ライセンス：任意

アクセス コントロール ポリシーには一意の名前が必須であり、デフォルト アクションを指定する必要があります。この時点で、デフォルト アクションにより、ASA FirePOWER モジュールの暗号化されていないすべてのトラフィックの処理方法が決まります。トラフィック フローに影響するその他の設定は後で追加します。

次の図に示すように、追加のインスペクションなしですべてのトラフィックをブロックするか、または侵入がないかどうかトラフィックを検査するようにデフォルト アクションを設定できます。

ヒント	最初にアクセス コントロール ポリシーを作成するときに、デフォルト アクションとしてトラフィックを信頼するように選択することはできません。すべてのトラフィックをデフォルトで信頼する場合は、ポリシーを作成した後にデフォルト アクションを変更します。

新規のアクセス コントロール ポリシーを作成したり、既存のアクセス コントロール ポリシーを管理したりするには、[Access Control Policy] ページ（[Policies] > [Access Control]）を使用します。

必要に応じて、当初からシステムに付属している Default Trust All Traffic という名前のポリシーを使用および変更できます。

アクセス コントロール ポリシーの作成方法：

ライセンス：任意

新しいアクセス コントロール ポリシーを初めて作成する場合、アクセス コントロール ポリシー エディタが表示され、[Rules] タブに焦点が置かれています。次の図に、新しく作成されたポリシーを示します。新しいポリシーにはルールやその他の設定がまだ存在しないため、デフォルト アクションはすべての暗号化されていないトラフィックを処理します。この場合、デフォルト アクションは、最終宛先に許可する前に、システムによって提供される [バランスの取れたセキュリティと接続（Balanced Security and Connectivity）] 侵入ポリシーを使用してトラフィックを検査します。

ルールの追加や編成などを行うには、アクセス コントロール ポリシー エディタを使用します。次のリストでは、変更可能なポリシー設定に関する情報を提供します。

名前と説明

ポリシーの名前と説明を変更するには、該当するフィールドをクリックし、新しい名前または説明を入力します。

セキュリティ インテリジェンス

セキュリティ インテリジェンスは、悪意のあるインターネット コンテンツに対する最初の防御ラインです。この機能を使用すると、最新のレピュテーション インテリジェンスに基づいて接続を直ちにブロックすることができます。重要なリソースへの継続的なアクセスを確保するために、ブロックリストをカスタムブロックなしリストでオーバーライドできます。このトラフィック フィルタリングは、ルールやデフォルト アクションを含む、他のどのポリシーベースのインスペクション、分析、またはトラフィック処理よりも前に行われます。詳細については、レピュテーションベースのルールによるトラフィックの制御を参照してください。

ルール

ルールでは、ネットワーク トラフィックを処理する詳細な方法が提供されます。アクセス コントロール ポリシー内の各ルールには、1 から始まる番号が付きます。システムは、ルール番号の昇順で先頭から順にアクセス コントロール ルールをトラフィックと照合します。

ほとんどの場合、システムは、すべてのルールの条件がトラフィックに一致する場合、最初のアクセス コントロール ルールに従ってネットワーク トラフィックを処理します。これらの条件には、セキュリティ ゾーン、ネットワークまたは地理的位置、ポート、アプリケーション、要求された URL、またはユーザが含まれています。条件は単純または複雑にできます。条件の使用は特定のライセンスによって異なります。

ルールを追加、分類、有効化、無効化、フィルタリング、または管理するには、[Rules] タブを使用します。詳細については、アクセス コントロール ルールを使用したトラフィック フローの調整を参照してください。

デフォルト アクション

デフォルトアクションは、セキュリティ インテリジェンスによってブロックされず、いずれのアクセス制御ルールにも一致しないトラフィックをシステムが処理する方法を決定します。デフォルト アクションを使用して、追加のインスペクションなしですべてのトラフィックをブロックまたは信頼でき、または侵入がないかトラフィックを検査できます。デフォルト アクションによって処理される接続のロギングを有効または無効にできます。

詳細については、デフォルトの処理の設定およびネットワーク トラフィックのインスペクションおよびアクセス コントロールの処理に基づく接続のロギングを参照してください。

HTTP 応答

ユーザの Web サイト要求をシステムがブロックした場合にブラウザに表示する内容を指定できます。一般的なシステム提供の応答ページを表示するか、カスタム HTML を入力するかを指定できますユーザに警告するページを表示することもできますが、ユーザはボタンをクリックして最初に要求されたサイトをロードするためにページの続行または更新を行うことも可能です。詳細については、ブロックされた URL のカスタム Web ページの表示を参照してください。

アクセス コントロールの詳細オプション

通常、アクセス コントロール ポリシーの詳細設定を変更する必要はほとんど、あるいはまったくありません。デフォルト設定は、ほとんどの展開環境に適しています。変更できる詳細設定には次のものがあります。

• ユーザが要求した各 URL に対し、ASA FirePOWER モジュール データベースに保存する文字数。を参照してください。 接続で検出された URL のロギング

• ユーザが最初のブロックをバイパスした後に Web サイトを再度ブロックするまでの時間間隔。ブロックされた Web サイトのユーザー バイパス タイムアウトの設定 を参照してください。

• ネットワーク分析ポリシーおよび侵入ポリシーの設定。この設定では、ネットワークおよびゾーンに対する多くの前処理オプションを調整し、デフォルトの侵入インスペクション動作を設定できます。

• トランスポートおよびネットワーク プリプロセッサの詳細設定。この設定は、アクセス コントロール ポリシーを適用するすべてのネットワークおよびゾーンにグローバルに適用されます。

• ユーザのネットワークのホスト オペレーティング システムに基づいて、パッシブ展開でパケット フラグメントおよび TCP ストリームの再構成を改善する適応型プロファイル。ルールを使用した侵入ポリシーの調整 を参照してください。

• 侵入インスペクション、ファイル制御、および高度なマルウェア防御のパフォーマンス オプション。侵入防御パフォーマンスの調整および ファイルおよびマルウェアのインスペクション パフォーマンスおよびストレージの調整を参照してください。

アクセス コントロール ポリシーを編集すると、変更がまだ保存されていないことを示すメッセージが表示されます。変更を維持するには、ポリシー エディタを終了する前にポリシーを保存する必要があります。変更を保存しないでポリシー エディタを終了しようとすると、変更がまだ保存されていないことを警告するメッセージが表示されます。この場合、変更を破棄してポリシーを終了するか、ポリシー エディタに戻るかを選択できます。

セッションのプライバシーを保護するために、ポリシー エディタで 60 分間操作が行われないと、ポリシーの変更が破棄されて、[Access Control Policy] ページに戻ります。30 分間操作が行われなかった時点で、変更が破棄されるまでの分数を示すメッセージが表示されます。以降、このメッセージは定期的に更新されて残りの分数を示します。ページで何らかの操作を行うと、タイマーがキャンセルされます。

アクセス コントロール ポリシーの編集方法：

ライセンス：任意

次のサブポリシーのいずれかとアクセス コントロール ポリシーとを関連付けるには、アクセス コントロール ポリシーの詳細設定を使用します。

• SSL ポリシー：セキュア ソケット レイヤ（SSL）または Transport Layer Security（TLS）で暗号化されたアプリケーション層プロトコル トラフィックをモニター、復号化、ブロック、または許可します。

• アイデンティティ ポリシー：トラフィックに関連付けられているレルムと認証方式に基づいて、ユーザ認証を実行します。

注意	SSL またはアイデンティティ ポリシーの関連付け、またはそれ以降の [None] を選択することによるポリシー関連付け解除により、設定変更の展開時に Snort プロセスは再開し、トラフィックの検査が一時的に中断されます。この検査中にトラフィックがドロップされるか、それ以上検査が行われずに受け渡されるかは、管理対象デバイスのモデルおよびトラフィックの処理方法に応じて異なります。

他のポリシーとアクセス コントロール ポリシーを関連付ける方法：

ライセンス：任意

[Access Control Policy] ページ（[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Access Control]）では、失効したポリシーには、赤色のステータス テキストが付いています。

ほとんどの場合、アクセス コントロール ポリシーを変更した場合は、変更を有効にするために再度適用する必要があります。アクセス コントロール ポリシーが他のポリシーを呼び出したり、または他の設定に依存する場合、それらを変更すると、アクセス コントロール ポリシーを再度適用する必要があります（または、侵入ポリシーの変更の場合は、侵入ポリシーだけを再度適用できます）。

ポリシーの再適用が必要な設定変更には次のものがあります。

• アクセス コントロール ポリシー自体の変更：アクセス コントロール ルール、デフォルト アクション、セキュリティ インテリジェンス フィルタリング、NAP ルールなどの詳細オプションの変更。

• アクセス コントロール ポリシーが呼び出す侵入およびファイル ポリシーのいずれかの変更：SSL ポリシー、ネットワーク分析ポリシー、侵入ポリシー、およびファイル ポリシー。

• アクセス コントロール ポリシーで使用される再利用可能なオブジェクトまたは設定、またはアクセス コントロール ポリシーが呼び出すポリシーの変更：ネットワーク、ポート、URL、および位置情報オブジェクト、セキュリティ インテリジェンスのリストとフィード、アプリケーション フィルタまたはディテクタ、侵入ポリシーの変数セット、ファイル リスト、復号化関連オブジェクト、セキュリティ ゾーンなど。

• システム ソフトウェア、侵入ルール、または脆弱性データベース（VDB）の更新。

これらの設定の一部は、ASA FirePOWER モジュール インターフェイスの複数の場所から変更できることに留意してください。たとえば、セキュリティ ゾーンはオブジェクト マネージャ（[Configuration] > [ASA FirePOWER Configuration] > [Object Management]）を使用して変更できます。

次の更新では、ポリシーの再適用は必要ありません。

• URL フィルタリング データへの自動更新

• スケジュールされた位置情報データベース（GeoDB）の更新

アクセス コントロール ポリシーまたは侵入ポリシーが失効した理由を確認するには、比較ビューアを使用します。

アクセス コントロール ポリシーが失効した理由を確認するには、次の手順を実行します。

ライセンス：任意

ASA FirePOWER モジュールを使用して展開環境の設定を行った後で、その設定に変更を加える場合は、常に新しい設定を展開する必要があります。

この導入アクションにより、次の設定コンポーネントが配布されます。

• アクセス コントロール ポリシーとすべての関連ポリシー：DNS、ファイル、アイデンティティ、侵入、ネットワーク分析、SSL

• 導入されたポリシーに関連付けられているすべての関連ルール設定とオブジェクト

• 侵入ルール更新

• デバイスとインターフェイスの設定

注意	特殊なケースとして、設定変更を展開すると、トラフィック フローと処理が一時的に停止したり、いくつかのパケットが検査されないまま通過したりすることがあります。利用できない時間を最小限にするために、導入は変更時間帯に実行します。

設定変更を展開するには、次のようにします。

ライセンス：任意

アクセス コントロール ポリシー レポートとは、特定の時点でのポリシーおよびルールの設定を記録したものです。このレポートには、次の情報が含まれており、監査目的や現在の設定を調べるために使用できます。

また、ポリシーを現在適用されているポリシーや別のポリシーと比較する、アクセス コンロトール比較レポートを生成することもできます。詳細については、アクセス コントロール ポリシーを比較するを参照してください。

アクセス コントロール ポリシー レポートの表示方法：