ルール ベースの概要

例: 以前に管理されたルールベースの削除

Security Directorから管理対象デバイスを削除できます。既存のポリシー以外の他のポリシーがデバイスに公開されていない場合に、以前に管理されたルールベースを削除するには、次のガイドラインに従います。

• Security Directorでデバイスポリシーを変更する場合、[グローバルポリシーの管理]オプションを選択しないでください。

  Security Directorは、Security Directorアプリケーションのデザインデータ内のグローバルルールベースを削除します。

• ポリシーを発行し、デバイスを更新します。この更新プログラムは、デバイスからすべてのグローバル ルールを削除します。

  アップデートが成功すると、デバイスのすべてのデバイスポリシーがSecurity Directorの管理から削除されます。

メモ：

Security Directorは、その後の公開アップデート時に、CLIを介してデバイスに設定されたすべてのデバイスポリシーを引き続き削除します。

政策分析

一定期間が経過すると、ルールがまとまりがなくなり、一部のルールが無効になるため、ファイアウォールルールベースが非効率的になる可能性があります。これは主に、新しいルールまたは変更されたルールが追加されたときにエンドユーザーにタイムリーに通知されず、ルールベースの他のルールに悪影響を与える可能性があるために発生します。

この問題は、ポリシーを分析し、ポリシーのルールの異常をエンド ユーザーに報告することで対処できます。ポリシー分析は、ルール内のシャドウイングと冗長な異常を報告します。これらのレポートはPDF形式で入手できます。また、ポリシー分析は、ルールのアドレスとサービスの間の異常を検出します。

ポリシー分析は、Security Directorによって管理されるポリシーのファイアウォールルールベースを分析するのに役立ち、以下の問題を含むファイアウォールルールを識別します。

• シャドウイング:ルールベースの順序が高いルールと、ルールベースの順序が低いルールのすべてのパケットが一致する場合に発生します。シャドウルールはアクティブ化されません。考えられる解決策は、ルールの順序を変更するか、ルールの 1 つを無効にするか削除することです。異常な計算は、無効なルールに対しては行われません。

• 冗長:同じ設定または構成で、同じパケットに対して同じアクションを実行するルールが2つ以上存在する場合に発生します。解決策は、冗長なルールを無効にするか削除することです。

ポリシー分析レポートはPDF形式で生成され、電子メールで複数の受信者に送信できます。レポートには、すべての異常を示す概要と円グラフが含まれます。レポート生成をスケジュールできます。

次の一覧は、さまざまな種類のファイアウォール ポリシーのポリシー分析動作を示しています。

• すべてのデバイスポリシー:すべてのデバイスポリシー内のファイアウォールポリシーランディングページに存在するすべてのルールを分析します。

• グループ ポリシー - グループ ポリシー内のファイアウォール ポリシー ランディング ページに存在するすべてのルール(すべてのデバイス ポリシー ルールを含む)を分析します。

• デバイスポリシー:デバイスポリシー内のファイアウォールポリシーランディングページに存在するすべてのルール(すべてのデバイスポリシールールを含む)を分析します。デバイスに存在するすべてのルールを分析する場合は、デバイスポリシーをクリックしてレポートを生成する必要があります。

• デバイス例外ポリシー - デバイス例外ポリシー内のファイアウォール ポリシー ランディング ページに存在するすべてのルール(すべてのデバイスを含む)を分析します。

ポリシー分析は、次のシナリオでは実行されません。

• 無効なルールは、ポリシー分析の計算では考慮されません。

• [アドレス (送信元と送信先)] 列と [サービス] 列を除き、ファイアウォール ランディング ページの他の列はポリシー分析の計算に考慮されません。

• 変数アドレス、ワイルドカード アドレス、および除外アドレスは、ポリシー分析の計算では考慮されません。