Firepower Management Center バージョン 6.2 コンフィギュレーション ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Firepower Management Center バージョン 6.2 コンフィギュレーション ガイド

Chapter Title

インテリジェント アプリケーション バイパス

検索結果

Updated:
2018年10月10日

章のタイトル: インテリジェント アプリケーション バイパス

インテリジェント アプリケーション バイパス

次のトピックでは、インテリジェント アプリケーション バイパス(IAB)を使用するようアクセス コントロール ポリシーを設定する方法について説明します。

IAB の概要

IAB は、パフォーマンスとフローのしきい値を超過した場合に追加のインスペクションなしでネットワークを通過する信頼されるアプリケーションを特定します。たとえば、毎晩のバックアップがシステム パフォーマンスに大きく影響する場合、しきい値を超えてもバックアップ アプリケーションが生成したトラフィックを信頼するように設定できます。オプションで、インスペクション パフォーマンスしきい値を超過したときに、IAB が、いずれかのフロー バイパスしきい値を超えるすべてのトラフィックをアプリケーションのタイプに関係なく信頼するように IAB を設定できます。このオプションには、バージョン 6.2.0.1 または後続の 6.2.0.x パッチが必要です。

IAB は、アクセス コントロール ルールまたはアクセス コントロール ポリシーのデフォルト アクションによって許可されるトラフィックに対し、トラフィックが詳細なインスペクションの対象となる前に実行されます。テスト モードでは、しきい値を超過しているかどうか判断することと、しきい値を超過している場合、IAB を実際に有効化している状態(バイパス モードといいます)であればバイパスされたであろうアプリケーション フローを特定することが可能です。

次の図は、IAB の決定プロセスを示します。



IAB オプション

状態

IAB を有効または無効にします。

パフォーマンス サンプル インターバル(Performance Sample Interval)

システムが IAB パフォーマンスしきい値との比較のためにシステム パフォーマンス メトリックを収集する IAB パフォーマンス サンプリング スキャンの間隔を秒単位で指定します。値を 0 にすると、IAB が無効になります。

バイパス可能なアプリケーションとフィルタ(Bypassable Applications and Filters)

この機能には、相互に排他的な、次の 2 つのオプションがあります。

アプリケーション/フィルタ(Applications/Filters)
バイパス可能なアプリケーションおよびアプリケーション(フィルタ)のセットを指定できるエディタが提供されます。アプリケーション条件(アプリケーション制御)を参照してください。
未確認アプリケーションを含むすべてのアプリケーション
インスペクション パフォーマンスしきい値を超過すると、アプリケーションのタイプに関係なく、いずれかのフロー バイパスしきい値を超過するすべてのトラフィックを信頼します。このオプションを使用するにはバージョン 6.2.0.1 またはそれ以降の 6.2.0.x パッチが必要です。

パフォーマンスおよびフローのしきい値

少なくとも 1 つのインスペクション パフォーマンスしきい値と 1 つのフロー バイパスしきい値を設定する必要があります。パフォーマンスしきい値を超えていると、システムはフローしきい値を調べ、1 つのしきい値を超えていた場合は、指定されたトラフィックを信頼します。いずれかの複数のものを有効にする場合は、それぞれ 1 つしか超過できません。

インスペクション パフォーマンスしきい値は、侵入インスペクションのパフォーマンスの限界を定めるもので、この限界を超えると、フローしきい値のインスペクションがトリガーされます。IAB は、0 に設定されている検査パフォーマンスしきい値を使用しません。次の 1 つまたは複数のインスペクション パフォーマンスしきい値を設定できます。

ドロップ率(Drop Percentage)

高価な侵入ルール、ファイル ポリシー、圧縮解除などによるパフォーマンスのオーバーロードのためにパケットがドロップされたときの、パケット全体に対する割合としてドロップされた平均パケット数。これは、侵入ルールなどの通常の設定によってドロップされたパケットを参照するものではありません。1 より大きい整数を指定すると、指定された割合のパケットがドロップされると IAB がアクティブになることに注意してください。1 を指定すると、0 ~ 1 の任意の割合によって IAB がアクティブになります。これにより、少数のパケットで IAB をアクティブにすることができます。

プロセッサ使用率(Processor Utilization Percentage)

使用されたプロセッサ リソースの平均比率。

パッケージ遅延(Package Latency)

マイクロ秒単位の平均パケット遅延。

フロー レート(Flow Rate)

1 秒あたりのフロー数で測定される、システムによるフロー処理率。このオプションでは、IAB は、フローを件数ではなくレートで測定するように設定されることに注意が必要です。

フロー バイパスしきい値はフローの限界を定めるもので、この限界を超えると、IAB は、バイパス モードではバイパス可能なアプリケーションを信頼し、テスト モードでは、アプリケーション トラフィックを許可してさらなるインスペクションの対象にします。IAB は、0 に設定されているフロー バイパスしきい値を使用しません。次の 1 つまたは複数のフロー バイパスしきい値を設定できます。

フローあたりのバイト数(Bytes per Flow)

フローに含めることができる最大キロバイト数。

フローあたりのパケット数(Packets per Flow)

フローに含めることができる最大パケット数。

フロー継続時間(Flow Duration)

フローを開いたままにできる最大秒数。

フロー速度(Flow Velocity)

最大転送速度(KB/秒)。

IAB の設定

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス

任意(Any)

Control

任意(Any)

任意(Any)

Admin
Access Admin
Network Admin


注意    

すべての展開に IAB が必要なわけではありません。IAB を使用する展開では、限定的な方法で IAB を使用する場合があります。ネットワーク トラフィック、特にアプリケーション トラフィックと、予測可能なパフォーマンスの問題の原因を含むシステム パフォーマンスの専門知識がない場合は、IAB を有効にしないでください。バイパス モードで IAB を実行する前に、指定したトラフィックを信頼してもリスクが発生しないことを確認します。

手順

ステップ 1

アクセス コントロール ポリシー エディタで [詳細(Advanced)] タブをクリックし、[インテリジェント アプリケーション バイパス設定(Intelligent Application Bypass Settings)] の横にある編集アイコン()をクリックします。

代わりに表示アイコン()が表示される場合、設定は先祖ポリシーから継承され、設定を変更する権限がありません。設定がロック解除されている場合は、[ベース ポリシーから継承する(Inherit from base policy)] をオフにして、編集を有効にします。
ステップ 2

IAB のオプションを設定します。

  • [状態(State)]:IAB を [オフ(Off)] または [オン(On)]、あるいは [テスト(Test)] モードで有効にします。
  • [パフォーマンス サンプル間隔(Performance Sample Interval)]:IAB のパフォーマンス サンプリング スキャン間の時間を秒単位で入力します。IAB を有効にした場合は、テスト モードであっても、ゼロ以外の値を入力します。0 を入力すると、IAB は無効になります。
  • バイパス可能なアプリケーションとフィルタ(Bypassable Applications and Filters):次のいずれかを実行します。

    • バイパスされるアプリケーションとフィルタの数をクリックし、トラフィックをバイパスするアプリケーションを指定します。アプリケーション条件とフィルタの設定を参照してください。

    • [未確認アプリケーションを含むすべてのアプリケーション(All applications including unidentified applications)] をクリックし、インスペクション パフォーマンスしきい値を超過したときに、IAB が、いずれかのフロー バイパスしきい値を超えるすべてのトラフィックをアプリケーションのタイプに関係なく信頼するように設定します。このオプションを使用するにはバージョン 6.2.0.1 またはそれ以降の 6.2.0.x パッチが必要です。

  • [インスペクション パフォーマンスしきい値(Inspection Performance Thresholds)]:[設定(Configure)] をクリックし、1 つ以上のしきい値を入力します。
  • [フロー バイパスしきい値(Flow Bypass Thresholds)]:[設定(Configure)] をクリックし、1 つ以上のしきい値を入力します。

少なくとも 1 つのインスペクション パフォーマンスしきい値と 1 つのフロー バイパスしきい値を指定する必要があります。IAB がトラフィックを信頼するには、両方を超過する必要があります。各タイプのしきい値を複数入力した場合は、各タイプの 1 つのみを超過する必要があります。詳細については、IAB オプションを参照してください。

ステップ 3

[OK] をクリックして IAB 設定を保存します。

ステップ 4

[保存(Save)] をクリックしてポリシーを保存します。

次のタスク

IAB のロギングと分析

IAB は、接続ロギングを有効にしたかどうかを問わず、バイパスされたフローやバイパスされることが予想されるフローをロギングする接続終了イベントを強制します。接続イベントは、バイパス モードでバイパスされたフロー、またはテスト モードでバイパスされることが予想されるフローを示します。接続イベントに基づいたカスタムのダッシュボード ウィジェットやレポートでは、バイパスされたフローおよびバイパスされることが予想されるフローの長期的な統計情報を表示できます。

IAB の接続イベント

アクション(Action)

[理由(Reason)] に [インテリジェント アプリケーション バイパス(Intelligent App Bypass)] が含まれる場合:

許可(Allow):

適用された IAB 設定がテスト モードであり、[アプリケーション プロトコル(Application Protocol)] によって指定されたアプリケーションのトラフィックが、インスペクション用に使用可能のままであることを示します。

信頼する(Trust):

適用された IAB 設定がバイパス モードであり、[アプリケーション プロトコル(Application Protocol)] によって指定されたアプリケーションのトラフィックが信頼されているため、それ以上インスペクションが行われずにネットワークを通過することを示します。

理由(Reason)

[インテリジェント アプリケーション バイパス(Intelligent App Bypass)] は、IAB がバイパス モードまたはテスト モードでイベントをトリガーしたことを示します。

アプリケーション プロトコル(Application Protocol)

このフィールドには、イベントをトリガーしたアプリケーション プロトコルが表示されます。

次の省略された図では、一部のフィールドが省かれています。図は、2 つの別個のアクセス コントロール ポリシーの異なる IAB 設定から生成された 2 つの接続イベントの [アクション(Action)]、[理由(Reason)]、および [アプリケーション プロトコル(Application Protocol)] フィールドを示しています。

最初のイベントの場合、[信頼する(Trust)] アクションは、IAB がバイパス モードで有効にされており、Bonjour プロトコル トラフィックが信頼されているため、それ以上インスペクションが行われずに受け渡されることを示します。

2 番目のイベントの場合、[許可(Allow)] アクションは、IAB がテスト モードで有効にされているため、Ubuntu Update Manager トラフィックはさらにインスペクションが行われる必要がありますが、IAB がバイパス モードであればバイパスされることが予想されることを示します。


相関イベント ビューで 3 つの列と 2 つの行を示す図。最初のイベントの行の列は、[アクション(Action)]:[信頼する(Trust)]、[理由(Reason)]:[インテリジェント アプリケーション バイパス(Intelligent App Bypass)]、[アプリケーション プロトコル(Application Protocol)]:[Bonjour] となっています。2 番目のイベントの行の列は、[アクション(Action)]:[許可(Allow)]、[理由(Reason)]:[インテリジェント アプリケーション バイパス(Intelligent App Bypass)]、[アプリケーション プロトコル(Application Protocol)]:[Ubuntu Update Manager] となっています。

次の省略された図では、一部のフィールドが省かれています。2 番目のイベントのフローは両方とも([アクション(Action)]:[信頼する(Trust)]、[理由(Reason)]:[インテリジェント アプリケーション バイパス(Intelligent App Bypass)])をバイパスし、侵入ルール([理由(Reason)]:[侵入モニタ(Intrusion Monitor)])によって検査されました。[侵入モニタ(Intrusion Monitor)] の理由は、[イベントの生成(Generate Events)] に設定された侵入ルールが検出されたが、接続時にエクスプロイトをブロックしなかったことを示しています。この例では、これはアプリケーションが検出される前に発生しました。アプリケーションが検出された後、IAB は、アプリケーションがバイパス可能であると認識し、フローを信頼しました。


相関イベント ビューで 4 つの列と 2 つの行を示す図。最初のイベントの行は、例には関係ありません。2 番目のイベントの列は、[最後のパケット(Last Packet)]:タイムスタンプの表示、[アクション(Action)]:[信頼する(Trust)]、[理由(Reason)]:[インテリジェント アプリケーション バイパス(Intelligent App Bypass)] と [侵入モニタ(Intrusion Monitor)] という一見非論理的のように見える 2 つの理由の組み合わせ、[アプリケーション プロトコル(Application Protocol)]:[HTTP] となっています。

IAB のカスタム ダッシュボード ウィジェット

接続イベントに基づいて長期的な IAB の統計情報を表示するカスタム分析ダッシュボード ウィジェットを作成できます。ウィジェットを作成する際には、次の項目を指定します。

  • プリセット(Preset):なし(None)

  • テーブル(Table):アプリケーションの統計(Application Statistics)

  • フィールド(Field):任意(any)

  • 集約(Aggregate):次のいずれか

    • IAB が接続をバイパスした(IAB Bypassed Connections)

    • IAB が接続をバイパスすることが予想された(IAB Would Bypass Connections)

  • フィールド(Field):任意(any)

次のカスタム分析ダッシュボード ウィジェットの例では、次のようになっています。

  • Bypassed」の例は、アプリケーションがバイパス可能として指定され、IAB が展開済みのアクセス コントロール ポリシーにおいてバイパス モードで有効になっているためにバイパスされたアプリケーション トラフィックの統計を示しています。

  • Would Have Bypassed」の例は、アプリケーションがバイパス可能として指定され、IAB が展開済みのアクセス コントロール ポリシーにおいてテスト モードで有効になっているためにバイパスされることが予想されたアプリケーション トラフィックの統計を示しています。.


2 つの同一のカスタム分析ウィジェット。一方では [集約(Aggregate)] フィールドの選択が、バイパスされたトラフィック情報を表示するように設定されたウィジェットに対して [IAB が接続をバイパスした(IAB Bypassed Connections)] となっており、他方では [集約(Aggregate)] フィールドの選択が、テスト モード用に設定されたウィジェットに対して [IAB が接続をバイパスすることが予想された(IAB Would Bypass Connections)] となっています。

IAB のカスタム レポート

接続イベントに基づいて長期的な IAB の統計情報を表示するカスタム レポートを作成できます。レポートを作成する際には、次の項目を指定します。

  • テーブル(Table):アプリケーションの統計(Application Statistics)

  • プリセット(Preset):なし(None)

  • フィールド(Field):任意(any)

  • X 軸(X-Axis):任意(any)

  • Y 軸(Y-Axis):以下のいずれか

    • IAB が接続をバイパスした(IAB Bypassed Connections)

    • IAB が接続をバイパスすることが予想された(IAB Would Bypass Connections)

次の図は、2 つのレポートの例の抜粋を示します。

  • Bypassed」の例は、アプリケーションがバイパス可能として指定され、IAB が展開済みのアクセス コントロール ポリシーにおいてバイパス モードで有効になっているためにバイパスされたアプリケーション トラフィックの統計を示しています。

  • Would Have Bypassed」の例は、アプリケーションがバイパス可能として指定され、IAB が展開済みのアクセス コントロール ポリシーにおいてテスト モードで有効になっているためにバイパスされることが予想されたアプリケーション トラフィックの統計を示しています。


2 つの、ほぼ同じレポート。いずれも、[テーブル(Table)] フィールドに選択されている値は「Application Statistics」、[X 軸(X-Axis)] に選択されている値は「Application」です。ただし、[Y 軸(Y-Axis)] フィールドの選択は、バイパスされたトラフィック情報を表示するように設定されたレポートに対して [IAB が接続をバイパスした(IAB Bypassed Connections)] となっており、他方では [Y 軸(Y-Axis)] フィールドの選択が、テスト モード用に設定されたウィジェットに対して [IAB が接続をバイパスすることが予想された(IAB Would Bypass Connections)] となっています。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ