アクセス コントロール ポリシー

ここでは、アクセス コントロール ポリシーの使用して作業する方法について説明します。

アクセス コントロール ポリシーのコンポーネント

名前(Name)と説明(Description)

各アクセス コントロール ポリシーには一意の名前が必要です。説明は任意です。

継承設定(Inheritance Settings)

ポリシー継承により、アクセス コントロール ポリシーの階層を作成することができます。親(または基本)ポリシーは子孫のデフォルト設定を定義、実行します。これはマルチドメイン導入環境で特に有効です。

ポリシーの継承設定で基本ポリシーを選択できます。また、現在のポリシーで設定をロックすることで、子孫にも同じ設定を継承させることできます。ロック解除された設定については、子孫ポリシーによる上書きが可能です。

ポリシー割り当て

各アクセス コントロール ポリシーがそのポリシーを使用するデバイスを識別します。1 つのデバイスに適用されるアクセス コントロール ポリシーは 1 つのみです。マルチドメイン導入環境では、1 ドメイン内のすべてのデバイスで同じ基本ポリシーを使用させることができます。

ルール(Rule)

アクセス コントロール ルールは、ネットワーク トラフィックをきめ細かく処理する方法を提供します。先祖ポリシーから継承したルールを含むアクセス コントロール ポリシーのルールには、1 から始まる番号が付いています。システムは、ルール番号の昇順で上から順に、アクセス コントロール ルールをトラフィックと照合します。

通常、システムは、ルールのすべての条件がトラフィックに一致する最初のアクセス コントロール ルールに従ってネットワーク トラフィックを処理します。条件は単純または複雑にできます。条件の使用は特定のライセンスによって異なります。

デフォルト アクション(Default Action)

デフォルト アクションは、他のアクセス制御設定で処理されないトラフィックをどのように処理し、ロギングするかを定義します。デフォルト アクションにより、追加のインスペクションなしですべてのトラフィックをブロックまたは信頼することができます。また、侵入およびディスカバリ データの有無についてトラフィックを検査することもできます。

アクセス コントロール ポリシーのデフォルト アクションは先祖ポリシーから継承することもできますが、継承を強制的に実施することはできません。

セキュリティインテリジェンス

セキュリティ インテリジェンスは、悪意のあるインターネット コンテンツに対する最初の防衛ラインです。この機能により、最新の IP アドレス、URL、ドメイン名レピュテーション インテリジェンスをもとに接続をブロックすることができます。重要なリソースへの継続的なアクセスを確保するために、ブロックリストのエントリはカスタムブロックしないリストのエントリで上書きできます。

HTTP 応答(HTTP Responses)

システムによりユーザの Web サイト リクエストがブロックされた場合、システム提供の汎用的な応答ページを表示するか、カスタム ページを表示させることができます。ユーザーに警告するページを表示するものの、ユーザーが最初に要求したサイトに進めるようにすることもできます。

ログ

アクセス コントロール ポリシー ロギングの設定を使用して、現在のアクセス コントロール ポリシーのデフォルトの syslog の宛先を設定できます。この設定は、syslog の宛先設定で組み込まれているルールおよびポリシーのカスタム 設定で明示的にオーバーライドされない限り、アクセス コントロール ポリシーと、組み込まれているすべての SSL、プレフィルタ、および侵入のポリシーに適用されます。

アクセス コントロールの詳細オプション(Advanced Access Control Options)

通常、アクセス コントロール ポリシーの詳細設定を変更する必要はほとんど、あるいはまったくありません。多くの場合、デフォルト設定が適切です。詳細設定では、トラフィックの前処理、SSL インスペクション、ID、種々のパフォーマンス オプションなどを変更できます。

アクセス コントロール ポリシーの要件と前提条件

モデルのサポート

任意

サポートされるドメイン

任意

ユーザの役割

  • 管理者

  • アクセス管理者

  • ネットワーク管理者

アクセス コントロール ポリシーの管理

Firepower システムでは、システム付属のアクセス コントロール ポリシーの編集と、カスタム アクセス コントロール ポリシーの作成が可能です。

マルチドメイン展開では、編集できる現在のドメインで作成されたポリシーが表示されます。また、編集できない先祖ドメインで作成されたポリシーも表示されます。下位のドメインで作成されたポリシーを表示および編集するには、そのドメインに切り替えます。

手順

ステップ 1

[ポリシー(Policies)] > [アクセス制御(Access Control)] を選択します。

ステップ 2

アクセス コントロール ポリシーを管理します。

システム作成のアクセス コントロール ポリシー

デバイスの初期設定に応じて、システム付属のポリシーには次のものが含まれます。

  • デフォルト アクセス制御:詳細な検査なしで、すべてのトラフィックをブロックします。

  • デフォルト侵入防御:すべてのトラフィックを許可しますが、Balanced Security and Connectivity 侵入ポリシーおよびデフォルトの侵入変数セットを使用して検査も実行します。

  • デフォルト ネットワーク検出:すべてのトラフィックを許可すると同時に検出データについて検査しますが、侵入やエクスプロイトについては検査しません。

基本的なアクセス コントロール ポリシーの作成

新規アクセス コントロール ポリシーを作成する場合は、少なくとも、デフォルト アクションを選択する必要があります。

ほとんどの場合、デフォルト アクションにより処理される接続のロギングは最初は無効になっています。例外は、マルチドメイン導入でサブポリシーを作成する場合です。この場合、継承されたデフォルト アクションのロギング設定に応じて、接続のロギングが有効になります。

始める前に

基本ポリシーの設定で、ここまでの手順が完了していることを確認します。

手順

ステップ 1

[ポリシー(Policies)] > [アクセス制御(Access Control)] を選択します。

ステップ 2

[新しいポリシー(New Policy)] をクリックします。

ステップ 3

[名前(Name)] に一意の名前を入力し、オプションで [説明(Description)] を入力します。

ステップ 4

オプションで、[基本ポリシーの選択(Select Base Policy)] ドロップダウンリストから基本ポリシーを選択します。

ドメインにアクセス コントロール ポリシーが適用されている場合は、この手順はオプションではありません。適用されているポリシーまたはその子孫のいずれかを基本ポリシーとして選択する必要があります。

ステップ 5

初期デフォルト アクションを指定します。

  • 基本ポリシーを選択すると、新しいポリシーではそのデフォルト アクションが継承されます。ここで変更することはできません。
  • [すべてのトラフィックをブロック(Block All Traffic)] を選択すると、[アクセス コントロール:すべてのトラフィックをブロック(Access Control: Block All Traffic)] をデフォルト アクションとするポリシーが作成されます。
  • [侵入防御(Intrusion Prevention)] を選択すると、[侵入防御:セキュリティと接続性のバランス(Intrusion Prevention: Balanced Security and Connectivity)] をデフォルト アクションとし、デフォルトの侵入変数セットが関連付けられたポリシーが作成されます。
  • [ネットワーク検出(Network Discovery)] を選択すると、[ネットワーク検出のみ(Network Discovery Only)] をデフォルト アクションとするポリシーが作成されます。
ヒント 

デフォルトですべてのトラフィックを信頼するか、基本ポリシーを選択しデフォルト アクションは継承しないようにする場合は、後でデフォルト アクションを変更できます。

ステップ 6

必要に応じて、ポリシーを展開する [使用可能なデバイス(Available Devices)] を選択し、[ポリシーに追加(Add to Policy)] をクリック(またはドラッグ アンド ドロップ)して、選択したデバイスを追加します。表示されるデバイスを絞り込むには、[検索(Search)] フィールドに検索文字列を入力します。

このポリシーをすぐに展開するには、この手順を実行する必要があります。

ステップ 7

[保存(Save)] をクリックします。

次のタスク


(注)  

アクセス コントロール ポリシーを展開しても、そのルールは既存のトンネルセッションに適用されません。したがって、既存の接続のトラフィックは、展開された新しいポリシーでバインドされません。また、ポリシーヒットカウントは、ポリシーに一致する接続の最初のパケットに対してのみ増加します。したがって、ポリシーに一致する可能性がある既存の接続のトラフィックは、ヒットカウントから除外されます。ポリシールールを効果的に適用するには、既存のトンネルセッションをクリアしてからポリシーを展開します。

アクセス コントロール ポリシーの編集

ポリシーの編集は、1 つのブラウザウィンドウを使用して、一度に 1 人のみで行う必要があります。複数のユーザが同じポリシーを保存した場合は、最後に保存された変更が保持されます。ユーザにとっての便宜性を考慮して、各ポリシーを現在編集している人(いる場合)の情報が表示されます。セッションのプライバシーを保護するために、ポリシーエディタが非アクティブになってから 30 分後に警告が表示されます。60 分後には、システムにより変更が破棄されます。


(注)  

現在のドメインで作成されたアクセス コントロール ポリシーのみ編集できます。また、先祖アクセス コントロール ポリシーによってロックされている設定は編集できません。

手順

ステップ 1

[ポリシー(Policies)] > [アクセス制御(Access Control)] を選択します。

ステップ 2

編集するアクセス コントロール ポリシーの横にある をクリックします。

代わりに 表示[表示(view)] ボタン が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。

ステップ 3

アクセス コントロール ポリシーを編集します。

[設定(Settings)]:

  • 名前と説明:いずれかのフィールドをクリックし、新しい情報を入力します。

  • デフォルト アクション:[デフォルト アクション(Default Action)] ドロップダウン リストから値を選択します。

  • デフォルトアクションの変数セット:[侵入防御(Intrusion Prevention)] のデフォルトアクションに関連付けられている変数セットを変更するには、変数[変数(variables)] アイコン をクリックします。表示されるポップアップ ウィンドウで、新しい変数セットを選択して [OK] をクリックします。また をクリックし、選択した変数セットを新しいウィンドウで編集することもできます。詳細については、変数の管理を参照してください。

  • デフォルトアクションのロギング:デフォルトアクションで処理される接続のロギングを設定するには、ロギングロギングアイコンをクリックします。ポリシーのデフォルト アクションによる接続のロギングを参照してください。

  • HTTP レスポンス:システムが Web サイトの要求をブロックするときにブラウザに表示される情報を指定するには、[HTTPレスポンス(HTTP Responses)] をクリックします。「HTTP 応答ページの選択」を参照してください。

  • 継承:基本ポリシーの変更:このポリシーの基本アクセス コントロール ポリシーを変更するには、[継承設定(Inheritance Settings)] をクリックします。基本アクセス コントロール ポリシーの選択を参照してください。

  • 継承:子孫での設定のロック:このポリシーの設定を子孫ポリシーに適用するには、[継承設定(Inheritance Settings)] をクリックします。子孫アクセス コントロール ポリシーでの設定のロックを参照してください。

  • ポリシー割り当て:ターゲット:このポリシーの対象となっている管理対象デバイスを特定するには、[ポリシー割り当て(Policy Assignment)] をクリックします。アクセス コントロール ポリシーのターゲット デバイスの設定を参照してください。

  • ポリシー割り当て:ドメインで必須:このポリシーをサブドメインに適用するには、[ポリシー割り当て(Policy Assignment)] をクリックします。ドメインでのアクセス コントロール ポリシーの強制を参照してください。

  • ルール:アクセスコントロールルールを管理し、侵入ポリシーとファイルポリシーを使用して悪意のあるトラフィックを検査およびブロックするには、[ルール(Rules)] をクリックします。「アクセスコントロールルールの作成および編集」を参照してください。

  • ルールの競合:ルールの競合の警告を表示するには、[ルールの競合の表示(Show rule conflicts)] を有効にします。ルールの競合は、より古いルールが先にトラフィックに一致することが原因で、ルールがトラフィックに一致することがない場合に発生します。ルールの競合を判別するには多くのリソースを消費するため、それらを表示するには時間がかかることがあります。詳細については、順序付けルールのベストプラクティスを参照してください。

  • セキュリティ インテリジェンス:最新のレピュテーション インテリジェンスに基づいてすぐに接続をブロックするには、[セキュリティ インテリジェンス(Security Intelligence)] をクリックします。「セキュリティ インテリジェンスの設定」を参照してください。

  • 詳細オプション:前処理、SSL インスペクション、アイデンティティ、パフォーマンス、およびその他の詳細オプションを設定するには、[詳細(Advanced)] をクリックします。「アクセス コントロール ポリシーの詳細設定」を参照してください。

  • 警告:アクセス コントロール ポリシー(およびその子孫ポリシーと関連ポリシー)の警告またはエラーのリストを表示するには、[警告の表示(Show Warnings)] をクリックします。警告とエラーによって、トラフィック分析やフローに悪影響を及ぼしたり、ポリシーの展開を妨げたりする構成がマークされます。警告がない場合、[警告の表示(Show Warnings)] は表示されません。ルールの競合の警告を表示するには、まず、[ルールの競合の表示(Show rule conflicts)] を有効にします。
ステップ 4

[保存(Save)] をクリックします。

次のタスク

アクセス コントロール ポリシーの継承の管理

始める前に

継承がどのように機能するかを理解してください。「アクセス コントロール ポリシーの継承」およびサブトピックを参照してください。

手順

ステップ 1

変更する継承設定を持つアクセス コントロール ポリシーを編集します。アクセス コントロール ポリシーの編集を参照してください。

ステップ 2

ポリシーの継承を管理します。

次のタスク

基本アクセス コントロール ポリシーの選択

スマートライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス

任意

任意

任意

任意

Admin/Access Admin/Network Admin

1 つのアクセス コントロール ポリシーを別の基本(親)として使用できます。デフォルトでは、子のポリシーが基本ポリシーから設定を継承します。ロック解除された設定を変更することも可能です。

既存のアクセス コントロール ポリシーの基本ポリシーを変更すると、システムで現在のポリシー設定が新しい基本ポリシーの任意のロックされた設定に更新されます。

手順

ステップ 1

アクセス コントロール ポリシーのエディタで、[継承設定(Inheritance Settings)] をクリックします。

ステップ 2

[基本ポリシーの選択(Select Base Policy)] ドロップダウンリストからポリシーを選択します。

マルチドメイン展開では、アクセス コントロール ポリシーが既存のドメインで必要になることがあります。基本ポリシーとして、強制ポリシーまたはその子孫ポリシーの一つを選択できます。

ステップ 3

[保存(Save)] をクリックします。

次のタスク

基本ポリシーからアクセス コントロール ポリシー設定を継承する

新しい子ポリシーは、基本ポリシーから多数の設定を継承します。これらの設定は、基本ポリシーでロックされていない場合はオーバーライドできます。

基本ポリシーから後で設定を再継承すると、システムによって基本ポリシーの設定が表示され、コントロールが淡色表示されます。ただし、オーバーライドした内容はシステムによって保存され、その内容は継承を再度無効にすると復元されます。

手順

ステップ 1

アクセス コントロール ポリシー エディタで、[セキュリティインテリジェンス(Security Intelligence)]、[HTTP応答(HTTP Responses)]、または [詳細(Advanced)] をクリックします。

ステップ 2

継承する設定ごとに、[基本ポリシーから継承(Inherit from base policy)] チェックボックスをオンにします。

コントロールが淡色表示されている場合、設定は先祖ポリシーから継承され、設定を変更する権限がありません。

ステップ 3

[保存(Save)] をクリックします。

次のタスク

子孫アクセス コントロール ポリシーでの設定のロック

アクセス コントロール ポリシーの設定をロックして、すべての子孫ポリシーで設定を適用します。子孫ポリシーでは、ロックされていない設定をオーバーライドできます。

設定をロックするときに、すでに子孫ポリシーで実行されていたオーバーライドを保存して、設定のロックを再度解除したときにオーバーライドを復元できるようにします。

手順

ステップ 1

アクセス コントロール ポリシー エディタで、[設定の継承(Inheritance Settings)] をクリックします。

ステップ 2

[子ポリシーの継承設定(Child Policy Inheritance Settings)] 領域で、ロックする設定をオンにします。

コントロールが淡色表示されている場合、設定は先祖ポリシーから継承され、設定を変更する権限がありません。

ステップ 3

[OK] をクリックして継承設定を保存します。

ステップ 4

[保存(Save)] をクリックして、アクセス コントロール ポリシーを保存します。

次のタスク

ドメインでのアクセス コントロール ポリシーの強制

ドメイン内の各デバイスが同一の基本アクセス コントロール ポリシーまたは、そのポリシーの子孫ポリシーの 1 つを使用するように強制できます。

始める前に

  • 少なくとも 1 つのグローバル ドメイン以外のドメインを設定します。

手順

ステップ 1

アクセス コントロール ポリシー エディタで、[ポリシーの割り当て(Policy Assignments)] をクリックします。

ステップ 2

[ドメインに強制(Required on Domains)] をクリックします。

ステップ 3

ドメイン リストを作成します。

  • 追加:現在のアクセス コントロール ポリシーを強制適用するドメインを選択して [追加(Add)] をクリックするか、選択したドメインのリストにドラッグ アンド ドロップします。
  • 削除:リーフドメインの横にある をクリックするか、先祖ドメインを右クリックして [選択項目の削除(Delete Selected)] を選択します。
  • 検索:検索フィールドに検索文字列を入力します。検索をクリアするには、 をクリックします。
ステップ 4

[OK] をクリックしてドメインに強制適用する設定を保存します。

ステップ 5

[保存(Save)] をクリックして、アクセス コントロール ポリシーを保存します。

次のタスク

アクセス コントロール ポリシーのターゲット デバイスの設定

アクセス コントロール ポリシーは、それを使用するデバイスを指定します。それぞれのデバイスは、1 つのアクセス コントロール ポリシーのみのターゲットに設定できます。マルチドメイン展開では、ドメイン内のすべてのデバイスが同一の基本ポリシーを使用するように強制できます。

手順

ステップ 1

アクセス コントロール ポリシー エディタで、[ポリシーの割り当て(Policy Assignments)] をクリックします。

ステップ 2

[ターゲットデバイス(Targeted Devices)] で、ターゲットリストを作成します。

  • 追加:1 つ以上の [使用可能なデバイス(Available Devices)] を選択して、[ポリシーに追加(Add to Policy)] をクリックするか、[選択したデバイス(Selected Devices)] のリストにドラッグ アンド ドロップします。
  • 削除:1 つのデバイスの横にある をクリックするか、複数のデバイスを選択して、右クリックしてから [選択済み項目の削除(Delete Selected)] を選択します。
  • 検索:検索フィールドに検索文字列を入力します。検索をクリアするには、 をクリックします。

[影響を受けるデバイス(Impacted Devices)] の下に、割り当てられたアクセス コントロール ポリシーが現在のポリシーの子であるデバイスが一覧表示されます。現在のポリシーを変更すると、これらのデバイスに影響します。

ステップ 3

必要に応じて、[ドメインで強制(Required on Domains)] をクリックして、選択したサブドメイン内のすべてのデバイスが同じ基本ポリシーを使用するように強制します。ドメインでのアクセス コントロール ポリシーの強制を参照してください。

ステップ 4

[OK] をクリックしてターゲット デバイス設定を保存します。

ステップ 5

[保存(Save)] をクリックして、アクセス コントロール ポリシーを保存します。

次のタスク

アクセス コントロール ポリシーのロギング設定

アクセス コントロール ポリシー ロギングの設定を使用して、現在のアクセス コントロール ポリシーのデフォルトの syslog の宛先と syslog アラートを設定できます。この設定は、syslog の宛先設定で組み込まれているルールおよびポリシーのカスタム 設定で明示的にオーバーライドされない限り、アクセス コントロール ポリシーと、組み込まれているすべての SSL、プレフィルタ、および侵入のポリシーに適用されます。

デフォルトアクションで処理される接続のロギングは、初期設定では無効です。

デフォルト Syslog 設定

[特定の syslog アラートを使用して送信する(Send using specific syslog alert)]:このオプションを選択すると、Syslog アラート応答の作成 の手順を使用して設定したとおりに、選択した syslog アラートに基づいてイベントが送信されます。リストから syslog アラートを選択するか、名前、ロギング ホスト、ポート、機能および重大度を指定することにより syslog アラートを追加できます。詳細については、侵入 syslog アラートの重大度を参照してください。このオプションはすべてのデバイスに適用されます。

[FTD 6.3 以降:デバイスに展開されている FTD プラットフォーム設定のポリシーで設定されている syslog 設定を使用(FTD 6.3 and later: Use the syslog settings configured in the FTD Platform Settings policy deployed on the device)]:このオプションを選択し、重大度を選択すると、接続イベントまたは侵入イベントが選択した重大度で [プラットフォーム設定(Platform Settings)] で設定した syslog コレクタに送信されます。このオプションを使用し、[プラットフォーム設定(Platform Settings)] で行った syslog 設定を統合して、アクセス コントロール ポリシーでその設定を再利用できます。このセクションで選択した重大度はすべての接続イベントと侵入イベントに適用されます。デフォルトの重大度は ALERT です。

このオプションは、Firepower Threat Defense デバイス 6.3 以降のみに適用されます。


(注)  

両方のオプションを選択すると、オプションの動作が変更されます。[ダイナミック サマリ(Dynamic Summary)] セクションに、選択の結果が表示されます。

[ファイルおよびマルウェアの設定(File and Malware Settings)] は通常、syslog メッセージの送信についてページの上部のオプションを選択した後に有効になります。

アクセス コントロール ポリシーの詳細設定

通常、アクセス コントロール ポリシーの詳細設定を変更する必要はほとんど、あるいはまったくありません。デフォルト設定は、ほとんどの展開環境に適しています。侵入ルールの更新で説明しているように、アクセス コントロール ポリシーの前処理およびパフォーマンスの詳細オプションの多くは、ルールの更新によって変更される可能性があることに注意してください。

代わりに 表示[表示(view)] ボタン が表示される場合、設定は先祖ポリシーから継承されており、設定を変更する権限がありません。 設定がロック解除されている場合は、[Inherit from base policy] をオフにして、編集を有効にします。


注意    

Snort プロセスを再起動し、トラフィック インスペクションを一時的に中断する詳細設定変更のリストについては、展開またはアクティブ化された際に Snort プロセスを再起動する設定 を参照してください。 この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲット デバイスがトラフィックを処理する方法に応じて異なります。詳細はSnort® の再起動によるトラフィックの動作を参照してください。

全般設定

オプション

説明

[接続イベントで保存する URL の最大文字数(Maximum URL characters to store in connection events)]

ユーザーが要求した各 URL に対して保存する文字数をカスタマイズするには、長い URL のロギング制限を参照してください。

ユーザーが最初のブロックをバイパスした後に Web サイトを再度ブロックするまでの時間間隔をカスタマイズするには、ブロックされた Web サイトのユーザー バイパス タイムアウトの設定を参照してください。

[インタラクティブブロックを一時的に許可する時間(秒)(Allow an Interactive Block to bypass blocking for (seconds))]

ブロックされた Web サイトのユーザー バイパス タイムアウトの設定 を参照してください。

[URL キャッシュのミス検索の再試行(Retry URL cache miss lookup)]

システムは、ローカルに保存されたカテゴリとレピュテーションを持たない URL を初めて検出すると、その URL をクラウドで検索し、その結果をローカルデータストアに追加して、その URL の処理を高速化します。

この設定により、クラウドで URL のカテゴリとレピュテーションを検索する必要がある場合の処理が決まります。

デフォルトでは、この設定は有効になっています。システムは、クラウドの URL のレピュテーションとカテゴリをチェックしている間、トラフィックを一時的に遅延させ、クラウドの判定を使用してトラフィックを処理します。

この設定を無効にした場合、ローカルキャッシュに存在しない URL がシステムで検出されると、トラフィックはただちに渡され、未分類およびレピュテーションのないトラフィック用に設定されたルールに従って処理されます。

パッシブ展開では、システムはルックアップを再試行しません。これは、システムがパケットを保持できないからです。
[Threat Intelligence Director を有効にする(Enable Threat Intelligence Director)]

このオプションを無効にすると、設定したデバイスへの TID データの公開が停止されます。TID の詳細については、Threat Intelligence Directorを参照してください。

ポリシー適用中のトラフィックの検査

特定の設定で Snort プロセスを再起動する必要がない限り設定の変更を展開する場合にトラフィックを検査するには、必ず、[ポリシーの適用時にトラフィックを検査する(Inspect traffic during policy apply)] がデフォルト値(有効)に設定してください。

このオプションを有効にすると、リソースの需要が高まった場合にいくつかのパケットが検査なしでドロップされることがあります。また、一部のコンフィギュレーションを展開すると、トラフィックのインスペクションを中断する Snort プロセスが再開します。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲット デバイスがトラフィックを処理する方法に応じて異なります。詳細については、Snort® の再起動シナリオを参照してください。

関連するポリシー

詳細設定を使用して、サブポリシー(SSL、ID、プレフィルタ)をアクセス制御に関連付けます。アクセス制御への他のポリシーの関連付けを参照してください。

ネットワーク分析ポリシーと侵入ポリシー

ネットワーク分析ポリシーおよび侵入ポリシーの詳細設定によって、以下が可能になります。

  • パケットを検査するために使用され、システムがトラフィックの検査方法を正確に決定する前に合格する必要がある、侵入ポリシーおよび関連付けられる変数セットの指定。

  • 多くの前処理オプションを制御する、アクセス コントロール ポリシーのデフォルト ネットワーク分析ポリシーの変更。

  • カスタム ネットワーク分析ルールおよびネットワーク分析ポリシーを使用した、特定のセキュリティ ゾーン、ネットワーク、および VLAN に対する前処理オプションの調整。

詳細については、ネットワーク分析/侵入ポリシーのための高度なアクセス制御の設定を参照してください。

Threat Defense サービス ポリシー

Threat Defense サービス ポリシーを使用して、特定のトラフィック クラスにサービスを適用することができます。たとえば、サービス ポリシーを使用すると、すべての TCP アプリケーションに適用されるタイムアウト コンフィギュレーションではなく、特定の TCP アプリケーションに固有のタイムアウト コンフィギュレーションを作成できます。このポリシーは Firepower Threat Defense デバイスのみに適用され、その他のデバイス タイプの場合には無視されます。このサービス ポリシー ルールは、アクセス制御ルールの後に適用されます。詳細については、Threat Defense サービス ポリシーを参照してください。

ファイルおよびマルウェアの設定

ファイルとマルウェアのインスペクション パフォーマンスとストレージの調整 に、ファイル制御と ネットワーク向け AMP のパフォーマンス オプションに関する情報が記載されています。

インテリジェント アプリケーション バイパスの設定

インテリジェント アプリケーション バイパス(IAB)は、トラフィックがインスペクション パフォーマンスとフローしきい値の組み合わせを超過したときにバイパスするアプリケーションを指定する、または、バイパスに関するテストを行うための、エキスパート レベルの設定です。詳細については、インテリジェント アプリケーション バイパスを参照してください。

トランスポート層とネットワーク層のプリプロセッサの設定

トランスポート層とネットワーク層のプリプロセッサの詳細設定は、アクセス コントロール ポリシーが展開されるすべてのネットワーク、ゾーン、VLAN にグローバルに適用されます。これらの詳細設定は、ネットワーク分析ポリシーではなくアクセス コントロール ポリシーで設定します。詳細については、トランスポート/ネットワーク プリプロセッサの詳細設定を参照してください。

検出拡張の設定

検出拡張の詳細設定では、次のことを実行できるようにアダプティブ プロファイルを設定することができます。

  • アクセス コントロール ルールでファイル ポリシーとアプリケーションを使用する。

  • 侵入ルールでサービス メタデータを使用する。

  • パッシブ展開で、ネットワークのホスト オペレーティング システムに基づいてパケット フラグメントと TCP ストリームのリアセンブルを向上させる。

詳細については、適応型プロファイルを参照してください。

パフォーマンス設定および遅延ベースのパフォーマンス設定

侵入防御のパフォーマンス チューニングについてでは、侵入行為についてトラフィックを分析する際にシステムのパフォーマンスを向上させるための情報を提供しています。

遅延ベースのパフォーマンス設定固有の情報については、パケットおよび侵入ルールの遅延しきい値構成を参照してください。

アクセス制御への他のポリシーの関連付け

次のサブポリシーのいずれかとアクセス コントロール ポリシーとを関連付けるには、アクセス コントロール ポリシーの詳細設定を使用します。

  • SSL ポリシー:セキュア ソケット レイヤ(SSL)または Transport Layer Security(TLS)で暗号化されたアプリケーション層プロトコル トラフィックをモニター、復号化、ブロック、または許可します。


    注意    

    SSL ポリシーを追加または削除すると 設定の変更を展開する際に Snort プロセスが再起動され、一時的にトラフィックのインスペクションが中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲット デバイスがトラフィックを処理する方法に応じて異なります。詳細はSnort® の再起動によるトラフィックの動作を参照してください。

  • アイデンティティ ポリシー:トラフィックに関連付けられているレルムと認証方式に基づいて、ユーザー認証を実行します。

  • プレフィルタ ポリシー:(レイヤ 4 の)アウターヘッダによりネットワーク限定を使用した早期のトラフィック処理を実行します。

手順

ステップ 1

アクセス コントロール ポリシー エディタで、[詳細設定(Advanced Settings)] をクリックします。

ステップ 2

適切な [ポリシー設定(Policy Settings)] 領域の をクリックします。

代わりに 表示[表示(view)] ボタン が表示される場合、設定は先祖ポリシーから継承されており、設定を変更する権限がありません。 設定がロック解除されている場合は、[Inherit from base policy] をオフにして、編集を有効にします。

ステップ 3

ドロップダウン リストからポリシーを選択します。

ユーザーが作成したポリシーを選択する場合は、表示される編集アイコンをクリックしてポリシーを編集できます。

ステップ 4

[OK] をクリックします。

ステップ 5

[保存(Save)] をクリックして、アクセス コントロール ポリシーを保存します。

次のタスク

ポリシー ヒット カウントの表示

ヒット カウントは、一致する接続に対してポリシー ルールがトリガーされた回数を示します。ポリシーヒットカウントは、ポリシーに一致する接続の最初のパケットに対してのみ増加します。この情報を使用してルールの有効性を特定することができます。ヒットカウント情報は、FTD デバイスに適用されるアクセス制御とプレフィルタルールに対してのみ使用できます。

サポート対象のポリシーの場合、ポリシーに設定されているデフォルト アクションのヒットカウント情報も表示されます。


(注)  

  • Firepower Threat Defense デバイスを再起動すると、すべてのヒット カウント情報がリセットされます。

  • デバイスで展開またはタスクが進行中の場合、デバイスからヒット カウント情報を取得することはできません。

手順

ステップ 1

アクセス制御またはプレフィルタ ポリシーのページに移動します。

ステップ 2

ヒット カウント情報を表示するポリシーをクリックします。
ステップ 3

ポリシーのページで、そのページの右上にある [ヒットカウントの分析(Analyze Hit Counts)] をクリックします。

ステップ 4

[ヒット カウント(Hit Count)] ページで、[デバイスの選択(Select a device)] ドロップダウン リストからデバイスを選択します。

(注)   

このデバイスのヒット カウントを生成するのが初めてではない場合は、ドロップダウン ボックスの横に最後に取得したヒット カウント情報が表示されます。また、[最終展開(Last Deployed)] の時刻を確認して、最新のポリシー変更を確認します。

ステップ 5

ヒットカウントデータを取得するには、[現在のヒットカウントの取得(Fetch Current Hit Count)] をクリックします。

選択したデバイスのヒットカウント情報にアクセスしようとしたのが初めてではない場合、[現在のヒットカウントの取得(Fetch Current Hit Count)] ではなく、[更新(Refresh)] が表示されます。最新のヒットカウント情報を取得するには、[更新(Refresh)] をクリックします。

ステップ 6

(オプション)テーブルとテーブル内のリストをカスタマイズするには、[ルール/ポリシーのフィルタ処理(Filter Rules/Policy)] ボックスか、または [フィルタ条件(Filter by)] と [過去(In Last)] ドロップダウンボックスおよび を使用します。

[フィルタ条件(Filter by)] ドロップダウンボックスには、重要なルールの識別に役立つ、[ヒットルール(Hit Rules)] や [ルールにヒットしない(Never Hit Rules)] などの重要なフィルタオプションが用意されています。[最後(In Last)] ドロップダウンボックスには、事前設定された期間に基づいてルールをフィルタ処理するオプションがあります。

ステップ 7

(オプション)ルール名をクリックして編集するか、最後の列の 表示[表示(view)] ボタン をクリックしてルールの詳細を表示します。

ルール名をクリックすると、ポリシー ページ内でその名前がハイライトされ、編集できるようになります。

(注)   

[アクセスコントロールポリシー(Access Control Policy)] ページから [ヒットカウント(Hit Count)] ページにアクセスした場合、プレフィルタ ルールを表示または編集することはできません。また、その逆も同様です。
ステップ 8

(オプション)ルールを右クリックし、[ヒット カウントのクリア(Clear Hit Count)] を選択してルールのヒット カウント情報をクリアします。

複数のルールのヒットカウント情報をクリアするには、選択したルールの 1 つを右クリックした後、Ctrl キーを押しながら [ヒットカウントのクリア(Clear Hit Count)] を選択してルールを選択します。

(注)   

ヒット カウント情報をクリアすると、ヒット カウントが元のゼロに設定されます。
ステップ 9

(オプション)ページの左下にある [CSVの生成(Generate CSV)] をクリックして、詳細情報の CSV レポートをページ上で生成します。

ステップ 10

[閉じる(Close)] をクリックしてポリシー ページに戻ります。

アクセス コントロール ポリシーの履歴

機能

バージョン

詳細

新しいセキュリティ インテリジェンス カテゴリ

--

次のカテゴリは 6.6 リリースの頃に導入されましたが、6.6 に限定されてはいません。

  • banking_fraud

  • high_risk

  • ioc

  • link_sharing

  • malicious

  • newly_seen

  • spyware

新規/変更されたページ:[アクセスコントロールポリシー(Access control policy)] > [セキュリティインテリジェンス(Security Intelligence)] タブ。

サポート対象プラットフォーム: FMC