アイデンティティ ポリシーを有効化すると、ネットワークを使用するユーザおよびそのユーザが使用しているリソースに関する情報を収集できます。この情報は、ユーザの監視ダッシュボードに表示されます。ユーザ情報は、イベント ビューアに表示される接続イベントにも表示されます。

ユーザは、HTTP 接続に Web ブラウザを使用する場合にのみ認証されます。

ユーザが認証に失敗した場合、そのユーザは Web 接続を確立することはできます。これは、単に、接続に関するユーザのアイデンティティ情報がないことを意味します。必要に応じて、認証に失敗したユーザのトラフィックをドロップするアクセス コントロール ルールを作成できます。

1. メイン メニューで、[ポリシー（Policies）]をクリックして、[アイデンティティ（Identity）] をクリックします。

   アイデンティティ ポリシーは、最初は無効化されています。アイデンティティ ポリシーはアクティブ ディレクトリ サーバを使用してユーザを認証し、ユーザが使用しているワークステーションの IP アドレスとユーザを関連付けます。その後、システムはその IP アドレスのトラフィックをユーザのトラフィックとして識別します。

   
   
   
   

   

   
   
2. [スタート（Get Started）] ボタンをクリックし、ウィザードを起動して必要な要素を設定します。
3. アクティブ ディレクトリ サーバを特定します。

   次の情報を入力します。

   • [名前（Name）]：ディレクトリ レルムの名前。

   • [タイプ（Type）]：ディレクトリ サーバのタイプ。Active Directory がサポートされている唯一のタイプであり、このフィールドは変更できません。

   • [ディレクトリ ユーザ名（Directory Username）]、[ディレクトリ パスワード（Directory Password）]：取得するユーザ情報に適切な権限を持っているユーザの識別用のユーザ名とパスワード。たとえば、admin@ad.example.com などです。

   • [ベース DN（Base DN）]：ユーザおよびグループの共通の親である、ユーザおよびグループ情報を検索、または問い合わせるためのディレクトリ ツリー。たとえば、dc=example,dc=com などです。ベース DN の検索についての詳細は、ディレクトリ ベース DN の決定を参照してください。

   • [AD プライマリ ドメイン（AD Primary Domain）]：デバイスが参加する必要のある、完全修飾 Active Directory ドメイン名。たとえば、example.com などです。

   • [ホスト名/IP アドレス（Hostname/IP Address）]：ディレクトリ サーバのホスト名または IP アドレス。サーバへ暗号化接続を使用している場合、IP アドレスではなく完全修飾ドメイン名を入力する必要があります。

   • [ポート（Port）]：サーバとの通信に使用するポート番号。デフォルトは 389 です。暗号化方式として LDAPS を選択する場合はポート 636 を使用します。

   • [暗号化（Encryption）]：ユーザおよびグループ情報をダウンロードするために暗号化接続を使用するには、希望する方法、STARTTLS または LDAPSを選択します。デフォルトは [なし（None）]であり、ユーザおよびグループ情報はクリア テキストにダウンロードされることを意味します。

     • STARTTLSは暗号化方式をネゴシエートし、ディレクトリ サーバでサポートされている最も強力な方式を使用します。ポート 389 を使用します。

     • LDAPSでは LDAP over SSL が必要です。ポート 636 を使用します。

   • [SSL 証明書（SSL Certificate）]：暗号化方式を選択したら、CA 証明書をアップロードしてシステムとディレクトリ サーバ間の信頼されている接続を有効にします。認証に証明書を使用する場合、証明書のサーバ名は、サーバの [ホスト名/IP アドレス（Hostname/IP Address）] と一致する必要があります。たとえば、IP アドレスとして 10.10.10.250 を使用し、証明書内で ad.example.com を使用した場合は、接続が失敗します。

   
   
   例：

   たとえば、次のイメージには、ad.example.com サーバの暗号化されていない接続の作成方法が示されています。プライマリ ドメインは example.com で、ディレクトリ ユーザ名は Administrator@ad.example.com です。すべてのユーザおよびグループの情報は、識別名（DN）ou=user,dc=example,dc=com の下にあります。

   
   
   
   

   

   
   
4. [Next]をクリックします。
5. アクティブ認証のキャプティブ ポータルを設定します。

   最もシンプルな方法は、すべてのフィールドをそのままにして [保存（Save）]をクリックします。アクティブ認証のデフォルト ポートを設定します。ユーザは、ユーザ名とパスワードを提供するための信頼に必要な自己署名証明書を取得します。証明書を受け入れるようユーザに伝えます。

   ただし、理想としては、ブラウザが信頼している証明書をアップロードします。証明書を持っている場合は、次のフィールドに入力して使用します。

   • [サーバ証明書（Server Certificate）]：アクティブ認証の間にユーザに表示する CA 証明書。証明書は PEM または DER 形式の X509 証明書である必要があります。証明書に貼り付けるか、[証明書のアップロード（Upload Certificate）]をクリックして証明書ファイルを選択します。デフォルトでは、ユーザ認証時の自己署名証明書が表示されます。

   • [証明書キー（Certificate Key）]：サーバ証明書のキー。キーに貼り付けるか、[キーのアップロード（Upload Key）]をクリックしてキー ファイルを選択します。

   • [ポート（Port）]：キャプティブ ポータルのポート。デフォルトは 885（TCP）です。異なるポートを設定する場合、1025 ～ 65535 の範囲内とする必要があります。

6. [保存（Save）]をクリックします。

   これで、セットアップ ウィザードが終了します。次に、アクティブ認証に必要なアイデンティティ ルールを作成します。

7. [アイデンティティ ルールの作成（Create Identity Rule）]ボタンをクリックするか、または [+] ボタンをクリックします。
8. アイデンティティ ルールのプロパティを入力します。

   全員を認証する必要があることを前提として、次の設定を使用できます。

   • [名前（Name）]：任意の選択（Require_Authenticationなど）。

   • [ユーザ認証（UserAuthentication）]：[アクティブ（Active）] が選択されているため、そのままにします。

   • [タイプ（Type）]：[HTTPネゴシエート（HTTP Negotiate）]を選択します。これにより、ブラウザおよびディレクトリ サーバは最も強力な認証プロトコルを、NTLM、HTTP ベーシックの順にネゴシエートできます。

     （注）

     HTTP Basic、HTTP 応答ページ、および NTLM 認証方式では、ユーザはインターフェイスの IP アドレスを使用してキャプティブ ポータルにリダイレクトされます。ただし、HTTP ネゴシエートでは、ユーザは完全修飾 DNS 名 firewall-hostname.AD-domain-name を使用してリダイレクトされます。HTTP ネゴシエートを使用する場合、アクティブ認証を必要としているすべての内部インターフェイスの IP アドレスにこの名前をマッピングするように DNS サーバを更新する必要があります。そうしないと、リダイレクトは実行できず、ユーザを認証できません。DNS サーバを更新できない、または更新しない場合は、他の認証方法のいずれかを選択します。

   • [送信元/宛先（Source/Destinatio）]：すべてのフィールドをデフォルトの[すべて（Any）] のままにします。

   より制限されているトラフィックに合わせて、ポリシーに制約を加えることができます。ただし、アクティブ認証は HTTP トラフィックに対してのみ試行されるため、非 HTTP トラフィックが送信元/宛先条件に一致していることは重要ではありません。アイデンティティ ポリシーのプロパティの詳細については、アイデンティティ ルールの設定を参照してください。

   
   
   
   

   

   
   
9. [OK（OK）]をクリックしてルールを追加します。

   ウィンドウの右上を見ると、[展開（Deploy）]アイコン ボタンにドットが表示されていることがあります。これは、展開されていない変更があることを示します。ユーザ インターフェイスを変更するだけでは、デバイスに変更を設定するには不十分です。変更を展開する必要があります。部分的に設定された変更がデバイスで実行される潜在的な問題を避けるために、一連の関連する変更を加えてから変更を展開できます。この手順で、後から変更を展開します。

   
   
   
   

   

   
   

接続のロギングが有効なアクセス コントロール ルールと接続が一致する場合にのみ、ダッシュボードに接続情報が表示されます。Inside_Outside_Rule ではロギングが有効ですが、デフォルト アクションのロギングは無効化されています。そのため、ダッシュボードには Inside_Outside_Rule の情報のみが表示され、ルールと一致しない接続は反映されません。

1. アクセス コントロール ポリシー ページの下部のデフォルト アクションで、任意の場所をクリックします。
   
   
   
   

   

   
   
2. [ログ アクションの選択（Select Log Action） > [接続の開始時および終了時（At Beginning and End of Connection）] を選択します。
3. [OK]をクリックします。

シスコは VDB の更新を定期的にリリースしています。これには、接続で使用されるアプリケーションを特定できるアプリケーション ディテクタが含まれています。定期的に VDB を更新する必要があります。更新を手動でダウンロードするか、または定期的なスケジュールを設定することができます。次の手順で、スケジュールの設定方法を示します。デフォルトでは、VDB の更新は無効化されているため、VDB の更新を取得するには操作を実行する必要があります。

1. [デバイス（Device）]メニューのデバイス名をクリックします。
2. [更新（Updates）] グループで [設定の表示（View Configuration）] をクリックします。
   
   
   
   

   

   
   
3. [VDB（VDB）] グループで [設定（Configure）]をクリックします。
   
   
   
   

   

   
   
4. 更新スケジュールを定義します。

   ネットワークを妨害しない時間および頻度を選択します。また、更新をダウンロードすると、システムが自動的に展開することも理解しておいてください。これは、新しいディテクタを有効化するために必要です。そのため、実行して保存したけれども展開していない設定変更も展開されます。

   たとえば、次のスケジュールでは、VDB が週に 1 回、日曜日の午前 0:00（24 時間方式を使用）に更新されます。

   
   
   
   

   

   
   
5. [保存（Save）]をクリックします。

1. Web ページの右上にある [変更の展開（Deploy Changes）]をクリックします。

   

2. [今すぐ展開（Deploy Now）]ボタンをクリックして、展開が完了するまで待ちます。

   展開のサマリに変更が正常に展開されたことが示され、ジョブのタスク ステータスが [展開済み（Deployed）] になります。

   
   
   
   

   

   
   

脅威がないかスキャンされるトラフィックに対応するルールを決定します。この例では、Inside_Outside_Rule に侵入インスペクションを追加します。

1. メイン メニューで [ポリシー（Policies）]をクリックします。

   [アクセス コントロール（Access Control）]ポリシーが表示されることを確認します。

2. Inside_Outside_Rule 行の右側にある [アクション（Actions）]セルにマウスを合わせると、編集アイコンと削除アイコンが表示されます。ルールを開くには、編集アイコン（）をクリックします。
3. まだ選択していない場合は、[アクション（Action）]の [許可（Allow）] を選択します。
   
   
   
   

   

   
   
4. [侵入ポリシー（Intrusion Policy）]タブをクリックします。
5. [侵入ポリシー（Intrusion Policy）]トグルをクリックして有効化してから、スライダで侵入ポリシーのレベルを選択します。

   ポリシーは、安全性の低いものから高いものへの順で表示されています。[セキュリティと接続のバランスをとる（Balanced Security and Connectivity）] ポリシーは、ほとんどのネットワークに適しています。ドロップしたくないトラフィックをドロップする可能性がある過度に強力な防御ではなく、侵入に対する適切な防御を実現します。ドロップされるトラフィックが多すぎると判断した場合は、[セキュリティより接続を優先する（Connectivity over Security）] ポリシーを選択することによって侵入インスペクションを緩和することができます。

   セキュリティを強力にする必要がある場合は、[接続よりセキュリティを優先する（Security over Connectivity）] ポリシーを試します。[最大検出（Maximum Detection）]ポリシーでは、ネットワーク インフラストラクチャのセキュリティがよりいっそう重視され、動作にさらに大きな影響を及ぼす可能性があります。

   
   
   
   

   

   
   
6. [OK（OK）]をクリックして変更を保存します。

シスコは、接続をドロップするかどうかを決定する侵入ポリシーで使用される、侵入ルール データベースの更新を定期的にリリースしています。定期的にルール データベースを更新する必要があります。更新を手動でダウンロードするか、または定期的なスケジュールを設定することができます。次の手順で、スケジュールの設定方法を示します。デフォルトでは、データベースの更新は無効化されているため、更新されたルールを取得するには操作を実行する必要があります。

1. [デバイス（Device）]メニューのデバイス名をクリックします。
2. [更新（Updates）] グループで [設定の表示（View Configuration）]をクリックします。
   
   
   
   

   

   
   
3. [ルール（Rule）] グループで [設定（Configure）]をクリックします。
   
   
   
   

   

   
   
4. 更新スケジュールを定義します。

   ネットワークを妨害しない時間および頻度を選択します。また、更新をダウンロードすると、システムが自動的に展開することも理解しておいてください。これは、新しいルールを有効化するために必要です。そのため、実行して保存したけれども展開していない設定変更も展開されます。

   たとえば、次のスケジュールでは、ルール データベースが週に 1 回、月曜日の午前 0:00（24 時間方式を使用）に更新されます。

   
   
   
   

   

   
   
5. [保存（Save）] をクリックします。

1. Web ページの右上にある [変更の展開（Deploy Changes）]をクリックします。

   

2. [今すぐ展開（Deploy Now）]ボタンをクリックして、展開が完了するまで待ちます。

   展開のサマリに変更が正常に展開されたことが示され、ジョブのタスク ステータスが [展開済み（Deployed）] になります。

マルウェアがないかスキャンされるトラフィックに対応するルールを決定します。この例では、Inside_Outside_Rule にファイル インスペクションを追加します。

1. メイン メニューで [ポリシー（Policies）]をクリックします。

   [アクセス コントロール（Access Control）]ポリシーが表示されることを確認します。

2. Inside_Outside_Rule 行の右側にある [アクション（Actions）]セルにマウスを合わせると、編集アイコンと削除アイコンが表示されます。ルールを開くには、編集アイコン（）をクリックします。
3. まだ選択していない場合は、[アクション（Action）]の [許可（Allow）] を選択します。
   
   
   
   

   

   
   
4. [ファイル ポリシー（File Policy）]タブをクリックします。
5. 使用するファイル ポリシーをクリックします。

   主な選択は、マルウェアと見なされるすべてのファイルをドロップする [すべてのマルウェアをブロックする（Block Malware All）]、または AMP クラウドにクエリーしてファイルの性質を判断するけれどもブロックはしない [すべてのクラウド ルックアップを実行する（Cloud Lookup All）] です。ファイルがどのように評価されるかを確認する場合は、クラウド ルックアップを使用します。ファイルが評価される方法に納得したら、後でブロッキング ポリシーに切り替えることができます。

   他にも、マルウェアをブロックするために使用できるポリシーがあります。これらのポリシーは、ファイル制御や Microsoft Office、または Office および PDF ドキュメントのアップロードのブロックと関連しています。つまり、これらのポリシーを使用すると、マルウェアがブロックされるだけでなく、ユーザはこれらのファイル タイプを他のネットワークに送信できなくなります。ニーズに合う場合は、これらのポリシーを選択できます。

   この例では、[すべてのマルウェアをブロックする（Block Malware All）]を選択します。

   
   
   
   

   

   
   
6. [ロギング（Logging）] タブをクリックして、[ファイル イベント（File Events）] の下にある [ログ ファイル（Log Files）] が選択されていることを確認します。

   デフォルトでは、ファイル ポリシーを選択するとファイル ロギングは有効化されます。イベントおよびダッシュボードにファイルおよびマルウェア情報を表示するには、ファイル ロギングを有効化する必要があります。

   
   
   
   

   

   
   
7. [OK（OK）]をクリックして変更を保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）]をクリックします。

   

2. [今すぐ展開（Deploy Now）]ボタンをクリックして、展開が完了するまで待ちます。

   展開のサマリに変更が正常に展開されたことが示され、ジョブのタスク ステータスが [展開済み（Deployed）] になります。

ブロッキング ルールの作成前に、ユーザがアクセスしているサイトのカテゴリを最初に確認できます。その場合、許可するカテゴリ（金融サービスなど）に [許可（Allow）] アクションを設定したルールを作成できます。すべての Web 接続のインスペクションを実行して、URL がこのカテゴリに属しているかどうかを判断する必要があるため、金融サービス以外のサイトのカテゴリ情報も取得します。

しかし、ブロックする必要があるとすでにわかっている Web カテゴリもあります。ブロッキング ポリシーでもインスペクションが強制されるため、ブロックされるカテゴリだけでなく、ブロックされないカテゴリへの接続に関するカテゴリ情報も取得します。

1. メイン メニューで [ポリシー（Policies）]をクリックします。

   [アクセス コントロール（Access Control）]ポリシーが表示されることを確認します。

2. [+]をクリックして新しいルールを追加します。
3. 順序、タイトル、およびアクションを設定します。

   • [順序（Order）]：デフォルトで、新しいルールはアクセス コントロール ポリシーの最後に追加されます。ただし、同じ送信元/宛先および他の条件を照合するルールの前（上）にこのルールを配置する必要があります。そうしなければ、ルールは照合されません（接続で照合されるルールは、テーブル内で最初に照合されるルールの 1 つのみです）。このルールでは、デバイスの初期設定時に作成した Inside_Outside_Rule と同じ送信元/宛先を使用します。他のルールも同様に作成できます。アクセス コントロールの効率を最大化するには、早い段階で特定のルールを設定し、接続が許可されるか拒否されるかを迅速に決定できるようにすることが最善の方法です。この例では、ルールの順序として [1]を選択します。

   • [タイトル（Title）]：ルールに Block_Web_Sites などの意味のある名前を付けます。

   • [アクション（Action）]：[ブロック（Block）]を選択します。

   
   
   
   

   

   
   
4. [送信元/宛先（Source/Destination）] タブで、[送信元（Source） > [ゾーン（Zones）] の [+] をクリックし、[inside_zone（inside_zone）] を選択してからゾーンのダイアログ ボックスで [OK（OK）] をクリックします。

   条件の追加も同じ方法です。[+]をクリックすると小さいダイアログ ボックスが開くため、追加する項目をクリックします。複数の項目をクリックできます。選択した項目をクリックすると選択が解除されます。チェック マークは、選択済みの項目を示します。ただし、[OK（OK）]ボタンをクリックするまでポリシーには何も追加されません。項目を選択するだけでは不十分です。

   
   
   
   

   

   
   
5. 同じ方法で、[宛先（Destination）] > [Zones（ゾーン）] の [outside_zone（outside_zone）] を選択します。
   
   
   
   

   

   
   
6. [URL（URLs）]タブをクリックします。
7. [カテゴリ（Categories）]の [+] をクリックして、完全または部分的にブロックするカテゴリを選択します。

   この例では、[アダルトおよびポルノ（Adult and Pornography）]、[ボット ネット（Bot Nets）]、[確認済みのスパム送信元（Confirmed SPAM Sources）]、および [ソーシャル ネットワーク（Social Network）] を選択します。ブロックすることが必要な可能性が高い追加カテゴリがあります。

   
   
   
   

   

   
   
8. レピュテーションに影響されるブロッキングを [ソーシャル ネットワーク（Social Network）] カテゴリに実装するには、そのカテゴリの [レピュテーション：すべてのリスク（Reputation: Risk Any）] をクリックして、[すべて（Any）] の選択を解除してからスライダを [セキュリティ リスクがある無害なサイト（Benign sites with security risks）] に移動します。閉じるには、スライダをクリックします。
   
   
   
   

   

   
   

   レピュテーション スライダの左側は許可されるサイトを示し、右側はブロックされるサイトを示します。この場合、レピュテーションが [疑わしいサイト（Suspicious Sites）] と [高リスク（High Risk）] の範囲内にあるソーシャル ネットワーキング サイトのみがブロックされます。したがって、ユーザは、リスクの少ない、一般的に使用されるソーシャル ネットワーキング サイトにはアクセスできます。

   レピュテーションを使用すると、別の方法で許可したカテゴリ内のサイトを選択的にブロックできます。

9. カテゴリ リストの左側にある [URL（URLS）]リストの横の [+] をクリックします。
10. ポップアップ ダイアログ ボックスの下部で、[新規 URL の作成（Create New URL）] リンクをクリックします。
11. 名前とURL の両方に「badsite.example.com」と入力して、[追加（Add）]、[OK（OK）]の順にクリックしてオブジェクトを作成します。

    オブジェクトに URL と同じ名前を付けるか、またはオブジェクトに別の名前を付けることができます。URL には、URL のプロトコル部分を含めず、サーバ名のみを追加します。

    
    
    
    

    

    
    
12. 新規オブジェクトを選択して、[OK（OK）]をクリックします。

    ポリシーの編集時に新規オブジェクトを追加するだけで、リストにオブジェクトが追加されます。新規オブジェクトは、自動的に選択されません。

    
    
    
    

    

    
    
13. [ロギング（Logging）] タブをクリックして、[ログ アクションの選択（Select Log Action）] > [接続の開始時および終了時（At Beginning and End of Connection）] を選択します。

    Web カテゴリ ダッシュボードおよび接続イベントにカテゴリおよびレピュテーションの情報を表示するには、ロギングを有効化する必要があります。

14. [OK（OK）]をクリックしてルールを保存します。

URL ライセンスが有効化されている場合、システムは Web カテゴリ データベースへの更新を自動的に有効化します。データは通常 1 日に 1 回更新されますが、システムは 30 分ごとに更新をチェックします。何らかの理由で更新を希望しない場合は、更新をオフにすることができます。

また、分類されていない URL を分析のためにシスコに送信するよう選択することもできます。これによって、ユーザがカテゴリおよびレピュテーションのない新しいサイトにアクセスすると、シスコはサイトを評価して分類し、レピュテーションを指定し、今後の更新に含めることができます。その後、新しい情報に基づいて、今後のサイトへのアクセスを許可またはブロックすることができます。

1. [デバイス（Device）]メニューのデバイス名をクリックします。
2. [システム設定（System Settings）] > [トラフィック設定（Traffic Settings）] > [クラウド設定）Cloud Preferences] をクリックします。
3. [未知の URL 用 Cisco CSI のクエリー（Query Cisco CSI for Unknown URLs）]を選択します。
4. [保存（Save）]をクリックします。

1. Web ページの右上にある [変更の展開（Deploy Changes）] をクリックします。

   

2. [今すぐ展開（Deploy Now）] ボタンをクリックして、展開が完了するまで待ちます。

   展開のサマリに変更が正常に展開されたことが示され、ジョブのタスク ステータスが [展開済み（Deployed）] になります。

1. メイン メニューで [ポリシー（Policies）]をクリックします。

   [アクセス コントロール（Access Control）]ポリシーが表示されることを確認します。

2. [+]をクリックして新しいルールを追加します。
3. 順序、タイトル、およびアクションを設定します。

   • [順序（Order）]：デフォルトで、新しいルールはアクセスコントロール ポリシーの最後に追加されます。ただし、同じ送信元/宛先および他の条件を照合するルールの前（上）にこのルールを配置する必要があります。そうしなければ、ルールは照合されません（接続で照合されるルールは、テーブル内で最初に照合されるルールの 1 つのみです）。このルールでは、デバイスの初期設定時に作成した Inside_Outside_Rule と同じ送信元/宛先を使用します。他のルールも同様に作成できます。アクセス コントロールの効率を最大化するには、早い段階で特定のルールを設定し、接続が許可されるか拒否されるかを迅速に決定できるようにすることが最善の方法です。この例では、ルールの順序として [1]を選択します。

   • [タイトル（Title）]：ルールにBlock_Anonymizers などの意味のある名前を付けます。

   • [アクション（Action）]：[ブロック（Block）]を選択します。

   
   
   
   

   

   
   
4. [送信元/宛先（Source/Destination）]タブで、[送信元（Source） > [ゾーン（Zones）] の [+] をクリックし、[inside_zone（inside_zone）] を選択してからゾーンのダイアログ ボックスで [OK（OK）] をクリックします。
   
   
   
   

   

   
   
5. 同じ方法で、[宛先（Destination）] > [Zones（ゾーン）] の [outside_zone（outside_zone）] を選択します。
   
   
   
   

   

   
   
6. [アプリケーション（Applications）]タブをクリックします。
7. [アプリケーション（Applications）] の [+] をクリックして、ポップアップ ダイアログ ボックスの下部にある [高度なフィルタ（Advanced Filter）] リンクをクリックします。

   事前にアプリケーション フィルタ オブジェクトを作成して、ここの [アプリケーション フィルタ（Application Filters）] リストで選択できますが、アクセス コントロール ルールで条件を直接指定して、オプションで条件をフィルタ オブジェクトとして保存することもできます。単一のアプリケーションにルールを記述していない場合は、[高度なフィルタ（Advanced Filter）] ダイアログ ボックスを使用して、より簡単にアプリケーションを検索して適切な条件を生成することができます。

   条件を選択すると、ダイアログ ボックスの下部にある [アプリケーション（Applications）] リストが更新され、条件に一致するアプリケーションが表示されます。記述したルールは、これらのアプリケーションに適用されます。

   このリストをよく見てください。たとえば、リスクが非常に高いすべてのアプリケーションをブロックしようとする場合があります。ただし、本書を作成している時点で、Facebook および TFPT は非常に高リスクに分類されています。ほとんどの組織が、これらのアプリケーションをブロックすることは希望しません。さまざまなフィルタ条件を試して、選択に一致するアプリケーションを確認するには時間がかかります。これらのリストは VDB の更新で変更できることを覚えておいてください。

   この例では、[カテゴリ（Categories）] リストからアノニマイザー/プロキシを選択します。

   
   
   
   

   

   
   
8. [高度なフィルタ（ Advanced Filters）] ダイアログ ボックスで、[追加（Add）]をクリックします。

   フィルタが追加され、[アプリケーション（Applications）] タブに表示されます。

   
   
   
   

   

   
   
9. [ロギング（Logging）]タブをクリックして、[ログ アクションの選択（Select Log Action）] > [接続の開始時および終了時（At Beginning and End of Connection）] を選択します。

   このルールによってブロックされる接続の情報を取得するには、ロギングを有効化する必要があります。

10. [OK（OK）]をクリックしてルールを保存します。

1. Web ページの右上にある [変更の展開（Deploy Changes）]をクリックします。

   

2. [今すぐ展開（Deploy Now）]ボタンをクリックして、展開が完了するまで待ちます。

   展開のサマリに変更が正常に展開されたことが示され、ジョブのタスク ステータスが [展開済み（Deployed）] になります。

1. [デバイス（Device）]メニューのデバイス名をクリックします。

   メニューには、デバイスのホスト名がラベル付けされたデバイス アイコンが表示されます。たとえば、次のリンクでは「5516-x-1」という名前のデバイスのデバイス ダッシュボードが開きます。

   

2. 有効なインターフェイスの数を示す [インターフェイス（Interfaces）]グループで、リンクをクリックします。

   デバイス上のインターフェイスの合計数に対する有効なインターフェイスの数の概要が示されます。これは、モデルごとに異なります。この例では、9 個のうち 3 個のインターフェイスが有効です。

   
   
   
   

   

   
   
3. 接続しているインターフェイスの行の右側にある [アクション（Actions）]セルにマウスを合わせて、編集アイコン（）をクリックします。
4. 基本的なインターフェイスのプロパティを設定します。

   • [名前（Name）]：インターフェイスに固有の名前（inside_2 など）。

   • [ステータス（Status）]：ステータストグルをクリックして、インターフェイスを有効化します。

   • [IPv4 アドレス（IPv4 Address）]タブ：[タイプ（Type）] に [スタティック（Static）] を選択して、192.168.2.1/24 を入力します。

   
   
   
   

   

   
   
5. [保存（Save）]をクリックします。

   インターフェイス リストに、更新されたインターフェイス ステータスと設定された IP アドレスが表示されます。

   
   
   
   

   

   
   

1. [デバイス（Device）]メニューのデバイス名をクリックします。
2. [システム設定（System Settings）] > [DHCP サーバ（DHCP Server）] をクリックします。
3. DHCP サーバの表までスクロール ダウンして、表の上部の [+]をクリックします。
4. サーバのプロパティを設定します。

   • [DHCP サーバの有効化（Enable DHCP Server）]：このトグルをクリックして、サーバを有効化します。

   • [インターフェイス（Interface）]：DHCPサービスを提供しているインターフェイスを選択します。この例では、inside_2 を選択します。

   • [アドレス プール（AddressPool）]：サーバがネットワーク上のデバイスに供給できるアドレス。192.168.2.2 ～ 192.168.2.254 を入力します。ネットワーク アドレス（.0）、インターフェイス アドレス（.1）、またはブロードキャスト アドレス（.255）が含まれないようにしてください。また、ネットワーク上のデバイスにスタティック アドレスが必要な場合は、プールからそれらのアドレスを除外します。プールは単一の連続したアドレスである必要があるため、範囲の最初または最後からスタティック アドレスを選択します。

   
   
   
   

   

   
   
5. [追加（Add）]をクリックします。
   
   
   
   

   

   
   

インターフェイスにポリシーを記述するには、インターフェイスはセキュリティ ゾーンに属している必要があります。セキュリティ ゾーンのポリシーを記述します。そのため、ゾーンでインターフェイスを追加および削除すると、インターフェイスに適用されたポリシーは自動的に変更されます。

1. メイン メニューで [オブジェクト（Objects）]をクリックします。
2. オブジェクトの目次から、[セキュリティ ゾーン（Security Zones）]を選択します。
3. [inside_zone（inside_zone）]オブジェクトの行の右側にある [アクション（Actions）] セルにマウスを合わせて、編集アイコン（）をクリックします。
4. [インターフェイス（Interfaces）]の下にある [+] をクリックして、inside_2 インターフェイスを選択し、インターフェイス リストで [OK（OK）] をクリックします。
   
   
   
   

   

   
   
5. [保存（Save）] をクリックします。
   
   
   
   

   

   
   

トラフィックは、すべてのインターフェイス間で自動的には許可されません。希望のトラフィックを許可するには、アクセス コントロール ルールを作成する必要があります。唯一の例外は、アクセス コントロール ルールのデフォルト アクションでトラフィックを許可している場合です。この例では、デバイスのセットアップ ウィザードで設定したブロックのデフォルト アクションを保持していることを前提としています。したがって、内部インターフェイス間のトラフィックを許可するルールを作成する必要があります。このようなルールをすでに作成している場合は、この手順をスキップします。

1. メイン メニューで [ポリシー（Policies）]をクリックします。

   [アクセス コントロール（Access Control）]ポリシーが表示されることを確認します。

2. [+]をクリックして新しいルールを追加します。
3. 順序、タイトル、およびアクションを設定します。

   • [順序（Order）]：デフォルトで、新しいルールはアクセスコントロール ポリシーの最後に追加されます。ただし、同じ送信元/宛先および他の条件を照合するルールの前（上）にこのルールを配置する必要があります。そうしなければ、ルールは照合されません（接続で照合されるルールは、テーブル内で最初に照合されるルールの 1 つのみです）。このルールでは、一意の送信元/宛先条件を使用するため、リストの最後にルールを追加することができます。

   • [タイトル（Title）]：ルールにAllow_Inside_Inside などの意味のある名前を付けます。

   • [アクション（Action）]：[許可（Allow）]を選択します。

   
   
   
   

   

   
   
4. [送信元/宛先（Source/Destination）]タブで、[送信元（Source） > [ゾーン（Zones）] の [+] をクリックし、[inside_zone（inside_zone）] を選択してからゾーンのダイアログ ボックスで [OK（OK）] をクリックします。
   
   
   
   

   

   
   
5. 同じ方法で、[宛先（Destination）] > [Zones（ゾーン）] の [inside_zone（inside_zone）] を選択します。

   送信元および宛先に同じゾーンを選択するには、セキュリティ ゾーンに 2 つ以上のインターフェイスが含まれている必要があります。

   
   
   
   

   

   
   
6. （オプション）侵入およびマルウェアのインスペクションを設定します。

   内部インターフェイスは信頼できるゾーン内にありますが、一般的に、ユーザはラップトップをネットワークに接続します。そのため、ユーザは、外部ネットワークまたは Wi-Fi ホット スポットからネットワーク内に知らないうちに脅威を持ち込んでいます。したがって、内部ネットワーク間を移動するトラフィックに侵入やマルウェアの形跡がないかスキャンする必要がある場合があります。

   次の操作の実行を検討します。

   • [侵入ポリシー（Intrusion Policy）]タブをクリックして侵入ポリシーを有効化し、スライダを使用して [セキュリティと接続のバランスをとる（Balanced Security and Connectivity）] ポリシーを選択します。

   • [ファイル ポリシー（File Policy）]タブをクリックして、[すべてのマルウェアをブロックする（Block Malware All）] ポリシーを選択します。

7. [ロギング（Logging）]タブをクリックして、[ログ アクションの選択（Select Log Action）] > [接続の開始時および終了時（At Beginning and End of Connection）] を選択します。

   このルールに一致する接続に関する情報を取得するには、ロギングを有効化する必要があります。ロギングによってダッシュボードにスタティックが追加され、イベント ビューアにイベントが表示されます。

8. [OK（OK）]をクリックしてルールを保存します。

inside_zone セキュリティ ゾーンにインターフェイスを追加することによって、inside_zone の既存のポリシーが自動的に新規サブネットに適用されます。ただし、ポリシーのインスペクションには時間がかかるため、ポリシーの追加が必要ないことを確認します。

デバイスの初期設定を完了すると、次のポリシーがすでに適用されています。

• [アクセス コントロール（AccessControl）]：Inside_Outside_Rule は、新規サブネットと外部ネットワーク間のすべてのトラフィックを許可します。以前の使用例に従っている場合、ポリシーによって侵入およびマルウェアのインスペクションも提供されます。新規ネットワークと外部ネットワークの間の一部のトラフィックを許可するルールが必要です。このルールがなければ、ユーザはインターネットや他の外部ネットワークにアクセスできません。

• [NAT（NAT）]：InsideOutsideNATruleは、外部インターフェイスに対するすべてのインターフェイスに適用され、インターフェイス PAT が適用されます。このルールを守っている場合、新規ネットワークから外部に移動するトラフィックの IP アドレスは、外部インターフェイスの IP アドレスの一意のポートに変換されます。すべてのインターフェイスまたは inside_zone インターフェイスに適用されるルールがない場合、外部インターフェイスに移動するときに新しいルールの作成が必要になる場合があります。

• [アイデンティティ（Identity）]：デフォルトのアイデンティティポリシーはありません。ただし、以前の使用例に従っている場合、新規ネットワークの認証に必要なアイデンティティ ポリシーがある可能性があります。適用されるアイデンティティ ポリシーがなく、新規ネットワークのユーザベース情報が必要な場合は、新しいポリシーを作成します。

1. Web ページの右上にある [変更の展開（Deploy Changes）]をクリックします。

   

2. [今すぐ展開（Deploy Now）]ボタンをクリックして、展開が完了するまで待ちます。

   展開のサマリに変更が正常に展開されたことが示され、ジョブのタスク ステータスが [展開済み（Deployed）] になります。