Cisco ASA シリーズファイアウォール ASDM コンフィギュレーションガイドソフトウェアバージョン 7.3
サービス ポリシー
サービス ポリシー
発行日;2015/06/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

サービス ポリシー

サービス ポリシーについて

サービス ポリシーのコンポーネント

サービス ポリシーで設定される機能

機能の方向

サービス ポリシー内の機能照合

複数の機能アクションが適用される順序

特定の機能アクションの非互換性

複数のサービス ポリシーの場合の機能照合

サービス ポリシーのガイドライン

サービス ポリシーのデフォルト

デフォルトのサービス ポリシー設定

デフォルトのクラス マップ(トラフィック クラス)

サービス ポリシーの設定

通過トラフィックのサービス ポリシー ルールの追加

管理トラフィックのサービス ポリシー ルールの追加

サービス ポリシー ルールの順序の管理

サービス ポリシーの履歴

サービス ポリシー

リリース日:2014 年 7 月 24 日

更新日:2014 年 9 月 16 日

 

サービス ポリシーにより、一貫性のある柔軟な方法でASAの機能を設定できます。たとえば、サービス ポリシーを使用すると、すべての TCP アプリケーションに適用されるタイムアウト コンフィギュレーションではなく、特定の TCP アプリケーションに固有のタイムアウト コンフィギュレーションを作成できます。サービス ポリシーは、1 つのインターフェイスに適用されるか、またはグローバルに適用される複数のアクションまたはルールで構成されます。

「サービス ポリシーについて」

「サービス ポリシーのガイドライン」

「サービス ポリシーのデフォルト」

「サービス ポリシーの設定」

「サービス ポリシーの履歴」

サービス ポリシーについて

次の各トピックでは、サービス ポリシーの仕組みについて説明します。

「サービス ポリシーのコンポーネント」

「サービス ポリシーで設定される機能」

「機能の方向」

「サービス ポリシー内の機能照合」

「複数の機能アクションが適用される順序」

「特定の機能アクションの非互換性」

「複数のサービス ポリシーの場合の機能照合」

サービス ポリシーのコンポーネント

サービス ポリシーのポイントは、許可しているトラフィックに高度なサービスを適用することです。アクセス ルールによって許可されるトラフィックにサービス ポリシーを適用することで、サービス モジュールへのリダイレクトやアプリケーション インスペクションの適用などの特別な処理を実行できます。

次のタイプのサービス ポリシーを使用できます。

すべてのインターフェイスに適用される 1 つのグローバル ポリシー。

インターフェイスごとに適用される 1 つのサービス ポリシー。このポリシーは、デバイスを通過するトラフィックと対象とするクラスと、ASA インターフェイス宛ての(インターフェイスを通過するのではない)管理トラフィックを対象とするクラスの組み合わせである場合があります。

各サービス ポリシーは、次の要素で構成されます。

1. サービス ポリシー マップ。これはルールの順序セットであり、 service-policy コマンドで命名されます。ASDM では、ポリシー マップは [Service Policy Rules] ページにフォルダとして表示されます。

2. ルール。各ルールは、サービス ポリシー内の class コマンドと、および class コマンドに関連するコマンドで構成されます。ASDM では、各ルールは個別の行に表示され、ルールの名前はクラス名です。

a. class コマンドは、ルールのトラフィック一致基準を定義します。

b. inspect set connection timeout などの class 関連のコマンドは、一致するトラフィックに適用するサービスと制約を定義します。inspect コマンドは、検査対象トラフィックに適用するアクションを定義するインスペクション ポリシー マップを指す場合があります。インスペクション ポリシー マップとサービス ポリシー マップは同じではないことに注意してください。

次の例では、サービス ポリシーが CLI と ASDM でどのように表示されるかを比較します。図の吹き出しと CLI の行は 1 対 1 では対応しないことに注意してください。

 

次の CLI は、上の図に示すルールによって生成されます。

: クラス マップで使用されるアクセス リスト。
: ASDM では、これらは吹き出し 3 の [Match] から [Time] までの各フィールドに対応します。
access-list inside_mpc line 1 extended permit tcp 10.100.10.0 255.255.255.0 any eq sip
access-list inside_mpc_1 line 1 extended deny udp host 10.1.1.15 any eq snmp
access-list inside_mpc_1 line 2 extended permit udp 10.1.1.0 255.255.255.0 any eq snmp
access-list inside_mpc_2 line 1 extended permit icmp any any
: SNMP インスペクションの SNMP マップ。v3 ですべてを拒否します。
: ASDM では、これは吹き出し 4 の class-inside ポリシーのルール アクションに対応します。
snmp-map snmp-v3only
deny version 1
deny version 2
deny version 2c
: SIP 動作を定義するインスペクション ポリシー マップ。
: sip-high インスペクション ポリシー マップは、サービス ポリシー マップの inspect sip コマンドで
: 参照する必要があります。
: ASDM では、これは吹き出し 4 の sip-class-inside ポリシーのルール アクションに対応します。
policy-map type inspect sip sip-high
parameters
rtp-conformance enforce-payloadtype
no traffic-non-sip
software-version action mask log
uri-non-sip action mask log
state-checking action drop-connection log
max-forwards-validation action drop log
strict-header-validation action drop log
: inside-class ルールのトラフィック照合を定義するクラス マップ。
: ASDM では、これは吹き出し 3 の [Match] から [Time] までの各フィールドに対応します。
class-map inside-class
match access-list inside_mpc_1
: sip-class-inside ルールのトラフィック照合を定義するクラス マップ。
: ASDM では、これは吹き出し 3 の [Match] から [Time] までの各フィールドに対応します。
class-map sip-class-inside
match access-list inside_mpc
: inside-class1 ルールのトラフィック照合を定義するクラス マップ。
: ASDM では、これは吹き出し 3 の [Match] から [Time] までの各フィールドに対応します。
class-map inside-class1
match access-list inside_mpc_2
: test-inside-policy というサービス ポリシー ルール セットを実際に定義するポリシー マップ。
: ASDM では、これは吹き出し 1 にあるフォルダに対応します。
policy-map test-inside-policy
: test-inside-policy の最初のルールである sip-class-inside。SIP トラフィックを検査します。
: sip-class-inside ルールは、SIP インスペクションに sip-high インスペクション ポリシー マップを適用します。
: ASDM では、各ルールは吹き出し 2 に対応します。
class sip-class-inside
inspect sip sip-high
: 2 番目のルールである inside-class。SNMP マップを使用して SNMP インスペクションを適用します。
class inside-class
inspect snmp snmp-v3only
: 3 番目のルールである inside inside-class1。ICMP インスペクションを適用します。
class inside-class1
inspect icmp
: 4 番目のルールである class-default。接続設定を適用し、ユーザ統計情報をイネーブルにします。
class class-default
set connection timeout embryonic 0:00:30 half-closed 0:10:00 idle 1:00:00
reset dcd 0:15:00 5
user-statistics accounting
: service-policy コマンドは、inside インターフェイスにポリシー マップ ルール セットを適用します。
: このコマンドはポリシーをアクティブにします。
service-policy test-inside-policy interface inside
 

サービス ポリシーで設定される機能

次の表に、サービス ポリシーを使用して設定する機能の一覧を示します。

 

表 1-1 サービス ポリシーで設定される機能

機能
通過トラフィック用か
管理トラフィック用か
次を参照してください。

アプリケーション インスペクション(複数タイプ)

RADIUS アカウンティングを除く すべて

RADIUS アカウンティング のみ

「アプリケーション レイヤ プロトコル インスペクションの準備」

「基本インターネット プロトコルのインスペクション」

「音声とビデオのプロトコルのインスペクション」

「データベースおよびディレクトリ プロトコルのインスペクション」

「管理アプリケーション プロトコルのインスペクション」

「ASA および Cisco クラウド Web セキュリティ」

ASA IPS

はい

いいえ

「ASA IPS モジュール」

ASA CX

はい

いいえ

「ASA CX モジュール」

ASA FirePOWER(ASA SFR)

はい

いいえ

「ASA FirePOWER(SFR)モジュール」

NetFlow セキュア イベント ロギングのフィルタリング

はい

はい

『一般的な操作のコンフィギュレーション ガイド』を参照してください。

QoS 入出力ポリシング

はい

いいえ

「QoS」

QoS 標準プライオリティ キュー

はい

いいえ

「QoS」

TCP と UDP の接続制限値とタイムアウト、および TCP シーケンス番号のランダム化

はい

はい

「接続設定」

TCP の正規化

はい

いいえ

「接続設定」

TCP ステート バイパス

はい

いいえ

「接続設定」

アイデンティティ ファイアウォールのユーザ統計情報

はい

はい

『コマンド リファレンス』の user-statistics コマンドを参照してください。

機能の方向

アクションは、機能に応じて双方向または単方向にトラフィックに適用されます。双方向に適用される機能の場合、トラフィックが両方向のクラス マップと一致した場合に、ポリシー マップを適用するインターフェイスを出入りするすべてのトラフィックが影響を受けます。


) グローバル ポリシーを使用する場合は、すべての機能が単方向です。単一インターフェイスに適用する場合に通常双方向の機能は、グローバルに適用される場合、各インターフェイスの入力にのみ適用されます。ポリシーはすべてのインターフェイスに適用されるため、ポリシーは両方向に適用され、この場合の双方向は冗長になります。


QoS プライオリティ キューなど単方向に適用される機能の場合は、ポリシー マップを適用するインターフェイスに出入りする(機能によって異なります)トラフィックだけが影響を受けます。各機能の方向については、次の表を参照してください。

 

表 1-2 機能の方向

機能
単一インターフェイスでの方向
グローバルでの方向

アプリケーション インスペクション(複数タイプ)

双方向

入力

ASA CSC

双方向

入力

ASA CX

双方向

入力

ASA CX 認証プロキシ

入力

入力

ASA FirePOWER(ASA SFR)

双方向

入力

ASA IPS

双方向

入力

NetFlow セキュア イベント ロギングのフィルタリング

該当なし

入力

QoS 入力ポリシング

入力

入力

QoS 出力ポリシング

出力

出力

QoS 標準プライオリティ キュー

出力

出力

TCP と UDP の接続制限値とタイムアウト、および TCP シーケンス番号のランダム化

双方向

入力

TCP の正規化

双方向

入力

TCP ステート バイパス

双方向

入力

アイデンティティ ファイアウォールのユーザ統計情報

双方向

入力

サービス ポリシー内の機能照合

パケットは、次のルールに従って特定のインターフェイスのポリシーの ルールに一致します。

1. パケットは、各機能タイプのインターフェイスのにだけ一致します。

2. パケットが機能タイプの ルールに一致した場合、ASA は、その機能タイプの後続の ルールとは照合しません。

3. ただし、パケットが別の機能タイプの後続の ルールと一致した場合、ASA は、後続の ルールのアクションも適用します(サポートされている場合)。サポートされていない組み合わせの詳細については、「特定の機能アクションの非互換性」を参照してください。


) アプリケーション インスペクションには、複数のインスペクション タイプが含まれ、ほとんどのタイプは相互に排他的です。組み合わせ可能なインスペクションの場合、各インスペクションは個々の機能と見なされます。


パケット照合の例

次に例を示します。

パケットが接続制限値の ルールと一致し、アプリケーション インスペクションの ルールとも一致した場合、両方のクラス マップ アクションが適用されます。

パケットが HTTP インスペクションで 1 つの ルールと一致し、HTTP インスペクションを含む別の ルールとも一致した場合、2 番目の ルールのアクションは適用されません。

パケットが FTP インスペクションで 1 つの ルールと一致し、HTTP インスペクションを含む別の ルールとも一致した場合、HTTP および FTP インスペクションは組み合わせることができないため、2 番目の ルールのアクションは適用されません。

パケットが HTTP インスペクションで 1 つの ルールと一致し、さらに IPv6 インスペクションを含む別の ルールとも一致した場合、IPv6 インスペクションは他のとタイプのインスペクションと組み合わせることができるため、両方のアクションが適用されます。

複数の機能アクションが適用される順序

サービス ポリシーの各種のアクションが実行される順序は、 テーブル中に出現する順序とは無関係です。

アクションは次の順序で実行されます。

1. QoS 入力ポリシング

2. TCP の正規化、TCP と UDP の接続制限値とタイムアウト、TCP シーケンス番号のランダム化、および TCP ステート バイパス


) ASAがプロキシ サービス(AAA や CSC など)を実行したり、TCP ペイロード(FTP インスペクション)を変更したりするときは、TCP ノーマライザはデュアル モードで動作します。その場合、サービスを変更するプロキシやペイロードの前後で適用されます。


3. ASA CSC

4. 他のインスペクションと組み合わせることができるアプリケーション インスペクション:

a. IPv6

b. IP オプション

c. WAAS

5. 他のインスペクションと組み合わせることができないアプリケーション インスペクション: 詳細については、「特定の機能アクションの非互換性」を参照してください。

6. ASA IPS

7. ASA CX

8. ASA FirePOWER(ASA SFR)

9. QoS 出力ポリシング

10. QoS 標準プライオリティ キュー


) NetFlow セキュア イベント ロギングのフィルタリングとアイデンティティ ファイアウォールのユーザ統計情報は順番に依存しません。


特定の機能アクションの非互換性

一部の機能は同じトラフィックに対して相互に互換性がありません。次のリストには、すべての非互換性が含まれていない場合があります。各機能の互換性については、その機能に関する章または項を参照してください。

QoS プライオリティ キューイングと QoS ポリシングは同じトラフィックの集合に対して設定できません。

ほとんどのインスペクションは別のインスペクションと組み合わせられないため、同じトラフィックに複数のインスペクションを設定しても、ASA は 1 つのインスペクションだけを適用します。HTTP インスペクションはクラウド Web セキュリティ インスペクションと組み合わせることができます。他の例外は、「複数の機能アクションが適用される順序」に記載されています。

トラフィックを ASA CX および ASA IPS などの複数のモジュールに送信されるように設定できません。

HTTP インスペクションは、ASA CX または ASA FirePOWER と互換性がありません。

クラウド ネットワーク セキュリティは、ASA CX または ASA FirePOWER と互換性がありません。


) デフォルト グローバル ポリシーで使用される の Default Inspection Traffic トラフィック クラスは、デフォルト ポートをすべてのインスペクションと照合する特別な CLI ショートカットです。ポリシー マップで使用すると、このクラス マップでは、トラフィックの宛先ポートに基づいて、各パケットに正しいインスペクションが適用されます。たとえば、宛先がポート 69 の UDP トラフィックが ASA に到達すると、ASA は TFTP インスペクションを適用し、宛先がポート 21 の TCP トラフィックが到着すると、ASA は FTP インスペクションを適用します。そのため、この場合に限って同じクラス マップに複数のインスペクションを設定できます。通常、ASA は、ポート番号を使用して適用するインスペクションを決定しないため、標準以外のポートなどにも柔軟にインスペクションを適用できます。

このトラフィック クラスには、クラウド Web セキュリティ インスペクション用のデフォルト ポートは含まれません(80 および 443)。


複数のサービス ポリシーの場合の機能照合

TCP および UDP トラフィック(およびステートフル ICMP インスペクションがイネーブルの場合は ICMP)の場合、サービス ポリシーはトラフィック フローに対して作用し、個々のパケットに限定されません。トラフィックが、1 つのインターフェイスのポリシーで定義されている機能に一致する既存の接続の一部である場合、そのトラフィック フローを別のインターフェイスのポリシーにある同じ機能と照合することはできません。最初のポリシーのみが使用されます。

たとえば、HTTP トラフィックが、HTTP トラフィックを検査する内部インターフェイスのポリシーと一致するときに、HTTP インスペクション用の外部インターフェイスに別のポリシーがある場合、そのトラフィックが外部インターフェイスの出力側でも検査されることはありません。同様に、その接続のリターン トラフィックが外部インターフェイスの入力ポリシーによって検査されたり、内部インターフェイスの出力ポリシーによって検査されたりすることもありません。

ステートフル ICMP インスペクションをイネーブルにしない場合の ICMP のように、フローとして扱われないトラフィックの場合は、リターン トラフィックを戻り側のインターフェイスの別のポリシー マップと照合できます。たとえば、内部および外部のインターフェイスで IPS を設定するとき、内部ポリシーでは仮想センサー 1 を使用するのに対して、外部ポリシーでは仮想センサー 2 を使用する場合、非ステートフル ping は仮想センサー 1 のアウトバウンド側を照合するだけでなく、仮想センサー 2 のインバウンド側も照合します。

サービス ポリシーのガイドライン

IPv6 のガイドライン

IPv6 は次の機能でサポートされています。

DNS、FTP、HTTP、ICMP、ScanSafe、SIP、SMTP、IPsec-pass-thru、および IPv6 のアプリケーション インスペクション。

ASA IPS

ASA CX

ASA FirePOWER

NetFlow セキュア イベント ロギングのフィルタリング

TCP と UDP の接続制限値とタイムアウト、および TCP シーケンス番号のランダム化

TCP の正規化

TCP ステート バイパス

アイデンティティ ファイアウォールのユーザ統計情報

クラスマップ(トラフィック クラス)のガイドライン

すべてのタイプのクラス マップ(トラフィック クラス)の最大数は、シングル モードでは 255 個、マルチ モードではコンテキストごとに 255 個です。クラス マップには、次のタイプがあります。

レイヤ 3/4 クラスマップ(通過トラフィックと管理トラフィック向け)。

インスペクション クラス マップ

正規表現クラス マップ

インスペクション ポリシー マップ下で直接使用される match コマンド

この制限には、すべてのタイプのデフォルト クラス マップも含まれ、ユーザ設定のクラス マップを約 235 に制限します。「デフォルトのクラス マップ(トラフィック クラス)」を参照してください。

サービス ポリシーのガイドライン

インターフェイス サービス ポリシーは、特定の機能に対するグローバル サービス ポリシーより優先されます。たとえば、FTP インスペクションのグローバル ポリシーと、TCP 正規化のインターフェイス ポリシーがある場合、FTP インスペクションと TCP 正規化の両方がインターフェイスに適用されます。これに対し、FTP インスペクションのグローバル ポリシーと、FTP インスペクションのインターフェイス ポリシーがある場合は、インターフェイス ポリシーの FTP インスペクションだけがインターフェイスに適用されます。

適用できるグローバル ポリシーは 1 つだけです。たとえば、機能セット 1 が含まれたグローバル ポリシーと、機能セット 2 が含まれた別のグローバル ポリシーを作成できません。すべての機能は 1 つのポリシーに含める必要があります。

コンフィギュレーションに対してサービス ポリシーの変更を加えた場合は、すべての 新しい 接続で新しいサービス ポリシーが使用されます。既存の接続では、その接続が確立された時点で設定されていたポリシーの使用が続行されます。 show コマンドの出力には、古い接続に関するデータは含まれません。

たとえばインターフェイスから QoS サービス ポリシーを削除し、変更したバージョンを追加した場合、 show service-policy コマンドには、新しいサービス ポリシーに一致する新しい接続に関連付けられた QoS カウンタだけが表示されます。古いポリシーの既存の接続はコマンド出力には表示されなくなります。

すべての接続が新しいポリシーを確実に使用するように、現在の接続を解除し、新しいポリシーを使用して再度接続できるようにします。 clear conn または clear local-host コマンドを使用してください。

サービス ポリシーのデフォルト

次の各トピックでは、サービス ポリシーとモジュラ ポリシー フレームワークのデフォルト設定について説明します。

「デフォルトのサービス ポリシー設定」

「デフォルトのクラス マップ(トラフィック クラス)」

デフォルトのサービス ポリシー設定

デフォルトでは、すべてのデフォルト アプリケーション インスペクション トラフィックに一致するポリシーがコンフィギュレーションに含まれ、特定のインスペクションがすべてのインターフェイスのトラフィックに適用されます(グローバル ポリシー)。すべてのインスペクションがデフォルトでイネーブルになっているわけではありません。適用できるグローバル ポリシーは 1 つだけなので、グローバル ポリシーを変更する場合は、デフォルトのポリシーを編集するか、デフォルトのポリシーをディセーブルにして新しいポリシーを適用します (特定の機能では、グローバル ポリシーはインターフェイス ポリシーより優先されます)。

デフォルト ポリシーには、次のアプリケーション インスペクションが含まれます。

DNS

FTP

H323(H225)

H323(RAS)

RSH

RTSP

ESMTP

SQLnet

Skinny(SCCP)

SunRPC

XDMCP

SIP

NetBios

TFTP

IP オプション

デフォルトのクラス マップ(トラフィック クラス)

設定には、ASA が Default Inspection Traffic というデフォルト グローバル ポリシーで使用するデフォルトのレイヤ 3/4 クラス マップ(トラフィック クラス)が含まれます。このクラス マップは、デフォルトのインスペクション トラフィックを照合します。デフォルト グローバル ポリシーで使用されるこのクラスは、デフォルト ポートをすべてのインスペクションと照合する特別なショートカットです。

ポリシーで使用すると、このクラスでは、トラフィックの宛先ポートに基づいて、各パケットに正しいインスペクションが適用されます。たとえば、宛先がポート 69 の UDP トラフィックが ASA に到達すると、ASA は TFTP インスペクションを適用し、宛先がポート 21 の TCP トラフィックが到着すると、ASA は FTP インスペクションを適用します。そのため、この場合に限って同じクラス マップに複数のインスペクションを設定できます。通常、ASA は、ポート番号を使用して適用するインスペクションを決定しないため、標準以外のポートなどにも柔軟にインスペクションを適用できます。

デフォルト コンフィギュレーションにある別のクラス マップは、class-default と呼ばれ、すべてのトラフィックと一致します。必要であれば、Any トラフィック クラスを使用してclass-default クラスを使用できます。実際、一部の機能は class-default でしか使用できません。

サービス ポリシーの設定

サービス ポリシーの設定では、インターフェイスあたりのサービス ポリシー ルール、またはグローバル ポリシーのサービス ポリシー ルールを 1 つ以上追加します。ASDM では、ウィザードを使用してサービス ポリシーを作成できます。それぞれのルールごとに、次の要素を指定します。

1. ルールを適用するインターフェイスまたはグローバル ポリシー。

2. アクションを適用するトラフィック。レイヤ 3 および 4 のトラフィックを指定できます。

3. トラフィック クラスに適用するアクション。トラフィック クラスごとに複数の競合しないアクションを適用できます。

ポリシーを作成した後にルールを追加したり、ルールやポリシーを移動、変更、または削除したりできます。次の各トピックでは、サービス ポリシーの設定方法について説明します。

「通過トラフィックのサービス ポリシー ルールの追加」

「管理トラフィックのサービス ポリシー ルールの追加」

「サービス ポリシー ルールの順序の管理」

通過トラフィックのサービス ポリシー ルールの追加

通過トラフィックのサービス ポリシー ルールを追加するには、[Add Service Policy Rule Wizard] を使用します。ポリシーの適用範囲として、特定のインターフェイスまたはグローバルのいずれかを選択するように求められます。

インターフェイス サービス ポリシーは、特定の機能に対するグローバル サービス ポリシーより優先されます。たとえば、FTP インスペクションを行うグローバル ポリシーと、TCP 接続制限を行うインターフェイス ポリシーが設定されている場合、インターフェイスには FTP インスペクションおよび TCP 接続制限がどちらも適用されます。これに対し、FTP インスペクションのグローバル ポリシーと、FTP インスペクションのインターフェイス ポリシーがある場合は、インターフェイス ポリシーの FTP インスペクションだけがインターフェイスに適用されます。

グローバル サービス ポリシーは、すべてのインターフェイスにデフォルト サービスを提供します。インターフェイス固有のポリシーで上書きされない限り、グローバル ポリシーが適用されます。デフォルト アプリケーション インスペクションのサービス ポリシー ルールを含むグローバル ポリシーは、デフォルトで存在します。詳細については、「サービス ポリシーのデフォルト」を参照してください。ウィザードを使用してルールをグローバル ポリシーに追加できます。

サービス ポリシーで設定できる機能については、「サービス ポリシーで設定される機能」を参照してください。


ステップ 1 [Configuration] > [Firewall] > [Service Policy Rules] を選択し、[Add] または [Add] > [Add Service Policy Rule] をクリックします。

 

ステップ 2 [Create a Service Policy and Apply To] 領域で次の操作を行います。

a. ポリシーを特定の インターフェイス に適用するか、すべてのインターフェイスに グローバル に適用するかを選択します。

b. [Interface] を選択した場合は、インターフェイスの名前を選択します。インターフェイスにすでにポリシーが設定されている場合は、既存のポリシーにルールを追加していることになります。

c. インターフェイスにまだサービス ポリシーが設定されていない場合は、新しいポリシーの名前を入力します。

d. (オプション)ポリシーの説明を入力します。

e. (オプション)[Drop and log unsupported IPv6 to IPv6 traffic] オプションをオンにして、IPv6 トラフィックをサポートしないアプリケーション インスペクションによってドロップされる IPv6 トラフィックの syslog(767001)を生成します。デフォルトでは、syslog が生成されません。IPv6 をサポートするインスペクションのリストについては、「IPv6 のガイドライン」を参照してください。

f. [Next] をクリックします。

ステップ 3 [Traffic Classification Criteria] ページで、次のいずれかのオプションを選択してポリシー アクションを適用するトラフィックを指定し、[Next] をクリックします。

[Create a new traffic class]。トラフィック クラスの名前を入力し、任意で説明を入力します。

基準のいずれかを使用してトラフィックを特定します。

[Default Inspection Traffic]:このクラスは、ASA が検査可能なすべてのアプリケーションによって使用される、デフォルトの TCP および UDP ポートを照合します。[Next] をクリックすると、このクラスで定義されているサービスとポートが表示されます。

デフォルト グローバル ポリシーで使用されるこのオプションは、ルール内で使用されると、トラフィックの宛先ポートに基づいて、パケットごとに正しい検査が適用されるようにします。詳細については、「デフォルトのクラス マップ(トラフィック クラス)」を参照してください。

デフォルト ポートのリストについては、「デフォルト インスペクションと NAT に関する制限事項」を参照してください。ASA には、デフォルトのインスペクション トラフィックに一致して、すべてのインターフェイス上のトラフィックに共通検査を適用するデフォルト グローバル ポリシーが含まれます。Default Inspection Traffic クラスにポートが含まれているすべてのアプリケーションが、ポリシー マップにおいてデフォルトでイネーブルになっているわけではありません。

Source and Destination IP Address(ACL を使用)クラスを Default Inspection Traffic クラスと一緒に指定して、照合されるトラフィックを絞り込むことができます。Default Inspection Traffic クラスは一致するポートとプロトコルを指定するので、アクセス リストのポートとプロトコルはすべて無視されます。

[Source and Destination IP Address (uses ACL)]:このクラスは拡張アクセス リストで指定されているトラフィックを照合します。ASA がトランスペアレント ファイアウォール モードで動作している場合は、EtherType ACL を使用できます。[Next] をクリックすると、アクセス コントロール エントリの属性を入力するように求められます。ウィザードによって ACL が作成されます。既存の ACL を選択することはできません。

ACE を定義するときに [Match] オプションを選択すると、アドレスに一致するトラフィックにアクションを適用するルールが作成されます。[Do Not Match] オプションでは、トラフィックを指定したアクションの適用から免除します。たとえば、10.1.1.25 を除いて、10.1.1.0/24 のトラフィックすべてを照合し、そのトラフィックに接続制限を適用するとします。この場合は、2 つのルール([Match] オプションを使用した 10.1.1.0/24 に対するルールおよび [Do Not Match] オプションを使用した 10.1.1.25 に対するルール)を作成します。必ず、Do Not Match ルールが Match ルールの上になるように配置してください。順序を逆にすると、10.1.1.25 が最初に Match ルールを照合することになります。


) このタイプの新しいトラフィック クラスを作成する場合は、最初にアクセス コントロール エントリ(ACE)を 1 つだけ指定できます。ルールを追加した後は、同じインターフェイスまたはグローバル ポリシーに新しいルールを追加してから [Add rule to existing traffic class] を指定することによって、ACE を追加できます(以下を参照)。


[Tunnel Group]:このクラスは、QoS を適用するトンネル グループ(接続プロファイル)のトラフィックを照合します。その他にもう 1 つのトラフィック照合オプションを指定してトラフィック照合対象をさらに絞込み、[Any Traffic]、[Source and Destination IP Address (uses ACL)]、または [Default Inspection Traffic] を排除できます。

[Next] をクリックすると、トンネル グループを選択するように求められます(必要に応じて新しい接続グループを作成できます)。各フローをポリシングするには、[Match flow destination IP address] をオンにします。固有の IP 宛先アドレスに向かうトラフィックは、すべてフローと見なされます。

[TCP or UDP Destination Port]:1 つのポートまたは連続する一定範囲のポートを照合します。[Next] をクリックすると、 TCP または UDP のいずれかを選択してポート番号を入力するように求められます。ASDM ですでに定義されているポートを選択するには、[...] をクリックします。


ヒント 複数の非連続ポートを使用するアプリケーションの場合は、[Source and Destination IP Address (uses ACL)] を使用して各ポートを照合します。

[RTP Range]:クラス マップは、RTP トラフィックを照合します。[Next] をクリックすると、2000 ~ 65534 の間の RTP ポート範囲を入力するように求められます。範囲内の最大ポート数は、16383 です。

[IP DiffServ CodePoints (DSCP)]:このクラスは、IP ヘッダーの最大 8 つの DSCP 値を照合します。[Next] をクリックすると、目的の値を選択または入力する(それらの値を [Match] または [DSCP] リストに移動する)ように求められます。

[IP Precedence]:このクラス マップは、IP ヘッダーの TOS バイトによって表される、最大 4 つの Precedence 値を照合します。[Next] をクリックすると、値を入力するように求められます。

[Any Traffic]:すべてのトラフィックを照合します。

[Add rule to existing traffic class]。すでに同じインターフェイスにサービス ポリシー ルールを指定している場合、またはグローバル サービス ポリシーを追加する場合は、このオプションによって既存のアクセス リストに ACE を追加できます。このインターフェイスのサービス ポリシー ルールで [Source and Destination IP Address (uses ACL)] オプションを選択した場合は、事前に作成したすべてのアクセス リストに ACE を追加できます。このトラフィック クラスでは、複数の ACE を追加する場合であっても、1 セットのルール アクションしか指定できません。この手順全体を繰り返すことによって、複数の ACE を同じトラフィック クラスに追加できます。ACE の順序の変更方法については、「サービス ポリシー ルールの順序の管理」を参照してください。[Next] をクリックすると、アクセス コントロール エントリの属性を入力するように求められます。

[Use an existing traffic class]。 別のインターフェイスのルールで使用されるトラフィック クラスを作成した場合は、そのトラフィック クラス定義をこのルールで再使用できます。1 つのルールのトラフィック クラスを変更すると、その変更は同じトラフィック クラスを使用するすべてのルールに継承されます。コンフィギュレーションに CLI で入力した class-map コマンドが含まれている場合は、それらのトラフィック クラス名も使用できます(ただし、そのトラフィック クラスの定義を表示するには、そのルールを作成する必要があります)。

[Use class default as the traffic class]。このオプションでは、すべてのトラフィックを照合する class-default クラスを使用します。class-default クラスは、ASA によって自動的に作成され、ポリシーの最後に配置されます。このクラスは、アクションを何も適用しない場合でも ASA によって作成されますが、内部での使用に限られます。必要に応じて、このクラスにアクションを適用できます。これは、すべてのトラフィックを照合する新しいトラフィック クラスを作成するよりも便利な場合があります。class-default クラスを使用して、このサービス ポリシーにルールを 1 つだけ作成できます。これは、各トラフィック クラスを関連付けることができるのは、サービス ポリシーごとに 1 つのルールだけであるためです。

ステップ 4 追加設定が必要なトラフィック一致基準を選択した場合は、目的のパラメータを入力して [Next] をクリックします。

ステップ 5 [Rule Actions] ページで、1 つまたは複数のルール アクションを設定します。適用できる機能およびアクション(詳細情報へのリンクを含む)については、「サービス ポリシーで設定される機能」を参照してください。

ステップ 6 [Finish] をクリックします。


 

管理トラフィックのサービス ポリシー ルールの追加

管理目的で ASA に向けられるトラフィックのサービス ポリシー ルールを追加するには、[Add Service Policy Rule] ウィザードを使用します。ポリシーの適用範囲として、特定のインターフェイスまたはグローバルのいずれかを選択するように求められます。

インターフェイス サービス ポリシーは、特定の機能に対するグローバル サービス ポリシーより優先されます。たとえば、RADIUS アカウンティング インスペクションを使用するグローバル ポリシーと接続制限を使用するインターフェイス ポリシーがある場合、RADIUS アカウンティングと接続制限の両方がそのインターフェイスに適用されます。ただし、RADIUS アカウンティングを使用するグローバル ポリシーと RADIUS アカウンティングを使用するインターフェイス ポリシーがある場合、インターフェイス ポリシー RADIUS アカウンティングだけがそのインターフェイスに適用されます。

グローバル サービス ポリシーは、すべてのインターフェイスにデフォルト サービスを提供します。インターフェイス固有のポリシーで上書きされない限り、グローバル ポリシーが適用されます。デフォルト アプリケーション インスペクションのサービス ポリシー ルールを含むグローバル ポリシーは、デフォルトで存在します。詳細については、「サービス ポリシーのデフォルト」を参照してください。ウィザードを使用してルールをグローバル ポリシーに追加できます。

サービス ポリシーで設定できる機能については、「サービス ポリシーで設定される機能」を参照してください。


ステップ 1 [Configuration] > [Firewall] > [Service Policy Rules] を選択し、[Add] または [Add] > [Add Management Service Policy Rule] をクリックします。

ステップ 2 [Create a Service Policy and Apply To] 領域で次の操作を行います。

a. ポリシーを特定の インターフェイス に適用するか、すべてのインターフェイスに グローバル に適用するかを選択します。

b. [Interface] を選択した場合は、インターフェイスの名前を選択します。インターフェイスにすでにポリシーが設定されている場合は、既存のポリシーにルールを追加していることになります。

c. インターフェイスにまだサービス ポリシーが設定されていない場合は、新しいポリシーの名前を入力します。

d. (オプション)ポリシーの説明を入力します。

e. [Next] をクリックします。

ステップ 3 [Traffic Classification Criteria] ページで、次のいずれかのオプションを選択してポリシー アクションを適用するトラフィックを指定し、[Next] をクリックします。

[Create a new traffic class]。トラフィック クラスの名前を入力し、任意で説明を入力します。

基準のいずれかを使用してトラフィックを特定します。

[Source and Destination IP Address (uses ACL)]:このクラスは拡張アクセス リストで指定されているトラフィックを照合します。ASA がトランスペアレント ファイアウォール モードで動作している場合は、EtherType ACL を使用できます。[Next] をクリックすると、アクセス コントロール エントリの属性を入力するように求められます。ウィザードによって ACL が作成されます。既存の ACL を選択することはできません。

ACE を定義するときに [Match] オプションを選択すると、アドレスに一致するトラフィックにアクションを適用するルールが作成されます。[Do Not Match] オプションでは、トラフィックを指定したアクションの適用から免除します。たとえば、10.1.1.25 を除いて、10.1.1.0/24 のトラフィックすべてを照合し、そのトラフィックに接続制限を適用するとします。この場合は、2 つのルール([Match] オプションを使用した 10.1.1.0/24 に対するルールおよび [Do Not Match] オプションを使用した 10.1.1.25 に対するルール)を作成します。必ず、Do Not Match ルールが Match ルールの上になるように配置してください。順序を逆にすると、10.1.1.25 が最初に Match ルールを照合することになります。

[TCP or UDP Destination Port]:1 つのポートまたは連続する一定範囲のポートを照合します。[Next] をクリックすると、 TCP または UDP のいずれかを選択してポート番号を入力するように求められます。ASDM ですでに定義されているポートを選択するには、[...] をクリックします。


ヒント 複数の非連続ポートを使用するアプリケーションの場合は、[Source and Destination IP Address (uses ACL)] を使用して各ポートを照合します。

[Add rule to existing traffic class]。すでに同じインターフェイスにサービス ポリシー ルールを指定している場合、またはグローバル サービス ポリシーを追加する場合は、このオプションによって既存のアクセス リストに ACE を追加できます。このインターフェイスのサービス ポリシー ルールで [Source and Destination IP Address (uses ACL)] オプションを選択した場合は、事前に作成したすべてのアクセス リストに ACE を追加できます。このトラフィック クラスでは、複数の ACE を追加する場合であっても、1 セットのルール アクションしか指定できません。この手順全体を繰り返すことによって、複数の ACE を同じトラフィック クラスに追加できます。ACE の順序の変更方法については、「サービス ポリシー ルールの順序の管理」を参照してください。[Next] をクリックすると、アクセス コントロール エントリの属性を入力するように求められます。

[Use an existing traffic class]。 別のインターフェイスのルールで使用されるトラフィック クラスを作成した場合は、そのトラフィック クラス定義をこのルールで再使用できます。1 つのルールのトラフィック クラスを変更すると、その変更は同じトラフィック クラスを使用するすべてのルールに継承されます。コンフィギュレーションに CLI で入力した class-map コマンドが含まれている場合は、それらのトラフィック クラス名も使用できます(ただし、そのトラフィック クラスの定義を表示するには、そのルールを作成する必要があります)。

ステップ 4 追加設定が必要なトラフィック一致基準を選択した場合は、目的のパラメータを入力して [Next] をクリックします。

ステップ 5 [Rule Actions] ページで、1 つまたは複数のルール アクションを設定します。

RADIUS アカウンティング インスペクションを設定するには、[RADIUS Accounting Map] ドロップダウン リストからインスペクション マップを選択するか、または [Configure] をクリックしてマップを追加します。詳細については、「サービス ポリシーで設定される機能」を参照してください。

接続を設定するには、「接続の設定」を参照してください。

ステップ 6 [Finish] をクリックします。


 

サービス ポリシー ルールの順序の管理

インターフェイス上またはグローバル ポリシー内でのサービス ポリシー ルールの順序は、トラフィックへのアクションの適用方法に影響します。パケットがサービス ポリシーのルールを照合する方法については、次のガイドラインを参照してください。

パケットは、機能タイプごとにサービス ポリシーのルールを 1 つだけ照合できます。

パケットが、1 つの機能タイプのアクションを含むルールを照合する場合、ASA は、その機能タイプを含む、後続のどのルールに対してもそのパケットを照合しません。

ただし、そのパケットが異なる機能タイプの後続のルールを照合する場合、ASA は後続ルールのアクションも適用します。

たとえば、パケットが接続制限のルールを照合し、アプリケーション インスペクションのルールも照合する場合は、両方のアクションが適用されます。

パケットがアプリケーション インスペクションのルールを照合し、アプリケーション インスペクションを含む別のルールを照合する場合、2 番目のルール アクションは適用されません。

ルールに複数の ACE が組み込まれたアクセス リストが含まれる場合は、ACE の順序もパケット フローに影響します。ASA は、リストのエントリの順序に従って、各 ACE に対してパケットをテストします。一致が見つかると、ACE はそれ以上チェックされません。たとえば、すべてのトラフィックを明示的に許可する ACE を ACL の先頭に作成した場合は、残りのステートメントはチェックされません。

ルールまたはルール内での ACE の順序を変更するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Service Policy Rules] ペインで、上または下に動かすルールまたは ACE を選択します。

ステップ 2 [Move Up] または [Move Down] ボタンをクリックします。

図 1-1 ACE の移動

 


) 複数のサービス ポリシーで使用されるアクセス リストで ACE を並べ替えると、その変更はすべてのサービス ポリシーで継承されます。


ステップ 3 ルールまたは ACE を並べ替えたら、[Apply] をクリックします。


 

サービス ポリシーの履歴

 

機能名
リリース
説明

モジュラ ポリシー フレームワーク

7.0(1)

モジュラ ポリシー フレームワークが導入されました。

RADIUS アカウンティング トラフィックで使用する管理クラス マップ

7.2(1)

RADIUS アカウンティング トラフィックで使用する管理クラス マップが導入されました。 class-map type management コマンドおよび inspect radius-accounting コマンドが導入されました。

インスペクション ポリシー マップ

7.2(1)

インスペクション ポリシー マップが導入されました。 class-map type inspect コマンドが導入されました。

正規表現およびポリシー マップ

7.2(1)

インスペクション ポリシー マップで使用される正規表現およびポリシー マップが導入されました。 class-map type regex コマンド、 regex コマンド、および match regex コマンドが導入されました。

インスペクション ポリシー マップの match any

8.0(2)

インスペクション ポリシー マップで使用される match any キーワードが導入されました。トラフィックを 1 つ以上の基準に照合してクラス マップに一致させることができます。以前は、 match all だけが使用可能でした。