ステップ 1

[デバイス（Device）] を選択し、[スマートラインセンス（Smart License）] グループで [設定の表示（View Configuration）] をクリックします。

ステップ 2

他のインターフェイスに接続している場合は、[デバイス（Device）] を選択し、[インターフェイス（Interfaces）] サマリーにあるリンクをクリックしてから、インターフェイスのタイプをクリックして、インターフェイスのリストを表示します。

各インターフェイスの [編集（Edit）] アイコン（）をクリックして、IP アドレスなどの設定を定義します。

次の例では、Web サーバーなどのパブリックアクセス可能な資産を配置する「緩衝地帯」（DMZ）として使用するためのインターフェイスを構成します。完了したら [保存（Save）] をクリックします。

ステップ 3

新しいインターフェイスを構成する場合は、[オブジェクト（Objects）] を選択し、目次から[セキュリティゾーン（Security Zones）] を選択します。

編集または必要に応じて新しいゾーンを作成します。インターフェイスではなく、セキュリティ ゾーンに基づいてポリシーを構成するため、各インターフェイスはゾーンに属している必要があります。インターフェイスを構成する場合、ゾーンにインターフェイスを置くことはできません。このため、新しいインターフェイスを作成した後、または既存のインターフェイスの目的を変更した後には常にゾーン オブジェクトを編集する必要があります。

次の例では、DMZ インターフェイスのために新しい DMZ ゾーンを作成する方法を示します。

ステップ 4

内部クライアントが DHCP を使用してデバイスから IP アドレスを取得するようにする場合は、[デバイス（Device）] を選択し、次に [システム設定（System Settings）] > [DHCPサーバー（DHCP Server）] を選択します。[DHCPサーバー（DHCP Servers）] タブを選択します。

すでに内部インターフェイス用に構成されている DHCP サーバーがありますが、アドレス プールを編集したり、それを削除したりすることができます。他の内部インターフェイスを構成した場合は、それらのインターフェイス上に DHCP サーバーをセットアップするのがごく一般的です。各内部インターフェイスのサーバーおよびアドレス プールを設定するには、[+] をクリックします。

クライアントに対して提供される WINS および DNS リストを [設定（Configuration）] タブで調整することもできます。

次の例では、アドレス プールの 192.168.4.50 ～ 192.168.4.240 で inside2 インターフェイス上の DHCP サーバーを設定する方法を示しています。

ステップ 5

[デバイス（Device）] を選択し、次に [設定の表示（View Configuration）]を [ルーティング（Routing）] グループでクリックし、デフォルトルートを設定します。

デフォルト ルートは通常、外部インターフェイス以外に存在するアップストリームまたは ISP ルータを指しています。デフォルトの IPv4 ルートは任意の ipv4（0.0.0.0/0）、デフォルトの IPv6 ルートは任意の ipv6（::0/0）です。使用する IP バージョンごとにルートを作成します。外部インターフェイスのアドレスの取得に DHCP を使用する場合、必要なデフォルト ルートをすでに持っていることがあります。

このページで定義したルートは、データ インターフェイス用のみです。管理インターフェイスには影響しません。管理ゲートウェイは [システム設定（System Settings）] > [管理インターフェイス（Management Interface）] で設定します。

次の例に、IPv4 のデフォルト ルートを示します。この例では、isp ゲートウェイは ISP ゲートウェイの IP アドレスを識別するネットワーク オブジェクトです（アドレスは ISP から取得する必要があります）。[ゲートウェイ（Gateway）] の下部の [新しいネットワークを作成する（Create New Network）] ドロップダウン リストをクリックしてこのオブジェクトを作成することができます。

ステップ 6

[ポリシー（Policies）] を選択してネットワークのセキュリティ ポリシーを構成します。

デバイス セットアップ ウィザードは、内部ゾーンと外部ゾーンの間のトラフィック フローを有効にします。また、外部インターフェイスを使用する場合に、全インターフェイスに対するインターフェイス NAT も有効にします。新しいインターフェイスを構成した場合でも、内部ゾーン オブジェクトに追加する場合はそれらにアクセス制御ルールが自動的に適用されます。

ただし、複数の内部インターフェイスがある場合は、内部ゾーンから内部ゾーンへのトラフィックフローを許可するアクセス制御ルールが必要です。他のセキュリティ ゾーンを追加する場合は、それらのゾーンとのトラフィックを許可するルールが必要です。これらは最低限の変更になります。

さらに、組織が必要とする結果を得るために、その他のポリシーを設定して、追加サービスの提供や、NAT およびアクセス ルールを微調整できます。次のポリシーを設定できます。

• [SSL復号（SSL Decryption）]：侵入、マルウェアなどについて暗号化された接続（HTTPS など）を検査する場合は、接続を復号化する必要があります。どの接続を復号する必要があるかを判断するには SSL 復号ポリシーを使用します。システムは、検査後に接続を再暗号化します。

• [アイデンティティ（Identity）]：個々のユーザーにネットワーク アクティビティを関連付ける、またはユーザーまたはユーザー グループのメンバーシップに基づいてネットワーク アクセスを制御する場合は、特定のソース IP アドレスに関連付けられているユーザーを判定するためにアイデンティティ ポリシーを使用します。

• [セキュリティ インテリジェンス（Security Intelligence）]：セキュリティ インテリジェンス ポリシーを使用して、選択されている IP アドレスまたは URL との接続をすぐにドロップします。既知の不正なサイトをブロックすれば、アクセス制御ポリシーでそれらを考慮する必要がなくなります。シスコでは、セキュリティ インテリジェンスのブラックリストが動的に更新されるように、既知の不正なアドレスや URL の定期更新フィードを提供しています。フィードを使用すると、ブラックリストの項目を追加または削除するためにポリシーを編集する必要がありません。

• [NAT]（ネットワーク アドレス変換）：内部 IP アドレスを外部のルーティング可能なアドレスに変換するために NAT ポリシーを使用します。

• [アクセス制御（Access Control）]：ネットワーク上で許可する接続の決定にアクセス コントロール ポリシーを使用します。セキュリティ ゾーン、IP アドレス、プロトコル、ポート、アプリケーション、URL、ユーザーまたはユーザー グループによってフィルタ処理できます。また、アクセス制御ルールを使用して侵入やファイル（マルウェア）ポリシーを適用します。このポリシーを使用して URL フィルタリングを実装します。

• [侵入（Intrusion）]：侵入ポリシーを使用して、既知の脅威を検査します。アクセス制御ルールを使用して侵入ポリシーを適用しますが、侵入ポリシーを編集して特定の侵入ルールを選択的に有効または無効にできます。

次の例では、アクセス制御ポリシーで内部ゾーンと DMZ ゾーンの間のトラフィックを許可する方法を示します。この例では、[接続の最後で（At End of Connection）] が選択されている場合、[ロギング（Logging）] を除いて他のいずれのタブでもオプションは設定されません。

ステップ 7

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機するか、[OK] をクリックして、後でタスク リストまたは展開履歴を確認します。

ステップ 1

ユーザの動作を調べるには、接続に関連付けられているユーザを識別するアイデンティティ ポリシーの設定が必要です。

1. メイン メニューで、[ポリシー（Policies）] をクリックして、[アイデンティティ（Identity）] をクリックします。

   アイデンティティ ポリシーは、最初は無効化されています。アクティブ認証を使用している場合、アイデンティティ ポリシーは Active Directory サーバを使用してユーザを認証し、ユーザが使用しているワークステーションの IP アドレスをユーザに関連付けます。その後、システムはその IP アドレスのトラフィックをユーザのトラフィックとして識別します。

2. [アイデンティティポリシーの有効化（Enable Identity Policy）] をクリックします。

3. [アイデンティティルールの作成（Create Identity Rule）] ボタンまたは [+] ボタンをクリックして、アクティブ認証を義務付けるルールを作成します。

   この例では、すべての人に認証を義務付けていると仮定しています。

4. ルールの [名前（Name）] を入力します。Require_Authentication など、任意の名前を選択できます。

5. [送信元または宛先（Source/Destination）] タブをデフォルトのままにします。これは、[任意（Any）] 基準に適用されます。

   より制限されているトラフィックに合わせて、ポリシーに制約を加えることができます。ただし、アクティブ認証は HTTP トラフィックに対してのみ試行されるため、非 HTTP トラフィックが送信元/宛先条件に一致していることは重要ではありません。アイデンティティ ポリシーのプロパティの詳細については、を参照してください。 アイデンティティ ルールの設定

6. [アクション（Action）] で [アクティブ認証（Active Auth）] を選択します。

   いくつか未定義の設定があるため、アイデンティティ ポリシーの設定が行われていないと仮定して、[アイデンティティポリシー設定（Identity Policy Configuration）] ダイアログボックスが開きます。

7. アクティブ認証に必要な [キャプティブ ポータル（Captive Portal）] の設定と [SSL復号（SSL Decryption）] の設定を行います。

   アイデンティティルールによりユーザーのアクティブ認証が要求されると、そのユーザーはキャプティブポータルポートにリダイレクトされ、認証を求められます。キャプティブ ポータルには SSL 復号化ルールが必要です。このルールは、システムによって自動的に生成されますが、SSL 復号化ルールに使用する証明書は選択する必要があります。

   • [サーバ証明書（Server Certificate）]：アクティブ認証時にユーザに提示する内部証明書を選択します。事前定義された自己署名の DefaultInternalCertificate を選択するか、[新規内部証明書の作成（Create New Internal Certificate）] をクリックして、ブラウザが信頼している証明書をアップロードできます。

     ブラウザが信頼している証明書をアップロードしない場合、ユーザは証明書を許可する必要があります。

   • [ホスト名にリダイレクト（Redirect to Host Name）]：アクティブな認証要求のキャプティブポータルとして使用するインターフェイスの完全修飾ホスト名を定義するネットワークオブジェクトを選択します。オブジェクトが存在しない場合は、[新しいネットワークの作成（Create New Network）] をクリックします。

     FQDN は、デバイス上のいずれかのインターフェイスの IP アドレスに解決される必要があります。FQDN を使用すると、クライアントが認識するアクティブ認証用の証明書を割り当てることができます。これにより、IP アドレスにリダイレクトされたときにユーザに表示される信頼できない証明書の警告を回避できます。証明書では、FQDN、ワイルドカード FQDN、または複数の FQDN をサブジェクト代替名（SAN）に指定できます。

     アイデンティティルールによりユーザーのアクティブ認証が要求されているが、リダイレクト FQDN を指定していない場合、ユーザーは、接続されているインターフェイス上のキャプティブポータルポートにリダイレクトされます。

   • [ポート（Port）]：キャプティブ ポータル ポート。デフォルトは、885（TCP）です。別のポートを設定する場合は、1025 ～ 65535 の範囲にする必要があります。

   • [再署名証明書の復号（Decrypt Re-Sign Certificate）]：再署名証明書での復号を実装するルールに使用する内部 CA 証明書を選択します。事前定義済みの NGFW-Default-InternalCA 証明書（デフォルト）か、作成またはアップロードした証明書を使用できます。証明書がまだ存在しない場合は、[Create Internal CA] をクリックして作成します。SSL 復号化ポリシーをまだ有効にしていない場合にのみ、復号化再署名証明書の入力が求められます。

     クライアントのブラウザに証明書をまだインストールしていない場合は、ダウンロード ボタン（）をクリックしてコピーを入手します。証明書をインストールする方法については、各ブラウザのマニュアルを参照してください。再署名の復号ルールの CA 証明書のダウンロードも参照してください。

   例:

   [アイデンティティポリシーの設定（Identity Policy Configuration）] ダイアログは、次のようになります。

   
   

   

   
   

8. [保存（Save）] をクリックしてアクティブ認証の設定を保存します。

   [アクティブ認証（Active Authentication）] タブが [アクション（Action）] 設定の下に表示されます。

9. [アクティブ認証（Active Authentication）] タブで、[HTTPネゴシエート（HTTP Negotiate）] を選択します。

   これにより、ブラウザおよびディレクトリ サーバは最も強力な認証プロトコルを、NTLM、HTTP ベーシックの順にネゴシエートできます。

   （注）

   [ホスト名にリダイレクト（Redirect to Host Name）] FQDN を指定しない場合、HTTP 基本、HTTP 応答ページ、および NTLM 認証方式では、インターフェイスの IP アドレスを使用してユーザーがキャプティブポータルにリダイレクトされます。ただし、HTTP ネゴシエートでは、ユーザは完全修飾 DNS 名 firewall-hostname.AD-domain-name を使用してリダイレクトされます。[ホスト名にリダイレクト（Redirect to Host Name）] FQDN を指定せずに HTTP ネゴシエートを使用する場合は、アクティブ認証が必要なすべての内部インターフェイスの IP アドレスにこの名前をマッピングするように DNS サーバーを更新する必要もあります。そうしないと、リダイレクトは実行できず、ユーザを認証できません。認証方式に関係なく一貫した動作を確保するために、[ホスト名にリダイレクト（Redirect to Host Name）] FQDN を常に指定することを推奨します。 DNS サーバを更新できない、または更新を望まない場合は、その他の認証方式のいずれかを選択します。

10. [ADアイデンティティソース（AD Identity Source）] で [新しいアイデンティティレルムの作成（Create New Identity Realm）] をクリックします。

    レルム サーバ オブジェクトをすでに作成している場合は、それを選択して、サーバの設定手順をスキップします。

    次のフィールドに入力して、[OK] をクリックします。

    • [名前（Name）]：ディレクトリ レルムの名前。

    • [タイプ（Type）]：ディレクトリ サーバのタイプ。サポートされるタイプは Active Directory のみで、このフィールドを変更することはできません。

    • [ディレクトリユーザ名（Directory Username）]、[ディレクトリパスワード（Directory Password）]：取得するユーザ情報に対して適切な権限を持つユーザの識別用ユーザ名とパスワード。Active Directory では、昇格されたユーザ特権は必要ありません。ドメイン内の任意のユーザを指定できます。ユーザ名は Administrator@example.com などの完全修飾名である必要があります（Administrator だけでなく）。

      （注）	この情報から ldap-login-dn と ldap-login-password が生成されます。たとえば、Administrator@example.com は cn=adminisntrator,cn=users,dc=example,dc=com に変換されます。cn=users は常にこの変換の一部であるため、ここで指定するユーザは、共通名の「users」フォルダの下で設定する必要があります。

    • [ベースDN（Base DN）]：ユーザおよびグループ情報、つまり、ユーザとグループの共通の親を検索またはクエリするためのディレクトリ ツリー。（dc=example,dc=com など）。ベース DN の検索の詳細については、ディレクトリ ベースの DN の決定を参照してください。

    • [ADプライマリドメイン（AD Primary Domain）]：デバイスが参加する必要がある完全修飾 Active Directory ドメイン名。例、example.com。

    • [ホスト名またはIPアドレス（Hostname/IP Address）]：ディレクトリ サーバのホスト名または IP アドレス。サーバに対して暗号化された接続を使用する場合、IP アドレスではなく、完全修飾ドメイン名を入力する必要があります。

    • [ポート（Port）]：サーバとの通信に使用するポート番号。デフォルトは 389 です。暗号化方式として LDAPS を選択する場合は、ポート 636 を使用します。

    • [暗号化（Encryption）]：ユーザおよびグループの情報のダウンロードに暗号化された接続を使用するには、希望の方法（[STARTTLS] または [LDAPS]）を選択します。 デフォルトでは [なし（None）] になっており、ユーザおよびグループの情報がクリア テキストでダウンロードされます。

      • [STARTTLS] では、暗号化方式をネゴシエートし、ディレクトリ サーバでサポートされる最も強力な方式を使用します。ポート 389 を使用します。このオプションは、リモート アクセス VPN にレルムを使用する場合はサポートされません。

      • [LDAPS] では、LDAP over SSL が必要です。ポート 636 を使用します。

    • [信頼できるCA証明書（Trusted CA Certificate）]：暗号化方式を選択する場合、認証局（CA）の証明書をアップロードして、システムとディレクトリ サーバ間の信頼できる接続を有効にします。認証に証明書を使用する場合、証明書のサーバ名は、サーバの [ホスト名/IPアドレス（Hostname/IP Address）] と一致する必要があります。たとえば、IP アドレスとして 10.10.10.250 を使用しているのに、証明書で ad.example.com を使用すると接続が失敗します。

    例:

    たとえば、次のイメージには、ad.example.com サーバの暗号化されていない接続の作成方法が示されています。プライマリ ドメインは example.com で、ディレクトリ ユーザ名は Administrator@ad.example.com です。すべてのユーザおよびグループの情報は、識別名（DN）ou=user,dc=example,dc=com の下にあります。

    
    

    

    
    

11. [ADアイデンティティソース（AD Identity Source）] で、作成したオブジェクトを選択します。

    ルールは次のようになります。

    
    

    

    
    

12. [OK] をクリックしてルールを追加します。

    ウィンドウの右上を見ると、[展開（Deploy）] アイコン ボタンにドットが表示されていることがあります。これは、展開されていない変更があることを示します。ユーザ インターフェイスを変更するだけでは、デバイスに変更を設定するには不十分です。変更を展開する必要があります。部分的に設定された変更がデバイスで実行される潜在的な問題を避けるために、一連の関連する変更を加えてから変更を展開できます。この手順で、後から変更を展開します。

    
    

    

    
    

ステップ 2

Inside_Outside_Rule アクセス コントロール ルールのアクションを [許可（Allow）] に変更します。

1. [ポリシー（Policies）] ページの [アクセスコントロール（Access Control）] をクリックします。

2. Inside_Outside_Rule 行の右側にある [アクション（Actions）] セルにマウスを合わせると、[編集（edit）] アイコンと [削除（delete）] アイコンが表示されます。ルールを開くには、[編集（edit）] アイコン（）をクリックします。

3. [アクション（Action）] の [許可（Allow）] を選択します。

   
   

   

   
   

4. [OK] をクリックして変更を保存します。

ステップ 3

アクセス コントロール ポリシーのデフォルト アクションでロギングを有効化します。

1. アクセス コントロール ポリシー ページの下部のデフォルト アクションで、任意の場所をクリックします。

   
   

   

   
   

2. [ログアクションの選択（Select Log Action）] > [接続の開始時と終了時（At Beginning and End of Connection）] を選択します。

3. [OK] をクリックします。

ステップ 4

脆弱性データベース（VDB）の更新スケジュールを設定します。

1. [the name of the device in the menu] をクリックします。[デバイス（Device）]

2. [更新（Updates）] グループで [設定の表示（View Configuration）] をクリックします。

   
   

   

   
   

3. [VDB] グループで [設定（Configure）] をクリックします。

   
   

   

   
   

4. 更新スケジュールを定義します。

   ネットワークを妨害しない時間および頻度を選択します。また、更新をダウンロードすると、システムが自動的に展開することも理解しておいてください。これは、新しいディテクタを有効化するために必要です。そのため、実行して保存したが、展開していない設定変更も展開されます。

   たとえば、次のスケジュールでは、VDB が週に 1 回、日曜日の午前 0:00（24 時間方式を使用）に更新されます。

   
   

   

   
   

5. [保存（Save）] をクリックします。

ステップ 5

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機するか、[OK] をクリックして、後でタスク リストまたは展開履歴を確認します。

ステップ 1

まだ有効化していない場合は、IPS ライセンスを有効化します。

1. [the name of the device in the menu] をクリックします。[デバイス（Device）]

2. [スマートライセンス（Smart License）] グループの [設定の表示（View Configuration）] をクリックします。

   
   

   

   
   

3. IPS グループで [有効化（Enable）] をクリックします。

   必要に応じて、システムはライセンスをアカウントに登録したり、評価ライセンスを有効化したりします。グループのライセンスが有効なことが示され、ボタンは [無効化（Disable）] ボタンに変わります。

ステップ 2

1 つまたは複数のアクセス ルールの侵入ポリシーを選択します。

1. メイン メニューで [ポリシー（Policies）] をクリックします。

   [アクセスコントロール（Access Control）] ポリシーが表示されることを確認します。

2. Inside_Outside_Rule 行の右側にある [アクション（Actions）] セルにマウスを合わせると、[編集（edit）] アイコンと [削除（delete）] アイコンが表示されます。ルールを開くには、[編集（edit）] アイコン（）をクリックします。

3. まだ選択していない場合は、[アクション（Action）] の [許可（Allow）] を選択します。

   
   

   

   
   

4. [侵入ポリシー（Intrusion Policy）] タブをクリックします。

5. [侵入ポリシー（Intrusion Policy）] トグルをクリックしてから、侵入ポリシーを選択します。

   [バランスのとれたセキュリティと接続性（Balanced Security and Connectivity）] ポリシーは、ほとんどのネットワークに適しています。ドロップしたくないトラフィックをドロップする可能性がある、過度に強力な防御ではなく、侵入に対する適切な防御を実現します。ドロップされるトラフィックが多すぎると判断した場合は、[セキュリティより接続を優先する（Connectivity over Security）] ポリシーを選択することによって侵入インスペクションを緩和できます。

   セキュリティを強力にする必要がある場合は、[接続性よりもセキュリティを優先（Security over Connectivity）] ポリシーを試します。[最大検出（Maximum Detection）] ポリシーでは、ネットワーク インフラストラクチャのセキュリティがよりいっそう重視され、動作にさらに大きな影響を及ぼす可能性があります。

   
   

   

   
   

6. [OK] をクリックして変更を保存します。

ステップ 3

（任意）[ポリシー（Policies）] > [侵入（Intrusion）]に移動し、歯車アイコンをクリックして、侵入ポリシーの syslog サーバを設定します。

ステップ 4

侵入ルール データベースの更新スケジュールを設定します。

1. [the name of the device in the menu] をクリックします。[デバイス（Device）]

2. [更新（Updates）] グループで [設定の表示（View Configuration）] をクリックします。

   
   

   

   
   

3. [ルール（Rule）] グループで [設定（Configure）] をクリックします。

   
   

   

   
   

4. 更新スケジュールを定義します。

   ネットワークを妨害しない時間および頻度を選択します。また、更新をダウンロードすると、システムが自動的に展開することも理解しておいてください。これは、新しいルールを有効化するために必要です。そのため、実行して保存したが、展開していない設定変更も展開されます。

   たとえば、次のスケジュールでは、ルール データベースが週に 1 回、月曜日の午前 0:00（24 時間方式を使用）に更新されます。

   
   

   

   
   

5. [Save] をクリックします。

ステップ 5

既知の不正ホストやサイトとの接続を先制的にドロップするためのセキュリティ インテリジェンス ポリシーを設定します。

1. [デバイス（Device）] をクリックし、[更新（Updates）] グループで [設定の表示（View Configuration）] をクリックします。

2. [セキュリティインテリジェンスフィード（Security Intelligence Feeds）] グループで [今すぐ更新（Update Now）] をクリックします。

3. または、[設定（Configure）] をクリックして、フィードの定期更新を設定します。デフォルトの [毎時（Hourly）] はほとんどのネットワークに適していますが、必要に応じて頻度を減らすことができます。

4. [ポリシー（Policies）] をクリックして、[セキュリティインテリジェンス（Security Intelligence）] ポリシーをクリックします。

5. ポリシーをまだ有効化していない場合は、[セキュリティインテリジェンスの有効化（Enable Security Intelligence）] をクリックします。

6. [ネットワーク（Network）] タブで、ブラック/ドロップリストの [+] をクリックして、[ネットワークフィード（Network Feeds）] タブにあるすべてのフィードを選択します。フィードの横にある [i] ボタンをクリックして、各フィードの説明を確認できます。

   フィードが存在しないというメッセージが表示される場合は、後でもう一度試してください。フィードのダウンロードはまだ完了していません。この問題が解決しない場合は、管理 IP アドレスとインターネット間にパスがあることを確認してください。

7. [OK] をクリックして、選択したフィードを追加します。

   他にも不正 IP アドレスがある場合は、[+] > [ネットワークオブジェクト（Network Objects）] をクリックして、それらのアドレスを含むオブジェクトを追加できます。リストの下部にある [新規ネットワークオブジェクトの作成（Create New Network Object）] をクリックして、すぐに追加することもできます。

8. [URL] タブをクリックし、ブラック/ドロップリストの [+] > [URLフィード（URL Feeds）] をクリックして、すべての URL フィードを選択します。[OK] をクリックして、リストに追加します。

   ネットワークリストと同様に、独自の URL オブジェクトをリストに追加して、フィードに含まれていないその他のサイトをブロックできます。[+] > [URLオブジェクト（URL Objects）] をクリックします。リストの最後にある [新規URLオブジェクトの作成（Create New URL Object）] をクリックして、新しいオブジェクトを追加できます。

9. [歯車（gear）] アイコンをクリックし、[接続イベントロギング（Connection Events Logging）] を有効にして、一致した接続のセキュリティ インテリジェンス イベントをポリシーが生成できるようにします。[OK] をクリックして変更を保存します。

   接続ロギングを有効にしない場合、ポリシーが予想どおりに機能しているかどうかの評価に使用するためのデータを得られません。外部 syslog サーバを定義している場合は、ここで選択することで、そのサーバにもイベントを送信できます。

   
   

   

   
   

10. 必要に応じて、各タブの [ブロックしない（Do Not Block）] リストにネットワークオブジェクトまたは URL オブジェクトを追加して、ブロックリストに対する例外を作成できます。

    [ブロックしない（Do Not Block）] リストは、ホワイトリストではなく、例外リストです。例外リストにあるアドレスや URL がブロックリストにも表示されている場合、そのアドレスや URL の接続はアクセス コントロール ポリシーの通過を許可されます。フィードはこのようにしてブロックできますが、後で必要なアドレスやサイトがブロックされていることに気付いた場合は、例外リストを使用して、フィードを完全に削除することなく、そのブロックをオーバーライドできます。その後、それらの接続はアクセス制御、および侵入ポリシー（設定されている場合）によって評価される点に注意してください。したがって、接続に脅威が含まれている場合は、侵入検査中に特定されてブロックされます。

    [アクセスおよびSIルール（Access and SI Rules）] ダッシュボード、およびイベント ビューアのセキュリティ インテリジェンス ビューを使用して、ポリシーによって実際にドロップされているトラフィックを特定し、[ブロックしない（Do Not Block）] リストにアドレスや URL を追加する必要があるかどうかを決めます。

ステップ 6

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機するか、[OK] をクリックして、後でタスク リストまたは展開履歴を確認します。

ステップ 1

まだ有効化していない場合は、マルウェア防御 および IPS ライセンスを有効化します。

1. [the name of the device in the menu] をクリックします。[デバイス（Device）]

2. [スマートライセンス（Smart License）] グループの [設定の表示（View Configuration）] をクリックします。

   
   

   

   
   

3. マルウェア防御 グループで [有効化（Enable）] をクリックし、IPS グループでも [有効化（Enable）] をクリックします（まだ有効化されていない場合）。

   必要に応じて、システムはライセンスをアカウントに登録したり、評価ライセンスを有効化したりします。グループのライセンスが有効なことが示され、ボタンは [無効化（Disable）] ボタンに変わります。

ステップ 2

1 つまたは複数のアクセス ルールのファイル ポリシーを選択します。

1. メイン メニューで [ポリシー（Policies）] をクリックします。

   [アクセスコントロール（Access Control）] ポリシーが表示されることを確認します。

2. Inside_Outside_Rule 行の右側にある [アクション（Actions）] セルにマウスを合わせると、[編集（edit）] アイコンと [削除（delete）] アイコンが表示されます。ルールを開くには、[編集（edit）] アイコン（）をクリックします。

3. まだ選択していない場合は、[アクション（Action）] の [許可（Allow）] を選択します。

   
   

   

   
   

4. [ファイルポリシー（File Policy）] タブをクリックします。

5. 使用するファイル ポリシーをクリックします。

   主な選択は、マルウェアと見なされるすべてのファイルをドロップする [マルウェアをすべてブロック（Block Malware All）]、または Secure Malware Analytics Cloud にクエリしてファイルの性質を判断するがブロックはしない [クラウドをすべてルックアップ（Cloud Lookup All）] です。ファイルがどのように評価されるかを確認する場合は、クラウド ルックアップを使用します。ファイルが評価される方法に納得したら、後でブロッキング ポリシーに切り替えることができます。

   他にも、マルウェアをブロックするために使用できるポリシーがあります。これらのポリシーは、ファイル制御や Microsoft Office、または Office および PDF ドキュメントのアップロードのブロックと関連しています。つまり、これらのポリシーを使用すると、マルウェアがブロックされるだけでなく、ユーザはこれらのファイル タイプを他のネットワークに送信できなくなります。ニーズに合う場合は、これらのポリシーを選択できます。

   この例では、[マルウェアをすべてブロック（Block Malware All）] を選択します。

   

   
   

   

   
   

6. [ロギング（Logging）] タブをクリックして、[ファイルイベント（File Events）] の下にある [ファイルのロギング（Log Files）] が選択されていることを確認します。

   デフォルトでは、ファイル ポリシーを選択するとファイル ロギングは有効化されます。イベントおよびダッシュボードにファイルおよびマルウェア情報を表示するには、ファイル ロギングを有効化が必要です。

   
   

   

   
   

7. [OK] をクリックして変更を保存します。

ステップ 3

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機するか、[OK] をクリックして、後でタスク リストまたは展開履歴を確認します。

ステップ 1

まだ有効化していない場合は、[URL] ライセンスを有効化します。

1. [the name of the device in the menu] をクリックします。[デバイス（Device）]

2. [スマートライセンス（Smart License）] グループの [設定の表示（View Configuration）] をクリックします。

   
   

   

   
   

3. [URL] グループの [有効化（Enable）] をクリックします。

   必要に応じて、システムはライセンスをアカウントに登録したり、評価ライセンスを有効化したりします。グループのライセンスが有効なことが示され、ボタンは [無効化（Disable）] ボタンに変わります。

ステップ 2

URL フィルタリングのアクセス コントロール ルールを作成します。

1. メイン メニューで [ポリシー（Policies）] をクリックします。

   [アクセスコントロール（Access Control）] ポリシーが表示されることを確認します。

2. [+] をクリックして新しいルールを追加します。

3. 順序、タイトル、およびアクションを設定します。

   • [順序（Order）]：デフォルトで、新しいルールはアクセス コントロール ポリシーの最後に追加されます。ただし、同じ送信元/宛先および他の条件を照合するルールの前（上位）にこのルールを配置する必要があります。そうしなければ、ルールは照合されません（接続で照合されるルールは、テーブル内で最初に照合されるルールの 1 つのみです）。このルールでは、デバイスの初期設定時に作成した Inside_Outside_Rule と同じ送信元/宛先を使用します。他のルールも同様に作成できます。アクセス コントロールの効率を最大化するには、早い段階で特定のルールを設定し、接続が許可されるか拒否されるかを迅速に決定できるようにすることが最善の方法です。この例では、ルールの順序として [1] を選択します。

   • [タイトル（Title）]：ルールに Block_Web_Sites などの意味のある名前を付けます。

   • [アクション（Action）]：[ブロック（Block）] を選択します。

   
   

   

   
   

4. [送信元/接続先（Source/Destination）] タブで、[送信元（Source）] > [ゾーン（Zones）] の [+] をクリックし、[inside_zone] を選択してから、ゾーンのダイアログボックスで [OK] をクリックします。

   条件の追加も同じ方法です。[+] をクリックすると小さいダイアログ ボックスが開くため、追加する項目をクリックします。複数の項目をクリックできます。選択した項目をクリックすると選択が解除されます。チェック マークは、選択済みの項目を示します。ただし、[OK（OK）] ボタンをクリックするまでポリシーには何も追加されません。項目を選択するだけでは不十分です。

   
   

   

   
   

5. 同じ技術を使用して、[接続先（Destination）] > [ゾーン（Zones）] で [outside_zone] を選択します。

   
   

   

   
   

6. [URLs] タブをクリックします。

7. [カテゴリ（Categories）] の [+] をクリックして、完全または部分的にブロックするカテゴリを選択します。

   この例では、ボットネット、悪意のあるサイト、マルウェアサイト、およびソーシャルネットワーキングを選択します。ブロックすることが必要な可能性が高い追加カテゴリがあります。ブロックしたいサイトがわかっていても、そのカテゴリがわからない場合は、[URL to Check] フィールドに URL を入力し、[Go] をクリックします。ルックアップ結果を示す Web サイトが表示されます。

   
   

   

   
   

8. レピュテーションに影響されるブロッキングを [Social Networking] カテゴリに実装するには、そのカテゴリの [Reputation: Risk Any] をクリックして、[Any] の選択を解除してからスライダを [Questionable] に移動します。閉じるには、スライダをクリックします。

   
   

   

   
   

   レピュテーション スライダの左側は許可されるサイトを示し、右側はブロックされるサイトを示します。この場合、レピュテーションが [Questionable] と [Untrusted] の範囲内にあるソーシャル ネットワーキング サイトのみがブロックされます。したがって、ユーザは、リスクの少ない、一般的に使用されるソーシャル ネットワーキング サイトにはアクセスできます。

   レピュテーションが不明な URL をレピュテーション一致に含めるには、[レピュテーションが不明なサイトを含める（Include Sites with Unknown Reputation）] オプションを選択します。通常、新しいサイトは評価されていません。また、その他の理由でサイトのレピュテーションが不明である（または判断できない）場合もあります。

   レピュテーションを使用すると、別の方法で許可したカテゴリ内のサイトを選択的にブロックできます。

9. カテゴリ リストの左側にある [URLS] リストの横の [+] をクリックします。

10. ポップアップ ダイアログ ボックスの下部で、[新規URLの作成（Create New URL）] リンクをクリックします。

11. 名前と URLの両方に「badsite.example.com」と入力して、[追加（Add）]、[OK] の順にクリックしてオブジェクトを作成します。

    オブジェクトに URL と同じ名前を付けるか、またはオブジェクトに別の名前を付けることができます。URL には、URL のプロトコル部分を含めず、サーバ名のみを追加します。

    
    

    

    
    

12. 新規オブジェクトを選択して、[OK] をクリックします。

    ポリシーの編集時に新規オブジェクトを追加するだけで、リストにオブジェクトが追加されます。新規オブジェクトは、自動的に選択されません。

    
    

    

    
    

13. [ロギング（Logging）] タブをクリックして、[ログアクションの選択（Select Log Action）] > [接続の開始時と終了時（At Beginning and End of Connection）] を選択します。

    Web カテゴリ ダッシュボードおよび接続イベントにカテゴリおよびレピュテーションの情報を表示するには、ロギングを有効化する必要があります。

14. [OK] をクリックしてルールを保存します。

ステップ 3

（オプション）URL フィルタリングを設定します。

1. [the name of the device in the menu] をクリックします。[デバイス（Device）]

2. [システム設定（System Settings）] > [トラフィック設定（Traffic Settings）] > [URLフィルタリングの設定（URL Filtering Preferences）] をクリックします。

3. [URLクエリソース（URL Query Source）] で、推奨オプションの [ローカルデータベースとCisco Cloud（Local Database and Cisco Cloud）] を選択します。

   インストールされている URL データベースにサイトのカテゴリがない場合、Cisco Cloud にカテゴリが含まれている可能性があります。クラウドからカテゴリとレピュテーションが返されると、カテゴリベースのルールを URL 要求に正しく適用できます。メモリ制限によりインストールされる URL データベースが小さいローエンドのシステムでは、このオプションを選択することが重要です。

   あるいは、ルックアップをローカルデータベースまたは Cisco Cloud に制限できます。

4. 妥当な [URL存続可能時間（URL Time to Live）]（24 時間など）を選択します。

5. [Save] をクリックします。

ステップ 4

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機するか、[OK] をクリックして、後でタスク リストまたは展開履歴を確認します。

ステップ 1

アプリケーションベースのアクセス コントロール ルールを作成します。

1. メイン メニューで [ポリシー（Policies）] をクリックします。

   [アクセスコントロール（Access Control）] ポリシーが表示されることを確認します。

2. [+] をクリックして新しいルールを追加します。

3. 順序、タイトル、およびアクションを設定します。

   • [順序（Order）]：デフォルトで、新しいルールはアクセス コントロール ポリシーの最後に追加されます。ただし、同じ送信元/宛先および他の条件を照合するルールの前（上位）にこのルールを配置する必要があります。そうしなければ、ルールは照合されません（接続で照合されるルールは、テーブル内で最初に照合されるルールの 1 つのみです）。このルールでは、デバイスの初期設定時に作成した Inside_Outside_Rule と同じ送信元/宛先を使用します。他のルールも同様に作成できます。アクセス コントロールの効率を最大化するには、早い段階で特定のルールを設定し、接続が許可されるか拒否されるかを迅速に決定できるようにすることが最善の方法です。この例では、ルールの順序として [1] を選択します。

   • [タイトル（Title）]：ルールに Block_Anonymizers などの意味のある名前を付けます。

   • [アクション（Action）]：[ブロック（Block）] を選択します。

   
   

   

   
   

4. [送信元/接続先（Source/Destination）] タブで、[送信元（Source）] > [ゾーン（Zones）] の [+] をクリックし、[inside_zone] を選択してから、ゾーンのダイアログボックスで [OK] をクリックします。

   
   

   

   
   

5. 同じ技術を使用して、[接続先（Destination）] > [ゾーン（Zones）] で [outside_zone] を選択します。

   
   

   

   
   

6. [アプリケーション（Applications）] タブをクリックします。

7. [アプリケーション（Applications）] の [+] をクリックして、ポップアップ ダイアログ ボックスの下部にある [高度なフィルタ（Advanced Filter）] リンクをクリックします。

   事前にアプリケーション フィルタ オブジェクトを作成して、ここの [アプリケーションフィルタ（Application Filters）] リストで選択できますが、アクセス コントロール ルールで条件を直接指定して、オプションで条件をフィルタ オブジェクトとして保存することもできます。単一のアプリケーションにルールを記述していない場合は、[高度なフィルタ（Advanced Filter）] ダイアログ ボックスを使用して、より簡単にアプリケーションを検索して適切な条件を生成できます。

   条件を選択すると、ダイアログ ボックスの下部にある [アプリケーション（Applications）] リストが更新され、条件に一致するアプリケーションが表示されます。記述したルールは、これらのアプリケーションに適用されます。

   このリストをよく見てください。たとえば、リスクが非常に高いすべてのアプリケーションをブロックしようとする場合があります。ただし、本書を作成している時点で、TFPT は非常に高リスクに分類されています。ほとんどの組織は、このアプリケーションをブロックすることを希望しません。さまざまなフィルタ条件を試して、選択に一致するアプリケーションを確認するには時間がかかります。これらのリストは VDB の更新で変更できることを覚えておいてください。

   この例では、[カテゴリ（Categories）] リストからアノニマイザー/プロキシを選択します。

   
   

   

   
   

8. [高度なフィルタ（ Advanced Filters）] ダイアログ ボックスで、[追加（Add）] をクリックします。

   フィルタが追加され、[アプリケーション（Applications）] タブに表示されます。

   
   

   

   
   

9. [ロギング（Logging）] タブをクリックして、[ログアクションの選択（Select Log Action）] > [接続の開始時と終了時（At Beginning and End of Connection）] を選択します。

   このルールによってブロックされる接続の情報を取得するには、ロギングを有効化する必要があります。

10. [OK] をクリックしてルールを保存します。

ステップ 2

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機するか、[OK] をクリックして、後でタスク リストまたは展開履歴を確認します。

ステップ 3

[モニタリング（Monitoring）] をクリックして、結果を評価します。

ステップ 1

インターフェイスを設定します。

1. [デバイス（Device）] をクリックし、[インターフェイス（Interfaces）] サマリーにあるリンクをクリックし、次にインターフェイス タイプをクリックして、インターフェイスのリストを表示します。

2. 接続しているインターフェイスの行の右側にある [アクション（Actions）] セルにマウスを合わせて、[編集（edit）] アイコン（）をクリックします。

3. 基本的なインターフェイスのプロパティを設定します。

   • [名前（Name）]：インターフェイスに固有の名前 （[Inside_2] など）。

   • [モード（Mode）]：[ルーテッド（Routed）] を選択します。

   • [ステータス（Status）]：ステータス トグルをクリックして、インターフェイスを有効化します。

   • [IPv4アドレス（IPv4 Address）] タブ：[タイプ（Type）] に [スタティック（Static）] を選択して、[192.168.2.1/24] を入力します。

   
   

   

   
   

4. [保存（Save）] をクリックします。

   インターフェイス リストに、更新されたインターフェイス ステータスと設定された IP アドレスが表示されます。

   
   

   

   
   

ステップ 2

インターフェイスの DHCP サーバを設定します。

1. [the name of the device in the menu] をクリックします。[デバイス（Device）]

2. [システム設定（System Settings）] > [DHCPサーバ（DHCP Server）] をクリックします。

3. [DHCPサーバ（DHCP Servers）] タブをクリックします。

   表に、既存の DHCP サーバが表示されます。デフォルト設定を使用している場合、リストには内部インターフェイスのいずれかが含まれます。

4. 表の上部の [+] をクリックします。

5. サーバのプロパティを設定します。

   • [DHCPサーバの有効化（Enable DHCP Server）]：このトグルをクリックして、サーバを有効化します。

   • [インターフェイス（Interface）]：DHCP サービスを提供しているインターフェイスを選択します。この例では、inside_2 を選択します。

   • [アドレスプール（Address Pool）]：サーバがネットワーク上のデバイスに供給できるアドレス。192.168.2.2 ～ 192.168.2.254 を入力します。ネットワーク アドレス（.0）、インターフェイス アドレス（.1）、またはブロードキャスト アドレス（.255）が含まれないようにしてください。また、ネットワーク上のデバイスにスタティック アドレスが必要な場合は、プールからそれらのアドレスを除外します。プールは単一の連続したアドレスである必要があるため、範囲の最初または最後からスタティック アドレスを選択します。

   
   

   

   
   

6. [追加（Add）] をクリックします。

   
   

   

   
   

ステップ 3

内部セキュリティ ゾーンにインターフェイスを追加します。

1. メイン メニューで [オブジェクト（Objects）] をクリックします。

2. オブジェクトの目次から、[セキュリティゾーン（Security Zones）] を選択します。

3. [inside_zone] オブジェクトの行の右側にある [アクション（Actions）] セルにマウスを合わせて、[編集（edit）] アイコン（）をクリックします。

4. [インターフェイス（Interfaces）] の下にある [+] をクリックして、inside_2 インターフェイスを選択し、インターフェイス リストで [OK] をクリックします。

   
   

   

   
   

5. [保存（Save）] をクリックします。

   
   

   

   
   

ステップ 4

内部ネットワーク間のトラフィックを許可するアクセス コントロール ルールを作成します。

1. メイン メニューで [ポリシー（Policies）] をクリックします。

   [アクセスコントロール（Access Control）] ポリシーが表示されることを確認します。

2. [+] をクリックして新しいルールを追加します。

3. 順序、タイトル、およびアクションを設定します。

   • [順序（Order）]：デフォルトで、新しいルールはアクセス コントロール ポリシーの最後に追加されます。ただし、同じ送信元/宛先および他の条件を照合するルールの前（上位）にこのルールを配置する必要があります。そうしなければ、ルールは照合されません（接続で照合されるルールは、テーブル内で最初に照合されるルールの 1 つのみです）。このルールでは、一意の送信元/宛先条件を使用するため、リストの最後にルールを追加できます。

   • [タイトル（Title）]：ルールに Allow_Inside_Inside などの意味のある名前を付けます。

   • [アクション（Action）]：[許可（Allow）] を選択します。

   
   

   

   
   

4. [送信元/接続先（Source/Destination）] タブで、[送信元（Source）] > [ゾーン（Zones）] の [+] をクリックし、[inside_zone] を選択してから、ゾーンのダイアログボックスで [OK] をクリックします。

   
   

   

   
   

5. 同じ方法で、[宛先（Destination）] > [Zones（ゾーン）] の [inside_zone] を選択します。

   送信元および宛先に同じゾーンを選択するには、セキュリティ ゾーンに 2 つ以上のインターフェイスが含まれている必要があります。

   
   

   

   
   

6. （オプション）侵入およびマルウェアのインスペクションを設定します。

   内部インターフェイスは信頼できるゾーン内にありますが、一般的に、ユーザはラップトップをネットワークに接続します。そのため、ユーザは、外部ネットワークまたは Wi-Fi ホット スポットからネットワーク内に、知らないうちに脅威を持ち込んでいます。したがって、内部ネットワーク間を移動するトラフィックに侵入やマルウェアの形跡がないかスキャンが必要な場合があります。

   次の操作の実行を検討します。

   • [侵入ポリシー（Intrusion Policy）] タブをクリックして侵入ポリシーを有効化し、スライダを使用して [バランスのとれたセキュリティと接続性（Balanced Security and Connectivity）] ポリシーを選択します。

   • [ファイルポリシー（File Policy）] タブをクリックして、[すべてのマルウェアをブロックする（Block Malware All）] ポリシーを選択します。

7. [ロギング（Logging）] タブをクリックして、[ログアクションの選択（Select Log Action）] > [接続の開始時および終了時（At Beginning and End of Connection）] を選択します。

   このルールに一致する接続に関する情報を取得するには、ロギングを有効化する必要があります。ロギングによってダッシュボードにスタティックが追加され、イベント ビューアにイベントが表示されます。

8. [OK] をクリックしてルールを保存します。

ステップ 5

新規サブネットに必要なポリシーが定義されていることを確認します。

ステップ 6

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機するか、[OK] をクリックして、後でタスク リストまたは展開履歴を確認します。

ステップ 1

スイッチ ポートを SPAN（スイッチド ポート アナライザ）ポートとして設定し、送信元インターフェイスのモニタリング セッションを設定します。

switch(config)# interface Ethernet1/48 
switch(config-if)# switchport monitor 
switch(config-if)# exit 
switch(config)# monitor session 1 
switch(config-monitor)# source interface ethernet 1/7 
switch(config-monitor)# source interface ethernet 1/8 
switch(config-monitor)# destination interface ethernet 1/48 
switch(config-monitor)# no shut 

switch# show monitor session 1 brief 
   session 1
---------------
type              : local
state             : up
source intf       :
    rx            : Eth1/7        Eth1/8
    tx            : Eth1/7        Eth1/8
    both          : Eth1/7        Eth1/8
source VSANs      :
destination ports : Eth1/48

Legend: f = forwarding enabled, l = learning enabled

ステップ 2

脅威に対する防御 インターフェイスをスイッチの SPAN ポートに接続します。

ステップ 3

脅威に対する防御 インターフェイスをパッシブモードで設定します。

1. [デバイス（Device）] をクリックし、[インターフェイス（Interfaces）] サマリーにあるリンクをクリックし、[インターフェイス（Interfaces）] または [EtherChannel（EtherChannels）] をクリックします。

2. 編集する物理インターフェイスまたは EtherChannel の編集アイコン（）をクリックします。

   現在使用されていないインターフェイスを選択します。使用中のインターフェイスをパッシブ インターフェイスに変換する場合は、最初にセキュリティ ゾーンからインターフェイスを削除し、そのインターフェイスを使用する他のすべての設定を削除する必要があります。

3. [ステータス（Status）] スライダを [有効（enabled）] 設定（）に設定します。

4. 次を設定します。

   • [インターフェイス名（Interface Name）]：最大 48 文字のインターフェイスの名前。英字は小文字にする必要があります。たとえば、monitor などです。

   • [モード（Mode）]：[パッシブ（Passive）] を選択します。

   
   

   

   
   

5. [OK] をクリックします。

ステップ 4

インターフェイスのパッシブ セキュリティ ゾーンを作成します。

1. [オブジェクト（Objects）] を選択し、次に目次から [セキュリティ ゾーン（Security Zones）] を選択します。

2. [+] ボタンをクリックします。

3. オブジェクトの名前を入力し、任意で説明を入力します。例、passive_zone。

4. [モード（Mode）] で [パッシブ（Passive）] を選択します。

5. [+] をクリックして、パッシブ インターフェイスを選択します。

   
   

   

   
   

6. [OK] をクリックします。

ステップ 5

パッシブ セキュリティ ゾーン用の 1 つ以上のアクセス制御ルールを設定します。

1. [ポリシー（Policies）] > [アクセス コントロール（Access Control）] を選択します。

2. [+] をクリックして、すべてのトラフィックを許可するが、侵入ポリシーを適用するルールを追加します。

3. ルールの順序として 1 を選択します。このルールはデフォルトのルールよりも具体的ですが、デフォルトのルールとはオーバーラップしません。カスタム ルールがすでにある場合は適切な位置を選択し、パッシブ インターフェイス向けのトラフィックが代わりにそれらのルールと一致しないようにします。

4. ルールの名前、Passive_IDS などを入力します。

5. [アクション（Action）] として [許可（Allow）] を選択します。

6. [送信元/宛先（Source/Destination）] タブの [送信元（Source）] > [ゾーン（Zones）] でパッシブ ゾーンを選択します。このタブの他の設定は変更しないでください。

   この時点で、評価モードで実行中のルールは次のようになります。

   
   

   

   
   

7. [侵入ポリシー（Intrusion Policy）] タブをクリックし、スライダをクリックして [オン（On）] にして、ほとんどのネットワークに推奨される [バランスのとれたセキュリティと接続性（Balanced Security and Connectivity）] ポリシーなどの侵入ポリシーを選択します。

   
   

   

   
   

8. [ロギング（Logging）] タブをクリックし、ロギング オプションで [接続の終了時（At End of Connection）] を選択します。

   
   

   

   
   

9. [OK] をクリックします。

10. [+] をクリックして、URL およびすべての HTTP 要求のカテゴリを判断するためにシステムがディープ インスペクションを実行する必要があるルールを追加します。

    このルールにより、ダッシュボードで URL カテゴリ情報を確認できるようになります。処理時間を短縮し、パフォーマンスを向上させるために、URL カテゴリ条件を指定する少なくとも 1 つのアクセス制御ルールが存在する場合にのみシステムは URL カテゴリを判断します。

11. ルールの順序として 1 を選択します。これは、前のルール（Passive_IDS）の上に配置されます。（すべてのトラフィックに適用される）ルールの後に配置すると、今作成しているルールは決して一致しません。

12. ルールの名前、Determine_URL_Category などを入力します。

13. [アクション（Action）] として [許可（Allow）] を選択します。

    または、[ブロック（Block）] を選択できます。いずれのアクションでも、このルールの目的が達成されます。

14. [送信元/宛先（Source/Destination）] タブの [送信元（Source）] > [ゾーン（Zones）] でパッシブ ゾーンを選択します。このタブの他の設定は変更しないでください。

    
    

    

    
    

15. [URL（URLs）] タブをクリックし、[カテゴリ（Categories）] 見出しの横にある [+] をクリックして、いずれかのカテゴリを選択します。たとえば、[Search Engines and Portals] を選択します。必要に応じて、レピュテーション レベルを選択するか、デフォルトの [任意（Any）] のままにします。

    
    

    

    
    

16. [侵入ポリシー（Intrusion Policy）] タブをクリックし、スライダをクリックして [オン（On）] にして、最初のルールに選択したのと同じ侵入ポリシーを選択します。

17. [ロギング（Logging）] タブをクリックし、ロギング オプションで [接続の終了時（At End of Connection）] を選択します。

    ただし、アクションとして [ブロック（Block）] を選択した場合は、[接続の開始時と終了時（At Beginning and End of Connection）] を選択します。ブロックされた接続自体は終了しないため、接続の開始時にのみログ情報を取得できます。

18. [OK] をクリックします。

ステップ 6

（オプション）その他のセキュリティ ポリシーを設定します。

ステップ 7

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機するか、[OK] をクリックして、後でタスク リストまたは展開履歴を確認します。

ステップ 8

監視ダッシュボードを使用して、ネットワーク経由で到達するトラフィックや脅威の種類を分析します。脅威に対する防御 デバイスに不要な接続をアクティブにドロップさせる場合は、デバイスを再展開して、監視対象ネットワークに対するファイアウォール保護を提供するアクティブなルーテッド インターフェイスを設定できます。