ASA CX および Cisco Prime Security Manager 9.1 ユーザ ガイド
ポリシー オブジェクトの管理
ポリシー オブジェクトの管理
発行日;2013/02/21   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

ポリシー オブジェクトの管理

ポリシー オブジェクトは、ポリシー内で使用する基準を定義した再利用可能なコンテナです。 ここでは、ポリシー オブジェクトについてより詳細に説明します。

ポリシー オブジェクトの概要

ポリシー オブジェクトは、ポリシー内で使用する基準を定義した再利用可能なコンテナです。 一部のオブジェクトは、トラフィック一致基準を定義します。たとえば、ネットワーク グループは、アクセスを制御したりアイデンティティ ポリシーを定義したりするホストまたはネットワークを指定できます。 アクション プロファイルを定義するオブジェクトもあります。これは、一致したトラフィックに対して特定のタイプのサービスを適用します。

ポリシー オブジェクトでは提案基準を定義することができ、同じ基準を異なるポリシーで簡単に再利用できるようになります。 ポリシー オブジェクトを更新すると、そのオブジェクトを使用するすべてのポリシーが自動的に更新されます。

CX ポリシーでは、ポリシー オブジェクトを使用する必要があります。ポリシーにはトラフィック照合設定またはアクション プロファイル設定を直接入力できません。 [Policy Objects] ページでは、独立してオブジェクトを作成できるという柔軟性があります。また、ポリシーの設定中にオブジェクトを作成することもできます。

オブジェクトの作成、編集、削除、表示を行う [Policy Objects] ページを開くには、[Policies] > [Objects] を選択します。

[Policy Objects] ページには、次の項目が含まれています。
  • [Filter]:次のコントロールを使用して、ポリシー オブジェクトを見つけやすいようにビューをフィルタリングできます。
    • ドロップダウン矢印を使用して、オブジェクト タイプに基づいてリストをフィルタリングします。複数のタイプを選択可能です。 あるタイプを削除するには、フィルタ ボックスでオブジェクト タイプ名の [X] をクリックします。 1 つ以上のオブジェクト タイプを選択した場合、選択したタイプに対してのみ、入力した文字列が照合されます。
    • 1 つまたは複数の文字列を入力し、[Filter] をクリックします。 入力する文字列は、一致と見なされるオブジェクトのオブジェクト内のどこにあってもかまいません。 つまり、文字列がオブジェクト名の先頭に一致している必要はありません。
  • [I want to]:このリストには、オブジェクトのタイプごとに [Add] コマンドが含まれています。 次に、各オブジェクト タイプについて簡単に説明します。
    • [ASA CX Network Group]:ホストおよびネットワークを識別する IP アドレス。 これらのオブジェクトは CX デバイスだけで使用できます。
    • [Service Group]:プロトコルとポートの定義。たとえば、ポート 80 の TCP トラフィックの場合は TCP/80。
    • [Identity Object]:ユーザ名およびユーザ グループ名を含む、ユーザのアイデンティティ。
    • [URL Object]:Web ドメインまたはサーバ(example.com、www.example.com など)の Web URL リソース(HTTP または HTTPS のみ。http://example.com/games など)、および Web(URL)カテゴリ。
    • [User Agent Object]:HTTP 要求の作成に使用されたエージェントのタイプ。HTTP パケット ヘッダーのユーザ エージェント フィールドに示されます。 たとえば、ブラウザのタイプ(Internet Explorer、Firefox など)があります。
    • [Application Object]:アプリケーションまたはアプリケーション タイプ。特定の接続セッションで使用されるポートにかかわらず特定できます。
    • [Secure Mobility Object]:AnyConnect Secure Mobility のリモート アクセス VPN 接続で使用されているクライアントのプラットフォーム(オペレーティング システム)。これは、ネットワークに接続しているデバイスのタイプを示します。
    • [Application Service]:サービス グループ オブジェクト(従来のプロトコルおよびポート仕様)、アプリケーション名、アプリケーション タイプ、またはアプリケーション オブジェクトの組み合わせに基づいてアプリケーションを定義します。 OR 結合された複数の組み合わせを作成することにより、単一のアプリケーション サービス オブジェクトで正確なトラフィック パターンを定義できます。
    • [Destination Object Group]:ポリシーの宛先フィールドに指定可能なオブジェクトを使用して、宛先に関する複雑なトラフィック一致基準を定義します。 AND 結合されたネットワーク グループと URL オブジェクトの定義を作成することにより、全オブジェクトの条件が満たされないとトラフィックがポリシーに一致しないようにすることができます。 OR 結合された複数の組み合わせを作成することにより、単一の宛先オブジェクト グループで正確なトラフィック宛先パターンを定義できます。
    • [Source Object Group]:ポリシーの送信元フィールドに指定可能なオブジェクトを使用して、送信元に関する複雑なトラフィック一致基準を定義します。 AND 結合されたネットワーク グループ、アイデンティティ、ユーザ エージェント、およびセキュア モビリティ オブジェクトの定義を作成することにより、全オブジェクトの条件が満たされないとトラフィックがポリシーに一致しないようにすることができます(このような関係をアクセス ポリシー内に直接作成することはできません)。 OR 結合された複数の組み合わせを作成することにより、単一の送信元オブジェクト グループで正確なトラフィック送信元パターンを定義できます。
    • [File Filtering Profile]:アップロードまたはダウンロードをユーザに許可するファイルのタイプを制御するアクション プロファイル。
    • [Web Reputation Profile]:その他の点では許可された Web ページについて、Web サイトのパブリック レピュテーションに基づき、ユーザに返せる部分を制御するアクション プロファイル。
  • [List of Policy Objects]:すべてのポリシー オブジェクトが単一のリストに表示されます。 オブジェクトごとに、オブジェクト名、オブジェクトの内容の要約が表示され、右側には、オブジェクト タイプと、そのオブジェクトが使用されているポリシーとオブジェクトの要約(ある場合)が表示されます。 [Pending Commit] バナーが右側に表示されている場合、オブジェクトはまだデバイス データベースにコミットされていません。
    オブジェクトに関連するコマンドを表示するには、そのオブジェクトの上にマウスを置きます。オブジェクトの行の下に次のコマンドが現れます。
    • [Delete Object]:オブジェクトを削除します。 ポリシーまたは別のオブジェクトで現在使用中のオブジェクトを削除することはできません。また、システムにより作成されたオブジェクト(事前定義システム オブジェクト)も削除できません。
    • [Edit Object]:オブジェクトを編集します。
    • [View Object]:(事前定義システム オブジェクトのみ)オブジェクトの内容を表示します。

ポリシー オブジェクトの設定

ポリシー オブジェクトは、[Policy Objects] ページから直接設定することも、[Policies] ページでポリシーを設定するときに設定することもできます。 どちらの方式でも同じ結果となり、新規または更新されたオブジェクトが作成されるので、その時点で適した方法を使用します。


(注)  


事前定義システム オブジェクトの内容は、表示可能ですが編集できません。 行った変更は ASA に展開されず、CX のポリシーのオブジェクトの使用にのみ影響します。


手順
    ステップ 1   オブジェクトを作成または編集するためのフォームを開くには、次のいずれかを実行します。
    • オブジェクトを直接作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add Object Type] を選択します。

    • オブジェクトを直接編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

    • ポリシーの編集時にオブジェクトを作成するには、[Policies] > [Policies] を選択し、ポリシーの作成または編集を行い、オブジェクトを追加するフィールドの下の [Create New Object] リンクをクリックします。 フィールドに複数のオブジェクト タイプを入力した場合は、オブジェクトのプロパティを入力する前に、[Object Type] フィールドでタイプを選択します。

    • ポリシーの編集時にオブジェクトを編集するには、[Policies] > [Policies] を選択してから、ポリシーを作成または編集します。 次に、オブジェクトの詳細フォームを開く必要があります。詳細フォームの [Edit Object] ボタンをクリックすると、オブジェクトの定義を編集できます。
      • オブジェクトがポリシーですでに指定されている場合は、オブジェクトの上にマウスを置きます。
      • オブジェクトが指定されていない場合は、オブジェクトを追加するフィールドの空白部分をクリックして使用可能なオブジェクトのリストを開き、そのリストで該当するオブジェクトを見つけ、オブジェクト横の [View Details] リンクをクリックしてください。
    ステップ 2   オブジェクト タイプに基づいてさまざまなオブジェクトのプロパティを入力します。 オブジェクト タイプの詳細については、リファレンス トピックを参照してください。

    少なくとも、オブジェクトの名前を入力します。 名前は、選択したタイプのオブジェクト間だけではなく、すべてのタイプのオブジェクト間で固有のものにする必要があります。 既存のオブジェクトの名前を変更すると、そのオブジェクトを参照しているすべてのポリシー オブジェクトまたはポリシーでもオブジェクト名が変更されます。

    オブジェクトに許可リストとブロック リストの両方が含まれている場合、ブロック リストは許可リストの内容だけに関連したものとなり、許可リストの基準と一致する項目が除外対象となります。 許可リストの一般的なデフォルト値は Any で、許可プロパティに何も指定しない場合にだけ使用されます。 いずれかの許可プロパティに何らかの項目を指定すると、その他のプロパティのデフォルトは削除され、明示的に値を入力しない限り、そのプロパティは無視されます。

    ヒント   

    オブジェクトに複数の値を入力できます。これらの値は明示的に AND が指定されない限り、OR 関係と判断されます。 したがって、指定された項目のいずれかにトラフィックが一致すれば、そのトラフィックはオブジェクトと一致することになります。 一般的に、オブジェクトには値を入力したり、他の既存オブジェクトをネストできるフィールドが複数あります。 たとえば、URL オブジェクトで、特定の URL、Web カテゴリおよび他の URL のオブジェクトの組み合わせを入力できます。 空白のままのフィールドは無視されます。

    ステップ 3   変更を保存するには、[Save Object] をクリックします。

    ポリシー オブジェクトの削除

    不要になったポリシー オブジェクトは削除できますが、次の制限があります。

    • 事前定義システム オブジェクトは削除できません。
    • ポリシーやポリシー オブジェクトなどで現在使用中のオブジェクトは削除できません。 オブジェクトを削除する前に、オブジェクトへの参照をすべて削除する必要があります。 オブジェクトの [Object Usage] リストを調べて、オブジェクトを使用しているポリシーまたはオブジェクトを確認してください。
    手順
      ステップ 1   [Policies] > [Objects] を選択します。

      オブジェクトはフラットなリストに編成されます。 リストの順序は、最初はオブジェクト タイプに基づき、同じタイプのすべてのオブジェクトは、オブジェクト タイプが [Policy Objects] ドロップダウン リストに表示される順序と同じ順序が維持されます。

      個々のポリシー オブジェクトに関連したコマンドを参照するには、そのオブジェクトの名前にマウスを置きます。 これで目的のコマンドを選択できます。

      既存のポリシー オブジェクトについて処理する必要がある場合、フィルタ コントロールを使用すると、変更するオブジェクトを簡単に見つけることができます。

      ステップ 2   削除するオブジェクトの上にマウスを置き、[Delete Object] をクリックします。

      ポリシー オブジェクトのリファレンス

      ここでは、さまざまなタイプのポリシー オブジェクトについて説明します。

      ポリシー オブジェクトの共通プロパティ

      次の表に、ほとんどのポリシー オブジェクトに見られるプロパティを示します。 各オブジェクトに固有のプロパティについては、個々のポリシー オブジェクトに関するリファレンス情報を参照してください。

      表 1 ポリシー オブジェクトの共通プロパティ

      プロパティ

      説明

      Name

      オブジェクトの名前。

      オブジェクトの編集時に名前を変更すると、そのオブジェクトを参照しているポリシーまたはオブジェクトでも名前が自動的に変更されます。

      Object Type

      オブジェクトのタイプ。 ポリシーの編集時にオブジェクトを作成する場合は、関連付けられているフィールドで、サポートされるオブジェクト タイプの中から目的のタイプを選択できます。 それ以外の場合、この情報は読み取り専用です。

      Description

      オブジェクトの説明。

      Ticket ID

      ご使用のサポート システム(Remedy など)からのケース ID またはチケット ID。 ネットワーク サポート ケースに関連する変更を行う場合、トラッキング用にここにチケット ID を入力できます。 新しい ID を入力するか、保留中の変更に使用されている既存の ID から選択することができます。必要なだけの ID を指定します。 (すでにコミットされている変更で使用した ID は、このリストに表示されません)

      Tags

      この項目の識別に役立つ語とフレーズ。 たとえば、同じタグを複数の項目に割り当てると、検索での表示が容易になります。 タグでは、ユーザが選択した使用例、目的、またはその他の特性を識別できます。 これらのタグは、ユーザの目的にのみ対応しています。システムやポリシーの機能には影響しません。 複数のタグを入力(または選択)できます。

      Object Information

      オブジェクトに関する情報は、通常、オブジェクト ウィンドウの右側に表示され、次の情報が含まれています。
      • [Status]:オブジェクトの現在の状態。次のものがあります。
        • [Pending (New)]:新しいオブジェクトであり、これまでコミットされたことはありません。
        • [Pending (Modified)]:前回のコミット以降、オブジェクトが変更されています。
        • [Committed]:オブジェクトはデバイス構成にコミットされており、前回のコミット以降、変更されていません。
      • [Created]:オブジェクトが作成された日付、およびオブジェクトを作成したユーザのユーザ ID。 System ユーザの場合、そのオブジェクトが事前定義システム オブジェクトであることを示します。 システム オブジェクトは変更または削除もできません。

      <Object Type> Objects

      同じオブジェクト タイプの 1 つ以上の既存オブジェクト。 このフィールドをクリックすると、既存オブジェクトのドロップダウン リストが開きます。このリストは、入力によりスクロールされ、フィルタリングされます。 オブジェクトを指定しなかった場合、またはオブジェクト内の他のプロパティを指定しなかった場合は、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのオブジェクトも除外されません。

      複数のタイプのオブジェクトを含めることが可能な場合は、ドロップダウン矢印リストからオブジェクト タイプを選択すると、リストを事前にフィルタリングできます。

      複数の項目を入力するには、Enter を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、クリックして編集し、Enter を押します。 ボックス内の既存の項目を削除するには、マウスを置いて名前の右側の [X] をクリックするか、クリック後に Delete キーを押して削除し、クリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。

      Usage

      このオブジェクトを使用している、ポリシーおよびオブジェクトについての情報。 ポリシー用と他のオブジェクト用のフォルダが別になっています。そのフォルダの見出しには、このオブジェクトを使用している、ポリシーまたは他のオブジェクトの数が含まれています。 フォルダの中で、各ポリシーまたはオブジェクトに関する詳細な情報を確認できます。

      ネットワーク グループとネットワーク オブジェクト

      ネットワーク グループおよびネットワーク オブジェクト(まとめてネットワーク オブジェクトと呼ばれる)は、ポリシーのトラフィック一致基準を定義するという目的で、ホストまたはネットワークの IP アドレスを定義するために使用します。 ネットワーク オブジェクトには次のタイプがあります。
      • ASA CX のネットワーク グループ:これらのオブジェクトは、CX のポリシーまたはオブジェクトでのみ使用できます。
      • ネットワーク グループまたはネットワーク オブジェクト:(マルチ デバイス モードのみ)。これらのオブジェクトは、ASA または CX のポリシーまたはオブジェクトで使用できます。 既存の ASA 設定からこれらのオブジェクトを検出し、編集または削除できます。 行った変更は ASA に展開されず、CX のポリシーのオブジェクトの使用にのみ影響します。

      ネットワーク オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

      許可リストとブロック リストASA CX のネットワーク グループのみ
      許可リストとブロック リストという 2 つのプロパティのリストを設定できます。 ブロック リストは必ず許可リストに関連したものとなり、リストに含まれている項目を除外します。 ブロック リストのスコープは、厳密にオブジェクト内に定められ、同じポリシーで選択される可能性のある他のオブジェクトには適用されません。 次のヒントを考慮してください。
      • 許可リスト内のすべてのプロパティのデフォルトを [Any] にした場合でも、ブロック リストに項目を指定できます。 得られたオブジェクトは、「除外項目を除いたこのオブジェクト タイプのすべて」に適用されます。
      • たとえば、ポリシー オブジェクトを選択して許可リストで特性を指定すると、ブロック リストはこれらの選択に制限されます。 ブロック フィールドが関連付けられるのはブロック リスト内の同じネームドフィールドだけではありません。
      • オブジェクトはブロック フィールド内で定義された項目のコンテナにすぎません。 オブジェクトの許可またはブロックは、含まれているオブジェクトに手動でオブジェクトの内容を入力することと同じです。
      IP アドレス

      IP アドレスのリスト。 少なくとも 1 つの IP アドレスまたはネットワーク オブジェクト グループを指定する必要があります。

      複数の項目を入力するには、Enter を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、クリックして編集し、Enter を押します。 ボックス内の既存の項目を削除するには、マウスを置いて名前の右側の [X] をクリックするか、クリック後に Delete キーを押して削除し、クリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。

      アドレスは次の形式で入力できます。
      • ホストの IP アドレス。次のいずれか。
        • 標準 IPv4 アドレス(10.100.10.10 など)。
        • 圧縮形式の IPv6 アドレス。この形式では、連続する 0 フィールドが :: に置き換られます(2001:DB8::0DB8:800:200C:417A など)。
        • 非圧縮形式の IPv6 アドレス(2001:DB8:0:0:0DB8:800:200C:417A など)。 これらのアドレスは圧縮形式に変換されます。
        • IPv4 アドレスを IPv6 表記したもの(::10.1.68.3、2001:DB8::10.1.68.3 など)。
      • ネットワーク アドレス。次のいずれか。
        • サブネット マスクを含む IPv4 ネットワーク(10.100.10.0/24、10.100.10.0/255.255.255.0 など)。
        • プレフィックスを含む IPv6 ネットワーク(2001:DB8:0:CD30::/60 など)。
      • ASA CX のネットワーク グループおよび ASA ネットワーク オブジェクトのみ)範囲の最初と最後のアドレスをハイフンで区切った IPv4 アドレス範囲。たとえば、10.100.10.5-10.100.10.10。 先頭のアドレスは、2 番目のアドレスよりも小さい数値にする必要があります。
      • ネットワーク オブジェクトのみ)。範囲の最初と最後のアドレスをハイフンで区切った IPv6 アドレス範囲。たとえば、2001:DB8:0:CD30::1-2001:DB8:0:CD30::FFFF。 先頭のアドレスは、2 番目のアドレスよりも小さい数値にする必要があります。 ネットワーク オブジェクト グループには IPv6 アドレス範囲を入力できません(ASA または ASA CX)。
      ホスト名(ネットワーク オブジェクトのみ)

      DNS ホスト名(server.example.com など)。

      ネットワーク オブジェクト(ネットワーク グループ オブジェクト、CX および ASA のみ)
      グループ オブジェクトに含めるネットワーク オブジェクト(ある場合)。次の制限があります。
      • CX のネットワーク グループには次のオブジェクト タイプを含めることができます。CX のネットワーク グループ、ネットワーク グループ、ネットワーク オブジェクト
      • ネットワーク オブジェクト(ASA と CX デバイスの間で共有できるもの)には、ネットワーク グループおよびネットワーク オブジェクトというタイプのオブジェクトを含めることができます。

      ナビゲーション パス

      • ASA CX のネットワーク グループ オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add ASA CX Network Group] を選択します。
      • ネットワーク グループ オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      サービス グループ オブジェクト

      サービス グループ オブジェクトは、プロトコルとポートまたは ICMP サービスに基づいてトラフィック パターンを定義するために使用します。 特に、ポートまたはポート範囲、あるいは ICMP サービスを対象とする場合に、これらのオブジェクトを使用します。 特定の接続セッションで使用されるポートにかかわらず、必ず、特定のアプリケーションを対象とする必要がある場合は、アプリケーション オブジェクトの使用を検討してください。 サービス グループには、ファイアウォール ルール用の従来のポート ベースの一致基準が用意されています。

      次の 2 つのタイプのサービス オブジェクトがあります。
      • サービス グループ:これらのオブジェクトは、ASA または CX のポリシーまたはオブジェクトで使用できます。 マルチ デバイス モードでは、既存の ASA 設定からこれらのオブジェクトを検出し、編集または削除できます。
      • サービス オブジェクト:(マルチ デバイス モードのみ)。これらのオブジェクトは、ASA または CX のポリシーまたはオブジェクトで使用できます。 既存の ASA 設定からこれらのオブジェクトを検出し、編集または削除できます。 行った変更は ASA に展開されず、CX のポリシーのオブジェクトの使用にのみ影響します。

      サービス オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

      サービス

      サービスのリスト。 デフォルトの [Any] は、サービスまたはサービス オブジェクトを指定しない場合に適用されます。 除外リストのデフォルトは [None] で、いずれのサービスも除外されません。

      複数の項目を入力するには、Enter を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、クリックして編集し、Enter を押します。 ボックス内の既存の項目を削除するには、マウスを置いて名前の右側の [X] をクリックするか、クリック後に Delete キーを押して削除し、クリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。

      次の形式でサービスを入力できます。
      • 次のいずれかになります。
        { TCP | UDP } [ /destination_port_or_range ]
        { TCP | UDP } [ /source_port_or_range/destination_port_or_range ]
        値は次のとおりです。
        • プロトコルは TCP または UDP です。 TCP および UDP ポートを個別に指定する必要があります。
        • destination_port_or_range は単一ポート(80 など)またはポートの範囲(80-100 など)で、トラフィックの宛先ポートを定義します。 宛先ポートを指定しない場合、オブジェクトは送信元ポートの要件を満たす任意のトラフィックに、宛先ポートに関係なく適用されます。 たとえば、tcp/80 と指定します。
        • source_port_or_range は、単一ポート(80 など)またはポートの範囲(80-100 など)で、トラフィックの送信元で使用されるポートを定義します。 送信元ポートを指定するには、宛先ポートを指定する必要があります。 ポートを指定しなかった場合、ポートにかかわらず、そのプロトコルのすべてのトラフィックに対してオブジェクトが適用されます。 たとえば、tcp/8080/80 と指定します。
      • { IP | protocol }
        一般的なプロトコル名(IP、GRE、AH、ESP など)、またはプロトコルに関連付けられた番号(AH は 51 など)を入力します。 番号を入力した場合、オブジェクトを保存した後で、広く知られているプロトコル名または _protocolnumberに変換されます。 IP/プロトコルという形式で番号を入力することもできます。 IP プロトコル番号については、『Protocol Numbers』http:/​/​www.iana.org/​assignments/​protocol-numbers/​protocol-numbers.xml)を参照してください。
      • { ICMP | ICMP6 } [ /message_number ]
        値は次のとおりです。
        • プロトコルは ICMP または ICMP6 です(IPv6 の場合)。
        • message_number は ICMP メッセージ タイプ(1 ~ 255)です。 エコー要求などの一般的な ICMP コマンドに関連付けられている番号を調べるには、ICMP の参考資料を参照してください。
      サービス オブジェクト(サービス グループ オブジェクトのみ)。

      オブジェクト グループに含めるサービス オブジェクト(ある場合)。 マルチ デバイス モードでは、サービス オブジェクトを選択することもできます。

      事前定義サービス グループ

      一般的なプロトコルと ICMP と ICMPv6 メッセージをカバーする多くの定義済みサービス グループがあります。 対象となるサービスはすべて、システム オブジェクトにより網羅されているはずです。

      ナビゲーション パス

      • サービス グループ オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add Service Group] を選択します。
      • サービス オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      アイデンティティ オブジェクト

      アイデンティティ オブジェクトは、個々のユーザ、ユーザ グループ、またはユーザとグループの組み合わせを指定するために使用します。

      オブジェクトに含めるユーザまたはグループの名前を入力するときには、入力を自動的に補完するためのクエリーが作成され、システムに定義済みの全レルムに設定されているディレクトリから、一致するユーザまたはグループの名前のリストが取り出されます。 取り出されたリストから目的の名前を選択します。 アイデンティティ オブジェクトを作成する前に、レルムを定義する必要があります。

      アイデンティティ オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。


      ヒント


      複数の項目を入力するには、Enter を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、クリックして編集し、Enter を押します。 ボックス内の既存の項目を削除するには、マウスを置いて名前の右側の [X] をクリックするか、クリック後に Delete キーを押して削除し、クリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。


      許可リストとブロック リスト
      許可リストとブロック リストという 2 つのプロパティのリストを設定できます。 ブロック リストは必ず許可リストに関連したものとなり、リストに含まれている項目を除外します。 ブロック リストのスコープは、厳密にオブジェクト内に定められ、同じポリシーで選択される可能性のある他のオブジェクトには適用されません。 次のヒントを考慮してください。
      • 許可リスト内のすべてのプロパティのデフォルトを [Any] にした場合でも、ブロック リストに項目を指定できます。 得られたオブジェクトは、「除外項目を除いたこのオブジェクト タイプのすべて」に適用されます。
      • たとえば、ポリシー オブジェクトを選択して許可リストで特性を指定すると、ブロック リストはこれらの選択に制限されます。 ブロック フィールドが関連付けられるのはブロック リスト内の同じネームドフィールドだけではありません。
      • オブジェクトはブロック フィールド内で定義された項目のコンテナにすぎません。 オブジェクトの許可またはブロックは、含まれているオブジェクトに手動でオブジェクトの内容を入力することと同じです。
      グループ

      ユーザ グループ名のリスト。 ユーザまたはアイデンティティ オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのグループも除外されません。

      グループ名には大文字と小文字の区別はありませんが、Realm\group_name という形式でレルム名を含める必要があります。 たとえば、Marketing というグループが、Corporate レルムとしてシステムに定義済みのディレクトリ内に定義されている場合、Corporate\Marketing と指定します。

      ユーザ

      ユーザ名のリスト。 グループまたはアイデンティティ オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのユーザも除外されません。

      ユーザ名には大文字と小文字の区別はありませんが、Realm\user_name という形式でレルム名を含める必要があります。 たとえば、Corporate\user1 のようにします。

      事前定義システム オブジェクト

      次の事前定義システム オブジェクトが使用可能です。
      • [Known Users]:ユーザがアクティブ認証された場合、または AD エージェントから取得したユーザの IP アドレスに対するパッシブ マッピングが存在する場合、このオブジェクトは、アイデンティティを使用できる全ユーザと一致します。
      • [Unknown Users]:このオブジェクトは、既知ユーザ オブジェクトに一致しなかったユーザ、つまり、ユーザ マッピングが使用できない IP アドレスと一致します。

      ナビゲーション パス

      • アイデンティティ オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add Identity Object] を選択します。
      • アイデンティティ オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      URL オブジェクト

      URL オブジェクトは、Web ドメインまたはサーバ(example.com、www.example.com など)の Web URL リソース(HTTP または HTTPS のみ。http://example.com/games など)、および Web(URL)カテゴリを指定するために使用します。 これらのオブジェクトを使用すると、Web ブラウジングに関するアクセプタブル ユース ポリシーを実施できます。

      URL オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。


      ヒント


      複数の項目を入力するには、Enter を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、クリックして編集し、Enter を押します。 ボックス内の既存の項目を削除するには、マウスを置いて名前の右側の [X] をクリックするか、クリック後に Delete キーを押して削除し、クリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。


      許可リストとブロック リスト
      許可リストとブロック リストという 2 つのプロパティのリストを設定できます。 ブロック リストは必ず許可リストに関連したものとなり、リストに含まれている項目を除外します。 ブロック リストのスコープは、厳密にオブジェクト内に定められ、同じポリシーで選択される可能性のある他のオブジェクトには適用されません。 次のヒントを考慮してください。
      • 許可リスト内のすべてのプロパティのデフォルトを [Any] にした場合でも、ブロック リストに項目を指定できます。 得られたオブジェクトは、「除外項目を除いたこのオブジェクト タイプのすべて」に適用されます。
      • たとえば、ポリシー オブジェクトを選択して許可リストで特性を指定すると、ブロック リストはこれらの選択に制限されます。 ブロック フィールドが関連付けられるのはブロック リスト内の同じネームドフィールドだけではありません。
      • オブジェクトはブロック フィールド内で定義された項目のコンテナにすぎません。 オブジェクトの許可またはブロックは、含まれているオブジェクトに手動でオブジェクトの内容を入力することと同じです。
      URL

      個々の Web ベース URL のリスト。 カテゴリまたは URL オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 除外リストのデフォルトは [None] で、いずれの URL も除外されません。 ドメイン名またはサーバ名のみを含む URL を指定して、ドメイン上の全サーバ、または指定のサーバにある全ページに適用することも、特定の Web ページへのパスを含めて、同じサイト上でホストされているページを区別することもできます。 プロトコルは含めないでください。たとえば、http://www.example.com ではなく www.example.com または example.com とします。 HTTP および HTTPS がこれらの URL と一致する唯一のプロトコルです。

      ドメイン内の全サーバを同じように扱う場合は、example.com のようにドメイン名だけを入力します。 これにより、このオブジェクトは、www.example.com、games.example.com、photos.example.com などに適用されます。

      特定の URL を入力する方法の詳細については、次のヒントを参照してください。


      ヒント


      復号化ポリシーで使用する URL オブジェクトを設定する際には、パス情報を含めないでください。 トラフィックが URL オブジェクトと一致するかどうか評価する際に、復号化ポリシーではパス情報を含んだすべての URL を完全に無視します。 オブジェクトに、ドメイン名だけの URL と、パスが含まれる URL が混在している場合、復号化ポリシーはそのオブジェクトを、ドメイン名だけを指定した URL のみが含まれるものとして扱います。 アクセス ポリシーに応じたオブジェクトを設定する際には、暗号化されたトラフィック(復号化ポリシーでフローが復号化されていないもの)または HTTPS ではない復号化されたフローに対して、パスを照合できないことに注意してください。こうした場合、アクセス ポリシーではドメイン名のみが指定された URL が照合されます。


      Web カテゴリ

      Web カテゴリのリスト。 目的のカテゴリをカテゴリ リストからすべて選択します。

      カテゴリを許可または除外するということは、そのカテゴリに属するすべての Web サイトを許可または除外することになります。 URL または URL オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのカテゴリも除外されません。

      URL 入力のヒント

      ドメイン名および URL のパス名により、ソフトウェアを区別できます。 パスとは、URL の中の最初のスラッシュ「/」よりも右側の文字列です。たとえば、www.example.com/us/ の場合、パスは「us/」です。 ドメインのみの URL と、ドメインとパスを組み合わせた URL には大きな違いがあります。パスを含む URL には、復号化ポリシーは一致しません。 次の各指定は等価であり、いずれもパス情報を含むものとは見なされません。
      • www.example.com
      • www.example.com/
      • www.example.com/*
      Web 上の複数のページに該当する URL パターンを作成するために、次のワイルドカードを使用できます。
      • *(アスタリスク):ゼロ文字以上の文字と一致します。 たとえば、www.example.com/us/* は、www.example.com/us/ という Web サーバ スペース上の全 Web ページと一致します。
      • ^(キャレット):URL の先頭に指定して、そのキャレットの後の文字列で URL が始まることを示します。 たとえば、^www.example.com は、www.example.com で始まる全 Web ページと一致します。 ^www.example.comwww.example.com の違いは、www.example.com の場合は、「www.example.com」の前に修飾子がある server1.www.example.com といった他のサイトにも一致するという点です。
      • $(ドル記号):URL の最後に指定して、その $ の前の文字列で URL が終わることを示します。 たとえば、/index.html$ は、index.html という名前のページを指す全 URL に一致します。
      次に、一般的な一致を得るためのヒントを示します。
      • 特定のドメインの全ホストと一致:完全修飾ホスト名ではなく、ドメイン名を入力します。 たとえば、example.com は、example.com だけではなく www.example.com、photos.example.com、finance.example.com などとも一致します。 example.com$ も同じ一致結果になります。この場合の $ の範囲はドメイン名に限定されるため、example.com サイト上の特定のパスに対する要求が一致しなくなるわけではありません。
      • 1 台のホストと一致^finance.example.com のように URL の入力を ^ で始めます。 こうすると finance.example.com ホストのみが一致します。games.example.com、quotes.finance.example.com、または example.com は一致しません。
      • 名前が似たホストのグループと一致:他の文字があってもよいことを示すためにアスタリスクを使用します。 たとえば、example.co.* は、www.example.co.us、example.co.uk などを含め、「example.co.」文字列を含む全サーバと一致します。 この場合、サイト名の先頭に他の修飾子があってもよく、また、文字列の最後に(無限の文字列の)他の修飾子があっても許容されます。 このようにアスタリスクを使用する場合は、必要以上に一致することがあるため注意してください。 たとえば、example.co* は example.commercialbank.com と一致します。

      ナビゲーション パス

      • URL オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add URL Object] を選択します。
      • URL オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      ライセンス要件

      このタイプのオブジェクトを使用するには、デバイスに有効な Web Security Essentials ライセンスが必要です。

      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      ユーザ エージェント オブジェクト

      HTTP 要求の作成に使用されたエージェントのタイプ。HTTP パケット ヘッダーのユーザ エージェント フィールドに示されます。 たとえば、ブラウザのタイプ(Internet Explorer、Firefox など)があります。 これらのオブジェクトを使用すると、ネットワークへのアクセスに使用されているデバイスに基づいてポリシーを調整できます。たとえば、認証を要求するアイデンティティ ポリシーから、アクティブ認証のプロンプトに対応できないユーザ エージェントを明示的に除外することができます。

      ユーザ エージェント オブジェクトは、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。


      ヒント


      複数の項目を入力するには、Enter を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、クリックして編集し、Enter を押します。 ボックス内の既存の項目を削除するには、マウスを置いて名前の右側の [X] をクリックするか、クリック後に Delete キーを押して削除し、クリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。


      許可リストとブロック リスト
      許可リストとブロック リストという 2 つのプロパティのリストを設定できます。 ブロック リストは必ず許可リストに関連したものとなり、リストに含まれている項目を除外します。 ブロック リストのスコープは、厳密にオブジェクト内に定められ、同じポリシーで選択される可能性のある他のオブジェクトには適用されません。 次のヒントを考慮してください。
      • 許可リスト内のすべてのプロパティのデフォルトを [Any] にした場合でも、ブロック リストに項目を指定できます。 得られたオブジェクトは、「除外項目を除いたこのオブジェクト タイプのすべて」に適用されます。
      • たとえば、ポリシー オブジェクトを選択して許可リストで特性を指定すると、ブロック リストはこれらの選択に制限されます。 ブロック フィールドが関連付けられるのはブロック リスト内の同じネームドフィールドだけではありません。
      • オブジェクトはブロック フィールド内で定義された項目のコンテナにすぎません。 オブジェクトの許可またはブロックは、含まれているオブジェクトに手動でオブジェクトの内容を入力することと同じです。
      ユーザ エージェント

      ユーザ エージェントのリスト。 入力する文字列は、HTTP パケット ヘッダーのユーザ エージェント フィールドに含まれているどの部分であってもかまいません。 ユーザ エージェント オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのユーザ エージェントも除外されません。

      アスタリスク(*)を、0 個以上の文字と一致するワイルドカード文字として使用できます。 たとえば、Mozilla/* Gecko/* Firefox/ は、あらゆるバージョンの Firefox ブラウザと一致します。

      事前定義システム オブジェクト

      多数の事前定義ユーザ エージェント オブジェクトがあります。 対象となるエージェントはすべて、システム オブジェクトにより網羅されているはずです。 これら既存のオブジェクトを構築ブロックとして使用して、さまざまなタイプのユーザ エージェントに適用される独自のユーザ エージェント オブジェクトを作成できます。

      NTLM Browsers 事前定義オブジェクトは、NTLM 認証要求に対応できるメイン ブラウザを示します。

      ナビゲーション パス

      • ユーザ エージェント オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add User Agent Object] を選択します。
      • ユーザ エージェント オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      アプリケーション オブジェクト

      アプリケーション オブジェクトは、個々のアプリケーションまたはアプリケーション タイプを指定するために使用します。 特定の接続セッションで使用されるポートにかかわらず、トラフィック インスペクションによりアプリケーションを特定できます。 これらのオブジェクトを使用すると、プロトコルとポートに基づく従来のサービス定義の代わりに、セッションで使用されているアプリケーションまたはアプリケーション タイプに基づいてポリシーを調整できます。

      アプリケーション オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。


      ヒント


      複数の項目を入力するには、Enter を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、クリックして編集し、Enter を押します。 ボックス内の既存の項目を削除するには、マウスを置いて名前の右側の [X] をクリックするか、クリック後に Delete キーを押して削除し、クリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。


      許可リストとブロック リスト
      許可リストとブロック リストという 2 つのプロパティのリストを設定できます。 ブロック リストは必ず許可リストに関連したものとなり、リストに含まれている項目を除外します。 ブロック リストのスコープは、厳密にオブジェクト内に定められ、同じポリシーで選択される可能性のある他のオブジェクトには適用されません。 次のヒントを考慮してください。
      • 許可リスト内のすべてのプロパティのデフォルトを [Any] にした場合でも、ブロック リストに項目を指定できます。 得られたオブジェクトは、「除外項目を除いたこのオブジェクト タイプのすべて」に適用されます。
      • たとえば、ポリシー オブジェクトを選択して許可リストで特性を指定すると、ブロック リストはこれらの選択に制限されます。 ブロック フィールドが関連付けられるのはブロック リスト内の同じネームドフィールドだけではありません。
      • オブジェクトはブロック フィールド内で定義された項目のコンテナにすぎません。 オブジェクトの許可またはブロックは、含まれているオブジェクトに手動でオブジェクトの内容を入力することと同じです。
      アプリケーション名

      個々のアプリケーションのリスト。 インスペクタが特定可能なアプリケーションのリストから、目的のアプリケーションを選択します。 対象のアプリケーションがリストされていない場合は、別の名前でリストされていないか探してみてください。 ない場合は、サービス グループ オブジェクトを使用して、従来のプロトコルとポートの指定によりアプリケーションを定義する必要があります。 アプリケーション タイプまたはアプリケーション オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのアプリケーションも除外されません。

      アプリケーション タイプ

      アプリケーション タイプのリスト。 アプリケーション タイプのリストから、目的のタイプをすべて選択します。

      アプリケーション タイプを許可または除外するということは、そのタイプに属するすべてのアプリケーションを許可または除外することになります。 アプリケーションまたはアプリケーション オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのタイプも除外されません。

      ナビゲーション パス

      • アプリケーション オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add Application Object] を選択します。
      • アプリケーション オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      ライセンス要件

      このタイプのオブジェクトを使用するには、デバイスに有効な Application Visibility and Control ライセンスが必要です。

      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      セキュア モビリティ オブジェクト

      セキュア モビリティ オブジェクトは、リモート アクセス VPN 接続の作成に使用されたクライアントのタイプを指定するために使用します。クライアントのタイプは、AnyConnect Secure Mobility アプリケーションからレポートされます。 これらのオブジェクトを使用すると、リモート アクセス VPN 接続を経由したネットワーク アクセスに使用されているデバイスに基づいてポリシーを調整できます。

      セキュア モビリティ オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。


      ヒント


      複数の項目を入力するには、Enter を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、クリックして編集し、Enter を押します。 ボックス内の既存の項目を削除するには、マウスを置いて名前の右側の [X] をクリックするか、クリック後に Delete キーを押して削除し、クリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。


      許可リストとブロック リスト
      許可リストとブロック リストという 2 つのプロパティのリストを設定できます。 ブロック リストは必ず許可リストに関連したものとなり、リストに含まれている項目を除外します。 ブロック リストのスコープは、厳密にオブジェクト内に定められ、同じポリシーで選択される可能性のある他のオブジェクトには適用されません。 次のヒントを考慮してください。
      • 許可リスト内のすべてのプロパティのデフォルトを [Any] にした場合でも、ブロック リストに項目を指定できます。 得られたオブジェクトは、「除外項目を除いたこのオブジェクト タイプのすべて」に適用されます。
      • たとえば、ポリシー オブジェクトを選択して許可リストで特性を指定すると、ブロック リストはこれらの選択に制限されます。 ブロック フィールドが関連付けられるのはブロック リスト内の同じネームドフィールドだけではありません。
      • オブジェクトはブロック フィールド内で定義された項目のコンテナにすぎません。 オブジェクトの許可またはブロックは、含まれているオブジェクトに手動でオブジェクトの内容を入力することと同じです。
      デバイス タイプ

      デバイスで実行されているオペレーティング システム(OS)に基づくデバイス タイプのリスト。 リストからタイプを選択します。 セキュア モビリティ オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのデバイス タイプも除外されません。

      事前定義システム オブジェクト

      [All Remote Devices] という名前の事前定義システム オブジェクトがあります。 このオブジェクトは、リモート アクセス VPN 接続で使用されているあらゆるデバイスに一致します。

      ナビゲーション パス

      • セキュア モビリティ オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add Secure Mobility Object] を選択します。
      • セキュア モビリティ オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      アプリケーション サービス オブジェクト

      アプリケーション サービス オブジェクトは、サービス グループ(従来のプロトコルとポートの指定)、アプリケーション名、アプリケーション タイプ、またはアプリケーション オブジェクトの組み合わせに基づいてアプリケーションを定義するために使用します。 OR 結合された複数の組み合わせを作成することにより、単一のアプリケーション サービス オブジェクトで正確なトラフィック パターンを定義できます。

      アプリケーション サービス オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。


      ヒント


      複数の項目を入力するには、Enter を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、クリックして編集し、Enter を押します。 ボックス内の既存の項目を削除するには、マウスを置いて名前の右側の [X] をクリックするか、クリック後に Delete キーを押して削除し、クリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。


      AND 結合された条件から成る行を複数 OR 結合したもの

      トラフィック一致条件の行を 1 行以上作成できます。 行を追加するには、[Add Another Entry] リンクをクリックします。 行を削除するには、行の [Delete Entry] リンクをクリックします。

      一致基準は、次のように評価されます。
      • 1 つのフィールドに含まれている複数の項目は OR 結合されます。 たとえば、2 つのサービス グループを指定している場合、トラフィックはオブジェクト 1 またはオブジェクト 2 に一致する必要があります。 トラフィックが、フィールドに含まれる全オブジェクトと一致する必要はありません(ただし、一致してもかまいません)。
      • 1 行に含まれている複数のフィールドは AND 結合されます。 たとえば、1 行にサービス グループ 1 つとアプリケーション オブジェクトを 1 つ指定している場合、トラフィックは、そのサービス グループに一致しなければならず、また、そのアプリケーション オブジェクトにも一致しないと、行が一致したとは見なされません。
      • 複数の行は OR 結合されます。 たとえば、条件を独立した 2 行で指定している場合、トラフィックは行 1 または行 2 と一致する必要があります。 トラフィックがすべての行と一致する必要はありません(ただし、一致してもかまいません)。 少なくとも 1 行が一致すれば、そのトラフィック フローはオブジェクトに一致することになります。
      サービス オブジェクト

      行のトラフィック一致定義のサービス グループ オブジェクト(ある場合)。 サービス グループは、トラフィック フローのプロトコルとポート、または ICMP メッセージ タイプを指定したものです。


      (注)  


      マルチ デバイス モード)。PRSMマルチ デバイス モード で使用する際には、ASA で定義されているサービス オブジェクトも使用できます。 サービス グループ オブジェクトは ASA と CX デバイスの両方で使用できます。


      アプリケーション オブジェクト、アプリケーション タイプ、またはアプリケーション名

      行のトラフィック一致定義のアプリケーション オブジェクト、アプリケーション タイプ、またはアプリケーション名(ある場合)。 ドロップダウン矢印からタイプを選択すると、リストを事前にフィルタリングし、あるタイプの項目のみにできます。

      ナビゲーション パス

      • アプリケーション サービス オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add Application Service Object] を選択します。
      • アプリケーション サービス オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      ライセンス要件

      このタイプのオブジェクトを使用するには、デバイスに有効な Application Visibility and Control ライセンスが必要です。

      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      宛先オブジェクト グループ

      宛先オブジェクト グループは、ポリシーの宛先フィールドに指定可能なオブジェクトを使用して、宛先に関する複雑なトラフィック一致基準を定義するときに使用します。 AND 結合されたネットワーク グループと URL オブジェクトの定義を作成することにより、全オブジェクトの条件が満たされないとトラフィックがポリシーに一致しないようにすることができます。 OR 結合された複数の組み合わせを作成することにより、単一の宛先オブジェクトで正確なトラフィック宛先パターンを定義できます。

      宛先オブジェクト グループには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。


      ヒント


      複数の項目を入力するには、Enter を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、クリックして編集し、Enter を押します。 ボックス内の既存の項目を削除するには、マウスを置いて名前の右側の [X] をクリックするか、クリック後に Delete キーを押して削除し、クリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。


      AND 結合された条件から成る行を複数 OR 結合したもの

      トラフィック一致条件の行を 1 行以上作成できます。 行を追加するには、[Add Another Entry] リンクをクリックします。 行を削除するには、行の [Delete Entry] リンクをクリックします。

      一致基準は、次のように評価されます。
      • 1 つのフィールドに含まれている複数の項目は OR 結合されます。 たとえば、2 つのネットワーク グループを指定している場合、トラフィックはオブジェクト 1 またはオブジェクト 2 に一致する必要があります。 トラフィックが、フィールドに含まれる全オブジェクトと一致する必要はありません(ただし、一致してもかまいません)。
      • 1 行に含まれている複数のフィールドは AND 結合されます。 たとえば、1 行にネットワーク グループ 1 つと URL オブジェクトを 1 つ指定している場合、トラフィックは、そのネットワーク グループに一致しなければならず、また、その URL オブジェクトにも一致しないと、行が一致したとは見なされません。
      • 複数の行は OR 結合されます。 たとえば、条件を独立した 2 行で指定している場合、トラフィックは行 1 または行 2 と一致する必要があります。 トラフィックがすべての行と一致する必要はありません(ただし、一致してもかまいません)。 少なくとも 1 行が一致すれば、そのトラフィック フローはオブジェクトに一致することになります。
      ネットワーク オブジェクト

      行のトラフィック一致定義のネットワーク グループ(ある場合)。 ネットワーク グループとは、トラフィック フローに関連付けられている IP アドレスを指定するものです。


      (注)  


      マルチ デバイス モード)。PRSMマルチ デバイス モード で使用する際には、CX デバイスを含むデバイスで定義されているネットワーク オブジェクトまたはグループを使用することもできます。 ネットワーク グループ オブジェクトには 2 つのタイプがあります。1 つは ASA と CX デバイスの両方で使用できます。もう 1 つは CX デバイスでのみ使用でき、特に ASA CX ネットワーク グループと呼ばれます。


      URL オブジェクト

      行のトラフィック一致定義の URL オブジェクト(ある場合)。 URL オブジェクトとは、HTTP 要求でターゲットとされている URL または URL カテゴリを指定するものです。

      ナビゲーション パス

      • 宛先オブジェクト グループを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add Destination Object Group] を選択します。
      • 宛先オブジェクト グループを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      ライセンス要件

      このタイプのオブジェクトに URL オブジェクトを含めるには、デバイスに有効な Web Security Essentials ライセンスが必要です。

      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      送信元オブジェクト グループ

      送信元オブジェクト グループは、ポリシーの送信元フィールドに指定可能なオブジェクトを使用して、送信元に関する複雑なトラフィック一致基準を定義するときに使用します。 AND 結合されたオブジェクトの定義を作成することにより、全オブジェクトの条件が満たされないとトラフィックがポリシーに一致しないようにすることができます(このような関係をアクセス ポリシー内に直接作成することはできません)。 OR 結合された複数の組み合わせを作成することにより、単一の送信元オブジェクト グループで正確なトラフィック送信元パターンを定義できます。

      送信元オブジェクト グループには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。


      ヒント


      複数の項目を入力するには、Enter を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、クリックして編集し、Enter を押します。 ボックス内の既存の項目を削除するには、マウスを置いて名前の右側の [X] をクリックするか、クリック後に Delete キーを押して削除し、クリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。


      AND 結合された条件から成る行を複数 OR 結合したもの

      トラフィック一致条件の行を 1 行以上作成できます。 行を追加するには、[Add Another Entry] リンクをクリックします。 行を削除するには、行の [Delete Entry] リンクをクリックします。

      一致基準は、次のように評価されます。
      • 1 つのフィールドに含まれている複数の項目は OR 結合されます。 たとえば、2 つのネットワーク グループを指定している場合、トラフィックはオブジェクト 1 またはオブジェクト 2 に一致する必要があります。 トラフィックが、フィールドに含まれる全オブジェクトと一致する必要はありません(ただし、一致してもかまいません)。
      • 1 行に含まれている複数のフィールドは AND 結合されます。 たとえば、1 行にネットワーク グループ 1 つとユーザ エージェント オブジェクトを 1 つ指定している場合、トラフィックは、そのネットワーク グループに一致しなければならず、また、そのユーザ エージェント オブジェクトにも一致していないと、行が一致したとは見なされません。 4 つのすべてのフィールドでオブジェクトを選択した場合、トラフィック フローは、フィールドごとに、指定されているオブジェクトの少なくとも 1 つと一致する必要があります。
      • 複数の行は OR 結合されます。 たとえば、条件を独立した 2 行で指定している場合、トラフィックは行 1 または行 2 と一致する必要があります。 トラフィックがすべての行と一致する必要はありません(ただし、一致してもかまいません)。 少なくとも 1 行が一致すれば、そのトラフィック フローはオブジェクトに一致することになります。
      ネットワーク オブジェクト

      行のトラフィック一致定義のネットワーク グループ(ある場合)。 ネットワーク オブジェクトとは、トラフィック フローに関連付けられている IP アドレスを指定するものです。


      (注)  


      マルチ デバイス モード)。PRSMマルチ デバイス モード で使用する際には、CX デバイスを含むデバイスで定義されているネットワーク オブジェクトまたはグループを使用することもできます。 ネットワーク グループ オブジェクトには 2 つのタイプがあります。1 つは ASA と CX デバイスの両方で使用できます。もう 1 つは CX デバイスでのみ使用でき、特に ASA CX ネットワーク グループと呼ばれます。


      アイデンティティ オブジェクト

      行のトラフィック一致定義のアイデンティティ オブジェクト(ある場合)。 アイデンティティ オブジェクトとは、トラフィック フローに関連付けられているユーザ名、またはユーザが属するユーザ グループを指定するものです。

      ユーザ エージェント オブジェクト

      行のトラフィック一致定義のユーザ エージェント オブジェクト(ある場合)。 ユーザ エージェント オブジェクトとは、ブラウザなどの、HTTP 要求の作成に使用されたエージェントを定義するものです。

      セキュア モビリティ オブジェクト

      行のトラフィック一致定義のセキュア モビリティ オブジェクト(ある場合)。 セキュア モビリティ オブジェクトとは、AnyConnect Secure Mobility アプリケーションを使用してリモート アクセス VPN 接続を作成したときに使用されたクライアントのタイプを指定するものです。

      ナビゲーション パス

      • 送信元オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add Source Object Group] を選択します。
      • 送信元オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      ファイル フィルタリング プロファイル オブジェクト

      ファイル フィルタリング プロファイル オブジェクトは、ブロックする必要があるファイル アップロードまたはダウンロードのタイプを指定するために使用します。 ネットワーク アクセスを許可するアクセス ポリシーで、このプロファイルを使用して、ファイル転送のアクセプタブル ユース ポリシーを実施することができます。 たとえば、ダウンロードはすべて許可するものの、アップロードはすべて禁止することで、企業内のファイルがネットワークの外に転送されないようにすることができます。

      アクセス ルールにファイル フィルタリング プロファイルを指定しなかった場合は、すべてのファイルのアップロードおよびダウンロードが許可されます。

      ファイル フィルタリング プロファイル オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。


      ヒント


      複数の項目を入力するには、Enter を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、クリックして編集し、Enter を押します。 ボックス内の既存の項目を削除するには、マウスを置いて名前の右側の [X] をクリックするか、クリック後に Delete キーを押して削除し、クリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。


      Block file downloads

      ユーザに宛先サイトからダウンロードさせないようにする必要があるファイルの MIME タイプ(Multipurpose Internet Mail Extensions、または一般的にインターネット メディア タイプ)。 アスタリスク(*)を、0 個以上の文字を示すワイルドカードとして使用できます。*/* はすべてのファイルを指します。 ドロップダウン リストではメイン タイプが使用可能ですが、application/javascript のようなサブタイプを指定することもできます。 デフォルトでは、すべてのファイル ダウンロードが許可されます。

      Block file uploads

      ユーザに宛先サイトにアップロードさせないようにする必要があるファイルの MIME タイプ。 アスタリスク(*)を、0 個以上の文字を示すワイルドカードとして使用できます。*/* はすべてのファイルを指します。 ドロップダウン リストではメイン タイプが使用可能ですが、application/javascript のようなサブタイプを指定することもできます。 デフォルトでは、すべてのファイル アップロードが許可されます。

      MIME タイプについて

      MIME タイプはメディア タイプとも呼ばれ、現在扱っているファイルのタイプを示すもので、Content Type ヘッダーに示されます。 多数の MIME タイプがあります。それぞれのタイプの詳細については、各タイプが登録されている Wikipedia や IANA などの情報サイトで調べることができます(公式のタイプについては、http:/​/​www.iana.org/​assignments/​media-types/​index.html を参照してください)。 MIME タイプの目的は、ASCII 以外のファイルを判別して、電子メール クライアントやブラウザなどのファイルを扱うアプリケーションが、ファイルを開くために使用すべきアプリケーションを特定できるようにすることです。

      このオブジェクトに MIME タイプを指定する場合、1 つの MIME タイプ全体をターゲットにすることも、特定のタイプ/サブタイプをターゲットにすることもできます。 メイン タイプは次のとおりです。
      • application/*:他のカテゴリに当てはまらない独立したデータ。一般的には特定のタイプのアプリケーション プログラムで処理されないと、表示または使用できないデータ。 この application カテゴリには、コンピュータ関連の言語が含まれるため、転送されたコードがマルウェアだった場合、潜在的なセキュリティ ホールが開く可能性があります。 例としては、application/pdf(Adobe Acrobat ファイル)、application/javascript、application/postscript などがあります。 特定のベンダー用に多数の vnd.* サブタイプがあります。
      • audio/*:音声ファイル。audio/mp4 や audio/mpeg など。 ファイルに動画が含まれている場合、タイプは audio ではなく video になります。
      • image/*:画像またはグラフィック ファイル。image/gif や image/jpeg など。
      • message/*:カプセル化されたメール メッセージ。message/http や message/sip など。
      • multipart/*:複数のオブジェクトで構成されたアーカイブまたは他のファイル。multipart/mixed など。
      • model/*:3D モデル ファイル。model/vrml や model/x3d+binary など。
      • text/*:プレーン テキストおよびリッチ テキストを含むテキスト ファイル。text/csv(カンマ区切り値)、text/html、text/rtf など。
      • video/*:ビデオ ファイル。video/mp4 や video/mpeg など。 このメディア タイプには、同期された音声を含めることができます。 たとえば、動画と音を含む一般的な MPEG ビデオ ファイルは、video/mpeg ファイルになります。

      ナビゲーション パス

      • ファイル フィルタリング プロファイル オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add File Filtering Profile] を選択します。
      • ファイル フィルタリング プロファイル オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      Web レピュテーション プロファイル オブジェクト

      Web レピュテーション プロファイル オブジェクトは、低レピュテーション ゾーンを定義して、そのゾーンにレピュテーションが該当した Web トラフィックに対して特殊な処理を適用するために使用します。

      Cisco Threat Operations Center は、動的な更新と、ASA、IPS、電子メール セキュリティ アプライアンス、Web セキュリティ アプライアンス、およびシステム管理者から取得したアクション可能な知識を使用して、Web サイトの Web レピュテーション スコアを計算します。 Web レピュテーションは、コンテキストおよび過去の動作に基づいた統計的な評価で、重要度が異なる多くの要素を組み合わせて 1 つの関連付けられたメトリックにするものです。 個人の信用スコアと同様に、Web レピュテーションは、-10 ~ 10 の段階的なスケールに沿った連続値です。 低レピュテーション ゾーンを定義することで、ユーザにマルウェアを提供する可能性が高い、低レピュテーション サイトに対して予防的なゼロデイ保護を実装できます。

      Web レピュテーション プロファイル オブジェクトは、次のタイプのポリシーで使用できます。
      • トラフィックを許可するアクセス ポリシー。 Web レピュテーション プロファイルを追加することで、一致するトラフィックは全般的に許可され、低レピュテーション サイトからのトラフィックはすべてドロップされます。 [Allow] アクションがあるアクセス ポリシーの一部またはすべてにプロファイルを適用できます。
      • アクションが [Decrypt Potentially Malicious Traffic] の復号化ポリシー。 Web レピュテーション プロファイルを追加することで、ポリシーと一致する低レピュテーション サイトが復号化され、アクセス ポリシーによってトラフィックの内容が認識されます。 その後、設定に従って、アクセス ポリシーでトラフィックをドロップできます。 トラフィックをドロップする、一致するアクセス ポリシーがなくても、低レピュテーション トラフィックを復号化することで、復号化されていない TLS/SSL トラフィック フローでは利用できなかったデータがダッシュボードに提供されます。

      Web レピュテーションの許可ゾーンおよび拒否ゾーンを設定するには、スライダを目的の位置まで移動します。スライダの左側のレピュテーションはすべて低レピュテーション ゾーンとなり、右側はすべて高レピュテーションと見なされるため、特殊な処理を受けません。 レピュテーション分析は、Web ページ上のすべての要素に個別に適用されるため、一部の要素がブロックされたページが表示される可能性があることに注意してください。たとえば、低レピュテーション ゾーンに該当するレピュテーションを持つサイトから提供された広告が、ブロックされた状態でページが表示される可能性があります。

      以下は、スコアの一般的なガイドラインです。
      • -10 ~ -6:レピュテーションが最も低いゾーンのサイトは、継続的にキー ロガー、ルートキット、およびその他のマルウェアを配布する専用サイト、またはハイジャックされたサイトです。 フィッシング サイト、ボット、ドライブバイ インストーラも含まれます。 このレピュテーション範囲のサイトは、ほぼ確実に悪意のあるサイトです。 事前定義されている Web レピュテーション プロファイルの Default Reputation Profile で、このゾーンは低レピュテーション ゾーンとして定義されています。
      • -6 ~ -3:このゾーンのサイトは、攻撃的な広告シンジケートおよびユーザ トラッキング ネットワークの可能性があります。 これらのサイトは、悪意がある疑いがありますが、確実ではありません。
      • -3 ~ 3:このゾーンのサイトは、管理された信頼できるコンテンツ シンジケート ネットワークおよびユーザが生成したコンテンツ サイトの可能性があります。
      • 0 ~ 5:このゾーンのサイトは、信頼できる動作の歴史がある、または第三者の検証を受けたサイトです。
      • 5 ~ 10:このゾーンのサイトは、信頼できる動作の長い歴史があり、トラフィック量が多く、広くアクセスされているサイトです。

      ヒント


      サイトのレピュテーションを確認するには、http:/​/​www.senderbase.org/​senderbase_queries/​rep_​lookup にあるツールを使用できます。


      多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

      事前定義 Web レピュテーション オブジェクト

      [Default Reputation Profile] 事前定義オブジェクトを使用すると、推奨される低レピュテーション ゾーンが実装されます。

      ナビゲーション パス

      • Web レピュテーション プロファイル オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add Web Reputation Profile] を選択します。
      • Web レピュテーション プロファイル オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      ライセンス要件

      このタイプのオブジェクトを使用するには、デバイスに有効な Web Security Essentials ライセンスが必要です。

      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX