アクセス コントロール ルール

次の各トピックでは、アクセス コントロール ルールの設定方法について説明します。

アクセス コントロール ルールの概要

アクセス コントロール ポリシー内では、アクセス コントロール ルールによって複数の管理対象デバイスでネットワーク トラフィックを処理するきめ細かい制御方法が提供されます。


(注)  

アクセスコントロールルールがネットワークトラフィックを評価する前に、セキュリティインテリジェンスのフィルタリング、SSL インスペクション、ユーザの識別、および一部の復号と前処理が発生します。

システムは、指定した順にアクセス コントロール ルールをトラフィックと照合します。ほとんどの場合、システムは、すべてのルールの条件がトラフィックに一致する場合、最初のアクセス コントロール ルールに従ってネットワーク トラフィックを処理します。

また、各ルールにはアクションがあり、これによって一致するトラフィックをモニター、信頼、ブロック、または許可するかを決定します。トラフィックを許可するときは、システムが侵入ポリシーまたはファイル ポリシーを使用してトラフィックを最初に検査し、アセットに到達したりネットワークを出る前に、エクスプロイト、マルウェア、または禁止されたファイルをブロックするように指定できます。

次のシナリオでは、インラインの侵入防御展開環境で、アクセス コントロール ルールによってトラフィックを評価できる方法を要約しています。

アクセス コントロール ルールによってトラフィックが評価される仕組みを要約した図

このシナリオでは、トラフィックは次のように評価されます。

  • ルール 1:モニタはトラフィックを最初に評価します。モニタールールはネットワークトラフィックを追跡してログに記録します。システムはトラフィックと追加ルールの照合を継続して、許可するか拒否するかを決定します(ただし、重要な例外と注意事項をアクセス コントロール ルールのモニター アクションで確認してください)。

  • ルール 2:信頼はトラフィックを 2 番目に評価します。一致するトラフィックは追加のインスペクションなしで宛先まで通過することが許可されますが、引き続きアイデンティティの要件とレート制限の対象となります。一致しないトラフィックは、引き続き次のルールと照合されます。

  • ルール 3:ブロックはトラフィックを 3 番目に評価します。一致するトラフィックは、追加のインスペクションなしでブロックされます。一致しないトラフィックは、引き続き最後のルールと照合されます。

  • ルール 4:許可は最後のルールです。このルールの場合、一致したトラフィックは許可されますが、トラフィック内の禁止ファイル、マルウェア、侵入、エクスプロイトは検出されてブロックされます。残りの禁止されていない悪意のないトラフィックは宛先まで通過することが許可されますが、引き続きアイデンティティの要件とレート制限の対象となります。ファイル インスペクションのみを実行する、または侵入インスペクションのみを実行する、もしくは両方とも実行しない許可ルールを設定できます。

  • デフォルト アクションは、いずれのルールにも一致しないすべてのトラフィックを処理します。このシナリオでは、デフォルト アクションは、悪意のないトラフィックの通過を許可する前に侵入防御を実行します。別の展開では、追加のインスペクションなしですべてのトラフィックを信頼またはブロックするデフォルト アクションを割り当てることもあります。(デフォルト アクションで処理されるトラフィックでは、ファイルまたはマルウェアのインスペクションを実行できません。)

アクセス コントロール ルールまたはデフォルト アクションによって許可したトラフィックは、自動的にホスト、アプリケーション、およびユーザ データについてネットワーク検出ポリシーによるインスペクションの対象になります。検出は明示的には有効にしませんが、拡張したり無効にしたりすることができます。ただし、トラフィックを許可することで、検出データの収集が自動的に保証されるものではありません。システムは、ネットワーク検出ポリシーによって明示的にモニタされる IP アドレスを含む接続に対してのみ、ディスカバリを実行します。また、アプリケーション検出は、暗号化されたセッションに限定されます。

暗号化されたトラフィックの通過が SSL インスペクション設定で許可される場合、または SSL インスペクションが設定されていない場合は、そのトラフィックがアクセス コントロール ルールによって処理されることに注意してください。ただし、一部のアクセス コントロール ルールの条件では暗号化されていないトラフィックを必要とするため、暗号化されたトラフィックに一致するルール数が少なくなる場合があります。またデフォルトでは、暗号化ペイロードの侵入およびファイル検査を、システムは無効化します。これにより、侵入およびファイル インスペクションが設定されたアクセス コントロール ルールに暗号化接続が一致したときの誤検出が減少し、パフォーマンスが向上します。

アクセス コントロール ルールの管理

アクセス コントロール ポリシー エディタの [Rules] タブでは、現在のポリシー内のアクセスコントロールルールの追加、編集、分類、検索、フィルタ処理、移動、有効化、無効化、削除、その他の管理が行えます。検索バーを使用して、アクセス コントロール ポリシー ルールのリストをフィルタ処理します。フィルタ基準に一致するルールのリストと現在のアクセス コントロール ポリシー内のすべてのルールを切り替えるには、[切り替え(Toggle)] をクリックします。

ポリシー エディタでは、各アクセス コントロール ルールに対してルールの名前、条件の概要、ルール アクションが表示され、さらにルールのインスペクション オプションや状態を示すアイコンが表示されます。各アイコンの意味は次のとおりです。

  • ファイルポリシー([file policy]アイコン [file policy]アイコン)

  • 安全検索([安全検索(safe search)] アイコン [安全検索(safe search)] アイコン)

  • ロギングロギングアイコン

  • 発信元クライアントオプション

  • コメント([コメント(comment)] アイコン [コメント(comment)] アイコン)

  • エラー([エラー(error)] アイコン [エラー(error)] アイコン)

  • 重要[情報(Information)](情報アイコン

無効なルールはグレー表示され、ルール名の下に [(無効)((disabled))] というマークが付きます。

ルールを作成または編集するには、アクセス コントロール ルール エディタを使用します。次の操作を実行できます。

  • エディタの上部で、ルールの名前、状態、位置、アクションなどの基本的なプロパティを設定します。

  • エディタの左下にあるタブを使用して、条件を追加します。

  • インスペクションおよびロギングのオプションを設定し、さらにルールにコメントを追加するには、右下にあるタブを使用します。便宜上、どのタブを表示しているかに関係なく、エディタにはルールのインスペクションおよびロギングのオプションがリストされます。


(注)  

アクセス コントロール ルールの適切な作成と順序付けは複雑なタスクですが、効果的な展開を構築するためには不可欠です。ポリシーを慎重に計画しないと、ルールが他のルールをプリエンプション処理したり、追加のライセンスが必要となったり、ルールに無効な設定が含まれる場合があります。システムが想定どおりにトラフィックを確実に処理できるように、アクセス コントロール ポリシー インターフェイスにはルールに対する強力な警告およびエラーのフィードバック システムがあります。

アクセス コントロール ルールのコンポーネント

一意の名前に加え、各アクセス コントロール ルールには次の基本コンポーネントがあります。

状態(State)

デフォルトでは、ルールは有効になっています。ルールを無効にすると、システムはそのルールを使用せず、そのルールに対する警告とエラーの生成を停止します。

位置(Position)

アクセス コントロール ポリシー内の各ルールには、1 から始まる番号が付きます。ポリシー継承を使用する場合、ルール 1 は再外部ポリシーの 1 番目のルールです。システムは、ルール番号の昇順で上から順に、ルールをトラフィックと照合します。モニタ ルールを除き、トラフィックが一致する最初のルールがそのトラフィックを処理するルールになります。

また、ルールはセクションおよびカテゴリに属していることがあります。これは、単に整理のためであり、ルールの位置に影響しません。ルールの位置は、すべてのセクションとカテゴリにまたがって設定されます。

セクションおよびカテゴリ

アクセス コントロール ルールの整理に役立つように、アクセス コントロール ポリシーには、システムで用意されている 2 つのルール セクションとして「必須(Mandatory)」と「デフォルト(Default)」があります。アクセス コントロール ルールをさらに細かく整理するため、「必須(Mandatory)」セクション内と「デフォルト(Default)」セクション内にカスタム ルール カテゴリを作成することができます。

ポリシーの継承を使用する場合、現在のポリシーのルールは、その親ポリシーの「必須(Mandatory)」セクションと「デフォルト(Default)」セクションの間にネストされます。

条件

条件は、ルールが処理する特定のトラフィックを指定します。条件には単純なものと複雑なものがあり、ライセンスによって用途が異なります。

トラフィックは、ルールのすべてのタブで指定されたすべての条件を満たす必要があります。たとえば、[アプリケーション(Applications)] タブで HTTP が指定されていて、HTTPS は指定されていない場合、[URL(URLs)] タブの URL カテゴリとレピュテーションの条件は、HTTPS トラフィックには適用されません。

操作(Action)

ルールのアクションによって、一致したトラフィックの処理方法が決まります。一致したトラフィックをモニター、信頼、ブロック、または許可(追加のインスペクションあり/なしで)することができます。信頼できるトラフィック、ブロックされたトラフィック、または暗号化されたトラフィックに対しては、詳細な検査は実行されません

インスペクション(Inspection)

詳細検査オプションは、悪意のあるトラフィックをどのように検査してブロックし、それ以外のものは許可するかを決定します。ルールを使用してトラフィックを許可するときは、システムが侵入ポリシーまたはファイル ポリシーを使用してトラフィックを最初に検査し、アセットに到達したりネットワークを出たりする前に、エクスプロイト、マルウェア、または禁止されたファイルをブロックするように指定できます。

ログ

ルールのロギング設定によって、システムが記録する処理済みトラフィックのレコードを管理します。1 つのルールに一致するトラフィックのレコードを 1 つ保持できます。一般的に、接続の開始時または終了時(あるいは、その両方)にセッションをログに記録できます。接続のログは、データベースの他に、システム ログ(Syslog)または SNMP トラップ サーバに記録できます。

説明

アクセス コントロール ルールで変更を保存するたびに、コメントを追加できます。

アクセス コントロール ルールの順序

アクセス コントロール ポリシー内の各ルールには、1 から始まる番号が付きます。システムは、ルール番号の昇順で先頭から順にアクセス コントロール ルールをトラフィックと照合します。

ほとんどの場合、システムは、すべてのルールの条件がトラフィックに一致する場合、最初のアクセス コントロール ルールに従ってネットワーク トラフィックを処理します。モニタールールを除いて、トラフィックがルールに一致した後、システムは優先度の低い追加のルールに対してトラフィックの評価は続行しません。

アクセス コントロール ルールの整理に役立つように、アクセス コントロール ポリシーには、システムで用意されている 2 つのルール セクションとして「必須(Mandatory)」と「デフォルト(Default)」があります。さらに細かく整理するため、「必須(Mandatory)」セクション内や「デフォルト(Default)」セクション内にカスタム ルール カテゴリを作成することができます。カテゴリは、作成した後に移動することはできません。ただし、カテゴリを削除または名前変更したり、ルールをカテゴリ内またはカテゴリ間で移動したりすることはできます。システムはセクションとカテゴリに横断的にルール番号を割り当てます。

ポリシーの継承を使用する場合、現在のポリシーのルールは、その親ポリシーの「必須(Mandatory)」ルール セクションと「デフォルト(Default)」ルール セクションの間にネストされます。ルール 1 は、現在のポリシーではなく、最外部ポリシーの 1 番目のルールです。ルールの番号は、すべてのポリシー、セクション、カテゴリにまたがって割り当てられます。

アクセス コントロール ポリシーの変更を許可する定義済みユーザ ロールによって、ルールのカテゴリ内またはカテゴリ間でアクセス コントロール ルールを移動および変更することもできます。しかし、ユーザがルールを移動および変更することを制限するには、カスタム ロールを作成できます。アクセス コントロール ポリシーの変更権限が割り当てられているユーザは、制限なく、カスタム カテゴリにルールを追加することや、カテゴリ内のルールを変更することができます。


ヒント

アクセス コントロール ルールの順序を適切に設定することで、ネットワーク トラフィック処理に必要なリソースを削減して、ルールのプリエンプションを回避できます。ユーザーが作成するルールはすべての組織と展開に固有のものですが、ユーザーのニーズに対処しながらもパフォーマンスを最適化できるルールを順序付けする際に従うべきいくつかの一般的なガイドラインがあります。

アクセスコントロールルールの要件と前提条件

モデルのサポート

任意

サポートされるドメイン

任意

ユーザの役割

  • 管理者

  • アクセス管理者

  • ネットワーク管理者

アクセス制御ルール カテゴリの追加

アクセス コントロール ポリシーの必須ルールセクションとデフォルトルールセクションをカスタム カテゴリに分割できます。カテゴリは、作成した後に移動することはできません。ただし、カテゴリを削除または名前変更したり、ルールをカテゴリ内またはカテゴリ間で移動したりすることはできます。システムはセクションとカテゴリに横断的にルール番号を割り当てます。

手順

ステップ 1

アクセス コントロール ポリシー エディタで、[カテゴリの追加(Add Category)] をクリックします。

ヒント 

ポリシーにルールがすでに含まれている場合は、既存のルールの行の空白部分をクリックして、新しいカテゴリを追加する前にその位置を設定できます。既存のルールを右クリックし、[新規カテゴリの挿入(Insert new category)] を選択することもできます。

ステップ 2

名前を入力します。

ステップ 3

[挿入(Insert)] ドロップダウン リストから、カテゴリを追加する先を選択します。

  • カテゴリをセクションのすべての既存カテゴリの下に挿入するには、[必須ルール内(Into Mandatory)] または [デフォルトルール内(into Default)] を選択します。

  • 既存のカテゴリの上に挿入するには、[カテゴリの上(above category)] を選択した後、カテゴリを選択します。

  • アクセス制御ルールの上または下に挿入するには、[ルールの上(above rule)] または [ルールの下(below rule)] を選択した後、既存のルール番号を入力します。

ステップ 4

[OK] をクリックします。

ステップ 5

[保存(Save)] をクリックしてポリシーを保存します。

次のタスク

アクセスコントロールルールの作成および編集

実際に使用されているアクセスコントロールルールを編集する場合、その変更は、展開時に確立されている接続には適用されません。更新されたルールは、将来の接続に対する照合に使用されます。ただし、システムが実際に接続を検査している場合(たとえば、侵入ポリシーを使用して)、変更された一致基準またはアクション基準が既存の接続に適用されます

Firepower Threat Defense の場合は、確立されている接続を FTD の CLI コマンドの clear conn を使用して終了させることで、現在のすべての接続に確実に変更を適用できます。後で、接続の送信元が接続の再確立を試み、そのために新しいルールに対して適切に照合されることを前提として、これらの接続を終了しても問題がない場合にのみ、これを行う必要があることに注意してください。

手順

ステップ 1

アクセス コントロール ポリシー エディタには、以下のオプションがあります。

  • 新しいルールを追加するには、[ルールの追加(Add Rule)] をクリックします。

  • 既存のルールを編集するには、 をクリックします。

代わりに 表示[表示(view)] ボタン がルールの横に表示される場合、ルールは先祖ポリシーに属しており、ルールを変更する権限がありません。

ステップ 2

これが新しいルールである場合は、[名前(Name)] を入力します。

ステップ 3

ルールコンポーネントを設定するか、デフォルトを受け入れます。

  • [有効(Enabled)]:ルールを有効にするかどうかを指定します。

  • [位置(Position)]:ルールの位置を指定します。アクセス コントロール ルールの順序を参照してください。

  • [アクション(Action)]:ルールの [アクション(Action)] を選択します。アクセス コントロール ルールのアクションを参照してください。

    (注)   

    アクセスルールの VLAN タグは、インラインセットにのみに適用されます。このタグは、ファイアウォール インターフェイスに適用されるアクセスルールには使用できません。

  • [条件(Conditions)]:追加する対応条件をクリックします。詳細については、ルール条件タイプを参照してください。

  • [ディープインスペクション(Deep Inspection)]:許可ルールおよびインタラクティブ ブロック ルールの場合は、 または ファイルポリシー([file policy]アイコン [file policy]アイコン) をクリックして、ルールの [インスペクション(Inspection)] オプションを設定します。オプションが淡色表示の場合、そのタイプのポリシーがルールに選択されていません。詳細については、アクセスコントロールについてを参照してください。

  • [コンテンツの制限(Content Restriction)]:安全検索([安全検索(safe search)] アイコン [安全検索(safe search)] アイコン) または をクリックして、ルールエディタの [アプリケーション(Applications)] でコンテンツ制限設定を行います。オプションが淡色表示の場合、ルールに対してコンテンツ制限は無効になっています。詳細については、コンテンツ制限についてを参照してください。

  • [ロギング(Logging)]:ロギングロギングアイコン をクリックして、[ロギング(Logging)] オプションを指定します。オプションが淡色表示の場合、接続ロギングがそのルールで無効になっています。詳細については、接続のロギングのベスト プラクティスを参照してください。

  • [コメント(Comments)]:コメント列の数字をクリックして、[コメント(Comments)] を追加します。数字は、ルールにすでに含まれているコメントの数を示します。詳細については、アクセス コントロール ルールのコメントを参照してください。

ステップ 4

ルールを保存します。
ステップ 5

[保存(Save)] をクリックして、ポリシーを保存します。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

アクセス コントロール ルールの有効化と無効化

アクセス コントロール ルールを作成すると、そのルールはデフォルトで有効になります。ルールを無効にすると、システムはネットワーク トラフィックの評価にそのルールを使用せず、そのルールに対する警告とエラーの生成を停止します。アクセス コントロール ポリシーのルール リストを表示したときに、無効なルールはグレー表示されますが、変更は可能です。


ヒント

また、ルール エディタを使用してアクセス コントロール ルールを有効化または無効化することもできます。

手順

ステップ 1

アクセス コントロール ポリシー エディタで、ルールを右クリックし、ルールの状態を選択します。

代わりに 表示[表示(view)] ボタン がルールの横に表示される場合、ルールは先祖ポリシーに属しており、ルールを変更する権限がありません。

ステップ 2

[保存(Save)] をクリックします。

次のタスク

アクセス コントロール ルールの配置

既存のルールは、アクセス コントロール ポリシー内で移動できます。カテゴリにルールを追加または移動すると、そのルールはシステムによってカテゴリの最後に配置されます。


ヒント

複数のルールを一度に移動するには、移動するルールを選択し、右クリック メニューを使用してカット アンド ペーストします。

始める前に

アクセス制御ルールのベストプラクティス でルールの順序のガイドラインを確認してください。

手順

ステップ 1

アクセス制御ルール エディタには、次のオプションがあります。

  • 新しいルールを追加する場合は、[挿入(Insert)] ドロップダウンリストを使用します。
  • 既存のルールを編集する場合、[移動(Move)] をクリックします。
ステップ 2

ルールを移動またはルールを挿入する場所を選択します。

  • [必須に挿入(into Mandatory)] または [デフォルトに挿入(into Default)] を選択します。
  • [カテゴリに挿入(into Category)] を選択して、ユーザー定義カテゴリを選択します。
  • [ルールの上(above rule)] または [ルールの下(below rule)] を選択してから、適切なルール番号を入力します。
ステップ 3

[保存(Save)] をクリックします。

ステップ 4

[保存(Save)] をクリックしてポリシーを保存します。

次のタスク

アクセス コントロール ルールのアクション

アクセス コントロール ルールには、システムが一致するトラフィックをどのように処理し、ロギングするのかを指定するアクションがあります。モニター、信頼、ブロック、または許可(追加のインスペクションあり/なしで)することができます。

アクセス コントロール ポリシーのデフォルトアクションは、モニター以外のアクションをもつどのアクセスコントロールルールの条件にも一致しないトラフィックを処理します。

アクセス コントロール ルールのモニター アクション

[Monitor] アクションは、トラフィックを許可または拒否するように設計されていません。むしろ、その主な目的は、一致するトラフィックが最終的にどのように処理されるかに関係なく、接続ロギングを強制することです。

接続がモニタールールに一致する場合、接続が一致する次の非モニタールールがトラフィック処理とそれ以降のインスペクションを決定する必要があります。さらに一致するルールがない場合、システムはデフォルトアクションを使用する必要があります。

ただし、例外があります。モニタールールにレイヤ 7 の条件(アプリケーション条件など)が含まれている場合、そのシステムでは早期パケットを通過させ、接続を確立(または SSL ハンドシェイクの完了)することができます。これは、接続が後続のルールによってブロックされる必要がある場合でも発生します。これらの早期パケットが後続のルールに対して評価されないためです。こうしたパケットが完全に検査されていない宛先に到達しないように、アクセス コントロール ポリシーの詳細設定で、このための侵入ポリシーを指定できます。トラフィック識別の前に通過するパケットのインスペクションを参照してください。システムはレイヤ 7 の識別を完了した後、残りのセッショントラフィックに適切なアクションを適用します。


注意    
ベストプラクティスとして、広範に定義されたモニタールールのレイヤ 7 の条件をルールの優先順位内で高く設定しないようにすることで、不注意でトラフィックがネットワークに流入することを防ぎます。さらに、ローカルでバインドされているトラフィックがレイヤ 3 展開のモニタールールに一致する場合、そのトラフィックは検査をバイパスすることがあります。トラフィックのインスペクションを確実に実行するには、トラフィックをルーティングしている管理対象デバイスの詳細設定で [Inspect Local Router Traffic] を有効にします。

アクセス コントロール ルールの信頼アクション

[信頼(Trust)] アクションは、ディープ インスペクションやネットワーク検出をせずにトラフィックを通過させます。信頼処理されたトラフィックも、ID 条件およびレート制限の対象です。

信頼ルール アクションによってトラフィックの通過が許可され、ファイル ポリシー、侵入ポリシー、またはネットワーク検出ポリシーを使用してトラフィックをさらに検査できないことを示す図。


(注)  

FTP や SIP などの一部のプロトコルは、検査プロセスを通じてシステムが開くセカンダリチャネルを使用します。場合によっては、信頼できるトラフィックがすべての検査をバイパスでき、これらのセカンダリチャネルを適切に開くことができません。この問題が発生した場合は、信頼ルールを [許可(Allow)] に変更します。

アクセス コントロール ルールのブロック アクション

ブロック アクションおよびリセットしてブロック アクションはトラフィックを拒否し、いかなる追加のインスペクションも行われません。

ブロック ルール アクションとリセット付きブロック ルール アクションによってトラフィックが拒否され、ファイル ポリシー、侵入ポリシー、またはネットワーク検出ポリシーを使用して、ブロックされたトラフィックを検査できないことを示す図。

[HTTP 応答(HTTP response)] ページに一致する Web 要求を除き、リセット ルールを持つブロックが接続をリセットします。これは、システムが Web 要求をブロックするときに表示されるように設定した応答ページは、接続がすぐにリセットされた場合は表示できないためです。詳細については、HTTP 応答ページとインタラクティブなブロッキングを参照してください。

アクセス コントロール ルール インタラクティブ ブロック アクション

詳細については、HTTP 応答ページとインタラクティブなブロッキングを参照してください。

ユーザーがインタラクティブ ブロック ルール アクションまたはリセット付きインタラクティブ ブロック ルール アクションによるトラフィックのブロックをバイパスした場合は、アクションが [許可(Allow)] であるかのようにインスペクションが発生し、ブロックをバイパスしなかった場合は、ファイル ポリシー、侵入ポリシー、またはネットワーク検出ポリシーを使用して、ブロックされたトラフィックを検査できないことを示す図。

ユーザーがブロックをバイパスしている場合、ルールは許可ルールを模倣します。したがって、インタラクティブ ブロック ルールをファイル ポリシーと侵入ポリシーに関連付けることができるため、一致するトラフィックもネットワーク検出の対象となります。

ユーザーがブロックをバイパスしない(できない)場合は、ルールはブロック ルールを模倣します。一致するトラフィックは、追加のインスペクションなしで拒否されます。

インタラクティブ ブロックを有効にした場合は、ブロックされているすべての接続をリセットできません。これは、接続がすぐにリセットされた場合は応答ページを表示できないためです。[リセットしてインタラクティブ ブロック(Interactive Block with reset)] アクションを(非インタラクティブに)Web 以外のすべてのトラフィックをリセットしてブロックしても、Web 要求についてはインタラクティブ ブロックは有効になっています。

詳細については、HTTP 応答ページとインタラクティブなブロッキングを参照してください。

アクセス コントロール ルールの許可アクション

[許可(Allow)] アクションは、一致するトラフィックを通過させます。ただし、引き続き ID 条件およびレート制限の対象となります。

任意で、ディープ インスペクションを行い、トラフィックが接続先に到達する前に暗号化されていないトラフィックや復号されたトラフィックを検査、ブロックすることも可能です。

  • 侵入ポリシーでは、侵入検知と防御設定に応じてネットワーク トラフィックを分析し、設定内容に応じて違反パケットをドロップすることが可能です。

  • ファイル ポリシーでは、ファイルの制御ができます。ファイル制御により、ユーザーが特定のアプリケーション プロトコルを介して特定のタイプのファイルをアップロード(送信)またはダウンロード(受信)するのを検出およびブロックすることができます。

  • ネットワークベースの高度なマルウェア保護(AMP)もファイル ポリシーを使用して実行できます。ネットワーク向け AMP はファイルのマルウェアを調べ、検出したマルウェアを設定に応じてブロックします。

下の図は、許可ルールの条件(またはユーザーによりバイパスされるインタラクティブ ブロック ルール)を満たすトラフィックに対して実行されるインスペクションの種類を示しています。侵入インスペクションの前にファイル インスペクションが行われることに注意してください。そこでブロックされたファイルに対しては、侵入関連のエクスプロイトについては検査されません。

許可ルールの条件を満たすトラフィックに対して実行されるインスペクションのタイプを示す図。この図は、ファイル インスペクションによってトラフィックがドロップされた場合、そのトラフィックは侵入に関して検査されないが、ネットワーク検出に関しては検査できることを示しています。また、3 つのケースにおいて、トラフィックをネットワーク検出により検査できることも示しています。3 つのケースとは、トラフィックがファイル ポリシーで通過を許可され、侵入ポリシーでドロップされる場合、トラフィックが侵入ポリシーとファイル ポリシーの両方で通過を許可される場合、および許可されたトラフィックが侵入ポリシーやファイル ポリシーで検査されない場合です。

シンプルにするために、この図では、侵入ポリシーとファイル ポリシーの両方がアクセス コントロール ルールに関連付けられている状態(またはどちらも関連付けられていない状態)のトラフィック フローを示しています。ただし、どちらか 1 つだけを設定することも可能です。ファイル ポリシーがない場合、トラフィック フローは侵入ポリシーが決定します。侵入ポリシーがない場合、トラフィック フローはファイル ポリシーが決定します。

トラフィックが侵入ポリシーとファイル ポリシーのどちらかによって検査またはドロップされるかどうかに関わらず、システムはネットワーク検出を使ってトラフィックを検査できます。ただし、トラフィックを許可しても、ディスカバリ検査が自動的に保証されるわけではありません。システムは、ネットワーク検出ポリシーによって明示的にモニターされる IP アドレスを含む接続に対してのみ、ディスカバリを実行します。また、アプリケーション検出は、暗号化されたセッションに限定されます。

アクセス コントロール ルールのコメント

アクセス コントロール ルールを作成または編集するときは、コメントを追加できます。たとえば、他のユーザのために設定全体を要約したり、ルールの変更時期と変更理由を記載することができます。あるルールの全コメントのリストを表示し、各コメントを追加したユーザやコメント追加日を確認することができます。

ルールを保存すると、最後に保存してから追加されたすべてのコメントは読み取り専用になります。

アクセス制御ルールへのコメントの追加

手順

ステップ 1

アクセス コントロール ルール エディタで、[コメント(Comments)] をクリックします。

ステップ 2

[New Comment] をクリックします。

ステップ 3

コメントを入力し、[OK] をクリックします。ルールを保存するまでこのコメントを編集または削除できます。

ステップ 4

[保存(Save)] をクリックします。

ステップ 5

[保存(Save)] をクリックしてポリシーを保存します。

次のタスク