アクセス コントロールの概要
次に、アクセス コントロール ポリシーを説明します。
アクセス コントロール ルールとデフォルト アクション
ネットワーク リソースへのアクセスを許可またはブロックするには、アクセス コントロール ポリシーを使用します。ポリシーは順序付けられた一連のルールで構成され、上から下へと評価されます。トラフィックに適用されるルールは、すべてのトラフィック条件が一致する最初のルールです。
アクセスの制御は次に基づいて行われます。
-
送信元と宛先の IP アドレス、プロトコル、ポート、インターフェイスなど従来のネットワーク特性(セキュリティ ゾーンの形式で)。
-
送信元と宛先の完全修飾ドメイン名(FQDN)(ネットワーク オブジェクトの形式)。トラフィックの照合は、その名前に関して DNS ルックアップから返された IP アドレスに基づいて行われます。
-
使用されているアプリケーション。アクセス コントロールは特定のアプリケーションに基づいて行うことも、アプリケーションのカテゴリ、特定の特性がタグ付けされたアプリケーション、アプリケーションのタイプ(クライアント、サーバ、Web)、またはアプリケーションのリスクやビジネスとの関連性の格付けを対象とするルールを作成できます。
-
汎用的な URL のカテゴリが含まれる Web 要求の宛先 URL。ターゲット サイトのパブリック レピュテーションに基づいて、カテゴリの一致を絞り込むことができます。
-
要求を作成したユーザ、またはユーザが所属するユーザ グループ。
ユーザが許可する暗号化トラフィックの場合、IPS インスペクションを適用して脅威をチェックし、攻撃だと思われるトラフィックをブロックできます。また、禁止されたファイルやマルウェアをチェックするためにファイル ポリシーも使用できます。
アクセス ルールに一致しないすべてのトラフィックは、アクセス コントロールの [デフォルトアクション(Default Action)] によって処理されます。デフォルトでトラフィックを許可する場合は、侵入インスペクションをトラフィックに適用できます。ただし、デフォルト アクションで処理されるトラフィックでは、ファイルまたはマルウェアのインスペクションを実行できません。
アプリケーション フィルタリング
アクセス コントロール ルールを使用すると、接続で使用されるアプリケーションに基づいてトラフィックをフィルタリングできます。このシステムはさまざまアプリケーションを認識できるため、すべての Web アプリケーションをブロックせずに 1 つの Web アプリケーションをブロックする方法を探す必要はありません。
人気のあるアプリケーションでは、アプリケーションのさまざまな要素にフィルタ処理を行えます。たとえば、Facebook をブロックせずに、Facebook Games をブロックするルールを作成できます。
一般的なアプリケーション特性に基づいて、リスクまたはビジネスとの関連性、タイプ、タグを選択することでアプリケーション グループ全体をブロックまたは許可するルールを作成できます。ただし、アプリケーション フィルタでカテゴリを選択するときは、目的のアプリケーション以外を含まないように一致するアプリケーションのリストをよく確認してください。可能なグループ処理の詳細については、アプリケーション基準を参照してください。
暗号化および復号トラフィックのアプリケーション制御
アプリケーションが暗号化を使用する場合、システムはアプリケーションを識別できない場合があります。
システムは StartTLS(SMTPS、POPS、FTPS、TelnetS、IMAPSなど)で暗号化されたアプリケーション トラフィックを検出できます。さらに、TLS ClientHello メッセージの Server Name Indication、またはサーバ証明書のサブジェクト識別名の値に基づいて、特定の暗号化されたアプリケーションを識別できます。
アプリケーション フィルタのダイアログボックスを使用し、次のタグを選択することでアプリケーションに復号が必要かどうかを決定してから、アプリケーションのリストを確認します。
-
[SSLプロトコル(SSL Protocol)]:SSL プロトコルとしてタグ付けされたトラフィックを解釈する必要はありません。システムはこのトラフィックを認識し、アクセス コントロール操作を適用できます。リストされたアプリケーションのアクセス コントロール ルールは、想定される接続に一致する必要があります。
-
[復号されたトラフィック(Decrypted Traffic)]:最初にトラフィックを復号する場合のみ、システムがこのトラフィックを特定できます。このトラフィックに SSL 復号ルールを設定します。
Common Industrial Protocol(CIP)および Modbus アプリケーション(ISA 3000)でのフィルタリング
Cisco ISA 3000 デバイスで Common Industrial Protocol(CIP) および Modbus プリプロセッサを有効にし、CIP および Modbus アプリケーションのアクセス制御ルールでフィルタを有効にすることができます。CIP アプリケーションの名前はすべて、CIP Write というように「CIP」で始まります。Modbus 用のアプリケーションは 1 つだけです。
プリプロセッサを有効にするには、CLI セッション(SSH またはコンソール)でエキスパート モードに移行し、次のコマンドを発行して、これらの遠隔監視制御・情報取得(SCADA)アプリケーションの一方または両方を有効にする必要があります。
sudo /usr/local/sf/bin/enable_scada.sh {cip | modbus | both}
たとえば、両方のプリプロセッサを有効にするには、次のようにします。
> expert
admin@firepower:~$ sudo /usr/local/sf/bin/enable_scada.sh both
(注) |
すべての展開後にこのコマンドを発行する必要があります。これらのプリプロセッサは、展開時には無効になります。 |
アプリケーション フィルタリングのベスト プラクティス
アプリケーション フィルタリングのアクセス制御ルールを設計する際は、次の推奨事項を覚えておいてください。
-
アドバタイズメント トラフィックなどの Web サーバによって参照されるトラフィックを処理するには、参照しているアプリケーションではなく、参照されるアプリケーションを照合します。
-
アプリケーションと URL の基準を同じルールで組み合わせることは避けてください(特に暗号化されたトラフィックの場合)。
-
[復号トラフィック(Decrypted Traffic)] のタグが付けられたトラフィックにルールを作成する場合、一致するトラフィックを復号する SSL 復号ルールがあることを確認します。これらのアプリケーションは、復号された接続でのみ識別できます。
-
システムは、Skype の複数のタイプの アプリケーション トラフィックを検出できます。Skype トラフィックを制御するには、個々のアプリケーションを選択する代わりに、[アプリケーション フィルタ(Application Filters)] リストから [Skype] タグを選択します。これにより、システムは同じ方法で Skype のすべてのトラフィックを検出して制御できるようになります。
-
Zoho メールへのアクセスを制御するには、Zoho アプリケーションと Zoho Mail アプリケーションの両方を選択します。
URL フィルタリング
アクセス制御ルールを使用して、HTTP または HTTPS 接続に使用される URL に基づいてトラフィックをフィルタ処理できます。HTTPS は暗号化されるので、HTTP の URL フィルタリングは HTTPS の URL フィルタリングよりも簡単なものであることに注意してください。
次の手法を使用して、URL フィルタリングを実装できます。
-
カテゴリおよびレピュテーション ベースの URL フィルタリング:URL フィルタリング ライセンスにより、URL の一般的な分類(カテゴリ)とリスク レベル(レピュテーション)に基づいて、Web サイトへのアクセスを制御できます。これは、不要なサイトをブロックするのに最も簡単で効果的な方法です。
-
手動 URL フィルタリング:任意のライセンスで、個々の URL および URL のグループを手動で指定し、Web トラフィックのきめ細かいカスタム制御を実現できます。手動フィルタリングの主な目的はカテゴリベースのブロック ルールに例外を作成することですが、他の目的にも手動ルールを使用できます。
ここでは、URL フィルタリングについてさらに詳しく説明します。
カテゴリ別とレピュテーション別の URL のフィルタリング
URL フィルタリング ライセンスを使用することにより、要求された URL のカテゴリおよびレピュテーションに基づいて Web サイトへのアクセスを制御できます。
-
カテゴリ:URL の一般的な分類。たとえば ebay.com はオークション カテゴリ、monster.com は求職カテゴリに属します。1 つの URL は複数のカテゴリに属することができます。
-
レピュテーション:この URL が、組織のセキュリティ ポリシーに違反するかもしれない目的で使用される可能性がどの程度であるか。レピュテーションは、[信頼できない(Untrusted)](レベル 1)から [信頼できる(Trusted)](レベル 5)の範囲です。
URL カテゴリとレピュテーションによって、URL フィルタリングをすぐに設定できます。たとえば、アクセス制御を使用して、違法ドラッグカテゴリの信頼できない URL をブロックできます。
カテゴリの説明については、https://www.talosintelligence.com/categoriesを参照してください。
カテゴリ データおよびレピュテーション データを使用することで、ポリシーの作成と管理も簡素化されます。脅威を示すサイトや、望ましくないコンテンツを提供するサイトが現れては消えるペースが早すぎて、新しいポリシーを更新して適用するのが間に合わないこともあります。シスコが URL データベースで新しいサイト、変更された分類、変更されたレピュテーションについて更新すると、ルールは自動的に新しい情報に調整されます。新しいサイトを考慮するようにルールを編集する必要はありません。
定期的な URL データベースの更新を有効にすると、システムは最新の情報を使用して URL フィルタリングを行うことができます。また、Cisco Collective Security Intelligence(CSI)との通信を有効にすると、不明なカテゴリとレピュテーションについて URL の最新の脅威インテリジェンスを取得することもできます。詳細については、URL フィルタリングの設定を参照してください。
(注) |
イベントで URL カテゴリおよびレピュテーション情報を表示するには、URL 条件を使用して少なくとも 1 つのルールを作成する必要があります。 |
カテゴリとレピュテーションでの URL の検索
特定の URL のカテゴリとレピュテーションをチェックすることができます。アクセス制御ルール、または SSL 復号ルールの [URL] タブに移動したり、 ボックスに URL を入力し、[移動(Go)] をクリックします。
に移動することができます。そこで、[確認するURL(URL to Check)]ルックアップ結果を示す Web サイトが表示されます。この情報は、カテゴリおよびレピュテーション ベースの URL フィルタリング ルールの動作をチェックするために役立ちます。
カテゴリに同意しない場合、FDM で [URLカテゴリの異議を送信する(Submit a URL Category Dispute)] をクリックしてご意見をお聞かせください。
手動 URL フィルタリング
個別の URL または URL のグループを手動でフィルタリングすることにより、カテゴリおよびレピュテーションベースの URL フィルタリングを補完または選択的にオーバーライドできます。特殊なライセンスなしでこのタイプの URL フィルタリングを実行できます。
たとえば、アクセス制御を使用して、組織にとって不適切なカテゴリの Web サイトをブロックできます。ただし、カテゴリに適切な Web サイトが含まれ、アクセスを提供したい場合、そのサイトに対して手動の許可ルールを作成し、カテゴリのブロック ルールの前に配置できます。
手動で URL フィルタリングを設定するには、対象の URL を含む URL オブジェクトを作成します。この URL を解釈する方法は、次のルールに基づきます。
-
パスを含めない(つまり、URL に / の文字がない)場合、一致はサーバのホスト名のみに基づきます。ホスト名は、:// の区切り記号の後、またはホスト名のドットの後に来る場合、一致とみなされます。たとえば、ign.com は ign.com および www.ign.com と一致するが、verisign.com とは一致しません。
-
1 つ以上の / を含める場合、サーバ名、パス、およびクエリ パラメータを含む文字列の部分一致には URL 文字列全体が使用されます。ただし、サーバは再構成することができ、ページは新しいパスに移動できるため、個々の Web ページまたはサイトの一部をブロックまたは許可するのに手動の URL フィルタリングは使用しないことをお勧めします。文字列の部分一致も予期しない一致となる可能性があり、URL オブジェクトに含める文字列が意図しないサーバ上のパスやクエリ パラメータ内の文字列とも一致することがあります。
-
システムは、暗号化プロトコル(HTTP と HTTPS)を無視します。つまり、ある Web サイトをブロックした場合、アプリケーション条件で特定のプロトコルを対象にしない限り、その Web サイトに向かう HTTP トラフィックと HTTPS トラフィックの両方がブロックされます。URL オブジェクトを作成する場合は、オブジェクトの作成時にプロトコルを指定する必要はありません。たとえば、http://example.com ではなく example.com を使用します。
-
アクセス コントロール ルールで URL オブジェクトを使用して HTTPS トラフィックを照合することを計画している場合は、トラフィックの暗号化に使用される公開キー証明書内でサブジェクトの共通名を使用するオブジェクトを作成します。なお、システムはサブジェクトの共通名に含まれるドメインを無視するため、サブドメイン情報は含めないでください。たとえば、www.example.com ではなく、example.com を使用します。
ただし、証明書のサブジェクト共通名が Web サイトのドメイン名とはまったく関係ない場合があることをご了承ください。たとえば、youtube.com の証明書のサブジェクト共通名は *.google.com です(当然、これは随時変更される可能性があります)。SSL 復号ポリシーを使用して HTTPS トラフィックを復号し、URL フィルタリング ルールが復号されたトラフィックで動作するようにすると、より一貫性のある結果が得られるようになります。
(注)
証明書情報を利用できないためにブラウザが TLS セッションを再開した場合、URL オブジェクトは HTTPS トラフィックと一致しません。このため、慎重に URL オブジェクトを設定した場合でも、HTTPS 接続では一貫性のない結果が得られることがあります。
HTTPS トラフィックのフィルタリング
HTTPS トラフィックは暗号化されているために、HTTPS トラフィックに対して直接 URL フィルタリングを実行しても、HTTP トラフィックに対して行う場合ほどシンプルではありません。そのため、SSL 復号ポリシーを使用してフィルタリング対象のすべての HTTPS トラフィックを復号することを検討する必要があります。この方法では、URL フィルタリング アクセス コントロール ポリシーは復号されたトラフィックで機能し、通常の HTTP トラフィックの場合と同じ結果が得られます。
ただし、一部の HTTPS トラフィックが復号せずにアクセス コントロール ポリシーに渡されるようにする場合は、HTTPS トラフィックと一致するルールは HTTP トラフィックの場合と異なることを理解する必要があります。暗号化されたトラフィックをフィルタリングするには、システムは SSL ハンドシェイク時に渡される情報(トラフィックを暗号化するために使用される公開キー証明書のサブジェクト共通名)に基づいて、要求された URL を決定します。URL の Web サイトのホスト名とサブジェクト共通名の間には、ほとんど、またはまったく関係がないことがあります。
HTTPS フィルタリングは、HTTP フィルタリングとは異なり、サブジェクト共通名内のサブドメインを無視します。HTTPS の URL を手動でフィルタリングする場合は、サブドメイン情報を含めないでください。たとえば、www.example.com ではなく、example.com を使用します。また、サイトによって使用される証明書の内容を確認し、サブジェクト共通名で使用されるドメインが正しいこと、この名前が他のルールと競合しないことを確認してください(たとえば、ブロックするサイトの名前が許可する名前と重複する可能性があります)。たとえば、youtube.com の証明書のサブジェクト共通名は *.google.com です(当然、これは随時変更される可能性があります)。
(注) |
証明書情報を利用できないためにブラウザが TLS セッションを再開した場合、URL オブジェクトは HTTPS トラフィックと一致しません。このため、慎重に URL オブジェクトを設定した場合でも、HTTPS 接続では一貫性のない結果が得られることがあります。 |
暗号化プロトコルによるトラフィックの制御
システムは、URL フィルタリングの実行時に暗号化プロトコル(HTTP と HTTPS)を無視します。これは、手動およびレピュテーションベース両方の URL 条件で発生します。つまり、URL フィルタリングでは、次の Web サイトへのトラフィックが同様に処理されます。
-
http://example.com
-
https://example.com
両方ではなく、HTTP トラフィックのみまたは HTTPS トラフィックのみと一致するルールを設定するには、宛先の条件で TCP ポートを指定するか、アプリケーション条件をルールに追加します。たとえば、それぞれ、TCP ポートまたはアプリケーション条件と URL 条件を含む 2 つのアクセス制御ルールを作成することにより、サイトへの HTTPS アクセスを許可しながら、HTTP アクセスを禁止できます。
最初のルールは Web サイトへの HTTPS トラフィックを許可します。
- アクション:許可
- TCP ポートまたはアプリケーション:HTTPS(TCP ポート 443)
- URL:example.com
2 番目のルールは同じ Web サイトへの HTTP アクセスをブロックします。
- アクション:ブロック
- TCP ポートまたはアプリケーション:HTTP(TCP ポート 80)
- URL:example.com
URL フィルタリングとアプリケーション フィルタリングの比較
URL フィルタリングとアプリケーション フィルタリングには類似点があります。しかし、それらは非常に異なる目的で使用する必要があります。
-
URL フィルタリングは、Web サーバ全体へのアクセスをブロックまたは許可するのに適しています。たとえば、ネットワーク上であらゆるタイプのギャンブルを許可しないようにする場合は、ギャンブル カテゴリをブロックする URL フィルタリング ルールを作成できます。このルールでは、ユーザはカテゴリ内の Web サーバ上のどのページにもアクセスできません。
-
アプリケーション フィルタリングは、ホスティング サイトに関係なく特定のアプリケーションをブロックするため、またはそうしないと許容される Web サイトの特定の機能をブロックするために便利です。たとえば、Facebook のすべてをブロックすることなく Facebook のゲーム アプリケーションだけをブロックできます。
アプリケーション基準と URL の基準を組み合わせると予期しない結果につながることがあるため、URL とアプリケーションの基準では別のルールを作成するのが良いポリシーです。1 つのルールでアプリケーション基準と URL の基準を組み合わせる必要がある場合は、アプリケーションと URL のルールがより一般的なアプリケーションのみまたは URL のみのルールの例外として機能する場合を除き、単純なアプリケーションのみまたは URL のみのルールの後に配置する必要があります。URL フィルタリング ブロック ルールはアプリケーション フィルタリングよりも広範になるため、アプリケーションのみのルールの上に配置する必要があります。
アプリケーション基準と URL の基準を組み合わせる場合、より慎重にネットワークをモニタし、不要なサイトやアプリケーションへのアクセスを許可しないようにする必要があります。
効果的な URL フィルタリングのベスト プラクティス
URL フィルタリングのアクセス制御ルールを設計するときは、次の推奨事項を覚えておいてください。
-
カテゴリとレピュテーション ブロックは可能な限り使用します。これにより、新しいサイトはカテゴリに追加されるとともに、自動的にブロックされ、そのレピュテーションに基づくブロックは、サイトの評判が上がる(または下がる)と調整されます。
-
URL カテゴリのマッチングを使用するときは、サイトのログイン ページがサイトそのものと異なるカテゴリにある場合に注意してください。たとえば、Gmail は [Webベースの電子メール(Web-based Email)] カテゴリにあり、ログイン ページは [検索エンジンおよびポータル(Search Enginesand Portals)] カテゴリにあります。それらのカテゴリに関して異なるアクションを実行する異なるルールがある場合、意図しない結果が生じる可能性があります。
-
URL オブジェクトを使用して、Web サイト全体を対象とし、カテゴリ ブロック ルールの例外を作成します。つまり、本来はカテゴリ ルールでブロックされる特定のサイトを許可します。
-
(URL オブジェクトを使用して)Web サーバを手動でブロックする場合は、セキュリティ インテリジェンス ポリシーでこれを行うとより効果的です。セキュリティ インテリジェンス ポリシーはアクセス制御ルールが評価される前に接続をドロップするので、より速くより効率的にブロックできます。
-
HTTPS 接続の最も効果的なフィルタリングのために、記述しているアクセス制御ルールの対象のトラフィックを復号する SSL 復号ルールを実装します。復号された HTTPS 接続はアクセス制御ポリシーの HTTP 接続としてフィルタ処理されるので、HTTPS フィルタリングの制限はすべて回避されます。
-
URL のブロック ルールはアプリケーション フィルタリング ルールの前に配置します。URL フィルタリングは Web サーバ全体をブロックするのに対し、アプリケーション フィルタリングは Web サーバに関係なく、特定のアプリケーションの使用を対象とするためです。
-
カテゴリが不明な高リスクサイトをブロックする場合は、[未分類(Uncategorized)] カテゴリを選択し、評価スライダを [疑わしい(Questionable)] または [信頼できない(Untrusted)] に調整します。
Web サイトのブロック時にユーザに表示される内容
URL フィルタリング ルールで Web サイトをブロックした場合、ユーザに表示される内容は、サイトが暗号化されているかどうかに基づいて異なります。
-
HTTP 接続:タイムアウトまたはリセットされた接続の場合、通常のブラウザ ページの代わりにシステムのデフォルトのブロック応答ページが表示されます。このページには、故意に接続がブロックされたことが明確に示されます。
-
HTTPS(暗号化)接続:システムのデフォルトのブロック応答ページは表示されません。代わりに、ブラウザのセキュアな接続の障害時のデフォルト ページが表示されます。エラー メッセージには、ポリシーによってサイトがブロックされたことは示されません。代わりに、一般的な暗号化アルゴリズムがないと示される場合があります。このメッセージからは、故意に接続がブロックされたことは明らかになりません。
さらに、Web サイトは、明示的な URL フィルタリング ルールではないその他のアクセス コントロール ルールまたはデフォルトのアクションによってブロックされている場合があります。たとえば、ネットワーク全体または地理位置情報をブロックしている場合、ネットワーク上またはその地理的な位置にある Web サイトもブロックされます。これらのルールによってブロックされたユーザには、以下の制限で説明するとおり、応答ページが表示されることもあれば、表示されないこともあります。
URL フィルタリングを実装している場合、サイトが意図的にブロックされているときに表示されることがある内容と、どのタイプのサイトをブロックしているかについてエンドユーザに説明することを検討してください。そうでないと、エンドユーザがブロックされた接続のトラブルシューティングにかなりの時間を費やしてしまう場合があります。
HTTP 応答ページの制限
システムが Web トラフィックをブロックする場合に、常に、HTTP 応答ページが表示されるわけではありません。
-
Web トラフィックがプロモートされたアクセス コントロール ルール(単純なネットワーク条件のみの早期に適用されたブロッキング ルール)の結果としてブロックされている場合、システムは応答ページを表示しません。
-
システムが要求された URL を特定する前に、Web トラフィックがブロックされている場合、システムは応答ページを表示しません。
-
アクセス コントロール ルールによってブロックされている暗号化された接続の場合、システムは応答ページを表示しません。
侵入、ファイル、マルウェアのインスペクション
侵入ポリシーとファイル ポリシーは、トラフィックが宛先に対して許可される前の最後のとりでとして連携して動作します。
-
侵入ポリシーは、システムの侵入防御機能を制御します。
-
ファイル ポリシーは、システムのファイル コントロールと AMP for Firepower の機能を制御します。
他のトラフィック処理はすべて、侵入、禁止されたファイル、およびマルウェアについて、ネットワーク トラフィックが調べられる前に実行されます。侵入ポリシーまたはファイル ポリシーをアクセス コントロール ルールに関連付けることで、アクセス コントロール ルールの条件に一致するトラフィックを通過させる前に、侵入ポリシーまたはファイル ポリシー(またはその両方)を使ってトラフィックのインスペクションを実行するよう、システムに指示できます。
トラフィックを [許可(allow)] するのみの侵入ポリシーおよびファイル ポリシーを設定できます。トラフィックを [信頼(trust)] または [ブロック(block)] するように設定されたルールではインスペクションは実行されません。さらに、アクセス コントロール ポリシーのデフォルトのアクションが [許可(allow)] の場合は、侵入ポリシーを設定できますが、ファイル ポリシーは設定できません。
アクセス コントロール ルールによって処理される単一接続の場合、ファイル インスペクションは侵入インスペクションの前に行われます。つまり、システムは侵入のためファイル ポリシーによってブロックされたファイルを検査しません。ファイル インスペクション内では、タイプによる単純なブロッキングの方が、マルウェア インスペクションおよびブロッキングよりも優先されます。ファイルがセッションで検出されてブロックされるまで、セッションからのパケットは侵入インスペクションの対象になります。
(注) |
デフォルトでは、暗号化されたペイロードの侵入インスペクションとファイル インスペクションは無効になっています。これにより、侵入およびファイル インスペクションが設定されたアクセス コントロール ルールに暗号化接続が一致したときの誤検出が減少し、パフォーマンスが向上します。暗号化されていないトラフィックのみのインスペクションが実行されます。 |
アクセス制御ルールの順序のベスト プラクティス
ルールは最初に一致したものから順に適用されるため、限定的なトラフィック一致基準を持つルールは、同じトラフィックに適用され、汎用的な基準を持つルールよりも上に置く必要があります。次の推奨事項を考慮してください。
-
固有のルールは一般的なルールの前に来る必要があります(特に特定のルールが一般的なルールの例外である場合)。
-
レイヤ 3/4 基準(IP アドレス、セキュリティ ゾーン、ポート番号など)にのみ基づいてトラフィックをドロップするルールはできるだけ早く来る必要があります。レイヤ 3/4 基準は迅速かつ検査なしで評価することができるので、アプリケーションや URL 基準などの検査を必要とするルールの前に来ることをお勧めします。もちろん、これらのルールの例外はこれらより上位に配置されなければなりません。
-
可能な限り、固有のドロップ ルールはポリシーの最上位近くに配置します。これにより、望ましくないトラフィックへの可能な限り早期の決定が保証されます。
-
アプリケーションと URL の基準の両方を含むルールは、より一般的なアプリケーションのみまたは URL のみのルールの例外として機能している場合を除き、単純なアプリケーションのみまたは URL のみのルールの後に来る必要があります。アプリケーションと URL の基準を組み合わせることで、予期しない結果が生じることがある(特に暗号化されたトラフィックの場合)ため、可能な限り、URL とアプリケーションのフィルタリング用に個別のルールを作成することをお勧めします。
NAT とアクセス ルール
アクセス ルールは、NAT を設定している場合でも、アクセス ルールの一致を決定する際に常に実際の IP アドレスを使用します。たとえば、内部サーバ 10.1.1.5 用の NAT を設定して、パブリックにルーティング可能な外部の IP アドレス 209.165.201.5 をこのサーバに付与する場合は、この内部サーバへのアクセスを外部トラフィックに許可するアクセス ルールの中で、サーバのマッピング アドレス(209.165.201.5)ではなく実際のアドレス(10.1.1.5)を参照する必要があります。
その他のセキュリティ ポリシーがアクセス制御に影響する仕組み
その他のセキュリティ ポリシーは、アクセス制御ルールが機能し接続と一致する方法に影響を与えます。アクセス ルールを設定するときは、次の点に注意してください。
-
[SSL復号(SSL Decryption)] ポリシー:SSL 復号ルールはアクセス制御の前に評価されます。したがって、暗号化された接続が、復号化のいくつかのタイプを適用する SSL 復号ルールと一致する場合、それはアクセス コントロール ポリシーによって評価されるプレーン テキスト(復号化)接続です。アクセス ルールは、暗号化されたバージョンの接続を参照しません。また、トラフィックをドロップする SSL 復号ルールと一致するすべての接続はアクセス コントロール ポリシーによって参照されることがありません。最後に、復号しないルールと一致する暗号化された接続は、その暗号化された状態で評価されます。
-
[アイデンティティ(Identity)] ポリシー:送信元 IP アドレスのユーザ マッピングがある場合にのみ接続はユーザ(およびユーザ グループ)と一致します。ユーザまたはグループ メンバーシップを重視するアクセス ルールは、ユーザ アイデンティティがアイデンティティ ポリシーによって正常に収集された接続のみと一致できます。
-
[セキュリティインテリジェンス(Security Intelligence)] ポリシー:アクセス コントロール ポリシーではブラックリストに登録されてドロップされた接続が参照されることはありません。
-
[VPN](サイト間またはリモート アクセス):VPN トラフィックは常にアクセス コントロール ポリシーに対して評価され、一致するルールに基づいて接続は許可またはドロップされます。ただし、VPN トンネル自体はアクセス コントロール ポリシーが評価される前に復号化されます。アクセス コントロール ポリシーは、トンネル自体ではなく VPN トンネル内に組み込まれている接続を評価します。