ステップ 1

[デバイス（Device）] を選択し、[スマートラインセンス（Smart License）] グループで [設定の表示（View Configuration）] をクリックします。

ステップ 2

他のインターフェイスに接続している場合は、[デバイス（Device）] を選択し、[インターフェイス（Interfaces）] サマリーにあるリンクをクリックしてから、インターフェイスのタイプをクリックして、インターフェイスのリストを表示します。

各インターフェイスの編集アイコン（）をクリックして、IP アドレスなどの設定を定義します。

次の例では、Web サーバなどのパブリック アクセスが可能なアセットを配置する「緩衝地帯」（DMZ）として使用されるインターフェイスを設定します。完了したら [保存（Save）] をクリックします。

ステップ 3

新しいインターフェイスを設定した場合は、[オブジェクト（Objects）] を選択してから、目次から [セキュリティゾーン（Security Zones）] を選択します。

必要に応じて新しいゾーンを編集または作成します。インターフェイスではなくセキュリティ ゾーンに基づいてポリシーを設定するため、各インターフェイスはゾーンに属している必要があります。インターフェイスの設定中はインターフェイスをゾーンに配置できないため、常に、新しいインターフェイスの作成後または既存のインターフェイスの目的の変更後にゾーン オブジェクトを編集する必要があります。

次の例は、DMZ インターフェイス用の新しい DMZ ゾーンを作成する方法を示しています。

ステップ 4

内部クライアントがDHCPを使用してデバイスからIPアドレスを取得するようにする場合は、[デバイス（Device）] を選択し、次に[システム設定] > [DHCPサーバ]を選択します。[DHCPサーバ（DHCP Servers）] タブを選択します。

すでに内部インターフェイス用に構成されている DHCP サーバがありますが、アドレス プールを編集したり、それを削除したりすることができます。他の内部インターフェイスを設定する場合、それらのインターフェイスに DHCP サーバを設定するのが非常に一般的です。各内部インターフェイスのサーバおよびアドレス プールを設定するには、+ をクリックします。

クライアントに対して提供される WINS および DNS リストを [設定（Configuration）] タブで調整することもできます。

次の例は、inside2 インターフェイス上の DHCP サーバをアドレス プール 192.168.4.50-192.168.4.240 を使用して設定する方法を示しています。

ステップ 5

[デバイス（Device）] を選択し、次に [設定の表示（View Configuration）]を [ルーティング（Routing）] グループでクリックし、デフォルトルートを設定します。

デフォルト ルートは通常、外部インターフェイス以外に存在するアップストリームまたは ISP ルータを指しています。デフォルトの IPv4 ルートは any-ipv4（0.0.0.0/0）用で、デフォルトの IPv6 ルートは any-ipv6（::0/0）用です。使用する IP バージョンごとにルートを作成します。DHCP を使用して外部インターフェイスのアドレスを取得している場合は、必要なデフォルト ルートがすでに存在している可能性があります。

このページで定義するルートはデータ インターフェイス専用です。管理インターフェイスには影響しません。管理ゲートウェイは [システム設定（System Settings）] > [管理インターフェイス（Management Interface）] で設定します。

次の例に、IPv4 のデフォルト ルートを示します。この例では、isp-gateway は ISP ゲートウェイの IP アドレスを識別するネットワーク オブジェクトです（ISP からアドレスを取得する必要があります）。このオブジェクトは、[ゲートウェイ（Gateway）] ドロップダウン リストの下部で [新しいネットワークの作成（Create New Network）] をクリックして作成します。

ステップ 6

[ポリシー（Policies）] を選択し、ネットワークのセキュリティ ポリシーを設定します。

デバイス セットアップ ウィザードにより、内部ゾーンと外部ゾーンの間のトラフィック フロー、および外部インターフェイスに向かうすべてのインターフェイスのインターフェイス NAT が有効になります。新しいインターフェイスを設定する場合でも、そのインターフェイスを内部ゾーン オブジェクトに追加するとアクセス制御ルールが自動的に適用されます。

ただし、複数の内部インターフェイスがある場合は、内部ゾーンから内部ゾーンへのトラフィック フローを許可するアクセス制御ルールが必要です。他のセキュリティ ゾーンを追加する場合は、それらのゾーンとの双方向トラフィックを許可するルールが必要です。これらは最小限の変更です。

さらに、追加のサービスを提供するために他のポリシーを設定し、組織が必要とする結果を取得するために NAT およびアクセス ルールを調整することができます。以下のポリシーを設定できます。

• [SSL 復号（SSL Decryption）]：侵入、マルウェアなどについて暗号化された接続（HTTPS など）を検査する場合は、接続を復号する必要があります。SSL 復号ポリシーを使用して、どの接続を復号する必要があるか判断します。検査後にシステムが接続を再暗号化します。

• [アイデンティティ（Identity）]：個々のユーザにネットワーク アクティビティを関連付ける、またはユーザまたはユーザ グループのメンバーシップに基づいてネットワーク アクセスを制御する場合は、特定のソース IP アドレスに関連付けられているユーザを判定するためにアイデンティティ ポリシーを使用します。

• [セキュリティ インテリジェンス（Security Intelligence）]：セキュリティ インテリジェンス ポリシーを使用して、選択されている IP アドレスまたは URL との接続をすぐにドロップします。既知の不正なサイトをブロックすれば、アクセス制御ポリシーでそれらを考慮する必要がなくなります。シスコでは、セキュリティ インテリジェンスのブラックリストが動的に更新されるように、既知の不正なアドレスや URL の定期更新フィードを提供しています。フィードを使用すると、ブラックリストの項目を追加または削除するためにポリシーを編集する必要がありません。

• [NAT]（ネットワーク アドレス変換）：NAT ポリシーを使用して内部 IP アドレスを外部のルーティング可能なアドレスに変換します。

• [アクセス制御（Access Control）]：アクセス制御ポリシーを使用してネットワーク上で許可する接続を決定します。セキュリティ ゾーン、IP アドレス、プロトコル、ポート、アプリケーション、URL、ユーザまたはユーザ グループでフィルター処理できます。また、アクセス制御ルールを使用して侵入およびファイル（マルウェア）ポリシーを適用します。このポリシーを使用して URL フィルタ リングを実装します。

• [侵入（Intrusion）]：侵入ポリシーを使用して、既知の脅威を検査します。 アクセス制御ルールを使用して侵入ポリシーを適用しても、侵入ポリシーを編集して特定の侵入ルールを有効または無効にすることができます。

次の例は、アクセス制御ポリシーで内部ゾーンと DMZ ゾーンの間のトラフィックを許可する方法を示しています。この例では、[接続終了時（At End of Connection）] が選択されている [ロギング（Logging）] 以外のタブではオプションは設定されていません。

ステップ 7

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機するか、または [OK] をクリックして、後でタスク リストや展開履歴を確認します。

ステップ 1

ユーザの動作を調べるには、接続に関連付けられているユーザを識別するアイデンティティ ポリシーを設定する必要があります。

1. メイン メニューで [ポリシー（Policies）] をクリックし、次に [アイデンティティ（Identity）] をクリックします。

   アイデンティティ ポリシーは、最初は無効化されています。アクティブ認証を使用している場合、アイデンティティ ポリシーは Active Directory サーバを使用してユーザを認証し、ユーザが使用しているワークステーションの IP アドレスをユーザに関連付けます。その後システムはその IP アドレスのトラフィックをユーザのトラフィックとして識別します。

2. [アイデンティティポリシーの有効化（Enable Identity Policy）] をクリックします。

3. [アイデンティティ ルールの作成（Create Identity Rule）] ボタンまたは [+] ボタンをクリックして、アクティブ認証を義務付けるルールを作成します。

   この例では、すべての人に認証を義務付けていると仮定しています。

4. ルールの [名前（Name）] を入力します。Require_Authentication など、任意の名前を選択できます。

5. [送信元または宛先（Source/Destination）] タブをデフォルトのままにします。これは、[任意（Any）] 基準に適用されます。

   より制限されているトラフィックに合わせて、ポリシーに制約を加えることができます。ただし、アクティブ認証は HTTP トラフィックに対してのみ試行されるため、非 HTTP トラフィックが送信元/宛先条件に一致していることは重要ではありません。アイデンティティ ポリシーのプロパティの詳細については、を参照してください。 アイデンティティ ルールの設定

6. [アクション（Action）] で [アクティブ認証（Active Auth）] を選択します。

   いくつか未定義の設定があるため、アイデンティティ ポリシーの設定が行われていないと仮定して、[アイデンティティ ポリシー設定（Identity Policy Configuration）] ダイアログボックスが開きます。

7. アクティブ認証に必要な [キャプティブ ポータル（Captive Portal）] の設定と [SSL 復号（SSL Decryption）] の設定を行います。

   アイデンティティルールによりユーザのアクティブ認証が要求されると、そのユーザはキャプティブポータルポートにリダイレクトされ、認証を求められます。キャプティブ ポータルには SSL 復号ルールが必要です。このルールは、システムによって自動的に生成されますが、SSL 復号ルールに使用する証明書は選択する必要があります。

   • [サーバ証明書（Server Certificate）]：アクティブ認証時にユーザに提示する内部証明書を選択します。事前定義された自己署名の DefaultInternalCertificate を選択するか、[新規内部証明書の作成（Create New Internal Certificate）] をクリックして、ブラウザが信頼している証明書をアップロードできます。

     ブラウザが信頼している証明書をアップロードしない場合、ユーザは証明書を許可する必要があります。

   • [ホスト名にリダイレクト（Redirect to Host Name）]：アクティブな認証要求のキャプティブポータルとして使用するインターフェイスの完全修飾ホスト名を定義するネットワークオブジェクトを選択します。オブジェクトが存在しない場合は、[新しいネットワークの作成（Create New Network）] をクリックします。

     FQDN は、デバイス上のいずれかのインターフェイスの IP アドレスに解決される必要があります。FQDN を使用すると、クライアントが認識するアクティブ認証用の証明書を割り当てることができます。これにより、IP アドレスにリダイレクトされたときにユーザに表示される信頼できない証明書の警告を回避できます。証明書では、FQDN、ワイルドカード FQDN、または複数の FQDN をサブジェクト代替名（SAN）に指定できます。

     アイデンティティルールによりユーザのアクティブ認証が要求されているが、リダイレクト FQDN を指定していない場合、ユーザは、接続されているインターフェイス上のキャプティブポータルポートにリダイレクトされます。

   • [ポート（Port）]：キャプティブ ポータル ポート。デフォルトは 885（TCP）です。別のポートを設定する場合は、1025 ～ 65535 の範囲にする必要があります。

   • [再署名証明書の復号（Decrypt Re-Sign Certificate）]：再署名証明書での復号を実装するルールに使用する内部 CA 証明書を選択します。事前定義済みの NGFW-Default-InternalCA 証明書（デフォルト）か、作成またはアップロードした証明書を使用できます。証明書がまだ存在しない場合は、[Create Internal CA] をクリックして作成します。（SSL 復号ポリシーをまだ有効にしていない場合にのみ、復号再署名証明書の入力が求められます）。

     クライアントのブラウザに証明書をまだインストールしていない場合は、ダウンロード ボタン（）をクリックしてコピーを入手します。証明書をインストールする方法については、各ブラウザのマニュアルを参照してください。再署名の復号ルールの CA 証明書のダウンロードも参照してください。

   例:

   [アイデンティティポリシーの設定（Identity Policy Configuration）] ダイアログは、次のようになります。

   
   

   

   
   

8. [保存（Save）] をクリックしてアクティブ認証の設定を保存します。

   [アクティブ認証（Active Authentication）] タブが [アクション（Action）] 設定の下に表示されます。

9. [アクティブ認証（Active Authentication）] タブで、[HTTP ネゴシエート（HTTP Negotiate）] を選択します。

   これにより、ブラウザおよびディレクトリ サーバは最も強力な認証プロトコルを、NTLM、HTTP ベーシックの順にネゴシエートできます。

   （注）

   [ホスト名にリダイレクト（Redirect to Host Name）] FQDN を指定しない場合、HTTP 基本、HTTP 応答ページ、および NTLM 認証方式では、インターフェイスの IP アドレスを使用してユーザがキャプティブポータルにリダイレクトされます。ただし、HTTP ネゴシエートでは、完全修飾 DNS 名 firewall-hostname.AD-domain-name を使用してユーザがリダイレクトされます。[ホスト名にリダイレクト（Redirect to Host Name）] FQDN を指定せずに HTTP ネゴシエートを使用する場合は、アクティブ認証が必要なすべての内部インターフェイスの IP アドレスにこの名前をマッピングするように DNS サーバを更新する必要もあります。そうでない場合は、リダイレクションが完了せず、ユーザは認証できません。認証方式に関係なく一貫した動作を確保するために、[ホスト名にリダイレクト（Redirect to Host Name）] FQDN を常に指定することを推奨します。 DNS サーバを更新できない、または更新を望まない場合は、その他の認証方式のいずれかを選択します。

10. [ADアイデンティティソース（AD Identity Source）] で [新しいアイデンティティレルムの作成（Create New Identity Realm）] をクリックします。

    レルム サーバ オブジェクトをすでに作成している場合は、そのオブジェクトを選択して、サーバ設定手順を省略します。

    次のフィールドを入力し、[OK] をクリックします。

    • [名前（Name）]：ディレクトリ レルムの名前。

    • [タイプ（Type）]：ディレクトリ サーバのタイプ。サポートされているタイプは Active Directory のみのため、このフィールドは変更できません。

    • [ディレクトリユーザ名（Directory Username）]、[ディレクトリパスワード（Directory Password）]：取得するユーザ情報に対して適切な権限を持つユーザの識別用ユーザ名とパスワード。Active Directory では、昇格されたユーザ特権は必要ありません。ドメイン内の任意のユーザを指定できます。ユーザ名は Administrator@example.com などの完全修飾名である必要があります（Administrator だけでなく）。

      （注）	この情報から ldap-login-dn と ldap-login-password が生成されます。たとえば、Administrator@example.com は cn=adminisntrator,cn=users,dc=example,dc=com と変換されます。cn=users は常にこの変換の一部であるため、ここで指定するユーザは、共通名の「users」フォルダの下で設定する必要があります。

    • [ベースDN（Base DN）]：ユーザおよびグループ情報、つまり、ユーザとグループの共通の親を検索またはクエリするためのディレクトリ ツリー。たとえば、dc=example,dc=com となります。ベース DN の検索方法については、ディレクトリ ベース DN の決定を参照してください。

    • [AD プライマリ ドメイン（AD Primary Domain）]：デバイスが参加する必要のある、完全修飾 Active Directory ドメイン名。たとえば、example.com のように指定します。

    • [ホスト名/IP アドレス（Hostname/IP Address）]：ディレクトリ サーバのホスト名または IP アドレス。サーバに対して暗号化された接続を使用する場合、IP アドレスではなく、完全修飾ドメイン名を入力する必要があります。

    • [ポート（Port）]：サーバとの通信に使用するポート番号。デフォルトは 389 です。LDAPS を暗号化方式に選択している場合は、ポート 636 を使用します。

    • [暗号化（Encryption）]：ユーザとグループの情報をダウンロードするのに暗号化接続を使用する場合は、適切な方式を [STARTTLS] または [LDAPS] から選択します。デフォルトは [なし（None）] です。したがって、ユーザとグループ情報はクリア テキストでダウンロードされます。

      • [STARTTLS] は暗号化方式をネゴシエートし、ディレクトリ サーバでサポートされている最も強力な方式を使用します。ポート 389 を使用します。リモート アクセス VPN 用にレルムを使用する場合は、このオプションがサポートされません。

      • [LDAPS] では LDAP over SSL が必要です。ポート 636 を使用します。

    • [信頼できる CA 証明書（Trusted CA Certificate）]：暗号化方式を選択した場合は、認証局（CA）証明書をアップロードして、システムとディレクトリ サーバの間で信頼できる接続を有効化します。認証に証明書を使用している場合、証明書のサーバ名とサーバのホスト名/IP アドレスが一致する必要があります。たとえば、IP アドレスとして 10.10.10.250 を使用するが、証明書では ad.example.com が指定されている場合、接続が失敗します。

    例:

    次の図に、ad.example.com サーバの非暗号化接続を作成する例を示します。プライマリ ドメインは example.com、ディレクトリ ユーザ名は Administrator@ad.example.com です。すべてのユーザとグループの情報は識別名（DN）ou=user,dc=example,dc=com の下にあります。

    
    

    

    
    

11. [AD アイデンティティ ソース（AD Identity Source）] で、作成したオブジェクトを選択します。

    ルールは次のようになります。

    
    

    

    
    

12. [OK] をクリックしてルールを追加します。

    ウィンドウの右上にある [展開（Deploy）] アイコン ボタンに 1 つのドットが表示されています。これは、まだ展開されていない変更があることを示します。ユーザ インターフェイスで変更を行っても、デバイスで変更を設定するには十分ではありません。変更を展開する必要があります。したがって、一連の関連する変更を行ってからそれらの変更を展開します。このように展開することで、部分的に設定された変更がデバイスに反映されるという問題が発生しません。この手順の後半で変更を展開します。

    
    

    

    
    

ステップ 2

Inside_Outside_Rule アクセス制御ルールのアクションを [許可（Allow）] に変更します。

1. [ポリシー（Policies）] ページの [アクセス制御（Access Control）] をクリックします。

2. Inside_Outside_Rule 行の右側にある [アクション（Actions）] セルにマウス ポインタを合わせて編集アイコンと削除アイコンを表示させ、編集アイコン（）をクリックしてルールを開きます。

3. [アクション（Action）] で [許可（Allow）] を選択します。

   
   

   

   
   

4. [OK] をクリックして変更を保存します。

ステップ 3

アクセス制御ポリシーのデフォルト アクションでロギングを有効にします。

1. アクセス制御ポリシー ページの下部にあるデフォルト アクション内の任意の位置をクリックします。

   
   

   

   
   

2. [ログ アクションの選択（Select Log Action）] > [接続の開始時と終了時（At Beginning and End of Connection）] の順に選択します。

3. [OK] をクリックします。

ステップ 4

脆弱性データベース（VDB）の更新スケジュールを設定します。

1. [the name of the device in the menu] をクリックします。[デバイス（Device）]

2. [更新（Updates）] グループで [設定の表示（View Configuration）] をクリックします。

   
   

   

   
   

3. [VDB] グループで [設定（Configure）] をクリックします。

   
   

   

   
   

4. 更新スケジュールを定義します。

   ネットワークに支障のない時間と頻度を選択します。また、更新をダウンロードした後、システムが自動展開を実行する点にも注意してください。これは、新しい検出プログラムを有効化するのに必要です。このため、何らかの形で設定をすでに変更して保存した後、まだ展開していない場合は、それも展開する必要があります。

   たとえば、次のスケジュールは VDB を 1 週間に 1 回、日曜日の午前 12:00（24 時間表記を使用）に更新します。

   
   

   

   
   

5. [保存（Save）] をクリックします。

ステップ 5

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機するか、または [OK] をクリックして、後でタスク リストや展開履歴を確認します。

ステップ 1

まだ有効化していない場合は、IPS ライセンスを有効化します。

1. [デバイス（Device）] をクリックします。

2. [スマートライセンス（Smart License）] グループの [設定の表示（View Configuration）] をクリックします。

   
   

   

   
   

3. IPS グループで [有効化（Enable）] をクリックします。

   必要に応じて、システムはライセンスをアカウントに登録したり、評価ライセンスを有効化したりします。ライセンスが有効になっていることがグループに表示され、ボタンが [無効化（Disable）] ボタンに変わります。

ステップ 2

1 つ以上のアクセス ルール用の侵入ポリシーを選択します。

1. メイン メニューで [ポリシー（Policies）] をクリックします。

   [アクセス コントロール（Access Control）] ポリシーが表示されていることを確認します。

2. Inside_Outside_Rule 行の右側にある [アクション（Actions）] セルにマウス ポインタを合わせて編集アイコンと削除アイコンを表示させ、編集アイコン（）をクリックしてルールを開きます。

3. [アクション（Action）] に [許可（Allow ）] をまだ選択していない場合は、これを選択します。

   
   

   

   
   

4. [侵入ポリシー（Intrusion Policy）] タブをクリックします。

5. [侵入ポリシー（Intrusion Policy）] トグルをクリックしてから、侵入ポリシーを選択します。

   ほとんどのネットワークでは、[バランスのとれたセキュリティと接続（Balanced Security and Connectivity）] ポリシーが適しています。このポリシーは適度な侵入保護を提供し、過剰にアグレッシブ（ドロップすべきでないトラフィックがドロップされる可能性がある）でもありません。ドロップされるトラフィックが多すぎる場合は、[セキュリティを上回る接続性（Connectivity over Security）] ポリシーを選択することにより、侵入検査を緩和できます。

   アグレッシブなセキュリティが必要な場合は、[接続性を上回るセキュリティ（Security over Connectivity）] ポリシーを試してください。[最大検出（Maximum Detection）] ポリシーは、ネットワーク インフラストラクチャ セキュリティをさらに重視したポリシーであり、運用上より大きな影響を及ぼす可能性があります。

   
   

   

   
   

6. [OK]をクリックして変更を保存します。

ステップ 3

（オプション）。[ポリシー（Policies）] > [侵入（Intrusion）]に移動し、歯車アイコンをクリックして、侵入ポリシーの syslog サーバを設定します。

ステップ 4

侵入ルール データベースの更新スケジュールを設定します。

1. [the name of the device in the menu] をクリックします。[デバイス（Device）]

2. [更新（Updates）] グループで [設定の表示（View Configuration）] をクリックします。

   
   

   

   
   

3. [ルール（Rule）] グループで [設定（Configure）] をクリックします。

   
   

   

   
   

4. 更新スケジュールを定義します。

   ネットワークに支障のない時間と頻度を選択します。また、更新をダウンロードした後、システムが自動展開を実行する点にも注意してください。新しいルールを有効化するには、この操作が必要です。このため、何らかの形で設定をすでに変更して保存した後、まだ展開していない場合は、それも展開する必要があります。

   たとえば、次のスケジュールはルール データベースを 1 週間に 1 回、月曜日の午前 12:00（24 時間表記を使用）に更新します。

   
   

   

   
   

5. [保存（Save）] をクリックします。

ステップ 5

既知の不正ホストやサイトとの接続を先制的にドロップするためのセキュリティ インテリジェンス ポリシーを設定します。

1. [デバイス（Device）] をクリックし、[更新（Updates）] グループで [設定の表示（View Configuration）] をクリックします。

2. [セキュリティ インテリジェンス フィード（Security Intelligence Feeds）] グループで [今すぐ更新（Update Now）] をクリックします。

3. または、[設定（Configure）] をクリックして、フィードの定期更新を設定します。デフォルトの [毎時（Hourly）] はほとんどのネットワークに適していますが、必要に応じて頻度を減らすことができます。

4. [ポリシー（Policies）] をクリックして、[セキュリティ インテリジェンス（Security Intelligence）] ポリシーをクリックします。

5. ポリシーをまだ有効化していない場合は、[セキュリティ インテリジェンスの有効化（Enable Security Intelligence）] をクリックします。

6. [ネットワーク（Network）] タブで、ブラック/ドロップリストの [+] をクリックして、[ネットワークフィード（Network Feeds）] タブにあるすべてのフィードを選択します。フィードの横にある [i] ボタンをクリックして、各フィードの説明を確認できます。

   フィードが存在しないというメッセージが表示される場合は、後でもう一度試してください。フィードのダウンロードはまだ完了していません。この問題が解決しない場合は、管理 IP アドレスとインターネット間にパスがあることを確認してください。

7. [OK] をクリックして、選択したフィードを追加します。

   他にも不正 IP アドレスがある場合は、[+] > [ネットワーク オブジェクト（Network Objects）] をクリックして、それらのアドレスを含むオブジェクトを追加できます。リストの下部にある [新規ネットワーク オブジェクトの作成（Create New Network Object）] をクリックして、今すぐ追加することもできます。

8. [URL] タブをクリックし、ブラック/ドロップリストの [+] > [URL フィード（URL Feeds）] をクリックして、すべての URL フィードを選択します。[OK] をクリックして、リストに追加します。

   ネットワークリストと同様に、独自の URL オブジェクトをリストに追加して、フィードに含まれていないその他のサイトをブロックできます。[+] > [URLオブジェクト（URL Objects）] をクリックします。リストの最後にある [新規 URL オブジェクトの作成（Create New URL Object）] をクリックして、新しいオブジェクトを追加できます。

9. ギア アイコンをクリックし、[接続イベント ロギング（Connection Events Logging）] を有効にして、一致した接続のセキュリティ インテリジェンス イベントをポリシーが生成できるようにします。[OK] をクリックして変更を保存します。

   接続ロギングを有効にしない場合、ポリシーが予想どおりに機能しているかどうかを評価するために使用するためのデータを得られません。外部 syslog サーバを定義している場合はここで選択することで、そのサーバにもイベントを送信できます。

   
   

   

   
   

10. 必要に応じて、各タブの [ブロックしない（Do Not Block）] リストにネットワークオブジェクトまたは URL オブジェクトを追加して、ブロックリストに対する例外を作成できます。

    [ブロックしない（Do Not Block）] リストは、ホワイトリストではなく、例外リストです。例外リストにあるアドレスや URL がブロックリストにも表示されている場合、そのアドレスや URL の接続はアクセス制御ポリシーの通過を許可されます。フィードはこのようにしてブロックできますが、後で必要なアドレスやサイトがブロックされていることに気付いた場合は、例外リストを使用して、フィードを完全に削除することなく、そのブロックをオーバーライドできます。その後、それらの接続はアクセス制御、および侵入ポリシー（設定されている場合）によって評価される点に注意してください。したがって、接続に脅威が含まれている場合は、侵入検査中に特定されてブロックされます。

    [アクセスおよび SI ルール（Access and SI Rules）] ダッシュボード、およびイベント ビューアのセキュリティ インテリジェンス ビューを使用して、ポリシーによって実際にドロップされているトラフィックを特定し、[ブロックしない（Do Not Block）] リストにアドレスや URL を追加する必要があるかどうかを決めます。

ステップ 6

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機するか、または [OK] をクリックして、後でタスク リストや展開履歴を確認します。

ステップ 1

まだ有効化していない場合は、マルウェア防御 および IPS ライセンスを有効化します。

1. [デバイス（Device）] をクリックします。

2. [スマートライセンス（Smart License）] グループの [設定の表示（View Configuration）] をクリックします。

   
   

   

   
   

3. マルウェア防御 グループで [有効化（Enable）] をクリックし、IPS グループでも [有効化（Enable）] をクリックします（まだ有効化されていない場合）。

   必要に応じて、システムはライセンスをアカウントに登録したり、評価ライセンスを有効化したりします。ライセンスが有効になっていることがグループに表示され、ボタンが [無効化（Disable）] ボタンに変わります。

ステップ 2

1 つ以上のアクセス ルール用のファイル ポリシーを選択します。

1. メイン メニューで [ポリシー（Policies）] をクリックします。

   [アクセス コントロール（Access Control）] ポリシーが表示されていることを確認します。

2. Inside_Outside_Rule 行の右側にある [アクション（Actions）] セルにマウス ポインタを合わせて編集アイコンと削除アイコンを表示させ、編集アイコン（）をクリックしてルールを開きます。

3. [アクション（Action）] に [許可（Allow ）] をまだ選択していない場合は、これを選択します。

   
   

   

   
   

4. [ファイル ポリシー（File Policy）] タブをクリックします。

5. 使用するファイル ポリシーをクリックします。

   主な選択は、マルウェアと見なされるすべてのファイルをドロップする [マルウェアをすべてブロック（Block Malware All）]、または Secure Malware Analytics Cloud にクエリしてファイルの性質を判断するがブロックはしない [クラウドをすべてルックアップ（Cloud Lookup All）] です。ファイルがどのように評価されるかを確認する場合は、クラウド ルックアップを使用します。ファイルの評価を適切に確認できた後で、ブロッキング ポリシーに変更できます。

   マルウェアをブロックする他のポリシーを使用することもできます。これらのポリシーをファイル制御と組み合わせて、Microsoft Office、Office、PDF ドキュメントのアップロードをブロックできます。つまり、これらのポリシーを使用すると、マルウェアをブロックするだけでなく、これらのファイル タイプがユーザから他のネットワークに送信されるのを防止できます。実際の要件に合う場合は、これらのポリシーを選択できます。

   この例では、[マルウェアをすべてブロック（Block Malware All）] を選択します。

   

   
   

   

   
   

6. [ロギング（Logging）] タブをクリックし、[ファイル イベント（File Events）] の下で [ログ ファイル（Log Files）] が選択されていることを確認します。

   デフォルトでは、ファイル ポリシーを選択すると常にファイル ロギングが有効になります。イベントやダッシュボードにファイルとマルウェアの情報を表示させるには、ファイル ロギングを有効にする必要があります。

   
   

   

   
   

7. [OK] をクリックして変更を保存します。

ステップ 3

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機するか、または [OK] をクリックして、後でタスク リストや展開履歴を確認します。

ステップ 1

[URL] ライセンスを有効にしていない場合は、有効にします。

1. [デバイス（Device）] をクリックします。

2. [スマートライセンス（Smart License）] グループの [設定の表示（View Configuration）] をクリックします。

   
   

   

   
   

3. [URL] グループの [有効化（Enable）] をクリックします。

   必要に応じて、システムはライセンスをアカウントに登録したり、評価ライセンスを有効化したりします。ライセンスが有効になっていることがグループに表示され、ボタンが [無効化（Disable）] ボタンに変わります。

ステップ 2

URL フィルタリング アクセス制御ルールを作成します。

1. メイン メニューで [ポリシー（Policies）] をクリックします。

   [アクセス コントロール（Access Control）] ポリシーが表示されていることを確認します。

2. [+] をクリックして新しいルールを追加します。

3. 順序、タイトル、アクションを設定します。

   • [順序（Order）]：デフォルトで、新しいルールはアクセス コントロール ポリシーの最後に追加されます。ただし、同じ送信元/宛先その他の基準に一致するルールよりも前（上）にこのルールを配置する必要があります。こうしないと、このルールは決して一致しません（各接続はテーブル内で最初に一致する 1 つのルールにのみ一致します）。このルールの場合、同じ [送信元/宛先（Source/Destination）] を、デバイスの初期設定時に作成された Inside_Outside_Rule として使用します。他のルールをすでに作成している場合もあります。アクセス制御の効率を最大にするには、接続の許可/ドロップを迅速に決定できるように特定のルールを早く適用するのが最善です。この例では、この目的でルールの順序として [1] を選択します。

   • [タイトル（Title）]：ルールに Block_Web_Sites などのわかりやすい名前を付けます。

   • [アクション（Action）]：[ブロック（Block）] を選択します。

   
   

   

   
   

4. [送信元または送信先（Source/Destination）] タブで、[送信元（Source）] > [ゾーン（Zones）] の順に [+] をクリックし、inside_zone を選択して、[ゾーン（zones）] ダイアログボックスで [OK] をクリックします。

   条件の追加も同じ方法です。[+] をクリックすると表示される小さいダイアログボックスで、追加する項目をクリックします。複数の項目をクリックしたり、選択されている項目をクリックして選択解除したりすることができます。チェック マークは選択されている項目を示します。ただし [OK] ボタンをクリックするまではポリシーには何も追加されません。単純に項目を選択するだけでは十分ではありません。

   
   

   

   
   

5. 同じ手法で、[宛先（Destination）] > [ゾーン（Zones）] に outside_zone を選択します。

   
   

   

   
   

6. [URL] タブをクリックします。

7. [カテゴリ（Categories）] の [+] をクリックし、完全にブロックするカテゴリまたは部分的にブロックするカテゴリを選択します。

   この例では、ボットネット、悪意のあるサイト、マルウェアサイト、およびソーシャルネットワーキングを選択します。他にもブロックできるカテゴリがあります。ブロックしたいサイトがわかっていても、そのカテゴリがわからない場合は、[URL to Check] フィールドに URL を入力し、[Go] をクリックします。ルックアップ結果を示す Web サイトが表示されます。

   
   

   

   
   

8. レピュテーションに影響されるブロッキングを [Social Networking] カテゴリに実装するには、そのカテゴリの [Reputation: Risk Any] をクリックして、[Any] の選択を解除してからスライダを [Questionable] に移動します。閉じるには、スライダをクリックします。

   
   

   

   
   

   レピュテーション スライダの左側に許可されるサイトが示され、右側にブロックされるサイトが示されます。この場合、レピュテーションが [Questionable] と [Untrusted] の範囲内にあるソーシャル ネットワーキング サイトのみがブロックされます。したがって、ユーザは一般に利用されるソーシャル ネットワーキング サイト（リスクが少ないサイト）にはアクセスできます。

   レピュテーションが不明な URL をレピュテーション一致に含めるには、[レピュテーションが不明なサイトを含める（Include Sites with Unknown Reputation）] オプションを選択します。通常、新しいサイトは評価されていません。また、その他の理由でサイトのレピュテーションが不明である（または判断できない）場合もあります。

   レピュテーションを使用して、許可するカテゴリ内のサイトを選択してブロックできます。

9. カテゴリ リストの左側にある [URL（URLS）] リストの横の [+] をクリックします。

10. ポップアップ ダイアログ ボックスの下部で、[新規URLの作成（Create New URL）] リンクをクリックします。

11. 名前と URL の両方に badsite.example.com を入力し、[追加（Add）]、[OK] の順にクリックしてオブジェクトを作成します。

    オブジェクトに URL と同じ名前を付けるか、またはオブジェクトに別の名前を付けることができます。URL では、URL のプロトコル部分を含めず、サーバ名だけを追加します。

    
    

    

    
    

12. 新しいオブジェクトを選択して [OK] をクリックします。

    ポリシーの編集中に新しいオブジェクトを追加すると、リストにオブジェクトが追加されます。新しいオブジェクトは自動的には選択されません。

    
    

    

    
    

13. [ロギング（Logging）] タブをクリックし、[ログ アクションの選択（Select Log Action）] > [接続の開始時と終了時（At Beginning and End of Connection）] の順に選択します。

    Web カテゴリ ダッシュボードおよび接続イベントにカテゴリおよびレピュテーションの情報を表示するには、ロギングを有効化する必要があります。

14. [OK] をクリックしてルールを保存します。

ステップ 3

（オプション）。URL フィルタリングの設定を指定します。

1. [the name of the device in the menu] をクリックします。[デバイス（Device）]

2. [システム設定（System Settings）] > [トラフィック設定（Traffic Settings）] > [URLフィルタリングの設定（URL Filtering Preferences）] をクリックします。

3. [URLクエリソース（URL Query Source）] で、推奨オプションの [ローカルデータベースとCisco Cloud（Local Database and Cisco Cloud）] を選択します。

   インストールされている URL データベースにサイトのカテゴリがない場合、Cisco Cloud にカテゴリが含まれている可能性があります。クラウドからカテゴリとレピュテーションが返されると、カテゴリベースのルールを URL 要求に正しく適用できます。メモリ制限によりインストールされる URL データベースが小さいローエンドのシステムでは、このオプションを選択することが重要です。

   あるいは、ルックアップをローカルデータベースまたは Cisco Cloud に制限できます。

4. 妥当な [URL 存続可能時間（URL Time to Live）]（24 時間など）を選択します。

5. [Save] をクリックします。

ステップ 4

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機するか、または [OK] をクリックして、後でタスク リストや展開履歴を確認します。

ステップ 1

アプリケーションベースのアクセス制御ルールを作成します。

1. メイン メニューで [ポリシー（Policies）] をクリックします。

   [アクセス コントロール（Access Control）] ポリシーが表示されていることを確認します。

2. [+] をクリックして新しいルールを追加します。

3. 順序、タイトル、アクションを設定します。

   • [順序（Order）]：デフォルトで、新しいルールはアクセス コントロール ポリシーの最後に追加されます。ただし、同じ送信元/宛先その他の基準に一致するルールよりも前（上）にこのルールを配置する必要があります。こうしないと、このルールは決して一致しません（各接続はテーブル内で最初に一致する 1 つのルールにのみ一致します）。このルールの場合、同じ [送信元/宛先（Source/Destination）] を、デバイスの初期設定時に作成された Inside_Outside_Rule として使用します。他のルールをすでに作成している場合もあります。アクセス制御の効率を最大にするには、接続の許可/ドロップを迅速に決定できるように特定のルールを早く適用するのが最善です。この例では、この目的でルールの順序として [1] を選択します。

   • [タイトル（Title）]：ルールに Block_Anonymizers などの意味のある名前を付けます。

   • [アクション（Action）]：[ブロック（Block）] を選択します。

   
   

   

   
   

4. [送信元または送信先（Source/Destination）] タブで、[送信元（Source）] > [ゾーン（Zones）] の順に [+] をクリックし、inside_zone を選択して、[ゾーン（zones）] ダイアログボックスで [OK] をクリックします。

   
   

   

   
   

5. 同じ手法で、[宛先（Destination）] > [ゾーン（Zones）] に outside_zone を選択します。

   
   

   

   
   

6. [アプリケーション（Applications）] タブをクリックします。

7. [アプリケーション（Applications）] で [+] をクリックしてから、ポップアップ ダイアログボックスの下部にある [高度なフィルタ（Advanced Filter）] リンクをクリックします。

   アプリケーション フィルタ オブジェクトを事前に作成してこの [アプリケーション フィルタ（Application Filters）] リストでそれらを選択することもできますが、別の方法として、アクセス制御ルールで基準を直接指定し、オプションでその基準をフィルタ オブジェクトとして保存することもできます。単一のアプリケーションに関するルールを記述している場合を除き、[高度なフィルタ（Advanced Filter）] ダイアログボックスでアプリケーションを見つけて適切な基準を作成する方が簡単です。

   基準を選択すると、ダイアログボックスの下部にある [アプリケーション（Applications）] リストが更新され、その基準に一致するアプリケーションが正確に表示されます。作成しようとしているルールは、これらのアプリケーションに適用されます。

   このリストをよく見てください。たとえば、リスクが非常に高いすべてのアプリケーションをブロックしようとする場合があります。ただし、本書を作成している時点で、TFPT は非常に高リスクに分類されています。ほとんどの組織は、このアプリケーションをブロックすることを希望しません。さまざまなフィルタ条件を試して、選択に一致するアプリケーションを確認するには時間がかかります。これらのリストは VDB 更新のたびに変更される可能性があることに注意してください。

   この例では、[カテゴリ（Categories）] リストから [アノニマイザー/プロキシ（anonymizers/proxies）] を選択します。

   
   

   

   
   

8. [高度なフィルタ（Advanced Filter）] ダイアログボックスで [Add（追加）] をクリックします。

   フィルタが追加され、[アプリケーション（Applications）] タブに表示されます。

   
   

   

   
   

9. [ロギング（Logging）] タブをクリックし、[ログ アクションの選択（Select Log Action）] > [接続の開始時と終了時（At Beginning and End of Connection）] の順に選択します。

   このルールによってブロックされる接続の情報を取得するには、ロギングを有効化する必要があります。

10. [OK] をクリックしてルールを保存します。

ステップ 2

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機するか、または [OK] をクリックして、後でタスク リストや展開履歴を確認します。

ステップ 3

[モニタリング（Monitoring）] をクリックして、結果を評価します。

ステップ 1

インターフェイスを設定します。

1. [デバイス（Device）] をクリックし、[インターフェイス（Interfaces）] サマリーにあるリンクをクリックし、次にインターフェイス タイプをクリックして、インターフェイスのリストを表示します。

2. 有線接続したインターフェイスの行の右側にある [アクション（Actions）] セルにマウス ポインタを合わせ、編集アイコン（）をクリックします。

3. 基本的なインターフェイス プロパティを設定します。

   • [名前（Name）]：インターフェイスの一意の名前。（[Inside_2] など）。

   • [モード（Mode）]：[ルーテッド（Routed）] を選択します。

   • [ステータス（Status）]：ステータス トグルをクリックして、インターフェイスを有効化します。

   • [IPv4 アドレス（IPv4 Address）] タブ：[種類（Type）] に [静的（Static）] を選択して、「192.168.2.1/24」と入力します。

   
   

   

   
   

4. [保存（Save）] をクリックします。

   インターフェイスの一覧に、更新されたインターフェイスの状態と設定された IP アドレスが表示されます。

   
   

   

   
   

ステップ 2

インターフェイスの DHCP サーバを設定します。

1. [the name of the device in the menu] をクリックします。[デバイス（Device）]

2. [システム設定（System Settings）] > [DHCPサーバ（DHCP Server）] をクリックします。

3. [DHCP サーバ（DHCP Server）] タブをクリックします。

   このテーブルには、既存のすべての DHCP サーバが一覧表示されます。デフォルト設定を使用している場合は、この一覧に内部インターフェイス用のものが 1 つ含まれます。

4. テーブルの上の [+] をクリックします。

5. サーバのプロパティを設定します。

   • [DHCP サーバを有効にする]：サーバを有効にするにはこのトグルをクリックします。

   • [インターフェイス（Interface）]：DHCP サービスを提供するインターフェイスを選択します。この例では inside_2 を選択します。

   • [アドレス プール（Address Pool）]：サーバがネットワーク上のデバイスに提供できるアドレス。「192.168.2.2-192.168.2.254」を入力します。ネットワーク アドレス（.0）、インターフェイス アドレス（.1）、およびブロードキャストアドレス（.255）は含めないでください。また、ネットワーク上のデバイスにスタティック アドレスが必要な場合は、プールからそれらのアドレスを除外します。プールは連続するアドレスからなる単一の範囲である必要があるため、スタティック アドレスを選択する際にはこの範囲の先頭または末尾から選択します。

   
   

   

   
   

6. [追加（Add）] をクリックします。

   
   

   

   
   

ステップ 3

インターフェイスを内部セキュリティ ゾーンに追加します。

1. メイン メニューで [オブジェクト（Objects）] をクリックします。

2. コンテンツ テーブルから [セキュリティ ゾーン（Security Zones）] を選択します。

3. [inside_zone（inside_zone）] オブジェクトの行の右側にある [アクション（Actions）] セルにマウス ポインタを合わせ、編集アイコン（）をクリックします。

4. [インターフェイス（Interfaces）] の下で [+] をクリックし、inside_2 インターフェイスを選択して、インターフェイスの一覧で [OK] をクリックします。

   
   

   

   
   

5. [保存（Save）] をクリックします。

   
   

   

   
   

ステップ 4

内部ネットワーク間のトラフィックを許可するアクセス制御ルールを作成します。

1. メイン メニューで [ポリシー（Policies）] をクリックします。

   [アクセス コントロール（Access Control）] ポリシーが表示されていることを確認します。

2. [+] をクリックして新しいルールを追加します。

3. 順序、タイトル、アクションを設定します。

   • [順序（Order）]：デフォルトで、新しいルールはアクセス コントロール ポリシーの最後に追加されます。ただし、同じ送信元/宛先その他の基準に一致するルールよりも前（上）にこのルールを配置する必要があります。こうしないと、このルールは決して一致しません（各接続はテーブル内で最初に一致する 1 つのルールにのみ一致します）。このルールの場合、一意の送信元/宛先基準を使用しているので、ルールを一覧の最後に追加しても構いません。

   • [タイトル（Title）]：ルールに Allow_Inside_Inside などの意味のある名前を付けます。

   • [アクション（Action）]：[許可（Allow ）] を選択します。

   
   

   

   
   

4. [送信元または送信先（Source/Destination）] タブで、[送信元（Source）] > [ゾーン（Zones）] の順に [+] をクリックし、inside_zone を選択して、[ゾーン（zones）] ダイアログボックスで [OK] をクリックします。

   
   

   

   
   

5. 同じ手法で、[宛先（Destination）] > [ゾーン（Zones）] に inside_zone を選択します。

   送信元および宛先に同じゾーンを選択するには、セキュリティ ゾーンに 2 つ以上のインターフェイスが含まれている必要があります。

   
   

   

   
   

6. （オプション）侵入およびマルウェアの検査を設定します。

   内部インターフェイスは信頼済みゾーンにありますが、ユーザがラップトップをネットワークに接続することがよくあります。したがって、ユーザはそれと知らずに、外部ネットワークや Wi-Fi ホット スポットからネットワーク内部に脅威を持ち込む可能性があります。このため、内部ネットワーク間でやり取りされるトラフィックに対して侵入やマルウェアのスキャンを実行するのが適切でしょう。

   次を行うことを検討します。

   • [侵入ポリシー（Intrusion Policy）] タブをクリックし、侵入ポリシーを有効化します。スライダを使用して、[バランスのとれたセキュリティと接続（Balanced Security and Connectivity）] ポリシーを選択します。

   • [ファイルポリシー（File Policy）] タブをクリックして、[すべてのマルウェアをブロックする（Block Malware All）] ポリシーを選択します。

7. [ロギング（Logging）] タブをクリックし、[ログ アクションの選択（Select Log Action）] > [接続の開始時と終了時（At Beginning and End of Connection）] の順に選択します。

   このルールに一致する接続に関する情報を取得するには、ロギングを有効化する必要があります。ロギングにより、ダッシュボードに統計が追加され、イベント ビューアにイベントが表示されます。

8. [OK] をクリックしてルールを保存します。

ステップ 5

必要なポリシーが新しいサブネット用に定義されていることを確認します。

ステップ 6

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機するか、または [OK] をクリックして、後でタスク リストや展開履歴を確認します。

ステップ 1

スイッチ ポートを SPAN（スイッチド ポート アナライザ）ポートとして設定し、送信元インターフェイスのモニタリング セッションを設定します。

switch(config)# interface Ethernet1/48 
switch(config-if)# switchport monitor 
switch(config-if)# exit 
switch(config)# monitor session 1 
switch(config-monitor)# source interface ethernet 1/7 
switch(config-monitor)# source interface ethernet 1/8 
switch(config-monitor)# destination interface ethernet 1/48 
switch(config-monitor)# no shut 

switch# show monitor session 1 brief 
   session 1
---------------
type              : local
state             : up
source intf       :
    rx            : Eth1/7        Eth1/8
    tx            : Eth1/7        Eth1/8
    both          : Eth1/7        Eth1/8
source VSANs      :
destination ports : Eth1/48

Legend: f = forwarding enabled, l = learning enabled

ステップ 2

脅威に対する防御 インターフェイスをスイッチの SPAN ポートに接続します。

ステップ 3

脅威に対する防御 インターフェイスをパッシブモードで設定します。

1. [デバイス（Device）] をクリックし、[インターフェイス（Interfaces） サマリーにあるリンクをクリックし、[インターフェイス（Interfaces）] または [EtherChannels] をクリックします。

2. 編集する物理インターフェイスまたは EtherChannel の編集アイコン（）をクリックします。

   現在使用されていないインターフェイスを選択します。使用中のインターフェイスをパッシブ インターフェイスに変換する場合は、最初にセキュリティ ゾーンからインターフェイスを削除し、そのインターフェイスを使用する他のすべての設定を削除する必要があります。

3. [ステータス（Status）] スライダを [有効（enabled）] 設定（）に設定します。

4. 以下を設定します。

   • [インターフェイス名（Interface Name）]：インターフェイスの名前（最大 48 文字）。英字は小文字でなければなりません。たとえば、monitor などです。

   • [モード（Mode）]：[パッシブ（Passive）] を選択します。

   
   

   

   
   

5. [OK] をクリックします。

ステップ 4

インターフェイスのパッシブ セキュリティ ゾーンを作成します。

1. [オブジェクト（Objects）] を選択し、目次から [セキュリティ ゾーン（Security Zones）] を選択します。

2. [+]ボタンをクリックします。

3. オブジェクトの名前を入力し、任意で説明を入力します。例、passive_zone。

4. [モード（Mode）]で [パッシブ（Passive）] を選択します。

5. [+] をクリックして、パッシブ インターフェイスを選択します。

   
   

   

   
   

6. [OK] をクリックします。

ステップ 5

パッシブ セキュリティ ゾーン用の 1 つ以上のアクセス制御ルールを設定します。

1. [ポリシー（Policies）] > [アクセス制御（Access Control）] の順に選択します。

2. [+] をクリックして、すべてのトラフィックを許可するが、侵入ポリシーを適用するルールを追加します。

3. ルールの順序として [1] を選択します。このルールはデフォルトのルールよりも具体的ですが、デフォルトのルールとはオーバーラップしません。カスタム ルールがすでにある場合は適切な位置を選択し、パッシブ インターフェイス向けのトラフィックが代わりにそれらのルールと一致しないようにします。

4. ルールの名前、Passive_IDS などを入力します。

5. [アクション（Action）] として [許可（Allow）] を選択します。

6. [送信元または宛先（Source/Destination）] タブで、[送信元（Source）] > [ゾーン（Zones）] の下でパッシブ ゾーンを選択します。このタブの他の設定は変更しないでください。

   この時点で、評価モードで実行中のルールは次のようになります。

   
   

   

   
   

7. [侵入ポリシー（Intrusion Policy）] タブをクリックし、スライダをクリックして [オン（On）] にして、ほとんどのネットワークに推奨される [バランスのとれたセキュリティと接続（Balanced Security and Connectivity）] ポリシーなどの侵入ポリシーを選択します。

   
   

   

   
   

8. [ロギング（Logging）] タブをクリックして、ロギング オプションで [接続終了時（At End of Connection）] を選択します。

   
   

   

   
   

9. [OK] をクリックします。

10. [+] をクリックして、URL およびすべての HTTP 要求のカテゴリを判断するためにシステムがディープ インスペクションを実行する必要があるルールを追加します。

    このルールにより、ダッシュボードで URL カテゴリ情報を確認できるようになります。処理時間を短縮し、パフォーマンスを向上させるために、URL カテゴリ条件を指定する少なくとも 1 つのアクセス制御ルールが存在する場合にのみシステムは URL カテゴリを判断します。

11. ルールの順序として [1] を選択します。これは、前のルール（Passive_IDS）の上に配置されます。（すべてのトラフィックに適用される）ルールの後に配置すると、今作成しているルールは決して一致しません。

12. ルールの名前、Determine_URL_Category などを入力します。

13. [アクション（Action）] として [許可（Allow）] を選択します。

    または、[ブロック（Block）] を選択できます。いずれのアクションでも、このルールの目的が達成されます。

14. [送信元または宛先（Source/Destination）] タブで、[送信元（Source）] > [ゾーン（Zones）] の下でパッシブ ゾーンを選択します。このタブの他の設定は変更しないでください。

    
    

    

    
    

15. [URL（URLs）] タブをクリックし、[カテゴリ（Categories）] 見出しの横にある [+] をクリックして、いずれかのカテゴリを選択します。たとえば、[Search Engines and Portals] を選択します。必要に応じて、レピュテーション レベルを選択するか、デフォルトの [任意（Any）] のままにします。

    
    

    

    
    

16. [侵入ポリシー（Intrusion Policy）] タブをクリックし、スライダをクリックして [オン（On）] にして、最初のルールに選択したのと同じ侵入ポリシーを選択します。

17. [ロギング（Logging）] タブをクリックして、ロギング オプションで [接続終了時（At End of Connection）] を選択します。

    ただし、アクションとして [ブロック（Block）] を選択した場合は、[接続の開始時と終了時（At Beginning and End of Connection）] を選択します。ブロックされた接続自体は終了しないため、接続の開始時にのみログ情報を取得できます。

18. [OK] をクリックします。

ステップ 6

（オプション）。その他のセキュリティ ポリシーを設定します。

ステップ 7

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機するか、または [OK] をクリックして、後でタスク リストや展開履歴を確認します。

ステップ 8

監視ダッシュボードを使用して、ネットワーク経由で到達するトラフィックや脅威の種類を分析します。脅威に対する防御 デバイスに不要な接続をアクティブにドロップさせる場合は、デバイスを再展開して、監視対象ネットワークに対するファイアウォール保護を提供するアクティブなルーテッド インターフェイスを設定できます。