Cisco Cisco ASA 5525-X with FirePOWER Services Prospecto
15
10
ASA FirePOWER モジ ュ ールへの ト ラ フ ィ ッ クの リ ダ イ レ ク ト
特定の ト ラ フ ィ ッ ク を識別す る サー ビ ス ポ リ シーを作成 し て、 ト ラ フ ィ ッ ク を ASA FirePOWER へ リ ダ イ レ ク ト し ます。
デバ イ ス は、 パ ッ シブ展開 (モニ タ 専用) ま たは イ ン ラ イ ン展開のいずれかで設定で き ま す。
デバ イ ス は、 パ ッ シブ展開 (モニ タ 専用) ま たは イ ン ラ イ ン展開のいずれかで設定で き ま す。
•
パ ッ シブ展開では、 ト ラ フ ィ ッ ク の コ ピーがデバ イ ス に送信 さ れ ま すが、 ASA には返 さ れ ません。 パ ッ シブ モー ド で
は、 デバ イ ス が ト ラ フ ィ ッ ク に対 し て実行 し た と 思われ る 内容を 確認 し 、 ネ ッ ト ワ ー ク に影響を与えずに ト ラ フ ィ ッ ク
の内容を評価で き ま す。
は、 デバ イ ス が ト ラ フ ィ ッ ク に対 し て実行 し た と 思われ る 内容を 確認 し 、 ネ ッ ト ワ ー ク に影響を与えずに ト ラ フ ィ ッ ク
の内容を評価で き ま す。
•
イ ン ラ イ ン展開では、 実際の ト ラ フ ィ ッ ク がデバ イ ス に送信 さ れ る ため、 ト ラ フ ィ ッ ク で発生す る 内容は、 デバ イ ス のポ
リ シーの影響を受け ます。 望ま し く ない ト ラ フ ィ ッ ク が ド ロ ッ プ さ れ、 ポ リ シーに よ り 適用 さ れた他のア ク シ ョ ンが実行
さ れた後、 ト ラ フ ィ ッ ク は ASA に返 さ れて、 追加の処理およ び最終的な伝送が行われます。
ASA 上でモニ タ 専用モー ド と 通常の イ ン ラ イ ン モー ド の両方を同時に設定で き ま せん。 セ キ ュ リ テ ィ ポ リ シーの 1 つの タ イ
プのみが許可 さ れ ま す。 マルチ コ ン テ キ ス ト モー ド では、 一部の コ ン テ キ ス ト に対 し てモニ タ 専用モー ド を設定 し 、 残 り の
プのみが許可 さ れ ま す。 マルチ コ ン テ キ ス ト モー ド では、 一部の コ ン テ キ ス ト に対 し てモニ タ 専用モー ド を設定 し 、 残 り の
コ ン テ キ ス ト に対 し て通常の イ ン ラ イ ン モー ド を設定す る こ と はで き ません。
は じ める前に
•
(ASA FirePOWER と 交換し た) IPS ま たは CX モジ ュールに ト ラ フ ィ ッ ク を リ ダ イ レ ク ト する ア ク テ ィ ブ サービ ス ポ リ
シーがあ る 場合は、 そのポ リ シーを削除 し てか ら ASA FirePOWER サービ ス ポ リ シーを設定する必要があ り ます。
•
ASA と ASA FirePOWER で一貫 し たポ リ シーが設定 さ れてい る こ と を確認 し ます。 両方のポ リ シーは、 ト ラ フ ィ ッ ク の
パ ッ シブ モー ド ま たは イ ン ラ イ ン モー ド を反映する必要があ り ます。
パ ッ シブ モー ド ま たは イ ン ラ イ ン モー ド を反映する必要があ り ます。
•
マルチ コ ン テ キ ス ト モー ド では、 各セキ ュ リ テ ィ コ ン テキ ス ト で こ の手順を実行 し ます。
手順
ス テ ッ プ 1
ASDM で、 [Configuration] > [Firewall] > [Service Policy Rules] を選択 し ま す。
ス テ ッ プ 2
[Add] > [Add Service Policy Rule] を選択 し ま す。
ス テ ッ プ 3
ポ リ シーを特定の イ ン タ ー フ ェ イ ス に適用す る か、 ま たは全体的に適用す る か を選択 し 、 [Next] を ク リ ッ ク し
ま す。
ス テ ッ プ 4
ト ラ フ ィ ッ ク の一致を設定 し ます。 た と えば、 イ ンバ ウ ン ド のア ク セ ス ルールを通過 し たすべての ト ラ フ ィ ッ ク
がモジ ュ ールへ リ ダ イ レ ク ト さ れ る よ う に、 一致を [Any Traffic] に設定で き ます。 ま た、 ポー ト 、 ACL (送信元
と 宛先の基準)、 ま たは既存の ト ラ フ ィ ッ ク ク ラ ス に基づいて、 よ り 厳密な基準を定義する こ と も で き ます。 こ
のポ リ シーでは、 その他のオプシ ョ ンはあ ま り 有用ではあ り ません。 ト ラ フ ィ ッ ク ク ラ ス の定義が完了 し た ら 、
[Next] を ク リ ッ ク し ます。
ス テ ッ プ 5
[Rule Actions] ページで [ASA FirePOWER Inspection] タ ブ を ク リ ッ ク し ま す。
ス テ ッ プ 6
[Enable ASA FirePOWER for this traffic flow] チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。
ス テ ッ プ 7
[ASA FirePOWER Card Fails] 領域で、 次のいずれか を ク リ ッ ク し ま す。
•
[Permit traffic] : モジ ュ ールが使用で き ない場合に、 すべての ト ラ フ ィ ッ ク の通過を検査な し で許可す る よ
う に ASA を設定 し ます。
•
[Close traffic] : モジ ュ ールが使用で き ない場合に、 すべての ト ラ フ ィ ッ ク を ブ ロ ッ ク す る よ う に ASA を設
定 し ます。
定 し ます。
ス テ ッ プ 8
(オプシ ョ ン) ト ラ フ ィ ッ ク の読み取 り 専用の コ ピーを モジ ュ ールに送信す る (つま り パ ッ シブ モー ド にす る )
には、 [Monitor-only] を オンに し ます。 こ のオプシ ョ ン を選択す る と 、 ト ラ フ ィ ッ ク は イ ン ラ イ ン モー ド で送信
さ れ ます。 詳細については、 「
」 を参照 し て く だ さ い。
ス テ ッ プ 9
[Finish] を ク リ ッ ク し 、 次に [Apply] を ク リ ッ ク し ま す。
こ の手順を繰 り 返 し て、 追加の ト ラ フ ィ ッ ク フ ロ ーを必要に応 じ て設定 し ま す。