Cisco ASA with FirePOWER Services バージョン 6.3 ローカル管理設定 ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco ASA with FirePOWER Services バージョン 6.3 ローカル管理設定 ガイド

Chapter Title

アクセス コントロール ルールを使用したトラフィック フローの調整

検索結果

Updated:
2019年4月2日

章のタイトル: アクセス コントロール ルールを使用したトラフィック フローの調整

アクセス コントロール ルールを使用したトラフィック フローの調整

アクセス コントロール ポリシーでは、アクセス コントロール ルールによってネットワーク トラフィックの詳細な処理方法が提供されます。


(注)  
セキュリティ インテリジェンス ベースのトラフィック フィルタリング、および一部の復号化と前処理は、ネットワーク トラフィックがアクセス コントロール ルールによって評価される前に行われます。また、SSL インスペクション機能を設定し、暗号化されたトラフィックをアクセス コントロール ルールが評価する前にブロックまたは復号化することができます。

アクセス コントロール ルールによるトラフィックの評価

システムは、指定した順にアクセス コントロール ルールをトラフィックと照合します。ほとんどの場合、システムは、すべてのルールの条件がトラフィックに一致する場合、最初のアクセス コントロール ルールに従ってネットワーク トラフィックを処理します。条件は単純または複雑にできます。セキュリティ ゾーン、ネットワークまたは地理的位置、ポート、アプリケーション、要求された URL、およびユーザごとにトラフィックを制御できます。

各ルールには、一致するトラフィックをモニタ、信頼、ブロック、または許可するかどうかを決定するアクションも含まれています。トラフィックを許可するときは、システムが侵入ポリシーまたはファイル ポリシーを使用してトラフィックを最初に検査し、アセットに到達したりネットワークを出る前に、エクスプロイト、マルウェア、または禁止されたファイルをブロックするように指定できます。ただし、システムはトラフィックを信頼またはブロックした後は、追加のインスペクションを実行しません

次のシナリオでは、インラインの侵入防御展開環境で、アクセス コントロール ルールによってトラフィックを評価できる方法を要約しています。

このシナリオでは、トラフィックは次のように評価されます。

  • ルール 1:モニタはトラフィックを最初に評価します。モニタ ルールはネットワーク トラフィックを追跡してログに記録しますが、トラフィック フローには影響しません。システムはトラフィックと追加ルールの照合を継続して、許可するか拒否するかを決定します。

  • ルール 2:信頼はトラフィックを 2 番目に評価します。一致するトラフィックは、追加のインスペクションなしでその宛先への通過を許可されます。一致しなかったトラフィックは、次のルールへと進められます。

  • ルール 3:ブロックはトラフィックを 3 番目に評価します。一致したトラフィックは、それ以上のインスペクションは行わずに、ブロックされます。一致しないトラフィックは、引き続き最後のルールと照合されます。

  • ルール 4:許可は最後のルールです。このルールの場合、一致するトラフィックは許可されますが、そのトラフィック内の禁止されたファイル、マルウェア、侵入およびエクスプロイトは検出されてブロックされます。残りの禁止されていない悪意のないトラフィックは宛先に許可されます。ファイル インスペクションのみを実行する、または侵入インスペクションのみを実行する、もしくは両方とも実行しない追加の許可ルールを割り当てることができることに留意してください。

  • デフォルト アクションはルールのいずれにも一致しないすべてのトラフィックを処理します。このシナリオでは、デフォルト アクションは、悪意のないトラフィックの通過を許可する前に侵入防御を実行します。別の展開では、追加のインスペクションなしですべてのトラフィックを信頼またはブロックするデフォルト アクションが存在する場合があります。(デフォルト アクションで処理されるトラフィックでは、ファイルまたはマルウェアのインスペクションを実行できません)。

アクセス コントロール ルールの作成および編集

ライセンス:任意

アクセス コントロール ポリシー内で、アクセス コントロール ルールはネットワーク トラフィックを処理する詳細な方法を提供しています。一意の名前に加え、各アクセス コントロール ルールには次の基本コンポーネントがあります。

状態

デフォルトでは、ルールが有効状態になります。無効にしたルールはネットワーク トラフィックの評価には使用されなくなり、そのルールの場合の警告とエラーの生成が停止されます。

位置

アクセス コントロール ポリシー内の各ルールには、1 から始まる番号が付きます。システムは、ルール番号の昇順で上から順に、ルールをトラフィックと照合します。モニタ ルールを除き、トラフィックが一致する最初のルールがそのトラフィックを処理するルールになります。

条件

条件は、ルールで処理する特定のトラフィックを指定します。条件は、セキュリティ ゾーン、ネットワークまたは地理的位置、ポート、アプリケーション、要求された URL、またはユーザ別にトラフィックを照合できます。条件は単純または複雑にできます。条件の使用はライセンスによって異なります。

アクション

ルールのアクションは、一致したトラフィックの処理方法を決定します。一致するトラフィックをモニタ、信頼、ブロック、または許可(追加のインスペクションあり/なしで)することができます。システムは、信頼されたトラフィックとブロックされたトラフィックに対してインスペクションを実行しないことに注意してください。

インスペクション

アクセス コントロール ルールのインスペクション オプションは、何も行われなければユーザが許可していたであろう悪意のあるトラフィックをシステムが検査およびブロックする方法を制御します。ルールを使用してトラフィックを許可するときは、システムが侵入ポリシーまたはファイル ポリシーを使用してトラフィックを最初に検査し、アセットに到達したりネットワークを出る前に、エクスプロイト、マルウェア、または禁止されたファイルをブロックするように指定できます。

ロギング

ルールのロギング設定は、システムが処理するトラフィックのレコードの維持を制御します。各ルールに一致したトラフィックのレコードを維持できます。一般に、接続の開始時および終了時にセッションをログに記録できます。接続のログは、ASA FirePOWER モジュールの他に、システム ログ(syslog)または SNMP トラップ サーバに記録できます。

アクセス コントロール ルールで変更を保存するたびに、コメントを追加できます。

アクセス コントロール ルールを追加および編集するには、アクセス コントロール ルール エディタを使用します。アクセス コントロール ポリシー エディタの [Rules] タブからルール エディタにアクセスします。ルール エディタで、次の操作を実行します。

  • エディタの上部で、ルールの名前、状態、位置、アクションなどの基本的なプロパティを設定します。

  • エディタの左下にあるタブを使用して、条件を追加します。

  • インスペクションおよびロギングのオプションを設定し、さらにルールにコメントを追加するには、右下にあるタブを使用します。便宜上、どのタブを表示しているかに関係なく、エディタにはルールのインスペクションおよびロギングのオプションがリストされます。


(注)  
アクセス コントロール ルールの適切な作成と順序付けは複雑なタスクですが、効果的な展開を構築するためには必須なものです。慎重なポリシーの設計を怠ると、他のルールをプリエンプション処理したり、追加ライセンスが必要となったり、無効な設定を含んだルールになる可能性があります。システムが想定どおりにトラフィックを確実に処理できるように、アクセス コントロール ポリシー インターフェイスにはルールに対する強力な警告およびエラーのフィードバック システムがあります。詳細については、アクセス コントロール ポリシーとルールのトラブルシューティングを参照してください。

アクセス コントロール ルールを作成または変更するには、次の手順を実行します。

手順

ステップ 1

[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Access Control Policy] の順に選択します。

ステップ 2

ルールの追加先にするアクセス コントロール ポリシーの横にある編集アイコン()をクリックします。
ステップ 3

次の選択肢があります。

  • 新しいルールを追加するには、[ルールの追加(Add Rule)] をクリックします。

  • 既存のルールを編集するには、そのルールの横にある編集アイコン()をクリックします。
ステップ 4

規則の名前を入力します。

各ルールには一意の名前が必要です。30 文字までの印刷可能文字を使用できます。スペースや特殊文字を含めることができますが、コロン(:)は使用できません。
ステップ 5

前述の説明に従い、ルール コンポーネントを設定します。次の設定をするか、デフォルト設定をそのまま使用することができます。
ステップ 6

[Store FirePOWER Changes] をクリックしてルールを保存します

.

ルールが保存されます。削除アイコン()をクリックすると、ルールを削除できます。変更を反映させるには、アクセス コントロール ポリシーを適用する必要があります。を参照してください。 設定変更の導入

ルールの評価順序の指定

ライセンス:任意

最初にアクセス コントロール ルールを作成するときに、ルール エディタで [Insert] ドロップダウンリストを使用してその位置を指定します。アクセス コントロール ポリシー内の各ルールには、1 から始まる番号が付きます。システムは、ルール番号の昇順で先頭から順にアクセス コントロール ルールをトラフィックと照合します。

ほとんどの場合、システムは、すべてのルールの条件がトラフィックに一致する場合、最初のアクセス コントロール ルールに従ってネットワーク トラフィックを処理します。モニタ ルール(トラフィックをログに記録するがトラフィック フローには影響しないルール)の場合を除き、システムは、そのトラフィックがルールに一致した後、追加の優先順位の低いルールに対してトラフィックを評価し続けることはありません


ヒント
アクセス コントロール ルールの順序を適切にすることで、ネットワーク トラフィックの処理に必要なリソースが減り、ルールのプリエンプションを回避できます。ユーザが作成するルールはすべての組織と展開に固有のものですが、ユーザのニーズに対処しながらもパフォーマンスを最適化できるルールを順序付けする際に従うべきいくつかの一般的なガイドラインがあります。詳細については、パフォーマンスを向上させプリエンプションを回避するためのルールの順序付けを参照してください。

ルールは数値で順序付けするだけでなく、カテゴリ別にグループ化することもできます。デフォルトで、システムには 3 つのカテゴリ(管理者、標準、ルート)があります。カスタム カテゴリを追加できますが、 シスコ提供のカテゴリは削除したり、順序を変更したりできません。既存のルールの位置またはカテゴリの変更の詳細については、を参照してください。 ルールの位置またはカテゴリの変更

ルールの編集や作成中にルールをカテゴリに追加する手順:

手順

アクセス コントロール ルール エディタで、[Insert] ドロップダウンリストから [Into Category] を選択し、使用するカテゴリを選択します。

ルールを保存すると、そのカテゴリの最後に配置されます。

ルールの評価順序の指定

ルールの編集や作成中にルールの位置を数値で指定する手順:

手順

アクセス コントロール ルール エディタで、[Insert] ドロップダウンリストから [above rule] または [below rule] を選択し、適切なルール番号を入力します。

ルールを保存すると、指定した場所に配置されます。

ルールが処理するトラフィックを指定するための条件の使用

ライセンス:機能に応じて異なる

アクセス コントロール ルールの条件によって、ルールが処理するトラフィックのタイプが識別されます。条件は単純または複雑にできます。セキュリティ ゾーン、ネットワークまたは地理的位置、ポート、アプリケーション、要求された URL、およびユーザごとにトラフィックを制御できます。

条件をアクセス コントロール ルールに追加する場合は、次の点に注意してください。

  • 1 つのルールにつき複数の条件を設定できます。ルールがトラフィックに適用されるには、トラフィックがそのルールのすべての条件に一致する必要があります。たとえば、特定のホストの URL フィルタリング(URL 条件)を実行する単一のルールを使用できます(ゾーンまたはネットワーク条件)。

  • ルールの条件ごとに、最大 50 の基準を追加できます。条件の基準のいずれかに一致するトラフィックはその条件を満たします。たとえば、単一のルールを使用して、最大 50 のユーザおよびグループのユーザ制御を実行できます。

最大 50 の送信元の基準と最大 50 の宛先の基準を使用して、送信元と宛先ごとにゾーンおよびネットワークの条件を制約できます。送信元基準と宛先基準の両方をゾーンまたはネットワーク条件に追加する場合、一致するトラフィックは指定された送信元ゾーン/ネットワークの 1 つから発生し宛先ゾーン/ネットワークの 1 つを通って出力する必要があります。つまり、システムは、同じタイプの複数の条件基準を OR 演算でリンクし、複数の条件タイプを AND 演算でリンクします。たとえば、次のようなルール条件の場合、 


Source Networks: 10.0.0.0/8, 192.168.0.0/16
Application Category: peer to peer

ルールは、プライベートな IPv4 ネットワークの 1 つでホストからのピアツーピア アプリケーション トラフィックを照合します。パケットはいずれか一方または他の送信元ネットワークから発生しピアツーピア アプリケーション トラフィックを表す必要があります。次の接続の両方がルールをトリガーします。 


10.42.0.105 to anywhere, using LimeWire
192.168.42.105 to anywhere, using Kazaa

ルールに対し特定の条件を設定しない場合、システムはその基準に基づいてトラフィックを照合しません。たとえば、ネットワーク条件を持つがアプリケーション条件を持たないルールは、セッションで使用されるアプリケーションに関係なく、送信元または宛先に基づいてトラフィックを評価します。


(注)  
アクセス コントロール ポリシーを適用すると、システムはすべてのルールを評価し、ネットワーク トラフィックを評価するために ASA FirePOWER モジュールが使用する条件の拡張セットを作成します。複雑なアクセス コントロール ポリシーおよびルールは、重要なリソースを消費する可能性があります。アクセス コントロール ルールを簡素化するヒントと、パフォーマンスを改善する他の方法については、 を参照してください。 アクセス コントロール ポリシーとルールのトラブルシューティング

アクセス コントロール ルールを追加または編集するときは、ルール エディタの左下にあるタブを使用してルール条件を追加および編集します。次の表に、追加できる条件のタイプを示します。表のタイトル:アクセス コントロール ルール条件のタイプ

条件

照合されるトラフィック

詳細

ゾーン

特定のセキュリティ ゾーンにあるインターフェイスを経由したデバイスへの着信または発信

セキュリティ ゾーンとは、展開やセキュリティ ポリシーに従って 1 つまたは複数のインターフェイスを論理的にグループ化したものです。ゾーン条件の作成については、を参照してください。 セキュリティ ゾーンによるトラフィックの制御

ネットワーク

その送信元または宛先の IP アドレス、国、または大陸による

明示的に IP アドレスまたはアドレス ブロックを指定できます。位置情報の機能では、送信元または宛先となる国や大陸を基準にしたトラフィック制御もできます。ネットワーク条件の作成については、を参照してください。 ネットワークまたは地理的位置によるトラフィックの制御

ポート

送信元ポートまたは宛先ポート

TCP および UDP の場合、トランスポート層プロトコルに基づいてトラフィックを制御できます。ICMP および ICMPv6(IPv6 ICMP)の場合、インターネット層プロトコルと、オプションのタイプおよびコードに基づいてトラフィックを制御できます。ポート条件を使用して、ポートを使用しない他のプロトコルでトラフィックを制御することもできます。ポート条件の作成については、を参照してください。 ポートおよび ICMP コードによるトラフィックの制御

アプリケーション

セッションで検出されるアプリケーション

基本的な特性であるタイプ、リスク、ビジネス関連性、カテゴリ、タグに応じて、個々のアプリケーションへのアクセスやフィルタ アクセスを制御できます。アプリケーション条件の作成については、を参照してください。 アプリケーション トラフィックの制御

URL

セッションで要求された URL による

ネットワーク上のユーザが個別にまたは URL の一般的な分類とリスク レベルに基づいてアクセスできる Web サイトを制限できますURL 条件の作成については、を参照してください。 URL のブロッキング

ユーザ

セッションに参加しているユーザ

モニタ対象セッションに参加するホストにログインした LDAP ユーザに基づいてトラフィックを制御できます。Microsoft Active Directory サーバから取得された個別ユーザまたはグループに基づいてトラフィックを制御できます。アクセス コントロール ルール:レルムとユーザを参照してください。

任意のライセンスを使ってアクセス コントロール ルールを作成できますが、ルール条件によっては、ポリシーを適用する前に、特定のライセンス機能を有効にする必要があることに注意してください。詳細については、アクセス コントロールのライセンス要件を参照してください。

ルール アクションを使用したトラフィック処理とインスペクションの決定

ライセンス:任意

すべてのアクセス コントロール ルールには、一致するトラフィックについて次のことを決定するアクションがあります。

  • 処理:まず第一に、ルール アクションは、システムがルールの条件に一致するトラフィックをモニタ、信頼、ブロック、または許可するかどうかを制御します。

  • インスペクション:特定のルール アクションでは、適切にライセンス付与されている場合、通過を許可する前に一致するトラフィックをさらに検査することができます。

  • ロギング:ルール アクションによって、一致するトラフィックの詳細をいつ、どのようにログに記録できるかが決まります。

アクセス コントロール ポリシーのデフォルト アクションは、モニタ アクセス コントロール ルール以外のどの条件にも一致しないトラフィックを処理します(デフォルトの処理の設定およびネットワーク トラフィックのインスペクションを参照)。

インライン展開されたデバイスのみがトラフィックをブロックまたは変更できることに留意してください。パッシブに展開されたデバイスは、トラフィックのフローを分析およびログに記録できますが、影響を与えることはありません。

モニタ アクション:アクションの延期とロギングの確保

ライセンス:任意

モニタ アクションはトラフィック フローに影響を与えません。つまり、一致するトラフィックが直ちに許可または拒否されることはありません。その代わり、追加のルールに照らしてトラフィックが照合され、許可/拒否が決定されます。モニタ ルール以外の一致する最初のルールが、トラフィック フローおよび追加のインスペクションを決定します。さらに一致するルールがない場合、システムはデフォルト アクションを使用します。

モニタ ルールの主な目的はネットワーク トラフィックのトラッキングなので、システムはモニタ対象トラフィックの接続終了イベントを自動的にログに記録します。つまり、トラフィックが他のルールに一致せず、デフォルト アクションでロギングが有効になっていない場合でも、接続はログに記録されます。詳細については、モニタされる接続のロギングについてを参照してください。

信頼アクション:インスペクションなしでのトラフィックの通過

ライセンス:任意

信頼アクションでは、トラフィックはいかなる種類の追加のインスペクションなしで通過を許可されます。

信頼されたネットワーク トラフィックは、接続の開始および終了の両方でログに記録できます。詳細については、信頼されている接続のロギングについてを参照してください。

ブロッキング アクション:インスペクションなしでトラフィックをブロック

ライセンス:任意

ブロック アクションおよびリセット付きブロック アクションはトラフィックを拒否し、いかなる種類の追加のインスペクションも行われません。リセット付きブロック ルールでは接続のリセットも行います。

復号化された HTTP トラフィックの場合、システムが Web 要求をブロックすると、デフォルトのブラウザまたはサーバのページを、接続が拒否されたことを説明するカスタム ページでオーバーライドできます。このカスタム ページは HTTP 応答ページと呼ばれています。ブロックされた URL のカスタム Web ページの表示 を参照してください。

ブロックされたネットワーク トラフィックは、接続の開始時にのみログに記録できます。インラインで展開されたデバイスのみがトラフィックをブロックできることに注意してください。ブロックされた接続はパッシブ展開で実際にはブロックされないため、システムにより、ブロックされた各接続に対し複数の接続開始イベントが報告される場合があります。詳細については、ブロックされた接続およびインタラクティブにブロックされた接続のロギングについてを参照してください。


注意    
サービス妨害(DoS)攻撃の間にブロックされた TCP 接続をロギングすると、複数の同様のイベントによってシステム パフォーマンスが影響を受ける可能性があります。ブロック ルールに対してロギングを有効にする前に、そのルールがインターネット側のインターフェイスまたは DoS 攻撃を受けやすい他のインターフェイス上のトラフィックをモニタするかどうかを検討します。

インタラクティブ ブロッキング アクション:ユーザが Web サイト ブロックをバイパスすることを許可する

ライセンス:任意

復号化された HTTP トラフィックの場合、[Interactive Block] アクションおよび [Interactive Block with reset] アクションを使用すると、ユーザはカスタマイズ可能な警告ページ(HTTP 応答ページと呼ばれます)をクリック スルーすることで、Web サイトのブロックをバイパスできます。リセット付きインタラクティブ ブロック ルールでは接続のリセットも行います。

Web トラフィックを復号化する SSL インスペクションを設定し、そのトラフィックがインタラクティブ ブロック ルールに一致する場合、システムは応答ページを暗号化し、再度暗号化された SSL 応答ストリームの最後にそのページを送信します。

インタラクティブにブロックされたすべてのトラフィックに対し、システムの処理、インスペクション、およびロギングは、ユーザがブロックをバイパスするかどうかによって異なります。

  • ユーザがブロックをバイパスしない(できない)場合は、ルールはブロック ルールを模倣します。一致するトラフィックは追加のインスペクションなしで拒否され、接続の開始のみをロギングできます。これらの接続開始イベントには、Interactive Block または Interactive Block with Reset アクションが付きます。

  • ユーザがブロックをバイパスする場合は、ルールは許可ルールを模倣します。このため、一方のタイプのインタラクティブ ブロック ルールをファイルおよび侵入ポリシーに関連付け、このユーザ許可されたトラフィックを検査できます。さらにシステムは、接続イベントの開始と終了の両方をログに記録できます。これらの接続イベントには Allow アクションが付きます

許可アクション:トラフィックの許可および検査

ライセンス:任意

許可アクションにより、一致するトラフィックの通過が許可されます。トラフィックを許可すると、関連付けられた侵入ポリシーまたはファイル ポリシー(またはその両方)を使用して、暗号化されていないまたは復号化されたネットワーク トラフィックをさらに検査してブロックすることができます。

  • Protection ライセンスを使用すると、侵入ポリシーを使用して、侵入検知および防御の設定に従ってネットワーク トラフィックを分析し、必要に応じて、有害なパケットをドロップできます。

  • また、Protection ライセンスを使用すると、ファイル ポリシーを使用してファイル制御を実行できます。ファイル制御により、ユーザが特定のアプリケーション プロトコルを介して特定のタイプのファイルをアップロード(送信)またはダウンロード(受信)するのを検出およびブロックすることができます。

  • Malware ライセンスを使用すると、同じくファイル ポリシーを使用して、ネットワークベースの高度なマルウェア防御(AMP)を実行できます。ネットワークベースの AMP は、マルウェアの有無についてファイルを検査し、必要に応じて検出されたマルウェアをブロックできます。

侵入ポリシーまたはファイル ポリシーをアクセス コントロール ルールに関連付ける方法については、を参照してください。 侵入ポリシーおよびファイル ポリシーを使用したトラフィックの制御

下の図に、許可ルールの条件(またはユーザによりバイパスされるインタラクティブ ブロック ルール(インタラクティブ ブロッキング アクション:ユーザが Web サイト ブロックをバイパスすることを許可するを参照)の条件)を満たすトラフィックに対して実行されるインスペクションの種類を示します。侵入インスペクションの前にファイル インスペクションが行われることに注意してください。そこでブロックされたファイルに対しては、侵入関連の exploit は検査されません。

単純化のために、侵入ポリシーとファイル ポリシーの両方がアクセス コントロール ルールに関連付けられている状態(またはどちらも関連付けられていない状態)のトラフィック フローを図に示しています。ただし、いずれか一方を設定して他方は設定なしにすることもできます。ファイル ポリシーがない場合、トラフィック フローは侵入ポリシーによって決定されます。侵入ポリシーがない場合、トラフィック フローはファイル ポリシーによって決定されます。

許可されたネットワーク トラフィックは、接続の開始および終了の両方でログに記録することができます。

ルールにコメントを追加する

ライセンス:任意

アクセス コントロール ルールを作成または編集するときは、コメントを追加できます。たとえば、他のユーザのために設定全体を要約したり、ルールの変更時期と変更理由を記載することができます。あるルールの全コメントのリストを表示し、各コメントを追加したユーザやコメント追加日を確認することができます。

ルールを保存すると、最後に保存してから追加されたすべてのコメントは読み取り専用になります。

コメントをルールに追加する方法:

手順

ステップ 1

アクセス コントロール ルール エディタで、[Comments] タブを選択します。

[Comments] ページが表示されます。

ステップ 2

[New Comment] をクリックします。

[New Comment] ポップアップ ウィンドウが表示されます。

ステップ 3

コメントを入力し、[OK] をクリックします。

コメントが保存されます。ルールを保存するまでこのコメントを編集または削除できます。
ステップ 4

ルールを保存するか、編集を続けます。

ポリシー内のアクセス コントロール ルールの管理

ライセンス:任意

次の図に示すアクセス コントロール ポリシー エディタの [Rules] タブでは、ポリシー内のアクセス コントロール ルールを追加、編集、検索、移動、有効化、無効化、削除、または管理できます。

各ルールで、ポリシー エディタには、ルールの名前、条件の概要、ルール アクション、およびルールのインスペクションおよびロギングのオプションを示すアイコンが表示されます。その他のアイコンは、次の表で説明するように、コメント、警告、エラー、およびその他の重要な情報を表します。無効なルールはグレーで表示され、ルール名の下に [(disabled)] というマークが付きます。

表 1. アクセス コントロール ポリシー エディタについて

アイコン

説明

操作

侵入インスペクション

ルールのインスペクション オプションを編集するには、アクティブな(黄色)インスペクション アイコンをクリックします( 侵入ポリシーおよびファイル ポリシーを使用したトラフィックの制御を参照)。アイコンが非アクティブ(白色)の場合、そのタイプのポリシーはルールに対して選択されていません。

ファイルおよびマルウェアのインスペクション

ロギング

ルールのロギング オプションを編集するには、アクティブな(青色)ロギング アイコンをクリックします(アクセス コントロールの処理に基づく接続のロギングを参照)。アイコンが非アクティブ(白色)の場合、そのルールの接続ロギングは無効になっています。

コメント

ルールにコメントを追加するには、コメント列の数字をクリックします( ルールにコメントを追加するを参照)。数字は、ルールにすでに含まれているコメントの数を示しています。

warning

アクセス コントロール ポリシー エディタで [Show Warnings] をクリックすると、ポップアップ ウィンドウが表示されて、ポリシーに関するすべての警告が一覧表示されます(アクセス コントロール ポリシーとルールのトラブルシューティングを参照)。

エラー

情報

アクセス コントロール ルールの管理については、以下を参照してください。

アクセス コントロール ルールの検索

ライセンス:任意

スペースおよび印刷可能な特殊文字を含む英数字文字列を使用して、アクセス コンロトール ルールのリストで一致する値を検索できます。この検索では、ルール名およびルールに追加したルール条件が検査されます。ルール条件の場合は、条件タイプ(ゾーン、ネットワーク、アプリケーションなど)ごとに追加できる任意の名前または値が検索照合されます。これには、個々のオブジェクト名または値、グループ オブジェクト名、グループ内の個々のオブジェクト名または値、およびリテラル値が含まれます。

検索文字列のすべてまたは一部を使用できます。照合ルールごとに、一致する値のカラムが強調表示されます。たとえば、 100Bao という文字列のすべてまたは一部を基準に検索すると、少なくとも、100Bao アプリケーションを追加した各ルールの [Applications] カラムが強調表示されます。100Bao という名前のルールもある場合は、[Name] カラムと [Applications] カラムの両方が強調表示されます。

1 つ前または次の照合ルールに移動することができます。ステータス メッセージには、現行の一致および合計一致数が表示されます。

複数ページのルール リストでは、どのページでも一致が検出される可能性があります。最初の一致が検出されたのが最初のページではない場合は、最初の一致が検出されたページが表示されます。最後の一致が現行の一致となっている場合、次の一致を選択すると、最初の一致が表示されます。また、最初の一致が現行の一致となっている場合、前の一致を選択すると、最後の一致が表示されます。

ルールの検索方法:

手順

ステップ 1

検索するポリシーのアクセス コントロール ポリシー エディタで、[Search Rules] プロンプトをクリックして検索文字列を入力し、Enter を押します。検索を開始するには、Tab キーを使用するか、ページの空白部分をクリックします。

一致する値を含むルールのカラムが強調表示されます。表示されている(最初の)一致は、他とは区別できるように強調表示されます。
ステップ 2

目的のルールを探すには次の操作が利用できます。

  • 照合ルールの間を移動するには、次の一致アイコン()または前の一致アイコン()をクリックします。

  • ページを更新して、検索文字列や強調表示をクリアするには、クリア アイコン()をクリックします。

ルールのイネーブル化とディセーブル化

ライセンス:任意

アクセス コントロール ルールを作成すると、デフォルトで有効になります。無効にしたルールはネットワーク トラフィックの評価には使用されなくなり、そのルールについての警告とエラーが停止されます。アクセス コントロール ポリシーでルールのリストを表示するとき、無効状態のルールはグレーで表示されますが、変更は可能です。また、ルール エディタを使用してアクセス コントロール ルールを有効化または無効化することもできます。を参照してください。 アクセス コントロール ルールの作成および編集

アクセス コントロール ルールの状態を変更するには、次の手順を実行します。

手順

ステップ 1

有効化または無効化するルールを含むポリシーのアクセス コントロール ポリシー エディタで、ルールを右クリックして、ルールの状態を選択します。

  • 非アクティブなルールをイネーブルにするには、[State] > [Enable] を選択します。

  • アクティブなルールを無効にするには、[State] > [Disable] を選択します。

ステップ 2

[Store FirePOWER Changes] をクリックして、ポリシーを保存します。

変更を反映させるには、アクセス コントロール ポリシーを適用する必要があります。を参照してください。 設定変更の導入

ルールの位置またはカテゴリの変更

ライセンス:任意

アクセス コントロール ルールを整理しやすくするために、すべてのアクセス コントロール ポリシーにはシステムによって提供された 3 つのルール カテゴリ(管理者ルール、標準ルール、ルート ルール)があります。これらのカテゴリの移動、削除、名前変更はできませんが、カスタム カテゴリの作成は可能です。

ルールの移動

ライセンス:任意

アクセス コントロール ルールの順序を適切に設定することで、ネットワーク トラフィック処理に必要なリソースを削減して、ルールのプリエンプションを回避できます。

次の手順では、アクセス コントロール ポリシー エディタを使用して 1 つ以上のルールを同時に移動する方法について説明します。ルール エディタを使用して個々のアクセス コントロール ルールを移動することもできます。を参照してください。 アクセス コントロール ルールの作成および編集

規則を移動するには、次の手順を実行します。

手順
ステップ 1

移動するルールを含むポリシーのアクセス コントロール ポリシー エディタで、各ルールの空白領域をクリックしてルールを選択します。複数のルールを選択するには、Ctrl キーと Shift キーを使用します。

選択したルールは強調表示されます。
ステップ 2

ルールを移動します。カット アンド ペーストおよびドラッグ アンド ドロップを使用することもできます。

新しい場所にルールをカット アンド ペーストするには、選択したルールを右クリックし、[Cut] を選択します。次に、貼り付けたい位置に隣接するルールの空白部分を右クリックし、[Paste above] または [Paste below] を選択します。2 つの異なるアクセス コントロール ポリシー間ではアクセス コントロール ルールをコピー アンド ペーストできないことに注意してください。

ステップ 3

[Store FirePOWER Changes] をクリックして、ポリシーを保存します。

変更を反映させるには、アクセス コントロール ポリシーを適用する必要があります。を参照してください。 設定変更の導入

新しいルール カテゴリの追加

ライセンス:任意

アクセス コントロール ルールを整理しやすくするために、すべてのアクセス コントロール ポリシーにはシステムによって提供された 3 つのルール カテゴリ(管理者ルール、標準ルール、ルート ルール)があります。これらのカテゴリの移動、削除、名前変更はできませんが、Standard Rules と Root Rules 間でのカスタム カテゴリの作成は可能です。

カスタム カテゴリを追加すると、追加のポリシーを作成しなくても、ルールをさらに細かく編成できます。追加したカテゴリは、名前変更と削除ができます。これらのカテゴリの移動はできませんが、ルールのカテゴリ間およびカテゴリ内外への移動は可能です。

新しいカテゴリを追加するには、次の手順に従います。

手順
ステップ 1

ルール カテゴリを追加するポリシーのアクセス コントロール ポリシー エディタで、[Add Category] をクリックします。

ヒント 
ポリシーにルールがすでに含まれている場合は、追加する前に既存のルールの行の空白部分をクリックすることで、新しいカテゴリの位置を設定できます。既存のルールを右クリックし、[新規カテゴリの挿入(Insert new category)] を選択することもできます。

[Add Category] ポップアップ ウィンドウが表示されます。

ステップ 2

[Name] に、一意のカテゴリ名を入力します。

最大 30 文字の英数字の名前を入力できます。名前には、スペース、および印刷可能な特殊文字を含めることができます。
ステップ 3

次の選択肢があります。

  • 既存のカテゴリのすぐ上に新しいカテゴリを配置する場合は、最初の [Insert] ドロップダウンリストから [above Category] を選択した後、2 番目のドロップダウンリストからカテゴリを選択します。ここで選択したカテゴリの上にルールが配置されます。

  • 既存のルールの下に新しいカテゴリを配置する場合は、ドロップダウン リストから [below rule] を選択した後、既存のルール番号を入力します。このオプションが有効なのは、ポリシーに少なくとも 1 つのルールが存在する場合のみです。

  • 既存のルールの上にルールを配置する場合は、ドロップダウン リストから[above rule]選択した後、既存のルール番号を入力します。このオプションが有効なのは、ポリシーに少なくとも 1 つのルールが存在する場合のみです。

ステップ 4

[OK] をクリックします。

カテゴリが追加されます。カテゴリ名を編集するには、カスタム カテゴリの横にある編集アイコン()をクリックします。カテゴリを削除するには、削除アイコン()をクリックします。削除するカテゴリに含まれるルールは、その上にあるカテゴリに追加されます。

ステップ 5

[Store FirePOWER Changes] をクリックして、ポリシーを保存します。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ