- シスコASA FirePOWER モジュールの概要
- 再使用可能オブジェクトの管理
- デバイス設定の管理
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレス レピュテーションを使用したブラックリスト登録
- アクセス コントロール ルールを使用したトラフィック フローの調整
- ネットワークベースのルールによるトラフィックの制御
- レピュテーション ベースのルールによるトラフィックの制御
- アクセス コントロール ルール:レルムとユーザ
- アクセス コントロール ルール:カスタム セキュリティ グループ タグ
- 侵入ポリシーおよびファイル ポリシーを使用したトラフィックの制御
- インテリジェント アプリケーション バイパス
- コンテンツ制限を使用したアクセス コントロール
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ポリシーの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリシーについて
- ネットワーク分析ポリシーまたは侵入ポリシーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- 特定の脅威の検出
- 侵入イベントの記録のグローバルな制限
- 侵入ルールの概要と作成
- アイデンティティ データの概要
- レルムとアイデンティティ ポリシー
- ユーザ アイデンティティ ソース
- DNS ポリシー
- マルウェアおよび禁止されたファイルのブロッキング
- ネットワーク トラフィックの接続のロギング
- イベントの表示
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ダッシュボードの ASA FirePOWER 使用
- ASA FirePOWER レポートの使用
- タスクのスケジューリング
- システム ポリシーの管理
- ASA FirePOWER モジュール設定の設定
- ASA FirePOWER モジュールのライセンス
- ASA FirePOWER モジュール ソフトウェアの更新
- システムのモニタリング
- バックアップと復元の使用
- トラブルシューティング ファイルの生成
- 設定のインポートおよびエクスポート
- 実行時間が長いタスクのステータスの表示
- セキュリティ、インターネット アクセス、および通信ポート
Cisco ASA with FirePOWER Services ローカル管理設定ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月19日
章のタイトル: インテリジェント アプリケーション バイパス
インテリジェント アプリケーション バイパス
次の各トピックでは、インテリジェント アプリケーション バイパス の使用に向けてアクセス コントロール ポリシーを設定する方法を説明します。
IAB の概要
インテリジェント アプリケーション バイパス (IAB)では、パフォーマンスおよびフローのしきい値を超過した場合に、信頼できるものとしてさらなるインスペクションなしでネットワークを通過させるアプリケーションを指定します。たとえば、夜間バックアップがシステム パフォーマンスに著しい影響を及ぼす場合、しきい値を設定し、その値を超えたらバックアップ アプリケーションによって生成されるトラフィックを信頼するようにすることができます。オプションでは、インスペクション パフォーマンスしきい値を超過したときは、いずれかのフロー バイパスしきい値を超えるすべてのトラフィックを、アプリケーションのタイプに関係なく信頼するよう IAB を設定することができます。このオプションには、バージョン 6.1.0.3 または後続の 6.1.0.x パッチが必要です。
IAB は、アクセス コントロール ルールまたはアクセス コントロール ポリシーのデフォルト アクションによって許可されるトラフィックに対し、トラフィックが詳細なインスペクションの対象となる前に実行されます。テスト モードでは、しきい値を超過しているかどうか判断することと、しきい値を超過している場合、IAB を実際に有効化している状態( バイパス モード といいます)であればバイパスされたであろうアプリケーション フローを特定することが可能です。
IAB オプション
パフォーマンス サンプル インターバル(Performance Sample Interval)
IAB パフォーマンス サンプリング スキャンの間隔を秒で指定します。この間隔で、システムは、IAB パフォーマンスしきい値と比較するためのシステム パフォーマンス測定値を収集します。値を 0 にすると、IAB は無効になります。
バイパス可能なアプリケーションとフィルタ(Bypassable Applications and Filters)
この機能には、相互に排他的な、次の 2 つのオプションがあります。
アプリケーション/フィルタ(Applications/Filters)
バイパス可能なアプリケーションおよびアプリケーションのセット(フィルタ)を指定できるエディタを提供します。指定の方法は、アクセス コントロール ルールでアプリケーション条件を指定するときとほぼ同じです。詳細については、アプリケーション トラフィックの制御を参照してください。
未確認アプリケーションを含むすべてのアプリケーション(All applications including unidentified application)
インスペクション パフォーマンスしきい値を超過すると、アプリケーションのタイプに関係なく、いずれかのフロー バイパスしきい値を超過するすべてのトラフィックを信頼します。このオプションには、バージョン 6.1.0.3 か、後続の 6.1.0.x パッチが必要です。
インスペクション パフォーマンスしきい値(Inspection Performance Thresholds)
インスペクション パフォーマンスしきい値は、侵入インスペクションのパフォーマンスの限界を定めるもので、この限界を超えると、フローしきい値のインスペクションがトリガーされます。IAB では、0 に設定された インスペクション パフォーマンスしきい値は使用しません。
(注
) インスペクション パフォーマンスしきい値とフロー バイパスしきい値は、デフォルトでは無効化されています。IAB がトラフィックを信頼するには、少なくともいずれか 1 つを有効化し、いずれか 1 つを超過している必要があります。インスペクション パフォーマンスしきい値またはフロー バイパスしきい値を複数有効にした場合、IAB がトラフィックを信頼するには、いずれか 1 つのみを超過する必要があります。
消費が激しい侵入ルール、ファイル ポリシー、圧縮解除などによってパフォーマンス過負荷となったためにパケットがドロップされた場合にドロップされたパケットが、パケット全体に占める割合の平均。侵入ルールのような通常の設定によってドロップされるパケットは含まれません。1 より大きい整数を指定すると、指定されたパーセンテージのパケットがドロップされたときに IAB がアクティブ化することに注意が必要です。1 を指定すると、0 ~ 1 までのパーセンテージによって IAB がアクティブ化します。これにより、少ないパケット数で IAB がアクティブ化します。
プロセッサ使用率(Processor Utilization Percentage)
1 秒あたりのフロー数で測定される、システムによるフロー処理率。このオプションでは、IAB は、フローを 件数 ではなく レート で測定するように設定されることに注意が必要です。
フロー バイパスしきい値(Flow Bypass Thresholds)
フロー バイパスしきい値はフローの限界を定めるもので、この限界を超えると、IAB は、バイパス モードではバイパス可能なアプリケーションを信頼し、テスト モードでは、アプリケーション トラフィックを許可してさらなるインスペクションの対象にします。IAB では、0 に設定された フロー バイパスしきい値は使用しません。
(注) インスペクション パフォーマンスしきい値とフロー バイパスしきい値は、デフォルトでは無効化されています。IAB がトラフィックを信頼するには、少なくともいずれか 1 つを有効化し、いずれか 1 つを超過している必要があります。インスペクション パフォーマンスしきい値またはフロー バイパスしきい値を複数有効にした場合、IAB がトラフィックを信頼するには、いずれか 1 つのみを超過する必要があります。
IAB の設定
IAB はすべての導入に必要なわけではなく、必要である場合も、限定的に使用されることがあります。ネットワーク トラフィック(特にアプリケーション トラフィック)とシステム パフォーマンス(予測可能なパフォーマンスの問題を含む)の専門知識がある場合を除き、IAB を有効化しないでください。IAB をバイパス モードで実行する場合は、指定したトラフィックを信頼することでリスクが生じないことを事前に確認してください。
しきい値を超過する場合に、信頼できるものとしてネットワークを通過させるアプリケーションを指定する方法:
手順 1 アクセス コントロール ポリシー エディタで [詳細設定(Advanced)] タブをクリックし、次に、[インテリジェント アプリケーション バイパス設定(Intelligent Application Bypass Settings)] の隣にある編集アイコン(
)をクリックします。
代わりにビュー アイコン(
)が表示される場合、設定は先祖ポリシーから継承され、設定を変更する権限がありません。設定がロック解除されている場合は、[ベース ポリシーから継承する(Inherit from base policy)] をオフにして、編集を有効にします。
– バイパスするアプリケーションとフィルタの数をクリックし、トラフィックをバイパスするアプリケーションを指定します。これは、アクセス コントロール ルールでアプリケーション条件を指定するときとほぼ同じ方法です。詳細については、アプリケーション トラフィックの制御を参照してください。
– [未確認アプリケーションを含むすべてのアプリケーション(All applications including unidentified applications)] をクリックし、インスペクション パフォーマンスしきい値を超過したときに、IAB が、いずれかのフロー バイパスしきい値を超えるすべてのトラフィックをアプリケーションのタイプに関係なく信頼するように設定します。このオプションには、バージョン 6.1.0.3 か、後続の 6.1.0.x パッチが必要です。
少なくとも 1 つのインスペクション パフォーマンスしきい値と 1 つのフロー バイパスしきい値を指定する必要があります。IAB がトラフィックを信頼するには、両方を超過している必要があります。各タイプに複数のしきい値を入力した場合、いずれか 1 つのタイプのみを超過する必要があります。詳細については、IAB オプションを参照してください。
手順 3 [OK] をクリックして、IAB 設定を保存します。
手順 4 [保存(Save)] をクリックして、ポリシーを保存します。
- 設定変更を展開します。設定変更の展開を参照してください。
IAB のロギングと分析
IAB は、接続終了イベントを強制的に生成します。それにより、接続のロギングを有効化しているかどうかに関係なく、バイパスされたフローおよびバイパスされたであろうフローがログに記録されます。接続イベントは、バイパス モードの場合はバイパスされたフロー、テスト モードの場合はバイパスされたであろうフローを示します。接続イベントに基づくカスタムのダッシュボード ウィジェットおよびレポートでは、バイパスされた、またはバイパスされたであろうフローの長期的な統計情報を表示できます。
[理由(Reason)] に「 Intelligent App Bypass 」が含まれる場合、次のいずれかです。
Allow :適用されている IAB 設定がテスト モードであり、[アプリケーション プロトコル(Application Protocol)] によって指定されたアプリケーションのトラフィックはインスペクション可能な状態のままであることを示します。
Trust :適用されている IAB 設定がバイパス モードであり、[アプリケーション プロトコル(Application Protocol)] によって指定されたアプリケーションのトラフィックが信頼され、さらなるインスペクションなしでネットワークを通過したことを示します。
「 Intelligent App Bypass 」は、バイパス モードまたはテスト モードの IAB によってイベントがトリガーされたことを示します。
アプリケーション プロトコル(Application Protocol)
このフィールドには、イベントをトリガーしたアプリケーション プロトコルが表示されます。
次の図は切り取ったもので、一部のフィールドは省略されています。図には、2 つの別のアクセス コントロール ポリシーでの異なる IAB 設定から生じた 2 つの接続イベントの [アクション(Action)] フィールド、[理由(Reason)] フィールド、および [アプロケーション プロトコル(Application Protocol)] フィールドが示されています。
1 つ目のイベントでは、 Trust アクションから、IAB がバイパス モードで有効化されており、Bonjour プロトコルのトラフィックが信頼され、さらなるインスペクションなしで通過したことが分かります。
2 つ目のイベントでは、 Allow アクションから、IAB がテスト モードで有効化されているため、Ubuntu Update Manager のトラフィックはさらなるインスペクションの対象になったものの、IAB がバイパス モードであればバイパスされたであろうことが分かります。
次の図は切り取ったもので、一部のフィールドは省略されています。2 つ目のイベントのフローは、バイパスされており、( アクション(Action) : Trust 、 理由(Reason) : Intelligent App Bypass )、それとともに、侵入ルールによってインスペクションされています( 理由(Reason) : Intrusion Monitor )。「 Intrusion Monitor 」という理由は、[イベントを生成する(Generate Events)] に設定された侵入ルールが接続中にエクスプロイトを検出したものの、ブロックはしなかったことを示しています。例では、これは、アプリケーションが検出される前に発生しています。アプリケーションの検出後、IAB は、アプリケーションをバイパス可能とみなし、フローを信頼しています。
カスタムの分析ダッシュボード ウィジェットを作成し、接続イベントに基づく長期的な IAB 統計情報を表示することができます。このウィジェットを作成する際は、次の指定を行います。
– IAB Would Bypass Connections
- Bypassed の例では、アプリケーションがバイパス可能と指定されており、展開されているアクセス コントロール ポリシーでは IAB がバイパス モードで有効にされているため、バイパスされたアプリケーション トラフィックの統計情報が表示されています。
- Would Have Bypassed の例では、アプリケーションがバイパス可能と指定されており、展開されているアクセス コントロール ポリシーでは IAB がテスト モードで有効にされているため、バイパスされたであろうアプリケーション トラフィックの統計情報が表示されています。
カスタムのレポートを作成し、接続イベントに基づく長期的な IAB 統計情報を表示することができます。このレポートを作成する際は、次の指定を行います。
- テーブル(Table) :
Application Statistics - プリセット(Preset) :
None - フィルタ(Filter) :
any - X 軸(X-Axis) :
any - Y 軸(Y-Axis) :次のいずれか
– IAB Would Bypass Connections
- Bypassed の例では、アプリケーションがバイパス可能と指定されており、展開されているアクセス コントロール ポリシーでは IAB がバイパス モードで有効にされているため、バイパスされたアプリケーション トラフィックの統計情報が表示されています。 Would Have Bypassed の例では、アプリケーションがバイパス可能と指定されており、展開されているアクセス コントロール ポリシーでは IAB がテスト モードで有効にされているため、バイパスされたであろうアプリケーション トラフィックの統計情報が表示されています。
フィードバック