ASA CX および Cisco Prime Security Manager 9.2 ユーザ ガイド
アクセス ポリシーの設定
アクセス ポリシーの設定
発行日;2014/01/06   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

アクセス ポリシーの設定

この章のトピックでは、ASA デバイスの着信と発信アクセス ポリシーの設定について説明します。

アクセス ポリシーについて

アクセス ポリシーでは、トラフィックがインターフェイスを通過するために満たす必要のあるルールを定義します。 着信トラフィックのルールを定義した場合、そのルールが他のどのポリシーよりも先にトラフィックに適用されます。 ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モードの場合は、アクセス ポリシーまたはルールを使用して IP トラフィックを制御できます。 アクセス ルールでは、プロトコル、送信元および宛先の IP アドレスまたはネットワーク、および任意でユーザおよびユーザ グループに基づいてトラフィックが許可または拒否されます。

インターフェイスに到着したパケットごとに、指定した基準に基づいてパケットを転送するかドロップするかが決定されます。 Out 方向のアクセス ルールを定義した場合、パケットは、インターフェイスを出ていくときにも分析されます。

アクセス ポリシーは順序で適用されます。 つまり、デバイスは、ルールとパケットを比較するとき、アクセス ポリシー リストの上から下に検索を行い、最初に一致したルールに対するポリシーを適用します。それ以降のルールは、(最初のルールより一致率が高くても)すべて無視されます。 したがって、特定のルールがスキップされないようにするには、そのルールを汎用性の高いルールよりも上に配置する必要があります。

アクセス ルールを定義する際は、作成する他のタイプのファイアウォール ルールについて慎重に検討してください。 検査する必要があるトラフィックに対しては、アクセス ルールで全面的な拒否ルールを作成しないでください。 一方、特定のホストやネットワークを起点または宛先とするサービスをどのような場合にも許可しないことがわかっている場合は、アクセス ルールを使用してそのトラフィックを拒否してください。

デフォルトの動作では、高いセキュリティのインターフェイスから低いセキュリティのインターフェイスへのトラフィックを許可します。 それ以外のトラフィックはすべて拒否されます。

アクセス ルールで単方向の TCP/UDP トラフィックが許可されている場合、アプライアンスによりリターン トラフィックが自動的に許可されます(リターン トラフィックのためのルールを設定する必要はありません)。ただし、ICMP トラフィックの場合は例外で、リターン ルールが必要となります(逆方向の送信元および宛先を許可します)。


(注)  


CX モジュールのアクセス ポリシーの設定は、コンテキスト対応アクセス ポリシーの設定 で説明されています。


ユニバーサル アクセス ポリシー

従来から、アクセス ルールは、デバイス インターフェイスに適用されています。 ただし、リポジトリ内のすべてのデバイスに適用される、グローバルまたは「ユニバーサル」アクセス ポリシーも作成できます。

インターフェイスに関係なくデバイス上のすべてのトラフィックに適用するルールには、ユニバーサル ルールを使用すると最適です。 たとえば、常に拒否または常に許可する特定のホストまたはサブネットがあるとします。 これらはユニバーサル ルールとして作成できるので、デバイス上で個別に設定するのではなく、デバイス上で一度設定します。

「Universal Top」または「Universal Bottom」ポリシー セットにユニバーサル ルールを追加できます。 次に、これらは各デバイスに固有のポリシーの前後に割り当てられ、適用されます。

ポリシーおよびポリシー セットの使用方法の一般情報については、ポリシーの管理 を参照してください。

ASA アクセス ポリシーの管理

デバイスリ ポジトリ全体で使用できる ASA 専用のアクセス ポリシーを追加、編集、および削除でき、個々のデバイスに割り当てられたポリシーを追加、編集、および削除できます。 リポジトリのアクセス ルールは、インベントリ内のすべてのデバイスに割り当てられます。


(注)  


CX モジュールのアクセス ポリシーを設定する方法は、コンテキスト対応アクセス ポリシーの設定 で説明されています。


アクセス ルールは、NAT を設定している場合でも、アクセス ルールの一致を決定する際に常に実際の IP アドレスを使用します。 たとえば、内部サーバ 10.1.1.5 用の NAT を設定して、パブリックにルーティング可能な外部の IP アドレス 209.165.201.5 をこのサーバに付与する場合は、この内部サーバへのアクセスを外部トラフィックに許可するアクセス ルールの中で、サーバのマッピング アドレス(209.165.201.5)ではなく実際のアドレス(10.1.1.5)を参照する必要があります。

着信ルールと発信ルール

ASA は 2 種類のアクセス ポリシーをサポートします。

  • [Inbound]:着信アクセス ルールは、インターフェイスに入ってくるトラフィックに適用されます。 グローバル アクセス ルールは常に着信です。
  • [Outbound]:発信アクセス ルールは、インターフェイスから出ていくトラフィックに適用されます。

発信アクセス ポリシーは、たとえば内部ネットワークの特定のホストにのみ外部ネットワークの Web サーバへのアクセスを許可する場合に便利です。 複数のインバウンド ルールを作成してアクセスを制限することもできますが、指定したホストだけアクセスを許可するアウトバウンド ルールを 1 つだけ作成する方が効率的です 他のすべてのホストは、アウトバウンド ルールにより外部ネットワークから遮断されます。


(注)  


このコンテキストで着信および発信という用語は、インターフェイス上の ASA に入るトラフィックまたはインターフェイス上の ASA を出るトラフィックのどちらにインターフェイス上のアクセス ルールが適用されているかを意味します。 これらは、一般に「着信」とも呼ばれる、セキュリティの低いインターフェイスから高いインターフェイスへのトラフィックの移動や、一般に「発信」と呼ばれる、セキュリティの高いインターフェイスから低いインターフェイスへのトラフィックの移動を意味しません。


着信および発信 ASA アクセス ポリシーを管理するには、次の手順を行います。

手順
    ステップ 1   Configurations > Policies/Settings を選択し、[Access Policies] ページを開きます。
    ステップ 2   リポジトリ全体のアクセス ルールを管理するか、デバイス固有のアクセス ルールを管理するかを選択します。
    • リポジトリ全体のアクセス ポリシーを管理するには、[Policies/Settings] ビュー セレクタから [Repository] を選択します。
    • デバイス固有のアクセス ポリシーを管理するには、[Policies/Settings] ビュー セレクタから [Devices] を選択します。 デバイス リストから、管理するデバイスを選択します。
    ステップ 3   適切なルール テーブルを表示するには、[Access Policies][Access Policies]ページの上部で、[ASA inbound policies] ボタン、または [ASA outbound policies] ボタンをクリックします。
    ステップ 4   目的のポリシー セットを開きます。

    アクセス ポリシーは名前付きポリシー セットにグループ化されています。そのセットに含まれる個々のルールを表示するには、ポリシー セット エントリを展開します。 ポリシー セットの管理の詳細については、ポリシー セットの設定 を参照してください。

    ステップ 5   必要に応じて、個々のアクセス ポリシーを追加、編集、削除、および移動します。
    • アクセス ポリシーの移動および削除、および一般的なポリシー管理については、ポリシーの基本 で説明しています。
    • アクセス ルールを追加または編集するときに表示されるプロパティについては、アクセス ポリシーのプロパティ で説明しています。

    アクセス ポリシーのプロパティ

    次のプロパティは、着信または発信 ASA アクセス ポリシーまたは「ルール」を追加または編集するときに表示されます。


    (注)  


    CX モジュールのアクセス ポリシーの設定は、コンテキスト対応アクセス ポリシーの設定 で説明されています。


    ASA アクセス ポリシーのプロパティ

    ポリシーの目的

    このポリシーの基礎となる目的の説明を入力できます。

    Enable Policy:On/Off

    ポリシーがイネーブルかどうかを示します。 ポリシーをオフにすると、ポリシーを削除せずに一時的にディセーブルにできます。 ディセーブルに設定されたポリシーはトラフィックに適用されません。

    ポリシー アクション

    ポリシーがネットワーク アクセスを許可するか、拒否するかを示します。 拒否されたトラフィックはドロップされます。

    ロギング

    この特定のポリシーのロギングをオンまたはオフにできます。 オンの場合、[Level] および [Logging Interval] プロパティで定義されているように、Syslog メッセージがポリシーに対して生成されます。これらのプロパティは、[Logging] をオンにすると表示されます。

    • [Level]:目的のロギング レベルを選択します。 [default] を選択した場合、パケットが拒否されると、メッセージ 106023 が生成されます。 パケットが許可された場合、syslog メッセージは生成されません。 デフォルトのロギング間隔は 300 秒です。 [default] 以外のすべてのレベルに対して、syslog メッセージ 106100 が生成されます。
    • [Logging Interval]:[default] 以外のロギング [Level] を選択すると、1 ~ 600 秒の範囲で [Logging Interval] を指定できます。 これは、このポリシーに対してログに記録されるメッセージを Syslog サーバに送信する間隔です。

    (注)  


    これらのメッセージをキャプチャするように syslog サーバを設定しておく必要があります。 詳細については、「Syslog サーバのプロパティ」を参照してください。


    ソース オブジェクト

    このポリシーの一部として、特定のトラフィックの送信元を指定するには、このフィールドを使用します。1 つ以上のネットワーク オブジェクト、ネットワーク オブジェクト グループ、インターフェイス名、およびインターフェイス ロール オブジェクトの組み合わせを入力します。 デフォルトでは、[Any] トラフィック送信元です。 また、IPv4 アドレスに一致するように [any4] を、IPv6 アドレスに一致するように [any6] を指定できます。

    ソースのユーザ

    トラフィックを発信するユーザを考慮するには、ユーザ名、ユーザ グループ、および ASA ID オブジェクトの組み合わせを入力します。

    • DOMAIN\\group 形式でグループを入力します。AD ドメインとグループ名を 2 つの \\ マークよって区切って入力します。
    • DOMAIN\\group 形式でユーザ名を入力します。AD ドメインとユーザ名を 1 つの \ マークよって区切って入力します。 ASA で定義されたユーザの場合、ドメイン名として LOCAL を使用します。
    Destination

    ポリシーを特定のトラフィックの宛先に制限するには、1 つ以上のネットワーク オブジェクト、ネットワーク オブジェクト グループ、インターフェイス名、およびインターフェイス ロール オブジェクトの組み合わせを入力します。 デフォルトでは、[Any] トラフィック送信元です。 また、IPv4 アドレスに一致するように [any4] を、IPv6 アドレスに一致するように [any6] を指定できます。

    サービス

    1 つ以上のサービス オブジェクトおよびサービス オブジェクト グループの組み合わせを入力して、ポリシーを特定のサービス プロトコルに制限するには、このフィールドを使用します。

    Interface Roles

    このポリシーが適用されるインターフェイスを識別するインターフェイス ロール オブジェクトまたはインターフェイス名。 デフォルトは [Any] で、ポリシーは特定のインターフェイスに制限されないことを意味します。 ポリシーを特定のインターフェイスに制限するには、インターフェイス名またはオブジェクトを選択します。

    着信ポリシーの場合は、ポリシーに一致するには、トラフィックは識別されたインターフェイスの 1 つ、または選択したロールに一致するインターフェイス上のデバイスに入る必要があります。 発信ポリシーの場合は、トラフィックはインターフェイスの 1 つから発信される必要があります。

    ポリシーをデバイスに展開すると、インターフェイスごとに個別の ACL が作成されます。 これらの ACL は、明示的なインターフェイス名またはインターフェイス ロールの一致によるインターフェイス名を含むすべてのポリシーを(順番に)結合します。 したがって、デフォルトの [Any] を使用した場合は、デバイス上のインターフェイスごとに個別の ACL が存在することになります。 ただし、Universal Bottom ポリシー セットのポリシーの場合、任意のインターフェイスに適用されるポリシーを使用してグローバル ACL を生成できます。 インターフェイスを指定するポリシー セットに後続のポリシーがない場合、ルールはグローバル ACL に配置されます。


    ヒント


    インターフェイス ロール オブジェクトを指定しても、そのロールで定義しているインターフェイス名に一致するインターフェイスがデバイス上にない場合は、そのデバイス上のどのトラフィックにもポリシーは適用されません。 さらに、インターフェイス名はデバイス ビューでのみ選択に使用できます。リポジトリ ビューでは、インターフェイス ロールだけが表示されます。


    Shared/Local

    マルチ デバイス モードのみ)。このポリシーを設定するデバイス。 このフィールドを空白のままにした場合は、ポリシーは、ポリシーを含むポリシー セットを共有するすべてのデバイスで設定されます。 ポリシー セットを共有するデバイスのサブセットにこのポリシーを制限する場合は、それらのデバイスをここで選択します。ポリシーは、別の状況でポリシー セットを共有する、リストにないデバイスでは設定されません。 選択可能なデバイスは、現在ポリシー セットを共有するデバイスに制限されます。

    たとえば、別の状況でデバイス グループと同じポリシーを使用するデバイスに固有の少数のポリシーを作成するには、この設定を使用できます。

    時間範囲

    勤務時間中など、特定の時刻および曜日にこのポリシーを制限するには、時間範囲オブジェクトを選択できます。 詳細については、「時間範囲オブジェクト」を参照してください。

    Tags

    この項目の識別に役立つ語とフレーズ。 たとえば、同じタグを複数の項目に割り当てると、検索での表示が容易になります。 タグでは、ユーザが選択した使用例、目的、またはその他の特性を識別できます。 これらのタグは、ユーザの目的にのみ対応しています。システムやポリシーの機能には影響しません。 複数のタグを入力(または選択)できます。

    Ticket ID

    ご使用のサポート システム(Remedy など)からのケース ID またはチケット ID。 ネットワーク サポート ケースに関連する変更を行う場合、トラッキング用にここにチケット ID を入力できます。 新しい ID を入力するか、保留中の変更に使用されている既存の ID から選択することができます。必要なだけの ID を指定します。 (すでにコミットされている変更で使用した ID は、このリストに表示されません)