Firepower Management Center バージョン 6.4 コンフィギュレーション ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Firepower Management Center バージョン 6.4 コンフィギュレーション ガイド

Chapter Title

ポリシー管理

検索結果

Updated:
2020年1月30日

章のタイトル: ポリシー管理

ポリシー管理

ここでは、Firepower Management Center でさまざまなポリシーを管理する方法について説明します。

ポリシーの導入

導入を設定した後、およびその設定を変更したときは、影響を受けるデバイスにその変更を導入する必要があります。導入のステータスは、メッセージ センターで確認できます。

導入を行うと、以下のコンポーネントが更新されます。

  • デバイスとインターフェイスの設定

  • デバイス関連ポリシー:NAT、VPN、QoS、プラットフォーム設定

  • アクセス コントロールおよび関連するポリシー:DNS、ファイル、アイデンティティ、侵入、ネットワーク分析、プレフィルタ、SSL

  • ネットワーク検出ポリシー

  • 侵入ルールの更新

  • これらの要素のいずれかに関連付けられている設定とオブジェクト

システムにポリシーを自動的に導入させるには、導入タスクをスケジュールするか、あるいは侵入ルールの更新をインポートする際に導入するようにシステムを設定します。特に、侵入ポリシーの更新によって侵入およびネットワーク分析に関するシステム定義の基本ポリシーを変更できるようにしている場合は、ポリシーの導入を自動化すると役立ちます。侵入ルール更新によって、アクセス コントロール ポリシーの前処理およびパフォーマンスの詳細設定オプションのデフォルト値が変更されることもあります。

マルチドメイン展開では、ユーザ アカウントが属するいずれのドメインにも変更を導入できます。

  • 導入先を先祖ドメインに切り替えると、変更がすべてのサブドメインに同時に導入されます。

  • 導入先をリーフ ドメインに切り替えると、変更はそのドメインだけに導入されます。

設定変更の展開に関する注意事項

インラインとパッシブの展開

インライン設定をパッシブに展開されたデバイスに適用しないでください。またその逆も同様です。

展開までの時間とメモリの制限

展開までの所要時間は、次の複数の要因(これらに限定されません)によって変わります。

  • デバイスに送信する設定。たとえば、ブロックするセキュリティ インテリジェンス エントリの数を大幅に増加する場合、展開時間が長くなります。

  • デバイス モデルとメモリ。メモリが少ないデバイスの場合、展開時間が長くなります。たとえば、Firepower 7010、7020、7030 デバイスに展開するには、最大 5 分かかります。

デバイスの機能を超えないように注意してください。ターゲット デバイスでサポートされるルールまたはポリシーの最大数を超えると、システムが警告を表示します。最大数はいくつかの要因によって変わります。デバイスのメモリ量やプロセッサの数だけではなく、ポリシーやルールの複雑さも影響します。ポリシーとルールの最適化については、ルールのパフォーマンスに関するガイドラインを参照してください。

展開時のトラフィック フローおよび検査の中断

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、一部のコンフィギュレーションを展開すると、トラフィックのインスペクションを中断する Snort プロセスが再開します。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲット デバイスがトラフィックを処理する方法に応じて異なります。Snort® の再起動によるトラフィックの動作および展開またはアクティブ化された際に Snort プロセスを再起動する設定を参照してください。

Firepower Threat Defense デバイスの場合、[Deploy] ダイアログの [Inspect Interruption] 列に、展開するとトラフィック フローまたは検査が中断する可能性があることについての警告が表示されます。展開を続行するか、キャンセルまたは遅延できます。詳細は、「Firepower Threat Defense デバイスの再起動の警告」を参照してください。


注意    
展開は、保守期間中に行うか、中断の影響が最も小さい時点で行うことを強く推奨します。

アプリケーション ディテクタの自動的な有効化

アプリケーション制御の実行時に必要なディテクタが無効になっている場合、システムは、ポリシーの展開時にシステムによって提供される適切なディテクタを自動的に有効にします。存在しない場合、システムはそのアプリケーション対応で最近変更されたユーザ定義のディテクタを有効にします。

ネットワーク検出ポリシーの変更によるアセットの再検出

ネットワーク検出ポリシーに変更を展開する場合、システムは、監視対象ネットワーク内のホストのネットワーク マップから MAC アドレス、TTL、およびホップ情報を削除してから、再検出を行います。また、影響を受ける管理対象デバイスは、まだ Firepower Management Center に送信されていない検出データを破棄します。

Firepower Threat Defense デバイスの再起動の警告

スマート ライセンス

従来のライセンス

サポートされるデバイス数

サポートされるドメイン数

アクセス

いずれか(Any)

いずれか(Any)

いずれか(Any)

いずれか(Any)

Admin/Network Admin/Security Approver

展開時、展開ダイアログの [Inspect Interruption] 列に、設定を展開したときに Firepower Threat Defense デバイスで Snort プロセスが再起動するかどうかが示されます。Snort プロセスと呼ばれるトラフィック インスペクション エンジンが再起動すると、プロセスが再開されるまでインスペクションが中断されます。トラフィックが中断されるか中断中にインスペクションなしで受け渡されるかどうかは、デバイスがトラフィックを処理する方法によって変わります。展開の続行、展開のキャンセル、および設定の変更を実行できます。または、展開によるネットワークへの影響が最小となる時間まで展開を遅らせることができます。

[Inspect Interruption] 列に [Yes] と表示されているときにデバイス構成のリストを展開すると、Snort プロセスを再起動する特定の設定タイプは赤色で強調表示され再起動アイコン()が付けられます。これらの設定にマウス ポインタを合わせると、設定を展開したときにトラフィックが中断される可能性があるというメッセージが表示されます。

次の表に、展開ダイアログでインスペクション中断の警告が表示される方法を示します。

表 1. 展開ダイアログにおけるインスペクション中断のインジケータ

タイプ

インスペクションの中断

説明

FTD

Yes

少なくとも 1 つの設定は、展開するとデバイスでインスペクションが中断します。また、デバイスがトラフィックを処理する方法によって、トラフィックが中断されることがあります。デバイス設定リストを展開して、詳細を確認できます。

なし

展開されている設定は、デバイスのトラフィックを中断しません。

不明

システムでは、展開された設定によってデバイスのトラフィックが中断する可能性があるかどうか判断できず、デバイスの横にデバイスの警告アイコン()が表示されます。

不明の状態は、ソフトウェア アップグレード後、最初に展開するまでに表示されるか、サポート コール中に表示されます。

エラー

内部エラーにより、システムはステータスを特定できません。

操作をキャンセルして再度 [展開(Deploy)] をクリックすると、システムは [インスペクションの中断(Inspect Interruption)] ステータスを特定しなおすことができます。それでも問題が解決しない場合は、サポートにお問い合わせください。

センサー

--

センサーとして識別されるデバイスは Firepower Threat Defense デバイスではありません。設定を展開するとこのデバイスのトラフィックが中断されるかどうかの判断は行われません。

すべてのデバイス タイプの Snort プロセスを再起動する全設定の詳細については、展開またはアクティブ化された際に Snort プロセスを再起動する設定 を参照してください。

設定変更の展開

スマート ライセンス

従来のライセンス

サポートされるデバイス数

サポートされるドメイン数

アクセス

いずれか(Any)

いずれか(Any)

いずれか(Any)

いずれか(Any)

Admin/Network Admin/Security Approver

設定を変更した後に、影響を受けるデバイスに展開します。展開は、保守期間中に行うか、トラフィック フローやインスペクションへの中断の影響が最も小さい時点で行うことを強く推奨します。


注意    
展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、一部のコンフィギュレーションを展開すると、トラフィックのインスペクションを中断する Snort プロセスが再開します。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲット デバイスがトラフィックを処理する方法に応じて異なります。Snort® の再起動によるトラフィックの動作および展開またはアクティブ化された際に Snort プロセスを再起動する設定を参照してください。

始める前に

  • 設定変更の展開に関する注意事項」で説明されているガイドラインを確認してください。

  • すべての管理対象デバイスが同じバージョンのセキュリティ ゾーン オブジェクトを使用していることを確認してください。セキュリティ ゾーン オブジェクトを編集している場合:Do not deploy configuration changes to any device until you edit the zone setting for interfaces on all devices you want to sync. すべての管理対象デバイスに同時に展開する必要があります。セキュリティ ゾーン オブジェクトのリビジョンの同期を参照してください。)

手順

ステップ 1

Firepower Management Center メニュー バーで、[展開(Deploy)] をクリックします。

[ポリシーの展開(Deploy Policies)] ダイアログに、設定の期限が切れているデバイスがリストされます。ダイアログの上部の [バージョン(Version)] は、最後に設定変更を行った時期を示します。

ステップ 2

設定変更を展開するデバイスを特定して選択します。

  • [ソート(Sort)]:列ヘッダーをクリックすることで、デバイス リストをソートします。

    Firepower Threat Defense デバイスへの展開時にトラフィック検査を中断させたりトラフィック自体を中断させる可能性のある設定を識別するために役立つ列については、Firepower Threat Defense デバイスの再起動の警告を参照してください。

    すべてのデバイスへの展開時にトラフィック検査を中断させたりトラフィック自体を中断させる可能性のある設定については、展開またはアクティブ化された際に Snort プロセスを再起動する設定を参照してください。

  • [展開(Expand)]:デバイス リストを展開して展開される設定変更を表示するには、プラス アイコン()をクリックします。システムは、期限切れのポリシーをインデックス()アイコンでマーキングします。

    [Inspect Interruption] 列の状態が [Yes] の場合、その展開によって Firepower Threat Defense デバイスのインスペクションとおそらくはトラフィックが中断されることを示しています。展開された一覧では、中断を発生させる構成が赤色で強調表示されます。

  • [フィルタ(Filter)]:デバイス リストをフィルタリングします。列ヘッダーの右隅にある矢印をクリックします。

    • [検査中断(Inspect Interruption)] 列:[フィルタ(Filters)] ドロップダウン メニューで、目的のフィルタ オプションを確認します。複数のオプションを選択できます。

      再起動に関する警告の詳細については、Firepower Threat Defense デバイスの再起動の警告を参照してください。

    • その他のすべての列:[フィルタ(Filters)] テキスト ボックスにテキストを入力し、Enter を押します。

    [Filters] をオンまたはオフにして、フィルタをアクティブまたは非アクティブにします。
  • 変更:右上隅にある歯車のアイコン()をクリックし、[Columns] ドロップダウン リストで表示する列のチェック ボックスをオンまたはオフにします。
  • 調整:マウス カーソルを列ヘッダーの上に移動し、列をドラッグ アンド ドロップして希望の順序にします。
ステップ 3

[Deploy] をクリックします。

ステップ 4

展開する変更に関するエラーや警告がシステムによって識別された場合は、[Errors and Warnings for Requested Deployment] ウィンドウにその内容が表示されます。

次の選択肢があります。

  • [続行(Proceed)]:警告状態を解決せずに展開を続行します。システムがエラーを確認した場合は続行できません。
  • [キャンセル(Cancel)]:展開せずに終了します。エラーおよび警告状態を解決し、設定の再展開を試行します。

次のタスク

デバイスへの既存の設定の再展開

スマート ライセンス

従来のライセンス

サポートされるデバイス数

サポートされるドメイン数

アクセス

いずれか(Any)

いずれか(Any)

いずれか(Any)

リーフのみ

Admin/Network Admin/Security Approver

既存(変更なし)の設定を単一の管理対象デバイスに強制展開できます。メンテナンス ウィンドウで、またはトラフィック フローとインスペクションに対する中断の影響が最小限になる時間に、展開することを強くお勧めします。


注意    
展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、一部のコンフィギュレーションを展開すると、トラフィックのインスペクションを中断する Snort プロセスが再開します。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲット デバイスがトラフィックを処理する方法に応じて異なります。Snort® の再起動によるトラフィックの動作および展開またはアクティブ化された際に Snort プロセスを再起動する設定を参照してください。

始める前に

設定変更の展開に関する注意事項で説明されているガイドラインを確認してください。

手順

ステップ 1

[Devices] > [Device Management]を選択します。

ステップ 2

強制導入するデバイスの横にある編集アイコン()をクリックします。

マルチドメイン展開では、リーフ ドメインにいない場合、システムによって切り替えるように求められます。

ステップ 3

[デバイス(Device)] タブをクリックします。

ステップ 4

[全般(General)] セクション見出しの横にある編集アイコン()をクリックします。

ステップ 5

[強制導入(Force Deploy)] 矢印()をクリックします。

ステップ 6

[展開(Deploy)] をクリックします。

システムでは、展開中の設定で発生したエラーや警告が識別されます。[続行(Proceed)] をクリックすると、警告状態を解決せずに続行できます。ただし、システムがエラーを示している場合は、続行できません。

次のタスク

Snort® の再起動シナリオ

管理対象デバイス上の Snort プロセスと呼ばれるトラフィック インスペクション エンジンが再起動すると、プロセスが再開されるまでインスペクションが中断されます。 この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲット デバイスがトラフィックを処理する方法に応じて異なります。詳細はSnort® の再起動によるトラフィックの動作を参照してください。 また、Snort プロセスが再起動するかどうかに関係なく、展開時にリソース需要が高まった結果、いくつかのパケットがインスペクションを実行せずにドロップされることがあります。

次の表に示すいずれかのシナリオでは、Snort プロセスが再起動されます。

表 2. Snort 再起動のシナリオ

再起動のシナリオ

詳細情報

Snort プロセスの再起動が必要な特定の設定を展開した場合。

展開またはアクティブ化された際に Snort プロセスを再起動する設定

Snort プロセスを直ちに再起動するように設定を変更した場合。

変更により Snort プロセスがただちに再起動する場合

現在展開されている自動アプリケーション バイパス(AAB)設定のトラフィックをアクティブにした場合。

自動アプリケーション バイパスの設定

ポリシー適用中のトラフィックの検査

[ポリシー適用時にトラフィックを検査(Inspect traffic during policy apply)] は、管理対象デバイスが設定変更の展開時にトラフィックを検査できるようにするための詳細アクセス コントロール ポリシーの一般設定です。これは、展開する設定で Snort プロセスの再起動が不要な場合に限ります。このオプションは、次のように設定できます。

  • [有効(Enabled)]:特定の設定で Snort 処理を再起動する必要な場合を除き、トラフィックは展開時に検査されます。

    展開する設定に Snort の再起動が必要でなければ、システムは現在展開されているアクセス コントロール ポリシーを使用してトラフィックを検査し、導入中に、展開しているアクセス コントロール ポリシーに切り替えます。

  • [無効(Disabled)]:展開時にトラフィックは検査されません。Snort プロセスは展開時に必ず再起動されます。

次の図に、[ポリシー適用時にトラフィックを検査(Inspect traffic during policy apply)] を有効にした場合と無効にした場合の Snort の再起動の仕組みを示します。


注意    

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、一部のコンフィギュレーションを展開すると、トラフィックのインスペクションを中断する Snort プロセスが再開します。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲット デバイスがトラフィックを処理する方法に応じて異なります。Snort® の再起動によるトラフィックの動作および展開またはアクティブ化された際に Snort プロセスを再起動する設定を参照してください。

Snort® の再起動によるトラフィックの動作

次の表に、Snort プロセスが再起動した場合のさまざまなデバイスのトラフィックの処理方法を示します。

表 3. FTD および FTD の仮想再起動トラフィックの影響

インターフェイス コンフィギュレーション

再起動によるトラフィックの動作

inline: Snort Fail Open: Down: disabled

dropped

inline:Snort Fail Open:Down:enabled

検査なしで受け渡される

preserve-connection が有効になっている場合(configure snort preserve-connection enable 、デフォルト)はルーテッド、トランスペアレント(EtherChannel、冗長、サブインターフェイスを含む)

6.4.x FMC で管理対象となる FTD はバージョン 6.4.x、6.3.x、6.2.3、6.2.0.2、または後続の 6.2.0.x パッチを実行している必要があります。

詳細については、Cisco Firepower Threat Defense コマンド リファレンスを参照してください。

既存の TCP/UDP フロー:インスペクションなしで受け渡される

新規 TCP/UDP フローとすべての非 TCP/UDP フロー:ドロップされる

preserve-connection が有効になっている場合でも、次のトラフィックはドロップされることに注意してください。

  • システムが Do not decrypt SSL ルールまたはデフォルトポリシー アクション に一致するトラフィックにタグを付ける前に Snort がダウンした

    (いくつかのハンドシェイク パケット交換の後にタグ付けが行われます)

  • プレーンテキスト、パススルー プレフィルタ トンネル トラフィック ( Analyze ルール アクションまたはAnalyze all tunnel traffic デフォルト ポリシー アクション と一致)

  • 復号化された TLS/SSL トラフィック

  • セーフ サーチ フロー

  • キャプティブ ポータル フロー

次のいずれかの状況の場合はルーテッド、トランスペアレント(EtherChannel、冗長、サブインターフェイスを含む)

  • preserve-connection CLI コマンドが無効になっている(configure snort preserve-connection disable

  • FTD バージョン(6.2.1、6.2.2、6.2.2.x、または 6.2.0.2 よりも前のバージョン)はこのコマンドをサポートしていません。

dropped

inline: tap mode

すぐにパケットを出力し、バイパス Snort をコピーする

passive

中断なし、インスペクションなし

表 4. 7000 および 8000 シリーズ、NGIPSv 再起動トラフィックの影響

インターフェイス コンフィギュレーション

再起動によるトラフィックの動作

inline: Failsafe enabled または disabled

検査なしで受け渡される

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

inline: tap mode

すぐにパケットを出力し、バイパス Snort をコピーする

passive

中断なし、インスペクションなし

ルーテッド、スイッチド

7000 および 8000 シリーズのみ)

dropped

表 5. ASA FirePOWER Restart トラフィックの影響

インターフェイス コンフィギュレーション

再起動によるトラフィックの動作

フェールオープン状態のルーテッドまたは透過

検査なしで受け渡される

フェールクローズ状態のルーテッドまたは透過

dropped


(注)  
再起動中に Snort プロセスがダウンした場合のトラフィック処理に加え、フェールセーフ オプション(Firepower システムのインライン セット を参照)または Snort フェールオープンの [ビジー(Busy)] オプション(インライン セットを設定します。 を参照)の設定に応じて、トラフィックをインスペクションなしで通過させたり、または Snort プロセスがビジーのときにトラフィックをドロップしたりすることもできます。デバイスは、フェールセーフ オプションまたは Snort フェールオープン オプションの両方ではなくいずれかをサポートします。

(注)  
設定の導入時に Snort プロセスがビジーになったが、ダウンしなかった場合、CPU の合計負荷が 60 % を超えると一部のパケットがルーテッド、スイッチド、またはトランスペアレント インターフェイスでドロップする場合があります。

展開またはアクティブ化された際に Snort プロセスを再起動する設定

AAB 以外の構成を展開すると、Snort プロセスが再起動されます。AAB の展開自体には再起動が伴いませんが、パケットの遅延が大きすぎると、現在展開されている AAB 設定がアクティブになり、Snort プロセスが部分的に再起動されます。

アクセス コントロール ポリシーの詳細設定

  • [ポリシー適用時にトラフィックのインスペクションを実行する(Inspect traffic during policy apply)] が無効な場合に展開します。

  • SSL ポリシーを追加または削除します。

ファイル ポリシー(File Policy)

次のいずれかの構成の最初または最後を展開します。これらのファイル ポリシー構成を展開しても再起動は発生しませんが、非ファイル ポリシー構成を展開すると再起動が発生する可能性があることに注意してください。

  • 次のいずれかの操作を行います。

    • 展開されたアクセス コントロール ポリシーに 1 つ以上のファイル ポリシーが含まれている場合は、[アーカイブを検査する(Inspect Archives)] を有効または無効にします。

    • [アーカイブを検査する(Inspect Archives)] が有効になっている場合は、最初のファイル ポリシー ルールを追加するか、または最後のファイル ポリシー ルールを削除します([アーカイブを検査する(Inspect Archives)] が有意味であるためには 1 つ以上のルールが必要であることに注意してください)。

  • [ファイルを検出(Detect Files)] または [ファイルをブロック(Block Files)] ルールで、[ストア ファイル(Store files)] を有効または無効にします。

  • [マルウェア クラウドのルックアップ(Malware Cloud Lookup)] または [マルウェアをブロック(Block Malware)] ルール アクションと、分析オプション([Spero 分析または MSEXE(Spero Analysis or MSEXE)]、[ダイナミック分析(Dynamic Analysis)] または [ローカル マルウェア分析(Local Malware Analysis)])またはストア ファイル オプション([マルウェア(Malware)]、[不明(Unknown)]、[クリーン(Clean)] または [カスタム(Custom)])を組み合わせた最初のアクティブ ファイル ルールを追加するか、または最後のアクティブ ファイル ルールを削除します。

これらのファイル ポリシー構成をセキュリティ ゾーンまたはトンネル ゾーンに展開するアクセス コントロール ルールによって再起動が発生するのは、構成が次の条件を満たす場合だけであることに注意してください。

  • アクセス コントロール ルールに含まれる送信元または宛先セキュリティ ゾーンは、ターゲット デバイス上のインターフェイスに関連付けられたセキュリティ ゾーンと一致する必要があります。

  • アクセス コントロール ルールに含まれる宛先ゾーンが [任意(any)] でないかぎり、ルールに含まれる送信元トンネル ゾーンは、プレフィルタ ポリシーに含まれるトンネル ルールに割り当てられているトンネル ゾーンと一致する必要があります。

ID ポリシー

  • SSL 復号化が無効になっている場合(つまり、アクセス コントロール ポリシーに SSL ポリシーが含まれていない場合)は、最初のアクティブ認証ルールを追加するか、または最後のルールを削除します。

    アクティブな認証ルールに [アクティブ認証(Active Authentication)] ルール アクションが含まれるか、[パッシブ/VPN アイデンティティを確立できない場合にアクティブ認証を使用(Use active authentication if passive or VPN identity cannot be established)] が選択された [パッシブ認証(Passive Authentication)] ルール アクションが含まれます。

ネットワーク ディスカバリ(Network Discovery)

  • ネットワーク検出ポリシーを使用して、HTTP、FTP、または MDNS プロトコル経由で権限のないトラフィックベースのユーザ検出を有効または無効にします。

Device Management

  • ルーティング:7000 または 8000 シリーズ デバイスにルーテッド インターフェイス ペアまたは仮想ルータを追加します。

  • VPN:7000 または 8000 シリーズ デバイスで VPN を追加または削除します。


    注意    
    システムは、7000 または 8000 シリーズ デバイスの VPN を追加または削除したときに Snort プロセスが再起動することを警告しません。

  • MTU:デバイス上のすべての非管理インターフェイスの中で最大の MTU 値を変更します。

  • 7000/8000 シリーズのハイアベイラビリティ:ハイアベイラビリティ状態共有オプションを変更します。 システムは、Snort プロセスがプライマリ デバイスとセカンダリ デバイスで再起動することを警告しません。

  • Automatic Application Bypass(AAB): The currently deployed AAB configuration activates when a malfunction of the Snort process or a device misconfiguration causes a single packet to use an excessive amount of processing time. その結果、Snort プロセスが部分的に再起動され、非常に大きい遅延が緩和されるか、または完全なトラフィックの停止が防止されます。この部分的な再起動により、デバイスがトラフィックをどのように処理するかに応じて、いくつかのパケットがインスペクションなしで通過するか、またはドロップされます。

Updates

  • System update: Deploy configurations the first time after a software update that includes a new version of the Snort binary or data acquisition library(DAQ).

  • VDB: Deploy configurations the first time after installing a vulnerability database(VDB)update that includes changes applicable to managed devices. そのため、インストールを開始するために Firepower Management Center を選択すると、警告メッセージが表示されます。展開ダイアログは、VDB 変更が保留中の場合、Firepower Threat Defense デバイスに関する付加的な警告を提供します。Firepower Management Center にのみ適用される VDB の更新では再起動が行われないため、更新を展開できません。

変更により Snort プロセスがただちに再起動する場合

以下の変更を行うと、展開プロセスを経ることなく Snort プロセスが直ちに再起動されます。 再起動がトラフィックにどのような影響を与えるかは、ターゲット デバイスがトラフィックを処理する方法によって異なります。詳細はSnort® の再起動によるトラフィックの動作を参照してください。

  • アプリケーションまたはアプリケーション ディテクタに関する次の操作のいずれかを実行します。

    • システムまたはカスタム アプリケーション ディテクタを有効または無効にします。

    • アクティブ化されたカスタム ディテクタを削除します。

    • アクティブ化されたカスタム ディテクタを保存して再アクティブ化します。

    • ユーザ定義のアプリケーションを作成します。

    この操作を続けると管理対象のすべてのデバイスで Snort プロセスが再起動するという警告メッセージが表示され、キャンセルが可能になります。再起動は、現在のドメインまたはその子ドメインのいずれかの管理対象デバイスで発生します。

  • Firepower Threat Defense ハイ アベイラビリティ ペアの作成または解除:ハイ アベイラビリティ ペアの作成を続行すると、プライマリ デバイスとセカンダリ デバイスで Snort プロセスが再起動するという警告メッセージが表示され、キャンセルが可能になります。

  • 7000 または 8000 シリーズ ユーザ インターフェイスで Snort プロセスを再起動します([システム(System)] > [設定(Configuration)] > [プロセス(Process)])。確認メッセージが表示され、キャンセルすることができます。

ポリシーの比較

変更後のポリシーが組織の標準に準拠することを確かめたり、システム パフォーマンスを最適化したりする目的で、2 つのファイル ポリシーの間の違いや、保存済みポリシーと実行中のポリシーの間の違いを調べることができます。

比較できるポリシーのタイプは次のとおりです。

  • DNS

  • ファイル

  • ヘルス

  • アイデンティティ

  • 侵入

  • ネットワーク分析

  • SSL

比較ビューには、両方のポリシーが並べて表示されます。2 つのポリシー間の違いは次のように強調表示されます。

  • 青色は強調表示された設定が 2 つのポリシーで異なることを示し、差異は赤色で示されます。

  • グリーンは、強調表示されている設定項目が一方のポリシーに含まれ、もう一方のポリシーには含まれないことを示します。

ポリシーの比較

スマート ライセンス 従来のライセンス サポートされるデバイス数 サポートされるドメイン数 アクセス

機能に応じて異なる

機能に応じて異なる

いずれか(Any)

機能に応じて異なる

機能に応じて異なる

手順

ステップ 1

比較するポリシーの管理ページにアクセスします。

  • [DNS]:[Policies] > [Access Control] > [DNS]
  • [ファイル(File)]:[Policies] > [Access Control] > [Malware & File]
  • [状況(Health)]:[System] > [Health] > [Policy]
  • [ID(Identity)]:[Policies] > [Access Control] > [Identity]
  • [侵入(Intrusion)]:[Policies] > [Access Control] > [Intrusion]
  • [ネットワーク分析(Network Analysis)]:[Policies] > [Access Control]、次に [Network Analysis Policy] または [Policies] > [Access Control] > [Intrusion]、次に [Network Analysis Policy]
    (注)   
    カスタム ユーザ ロールに、ここにリストされている最初のパスへのアクセス制限がある場合は、2 番目のパスを使用してポリシーにアクセスします。
  • [SSL]:[Policies] > [Access Control] > [SSL]
ステップ 2

[Compare Policies] をクリックします。

ステップ 3

[比較対象(Compare Against)] ドロップダウン リストから、比較するタイプを次のように選択します。

  • 異なる 2 つのポリシーを比較するには、[他のポリシー(Other Policy)] を選択します。
  • 同じポリシーの 2 つのリビジョンを比較するには、[その他のリビジョン(Other Revision)] を選択します。
  • 現在のアクティブ ポリシーを他のポリシーに対して比較するには、[実行中の設定(Running Configuration)] を選択します。
ステップ 4

選択した比較タイプに応じて、次のような選択肢があります。

  • 2 つの異なるポリシーを比較する場合、[ポリシー A(Policy A)] ドロップダウン リストと [ポリシー B(Policy B)] ドロップダウン リストから比較するポリシーを選択します。
  • 実行中の設定を別のポリシーと比較する場合、[ポリシー B(Policy B)] ドロップダウン リストから 2 番目のポリシーを選択します。
ステップ 5

[OK] をクリックします。

ステップ 6

比較の結果を確認します。

  • [比較ビューア(Comparison Viewer)]:比較ビューアを使用して、ポリシーの違いを個別に検索するには、タイトル バーの上にある [前へ(Previous)] または [次へ(Next)] をクリックします。

  • [比較レポート(Comparison Report)]:2 つのポリシーの違いを示す PDF レポートを生成するには、[比較レポート(Comparison Report)] をクリックします。

ポリシー レポート

ほとんどのポリシーには、2 種類のレポートを生成することができます。単一のポリシーに関するレポートには、現在保存されているポリシー設定の詳細が記載されます。一方、比較レポートには、2 つのポリシー間の違いだけがリストされます。単一ポリシー レポートは、ヘルス ポリシーを除くすべてのポリシー タイプについて生成できます。


(注)  

侵入ポリシー レポートには基本ポリシーの設定とポリシー階層の設定が結合され、どちらが基本ポリシーまたはポリシー レイヤのどちらに基づく設定であるかは区別されません。

現在のポリシー レポートの生成

スマート ライセンス 従来のライセンス サポートされるデバイス数 サポートされるドメイン数 アクセス

機能に応じて異なる

機能に応じて異なる

いずれか(Any)

機能に応じて異なる

機能に応じて異なる

手順

ステップ 1

レポートを生成するポリシーの管理ページにアクセスします。

  • アクセス制御—[Policies] > [Access Control]
  • [DNS]:[Policies] > [Access Control] > [DNS]
  • [ファイル(File)]:[Policies] > [Access Control] > [Malware & File]
  • [状況(Health)]:[System] > [Health] > [Policy]
  • [ID(Identity)]:[Policies] > [Access Control] > [Identity]
  • [侵入(Intrusion)]:[Policies] > [Access Control] > [Intrusion]
  • 7000 & 8000 シリーズ デバイスの NAT:[Devices] > [NAT]
  • [ネットワーク分析(Network Analysis)]:[Policies] > [Access Control]、次に [Network Analysis Policy] または [Policies] > [Access Control] > [Intrusion]、次に [Network Analysis Policy]
    (注)   
    カスタム ユーザ ロールに、ここにリストされている最初のパスへのアクセス制限がある場合は、2 番目のパスを使用してポリシーにアクセスします。
  • [SSL]:[Policies] > [Access Control] > [SSL]
ステップ 2

レポートの生成対象とするポリシーの横にあるレポート アイコン()をクリックします。

失効ポリシー

Firepower システムは、失効したポリシーに赤色のステータス テキストでマークを付けます。このテキストには、ポリシーの更新を必要とするターゲット デバイスの数が示されます。失効ステータスをクリアするには、ポリシーをデバイスに再展開する必要があります。

ポリシーの再展開が必要な設定変更には次のものがあります。

  • アクセス コントロール ポリシー自体の変更:アクセス コントロール ルール、デフォルト アクション、ポリシー ターゲット、セキュリティ インテリジェンス フィルタリング、前処理などの詳細オプションの変更。

  • アクセス コントロール ポリシーが呼び出すポリシーの変更:SSL ポリシー、ネットワーク分析ポリシー、侵入ポリシー、ファイル ポリシー、アイデンティティ ポリシー、または DNS ポリシー。

  • 呼び出されるアクセス コントロール ポリシーで使用される再利用可能オブジェクトまたは設定の変更:

    • ネットワーク、ポート、VLAN タグ、URL、地理位置情報オブジェクト

    • セキュリティ インテリジェンス リストおよびフィード

    • アプリケーション フィルタまたはディテクタ

    • 侵入ポリシーの変数セット

    • ファイル リスト

    • 復号関連のオブジェクトとセキュリティ ゾーン

  • システム ソフトウェア、侵入ルール、または脆弱性データベース(VDB)の更新。

Web インターフェイスの複数の場所からこれらの設定の一部を変更できることに留意してください。たとえば、オブジェクト マネージャ([Objects] > [Object Management])を使用してセキュリティ ゾーンを変更できますが、デバイスの設定([Devices] > [Device Management])でインターフェイスのタイプを変更すると、ゾーンも変更され、ポリシーの再展開が必要になります。

次の更新では、ポリシーの再展開は必要ありません

  • セキュリティ インテリジェンス フィードへの自動更新およびコンテキスト メニューを使用したセキュリティ インテリジェンスのグローバル ブラックリストおよびホワイトリストへの追加

  • URL フィルタリング データへの自動更新

  • スケジュールされた位置情報データベース(GeoDB)の更新

限定的な導入のパフォーマンスに関する考慮事項

システムはホスト、アプリケーション、ユーザ検出データを使用することで、ネットワークの完全な最新プロファイルを作成できます。また、システムが侵入検知および防御システム(IPS)として機能して、ネットワーク トラフィックを分析して侵入およびエクスプロイトを検出し、オプションで問題のあるパケットをドロップすることもできます。

検出と IPS を組み合わせることで、ネットワーク アクティビティにコンテンツが提供され、次のような多くの機能を利用することができます。

  • 侵害の影響フラグと表示。これによって、どのホストが特定のエクスプロイト、攻撃、またはマルウェアに対して脆弱であるかが示されます。

  • アダプティブ プロファイルの更新と Firepower の推奨事項。これによって、宛先ホストに応じてトラフィックを個別に検査できます。

  • 相関。これによって、影響を受けるホストに応じて別々に侵入(およびその他のイベント)に応答できます。

ただし、組織が IPS または検出のみを実行することを目的としている場合は、システムのパフォーマンスを最適化できる設定がいくつかあります。

侵入防御のない検出

検出機能では、ネットワーク トラフィックをモニタして、ネットワーク上のホストの数とタイプ(ネットワーク デバイスを含む)だけでなく、それらのホスト上のオペレーティング システム、アクティブなアプリケーション、およびオープン ポートを判断できます。管理対象デバイスをネットワークのユーザ アクティビティをモニタするように設定することもできます。検出データを使用して、トラフィック プロファイリングを実行し、ネットワーク コンプライアンスを評価し、ポリシー違反に応答できます。

基本的な展開(検出と単純なネットワークベースのアクセス制御のみ)では、アクセス コントロール ポリシーの設定時にいくつかの重要なガイドラインに従うことで、デバイスのパフォーマンスを向上させることができます。


(注)  

それが単にすべてのトラフィックを許可する場合であっても、アクセス コントロール ポリシーを使用する必要があります。ネットワーク検出ポリシーが実行できるのは、アクセス コントロール ポリシーが通過を許可したトラフィックを検査することのみです。

最初に、アクセス コントロール ポリシーは複雑な処理を必要とせず、単純なネットワークベースの基準のみを使用してネットワーク トラフィックを処理することを確認します。次のすべてのガイドラインを実装する必要があります。これらのオプションのいずれかを誤って設定すると、パフォーマンス上の利点がなくなります。

  • セキュリティ インテリジェンス機能を使用しないでください。入力されたグローバル ホワイトリストまたはブラックリストをポリシーのセキュリティ インテリジェンスの設定から削除します。

  • モニタ アクションまたはインタラクティブ ブロック アクションにアクセス コントロール ルールを含めないでください。許可、信頼、およびブロック ルールのみを使用します。許可されたトラフィックは検出によって検査できますが、信頼されたトラフィックとブロックされたトラフィックは検査できないことに留意してください。

  • アプリケーション、ユーザ、URL、ISE 属性、または位置情報ベースのネットワーク条件にアクセス コントロール ルールを含めないでください。単純なネットワークベースの条件(ゾーン、IP アドレス、VLAN タグ、およびポート)のみを使用します。

  • ファイル、マルウェア、または侵入インスペクションを実行するアクセス コントロール ルールを含めないでください。つまり、ファイル ポリシーまたは侵入ポリシーをアクセス コントロール ルールに関連付けないでください。

  • アクセス コントロール ポリシーのデフォルトの侵入ポリシーが [アクティブなルールなし(No Rules Active)] に設定されていることを確認します。

  • ポリシーのデフォルト アクションとして [ネットワーク検出のみ(Network Discovery Only)] を選択します。侵入インスペクションを実行するポリシーのデフォルト アクションを選択しないでください。

アクセス コントロール ポリシーと組み合わせて、ネットワーク検出ポリシーを設定して適用できます。このポリシーは、システムが検出データについて検査をするネットワーク セグメント、ポート、およびゾーンを指定し、ホスト、アプリケーション、およびユーザがセグメント、ポート、およびゾーンで検出されるかどうかを指定します。

ディスカバリのない侵入防御

必要がない場合(たとえば、IPS のみの展開など)に検出を無効にするとパフォーマンスが向上する可能性があります。検出を無効にするには、次のすべての変更を実装する必要があります。

  • ネットワーク検出ポリシーからすべてのルールを削除します。

  • 単純なネットワークベースの条件(ゾーン、IP アドレス、VLAN タグ、およびポート)のみを使用してアクセス制御を実行します。

    どんな種類のセキュリティ インテリジェンス、アプリケーション、ユーザ、URL、または地理位置情報の制御も行わないでください。検出データの保存を無効にできても、システムではそれらの機能を実装するためにデータを収集して検査する必要があります。

  • デフォルトのグローバル リストなど、アクセス コントロール ポリシーのセキュリティ インテリジェンス設定からすべてのホワイトリストとブラックリストを削除することで、ネットワークと URL ベースのセキュリティ インテリジェンスを無効にします。

  • DNS のデフォルトのグローバル ホワイトリストや DNS ルールのグローバル ブラックリストなど、関連付けられている DNS ポリシー内のすべてのルールを削除または無効にすることで、DNS ベースのセキュリティ インテリジェンスを無効にします。

展開後、新たな検出はターゲット デバイス上で停止します。タイムアウトの設定に応じて、システムはネットワーク マップ内の情報を段階的に削除していきます。または、すべての検出データを即座に消去できます。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ