一般的なパラメータ
|
スナップショットパージ設定
Purge Debugging Files Older Than (days)
|
システムがデバッグ ファイルを保持する最大日数。デバッグ ファイルは自動的に削除されます。この日数を減らした場合、[今すぐパージする(Purge Now)] をクリックして、指定した日数よりも古いすべてのデバッグファイルをすぐに削除できます。
(注)
|
パージする場合、Security Manager は、[デバッグオプション(Debug Options)] ページの [検出/展開デバッグスナップショットのファイルへのキャプチャ(Capture Discovery/Deployment Debugging Snapshots to File)] チェックボックスが有効になった後に作成されたデバッグファイルのみを考慮します。
|
|
Default Deployment Method
ディレクトリ
|
デバイスに設定を展開するためのデフォルト方式として使用する方式。
-
[Device]:設定をデバイスに直接展開するか、またはデバイスに指定された転送メカニズムに展開します。詳細については、デバイスへの直接展開を参照してください。
-
[File]:Security Manager サーバ上のディレクトリに設定ファイルを展開します。[File] を選択する場合は、設定ファイルの展開先ディレクトリを [Destination] カラムで指定します。ファイルをデフォルトとして選択しても、IPS
デバイスには設定が適用されません。IPS デバイスについては、デバイス展開だけを使用できます。詳細については、ファイルへの展開を参照してください。
展開ジョブを作成するときに、この方式をオーバーライドできます。
|
When Out of Band Changes Detected
|
Security Manager が、設定がデバイスに最後に展開されたあとに、デバイスの CLI で変更が直接行われたことを検出したときに、対応するかどうかを指定します。アウトオブバンド変更の検出は、ファイルではなくデバイスに展開するときにだけ正しく機能し、デバイスから参照設定を取得するように設定された展開方式に対してだけ適用されます(参照設定の設定値については、後述の説明を参照してください)。
この設定によって、デフォルトのアクションが指定されます。デフォルトのアクションは、展開ジョブの作成時にオーバーライドできます。次のいずれかを選択できます。
-
[変更を上書きして警告を表示(Overwrite changes and show warning)](デフォルト):デバイスに対して手動で変更を行った場合、Security Manager は、展開を続行し、変更を上書きし、このアクションを通知する警告を表示します。
-
[展開をキャンセル(Cancel deployment)]:デバイスに対して手動で変更を行った場合、Security Manager は展開をキャンセルし、このアクションを通知する警告を表示します。
-
[変更を確認しない(Do not check for changes)]:Security Manager は、変更内容を確認せずにデバイスに展開し、ローカルの変更を上書きします。
アウトオブバンド変更の処理の詳細な説明については、アウトオブバンド変更の処理方法についてを参照してください。
(注)
|
フェールオーバーが設定されていないデバイスの場合、帯域外の変更が検出されたときに [展開をキャンセル( Cancel Deployment )] オプションを選択すると、ブートストラップ設定によって展開が失敗する可能性があります。展開を成功させるには、Security
Manager でデバイスを検出する前にフェールオーバーを設定する必要があります。
|
|
Deploy to File Reference Configuration
|
Security Manager サーバ上のファイルに設定を展開するときに、Security Manager が、デバイスの以前の設定と新しいポリシーを比較するために使用する設定。
設定を比較したあとで、Security Manager によって、展開する適切な CLI が生成されます。
|
Deploy to Device Reference Configuration
|
デバイス(または転送サーバ)に設定を直接展開するときに、Security Manager が、デバイスの以前の設定と新しいポリシーを比較するために使用する設定。
設定を比較したあとで、Security Manager によって、展開する適切な CLI が生成されます。
|
Allow Download on Error
|
軽微なデバイス設定エラーがある場合でも、デバイスへの展開を継続するかどうかを指定します。
|
Save Changes Permanently on Device
|
設定をデバイスに展開したあとに(write memory コマンドを使用して)、実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存するかどうか。これは、PIX、FWSM、ASA、または Cisco IOS の各デバイスに適用されます。このチェックボックスをオフにすると、スタートアップ
コンフィギュレーションは変更されません。これは、デバイスが何らかの理由でリロードされると設定の変更内容が失われることを意味します。
|
Preselect Devices with Undeployed Changes
|
展開ジョブの作成時に確認する、変更されたデバイスのリストで、変更されたすべてのデバイスを選択済みとするかどうかを指定します。このオプションの選択を解除すると、ユーザは、デバイスを手動で選択して展開ジョブに含める必要があります。
|
Enable Auto Refresh in Deployment Main Panel
|
展開ジョブおよびスケジュール ステータス情報が、[Deployment Manager] ウィンドウで自動的にリフレッシュされるかどうかを指定します。このオプションの選択を解除すると、[Refresh] ボタンをクリックして、情報を手動でリフレッシュする必要があります。
|
Remove Unreferenced SSL VPN Files on Device
(ASA のみ)
|
SSL VPN 設定に関連するファイルが、デバイスの SSL VPN 設定によって現在は参照されていない場合に、Security Manager がこれらのファイルを削除するかどうか。このオプションの選択を解除すると、使用されていないファイルは、展開後にデバイス上に残ります。
|
Mask Passwords and Keys When Viewing Configs and Transcripts
Mask Passwords and Keys When Deploying to File
|
Security Manager が、次の項目をマスクして、読み取られないようにする条件(ある場合):ユーザ、イネーブル モード、Telnet、およびコンソールのパスワード。SNMP コミュニティ ストリング。TACACS+、事前共有キー、RADIUS
サーバ、ISAKMP、フェールオーバー、Web VPN 属性、ロギング ポリシー属性、AAA、AUS、OSPF、RIP、NTP、ロギング FTP サーバ、ポイントツーポイント プロトコル、ストレージ キー、シングル サインオン サーバ、ロード
バランシング、HTTP/HTTPS プロキシ、および IPSEC 共有キーなどのキー。
-
[Mask Passwords and Keys When Viewing Configs and Transcripts]:このオプションは、クレデンシャルの画面表示だけに影響します。これにより、未認可ユーザによるクレデンシャルの表示を防ぐことができます。このオプションを選択しない場合でも、デバイスがクレデンシャルを処理する方法によっては、完全なトランスクリプトのクレデンシャルが引き続きマスクされる場合があります。
-
[Mask Passwords and Keys When Deploying to File]:このオプションは、ファイルに展開される設定ファイルの内容に影響し、設定ファイルが実際のデバイスに展開できなくなります。このオプションは、これらの設定を現実のデバイスに実際に展開する必要がない場合にだけ選択します。このオプションを選択しても、クレデンシャルが表示されるときにマスクされるかどうかに影響はありません。
|
新規または変更された Flexconfig のみを展開する
|
FlexConfig の作成または変更後に FlexConfig を 1 回だけ展開するか、展開ごとにすべての FlexConfig を展開するか。このオプションは、デフォルトで選択されます。
(注)
|
展開ごとに展開する必要がある FlexConfig がある場合は、このオプションを無効にする必要があります。この設定を変更した後は、展開後に 1 回限りの FlexConfig を削除して管理する必要があります。
|
|
ACL パラメータ
|
Optimize the Deployment of Access Rules For
(IPv4 および IPv6 のアクセス ルール)。
|
ファイアウォール ルールが展開される方法。次のいずれかを選択できます。
-
[Speed](デフォルト):新しい ACL と古い ACL 間のデルタ(差分)だけを送信することで、展開速度を高速化します。これは推奨オプションです。この方法では、ACL 行番号を利用することで、特定の位置にある ACE を選択して追加、更新、または削除します。ACL
全体の再送信は実行されません。編集されている ACL は使用中であるため、ACE が削除され、新しい位置に追加されるまでの間に、一部のトラフィックが不適切に処理される可能性がわずかにあります。この ACL 行番号機能は、Cisco IOS、PIX、および
ASA のほとんどのバージョンでサポートされており、FWSM の場合は FWSM 3.1(1) から使用できるようになりました。
-
[Traffic]:この方法によって、ACL がシームレスに切り替えられ、トラフィックの中断が回避されます。ただし、展開タスクに時間がかかり、一時 ACL が削除されるまではより多くのデバイス メモリが使用されます。最初に、一時コピーが、展開するための
ACL で構成されます。この一時 ACL が、ターゲット インターフェイスにバインドされます。次に、古い ACL が元の名前を使用して再作成されますが、その内容は新しい ACL になります。この ACL も、ターゲット インターフェイスにバインドされます。この時点で、一時
ACL が削除されます。
(注)
|
FWSM デバイスの場合は、[Let FWSM Decide When to Compile Access Lists] オプションも選択している場合にだけ、このオプションが処理に影響します。
|
|
Firewall Access-List Names
(IPv4 および IPv6 のアクセス ルール)。
|
アクセス ルールに Security Manager での名前がない場合に、ACL 名がデバイスに展開される方法。
|
Enable ACL Sharing for Firewall Rules
(IPv4 および IPv6 のアクセス ルール)。
|
Security Manager が、アクセス ルール ポリシー用の単一アクセス コントロール リスト(ACL)を複数のインターフェイスと共有するかどうかを指定します。このオプションを選択しない場合、Security Manager は IPv4
および IPv6 のアクセス ルール ポリシーを適用する各インターフェイス固有の ACL を作成します。ACL の共有は、アクセス ルール ポリシーによって作成された ACL の場合にだけ行われます。
このオプションを選択すると、Security Manager は、各インターフェイスのアクセス ルール ポリシーを評価し、ポリシーの実行に必要な最小数を展開する一方で、ACL 命名要件を維持します。たとえば、1 つのインターフェイスロールを使用して
4 つのインターフェイスに同じルールを割り当てる場合は、[ファイアウォールアクセスリスト名(Firewall Access-List Names)] プロパティの [CS-Managerが生成した名前にリセット(Reset to CS-Manager generated names)] を指定し、アクセス 制御設定ポリシーでインターフェイスの ACL 名は指定せずに、1 つの ACL だけを展開し、各インターフェイスでその
ACL を使用するようにします。
このオプションを選択する場合は、次の点に注意してください。
-
インターフェイスで、別のインターフェイスの名前が付いた ACL が使用される場合があります。
-
アクセス コントロール設定ポリシーで ACL の名前を指定すると、その名前の ACL は、別のインターフェイスによって使用されている名前と同じ場合でも作成されます。このポリシーで指定された名前は、他のいずれの設定よりも優先されます。
-
[ファイアウォールアクセルリスト名(Firewall Access-List Names)] プロパティの [既存の名前を再利用(Reuse Existing Names)] を選択すると、既存の名前は保存されます(アクセス制御設定ポリシーで名前をオーバーライドした場合を除く)。つまり、重複する ACL がデバイスにすでに存在する場合は、異なる名前で ACL が重複して作成されます。
-
ヒット カウント統計は、インターフェイスではなく ACL に基づくため、共有 ACL により、その ACL を共有するすべてのインターフェイスから結合された統計情報が提供されます。
-
ACL の共有は、FWSM など、デバイスにメモリの制約がある場合に有用です。
|
Let FWSM Decide When to Compile Access Lists
(IPv4 のアクセス ルールのみ)。
|
Firewall Services Module(FWSM; ファイアウォール サービス モジュール)で、アクセス リストをコンパイルするタイミングを自動的に決定するかどうかを指定します。このオプションを選択すると、展開が高速化される可能性がありますが、トラフィックが中断し、システムが
ACL コンパイルのエラー メッセージを報告できなくなる場合があります。このオプションを選択すると、[Optimize the Deployment of Access Rules For Traffic] 設定を使用して、トラフィックの中断の可能性を低減できます。
選択を解除すると、Security Manager は、ACL コンパイルを制御して、トラフィックの中断を回避し、デバイスにおけるピーク時のメモリ使用率を最小限に抑えます。
注意
|
このオプションは、展開の問題が発生し、かつ自分が上級ユーザである場合を除き、選択しないでください。
|
|
Remove Unreferenced Access-lists on Device
(IPv4 および IPv6 のアクセス ルール)。
|
展開時に、Security Manager が管理する他の CLI コマンドで使用されていないアクセスリストをデバイスから削除するかどうかを指定します。
(注)
|
このオプションを有効にすると、Security Manager は、Security Manager によって管理または検出されたポリシーで使用されていないアクセスリストを、展開中に削除します。Security Manager によって検出または管理されていないポリシーがそのようなアクセスリストを使用している場合、Security
Manager は展開中にそのオブジェクトを削除しようとします。これは、FlexConfig で使用され、Security Manager によって管理される他のポリシーでは使用されないアクセスリストにも適用されます。
|
警告
|
[管理設定(Administrative Settings)] から [デバイスで参照されていないアクセスリストを削除(Remove Unreferenced Access-lists on Device)] オプションを有効にすると、Cisco Security Manager は、Security Manager によって管理または検出されたポリシーで使用されていないアクセスリストを自動的に削除します。ただし、グループポリシーの VPN フィルタが使用されている場合、[デバイスで参照されていないアクセスリストを削除(Remove
Unreferenced Access-lists on Device)] オプションが有効になっていない場合でも、Security Manager は参照されていないアクセスリストを削除します。
|
|
Generate ACL Remarks During Deployment
(IPv4 および IPv6 のアクセス ルール)。
|
展開時に、ACL の警告メッセージおよび備考を表示するかどうかを指定します。
|
Preserve Sections for Access Rules
|
アクセスルールを編成するセクション名を展開するかどうかを指定します。このオプションにより、デバイスが検出または再検出された場合にセクション名が失われません。
|
Generate CSM Rule Number
|
Cisco Security Manager ユーザーインターフェイスで使用されるルール番号を展開するかどうかを指定します。このオプションは、デバイス設定内のアクセスルールをルールテーブル内の位置に関連付けるのに役立ちます。
|
オブジェクト グループ パラメータ
|
Remove Unreferenced Object Groups from Device (PIX, ASA, FWSM, IOS 12.4(20)T+)
(IPv4 オブジェクトおよび IPv6 オブジェクト)。
|
Security Manager が、Security Manager が管理する他の CLI コマンドで使用されていないオブジェクトグループを、展開中にデバイスから削除するかどうかを指定します。オブジェクトグループには、ネットワーク/ホスト、サービス、および
ID ユーザーグループが含まれます。
(注)
|
このオプションを有効にすると、Security Manager は、Security Manager によって管理または検出されたポリシーで使用されていないオブジェクトを、展開中に削除します。Security Manager によって検出または管理されていないポリシーがそのようなオブジェクトを使用している場合、Security
Manager は展開中にそのオブジェクトを削除しようとします。このような場合、オブジェクトを削除できなかったことを示すトランスクリプトエラーが表示されて、展開が失敗します。
|
ヒント
|
ASA 8.3+ デバイス上のオブジェクト NAT 設定を含む、ネットワーク/ホスト オブジェクトは、参照されないとは見なされません。
|
|
Create Object Groups for Policy Objects (PIX, ASA, FWSM, IOS 12.4(20)T+)
Create Object Groups for Multiple Sources, Destinations or Services in a Rule (PIX, ASA, FWSM, IOS 12.4(20)T+)
Optimize Network Object Groups During Deployment (PIX, ASA, FWSM, IOS 12.4(20)T+)
(IPv4 オブジェクトおよび IPv6 オブジェクト)。
|
Security Manager が、ネットワークオブジェクトやサービス グループ オブジェクトなどのオブジェクトグループを作成して、ユーザー グループ オブジェクトを識別し、指定されたデバイスの規則テーブルセル内のカンマ区切りの値を置換するかどうかを指定します。選択を解除すると、Security
Manager は、オブジェクトグループをフラット化して、これらのデバイスの IP アドレス、送信元と宛先、ユーザ、ポート、およびプロトコルを表示します。
ヒント
|
これらのオプションは、常にオブジェクトとして作成されるホスト、ネットワーク、またはアドレス範囲ネットワーク/ホストの各オブジェクト、あるいはサービス オブジェクト(サービス グループ オブジェクトではありません)には適用されません。複数の FQDN
ネットワーク オブジェクトを単一のネットワーク オブジェクトにグループ化できます。
|
このオプションを選択すると、次のオプションも選択できます。
-
[ルール内の複数の送信元、宛先、またはサービスのオブジェクトグループを作成(Create Object Groups for Multiple Sources, Destinations or Services in a Rule)]:ネットワークオブジェクトおよびサービスオブジェクトを自動的に作成して、ユーザー
グループ オブジェクトを識別し、規則テーブルセル内の、複数のルールが結合された結果であるカンマ区切りの複数の値を置換するかどうかを指定します。オブジェクトは展開中に作成され、「CSM_INLINE...」の形式で、たとえば「CSM_INLINE_src_rule_8589960758」のようになります。詳細については、ルールの結合を参照してください。
-
[Optimize Network Object Groups During Deployment]:ネットワーク オブジェクト グループをより簡潔にして、最適化するかどうかを指定します。ポリシー オブジェクトの簡潔化の詳細については、ファイアウォール ルールの展開時のネットワーク オブジェクト グループの最適化を参照してください。
|
IPS パラメータ
|
Generate transcripts for IPS Auto-Update Jobs
|
|
Attach transcripts to email for IPS Auto-Update Jobs
|
|
Remove Unreferenced Signature and Event Action Variables from IPS Device (IPS Parameters object group)
|
次回の展開中に、センサー(IPS デバイス)設定から未使用の変数を削除するかどうかを指定します。IPS のイベントおよびシグニチャ変数は、Security Manager のポリシーオブジェクトとして定義されています。
デフォルトでは無効になっています(チェックボックスはデフォルトでオフになっています)。つまり、参照されていない変数を削除しません。
次の変数に適用されます。 IPv4 と IPv6 の両方に適用されます。
-
signature source と destination addresses
-
シグネチャ エンジン パラメータの signature service port 変数
-
イベントアクションフィルタの victim and attacker addresses
-
network information target addresses
次の変数には適用されません。
|
[Save] ボタン
|
変更を保存して適用します。
|
リセット ボタン
|
変更を前回保存した値にリセットします。
|
[Restore Defaults] ボタン
|
値を Security Manager のデフォルトにリセットします。
|