Criteria ID
|
ダイナミック アクセス ポリシーに使用可能な AAA およびエンドポイントの選択属性名。
|
Content
|
セキュリティ アプライアンスがセッションの確立中にダイナミック アクセス ポリシー レコードを選択および適用するために使用する、AAA 属性およびエンドポイント属性の値。ここで設定した属性値は、AAA システム内の認可の値(既存のグループ ポリシー、トンネル
グループ、およびデフォルト グループ レコード内の値を含む)を上書きします。
|
[Create] ボタン
|
このボタンをクリックして、AAA 属性およびエンドポイント属性を DAP レコードの選択基準として設定します。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスを参照してください。
|
[編集(Edit)] ボタン
|
このボタンをクリックして、選択したダイナミック アクセス ポリシーを編集します。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスを参照してください。
|
[削除(Delete)] ボタン
|
このボタンをクリックして、選択したダイナミック アクセス ポリシーを削除します。
|
アクセス方式
|
許可されるリモート アクセスのタイプを指定します。
-
[Unchanged]:現在のリモート アクセス方式を引き続き使用します。
-
[Secure Client(セキュアなクライアント)]:Cisco AnyConnect VPN クライアントを使用して接続します。
-
[Webポータル(Web Portal)]:クライアントレス VPN を使用して接続します。
-
[両方、デフォルトはWebポータル(Both default Web Portal)]:クライアントレスまたは セキュアクライアント を介して接続します。デフォルトはクライアントレスです。
-
[両方、デフォルトはSecure Client(Both default セキュアなクライアント)]:クライアントレスまたは セキュアクライアント を介して接続します。Secure Client のデフォルトはクライアントレスです。
|
[Network ACL] タブ:このダイナミック アクセス ポリシーに適用するネットワーク ACL を選択および設定できます。ダイナミック アクセス ポリシーの ACL には、許可ルールと拒否ルールのいずれかを含めることができますが、両方を含めることはできません。ACL
に許可ルールと拒否ルールの両方が含まれる場合は、セキュリティ アプライアンスで拒否されます。
|
Network ACL
|
SSL†VPN へのユーザ アクセスを制限するために使用されるアクセス コントロール リスト(ACL)が一覧表示されます。
Security Manager バージョン 4.10 以降、ネットワーク ACL は IPv6 エントリをサポートします。また、IPv6 は、ソフトウェアバージョン ASA 9.0 以降を実行しているデバイスでサポートされています。これは、ネットワーク
ACL と Web タイプ ACL の両方に適用されます。
[選択(Select)] ボタンをクリックして、Access Control Lists Selector を開きます。ここから選択できます。ACL には、パケットのトラフィック ストリームが記述された条件と、それらの条件に基づいて実行する処理が記述されたアクションが含まれます。許可ルールだけ、または拒否ルールだけが含まれている ACL だけが適格となります。
ネットワーク ACL は、マルチコンテキスト ASA バージョン 9.6(2) 以降のデバイスの Security Manager バージョン 4.12 以降でサポートされています。
|
[Secure Client(Secure Client)] タブ:Secure Client サービスプロファイルの Always-on VPN の設定を未変更にするか、ディセーブルにするか、Secure Client プロファイル設定を使用するかを選択できます。Always-On VPN を使用すると、システムにログオンした後、Secure Client で VPN セッションを自動的に確立できます。
|
[カスタム属性(Custom Attributes)] タブ:Secure Client カスタム属性タイプとカスタム属性名を一覧表示します。Secure Client カスタム属性が、ASA ソフトウェアをアップグレードすることなく、新しいクライアントコントロールの追加を総合的にサポートする機能を ASA に提供することで、新しいエンドポイント機能のより迅速な配信と展開が可能になります。バージョン 4.7
以降、Security Manager では、カスタム属性データを既存のカスタム属性タイプに追加できます。この機能は、ASA ソフトウェアバージョン 9.3(1) 以降を実行しているデバイスでサポートされています。
|
属性タイプ
|
[Secure Clientカスタム属性の追加/編集(Add/Edit Secure Client Custom Attribute)] ダイアログボックスページで設定した属性タイプを選択します。
|
属性名
|
[Secure Clientカスタム属性の追加/編集(Add/Edit Secure Client Custom Attribute)] ダイアログボックスページで設定した属性名を選択します。
|
[WebType ACL] タブ:このダイナミック アクセス ポリシーに適用する Web タイプ ACL を選択および設定できます。ダイナミック アクセス ポリシーの ACL には、許可ルールまたは拒否ルールを含めることができます。ACL に許可ルールと拒否ルールの両方が含まれる場合は、セキュリティ
アプライアンスで拒否されます。
|
Web Type ACL
|
SSL†VPN へのユーザ アクセスを制限するために使用される Web タイプ アクセス コントロール リストを指定します。
[選択(Select)] ボタンをクリックして、Access Control Lists Selector を開きます。ここから選択できます。許可ルールだけ、または拒否ルールだけが含まれている ACL だけが適格となります。バージョン 4.10 以降では、Web タイプ ACL に IPv6 値を入力できます。
|
[Functions] タブ:ファイル サーバのエントリとブラウズ、HTTP プロキシ、およびダイナミック アクセス ポリシーの URL エントリを設定できます。
|
[ファイルサーバーブラウズ(File Server Browsing)]
|
ポータル ページで設定するファイル サーバ ブラウズ設定を指定します。
-
[変更なし(Unchanged)]:このセッションに適用するグループポリシーの値を使用します。
-
[有効(Enable)]:ファイルサーバーまたは共有機能に対する CIFS ブラウズをイネーブルにします。
-
[無効(Disable)]:ファイルサーバーまたは共有機能に対する CIFS ブラウズをディセーブルにします。
(注)
|
ブラウズには、NBNS(プライマリブラウザまたは WINS)が必要です。NBNS に障害が発生した場合や、NBNS が設定されていない場合は、DNS を使用します。CIFS ブラウズ機能では、国際化がサポートされていません。
|
|
File Server Entry
|
ポータル ページで設定するファイル サーバ エントリ設定を指定します。
イネーブルになっている場合、ポータル ページにファイル サーバー エントリのドロワが配置されます。ユーザーは、Windows ファイルへのパス名を直接入力できます。ユーザーは、ファイルをダウンロード、編集、削除、名前変更、および移動できます。また、ファイルおよびフォルダを追加することもできます。適用可能な
Windows サーバーでユーザー アクセスに対して共有を設定する必要もあります。ネットワークの要件によっては、ユーザーがファイルへのアクセス前に認証を受ける必要があることもあります。
|
HTTP プロキシ
|
HTTPS 接続を終了して HTTP/HTTPS 要求を HTTP および HTTPS プロキシ サーバに転送するための、セキュリティ アプライアンスの設定を指定します。
このプロキシは、適切なコンテンツ変換に干渉するテクノロジー(Java、ActiveX、Flash など)に対して有用です。このプロキシによって、セキュリティ アプライアンスの使用を継続しながら、マングリングを回避できます。転送されたプロキシは、ブラウザの古いプロキシ設定を変更し、すべての
HTTP および HTTPS 要求を新しいプロキシ設定にリダイレクトします。HTTP アプレット プロキシでは、HTML、CSS、JavaScript、VBScript、ActiveX、Java など、ほとんどすべてのクライアント側テクノロジーがサポートされています。サポートされているブラウザは、Microsoft
Internet Explorer だけです。
|
URL Entry
|
SSL VPN を使用しても、すべてのサイトとの通信が必ずしもセキュアになるとはかぎりません。SSL VPN は、リモートユーザの PC またはワークステーションと、企業ネットワークのセキュリティアプライアンスの間のデータ送信のセキュリティを確保します。ユーザが(インターネットまたは内部ネットワークに存在する)HTTPS
以外の Web リソースにアクセスする場合、企業セキュリティ アプライアンスから宛先 Web サーバへの通信は保護されません。
クライアントレス VPN 接続では、セキュリティ アプライアンスがエンド ユーザ Web ブラウザとターゲット Web サーバの間のプロキシとして機能します。ユーザが SSL 対応の Web サーバに接続すると、セキュリティ アプライアンスによりセキュアな接続が確立され、サーバ
SSL 証明書が検証されます。エンド ユーザー ブラウザでは提示された証明書を受信しないため、証明書を調査して検証することはできません。SSL VPN の現在の実装では、期限切れになった証明書を提示するサイトとの通信は許可されません。また、セキュリティ
アプライアンスが信頼できる CA 証明書検証を実行することも許可されません。このため、ユーザーは、SSL 対応の Web サーバーと通信する前に、そのサーバーにより提示された証明書を分析することはできません。
ポータル ページでの URL エントリの設定を指定します。
-
[変更なし(Unchanged)]:このセッションに適用するグループポリシーの値を使用します。
-
[有効(Enable)]:ユーザはポータルページで HTTP または HTTPS の URL を入力できます。この機能がイネーブルになっている場合、ユーザーは URL エントリ ボックスに Web アドレスを入力できます。また、クライアントレス SSL VPN を使用して、これらの Web サイトにアクセスできます。
-
[無効(Disable)]:ユーザはポータルページで HTTP または HTTPS の URL を入力できません。
(注)
|
ユーザのインターネットアクセスを制限するには、[URLエントリ(URL Entry)] フィールドで [無効(Disable)] を選択します。これにより、SSL VPN ユーザはクライアントレス VPN 接続中に Web をサーフィンできなくなります。
|
|
[Port Forwarding] タブ:ユーザ セッションのポート転送リストを選択および設定できます。
(注)
|
ポート転送は、一部の SSL/TLS バージョンでは使用できません。
|
注意
|
ポート転送(アプリケーション アクセス)およびデジタル証明書をサポートする Sun Microsystems Java Runtime Environment(JRE)1.4+ がリモート コンピュータにインストールされていることを確認します。
|
|
ポート転送
|
この DAP レコードに適用されるポート転送リストのオプションを選択します。
-
[変更なし(Unchanged)]:実行コンフィギュレーションから属性を削除します。
-
[有効(Enable)]:デバイスでポート転送をイネーブルにします。
-
[無効(Disable)]:デバイスでポート転送をディセーブルにします。
-
[自動開始(Auto-start)]:ポート転送をイネーブルにし、DAP レコードによりそのポート転送リストに関連付けられたポート転送アプレットが自動的に開始されるように設定します。
|
Port Forwarding List
|
クライアントマシン上のポート番号から SSL VPN ゲートウェイの背後にあるアプリケーションの IP アドレスとポートへのマッピングを定義する、ポート転送リスト。
[選択(Select)] をクリックすると [ポート転送リストセレクタ(Port Forwarding List Selector)] が開き、そこで、ポート転送リストオブジェクトのリストから必要なポート転送リストを選択できます。ポート転送リストオブジェクトは、リモートクライアント上のポート番号から
SSL VPN ゲートウェイの背後にあるアプリケーションの IP アドレスとポートへのマッピングを定義します。
|
[Bookmark] タブ:SSL VPN ブックマークをイネーブルにし、設定できます。イネーブルになっている場合、SSL VPN に正常にログインしたユーザに、定義済みのブックマークのリストを含むポータル ページが表示されます。これらのブックマークにより、ユーザは
[Clientless] アクセス モードで SSL VPN Web サイト上で使用可能なリソースにアクセスできます。
|
Enable Bookmarks
|
ポータル ページで設定するファイル サーバ ブラウズ設定を指定します。
-
[変更なし(Unchanged)]:このセッションに適用するグループポリシーの値を使用します。
-
[有効(Enable)]:SSL VPN ポータルページのブックマークをイネーブルにします。
-
[無効(Disable)]:SSL VPN ポータルページのブックマークをディセーブルにします。
|
ブックマーク
|
ユーザが SSL VPN Web サイトで使用可能なリソースにアクセスできるように、ポータル ページにブックマークとして表示される Web サイトのリスト。
[選択(Select)] をクリックすると、[ブックマークセレクタ(Bookmarks Selector)] が開きます。このセレクタで適宜、リストから目的のブックマークを選択するか、新しいブックマークを作成できます。
|
[Action] タブ:特定の接続またはセッションに適用される特別な処理を指定します。
[アクション(Action)] タブは、マルチコンテキスト ASA バージョン 9.6(2) 以降のデバイスの Security Manager バージョン 4.12 以降でサポートされています。
ドロップダウン リストから、次のいずれかのオプションを選択します。
|
続行(Continue)
|
(デフォルト)選択すると、セッションが続行されます。デフォルトでは、アクセス ポリシー属性がセッションに適用され、セッションは実行されます。
|
検疫(Quarantine)
|
選択すると、セッションが隔離されます。
検疫を使用すると、VPN 経由ですでにトンネルを確立した特定のクライアントを制限できます。制限付き ACL がセッションに適用され、制限付きグループが形成されます。この基になるのは、選択された DAP レコードです。管理目的で定義されたポリシーにエンドポイントが準拠していないときも、ユーザは修復のためのサービス(たとえばアンチウイルス
アプリケーションのアップデート)にアクセスできますが、そのユーザには制限が適用されます。修復後、ユーザーは再接続できます。この再接続により、新しいポスチャ アセスメントが起動されます。このアセスメントに合格すると、接続されます。
(注)
|
このパラメータには セキュアなクライアント 機能をサポートしている Secure Client リリースが必要です。
|
|
終了(Terminate)
|
選択した場合、セッションが終了します。デフォルトでは、アクセス ポリシー属性がセッションに適用され、セッションは実行されます。
|
ユーザ メッセージ
|
この DAP レコードが選択されたときにポータル ページに表示されるテキスト メッセージを入力します。最大 128 文字を入力できます。ユーザ メッセージは、黄色のオーブとして表示されます。ユーザがログインすると、メッセージは 3 回点滅してから静止します。複数の
DAP レコードが選択されており、かつ、それぞれにユーザ メッセージが設定されている場合は、すべてのユーザ メッセージが表示されます。
(注)
|
このようなメッセージには、URL やその他の埋め込みテキストを含めることができます。この場合は、正しい HTML タグを使用する必要があります。例:すべてのコントラクタは、ご使用のアンチウイルスソフトウェアのアップグレード手順について、<a
href=‘http://wwwin.abc.com/procedure.html’>手順</a> を参照してください。
|
(注)
|
ユーザメッセージは、マルチコンテキストモードでバージョン 9.6(2) 以降を実行している ASA デバイスの Security Manager バージョン 4.12 以降でサポートされています。
|
|