- Cisco ASA with FirePOWER Services ローカル管理設定ガ イ ド 6.0
- シスコ ASA FirePOWER モジュールの概要
- 再利用可能なオブジェクトの管理
- デバイス設定の管理
- アクセス コントロール ポリシーの開始
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- アクセス コントロール ルール:レルムと ユーザ
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシー クイック スタート ガイド
- SSL ルール クイック スタート ガイド
- SSL ルールを使用したトラフィック復号の 調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの開始
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- シブ展開における前処理の調整
- 侵入ポリシーを使用する前に
- ルールを使用した侵入ポリシーの調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの概要と作成
- アイデンティティ データの概要
- レルムとアイデンティティ ポリシー
- ユーザ アイデンティティ ソース
- DNS ポリシー
- マルウェアと禁止されたファイルのブロッ キング
- パッシブ展開における前処理の調整
- イベントの表示
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ASA FirePOWER ダッシュボードの使用
- ASA FirePOWER レポートの使用
- タスクのスケジュール
- システム ポリシーの管理
- ASA FirePOWER モジュールの設定
- ASA FirePOWER モジュールのライセンス
- ASA FirePOWER モジュール ソフトウェアの 更新
- システムのモニタリング
- バックアップと復元の使用
- トラブルシューティング ファイルの生成
- 設定のインポートおよびエクスポート
- 実行時間が長いタスクのステータスの表示
- セキュリティ、インターネット アクセス、お よび通信ポート
Cisco ASA with FirePOWER Services ローカル管理設定ガ イ ド 6.0
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月6日
章のタイトル: トラフィックの前処理のカスタマイズ
トラフィックの前処理のカスタマイズ
アクセス コントロール ポリシーにおける詳細設定の多くは、設定のために特定の専門知識を要する侵入検知設定と予防設定を制御します。通常、詳細設定はほとんど、あるいはまったく変更する必要がありません。詳細設定は導入環境ごとに異なります。
- アクセス コントロールのデフォルト侵入ポリシーの設定では、システムがトラフィックを検査する方法を正確に決定する前に、最初にそのトラフィックを検査するために使用される、アクセス コントロール ポリシーのデフォルトの侵入ポリシーを変更する方法について説明します。
- ネットワーク分析ポリシーによる前処理のカスタマイズでは、一致するトラフィックを前処理するためのカスタム ネットワーク分析ポリシーを割り当てることで、特定のセキュリティ ゾーン、およびネットワークに対する特定のトラフィック前処理オプションを調整する方法を説明します。
他の章では、アクセス コントロール ポリシーに対するポリシー全体の前処理とパフォーマンスのオプションを説明します。詳細については、以下を参照してください。
アクセス コントロールのデフォルト侵入ポリシーの設定
各アクセス コントロール ポリシーは、システムがトラフィックを検査する方法を正確に決定する前に、 デフォルトの侵入ポリシー を使用してそのトラフィックを最初に検査します。これは、場合によってシステムがトラフィックを処理するアクセス コントロール ルール(存在する場合)を決定する前に、接続の最初の数パケットを処理し 通過を許可する 必要があるため必要となります。しかし、これらのパケットは検査されないまま宛先に到達することはないので、デフォルト侵入ポリシーと呼ばれる侵入ポリシーを使用して、パケットを検査し侵入イベントを生成できます。
システムはクライアントとサーバの間で接続が完全に確立される前にアプリケーションを識別したり URL をフィルタ処理することはできないので、デフォルトの侵入ポリシーは、アプリケーション制御および URL フィルタリングを実行する場合に特に有用です。たとえば、パケットがアプリケーションまたは URL 条件を持つアクセス コントロール ルールのその他のすべての条件に一致する場合、そのパケットと後続のパケットは、接続が確立されてアプリケーションまたは URL の識別が完了するまで通過することを許可されます。通常は 3 ~ 5 パケットです。
システムはこれらの許可されたパケットをデフォルトの侵入ポリシーで検査し、これによってイベントを生成したり、インラインで配置されている場合は、悪意のあるトラフィックをブロックできます。システムが接続を処理する必要があるアクセス コントロール ルールまたはデフォルト アクションを識別した後、接続内の残りのパケットが適宜処理され検査されます。
アクセス コントロール ポリシーを作成する場合、そのデフォルトの侵入ポリシーは 最初に 選択したデフォルト アクションによって異なります。アクセス コントロールの初期のデフォルト侵入ポリシーは次のとおりです。
- [バランスの取れたセキュリティと接続(Balanced Security and Connectivity)](システムによって提供されるポリシー)は、最初に [侵入防御(Intrusion Prevention)] デフォルト アクションを選択した場合のアクセス コントロール ポリシーのデフォルトの侵入ポリシーです。
- No Rules Active は、最初に [すべてのトラフィックをブロックする(Block all traffic)] デフォルト アクションを選択した場合のアクセス コントロール ポリシーのデフォルトの侵入ポリシーです。このオプションを選択すると、前述の許可されたパケットでの侵入インスペクションが無効になりますが、侵入データが必要なければ、パフォーマンスを向上できます。
(注
) 侵入インスペクションを実行していない場合は、デフォルトの侵入ポリシーとして No Rules Active ポリシーを保持してください。詳細については、アクセス コントロール ポリシーおよびルールのトラブルシューティングを参照してください。
アクセス コントロール ポリシーを作成後にデフォルト アクションを変更する場合は、デフォルトの侵入ポリシーが自動的に変更され ない ことに注意してください。手動で変更するには、アクセス コントロール ポリシーの詳細オプションを使用します。
アクセス コントロール ポリシーのデフォルト侵入ポリシーを変更するには、次の手順を実行します。
ステップ 1 デフォルトの侵入ポリシーを変更するアクセス コントロール ポリシーで、[詳細設定(Advanced)] タブを選択し、[ネットワーク分析と侵入ポリシー(Network Analysis and Intrusion Policies)] セクションの横にある編集アイコン(
)をクリックします。
[ネットワーク分析ポリシー(Network Analysis Policies)] ダイアログボックスが表示されます。
ステップ 2 [アクセス コントロール ルールが決定される前に使用される侵入ポリシー(Intrusion Policy used before Access Control rule is determined)] ドロップダウンリストから、デフォルトの侵入ポリシーを選択します。システムによって作成されたポリシーまたはユーザが作成したポリシーを選択できます。
ユーザが作成したポリシーを選択した場合は、編集アイコン( )をクリックして、新しいウィンドウでポリシーを編集できます。システムによって提供されたポリシーは編集できません。
シスコの担当者から指示された場合を除き、
Experimental Policy 1 は使用
しないでください。シスコでは、試験用にこのポリシーを使用します。
変更を反映するには、アクセス コントロール ポリシーを適用する必要があります。
ネットワーク分析ポリシーによる前処理のカスタマイズ
ネットワーク分析ポリシー は、特に侵入の試みの前兆となるかもしれない異常トラフィックに対し、そのトラフィックがさらに評価されるようにトラフィックをデコードおよび前処理する方法を制御します。このトラフィックの前処理は、セキュリティ インテリジェンスのブラックリスト登録の後に行われますが、侵入ポリシーがパケットを詳細に検査する前に行われます。デフォルトでは、システムによって提供される [バランスの取れたセキュリティと接続(Balanced Security and Connectivity)] ネットワーク分析ポリシーは、アクセス コントロール ポリシーによって処理される すべての トラフィックに適用されます。
ヒント システムによって提供される [バランスの取れたセキュリティと接続(Balanced Security and Connectivity)] ネットワーク分析ポリシーおよび [バランスの取れたセキュリティと接続(Balanced Security and Connectivity)] 侵入ポリシーは共に機能し、侵入ルールの更新の際に両方とも更新できます。ただし、ネットワーク分析ポリシーは主に前処理オプションを管理し、侵入ポリシーは主に侵入ルールを管理します。
前処理を調整する簡単な方法は、デフォルトとしてカスタム ネットワーク分析ポリシーを作成して使用することです。カスタム ネットワーク分析ポリシーの作成 を参照してください。使用可能な調整オプションは、プリプロセッサによって異なります。
複雑な環境での高度なユーザの場合は、複数のネットワーク分析ポリシーを作成し、それぞれがトラフィックを別々に前処理するように調整することができます。そして、異なるセキュリティ ゾーンまたはネットワークを使用したトラフィックの前処理を制御するためにそれらのポリシーを使用するようにシステムを設定できます。
これを実現するには、アクセス コントロール ポリシーにカスタム ネットワーク分析ルール を追加します。各ルールに含まれる内容は、次のとおりです。
システムがトラフィックを前処理するときに、パケットはルール番号の上位から下位の順序でネットワーク分析ルールに照合されます。いずれのネットワーク分析ルールにも一致しないトラフィックは、デフォルトのネットワーク分析ポリシーによって前処理されます。
(注) プリプロセッサを無効にしているが、システムは有効になっている侵入ルールまたはプリプロセッサ ルールと照合して前処理されたパケットを評価する必要がある場合、システムはプリプロセッサを自動的に有効にして使用します。しかし、ネットワーク分析ポリシー インターフェイスでは無効のままです。前処理の調整、特に複数のカスタム ネットワーク分析ポリシーを使用して調整することは、高度なタスクです。前処理および侵入インスペクションは密接に関連しているため、単一パケットを検査するネットワーク分析ポリシーと侵入ポリシーが互いに補完することを許可する場合は慎重になる必要があります。詳細については、カスタム ポリシーに関する制約事項を参照してください。
アクセス コントロールのデフォルト ネットワーク分析ポリシーの設定
デフォルトでは、システムによって提供される [バランスの取れたセキュリティと接続(Balanced Security and Connectivity)] ネットワーク分析ポリシーは、アクセス コントロール ポリシーによって処理されるすべてのトラフィックに適用されます。トラフィックの前処理オプションを調整するためにネットワーク分析ルールを追加する場合は、デフォルトのネットワーク分析ポリシーがそのルールで処理されないすべてのトラフィックを前処理します。
アクセス コントロール ポリシーの詳細設定によって、このデフォルト ポリシーを変更することができます。
アクセス コントロール ポリシーのデフォルトのネットワーク分析ポリシーを変更するには、次の手順を実行します。
ステップ 1 デフォルトのネットワーク分析ポリシーを変更するアクセス コントロール ポリシーで、[詳細設定(Advanced)] タブを選択し、[ネットワーク分析と侵入ポリシー(Network Analysis and Intrusion Policies)] セクションの横にある編集アイコン( )をクリックします。
[ネットワーク分析ポリシー(Network Analysis Policies)] ダイアログボックスが表示されます。
ステップ 2 [デフォルトのネットワーク分析ポリシー(Default Network Analysis Policy)] ドロップダウンリストから、デフォルトのネットワーク分析ポリシーを選択します。システムによって作成されたポリシーまたはユーザが作成したポリシーを選択できます。
ユーザが作成したポリシーを選択した場合は、編集アイコン( )をクリックして、新しいウィンドウでポリシーを編集できます。システムによって提供されたポリシーは編集できません。
シスコの担当者から指示された場合を除き、
Experimental Policy 1 は使用
しないでください。シスコでは、試験用にこのポリシーを使用します。
変更を反映するには、アクセス コントロール ポリシーを適用する必要があります。
ネットワーク分析ルールを使用して前処理するトラフィックの指定
アクセス コントロール ポリシーの詳細設定で、ネットワーク分析ルールを使用してネットワーク トラフィックへの前処理設定を調整できます。アクセス コントロール ルールと同様に、ネットワーク分析ルールには 1 から始まる番号が付いています。
システムがトラフィックを前処理するときに、パケットはルール番号の昇順で上から順にネットワーク分析ルールに照合され、すべてのルールの条件が一致する最初のルールに従ってトラフィックが前処理されます。次の表に、ルールに追加できる条件を示します。
|
|
|
|
|---|---|---|
セキュリティ ゾーンは、ご使用の導入ポリシーおよびセキュリティ ポリシーに準じた 1 つ以上のインターフェイスの論理グループです。ゾーン条件を作成するには、ゾーンごとのトラフィックの前処理を参照してください。 |
||
IP アドレスを明示的に指定できます。ネットワーク条件を作成するには、ネットワークごとのトラフィックの前処理 を参照してください。 |
ルールに対し特定の条件を設定しない場合、システムはその基準に基づいてトラフィックを照合しません。たとえば、ネットワーク条件を持つがゾーン条件を持たないルールは、その入力または出力インターフェイスに関係なく、送信元または宛先 IP アドレスに基づいてトラフィックを評価します。いずれのネットワーク分析ルールにも一致しないトラフィックは、デフォルトのネットワーク分析ポリシーによって前処理されます。
カスタム ネットワーク分析ルールを追加するには、次の手順を実行します。
ステップ 1 カスタム前処理設定を作成するアクセス コントロール ポリシーで、[詳細設定(Advanced)] タブを選択して、[ネットワーク分析と侵入ポリシー(Network Analysis and Intrusion Policies)] セクションの横にある編集アイコン( )をクリックします。
[ネットワーク分析ポリシー(Network Analysis Policies)] ダイアログボックスが表示されます。カスタム ネットワーク分析ルールを追加していない場合、モジュール インターフェイスには カスタム ルールがない ことが示され、追加している場合は、設定している数が表示されます。
ヒント 新しいウィンドウで [ネットワーク分析ポリシー(Network Analysis Policies)] ページを表示するには、[ネットワーク分析ポリシー リスト(Network Analysis Policy List)] をクリックします。このページは、カスタム ネットワーク分析ポリシーを表示および編集するために使用します。ネットワーク分析ポリシーの管理を参照してください。
ステップ 2 [ネットワーク分析ルール(Network Analysis Rules)] の横にある、所持しているカスタム ルールの数を示したステートメントをクリックします。
ダイアログボックスが展開され、カスタム ルールが表示されます(ある場合)。
ステップ 3 [ルールの追加(Add Rule)] をクリックします。
ステップ 4 ルールの条件を作成します。次の基準を使用して、NAP の前処理を制限できます。
ステップ 5 [ネットワーク分析(Network Analysis)] タブをクリックし、[ネットワーク分析ポリシー(Network Analysis Policy)] ドロップダウンリストからポリシーを選択することによって、ネットワーク分析ポリシーをルールに関連付けます。
システムは、ユーザが選択したネットワーク分析ポリシーを使用して、すべてのルールの条件を満たすトラフィックを前処理します。ユーザが作成したポリシーを選択した場合は、編集アイコン( )をクリックして、新しいウィンドウでポリシーを編集できます。システムによって提供されたポリシーは編集できません。
シスコの担当者から指示された場合を除き、
Experimental Policy 1 は使用
しないでください。シスコでは、試験用にこのポリシーを使用します。
このルールは他のルールの後に追加されます。ルールの評価順序を変更する場合は、ネットワーク分析ルールの管理を参照してください。
ゾーンごとのトラフィックの前処理
ネットワーク分析ルール内のゾーン条件によって、その送信元および宛先セキュリティ ゾーン別にトラフィックを前処理することができます。セキュリティ ゾーンは 1 つ以上のインターフェイスのグループです。ゾーン作成の詳細については、セキュリティ ゾーンの操作を参照してください。
1 つのゾーン条件で [送信元ゾーン(Source Zones)] および [宛先ゾーン(Destination Zones)] それぞれに対し、最大 50 のゾーンを追加できます。
- ゾーン内のインターフェイスからデバイスから 発信する トラフィックを照合するには、そのゾーンを [宛先ゾーン(Destination Zones)] に追加します。パッシブに展開されたデバイスはトラフィックを送信しないので、 宛先ゾーン 条件でパッシブ インターフェイスから構成されるゾーンは使用できないことに注意してください。
- ゾーン内のインターフェイスからデバイスに 着信する トラフィックを照合するには、そのゾーンを [送信元ゾーン(Source Zones)] に追加します。
送信元ゾーン条件と宛先ゾーン条件の両方をルールに追加する場合、一致するトラフィックは指定された送信元ゾーンの 1 つから発生し、宛先ゾーンの 1 つを通って出力する必要があります。
警告アイコン(
)は、インターフェイスが含まれていないゾーンなどの無効な設定を示します。詳細については、アクセス コントロール ポリシーおよびルールのトラブルシューティングを参照してください。
ゾーン別にトラフィックを前処理するには、次の手順を実行します。
ステップ 1 ゾーン別にトラフィックを前処理するアクセス コントロール ポリシーで、新しいネットワーク分析ルールを作成するか、または既存のルールを編集します。
詳細な手順については、ネットワーク分析ルールを使用して前処理するトラフィックの指定を参照してください。
ステップ 2 ネットワーク分析ルール エディタで、[ゾーン(Zones)] タブを選択します。
ステップ 3 [利用可能なゾーン(Available Zones)] から追加するゾーンを見つけて選択します。
追加するゾーンを検索するには、[利用可能なゾーン(Available Zones)] リストの上にある [名前で検索(Search by name)] プロンプトをクリックし、ゾーン名を入力します。入力すると、リストが更新されて一致するゾーンが表示されます。
クリックすると、ゾーンを選択できます。複数のゾーンを選択するには、Shift キーおよび Ctrl キーを使用するか、または右クリックして [すべて選択(Select All)] を選択します。
ステップ 4 [送信元に追加(Add to Source)] または [宛先に追加(Add to Destination)] をクリックして、選択したゾーンを適切なリストに追加します。
選択したゾーンをドラッグ アンド ドロップすることもできます。
変更を反映させるには、アクセス コントロール ポリシーを適用する必要があります。設定変更の展開 を参照してください。
ネットワークごとのトラフィックの前処理
ネットワーク分析ルール内のネットワーク条件によって、その送信元および宛先 IP アドレス別にトラフィックを前処理することができます。前処理するトラフィックに対し送信元と宛先 IP アドレスを手動で指定でき、または、再利用可能で名前を 1 つ以上の IP アドレスおよびアドレス ブロックに関連付けるネットワーク オブジェクトでネットワーク条件を設定できます。
ヒント ネットワーク オブジェクトを作成した後、それを使用して、ネットワーク分析ルールを作成するだけでなく、システムのモジュール インターフェイスの他のさまざまな場所で IP アドレスを表すことができます。これらのオブジェクトはオブジェクト マネージャを使用して作成できます。また、ネットワーク分析ルールの設定時にネットワーク オブジェクトをオンザフライで作成することもできます。詳細については、ネットワーク オブジェクトの操作を参照してください。
1 つのネットワーク条件で [送信元ネットワーク(Source Networks)] および [宛先ネットワーク(Destination Networks)] それぞれに対し、最大 50 の項目を追加できます。
- IP アドレスからのトラフィックを照合するには、[送信元ネットワーク(Source Networks)] を設定します。
- IP アドレスへのトラフィックを照合するには、[宛先ネットワーク(Destination Networks)] を設定します。
送信元(Source)ネットワーク条件と宛先(Destination)ネットワーク条件の両方をルールに追加する場合、送信元 IP アドレスから発信されかつ宛先 IP アドレスに送信されるトラフィックの照合を行う必要があります。
ネットワーク条件を作成する際、警告アイコン( )は無効な設定を示します。詳細については、アクセス コントロール ポリシーおよびルールのトラブルシューティングを参照してください。
ネットワーク別にトラフィックを前処理するには、次の手順を実行します。
ステップ 1 ネットワーク別にトラフィックを前処理するアクセス コントロール ポリシーで、新しいネットワーク分析ルールを作成するか、または既存のルールを編集します。
詳細な手順については、ネットワーク分析ルールを使用して前処理するトラフィックの指定を参照してください。
ステップ 2 ネットワーク分析ルール エディタで、[ネットワーク(Networks)] タブを選択します。
ステップ 3 [利用可能なネットワーク(Available Networks)] から、次のように追加するネットワークを見つけて選択します。
)をクリックし、
ネットワーク オブジェクトの操作の手順に従います。
オブジェクトを選択するには、そのオブジェクトをクリックします。複数のオブジェクトを選択するには、Shift キーおよび Ctrl キーを使用するか、または右クリックして [すべて選択(Select All)] を選択します。
ステップ 4 [送信元に追加(Add to Source)] または [宛先に追加(Add to Destination)] をクリックして、選択したオブジェクトを適切なリストに追加します。
選択したオブジェクトをドラッグ アンド ドロップすることもできます。
ステップ 5 手動で指定する送信元または宛先 IP アドレスまたはアドレス ブロックを追加します。
[送信元ネットワーク(Source Networks)] リストまたは [宛先ネットワーク(Destination Networks)] リストの下にある [IP アドレスの入力(Enter an IP address)] プロンプトをクリックし、1 つの IP アドレスまたはアドレス ブロックを入力して [追加(Add)] をクリックします。
変更を反映させるには、アクセス コントロール ポリシーを適用する必要があります。設定変更の展開 を参照してください。
ネットワーク分析ルールの管理
ネットワーク分析ルールは、これらの条件に一致するトラフィックを前処理する方法を指定する設定および条件の単純なセットにすぎません。既存のアクセス コントロール ポリシーの詳細オプションでネットワーク分析ルールを作成および編集します。各ルールは 1 つのポリシーにのみ属します。
カスタム ネットワーク分析ルールを編集するには、次の手順を実行します。
ステップ 1 カスタム前処理設定を変更するアクセス コントロール ポリシーで、[詳細設定(Advanced)] タブを選択して、[ネットワーク分析と侵入ポリシー(Network Analysis and Intrusion Policies)] セクションの横にある編集アイコン( )をクリックします。
[ネットワーク分析ポリシー(Network Analysis Policies)] ダイアログボックスが表示されます。カスタム ネットワーク分析ルールを追加していない場合、モジュール インターフェイスには カスタム ルールがない ことが示され、追加している場合は、設定している数が表示されます。
ステップ 2 [ネットワーク分析ルール(Network Analysis Rules)] の横にある、所持しているカスタム ルールの数を示したステートメントをクリックします。
ダイアログボックスが展開され、カスタム ルールが表示されます(ある場合)。
ステップ 3 カスタム ルールを編集します。次の選択肢があります。
)をクリックします。
- ルールの評価順序を変更するには、ルールをクリックして正しい位置にドラッグします。複数のルールを選択するには、Shift キーおよび Ctrl キーを使用します。
- ルールを削除するには、ルールの横にある削除アイコン(
)をクリックします。
変更を反映させるには、アクセス コントロール ポリシーを適用する必要があります。設定変更の展開 を参照してください。
フィードバック