Firepower Management Center バージョン6.2.1 コンフィギュレーション ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Firepower Management Center バージョン6.2.1 コンフィギュレーション ガイド

Chapter Title

ポリシー管理

検索結果

Updated:
2018年6月4日

章のタイトル: ポリシー管理

ポリシー管理

ここでは、Firepower Management Center でさまざまなポリシーを管理する方法について説明します。

ポリシーの導入

導入を設定した後、およびその設定を変更したときは、影響を受けるデバイスにその変更を導入する必要があります。導入のステータスは、メッセージ センターで確認できます。

導入を行うと、以下のコンポーネントが更新されます。

  • デバイスとインターフェイスの設定

  • デバイス関連ポリシー:NAT、VPN、QoS、プラットフォーム設定

  • アクセス コントロールおよび関連するポリシー:DNS、ファイル、アイデンティティ、侵入、ネットワーク分析、プレフィルタ、SSL

  • ネットワーク検出ポリシー

  • 侵入ルールの更新

  • これらの要素のいずれかに関連付けられている設定とオブジェクト

システムにポリシーを自動的に導入させるには、導入タスクをスケジュールするか、あるいは侵入ルールの更新をインポートする際に導入するようにシステムを設定します。特に、侵入ポリシーの更新によって侵入およびネットワーク分析に関するシステム定義の基本ポリシーを変更できるようにしている場合は、ポリシーの導入を自動化すると役立ちます。侵入ルール更新によって、アクセス コントロール ポリシーの前処理およびパフォーマンスの詳細設定オプションのデフォルト値が変更されることもあります。

マルチドメイン展開では、ユーザ アカウントが属するいずれのドメインにも変更を導入できます。

  • 導入先を先祖ドメインに切り替えると、変更がすべてのサブドメインに同時に導入されます。

  • 導入先をリーフ ドメインに切り替えると、変更はそのドメインだけに導入されます。

設定変更の導入

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

任意(Any)

Admin/Network Admin/Security Approver

展開を設定した後、およびその設定を変更したときは、その変更を影響を受けるデバイスに展開します。


注意    

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、一部のコンフィギュレーションを展開すると、トラフィックのインスペクションを中断する Snort プロセスが再開します。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲット デバイスがトラフィックを処理する方法に応じて異なります。Snort® の再起動によるトラフィックの動作を参照してください。 Firepower 7010、7020、および 7030 の管理対象デバイスでは、設定変更の展開に最大 5 分かかる場合があります。利用できない時間を最小限にするために、導入は変更時間帯に実行します。

始める前に

  • 設定変更の展開に関するガイドラインを確認してください(設定変更の展開に関する注意事項を参照)。

  • すべての管理対象デバイスが同じバージョンのセキュリティ ゾーン オブジェクトを使用していることを確認してください。セキュリティ ゾーン オブジェクトを編集している場合:同期させるすべてのデバイスでインターフェイスのゾーン設定を編集するまでは、デバイスに設定変更を展開しないでください。すべての管理対象デバイスに同時に展開する必要があります。セキュリティ ゾーン オブジェクトのリビジョンの同期を参照してください。)

手順

ステップ 1

Firepower Management Center メニュー バーで、[展開(Deploy)] をクリックします。

[ポリシーの展開(Deploy Policies)] ダイアログに、設定の期限が切れているデバイスがリストされます。ダイアログの上部の [バージョン(Version)] は、最後に設定変更を行った時期を示します。デバイス テーブルの [現在のバージョン(Current Version)] 列は、変更を各デバイスに最後に展開した時期を示します。

ステップ 2

設定変更を展開するデバイスを特定して選択します。

  • [ソート(Sort)]:列ヘッダーをクリックすることで、デバイス リストをソートします。
  • [展開(Expand)]:デバイス リストを展開して展開される設定変更を表示するには、プラス アイコン()をクリックします。システムは、期限切れのポリシーをインデックス()アイコンでマーキングします。
  • [フィルタ(Filter)]:デバイス リストをフィルタリングします。ディスプレイの列ヘッダーの右上隅にある矢印をクリックし、[フィルタ(Filters)] テキスト ボックスにテキストを入力し、Enter を押します。チェックボックスをオンまたはオフにして、フィルタをアクティブまたは非アクティブにします。
ステップ 3

[展開(Deploy)] をクリックします。

ステップ 4

変更の展開時にエラーまたは警告が出された場合には、次の選択肢があります。

  • [続行(Proceed)]:警告状態を解決せずに展開を続行します。システムがエラーを確認した場合は続行できません。
  • [キャンセル(Cancel)]:展開せずに終了します。エラーおよび警告状態を解決し、設定の再展開を試行します。

次のタスク

デバイスへの強制導入

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

リーフのみ

Admin/Network Admin/Security Approver

通常は設定を変更すると構成設定に失効のマークが付きますが、そのようにしなくてもデバイスに設定を導入できます。


注意    

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、一部のコンフィギュレーションを展開すると、トラフィックのインスペクションを中断する Snort プロセスが再開します。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲット デバイスがトラフィックを処理する方法に応じて異なります。Snort® の再起動によるトラフィックの動作を参照してください。 Firepower 7010、7020、および 7030 の管理対象デバイスでは、設定変更の展開に最大 5 分かかる場合があります。利用できない時間を最小限にするために、導入は変更時間帯に実行します。

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

ステップ 2

強制導入するデバイスの横にある編集アイコン()をクリックします。

マルチドメイン展開では、リーフ ドメインにいない場合、システムによって切り替えるように求められます。
ステップ 3

[デバイス(Device)] タブをクリックします。
ステップ 4

[全般(General)] セクション見出しの横にある編集アイコン()をクリックします。
ステップ 5

[強制導入(Force Deploy)] 矢印()をクリックします。
ステップ 6

必要に応じてデバイス リストを展開して、導入される構成設定を表示します。

システムは、期限切れのポリシーをインデックス()アイコンでマーキングします。

ステップ 7

[展開(Deploy)] をクリックします。

ステップ 8

構成設定の展開時にエラーまたは警告が出された場合には、次の選択肢があります。

  • [続行(Proceed)] をクリックして、エラーまたは警告条件を解決しないで導入を続行します。このボタンは、システムが導入の警告のみを特定した場合に有効になります。システムが導入のエラーを特定した場合には無効になります。
  • [キャンセル(Cancel)] をクリックして、展開を実行せずに終了します。エラーおよび警告状態を解決し、設定の再展開を試行します。

次のタスク

設定変更の展開に関する注意事項

設定変更を管理対象デバイスに展開する際は、次の点に留意してください。


重要

利用できない時間を最小限にするために、展開は変更時間帯に実行します。

展開の結果


注意    

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、一部のコンフィギュレーションを展開すると、トラフィックのインスペクションを中断する Snort プロセスが再開します。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲット デバイスがトラフィックを処理する方法に応じて異なります。Snort® の再起動によるトラフィックの動作を参照してください。 Firepower 7010、7020、および 7030 の管理対象デバイスでは、設定変更の展開に最大 5 分かかる場合があります。

  • アプリケーション制御の実行時に必要なディテクタが無効になっている場合、システムは、ポリシーの展開時にシステムによって提供される適切なディテクタを自動的に有効にします。何もない場合、システムは、アプリケーションに対し直近で変更されたユーザ定義のディテクタを有効にします。

  • ネットワーク検出ポリシーに変更を展開する場合、システムは、監視対象ネットワーク内のホストのネットワーク マップから MAC アドレス、TTL、およびホップ情報を削除してから、再検出を行います。また、影響を受ける管理対象デバイスは、まだ Firepower Management Center に送信されていない検出データを破棄します。

トラブルシューティング

  • インライン設定をパッシブに展開されたデバイスに適用しないでください。またその逆も同様です。

  • デバイスの機能を超えないように注意してください。

    複雑なアクセス コントロール ポリシーやルールは、重要なリソースを消費し、パフォーマンスに悪影響を与える可能性があります。アクセス コントロール ポリシーを展開すると、システムはすべてのルールをまとめて評価し、ネットワーク トラフィックを評価するためにターゲット デバイスが使用する拡張基準セットを作成します。

    ターゲット デバイスでサポートされるアクセス コントロール ルールまたは呼び出し侵入ポリシーの最大数を超えると、システムが警告を表示します。この最大数は、ポリシーの複雑性、物理メモリ、デバイスのプロセッサ数などの、さまざまな要因によって異なります。

  • デバイスが設定した機能に対して正しいモデルであり、正しいライセンスと最小バージョンの Firepower システムを使用していることを確認します。たとえば、異なるバージョンの Firepower システムを実行しているスタック構成の 7000 または 8000 シリーズ デバイスをターゲットにすることはできません。

自動展開

次のように自動的に展開するようにシステムを設定できます。

  • 侵入ルール更新の完了後

  • スケジュールされたタスクの使用

Snort® の再起動シナリオ

管理対象デバイス上で Snort プロセスと呼ばれるトラフィック インスペクション エンジンが再起動すると、プロセスが再開されるまでインスペクションは中断されます。 この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲット デバイスがトラフィックを処理する方法に応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。また、Snort プロセスが再起動するかどうかに関係なく、展開時にリソース需要が高まった結果、いくつかのパケットがインスペクションを実行せずにドロップされることがあります。

次の表に示すいずれかのシナリオでは、Snort プロセスが再起動されます。

表 1. Snort 再起動のシナリオ

再起動のシナリオ

詳細情報

Snort プロセスの再起動が必要な特定の設定を展開した場合。

展開またはアクティブ化された際に Snort プロセスを再起動する設定

Snort プロセスを直ちに再起動するように設定を変更した場合。

変更により Snort プロセスがただちに再起動する場合

現在展開されている自動アプリケーション バイパス(AAB)設定のトラフィックをアクティブにした場合。

自動アプリケーション バイパスの設定

ポリシー適用中のトラフィックの検査

[ポリシー適用時にトラフィックを検査(Inspect traffic during policy apply)] は、管理対象デバイスが設定変更の展開時にトラフィックを検査できるようにするための詳細アクセス コントロール ポリシーの一般設定です。これは、展開する設定で Snort プロセスの再起動が不要な場合に限ります。このオプションは、次のように設定できます。

  • [有効(Enabled)]:特定の設定で Snort 処理を再起動する必要な場合を除き、トラフィックは展開時に検査されます。

    展開する設定に Snort の再起動が必要でなければ、システムは現在展開されているアクセス コントロール ポリシーを使用してトラフィックを検査し、導入中に、展開しているアクセス コントロール ポリシーに切り替えます。

  • [無効(Disabled)]:展開時にトラフィックは検査されません。Snort プロセスは展開時に必ず再起動されます。

次の図に、[ポリシー適用時にトラフィックを検査(Inspect traffic during policy apply)] を有効にした場合と無効にした場合の Snort の再起動の仕組みを示します。


注意    

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、一部のコンフィギュレーションを展開すると、トラフィックのインスペクションを中断する Snort プロセスが再開します。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲット デバイスがトラフィックを処理する方法に応じて異なります。Snort® の再起動によるトラフィックの動作を参照してください。

Snort® の再起動によるトラフィックの動作

次の表に、Snort プロセスが再起動した場合のさまざまなデバイスのトラフィックの処理方法を示します。

表 2. 再起動によるトラフィックへの影響(管理対象デバイスのモデル別)

デバイス モデル

インターフェイスの設定

再起動によるトラフィックの動作

Firepower Threat DefenseFirepower Threat Defense Virtual

インライン、[Snort フェールオープン(Snort Fail Open)]:[ダウン(Down)]:有効

インスペクションなしで受け渡される

インライン、[Snort フェールオープン(Snort Fail Open)]:[ダウン(Down)]:無効

ドロップされる

ルーテッド、トランスペアレント(EtherChannel、冗長、サブインターフェイスを含む)

ドロップされる

インライン、タップ モード

すぐにパケットを出力し、バイパス Snort をコピーする

パッシブ

中断なし、インスペクションなし

7000 および 8000 シリーズNGIPSv

インライン、[フェールセーフ(Failsafe)] が有効または無効

インスペクションなしで受け渡される

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インライン、タップ モード

すぐにパケットを出力し、バイパス Snort をコピーする

パッシブ

中断なし、インスペクションなし
7000 および 8000 シリーズ

ルーテッド、スイッチド、トランスペアレント

ドロップされる

ASA FirePOWER

フェールオープン([トラフィック許可(Permit Traffic)])状態のルーテッドまたはトランスペアレント

インスペクションなしで受け渡される

フェールクローズ([トラフィック クローズ(Close Traffic)])状態のルーテッドまたはトランスペアレント

ドロップされる

(注)  

再起動中に Snort プロセスがダウンした場合のトラフィック処理に加え、フェールセーフ オプション(Firepower システムのインライン セット を参照)または Snort フェールオープンの [ビジー(Busy)] オプション(IPS 専用インターフェイスのインライン セットの設定 を参照)の設定に応じて、トラフィックをインスペクションなしで通過させたり、または Snort プロセスがビジーのときにトラフィックをドロップしたりすることもできます。デバイスは、フェールセーフ オプションまたは Snort フェールオープン オプションの両方ではなくいずれかをサポートします。

展開またはアクティブ化された際に Snort プロセスを再起動する設定

AAB 以外の構成を展開すると、常に Snort プロセスが再起動されます。AAB の展開自体には再起動が伴いませんが、パケットの遅延が大きすぎると、現在展開されている AAB 設定がアクティブになり、Snort プロセスが部分的に再起動されます。

アクセス コントロール ポリシー(Access Control Policy)

  • アクセス コントロール ルールの URL カテゴリ/レピュテーションの最初の条件を追加または最後の条件を削除します。

  • 現在使用されていない侵入ポリシーを追加するか、または侵入ポリシーの最後のインスタンスを削除することで、アクティブな侵入ポリシーの総数を変更します。アクセス コントロール ルールで侵入ポリシーをデフォルトのアクションまたはデフォルトの侵入ポリシーとして使用できます。

アクセス コントロール ポリシーの詳細設定

  • [ポリシー適用時にトラフィックのインスペクションを実行する(Inspect traffic during policy apply)] が無効な場合に展開します。

  • [ファイルとマルウェアの設定(Files and Malware Settings)] で、デフォルト以外の値を設定します(従来のデバイスのみ)

  • SSL ポリシーを追加または削除します。

  • アダプティブ プロファイルを有効または無効にします(従来のデバイスのみ)

  • [ログ セッション/プロトコル配信(Log Session/Protocol Distribution)] トラブルシューティング オプションを有効または無効にします(従来型デバイスのみ)

セキュリティ インテリジェンス(Security Intelligence)

  • 複数のセキュリティ インテリジェンス ホワイトリストまたはブラックリスト ネットワークまたはネットワーク オブジェクトを追加または削除します。Snort プロセスが再開されるかどうかは、インスペクションに使用可能なメモリに応じて、デバイスごとに異なります。

SSL ポリシー(SSL Policy)

  • SSL ルールのカテゴリ/レピュテーションの最初の条件を追加または最後の条件を削除します。

ファイル ポリシー(File Policy)

  • [アーカイブを検査する(Inspect Archives)] を有効または無効にします。

  • [ファイルを検出(Detect Files)] または [ファイルをブロック(Block Files)] ルールで、[ストア ファイル(Store files)] を有効または無効にします。

  • [マルウェア クラウドのルックアップ(Malware Cloud Lookup)] または [マルウェアをブロック(Block Malware)] ルール アクションと、分析オプション([Spero 分析または MSEXE(Spero Analysis or MSEXE)]、[ダイナミック分析(Dynamic Analysis)] または [ローカル マルウェア分析(Local Malware Analysis)])またはストア ファイル オプション([マルウェア(Malware)]、[不明(Unknown)]、[クリーン(Clean)] または [カスタム(Custom)])を組み合わせた最初のアクティブ ファイル ルールを追加するか、または最後のアクティブ ファイル ルールを削除します。

アイデンティティ ポリシー(Identity Policy)

  • SSL 復号化が無効になっている場合(つまり、アクセス コントロール ポリシーに SSL ポリシーが含まれていない場合)は、最初のアクティブ認証ルールを追加するか、または最後のルールを削除します。

    アクティブな認証ルールに [アクティブ認証(Active Authentication)] ルール アクションが含まれるか、[パッシブ/VPN アイデンティティを確立できない場合にアクティブ認証を使用(Use active authentication if passive or VPN identity cannot be established)] が選択された [パッシブ認証(Passive Authentication)] ルール アクションが含まれます。

ネットワーク分析ポリシー

  • 現在使用されていないネットワーク分析ポリシーを追加するか、またはネットワーク分析ポリシーの最後のインスタンスを削除することで、ネットワーク分析ポリシーの総数を変更します。ネットワーク分析ポリシーは、ネットワーク分析ルールと一緒に使用することもできれば、デフォルトのネットワーク分析ポリシーとして使用することもできます。

  • IMAP、POP または SMTP プリプロセッサの値を変更します。値は、[Base64 Decoding Depth]、[7-Bit/8-Bit/Binary Decoding Depth]、[Quoted-Printable Decoding Depth] または [Unix-to-Unix Decoding Depth] のいずれかです(従来のデバイスのみ)

ネットワーク ディスカバリ(Network Discovery)

  • ネットワーク検出ポリシーを使用して、HTTP、FTP、または MDNS プロトコル経由で権限のないトラフィックベースのユーザ検出を有効または無効にします。

デバイス管理

  • ルーティング:7000 または 8000 シリーズ デバイスにルーテッド インターフェイス ペアまたは仮想ルータを追加します。

  • VPN:7000 または 8000 シリーズ デバイスで VPN を追加または削除します。


    注意    

    システムは、7000 または 8000 シリーズ デバイスの VPN を追加または削除したときに Snort プロセスが再起動することを警告しません。

  • MTU:デバイス上のすべての非管理インターフェイスのうちの最大 MTU 値を変更します。

  • 従来型デバイスの高可用性:高可用性状態共有オプションを変更します。システムは、Snort プロセスがプライマリ デバイスとセカンダリ デバイスで再起動することを警告しません。

  • 自動アプリケーション バイパス(AAB):現在展開されている AAB 構成は、Snort プロセスの誤動作またはデバイスの誤設定により、単一のパケットが過度の処理時間を使用した場合にアクティブになります。その結果、Snort プロセスが部分的に再起動され、非常に大きい遅延が緩和されるか、または完全なトラフィックの停止が防止されます。この部分的な再起動により、デバイスがトラフィックをどのように処理するかに応じて、いくつかのパケットがインスペクションなしで通過するか、またはドロップされます。

侵入ルールの更新

  • 侵入ルールの更新をインポートした後に展開します。

システムの更新プログラム

  • まれに、システムの更新プログラムが再起動は不要だが、Snort バイナリを更新する場合に、Snort プロセスが再起動されます。

  • 脆弱性データベース(VDB)更新をインストールするか、VDB 更新のインストール後にアクセス コントロール ポリシーを初めて展開します。

変更により Snort プロセスがただちに再起動する場合

以下の変更を行うと、展開プロセスを経ることなく Snort プロセスが直ちに再起動されます。 再起動がトラフィックにどのような影響を与えるかは、ターゲット デバイスがトラフィックを処理する方法によって異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

  • アプリケーションまたはアプリケーション ディテクタに関する次の操作のいずれかを実行します。

    • システムまたはカスタム アプリケーション ディテクタを有効または無効にします。

    • アクティブ化されたカスタム ディテクタを削除します。

    • アクティブ化されたカスタム ディテクタを保存して再アクティブ化します。

    • ユーザ定義のアプリケーションを作成します。

    この操作を続行すると管理対象のすべてのデバイスで Snort プロセスが再起動するという警告が表示され、キャンセルすることもできます。

  • Firepower Threat Defense ハイ アベイラビリティ ペアの作成または解除:ハイ アベイラビリティ ペアの作成を続行すると、プライマリ デバイスとセカンダリ デバイスで Snort プロセスが再起動するという警告が表示され、キャンセルすることもできます。

  • 脆弱性データベース(VDB)更新をインストールするか、VDB 更新のインストール後にアクセス コントロール ポリシーを初めて展開します。

  • 7000 または 8000 シリーズ ユーザ インターフェイスで Snort プロセスを再起動します([システム(System)] > [設定(Configuration)] > [プロセス(Process)])。確認メッセージが表示され、キャンセルすることができます。

ポリシーの比較

変更後のポリシーが組織の標準に準拠することを確かめたり、システム パフォーマンスを最適化したりする目的で、2 つのファイル ポリシーの間の違いや、保存済みポリシーと実行中のポリシーの間の違いを調べることができます。

比較できるポリシーのタイプは次のとおりです。

  • DNS

  • ファイル

  • ヘルス

  • アイデンティティ

  • 侵入

  • ネットワーク分析

  • SSL

比較ビューには、両方のポリシーが並べて表示されます。2 つのポリシー間の差異は、次のように強調表示されます。

  • 青色は強調表示された設定が 2 つのポリシーで異なることを示し、差異は赤色で示されます。

  • 緑色は強調表示された設定が一方のポリシーには存在するが、他方には存在しないことを示します。

ポリシーの比較

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

機能に応じて異なる

機能に応じて異なる

任意(Any)

機能に応じて異なる

機能に応じて異なる

手順

ステップ 1

比較するポリシーの管理ページにアクセスします。

  • [DNS]:[ポリシー(Policies)] > [アクセス コントロール(Access Control)] > [DNS]
  • [ファイル(File)]:[ポリシー(Policies)] > [アクセス コントロール(Access Control)] > [マルウェアとファイル(Malware & File)]
  • [状況(Health)]:[システム(System)] > [ヘルス(Health)] > [ポリシー(Policy)]
  • [ID(Identity)]:[ポリシー(Policies)] > [アクセス コントロール(Access Control)] > [ID(Identity)]
  • [侵入(Intrusion)]:[ポリシー(Policies)] > [アクセス コントロール(Access Control)] > [侵入(Intrusion)]
  • [ネットワーク分析(Network Analysis)]:[ポリシー(Policies)] > [アクセス コントロール(Access Control)]、次に [ネットワーク分析ポリシー(Network Analysis Policy)] をクリックします。 または [ポリシー(Policies)] > [アクセス コントロール(Access Control)] > [侵入(Intrusion)]、次に [ネットワーク分析ポリシー(Network Analysis Policy)] をクリックします。
    (注)   

    カスタム ユーザ ロールに、ここにリストされている最初のパスへのアクセス制限がある場合は、2 番目のパスを使用してポリシーにアクセスします。
  • [SSL]:[ポリシー(Policies)] > [アクセス コントロール(Access Control)] > [SSL]
ステップ 2

[ポリシーの比較(Compare Policies)] をクリックします。

ステップ 3

[比較対象(Compare Against)] ドロップダウン リストから、比較するタイプを次のように選択します。

  • 異なる 2 つのポリシーを比較するには、[他のポリシー(Other Policy)] を選択します。
  • 同じポリシーの 2 つのリビジョンを比較するには、[その他のリビジョン(Other Revision)] を選択します。
  • 現在のアクティブ ポリシーを他のポリシーに対して比較するには、[実行中の設定(Running Configuration)] を選択します。
ステップ 4

選択した比較タイプに応じて、次のような選択肢があります。

  • 2 つの異なるポリシーを比較する場合、[ポリシー A(Policy A)] ドロップダウン リストと [ポリシー B(Policy B)] ドロップダウン リストから比較するポリシーを選択します。
  • 実行中の設定を別のポリシーと比較する場合、[ポリシー B(Policy B)] ドロップダウン リストから 2 番目のポリシーを選択します。
ステップ 5

[OK] をクリックします。

ステップ 6

比較の結果を確認します。

  • [比較ビューア(Comparison Viewer)]:比較ビューアを使用して、ポリシーの違いを個別に検索するには、タイトル バーの上にある [前へ(Previous)] または [次へ(Next)] をクリックします。

  • [比較レポート(Comparison Report)]:2 つのポリシーの違いを示す PDF レポートを生成するには、[比較レポート(Comparison Report)] をクリックします。

ポリシー レポート

ほとんどのポリシーには、2 種類のレポートを生成することができます。単一のポリシーに関するレポートには、現在保存されているポリシー設定の詳細が記載されます。一方、比較レポートには、2 つのポリシー間の違いだけがリストされます。単一ポリシー レポートは、ヘルス ポリシーを除くすべてのポリシー タイプについて生成できます。


(注)  

侵入ポリシー レポートには基本ポリシーの設定とポリシー階層の設定が結合され、どちらが基本ポリシーまたはポリシー レイヤのどちらに基づく設定であるかは区別されません。

現在のポリシー レポートの生成

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

機能に応じて異なる

機能に応じて異なる

任意(Any)

機能に応じて異なる

機能に応じて異なる

手順

ステップ 1

レポートを生成するポリシーの管理ページにアクセスします。

  • [アクセス制御(Access Control)]:[ポリシー(Policies)] > [アクセス コントロール(Access Control)]
  • [DNS]:[ポリシー(Policies)] > [アクセス コントロール(Access Control)] > [DNS]
  • [ファイル(File)]:[ポリシー(Policies)] > [アクセス コントロール(Access Control)] > [マルウェアとファイル(Malware & File)]
  • [ヘルス(Health)]:[システム(System)] > [ヘルス(Health)] > [ポリシー(Policy)]
  • [ID(Identity)]:[ポリシー(Policies)] > [アクセス コントロール(Access Control)] > [ID(Identity)]
  • [侵入(Intrusion)]:[ポリシー(Policies)] > [アクセス コントロール(Access Control)] > [侵入(Intrusion)]
  • [ デバイスの NAT(NAT for 7000 & 8000 シリーズ devices)]:[デバイス(Devices)] > [NAT]
  • [ネットワーク分析(Network Analysis)]:[ポリシー(Policies)] > [アクセス コントロール(Access Control)]、次に [ネットワーク分析ポリシー(Network Analysis Policy)] をクリックします。 または [ポリシー(Policies)] > [アクセス コントロール(Access Control)] > [侵入(Intrusion)]、次に [ネットワーク分析ポリシー(Network Analysis Policy)] をクリックします。
    (注)   

    カスタム ユーザ ロールに、ここにリストされている最初のパスへのアクセス制限がある場合は、2 番目のパスを使用してポリシーにアクセスします。
  • [SSL]:[ポリシー(Policies)] > [アクセス コントロール(Access Control)] > [SSL]
ステップ 2

レポートの生成対象とするポリシーの横にあるレポート アイコン()をクリックします。

失効ポリシー

Firepower システムは、失効したポリシーに赤色のステータス テキストでマークを付けます。このテキストには、ポリシーの更新を必要とするターゲット デバイスの数が示されます。失効ステータスをクリアするには、ポリシーをデバイスに再展開する必要があります。

ポリシーの再展開が必要な設定変更には次のものがあります。

  • アクセス コントロール ポリシー自体の変更:アクセス コントロール ルール、デフォルト アクション、ポリシー ターゲット、セキュリティ インテリジェンス フィルタリング、前処理などの詳細オプションの変更。

  • アクセス コントロール ポリシーが呼び出すポリシーの変更:SSL ポリシー、ネットワーク分析ポリシー、侵入ポリシー、ファイル ポリシー、アイデンティティ ポリシー、または DNS ポリシー。

  • 呼び出されるアクセス コントロール ポリシーで使用される再利用可能オブジェクトまたは設定の変更:

    • ネットワーク、ポート、VLAN タグ、URL、地理位置情報オブジェクト

    • セキュリティ インテリジェンス リストおよびフィード

    • アプリケーション フィルタまたはディテクタ

    • 侵入ポリシーの変数セット

    • ファイル リスト

    • 復号関連のオブジェクトとセキュリティ ゾーン

  • システム ソフトウェア、侵入ルール、または脆弱性データベース(VDB)の更新。

Web インターフェイスの複数の場所からこれらの設定の一部を変更できることに留意してください。たとえば、オブジェクト マネージャ([オブジェクト(Objects)] > [オブジェクト管理(Object Management)])を使用してセキュリティ ゾーンを変更できますが、デバイスの設定([デバイス(Devices)] > [デバイス管理(Device Management)])でインターフェイスのタイプを変更すると、ゾーンも変更され、ポリシーの再展開が必要になります。

次の更新では、ポリシーの再展開は必要ありません。

  • セキュリティ インテリジェンス フィードへの自動更新およびコンテキスト メニューを使用したセキュリティ インテリジェンスのグローバル ブラックリストおよびホワイトリストへの追加

  • URL フィルタリング データへの自動更新

  • スケジュールされた位置情報データベース(GeoDB)の更新

限定的な導入のパフォーマンスに関する考慮事項

システムはホスト、アプリケーション、ユーザ検出データを使用することで、ネットワークの完全な最新プロファイルを作成できます。また、システムが侵入検知および防御システム(IPS)として機能して、ネットワーク トラフィックを分析して侵入およびエクスプロイトを検出し、オプションで問題のあるパケットをドロップすることもできます。

検出と IPS を組み合わせることで、ネットワーク アクティビティにコンテキストが提供され、次のような多くの機能を利用することができます。

  • 侵害の影響フラグと表示。これによって、どのホストが特定のエクスプロイト、攻撃、またはマルウェアに対して脆弱であるかが示されます。

  • アダプティブ プロファイルの更新 と Firepower の推奨事項。これによって、宛先ホストに応じてトラフィックを個別に検査できます。

  • 相関。これによって、影響を受けるホストに応じて別々に侵入(およびその他のイベント)に応答できます。

ただし、組織が IPS または検出のみを実行することを目的としている場合は、システムのパフォーマンスを最適化できる設定がいくつかあります。

侵入防御のない検出

検出機能では、ネットワーク トラフィックをモニタして、ネットワーク上のホストの数とタイプ(ネットワーク デバイスを含む)だけでなく、それらのホスト上のオペレーティング システム、アクティブなアプリケーション、およびオープン ポートを判断できます。管理対象デバイスをネットワークのユーザ アクティビティをモニタするように設定することもできます。検出データを使用して、トラフィック プロファイリングを実行し、ネットワーク コンプライアンスを評価し、ポリシー違反に応答できます。

基本的な展開(検出と単純なネットワークベースのアクセス制御のみ)では、アクセス コントロール ポリシーの設定時にいくつかの重要なガイドラインに従うことで、デバイスのパフォーマンスを向上させることができます。


(注)  

それが単にすべてのトラフィックを許可する場合であっても、アクセス コントロール ポリシーを使用する必要があります。ネットワーク検出ポリシーが実行できるのは、アクセス コントロール ポリシーが通過を許可したトラフィックを検査することのみです。

最初に、アクセス コントロール ポリシーは複雑な処理を必要とせず、単純なネットワークベースの基準のみを使用してネットワーク トラフィックを処理することを確認します。次のすべてのガイドラインを実装する必要があります。これらのオプションのいずれかを誤って設定すると、パフォーマンス上の利点がなくなります。

  • セキュリティ インテリジェンス機能を使用しないでください。入力されたグローバル ホワイトリストまたはブラックリストをポリシーのセキュリティ インテリジェンスの設定から削除します。

  • モニタ アクションまたはインタラクティブ ブロック アクションに、アクセス コントロール ルールを含めないでください。許可、信頼、およびブロック ルールのみを使用します。許可されたトラフィックは検出によって検査できますが、信頼されたトラフィックとブロックされたトラフィックは検査できないことに留意してください。

  • アプリケーション、ユーザ、URL、ISE 属性、または位置情報ベースのネットワーク条件にアクセス コントロール ルールを含めないでください。単純なネットワークベースの条件(ゾーン、IP アドレス、VLAN タグ、およびポート)のみを使用します。

  • ファイル、マルウェア、または侵入インスペクションを実行するアクセス コントロール ルールを含めないでください。つまり、ファイル ポリシーまたは侵入ポリシーをアクセス コントロール ルールに関連付けないでください。

  • アクセス コントロール ポリシーのデフォルトの侵入ポリシーが [アクティブなルールなし(No Rules Active)] に設定されていることを確認します。

  • ポリシーのデフォルト アクションとして [ネットワーク検出のみ(Network Discovery Only)] を選択します。侵入インスペクションを実行するポリシーのデフォルト アクションを選択しないでください。

アクセス コントロール ポリシーと組み合わせて、ネットワーク検出ポリシーを設定して適用できます。このポリシーは、システムが検出データについて検査をするネットワーク セグメント、ポート、およびゾーンを指定し、ホスト、アプリケーション、およびユーザがセグメント、ポート、およびゾーンで検出されるかどうかを指定します。

ディスカバリのない侵入防御

侵入検知および防御機能によって、侵入とエクスプロイトの有無についてネットワーク トラフィックを分析できます。またオプションで違反パケットをドロップできます。侵入インスペクションを実行するものの、検出データを利用する必要がない場合は、検出を無効にして、デバイスのパフォーマンスを向上させることができます。


(注)  

アプリケーション、ユーザ、または URL の制御を実行する場合は、パフォーマンス上の利点を得るためにディスカバリを無効にすることはできません。システムがディスカバリ データを保存しないようにすることはできますが、システムはそれらの機能を実行するためにディスカバリ データを収集して検査する必要があります

ディスカバリを無効にするには、次のすべてのガイドラインを実行します。いずれかでも誤って設定すると、パフォーマンス上の利点がなくなります。

  • アクセス コントロール ポリシーでは、デバイスが適切にライセンス済みであっても、アプリケーション条件、ユーザ条件、URL 条件、ISE 属性条件、または地理位置情報ベースのネットワーク条件を持つルールを含めないでください。単純なネットワークベースの条件(ゾーン、IP アドレス、VLAN タグ、およびポート)のみを使用します。

  • ネットワーク検出ポリシーからすべてのルールを削除します。

アクセス コントロール ポリシーとネットワーク検出ポリシーを展開すると、新しいディスカバリがターゲット デバイスで停止します。システムは、ネットワーク検出ポリシーで指定されたタイムアウト期間に応じて、ネットワーク マップ内の情報を段階的に削除します。また、すべてのディスカバリ データを即座に消去することもできます。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ