- Cisco ASA with FirePOWER Services ローカル管理設定ガ イ ド 6.0
- シスコ ASA FirePOWER モジュールの概要
- 再利用可能なオブジェクトの管理
- デバイス設定の管理
- アクセス コントロール ポリシーの開始
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- アクセス コントロール ルール:レルムと ユーザ
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシー クイック スタート ガイド
- SSL ルール クイック スタート ガイド
- SSL ルールを使用したトラフィック復号の 調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの開始
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- シブ展開における前処理の調整
- 侵入ポリシーを使用する前に
- ルールを使用した侵入ポリシーの調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの概要と作成
- アイデンティティ データの概要
- レルムとアイデンティティ ポリシー
- ユーザ アイデンティティ ソース
- DNS ポリシー
- マルウェアと禁止されたファイルのブロッ キング
- パッシブ展開における前処理の調整
- イベントの表示
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ASA FirePOWER ダッシュボードの使用
- ASA FirePOWER レポートの使用
- タスクのスケジュール
- システム ポリシーの管理
- ASA FirePOWER モジュールの設定
- ASA FirePOWER モジュールのライセンス
- ASA FirePOWER モジュール ソフトウェアの 更新
- システムのモニタリング
- バックアップと復元の使用
- トラブルシューティング ファイルの生成
- 設定のインポートおよびエクスポート
- 実行時間が長いタスクのステータスの表示
- セキュリティ、インターネット アクセス、お よび通信ポート
Cisco ASA with FirePOWER Services ローカル管理設定ガ イ ド 6.0
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月6日
章のタイトル: シスコ ASA FirePOWER モジュールの概要
シスコ ASA FirePOWER モジュールの概要
シスコ ASA FirePOWER モジュール® は、Cisco ASA5506-X、ASA5506H-X、ASA5506W-X、ASA5508-X、ASA5512-X、ASA5515-X、ASA5516-X、ASA5525-X、ASA5545-X、ASA5555-X、ASA5585-X-SSP-10、ASA5585-X-SSP-20、ASA5585-X-SSP-40、ASA5585-X-SSP-60、および ISA3000 の各デバイスに展開できるモジュールです。モジュールは、ユーザの組織のセキュリティ ポリシー(ネットワークを保護するためのガイドライン)に準拠した方法でネットワーク トラフィックを処理するように設計されています。セキュリティ ポリシーにはアクセプタブル ユース ポリシー(AUP)も含まれていることがあります。AUP は、組織のシステムの使用方法に関するガイドラインを従業員に提供します。
このガイドでは、ASDM 経由でアクセス可能な、ASA FirePOWER モジュールの機能の Onbox 設定に関する情報を提供します。各章の説明、図、および手順では、ユーザ インターフェイスのナビゲート、システム パフォーマンスの最大化、問題のトラブルシューティングに役に立つ詳細な情報を記載しています。
(注
) ASA FirePOWER モジュールをホストしている ASA でコマンドの権限を有効にする場合は、特権レベル 15 を持つユーザ名でログインして、ASA FirePOWER のホーム、設定、およびモニタリングのページを参照できるようにする必要があります。ステータス ページ以外の ASA FirePOWER のページに対する読み取り専用またはモニタ専用のアクセス権限は、サポートされていません。
続く各トピックでは、ASA FirePOWER モジュールの概要、主要なコンポーネント、およびこのマニュアルの使用方法について説明しています。
ASA FirePOWER モジュールの概要
ASA FirePOWER モジュールは、ネットワーク セグメントにインストールされている ASA デバイスで動作し、分析用のトラフィックをモニタします。
インラインで展開されたシステムは、 アクセス コントロール を使用してトラフィックのフローに影響を与えることができ、これによって、ネットワークを出入りしたり通過したりするトラフィックを処理する方法を詳細に指定できます。ネットワーク トラフィックについて収集したデータおよびそのデータから収集したすべての情報は、次に基づいてそのトラフィックのフィルタ処理や制御ができます。
- シンプルで容易に決定されるトランスポート層およびネットワーク層の特性(送信元と宛先、ポート、プロトコルなど)
- レピュテーション、リスク、ビジネスとの関連性、使用されたアプリケーション、または訪問した URL などの特性を含む、トラフィックに関する最新のコンテキスト情報
- 組織内の Microsoft Active Directory LDAP ユーザ
各タイプのトラフィックのインスペクションと制御は、最大限の柔軟性とパフォーマンスを引き出すために最も意味がある局面で実行されます。たとえば、レピュテーション ベースのブラックリスト登録は、単純な送信元と宛先のデータを使用するため、禁止されたトラフィックをプロセスの初期段階でブロックできます。その一方、侵入およびエクスプロイトの検出とブロックは、プロセスの最後の防衛ラインとして実行されます。
ASA FirePOWER モジュール コンポーネント
続く各トピックでは、組織のセキュリティ、適用可能な使用ポリシー、およびトラフィック管理の戦略に対して有用な、ASA FirePOWER モジュールの主な機能について説明します。
アクセス コントロール
アクセス コントロール はポリシーベースの機能で、ユーザはこれを使用してネットワークを横断できるトラフィックを指定、検査、および記録できます。 アクセス コントロール ポリシー は、システムがネットワーク上のトラフィックを処理する方法を決定します。
最も単純なアクセス コントロール ポリシーは、その デフォルト アクション を使用して、すべてのトラフィックを処理します。このデフォルト アクションは、詳細な検査を行わずにすべてのトラフィックをブロックまたは信頼するように設定することも、侵入についてトラフィックを検査するように設定することもできます。
より複雑なアクセス コントロール ポリシーは、セキュリティ インテリジェンス データに基づいてトラフィックをブラックリスト登録することができます。さらに、 アクセス コントロール ルール を使用して、ネットワーク トラフィックのロギングおよび処理を細かく制御することができます。これらのルールは単純にすることも複雑にすることもでき、複数の基準を使用してトラフィックを照合および検査します。セキュリティ ゾーン、ネットワークまたは地理的位置、ポート、アプリケーション、要求された URL、およびユーザ別にトラフィックを制御できます。アクセス コントロールの詳細オプションには、前処理およびパフォーマンスが含まれます。
各アクセス コントロール ルールには アクション も含まれており、一致するトラフィックをモニタ、信頼、ブロック、または許可するかどうかを決定します。トラフィックを許可するときは、システムが侵入ポリシーまたはファイル ポリシーを使用してトラフィックを最初に検査し、アセットに到達したりネットワークを出る前に、エクスプロイト、マルウェア、または禁止されたファイルをブロックするように指定できます。
侵入検知および侵入防御
侵入検知および侵入防御は、トラフィックが宛先に許可される前のシステムの最後の防御ラインです。 侵入ポリシー は、アクセス コントロール ポリシーによって呼び出される侵入検知および侵入防御の設定の定義済みセットです。 侵入ルール およびその他の設定を使用して、これらのポリシーはセキュリティ違反がないかトラフィックを検査し、インライン展開では、悪意のあるトラフィックをブロックまたは変更できます。
システムが提供するポリシーが組織のセキュリティのニーズに十分に対応していない場合は、カスタム ポリシーを作成することで、環境内のシステムのパフォーマンスを向上させ、ネットワーク上で発生する悪意のあるトラフィックやポリシー違反に焦点を当てたビューを提供できます。設定できるカスタム ポリシーを作成および調整することにより、システムがネットワーク上のトラフィックを処理して侵入の有無について検査する方法を非常にきめ細かく設定できます。
高度なマルウェア防御とファイル制御
マルウェアの影響を特定して軽減しやすくするため、ASA FirePOWER モジュールのファイル制御および高度なマルウェア防御の各コンポーネントによって、ネットワーク トラフィック内のファイル(アーカイブ ファイルの内のマルウェア ファイルとネストされたファイルを含む)の伝送を検出、追跡、キャプチャ、分析、および必要に応じてブロックできます。
ファイル制御 により、デバイスは、ユーザが特定のアプリケーション プロトコルを介して特定のタイプのファイルをアップロード(送信)またはダウンロード(受信)するのを検出およびブロックすることができます。ファイル制御は、全体的なアクセス コントロール設定の一部として設定します。アクセス コントロール ルールに関連付けられたファイル ポリシーによって、ルールの条件を満たすネットワーク トラフィックが検査されます。
ネットワークベースの 高度なマルウェア防御 (AMP)によって、複数のファイル タイプのマルウェアに関してネットワーク トラフィックを検査できます。
検出されたファイルは、保存済みかどうかに関係なく、ファイルの SHA-256 ハッシュ値を使用して単純な既知の性質の検索を行うために Collective Security Intelligence クラウド に送信できます。このコンテキスト情報を使用して、特定のファイルをブロックまたは許可するようにシステムを設定できます。
マルウェア防御は、総合的なアクセス コントロール設定の一部として設定することができます。アクセス コントロール ルールに関連付けられているファイル ポリシーは、ルール条件に一致するネットワーク トラフィックを検査します。
アプリケーション プログラミング インターフェイス
アプリケーション プログラミング インターフェイス(API)を使用してシステムと対話する方法がいくつか用意されています。詳細については、次のいずれかのサポート サイトから追加資料をダウンロードできます。
ライセンスの表記規則
項の先頭に記載されているライセンス文は、その項に記載されている機能を使用するのに必要なライセンスを示しています。具体的なライセンスは次のとおりです。
保護 ライセンスでは、デバイスで侵入検知および侵入防御、ファイル制御、セキュリティ インテリジェンスのフィルタリングを実行することができます。
Control ライセンスでは、デバイスでユーザおよびアプリケーションの制御を実行することができます。Control ライセンスには 保護 ライセンスが必要です。
URL フィルタリング(URL Filtering)ライセンスでは、デバイスが定期的に更新されるクラウドベースのカテゴリおよびレピュテーション データを使用して、モニタ対象ホストが要求する URL に基づいて、ネットワークを通過できるトラフィックを決定できます。URL フィルタリング(URL Filtering) ライセンスには 保護 ライセンスが必要です。
マルウェア ライセンスでは、デバイスがネットワークベースの高度なマルウェア防御(AMP)を実行できます。つまり、ネットワーク上で転送されるファイルに含まれるマルウェアの検出、キャプチャ、およびブロックができます。また、ネットワーク上で転送されるファイルを追跡するトラジェクトリを表示することもできます。マルウェア ライセンスには 保護 ライセンスが必要です。
ライセンス付きの機能の多くは追加的であるため、このドキュメントでは、各機能で最も必要なライセンスについてのみ記載しています。たとえば、ある機能で 、保護 および Control のライセンスが必要な場合、Control のみが記載されています。ただし、追加的でないライセンスを機能が必要とする場合、マニュアルではそのライセンスをプラス(+)文字で示しています。
ライセンス文の「または」という語は、その項に記載されている機能を使用するには特定のライセンスが必要であるが、追加のライセンスで機能を追加できることを示しています。たとえば、あるファイル ポリシー内で、一部のファイル ルール アクションには 保護 ライセンスが必要であり、他のファイル ルール アクションには マルウェア ライセンスが必要であるとします。この場合、そのファイル ルールの説明のライセンス文には、「保護 または マルウェア」と示されます。
IP アドレスの表記規則
IPv4 Classless Inter-Domain Routing(CIDR)の表記、および IPv6 の類似のプレフィックス長の表記を使用して、ASA FirePOWER モジュールの多数の場所でアドレス ブロックを定義することができます。
CIDR 表記は、ネットワーク IP アドレスとビット マスクを組み合わせて使用し、指定されたアドレス ブロック内の IP アドレスを定義します。たとえば次の表に、プライベート IPv4 アドレス空間を CIDR 表記で示します。
|
|
|
|
|
|---|---|---|---|
同様に、IPv6 はネットワーク IP アドレスとプレフィックス長を組み合わせて使用し、指定されたブロック内の IP アドレスを定義します。たとえば 2001:db8::/32 は、プレフィックス長が 32 ビットの 2001:db8:: ネットワーク内の IPv6 アドレスを表します。つまり、2001:db8:: ~ 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff を表します。
CIDR またはプレフィックス長の表記を使用して IP アドレスのブロックを指定する場合、ASA FirePOWER モジュール は、マスクまたはプレフィックス長で指定されたネットワーク IP アドレスの部分 のみ を使用します。たとえば、10.1.2.3/8 と入力した場合、ASA FirePOWER モジュール では 10.0.0.0/8 が使用されます。
つまり シスコ は、CIDR またはプレフィックス長の表記を使用する場合に、ビット境界上でネットワーク IP アドレスを使用する標準の方法を推奨していますが、ASA FirePOWER モジュール ではこれは必要ありません。
フィードバック