Cisco ACE Web Application Firewall ユーザ ガイド
ポリシーの管理
ポリシーの管理
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

ポリシーの管理

ポリシーについて

サブポリシーに関する作業

Shared サブポリシーについて

サブポリシーの作成

アクティブ サブポリシーの変更

サブポリシーからの導入

サブポリシーの削除

サブポリシー間でのオブジェクトのコピー

ポリシーの再編成

ポリシー オブジェクトの移行

PPF ファイルによるポリシーのエクスポートおよびインポート

ポリシーの PPF へのエクスポート

ポリシーのインポート

その他のポリシー管理タスク

ポリシーのアーカイブ履歴への保存

ポリシーの復元

ポリシー バージョンの比較

自動ポリシー確認

ポリシー変更の破棄

ポリシー統計情報

ポリシー履歴のクリア

ID によるポリシー コンポーネント検索

ポリシーの管理

この章では、ACE Web Application Firewall ポリシーを管理する方法について説明します。内容は次のとおりです。

「ポリシーについて」

「サブポリシーに関する作業」

「サブポリシー間でのオブジェクトのコピー」

「PPF ファイルによるポリシーのエクスポートおよびインポート」

「その他のポリシー管理タスク」

ポリシーについて

このポリシーには、ACE Web Application Firewall のトラフィックの処理方法を制御するための、ルールと動作の完全なセットが含まれます。ACE Web Application Firewall Manager の Web コンソールは、ポリシーの主な作成環境としてポリシーの管理およびメンテナンスのための多くの機能を提供します。特に、これらの機能は、Policy Manager で使用できます。

管理権限を持つユーザとしてコンソールにログインしている場合、操作メニューの [Policy] セクション下部にある [Policy Manager] リンクをクリックすると、[Policy Manager] ページを表示できます。

[Policy Manager] ページは、次のエリアで構成されています。

[Last Deployed] は、最後に導入されたポリシーのバージョンを示します。これは、現在 ACE Web Application Firewall に適用されているポリシーのバージョンです。

[Manager Policy] には、ポリシーの作業バージョン、つまりコンソールで現在作成中のポリシーに適用できるコントロールが含まれています。また、ポリシーを導入せずに、現在の作業バージョンをポリシー履歴リストに保存し、変更情報を表示できます。

[policy history] リストは、過去バージョンのポリシーを示します。ポリシーを導入する場合、導入されるポリシー バージョンが自動的にポリシー アーカイブに保存されます。ポリシーの現在の作業バージョンはいつでも手動で履歴リストに保存できます。

ACE Web Application Firewall Manager が承認ベースの導入に設定されている場合、ログインしているユーザのロールに応じて、[Approved] または [Deploy] の各設定が表示されます。

[Approved] ペインは、承認され、導入可能なポリシーをリストします。

作業ポリシーのセクションの [Deploy] 行では、管理者が作業ポリシーの導入プロセスを開始できます。承認ベースの導入が有効になっているが、管理者ではない場合、このエリアの名前は [Submit] です。[Submit] では、未承認ポリシーの管理承認を要求できます。

ポリシーは、Firewall のルールおよび動作を制御する単一ポイントとして、大量のオブジェクトおよびサービス定義を含むためにサイズが拡大します。サブポリシーを使用することで、ポリシー内でポリシー オブジェクトをまとめることができます。サブポリシーへのアクセスは Web コンソールで制御できるので、ポリシーを作成または管理するさまざまなチームに対応するエリアにポリシーを分割できます。

この章では、これらの機能、および ACE Web Application Firewall ポリシーの作成とメンテナンスに関するその他の考慮事項について説明します。

サブポリシーに関する作業

サブポリシーを使用すると、ポリシー内のオブジェクトおよび設定を編成できます。ポリシーにはサブポリシーをいくつでも含めることができます。サブポリシーを使用することで、必要なオブジェクトをさまざまな作成チームに分割できるので、チームベースの作成が簡単になります。

デフォルトでは、Manager Policy には、 Shared という名前のサブポリシーが事前に定義されています。このポリシーに追加されるサブポリシーがこれ以外にない場合、Shared ポリシーがポリシー作業のコンテキストであるという事実がユーザに明らかにされます。サブポリシー機能を使用するには、追加のサブポリシーを定義する必要があります。

特定のサブポリシーにオブジェクトを追加するには、そのサブポリシーをコンソールでアクティブにしてから、オブジェクトを作成します。サブポリシーに作成されたポリシー オブジェクトは、そのサブポリシーがコンソールでアクティブな場合だけ、変更できます。

オブジェクトは、サブポリシー間で移動できます。PPF インポート/エクスポート プロセスを使用すると、サブポリシー間でオブジェクトを選択的にコピーできます。このプロセスは、サブポリシー間でオブジェクトを再編成するとき、また、別の方法でさまざまなサブポリシーを使用する環境間でオブジェクトを移行するときに役に立ちます。

Shared サブポリシーについて

事前に定義されている Shared サブポリシーには、サブポリシーの一意なプロパティがいくつかあります。Shared サブポリシーに含まれるオブジェクトおよびリソースは、他のサブポリシーでも使用できます (Shared 以外のサブポリシーの内容は、Shared など、それ以外のサブポリシーでは使用できません)。

図 13-1 ユーザ定義サブポリシーに関する Shared サブポリシー

 

他のサブポリシーを作成または削除するには、Shared サブポリシーがアクティブでなければなりません。この意味では、Shared は他のサブポリシーの親です。そのため、環境間でサブポリシーの定義を転送するには、Shared サブポリシーから PPF ファイルをエクスポートして、目的の環境にインポートする必要があります。これにより、サブポリシーの定義がターゲット ポリシーからソース ポリシーに複製されます(サブポリシーの内容は複製されません)。

ただし、これ以外では Shared にはサブポリシーは含まれないので注意してください。つまり、他のサブポリシーの内容は Shared の一部ではありません。ポリシーを変更するには、各サブポリシーを個別に導入または削除する必要があります。

エクスポート プロセスでは、ポリシーをファイルに書き込みアーカイブまたは共有に利用できます。ポリシーは、Portable Policy Format(PPF)ファイルに書き込まれます。Shared からエクスポートする場合、Shared のオブジェクトだけがファイルに書き込まれます。ユーザ定義のサブポリシーからエクスポートする場合、生成される PPF ファイルおよびアクティブ サブポリシーの内容に Shared の一部が含まれることがあります (PPF のエクスポートについては、「PPF ファイルによるポリシーのエクスポートおよびインポート」を参照してください)。

Shared のリソースはサブポリシー間で使用できるので、Shared には、通常、セキュリティ証明書やポート定義など、幅広い適用性を持つオブジェクトが含まれます。

いくつかのタイプのオブジェクトは Shared に必要です。次にその例を示します。

コンテンツ スクリーニング ルール(カスタムおよび組み込みの両方のスクリーニング ルール)。

Shared サブポリシーの「Public」認証グループ。これは、「public」ハンドラが割り当てられる内部認証グループです。

デフォルトの HTTP ポート(ポート 80)。

Web コンソールでは、これらのオブジェクトを移動できません。ポリシー オブジェクトをさまざまな方法でサブポリシー間に分散させることは可能です。ただし、サービス定義はサブポリシー間での分割を目的としていません。つまり、別のサブポリシーのサービス記述子に至るハンドラは Shared サブポリシーには含めないでください。

Shared で定義されるリソースを他のサブポリシーから使用することはできますが、Shared リソースの変更は、Shared サブポリシー以外から行うことはできません。Shared のリソースを変更するには、任意のサブポリシーと同様に、Shared を Web コンソールでアクティブにする必要があります。

前述の通り、他のサブポリシーのオブジェクトは、Shared のオブジェクトを使用できます。そのため、Shared は、HTTP(S) ポート 80 および 443、認証局、共通バック エンド HTTP サーバなど、サブポリシー間で使用する必要があるオブジェクトを保存するのに適切な場所です。

サブポリシーから Shared サブポリシーへのオブジェクト依存性を安定させるため、Shared の導入バージョンだけが他のサブポリシーで表示できます。Shared リソースを他のサブポリシーで使用できるようにする、または Shared での変更を他のサブポリシーで表示できるようにするには、最初に Shared から導入する必要があります。Shared のオブジェクトは、導入されるまで、他のサブポリシーでは使用できません。

サブポリシーの作成

サブポリシーを作成するには、次の手順を実行します。


ステップ 1 コンソールの Administrator 権限を持つユーザとして、アクティブ サブポリシーを Shared に設定します。

新しいサブポリシーを作成するには、Shared をアクティブ ポリシーにする必要があります。操作バーでアクティブ サブポリシーの名前が Shared 以外のサブポリシーである場合、[Switch] ボタンを使用して Shared をアクティブ サブポリシーにします。[Switch] ボタンを使用しても Shared サブポリシーが使用可能にならない場合、このタスクを実行するための十分なアクセス権限がありません。

ステップ 2 操作メニューで [Subpolicies] リンクをクリックします。

[Subpolicies] リンクが操作メニューに表示されていない場合、管理者権限を持つユーザとしてログインしていません。サブポリシーを作成するには、管理者でなければなりません。

ステップ 3 [Subpolicies] ページの [Create a New Subpolicy] ボタンをクリックします。

ステップ 4 [New Subpolicy] ページで、[Subpolicy Name] フィールドに新しいサブポリシーの一意な名前を入力します。

ステップ 5 [Save Changes] をクリックします。


 

新しいサブポリシーの名前が [Subpolicies] ページに表示されます。このサブポリシーに切り替えて、すぐにオブジェクトの作成を開始できます。

場合によっては、Web コンソール ユーザが新しいサブポリシーにアクセスできるようにする必要があります。ユーザのアカウント設定では、Web コンソール管理者は、特定のサブポリシーまたは「 任意のサブポリシー 」のアクセス権限をユーザに設定できます。「任意のサブポリシー」アクセス権限が設定されたユーザは、新しいサブポリシーが作成されたときに、そのサブポリシーに自動的にアクセスできるようになります。サブポリシーを選択できるアクセス権限を持つユーザは、適切な場合 [User Administration] ページから、そのアカウントを変更して新しいサブポリシーを含める必要があります。

アクティブ サブポリシーの変更

サブポリシーを作成したら、サブポリシーで作業を開始するユーザは、コンソール上部の [Switch] ボタンを使用して、サブポリシーをアクティブにできます。

[Switch] ボタンがコンソールに表示されるのは、複数のサブポリシー(Shared 以外)がポリシーに存在し、現在ログインしているユーザに複数のサブポリシーへのアクセス権限がある場合だけです。

ユーザが特定のサブポリシーをアクティブにすると、このサブポリシーは、そのユーザのログイン時にアクティブになります。つまり、ログアウトして再びログインしても、アクティブにされたサブポリシーはコンソールで引き続きアクティブになります。

サブポリシーからの導入

オブジェクトをサブポリシーに導入するには、そのサブポリシーをアクティブにして、標準の導入手順に従い導入を完了します。


) サブポリシーを導入するには、ユーザは、Shared および導入するサブポリシーへのアクセス権限が必要です。


サブポリシー内から導入すると、Shared など他のサブポリシーのオブジェクトではなく、そのサブポリシーの内容だけが Firewall に反映されます。

一般的に、一度に導入できるサブポリシーは 1 つだけです。ただし、承認ベースの導入が有効になっている場合は例外です。この場合、管理者は、導入が承認されているすべてのサブポリシーを一度に導入できます。

サブポリシーの削除

[Subpolicies] ページ上で、削除するサブポリシーの横にある [remove] リンクをクリックして、サブポリシーを削除できます。

サブポリシーを削除するには、そのサブポリシーが空でなければなりません。サブポリシーに、仮想サービス、オーセンティケータ、またはその他のポリシー オブジェクトが含まれていてはいけません。サブポリシーからオブジェクトを削除する最も簡単な方法は、そのサブポリシーに切り替え、そこからポリシーをリセットすることです。つまり、削除するサブポリシーをアクティブ ポリシーにしてから、[Policy Manager] リンクをクリックします。Policy Manager の [Manager Policy] エリアから、[Reset Policy] ボタンをクリックして、ポリシーのリセット プロセスを完了します。

完了したら、 Shared サブポリシーを再びアクティブにして、[Subpolicies] ページからサブポリシーを再び削除します。削除を確認するとすぐに、サブポリシーがコンソールから削除されます。

サブポリシー間でのオブジェクトのコピー

ACE Web Application Firewall Manager では、コンソール ユーザは、異なるサブポリシー間でポリシー オブジェクトをコピーできます。限定はされていませんが、この機能は、主に、サブポリシー間でオブジェクトを再編成し、さまざまなサブポリシーが含まれるポリシー環境間でオブジェクトを移行するために使用します。

Portable Policy Format(PPF)インポート/エクスポート メカニズムを使用して、サブポリシー間でオブジェクトをコピーできます。PPF インポート プロセスは、ソース PPF からのオブジェクトを Manager のターゲット サブポリシーにマージします。つまり、一般的に、ソース PPF にはなくターゲット サブポリシーにあったオブジェクトは、インポートされるオブジェクトとともに保持されます。

PFF インポート/エクスポート プロセスは、いくつかのモードで実行できます。あるモードでは、ソースおよびターゲット サブポリシーの ID が一致する場合だけ、PPF ファイルをサブポリシーからインポートします。別のモードでは、サブポリシー間でオブジェクトを移動または移行できるように、ソースおよびターゲット サブポリシーが異なる場合でもサブポリシーをインポートしたりできます。図 13-2 にこの例を示します。

図 13-2 サブポリシー間でのインポート

 

図 13-2 に示すインポートの例では、ソース PPF は Shared サブポリシーから生成されています。この内容がサブポリシー mySubpol3 にインポートされます。ターゲット サブポリシーは、インポート ターゲットとなるために Manager の Web コンソールでアクティブである必要はありません。

ソース PPF に Shared 以外のサブポリシーが含まれている場合、追加のインポート オプションが適用されます。Shared 以外のサブポリシーからエクスポートする場合、PPF ファイルには、Shared のオブジェクト、およびユーザ定義サブポリシーのオブジェクトが含まれることがあります。PPF をインポートするときに、Shared の内容をマージに含めることもできます。この場合、図 13-3 に示すように、両方のソース サブポリシーが、ターゲット サブポリシーにマージされます。

図 13-3 Shared および Shared 以外のサブポリシーからの別のサブポリシーへのインポート

 

次に、サブポリシー間でオブジェクトを移動し、ポリシーを再編成して、ポリシー オブジェクトを移行する手順について説明します。

ポリシーの再編成

多くの場合、単純なポリシーにはサブポリシーが 1 つ含まれます。ただし、ポリシーが拡張するにつれ、通常、サブポリシーを使用して、ポリシーの編成モデルをさらに効率的にする必要があります。

次の手順では、サブポリシーによりポリシーの内容を再編成する一般的な手順を示します。この例では、Shared から同じ Manager のユーザ定義サブポリシーにオブジェクトを移動します。ただし、この手順は、サブポリシー間でオブジェクトの位置を正しく変更するだけの場合にも適用されます。

詳細な手順、および PPF ファイルのエクスポートおよびインポートに関する背景説明については、「PPF ファイルによるポリシーのエクスポートおよびインポート」を参照してください。

次に、サブポリシーの内容を移動するための一般的な手順を示します。


ステップ 1 Manager の Web コンソールのアクティブ サブポリシーを、オブジェクトを移動するサブポリシーに切り替えます。Shared からサブポリシーにオブジェクトを再編成するには、最初に Shared をアクティブ サブポリシーにします。

ステップ 2 [Policy Manager] ページで、エクスポートするポリシー バージョンの横にある [Export] ボタンをクリックして、ポリシーを PPF ファイルにエクスポートします。

まだ導入されていない作業ポリシーをエクスポートするには、最初にこのポリシーをポリシー履歴に保存する必要があります。

ステップ 3 オブジェクトの移動先のサブポリシーを選択します。必要に応じて、新しいサブポリシーを作成します。この宛先は、同じ Manager または異なる Manager インスタンスにすることができます。該当する Manager にログインして、宛先サブポリシーに切り替えます。

ステップ 4 Policy Manager で、[Import Saved Policy] ボタンをクリックします。


) ポリシーのインポートおよびエクスポートに関する詳細については、「PPF ファイルによるポリシーのエクスポートおよびインポート」を参照してください。


ステップ 5 [Upload Policy File] ページで、ソース サブポリシーから生成した PPF ファイルを参照します。

ステップ 6 [Import the contents of the subpolicy in the PPF into "[target subpolicy]"] というラベルのボタンを選択します。このオプションを使用すると、ソースおよびターゲット サブポリシーの ID が異なる場合でもオブジェクトをインポートできます。

ターゲット環境に複数のサブポリシーがある場合、ドロップダウン メニューからターゲット サブポリシーを選択します。これは、Shared のオブジェクトの移動先となる新しいサブポリシーです。

図 13-4 インポート ターゲットの選択

 


) メニューに表示されるサブポリシーは、現在のコンソール ユーザがアクセス権限を持つサブポリシーだけです。


ステップ 7 ソース ファイルに存在する場合に Shared の内容をインポートに含めるかどうかを選択します。Shared からユーザ定義サブポリシーに再編成する場合、[Include the contents of the PPF's "Shared" subpolicy in the import into "[target subpolicy]"] というラベルのオプションを有効にします。

PPF が Shared から生成されていて、最初のオプションを選択した場合、Shared の内容を含めないと、何もインポートされません。

ステップ 8 [Upload Policy File] をクリックします。

ステップ 9 [Import Options] ページで、ターゲット サブポリシーにインポートするハンドラ グループを選択します。Shared サブポリシーのオリジナルのサービス定義からターゲット サブポリシーに移動するサービス定義を選択します。

再編成の場合、通常、使用できるハンドラ グループのサブセットがインポートに選択されます。この時点でインポートされないハンドラ グループは、後で他のサブポリシーにインポートされます。

ステップ 10 PPF のインポートが終了したら、ソース サブポリシー(この例では Shared)からオブジェクトを手動で削除します。これで、ソースからターゲット サブポリシーへのオブジェクトの移動は完了です。

ステップ 11 Shared およびターゲット サブポリシーの両方から導入して、Firewall でポリシーに変更を反映させ、ポリシーが問題なくコンパイルおよび導入されたことを確認します。


 

ユーザ定義サブポリシーおよび Shared を含む PPF からインポートする場合、Shared またはユーザ定義サブポリシーのオブジェクトだけを選択してインポートできます。

ポリシー オブジェクトの移行

通常、実際のトラフィックを使用する実稼動環境に配置する前に、ポリシーを詳細にテストする必要があります。このため、通常、ポリシーは、実稼動環境に移行する前に、テスト環境で作成されてテストされます。「ポリシーの再編成」に記載の手順は、ポリシーの移行およびポリシーの再編成に使用できます。ポリシーの移行は、開発アーティファクトが、そのライフサイクルにおいて別の環境に移行する、たとえば、開発環境から QA 環境、または QA 環境から実稼動環境に移行するプロセスです。ターゲット環境(たとえば、実稼動環境)に、ソース環境(たとえば、開発環境)からインポートされたポリシーが 追加 されると、エクスポート/インポート プロセスを繰り返して、それ以降の変更をポリシーに反映できます。

ポリシー オブジェクトをアップデートする機能は、エクスポート/インポート プロセスでターゲット ポリシーに作成されたオブジェクトだけに適用されます。オブジェクトがターゲット ポリシーで手動作成された場合、各ポリシーでオブジェクトの名前が同じであっても、ACE Web Application Firewall Manager は、これをソース(テストまたは作成)ポリシーの対応するオブジェクトと関連付けることができません。PPF メカニズムでオブジェクトをインポートする場合、ソースおよびターゲット ポリシーでのオブジェクト間の関連付けは保持されます。元のオブジェクトがソース サブポリシーに保持される場合、そこでの変更は、後でターゲット ポリシーに適用できます。そのため、オブジェクトのコピー手順は、ポリシー移行の基本手順として使用できます。必要な場合、ソース オブジェクトへの変更は、エクスポート/インポート PPF 手順によりターゲット環境に適用できます。

ソースおよびターゲット サブポリシーは異なることがあるので、サブポリシーは、各環境に合わせて編成できます。たとえば、開発環境で完全な実稼動ポリシーを複製する必要はありません。図 13-5 に例を示します。

図 13-5 PPF エクスポート/インポートによるポリシーの移行

 

サブポリシーが異なることがありますが、このメカニズムでオブジェクト アップデートが機能するには、ソースおよびターゲット オブジェクトの ID が同じでなければなりません。つまり、ターゲット オブジェクトは、ソースからエクスポートして、ターゲット環境にインポートすることで作成していなければなりません。

名前などが同じでも、個別に作成された 2 つのオブジェクトは、このアップデート機能の影響を受けません。

ポリシー移行のために PPF エクスポートおよびインポートを実行する手順は、「ポリシーの再編成」で説明されている手順に類似しています。これらの大きな違いは、ソース サブポリシーの元のオブジェクトが保持されなければならないということです。この場合、これらのオブジェクトに対する以降の変更は、手順を繰り返すことで実稼動環境に反映できます。また、この手順は環境間で使用することもできます。つまり、ACE Web Application Firewall Manager 間または Firewall クラスタ間でオブジェクトをコピーしてアップデートします。

ネットワーク環境間でポリシーを移行する場合、特定の設定を変更しなければならないことがあります。たとえば、開発環境では、仮想化される実際のバックエンド サービスに ACE XML アプライアンスがアクセスできないことがあります。パフォーマンス テストなどのある種のテストでは、実稼動レベルのインフラストラクチャに悪影響を及ぼすことがあります。そのため、環境を昇格する前に、他の設定とともに、ポリシーを変更して、バックエンド サービス設定を変更する必要があります。

次に、ポリシーが移行されるときに変更する必要があるポリシー設定を示します。

秘密鍵。公開鍵/秘密鍵ペアは通常ホストで固有であるためです。

Firewall での仮想サービスの対応に使用される、公開ホスト名クライアント (このホスト名は、生成される WSDL ファイルで表示できます。これは、新しい環境で再生成して、公開しなければならないことがあります)。

開発および実稼動ネットワーク。これは、LDAP サーバ、バックエンド サービス プロバイダーなど、サービスのタイプによって可用性が異なることがあります。このような種類のリソースの接続設定は、移行時に変更が必要になることがあります。

PPF ファイルによるポリシーのエクスポートおよびインポート

[Policy Manager] ページから、導入または承認されたポリシー、または任意のポリシーをポリシー履歴からエクスポートできます。ポリシーをエクスポートする場合、ACE Web Application Firewall Manager は、すべてのポリシー オブジェクトを外部形式に変換して、データをファイルに書き込みます。このファイルは、拡張子 .ppf で識別される、Portable Policy Format という独自の形式を使用します。

このファイルは、別の ACE Web Application Firewall Manager にロードし、ターゲット Manager のコントロールの ACE Web Application Firewall にポリシーを導入することで、転送に使用できます。また、PPF ファイルを使用して、ポリシーのコピーを作成し、バックアップに利用することもできます。

エクスポート/インポート プロセスでは、ポリシー コンポーネントを選択的に移動できます。つまり、ポリシー全体をエクスポートする必要はありません。エクスポートするときには、エクスポートするハンドラ グループを選択できます。選択するハンドラ グループのハンドラとともに、証明書やサーバ オブジェクトなど、参照するオブジェクトがエクスポートされます。

特定のサブポリシーをエクスポートするときに、ソース サブポリシーが Shared 以外のサブポリシーである場合、Shared の要素もエクスポートに含まれることがあります。インポート時に、ソースから内容をインポートし、Shared の内容を含めるかどうかを選択できます。

ポリシーの PPF へのエクスポート

ポリシーをファイルにエクスポートするには、次の手順を実行します。


ステップ 1 Operations ロールを持つ Administrator または Privileged ユーザとして、エクスポートするサブポリシーをアクティブにします。

ステップ 2 操作メニューで [Policy Manager] リンクをクリックします。

ステップ 3 Policy Manager で、アーカイブするポリシーの横にある [Export] ボタンをクリックします。現在導入されているバージョンのポリシー、またはポリシー履歴に保存されているポリシーをエクスポートできます。


) 現在の作業ポリシーをアーカイブするには、最初に、[Save To History] ボタンをクリックして、ポリシー履歴に保存する必要があります。これで、保存したポリシー バージョンをアーカイブできます。


[Export Policy] ページが表示されます。

図 13-6 [Export Policy]

 

ステップ 4 [Filename] フィールドで、生成されたポリシー アーカイブ ファイルの名前を入力します。説明付きのポリシー バージョンからエクスポートする場合、その説明に基づいてデフォルトの名前が生成されます。名前に .ppf 拡張子を追加する必要はありません。この拡張子はファイル名に自動的に追加されます。

ステップ 5 ポリシーに公開鍵/秘密鍵ペア リソースが含まれている場合、チェックボックスが表示されます。このチェックボックスを使用すると、エクスポートされるファイルにリソースを含めることができます。このようなリソースは非常に機密な情報であるため、このデフォルト設定は無効です。ただし、リソースを含めない場合、このリソースに依存するエクスポート オブジェクトは、手動でリソース参照を変更するまで、インポートしても正しく機能しません。

リソースをファイルに含める場合、[Include Public/Private Keypair Resources] というラベルのオプションを選択します。

ステップ 6 任意に、アーカイブに含めないハンドラ グループのチェックボックスの選択を解除します。

すべてのサービス定義をエクスポートするのではなく、ハンドラ グループを選択してエクスポートできます。エクスポートに含まれないハンドラ グループは、ポリシーがインポートされるときに作成されません。

[Check All] および [Uncheck All] リンクを使用すると、すべてのハンドラ グループを簡単に含める、または除外できます。

ステップ 7 [Export Policy] をクリックします。

ACE Web Application Firewall Manager は、指定された名前を使用してアーカイブ ファイルを作成します。

ステップ 8 ダイアログ ボックスで、ファイルの保存場所を選択して、[OK] をクリックしてアーカイブ ファイルを保存します。


 

ポリシーは .ppf ファイルとして保存されます。このファイルは、その他の Manager 環境、または別のサブポリシーにインポートできます。

ポリシーのインポート

Portable Policy Format (.ppf)ファイルを ACE Web Application Firewall Manager にインポートすると、Manager の Web コンソールで復元され、ここで変更または ACE Web Application Firewall に導入できます。ポリシー エクスポートと同様に、ポリシーの一部を選択してインポートできます。ポリシーの一部をインポートすると、その変更が既存のポリシーと混在できるように(既存の設定を完全に置き換えることなく)、既存のポリシーとマージできます。

作業ポリシーと同じオブジェクト(オブジェクト名など)が PPF にある場合、PPF のオブジェクトが作業ポリシーからのエクスポートにより生成されていない限り、作業ポリシーに重複オブジェクトが作成されます。詳細については、「ポリシー オブジェクトの移行」を参照してください。通常、ポリシーのインポート プロセスは、空のターゲット ポリシーと使用されるか、新しいオブジェクトをポリシーに導入するときに使用されます。

ローカル ファイルシステムから .ppf ファイルをインポートするには、次の手順に従います。


ステップ 1 操作メニューで [Policy Manager] リンクをクリックします。

ステップ 2 Policy Manager の作業ポリシー セクションの [Import Saved Policy] ボタンをクリックします。

[Step 1 of 3: Upload Policy File] ページが表示されます。

ステップ 3 ファイルのパスを [Policy File] フィールドに入力するか、ファイル選択ダイアログでファイルを参照して、インポートする .ppf ファイルを指定します。

ステップ 4 [Do not show detailed content of subpolicies] を設定できます。これにより、以降のインポート ポリシー ページに通常表示される詳細情報が表示されなくなります。このオプションが選択されていない場合、以降のページで、インポートするサブポリシーのリストが表示されます。選択した場合、サブポリシーのハンドラ グループのリストは表示されず、選択したサブポリシーのすべてのハンドラ グループがインポートされます。また、このオプションを選択すると、インポート手順に関連する変更のリストが折りたたまれます。詳細情報を表示するには、特定のサブポリシーのエキスパンド コントロールをクリックします。

ステップ 5 [Upload Policy File] ボタンをクリックします。

[Step 2 of 3: Import Options] ページが表示されます。

ステップ 6 生成方法により異なりますが、PPF にはいくつかのサブポリシーが含まれます。[Import Mode] 設定で、インポートにおけるサブポリシーの処理方法かを選択します。次のオプションがあります。

[Import the contents of the selected subpolicies in the PPF into the subpolicies with the same name]

このオプションを使用すると、一度の操作で、PPF からいくつかのサブポリシーを選択してその内容をターゲット サブポリシーにインポートできます。次に、PPF の各サブポリシーに対するインポート戦略を示します。

同じ名前のサブポリシーが現在のポリシーに存在し、それにアクセスできる場合、PPF のサブポリシーの内容は、現在のポリシーから同じ名前のサブポリシーにインポートされます。

同じ名前のサブポリシーが現在のポリシーに存在しない場合、同じ ID で新しいサブポリシーが作成され、PPF のサブポリシーの内容が、この作成されたサブポリシーにインポートされます。


) 新しいサブポリシーを作成するには、管理者としてログインする必要があります。


ソースおよびターゲットのサブポリシーの名前が異なり、同じ ID で新しいサブポリシーを作成する管理者権限がない場合、何もインポートされません。

[Import the contents of the selected subpolicies in the PPF into "[subpolicy name]"]

ソースおよびターゲット サブポリシーの ID に関係なく、PPF で選択したサブポリシーからターゲット サブポリシーにオブジェクトを移動します。このオプションが選択されている場合、オブジェクトを異なるサブポリシー間で移動できます。

ターゲット環境の複数のサブポリシーへのアクセス権限がある場合、これらのサブポリシーがドロップダウン メニューに表示されます。メニューからターゲット サブポリシーを選択します。

ステップ 7 任意に、インポートしないオブジェクトのチェックボックスの選択を解除します。

[Import Options] ページのチェックボックスを使用すると、ハンドラ グループまたはオブジェクト タイプに応じてオブジェクトを選択できます。


) ターゲット ポリシーにカスタム コンテンツ スクリーニング ルールが含まれていて、コンテンツ スクリーニング ルールをインポートに含める場合、カスタム ルールが、インポートされるポリシーにより上書きされます。実際、カスタム コンテンツ スクリーニング ルールは、これらのルールを含まないポリシーがインポートされる場合に削除されます。カスタム ルールが上書きされないようにするには、カスタム スクリーニング ルールのチェックボックスの選択を解除します。


ポリシーのオブジェクトが確実に必要でない限り、このチェックボックスは選択したままにしてください。オプションのデフォルト設定では、すべてのオブジェクトがインポートされます。

ステップ 8 [Import Policy] ボタンをクリックします。

[Merge with Working Policy] ページは、[Policy Comparison] 表示を使用して、ポリシーのインポートに関連する変更を示します。

ステップ 9 任意に、ポリシー オブジェクトへの個々の変更を拒否します。

ポリシー オブジェクトの横に表示されるチェックボックスの選択を解除すると、チェックボックスが表す変更が ACE Web Application Firewall Manager で行われなくなります。変更を許可または拒否するかわからない場合、デフォルト設定を使用してください。

ステップ 10 [Save Changes] ボタンをクリックします。


 

Policy Manager の [Recent Saved Policy Versions] セクションに、新しくインポートされたポリシーが表示されます。新しいオブジェクト、およびポリシーのインポートに関連するその他の変更が、ACE Web Application Firewall Manager の Web コンソールに表示されます。

その他のポリシー管理タスク

ここでは、ポリシーの Policy Manager 内での保存やポリシー比較の実行など、ポリシー管理で実行できるその他の管理タスクを示します。

ポリシーのアーカイブ履歴への保存

Policy Manager では、ポリシーの過去のバージョンを復元、表示、比較できます。

ポリシーが導入されると、Firewall に導入されているポリシー バージョンが、ポリシー アーカイブに自動的に追加されます。現在の作業ポリシーは手動で保存することもできます。これは、たとえば、開発時にポリシーの保存ポイントを維持する場合などに役に立ちます。

現在の作業ポリシーをポリシー履歴に手動で保存するには、次の手順に従います。


ステップ 1 Web コンソールに Administrator ユーザまたは Operations ロールを持つ Privileged ユーザとしてログインします。

ステップ 2 アクティブ サブポリシーを Shared サブポリシーに設定します。

[Dashboard] ページ上部の操作バーで、[Shared] が [Switch] ボタンの左に表示されます。

ステップ 3 操作メニューの [Policy Administration] セクションの [Policy Manager] リンクをクリックします。

ACE Web Application Firewall Manager により、[Policy Manager] ページが表示されます。

ステップ 4 作業ポリシーのわかりやすい説明を [Version Description] フィールドに入力します。

説明はできるだけわかりやすくすることをお勧めします。これは、通常、このポリシーと他のポリシーと区別できる唯一の情報です。

ステップ 5 [Save to History] ボタンをクリックします。


 

[Recent Saved Policy Versions] および [Policy History] ログは、一意の ID、タイムスタンプ、入力された説明とともに、アーカイブされたポリシーを表示します。

ここで、ポリシー エントリの横に表示されているコントロールを使用すると、ポリシーで次に示す他の操作を指定できます。

アーカイブされたポリシーをコンソールで表示する

現在の作業ポリシーをアーカイブされたポリシーにロールバックすることでポリシーを復元する

エクスポートして、 .ppf ファイルとしてローカル ディスクにそのコピーを保存する

ポリシーの復元

作業ポリシーの変更が予期せぬ結果になることがあります。また、誤ってサービスを無効にしたり、設定を削除してしまい復元に苦労することもあります。アーカイブされたポリシーは、一般的に、正常に機能することがわかっているポリシーの状態を保存することで、このような問題から保護するためにも使用されます。

ACE Web Application Firewall の以前の作業状態を復元するには、アーカイブされたポリシーをロードして導入します。このプロセスは、ポリシーの 復元 または ロールバック とも言われます。


注意 アーカイブされたポリシーを復元すると、その設定のすべてが、現在使用されている設定のすべてに置き換わります。つまり、たとえば、現在のポリシーが、復元されるポリシーでは定義されていないサービスを使用している場合、または、復元されるポリシーに、復元後に置き換えられるポリシーで定義されているオーセンティケータのいくつかが含まれていない場合、いくつかのサービスが使用できなくなることがあります。ポリシーを復元する前に、変更される可能性がある、サービス記述子、ルート、オーセンティケータ、およびその他のポリシー オブジェクトを理解し、必要なすべてのサービス接続が正しく復元されるように、結果の設定およびログを検査してください。

ポリシーを復元するには、次の手順を実行します。


ステップ 1 コンソールで Administrator ユーザまたは Operations ロールを持つ Privileged ユーザとして、アクティブ サブポリシーを Shared サブポリシーに設定します。

ステップ 2 操作メニューの [Policy Administration] セクションの [Policy Manager] リンクをクリックします。

ステップ 3 [Policy Manager] ページで、復元するポリシーを検出します。

ACE Web Application Firewall Manager は、[Policy Manager] ページ下部にある、[Recent Saved Policy Versions] 履歴でポリシーをアーカイブします。古いアーカイブを表示するには、ポリシー履歴バナーの [View Full History] リンクをクリックします。

ACE Web Application Firewall インスタンスから削除したポリシーを復元するには、最初に、[working policy] セクションの [Import] ペインの [Import Saved Policy] ボタンを使用して、オフライン ストレージからポリシー アーカイブ ファイルをアップロードする必要があります。アップロードすると、ポリシーがポリシー アーカイブ リストに表示されます。

ステップ 4 ポリシーが別の Firewall インスタンスでアーカイブされている場合、復元の前に移行が必要になることがあります。

ステップ 5 [Import Policy] ボタンをクリックして、コンパイルおよび導入のために ACE Web Application Firewall Manager の Web コンソールにポリシーをロードします。

アーカイブされたポリシーにより定義されている設定およびオブジェクトが、現在 ACE Web Application Firewall Manager で定義されているものに置き換わります。

ステップ 6 [Deploy] ボタンをクリックして、通常の導入プロセスを開始します。


 

ACE Web Application Firewall Manager は、アーカイブされたポリシーをコンパイルし導入して、これを ACE Web Application Firewall インスタンスの現在アクティブなポリシーに設定します。

ポリシー バージョンの比較

[Policy Comparisons] ページ(図 13-7)には、2 つのポリシー バージョンの違いが表示されます。これは、ポリシーを導入するときなど、ポリシー作成中のさまざま時点でで自動的に表示されます。また、Policy Manager からポリシーの 2 つのバージョンを手動で比較することもできます。Policy Manager で、ポリシー履歴リストからポリシーに関する以前の任意の 2 つのバージョンを比較できます。ポリシーのバージョンは、各導入時、および [Save To History] ボタンを直接使用して保存したときに、このリストに保存されます。

図 13-7 [Compare Policies] ページ

 

図に示すように、[ Policy Comparison ] ページには、次のアイコンを使用して、2 つのポリシー バージョンの違いが表示されます。

青のプラス記号:新しいポリシーにより追加されたオブジェクトを示します。

赤い x 記号:削除されたオブジェクトを示します。

オレンジの感嘆符:変更されたオブジェクトを示します。

ポリシーを手動で比較するには、次の手順を実行します。


ステップ 1 操作メニューの [Policy Manager] リンクをクリックして、Policy Manager にアクセスします。

ステップ 2 現在の作業ポリシーと、ACE Web Application Firewall に導入されているポリシーを比較するには、[Compare to Deployed] ボタンをクリックします。このボタンは、ページの [working policy] エリア([Review] ラベルの横)に表示されます。

ステップ 3 履歴リストで 2 つのポリシー バージョンを比較するには、ポリシー アーカイブ ヘッダー [Recent Saved Policy Versions] の横にある、[Compare Policies] リンクをクリックします。

ステップ 4 [Select Policy Versions] ページで、比較するポリシーのバージョンをクリックします。

最初のフィールドには、比較ページで参照されるポリシーがポリシー A として表示され、下のフィールドにはポリシー B が表示されます。

ステップ 5 [Compare Policies] をクリックします。

[Compare Policies] ページに、選択したポリシーの違いが表示されます。選択したポリシー バージョンは、ページの上部に表示されます。

ステップ 6 [Go Back] ボタンをクリックして、ポリシーの複数のバージョンを比較します。


 

ポリシーを確認する場合、管理者は、同じ [Policy Comparisons] ページを参照して、同様にポリシーの変更を許可または拒否できます。ポリシーを承認する前に、管理者は、問題の原因となる変更を拒否できます。結果として承認されたポリシーには、管理者が許可する変更だけが含まれます。

自動ポリシー確認

ACE Web Application Firewall Manager は、特定の承認されたポリシー、または作業ポリシーを自動的に確認して、セキュリティ問題または一貫性に関する問題が発生していないか検証できます。[Policy Manager] ページの [Approved] および [-- working policy --] ペインに、[Policy Review] ボタンがあります。

このボタンをクリックすると、ACE Web Application Firewall Manager は、指定されたポリシー バージョンを検証して、潜在的な問題を検出した場合にそれを知らせる警告を表示します。これらの警告の情報を参考に、ポリシーを編集して問題を修正できます。

ポリシー変更の破棄

最初にインストールされた状態以降ポリシーに対して行われたすべての変更を破棄するには、Policy Manager の [Manager Policy] エリアにある [Reset Policy] ボタンをクリックします。

ACE Web Application Firewall Manager は、この操作の [compare changes] ページに示されているように、ポリシーをその初期の空の状態に復元します。すべての変更を破棄する場合だけ処理を続行してください。

[Reset Policy] ボタンをクリックすると、ポリシーに行った変更がすべて破棄されます。この操作は、元に戻すことができないので十分に注意してください。

ポリシー統計情報

[Policy Statistics] ページには、サブポリシーの合計数、各サブポリシーおよびポリシー全体のコンポーネントの合計数、ポリシー履歴のレコード数、およびクラスタ サイズが表示されます。これらのいずれかの値が、推奨される最大値を超える場合、警告メッセージが表示されます。

次に、推奨される値を示します。

合計サブポリシー数:100

サブポリシーごとの最大コンポーネント数:1000

ポリシーの合計コンポーネント数:10000

履歴の最大レコード数:5000

クラスタ サイズ:1024 MB

「コンポーネント」は、内部マネージャ オブジェクトのことです。可視オブジェクト数は、内部オブジェクト数より少なくなります。たとえば、1 つの仮想サービスは、ハンドラ、サービス、アクセス プロビジョニングの 3 つのコンポーネントで構成されます。shared サブポリシーの多くのデフォルトのコンポーネント(プリファレンス、コンテンツ セキュリティおよび基本設定)もポリシー統計情報に影響を与えます。

「クラスタ サイズ」は、クラスタ データにより使用されるディスク容量のことです。

ポリシー履歴のクリア

時間の経過とともに、特にポリシー バージョンがポリシー履歴に追加されると、ディスク上のポリシー アーティファクトのサイズが増加します。ポリシーのサイズは、最終的にシステム リソース問題の原因となります。この機能を使用すると、保存され隠された古いポリシーを履歴やそれに関連するすべてのポリシー コンポーネントから削除して、ディスク容量を解放できます。

[Clean History] ページには、ポリシー履歴に関する情報(サブポリシーあたりのエントリ数)、およびクラスタにより使用されるディスク容量が表示されます。

ポリシー履歴のクリアは、次の 2 つのオプションでカスタマイズできます。

[Trim history to]:保持する、最近保存されたポリシー履歴ファイルの数。これより古い履歴ファイルはポリシーから削除されます。

[Mode]:Manager に複数のサブポリシーがある場合、このオプションを使用すると、履歴ファイルのクリアを現在のサブポリシーだけで実行するか、すべてのサブポリシーで実行するかを指定できます。

パラメータを選択して、[proceed] ボタンを押すと、[Preview changes] ページが表示されます。


警告 ポリシーのクリア プロセスは元に戻すことができません。以前保存したポリシーへの復元が必要になる可能性がある場合、[Proceed] ボタンをクリックする前に、ポリシーのバックアップ コピーをアーカイブしておいてください。クリックすると、クリア プロセスが開始します。


システムをバックアップするには、次の手順を実行します


ステップ 1 バックアップするアプライアンスのアプライアンス シェルにアクセスします。

ステップ 2 [Advanced Options] > [Run Bash] の順に選択します。

ステップ 3 次のように backup コマンドを使用して、バックアップ ファイルを作成します。

backup -all <filename>

上記のコマンドでは、filename はバックアップ アーカイブの保存先となる tgz ファイルの名前です。次に例を示します。

backup -all applianceBackup.tgz

-all スイッチを指定すると、ネットワークおよび Gateway の設定値、ポリシー ファイルストア、ログ ファイルを含め、すべてのデータがバックアップされます。代わりに、次に示すコマンド スイッチを使用すると、指定したデータ部分だけをバックアップすることができます。

backup -filestore applianceBackup.tgz

filestore スイッチを指定すると、ログ情報を除くすべてのデータがバックアップされます。ログ データだけをバックアップする場合は、 -userlog (イベント ログ)、 -auditlog 、または -traffic スイッチを使用します。

コマンド オプションを指定しなかった場合には、ネットワークおよび Gateway の設定だけがバックアップされます。

詳細については、『Cisco ACE Web Application Firewall Administration Guide』の「Backing Up and Restoring the System」を参照してください。

ステップ 4 プロセスが完了すると、結果を示す最後のページが表示されます。


 

残りのポリシー エントリの実際の数は、サブポリシー間の関係により指定された数より多くなることがあります。たとえば、次のポリシー エントリは、クリア プロセス中に削除されません。

最初に承認されたポリシー、最後に承認されたポリシー、最後に導入されたポリシー

承認のために発行されたポリシー(2 段階の導入で必要です)

ID によるポリシー コンポーネント検索

この機能を使用すると、コンポーネントがどのサブポリシーにあるかに関係なく、ポリシー コンポーネントをその ID で検出できます。コンポーネント ID は、通常、例外通知電子メールに記されます。これは、サービス リクエスト処理中に例外が発生した場合に送信されます。これは、たとえば、例外メッセージに関連する仮想サービスまたはハンドラを素早く検出するときに役に立ちます。

検索を実行するには、[Policy Manager] ページのフィールドに 16 桁の 16 進数 ID を入力します。コンポーネントを表示できる権限がある場合、検索は、最後に導入されたポリシーで実行されます。コンポーネントのアクセス権限がない場合、コンポーネントの位置を示す情報メッセージが表示されます。コンポーネントが検出されなかった場合、「object missing」エラーが表示されます。