移行した ASA with FPS 構成を Management Center にプッシュする前に、構成を慎重に確認し、それが適切で 脅威に対する防御 デバイスの構成内容と一致することを確認します。点滅しているタブは、次の一連のアクションを実行する必要があることを示しています。
これで、 Firewall 移行ツールは、Management Center にすでに存在する侵入防御システム(IPS)ポリシーとファイルポリシーを取得し、移行するアクセスコントロールルールにそれらを関連付けることができます。
ファイルポリシーは、システムが全体的なアクセス制御設定の一環として、ネットワークの高度なマルウェア防御とファイル制御を実行するために使用する一連の設定です。この関連付けにより、アクセス コントロール ルールの条件と一致するトラフィック内のファイルを通過させる前に、システムは必ずファイルを検査するようになります。
同様に、トラフィックが接続先に向かうことを許可する前に、システムの最終防御ラインとして IPS ポリシーを使用できます。侵入ポリシーは、セキュリティ違反に関するトラフィックの検査方法を制御し、インライン展開では、悪意のあるトラフィックをブロックまたは変更することができます。システムが侵入ポリシーを使用してトラフィックを評価する場合、システムは関連付けられた変数セットを使用します。セット内の大部分の変数は、侵入ルールで一般的に使用される値を表し、送信元および宛先の
IP アドレスとポートを識別します。侵入ポリシーにある変数を使用して、ルール抑制および動的ルール状態にある IP アドレスを表すこともできます。
タブで特定の構成項目を検索するには、列の上部にあるフィールドに項目名を入力します。テーブルの行はフィルタ処理され、検索語に一致する項目のみが表示されます。
(注) |
デフォルトでは、[インライングループ化(Inline Grouping)] オプションが有効になっています。
|
[構成の最適化、確認および検証(Optimize, Review and Validate Configuration)] 画面で Firewall 移行ツールを閉じると、進行状況が保存され、後で移行を再開できます。この画面の前に Firewall 移行ツールを閉じると、進行状況は保存されません。解析後に障害が発生した場合、[インターフェイスマッピング(Interface Mapping)] 画面から Firewall 移行ツールを再起動します。
Firewall 移行ツール ACL 最適化の概要
は、ネットワーク機能に影響を与えることなく、ファイアウォール ルール ベースから最適化(無効化または削除)できる ACL を識別および分離するサポートを提供します。
ACL 最適化は、次の ACL タイプをサポートします。
-
冗長 ACL:2 つの ACL の構成とルールのセットが同じ場合、基本以外の ACL を削除してもネットワークに影響はありません。たとえば、2 つのルールが同じネットワーク上で FTP および IP トラフィックを許可し、アクセスを拒否するルールが定義されていない場合、最初のルールを削除できます。
-
シャドウ ACL:最初の ACL は、2 番目の ACL の設定を完全にシャドウイングします。2 つのルールに同様のトラフィックがある場合、2 番目のルールはアクセスリストの後半に表示されるため、どのトラフィックにも適用されません。2 つのルールがトラフィックに対して異なるアクションを指定している場合、シャドウイングされたルールを移動するか、いずれかのルールを編集して必要なポリシーを実装できます。たとえば、特定の送信元または宛先に対して、基本ルールで
IP トラフィックを拒否し、シャドウイングされたルールで FTP トラフィックを許可できます。
は、ACL 最適化のルールを比較する際に次のパラメータを使用します。
(注) |
ではACP ルールアクションに対してのみ最適化を使用できます
|
オブジェクトの最適化
次のオブジェクトは、移行プロセス中にオブジェクトの最適化について考慮されます。
アクセス制御には次の 2 つのセクションがあります。
-
プレフィルタ:Management Center に移行される ASA ACL が表示されます。
-
ACP:FPS アクセス コントロール ポリシーおよび関連する詳細が表示されます。
ユーザ、SI など、サポートされていない機能の場合、対応する ACL はサポート対象外としてマークされます。