アクセス制御ルールの設定 | 基本ポリシーの設定 | Cisco Secure Firewall 1210/20 Threat Defense スタートアップガイド：クラウド提供型 Firewall Management Center

1.

[ポリシー（Policies）] > [アクセス制御（Access Control）] 見出し > [アクセス制御（Access Control）] を選択し、デバイスに割り当てられているアクセスコントロールポリシーの [編集（Edit）]（編集アイコン）をクリックします。

2.

[ルールを追加（Add Rule）] をクリックし、次のパラメータを設定します。

1. このルールに名前を付けます（たとえば、inside-to-outside）。

2. [ゾーン（Zones）] から内部ゾーンを選択します。

3. [送信元ゾーンの追加（Add Source Zone）] をクリックします。

4. [ゾーン（Zones）] から外部ゾーンを選択します。

5. [宛先ゾーンを追加（Add Destination Zone）] をクリックします。

他の設定はそのままにしておきます。

3.

（任意）パケットフロー図でポリシータイプをクリックして、関連付けられたポリシーをカスタマイズします。

[プレフィルタ（Prefilter）]、[復号（Decryption）]、[セキュリティインテリジェンス（Security Intelligence）]、および [アイデンティティ（Identity）] ポリシーは、アクセス制御ルールの前に適用されます。これらのポリシーをカスタマイズする必要はありませんが、ネットワークのニーズを把握した後、信頼できるトラフィックに fastpath を適用（処理をバイパス）したりトラフィックをブロックしてその後の処理が不要になるようにすることで、ネットワークのパフォーマンスを向上させることができます。

[プレフィルタルール（Prefilter Rules）]：デフォルトのプレフィルタポリシーは、他のルールが適用される（分析する）すべてのトラフィックを通過させます。デフォルトポリシーに加えることができる唯一の変更は、トンネルトラフィックを「ブロックする」ことです。それ以外では、新しいプレフィルタポリシーを作成して、分析（通過）、fastpath 処理（以降のチェックをバイパス）、またはブロックできるアクセスコントロールポリシーに関連付けることができます。

プレフィルタを使用すると、ブロックまたは fastpath 処理のいずれかによって、トラフィックがさらに進む前に処理することで、パフォーマンスを向上させることができます。新しいポリシーでは、「トンネル」ルールと「プレフィルタ」ルールを追加できます。トンネルルールを使用すると、プレーンテキスト（非暗号化）のパススルートンネルを fastpath 処理、ブロック、または再ゾーン化できます。プレフィルタルールを使用すると、IP アドレス、ポート、およびプロトコルで識別される非トンネルトラフィックを fastpath 処理またはブロックできます。

たとえば、ネットワーク上のすべての FTP トラフィックをブロックし、管理者からの SSH トラフィックを高速パスする場合は、新しいプレフィルタポリシーを追加できます。
[復号（Decryption）]：デフォルトでは、復号は適用されません。復号は、ネットワークトラフィックをディープインスペクションに公開する方法です。ほとんどの場合、トラフィックを復号する必要はなく、法的に許可されている場合にのみ復号できます。ネットワークを最大限に保護するために、重要なサーバーへのトラフィックや、信頼できないネットワークセグメントからのトラフィックには、復号ポリシーを使用することをお勧めします。
[セキュリティインテリジェンス（Security Intelligence）]：（IPS ライセンスが必要）セキュリティインテリジェンスはデフォルトで有効になっています。セキュリティインテリジェンスは、悪意のあるアクティビティに対するもう 1 つの早期防御で、さらなる処理のために接続をアクセスコントロールポリシーに渡す前に適用されます。セキュリティインテリジェンスは、レピュテーションインテリジェンスを使用して、シスコの脅威インテリジェンス組織である Talos が提供する IP アドレス、URL、およびドメイン名との接続を迅速にブロックします。必要に応じて、IP アドレス、URL、ドメインを追加または削除できます。

Note

IPS ライセンスがない場合、このポリシーは、アクセスコントロールポリシーで有効と表示されていても展開されません。
[アイデンティティ（Identity）]：アイデンティティはデフォルトでは適用されません。アクセスコントロールポリシーによるトラフィックの処理を許可する前に、ユーザーに認証を要求できます。

4.

（任意）アクセス制御ルールの後に適用される侵入ポリシーを追加します。

侵入ポリシーは、トラフィックのセキュリティ違反を検査する定義済みの一連の侵入検出および侵入防止設定です。クラウド提供型 Firewall Management Center には、多数のシステム提供のポリシーが含まれており、そのまま有効にすることもカスタマイズすることもできます。この手順では、システム提供のポリシーを有効にします。

[侵入ポリシー（Intrusion Policy）] ドロップダウンリストをクリックします。

Figure 4. システム提供の侵入ポリシー
リストからシステム提供のポリシーを 1 つ選択します。

ほとんどのユースケースでは、[バランスのとれたセキュリティと接続性（Balanced Security and Connections）] を推奨しています。

5.

（任意）アクセス制御ルールの後に適用されるファイルポリシーを追加します。

[ファイルポリシー（File Policy）] ドロップダウンリストをクリックし、既存のポリシーを選択するか、[ファイルポリシーリストを開く（Open File Policy List）] を選択してポリシーを追加します。

Figure 5. ファイルポリシー（File Policy）

新しいポリシーの場合は、[[ポリシー（Policies）] > [アクセス制御（Access Control）] 見出し > [マルウェアとファイル（Malware & File）] ] ページが別のタブで開きます。
ポリシーの作成の詳細については、Cisco Secure Firewall Device Manager 設定ガイドを参照してください。
[ルールの追加（Add Rule）] ページに戻り、ドロップダウンリストから新しく作成したポリシーを選択します。

6.

[Apply] をクリックします。

ルールが [ルール（Rules）] テーブルに追加されます。

7.

[保存（Save）] をクリックします。

	1.	[ポリシー（Policies）] > [アクセス制御（Access Control）] 見出し > [アクセス制御（Access Control）] を選択し、デバイスに割り当てられているアクセスコントロールポリシーの [編集（Edit）]（）をクリックします。
	2.	[ルールを追加（Add Rule）] をクリックし、次のパラメータを設定します。 Figure 1. 送信元ゾーン（Source Zone） 1. このルールに名前を付けます（たとえば、inside-to-outside）。 2. [ゾーン（Zones）] から内部ゾーンを選択します。 3. [送信元ゾーンの追加（Add Source Zone）] をクリックします。 Figure 2. 宛先ゾーン（Destination Zone） 4. [ゾーン（Zones）] から外部ゾーンを選択します。 5. [宛先ゾーンを追加（Add Destination Zone）] をクリックします。他の設定はそのままにしておきます。
	3.	（任意）パケットフロー図でポリシータイプをクリックして、関連付けられたポリシーをカスタマイズします。 [プレフィルタ（Prefilter）]、[復号（Decryption）]、[セキュリティインテリジェンス（Security Intelligence）]、および [アイデンティティ（Identity）] ポリシーは、アクセス制御ルールの前に適用されます。これらのポリシーをカスタマイズする必要はありませんが、ネットワークのニーズを把握した後、信頼できるトラフィックに fastpath を適用（処理をバイパス）したりトラフィックをブロックしてその後の処理が不要になるようにすることで、ネットワークのパフォーマンスを向上させることができます。 Figure 3. アクセス制御の前に適用されるポリシー [プレフィルタルール（Prefilter Rules）]：デフォルトのプレフィルタポリシーは、他のルールが適用される（分析する）すべてのトラフィックを通過させます。デフォルトポリシーに加えることができる唯一の変更は、トンネルトラフィックを「ブロックする」ことです。それ以外では、新しいプレフィルタポリシーを作成して、分析（通過）、fastpath 処理（以降のチェックをバイパス）、またはブロックできるアクセスコントロールポリシーに関連付けることができます。プレフィルタを使用すると、ブロックまたは fastpath 処理のいずれかによって、トラフィックがさらに進む前に処理することで、パフォーマンスを向上させることができます。新しいポリシーでは、「トンネル」ルールと「プレフィルタ」ルールを追加できます。トンネルルールを使用すると、プレーンテキスト（非暗号化）のパススルートンネルを fastpath 処理、ブロック、または再ゾーン化できます。プレフィルタルールを使用すると、IP アドレス、ポート、およびプロトコルで識別される非トンネルトラフィックを fastpath 処理またはブロックできます。たとえば、ネットワーク上のすべての FTP トラフィックをブロックし、管理者からの SSH トラフィックを高速パスする場合は、新しいプレフィルタポリシーを追加できます。 [復号（Decryption）]：デフォルトでは、復号は適用されません。復号は、ネットワークトラフィックをディープインスペクションに公開する方法です。ほとんどの場合、トラフィックを復号する必要はなく、法的に許可されている場合にのみ復号できます。ネットワークを最大限に保護するために、重要なサーバーへのトラフィックや、信頼できないネットワークセグメントからのトラフィックには、復号ポリシーを使用することをお勧めします。 [セキュリティインテリジェンス（Security Intelligence）]：（IPS ライセンスが必要）セキュリティインテリジェンスはデフォルトで有効になっています。セキュリティインテリジェンスは、悪意のあるアクティビティに対するもう 1 つの早期防御で、さらなる処理のために接続をアクセスコントロールポリシーに渡す前に適用されます。セキュリティインテリジェンスは、レピュテーションインテリジェンスを使用して、シスコの脅威インテリジェンス組織である Talos が提供する IP アドレス、URL、およびドメイン名との接続を迅速にブロックします。必要に応じて、IP アドレス、URL、ドメインを追加または削除できます。 Note IPS ライセンスがない場合、このポリシーは、アクセスコントロールポリシーで有効と表示されていても展開されません。 [アイデンティティ（Identity）]：アイデンティティはデフォルトでは適用されません。アクセスコントロールポリシーによるトラフィックの処理を許可する前に、ユーザーに認証を要求できます。
	4.	（任意）アクセス制御ルールの後に適用される侵入ポリシーを追加します。侵入ポリシーは、トラフィックのセキュリティ違反を検査する定義済みの一連の侵入検出および侵入防止設定です。クラウド提供型 Firewall Management Center には、多数のシステム提供のポリシーが含まれており、そのまま有効にすることもカスタマイズすることもできます。この手順では、システム提供のポリシーを有効にします。 [侵入ポリシー（Intrusion Policy）] ドロップダウンリストをクリックします。 Figure 4. システム提供の侵入ポリシーリストからシステム提供のポリシーを 1 つ選択します。ほとんどのユースケースでは、[バランスのとれたセキュリティと接続性（Balanced Security and Connections）] を推奨しています。
	5.	（任意）アクセス制御ルールの後に適用されるファイルポリシーを追加します。 [ファイルポリシー（File Policy）] ドロップダウンリストをクリックし、既存のポリシーを選択するか、[ファイルポリシーリストを開く（Open File Policy List）] を選択してポリシーを追加します。 Figure 5. ファイルポリシー（File Policy）新しいポリシーの場合は、[[ポリシー（Policies）] > [アクセス制御（Access Control）] 見出し > [マルウェアとファイル（Malware & File）] ] ページが別のタブで開きます。ポリシーの作成の詳細については、Cisco Secure Firewall Device Manager 設定ガイドを参照してください。 [ルールの追加（Add Rule）] ページに戻り、ドロップダウンリストから新しく作成したポリシーを選択します。
	6.	[Apply] をクリックします。ルールが [ルール（Rules）] テーブルに追加されます。
	7.	[保存（Save）] をクリックします。