ルールの概要
さまざまなポリシー内のルールで、ネットワーク トラフィックをきめ細かく制御できます。システムは最初の一致のアルゴリズムを使用して、指定した順番でルールに照らし合わせてトラフィックを評価します。
これらのルールはポリシー全体で一貫していない他の設定を含んでいる場合もありますが、次のような多くの基本的な特性や設定メカニズムは共通です。
-
条件:ルールの条件は各ルールが処理するトラフィックを指定します。各ルールには複数の条件を設定できます。トラフィックがルールに一致するには、すべての条件に一致する必要があります。
-
アクション:ルールのアクションによって、一致するトラフィックの処理方法が決まります。選択できる [アクション(Action)] リストがルールにない場合でも、ルールには関連付けられたアクションが 1 つある点に注意してください。たとえば、カスタム ネットワーク分析ルールはそのルールの「アクション」としてネットワーク分析ポリシーを使用します。 別の例としては、QoS ルールの場合、どの QoS ルールでもトラフィックのレート制限という同じ動作をするため、明示的なアクションはありません。
-
位置:ルールの位置は評価の順番を決定します。ポリシーを使ってトラフィックを評価すると、システムは指定した順序でトラフィックとルールを照合します。通常は、システムによるトラフィックの処理は、すべてのルールの条件がトラフィックに一致する最初のルールに従って行われます(トラフィック フローの追跡と記録を行うがトラフィック フローには影響しないモニタ ルールは例外です)。適切なルールの順序を指定することで、ネットワーク トラフィックの処理に必要なリソースが削減され、ルールのプリエンプションを回避できます。
-
カテゴリ:いくつかのルール タイプを整理するために、各親ポリシーでカスタムのルール カテゴリを作成できます。
-
ロギング:多くのルールでは、ルールが処理する接続をシステムがロギングするかどうか、およびロギングの処理方法は、ロギングの設定によって制御されます。一部のルール(ID ルールやネットワーク分析ルールなど)にはロギング設定は含まれません。これは、ルールが接続の最終的な性質を決定するわけではなく、またそのルールが接続をロギングするために特別に設計されているわけではないためです。別の例としては、QoS ルールにはロギングの設定は含まれていません。これは、レート制限されているというだけの理由で接続をロギングすることはできないためです。
-
コメント:一部のルール タイプでは、変更を保存するたびにコメントを追加できます。たとえば、他のユーザのために設定全体を要約したり、ルールの変更時期と変更理由を記載することができます。
ヒント |
多くのポリシーエディタでは、右クリック メニューで編集、削除、移動、有効化、無効化など、数多くのルール管理オプションへのショートカットを提供しています。 |
共通の特性を持つルール
この章では、以下のルールや設定に見られる多くの共通の側面について説明しています。共通していない設定の情報については、以下を参照してください。
-
アクセス コントロール ルール:アクセス コントロール ルール
-
トンネルとプレフィルタ ルール:トンネルとプレフィルタ ルールのコンポーネント
-
SSL ルール:SSL ルールの作成および変更
-
DNS ルール:DNS ルールの作成および編集
-
ID ルール:
-
ネットワーク分析ルール:ネットワーク分析ルールの設定
-
QoS ルール:QoS ルールの設定
-
インテリジェント アプリケーション バイパス(IAB):インテリジェント アプリケーション バイパス
-
アプリケーション フィルタ:アプリケーション フィルタ
共通の特性のないルール
次のルールの設定は、この章では説明していません。
-
侵入ルール:ルールを使用した侵入ポリシーの調整
-
ファイル ルール:ファイル ルール
-
相関ルール:相関ルールの設定
-
NAT ルール(クラシック):7000 および 8000 シリーズ デバイス用の NAT
-
NAT ルール(Firepower Threat Defense):Firepower Threat Defense 用のネットワーク アドレス変換(NAT)
-
8000 シリーズ ファスト パス ルール:高速パス ルールの設定(8000 シリーズ)