[デバイス（Device）] を選択し、[スマートラインセンス（Smart License）] グループで [設定の表示（View Configuration）] をクリックします。

使用するオプションのライセンス（[脅威（Threat）]、[マルウェア（Malware）]、[URL]）でそれぞれ [有効化（Enable）] をクリックします。必要かどうかわからない場合は、各ライセンスの説明を確認します。

登録していない場合は、このページから登録できます。[Request Register] をクリックして、説明に従います。評価ライセンスの有効期限が切れる前に登録してください。

たとえば、有効な脅威ライセンスは次のようになります。

他のインターフェイスに接続している場合は、[デバイス（Device）] を選択し、[インターフェイス（Interfaces）] サマリーにあるリンクをクリック。

各インターフェイスの編集アイコン（）をクリックして、IP アドレスなどの設定を定義します。

次の例では、Web サーバなどのパブリックアクセス可能な資産を配置する「非武装地帯」（DMZ）として使用するためのインターフェイスを構成します。完了したら [保存（Save）] をクリックします。

新しいインターフェイスを構成する場合は、[オブジェクト（Objects）] を選択し、目次から[セキュリティゾーン（Security Zones）] を選択します。

編集または必要に応じて新しいゾーンを作成します。インターフェイスではなく、セキュリティ ゾーンに基づいてポリシーを構成するため、各インターフェイスはゾーンに属している必要があります。インターフェイスを構成する場合、ゾーンにインターフェイスを置くことはできません。このため、新しいインターフェイスを作成した後、または既存のインターフェイスの目的を変更した後には常にゾーン オブジェクトを編集する必要があります。

次の例では、DMZ インターフェイスのために新しい DMZ ゾーンを作成する方法を示します。

内部クライアントが DHCP を使用してデバイスから IP アドレスを取得するようにする場合は、[デバイス（Device）] 、次に [システム設定（System Settings）] > [DHCPサーバ（DHCP Server）] を選択します。[DHCPサーバ（DHCP Servers）] タブを選択します。

すでに内部インターフェイス用に構成されている DHCP サーバがありますが、アドレス プールを編集したり、それを削除したりすることができます。他の内部インターフェイスを構成した場合は、それらのインターフェイス上に DHCP サーバをセットアップするのがごく一般的です。各内部インターフェイスのサーバおよびアドレス プールを設定するには、[+] をクリックします。

クライアントに対して提供される WINS および DNS リストを [設定（Configuration）] タブで調整することもできます。

次の例では、アドレス プールの 192.168.4.50 ～ 192.168.4.240 で inside2 インターフェイス上の DHCP サーバを設定する方法を示しています。

[[デバイス（Device）] ] を選択し、次に [設定の表示（View Configuration）]（または [最初のスタティックルートの作成（Create First Static Route）]）を [ルーティング（Routing）] グループでクリックし、デフォルト ルートを設定します。

デフォルト ルートは通常、外部インターフェイス以外に存在するアップストリームまたは ISP ルータを指しています。デフォルトの IPv4 ルートは任意の ipv4（0.0.0.0/0）、デフォルトの IPv6 ルートは任意の ipv6（::0/0）です。使用する IP バージョンごとにルートを作成します。外部インターフェイスのアドレスの取得に DHCP を使用する場合、必要なデフォルト ルートをすでに持っていることがあります。

このページで定義したルートは、データ インターフェイス用のみです。管理インターフェイスには影響しません。管理ゲートウェイは [システム設定（System Settings）] > [管理インターフェイス（Management Interface）] で設定します。

次の例に、IPv4 のデフォルト ルートを示します。この例では、isp ゲートウェイは ISP ゲートウェイの IP アドレスを識別するネットワーク オブジェクトです（アドレスは ISP から取得する必要があります）。[ゲートウェイ（Gateway）] の下部の [新しいネットワークを作成する（Create New Network）] ドロップダウン リストをクリックしてこのオブジェクトを作成することができます。

[ポリシー（Policies）] を選択してネットワークのセキュリティ ポリシーを構成します。

デバイス セットアップ ウィザードは、内部ゾーンと外部ゾーンの間のトラフィック フローを有効にします。また、外部インターフェイスを使用する場合に、全インターフェイスに対するインターフェイス NAT も有効にします。新しいインターフェイスを構成した場合でも、内部ゾーン オブジェクトに追加する場合はそれらにアクセス制御ルールが自動的に適用されます。

ただし、複数の内部インターフェイスがある場合は、内部ゾーンから内部ゾーンへのトラフィック フローを許可するアクセス制御ルールが必要です。他のセキュリティ ゾーンを追加する場合は、それらのゾーンとのトラフィックを許可するルールが必要です。これらは最低限の変更になります。

さらに、組織が必要とする結果を得るために、その他のポリシーを設定して、追加サービスの提供や、NAT およびアクセス ルールを微調整できます。次のポリシーを設定できます。

• [SSL復号（SSL Decryption）]：侵入、マルウェアなどについて暗号化された接続（HTTPS など）を検査する場合は、接続を復号化する必要があります。どの接続を復号する必要があるかを判断するには SSL 復号ポリシーを使用します。システムは、検査後に接続を再暗号化します。

• [アイデンティティ（Identity）]：個々のユーザにネットワーク アクティビティを関連付ける、またはユーザまたはユーザ グループのメンバーシップに基づいてネットワーク アクセスを制御する場合は、特定のソース IP アドレスに関連付けられているユーザを判定するためにアイデンティティ ポリシーを使用します。

• [セキュリティインテリジェンス（Security Intelligence）]：ブラックリスト登録済みの IP アドレスまたは URL の接続をただちにドロップするには、セキュリティ インテリジェンス ポリシーを使用します。既知の不正なサイトをブラックリストに登録すれば、アクセス コントロール ポリシーでそれらを考慮する必要がなくなります。Cisco では、セキュリティ インテリジェンスのブラックリストが動的に更新されるように、既知の不正なアドレスや URL の定期更新フィードを提供しています。フィードを使用すると、ブラックリストの項目を追加または削除するためにポリシーを編集する必要がありません。

• [NAT]（ネットワーク アドレス変換）：内部 IP アドレスを外部のルーティング可能なアドレスに変換するために NAT ポリシーを使用します。

• [アクセス制御（Access Control）]：ネットワーク上で許可する接続の決定にアクセス コントロール ポリシーを使用します。セキュリティ ゾーン、IP アドレス、プロトコル、ポート、アプリケーション、URL、ユーザまたはユーザ グループによってフィルタ処理できます。また、アクセス制御ルールを使用して侵入やファイル（マルウェア）ポリシーを適用します。このポリシーを使用して URL フィルタリングを実装します。

• [侵入（Intrusion）]：侵入ポリシーを使用して、既知の脅威を検査します。アクセス制御ルールを使用して侵入ポリシーを適用しますが、侵入ポリシーを編集して特定の侵入ルールを選択的に有効または無効にできます。

次の例では、アクセス制御ポリシーで内部ゾーンと DMZ ゾーンの間のトラフィックを許可する方法を示します。この例では、[接続の最後で（At End of Connection）] が選択されている場合、[ロギング（Logging）] を除いて他のいずれのタブでもオプションは設定されません。

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機します。展開のサマリーに変更が正常に展開されたことが示され、ジョブのタスク ステータスが [展開済み（Deployed）] になります。

ユーザの動作を調べるには、接続に関連付けられているユーザを識別するアイデンティティ ポリシーの設定が必要です。

1. メイン メニューで、[ポリシー（Policies）] をクリックして、[アイデンティティ（Identity）] をクリックします。

   アイデンティティ ポリシーは、最初は無効化されています。アイデンティティ ポリシーはアクティブ ディレクトリ サーバを使用してユーザを認証し、ユーザが使用しているワークステーションの IP アドレスとユーザを関連付けます。その後、システムはその IP アドレスのトラフィックをユーザのトラフィックとして識別します。

2. [アイデンティティポリシーの有効化（Enable Identity Policy）] をクリックします。

   このアクションで [アイデンティティポリシーの設定（Identity Policy Configuration）] ダイアログ ボックスが開きます。

3. [レルムサーバ（Realm Server）] をクリックしてドロップダウン リストを開き、[新規アイデンティティレルムの作成（Create New Identity Realm）] を選択します。

   レルム サーバ オブジェクトをすでに作成している場合は、それを選択して、サーバの設定手順をスキップします。

4. 次のフィールドに入力して、[OK] をクリックします。

   • [名前（Name）]：ディレクトリ レルムの名前。

   • [タイプ（Type）]：ディレクトリ サーバのタイプ。サポートされるタイプは Active Directory のみで、このフィールドを変更することはできません。

   • [ディレクトリユーザ名（Directory Username）]、[ディレクトリパスワード（Directory Password）]：取得するユーザ情報に対して適切な権限を持つユーザの識別用ユーザ名とパスワード。Active Directory では、昇格された特権は必要ありません。ドメイン内の任意のユーザを指定できます。ユーザ名は Administrator@example.com（Administrator だけでなく）などの完全修飾名である必要があります。

     （注）	この情報から ldap-login-dn と ldap-login-password が生成されます。たとえば、Administrator@example.com は cn=adminisntrator,cn=users,dc=example,dc=com に変換されます。cn=users は常にこの変換の一部であるため、ここで指定するユーザは、共通名の「users」フォルダの下で設定する必要があります。

   • [ベースDN（Base DN）]：ユーザおよびグループ情報、つまり、ユーザとグループの共通の親を検索またはクエリするためのディレクトリ ツリー。（dc=example,dc=com など）。ベース DN の検索の詳細については、ディレクトリ ベースの DN の決定 を参照してください。

   • [ADプライマリドメイン（AD Primary Domain）]：デバイスが参加する必要がある完全修飾 Active Directory ドメイン名。（example.com など）。

   • [ホスト名/IPアドレス（Hostname/IP Address）]：ディレクトリ サーバのホスト名または IP アドレス。サーバへの暗号化された接続を使用する場合、IP アドレスではなく完全修飾ドメイン名を入力する必要があります。

   • [ポート（Port）]：サーバとの通信に使用するポート番号。 デフォルトは 389 です。暗号化方式として LDAPS を選択する場合は、ポート 636 を使用します。

   • [暗号化（Encryption）]：ユーザおよびグループの情報のダウンロードに暗号化された接続を使用するには、希望の方法（[STARTTLS] または [LDAPS]）を選択します。 デフォルトでは [なし（None）] になっており、ユーザおよびグループの情報がクリア テキストでダウンロードされます。

     • [STARTTLS] では、暗号化方式をネゴシエートし、ディレクトリ サーバでサポートされる最も強力な方式を使用します。ポート 389 を使用します。このオプションは、リモート アクセス VPN にレルムを使用する場合はサポートされません。

     • [LDAPS] では、LDAP over SSL が必要です。ポート 636 を使用します。

   • [信頼できるCA証明書（Trusted CA Certificate）]：暗号化方式を選択する場合、認証局（CA）の証明書をアップロードして、システムとディレクトリ サーバの間で信頼できる接続を有効化します。認証に証明書を使用する場合、証明書のサーバ名は、サーバの [ホスト名/IPアドレス（Hostname/IP Address）] と一致する必要があります。たとえば、IP アドレスとして 10.10.10.250 を使用しているのに、証明書で ad.example.com を使用すると接続が失敗します。

   例:

   たとえば、次のイメージには、ad.example.com サーバの暗号化されていない接続の作成方法が示されています。プライマリ ドメインは example.com で、ディレクトリ ユーザ名は Administrator@ad.example.com です。すべてのユーザおよびグループの情報は、識別名（DN）ou=user,dc=example,dc=com の下にあります。

   
   

   

   
   

5. [アイデンティティポリシーの設定（Identity Policy Configuration）] ダイアログ ボックスの [レルムサーバ（Realm Server）] リストで、作成したレルム サーバを選択します。

6. [アイデンティティポリシーの設定（Identity Policy Configuration）] ダイアログ ボックスで、アクティブ認証のキャプティブ ポータル設定を行います。

   アイデンティティ ルールにユーザのアクティブ認証が必要な場合、ユーザは接続されているインターフェイスのキャプティブ ポータル ポートにリダイレクトされ、その後、認証を要求されます。

   • [サーバ証明書（Server Certificate）]：アクティブ認証時にユーザに提示する内部証明書を選択します。事前定義された自己署名の DefaultInternalCertificate を選択するか、[新規内部証明書の作成（Create New Internal Certificate）] をクリックして、ブラウザが信頼している証明書をアップロードできます。

     ブラウザが信頼している証明書をアップロードしない場合、ユーザは証明書を許可する必要があります。

   • [ポート（Port）]：キャプティブ ポータル ポート。デフォルトは 885（TCP）です。別のポートを設定する場合は、1025 ～ 65535 の範囲にする必要があります。

   例:

   [アイデンティティポリシーの設定（Identity Policy Configuration）] ダイアログは、次のようになります。

   
   

   

   
   

7. [保存（Save）] をクリックします。

   次に、アクティブ認証に必要なルールを作成します。

8. [アイデンティティルールの作成（Create Identity Rule）] ボタンをクリックするか、[+] ボタンをクリックします。

9. アイデンティティ ルールのプロパティを入力します。

   全員を認証する必要があることを前提として、次の設定を使用できます。

   • [名前（Name）]：任意の選択（Require_Authentication など）。

   • [ユーザ認証（User Authentication）]：[アクティブ（Active）] が選択されているため、そのままにします。

   • [タイプ（Type）]：[HTTP ネゴシエート（HTTP Negotiate）] を選択します。これにより、ブラウザおよびディレクトリ サーバは最も強力な認証プロトコルを、NTLM、HTTP ベーシックの順にネゴシエートできます。

     （注）

     HTTP Basic、HTTP 応答ページ、および NTLM 認証方式では、ユーザはインターフェイスの IP アドレスを使用してキャプティブ ポータルにリダイレクトされます。ただし、HTTP ネゴシエートでは、ユーザは完全修飾 DNS 名 firewall-hostname.AD-domain-name を使用してリダイレクトされます。HTTP ネゴシエートを使用する場合、アクティブ認証を必要としているすべての内部インターフェイスの IP アドレスにこの名前をマッピングするように DNS サーバを更新する必要があります。そうしないと、リダイレクトは実行できず、ユーザを認証できません。 DNS サーバを更新できない、または更新を望まない場合は、その他の認証方式のいずれかを選択します。

   • [送信元/宛先（Source/Destinatio）]：すべてのフィールドをデフォルトの [すべて（Any）] のままにします。

   より制限されているトラフィックに合わせて、ポリシーに制約を加えることができます。ただし、アクティブ認証は HTTP トラフィックに対してのみ試行されるため、非 HTTP トラフィックが送信元/宛先条件に一致していることは重要ではありません。アイデンティティ ポリシーのプロパティの詳細については、アイデンティティ ルールの設定 を参照してください。

   
   

   

   
   

10. [OK] をクリックしてルールを追加します。

    ウィンドウの右上を見ると、[展開（Deploy）] アイコン ボタンにドットが表示されていることがあります。これは、展開されていない変更があることを示します。ユーザ インターフェイスを変更するだけでは、デバイスに変更を設定するには不十分です。変更を展開する必要があります。部分的に設定された変更がデバイスで実行される潜在的な問題を避けるために、一連の関連する変更を加えてから変更を展開できます。この手順で、後から変更を展開します。

    
    

    

    
    

Inside_Outside_Rule アクセス コントロール ルールのアクションを [許可（Allow）] に変更します。

1. [ポリシー（Policies）] ページの [アクセスコントロール（Access Control）] をクリックします。

2. Inside_Outside_Rule 行の右側にある [アクション（Actions）] セルにマウスを合わせると、[編集（edit）] アイコンと [削除（delete）] アイコンが表示されます。ルールを開くには、[編集（edit）] アイコン（）をクリックします。

3. [アクション（Action）] の [許可（Allow）] を選択します。

   
   

   

   
   

4. [OK] をクリックして変更を保存します。

アクセス コントロール ポリシーのデフォルト アクションでロギングを有効化します。

1. アクセス コントロール ポリシー ページの下部のデフォルト アクションで、任意の場所をクリックします。

   
   

   

   
   

2. [ログアクションの選択（Select Log Action）] > [接続の開始時と終了時（At Beginning and End of Connection）] を選択します。

3. [OK] をクリックします。

脆弱性データベース（VDB）の更新スケジュールを設定します。

1. [the name of the device in the menu] をクリックします。[デバイス（Device）]

2. [更新（Updates）] グループで [設定の表示（View Configuration）] をクリックします。

   
   

   

   
   

3. [VDB] グループで [設定（Configure）] をクリックします。

   
   

   

   
   

4. 更新スケジュールを定義します。

   ネットワークを妨害しない時間および頻度を選択します。また、更新をダウンロードすると、システムが自動的に展開することも理解しておいてください。これは、新しいディテクタを有効化するために必要です。そのため、実行して保存したが、展開していない設定変更も展開されます。

   たとえば、次のスケジュールでは、VDB が週に 1 回、日曜日の午前 0:00（24 時間方式を使用）に更新されます。

   
   

   

   
   

5. [保存（Save）] をクリックします。

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックして、展開が完了するまで待ちます。

   展開のサマリーに変更が正常に展開されたことが示され、ジョブのタスク ステータスが [展開済み（Deployed）] になります。

   
   

   

   
   

まだ有効化していない場合は、[脅威（Threat）] ライセンスを有効化します。

1. [the name of the device in the menu] をクリックします。[デバイス（Device）]

2. [スマートライセンス（Smart License）] グループの [設定の表示（View Configuration）] をクリックします。

   
   

   

   
   

3. [脅威（Threat）] グループで [有効化（Enable）] をクリックします。

   必要に応じて、システムはライセンスをアカウントに登録したり、評価ライセンスを有効化したりします。グループのライセンスが有効なことが示され、ボタンは [無効化（Disable）] ボタンに変わります。

   
   

   

   
   

1 つまたは複数のアクセス ルールの侵入ポリシーを選択します。

1. メイン メニューで [ポリシー（Policies）] をクリックします。

   [アクセスコントロール（Access Control）] ポリシーが表示されることを確認します。

2. Inside_Outside_Rule 行の右側にある [アクション（Actions）] セルにマウスを合わせると、[編集（edit）] アイコンと [削除（delete）] アイコンが表示されます。ルールを開くには、[編集（edit）] アイコン（）をクリックします。

3. まだ選択していない場合は、[アクション（Action）] の [許可（Allow）] を選択します。

   
   

   

   
   

4. [侵入ポリシー（Intrusion Policy）] タブをクリックします。

5. [侵入ポリシー（Intrusion Policy）] トグルをクリックしてから、侵入ポリシーを選択します。

   ポリシーは、安全性の低いものから高いものへの順で表示されています。[バランスのとれたセキュリティと接続性（Balanced Security and Connectivity）] ポリシーは、ほとんどのネットワークに適しています。ドロップしたくないトラフィックをドロップする可能性がある、過度に強力な防御ではなく、侵入に対する適切な防御を実現します。ドロップされるトラフィックが多すぎると判断した場合は、[セキュリティより接続を優先する（Connectivity over Security）] ポリシーを選択することによって侵入インスペクションを緩和できます。

   セキュリティを強力にする必要がある場合は、[接続性よりもセキュリティを優先（Security over Connectivity）] ポリシーを試します。[最大検出（Maximum Detection）] ポリシーでは、ネットワーク インフラストラクチャのセキュリティがよりいっそう重視され、動作にさらに大きな影響を及ぼす可能性があります。

   
   

   

   
   

6. [OK] をクリックして変更を保存します。

侵入ルール データベースの更新スケジュールを設定します。

1. [the name of the device in the menu] をクリックします。[デバイス（Device）]

2. [更新（Updates）] グループで [設定の表示（View Configuration）] をクリックします。

   
   

   

   
   

3. [ルール（Rule）] グループで [設定（Configure）] をクリックします。

   
   

   

   
   

4. 更新スケジュールを定義します。

   ネットワークを妨害しない時間および頻度を選択します。また、更新をダウンロードすると、システムが自動的に展開することも理解しておいてください。これは、新しいルールを有効化するために必要です。そのため、実行して保存したが、展開していない設定変更も展開されます。

   たとえば、次のスケジュールでは、ルール データベースが週に 1 回、月曜日の午前 0:00（24 時間方式を使用）に更新されます。

   
   

   

   
   

5. [保存（Save）] をクリックします。

既知の不正ホストやサイトとの接続を先制的にドロップするためのセキュリティ インテリジェンス ポリシーを設定します。

1. [デバイス（Device）] をクリックし、[更新（Updates）] グループで [設定の表示（View Configuration）] をクリックします。

2. [セキュリティインテリジェンスフィード（Security Intelligence Feeds）] グループで [今すぐ更新（Update Now）] をクリックします。

3. または、[設定（Configure）] をクリックして、フィードの定期更新を設定します。デフォルトの [毎時（Hourly）] はほとんどのネットワークに適していますが、必要に応じて頻度を減らすことができます。

4. [ポリシー（Policies）] をクリックして、[セキュリティインテリジェンス（Security Intelligence）] ポリシーをクリックします。

5. ポリシーをまだ有効化していない場合は、[セキュリティインテリジェンスの有効化（Enable Security Intelligence）] をクリックします。

6. [ネットワーク（Network）] タブで、[ブラックリスト（Blacklist）] の下にある [+] をクリックして、[ネットワークフィード（Network Feeds）] タブにあるすべてのフィードを選択します。フィードの横にある [i] ボタンをクリックして、各フィードの説明を確認できます。

   
   

   

   
   

   フィードが存在しないというメッセージが表示される場合は、後でもう一度試してください。フィードのダウンロードはまだ完了していません。この問題が解決しない場合は、管理 IP アドレスとインターネット間にパスがあることを確認してください。

7. [OK] をクリックして、選択したフィードを追加します。

   他にも不正 IP アドレスがある場合は、[+] > [ネットワークオブジェクト（Network Objects）] をクリックして、それらのアドレスを含むオブジェクトを追加できます。リストの下部にある [新規ネットワークオブジェクトの作成（Create New Network Object）] をクリックして、すぐに追加することもできます。

8. [URL] タブをクリックし、[ブラックリスト（Blacklist）] の下にある [+] > [URLフィード（URL Feeds）] をクリックして、すべての URL フィードを選択します。[OK] をクリックして、それらをブラックリストに追加します。

   ネットワーク リストと同様に、独自の URL オブジェクトをブラックリストに追加して、フィードに含まれていないその他のサイトをブロックできます。[+] > [URLオブジェクト（URL Objects）] をクリックします。リストの最後にある [新規URLオブジェクトの作成（Create New URL Object）] をクリックして、新しいオブジェクトを追加できます。

   
   

   

   
   

9. [歯車（gear）] アイコンをクリックし、[接続イベントロギング（Connection Events Logging）] を有効にして、一致した接続のセキュリティ インテリジェンス イベントをポリシーが生成できるようにします。[OK] をクリックして変更を保存します。

   接続ロギングを有効にしない場合、ポリシーが予想どおりに機能しているかどうかの評価に使用するためのデータを得られません。外部 syslog サーバを定義している場合は、ここで選択することで、そのサーバにもイベントを送信できます。

   
   

   

   
   

10. 必要に応じて、各タブの [ブロックしない（Do Not Block）] リストにネットワーク オブジェクトまたは URL オブジェクトを追加して、ブラックリストに対する例外を作成できます。

    [ブロックしない（Do Not Block）] リストは、ホワイトリストではなく、例外リストです。例外リストにあるアドレスや URL がブラックリストにも表示されている場合、そのアドレスや URL の接続はアクセス コントロール ポリシーの通過を許可されます。フィードはこのようにしてブロックできますが、後で必要なアドレスやサイトがブロックされていることに気付いた場合は、例外リストを使用して、フィードを完全に削除することなく、そのブロックをオーバーライドできます。その後、それらの接続はアクセス制御、および侵入ポリシー（設定されている場合）によって評価される点に注意してください。したがって、接続に脅威が含まれている場合は、侵入検査中に特定されてブロックされます。

    [アクセスおよびSIルール（Access and SI Rules）] ダッシュボード、およびイベント ビューアのセキュリティ インテリジェンス ビューを使用して、ポリシーによって実際にドロップされているトラフィックを特定し、[ブロックしない（Do Not Block）] リストにアドレスや URL を追加する必要があるかどうかを決めます。

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機します。展開のサマリーに変更が正常に展開されたことが示され、ジョブのタスク ステータスが [展開済み（Deployed）] になります。

まだ有効化していない場合は、[マルウェア（Malware）] ライセンスを有効化します。

1. [the name of the device in the menu] をクリックします。[デバイス（Device）]

2. [スマートライセンス（Smart License）] グループの [設定の表示（View Configuration）] をクリックします。

   
   

   

   
   

3. [マルウェア（Malware）] グループで [有効化（Enable）] をクリックします。

   必要に応じて、システムはライセンスをアカウントに登録したり、評価ライセンスを有効化したりします。グループのライセンスが有効なことが示され、ボタンは [無効化（Disable）] ボタンに変わります。

   
   

   

   
   

1 つまたは複数のアクセス ルールのファイル ポリシーを選択します。

1. メイン メニューで [ポリシー（Policies）] をクリックします。

   [アクセスコントロール（Access Control）] ポリシーが表示されることを確認します。

2. Inside_Outside_Rule 行の右側にある [アクション（Actions）] セルにマウスを合わせると、[編集（edit）] アイコンと [削除（delete）] アイコンが表示されます。ルールを開くには、[編集（edit）] アイコン（）をクリックします。

3. まだ選択していない場合は、[アクション（Action）] の [許可（Allow）] を選択します。

   
   

   

   
   

4. [ファイルポリシー（File Policy）] タブをクリックします。

5. 使用するファイル ポリシーをクリックします。

   主な選択は、マルウェアと見なされるすべてのファイルをドロップする [マルウェアをすべてブロック（Block Malware All）]、または AMP クラウドにクエリしてファイルの性質を判断するがブロックはしない [クラウドをすべてルックアップ（Cloud Lookup All）] です。ファイルがどのように評価されるかを確認する場合は、クラウド ルックアップを使用します。ファイルが評価される方法に納得したら、後でブロッキング ポリシーに切り替えることができます。

   他にも、マルウェアをブロックするために使用できるポリシーがあります。これらのポリシーは、ファイル制御や Microsoft Office、または Office および PDF ドキュメントのアップロードのブロックと関連しています。つまり、これらのポリシーを使用すると、マルウェアがブロックされるだけでなく、ユーザはこれらのファイル タイプを他のネットワークに送信できなくなります。ニーズに合う場合は、これらのポリシーを選択できます。

   この例では、[マルウェアをすべてブロック（Block Malware All）] を選択します。

   
   

   

   
   

6. [ロギング（Logging）] タブをクリックして、[ファイルイベント（File Events）] の下にある [ファイルのロギング（Log Files）] が選択されていることを確認します。

   デフォルトでは、ファイル ポリシーを選択するとファイル ロギングは有効化されます。イベントおよびダッシュボードにファイルおよびマルウェア情報を表示するには、ファイル ロギングを有効化が必要です。

   
   

   

   
   

7. [OK] をクリックして変更を保存します。

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機します。展開のサマリーに変更が正常に展開されたことが示され、ジョブのタスク ステータスが [展開済み（Deployed）] になります。

まだ有効化していない場合は、[URL] ライセンスを有効化します。

1. [the name of the device in the menu] をクリックします。[デバイス（Device）]

2. [スマートライセンス（Smart License）] グループの [設定の表示（View Configuration）] をクリックします。

   
   

   

   
   

3. [URLライセンス（URL License）] グループの [有効化（Enable）] をクリックします。

   必要に応じて、システムはライセンスをアカウントに登録したり、評価ライセンスを有効化したりします。グループのライセンスが有効なことが示され、ボタンは [無効化（Disable）] ボタンに変わります。

   
   

   

   
   

URL フィルタリングのアクセス コントロール ルールを作成します。

1. メイン メニューで [ポリシー（Policies）] をクリックします。

   [アクセスコントロール（Access Control）] ポリシーが表示されることを確認します。

2. [+] をクリックして新しいルールを追加します。

3. 順序、タイトル、およびアクションを設定します。

   • [順序（Order）]：デフォルトで、新しいルールはアクセス コントロール ポリシーの最後に追加されます。ただし、同じ送信元/宛先および他の条件を照合するルールの前（上位）にこのルールを配置する必要があります。そうしなければ、ルールは照合されません（接続で照合されるルールは、テーブル内で最初に照合されるルールの 1 つのみです）。このルールでは、デバイスの初期設定時に作成した Inside_Outside_Rule と同じ送信元/宛先を使用します。他のルールも同様に作成できます。アクセス コントロールの効率を最大化するには、早い段階で特定のルールを設定し、接続が許可されるか拒否されるかを迅速に決定できるようにすることが最善の方法です。この例では、ルールの順序として [1] を選択します。

   • [タイトル（Title）]：ルールに Block_Web_Sites などの意味のある名前を付けます。

   • [アクション（Action）]：[ブロック（Block）] を選択します。

   
   

   

   
   

4. [送信元/接続先（Source/Destination）] タブで、[送信元（Source）] > [ゾーン（Zones）] の [+] をクリックし、[inside_zone] を選択してから、ゾーンのダイアログボックスで [OK] をクリックします。

   条件の追加も同じ方法です。[+] をクリックすると小さいダイアログ ボックスが開くため、追加する項目をクリックします。複数の項目をクリックできます。選択した項目をクリックすると選択が解除されます。チェック マークは、選択済みの項目を示します。ただし、[OK（OK）] ボタンをクリックするまでポリシーには何も追加されません。項目を選択するだけでは不十分です。

   
   

   

   
   

5. 同じ技術を使用して、[接続先（Destination）] > [ゾーン（Zones）] で [outside_zone] を選択します。

   
   

   

   
   

6. [URLs] タブをクリックします。

7. [カテゴリ（Categories）] の [+] をクリックして、完全または部分的にブロックするカテゴリを選択します。

   この例では、[アダルトおよびポルノ（Adult and Pornography）]、[ボットネット（Bot Nets）]、[確認済みのスパム送信元（Confirmed SPAM Sources）]、および [ソーシャルネットワーク（Social Network）] を選択します。ブロックすることが必要な可能性が高い追加カテゴリがあります。

   
   

   

   
   

8. レピュテーションに影響されるブロッキングを [ソーシャルネットワーク（Social Network）] カテゴリに実装するには、そのカテゴリの [レピュテーション：すべてのリスク（Reputation: Risk Any）] をクリックして、[すべて（Any）] の選択を解除してからスライダを [セキュリティリスクがある無害なサイト（Benign sites with security risks）] に移動します。閉じるには、スライダをクリックします。

   
   

   

   
   

   レピュテーション スライダの左側は許可されるサイトを示し、右側はブロックされるサイトを示します。この場合、レピュテーションが [疑わしいサイト（Suspicious Sites）] と [高リスク（High Risk）] の範囲内にあるソーシャル ネットワーキング サイトのみがブロックされます。したがって、ユーザは、リスクの少ない、一般的に使用されるソーシャル ネットワーキング サイトにはアクセスできます。

   レピュテーションを使用すると、別の方法で許可したカテゴリ内のサイトを選択的にブロックできます。

9. カテゴリ リストの左側にある [URLS] リストの横の [+] をクリックします。

10. ポップアップ ダイアログ ボックスの下部で、[新規URLの作成（Create New URL）] リンクをクリックします。

11. 名前と URLの両方に「badsite.example.com」と入力して、[追加（Add）]、[OK] の順にクリックしてオブジェクトを作成します。

    オブジェクトに URL と同じ名前を付けるか、またはオブジェクトに別の名前を付けることができます。URL には、URL のプロトコル部分を含めず、サーバ名のみを追加します。

    
    

    

    
    

12. 新規オブジェクトを選択して、[OK] をクリックします。

    ポリシーの編集時に新規オブジェクトを追加するだけで、リストにオブジェクトが追加されます。新規オブジェクトは、自動的に選択されません。

    
    

    

    
    

13. [ロギング（Logging）] タブをクリックして、[ログアクションの選択（Select Log Action）] > [接続の開始時と終了時（At Beginning and End of Connection）] を選択します。

    Web カテゴリ ダッシュボードおよび接続イベントにカテゴリおよびレピュテーションの情報を表示するには、ロギングを有効化する必要があります。

14. [OK] をクリックしてルールを保存します。

（オプション）URL フィルタリングを設定します。

1. [the name of the device in the menu] をクリックします。[デバイス（Device）]

2. [システム設定（System Settings）] > [トラフィック設定（Traffic Settings）] > [URLフィルタリングの設定（URL Filtering Preferences）] をクリックします。

3. [未知のURL用Cisco CSIのクエリー（Query Cisco CSI for Unknown URLs）] を選択します。

4. [保存（Save）] をクリックします。

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機します。展開のサマリーに変更が正常に展開されたことが示され、ジョブのタスク ステータスが [展開済み（Deployed）] になります。

アプリケーションベースのアクセス コントロール ルールを作成します。

1. メイン メニューで [ポリシー（Policies）] をクリックします。

   [アクセスコントロール（Access Control）] ポリシーが表示されることを確認します。

2. [+] をクリックして新しいルールを追加します。

3. 順序、タイトル、およびアクションを設定します。

   • [順序（Order）]：デフォルトで、新しいルールはアクセス コントロール ポリシーの最後に追加されます。ただし、同じ送信元/宛先および他の条件を照合するルールの前（上位）にこのルールを配置する必要があります。そうしなければ、ルールは照合されません（接続で照合されるルールは、テーブル内で最初に照合されるルールの 1 つのみです）。このルールでは、デバイスの初期設定時に作成した Inside_Outside_Rule と同じ送信元/宛先を使用します。他のルールも同様に作成できます。アクセス コントロールの効率を最大化するには、早い段階で特定のルールを設定し、接続が許可されるか拒否されるかを迅速に決定できるようにすることが最善の方法です。この例では、ルールの順序として [1] を選択します。

   • [タイトル（Title）]：ルールに Block_Anonymizers などの意味のある名前を付けます。

   • [アクション（Action）]：[ブロック（Block）] を選択します。

   
   

   

   
   

4. [送信元/接続先（Source/Destination）] タブで、[送信元（Source）] > [ゾーン（Zones）] の [+] をクリックし、[inside_zone] を選択してから、ゾーンのダイアログボックスで [OK] をクリックします。

   
   

   

   
   

5. 同じ技術を使用して、[接続先（Destination）] > [ゾーン（Zones）] で [outside_zone] を選択します。

   
   

   

   
   

6. [アプリケーション（Applications）] タブをクリックします。

7. [アプリケーション（Applications）] の [+] をクリックして、ポップアップ ダイアログ ボックスの下部にある [高度なフィルタ（Advanced Filter）] リンクをクリックします。

   事前にアプリケーション フィルタ オブジェクトを作成して、ここの [アプリケーションフィルタ（Application Filters）] リストで選択できますが、アクセス コントロール ルールで条件を直接指定して、オプションで条件をフィルタ オブジェクトとして保存することもできます。単一のアプリケーションにルールを記述していない場合は、[高度なフィルタ（Advanced Filter）] ダイアログ ボックスを使用して、より簡単にアプリケーションを検索して適切な条件を生成できます。

   条件を選択すると、ダイアログ ボックスの下部にある [アプリケーション（Applications）] リストが更新され、条件に一致するアプリケーションが表示されます。記述したルールは、これらのアプリケーションに適用されます。

   このリストをよく見てください。たとえば、リスクが非常に高いすべてのアプリケーションをブロックしようとする場合があります。ただし、本書を作成している時点で、Facebook および TFPT は非常に高リスクに分類されています。ほとんどの組織は、これらのアプリケーションをブロックすることを希望しません。さまざまなフィルタ条件を試して、選択に一致するアプリケーションを確認するには時間がかかります。これらのリストは VDB の更新で変更できることを覚えておいてください。

   この例では、[カテゴリ（Categories）] リストからアノニマイザー/プロキシを選択します。

   
   

   

   
   

8. [高度なフィルタ（ Advanced Filters）] ダイアログ ボックスで、[追加（Add）] をクリックします。

   フィルタが追加され、[アプリケーション（Applications）] タブに表示されます。

   
   

   

   
   

9. [ロギング（Logging）] タブをクリックして、[ログアクションの選択（Select Log Action）] > [接続の開始時と終了時（At Beginning and End of Connection）] を選択します。

   このルールによってブロックされる接続の情報を取得するには、ロギングを有効化する必要があります。

10. [OK] をクリックしてルールを保存します。

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機します。展開のサマリーに変更が正常に展開されたことが示され、ジョブのタスク ステータスが [展開済み（Deployed）] になります。

[モニタリング（Monitoring）] をクリックして、結果を評価します。

インターフェイスを設定します。

1. [デバイス（Device）] をクリックしてから、[インターフェイス（Interface）] サマリーにあるリンクをクリックします。

2. 接続しているインターフェイスの行の右側にある [アクション（Actions）] セルにマウスを合わせて、[編集（edit）] アイコン（）をクリックします。

3. 基本的なインターフェイスのプロパティを設定します。

   • [名前（Name）]：インターフェイスに固有の名前 （[Inside_2] など）。

   • [ステータス（Status）]：ステータス トグルをクリックして、インターフェイスを有効化します。

   • [IPv4アドレス（IPv4 Address）] タブ：[タイプ（Type）] に [スタティック（Static）] を選択して、[192.168.2.1/24] を入力します。

   
   

   

   
   

4. [保存（Save）] をクリックします。

   インターフェイス リストに、更新されたインターフェイス ステータスと設定された IP アドレスが表示されます。

   
   

   

   
   

インターフェイスの DHCP サーバを設定します。

1. [the name of the device in the menu] をクリックします。[デバイス（Device）]

2. [システム設定（System Settings）] > [DHCPサーバ（DHCP Server）] をクリックします。

3. [DHCPサーバ（DHCP Servers）] タブをクリックします。

   表に、既存の DHCP サーバが表示されます。デフォルト設定を使用している場合、リストには内部インターフェイスのいずれかが含まれます。

4. 表の上部の [+] をクリックします。

5. サーバのプロパティを設定します。

   • [DHCPサーバの有効化（Enable DHCP Server）]：このトグルをクリックして、サーバを有効化します。

   • [インターフェイス（Interface）]：DHCP サービスを提供しているインターフェイスを選択します。この例では、inside_2 を選択します。

   • [アドレスプール（Address Pool）]：サーバがネットワーク上のデバイスに供給できるアドレス。192.168.2.2 ～ 192.168.2.254 を入力します。ネットワーク アドレス（.0）、インターフェイス アドレス（.1）、またはブロードキャスト アドレス（.255）が含まれないようにしてください。また、ネットワーク上のデバイスにスタティック アドレスが必要な場合は、プールからそれらのアドレスを除外します。プールは単一の連続したアドレスである必要があるため、範囲の最初または最後からスタティック アドレスを選択します。

   
   

   

   
   

6. [追加（Add）] をクリックします。

   
   

   

   
   

内部セキュリティ ゾーンにインターフェイスを追加します。

1. メイン メニューで [オブジェクト（Objects）] をクリックします。

2. オブジェクトの目次から、[セキュリティゾーン（Security Zones）] を選択します。

3. [inside_zone] オブジェクトの行の右側にある [アクション（Actions）] セルにマウスを合わせて、[編集（edit）] アイコン（）をクリックします。

4. [インターフェイス（Interfaces）] の下にある [+] をクリックして、inside_2 インターフェイスを選択し、インターフェイス リストで [OK] をクリックします。

   
   

   

   
   

5. [保存（Save）] をクリックします。

   
   

   

   
   

内部ネットワーク間のトラフィックを許可するアクセス コントロール ルールを作成します。

1. メイン メニューで [ポリシー（Policies）] をクリックします。

   [アクセスコントロール（Access Control）] ポリシーが表示されることを確認します。

2. [+] をクリックして新しいルールを追加します。

3. 順序、タイトル、およびアクションを設定します。

   • [順序（Order）]：デフォルトで、新しいルールはアクセス コントロール ポリシーの最後に追加されます。ただし、同じ送信元/宛先および他の条件を照合するルールの前（上位）にこのルールを配置する必要があります。そうしなければ、ルールは照合されません（接続で照合されるルールは、テーブル内で最初に照合されるルールの 1 つのみです）。このルールでは、一意の送信元/宛先条件を使用するため、リストの最後にルールを追加できます。

   • [タイトル（Title）]：ルールに Allow_Inside_Inside などの意味のある名前を付けます。

   • [アクション（Action）]：[許可（Allow）] を選択します。

   
   

   

   
   

4. [送信元/宛先（Source/Destination）] タブで、[送信元（Source） > [ゾーン（Zones）] の [+] をクリックし、[inside_zone] を選択してからゾーンのダイアログ ボックスで [OK] をクリックします。

   
   

   

   
   

5. 同じ方法で、[宛先（Destination）] > [Zones（ゾーン）] の [inside_zone] を選択します。

   送信元および宛先に同じゾーンを選択するには、セキュリティ ゾーンに 2 つ以上のインターフェイスが含まれている必要があります。

   
   

   

   
   

6. （オプション）侵入およびマルウェアのインスペクションを設定します。

   内部インターフェイスは信頼できるゾーン内にありますが、一般的に、ユーザはラップトップをネットワークに接続します。そのため、ユーザは、外部ネットワークまたは Wi-Fi ホット スポットからネットワーク内に、知らないうちに脅威を持ち込んでいます。したがって、内部ネットワーク間を移動するトラフィックに侵入やマルウェアの形跡がないかスキャンが必要な場合があります。

   次の操作の実行を検討します。

   • [侵入ポリシー（Intrusion Policy）] タブをクリックして侵入ポリシーを有効化し、スライダを使用して [バランスのとれたセキュリティと接続性（Balanced Security and Connectivity）] ポリシーを選択します。

   • [ファイルポリシー（File Policy）] タブをクリックして、[すべてのマルウェアをブロックする（Block Malware All）] ポリシーを選択します。

7. [ロギング（Logging）] タブをクリックして、[ログアクションの選択（Select Log Action）] > [接続の開始時および終了時（At Beginning and End of Connection）] を選択します。

   このルールに一致する接続に関する情報を取得するには、ロギングを有効化する必要があります。ロギングによってダッシュボードにスタティックが追加され、イベント ビューアにイベントが表示されます。

8. [OK] をクリックしてルールを保存します。

新規サブネットに必要なポリシーが定義されていることを確認します。

変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックします。

   展開が完了するまで待機します。展開のサマリーに変更が正常に展開されたことが示され、ジョブのタスク ステータスが [展開済み（Deployed）] になります。