ASA CX および Cisco Prime Security Manager 9.2 ユーザ ガイド
ポリシー オブジェクトの管理
ポリシー オブジェクトの管理
発行日;2014/01/06   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

ポリシー オブジェクトの管理

ポリシー オブジェクトは、ポリシー内で使用する基準を定義した再利用可能なコンテナです。 ここでは、ポリシー オブジェクトについてより詳細に説明します。

Policy Objects

ポリシー オブジェクトは、ポリシー内で使用する基準を定義した再利用可能なコンテナです。 一部のオブジェクトは、トラフィック一致基準を定義します。たとえば、ネットワーク グループは、アクセスを制御したりアイデンティティ ポリシーを定義したりするホストまたはネットワークを指定できます。 プロファイルを定義するオブジェクトもあります。これは、一致したトラフィックに対して特定のタイプのサービスを適用します。

ポリシー オブジェクトでは提案基準を定義することができ、同じ基準を異なるポリシーで簡単に再利用できるようになります。 ポリシー オブジェクトを更新すると、そのオブジェクトを使用するすべてのポリシーが自動的に更新されます。

CX ポリシーでは、ポリシー オブジェクトを使用する必要があります。ポリシーにはトラフィック照合設定またはプロファイル設定を直接入力できません。 [Policy Objects] ページでは、独立してオブジェクトを作成できるという柔軟性があります。また、ポリシーの設定中にオブジェクトを作成することもできます。

オブジェクトの作成、編集、削除、表示を行う [Policy Objects] ページを開くには、[Components] > [Objects] を選択します。[Policy Objects] ページでは、独立してオブジェクトを作成できるという柔軟性があります。また、ポリシーの設定中にオブジェクトを作成することもできます。

[Policy Objects] ページには、次の項目が含まれています。

I want to

このリストには、次のコマンドが含まれています。

  • [Add Object Type]:このタイプの新しいオブジェクトを作成します。 使用可能なオブジェクトの概要については、ポリシー オブジェクト タイプ を参照してください。
  • [Import External Objects]:(マルチ デバイス モードのみ)。ネットワーク管理アプリケーションからエクスポートされたオブジェクトをインポートします。 サポートされるアプリケーションおよびオブジェクト タイプのリストについては、リリース ノートを参照してください。
ポリシー オブジェクトのリスト

すべてのポリシー オブジェクトが単一のリストに表示されます。

オブジェクトごとに、オブジェクト名、オブジェクトの内容の要約が表示され、右側には、オブジェクト タイプと、そのオブジェクトが使用されているポリシーとオブジェクトの要約(ある場合)が表示されます。 [Pending Commit] バナーが右側に表示されている場合、オブジェクトはまだデバイス データベースにコミットされていません。

オブジェクトに関連するコマンドを表示するには、そのオブジェクトの上にマウスを置きます。オブジェクトの行の下に次のコマンドが現れます。

  • [Delete Object]:オブジェクトを削除します。 ポリシーまたは別のオブジェクトで現在使用中のオブジェクトを削除することはできません。また、システムにより作成されたオブジェクト(事前定義システム オブジェクト)も削除できません。
  • [Edit Object]:オブジェクトを編集します。
  • [View Object]:(事前定義システム オブジェクトのみ)オブジェクトの内容を表示します。

ここでは、オブジェクト管理についてより詳細に説明します。

ポリシー オブジェクト タイプ

ポリシー オブジェクトを次のタイプに分割できます。

  • CX ポリシーだけで使用できるもの。
  • ASA と CX の両方のポリシーで使用でき、シングル デバイス モードマルチ デバイス モードの両方で使用可能なもの。
  • ASA と CX の両方のポリシーで使用できるが、マルチ デバイス モードのみで使用可能なもの。 これらのオブジェクトは、一般的に ASA に特有です。CX ポリシーで使用できる機能は便宜です。
  • ASA ポリシーだけで使用できるもの。 これらのオブジェクトはマルチ デバイス モードでのみ使用可能です。

次のリストでは、作成できるオブジェクトの概要を説明します。 詳細については、参照トピックを参照してください。


(注)  


CX オブジェクトのアベイラビリティは、CX プラットフォームおよび購入した機能ライセンスによって異なります。 これらのリストは全部を含みます。プラットフォームまたはライセンスによってすべてのオブジェクト タイプをサポートしていない場合があります。


CX-only ポリシー オブジェクト

次のオブジェクトは CX ポリシーだけで使用できます。

  • [CX Network Group]:ホストとネットワークを識別する IP アドレス。
  • [CX Identity Object]:ユーザ名およびユーザ グループ名を含む、ユーザのアイデンティティ。
  • [URL Object]:Web ドメインまたはサーバ(example.com、www.example.com など)の Web URL リソース(HTTP または HTTPS のみ。http://example.com/games など)、および Web(URL)カテゴリ。
  • [User Agent Object]:HTTP 要求の作成に使用されたエージェントのタイプ。HTTP パケット ヘッダーのユーザ エージェント フィールドに示されます。 たとえば、ブラウザのタイプ(Internet Explorer、Firefox など)があります。
  • [Application Object]:アプリケーションまたはアプリケーション タイプ。特定の接続セッションで使用されるポートにかかわらず特定できます。
  • [Secure Mobility Object]:AnyConnect Secure Mobility のリモート アクセス VPN 接続で使用されているクライアントのプラットフォーム(オペレーティング システム)。これは、ネットワークに接続しているデバイスのタイプを示します。
  • [Application Service]:サービス グループ オブジェクト(従来のプロトコルおよびポート仕様)、アプリケーション名、アプリケーション タイプ、またはアプリケーション オブジェクトの組み合わせに基づいてアプリケーションを定義します。 OR 結合された複数の組み合わせを作成することにより、単一のアプリケーション サービス オブジェクトで正確なトラフィック パターンを定義できます。
  • [Destination Object Group]:ポリシーの宛先フィールドに指定可能なオブジェクトを使用して、宛先に関する複雑なトラフィック一致基準を定義します。 AND 結合されたネットワーク グループと URL オブジェクトの定義を作成することにより、全オブジェクトの条件が満たされないとトラフィックがポリシーに一致しないようにすることができます。 OR 結合された複数の組み合わせを作成することにより、単一の宛先オブジェクト グループで正確なトラフィック宛先パターンを定義できます。
  • [Source Object Group]:ポリシーの送信元フィールドに指定可能なオブジェクトを使用して、送信元に関する複雑なトラフィック一致基準を定義します。 AND 結合されたネットワーク グループ、アイデンティティ、ユーザ エージェント、およびセキュア モビリティ オブジェクトの定義を作成することにより、全オブジェクトの条件が満たされないとトラフィックがポリシーに一致しないようにすることができます(このような関係をアクセス ポリシー内に直接作成することはできません)。 OR 結合された複数の組み合わせを作成することにより、単一の送信元オブジェクト グループで正確なトラフィック送信元パターンを定義できます。
  • [File Filtering Profile]:アップロードまたはダウンロードをユーザに許可するファイルのタイプを制御するアクション プロファイル。
  • [Web Reputation Profile]:その他の点では許可された Web ページについて、Web サイトのパブリック レピュテーションに基づき、ユーザに返せる部分を制御するアクション プロファイル。
  • [NG IPS Profile]:その他の点では許可されたトラフィックをドロップできるNext Generation IPSフィルタリングを適用するアクション プロファイル。

ASA と CX のポリシー オブジェクト(シングル デバイス モードマルチ デバイス モード

次のオブジェクトは ASA と CX の両方のポリシーで使用でき、すべての動作モードで使用できます。

  • [Interface Role]:デバイスのインターフェイスを識別する名前パターンのグループ。
  • [Service Group]:プロトコルとポートの定義。たとえば、ポート 80 の TCP トラフィックの場合は TCP/80。

ASA と CX のポリシー オブジェクト(マルチ デバイス モードのみ)

次のオブジェクトは、ASA と CX の両方のポリシーに使用できます。 これらのオブジェクトは、マルチ デバイス モードでのみ使用可能です。ただし、これらのオブジェクトを CX ポリシーで使用し、CXシングル デバイス モード に戻した場合、これらのオブジェクトはデバイスで使用可能で、そこで編集および削除できますが、新しいオブジェクトは作成できません。

  • [Network object group]:ホストおよびネットワークを識別する 1 以上の IP アドレス。 他のオブジェクトも参照できます。
  • [Network]:ホスト、ネットワーク、またはアドレスの範囲を定義する単一値。 値は、アドレスでも、完全修飾ドメイン名(FQDN)でもかまいません。 これらのオブジェクトでオブジェクト NAT を定義できます。
  • [Service]:プロトコルまたはプロトコル/ポートなど、サービスを定義する単一値。

ASA-only ポリシー オブジェクト(マルチ デバイス モードのみ)

次のオブジェクトは ASA ポリシーだけで使用できます。

  • [ASA Identity Object]:アイデンティティ ベースのファイアウォール ルールで使用するユーザ名またはグループ名を定義します。
  • [Time range]:ポリシーの有効期間を制限するか、またはポリシーが有効な時刻と曜日を定義する時間範囲を定義します。

ポリシー オブジェクトの設定

ポリシー オブジェクトは、[Policy Objects] ページから直接設定することも、ポリシーを設定するときに設定することもできます。 どちらの方式でも同じ結果となり、新規または更新されたオブジェクトが作成されるので、その時点で適した方法を使用します。


(注)  


事前定義システム オブジェクトの内容は、表示可能ですが編集できません。


手順
    ステップ 1   オブジェクトを作成または編集するためのフォームを開くには、次のいずれかを実行します。
    • オブジェクトを直接作成するには、[Components] > [Objects] を選択し、[I want to] > [Add Object Type] を選択します。

    • オブジェクトを直接編集するには、[Components] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

    • ポリシーを作成または編集中にオブジェクトを作成するには、オブジェクトを追加するフィールドをクリックし、ドロップダウン リストの下部にある [Create New Object] を選択します。 フィールドに複数のオブジェクト タイプを入力した場合は、オブジェクトのプロパティを入力する前に、[Object Type] フィールドでタイプを選択します。

    • ポリシーを編集中にオブジェクトを編集するには、オブジェクトの詳細フォームを開く必要があります。詳細フォームの [Edit Object] ボタンをクリックすると、オブジェクトの定義を編集できます。
      • オブジェクトがポリシーですでに指定されている場合は、オブジェクト名をクリックします。
      • オブジェクトが指定されていない場合は、オブジェクトを追加するフィールドの空白部分をクリックして使用可能なオブジェクトのリストを開き、そのリストで該当するオブジェクトを見つけ、オブジェクト横の [View Details] リンクをクリックしてください。
    ステップ 2   オブジェクト タイプに基づいてさまざまなオブジェクトのプロパティを入力します。 オブジェクト タイプの詳細については、リファレンス トピックを参照してください。

    少なくとも、オブジェクトの名前を入力します。 名前は、選択したタイプのオブジェクト間だけではなく、すべてのタイプのオブジェクト間で固有のものにする必要があります。 既存のオブジェクトの名前を変更すると、そのオブジェクトを参照しているすべてのポリシー オブジェクトまたはポリシーでもオブジェクト名が変更されます。

    オブジェクトに許可リストとブロック リストの両方が含まれている場合、ブロック リストは許可リストの内容だけに関連したものとなり、許可リストの基準と一致する項目が除外対象となります。 許可リストの一般的なデフォルト値は Any で、許可プロパティに何も指定しない場合にだけ使用されます。 いずれかの許可プロパティに何らかの項目を指定すると、その他のプロパティのデフォルトは削除され、明示的に値を入力しない限り、そのプロパティは無視されます。

    ヒント   

    オブジェクトに複数の値を入力できます。これらの値は明示的に AND が指定されない限り、OR 関係と判断されます。 したがって、指定された項目のいずれかにトラフィックが一致すれば、そのトラフィックはオブジェクトと一致することになります。 一般的に、オブジェクトには値を入力したり、他の既存オブジェクトをネストできるフィールドが複数あります。 たとえば、URL オブジェクトで、特定の URL、Web カテゴリおよび他の URL のオブジェクトの組み合わせを入力できます。 空白のままのフィールドは無視されます。

    ステップ 3   変更を保存するには、[Save Object] をクリックします。

    デバイスのオブジェクトの内容のカスタマイズ

    マルチ デバイス モードのみ)。単一オブジェクトで異なるデバイスに対して異なる値を定義するために、オブジェクトのオーバーライドを作成できます。

    そのため、ほとんどのデバイスに定義を適用できるオブジェクトを作成し、若干異なる定義を必要とする少数のデバイスについてオブジェクトを変更することが可能です。 オブジェクト オーバーライドでは、デバイス全体で使用する共有ポリシーの小さなセットを作成し、個々のデバイスに対して必要に応じてポリシーを変更することが可能です。

    たとえば、各サイトごとにより制限的なアクセス要件を管理ネットワークに適用する場合があります。 このネットワークのネットワーク アドレスがサイトによって異なる場合、管理ネットワークと呼ばれる単一のネットワーク オブジェクトを作成し、デバイスごとにオーバーライドを作成してローカル管理ネットワーク アドレスを指定します。 つまり、各サイトの管理ネットワークに同じサービスを提供する単一のオブジェクトおよび単一のポリシーを作成できます。

    デバイスは、すべてのオブジェクトをカスタマイズできるわけではありません。 オブジェクトで [Overrides] セクションが表示されない場合、デバイスごとに異なる値を定義するには、個別のオブジェクトとポリシーを作成する必要があります。

    手順
      ステップ 1   [Components] > [Objects] を選択します。
      ステップ 2   オブジェクトの上にマウスを置き、[Edit Object] をクリックします。

      新しいオブジェクトを作成するときに、オーバーライドを定義することもできます。

      ステップ 3   [Overrides] セクションで、次のいずれかを実行します。
      • オーバーライドを追加するには、[Add +] ボタンをクリックし、オーバーライドを定義するデバイスを選択して、目的の値を入力します。
      • 既存のオーバーライドを編集するには、リストで開き、変更を加えます
      • オーバーライドを削除するには、オーバーライドの右にあるゴミ箱アイコンをクリックします。
      ステップ 4   [Save Object] をクリックします。

      オブジェクトのインポート

      マルチ デバイス モードのみ)。サポートされるネットワーク管理アプリケーションからエクスポートする特定のタイプのオブジェクトをインポートできます。 サポートされている特定のアプリケーションおよびオブジェクト タイプについては、http:/​/​www.cisco.com/​en/​US/​products/​ps12521/​prod_​release_​notes_​list.html のリリース ノートを参照してください。

      インポートしたオブジェクトによってコンフィギュレーション データベースの既存のオブジェクトがオブジェクト名だけに基づいて更新されるかどうかは、次の複雑な要因によって異なります。
      • 同じ名前のオブジェクトがデータベースに存在しない場合、オブジェクトがインポートされます。 内部的には、オブジェクトはインポートしたオブジェクトとしてマークされます。
      • 同じ名前のオブジェクトがデータベースに存在し、そのオブジェクトがインポートしたオブジェクトとしてまだマークされている場合、オブジェクトの定義がインポートされた定義に置き換えられます。 そのため、他のアプリケーションのオブジェクトを更新し、PRSM にエクスポートすると、オブジェクトの PRSM バージョンを更新して他のアプリケーションの定義と揃えることができます。
      • 同じ名前のオブジェクトがデータベースに存在するが、PRSM でそのオブジェクトを編集している場合、インポートしたオブジェクトは既存のオブジェクトと競合すると見なされます。 インポートしたオブジェクトにサフィックスを追加するように求められるか、またはサポートされている場合、デバイスレベルのオーバーライドを作成するように求められます。PRSM データベースのオブジェクトは変更されません。
      • インポートされたオブジェクトに、定義されたデバイス レベルのオーバーライドがある場合、これらのオーバーライドは PRSM で保持されません。 代わりに、オーバーライドごとに一意のオブジェクトが作成されます。

      この動作を次の表に要約します。

      インポートしたオブジェクトの名前が PRSM にある

      オブジェクトを PRSM で編集した

      アクション

      No

      該当なし

      オブジェクトがインポートされます。

      Yes

      No

      PRSM オブジェクトは、インポートしたオブジェクトの内容で更新されます。

      Yes

      Yes

      インポートされたオブジェクトの名前にサフィックスを追加するように求められます。 PRSM オブジェクトは変更されません。

      はじめる前に

      サポートされるアプリケーションの機能を使用してオブジェクトをエクスポートします。

      Cisco Security Manager では、オブジェクト タイプの列を含むをオプションをイネーブルにする必要があります(-g true)。 サービス オブジェクトの場合、PRSM はポート リストをサポートしていないため、ポート リスト オブジェクトをそのコンテンツに対してフラット化するオプションも含む必要があります(-e true)。 たとえば、次のコマンドを使用して、サービス オブジェクトをエクスポートできます(完全で最新の使用方法に関する情報については、CSM のユーザ ガイドを参照してください)。

      C:\CSCOpx\bin> perl PolicyObjectImportExport.pl -u admin –p admin -o export 
      -t Service –e true –g true -f  C:\csmServices.csv
      
      

      オブジェクトをエクスポートしてから、インポートすると、他のアプリケーションから PRSM に直接アクセスできる場合があります。詳細については、他のアプリケーションのマニュアルを参照してください。 アプリケーションによって、CSV または JSON 形式でオブジェクトをエクスポートします。 Cisco Security Manager は CSV(カンマ区切り値)を使用します。

      手順
        ステップ 1   [Components] > [Objects] を選択します。
        ステップ 2   [I Want To] > [Import external objects] を選択します。

        まだ保存されていない保留中の変更がある場合、続行する前にこれらの変更を保存する必要があります。 [Go to Pending Changes] をクリックし、[Commit and Deploy changes] ページを開き、変更を保存します。 このページに戻り、プロセスを再開できます。

        ステップ 3   [Import Objects] ウィンドウで [Browse] をクリックして、エクスポートされたオブジェクトを含むファイルを選択します。
        ステップ 4   [Import] をクリックします。

        PRSM はファイルの内容を評価し、すでにデータベースで定義されているオブジェクトと比較します。 インポートしたオブジェクトとデータベースのオブジェクトが同じ名前で、内容が異なる競合がある場合、その競合が表示されます。 競合を処理し、続行する方法を選択します。

        すべてのオブジェクトがすでにインポートされている場合、そのように表示されます。 変更は行われず、ウィザードを閉じることができます。

        ステップ 5   プロセスを完了するために、[Commit] をクリックします。

        すぐに変更を保存しない場合は、[Commit Later] をクリックします。


        ポリシー オブジェクトの削除

        不要になったポリシー オブジェクトは削除できますが、次の制限があります。

        • 事前定義システム オブジェクトは削除できません。
        • ポリシーやポリシー オブジェクトなどで現在使用中のオブジェクトは削除できません。 オブジェクトを削除する前に、オブジェクトへの参照をすべて削除する必要があります。 オブジェクトの [Object Usage] リストを調べて、オブジェクトを使用しているポリシーまたはオブジェクトを確認してください。
        手順
          ステップ 1   [Components] > [Objects] を選択します。
          ステップ 2   削除するオブジェクトの上にマウスを置き、[Delete Object] をクリックします。

          ポリシー オブジェクトのリファレンス

          ここでは、さまざまなタイプのポリシー オブジェクトについて説明します。

          ポリシー オブジェクトの共通プロパティ

          次の表に、ほとんどのポリシー オブジェクトに見られるプロパティを示します。 各オブジェクトに固有のプロパティについては、個々のポリシー オブジェクトに関するリファレンス情報を参照してください。

          表 1 ポリシー オブジェクトの共通プロパティ

          プロパティ

          説明

          Name

          オブジェクトの名前。

          オブジェクトの編集時に名前を変更すると、そのオブジェクトを参照しているポリシーまたはオブジェクトでも名前が自動的に変更されます。

          Object Type

          オブジェクトのタイプ。 ポリシーの編集時にオブジェクトを作成する場合は、関連付けられているフィールドで、サポートされるオブジェクト タイプの中から目的のタイプを選択できます。 それ以外の場合、この情報は読み取り専用です。

          Description

          オブジェクトの説明。

          Ticket ID

          ご使用のサポート システム(Remedy など)からのケース ID またはチケット ID。 ネットワーク サポート ケースに関連する変更を行う場合、トラッキング用にここにチケット ID を入力できます。 新しい ID を入力するか、保留中の変更に使用されている既存の ID から選択することができます。必要なだけの ID を指定します。 (すでにコミットされている変更で使用した ID は、このリストに表示されません)

          Tags

          この項目の識別に役立つ語とフレーズ。 たとえば、同じタグを複数の項目に割り当てると、検索での表示が容易になります。 タグでは、ユーザが選択した使用例、目的、またはその他の特性を識別できます。 これらのタグは、ユーザの目的にのみ対応しています。システムやポリシーの機能には影響しません。 複数のタグを入力(または選択)できます。

          Object Information

          オブジェクトに関する情報は、通常、オブジェクト ウィンドウの右側に表示され、次の情報が含まれています。
          • [Status]:オブジェクトの現在の状態。次のものがあります。
            • [Pending (New)]:新しいオブジェクトであり、これまでコミットされたことはありません。
            • [Pending (Modified)]:前回のコミット以降、オブジェクトが変更されています。
            • [Committed]:オブジェクトはデバイス構成にコミットされており、前回のコミット以降、変更されていません。
          • [Created]:オブジェクトが作成された日付、およびオブジェクトを作成したユーザのユーザ ID。 System ユーザの場合、そのオブジェクトが事前定義システム オブジェクトであることを示します。 システム オブジェクトは変更または削除もできません。

          <Object Type> Objects

          同じオブジェクト タイプの 1 つ以上の既存オブジェクト。 このフィールドをクリックすると、既存オブジェクトのドロップダウン リストが開きます。このリストは、入力によりスクロールされ、フィルタリングされます。 オブジェクトを指定しなかった場合、またはオブジェクト内の他のプロパティを指定しなかった場合は、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのオブジェクトも除外されません。

          複数のタイプのオブジェクトを含めることが可能な場合は、ドロップダウン矢印リストからオブジェクト タイプを選択すると、リストを事前にフィルタリングできます。

          Overrides

          マルチ デバイス モードのみ)。

          一部のオブジェクトでは、特定のデバイスのオブジェクトの内容に対してオーバーライドを作成することができます。 したがって、異なるデバイスに異なるコンテンツを定義する単一オブジェクトを保持できます。 すべてのオブジェクトによって、オーバーライドを作成できるわけではありません。

          オーバーライドを作成するには、このセクションを開き、[+ Add] ボタンをクリックし、オーバーライドを定義するデバイスを選択して、目的の値を入力します。 オーバーライドを削除するには、オーバーライドの右にあるゴミ箱アイコンをクリックします。 該当するデバイスに必要なだけ多くのオーバーライドを追加できますが、デバイスあたり 1 つのオーバーライドしか追加できません。

          Usage

          このオブジェクトを使用している、ポリシーおよびオブジェクトについての情報。 ポリシー用と他のオブジェクト用のフォルダが別になっています。そのフォルダの見出しには、このオブジェクトを使用している、ポリシーまたは他のオブジェクトの数が含まれています。 フォルダの中で、各ポリシーまたはオブジェクトに関する詳細な情報を確認できます。

          ネットワーク グループとネットワーク オブジェクト

          ネットワーク グループおよびネットワーク オブジェクト(まとめてネットワーク オブジェクトと呼ばれる)は、ポリシーのトラフィック一致基準を定義するという目的で、ホストまたはネットワークのアドレスを定義するために使用します。 ネットワーク オブジェクトには次のタイプがあります。

          • CX ネットワーク グループ:これらのオブジェクトは、CX のポリシーまたはオブジェクトでのみ使用できます。
          • ネットワーク グループまたはネットワーク オブジェクト:(マルチ デバイス モードのみ)。これらのオブジェクトは、ASA と CX のポリシーまたはオブジェクトの両方で使用できます。 これらのオブジェクトは、マルチ デバイス モードでのみ使用可能です。ただし、これらのオブジェクトを CX ポリシーで使用し、CXシングル デバイス モード に戻した場合、これらのオブジェクトはデバイスで使用可能で、そこで編集および削除できますが、新しいオブジェクトは作成できません。

          次の項では、さまざまなネットワーク オブジェクトについて説明します。

          CX ネットワーク グループ

          CX のネットワーク グループは、CX ポリシーのトラフィック一致基準を定義するという目的で、ホストまたはネットワークのアドレスを定義するために使用します。

          CX のネットワーク グループ オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

          許可リストとブロック リスト
          許可リストとブロック リストという 2 つのプロパティのリストを設定できます。 ブロック リストは必ず許可リストに関連したものとなり、リストに含まれている項目を除外します。 ブロック リストのスコープは、厳密にオブジェクト内に定められ、同じポリシーで選択される可能性のある他のオブジェクトには適用されません。 次のヒントを考慮してください。
          • 許可リスト内のすべてのプロパティのデフォルトを [Any] にした場合でも、ブロック リストに項目を指定できます。 得られたオブジェクトは、「除外項目を除いたこのオブジェクト タイプのすべて」に適用されます。
          • たとえば、ポリシー オブジェクトを選択して許可リストで特性を指定すると、ブロック リストはこれらの選択に制限されます。 ブロック フィールドが関連付けられるのはブロック リスト内の同じネームドフィールドだけではありません。
          • オブジェクトはブロック フィールド内で定義された項目のコンテナにすぎません。 オブジェクトの許可またはブロックは、含まれているオブジェクトに手動でオブジェクトの内容を入力することと同じです。
          IP Addresses

          IP アドレスのリスト。 少なくとも 1 つの IP アドレスまたはネットワーク オブジェクト グループを指定する必要があります。

          アドレスは次の形式で入力できます。
          • ホストの IP アドレス。次のいずれか。
            • 標準 IPv4 アドレス(10.100.10.10 など)。
            • 圧縮形式の IPv6 アドレス。この形式では、連続する 0 フィールドが 2 つのコロン(::)に置き換られます(2001:DB8::0DB8:800:200C:417A など)。
            • 非圧縮形式の IPv6 アドレス(2001:DB8:0:0:0DB8:800:200C:417A など)。 これらのアドレスは圧縮形式に変換されます。
          • ネットワーク アドレス。次のいずれか。
            • サブネット マスクを含む IPv4 ネットワーク(10.100.10.0/24、10.100.10.0/255.255.255.0 など)。
            • プレフィックスを含む IPv6 ネットワーク(2001:DB8:0:CD30::/60 など)。
          • IPv4 アドレス範囲。範囲の先頭と末尾のアドレスをハイフンで区切る(10.100.10.5-10.100.10.10 など)。 先頭のアドレスは、2 番目のアドレスよりも小さい数値にする必要があります。
          Network Objects

          グループ オブジェクトに含めるオブジェクト(ある場合)。 CX のネットワーク グループには次のオブジェクト タイプを含めることができます。CX のネットワーク グループ、ネットワーク グループ、ネットワーク オブジェクト。

          ナビゲーション パス
          • CX のネットワーク グループ オブジェクトを作成するには、[Components] > [Objects] を選択し、[I want to] > [Add ASA CX Network Group] を選択します。
          • CX ネットワーク グループ オブジェクトを編集するには、[Components] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

          ヒント


          ポリシーを作成または編集しているときにも、オブジェクトを作成または編集できます。


          サポートされるデバイス タイプ
          これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
          • ASA CX

          ネットワーク オブジェクト グループ

          ネットワーク オブジェクト グループは、ASA と CX の両方のポリシーのトラフィック一致基準を定義するという目的で、ホストまたはネットワークのアドレスを定義するために使用します。

          ネットワーク オブジェクト グループには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

          Hosts/Networks

          ホストまたはネットワークの IPv4 または IPv6 アドレス。 アドレスの範囲を含めることはできません。 アドレスは次の形式で入力できます。

          • ホストの IP アドレス。次のいずれか。
            • 標準 IPv4 アドレス(10.100.10.10 など)。
            • 圧縮形式の IPv6 アドレス。この形式では、連続する 0 フィールドが 2 つのコロン(::)に置き換られます(2001:DB8::0DB8:800:200C:417A など)。
            • 非圧縮形式の IPv6 アドレス(2001:DB8:0:0:0DB8:800:200C:417A など)。 これらのアドレスは圧縮形式に変換されます。
          • ネットワーク アドレス。次のいずれか。
            • サブネット マスクを含む IPv4 ネットワーク(10.100.10.0/24、10.100.10.0/255.255.255.0 など)。
            • プレフィックスを含む IPv6 ネットワーク(2001:DB8:0:CD30::/60 など)。
          ネットワーク オブジェクト/グループ

          グループに含めるオブジェクト(ある場合)。 ネットワーク オブジェクト グループには、ネットワーク オブジェクト グループ、ネットワーク グループというタイプのオブジェクトを含めることができます。 CX ネットワーク グループ オブジェクトを含めることはできません。

          ナビゲーション パス
          • ネットワーク オブジェクト グループを作成するには、[Components] > [Objects] を選択し、[I want to] > [Add Network Object Group] を選択します。
          • ネットワーク オブジェクト グループを編集するには、[Components] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

          ヒント


          ポリシーを作成または編集しているときにも、オブジェクトを作成または編集できます。


          サポートされるデバイス タイプ
          これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
          • ASA CX
          • ASA

          Network Objects

          ネットワーク オブジェクトは、ASA と CX の両方のポリシーのトラフィック一致基準を定義するという目的で、ホストまたはネットワークのアドレスを定義するために使用します。


          (注)  


          完全修飾ドメイン名(FQDN)または IPv6 アドレス範囲を含める場合、CX ポリシーでネットワーク オブジェクトを使用することはできません。 すでに CX ポリシーでネットワーク オブジェクトを使用している場合、FQDN または IPv6 範囲を含むように編集できません。


          基本オブジェクトの内容

          ネットワーク オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

          IP Address / FQDN

          単一アドレス値、次のいずれか。

          • ホストの IP アドレス。次のいずれか。
            • 標準 IPv4 アドレス(10.100.10.10 など)。
            • 圧縮形式の IPv6 アドレス。この形式では、連続する 0 フィールドが :: に置き換られます(2001:DB8::0DB8:800:200C:417A など)。
            • 非圧縮形式の IPv6 アドレス(2001:DB8:0:0:0DB8:800:200C:417A など)。 これらのアドレスは圧縮形式に変換されます。
          • ネットワーク アドレス。次のいずれか。
            • サブネット マスクを含む IPv4 ネットワーク(10.100.10.0/24、10.100.10.0/255.255.255.0 など)。
            • プレフィックスを含む IPv6 ネットワーク(2001:DB8:0:CD30::/60 など)。
          • IPv4 または IPv6 アドレス範囲。範囲の先頭と末尾のアドレスをハイフンで区切る。 先頭のアドレスは、2 番目のアドレスよりも小さい数値にする必要があります。 (10.100.10.5-10.100.10.10 or 2001:DB8:0:CD30::1-2001:DB8:0:CD30::FFFF など)。
          • 完全修飾ドメイン名(FQDN)、server.example.com などの DNS ホスト名。
          ナビゲーション パス
          • ネットワーク オブジェクトを作成するには、[Components] > [Objects] を選択し、[I want to] > [Add Network Object] を選択します。
          • ネットワーク オブジェクトを編集するには、[Components] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

          ヒント


          ポリシーを作成または編集しているときにも、オブジェクトを作成または編集できます。


          サポートされるデバイス タイプ
          これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
          • ASA CX
          • ASA

          サービス グループ オブジェクト

          サービス グループ オブジェクトは、プロトコルとポートまたは ICMP サービスに基づいてトラフィック パターンを定義するために使用します。 特に、ポートまたはポート範囲、あるいは ICMP サービスを対象とする場合に、これらのオブジェクトを使用します。 特定の接続セッションで使用されるポートにかかわらず、必ず、特定のアプリケーションを対象とする必要がある場合は、アプリケーション オブジェクトの使用を検討してください。 サービス グループには、ファイアウォール ルール用の従来のポート ベースの一致基準が用意されています。

          次の 2 つのタイプのサービス オブジェクトがあります。

          • サービス グループ:これらのオブジェクトは、ASA または CX のポリシーまたはオブジェクトで使用できます。
          • サービス オブジェクト:(マルチ デバイス モードのみ)。これらのオブジェクトは、ASA または CX のポリシーまたはオブジェクトで使用できます。 これらのオブジェクトは、マルチ デバイス モードでのみ使用可能です。ただし、これらのオブジェクトを CX ポリシーで使用し、CXシングル デバイス モード に戻した場合、これらのオブジェクトはデバイスで使用可能で、そこで編集および削除できますが、新しいオブジェクトは作成できません。

          サービス オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

          サービス

          サービスのリスト。 デフォルトの [Any] は、サービスまたはサービス オブジェクトを指定しない場合に適用されます。 除外リストのデフォルトは [None] で、いずれのサービスも除外されません。 サービスを指定する方法の詳細については、次を参照してください。

          Service Objects(サービス グループ オブジェクトのみ)。

          オブジェクト グループに含めるサービス オブジェクト(ある場合)。 マルチ デバイス モードでは、サービス オブジェクトを選択することもできます。

          サービスの指定

          次の形式でサービスを入力できます。

          TCP ポートまたは UDP ポート

          次のいずれかになります。

          • { TCP | UDP } [ /destination_port_or_range ]
          • { TCP | UDP } [ /source_port_or_range/destination_port_or_range ]

          値は次のとおりです。

          • プロトコルは TCP または UDP です。 TCP および UDP ポートを個別に指定する必要があります。
          • destination_port_or_range は単一ポート(80 など)またはポートの範囲(80-100 など)で、トラフィックの宛先ポートを定義します。 宛先ポートを指定しない場合、オブジェクトは送信元ポートの要件を満たす任意のトラフィックに、宛先ポートに関係なく適用されます。 たとえば、tcp/80 と指定します。
          • source_port_or_range は、単一ポート(80 など)またはポートの範囲(80-100 など)で、トラフィックの送信元で使用されるポートを定義します。 送信元ポートを指定するには、宛先ポートを指定する必要があります。 ポートを指定しなかった場合、ポートにかかわらず、そのプロトコルのすべてのトラフィックに対してオブジェクトが適用されます。 たとえば、tcp/8080/80 と指定します。
          • ポート番号と共に演算子を含めることができます。lt(より小さい)、gt(より大きい)、eq(等しい)、range start end(等しくない)、または range start end。 たとえば、TCP/lt 400 となります。
          IP プロトコル
          { IP | protocol }

          一般的なプロトコル名(IP、GRE、AH、ESP など)、またはプロトコルに関連付けられた番号(AH は 51 など)を入力します。 番号を入力した場合、オブジェクトを保存した後で、広く知られているプロトコル名または _protocolnumberに変換されます。 IP/プロトコルという形式で番号を入力することもできます。 IP プロトコル番号については、『Protocol Numbers』http:/​/​www.iana.org/​assignments/​protocol-numbers/​protocol-numbers.xml)を参照してください。

          ICMP サービス
          { ICMP | ICMP6 } [ /message_number ]

          値は次のとおりです。

          • プロトコルは ICMP または ICMP6 です(IPv6 の場合)。
          • message_number は ICMP メッセージ タイプ(1 ~ 255)です。 エコー要求などの一般的な ICMP コマンドに関連付けられている番号を調べるには、ICMP の参考資料を参照してください。

          事前定義サービス グループ

          一般的なプロトコルと ICMP と ICMPv6 メッセージをカバーする多くの定義済みサービス グループがあります。 対象となるサービスはすべて、システム オブジェクトにより網羅されているはずです。

          ナビゲーション パス

          • サービス グループ オブジェクトを作成するには、[Components] > [Objects] を選択し、[I want to] > [Add Service Group] を選択します。
          • サービス オブジェクトを編集するには、[Components] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

          ヒント


          ポリシーを作成または編集しているときにも、オブジェクトを作成または編集できます。


          サポートされるデバイス タイプ

          これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
          • ASA CX
          • ASA

          TCP および UDP のポート キーワード

          TCP および UDP ポートに基づいてサービスを指定するときには、tcp/80 のようにポート番号を直接入力することも、tcp/WWW のようにキーワードを使用することもできます。 次の表に、well-known ポートで使用可能なキーワードの一覧を示します。

          キーワードは小文字で入力できますが、変更の保存後は、大文字で表示されます。 キーワードを使用するには、正しいプロトコルを含める必要があります。たとえば、tcp/WWW は機能しますが、udp/WWW は使用して udp/80 を示すことはできません。

          ポート番号の詳細については、IANA の Web サイト http:/​/​www.iana.org/​assignments/​port-numbers を参照してください。

          キーワード

          ポート番号

          プロトコル

          説明

          echo

          7

          TCP、UDP

          エコー。

          DISCARD

          9

          TCP、UDP

          廃棄。

          DAYTIME

          13

          TCP

          Day time(日時)(RFC 867)。

          CHARGEN

          19

          TCP

          キャラクタ ジェネレータ。

          FTPDATA

          20

          TCP

          ファイル転送プロトコル(データ ポート)。

          FTP

          21

          TCP

          ファイル転送プロトコル(コンソール ポート)。

          SSH

          22

          TCP

          セキュア シェル。

          TELNET

          23

          TCP

          RFC 854 Telnet。

          SMTP

          25

          TCP

          シンプル メール転送プロトコル。

          TIME

          37

          UDP

          時刻。

          NAMESERVER

          42

          UDP

          ホスト ネーム サーバ。

          WHOIS

          43

          TCP

          Who Is。

          TACACS

          49

          TCP、UDP

          Terminal Access Controller Access Control System Plus(ターミナル アクセス コントローラ アクセス コントロール システム プラス)。

          DOMAIN

          53

          TCP、UDP

          DNS(ドメイン ネーム システム)。

          BOOTPS

          67

          UDP

          ブートストラップ プロトコル サーバ。

          BOOTPC

          68

          UDP

          ブートストラップ プロトコル クライアント。

          TFTP

          69

          UDP

          Trivial File Transfer Protocol。

          GOPHER

          70

          TCP

          Gopher。

          FINGER

          79

          TCP

          Finger。

          WWW

          80

          TCP

          ワールドワイド ウェブ。

          HOSTNAME

          101

          TCP

          NIC ホスト ネーム サーバ。

          POP2

          109

          TCP

          Post Office Protocol(POP)Version 2。

          POP3

          110

          TCP

          Post Office Protocol(POP)Version 3。

          SUNRPC

          111

          TCP、UDP

          Sun Remote Procedure Call。

          IDENT

          113

          TCP

          ID 認証サービス。

          NNTP

          119

          TCP

          Network News Transfer Protocol。

          NTP

          123

          UDP

          Network Time Protocol(ネットワーク タイム プロトコル)。

          NETBIOSNS

          137

          UDP

          NetBIOS ネーム サービス。

          NETBIOSDGM

          138

          UDP

          NetBIOS データグラム サービス。

          NETBIOSSSN

          139

          TCP

          NetBIOS セッション サービス。

          IMAP4

          143

          TCP

          Internet Message Access Protocol バージョン 4。

          SNMP

          161

          UDP

          簡易ネットワーク管理プロトコル。

          SNMPTRAP

          162

          UDP

          簡易ネットワーク管理プロトコル(トラップ)。

          XDMCP

          177

          UDP

          X Display Manager Control Protocol。

          BGP

          179

          TCP

          ボーダー ゲートウェイ プロトコル(RFC 1163)。

          IRC

          194

          TCP

          インターネット リレー チャット プロトコル。

          DNSIX

          195

          UDP

          DNSIX Session Management Module Audit Redirector。

          LDAP

          389

          TCP

          Lightweight Directory Access Protocol。

          MOBILEIP

          434

          UDP

          モバイル IP エージェント。

          HTTPS

          443

          TCP

          HTTP over SSL。

          PIMAUTORP

          496

          TCP、UDP

          Protocol Independent Multicast、逆パス フラッド、デンス モード。

          ISAKMP

          500

          UDP

          Internet Security Association and Key Management Protocol。

          EXEC

          512

          TCP

          リモート プロセスの実行。

          BIFF

          512

          UDP

          新しいメールの受信をユーザに通知するために、メール システムが使用。

          LOGIN

          513

          TCP

          リモート ログイン。

          WHO

          513

          UDP

          Who。

          CMD

          514

          TCP

          cmd は自動認証機能がある点を除いて、exec と同様。

          SYSLOG

          514

          UDP

          システム ログ。

          LPD

          515

          TCP

          ライン プリンタ デーモン(プリンタ スプーラー)。

          TALK

          517

          TCP、UDP

          Talk。

          RIP

          520

          UDP

          ルーティング情報プロトコル。

          UUCP

          540

          TCP

          UNIX 間コピー プログラム。

          KLOGIN

          543

          TCP

          KLOGIN。

          KSHELL

          544

          TCP

          Korn シェル。

          LDAPS

          636

          TCP

          ライトウェイト ディレクトリ アクセス プロトコル(SSL)。

          KERBEROS

          750

          TCP、UDP

          [Kerberos]。

          LOTUSNOTES

          1352

          TCP

          IBM Lotus Notes。

          CITRIXICA

          1494

          TCP

          Citrix Independent Computing Architecture(ICA)プロトコル。

          SQLNET

          1521

          TCP

          構造化照会言語ネットワーク。

          RADIUS

          1645

          UDP

          Remote Authentication Dial-In User Service(リモート認証ダイヤルイン ユーザ サービス)。

          RADIUSACCT

          1646

          UDP

          リモート認証ダイヤルイン ユーザ サービス(アカウンティング)。

          H323

          1720

          TCP

          H.323 発呼信号。

          PPTP

          1723

          TCP

          ポイントツーポイント トンネリング プロトコル。

          CTIQBE

          2748

          TCP

          Computer Telephony Interface Quick Buffer Encoding。

          AOL

          5190

          TCP

          America Online。

          SECUREIDUDP

          5510

          UDP

          SecureID over UDP。

          PCANYWHEREDATA

          5631

          TCP

          pcAnywhere データ。

          PCANYWHERESTATUS

          5632

          UDP

          pcAnywhere ステータス。

          CX アイデンティティ オブジェクト

          CX アイデンティティ オブジェクトは、個々のユーザ、ユーザ グループ、またはユーザとグループの組み合わせを指定するために使用します。

          オブジェクトに含めるユーザまたはグループの名前を入力するときには、入力を自動的に補完するためのクエリーが作成され、システムに定義済みの全レルムに設定されているディレクトリから、一致するユーザまたはグループの名前のリストが取り出されます。 取り出されたリストから目的の名前を選択します。 CX アイデンティティ オブジェクトを作成する前に、レルムを定義する必要があります。

          CX アイデンティティ オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

          許可リストとブロック リスト
          許可リストとブロック リストという 2 つのプロパティのリストを設定できます。 ブロック リストは必ず許可リストに関連したものとなり、リストに含まれている項目を除外します。 ブロック リストのスコープは、厳密にオブジェクト内に定められ、同じポリシーで選択される可能性のある他のオブジェクトには適用されません。 次のヒントを考慮してください。
          • 許可リスト内のすべてのプロパティのデフォルトを [Any] にした場合でも、ブロック リストに項目を指定できます。 得られたオブジェクトは、「除外項目を除いたこのオブジェクト タイプのすべて」に適用されます。
          • たとえば、ポリシー オブジェクトを選択して許可リストで特性を指定すると、ブロック リストはこれらの選択に制限されます。 ブロック フィールドが関連付けられるのはブロック リスト内の同じネームドフィールドだけではありません。
          • オブジェクトはブロック フィールド内で定義された項目のコンテナにすぎません。 オブジェクトの許可またはブロックは、含まれているオブジェクトに手動でオブジェクトの内容を入力することと同じです。
          グループ

          ユーザ グループ名のリスト。 ユーザまたはアイデンティティ オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのグループも除外されません。

          グループ名には大文字と小文字の区別はありませんが、Realm\group_name という形式でレルム名を含める必要があります。 たとえば、Marketing というグループが、Corporate レルムとしてシステムに定義済みのディレクトリ内に定義されている場合、Corporate\Marketing と指定します。

          ユーザ

          ユーザ名のリスト。 名前またはアイデンティティ オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのユーザも除外されません。

          ユーザ名には大文字と小文字の区別はありませんが、Realm\user_name という形式でレルム名を含める必要があります。 たとえば、Corporate\user1 のようにします。

          事前定義システム オブジェクト

          次の事前定義システム オブジェクトが使用可能です。
          • [Known Users]:ユーザがアクティブ認証された場合、CDA または AD エージェントから取得したユーザの IP アドレスに対するパッシブ マッピングが存在する場合、このオブジェクトは、アイデンティティを使用できる全ユーザと一致します。
          • [Unknown Users]:このオブジェクトは、既知ユーザ オブジェクトに一致しなかったユーザ、つまり、ユーザ マッピングが使用できない IP アドレスと一致します。

          ナビゲーション パス

          • CX アイデンティティ オブジェクトを作成するには、[Components] > [Objects] を選択し、[I want to] > [Add CX Identity Object] を選択します。
          • CX アイデンティティ オブジェクトを編集するには、[Components] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

          ヒント


          ポリシーを作成または編集しているときにも、オブジェクトを作成または編集できます。


          サポートされるデバイス タイプ

          これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
          • ASA CX

          URL オブジェクト

          URL オブジェクトは、Web ドメインまたはサーバ(example.com、www.example.com など)の Web URL リソース(HTTP または HTTPS のみ。http://example.com/games など)、および Web(URL)カテゴリを指定するために使用します。 これらのオブジェクトを使用すると、Web ブラウジングに関するアクセプタブル ユース ポリシーを実施できます。

          URL オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

          許可リストとブロック リスト
          許可リストとブロック リストという 2 つのプロパティのリストを設定できます。 ブロック リストは必ず許可リストに関連したものとなり、リストに含まれている項目を除外します。 ブロック リストのスコープは、厳密にオブジェクト内に定められ、同じポリシーで選択される可能性のある他のオブジェクトには適用されません。 次のヒントを考慮してください。
          • 許可リスト内のすべてのプロパティのデフォルトを [Any] にした場合でも、ブロック リストに項目を指定できます。 得られたオブジェクトは、「除外項目を除いたこのオブジェクト タイプのすべて」に適用されます。
          • たとえば、ポリシー オブジェクトを選択して許可リストで特性を指定すると、ブロック リストはこれらの選択に制限されます。 ブロック フィールドが関連付けられるのはブロック リスト内の同じネームドフィールドだけではありません。
          • オブジェクトはブロック フィールド内で定義された項目のコンテナにすぎません。 オブジェクトの許可またはブロックは、含まれているオブジェクトに手動でオブジェクトの内容を入力することと同じです。
          URL

          個々の Web ベース URL のリスト。 カテゴリまたは URL オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 除外リストのデフォルトは [None] で、いずれの URL も除外されません。 ドメイン名またはサーバ名のみを含む URL を指定して、ドメイン上の全サーバ、または指定のサーバにある全ページに適用することも、特定の Web ページへのパスを含めて、同じサイト上でホストされているページを区別することもできます。 プロトコルは含めないでください。たとえば、http://www.example.com ではなく www.example.com または example.com とします。 HTTP および HTTPS がこれらの URL と一致する唯一のプロトコルです。

          ドメイン内の全サーバを同じように扱う場合は、example.com のようにドメイン名だけを入力します。 これにより、このオブジェクトは、www.example.com、games.example.com、photos.example.com などに適用されます。

          特定の URL を入力する方法の詳細については、次のヒントを参照してください。


          ヒント


          復号化ポリシーで使用する URL オブジェクトを設定する際には、パス情報を含めないでください。 トラフィックが URL オブジェクトと一致するかどうか評価する際に、復号化ポリシーではパス情報を含んだすべての URL を完全に無視します。 オブジェクトに、ドメイン名だけの URL と、パスが含まれる URL が混在している場合、復号化ポリシーはそのオブジェクトを、ドメイン名だけを指定した URL のみが含まれるものとして扱います。 アクセス ポリシーに応じたオブジェクトを設定する際には、暗号化されたトラフィック(復号化ポリシーでフローが復号化されていないもの)または HTTPS ではない復号化されたフローに対して、パスを照合できないことに注意してください。こうした場合、アクセス ポリシーではドメイン名のみが指定された URL が照合されます。


          Web カテゴリ

          Web カテゴリのリスト。 目的のカテゴリをカテゴリ リストからすべて選択します。

          カテゴリを許可または除外するということは、そのカテゴリに属するすべての Web サイトを許可または除外することになります。 URL または URL オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのカテゴリも除外されません。

          URL 入力のヒント

          ドメイン名および URL のパス名により、ソフトウェアを区別できます。 パスとは、URL の中の最初のスラッシュ「/」よりも右側の文字列です。たとえば、www.example.com/us/ の場合、パスは「us/」です。 ドメインのみの URL と、ドメインとパスを組み合わせた URL には大きな違いがあります。パスを含む URL には、復号化ポリシーは一致しません。 次の各指定は等価であり、いずれもパス情報を含むものとは見なされません。
          • www.example.com
          • www.example.com/
          • www.example.com/*
          Web 上の複数のページに該当する URL パターンを作成するために、次のワイルドカードを使用できます。
          • *(アスタリスク):ゼロ文字以上の文字と一致します。 たとえば、www.example.com/us/* は、www.example.com/us/ という Web サーバ スペース上の全 Web ページと一致します。
          • ^(キャレット):URL の先頭に指定して、そのキャレットの後の文字列で URL が始まることを示します。 たとえば、^www.example.com は、www.example.com で始まる全 Web ページと一致します。 ^www.example.comwww.example.com の違いは、www.example.com の場合は、「www.example.com」の前に修飾子がある server1.www.example.com といった他のサイトにも一致するという点です。
          • $(ドル記号):URL の最後に指定して、その $ の前の文字列で URL が終わることを示します。 たとえば、/index.html$ は、index.html という名前のページを指す全 URL に一致します。
          次に、一般的な一致を得るためのヒントを示します。
          • 特定のドメインの全ホストと一致:完全修飾ホスト名ではなく、ドメイン名を入力します。 たとえば、example.com は、example.com だけではなく www.example.com、photos.example.com、finance.example.com などとも一致します。 example.com$ も同じ一致結果になります。この場合の $ の範囲はドメイン名に限定されるため、example.com サイト上の特定のパスに対する要求が一致しなくなるわけではありません。
          • 1 台のホストと一致^finance.example.com のように URL の入力を ^ で始めます。 こうすると finance.example.com ホストのみが一致します。games.example.com、quotes.finance.example.com、または example.com は一致しません。
          • 名前が似たホストのグループと一致:他の文字があってもよいことを示すためにアスタリスクを使用します。 たとえば、example.co.* は、www.example.co.us、example.co.uk などを含め、「example.co.」文字列を含む全サーバと一致します。 この場合、サイト名の先頭に他の修飾子があってもよく、また、文字列の最後に(無限の文字列の)他の修飾子があっても許容されます。 このようにアスタリスクを使用する場合は、必要以上に一致することがあるため注意してください。 たとえば、example.co* は example.commercialbank.com と一致します。

          ナビゲーション パス

          • URL オブジェクトを作成するには、[Components] > [Objects] を選択し、[I want to] > [Add URL Object] を選択します。
          • URL オブジェクトを編集するには、[Components] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

          ヒント


          ポリシーを作成または編集しているときにも、オブジェクトを作成または編集できます。


          ライセンス要件

          このタイプのオブジェクトを使用するには、デバイスに有効な Web Security Essentials ライセンスが必要です。

          サポートされるデバイス タイプ

          これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
          • ASA CX

          ユーザ エージェント オブジェクト

          HTTP 要求の作成に使用されたエージェントのタイプ。HTTP パケット ヘッダーのユーザ エージェント フィールドに示されます。 たとえば、ブラウザのタイプ(Internet Explorer、Firefox など)があります。 これらのオブジェクトを使用すると、ネットワークへのアクセスに使用されているデバイスに基づいてポリシーを調整できます。たとえば、認証を要求するアイデンティティ ポリシーから、アクティブ認証のプロンプトに対応できないユーザ エージェントを明示的に除外することができます。

          ユーザ エージェント オブジェクトは、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

          許可リストとブロック リスト
          許可リストとブロック リストという 2 つのプロパティのリストを設定できます。 ブロック リストは必ず許可リストに関連したものとなり、リストに含まれている項目を除外します。 ブロック リストのスコープは、厳密にオブジェクト内に定められ、同じポリシーで選択される可能性のある他のオブジェクトには適用されません。 次のヒントを考慮してください。
          • 許可リスト内のすべてのプロパティのデフォルトを [Any] にした場合でも、ブロック リストに項目を指定できます。 得られたオブジェクトは、「除外項目を除いたこのオブジェクト タイプのすべて」に適用されます。
          • たとえば、ポリシー オブジェクトを選択して許可リストで特性を指定すると、ブロック リストはこれらの選択に制限されます。 ブロック フィールドが関連付けられるのはブロック リスト内の同じネームドフィールドだけではありません。
          • オブジェクトはブロック フィールド内で定義された項目のコンテナにすぎません。 オブジェクトの許可またはブロックは、含まれているオブジェクトに手動でオブジェクトの内容を入力することと同じです。
          ユーザ エージェント

          ユーザ エージェントのリスト。 入力する文字列は、HTTP パケット ヘッダーのユーザ エージェント フィールドに含まれているどの部分であってもかまいません。 ユーザ エージェント オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのユーザ エージェントも除外されません。

          アスタリスク(*)を、0 個以上の文字と一致するワイルドカード文字として使用できます。 たとえば、Mozilla/* Gecko/* Firefox/ は、あらゆるバージョンの Firefox ブラウザと一致します。

          事前定義システム オブジェクト

          多数の事前定義ユーザ エージェント オブジェクトがあります。 対象となるエージェントはすべて、システム オブジェクトにより網羅されているはずです。 これら既存のオブジェクトを構築ブロックとして使用して、さまざまなタイプのユーザ エージェントに適用される独自のユーザ エージェント オブジェクトを作成できます。

          NTLM Browsers 事前定義オブジェクトは、NTLM 認証要求に対応できるメイン ブラウザを示します。

          ナビゲーション パス

          • ユーザ エージェント オブジェクトを作成するには、[Components] > [Objects] を選択し、[I want to] > [Add User Agent Object] を選択します。
          • ユーザ エージェント オブジェクトを編集するには、[Components] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

          ヒント


          ポリシーを作成または編集しているときにも、オブジェクトを作成または編集できます。


          サポートされるデバイス タイプ

          これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
          • ASA CX

          アプリケーション オブジェクト

          アプリケーション オブジェクトは、個々のアプリケーションまたはアプリケーション タイプを指定するために使用します。 特定の接続セッションで使用されるポートにかかわらず、トラフィック インスペクションによりアプリケーションを特定できます。 これらのオブジェクトを使用すると、プロトコルとポートに基づく従来のサービス定義の代わりに、セッションで使用されているアプリケーションまたはアプリケーション タイプに基づいてポリシーを調整できます。

          アプリケーション オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

          許可リストとブロック リスト
          許可リストとブロック リストという 2 つのプロパティのリストを設定できます。 ブロック リストは必ず許可リストに関連したものとなり、リストに含まれている項目を除外します。 ブロック リストのスコープは、厳密にオブジェクト内に定められ、同じポリシーで選択される可能性のある他のオブジェクトには適用されません。 次のヒントを考慮してください。
          • 許可リスト内のすべてのプロパティのデフォルトを [Any] にした場合でも、ブロック リストに項目を指定できます。 得られたオブジェクトは、「除外項目を除いたこのオブジェクト タイプのすべて」に適用されます。
          • たとえば、ポリシー オブジェクトを選択して許可リストで特性を指定すると、ブロック リストはこれらの選択に制限されます。 ブロック フィールドが関連付けられるのはブロック リスト内の同じネームドフィールドだけではありません。
          • オブジェクトはブロック フィールド内で定義された項目のコンテナにすぎません。 オブジェクトの許可またはブロックは、含まれているオブジェクトに手動でオブジェクトの内容を入力することと同じです。
          アプリケーション名

          個々のアプリケーションのリスト。 インスペクタが特定可能なアプリケーションのリストから、目的のアプリケーションを選択します。 対象のアプリケーションがリストされていない場合は、別の名前でリストされていないか探してみてください。 ない場合は、サービス グループ オブジェクトを使用して、従来のプロトコルとポートの指定によりアプリケーションを定義する必要があります。 アプリケーション タイプまたはアプリケーション オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのアプリケーションも除外されません。

          アプリケーション タイプ

          アプリケーション タイプのリスト。 アプリケーション タイプのリストから、目的のタイプをすべて選択します。

          アプリケーション タイプを許可または除外するということは、そのタイプに属するすべてのアプリケーションを許可または除外することになります。 アプリケーションまたはアプリケーション オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのタイプも除外されません。

          ナビゲーション パス

          • アプリケーション オブジェクトを作成するには、[Components] > [Objects] を選択し、[I want to] > [Add Application Object] を選択します。
          • アプリケーション オブジェクトを編集するには、[Components] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

          ヒント


          ポリシーを作成または編集しているときにも、オブジェクトを作成または編集できます。


          ライセンス要件

          このタイプのオブジェクトを使用するには、デバイスに有効な Application Visibility and Control ライセンスが必要です。

          サポートされるデバイス タイプ

          これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
          • ASA CX

          セキュア モビリティ オブジェクト

          セキュア モビリティ オブジェクトは、リモート アクセス VPN 接続の作成に使用されたクライアントのタイプを指定するために使用します。クライアントのタイプは、AnyConnect Secure Mobility アプリケーションからレポートされます。 これらのオブジェクトを使用すると、リモート アクセス VPN 接続を経由したネットワーク アクセスに使用されているデバイスに基づいてポリシーを調整できます。

          セキュア モビリティ オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

          許可リストとブロック リスト
          許可リストとブロック リストという 2 つのプロパティのリストを設定できます。 ブロック リストは必ず許可リストに関連したものとなり、リストに含まれている項目を除外します。 ブロック リストのスコープは、厳密にオブジェクト内に定められ、同じポリシーで選択される可能性のある他のオブジェクトには適用されません。 次のヒントを考慮してください。
          • 許可リスト内のすべてのプロパティのデフォルトを [Any] にした場合でも、ブロック リストに項目を指定できます。 得られたオブジェクトは、「除外項目を除いたこのオブジェクト タイプのすべて」に適用されます。
          • たとえば、ポリシー オブジェクトを選択して許可リストで特性を指定すると、ブロック リストはこれらの選択に制限されます。 ブロック フィールドが関連付けられるのはブロック リスト内の同じネームドフィールドだけではありません。
          • オブジェクトはブロック フィールド内で定義された項目のコンテナにすぎません。 オブジェクトの許可またはブロックは、含まれているオブジェクトに手動でオブジェクトの内容を入力することと同じです。
          デバイス タイプ

          デバイスで実行されているオペレーティング システム(OS)に基づくデバイス タイプのリスト。 リストからタイプを選択します。 セキュア モビリティ オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのデバイス タイプも除外されません。

          事前定義システム オブジェクト

          [All Remote Devices] という名前の事前定義システム オブジェクトがあります。 このオブジェクトは、リモート アクセス VPN 接続で使用されているあらゆるデバイスに一致します。

          ナビゲーション パス

          • セキュア モビリティ オブジェクトを作成するには、[Components] > [Objects] を選択し、[I want to] > [Add Secure Mobility Object] を選択します。
          • セキュア モビリティ オブジェクトを編集するには、[Components] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

          ヒント


          ポリシーを作成または編集しているときにも、オブジェクトを作成または編集できます。


          サポートされるデバイス タイプ

          これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
          • ASA CX

          アプリケーション サービス オブジェクト

          アプリケーション サービス オブジェクトは、サービス グループ(従来のプロトコルとポートの指定)、アプリケーション名、アプリケーション タイプ、またはアプリケーション オブジェクトの組み合わせに基づいてアプリケーションを定義するために使用します。 OR 結合された複数の組み合わせを作成することにより、単一のアプリケーション サービス オブジェクトで正確なトラフィック パターンを定義できます。

          アプリケーション サービス オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

          AND 結合された条件から成る行を複数 OR 結合したもの

          トラフィック一致条件の行を 1 行以上作成できます。 行を追加するには、[Add Another Entry] リンクをクリックします。 行を削除するには、行の [Delete Entry] リンクをクリックします。

          一致基準は、次のように評価されます。
          • 1 つのフィールドに含まれている複数の項目は OR 結合されます。 たとえば、2 つのサービス グループを指定している場合、トラフィックはオブジェクト 1 またはオブジェクト 2 に一致する必要があります。 トラフィックが、フィールドに含まれる全オブジェクトと一致する必要はありません(ただし、一致してもかまいません)。
          • 1 行に含まれている複数のフィールドは AND 結合されます。 たとえば、1 行にサービス グループ 1 つとアプリケーション オブジェクトを 1 つ指定している場合、トラフィックは、そのサービス グループに一致しなければならず、また、そのアプリケーション オブジェクトにも一致しないと、行が一致したとは見なされません。
          • 複数の行は OR 結合されます。 たとえば、条件を独立した 2 行で指定している場合、トラフィックは行 1 または行 2 と一致する必要があります。 トラフィックがすべての行と一致する必要はありません(ただし、一致してもかまいません)。 少なくとも 1 行が一致すれば、そのトラフィック フローはオブジェクトに一致することになります。
          サービス オブジェクト

          行のトラフィック一致定義のサービス グループ オブジェクト(ある場合)。 サービス グループは、トラフィック フローのプロトコルとポート、または ICMP メッセージ タイプを指定したものです。


          (注)  


          マルチ デバイス モード)。PRSMマルチ デバイス モード で使用する際には、ASA で定義されているサービス オブジェクトも使用できます。 サービス グループ オブジェクトは ASA と CX デバイスの両方で使用できます。


          アプリケーション オブジェクト、アプリケーション タイプ、またはアプリケーション名

          行のトラフィック一致定義のアプリケーション オブジェクト、アプリケーション タイプ、またはアプリケーション名(ある場合)。 ドロップダウン矢印からタイプを選択すると、リストを事前にフィルタリングし、あるタイプの項目のみにできます。

          ナビゲーション パス

          • アプリケーション サービス オブジェクトを作成するには、[Components] > [Objects] を選択し、[I want to] > [Add Application Service Object] を選択します。
          • アプリケーション サービス オブジェクトを編集するには、[Components] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

          ヒント


          ポリシーを作成または編集しているときにも、オブジェクトを作成または編集できます。


          ライセンス要件

          このタイプのオブジェクトを使用するには、デバイスに有効な Application Visibility and Control ライセンスが必要です。

          サポートされるデバイス タイプ

          これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
          • ASA CX

          宛先オブジェクト グループ

          宛先オブジェクト グループは、ポリシーの宛先フィールドに指定可能なオブジェクトを使用して、宛先に関する複雑なトラフィック一致基準を定義するときに使用します。 AND 結合されたネットワーク グループと URL オブジェクトの定義を作成することにより、全オブジェクトの条件が満たされないとトラフィックがポリシーに一致しないようにすることができます。 OR 結合された複数の組み合わせを作成することにより、単一の宛先オブジェクトで正確なトラフィック宛先パターンを定義できます。

          宛先オブジェクト グループには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

          AND 結合された条件から成る行を複数 OR 結合したもの

          トラフィック一致条件の行を 1 行以上作成できます。 行を追加するには、[Add Another Entry] リンクをクリックします。 行を削除するには、行の [Delete Entry] リンクをクリックします。

          一致基準は、次のように評価されます。
          • 1 つのフィールドに含まれている複数の項目は OR 結合されます。 たとえば、2 つのネットワーク グループを指定している場合、トラフィックはオブジェクト 1 またはオブジェクト 2 に一致する必要があります。 トラフィックが、フィールドに含まれる全オブジェクトと一致する必要はありません(ただし、一致してもかまいません)。
          • 1 行に含まれている複数のフィールドは AND 結合されます。 たとえば、1 行にネットワーク グループ 1 つと URL オブジェクトを 1 つ指定している場合、トラフィックは、そのネットワーク グループに一致しなければならず、また、その URL オブジェクトにも一致しないと、行が一致したとは見なされません。
          • 複数の行は OR 結合されます。 たとえば、条件を独立した 2 行で指定している場合、トラフィックは行 1 または行 2 と一致する必要があります。 トラフィックがすべての行と一致する必要はありません(ただし、一致してもかまいません)。 少なくとも 1 行が一致すれば、そのトラフィック フローはオブジェクトに一致することになります。
          ネットワーク オブジェクト

          行のトラフィック一致定義のネットワーク グループ(ある場合)。 ネットワーク グループとは、トラフィック フローに関連付けられている IP アドレスを指定するものです。


          (注)  


          マルチ デバイス モード)。PRSMマルチ デバイス モード で使用する際には、CX デバイスを含むデバイスで定義されているネットワーク オブジェクトまたはグループを使用することもできます。 ネットワーク グループ オブジェクトには 2 つのタイプがあります。1 つは ASA と CX デバイスの両方で使用できます。もう 1 つは CX デバイスでのみ使用でき、特に CX ネットワーク グループと呼ばれます。


          URL オブジェクト

          行のトラフィック一致定義の URL オブジェクト(ある場合)。 URL オブジェクトとは、HTTP 要求でターゲットとされている URL または URL カテゴリを指定するものです。

          ナビゲーション パス

          • 宛先オブジェクト グループを作成するには、[Components] > [Objects] を選択し、[I want to] > [Add Destination Object Group] を選択します。
          • 宛先オブジェクト グループを編集するには、[Components] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

          ヒント


          ポリシーを作成または編集しているときにも、オブジェクトを作成または編集できます。


          ライセンス要件

          このタイプのオブジェクトに URL オブジェクトを含めるには、デバイスに有効な Web Security Essentials ライセンスが必要です。

          サポートされるデバイス タイプ

          これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
          • ASA CX

          送信元オブジェクト グループ

          送信元オブジェクト グループは、ポリシーの送信元フィールドに指定可能なオブジェクトを使用して、送信元に関する複雑なトラフィック一致基準を定義するときに使用します。 AND 結合されたオブジェクトの定義を作成することにより、全オブジェクトの条件が満たされないとトラフィックがポリシーに一致しないようにすることができます(このような関係をアクセス ポリシー内に直接作成することはできません)。 OR 結合された複数の組み合わせを作成することにより、単一の送信元オブジェクト グループで正確なトラフィック送信元パターンを定義できます。

          送信元オブジェクト グループには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

          AND 結合された条件から成る行を複数 OR 結合したもの

          トラフィック一致条件の行を 1 行以上作成できます。 行を追加するには、[Add Another Entry] リンクをクリックします。 行を削除するには、行の [Delete Entry] リンクをクリックします。

          一致基準は、次のように評価されます。
          • 1 つのフィールドに含まれている複数の項目は OR 結合されます。 たとえば、2 つのネットワーク グループを指定している場合、トラフィックはオブジェクト 1 またはオブジェクト 2 に一致する必要があります。 トラフィックが、フィールドに含まれる全オブジェクトと一致する必要はありません(ただし、一致してもかまいません)。
          • 1 行に含まれている複数のフィールドは AND 結合されます。 たとえば、1 行にネットワーク グループ 1 つとユーザ エージェント オブジェクトを 1 つ指定している場合、トラフィックは、そのネットワーク グループに一致しなければならず、また、そのユーザ エージェント オブジェクトにも一致していないと、行が一致したとは見なされません。 4 つのすべてのフィールドでオブジェクトを選択した場合、トラフィック フローは、フィールドごとに、指定されているオブジェクトの少なくとも 1 つと一致する必要があります。
          • 複数の行は OR 結合されます。 たとえば、条件を独立した 2 行で指定している場合、トラフィックは行 1 または行 2 と一致する必要があります。 トラフィックがすべての行と一致する必要はありません(ただし、一致してもかまいません)。 少なくとも 1 行が一致すれば、そのトラフィック フローはオブジェクトに一致することになります。
          ネットワーク オブジェクト

          行のトラフィック一致定義のネットワーク グループ(ある場合)。 ネットワーク オブジェクトとは、トラフィック フローに関連付けられている IP アドレスを指定するものです。


          (注)  


          マルチ デバイス モード)。PRSMマルチ デバイス モード で使用する際には、CX デバイスを含むデバイスで定義されているネットワーク オブジェクトまたはグループを使用することもできます。 ネットワーク グループ オブジェクトには 2 つのタイプがあります。1 つは ASA と CX デバイスの両方で使用できます。もう 1 つは CX デバイスでのみ使用でき、特に CX ネットワーク グループと呼ばれます。


          CX アイデンティティ オブジェクト

          行のトラフィック一致定義のアイデンティティ オブジェクト(ある場合)。 アイデンティティ オブジェクトとは、トラフィック フローに関連付けられているユーザ名、またはユーザが属するユーザ グループを指定するものです。

          ユーザ エージェント オブジェクト

          行のトラフィック一致定義のユーザ エージェント オブジェクト(ある場合)。 ユーザ エージェント オブジェクトとは、ブラウザなどの、HTTP 要求の作成に使用されたエージェントを定義するものです。

          セキュア モビリティ オブジェクト

          行のトラフィック一致定義のセキュア モビリティ オブジェクト(ある場合)。 セキュア モビリティ オブジェクトとは、AnyConnect Secure Mobility アプリケーションを使用してリモート アクセス VPN 接続を作成したときに使用されたクライアントのタイプを指定するものです。

          ナビゲーション パス

          • 送信元オブジェクトを作成するには、[Components] > [Objects] を選択し、[I want to] > [Add Source Object Group] を選択します。
          • 送信元オブジェクトを編集するには、[Components] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

          ヒント


          ポリシーを作成または編集しているときにも、オブジェクトを作成または編集できます。


          サポートされるデバイス タイプ

          これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
          • ASA CX

          ファイル フィルタリング プロファイル オブジェクト

          ファイル フィルタリング プロファイル オブジェクトは、ブロックする必要があるファイル アップロードまたはダウンロードのタイプを指定するために使用します。 ネットワーク アクセスを許可するアクセス ポリシーで、このプロファイルを使用して、ファイル転送のアクセプタブル ユース ポリシーを実施することができます。 たとえば、ダウンロードはすべて許可するものの、アップロードはすべて禁止することで、企業内のファイルがネットワークの外に転送されないようにすることができます。

          アクセス ルールにファイル フィルタリング プロファイルを指定しなかった場合は、すべてのファイルのアップロードおよびダウンロードが許可されます。

          ファイル フィルタリング プロファイル オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

          MIME タイプの指定

          [Block file downloads] および [Block file uploads] リストには、ユーザにダウンロードまたはアップロードさせないようにする必要があるファイルの MIME タイプ(Multipurpose Internet Mail Extensions、または一般的にインターネット メディア タイプ)が含まれます。 application/* などの一般的なカテゴリや application/pdf などの特定のタイプを選択します。 デフォルトはブランクで、すべてのファイルのダウンロードとアップロードが許可されます。

          選択リストには、サポートされているすべての MIME タイプが含まれています。他のタイプは指定できません。

          MIME タイプについて

          MIME タイプはメディア タイプとも呼ばれ、現在扱っているファイルのタイプを示すもので、Content Type ヘッダーに示されます。 多数の MIME タイプがあります。それぞれのタイプの詳細については、各タイプが登録されている Wikipedia や IANA などの情報サイトで調べることができます(公式のタイプについては、http:/​/​www.iana.org/​assignments/​media-types/​index.html を参照してください)。 MIME タイプの目的は、ASCII 以外のファイルを判別して、電子メール クライアントやブラウザなどのファイルを扱うアプリケーションが、ファイルを開くために使用すべきアプリケーションを特定できるようにすることです。

          このオブジェクトに MIME タイプを指定する場合、1 つの MIME タイプ全体をターゲットにすることも、特定のタイプ/サブタイプをターゲットにすることもできます。 メイン タイプは次のとおりです。
          • application/*:他のカテゴリに当てはまらない独立したデータ。一般的には特定のタイプのアプリケーション プログラムで処理されないと、表示または使用できないデータ。 この application カテゴリには、コンピュータ関連の言語が含まれるため、転送されたコードがマルウェアだった場合、潜在的なセキュリティ ホールが開く可能性があります。 例としては、application/pdf(Adobe Acrobat ファイル)、application/java、application/postscript などがあります。
          • audio/*:音声ファイル。audio/mp4 や audio/mpeg など。 ファイルに動画が含まれている場合、タイプは audio ではなく video になります。
          • image/*:画像またはグラフィック ファイル。image/gif や image/jpeg など。
          • message/*:カプセル化されたメール メッセージ。message/news など。
          • model/*:3D モデル ファイル。model/vrml など。
          • text/*:プレーン テキストおよびリッチ テキストを含むテキスト ファイル。text/plain、text/html、text/rtf、text/javascript など。
          • video/*:ビデオ ファイル。video/quicktime や video/mpeg など。 このメディア タイプには、同期された音声を含めることができます。 たとえば、動画と音を含む一般的な MPEG ビデオ ファイルは、video/mpeg ファイルになります。

          ナビゲーション パス

          • ファイル フィルタリング プロファイル オブジェクトを作成するには、[Components] > [Objects] を選択し、[I want to] > [Add File Filtering Profile] を選択します。
          • ファイル フィルタリング プロファイル オブジェクトを編集するには、[Components] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

          ヒント


          ポリシーを作成または編集しているときにも、オブジェクトを作成または編集できます。


          サポートされるデバイス タイプ

          これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
          • ASA CX

          Web レピュテーション プロファイル オブジェクト

          Web レピュテーション プロファイル オブジェクトは、低レピュテーション ゾーンを定義して、そのゾーンにレピュテーションが該当した Web トラフィックに対して特殊な処理を適用するために使用します。

          Cisco Threat Operations Center は、動的な更新と、ASA、IPS、電子メール セキュリティ アプライアンス、Web セキュリティ アプライアンス、およびシステム管理者から取得したアクション可能な知識を使用して、Web サイトの Web レピュテーション スコアを計算します。 Web レピュテーションは、コンテキストおよび過去の動作に基づいた統計的な評価で、重要度が異なる多くの要素を組み合わせて 1 つの関連付けられたメトリックにするものです。 個人の信用スコアと同様に、Web レピュテーションは、-10 ~ 10 の段階的なスケールに沿った連続値です。 低レピュテーション ゾーンを定義することで、ユーザにマルウェアを提供する可能性が高い、低レピュテーション サイトに対して予防的なゼロデイ保護を実装できます。

          レピュテーション ベースの処理を実装するには、次のタイプのポリシーに Web レピュテーション プロファイルを適用します。
          • トラフィックを許可するアクセス ポリシー。 Web レピュテーション プロファイルを追加することで、一致するトラフィックは全般的に許可され、低レピュテーション サイトからのトラフィックはすべてドロップされます。 [Allow] アクションがあるアクセス ポリシーの一部またはすべてにプロファイルを適用できます。
          • アクションが [Decrypt Potentially Malicious Traffic] の復号化ポリシー。 Web レピュテーション プロファイルを追加することで、ポリシーと一致する低レピュテーション サイトが復号化され、アクセス ポリシーによってトラフィックの内容が認識されます。 その後、設定に従って、アクセス ポリシーでトラフィックをドロップできます。 トラフィックをドロップする、一致するアクセス ポリシーがなくても、低レピュテーション トラフィックを復号化することで、暗号化された TLS/SSL トラフィック フローでは利用できなかったデータがレポートに提供されます。

          アクセス ポリシーに対して、デバイス レベルのプロファイルを設定し、ポリシーにそのプロファイルを使用させることができます。 次に、[Malware Protection][Malware Protection]設定を編集して、デフォルトのフィルタリング ポリシーを簡単に変更できます。

          Web レピュテーションの許可ゾーンおよび拒否ゾーンを設定するには、スライダを目的の位置まで移動します。スライダの左側のレピュテーションはすべて低レピュテーション ゾーンとなり、右側はすべて高レピュテーションと見なされるため、特殊な処理を受けません。 レピュテーション分析は、Web ページ上のすべての要素に個別に適用されるため、一部の要素がブロックされたページが表示される可能性があることに注意してください。たとえば、低レピュテーション ゾーンに該当するレピュテーションを持つサイトから提供された広告が、ブロックされた状態でページが表示される可能性があります。

          以下は、スコアの一般的なガイドラインです。

          -10 ~ -6

          レピュテーションが最も低いゾーンのサイトは、継続的にキー ロガー、ルートキット、およびその他のマルウェアを配布する専用サイト、またはハイジャックされたサイトです。 フィッシング サイト、ボット、ドライブバイ インストーラも含まれます。 このレピュテーション範囲のサイトは、ほぼ確実に悪意のあるサイトです。

          事前定義されているデフォルトの Web レピュテーション プロファイルで、このゾーンは低レピュテーション ゾーンとして定義されています。

          -6 ~ -3

          このゾーンのサイトは、攻撃的な広告シンジケートおよびユーザ トラッキング ネットワークの可能性があります。 これらのサイトは、悪意がある疑いがありますが、確実ではありません。

          -3 ~ 3

          このゾーンのサイトは、管理された信頼できるコンテンツ シンジケート ネットワークおよびユーザが生成したコンテンツ サイトの可能性があります。

          0 ~ 5

          このゾーンのサイトは、信頼できる動作の歴史がある、または第三者の検証を受けたサイトです。

          5 ~ 10

          このゾーンのサイトは、信頼できる動作の長い歴史があり、トラフィック量が多く、広くアクセスされているサイトです。


          ヒント


          サイトのレピュテーションを確認するには、http:/​/​www.senderbase.org/​home にあるツールを使用できます。


          多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

          事前定義 Web レピュテーション オブジェクト

          [Default web reputation profile] 事前定義オブジェクトを使用すると、推奨される低レピュテーション ゾーンが実装されます。

          ナビゲーション パス

          • Web レピュテーション プロファイル オブジェクトを作成するには、[Components] > [Objects] を選択し、[I want to] > [Add Web Reputation Profile] を選択します。
          • Web レピュテーション プロファイル オブジェクトを編集するには、[Components] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

          ヒント


          ポリシーを作成または編集しているときにも、オブジェクトを作成または編集できます。


          ライセンス要件

          このタイプのオブジェクトを使用するには、デバイスに有効な Web Security Essentials ライセンスが必要です。

          サポートされるデバイス タイプ

          これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
          • ASA CX

          NG IPS プロファイル オブジェクト

          Next Generation IPS 脅威に一致するトラフィックの処理方法を定義するには、NG IPS プロファイル オブジェクトを使用します。 次の方法を使用してフィルタリング ポリシーを定義するためにこれらのオブジェクトを使用できます。

          • [Intrusion Prevention]:デフォルトのポリシーを定義する単一のプロファイルを選択します。 また、デバイスレベルのオブジェクトを使用するには、アクセス ポリシーを設定する必要があります。
          • アクセス ポリシー:アクセス ポリシー内のプロファイルを選択するか、またはデバイスレベルのプロファイルを使用することを指定します。 これにより、アクセス ポリシーに一致するトラフィックに適用する Next Generation IPS フィルタリングが定義されます。 アクセス ポリシーで NG IPS プロファイルを指定しない場合、フィルタリングは適用されません。

          NG IPS プロファイルには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

          脅威ゾーン スライダ

          スライダは、3 つの異なる脅威ゾーンを定義します。 スライダは、危険性が最悪の 100(左側)から最小の 0(右側)までの脅威スコアに基づいています。 次のゾーンを定義するには、スライダを移動します。

          • [Block and Monitor](拒否):このゾーンの脅威を含むトラフィックはドロップされ、Event Viewer に接続のイベントが表示されます。
          • [Allow and Monitor](アラート):このゾーンの脅威を含むトラフィックは許可されますが、接続のイベントは生成されます。 これらの接続をモニタするには、ダッシュボードと Event Viewer を使用できます。
          • [Allow and Do Not Monitor](無視):このゾーンの脅威を含むトラフィックは許可され、イベントは生成されません。
          脅威の詳細設定

          このテーブルに、スライダで定義されたゾーンの例外が定義されます。 たとえば、脅威スコアに関係なく、常にブロックする必要がある脅威を識別できます。 または、脅威が問題のないと思われ、無視してよい脅威を識別できます。

          • 脅威を追加するには、例外リストから選択し、脅威に対するアクションを選択して、[Apply] をクリックします。 例外がテーブルに追加されます。
          • 既存の例外を編集するには、テーブルで検索し、そのエントリに別のアクションを選択します。
          • 既存の例外を削除するには、テーブルで検索し、そのエントリに対して [Remove] をクリックします。

          定義済みの NG IPS プロファイル オブジェクト

          [Default NG IPS profile] 事前定義オブジェクトを使用すると、推奨されるゾーンが実装されます。

          ナビゲーション パス

          • NG IPS のプロファイル オブジェクトを作成するには、[Components] > [Objects] を選択し、[I want to] > [Add NG IPS Profile] を選択します。
          • NG IPS のプロファイル オブジェクトを編集するには、[Components] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

          ヒント


          ポリシーを作成または編集しているときにも、オブジェクトを作成または編集できます。


          ライセンス要件

          このタイプのオブジェクトを使用するには、デバイスに有効な Next Generation IPS ライセンスが必要です。

          サポートされるデバイス タイプ

          これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
          • ASA CX

          インターフェイス ロール オブジェクト

          インターフェイス ロール オブジェクトは、トラフィックが通過するデバイスのインターフェイスを識別するために使用されます。 指定されたインターフェイスを通過するトラフィックだけにポリシーのアプリケーションを制限するために、インターフェイス ロールをポリシーで使用できます。


          ヒント


          ポリシーでインターフェイス ロールを指定しても、そのロールで定義しているインターフェイス名に一致するインターフェイスがデバイス上にない場合は、そのデバイス上のどのトラフィックにもポリシーは適用されません。


          インターフェイス ロールには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

          許可リストとブロック リスト
          許可リストとブロック リストという 2 つのプロパティのリストを設定できます。 ブロック リストは必ず許可リストに関連したものとなり、リストに含まれている項目を除外します。 ブロック リストのスコープは、厳密にオブジェクト内に定められ、同じポリシーで選択される可能性のある他のオブジェクトには適用されません。 次のヒントを考慮してください。
          • 許可リスト内のすべてのプロパティのデフォルトを [Any] にした場合でも、ブロック リストに項目を指定できます。 得られたオブジェクトは、「除外項目を除いたこのオブジェクト タイプのすべて」に適用されます。
          • たとえば、ポリシー オブジェクトを選択して許可リストで特性を指定すると、ブロック リストはこれらの選択に制限されます。 ブロック フィールドが関連付けられるのはブロック リスト内の同じネームドフィールドだけではありません。
          • オブジェクトはブロック フィールド内で定義された項目のコンテナにすぎません。 オブジェクトの許可またはブロックは、含まれているオブジェクトに手動でオブジェクトの内容を入力することと同じです。
          インターフェイス名のパターン

          インターフェイス名のリスト。 アスタリスク(*)をワイルドカードとして使用して、ゼロ文字以上の文字を指定できます。 たとえば、outside は outside というインターフェイスだけに一致しますが、*outside* はインターフェイス名内に文字列「outside」が含まれるすべてのインターフェイスと一致します。

          一致するインターフェイスの表示

          インターフェイス名のパターンに一致する実際のインターフェイス。 リストは、セクションを開くか、[Refresh] をクリックすると更新されます。 一致はデバイスごとにフォルダに整理されます。

          ナビゲーション パス

          • インターフェイス ロール オブジェクトを作成するには、[Components] > [Objects] を選択し、[I want to] > [Add Interface Role] を選択します。
          • インターフェイス ロール オブジェクトを編集するには、[Components] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

          ヒント


          ポリシーを作成または編集しているときにも、オブジェクトを作成または編集できます。


          サポートされるデバイス タイプ

          これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
          • ASA CX
          • ASA

          (注)  


          CX デバイスの場合、インターフェイス名はホスト デバイスまたは親デバイスにあるインターフェイス名です。


          ASA アイデンティティ オブジェクト

          ASA アイデンティティ オブジェクトを作成すると、アイデンティティ ベースの ASA ポリシーに使用するために、個々のユーザ、ユーザ グループ、またはユーザとグループの組み合わせを識別できます。 これらのユーザとグループは、Active Directory(AD)に、またはローカルに ASA で定義されている必要があります。他のタイプのユーザは定義できません。


          ヒント


          ASA アイデンティティ オブジェクトは、アイデンティティ ユーザ グループ オブジェクトとして ASA で定義されます。 AD に定義済みのグループを複製するために、これらのグループを作成する必要はありません。 AD グループはファイアウォール ルール内に直接指定できます。 アイデンティティ オブジェクトは、それ以外では AD に存在しないユーザとユーザ グループの集合を定義するためのみに必要です。


          オブジェクトに含めるユーザまたはグループの名前を入力するときには、入力を自動的に補完するためのクエリーが作成され、CX ポリシーに対してシステムに定義済みの AD レルムに設定されているディレクトリから、または他の ASA アイデンティティ オブジェクトで使用されるドメイン名から、一致するユーザまたはグループの名前のリストが取り出されます。 これらのいずれかを選択でき、部分的に一致する場合、選択を編集できます。 また、自由形式の名前を入力できます。

          ASA アイデンティティ オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

          グループ

          ユーザ グループ名のリスト。 ユーザまたはアイデンティティ オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。

          DOMAIN\\group 形式でグループを入力します。AD ドメインとグループ名を 1 つの \ マークよって区切って入力します。

          この形式は、グループ名を指定するときに 2 つの \\ が必要なアクセス ルールで使用されるものとと異なります。

          ユーザ

          ユーザ名のリスト。 名前またはアイデンティティ オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。

          DOMAIN\\group 形式でユーザ名を入力します。AD ドメインとユーザ名を 1 つの \ マークよって区切って入力します。 ASA で定義されたユーザの場合、ドメイン名として LOCAL を使用します。

          ナビゲーション パス

          • ASA アイデンティティ オブジェクトを作成するには、[Components] > [Objects] を選択し、[I want to] > [Add ASA Identity Object] を選択します。
          • ASA アイデンティティ オブジェクトを編集するには、[Components] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

          ヒント


          ポリシーを作成または編集しているときにも、オブジェクトを作成または編集できます。


          サポートされるデバイス タイプ

          これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
          • ASA

          時間範囲オブジェクト

          ポリシーを特定の時刻および曜日に制限するには、時間範囲オブジェクトを使用します。

          ASA デバイスの場合、時間ベースの ACL を作成するときに使用する時間範囲オブジェクトを作成できます。 機能は拡張 ACL と同様ですが、時間ベースの ACL では時間を考慮したアクセス コントロールが可能です。 時間範囲が特定のルールに適用され、それらのルールは範囲で定義された特定の時間アクティブになります。 たとえば、特定のタイプのアクセスを許可または阻止する通常の勤務時間のルールを実装できます。

          ルールの適用を決定するために使用される時間は、デバイスのローカル時刻です。 したがって、時間範囲オブジェクトが導入されると、同じ相対時間が定義されますが、グローバルな視点からは、UTC に基づく時間とは異なる場合があります。

          有効開始、有効終了

          オブジェクトの全体的な開始時刻および終了時刻。 新しいオブジェクトを作成すると、デフォルトでは開始時刻と終了時刻は指定されていません。それにより、オブジェクトを使用するポリシーに対して永続的な時間範囲が定義されます。

          オブジェクトの有効な時間枠を制限し、実装が特定の日付まで遅延されるか、または特定の日付後に期限切れになる(またはその両方)ようにする場合、カレンダー アイコンをクリックし、目的の日付を選択し、12 時間形式を使用して時間を入力します。

          繰り返し

          全体的な開始時刻および終了時刻内で発生する繰り返し期間(ある場合)。 たとえば、勤務時間を定義する時間範囲オブジェクトを作成する場合、全体的な範囲については開始日または終了日なしを選択し、平日の 08:00 AM ~ 06:00 PM という繰り返し範囲を入力できます。 すべての該当する時間を定義するために複数の繰り返しを入力できます。

          • 繰り返しを追加するには、[Add Recurrence] ボタンをクリックし、オプションに入力します。
            • [Series/Range]:繰り返しは、連続しない日のセット(シリーズ)か、日の範囲か。 シリーズとして範囲をモデル化することもできます。
            • [From, To]:12 時間形式での期間。
            • [Every](シリーズのみ):この繰り返しを実行する曜日を選択します。
            • [On](範囲のみ):範囲を定義するために開始曜日および終了曜日を選択します。
          • 繰り返しを削除するには、繰り返しの右側にあるゴミ箱アイコンをクリックします。

          ナビゲーション パス

          • 時間範囲オブジェクトを作成するには、[Components] > [Objects] を選択し、[I want to] > [Add Time Range Object] を選択します。
          • 時間範囲オブジェクトを編集するには、[Components] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

          ヒント


          ポリシーを作成または編集しているときにも、オブジェクトを作成または編集できます。


          サポートされるデバイス タイプ

          これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
          • ASA