ネットワーク分析および侵入ポリシーのアクセス コントロールの詳細設定について
アクセス コントロール ポリシーにおける詳細設定の多くは、設定のために特定の専門知識を要する侵入検知設定と予防設定を制御します。通常、詳細設定はほとんど、あるいはまったく変更する必要がありません。詳細設定は導入環境ごとに異なります。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
以下のトピックでは、ネットワーク分析ポリシーと侵入ポリシー用の高度な設定を行う手順を示します。
アクセス コントロール ポリシーにおける詳細設定の多くは、設定のために特定の専門知識を要する侵入検知設定と予防設定を制御します。通常、詳細設定はほとんど、あるいはまったく変更する必要がありません。詳細設定は導入環境ごとに異なります。
任意
任意
管理者
アクセス管理者
ネットワーク管理者
URL フィルタリング、アプリケーション検出、レート制限、インテリジェント アプリケーション バイパスなどの一部の機能では、接続を確立するとともに、システムが、トラフィックを識別して、そのトラフィックを処理するアクセスコントロールルール(存在する場合)を決定するために、いくつかのパケットを通過させる必要があります。
これらのパケットを検査し、宛先に到達することを防止し、イベントを生成するために、アクセス コントロール ポリシーを明示的に設定する必要があります。トラフィック識別の前に通過するパケットを処理するためのポリシーの指定 を参照してください。
システムが接続を処理する必要があるアクセスコントロールルールまたはデフォルトアクションを識別するとすぐに、接続内の残りのパケットが適宜処理され検査されます。
アクセス コントロール ポリシーに指定されたデフォルトのアクションは、これらのパケットには適用されません。
代わりに、以下のガイドラインを使用して、アクセス コントロール ポリシーの詳細設定で [アクセス コントロール ルールが決定される前に使用される侵入ポリシー(Intrusion Policy used before Access Control rule is determined)] の値を選択します。
システムによって作成された侵入ポリシーまたはカスタム侵入ポリシーを選択できます。たとえば、[バランスのとれたセキュリティと接続(Balanced Security and Connectivity)] を選択できます。
パフォーマンス上の理由から、特別な理由がないかぎり、この設定はアクセス コントロール ポリシーに設定されているデフォルトのアクションと一致している必要があります。
システムが侵入インスペクションを実行しない場合(たとえば、検出専用の導入において)は、[アクティブなルールなし(No Rules Active)] を選択します。システムはこれらの初期パケットのインスペクションを行わず、これらのパケットの通過が許可されます。
デフォルトでは、この設定は、デフォルトの変数セットを使用します。これが目的に適していることを確認してください。詳細については、変数セットを参照してください。
最初に一致したネットワーク分析ルールに関連付けられているネットワーク分析ポリシーが、選択されたポリシーに対してトラフィックを前処理します。ネットワーク分析ルールがない場合、あるいはどのルールも一致しない場合は、デフォルトのネットワーク分析ポリシーが使用されます。
(注) |
この設定は、デフォルト侵入ポリシーと呼ばれることもあります。(これは、アクセス コントロール ポリシーのデフォルトアクションとは異なります。) |
これらの設定のベストプラクティスを確認します。トラフィック識別の前に通過するパケットを処理するためのベストプラクティス を参照してください。
ステップ 1 |
アクセス コントロール ポリシー エディタで、[詳細設定(Advanced)] をクリックし、[ネットワーク分析と侵入ポリシー(Network Analysis and Intrusion Policies)] セクションの横にある をクリックします。 代わりに 表示( ) が表示される場合、設定は先祖ポリシーから継承されており、設定を変更する権限がありません。 設定がロック解除されている場合は、[Inherit from base policy] をオフにして、編集を有効にします。 |
ステップ 2 |
[アクセス制御ルールが決定される前に使用されている侵入ポリシー(ntrusion Policy used before Access Control rule is determined)] ドロップダウン リストから、侵入ポリシーを選択します。 ユーザーが作成したポリシーを選択した場合は、 をクリックして、新しいウィンドウでポリシーを編集できます。システムによって提供されたポリシーは編集できません。 |
ステップ 3 |
必要に応じて、[侵入ポリシーの変数セット(Intrusion Policy Variable Set)] ドロップダウン リストから別の変数セットを選択します。変数セットの横にある を選択して、変数セットを作成および編集することもできます。変数セットを変更しない場合、システムはデフォルトのセットを使用します。 |
ステップ 4 |
[OK] をクリックします。 |
ステップ 5 |
[保存(Save)] をクリックしてポリシーを保存します。 |
設定変更を展開します。設定変更の展開を参照してください。
ネットワーク分析ポリシーは、特に侵入の試みの前兆となるかもしれない異常トラフィックに対し、そのトラフィックがさらに評価されるようにトラフィックをデコードおよび前処理する方法を制御します。トラフィックの前処理は、セキュリティ インテリジェンスの照合およびトラフィックの復号の後、侵入ポリシーによるパケットインスペクションの前に行われます。デフォルトでは、システム提供の [バランスの取れたセキュリティと接続(Balanced Security and Connectivity)] ネットワーク分析ポリシーが、デフォルト ネットワーク分析ポリシーです。
ヒント |
システムによって提供される [バランスの取れたセキュリティと接続(Balanced Security and Connectivity)] ネットワーク分析ポリシーおよび [バランスの取れたセキュリティと接続(Balanced Security and Connectivity)] 侵入ポリシーは共に機能し、侵入ルールの更新の際に両方とも更新できます。ただし、ネットワーク分析ポリシーは主に前処理オプションを管理し、侵入ポリシーは主に侵入ルールを管理します。 |
前処理を調整する簡単な方法は、カスタム ネットワーク分析ポリシーを作成し、それをデフォルトとして使用することです。複雑な環境での高度なユーザの場合は、複数のネットワーク分析ポリシーを作成し、それぞれがトラフィックを別々に前処理するように調整することができます。さらに、トラフィックのセキュリティ ゾーン、ネットワーク、または VLAN に応じて前処理が制御されるようにこれらのポリシーを設定できます
これを実現するには、アクセス コントロール ポリシーにカスタム ネットワーク分析ルールを追加します。ネットワーク分析ルールは、これらの条件に一致するトラフィックを前処理する方法を指定する設定および条件の単純なセットにすぎません。既存のアクセス コントロール ポリシーの詳細オプションでネットワーク分析ルールを作成および編集します。各ルールは 1 つのポリシーにのみ属します。
各ルールに含まれる内容は、次のとおりです。
一連のルール条件。前処理の対象となる特定のトラフィックを識別します
関連付けられたネットワーク分析ポリシー。すべてのルールの条件を満たすトラフィックを前処理するために使用できます
システムがトラフィックを前処理するときに、パケットはルール番号の上位から下位の順序でネットワーク分析ルールに照合されます。いずれのネットワーク分析ルールにも一致しないトラフィックは、デフォルトのネットワーク分析ポリシーによって前処理されます。
システムによって作成されたポリシーまたはユーザーが作成したポリシーを選択できます。
(注) |
プリプロセッサを無効にしているが、システムは有効になっている侵入ルールまたはプリプロセッサ ルールと照合して前処理されたパケットを評価する必要がある場合、システムはプリプロセッサを自動的に有効にして使用します。しかし、ネットワーク分析ポリシー Web インターフェイスでは無効のままです。前処理の調整、特に複数のカスタム ネットワーク分析ポリシーを使用して調整することは、高度なタスクです。前処理および侵入インスペクションは密接に関連しているため、単一パケットを検査するネットワーク分析ポリシーと侵入ポリシーが互いに補完することを許可する場合は慎重になる必要があります。 |
ステップ 1 |
アクセス コントロール ポリシー エディタで、[詳細設定(Advanced)] をクリックし、[ネットワーク分析と侵入ポリシー(Network Analysis and Intrusion Policies)] セクションの横にある をクリックします。 代わりに 表示( ) が表示される場合、設定は先祖ポリシーから継承されており、設定を変更する権限がありません。 設定がロック解除されている場合は、[Inherit from base policy] をオフにして、編集を有効にします。 |
ステップ 2 |
[デフォルトのネットワーク分析ポリシー(Default Network Analysis Policy)] ドロップダウンリストから、デフォルトのネットワーク分析ポリシーを選択します。 ユーザーが作成したポリシーを選択した場合は、 をクリックして、新しいウィンドウでポリシーを編集できます。システムによって提供されたポリシーは編集できません。 |
ステップ 3 |
[OK] をクリックします。 |
ステップ 4 |
[保存(Save)] をクリックしてポリシーを保存します。 |
設定変更を展開します。設定変更の展開を参照してください。
アクセス コントロール ポリシーの詳細設定で、ネットワーク分析ルールを使用してネットワーク トラフィックへの前処理設定を調整できます。
ネットワーク分析ルールには 1 から番号が付けられます。システムがトラフィックを前処理するときに、パケットはルール番号の昇順で上から順にネットワーク分析ルールに照合され、すべてのルールの条件が一致する最初のルールに従ってトラフィックが前処理されます。
ルールには、ゾーン、ネットワーク、VLAN タグの条件を追加できます。ルールに対し特定の条件を設定しない場合、システムはその基準に基づいてトラフィックを照合しません。たとえば、ネットワーク条件を持つがゾーン条件を持たないルールは、その入力または出力インターフェイスに関係なく、送信元または宛先 IP アドレスに基づいてトラフィックを評価します。いずれのネットワーク分析ルールにも一致しないトラフィックは、デフォルトのネットワーク分析ポリシーによって前処理されます。
ステップ 1 |
アクセス コントロール ポリシー エディタで、[詳細設定(Advanced)] をクリックし、[ネットワーク分析と侵入ポリシー(Network Analysis and Intrusion Policies)] セクションの横にある をクリックします。 代わりに 表示( ) が表示される場合、設定は先祖ポリシーから継承されており、設定を変更する権限がありません。設定がロック解除されている場合は、[Inherit from base policy] をオフにして、編集を有効にします。
|
||
ステップ 2 |
[ネットワーク分析ルール(Network Analysis Rules)] の横にある、所持しているカスタム ルールの数を示したステートメントをクリックします。 |
||
ステップ 3 |
[ルールの追加(Add Rule)] をクリックします。 |
||
ステップ 4 |
追加する条件をクリックして、ルールの条件を設定します。ルール条件タイプを参照してください。 |
||
ステップ 5 |
[ネットワーク分析(Network Analysis)] をクリックし、このルールに一致するトラフィックの前処理に使用する [ネットワーク分析ポリシー(Network Analysis Policy)] を選択します。 をクリックして、新しいウィンドウでカスタムポリシーを編集します。システムによって提供されたポリシーは編集できません。 |
||
ステップ 6 |
[追加(Add)] をクリックします。 |
設定変更を展開します。設定変更の展開を参照してください。
ネットワーク分析ルールは、これらの条件に一致するトラフィックを前処理する方法を指定する設定および条件の単純なセットにすぎません。既存のアクセス コントロール ポリシーの詳細オプションでネットワーク分析ルールを作成および編集します。各ルールは 1 つのポリシーにのみ属します。
ステップ 1 |
アクセス コントロール ポリシー エディタで、[詳細設定(Advanced)] をクリックし、[侵入ポリシーおよびネットワーク分析ポリシー(Intrusion and Network Analysis Policies)] セクションの横にあるをクリックします。 代わりに 表示( ) が表示される場合、設定は先祖ポリシーから継承されており、設定を変更する権限がありません。設定がロック解除されている場合は、[Inherit from base policy] をオフにして、編集を有効にします。 |
||
ステップ 2 |
[ネットワーク分析ルール(Network Analysis Rules)] の横にある、所持しているカスタム ルールの数を示したステートメントをクリックします。 |
||
ステップ 3 |
カスタム ルールを編集します。次の選択肢があります。
|
||
ステップ 4 |
[OK] をクリックします。 |
||
ステップ 5 |
[保存(Save)] をクリックしてポリシーを保存します。 |
設定変更を展開します。設定変更の展開を参照してください。