• はじめに
• 概要
• Network Analysis Policyのレイヤー構造
• Intrusion Policyのレイヤー構造
• 参考情報

はじめに

本ドキュメントでは、FirepowerのNetwork Analysis PolicyやIntrusion PolicyにおけるPolicy Layerの考え方について紹介いたします。

概要

Firepower (FTDにおけるFirepowerの設定項目を含む) におけるレイヤー構造をもつポリシーについては、下図のように Base Policy Layerでの設定を上位のUser Layerにより継承または変更する形で最終的に適用される設定が決定いたします。

Network Analysis Policyのレイヤー構造

Network Analysis Policyにおいては、以下のようにまずポリシーの作成時点でBase Policyの選択が必要になり、選択したポリシーによりデフォルトの設定内容が異なります。

Base Policyの設定変更はできません。(グレーアウトしていて変更不可。)

User Policy (My Changes)においては、デフォルトでBase Policyの設定が全て継承(Inherit)されています。

こちらについては以下のようにEnable/Disableを行い、設定変更が可能です。

上記のとおり、選択したBase Policyのデフォルトの設定を継承しつつ、ユーザーが一部を変更する形で最終的に適用される設定が決定されます。

Intrusion Policyのレイヤー構造

Intrusion Policy においても、以下のようにまずポリシーの作成時点でBase Policyの選択が必要になり、選択したポリシーによりデフォルトの設定内容が決定されます。

Base Policyの設定変更はできません。(グレーアウトしていて変更不可。)

User Policy (My Changes)においては、デフォルトでBase Policyの設定が全て継承(Inherit)されています。

こちらについては諸々の設定変更が可能です。

<レイヤー構成が３層以上の場合>

３層以上のレイヤー構成を作成した場合には中間レイヤーの設定については上位レイヤーの設定により上書きされる場合があり、その場合には下図のように"Above"として色付けされます。

中間レイヤー("My Change")の設定が上位レイヤー("New Layer")にて上書きされると、下図のように中間層の設定が最終的な設定に反映されなくなります。 

最終的に適用される設定でEnableされているRuleについては”Policy Information”より Viewをクリックすることで確認可能です。

参考情報

• Chapter: Layers in Intrusion and Network Analysis Policies - Firepower Management Center Configuration Guide, Version 6.0
• Firepower System and FTDトラブルシューティング
• Cisco Secure Firewall (FTD) - how to  ※FTD情報 まとめサイト
•