Cisco Secure Firewall 1210/20 Threat Defense スタートアップガイド:Firewall Device Manager

PDF

ネットワーク設定とポリシーの設定

Updated: February 5, 2026

Want to summarize with AI?

Log in

Cisco Secure Firewall 1210/20 がネットワーク設計およびトラフィックの要件と一致するように、Cisco Secure Firewall Device Manager でインターフェイス、セキュリティゾーン、DHCP、およびセキュリティポリシーを設定する方法。

追加のインターフェイス、DHCP サーバーを設定し、セキュリティポリシーをカスタマイズします。

手順

1.

スイッチポートをファイアウォール インターフェイスに変換する場合は、[Device] を選択し、[Interfaces] の概要のリンクをクリックします。

  1. スイッチポートの編集アイコン()をクリックします。

  2. モードを [Switch Port] から [Routed]に変更します。

    Figure 1. モードの変更
    モードの変更

  3. 名前と IP アドレスを設定します。

    Figure 2. インターフェイスの編集

  4. [OK] をクリックします。
2.

新しいファイアウォールインターフェイスを構成する場合は、[Objects]、[Security Zones] の順に選択します。

必要に応じて新しいゾーンを編集または作成し、インターフェイスをそのゾーンに割り当てます。各インターフェイスは、ポリシーを設定するゾーンに属している必要があります。

次の例では、新しい dmz_zone を作成し、それに dmz インターフェイスを割り当てる方法を示します。

Figure 3. セキュリティ ゾーン オブジェクト
3.

内部クライアントで DHCP を使用してデバイスから IP アドレスを取得する場合は、[Device > System Settings > DHCP Server] の順に選択してから [DHCP Servers] タブを選択します。

すでに内部インターフェイス用に構成されている DHCP サーバーがあります。

Figure 4. DHCP サーバー
4.

[ポリシー(Policies)] を選択してネットワークのセキュリティ ポリシーを構成します。

デバイス セットアップ ウィザードでは、信頼ルールを使用して、inside_zone と outside_zone 間の通信フローを有効にできます。信頼ルールでは侵入ポリシーを適用しません。侵入を使用するには、ルールに対して許可アクションを指定します。ポリシーには、外部インターフェイスに向かうときのすべてのインターフェイスのインターフェイス PAT も含まれます。

Figure 5. デフォルトのセキュリティポリシー

ただし、異なるゾーンにインターフェイスがある場合は、それらのゾーンとの間の通信を許可するアクセス制御ルールが必要です。

さらに、追加のサービスを提供するために他のポリシーを設定し、組織が必要とする結果を取得するために NAT およびアクセスルールを調整することができます。ツールバーでポリシータイプをクリックすることで、次のポリシーを設定できます。

  • [SSL復号(SSL Decryption)]:侵入、マルウェアなどについて暗号化された接続(HTTPS など)を検査する場合は、接続を復号化する必要があります。どの接続を復号する必要があるかを判断するには SSL 復号ポリシーを使用します。システムは、検査後に接続を再暗号化します。

  • [アイデンティティ(Identity)]:個々のユーザーにネットワーク アクティビティを関連付ける、またはユーザーまたはユーザー グループのメンバーシップに基づいてネットワーク アクセスを制御する場合は、特定のソース IP アドレスに関連付けられているユーザーを判定するためにアイデンティティ ポリシーを使用します。

  • [Security Intelligence]:(IPS ライセンスが必要)ブラックリスト登録済みの IP アドレスまたは URL の接続をただちにドロップするには、セキュリティ インテリジェンス ポリシーを使用します。既知の不正なサイトをブラックリストに登録すれば、アクセス コントロール ポリシーでそれらを考慮する必要がなくなります。Cisco では、セキュリティ インテリジェンスのブラックリストが動的に更新されるように、既知の不正なアドレスや URL の定期更新フィードを提供しています。フィードを使用すると、ブラックリストの項目を追加または削除するためにポリシーを編集する必要がありません。

  • [NAT](ネットワークアドレス変換):内部 IP アドレスを外部のルーティング可能なアドレスに変換するために NAT ポリシーを使用します。

  • [アクセス制御(Access Control)]:ネットワーク上で許可する接続の決定にアクセス コントロール ポリシーを使用します。セキュリティ ゾーン、IP アドレス、プロトコル、ポート、アプリケーション、URL、ユーザーまたはユーザー グループによってフィルタ処理できます。また、アクセス制御ルールを使用して侵入やファイル(マルウェア)ポリシーを適用します。このポリシーを使用して URL フィルタリングを実装します。

  • [侵入(Intrusion)]:侵入ポリシーを使用して、既知の脅威を検査します。アクセス制御ルールを使用して侵入ポリシーを適用しますが、侵入ポリシーを編集して特定の侵入ルールを選択的に有効または無効にできます。

次の例は、アクセス制御ポリシーで inside_zone と dmz_zone の間の通信を許可する方法を示しています。この例では、[接続の最後で(At End of Connection)] が選択されている場合、[ロギング(Logging)] を除いて他のいずれのタブでもオプションは設定されません。

Figure 6. アクセス コントロール ポリシー
5.

[デバイス(Device)] を選択してから、[更新(Updates)] グループで [設定の表示(View Configuration)] をクリックし、システムデータベースの更新スケジュールを設定します。

侵入ポリシーを使用している場合は、ルールと VDB のデータベースを定期的な更新を設定します。セキュリティ情報フィードを使用する場合は、それらの更新スケジュールを設定します。一致基準としてセキュリティポリシーで地理位置情報を使用する場合は、そのデータベースの更新スケジュールを設定します。
6.

メニューの [Deploy] ボタンをクリックし、[Deploy Now] ボタン()をクリックして、変更内容をデバイスに展開します。

変更は、それらを展開するまでデバイスで有効になりません。