- シス コASA FirePOWER モジ ュールの概要
- 再使用可能オブジェクトの管理
- デバイス設定の管理
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレス レピュテーションを使用したブラックリスト登録
- アクセス コントロール ルールを使用したトラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- アクセス コントロール ルール:レルムと ユーザ
- アクセス コントロール ルール:カスタム セ キュリティ グループ タグ
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- インテリジェント アプリケーション バイパス(IAB)
- コンテンツ制限を使用したアクセス コント ロール
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーまたは侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリシーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- 特定の脅威の検出
- 侵入イベントの記録のグローバルな制限
- 侵入ルールの概要と作成
- アイデンティティ データの概要
- レルムとアイデンティティ ポリシー
- ユーザ アイデンティティ ソース
- DNS ポリシー
- マルウェアおよび禁止されたファイルのブ ロッキング
- ネットワーク トラフィックの接続のロギ ング
- イベントの表示
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ダッシュボードの ASA FirePOWER 使用
- ASA FirePOWERレポートの使用
- タスクのスケジューリング
- システム ポリシーの管理
- ASA FirePOWERモジュール設定の設定
- ASA FirePOWER モジュールのライセンス
- ASA FirePOWER モジュール ソフトウェアの 更新
- システムのモニタリング
- バックアップと復元の使用
- トラブルシューティング ファイルの生成
- 設定のインポートおよびエクスポート
- 実行時間が長いタスクのステータスの表示
- セキュリティ、インターネット アクセス、および通信ポート
Cisco ASA with FirePOWER Services バージョン 6.2 ローカル管理設定ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2018年5月8日
章のタイトル: インテリジェント アプリケーション バイパス(IAB)
インテリジェント アプリケーション バイパス(IAB)
次の各トピックでは、インテリジェント アプリケーション バイパス の使用に向けてアクセス コントロール ポリシーを設定する方法を説明します。
IAB の概要
インテリジェント アプリケーション バイパス (IAB)では、パフォーマンスおよびフローのしきい値を超過した場合に、信頼できるものとしてさらなるインスペクションなしでネットワークを通過させるアプリケーションを指定します。たとえば、毎晩のバックアップがシステム パフォーマンスに大きく影響する場合、しきい値を超えてもバックアップ アプリケーションが生成したトラフィックを信頼するように設定できます。オプションでは、インスペクション パフォーマンスしきい値を超過したときは、いずれかのフロー バイパスしきい値を超えるすべてのトラフィックを、アプリケーションのタイプに関係なく信頼するよう IAB を設定することができます。このオプションには、バージョン 6.2.0.x パッチが必要です。
IAB は、アクセス コントロール ルールまたはアクセス コントロール ポリシーのデフォルト アクションによって許可されるトラフィックに対し、トラフィックが詳細なインスペクションの対象となる前に実行されます。テスト モードでは、しきい値を超過しているかどうか判断することと、しきい値を超過している場合、IAB を実際に有効化している状態( バイパス モード といいます)であればバイパスされたであろうアプリケーション フローを特定することが可能です。
IAB オプション
パフォーマンス サンプル インターバル(Performance Sample Interval)
IAB パフォーマンス サンプリング スキャンの間隔を秒で指定します。この間隔で、システムは、IAB パフォーマンスしきい値と比較するためのシステム パフォーマンス測定値を収集します。値を 0 にすると、IAB は無効になります。
バイパス可能なアプリケーションとフィルタ(Bypassable Applications and Filters)
この機能には、相互に排他的な、次の 2 つのオプションがあります。
アプリケーション/フィルタ(Applications/Filters)
バイパス可能なアプリケーションおよびアプリケーションのセット(フィルタ)を指定できるエディタを提供します。指定の方法は、アクセス コントロール ルールでアプリケーション条件を指定するときとほぼ同じです。詳細については、アプリケーション トラフィックの制御を参照してください。
未確認アプリケーションを含むすべてのアプリケーション(All applications including unidentified application)
インスペクション パフォーマンスしきい値を超過すると、アプリケーションのタイプに関係なく、いずれかのフロー バイパスしきい値を超過するすべてのトラフィックを信頼します。このオプションには、バージョン 6.2.0.x パッチが必要です。
検査パフォーマンスしきい値(Inspection Performance Thresholds)
インスペクション パフォーマンスしきい値は、侵入インスペクションのパフォーマンスの限界を定めるもので、この限界を超えると、フローしきい値のインスペクションがトリガーされます。IAB では、0 に設定された インスペクション パフォーマンスしきい値は使用しません。
(注
) インスペクション パフォーマンスしきい値とフロー バイパスしきい値は、デフォルトでは無効化されています。IAB がトラフィックを信頼するには、少なくともいずれか 1 つを有効化し、いずれか 1 つを超過している必要があります。インスペクション パフォーマンスしきい値またはフロー バイパスしきい値を複数有効にした場合、IAB がトラフィックを信頼するには、いずれか 1 つのみを超過する必要があります。
消費が激しい侵入ルール、ファイル ポリシー、圧縮解除などによってパフォーマンス過負荷となったためにパケットがドロップされた場合にドロップされたパケットが、パケット全体に占める割合の平均。侵入ルールのような通常の設定によってドロップされるパケットは含まれません。1 より大きい整数を指定すると、指定されたパーセンテージのパケットがドロップされたときに IAB がアクティブ化することに注意が必要です。1 を指定すると、0 ~ 1 までのパーセンテージによって IAB がアクティブ化します。これにより、少ないパケット数で IAB がアクティブ化します。
プロセッサ使用率(Processor Utilization Percentage)
1 秒あたりのフロー数で測定される、システムによるフロー処理率。このオプションでは、IAB は、フローを 件数 ではなく レート で測定するように設定されることに注意が必要です。
フロー バイパスしきい値(Flow Bypass Thresholds)
フロー バイパスしきい値はフローの限界を定めるもので、この限界を超えると、IAB は、バイパス モードではバイパス可能なアプリケーションを信頼し、テスト モードでは、アプリケーション トラフィックを許可してさらなるインスペクションの対象にします。IAB では、0 に設定された フロー バイパスしきい値は使用しません。
(注) インスペクション パフォーマンスしきい値とフロー バイパスしきい値は、デフォルトでは無効化されています。IAB がトラフィックを信頼するには、少なくともいずれか 1 つを有効化し、いずれか 1 つを超過している必要があります。インスペクション パフォーマンスしきい値またはフロー バイパスしきい値を複数有効にした場合、IAB がトラフィックを信頼するには、いずれか 1 つのみを超過する必要があります。
IAB の設定
IAB はすべての導入に必要なわけではなく、必要である場合も、限定的に使用されることがあります。ネットワーク トラフィック(特にアプリケーション トラフィック)とシステム パフォーマンス(予測可能なパフォーマンスの問題を含む)の専門知識がある場合を除き、IAB を有効化しないでください。IAB をバイパス モードで実行する場合は、指定したトラフィックを信頼することでリスクが生じないことを事前に確認してください。
しきい値を超過する場合に、信頼できるものとしてネットワークを通過させるアプリケーションを指定する方法:
手順 1 アクセス コントロール ポリシー エディタで [詳細設定(Advanced)] タブをクリックし、次に、[インテリジェント アプリケーション バイパス設定(Intelligent Application Bypass Settings)] の隣にある編集アイコン(
)をクリックします。
代わりにビュー アイコン(
)が表示される場合、設定は先祖ポリシーから継承され、設定を変更する権限がありません。設定がロック解除されている場合は、[ベース ポリシーから継承する(Inherit from base policy)] をオフにして、編集を有効にします。
– バイパスするアプリケーションとフィルタの数をクリックし、トラフィックをバイパスするアプリケーションを指定します。これは、アクセス コントロール ルールでアプリケーション条件を指定するときとほぼ同じ方法です。詳細については、アプリケーション トラフィックの制御を参照してください。
– [未確認アプリケーションを含むすべてのアプリケーション(All applications including unidentified applications)] をクリックし、インスペクション パフォーマンスしきい値を超過したときに、IAB が、いずれかのフロー バイパスしきい値を超えるすべてのトラフィックをアプリケーションのタイプに関係なく信頼するように設定します。このオプションには、バージョン 6.2.0.x パッチが必要です。
少なくとも 1 つのインスペクション パフォーマンスしきい値と 1 つのフロー バイパスしきい値を指定する必要があります。IAB がトラフィックを信頼するには、両方を超過している必要があります。各タイプに複数のしきい値を入力した場合、いずれか 1 つのタイプのみを超過する必要があります。詳細については、IAB オプションを参照してください。
手順 3 [OK] をクリックして IAB 設定を保存します。
手順 4 [保存(Save)] をクリックして、ポリシーを保存します。
- 設定変更を展開します。設定変更の展開を参照してください。
IAB のロギングと分析
IAB は、接続終了イベントを強制的に生成します。それにより、接続のロギングを有効化しているかどうかに関係なく、バイパスされたフローおよびバイパスされたであろうフローがログに記録されます。接続イベントは、バイパス モードでバイパスされたフロー、またはテスト モードでバイパスされることが予想されるフローを示します。接続イベントに基づいたカスタムのダッシュボード ウィジェットやレポートでは、バイパスされたフローおよびバイパスされることが予想されるフローの長期的な統計情報を表示できます。
[理由(Reason)] に「 Intelligent App Bypass 」が含まれる場合、次のいずれかです。
Allow :適用されている IAB 設定がテスト モードであり、[アプリケーション プロトコル(Application Protocol)] によって指定されたアプリケーションのトラフィックはインスペクション可能な状態のままであることを示します。
Trust :適用されている IAB 設定がバイパス モードであり、[アプリケーション プロトコル(Application Protocol)] によって指定されたアプリケーションのトラフィックが信頼され、さらなるインスペクションなしでネットワークを通過したことを示します。
[インテリジェント アプリケーション バイパス(Intelligent App Bypass)] は、IAB がバイパス モードまたはテスト モードでイベントをトリガーしたことを示します。
アプリケーション プロトコル(Application Protocol)
このフィールドには、イベントをトリガーしたアプリケーション プロトコルが表示されます。
次の省略された図では、一部のフィールドが省かれています。図は、2 つの別個のアクセス コントロール ポリシーの異なる IAB 設定から生成された 2 つの接続イベントの [アクション(Action)]、[理由(Reason)]、および [アプリケーション プロトコル(Application Protocol)] フィールドを示しています。
最初のイベントの場合、[信頼する(Trust)] アクションは、IAB がバイパス モードで有効にされており、Bonjour プロトコル トラフィックが信頼されているため、それ以上インスペクションが行われずに受け渡されることを示します。
2 番目のイベントの場合、[許可(Allow)] アクションは、IAB がテスト モードで有効にされているため、Ubuntu Update Manager トラフィックはさらにインスペクションが行われる必要がありますが、IAB がバイパス モードであればバイパスされることが予想されることを示します。
次の省略された図では、一部のフィールドが省かれています。2 番目のイベントのフローは両方とも([アクション(Action)]:[信頼する(Trust)]、[理由(Reason)]:[インテリジェント アプリケーション バイパス(Intelligent App Bypass)])をバイパスし、侵入ルール([理由(Reason)]:[侵入モニタ(Intrusion Monitor)])によって検査されました。[侵入モニタ(Intrusion Monitor)] の理由は、[イベントの生成(Generate Events)] に設定された侵入ルールが検出されたが、接続時にエクスプロイトをブロックしなかったことを示しています。この例では、これはアプリケーションが検出される前に発生しました。アプリケーションが検出された後、IAB は、アプリケーションがバイパス可能であると認識し、フローを信頼しました。
接続イベントに基づいて長期的な IAB の統計情報を表示するカスタム分析ダッシュボード ウィジェットを作成できます。ウィジェットを作成する際には、次の項目を指定します。
– IAB が接続をバイパスした(IAB Bypassed Connections)
– IAB Would Bypass Connections
次のカスタム分析ダッシュボード ウィジェットの例では、次のようになっています。
- 「 Bypassed 」の例は、アプリケーションがバイパス可能として指定され、IAB が展開済みのアクセス コントロール ポリシーにおいてバイパス モードで有効になっているためにバイパスされたアプリケーション トラフィックの統計を示しています。
- Would Have Bypassed の例では、アプリケーションがバイパス可能と指定されており、展開されているアクセス コントロール ポリシーでは IAB がテスト モードで有効にされているため、バイパスされたであろうアプリケーション トラフィックの統計情報が表示されています。
接続イベントに基づいて長期的な IAB の統計情報を表示するカスタム レポートを作成できます。レポートを作成する際には、次の項目を指定します。
- テーブル(Table): アプリケーションの統計(Application Statistics)
- プリセット(Preset) :
None - フィルタ(Filter) :
any - X 軸(X-Axis) :
any - Y 軸(Y-Axis) :次のいずれか
– IAB が接続をバイパスした(IAB Bypassed Connections)
– IAB が接続をバイパスすることが予想された(IAB Would Bypass Connections)
- Bypassed の例では、アプリケーションがバイパス可能と指定されており、展開されているアクセス コントロール ポリシーでは IAB がバイパス モードで有効にされているため、バイパスされたアプリケーション トラフィックの統計情報が表示されています。 Would Have Bypassed の例では、アプリケーションがバイパス可能と指定されており、展開されているアクセス コントロール ポリシーでは IAB がテスト モードで有効にされているため、バイパスされたであろうアプリケーション トラフィックの統計情報が表示されています。
フィードバック