- FireSIGHT System ユーザ ガイド
- Contents
- Cisco FireSIGHT システムの概要
- FireSIGHT システム へのログイン
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスの設定
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- 集約インターフェイスのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- ユーザに基づくトラフィックの制御
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- ネットワーク資産に応じた侵入防御の調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの理解と作成
- マルウェアと禁止されたファイルのブロッ キング
- ネットワーク トラフィックの接続のロギ ング
- 接続およびセキュリティ インテリジェンス のデータの使用
- マルウェアとファイル アクティビティの 分析
- 侵入イベントの操作
- インシデント対応
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ネットワーク検出の概要
- ネットワーク検出の拡張
- アクティブ スキャンの設定
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- FireSIGHT システムのコンプライアンス ツー ルとしての使用
- トラフィック プロファイルの作成
- 修復の設定
- ダッシュボードの使用
- Context Explorer の使用
- レポートの操作
- ワークフローの概要と使用
- カスタム テーブルの使用
- イベントの検索
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システム のライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ設定の指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、お よび通信ポート
- サードパーティ製品
- Glossary
FireSIGHT System バージョン 5.4.1 ユーザ ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2018年8月6日
章のタイトル: トラフィックの前処理のカスタマイズ
トラフィックの前処理のカスタマイズ
アクセス コントロール ポリシーにおける詳細設定の多くは、設定のために特定の専門知識を要する侵入検知設定と予防設定を制御します。通常、詳細設定はほとんど、あるいはまったく変更する必要がありません。詳細設定は導入環境ごとに異なります。
- アクセス コントロールのデフォルト侵入ポリシーの設定では、システムがトラフィックを検査する方法を正確に決定する前に、最初にそのトラフィックを検査するために使用される、アクセス コントロール ポリシーのデフォルトの侵入ポリシーを変更する方法について説明します。
- ネットワーク分析ポリシーによる前処理のカスタマイズでは、一致するトラフィックを前処理するカスタム ネットワーク分析ポリシーを割り当てることで、特定のセキュリティ ゾーン、ネットワーク、および VLAN に対する特定のトラフィック前処理オプションをカスタマイズする方法について説明します。
他の章では、アクセス コントロール ポリシーに対するポリシー全体の前処理とパフォーマンスのオプションを説明します。詳細については、以下を参照してください。
アクセス コントロールのデフォルト侵入ポリシーの設定
各アクセス コントロール ポリシーは、システムがトラフィックを検査する方法を正確に決定する前に、 デフォルトの侵入ポリシー を使用してそのトラフィックを最初に検査します。これは、場合によってシステムがトラフィックを処理するアクセス コントロール ルール(存在する場合)を決定する前に、接続の最初の数パケットを処理し 通過を許可する 必要があるため必要となります。しかし、これらのパケットは検査されないまま宛先に到達することはないので、デフォルト侵入ポリシーと呼ばれる侵入ポリシーを使用して、パケットを検査し侵入イベントを生成できます。
システムはクライアントとサーバの間で接続が完全に確立される前にアプリケーションを識別したり URL をフィルタ処理することはできないので、デフォルトの侵入ポリシーは、アプリケーション制御および URL フィルタリングを実行する場合に特に有用です。たとえば、パケットがアプリケーションまたは URL 条件を持つアクセス コントロール ルールのその他のすべての条件に一致する場合、そのパケットと後続のパケットは、接続が確立されてアプリケーションまたは URL の識別が完了するまで通過することを許可されます。通常は 3 ~ 5 パケットです。
システムはこれらの許可されたパケットをデフォルトの侵入ポリシーで検査し、これによってイベントを生成したり、インラインで配置されている場合は、悪意のあるトラフィックをブロックできます。システムが接続を処理する必要があるアクセス コントロール ルールまたはデフォルト アクションを識別した後、接続内の残りのパケットが適宜処理され検査されます。
アクセス コントロール ポリシーを作成する場合、そのデフォルトの侵入ポリシーは 最初に 選択したデフォルト アクションによって異なります。アクセス コントロールの初期のデフォルト侵入ポリシーは次のとおりです。
- [バランスの取れたセキュリティと接続(Balanced Security and Connectivity)](システムによって提供されるポリシー)は、最初に [侵入防御(Intrusion Prevention)] デフォルト アクションを選択した場合のアクセス コントロール ポリシーのデフォルトの侵入ポリシーです。
- 最初に [すべてのトラフィックをブロック(Block all traffic)] または [ネットワーク検出(Network Discovery)] デフォルト アクションを選択した場合、アクセス コントロール ポリシーのデフォルトの侵入ポリシーは No Rules Active になります。このオプションを選択すると、前述の許可されたパケットでの侵入インスペクションが無効になりますが、侵入データが必要なければ、パフォーマンスを向上できます。
(注
) (たとえば、Protection のライセンスが不要な検出のみの展開などで)侵入インスペクションを実行していない場合は、デフォルトの侵入ポリシーとして No Rules Active ポリシーを保持してください。詳細については、IPS または検出のみのパフォーマンスの考慮事項を参照してください。
アクセス コントロール ポリシーを作成後にデフォルト アクションを変更する場合は、デフォルトの侵入ポリシーが自動的に変更され ない ことに注意してください。手動で変更するには、アクセス コントロール ポリシーの詳細オプションを使用します。
アクセス コントロール ポリシーのデフォルト侵入ポリシーを変更するには、次の手順を実行します。
アクセス: Admin/Access Admin/Network Admin
手順 1 デフォルトの侵入ポリシーを変更するアクセス コントロール ポリシーで、[詳細設定(Advanced)] タブを選択し、[ネットワーク分析と侵入ポリシー(Network Analysis and Intrusion Policies)] セクションの横にある編集アイコン(
)をクリックします。
[ネットワーク分析ポリシー(Network Analysis Policies)] ダイアログボックスが表示されます。
手順 2 [アクセス コントロール ルールが決定される前に使用される侵入ポリシー(Intrusion Policy used before Access Control rule is determined)] ドロップダウンリストから、デフォルトの侵入ポリシーを選択します。システムによって作成されたポリシーまたはユーザが作成したポリシーを選択できます。
ユーザが作成したポリシーを選択した場合は、編集アイコン( )をクリックして、新しいウィンドウでポリシーを編集できます。システムによって提供されたポリシーは編集できません。
手順 3 選択したポリシーに一致する変数セットを選択します。
オプションで、[侵入ポリシー変数セット(Intrusion Policy Variable Set)] ドロップ ダウンを使用して、選択した侵入ポリシーに関連付けられている変数セットを変更します。編集アイコン( )をクリックして、設定されている変数セットを新しいウィンドウで編集することもできます。変数セットを変更しない場合、システムはデフォルトのセットを使用します。詳細については、変数セットの使用を参照してください。
変更を反映するには、アクセス コントロール ポリシーを適用する必要があります。
ネットワーク分析ポリシーによる前処理のカスタマイズ
ネットワーク分析ポリシー は、特に侵入の試みの前兆となるかもしれない異常トラフィックに対し、そのトラフィックがさらに評価されるようにトラフィックをデコードおよび前処理する方法を制御します。トラフィックの前処理は、セキュリティ インテリジェンスのブラックリスト登録およびトラフィックの復号化の後で、侵入ポリシーによるパケット インスペクションの前に行われます。デフォルトでは、システムによって提供される [バランスの取れたセキュリティと接続(Balanced Security and Connectivity)] ネットワーク分析ポリシーは、アクセス コントロール ポリシーによって処理される すべての トラフィックに適用されます。
ヒント システムによって提供される [バランスの取れたセキュリティと接続(Balanced Security and Connectivity)] ネットワーク分析ポリシーおよび [バランスの取れたセキュリティと接続(Balanced Security and Connectivity)] 侵入ポリシーは共に機能し、侵入ルールの更新の際に両方とも更新できます。ただし、ネットワーク分析ポリシーは主に前処理オプションを管理し、侵入ポリシーは主に侵入ルールを管理します。
前処理を調整する簡単な方法は、デフォルトとしてカスタム ネットワーク分析ポリシーを作成して使用することです。カスタム ネットワーク分析ポリシーの作成を参照してください。使用可能な調整オプションは、プリプロセッサによって異なります。
複雑な環境での高度なユーザの場合は、複数のネットワーク分析ポリシーを作成し、それぞれがトラフィックを別々に前処理するように調整することができます。次に、システムがこれらのポリシーを使用し、異なるセキュリティ ゾーン、ネットワーク、VLAN を使用してトラフィックの前処理を制御するように、システムを設定します。(ASA FirePOWER デバイスでは、VLAN に応じて前処理を制限することはできません)。
これを実現するには、アクセス コントロール ポリシーにカスタム ネットワーク分析ルール を追加します。各ルールに含まれる内容は、次のとおりです。
システムがトラフィックを前処理するときに、パケットはルール番号の上位から下位の順序でネットワーク分析ルールに照合されます。いずれのネットワーク分析ルールにも一致しないトラフィックは、デフォルトのネットワーク分析ポリシーによって前処理されます。
(注) プリプロセッサを無効にしても、前処理されたパケットを有効な侵入ルールまたはプリプロセッサ ルールと照合して評価する必要がある場合には、システムがプリプロセッサを自動的に有効にして使用します。ただし、ネットワーク分析ポリシー Web インターフェイスでは無効のままとして表示されます。前処理の調整、特に複数のカスタム ネットワーク分析ポリシーを使用して調整することは、高度なタスクです。前処理および侵入インスペクションは密接に関連しているため、単一パケットを検査するネットワーク分析ポリシーと侵入ポリシーが互いに補完することを許可する場合は慎重になる必要があります。詳細については、カスタム ポリシーに関する制約事項を参照してください。
アクセス コントロールのデフォルト ネットワーク分析ポリシーの設定
デフォルトでは、システムによって提供される [バランスの取れたセキュリティと接続(Balanced Security and Connectivity)] ネットワーク分析ポリシーは、アクセス コントロール ポリシーによって処理されるすべてのトラフィックに適用されます。トラフィックの前処理オプションを調整するためにネットワーク分析ルールを追加する場合は、デフォルトのネットワーク分析ポリシーがそのルールで処理されないすべてのトラフィックを前処理します。
アクセス コントロール ポリシーの詳細設定によって、このデフォルト ポリシーを変更することができます。
アクセス コントロール ポリシーのデフォルトのネットワーク分析ポリシーを変更するには、次の手順を実行します。
アクセス: Admin/Access Admin/Network Admin
手順 1 デフォルトのネットワーク分析ポリシーを変更するアクセス コントロール ポリシーで、[詳細設定(Advanced)] タブを選択し、[ネットワーク分析と侵入ポリシー(Network Analysis and Intrusion Policies)] セクションの横にある編集アイコン( )をクリックします。
[ネットワーク分析ポリシー(Network Analysis Policies)] ダイアログボックスが表示されます。
手順 2 [デフォルトのネットワーク分析ポリシー(Default Network Analysis Policy)] ドロップダウンリストから、デフォルトのネットワーク分析ポリシーを選択します。システムによって作成されたポリシーまたはユーザが作成したポリシーを選択できます。
ユーザが作成したポリシーを選択した場合は、編集アイコン( )をクリックして、新しいウィンドウでポリシーを編集できます。システムによって提供されたポリシーは編集できません。
変更を反映するには、アクセス コントロール ポリシーを適用する必要があります。
ネットワーク分析ルールを使用して前処理するトラフィックの指定
アクセス コントロール ポリシーの詳細設定で、ネットワーク分析ルールを使用してネットワーク トラフィックへの前処理設定を調整できます。アクセス コントロール ルールと同様に、ネットワーク分析ルールには 1 から始まる番号が付いています。
システムがトラフィックを前処理するときに、パケットはルール番号の昇順で上から順にネットワーク分析ルールに照合され、すべてのルールの条件が一致する最初のルールに従ってトラフィックが前処理されます。次の表に、ルールに追加できる条件を示します。
|
|
|
|
|---|---|---|
セキュリティ ゾーンは、ご使用の導入ポリシーおよびセキュリティ ポリシーに準じた 1 つ以上のインターフェイスの論理グループです。ゾーン内のインターフェイスは、複数のデバイスにまたがって配置される場合があります。ゾーン条件を作成するには、ゾーンごとのトラフィックの前処理を参照してください。 |
||
IP アドレスを明示的に指定できます。ネットワーク条件を作成するには、ネットワークごとのトラフィックの前処理 を参照してください。 |
||
システムは、最も内側の VLAN タグを使用して VLAN を基準にパケットを識別します。ASA FirePOWER では、VLAN に応じて前処理を制限することはできません。VLAN 条件を作成するには、VLAN ごとのトラフィック前処理 を参照してください。 |
ルールに対し特定の条件を設定しない場合、システムはその基準に基づいてトラフィックを照合しません。たとえば、ネットワーク条件を持つがゾーン条件を持たないルールは、その入力または出力インターフェイスに関係なく、送信元または宛先 IP アドレスに基づいてトラフィックを評価します。いずれのネットワーク分析ルールにも一致しないトラフィックは、デフォルトのネットワーク分析ポリシーによって前処理されます。
カスタム ネットワーク分析ルールを追加するには、次の手順を実行します。
アクセス: Admin/Access Admin/Network Admin
手順 1 カスタム前処理設定を作成するアクセス コントロール ポリシーで、[詳細設定(Advanced)] タブを選択して、[ネットワーク分析と侵入ポリシー(Network Analysis and Intrusion Policies)] セクションの横にある編集アイコン( )をクリックします。
[ネットワーク分析ポリシー(Network Analysis Policies)] ダイアログボックスが表示されます。カスタムのネットワーク分析ルールをまだ追加していない場合、Web インターフェイスには [カスタム ルールなし(No Custom Rules)] と表示され、追加済みの場合はそれらのルールの数が表示されます。
ヒント 新しいウィンドウで [ネットワーク分析ポリシー(Network Analysis Policies)] ページを表示するには、[ネットワーク分析ポリシー リスト(Network Analysis Policy List)] をクリックします。このページは、カスタム ネットワーク分析ポリシーを表示および編集するために使用します。ネットワーク分析ポリシーの管理を参照してください。
手順 2 [ネットワーク分析ルール(Network Analysis Rules)] の横にある、所持しているカスタム ルールの数を示したステートメントをクリックします。
ダイアログボックスが展開され、カスタム ルールが表示されます(ある場合)。
手順 3 [ルールの追加(Add Rule)] をクリックします。
手順 4 ルールの条件を作成します。次の基準を使用して、NAP の前処理を制限できます。
手順 5 [ネットワーク分析(Network Analysis)] タブをクリックし、[ネットワーク分析ポリシー(Network Analysis Policy)] ドロップダウンリストからポリシーを選択することによって、ネットワーク分析ポリシーをルールに関連付けます。
システムは、ユーザが選択したネットワーク分析ポリシーを使用して、すべてのルールの条件を満たすトラフィックを前処理します。ユーザが作成したポリシーを選択した場合は、編集アイコン( )をクリックして、新しいウィンドウでポリシーを編集できます。システムによって提供されたポリシーは編集できません。
このルールは他のルールの後に追加されます。ルールの評価順序を変更する場合は、ネットワーク分析ルールの管理を参照してください。
ゾーンごとのトラフィックの前処理
ネットワーク分析ルール内のゾーン条件によって、その送信元および宛先セキュリティ ゾーン別にトラフィックを前処理することができます。セキュリティ ゾーンはいくつかのインターフェイスで構成されるグループで、展開方法やセキュリティ ポリシーによっては複数のデバイス間に配置される場合があります。ゾーン作成の詳細については、セキュリティ ゾーンの操作を参照してください。
1 つのゾーン条件で [送信元ゾーン(Source Zones)] および [宛先ゾーン(Destination Zones)] それぞれに対し、最大 50 のゾーンを追加できます。
- ゾーン内のインターフェイスからデバイスから 発信する トラフィックを照合するには、そのゾーンを [宛先ゾーン(Destination Zones)] に追加します。パッシブに展開されたデバイスはトラフィックを送信しないので、 宛先ゾーン 条件でパッシブ インターフェイスから構成されるゾーンは使用できないことに注意してください。
- ゾーン内のインターフェイスからデバイスに 着信する トラフィックを照合するには、そのゾーンを [送信元ゾーン(Source Zones)] に追加します。
送信元ゾーン条件と宛先ゾーン条件の両方をルールに追加する場合、一致するトラフィックは指定された送信元ゾーンの 1 つから発生し、宛先ゾーンの 1 つを通って出力する必要があります。
ゾーン内のすべてのインターフェイスが同じタイプ(インライン、パッシブ、スイッチド、またはルーテッド)である必要があるため、ネットワーク分析ルールのゾーン条件で使用されているすべてのゾーンが同じタイプでなければならないことに注意してください。つまり、異なるタイプのゾーンを送信元/宛先とするトラフィックを照合する単一ルールを書き込むことはできません。
警告アイコン(
)は、インターフェイスが含まれていないゾーンなどの無効な設定を示します。アイコンの上にポインタを置くと詳細が表示されます。
ゾーン別にトラフィックを前処理するには、次の手順を実行します。
アクセス: Admin/Access Admin/Network Admin
手順 1 ゾーン別にトラフィックを前処理するアクセス コントロール ポリシーで、新しいネットワーク分析ルールを作成するか、または既存のルールを編集します。
詳細な手順については、ネットワーク分析ルールを使用して前処理するトラフィックの指定を参照してください。
手順 2 ネットワーク分析ルール エディタで、[ゾーン(Zones)] タブを選択します。
手順 3 [利用可能なゾーン(Available Zones)] から追加するゾーンを見つけて選択します。
追加するゾーンを検索するには、[利用可能なゾーン(Available Zones)] リストの上にある [名前で検索(Search by name)] プロンプトをクリックし、ゾーン名を入力します。入力すると、リストが更新されて一致するゾーンが表示されます。
クリックすると、ゾーンを選択できます。複数のゾーンを選択するには、Shift キーおよび Ctrl キーを使用するか、または右クリックして [すべて選択(Select All)] を選択します。
手順 4 [送信元に追加(Add to Source)] または [宛先に追加(Add to Destination)] をクリックして、選択したゾーンを適切なリストに追加します。
選択したゾーンをドラッグ アンド ドロップすることもできます。
変更を反映させるには、アクセス コントロール ポリシーを適用する必要があります。アクセス コントロール ポリシーの適用を参照してください。
ネットワークごとのトラフィックの前処理
ネットワーク分析ルール内のネットワーク条件によって、その送信元および宛先 IP アドレス別にトラフィックを前処理することができます。前処理するトラフィックに対し送信元と宛先 IP アドレスを手動で指定でき、または、再利用可能で名前を 1 つ以上の IP アドレスおよびアドレス ブロックに関連付けるネットワーク オブジェクトでネットワーク条件を設定できます。
ヒント ネットワーク オブジェクトを作成しておくと、それを使用してネットワーク分析ルールを作成できるだけでなく、Web インターフェイスの他のさまざまな場所で IP アドレスを表すオブジェクトとしても使用できます。これらのオブジェクトはオブジェクト マネージャを使用して作成できます。また、ネットワーク分析ルールの設定時にネットワーク オブジェクトをオンザフライで作成することもできます。詳細については、ネットワーク オブジェクトの操作を参照してください。
1 つのネットワーク条件で [送信元ネットワーク(Source Networks)] および [宛先ネットワーク(Destination Networks)] それぞれに対し、最大 50 の項目を追加できます。
- IP アドレスからのトラフィックを照合するには、[送信元ネットワーク(Source Networks)] を設定します。
- IP アドレスへのトラフィックを照合するには、[宛先ネットワーク(Destination Networks)] を設定します。
送信元(Source)ネットワーク条件と宛先(Destination)ネットワーク条件の両方をルールに追加する場合、送信元 IP アドレスから発信されかつ宛先 IP アドレスに送信されるトラフィックの照合を行う必要があります。
ネットワーク条件を作成する際、警告アイコン( )は無効な設定を示します。アイコンの上にポインタを置くと詳細が表示されます。
ネットワーク別にトラフィックを前処理するには、次の手順を実行します。
アクセス: Admin/Access Admin/Network Admin
手順 1 ネットワーク別にトラフィックを前処理するアクセス コントロール ポリシーで、新しいネットワーク分析ルールを作成するか、または既存のルールを編集します。
詳細な手順については、ネットワーク分析ルールを使用して前処理するトラフィックの指定を参照してください。
手順 2 ネットワーク分析ルール エディタで、[ネットワーク(Networks)] タブを選択します。
手順 3 [利用可能なネットワーク(Available Networks)] から、次のように追加するネットワークを見つけて選択します。
)をクリックし、
ネットワーク オブジェクトの操作の手順に従います。
オブジェクトを選択するには、そのオブジェクトをクリックします。複数のオブジェクトを選択するには、Shift キーおよび Ctrl キーを使用するか、または右クリックして [すべて選択(Select All)] を選択します。
手順 4 [送信元に追加(Add to Source)] または [宛先に追加(Add to Destination)] をクリックして、選択したオブジェクトを適切なリストに追加します。
選択したオブジェクトをドラッグ アンド ドロップすることもできます。
手順 5 手動で指定する送信元または宛先 IP アドレスまたはアドレス ブロックを追加します。
[送信元ネットワーク(Source Networks)] リストまたは [宛先ネットワーク(Destination Networks)] リストの下にある [IP アドレスの入力(Enter an IP address)] プロンプトをクリックし、1 つの IP アドレスまたはアドレス ブロックを入力して [追加(Add)] をクリックします。
変更を反映させるには、アクセス コントロール ポリシーを適用する必要があります。アクセス コントロール ポリシーの適用を参照してください。
VLAN ごとのトラフィック前処理
サポートされるデバイス: すべて(ASA FirePOWER を除く)
ネットワーク分析ルールで VLAN 条件を設定すると、VLAN タグが付いたトラフィックの前処理方法を制御できます。システムは、最も内側の VLAN タグを使用して VLAN を基準にパケットを識別します。ASA FirePOWER デバイスでは、VLAN に応じて前処理を制限することはできません。
VLAN ベースのネットワーク分析条件を作成するときは、VLAN タグを手動で指定できます。または、VLAN タグ オブジェクトを使用して VLAN 条件を設定することもできます。VLAN タグ オブジェクトとは、いくつかの VLAN タグに名前を付けて再利用可能にしたものを指します。
ヒント VLAN タグ オブジェクトを作成しておくと、それを使用してネットワーク分析ルールを作成できるだけでなく、Web インターフェイスの他のさまざまな場所で VLAN タグを表すオブジェクトとしても使用できます。VLAN タグ オブジェクトはオブジェクト マネージャを使用して作成できます。また、ネットワーク分析ルールの設定時に作成することもできます。詳細については、VLAN タグ オブジェクトの操作を参照してください。
1 つの VLAN タグ条件で、[選択済み VLAN タグ(Selected VLAN Tags)] に最大 50 の項目を追加できます。VLAN タグ条件設定を作成する際、無効な設定が検出されると警告アイコン( )が表示されます。アイコンの上にポインタを置くと詳細が表示されます。
VLAN タグに基づいてトラフィックを前処理するには、次の手順を実行します。
アクセス: Admin/Access Admin/Network Admin
手順 1 VLAN タグに基づいてトラフィックを前処理するアクセス コントロール ポリシーで、新しいネットワーク分析ルールを作成するか、または既存のルールを編集します。
詳細な手順については、ネットワーク分析ルールを使用して前処理するトラフィックの指定を参照してください。
手順 2 ネットワーク分析ルール エディタで、[VLAN タグ(VLAN Tags)] タブを選択します。
[VLAN タグ(VLAN Tags)] タブが表示されます。
手順 3 [利用可能な VLAN タグ(Available VLAN Tags)] で、追加する VLAN を選択します。
)をクリックし、
VLAN タグ オブジェクトの操作の手順に従います。
- 追加する VLAN タグ オブジェクトおよびグループを検索するには、[利用可能な VLAN タグ(Available VLAN Tags)] リストの上にある [名前または値で検索(Search by name or value)] プロンプトをクリックし、オブジェクト名またはオブジェクトの VLAN タグの値を入力します。入力すると、リストが更新されて一致するオブジェクトが表示されます。
- オブジェクトを選択するには、そのオブジェクトをクリックします。複数のオブジェクトを選択するには、Shift キーおよび Ctrl キーを使用するか、または右クリックして [すべて選択(Select All)] を選択します。
手順 4 [ルールに追加(Add to Rule)] をクリックして、選択したオブジェクトを [選択した VLAN タグ(Selected VLAN Tags)] リストに追加します。選択したオブジェクトをドラッグ アンド ドロップでリストに追加することもできます。
[選択した VLAN タグ(Selected VLAN Tags)] リストの下にある [VLAN タグの入力(Enter a VLAN tag)] プロンプトをクリックし、VLAN タグまたはその範囲を入力して、[追加(Add)] をクリックします。1 から 4094 までの任意の VLAN タグを指定できます。VLAN タグの範囲を指定するにはハイフンを使用します。
変更を反映させるには、アクセス コントロール ポリシーを適用する必要があります。「アクセス コントロール ポリシーの適用」(369 ページ)を参照してください。
ネットワーク分析ルールの管理
ネットワーク分析ルールは、これらの条件に一致するトラフィックを前処理する方法を指定する設定および条件の単純なセットにすぎません。既存のアクセス コントロール ポリシーの詳細オプションでネットワーク分析ルールを作成および編集します。各ルールは 1 つのポリシーにのみ属します。
カスタム ネットワーク分析ルールを編集するには、次の手順を実行します。
アクセス: Admin/Access Admin/Network Admin
手順 1 カスタム前処理設定を変更するアクセス コントロール ポリシーで、[詳細設定(Advanced)] タブを選択して、[ネットワーク分析と侵入ポリシー(Network Analysis and Intrusion Policies)] セクションの横にある編集アイコン( )をクリックします。
[ネットワーク分析ポリシー(Network Analysis Policies)] ダイアログボックスが表示されます。カスタムのネットワーク分析ルールをまだ追加していない場合、Web インターフェイスには [カスタム ルールなし(No Custom Rules)] と表示され、追加済みの場合はそれらのルールの数が表示されます。
手順 2 [ネットワーク分析ルール(Network Analysis Rules)] の横にある、所持しているカスタム ルールの数を示したステートメントをクリックします。
ダイアログボックスが展開され、カスタム ルールが表示されます(ある場合)。
手順 3 カスタム ルールを編集します。次の選択肢があります。
)をクリックします。
- ルールの評価順序を変更するには、ルールをクリックして正しい位置にドラッグします。複数のルールを選択するには、Shift キーおよび Ctrl キーを使用します。
- ルールを削除するには、ルールの横にある削除アイコン(
)をクリックします。
ヒント ルールを右クリックするとコンテキスト メニューが表示され、新しいネットワーク分析ルールの切り取り、コピー、貼り付け、編集、および追加を行うことができます。
変更を反映させるには、アクセス コントロール ポリシーを適用する必要があります。アクセス コントロール ポリシーの適用を参照してください。
フィードバック