Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.2.3 用)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.2.3 用)

Chapter Title

オブジェクト

検索結果

Updated:
2020年1月5日

章のタイトル: オブジェクト

オブジェクト

オブジェクトは、ポリシーまたはその他の設定内で使用する基準を定義した再利用可能なコンテナです。たとえば、ネットワーク オブジェクトは、ホスト アドレスとサブネット アドレスを定義します。

オブジェクトでは基準を定義することができ、同じ基準を異なるポリシーで簡単に再利用できるようになります。オブジェクトを更新すると、そのオブジェクトを使用するすべてのポリシーが自動的に更新されます。

オブジェクト タイプ

次のタイプのオブジェクトを作成できます。ほとんどの場合、ポリシーまたは設定によってオブジェクトを許可する場合、オブジェクトを使用する必要があります。

オブジェクト タイプ

主な用途

説明

AnyConnect クライアント プロファイル

リモート アクセス VPN

AnyConnect クライアント プロファイルは、AnyConnect クライアント ソフトウェアとともにクライアントにダウンロードされます。これらのプロファイルでは、多くのクライアント関連オプション(スタートアップ時の自動接続、自動再接続など)や、エンド ユーザが AnyConnect クライアントの設定および詳細設定からオプションを変更することを許可するかどうかを定義します。

クライアント プロファイルの設定およびアップロードを参照してください。

アプリケーション フィルタ

アクセス コントロール ルール

アプリケーション フィルタ オブジェクトは、IP 接続で使用されるアプリケーション、あるいはタイプ、カテゴリ、タグ、リスク、またはビジネスとの関連性によってアプリケーションを定義するフィルタを定義します。ポートの仕様を使うのではなく、ポリシーにこれらのオブジェクトを使用してトラフィックを制御できます。

アプリケーション フィルタ オブジェクトの設定を参照してください。

証明書

アイデンティティ ポリシー

リモート アクセス VPN

SSL 復号ルール

デジタル証明書は、認証に使用されるデジタル ID を提供します。証明書は、SSL(セキュア ソケット レイヤ)接続、TLS(Transport Layer Security)接続、および DTLS(データグラム TLS)接続(HTTPS や LDAPS など)に使用されます。

証明書の設定を参照してください。

位置情報

セキュリティ ポリシー

地理位置情報オブジェクトは、トラフィックの送信元または宛先であるデバイスをホストする国および大陸を定義します。IP アドレスを使用するのではなく、ポリシーにこれらのオブジェクトを使用してトラフィックを制御できます。

地理位置情報オブジェクトの設定を参照してください。

アイデンティティ レルム

アイデンティティ ポリシー

リモート アクセス VPN

アイデンティティ レルムとは、認証サービスの提供に必要なディレクトリ サーバとその他の属性のことです。ディレクトリ サーバには、ネットワークにアクセスできるユーザおよびユーザ グループに関する情報が含まれます。

AD アイデンティティ レルムの設定を参照してください。

IKE ポリシー

VPN

インターネット キー エクスチェンジ(IKE)ポリシー オブジェクトは、IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec セキュリティ アソシエーション(SAS)の自動的な確立に使用される IKE プロポーザルを定義します。IKEv1 と IKEv2 に対して、異なるオブジェクトがあります。

グローバル IKE ポリシーの設定を参照してください。

IPsec プロポーザル

VPN

IPsec プロポーザル オブジェクトは、IKE フェーズ 2 ネゴシエーション時に使用される IPsec プロポーザルを設定します。IPsec プロポーザルは、IPsec トンネル内のトラフィックを保護するためのセキュリティ プロトコルとアルゴリズムの組み合わせを定義します。IKEv1 と IKEv2 に対して、異なるオブジェクトがあります。

IPsec プロポーザルの設定を参照してください。

ネットワーク

セキュリティ ポリシーおよびさまざまなデバイス設定

ホストまたはネットワークのアドレスを定義するネットワーク グループおよびネットワーク オブジェクト(総称してネットワーク オブジェクトと呼ばれます)。

ネットワーク オブジェクトとグループの設定を参照してください。

ポート

セキュリティ ポリシー

トラフィックのプロトコル、ポート、または ICMP サービスを定義するポート グループおよびポート オブジェクト(総称してポート オブジェクトと呼ばれます)。

ポート オブジェクトとグループの設定を参照してください。

秘密キー

Smart CLI および FlexConfig ポリシー

秘密キー オブジェクトは、パスワードや、暗号化および非表示にするその他の認証文字列を定義します。

秘密キー オブジェクトの設定を参照してください。

セキュリティ ゾーン

セキュリティ ポリシー

セキュリティ ゾーンは、インターフェイスのグループです。ゾーンによって、ネットワークがトラフィックの管理や分類に役立つセグメントに分割されます。

セキュリティ ゾーンの設定」を参照してください。

Syslogサーバ

アクセス コントロール ルール

診断ロギング

セキュリティ インテリジェンス ポリシー

SSL 復号ルール

侵入ポリシー

syslog サーバのオブジェクトはコネクション型メッセージまたは診断システム ログ(syslog)メッセージを受信できるサーバを指定します。

Syslog サーバの設定を参照してください。

URL

アクセス コントロール ルール

セキュリティ インテリジェンス ポリシー

Web リクエストの URL または IP アドレスを定義する URL オブジェクトおよびグループ(総称して URLオブジェクトと呼ばれます)。

URL オブジェクトとグループの設定を参照してください。

オブジェクトの管理

オブジェクトは、[オブジェクト(Objects)] ページから直接設定することも、ポリシーの編集時に設定することもできます。いずれの方法でも同じく新規または更新されたオブジェクトが作成されるため、その時点で適した方法を使用します。

次の手順では、[オブジェクト(Objects)] ページから直接オブジェクトを作成および管理する方法について説明します。


(注)  

ポリシーまたは設定を編集すると、プロパティにオブジェクトが必要な場合、すでに定義されているオブジェクトのリストが表示されるため、適切なオブジェクトを選択します。必要なオブジェクトがまだ存在しない場合は、リストに表示される [新規オブジェクトの作成(Create New Object)] リンクをクリックします。

手順

ステップ 1

[オブジェクト(Objects)] を選択します。

[オブジェクト(Objects)] ページには、使用可能なオブジェクト タイプが一覧表示される目次があります。オブジェクト タイプを選択すると、既存オブジェクトのリストが表示され、新しいオブジェクトを作成できます。オブジェクトの内容とタイプも確認できます。

ステップ 2

目次からオブジェクト タイプを選択し、次のいずれかを実行します。

  • オブジェクトを作成するには、[+] ボタンをクリックします。オブジェクトの内容はタイプによって異なります。具体的な情報については、各オブジェクト タイプの設定トピックを参照してください。
  • グループ オブジェクトを作成するには、[グループの追加(Add Group)]Add group button.)ボタンをクリックします。グループ オブジェクトには複数の項目が含まれます。
  • オブジェクトを編集するには、そのオブジェクトの [編集(edit)](edit icon)アイコンをクリックします。定義済みオブジェクトの内容は編集できません。
  • オブジェクトを削除するには、そのオブジェクトの [削除(delete)](delete icon)アイコンをクリックします。ポリシーや別のオブジェクトで現在使用されているオブジェクト、または定義済みのオブジェクトは削除できません。

ネットワーク オブジェクトとグループの設定

ホストまたはネットワークのアドレスを定義するには、ネットワーク グループとネットワーク オブジェクト(ネットワーク オブジェクトと総称される)を使用します。これらのオブジェクトは、トラフィックの一致条件を定義するためにセキュリティ ポリシーで使用するか、サーバその他のリソースのアドレスを定義するために設定で使用できます。

ネットワーク オブジェクトは単一のホストまたはネットワーク アドレスを定義しますが、ネットワーク グループ オブジェクトは複数のアドレスを定義できます。

次に、[オブジェクト(Objects)] ページで直接オブジェクトを作成および編集する方法について説明します。アドレス プロパティの編集時に、オブジェクト リストに表示される [新しいネットワークの作成(Create New Network)] リンクをクリックして、ネットワーク オブジェクトを作成することもできます。

手順

ステップ 1

[オブジェクト(Objects)] を選択し、目次から [ネットワーク(Network)] を選択します。

ステップ 2

次のいずれかを実行します。

  • オブジェクトを作成するには、[+] ボタンをクリックします。
  • グループを作成するには、[グループの追加(Add Group)] ボタン(Add group button.)をクリックします。
  • オブジェクトまたはグループを編集するには、オブジェクトの編集アイコン(edit icon)をクリックします。

参照されていないオブジェクトを削除するには、オブジェクトのごみ箱アイコン(delete icon)をクリックします。

ステップ 3

オブジェクトの名前を入力し、オプションでオブジェクトの説明を入力してオブジェクトの内容を定義します。

オブジェクトの内容やスタンドアロン IP アドレスからオブジェクト名を簡単に判断できるように、IP アドレスだけの名前を使用しないことをお勧めします。名前に IP アドレスを使用する場合は、host-192.168.1.2 または network-192.168.1.0 など、わかりやすいプレフィックスを付けてください。IP アドレスを名前として使用する場合、システムは縦棒をプレフィックスとして追加します(たとえば、|192.168.1.2)。FDM ではオブジェクトセレクタに縦棒が表示されませんが、CLI で show running-config コマンドを使用して実行中の設定を調べると、この命名規則を確認できます。

ステップ 4

オブジェクトの内容を設定します。

ネットワーク オブジェクト

オブジェクトの [タイプ(Type)] を選択して、コンテンツを設定します。

  • [ネットワーク(Network)]:次のいずれかの形式を使用してネットワーク アドレスを入力します。

    • サブネット マスクを含む IPv4 ネットワーク(10.100.10.0/24、10.100.10.0/255.255.255.0 など)。

    • プレフィックスを含む IPv6 ネットワーク(2001:DB8:0:CD30::/60 など)。

  • [ホスト(Host)]:次のいずれかの形式を使用してホスト IP アドレスを入力します。

    • IPv4 ホスト アドレス(10.100.10.10 など)。

    • IPv6 ホスト アドレス(2001:DB8::0DB8:800:200C:417A または 2001:DB8:0:0:0DB8:800:200C:417A など)。

ネットワーク グループ

グループに追加するネットワークオブジェクトを選択するには、[+] ボタンをクリックします。新しいオブジェクトを作成することもできます。

ステップ 5

[OK] をクリックして変更を保存します。

ポート オブジェクトとグループの設定

トラフィックのプロトコル、ポート、または ICMP サービスを定義するには、ポート グループとポート オブジェクト(まとめてポート オブジェクトと呼ぶ)を使用します。その後、トラフィックの一致基準を定義するためのセキュリティ ポリシーのオブジェクトを使用して、たとえばアクセス ルールを使用して特定の TCP ポートへのトラフィックを許可できます。

ポート オブジェクトは単一のプロトコル、TCP/UDP ポートまたはポート範囲、または ICMP サービスを定義しますが、ポート グループ オブジェクトは、複数のサービスを定義できます。

システムには、一般的なサービス向けの複数の事前定義されたオブジェクトが含まれています。これらのオブジェクトはポリシーで使用できます。ただし、システムで定義されたオブジェクトは、編集または削除ができません。


(注)  

ポート グループ オブジェクトを作成する場合、オブジェクトの組み合わせが有効であることを確認してください。たとえば、あるオブジェクトをアクセス ルールで送信元と宛先ポートの両方を指定するために使用する場合、そのオブジェクトに複数のプロトコルを組み合わせることはできません。すでに使用されているオブジェクトを編集する場合は注意してください。オブジェクトを使用するポリシーが無効(かつディセーブル)になる場合があります。

次に、オブジェクト ページからオブジェクトを直接作成および編集する方法について説明します。オブジェクト リストに表示される [新規ポートの作成(Create New Port)] リンクをクリックすることで、サービスのプロパティを編集しながらポート オブジェクトを作成することもできます。

手順

ステップ 1

[オブジェクト(Objects)] を選択し、次に目次から [ポート(Ports)] を選択します。

ステップ 2

次のいずれかを実行します。

  • オブジェクトを作成するには、[+] ボタンをクリックします。
  • グループを作成するには、[グループの追加(Add Group)] ボタン(Add group button.)をクリックします。
  • オブジェクトまたはグループを編集するには、オブジェクトの編集アイコン(edit icon)をクリックします。

参照されていないオブジェクトを削除するには、オブジェクトのごみ箱アイコン(delete icon)をクリックします。

ステップ 3

オブジェクトの名前、さらにオプションで説明を入力し、オブジェクトの内容を定義します。

ポート オブジェクト

[プロトコル(Protocol)] を選択し、次のようにプロトコルを設定します。

  • TCPUDP:単一のポートまたはポート範囲の番号を入力します(たとえば 80(HTTP の場合)または 1-65535(すべてのポートをカバー))。

  • ICMPIPv6 ICMP:ICMP の [タイプ(Type)] を選択し、オプションで [コード(Code)] を選択します。タイプをすべての ICMP メッセージに適用するには、[任意(Any)] を選択します。タイプとコードについての詳細は、次のページを参照してください。

  • [その他(Other)] :目的のプロトコルを選択します。

ポート グループ

[+] ボタンは、グループに追加するポート オブジェクトを選択するためにクリックします。新しいオブジェクトを作成することもできます。

ステップ 4

[OK] をクリックして変更を保存します。

セキュリティ ゾーンの設定

セキュリティ ゾーンとはインターフェイスのグループ分けです。ゾーンは、トラフィックの管理と分類に役立つようにネットワークをセグメントに分割します。複数のゾーンを定義できますが、所与のインターフェイスは単一のゾーンの中にのみ存在できます。

システムは初期設定時に次のゾーンを作成します。これらのゾーンを編集してインターフェイスを追加または削除したり、使用しなくなったゾーンを削除したりできます。

  • inside_zone:内部インターフェイスが含まれます。内部インターフェイスがブリッジグループである場合、このゾーンには内部ブリッジ仮想インターフェイス(BVI)ではなく、すべてのブリッジ グループ メンバー インターフェイスが含まれます。このゾーンは、内部ネットワークを表します。

  • outside_zone:外部インターフェイスが含まれます。このゾーンは、インターネットなどの制御不可能な外部ネットワークを表すことを目的としています。

通常、ネットワーク内で果たす役割によって、インターフェイスをグループ化します。たとえば、インターフェイスに接続するインターフェイスを outside_zone セキュリティ ゾーンに配置し、内部ネットワークに接続するすべてのインターフェイスを inside_zone セキュリティ ゾーンに配置できます。次に、外部ゾーンから来て内部ゾーンへ向かうトラフィックにアクセス コントロール ルールを適用できます。

ゾーンを作成する前に、ネットワークに適用するアクセス ルールや他のポリシーを検討してください。たとえば、すべての内部インターフェイスを同じゾーンに配置する必要はありません。4 つの内部ネットワークがあり、1 つだけ他の 3 つとは異なる処理をしたい場合、1 つではなく 2 つのゾーンを作成できます。パブリック Web サーバへの外部アクセスを許可するインターフェイスがある場合、そのインターフェイスに別のゾーンを使用できます。

次に、オブジェクト ページからオブジェクトを直接作成および編集する方法について説明します。オブジェクト リストに表示される [新規セキュリティ ゾーンの作成(Create New Security Zone)] リンクをクリックすることで、セキュリティ ゾーンのプロパティを編集しながらセキュリティ ゾーンを作成することもできます。

手順

ステップ 1

[オブジェクト(Objects)] を選択し、次に目次から [セキュリティゾーン(Security Zones)] を選択します。

ステップ 2

次のいずれかを実行します。

  • オブジェクトを作成するには、[+] ボタンをクリックします。

  • オブジェクトを編集するには、オブジェクトの編集アイコン(edit icon)をクリックします。

参照されていないオブジェクトを削除するには、オブジェクトのごみ箱アイコン(delete icon)をクリックします。

ステップ 3

オブジェクトの名前、さらにオプションで説明を入力します。

ステップ 4

[インターフェイス(Interfaces)] リストで、[+] をクリックし、ゾーンに追加するインターフェイスを選択します。

このリストは、現在ゾーンに含まれていないすべての名前付きインターフェイスを表示します。インターフェイスをゾーンに追加するには、インターフェイスを設定して名前を付ける必要があります。

すべての名前付きインターフェイスがすでにゾーンにある場合、リストは空になります。別のゾーンにインターフェイスを移動しようとする場合、最初に現在のゾーンから削除する必要があります。

(注)   

ゾーンにブリッジ グループ インターフェイス(BVI)を追加することはできません。代わりに、メンバー インターフェイスを追加します。メンバーを異なるゾーンに配置できます。

ステップ 5

[OK] をクリックして変更を保存します。

アプリケーション フィルタ オブジェクトの設定

アプリケーション フィルタ オブジェクトは、IP 接続で使用されるアプリケーション、あるいはタイプ、カテゴリ、タグ、リスク、またはビジネスとの関連性によってアプリケーションを定義するフィルタを定義します。ポートの仕様を使用する代わりに、これらのオブジェクトをポリシーで使用し、トラフィックを制御できます。

個々のアプリケーションを指定することはできますが、アプリケーション フィルタはポリシーの作成や管理を簡素化します。たとえば、リスクが高く、ビジネスとの関連性が低いアプリケーションをすべて認識してブロックする、アクセス コントロール ルールを作成できます。ユーザがこのようなアプリケーションのいずれかを使用しようとすると、セッションがブロックされます。

アプリケーション フィルタ オブジェクトを使用せず、ポリシーのアプリケーションとアプリケーション フィルタを直接選択できます。ただし、同じアプリケーションまたはフィルタ グループに対して複数のポリシーを作成する場合にはオブジェクトが便利です。システムには、事前に定義されたいくつかのアプリケーション フィルタが含まれていて、これらは編集または削除できません。


(注)  

シスコでは、システムおよび脆弱性データベース(VDB)の更新を通じて、アプリケーション ディテクタを頻繁に更新し、追加します。したがって、リスクの高いアプリケーションをブロックするルールは、手動でルールを更新しなくても、新しいアプリケーションに自動的に適用されます。

次の手順では、[オブジェクト(Objects)] ページから直接オブジェクトを作成および編集する方法について説明します。[アプリケーション(Applications)] タブにアプリケーション基準を追加した後、[フィルタとして保存(Save As Filter)] リンクをクリックして、アクセス コントロール ルールを編集しながら、アプリケーション フィルタ オブジェクトも作成できます。

始める前に

フィルタを編集するときに、選択したアプリケーションが VDB の更新によって削除されていた場合は、アプリケーション名の後ろに「(廃止(Deprecated))」と表示されます。これらのアプリケーションはフィルタから削除する必要があります。それ以降の展開では、システム ソフトウェアのアップグレードがブロックされます。

手順

ステップ 1

[オブジェクト(Objects)] を選択し、目次から [アプリケーションフィルタ(Application Filters)] を選択します。

ステップ 2

次のいずれかを実行します。

  • オブジェクトを作成するには、[+] ボタンをクリックします。

  • オブジェクトを編集するには、オブジェクトの編集アイコン(edit icon)をクリックします。

参照されていないオブジェクトを削除するには、オブジェクトのごみ箱アイコン(delete icon)をクリックします。

ステップ 3

オブジェクトの名前、さらにオプションで説明を入力します。

ステップ 4

[アプリケーション(Applications)] リストで [追加 +(Add +)] をクリックし、オブジェクトに追加するアプリケーションとフィルタを選択します。

最初のリストには、継続的にスクロールするリストでアプリケーションが表示されます。[フィルタの詳細設定(Advanced Filter)] をクリックすると、フィルタ オプションが表示され、アプリケーションを容易に選択できます。選択したら、[追加(Add)] をクリックします。このプロセスを繰り返して、アプリケーションやフィルタを追加できます。

(注)   

1 つのフィルタ条件内での複数の選択は OR 関係にあります。たとえば、リスクが「高(High)」または(OR)「非常に高い(Very High)」となります。フィルタ間の関係は「論理積(AND)」であるため、リスクが「高(High)」または(OR)「非常に高い(Very High)」であり、かつ(AND)ビジネスとの関連性が「低(Low)」または(OR)「非常に低い(Very Low)」となります。フィルタを選択すると、ディスプレイに表示されるアプリケーションが更新され、条件を満たすものだけが表示されます。これらのフィルタを使用すると、個別に追加するアプリケーションを容易に見つけたり、ルールに追加する目的のフィルタを選択していることを確認したりできます。

リスク

アプリケーションが組織のセキュリティ ポリシーに反する可能性がある目的のために使用される確率(「非常に低い」から「非常に高い」まで)。

ビジネスとの関連性

アプリケーションが、娯楽とは逆に、組織の事業運営の文脈内で使用される確率(「非常に低い」から「非常に高い」まで)。

タイプ

アプリケーションのタイプ:

  • [アプリケーションプロトコル(Application Protocol)]:HTTP や SSH などのホスト間の通信を表すアプリケーション プロトコル。

  • [クライアントプロトコル(Client Protocol)]:Web ブラウザや電子メール クライアントなどのホスト上で動作しているソフトウェアを表すクライアント。

  • [Webアプリケーション(Web Application)]:HTTP トラフィックの内容または要求された URL を表す MPEG ビデオや Facebook などの Web アプリケーション。

カテゴリ

アプリケーションの最も重要な機能を説明する一般分類。

タグ

カテゴリに似た、アプリケーションに関する追加情報。

暗号化されたトラフィックの場合、システムは [SSLプロトコル(SSL Protocol)] とタグ付けされたアプリケーションだけを使用して、トラフィックを識別およびフィルタリングできます。このタグがないアプリケーションは、暗号化されていないまたは復号されたトラフィックでのみ検出できます。また、システムは、復号されたトラフィック(暗号化された、または暗号化されていないトラフィックではなく)のみで検出を行うことができるアプリケーションに [復号されたトラフィック(decrypted traffic)] タグを割り当てます。

アプリケーション リスト(ディスプレイ下部)

上記のリストのオプションからフィルタを選択するとこのリストが更新されるため、現在のフィルタに一致するアプリケーションを確認できます。ルールにフィルタ条件を追加するときに、フィルタが目的のアプリケーションを対象としていることを確認するためにこのリストを使用します。特定のアプリケーションを追加しようとしている場合、このリストからそのアプリケーションを選択します。

ステップ 5

[OK] をクリックして変更を保存します。

URL オブジェクトとグループの設定

URL オブジェクトとグループ(URL オブジェクトと総称する)を使用して、Web リクエストの URL または IP アドレスを定義します。これらのオブジェクトを使用して、アクセス制御ポリシーに手動の URL フィルタリング、またはセキュリティ インテリジェンス ポリシーにブロッキングを実装できます。

URL オブジェクトは単一の URL または IP アドレスを定義するのに対して、URL グループ オブジェクトは複数の URL またはアドレスを定義できます。

URL オブジェクトを作成する場合は、次の点に注意してください。

  • パスを含めない(つまり、URL に / の文字がない)場合、一致はサーバのホスト名のみに基づきます。ホスト名は、:// の区切り記号の後、またはホスト名のドットの後に来る場合、一致とみなされます。たとえば、ign.com は ign.com および www.ign.com と一致するが、verisign.com とは一致しません。

  • 1 つ以上の / を含める場合、サーバ名、パス、およびクエリ パラメータを含む文字列の部分一致には URL 文字列全体が使用されます。ただし、サーバは再構成することができ、ページは新しいパスに移動できるため、個々の Web ページまたはサイトの一部をブロックまたは許可するのに手動の URL フィルタリングは使用しないことをお勧めします。文字列の部分一致も予期しない一致となる可能性があり、URL オブジェクトに含める文字列が意図しないサーバ上のパスやクエリ パラメータ内の文字列とも一致することがあります。

  • システムは、暗号化プロトコル(HTTP と HTTPS)を無視します。つまり、ある Web サイトをブロックした場合、アプリケーション条件で特定のプロトコルを対象にしない限り、その Web サイトに向かう HTTP トラフィックと HTTPS トラフィックの両方がブロックされます。URL オブジェクトを作成する場合は、オブジェクトの作成時にプロトコルを指定する必要はありません。たとえば、http://example.com ではなく example.com を使用します。

  • アクセス コントロール ルールで URL オブジェクトを使用して HTTPS トラフィックを照合することを計画している場合は、トラフィックの暗号化に使用される公開キー証明書内でサブジェクトの共通名を使用するオブジェクトを作成します。なお、システムはサブジェクトの共通名に含まれるドメインを無視するため、サブドメイン情報は含めないでください。たとえば、www.example.com ではなく、example.com を使用します。

    ただし、証明書のサブジェクト共通名が Web サイトのドメイン名とはまったく関係ない場合があることをご了承ください。たとえば、youtube.com の証明書のサブジェクト共通名は *.google.com です(当然、これは随時変更される可能性があります)。SSL 復号ポリシーを使用して HTTPS トラフィックを復号し、URL フィルタリング ルールが復号されたトラフィックで動作するようにすると、より一貫性のある結果が得られるようになります。


    (注)  

    証明書情報を利用できないためにブラウザが TLS セッションを再開した場合、URL オブジェクトは HTTPS トラフィックと一致しません。このため、慎重に URL オブジェクトを設定した場合でも、HTTPS 接続では一貫性のない結果が得られることがあります。

次に、[オブジェクト(Objects)] ページで直接オブジェクトを作成および編集する方法について説明します。オブジェクト リストに表示される [新規 URL の作成(Create New URL)] リンクをクリックすることで、URL のプロパティを編集しながら URL オブジェクトを作成することもできます。

手順

ステップ 1

[オブジェクト(Objects)] を選択し、次に目次から [URL] を選択します。

ステップ 2

次のいずれかを実行します。

  • オブジェクトを作成するには、[+] ボタンをクリックします。
  • グループを作成するには、[グループの追加(Add Group)] ボタン(Add group button.)をクリックします。
  • オブジェクトまたはグループを編集するには、オブジェクトの編集アイコン(edit icon)をクリックします。

参照されていないオブジェクトを削除するには、オブジェクトのごみ箱アイコン(delete icon)をクリックします。

ステップ 3

オブジェクトの名前、さらにオプションで説明を入力します。

ステップ 4

オブジェクトの内容を定義します。

URL オブジェクト

URL または IP アドレスを [URL] ボックスに入力します。URL にはワイルドカードを使用できません。

URL グループ

[+] ボタンは、グループに追加する URL オブジェクトを選択するためにクリックします。新しいオブジェクトを作成することもできます。

ステップ 5

[OK] をクリックして変更を保存します。

地理位置情報オブジェクトの設定

地理位置情報オブジェクトは、トラフィックの送信元または接続先であるデバイスをホストする国と大陸を定義します。IP アドレスを使用する代わりに、これらのオブジェクトをポリシーで使用してトラフィックを制御できます。たとえば、地理的な場所を使用して、使用されている可能性のある IP アドレスすべてを把握する必要なしに、特定の国へのアクセスを簡単に制限できます。

通常は、地理位置情報オブジェクトを使用せずに、地理的な場所をポリシーで直接選択できます。とはいえ、同じ国や大陸のグループのために複数のポリシーを作成する場合、オブジェクトが便利です。


(注)  

常に最新の地理位置情報データを使用してトラフィックをフィルタ処理できるように、地理位置情報データベース(GeoDB)を定期的に更新することを強くお勧めします。

次に、[オブジェクト(Objects)] ページで直接オブジェクトを作成および編集する方法について説明します。ネットワーク プロパティの編集時に、オブジェクト リストに表示される [新しい地理位置情報の作成(Create New Geolocation)] リンクをクリックして、地理位置情報オブジェクトを作成することもできます。

手順

ステップ 1

[オブジェクト(Objects)] を選択し、目次から [地理位置情報(Geolocation)] を選択します。

ステップ 2

次のいずれかを実行します。

  • オブジェクトを作成するには、[+] ボタンをクリックします。

  • オブジェクトを編集するには、オブジェクトの編集アイコン(edit icon)をクリックします。

参照されていないオブジェクトを削除するには、オブジェクトのごみ箱アイコン(delete icon)をクリックします。

ステップ 3

オブジェクトの名前、さらにオプションで説明を入力します。

ステップ 4

[大陸または国(Continents/Countries)] リストで [追加 +(Add +)] をクリックして、オブジェクトに追加する大陸や国を選択します。

大陸を選択すると、大陸内のすべての国が選択されます。

ステップ 5

[OK] をクリックして変更を保存します。

Syslog サーバの設定

syslog サーバのオブジェクトはコネクション型メッセージまたは診断システム ログ(syslog)メッセージを受信できるサーバを指定します。syslog サーバにログ収集と分析のための設定がある場合は、オブジェクトを作成してそれらを定義し、関連ポリシーでこのオブジェクトを使用します。

以下のイベント タイプを syslog サーバに送信できます。

  • 接続イベント。次のポリシーのタイプで syslog サーバ オブジェクトを構成します:アクセス制御ルールとデフォルト アクション、SSL 復号ルールとデフォルト アクション、セキュリティ インテリジェンス ポリシー

  • 侵入イベント。侵入ポリシーで syslog サーバ オブジェクトを構成します。

  • 診断イベント。診断ロギングの設定を参照してください。

次に、[オブジェクト(Objects)] ページで直接オブジェクトを作成および編集する方法について説明します。オブジェクト リストに表示される [Syslogサーバの追加(Add Syslog Server)] リンクをクリックすることで、syslog サーバのプロパティを編集しながら syslog サーバを作成することもできます。

手順

ステップ 1

[オブジェクト(Objects)] を選択し、次に目次から [Syslogサーバ(Syslog Server)] を選択します。

ステップ 2

次のいずれかを実行します。

  • オブジェクトを作成するには、[+] ボタンをクリックします。

  • オブジェクトを編集するには、オブジェクトの編集アイコン(edit icon)をクリックします。

参照されていないオブジェクトを削除するには、オブジェクトのごみ箱アイコン(delete icon)をクリックします。

ステップ 3

syslog サーバのプロパティを設定します。

  • [デバイスインターフェイス(Device Interface)]:syslog サーバにアクセスするインターフェイスを選択します。サーバがブリッジ グループのメンバー インターフェイスを介してアクセスできる場合、代わりにブリッジ グループ インターフェイス(BVI)を選択します。

    (注)   

    Snort プロセスでは、侵入イベントにこのインターフェイスを使用しません。Snort では常に仮想管理インターフェイスに侵入 syslog メッセージが送信されます。侵入ポリシーにこの syslog サーバを使用する場合、syslog サーバが管理 IP アドレスからも到達可能であることを確認します。

  • [IPアドレス(IP Address)]:syslog サーバの IP アドレスを入力します。

  • [ポート(Port)]:サーバが syslog メッセージを受信するために使用する UDP ポートを入力します。デフォルトは 514 です。デフォルトを変更する場合は、1025 ~ 65535 の範囲のポートを使用してください。

ステップ 4

[OK] をクリックして変更を保存します。

AD アイデンティティ レルムの設定

アイデンティティ レルムとは、認証サービスの提供に必要なディレクトリ サーバとその他の属性のことです。ディレクトリ サーバには、ネットワークへのアクセスを許可されているユーザおよびユーザ グループについての情報が含まれます。

Active Directory の場合、レルムは Active Directory ドメインに相当します。

レルムは次のポリシーで使用されます。

  • アイデンティティ:レルムは、ユーザ アイデンティティ情報とグループ メンバーシップ情報を提供します。次いでそれらの情報をアクセス コントロール ルールで使用できます。システムは、毎日の最終時間(UTC)に、すべてのユーザとグループに関する更新情報をダウンロードします。ディレクトリ サーバに管理インターフェイスから到達できる必要があります。

  • リモート アクセス VPN:レルムは、接続が許可されているかどうかを判断する認証サービスを提供します。ディレクトリ サーバに RA VPN 外部インターフェイスから到達できる必要があります。

ディレクトリ管理者に相談して、ディレクトリ サーバのプロパティの設定に必要な値を取得します。


(注)  

ディレクトリ サーバが接続済みネットワークに存在しない場合や、デフォルト ルートで使用できない場合には、サーバのスタティック ルートを作成します。スタティック ルートを作成するには、[デバイス(Device)] > [ルーティング(Routing)] > [表示設定(View Configuration)] の順に選択します。

次に、[オブジェクト(Objects)] ページで直接オブジェクトを作成および編集する方法について説明します。レルム プロパティの編集時に、オブジェクト リストに表示される [新しいアイデンティティレルムの作成(Create New Identity Realm)] リンクをクリックして、アイデンティティ レルムを作成することもできます。

始める前に

ディレクトリ サーバ、Firepower Threat Defense デバイス、およびクライアント間で、時刻設定が一致していることを確認します。これらのデバイス間で時刻にずれがあると、ユーザ認証が成功しない場合があります。「一致」とは、別のタイム ゾーンを使用できますが、たとえば、10 AM PST = 1 PM EST など、それらのゾーンに対して相対的に同じになっている必要があることを意味しています。

手順

ステップ 1

[オブジェクト(Objects)] を選択し、目次から [アイデンティティレルム(Identity Realm)][アイデンティティソース(Identity Sources)] を選択します。

ステップ 2

次のいずれかを実行します。

  • レルムを作成するには、[+] ボタンをクリックします。作成可能なのは 1 つのレルムのみです。

  • 既存のレルムを編集するには、そのレルムの編集アイコン(edit icon)をクリックします。

作成後にレルムを削除することはできません。レルムの使用を停止するには、レルムを使用する設定済み機能を無効にします。

ステップ 3

基本レルムのプロパティを設定します。

  • [名前(Name)] :ディレクトリ レルムの名前。

  • [タイプ(Type)]:ディレクトリ サーバのタイプ。サポートされるタイプは Active Directory のみで、このフィールドを変更することはできません。

  • [ディレクトリユーザ名(Directory Username)]、[ディレクトリパスワード(Directory Password)]:取得するユーザ情報に対して適切な権限を持つユーザの識別用ユーザ名とパスワード。Active Directory では、昇格された特権は必要ありません。ドメイン内の任意のユーザを指定できます。ユーザ名は Administrator@example.com(Administrator だけでなく)などの完全修飾名である必要があります。

    (注)   

    この情報から ldap-login-dn と ldap-login-password が生成されます。たとえば、Administrator@example.com は cn=administrator,cn=users,dc=example,dc=com に変換されます。cn=users は常にこの変換の一部であるため、ここで指定するユーザは、共通名の「users」フォルダの下で設定する必要があります。

  • [ベースDN(Base DN)]:ユーザおよびグループ情報、つまり、ユーザとグループの共通の親を検索またはクエリするためのディレクトリ ツリー。例、cn=users,dc=example,dc=com。ベース DN の検索の詳細については、ディレクトリ ベースの DN の決定を参照してください。

  • [ADプライマリドメイン(AD Primary Domain)]:デバイスが参加する必要がある完全修飾 Active Directory ドメイン名。たとえば、example.com のように指定します。

ステップ 4

ディレクトリ サーバのプロパティを設定します。

  • [ホスト名またはIPアドレス(Hostname/IP Address)]:ディレクトリ サーバのホスト名または IP アドレス。サーバへの暗号化された接続を使用する場合、IP アドレスではなく完全修飾ドメイン名を入力する必要があります。

  • [ポート(Port)]:サーバとの通信に使用するポート番号。 デフォルトは 389 です。暗号化方式として LDAPS を選択する場合は、ポート 636 を使用します。

  • [暗号化(Encryption)]:ユーザおよびグループの情報のダウンロードに暗号化された接続を使用するには、希望の方法([STARTTLS] または [LDAPS])を選択します。 デフォルトでは [なし(None)] になっており、ユーザおよびグループの情報がクリア テキストでダウンロードされます。

    • [STARTTLS] では、暗号化方式をネゴシエートし、ディレクトリ サーバでサポートされる最も強力な方式を使用します。ポート 389 を使用します。このオプションは、リモート アクセス VPN にレルムを使用する場合はサポートされません。

    • [LDAPS] では、LDAP over SSL が必要です。ポート 636 を使用します。

  • [信頼できるCA証明書(Trusted CA Certificate)]:暗号化方式を選択する場合、認証局(CA)の証明書をアップロードして、システムとディレクトリ サーバの間で信頼できる接続を有効化します。認証に証明書を使用する場合、証明書のサーバ名は、サーバの [ホスト名/IPアドレス(Hostname/IP Address)] と一致する必要があります。たとえば、IP アドレスとして 10.10.10.250 を使用しているのに、証明書で ad.example.com を使用すると接続が失敗します。

ステップ 5

[テスト(Test)] ボタンをクリックして、システムがサーバに接続できることを確認します。

システムは別個のプロセスおよびインターフェイスを使用してサーバにアクセスします。このため、アイデンティティ ポリシーでは接続に成功してリモート アクセス VPN では失敗するなど、ある使用方法では接続が成功しても、別の方法では失敗したことを示すエラーが表示される場合があります。サーバに到達できない場合は、正しい IP アドレスとホスト名を指定していること、DNS サーバに当該ホスト名のエントリなどが設定されていることを確認します。サーバにスタティック ルートを設定する必要があるかもしれません。詳細については、ディレクトリ サーバ接続のトラブルシューティングを参照してください。

ステップ 6

[OK] をクリック

ディレクトリ サーバ接続のトラブルシューティング

システムは、機能に応じて異なるプロセスを使用して、ディレクトリ サーバと通信します。そのため、アイデンティティ ポリシー用の接続は機能しますが、リモート アクセス VPN 用の接続は失敗します。

これらのプロセスでは、さまざまなインターフェイスを使用してディレクトリ サーバと通信します。次のインターフェイスからの接続を確認する必要があります。

  • 管理インターフェイス(アイデンティティ ポリシーの場合)

  • データ インターフェイス(リモート アクセス VPN(外部インターフェイス)の場合)

アイデンティティ レルムを設定する場合、[テスト(Test)] ボタンを使用して接続が機能することを確認します。障害メッセージによって、接続上の問題がある機能が示されます。次に、認証属性およびルーティング/インターフェイス設定に基づいて、発生する可能性がある一般的な問題を示します。

Directory ユーザの認証問題。

ユーザ名またはパスワードが原因でシステムがディレクトリ サーバにログインできない問題の場合、名前とパスワードが正しく、ディレクトリ サーバで有効なことを確認します。Active Directory では、昇格された特権は必要ありません。ドメイン内の任意のユーザを指定できます。ユーザ名は Administrator@example.com(Administrator だけでなく)などの完全修飾名である必要があります。

また、システムはユーザ名とパスワードの情報から ldap-login-dn と ldap-login-password も生成します。たとえば、Administrator@example.com は cn=administrator,cn=users,dc=example,dc=com に変換されます。cn=users は常にこの変換の一部であるため、ここで指定するユーザは、共通名の「users」フォルダの下で設定する必要があります。

ディレクトリ サーバにはデータ インターフェイスを介してアクセスできます。

ディレクトリ サーバがデータ インターフェイス(GigabitEthernet インターフェイスなど)に直接接続されているネットワークまたは直接接続されたネットワークからルーティング可能なネットワーク上にある場合、仮想管理インターフェイスとディレクトリ サーバの間にルートがあることを確認する必要があります。

  • data-interfaces を管理ゲートウェイとして使用すると、ルーティングが成功します。

  • 管理インターフェイス上に明示的なゲートウェイがある場合、そのゲートウェイ ルータにディレクトリ サーバへのルートが存在している必要があります。

  • 仮想管理インターフェイスによって使用される物理インターフェイスである [診断(diagnostic)] インターフェイスで IP アドレスを設定する必要はありません。ただし、アドレスを設定する場合、ディレクトリ サーバに対するトラフィックを診断インターフェイスにリダイレクトするスタティック ルート(デフォルト ルートなど)も設定しないでください。

  • 直接接続されたネットワークとディレクトリ サーバをホストするネットワークの間にルータがある場合、ディレクトリ サーバのスタティック ルートを設定します([デバイス(Device)] > [ルーティング(Routing)])。

  • データ インターフェイスの IP アドレスとサブネットマスクが正しいことを確認します。

ディレクトリ サーバには物理的な管理インターフェイスを介してアクセスできます。

ディレクトリ サーバが物理的な管理インターフェイス(Management0/0 など)に直接接続されているネットワークまたはそのネットワークからルーティング可能なネットワーク上にある場合、次の手順を実行する必要があります。

  • 管理インターフェイスの IPv4 アドレス(論理名 diagnostic)を [デバイス(Device)] > [インターフェイス(Interfaces)] で設定します。IP アドレスは仮想管理アドレスと同じサブネット上にある必要があります([デバイス(Device)] > [システム設定(System Settings)] > [管理インターフェイス(Management Interface)])。

  • ディレクトリ サーバと管理インターフェイスの間にルータがある場合、[診断(diagnostic)] インターフェイスの [デバイス(Device)] > [ルーティング(Routing)] で、ディレクトリ サーバ用のルートを設定します。

  • 診断インターフェイスおよび管理インターフェイスの IP アドレスとサブネット マスクが正しいことを確認します。

ディレクトリ サーバは外部ネットワークにあります。

ディレクトリ サーバが外部(アップリンク)インターフェイスの反対側のネットワークにある場合、サイト間 VPN 接続を設定する必要がある場合があります。詳細な手順については、リモート アクセス VPN を使用して外部ネットワークのディレクトリ サーバを使用する方法を参照してください。

ユーザ数の制限

Firepower Device Manager はディレクトリ サーバから最大 2000 人のユーザに関する情報をダウンロードできます。

ディレクトリ サーバに 2000 以上のユーザ アカウントが含まれる場合、アクセス ルールでユーザを選択するとき、またはユーザ ベースのダッシュボード情報を閲覧するときに、すべての可能な名前を確認することができません。ルールは、ダウンロードしたこれらの名前だけに書き込むことができます。

この制限は、グループに関連付けられた名前にも適用されます。グループに 2000 を超えるメンバーが含まれている場合は、ダウンロードした 2000 個の名前だけをグループメンバーシップと照合できます。

2000 人以上のユーザがいる場合、Firepower Device Manager ではなく Firepower Management Center(リモート マネージャ)の使用を検討してください。Firepower Management Center では、はるかに多くのユーザをサポートします。

サポートされるディレクトリ サーバ

Windows サーバ 2008 および 2012 で Microsoft Active Directory(AD)を使用できます。

サーバの設定に関して次の点に注意してください。

  • ユーザ グループまたはグループ内のユーザに対してユーザ制御を実行する場合、ディレクトリ サーバでユーザ グループを設定する必要があります。サーバが基本的なオブジェクト階層でユーザを整理している場合、システムはユーザ グループ制御を実行できません。

  • ディレクトリ サーバは、次の表に示すフィールド名を使用して、システムがそのフィールドのサーバからユーザ メタデータを取得できるようにする必要があります。

    メタデータ

    Active Directory フィールド

    LDAP ユーザ名

    samaccountname

    givenname

    sn

    メール アドレス

    メール アドレス

    userprincipalname(mail に値が設定されていない場合)

    部署

    部署

    distinguishedname(department に値が設定されていない場合)

    電話番号

    telephonenumber

ディレクトリ ベースの DN の決定

ディレクトリの各プロパティを設定する際、ユーザおよびグループに共通のベース識別名(DN)を指定する必要があります。ベースはディレクトリ サーバ内で定義され、ネットワークごとに異なります。アイデンティティ ポリシーが正しく機能するには、適切なベースを入力する必要があります。ベースが誤っていると、ユーザ名またはグループ名が特定されず、アイデンティティに基づくポリシーが機能しなくなります。


ヒント

正しいベースを取得するには、ディレクトリ サーバを担当する管理者に確認してください。

Active Directory の場合は、ドメイン管理者として Active Directory サーバにログインし、コマンド プロンプトで dsquery コマンドを次のように使用することで、正しいベースを判別できます。

ユーザ検索ベース

dsquery user コマンドを入力し、ベース識別名を調べる既知のユーザ名(一部または全部)を指定します。たとえば次のコマンドでは、部分名「John*」を使用して、「John」で始まるすべてのユーザに対する情報を返します。 


C:\Users\Administrator>dsquery user -name “John*” 
“CN=John Doe,CN=Users,DC=csc-lab,DC=example,DC=com”

ベース DN は「DC=csc-lab,DC=example,DC=com」となります。

グループ検索ベース

dsquery group コマンドを入力し、ベース識別名を調べたい既知のグループ名を指定します。たとえば次のコマンドでは、グループ名「Employees」を使用して識別名を返します。 


C:\>dsquery group -name “Employees” 
“CN=Employees,CN=Users,DC=csc-lab,DC=example,DC=com”

グループのベース DN は「DC=csc-lab,DC=example,DC=com」となります。

ADSI Edit プログラムを使用して、Active Directory 構造を参照することもできます([スタート(Start)] > [ファイル名を指定して実行(Run)] > [adsiedit.msc])。ADSI Edit で、組織単位(OU)、グループ、ユーザなど任意のオブジェクトを右クリックし、[プロパティ(Properties)] を選択すると、識別名が表示されます。DC 値の文字列を、ベースとしてコピーします。

正しいベースであることを確認するには、次の手順を実行します。

  1. ディレクトリ プロパティの [テスト接続(Test Connection)] ボタンをクリックし、接続を確認します。問題があった場合には修正して、ディレクトリ プロパティを保存します。

  2. 変更をデバイスに適用します。

  3. アクセス ルールを作成して、[ユーザ(Users)] タブを選択し、ディレクトリから既知のユーザおよびグループ名の追加を試みます。ディレクトリを含むレルム内の一致ユーザ名およびグループ名を入力すると、入力中にオートコンプリートによる候補が表示されます。ドロップダウン リストに候補が表示される場合は、システムがディレクトリに適切に照会できたことを意味します。入力した文字列がユーザ名またはグループ名として表示されることが確かであるにもかかわらず、候補が表示されない場合は、対応する検索ベースを修正する必要があります。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ