アクセス コントロール ポリシーについて
最も単純なアクセス コンロトール ポリシーは、そのデフォルト アクションを使用してすべてのトラフィックを処理します。このデフォルト アクションは、詳細な検査を行わずにすべてのトラフィックをブロックまたは信頼するように設定することも、侵入についてトラフィックを検査するように設定することもできます。
インライン展開された ASA FirePOWER モジュールだけがトラフィックのフローに影響を与える場合があることに注意してください。トラフィックをブロックまたは変更するように設定されたアクセス コントロール ポリシーをパッシブに展開されたデバイスに適用すると、予期しない結果になることがあります。場合によっては、パッシブに展開された ASA FirePOWER モジュールへのインライン設定の適用がシステムにより阻止されることがあります。
より複雑なアクセス コントロール ポリシーはセキュリティ インテリジェンス データに基づいてトラフィックをブロックすることができ、また、アクセス制御ルールを使用してネットワーク トラフィックのロギングおよび処理を細かく制御することができます。これらのルールは単純または複雑にすることができ、複数の基準を使用してトラフィックを照合および検査できます。高度なアクセス コントロール ポリシー オプションは、復号化、前処理、パフォーマンス、および他の一般設定を制御します。
基本的なアクセス コントロール ポリシーを作成した後に、固有の展開環境に合わせて調整する方法については、次の章を参照してください。
-
セキュリティ インテリジェンスの IP アドレス レピュテーションを使用したトラフィックのブロック では、最新のレピュテーション インテリジェンスに基づいて接続を直ちにブロックする方法について説明します。
-
ネットワーク分析ポリシーと侵入ポリシーについて では、システムの侵入検知および防止機能の一部として、ネットワーク分析および侵入ポリシーがパケットを前処理し確認する方法について説明します。
-
アクセス コントロール ルールを使用したトラフィック フローの調整 では、複数の ASA FirePOWER モジュールで、アクセス コントロール ルールがネットワーク トラフィックを処理する詳細な方法について説明します。
-
侵入ポリシーおよびファイル ポリシーを使用したトラフィックの制御 では、侵入、禁止されたファイルおよびマルウェアを検出しオプションでブロックすることによって、トラフィックがその宛先に許可される前に、最後の防衛ラインを侵入ポリシーおよびファイル ポリシーが提供する方法について説明します。