アクセスコントロール

ここでは、アクセスコントロールルールについて説明します。これらのルールにより、デバイスを通過するトラフィックが制御されるとともに、侵入インスペクションなどの高度なサービスがトラフィックに適用されます。

アクセス制御のベストプラクティス

アクセス制御ポリシーは、内部ネットワークを保護し、ユーザーが望ましくない外部ネットワークリソース（不適切な Web サイトなど）にアクセスすることを防止するための主要なツールです。そのため、このポリシーに特に注意を払い、必要な保護と接続のレベルを得るためにポリシーを微調整することをお勧めします。

次の手順は、アクセス制御ポリシーを使用する場合に実行する必要がある基本的なことの概要を示しています。これは概要であり、各タスクを実行するための完全な手順は示していません。

アクセス制御ポリシーにアクセスするには、[ポリシー（Policies）] > [アクセス制御（Access Control）] を選択します。

手順

ステップ 1	ポリシーのデフォルトアクションを設定します。デフォルトアクションでは、ポリシー内の特定のルールに一致しない接続が処理されます。デフォルトでは、このアクションは [ブロック（Block）] であるため、ルールに含まれていないものはすべてブロックされます。そのため、必要なトラフィックを許可するアクセス制御ルールを作成するだけで済みます。これは、アクセス制御ポリシーを設定する従来の方法です。反対に、デフォルトでトラフィックを許可して既知の望ましくないトラフィックをドロップするルールを作成することができます。この場合、許可するすべてのものに関するルールを用意する必要がなくなります。これにより、新しいサービスの使用が容易になりますが、気付かないうちに新しい望ましくないトラフィックが通過するリスクが生じます。
ステップ 2	[アクセスポリシーの設定（Access Policy Settings）]（）ボタンをクリックし、[TLSサーバーアイデンティティ検出（TLS Server Identity Discovery）] オプションを有効にします。このオプションにより、TLS 1.3 接続の最初のアプリケーション検出と URL カテゴリおよびレピュテーションの識別が改善されます。このオプションを有効にしないと、TLS 1.3 トラフィックが意図したルールと一致しない可能性があります。また、このオプションを有効にすることにより、復号ルールの有効性が向上する可能性もあります。
ステップ 3	できるだけ少ないアクセス制御ルールを作成します。従来のファイアウォールでは、IP アドレスとポートのさまざまな組み合わせに対して何万ものルールが作成される場合があります。次世代ファイアウォールでは、高度な検査を使用して、これらの詳細なルールの一部を回避できます。ルールの数が少ないほど、トラフィックが速く評価されるようになり、ルールセット内の問題を見つけて修正することも容易になります。
ステップ 4	アクセス制御ルールのロギングを有効にします。ロギングを有効にした場合にのみ、一致するトラフィックの統計が収集されます。ロギングを有効にしないと、モニタリングダッシュボードが不正確になります。
ステップ 5	より固有性の高いルールをポリシーの上の方に配置し、固有性の高いルールも一致する接続と一致する、より一般的なルールが、それらの固有性の高いルールよりも下になっていることを確認します。ポリシーはトップダウンで評価され、最初の一致が優先されます。そのため、特定のサブネットへのすべてのトラフィックをブロックするルールを配置し、その後にそのサブネット内の単一 IP アドレスへのアクセスを許可するルールを配置しても、最初のルールによってブロックされるため、そのアドレスへのトラフィックは許可されません。また、入力/出力インターフェイス、送信元/宛先 IP アドレス、ポート、地理位置情報などの従来の基準のみに基づいてトラフィックを評価するルールは、ユーザー基準、URL フィルタリング、アプリケーションフィルタリングなどに適用される、詳細な検査が必要なルールの前に配置してください。前者のルールは検査を必要としないため、それらのルールを前に配置することにより、接続の一致に関するアクセス制御の決定を迅速に行うことが可能になります。その他の推奨事項については、アクセス制御ルールの順序のベストプラクティスを参照してください。
ステップ 6	トラフィックのターゲットサブセットに対するブロックルールと許可ルールをペアで設定します。たとえば、多くの HTTP/HTTPS トラフィックを許可する一方で、望ましくないサイト（ポルノサイトやギャンブルサイトなど）へのアクセスをブロックしたい場合があります。これを実現するには、次のルールを作成し、それらをポリシー内で順番に並べます（たとえば、ルール 11 とルール 12）。内部セキュリティゾーン（送信元）および外部セキュリティゾーン（宛先）と、IP アドレス、ポート、または地理位置情報に適用される、望ましくない URL カテゴリを対象とした URL フィルタリングブロックルール。たとえば、ボットネット、児童虐待コンテンツ、クリプトジャッキング、DNS トンネリング、電子バンキング詐欺、エクスプロイト、エクストリーム、フィルタ回避、ギャンブル、ハッキング、ヘイトスピーチ、ハイリスクのサイト/場所、違法行為、違法ダウンロード、違法薬物、悪意のあるサイト、マルウェアサイト、モバイル脅威、P2P マルウェアノード、フィッシング、ポルノ、スパム、スパイウェア、およびアドウェアをブロックします。内部セキュリティゾーン（送信元）および外部セキュリティゾーン（宛先）と、IP アドレス、ポート、または地理位置情報に適用される、HTTP および HTTPS アプリケーションのアプリケーションフィルタ処理許可ルール。この URL フィルタ処理ルールでは、望ましくない Web リソースへのアクセスをブロックした後、他のすべての HTTP/HTTPS アクセスが許可されます。
ステップ 7	高度な次世代ファイアウォール機能を使用して、IP アドレスやポートに関係なくトラフィックが評価されます。攻撃者やその他の悪意のある人物は、IP アドレスとポートを頻繁に変更することにより、従来のアクセス制御トラフィックの一致基準を回避します。代わりに、次の次世代機能を使用してください。ユーザー基準：トラフィックを開始しているユーザーに関する情報を取得するようにアイデンティティポリシーを設定します。理想的には、Active Directory サーバーがユーザーをグループに編成します。これによって、ユーザーグループメンバーシップに基づいてトラフィックを許可またはブロックするアクセス制御ルールを作成できます。たとえば、エンジニアユーザーには開発サブネットへのアクセスを許可しますが、エンジニアグループに属していないユーザーは暗黙的にブロックします。個別のユーザー名ではなくグループを使用するため、ユーザーがネットワークに追加されるたびにルールを更新する必要がありません。アプリケーション基準：アプリケーションフィルタ処理基準を使用して、アプリケーションのタイプを許可またはブロックします。これにより、ユーザーが HTTP 接続のポートを変更した場合、システムは、ポート 80 に接続していなくても HTTP であることを認識できます。その他の推奨事項については、アプリケーションフィルタリングのベストプラクティスを参照してください。 URL カテゴリおよびレピュテーション基準：カテゴリに基づく URL フィルタ処理を使用して、サイトのタイプに基づいてサイトを動的に許可またはブロックします。サイトのタイプ（またはカテゴリ）内で、サイトのレピュテーション（正常または危険）に基づいてルールを微調整できます。URL によってサイトを手動でブロックしようとする場合には URL が変更されるたびにルールを調整する必要がありますが、カテゴリとレピュテーションを使用することにより、そのような調整が不要になります。その他の推奨事項については、効果的な URL フィルタリングのベストプラクティスを参照してください。 URL カテゴリ/レピュテーションフィルタリングルールを DNS ルックアップ要求の FQDN に適用することもできます。システムは、ブロックされたカテゴリ/レピュテーションに対する DNS 応答を防止し、ユーザーの接続試行を効果的にブロックできます。詳細については、URL カテゴリとレピュテーションに基づいた DNS 要求のフィルタリングを参照してください。
ステップ 8	すべての許可ルールに侵入検査を適用します。次世代ファイアウォールの強力な機能の一つは、同じデバイスを使用して侵入検査とアクセス制御を適用できることです。侵入ポリシーを各許可ルールに適用してください。これにより、攻撃が通常は害のないパスを介してネットワークに侵入した場合でも、それを察知して攻撃接続をドロップできます。デフォルトアクションが「許可」の場合は、デフォルトアクションに一致するトラフィックに侵入防御を適用することもできます。
ステップ 9	また、望ましくない IP アドレスおよび URL をブロックするようにセキュリティインテリジェンスポリシーを設定します。セキュリティインテリジェンスポリシーはアクセス制御ポリシーの前に適用されるため、アクセス制御ルールが評価される前に望ましくない接続をブロックできます。これにより早い段階でのブロックを実現でき、アクセス制御ルールの複雑さを軽減するために役立ちます。
ステップ 10	SSL 復号ポリシーの実装を検討します。システムは、暗号化されたトラフィックに対して詳細な検査を実行できません。SSL 復号ポリシーを設定すると、アクセス制御ポリシーが復号されたバージョンのトラフィックに適用されます。そのため、詳細な検査によって攻撃を識別でき（侵入ポリシーを使用）、アプリケーションおよび URL フィルタリングをより効果的に適用できるため、ルールの照合が強化されます。アクセス制御ポリシーで許可されたトラフィックは、デバイスから送信される前に再暗号化されるため、エンドユーザーが暗号化の保護を失うことはありません。
ステップ 11	オブジェクトグループ検索を有効にして、ルールの展開を簡素化します。リリース 7.2 以降、この機能は新しい展開ではデフォルトで有効になっていますが、アップグレードされたシステムでは自動的に有効になりません。オブジェクトグループ検索を有効にすると、ネットワークオブジェクトを含むアクセスコントロールポリシーのメモリ要件が軽減されます。ただし、オブジェクトグループ検索では、ルールルックアップのパフォーマンスが低下して、CPU 使用率が増大する可能性があることに注意してください。CPU に対する影響と、特定のアクセスコントロールポリシーに関するメモリ要件の軽減とのバランスをとる必要があります。ほとんどの場合、オブジェクトグループ検索を有効にすると、ネット運用が改善されます。 FlexConfig を使用してこのオプションを設定するには、object-group-search access-control コマンドを発行します。否定テンプレートでは、このコマンドの no 形式を使用します。

アクセスコントロールの概要

次に、アクセスコントロールポリシーを説明します。

アクセスコントロールルールとデフォルトアクション

ネットワークリソースへのアクセスを許可またはブロックするには、アクセスコントロールポリシーを使用します。ポリシーは順序付けられた一連のルールで構成され、上から下へと評価されます。トラフィックに適用されるルールは、すべてのトラフィック条件が一致する最初のルールです。

アクセスの制御は次に基づいて行われます。

送信元と宛先の IP アドレス、プロトコル、ポート、インターフェイスなど従来のネットワーク特性（セキュリティゾーンの形式で）。
送信元と宛先の完全修飾ドメイン名（FQDN）（ネットワークオブジェクトの形式）。トラフィックの照合は、その名前に関して DNS ルックアップから返された IP アドレスに基づいて行われます。
Cisco Identity Services Engine（ISE）によって送信元または宛先に割り当てられたセキュリティグループタグ（SGT）。
使用されているアプリケーション。アクセスコントロールは特定のアプリケーションに基づいて行うことも、アプリケーションのカテゴリ、特定の特性がタグ付けされたアプリケーション、アプリケーションのタイプ（クライアント、サーバー、Web）、またはアプリケーションのリスクやビジネスとの関連性の格付けを対象とするルールを作成できます。
汎用的な URL のカテゴリが含まれる Web 要求の宛先 URL。ターゲットサイトのパブリックレピュテーションに基づいて、カテゴリの一致を絞り込むことができます。
DNS ルックアップ要求の FQDN の URL カテゴリとレピュテーション。不要なカテゴリや低いレピュテーションに対して DNS 応答をブロックして、その後の接続試行を効果的に防ぐことができます。
要求を作成したユーザ、またはユーザが所属するユーザグループ。

ユーザーが許可する暗号化トラフィックの場合、IPS インスペクションを適用して脅威をチェックし、攻撃だと思われるトラフィックをブロックできます。また、禁止されたファイルやマルウェアをチェックするためにファイルポリシーも使用できます。

アクセスルールに一致しないすべてのトラフィックは、アクセスコントロールの [デフォルトアクション（Default Action）] によって処理されます。デフォルトでトラフィックを許可する場合は、侵入インスペクションをトラフィックに適用できます。ただし、デフォルトアクションで処理されるトラフィックでは、ファイルまたはマルウェアのインスペクションを実行できません。

アプリケーションフィルタリング

アクセスコントロールルールを使用すると、接続で使用されるアプリケーションに基づいてトラフィックをフィルタリングできます。このシステムはさまざまアプリケーションを認識できるため、すべての Web アプリケーションをブロックせずに 1 つの Web アプリケーションをブロックする方法を探す必要はありません。

人気のあるアプリケーションでは、アプリケーションのさまざまな要素にフィルタ処理を行えます。たとえば、Facebook をブロックせずに、Facebook Games をブロックするルールを作成できます。

一般的なアプリケーション特性に基づいて、リスクまたはビジネスとの関連性、タイプ、タグを選択することでアプリケーショングループ全体をブロックまたは許可するルールを作成できます。ただし、アプリケーションフィルタでカテゴリを選択するときは、目的のアプリケーション以外を含まないように一致するアプリケーションのリストをよく確認してください。可能なグループ処理の詳細については、アプリケーション基準を参照してください。

暗号化および復号トラフィックのアプリケーション制御

アプリケーションが暗号化を使用する場合、システムはアプリケーションを識別できない場合があります。

システムは StartTLS（SMTPS、POPS、FTPS、TelnetS、IMAPSなど）で暗号化されたアプリケーショントラフィックを検出できます。さらに、TLS ClientHello メッセージの Server Name Indication、またはサーバー証明書のサブジェクト識別名の値に基づいて、特定の暗号化されたアプリケーションを識別できます。

アプリケーションフィルタのダイアログボックスを使用し、次のタグを選択することでアプリケーションに復号が必要かどうかを決定してから、アプリケーションのリストを確認します。

[SSLプロトコル（SSL Protocol）]：SSL プロトコルとしてタグ付けされたトラフィックを解釈する必要はありません。システムはこのトラフィックを認識し、アクセスコントロール操作を適用できます。リストされたアプリケーションのアクセスコントロールルールは、想定される接続に一致する必要があります。
[復号されたトラフィック（Decrypted Traffic）]：最初にトラフィックを復号する場合のみ、システムがこのトラフィックを特定できます。このトラフィックに SSL 復号ルールを設定します。

Common Industrial Protocol（CIP）および Modbus アプリケーション（ISA 3000）でのフィルタリング

Cisco ISA 3000 デバイスで Common Industrial Protocol（CIP）および Modbus プリプロセッサを有効にし、CIP および Modbus アプリケーションのアクセス制御ルールでフィルタを有効にすることができます。CIP アプリケーションの名前はすべて、CIP Write のように「CIP」で始まります。Modbus 用のアプリケーションは 1 つだけです。

プリプロセッサを有効にするには、CLI セッション（SSH またはコンソール）でエキスパートモードに移行し、次のコマンドを発行して、これらの遠隔モニター制御情報取得（SCADA）アプリケーションの一方または両方を有効にする必要があります。

sudo /usr/local/sf/bin/enable_scada.sh {cip | modbus | both}

たとえば、両方のプリプロセッサを有効にするには次の手順を実行します。


> expert 
admin@firepower:~$ sudo /usr/local/sf/bin/enable_scada.sh both

（注）

このコマンドは、展開のたびに発行する必要があります。これらのプリプロセッサは、展開時には無効になります。

アプリケーションフィルタリングのベストプラクティス

アプリケーションフィルタリングのアクセス制御ルールを設計する際は、次の推奨事項を覚えておいてください。

アドバタイズメントトラフィックなどの Web サーバーによって参照されるトラフィックを処理するには、参照しているアプリケーションではなく、参照されるアプリケーションを照合します。
アプリケーションと URL の基準を同じルールで組み合わせることは避けてください（特に暗号化されたトラフィックの場合）。
[復号トラフィック（Decrypted Traffic）] のタグが付けられたトラフィックにルールを作成する場合、一致するトラフィックを復号する SSL 復号ルールがあることを確認します。これらのアプリケーションは、復号された接続でのみ識別できます。
TLS 1.3 では、ほとんどのハンドシェイクメッセージが暗号化されるため、証明書情報を簡単に利用できません。TLS 1.3 で暗号化されたトラフィックで、アプリケーションまたは URL フィルタリングを使用するアクセスルールに効果的に対応するには、システムがサーバーのクリアテキスト証明書を取得する必要があります。アクセス制御設定で [TLS 1.3証明書の可視性（TLS 1.3 Certificate Visibility）] を有効にすることをお勧めします。このオプションを有効にすると、システムは、クライアントの Hello パケットの IP アドレスおよび SNI（Server Name Indication）に基づいて、サイトの証明書がキャッシュに保存されているかどうかを確認します。保存されていない場合、システムは、TLS 1.2 プローブを使用して証明書を取得します。その後は、この証明書を使用して、接続を復号せずにアプリケーション/URL カテゴリおよびレピュテーションを識別することができます。
システムは、Skype の複数のタイプのアプリケーショントラフィックを検出できます。Skype トラフィックを制御するには、個々のアプリケーションを選択する代わりに、[アプリケーションフィルタ（Application Filters）] リストから [Skype] タグを選択します。これにより、システムは同じ方法で Skype のすべてのトラフィックを検出して制御できるようになります。
Zoho メールへのアクセスを制御するには、Zoho アプリケーションと Zoho Mail アプリケーションの両方を選択します。

URL フィルタリング

アクセス制御ルールを使用して、HTTP または HTTPS 接続に使用される URL に基づいてトラフィックをフィルタ処理できます。HTTPS は暗号化されるので、HTTP の URL フィルタリングは HTTPS の URL フィルタリングよりも簡単なものであることに注意してください。

次の手法を使用して、URL フィルタリングを実装できます。

カテゴリおよびレピュテーションベースの URL フィルタリング：URL フィルタリングライセンスにより、URL の一般的な分類（カテゴリ）とリスクレベル（レピュテーション）に基づいて、Web サイトへのアクセスを制御できます。これは、不要なサイトをブロックするのに最も簡単で効果的な方法です。
手動 URL フィルタリング：任意のライセンスで、個々の URL および URL のグループを手動で指定し、Web トラフィックのきめ細かいカスタム制御を実現できます。手動フィルタリングの主な目的はカテゴリベースのブロックルールに例外を作成することですが、他の目的にも手動ルールを使用できます。

ここでは、URL フィルタリングについてさらに詳しく説明します。

カテゴリ別とレピュテーション別の URL のフィルタリング

URL フィルタリングライセンスを使用することにより、要求された URL のカテゴリおよびレピュテーションに基づいて Web サイトへのアクセスを制御できます。

カテゴリ：URL の一般的な分類。たとえば ebay.com はオークションカテゴリ、monster.com は求職カテゴリに属します。1 つの URL は複数のカテゴリに属することができます。
レピュテーション：この URL が、組織のセキュリティポリシーに違反するかもしれない目的で使用される可能性がどの程度であるか。レピュテーションは、信頼できない（レベル 1）から信頼できる（レベル 5）の範囲です。

URL カテゴリとレピュテーションによって、URL フィルタリングをすぐに設定できます。たとえば、アクセス制御を使用して、ハッキングカテゴリの高リスク信頼できない URL をブロックできます。

カテゴリの説明については、https://www.talosintelligence.com/categoriesを参照してください。

カテゴリデータおよびレピュテーションデータを使用することで、ポリシーの作成と管理も簡素化されます。脅威を示すサイトや、望ましくないコンテンツを提供するサイトが現れては消えるペースが早すぎて、新しいポリシーを更新して適用するのが間に合わないこともあります。シスコが URL データベースで新しいサイト、変更された分類、変更されたレピュテーションについて更新すると、ルールは自動的に新しい情報に調整されます。新しいサイトを考慮するようにルールを編集する必要はありません。

定期的な URL データベースの更新を有効にすると、システムは最新の情報を使用して URL フィルタリングを行うことができます。また、Cisco Collective Security Intelligence（CSI）との通信を有効にすると、不明なカテゴリとレピュテーションについて URL の最新の脅威インテリジェンスを取得することもできます。詳細については、URL フィルタリングの設定を参照してください。

（注）

イベントで URL カテゴリおよびレピュテーション情報を表示するには、URL 条件を使用して少なくとも 1 つのルールを作成する必要があります。

カテゴリとレピュテーションでの URL の検索

特定の URL のカテゴリとレピュテーションを確認できます。アクセス制御ルールまたは SSL 復号ルールの [URL] タブに移動するか、[デバイス（Device）] > [システム設定（System Settings）] > [URLフィルタリング設定（URL Filtering Preferences）] に移動します。そこで、[確認するURL（URL to Check）] ボックスに URL を入力し、[移動（Go）] をクリックします。

ルックアップ結果を示す Web サイトが表示されます。この情報は、カテゴリおよびレピュテーションベースの URL フィルタリングルールの動作をチェックするために役立ちます。

分類に同意しない場合は、Device Manager で [URLカテゴリの異議を送信する（Submit a URL Category Dispute）] をクリックして、ご意見をお聞かせください。

手動 URL フィルタリング

個別の URL または URL のグループを手動でフィルタリングすることにより、カテゴリおよびレピュテーションベースの URL フィルタリングを補完または選択的にオーバーライドできます。特殊なライセンスなしでこのタイプの URL フィルタリングを実行できます。

たとえば、アクセス制御を使用して、組織にとって不適切なカテゴリの Web サイトをブロックできます。ただし、カテゴリに適切な Web サイトが含まれ、アクセスを提供したい場合、そのサイトに対して手動の許可ルールを作成し、カテゴリのブロックルールの前に配置できます。

手動で URL フィルタリングを設定するには、対象の URL を含む URL オブジェクトを作成します。この URL を解釈する方法は、次のルールに基づきます。

パスを含めない（つまり、URL に / の文字がない）場合、一致はサーバーのホスト名のみに基づきます。1 つ以上の / を含める場合、文字列の部分一致には URL 文字列全体が使用されます。次に、次のいずれかに該当する場合、URL は一致と見なされます。

文字列が URL の先頭にある。
文字列がドットの後に続く。
文字列の先頭にドットが含まれている。
文字列が :// 文字の後に続く。

たとえば、ign.com は ign.com および www.ign.com と一致するが、verisign.com とは一致しません。

（注）

サーバーは再構成でき、ページは新しいパスに移動できるため、個々の Web ページまたはサイトの一部（つまり / 文字を含む URL 文字列）をブロックまたは許可するために手動の URL フィルタリングは使用しないことをお勧めします。

システムは、暗号化プロトコル（HTTP と HTTPS）を無視します。つまり、ある Web サイトをブロックした場合、アプリケーション条件で特定のプロトコルを対象にしない限り、その Web サイトに向かう HTTP トラフィックと HTTPS トラフィックの両方がブロックされます。URL オブジェクトを作成する場合は、オブジェクトの作成時にプロトコルを指定する必要はありません。たとえば、http://example.com ではなく example.com を使用します。

アクセスコントロールルールで URL オブジェクトを使用して HTTPS トラフィックを照合することを計画している場合は、トラフィックの暗号化に使用される公開キー証明書内でサブジェクトの共通名を使用するオブジェクトを作成します。なお、システムはサブジェクトの共通名に含まれるドメインを無視するため、サブドメイン情報は含めないでください。たとえば、www.example.com ではなく、example.com を使用します。

ただし、証明書のサブジェクト共通名が Web サイトのドメイン名とはまったく関係ない場合があることをご了承ください。たとえば、youtube.com の証明書のサブジェクト共通名は *.google.com です（当然、これは随時変更される可能性があります）。SSL 復号ポリシーを使用して HTTPS トラフィックを復号し、URL フィルタリングルールが復号されたトラフィックで動作するようにすると、より一貫性のある結果が得られるようになります。

（注）

証明書情報を利用できないためにブラウザが TLS セッションを再開した場合、URL オブジェクトは HTTPS トラフィックと一致しません。このため、慎重に URL オブジェクトを設定した場合でも、HTTPS 接続では一貫性のない結果が得られることがあります。

HTTPS トラフィックのフィルタリング

HTTPS トラフィックは暗号化されているために、HTTPS トラフィックに対して直接 URL フィルタリングを実行しても、HTTP トラフィックに対して行う場合ほどシンプルではありません。そのため、SSL 復号ポリシーを使用してフィルタリング対象のすべての HTTPS トラフィックを復号することを検討する必要があります。この方法では、URL フィルタリングアクセスコントロールポリシーは復号されたトラフィックで機能し、通常の HTTP トラフィックの場合と同じ結果が得られます。

ただし、一部の HTTPS トラフィックが復号せずにアクセスコントロールポリシーに渡されるようにする場合は、HTTPS トラフィックと一致するルールは HTTP トラフィックの場合と異なることを理解する必要があります。暗号化されたトラフィックをフィルタリングするには、システムは SSL ハンドシェイク時に渡される情報（トラフィックを暗号化するために使用される公開キー証明書のサブジェクト共通名）に基づいて、要求された URL を決定します。URL の Web サイトのホスト名とサブジェクト共通名の間には、ほとんど、またはまったく関係がないことがあります。

DNS 要求フィルタリングを有効にすると、カテゴリ/レピュテーションルールの HTTPS でのマッチングを改善できます。システムは、ユーザーが HTTPS 接続の試行を開始する前に、DNS 解決フェーズでカテゴリとレピュテーションを決定し、不要な組み合わせに対する DNS 応答をブロックできます。許可された DNS 応答の場合、システムは後続の HTTPS 接続で使用可能なカテゴリ/レピュテーション情報を保持します。DNS 要求のフィルタリングを参照してください。

HTTPS フィルタリングは、HTTP フィルタリングとは異なり、サブジェクト共通名内のサブドメインを無視します。HTTPS の URL を手動でフィルタリングする場合は、サブドメイン情報を含めないでください。たとえば、www.example.com ではなく、example.com を使用します。また、サイトによって使用される証明書の内容を確認し、サブジェクト共通名で使用されるドメインが正しいこと、この名前が他のルールと競合しないことを確認してください（たとえば、ブロックするサイトの名前が許可する名前と重複する可能性があります）。たとえば、youtube.com の証明書のサブジェクト共通名は *.google.com です（当然、これは随時変更される可能性があります）。

（注）

暗号化プロトコルによるトラフィックの制御

システムは、URL フィルタリングの実行時に暗号化プロトコル（HTTP と HTTPS）を無視します。これは、手動およびレピュテーションベース両方の URL 条件で発生します。つまり、URL フィルタリングでは、次の Web サイトへのトラフィックが同様に処理されます。

http://example.com
https://example.com

両方ではなく、HTTP トラフィックのみまたは HTTPS トラフィックのみと一致するルールを設定するには、宛先の条件で TCP ポートを指定するか、アプリケーション条件をルールに追加します。たとえば、それぞれ、TCP ポートまたはアプリケーション条件と URL 条件を含む 2 つのアクセス制御ルールを作成することにより、サイトへの HTTPS アクセスを許可しながら、HTTP アクセスを禁止できます。

最初のルールは Web サイトへの HTTPS トラフィックを許可します。

アクション：許可
TCP ポートまたはアプリケーション：HTTPS（TCP ポート 443）
URL：example.com

2 番目のルールは同じ Web サイトへの HTTP アクセスをブロックします。

アクション：ブロック
TCP ポートまたはアプリケーション：HTTP（TCP ポート 80）
URL：example.com

URL フィルタリングとアプリケーションフィルタリングの比較

URL フィルタリングとアプリケーションフィルタリングには類似点があります。しかし、それらは非常に異なる目的で使用する必要があります。

URL フィルタリングは、Web サーバ全体へのアクセスをブロックまたは許可するのに適しています。たとえば、ネットワーク上であらゆるタイプのギャンブルを許可しないようにする場合は、ギャンブルカテゴリをブロックする URL フィルタリングルールを作成できます。このルールでは、ユーザはカテゴリ内の Web サーバ上のどのページにもアクセスできません。
アプリケーションフィルタリングは、ホスティングサイトに関係なく特定のアプリケーションをブロックするため、またはそうしないと許容される Web サイトの特定の機能をブロックするために便利です。たとえば、Facebook のすべてをブロックすることなく Facebook のゲームアプリケーションだけをブロックできます。

アプリケーション基準と URL の基準を組み合わせると予期しない結果につながることがあるため、URL とアプリケーションの基準では別のルールを作成するのが良いポリシーです。1 つのルールでアプリケーション基準と URL の基準を組み合わせる必要がある場合は、アプリケーションと URL のルールがより一般的なアプリケーションのみまたは URL のみのルールの例外として機能する場合を除き、単純なアプリケーションのみまたは URL のみのルールの後に配置する必要があります。URL フィルタリングブロックルールはアプリケーションフィルタリングよりも広範になるため、アプリケーションのみのルールの上に配置する必要があります。

アプリケーション基準と URL の基準を組み合わせる場合、より慎重にネットワークをモニターし、不要なサイトやアプリケーションへのアクセスを許可しないようにする必要があります。

効果的な URL フィルタリングのベストプラクティス

URL フィルタリングのアクセス制御ルールを設計するときは、次の推奨事項を覚えておいてください。

カテゴリとレピュテーションブロックは可能な限り使用します。これにより、新しいサイトはカテゴリに追加されるとともに、自動的にブロックされ、そのレピュテーションに基づくブロックは、サイトの評判が上がる（または下がる）と調整されます。
URL カテゴリのマッチングを使用するときは、サイトのログインページがサイトそのものと異なるカテゴリにある場合に注意してください。たとえば、Gmail は [Webベース電子メール（Web based Email）] カテゴリに含まれますが、ログインページは [検索エンジンとポータル（Search Engines and Portals）] カテゴリに含まれます。それらのカテゴリに関して異なるアクションを実行する異なるルールがある場合、意図しない結果が生じる可能性があります。
URL オブジェクトを使用して、Web サイト全体を対象とし、カテゴリブロックルールの例外を作成します。つまり、本来はカテゴリルールでブロックされる特定のサイトを許可します。
（URL オブジェクトを使用して）Web サーバを手動でブロックする場合は、セキュリティインテリジェンスポリシーでこれを行うとより効果的です。セキュリティインテリジェンスポリシーはアクセス制御ルールが評価される前に接続をドロップするので、より速くより効率的にブロックできます。
HTTPS 接続の最も効果的なフィルタリングのために、記述しているアクセス制御ルールの対象のトラフィックを復号する SSL 復号ルールを実装します。復号された HTTPS 接続はアクセス制御ポリシーの HTTP 接続としてフィルタ処理されるので、HTTPS フィルタリングの制限はすべて回避されます。
TLS 1.3 では、ほとんどのハンドシェイクメッセージが暗号化されるため、証明書情報を簡単に利用できません。TLS 1.3 で暗号化されたトラフィックで、アプリケーションまたは URL フィルタリングを使用するアクセスルールに効果的に対応するには、システムがサーバーのクリアテキスト証明書を取得する必要があります。アクセス制御設定で [TLS 1.3証明書の可視性（TLS 1.3 Certificate Visibility）] を有効にすることをお勧めします。このオプションを有効にすると、システムは、クライアントの Hello パケットの IP アドレスおよび SNI（Server Name Indication）に基づいて、サイトの証明書がキャッシュに保存されているかどうかを確認します。保存されていない場合、システムは、TLS 1.2 プローブを使用して証明書を取得します。その後は、この証明書を使用して、接続を復号せずにアプリケーション/URL カテゴリおよびレピュテーションを識別することができます。
URL のブロックルールはアプリケーションフィルタリングルールの前に配置します。URL フィルタリングは Web サーバー全体をブロックするのに対し、アプリケーションフィルタリングは Web サーバーに関係なく、特定のアプリケーションの使用を対象とするためです。
カテゴリが不明な高リスクサイトをブロックする場合は、[未分類（Uncategorized）] カテゴリを選択し、評価スライダを [疑わしい（Questionable）] または [信頼できない（Untrusted）] に調整します。
DNS 要求フィルタリングも有効にすることで、URL フィルタリング全般の有効性を向上させることができます。DNS 要求フィルタリングを使用すると、DNS ルックアップ時に FQDN の URL カテゴリとレピュテーションが決定されるため、後続の HTTP/HTTPS 要求が同じ宛先に送信される際にこの情報を使用できます。さらに、カテゴリ/レピュテーションをブロックすると、試行された接続は、Web セッションの確立段階ではなく、DNS 要求段階で停止します。DNS 要求のフィルタリングを参照してください。

Web サイトのブロック時にユーザーに表示される内容

URL フィルタリングルールで Web サイトをブロックした場合、ユーザーに表示される内容は、サイトが暗号化されているかどうかに基づいて異なります。

HTTP 接続：タイムアウトまたはリセットされた接続の場合、通常のブラウザページの代わりにシステムのデフォルトのブロック応答ページが表示されます。このページには、故意に接続がブロックされたことが明確に示されます。
HTTPS（暗号化）接続：システムのデフォルトのブロック応答ページは表示されません。代わりに、ブラウザのセキュアな接続の障害時のデフォルトページが表示されます。エラーメッセージには、ポリシーによってサイトがブロックされたことは示されません。代わりに、一般的な暗号化アルゴリズムがないと示される場合があります。このメッセージからは、故意に接続がブロックされたことは明らかになりません。

さらに、Web サイトは、明示的な URL フィルタリングルールではないその他のアクセスコントロールルールまたはデフォルトのアクションによってブロックされている場合があります。たとえば、ネットワーク全体または地理位置情報をブロックしている場合、ネットワーク上またはその地理的な位置にある Web サイトもブロックされます。これらのルールによってブロックされたユーザーには、以下の制限で説明するとおり、応答ページが表示されることもあれば、表示されないこともあります。

URL フィルタリングを実装している場合、サイトが意図的にブロックされているときに表示されることがある内容と、どのタイプのサイトをブロックしているかについてエンドユーザーに説明することを検討してください。そうでないと、エンドユーザーがブロックされた接続のトラブルシューティングにかなりの時間を費やしてしまう場合があります。

HTTP 応答ページの制限

システムが Web トラフィックをブロックする場合に、常に、HTTP 応答ページが表示されるわけではありません。

Web トラフィックがプロモートされたアクセスコントロールルール（単純なネットワーク条件のみの早期に適用されたブロッキングルール）の結果としてブロックされている場合、システムは応答ページを表示しません。
システムが要求された URL を特定する前に、Web トラフィックがブロックされている場合、システムは応答ページを表示しません。
アクセスコントロールルールによってブロックされている暗号化された接続の場合、システムは応答ページを表示しません。

DNS 要求のフィルタリング

HTTP/HTTPS 以外の接続試行でも、URL カテゴリとレピュテーションデータベースを DNS ルックアップ要求に適用できます。

たとえば、ユーザーが www.example.com に FTP 接続しようとすると、その完全修飾ドメイン名（FQDN）の DNS ルックアップ要求が検出されたときに、www.example.com のカテゴリとレピュテーションを検索するようにシステムを設定できます。返されたカテゴリ/レピュテーションの DNS/URL フィルタリングルールがブロックルールの場合、システムは DNS 応答をブロックします。そのため、ユーザーは FQDN の IP アドレスを取得できず、接続試行に失敗します。

DNS ルックアップ要求フィルタリングを有効にすることで、URL フィルタリングルールを HTTP/HTTPS 以外のプロトコルに拡張し、FTP、TFTP、SCP、ICMP などのプロトコルが Web アクセスをブロックしているサイトへの接続を確立しないようにできます。このフィルタリングは、ユーザーが FQDN 名を使用しており、DNS ルックアップを必要とする限り機能します。ユーザーが IP アドレスを使用する場合、DNS 要求は発生しないため、DNS 要求のブロックはできません。

HTTP/HTTPS トラフィックの場合、DNS 要求時にカテゴリ/レピュテーションルックアップを実行すると、システムパフォーマンスが向上する可能性があります。これは、Web セッションの確立を試行する前に接続される事態を妨ぐことができるためです。これは、特に暗号化されている HTTPS に対して有効です。DNS 要求の段階で拒否することで、システムは HTTPS 接続を認識しないため、復号ルールを評価する必要がなくなり、暗号されたセッションを適切なアクセス制御ルールに一致させるというさらに難しいタスクを実行する必要もなくなります。

DNS 要求のフィルタリングのガイドライン

DNS 要求のフィルタリングを設定する際は、次の点に注意してください。

DNS 要求のフィルタリングは、DNS セッションでのみ機能します。DNS 応答を許可する場合（つまり、URL フィルタリングルールアクションが [許可（Allow）] の場合）、返された IP アドレスを使用してユーザーが確立する後続の接続は、アクセス制御ルールに対して個別に照合されます。接続が別のルールに一致するためブロックされることも、他の理由で許可されることもあります。たとえば、FTP が DNS ルックアップを介して IP アドレスを取得しようとすると、FTP 接続を禁止する別のアクセス制御ルールが存在するため接続が最終的にブロックされることがあります。
URL/DNS 要求のフィルタリングルールの前にあるアクセス制御ルールに一致する DNS ルックアップ要求は、一致ルールに従って許可またはブロックされます。これらの接続では、カテゴリ/レピュテーションルックアップは実行されません。
この機能では、カテゴリ/レピュテーションに基づいて URL フィルタリングを実装する必要があります。このタイプの URL フィルタリングには、URL フィルタリングライセンスが必要です。カテゴリ/レピュテーションに基づく URL フィルタリングルールがない場合、DNS 要求のフィルタリングは関係ないため、有効にしないでください。
DNS フィルタリングによって生成される接続イベントには、DNS クエリ、URL カテゴリ、および URL レピュテーションという特に重要なフィールドが含まれます。[DNSクエリ（DNS Query）] フィールドには、ルックアップ要求の完全修飾ドメイン名（FQDN）が表示されます。DNS フィルタリングイベントの場合、URL フィールドは空白になります。
DNS 要求のフィルタリングは、URL カテゴリとレピュテーションデータベースのみを使用します。一致するアクセス制御ルールで定義された URL オブジェクトまたはその他の手動 URL フィルタリングは無視されます。手動で DNS 名のブロックを実装する場合は、セキュリティインテリジェンス DNS ポリシーを使用します。

URL カテゴリとレピュテーションに基づいた DNS 要求のフィルタリング

次の手順では、DNS ルックアップ要求フィルタリングを実装する方法について説明します。

始める前に

まだ有効になっていない場合は、URL ライセンスを有効にする必要があります。

手順

ステップ 1	[ポリシー（Policies）] > [アクセス制御（Access Control）] を選択します。
ステップ 2	必要に応じて、[アクセスポリシー設定（Access Policy Settings）]（）ボタンをクリックし、[DNSトラフィックへのレピュテーション適用（Reputation Enforcement on DNS Traffic）] オプションを選択して、[OK] をクリックします。このオプションは、アクセスコントロールポリシーの DNS 要求のフィルタリングを有効にします。このオプションは、デフォルトでは有効になっています。
ステップ 3	既存の URL フィルタリングルールを評価するか、新しいルールを作成して、DNS 要求にも適用される URL カテゴリとレピュテーションに基づくフィルタリングを実装します。 URL フィルタリングは通常、HTTP/HTTPS トラフィックにのみ適用されるため、アプリケーションやポートに基づいてこれらのルールを制限する必要はありません。ただし、次の制限がある場合は、ルールが DNS 要求にも適用できることを確認してください。 [送信元/宛先（Source/Destination）] タブで、[宛先ポート（Destination Ports）] フィールドに [任意（Any）] が指定されている場合、変更は不要です。ポートを指定した場合は、[DNS over UDP] および [DNS over TCP] をリストに追加します。 [アプリケーション（Applications）] タブで、アプリケーションリストに [任意（Any）] だけが指定されてる場合、変更は不要です。アプリケーションまたはアプリケーションフィルタを指定した場合は、[DNS] アプリケーションをリストまたはフィルタに追加します。その他の DNS 関連オプションは、この目的には関係ありません。アクセス制御ルールの作成の詳細については、アクセスコントロールルールの設定を参照してください。
ステップ 4	DNS 要求がこれらのルールに一致しないことを確認するには、前述のルールを評価します。カテゴリおよびレピュテーションの決定は、DNS 要求がカテゴリおよびレピュテーションの仕様を持つ URL フィルタリングルールと一致する場合にのみ行われます。URL フィルタリングルールよりも前のアクセスコントロールポリシーのルールに一致する DNS 要求は、DNS 要求のフィルタリングをバイパスします。このような DNS 要求は、ブロックまたは許可された一致ルールに従って処理されます。

侵入、ファイル、マルウェアのインスペクション

侵入ポリシーとファイルポリシーは、トラフィックが宛先に対して許可される前の最後のとりでとして連携して動作します。

侵入ポリシーは、システムの侵入防御機能を制御します。
ファイルポリシーは、システムのファイル制御機能とマルウェア防御機能を管理します。

他のトラフィック処理はすべて、侵入、禁止されたファイル、およびマルウェアについて、ネットワークトラフィックが調べられる前に実行されます。侵入ポリシーまたはファイルポリシーをアクセスコントロールルールに関連付けることで、アクセスコントロールルールの条件に一致するトラフィックを通過させる前に、侵入ポリシーまたはファイルポリシー（またはその両方）を使ってトラフィックのインスペクションを実行するよう、システムに指示できます。

トラフィックを [許可（allow）] するのみの侵入ポリシーおよびファイルポリシーを設定できます。トラフィックを [信頼（trust）] または [ブロック（block）] するように設定されたルールではインスペクションは実行されません。さらに、アクセスコントロールポリシーのデフォルトのアクションが [許可（allow）] の場合は、侵入ポリシーを設定できますが、ファイルポリシーは設定できません。

アクセスコントロールルールによって処理される単一接続の場合、ファイルインスペクションは侵入インスペクションの前に行われます。つまり、システムは侵入のためファイルポリシーによってブロックされたファイルを検査しません。ファイルインスペクション内では、タイプによる単純なブロッキングの方が、マルウェアインスペクションおよびブロッキングよりも優先されます。ファイルがセッションで検出されてブロックされるまで、セッションからのパケットは侵入インスペクションの対象になります。

（注）

デフォルトでは、暗号化されたペイロードの侵入インスペクションとファイルインスペクションは無効になっています。これにより、侵入およびファイルインスペクションが設定されたアクセスコントロールルールに暗号化接続が一致したときの誤検出が減少し、パフォーマンスが向上します。暗号化されていないトラフィックのみのインスペクションが実行されます。

アクセス制御ルールの順序のベストプラクティス

ルールは最初に一致したものから順に適用されるため、限定的なトラフィック一致基準を持つルールは、同じトラフィックに適用され、汎用的な基準を持つルールよりも上に置く必要があります。次の推奨事項を考慮してください。

固有のルールは一般的なルールの前に来る必要があります（特に特定のルールが一般的なルールの例外である場合）。
レイヤ 3/4 基準（IP アドレス、セキュリティゾーン、ポート番号など）にのみ基づいてトラフィックをドロップするルールはできるだけ早く来る必要があります。レイヤ 3/4 基準は迅速かつ検査なしで評価することができるので、アプリケーションや URL 基準などの検査を必要とするルールの前に来ることをお勧めします。もちろん、これらのルールの例外はこれらより上位に配置されなければなりません。
可能な限り、固有のドロップルールはポリシーの最上位近くに配置します。これにより、望ましくないトラフィックへの可能な限り早期の決定が保証されます。
アプリケーションと URL の基準の両方を含むルールは、より一般的なアプリケーションのみまたは URL のみのルールの例外として機能している場合を除き、単純なアプリケーションのみまたは URL のみのルールの後に来る必要があります。アプリケーションと URL の基準を組み合わせることで、予期しない結果が生じることがある（特に暗号化されたトラフィックの場合）ため、可能な限り、URL とアプリケーションのフィルタリング用に個別のルールを作成することをお勧めします。

NAT とアクセスルール

アクセスルールは、NAT を設定している場合でも、アクセスルールの一致を決定する際に常に実際の IP アドレスを使用します。たとえば、内部サーバー 10.1.1.5 用の NAT を設定して、パブリックにルーティング可能な外部の IP アドレス 209.165.201.5 をこのサーバーに付与する場合は、この内部サーバーへのアクセスを外部トラフィックに許可するアクセスルールの中で、サーバーのマッピングアドレス（209.165.201.5）ではなく実際のアドレス（10.1.1.5）を参照する必要があります。

その他のセキュリティポリシーがアクセス制御に影響する仕組み

その他のセキュリティポリシーは、アクセス制御ルールが機能し接続と一致する方法に影響を与えます。アクセスルールを設定するときは、次の点に注意してください。

[SSL復号（SSL Decryption）] ポリシー：SSL 復号ルールはアクセス制御の前に評価されます。したがって、暗号化された接続が、復号化のいくつかのタイプを適用する SSL 復号ルールと一致する場合、それはアクセスコントロールポリシーによって評価されるプレーンテキスト（復号化）接続です。アクセスルールは、暗号化されたバージョンの接続を参照しません。また、トラフィックをドロップする SSL 復号ルールと一致するすべての接続はアクセスコントロールポリシーによって参照されることがありません。最後に、復号しないルールと一致する暗号化された接続は、その暗号化された状態で評価されます。
[アイデンティティ（Identity）] ポリシー：送信元 IP アドレスのユーザーマッピングがある場合にのみ接続はユーザー（およびユーザーグループ）と一致します。ユーザまたはグループメンバーシップを重視するアクセスルールは、ユーザアイデンティティがアイデンティティポリシーによって正常に収集された接続のみと一致できます。
[セキュリティインテリジェンス（Security Intelligence）] ポリシー：アクセスコントロールポリシーではドロップされた接続が参照されることはありません。ブロックリストに一致しない接続は、その後にアクセス制御ルールと照合され、最終的に、そのアクセス制御ルールによって、接続の処理方法（許可またはドロップ）が決定されます。
[VPN]（サイト間またはリモートアクセス）：VPN トラフィックは常にアクセスコントロールポリシーに対して評価され、一致するルールに基づいて接続は許可またはドロップされます。ただし、VPN トンネル自体はアクセスコントロールポリシーが評価される前に復号化されます。アクセスコントロールポリシーは、トンネル自体ではなく VPN トンネル内に組み込まれている接続を評価します。

アクセス制御のためのライセンス要件

アクセス制御ポリシーを使用するのに特別なライセンスは必要ありません。

ただし、アクセス制御ポリシー内の特定の機能には、次のライセンスが必要です。ライセンスの設定については、オプションライセンスの有効化または無効化を参照してください。

URL ライセンス：URL カテゴリおよびレピュテーションを一致基準として使用するルールを作成するため。
IPS ライセンス：アクセスルールまたはデフォルトアクションに侵入ポリシーを設定するため。ファイルポリシーを使用するには、このライセンスも必要です（マルウェア防御ライセンスも必要）。
マルウェア防御ライセンス：アクセスルールにファイルポリシーを設定するため。IPS ライセンスは、ファイルポリシーにも必要です。

アクセスコントロールポリシーに関する注意事項と制限事項

アクセス制御のためのいくつかの追加の制限事項を次に示します。ルールから期待どおりの結果を得ているかどうかを評価してこれらを検討してください。

URL データベースの更新にカテゴリの追加（新規、着信）、廃止（送信）、または削除が含まれている場合は、影響を受けるアクセス制御ルールを変更するための猶予期間があります。影響を受けるルールは情報メッセージと一緒にマークされ、メッセージにはルールに影響する問題についての説明と、カテゴリ変更に関する詳細情報がある Cisco Talos Intelligence Group（Talos） Web サイトへのリンクが記載されます。最新の URL データベースで使用可能な適切なカテゴリを使用するように、ルールを更新する必要があります。

猶予期間に対応するため、廃止された送信カテゴリを削除せずに新しく追加された着信カテゴリを適切なルールに追加します。ルールは新旧のカテゴリの両方を含める必要があります。新しいカテゴリは、古いカテゴリが削除対象としてマークされている場合に有効になります。古いカテゴリが最終的に削除されたら、ルールを編集して削除されたカテゴリを除去し、設定を再展開する必要があります。削除されたカテゴリを使用するルールを修正するまで、設定の展開はブロックされます。注意が必要なルールをフィルタリングするには、テーブルの上の [問題のあるルールを表示する（See Problem Rules）] リンクをクリックします。
Device Manager はディレクトリサーバーから最大 50,000 人のユーザーに関する情報をダウンロードできます。ディレクトリサーバに 50,000 以上のユーザアカウントが含まれる場合、アクセスルールでユーザを選択するとき、またはユーザベースのダッシュボード情報を閲覧するときに、すべての可能な名前を確認することができません。ルールは、ダウンロードしたこれらの名前だけに書き込むことができます。

50,000 までの制限は、グループに関連付けられた名前にも適用されます。グループに 50,000 を超えるメンバーが含まれている場合は、ダウンロードした 50,000 個の名前だけをグループメンバーシップと照合できます。
脆弱性データベース（VDB）の更新によってアプリケーションが削除（廃止）される場合は、削除されたアプリケーションを使用するアクセス制御ルールまたはアプリケーションフィルタに変更を加える必要があります。これらのルールを修正するまで、変更は展開できません。さらに、システムソフトウェアの更新は、問題を修正するまでインストールできません。[アプリケーションフィルタ（Application Filters）] オブジェクトページ、またはルールの [アプリケーション（Application）] タブでは、これらのアプリケーション名の後に「（廃止）（Deprecated）」と表示されます。
完全修飾ドメイン名（FQDN）ネットワークオブジェクトを送信元または宛先の基準として使用するには、[デバイス（Device）] > [システム設定（System Settings）] > [DNSサーバー（DNS Server）] でデータインターフェイスの DNS も設定する必要があります。システムは、アクセス制御ルールで使用されている FQDN オブジェクトのルックアップを実行するために管理 DNS サーバ設定を使用しません。FQDN 解決のトラブルシューティングについては、DNS の一般的な問題のトラブルシューティングを参照してください。

FQDN によるアクセスの制御はベストエフォート型のメカニズムであることに注意してください。次の点を考慮してください。
- DNS 応答はスプーフィングされる可能性があるため、完全に信頼できる内部 DNS サーバーのみを使用します。
- 一部の FQDN は、特に非常に人気の高いサーバーの場合、数千とはいかなくても、数百の IP アドレスを持つことがあり、それらが頻繁に変更されることがあります。システムはキャッシュされている DNS ルックアップの結果を使用するため、ユーザーはキャッシュに存在しないアドレスを取得する可能性があり、その接続は FQDN ルールに合致しません。FQDN ネットワークオブジェクトを使用するルールは、100 未満のアドレスに解決される名前に対してのみ効果的に機能します。
  
  100 を超えるアドレスに解決される FQDN のネットワークオブジェクトルールを作成しないことを推奨します。接続のアドレスが解決され、デバイスの DNS キャッシュで使用可能である可能性は低いからです。このような場合は、FQDN ネットワークオブジェクトルールの代わりに URL ベースのルールを使用します。
- 人気のある FQDN では、異なる DNS サーバーが異なるセットの IP アドレスを返す場合があります。したがって、ユーザーが設定したものとは異なる DNS サーバーを使用している場合、FQDN ベースのアクセス制御ルールがクライアントで使用されているサイトのすべての IP アドレスに適用されないことがあり、ルールで意図した結果が得られません。
- 一部の FQDN DNS エントリには、非常に短い存続可能時間（TTL）値が設定されています。この結果、ルックアップテーブルで頻繁に再コンパイルが発生し、全体的なシステムパフォーマンスに影響を与える場合があります。
実際に使用されているルールを編集する場合、その変更は、Snort によって検査されなくなった、確立されている接続には適用されません。新しいルールは、将来の接続に対する照合に使用されます。また、Snort によって接続がアクティブに検査されている場合、Snort は、変更された一致またはアクション基準を既存の接続に適用できます。現在のすべての接続に変更を確実に適用する必要がある場合は、デバイス CLI にログインし、clear conn コマンドを使用して、確立されている接続を終了させることができます。これは、その後に接続の送信元が接続を再確立を試み、そのために新しいルールに対して適切に照合されることを前提としています。
接続のアプリケーションまたは URL を識別するためにシステムは 3 ～ 5 パケットを使用します。したがって、正しいアクセス制御ルールでも特定の接続ではすぐに一致しない可能性があります。ただし、アプリケーション/URL が判明すると、接続は一致するルールに基づいて処理されます。暗号化された接続の場合、これは SSL ハンドシェイクでのサーバ証明書の交換後に発生します。
システムは、アプリケーションが識別される接続内にペイロードがないパケットに対してデフォルトポリシーアクションを適用します。
可能な場合は常に、一致基準を空のままにします（特にセキュリティゾーン、ネットワークオブジェクト、およびポートオブジェクトの場合）。たとえば、すべてのインターフェイスを含むゾーンを作成するのではなく、セキュリティゾーンの条件を空白のままにするだけで、システムはすべてのインターフェイスのトラフィックをより効率的に照合できます。基準を複数指定すると、指定した条件の内容についてすべての組み合わせと照合する必要があります。
送信元または宛先の基準に IP アドレスを指定する場合は、同じルールに IPv4 アドレスと IPv6 アドレスを混在させないでください。IPv4 アドレスと IPv6 アドレスに個別のルールを作成します。
動作中、Threat Defense デバイスは、アクセスルールで使用されるネットワークオブジェクトの内容に基づいて、アクセス制御ルールを複数のアクセスコントロールリストのエントリに展開します。オブジェクトグループ検索を有効にすることで、アクセス制御ルールの検索に必要なメモリを抑えることができます。オブジェクトグループ検索を有効にした場合、システムによってネットワークオブジェクトは拡張されませんが、オブジェクトグループの定義に基づいて一致するアクセスルールが検索されます。オブジェクトグループ検索は、アクセスルールがどのように定義されるか、または Device Manager にどのように表示されるかには影響しません。アクセス制御ルールと接続を照合するときに、デバイスがアクセス制御ルールを解釈して処理する方法のみに影響します。

オブジェクトグループ検索を有効にすると、ネットワークオブジェクトを含むアクセスコントロールポリシーのメモリ要件が軽減されます。ただし、オブジェクトグループ検索では、ルールルックアップのパフォーマンスが低下して、CPU 使用率が増大する可能性があることに注意してください。CPU に対する影響と、特定のアクセスコントロールポリシーに関するメモリ要件の軽減とのバランスをとる必要があります。ほとんどの場合、オブジェクトグループ検索を有効にすると、ネット運用が改善されます。

FlexConfig を使用してこのオプションを設定するには、object-group-search access-control コマンドを発行します。否定テンプレートでは、このコマンドの no 形式を使用します。

リリース 7.2 以降、この機能は新しい展開ではデフォルトで有効になっていますが、アップグレードされたシステムでは自動的に有効になりません。
関連 RFC に違反する GRE トンネルはドロップされます。たとえば、RFC に反して GRE トンネルの予約ビットにゼロ以外の値が含まれている場合、そのトンネルはドロップされます。非準拠の GRE トンネルを許可する必要がある場合は、リモートマネージャを使用して、そのセッションを信頼するプレフィルタルールを設定する必要があります。Device Manager を使用してプレフィルタルールを設定することはできません。

アクセスコントロールポリシーを設定する

ネットワークリソースへのアクセスを制御するには、アクセスコントロールポリシーを使用します。ポリシーは順序付けられた一連のルールで構成され、上から下へと評価されます。トラフィックに適用されるルールは、すべてのトラフィック条件が一致する最初のルールです。トラフィックに一致するルールがない場合、ページ下部に表示されるデフォルトアクションが適用されます。

アクセスコントロールポリシーを設定するには、[ポリシー（Policies）] > [アクセスコントロール（Access Control）] を選択します。

アクセスコントロール表には、すべてのルールが順番に表示されます。各ルールで以下を実行します。

左側の列にあるルール番号の隣の [>] ボタンをクリックし、ルール図を開きます。この図は、ルールがトラフィックをどのように制御するかを視覚的に示します。ボタンを再度クリックして図を閉じます。
ほとんどのセルはインライン編集が可能です。たとえば、アクションをクリックして別のものを選択したり、送信元ネットワークオブジェクトをクリックして送信元の条件を追加または変更したりできます。
ルールを移動するには、[移動（move）] アイコン（）が表示されるまでルールにカーソルを合わせ、次にルールをクリックして新しいロケーションにドラッグし、ドロップします。また、ルールを編集して [順序（Order）] リストで新しいロケーションを選択することで、ルールを移動することもできます。希望する処理の順番にルールを配置することが重要です。具体的なルール（特に、より一般的なルールに対する例外を定義するルール）は上部近くに配置します。
右側の列には、ルールのアクションボタンが含まれます。セルにマウスを当てるとボタンが表示されます。ルールを編集（）または削除（）できます。
[アクセスコントロールの設定（Access Control Settings）]（）ボタンをクリックして、ポリシー内の特定のルールではなく、アクセスコントロールポリシーに適用される設定を行います。
テーブルの上の [ヒットカウントの切り替え（Toggle Hit Counts）] アイコン（）をクリックし、テーブルの [ヒットカウント（Hit Count）] 列を追加または削除します。[ヒットカウント（Hit Count）] 列は [名前（Name）] 列の右側にあり、ルールの合計ヒット数と最新のヒットの日付と時刻が表示されます。ヒットカウント情報は、切り替えボタンをクリックしたときに取得されます。最新情報を取得するには、更新アイコン（）をクリックします。
URL カテゴリの削除または変更などが原因で特定のルールに問題が発生した場合、これらのルールのみを表示するには、検索ボックスの横にある [See Problem Rules] リンクをクリックしてテーブルをフィルタ処理します。これらのルールを編集および修正（または削除）して、必要とするサービスが提供されるようにします。

次に、ポリシーの設定方法について説明します。

デフォルトアクションの設定

接続が特定のアクセスルールに一致しない場合、アクセスコントロールポリシーのデフォルトアクションによって処理されます。

手順

ステップ 1	[ポリシー（Policies）] > [アクセスコントロール（Access Control）] を選択します。
ステップ 2	[デフォルトアクション（Default Action）] フィールドの任意の場所をクリックします。
ステップ 3	一致するトラフィックに適用するアクションを選択します。 [信頼（Trust）]：どのような種類のインスペクションも行わずにトラフィックを許可します。 [許可（Allow）]：侵入ポリシーの対象となるトラフィックを許可します。 [ブロック（Block）]：トラフィックを無条件でドロップします。トラフィックのインスペクションは実行されません。
ステップ 4	アクションが [許可（Allow）] の場合、侵入ポリシーを選択します。ポリシーオプションの説明については、侵入ポリシーの設定を参照してください。
ステップ 5	（オプション）デフォルトアクションのロギングを設定します。デフォルトアクションに一致するトラフィックのロギングをダッシュボードのデータまたはイベントビューアに記載されるようにするには、トラフィックのロギングを有効にする必要があります。ロギングの設定を参照してください。
ステップ 6	[OK] をクリックします。

アクセスコントロールポリシーの設定

ポリシー内の特定のルールではなく、アクセスコントロールポリシーに適用される設定を行います。

手順

ステップ 1	[ポリシー（Policies）] > [アクセスコントロール（Access Control）] を選択します。
ステップ 2	[アクセスポリシーの設定（Access Policy Settings）]（）ボタンをクリックします。
ステップ 3	以下の設定項目を設定します。 [TLSサーバーアイデンティティ検出（TLS Server Identity Discovery）]：TLS 1.3 では、ほとんどのハンドシェイクメッセージが暗号化されるため、証明書情報を簡単に利用できません。TLS 1.3 で暗号化されたトラフィックで、アプリケーションまたは URL フィルタリングを使用するアクセスルールに対応するには、システムにサーバーのクリアテキスト証明書がある必要があります。このオプションを有効にすると、システムは、クライアントの Hello パケットの IP アドレスおよび SNI（Server Name Indication）に基づいて、サイトの証明書がキャッシュに保存されているかどうかを確認します。保存されていない場合、システムは、TLS 1.2 プローブを使用して証明書を取得します。その後は、この証明書を使用して、アプリケーション/URL カテゴリおよびレピュテーションを識別することができます。暗号化された接続が適切なアクセス制御ルールに適合していることを確認するために、このオプションを有効にすることを推奨します。この設定では、証明書のみが取得されます。接続は暗号化されたままになります。TLS 1.3 証明書を取得するには、このオプションを有効にするだけで十分です。対応する SSL 復号ルールを作成する必要はありません。ただし、キャッシュされた証明書は、アクセス制御処理に加えて、より効果的な復号ルール処理にも使用されます。 [DNSトラフィックへのレピュテーション適用（Reputation Enforcement on DNS Traffic）]：URL フィルタリングカテゴリとレピュテーションルールを DNS ルックアップ要求に適用するには、このオプションを有効にします。ルックアップ要求の完全修飾ドメイン名（FQDN）にブロックしているカテゴリやレピュテーションがある場合、システムは DNS 応答をブロックします。ユーザーは DNS 解決を受信しないため、ユーザーは接続を完了できません。非 Web トラフィックに URL カテゴリおよびレピュテーションフィルタリングを適用するには、このオプションを使用します。詳細については、DNS 要求のフィルタリングを参照してください。
ステップ 4	[OK] をクリックします。

アクセスコントロールルールの設定

アクセスコントロールルールを使用して、ネットワークリソースへのアクセスを制御します。アクセスコントロールポリシーのルールは、上から下に評価されます。トラフィックに適用されるルールは、すべてのトラフィック基準が一致する最初のルールです。

手順

ステップ 1	[ポリシー（Policies）] > [アクセスコントロール（Access Control）] を選択します。
ステップ 2	次のいずれかを実行します。新しいルールを作成するには、[+] ボタンをクリックします。既存のルールを編集するには、ルールの [編集（edit）] アイコン（）をクリックします。不要になったルールを削除するには、ルールの [削除（delete）] アイコン（）をクリックします。
ステップ 3	[順序（Order）] で、ルールの番号付きリストのどこにルールを挿入するかを選択します。ルールは最初に一致したものから順に適用されるため、限定的なトラフィック一致基準を持つルールは、同じトラフィックに適用され、汎用的な基準を持つルールよりも上に置く必要があります。デフォルトでは、ルールはリストの最後に追加されます。ルールの順序を後で変更する場合、このオプションを編集します。
ステップ 4	[タイトル（Title）] にルールの名前を入力します。この名前にスペースを含めることはできません。英数字と以下の特殊文字を使用できます： + . _ -
ステップ 5	一致するトラフィックに適用するアクションを選択します。 [信頼（Trust）]：どのような種類のインスペクションも行わずにトラフィックを許可します。 [許可（Allow）]：ポリシーで侵入およびその他のインスペクション設定の対象となるトラフィックを許可します。 [ブロック（Block）]：トラフィックを無条件でドロップします。トラフィックのインスペクションは実行されません。
ステップ 6	次のタブの任意の組み合わせを使用して、トラフィック一致基準を定義します。 [送信元/宛先（Source/Destination）]：トラフィックが通過するセキュリティゾーン（インターフェイス）、IP アドレスまたは IP アドレスの国/大陸（地理的位置）、アドレスに割り当てられたセキュリティグループタグ（SGT）、またはトラフィックで使用されるプロトコルおよびポート。デフォルトは、すべてのゾーン、アドレス、地理的位置、SGT、プロトコル、およびポートです。送信元/宛先基準を参照してください。 [アプリケーション（Application）]：アプリケーション、またはタイプ、カテゴリ、タグ、リスク、ビジネスとの関連性ごとにアプリケーションを定義するフィルタ。デフォルトはすべてのアプリケーションです。アプリケーション基準を参照してください。 [URL]：Web または DNS ルックアップ要求の URL または URL カテゴリ。デフォルトはすべての URL です。「URL 基準」を参照してください。 [ユーザー（Users）]：アイデンティティソース、ユーザーまたはユーザーグループ。アイデンティティポリシーは、ユーザーとグループの情報がトラフィックの照合に使用できるかどうかを定義します。この基準を使用するには、アイデンティティポリシーを設定する必要があります。ユーザー基準を参照してください。条件を変更するには、条件内の [+] ボタンをクリックし、希望するオブジェクトまたは要素を選択し、ポップアップダイアログボックスの [OK] をクリックします。基準にオブジェクトが必要で、そのオブジェクトが存在しない場合、[新規オブジェクトの作成（Create New Object）] をクリックします。オブジェクトまたは要素をポリシーから削除するには、そのオブジェクトまたは要素の [x] をクリックします。条件をアクセスコントロールルールに追加する場合は、次のヒントを参考にしてください。 1 つのルールにつき複数の条件を設定できます。ルールがトラフィックに適用されるには、トラフィックがそのルールのすべての条件に一致する必要があります。たとえば、特定のホストまたはネットワークの URL フィルタリングを行う単一のルールを使用できます。ルールの条件ごとに、最大 50 の条件を追加できます。条件の基準のいずれかに一致するトラフィックはその条件を満たします。たとえば、最大 50 のアプリケーションまたはアプリケーションフィルタにアプリケーション制御を適用する単一のルールを使用できます。したがって、単一の条件では項目間に OR 関係がありますが、条件タイプ間（たとえば、送信元/宛先とアプリケーション間）には AND 関係があります。一部の機能では、適切なライセンスを有効にする必要があります。
ステップ 7	（オプション）[許可（Allow）] アクションを使用するポリシーの場合、暗号化されていないトラフィックについてさらにインスペクションを設定できます。次のいずれかのリンクをクリックします。 [侵入ポリシー（Intrusion Policy）]：トラフィックで侵入およびエクスプロイトを検査する場合は、[侵入ポリシー（Intrusion Policy）] > [オン（On）] を選択し、侵入検査ポリシーを選択します。「侵入ポリシーの設定」を参照してください。 [ファイルポリシー（File Policy）]：マルウェアを含むファイルやブロックすべきファイルのトラフィックのインスペクションを実行するファイルポリシーを選択します。ファイルポリシーの設定を参照してください。
ステップ 8	（任意）ルールのロギングを設定します。デフォルトでは、ルールに一致するトラフィックに対して接続イベントは生成されませんが、ファイルポリシーを選択した場合、ファイルイベントはデフォルトで生成されます。この動作は変更できます。ダッシュボードデータまたはイベントビューアに含まれるポリシーに一致するトラフィックのロギングを有効にする必要があります。ロギングの設定を参照してください。マッチングアクセスルールのログ構成に関係なくドロップまたはアラートするように設定されている侵入ルールについては、常に侵入イベントが生成されます。
ステップ 9	[OK] をクリックします。

送信元/宛先基準

アクセスルールの送信元/送信先条件は、トラフィックが通過するセキュリティゾーン（インターフェイス）、IP アドレスまたは IP アドレスの国/大陸（地理的位置）、アドレスに割り当てられたセキュリティグループタグ（SGT）、またはトラフィックで使用されるプロトコルおよびポートを定義します。デフォルトは、すべてのゾーン、アドレス、地理的位置、SGT、プロトコル、およびポートです。

条件を変更するには、その条件内の [+] ボタンをクリックして、目的のオブジェクトまたは要素を選択し、[OK] をクリックします。基準にオブジェクトが必要で、そのオブジェクトが存在しない場合、[新規オブジェクトの作成（Create New Object）] をクリックします。オブジェクトまたは要素をポリシーから削除するには、そのオブジェクトまたは要素の [x] をクリックします。

次の基準を使用して、ルールに一致する送信元および宛先を特定できます。

送信元ゾーン、宛先ゾーン

トラフィックが通過するインターフェイスを定義するセキュリティゾーンオブジェクト。1 つの基準を定義する、両方の基準を定義する、またはどちらの基準も定義しないことができます。指定しない基準は、すべてのインターフェイスのトラフィックに適用されます。

ゾーン内のインターフェイスからデバイスを離れるトラフィックを照合するには、そのゾーンを [宛先ゾーン（Destination Zones）] に追加します。
ゾーン内のインターフェイスからデバイスに入るトラフィックを照合するには、そのゾーンを [送信元ゾーン（Source Zones）] に追加します。
送信元ゾーン条件と宛先ゾーン条件の両方をルールに追加する場合、一致するトラフィックは指定された送信元ゾーンの 1 つから発生し、宛先ゾーンの 1 つを通って出力する必要があります。

トラフィックがデバイスに出入りする場所に基づいてルールを適用する必要がある場合は、この基準を使用します。たとえば、ホスト内部に向かうすべてのトラフィックが侵入検査を受けるようにする場合は、内部ゾーンを [送信先ゾーン（Destination Zones）] として選択し、送信元ゾーンは空白のままにします。侵入フィルタリングをルールに含めるには、ルールのアクションを [許可（Allow）] にし、ルールで侵入ポリシーを選択する必要があります。

（注）

1 つのルールにパッシブセキュリティゾーンとルーテッドセキュリティゾーンを混在させることはできません。さらに、パッシブセキュリティゾーンは送信元ゾーンとしてのみ指定でき、宛先ゾーンとして指定することはできません。

送信元ネットワーク、宛先ネットワーク

トラフィックのネットワークアドレスまたは場所を定義する、ネットワークオブジェクトまたは地理的位置。

IP アドレスまたは地理的位置からのトラフィックを照合するには、[送信元ネットワーク（Source Networks）] を設定します。
IP アドレスまたは地理的位置へのトラフィックを照合するには、[宛先ネットワーク（Destination Networks）] を設定します。
送信元（Source）ネットワーク条件と宛先（Destination）ネットワーク条件の両方をルールに追加する場合、送信元 IP アドレスから発信されかつ宛先 IP アドレスに送信されるトラフィックの照合を行う必要があります。

この条件を追加する場合、次のタブから選択します。

[ネットワーク（Network）]：制御するトラフィックの送信元または宛先 IP アドレスを定義するネットワークオブジェクトまたはグループを選択します。完全修飾ドメイン名（FQDN）を使用してアドレスを定義するオブジェクトを使用できます。このアドレスは DNS ルックアップによって判別されます。

[地理位置情報（Geolocation）]：位置情報機能を選択して、その送信元または宛先の国や大陸に基づいてトラフィックを制御できます。大陸を選択すると、大陸内のすべての国が選択されます。ルール内で地理的位置を直接選択する以外に、作成した地理位置オブジェクトを選択して、場所を定義することもできます。地理的位置を使用すると、特定の国で使用されているすべての潜在的な IP アドレスを知る必要なく、その国へのアクセスを簡単に制限できます。

（注）

最新の地理的位置データを使用してトラフィックをフィルタ処理できるように、地理位置情報データベース（GeoDB）を定期的に更新することを強くお勧めします。

送信元ポート、宛先ポート/プロトコル

トラフィックで使用されるプロトコルを定義するポートオブジェクト。TCP/UDP では、これにポートを含めることができます。ICMP では、コードとタイプを含めることができます。

プロトコルまたはポートからのトラフィックを照合するには、[送信元ポート（Source Ports）] を設定します。送信元ポートを使用できるのは、TCP/UDP のみです。
プロトコルまたはポートへのトラフィックを照合するには、[宛先ポート/プロトコル（Destination Ports/Protocols）] を設定します。宛先ポートだけを条件に追加する場合は、異なるトランスポートプロトコルを使用するポートを追加できます。ICMP およびその他の非 TCP/UDP 仕様は、宛先ポートでのみ許可されます。送信元ポートでは許可されません。
特定の TCP/UDP ポートから発生し、特定の TCP/UDP ポートに向かうトラフィックを照合するには、両方設定します。送信元ポートと宛先ポートの両方を条件に追加する場合、単一のトランスポートプロトコル、TCP、または UDP を共有するポートのみを追加できます。たとえば、ポート TCP/80 からポート TCP/8080 へのトラフィックを対象にできます。

送信元 SGT グループ、宛先 SGT グループ

Identity Services Engine（ISE）からダウンロードされた、トラフィックに割り当てられた SGT を識別するセキュリティグループタグ（SGT）グループオブジェクト。これらのオブジェクトは、ISE アイデンティティソースを定義する場合にのみ使用できます。それ以外の場合、このセクションは表示されません。アクセス制御のために SGT を使用する方法の詳細については、Trustsec セキュリティグループタグを使用したネットワークアクセスの制御方法を参照してください。

送信元がグループで定義された SGT のいずれかを持つトラフィックを照合するには、[送信元SGTグループ（Source SGT Groups）] を設定します。
宛先がグループで定義された SGT のいずれかを持つトラフィックを照合するには、[宛先SGTグループ（Destination SGT Groups）] を設定します。
送信元 SGT 条件と宛先 SGT 条件の両方をルールに追加する場合、指定されたタグのいずれかを持つ送信元から発信され、宛先タグのいずれかに送信されるトラフィックのみが照合されます。

アプリケーション基準

アクセスルールのアプリケーション基準では、IP 接続で使用されるアプリケーション、あるいは、タイプ、カテゴリ、タグ、リスク、またはビジネスとの関連性によってアプリケーションを定義するフィルタが規定されます。デフォルトは任意のアプリケーションです。

ルールで個別のアプリケーションを指定できますが、アプリケーションフィルタを使用すれば、ポリシーの作成と管理が簡単になります。たとえば、リスクが高く、ビジネスとの関連性が低いアプリケーションをすべて認識してブロックする、アクセスコントロールルールを作成できます。ユーザがこのようなアプリケーションのいずれかを使用しようとすると、セッションがブロックされます。

また、シスコは、システムおよび脆弱性データベース（VDB）の更新を通じて頻繁にアプリケーションディテクタを更新し追加します。そのため、ルールを手動で更新せずに、高リスクアプリケーションをブロックするルールを新しいアプリケーションに自動的に適用できます。

アプリケーションとフィルタをルールで直接指定することも、これらの特性を定義するアプリケーションフィルタオブジェクトを作成することもできます。指示は同じですが、複雑なルールを作成する場合、オブジェクトを使用した方が基準当たり 50 項目のシステム上限範囲を超えにくくなります。

アプリケーションとフィルタリストを変更するには、条件内の [+] ボタンをクリックし、別のタブに表示される目的のアプリケーションまたはアプリケーションフィルタオブジェクトを選択してから、ポップアップ表示されるダイアログボックスで [OK] をクリックします。いずれかのタブで [詳細フィルタ（Advanced Filte）] をクリックするか、またはフィルタ条件を選択して特定のアプリケーションを検索します。ポリシーからそれを削除するアプリケーション、フィルタ、またはオブジェクトの [x] をクリックします。[フィルタとして保存（Save As Filter）] リンクをクリックして、すでにオブジェクトではない結合基準を新しいアプリケーションフィルタオブジェクトとして保存します。

（注）

選択したアプリケーションが VDB の更新によって削除された場合は、アプリケーション名の後に「Deprecated（廃止）」が表示されます。これらのアプリケーションはフィルタから削除する必要があります。それ以降の展開では、システムソフトウェアのアップグレードがブロックされます。

次の [詳細フィルタ（Advanced Filter）] 基準を使用すると、ルールに一致するアプリケーションまたはフィルタを特定できます。これらはアプリケーションフィルタオブジェクトで使用されるものと同じ要素です。

（注）

1 つのフィルタ条件内での複数の選択は OR 関係にあります。たとえば、リスクが「高（High）」または（OR）「非常に高い（Very High）」となります。フィルタ間の関係は「論理積（AND）」であるため、リスクが「高（High）」または（OR）「非常に高い（Very High）」であり、かつ（AND）ビジネスとの関連性が「低（Low）」または（OR）「非常に低い（Very Low）」となります。フィルタを選択すると、ディスプレイに表示されるアプリケーションが更新され、条件を満たすものだけが表示されます。これらのフィルタを使用すると、個別に追加するアプリケーションを容易に見つけたり、ルールに追加する目的のフィルタを選択していることを確認したりできます。

リスク

アプリケーションが組織のセキュリティポリシーに反する可能性がある目的のために使用される確率（「非常に低い」から「非常に高い」まで）。

ビジネスとの関連性

アプリケーションが、娯楽とは逆に、組織の事業運営の文脈内で使用される確率（「非常に低い」から「非常に高い」まで）。

タイプ

アプリケーションのタイプ：

[アプリケーションプロトコル（Application Protocol）]：HTTP や SSH などのホスト間の通信を表すアプリケーションプロトコル。
[クライアントプロトコル（Client Protocol）]：Web ブラウザや電子メールクライアントなどのホスト上で動作しているソフトウェアを表すクライアント。
[Webアプリケーション（Web Application）]：HTTP トラフィックの内容または要求された URL を表す MPEG ビデオや Facebook などの Web アプリケーション。

カテゴリ

アプリケーションの最も重要な機能を説明する一般分類。

タグ

カテゴリに似た、アプリケーションに関する追加情報。

暗号化されたトラフィックの場合、システムは [SSLプロトコル（SSL Protocol）] とタグ付けされたアプリケーションだけを使用して、トラフィックを識別およびフィルタリングできます。このタグがないアプリケーションは、暗号化されていないまたは復号されたトラフィックでのみ検出できます。また、システムは、復号されたトラフィック（暗号化された、または暗号化されていないトラフィックではなく）のみで検出を行うことができるアプリケーションに [復号されたトラフィック（decrypted traffic）] タグを割り当てます。

アプリケーションリスト（ディスプレイ下部）

上記のリストのオプションからフィルタを選択するとこのリストが更新されるため、現在のフィルタに一致するアプリケーションを確認できます。ルールにフィルタ条件を追加するときに、フィルタが目的のアプリケーションを対象としていることを確認するためにこのリストを使用します。特定のアプリケーションを追加しようとしている場合、このリストからそのアプリケーションを選択します。

URL 基準

アクセスルールの URL 基準は、Web 要求で使用される URL または要求された URL が属するカテゴリを定義します。カテゴリが一致する場合は、許可またはブロックするためのサイトの相対レピュテーションも指定できます。デフォルトでは、すべての URL が許可されます。

DNS ルックアップ要求フィルタリングを有効にすると、カテゴリとレピュテーションの設定は、ルックアップ要求の完全修飾ドメイン名（FQDN）にも適用されます。DNS 要求フィルタリングには、カテゴリとレピュテーションの設定のみが適用されます。手動 URL フィルタリングは無視されます。

URL のカテゴリおよびレピュテーションにより、アクセスコントロールルールの URL 条件をすぐに作成できます。たとえば、すべてのギャンブルサイトをブロックしたり、信頼できないソーシャルネットワーキングサイトをブロックしたりできます。ユーザがそのカテゴリとレピュテーションの組み合わせで URL を閲覧しようとすると、セッションがブロックされます。

カテゴリデータおよびレピュテーションデータを使用することで、ポリシーの作成と管理も簡素化されます。この方法では、システムが Web トラフィックを期待通りに確実に制御します。最後に、脅威インテリジェンスは新しい URL だけでなく、既存の URL に対する新しいカテゴリとリスクで常に更新されるため、システムは確実に最新の情報を使用して、要求された URL をフィルタします。マルウェア、スパム、ボットネット、フィッシングなど、セキュリティに対する脅威を表す悪意のあるサイトは、組織でポリシーを更新したり新規ポリシーを展開したりするペースを上回って次々と出没する可能性があります。

URL リストを変更するには、条件内の [+] ボタンをクリックし、次の手法のいずれかを使用して、目的のカテゴリまたは URL を選択します。ポリシーからカテゴリまたはオブジェクトを削除するには、対応する [x] をクリックします。

[URL] タブ

[+] をクリックし、URL オブジェクトまたはグループを選択して、[OK] をクリックします。必要なオブジェクトが存在しない場合は、[URLの新規作成（Create New URL）] をクリックします。

（注）

特定のサイトをターゲットにするように URL オブジェクトを設定する前に、手動 URLフィルタリングに関する情報を注意深く読みます。

[カテゴリ（Categories）] タブ

[+] をクリックし、目的のカテゴリを選択して、[OK] をクリックします。

カテゴリの説明については、https://www.talosintelligence.com/categoriesを参照してください。

デフォルトでは、レピュテーションに関係なく、選択した各カテゴリ内のすべての URL にルールが適用されます。レピュテーションに基づいてルールを制限するには、各カテゴリの下矢印をクリックして、[任意（Any）] チェックボックスを選択解除し、[レピュテーション（Reputation）] スライダを使用してレピュテーションレベルを選択します。レピュテーションスライダの左側は許可されるサイトを、右側はブロックされるサイトを示しています。レピュテーションがどのように使用されるかは、ルールアクションによって異なります。

ルールによって Web アクセスをブロックまたは監視する場合は、レピュテーションレベルを選択することで、そのレベルより深刻なすべてのレピュテーションも選択されます。たとえば、[問題のあるサイト（Questionable sites）]（レベル 2）をブロックまたは監視するルールを設定した場合、[信頼できない（Untrusted）]（レベル 1）サイトも自動的にブロックまたは監視されます。
ルールが Web アクセスを許可する場合は、レピュテーションレベルを選択すると、そのレベルより深刻でないすべてのレピュテーションも選択されます。たとえば、[好ましいサイト（Favorable sites）]（レベル 4）を許可するルールを設定した場合、[信頼できる（Trusted）]（レベル 5）サイトも自動的に許可されます。

レピュテーションが不明な URL をレピュテーション一致に含めるには、[レピュテーションが不明なサイトを含める（Include Sites with Unknown Reputation）] オプションを選択します。通常、新しいサイトは評価されていません。また、その他の理由でサイトのレピュテーションが不明である（または判断できない）場合もあります。

URL のカテゴリの確認

特定の URL のカテゴリとレピュテーションを確認できます。[確認するURL（URL to Check）] ボックスに URL を入力し、[移動（Go）] をクリックします。結果を表示するには、外部の Web サイトに移動します。分類に同意しない場合は、[URLカテゴリの異議を送信する（Submit a URL Category Dispute）] リンクをクリックしてお知らせください。

ユーザー基準

アクセスルールのユーザ基準は、IP 接続のユーザまたはユーザグループを定義します。アクセスルールにユーザーまたはユーザーグループの基準を含めるには、アイデンティティポリシーと関連付けられたディレクトリサーバーを設定する必要があります。

アイデンティティポリシーは、特定の接続に関してユーザーアイデンティティを収集するかどうかを決定します。アイデンティティが確立されると、ホストの IP アドレスに識別されたユーザーが関連付けられます。したがって、送信元 IP アドレスがユーザーにマッピングされているトラフィックは、そのユーザーからのものとみなされます。IP パケット自体にはユーザーアイデンティティ情報は含まれていないため、この IP アドレスとユーザー間のマッピングが使用可能な中での最良近似となります。

1 つのルールに最大 50 のユーザーまたはグループを追加できるため、通常は、グループを選択する方が個々のユーザーを選択するより有意義です。たとえば、エンジニアリンググループに開発ネットワークへのアクセスを許可するルールを作成し、それに続くルールとして、そのネットワークへの他のすべてのアクセスを拒否するルールを作成できます。その後、ルールを新しいエンジニアに適用するには、エンジニアをディレクトリサーバーのエンジニアリンググループに追加するだけです。

そのソース内のすべてのユーザーに適用するアイデンティティソースを選択することもできます。したがって、複数の Active Directory ドメインをサポートする場合は、ドメインに基づいてリソースへの差分アクセスを提供できます。

ユーザーリストを変更するには、条件の中にある [+] ボタンをクリックし、次のいずれかの方法で必要なアイデンティティを選択します。ポリシーからアイデンティティを削除するには、該当する [x] をクリックします。

[アイデンティティソース（Identity Sources）]：AD レルムやローカルユーザーデータベースなど、選択したソースから取得したすべてのユーザーにルールを適用するアイデンティティソースを選択します。必要なレルムがまだ存在しない場合、[新規アイデンティティレルムの作成（Create New Identity Realm）] をクリックして作成します。
[グループ（Groups）]：目的のユーザーグループを選択します。グループは、ディレクトリサーバーにグループが設定されている場合のみ使用可能です。グループを選択すると、ルールはサブグループを含むグループのすべてのメンバーに適用されます。サブグループを別の方法で処理する場合は、サブグループ用の個別のアクセスルールを作成し、それをアクセスコントロールポリシー内で親グループのルールの上に配置する必要があります。
[ユーザー（Users）]：個々のユーザーを選択します。ユーザー名には、Realm\username などのアイデンティティソースがプレフィックスとして付けられます。

Special-Identities-Realm の下にはいくつかの組み込みユーザーがあります。
- [認証失敗（Failed Authentication）]：ユーザーは認証を求められましたが、最大許容試行回数内に有効なユーザー名/パスワードのペアを入力できませんでした。認証の失敗は、それ自体ではユーザーのネットワークへのアクセスは妨げられませんが、これらのユーザーのネットワークアクセスを制限するためのアクセスルールを記述できます。
- [ゲスト（Guest）]：ゲストユーザーは、これらのユーザーをゲストと呼ぶようにアイデンティティルールが設定されている点を除き、認証失敗ユーザーと同様です。ゲストユーザーは認証を求められましたが、最大試行回数内に認証されることができませんでした。
- [認証不要（No Authentication Required）]：ユーザーの接続が認証なしに指定されたアイデンティティルールに一致したため、ユーザーは認証を求められませんでした。
- [不明（Unknown）]：IP アドレスのユーザーマッピングがなく、認証失敗の記録もありません。通常、これは、HTTP トラフィックがそのアドレスからまだ見られていないことを意味します。

侵入ポリシーの設定

ファイアウォールシステムには複数の侵入ポリシーが付属しています。Cisco Cisco Talos Intelligence Group（Talos）によって提供されるいくつかの侵入ポリシーはシスコによって設計されています。Talos によって、侵入およびプリプロセッサルール状態と詳細設定が規定されています。トラフィックを許可するアクセス制御ルールでは、侵入ポリシーを選択して、トラフィックにおける侵入およびエクスプロイトを検査することができます。侵入ポリシーは、復号されたパケットの攻撃をパターンに基づいて調査し、悪意のあるトラフィックをブロックしたり、変更したりします。

Snort 2 を実行している場合、これらは使用可能な唯一のポリシーであり、変更できません。ただし、侵入ルールのアクションの変更（Snort 2）で説明しているように、特定のルールに対して実行するアクションを変更することは可能です。

Snort 3 を実行している場合は、これらのポリシーのいずれかを選択するか、独自の侵入ポリシーを作成できます。

侵入検査を有効化するには、[侵入ポリシー（Intrusion Policy）] > [オン（On）] を選択し、必要なポリシーを選択します。各ポリシーの説明を表示するには、ドロップダウンリストでポリシーの情報アイコンをクリックします。

定義済みポリシーの詳細については、システム定義のネットワーク分析および侵入ポリシーを参照してください。

ファイルポリシーの設定

ファイルポリシーにより、マルウェア防御を使用して悪意のあるソフトウェア（マルウェア）を検出することができます。ファイル制御を実行するファイルポリシーを使用して、ファイルにマルウェアが含まれているかどうかに関係なく、特定のタイプのすべてのファイルを制御することもできます。

マルウェア防御は、ネットワークトラフィックで検出された潜在的なマルウェアの性質を取得し、ローカルマルウェアファイル分析と事前分類の更新を取得するために Secure Malware Analytics Cloudを使用します。Secure Malware Analytics Cloud にアクセスし、マルウェアルックアップを実行するため、管理インターフェイスにはインターネットへのパスが必要です。デバイスが対象ファイルを検出すると、ファイルの SHA-256 ハッシュ値を使用してファイルの性質について Secure Malware Analytics Cloud に問い合わせます。可能な性質を次に示します。

マルウェア（Malware）：Secure Malware Analytics Cloudはファイルをマルウェアとして分類しました。ファイル内のいずれかのファイルがマルウェアである場合、アーカイブファイル（たとえば zip ファイル）はマルウェアとしてマークされます。
クリーン（Clean）：Secure Malware Analytics Cloudはファイルをマルウェアが含まれないクリーンな状態であると分類しました。その中のすべてのファイルがクリーンであれば、アーカイブファイルはクリーンであるとマークされます。
不明（Unknown）：Secure Malware Analytics Cloudはまだファイルの性質を指定していません。その中のすべてのファイルが不明であれば、アーカイブファイルは不明であるとマークされます。
使用不可（Unavailable）：システムは Secure Malware Analytics Cloudに対し、このファイルの性質を問い合わせることができませんでした。この性質に関するイベントが、わずかながら存在する可能性があります。これは予期された動作です。複数の「利用不可」イベントが連続して発生している場合、管理アドレスのインターネット接続が正常に機能していることを確認します。

使用可能なファイルポリシー

次のいずれかのファイルポリシーを選択できます。

[なし（None）] は、送信したファイルでマルウェアの評価を行わず、特定のファイルをブロックしません。このオプションは、ファイル送信が信頼されている、またはファイル送信の可能性が低い（または不可能である）、あるいはアプリケーションを信頼している、または URL フィルタリングがネットワークを適切に保護しているルールに対して選択します。
[マルウェアをすべてブロック（Block Malware All）]：Secure Malware Analytics Cloudに問い合わせてネットワークを通過するファイルにマルウェアが含まれているかどうかを判断し、脅威を示しているファイルをブロックします。
[クラウドをすべてルックアップ（Cloud Lookup All）]：Secure Malware Analytics Cloudに問い合わせてネットワークを通過するファイルの傾向を取得して記録したうえでその伝送を許可します。
（カスタムファイルポリシー）：脅威に対する防御 API filepolicies リソース、およびその他の FileAndMalwarePolicies リソース（filetypes、filetypecategories、ampcloudconfig、ampservers、ampcloudconnections など）を使用して、独自のファイルポリシーを作成できます。ポリシーを作成して変更を展開した後、Device Manager でアクセス制御ルールを編集するときにポリシーを選択できます。ポリシーを選択すると、ポリシーの下にポリシーの説明が表示されます。

ロギングの設定

アクセスルールのロギング設定は、接続イベントがルールに一致するトラフィックに対して発行されるかどうかを決定します。イベントビューアでルールに関連するイベントを確認するには、ロギングを有効にする必要があります。また、一致するトラフィックがシステムをモニターするために使用できるさまざまなダッシュボードに反映されるようにするためにも、ロギングを有効にする必要があります。

組織のセキュリティ上およびコンプライアンス上の要件に従って接続をロギングしてください。生成するイベントの数を抑え、パフォーマンスを向上させることが目標である場合は、分析のために重要な接続のロギングのみを有効にします。しかし、プロファイリングの目的でネットワークトラフィックの広範な表示が必要な場合は、追加の接続のロギングを有効にできます。

注意	サービス妨害（DoS）攻撃の間にブロックされた TCP 接続をロギングすると、システムパフォーマンスに影響し、複数の同様のイベントによってデータベースが過負荷になる可能性があります。ブロックルールにロギングを有効にする前に、そのルールがインターネット側のインターフェイスまたは DoS 攻撃を受けやすい他のインターフェイスを対象としているかどうかを検討します。

次のロギングオプションを設定できます。

ログアクションの選択

次のいずれかのアクションを選択できます。

[接続の開始時と終了時にログを記録する（Log at Beginning and End of Connection）]：接続の開始時と終了時にイベントを発行します。接続終了イベントには接続開始イベントに含まれるすべての情報と、接続中に拾うことができるすべての情報が含まれているため、許可しようとしているトラフィックではこのオプションを選択しないことをお勧めします。両方のイベントのロギングは、システムパフォーマンスに影響する可能性があります。ただし、これはブロックされているトラフィックに許可されている唯一のオプションです。
[接続終了時にログを記録する（Log at End of Connection）]：接続の終了時に接続ログの記録を許可する場合は、このオプションを選択します。これは許可されている、または信頼されているトラフィックに推奨されます。
[接続のロギングなし（No Logging at Connection）]：ルールのロギングを無効にするには、このオプションを選択します。これがデフォルトです。

（注）

アクセスコントロールルールによって呼び出された侵入ポリシーが侵入を検出して侵入イベントを生成すると、システムはルールのロギング設定に関係なく、侵入が発生した接続の終了を自動的にロギングします。侵入がブロックされた接続では、接続ログ内の接続のアクションは [ブロック（Block）]、理由は [侵入ブロック（Intrusion Block）] ですが、侵入インスペクションを実行するには、許可ルールを使用する必要があります。

ファイルイベント

禁止されたファイルまたはマルウェアイベントのロギングを有効にするには、[ファイルのロギング（Log Files）] を選択します。このオプションを設定するには、ルールでファイルポリシーを選択する必要があります。ルールにファイルポリシーを選択している場合、このオプションはデフォルトで有効になっています。シスコは、このオプションを有効のままにすることを推奨します。

システムが禁止されたファイルを検出すると、次のタイプのイベントの 1 つを自動的にロギングします。

ファイルイベント：検出またはブロックされたファイル（マルウェアファイルを含む）を表します。
マルウェアイベント：検出されたまたはブロックされたマルウェアファイルのみを表します。
レトロスペクティブマルウェアイベント：以前に検出されたファイルでのマルウェア処理が変化した場合に生成されます。

ファイルがブロックされた接続の場合、接続ログにおける接続のアクションは [ブロック（Block）] ですが、ファイルおよびマルウェアのインスペクションを実行するには、許可ルールを使用する必要があります。接続の原因は、[ファイルモニター（File Monitor）]（ファイルタイプまたはマルウェアが検出された）、あるいは [マルウェアブロック（Malware Block）] または [ファイルブロック（File Block）]（ファイルがブロックされた）です。

接続イベントの送信先

外部 syslog サーバーにイベントのコピーを送信するには、syslog サーバーを定義するサーバーオブジェクトを選択します。必要なオブジェクトがすでに存在しない場合、[Syslogサーバーの新規作成（Create New Syslog Server）] をクリックして作成します（syslog サーバーへのロギングを無効にするには、サーバーリストから [任意（Any）] を選択します）。

デバイスのイベントストレージは限られているため、外部 syslog サーバーへイベントを送信すると、長期的な保存が可能になり、イベント分析を強化できます。

この設定は、接続イベントのみに適用されます。侵入イベントを syslog に送信するには、侵入ポリシーの設定でサーバーを設定します。Syslog にファイル/マルウェアイベントを送信するには、[デバイス（Device）] > [システム設定（System Settings）] > [ロギング設定（Logging Settings）] でサーバーを設定します。

アクセスコントロールポリシーのモニタリング

以下のトピックでは、アクセス制御ポリシーのモニター方法について説明します。

ダッシュボードでのアクセス制御統計情報のモニタリング

[モニタリング（Monitoring）] ダッシュボードの大半のデータは、アクセスコントロールポリシーに直接関連しています。「トラフィックのモニタリングおよびシステムダッシュボード」を参照してください。

[モニタリング（Monitoring）] > [アクセスおよびSIルール（Access And SI Rules）] には最もヒットしたアクセスルールと関連する統計情報が表示されます。
一般的な統計情報は、[ネットワーク概要（Network Overview）]、[送信先（Destinations）] および [ゾーン（Zones）] ダッシュボードで確認できます。
URL フィルタリングの結果は [Webカテゴリ（Web Categories）]、[URLカテゴリ（URL Categories）]および [送信先（Destinations）] ダッシュボードで確認できます。[Webカテゴリ（Web Categories）]、[URLカテゴリ（URL Categories）]ダッシュボードに情報を表示するには、少なくとも 1 つの URL フィルタリングポリシーが必要です。
アプリケーションフィルタリングの結果は、[アプリケーション（Applications）] および [Webアプリケーション（Web Applications）] ダッシュボードで確認できます。
[ユーザー（Users）] ダッシュボードでは、ユーザーベースの統計情報を確認できます。ユーザ情報を収集するには、アイデンティティポリシーを実装する必要があります。
[攻撃者（Attackers）] および [ターゲット（Targets）] ダッシュボードでは、侵入ポリシーの統計情報を確認できます。これらのダッシュボードで情報を表示するには、少なくとも 1 つのアクセスコントロールルールに侵入ポリシーを適用する必要があります。
ファイルポリシーおよびマルウェアフィルタリング統計情報は、[ファイルログ（File Logs）] および [マルウェア（Malware）] ダッシュボードで確認できます。このダッシュボードに情報を表示するには、ファイルポリシーを 1 つ以上のアクセス制御ルールに適用する必要があります。
[モニタリング（Monitoring）] > [イベント（Events）] には、アクセスコントロールルールに関連する接続とデータのイベントも表示されます。

ルールヒットカウントの調査

各アクセス制御ルールのヒットカウントを表示することができます。ヒットカウントは、接続がルールに一致する頻度を示します。この情報を使用して、最もアクティブなルールとアクティブの度合いが低いルールを特定できます。

このカウントは、再起動やアップグレードの後も維持されます。

また、デバイス CLI で show rule hits コマンドを使用してルールヒットカウント情報を表示することもできます。

手順

ステップ 1

[ポリシー（Policies）] > [アクセスコントロール（Access Control）] を選択します。

ステップ 2

[ヒットカウントの切り替え（Toggle Hit Counts）] アイコン（トグルヒットカウント ()] ボタン。）をクリックします。

[ヒットカウント（Hit Count）] 列は [名前（Name）] 列の右側にあり、ルールの合計ヒット数と最新のヒットの日付と時刻が表示されます。ヒットカウント情報は、切り替えボタンをクリックしたときに取得されます。

ヒットカウントの情報を使用して、次を行うことができます。

ボタンの左側には、ヒットカウントが最後に更新されたときの情報が表示されます。最新の数字を取得するには、更新アイコン（）をクリックします。
特定のルールのヒットカウントの詳細表示を開くには、テーブルのヒットカウント番号をクリックして [ヒットカウント（Hit Count）] ダイアログボックスを開きます。ヒットカウント情報には、ヒットの回数と、ルールに一致した最後の接続の日付と時刻が含まれます。カウンタをゼロにリセットするには、[リセット（Reset）] をクリックします。

一度にすべてのルールのヒットカウントをリセットする場合は、デバイスへの SSH セッションを開き、clear rule hits コマンドを発行します。
再度 [ヒットカウントの切り替え（Toggle Hit Counts）] アイコン（）をクリックし、テーブルから [ヒットカウント（Hit Count）] 列を削除します。

アクセス制御に関する Syslog メッセージのモニタリング

イベントはイベントビューアで確認するだけでなく、アクセス制御ルール、侵入ポリシー、ファイル/マルウェアポリシー、およびセキュリティインテリジェンスポリシーを設定してイベントを Syslog サーバーに送信することができます。イベントでは、次のメッセージ ID が使用されます。

430001：侵入イベント。
430002：接続の開始時にログに記録される接続イベント。
430003：接続の終了時にログに記録される接続イベント。
430004：ファイルイベント。
430005：マルウェアイベント。

CLI でのアクセスコントロールポリシーのモニタリング

CLI コンソールを開くか、またはデバイスの CLI にログインして、次のコマンドを使用し、アクセス制御ポリシーと統計情報に関する詳細情報を取得することもできます。

show access-control-config はアクセス制御ルールに関する概要情報とルールごとのヒット数を表示します。
show access-list はアクセス制御ルールから生成されたアクセス制御リスト（ACL）を表示します。ACL は初期フィルタを提供し、できる限り迅速な決定を実現しようとするため、ドロップされる接続を調査する（および、そのために不必要にリソースを消費する）必要はありませんこの情報には、ヒット数が含まれます。
show rule hits は、show access-control-config および show access-list で表示されるカウントよりも正確な、統合されたヒットカウントを表示します。ヒットカウントをリセットするには、clear rule hits コマンドを使用します。
show snort statistics は主要なインスペクタである Snort インスペクションエンジンに関する情報を表示します。Snort は、アプリケーションフィルタリング、URL フィルタリング、侵入からの保護、ファイルおよびマルウェアフィルタリングを実装します。
show conn は現在インターフェイスを通じて確立されている接続に関する情報を表示します。
show traffic は各インターフェイスを介したトラフィックフローに関する統計情報を表示します。
show ipv6 traffic はデバイスを介した IPv6 トラフィックフローに関する統計情報を表示します。

アクセス制御の例

使用例の章には、アクセス制御ルールのいくつかの実装例が含まれています。次の例を参照してください。

ネットワークトラフィックを調べる方法。この例では、全体的な接続およびユーザ情報を収集するための基本的な考え方が示されています。
脅威をブロックする方法。この例では、侵入ポリシーを適用する方法が示されています。
マルウェアをブロックする方法。この例では、ファイルポリシーを適用する方法が示されています。
アクセプタブルユースポリシー（URL フィルタリング）の実装方法。この例では、URL フィルタリングを実行する方法が示されています。
アプリケーションの使用を制御する方法。この例では、アプリケーションフィルタリングを実行する方法が示されています。
サブネットを追加する方法。この例では、トラフィックフローを許可するために必要なアクセスルールを含め、新しいサブネットをネットワーク全体に統合する方法が示されています。
ネットワーク上のトラフィックをパッシブにモニタする方法

次に、その他の例を示します。

Trustsec セキュリティグループタグを使用したネットワークアクセスの制御方法

Cisco TrustSec ネットワークでトラフィックを分類するために Cisco Identity Services Engine（ISE）を使用してセキュリティグループタグ（SGT）を定義して使用する場合は、一致基準として SGT を使用するアクセス制御ルールを作成できます。これにより、直接 IP アドレスではなく、セキュリティグループメンバーシップに基づいてアクセスをブロックまたは許可することができます。

セキュリティグループタグ（SGT）について

Cisco Identity Services Engine（ISE）では、セキュリティグループタグ（SGT）を作成し、各タグにホストまたはネットワークの IP アドレスを割り当てることができます。また、ユーザーアカウントに SGT を割り当て、SGT がユーザーのトラフィックに割り当てられるようにすることもできます。ネットワーク内のスイッチおよびルータがそのように設定されている場合、これらのタグは、ISE、Cisco TrustSec クラウドによって制御されるネットワークに入るときにパケットに割り当てられます。

Device Manager で ISE アイデンティティソースを設定すると、脅威に対する防御システムは自動的に ISE から SGT のリストをダウンロードします。その後、アクセス制御ルールでトラフィックの一致条件として SGT を使用できます。

たとえば、[実稼働ユーザー（Production Users）] タグを作成し、192.168.7.0/24 ネットワークをタグに関連付けることができます。これは、ラップトップ、Wi-Fi クライアントなどのユーザーエンドポイントにそのネットワークを使用する場合に適しています。実稼働サーバー用に別のタグを作成し、関連するサーバーまたはサブネットの IP アドレスをそのタグに割り当てることができます。次に、脅威に対する防御では、タグに基づいてユーザーネットワークから実稼働サーバーへのアクセスを許可またはブロックすることができます。ISE でタグに関連付けられているホストまたはネットワークアドレスを後で変更する場合、脅威に対する防御デバイスに定義されているアクセス制御ルールを変更する必要はありません。

脅威に対する防御は、アクセス制御ルールのトラフィック一致基準として SGT を評価するときに、次の優先順位を使用します。

パケット内で定義されている送信元 SGT タグ（存在する場合）。SGT タグがパケットに含まれるようにするには、ネットワーク内のスイッチとルータがそれらを追加するように設定されている必要があります。このメソッドの実装方法については、ISE のマニュアルを参照してください。
ISE セッションディレクトリからダウンロードされるユーザーセッションに割り当てられた SGT。この種の SGT 照合では、セッションディレクトリ情報をリッスンするオプションを有効にする必要がありますが、このオプションは最初に ISE アイデンティティソースを作成するときにデフォルトでオンになっています。SGT は、送信元または宛先と照合することができます。必須ではありませんが、通常は ISE アイデンティティソースを AD レルムとともに使用してパッシブ認証アイデンティティルールを設定し、ユーザ ID 情報を収集します。
SXP を使用してダウンロードされた SGT-to-IP アドレスマッピング。IP アドレスが SGT の範囲内にある場合、トラフィックは SGT を使用するアクセス制御ルールと一致します。SGT は、送信元または宛先と照合することができます。

ISE は、セキュリティグループ交換プロトコル（SXP）を使用して、SGT マッピングデータベースをネットワークデバイスに伝播します。ISE サーバーを使用するように脅威に対する防御デバイスを設定する場合は、ISE から SXP トピックをリッスンするオプションをオンにする必要があります。そのため、脅威に対する防御デバイスは、ISE からセキュリティグループタグとマッピングについて直接学習し、ISE が更新されたセキュリティグループタグとマッピングを公開するたびに通知を受け取ります。これにより、デバイス上でセキュリティグループタグのリストが最新の状態に維持されるため、脅威に対する防御は、ISE で定義されたポリシーを効果的に適用できるようになります。

セキュリティグループタグ（SGT）に基づくアクセス制御の設定

セキュリティグループタグ（SGT）を一致基準として使用するアクセス制御ルールを設定するには、最初に ISE サーバーから SGT マッピングを取得するようにデバイスを設定する必要があります。

次の手順では、SXP で公開されている SGT から IP アドレスへのマッピングを含め、ISE で定義されているすべてのマッピングを取得するという前提に基づいたエンドツーエンドのプロセスについて説明します。または、下記の手順も実行できます。

パケット内の SGT 情報のみを使用し、ISE からダウンロードされたマッピングを使用しない場合は、単に SGT グループダイナミックオブジェクトを作成し、それらをアクセス制御ルールの送信元 SGT 条件として使用します。この場合、送信元条件としてのみ SGT タグを使用できます。これらのタグは、宛先の基準に一致しません。
パケットとユーザーセッション SGT のマッピングのみで SGT を使用する場合は、ISE アイデンティティソースの SXP トピックを登録するオプションを有効にする必要はなく、SXP マッピングを公開するように ISE を設定する必要もありません。この情報は送信元と宛先の両方の一致条件に使用できます。

始める前に

ここでは、ネットワークに Cisco TrustSec がすでに設定されていて、ポリシー適用ポイントとして脅威に対する防御デバイスを追加するだけであることを前提としています。Cisco TrustSec を展開していない場合は、ISE から開始し、ネットワークを設定してから、この手順に戻ります。Cisco TrustSec の説明は、このドキュメントの範囲外です。

手順

ステップ 1	SGT が定義されていること、ISE が SXP トピックをパブリッシュするように正しく設定されていること、および必要な静的マッピングが設定されていることを確認します。 ISE でのセキュリティグループと SXP パブリッシングの設定を参照してください。
ステップ 2	SXP トピックをリッスンするように Identity Services Engine オブジェクトを更新します。 ISE を使用して、ユーザーセッション SGT マッピング、SXP を介したスタティック SGT から IP アドレスへのマッピング、またはその両方を取得できます。デフォルトでは、ISE アイデンティティソースを設定すると、ユーザーセッションマッピングのみが取得されます。ISE から SXP トピックをリッスンするには、オプションを有効にする必要があります。 [オブジェクト（Objects）] > [アイデンティティソース（Identity Sources）] を選択します。 ISE オブジェクトを編集します。まだ設定していない場合は、[+] > [Identity Services Engine] をクリックし、Identity Services Engine の設定を参照してください。 [サブスクライブ対象（Subscribe To）] で、[SXPトピック（SXP Topic）] を選択します。パッシブ認証を使用している場合またはユーザーと SGT のマッピングが必要な場合は、[セッションディレクトリのトピック（Session Directory Topic）] が選択されていることも確認してください。 [OK] をクリック
ステップ 3	変更を展開し、システムが ISE からタグとマッピングをダウンロードするのを待ちます。 ISE アイデンティティソースを設定して変更を展開すると、ISE サーバーからセキュリティグループタグ（SGT）情報が取得されます。ダウンロードは、変更を展開するまで行われません。
ステップ 4	アクセス制御ルールに必要な SGT グループオブジェクトを作成します。 ISE から取得した情報をアクセス制御ルールで直接使用することはできません。代わりに、ダウンロードした SGT 情報を参照する SGT グループを作成する必要があります。SGT グループは複数の SGT を参照できます。そのため、必要に応じて、関連するタグのコレクションに基づいてポリシーを適用できます。オブジェクトの数と内容は、作成するアクセス制御ルールによって異なります。次のプロセスを繰り返して、必要なすべてのオブジェクトを作成してください。 [オブジェクト（Objects）] > [SGTグループ（SGT Groups）] を選択します。 [+] をクリックして新しいオブジェクトを追加するか、既存のオブジェクトを編集します。新しいオブジェクトの場合、名前を入力し、任意で説明を入力します。 [タグ（Tags）] で、[+] をクリックし、グループに含める必要があるすべてのタグを選択します。 [OK] をクリック
ステップ 5	SGT グループオブジェクトを使用するアクセス制御ルールを作成します。たとえば、以下のルールにより、実稼働ユーザーから実稼働サーバーへのトラフィックが許可されます。ルールは SGT に完全に依存します。送信元/宛先インターフェイスやその他の基準によって制限を受けることはありません。そのため、ルールはさまざまなインターフェイスからのトラフィックに動的に適用され、ISE でセキュリティグループのメンバーシップを変更するときに適用されます。パケットに送信元 SGT が明示的に含まれていない場合は、パケットの IP アドレスを、ユーザーセッション情報または SXP 公開マッピングから取得される、SGT から IP アドレスへのマッピングと比較することによって、送信元/宛先の照合が行われます。 [ポリシー（Policies）] > [アクセス制御（Access Control）] を選択します。 [+] をクリックして新しいルールを作成するか、既存のルールを編集します。ルール名を入力し、アクションとして [許可（Allow）] を選択します。 [送信元/宛先（Source/Destination）] タブで、[送信元（Source）] > [SGTグループ（SGT Groups）] の [+] をクリックし、実稼働ユーザー用に作成したオブジェクトを選択します。 [送信元/宛先（Source/Destination）] タブで、[宛先（Destination）] > [SGTグループ（SGT Groups）] の [+] をクリックし、実稼働サーバー用に作成したオブジェクトを選択します。必要に応じて他のオプションを設定します。たとえば、ロギングを有効にして、侵入ポリシーを適用することができます。 [OK] をクリック
ステップ 6	設定を展開します。

ISE でのセキュリティグループと SXP パブリッシングの設定

Cisco Identity Services Engine（ISE）では、TrustSec ポリシーとセキュリティグループタグ（SGT）を作成するために実行を必要とする設定が多数あります。TrustSec の実装の詳細については、ISE のマニュアルを参照してください。

次の手順では、脅威に対する防御デバイスがスタティック SGT から IP アドレスへのマッピングをダウンロードして適用できるようにするために ISE で設定する必要があるコア設定のハイライトを示します。これは、アクセス制御ルールでの送信元と宛先 SGT の照合に使用できます。詳細については、ISE のマニュアルを参照してください。

この手順のスクリーンショットは、ISE 2.4 に基づいています。これらの機能にアクセスするための正確な手順は後続のリリースで変更される可能性がありますが、概念と要件は同じです。ISE 2.4 以降、特に 2.6 以降が推奨されますが、ISE 2.2 パッチ 1 以降でもこの設定は動作します。

始める前に

SGT から IP アドレスへのスタティックマッピングを公開し、ユーザーセッションからと SGT へのマッピングを取得して脅威に対する防御デバイスがそれらを受信できるようにするには、ISE Plus ライセンスが必要です。

手順

ステップ 1	[ワークセンター（Work Centers）] > [TrustSec] > [設定（Settings）] > [SXP設定（SXP Settings）] を選択し、[PxGridでSXPバインディングを公開（Publish SXP Bindings on PxGrid）] オプションを選択します。このオプションにより、ISE は SXP を使用して SGT マッピングを送信します。リストから SXP トピックまでを "確認する" には、Threat Defense デバイスに対してこのオプションを選択する必要があります。このオプションは、Threat Defense デバイスが静的 SGT-to-IP アドレスマッピング情報を取得するために選択する必要があります。単に、パケット内で定義された SGT タグ、またはユーザーセッションに割り当てられた SGT を使用するのみの場合は、このステップは必要ありません。
ステップ 2	[ワークセンター（Work Centers）] > [TrustSec] > [SXP] > [SXPデバイス（SXP Devices）] を選択し、デバイスを追加します。これは実際のデバイスである必要はありませんが、脅威に対する防御デバイスの管理 IP アドレスを使用することもできます。このテーブルには、ISE が静的 SGT-to-IP アドレスマッピングをパブリッシュするためのデバイスが 1 つ以上必要です。単に、パケット内で定義された SGT タグ、またはユーザーセッションに割り当てられた SGT を使用するのみの場合は、このステップは必要ありません。
ステップ 3	[ワークセンター（Work Centers）] > [TrustSec] > [コンポーネント（Components）] > [セキュリティグループ（Security Groups）] の順に選択し、セキュリティグループタグが定義されていることを確認します。必要に応じて新しいタグを作成します。
ステップ 4	[ワークセンター（Work Centers）] > [TrustSec] > [コンポーネント（Components）] > [IP SGTスタティックマッピング（IP SGT Static Mapping）] を選択し、ホストとネットワーク IP アドレスをセキュリティグループタグにマッピングします。単に、パケット内で定義された SGT タグ、またはユーザーセッションに割り当てられた SGT を使用するのみの場合は、このステップは必要ありません。

Cisco Secure Firewall Device Manager バージョン 7.4 コンフィギュレーション ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： アクセス コントロール

アクセス コントロール

アクセス制御のベストプラクティス

手順

アクセス コントロールの概要

アクセス コントロール ルールとデフォルト アクション

アプリケーション フィルタリング

暗号化および復号トラフィックのアプリケーション制御

Common Industrial Protocol（CIP）および Modbus アプリケーション（ISA 3000）でのフィルタリング

アプリケーション フィルタリングのベスト プラクティス

URL フィルタリング

カテゴリ別とレピュテーション別の URL のフィルタリング

カテゴリとレピュテーションでの URL の検索

手動 URL フィルタリング

HTTPS トラフィックのフィルタリング

暗号化プロトコルによるトラフィックの制御

URL フィルタリングとアプリケーション フィルタリングの比較

効果的な URL フィルタリングのベスト プラクティス

Web サイトのブロック時にユーザーに表示される内容

HTTP 応答ページの制限

DNS 要求のフィルタリング

DNS 要求のフィルタリングのガイドライン

URL カテゴリとレピュテーションに基づいた DNS 要求のフィルタリング

始める前に

手順

侵入、ファイル、マルウェアのインスペクション

アクセス制御ルールの順序のベスト プラクティス

NAT とアクセス ルール

その他のセキュリティ ポリシーがアクセス制御に影響する仕組み

アクセス制御のためのライセンス要件

アクセス コントロール ポリシーに関する注意事項と制限事項

アクセス コントロール ポリシーを設定する

デフォルト アクションの設定

手順

アクセス コントロール ポリシーの設定

手順

アクセス コントロール ルールの設定

手順

送信元/宛先基準

アプリケーション基準

URL 基準

ユーザー基準

侵入ポリシーの設定

ファイル ポリシーの設定

使用可能なファイル ポリシー

ロギングの設定

アクセス コントロール ポリシーのモニタリング

ダッシュボードでのアクセス制御統計情報のモニタリング

ルール ヒット カウントの調査

手順

アクセス制御に関する Syslog メッセージのモニタリング

CLI でのアクセス コントロール ポリシーのモニタリング

アクセス制御の例

Trustsec セキュリティ グループ タグを使用したネットワーク アクセスの制御方法

セキュリティ グループ タグ（SGT）について

セキュリティ グループ タグ（SGT）に基づくアクセス制御の設定

始める前に

手順

ISE でのセキュリティ グループと SXP パブリッシングの設定

始める前に

手順

このドキュメントは役に立ちましたか?

シスコに問い合わせ

Cisco Secure Firewall Device Manager バージョン 7.4 コンフィギュレーションガイド

章のタイトル：アクセスコントロール

アクセスコントロール

アクセスコントロールの概要

アクセスコントロールルールとデフォルトアクション

アプリケーションフィルタリング

アプリケーションフィルタリングのベストプラクティス

URL フィルタリングとアプリケーションフィルタリングの比較

効果的な URL フィルタリングのベストプラクティス

アクセス制御ルールの順序のベストプラクティス

NAT とアクセスルール

その他のセキュリティポリシーがアクセス制御に影響する仕組み

アクセスコントロールポリシーに関する注意事項と制限事項

アクセスコントロールポリシーを設定する

デフォルトアクションの設定

アクセスコントロールポリシーの設定

アクセスコントロールルールの設定

ファイルポリシーの設定

使用可能なファイルポリシー

アクセスコントロールポリシーのモニタリング

ルールヒットカウントの調査

CLI でのアクセスコントロールポリシーのモニタリング

Trustsec セキュリティグループタグを使用したネットワークアクセスの制御方法

セキュリティグループタグ（SGT）について

セキュリティグループタグ（SGT）に基づくアクセス制御の設定

ISE でのセキュリティグループと SXP パブリッシングの設定