Firepower Management Center バージョン 6.2 コンフィギュレーションガイド

ルール条件タイプ

次の表は、この章に記述している一般的なルールの条件について説明し、使用設定を列挙します。


条件	トラフィック制御方法	対応しているルール/設定
インターフェイス条件	送信元インターフェイスと宛先インターフェイス、対応している場合にはトンネルゾーン	アクセスコントロールルールトンネルルールプレフィルタルール SSL ルール DNS ルールアイデンティティルールネットワーク分析ルール QoS ルール
ネットワーク条件	送信元 IP アドレスと宛先 IP アドレス、対応している場合には地理的な場所や発信側のクライアント	アクセスコントロールルールプレフィルタルール SSL ルール DNS ルールアイデンティティルールネットワーク分析ルール QoS ルール
トンネルエンドポイント条件	プレーンテキスト用、送信元のトンネルエンドポインと宛先のトンネルエンドポイント、パススルートンネル	トンネルルール
VLAN 条件	VLAN タグ	アクセスコントロールルールトンネルルールプレフィルタルール SSL ルール DNS ルールアイデンティティルールネットワーク分析ルール
ポートおよび ICMP コードの条件	送信元ポート、宛先ポート、プロトコル、ICMP コード	アクセスコントロールルールプレフィルタルール SSL ルールアイデンティティルール QoS ルール
カプセル化の条件	カプセル化プロトコル（非暗号化）	トンネルルール
アプリケーション条件（アプリケーション制御）	アプリケーションまたはアプリケーション特性（タイプ、リスク、ビジネスの関連性、カテゴリ、タグ）	アクセスコントロールルール SSL ルールアイデンティティルール QoS ルールアプリケーションフィルタインテリジェントアプリケーションバイパス（IAB）
URL 条件（URL フィルタリング）	URL、対応している場合には、URL の特性（カテゴリおよびレピュテーション）	アクセスコントロールルール SSL ルール QoS ルール
ユーザ条件、レルム条件、および ISE 属性条件（ユーザ制御）	ホストのログイン権限のあるユーザまたはそのユーザのレルム、グループ、または ISE 属性	アクセスコントロールルール SSL ルール（ISE 属性なし） QoS ルール
カスタム SGT 条件	カスタムセキュリティグループタグ（SGT）	アクセスコントロールルール

ルール条件の仕組み

ルール条件では、各ルールで処理するトラフィックを指定します。各ルールに複数の条件を設定し、トラフィックがルールに一致するにはすべての条件を満たす必要があります。使用可能な条件タイプは、ルールタイプによって異なります。

ルールエディタには、条件タイプごとに独自のタブがあります。一致させるトラフィック特性を選択して条件を作成します。一般に、左側の使用可能な項目のリスト（1 つまたは 2 つ）から基準を選択し、それらの基準を右側の選択済み項目のリスト（1 つまたは 2 つ）に追加します。たとえば、アクセスコントロールルールの URL 条件では、URL カテゴリとレピュテーション基準を組み合わせて、ブロックする Web サイトのグループを 1 つ作成できます。

条件を作成しやすくするために、レルム、ISE 属性、さまざまなタイプのオブジェクトやオブジェクトグループなど、さまざまなシステム提供の構成やカスタム構成を使用して、トラフィックを照合できます。多くの場合、ルール基準は手動で指定できます。

送信元と宛先の基準

ルールに送信元と宛先の基準（ゾーン、ネットワーク、ポート）が含まれる場合、通常は一方または両方の基準を制約として使用できます。両方を使用する場合、一致するトラフィックの発信元は、指定した送信元のゾーン、ネットワーク、またはポートのいずれかであり、宛先のゾーン、ネットワーク、またはポートのいずれかから送出される必要があります。

条件ごとの項目

最大 50 個の項目を各条件に追加できます。送信元と宛先の基準を含むルールでは、それぞれ最大 50 個使用できます。選択した項目のいずれかに一致するトラフィックが条件に一致します。

単純なルールの仕組み

ルールエディタには、次の一般的な選択肢があります。条件の作成の詳細な手順については、各条件タイプのトピックを参照してください。

項目の選択（Choose Item）：項目をクリックするか、そのチェックボックスにマークを付けます。多くの場合、Ctrl または Shift キーを使用して複数の項目を選択するか、右クリックして [すべて選択（Select All）] を選択できます。
検索（Search）：検索フィールドに基準を入力します。入力するとリストが更新されます。項目名が検索され、オブジェクトとオブジェクトグループについては、その値が検索されます。リロード（）またはクリア（）をクリックして検索をクリアします。
事前定義された項目の追加（Add Predefined Item）：1 つ以上の使用可能な項目を選択し、[追加（Add）] ボタンをクリックするか、ドラッグアンドドロップします。無効な項目（重複、無効な組み合わせなど）は追加できません。
手動項目の追加（Add Manual Item）：[選択済み（Selected）] 項目リストの下のフィールドをクリックし、有効な値を入力して [追加（Add）] をクリックします。ポートを追加すると、ドロップダウンリストからプロトコルも選択できます。
オブジェクトの作成（Create Object）：追加アイコン（）をクリックし、作成する条件ですぐに使用できる新しい再利用可能オブジェクトを作成し、オブジェクトマネージャで管理できます。この方法を使用してアプリケーションフィルタをその場で追加した場合、別のユーザ作成フィルタが含まれるフィルタを保存することはできません。
削除（Delete）：項目の削除アイコン（）をクリックするか、1 つ以上の項目を選択し、右クリックして [選択項目の削除（Delete Selected）] を選択します。

インターフェイス条件

インターフェイスルールの条件は送信元インターフェイスと宛先インターフェイスによってトラフィックを制御します。

ルールタイプと導入環境でのデバイスにより、セキュリティゾーンやインターフェイスグループと呼ばれる定義済みのインターフェイスオブジェクトを使用してインターフェイス条件を構築できます。インターフェイスオブジェクトはネットワークをセグメント化して複数のデバイス間でインターフェイスをグループ化することによってトラフィックフローを制御し、分類しやすくします。インターフェイスオブジェクト：インターフェイスグループとセキュリティゾーンを参照してください。

ヒント

インターフェイスによってルールを制約するのは、システムパフォーマンスを改善するための最適な方法の 1 つです。ルールがデバイスのすべてのインターフェイスを除外する場合、そのルールはそのデバイスのパフォーマンスに影響しません。

インターフェイスオブジェクト内のすべてのインターフェイスが同じタイプ（すべてインライン、パッシブ、スイッチド、ルーテッド、または ASA FirePOWER）である必要があるのと同様に、インターフェイス条件で使用されているすべてのインターフェイスオブジェクトは同じタイプである必要があります。パッシブに展開されたデバイスはトラフィックを送信しないため、パッシブ展開では宛先インターフェイスでルールを制約することはできません。

トンネルゾーンとセキュリティゾーン

一部の設定では、セキュリティゾーンの代わりにトンネルゾーンを使用してインターフェイス条件を制約できます。トンネルゾーンではプレフィルタを使用して、カプセル化された接続の特定のタイプに合わせて後続のトラフィック処理を調整できます。

（注）

トンネルゾーンの制約がサポートされる設定の場合、再区分された接続、つまり割り当てられたトンネルゾーンを持つ接続はセキュリティゾーンの制約と一致しません。詳細については、トンネルゾーンおよびプレフィルタリングを参照してください。

インターフェイス条件を持つルール


ルールタイプ	セキュリティゾーンのサポート	トンネルゾーンのサポート	インターフェイスグループのサポート
アクセスコントロール	Yes	Yes	No
トンネルとプレフィルタ	Yes	該当なし。プレフィルタポリシー内でトンネルゾーンを割り当てます	Yes
SSL	Yes	No	No
DNS（送信元のみ）	Yes	No	No
ID（Identity）	Yes	No	No
ネットワーク分析	Yes	No	No
QoS（ルーテッドのみ、必須）	Yes	No	Yes

例：セキュリティゾーンを使用したアクセス制御

たとえば、ホストがインターネットに無制限でアクセスできるような導入にする一方、着信トラフィックで侵入およびマルウェアの有無を検査することでホストを保護したいとします。

それにはまず、内部ゾーンと外部ゾーンという 2 つのセキュリティゾーンを作成します。次に、これらのゾーンに 1 つ以上のデバイス上のインターフェイスペアを割り当て、各ペアの一方のインターフェイスを内部ゾーンに割り当て、もう一方のインターフェイスを外部ゾーンに割り当てます。内部側のネットワークに接続されたホストは、保護されている資産を表します。

（注）

内部（または外部）のすべてのインターフェイスを 1 つのゾーンにグループ化する必要はありません。導入ポリシーおよびセキュリティポリシーが意味をなすグループ化を選択します。

次に、宛先ゾーン条件を内部に設定したアクセスコントロールルールを構成します。この単純なルールでは、内部ゾーンのいずれかのインターフェイスでデバイスから出力されるトラフィックが照合されます。一致するトラフィックを侵入やマルウェアについて検査するには、ルールアクションとして [許可（Allow）] を選択し、そのルールを侵入ポリシーとファイルポリシーに関連付けます。

インターフェイス条件の設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Access Admin/Network Admin

始める前に

（アクセスコントロールのみ）セキュリティゾーンではなくトンネルゾーンによってトラフィックを制約する場合は、関連付けられたプレフィルタポリシーがそれらのゾーンを割り当てるようにします。アクセス制御への他のポリシーの関連付けを参照してください。

手順

ステップ 1	ルールエディタで、インターフェイス条件のタブをクリックします。インターフェイスグループおよびセキュリティゾーン（トンネル、プレフィルタ、QoS）：[インターフェイスオブジェクト（Interface Objects）] タブをクリックします。セキュリティゾーン（アクセスコントロール、SSL、DNS、アイデンティティ、ネットワーク分析）：[ゾーン（Zones）] タブをクリックします。トンネルゾーン（アクセスコントロール）：[ゾーン（Zones）] タブをクリックします。
ステップ 2	[使用可能なインターフェイスオブジェクト（Available Interface Objects）] または [利用可能なゾーン（Available Zones）] リストから追加するインターフェイスを見つけて選択します。（アクセスコントロールのみ）再ゾーン分割されたトンネルでの接続を一致させるには、セキュリティゾーンではなくトンネルゾーンを選択します。同じルールでトンネルゾーンとセキュリティゾーンを使用することはできません。詳細については、トンネルゾーンおよびプレフィルタリングを参照してください。
ステップ 3	[送信元に追加（Add to Source）] または [宛先に追加（Add to Destination）] をクリックするか、またはドラッグアンドドロップします。
ステップ 4	ルールを保存するか、編集を続けます。

次のタスク

（アクセスコントロールのみ）プレフィルタ中にトンネルを再ゾーン分割した場合、完全なカバレッジを確保する必要がある場合は追加のルールを設定します。再ゾーン分割されたトンネルでの接続は、セキュリティゾーン制約があるルールに一致しません。詳細については、トンネルゾーンの使用を参照してください。
設定変更を展開します。設定変更の展開を参照してください。

ネットワーク条件

ネットワークルールの条件では、内部ヘッダーを使用して、送信元と宛先の IP アドレスを基準にトラフィックを制御します。外部ヘッダーを使用するトンネルルールでは、ネットワーク条件の代わりにトンネルエンドポイント条件を使用します。

事前定義されたオブジェクトを使用してネットワーク条件を作成することも、個々の IP アドレスまたはアドレスブロックを手動で指定することもできます。

（注）

システムは、各リーフドメインに個別のネットワークマップを作成します。マルチドメイン展開では、実際の IP アドレスを使用してこの設定を抑制すると、予期しない結果になる可能性があります。上書き対応オブジェクトを使用すると、子孫ドメインの管理者は、グローバルコンフィギュレーションを自分のローカル環境に調整できます。

ネットワーク条件での地理位置情報

ルールによっては、送信元または宛先の地理的位置を使用してトラフィックを照合することもできます。ルールのタイプが地理位置情報をサポートするものであれば、ネットワーク条件と地理位置情報条件を混在させることができます。トラフィックのフィルタリングに最新の地理位置情報データが使用されるよう、地理位置情報データベース（GeoDB）を定期的に更新することを強くお勧めします。

ネットワーク条件での元のクライアント（プロキシトラフィックのフィルタリング）

一部のルールでは、発信元クライアントに基づいてプロキシトラフィックを処理できます。送信元ネットワーク条件を使用してプロキシサーバを指定し、次に元のクライアント制約を追加して元のクライアント IP アドレスを指定します。システムはパケットの X-Forwarded-For（XFF）、True-Client-IP、またはカスタム定義 HTTP ヘッダーフィールドを使用して、元のクライアント IP を判別します。

プロキシの IP アドレスがルールの送信元ネットワークの制約と一致する場合、トラフィックはルールに一致し、元のクライアントの IP アドレスは、ルールの元のクライアント制約に一致します。たとえば、特定の元のクライアントアドレスからのトラフィックを許可するものの、それが特定のプロキシを使用している場合のみに限定するには、以下の 3 つのアクセスコントロールルールを作成します。

アクセスコントロールルール 1：特定の IP アドレス（209.165.201.1）からの非プロキシトラフィックをブロックします。

送信元ネットワーク：209.165.201.1
元のクライアントのネットワーク：なしまたは any
アクション：ブロック

アクセスコントロールルール 2：同じ IP アドレスからのプロキシトラフィックを許可します。ただし、そのトラフィックのプロキシサーバが、選択したもの（209.165.200.225 または 209.165.200.238）である場合に限ります。

送信元ネットワーク：209.165.200.225 および 209.165.200.238
元のクライアントのネットワーク：209.165.201.1
アクション：許可

アクセスコントロールルール 3：同じ IP アドレスからのプロキシトラフィックを、それが他のプロキシサーバを使用する場合はブロックします。

送信元ネットワーク：any
元のクライアントのネットワーク：209.165.201.1
アクション：ブロック

ネットワーク条件を使用したルール


ルールタイプ	地理位置情報による制約のサポート	元のクライアントによる制約のサポート
アクセスコントロール	Yes	Yes
プレフィルタ	No	No
SSL	Yes	No
DNS（送信元ネットワークのみ）	No	No
ID（Identity）	Yes	No
ネットワーク分析	No	No
QoS	Yes	No

ネットワーク条件の設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Access Admin/Network Admin

手順

ステップ 1

ルールエディタで、[ネットワーク（Networks）] タブをクリックします。

ステップ 2

[利用可能なネットワーク（Available Networks）] リストから追加する定義済みネットワークを見つけて選択します。

ルールが地理位置情報をサポートしている場合は、ネットワークと地理位置情報の基準を同じルールに混在させることができます。

[ネットワーク（Networks）]：[ネットワーク（Networks）] サブタブをクリックして、ネットワークを選択します。
[地理位置情報（Geolocation）]：[地理位置情報（Geolocation）] サブタブをクリックして、地理位置情報オブジェクトを選択します。

ステップ 3

（オプション）ルールが元のクライアント制約をサポートしている場合は、[送信元ネットワーク（Source Networks）] で、プロキシされたトラフィックを元のクライアントに基づいて処理するようにルールを設定します。

[送信元/プロキシ（Source/Proxy）]：[送信元（Source）] サブタブをクリックして、プロキシサーバを指定します。
[元のクライアント（Original Client）]：[元のクライアント（Original Client）] サブタブをクリックして、ネットワークを元のクライアント制約として追加します。プロキシ接続では、元のクライアントの IP アドレスは、ルールに一致するネットワークの 1 つと一致する必要があります。

ステップ 4

[送信元に追加（Add to Source）]、[元のクライアントに追加（Add to Original Client）]、または [宛先に追加（Add to Destination）] をクリックするか、またはドラッグアンドドロップします。

ステップ 5

手動で指定するネットワークを追加します。送信元、元のクライアント、または宛先 IP アドレスかアドレスブロックを入力し、[追加（Add）] をクリックします。

（注）

ステップ 6

ルールを保存するか、編集を続けます。

例：アクセス制御ルールのネットワーク条件

次の図は、内部ネットワークから発生し、北朝鮮または 93.184.216.119（example.com）のリソースにアクセスしようとする接続をブロックするアクセス制御ルールのネットワーク条件を示しています。

サンプルネットワーク条件のスクリーンショット

この例で、「Private Networks」と呼ばれるネットワークオブジェクトグループ（図に示されていない IPv4 および IPv6 プライベートネットワークのネットワークオブジェクトから構成されます）は、内部ネットワークを表します。また、example.com の IP アドレスを手動で指定し、システムが提供する北朝鮮の位置情報オブジェクトを使用して北朝鮮の IP アドレスを表しています。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

トンネルエンドポイント条件

トンネルエンドポイント条件は、トンネルルールに固有のものです。この条件は、他のルールタイプのネットワーク条件と似ています。

トンネルエンドポイント条件は、特定のタイプのプレーンテキスト、パススルートンネル（カプセル化の条件を参照）を制御します。この制御は、それらの送信元と宛先の IP アドレスによって、外側のカプセル化ヘッダーを使用して行います。これらは、トンネルエンドポイントの IP アドレス、つまり、トンネルのいずれかの側のネットワークデバイスのルーテッドインターフェイスです。

トンネルルールはデフォルトでは双方向で、送信元エンドポイントのいずれかと宛先エンドポイントのいずれかとの間の一致するすべてのトンネルを処理します。ただし、送信元から宛先へのトラフィックのみに一致する単方向トンネルルールを設定できます。トンネルとプレフィルタルールのコンポーネントを参照してください。

事前定義済みのネットワークオブジェクトを使用してトンネルエンドポイント条件を作成したり、個々の IP アドレスまたはアドレスブロックを手動で指定したりできます。

（注）

トンネルエンドポイント条件の設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	該当なし	Firepower Threat Defense	任意（Any）	Admin/Access Admin/Network Admin

手順

ステップ 1

ルールエディタで、[トンネルエンドポイント（Tunnel Endpoints）] タブをクリックします。

ステップ 2

[利用可能なトンネルエンドポイント（Available Tunnel Endpoints）] リストから追加する定義済みネットワークを見つけて選択します。

トンネルエンドポイントは、トンネルの両側にあるネットワークデバイスのルーテッドインターフェイスの IP アドレスであるため、ネットワークオブジェクトを使用してトンネルエンドポイント条件を作成できます。

ステップ 3

[送信元に追加（Add to Source）] または [宛先に追加（Add to Destination）] をクリックするか、またはドラッグアンドドロップします。

トンネルルールはデフォルトでは双方向であるため、2 つのエンドポイント間のすべてのトラフィックを処理できます。ただし、送信元からのトンネルのみを照合するよう選択した場合、トンネルルールは、送信元から宛先へのトラフィックのみに一致します。

ステップ 4

手動で指定するエンドポイントを追加します。送信元か宛先の IP アドレス、またはアドレスブロックを入力し、[追加（Add）] をクリックします。

（注）

ステップ 5

ルールを保存するか、編集を続けます。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

VLAN 条件

VLAN ルール条件によって、VLAN タグ付きトラフィックが制御されます。システムでは、プレフィルタポリシー（そのルールで最も外側の VLAN タグを使用する）を除き、最も内側の VLAN タグを使用して VLAN トラフィックをフィルタ処理します。

事前定義のオブジェクトを使用して VLAN 条件を作成でき、また 1 ～ 4094 の VLAN タグを手動で入力することもできます。VLAN タグの範囲を指定するには、ハイフンを使用します。

（注）

システムは、各リーフドメインに個別のネットワークマップを作成します。マルチドメイン展開では、実際の VLAN タグを使用してこの設定を抑制すると、予期しない結果になる可能性があります。上書き対応オブジェクトを使用すると、子孫ドメインの管理者は、グローバルコンフィギュレーションを自分のローカル環境に調整できます。

VLAN 条件が含まれたルール

次のルールタイプでは、VLAN 条件がサポートされます。

アクセスコントロール
トンネルとプレフィルタ（最も外側の VLAN タグを使用）
SSL
DNS
ID（Identity）
ネットワーク分析

ポートおよび ICMP コードの条件

ポート条件を使用することで、トラフィックの送信元および宛先のポートに応じてそのトラフィックを制御できます。ルールのタイプによって、「ポート」は次のいずれかを表します。

TCP と UDP：TCP および UDP トラフィックは、トランスポート層プロトコルに基づいて制御できます。システムは、カッコ内に記載されたプロトコル番号 + オプションの関連ポートまたはポート範囲を使用してこの設定を表します。例：TCP(6)/22。
ICMP：ICMP および ICMPv6（IPv6 ICMP）トラフィックは、そのインターネット層プロトコルと、オプションでタイプおよびコードに基づいて制御できます。例：ICMP(1):3:3
ポートなし：ポートを使用しない他のプロトコルを使用してトラフィックを制御できます。

送信元と宛先ポートの制約の使用

送信元ポートと宛先ポートの両方を制約に追加する場合、単一のトランスポートプロトコル（TCP または UDP）を共有するポートのみを追加できます。たとえば、送信元ポートとして DNS over TCP を追加する場合は、宛先ポートとして Yahoo Messenger Voice Chat（TCP）を追加できますが、Yahoo Messenger Voice Chat（UDP）は追加できません。

送信元ポートのみ、あるいは宛先ポートのみを追加する場合は、異なるトランスポートプロトコルを使用するポートを追加できます。たとえば、DNS over TCP および DNS over UDP の両方を 1 つのアクセスコントロールルールの送信元ポート条件として追加できます。

ポート条件を使用した非 TCP トラフィックの照合

非 TCP トラフィックを照合するためのポート条件を設定することはできますが、いくつかの制約事項があります。

アクセスコントロールルール：クラシックデバイスの場合、GRE でカプセル化されたトラフィックをアクセスコントロールルールに照合するには、宛先ポート条件として GRE（47）プロトコルを使用します。GRE 制約ルールには、ネットワークベースの条件（ゾーン、IP アドレス、ポート、VLAN タグ）のみを追加できます。また、GRE 制約ルールが設定されたアクセスコントロールポリシーでは、システムが外側のヘッダーを使用してすべてのトラフィックを照合します。Firepower Threat Defense デバイスの場合、GRE でカプセル化されたトラフィックを制御するには、プレフィルタポリシーでトンネルルールを使用します。
SSL ルール：SSL ルールは TCP ポート条件のみをサポートします。

アイデンティティルール：システムは非 TCP トラフィックに対してアクティブ認証を適用できません。アイデンティティルールのアクションが [アクティブ認証（Active Authentication）] の場合、あるいは [パッシブ認証でユーザを識別できない場合はアクティブ認証を使用する（Use active authentication if passive authentication cannot identify user）] オプションをオンにする場合は、TCP ポート制約のみを使用してください。アイデンティティルールアクションが [パッシブ認証（Passive Authentication）] または [認証なし（No Authentication）] である場合、非 TCP トラフィックに基づいてポート条件を作成できます。

注意

SSL 復号が無効の場合（つまりアクセスコントロールポリシーに SSL ポリシーが含まれない場合）に、アクティブな最初の認証ルールを追加するか、アクティブな最後の認証ルールを削除すると設定の変更を展開する際に Snort プロセスが再起動され、一時的にトラフィックのインスペクションが中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲットデバイスがトラフィックを処理する方法に応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

アクティブ認証ルールには [アクティブ認証（Active Authentication）] ルールアクションが含まれているか、または [パッシブ認証でユーザを識別できない場合はアクティブ認証を使用する（Use active authentication if passive authentication cannot identify user）] が選択された [パッシブ認証（Passive Authentication）] ルールアクションが含まれています。

IMCP エコー：タイプ 0 が設定された宛先 ICMP ポート、またはタイプ 129 が設定された宛先 ICMPv6 ポートは、要求されていないエコー応答だけと照合されます。ICMP エコー要求への応答として送信される ICMP エコー応答は無視されます。ルールですべての ICMP エコーに一致させるには、ICMP タイプ 8 または ICMPv6 タイプ 128 を使用してください。

ポート条件を使用したルール

次のルールは、ポート条件をサポートします。

アクセスコントロール
プレフィルタ
SSL（TCP トラフィックのみをサポート）
アイデンティティ（アクティブ認証は TCP トラフィックのみをサポート）
QoS

ポート条件の設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Access Admin/Network Admin

手順

ステップ 1	ルールエディタで、[ポート（Ports）] タブをクリックします。
ステップ 2	[利用可能なポート（Available Ports）] リストから追加する定義済みポートを見つけて選択します。
ステップ 3	[送信元に追加（Add to Source）] または [宛先に追加（Add to Destination）] をクリックするか、またはドラッグアンドドロップします。
ステップ 4	手動で指定する送信元ポートまたは宛先ポートを追加します。 [送信元（Source）]：プロトコルを選択し、0 から 65535 までのポートを 1 つ入力して [追加（Add）] をクリックします。 [宛先（ICMP 以外）（Destination (non-ICMP)）]：プロトコルを選択または入力します。プロトコルを指定しない場合、または [TCP] か [UDP] を選択した場合は、0 から 65535 までのポートを 1 つ入力します。[追加（Add）] をクリックします。 [宛先（ICMP）（Destination (ICMP)）]：[プロトコル（Protocol）] ドロップダウンリストから [ICMP] または [IPv6-ICMP] を選択し、表示されるポップアップウィンドウでタイプおよび関連するコードを選択します。ICMP タイプとコードの詳細については、Internet Assigned Numbers Authority（IANA）の Web サイトを参照してください。
ステップ 5	ルールを保存するか、編集を続けます。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

カプセル化の条件

カプセル化の条件は、トンネルルールに固有です。

この条件では、カプセル化プロトコルによって特定のタイプのプレーンテキスト、パススルートンネルを制御します。ルールを保存する前に、一致するプロトコルを 1 つ以上選択する必要があります。次のオプションを選択できます。

GRE（47）
IP-in-IP（4）
IPv6-in-IP（41）
Teredo（UDP（17）/3455）

アプリケーション条件（アプリケーション制御）

システムは IP トラフィックを分析する際、ネットワークで一般的に使用されているアプリケーションを識別および分類できます。このディスカバリベースのアプリケーション認識は、アプリケーション制御、つまりアプリケーショントラフィック制御機能の基本です。

システム提供のアプリケーションフィルタは、アプリケーションの基本特性（タイプ、リスク、ビジネスとの関連性、カテゴリ、およびタグ）にしたがってアプリケーションを整理することで、アプリケーション制御に役立ちます。システム提供のフィルタの組み合わせやアプリケーションの任意の組み合わせをもとに、ユーザ定義の再利用可能フィルタを作成できます。

アプリケーションフィルタと個別に指定されたアプリケーションの両方を使用することで、完全なカバレッジを確保できます。

アプリケーション制御の一部として、コンテンツ規制を適用するアクセスコントロールルール（セーフサーチや YouTube EDU など）を使用することもできます。

アプリケーションフィルタの利点

アプリケーションフィルタにより、迅速にアプリケーション制御を設定できます。たとえば、システム提供のフィルタを使って、リスクが高く、ビジネスとの関連性が低いアプリケーションをすべて認識してブロックするアクセスコントロールルールを簡単に作成できます。ユーザがそれらのアプリケーションの 1 つを使用しようとすると、システムがセッションをブロックします。

アプリケーションフィルタを使用することで、ポリシーの作成と管理は簡単になります。この方法によりアプリケーショントラフィックが期待どおりに制御されます。シスコは、システムと脆弱性データベース（VDB）の更新を通して、頻繁にアプリケーションディテクタを更新しています。このため、アプリケーショントラフィックは常に最新のディテクタによってモニタされます。また、独自のディテクタを作成し、どのような特性のアプリケーションを検出するかを割り当て、既存のフィルタを自動的に追加することもできます。

アプリケーション条件の設定

次の表に示す設定を行い、アプリケーション制御を実行します。この表には、設定する内容により、アプリケーション制御にどのような制約を設けることができるかも示します。


設定（Configuration）	タイプ、リスク、関連性、カテゴリ	タグ	ユーザ定義のフィルタ	コンテンツ規制
アクセスコントロールルール	Yes	Yes	Yes	Yes
SSL ルール	Yes	No：SSL プロトコルタグによって、自動的に暗号化アプリケーショントラフィックに制約される	No	No
ID ルール（アクティブ認証からアプリケーションを免除）	Yes	No：ユーザエージェント除外タグによって、自動的に制約される	No	No
QoS ルール	Yes	Yes	Yes	No
オブジェクトマネージャ内のユーザ定義のアプリケーションフィルタ	Yes	Yes	No：ユーザ定義のフィルタのネストは不可	No
インテリジェントアプリケーションバイパス（IAB）	Yes	Yes	Yes	No

アプリケーション条件とフィルタの設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	Control	任意（Any）	任意（Any）	Admin/Access Admin/Network Admin

アプリケーションの条件またはフィルタを作成するには、使用可能なアプリケーションのリストから、トラフィックを制御するアプリケーションを選択します。オプションとして（推奨）、フィルタを使用して使用可能なアプリケーションを抑制します。フィルタと個別に指定されたアプリケーションを同じ条件で使用できます。

始める前に

アクセス制御ルールでアプリケーション制御を実行するためには、適応型プロファイルの設定で説明されているように、アダプティブプロファイルを有効（デフォルト状態）にする必要があります。

手順

ステップ 1

ルールエディタまたは設定エディタを起動します。

アクセスコントロール、SSL、QoS ルール条件：ルールエディタで [アプリケーション（Applications）] タブをクリックします。
アイデンティティルール条件：ルールエディタで [レルムおよび設定（Realms & Settings）] タブをクリックし、アクティブ認証を有効にします。アイデンティティルールの作成を参照してください。
アプリケーションフィルタ：オブジェクトマネージャの [アプリケーションフィルタ（Application Filters）] ページで、アプリケーションフィルタを追加または編集します。フィルタの一意の名前を指定します。
インテリジェントアプリケーションバイパス（IAB）：アクセスコントロールポリシーエディタで [詳細（Advanced）] タブをクリックし、IAB の設定を編集して、[バイパス可能なアプリケーションおよびフィルタ（Bypassable Applications and Filters）] をクリックします。

ステップ 2

（オプション）セーフサーチ（）または YouTube EDU（）のグレー表示のアイコンおよび設定関連のオプションをクリックして、アクセス制御ルールのコンテンツ制限機能を有効にします。

その他の設定要件については、アクセスコントロールルールを使用したコンテンツ制限の実施を参照してください。

たいていの場合、コンテンツ制限を有効にすると、条件の [選択されたアプリケーションおよびフィルタ（Selected Applications and Filters）] リストに適切な値が入力されます。コンテンツ制限を有効にするときに、コンテンツ制限に関係するアプリケーションまたはフィルタがすでにリスト内に存在している場合には、システムはリストに自動的に値を入力することはしません。

アプリケーションを絞り込んで選択内容をフィルタする手順を続行するか、またはスキップしてルールの保存に進みます。

ステップ 3

[使用可能なアプリケーション（Available Applications）] リストから追加するアプリケーションを見つけて選択します。

[使用可能なアプリケーション（Available Applications）] に表示されるアプリケーションを抑制するには、1 つ以上のアプリケーションフィルタを選択するか、個別のアプリケーションを検索します。

ヒント

サマリー情報とインターネットの検索リンクを表示するには、アプリケーションの横の情報アイコン（）をクリックします。ロック解除アイコン（）は、システムが復号されたトラフィックでのみ識別できるアプリケーションを示します。

フィルタを単独または組み合わせて選択すると、[使用可能なアプリケーション（Available Applications）] リストが更新され、条件を満たすアプリケーションのみが表示されます。システムによって提供されるフィルタは組み合わせて選択できますが、ユーザ定義フィルタはできません。

同じ特性（リスク、ビジネス関連性など）の複数のフィルタ：アプリケーショントラフィックは 1 つのフィルタのみに一致する必要があります。たとえば、中リスクフィルタと高リスクフィルタの両方を選択すると、[使用可能なアプリケーション（Available Applications）] リストにすべての中リスクアプリケーションと高リスクアプリケーションが表示されます。
異なるアプリケーション特性のフィルタ：アプリケーショントラフィックは、両方のフィルタタイプに一致する必要があります。たとえば、高リスクフィルタとビジネスとの関連性が低いフィルタの両方を選択すると、[使用可能なアプリケーション（Available Applications）] リストに両方の条件を満たすアプリケーションのみが表示されます。

ステップ 4

[ルールに追加（Add to Rule）] をクリックするか、ドラッグアンドドロップします。

ヒント

フィルタとアプリケーションをさらに追加する前に、[フィルタのクリア（Clear Filters）] をクリックして現在の選択をクリアします。

Web インターフェイスでは、条件に追加されたフィルタは上部にリストされ、個別に追加されたアプリケーションとは分けられます。

ステップ 5

ルールまたは設定を保存するか、編集を続けます。

例：アクセス制御ルールのアプリケーション条件

次の図は、MyCompany のユーザ定義アプリケーションフィルタ、リスクが高くビジネスとの関連性が低いすべてのアプリケーション、ゲームアプリケーション、および個々に選択されたいくつかのアプリケーションをブロックするアクセス制御ルールのアプリケーション条件を示しています。

サンプルアプリケーション条件のスクリーンショット

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

アプリケーションの特性

システムは、次の表に示す基準を使用して、検出された各アプリケーションの特性を判別します。これらの特性をアプリケーションフィルタとして使用します。

表 1. アプリケーションの特性
特性	説明	例
タイプ（Type）	アプリケーションプロトコルは、ホスト間の通信を意味します。クライアントは、ホスト上で動作しているソフトウェアを意味します。 Web アプリケーションは、HTTP トラフィックの内容または要求された URL を意味します。	HTTP と SSH はアプリケーションプロトコルです。 Web ブラウザと電子メールクライアントはクライアントです。 MPEG ビデオと Facebook は Web アプリケーションです。
リスク（Risk）	アプリケーションが組織のセキュリティポリシーに違反することがある目的で使用される可能性。	ピアツーピアアプリケーションはリスクが極めて高いと見なされます。
ビジネスとの関連性（Business Relevance）	アプリケーションが、娯楽目的ではなく、組織のビジネス活動の範囲内で使用される可能性。	ゲームアプリケーションはビジネスとの関連性が極めて低いと見なされます。
カテゴリ（Category）	アプリケーションの最も不可欠な機能を表す一般的な分類。各アプリケーションは、少なくとも 1 つのカテゴリに属します。	Facebook はソーシャルネットワーキングのカテゴリに含まれます。
タグ	アプリケーションに関する追加情報。アプリケーションには任意の数（0 個を含む）のタグを付けることができます。	ビデオストリーミング Web アプリケーションには、ほとんどの場合、`high bandwidth` と `displays ads` というタグが付けられます。

アプリケーション制御のガイドラインと制限事項

アダプティブプロファイルが有効になっていることの確認

アダプティブプロファイルが無効な場合（デフォルト状態）、アクセス制御ルールは、アプリケーション制御を実行できません。

アプリケーションディテクタの自動有効化

ディテクタが検出対象のアプリケーションに対して有効でない場合、システムは、そのアプリケーションに対応するシステム提供のすべてのディテクタを自動的に有効にします。存在しない場合、システムはそのアプリケーション対応で最近変更されたユーザ定義のディテクタを有効にします。

アプリケーション識別の速度

システムは、次の条件が満たされるまで、インテリジェントアプリケーションバイパス（IAB）およびレート制限を含むアプリケーション制御を実行できません。

モニタ対象の接続がクライアントとサーバの間で確立され、
システムがセッションでアプリケーションを識別する

この識別は 3 ～ 5 パケット以内で、またはトラフィックが暗号化されている場合は、SSL ハンドシェイクのサーバ証明書交換の後に行われる必要があります。

早期のトラフィックがその他のすべての基準に一致するが、アプリケーション識別が不完全な場合、システムは、パケットの受け渡しと接続の確立（または、SSL ハンドシェイクの完了）を許可します。システムは識別を完了した後、残りのセッショントラフィックに適切なアクションを適用します。

アクセスコントロールの場合、これらの受け渡されたパケットは、アクセスコントロールポリシーのデフォルトの侵入ポリシー（デフォルトアクション侵入ポリシーでもほぼ一致するルールの侵入ポリシーでもない）によりインスペクションが実行されます。

アプリケーションや他のルールより前に配置される URL ルール

URL マッチングを最も効果的に行うには、URL 条件を含むルールを他のルールより前に配置します。特に、URL ルールがブロックルールで、他のルールが次の条件を両方とも満たす場合には、URL 条件を含むルールを前に配置します。

その他のルールがアプリケーション条件を含んでいる。
検査対象のトラフィックが暗号化されている。

暗号化および復号トラフィックのアプリケーション制御

システムは暗号化トラフィックと復号トラフィックを識別し、フィルタ処理することができます。

暗号化トラフィック：システムは、SMTPS、POPS、FTPS、TelnetS、IMAPS を含む StartTLS で暗号化されたアプリケーショントラフィックを検出できます。さらに、TLS ClientHello メッセージの Server Name Indication、またはサーバ証明書のサブジェクト識別名の値に基づいて、特定の暗号化されたアプリケーションを識別できます。これらのアプリケーションに SSL Protocol タグが付けられます。SSL ルールでは、これらのアプリケーションのみを選択できます。このタグがないアプリケーションは、暗号化されていないまたは復号されたトラフィックでのみ検出できます。
復号トラフィック：システムは、復号されたトラフィック（暗号化されたまたは暗号化されていないトラフィックではなく）のみで検出を行うことができるアプリケーションに decrypted traffic タグを割り当てます。

アプリケーションのアクティブ認証の免除

アイデンティティポリシーでは、特定のアプリケーションのアクティブ認証を免除し、トラフィックにアクセスコントロールの続行を許可できます。これらのアプリケーションには、User-Agent Exclusion タグが付けられます。アイデンティティルールでは、これらのアプリケーションのみを選択できます。

ペイロードのないアプリケーショントラフィックパケットの処理

アクセスコントロールを実行している場合、システムは、アプリケーションが識別された接続内にペイロードがないパケットに対してデフォルトポリシーアクションを適用します。

参照されるアプリケーショントラフィックの処理

アドバタイズメントトラフィックなどの Web サーバによって参照されるトラフィックを処理するには、参照しているアプリケーションではなく、参照されるアプリケーションを照合します。

複数のプロトコルを使用するアプリケーショントラフィックの制御（Skype、Zoho）

一部のアプリケーションは、複数のプロトコルを使用します。このようなアプリケーションのトラフィックを制御するには、関連するすべてのオプションがアクセスコントロールポリシーの対象となっていることを確認します。次に例を示します。

Skype：Skype のトラフィックを制御するには、個々のアプリケーションを選択するのではなく、[アプリケーションフィルタ（Application Filters）] リストから [Skype] タグを選択します。これにより、システムは同じ方法で Skype のすべてのトラフィックを検出して制御できるようになります。
Zoho：Zoho メールを制御するには、[使用可能なアプリケーション（Available Application）] リストから [Zoho] と [Zohoメール（Zoho mail）] の両方を選択します。

コンテンツ制限機能用にサポートされる検索エンジン

システムは、特定の検索エンジンの場合のみ、セーフサーチフィルタリングをサポートします。システムは、これらの検索エンジンからのアプリケーショントラフィックに safesearch supported タグを割り当てます。

回避的アプリケーショントラフィックの制御

用途別の注意事項と制限事項を参照してください。

用途別の注意事項と制限事項

Office 365 管理者用ポータル：

制限：アクセスポリシーのロギングが最初と最後で有効になっている場合、最初のパケットは Office 365 として検出され、接続の終了は Office 365 管理者用ポータルとして検出されます。これがブロッキングに影響を与えないようにする必要があります。
Skype:

参照先アプリケーション制御のガイドラインと制限事項
Zoho:

参照先アプリケーション制御のガイドラインと制限事項
Bittorrent、Tor、Psiphon、および Ultrasurf などの回避的なアプリケーションの場合：

回避的なアプリケーションの場合、デフォルトでは、信頼性の高いシナリオのみが検出されます。このトラフィックに対するアクション（ブロックや QoS の実装など）を実行する必要がある場合、より効果の高い、さらに積極的な検出の設定が必要なことがあります。これを実行する場合、設定の変更によって誤検出が発生する可能性がありますので、TAC に問い合わせて設定を確認してください。

URL 条件（URL フィルタリング）

URL 条件は、ネットワークのユーザがアクセスできる Web サイトを制御します。この機能は、URL フィルタリングと呼ばれます。

カテゴリおよびレピュテーションベースの URL フィルタリング：URL フィルタリングライセンスでは、URL の一般的な分類（カテゴリ）とリスクレベル（レピュテーション）に基づいて Web サイトへのアクセスを制御することができます。
手動 URL フィルタリング：任意のライセンスで、個々の URL、URL のグループおよび URL リストとフィードを手動で指定し、Web トラフィックのきめ細かいカスタム制御を実現できます。

Web サイトをブロックするときは、ユーザのブラウザにデフォルト動作を許可するか、またはシステムによって提供される一般的なページまたはカスタム HTTP 応答ページを表示できます。インタラクティブブロッキングは、警告ページをクリックスルーすることで Web サイトのブロックをバイパスする機会をユーザに与えます。詳細については、HTTP 応答ページとインタラクティブブロッキングを参照してください。

URL 条件を伴うルール

次の表に、URL 条件をサポートするルールと、各ルールタイプがサポートするフィルタリングのタイプを一覧します。


ルールタイプ	カテゴリとレピュテーションのサポートフィルタリングの有無	手動フィルタリングのサポート
アクセスコントロール	Yes	Yes
SSL	Yes	なし。代わりに識別名条件を使用
QoS	Yes	Yes

カテゴリおよびレピュテーションによる URL のフィルタリングについて

URL フィルタリングライセンスでは、要求された URL のカテゴリおよびレピュテーションに基づいて、Web サイトへのアクセスを制御できます。

カテゴリ：URL の一般的な分類。たとえば ebay.com はオークションカテゴリ、monster.com は求職カテゴリに属します。1 つの URL は複数のカテゴリに属することができます。
レピュテーション：この URL が、組織のセキュリティポリシーに違反するかもしれない目的で使用される可能性がどの程度であるか。レピュテーションは、高リスク（レベル 1）からウェルノウン（レベル 5）の範囲です。

（注）

イベントで URL カテゴリおよびレピュテーション情報を表示するには、URL 条件を使用して少なくとも 1 つのルールを作成する必要があります。また、Cisco Collective Security Intelligence（CSI）との通信を有効にして、最新の脅威インテリジェンスを取得する必要もあります。

カテゴリおよびレピュテーションベースの URL フィルタリングのメリット

URL カテゴリとレピュテーションによって、URL フィルタリングをすぐに設定できます。たとえば、アクセスコントロールを使用して、乱用薬物カテゴリの高リスク URL をブロックできます。または、QoS を使用して、ストリーミングメディアカテゴリのサイトからのトラフィックをレート制限することができます。

カテゴリおよびレピュテーションデータを使用すると、ポリシーの作成と管理がより簡単になります。この方法では、システムが Web トラフィックを期待どおりに確実に制御します。脅威インテリジェンスは、新しい URL だけでなく、既存の URL に対する新しいカテゴリとリスクで常に更新されるため、システムは確実に最新の情報を使用して要求された URL をフィルタ処理します。セキュリティに対する脅威を表すサイトや望ましくないコンテンツが表示されるサイトは、ユーザが新しいポリシーを更新したり展開したりするペースを上回って次々と現れては消える可能性があります。

システムはどのように適応するのか、いくつかの例を示します。

アクセスコントロールルールですべてのゲームサイトをブロックする場合、新しいドメインが登録されてゲームに分類されると、これらのサイトをシステムで自動的にブロックできます。同様に、QoS ルールですべてのストリーミングメディアサイトをレート制限する場合、システムは新しいストリーミングメディアサイトへのトラフィックを自動的に制限できます。
アクセスコントロールルールですべてのマルウェアサイトをブロックし、あるブログページがマルウェアに感染すると、システムはその URL をブログからマルウェアに再分類して、そのサイトをブロックすることができます。
アクセスコントロールルールでリスクの高いソーシャルネットワーキングサイトをブロックし、だれかがプロファイルページに悪意のあるペイロードへのリンクが含まれるリンクを掲載すると、システムはそのページのレピュテーションを無害なサイトから高リスクに変更してブロックすることができます。

カテゴリとレピュテーションによる URL フィルタリングに関する追加情報

次のトピックでは、カテゴリとレピュテーションに基づく URL フィルタリングについて説明し、この機能の有効化、設定、および導入の方法を示します。

ライセンシング—Firepower Threat Defense デバイスの URL フィルタリングライセンスおよび従来のデバイスの URL フィルタリングライセンス。
カテゴリおよびレピュテーションに基づく URL フィルタリングの有効化と設定—集合型セキュリティインテリジェンス通信の設定およびそのサブトピック。
高可用性での Firepower Management Center による URL フィルタリングに関するガイドライン—URL フィルタリングとセキュリティインテリジェンス。
URL カテゴリとレピュテーションフィルタリングのメリット、すべてのタイプの URL フィルタリングに関するガイドラインおよび制限、およびポリシーの作成方法に関する情報—URL 条件（URL フィルタリング）およびサブトピック。

手動 URL フィルタリング

アクセスコントロールルールおよび QoS ルールでは、個々の URL、URL のグループ、または URL のリストとフィードを手動でフィルタリングすることで、カテゴリとレピュテーションベースの URL のフィルタリングを補足したり、選択的にオーバーライドしたりできます。

（注）

多数の URL をフィルタリングする場合、個別の、またはグループ化された URL オブジェクトを使用する代わりに、URL リストを使用します。詳細については、セキュリティインテリジェンスのリストとフィードを参照してください。

特殊なライセンスなしでこのタイプの URL フィルタリングを実行することができます。手動 URL フィルタリングは SSL ルールではサポートされません。その代わりに、識別名の条件を使用します。

たとえば、アクセスコントロールを使用して組織に適していない Web サイトのカテゴリをブロックできます。ただし、カテゴリに適切な Web サイトが含まれていて、そこにアクセスを提供する必要がある場合は、そのサイトに手動で許可ルールを作成し、カテゴリのブロックルールの前に配置できます。

特定の URL を手動でフィルタリングする場合は、影響を受ける可能性のある他のトラフィックを慎重に考慮してください。ネットワークトラフィックが URL 条件に一致するかどうか判別するために、システムは単純な部分文字列マッチングを実行します。要求された URL が文字列の任意の部分に一致する場合、URL は一致するとみなされます。

たとえば example.com へのすべてのトラフィックを許可する場合、ユーザは次の URL を含むサイトを参照できます。

http://example.com/
http://example.com/newexample
http://www.example.com/

別の例として、ign.com（ゲームサイト）を明示的にブロックする場合を考えてください。部分文字列マッチングにより ign.com 自体だけでなく verisign.com もブロックされることになり、意図しない動作が生じる可能性があります。

URL 条件の設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
URL フィルタリング（カテゴリ/レピュテーション）任意（手動）	URL フィルタリング（カテゴリ/レピュテーション）任意（手動）	任意（Any）	任意（Any）	Admin/Access Admin/Network Admin

URL 条件を作成するときに、トラフィックを制御する URL カテゴリを選択します。必要に応じて、URL カテゴリをレピュテーションで制約できます。

アクセスコントロールおよび QoS ルールでは、事前定義された URL オブジェクト、URL リストとフィード、および手動のルールごとの URL を使用して個々の URL をフィルタ処理することもできます。これらの URL はレピュテーションで制約できません。手動 URL フィルタリングは SSL ルールではサポートされません。その代わりに、識別名の条件を使用します。

注意	アクセスコントロールまたは SSL（ただし QoS ではない）ルールの URL またはカテゴリ/レピュテーションの最初の条件を追加するかまたは最後の条件を削除すると設定の変更を展開する際に Snort プロセスが再起動され、一時的にトラフィックのインスペクションが中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲットデバイスがトラフィックを処理する方法に応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

手順

ステップ 1	ルールエディタで、URL 条件のタブをクリックします。アクセスコントロールまたは QoS：[URL（URLs）] タブをクリックします。 SSL：[カテゴリ（Category）] タブをクリックします。
ステップ 2	制御する URL を見つけて選択します。カテゴリ：URL カテゴリを選択するか、デフォルトの [任意（Any）] のままにします。アクセスコントロールまたは QoS ルールでは、[カテゴリ（Category）] サブタブをクリックしてカテゴリを選択します。 URL オブジェクト、リスト、およびフィード：定義済みの URL オブジェクトおよび URL リストとフィードを選択します。アクセスコントロールまたは QoS ルールでは、[URL（URLs）] サブタブをクリックして URL を選択します。
ステップ 3	（オプション）レピュテーションを選択して URL カテゴリを制約します。 [未分類（Uncategorized）] URL を明示的に照合する場合は、未分類 URL にはレピュテーションがないため、レピュテーションによりさらに制約を追加することはできないことに注意してください。レピュテーションレベルを選択すると、ルールアクションに応じて、選択したレベルよりも重大または重大でない他のレピュテーションも含められます。 [より重大でないレピュテーションを含める（Includes less severe reputations）]：ルールで Web トラフィックを許可または信頼する場合。たとえば、無害なサイト（レベル 4）を許可するようアクセス制御ルールを設定した場合、有名（レベル 5）サイトも自動的に許可されます。 [より重大なレピュテーションを含める（Includes more severe reputations）]：ルールで Web トラフィックをレート制限、復号、ブロック、またはモニタする場合。たとえば、疑わしいサイト（レベル 2）をブロックするようアクセス制御ルールを設定した場合、高リスク（レベル 1）のサイトも自動的にブロックされます。ルールアクションを変更すると、URL 条件のレピュテーションレベルが自動的に変更されます。
ステップ 4	[ルールに追加（Add to Rule）] をクリックするか、ドラッグアンドドロップします。
ステップ 5	（オプション）アクセスコントロールまたは QoS ルールでは、URL を入力し、[追加（Add）] をクリックして、手動で指定する URL を追加します。 URL または IP アドレスを入力できます。このフィールドでは、ワイルドカードはサポートされません。
ステップ 6	ルールを保存するか、編集を続けます。

例：アクセス制御ルールの URL 条件

次の図は、すべてのマルウェアサイト、すべての高リスクサイト、およびすべての有害なソーシャルネットワーキングサイトをブロックするアクセス制御ルールの URL 条件を示しています。また、単一サイト example.com（URL オブジェクトによって表されます）もブロックされます。

サンプル URL 条件のスクリーンショット

次の表では、条件を作成する方法を要約します。


ブロックする URL	カテゴリまたは URL オブジェクト	レピュテーション
マルウェアサイト（レピュテーションに関係なく）	マルウェアサイト（Malware Sites）	任意（Any）
高リスクの URL（レベル 1）	任意（Any）	1 - 高リスク（High Risk）
無害（benign）よりも大きいリスクがあるソーシャルネットワーキングサイト（レベル 1 ～ 3）	ソーシャルネットワーク（Social Network）	3 - セキュリティリスクのある無害なサイト（Benign sites with security risks）
example.com	example.com という名前の URL オブジェクト	なし

次のタスク

URL カテゴリでフィルタ処理するアクセスコントロールポリシーを設定している場合は、クラウドルックアップを必要とする URL へのアクセスの処理方法を指定します。アクセスコントロールポリシーの詳細設定で、[URL キャッシュミスルックアップを再試行する（Retry URL cache miss lookup）] オプションに関する詳細を確認してください。
設定変更を展開します。設定変更の展開を参照してください。

HTTPS トラフィックのフィルタリング

暗号化されたトラフィックをフィルタリングするには、システムは SSL ハンドシェイク時に渡される情報（トラフィックを暗号化するために使用される公開キー証明書のサブジェクト共通名）に基づいて、要求された URL を決定します。

HTTPS フィルタリングは、HTTP フィルタリングとは異なり、サブジェクト共通名内のサブドメインを無視します。アクセスコントロールまたは QoS ポリシーで HTTPS URL を手動でフィルタリングする場合は、サブドメイン情報を含めないでください。たとえば、www.example.com ではなく、example.com を使用します。

また、HTTPS フィルタリングは URL リストもサポートしていません。代わりに、URL オブジェクトとグループを使用する必要があります。

ヒント

SSL ポリシーでは、特定の URL に対するトラフィックの処理と復号は、識別名の SSL ルール条件を定義することで行えます。証明書のサブジェクト識別名にある共通名属性には、サイトの URL が含まれています。HTTPS トラフィックを復号することで、復号されたセッションをアクセスコントロールルールによって評価できるようになり、URL フィルタリングの質が向上します。

暗号化プロトコルによるトラフィックの制御

アクセスコントロールまたは QoS ポリシー内で URL フィルタリングを実行する場合、暗号化プロトコル（HTTP または HTTPS）は無視されます。これは、手動およびレピュテーションベース両方の URL 条件で発生します。つまり、URL フィルタリングは、次の Web サイトへのトラフィックを同じように扱います。

http://example.com/
https://example.com/

HTTP または HTTPS トラフィックのみに一致するルールを設定するには、アプリケーション条件をルールに追加します。たとえば、あるサイトへの HTTPS アクセスを許可する一方で、HTTP アクセスを許可しないようにできます。そのためには、2 つのアクセスコントロールルールを作成し、それぞれにアプリケーションと URL の条件を割り当てます。

最初のルールは Web サイトへの HTTPS トラフィックを許可します。

アクション：許可
アプリケーション：HTTPS
URL：example.com

2 番目のルールは同じ Web サイトへの HTTP アクセスをブロックします。

アクション：ブロック
アプリケーション：HTTP
URL：example.com

URL フィルタリングのガイドラインと制限事項

URL 識別の速度

システムは以下の動作の前に URL をフィルタリングできません。

モニタ対象の接続がクライアントとサーバの間で確立される。
システムによりセッションで HTTP または HTTPS アプリケーションが識別される。
要求された URL がシステムにより識別される（ClientHello メッセージまたはサーバ証明書から暗号化されたセッションの場合）。

早期のトラフィックがその他のすべてのルール条件に一致するが、識別が不完全な場合、システムは、パケットの受け渡しと接続の確立（または、SSL ハンドシェイクの完了）を許可します。システムは識別を完了した後、残りのセッショントラフィックに適切なルールアクションを適用します。

アクセス制御の場合、これらの受け渡されたパケットは、デフォルトアクション侵入ポリシーでもほぼ一致するルールの侵入ポリシーでもなく、アクセス制御ポリシーのデフォルトの侵入ポリシーによりインスペクションが実行されます。

アプリケーションや他のルールより前に配置される URL ルール

その他のルールがアプリケーション条件を含んでいる。
検査対象のトラフィックが暗号化されている。

未分類/レピュテーションのない URL

URL のカテゴリおよびレピュテーションが不明な場合、Web サイトの閲覧は、カテゴリおよびレピュテーションベースの URL 条件を持つルールには一致しません。URL に手動でカテゴリおよびレピュテーションを割り当てることはできません。

URL ルールを作成するときは、まず一致させるカテゴリを選択します。[未分類（Uncategorized）] URL を明示的に選択した場合は、未分類 URL にはレピュテーションがないため、レピュテーションによりさらに制約を追加することはできません。

手動 URL フィルタリング

暗号化された Web トラフィックの URL フィルタリング

暗号化された Web トラフィックに対して URL フィルタリングを実行すると、システムは次のように動作します。

暗号化プロトコルを無視します。ルールに URL 条件はあるがプロトコルを指定するアプリケーション条件がない場合、ルールは HTTPS および HTTP 両方のトラフィックを照合します。
URL リストを使用しません。代わりに、URL オブジェクトとグループを使用する必要があります。
トラフィックを暗号化するために使用する公開キー証明書のサブジェクト共通名に基づいて HTTPS トラフィックを照合し、サブジェクト共通名に含まれるサブドメインを無視します。
アクセス制御ルール（または、その他の設定）によってブロックされている暗号化された接続の場合は HTTP 応答ページを表示しません。HTTP 応答ページの制限を参照してください。

HTTP/2

システムは、TLS 証明書から HTTP/2 URL を抽出できますが、ペイロードから抽出することはできません。

URL での検索クエリパラメータ

システムでは、URL 条件の照合に URL 内の検索クエリパラメータを使用しません。たとえば、すべてのショッピングトラフィックをブロックする場合を考えます。amazon.com を探すために Web 検索を使用してもブロックされませんが、amazon.com を閲覧しようとするとブロックされます。

選択したデバイスモデルのメモリ制限

メモリの制約上、一部のモデルでは、小規模でそれほど細分化されていないカテゴリとレピュテーションによってほとんどの URL フィルタリングが実行されます。たとえば、親 URL のサブサイトがそれぞれ異なる URL カテゴリとレピュテーションを持っている場合でも、一部のデバイスでは、親 URL のデータのみが保存される場合があります。これらのデバイスによって処理される Web トラフィックの場合、システムはクラウドルックアップを実行して、ローカルデータベースにないサイトのカテゴリとレピュテーションを判断できます。

低メモリデバイスには、次のデバイスが含まれます。

7100 シリーズ
ASA 5506-X、ASA 5506H-X、ASA 5506W-X、ASA 5508-X、および ASA 5516-X
ASA 5512-X、ASA 5515-X、および ASA 5525-X

NGIPSv を使用する場合、カテゴリおよびレピュテーションベースの URL フィルタリングを実行するために正しい量のメモリを割り当てる方法については、『Firepower System Virtual Installation Guide』を参照してください。

URL フィルタリングのトラブルシューティング

クラウド内の現在のカテゴリとレピュテーションに基づいて URL が正しく処理されない

問題：URL カテゴリおよびレピュテーションは手動ルックアップに基づいてクラウドで正しく処理されますが、システムが URL を正しく処理できません。

対処方法:

URL フィルタリングオプションと集合型セキュリティインテリジェンスでの通信の設定で説明されている設定で、次の問題が解決する場合があります。
- URL キャッシュに古い情報が保存されている可能性があります。Cisco TAC にお問い合わせください。
- クラウドからの最新情報でローカルのデータセットが更新されていない可能性があります。[自動更新を有効にする（Enable Automatic Updates）] 設定に関する情報を参照してください。
- 最新のデータに関してクラウドを確認しないようにシステムが設定されている可能性があります。[不明URLをCisco CSIに問い合わせる（Query Cisco CSI for Unknown URL）] 設定に関する情報を参照してください。
クラウドを確認せずに URL にトラフィックを渡すようにアクセスコントロールポリシーが設定されている可能性があります。アクセスコントロールポリシーの詳細設定で、[URL キャッシュミスルックアップを再試行する（Retry URL cache miss lookup）] 設定に関する情報を参照してください。
URL フィルタリングのガイドラインと制限事項も参照してください。
URL を処理している思われるアクセス制御ルールを使用して URL が処理されていることを確認し、アクセス制御ルールが想定どおりに機能していることを確認します。
Firepower Management Center のローカル URL カテゴリおよびレピュテーションデータベースがクラウドから正常に更新されており、管理対象デバイスが Firepower Management Center から正常に更新されていることを確認します。

これらのプロセスのステータスは、[URL フィルタリングモニタ（URL Filtering Monitor）] モジュールのヘルスモニタでレポートされます。詳細は、ヘルスモニタリングを参照してください。

ローカル URL カテゴリおよびレピュテーションデータベースを即座に更新する場合、[システム（System）] > [統合（Integration）] に移動し、タブをクリックしてから [今すぐアップデート（Update Now）] をクリックします。詳細については、URL フィルタリングオプションを参照してください。

ユーザ条件、レルム条件、および ISE 属性条件（ユーザ制御）

Firepower システムによって収集された権限のあるユーザアイデンティティデータを使用してユーザ制御を実行することができます。

アイデンティティソースはユーザがログインまたはログアウトする際、または Microsoft Active Directory（AD）または LDAP のクレデンシャルを使用して認証する際にユーザをモニタします。次に、この収集されたアイデンティティデータを使用して、モニタ対象ホストに関連付けられているログインしている権限のあるユーザに基づいてトラフィックを処理するルールを設定できます。ユーザは、そのユーザがログオフする（アイデンティティソースによって報告される）か、レルムがセッションをタイムアウトするか、システムのデータベースからそのユーザデータが削除されるまで、ホストに関連付けられたままになります。

Firepower システムのご使用のバージョンでサポートされる権限のあるユーザアイデンティティソースについては、ユーザアイデンティティソースについてを参照してください。

ユーザ制御を実行するために、次のルール条件を使用できます。

ユーザ条件およびレルム条件：ホストのログインしている権限のあるユーザに基づいてトラフィックを照合します。トラフィックは、レルム、個々のユーザ、またはそれらのユーザが属しているグループに基づいて制御できます。
ISE 属性条件：ユーザの、ISE が割り当てたセキュリティグループタグ（SGT）、デバイスタイプ（エンドポイントプロファイルとも呼ばれる）、またはロケーション IP（エンドポイントロケーションとも呼ばれる）に基づいてトラフィックを照合します。ISE をアイデンティティソースとして設定する必要があります。

（注）

一部のルールでは、カスタム SGT 条件が ISE によって割り当てられなかった SGT 属性にタグ付けされたトラフィックを照合できます。これはユーザ制御とはみなされず、ISE をアイデンティティソースとして使用していない場合にのみ機能します。カスタム SGT 条件を参照してください。

ユーザ条件を持つルール


ルールタイプ	ユーザ条件およびレルム条件のサポート	ISE 属性条件のサポート
アクセスコントロール	Yes	Yes
SSL	Yes	No
QoS	Yes	Yes

ユーザ制御の前提条件

アイデンティティソース/認証方式の設定

実行する認証タイプのアイデンティティソースを設定します。詳細については、ユーザアイデンティティソースについてを参照してください。

ユーザエージェント、TS エージェント、または ISE デバイスのモニタ対象に多くのユーザグループを設定した場合、またはネットワークでホストにマップされるユーザ数が非常に多い場合、Firepower Management Center のユーザ制限が原因で、システムがグループに基づいてユーザマッピングをドロップすることがあります。その結果、レルム、ユーザ、またはユーザグループの条件のルールが、一致することが想定されているトラフィックと一致しなくなる可能性があります。

レルムの設定

監視対象の各 AD または LDAP サーバ（ISE、ユーザエージェント、および TS エージェントサーバを含む）のレルムを設定し、ユーザのダウンロードを実行します。詳細については、を参照してください。

（注）

ISE SGT 属性ルール条件を設定する場合、レルムの設定は任意です。ISE SGT 属性ルール条件は、アイデンティティポリシー（レルムの呼び出し元）が関連付けられているかどうかにかかわらず、ポリシー内で設定できます。

レルムを設定するときには、アクティビティを監視するユーザおよびユーザ・グループを指定します。ユーザグループを含めると、自動的に、すべてのセカンダリグループのメンバーを含む、そのグループのすべてのメンバーが含まれます。ただし、セカンダリグループをルール条件として使用する場合は、セカンダリグループをレルム構成に明示的に含める必要があります。

レルムごとに、ユーザデータの自動ダウンロードを有効にすると、ユーザおよびユーザグループの信頼できるデータを更新することができます。

アイデンティティポリシーの作成

レルムを認証方式に関連付けるアイデンティティポリシーを作成し、そのポリシーをアクセス制御に関連付けます。詳細については、アイデンティティポリシーの作成を参照してください。

デバイスのユーザ制御（アクセス制御、SSL、QoS）を実行するポリシーは、アイデンティティポリシーを共有します。そのアイデンティティポリシーによって、それらのデバイス上のトラフィックに影響するルールで使用できるレルム、ユーザ、およびグループが決まります。

QoS ルールでユーザ条件を設定する前に、QoS ポリシーの対象となるデバイスが、デバイスに適用されたアクセス制御ポリシーで定義されている正しいアイデンティティポリシーを使用していることを確認する必要があります。同じデバイスに適用された QoS ポリシーとアクセス制御ポリシーは明示的にリンクされていないため、QoS ルールエディタで無効なレルム、ユーザ、およびグループを選択することが可能です。これらの無効な要素は、Firepower Management Center に存在するが、QoS 対象のデバイスには適用されないアイデンティティポリシーから取得された要素です。これらの要素を使用すると、実際に適用されるまで、無効な選択をしたことが判別されません。

ユーザおよびレルム条件の設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	Control	任意（Any）	任意（Any）	Admin/Access Admin/Network Admin

レルム、またはそのレルム内のユーザとユーザグループでルールを制約できます。

始める前に

ユーザ条件、レルム条件、および ISE 属性条件（ユーザ制御）で説明されているユーザ制御の前提条件を満たしてください。

手順

ステップ 1	ルールエディタで、[ユーザ（Users）] タブをクリックします。
ステップ 2	（オプション）[利用可能なレルム（Available Realms）] リストから使用するレルムを見つけて選択します。
ステップ 3	（オプション）[有効なユーザ（Available Users）] リストからユーザとグループを選択して、ルールをさらに制約します。
ステップ 4	[ルールに追加（Add to Rule）] をクリックするか、ドラッグアンドドロップします。
ステップ 5	ルールを保存するか、編集を続けます。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

ISE 属性条件の設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	Control	任意（Any）	任意（Any）	Admin/Access Admin/Network Admin

始める前に

ユーザ条件、レルム条件、および ISE 属性条件（ユーザ制御）に記載されているユーザ制御の前提条件を満たします。

手順

ステップ 1	ルールエディタで、ISE 属性条件のタブをクリックします。アクセスコントロール：[SGT/ISE 属性（SGT/ISE Attributes）] タブをクリックします。 QoS：[ISE 属性（ISE Attributes）] タブをクリックします。 ISE 属性条件を制約するために、ISE 割り当てセキュリティグループタグ（SGT）を使用できます。アクセスコントロールルールでカスタム SGT を使用するには、カスタム SGT 条件を参照してください。
ステップ 2	[使用可能な属性（Available Attributes）] リストから、使用する ISE 属性を見つけて選択します。 [セキュリティグループタグ（SGT）（Security Group Tag (SGT)）] [デバイスタイプ（Device Type）]（エンドポイントプロファイルとも呼ばれます） [ロケーション IP（Location IP）]（エンドポイントロケーションとも呼ばれます）
ステップ 3	[使用可能な ISE メタデータ（AvailableISE Metadata）] [使用可能なメタデータ（Available Metadata）] リストから属性メタデータを選択して、さらにルールを制約します。または、デフォルトの [すべて（any）] のままにします:。
ステップ 4	[ルールに追加（Add to Rule）] をクリックするか、ドラッグアンドドロップします。
ステップ 5	（オプション）[ロケーション IP アドレスの追加（Add a Location IP Address）] フィールドで、IP アドレスによりルールを制約し、[追加（Add）] をクリックします。システムは、各リーフドメインに個別のネットワークマップを作成します。マルチドメイン展開では、実際の IP アドレスを使用してこの設定を抑制すると、予期しない結果になる可能性があります。
ステップ 6	ルールを保存するか、編集を続けます。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

ユーザ制御のトラブルシューティング

ユーザルールの予期しない動作に気付いたら、ルール、アイデンティティソース、またはレルムの設定を調整することを検討してください。その他の関連するトラブルシューティング情報については、以下を参照してください。

レルム、ユーザ、またはユーザグループを対象とするルールがトラフィックと一致しない

ユーザエージェント、TS エージェント、または ISE デバイスのモニタ対象に多くのユーザグループを設定した場合、またはネットワークでホストにマップされるユーザ数が非常に多い場合、Firepower Management Center のユーザ制限が原因で、システムがユーザレコードをドロップすることがあります。その結果、ユーザ条件のルールが、一致することが想定されているトラフィックと一致しない可能性があります。

ユーザグループまたはユーザグループ内のユーザを対象とするルールが、一致することが想定されているトラフィックと一致しない

ユーザグループ条件を含むルールを設定する場合は、LDAP または Active Directory サーバでユーザグループを設定している必要があります。サーバが基本的なオブジェクト階層でユーザを整理している場合、システムはユーザグループ制御を実行できません。

セカンダリグループ内のユーザを対象とするルールが、一致することが想定されているトラフィックと一致しない

Active Directory サーバのセカンダリグループのメンバーであるユーザを含めるか除外するユーザグループ条件を含むルールを設定する場合、サーバは報告するユーザの数を制限していることがあります。

デフォルトでは、Active Directory サーバはセカンダリグループから報告するユーザの数を制限します。この制限は、セカンダリグループ内のすべてのユーザが Firepower Management Center に報告され、ユーザ条件を含むルールでの使用に適するようにカスタマイズする必要があります。

ルールが、初めて表示されたユーザと一致しない

システムは、以前に表示されていないユーザからのアクティビティを検出すると、サーバからそれらのユーザに関する情報を取得します。システムがこの情報を正常に取得するまで、このユーザに表示されるアクティビティは、一致するルールによって処理されません。代わりに、ユーザセッションが、一致する次のルール（または該当する場合はポリシーのデフォルトアクション）によって処理されます。

たとえば、次のような状況が考えられます。

ユーザグループのメンバーであるユーザが、ユーザグループ条件を含むルールに一致しない。
ユーザデータの取得に使用されたサーバが Active Directory サーバである場合、ユーザエージェント、TS エージェント、または ISE デバイスによって報告されたユーザがルールと一致しない。

これにより、システムがユーザデータをイベントビューおよび分析ツールに表示するのが遅れる可能性があることに注意してください。

ルールがすべての ISE ユーザと一致しない

これは想定されている動作です。Active Directory ドメインコントローラで認証された ISE ユーザに対してユーザ制御を実行することができます。LDAP、RADIUS、または RSA ドメインコントローラで認証された ISE ユーザに対するユーザ制御は実行できません。

カスタム SGT 条件

ID ソースとして Cisco ISE を設定しない場合、ISE によって指定されていないセキュリティグループタグ（SGT）使用してトラフィックを制御できます。SGT は、信頼ネットワーク内での、トラフィックの送信元の権限を指定します。

カスタム SGT ルールの条件では、システムが ISE サーバとの接続によって取得した ISE SGT ではなく、手動で作成された SGT オブジェクトを使ってトラフィックをフィルタ処理します。この手動で作成された SGT オブジェクトは、制御するトラフィックの SGT 属性に対応します。カスタム SGT を使用したトラフィック制御は、ユーザ制御とは見なされません。

カスタム SGT 条件を持つルール

カスタム SGT 条件をサポートするのはアクセスコントロールルールのみです。

ISE SGT とカスタム SGT ルール条件との比較

ルールの中には、割り当てられた SGT に基づいてトラフィックを制御するために使用できるものがあります。ルールのタイプ、およびアイデンティティソースの設定によって、ISE 割り当ての SGT またはカスタム SGT のいずれかを使用して、トラフィックを割り当て済み SGT 属性と照合することができます。

（注）

ISE SGT を使用してトラフィックを照合する場合、パケットに SGT 属性が割り当てられていないとしても、パケットの送信元 IP アドレスが ISE 内で既知であれば、そのパケットは ISE SGT ルールと照合されます。


条件タイプ	要件	ルールエディタにリストされている SGT
ISE SGT	ISE アイデンティティソース	ISE サーバをクエリして取得され、メタデータが自動的に更新される SGT
カスタム SGT	ISE アイデンティティソースなし	ユーザが作成するスタティック SGT オブジェクト

カスタムセキュリティグループタグ（SGT）から ISE セキュリティグループタグ（SGT）への自動遷移

カスタム SGT に一致するルールを作成し、ISE を ID ソースに設定すると、システムは次の動作をします。

オブジェクトマネージャの [セキュリティグループタグ（Security Group Tag）] オプションを無効にします。システムは既存の SGT オブジェクトをそのまま保持しますが、それらの変更や、新しいオブジェクトの追加はできません。
カスタム SGT 条件の既存のルールを保持します。ただし、これらのルールはトラフィックの照合を行いません。また、既存のルールにカスタム SGT 基準を追加することや、カスタム SGT 条件を含む新しいルールを作成することはできません。

ISE を設定する場合は、カスタム SGT 条件を含む既存のルールは削除するか、無効にすることを推奨します。SGT 属性を持つトラフィックを照合するには、代わりに ISE 属性条件を使用します。

カスタム SGT 条件の設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	Control	任意（Any）	任意（Any）	Admin/Access Admin/Network Admin

次の手順では、ISE によって割り当てられていない SGT 属性がタグ付けされたトラフィックをフィルタ処理する方法を説明します。これはユーザ制御とみなされず、アイデンティティソースとして ISE を使用していない場合にのみ機能します。ISE SGT とカスタム SGT ルール条件との比較を参照してください。

始める前に

ISE 接続を無効にします。カスタム SGT の照合は、アイデンティティソースとして ISE を使用する場合、機能しません。
一致させる SGT に対応するセキュリティグループタグオブジェクトを設定します。セキュリティグループタグオブジェクトの作成を参照してください。

手順

ステップ 1	ルールエディタで、[SGT/ISE 属性（SGT/ISE Attributes）] タブをクリックします。
ステップ 2	[使用可能な属性（Available Attributes）] リストから [セキュリティグループタグ（Security Group Tag）] を選択します。
ステップ 3	[使用可能なメタデータ（Available Metadata）] リストで、カスタム SGT オブジェクトを見つけて選択します。 [すべて（Any）] を選択すると、ルールは SGT 属性があるすべてのトラフィックと一致します。たとえば、この値は、TrustSec 向けに構成されていないホストからのトラフィックをブロックするアクセスコントロールルールが必要な場合に選択できます。
ステップ 4	[ルールに追加（Add to Rule）] をクリックするか、ドラッグアンドドロップします。
ステップ 5	ルールを保存するか、編集を続けます。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

カスタム SGT 条件のトラブルシューティング

予期しないルールの動作に気付いたら、カスタム SGT オブジェクトの設定を調整することを検討してください。

使用不可のセキュリティグループタグオブジェクト

カスタム SGT オブジェクトは、ISE をアイデンティティソースとして設定していない場合にのみ使用できます。詳細については、カスタムセキュリティグループタグ（SGT）から ISE セキュリティグループタグ（SGT）への自動遷移を参照してください。

スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
任意（Any）	任意（Any）	機能に応じて異なる	任意（Any）	Admin/Access Admin/Network Admin

ルールのパフォーマンスに関するガイドライン

Firepower システムでは、さまざまなポリシーに含まれるルールが、ネットワークトラフィックをきめ細かく制御します。ルールを適切に設定して順序付けることは、効果的な導入を確立する上で不可欠な要素です。それぞれの組織と導入に固有のポリシーとルールセットがありますが、ニーズに対処しながらもパフォーマンスを最適化するために従うべき一般的なガイドラインがいくつかあります。

パフォーマンスの最適化は、リソースを大量に消費する分析を実行する場合は特に重要です。複雑なポリシーやルールは、重要なリソースを消費し、パフォーマンスに悪影響を与える可能性があります。設定の変更を展開すると、システムはすべてのルールをまとめて評価し、ターゲットデバイスでネットワークトラフィックを評価するために使用する拡張基準セットを作成します。それらの基準がターゲットデバイスのリソース（物理メモリ、プロセッサなど）を上回っている場合、そのデバイスに展開することはできません。

（注）

常に、ルールを組織のニーズに適した順序に配置する必要があります。すべてのトラフィックに適用する必要がある最優先順位のルールをポリシーの先頭近くに配置します。ただし、ルールに優先順位を付けなければ、アプリケーション条件または URL 条件を設定したルールが一致する可能性が高くなります。これは、システムは接続においてアプリケーショントラフィックまたは Web トラフィックを識別するまで、その接続の最初の数パケットと一部のルールとの照合をスキップすることがあるためです。これにより接続を確立することができ、アプリケーションと HTTP 要求を識別できるようになります。

ルールの簡素化および絞り込みのガイドライン

簡素化：設定しすぎない

処理するトラフィックの照合が 1 つの条件で十分な場合には、2 つの条件を使用しないでください。

個々のルール条件を最小化します。できる限り少ない個々の要素をルールの条件に使用します。たとえば、ネットワーク条件では、個々の IP アドレスではなく IP アドレスブロックを使用します。ポート条件では、ポート範囲を使用します。アプリケーション制御および URL フィルタリングを実行する場合はアプリケーションフィルタと URL カテゴリおよびレピュテーションを使用し、ユーザ制御を実行する場合は LDAP ユーザグループを使用します。

要素をオブジェクトに組み合わせても、パフォーマンスは向上しません。たとえば、50 個の IP アドレスを 1 つのネットワークオブジェクトに含めて使用することにパフォーマンス的なメリットはなく、条件にこれらの IP アドレスを個別に含めるよりも単に構成上のメリットがあるだけです。

絞り込み：特にインターフェイスによってリソース消費ルールを絞り込んで制約する

できる限り、ルールの条件を使用してリソース消費ルールが処理するトラフィックを絞り込んで定義します。絞り込まれたルールは、広範な条件を持つルールが多様なタイプのトラフィックを照合し、後でより多くの特定のルールをプリエンプション処理できるという理由からも重要です。以下は、リソース消費ルールの例です。

トラフィックを復号する SSL ルール：復号だけでなく、復号されたトラフィックの更なる分析にもリソースが必要です。絞り込みを細かくし、また可能な場合は、暗号化トラフィックをブロックするか、復号しないようにします。
ディープインスペクションを呼び出すアクセスコントロールルール：特に複数のカスタム侵入ポリシーと変数セットを使用している場合、侵入ファイルやマルウェアのインスペクションにはリソースが必要です。ディープインスペクションは必要な場所でのみ呼び出されることを確認してください。

最大のパフォーマンスによるメリットを得るため、インターフェイスによってルールを制約します。ルールがデバイスのすべてのインターフェイスを除外する場合、そのルールはそのデバイスのパフォーマンスに影響しません。

ルールの順序指定のガイドライン

ルールのプリエンプション

ルールのプリエンプションが発生するのは、評価する順番が前のルールがトラフィックと一致するために、その後のルールが全くトラフィックと一致しない場合です。ルールの条件により、そのルールが他のルールをプリエンプション処理するかどうかが決まります。次の例では、最初のルールが管理トラフィックを許可するため、2 番目のルールがそのトラフィックをブロックできません。

アクセスコントロールルール 1：管理ユーザを許可
アクセスコントロールルール 2：管理ユーザをブロック

どのようなタイプのルール条件でも、後続のルールを回避する可能性があります。次の例では、最初の SSL ルールでの VLAN 範囲に 2 番目のルールでの VLAN が含まれるため、最初のルールが 2 番目のルールをプリエンプション処理します。

SSL ルール 1：VLAN 22 ～ 33 を復号しない
SSL ルール 2：VLAN 27 をブロック

次の例では、VLAN が設定されていないルール 1 はあらゆる VLAN と一致します。そのため、ルール 1 がルール 2 をプリエンプション処理し、ルール 2 での VLAN 2 の照合は行われません。

アクセスコントロールルール 1：送信元ネットワーク 10.4.0.0/16 を許可
アクセスコントロールルール 2：送信元ネットワーク 10.4.0.0/16、VLAN 2 を許可

あるルールとその後続のルールがまったく同じで、いずれもすべて同じ条件が設定されている場合、後続のルールがプリエンプション処理されます。

QoS ルール 1: VLAN 1 URL www.netflix.com をレート制限
QoS ルール 2: VLAN 1 URL www.netflix.com をレート制限

条件が 1 つでも異なる場合は、後続のルールがプリエンプション処理されることはありません。

QoS ルール 1: VLAN 1 URL www.netflix.com をレート制限
QoS ルール 2: VLAN 2 URL www.netflix.com をレート制限

例：プリエンプションを避けるための SSL ルールの順序付け

ここで 1 つのシナリオとして、信頼できる CA（Good CA）が悪意のあるエンティティ（Bad CA）に間違って CA 証明書を発行してしまい、その証明書を取り消していない状況を考えてみましょう。信頼できない CA によって発行された証明書で暗号化されたトラフィックは SSL ポリシーを使用してブロックしたいものの、信頼できる CA の信頼チェーン内にあるそれ以外のトラフィックは許可したいとします。CA 証明書とすべての中間 CA 証明書をアップロードした後、ルールを以下の順序で設定した SSL ポリシーを構成します。

SSL ルール 1：発行元 CN=www.badca.com をブロック
SSL ルール 2：発行元 CN=www.goodca.com を復号しない

上記のルールを逆の順序にすると、不正な CA で信頼されたトラフィックを含め、正当な CA で信頼されたすべてのトラフィックが最初に一致することになります。どのトラフィックも後続の不正な CA ルールに一致しないため、悪意のあるトラフィックはブロックされずに許可される可能性があります。

ルールのアクションとルールの順序

ルールのアクションによって、一致したトラフィックの処理方法が決まります。パフォーマンスを向上させるには、リソースを集約的に使用するルールを実行する前に、トラフィックの追加処理を実行または保証しないルールを配置してください。これにより、システムはさらに検査する必要のあるトラフィックだけを転送できます。

以下の例は、一連のルールがすべて同等に重要であり、プリエンプションが問題にならない場合に、さまざまなポリシーでルールを順序付ける方法を示しています。

最適な順序：SSL ルール

復号にはリソースが必要になるだけでなく、復号後のトラフィックの分析も必要になります。したがって、トラフィックを復号する SSL ルールを最後に配置します。

[モニタ（Monitor）]：一致する接続をログに記録するだけで、トラフィックに対して他のアクションは実行しないルール。
[ブロック（Block）]、[リセットしてブロック（Block with reset）]：それ以上のインスペクションを行わずにトラフィックをブロックするルール。
[復号しない（Do not decrypt）]：暗号化トラフィックを復号しないまま、暗号化セッションをアクセスコントロールルールに渡すルール。これらのセッションのペイロードにディープインスペクションは適用されません。
[復号 - 既知のキー（Decrypt - Known Key）]：既知の秘密キーを使用して着信トラフィックを復号するルール。
[復号 - 再署名（Decrypt - Resign）]：サーバ証明書に再署名することによって発信トラフィックを復号するルール。

最適な順序：アクセスコントロールルール

複数のカスタム侵入ポリシーと変数セットを使用している場合は特に、侵入、ファイル、マルウェアのインスペクションにリソースが必要です。したがって、ディープインスペクションを呼び出すアクセスコントロールルールを最後に配置します。

[モニタ（Monitor）]：一致する接続をログに記録するだけで、トラフィックに対して他のアクションは実行しないルール。
[信頼（Trust）]、[ブロック（Block）]、[リセットしてブロック（Block with reset）]：それ以上のインスペクションを行わずにトラフィックを処理するルール。信頼できるトラフィックは、アイデンティティポリシーが課す認証要件、およびレート制限の対象となることに注意してください。
[許可（Allow）]、[インタラクティブブロック（ディープインスペクションなし）（Interactive Block (no deep inspection)）]：それ以上のインスペクションを行わずにトラフィックのディスカバリを許可するルール。許可されるトラフィックは、アイデンティティポリシーが課す認証要件、およびレート制限の対象となることに注意してください。
[許可（Allow）]、[インタラクティブブロック（ディープインスペクションあり）（Interactive Block (deep inspection)）]：禁止されているファイル、マルウェア、エクスプロイトのディープインスペクションを実行するファイルポリシーまたは侵入ポリシーに関連付けられているルール。

コンテンツ規制ルールの順序

SSL とアクセスコントロールポリシーの両方でルールのプリエンプションを避けるため、YouTube 規制を制御するルールは、セーフサーチ規制を制御するルールの上に配置します。

アクセスコントロールルールに対してセーフサーチを有効にする場合、システムは検索エンジンのカテゴリを [選択したアプリケーションとフィルタ（Selected Applications and Filters）] リストに追加します。このアプリケーションカテゴリには YouTube が含まれます。結果として、YouTube EDU がさらに上位の評価優先順位を持つルールで有効にされていない限り、YouTube トラフィックはセーフサーチルールに一致します。

同様のルールのプリエンプションは、セーフサーチサポート フィルタを持つ SSL ルールを、評価順序内で特定の YouTube アプリケーション条件を持つ SSL ルールよりも高い順序に配置した場合に生じます。

SSL ルールの順序

証明書がピニングされたサイトからのトラフィックの許可

一部のアプリケーションでは、アプリケーション自体に元のサーバ証明書のフィンガープリントを埋め込む、SSL ピニングまたは証明書ピニングと呼ばれる技術が使用されます。そのため、[復号 - 再署名（Decrypt - Resign）] アクションで SSL ルールを設定した場合は、アプリケーションが管理対象デバイスから再署名された証明書を受信すると、検証が失敗し、接続が中断されます。

SSL ピニングが行われていることを確認するには、Facebook などのモバイルアプリケーションへのログインを試みます。ネットワーク接続エラーが表示された場合は、Web ブラウザを使用してログインします。（たとえば、Facebook のモバイルアプリケーションにログインすることはできませんが、Safari または Chrome を使用して Facebook にログインすることはできます）。Firepower Management Center の接続イベントは、SSL ピニングのさらなる証明として使用できます

（注）

SSL ピニングはモバイルアプリケーションに限定されません。

このトラフィックを許可するには、サーバ証明書の共通名または識別名と一致させるために、[復号しない（Do Not Decrypt）] アクションを使用して SSL ルールを設定します。SSL ポリシーでは、このルールを、トラフィックと一致するすべての [復号 - 再署名（Decrypt - Resign）] ルールの前に配置してください。Web サイトに正常に接続された後で、クライアントブラウザから、ピニングされた証明書を取得できます。また、接続が成功したか失敗したかに関わらず、ログに記録された接続イベントから証明書を表示できます。

ClientHello の変更の優先順位付け

ClientHello の変更を優先順位付けするには、ServerHello またはサーバ証明書条件に一致するルールの前に、ClientHello メッセージで使用可能な条件に一致するルールを配置します。

管理対象デバイスが SSL ハンドシェイクを処理するときに、ClientHello メッセージを変更して、復号の可能性を高めることができます。たとえば、Firepower システムは圧縮されたセッションを復号できないので、圧縮メソッドを削除できます。

システムは [復号 - 再署名（Decrypt - Resign）] アクションを含む SSL ルールに最終的に一致させることができる場合、ClientHello メッセージを変更するのみです。システムが新しいサーバへの暗号化セッションを最初に検出したときは、サーバ証明書データを ClientHello の処理には使用できません。これは復号されていない最初のセッションとなる可能性があります。同じクライアントからの後続の接続で、システムはサーバ証明書条件を含むルールに ClientHello メッセージを最終的に一致させ、メッセージを処理して、復号の可能性を最大化できます。

ServerHello またはサーバ証明書条件（証明書、識別名、証明書のステータス、暗号スイート、バージョン）と一致するルールを、ClientHello 条件（ゾーン、ネットワーク、VLAN タグ、ポート、ユーザ、アプリケーション、URL カテゴリ）と一致するルールの前に配置する場合、ClientHello の変更をプリエンプション処理し、復号されないセッションの数を増やすことができます。

URL ルールの順序

その他のルールがアプリケーション条件を含んでいる。
検査対象のトラフィックが暗号化されている場合。

侵入ポリシーの急増を回避するためのガイドライン

アクセスコントロールポリシーでは、1 つの侵入ポリシーを各許可ルール、インタラクティブブロックルール、およびデフォルトアクションと関連付けることができます。侵入ポリシーと変数セットの固有のペアはすべて、1 つのポリシーと見なされます。

ただし、ターゲットデバイスでサポートされるアクセスコントロールルールや侵入ポリシーには最大数があります。この最大数は、ポリシーの複雑性、物理メモリ、デバイスのプロセッサ数などの、さまざまな要因によって異なります。

デバイスでサポートされる最大を超えるとアクセスコントロールポリシーは展開できず、再評価する必要があります。いくつかの侵入ポリシーまたは変数セットを統合すると、複数のアクセスコントロールルールに 1 つの侵入ポリシーと変数セットのペアを関連付けることができます。一部のデバイスでは、すべての侵入ポリシーに関して 1 つの変数セットだけを使用できる場合や、デバイス全体でただ 1 つの侵入ポリシー/変数セットペアだけを使用できる場合があります。

大規模接続（フロー）のオフロード

データセンターの Firepower 4100/9300 シャーシで Firepower Threat Defense を展開する場合、ハードウェアにオフロードされるトラフィックの選択を有効にできます。これは、Firepower Threat Defense デバイスのソフトウェアや CPU で処理されないことを意味します。

トラフィックが NIC 自体で切り替えられる超高速パスにオフロードされるトラフィックを識別して選択できます。これは、静的フローオフロードと呼ばれます。オフロードによって、大容量ファイルの転送など、データ集約型アプリケーションのパフォーマンスを向上させることができます。

ハイパフォーマンスコンピューティング（HPC）調査サイト。ここでは、Firepower Threat Defense デバイスがストレージと高コンピューティングステーション間で展開されます。1 つの調査サイトが NFS 経由の FTP ファイル転送またはファイル同期を使用してバックアップを行うと、大量のデータトラフィックがすべての接続に影響を与えます。NFS を介する FTP ファイル転送およびファイル同期のオフロードによって、他のトラフィックへの影響が軽減されます。
主にコンプライアンス目的で使用される High Frequency Trading（HFT）。ここでは、Firepower Threat Defense デバイスがワークステーションと Exchange 間で展開されます。セキュリティは通常は問題にはなりませんが、遅延は大きな問題です。

Firepower 4100/9300 シャーシでは、以下の基準を満たす接続をオフロードできます。

（静的フローオフロードのみ）プレフィルタポリシーにより FastPath される。
（動的フローオフロードのみ）。アクセスコントロールポリシーの [信頼（Trust）] ルールのアクションと一致させます。
IPv4 アドレスのみ。

TCP、UDP、GRE のみ。

（注）

PPTP GRE 接続はオフロードされません。

標準または 802.1Q タグ付きイーサネットフレームのみ。
スイッチドまたはルーテッドインターフェイスのみ。パッシブ、インライン、インラインタップインターフェイスではサポートされません。

静的フローオフロードの使い方

オフロードに適格なフローを識別するには、FastPath アクションを適用するプレフィルタポリシールールを作成します。TCP/UDP にはプレフィルタルールを使用し、GRE にはトンネルルールを使用します。ちなみに、セキュリティゾーン、送信元と宛先のネットワーク、およびポートのマッチングのみに基づいて [信頼（Trust）] アクションを適用するようにアクセスコントロールルールを設定し、[セキュリティインテリジェンス（Security Intelligence）] を無効にする場合、これらのルールをマッチングするフローも、オフロードに適格なフローになります。

接続が確立されると、オフロードに適格な接続であれば、さらなる処理が Firepower Threat Defense ソフトウェアではなく NIC で行われます。オフロードされたフローは、引き続き制限付きステートフルインスペクション（基本的な TCP フラグおよびオプションのチェックなど）を受信します。システムは必要に応じてさらなる処理のためにファイアウォールシステムへのパケットを選択的に増やすことができます。

オフロードされたフローのリバースフローもオフロードされます。

動的フローオフロードの使い方

動的フローオフロードはデフォルトで有効です。

（注）

動的フローオフロード条件に一致する 2 つ以上のフローが、同時にオフロードにキューイングされた場合、衝突が発生します。衝突が発生した場合は、最初のフローのみがオフロードします。他のフローは通常どおりに処理されます。show flow-offload flow コマンドは、衝突の統計情報を表示します。

次に、動的オフロードの無効化の例を示します。

> configure flow-offload dynamic whitelist disable

次に、動的オフロードの有効化の例を示します。

> configure flow-offload dynamic whitelist enable

フローオフロードの制限事項

すべてのフローをオフロードできるわけではありません。オフロードの後でも、フローを特定の条件下でのオフロードから除外することができます。次に、制限事項の一部を示します。

オフロードできないフロー

次のタイプのフローはオフロードできません。

IPv6 アドレッシングを使用するフロー。

TCP、UDP、GRE 以外のプロトコルに対するフロー。

（注）

PPTP GRE 接続はオフロードできません。

パッシブ、インラインまたはインラインタップモードで設定されたインターフェイス上のフロー。ルーテッドインターフェイスおよびスイッチインターフェイスがサポートされている唯一のタイプです。
Snort またはその他のインスペクションエンジンによるインスペクションが必要なフロー。FTP など場合によっては、コントロールチャネルはオフロードできませんがセカンダリデータチャネルはオフロードできます。
IPsec および VPN 接続。
存続可能時間（TTL）値を減少させるフロー。
暗号化または復号を必要とするフロー。
マルチキャストフロー。
AAA 関連のフロー。
Vpath、VXLAN 関連のフロー。
URL フィルタリング。
Tracer フロー。
セキュリティグループでタグ付けされたフロー。
クラスタで非対称フローが発生した場合に備えて、別のクラスタノードから転送されるリバースフロー。
クラスタ内の一元化されたフロー（フローのオーナーがマスターでない場合）。

オフロードを無効にする条件

フローがオフロードされた後、フロー内のパケットは次の条件を満たす場合に Firepower Threat Defense デバイスに返され、さらに処理されます。

タイムスタンプ以外の TCP オプションが含まれている。
フラグメント化されている。
これらは等コストマルチパス（ECMP）ルーティングの対象であり、入力パケットは 1 つのインターフェイスから別のインターフェイスに移動する。

アイコン	説明	例
error	ルールまたは設定にエラーがある場合、影響を受けるルールを無効にしても、問題を修正するまではポリシーを展開できません。	カテゴリおよびレピュテーションベースの URL フィルタリングを実行するルールは、URL フィルタリングライセンスのないデバイスをターゲットにする時点まで有効です。その時点で、ルールの横にエラーアイコンが表示され、ポリシーを展開できなくなります。ポリシーを展開するには、このルールを編集または削除するか、ポリシーのターゲットを変更するか、URL フィルタリングライセンスを有効にする必要があります。
警告	ルールに関する警告またはその他の警告が表示されていても、ポリシーを展開することはできます。しかし、警告でマークされている誤った設定は有効になりません。警告が出されているルールを無効にすると、警告アイコンが消えます。潜在する問題を修正せずにルールを有効にすると、警告アイコンが再表示されます。	プリエンプトされるルール、または誤った設定によりトラフィックを照合できないルールは有効になりません。誤った設定には、空のオブジェクトグループ、一致するアプリケーションがないアプリケーションフィルタ、除外された LDAP ユーザ、無効なポートなどを使用した条件が含まれます。一方、警告アイコンがライセンスエラーまたはモデルの不一致を示している場合は、問題を修正するまでそのポリシーを展開することはできません。
情報	情報アイコンは、トラフィックのフローに影響する可能性がある設定に関する有用な情報を表示します。これらの問題によってポリシーの展開が阻止されることはありません。	アプリケーション制御および URL フィルタリングが適用されている場合、システムは接続でアプリケーショントラフィックまたは Web トラフィックを識別するまで、その接続の最初の数パケットと一部のルールとの照合をスキップすることがあります。これにより接続を確立することができ、アプリケーションと HTTP 要求を識別できるようになります。

Firepower Management Center バージョン 6.2 コンフィギュレーション ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： ルール管理：共通の特性

ルール管理：共通の特性

ルールの概要

共通の特性を持つルール

共通の特性のないルール

ルール条件タイプ

ルール条件の仕組み

送信元と宛先の基準

条件ごとの項目

単純なルールの仕組み

インターフェイス条件

トンネルゾーンとセキュリティ ゾーン

インターフェイス条件を持つルール

例：セキュリティ ゾーンを使用したアクセス制御

インターフェイス条件の設定

始める前に

手順

次のタスク

ネットワーク条件

ネットワーク条件での地理位置情報

ネットワーク条件での元のクライアント（プロキシ トラフィックのフィルタリング）

ネットワーク条件を使用したルール

ネットワーク条件の設定

手順

例：アクセス制御ルールのネットワーク条件

次のタスク

トンネル エンドポイント条件

トンネル エンドポイント条件の設定

手順

次のタスク

VLAN 条件

VLAN 条件が含まれたルール

ポートおよび ICMP コードの条件

送信元と宛先ポートの制約の使用

ポート条件を使用した非 TCP トラフィックの照合

ポート条件を使用したルール

ポート条件の設定

手順

次のタスク

カプセル化の条件

アプリケーション条件（アプリケーション制御）

アプリケーション フィルタの利点

アプリケーション条件の設定

アプリケーション条件とフィルタの設定

始める前に

手順

例：アクセス制御ルールのアプリケーション条件

次のタスク

アプリケーションの特性

アプリケーション制御のガイドラインと制限事項

アダプティブ プロファイルが有効になっていることの確認

アプリケーション ディテクタの自動有効化

アプリケーション識別の速度

アプリケーションや他のルールより前に配置される URL ルール

暗号化および復号トラフィックのアプリケーション制御

アプリケーションのアクティブ認証の免除

ペイロードのないアプリケーション トラフィック パケットの処理

参照されるアプリケーション トラフィックの処理

複数のプロトコルを使用するアプリケーション トラフィックの制御（Skype、Zoho）

コンテンツ制限機能用にサポートされる検索エンジン

回避的アプリケーション トラフィックの制御

用途別の注意事項と制限事項

URL 条件（URL フィルタリング）

URL 条件を伴うルール

カテゴリおよびレピュテーションによる URL のフィルタリングについて

カテゴリおよびレピュテーションベースの URL フィルタリングのメリット

カテゴリとレピュテーションによる URL フィルタリングに関する追加情報

手動 URL フィルタリング

URL 条件の設定

手順

例：アクセス制御ルールの URL 条件

次のタスク

HTTPS トラフィックのフィルタリング

暗号化プロトコルによるトラフィックの制御

URL フィルタリングのガイドラインと制限事項

URL 識別の速度

章のタイトル：ルール管理：共通の特性

トンネルゾーンとセキュリティゾーン

例：セキュリティゾーンを使用したアクセス制御

ネットワーク条件での元のクライアント（プロキシトラフィックのフィルタリング）

トンネルエンドポイント条件

トンネルエンドポイント条件の設定

アプリケーションフィルタの利点

アダプティブプロファイルが有効になっていることの確認

アプリケーションディテクタの自動有効化

ペイロードのないアプリケーショントラフィックパケットの処理

参照されるアプリケーショントラフィックの処理

複数のプロトコルを使用するアプリケーショントラフィックの制御（Skype、Zoho）

回避的アプリケーショントラフィックの制御

URL での検索クエリパラメータ

選択したデバイスモデルのメモリ制限

アイデンティティソース/認証方式の設定

アイデンティティポリシーの作成

レルム、ユーザ、またはユーザグループを対象とするルールがトラフィックと一致しない

ユーザグループまたはユーザグループ内のユーザを対象とするルールが、一致することが想定されているトラフィックと一致しない

セカンダリグループ内のユーザを対象とするルールが、一致することが想定されているトラフィックと一致しない

カスタムセキュリティグループタグ（SGT）から ISE セキュリティグループタグ（SGT）への自動遷移

使用不可のセキュリティグループタグオブジェクト

デバイス別のフィルタリングルール

最適な順序：アクセスコントロールルール

静的フローオフロードの使い方

動的フローオフロードの使い方

フローオフロードの制限事項