Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月13日
章のタイトル: アクセス コントロール ポリシーの開始
アクセス コントロール ポリシーの開始
ここでは、アクセス コントロール ポリシーの使用を開始する方法について説明します。
- アクセス制御の概要
- アクセス コントロール ポリシーの管理
- 基本的なアクセス コントロール ポリシーの作成
- アクセス コントロール ポリシーの編集
- アクセス コントロール ポリシーの継承の管理
- アクセス コントロール ポリシーのターゲット デバイスの設定
- アクセス コントロール ポリシーの詳細設定
アクセス制御の概要
アクセス制御は、(非高速パスを通る)ネットワーク トラフィックの指定、検査、ロギングが可能な階層型ポリシーベースの機能です。アクセス コントロール ポリシーはネストすることができ、これはマルチドメイン展開で特に有用です。このポリシーでは各ポリシーが先祖(または基本)ポリシーからルールや設定を継承します。この継承を強制することもできますが、下位のポリシーによる先祖ポリシーの上書きを許可することもできます。各管理対象デバイスは 1 つのアクセス コントロール ポリシーのターゲットにすることができます。
ポリシーのターゲット デバイスがネットワーク トラフィックについて収集したデータは、以下に基づいてそのトラフィックのフィルタや制御に使用できます。
-
レピュテーション、リスク、ビジネスとの関連性、使用されたアプリケーション、または訪問した URL などの特性を含む、トラフィックに関する最新のコンテキスト情報
-
暗号化されていないトラフィックまたは復号されたトラフィックに、禁止されているファイル、検出されたマルウェア、または侵入の試みが存在するかどうか
各タイプのトラフィックのインスペクションと制御は、最大限の柔軟性とパフォーマンスを引き出すために最も意味がある局面で実行されます。たとえば、レピュテーションベースのブラックリストはシンプルな送信元と宛先のデータを使用しているため、禁止されているトラフィックを初期の段階でブロックできます。これに対し、侵入およびエクスプロイトの検知とブロックは最終防衛ラインです。
展開のライセンスを取得せずにシステムを設定することはできますが、多くの機能では、展開する前に適切なライセンスを有効にする必要があります。また、一部の機能は、特定のデバイス モデルでのみ使用できます。サポートされていない機能は、警告アイコンおよび確認ダイアログ ボックスに示されます。
アクセス コントロール ポリシーのコンポーネント
新しく作成したアクセス コントロール ポリシーは、デフォルト アクションを使用して、すべてのトラフィックを処理するようにターゲット デバイスに指示します。
次の図で、デフォルト アクションはトラフィックが最終接続先に到達する前に、[バランスの取れたセキュリティと接続(Balanced Security and Connectivity)] に基づく侵入ポリシー使用してトラフィックを検査します。
次のリストに、簡単なポリシーの作成後に変更可能な設定を示します。
 (注) | 現在のドメインで作成されたアクセス コントロール ポリシーのみ編集できます。また、先祖アクセス コントロール ポリシーによってロックされている設定は編集できません。 |
- 名前(Name)と説明(Description)
-
各アクセス コントロール ポリシーには一意の名前が必要です。説明は任意です。
- 継承設定(Inheritance Settings)
-
ポリシー継承により、アクセス コントロール ポリシーの階層を作成することができます。親(または基本)ポリシーは子孫のデフォルト設定を定義、実行します。これはマルチドメイン導入環境で特に有効です。
ポリシーの継承設定で基本ポリシーを選択できます。また、現在のポリシーで設定をロックすることで、子孫にも同じ設定を継承させることできます。ロック解除された設定については、子孫ポリシーによる上書きが可能です。
- ポリシー割り当て
-
各アクセス コントロール ポリシーがそのポリシーを使用するデバイスを識別します。1 つのデバイスに適用されるアクセス コントロール ポリシーは 1 つのみです。マルチドメイン導入環境では、1 ドメイン内のすべてのデバイスで同じ基本ポリシーを使用させることができます。
- ルール(Rule)
-
アクセス コントロール ルールは、ネットワーク トラフィックをきめ細かく処理する方法を提供します。先祖ポリシーから継承したルールを含むアクセス コントロール ポリシーのルールには、1 から始まる番号が付いています。システムは、ルール番号の昇順で上から順に、アクセス コントロール ルールをトラフィックと照合します。
通常、システムは、ルールのすべての条件がトラフィックに一致する最初のアクセス コントロール ルールに従ってネットワーク トラフィックを処理します。条件は単純または複雑にできます。条件の使用は特定のライセンスによって異なります。
- デフォルト アクション(Default Action)
-
デフォルト アクションは、他のアクセス制御設定で処理されないトラフィックをどのように処理し、ロギングするかを定義します。デフォルト アクションにより、追加のインスペクションなしですべてのトラフィックをブロックまたは信頼することができます。また、侵入およびディスカバリ データの有無についてトラフィックを検査することもできます。
アクセス コントロール ポリシーのデフォルト アクションは先祖ポリシーから継承することもできますが、継承を強制的に実施することはできません。
- セキュリティ インテリジェンス(Security Intelligence)
-
セキュリティ インテリジェンスは、悪意のあるインターネット コンテンツに対する最初の防衛ラインです。この機能により、最新の IP アドレス、URL、ドメイン名レピュテーション インテリジェンスをもとに接続をブラックリストに登録(ブロック)することができます。重要なリソースへの継続的なアクセスを確保するために、ブラックリストはカスタム ホワイトリストで上書きできます。
- HTTP 応答(HTTP Responses)
-
システムによりユーザの Web サイト リクエストがブロックされた場合、システム提供の汎用的な応答ページを表示するか、カスタム ページを表示させることができます。ユーザに警告するページを表示するものの、ユーザが最初に要求したサイトに進めるようにすることもできます。
- アクセス コントロールの詳細オプション(Advanced Access Control Options)
-
通常、アクセス コントロール ポリシーの詳細設定を変更する必要はほとんど、あるいはまったくありません。多くの場合、デフォルト設定が適切です。詳細設定では、トラフィックの前処理、SSL インスペクション、ID、種々のパフォーマンス オプションなどを変更できます。
アクセス コントロール ポリシーのデフォルト アクション
単純なアクセス コントロール ポリシーでは、デフォルト アクションは、ターゲット デバイスがすべてのトラフィックをどう処理するかを指定します。より複雑なポリシーでは、デフォルト アクションは次のトラフィックを処理します。
-
インテリジェント アプリケーション バイパスで信頼されないトラフィック
-
ポリシー内のどのルールにも一致しないトラフィック(トラフィックの照合とロギングは行うが、処理または検査はしないモニタ ルールを除く)
アクセス コントロール ポリシーのデフォルト アクションにより、追加のインスペクションなしでトラフィックをブロックまたは信頼することができます。また、侵入およびディスカバリ データの有無についてトラフィックを検査することもできます。
(注) | デフォルト アクションで処理されるトラフィックでは、ファイルまたはマルウェアのインスペクションを実行できません。デフォルト アクションで処理される接続のロギングは、初期設定では無効ですが、有効にすることもできます。 |
ポリシーを継承している場合、最下位の子孫のデフォルト アクションによってトラフィックの最終的な処理が決まります。アクセス コントロール ポリシーのデフォルト アクションは基本ポリシーから継承することもできますが、継承したデフォルト アクションを強制的に実施することはできません。
次の表に各デフォルト アクションが処理するトラフィックに対して実施可能なインスペクションの種類を示します。
|
デフォルト アクション |
||
|---|---|---|
|
基本ポリシーから継承 |
基本ポリシーで定義 |
基本ポリシーで定義 |
次の図は、[すべてのトラフィックをブロック(Block All Traffic)] および [すべてのトラフィックを信頼(Trust All Traffic)] のデフォルト アクションを示しています。
次の図は、[侵入防御(Intrusion Prevention)] および [ネットワーク検出のみ(Network Discovery Only)] のデフォルト アクションを説明しています。
 ヒント | [ネットワーク検出のみ(Network Discovery Only)] の目的は、検出のみの展開でパフォーマンスを向上させることです。侵入検知および防御のみを目的としている場合は、さまざまな設定でディスカバリを無効にできます。 |
アクセス コントロール ポリシーの継承
アクセス制御は、マルチテナンシーを補完する階層型ポリシーベース実装となっています。ドメイン階層を作成するのと同様に、対応するアクセス コントロール ポリシーの階層を作成できます。子孫(あるいは子)アクセス コントロール ポリシーは、直接の親(あるいは基本)ポリシーからルールや設定を継承します。この基本ポリシーにもさらに親ポリシーがあり、その親ポリシーにもさらに、というようにルールや設定が継承されている場合もあります。
アクセス コントロール ポリシーのルールは、親ポリシーの [強制(Mandatory)] ルール セクションと [デフォルト(Default)] のルール セクションの間にネストされています。この実装により、先祖ポリシーの [強制(Mandatory)] ルールは実施される一方、先祖ポリシーの [デフォルト(Default)] ルールは現在のポリシーでプリエンプション処理することが可能です。
次の設定をロックすることで、すべての子孫ポリシーに設定を実行させることができます。ロック解除された設定については、子孫ポリシーによる上書きが可能です。
-
セキュリティ インテリジェンス:最新の IP アドレス、URL、ドメイン名レピュテーション インテリジェンスをもとに接続をブラックリストに登録(ブロック)します。
-
HTTP 応答ページ:ユーザの Web サイト リクエストをブロックした際、カスタム応答ページあるいはシステム提供の応答ページを表示します。
-
詳細設定:関連するサブポリシー、ネットワーク分析設定、パフォーマンス設定、その他の一般設定オプションを指定します。
アクセス コントロール ポリシーのデフォルト アクションは先祖ポリシーから継承することもできますが、継承を強制的に実施することはできません。
ポリシーの継承とマルチテナンシー
通常のマルチドメイン導入環境では、アクセス コントロール ポリシーの階層がドメイン構造に対応しており、管理対象デバイスに最下位レベルのアクセス コントロール ポリシーを適用します。この実装により、ドメインの上層レベルでは選択的にアクセス制御を実施しながらも、ドメインの下層レベルの管理者は展開ごとに設定を調整することが可能です(子孫ドメインの管理者を制限するには、ポリシー継承と適用だけでなく、ロールによる制限を行う必要があります)。
たとえば、所属している部門のグローバル ドメイン管理者は、グローバル レベルのアクセス コントロール ポリシーを作成できます。そして、そのグローバル レベルのポリシーを基本ポリシーとして、機能別にサブドメインに分けられたすべてのデバイスで使用するよう要求することがことが可能です。
サブドメインの管理者が Firepower Management Center にログインしてアクセス制御を設定する際、グローバル レベルのポリシーはそのまま展開できます。あるいは、グローバル レベルのポリシーの範囲内の子孫アクセス コントロール ポリシーを作成、展開することも可能です。
(注) | アクセス制御の継承および適用が最も有効に実装されるのは、マルチテナンシーを補完する場合ですが、1 つのドメイン内においてもアクセス制御ポリシーを階層化することが可能です。また、任意のレベルでアクセス コントロール ポリシーを割り当て、展開することもできます。 |
アクセス コントロール ポリシーの管理
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
Firepower システムでは、システム付属のアクセス コントロール ポリシーの編集と、カスタム アクセス コントロール ポリシーの作成が可能です。デバイスの初期設定に応じて、システム付属のポリシーには次のものが含まれます。
-
デフォルト侵入防御:すべてのトラフィックを許可しますが、Balanced Security and Connectivity 侵入ポリシーおよびデフォルトの侵入変数セットを使用して検査も実行します。
-
デフォルト ネットワーク検出:すべてのトラフィックを許可すると同時に検出データについて検査しますが、侵入やエクスプロイトについては検査しません。
マルチドメイン展開では、編集できる現在のドメインで作成されたポリシーが表示されます。また、編集できない先祖ドメインで作成されたポリシーも表示されます。下位のドメインで作成されたポリシーを表示および編集するには、そのドメインに切り替えます。
| ステップ 1 | を選択します。 |
| ステップ 2 | アクセス コントロール ポリシーを管理します。
|
)をクリックします。
)をクリックします。
)をクリックすると、ポリシーの階層ビューが展開されます。
)をクリックします(基本的なアクセス コントロール ポリシーの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
新規アクセス コントロール ポリシーを作成する場合は、少なくとも、デフォルト アクションを選択する必要があります。
ほとんどの場合、デフォルト アクションにより処理される接続のロギングは最初は無効になっています。例外は、マルチドメイン導入でサブポリシーを作成する場合です。この場合、継承されたデフォルト アクションのロギング設定に応じて、接続のロギングが有効になります。
| ステップ 1 | を選択します。 | ||||
| ステップ 2 | [新しいポリシー(New Policy)] をクリックします。 | ||||
| ステップ 3 | [名前(Name)] に一意の名前を入力し、オプションで [説明(Description)] を入力します。 | ||||
| ステップ 4 | オプションで、[基本ポリシーの選択(Select Base Policy)] ドロップダウンリストから基本ポリシーを選択します。
ドメインにアクセス コントロール ポリシーが適用されている場合は、この手順はオプションではありません。適用されているポリシーまたはその子孫のいずれかを基本ポリシーとして選択する必要があります。 | ||||
| ステップ 5 | 初期デフォルト アクションを指定します。
| ||||
| ステップ 6 | 必要に応じて、ポリシーを展開する [使用可能なデバイス(Available Devices)] を選択し、[ポリシーに追加(Add to Policy)] をクリック(またはドラッグ アンド ドロップ)して、選択したデバイスを追加します。表示されるデバイスを絞り込むには、[検索(Search)] フィールドに検索文字列を入力します。 | ||||
| ステップ 7 | [保存(Save)] をクリックします。 |
次の作業
-
必要に応じて、アクセス コントロール ポリシーの編集の説明に従って、さらに新しいポリシーを設定します。
-
設定変更を展開します。設定変更の導入を参照してください。
アクセス コントロール ポリシーの編集
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
ポリシーの編集は、1 つのブラウザ ウィンドウを使用して、一度に 1 人のみで行う必要があります。複数のユーザが同じポリシーを保存した場合は、最後に保存された変更が保持されます。ユーザにとっての便宜性を考慮して、各ポリシーを現在編集している人(いる場合)の情報が表示されます。セッションのプライバシーを保護するために、ポリシー エディタが非アクティブになってから 30 分後に警告が表示されます。60 分後には、システムにより変更が破棄されます。
| ステップ 1 | を選択します。 | ||
| ステップ 2 | 編集するアクセス コントロール ポリシーの横にある編集アイコン( )をクリックします。
| ||
| ステップ 3 | アクセス コントロール ポリシーを編集します。
| ||
| ステップ 4 | [保存(Save)] をクリックします。 |
)をクリックします。
)をクリックします。次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
アクセス コントロール ポリシーの継承の管理
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
| ステップ 1 | 変更する継承設定を持つアクセス コントロール ポリシーを編集します。アクセス コントロール ポリシーの編集を参照してください。 |
| ステップ 2 | ポリシーの継承を管理します。
|
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
基本アクセス コントロール ポリシーの選択
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
1 つのアクセス コントロール ポリシーを別の基本(親)として使用できます。デフォルトでは、子のポリシーが基本ポリシーから設定を継承します。ロック解除された設定を変更することも可能です。
既存のアクセス コントロール ポリシーの基本ポリシーを変更すると、システムで現在のポリシー設定が新しい基本ポリシーの任意のロックされた設定に更新されます。
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
基本ポリシーからのアクセス コントロール ポリシー設定の継承
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
新しい子ポリシーは、基本ポリシーから多数の設定を継承します。これらの設定は、基本ポリシーでロックされていない場合はオーバーライドできます。
基本ポリシーから後で設定を再継承すると、システムによって基本ポリシーの設定が表示され、コントロールが淡色表示されます。ただし、オーバーライドした内容はシステムによって保存され、その内容は継承を再度無効にすると復元されます。
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
子孫アクセス コントロール ポリシーのロックの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
アクセス コントロール ポリシーの設定をロックして、すべての子孫ポリシーで設定を適用します。子孫ポリシーでは、ロックされていない設定をオーバーライドできます。
設定をロックするときに、すでに子孫ポリシーで実行されていたオーバーライドを保存して、設定のロックを再度解除したときにオーバーライドを復元できるようにします。
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
ドメインでのアクセス コントロール ポリシーの強制
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
ドメイン内の各デバイスが同一の基本アクセス コントロール ポリシーまたは、そのポリシーの子孫ポリシーの 1 つを使用するように強制できます。
)をクリックして、検索をクリアします。次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
アクセス コントロール ポリシーのターゲット デバイスの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
アクセス コントロール ポリシーは、それを使用するデバイスを指定します。それぞれのデバイスは、1 つのアクセス コントロール ポリシーのみのターゲットに設定できます。マルチドメイン展開では、ドメイン内のすべてのデバイスが同一の基本ポリシーを使用するように強制できます。
| ステップ 1 | アクセス コントロール ポリシー エディタで、[ポリシーの割り当て(Policy Assignments)] をクリックします。 |
| ステップ 2 | [ターゲット デバイス(Targeted Devices)] タブで、ターゲット リストを作成します。
[影響を受けるデバイス(Impacted Devices)] の下に、割り当てられたアクセス コントロール ポリシーが現在のポリシーの子であるデバイスが一覧表示されます。現在のポリシーを変更すると、これらのデバイスに影響します。 |
| ステップ 3 | 必要に応じて、[ドメインで強制(Required on Domains)] タブをクリックして、選択したサブドメイン内のすべてのデバイスが同じ基本ポリシーを使用するように強制します。ドメインでのアクセス コントロール ポリシーの強制を参照してください。 |
| ステップ 4 | [OK] をクリックしてターゲット デバイス設定を保存します。 |
| ステップ 5 | [保存(Save)] をクリックして、アクセス コントロール ポリシーを保存します。 |
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
アクセス コントロール ポリシーの詳細設定
通常、アクセス コントロール ポリシーの詳細設定を変更する必要はほとんど、あるいはまったくありません。デフォルト設定は、ほとんどの展開環境に適しています。侵入ルールの更新で説明しているように、アクセス コントロール ポリシーの前処理およびパフォーマンスの詳細オプションの多くは、ルールの更新によって変更される可能性があることに注意してください。
代わりに表示アイコン(
)が表示される場合、設定は先祖ポリシーから継承され、設定を変更する権限がありません。設定がロック解除されている場合は、[ベース ポリシーから継承する(Inherit from base policy)] をオフにして、編集を有効にします。
 注意 | Snort プロセスを再起動し、トラフィック インスペクションを一時的に中断する詳細設定変更のリストについては、展開またはアクティブ化された際に Snort プロセスを再起動する設定 を参照してください。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびトラフィックの処理方法に応じて異なります。Snort® の再起動によるトラフィックの動作も参照してください。 |
全般設定
ユーザが要求した各 URL に対して保存する文字数をカスタマイズするには、長い URL のロギングの制限を参照してください。
ユーザが最初のブロックをバイパスした後に Web サイトを再度ブロックするまでの時間間隔をカスタマイズするには、ブロックされた Web サイトのユーザ バイパス タイムアウトの設定を参照してください。
[URL キャッシュ ミス ルックアップを再試行する(Retry URL cache miss lookup)] を無効にすると、カテゴリがキャッシュされない場合には、クラウド ルックアップを使用せずに、すぐにトラフィックが URL に渡されるようにすることができます。クラウド ルックアップで別のカテゴリが用意されるまで、クラウド ルックアップを必要とする URL は未分類の URL として処理されます。
特定の設定で Snort プロセスを再起動する必要がない限り設定の変更を展開する場合にトラフィックを検査するには、必ず、[ポリシーの適用時にトラフィックを検査する(Inspect traffic during policy apply)] がデフォルト値(有効)に設定してください。このオプションを有効にすると、リソースの需要が高まった場合にいくつかのパケットが検査なしでドロップされることがあります。詳細については、Snort® の再起動シナリオを参照してください。
関連するポリシー
詳細設定を使用して、サブポリシー(SSL、ID、)をアクセス制御に関連付けます。アクセス制御への他のポリシーの関連付けを参照してください。
ネットワーク分析ポリシーと侵入ポリシー
ネットワーク分析ポリシーおよび侵入ポリシーの詳細設定によって、以下が可能になります。
-
システムがトラフィックを検査する方法を正確に決定する前に、最初にそのトラフィックを検査するために使用される、アクセス コントロール ポリシーのデフォルトの侵入ポリシーと関連付けられている変数セットの変更。
-
カスタム ネットワーク分析ルールおよびネットワーク分析ポリシーを使用した、特定のセキュリティ ゾーン、ネットワーク、および VLAN に対する前処理オプションの調整。
詳細については、ネットワーク分析/侵入ポリシーのための高度なアクセス制御の設定を参照してください。
ファイルおよびマルウェアの設定
ファイルとマルウェアのインスペクション パフォーマンスとストレージの調整 に、ファイル制御と AMP for Firepower のパフォーマンス オプションに関する情報が記載されています。
インテリジェント アプリケーション バイパスの設定
インテリジェント アプリケーション バイパス(IAB)は、トラフィックがインスペクション パフォーマンスとフローしきい値の組み合わせを超過したときにバイパスするアプリケーションを指定する、または、バイパスに関するテストを行うための、エキスパート レベルの設定です。詳細については、インテリジェント アプリケーション バイパスを参照してください。
トランスポート層とネットワーク層のプリプロセッサの設定
トランスポート層とネットワーク層のプリプロセッサの詳細設定は、アクセス コントロール ポリシーが展開されるすべてのネットワーク、ゾーン、VLAN にグローバルに適用されます。これらの詳細設定は、ネットワーク分析ポリシーではなくアクセス コントロール ポリシーで設定します。詳細については、トランスポート/ネットワーク プリプロセッサの詳細設定を参照してください。
検出拡張の設定
検出拡張の詳細設定を行うことで、アダプティブ プロファイルを使用して、ホストのオペレーティング システムに基づき、パッシブ展開におけるパケット フラグメントと TCP ストリームのリアセンブルを向上させることができます。詳細については、適応型プロファイルを参照してください。
パフォーマンス設定および遅延ベースのパフォーマンス設定
侵入防御のパフォーマンス チューニングについて では、侵入行為についてトラフィックを分析する際にシステムのパフォーマンスを向上させるための情報を提供しています。
遅延ベースのパフォーマンス設定固有の情報については、パケットおよび侵入ルールの遅延しきい値構成を参照してください。
アクセス制御への他のポリシーの関連付け
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
機能に応じて異なる |
機能に応じて異なる |
任意(Any) |
Admin/Access Admin/Network Admin |
次のサブポリシーのいずれかとアクセス コントロール ポリシーとを関連付けるには、アクセス コントロール ポリシーの詳細設定を使用します。
-
SSL ポリシー:セキュア ソケット レイヤ(SSL)または Transport Layer Security(TLS)で暗号化されたアプリケーション層プロトコル トラフィックをモニタ、復号化、ブロック、または許可します。
注意
SSL ポリシーを追加または削除すると 設定の変更を展開すると Snort プロセスが再起動され、一時的にトラフィックのインスペクションが中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびトラフィックの処理方法に応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。
-
アイデンティティ ポリシー:トラフィックに関連付けられているレルムと認証方式に基づいて、ユーザ認証を実行します。
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
フィードバック