these objects.

Deleting a network object or group from either page deletes the object or group from both pages.
手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

オブジェクトフィルタと検索フィールドを使用して、オーバーライドを追加するオブジェクトを見つけます。

ステップ 4

ネットワークオブジェクトを選択し、[アクション(Actions)] ペインで編集アイコン をクリックします。

ステップ 5

[オーバーライド値(Override Values)] ダイアログボックスに値を入力し、[+ 値の追加(+ Add Value)] をクリックします。

重要

 
追加するオーバーライドは、オブジェクトに含まれる値と同じ型である必要があります。たとえば、ネットワークオブジェクトに対しては、ホスト値ではなくネットワーク値のみでオーバーライドを構成できます。

ステップ 6

値が追加されたことを確認したら、[オーバーライド値(Override Values)] の [デバイス(Devices)] 列でセルをクリックします。

ステップ 7

[デバイスの追加(Add Devices)] をクリックし、オーバーライドを追加するデバイスを選択します。選択するデバイスには、オーバーライドを追加するオブジェクトが含まれている必要があります。

ステップ 8

[保存(Save)] をクリックします。Security Cloud Control は、変更の影響を受けるデバイスを表示します。

ステップ 9

[確認(Confirm)] をクリックして、オブジェクトとその影響を受けるデバイスへのオーバーライドの追加を確定します。

(注)  

 
1 つのオブジェクトに複数のオーバーライドを追加できます。ただし、オーバーライドを追加するたびに、オブジェクトを含む別のデバイスを選択する必要があります。

ステップ 10

オブジェクトオーバーライドの詳細については「オブジェクトのオーバーライド」を、既存のオーバーライドの編集については「オブジェクトオーバーライドの編集」を参照してください。

オブジェクトオーバーライドの編集

オブジェクトがデバイスに存在している間は、既存のオーバーライドの値を変更できます。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

Objects にアクセスします。

ステップ 3

オブジェクトフィルタと検索フィールドを使用して、編集対象のオーバーライドがあるオブジェクトを見つけます。

ステップ 4

オーバーライドがあるオブジェクトを選択し、[アクション(Actions)] ペインで編集アイコン をクリックします。

ステップ 5

オーバーライド値を変更します。

  • 値を変更するには、編集アイコンをクリックします。

  • [オーバーライド値(Override Values)] で [デバイス(Devices)] 列のセルをクリックして、新しいデバイスを割り当てます。すでに割り当てられているデバイスを選択し、[オーバーライドの削除(Remove Overrides)] をクリックすると、そのデバイスのオーバーライドを削除できます。

  • [オーバーライド値(Override Values)] 矢印をクリックすると、共有オブジェクトのデフォルト値にできます。

  • 削除するオーバーライドの横にある削除アイコンをクリックします。

ステップ 6

[保存(Save)] をクリックします。Security Cloud Control は、変更の影響を受けるデバイスを表示します。

ステップ 7

[確認(Confirm)] をクリックして、オブジェクトとその影響を受けるデバイスへの変更を確定します。

ステップ 8

すべてのデバイスの設定変更をプレビューして展開します
共有ネットワークグループへの追加の値の追加

関連付けられているすべてのデバイスに存在する共有ネットワークグループの値は、「デフォルト値」と呼ばれます。Security Cloud Control を使用すると、共有ネットワークグループに「追加の値」を追加し、その共有ネットワークグループに関連付けられている一部のデバイスにそれらの値を割り当てることができます。Security Cloud Control がデバイスに変更を展開するときに、内容が決定され、「デフォルト値」が共有ネットワークグループに関連付けられているすべてのデバイスにプッシュされ、「追加の値」が指定されたデバイスにのみプッシュされます。

たとえば、本社に 4 つの AD メインサーバーがあり、すべての拠点からアクセスできる必要があるシナリオを考えてみます。この状況で、すべての拠点で使用する「Active-Directory」という名前のオブジェクトグループを作成しました。ここで、ブランチオフィスの 1 つにさらに 2 つの AD サーバーを追加します。これを行うには、オブジェクトグループ「Active-Directory」で、分散拠点に固有の追加値として詳細を追加します。これら 2 つのサーバーは、オブジェクト「Active-Directory」が一貫しているか、または共有されているかの判断には関与しません。したがって、4 つの AD メインサーバーはすべての拠点からアクセスできますが、ブランチオフィス(2 つの追加サーバーがある)は 2 つの AD サーバーと 4 つの AD メインサーバーにアクセスできます。


(注)  

一貫性のない共有ネットワークグループがある場合は、追加の値を使用してそれらを 1 つの共有ネットワークグループに結合できます。詳細については、不整合オブジェクトの問題を解決するを参照してください。


注意    

If Cloud-Delivered Firewall Management Center is deployed on your tenant:

Changes you make to the ASA, FDM, and FTD network objects and groups are reflected in the corresponding Cloud-Delivered Firewall Management Center network object or group. In addition, an entry is created in the Devices with Pending Changes page for each on-premises Firewall Management Center with Discover & Manage Network Objects enabled, from which you can choose and deploy the changes to the on-premises Firewall Management Center on which you have these objects.

Deleting a network object or group from either page deletes the object or group from both pages.
手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

オブジェクトフィルタと検索フィールドを使用して、編集する共有ネットワークグループを見つけます。

ステップ 4

[アクション(Actions)] ペインにある編集アイコン をクリックします。

  • [デバイス(Devices)] フィールドには、共有ネットワークグループが存在するデバイスが表示されます。

  • [使用(Usage)] フィールドには、共有ネットワークグループに関連付けられたルールセットが表示されます。

  • [デフォルト値] フィールドは、デフォルトのネットワークオブジェクトと、オブジェクトの作成時に指定された、共有ネットワークグループに関連付けられたオブジェクト値が示されます。このフィールドの横に、このデフォルト値を含むデバイスの数が表示され、クリックすると名前とデバイスタイプを表示できます。この値に関連付けられたルールセットも表示されます。

ステップ 5

[追加の値(Additional Values)] フィールドに、値または名前を入力します。入力を開始すると、入力に一致するオブジェクト名または値が Security Cloud Control によって表示されます。

ステップ 6

表示されている既存のオブジェクトの 1 つを選択するか、入力した名前または値に基づいて新しいオブジェクトを作成できます。

ステップ 7

Security Cloud Control で一致が検出された場合、既存のオブジェクトを選択するには、[追加(Add)] をクリックして、ネットワークオブジェクトまたはネットワークグループを新しいネットワークグループに追加します。

ステップ 8

存在しない値またはオブジェクトを入力した場合は、次のいずれかを実行できます。

  • [この名前の新しいオブジェクトとして追加(Add as New Object With This Name)] をクリックして、その名前の新しいオブジェクトを作成します。値を入力し、チェックマークをクリックして保存します。

  • [新しいオブジェクトの追加(Add as New Object)] をクリックして、新しいオブジェクトを作成します。オブジェクト名と値は同じです。名前を入力し、チェックマークをクリックして保存します。

値がすでに存在していても、新しいオブジェクトは作成できます。それらのオブジェクトに変更を加えて保存できます。

ステップ 9

[デバイス(Devices)] 列で、新しく追加されたオブジェクトに関連付けられているセルをクリックし、[デバイスの追加(Add Devices)] をクリックします。

ステップ 10

必要なデバイスを選択し、[OK] をクリックします。

ステップ 11

[保存(Save)] をクリックします。Security Cloud Control は、変更の影響を受けるデバイスを表示します。

ステップ 12

[確認(Confirm)] をクリックして、オブジェクトとその影響を受けるデバイスへの変更を確定します。

ステップ 13

すべてのデバイスの設定変更をプレビューして展開します
共有ネットワークグループの追加の値の編集

注意    

If Cloud-Delivered Firewall Management Center is deployed on your tenant:

Changes you make to the ASA, FDM, and FTD network objects and groups are reflected in the corresponding Cloud-Delivered Firewall Management Center network object or group. In addition, an entry is created in the Devices with Pending Changes page for each on-premises Firewall Management Center with Discover & Manage Network Objects enabled, from which you can choose and deploy the changes to the on-premises Firewall Management Center on which you have these objects.

Deleting a network object or group from either page deletes the object or group from both pages.
手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

オブジェクトフィルタと検索フィールドを使用して、編集対象のオーバーライドがあるオブジェクトを見つけます。

ステップ 4

[アクション(Actions)] ペインにある編集アイコン をクリックします。

ステップ 5

オーバーライド値を変更します。

  • 値を変更するには、編集アイコンをクリックします。

  • [デバイス(Devices)] 列のセルをクリックして、新しいデバイスを割り当てます。すでに割り当てられているデバイスを選択し、[オーバーライドの削除(Remove Overrides)] をクリックすると、そのデバイスのオーバーライドを削除できます。

  • [デフォルト値(Default Values)] 矢印をクリックすると、共有ネットワークグループの追加値にできます。共有ネットワークグループに関連付けられているすべてのデバイスが、自動的に割り当てられます。

  • [オーバーライド値(Override Values)] 矢印をクリックすると、共有ネットワークグループのデフォルト値にできます。

  • ネットワークグループからオブジェクトを削除するには、横にある削除アイコンをクリックします。

ステップ 6

[保存(Save)] をクリックします。Security Cloud Control は、変更の影響を受けるデバイスを表示します。

ステップ 7

[確認(Confirm)] をクリックして、オブジェクトとその影響を受けるデバイスへの変更を確定します。

ステップ 8

すべてのデバイスの設定変更をプレビューして展開します
Security Cloud Control のネットワークオブジェクトとグループの削除

Cloud-Delivered Firewall Management Center がテナントにデプロイされている場合:

Objects ページからネットワークオブジェクトまたはグループを削除すると、Cloud-Delivered Firewall Management CenterObjects ページから重複するネットワークオブジェクトまたはグループが削除されます。その逆も同様です。

URL オブジェクト

URL オブジェクトと URL グループは、Firepower デバイスによって使用されます。URL オブジェクトとグループ(URL オブジェクトと総称する)を使用して、Web リクエストの URL または IP アドレスを定義します。これらのオブジェクトを使用して、アクセス制御ポリシーに手動の URL フィルタリング、またはセキュリティ インテリジェンス ポリシーにブロッキングを実装できます。URL オブジェクトは単一の URL または IP アドレスを定義するのに対して、URL グループは複数の URL または IP アドレスを定義します。

はじめる前に

URL オブジェクトを作成する場合は、次の点に注意してください。

  • パスを含めない(つまり、URL に / の文字がない)場合、一致はサーバーのホスト名のみに基づきます。ホスト名は、:// 区切り記号の後、またはホスト名の任意ドットの後にある場合、一致しているとみなされます。たとえば、ign.com は ign.com および www.ign.com と一致しますが、verisign.com とは一致しません。

  • 1つ以上の / 文字を含める場合、サーバー名、パス、およびクエリパラメータを含む部分文字列マッチングには URL 文字列全体が使用されます。ただし、サーバーは再構成でき、ページは新しいパスに移動できるため、個々の Web ページまたはサイトの一部をブロックまたは許可するために手動の URL フィルタリングは使用しないことをお勧めします。部分文字列マッチングも予期しない一致となる可能性があり、URL オブジェクトに含める文字列が、意図しないサーバー上のパスやクエリパラメータ内の文字列と一致することもあります。

  • システムでは、暗号化プロトコル(HTTP と HTTPS)は無視されます。つまり、ある Web サイトをブロックした場合、アプリケーション条件で特定のプロトコルを対象にしない限り、その Webサ イトに向かう HTTP トラフィックと HTTPS トラフィックの両方がブロックされます。URL オブジェクトを作成する場合は、オブジェクトの作成時にプロトコルを指定する必要はありません。たとえば、http://example.com の代わりに example.com を使用します。

  • アクセス コントロール ルールで URL オブジェクトを使用して HTTPS トラフィックを照合することを計画している場合は、トラフィックの暗号化に使用される公開キー証明書内でサブジェクトの共通名を使用するオブジェクトを作成します。なお、システムはサブジェクトの共通名に含まれるドメインを無視するため、サブドメイン情報は含めないでください。たとえば、www.example.com ではなく、example.com を使用します。

    ただし、証明書のサブジェクト共通名が Web サイトのドメイン名とはまったく関係ない場合があることをご了承ください。たとえば、youtube.com の証明書のサブジェクト共通名は *.google.com です(当然、この名前は随時変更される可能性があります)。SSL 復号ポリシーを使用して HTTPS トラフィックを復号し、URL フィルタリングルールが復号されたトラフィックで動作するようにすると、より一貫性のある結果が得られます。


    (注)  

    証明書情報を利用できなくなったためにブラウザが TLS セッションを再開した場合、URL オブジェクトは HTTPS トラフィックと一致しなくなります。このため、慎重に URL オブジェクトを設定した場合でも、HTTPS 接続では一貫性のない結果が得られることがあります。
FDM-Managed URL オブジェクトの作成または編集

URL オブジェクトは、URL または IP アドレスを指定する再利用可能なコンポーネントです。

URL オブジェクトを作成するには、次の手順を実行します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

> [FTD] > [URL] をクリックします。

ステップ 4

オブジェクト名と説明を入力します。

ステップ 5

[URLオブジェクトの作成(Create a URL object)] を選択します。

ステップ 6

オブジェクトに固有の URL または IP アドレスを入力します。

ステップ 7

[Add] をクリックします。

Firepower URL グループの作成

URL グループは、1 つ以上の URL または IP アドレスを表す 1 つ以上の URL オブジェクトで構成できます。Firepower Device Manager および Firepower Management Center では、これらのオブジェクトは「URL オブジェクト」とも呼ばれます。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

> [FTD] > [URL] をクリックします。

ステップ 4

オブジェクト名と説明を入力します。

ステップ 5

[URL グループの作成(Create a URL group)] を選択します。

ステップ 6

[オブジェクトの追加(Add Object)] をクリックし、オブジェクトを選択して [選択(Select)] をクリックすることで既存のオブジェクトを追加します。このステップを繰り返してさらにオブジェクトを追加します。

ステップ 7

URL グループへの URL オブジェクトの追加が完了したら、[追加(Add)] をクリックします。

Firepower URL オブジェクトまたは URL グループの編集
手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

オブジェクトをフィルタリングして編集するオブジェクトを見つけ、オブジェクトテーブルでオブジェクトを選択します。

ステップ 4

詳細ペインで、編集する をクリックします。

ステップ 5

前述の手順で作成したのと同じ方法で、ダイアログボックスの値を編集します。

ステップ 6

[保存(Save)] をクリックします。

ステップ 7

Security Cloud Control は、変更の影響を受けるポリシーを表示します。[確認(Confirm)] をクリックして、オブジェクトとその影響を受けるポリシーへの変更を確定します。

アプリケーション フィルタ オブジェクト

アプリケーション フィルタ オブジェクトは、Firepower デバイスによって使用されます。アプリケーション フィルタ オブジェクトは、IP 接続で使用されるアプリケーション、あるいはタイプ、カテゴリ、タグ、リスク、またはビジネスとの関連性によってアプリケーションを定義するフィルタを定義します。ポートの仕様を使用する代わりに、これらのオブジェクトをポリシーで使用し、トラフィックを制御できます。

個々のアプリケーションを指定することはできますが、アプリケーション フィルタはポリシーの作成や管理を簡素化します。たとえば、リスクが高く、ビジネスとの関連性が低いアプリケーションをすべて認識してブロックするアクセス コントロール ルールを作成できます。ユーザがそれらのアプリケーションの 1 つを使用しようとすると、セッションがブロックされます。

アプリケーション フィルタ オブジェクトを使用せず、ポリシーのアプリケーションとアプリケーション フィルタを直接選択できます。ただし、同じアプリケーションまたはフィルタ グループに対して複数のポリシーを作成する場合にはオブジェクトが便利です。システムには、事前に定義されたいくつかのアプリケーション フィルタが含まれていて、これらは編集または削除できません。


(注)  

シスコは、システムおよび脆弱性データベース(VDB)の更新を通じて頻繁にアプリケーション ディテクタを更新し追加しています。そのため、手動でルールを更新することなく、高リスクのアプリケーションをブロックするルールを新しいアプリケーションに自動的に適用できます。

(注)  

FDM-managedデバイスが Security Cloud Control にオンボードされると、アクセスルールまたは SSL 復号で定義されたルールを変更することなく、アプリケーションフィルタがアプリケーション フィルタ オブジェクトに変換されます。設定が変更されたため、デバイスの設定ステータスが [未同期(Not Synced)] に変更されるので、Security Cloud Control から設定を展開する必要があります。一般に、FDM は、フィルタを手動で保存するまで、アプリケーションフィルタをアプリケーション フィルタ オブジェクトに変換しません。

Firepower アプリケーション フィルタ オブジェクトの作成と編集

アプリケーション フィルタ オブジェクトを使用すると、厳選されたアプリケーションまたはフィルタによって識別されるアプリケーションのグループを対象にできます。このアプリケーション フィルタ オブジェクトは、ポリシーで使用できます。

Firepower アプリケーション フィルタ オブジェクトの作成

アプリケーション フィルタ オブジェクトを作成するには、次の手順を実行します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

> [FTD] > [アプリケーションフィルタ(Application Filter)] をクリックします。

ステップ 4

そのオブジェクトのオブジェクト名を入力し、任意で説明を入力します。

ステップ 5

[フィルタの追加] をクリックし、オブジェクトに追加するアプリケーションとフィルタを選択します。

最初のリストには、継続的にスクロールするリストでアプリケーションが表示されます。[フィルタの詳細設定(Advanced Filter)] をクリックすると、フィルタ オプションが表示され、アプリケーションを容易に選択できます。選択したら、[追加(Add)] をクリックします。このプロセスを繰り返して、アプリケーションやフィルタを追加できます。

(注)  

 

1 つのフィルタ条件内での複数の選択は OR 関係にあります。たとえば、リスクが「高(High)」または(OR)「非常に高い(Very High)」となります。フィルタ間の関係は「論理積(AND)」であるため、リスクが「高(High)」または(OR)「非常に高い(Very High)」であり、かつ(AND)ビジネスとの関連性が「低(Low)」または(OR)「非常に低い(Very Low)」となります。フィルタを選択すると、ディスプレイに表示されるアプリケーションが更新され、条件を満たすものだけが表示されます。これらのフィルタを使用すると、個別に追加するアプリケーションを容易に見つけたり、ルールに追加する目的のフィルタを選択していることを確認したりできます。

[リスク]:アプリケーションが組織のセキュリティポリシーに反する可能性がある目的のために使用される確率(「非常に低い」から「非常に高い」まで)。

[ビジネスとの関連性]:アプリケーションが、娯楽としてではなく、組織の事業運営の文脈内で使用される確率(「非常に低い」から「非常に高い」まで)。

[タイプ]:アプリケーションのタイプ。

  • [アプリケーションプロトコル]:HTTP や SSH など、ホスト間の通信を表すアプリケーションプロトコル。

  • [クライアントプロトコル]:Web ブラウザや電子メールクライアントなどのホスト上で動作しているソフトウェアを表すクライアント。

  • [Webアプリケーション]:HTTP トラフィックの格納ファイルまたは要求された URL を表す MPEG ビデオや Facebook などの Web アプリケーション。

[カテゴリ]:アプリケーションの最も重要な機能を説明する一般的な分類。

[タグ]:カテゴリに似た、アプリケーションに関する追加情報。

暗号化されたトラフィックの場合、システムは [SSL Protocol] とタグ付けされたアプリケーションだけを使用して、トラフィックを識別およびフィルタリングできます。このタグがないアプリケーションは、暗号化されていないまたは復号化されたトラフィックでのみ検出できます。また、システムは、復号されたトラフィック(暗号化された、または暗号化されていないトラフィックではなく)のみで検出を行うことができるアプリケーションに [復号されたトラフィック(decrypted traffic)] タグを割り当てます。

[アプリケーションリスト](画面下部):上記のリストのオプションからフィルタを選択するとこのリストが更新されるため、現在のフィルタに一致するアプリケーションを確認できます。ルールにフィルタ条件を追加するときに、フィルタが目的のアプリケーションを対象としていることを確認するためにこのリストを使用します。特定のアプリケーションまたは複数のアプリケーションをオブジェクトに追加するには、フィルタ処理されたリストからそれらを選択します。アプリケーションを選択すると、フィルタは適用されなくなります。フィルタ自体をオブジェクトにする場合は、リストからアプリケーションを選択しないでください。次に、オブジェクトはフィルタによって識別されたすべてのアプリケーションを表します。

ステップ 6

[OK] をクリックして変更を保存します。

Firepower アプリケーション フィルタ オブジェクトの編集
手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

オブジェクトフィルタと検索フィールドを使用して、編集するオブジェクトを見つけます。

ステップ 4

編集するオブジェクトを選択します。

ステップ 5

詳細パネルの [アクション(Actions)] ペインにある編集アイコン をクリックします。

ステップ 6

前述の手順で作成したのと同じ方法で、ダイアログボックスの値を編集します。

ステップ 7

[保存(Save)] をクリックします。

ステップ 8

Security Cloud Control は、変更の影響を受けるポリシーを表示します。[確認(Confirm)] をクリックして、オブジェクトとその影響を受けるポリシーへの変更を確定します。

地理位置情報オブジェクト

地理位置情報オブジェクトは、トラフィックの送信元または接続先であるデバイスをホストする国と大陸を定義します。IP アドレスを使用する代わりに、これらのオブジェクトをポリシーで使用してトラフィックを制御できます。たとえば、地理的な場所を使用して、使用されている可能性のある IP アドレスすべてを把握する必要なしに、特定の国へのアクセスを簡単に制限できます。

通常は、地理位置情報オブジェクトを使用せずに、地理的な場所をポリシーで直接選択できます。とはいえ、同じ国や大陸のグループのために複数のポリシーを作成する場合、オブジェクトが便利です。

地理位置情報データベースの更新

常に最新の地理位置情報データを使用してトラフィックをフィルタ処理できるように、地理位置情報データベース(GeoDB)を定期的に更新することを強くお勧めします。現時点では、Security Cloud Control を使用して実行できるタスクではありません。GeoDB とその更新方法の詳細については、デバイスが実行しているバージョンの『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager』の次のセクションを参照してください。

  • システム データベースとフィードの更新

  • システム データベースの更新

Firepower 地理位置情報フィルタオブジェクトの作成と編集

地理位置情報オブジェクトは、オブジェクトページで単独で作成するか、セキュリティポリシーの作成時に作成することができます。この手順では、オブジェクトページから地理位置情報オブジェクトを作成します。

地理位置情報オブジェクトを作成するには、次の手順を実行します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

> [FTD] > [地理位置情報(Geolocation)] をクリックします。

ステップ 4

そのオブジェクトのオブジェクト名を入力し、任意で説明を入力します。

ステップ 5

フィルタバーで、国または地域の名前の入力を開始すると、一致する可能性のあるもののリストが表示されます。

ステップ 6

オブジェクトに追加する 1 つまたは複数の国や地域のチェックボックスをオンにします。

ステップ 7

[Add] をクリックします。

オブジェクトを追加する方法:地理位置情報
手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで、Objects を選択します。

ステップ 3

フィルタパネルと検索フィールドを使用して、オブジェクトを見つけます。

ステップ 4

[アクション(Actions)] ペインで、[編集(Edit)] をクリックします。

ステップ 5

オブジェクト名を変更したり、オブジェクトに国や地域を追加または削除したりできます。

ステップ 6

[保存(Save)] をクリックします。

ステップ 7

影響を受けるデバイスがある場合は通知されます。[確認(Confirm)] をクリックします。

ステップ 8

デバイスまたはポリシーが影響を受けた場合は、[セキュリティデバイス(Security Devices)] ページを開き、デバイスへの変更を [プレビューして展開(Preview and Deploy)] します。

DNS グループオブジェクト

ドメインネームシステム(DNS)グループは、DNS サーバーおよび関連付けられているいくつかの属性のリストを定義します。www.example.com などの完全修飾ドメイン名(FQDN)を IP アドレスに解決するのには、DNS サーバーが必要です。管理インターフェイスとデータインターフェイスに異なる DNS グループオブジェクトを構成できます。

新しい DNS グループオブジェクトを作成する前に、FDM-managed デバイスに DNS サーバーが構成されている必要があります。Security Cloud ControlFirepower Threat Defense デバイス設定に DNS サーバーを追加するか、Firewall Device Manager で DNS サーバーを作成してから、FDM-managed 構成を Security Cloud Control に同期することができます。Firewall Device Manager で DNS サーバー設定を作成または変更するには、『Cisco Firepower Device Manager Configuration Guide』バージョン 6.4 以降の「Configuring DNS for Data and Management Interfaces」を参照してください。

DNS グループオブジェクトの作成

Security Cloud Control で新しい DNS グループオブジェクトを作成するには、次の手順を使用します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

> [FTD] > [DNS グループ(DNS Group)] をクリックします。

ステップ 4

[オブジェクト名(Object Name)] を入力します。

ステップ 5

(任意)説明を追加します。

ステップ 6

[DNSサーバー(DNS server)] の IPアドレスを入力します最大 6 台の DNS サーバーを追加できます。 [DNS サーバーの追加(Add DNS Server)] をクリックします。サーバーアドレスを削除する場合は、削除アイコンをクリックします。

(注)  

 

リストは優先順です。リストの最初のサーバが常に使用されます。後続のサーバは、上位のサーバから応答が受信されない場合にのみ使用されます。最大 6 台のサーバーを追加できますが、リストされている最初の 3 台のサーバーのみが管理インターフェイスに使用されます。

ステップ 7

[ドメイン検索名(Domain Search Name)] を入力します。このドメインは、完全修飾されていないホスト名(たとえば、serverA.example.com ではなく serverA)に追加されます。

ステップ 8

再試行の回数を入力します。システムが応答を受信しない場合に DNS サーバーのリストを再試行する回数です(0 ~ 10)。デフォルトは 2 です。この設定は、データ インターフェイスのみで使用される DNS グループに適用されます。

ステップ 9

[タイムアウト(Timeout)] の値を入力します。次の DNS サーバーを試行する前に待機する秒数です(1 ~ 30)。デフォルト値は 2 秒です。システムがサーバーのリストを再試行するたびに、このタイムアウトは 2 倍になります。この設定は、データ インターフェイスのみで使用される DNS グループに適用されます。

ステップ 10

[Add] をクリックします。

DNS グループオブジェクトの編集

Security Cloud Control または Firewall Device Manager で作成された DNS グループオブジェクトを編集できます。次の手順を使用して、既存の DNS グループオブジェクトを編集します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側の Security Cloud Control ナビゲーションバーで、Objects をクリックします。

ステップ 3

オブジェクトフィルタと [検索(search)] フィールドを使用して、編集する DNS グループオブジェクトを見つけます。

ステップ 4

オブジェクトを選択し、[アクション(Actions)] ペインで編集アイコン をクリックします。

ステップ 5

次のエントリのいずれかを編集します。

  • オブジェクト名。

  • [説明(Description)]

  • DNS サーバー。このリストから DNS サーバーを編集、追加、または削除できます。

  • ドメイン検索名。

  • リトライ。

  • タイムアウト。

ステップ 6

[保存(Save)] をクリックします。

ステップ 7

すべてのデバイスの設定変更をプレビューして展開します
DNS グループオブジェクトの削除

Security Cloud Control から DNS グループオブジェクトを削除するには、次の手順を使用します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

オブジェクトフィルタと [検索(search)] フィールドを使用して、編集する DNS グループオブジェクトを見つけます。

ステップ 4

オブジェクトを選択し、[削除(remove)] アイコン をクリックします。

ステップ 5

DNS グループオブジェクトを削除することを確認し、[Ok] をクリックします。

ステップ 6

すべてのデバイスの設定変更をプレビューして展開します
DNS グループオブジェクトを FDM-Managed DNS サーバーとして追加

DNS グループオブジェクトは、データインターフェイスまたは管理インターフェイスの優先 DNS グループとして 追加できます。

詳細については、「FDM 管理対象デバイスの設定」を参照してください。

証明書オブジェクト

デジタル証明書は、認証に使用されるデジタル ID を提供します。証明書は、SSL(セキュア ソケット レイヤ)、TLS(Transport Layer Security)、および DTLS(データグラム TLS)接続(HTTPS や LDAPS など)に使用されます。

デバイスが実行しているバージョンについては、『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager』の「Resuable Objects」の章にある「About Certificates」および「Configuring Certificates」以降のセクションを参照してください。

証明書について

デジタル証明書は、認証に使用されるデジタル ID を保持しています。デジタル証明書には、名前、シリアル番号、会社、部門、または IP アドレスなど、ユーザーまたはデバイスを識別する情報が含まれます。デジタル証明書には、ユーザまたはデバイスの公開キーのコピーも含まれています。証明書は、SSL(セキュア ソケット レイヤ)、TLS(Transport Layer Security)、および DTLS(データグラム TLS)接続(HTTPS や LDAPS など)に使用されます。

次のタイプの証明書を作成できます。

  • 内部証明書:内部 ID 証明書は、特定のシステムまたはホストの証明書です。これらは OpenSSL ツールキットを使用して自分で生成することも、認証局(CA)から取得することもできます。自己署名証明書を生成することもできます。

    システムには、そのまま、または置き換えて使用できる事前定義された内部証明書(DefaultInternalCertificate および DefaultWebServerCertificate)が付属します。

  • 内部認証局(CA)証明書:内部 CA 証明書は、他の証明書の署名にシステムが使用できる証明書です。これらの証明書は、基本制約拡張と CA フラグに関して内部アイデンティティ証明書と異なります。これらは CA 証明書では有効ですが、アイデンティティ証明書では無効です。これらは OpenSSL ツールキットを使用して自分で生成することも、認証局から取得することもできます。自己署名内部 CA 証明書を生成することもできます。自己署名内部 CA 証明書を設定する場合は、CA はデバイス自体で稼働します。

    システムには、そのまま、または置き換えて使用できる事前定義された内部 CA 証明書(NGFW-Default-InternalCA)が付属します。

  • 信頼できる認証局(CA)証明書:信頼できる CA 証明書は、他の証明書に署名するために使用されます。これは自己署名され、ルート証明書と呼ばれます。別の CA 証明書により発行される証明書は、下位証明書と呼ばれます。

    認証局(CA)は、証明書に「署名」してその認証を確認することで、デバイスまたはユーザーのアイデンティティを保証する、信頼できる機関です。CA は、公開キーまたは秘密キーの暗号化を使用してセキュリティを保証する PKI コンテキストで、デジタル証明書を発行します。CA は、信頼できるサード パーティ(VeriSign など)の場合もあれば、組織内に設置したプライベート CA(インハウス CA)の場合もあります。CA は、証明書要求の管理とデジタル証明書の発行を行います。

    システムには、第三者証明機関からの多数の信頼できる CA の証明書も含まれています。これらは再署名の復号アクションのために SSL 復号化ポリシーが使用します。

詳細については、デバイスが実行しているバージョンの Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager 用)[英語] の「Reusable Objects」の章にある「Certificate Types Used by Feature」を参照してください。https://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-installation-and-configuration-guides-list.html

各機能で使用される証明書タイプ

各機能に適したタイプの証明書を作成する必要があります。次の機能は、証明書が必要です。

アイデンティティ ポリシー(キャプティブ ポータル):内部証明書

(オプション)キャプティブ ポータルはアイデンティティ ポリシーで使用されます。この証明書は、ユーザーが自身を証明し、自分のユーザー名に関連付けられた IP アドレスを取得することを目的として、デバイスへの認証の際に承認する必要があります。証明書を提示しないと、デバイスは自動生成された証明書を使用します。

SSL 復号ポリシー:内部、内部 CA、および信頼できる CA 証明書。

(必須)SSL 復号ポリシーは、以下の目的のため証明書を使用します。

  • 内部証明書は既知のキー復号ルールに使用されます。

  • 内部 CA 証明書は、クライアントと FDM-managed デバイス間にセッションを作成するときに、再署名の復号ルールに使用されます。

  • 信頼できる CA 証明書

    • この証明書は、FTD デバイスとサーバー間のセッションを作成するときに、再署名の復号ルールに間接的に使用されます。FDM-managedその他の証明書とは異なり、これらの証明書は SSL 復号ポリシーで直接設定しません。これらは単にシステムにアップロードする必要があります。システムには多数の信用できる CA 証明書が含まれるため、追加の証明書をアップロードする必要はないことがあります。

    • Active Directory レルムオブジェクトを作成し、暗号化を使用するようにディレクトリサーバーを設定する場合。

証明書の設定

アイデンティティポリシーまたは SSL 復号化ポリシーで使用される証明書は、PEM または DER 形式の X509 証明書である必要があります。OpenSSL を使用して必要に応じて証明書を生成したり、信頼できる認証局から取得したり、または自己署名証明書を作成したりできます。

以下の手順を使用して、証明書オブジェクトを構成します。

内部および内部 CA 証明書のアップロード

内部 ID 証明書は、特定のシステムまたはホストの証明書です。これらは OpenSSL ツールキットを使用して自分で生成することも、認証局から取得することもできます。自己署名証明書を生成することもできます。

内部認証局(CA)証明書(内部 CA 証明書)は、他の証明書の署名にシステムが使用できる証明書です。これらの証明書は、基本制約拡張と CA フラグに関して内部アイデンティティ証明書と異なります。これらは CA 証明書では有効ですが、アイデンティティ証明書では無効です。これらは OpenSSL ツールキットを使用して自分で生成することも、認証局から取得することもできます。自己署名内部 CA 証明書を生成することもできます。自己署名内部 CA 証明書を設定する場合は、CA はデバイス自体で稼働します。

これらの証明書を使用する機能の詳細については、「Certificate Type Used by Feature」を参照してください。

手順

この手順では、証明書ファイルをアップロードするか、既存の証明書のテキストをテキストボックスに貼り付けて、内部証明書または内部 CA 証明書を作成します。自己署名証明書を生成する場合は、「自己署名内部および内部 CA 証明書の生成」を参照してください。

内部証明書または内部 CA 証明書オブジェクトを作成する場合、または新しい証明書オブジェクトをポリシーに追加する場合は、次の手順に従います。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

次のいずれかを実行します。

  • [オブジェクト(Objects)] ページで証明書オブジェクトを作成します。

    1. 左側のペインで Objects をクリックします。

    2. プラスボタン をクリックして、[FTD] > [証明書(Certificate)] を選択します

  • ポリシーに新しい証明書オブジェクトを追加するときに、[新しいオブジェクトの作成(Create New Object)] をクリックします。

ステップ 3

[Name] に証明書の名前を入力します。名前は、設定時にオブジェクト名としてのみ使用され、証明書自体には含まれません。

ステップ 4

ステップ 1 で、[内部証明書(Internal Certificate)] または [内部CA(Internal CA)] を選択します。

ステップ 5

ステップ 2 で、[アップロード(Upload)] を選択して証明書ファイルをアップロードします。

ステップ 6

ステップ 3 で、[サーバー証明書(Server Certificate)] 領域で、証明書の内容をテキストボックスに貼り付けるか、ウィザードの説明に従って証明書ファイルをアップロードします。証明書をテキストボックスに貼り付ける場合、証明書に BEGIN CERTIFICATE と END CERTIFICATE の行を含める必要があります。次に例を示します。 

-----BEGIN CERTIFICATE-----
 MIICMTCCAZoCCQDdUV3NGK/cUjANBgkqhkiG9w0BAQsFADBdMQswCQYDVQQGEwJV
UzETMBEGA1UECAwKU29tZS1TdGF0ZTEhMB8GA1UECgwYSW50ZXJuZXQgV2lkZ2l0
(...5 lines removed...)
shGJDReRYJQqilhHZrYTWZAYTrD7NQPHutK+ZiJng67cPgnNDuXEn55UwMOQoHBp
HMUwmhiGZlzJM8BpX2Js2yQ3ms30pr8rO+gPCPMCAwEAATANBgkqhkiG9w0BAQsF
AAOBgQCB02CebA6YjJCGr2CJZrQSeUwSveRBpmOuoqm98o2Z+5gJM5CkqgfxwCUn
RV7LRfQGFYd76V/5uor4Wx2ZCjqy6+zuQEm4ZxWNSZpA9UBixFXJCs9MBO4qkG5D
vlk3WYJfcgyJ10h4E4b0W2xiixBU+xoOTLRATnbKY36EWAG5cw==
-----END CERTIFICATE-----

ステップ 7

ステップ 3 で、[証明書キー(Certificate Key)] 領域で、キーの内容を [証明書キー(Certificate Key)] テキストボックスに貼り付けるか、ウィザードの説明に従ってキーファイルをアップロードします。キーをテキストボックスに貼り付ける場合、キーには BEGIN PRIVATE KEY または BEGIN RSA PRIVATE KEY、および END PRIVATE KEY または END PRIVATE KEY 行が含まれている必要があります。

(注)  

 

キーは暗号化できません。

ステップ 8

[Add] をクリックします。

信頼できる CA 証明書のアップロード

信頼できる認証局(CA)の証明書は、他の証明書に署名するために使用されます。これは自己署名され、ルート証明書と呼ばれます。別の CA 証明書により発行される証明書は、下位証明書と呼ばれます。

これらの証明書を使用する機能の詳細については、「Certificate Type Used by Feature」を参照してください。

外部の認証局から信頼できる CA 証明書を取得するか、自身の内部 CA を使用して(OpenSSL ツールを使用するなど)CA 証明書を作成します。その後、次の手順を使用して証明書をアップロードします。

手順
手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

次のいずれかを実行します。

  • [オブジェクト(Objects)] ページで証明書オブジェクトを作成します。

    1. 左側のペインで Objects をクリックします。

    2. > [FTD] > [証明書(Certificate)] をクリックします。

  • ポリシーに新しい証明書オブジェクトを追加するときに、[新しいオブジェクトの作成(Create New Object)] をクリックします。

ステップ 3

[Name] に証明書の名前を入力します。名前は、設定時にオブジェクト名としてのみ使用され、証明書自体には含まれません。

ステップ 4

手順 1 では、[外部CA証明書(External CA Certificate)] を選択し、[続行(Continue)] をクリックします。ウィザードの手順が 3 に進みます。

ステップ 5

手順 3 では、証明書の内容を [証明書の内容(Certificate Contents)] 領域にあるテキストボックスに貼り付けるか、ウィザードの説明に従って証明書ファイルをアップロードします。

証明書は、次のガイドラインに準拠している必要があります。

  • 証明書内のサーバー名は、サーバーのホスト名または IP アドレスと一致している必要があります。たとえば、IP アドレスとして 10.10.10.250 を使用しているのに、証明書で ad.example.com を使用すると接続が失敗します。

  • 証明書は PEM または DER 形式の X509 証明書である必要があります。

  • 貼り付ける証明書は、BEGIN CERTIFICATE と END CERTIFICATE の行を含める必要があります。次に例を示します。

    -----BEGIN CERTIFICATE-----
MIIFgTCCA2mgAwIBAgIJANvdcLnabFGYMA0GCSqGSIb3DQEBCwUAMFcxCzAJBgNV
BAYTAlVTMQswCQYDVQQIDAJUWDEPMA0GA1UEBwwGYXVzdGluMRQwEgYDVQQKDAsx
OTIuMTY4LjEuMTEUMBIGA1UEAwwLMTkyLjE2OC4xLjEwHhcNMTYxMDI3MjIzNDE3
WhcNMTcxMDI3MjIzNDE3WjBXMQswCQYDVQQGEwJVUzELMAkGA1UECAwCVFgxDzAN
BgNVBAcMBmF1c3RpbjEUMBIGA1UECgwLMTkyLjE2OC4xLjExFDASBgNVBAMMCzE5
Mi4xNjguMS4xMIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEA5NceYwtP
ES6Ve+S9z7WLKGX5JlF58AvH82GPkOQdrixn3FZeWLQapTpJZt/vgtAI2FZIK31h
(...20 lines removed...)
hbr6HOgKlOwXbRvOdksTzTEzVUqbgxt5Lwupg3b2ebQhWJz4BZvMsZX9etveEXDh
PY184V3yeSeYjbSCF5rP71fObG9Iu6+u4EfHp/NQv9s9dN5PMffXKieqpuN20Ojv
2b1sfOydf4GMUKLBUMkhQnip6+3W
-----END CERTIFICATE-----

ステップ 6

[Add] をクリックします。

自己署名内部および内部 CA 証明書の生成

内部 ID 証明書は、特定のシステムまたはホストの証明書です。これらは OpenSSL ツールキットを使用して自分で生成することも、認証局から取得することもできます。自己署名証明書を生成することもできます。

内部認証局(CA)証明書(内部 CA 証明書)は、他の証明書の署名にシステムが使用できる証明書です。これらの証明書は、基本制約拡張と CA フラグに関して内部アイデンティティ証明書と異なります。これらは CA 証明書では有効ですが、アイデンティティ証明書では無効です。これらは OpenSSL ツールキットを使用して自分で生成することも、認証局から取得することもできます。自己署名内部 CA 証明書を生成することもできます。自己署名内部 CA 証明書を設定する場合は、CA はデバイス自体で稼働します。

また、これらの証明書は、OpenSSL を使用して作成することも、信頼できる CA から取得してアップロードすることもできます。詳細は「内部および内部 CA 証明書のアップロード」を参照してください。

これらの証明書を使用する機能の詳細については、Certificate Type Used by Featureを参照してください。


(注)  

新しい自己署名証明書は 5 年の有効期間で生成されます。期限が切れる前に必ず証明書を交換してください。

警告

自己署名証明書を持つデバイスをアップグレードすると、問題が発生する可能性があります。詳細については、「新しい証明書の検出」を参照してください。

手順

この手順では、ウィザードに適切な証明書フィールド値を入力することにより、自己署名証明書を生成します。証明書ファイルをアップロードして内部または内部 CA 証明書を作成する場合は、「内部および内部 CA 証明書のアップロード」を参照してください。

自己署名証明書を生成するには、次の手順を実行します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

次のいずれかを実行します。

  • [オブジェクト(Objects)] ページで証明書オブジェクトを作成します。

    1. 左側のペインで Objects をクリックします。

    2. > [FTD] > [証明書(Certificate)] をクリックします。

  • ポリシーに新しい証明書オブジェクトを追加するときに、[新しいオブジェクトの作成(Create New Object)] をクリックします。

ステップ 3

[Name] に証明書の名前を入力します。名前は、設定時にオブジェクト名としてのみ使用され、証明書自体には含まれません。

ステップ 4

ステップ 1 で、[内部証明書(Internal Certificate)] または [内部CA(Internal CA)] を選択します。

ステップ 5

ステップ 2 で、[自己署名(Self-Signed)] を選択して、この手順で自己署名証明書を作成します。

ステップ 6

証明書の件名および発行者の情報については、次の少なくとも 1 つを設定します。

  • [国(C)(Country (C))]:ドロップダウトリストから国コードを選択します。

  • [都道府県(ST)(State or Province (ST))]:証明書に含める都道府県。

  • [地域または都市(L)(Locality or City (L))]:都市の名前など、証明書に含める地域。

  • [組織(O)(Organization (O))]:証明書に含める組織または会社の名前。

  • [組織単位(部門)(OU)(Organizational Unit (Department) )]:証明書に含める組織単位の名前(部門名など)。

  • [共通名(CN)(Common Name (CN))]:証明書に含める X.500 共通名。これは、デバイスの名前、Web サイト、または他の文字列にできます。この要素は、通常は正常な接続のために必要です。たとえば、リモート アクセス VPN で使用する内部証明書に CN を含める必要があります。

ステップ 7

[Add] をクリックします。

IPsec プロポーザルについて

IPsec は、VPN を設定する場合の最も安全な方法の 1 つです。IPsec では、IP パケット レベルでのデータ暗号化が提供され、標準規格に準拠した堅牢なセキュリティ ソリューションが提供されます。IPsec では、データはトンネルを介してパブリック ネットワーク経由で送信されます。トンネルとは、2 つのピア間のセキュアで論理的な通信パスです。IPsec トンネルを通過するトラフィックは、トランスフォーム セットと呼ばれるセキュリティ プロトコルとアルゴリズムの組み合わせによって保護されます。IPsec Security Association(SA:セキュリティ アソシエーション)のネゴシエーション中に、ピアでは、両方のピアに共通するトランスフォーム セットが検索されます。

IKE バージョン(IKEv1 または IKEv2)に基づいて、別個の IPsec プロポーザル オブジェクトがあります。

  • IKEv1 IPsec プロポーザルを作成する場合、IPSec が動作するモードを選択し、必要な暗号化タイプおよび認証タイプを定義します。アルゴリズムには単一のオプションを選択できます。VPN で複数の組み合わせをサポートするには、複数の IKEv1 IPsec プロポーザル オブジェクトを作成して選択します。

  • IKEv2 IPsec プロポーザルを作成する際に、VPN で許可するすべての暗号化アルゴリズムとハッシュ アルゴリズムを選択できます。システムは、設定をセキュア度が最も高いものから最も低いものに並べ替え、マッチが見つかるまでピアとのネゴシエーションを行います。これによって、IKEv1 と同様に、許可される各組み合わせを個別に送信することなく、許可されるすべての組み合わせを伝送するために単一のプロポーザルを送信できます。

カプセル化セキュリティ プロトコル(ESP)は、IKEv1 と IKEv2 IPsec プロポーザルの両方に使用されます。これは認証、暗号化、およびアンチリプレイ サービスを提供します。ESP は、IP プロトコル タイプ 50 です。


(注)  

IPsec トンネルで暗号化と認証の両方を使用することを推奨します。

次に、各 IKE バージョンの IPsec プロポーザルの設定方法を説明します。

IPsec プロポーザルオブジェクトの管理

IPsec プロポーザル オブジェクトは、IKE フェーズ 2 ネゴシエーション時に使用される IPsec プロポーザルを設定します。IPsec プロポーザルでは、IPsec トンネル内のトラフィックを保護するためのセキュリティ プロトコルとアルゴリズムの組み合わせを定義します。IKEv1 と IKEv2 に対して、異なるオブジェクトがあります。現在、Security Cloud Control は IKEv1 IPsec プロポーザルオブジェクトをサポートしています。

カプセル化セキュリティ プロトコル(ESP)は、IKEv1 と IKEv2 IPsec プロポーザルの両方に使用されます。このプロトコルにより、認証、暗号化、およびアンチリプレイサービスが実現します。ESP は、IP プロトコル タイプ 50 です。


(注)  

IPsec トンネルで暗号化と認証の両方を使用することを推奨します。
IKEv1 IPSec プロポーザルオブジェクトの作成または編集

定義済みの複数の IKEv1 IPsec プロポーザルがあります。その他のセキュリティ設定の組み合わせを実装する新しいプロポーザルを作成することもできます。システム定義オブジェクトは、編集または削除できません。

次の手順では、[Objects] ページから直接オブジェクトを作成および編集する方法について説明します。サイト間 VPN 接続の IKEv1 IPSec 設定を編集している間に、オブジェクトリストに表示される [新規IKEv1プロポーザルの作成(Create New IKEv1 Proposal)] リンクをクリックして、IKEv1 IPSec プロポーザルオブジェクトを作成することもできます。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左のペインで [Objects] をクリックします。

ステップ 3

次のいずれかの操作を実行します。

  • をクリックし、[FTD] > [IKEv1 IPsec Proposal] の順に選択して新しいオブジェクトを作成します。

  • オブジェクトページで、編集する IPSec プロポーザルを選択し、右側の [Actions] ペインで [Edit] をクリックします。

ステップ 4

新しいオブジェクトのオブジェクト名を入力します。

ステップ 5

IKEv1 IPSec プロポーザルオブジェクトが動作するモードを選択します。

  • トンネルモードでは IP パケット全体がカプセル化されます。IPSec ヘッダーが、元の IP ヘッダーと新しい IP ヘッダーとの間に追加されます。これがデフォルトです。トンネル モードは、ファイアウォールの背後にあるホストとの間で送受信されるトラフィックをファイアウォールが保護する場合に使用します。トンネル モードは、インターネットなどの非信頼ネットワークを介して接続されている 2 つのファイアウォール(またはその他のセキュリティ ゲートウェイ)間で通常の IPSec が実装される標準の方法です。

  • トランスポートモードでは IP パケットの上位層プロトコルだけがカプセル化されます。IPSec ヘッダーは、IP ヘッダーと上位層プロトコル ヘッダー(TCP など)との間に挿入されます。トランスポート モードでは、送信元ホストと宛先ホストの両方が IPSec をサポートしている必要があります。また、トランスポート モードは、トンネルの宛先ピアが IP パケットの最終宛先である場合にだけ使用されます。一般的に、トランスポート モードは、レイヤ 2 またはレイヤ 3 のトンネリング プロトコル(GRE、L2TP、DLSW など)を保護する場合にだけ使用されます。

ステップ 6

このプロポーザルの [ESP暗号化(ESP Encryption)](カプセル化セキュリティプロトコル暗号化)アルゴリズムを選択します。オプションの説明については、使用する暗号化アルゴリズムの決定を参照してください。

ステップ 7

認証に使用する [ESPハッシュ(ESP Hash)] または整合性アルゴリズムを選択します。オプションの説明については、使用するハッシュ アルゴリズムの決定を参照してください。

ステップ 8

[Add] をクリックします。

IKEv2 IPsec プロポーザルオブジェクトの管理

IPsec プロポーザル オブジェクトは、IKE フェーズ 2 ネゴシエーション時に使用される IPsec プロポーザルを設定します。IPsec プロポーザルでは、IPsec トンネル内のトラフィックを保護するためのセキュリティ プロトコルとアルゴリズムの組み合わせを定義します。

IKEv2 IPsec プロポーザルを作成する際に、VPN で許可するすべての暗号化アルゴリズムとハッシュ アルゴリズムを選択できます。システムは、設定をセキュア度が最も高いものから最も低いものに並べ替え、マッチが見つかるまでピアとのネゴシエーションを行います。これによって、IKEv1 と同様に、許可される各組み合わせを個別に送信することなく、許可されるすべての組み合わせを伝送するために単一のプロポーザルを送信できます。

IKEv2 IPSec プロポーザルオブジェクトの作成または編集

定義済みの複数の IKEv2 IPsec プロポーザルがあります。その他のセキュリティ設定の組み合わせを実装する新しいプロポーザルを作成することもできます。システム定義オブジェクトは、編集または削除できません。

次の手順では、[オブジェクト(Objects)] ページから直接オブジェクトを作成および編集する方法について説明します。VPN 接続の IKEv2 IPsec 設定を編集している間に、オブジェクト リストに表示される [新規IPsecプロポーザルの作成(Create New IPsec Proposal)] リンクをクリックして、IKEv2 IPsec プロポーザル オブジェクトを作成することもできます。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

次のいずれかの操作を実行します。

  • をクリックし、[FTD] > [IKEv2 IPSecプロポーザル(IKEv2 IPsec Proposal)] の順に選択して新しいオブジェクトを作成します。

  • オブジェクトページで、編集する IPSec プロポーザルを選択し、右側の [アクション(Actions)] ペインで [編集(Edit)] をクリックします。

ステップ 4

新しいオブジェクトのオブジェクト名を入力します。

ステップ 5

IKEv2 IPsec プロポーザルオブジェクトの設定:

  • [暗号化(Encryption)]:このプロポーザルのカプセル化セキュリティ プロトコル(ESP)暗号化アルゴリズム。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、使用する暗号化アルゴリズムの決定を参照してください。

  • [整合性ハッシュ(Integrity Hash)]:認証に使用するハッシュまたは整合性アルゴリズム。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、使用するハッシュ アルゴリズムの決定を参照してください。

ステップ 6

[Add] をクリックします。

グローバル IKE ポリシーについて

Internet Key Exchange(IKE、インターネット キー エクスチェンジ)は、IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec Security Association(SA、セキュリティ アソシエーション)の自動的な確立に使用されるキー管理プロトコルです。

IKE ネゴシエーションは 2 つのフェーズで構成されています。フェーズ 1 では、2 つの IKE ピア間のセキュリティ アソシエーションをネゴシエートします。これにより、ピアはフェーズ 2 で安全に通信できるようになります。フェーズ 2 のネゴシエーションでは、IKE によって IPsec などの他のアプリケーション用の SA が確立されます。両方のフェーズで接続のネゴシエーション時にプロポーザルが使用されます。IKE プロポーザルは、2 つのピア間のネゴシエーションを保護するためにこれらのピアで使用されるアルゴリズムのセットです。IKE ネゴシエーションは、共通(共有)IKE ポリシーに合意している各ピアによって開始されます。このポリシーは、後続の IKE ネゴシエーションを保護するために使用されるセキュリティ パラメータを示します。

IKE ポリシー オブジェクトはこれらのネゴシエーションに対して IKE プロポーザルを定義します。有効にするオブジェクトは、ピアが VPN 接続をネゴシエートするときに使用するものであり、接続ごとに異なる IKE ポリシーを指定することはできません。各オブジェクトの相対的な優先順位は、これらの中でどのポリシーを最初に試行するかを決定します。数が小さいほど、優先順位が高くなります。ネゴシエーションで両方のピアがサポートできるポリシーを見つけられなければ、接続は確立されません。

IKE グローバル ポリシーを定義するには、各 IKE バージョンを有効にするオブジェクトを選択します。事前定義されたオブジェクトが要件を満たさない場合、セキュリティ ポリシーを適用する新しいポリシーを作成します。

次に、オブジェクト ページでグローバル ポリシーを設定する方法について説明します。VPN 接続を編集しているときに IKE ポリシー設定の [編集(Edit)] をクリックすることで、ポリシーの有効化、無効化および作成が行えます。

次に、各バージョンの IKE ポリシーの設定方法を説明します。

IKEv1 ポリシーの管理
IKEv1 ポリシーについて

インターネット キー エクスチェンジ(IKE)バージョン 1 ポリシー オブジェクトには、VPN 接続を定義する際に必要な IKEv1 ポリシーが含まれています。IKE は、IPsec ベースの通信の管理を簡易化するキー管理プロトコルです。IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec セキュリティ アソシエーション(SA)の自動確立に使用されます。

複数の事前定義された IKEv1 ポリシーが存在します。必要に適したポリシーがあれば、[状態(State)] トグルをクリックして有効にします。セキュリティ設定の他の組み合わせを実装する新しいポリシーも作成できます。システム定義オブジェクトは、編集または削除できません。

IKEv1 ポリシーの作成または編集

次の手順では、[オブジェクト(Objects)] ページから直接オブジェクトを作成および編集する方法について説明します。サイト間 VPN 接続での IKE 設定の編集時に、オブジェクトリストに表示される [新しいIKEv1 ポリシーの作成(Create New IKEv1 Policy)] リンクをクリックして、IKEv1 ポリシーを作成することもできます。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

次のいずれかの操作を実行します。

  • をクリックし、[FTD] > [IKEv1ポリシー(IKEv1 Policy)] の順に選択して、新しい IKEv1 ポリシーを作成します。

  • オブジェクトのページで、編集する IKEv1 ポリシーを選択し、右側の [操作(Actions)] ウィンドウで [編集(Edit)] をクリックします。

ステップ 4

[オブジェクト名(Object Name)] を 128 文字以内で入力します。

ステップ 5

IKEv1 プロパティを設定します。

  • [優先順位(Priority)]:IKE ポリシーの相対的優先順位(1 ~ 65,535)。このプライオリティによって、共通のセキュリティ アソシエーション(SA)の検出試行時に、ネゴシエーションする 2 つのピアを比較することで、IKE ポリシーの順序が決定します。リモート IPsec ピアが、最も高いプライオリティ ポリシーで選択されているパラメータをサポートしていない場合、次に低いプライオリティで定義されているパラメータの使用を試行します。値が小さいほど、プライオリティが高くなります。

  • [暗号化(Encryption)] :フェーズ 2 ネゴシエーションを保護するためのフェーズ 1 セキュリティ アソシエーション(SA)の確立に使用される暗号化アルゴリズム。オプションの説明については、「使用する暗号化アルゴリズムの決定」を参照してください。

  • [Diffie-Hellmanグループ(Diffie-Hellman Group)] :2 つの IPsec ピア間の共有秘密キーを互いに送信することなく取得するために使用する Diffie-Hellman グループ。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。2 つのピアに、一致する係数グループが設定されている必要があります。オプションの説明については、「使用する Diffie-Hellman 係数グループの決定」を参照してください。

  • [ライフタイム(Lifetime)]:セキュリティ アソシエーション(SA)のライフタイム(120 ~ 2147483647 までの秒数、または空白)。このライフタイムを超えると、SA の期限が切れ、2 つのピア間で再ネゴシエーションを行う必要があります。一般的に、一定の限度に達するまで、ライフタイムが短いほど、IKE ネゴシエーションがセキュアになります。ただし、ライフタイムが長いと、今後の IPsec セキュリティ アソシエーションのセットアップが、短いライフタイムの場合よりも迅速に行われます。デフォルトは 86400 です。無期限のライフタイムを指定するには、値を入力しません(フィールドを空白のままにします)。

  • [認証(Authentication)] :2 つのピア間で使用される認証方式。詳細については、使用する認証方式の決定を参照してください。

    • [事前共有キー(Preshared Key)]:各デバイスで定義されている事前共有キーを使用します。事前共有キーを使用すると、秘密鍵を 2 つのピア間で共有し、認証フェーズ中に IKE で使用できます。ピアに同じ事前共有キーが設定されていない場合は、IKE SA を確立できません。

    • [証明書(Certificate)]:ピアのデバイス ID 証明書を使用して相互に識別します。認証局に各ピアを登録することによって、これらの証明書を取得する必要があります。また、各ピアでアイデンティティ証明書の署名に使用された、信頼できる CA ルート証明書および中間 CA 証明書もアップロードする必要があります。ピアは、同じ CA または別の CA に登録できます。どちらのピアにも自己署名証明書を使用することはできません。

  • [ハッシュ(Hash)] :メッセージの整合性の確保に使用されるメッセージ ダイジェストを作成するためのハッシュ アルゴリズム。オプションの説明については、VPN で使用される暗号化アルゴリズムとハッシュアルゴリズムを参照してください。

ステップ 6

[Add] をクリックします。

IKEv2 ポリシーの管理
IKEv2 ポリシーについて

インターネット キー エクスチェンジ(IKE)バージョン 2 ポリシー オブジェクトには、VPN 接続を定義する際に必要な IKEv2 ポリシーが含まれています。IKE は、IPsec ベースの通信の管理を簡易化するキー管理プロトコルです。IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec セキュリティ アソシエーション(SA)の自動確立に使用されます。

複数の事前定義された IKEv2 ポリシーがあります。必要に適したポリシーがあれば、[状態(State)] トグルをクリックして有効にします。セキュリティ設定の他の組み合わせを実装する新しいポリシーも作成できます。システム定義オブジェクトは、編集または削除できません。

IKEv2 ポリシーの作成または編集

次の手順では、[オブジェクト(Objects)] ページから直接オブジェクトを作成および編集する方法について説明します。サイト間 VPN 接続での IKE 設定の編集時に、オブジェクトリストに表示される [新しいIKEv2ポリシーの作成(Create New IKEv2 Policy)] リンクをクリックして、IKEv2 ポリシーを作成することもできます。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側の Security Cloud Control ナビゲーションバーで、Objects をクリックします。

ステップ 3

次のいずれかの操作を実行します。

  • をクリックし、[FTD] > [IKEv2ポリシー(IKEv2 Policy)] の順に選択して、新しい IKEv2 ポリシーを作成します。

  • オブジェクトページで、編集する IKEv2 ポリシーを選択し、右側の [アクション(Actions)] ペインで [編集(Edit)] をクリックします。

ステップ 4

[オブジェクト名(Object Name)] を 128 文字以内で入力します。

ステップ 5

IKEv2 プロパティを設定します。

  • [優先順位(Priority)]:IKE ポリシーの相対的優先順位(1 ~ 65,535)。このプライオリティによって、共通のセキュリティ アソシエーション(SA)の検出試行時に、ネゴシエーションする 2 つのピアを比較することで、IKE ポリシーの順序が決定します。リモート IPsec ピアが、最も高いプライオリティ ポリシーで選択されているパラメータをサポートしていない場合、次に低いプライオリティで定義されているパラメータの使用を試行します。値が小さいほど、プライオリティが高くなります。

  • [状態(State)]:IKE ポリシーが有効か無効かを示します。トグルをクリックして状態を変更します。IKE ネゴシエーション中には、有効なポリシーのみが使用されます。

  • [暗号化(Encryption)] :フェーズ 2 ネゴシエーションを保護するためのフェーズ 1 セキュリティ アソシエーション(SA)の確立に使用される暗号化アルゴリズム。有効にするすべてのアルゴリズムを選択します。ただし、同じポリシーに混合モード(AES-GCM)と通常モードのオプションを含めることはできません(通常モードでは整合性ハッシュを選択する必要がありますが、混合モードでは個別の整合性ハッシュの選択は禁止されています)。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、使用する暗号化アルゴリズムの決定を参照してください。

  • [Diffie-Hellmanグループ(Diffie-Hellman Group)] :2 つの IPsec ピア間の共有秘密キーを互いに送信することなく取得するために使用する Diffie-Hellman グループ。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。2 つのピアに、一致する係数グループが設定されている必要があります。許可するすべてのアルゴリズムを選択します。システムは、最も強いグループから始めて最も弱いグループに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、使用する Diffie-Hellman 係数グループの決定を参照してください。

  • [整合性ハッシュ(Integrity Hash)] :メッセージの整合性の確保に使用されるメッセージ ダイジェストを作成するためのハッシュ アルゴリズムの整合性部分。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。整合性ハッシュは、AES-GCM 暗号化オプションでは使用されません。オプションの説明については、VPN で使用される暗号化アルゴリズムとハッシュアルゴリズムを参照してください。

  • [擬似ランダム関数(PRF)ハッシュ(Pseudo-Random Function(PRF)Hash)] :ハッシュアルゴリズムの疑似ランダム関数(PRF)部分。このアルゴリズムは IKEv2 トンネル暗号化に必要なキー関連情報とハッシュ操作を取得するために使用されます。IKEv1 では、整合性と PRF アルゴリズムは別ですが、IKEv2 では、これらの要素に異なるアルゴリズムを指定できます。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、VPN で使用される暗号化アルゴリズムとハッシュアルゴリズムを参照してください。

  • [ライフタイム(Lifetime)]:セキュリティ アソシエーション(SA)のライフタイム(120 ~ 2147483647 までの秒数、または空白)。このライフタイムを超えると、SA の期限が切れ、2 つのピア間で再ネゴシエーションを行う必要があります。一般的に、一定の限度に達するまで、ライフタイムが短いほど、IKE ネゴシエーションがセキュアになります。ただし、ライフタイムが長いと、今後の IPsec セキュリティ アソシエーションのセットアップが、短いライフタイムの場合よりも迅速に行われます。デフォルトは 86400 です。無期限のライフタイムを指定するには、値を入力しません(フィールドを空白のままにします)。

ステップ 6

[Add] をクリックします。

RA VPN オブジェクト

FDM-Managed デバイスのアイデンティティソースの設定

Microsoft AD レルムや RADIUS サーバーなどのアイデンティティソースは、組織内のユーザーのユーザーアカウントを定義する AAA サーバーおよびデータベースです。この情報は、IP アドレスに関連付けられているユーザー ID の提供や、Security Cloud Control へのリモートアクセス VPN 接続またはアクセスを認証するなど、さまざまな方法で利用できます。

Objects をクリックしたあと をクリックし、[> RA VPNオブジェクト(ASA&FTD)(> RA VPN Objects(ASA & FTD))] > [IDソース(Identity Source)]を選択してソースを作成します。アイデンティティ ソースを必要とするサービスを設定するときに、次のオブジェクトを使用します。適切なフィルタを適用して既存のソースを検索し、それらを管理できます。

Active Directory レルム

Active Directory は、ユーザーアカウントおよび認証情報を提供します。AD レルムを含む設定を FDM-managed デバイスに展開すると、Security Cloud Control は AD サーバーからユーザーとグループを取得します。

このソースは、以下の目的で使用できます。

  • リモートアクセス VPN(プライマリ アイデンティティ ソースとして)。AD は RADIUS サーバーと組み合わせて使用可能。

  • アイデンティティポリシー(アクティブ認証用、およびパッシブ認証で使用されるユーザー アイデンティティ ソースとして)。

  • ユーザーのアクティブ認証に向けたアイデンティティルール。

ユーザーアイデンティティを使用してアクセスコントロールルールを作成可能。詳細は、「アイデンティティポリシーの導入方法」を参照してください。

Security Cloud Control は、24 時間ごとに最新のユーザーグループのリストを要求します。1 つのルールに最大 50 のユーザーまたはグループを追加できるため、通常は、グループを選択する方が個々のユーザーを選択するより有意義です。たとえば、エンジニアリング グループに開発ネットワークへのアクセスを許可するルールを作成し、それに続くルールとして、そのネットワークへの他のすべてのアクセスを拒否するルールを作成できます。その後、ルールを新しいエンジニアに適用するには、エンジニアをディレクトリ サーバーのエンジニアリング グループに追加するだけです。

Security Cloud Control の Active Directory レルム

AD アイデンティティ オブジェクトを作成するときに、AD レルムを構成します。アイデンティティ ソース オブジェクト ウィザードは、AD サーバーへの接続方法と、AD サーバーがネットワーク内のどこに配置されているかを判断するために役立ちます。


(注)  

Security Cloud Control で AD レルムを作成すると、アフィリエイト アイデンティティ ソース オブジェクトを作成するとき、およびそれらのオブジェクトをアイデンティティルールに追加するときに、Security Cloud Control は AD パスワードを記憶します。

FDM の Active Directory レルム

Security Cloud Control オブジェクトウィザードから、FDM で作成された AD レルムオブジェクトを指定できます。Security Cloud Control は、FDM で作成された AD レルムオブジェクトの AD パスワードを読み取らないことに注意してください。Security Cloud Control に正しい AD パスワードを手動で入力する必要があります。

Firewall Device Manager で AD レルムを設定するには、デバイスが実行しているバージョンの『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager』で、「Reusable Objects」の章の「Configuring AD Identity Realms」を参照してください。

サポートされるディレクトリ サーバー

Windows サーバー 2008 および 2012 で AD を使用できます。

サーバーの設定に関して次の点に注意してください。

  • ユーザー グループまたはグループ内のユーザーに対してユーザー制御を実行する場合、ディレクトリ サーバーでユーザー グループを設定する必要があります。サーバーが基本的なオブジェクト階層でユーザーを整理している場合、システムはユーザーグループ制御を実行できません。

  • ディレクトリサーバーは、次の表に示すフィールド名を使用して、システムがそのフィールドのサーバーからユーザーメタデータを取得できるようにする必要があります。

メタデータ(Metadata)

Active Directory フィールド
LDAP ユーザ名 samaccountname
名(First name) givename
Last Name sn
電子メール アドレス

mail

userprincipalname(mail に値が設定されていない場合)
department

department

distinguishedname(department に値が設定されていない場合)
電話番号 telephonenumber
ディレクトリ ベースの DN の決定

ディレクトリの各プロパティを設定する際、ユーザおよびグループに共通のベース識別名(DN)を指定する必要があります。ベースはディレクトリサーバー内で定義され、ネットワークごとに異なります。アイデンティティ ポリシーが正しく機能するには、適切なベースを入力する必要があります。ベースが誤っていると、ユーザー名またはグループ名が特定されず、アイデンティティに基づくポリシーが機能しなくなります。


(注)  

正しいベースを取得するには、ディレクトリ サーバーを担当する管理者に確認してください。

Active Directory の場合、ドメイン管理者として AD サーバにログインし、コマンド プロンプトで dsquery のコマンドを次のように使用することで、正しいベースを判別できます。

ユーザ検索ベース

dsquery user コマンドを入力し、ベース識別名を調べたい既知のユーザー名(一部または全体)を指定します。たとえば、次のコマンドでは、「John*」という部分名を使用して、「John」から始まるすべてのユーザーの情報を返します。

C:\Users\Administrator>dsquery user -name "John*"

"CN=John Doe,CN=Users,DC=csc-lab,DC=example,DC=com"

ベース DN は「DC=csc-lab,DC=example,DC=com」となります。

グループ検索ベース

既知のグループ名を使用して、dsquery group コマンドを入力し、ベース DN を判断します。たとえば次のコマンドでは、グループ名「Employees」を使用して識別名を返します。

C:\>dsquery group -name "Employees"

"CN=Employees,CN=Users,DC=csc-lab,DC=example,DC=com"

グループのベース DN は、「DC=csc-lab,DC=example,DC=com」となります。

ADSI Edit プログラムを使用して、AD 構造を参照することもできます([スタート] > [ファイル名を指定して実行] > [adsiedit.msc])。ADSI Edit で、組織単位(OU)、グループ、ユーザーなど任意のオブジェクトを右クリックし、[プロパティ(Properties)] を選択すると、識別名が表示されます。DC 値の文字列をベースとしてコピーできます。

ベースが正しいことを確認するには、次のように操作します。

手順

ステップ 1

ディレクトリ プロパティの [テスト接続(Test Connection)] ボタンをクリックし、接続を確認します。問題を解決し、ディレクトリ プロパティを保存します。

ステップ 2

変更をデバイスに適用します。

ステップ 3

アクセス ルールを作成して、[ユーザー(Users)] タブを選択し、ディレクトリから既知のユーザーおよびグループ名の追加を試みます。ディレクトリを含むレルム内の一致ユーザー名およびグループ名を入力すると、入力中にオートコンプリートによる候補が表示されます。これらの候補がドロップダウン リストに表示された場合、システムがディレクトリを正常にクエリーできたことが分かります。候補が表示されず、入力した文字列は確実にユーザー名またはグループ名に含まれることが既知である場合には、対応する検索ベースを修正する必要があります。

次のタスク

詳細は「Firepower Threat Defense Active Directory レルムオブジェクトの作成と編集」を参照してください。

RADIUS サーバおよびグループ

RADIUS サーバーを使用して、管理ユーザーを認証および認可できます。

RADIUS サーバーを使用するように機能を設定する場合は、個別のサーバーではなく RADIUS グループを選択します。RADIUS グループは、相互にコピーである RADIUS サーバーの集合です。グループに複数のサーバーがある場合は、それらは、1 つのサーバーが使用できなくなった場合に冗長性を提供する一連のバックアップ サーバーを形成します。ただし、サーバーが 1 つしかない場合でも、機能の RADIUS サポートを設定するには、メンバーが 1 つのグループを作成する必要があります。

このソースは、以下の目的で使用できます。

  • 認証、および許可、アカウンティングのアイデンティティソースとしてのリモートアクセス VPN。AD は RADIUS サーバーと組み合わせて使用できます。

  • アイデンティティ ポリシー(リモート アクセス VPN ログインからユーザー アイデンティティを収集するためのパッシブ アイデンティティ ソースとして)。

詳細については、「Firepower Threat Defense RADIUS サーバーオブジェクトまたはグループの作成と編集」を参照してください。

アクティブ ディレクトリ レルム オブジェクトの作成または編集
Active Directory レルムオブジェクトについて

AD レルムオブジェクトなどの ID ソースオブジェクトを作成または編集すると、Security Cloud Control は SDC を介して FDM-managed デバイスに設定要求を送信します。次に FDM-managed デバイスは、設定された AD レルムと通信します。

Security Cloud Control は、Firewall Device Manager コンソールを介して設定された AD レルムのディレクトリパスワードを読み取らないことに注意してください。元々 Firewall Device Manager で作成された AD レルムオブジェクトを使用する場合は、ディレクトリパスワードを手動で入力する必要があります。

FTD アクティブ ディレクトリ レルム オブジェクトの作成

次の手順を使用して、オブジェクトを作成します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

をクリックしてから、[RA VPNオブジェクト(ASAおよびFTD)(RA VPN Objects (ASA & FTD))] > [アイデンティティソース(Identity Source)]をクリックします。

ステップ 4

オブジェクトの [オブジェクト名(Object Name)] を入力します。

ステップ 5

[デバイスタイプ(Device Type)] として [FTD] を選択します。

ステップ 6

ウィザードの最初の部分で、[IDソースタイプ(Identity Source Type)]として [Active Directoryレルム(Active Directory Realm)] を選択します。[続行(Continue)] をクリックします。

ステップ 7

基本レルムのプロパティを設定します。

  • [ディレクトリユーザー名(Directory Username)]、[ディレクトリパスワード(Directory Password)]:取得するユーザー情報に対して適切な権限を持つユーザーの識別用ユーザー名とパスワード。AD では、昇格されたユーザー特権は必要ありません。ドメイン内の任意のユーザーを指定できます。ユーザー名は Administrator@example.com などの完全修飾名である必要があります(Administrator だけでなく)。

    (注)  

     

    この情報から ldap-login-dn と ldap-login-password が生成されます。たとえば、Administrator@example.com は cn=administrator,cn=users,dc=example,dc=com に変換されます。cn=users は常にこの変換の一部であるため、ここで指定するユーザーは、共通名の「users」フォルダの下で設定する必要があります。

  • [ベース識別名(Base Distinguished Name)]:ユーザーおよびグループ情報、つまり、ユーザーとグループの共通の親を検索またはクエリするためのディレクトリツリー。例、cn=users,dc=example,dc=com。

  • [ADプライマリドメイン(AD Primary Domain)]:デバイスが参加する必要がある完全修飾 AD ドメイン名。例、example.com。

ステップ 8

ディレクトリ サーバのプロパティを設定します。

  • [ホスト名またはIPアドレス(Hostname/IP Address)]:ディレクトリサーバーのホスト名または IP アドレス。サーバに対して暗号化された接続を使用する場合、IP アドレスではなく、完全修飾ドメイン名を入力する必要があります。

  • [ポート(Port)]:サーバーとの通信に使用するポート番号。デフォルトは 389 です。暗号化方式として LDAPS を選択する場合は、ポート 636 を使用します。

  • [暗号化(Encryption)]:ユーザーおよびグループの情報のダウンロードに暗号化された接続を使用するには、希望の方法([STARTTLS] または [LDAPS])を選択します。 デフォルトでは [なし(None)] になっており、ユーザおよびグループの情報がクリア テキストでダウンロードされます。

    • [STARTTLS] では、暗号化方式をネゴシエートし、ディレクトリサーバーでサポートされる最も強力な方式を使用します。ポート 389 を使用します。このオプションは、リモート アクセス VPN にレルムを使用する場合はサポートされません。

    • [LDAPS] では、LDAP over SSL が必要です。ポート 636 を使用します。

  • [信頼できるCA証明書(Trusted CA Certificate)]:暗号化方式を選択する場合、認証局(CA)の証明書をアップロードして、システムとディレクトリサーバーの間で信頼できる接続を有効化します。認証に証明書を使用する場合、証明書のサーバー名は、サーバーの [ホスト名/IPアドレス(Hostname/IP Address)] と一致する必要があります。たとえば、IP アドレスとして 10.10.10.250 を使用しているのに、証明書で ad.example.com を使用すると接続が失敗します。

ステップ 9

(オプション)[テスト(Test)] ボタンを使用して、構成を検証します。

ステップ 10

(オプション)[別の構成を追加(Add another configuration)] をクリックして、複数の AD サーバーを AD レルムに追加します。AD サーバーは互いの複製である必要があり、同じ AD ドメインをサポートする必要があります。したがって、ディレクトリ名、ディレクトリパスワード、ベース識別名などの基本的なレルムプロパティは、その AD レルムに関連付けられたすべての AD サーバーで同じである必要があります。

ステップ 11

[追加(Add)] をクリックします。

ステップ 12

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

FTD アクティブ ディレクトリ レルム オブジェクトの編集

アイデンティティ ソース オブジェクトの編集時にアイデンティティ ソース タイプを変更できないことに注意してください。正しいタイプの新しいオブジェクトを作成する必要があります。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

オブジェクトフィルタと検索フィールドを使用して、編集するオブジェクトを見つけます。

ステップ 4

編集するオブジェクトを選択します。

ステップ 5

詳細パネルの [アクション(Actions)] ペインにある編集アイコン をクリックします。

ステップ 6

ダイアログボックスの値を、上記の手順で作成したときと同じ方法で編集します。下に表示される設定バーを展開し、ホスト名/IP アドレスや暗号化情報を編集またはテストします。

ステップ 7

[保存(Save)] をクリックします。

ステップ 8

Security Cloud Control は、変更の影響を受けるポリシーを表示します。[確認(Confirm)] をクリックして、オブジェクトとその影響を受けるポリシーへの変更を確定します。

ステップ 9

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

RADIUS サーバーオブジェクトまたはグループの作成または編集
RADIUS サーバーオブジェクトまたはグループについて

RADIUS サーバーオブジェクトや RADIUS サーバーオブジェクトのグループなどの ID ソースオブジェクトを作成または編集すると、Security Cloud Control は SDC を介して設定要求を FDM-managed デバイスに送信します。次に FDM-managed デバイスは、設定された AD レルムと通信します。

RADIUS サーバーオブジェクトの作成

RADIUS サーバーは、AAA(認証、認可、アカウンティング)サービスを提供します。

次の手順を使用して、オブジェクトを作成します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

をクリックしてから、[RA VPNオブジェクト(ASAおよびFTD)(RA VPN Objects (ASA & FTD))] > [アイデンティティソース(Identity Source)]をクリックします。

ステップ 4

オブジェクトの [オブジェクト名(Object name)] を入力します。

ステップ 5

[デバイスタイプ(Device Type)] として [FTD] を選択します。

ステップ 6

[アイデンティティソース(Identity Source)] タイプとして [RADIUSサーバー(RADIUS Server)] を選択します。[続行(Continue)] をクリックします。

ステップ 7

次のプロパティを使用して ID ソース設定を編集します。

  • [サーバー名または IP アドレス(Server Name or IP Address)]:サーバーの完全修飾ホスト名(FQDN)または IP アドレス。

  • [認証ポート(Authentication Port)](オプション):RADIUS 認証および承認が行われるポートです。デフォルトは 1812 です。

  • [タイムアウト(Timeout)]:次のサーバーに要求を送信する前にサーバーからの応答を待機する時間の長さ(1 ~ 300 秒)。デフォルトは 10 秒です。

  • [サーバー秘密キー(Server Secret Key)] の入力(オプション):Firepower Threat Defense デバイスと RADIUS サーバー間でデータを暗号化するために使用される共有秘密。キーは、大文字と小文字が区別される最大 64 文字の英数字文字列です。スペースは使用できません。キーは、英数字または下線で開始する必要があります。特殊文字 $ & - _ . + @ を使用できます。文字列は、RADIUS サーバーで設定された文字列と一致している必要があります。秘密キーを設定していない場合、接続は暗号化されません。

ステップ 8

ネットワークで Cisco Identity Services Engine(ISE)をすでに設定してて、リモートアクセス VPN の認可変更設定のためにサーバーを使用している場合は、[RA VPNのみ(RA VPN Only)] リンクをクリックし、次の項目を設定します。

  • [ACLのリダイレクト(Redirect ACL)]:RA VPN リダイレクト ACL を使用する拡張アクセス制御リスト(ACL)を選択します。拡張 ACL がない場合は、FDM-managed デバイスコンソールの Smart CLI テンプレートから必要な拡張 ACL オブジェクトを作成する必要があります。デバイスが実行しているバージョンについては、『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager』の「Advanced Configuration」の章の「Configuring Smart CLI Objects」セクションを参照してください。リダイレクト ACL の目的は、クライアントポスチャを評価するために、初期トラフィックを ISE に送信することです。ACL は、ISE に HTTPS トラフィックを送信しますが、ISE 宛てのトラフィックや、名前解決のために DNS サーバーに送信されるトラフィックは送信しません。デバイスが実行しているバージョンについては、『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager』の「Virtual Private Networks (VPN)」の章の「Configure Change of Authorization」セクションを参照してください。

  • [診断インターフェース(Diagnostic Interface)]:このオプションを有効にすると、システムは常に「診断」インターフェースを使用してサーバーと通信できるようになります。このオプションを無効のままにすると、Security Cloud Control はデフォルトでルーティングテーブルを使用して、使用するインターフェイスを決定します。

ステップ 9

[追加(Add)] をクリックします。

ステップ 10

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

RADIUS サーバーグループの作成

RADIUS サーバーグループには、1 つまたは複数の RADIUS サーバーオブジェクトが含まれています。グループ内のサーバーは、相互にコピーされる必要があります。グループ内のサーバーでバックアップサーバーのチェーンが形成されるため、最初のサーバーが利用できなった場合、システムはリスト上の次のサーバーを試すことができます。

次の手順を使用して、オブジェクトグループを作成します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

をクリックしてから、[FTD] > [アイデンティティソース(Identity Source)]をクリックします。

ステップ 4

オブジェクトの [オブジェクト名(Object name)] を入力します。

ステップ 5

[デバイスタイプ(Device Type)] として [FTD] を選択します。

ステップ 6

[IDソースタイプ(Identity Source Type)] として [RADIUSサーバーグループ(RADIUS Server Group)] を選択します。[続行(Continue)] をクリックします。

ステップ 7

次のプロパティを使用して ID ソース設定を編集します。

  • [デッドタイム(Dead Time)]:失敗したサーバーは、すべてのサーバーが失敗した後にのみ再アクティブ化されます。デッドタイムは、最後のサーバーが失敗した後にすべてのサーバーを再アクティブ化するまで待機する時間の長さです。

  • [最大失敗試行回数(Maximum Failed Attempts)]:次のサーバーを試行する前に、グループ内の RADIUS サーバーに送信されて失敗した要求の数(応答がなかった要求の数)。最大失敗試行回数を超えると、システムはそのサーバーを故障としてマークします。特定の機能について、ローカルデータベースを使用するフォールバック方式を設定していて、グループ内のすべてのサーバーが応答に失敗した場合、そのグループは非応答と見なされ、フォールバック方式が試行されます。サーバー グループはデッド タイムの間、非応答とマークされたままになるため、その期間内に追加の AAA 要求でサーバー グループへの接続は試行されず、フォールバック方式がすぐに使用されます。

  • (任意)[ダイナミック認証/ポート(Dynamic Authorization/Port)]:RADIUS サーバーグループ向けの RADIUS ダイナミック認証または認可変更(CoA)サービスを有効にすると、そのグループは CoA 通知用に登録され、Cisco Identity Services Engine(ISE)からの CoA ポリシー更新を指定したポートでリッスンします。このサーバー グループを ISE と併せてリモート アクセス VPN で使用する場合にのみ動的認可をイネーブルにします。

ステップ 8

ドロップダウンメニューから、RADIUS サーバーをサポートする AD レルムを選択します。AD レルムをまだ作成していない場合は、ドロップダウンメニューの [作成(Create)] をクリックします。

ステップ 9

[追加(Add)] ボタン をクリックして、既存の RADIUS サーバーオブジェクトを追加します。必要に応じて、このウィンドウから新しい RADIUS サーバーオブジェクトを作成できます。

(注)  

 

リストの最初のサーバーは応答しなくなるまで使用されるため、作成したサーバーオブジェクトを優先して追加します。その後、FDM-managed デバイスはデフォルトでリスト内の次のサーバーに設定されます。

ステップ 10

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

RADIUS サーバーオブジェクトまたはグループの編集

RADIUS サーバーオブジェクトまたは RADIUS サーバーグループを編集するには、次の手順を使用します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

オブジェクトフィルタと検索フィールドを使用して、編集するオブジェクトを見つけます。

ステップ 4

編集するオブジェクトを選択します。

ステップ 5

詳細パネルの [アクション(Actions)] ペインにある編集アイコン をクリックします。

ステップ 6

前述の手順で作成したのと同じ方法で、ダイアログボックスの値を編集します。ホスト名/IP アドレスまたは暗号化情報を編集またはテストするには、設定バーを展開します。

ステップ 7

[保存(Save)] をクリックします。

ステップ 8

Security Cloud Control は、変更の影響を受けるポリシーを表示します。[確認(Confirm)] をクリックして、オブジェクトとその影響を受けるポリシーへの変更を確定します。

ステップ 9

行った変更を今すぐレビューして展開するか、待機してから複数の変更を同時に展開します。

セキュリティ ゾーン オブジェクト

セキュリティ ゾーンとはインターフェイスのグループ分けです。ゾーンは、トラフィックの管理と分類に役立つようにネットワークをセグメントに分割します。複数のゾーンを定義できますが、所与のインターフェイスは単一のゾーンの中にのみ存在できます。

Firepower システムでは、初期設定中に次のゾーンが作成され、Security Cloud Control のオブジェクトページに表示されます。ゾーンを編集してインターフェイスを追加または削除したり、使用しなくなったゾーンを削除したりできます。

  • inside_zone:内部インターフェイスが含まれます。このゾーンは、内部ネットワークを表します。

  • outside_zone:外部インターフェイスが含まれます。このゾーンは、インターネットなどの制御不可能な外部ネットワークを表すことを目的としています。

通常、ネットワーク内で果たす役割によって、インターフェイスをグループ化します。たとえば、インターフェイスに接続するインターフェイスを outside_zone セキュリティゾーンに配置し、内部ネットワークに接続するすべてのインターフェイスを inside_zone セキュリティゾーンに配置できます。次に、外部ゾーンから来て内部ゾーンへ向かうトラフィックにアクセス コントロール ルールを適用できます。

ゾーンを作成する前に、ネットワークに適用するアクセス ルールや他のポリシーを検討してください。たとえば、すべての内部インターフェイスを同じゾーンに配置する必要はありません。4 つの内部ネットワークがあり、1 つだけ他の 3 つとは異なる処理をしたい場合、1 つではなく 2 つのゾーンを作成できます。パブリック Web サーバーへの外部アクセスを許可するインターフェイスがある場合、そのインターフェイスに別のゾーンを使用できます。

Firepower セキュリティ ゾーン オブジェクトの作成または編集

セキュリティ ゾーンとはインターフェイスのグループ分けです。ゾーンは、トラフィックの管理と分類に役立つようにネットワークをセグメントに分割します。複数のゾーンを定義できますが、所与のインターフェイスは単一のゾーンの中にのみ存在できます。

セキュリティ ゾーン オブジェクトは、デバイスのルールで使用されない限り、そのデバイスに関連付けられません。

セキュリティ ゾーン オブジェクトの作成

セキュリティ ゾーン オブジェクトを作成するには、以下の手順に従ってください。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

> [FTD] > [セキュリティゾーン(Security Zone)] をクリックしてオブジェクトを作成します。

ステップ 4

オブジェクトに名前を付け、任意で説明を入力します。

ステップ 5

セキュリティゾーンに含めるインターフェイスを選択します。

ステップ 6

[追加(Add)] をクリックします。

セキュリティ ゾーン オブジェクトの編集

FDM-managed デバイスをオンボーディングすると、少なくとも 2 つのセキュリティゾーンがすでに存在することがわかります。1 つは inside_zone で、もう 1 つは outside_zone です。これらのゾーンは編集または削除できます。セキュリティ ゾーン オブジェクトを編集するには、次の手順に従います。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

編集するオブジェクトを見つけます。

  • オブジェクトの名前がわかっている場合は、[オブジェクト(Objects)] ページで検索できます。

    • リストをセキュリティゾーンでフィルタリングします。

    • オブジェクトの名前を検索フィールドに入力します。

    • オブジェクトを選択します。

  • オブジェクトがデバイスに関連付けられていることがわかっている場合は、[セキュリティデバイス(Security Devices)] ページから検索を開始できます。

    • 左側のペインで Security Devices をクリックします。

    • [デバイス] タブをクリックします。

    • 適切なタブをクリックします。

    • デバイスフィルタ検索バーを使用して、デバイスを見つけます。

    • デバイスを選択します。

    • 右側の [管理(Management)] ペインで、 [オブジェクト(Objects)] をクリックします。

    • オブジェクトフィルタ と検索バーを使用して、探しているオブジェクトを見つけます。

(注)  

 

作成したセキュリティ ゾーン オブジェクトがデバイスのポリシーに含まれるルールに関連付けられていない場合、そのオブジェクトは「関連付けられていない」と見なされ、デバイスの検索結果に表示されません。

ステップ 4

オブジェクトを選択します。

ステップ 5

右側の [操作(Actions)] ウィンドウで [編集(Edit)] アイコン をクリックします。

ステップ 6

オブジェクトの属性を編集した後、[保存(Save)] をクリックします。

ステップ 7

[保存(Save)] をクリックすると、加えた変更が他のデバイスにどのように影響するかを説明するメッセージが表示されます。[確認(Confirm)] をクリックして変更を保存するか、[キャンセル(Cancel)] をクリックして変更を取り消します。

サービス オブジェクト

Firepower サービスオブジェクト

FTD サービスオブジェクト、サービスグループ、およびポートグループは、IP プロトコルスイートの一部が考慮されたプロトコルまたはポートを含む再利用可能なコンポーネントです。

FTD サービスグループは、サービスオブジェクトのコレクションです。1 つのサービスグループには、1 つ以上のプロトコルのオブジェクトを含めることができます。その後、トラフィックの一致基準を定義するためのセキュリティポリシーでオブジェクトを使用して、たとえばアクセス ルールを使用して特定の TCP ポートへのトラフィックを許可できます。システムには、一般的なサービス向けの複数の事前定義されたオブジェクトが含まれています。これらのオブジェクトはポリシーで使用できます。ただし、システムで定義されたオブジェクトは編集または削除ができません。

Firepower Device Manager および Firepower Management Center では、サービスオブジェクトをポートオブジェクトとして、およびサービスグループとポートグループとして参照します。

詳細については、「Firepower Threat Defense サービスオブジェクトの作成と編集」を参照してください。

プロトコルオブジェクト

プロトコルオブジェクトは、使用頻度の低いプロトコルやレガシープロトコルを含むサービスオブジェクトの一種です。プロトコルオブジェクトは、名前とプロトコル番号によって識別されます。Security Cloud Control は、ASA および Firepower(FDM-managed デバイス)設定でこれらのオブジェクトを認識し、これらに独自のフィルタ「プロトコル」を適用します。そのため、これらのオブジェクトを簡単に見つけることができます。

詳細については、「Firepower Threat Defense サービスオブジェクトの作成と編集」を参照してください。

ICMP オブジェクト

Internet Control Message Protocol(ICMP)オブジェクトは、ICMP および IPv6-ICMP メッセージ専用のサービスオブジェクトです。Security Cloud Control は、ASA および Firepower がオンボードされたときにデバイスの設定でこれらのオブジェクトを認識し、これらに Security Cloud Control が独自のフィルタ「ICMP」を適用します。そのため、これらのオブジェクトを簡単に見つけることができます。

Security Cloud Control を使用して、ASA 設定から ICMP オブジェクトの名前を変更したり、ICMP オブジェクトを削除したりできます。Security Cloud Control を使用して、Firepower 設定の ICMP および ICMPv6 オブジェクトを作成、更新、および削除できます。


(注)  

ICMPv6 プロトコルの場合、AWS は特定の引数の選択をサポートしていません。すべての ICMPv6 メッセージを許可するルールのみがサポートされます。

詳細については、「Firepower Threat Defense サービスオブジェクトの作成と編集」を参照してください。

Firepower サービスオブジェクトの作成および編集

Firepower サービスオブジェクトを作成するには、次の手順を実行します。

Firewall Device ManagerFDM-managed)サービスオブジェクトは、TCP/IP プロトコルとポートを指定する再利用可能なコンポーネントです。Firewall Device ManagerOn-Premises Firewall Management Center および Cloud-Delivered Firewall Management Center では、これらのオブジェクトを「ポートオブジェクト」と呼びます。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

> [FTD] > [サービス(Service)] をクリックします。

ステップ 4

オブジェクト名と説明を入力します。

ステップ 5

[サービスオブジェクトの作成(Create a service object)] を選択します。

ステップ 6

[サービスタイプ(Service Type)] ボタンをクリックし、オブジェクトを作成するプロトコルを選択します。

ステップ 7

次の手順に従い、プロトコルを設定します。

  • TCPUDP

    • [eq] を選択し、ポート番号またはプロトコル名を入力します。たとえば、ポート番号として 80 を入力したり、プロトコル名として HTTP を入力したりできます。

    • [範囲(range)] を選択して、ポート番号の範囲を入力することもできます(例、1 65535 (すべてのポートをカバーする場合))。

  • ICMPIPv6-ICMP:ICMP タイプを選択します。タイプをすべての ICMP メッセージに適用するには、[任意(Any)] を選択します。タイプとコードについての詳細は、次のページを参照してください。

  • [その他(Other)]:目的のプロトコルを選択します。

ステップ 8

[追加(Add)] をクリックします。

ステップ 9

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Firepower サービスグループの作成

サービスグループは、1 つ以上のプロトコルを表す 1 つ以上のサービスオブジェクトで構成できます。サービスオブジェクトは、グループに追加する前に作成する必要があります。Firepower Device Manager および Firepower Management Center では、それらのオブジェクトを「ポートオブジェクト」と呼びます。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

> [FTD] > [サービス(Service)] をクリックします。

ステップ 4

オブジェクト名と説明を入力します。

ステップ 5

[サービスグループの作成(Create a service group)] を選択します。

ステップ 6

[オブジェクトの追加(Add Object)] をクリックして、オブジェクトをグループに追加します。

  • 上記の「Firepower サービスオブジェクトの作成」で行ったように、[作成(Create)] をクリックして新しいオブジェクトを作成します。

  • [選択(Choose)] をクリックして、既存のサービスオブジェクトをグループに追加します。この手順を繰り返してさらにオブジェクトを追加します。

ステップ 7

サービスグループへのサービスオブジェクトの追加が完了したら、[追加(Add)] をクリックします。

ステップ 8

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Firepower サービスオブジェクトまたはサービスグループの編集
手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

オブジェクトをフィルタリングして編集するオブジェクトを見つけ、オブジェクトテーブルでオブジェクトを選択します。

ステップ 4

[アクション(Actions)] ペインで、[編集(Edit)] をクリックします。

ステップ 5

前述の手順で作成したのと同じ方法で、ダイアログボックスの値を編集します。

ステップ 6

[保存(Save)] をクリックします。

ステップ 7

Security Cloud Control は、変更の影響を受けるポリシーを表示します。[確認(Confirm)] をクリックして、オブジェクトとその影響を受けるポリシーへの変更を確定します。

ステップ 8

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

セキュリティ グループ タグ グループ

セキュリティグループタグ
セキュリティグループタグについて

Cisco TrustSec ネットワークでトラフィックを分類するために Cisco Identity Services Engine(ISE)を使用してセキュリティグループタグ(SGT)を定義して使用する場合は、一致基準として SGT を使用するアクセス制御ルールを作成できます。これにより、IP アドレスではなく、セキュリティ グループ メンバーシップに基づいてアクセスをブロックまたは許可することができます。

ISE で SGT を作成し、各タグにホストまたはネットワークの IP アドレスを割り当てることができます。ユーザー アカウントに SGT を割り当てた場合、SGT はユーザーのトラフィックに割り当てられます。ISE サーバーに接続するように FDM-managed デバイスを構成して SGT を作成した後、Security Cloud Control で SGT グループを作成し、それらに関するアクセス制御ルールを構築できます。SGT を FDM-managed デバイスに関連付ける前に、ISE の SGT 交換プロトコル(SXP)マッピングを構成する必要があることに注意してください。詳細は、現在実行しているバージョンの『Cisco Identity Services Engine 管理者ガイド』の「セキュリティグループタグ交換プロトコル」を参照してください。

FDM-managed デバイスは、アクセス制御ルールのトラフィック一致基準として SGT を評価するときに、次の優先順位を使用します。

  1. パケット内で定義されている送信元 SGT (存在する場合)。宛先の照合は、この手法では行われません。SGT がパケットに含まれるようにするには、ネットワーク内のスイッチとルータがそれらを追加するように設定されている必要があります。このメソッドの実装方法については、ISE のマニュアルを参照してください。

  2. ISE セッション ディレクトリからダウンロードされるユーザー セッションに割り当てられた SGT。この種の SGT 照合では、セッションディレクトリ情報をリッスンするオプションを有効にする必要がありますが、このオプションは最初に ISE アイデンティティソースを作成するときにデフォルトでオンになっています。SGT は、送信元または宛先と照合することができます。必須ではありませんが、通常は ISE アイデンティティソースを AD レルムとともに使用してパッシブ認証アイデンティティルールを設定し、ユーザ ID 情報を収集します。

  3. SXP を使用してダウンロードされた SGT-to-IP アドレス マッピング。IP アドレスが SGT の範囲内にある場合、トラフィックは SGT を使用するアクセス制御ルールと一致します。SGT は、送信元または宛先と照合することができます。


    (注)  

    ISE から取得した情報をアクセス制御ルールで直接使用することはできません。代わりに、ダウンロードした SGT 情報を参照する SGT グループを作成する必要があります。SGT グループは複数の SGT を参照できます。そのため、必要に応じて、関連するタグのコレクションに基づいてポリシーを適用できます。
バージョン サポート

Security Cloud Control は現在、バージョン 6.5 以降を実行している FDM-managed デバイスで SGT および SGT グループをサポートしています。FDM-managed デバイスでは、バージョン 6.5 以降で ISE サーバーを構成して接続できますが、バージョン 6.7 までは UI からの SGT 構成をサポートしていません。

FDM-managed UI から、これは、バージョン 6.5 以降を実行している FDM-managed デバイスは SGT の SXP マッピングをダウンロードできますが、オブジェクトまたはアクセス制御ルールに手動で追加できないことを意味します。バージョン 6.5 またはバージョン 6.6 を実行しているデバイスの SGT に変更を加えるには、ISE UI を使用する必要があります。ただし、バージョン 6.5 を実行しているデバイスが Security Cloud Control にオンボーディングされている場合は、デバイスに関連付けられている現在の SGT を表示し、SGT グループを作成できます。

Security Cloud Control の SGT
セキュリティグループタグ

SGT は、Security Cloud Control では読み取り専用です。Security Cloud Control で SGT を作成または編集することはできません。SGT を作成するには、現在実行しているバージョンの『Cisco Identity Services Engine 管理者ガイド』を参照してください。https://www.cisco.com/c/en/us/support/security/identity-services-engine/products-installation-guides-list.html

SGT グループ

(注)  

FDM-managed デバイスでは、SGT のグループを SGT 動的オブジェクトと呼びます。Security Cloud Control では、これらのタグのリストは現在 SGT グループと呼ばれています。FDM-managed デバイスまたは ISE UI を参照せずに、Security Cloud Control で SGT グループを作成できます。

SGT グループを使用して、ISE によって割り当てられた SGT に基づいて送信元または宛先アドレスを識別します。その後、トラフィックの一致基準を定義するためにアクセス制御ルールでオブジェクトを使用できます。ISE から取得した情報をアクセス制御ルールで直接使用することはできません。代わりに、ダウンロードした SGT 情報を参照する SGT グループを作成する必要があります。

SGT グループは複数の SGT を参照できます。そのため、必要に応じて、関連するタグのコレクションに基づいてポリシーを適用できます。

Security Cloud Control で SGT グループを作成するには、少なくとも 1 つの構成済み SGT と、使用するデバイスの FDM-managed コンソール用に構成された ISE サーバーからの SGT マッピングが必要です。複数の FDM-managed デバイスが同じ ISE サーバーに関連付けられている場合、SGT または SGT グループを複数のデバイスに適用できます。デバイスが ISE サーバに関連付けられていない場合、アクセスコントロールルールに SGT オブジェクトを含めたり、そのデバイス構成に SGT グループを適用したりすることはできません。

ルール内の SGT グループ

SGT グループをアクセスコントロールルールに追加できます。それらは、送信元または宛先のネットワークオブジェクトとして表示されます。ネットワークがルールでどのように機能するかの詳細は、「FDM アクセスコントロールルールの送信元および宛先の条件」を参照してください。

[オブジェクト(Objects)] ページから SGT グループを作成できます。詳細については、「SGT グループの作成」を参照してください。

SGT グループの作成

アクセス制御ルールに使用できる SGT グループを作成するには、次の手順を実行します。

始める前に

セキュリティグループタグ(SGT)グループを作成する前に、次の構成または環境を設定しておく必要があります。

  • FDM-managed デバイスは、少なくともバージョン 6.5 を実行している必要があります。

  • SXP マッピングをサブスクライブして変更を展開するように ISE アイデンティティソースを設定する必要があります。SXP マッピングを管理するには、使用しているバージョン(バージョン 6.7 以降)用の Firepower Device Manager 設定ガイドの「ISE でのセキュリティグループと SXP パブリッシングの設定」を参照してください。

  • すべての SGT は ISE で作成する必要があります。SGT を作成するには、現在実行しているバージョンの『Cisco Identity Services Engine Configuration Guide』を参照してください。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

> [FTD] > [ネットワーク(Network)] をクリックします。

ステップ 4

[オブジェクト名(Object Name)] を入力します。

ステップ 5

(任意)説明を追加します。

ステップ 6

[SGT] をクリックし、ドロップダウンメニューを使用して、グループに含めるすべての SGT のチェックボックスをオンにします。SGT 名順にリストをソートできます。

ステップ 7

[保存(Save)] をクリックします。

(注)  

 

Security Cloud Control で SGT を作成したり編集したりすることはできません。SGT グループへの追加やグループからの削除のみを実行できます。SGT を作成または編集するには、現在実行しているバージョンの『Cisco Identity Services Engine Configuration Guide』を参照してください。

SGT グループの編集

SGT グループを編集するには、次の手順を使用します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

オブジェクトフィルタと検索フィールドを使用して、編集する SGT グループを見つけます。

ステップ 4

SGT グループを選択し、[操作(Actions)] ウィンドウで編集アイコン をクリックします。

ステップ 5

SGT グループを変更します。グループに関連付けられた名前、説明、または SGT を編集します。

ステップ 6

[保存(Save)] をクリックします。

(注)  

 

Security Cloud Control で SGT を作成したり編集したりすることはできません。SGT グループへの追加やグループからの削除のみを実行できます。SGT を作成または編集するには、現在実行しているバージョンの『Cisco Identity Services Engine Configuration Guide』を参照してください。

SGT グループのアクセスコントロールルールへの追加

SGT グループをアクセス制御ルールに追加するには、次の手順を実行します。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、SGT グループを追加するデバイスを選択します。

ステップ 4

[管理(Management)] ペインで、 [ポリシー(Policy)] を選択します。

ステップ 5

接続元オブジェクトまたは接続先オブジェクトの青いプラスボタン をクリックし、[SGTグループ(SGT Groups)] を選択します。

ステップ 6

オブジェクトフィルタと検索フィールドを使用して、編集する SGT グループを見つけます。

ステップ 7

[保存(Save)] をクリックします。

ステップ 8

すべてのデバイスの設定変更をプレビューして展開します

(注)  

 

追加の SGT グループを作成する必要がある場合は、[Create New Object] をクリックします。FTD SGT グループの作成」に記載されている必須情報を入力し、SGT グループをルールに追加します。

Syslog サーバーオブジェクト

FDM-managed デバイスではイベントを保存するための容量が制限されています。イベントのストレージを最大化するために、外部サーバーを構成できます。システムログ(syslog)サーバーのオブジェクトはコネクション型メッセージまたは診断 syslog メッセージを受信できるサーバーを指定します。syslog サーバーにログ収集と分析のための設定がある場合は、Security Cloud Control を使用してオブジェクトを作成してそれらを定義し、関連ポリシーでこのオブジェクトを使用します。

Syslog サーバーオブジェクトの作成および編集

新しい syslog サーバーオブジェクトを作成するには、次の手順を実行します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

新しいオブジェクトを作成するには、[オブジェクトの作成(Create Object)] ボタン をクリックします。

ステップ 4

FDM-managed デバイスオブジェクトタイプの下で [Syslog サーバ(Syslog Server)] を選択します。

ステップ 5

syslog サーバーオブジェクトのプロパティを設定します。

  • [IPアドレス(IP Address)]:syslog サーバーの IP アドレスを入力します。

  • [プロトコルタイプ(Protocol Type)]:syslog サーバーがメッセージの受信に使用するプロトコルを選択します。[TCP] を選択すると、システムは syslog サーバーが利用できない場合を認識して、サーバーが再度利用可能になるまでイベントの送信を停止できます。

  • [ポート番号(Port Number)]:syslog に使用する有効なポート番号を入力します。syslog サーバーがデフォルトのポートを使用している場合は、デフォルトの UDP ポートとして 514 を入力するか、デフォルトの TCP ポートとして 1470 を入力します。サーバーがデフォルトのポートを使用していない場合は、正しいポート番号を入力します。1025 ~ 65535 の範囲のポートを使用してください。

  • [インターフェイスの選択(Select an interface)]:診断 syslog メッセージの送信に使用するインターフェイスを選択します。接続および侵入イベントでは常に管理インターフェイスを使用します。インターフェイスの選択によって、syslog メッセージに関連付けられる IP アドレスが決まります。以下にリストされているオプションで選択できるのは 1 つだけです。両方を選択することはできません。次のオプションのいずれかを選択します。

    • [データインターフェイス(Data Interface)]:選択したデータ インターフェイスを診断 syslog メッセージに使用します。生成されたリストからインターフェイスを選択します。サーバーがブリッジグループのメンバーインターフェイスを介してアクセスできる場合、ブリッジ グループ インターフェイス(BVI)を選択します。診断インターフェイス(物理的な管理インターフェイス)経由でアクセスできる場合は、このオプションではなく [管理インターフェイス(Management Interface)] を選択することを推奨します。パッシブ インターフェイスを選択することはできません。データ インターフェイスで通信する場合、接続および侵入の syslog メッセージでは、送信元 IP アドレスが管理インターフェイスかゲートウェイ インターフェイスで使用されます。

    • [管理インターフェイス(Management Interface)]:すべてのタイプの syslog メッセージに仮想管理インターフェイスを使用します。データ インターフェイスで通信する場合、送信元 IP アドレスが管理インターフェイスかゲートウェイ インターフェイスで使用されます。

ステップ 6

[追加(Add)] をクリックします。

ステップ 7

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Syslog サーバーオブジェクトの編集

既存の syslog サーバーオブジェクトを編集するには、次の手順を実行します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

対象の syslog サーバーオブジェクトを見つけて選択します。オブジェクトリストは、syslog サーバーオブジェクトタイプでフィルタリング できます。

ステップ 4

[アクション(Actions)] ペインで、[編集(Edit)] をクリックします。

ステップ 5

必要な編集を行って、[保存(Save)] をクリックします。

ステップ 6

行った変更を確認します。

ステップ 7

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Secure Logging Analytics(SaaS)の Syslog サーバーオブジェクトの作成

イベントを送信する Secure Event Connector(SEC)の IP アドレス、TCP ポート、または UDP ポートを使用して、syslog サーバーオブジェクトを作成します。テナントにオンボーディングした SEC ごとに 1 つの syslog オブジェクトを作成しますが、1 つのルールから 1 つの SEC を表す 1 つの syslog オブジェクトのみにイベントを送信します。

前提条件

このタスクは、より大きなワークフローの一部です。開始する前に「FDM-Managed デバイスに安全なロギング分析(SaaS)を導入する」を参照してください。

手順
手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

新しいオブジェクトを作成するには、[オブジェクトの作成(Create Object)] ボタン をクリックします。

ステップ 4

FDM-managed デバイスオブジェクトタイプの下で [Syslogサーバー(Syslog Server)] を選択します。

ステップ 5

syslog サーバーオブジェクトのプロパティを設定します。SEC のこれらのプロパティを見つけるには、左側のナビゲーションペインで、[ツールとサービス(Tools & Services)] > [セキュアコネクタ(Secure Connectors)]を選択します。次に、syslog オブジェクトを設定する Secure Event Connector を選択し、右側の [詳細(Details)] ペインを調べます。

  • [IP アドレス(IP Address)]:SEC の IP アドレスを入力します。

  • [プロトコルタイプ(Protocol Type)]:TCP または UDP を選択します。

  • [ポート番号(Port Number)]:TCP を選択した場合はポート 10125、UDP を選択した場合は 10025 を入力します。

  • [インターフェイスの選択(Select an interface)]:SEC に到達するように設定されたインターフェイスを選択します。

(注)  

 

FDM-managed デバイスは IP アドレスごとに 1 つの syslog オブジェクトをサポートするため、TCP と UDP のどちらを使用するかを選択する必要があります。

ステップ 6

[追加(Add)] をクリックします。

次のタスク

セキュアロギング分析(SaaS)を導入し、Secure Event Connector を介して Cisco Cloud にイベントを送信するための既存の Security Cloud Control カスタマーワークフローのステップ 3 に進みます。

Security Cloud Control のセキュリティポリシーの管理

セキュリティポリシーは、目的の宛先へのトラフィックを許可するか、セキュリティ脅威が特定された場合にトラフィックをドロップすることを最終的な目標として、ネットワークトラフィックを検査します。Security Cloud Control を使用して、さまざまな種類のデバイスでセキュリティポリシーを設定できます。

FDM ポリシー設定

セキュリティポリシーは、目的の宛先へのトラフィックを許可するか、セキュリティ脅威が特定された場合にトラフィックをドロップすることを最終的な目標として、ネットワークトラフィックを検査します。Security Cloud Control を使用して、FDM-managed デバイスのセキュリティポリシーのすべてのコンポーネントを管理します。

FDM-Managed アクセス コントロール ポリシー

Security Cloud Control を使用して、FDM-managed デバイスのアクセス コントロール ポリシーを管理できます。アクセス コントロール ポリシーは、アクセスコントロールルールに照らしてネットワークトラフィックを評価することで、ネットワークリソースへのアクセスを制御します。FDM-managed デバイスは、アクセスコントロールルールの条件を、アクセス コントロール ポリシーに表示される順序で、ネットワークトラフィックと比較します。アクセスコントロールルールのすべてのトラフィック条件が次の場合の動作を以下に示します。

  • [信頼(Trust)]:どのような種類のインスペクションも行わずにトラフィックを許可します。

  • [許可(Allow)]:ポリシーで侵入およびその他のインスペクション設定の対象となるトラフィックを許可します。

  • ブロック(Block):トラフィックを無条件でドロップします。トラフィックのインスペクションは実行されません。

アクセス コントロール ポリシーのどのルールもネットワークトラフィックと一致しない場合、FDM-managed デバイスはアクセスコントロールルールの下にリストされているデフォルトのアクションを実行します。

FDM-Managed アクセス コントロール ポリシーの読み込み

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、ポリシーを読み込むデバイスを選択します。

ステップ 4

右側の [管理(Management)] ペインで、 [ポリシー(Policy)] を選択します。

ステップ 5

ポリシー全体が表示されるようにするには、[フィルタ処理(Filter)] パネルで [すべて表示(Show All)] をクリックします。

ステップ 6

ルール列の表示を切り替えて、列の数を増やしたり減らしたりしてルールを表示します。FDM-managed デバイスでのアクセス制御ルールの確認に慣れている場合は、ルール列の表示を切り替えて、より多くの列を表示します。

ポリシー内のルールを読み取る方法の例を次に示します。すべてのトラフィックは、最初にルール 1 に照らし合わせて一致しているかどうか評価されます。トラフィックがルール 1 に一致する場合、そのルールのアクションがトラフィックに適用されます。内部ゾーンに位置するアフリカまたはオーストラリアで HTTP または HTTPS ポートから開始されたトラフィックが、外部ゾーンに位置するオーランド諸島またはアルバニアの任意のポートを経由して ABC または About.com に到達する場合に、送信元から宛先へのフローが許可されています。また、侵入ポリシーとファイルポリシーがルールに適用され、ルールから発生したイベントがログに記録されていることもわかります。

FDM アクセス コントロール ポリシーの設定

FDM-managed デバイスには単一のポリシーがあります。そのポリシーの一セクションにアクセス制御ルールがあります。議論を容易にするために、アクセス制御ルールを持つポリシーのセクションをアクセス コントロール ポリシーと呼びます。FDM-managed デバイスを導入準備した後、アクセス コントロール ポリシーにルールを追加するか、ルールを編集します。

新しい FDM-managed デバイスをオンボーディングしている場合、インポートされたポリシーにルールがない可能性があります。その場合、FDM ポリシーページを開くと、「結果が見つかりませんでした」というメッセージが表示されます。このメッセージが表示された場合は、FDM 管理対象デバイスポリシーへのルールの追加を開始し、Security Cloud Control からデバイスにそれらのルールを展開できます。

始める前のヒント

条件をアクセス コントロール ルールに追加する場合は、次のヒントを参考にしてください。

  • 条件をルールに追加するときに、一部の条件のカスタムオブジェクトを作成できます。カスタムオブジェクトを作成するためのリンクをダイアログボックスで探します。

  • 1 つのルールにつき複数の条件を設定できます。ルールがトラフィックに適用されるには、トラフィックがそのルールのすべての条件に一致する必要があります。たとえば、特定のホストまたはネットワークの URL フィルタリングを行う単一のルールを使用できます。

  • ルールの条件ごとに、最大 50 の条件を追加できます。条件の基準のいずれかに一致するトラフィックはその条件を満たします。たとえば、最大 50 のアプリケーションまたはアプリケーション フィルタにアプリケーション制御を適用する単一のルールを使用できます。したがって、単一の条件では項目間に OR 関係がありますが、条件タイプ間(たとえば、送信元/宛先とアプリケーション間)には AND 関係があります。

  • 一部の機能では、適切な Firepower ライセンスを有効にする必要があります。

  • 一部の編集タスクでは、編集モードに入る必要がない場合もあります。ポリシーページでは、条件列内の [+] ボタンをクリックしてルールの条件を変更し、ポップアップ ダイアログボックスで希望するオブジェクトまたは要素を選択できます。オブジェクトまたは要素の [x] をクリックすると、そのオブジェクトまたは要素が削除されます。

FDM-Managed アクセス コントロール ポリシーの作成または編集

次の手順を使用して、Security Cloud Control を使用して FDM-managed アクセス コントロール ポリシーを編集します。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、ポリシーを編集するアクセス制御を選択します。

ステップ 4

右側の [管理(Management)] ペインで、 [ポリシー(Policy)] を選択します。

ステップ 5

次のいずれかを実行します。

  • 新しいルールを作成するには、青色のプラスボタン をクリックします。

  • 既存のルールを編集するには、ルールを選択し、[アクション(Actions)] ペインの編集アイコン をクリックします。(単純な編集は、編集モードに移行せずにインラインで実行することも可能です。)

  • 不要になったルールを削除するには、ルールを選択し、操作ウィンドウで削除アイコン をクリックします。

  • ポリシー内でルールを移動させるには、アクセス コントロール テーブルでルールを選択し、ルールの行の最後にある上下の矢印をクリックしてルールを移動します。

ルールを編集または追加する場合は、引き続き残りの手順を実行します。

ステップ 6

[順序(Order)] フィールドで、ポリシー内のルールの位置を選択します。ネットワークトラフィックは、ルールのリストに照らして 1 から最後の番号までの順に評価されます。

ルールは最初に一致したものから順に適用されるため、限定的なトラフィック一致基準を持つルールは、同じトラフィックに適用され、汎用的な基準を持つルールよりも上に置く必要があります。

デフォルトでは、ルールはリストの最後に追加されます。ルールの順序を後で変更する場合、このオプションを編集します。

ステップ 7

ルール名を入力します。英数字、スペース、および次の特殊文字を使用できます: + . _ -

ステップ 8

ネットワークトラフィックがルールに一致する場合に適用するアクションを選択します。

  • [信頼(Trust)]:どのような種類のインスペクションも行わずにトラフィックを許可します。

  • [許可(Allow)]:ポリシーで侵入およびその他のインスペクション設定の対象となるトラフィックを許可します。

  • [Block]:トラフィックを無条件でドロップします。トラフィックのインスペクションは実行されません。

ステップ 9

次のタブ内の属性を任意に組み合わせて、トラフィック一致基準を定義します。

  • [送信元(Source)]:[送信元(Source)] タブをクリックして、ネットワークトラフィックが発信されるセキュリティゾーン(インターフェイス)、ネットワーク(ネットワーク、大陸、カスタム地理位置情報を含む)ポートを追加または削除します。デフォルト値は、 [任意(Any)] です。

  • [接続先(Destination)]:[接続先(Destination)] タブをクリックして、ネットワークトラフィックが到着するセキュリティゾーン(インターフェイス)、ネットワーク(ネットワーク、大陸、カスタム地理位置情報を含む)、ポートを追加または削除します。デフォルト値は、 [任意(Any)] です。「FDM アクセス制御ルールの送信元および宛先の条件」を参照してください。

  • [アプリケーション(Application)]:[アプリケーション(Application)] タブをクリックして、Web アプリケーション、またはタイプ、カテゴリ、タグ、リスク、ビジネスとの関連性ごとにアプリケーションを定義するフィルタを追加または削除します。デフォルトはすべてのアプリケーションです。「FDM アクセス制御ルールの適用基準」を参照してください。

  • [URL]:[URL] タブをクリックして、Web リクエストの URL や URL カテゴリを追加または削除します。デフォルトはすべての URL です。URL カテゴリとレピュテーションフィルタを使用してこの条件を微調整する方法については、「FDM アクセス制御ルールの URL 条件」を参照してください。

  • [ユーザー(Users) ]:Active Directory レルムオブジェクト、特別なアイデンティティ(失敗した認証、ゲスト、非認証、不明)や Firewall Device Manager からルールに追加されたユーザーグループは、ルール行には表示されますが、Security Cloud Control ではまだ編集できません。

    注意    

     

    個々のユーザーオブジェクトは、Security Cloud Control のアクセス コントロール ポリシー ルールにはまだ表示されません。FDM-managed にログインして、個々のユーザーオブジェクトがアクセス コントロール ポリシー ルールに及ぼす影響を確認します。

ステップ 10

(任意、許可アクションのあるルールの場合) 侵入やエクスプロイトについてトラフィックを検査するには、[侵入ポリシー(Intrusion Policy)] タブをクリックして、侵入検査ポリシーを割り当てます。FDM アクセス制御ルールの侵入ポリシーの設定」を参照してください。

  1. 侵入ポリシールールによって生成された侵入イベントをログに記録するには、デバイスの「ロギング設定の設定」を参照してください。

ステップ 11

(任意、許可アクションのあるルールの場合)[ファイル ポリシー(File Policy)] タブをクリックして、マルウェアを含むファイルやブロックする必要があるファイルのトラフィックを検査するファイルポリシーを割り当てます。FDM アクセス制御ルールのファイルポリシーの設定」を参照してください。

  1. ファイルポリシールールによって生成されたファイルイベントをログに記録するには、デバイスの「ロギングの設定の設定」を参照してください。

ステップ 12

(任意)[ロギング(Logging)] タブをクリックしてロギングを有効にし、アクセス制御ルールによって報告された接続イベントを収集します。

ロギング設定の詳細については、「FDM アクセス制御ルールのロギング設定」を参照してください。

Cisco Security Analytics and Logging に登録する場合、SEC の IP アドレスとポートを使用して syslog オブジェクトを設定することで、Security Cloud Control で接続イベントを設定して Secure Event Connector に送信できます。この機能の詳細については、「Cisco Security Analytics and Logging」を参照してください。テナントにオンボーディングした SEC ごとに 1 つの syslog オブジェクトを作成しますが、1 つのルールによって生成されたイベントのみを 1 つの SEC を表す 1 つの syslog オブジェクトに送信します。

ステップ 13

[保存(Save)] をクリックします。セキュリティポリシーの特定ルールの設定が完了しました。

ステップ 14

セキュリティポリシー全体のデフォルトアクションを設定できます。デフォルトアクションでは、ネットワークトラフィックがアクセスコントロールポリシー、侵入ポリシー、ファイル/マルウェアポリシーのどのルールにも適合しない場合の処理を定義します。

ステップ 15

ポリシーのデフォルトアクションをクリックします。

ステップ 16

上記のステップ 9 で行ったように侵入ポリシーを設定します。

ステップ 17

デフォルトアクションによって生成される接続イベントのロギングを設定します。

Cisco Security Analytics and Logging のサブスクリプションがある場合、SEC の IP アドレスとポートを使用して syslog オブジェクトを設定することで、デフォルトアクションによって生成されたイベントを Secure Event Connector(SEC)に送信できます。この機能の詳細については、「Cisco Security Analytics and Logging」を参照してください。テナントにオンボーディングした SEC ごとに 1 つの syslog オブジェクトを作成しますが、ルールによって生成されたイベントのみを 1 つの SEC を表す 1 つの syslog オブジェクトに送信します。

ステップ 18

(オプション)自分で作成したルールの場合、ルールを選択して、[コメントを追加(Add Comments)] フィールドでコメントを追加できます。ルールコメントに関する詳細については、「FTD ポリシーとルールセットのルールにコメントを追加する」を参照してください。

ステップ 19

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

アクセスポリシーの設定

ポリシー内の特定のルールではなく、アクセスポリシーを対象にした設定を行うことができます。

手順

次の設定は、ポリシー内の特定のルールではなく、アクセスポリシー全体を対象としています。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、ポリシーを編集するアクセス制御を選択します。

ステップ 4

右側の [管理(Management)] ペインで、 [ポリシー(Policy)] を選択します。

ステップ 5

[設定(Settings)] アイコンをクリックして、次の設定を行います。

  • [TLSサーバーアイデンティティ検出]:TLS 1.3 証明書は暗号化されます。TLS 1.3 で暗号化されたトラフィックで、アプリケーションまたは URL フィルタリングを使用するアクセスルールに対応するには、システムが TLS 1.3 証明書を復号する必要があります。暗号化された接続が適切なアクセス制御ルールに適合していることを確認するために、このオプションを有効にすることを推奨します。この設定では、証明書のみが復号されます。接続は暗号化されたままになります。TLS 1.3 証明書を復号するには、このオプションを有効にするだけで十分です。対応する SSL 復号ルールを作成する必要はありません。ソフトウェアバージョン 6.7 以降を実行している FDM-managed デバイスで使用できます。

  • [DNSトラフィックへのレピュテーション適用]:URL フィルタリングカテゴリとレピュテーションルールを DNS ルックアップ要求に適用するには、このオプションを有効にします。ルックアップ要求の完全修飾ドメイン名(FQDN)にブロックしているカテゴリやレピュテーションがある場合、システムは DNS 応答をブロックします。ユーザーは DNS 解決を受信しないため、ユーザーは接続を完了できません。非 Web トラフィックに URL カテゴリおよびレピュテーション フィルタリングを適用するには、このオプションを使用します。詳細については、「DNS 要求のフィルタリング」を参照してください。ソフトウェアバージョン 7.0 以降を実行している FDM-managed デバイスで使用できます。

ステップ 6

[Save] をクリックします。

TLS サーバーアイデンティティ検出について

通常、TLS 1.3 証明書は暗号化されます。TLS 1.3 で暗号化されたトラフィックで、アプリケーションまたは URL フィルタリングを使用するアクセスルールに対応するには、システムが TLS 1.3 証明書を復号する必要があります。暗号化された接続が適切なアクセス制御ルールに適合していることを確認するために、早期アプリケーション検出と URL 分類を有効にすることを推奨します。この設定では、証明書のみが復号されます。接続は暗号化されたままになります。


(注)  

この機能は現在のところ、ソフトウェアバージョン 6.7 以降を実行している FDM-managed デバイスで使用できます。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、ポリシーを編集するアクセス制御を選択します。

ステップ 4

右側の [管理(Management)] ペインで、 [ポリシー(Policy)] を選択します。

ステップ 5

設定ボタン をクリックします。

ステップ 6

[TLSサーバーアイデンティティ検出(TLS Server Identity Discovery)] の横にあるスライダをクリックして、暗号化された接続の早期アプリケーション検出と URL 分類を有効にします。

ステップ 7

[Save] をクリックします。

FDM-Managed アクセスコントロールルールのコピー

アクセスコントロールルールをコピーするにはこの手順に従い、現在の位置からコピーして同じポリシー内の新しい位置に貼り付けるか、別の FDM-managed デバイスのポリシーに貼り付けます。ルールはポリシー内の他のルールの前または後に貼り付けることができるため、ポリシー内における適切な順序でネットワークトラフィックを評価します。

デバイス内のルールのコピー

FDM-managed デバイス内でルールをコピーするには、次の手順を実行します。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、ポリシーを編集する FDM-managed デバイスを選択します。

ステップ 4

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 5

コピーする 1 つ以上のアクセス制御ルールを選択し、右側の [アクション(Actions)] ペインで [コピー(Copy)] をクリックします。

ステップ 6

ルールの貼り付け先のポリシーで、コピーしたルールを貼り付ける位置の上または下にあるルールを選択し、[アクション(Actions)] ペインで次のオプションのいずれかをクリックします。

  • [前に貼り付け(Paste Before)]:選択したルールの上に 1 つ以上のルールを自動的に貼り付けます。これにより、コピーされたルールは、選択したルールの前に配置されます。

  • [後に貼り付け(Paste After)]:選択したルールの下に 1 つ以上のルールを自動的に貼り付けます。これにより、コピーされたルールは、選択したルールの後に配置されます。

貼り付け操作は、必要な位置に複数回実行できます。

(注)  

 

ルールを FDM-managed デバイス内に貼り付けるときに、同じ名前のルールが存在する場合、「-Copy」が元の名前に追加されます。この変更名も存在する場合は、元の名前に「- Copy n」が追加されます。たとえば、「rule name - Copy 2」になります。

ステップ 7

変更内容を確認し、「Security Cloud Control から FTD への設定変更の展開」をすぐに実行するか、複数の変更を後で一度に展開します。

任意の FDM-Managed デバイスポリシーから別の FDM-Managed デバイスポリシーへのルールのコピー

任意の FDM-managed デバイスポリシーから別の FDM-managed デバイスポリシーにルールをコピーすると、ルールに関連付けられているオブジェクトも新しい FDM-managed デバイスにコピーされます。

ルールを貼り付けるときに、いくつかの条件が Security Cloud Control で検証されます。詳細については、「別の FTD にルールを貼り付けるときのオブジェクトの動作」を参照してください。


重要

重要:ソフトウェアのバージョンが両方のデバイスで同じ場合にのみ、Security Cloud Control で任意の FDM-managed デバイスから別の FDM-managed デバイスにルールをコピーできます。ソフトウェアのバージョンが異なる場合、ルールを貼り付けようとすると、「このデバイスのバージョンと互換性がないため、ルールを貼り付けることができませんでした」というエラーが表示されます。[詳細(Details)] リンクをクリックすると、エラーの詳細が表示されます。

ルールを別の FDM-managed デバイスにコピーするには、次の手順を実行します。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、ルールのコピー元のデバイスを選択します。

ステップ 4

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 5

コピーする 1 つ以上のアクセス制御ルールを選択し、右側の [アクション(Actions)] ペインで [コピー(Copy)] をクリックします。

ステップ 6

Security Devices をクリックし、ルールを貼り付ける FDM-managed デバイスに移動します。

ステップ 7

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 8

コピーしたルールの貼り付け先のポリシーで、貼り付ける位置の前または後にあるルールを選択し、[アクション(Actions)] ペインで [前に貼り付け(Paste Before)] または [後に貼り付け(Paste After)] をクリックします。

ステップ 9

コピーしたルールと一緒に貼り付けるアクセス制御ルールがある場合は選択し、[アクション(Actions)] ペインで次のオプションのいずれかをクリックします。

  • [前に貼り付け(Paste Before)]:選択したルールの上に 1 つ以上のルールを自動的に貼り付けます。これにより、コピーされたルールは、選択したルールの前にネットワークトラフィックを評価します。

  • [後に貼り付け(Paste After)]:選択したルールの下に 1 つ以上のルールを自動的に貼り付けます。これにより、コピーされたルールは、選択したルールの後にネットワークトラフィックを評価します。

貼り付け操作は、必要な位置に複数回実行できます。

(注)  

 

ルールを別の FDM-managed デバイスに貼り付けるときに、同じ名前のルールが存在する場合、「-Copy」が元の名前に追加されます。この変更名も存在する場合は、元の名前に「-Copy n」が追加されます。たとえば、「rule name-Copy 2」になります。

ステップ 10

別の FDM-managed デバイスにルールをコピーすると、コピー先のデバイスの [設定ステータス(Configuration Status)] は [未同期(Not Synced)] 状態になります。変更内容を確認し、「Security Cloud Control から FTD への設定変更の展開」をすぐに実行するか、複数の変更を後で一度に展開します。

FDM-Managed アクセスコントロールルールの移動

アクセスコントロールルールを移動するにはこの機能を使用し、現在の位置から切り取って同じポリシー内の新しい位置に貼り付けるか、別の FDM-managed デバイスのポリシーに貼り付けます。ルールはポリシー内の他のルールの前または後に貼り付けることができるため、ポリシー内における適切な順序でネットワークトラフィックを評価します。

デバイス内のルールの移動

FDM-managed デバイス内でルールを移動するには、次の手順を実行します。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、ポリシーを編集する FDM-managed デバイスを選択します。

ステップ 4

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 5

移動する 1 つ以上のアクセス制御ルールを選択し、右側の [アクション(Actions)] ペインで [切り取り(Cut)] をクリックします。選択したルールが黄色で強調表示されます。:選択をキャンセルする場合は、任意のルールを選択して [コピー(Copy)] をクリックします。

ステップ 6

切り取ったルールの貼り付け先のポリシーで、貼り付ける位置の前または後にあるルールを選択し、[アクション(Actions)] ペインで次のオプションのいずれかをクリックします。

  • [前に貼り付け(Paste Before)]:選択したルールの上に 1 つ以上のルールを自動的に貼り付けます。これにより、切り取ったルールは、選択したルールの前にネットワークトラフィックを評価します。

  • [後に貼り付け(Paste After)]:選択したルールの下に 1 つ以上のルールを自動的に貼り付けます。これにより、切り取ったルールは、選択したルールの後にネットワークトラフィックを評価します。

貼り付け操作は、必要な位置に複数回実行できます。

(注)  

 

ルールを FDM-managed デバイス内に貼り付けるときに、同じ名前のルールが存在する場合、「-Copy」が元の名前に追加されます。この変更名も存在する場合は、元の名前に「- Copy n」が追加されます。たとえば、「rule name - Copy 2」になります。

ステップ 7

変更内容を確認し、「Security Cloud Control から FTD への設定変更の展開」をすぐに実行するか、複数の変更を後で一度に展開します。

任意の FDM-Managed デバイスポリシーから別の FDM-Managed デバイスポリシーへのルールの移動

任意の FDM-managed デバイスポリシーから別の FDM-managed デバイスポリシーにルールを移動すると、ルールに関連付けられているオブジェクトも新しい FDM-managed デバイスにコピーされます。

ルールを貼り付けるときに、いくつかの条件が Security Cloud Control で検証されます。これらの条件の詳細については、「別の FTD にルールを貼り付けるときのオブジェクトの動作」を参照してください。

ルールを別の FDM-managed デバイスに移動するには、次の手順を実行します。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、ルールのコピー元の FDM-managed デバイスを選択します。

ステップ 4

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 5

移動する 1 つ以上のアクセス制御ルールを選択し、右側の [アクション(Actions)] ペインで [切り取り(Cut)] をクリックします。

ステップ 6

Security Devices をクリックし、1 つ以上の選択したルールの移動先となる FDM-managed デバイスに移動します。

ステップ 7

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 8

切り取ったルールの貼り付け先のポリシーで、貼り付ける位置の前または後にあるルールを選択し、[アクション(Actions)] ペインで [前に貼り付け(Paste Before)] または [後に貼り付け(Paste After)] をクリックします。

  • [前に貼り付け(Paste Before)]:選択したルールの上に 1 つ以上のルールを自動的に貼り付けます。これにより、切り取ったルールは、選択したルールの前にネットワークトラフィックを評価します。

  • [後に貼り付け(Paste After)]:選択したルールの下に 1 つ以上のルールを自動的に貼り付けます。これにより、切り取ったルールは、選択したルールの後にネットワークトラフィックを評価します。

貼り付け操作は、必要な位置に複数回実行できます。

(注)  

 

ルールを FDM-managed デバイス内に貼り付けるときに、同じ名前のルールが存在する場合、「-Copy」が元の名前に追加されます。この変更名も存在する場合は、元の名前に「- Copy n」が追加されます。たとえば、「rule name - Copy 2」になります。

ステップ 9

FDM-managed デバイス間でルールをコピーすると、コピー元とコピー先のデバイスの [設定ステータス(Configuration Status)] は [未同期(Not Synced)] 状態になります。変更内容を確認し、「Security Cloud Control から FDM 管理対象デバイスへの設定変更の展開」をすぐに実行するか、複数の変更を後で一度に展開します。

別のデバイスにルールを貼り付けるときのオブジェクトの動作

オブジェクトが含まれるルールを切り取りまたはコピーして別の FDM-managed デバイスポリシーに貼り付けた場合、次のいずれかの条件を満たしていると、Security Cloud Control はルール内のオブジェクトを貼り付け先の FDM-managed デバイスにコピーします。

すべてのタイプのオブジェクト(セキュリティゾーンを除く)の場合

  • コピー先のデバイス内にそのオブジェクトがない場合、Security Cloud Control は最初にコピー先のデバイスにオブジェクトを作成してから、ルールを貼り付けます。

  • コピー先のデバイスには、コピー元のデバイスと同じ名前と同じ値を持つオブジェクトが存在します。

セキュリティ ゾーン オブジェクトの場合

  • コピー先のデバイスには、コピー元と同じ名前と同じインターフェイスを持つセキュリティゾーンが存在します。

  • コピー先のデバイスには同じセキュリティ ゾーン オブジェクトは存在せず、コピー先で使用するためのインターフェイスがあります。

  • コピー先のデバイスには空のセキュリティ ゾーン オブジェクトが存在し、コピー先で使用するためのインターフェイスがあります。

Active Directory(AD)レルムを含むオブジェクトの場合

  • Security Cloud Control は、同じ名前のレルムがターゲットデバイスにすでに存在する場合にのみ、Active Directory(AD)レルムオブジェクトを含むルールを貼り付けます。


重要

次の条件下では、貼り付け操作に失敗します。

  • 2 つのデバイスバージョン間で脆弱性、地理位置情報、侵入、URL データベースに違いがある場合、Security Cloud Control はルールをターゲットデバイスに貼り付けられません。新しいデバイスでルールを手動で再作成する必要があります。

  • 追加するルールに、「管理専用」タイプのインターフェースを含むセキュリティゾーンがある場合。

FDM-Managed アクセスコントロールルールの送信元および宛先の条件

アクセスルールの送信元および宛先の基準によって、トラフィックが通過するセキュリティゾーン(インターフェイス)、IP アドレスや IP アドレスの国や大陸(地理的位置)、またはトラフィックで使用されるプロトコルとポートが定義されます。デフォルトは、すべてのゾーン、アドレス、地理的位置、プロトコル、およびポートです。

アクセスコントロールルールの送信元または宛先の条件を変更する場合は、「FDM アクセス コントロール ポリシーの設定」の手順を使用してルールを編集できます。

簡単な編集は、編集モードに移行せずに実行できます。ポリシーページで、ルールを選択し、送信元または宛先条件列内で [+] ボタンをクリックし、ポップアップ ダイアログボックスで新しいオブジェクトまたは要素を選択することにより、ルールの条件を変更できます。オブジェクトまたは要素の [x] をクリックすると、そのオブジェクトまたは要素が削除されます。

次の基準を使用して、ルールに一致する送信元および宛先を特定できます。

送信元ゾーン、宛先ゾーン

トラフィックが通過するインターフェイスを定義するセキュリティ ゾーン オブジェクト。1 つの基準を定義する 、両方の基準を定義する、またはどちらの基準も定義しないことができます。指定しない基準は、すべてのインターフェイスのトラフィックに適用されます。

  • ゾーン内のインターフェイスからデバイスを離れるトラフィックを照合するには、そのゾーンを [宛先ゾーン(Destination Zones)] に追加します。

  • ゾーン内のインターフェイスからデバイスに入るトラフィックを照合するには、そのゾーンを [送信元ゾーン(Source Zones)] に追加します。

  • 送信元ゾーン条件と宛先ゾーン条件の両方をルールに追加する場合、一致するトラフィックは指定された送信元ゾーンの 1 つから発生し、宛先ゾーンの 1 つを通って出力する必要があります。

トラフィックがデバイスに出入りする場所に基づいてルールを適用する必要がある場合は、この基準を使用します。たとえば、ホスト内部に向かうすべてのトラフィックが侵入検査を受けるようにする場合は、内部ゾーンを [送信先ゾーン(Destination Zones)] として選択し、送信元ゾーンは空白のままにします。侵入フィルタリングをルールに含めるには、ルールのアクションを [許可(Allow)] にし、ルールで侵入ポリシーを選択する必要があります。


(注)  

1 つのルールにパッシブ セキュリティ ゾーンとルーテッド セキュリティ ゾーンを混在させることはできません。さらに、パッシブ セキュリティ ゾーンは送信元ゾーンとしてのみ指定でき、宛先ゾーンとして指定することはできません。
送信元ネットワーク、宛先ネットワーク

トラフィックのネットワーク アドレスまたは場所を定義する、ネットワーク オブジェクトまたは地理的位置。

  • IP アドレスまたは地理的位置からのトラフィックを照合するには、[送信元ネットワーク(Source Networks)] を設定します。

  • IP アドレスまたは地理的位置へのトラフィックを照合するには、[宛先ネットワーク(Destination Networks)] を設定します。

  • 送信元(Source)ネットワーク条件と宛先(Destination)ネットワーク条件の両方をルールに追加する場合、送信元 IP アドレスから発信されかつ宛先 IP アドレスに送信されるトラフィックの照合を行う必要があります。

この条件を追加する場合、次のタブから選択します。

  • [ネットワーク(Network)]:制御するトラフィックの送信元または宛先 IP アドレスを定義するネットワーク オブジェクトまたはグループを選択します。完全修飾ドメイン名(FQDN)を使用してアドレスを定義するオブジェクトを使用できます。このアドレスは DNS ルックアップによって判別されます。

  • [地理位置情報(Geolocation)]:位置情報機能を選択して、その送信元または宛先の国や大陸に基づいてトラフィックを制御できます。大陸を選択すると、大陸内のすべての国が選択されます。ルール内で地理的位置を直接選択する以外に、作成した地理位置オブジェクトを選択して、場所を定義することもできます。地理的位置を使用すると、特定の国で使用されているすべての潜在的な IP アドレスを知る必要なく、その国へのアクセスを簡単に制限できます。


(注)  

最新の地理的位置データを使用してトラフィックをフィルタ処理できるように、地理位置情報データベース(GeoDB)を定期的に更新することを強くお勧めします。
送信元ポート、宛先ポート/プロトコル

トラフィックで使用されるプロトコルを定義するポート オブジェクト。TCP/UDP では、これにポートを含めることができます。ICMP では、コードとタイプを含めることができます。

  • プロトコルまたはポートからのトラフィックを照合するには、[送信元ポート(Source Ports)] を設定します。送信元ポートを使用できるのは、TCP/UDP のみです。

  • プロトコルまたはポートへのトラフィックを照合するには、[宛先ポート/プロトコル(Destination Ports/Protocols)] を設定します。宛先ポートだけを条件に追加する場合は、異なるトランスポート プロトコルを使用するポートを追加できます。ICMP およびその他の非 TCP/UDP 仕様は、宛先ポートでのみ許可されます。送信元ポートでは許可されません。

  • 特定の TCP/UDP ポートから発生し、特定の TCP/UDP ポートに向かうトラフィックを照合するには、両方設定します。送信元ポートと宛先ポートの両方を条件に追加する場合、単一のトランスポート プロトコル、TCP、または UDP を共有するポートのみを追加できます。たとえば、ポート TCP/80 からポート TCP/8080 へのトラフィックを対象にできます。

FDM-Managed アクセス制御ルールの URL 条件

アクセス制御ルールの URL 条件では、Web 要求で使用される URL または要求された URL が属するカテゴリを定義します。カテゴリが一致する場合は、許可またはブロックするためのサイトの相対レピュテーションも指定できます。デフォルトでは、すべての URL が許可されます。

URL のカテゴリおよびレピュテーションにより、アクセス コントロール ルールの URL 条件をすぐに作成できます。たとえば、すべてのゲームサイトやリスクの高いすべてのソーシャル ネットワーキング サイトをブロックできます。ユーザーがそのカテゴリとレピュテーションの組み合わせで URL を閲覧しようとすると、セッションがブロックされます。

カテゴリ データおよびレピュテーション データを使用することで、ポリシーの作成と管理も簡素化されます。この方法では、システムが Web トラフィックを期待通りに確実に制御します。最後に、脅威インテリジェンスは新しい URL だけでなく、既存の URL に対する新しいカテゴリとリスクで常に更新されるため、システムは確実に最新の情報を使用して、要求された URL をフィルタします。マルウェア、スパム、ボットネット、フィッシングなど、セキュリティに対する脅威を表す悪意のあるサイトは、組織でポリシーを更新したり新規ポリシーを展開したりするペースを上回って次々と出没する可能性があります。

アクセス制御ルールの URL や URL カテゴリ条件を変更する場合は、「FTD アクセス コントロール ポリシーの設定」の手順を使用してルールを編集できます。簡単な編集は、編集モードに移行せずに実行できます。ポリシーページで、ルールを選択してから URL 条件列内で [+] ボタンをクリックし、ポップアップ ダイアログボックスで新しいオブジェクト、要素、URL レピュテーション、または URL カテゴリを選択すると、URL 条件を変更できます。オブジェクトまたは要素の [x] をクリックすると、そのオブジェクトまたは要素が削除されます。

青いプラスアイコン をクリックし、URL オブジェクト、グループ、または URL カテゴリを選択して [保存(Save)] をクリックします。必要な URL オブジェクトが存在しない場合は、[新しいオブジェクトの作成(Create New Object)] をクリックします。URL オブジェクトの詳細については、「FDM URL オブジェクトの作成と編集」を参照してください。

URL フィルタリングのライセンス要件

URL フィルタリングを使用するには、FDM-managed デバイスで URL ライセンスを有効にする必要があります。

ルールで使用される URL カテゴリのレピュテーションの指定

デフォルトでは、URL カテゴリ内のすべての URL は、ルールに従って同じように扱われます。たとえば、ソーシャルネットワークの URL をブロックするルールがある場合、レピュテーションに関係なくすべてをブロックします。この設定を調整して、リスクの高いソーシャル ネットワークサイトのみをブロックできます。同様に、ある URL カテゴリにおいては、リスクの高いサイトを除くすべての URL を許可することができます。

アクセス制御ルールの URL カテゴリでレピュテーションフィルタを使用するには、次の手順を実行します。

手順

ステップ 1

[FTDポリシー(FTD Policy)] ページで、編集するルールを選択します。

ステップ 2

[編集(Edit)] をクリックします。

ステップ 3

[URLs] タブをクリックします。

ステップ 4

青色のプラスボタン をクリックし、URL カテゴリを選択します。

ステップ 5

[選択したカテゴリにすべてのレピュテーションを適用(Apply Reputation to Selected Categories)] または選択した URL カテゴリの [任意のレビュテーション(Any Reputation)] リンクをクリックします。

ステップ 6

[任意のレピュテーション(Any Reputation)] チェックボックスをオフにします。

ステップ 7

レピュテーションで URL をフィルタ処理します。

  • ルールにブロックアクションがある場合は、レピュテーションスライダを右にスライドすると、レピュテーションが赤でマークされているサイトのみがブロックされます。たとえば、スライダを [セキュリティリスクのあるサイト(Sites with Security Risks)] にスライドすると、ブロックルールは「セキュリティリスクのあるサイト」、「疑わしいサイト」、および「リスクの高いサイト」をブロックしますが、「よく知られたサイト」と「無害のサイト」からのトラフィックは許可します。

  • ルールに許可アクションがある場合は、レピュテーションスライダを右にスライドすると、レピュテーションが緑でマークされているサイトのみが許可されます。たとえば、スライダを [無害のサイト] にスライドすると、ルールは「既知のサイト」と「無害のサイト」からのトラフィックを許可しますが、「セキュリティリスクのあるサイト」、「疑わしいサイト」、および「リスクの高いサイト」からのトラフィックは許可しません。

ステップ 8

[保存(Save)] をクリックします。

ステップ 9

[選択(Select)] をクリックします。

ステップ 10

[保存(Save)] をクリックします。

ステップ 11

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

FDM-Managed アクセスコントロールルールの侵入ポリシーの設定

Firepower システムには複数の侵入ポリシーが付属しています。これらのポリシーは、侵入ルールとプリプロセッサ ルールの状態を設定し、詳細設定を構成する Cisco Talos Security Intelligence and Research Group によって設計されています。

侵入ポリシーのためのライセンスおよび操作の要件

  • [ライセンス(Licenses)]:侵入ポリシーをルールに追加するには、FDM-managed デバイスでライセンスを有効にする必要があります

  • ルールアクション:トラフィックのみを許可するルールに基づいて侵入ポリシーを設定できます。トラフィックを [信頼(trust)] または [ブロック(block)] するように設定されたルールではインスペクションは実行されません。さらに、アクセス コントロール ポリシーのデフォルトのアクションが [許可(allow)] の場合は、侵入ポリシーを設定できますが、ファイル ポリシーは設定できません。

アクセスコントロールルールに使用可能な侵入ポリシー

トラフィックを許可するアクセス コントロール ルールでは、次の侵入ポリシーのいずれかを選択して、トラフィックの侵入やエクスプロイトのインスペクションを実行できます。侵入ポリシーは、復号されたパケットの攻撃をパターンに基づいて調査し、悪意のあるトラフィックをブロックしたり、変更したりします。

ポリシーは、安全性の低いものから高いものへの順で表示されています。

  • [セキュリティよりも接続性を優先(Connectivity over Security)]:このポリシーは、ネットワーク インフラストラクチャのセキュリティよりも接続性(すべてのリソースにアクセスできること)が優先される組織のために作成されています。この侵入ポリシーは、Security over Connectivity ポリシー内で有効になっているルールよりもはるかに少ないルールを有効にします。トラフィックをブロックする最も重要なルールだけが有効にされます。このポリシーは、侵入からの保護を適用する必要があるが、ネットワークのセキュリティにかなり自信がある場合に選択します。

  • [バランスのとれたセキュリティと接続性(Balanced Security and Connectivity)]:このポリシーは、全体的なネットワーク パフォーマンスとネットワーク インフラストラクチャのセキュリティのバランスを取るように設計されています。このポリシーは大部分のネットワークに適しています。このポリシーは、侵入防御を適用したい大部分の状況で選択できます。

  • [接続性よりもセキュリティを優先(Security over Connectivity)]:このポリシーは、ユーザーの利便性よりもネットワーク インフラストラクチャのセキュリティが優先される組織のために作成されています。この侵入ポリシーは、正式なトラフィックに対して警告またはドロップする可能性のある膨大な数のネットワーク異常侵入ルールを有効にします。このポリシーは、セキュリティが特に重要であるか、トラフィックのリスクが高い場合に選択します。

  • [最大検出(Maximum Detection)]:このポリシーは、[接続性よりもセキュリティを優先(Security over Connectivity)] ポリシーよりもさらに、ネットワーク インフラストラクチャのセキュリティを重視する組織のために作成されています。動作への影響がさらに高くなる可能性があります。たとえば、この侵入ポリシーでは、マルウェア、エクスプロイト キット、古い脆弱性や一般的な脆弱性、および既知の流行中のエクスプロイトを含め、多数の脅威カテゴリのルールを有効にします。このポリシーを選択する場合、正当なトラフィックが過剰にドロップされていないか慎重に評価してください。

FDM-Managed アクセスコントロールルールのファイルポリシーの設定

Advanced Malware Protection for Firepower(AMP for Firepower)を使用して悪意のあるソフトウェア、つまり、マルウェアを検出するファイル ポリシーを使用します。ファイル制御を実行するファイル ポリシーを使用して、ファイルにマルウェアが含まれているかどうかに関係なく、特定のタイプのすべてのファイルを制御することもできます。

AMP for Firepower は、ネットワーク トラフィックで検出された潜在的なマルウェアの性質を取得し、ローカル マルウェア ファイル分析と事前分類の更新を取得するために AMP クラウドを使用します。AMP クラウドにアクセスし、マルウェア ルックアップを実行するため、管理インターフェイスにはインターネットへのパスが必要です。デバイスが対象ファイルを検出すると、ファイルの SHA-256 ハッシュ値を使用してファイルの性質について AMP クラウドに問い合わせます。可能な性質を次に示します。

  • マルウェア(Malware):AMP クラウドはファイルをマルウェア クラウドとして分類しました。ファイル内のいずれかのファイルがマルウェアである場合、アーカイブ ファイル(たとえば zip ファイル)はマルウェアとしてマークされます。

  • クリーン(Clean):AMP クラウドはファイルをマルウェアが含まれないクリーンな状態であると分類しました。その中のすべてのファイルがクリーンであれば、アーカイブ ファイルはクリーンであるとマークされます。

  • 不明(Unknown):AMP クラウドがまだファイルの性質を指定していません。その中のすべてのファイルが不明であれば、アーカイブ ファイルは不明であるとマークされます。

  • 利用不可(Unavailable):システムは、ファイルの性質を判断するために AMP クラウドに問い合わせできませんでした。この性質に関するイベントが、わずかながら存在する可能性があります。これは予期された動作です。複数の「利用不可」イベントが連続して発生している場合、管理アドレスのインターネット接続が正常に機能していることを確認します。

ファイルポリシーのライセンスおよび操作の要件

ライセンス :ファイルポリシーをルールに追加するには、Firepower Device Manager で次の 2 つのライセンスを有効にする必要があります。

  • ライセンス

  • マルウェアライセンス

ルールアクション:トラフィックのみを許可するルールに基づいてファイルポリシーを設定できます。トラフィックを [信頼(trust)] または [ブロック(block)] するように設定されたルールではインスペクションは実行されません。さらに、アクセス コントロール ポリシーのデフォルトのアクションが [許可(allow)] の場合は、侵入ポリシーを設定できますが、ファイル ポリシーは設定できません。

アクセスコントロールルールに使用可能なファイルポリシー

  • [なし(None)] は、送信したファイルでマルウェアの評価を行わず、特定のファイルをブロックしません。このオプションは、ファイル送信が信頼されている、またはファイル送信の可能性が低い(または不可能である)、あるいはアプリケーションを信頼している、または URL フィルタリングがネットワークを適切に保護しているルールに対して選択します。

  • [マルウェアをすべてブロック(Block Malware All)] は、AMPクラウドに問い合わせてネットワークを通過するファイルにマルウェアが含まれているかどうかを判断し、脅威を示しているファイルをブロックします。

  • [クラウドをすべてルックアップ(Cloud Lookup All)] は、AMPクラウドに問い合わせてネットワークを通過するファイルの傾向を取得して記録したうえでその伝送を許可します。

  • [オフラインドキュメントとアップロードされたPDFをブロック、その他のマルウェアをブロック(Block Office Document and PDF Upload, Block Malware Others)] は、ユーザーによる Microsoft Office のドキュメントと PDF のアップロードをブロックします。AMPクラウドに問い合わせてネットワークを通過するファイルにマルウェアが含まれているかどうかを判断し、脅威を示しているファイルをブロックします。

  • [オフラインドキュメントのアップロードをブロック、その他のマルウェアをブロック(Block Office Documents Upload, Block Malware Others)] は、ユーザーによる Microsoft Office のドキュメントのアップロードをブロックします。AMPクラウドに問い合わせてネットワークを通過するファイルにマルウェアが含まれているかどうかを判断し、脅威を示しているファイルをブロックします。

FDM-Managed アクセスコントロールルールのロギング設定

アクセス制御ルールのロギング設定

アクセス ルールのロギング設定は、接続イベントがルールに一致するトラフィックに対して発行されるかどうかを決定します。

組織のセキュリティ上およびコンプライアンス上の要件に従って接続をロギングしてください。目標が生成するイベントの数を抑えパフォーマンスを向上させることである場合は、分析のために重要な接続のロギングのみを有効にします。しかし、プロファイリングの目的でネットワーク トラフィックの広範な表示が必要な場合は、追加の接続のロギングを有効にできます。


注意    

サービス妨害(DoS)攻撃の間にブロックされた TCP 接続をロギングすると、システム パフォーマンスに影響し、複数の同様のイベントによってデータベースが過負荷になる可能性があります。ブロック ルールにロギングを有効にする前に、そのルールがインターネット側のインターフェイスまたは DoS 攻撃を受けやすい他のインターフェイスを対象としているかどうかを検討します。

手順
手順

ステップ 1

アクセス制御ルールを作成または編集し、[ロギング(Logging)] タブをクリックします。

ステップ 2

ログアクションを指定します。

  • [接続の開始時と終了時にログを記録する(Log at Beginning and End of Connection)]:接続の開始時と終了時にイベントを発行します。接続終了イベントには接続開始イベントに含まれるすべての情報と、接続中に拾うことができるすべての情報が含まれているため、許可しようとしているトラフィックではこのオプションを選択しないことをお勧めします。両方のイベントのロギングは、システム パフォーマンスに影響する可能性があります。ただし、これはブロックされているトラフィックに許可されている唯一のオプションです。

  • [接続終了時にログを記録する(Log at End of Connection)]:接続の終了時に接続ログの記録を許可する場合は、このオプションを選択します。これは許可されている、または信頼されているトラフィックに推奨されます。

  • [ロギングなし(Log None)]:ルールのロギングを無効にするには、このオプションを選択します。これがデフォルトです。

(注)  

 

アクセス制御ルールによって呼び出された侵入ポリシーが侵入を検出して侵入イベントを生成すると、システムはルールのロギング設定に関係なく、侵入が発生した接続の終了を自動的にロギングします。侵入がブロックされた接続では、接続ログ内の接続のアクションは [ブロック(Block)]、理由は [侵入ブロック(Intrusion Block)] ですが、侵入インスペクションを実行するには、許可ルールを使用する必要があります。

ステップ 3

接続イベントの送信先を指定します。

外部 syslog サーバーにイベントのコピーを送信するには、syslog サーバーを定義するサーバー オブジェクトを選択します。必要なオブジェクトがまだ存在しない場合は、作成する必要があります。詳細については、「Syslog サーバーオブジェクトの作成および編集」を参照してください。

デバイスのイベントストレージは限られているため、外部 syslog サーバーにイベントを送信すると、長期的な保存が可能になり、イベント分析が強化されます。

シスコのセキュリティ分析とロギングに登録している場合:

  • Secure Event Connector(SEC)を介して Cisco Cloud にイベントを送信する場合は、syslog サーバーとして SEC を指定します。これらのイベントは、ファイルポリシーとマルウェアポリシーの接続イベントとともに表示されます。

  • SEC を介さずに Cisco Cloud に直接イベントを送信する場合は、イベントを記録するタイミング (接続の開始時または終了時)を指定しますが、SEC を syslog サーバーとして 指定しないでください。

ステップ 4

ファイル イベント

禁止されたファイルまたはマルウェアイベントのロギングを有効にするには、[ファイルのロギング(Log Files)] のチェックボックスをオンにします。このオプションを設定するには、ルールでファイル ポリシーを選択する必要があります。ルールにファイル ポリシーを選択している場合、このオプションはデフォルトで有効になっています。このオプションを有効のままにすることを推奨します。

システムは、禁止されたファイルを検出すると、次のイベントタイプのいずれか 1 つを FDM-managed 内部バッファに自動的に記録します。

  • ファイル イベント:検出またはブロックされたファイル(マルウェア ファイルを含む)を表します。

  • マルウェア イベント:検出されたまたはブロックされたマルウェア ファイルのみを表します。

  • レトロスペクティブ マルウェア イベント:以前に検出されたファイルでのマルウェア処理が変化した場合に生成されます。

ファイルがブロックされた接続では、接続ログ内の接続のアクションは [ブロック(Block)] ですが、ファイルおよびマルウェアのインスペクションを実行するには、許可ルールを使用する必要があります。接続の原因は、[ファイルモニター(File Monitor)](ファイルタイプまたはマルウェアが検出された)、[マルウェアブロック(Malware Block)]、[ファイルブロック(File Block)](ファイルがブロックされた)のいずれかです。

ステップ 5

[保存(Save)] をクリックします。

ステップ 6

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

セキュリティグループタグ

セキュリティグループタグについて

Cisco TrustSec ネットワークでトラフィックを分類するために Cisco Identity Services Engine(ISE)を使用してセキュリティグループタグ(SGT)を定義して使用する場合は、一致基準として SGT を使用するアクセス制御ルールを作成できます。これにより、IP アドレスではなく、セキュリティ グループ メンバーシップに基づいてアクセスをブロックまたは許可することができます。

ISE で SGT を作成し、各タグにホストまたはネットワークの IP アドレスを割り当てることができます。ユーザー アカウントに SGT を割り当てた場合、SGT はユーザーのトラフィックに割り当てられます。ISE サーバーに接続するように FDM-managed デバイスを構成して SGT を作成した後、Security Cloud Control で SGT グループを作成し、それらに関するアクセス制御ルールを構築できます。SGT を FDM-managed デバイスに関連付ける前に、ISE の SGT 交換プロトコル(SXP)マッピングを構成する必要があることに注意してください。詳細は、現在実行しているバージョンの『Cisco Identity Services Engine 管理者ガイド』の「セキュリティグループタグ交換プロトコル」を参照してください。

FDM-managed デバイスは、アクセス制御ルールのトラフィック一致基準として SGT を評価するときに、次の優先順位を使用します。

  1. パケット内で定義されている送信元 SGT (存在する場合)。宛先の照合は、この手法では行われません。SGT がパケットに含まれるようにするには、ネットワーク内のスイッチとルータがそれらを追加するように設定されている必要があります。このメソッドの実装方法については、ISE のマニュアルを参照してください。

  2. ISE セッション ディレクトリからダウンロードされるユーザー セッションに割り当てられた SGT。この種の SGT 照合では、セッションディレクトリ情報をリッスンするオプションを有効にする必要がありますが、このオプションは最初に ISE アイデンティティソースを作成するときにデフォルトでオンになっています。SGT は、送信元または宛先と照合することができます。必須ではありませんが、通常は ISE アイデンティティソースを AD レルムとともに使用してパッシブ認証アイデンティティルールを設定し、ユーザ ID 情報を収集します。

  3. SXP を使用してダウンロードされた SGT-to-IP アドレス マッピング。IP アドレスが SGT の範囲内にある場合、トラフィックは SGT を使用するアクセス制御ルールと一致します。SGT は、送信元または宛先と照合することができます。


    (注)  

    ISE から取得した情報をアクセス制御ルールで直接使用することはできません。代わりに、ダウンロードした SGT 情報を参照する SGT グループを作成する必要があります。SGT グループは複数の SGT を参照できます。そのため、必要に応じて、関連するタグのコレクションに基づいてポリシーを適用できます。
バージョン サポート

Security Cloud Control は現在、バージョン 6.5 以降を実行している FDM-managed デバイスで SGT および SGT グループをサポートしています。FDM-managed デバイスでは、バージョン 6.5 以降で ISE サーバーを構成して接続できますが、バージョン 6.7 までは UI からの SGT 構成をサポートしていません。

FDM-managed UI から、これは、バージョン 6.5 以降を実行している FDM-managed デバイスは SGT の SXP マッピングをダウンロードできますが、オブジェクトまたはアクセス制御ルールに手動で追加できないことを意味します。バージョン 6.5 またはバージョン 6.6 を実行しているデバイスの SGT に変更を加えるには、ISE UI を使用する必要があります。ただし、バージョン 6.5 を実行しているデバイスが Security Cloud Control にオンボーディングされている場合は、デバイスに関連付けられている現在の SGT を表示し、SGT グループを作成できます。

Security Cloud Control の SGT
セキュリティグループタグ

SGT は、Security Cloud Control では読み取り専用です。Security Cloud Control で SGT を作成または編集することはできません。SGT を作成するには、現在実行しているバージョンの『Cisco Identity Services Engine 管理者ガイド』を参照してください。https://www.cisco.com/c/en/us/support/security/identity-services-engine/products-installation-guides-list.html

SGT グループ

(注)  

FDM-managed デバイスでは、SGT のグループを SGT 動的オブジェクトと呼びます。Security Cloud Control では、これらのタグのリストは現在 SGT グループと呼ばれています。FDM-managed デバイスまたは ISE UI を参照せずに、Security Cloud Control で SGT グループを作成できます。

SGT グループを使用して、ISE によって割り当てられた SGT に基づいて送信元または宛先アドレスを識別します。その後、トラフィックの一致基準を定義するためにアクセス制御ルールでオブジェクトを使用できます。ISE から取得した情報をアクセス制御ルールで直接使用することはできません。代わりに、ダウンロードした SGT 情報を参照する SGT グループを作成する必要があります。

SGT グループは複数の SGT を参照できます。そのため、必要に応じて、関連するタグのコレクションに基づいてポリシーを適用できます。

Security Cloud Control で SGT グループを作成するには、少なくとも 1 つの構成済み SGT と、使用するデバイスの FDM-managed コンソール用に構成された ISE サーバーからの SGT マッピングが必要です。複数の FDM-managed デバイスが同じ ISE サーバーに関連付けられている場合、SGT または SGT グループを複数のデバイスに適用できます。デバイスが ISE サーバに関連付けられていない場合、アクセスコントロールルールに SGT オブジェクトを含めたり、そのデバイス構成に SGT グループを適用したりすることはできません。

ルール内の SGT グループ

SGT グループをアクセスコントロールルールに追加できます。それらは、送信元または宛先のネットワークオブジェクトとして表示されます。ネットワークがルールでどのように機能するかの詳細は、「FDM アクセスコントロールルールの送信元および宛先の条件」を参照してください。

[オブジェクト(Objects)] ページから SGT グループを作成できます。詳細については、「SGT グループの作成」を参照してください。

SGT グループの作成

アクセス制御ルールに使用できる SGT グループを作成するには、次の手順を実行します。

始める前に

セキュリティグループタグ(SGT)グループを作成する前に、次の構成または環境を設定しておく必要があります。

  • FDM-managed デバイスは、少なくともバージョン 6.5 を実行している必要があります。

  • SXP マッピングをサブスクライブして変更を展開するように ISE アイデンティティソースを設定する必要があります。SXP マッピングを管理するには、使用しているバージョン(バージョン 6.7 以降)用の Firepower Device Manager 設定ガイドの「ISE でのセキュリティグループと SXP パブリッシングの設定」を参照してください。

  • すべての SGT は ISE で作成する必要があります。SGT を作成するには、現在実行しているバージョンの『Cisco Identity Services Engine Configuration Guide』を参照してください。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

> [FTD] > [ネットワーク(Network)] をクリックします。

ステップ 4

[オブジェクト名(Object Name)] を入力します。

ステップ 5

(任意)説明を追加します。

ステップ 6

[SGT] をクリックし、ドロップダウンメニューを使用して、グループに含めるすべての SGT のチェックボックスをオンにします。SGT 名順にリストをソートできます。

ステップ 7

[保存(Save)] をクリックします。

(注)  

 

Security Cloud Control で SGT を作成したり編集したりすることはできません。SGT グループへの追加やグループからの削除のみを実行できます。SGT を作成または編集するには、現在実行しているバージョンの『Cisco Identity Services Engine Configuration Guide』を参照してください。

SGT グループの編集

SGT グループを編集するには、次の手順を使用します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Objects をクリックします。

ステップ 3

オブジェクトフィルタと検索フィールドを使用して、編集する SGT グループを見つけます。

ステップ 4

SGT グループを選択し、[操作(Actions)] ウィンドウで編集アイコン をクリックします。

ステップ 5

SGT グループを変更します。グループに関連付けられた名前、説明、または SGT を編集します。

ステップ 6

[保存(Save)] をクリックします。

(注)  

 

Security Cloud Control で SGT を作成したり編集したりすることはできません。SGT グループへの追加やグループからの削除のみを実行できます。SGT を作成または編集するには、現在実行しているバージョンの『Cisco Identity Services Engine Configuration Guide』を参照してください。

SGT グループのアクセスコントロールルールへの追加

SGT グループをアクセス制御ルールに追加するには、次の手順を実行します。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、SGT グループを追加するデバイスを選択します。

ステップ 4

[管理(Management)] ペインで、 [ポリシー(Policy)] を選択します。

ステップ 5

接続元オブジェクトまたは接続先オブジェクトの青いプラスボタン をクリックし、[SGTグループ(SGT Groups)] を選択します。

ステップ 6

オブジェクトフィルタと検索フィールドを使用して、編集する SGT グループを見つけます。

ステップ 7

[保存(Save)] をクリックします。

ステップ 8

すべてのデバイスの設定変更をプレビューして展開します

(注)  

 

追加の SGT グループを作成する必要がある場合は、[Create New Object] をクリックします。FTD SGT グループの作成」に記載されている必須情報を入力し、SGT グループをルールに追加します。

FDM-Managed アクセス制御ルールの適用基準

アクセス ルールのアプリケーション基準では、IP 接続で使用されるアプリケーション、あるいは、タイプ、カテゴリ、タグ、リスク、またはビジネスとの関連性によってアプリケーションを定義するフィルタが規定されます。デフォルトはすべてのアプリケーションです。

ルールで個別のアプリケーションを指定できますが、アプリケーション フィルタを使用すれば、ポリシーの作成と管理が簡単になります。たとえば、リスクが高く、ビジネスとの関連性が低いアプリケーションをすべて認識してブロックするアクセス コントロール ルールを作成できます。ユーザがそれらのアプリケーションの 1 つを使用しようとすると、セッションがブロックされます。

また、シスコは、システムおよび脆弱性データベース(VDB)の更新を通じて頻繁にアプリケーション ディテクタを更新し追加します。そのため、ルールを手動で更新せずに、高リスク アプリケーションをブロックするルールを新しいアプリケーションに自動的に適用できます。

アプリケーションとフィルタをルールで直接指定することも、これらの特性を定義するアプリケーション フィルタ オブジェクトを作成することもできます。指示は同じですが、複雑なルールを作成する場合、オブジェクトを使用した方が 基準当たり 50 項目のシステム上限範囲を超えにくくなります。アプリケーション フィルタ オブジェクトの作成の詳細については、「Firepower アプリケーション フィルタ オブジェクトの作成と編集」を参照してください。

ルールで使用されるアプリケーションやアプリケーションフィルタを変更する場合、「FDM アクセス コントロール ポリシーの設定」の手順を使用してルールを編集できます。簡単な編集は、編集モードに移行せずに実行できます。ポリシーページでルールのアプリケーション条件を変更するには、ルールを選択してアプリケーション条件列内で [+] ボタンをクリックし、ポップアップ ダイアログボックスで新しいオブジェクトや要素を選択します。オブジェクトまたは要素の [x] をクリックすると、そのオブジェクトまたは要素が削除されます。

FDM-Managed アクセス コントロール ポリシーでの侵入、ファイル、およびマルウェアの検査

侵入ポリシーとファイル ポリシーは、トラフィックが宛先に対して許可される前の最後のとりでとして連携して動作します。

  • 侵入ポリシーは、システムの侵入防御機能を制御します。

  • ファイル ポリシーは、システムのファイル コントロールと AMP for Firepower の機能を制御します。

他のトラフィック処理はすべて、侵入、禁止されたファイル、およびマルウェアについて、ネットワーク トラフィックが調べられる前に実行されます。侵入ポリシーまたはファイル ポリシーをアクセス コントロール ルールに関連付けることで、アクセス コントロール ルールの条件に一致するトラフィックを通過させる前に、侵入ポリシーまたはファイル ポリシー(またはその両方)を使ってトラフィックのインスペクションを実行するよう、システムに指示できます。

トラフィックを [許可(allow)] するのみの侵入ポリシーおよびファイル ポリシーを設定できます。トラフィックを [信頼(trust)] または [ブロック(block)] するように設定されたルールではインスペクションは実行されません。さらに、アクセス コントロール ポリシーのデフォルトのアクションが [許可(allow)] の場合は、侵入ポリシーを設定できますが、ファイル ポリシーは設定できません。

アクセス コントロール ルールによって処理される単一接続の場合、ファイル インスペクションは侵入インスペクションの前に行われます。つまり、システムは侵入の有無についてファイル ポリシーによってブロックされたファイルを検査しません。ファイル インスペクション内では、タイプによる単純なブロッキングの方が、マルウェア インスペクションおよびブロッキングよりも優先されます。ファイルがセッションで検出されブロックされるまで、セッションからのパケットは侵入インスペクションの対象になります。


(注)  

デフォルトでは、暗号化ペイロードの侵入およびファイル インスペクションは無効化されます。これにより、侵入およびファイル インスペクションが設定されたアクセス コントロール ルールに暗号化接続が一致したときの誤検出が減少し、パフォーマンスが向上します。暗号化されていないトラフィックのみのインスペクションが実行されます。

FDM-Managed アクセス制御ルールのカスタム IPS ポリシー

同じカスタム IPS ポリシーの複数のインスタンスを 1 つのデバイスに関連付けることはできません。


(注)  

IPS ポリシーをアクセス制御ルールに関連付けるということは、通過するトラフィックがディープ パケット インスペクションに送信されることを意味します。IPS ポリシーが設定されたアクセス制御ルールで唯一サポートされているルールアクションは、許可です。

次の手順を使用して、カスタム IPS ポリシーを FDM-managed デバイスに関連付けます。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Policies > FDM > Policies をクリックします。

ステップ 3

カスタム IPS ポリシーを作成します。詳細については、「カスタム IPS ポリシーの作成」を参照してください。

ステップ 4

FDM-managed デバイスポリシーのリストをスクロールまたはフィルタ処理して、カスタム IPS ポリシーに関連付けるポリシーを選択します。

ステップ 5

青色のプラスボタン をクリックします。

ステップ 6

[順序(Order)] フィールドで、ポリシー内のルールの位置を選択します。ネットワークトラフィックは、ルールのリストに照らして 1 から最後の番号までの順に評価されます。

ステップ 7

ルール名を入力します。英数字、スペース、および次の特殊文字を使用できます: + . _ -

ステップ 8

[侵入ポリシー(Intrusion Policy)] タブを選択します。ドロップダウンメニューを展開して、使用可能なすべての侵入ポリシーを表示し、目的のカスタム IPS ポリシーを選択します。

ステップ 9

残りのタブ([送信元/宛先(Source/Destination)]、[URL]、[アプリケーション(Applications)]、[ファイルポリシー(File Policy)])の属性を任意に組み合わせて、トラフィックの一致基準を定義します。

ステップ 10

(任意)[ロギング(Logging)] タブをクリックしてロギングを有効にし、アクセス制御ルールによって報告された接続イベントを収集します。

ステップ 11

[保存(Save)] をクリックします。

ステップ 12

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Firepower Threat Defense の TLS サーバーアイデンティティ検出

Firewall Threat Defense 独自の TLS サーバーアイデンティティ検出機能を使用して、改善された URL のフィルタリングとトラフィックのアプリケーション制御を実行し、使用環境での制御と精度を向上できます。この機能が動作するためにトラフィックを復号する必要はありません。


(注)  

サーバーアイデンティティ検出機能は、バージョン 6.7 以降でのみサポートされています。
TLS サーバーアイデンティティ検出の有効化

次の手順を使用して、FDM-managed アクセス コントロール ポリシーの TLS サーバーアイデンティティ検出機能を有効または無効にします。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、デバイスを選択します。

ステップ 4

右側の [管理(Management)] ペインで、[ポリシー(Policy)] を選択します。

ステップ 5

テーブルの右上隅にあるアクセスポリシー設定の歯車アイコン をクリックします。

ステップ 6

トグルをスライドして、TLS サーバーアイデンティティ検出機能を有効にします。

ステップ 7

[Save] をクリックします。

侵入防御システム

Cisco Talos Intelligence Group(Talos)は、脅威をリアルタイムで検出して関連付けし、数十億のファイルのレピュテーション傾向を維持管理します。Cisco IOS 侵入防御システム(IPS)は、ネットワークへの攻撃を軽減するインラインのディープ パケット インスペクション機能です。Talos から取得した脅威インテリジェンスデータを使用して、悪意のあるトラフィックをリアルタイムで正確に識別、分類、およびドロップします。

Security Cloud Control は、ソフトウェアバージョン 6.4.xx から 6.6.0.x および 6.6.1.x を実行する FDM-managed デバイスで IPS 機能をアクティブ化して調整する機能を提供します。


(注)  

Security Cloud Control は現在、バージョン 6.7 での IPS ルールの調整をサポートしていません。

Security Cloud Control メニューバーで、[ポリシー(Policies)] > [署名のオーバーライド(Signature Overrides)] に移動して、以下のタスクを実行します。

  • 複数のデバイスにわたるオーバーライドの不整合を解決します。

  • 脅威イベントを表示および非表示にします。

  • ルール アクションを変更して、脅威イベントの処理方法をオーバーライドします。

脅威イベント

脅威イベントレポートは、Cisco Talos の侵入ポリシーの 1 つに一致した後にドロップされたか、アラートを生成したトラフィックのレポートです。ほとんどの場合、IPS ルールを調整する必要はありません。必要に応じて、Security Cloud Control の一致ルールアクションを変更して、イベントの処理方法をオーバーライドするオプションが用意されています。

[脅威(Threats)] ページの次の動作に注意してください。

  • 表示される脅威イベントはライブではありません。デバイスは、追加の脅威イベントについて 1 時間ごとにポーリングされます。

  • ライブビューまたは履歴ビューに含まれていない脅威イベントは、Cisco Security Analytics and Logging の一部ではありません。ライブイベントを表示する

  • 非表示にした脅威イベントを表示するには、フィルタアイコンをクリックし、[非表示を表示(View Hidden)] オプションをオンにします。

  • Cisco Security Analytics and Logging のサブスクライバである場合、脅威イベントテーブルに表示されるイベントには、Secure Event Connector に送信されたイベントは含まれません。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Insights & Reports > Reports & Analytics > Firewall Threat Defense > Threats Dashboard (FDM) をクリックします。表示されるイベントをフィルタリングし、送信元 IP アドレスで検索できます。オブジェクトフィルタ

ステップ 3

脅威イベントをクリックして、右側の詳細パネルを展開します。

  1. ルールの詳細については、[ルールの詳細(Rule Details)] セクションで [ルールドキュメント(Rule Document)] の URL をクリックしてください。

  2. このイベントを非表示にするには、[イベントを非表示(Hide Events)] のトグルスイッチをオンにします。イベント処理はそのまま続行されますが、[非表示を表示(View Hidden)] をクリックするか、このイベントの非表示を解除しない限り、ここには表示されません。

  3. ルールのオーバーライドを編集するには、[ルールの調整(Tune Rule)] をクリックします。Security Cloud Control でルールアクションを変更すると、事前定義されたすべてのポリシーにオーバーライドが適用されます。これは、各ルールがポリシーごとに異なる可能性がある FDM-managed デバイスとは異なります。

(注)  

 

Security Cloud Control は、ソフトウェアバージョン 6.4.x.x から 6.6.0.x および 6.6.1.x を実行する FDM-managed デバイスでルールを調整する機能を提供します。Security Cloud Control は現在、FDM-managed バージョン 6.7 でのルールの調整をサポートしていません。

  • [すべてのデバイスをオーバーライド(Override All devices)] プルダウンで、アクションを選択して [保存(Save)] をクリックします。

    • [ドロップ(Drop)]:選択すると、このルールがトラフィックと一致するとイベントが作成され、接続がドロップされます。このアクションを使用して、特定のルールのセキュリティを強化します。たとえば、[ドロップ(Drop)] を指定すると、アクセスコントロールルールに「セキュリティよりも接続性を優先(Connectivity over Security)」ポリシーが指定されている場合でも、Talos ルールに一致するとセキュリティが厳しくなります。

    • [アラート(Alert)]:選択すると、このルールがトラフィックと一致するとイベントは作成されますが、接続はドロップされません。[アラート(Alert)] のユースケースは、トラフィックがブロックされているが、お客様がトラフィックを許可し、ルールを無効にする前にアラートを確認したい場合です。

    • [無効(Disabled)]:選択すると、トラフィックがルールに一致しないようになります。イベントは生成されません。[無効(Disabled)] のユースケースは、レポートの誤検出を停止するか、httpd を使用しない場合に Apache httpd ルールを無効にするなど、使用環境に当てはまらないルールを削除することです。

    • [デフォルト(Default)]:選択すると、リストされている侵入ポリシーに対して、Talos によって割り当てられたデフォルトアクションにルールを戻します。侵入ルールを [デフォルト(Default)] に戻すことは、アクションを 「セキュリティよりも接続性を優先(Connectivity over Security)」ポリシーの [アラート(Alert)] と「バランスのとれたセキュリティと接続性(Balanced Security and Connectivity」ポリシーの [ブロック(Block)] に戻すことを意味する場合があります。

  • デバイスごとにルールのオーバーライドを編集するには、[詳細オプション(Advanced Options)] スライダをオンにします。このセクションには、各デバイスに設定されたルールアクションが表示されます。アクションは、影響を受けるデバイスをチェックし、オーバーライドアクションを選択して [保存(Save)] をクリックすることで変更できます。

  • [影響を受けるデバイス(Affected Devices)] は、送信元デバイスを示していません。代わりに、イベントを報告している FDM-managed デバイスが表示されます。

(注)  

 

  • 更新()ボタンをクリックして、現在の検索フィルタに基づいて脅威を表示するテーブルを更新します。

  • エクスポート()ボタンをクリックして、脅威の現在の概要をコンマ区切り値(.csv)ファイルにダウンロードします。Microsoft Excel などのスプレッドシート アプリケーションで .csv ファイルを開いて、リスト内のアイテムを並べ替えたり、フィルタ処理したりできます。Security Cloud Control は、時間、送信元、デバイスなどの追加情報を除き、基本的な脅威の詳細をファイルにエクスポートします。

ステップ 4

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Firepower 侵入防御システムのカスタムポリシー

IPS のカスタムポリシーについて

バージョン 6.7 の導入に伴い改善された Snort 3 処理エンジンにより、Cisco Talos Intelligence Group(Talos)が提供するルールを使用して侵入防御システム(IPS)ポリシーを作成およびカスタマイズできます。ベストプラクティスは、提供されている Talos ポリシーテンプレートに基づいて独自のポリシーを作成し、ルールアクションを調整する必要がある場合はそれを変更することです。


(注)  

現時点では、Security Cloud Control はカスタム IPS ルールをサポートしていません。Talos が提供するルールを使用してカスタム IPS ポリシーを作成および変更できますが、独自の IPS ルールを作成して、カスタム IPS ポリシーに適用することはできません。

基本テンプレートには一連の同じ侵入ルール(署名とも呼ばれます)が含まれていますが、各ルールに対して実行する操作は異なります。たとえば、あるポリシーでは有効化され、別のポリシーでは無効化されるルールがあります。他の例を挙げると、誤検出が非常に多く、ブロックして欲しくないトラフィックをブロックする特定のルールがあるとします。そのような場合には、安全性の低い侵入ポリシーに切り替えることなく、そのルールを無効にできます。または、トラフィックをドロップせずに、一致すると警告するように変更することもできます。

IPS ポリシーの基本テンプレート

基本テンプレートには一連の同じ侵入ルール(署名とも呼ばれます)が含まれていますが、各ルールに対して実行する操作は異なります。たとえば、あるポリシーでは有効化され、別のポリシーでは無効化されるルールがあります。他の例を挙げると、誤検出が非常に多く、ブロックして欲しくないトラフィックをブロックする特定のルールがあるとします。そのような場合には、安全性の低い侵入ポリシーに切り替えることなく、そのルールを無効にできます。または、トラフィックをドロップせずに、一致すると警告するように変更することもできます。

提供される基本テンプレートは、ネットワークで必要性の高い保護タイプに基づく推奨設定になっています。新しいポリシーを作成するときは、次のテンプレートのいずれかをベースとして使用できます。


注意    

Snort 3 が有効になっている FDM-managed デバイスで提供されるデフォルトの IPS ポリシーは変更しないでください。以下のテンプレートに基づいて新しいカスタム IPS ポリシーを作成し、下記のデフォルトの IPS ポリシー名とは異なる一意の名前を新しいポリシーに付けることを強くお勧めします。ポリシーのトラブルシューティングが必要になった場合、Cisco TAC はカスタムポリシーからデフォルトポリシーに簡単に戻すことができます。このとき、カスタマイズした変更を失うことなくネットワークを保護できます。

提供される基本テンプレートは、ネットワークで必要性の高い保護タイプに基づく推奨設定になっています。新しいポリシーを作成するときは、次のテンプレートのいずれかをベースとして使用できます。

  • [最大検出(Maximum Detection)]:このポリシーは、[接続よりもセキュリティを優先(Security over Connectivity)] ポリシーよりもさらにネットワーク インフラストラクチャのセキュリティを重視するネットワーク向けです。運用に対する影響がさらに大きくなる可能性があります。

  • [接続性よりもセキュリティを優先(Security over Connectivity)]:このポリシーは、ユーザーの利便性よりもネットワーク インフラストラクチャのセキュリティが優先されるネットワーク向けです。この侵入ポリシーは、正式なトラフィックに対して警告またはドロップする可能性のある膨大な数のネットワーク異常侵入ルールを有効にします。

  • [バランスのとれたセキュリティと接続性(Balanced Security and Connectivity)]:このポリシーは、速度と検出の両方を兼ね備えていますこれらを一緒に使用すると、ほとんどの種類のネットワークおよび展開に適した出発点として機能します。

  • [セキュリティより接続性を優先(Connectivity Over Security)]:このポリシーは、接続性やすべてのリソースを取得する機能が、ネットワーク インフラストラクチャのセキュリティよりも優先されるネットワーク向けです。トラフィックをブロックする最も重要なルールだけが有効にされます。

  • [アクティブなルールなし(No Rules Active)]:ポリシーに含まれるルールは、デフォルトで無効になっています。


ヒント

[最大検出(Maximum Detection)] ベーステンプレートを効果的に動作させるには、大量のメモリと CPU が必要です。Security Cloud Control では、このテンプレートを使用して IPS ポリシーを 2100、4100、または仮想デバイスなどのモデルに展開することを推奨しています。

新たな脆弱性が既知になると、Talos は侵入ルールの更新をリリースします。侵入ルールが更新されると、シスコが提供するネットワーク分析ポリシーや侵入ポリシーが変更される場合があります。また、侵入ルールやプリプロセッサルールが新たに提供または更新され、既存のルールやポリシー設定に自動的に適用されます。ルールの更新によって、既存の基本テンプレートからルールが削除され、新しいルールカテゴリが提供されるとともに、デフォルトの変数セットが変更される場合もあります。
IPS ポリシーモード

デフォルトでは、IPS を実装するため、すべての侵入ポリシーが防御モードで動作します。防御インスペクションモードでは、トラフィックを切断するアクションの侵入ルールと接続が一致する場合、接続は能動的にブロックされます。

代わりに、ネットワーク上で侵入ポリシーの影響をテストするには、侵入検知システム(IDS)を実装する検出にモードを変更します。このインスペクションモードでは、ドロップルールはアラートルールと同様に扱われます。この場合、一致する接続が通知されますが、アクションの結果は [ブロック対象の可能性(Would Have Blocked)] となり、接続は実際にはブロックされません。

IPS ルールグループのセキュリティレベル

Security Cloud Control では、ポリシーに含まれるルールグループのセキュリティレベルを変更できます。このセキュリティレベルは、個々のルールではなく、ルールグループ内のすべてのルールに適用されることに注意してください。


(注)  

ルールグループのセキュリティレベルに対する変更は自動的に送信され、元に戻すことはできません。セキュリティレベルの変更を送信する際に [保存(Save)] をクリックする必要はありません。セキュリティレベルを元に戻す場合は、手動で行う必要があります。

IPS ルールアクション

個々のルールアクションまたはルールグループ内の複数のルールアクションは、いつでも変更できます。IPS ルールは、次のオプションで設定できます。

  • [無効(Disabled)]:このルールではトラフィックは一致しません。イベントは生成されません。

  • [アラート(Alert)]:このルールがトラフィックと一致するとイベントを作成しますが、接続はドロップしません。

  • [ドロップ(Drop)]:このルールがトラフィックと一致するとイベントを作成し、接続をドロップします。

FDM テンプレートとカスタム IPS ポリシー

Snort 3 が有効になっているデバイスから取得されたテンプレートは、Snort 3 が有効になっているデバイスにのみ適用できます。Snort 2 および Snort 3 でサポートおよび処理されるルールにはばらつきがあるため、Snort 3 で設定されたテンプレートは、Snort 2 で設定されたデバイスを完全にサポートおよび保護することはできません。詳細については、「Snort 2 から Snort 3 への切り替え」を参照してください。

Cisco ASA 移行ツールを使用して Cisco ASA 設定から FDM テンプレートを作成する場合は、IPS ポリシーを設定または設定解除しないことを強く推奨します。Cisco ASA デバイスは Snort エンジンをサポートしていないため、IPS ポリシーを Cisco ASA 設定から FDM-managed デバイスに移行すると問題が発生することがあります。ASA 移行ツールを使用する場合は、テンプレートを作成して展開した後に、デバイスのカスタム IPS ポリシーを作成することをお勧めします。

テンプレートの詳細については、「FDM テンプレート」を参照してください。

ルールセットとカスタム IPS ポリシー

ルールセットは、Snort 3 用に設定されたデバイスではまだサポートされていません。次の制限が適用されます。

  • Snort 3 対応デバイスにルールセットをアタッチすることはできません。

  • Snort 3 がインストールされている既存のデバイスからルールセットを作成することはできません。

  • カスタム IPS ポリシーをルールセットに関連付けることはできません。

前提条件

[侵入ポリシー(Intrusion Policies)] ページから使用可能な IPS ポリシーを表示できますが、カスタム IPS ポリシーを作成または変更するには、次の前提条件を満たす必要があります。

デバイス サポート

  • Firepower 1000 シリーズ

  • Firepower 2100 シリーズ

  • Firepower 4100 シリーズ

  • AWS を搭載した Firewall Threat Defense 仮想

  • Azure を搭載した Firewall Threat Defense 仮想

ソフトウェア サポート

デバイスは、少なくともバージョン 6.7 と Snort 3 を実行している必要があります

デバイスが 6.7 より前のバージョンを実行している場合は、デバイスをアップグレードしてください。詳細については、「FDM 管理対象デバイスのアップグレード」を参照してください。

デバイスが Snort 2 搭載のバージョン 6.7 を実行している場合は、Snort 2.0 の一部の侵入ルールが Snort 3.0 に存在しない可能性があります。詳細については、「Snort 2 から Snort 3 への切り替え」を参照してください。


(注)  

デバイスで実行されているソフトウェアバージョンおよび Snort エンジンのバージョンを確認するには、[セキュリティデバイス(Security Devices)] ページでデバイスを見つけて選択し、[デバイスの詳細(Device Details)] を確認します。

Firepower カスタム IPS ポリシーの設定

Security Cloud ControlFDM-managed デバイスのカスタム IPS ポリシーを作成または変更する前に、「IPS の前提条件」を必ずお読みください。

現時点では、Security Cloud Control はカスタム IPS ルールをサポートしていません。Talos が提供するルールを使用してカスタム IPS ポリシーを作成および変更できますが、独自の IPS ルールを作成して、カスタム IPS ポリシーに適用することはできません。


(注)  

カスタム IPS ポリシーのルールグループ内のルールを削除または並べ替えることはできません。

カスタム IPS ポリシーの作成

Talos が提供する IPS ルールで新しいカスタム IPS ポリシーを作成するには、次の手順を実行します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Policies > FDM > Intrusion Prevention をクリックします。

ステップ 3

青色のプラスボタン をクリックします。

ステップ 4

[基本テンプレート(Base Template)] のドロップダウンメニューを展開します。バージョン 7.2 の Snort 3 を実行しているデバイスの場合は、ドロップダウンを展開し、[選択(Choose)] をクリックしてテンプレートを選択する必要があります。バージョン 7.1.x 以前を実行しているデバイスの場合は、ドロップダウンメニューを展開して次のいずれかのテンプレートを選択します。

  • [最大検出(Maximum Detection)]:このポリシーは、[接続よりもセキュリティを優先(Security over Connectivity)] ポリシーよりもさらにネットワーク インフラストラクチャのセキュリティを重視するネットワーク向けです。運用に対する影響がさらに大きくなる可能性があります。

    ヒント

     

    [最大検出(Maximum Detection)] ベーステンプレートを効果的に動作させるには、大量のメモリと CPU が必要です。Security Cloud Control では、このテンプレートを使用して IPS ポリシーを 2100、3100、4100、または Firewall Threat Defense Virtual などのモデルに展開することを推奨しています。

  • [接続性よりもセキュリティを優先(Security over Connectivity)]:このポリシーは、ユーザーの利便性よりもネットワーク インフラストラクチャのセキュリティが優先されるネットワーク向けです。この侵入ポリシーは、正式なトラフィックに対して警告またはドロップする可能性のある膨大な数のネットワーク異常侵入ルールを有効にします。

  • [バランスのとれたセキュリティと接続性(Balanced Security and Connectivity)]:このポリシーは、速度と検出の両方を兼ね備えていますこれらを一緒に使用すると、ほとんどの種類のネットワークおよび展開に適した出発点として機能します。

  • [セキュリティより接続性を優先(Connectivity Over Security)]:このポリシーは、接続性やすべてのリソースを取得する機能が、ネットワーク インフラストラクチャのセキュリティよりも優先されるネットワーク向けです。トラフィックをブロックする最も重要なルールだけが有効にされます。

  • [アクティブなルールなし(No Rules Active)]:ポリシーに含まれるルールは、デフォルトで無効になっています。

ステップ 5

[名前(Name)] にポリシー名を入力します。

デフォルトの基本テンプレートとは異なる一意の名前を使用することを強く推奨します。IPS ポリシーのトラブルシューティングが必要になった場合、Cisco TAC はカスタムポリシーからデフォルトポリシーに簡単に戻すことができます。このとき、カスタマイズした変更を失うことなくネットワークを保護できます。

ステップ 6

(任意)[説明(Description)] にポリシーの説明を入力します。

ステップ 7

[モード(Mode)] を次から選択します。

  • [防御(Prevention)]:トラフィックを切断するアクションの侵入ルールと接続が一致する場合、接続は能動的にブロックされます。

  • [検出(Detection)]:トラフィックをドロップするアクションの侵入ルールと接続が一致する場合、アクションの結果は [ブロック対象の可能性(Would Have Blocked)] になり、アクションは実行されません。

ステップ 8

[保存(Save)] をクリックします。

次のステップ

IPS ポリシーを FDM-managed デバイスアクセス制御ルールに追加します。詳細については、「FDM アクセス制御ルールのカスタム IPS ポリシー」を参照してください。

カスタム IPS ポリシーの編集

すでに IPS ポリシーが設定されている FDM-managed デバイスをオンボードした場合、FDM で IPS ポリシーを作成し、展開された設定から Security Cloud Control がポリシーを読み取る場合、または新しい IPS ポリシーを作成したばかりの場合、既存の IPS ポリシーを編集できます。

既存のカスタム IPS ポリシーを変更するには、次の手順を実行します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Policies > FDM > Intrusion Prevention をクリックします。

ステップ 3

編集する IPS ポリシーを特定します。[編集(Edit)] をクリックします。

ステップ 4

ページ上部で、 編集アイコン をクリックします。

ステップ 5

次に示す目的のフィールドを編集します。

  • [基本テンプレート(Base Template)]

  • 名前

  • [説明(Description)]

  • [IPSモード(IPS Mode)]

ステップ 6

[保存(Save)] をクリックします。

ステップ 7

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

カスタム IPS ポリシーのルールグループの編集

ルールグループ内のルールのデフォルトアクションは上書きできます。ルールグループに含まれるルールを編集するには、次の手順を実行します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

ステップ 3

左側のペインで Policies > FDM > Intrusion Prevention をクリックします。

ステップ 4

編集する IPS ポリシーを特定します。[編集(Edit)] をクリックします。

ステップ 5

左側の [ルールグループ(Rule Group)] タブで目的のルールグループを展開します。展開されたリストから、グループを選択します。

ステップ 6

ルールグループを編集します。

  1. セキュリティレベルバーを選択して、ルールグループ全体の [セキュリティレベル(Security Level)] を編集します。ルールグループ全体に適用するセキュリティタイプまで、セキュリティレベルを手動でドラッグします。[Submit(送信)] をクリックします。

  2. 右側にあるルールのドロップダウンメニューを展開して、個々のルールの [ルールアクション(Rule Action)] を編集します。

  3. 目的のルールのチェックボックスをオンにして、ルールのテーブルの上にあるドロップダウンメニューを展開し、複数のルールの [ルールアクション(Rule Action)] を編集します。選択したルールアクションは、選択したすべてのルールに影響します。

  4. テーブルのタイトル行のチェックボックスをオンにして、ルールのテーブルの上にあるドロップダウンメニューを展開し、すべてのルールの [ルールアクション(Rule Action)] を編集します。選択したルールアクションは、ルールグループ内のすべてのルールに影響します。

ステップ 7

ポリシーページの最上部にある [保存(Save)] をクリックします。

ステップ 8

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

カスタム IPS ポリシーの削除

次の手順を使用して、Security Cloud Control からカスタム IPS ポリシーを削除します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Policies > FDM > Intrusion Prevention をクリックします。

ステップ 3

編集する IPS ポリシーを特定します。[Delete(削除)] をクリックします。

ステップ 4

[OK] をクリックしてポリシーを削除します。

ステップ 5

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

セキュリティ インテリジェンス ポリシー

セキュリティ インテリジェンスについて

セキュリティ インテリジェンス ポリシーにより、送信元/宛先の IP アドレスまたは宛先 URL に基づいて、望ましくないトラフィックを早い段階でドロップできます。システムは、トラフィックをアクセス コントロール ポリシーで評価する前にドロップすることにより、使用されるシステムリソースの量を減らします。

次のものに基づいてトラフィックをブロックできます。

  • Cisco Talos フィード:Cisco Talos は、定期的に更新されるセキュリティ インテリジェンス フィードへのアクセスを提供します。マルウェア、スパム、ボットネット、フィッシングなど、セキュリティに対する脅威を表すサイトは目まぐるしく現れては消えるため、カスタム設定を更新して導入するのでは最新の状況に追いつきません。システムはフィードの更新を定期的にダウンロードするため、設定を再導入する必要なく新しい脅威インテリジェンスを利用できます。


    (注)  

    Cisco Talos フィードはデフォルトで 1 時間ごとに更新されます。更新頻度を変更でき、またフィードをオンデマンドで更新することもできます。そのためには、Firepower Device Manager にログインし、ホームページから [デバイス(Device)] > [更新(Updates)] > [設定の表示(View Configuration)] に移動します。

  • ネットワークおよび URL オブジェクト:ブロック対象の IP アドレスまたは URL が既知の場合は、それらのオブジェクトを作成し、それらをブロックリストまたは許可リストに追加することができます。

IP アドレス(ネットワーク)と URL で別のブロックリストと許可リストを作成します。

セキュリティ インテリジェンスのためのライセンス要件

セキュリティ インテリジェンスを使用するには、FDM-managed デバイスで ライセンスを有効にする必要があります。

詳細については、該当する『Cisco FTD Configuration Guide for Firepower Device Manager』の「セキュリティポリシー」の章の「セキュリティ インテリジェンス フィード カテゴリ」セクションを参照してください。

Firepower セキュリティ インテリジェンス ポリシーの作成

セキュリティ インテリジェンス ポリシーにより、送信元/宛先の IP アドレスまたは宛先 URL に基づいて、望ましくないトラフィックを早い段階でドロップできます。許可された接続もすべてアクセス コントロール ポリシーによって引き続き評価され、最終的にドロップされる可能性があります。セキュリティ インテリジェンスを使用するには、ライセンスを有効にする必要があります。

Firepower セキュリティ インテリジェンス ポリシーの設定
手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、セキュリティ インテリジェンス ポリシーを作成または編集する FDM-managed デバイスを選択します。

ステップ 4

右側の [管理(Management)] ペインで、 [ポリシー(Policy)] をクリックします。

ステップ 5

FDM-managed デバイスのポリシーページで、ポリシーバーの [セキュリティインテリジェンス(Security Intelligence)] をクリックします。

ステップ 6

ポリシーが有効になっていない場合は、[セキュリティインテリジェンス(Security Intelligence)] スライダをクリックして有効にするか、[セキュリティインテリジェンスについて(About Security Intelligence)] 情報ボックスで [有効化(Enable)] をクリックします。

(注)  

 

[セキュリティインテリジェンス(Security Intelligence)] をクリックしてオフに切り替えることで、いつでもセキュリティ インテリジェンスを無効にできます。設定は維持されるため、ポリシーを再度有効にするときに再設定する必要はありません。

ステップ 7

[ブロックリスト(Blocked List)] の行を選択します。テーブルビューによっては、ネットワーク、ネットワークオブジェクト、ネットワークフィード、URL、URL オブジェクト、および URL フィードの列にプラス記号 があることに留意してください。

  • [ブロックリストへのネットワークの追加(Add Networks to Blocked List)] ダイアログボックスと [ブロックリストへのURLオブジェクトの追加(Add URL Object to Blocked List)] ダイアログボックスで、既存のオブジェクトを検索するか、必要に応じてオブジェクトを作成できます。ブロックするオブジェクトにチェックを入れ、[選択(Select)] をクリックします。

    (注)  

     

    セキュリティ インテリジェンスは、/0 ネットマスクを使用して、IP アドレス ブロックを無視します。これには、any-ipv4 と any-ipv6 のネットワーク オブジェクトが含まれます。ネットワークのブロックリストのためにこれらのオブジェクトを選択しないでください。

  • [ブロックリストへのURLオブジェクトの追加(Add URL Objects to Blocked List)] および [ブロックリストへのネットワークフィードの追加(Add Network Feeds to Blocked List)] ダイアログで、ブロックするフィードにチェックを入れ、[選択(Select)] をクリックします。フィードの行の端にある下矢印をクリックすると、フィードの説明を読むことができます。セキュリティ インテリジェンス フィード カテゴリ」でも説明されています。

ステップ 8

例外とするネットワーク、IP アドレス、または URL が、前の手順で指定したネットワークグループ、ネットワークフィード、URL オブジェクト、または URL フィードのいずれかに含まれることがわかっている場合は、[許可リスト(Allowed List)] の行をクリックします。

ステップ 9

例外とするネットワーク、IP アドレス、および URL のオブジェクトを選択または作成します。[選択(Select)] または [追加(Add)] をクリックすると、[許可リスト(Allowed List)] の行に追加されます。

ステップ 10

(オプション)セキュリティ インテリジェンス ポリシーによって生成されたイベントをログに記録するには、次の手順を実行します。

  1. ロギングの設定 アイコンをクリックして、ロギングを設定します。ロギングを有効にした場合は、ブロックリストのエントリに一致するものが記録されます。ロギングを有効にして、除外された接続がアクセス制御ルールに一致した場合、ログ メッセージは取得しますが例外エントリに一致するものは記録されません。

  2. [接続イベントロギング(Connection Events Logging)] トグルをクリックして、イベントのロギングを有効にします。

  3. イベントの送信先を選択します。

    • [なし(None)] をクリックすると、イベントが FDM-managed デバイスに保存されます。イベントは FDM イベントビューアに表示されます。FDM-managed デバイスの記憶容量は非常に限られています。[なし(None)] を選択する代わりに、syslog サーバーオブジェクトを定義して、syslog サーバーに接続イベントを保存することをお勧めします。

    • [作成(Create)] または [選択(Choose)] をクリックすると、syslog サーバーオブジェクトで表される syslog サーバーを作成または選択して、ロギングイベントを送信できます。デバイスのイベントストレージは限られているため、外部 syslog サーバーにイベントを送信すると、長期的な保存が可能になり、イベント分析が強化されます。

    Cisco Security Analytics and Logging のサブスクリプションがある場合は、SEC の IP アドレスとポートを使用して syslog オブジェクトを設定することにより、イベントを Secure Event Connector に送信します。この機能の詳細については、「Cisco Security Analytics and Logging」を参照してください。

ステップ 11

(オプション)自分で作成したルールの場合、ルールを選択して、[コメントを追加(Add Comments)] フィールドでコメントを追加できます。ルールコメントに関する詳細については、「FTD ポリシーとルールセットのルールにコメントを追加する」を参照してください。

ステップ 12

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Firepower のセキュリティ インテリジェンス ポリシー ブロックリストに対する例外の作成

Firepower セキュリティ インテリジェンス ポリシーで作成するブロックリストごとに、関連する許可リストを作成できます。許可リストの唯一の目的は、ブロックリストに表示される IP アドレスまたは URL の例外を作成することです。つまり、使用する必要があり、安全であることがわかっているアドレスや URL が、ブラックリストに設定されているフィードにある場合、許可リストに追加することで、そのアドレスや URL を除外できます。これにより、1 つのアドレスや URL のためにブロックリストからフィード全体を削除する必要がなくなります。

許可されたトラフィックはセキュリティ インテリジェンス ポリシーを通過した後、アクセス コントロール ポリシーによって評価されます。接続が許可またはドロップされたかどうかの最終決定は、接続に一致するアクセス制御ルールに基づきます。また、アクセス ルールは接続に侵入やマルウェア検査を適用するかどうかも判断します。

Firepower セキュリティ インテリジェンス ポリシー用セキュリティ インテリジェンスのフィード

次の表では、Cisco Talos フィードで利用可能なカテゴリについて説明します。これらのカテゴリは、ネットワークブロックリストと URL ブロックリストの両方で使用できます。

カテゴリ

説明

attackers

アクティブスキャナと悪意のある発信アクティビティが知られているブラックリストのホスト。

bogon

bogon ネットワークおよび未割り当て IP アドレス。

bots

バイナリ マルウェア ドロッパーをホストするサイト。

CnC

botnets 用のコマンドアンドコントロール サーバーをホストするサイト。

dga

コマンドアンドコントロール サーバーのランデブーポイントとして機能する、さまざまなドメイン名を生成するために使用されるマルウェア アルゴリズム。

exploitkit

クライアントのソフトウェアの脆弱性を特定するために設計されたソフトウェア キット。

マルウェア

マルウェアバイナリまたはエクスプロイトキットをホストするサイト。

open_proxy

匿名での Web ブラウジングを許可するオープンプロキシ。

open_relay

スパムに使用されることが知られているオープンメールリレー。

フィッシング

フィッシング詐欺のページをホストするサイト。

response

悪意のある、または不審なアクティビティに積極的に参加している IP アドレスおよび URL。

スパム

スパムの送信で知られているメール ホスト。

不審

疑いがあり、既知のマルウェアと同様の特性を持つようなファイル

tor_exit_node

Tor の出口ノード。

FDM 管理対象デバイスのアイデンティティポリシー

アイデンティティ ポリシーの概要

ID ポリシーを使用して、接続からユーザーアイデンティティ情報を収集できます。その後で、ダッシュボードにユーザー アイデンティティに基づく使用状況を表示し、ユーザーまたはユーザー グループに基づくアクセス コントロールを設定できます。ネットワーク動作、トラフィック、およびイベントを個別のユーザーやグループに直接リンクすることによって、ポリシー違反、攻撃、またはネットワークの脆弱性の発生源の特定に役立てることができます。

たとえば、侵入イベントのターゲットとされたホストを誰が所有し、誰が内部攻撃やポート スキャンを開始したかを確認できます。また、高帯域幅のユーザーや、望ましくない Web サイトまたはアプリケーションにアクセスしているユーザーを確認することもできます。

次に、ユーザー ID に基づいて使用状況をダッシュボードに表示し、Active Directory(AD)レルムオブジェクト(その AD 上のすべてのユーザーに一致するオブジェクト)、特殊なアイデンティティ(認証失敗、ゲスト、認証不要、不明な アイデンティ)、またはユーザーグループに基づいてアクセス制御を設定できます。

ユーザ アイデンティティは、次の方法で取得できます。

  • パッシブ認証:すべてのタイプの接続で、ユーザ名とパスワードを求められることなく、その他の認証サービスからユーザ アイデンティティを取得します。

  • アクティブ認証:HTTP 接続でのみ、ユーザ名とパスワードの入力が求められ、送信元 IP アドレスのユーザ アイデンティティを取得するために指定のアイデンティティ ソースに対する認証が行われます。

パッシブ認証によるユーザー アイデンティティの確立

パッシブ認証では、ユーザーにユーザー名とパスワードを求めることなくユーザー ID を収集します。システムは、指定したアイデンティティ ソースからマッピングを取得します。

ユーザと IP アドレスのマッピングは次のソースから受動的に取得できます。

  • リモート アクセス VPN ログイン。パッシブ アイデンティティについては次のユーザ タイプがサポートされています。

    • 外部認証サーバで定義されたユーザ アカウント。

    • FDM-managed デバイスで定義されたローカルユーザーアカウント。

  • Cisco Identity Services Engine(ISE)、Cisco Identity Services Engine Passive Identity Connector(ISE PIC)。

特定のユーザーが複数のソースによって識別される場合は、リモートアクセス VPN ログインアイデンティティが優先されます。

アクティブ認証によるユーザー ID の確立

認証は、ユーザのアイデンティティを確認する動作です。

アクティブ認証を使用すると、HTTP トラフィック フローがユーザー ID のマッピングがないシステムの IP アドレスから送られてきたときに、ネットワークに設定されたディレクトリを使用して、トラフィック フローを開始したユーザーを認証するかどうかを決定できます。ユーザーが正常に認証された場合、IP アドレスは認証されたユーザーの識別情報を保持していると見なされます。

認証が失敗しても、ユーザーのネットワーク アクセスは妨げられません。アクセス ルールは最終的に、これらのユーザーにどのアクセスを提供するか決定します。

不明なユーザーの対処

FDM-managed デバイスを使用してアイデンティティポリシーのディレクトリサーバーを設定すると、FDM-managed はディレクトリサーバーからユーザーおよびグループメンバーシップ情報をダウンロードします。Active Directory 情報は、24 時間ごとに夜間に更新されるか、またはディレクトリ設定を編集して保存するたびに(変更がなくても)更新されます。

アクティブな認証アイデンティティルールによって求められた認証に成功したにも関わらず、ユーザー名がダウンロードしたユーザー ID 情報の中に存在しない場合、不明なユーザーとしてマークされます。ID 関連のダッシュボードにそのユーザーの ID は表示されず、ユーザー一致グループルールにも検出されません。

ただし、不明なユーザーに対するアクセス コントロール ルールが適用されます。たとえば、不明なユーザーの接続をブロックすると、これらのユーザーは、たとえ認証に成功(ディレクトリ サーバーがユーザーとパスワードが有効であると認識したことを意味する)してもブロックされます。

そのため、ユーザーの追加や削除、グループ メンバーシップの変更などをディレクトリ サーバーに加えた場合、システムがディレクトリから更新情報をダウンロードするまで、これらの変更はポリシーの適用に反映されません。

夜間の日次更新を待たない場合は、ディレクトリのレルム情報を編集して強制的に更新できます(FDM-managed にログインして、[オブジェクト(Objects)] > [アイデンティティソース(Identity Sources)] に移動し、レルムを編集します)。[OK] をクリックし、変更を展開します。システムはただちに更新情報をダウンロードします。


(注)  

FDM-managed デバイスにログインし、[ポリシー(Policies)] > [アクセス制御(Access Control)] に移動して、[ルールの追加(Add Rule)](+)ボタンをクリックして、[ユーザー(Users)] タブに表示されるユーザーリストを確認することで、新たに追加したユーザー、または削除したユーザーの情報が FDM-managed システムに反映されているか確認できます。新規ユーザーがリスト上に見つからない場合、または削除されたユーザーがリスト上にある場合、システム内の情報は古いままです。

アイデンティティポリシーの導入方法

Security Cloud Control を使用して FDM-managed デバイスの ID ポリシーを管理する場合は、最初に ID ソースを作成する必要があります。残りの設定は、Security Cloud Control を使用して構成できます。

正しく設定されている場合、FDM の監視ダッシュボードおよびイベントでユーザー名を確認できます。ユーザーアイデンティティは、アクセス制御ルールや SSL 復号ルールでもトラフィック一致基準として使用できます。


(注)  

現時点では、Security Cloud Control は、リモートアクセス VPN や Cisco Identity Services Engine などのアイデンティティポリシーの実装に必要な一部のコンポーネントを設定できません。これらのコンポーネントは、デバイスのローカルマネージャである FDM で設定する必要があります。次に示す手順の一部は、アイデンティティポリシーを実装するため、FDM を使用して一部のアイデンティティ コンポーネントを設定する必要があることを示しています。

手順

次の手順では、アイデンティティポリシーを機能させるために必要な設定の概要を示します。

手順

ステップ 1

AD アイデンティティレルムを設定します。ユーザーアイデンティティをアクティブまたはパッシブに収集して、ユーザーアイデンティティ情報を含む Active Directory(AD)サーバーを設定する必要があります。詳細は「Firepower Threat Defense Active Directory レルムオブジェクトの作成と編集」を参照してください。

ステップ 2

パッシブ認証アイデンティティルールを使用する場合は、FDM を使用してパッシブ アイデンティティ ソースを設定します。

デバイスに実装しているサービスおよびネットワークで使用可能なサービスに基づき、次のいずれかを設定できます。

  • リモートアクセス VPN:デバイスへのリモートアクセス VPN 接続をサポートする場合は、AD サーバーまたは(FDM-managed デバイスに定義されている)ローカルユーザーに基づいて、ユーザーログイン時にアイデンティティを提供できます。リモートアクセス VPN の設定については、デバイスが実行しているバージョンの『Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager 用』の「リモートアクセス VPN の設定」の章を参照してください。

  • Cisco Identity Services Engine(ISE)または Cisco Identity Services Engine Passive Identity Connector(ISE PIC):これらの製品を使用する場合は、デバイスを pxGrid サブスクライバとして設定し、ISE からユーザ アイデンティティを取得できます。手順については、『Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager 用) 』の「Identity Services Engine の設定」を参照してください。

ステップ 3

Security Cloud Control を使用して、アイデンティティポリシーを有効にし、パッシブまたはアクティブ認証を設定します。詳細については、「アイデンティティポリシーの設定」を参照してください。

ステップ 4

Security Cloud Control を使用して、アイデンティティポリシーのデフォルトアクションを設定します。パッシブ認証だけを使用する場合は、パッシブ認証に対するデフォルト アクションを設定でき、特定のルールを作成する必要はありません。

ステップ 5

Security Cloud Control を使用して、アイデンティティ ルールを設定します。関連するネットワークからパッシブまたはアクティブ ユーザー アイデンティティを収集するルールを作成します。

ステップ 6

(オプション)自分で作成したルールの場合、ルールを選択して、[コメントを追加(Add Comments)] フィールドでコメントを追加できます。ルールコメントに関する詳細については、「FTD ポリシーとルールセットのルールにコメントを追加する」を参照してください。

ステップ 7

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

アイデンティティポリシーの設定

アイデンティティポリシーを使用して、接続からユーザー アイデンティティ情報を収集できます。その後、FDM ダッシュボードにユーザーアイデンティティに基づく使用状況を表示し、ユーザーまたはユーザーグループに基づくアクセス制御を設定できます。

次に、アイデンティティポリシーでユーザーアイデンティティを取得するために必要な要素を設定する方法の概要を示します。

手順
手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、ID ポリシーを構成するデバイスを選択して、右側の [管理(Management)] ペインで [ポリシー(Policy)] をクリックします。

ステップ 4

[ポリシー(Policy)] バーで [アイデンティティ(Identity)] をクリックします。

ステップ 5

アイデンティティポリシーをまだ有効にしていない場合は、パッシブ認証とアクティブ認証について確認し、[有効化(Enable)] をクリックします。これにより、パッシブ認証ポリシーやアクティブ認証ポリシーではなく、アイデンティティポリシーが有効になります。ポリシーのルールでは、アクティブ認証またはパッシブ認証が指定されます。

ステップ 6

アイデンティティポリシーを管理します。

アイデンティティ設定を行うと、このページにすべてのルールが順番にリストアップされます。上から下に向かってルールがトラフィックと照合され、最初に適合したルールによって、適用されるアクションが決定されます。このページで次の操作を実行できます。

  • アイデンティティポリシーを有効または無効にするには、アイデンティティトグルをクリックします。詳細については、「アイデンティティポリシーの設定」を参照してください。

  • パッシブ認証の設定を確認するには、アイデンティティバーの [パッシブ認証(Passive Auth)] ラベルの横にあるボタンをクリックします。詳細については、「アイデンティティポリシーの設定」を参照してください。

  • アクティブ認証を有効にするには、アイデンティティバーの [アクティブ認証(Active Auth)] ラベルの横にあるボタンをクリックします。詳細については、「アイデンティティポリシーの設定」を参照してください。

  • デフォルトアクションを変更するには、デフォルトアクションのボタンをクリックし、目的のアクションを選択します。「アイデンティティポリシーのデフォルトアクションの設定」を参照してください。

  • テーブル内でルールを移動させるには、ルールテーブルでルールを選択し、ルールの行の最後にある上矢印または下矢印をクリックします。

  • テーブル内でルールを移動させるには、ルールテーブルでルールを選択し、ルールの行の最後にある上矢印または下矢印をクリックします。

  • ルールを設定するには、次の手順を実行します。

    • 新しいルールを作成するには、プラス ボタンをクリックします。

    • 既存のルールを編集するには、ルールを選択し、[アクション(Actions)] ペインの [編集(Edit)] をクリックします。テーブルでプロパティをクリックして、選択的にルールのプロパティを編集することもできます。

    • 不要になったルールを削除するには、ルールを選択し、[アクション(Actions)] ペインで [削除(Remove)] をクリックします。

アイデンティティルールの作成と変更の詳細については、「アイデンティティルールの設定」を参照してください。

ステップ 7

(オプション)自分で作成したルールの場合、ルールを選択して、[コメントを追加(Add Comments)] フィールドでコメントを追加できます。ルールコメントに関する詳細については、「FTD ポリシーとルールセットのルールにコメントを追加する」を参照してください。

ステップ 8

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

アイデンティティ ポリシー設定の構成

アイデンティティ ポリシーを機能させるには、ユーザ アイデンティティ情報を提供する送信元を設定する必要があります。必要な設定は、設定するルールのタイプ(パッシブ、アクティブ、または両方)によって異なります。


(注)  

現時点では、Security Cloud Control は、Active Directory アイデンティティレルム、リモートアクセス VPN、Cisco Identity Services Engine などのアイデンティティポリシーの実装に必要な一部のコンポーネントを設定できません。これらのコンポーネントは、デバイスのローカルマネージャである FDM で設定する必要があります。次に示す手順の一部は、アイデンティティポリシーを実装するため、FDM を使用して一部のアイデンティティ コンポーネントを設定する必要があることを示しています。

手順
始める前に

ディレクトリ サーバー、FDM-managed デバイス、およびクライアント間で、時刻設定が一致していることを確認します。これらのデバイス間で時刻にずれがあると、ユーザ認証が成功しない場合があります。「一致」とは、別のタイム ゾーンを使用できますが、たとえば、10 AM PST = 1 PM EST など、それらのゾーンに対して相対的に同じになっている必要があることを意味しています。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、ID ポリシーを構成するデバイスを選択して、右側の [管理(Management)] ペインで [ポリシー(Policy)] をクリックします。

ステップ 4

[アイデンティティ(Identity)] トグルをクリックして、アイデンティティポリシーを有効にします。または、 ボタンをクリックし、パッシブ認証とアクティブ認証の説明を確認して、ダイアログで [有効化(Enable)] をクリックします。

ステップ 5

パッシブ認証の設定を読みます。アイデンティティバーの [パッシブ認証(Passive Auth)] ボタンをクリックします。

Firepower Device Manager を使用してリモートアクセス VPN または Cisco Identity Services エンジンを構成している場合、パッシブ認証ボタンには [有効(Enabled)] と表示されます。

パッシブ認証ルールを作成するには、少なくとも 1 つのパッシブ アイデンティティ ソースを設定している必要があります。

ステップ 6

アクティブ認証を構成します。アイデンティティ ルールにユーザのアクティブ認証が必要な場合、ユーザは接続されているインターフェイスのキャプティブ ポータル ポートにリダイレクトされ、その後、認証を要求されます。

  1. アイデンティティバーの [アクティブ認証(Active Auth)] ボタンをクリックします。

  2. まだ有効にしていない場合は、[有効化(Enable)] リンクをクリックして SSL の説明を有効化します。[有効化(Enable)] リンクが表示されない場合は、手順「c」にスキップします。

    1. [再署名証明書の復号選択(Select Decrypt Re-Sign Certificate)] メニューで、再署名証明書での復号を実装するルールに使用する内部 CA 証明書を選択します。

      事前定義された NGFW-Default-InternalCA 証明書を使用するか、メニューをクリックして [作成(Create)] または [選択(Choose)] を選択することで、新しい証明書を作成、またはすでに FDM-managed デバイスにアップロードした証明書を選択します。

      クライアントのブラウザに証明書をまだインストールしていない場合は、ダウンロードボタン()をクリックしてコピーを入手します。証明書をインストールする方法については、各ブラウザのマニュアルを参照してください。『再署名の復号ルールの CA 証明書のダウンロード』も参照してください。再署名の復号ルールの CA 証明書のダウンロード

      (注)  

       

      SSL 復号ポリシーをまだ構成していない場合にのみ SSL 復号の設定が求められます。ID ポリシーを有効にした後、これらの設定を変更するには、SSL 復号ポリシー設定を編集します。

    2. [保存(Save)] をクリックします。

  3. [サーバ証明書(Server Certificate)] メニューをクリックし、アクティブ認証時にユーザに提示する内部証明書を選択します。必要な証明書をまだ作成していない場合は、[作成(Create)] をクリックします。ブラウザが信頼している証明書をアップロードしない場合、ユーザは証明書を許可する必要があります。

  4. [ポート(Port)] フィールドにキャプティブポータルのポート番号を入力します。デフォルトは、885(TCP)です。別のポートを設定する場合は、1025 ~ 65535 の範囲にする必要があります。

    (注)  

     

    HTTP Basic、HTTP 応答ページ、および NTLM 認証方式では、ユーザはインターフェイスの IP アドレスを使用してキャプティブ ポータルにリダイレクトされます。ただし、HTTP ネゴシエートでは、ユーザは完全修飾 DNS 名「firewall-hostname.AD-domain-name」を使用してリダイレクトされます。HTTP ネゴシエートを使用する場合、アクティブ認証を必要としているすべての内部インターフェイスの IP アドレスにこの名前をマッピングするように DNS サーバーを更新する必要があります。そうしないと、リダイレクトは実行できず、ユーザを認証できません。

  5. [保存(Save)] をクリックします。

ステップ 7

アイデンティティポリシーのデフォルトアクションの設定」を続けます。

Firepower アイデンティティポリシーのデフォルトアクションの設定

アイデンティティ ポリシーにはデフォルトアクションがあり、これは個別のアイデンティティルールに一致しない接続に対して実行されます。

実際には、ルールがないことがポリシーの有効な設定になります。すべてのトラフィックの送信元でパッシブ認証を使用する予定の場合は、単純にパッシブ認証をデフォルト アクションとして設定します。

手順
手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、ID ポリシーを構成するデバイスを選択して、右側の [管理(Management)] ペインで [ポリシー(Policy)] をクリックします。

ステップ 4

[ポリシー(Policy)] バーで [アイデンティティ(Identity)] をクリックします。

ステップ 5

アイデンティティポリシー設定の構成」が完了していない場合は行います。

ステップ 6

画面の下部にある [デフォルトアクション(Default Action)] ボタンをクリックして、次のいずれかを選択します。

  • [パッシブ認証(Passive Auth)]:ユーザ―アイデンティティは、任意のアイデンティティルールに一致しない接続に対して、設定されたすべてのパッシブ アイデンティティ ソースを使用して特定されます。パッシブ アイデンティティ ソースを設定しない場合は、パッシブ認証をデフォルトとして使用すると [認証なし(No Auth)] を使用することと同じになります。

  • [認証なし(No Auth)]:ユーザ―アイデンティティは、任意のアイデンティティルールに一致しない接続について特定されません。

ステップ 7

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

アイデンティティ ルールの設定

アイデンティティ ルールは、一致するトラフィックに対してユーザー識別情報を収集する必要があるかどうかを定義します。一致するトラフィックのユーザーアイデンティティ情報を収集しない場合は、[認証なし(No Authentication)] を設定できます。

ルール設定に関係なく、アクティブ認証は HTTP トラフィックに対してのみ実行されることに注意してください。したがって、HTTP 以外のトラフィックをアクティブ認証から除外するルールを作成する必要はありません。すべての HTTP トラフィックに対してユーザー識別情報を取得する場合は、アクティブ認証ルールをすべての送信元および宛先に適用するだけで済みます。


(注)  

また、認証に失敗してもネットワーク アクセスには影響しません。アイデンティティ ポリシーは、ユーザー識別情報のみを収集します。認証に失敗したユーザーがネットワークにアクセスできないようにするには、アクセス ルールを使用する必要があります。
手順
手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、ID ポリシーを構成するデバイスを選択して、右側の [管理(Management)] ペインで [ポリシー(Policy)] をクリックします。

ステップ 4

[ポリシー(Policy)] バーで [アイデンティティ(Identity)] をクリックします。

ステップ 5

次のいずれかを実行します。

  • 新しいルールを作成するには、プラス ボタンをクリックします。アイデンティティ ソース オブジェクトとそれがルールに与える影響については、「アイデンティティソースについて」を参照してください。

  • 既存ルールを編集するには、編集するルールを選択し、右側の操作ウィンドウで [編集(Edit)] をクリックします。

  • 不要になったルールを削除するには、削除するルールを選択し、右側の操作ウィンドウで [削除(Remove)] をクリックします。

ステップ 6

[順序(Order)] で、ルールの番号付きリストのどこにルールを挿入するかを選択します。

ルールは最初に一致したものから順に適用されるため、限定的なトラフィック一致基準を持つルールは、同じトラフィックに適用され、汎用的な基準を持つルールよりも上に置く必要があります。

デフォルトでは、ルールはリストの最後に追加されます。ルールの順序を後で変更する場合、このオプションを編集します。

ステップ 7

[名前(Name)] にルール名を入力します。

ステップ 8

ルールに適合した場合に FDM-managed デバイスが適用するアクションを [アクション(Action)] で選択し、必要に応じて Active Directory(AD)のアイデンティティソースを選択します。

パッシブおよびアクティブ認証ルールのユーザーアカウントが含まれる AD アイデンティティレルムを選択する必要があります。選択肢は以下のとおりです。

  • [パッシブ認証(Passive Auth)]:パッシブ認証を使用して、ユーザー アイデンティティを判断します。設定されたすべてのアイデンティティ ソースが表示されます。ルールでは、設定されたすべてのソースが自動的に使用されます。

  • [アクティブ認証(Active Auth)]:アクティブ認証を使用して、ユーザーアイデンティティを判断します。アクティブ認証は HTTP トラフィックのみに適用されます。他のタイプのトラフィックが、アクティブ認証を要求または許可するアイデンティティポリシーに適合した場合、アクティブ認証は試行されません。

  • [認証なし(No Auth)]:ユーザー識別情報を取得しません。このトラフィックに、アイデンティティベースのアクセス ルールは適用されません。これらのユーザは、[認証不要(No Authentication Required)] とマークが付けられます。

(注)  

 

[パッシブ認証(Passive Auth)] と [アクティブ認証(Active Auth)] の両方で、AD レルムのアイデンティティソースを選択できます。アイデンティティ ソース オブジェクトを準備していない場合は、[新しいオブジェクトの作成(Create new object)] をクリックして、アイデンティティ ソース オブジェクト ウィザードを起動します。詳細は「Firepower Threat Defense Active Directory レルムオブジェクトの作成と編集」を参照してください。

ステップ 9

(アクティブ認証のみ)[アクティブ認証] タブをクリックして、ディレクトリサーバーでサポートする認証方法(タイプ)を選択します。

  • [HTTP基本(HTTP Basic)]:暗号化されていない HTTP 基本認証接続を使用して、ユーザーを認証します。ユーザーはブラウザのデフォルトの認証ポップアップ ウィンドウを使用してネットワークにログインします。これがデフォルトです。

  • [NTLM]:NT LAN マネージャ(NTLM)接続を使用して、ユーザーを認証します。この選択は AD レルムを選択するときにのみ使用できます。ユーザーはブラウザのデフォルトの認証ポップアップウィンドウを使用してネットワークにログインします。Windows ドメインのログインを使ってトランスペアレント認証が行われるように、Internet Explorer と Firefox ブラウザを設定することもできます。このタスクは FDM で実行します。手順については、『Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager 用)』 > 「セキュリティポリシー」 > 「アイデンティティポリシー」 > 「トランスペアレントユーザー認証の有効化」を参照してください。

  • [HTTPネゴシエート(HTTP Negotiate)]:ユーザー エージェント(トラフィック フローを開始するためにユーザーが使用しているアプリケーション)方式と Active Directory サーバー方式の間でデバイスがネゴシエーションできるようになります。ネゴシエーションの結果は、NTLM、ベーシックの順に、共通にサポートされ、使用されている最も強力な方式になります。ユーザーはブラウザのデフォルトの認証ポップアップ ウィンドウを使用してネットワークにログインします。

  • [HTTP応答ページ(HTTP Response Page)]:システムが提供する Web ページを使用して、ユーザーに認証を求めるプロンプトを表示します。これは、HTTP 基本認証の 1 つの形式です。

(注)  

 

HTTP Basic、HTTP 応答ページ、および NTLM 認証方式では、ユーザはインターフェイスの IP アドレスを使用してキャプティブ ポータルにリダイレクトされます。ただし、HTTP ネゴシエートでは、ユーザーは完全修飾 DNS 名「firewall-hostname.AD-domain-name」を使用してリダイレクトされます。HTTP ネゴシエートを使用する場合、アクティブ認証を必要としているすべての内部インターフェイスの IP アドレスにこの名前をマッピングするように DNS サーバーを更新する必要があります。そうしないと、リダイレクトは実行できず、ユーザを認証できません。

ステップ 10

(アクティブ認証のみ)アクティブ認証に失敗したユーザーをゲストユーザーとしてラベル付けするかどうかを決めるには、[ゲストとしてフォールバック(Fall Back as Guest)] > [オン/オフ(On/Off)] を選択します。

ユーザーは、正常に認証する 3 つの機会が得られます。失敗した場合、このオプションの選択により、ユーザーがどのようにマーク付けされるかが決まります。これらの値に基づき、アクセスルールを展開できます。

  • [ゲストとしてフォールバック(Fall Back as Guest)] > [オン(On)]:ユーザーは [ゲスト(Guest)] としてマーク付けされます。

  • [ゲストとしてフォールバック(Fall Back as Guest)] > [オフ(Off)]:ユーザ―は [失敗した認証(Failed Authentication)] としてマーク付けされます。

ステップ 11

パッシブ認証、アクティブ認証、または認証なしのルールアクションについて、[送信元(Source)] タブと [宛先(Destination)] タブで、トラフィックの適合基準を定義します。

アクティブ認証は、HTTP トラフィックに対してのみ試されることに注意してください。したがって、HTTP 以外のトラフィックに対して 「認証なし」のルールを設定は不要で、HTTP 以外のトラフィックに対してアクティブ認証ルールを作成するポイントもありません。ただし、パッシブ認証は任意のタイプのトラフィックに有効です。

アイデンティティ ルールの送信元/宛先基準は、トラフィックが通過するセキュリティ ゾーン(インターフェイス)、IP アドレス、または IP アドレスの国または大陸(地理的位置)、またはトラフィックで使用されるプロトコルおよびポートを定義します。デフォルトは、すべてのゾーン、アドレス、地理的位置、プロトコル、およびポートです。

条件を変更するには、条件内の ボタンをクリックし、希望するオブジェクトまたは要素を選択し、 ポップアップダイアログボックスの [OK] をクリックします。条件で必要とされているオブジェクトが存在しない場合は、[新規オブジェクトの作成(Create New Object)] をクリックします。

条件からオブジェクトを削除するには、オブジェクトにカーソルを合わせて [X] をクリックします。

次のトラフィック一致基準を設定できます。

送信元ゾーン、宛先ゾーン

トラフィックが通過するインターフェイスを定義するセキュリティ ゾーン オブジェクト。1 つの基準を定義する 、両方の基準を定義する、またはどちらの基準も定義しないことができます。指定しない基準は、すべてのインターフェイスのトラフィックに適用されます。

  • ゾーン内のインターフェイスからデバイスを離れるトラフィックを照合するには、そのゾーンを [宛先ゾーン(Destination Zones)] に追加します。

  • ゾーン内のインターフェイスからデバイスに入るトラフィックを照合するには、そのゾーンを [送信元ゾーン(Source Zones)] に追加します。

  • 送信元ゾーン条件と宛先ゾーン条件の両方をルールに追加する場合、一致するトラフィックは指定された送信元ゾーンの 1 つから発生し、宛先ゾーンの 1 つを通って出力する必要があります。

トラフィックがデバイスに出入りする場所に基づいてルールを適用する必要がある場合は、この基準を使用します。たとえば、内部ネットワークから発信されるすべてのトラフィックからユーザ識別情報を収集する場合、内部ゾーンを [送信元ゾーン(Source Zones)] として選択し、宛先ゾーンを空のままにします。

(注)  

 

1 つのルールにパッシブ セキュリティ ゾーンとルーテッド セキュリティ ゾーンを混在させることはできません。さらに、パッシブ セキュリティ ゾーンは送信元ゾーンとしてのみ指定でき、宛先ゾーンとして指定することはできません。

送信元ネットワーク、宛先ネットワーク

トラフィックのネットワーク アドレスまたは場所を定義する、ネットワーク オブジェクトまたは地理的位置。

  • IP アドレスまたは地理的位置からのトラフィックを照合するには、[送信元ネットワーク(Source Networks)] を設定します。

  • IP アドレスまたは地理的位置へのトラフィックを照合するには、[宛先ネットワーク(Destination Networks)] を設定します。

  • 送信元(Source)ネットワーク条件と宛先(Destination)ネットワーク条件の両方をルールに追加する場合、送信元 IP アドレスから発信されかつ宛先 IP アドレスに送信されるトラフィックの照合を行う必要があります。

この条件を追加する場合、次のタブから選択します。

  • [ネットワーク(Network)]:制御するトラフィックの送信元または宛先 IP アドレスを定義するネットワークオブジェクトまたはグループを選択します。

  • [国/大陸(Country/Continent)]:地理的な位置を選択して、その送信元または宛先の国や大陸に基づきトラフィックを制御できます。大陸を選択すると、大陸内のすべての国が選択されます。ルール内で地理的位置を直接選択する以外に、作成した地理位置オブジェクトを選択して、場所を定義することもできます。地理的位置を使用すると、特定の国で使用されているすべての潜在的な IP アドレスを知る必要なく、その国へのアクセスを簡単に制限できます。

  • [カスタム地理位置情報(Custom Geolocation)]:指定した国と大陸を正確に含む地理位置情報オブジェクトを選択(または作成)します。

(注)  

 

最新の地理的位置データを使用してトラフィックをフィルタ処理できるように、地理位置情報データベース(GeoDB)を定期的に更新することを強くお勧めします。詳細については、「地理位置情報データベースの更新」を参照してください。

送信元ポート、宛先ポート/プロトコル

トラフィックで使用されるプロトコルを定義するポート オブジェクト。TCP/UDP では、これにポートを含めることができます。

  • プロトコルまたはポートからのトラフィックを照合するには、[送信元ポート(Source Ports)] を設定します。送信元ポートを使用できるのは、TCP/UDP のみです。

  • プロトコルまたはポートへのトラフィックを照合するには、[宛先ポート/プロトコル(Destination Ports/Protocols)] を設定します。

  • 特定の TCP/UDP ポートから発生し、特定の TCP/UDP ポートに向かうトラフィックを照合するには、両方設定します。送信元ポートと宛先ポートの両方を条件に追加する場合、単一のトランスポート プロトコル、TCP、または UDP を共有するポートのみを追加できます。たとえば、ポート TCP/80 からポート TCP/8080 へのトラフィックを対象にできます。

ステップ 12

[保存(Save)] をクリックします。

ステップ 13

[セキュリティデバイス(Security Devices)] ページに戻ります。

ステップ 14

ルールを追加したアイデンティティポリシーがあるデバイスを選択します。

ステップ 15

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

SSL 復号ポリシー

HTTPS など一部のプロトコルは、セキュア ソケット レイヤ(SSL)またはその後継バージョンである Transport Layer Security(TLS)を使用して、セキュアな転送のためにトラフィックを暗号化します。システムでは暗号化された接続を検査できないため、アクセス判断のために上位層のトラフィック特性を考慮したアクセスルールを適用する場合は、SSL 復号ポリシーを適用して暗号化された接続を復号する必要があります。


注意    

トラフィックの復号とその後の再暗号化は、全体的なシステム パフォーマンスを低下させるデバイスの処理負荷が増加することに注意してください。

次のトピックに進みます。

SSL 復号ポリシーの実装および管理方法

URL フィルタリング、侵入、マルウェア コントロール、および詳細なパケット検査を必要とするその他のサービスを適用できるように、SSL 復号ポリシーを使用して暗号化されたトラフィックをプレーン テキスト トラフィックにできます。ポリシーがトラフィックを許可する場合、そのトラフィックはデバイスから出る前に再暗号化されます。

SSL 復号ポリシーは、暗号化されたトラフィックにのみ適用されます。暗号化されていない接続は SSL 復号ルールに対して評価されません。

他のセキュリティ ポリシーの場合とは異なり、SSL 復号ポリシーは、監視して積極的に保守する必要があります。これは、証明書の期限が切れたり、宛先サーバで変更されたりするためです。さらに、クライアント ソフトウェアの変更により特定の接続を復号する能力が変わる場合もあります。これは、再署名の復号アクションを中間者攻撃と区別できないためです。

次の手順では、SSL 復号ポリシーの実装と保守のエンドツーエンド プロセスを説明します。

手順
手順

ステップ 1

再署名の復号ルールを実装する場合は、必要な内部 CA 証明書を作成します。

内部認証局(CA)証明書を使用する必要があります。次のオプションから選択します。ユーザは証明書を信頼する必要があるため、すでに信頼されると設定されているクライアント ブラウザに証明書をアップロードするか、またはアップロードする証明書がブラウザの信頼ストアに追加されるようにします。

ステップ 2

既知のキーの復号ルールを実装する場合は、各内部サーバーから証明書とキーを収集します。

サーバーから証明書とキーを取得する必要があるため、既知のキーの復号は自分で制御しているサーバーでのみ使用できます。これらの証明書とキーを内部証明書(内部 CA 証明書ではない)としてアップロードします。『Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager 用)』で「再利用可能なオブジェクト」>「証明書」>「内部および内部 CA 証明書のアップロード」を参照してください。

ステップ 3

SSL 復号ポリシーの有効化

ポリシーを有効にする際に、いくつかの基本的な設定も構成します。

ステップ 4

SSL 復号のデフォルトアクションの設定

不確かな場合は、デフォルト アクションとして [復号しない(Do not decrypt)] を選択します。この場合でも、アクセス コントロール ポリシーは、デフォルトの SSL 復号ルールに一致するトラフィックを適切であればドロップできます。

ステップ 5

SSL 復号ルールの設定

復号するトラフィック、および適用する復号のタイプを識別します。

ステップ 6

既知のキーでの復号を設定する場合は、これらの証明書を含めるように SSL 復号ポリシー設定を編集します。「既知のキーと復号の再署名の証明書の設定」を参照してください。

ステップ 7

必要に応じて、再署名の復号ルールに使用する CA 証明書をダウンロードして、クライアント ワークステーションのブラウザにアップロードします。

証明書のダウンロードおよびクライアントへの配布については、「再署名の復号ルールの CA 証明書のダウンロード」を参照してください。

ステップ 8

定期的に、再署名証明書および既知のキーの証明書を更新します。

  • 再署名証明書:期限切れになる前にこの証明書を更新します。Firepower Device Manager を使用して証明書を生成する場合は、5 年間有効です。証明書の有効期限を確認するには、[オブジェクト(Objects)] ページで証明書の表示アイコンをクリックします。

  • 既知のキーの証明書:既知のキーによる復号ルールの場合、宛先サーバーの現在の証明書とキーがアップロードされていることを確認する必要があります。サポートされるサーバで証明書およびキーが変更されるたびに、新しい証明書およびキーを(内部証明書として)アップロードし、新しい証明書を使用するように SSL 復号設定を更新する必要があります。

ステップ 9

外部サーバで不足している信頼できる CA 証明書をアップロードします。

システムには、サード パーティによって発行された、広範な信頼できる CA ルート証明書および信頼できる CA 中間証明書が含まれています。これらは、再署名の復号ルールについて FDM-managed デバイスと宛先サーバーの間で接続をネゴシエートするときに必要です。

信頼できるルート CA の信頼チェーン内にあるすべての証明書を、信頼できる CA 証明書のリストにアップロードしますが、これにはルート CA 証明書およびすべての中間 CA 証明書が含まれます。これを行わないと、中間 CA から発行された信頼できる証明書の検出が困難になります。[オブジェクト(Objects)] > [証明書(Certificates)] ページで証明書をアップロードします。『Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager 用)』で「再利用可能なオブジェクト」>「証明書」>「信頼できる CA 証明書のアップロード」を参照してください。

SSL 復号について

通常、ネットワーク接続が許可されるかブロックされるかを決定するのはアクセス コントロール ポリシーです。ただし、SSL 復号ポリシーを有効にする場合、暗号化された接続は最初に SSL 復号ポリシー経由で送信され、復号するかブロックする必要があるかが判断されます。ブロックされていない接続は、復号の有無にかかわらず、許可/ブロックの最終的な決定のためにアクセス コントロール ポリシーを経由します。


(注)  

アイデンティティ ポリシーでアクティブな認証ルールを実装するためには、SSL 復号ポリシーを有効にする必要があります。SSL 復号を有効にして ID ポリシーを有効にするが、SSL 復号は実装しない場合、[SSL復号(SSL Decryption)] ページでデフォルトのアクションに [復号しない(Do Not Decrypt)] を選択し、追加の SSL 復号ルールは作成しないでください。アイデンティティ ポリシーでは、必要なルールを自動的に生成します。

ここでは、暗号化トラフィック フロー管理と復号化についてさらに詳しく説明します。

SSL 復号を実装する理由

HTTPS 接続などの暗号化されたトラフィックは検査することができません。銀行や他の金融機関への接続など、多くの接続は合法的に暗号化されます。多くの Web サイトでは、プライバシーや機密性の高いデータを保護するために暗号化を使用します。たとえば、Firepower Device Manager への接続は暗号化されます。ただし、暗号化された接続の中ではユーザが望ましくないトラフィックを隠すこともできます。

SSL 復号を実装することによって、接続を復号して脅威またはその他の望ましくないトラフィックが含まれていないかを確認するために検査し、再度暗号化してから接続の続行を許可できます。(復号されたトラフィックは、アクセス制御ポリシーを通過し、暗号化された特性ではなく、復号された接続の検査特性に基づいたルールに一致します。)これは、アクセス制御ポリシーを適用する必要性とユーザーの機密情報を保護する必要性との間でバランスをとります。

ネットワークを利用させたくない種類の暗号化されたトラフィックをブロックする SSL 復号ルールを構成することもできます。


注意    

トラフィックの復号とその後の再暗号化は、全体的なシステム パフォーマンスを低下させるデバイスの処理負荷が増加することに注意してください。
暗号化されたトラフィックに適用できるアクション

SSL 復号ルールを設定する場合は、次のトピックで説明しているアクションを適用できます。これらのアクションは、明示的なルールと一致しないすべてのトラフィックに適用されるデフォルトのアクションにも使用できます。


(注)  

SSL 復号ポリシーを経由するすべてのトラフィックは、アクセス コントロール ポリシーを経由する必要があります。SSL 復号ポリシーにドロップするトラフィックを除き、許可またはドロップの最終的な決定はアクセス コントロール ポリシーに委ねられます。
再署名の復号

トラフィックを復号し再署名する場合、システムは中間者として機能します。

たとえば、ユーザーがブラウザで https://www.cisco.com と入力します。トラフィックが FTD デバイスに達すると、デバイスはルールで指定された CA 証明書を使用するユーザーとネゴシエーションを行い、ユーザーと FTD デバイス間に SSL トンネルを構築します。同時に、デバイスは https://www.cisco.com に接続し、サーバーと FTD デバイス間に SSL トンネルを作成します。

このため、ユーザには、www.cisco.com からの証明書ではなく、SSL 復号ルールで設定された CA 証明書が表示されます。ユーザは、接続を完了するために証明書を信頼する必要があります。FTD デバイスは、ユーザーと宛先サーバー間のトラフィックで両方向に復号/再暗号化を実行します。


(注)  

サーバ証明書の再署名に使用する CA をクライアントが信頼していない場合、証明書が信頼できないという警告がユーザに出されます。これを防止するには、クライアントの信用できる CA ストアに CA 証明書をインポートします。または組織にプライベート PKI がある場合は、組織の全クライアントで自動的に信頼されるルート CA が署名する中間 CA 証明書を発行して、その CA 証明書をデバイスにアップロードすることもできます。

[復号-再署名(Decrypt - Resign)] アクションをルールに設定すると、ルールによるトラフィックの照合は、設定されている他のルール条件に加えて、参照する内部 CA 証明書の署名アルゴリズムタイプに基づいて実施されます。SSL 復号ポリシーに 1 つの再署名証明書を選択できるため、これによって再署名ルールのトラフィック一致を制限できます。

たとえば、楕円曲線(EC)アルゴリズムで暗号化された発信トラフィックは、再署名証明書が EC ベースの CA 証明書の場合にのみ、再署名の復号ルールと一致します。同様に、RSA アルゴリズムで暗号化されたトラフィックは、グローバル再署名証明書が RSA の場合にのみ、再署名の復号ルールと一致します。EC アルゴリズムで暗号化された発信トラフィックは、設定されたその他すべてのルール条件が一致していても、このルールとは一致しません。

既知のキーの復号

宛先サーバを所有している場合、既知のキーで復号を実装できます。この場合、ユーザーが https://www.cisco.com への接続を開くと、証明書を提示しているのが FTD デバイスであっても、www.cisco.com の実際の証明書がユーザーに表示されます。

ドメインおよび証明書の所有者は、所属組織でなければなりません。cisco.com を例として取り上げると、エンドユーザーにシスコの証明書が表示されるのは、組織が実際にドメイン cisco.com の所有者であり(つまり、所属企業が Cisco Systems であること)、パブリック CA によって署名された cisco.com 証明書の所有権を持っている場合のみです。復号できるのは、所属組織が所有するサイトの既存のキーを使用する場合のみです。

既知のキーを使用して復号する主な目的は、HTTPS サーバへのトラフィックを復号して、社内サーバを外部の攻撃から保護することです。外部 HTTPS サイトへのクライアント側のトラフィックを検査する場合は、サーバを所有していないので、再署名の復号を使用する必要があります。


(注)  

既知のキーの復号を使用するには、サーバーの証明書およびキーを内部アイデンティティ証明書としてアップロードし、SSL 復号ポリシー設定で既知のキーの証明書一覧に追加する必要があります。その後は、サーバーのアドレスを宛先アドレスとして使用して、既知のキーの復号ルールを展開できます。SSL 復号ポリシーに証明書を追加する方法については、「既知のキーと復号の再署名の証明書の設定」を参照してください。

復号禁止

特定の種類のトラフィックで復号をバイパスする場合、トラフィックの処理は行われません。暗号化されたトラフィックはアクセス コントロール ポリシーに渡され、一致するアクセス制御ルールに基づいて許可またはドロップされます。

ブロック

単に SSL 復号ルールと一致する暗号化されたトラフィックをブロックできます。SSL 復号ポリシーのブロックでは、アクセス コントロール ポリシーに接続が達することを防ぎます。

HTTPS 接続をブロックすると、ユーザにはシステムのデフォルトのブロック応答ページが表示されません。代わりに、セキュアな接続で障害が発生した際のブラウザのデフォルトページが表示されます。エラー メッセージには、ポリシーによってサイトがブロックされたことは示されません。代わりに、一般的な暗号化アルゴリズムがないと示される場合があります。このメッセージからは、故意に接続がブロックされたことは明らかになりません。

自動的に生成された SSL 復号ルール

SSL 復号ポリシーを有効にしてもしなくても、FDM-managed デバイスはアクティブ認証を実装する各 ID ポリシールールに対して再署名の復号ルールを自動的に生成します。これは、HTTPS 接続でアクティブな認証を有効にするために必要です。

SSL 復号ポリシーを有効にすると、アイデンティティ ポリシーのアクティブな認証ルールの見出しの下にこれらのルールが表示されます。これらのルールは、SSL 復号ポリシーの上部にグループ化されます。ルールは読み取り専用です。ルールは ID ポリシーを変更することによってのみ変更できます。

復号できないトラフィックの処理

接続が復号できなくなる特性は複数あります。接続に次の特性のいずれかがある場合、接続で一致するルールがあっても接続にはデフォルトのアクションが適用されます。([復号しない(Do Not Decrypt)] ではなく)デフォルト アクションとしてブロックを選択する場合、正当なトラフィックの過剰なドロップなどの問題があることがあります。

  • 圧縮されたセッション:データ圧縮が接続に適用されています。

  • SSLv2 セッション:サポートされている最下位の SSL バージョンは SSLv3 です。

  • 不明な暗号スイート:システムで接続の暗号スイートが認識されません。

  • サポート外の暗号スイート:システムで、検出された暗号スイートに基づく復号がサポートされません。

  • キャッシュされないセッション:SSL セッションにおいてセッションの再利用が可能になっていて、クライアントとサーバがセッション ID でセッションを再確立したときに、システムがそのセッション ID をキャッシュに入れなかったことを意味します。

  • ハンドシェイク エラー:SSL ハンドシェイクのネゴシエーション中にエラーが発生しました。

  • 復号エラー:復号処理中にエラーが発生しました。

  • パッシブ インターフェイス トラフィック:パッシブ インターフェイス(パッシブ セキュリティ ゾーン)のすべてのトラフィックが復号不能です。

SSL 復号ポリシーのライセンス要件

SSL 復号ポリシーを使用するのに特別なライセンスは必要ありません。

ただし、URL カテゴリおよびレピュテーションを一致基準として使用するルールを作成するには、URL ライセンスが必要です。ライセンスの設定については、『Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager 用)』>「システムのライセンス」> 「オプションライセンスの有効化と無効化」を参照してください。

SSL 復号のガイドライン

SSL 復号ポリシーを設定してモニターする場合は、次の点に注意してください。

  • SSL 復号ポリシーは、次のようなアクセス制御ルールがトラフィックを信頼またはブロックするように設定されている場合に、それらのルールに一致する接続に関してバイパスされます。

    • セキュリティ ゾーン、ネットワーク、地理位置情報、およびポートだけをトラフィック照合基準として使用する。

    • 検査を必要とする他のルール(アプリケーションまたは URL に基づいて接続を照合するルールなど)に先立つか、侵入またはファイル検査を適用するルールを許可する。

  • URL カテゴリのマッチングを使用するときは、サイトのログイン ページがサイトそのものと異なるカテゴリにある場合に注意してください。たとえば、Gmail は「Web ベースの電子メール」カテゴリにあり、ログインページは「インターネットポータル」カテゴリにあります。これらのサイトへの接続を復号するには、両方のカテゴリをルールに含める必要があります。

  • アクティブ認証ルールを使用している場合は、SSL 復号ポリシーを無効にすることができません。SSL 復号ポリシーを無効にするには、アイデンティティ ポリシーを無効にするか、またはアクティブ認証を使用するアイデンティティ ルールを削除する必要があります。

SSL 復号ポリシーの設定

URL フィルタリング、侵入、マルウェア コントロール、および詳細なパケット検査を必要とするその他のサービスを適用できるように、SSL 復号ポリシーを使用して暗号化されたトラフィックをプレーン テキスト トラフィックにできます。ポリシーがトラフィックを許可する場合、そのトラフィックはデバイスから出る前に再暗号化されます。

SSL 復号ポリシーは、暗号化されたトラフィックにのみ適用されます。暗号化されていない接続は SSL 復号ルールに対して評価されません。


注意    

トラフィックの復号とその後の再暗号化は、全体的なシステム パフォーマンスを低下させるデバイスの処理負荷が増加することに注意してください。

(注)  

VPN トンネルは SSL 復号ポリシーが評価される前に復号されるので、トンネル自体にはポリシーは適用されません。ただし、トンネル内で暗号化された接続は SSL 復号ポリシーによる評価の対象となります。

以下の手順で、SSL 復号ポリシーを設定する方法を説明します。SSL 復号を作成および管理するエンドツーエンドプロセスの説明については、「SSL 復号ポリシーの実装および管理方法」を参照してください。

手順
始める前に

SSL 復号ルール テーブルには、2 つのセクションが含まれています。

  • [アイデンティティポリシーアクティブ認証ルール(Identity Policy Active Authentication Rules)]:アイデンティティ ポリシーを有効にしてアクティブ認証を使用するルールを作成すると、システムがこれらのポリシーの動作に必要な SSL 復号ルールを自動的に作成します。これらのルールは、常に自分で作成した SSL 復号ルールの前に評価されます。アイデンティティ ポリシーに変更することによって、間接的にのみこれらのルール変更できます。

  • [SSLネイティブルール(SSL Native Rules)]:これらは自分で構成したルールです。このセクションにのみルールを追加できます。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、SSL ポリシーを作成するデバイスを選択します。

ステップ 4

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 5

ポリシーバーの [SSL復号(SSL Decryption)] をクリックします。

ステップ 6

ポリシーをまだ有効化していない場合は、[SSL復号の有効化(Enable SSL Decryption)] をクリックし、「SSL 復号ポリシーの有効化」の説明に従ってポリシーを設定します。

ステップ 7

ポリシーのデフォルト アクションを設定します。最も安全な選択肢は、[復号しない(Do Not Decrypt)] です。詳細については、デバイスが実行しているバージョンの『Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager 用』で、「セキュリティポリシー」章の「SSL 復号のデフォルトアクションの設定」項を参照してください。

ステップ 8

SSL 復号ポリシーを管理します。

SSL 復号を設定した後、このページにすべてのルールが順番に一覧表示されます。上から下に向かってルールがトラフィックと照合され、最初に適合したルールによって、適用されるアクションが決定されます。このページで次の操作を実行できます。

  • ポリシーを無効にするには、[SSL復号ポリシー(SSL Decryption Policy)] トグルをクリックします。[SSL複合を有効化(Enable SSL Decryption)] をクリックすると再度有効にできます。

  • ポリシーで使用する証明書リストを含むポリシー設定を編集するには、SSL ツールバーの設定 ボタン をクリックします。また、クライアントに配布できるように、再署名の復号ルールで使用する証明書をダウンロードできます。デバイスで実行しているバージョンの『Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager 用)』で「セキュリティポリシー」章の次の項を参照してください。

    • 既知のキーと復号の再署名の証明書の設定

    • 再署名の復号ルールの CA 証明書のダウンロード

  • ルールを設定するには、次の手順を実行します。

    • 新しいルールを作成し、そのルールによりログイベントを生成するには、青色のプラスボタン をクリックします。「SSL 復号ルールの設定」を参照してください。

    • 既存のルールを編集するには、ルールテーブル内のルールを選択し、操作ウィンドウで [編集(Edit)] をクリックします。テーブルでプロパティをクリックして、選択的にルールのプロパティを編集することもできます。

    • 不要になったルールを削除するには、ルールテーブル内のルールを選択し、操作ウィンドウで [削除(Remove)] をクリックします。

    • ルールを移動するには、ルールテーブル内の該当するルールにカーソルを合わせます。行の最後にある上下の矢印を使用して、ルール テーブルでその位置を移動します。

    • (オプション)自分で作成したルールの場合、ルールを選択して、[コメントを追加(Add Comments)] フィールドでコメントを追加できます。ルールコメントに関する詳細については、「FTD ポリシーとルールセットのルールにコメントを追加する」を参照してください。

ステップ 9

SSL 復号ポリシーの有効化」に進みます。

SSL 復号ポリシーの有効化

SSL 復号ルールを設定する前に、ポリシーを有効にして、いくつかの基本的な設定を構成する必要があります。以下の手順で、ポリシーを直接有効にする方法を説明します。アイデンティティ ポリシーを有効にするときにこのポリシーを有効にすることもできます。アイデンティティ ポリシーでは、SSL 復号ポリシーを有効にする必要があります。

手順
始める前に

SSL 復号ポリシーを持たないリリースからアップグレードし、アクティブな認証ルールを使用してアイデンティティ ポリシーを設定した場合、SSL 復号ポリシーはすでに有効になっています。必ず使用する再署名の復号証明書を選択し、必要に応じて事前定義されたルールを有効にします。

まだ行っていない場合は、「SSL 復号ポリシーの設定」を確認してください。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、SSL 復号ポリシーを有効にするデバイスを選択します。

ステップ 4

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 5

ポリシーバーの [SSL復号(SSL Decryption)] をクリックします。

ステップ 6

SSL バーの [SSL復号(SSL Decryption)] トグルをクリックして、SSL 復号ポリシーを有効にします。

  • 初めてポリシーを有効にした場合は、既知のキーの復号および再署名の SSL 復号についての説明に目を通し、[有効化(enable)] をクリックします。

  • 以前にこのポリシーを設定した後で無効にした場合は、前の設定とルールを使用してポリシーが再度有効になります。SSL 復号の設定ボタン をクリックし、「既知のキーと復号の再署名の証明書の設定」に記載されている説明に従って設定できます。

ステップ 7

[再署名証明書の復号(Decrypt Re-Sign Certificate)] では、再署名証明書での復号を実装するルールに使用する内部 CA 証明書を選択します。

事前定義済みの NGFW-Default-InternalCA 証明書か、作成またはアップロードしたものを使用できます。証明書がまだ存在しない場合は、[作成(Create)] をクリックして FDM-managed デバイス内部 CA 証明書を追加します。

クライアントのブラウザに証明書をまだインストールしていない場合は、ダウンロードボタン()をクリックしてコピーを入手します。証明書をインストールする方法については、各ブラウザのマニュアルを参照してください。「再署名の復号ルールの CA 証明書のダウンロード」も参照してください。

ステップ 8

[保存(Save)] をクリックします。

ステップ 9

SSL 復号のデフォルトアクションの設定」に進み、ポリシーのデフォルトアクションを設定します。

SSL 復号のデフォルト アクションの設定

暗号化された接続が特定の SSL 復号ルールに一致しない場合、SSL 復号ポリシーのデフォルト アクションに基づいて処理されます。

手順
始める前に

次の手順をまだ実行していない場合は、手順を確認して実行してください。

  1. SSL 復号ポリシーの設定

  2. SSL 復号ポリシーの有効化

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、デフォルトの SSL 復号アクションを設定するデバイスを選択します。

ステップ 4

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 5

ポリシーバーの [SSL復号(SSL Decryption)] をクリックします。

ステップ 6

[デフォルトアクション(Default Action)] ボタンをクリックします。

ステップ 7

一致するトラフィックに適用するアクションを選択します。

  • [復号しない(Do Not Decrypt)]:暗号化された接続を許可します。次にアクセス制御ポリシーは、暗号化された接続を評価し、アクセス制御ルールに基づいてドロップまたは許可します。

  • [ブロック(Block)]:接続をすぐに切断します。接続はアクセス制御ポリシーに渡されません。

ステップ 8

(オプション)デフォルト アクションのロギングを設定します。SSL 復号ポリシーからイベントをキャプチャするには、ロギングを有効にする必要があります。次のオプションから選択します。

  • [接続終了時(At End of Connection)]:接続の終了時にイベントを生成します。

    • [接続イベントの送信先(Send Connection Events To)]:外部の syslog サーバーにイベントのコピーを送信するには、syslog サーバーを定義するサーバーオブジェクトを選択します。必要なオブジェクトがすでに存在しない場合、[Syslogサーバーの新規作成(Create New Syslog Server)] をクリックして作成します(syslog サーバへのロギングを無効化するには、サーバのリストから [任意(Any)] を選択します)。

      デバイスのイベント ストレージは限られているため、外部 syslog サーバーへイベントを送信すると、長期的な保存が可能になり、イベント分析を強化できます。

      Cisco Security Analytics and Logging のサブスクリプションがある場合は、Secure Event Connector の IP アドレスとポートを使用して syslog サーバーを指定または作成します。この機能の詳細については、「Cisco Security Analytics and Logging」を参照してください。

  • [ロギングなし(No Logging)]:イベントを生成しません。

ステップ 9

[保存(Save)] をクリックします。

ステップ 10

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

SSL 復号ルールの設定

SSL 復号ルールを使用して、暗号化された接続を処理する方法を決定します。SSL 復号ポリシーに設定されたルールは、上から下への順に評価されます。トラフィックに適用されるルールは、すべてのトラフィック基準が一致する最初のルールです。

[SSLネイティブルール(SSL Native Rules)] セクションでのみルールを作成し、編集できます。


注意    

トラフィックの復号とその後の再暗号化は、全体的なシステム パフォーマンスを低下させるデバイスの処理負荷が増加することに注意してください。


(注)  

SSL 復号ポリシーが接続を評価する前に、VPN 接続(サイト間とリモート アクセスの両方)のトラフィックが復号されます。したがって、SSL 復号ルールが VPN 接続に適用されることはなく、これらのルールを作成するときに VPN 接続を考慮する必要はありません。ただし、VPN トンネル内で暗号化された接続を使用する場合は評価されます。たとえば、RA VPN トンネル自体は(すでに復号されているので)評価されなくても、RA VPN 接続経由の内部サーバーへの HTTPS 接続は、SSL 復号ルールによって評価されます。

手順
始める前に

SSL 復号ポリシーの設定」、「SSL 復号ポリシーの有効化」、および「SSL 復号のデフォルトアクションの設定」がまだの場合は内容を確認し、ルールを追加する SSL 復号ポリシーを設定します。

既知のキーの復号ルールを作成する場合は、宛先サーバーのための証明書とキーを(内部証明書として)アップロードし、証明書を使用するために SSL 復号ポリシーの設定も編集します。既知のキーのルールは通常、ルールの宛先ネットワークの条件で宛先サーバーを指定します。詳細については、「既知のキーと復号の再署名の証明書の設定」を参照してください。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、SSL 復号ポリシーを有効にするデバイスを選択します。

ステップ 4

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 5

ポリシーバーの [SSL復号(SSL Decryption)] をクリックします。

ステップ 6

次のいずれかを実行します。

  • 新しいルールを作成するには、青色のプラスボタン をクリックします。

  • 既存のルールを編集するには、ルールの編集アイコン をクリックします。

  • 不要になったルールを削除するには、ルールの削除アイコン をクリックします。

ステップ 7

[順序(Order)] で、ルールの番号付きリストのどこにルールを挿入するかを選択します。

[SSLネイティブルール(SSL Native Rules)] セクションにのみルールを挿入できます。アイデンティティ ポリシーアクティブ認証ルールはアイデンティティ ポリシーから自動的に生成され、読み取り専用です。

ルールは最初に一致したものから順に適用されるため、限定的なトラフィック一致基準を持つルールは、同じトラフィックに適用され、汎用的な基準を持つルールよりも上に置く必要があります。

デフォルトでは、ルールはリストの最後に追加されます。ルールの順序を後で変更する場合、このオプションを編集します。

ステップ 8

[名前(Name)] にルール名を入力します。

この名前にスペースを含めることはできません。英数字と以下の特殊文字を使用できます: + . _ -

ステップ 9

一致するトラフィックに適用するアクションを選択します。各オプションの詳細については、次を参照してください。

ステップ 10

次のタブの任意の組み合わせを使用して、トラフィック一致基準を定義します。

  • [送信元/送信先(Source/Destination)]:トラフィックが通過するセキュリティ ゾーン(インターフェイス)、IP アドレスまたは IP アドレスの国/大陸(地理的ロケーション)、トラフィックで使用されている TCP ポート。デフォルトでは、すべてのゾーン、アドレス、地理的ロケーション、TCP ポートが対象になります。「SSL 復号ルールの送信元/送信先基準」を参照してください。

  • [URL]:Web 要求の URL カテゴリ。デフォルトでは URL カテゴリおよびレピュテーションはマッチングの目的では考慮されません。「SSL 復号ルールの URL 基準」を参照してください。

  • [アプリケーション(Application)]:アプリケーション、またはタイプ、カテゴリ、タグ、リスク、ビジネスとの関連性ごとにアプリケーションを定義するフィルタ。デフォルトは任意の暗号化されたアプリケーションです。「SSL 復号ルールのアプリケーション基準」を参照してください。

  • [ユーザ(Users)]:ユーザとユーザ グループ。アイデンティティ ポリシーは、ユーザーとグループの情報がトラフィックの照合に使用できるかどうかを定義します。この基準を使用するには、アイデンティティ ポリシーを設定する必要があります。「SSL 復号ルールのユーザー基準」を参照してください。

  • [拡張(Advanced)]:SSL/TLS バージョンや証明書のステータスなどの接続に使用する証明書に由来する特性。「SSL 復号ルールの詳細条件」を参照してください。

条件を変更するには、条件内の青色のプラスボタン をクリックして該当するオブジェクトまたは要素を選択し、 ポップアップダイアログボックスで [選択(Select)] をクリックします。条件で必要とされているオブジェクトが存在しない場合は、[新規オブジェクトの作成(Create New Object)] をクリックします。オブジェクトまたは要素をポリシーから削除するには、そのオブジェクトまたは要素の [x] をクリックします。

条件を SSL 復号ルールに追加する際は、以下のヒントを参考にしてください。

  • 1 つのルールにつき複数の条件を設定できます。ルールがトラフィックに適用されるには、トラフィックがそのルールのすべての条件に一致する必要があります。たとえば、URL カテゴリに基づいて復号するために単一のルールを使用できます。

  • ルールの条件ごとに、最大 50 の条件を追加できます。条件の基準のいずれかに一致するトラフィックはその条件を満たします。たとえば、最大 50 のアプリケーションまたはアプリケーション フィルタにアプリケーション制御を適用する単一のルールを使用できます。したがって、単一の条件では項目間に OR 関係がありますが、条件タイプ間(たとえば、送信元/宛先とアプリケーション間)には AND 関係があります。

  • URL カテゴリのマッチングには、URL ライセンスが必要です。

ステップ 11

(オプション)ルールのロギングを設定します。

ルールと一致するトラフィックをダッシュボード データまたはイベント ビューアに含めるには、ロギングを有効にする必要があります。次のオプションから選択します。

  • [ロギングなし(No Logging)]:イベントを生成しません。

  • [接続イベントの送信先(Send Connection Events To)]:外部の syslog サーバにイベントのコピーを送信するには、syslog サーバを定義するサーバ オブジェクトを選択します。必要なオブジェクトがすでに存在しない場合、[作成(Create)] をクリックしてそのオブジェクトを作成します(syslog サーバへのロギングを無効化するには、サーバのリストから [任意(Any)] を選択します)。

  • [接続終了時(At End of Connection)]:接続の終了時にイベントを生成します。デバイスのイベント ストレージは限られているため、外部 syslog サーバーへイベントを送信すると、長期的な保存が可能になり、イベント分析を強化できます。

Cisco Security Analytics and Logging のサブスクリプションがある場合は、Secure Event Connector の IP アドレスとポートを使用して syslog サーバーオブジェクトを指定または作成します。詳細については、「Cisco Security Analytics and Logging」を参照してください。

ステップ 12

[保存(Save)] をクリックします。

ステップ 13

(オプション)自分で作成したルールの場合、ルールを選択して、[コメントを追加(Add Comments)] フィールドでコメントを追加できます。ルールコメントに関する詳細については、「FTD ポリシーとルールセットのルールにコメントを追加する」を参照してください。

ステップ 14

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

SSL 復号ルールの送信元/送信先基準

SSL 復号ルールの [送信元/送信先(Source/Destination)] 基準で、トラフィックが通過するセキュリティ ゾーン(インターフェイス)、IP アドレスまたは IP アドレスの国/大陸(地理的ロケーション)、トラフィックで使用されている TCP ポートを定義します。デフォルトでは、すべてのゾーン、アドレス、地理的ロケーション、TCP ポートが対象になります。TCP は、SSL 復号ルールに一致する唯一のプロトコルです。

条件を変更するには、その条件内の青色ボタン をクリックして、目的のオブジェクトまたは要素を選択し、[選択(Select)] をクリックします。条件で必要とされているオブジェクトが存在しない場合は、[新規オブジェクトの作成(Create New Object)] をクリックします。オブジェクトまたは要素をポリシーから削除するには、そのオブジェクトまたは要素の [x] をクリックします。

送信元ゾーン、宛先ゾーン

トラフィックが通過するインターフェイスを定義するセキュリティ ゾーン オブジェクト。1 つの基準を定義する 、両方の基準を定義する、またはどちらの基準も定義しないことができます。指定しない基準は、すべてのインターフェイスのトラフィックに適用されます。

  • ゾーン内のインターフェイスからデバイスを離れるトラフィックを照合するには、そのゾーンを [宛先ゾーン(Destination Zones)] に追加します。

  • ゾーン内のインターフェイスからデバイスに入るトラフィックを照合するには、そのゾーンを [送信元ゾーン(Source Zones)] に追加します。

  • 送信元ゾーン条件と宛先ゾーン条件の両方をルールに追加する場合、一致するトラフィックは指定された送信元ゾーンの 1 つから発生し、宛先ゾーンの 1 つを通って出力する必要があります。

トラフィックがデバイスに出入りする場所に基づいてルールを適用する必要がある場合は、この基準を使用します。たとえば、外部ホストから内部ホストへのすべてのトラフィックが復号されたことを確認したい場合、[送信元ゾーン(Source Zones)] で外部ゾーンを選択し、[送信先ゾーン(Destination Zones)] で内部ゾーンを選択します。

送信元ネットワーク、宛先ネットワーク

トラフィックのネットワーク アドレスまたは場所を定義する、ネットワーク オブジェクトまたは地理的位置。

  • IP アドレスまたは地理的位置からのトラフィックを照合するには、[送信元ネットワーク(Source Networks)] を設定します。

  • IP アドレスまたは地理的位置へのトラフィックを照合するには、[宛先ネットワーク(Destination Networks)] を設定します。

送信元(Source)ネットワーク条件と宛先(Destination)ネットワーク条件の両方をルールに追加する場合、送信元 IP アドレスから発信されかつ宛先 IP アドレスに送信されるトラフィックの照合を行う必要があります。

この条件を追加する場合、次のメニューオプションから選択します。

  • [ネットワーク(Network)]:制御するトラフィックの送信元または宛先 IP アドレスを定義するネットワーク オブジェクトまたはグループを選択します。


    (注)  

    既知のキーの復号ルールの場合、証明書とアップロードしたキーを使用する送信先サーバーの IP アドレスを持つオブジェクトを選択します。

  • [国/大陸(Country/Continent)]:地理的な位置を選択して、その送信元または宛先の国や大陸に基づきトラフィックを制御できます。大陸を選択すると、大陸内のすべての国が選択されます。

  • [カスタム地理位置情報(Custom Geolocation)]:作成した地理位置オブジェクトを選択して、場所を定義することもできます。地理的位置を使用すると、特定の国で使用されているすべての潜在的な IP アドレスを知る必要なく、その国へのアクセスを簡単に制限できます。

送信元ポート、宛先ポート/プロトコル

トラフィックで使用されるプロトコルを定義するポート オブジェクト。SSL 復号ルールに対してのみ TCP プロトコルとポートを指定できます。

  • TCP ポートからのトラフィックを一致させるには、[送信元ポート(Source Ports)] を設定します。

  • TCP ポートへのトラフィックを一致させるには、[送信先ポート/プロトコル(Destination Ports/Protocols)] を設定します。

特定の TCP ポートから特定の TCP ポートへ発信されるトラフィックを一致させるには、両方のポートを設定します。たとえば、ポート TCP/80 からポート TCP/8080 へのトラフィックを対象にできます。

ステップ 9 に戻ります。「トラフィックの一致基準の定義」

SSL 復号ルールのアプリケーション基準

SSL 復号ルールのアプリケーション基準では、IP 接続で使用されるアプリケーション、あるいは、タイプ、カテゴリ、タグ、リスク、またはビジネスとの関連性によってアプリケーションを定義するフィルタ処理が定義されます。デフォルトは、SSL プロトコル タグを持つアプリケーションです。暗号化されていないアプリケーションは SSL 復号ルールと一致できません。

ルールで個別のアプリケーションを指定できますが、アプリケーション フィルタを使用すれば、ポリシーの作成と管理が簡単になります。たとえば、リスクが高くビジネスとの関連性が低いすべてのアプリケーションを復号またはブロックする SSL 復号ルールを作成できます。ユーザがこのようなアプリケーションのいずれかを使用しようとすると、セッションが復号またはブロックされます。

また、シスコは、システムおよび脆弱性データベース(VDB)の更新を通じて頻繁にアプリケーション ディテクタを更新し追加します。これにより、リスクの高いアプリケーションのルールが新しいアプリケーションに自動的に適用される可能性があり、手動でルールを更新する必要がなくなります。

アプリケーションとフィルタをルールで直接指定することも、これらの特性を定義するアプリケーション フィルタ オブジェクトを作成することもできます。指示は同じですが、複雑なルールを作成する場合、オブジェクトを使用した方が 基準当たり 50 項目のシステム上限範囲を超えにくくなります。

アプリケーションとフィルタリストを変更するには、条件内の ボタンをクリックし、目的のアプリケーションまたはアプリケーション フィルタ オブジェクトを選択してから、ポップアップ ダイアログボックスで [選択(Select)] をクリックし、次に [保存(Save)] をクリックします。ポリシーからそれを削除するアプリケーション、フィルタ、またはオブジェクトの [x] をクリックします。[フィルタとして保存(Save As Filter)] リンクをクリックして、すでにオブジェクトではない結合基準を新しいアプリケーション フィルタ オブジェクトとして保存します。

アプリケーション基準と、高度なフィルタを設定してアプリケーションを選択する方法の詳細については、「アプリケーション フィルタ オブジェクトの設定」を参照してください。

SSL 復号ルールでアプリケーション基準を使用する場合は、次のヒントを考慮してください。

  • このシステムでは、StartTLS を使用して暗号化される非暗号化アプリケーションを識別できます。これには、SMTPS、POPS、FTPS、TelnetS、IMAPS などのアプリケーションが含まれます。また、TLS ClientHello メッセージ内の Server Name Indication、またはサーバー証明書のサブジェクト識別名の値に基づいて、特定の暗号化されたアプリケーションを識別できます。

  • システムは、サーバ証明書の交換後にのみアプリケーションを識別できます。SSL ハンドシェイク中に交換されるトラフィックでアプリケーションの識別が完了する前に、アプリケーション条件を含んでいる SSL ルール内の他のすべての条件に一致してしまうと、SSL ポリシーによりそのパケットの通過が許可されます。この動作により、ハンドシェイクが完了し、アプリケーションを識別できるようになります。システムによる識別が完了すると、アプリケーション条件に一致する残りのセッション トラフィックに SSL ルールのアクションが適用されます。

ステップ 9 に戻ります。「トラフィックの一致基準の定義」

SSL 復号ルールの URL 基準

SSL 復号ルールの URL の基準は、Web 要求の URL が属するカテゴリを定義します。また、復号、ブロック、または復号せずに許可するサイトの相対的なレピュテーションも指定できます。デフォルトでは、URL カテゴリに基づき接続と一致しません。

たとえば、すべての暗号化されたゲーム サイトをブロックしたり、リスクの高いすべてのソーシャル ネットワーキング サイトを復号できます。該当するカテゴリとレピュテーションの URL をユーザが参照しようとすると、セッションがブロックされるか、または復号されます。

SSL 復号ルールに URL 基準を追加するには、次の手順を実行します。

手順

ステップ 1

[URL] タブをクリックして、SSL 復号ルールに URL カテゴリを追加します。

ステップ 2

ブロックする URL カテゴリを検索して選択します。

ステップ 3

デフォルトでは、選択したカテゴリの URL からのトラフィックは、セキュリティ レピュテーションに関係なく、SSL 復号ルールによって復号されます。ただし、ルール内の特定の URL カテゴリまたはすべての URL カテゴリを微調整し、レピュテーションに基づいて一部のサイトを復号の対象から除外できます。

  • URL 内の 1 つのカテゴリのレピュテーションを微調整するには、次の手順を実行します。

    1. 選択した URL カテゴリをクリックします。

    2. [すべてのレピュテーション(Any Reputation)] のチェックボックスをオフにします。

    3. 緑色のスライダを右にスライドして、ルールから除外する URL レピュテーションの設定を選択し、[保存(Save)] をクリックします。

      スライダでカバーされたレピュテーションには、ルールが適用されません。たとえば、緑色のスライダを [無害のサイト(Benign Sites)] にスライドすると、よく知られているサイトと無害のサイトには、選択したカテゴリの SSL 復号ルールが適用されません。セキュリティリスクのあるサイト、疑わしいサイト、および高リスクサイトと見なされる URL には、その URL カテゴリのルールが適用されます。

  • ルールに追加したすべての URL カテゴリのレピュテーションを微調整するには、次の手順を実行します。

    1. SSL 復号ルール対象のすべてのカテゴリを選択したら、[選択したカテゴリにレピュテーションを適用(Apply Reputation to Selected Categories)] をクリックします。

    2. [すべてのレピュテーション(Any Reputation)] のチェックボックスをオフにします。

    3. 緑色のスライダを右にスライドして、ルールから除外する URL レピュテーションの設定を選択し、[保存(Save)] をクリックします。

      スライダでカバーされたレピュテーションには、ルールが適用されません。たとえば、緑色のスライダを [無害のサイト(Benign Sites)] にスライドすると、よく知られているサイトと無害のサイトには、すべてのカテゴリの SSL 復号ルールが適用されません。セキュリティリスクのあるサイト、疑わしいサイト、および高リスクサイトと見なされる URL は、すべての URL カテゴリのルールが適用されます。

ステップ 4

[選択(Select)] をクリックします。

ステップ 5

[保存(Save)] をクリックします。

ステップ 9 に戻ります。「トラフィックの一致基準の定義」
SSL 復号ルールのユーザー基準

SSL 復号ルールのユーザ基準は、IP 接続のユーザまたはユーザ グループを定義します。ルールにユーザまたはユーザ グループの基準を含めるように、アイデンティティ ポリシーと関連ディレクトリ サーバを設定する必要があります。

アイデンティティ ポリシーは、特定の接続に関してユーザー アイデンティティを収集するかどうかを決定します。アイデンティティが確立されると、ホストの IP アドレスに識別されたユーザーが関連付けられます。したがって、送信元 IP アドレスがユーザーにマッピングされているトラフィックは、そのユーザーからのものとみなされます。IP パケット自体にはユーザー アイデンティティ情報は含まれていないため、この IP アドレスとユーザー間のマッピングが使用可能な中での最良近似となります。

1 つのルールに最大 50 のユーザーまたはグループを追加できるため、通常は、グループを選択する方が個々のユーザーを選択するより有意義です。たとえば、外部ネットワークからエンジニアリンググループへのトラフィックを復号するルールを作成し、そのグループからの発信トラフィックを復号しない別のルールを作成できます。その後、ルールを新しいエンジニアに適用するには、エンジニアをディレクトリ サーバーのエンジニアリング グループに追加するだけです。

ユーザーリストを変更するには、条件内の [+] ボタンをクリックして、目的のユーザー グループを選択し、[選択(Select)] をクリックします。

ステップ 9 に戻ります。「トラフィックの一致基準の定義」

SSL 復号ルールの詳細条件

詳細のトラフィックの一致条件は、接続に使用する証明書に由来する特徴に関連します。次のオプションのいずれかまたはすべてを設定できます。

証明書のプロパティ

トラフィックは、選択したプロパティのいずれかに一致する場合、ルールの証明書プロパティオプションと一致します。次の設定を行えます。

  • [証明書ステータス(Certificate Status)]:証明書が [有効(Valid)] か [無効(Invalid)] か。証明書のステータスを気にしない場合は、[任意(Any)](デフォルト)を選択します。 証明書は、次の条件のすべてが満たされている場合に有効とみなされ、それ以外の場合は無効とみなされます。

    • ポリシーが証明書を発行した CA を信用できる。

    • 証明書の署名を証明書の内容に対して正しく検証できる。

    • 発行元の CA 証明書が、ポリシーの信頼できる CA 証明書のリストに登録されている。

    • ポリシーの信頼できる CA のいずれでも証明書が失効していない。

    • 現在の日付が証明書の [有効期間の開始(Valid From)] と [有効期間の終了(Valid To)] の期間内にある。

  • [自己署名(Self-Signed)]:サーバー証明書に同じサブジェクトおよび発行元識別名が含まれているかどうか。次のいずれかを選択します。

  • [自己署名(Self-Signing)]:サーバー証明書は自己署名されています。

    • [CA 署名(CA-Signing)]:サーバー証明書は認証局によって署名されています。 つまり、発行元とサブジェクトは同じではありません。

    • [任意(Any)]:証明書が自己署名されているかどうかを一致条件として考慮しません。

サポートされるバージョン

一致する SSL/TLS バージョン。ルールは、選択したいずれかのバージョンを使用するトラフィックにのみ適用されます。デフォルトは全バージョンです。[SSLv3.0]、[TLSv1.0]、[TLSv1.1]、[TLSv1.2] から選択します。

たとえば、TLSv1.2 の接続のみを許可する場合は、TLSv1.2 以外のバージョンにブロック ルールを作成できます。記載されていない SSL v2.0 などのバージョンを使用するトラフィックは、SSL 復号ポリシーのデフォルトのアクションによって処理されます。

ステップ 9 に戻ります。「トラフィックの一致基準の定義」

既知のキーと復号の再署名の証明書の設定

再署名によってまたは既知のキーを使用して復号を実装する場合は、SSL 復号ルールが使用できる証明書を特定する必要があります。すべての証明書が有効で、期限が切れていないことを確認します。

特に既知のキーを復号する場合は、復号する接続の各宛先サーバーの現在の証明書とキーがシステムにあることを確認する必要があります。既知のキーの復号ルールでは、復号の宛先サーバーからの実際の証明書とキーを使用します。したがって、常に FDM-managed デバイスに最新の証明書とキーがあることを確認する必要があります。そうでない場合、復号に失敗します。

既知のキーのルールで宛先サーバーの証明書またはキーを変更するたびに新しい内部証明書とキーをアップロードします。それらを内部証明書(内部 CA 証明書ではありません)としてアップロードします。以下の手順の間に証明書をアップロードするか、 ボタンをクリックして [FTD] > [証明書(Certificate)] を選択することで、[オブジェクト(Object)] ページに証明書をアップロードできます。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、SSL ポリシーを作成するデバイスを選択して、右側の [管理(Management)] ペインで [ポリシー(Policy)] をクリックします。

ステップ 4

ポリシーバーの [SSL復号(SSL Decryption)] をクリックします。

ステップ 5

SSL 復号ポリシーのポリシーバーの証明書ボタン をクリックします。

ステップ 6

SSL 復号構成ダイアログで、[再署名証明書の復号(Decrypt Re-Sign Certificate)] メニューをクリックし、再署名証明書での復号を実装するルールに使用するための内部 CA 証明書を選択または作成します。事前定義済みの NGFW-Default-InternalCA 証明書か、作成またはアップロードしたものを使用できます。

クライアントのブラウザに証明書をまだインストールしていない場合は、ダウンロードボタン()をクリックしてコピーを入手します。証明書をインストールする方法については、各ブラウザのマニュアルを参照してください。また、デバイスが実行しているバージョンに対応する『Firepower Device Manager 向け Cisco Firepower Threat Defense 構成ガイド』の「セキュリティポリシー」の章で、「再署名の復号ルールの CA 証明書のダウンロード」も参照してください。

ステップ 7

既知のキーを使用して復号するルールごとに、宛先サーバの内部証明書とキーをアップロードします。

ステップ 8

[既知のキーの証明書の復号(Decrypt Known-Key Certificates)] をクリックします。

ステップ 9

内部 ID の証明書を選択するか、[新しい内部証明書の作成(Create New Internal Certificate)] をクリックし、ここでそれをアップロードします。

ステップ 10

[保存(Save)] をクリックします。

ステップ 11

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

再署名の復号ルールの CA 証明書のダウンロード

トラフィックを復号する場合、ユーザーは、TLS/SSL を使用するアプリケーションで信頼できるルート認証局として定義された暗号化プロセスで使用される、内部 CA 証明書を持っている必要があります。通常、証明書を生成した場合や、証明書をインポートした場合であっても、これらのアプリケーションで証明書がすでに信頼されているものとして定義されることはありません。ユーザーが HTTPS 要求を送信すると、大部分の Web ブラウザでは、デフォルトで、Web サイトのセキュリティ証明書に問題があることを知らせる警告メッセージがクライアント アプリケーションによって表示されます。通常、このエラーメッセージでは、Web サイトのセキュリティ証明書が信頼された認証機関から発行されたものではないこと、または Web サイトが不明な認証機関で証明されたものであることが示されますが、処理中の中間者攻撃の可能性が警告で示唆される場合もあります。クライアント アプリケーションによっては、この警告メッセージがユーザーに示されず、ユーザーは承認されない証明書を受け入れることができません。

以下のいくつかの方法で、ユーザーに必要な証明書を提供できます。

ルート証明書を受け入れるようにユーザに通知する

組織内のユーザーに、企業の新しいポリシーについて通知し、組織が提供したルート証明書を、信頼できる認証局として受け入れるように指示できます。ユーザーは証明書を受け入れ、信頼されたルート認証局のストレージ エリアにそれを保存して、次にサイトにアクセスしたときにプロンプトが再度表示されないようにする必要があります。


(注)  

ユーザーは、代替証明書を作成した CA 証明書を受け入れて、信頼する必要があります。そうではなく、単に代替サーバー証明書を信頼した場合は、異なる HTTPS サイトを訪問するたびに、警告が表示される状況が続きます。

クライアントデバイスにルート証明書を追加する

ネットワーク上のすべてのクライアントデバイスに、信頼できるルート認証局としてルート証明書を追加できます。そうすれば、クライアント アプリケーションは自動的にルート証明書を持つトランザクションを受け入れるようになります。

証明書を電子メールで送信するか、共有サイトに置くことで、ユーザーが証明書を入手できるようにします。または、会社のワークステーション イメージに証明書を組み込み、アプリケーションの更新機能を使用して、ユーザーに証明書を自動的に配布することもできます。

次に、内部 CA 証明書をダウンロードして、Windows クライアントにインストールする方法を説明します。

手順

プロセスは、オペレーティングシステムとブラウザの種類によって異なります。たとえば、Windows 上で実行されている Internet Explorer および Chrome の場合は次のプロセスを使用できます。(Firefox の場合は、[ツール(Tools)] > [オプション(Options)] > [詳細(Advanced)] ページでインストールします。)

メッセージは、インポートが成功したことを示しているはずです。ユーザーがよく知られたサードパーティの認証局から証明書を取得するのではなく自己署名証明書を生成した場合は、途中で Windows が証明書を検証できなかったことを警告するダイアログボックスが表示される場合があります。

[証明書(Certificates)] ダイアログ ボックスと [インターネットオプション(Internet Options)] ダイアログ ボックスを閉じることができます。

手順

ステップ 1

Firepower Device Manager から証明書をダウンロードします。

  1. 左側のペインで Security Devices をクリックします。

  2. [デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

  3. [FTD] タブをクリックして、証明書が保存されているデバイスを選択します。

  4. 右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

  5. ポリシーバーの [SSL復号(SSL Decryption)] をクリックします。

  6. SSL 復号ポリシーのポリシーバーの SSL 復号設定ボタン をクリックします。

  7. ダウンロードボタン をクリックします。

  8. ダウンロード場所を選択して、必要に応じてファイル名を変更し(拡張子はそのまま)、[Save] をクリックします。

  9. これで、[SSL復号設定(SSL Decryption Settings)] ダイアログ ボックスからキャンセルできます。

ステップ 2

クライアント システムの Web ブラウザにある信頼されたルート認証局のストレージ エリアに証明書をインストールするか、クライアント自体が証明書をインストールできるようにします。この手順は、ブラウザやオペレーティングシステムによって異なります。
警告(Warning)
FDM-Managed デバイスを介して設定された CA 証明書

Security Cloud Control では複数のデバイスを管理できますが、デバイス設定の保存時に保存される追加情報には制限があるため、内部 CA 証明書の処理で問題が発生する可能性があります。Security Cloud Control では、FDM-managed コンソールを介して設定した CA 証明書の証明書情報やキー情報は保存されません。セカンダリデバイスに展開された SSL ポリシーに FDM-managed デバイスで設定した CA 証明書を適用する場合、Security Cloud Control により CA 証明書のローカルコピーは作成されますが、キー情報はコピーされません。結果として、Security Cloud Control にもセカンダリデバイスにもキー情報がないため、CA 証明書は正常に展開されません。これは、CA 証明書のローカルコピーのダウンロードリンクが利用できないことも意味します。

FDM-managed デバイスを使用して追加のデバイス用に別の CA 証明書を設定するか、Security Cloud Control UI を使用して CA 証明書を作成することを強く推奨します。

ルール セット

ルールセットについて

ルールセットは、複数の FDM-managed デバイスと共有できるアクセス制御ルールのコレクションです。ルールセットのルールに加えられた変更は、このルールセットを使用する他の管理対象デバイスに影響します。FDM-managed デバイスには、デバイス固有の(ローカル)ルールと共有(ルールセット)ルールを含めることができます。FDM-managed デバイスの既存のルールからルールセットを作成することもできます。


重要

「ルールセット」機能は現在、FDM-managed デバイスバージョン 6.5 以降を実行しているデバイスで使用できます。ルールセットは Snort 3 が有効になっているデバイスをサポートしていないことにも注意してください。

次の制限が適用されます。

  • Snort 3 対応デバイスにルールセットをアタッチすることはできません。

  • Snort 3 がインストールされている既存のデバイスからルールセットを作成することはできません。

  • カスタム IPS ポリシーをルールセットに関連付けることはできません。

ルールセットに関連付けられたルールのコピーまたは移動

ルールセット内または異なるルールセット間でアクセス制御ルールをコピーまたは移動できます。また、ローカルとルールセット間でルールをコピーまたは移動することもできます。詳細については、「FDM アクセスコントロールルールのコピー」および「FDM アクセスコントロールルールの移動」を参照してください。

既存のルールセットの自動検出

デバイスをオンボーディングすると、Security Cloud Control はデバイス上の既存のルールセットを自動検出し、デバイス上のルールと一致させようとします。一致が成功すると、Security Cloud Control はルールセットを新しくオンボーディングされたデバイスに自動的にアタッチします。ただし、デバイス上の同じルールセットに一致するルールセットが複数ある場合、それらはどれもアタッチされないため、手動で割り当てる必要があります。

デバイスのルールセットの構成

以下のセクションを使用して、ルールセットを作成し展開します。

手順

ステップ 1

ルールセットを作成します

  1. 新しいルールセットを作成し、それにルールを割り当てます。

  2. オブジェクトをルールに割り当てます。

  3. ルールセットの優先順位を設定します。

  4. 必要に応じてルールの順序を変更します。

ステップ 2

ルールセットを複数の FDM-managed デバイスに展開します

  1. 複数のデバイスをルールセットに割り当てます。

  2. ルールセットを確認してデバイスに展開します。
ルールセットの作成または編集

ルールセットを作成し、新しいアクセス制御ルールをそのルールセットに追加できます。

次の手順を使用して、複数の FDM-managed デバイスのルールセットを作成します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Policies > FDM > Rulesets をクリックします。

ステップ 3

プラス ボタンをクリックして、新しいルールセットを作成します。

(注)  

 

既存のルールを編集するには、ルールセットを選択して、編集アイコン をクリックします。

ステップ 4

ルールセット名を入力し、[作成(Create)] をクリックします。

ステップ 5

アクセス制御ルールを作成して、ルールセットに追加します。詳細については、「FDM アクセス コントロール ポリシーの設定」を参照してください。

(注)  

 

ルールセットのアクセス制御ルールは、ユーザー基準をサポートしていません。

ステップ 6

ウィンドウの右上隅で、ルールセットの優先順位 を選択します。優先順位は、デバイスがルールセットに割り当てられていないときに設定できます。選択した優先順位は、このルールセットに含まれるすべてのルールと、デバイスでの処理方法に影響します。

  • [最上位(Top)]:このルールセットは、デバイス上の他のすべてのルールの前に処理されます。ルールがルールリストの一番上に配置され、最初に処理されます。このポリシーのルールの前に他のルールセットを配置することはできません。デバイスごとに最上位ルールセットを 1 つだけ設定できます。

  • [最下位(Bottom)]:このルールセットは、デバイス上の他のすべてのルールの後に処理されます。ポリシーのデフォルトアクションを除き、他のルールセットはこのポリシーのルールを継承できません。デバイスごとに最下位ルールセットを 1 つだけ設定できます。デフォルトでは、優先順位は [最下位(Bottom)] に設定されます。

[ローカルルール(Local Rules)] には、そのデバイス固有のルールがすべて表示されます。

(注)  

 

ルールセットがデバイスに割り当てられている場合、優先順位は変更できません。デバイスを切り離してから優先順位を変更する必要があります。

ステップ 7

[保存(Save)] をクリックします。必要な数だけルールを作成できます。

ステップ 8

(オプション)自分で作成したルールの場合、ルールを選択して、[コメントを追加(Add Comments)] フィールドでコメントを追加できます。ルールコメントに関する詳細については、「FTD ポリシーとルールセットのルールにコメントを追加する」を参照してください。

(注)  

 

  • ルールセットにデバイスが割り当てられている場合でも、ルールセット内のルールの順序を変更できます。ルールセットの優先順位を変更するには、次の手順を実行します。

    1. ナビゲーションウィンドウで、[ポリシー(Policies)] > [ルールセット(Rulesets)] をクリックし、変更するルールセットを選択します。

    2. 移動するルールを選択します。

    3. ルールの行内にカーソルを置き、上向き または下向き 矢印を使用して、ルールを目的の順序に移動します。

  • Security Cloud Control を使用すると、ルールセット内のルールに関連付けられたオブジェクトをオーバーライドできます。オブジェクトのオーバーライド新しいオブジェクトをルールに追加する場合、デバイスをルールセットに接続して変更を保存しないと、オブジェクトを上書きできません。

複数の FDM-Managed デバイスまたはテンプレートにルールセットを展開する

ルールを適用するには、デバイスまたはテンプレートにルールセットを割り当てる必要があります。変更を確認したら、デバイスに設定を展開できます。テンプレートを新しい FDM-managed デバイスに適用すると、そのテンプレートに含まれるルールセットがデバイスにプッシュされます。

詳細については、「FDM テンプレートを使用した FTD ルールセット」を参照してください。

はじめる前に知っておくべき情報は以下のとおりです。

  • ルールセットは、Security Cloud Control にオンボード済みの FDM-managed デバイスにのみ割り当てられます。

  • デバイスには、下位または上位のルールセットを 1 つだけ設定できます。

  • ルールセットにデバイスを割り当てたり、割り当て解除したりすると、変更は Security Cloud Control にステージングされても展開されないため、デバイスは Security Cloud Control と [未同期(Not Synced)] 状態になります。画面の右上隅にある アイコンをクリックして、変更をデバイスに展開します。

  • デバイスを割り当てた後、ルールセットに関連付けられた新しいルールは、デバイスに関連付けられている既存のルールを上書きしません。

次の 2 つの方法で、ルールセットをデバイスに関連付けることができます。

  • [ルールセット(Ruleset)] ページでルールセットにデバイスを追加する。

  • [デバイスポリシー(Device Policy)] ページでデバイスにルールセットを追加する。

[ルールセット(Ruleset)] ページでルールセットにデバイスを追加する
手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Policies > FDM > Rulesets をクリックします。

ステップ 3

FDM-managed デバイスに割り当てるルールセットを選択し、[アクション(Actions)] ペインで [編集(Edit)] をクリックします。

ステップ 4

右上の [ルールセットの対象(Ruleset for)] の横にある [デバイス(Device)] ボタン をクリックします。

ステップ 5

FDM-managed デバイスを候補リストから選択します。

ステップ 6

歯車アイコンをクリックして、ルールセット内のルールとデバイス固有のルールとの間で重複した名前が特定された場合にシステムが実行するアクションを次から 1 つ選択します。

  • [競合するルールで処理中断(Fail on conflicting rules)](デフォルトオプション):Security Cloud Control はルールセットをデバイスに追加しません。重複するルール名を手動で変更してから、ルールセットを追加する必要があります。

  • [競合するルール名を変更(Rename conflicting rules)]:Security Cloud Control は、デバイス上の競合するルール名を変更します(ローカルルール)。

ステップ 7

[保存(Save)] をクリックします。[デバイスに割り当てられたルールセット(Attached Ruleset to Devices)] ウィザードが閉じられます。

ステップ 8

右上隅の [保存(Save)] をクリックして、ルールセットの変更内容を保存します。ルールセットを保存すると、変更は Security Cloud Control にステージングされます。

(注)  

 

ルールセットを変更するたびに、[保存(Save)] をクリックする必要があります。クリックすると、すべての変更が Security Cloud Control にステージングされます。変更は手動で展開する必要があります。

ステップ 9

[確認(Confirm)] をクリックします。ルールセットを保存すると、変更は Security Cloud Control にステージングされます。

ステップ 10

行った変更をレビューして展開するか、複数の変更を後から一度に展開します。デバイスでステージングされたルールセットの変更を破棄する場合は、「ステージングされたルールセットの変更破棄による影響」を参照してください。

[デバイスポリシー(Device Policy)] ページでデバイスにルールセットを追加する
手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、目的のデバイスをリストから選択します。

ステップ 4

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 5

ウィンドウの右上隅に表示される ボタンをクリックします。

ステップ 6

必要なルールセットを選択します。

ステップ 7

歯車アイコンをクリックして、ルールセット内のルールとデバイス固有のルールとの間で重複した名前が特定された場合にシステムが実行するアクションを次から 1 つ選択します。

  • [競合するルールで処理中断(Fail on conflicting rules)](デフォルトオプション):Security Cloud Control はルールセットをデバイスに追加しません。重複するルール名を手動で変更してから、ルールセットを追加する必要があります。

  • [競合するルール名を変更(Rename conflicting rules)]:Security Cloud Control は、デバイス上の競合するルール名を変更します(ローカルルール)。

(注)  

 

選択したデバイスに競合するルールがない場合、Security Cloud Control はルールセットを変更せずにデバイスに関連付けます。

ステップ 8

[ルールセットの割り当て(Attach Ruleset)] をクリックします。ルールセットは、ルールセットの優先順位に基づいてデバイスに追加されます。

ステップ 9

行った変更をレビューして展開するか、複数の変更を後から一度に展開します。デバイスでステージングされたルールセットの変更を破棄する場合は、「ステージングされたルールセットの変更破棄による影響」を参照してください。

FDM-Managed テンプレートを使用したルールセット

Security Cloud Control を使用すると、FDM-managed テンプレートにルールセットを割り当てられます。

  • ルールセットを使用して FDM-managed デバイスからテンプレートを作成すると、Security Cloud Control により、ソースデバイスの既存のルールセットにテンプレートが自動的に追加されます。テンプレートはルールセットから管理できます。

  • ルールセットが割り当てられたテンプレートをターゲット FDM-managed デバイスに適用すると、Security Cloud Control によりターゲットデバイスがルールセットに自動的に追加されるため、ターゲットデバイスはルールセットから管理されます。

  • ルールセットが割り当てられたテンプレートを別のルールセットがあるターゲット FDM-managed デバイスに適用すると、Security Cloud Control によりターゲットデバイスから既存のルールセットが削除され、テンプレートに関連付けられた新しいルールセットが追加されます。

詳細については、「複数の FDM-Managed デバイスまたはテンプレートにルールセットを展開する」を参照してください。

既存のデバイスルールを使用したルールセットの作成

FDM-managed デバイスで既存のルールを選択することで、ルールセットを作成できます。

既存のデバイスルールからルールセットを作成するには、次の手順を実行します。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、該当するデバイスをリストから選択します。

ステップ 4

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。デバイスの既存のルールが表示されます。

ステップ 5

要件に基づいて、以下を実行します。

  1. [上位(Top)] ルールを作成するには、最上位のルールから順にルールを選択します。

  2. [下位(Bottom)] ルールを作成するには、最下位のルールが最後になるように順番にルールを選択します。

ステップ 6

右側の [アクション(Actions)] ペインで [ルールセットの作成(Create Ruleset)] をクリックします。

(注)  

 

選択に最初または最後のルールを含めると、[ルールセットの作成(Create Ruleset)] リンクをクリックできるようにするになります。

ステップ 7

[ルールセット名(Ruleset Name)] フィールドに名前を指定し、[作成(Create)] をクリックします。対応するルールセットがデバイスに作成されます。

デバイス内の残りのルールを使用して、引き続きルールセットを作成できます。

ルールセットのアウトオブバンド変更による影響

FDM-managed デバイスを使用して新しいルールを追加するか、既存のルールを変更すると、FDM-managed デバイスに対する Security Cloud Control の競合検出が有効になっている場合、Security Cloud Control ではアウトオブバンドの変更が検出され、デバイスの設定ステータスに [競合検出(Conflict Detected)] と表示されます。この競合を解決するには、変更を受け入れるか拒否すします

デバイスの変更を受け入れると、Security Cloud Control が最後に認識された設定をデバイスの新しい変更で上書きします。変更は次のように行われます。

  • 変更の影響を受けるルールセットは、デバイスとの関連付けを失います。

  • これらのルールセットに関連付けられたルールは、ローカルルールに変換されます。

デバイスの変更を拒否すると、Security Cloud Control は新しい変更を拒否し、デバイスの設定を Security Cloud Control で最後に同期された設定に置き換えます。

ステージングされたルールセットの変更破棄による影響

ルールセットに新しいルールを追加する、または Security Cloud Control を使用してルールセットに関連付けられた既存のルールを変更すると、変更内容は構成ファイル独自のコピーに保存されます。それらの変更は、デバイスに「展開」されるまで、Security Cloud Control で「保留中」と見なされます。

デバイスで保留中のルールセットの変更を破棄すると、Security Cloud Control はデバイスに保存されている設定でデバイス設定のローカルコピーを完全に上書きします。

ルールセットおよび関連するデバイスでは、次の変更が発生します。

  • 変更の影響を受けるルールセットは、デバイスとの関連付けを失います。

  • これらのルールセットに関連付けられたルールは、ローカルルールに変換されます。

  • Security Cloud Control では、新たにステージングされた変更が破棄されて、デバイスに存在する設定が保持されます。

ルールとルールセットの表示

[デバイスポリシー(Device Policy)] ページでルールを表示する

FDM-managed の [デバイスポリシー(Device Policy)] ページには、個別(ローカル)および共有ルール(ルールセットに関連付けられている)が表示されます。

次の手順を使用して、ポリシーページの FDM-managed デバイスルールセットを表示します。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、目的のデバイスを選択します。

ステップ 4

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。設定に基づいて、次のルールが表示されます。

  • [上位ルール(Top Rules)]:デバイス上の他のすべてのルールの前に処理される必須の共有ルールが表示されます。

  • [ローカルルール(Local Rules)]:デバイスの必須ルールの後に処理されるデバイス固有のルールが表示されます。

  • [下位(Bottom)]:デバイス上の他のすべてのルールの後に処理されるデフォルトの共有ルールが表示されます。

(注)  

 

対応するルールセットページに移動して、ルールセットを編集できます。

  1. ルールセットヘッダーの右上隅で、[ルールセットに移動(Go to ruleset)] をクリックします。

  2. ルールを変更したら、[保存(Save)] をクリックします。新しい変更は、ルールセットに関連付けられているすべてのデバイスで更新されます。

ルールセットの表示

[ルールセット(Rulesets)] ページには、テナントで使用可能なすべてのルールセットが表示されます。また、ルールセットに関連付けられたデバイスについての情報も提供します。

[ルールセット(Rulesets )] ページからすべてのルールセットを表示するには、次の手順を実行します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Policies > FDM > Rulesets をクリックします。テナントで使用可能なルールが表示されます。

ステップ 3

ルールセットをクリックして、その詳細を表示します。[デバイス(Devices)] 列には、各ルールセットに割り当てられている FDM-managed デバイスの数が表示されます。

ステップ 4

[管理(Management)] ペインで、[ワークフロー(Workflows)] をクリックします。このページには、デバイスで実行したすべての操作が表示されます。[ダイアグラム(Diagram)] をクリックすると、ワークフローが図で示されます。

ルールセットの検索

[デバイスでフィルタ処理(Filter by Device)] のフィルタ機能でデバイスを選択し、そのデバイスに割り当てられたルールセットを表示できます。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Policies > FDM > Rulesets をクリックします。テナントで使用可能なルールが表示されます。

ステップ 3

フィルタアイコンをクリックし、[デバイスでフィルタ処理(Filter by Device)] をクリックします。

ステップ 4

リストから 1 つ以上のデバイスを選択し、[OK] をクリックします。

選択したデバイスに基づいてルールセットが表示されます。
ルールセットと関連するジョブの表示

[ジョブ(Jobs)] ページには、ルールセットを FDM-managed デバイスに適用したとき、または FDM-managed デバイスからルールセットを削除したときのアクションが記録されます。また、アクションが成功したか失敗したかが示されています。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Policies > FDM > Rulesets をクリックします。テナントで使用可能なルールが表示されます。

ステップ 3

ルールセットをクリックして、その詳細を表示します。

ステップ 4

[管理(Management)] ペインで、[ジョブ(Jobs)] をクリックします。このページには、ルールセットで実行したアクションが表示されます。

ルールセット作成後のログエントリの変更

Security Cloud Control はルールセットでの変更を検出すると、そのルールセットで実行されたすべてのアクションに関する変更ログエントリを作成します。

変更ログエントリの行にある青色の [差分(Diff)] リンクをクリックすると、実行コンフィギュレーション ファイルのコンテキストで変更が並べて表示されるため、変更を対比できます。変更ログの差異の表示

次の例では、3 つのルールが追加された新しいルールセットに関するエントリが変更ログに示されています。また、ルールセットの優先順位とルールセットに割り当てられている FDM-managed デバイスの設定に関する情報も表示されます。

図の番号

 説明

1

新しいルールセット「Ruleset_3」は、2020 年 2 月 25 日の午前 11:03:18 に作成されています。

2

ルールセット内に、新しいアクセスルール「new_rule_1」、「new_rule_3」、「new_rule_3」が作成されます。

3

ルールセットの優先順位は「必須」に設定されます。

4

ルールセットは「BGL_FTD」デバイスに割り当てられます。

5

ルールセットの変更が保存されます。

選択したルールセットからの FDM-Managed デバイスの分離

ルールセットからデバイスを分離するには、次の手順を使用します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Policies > FDM > Rulesets をクリックします。テナントで使用可能なルールが表示されます。

ステップ 3

編集するルールセットを選択し、[アクション(Actions)] ペインの [編集(Edit)] リンクをクリックします。

ステップ 4

右上の [ルールセットの対象(Ruleset for)] の横にある [デバイス(Device)] ボタンをクリックします。

ステップ 5

ルールセットに現在割り当てられているデバイスのチェックボックスをオフにするか、[クリア(Clear)] をクリックしてすべてのデバイスを一度に削除します。

ステップ 6

[保存(Save)] をクリックします。

ステップ 7

右上のウィンドウで [保存(Save)] をクリックして、ルールセットを保存します。ポリシーを保存すると、変更は Security Cloud Control にステージングされます。

ステップ 8

行った変更をレビューして展開するか、複数の変更を後から一度に展開します。

ルールとルールセットの削除

ルールセットからのルールの削除

ルールセットで不要になったルールを削除できます。

ルールを削除するには、次の手順を実行します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Policies > FDM > Rulesets をクリックします。テナントで使用可能なルールが表示されます。

ステップ 3

[アクション(Actions)] ペインで [編集(Edit)] をクリックします。

ステップ 4

削除するルールを選択し、[アクション(Actions)] の下の [削除(Remove)] をクリックします。

ステップ 5

[OK] をクリックして、削除を実行します。

ステップ 6

右上隅の [保存(Save)] をクリックして、ルールセットの変更内容を保存します。ルールセットを保存すると、変更は Security Cloud Control にステージングされます。

ステップ 7

変更を今すぐプレビューして展開するか、複数の変更を後から一度に展開します。

ルールセットの削除

ルールセットを削除できるのは、ルールセットに関連付けられているすべてのデバイスを切り離した後に限られます。「ルールセットからの FDM-Managed デバイスの分離」を参照してください。

ルールセットを削除するには、次の手順を実行します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Policies > FDM > Rulesets をクリックします。テナントで使用可能なルールが表示されます。

ステップ 3

ルールセット行内の [削除(Remove)] をクリックします。

ステップ 4

[確認(Confirm)] をクリックして、ルールセットを完全に削除します。

ステップ 5

変更を今すぐレビューして展開するか、後から複数の変更を一度に展開します。

選択した FTD デバイスからのルールセットの削除

選択した FTD デバイスからルールセットを削除する方法は 2 通りあり、操作が若干異なります。

選択した FDM-Managed デバイスからのルールセットの削除

選択した FDM-managed デバイスからルールセットとそれに関連付けられた共有ルールを削除できます。ルールセットページでは、FDM-managed デバイスからルールセットを切り離すこともできます。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Policies > FDM > Rulesets をクリックします。テナントで使用可能なルールが表示されます。

ステップ 3

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 4

[FTD] タブをクリックして、該当するデバイスをリストから選択します。

ステップ 5

ルールセットの右上隅に表示される削除アイコンをクリックします。

ステップ 6

[確認(Confirm)] をクリックします。

ステップ 7

行った変更をレビューして展開するか、待機してから複数の変更を一度に展開します。

選択した FDM-Managed デバイスとルールセットの関連付け解除

新しいデバイス固有のルールを FDM-managed デバイスのルールセットに追加する場合は、そのルールセットと FDM-managed デバイスの関連付けを解除する必要があります。解除すると、関連付けられている共有ルールがローカルルールに変換されます。その後、ローカルルールに必要なルールを追加できます。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Policies > FDM > Rulesets をクリックします。テナントで使用可能なルールが表示されます。

ステップ 3

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 4

[FTD] タブをクリックして、該当するデバイスをリストから選択します。

ステップ 5

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 6

ルールセットの右上隅に表示される アイコンをクリックします。

ステップ 7

[確認(Confirm)] をクリックします。

ステップ 8

行った変更をレビューして展開するか、待機してから複数の変更を一度に展開します。

ポリシーとルールセットのルールにコメントを追加する

FDM-managed デバイスポリシーのルールおよびルールセットのルールにコメントを追加して、ルールのいくつかの特性を文書化できます。ルールコメントは Security Cloud Control でのみ表示されます。FDM-managed デバイスに書き込まれることも、FDM に表示されることもありません。

コメントは、ルールが作成されて Security Cloud Control に保存された後で、ルールに追加されます。ルールコメントは Security Cloud Control の機能にすぎないため、ルールコメントを作成、変更、または削除しても、Security Cloud Control 内のデバイスの設定ステータスは [未同期(Not Synced)] に変更されません。ルールコメントを保存するために、Security Cloud Control から FDM-managed デバイスに変更を書き込む必要はありません。

FDM-managed デバイスポリシーのルールに関連付けられたコメントは、デバイスのポリシーページで表示および編集できます。FDM-managed デバイスルールセットのルールに関連付けられたコメントは、ルールセットページで表示および編集できます。ルールセットがポリシーで使用されている場合、ルールセット内のいずれかのルールに関連付けられているコメントは、ポリシーのコメント領域に表示されます。コメントは読み取り専用です。

ポリシー、ルールセット、または変更ログで文字列を検索すると、Security Cloud Control は、ルールに関連付けられたコメントで文字列を検索し、ルールのその他の属性や値も検索します。

ルールのコメントが追加または編集されると、そのアクションが変更ログに記録されます。ルールコメントは Security Cloud Control でのみ記録および維持されるため、変更ログでは「Security Cloud Control-only change」というラベルが付けられます。


注意    

FDM-managed デバイスの設定にアウトオブバンドの変更があり、Security Cloud Control がその設定をデータベースに読み込んだ場合、ルールに関連付けられたコメントはすべて消去されます。

ルールへのコメントの追加

手順

ステップ 1

コメントするルールがあるポリシーまたはルールセットを開きます。

ステップ 2

ルールを選択します。

ステップ 3

ルールの [コメントの追加(Add Comment)] 領域で [コメントの追加(Add Comment)] をクリックします。

ステップ 4

テキストボックスにコメントを入力します。

ステップ 5

[Save] をクリックします。

ポリシーとルールセット内のルールに関するコメントの編集

ポリシー内のルールに関するコメントの編集

次の手順を使用して、FDM-managed デバイスポリシー内のルールに関するコメントを編集します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Policies > FDM > Rulesets をクリックします。

ステップ 3

コメントを追加するローカルルールがある FDM-managed デバイスポリシーを選択します。ポリシー内のルールセットのルールにコメントを追加することはできません。

ステップ 4

[コメント(Comment)] ペインで、編集アイコン をクリックします。

ステップ 5

コメントを編集して、[保存(Save)] をクリックします。[コメント(Comment)] 領域にコメントの変更がすぐに反映されます。
ルールセット内のルールに関するコメントの編集

ルールセット内のルールに関するコメントの変更がポリシーページに反映されるようにするには、コメントとルールを特定の順序で変更する必要があります。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 2

左側のペインで Policies > FDM > Rulesets をクリックします。

ステップ 3

コメントを追加するルールを含むルールセットを選択します。

ステップ 4

[アクション(Actions)] ペインで、[編集(Edit)] をクリックします。

ステップ 5

ルールを選択します。

ステップ 6

[コメント(Comment)] ペインで、編集アイコン をクリックします。

ステップ 7

コメントを編集して、[保存(Save)] をクリックします。ルールセットページのコメント領域にコメントの変更がすぐに反映されます。

ステップ 8

変更するルールを選択し、操作ウィンドウで [編集(Edit)] をクリックします。

ステップ 9

ルールを編集したら、青いチェックボタンをクリックして変更を保存します。

ステップ 10

ルールセットページの上部で、[保存(Save)] をクリックしてルールセットを保存します。ルールセット内のルールの新しいコメントがすぐにポリシーページに反映されます。

ステップ 11

ポリシーページでコメントの変更を確認するには、次の手順を実行します。

  1. Security Cloud Control メニューバーから、[ポリシー(Policies)] > [FTD/Cisco Meraki/AWSポリシー(FTD/Meraki/AWS Policies)] を選択します。

  2. 編集したルールセットを含む FDM-managed デバイスポリシーを選択します。

  3. コメントを編集したルールを選択します。[コメント(Comment)] ウィンドウに新しいコメントが表示されることを確認します。

ネットワーク アドレス変換

IP ネットワーク内の各コンピュータおよびデバイスには、ホストを識別する固有の IP アドレスが割り当てられています。パブリック IPv4 アドレスが不足しているため、これらの IP アドレスの大部分はプライベートであり、企業のプライベートネットワークの外部にルーティングできません。RFC 1918 では、アドバタイズされない、内部で使用できるプライベート IP アドレスが次のように定義されています。

  • 10.0.0.0 ~ 10.255.255.255

  • 172.16.0.0 ~ 172.31.255.255

  • 192.168.0.0 ~ 192.168.255.255

ネットワーク アドレス変換(NAT)の主な機能の 1 つは、プライベート IP ネットワークがインターネットに接続できるようにすることです。NAT は、プライベート IP アドレスをパブリック IP に置き換え、内部プライベート ネットワーク内のプライベート アドレスをパブリック インターネットで使用可能な正式の、ルーティング可能なアドレスに変換します。このようにして、NAT はパブリック アドレスを節約します。これは、ネットワーク全体に対して 1 つのパブリック アドレスだけを外部に最小限にアドバタイズするように NAT を設定できるためです。

NAT の他の機能には、次のおりです。

  • セキュリティ:内部アドレスを隠蔽し、直接攻撃を防止します。

  • IP ルーティングソリューション:NAT を使用する際に、重複 IP アドレスが問題になりません。

  • 柔軟性:外部で使用可能なパブリックアドレスに影響を与えずに、内部 IP アドレス方式を変更できます。たとえば、インターネットにアクセス可能なサーバーの場合、インターネット用に固定 IP アドレスを維持できますが、内部向けにサーバーのアドレスを変更することができます。

  • IPv4 と IPv6(ルーテッドモードのみ)の間の変換:IPv4 ネットワークに IPv6 ネットワークを接続する場合は、NAT を使用すると、2 つのタイプのアドレス間で変換を行うことができます。

Security Cloud Control を使用して、さまざまな使用例の NAT ルールを作成できます。NAT ルールウィザードまたは次のトピックを使用して、さまざまな NAT ルールを作成します。

NAT ルールの処理命令

ネットワークオブジェクトの NAT ルールおよび Twice NAT ルールは、3 つセクションに分割された 1 つのテーブルに格納されます。最初にセクション 1 のルール、次にセクション 2、最後にセクション 3 というように、一致が見つかるまで順番に適用されます。たとえば、セクション 1 で一致が見つかった場合、セクション 2 とセクション 3 は評価されません。次の表に、各セクション内のルールの順序を示します。

表 5. NAT ルール テーブル

テーブルのセクション

ルール タイプ

セクション内のルールの順序

セクション 1

Twice NAT(ASA)

手動 NAT(FTD)

設定に登場する順に、最初の一致ベースで適用されます。最初の一致が適用されるため、一般的なルールの前に固有のルールが来るようにする必要があります。そうしない場合、固有のルールを期待どおりに適用できない可能性があります。デフォルトでは、Twice NAT ルールはセクション 1 に追加されます。

セクション 2

ネットワークオブジェクト NAT(ASA)

自動 NAT(FTD)

セクション 1 で一致が見つからない場合、セクション 2 のルールが次の順序で適用されます。

  1. スタティックルール

  2. ダイナミックルール

各ルール タイプでは、次の順序ガイドラインが使用されます。

  1. 実際の IP アドレスの数量:小から大の順。たとえば、アドレスが 1 個のオブジェクトは、アドレスが 10 個のオブジェクトよりも先に評価されます。

  2. 数量が同じ場合には、IP アドレス番号(最小から最大まで)が使用されます。たとえば、10.1.1.0 は、11.1.1.0 よりも先に評価されます。

  3. 同じ IP アドレスが使用される場合、ネットワーク オブジェクトの名前がアルファベット順で使用されます。たとえば、オブジェクト「Arlington」はオブジェクト「Detroit」の前に評価されます。

セクション 3

Twice NAT(ASA)

手動 NAT(FTD)

まだ一致が見つからない場合、セクション 3 のルールがコンフィギュレーションに登場する順に、最初の一致ベースで適用されます。このセクションには、最も一般的なルールを含める必要があります。このセクションにおいても、一般的なルールの前に固有のルールが来るようにする必要があります。そうしない場合、一般的なルールが適用されます。

たとえばセクション 2 のルールでは、ネットワーク オブジェクト内に定義されている次の IP アドレスがあるとします。

  • 192.168.1.0/24(スタティック)

  • 192.168.1.0/24(ダイナミック)

  • 10.1.1.0/24(スタティック)

  • 192.168.1.1/32(スタティック)

  • 172.16.1.0/24(ダイナミック)(オブジェクト Detroit)

  • 172.16.1.0/24(ダイナミック)(オブジェクト Arlington)

この結果、使用される順序は次のとおりです。

  • 192.168.1.1/32(スタティック)

  • 10.1.1.0/24(スタティック)

  • 192.168.1.0/24(スタティック)

  • 172.16.1.0/24(ダイナミック)(オブジェクト Arlington)

  • 172.16.1.0/24(ダイナミック)(オブジェクト Detroit)

  • 192.168.1.0/24(ダイナミック)

ネットワークアドレス変換ウィザード

ネットワークアドレス変換(NAT)ウィザードは、次のタイプのアクセスに使用する NAT ルールをデバイスで作成する際に役立ちます。

  • 内部ユーザーのインターネットアクセスを有効にする。この NAT ルールを使用して、内部ネットワーク上のユーザーがインターネットにアクセスできるようにすることができます。

  • 内部サーバーをインターネットに公開する。この NAT ルールを使用して、ネットワーク外のユーザーが内部 Web サーバーまたは電子メールサーバーにアクセスできるようにすることができます。

「内部ユーザーのインターネットアクセスを有効にする」ための前提条件

NAT ルールを作成する前に、次の情報を収集します。

  • ユーザーに最も近いインターフェイス。通常これは「内部」インターフェイスと呼ばれます。

  • インターネット接続に最も近いインターフェイス。通常これは「外部」インターフェイスと呼ばれます。

  • 特定のユーザーのみにインターネットへのアクセスを許可する場合は、それらのユーザーのサブネットアドレスが必要です。

「内部サーバーをインターネットに公開する」ための前提条件

NAT ルールを作成する前に、次の情報を収集します。

  • ユーザーに最も近いインターフェイス。通常これは「内部」インターフェイスと呼ばれます。

  • インターネット接続に最も近いインターフェイス。通常これは「外部」インターフェイスと呼ばれます。

  • インターネット側の IP アドレスに変換する、ネットワーク内のサーバーの IP アドレス。

  • サーバーが使用するパブリック IP アドレス。

次の作業

NAT ウィザードを使用した NAT ルールの作成を参照してください。

NAT ウィザードを使用した NAT ルールの作成

始める前に
NAT ウィザードを使用して NAT ルールを作成するために必要な前提条件については、ネットワークアドレス変換ウィザードを参照してください。
手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

[Filter][Search]フィールドを使用して、NAT ルールを作成するデバイスを見つけます。

ステップ 5

詳細パネルの [管理(Management)] 領域で、[NAT] をクリックします。

ステップ 6

> [NAT ウィザード(NAT Wizard)] をクリックします。

ステップ 7

NAT ウィザードの質問に回答し、画面の指示に従います。

  • NAT ウィザードはネットワーク オブジェクトを使用してルールを作成します。ドロップダウンメニューから既存のオブジェクトを選択するか、作成ボタン で新しいオブジェクトを作成します。

  • NAT ルールを保存する前に、すべての IP アドレスをネットワークオブジェクトとして定義する必要があります。

ステップ 8

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

NAT の一般的な使用例

Twice NAT と手動 NAT

「自動 NAT」とも呼ばれる「ネットワークオブジェクト NAT」を使用して達成できるいくつかの一般的なタスクを次に示します。

ネットワークオブジェクト NAT と自動 NAT

「手動 NAT」とも呼ばれる「Twice NAT」を使用して達成できる一般的なタスクを次に示します。

内部ネットワーク上のサーバーがパブリック IP アドレスを使用してインターネットに到達できるようにする

使用例

インターネットからアクセスする必要があるプライベート IP アドレスを持つサーバーがあり、1 つのパブリック IP アドレスからプライベート IP アドレスへの NAT に十分なパブリック IP アドレスがある場合は、この NAT 戦略を使用します。パブリック IP アドレスの数に限りがある場合は、「パブリック IP アドレスの特定のポートでユーザーが内部ネットワーク上のサーバーを使用できるようにする」を参照してください(このソリューションの方が適している可能性があります)。

方法

サーバーは静的なプライベート IP アドレスを持ち、そのサーバーにネットワークの外部のユーザーがアクセスできる必要があります。静的プライベート IP アドレスを静的パブリック IP アドレスに変換するネットワークオブジェクト NAT ルールを作成します。その後、そのパブリック IP アドレスからのトラフィックがプライベート IP アドレスに到達できるようにするアクセスポリシーを作成します。最後に、これらの変更をデバイスに展開します。

始める前に

まず始めに、2 つのネットワークオブジェクトを作成します。一方のオブジェクトを「servername_inside」と名前を付け、もう一方のオブジェクトに「servername_outside」という名前を付けます。servername_inside ネットワークオブジェクトには、サーバーのプライベート IP アドレスが含まれている必要があります。servername_outside ネットワークオブジェクトには、サーバーのパブリック IP アドレスが含まれている必要があります。

手順については、「ネットワークオブジェクトの作成」を参照してください。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

NAT ルールを作成するデバイスを選択します。

ステップ 5

右側の [管理(Management)] ペインで [NAT] をクリックします。

ステップ 6

> [ネットワークオブジェクト NAT(Network Object NAT)] をクリックします。

ステップ 7

セクション 1 の [タイプ(Type)] で、[静的(Static)] を選択します。[続行(Continue)] をクリックします。

ステップ 8

セクション 2 の [インターフェイス(Interfaces)] で、送信元インターフェイスには [内部(inside)] を選択し、接続先インターフェイスには [外部(outside)] を選択します。[続行(Continue)] をクリックします。

ステップ 9

セクション 3 の [パケット(Packets)] で、次のアクションを実行します。

  1. [元のアドレス(Original Address)] メニューを展開し、[選択(Choose)] をクリックして、servername_inside オブジェクトを選択します。

  2. [変換済みアドレス(Translated Address)] メニューを展開し、[選択](Choose)] をクリックして、servername_outside オブジェクトを選択します。

ステップ 10

セクション 4 の [詳細(Advanced)] はスキップしてください。

ステップ 11

FDM 管理対象デバイスの場合、セクション 5 の [名前(Name)] で、NAT ルールに名前を付けます。

ステップ 12

[保存(Save)] をクリックします。

ステップ 13

ASA の場合はネットワークポリシー規則を展開し、FDM-managed デバイスの場合はアクセス コントロール ポリシー規則を展開して、servername_inside から servername_outside へのトラフィックフローを可能にします。

ステップ 14

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

内部ネットワーク上のユーザーが外部インターフェイスのパブリック IP アドレスを使用してインターネットにアクセスできるようにする

使用例

外部インターフェイスのパブリックアドレスを共有することにより、プライベートネットワーク内のユーザーとコンピューターがインターネットに接続できるようにします。

方法

プライベートネットワーク上のすべてのユーザーがデバイスの外部インターフェイスのパブリック IP アドレスを共有できるようにするポートアドレス変換(PAT)ルールを作成します。

プライベートアドレスがパブリックアドレスとポート番号にマッピングされると、デバイスはそのマッピングを記録します。そのパブリック IP アドレスとポート宛の着信トラフィックを受信すると、デバイスはトラフィックを要求したプライベート IP アドレスにトラフィックを送り返します。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

NAT ルールを作成するデバイスを選択します。

ステップ 5

右側の [管理(Management)] ペインで [NAT] をクリックします。

ステップ 6

[ネットワークオブジェクトNAT(Network Object NAT)] をクリックします。

ステップ 7

セクション 1 の [タイプ(Type)] で、[ダイナミック(Dynamic)] を選択します。[続行(Continue)] をクリックします。

ステップ 8

セクション 2 の [インターフェイス(Interfaces)] で、送信元インターフェイスには [任意(any)] を選択し、接続先インターフェイスには [外部(outside)] を選択します。[続行(Continue)] をクリックします。

ステップ 9

セクション 3 の [パケット(Packets)] で、次のアクションを実行します。

  1. [元のアドレス(Original Address)] メニューを展開し、[選択(Choose)] をクリックして、ネットワーク構成に応じて [any-ipv4] オブジェクトまたは [any-ipv6] オブジェクトを選択します。

  2. [変換済みアドレス(Translated Address)] メニューを展開し、利用可能なリストから [インターフェイス(interface)] を選択します。インターフェイスにより、外部インターフェイスのパブリックアドレスを使用することが示唆されています。

ステップ 10

FDM 管理対象デバイスの場合、セクション 5 の [名前(Name)] に NAT ルールの名前を入力します。

ステップ 11

[保存(Save)] をクリックします。

ステップ 12

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

ASA の保存済み構成ファイルのエントリ

この手順を実行することで、ASA の保存済み構成ファイル内に次のエントリが作成および表示されます。


(注)  

これは FDM-managed デバイスには適用されません。

この手順によって作成されるオブジェクト:

object network any_network
subnet 0.0.0.0 0.0.0.0

この手順によって作成される NAT ルール:

object network any_network
nat (any,outside) dynamic interface

内部ネットワーク上のサーバーをパブリック IP アドレスの特定のポートで使用できるようにする

使用例

パブリック IP アドレスが 1 つしかない場合、または数が非常に限られている場合は、静的 IP アドレスとポートにバインドされた受信トラフィックを内部アドレスに変換するネットワークオブジェクト NAT ルールを作成できます。特定のケースの手順を提供していますが、これらはサポートされている他のアプリケーションのモデルとして使用できます。

前提条件

まず始めに、FTP、HTTP、および SMTP サーバーのネットワークオブジェクトを 1 つずつ、合計 3 つの個別のオブジェクトを作成します。この手順のために、これらのオブジェクトを ftp-server-objecthttp-server-object、および smtp-server-object と呼びます。

手順については、「」「ネットワークオブジェクトの作成」を参照してください。

FTP サーバーへの NAT 着信 FTP トラフィック
手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

NAT ルールを作成するデバイスを選択します。

ステップ 5

右側の [管理(Management)] ペインで [NAT] をクリックします。

ステップ 6

> [ネットワークオブジェクト NAT(Network Object NAT)] をクリックします。

ステップ 7

セクション 1 の [タイプ(Type)] で、[静的(Static)] を選択します。[続行(Continue)] をクリックします。

ステップ 8

セクション 2 の [インターフェイス(Interfaces)] で、送信元インターフェイスには [内部(inside)] を選択し、接続先インターフェイスには [外部(outside)] を選択します。[続行(Continue)] をクリックします。

ステップ 9

セクション 3 の [パケット(Packets)] で、次のアクションを実行します。

  • [元のアドレス(Original Address)] メニューを展開し、[選択(Choose)] をクリックして、ftp-server-object を選択します。

  • [変換済みアドレス(Translated Address)] メニューを展開し、[選択](Choose)] をクリックして、[インターフェイス(Inerface)] を選択します。

  • [ポート変換の使用(Use Port Translation)] にチェックを付けます。

  • [tcp]、[ftp]、[ftp] を選択します。

ステップ 10

セクション 4 の [詳細(Advanced)] はスキップしてください。

ステップ 11

FDM 管理対象デバイスの場合、セクション 5 の [名前(Name)] で、NAT ルールに名前を付けます。

ステップ 12

[保存(Save)] をクリックします。NAT テーブルの セクション 2 に新しいルールが作成されます。

ステップ 13

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

HTTP サーバーへの NAT 着信 HTTP トラフィック

パブリック IP アドレスが 1 つしかない場合、または数が非常に限られている場合は、静的 IP アドレスとポートにバインドされた受信トラフィックを内部アドレスに変換するネットワークオブジェクト NAT ルールを作成できます。特定のケースの手順を提供していますが、これらはサポートされている他のアプリケーションのモデルとして使用できます。

始める前に

まず始めに、HTTP サーバーのネットワークオブジェクトを作成します。この手順のために、オブジェクトを http-object と呼びます。

手順については、「」「ネットワークオブジェクトの作成Firepower ネットワークオブジェクトまたはネットワークグループの作成または編集」を参照してください。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

NAT ルールを作成するデバイスを選択します。

ステップ 5

右側の [管理(Management)] ペインで [NAT] をクリックします。

ステップ 6

> [ネットワークオブジェクト NAT(Network Object NAT)] をクリックします。

ステップ 7

セクション 1 の [タイプ(Type)] で、[静的(Static)] を選択します。[続行(Continue)] をクリックします。

ステップ 8

セクション 2 の [インターフェイス(Interfaces)] で、送信元インターフェイスには [内部(inside)] を選択し、接続先インターフェイスには [外部(outside)] を選択します。[続行(Continue)] をクリックします。

ステップ 9

セクション 3 の [パケット(Packets)] で、次のアクションを実行します。

  • [オリジナルアドレス(Original Address)] メニューを展開し、[選択](Choose)] をクリックして、http オブジェクトを選択します。

  • [変換済みアドレス(Translated Address)] メニューを展開し、[選択](Choose)] をクリックして、[インターフェイス(Inerface)] を選択します。

  • [ポート変換の使用(Use Port Translation)] にチェックを付けます。

  • tcphttp、http を選択します。

ステップ 10

セクション 4 の [詳細(Advanced)] はスキップしてください。

ステップ 11

FDM 管理対象デバイスの場合、セクション 5 の [名前(Name)] で、NAT ルールに名前を付けます。

ステップ 12

[保存(Save)] をクリックします。NAT テーブルの セクション 2 に新しいルールが作成されます。

ステップ 13

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

SMTP サーバーへの NAT 着信 SMTP トラフィック

パブリック IP アドレスが 1 つしかない場合、または数が非常に限られている場合は、静的 IP アドレスとポートにバインドされた受信トラフィックを内部アドレスに変換するネットワークオブジェクト NAT ルールを作成できます。特定のケースの手順を提供していますが、これらはサポートされている他のアプリケーションのモデルとして使用できます。

始める前に

まず始めに、smtp サーバーのネットワークオブジェクトを作成します。この手順の説明では、オブジェクトを smtp-object と呼びます。

手順については、「」「ネットワークオブジェクトの作成Firepower ネットワークオブジェクトまたはネットワークグループの作成または編集」を参照してください。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

NAT ルールを作成するデバイスを選択します。

ステップ 5

右側の [管理(Management)] ペインで [NAT] をクリックします。

ステップ 6

> [ネットワークオブジェクト NAT(Network Object NAT)] をクリックします。

ステップ 7

セクション 1 の [タイプ(Type)] で、[静的(Static)] を選択します。[続行(Continue)] をクリックします。

ステップ 8

セクション 2 の [インターフェイス(Interfaces)] で、送信元インターフェイスには [内部(inside)] を選択し、接続先インターフェイスには [外部(outside)] を選択します。[続行(Continue)] をクリックします。

ステップ 9

セクション 3 の [パケット(Packets)] で、次のアクションを実行します。

  • [元のアドレス(Original Address)] メニューを展開し、[選択(Choose)] をクリックして、smtp-server-object を選択します。

  • [変換済みアドレス(Translated Address)] メニューを展開し、[選択](Choose)] をクリックして、[インターフェイス(Inerface)] を選択します。

  • [ポート変換の使用(Use Port Translation)] にチェックを付けます。

  • tcp、smtp、smtp を選択します。

ステップ 10

セクション 4 の [詳細(Advanced)] はスキップしてください。

ステップ 11

FDM 管理対象デバイスの場合、セクション 5 の [名前(Name)] で、NAT ルールに名前を付けます。

ステップ 12

[保存(Save)] をクリックします。NAT テーブルの セクション 2 に新しいルールが作成されます。

ステップ 13

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

プライベート IP アドレス範囲のパブリック IP アドレス範囲への変換

使用例

特定のデバイスタイプまたはユーザータイプのグループがあり、IP アドレスを特定の範囲に変換して、受信側デバイス(トランザクションの反対側のデバイス)がトラフィックを許可する必要がある場合は、このアプローチを使用します。

内部アドレスのプールを外部アドレスのプールに変換
始める前に

変換するプライベート IP アドレスプールのネットワークオブジェクトを作成し、それらのプライベート IP アドレスの変換先となるパブリックアドレスプールのネットワークオブジェクトも作成します。


(注)  

ASA FTDの場合、「変換されたアドレス」のプールを定義するネットワークグループは、サブネットを定義するネットワークオブジェクトにすることはできません。

これらのアドレスプールを作成する場合は、とFirepower ネットワークオブジェクトまたはネットワークグループの作成または編集を参照してください。

以下の手順のために、プライベートアドレスプールをinside_pool、 パブリックアドレスプールをoutside_pool と名付けました。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

NAT ルールを作成するデバイスを選択します。

ステップ 5

右側の [管理(Management)] ペインで [NAT] をクリックします。

ステップ 6

> [ネットワーク オブジェクト NAT(Network Object NAT)] をクリックします。

ステップ 7

セクション 1 の [タイプ(Type)] で [ダイナミック(Dynamic)] を選択し、[続行(Continue)] をクリックします。

ステップ 8

セクション 2 の [インターフェイス(Interfaces)] で、送信元インターフェイスを [内部(inside)] に設定し、接続先インターフェイスを [外部(outside)] に設定します。[続行(Continue)] をクリックします。

ステップ 9

セクション 3 の [パケット(Packets)] で、以下のタスクを実行します。

  • [元アドレス(Original Address)] で、[選択(Choose)] をクリックし、上記の前提条件セクションで作成した inside_pool ネットワークオブジェクト (またはネットワークグループ) を選択します。

  • [変換されたアドレス(Translated Address)] で、[選択(Choose)] をクリックし、上記の前提条件セクションで作成した outside_pool ネットワークオブジェクト (またはネットワークグループ) を選択します。

ステップ 10

セクション 4 の [詳細(Advanced)] はスキップしてください。

ステップ 11

FDM 管理対象デバイスの場合、セクション 5 の [名前(Name)] で、NAT ルールに名前を付けます。

ステップ 12

[保存(Save)] をクリックします。

ステップ 13

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

外部インターフェイスを通過する際に IP アドレスの範囲が変換されるのを防ぐ

使用例

この Twice NAT ユースケースを使用して、サイト間 VPN を有効にします。

方法

IP アドレスのプールをそれ自体に変換して、ネットワークのある場所の IP アドレスが変更されずに別の場所に届くようにします。

Twice NATルールの作成
始める前に

それ自体に変換する IP アドレスのプールを定義するネットワークオブジェクトまたはネットワークグループを作成します。ASA の場合、アドレスの範囲は、IP アドレス範囲を使用するネットワークオブジェクト、サブネットを定義するネットワークオブジェクト、または範囲内のすべてのアドレスを含むネットワーク グループ オブジェクトによって定義できます。FTD の場合、アドレスの範囲は、サブネットを定義するネットワークオブジェクト、または範囲内のすべてのアドレスを含むネットワーク グループ オブジェクトによって定義できます。

ネットワークオブジェクトやネットワークグループを作成する場合は、『』と『Firepower ネットワークオブジェクトまたはネットワークグループの作成または編集』を参照してください。

次の手順では、ネットワークオブジェクトまたはネットワークグループを Site-to-Site-PC-Pool と呼びます。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

NAT ルールを作成するデバイスを選択します。

ステップ 5

右側の [管理(Management)] ペインで [NAT] をクリックします。

ステップ 6

> [Twice NAT] をクリックします。.

ステップ 7

セクション 1 の [タイプ(Type)] で、[静的(Static)] を選択します。[続行(Continue)] をクリックします。

ステップ 8

セクション 2 の [インターフェイス(Interfaces)] で、送信元インターフェイスには [内部(inside)] を選択し、接続先インターフェイスには [外部(outside)] を選択します。[続行(Continue)] をクリックします。

ステップ 9

セクション 3 の [パケット(Packets)] で、次の変更を行います。

  • [元のアドレス(Original Address)] メニューを展開し、[選択(Choose)] をクリックして、前提条件セクションで作成した Site-to-Site-PC-Pool オブジェクトを選択します。

  • [変換済みアドレス(Translated Address)] メニューを展開し、[選択(Choose)] をクリックして、前提条件セクションで作成した Site-to-Site-PC-Pool オブジェクトを選択します。

ステップ 10

セクション 4 の [詳細(Advanced)] はスキップしてください。

ステップ 11

FDM 管理対象デバイスの場合、セクション 5 の [名前(Name)] で、NAT ルールに名前を付けます。

ステップ 12

[保存(Save)] をクリックします。

ステップ 13

ASA の場合、クリプトマップを作成します。クリプトマップの作成方法の詳細については、『CLI ブック 3:Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド』の、「LAN-to-LAN IPsec VPN」の章を確認してください。

ステップ 14

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

テンプレート

テンプレートは、汎用のデバイス構成ファイルの開発手法を提供します。

  • テンプレートは、既存の基本構成ファイルから作成されます。

  • IP アドレスやポート番号など、予想される値を簡単にカスタマイズできる値パラメータをサポートしています。

  • また、複数のデバイス間で使用するために、パラメータ置換を使用してエクスポートできます。

FDM-Managed デバイステンプレート

FDM-Managed デバイステンプレートの概要

Security Cloud Control では、オンボーディングされた FDM-managed デバイス設定の FDM-managed デバイステンプレートを作成できます。テンプレートを作成するときに、FDM-managed デバイステンプレートに含めるパーツ(オブジェクト、ポリシー、設定、インターフェイス、および NAT)を選択します。その後、そのテンプレートを変更し、それを使用して管理対象の他の FDM-managed デバイスを設定できます。FDM-managed デバイステンプレートを使用すると、FDM-managed デバイス間でポリシーの一貫性が高まります。

FDM-managed デバイステンプレートを作成する際、完全なテンプレートまたはカスタムテンプレートの作成を選択できます。

  • 完全なテンプレートには、FDM-managed デバイス設定のすべてのパーツが含まれており、すべてを他の FDM-managed デバイスに適用します。

  • カスタムテンプレートには、選択した FDM-managed デバイス設定の 1 つ以上のパーツのみが含まれ、そのパーツと他の FDM-managed デバイスに関連付けられたエンティティのみが適用されます。


重要

FDM-managed デバイステンプレートには、証明書、Radius、AD、および RA VPN オブジェクトは含まれません。

FDM-Managed デバイステンプレートの使用方法

FDM-managed デバイステンプレートの使用方法をいくつか示します。

  • 別の FDM-managed デバイスの構成テンプレートを適用して、1 つの FDM-managed デバイスを構成します。適用するテンプレートは、すべての FDM-managed デバイスで使用する「ベストプラクティス」設定を表す場合があります。

  • テンプレートをメソッドとして使用して、デバイス設定の変更を行い、それらの変更をライブ FDM-managed デバイスに適用する前に、ラボ環境でシミュレートして機能をテストします。

  • テンプレートを作成するときに、インターフェイスとサブインターフェイスの属性をパラメーター化します。テンプレートの適用時に、インターフェイスおよびサブインターフェイスのパラメータ化された値を変更できます。

変更ログに表示される内容

テンプレートをデバイスに適用すると、そのデバイスの設定全体が上書きされます。Security Cloud Control 変更ログには、結果として加えられたすべての変更が記録されます。そのため、テンプレートをデバイスに適用した後の変更ログエントリは非常に長くなります。

FDM テンプレートの設定

前提条件

FDM-managed デバイステンプレートを作成する前に、テンプレートを作成する FDM-managed デバイスを Security Cloud Control にオンボーディングします。オンボーディング済みの FDM-managed デバイスからのみ FDM-managed デバイステンプレートを作成できます。

環境に追加される新しい FDM-managed デバイスを設定するときに、テンプレートを使用することを強く推奨します。


(注)  

FDM-managed デバイスからテンプレートを作成すると、RA VPN オブジェクトはテンプレートに含められません。

FDM テンプレートの作成

テンプレートを作成する際にすべてのパーツを選択すると、テンプレートにはそのデバイス構成のすべての側面が組み込まれます。管理 IP アドレス、インターフェース構成、ポリシー情報などです。

一部のパーツを選択すると、カスタムテンプレートには次のエンティティが組み込まれます。

テンプレートパーツ

カスタムテンプレートに含まれるパーツ

アクセル ルール

アクセス制御ルールと、そのルールに関連するエンティティが組み込まれます。たとえば、オブジェクトとインターフェイス(サブインターフェイスを含む)です。

NAT ルール

NAT ルールと、その NAT ルールに必要な関連エンティティが組み込まれます。たとえば、オブジェクトとインターフェイス(サブインターフェイスを含む)です。

設定

システム設定と、その設定に必要な関連エンティティが組み込まれます。たとえば、オブジェクトとインターフェイス(サブインターフェイスを含む)です。

インターフェイス

インターフェイスとサブインターフェイスが組み込まれます。

オブジェクト

オブジェクトと、そのオブジェクトに必要な関連エンティティが組み込まれます。たとえば、インターフェイスとサブインターフェイスです。

次の手順を使用して、FDM-managed デバイステンプレートを作成します。

手順

ステップ 1

左側のペインで [インベントリ(Inventory)]Security Devices をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

[FTD] タブをクリックして、該当するデバイスをリストから選択します。

ステップ 4

フィルタ検索フィールドを使用して、テンプレートを作成する FDM-managed デバイスを見つけます。

ステップ 5

右側の [デバイスアクション(Device Actions)] ペインで、 [テンプレートの作成(Create Template)] をクリックします。[名前テンプレート(Name Template)] には、デバイス上の各パーツの数が表示されます。サブインターフェースがある場合は、その数も表示されます。

ステップ 6

テンプレートに含めるパーツを選択します。

ステップ 7

テンプレートに付ける名前を入力します。

ステップ 8

[テンプレートの作成(Create Template)] をクリックします。

ステップ 9

[テンプレートのパラメータ化(Parameterize Template)] 領域では、次のことを実行できます。

  • インターフェイスをパラメータ化するには、そのインターフェイスに対応するセルにカーソルを合わせて(中括弧が表示されるまで)クリックします。

  • サブインターフェースをパラメータ化するには、サブインターフェースがあるインターフェースを展開し、そのサブインターフェースに対応するセルにカーソルを合わせて(中括弧が表示されるまで)クリックします。

次の属性をパラメータ化すると、デバイスごとにカスタマイズできます。

  • 論理名(Logical Name)

  • 状態

  • IP Address/Netmask

(注)  

 

これらの属性は、パラメータごとに 1 つの値のみをサポートします。

ステップ 10

[続行(Continue)] をクリックします。

ステップ 11

テンプレートとパラメーター化した値を確認します。[完了(Done)] をクリックしてテンプレートを作成します。

[セキュリティデバイス(Security Devices)] ページに、作成した FDM-managed デバイステンプレートが表示されます。

(注)  

 

テンプレートの作成後、Security Cloud Control の [セキュリティデバイス(Security Devices)] ページに対応するテンプレートパーツアイコンが表示され、テンプレートに含まれるパーツが示されます。デバイスをクリックするか、アイコンにマウスポインタを合わせると、[デバイスの詳細(Device Details)] ペインにもこの情報が表示されます。

次の図は、テンプレートに「アクセスルール」、「NAT ルール」、「オブジェクト」が含まれていることを示すパーツアイコンの例を示しています。

FDM-Managed デバイステンプレートの編集

次の手順でテンプレートパラメータを編集します。

手順

ステップ 1

左側のペインで [インベントリ(Inventory)]Security Devices をクリックします。

ステップ 2

[テンプレート(Templates)] タブをクリックします。

ステップ 3

[FTD] タブをクリックします。

ステップ 4

モデルまたはテンプレートフィルタを使用して、変更するテンプレートを見つけます。

ステップ 5

右側の [デバイスアクション(Device Actions)] ペインで、[パラメータの編集(Edit Parameters)] をクリックします。

ステップ 6

(任意)テキストボックスを直接編集して、パラメータを変更します。

ステップ 7

[保存(Save)] をクリックします。

ライブ FDM-managed デバイスを設定する場合と同様に、FDM-managed デバイステンプレートの残りの部分を編集できます。FDM-managed デバイステンプレートは次の設定で編集できます。

FDM テンプレートの削除

FDM-managedデバイステンプレートを削除するには、FDM-managedデバイスを Security Cloud Control から削除します。

手順

ステップ 1

左側のペインで [インベントリ(Inventory)]Security Devices をクリックします。

ステップ 2

[テンプレート(Templates)] タブをクリックします。

ステップ 3

[FTD] タブをクリックします。

ステップ 4

フィルタと検索フィールドを使用して、削除する FDM-managedデバイステンプレートを検索します。

ステップ 5

[デバイスアクション(Device Actions)] ペインで、[削除(Remove)] をクリックします。

ステップ 6

警告メッセージの内容を確認し、[OK] をクリックします。

FDM テンプレートの適用

テンプレートを適用する前に、[セキュリティデバイス(Security Devices)] ページに移動して格納ファイルを確認し、[モデル/テンプレート(Model/Template)] に対してフィルタ処理できます。Security Cloud Control には、対応するテンプレートパーツアイコンが表示され、そのテンプレートに含まれるパーツが示されます。デバイスをクリックするか、アイコンにマウス ポインタを合わせると、[デバイスの詳細(Device Details)] ペインにもこの情報が表示されます。

次の属性をパラメータ化して、デバイスごとのカスタマイズを有効にすることができます。つまり、テンプレートの適用時にデバイス固有の値を適用できます。

FDM-managed デバイステンプレートを作成して適用する際に、インターフェイスおよびサブインターフェイスのパラメータ化された値を変更できます。

完成したテンプレートの適用

完成した FDM-managed デバイステンプレートを適用して新しい FDM-managed デバイスを作成すると、FDM-managed デバイスの既存の設定がすべて上書きされます。Security Cloud Control からデバイスへの展開が完了していないステージング中の変更も含まれます。デバイス上でテンプレートに含まれていないものはすべて失われます。

カスタムテンプレートの適用

カスタム FDM-managed デバイステンプレートを他の FDM-managed デバイスに適用すると、テンプレートパーツに基づいて既存の設定が保持または削除されます。次の表に、他の FDM-managed デバイスにカスタムテンプレートを適用した後に発生する変更を示します。

テンプレートパーツ

カスタムテンプレートの適用後

アクセル ルール

  • カスタムテンプレート内の新しいアクセス制御ルールは、デバイス上の既存のアクセス制御ルールを上書きします。

  • カスタムテンプレート内に新しいオブジェクトやインターフェイス(サブインターフェイスを含む)がある場合は、既存のオブジェクトやインターフェイスを削除せずにデバイスに適用されます。

NAT ルール

  • デバイス上の既存の NATルールは、カスタムテンプレート内の新しい NAT ルールを上書きします。

  • カスタムテンプレート内に新しいオブジェクトやインターフェイス(サブインターフェイスを含む)がある場合は、既存のオブジェクトやインターフェイスを削除せずにデバイスに適用されます。

設定

  • カスタムテンプレートの新しいシステム設定は、既存のシステム設定を削除せずにデバイスに適用されます。

  • カスタムテンプレート内に新しいオブジェクトやインターフェイス(サブインターフェイスを含む)がある場合は、既存のオブジェクトやインターフェイスを削除せずにデバイスに適用されます。

インターフェイス

  • カスタムテンプレートの新しいインターフェイスとサブインターフェイスは、既存のインターフェイスとサブインターフェイスを削除せずにデバイスに適用されます。

  • Security Cloud Control では、デバイス上のインターフェイスよりも多くのインターフェイスが定義されているテンプレートは、そのデバイスに適用できません。

オブジェクト

  • カスタムテンプレートの新しいオブジェクトは、既存のオブジェクトを削除せずにデバイスに適用されます。

  • カスタムテンプレー内に新しいインターフェイスやサブインターフェイスがある場合は、既存のインターフェイスとサブインターフェイスを削除せずにデバイスに適用されます。

前提条件

テンプレートを適用する前に、次の条件を満たす必要があります。

  • テンプレートを使用する際、テンプレートに加えた変更がすべてコミットされていること、およびテンプレートが [セキュリティデバイス(Security Devices)] ページで [同期(Synced)] 状態になっていることを確認してください。

  • FDM-managed デバイスをテンプレートとして使用する場合は、デバイスへの展開対象となる Security Cloud Control の変更が展開されていること、および展開されていない Firewall Device Manager コンソールから変更されていないことを確認してください。デバイスは、[セキュリティデバイス(Security Devices)] ページで [同期(Synced)] 状態である必要があります。

テンプレートをデバイスに適用するには、3 段階のプロセスがあります。

  1. テンプレートをデバイスに適用する

  2. デバイスとネットワークの設定を確認する

  3. 変更をデバイスに展開する

FDM-Managed デバイスへのテンプレートの適用


重要

変更をデバイスに展開する前に、次の手順に進みます。

デバイスとネットワーキングの設定の確認

テンプレートを適用する前に、変更リクエストのトラッキング機能を使用して、変更にトラッキングラベルを適用できます。次の手順を使用して、FDM-managed デバイステンプレートを適用します。

手順

ステップ 1

(任意)始める前に、FDM-managed デバイスのテンプレートを作成してから、別のテンプレートをそのテンプレートに適用します。これにより、デバイスやネットワーク設定の再適用が必要になったときに、参照可能な設定のバックアップが提供されます。

ステップ 2

左側のペインで [インベントリ(Inventory)]Security Devices をクリックします。

ステップ 3

[テンプレート(Templates)] タブをクリックします。

ステップ 4

[FTD] タブをクリックします。

ステップ 5

フィルタと検索フィールドを使用して、テンプレートを適用する FDM-managed デバイスまたはテンプレートを検索します。

(注)  

 

この時点でテンプレート名を変更すると、完全なデバイス設定またはテンプレートを DeviceName に適用することになります。この変更を DeviceName に展開すると、そのデバイスで実行されている設定全体が上書きされます。

ステップ 6

右側の [デバイスアクション(Device Actions)] ペインで、[テンプレートの適用(Apply Template)] をクリックします。

ステップ 7

[テンプレートの選択(Select Template)] をクリックし、目的のテンプレートを選択して [続行(Continue)] をクリックします。

ステップ 8

以下の設定を行い、各画面に表示される [続行(Continue)] をクリックします。

  1. [マップインターフェイス(Map Interface)]:テンプレートとデバイス間のインターフェースのマッピングを確認または変更します。 1 つのデバイスインターフェイスに複数のテンプレート インターフェイスをマッピングできないことに注意してください。インターフェイス設定がサポートされていない場合、続行してテンプレートを適用できません。

    (注)  

     

    Security Cloud Control では、デバイス上のインターフェイスよりも多くのインターフェイスが定義されているテンプレートは、そのデバイスに適用できません。

  2. [パラメーターの入力(Fill Parameters)]:テンプレートを適用するデバイスのインターフェースまたはサブインターフェースのパラメータ値をカスタマイズします。

  3. [レビュー(Review)]:テンプレートの設定を確認し、既存のデバイス設定をテンプレートの設定で上書きする準備ができたら、[テンプレートの適用(Apply Template)] をクリックします。

ステップ 9

行った変更を今すぐレビューして展開するか、後から複数の変更を一度に展開します。

デバイスとネットワークの設定を確認する

FDM-managed デバイステンプレートを作成する際、Security Cloud Control はデバイス構成全体をテンプレートにコピーします。そのため、元のデバイスの管理 IP アドレスなどがテンプレートに含まれています。テンプレートをデバイスに適用する前に、デバイスとネットワークの設定を確認してください。

手順

ステップ 1

以下の FDM-managed デバイス設定を確認して、それらが新しい FDM-managed デバイスの正確な情報を反映していることを確認します。

ステップ 2

Firepower アクセス コントロール ポリシーを確認して、ルールが必要に応じて新しい FDM-managed デバイスの IP アドレスを参照していることを確認します。

ステップ 3

inside_zone および outside_zone のセキュリティオブジェクトを確認して、それらが新しい FDM-managed デバイスの正確な IP アドレスを参照していることを確認します。

ステップ 4

NAT ポリシーを確認して、それらが新しい FDM-managed デバイスの正確な IP アドレスを参照していることを確認します。

ステップ 5

インターフェイスの構成を確認して、それらが新しい FDM-managed デバイスの正確な構成を反映していることを確認します。

FDM-Managed の高可用性

ハイ アベイラビリティについて

高可用性(HA)やフェールオーバー設定では、プライマリデバイスの障害時にセカンダリデバイスで引き継ぐことができるように、2 つのデバイスをプライマリ/セカンダリ設定に結び付けます。フェールオーバーとも呼ばれるハイ アベイラビリティを設定するには、専用フェールオーバー リンク(および任意でステート リンク)を介して相互に接続された 2 つの同じ FDM-managed デバイスが必要です。アクティブ装置(ハードウェア、インターフェイス、ソフトウェアおよび環境ステータス)の状態は、特定のフェールオーバー条件に一致しているかどうかを確認するためにモニターされます。所定の条件に一致すると、フェールオーバーが行われます。これにより、デバイスに障害が発生した場合や、デバイスがアップグレードされているメンテナンス期間中に、ネットワークの運用を維持できます。詳しくは下の関連記事をご覧ください。

この装置はアクティブ/スタンバイペアを形成します。プライマリ装置がアクティブな装置となり、トラフィックを送信します。セカンダリ(スタンバイ)装置はアクティブにトラフィックを送信しませんが、アクティブ装置の設定やその他のステータス情報を同期します。2 台の装置はフェールオーバーリンク経由で通信して、各装置の動作ステータスを確認しています。


(注)  

FDM-managed HA ペアからの変更を受け入れるか HA ペアに変更を展開することを選択すると、HA ペアのアクティブデバイスと通信することになります。これは、設定とバックアップがアクティブデバイスからのみ取得されることを意味します。

高可用性ペアの証明書

FDM-managed HA ペアに証明書を適用すると、Security Cloud Control ではアクティブデバイスにのみ証明書が適用されます。つまり、アクティブデバイスの展開時にのみ、設定と証明書がスタンバイデバイスと同期されます。FDM-managed を介してアクティブデバイスに新しい証明書を適用すると、アクティブデバイスとスタンバイデバイスに、異なる 2 つの証明書が存在することがあります。これにより、フェイルオーバーやフェイルオーバー履歴などで問題が発生する可能性があります。2 つのデバイスが正常に機能するには、同じ証明書が必要です。FDM-managed を介して証明書を変更する必要がある場合は、変更を展開して HA ペア内で証明書を同期する必要があります。

FDM-Managed ハイアベイラビリティペアの要件

ハイ アベイラビリティ要件

ハイアベイラビリティ(HA)ペアを作成する前に、確立する必要があるいくつかの要件があります。

HA の物理デバイスおよび仮想デバイスの要件

次のハードウェア要件を満たしている必要があります。

  • デバイスは、同じハードウェアモデルである必要があります。

  • デバイスには同じモジュールが取り付けられている必要があります。たとえば、一方にオプションのネットワークモジュールがある場合は、もう一方のデバイスにも同じネットワークモジュールを取り付ける必要があります。

  • デバイスは、同じタイプの同じ数のインターフェイスを備えている必要があります。

  • Security Cloud Control で HA ペアを作成するには、両方のデバイスで管理インターフェイスが設定されている必要があります。デバイスにデータインターフェイスが設定されている場合は、FDM-managed UI を使用して HA ペアを作成してから、そのペアを Security Cloud Control にオンボーディングする必要があります。


    (注)  

    HA ペアで FDM-managed テンプレートを使用することはできません

HA のソフトウェア要件

物理および仮想 FDM-managed デバイスの両方で、次のソフトウェア要件を満たす必要があります。

  • Security Cloud Control には 2 つのスタンドアロン FDM-managed デバイスがオンボードされています。

  • デバイスは、まったく同じバージョンのソフトウェア(つまり、1 番目のメジャー番号、2 番目のマイナー番号、および 3 番目のメンテナンス番号が同じ)を実行する必要があります。バージョンは、[セキュリティデバイス(Security Devices)] ページの [デバイスの詳細(Device Details)] ウィンドウで確認できます。また、CLI で show version コマンドを使用して確認できます。


    (注)  

    異なるバージョンを実行するデバイスでも参加できますが、設定がスタンバイ装置にインポートされず、装置を同じソフトウェア バージョンにアップグレードしないとフェールオーバーは機能しません。

  • 両方のデバイスがローカルマネージャモードになっている必要があります。つまり、FDM を使用して設定されている必要があります。両方のデバイスで FDM にログインできる場合は、それらがローカルマネージャモードになっています。CLI で show managers コマンドを使用して確認することもできます。

  • Security Cloud Control にオンボーディングする前に、各デバイスの初期セットアップウィザードを完了する必要があります。

  • 各デバイスに固有の管理 IP アドレスが必要です。管理インターフェイスの設定は、デバイス間で同期されません。

  • デバイスの NTP 設定が同じである必要があります。

  • DHCP を使用してアドレスを取得するようにインターフェイスを設定することはできません。つまり、すべてのインターフェイスに静的 IP アドレスが必要です。

    注:インターフェイスの設定を変更する場合は、HA を確立する前に、その変更をデバイスに展開する必要があります。

  • 両方のデバイスを同期させる必要があります。保留中の変更または競合が検出された場合は、詳細について、「設定の競合の解決」と「設定の競合の解決」を参照してください。


    (注)  

    FDM-managed HA ペアからの変更を受け入れるか HA ペアに変更を展開することを選択すると、HA ペアのアクティブデバイスと通信することになります。これは、設定とバックアップがアクティブデバイスからのみ取得されることを意味します。

HA のスマートライセンス要件

物理および仮想 FDM-managed デバイスの両方で、次のライセンス要件を満たす必要があります。

  • HA ペアの両方のデバイスに、登録済みライセンスまたは評価ライセンスが必要です。デバイスが登録されている場合は、それらを異なる Cisco Smart Software Manager アカウントに登録できますが、それらのアカウントは、エクスポート制御機能設定が同じ状態(両方有効または両方無効)である必要があります。ただし、デバイスごとに異なるオプションライセンスを有効にすることは可能です。

  • HA ペア内の両方のデバイスは、動作中に同じライセンスを持っている必要があります。ライセンスが不足している場合は、一方のデバイスでコンプライアンスが適用されているもののもう一方のデバイスでコンプライアンス適用外になる可能性があります。スマート ライセンス アカウントに購入済みの十分な権限付与が含まれていない場合は、正しい数のライセンスが購入されるまで、アカウントがコンプライアンス適用外(一方のデバイスにコンプライアンスが適用されていても)になります。

なお、デバイスが評価モードの場合は、デバイスでの Security Cloud Control の登録ステータスが同じであることを確認する必要があります。また、Cisco Success Network への参加の選択が同じであることも確認する必要があります。登録されたデバイスについては、装置ごとに異なる設定が可能ですが、プライマリ(アクティブ)デバイスで設定すると、セカンダリ デバイスが登録または登録解除されます。プライマリ デバイスでの Cisco Success Network への参加の同意は、セカンダリ デバイスでの同意を意味します。

輸出規制対象の機能の設定が異なるアカウントにデバイスを登録した場合、または 1 つの装置が登録済みで、もう 1 つが評価モードにある HA ペアを作成しようすると、HA の参加が失敗する可能性があります。輸出規制機能に関する設定が不整合な状態で IPsec 暗号化鍵を設定すると、HA を有効化した後に両方のデバイスがアクティブになります。これはサポートされているネットワーク セグメント上のルーティングに影響を与え、回復させるにはセカンダリ装置で HA を手動で中断する必要があります。

HA のクラウドサービス設定

HA ペア内の両方のデバイスで、[Cisco Cloud にイベントを送信(Send Events to the Cisco Cloud)] が有効になっている必要があります。この機能は、FDM UI で使用できます。この機能を有効にするには、[システム設定(System Settings)] に移動し、[クラウドサービス(Cloud Services)] をクリックします。このオプションを有効にしないと、Security Cloud Control で HA ペアを形成できず、イベント説明エラーが発生します。詳細については、実行しているバージョンの Firepower Device Manager 設定ガイド [英語] の「Configuring Cloud Services」の章を参照してください。

FDM-Managed ハイアベイラビリティペアの作成

Security Cloud ControlFDM-managed HA ペアを作成する前に、「FDM-Managed ハイアベイラビリティペアの要件」で説明されている要件を満たす 2 つのスタンドアロン FDM-managed デバイスを最初にオンボーディングする必要があります。


(注)  

Security Cloud Control で HA ペアを作成するには、両方のデバイスで管理インターフェイスが設定されている必要があります。デバイスにデータインターフェイスが設定されている場合は、FDM コンソールを使用して HA ペアを作成してから、そのペアを Security Cloud Control にオンボーディングする必要があります。

FDM-managed HA ペアを作成すると、デフォルトでプライマリデバイスがアクティブになり、セカンダリデバイスがスタンバイになります。すべての設定変更または展開はプライマリデバイスを介して行われ、セカンダリデバイスは、プライマリユニットが使用できなくなるまでスタンバイモードが維持されます。

設定変更の FDM-managed HA ペアからの受け入れ、または HA ペアへの展開を選択すると、HA ペアのアクティブデバイスと通信することなります。プライマリデバイスに加えられた変更は、プライマリデバイスとセカンダリデバイス間のリンクを介して転送されます。Security Cloud Control は、プライマリデバイスのみ対象にして変更を展開して受け入れるため、[セキュリティデバイス(Security Devices)] ページには、ペアの単一のエントリが表示されます。展開が行われると、プライマリデバイスは設定変更をセカンダリデバイスに同期します。

FDM-managed HA ペアのバックアップをスケジュールまたは選択する場合も、同様に Security Cloud Control がアクティブデバイスのみと通信するため、アクティブデバイスのみがバックアップの対象となります。


(注)  

作成プロセス中に HA デバイスで問題が発生した場合、または HA ペアが正常なステータスにならない場合は、ペアを再度作成する前に、HA 構成を手動で解除する必要があります。

手順

次の手順を実行して、2 つのスタンドアロン FDM-managed デバイスから HA ペアを作成します。

手順

ステップ 1

左側のペインで [インベントリ(Inventory)]Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、プライマリデバイスとして設定するデバイスを選択します。

(注)  

 

Security Cloud Control では、DHCP で設定されたデバイスとは HA ペアを作成できません。

ステップ 4

[管理(Management)] ペインで、[高可用性(High Availability)] をクリックします。

ステップ 5

セカンダリデバイスの領域で [デバイスの選択(Select Device)] をクリックし、デバイス候補リストからデバイスを選択します。

ステップ 6

フェールオーバーリンクを設定します。

  1. [物理インターフェイス(Physical Interface)] をクリックし、ドロップダウンメニューからインターフェイスを選択します。

  2. 該当する IP タイプを選択します。

  3. プライマリ IP アドレスを入力します。

  4. セカンダリ IP アドレスを入力します。

  5. ネットマスクを入力します。デフォルト値は 24 です。

  6. 該当する場合は、有効な IPSec 暗号化キーを入力します。

ステップ 7

ステートフルリンクを設定します。フェールオーバーリンクと同じ設定を使用する場合は、[フェールオーバーリンクと同じ(The same as Failover Link)] チェックボックスをオンにします。別の設定を使用する場合は、次の手順を実行します。

  1. [物理インターフェイス(Physical Interface)] をクリックし、ドロップダウンメニューからインターフェイスを選択します。プライマリデバイスとセカンダリデバイスの両方で、同じ数の物理インターフェイスが必要でです

  2. 該当する IP タイプを選択します。

  3. プライマリ IP アドレスを入力します。

  4. セカンダリ IP アドレスを入力します。

  5. ネットマスクを入力します。デフォルト値は 24 です。

ステップ 8

画面の右上隅にある [作成(Create)] をクリックして、ウィザードを終了すると、Security Cloud Control によってすぐに [高可用性ステータス(High Availability Status)] ページにリダイレクトされます。このページから、HA 作成のステータスをモニターリングできます。HA ペアが作成されると、[セキュリティデバイス(Security Devices)] ページにはペアが 1 行で表示されます。

ステップ 9

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

[高可用性(High Availability)] ページの FDM-Managed デバイス

FDM-managed の高可用性(HA)の管理ページは、FDM-managed デバイス用の多目的ページです。このページは、HA ペアとして設定済みのデバイスでのみ使用できます。FDM-managed HA ペアをオンボードするか、2 つのスタンドアロン FDM-managed デバイスで FDM-managed HA ペアを作成できます。

[セキュリティデバイス(Security Devices)] ページでスタンドアロン FDM-managed デバイスを選択した場合、このページは HA ペアを作成するためのウィザードとして機能します。現時点では、ペアを作成するには、2 つの FDM-managed デバイスを Security Cloud Control にオンボードする必要があります。Security Cloud ControlFDM-managed HA ペアを作成する方法については、「FDM-Managed 高可用性ペアの作成」を参照してください。

[セキュリティデバイス(Security Devices)] ページで FDM-managed HA ペアを選択した場合、このページは概要ページとして機能します。このページでは、HA 構成とフェールオーバー履歴に加えて、フェールオーバーの強制実行、フェイルオーバー基準の編集、HA リンクの削除などの実行可能な操作を表示できます。

高可用性の管理ページ

[高可用性(High Availability)] ページを表示するには、次の手順を実行します。

手順

ステップ 1

左側のペインで [インベントリ(Inventory)]Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、スタンドアロン FDM-managed デバイスまたは FDM-managed HA ペアのアクティブ FDM-managed デバイスを選択します。

ステップ 4

[管理(Management)] ペインで、[高可用性(High Availability)] をクリックします。

ハイ アベイラビリティ フェールオーバー基準の編集

FDM-managed HA ペアの作成後にフェールオーバー条件を編集できます。

手順

ステップ 1

左側のペインで [インベントリ(Inventory)]Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、FDM-managed HA ペアのアクティブデバイスを選択します。

ステップ 4

[管理(Management)] ペインで、[高可用性(High Availability)] をクリックします。

ステップ 5

[フェールオーバー基準(Failover Criteria)] ウィンドウで、[編集(Edit)] をクリックします。

ステップ 6

必要な変更を行って、[保存(Save)] をクリックします。

ステップ 7

行った変更を今すぐレビューして展開するか、複数の変更を後から一度に展開します。

FDM-Managed 高可用性ペアリングの解除

HA を解除すると、スタンバイデバイスで設定されたインターフェイスが自動的に無効になります。このプロセス中に、デバイスのトラフィックが中断する場合があります。HA ペアが正常に削除されると、ステータスページから [高可用性(High Availability)] ページにリダイレクトされ、同じプライマリデバイスで別の HA ペアを作成するオプションが表示されます。


(注)  

HA ペアが正常に削除されるまで、いずれのデバイスにも展開できません。
管理インターフェイスを使用した HA の解除

管理インターフェイスを使用して設定されているペアの HA を解除すると、解除完了まで 10 分以上かかる場合があり、両方のデバイスはこのプロセス中オフラインになります。HA 設定が正常に削除されると、Security Cloud Control は両方のユニットをスタンドアロンデバイスとして [サービスとデバイス(Services & Devices)] ページに表示します。

データインターフェイスを使用した HA の解除

データインターフェイスを使用して設定されているペアの HA を解除すると、解除完了まで 20 分以上かかる場合があり、両方のデバイスがオフラインになります。 HA 設定を削除後、アクティブデバイスを手動で再接続する必要があります。

ただし、スタンバイデバイスでは HA 設定が保持され、アクティブデバイスと同じ設定であるため、到達不能になります。Security Cloud Control の外部で IP インターフェイスを手動で再設定してから、デバイスをスタンドアロンとして再度オンボードする必要があります。

高可用性の解除

次の手順を使用して、2 つの FDM-managed デバイスの HA ペアリングを削除します。

手順

ステップ 1

ナビゲーションバーで Security Devices をクリックし、FDM-managed HA ペアのアクティブデバイスを選択します。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックします。

ステップ 4

[管理(Management)] ペインで、[高可用性(High Availability)] をクリックします。

ステップ 5

[ハイ アベイラビリティを無効にする(Break High Availability)] をクリックします。

ステップ 6

Security Cloud Control で HA の設定が削除され、両方のデバイスが [セキュリティデバイス(Security Devices)] ページにスタンドアロンデバイスとして表示されます。

ステップ 7

Security Cloud Control から FDM-Managed デバイスに設定変更を展開して、両方のデバイスに新しい設定を展開します。

ステップ 8

行った変更を今すぐレビューして展開するか、複数の変更を後から一度に展開します。

アウトオブバンド高可用性の解除

FDM インターフェイスを使用して FDM-managed の HA ペアを解除すると、Security Cloud Control で HA ペアの設定ステータスが [競合検出(Conflict Detected)] に変わります。 HA を解除した後、FDM-managed を介してプライマリデバイスに変更を展開してから、Security Cloud Control [競合検出(Conflict Detected)] の状態を解決する必要があります。

デバイスが [同期(Synced)] 状態に戻ったら、Security Cloud Control で行った設定変更をデバイスに展開できます。

FDM-managed インターフェイスを使用して HA を解除した後、Security Cloud Control で行った変更を元に戻すことは推奨できません

FDM-Managed 高可用性ペアでフェールオーバーを強制する

フェールオーバーを強制することで、FDM-managed HA ペア内のアクティブデバイスとスタンバイデバイスを切り替えます。最近新しい証明書をアクティブデバイスに適用し、変更を展開していない場合、スタンバイデバイスは元の証明書を保持し、フェールオーバーは失敗することに注意してください。アクティブデバイスとスタンバイデバイスには、同じ証明書が適用されている必要があります。次の手順を使用して、フェールオーバーを手動で強制します。

手順

ステップ 1

左側のペインで [インベントリ(Inventory)]Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックします。

ステップ 4

FDM-managed HA ペアのアクティブデバイスを選択します。

ステップ 5

[管理(Management)] ペインで、[高可用性(High Availability)] をクリックします。

ステップ 6

[オプション(options)] アイコン をクリックします。

ステップ 7

[モードの切り替え(Switch Mode)] をクリックします。アクティブデバイスがスタンバイになり、スタンバイデバイスがアクティブになります。

FDM-Managed の高可用性フェールオーバーの履歴

手順

ステップ 1

左側のペインで [インベントリ(Inventory)]Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックします。

ステップ 4

FDM-managed HA ペアのアクティブデバイスを選択します。

ステップ 5

[管理(Management)] ペインで、[高可用性(High Availability)] をクリックします。

ステップ 6

[フェールオーバー履歴(Failover History)] をクリックします。Security Cloud Control は、HA ペアが形成されてからのプライマリデバイスとセカンダリデバイス両方のフェールオーバー履歴に関する詳細を示すウィンドウを生成します。

(注)  

 

フェールオーバー履歴は、[セキュリティデバイス(Security Devices)] ページから確認できるペアの変更ログにも表示されます。

FDM-Managed 高可用性ステータスの更新

手順

ステップ 1

左側のペインで [インベントリ(Inventory)]Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、FDM-managed デバイスまたは FDM-managed HA ペアを選択します。

ステップ 4

[管理(Management)] ペインで、[高可用性(High Availability)] をクリックします。

ステップ 5

[オプション(options)] アイコン をクリックします。

ステップ 6

[最新のステータスを取得(Get Latest Status)] をクリックします。Security Cloud Control は、プライマリデバイスに正常性ステータスを要求します。

FDM-Managed デバイス設定

FDM-Managed デバイスのシステム設定

単一の FDM-managedデバイスで設定を行うには、次の手順を使用します。

手順

ステップ 1

左側のペインで [インベントリ(Inventory)]Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、設定を行う FDM-managedデバイスを選択します。検索結果を絞り込み、FDM-managedデバイスを簡単に見つけるには、フィルタボタンを使用できます。

ステップ 4

右側の [管理(Management)] ペインで、[設定(Settings)] をクリックします。

ステップ 5

[システム設定(System Settings)] タブをクリックします。

ステップ 6

次のデバイス設定のいずれかを編集します。

管理アクセスの設定

デフォルトでは、任意の IP アドレスから、デバイスの管理アドレスにアクセスできます。システムアクセスは、ユーザー名とパスワードのみによって保護されます。ただし、特定の IP アドレスまたはサブネットのみからの接続を許可するようアクセス リストを設定し、さらにレベルの高い保護を提供できます。

また、データインターフェイスを開いて、FDM-managed デバイスまたは SSH による CLI 接続を許可することもできます。これにより、管理アドレスを使用せずにデバイスを管理できます。たとえば、外部インターフェイスへの管理アクセスを許可し、デバイスをリモートで設定できます。ユーザー名とパスワードは、望ましくない接続を阻止します。デフォルトでは、データインターフェイスへの HTTPS 管理アクセスは内部インターフェイスで有効になっていますが、外部インターフェイスでは無効になっています。デフォルトの「内部」ブリッジグループを持つデバイスモデルの場合、ブリッジグループ内の任意のデータインターフェイスを介して、ブリッジグループ IP アドレス(デフォルトは 192.168.1.1)への FDM-managed デバイス接続が可能になります。管理接続は、デバイスに入るインターフェイス上でのみ開くことができます。


注意    

特定のアドレスへのアクセスを制限すると、システムから簡単にロックアウトできます。現在使用している IP アドレスのアクセスを削除し、「任意」のアドレスのエントリが存在しない場合、ポリシーを展開した時点でシステムへのアクセスは失われます。アクセスリストを設定するときは、このことに注意してください。

管理インターフェイスのルールの作成

管理インターフェースのルールを作成するには、次の手順を実行します。

手順

ステップ 1

[管理インターフェイス(Management Interface)] セクションで [新規アクセス(New Access)] をクリックします。

  • [Protocol]: ルールが HTTPS(ポート 443)または SSH(ポート 22)用かを選択します。

  • [許可ネットワーク(Allowed Networks)]:システムにアクセスできる IPv4 ネットワーク、IPv6 ネットワーク、またはホストを定義するネットワークオブジェクトを選択します。「任意」のアドレスを指定するには、[any-ipv4] (0.0.0.0/0)および [any-ipv6](::/0)を選択します。

ステップ 2

[Save] をクリックします。

データインターフェイスのルールの作成

データインターフェイスのルールを作成するには、次の手順を実行します。

手順

ステップ 1

[データインターフェイス(Data Interface)] セクションで [新規アクセス(New Access)] をクリックします。

  • [インターフェイス(Interface)]。管理アクセスを許可するインターフェイスを選択します。

  • [Protocol]: ルールが HTTPS(ポート 443)または SSH(ポート 22)、またはその両方用かを選択します。外部インターフェイスがリモートアクセス VPN 接続プロファイルで使用されている場合、その外部インターフェイスに HTTPS ルールを設定することはできません。

  • [許可ネットワーク(Allowed Networks)]:システムにアクセスできる IPv4 ネットワーク、IPv6 ネットワーク、またはホストを定義するネットワークオブジェクトを選択します。「任意」のアドレスを指定するには、[any-ipv4] (0.0.0.0/0) および [any-ipv6] (::/0) を選択します。

ステップ 2

[保存(Save)] をクリックします。

ステップ 3

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

ロギング設定の設定

この手順では、診断(データ)メッセージファイルイベントとマルウェアイベント、侵入イベント、およびコンソールイベントのログを有効にする方法について説明します。接続イベントは、これらの設定の結果としてはログに記録されません。アクセスルール、セキュリティ インテリジェンス ポリシー、または SSL 復号ルールで接続ログが構成されている場合、接続イベントがログに記録されます。

手順

ステップ 1

FDM-managed デバイスの設定を開きます

ステップ 2

[システム設定(System Settings)] ページで、設定メニューの [ロギング(Logging)] をクリックします。

ステップ 3

[データロギング(Data logging)] [データロギング(Data logging)] スライダを 「オン」にスライドして、診断ログの syslog メッセージをキャプチャします。

プラスボタン をクリックして、イベントの送信先となる syslog サーバーを表す syslog サーバーオブジェクトを指定します(この時点で、syslog サーバーオブジェクトの作成も可能です)。さらに、ログに記録するイベント重大度の最小レベルを選択します。

これにより、任意のタイプの syslog メッセージのデータロギングイベントが、選択した最小の重大度レベルで syslog サーバーに送信されます。

(注)  

 

Security Cloud Control は現在、データロギング用のカスタムログフィルタの作成をサポートしていません。syslog サーバーに送信するメッセージをより細かく制御するには、この設定を FDM-managed デバイスで定義することをお勧めします。これを行うには、FDM-managed デバイスにログオンし、[システム設定(System Settings)] > [ロギングの設定(Logging Settings)] に移動します。

ヒント

 

Cisco Security Analytics and Logging のユーザーは、データロギングを有効にする際は、必ずデータロギングイベントを Secure Event Connector 以外の syslog サーバーに転送してください。データイベント(診断イベント)はトラフィックイベントではありません。データイベントを別の syslog サーバーに送信すると、SEC がそれらを分析してフィルタリングする負担がなくなります。

ステップ 4

[ファイル/マルウェアのログ設定(File/Malware Log Settings)]。このスライダを「オン」にスライドして、ファイルマルウェアイベントをキャプチャします。

イベントの送信先となる syslog サーバーを表す syslog サーバーオブジェクトを指定します。Syslog サーバー オブジェクトをまだ作成していない場合は、この時点で作成することもできます。

ファイルイベントとマルウェアイベントは、同じ重大度レベルで生成されます。選択したイベント重大度の最小レベルは、すべてのファイルイベントおよびマルウェアイベントに割り当てられます。

ファイルイベントとマルウェアイベントは、アクセスコントロールルールのファイルポリシーまたはマルウェアポリシーがトリガーされたときに報告されます。これは接続イベントとは異なります。ファイルイベントおよびマルウェアイベントの syslog 設定は、ライセンスと Malware ライセンスを必要とするファイルまたはマルウェアのポリシーを適用する場合にのみ該当します。

シスコのセキュリティ分析とロギングに登録している場合:

  • Secure Event Connector(SEC)を介して Cisco Cloud にイベントを送信する場合は、syslog サーバーとして SEC を指定します。これらのイベントは、ファイルポリシーとマルウェアポリシーの接続イベントとともに表示されます。

  • SEC を使用せずに Cisco Cloud に直接イベントを送信する場合は、この設定を有効にする必要はありません。アクセスコントロールルールで接続イベントを送信するように設定されている場合、ファイルイベントとマルウェアイベントが送信されます。

ステップ 5

[侵入ロギング(Intrusion Logging)]

イベントの送信先となる syslog サーバーを表す syslog サーバーオブジェクトを指定して、侵入イベントを syslog サーバーに送信します。Syslog サーバー オブジェクトをまだ作成していない場合は、この時点で作成することもできます。

侵入イベントは、アクセスコントロールルールの侵入ポリシーがトリガーされたときに報告されます。これは接続イベントとは異なります。侵入イベントの syslog 設定は、 ライセンスを必要とする侵入ポリシーを適用する場合にのみ該当します。

シスコのセキュリティ分析とロギングに登録している場合:

  • Secure Event Connector(SEC)を介して Cisco Cloud にイベントを送信する場合は、syslog サーバーとして SEC を指定します。これらのイベントは、ファイルポリシーとマルウェアポリシーの接続イベントとともに表示されます。

  • SEC を使用せずに Cisco Cloud に直接イベントを送信する場合は、この設定を有効にする必要はありません。アクセスコントロールルールで接続イベントを送信するように設定されている場合、侵入イベントが Cisco Cloud に送信されます。

ステップ 6

[コンソールフィルタ(Console Filter)]。このスライダを 「オン」にスライドして、データロギング(診断ロギング)イベントを syslog サーバーではなくコンソールに送信します。さらに、ログに記録するイベント重大度の最小レベルを選択します。これにより、任意のタイプの syslog メッセージのデータロギングイベントが、選択した最小の重大度レベルで送信されます。

これらのメッセージは、FDM-managed デバイスのコンソールポート上の CLI にログインしたときに表示されます。これらのログは、show console-output コマンドを使用して、その他の FDM-managed デバイスインターフェイス(管理インターフェイスを含む)への SSH セッションでも確認できます。さらに、メイン CLI から system support diagnostic-cli と入力すると、診断 CLI でリアルタイムでこれらのメッセージを表示できます。

ステップ 7

[保存(Save)] をクリックします。

ステップ 8

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

メッセージの重大度

次の表に、syslog メッセージの重大度の一覧を示します。

レベル番号

シビラティ(重大度)

説明

0

emergencies

システムが使用不可能な状態。

1

alert

すぐに措置する必要があります。

2

critical

深刻な状況です。

3

error

エラー状態です。

4

warning

警告状態。

5

notification

正常ですが、注意を必要とする状況です。

6

informational

情報メッセージです。

7

debugging

デバッグ メッセージです。

(注)  

 

FDM-managed デバイスは、シビラティ(重大度)0(緊急)の syslog メッセージを生成しません。

DHCP サーバーの設定

Dynamic Host Configuration Protocol(DHCP)サーバは、IP アドレスなどのネットワーク設定パラメータを DHCP クライアントに提供します。接続されたネットワークで DHCP クライアントに構成パラメータを提供するように、インターフェイスで DHCP サーバを設定できます。

IPv4 DHCP クライアントは、サーバに到達するために、マルチキャスト アドレスよりもブロードキャストを使用します。DHCP クライアントは、UDP ポート 68 でメッセージをリッスンします。DHCP サーバーは、UDP ポート 67 でメッセージをリッスンします。DHCP サーバは、BOOTP 要求をサポートしていません。

DHCP クライアントは、サーバが有効になっているインターフェイスと同じネットワークに属している必要があります。スイッチがあるとしても、サーバーとクライアントの間にルータを介在させることはできません。


注意    

すでに DHCP サーバが動作しているネットワークで DHCP サーバを設定しないでください。2 つのサーバーがお互いに競合するため、結果は予測不可能になります。

手順

ステップ 1

このセクションには 2 つのエリアがあります。最初は、[構成(Configuration)] セクションにグローバルパラメータが表示されます。[DHCPサーバ(DHCP Servers)] エリアには、サーバーを設定したインターフェイスと、サーバーが有効にされているかどうか、そしてサーバーのアドレスプールが表示されます。

ステップ 2

[構成(Configuration)] セクションで、自動設定とグローバル設定を構成します。

DHCP 自動設定では、指定したインターフェイスで動作している DHCP クライアントから取得した DNS サーバー、ドメイン名、および WINS サーバーの情報が、DHCP サーバーから DHCP クライアントに提供されます。通常、外部インターフェイスで DHCP を使用してアドレスを取得する場合には自動設定を使用しますが、DHCP を介してアドレスを取得するインターフェイスを選択することもできます。自動設定を使用できない場合には、必要なオプションを手動で定義できます。

  1. 自動設定を利用する場合、[自動設定を有効にする(Enable Auto Configuration)] をクリックして [オン(On)] にしてから、DHCP を介してアドレスを取得するインターフェイスを [次のインターフェイスから取得(From Interface)] プルダウンで選択します。

  2. 自動設定を有効にしない場合、または自動設定された設定を上書きするには、次のグローバルオプションを設定します。これらの設定は、DHCP サーバーをホストするすべてのインターフェイスで DHCP クライアントに送信されます。

    1. プライマリ WINS IP アドレス、セカンダリ WINS IP アドレス。クライアントが NetBIOS の名前解決に使用する Windows インターネット ネーム サービス(WINS)サーバーのアドレス。

    2. プライマリ DNS IP アドレス、セカンダリ DNS IP アドレス。クライアントがドメイン名の解決に使用するドメインネームシステム(DNS)サーバーのアドレス。DNS IP アドレスフィールドに Cisco Umbrella DNS サーバーを入力する場合は、[Umbrella 設定を適用(Apply Umbrella Settings)] をクリックします。ボタンをクリックすると、適切な IP アドレスがフィールドにロードされます。

  3. [保存(Save)] をクリックします。

ステップ 3

[DHCPサーバー(DHCP Servers)] セクションで、既存のサーバーを編集するか、[新しいDHCPサーバー(New DHCP サーバー)] をクリックして新しいサーバーを追加および構成します。

  1. サーバ プロパティを設定します。

    1. [DHCPサーバーの有効化(Enable DHCP Server)] サーバーを有効にするかどうかを決定します。サーバを設定できますが、使用する準備が整うまでサーバは無効にしておきます。

    2. [インターフェイス(Interface)]。クライアントに DHCP アドレスを提供するインターフェイスを選択します。インターフェイスは静的 IP アドレスを持っている必要があります。インターフェイスで DHCP サーバを実行する場合、インターフェイス アドレスの取得に DHCP を使用することはできません。ブリッジ グループの場合、 メンバー インターフェイスではなく、ブリッジ仮想インターフェイス(BVI)で DHCP サーバを設定します。そうすると、サーバはすべてのメンバー インターフェイスで有効になります。診断インターフェイスで DHCP サーバを設定することはできません。[デバイス(Device)] > [システム設定(System Settings)] > [管理インターフェイス(Management Interface)] ページの管理インターフェイスで設定します。

    3. [アドレスプール(Address Pool)]。DHCP サーバーの単一の IP アドレスまたは IP アドレス範囲を追加します。アドレスを要求するクライアントにサーバが提供できる IP アドレスの最小から最大までの範囲です。IP アドレスの範囲は、選択したインターフェイスと同じサブネット上に存在する必要があり、インターフェイス自体の IP アドレス、ブロードキャスト アドレス、またはサブネット ネットワーク アドレスを含めることはできません。プールの開始アドレスと終了アドレスをハイフンで区切って指定します。たとえば、 10.100.10.12-10.100.10.250 のように指定します。

  2. [OK] をクリックします。

ステップ 4

[Save] をクリックします。

ステップ 5

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

DNS サーバの設定

ドメインネームシステム(DNS)サーバーは、IP アドレスのホスト名の解決に使用されます。DNS サーバーは、管理インターフェイスによって使用されます。

手順

ステップ 1

[プライマリ、セカンダリ、ターシャリ DNS IP アドレス(Primary, Secondary, Tertiary DNS IP Address)] に、DNS サーバーの IP アドレスを優先順位に従って 3 つまで入力します。使用していたプライマリ DNS サーバーからの応答がなくなると、セカンダリが使用され、最後にターシャリが使用されます。DNS IP アドレスフィールドに Cisco Umbrella DNS サーバーを入力する場合は、[Umbrella 設定を適用(Apply Umbrella Settings)] をクリックします。ボタンをクリックすると、適切な IP アドレスがフィールドにロードされます。

ステップ 2

[ドメイン検索名(Domain Search Name)] に、ネットワークのドメイン名(example.com など)を入力します。このドメインは、完全修飾されていないホスト名に付加されます(たとえば、serverA は serverA.example.com になります)。

ステップ 3

[保存(Save)] をクリックします。

ステップ 4

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

管理インターフェイス

管理インターフェイスは物理的な管理ポートに接続されている仮想インターフェイスです。物理ポートは診断インターフェイスと呼ばれ、他の物理ポートとともにインターフェイス ページで設定できます。仮想 FDM-managed デバイスではどちらのインターフェイスも仮想ですが、この二重性は保持されます。

管理インターフェイスには 2 つの使い方があります。

  • IP アドレスへの Web および SSH 接続を開き、インターフェイスからデバイスを設定できます。

  • システムはこの IP アドレスを使用してスマート ライセンスおよびデータベースの更新情報を取得します。

CLI セットアップ ウィザードを使用すると、システムの初期設定時にデバイスの管理アドレスとゲートウェイを設定します。FDM-managed のセットアップウィザードを使用すると、管理アドレスとゲートウェイはデフォルトのまま変更されません。

必要に応じて、FDM-managed デバイスを通じてこれらのアドレスを変更できます。また、CLI で configure network ipv4 manual および configure network ipv6 manual コマンドを使用することで、管理アドレスとゲートウェイアドレスを変更することもできます。

管理ネットワーク上の他のデバイスが DHCP サーバーとして機能している場合、スタティック アドレスを定義するか、または DHCP を介してアドレスを取得できます。デフォルトでは、管理アドレスは静的で、DHCP サーバーはポートで動作します(DHCP サーバーのない仮想 FDM-Managed デバイスを除く)。そのため、デバイスを管理ポートに直接接続し、ワークステーションの DHCP アドレスを取得できます。これにより、デバイスの接続と設定が容易になります。


注意    

現在接続されているアドレスを変更した場合は、その変更がすぐに適用されるため、変更の保存と同時に FDM-managed デバイス(または CLI)にアクセスできなくなります。デバイスに接続し直す必要があります。新しいアドレスが管理ネットワークで使用できることを確認します。

手順

ステップ 1

管理 IP アドレス、ネットワークマスクまたは IPv6 プレフィックス、および IPv4、IPv6、またはその両方のゲートウェイ(必要に応じて)を設定します。少なくとも 1 組のプロパティを設定する必要があります。1 組は空白にし、そのアドレッシング方式を無効にします。

ステップ 2

[タイプ(Type)] > [DHCP] を選択し、DHCP または IPv6 自動設定によってアドレスおよびゲートウェイを取得します。ただし、ゲートウェイとしてデータ インターフェイスを使用している場合、DHCP を使用することはできません。この場合はスタティック アドレスを使用する必要があります。

ステップ 3

[保存(Save)] をクリックします。

ステップ 4

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

ホストネーム

デバイス ホスト名を変更できます。

手順

ステップ 1

[ファイアウォールホスト名(Firewall Hostname)] フィールドに、デバイスの新しいホスト名を入力します。

ステップ 2

[保存(Save)] をクリックします。

ステップ 3

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

NTP サーバの設定

システムの時刻を設定するには、Network Time Protocol(NTP)サーバーを設定する必要があります。

手順

ステップ 1

独自のタイムサーバー(手動)を使用するか、シスコのタイムサーバーを使用するかを選択します。

  • [新規 NTP サーバー(New NTP Server)]。使用する NTP サーバの完全修飾名または IP アドレスを入力します。例、ntp1.example.com または 10.100.10.10。

  • [デフォルトを使用(Use Default)]

ステップ 2

[保存(Save)] をクリックします。

ステップ 3

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

URL フィルタリングの設定

システムは、Cisco Collective Security Intelligence(CSI)から URL カテゴリとレピュテーション データベースを取得します。これらの設定により、データベースの更新とシステムが不明なカテゴリまたはレピュテーションの URL を処理する方法が制御されます。これらの設定を行うには、URL フィルタリング ライセンスを有効にする必要があります。


注意    

URL スマートライセンスがなくても [URL フィルタリングの設定(URL Filtering Preferences)] を設定することはできますが、展開するにはスマートライセンスが必要です。URL スマートライセンスを追加するまでは、展開がブロックされます。

手順

ステップ 1

該当するオプションを有効にします。

  • カテゴリとレピュテーションを含む更新された URL データが自動的にチェックされ、ダウンロードされるようにするには、[自動更新の有効化(Enable Automatic Updates)] スライダをクリックしてオンにします。展開後、FDM-managed デバイスは、30 分ごとに更新をチェックします。

  • ローカル URL フィルタリングデータベースのカテゴリおよびレピュテーションのデータを含まない URL に関する更新情報について Cisco CSI をチェックするには、[不明な URL に対する Cisco CSI のクエリ(Query Cisco CSI for Unknown URLs)] スライダをクリックしてオンにします。

  • [URL 存続可能時間(URL Time to Live)] は、[不明な URL に対する Cisco CSI のクエリ(Query Cisco CSI for Unknown URLs)] オプションを有効にしている場合にのみ有効になります。これにより、指定された URL のカテゴリおよびレピュテーション ルックアップ値を保持する時間が決まります。存続可能時間が経過すると、次に試行される URL のアクセスが新規のカテゴリ/レピュテーション ルックアップになります。時間が短いほど URL フィルタリングが正確になり、時間が長いほど未知の URL に対するパフォーマンスが向上します。デフォルトでは [なし(Never)] が選択されています。

ステップ 2

[保存(Save)] をクリックします。

ステップ 3

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

クラウド サービス(Cloud Services)

[クラウドサービス(Cloud Services)] ページを使用して、クラウドベースのサービスを管理できます。


(注)  

Cisco Success Network への接続と、Cisco Cloud に送信されるイベントの設定は、ソフトウェアバージョン 6.6 以降を実行している FTD デバイスで設定できる機能です。

Cisco Success Network への接続

Cisco Success Network を有効にすると、テクニカル サポートを提供するために不可欠な使用状況の情報と統計情報がシスコに提供されます。またこの情報により、シスコは製品を向上させ、未使用の使用可能な機能を認識させるため、ネットワーク内にある製品の価値を最大限に生かすことができます。

接続を有効にすると、デバイスが Cisco Cloud へのセキュアな接続を確立し、シスコから提供されているテクニカルサポートサービス、クラウド管理および監視サービスなどの追加サービスに参加できるようになります。お使いのデバイスは、いつでもこのセキュアな接続を確立して維持できます。

はじめる前に

Cisco Success Network を有効にするには、FDM-managed デバイスを使用してデバイスをクラウドに登録する必要があります。デバイスを登録するには、[スマートライセンス(Smart Licensing)] ページで Cisco Smart Software Manager にデバイスを登録するか、または登録キーを入力して Security Cloud Control に登録します。


注目

高可用性グループのアクティブ装置で Cisco Success Network を有効にする場合、スタンバイ装置での接続も有効にします。
手順

ステップ 1

[クラウドサービス(Cloud Services)] タブをクリックします。

ステップ 2

必要に応じて Cisco Success Network 機能の [有効化(Enable)] スライダをクリックして設定を変更します。

ステップ 3

[保存(Save)] をクリックします。

ステップ 4

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Cisco Cloud へのイベントの送信

Cisco Security Cloud にイベントを送信できます。そこから、さまざまな Cisco Security Cloud サービスがイベントデータにアクセスできます。次に、Cisco XDR などのクラウドアプリケーションを使用して、イベントを分析したり、デバイスが遭遇した可能性のある脅威を評価したりできます。

はじめる前に

このサービスを有効にするには、事前に Cisco Smart Software Manager にデバイスを登録する必要があります。

Cisco XDR に登録すると、Cisco Security Cloud Sign On を通じて Cisco XDR にサインインするためのリンクが記載されたメールが届きます。Cisco XDR にサインインするには、Cisco Security Cloud Sign On アカウントが必要です。アカウントがない場合は、「Cisco Security Cloud Sign On アカウントの作成」を使用してアカウントを作成できます。

Cisco XDR と FTD の統合に関する詳細は、『Cisco Secure Firewall Threat Defense and Cisco XDR Integration Guide』を参照してください。

手順

ステップ 1

[クラウドサービス(Cloud Services)] タブをクリックします。

ステップ 2

必要に応じて [Cisco Cloudにイベントを送信(Send Events to the Cisco Cloud)] オプションの [有効化(Enable)] スライダをクリックして設定を変更します。

ステップ 3

サービスを有効にすると、クラウドに送信するイベントを選択するように求められます。

  • [ファイル/マルウェア(File/Malware)]:任意のアクセス制御ルールで適用した任意のファイルポリシー用。

  • [侵入(Intrusion)]:任意のアクセス制御ルールで適用した任意の侵入ポリシー用。

  • [接続(Connection)]:ロギングを有効にしたアクセス制御ルール用。このオプションを選択すると、すべての接続イベントを送信するか、優先度の高い接続イベントのみを送信するかを選択することも可能です。優先度の高い接続イベントとは、侵入、ファイル、またはマルウェアイベントをトリガーする接続、またはセキュリティ インテリジェンス ブロッキング ポリシーに一致する接続に関連するイベントです。

ステップ 4

[保存(Save)] をクリックします。

ステップ 5

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Web 分析の有効化と無効化

Web 分析を有効にすると、ページのヒット数に基づいて匿名の製品使用情報をシスコに提供できます。情報には、表示したページ、ページで費やした時間、ブラウザのバージョン、製品バージョン、デバイスのホスト名などが含まれます。この情報は、シスコが機能の使用状況パターンを確認し、製品を改善するのに使用されます。すべての使用状況データは匿名で、センシティブ データは送信されません。Security Cloud Control を使用して、FDM-managed デバイスのすべてのバージョンでこの機能を設定できます。

Web 分析はデフォルトで有効になっています。

手順

ステップ 1

[Web 分析(Web Analytics)] タブをクリックします。

ステップ 2

必要に応じて [Web 分析(Web Analytics)] 機能の [有効化(Enable)] スライダをクリックして設定を変更します。

ステップ 3

[保存(Save)] をクリックします。

ステップ 4

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Security Cloud Control コマンドライン インターフェイス ツールの使用

Security Cloud Control コマンドライン インターフェイス ツールは、Firewall Device Manager や他のデバイスの管理またはトラブルシューティングに使用できます。

詳細については、「Security Cloud Control 設定ガイド」を参照してください。

Security Cloud Control パブリック API

Security Cloud Control はパブリック API を公開しており、ドキュメント、例、実験用のプレイグラウンドを提供しています。パブリック API の目的は、通常は Security Cloud Control UI で実行できる多くの操作をコードで実行するためのシンプルで効果的な方法を提供することです。

この API を使用するには、GraphQL の知識が必要です。詳細でありながら読みやすい公式ガイド(https://graphql.org/learn/)が提供されています。

完全なスキーマドキュメントを見つけるには、GraphQL Playground に移動し、ページの右側にある [ドキュメント(docs)] タブをクリックしてください。

Security Cloud Control パブリック API は、ユーザーメニューから選択して起動できます。

REST API マクロを作成する

API ツールを使用する

Security Cloud Control は、FDM-managed デバイスで高度なアクションを実行するための FDM-managed デバイス Representational State Transfer(REST)アプリケーション プログラミング(API)要求を実行するための API ツールインターフェイスを提供します。REST API は、JavaScript Object Notation(JSON)形式を使用してオブジェクトを表します。

インターフェイスは、システム定義またはユーザー定義の API マクロを提供します。システム定義マクロは Security Cloud Control によって提供され、編集も削除もできません。ユーザー定義マクロはユーザーが作成し、編集または削除できます。Secure Firewall Device Manager API Explorer でサポートされているすべてのリソースグループを使用できます。


(注)  

Security Cloud Control は、JSON を返す API エンドポイントのみをサポートしています。

前提

プログラミングの一般的な知識と、REST API および JSON の一定の理解があることを想定しています。これらのテクノロジーになじみがない場合は、最初に REST API の一般的なガイドをお読みください。

サポートドキュメント

サポートされる HTTP メソッド

次の HTTP メソッドのみを使用できます。


重要

読み取り専用ロールを持つユーザーは、GET 操作のみを実行できます。

属性

説明

GET

デバイスからデータを読み取ります。

POST

あるリソースタイプの新しいオブジェクトを作成します。たとえば、POST を使用して新しいネットワーク オブジェクトを作成します。

PUT

既存のリソースの属性を変更します。PUT を使用する場合は、JSON オブジェクト全体を含める必要があります。オブジェクト内の個々の属性を選択的に更新することはできません。たとえば、PUT を使用して、既存のネットワークオブジェクトに含まれているアドレスを変更します。

DELETE

自分または他のユーザーが作成したリソースを削除します。たとえば、不要になったネットワーク オブジェクトを削除するには、DELETE を使用します。

Secure Firewall Threat Defense REST API リクエストの入力方法

FDM-managed デバイスを選択して単一のコマンドを指定するか、追加のパラメータが必要なコマンドを実行できます。

REST API リクエストのシンタックスを確認する場合は、デバイスの [API Explorer] ページ(https://ftd.example.com/#/api-explorer など)にログオンし、必要なリソースグループをクリックして、実行するコマンドのシンタックスを確認します。例:https://10.10.5.84/#/api-explorer

次の図は、Security Cloud Control での単一の REST API リクエストの例を示しています。

次の図は、追加のパラメータが必要な REST API リクエストの例を示しています。[リクエストの本文(Request Body)] でデータを手動で指定する必要があります。コマンドのシンタックスを確認するには、デバイスの [API Explorer] ページにログオンします。


(注)  

POST リクエストを実行するには、デバイスが同期状態である必要があります。

手順

ステップ 1

左側のペインで [インベントリ(Inventory)]Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックします。

ステップ 4

REST API を使用して管理する FDM-managed デバイスを選択し、右側の [デバイスアクション(Device Actions)] で、[APIツール(API Tool)] をクリックします。

ステップ 5

ドロップダウンからリクエスト方式を選択し、/api/fdm/latest/ に続けて実行するコマンドを入力します。POST または PUT コマンドを実行している場合は、リクエストの本文を入力します。

ステップ 6

[送信(Send)] をクリックします。[リクエストの本文(Response Body)] には、実行されたコマンドの応答が表示されます。

重要

 

POST リクエストは、通常、デバイスのステージングされた設定に変更を加えます。[FDMの変更をコミット(Commit Changes in FDM)] をクリックして、変更を FDM-managed デバイスに送信します。

FTD REST API マクロについて

REST API マクロは、すぐに使用できる完全な形式の REST API コマンド、または実行前に変更できる REST API コマンドのテンプレートです。すべての REST API マクロは、1 つ以上の FDM-managed デバイスで同時に実行できます。

テンプレートに似た REST API マクロを使用して、同じコマンドを複数のデバイスで同時に実行します。REST API マクロは、デバイスの設定と管理の一貫性を促進します。完全な形式の REST API マクロを使用して、デバイスに関する情報を取得します。FDM-managed デバイスですぐに使用できるさまざまな REST API マクロがあります。

頻繁に実行するタスク用に REST API マクロを作成できます。詳細については、「REST API マクロの作成」を参照してください。

REST API マクロは、システム定義またはユーザー定義です。システム定義マクロは Security Cloud Control によって提供され、編集も削除もできません。ユーザー定義マクロはユーザーが作成し、編集または削除できます。


(注)  

デバイスが Security Cloud Control にオンボードされた後にのみ、デバイスのマクロを作成できます。

REST API マクロを作成する

新コマンドを使用した REST API マクロの作成
手順

ステップ 1

REST API マクロを作成する前に Security Cloud Control の REST API インターフェイスでコマンドをテストして、コマンドシンタックスが正しく、信頼できる結果が返されることを確認します。

(注)  

 

デバイスが Security Cloud Control にオンボードされた後にのみ、デバイスのマクロを作成できます。

ステップ 2

REST API を使用して管理する FDM-managed デバイスを選択し、右側の [デバイスアクション(Device Actions)] で、[APIツール(API Tool)] をクリックします。

ステップ 3

REST API マクロのお気に入りのスター をクリックして、すでに存在するマクロを確認します。

ステップ 4

プラスボタン をクリックします。

ステップ 5

マクロに一意の名前を指定します。必要に応じて、REST API マクロの説明と注意点を入力します。

ステップ 6

[要求メソッド(Request Method)] を選択し、[要求エンドポイント(Request Endpoint)] フィールドにエンドポイント URL を入力します。詳細については、『Cisco Firepower Threat Defense REST API ガイド』を参照してください。

ステップ 7

コマンドの実行時に変更したいコマンドの部分を、中括弧で囲まれたパラメータ名に置き換えます。

ステップ 8

[OK] をクリックします。作成したマクロは、最初に指定したデバイスだけでなく、そのタイプのすべてのデバイスで使用できます。

コマンドの実行については、「REST API マクロの実行」を参照してください。

履歴または既存の REST API マクロを使用した REST API マクロの作成

この手順では、すでに実行したコマンド、別のユーザー定義マクロ、またはシステム定義マクロからユーザー定義 REST API マクロを作成します。

手順

ステップ 1

REST API を使用して管理する FDM-managed デバイスを選択し、右側の [デバイスアクション(Device Actions)] で、[APIツール(API Tool)] をクリックします。

(注)  

 

REST API 履歴からユーザー定義マクロを作成する場合は、コマンドを実行したデバイスを選択します。REST API マクロは、同じアカウントのデバイス間で共有されますが、REST API 履歴は共有されません。

ステップ 2

API マクロを作成するコマンドを見つけて選択します。次のいずれかの方法を使用してください。

  • クロック をクリックして、そのデバイスで実行したコマンドを表示します。マクロに変換するコマンドをダブルクリックして選択すると、コマンドペインにそのコマンドが表示されます。

  • API マクロのお気に入りのスター をクリックして、すでに存在するマクロを確認します。変更するユーザー定義またはシステム定義の API マクロを選択します。コマンドがコマンドペインに表示されます。

ステップ 3

コマンドがコマンドペインに表示された状態で、API マクロの金色のスター をクリックします。このコマンドが、新しい API マクロの基礎になります。

ステップ 4

マクロに一意の名前を指定します。必要に応じて、API マクロの説明と注意点を入力します。

ステップ 5

[コマンド(Command)] フィールドのコマンドを確認し、必要な変更を加えます。

ステップ 6

コマンドの実行時に変更したいコマンドの部分を、中括弧で囲まれたパラメータ名に置き換えます。

ステップ 7

[作成(Create)] をクリックします。作成したマクロは、最初に指定したデバイスだけでなく、そのタイプのすべてのデバイスで使用できます。

コマンドの実行については、「REST API マクロの実行」を参照してください。

REST API マクロの実行

手順

ステップ 1

左側のペインで [インベントリ(Inventory)]Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックします。

ステップ 4

右側の [デバイスアクション(Device Actions)] ペインで、[API ツール(API Tool)] をクリックします。

ステップ 5

コマンドパネルで、スター をクリックして REST API マクロを表示します。

ステップ 6

コマンドパネルから REST API マクロを選択します。

ステップ 7

次のいずれかの方法でマクロを実行します。

  • 定義するパラメータがマクロに含まれていない場合は、[送信(Send)] をクリックします。コマンドへの応答が応答ペインに表示されます。これで完了です。

  • マクロにパラメータが含まれている場合(下の Create Network Object マクロなど)、[パラメーターの表示(View Parameters)] をクリックします。

ステップ 8

[パラメータ(Parameters)] ペインで、パラメータの値を [パラメータ(Parameters)] の各フィールドに入力します。

ステップ 9

[送信(Send)] をクリックします。

(注)  

 

FDM-managed デバイスのアクティブな設定が更新されます。

REST API マクロの編集

ユーザー定義の REST API マクロは編集できますが、システム定義のマクロは編集できません。REST API マクロを編集すると、すべての FDM-managed デバイスでマクロが変更されます。マクロは特定のデバイス固有のものではありません。

手順

ステップ 1

左側のペインで [インベントリ(Inventory)]Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックします。

ステップ 4

REST API を使用して管理する FDM-managed デバイスを選択し、右側の [デバイスアクション(Device Actions)] で、[APIツール(API Tool)] をクリックします。

ステップ 5

編集するユーザー定義マクロを選択します。

ステップ 6

マクロラベルの編集アイコンをクリックします。

ステップ 7

[マクロの編集(Edit Macro)] ダイアログボックスで REST API マクロを編集します。

ステップ 8

[保存(Save)] をクリックします。

REST API マクロの実行方法については、「REST API マクロの実行」を参照してください。

REST API マクロの削除

ユーザー定義の REST API マクロは削除できますが、システム定義のマクロは削除できません。REST API マクロを削除すると、すべてのデバイスでマクロが削除されます。マクロは特定のデバイス固有のものではありません。

手順

ステップ 1

左側のペインで [インベントリ(Inventory)]Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックします。

ステップ 4

デバイスを選択して、右側の [デバイスアクション(Device Actions)] で、[API ツール(API Tool)] をクリックします。

ステップ 5

削除するユーザー定義 REST API マクロを選択します。

ステップ 6

REST API マクロ ラベルのゴミ箱アイコン をクリックします。

ステップ 7

REST API マクロを削除することを確認します。

設定変更の読み取り、破棄、および展開

すべてのデバイス設定の読み取り

Security Cloud Control の外部にあるデバイスの設定が変更された場合、Security Cloud Control に保存されているデバイスの設定と、当該デバイスの設定のローカルコピーは同じではなくなります。多くの場合、Security Cloud Control にあるデバイスの設定のコピーをデバイスに保存されている設定で上書きして、設定を再び同じにしたいと考えます。[すべて読み取り(Read All)] リンクを使用して、多くのデバイスでこのタスクを同時に実行できます。

Security Cloud Control によるデバイス設定の 2 つのコピーの管理方法の詳細については、「設定変更の読み取り、破棄、チェック、および展開」を参照してください。

[すべて読み取り(Read All)] をクリックした場合に、Security Cloud Control にあるデバイスの設定のコピーがデバイスの設定のコピーで上書きされる 3 つの設定ステータスを次に示します。

  • [競合検出(Conflict Detected)]:競合検出が有効になっている場合、Security Cloud Control は、設定に加えられた変更について、管理するデバイスを 10 分ごとにポーリングします。Security Cloud Control がデバイスの設定が変更されたことを検出した場合、Security Cloud Control はデバイスの [競合検出(Conflict Detected)] 設定ステータスを表示します。

  • [同期(Synced)]:デバイスが [同期(Synced)] 状態の場合に、[すべて読み取り(Read All)] をクリックすると、Security Cloud Control はすぐにデバイスをチェックして、設定に直接変更が加えられているかどうかを判断します。[すべて読み取り(Read All)] をクリックすると、Security Cloud Control はデバイスの設定のコピーを上書きすることを確認し、その後 Security Cloud Control が上書きを実行します。

  • [未同期(Not Synced)]:デバイスが [未同期(Not Synced)] 状態の場合に、[すべて読み取り(Read All)] をクリックすると、Security Cloud Control は、Security Cloud Control を使用したデバイスの設定に対する保留中の変更があること、および [すべて読み取り(Read All)] 操作を続行すると保留中の変更が削除されてから、Security Cloud Control にある設定のコピーがデバイス上の設定で上書きされることを警告します。この [すべて読み取り(Read All)] は、[変更の破棄(Discard Changes)] と同様に機能します。設定変更の破棄

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

(任意)変更ログでこの一括アクションの結果を簡単に識別できるように、変更リクエストラベルを作成します。

ステップ 5

Security Cloud Control を保存する設定のデバイスを選択します。Security Cloud Control では、選択したすべてのデバイスに適用できるアクションのコマンドボタンのみ提供されることに注意してください。

ステップ 6

[すべて読み取り(Read All)] をクリックします。

ステップ 7

選択したデバイスのいずれかについて、Security Cloud Control で設定変更がステージングされている場合、Security Cloud Control は警告を表示し、設定の一括読み取りアクションを続行するかどうかを尋ねられます。[すべて読み取り(Read All)] をクリックして続行します。

ステップ 8

設定の [すべて読み取り(Read All)] 操作の進行状況については、[通知(notifications)] タブで確認します。一括操作の個々のアクションの成功または失敗に関する詳細を確認する場合は、青色の [レビュー(Review)] リンクをクリックすると、[ジョブ(Jobs)] ページに移動します。 Security Cloud Control でのジョブのモニタリング

ステップ 9

変更リクエストラベルを作成してアクティブ化した場合は、他の設定変更を誤ってこのイベントに関連付けないように、忘れずにラベルをクリアしてください。

FDM-Managed デバイスから Security Cloud Control への設定変更の読み取り

Security Cloud ControlFDM-managed デバイスの設定を読み取る理由

FDM-managed デバイスを管理するため、Security Cloud ControlFDM-managed デバイスの設定のコピーを独自に保存しておく必要があります。Security Cloud Control は、FDM-managed デバイスから設定を読み取るときに FDM-managed デバイスの展開された設定のコピーを取得し、それを独自のデータベースに保存します。Security Cloud Control が最初にデバイスの構成ファイルのコピーを読み取って保存するのは、デバイスがオンボードされたときです。詳細については、「設定変更の読み取り、破棄、チェック、および展開」を参照してください。

保留中および展開済みの変更

Firepower Device Manager(FDM)またはその CLI を介して直接 FDM-managed デバイスに加えられた設定変更は、それらが展開されるまで、FDM-managed デバイスでの段階的な変更と呼ばれます。段階的な変更または保留中の変更は、FDM-managed デバイスを通過するトラフィックに影響を与えることなく編集または削除できます。ただし、保留中の変更が展開されると、それらの変更は FDM-managed デバイスによって適用され、デバイスを通過するトラフィックに影響を与えます。

競合が検出されました

デバイスで [競合検出(Conflict Detection)]競合検出を有効にすると、Security Cloud Control は 10 分ごとに設定の変更をチェックします。デバイスに保存されている設定のコピーが変更された場合、Security Cloud Control は「競合が検出されました」という設定ステータスを表示して通知します。競合検出を有効にしていない場合、または 10 分間の自動ポーリング間隔以内にデバイスの設定に変更が加えられた場合、[変更の確認(Check for Changes)] をクリックすると、Security Cloud Control はデバイス上の設定のコピーと Security Cloud Control に保存された設定のコピーを即時に比較します。[競合の確認(Review Conflict)] を選択してデバイス設定と Security Cloud Control に保存された設定との違いを調べ、その後 [変更の破棄(Discard Changes)] を選択して段階的な変更を削除し、保存された設定に戻すか、変更を確定することができます。[レビューなしで受け入れる(Accept without Review)] を選択することもできます。このオプションを選択すると、設定が取得され、現在 Security Cloud Control に保存されている設定が上書きされます。

変更の破棄手順

FDM-managed デバイスからの設定変更を破棄するには、次の手順に従います。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

構成が [競合が検出されました(Conflict Detected)] に設定されているデバイスを選択すると、[保留中の変更を元に戻す(Revert Pending Changes)] リンクが表示されます。メッセージで、リンクをクリックすると保留中の変更を元に戻すことができること、またはローカルマネージャ FDM を使用してデバイスにログオンし、最初に変更を展開できることが説明されます。

(注)  

 

フィルタを使用して、競合状態にあるデバイスを見つけることができます。

注意    

 

[保留中の変更を元に戻す(Revert Pending Changes)] リンクをクリックすると、FDM-managed デバイスの保留中の変更がすぐに削除されます。最初に変更を確認する機会はありません。

ステップ 5

[保留中の変更を元に戻す(Revert Pending Changes)] をクリックする前に、FDM で変更を確認するには、次の手順を実行します。

  1. ブラウザウィンドウを開き、https://< IP_address_of_the_FTD > と入力します。

  2. FDM で展開アイコンを探します。コンソールにはオレンジ色の円が表示されており、展開する準備が整った変更があることを示しています

  3. アイコンをクリックして、保留中の変更を確認します。

  • 変更を削除しても構わない場合は、Security Cloud Control に戻り、[保留中の変更を元に戻す(Revert Pending Changes)] をクリックします。この時点で、FDM-managed デバイスの構成と Security Cloud Control の構成のコピーは同じである必要があります。これで追加されました。

  • 変更をデバイスに展開する場合は、[今すぐ展開(Deploy Now)] をクリックします。これで、FDM-managed デバイスに展開された構成と Security Cloud Control に保存された構成が同じではなくなりました。Security Cloud Control に戻り、デバイスの変更をポーリングできますSecurity Cloud ControlFDM-managed デバイスに変更があったことを識別し、該当する競合を確認できます。その状態を解決するには、「競合検出 - 競合の確認」を参照してください。

保留中の変更を元に戻すことに失敗した場合

システムデータベースとセキュリティフィードへの変更は、Security Cloud Control によって元に戻すことはできません。Security Cloud Control は保留中の変更があることを認識し、それらを元に戻そうとしますが失敗します。元に戻せなかった原因が、保留中のデータベースの更新やセキュリティフィードの更新なのかどうかを判断するには、デバイスの FDM コンソールにログインします。コンソールにはオレンジ色の円が表示されており、展開する準備が整った変更があることを示しています 。[展開(Deploy)] ボタンをクリックして保留中の変更を確認し、必要に応じて展開または破棄します。

競合の確認手順

FDM-managed からの設定変更を確認するには、次の手順に従います。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

設定が [競合検出(Conflict Detected)] とマークされているデバイスを選択すると、右側の [競合検出(Conflict Detected)] ペインに [競合の確認(Review Conflict)] へのリンクが表示されます。

ステップ 5

[競合の確認(Review Conflict)] をクリックします。

ステップ 6

提示された 2 つの設定を比較します。

ステップ 7

次のいずれかの操作を行います。

  • [承認(Accept)] をクリックして、Security Cloud Control で最後に認識された設定をデバイスで検出された設定で上書きします。Security Cloud Control に保存されている設定全体が、デバイスで検出された設定によって完全に上書きされます。

  • [拒否(Reject)] をクリックして、デバイスに加えられた変更を拒否し、Security Cloud Control で最後に認識された設定に置き換えます。

  • 削除を中止するには、[キャンセル(Cancel)] をクリックします。

(注)  

 

デバイスが同期状態のときに [変更の確認(Check for Changes)]設定変更の確認をクリックすると、アウトオブバンドの変更についてデバイスをすぐに確認するように Security Cloud Control に指示できます。

レビューなしで承認する手順

FDM-managed デバイスからの設定変更を確認せずに受け入れるには、次の手順に従います。

手順

ステップ 1

左側のペインで Security Devices タブをクリックします。

ステップ 2

適切なデバイスタイプのタブをクリックします。

ステップ 3

設定が [競合検出(Conflict Detected)] とマークされているデバイスを選択すると、右側の [競合検出(Conflict Detected)] ペインに [レビューなしで承認(Accept Without Review)] へのリンクが表示されます。

ステップ 4

[レビューなしで承認(Accept Without Review)] をクリックします。Security Cloud Control は、現在の設定を受け入れて上書きします。

すべてのデバイスの設定変更のプレビューと展開

組織上のデバイスに構成変更を加えたものの、その変更をまだ展開していない場合、Security Cloud Control は展開アイコン にオレンジ色のドットを表示して通知します。これらの変更の影響を受けるデバイスについては、[セキュリティデバイス(Security Devices)] ページに「未同期(Not Synced)」のステータスが表示されます。[展開(Deploy)] をクリックすると、保留中の変更があるデバイスを確認し、それらのデバイスに変更を展開できます。

この展開方法は、サポートされているすべてのデバイスで使用できます。

この展開方法を使用して、単一の構成変更を展開することも、待機して複数の変更を一度に展開することもできます。

手順

ステップ 1

Security Cloud Control のメニューバーで、[展開(Deploy)] ボタン をクリックします。

ステップ 2

展開する変更があるデバイスを選択します。デバイスに黄色の三角の注意マークが付いている場合、そのデバイスに変更を展開することはできません。黄色の三角の注意マークにマウスを合わせると、そのデバイスに変更を展開できない理由を確認できます。

ステップ 3

(オプション)保留中の変更に関する詳細情報を表示する場合は、[詳細な変更ログを表示(View Detailed Changelog)] リンクをクリックして、その変更に関連付けられた変更ログを開きます。[展開(Deploy)] アイコンをクリックして、[保留中の変更があるデバイス(Devices with Pending Changes)] ページに戻ります。

ステップ 4

[今すぐ展開(Deploy Now)] をクリックして、選択したデバイスに今すぐ変更を展開します。[ジョブ(Jobs)] トレイの [アクティブなジョブ(Active jobs)] インジケータに進行状況が表示されます。

ステップ 5

(オプション)展開が完了したら、[プラットフォーム(Platform)] メニューで [ファイアウォール(Firewall)] をクリックし、[イベントとログ(Events & Logs)] > [イベント(Events)] > [ジョブ(Jobs)] の順に選択します。展開の結果を示す最近の「変更の展開(Deploy Changes)」ジョブが表示されます。

Security Cloud Control から FDM-Managed デバイスへの設定変更の展開

Security Cloud ControlFDM-Managed デバイスに変更を展開する理由

Security Cloud Control を使用してデバイスの設定を管理および変更すると、Security Cloud Control により構成ファイルの独自のコピーに加えた変更が保存されます。それらの変更は、デバイスに展開されるまで Security Cloud Control でステージングされたと見なされます。ステージングされた設定変更は、デバイスを通過するネットワークトラフィックには影響しません。変更は、Security Cloud Control がデバイスに展開した後にのみ、デバイスを通過するトラフィックに影響を及ぼします。Security Cloud Control がデバイスの設定に変更を展開すると、変更された設定の要素のみが上書きされます。デバイスに保存されている構成ファイル全体が上書きされることはありません。

Security Cloud Control と同様に、FDM-managed デバイスには保留中の変更と展開された変更の概念があります。FDM-managed デバイスの保留中の変更は、Security Cloud Control のステージングされた変更に相当します。保留中の変更は、FDM-managed デバイスを通過するトラフィックに影響を与えることなく編集または削除できます。ただし、保留中の変更が展開されると、それらの変更は FDM-managed デバイスによって適用され、デバイスを通過するトラフィックに影響を与えます。

FDM 管理対象デバイスの構成ファイルは編集プロセスが 2 段階であるため、Security Cloud Control は、管理する他のデバイスへの展開とは若干異なる方法で FDM-managed デバイスへの変更を展開します。Security Cloud Control は最初に FDM-managed デバイスに変更を展開し、変更は保留状態になります。次に、Security Cloud Control が変更をデバイスに展開すると、変更が有効になります。変更は展開されると適用されるため、FDM-managed デバイスを通過するトラフィックに影響を与えます。これは、スタンドアロンデバイスと高可用性(HA)デバイスの両方に適用されます。

展開は、1 つのデバイスに対して開始することも、複数のデバイスに対して同時に開始することもできます。単一のデバイスに対して、個別の展開や繰り返しの展開をスケジュールできます。

Security Cloud ControlFDM-managed デバイスに変更を展開できない 2 つの要因は次のとおりです。

  • FDM-managed デバイスに段階的な変更がある場合。この状態を解決する方法の詳細については、「競合検出」を参照してください。

  • FDM-managed デバイスに展開されるプロセスに変更がある場合、Security Cloud Control は変更を展開しません。

自動展開のスケジュール

自動展開をスケジュールする保留中の変更を使用して、単一のデバイスへの展開をスケジュールするようにテナントを設定することもできます。

デバイスへの変更の展開

手順

ステップ 1

Security Cloud Control を使用してデバイスの設定を変更して保存すると、その変更はデバイスの設定の Security Cloud Control インスタンスに保存されます。

ステップ 2

ナビゲーションバーで Security Devices をクリックします。

ステップ 3

[デバイス] タブをクリックします。

ステップ 4

適切なデバイスタイプのタブをクリックします。変更を加えたデバイスの設定ステータスが [非同期(Not Synced)] と表示されます。

ステップ 5

次のいずれかの方法を使用して、変更を展開します。

  • デバイスを選択し、右側の [非同期(Not Synced)] ペインで [プレビューして展開(Preview and Deploy)]をクリックします。 [保留中の変更(Pending Changes)] 画面で、変更を確認します。保留中のバージョンに問題がなければ、[今すぐ展開(Deploy Now)] をクリックします。

    変更が正常に展開されたら、変更ログを表示して、展開の結果を確認できます。

  • 画面右上の [展開(Deploy)] アイコン をクリックします。詳細については、「すべてのデバイスの設定変更のプレビューと展開」を参照してください。

変更をキャンセルする

Security Cloud Control からデバイスに変更を展開するときに [キャンセル(Cancel)] をクリックすると、行った変更はデバイスに展開されません。プロセスはキャンセルされます。行った変更はまだ Security Cloud Control で保留中であり、最終的に FDM-managed デバイスに展開する前に編集を加えることができます。

変更の破棄

変更をプレビューしているときに [すべて破棄(Discard all)] をクリックすると、自分が行った変更と、他のユーザーが行ったもののデバイスに展開しなかったその他の変更が削除されます。Security Cloud Control は、保留中の構成を、変更が行われる前の最後の読み取りまたは展開された構成に戻します。

デバイス設定の一括展開

共有オブジェクトを編集するなどして複数のデバイスに変更を加えた場合、影響を受けるすべてのデバイスにそれらの変更を一度に適用できます。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

Security Cloud Control で設定を変更した、すべてのデバイスを選択します。これらのデバイスは、「未同期」ステータスが表示されているはずです。

ステップ 5

次のいずれかの方法を使用して、変更を展開します。

  • 画面の右上にある ボタンをクリックして、[保留中の変更があるデバイス(Devices with Pending Changes)] ウィンドウを表示します。これにより、選択したデバイス上の保留中の変更を展開する前に確認することができます。変更を展開するには、[今すぐ展開(Deploy Now)] をクリックします。

    (注)  

     

    [保留中の変更があるデバイス(Devices with Pending Changes)] 画面でデバイスの横に黄色の警告三角形が表示されている場合、そのデバイスに変更を展開することはできません。そのデバイスに変更を展開できない理由を確認するには、警告三角形の上にマウスカーソルを置きます。

  • 詳細ペインで [すべて展開(Deploy All)] をクリックします。 すべての警告を確認し、[OK] をクリックします。一括展開は、変更を確認せずにすぐに開始します。

ステップ 6

(任意)ナビゲーションバーの [ジョブ(Jobs)] アイコン をクリックして、一括展開の結果を表示します。

スケジュールされた自動展開について

Security Cloud Control を使用すると、CDO が管理する 1 つ以上のデバイスの構成を変更し、都合のよいタイミングでそれらのデバイスに変更を展開するようにスケジュールできます。

[設定(Settings)] ページの [テナント設定(Tenant Settings)] タブで 自動展開をスケジュールするオプションを有効化 をした場合のみ、展開をスケジュールできます。このオプションを有効にすると、展開スケジュールを作成、編集、削除できます。展開スケジュールによって、Security Cloud Control に保存されたすべてのステージング済みの変更が、設定した日時に展開されます。[ジョブ] ページから、展開スケジュールを表示および削除することもできます。

Security Cloud Control読み取られていないデバイスに直接変更が加えられた場合、その競合が解決されるまで、展開スケジュールはスキップされます。[ジョブ(Jobs)] ページには、スケジュールされた展開が失敗したインスタンスが一覧表示されます。[自動展開をスケジュールするオプションを有効にする(Enable the Option to Schedule Automatic Deployments)] をオフにすると、スケジュールされたすべての展開が削除されます。


注意    

複数のデバイスの新しい展開をスケジュールし、それらのデバイスの一部に展開が既にスケジュールされている場合、既存の展開スケジュールが新しい展開スケジュールで上書きされます。

(注)  

展開スケジュールを作成すると、スケジュールはデバイスのタイムゾーンではなく現地時間で作成されます。展開スケジュールは、サマータイムに合わせて自動的に調整されません

自動展開のスケジュール

展開スケジュールは、単一のイベントまたは繰り返し行われるイベントにすることができます。繰り返し行われる自動展開は、繰り返し行われる展開をメンテナンス期間に合わせるための便利な方法です。次の手順に従って、単一のデバイスに対して 1 回限りまたは繰り返し行われる展開をスケジュールします。


重要

この手順は、Cisco ASAおよび FDM-managed デバイスにのみ適用されます。

[on-premises Firewall Management Center] または [Cloud-Delivered Firewall Management Center] によって管理される [Cisco Secure Firewall Threat Defense] デバイスの展開をスケジュールするには、「スケジュール」を参照してください。


(注)  

既存の展開がスケジュールされているデバイスへの展開をスケジュールすると、新しくスケジュールされた展開によって既存の展開が上書きされます。
手順

ステップ 1

Cisco Security Cloud Control ホームページから、Security Devices を選択します。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つ以上のデバイスを選択します。

ステップ 5

[デバイスの詳細(Device Details)] ペインで、[スケジュールされた展開( Scheduled Deployments)] タブを見つけて、[スケジュール(Schedule)] をクリックします。

ステップ 6

展開をいつ実行するかを選択します。

  • 1 回限りの展開の場合は、[1回限り(Once on)] オプションをクリックして、カレンダーから日付と時刻を選択します。

  • 繰り返し展開する場合は、[定期(Every)] オプションをクリックします。日に 1 回と週に 1 回のいずれかの展開を選択できます。展開を実行する [曜日(Day)] と [時刻(Time)] を選択します。

ステップ 7

[Save] をクリックします。

スケジュールされた展開の編集

スケジュールされた展開を編集するには、次の手順に従います。

手順

ステップ 1

Security Cloud Control ホームページから、Security Devices を選択します。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つ以上のデバイスを選択します。

ステップ 5

[デバイスの詳細(Device Details)] ペインで、[スケジュールされた展開( Scheduled Deployments)] タブを見つけて、[編集(Edit)] をクリックします。

ステップ 6

スケジュールされた展開の繰り返し回数、日付、または時刻を編集します。

ステップ 7

[Save] をクリックします。

スケジュールされた展開の削除

スケジュールされた展開を削除するには、次の手順に従います。


(注)  

複数のデバイスの展開をスケジュールしてから、一部のデバイスのスケジュールを変更または削除した場合は、残りのデバイスの元のスケジュールされた展開が保持されます。
手順

ステップ 1

Cisco Security Cloud Control ホームページから、Security Devices を選択します。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つ以上のデバイスを選択します。

ステップ 5

[デバイスの詳細(Device Details)] ペインで、[スケジュールされた展開( Scheduled Deployments)] タブを見つけて、[削除(Delete)] をクリックします。
次のタスク

設定変更の確認

[変更の確認(Check for Changes)] をクリックして、デバイスの設定がデバイス上で直接変更されているか、Security Cloud Control に保存されている設定のコピーと異なっているかどうかを確認します。このオプションは、デバイスが [同期(Synced)] 状態のときに表示されます。

変更を確認するには、次の手順を実行します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、Security Devices を選択します。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

設定がデバイス上で直接変更された可能性があるデバイスを選択します。

ステップ 5

右側の [同期(Synced)] ペインで [変更の確認(Check for Changes)] をクリックします。

ステップ 6

次の動作は、デバイスによって若干異なります。

  • FTD デバイスの場合、デバイスの設定に変更があった場合、次のメッセージが表示されます。

    Reading the policy from the device. If there are active deployments on the device, reading will start after they are finished.

    • [OK] をクリックして、先へ進みます。デバイスの設定で、Security Cloud Control に保存されている設定が上書きされます。

    • 操作をキャンセルするには、[キャンセル(Cancel)] をクリックします。

  • デバイスの場合:

  1. 提示された 2 つの設定を比較します。[続行(Continue)] をクリックします。最後に認識されたデバイス設定(Last Known Device Configuration)というラベルの付いた設定は、Security Cloud Control に保存されている設定です。[デバイスで検出(Found on Device)] というラベルの付いた設定は、ASA に保存されている設定です。

  2. 次のいずれかを選択します。

    1. [拒否(Reject)]:アウトオブバンド変更を拒否して、「最後に認識されたデバイス設定(Last Known Device Configuration)」を維持します。

    2. [承認(Accept)]:アウトオブバンド変更を承認して、Security Cloud Control に保存されているデバイスの設定を、デバイスで見つかった設定で上書きします。

  3. [続行(Continue)] をクリックします。

設定変更の破棄

Security Cloud Control を使用してデバイスの構成に加えた、展開されていない構成変更のすべてを「元に戻す」場合は、[変更の破棄(Discard Changes)] をクリックします。[変更の破棄(Discard Changes)] をクリックすると、Security Cloud Control は、デバイスに保存されている構成でデバイスの構成のローカルコピーを完全に上書きします。

[変更の破棄(Discard Changes)] をクリックすると、デバイスの構成ステータスは [未同期(Not Synced)] 状態になります。変更を破棄すると、Security Cloud Control 上の構成のコピーは、デバイス上の構成のコピーと同じになり、Security Cloud Control の構成ステータスは [同期済み(Synced)] に戻ります。

デバイスの展開されていない構成変更のすべてを破棄する(つまり「元に戻す」)には、次の手順を実行します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、Security Devices を選択します。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

構成変更を実行中のデバイスを選択します。

ステップ 5

右側の [未同期(Not Synced)] ペインで [変更の破棄(Discard Changes)] をクリックします。

  • FDM-managed デバイスの場合は、Security Cloud Control で「Security Cloud Control 上の保留中の変更は破棄され、このデバイスに関する Security Cloud Control 構成は、デバイス上の現在実行中の構成に置き換えられます(Pending changes on CDO will be discarded and the CDO configuration for this device will be replaced with the configuration currently running on the device)」という警告メッセージが表示されます。[続行(Continue)] をクリックして変更を破棄します。

  • Meraki デバイスの場合は、Security Cloud Control で変更がすぐに削除されます。

  • AWS デバイスの場合は、Security Cloud Control で削除しようとしているものが表示されます。[同意する(Accept)] または [キャンセル(Cancel)] をクリックします。

デバイスのアウトオブバンド変更

アウトオブバンド変更とは、Security Cloud Control を使用せずにデバイス上で直接行われた変更を指します。アウトオブバンド変更は、SSH 接続を介してデバイスのコマンド ライン インターフェイスを使用して、または、ASA の場合は Adaptive Security Device Manager(ASDM)、FDM-managed デバイスの場合は FDMOn-Premises Firewall Management Center ユーザーインターフェイス上の On-Premises Firewall Management Center などのローカルマネージャを使用して行うことができます。アウトオブバンド変更により、Security Cloud Control に保存されているデバイスの設定とデバイス自体に保存されている設定との間で競合が発生します。

デバイスでのアウトオブバンド変更の検出

ASA、FDM-managed デバイス、Cisco IOS デバイス、または On-Premises Firewall Management Center に対して競合検出が有効になっている場合、Security Cloud Control は 10 分ごとにデバイスをチェックし、Security Cloud Control の外部でデバイスの設定に直接加えられた新たな変更を検索します。

Security Cloud Control は、Security Cloud Control に保存されていないデバイスの設定に対する変更を検出した場合、そのデバイスの [設定ステータス(Configuration Status)] を [競合検出(Conflict Detected)] 状態に変更します。

Security Cloud Control が競合を検出した場合、次の 2 つの状態が考えられます。

  • Security Cloud Control のデータベースに保存されていない設定変更が、デバイスに直接加えられています。

  • FDM-managed デバイスの場合、FDM-managed デバイスに展開されていない「保留中」の設定変更がある可能性があります。

  • On-Premises Firewall Management Center の場合、たとえば、Security Cloud Control との同期が保留されている Security Cloud Control の外部で行われた変更や、On-Premises Firewall Management Center への展開が保留されている Security Cloud Control で行われた変更がある可能性があります。

Security Cloud Control とデバイス間の設定を同期する

設定の競合について

[セキュリティデバイス(Security Devices)] ページで、デバイスまたはサービスのステータスが [同期済み(Synced)]、[未同期(Not Synced)]、または [競合検出(Conflict Detected)] になっていることがあります。Security Cloud Control を使用して管理する On-Premises Firewall Management Center のステータスを確認するには、Administration > Integrations > Firewall Management Center に移動します。

  • デバイスが [同期済み(Synced)] の場合、Security Cloud Control の設定と、デバイスにローカルに保存されている設定は同じです。

  • デバイスが [未同期(Not Synced)] の場合、Security Cloud Control に保存された設定が変更され、デバイスにローカルに保存されている設定とは異なっています。Security Cloud Control からデバイスに変更を展開すると、Security Cloud Control のバージョンに一致するようにデバイスの設定が変更されます。

  • Security Cloud Control の外部でデバイスに加えられた変更は、アウトオブバンドの変更と呼ばれます。デバイスの競合検出が有効になっている場合、アウトオブバンドの変更が行われると、デバイスのステータスが [競合が検出されました(Conflict Detected)] に変わります。アウトオブバンドの変更を受け入れると、Security Cloud Control の設定がデバイスの設定と一致するように変更されます。

競合検出

競合検出が有効になっている場合、Security Cloud Control はデフォルトの間隔でデバイスをポーリングして、Security Cloud Control の外部でデバイスの構成が変更されたかどうかを判断します。変更が行われたことを検出すると、Security Cloud Control はデバイスの構成ステータスを [競合検出(Conflict Detected)] に変更します。Security Cloud Control の外部でデバイスに加えられた変更は、「アウトオブバンドの」変更と呼ばれます。

Security Cloud Control によって管理されているOn-Premises Firewall Management Center で、ステージングされた変更があり、デバイスが [未同期(Not Synced)] 状態の場合、Security Cloud Control はデバイスのポーリングを停止して変更を確認します。Security Cloud Control との同期が保留されている Security Cloud Control の外部で行われた変更と、on-premises Firewall Management Center への展開が保留されている Security Cloud Control で行われた変更がある場合、Security Cloud Controlon-premises Firewall Management Centerが [競合検出(Conflict Detected)] 状態であることを宣言します。

このオプションを有効にすると、デバイスごとに競合または OOB 変更を検出する頻度を設定できます。詳細については、「デバイス変更のポーリングのスケジュール」を参照してください。

競合検出の有効化

競合検出を有効にすると、Security Cloud Control の外部でデバイスに変更が加えられた場合に警告が表示されます。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブを選択します。

ステップ 4

競合検出を有効にする 1 台または複数のデバイスを選択します。

ステップ 5

デバイステーブルの右側にある [競合検出(Conflict Detection)] ボックスで、リストから [有効(Enabled)] を選択します。

デバイスからのアウトオブバンド変更の自動的な受け入れ

変更の自動的な受け入れを有効にすることで、管理対象デバイスに直接加えられた変更を自動的に受け入れるように Security Cloud Control を設定できます。Security Cloud Control を使用せずにデバイスに直接加えられた変更は、アウトオブバンド変更と呼ばれます。アウトオブバンドの変更により、Security Cloud Control に保存されているデバイスの設定とデバイス自体に保存されている設定との間で競合が発生します。

変更の自動受け入れ機能は、競合検出のための強化機能です。デバイスで変更の自動受け入れを有効にしている場合、Security Cloud Control は 10 分ごとに変更をチェックして、デバイスの設定に対してアウトオブバンドの変更が行われたかどうかを確認します。設定が変更されていた場合、Security Cloud Control は、プロンプトを表示することなく、デバイスの設定のローカルバージョンを自動的に更新します。

Security Cloud Control で行われたいずれかの設定変更がデバイスにまだ展開されていない場合、Security Cloud Control は設定変更を自動的に受け入れません画面上のプロンプトに従って、次のアクションを決定します。

変更の自動承認を使用するには、最初に、[セキュリティデバイス(Security Devices)] ページの [競合検出(Conflict Detection)] メニューで自動承認オプションをテナントが表示できるようにします。次に、個々のデバイスでの変更の自動承認を有効にします。

Security Cloud Control でアウトオブバンドの変更を検出するものの、変更を手動で受け入れたり拒否したりするオプションを選択する場合は、代わりに 競合検出 を有効にします。

自動承認変更の設定

手順

ステップ 1

管理者またはネットワーク管理者権限を持つアカウントを使用して Security Cloud Control にログインします。

ステップ 2

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 3

左側のペインで Administration > General Settings をクリックします。

ステップ 4

[テナント設定(Tenant Settings)] エリアで、[デバイスの変更を自動承認するオプションの有効化(Enable the Option to Auto-accept Device Changes)] のトグルをクリックします。[セキュリティデバイス(Security Devices)] ページの [競合検出(Conflict Detection)] メニューに [変更の自動承認(Auto-Accept Changes)] メニューオプションが表示されます。

ステップ 5

左側のペインで Security Devices をクリックして、アウトオブバンドの変更を自動承認するデバイスを選択します。

ステップ 6

[競合の検出(Devices & Services)] メニューで、ドロップダウンメニューから [変更の自動承認(Auto-Accept Changes)] を選択します。

テナント上のすべてのデバイスの自動承認変更の無効化

手順

ステップ 1

[管理者(Admin)] または [ネットワーク管理者(Super Admin)] 権限を持つアカウントを使用して Security Cloud Control にログインします。

ステップ 2

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 3

左側のペインで Administration > General Settings をクリックします。

ステップ 4

[テナント設定(Tenant Settings)] 領域で、トグルを左にスライドして灰色の X を表示し、[デバイスの変更を自動承認するオプションを有効にする(Enable the option to auto-accept device changes)] を無効にします。これにより、競合検出メニューの [変更の自動承認(Auto-Accept Changes)] オプションが無効になり、テナント上のすべてのデバイスでこの機能が無効になります。

(注)  

 

[自動承認(Auto-Accept)] を無効にした場合、Security Cloud Control で承認する前に、各デバイスの競合を確認する必要があります。これまで変更の自動承認が設定されていたデバイスも対象になります。

設定の競合の解決

このセクションでは、デバイスで発生する設定の競合の解決に関する情報を提供します。

未同期ステータスの解決

次の手順を使用して、「未同期」の設定ステータスのデバイスを解決します。

手順

ステップ 1

ナビゲーションバーで Security Devices をクリックします。

(注)  

 

On-Premises Firewall Management Center の場合は、Administration > Integrations > Firewall Management Center をクリックして、[未同期(Not Synced)] 状態の FMC を選択し、ステップ 5 から続行します。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

未同期と報告されたデバイスを選択します。

ステップ 5

右側の [未同期(Not synced)] パネルで、次のいずれかを選択します。

  • [プレビューして展開...(Preview and Deploy..)] :設定の変更を Security Cloud Control からデバイスにプッシュする場合は、今行った変更をプレビューして展開するか、待ってから一度に複数の変更を展開します。

  • [変更の破棄(Discard Changes)]:設定の変更を Security Cloud Control からデバイスにプッシュしない場合、または Security Cloud Control で開始した設定の変更を「元に戻す」場合。このオプションは、Security Cloud Control に保存されている設定を、デバイスに保存されている実行構成で上書きします。

競合検出ステータスの解決

Security Cloud Control を使用すると、ライブデバイスごとに競合検出を有効化または無効化できます。競合検出 が有効になっていて、Security Cloud Control を使用せずにデバイスの設定に変更が加えられた場合、デバイスの設定ステータスには [競合検出(Conflict Detected)] と表示されます。

[競合検出(Conflict Detected)] ステータスを解決するには、次の手順に従います。

手順

ステップ 1

ナビゲーションバーで Security Devices をクリックします。

(注)  

 

On-Premises Firewall Management Center の場合は、Administration > Integrations > Firewall Management Center をクリックして、[未同期(Not Synced)] 状態の FMC を選択し、ステップ 5 から続行します。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

競合を報告しているデバイスを選択し、右側の詳細ペインで [競合の確認(Review Conflict)] をクリックします。

ステップ 5

[デバイスの同期(Device Sync)] ページで、強調表示されている相違点を確認して、2 つの設定を比較します。

  • 「最後に認識されたデバイス設定(Last Known Device Configuration)」というラベルの付いたパネルは、Security Cloud Control に保存されているデバイス設定です。

  • [デバイスで検出(Found on Device)] というラベルの付いたパネルは、ASA の実行コンフィギュレーションに保存されている設定です。

ステップ 6

次のいずれかを選択して、競合を解決します。

  • [デバイスの変更を承認(Accept Device changes)]:設定と、Security Cloud Control に保存されている保留中の変更がデバイスの実行コンフィギュレーションで上書きされます。

    (注)  

     

    Security Cloud Control はコマンド ライン インターフェイス以外での Cisco IOS デバイスへの変更の展開をサポートしていないため、競合を解決する際の Cisco IOS デバイスの唯一の選択肢は [レビューなしで承認(Accept Without Review)] です。

  • [デバイスの変更を拒否(Reject Device Changes)]:デバイスに保存されている設定を Security Cloud Control に保存されている設定で上書きします。

(注)  

 

拒否または承認されたすべての設定変更は、変更ログに記録されます。

デバイス変更のポーリングのスケジュール

競合検出 を有効にしている場合、または [設定(Settings)] ページで [デバイスの変更を自動承認するオプションの有効化(Enable the Option to Auto-accept Device Changes)] オプションを有効にしている場合、Security Cloud Control はデフォルトの間隔でデバイスをポーリングして、Security Cloud Control の外部でデバイスの設定に変更が加えられたかどうかを判断します。Security Cloud Control による変更のポーリング間隔は、デバイスごとにカスタマイズできます。ポーリング間隔の変更は、複数のデバイスに適用できます。

デバイスでこの間隔が選択されていない場合は、間隔は「テナントのデフォルト」に自動的に設定されます。


(注)  

[セキュリティデバイス(Security Devices)] ページでデバイスごとの間隔をカスタマイズすると、[一般設定(General Settings)] ページの [デフォルトの競合検出間隔(Default Conflict Detection Interval)] で選択したポーリング間隔がオーバーライドされます。デフォルトの競合検出間隔

[セキュリティデバイス(Security Devices)] ページで [競合検出(Conflict Detection)] を有効にするか、[設定(Settings)] ページで [デバイスの変更を自動承認するオプションの有効化(Enable the Option to Auto-accept Device Changes)] オプションを有効にしたら、次の手順に従い Security Cloud Control によるデバイスのポーリング間隔をスケジュールします。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

競合検出を有効にする 1 台または複数のデバイスを選択します。

ステップ 5

[競合検出(Conflict Detection)] と同じ領域で、[チェック間隔(Check every)] のドロップダウンメニューをクリックし、目的のポーリング間隔を選択します。

セキュリティデータベース更新のスケジュール設定

このセクションでは、デバイスでのセキュリティデータベースの更新スケジュール設定に関する情報を提供します。

セキュリティデータベースの更新スケジュールの作成

次の手順を使用して、FDM-managed デバイスのセキュリティデータベースを確認および更新するスケジュールされたタスクを作成します。

手順

ステップ 1

ナビゲーションバーで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックします。

ステップ 4

デバイスを選択します。

ステップ 5

[アクション(Actions)] ペインで、[セキュリティデータベースの更新(Security Database Updates)] セクションを見つけて、追加ボタン [+] をクリックします。

(注)  

 

選択したデバイスに既存のスケジュールされたタスクがある場合は、編集アイコン をクリックして新しいタスクを作成します。新しいタスクを作成すると、既存のタスクが上書きされます。

ステップ 6

スケジュールされたタスクを次のように設定します。

  • [頻度(Frequency)]。日次、週次、または 月次から更新の頻度を選択します。

  • [時刻(Time)]。時刻を選択します。時刻は UTC で表示されることに注意してください。

  • [曜日の選択(Select Days)]。更新を実行する曜日を選択します。

ステップ 7

[保存(Save)] をクリックします。

デバイスの [設定ステータス(Configuration Status)] が [データベースの更新中(Updating Databases)] に変わります。

セキュリティデータベースの更新スケジュールの編集

FDM-managed デバイスのセキュリティデータベースの検証および更新を実行する既存のスケジュール済みタスクを編集するには、次の手順を実行します。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックします。

ステップ 4

デバイスを選択します。

ステップ 5

[アクション(Actions)] ペインで、[セキュリティデータベースの更新(Security Database Updates)] セクションを見つけて、編集アイコン をクリックします。

ステップ 6

次の項目を使用して、スケジュールされたタスクを編集します。

  • [頻度(Frequency)]。日次、週次、または 月次から更新の頻度を選択します。

  • [時刻(Time)]。時刻を選択します。時刻は UTC で表示されることに注意してください。

  • [曜日の選択(Select Days)]。更新を実行する曜日を選択します。

ステップ 7

[保存(Save)] をクリックします。

ステップ 8

デバイスの [設定ステータス(Configuration Status)] が [データベースの更新中(Updating Databases)] に変わります。

FDM-Managed デバイスのセキュリティデータベースの更新

FDM-managed デバイスのセキュリティデータベースを更新することにより、SRU(侵入ルール)、セキュリティ インテリジェンス(SI)、脆弱性データベース(VDB)、地理位置情報データベースが更新されます。Security Cloud Control UI を使用してセキュリティデータベースを更新することを選択した場合、言及されているすべてのデータベースが更新されることに注意してください。更新するデータベースを選択することはできません。

セキュリティデータベースの更新は元に戻せないことに注意してください。


(注)  

セキュリティデータベースを更新すると、一部のパケットがドロップされるか、検査されずに通過する場合があります。メンテナンス期間中に、セキュリティデータベースの更新をスケジュールすることをお勧めします。

導入準備中に FDM-Managed デバイスのセキュリティデータベースを更新する

FDM-managed デバイスを Security Cloud Control にオンボーディングする場合、オンボーディングプロセスの一部を使用して、[データベースのスケジュール済みの定期更新の有効化(Enable scheduled recurring updates for databases)] を実行できます。このオプションは、デフォルトでオンです。有効にすると、Security Cloud Control はすぐにセキュリティの更新を確認して適用し、追加の更新を確認するようにデバイスを自動的にスケジュールします。また、デバイスがオンボードされた後は、スケジュール済みのタスクの日時を変更することもできます。

オンボーディングプロセス中に自動スケジューラを有効にして、セキュリティデータベースの更新を定期的に確認して適用することをお勧めします。この方法により、デバイスが常に最新の状態になります。FDM-managed デバイスの導入準備中にセキュリティデータベースを更新するには、「Onboard an FDM-Managed Device with a Registration Key(登録キーを使用した FDM 管理対象デバイスの導入準備)」を参照してください。


(注)  

登録キー方式でデバイスをオンボーディングする場合、デバイスをスマートライセンスに登録することはできません。 ライセンスを登録するようお勧めします。別の方法として、デバイスのユーザー名、パスワード、および IP アドレスを使用してデバイスをオンボーディングすることができます。

導入準備後に FDM-Managed デバイスのセキュリティデータベースを更新する

FDM-managed デバイスが Security Cloud Control にオンボーディングされた後、更新をスケジュールすることにより、セキュリティデータベースの更新を確認するようにデバイスを設定できます。更新がスケジュールされているデバイスを選択して、スケジュールされたタスクをいつでも変更できます。詳細については、「FTD セキュリティデータベースの更新」を参照してください。

Workflows

デバイスライセンス

ライセンスがない場合、Security Cloud Control はセキュリティデータベースを更新できません。FDM-managed デバイスに少なくとも ライセンスがあることをお勧めします。

ライセンスのないデバイスをオンボーディングしている場合、Security Cloud Control がこのデバイスをオンボーディングすることは禁止されません。代わりに、デバイスには「ライセンスが不足しています(Insufficient Licenses)」という接続ステータスが表示されます。この問題を解決するには、FDM-managed デバイスの UI を使用して正しいライセンスを適用する必要があります。


(注)  

FDM-managed デバイスをオンボーディングして、今後のセキュリティデータベースの更新をスケジュールすることを選択し、デバイスにライセンスが登録されていない場合でも、Security Cloud Control はスケジュールされたタスクを作成しますが、適切なライセンスが適用されてデバイスが正常に同期されるまで、タスクをトリガーしません。

セキュリティデータベースの更新が FDM で保留中

FDM-managed デバイスの UI を使用してセキュリティデータベースを更新し、デバイスで競合検出を有効にしている場合、Security Cloud Control は保留中の更新を競合として検出します。


(注)  

FDM-managed デバイスをオンボーディングし、更新をスケジュールすることを選択した場合、Security Cloud Control は、次回の展開中に、保存された設定に対するその他の保留中の変更と同様に、セキュリティデータベースを自動的に更新します。設定の展開である必要はありません
セキュリティデータベースの更新中に、デバイスに OOB 変更またはステージングされた変更がある

アウトオブバンド(OOB)の変更がある、または展開されていないステージング済みの変更がある FDM-managed デバイスのセキュリティデータベースの更新をスケジュールした場合、Security Cloud Control はセキュリティデータベースのチェックと更新のみを行います。Security Cloud Control は、OOB またはステージングされた変更をデプロイしません

セキュリティデータベースを更新するためのスケジュールされたタスクがデバイスに既に存在する

各デバイスは、スケジュールされたタスクを 1 つだけ持つことができます。セキュリティデータベースを更新するためのスケジュールされたタスクがデバイスに既に存在する場合、新しいタスクを作成すると既存のタスクが上書きされます。これは、Security Cloud Control および FDM-managed デバイスで作成されたタスクの両方に適用されます。

セキュリティデータベースの更新が存在しない

更新が存在しない場合、Security Cloud Control はデバイスに何も展開しません。

FDM-managed 高可用性(HA)ペアのセキュリティデータベースの更新

セキュリティデータベースの更新は、HA ペアのプライマリデバイスにのみ適用されます。