ASA CX および Cisco Prime Security Manager 9.0 ユーザ ガイド
ポリシー オブジェクトの管理
ポリシー オブジェクトの管理
発行日;2013/04/11   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

ポリシー オブジェクトの管理

ポリシー オブジェクトは、ポリシー内で使用する基準を定義した再利用可能なコンテナです。 ここでは、ポリシー オブジェクトについてより詳細に説明します。

ポリシー オブジェクトの概要

ポリシー オブジェクトは、ポリシー内で使用する基準を定義した再利用可能なコンテナです。 一部のオブジェクトは、トラフィック一致基準を定義します。たとえば、ネットワーク グループは、アクセスを制御したりアイデンティティ ポリシーを定義したりするホストまたはネットワークを指定できます。 アクション プロファイルを定義するオブジェクトもあります。これは、一致したトラフィックに対して特定のタイプのサービスを適用します。

ポリシー オブジェクトでは提案基準を定義することができ、同じ基準を異なるポリシーで簡単に再利用できるようになります。 ポリシー オブジェクトを更新すると、そのオブジェクトを使用するすべてのポリシーが自動的に更新されます。

ASA CX では、必ずポリシーでポリシー オブジェクトを使用する必要があります。トラフィック照合設定やアクション プロファイル設定を直接ポリシーに入力することはできません。 [Policy Objects] ページでは、独立してオブジェクトを作成できるという柔軟性があります。また、ポリシーの設定中にオブジェクトを作成することもできます。

オブジェクトの作成、編集、削除、表示を行う [Policy Objects] ページを開くには、[Policies] > [Objects] を選択します。

[Policy Objects] ページには、次の項目が含まれています。
  • Filter:あらゆるタイプの全オブジェクトが 1 つのリストに表示されるので、通常、オブジェクトを探しやすくするためにはビューをフィルタリングする必要があります。 この [Filter] フィールドは、オブジェクト タイプおよび単一の検索文字列を含めることができる、複数エントリ編集ボックスです。
    • ドロップダウン矢印を使用して、オブジェクト タイプに基づいてリストをフィルタリングします。複数のタイプを選択可能です。 あるタイプを削除するには、編集ボックスでオブジェクト タイプ名の [X] をクリックします。 1 つ以上のオブジェクト タイプを選択した場合、選択したタイプに対してのみ、入力した文字列が照合されます。
    • 文字列を入力します。 入力すると、リストが自動的にフィルタリングされます。 入力する文字列は、一致と見なされるオブジェクトのオブジェクト内のどこにあってもかまいません。 つまり、文字列がオブジェクト名の先頭に一致している必要はありません。
  • [I want to]:このリストには、オブジェクトのタイプごとに [Add] コマンドが含まれています。 次に、各オブジェクト タイプについて簡単に説明します。
    • [ASA CX Network Group]:ホストとネットワークを識別する IP アドレス。 これらのオブジェクトは、ASA CX でのみ使用可能です。
    • [Service Group]:プロトコルとポートの定義。たとえば、ポート 80 の TCP トラフィックの場合は TCP/80。
    • [Identity Object]:ユーザ名およびユーザ グループ名を含む、ユーザのアイデンティティ。
    • [URL Object]:Web ドメインまたはサーバ(example.com、www.example.com など)の Web URL リソース(HTTP または HTTPS のみ。http://example.com/games など)、および Web(URL)カテゴリ。
    • [User Agent Object]:HTTP 要求の作成に使用されたエージェントのタイプ。HTTP パケット ヘッダーのユーザ エージェント フィールドに示されます。 たとえば、ブラウザのタイプ(Internet Explorer、Firefox など)があります。
    • [Application Object]:アプリケーションまたはアプリケーション タイプ。特定の接続セッションで使用されるポートにかかわらず特定できます。
    • [Secure Mobility Object]:AnyConnect Secure Mobility のリモート アクセス VPN 接続で使用されているクライアントのプラットフォーム(オペレーティング システム)。これは、ネットワークに接続しているデバイスのタイプを示します。
    • [Application Service]:サービス グループ オブジェクト(従来のプロトコルとポートの指定)、アプリケーション名、アプリケーション タイプ、またはアプリケーション オブジェクトの組み合わせに基づいてアプリケーションを定義。 OR 結合された複数の組み合わせを作成することにより、単一のアプリケーション サービス オブジェクトで正確なトラフィック パターンを定義できます。
    • [Destination Object Group]:ポリシーの宛先フィールドに指定可能なオブジェクトを使用して、宛先に関する複雑なトラフィック一致基準を定義します。 AND 結合されたネットワーク グループと URL オブジェクトの定義を作成することにより、全オブジェクトの条件が満たされないとトラフィックがポリシーに一致しないようにすることができます。 OR 結合された複数の組み合わせを作成することにより、単一の宛先オブジェクト グループで正確なトラフィック宛先パターンを定義できます。
    • [Source Object Group]:ポリシーの送信元フィールドに指定可能なオブジェクトを使用して、送信元に関する複雑なトラフィック一致基準を定義します。 AND 結合されたネットワーク グループ、アイデンティティ、ユーザ エージェント、およびセキュア モビリティ オブジェクトの定義を作成することにより、全オブジェクトの条件が満たされないとトラフィックがポリシーに一致しないようにすることができます(このような関係をアクセス ポリシー内に直接作成することはできません)。 OR 結合された複数の組み合わせを作成することにより、単一の送信元オブジェクト グループで正確なトラフィック送信元パターンを定義できます。
    • [File Filtering Profile]:アップロードまたはダウンロードをユーザに許可するファイルのタイプを制御するアクション プロファイル。
    • [Web Reputation Profile]:その他の点では許可された Web ページについて、Web サイトのパブリック レピュテーションに基づき、ユーザに返せる部分を制御するアクション プロファイル。
  • [List of Policy Objects]:すべてのポリシー オブジェクトが単一のリストに表示されます。 オブジェクトごとに、オブジェクト名、オブジェクトの内容の要約が表示され、右側には、オブジェクト タイプと、そのオブジェクトが使用されているポリシーとオブジェクトの要約(ある場合)が表示されます。 [Pending Commit] バナーが右側に表示されている場合、そのオブジェクトはまだデバイス データベースにコミットされていません。
    オブジェクトに関連するコマンドを表示するには、そのオブジェクトの上にマウスを置きます。オブジェクトの行の下に次のコマンドが現れます。
    • [Delete Object]:オブジェクトを削除します。 ポリシーまたは別のオブジェクトで現在使用中のオブジェクトを削除することはできません。また、システムにより作成されたオブジェクト(事前定義システム オブジェクト)も削除できません。
    • [Edit Object]:オブジェクトを編集します。
    • [View Object]:(事前定義システム オブジェクトのみ)オブジェクトの内容を表示します。

ポリシー オブジェクトの設定

ポリシー オブジェクトは、[Policy Objects] ページから直接設定することも、[Policies] ページでポリシーを設定するときに設定することもできます。 いずれの方法でも結果は同じで、新規オブジェクトまたは更新されたオブジェクトが作成されるため、適宜、要件に合った方法を使用してください。


(注)  


事前定義システム オブジェクトの内容は、表示可能ですが編集できません。 何らかの変更が行われても、ASA には適用されません。影響を受けるのは、ASA CX ポリシーに対するオブジェクトの使用のみです。


手順
    ステップ 1   オブジェクトを作成または編集するためのフォームを開くには、次のいずれかを実行します。
    • オブジェクトを直接作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add Policy Type] を選択します。

    • オブジェクトを直接編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

    • ポリシーの編集時にオブジェクトを作成するには、[Policies] > [Policies] を選択し、ポリシーの作成または編集を行い、オブジェクトを追加するフィールドの下の [Create New Object] リンクをクリックします。 複数のタイプのオブジェクトを指定できるフィールドの場合は、[Object Type] フィールドでタイプを選択してからオブジェクトのプロパティを入力します。

    • ポリシーの編集時にオブジェクトを編集するには、[Policies] > [Policies] を選択し、ポリシーの作成または編集を行います。 次に、オブジェクトの詳細フォームを開く必要があります。詳細フォームの [Edit Object] ボタンをクリックすると、オブジェクトの定義を編集できます。
      • オブジェクトがすでにポリシーに指定されている場合は、そのオブジェクトの上にマウスを置きます。
      • オブジェクトが指定されていない場合は、オブジェクトを追加するフィールドの空白部分をクリックして使用可能なオブジェクトのリストを開き、そのリストで該当するオブジェクトを見つけ、オブジェクト横の [View Details] リンクをクリックしてください。
    ステップ 2   オブジェクトのプロパティを入力します。プロパティは、オブジェクト タイプに応じて異なります。 オブジェクト タイプの詳細については、リファレンス トピックを参照してください。

    最低でも、オブジェクトの名前は入力してください。 名前は、選択したタイプのオブジェクト間だけではなく、すべてのタイプのオブジェクト間で固有のものにする必要があります。 既存のオブジェクトの名前を変更すると、そのオブジェクトを参照しているすべてのポリシー オブジェクトまたはポリシーでもオブジェクト名が変更されます。

    オブジェクトに許可リストとブロック リストの両方が含まれている場合、ブロック リストは許可リストの内容だけに関連したものとなり、許可リストの基準と一致する項目が除外対象となります。 許可リストの一般的なデフォルト値である Any が使用されるのは、許可プロパティを一切指定しなかった場合のみです。 1 つでも許可プロパティに項目を指定すると、その他のプロパティのデフォルトが削除され、明示的に値を入力するまでそれらのプロパティは無視されます。

    ヒント   

    オブジェクトには複数の値を入力可能であり、明示的に AND を指定しない限り、それらの値には OR 関係があると見なされます。 したがって、指定された項目のいずれかにトラフィックが一致すれば、そのトラフィックはオブジェクトと一致することになります。 一般的に、オブジェクトには値を入力したり、他の既存オブジェクトをネストできるフィールドが複数あります。 たとえば、URL オブジェクトの場合、特定の URL、Web カテゴリ、および他の URL オブジェクトを組み合わせて入力できます。 ブランクのままにしたフィールドは無視されます。

    ステップ 3   [Save Object] をクリックして、変更を保存します。

    ポリシー オブジェクトの削除

    不要になったポリシー オブジェクトは削除できますが、次の制限があります。

    • 事前定義システム オブジェクトは削除できません。
    • ポリシーやポリシー オブジェクトなどで現在使用中のオブジェクトは削除できません。 オブジェクトを削除する前に、オブジェクトへの参照をすべて削除する必要があります。 オブジェクトの [Object Usage] リストを調べて、オブジェクトを使用しているポリシーまたはオブジェクトを確認してください。
    手順
      ステップ 1   [Policies] > [Objects] を選択します。

      オブジェクトはフラットなリストに編成されます。 リストの順序は、最初はオブジェクト タイプに基づき、同じタイプのすべてのオブジェクトは、オブジェクト タイプが [Policy Objects] ドロップダウン リストに表示される順序と同じ順序が維持されます。

      個々のポリシー オブジェクトに関連したコマンドを参照するには、そのオブジェクトの名前にマウスを置きます。 これで目的のコマンドを選択できます。

      既存のポリシー オブジェクトについて処理する必要がある場合、フィルタ コントロールを使用すると、変更するオブジェクトを簡単に見つけることができます。

      ステップ 2   削除するオブジェクトの上にマウスを置き、[Delete Object] をクリックします。

      ポリシー オブジェクトのリファレンス

      ここでは、さまざまなタイプのポリシー オブジェクトについて説明します。

      ポリシー オブジェクトの共通プロパティ

      次の表に、ほとんどのポリシー オブジェクトに見られるプロパティを示します。 各オブジェクトに固有のプロパティについては、個々のポリシー オブジェクトに関するリファレンス情報を参照してください。

      表 1 ポリシー オブジェクトの共通プロパティ

      プロパティ

      説明

      Name

      オブジェクトの名前。

      オブジェクトの編集時に名前を変更すると、そのオブジェクトを参照しているポリシーまたはオブジェクトでも名前が自動的に変更されます。

      Object Type

      オブジェクトのタイプ。 ポリシーの編集時にオブジェクトを作成する場合は、関連付けられているフィールドで、サポートされるオブジェクト タイプの中から目的のタイプを選択できます。 それ以外の場合、この情報は読み取り専用です。

      Description

      オブジェクトの説明。

      Ticket ID

      ご使用のサポート システム(Remedy など)からのケース ID またはチケット ID。 ネットワーク サポート ケースに関連する変更を行う場合、トラッキング用にここにチケット ID を入力できます。 新しい ID を入力するか、保留中の変更に使用されている既存の ID から選択することができます。必要なだけの ID を指定します。 (すでにコミットされている変更で使用した ID は、このリストに表示されません)

      Tags

      この項目の識別に役立つ語とフレーズ。 たとえば、同じタグを複数の項目に割り当てると、検索での表示が容易になります。 タグでは、ユーザが選択した使用例、目的、またはその他の特性を識別できます。 これらのタグは、ユーザの目的にのみ対応しています。システムやポリシーの機能には影響しません。 複数のタグを入力(または選択)できます。

      Object Information

      オブジェクトに関する情報は、通常、オブジェクト ウィンドウの右側に表示され、次の情報が含まれています。
      • [Status]:オブジェクトの現在の状態。次のものがあります。
        • [Pending (New)]:新しいオブジェクトであり、これまでコミットされたことはありません。
        • [Pending (Modified)]:前回のコミット以降、オブジェクトが変更されています。
        • [Committed]:オブジェクトはデバイス構成にコミットされており、前回のコミット以降、変更されていません。
      • [Created]:オブジェクトが作成された日付、およびオブジェクトを作成したユーザのユーザ ID。 System ユーザの場合、そのオブジェクトが事前定義システム オブジェクトであることを示します。 システム オブジェクトは変更または削除もできません。

      Object Type Objects

      同じオブジェクト タイプの 1 つ以上の既存オブジェクト。 このフィールドをクリックすると、既存オブジェクトのドロップダウン リストが開きます。このリストは、入力によりスクロールされ、フィルタリングされます。 オブジェクトを指定しなかった場合、またはオブジェクト内の他のプロパティを指定しなかった場合は、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのオブジェクトも除外されません。

      複数のタイプのオブジェクトを含めることが可能な場合は、ドロップダウン矢印リストからオブジェクト タイプを選択すると、リストを事前にフィルタリングできます。

      複数の項目を入力するには、[Enter] を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、項目をクリックして編集を行い、[Enter] を押します。 ボックスにすでに入っている項目を削除するには、項目の上にマウスを置き、項目名の右側にある [X] またはその項目をクリックして、次に [Delete] を押して項目を削除し、対象から離れた場所をクリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。

      Usage

      このオブジェクトを使用している、ポリシーおよびオブジェクトについての情報。 ポリシー用と他のオブジェクト用のフォルダが別になっています。そのフォルダの見出しには、このオブジェクトを使用している、ポリシーまたは他のオブジェクトの数が含まれています。 フォルダの中で、各ポリシーまたはオブジェクトに関する詳細な情報を確認できます。

      ネットワーク グループとネットワーク オブジェクト

      ネットワーク グループおよびネットワーク オブジェクト(まとめてネットワーク オブジェクトと呼ばれる)は、ポリシーのトラフィック一致基準を定義するという目的で、ホストまたはネットワークの IP アドレスを定義するために使用します。 ネットワーク オブジェクトには次のタイプがあります。
      • ASA CX ネットワーク グループ:これらのオブジェクトは、ASA CX のポリシーまたはオブジェクトでのみ使用できます。
      • ネットワーク グループまたはネットワーク オブジェクト:(マルチ デバイス モードのみ)。これらのオブジェクトは、ASA または ASA CX のポリシーまたはオブジェクトで使用できます。 既存の ASA 設定からこれらのオブジェクトを検出し、編集または削除できます。 何らかの変更が行われても、ASA には適用されません。影響を受けるのは、ASA CX ポリシーに対するオブジェクトの使用のみです。

      ネットワーク オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

      許可リストとブロック リストASA CX ネットワーク グループのみ)。
      許可リストとブロック リストという 2 つのプロパティのリストを設定できます。 ブロック リストは必ず許可リストに関連したものとなり、リストに含まれている項目を除外します。 ブロック リストの有効範囲はオブジェクト内に限定され、同じポリシーで選択される可能性のある他のオブジェクトには適用されません。 次のヒントを考慮してください。
      • 許可リスト内のすべてのプロパティのデフォルトを Any にした場合でも、ブロック リストに項目を指定できます。 得られたオブジェクトは、「除外項目を除いたこのオブジェクト タイプのすべて」に適用されます。
      • 許可リストに、ポリシー オブジェクトの選択などのプロパティを指定すると、ブロック リストはその選択項目に限定されます。 ブロック フィールドは、許可リスト内の同じ名前のフィールドとまったく関連していません。
      • オブジェクトはブロック フィールド内で定義された項目のコンテナにすぎません。 オブジェクトを許可またはブロックすることは、オブジェクトの内容を収容先のオブジェクトに手動で入力することと同等です。
      IP Addresses

      IP アドレスのリスト。 少なくとも 1 つの IP アドレスまたはネットワーク グループ オブジェクトを指定する必要があります。

      複数の項目を入力するには、[Enter] を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、項目をクリックして編集を行い、[Enter] を押します。 ボックスにすでに入っている項目を削除するには、項目の上にマウスを置き、項目名の右側にある [X] またはその項目をクリックして、次に [Delete] を押して項目を削除し、対象から離れた場所をクリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。

      アドレスは次の形式で入力できます。
      • ホスト IP アドレス。次のいずれか。
        • 標準 IPv4 アドレス(10.100.10.10 など)。
        • 圧縮形式の IPv6 アドレス。この形式では、連続する 0 フィールドが :: に置き換られます(2001:DB8::0DB8:800:200C:417A など)。
        • 非圧縮形式の IPv6 アドレス(2001:DB8:0:0:0DB8:800:200C:417A など)。 これらのアドレスは圧縮形式に変換されます。
        • IPv4 アドレスを IPv6 表記したもの(::10.1.68.3、2001:DB8::10.1.68.3 など)。
      • ネットワーク アドレス。次のいずれか。
        • サブネット マスクを含む IPv4 ネットワーク(10.100.10.0/24、10.100.10.0/255.255.255.0 など)。
        • プレフィックスを含む IPv6 ネットワーク(2001:DB8:0:CD30::/60 など)。
      • IPv4 アドレス範囲。範囲の先頭と末尾のアドレスをハイフンで区切る(10.100.10.5-10.100.10.10 など)。 先頭のアドレスは、2 番目のアドレスよりも小さい数値にする必要があります。 IPv6 アドレス範囲は入力できません。
      Hostname(ネットワーク オブジェクトのみ)。

      DNS ホスト名(server.example.com など)。

      Network Objects(ネットワーク グループ オブジェクト、ASA CX および ASA のみ)。
      グループ オブジェクトに含めるネットワーク オブジェクト(ある場合)。次の制限があります。
      • ASA CX ネットワーク オブジェクトには、ASA CX ネットワーク オブジェクト、ネットワーク グループ、およびネットワーク オブジェクトというタイプのオブジェクトを含めることができます。
      • ネットワーク オブジェクト(ASA と ASA CX の間で共有できるもの)には、ネットワーク グループおよびネットワーク オブジェクトというタイプのオブジェクトを含めることができます。

      ナビゲーション パス

      • ASA CX のネットワーク グループ オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add ASA CX Network Group] を選択します。
      • ネットワーク グループ オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 ポリシーの編集中にオブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      サービス グループ オブジェクト

      サービス グループ オブジェクトは、プロトコルとポートまたは ICMP サービスに基づいてトラフィック パターンを定義するために使用します。 特に、ポートまたはポート範囲、あるいは ICMP サービスを対象とする場合に、これらのオブジェクトを使用します。 特定の接続セッションで使用されるポートにかかわらず、必ず、特定のアプリケーションを対象とする必要がある場合は、アプリケーション オブジェクトの使用を検討してください。 サービス グループには、ファイアウォール ルール用の従来のポート ベースの一致基準が用意されています。

      次の 2 つのタイプのサービス オブジェクトがあります。
      • サービス グループ:これらのオブジェクトは、ASA または ASA CX のポリシーまたはオブジェクトで使用できます。 マルチ デバイス モードでは、既存の ASA 設定からこれらのオブジェクトを検出し、編集または削除できます。
      • サービス オブジェクト:(マルチ デバイス モードのみ)。これらのオブジェクトは、ASA または ASA CX のポリシーまたはオブジェクトで使用できます。 既存の ASA 設定からこれらのオブジェクトを検出し、編集または削除できます。 何らかの変更が行われても、ASA には適用されません。影響を受けるのは、ASA CX ポリシーに対するオブジェクトの使用のみです。

      サービス オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

      Service

      サービスのリスト。 サービスまたはサービス オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのサービスも除外されません。

      複数の項目を入力するには、[Enter] を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、項目をクリックして編集を行い、[Enter] を押します。 ボックスにすでに入っている項目を削除するには、項目の上にマウスを置き、項目名の右側にある [X] またはその項目をクリックして、次に [Delete] を押して項目を削除し、対象から離れた場所をクリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。

      次の形式でサービスを入力できます。
      • 次のいずれか:
        { TCP | UDP } [ /destination_port_or_range ]
        { TCP | UDP } [ /source_port_or_range/destination_port_or_range ]
        それぞれの説明は次のとおりです。
        • プロトコルは TCP または UDP です。 TCP と UDP のポートは別々に指定する必要があります。
        • destination_port_or_range は、80 のような単一のポートか、または 80-100 のようなポート範囲であり、トラフィックの宛先ポートを定義します。 宛先ポートを指定しなかった場合、宛先ポートにかかわらず、送信元ポート要件を満たすすべてのトラフィックに対してオブジェクトが適用されます。 たとえば、tcp/80 と指定します。
        • source_port_or_range は、80 のような単一のポートか、または 80-100 のようなポート範囲であり、トラフィックの送信元で使用されるポートを定義します。 送信元ポートを指定する場合は、宛先ポートも指定する必要があります。 ポートを指定しなかった場合、ポートにかかわらず、そのプロトコルのすべてのトラフィックに対してオブジェクトが適用されます。 たとえば、tcp/8080/80 と指定します。
      • { IP | protocol }
        IP、GRE、AH、ESP などのウェルノウン プロトコル名を入力するか、またはプロトコルに関連付けられている番号を入力します(AH の 51 など)。 番号を入力した場合、そのオブジェクトを保存した後に、番号はウェルノウン プロトコル名または protocol_number に変換されます。 IP/プロトコルという形式で番号を入力することもできます。 IP プロトコル番号については、『Protocol Numbers』http:/​/​www.iana.org/​assignments/​protocol-numbers/​protocol-numbers.xml)を参照してください。
      • { ICMP | ICMP6 } [ /message_number ]
        それぞれの説明は次のとおりです。
        • プロトコルは ICMP または ICMP6(IPv6 の場合)です。
        • message_number は ICMP メッセージ タイプ(1 ~ 255)です。 エコー要求などの一般的な ICMP コマンドに関連付けられている番号を調べるには、ICMP の参考資料を参照してください。
      Service Objects(サービス グループ オブジェクトのみ)。

      オブジェクト グループに含めるサービス オブジェクト(ある場合)。 マルチ デバイス モードでは、サービス オブジェクトを選択することもできます。

      事前定義サービス グループ

      一般的なプロトコルと ICMP および ICMPv6 メッセージに対応している事前定義のサービス グループが多数あります。 対象となるサービスはすべて、システム オブジェクトにより網羅されているはずです。

      ナビゲーション パス

      • サービス グループ オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add Service Group] を選択します。
      • サービス オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 ポリシーの編集中にオブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      アイデンティティ オブジェクト

      アイデンティティ オブジェクトは、個々のユーザ、ユーザ グループ、またはユーザとグループの組み合わせを指定するために使用します。 このオブジェクトには、ユーザまたはユーザ グループが定義されているディレクトリ レルムを指定します。

      オブジェクトに含めるユーザまたはグループの名前を入力するときには、入力を自動的に補完するための LDAP クエリーが作成され、システムに定義済みの全レルムに設定されているディレクトリから、一致するユーザまたはグループの名前のリストが取り出されます。 取り出されたリストから目的の名前を選択します。 レルム内のユーザまたはグループを指定したオブジェクトを作成するには、その前にそのレルムを定義しておく必要があります。

      アイデンティティ オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。


      ヒント


      複数の項目を入力するには、[Enter] を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、項目をクリックして編集を行い、[Enter] を押します。 ボックスにすでに入っている項目を削除するには、項目の上にマウスを置き、項目名の右側にある [X] またはその項目をクリックして、次に [Delete] を押して項目を削除し、対象から離れた場所をクリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。


      許可リストとブロック リスト
      許可リストとブロック リストという 2 つのプロパティのリストを設定できます。 ブロック リストは必ず許可リストに関連したものとなり、リストに含まれている項目を除外します。 ブロック リストの有効範囲はオブジェクト内に限定され、同じポリシーで選択される可能性のある他のオブジェクトには適用されません。 次のヒントを考慮してください。
      • 許可リスト内のすべてのプロパティのデフォルトを Any にした場合でも、ブロック リストに項目を指定できます。 得られたオブジェクトは、「除外項目を除いたこのオブジェクト タイプのすべて」に適用されます。
      • 許可リストに、ポリシー オブジェクトの選択などのプロパティを指定すると、ブロック リストはその選択項目に限定されます。 ブロック フィールドは、許可リスト内の同じ名前のフィールドとまったく関連していません。
      • オブジェクトはブロック フィールド内で定義された項目のコンテナにすぎません。 オブジェクトを許可またはブロックすることは、オブジェクトの内容を収容先のオブジェクトに手動で入力することと同等です。
      Groups

      ユーザ グループ名のリスト。 ユーザまたはアイデンティティ オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのグループも除外されません。

      グループ名には大文字と小文字の区別はありませんが、Realm\group_name という形式でレルム名を含める必要があります。 たとえば、Marketing というグループが、Corporate レルムとしてシステムに定義済みのディレクトリ内に定義されている場合、Corporate\Marketing と指定します。

      Users

      ユーザ名のリスト。 グループまたはアイデンティティ オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのユーザも除外されません。

      ユーザ名には大文字と小文字の区別はありませんが、Realm\user_name という形式でレルム名を含める必要があります。 たとえば、Corporate\user1 のようにします。

      事前定義システム オブジェクト

      次の事前定義システム オブジェクトが使用可能です。
      • [Known Users]:ユーザがアクティブ認証された場合、または AD エージェントから取得したユーザの IP アドレスに対するパッシブ マッピングが存在する場合、このオブジェクトは、アイデンティティを使用できる全ユーザと一致します。
      • [Unknown Users]:このオブジェクトは、既知ユーザ オブジェクトに一致しなかったユーザ、つまり、ユーザ マッピングが使用できない IP アドレスと一致します。

      ナビゲーション パス

      • アイデンティティ オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add Identity Object] を選択します。
      • アイデンティティ オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 ポリシーの編集中にオブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      URL オブジェクト

      URL オブジェクトは、Web ドメインまたはサーバ(example.com、www.example.com など)の Web URL リソース(HTTP または HTTPS のみ。http://example.com/games など)、および Web(URL)カテゴリを指定するために使用します。 これらのオブジェクトを使用すると、Web ブラウジングに関するアクセプタブル ユース ポリシーを実施できます。

      URL オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。


      ヒント


      複数の項目を入力するには、[Enter] を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、項目をクリックして編集を行い、[Enter] を押します。 ボックスにすでに入っている項目を削除するには、項目の上にマウスを置き、項目名の右側にある [X] またはその項目をクリックして、次に [Delete] を押して項目を削除し、対象から離れた場所をクリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。


      許可リストとブロック リスト
      許可リストとブロック リストという 2 つのプロパティのリストを設定できます。 ブロック リストは必ず許可リストに関連したものとなり、リストに含まれている項目を除外します。 ブロック リストの有効範囲はオブジェクト内に限定され、同じポリシーで選択される可能性のある他のオブジェクトには適用されません。 次のヒントを考慮してください。
      • 許可リスト内のすべてのプロパティのデフォルトを Any にした場合でも、ブロック リストに項目を指定できます。 得られたオブジェクトは、「除外項目を除いたこのオブジェクト タイプのすべて」に適用されます。
      • 許可リストに、ポリシー オブジェクトの選択などのプロパティを指定すると、ブロック リストはその選択項目に限定されます。 ブロック フィールドは、許可リスト内の同じ名前のフィールドとまったく関連していません。
      • オブジェクトはブロック フィールド内で定義された項目のコンテナにすぎません。 オブジェクトを許可またはブロックすることは、オブジェクトの内容を収容先のオブジェクトに手動で入力することと同等です。
      URL

      個々の Web ベース URL のリスト。 カテゴリまたは URL オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれの URL も除外されません。 ドメイン名またはサーバ名のみを含む URL を指定して、ドメイン上の全サーバ、または指定のサーバにある全ページに適用することも、特定の Web ページへのパスを含めて、同じサイト上でホストされているページを区別することもできます。 プロトコルは含めないでください。たとえば、http://www.example.com ではなく www.example.com または example.com とします。 HTTP および HTTPS が、これらの URL と一致する唯一のプロトコルです。

      ドメイン内の全サーバを同じように扱う場合は、example.com のようにドメイン名だけを入力します。 これにより、このオブジェクトは、www.example.com、games.example.com、photos.example.com などに適用されます。

      具体的な URL の入力方法の詳細については、次のヒントを参照してください。


      ヒント


      復号化ポリシーで使用する URL オブジェクトを設定する際には、パス情報を含めないでください。 トラフィックが URL オブジェクトと一致するかどうか評価する際に、復号化ポリシーではパス情報を含んだすべての URL を完全に無視します。 オブジェクトに、ドメイン名だけの URL と、パスが含まれる URL が混在している場合、復号化ポリシーはそのオブジェクトを、ドメイン名だけを指定した URL のみが含まれるものとして扱います。 アクセス ポリシーに応じたオブジェクトを設定する際には、暗号化されたトラフィック(復号化ポリシーでフローが復号化されていないもの)または HTTPS ではない復号化されたフローに対して、パスを照合できないことに注意してください。こうした場合、アクセス ポリシーではドメイン名のみが指定された URL が照合されます。


      Web Category

      Web カテゴリのリスト。 目的のカテゴリをカテゴリ リストからすべて選択します。

      カテゴリを許可または除外するということは、そのカテゴリに属するすべての Web サイトを許可または除外することになります。 URL または URL オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのカテゴリも除外されません。

      URL 入力のヒント

      ドメイン名および URL のパス名により、ソフトウェアを区別できます。 パスとは、URL の中の最初のスラッシュ「/」よりも右側の文字列です。たとえば、www.example.com/us/ の場合、パスは「us/」です。 ドメインのみの URL と、ドメインとパスを組み合わせた URL には大きな違いがあります。パスを含む URL には、復号化ポリシーは一致しません。 次の各指定は等価であり、いずれもパス情報を含むものとは見なされません。
      • www.example.com
      • www.example.com/
      • www.example.com/*
      Web 上の複数のページに該当する URL パターンを作成するために、次のワイルドカードを使用できます。
      • *(アスタリスク):ゼロ個以上の文字と一致します。 たとえば、www.example.com/us/* は、www.example.com/us/ という Web サーバ スペース上の全 Web ページと一致します。
      • ^(キャレット):URL の先頭に指定して、そのキャレットの後の文字列で URL が始まることを示します。 たとえば、^www.example.com は、www.example.com で始まる全 Web ページと一致します。 ^www.example.comwww.example.com の違いは、www.example.com の場合は、「www.example.com」の前に修飾子がある server1.www.example.com といった他のサイトにも一致するという点です。
      • $(ドル記号):URL の最後に指定して、その $ の前の文字列で URL が終わることを示します。 たとえば、/index.html$ は、index.html という名前のページを指す全 URL に一致します。
      次に、一般的な一致を得るためのヒントを示します。
      • 特定のドメインの全ホストと一致:完全修飾ホスト名ではなく、ドメイン名を入力します。 たとえば、example.com は、example.com だけではなく www.example.com、photos.example.com、finance.example.com などとも一致します。 example.com$ も同じ一致結果になります。この場合の $ の範囲はドメイン名に限定されるため、example.com サイト上の特定のパスに対する要求が一致しなくなるわけではありません。
      • 1 台のホストと一致^finance.example.com のように URL の入力を ^ で始めます。 こうすると finance.example.com ホストのみが一致します。games.example.com、quotes.finance.example.com、または example.com は一致しません。
      • 名前が似たホストのグループと一致:他の文字があってもよいことを示すためにアスタリスクを使用します。 たとえば、example.co.* は、www.example.co.us、example.co.uk などを含め、「example.co.」文字列を含む全サーバと一致します。 この場合、サイト名の先頭に他の修飾子があってもよく、また、文字列の最後に(無限の文字列の)他の修飾子があっても許容されます。 このようにアスタリスクを使用する場合は、必要以上に一致することがあるため注意してください。 たとえば、example.co* は example.commercialbank.com と一致します。

      ナビゲーション パス

      • URL オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add URL Object] を選択します。
      • URL オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 ポリシーの編集中にオブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      ライセンス要件

      このタイプのオブジェクトを使用するには、デバイスに有効な Web Security Essentials ライセンスが必要です。

      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      ユーザ エージェント オブジェクト

      ユーザ エージェント オブジェクトは、HTTP 要求の作成に使用されたエージェントのタイプを指定するために使用します。エージェントのタイプは、HTTP パケット ヘッダーのユーザ エージェント フィールドに示されます。 たとえば、ブラウザのタイプ(Internet Explorer、Firefox など)があります。 これらのオブジェクトを使用すると、ネットワークへのアクセスに使用されているデバイスに基づいてポリシーを調整できます。たとえば、認証を要求するアイデンティティ ポリシーから、アクティブ認証のプロンプトに対応できないユーザ エージェントを明示的に除外することができます。

      ユーザ エージェント オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。


      ヒント


      複数の項目を入力するには、[Enter] を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、項目をクリックして編集を行い、[Enter] を押します。 ボックスにすでに入っている項目を削除するには、項目の上にマウスを置き、項目名の右側にある [X] またはその項目をクリックして、次に [Delete] を押して項目を削除し、対象から離れた場所をクリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。


      許可リストとブロック リスト
      許可リストとブロック リストという 2 つのプロパティのリストを設定できます。 ブロック リストは必ず許可リストに関連したものとなり、リストに含まれている項目を除外します。 ブロック リストの有効範囲はオブジェクト内に限定され、同じポリシーで選択される可能性のある他のオブジェクトには適用されません。 次のヒントを考慮してください。
      • 許可リスト内のすべてのプロパティのデフォルトを Any にした場合でも、ブロック リストに項目を指定できます。 得られたオブジェクトは、「除外項目を除いたこのオブジェクト タイプのすべて」に適用されます。
      • 許可リストに、ポリシー オブジェクトの選択などのプロパティを指定すると、ブロック リストはその選択項目に限定されます。 ブロック フィールドは、許可リスト内の同じ名前のフィールドとまったく関連していません。
      • オブジェクトはブロック フィールド内で定義された項目のコンテナにすぎません。 オブジェクトを許可またはブロックすることは、オブジェクトの内容を収容先のオブジェクトに手動で入力することと同等です。
      User Agent

      ユーザ エージェントのリスト。 入力する文字列は、HTTP パケット ヘッダーのユーザ エージェント フィールドに含まれているどの部分であってもかまいません。 ユーザ エージェント オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのユーザ エージェントも除外されません。

      アスタリスク(*)を、0 個以上の文字と一致するワイルドカード文字として使用できます。 たとえば、Mozilla/* Gecko/* Firefox/ は、あらゆるバージョンの Firefox ブラウザと一致します。

      事前定義システム オブジェクト

      多数の事前定義ユーザ エージェント オブジェクトがあります。 対象となるエージェントはすべて、システム オブジェクトにより網羅されているはずです。 これら既存のオブジェクトを構築ブロックとして使用して、さまざまなタイプのユーザ エージェントに適用される独自のユーザ エージェント オブジェクトを作成できます。

      NTLM Browsers 事前定義オブジェクトは、NTLM 認証要求に対応できるメイン ブラウザを示します。

      ナビゲーション パス

      • ユーザ エージェント オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add User Agent Object] を選択します。
      • ユーザ エージェント オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 ポリシーの編集中にオブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      アプリケーション オブジェクト

      アプリケーション オブジェクトは、個々のアプリケーションまたはアプリケーション タイプを指定するために使用します。 特定の接続セッションで使用されるポートにかかわらず、トラフィック インスペクションによりアプリケーションを特定できます。 これらのオブジェクトを使用すると、プロトコルとポートに基づく従来のサービス定義の代わりに、セッションで使用されているアプリケーションまたはアプリケーション タイプに基づいてポリシーを調整できます。

      アプリケーション オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。


      ヒント


      複数の項目を入力するには、[Enter] を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、項目をクリックして編集を行い、[Enter] を押します。 ボックスにすでに入っている項目を削除するには、項目の上にマウスを置き、項目名の右側にある [X] またはその項目をクリックして、次に [Delete] を押して項目を削除し、対象から離れた場所をクリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。


      許可リストとブロック リスト
      許可リストとブロック リストという 2 つのプロパティのリストを設定できます。 ブロック リストは必ず許可リストに関連したものとなり、リストに含まれている項目を除外します。 ブロック リストの有効範囲はオブジェクト内に限定され、同じポリシーで選択される可能性のある他のオブジェクトには適用されません。 次のヒントを考慮してください。
      • 許可リスト内のすべてのプロパティのデフォルトを Any にした場合でも、ブロック リストに項目を指定できます。 得られたオブジェクトは、「除外項目を除いたこのオブジェクト タイプのすべて」に適用されます。
      • 許可リストに、ポリシー オブジェクトの選択などのプロパティを指定すると、ブロック リストはその選択項目に限定されます。 ブロック フィールドは、許可リスト内の同じ名前のフィールドとまったく関連していません。
      • オブジェクトはブロック フィールド内で定義された項目のコンテナにすぎません。 オブジェクトを許可またはブロックすることは、オブジェクトの内容を収容先のオブジェクトに手動で入力することと同等です。
      Application Name

      個々のアプリケーションのリスト。 インスペクタが特定可能なアプリケーションのリストから、目的のアプリケーションを選択します。 対象のアプリケーションがリストされていない場合は、別の名前でリストされていないか探してみてください。 ない場合は、サービス グループ オブジェクトを使用して、従来のプロトコルとポートの指定によりアプリケーションを定義する必要があります。 アプリケーション タイプまたはアプリケーション オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのアプリケーションも除外されません。

      Application Type

      アプリケーション タイプのリスト。 アプリケーション タイプのリストから、目的のタイプをすべて選択します。

      アプリケーション タイプを許可または除外するということは、そのタイプに属するすべてのアプリケーションを許可または除外することになります。 アプリケーションまたはアプリケーション オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのタイプも除外されません。

      ナビゲーション パス

      • アプリケーション オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add Application Object] を選択します。
      • アプリケーション オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 ポリシーの編集中にオブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      ライセンス要件

      このタイプのオブジェクトを使用するには、デバイスに有効な Application Visibility and Control ライセンスが必要です。

      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      セキュア モビリティ オブジェクト

      セキュア モビリティ オブジェクトは、リモート アクセス VPN 接続の作成に使用されたクライアントのタイプを指定するために使用します。クライアントのタイプは、AnyConnect Secure Mobility アプリケーションからレポートされます。 これらのオブジェクトを使用すると、リモート アクセス VPN 接続を経由したネットワーク アクセスに使用されているデバイスに基づいてポリシーを調整できます。

      セキュア モビリティ オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。


      ヒント


      複数の項目を入力するには、[Enter] を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、項目をクリックして編集を行い、[Enter] を押します。 ボックスにすでに入っている項目を削除するには、項目の上にマウスを置き、項目名の右側にある [X] またはその項目をクリックして、次に [Delete] を押して項目を削除し、対象から離れた場所をクリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。


      許可リストとブロック リスト
      許可リストとブロック リストという 2 つのプロパティのリストを設定できます。 ブロック リストは必ず許可リストに関連したものとなり、リストに含まれている項目を除外します。 ブロック リストの有効範囲はオブジェクト内に限定され、同じポリシーで選択される可能性のある他のオブジェクトには適用されません。 次のヒントを考慮してください。
      • 許可リスト内のすべてのプロパティのデフォルトを Any にした場合でも、ブロック リストに項目を指定できます。 得られたオブジェクトは、「除外項目を除いたこのオブジェクト タイプのすべて」に適用されます。
      • 許可リストに、ポリシー オブジェクトの選択などのプロパティを指定すると、ブロック リストはその選択項目に限定されます。 ブロック フィールドは、許可リスト内の同じ名前のフィールドとまったく関連していません。
      • オブジェクトはブロック フィールド内で定義された項目のコンテナにすぎません。 オブジェクトを許可またはブロックすることは、オブジェクトの内容を収容先のオブジェクトに手動で入力することと同等です。
      Device Type

      デバイスで実行されているオペレーティング システム(OS)に基づくデバイス タイプのリスト。 リストからタイプを選択します。 セキュア モビリティ オブジェクトをまったく指定しなかった場合、デフォルトの [Any] が適用されます。 ブロック リストのデフォルトは [None] で、いずれのデバイス タイプも除外されません。

      事前定義システム オブジェクト

      [All Remote Devices] という名前の事前定義システム オブジェクトがあります。 このオブジェクトは、リモート アクセス VPN 接続で使用されているあらゆるデバイスに一致します。

      ナビゲーション パス

      • セキュア モビリティ オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add Secure Mobility Object] を選択します。
      • セキュア モビリティ オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 ポリシーの編集中にオブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      アプリケーション サービス オブジェクト

      アプリケーション サービス オブジェクトは、サービス グループ(従来のプロトコルとポートの指定)、アプリケーション名、アプリケーション タイプ、またはアプリケーション オブジェクトの組み合わせに基づいてアプリケーションを定義するために使用します。 OR 結合された複数の組み合わせを作成することにより、単一のアプリケーション サービス オブジェクトで正確なトラフィック パターンを定義できます。

      アプリケーション サービス オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。


      ヒント


      複数の項目を入力するには、[Enter] を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、項目をクリックして編集を行い、[Enter] を押します。 ボックスにすでに入っている項目を削除するには、項目の上にマウスを置き、項目名の右側にある [X] またはその項目をクリックして、次に [Delete] を押して項目を削除し、対象から離れた場所をクリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。


      AND 結合された条件から成る行を複数 OR 結合したもの

      トラフィック一致条件の行を 1 行以上作成できます。 行を追加するには、[Add Another Entry] リンクをクリックします。 行を削除するには、行の [Delete Entry] リンクをクリックします。

      一致基準は、次のように評価されます。
      • 1 つのフィールドに含まれている複数の項目は OR 結合されます。 たとえば、2 つのサービス グループを指定している場合、トラフィックはオブジェクト 1 またはオブジェクト 2 に一致する必要があります。 トラフィックが、フィールドに含まれる全オブジェクトと一致する必要はありません(ただし、一致してもかまいません)。
      • 1 行に含まれている複数のフィールドは AND 結合されます。 たとえば、1 行にサービス グループ 1 つとアプリケーション オブジェクトを 1 つ指定している場合、トラフィックは、そのサービス グループに一致しなければならず、また、そのアプリケーション オブジェクトにも一致しないと、行が一致したとは見なされません。
      • 複数の行は OR 結合されます。 たとえば、条件を独立した 2 行で指定している場合、トラフィックは行 1 または行 2 と一致する必要があります。 トラフィックがすべての行と一致する必要はありません(ただし、一致してもかまいません)。 少なくとも 1 行が一致すれば、そのトラフィック フローはオブジェクトに一致することになります。
      Service Objects

      行のトラフィック一致定義のサービス グループ オブジェクト(ある場合)。 サービス グループは、トラフィック フローのプロトコルとポート、または ICMP メッセージ タイプを指定したものです。


      (注)  


      マルチ デバイス モード)。PRSMマルチ デバイス モード で使用する際には、ASA で定義されているサービス オブジェクトも使用できます。 サービス グループ オブジェクトは ASA と ASA CX の両方で使用できます。


      Application Objects、Types、Names

      行のトラフィック一致定義のアプリケーション オブジェクト、アプリケーション タイプ、またはアプリケーション名(ある場合)。 ドロップダウン矢印からタイプを選択すると、リストを事前にフィルタリングし、あるタイプの項目のみにできます。

      ナビゲーション パス

      • アプリケーション サービス オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add Application Service Object] を選択します。
      • アプリケーション サービス オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 ポリシーの編集中にオブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      ライセンス要件

      このタイプのオブジェクトを使用するには、デバイスに有効な Application Visibility and Control ライセンスが必要です。

      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      宛先オブジェクト グループ

      宛先オブジェクト グループは、ポリシーの宛先フィールドに指定可能なオブジェクトを使用して、宛先に関する複雑なトラフィック一致基準を定義するときに使用します。 AND 結合されたネットワーク グループと URL オブジェクトの定義を作成することにより、全オブジェクトの条件が満たされないとトラフィックがポリシーに一致しないようにすることができます。 OR 結合された複数の組み合わせを作成することにより、単一の宛先オブジェクトで正確なトラフィック宛先パターンを定義できます。

      宛先オブジェクト グループには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。


      ヒント


      複数の項目を入力するには、[Enter] を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、項目をクリックして編集を行い、[Enter] を押します。 ボックスにすでに入っている項目を削除するには、項目の上にマウスを置き、項目名の右側にある [X] またはその項目をクリックして、次に [Delete] を押して項目を削除し、対象から離れた場所をクリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。


      AND 結合された条件から成る行を複数 OR 結合したもの

      トラフィック一致条件の行を 1 行以上作成できます。 行を追加するには、[Add Another Entry] リンクをクリックします。 行を削除するには、行の [Delete Entry] リンクをクリックします。

      一致基準は、次のように評価されます。
      • 1 つのフィールドに含まれている複数の項目は OR 結合されます。 たとえば、2 つのネットワーク グループを指定している場合、トラフィックはオブジェクト 1 またはオブジェクト 2 に一致する必要があります。 トラフィックが、フィールドに含まれる全オブジェクトと一致する必要はありません(ただし、一致してもかまいません)。
      • 1 行に含まれている複数のフィールドは AND 結合されます。 たとえば、1 行にネットワーク グループ 1 つと URL オブジェクトを 1 つ指定している場合、トラフィックは、そのネットワーク グループに一致しなければならず、また、その URL オブジェクトにも一致しないと、行が一致したとは見なされません。
      • 複数の行は OR 結合されます。 たとえば、条件を独立した 2 行で指定している場合、トラフィックは行 1 または行 2 と一致する必要があります。 トラフィックがすべての行と一致する必要はありません(ただし、一致してもかまいません)。 少なくとも 1 行が一致すれば、そのトラフィック フローはオブジェクトに一致することになります。
      Network Objects

      行のトラフィック一致定義のネットワーク グループ(ある場合)。 ネットワーク グループとは、トラフィック フローに関連付けられている IP アドレスを指定するものです。


      (注)  


      マルチ デバイス モード)。PRSMマルチ デバイス モード で使用する際には、ASA で定義されているネットワーク オブジェクトまたはグループも使用できます。 ネットワーク グループ オブジェクトには 2 つのタイプがあります。1 つは ASA と ASA CX の両方で使用できます。もう 1 つは ASA CX でのみ使用でき、特に ASA CX ネットワーク グループと呼ばれます。


      URL Objects

      行のトラフィック一致定義の URL オブジェクト(ある場合)。 URL オブジェクトとは、HTTP 要求でターゲットとされている URL または URL カテゴリを指定するものです。

      ナビゲーション パス

      • 宛先オブジェクト グループを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add Destination Object Group] を選択します。
      • 宛先オブジェクト グループを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 ポリシーの編集中にオブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      ライセンス要件

      このタイプのオブジェクトに URL オブジェクトを含めるには、デバイスに有効な Web Security Essentials ライセンスが必要です。

      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      送信元オブジェクト グループ

      送信元オブジェクト グループは、ポリシーの送信元フィールドに指定可能なオブジェクトを使用して、送信元に関する複雑なトラフィック一致基準を定義するときに使用します。 AND 結合されたネットワーク グループ、アイデンティティ、ユーザ エージェント、およびセキュア モビリティ オブジェクトの定義を作成することにより、全オブジェクトの条件が満たされないとトラフィックがポリシーに一致しないようにすることができます(このような関係をアクセス ポリシー内に直接作成することはできません)。 OR 結合された複数の組み合わせを作成することにより、単一の送信元オブジェクト グループで正確なトラフィック送信元パターンを定義できます。

      送信元オブジェクト グループには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。


      ヒント


      複数の項目を入力するには、[Enter] を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、項目をクリックして編集を行い、[Enter] を押します。 ボックスにすでに入っている項目を削除するには、項目の上にマウスを置き、項目名の右側にある [X] またはその項目をクリックして、次に [Delete] を押して項目を削除し、対象から離れた場所をクリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。


      AND 結合された条件から成る行を複数 OR 結合したもの

      トラフィック一致条件の行を 1 行以上作成できます。 行を追加するには、[Add Another Entry] リンクをクリックします。 行を削除するには、行の [Delete Entry] リンクをクリックします。

      一致基準は、次のように評価されます。
      • 1 つのフィールドに含まれている複数の項目は OR 結合されます。 たとえば、2 つのネットワーク グループを指定している場合、トラフィックはオブジェクト 1 またはオブジェクト 2 に一致する必要があります。 トラフィックが、フィールドに含まれる全オブジェクトと一致する必要はありません(ただし、一致してもかまいません)。
      • 1 行に含まれている複数のフィールドは AND 結合されます。 たとえば、1 行にネットワーク グループ 1 つとユーザ エージェント オブジェクトを 1 つ指定している場合、トラフィックは、そのネットワーク グループに一致しなければならず、また、そのユーザ エージェント オブジェクトにも一致していないと、行が一致したとは見なされません。 4 つのすべてのフィールドでオブジェクトを選択した場合、トラフィック フローは、フィールドごとに、指定されているオブジェクトの少なくとも 1 つと一致する必要があります。
      • 複数の行は OR 結合されます。 たとえば、条件を独立した 2 行で指定している場合、トラフィックは行 1 または行 2 と一致する必要があります。 トラフィックがすべての行と一致する必要はありません(ただし、一致してもかまいません)。 少なくとも 1 行が一致すれば、そのトラフィック フローはオブジェクトに一致することになります。
      Network Objects

      行のトラフィック一致定義のネットワーク グループ(ある場合)。 ネットワーク オブジェクトとは、トラフィック フローに関連付けられている IP アドレスを指定するものです。


      (注)  


      マルチ デバイス モード)。PRSMマルチ デバイス モード で使用する際には、ASA で定義されているネットワーク オブジェクトまたはグループも使用できます。 ネットワーク グループ オブジェクトには 2 つのタイプがあります。1 つは ASA と ASA CX の両方で使用できます。もう 1 つは ASA CX でのみ使用でき、特に ASA CX ネットワーク グループと呼ばれます。


      Identity Objects

      行のトラフィック一致定義のアイデンティティ オブジェクト(ある場合)。 アイデンティティ オブジェクトとは、トラフィック フローに関連付けられているユーザ名、またはユーザが属するユーザ グループを指定するものです。

      User Agents Objects

      行のトラフィック一致定義のユーザ エージェント オブジェクト(ある場合)。 ユーザ エージェント オブジェクトとは、ブラウザなどの、HTTP 要求の作成に使用されたエージェントを定義するものです。

      Secure Mobility Objects

      行のトラフィック一致定義のセキュア モビリティ オブジェクト(ある場合)。 セキュア モビリティ オブジェクトとは、AnyConnect Secure Mobility アプリケーションを使用してリモート アクセス VPN 接続を作成したときに使用されたクライアントのタイプを指定するものです。

      ナビゲーション パス

      • 送信元オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add Source Object Group] を選択します。
      • 送信元オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 ポリシーの編集中にオブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      ファイル フィルタリング プロファイル オブジェクト

      ファイル フィルタリング プロファイル オブジェクトは、ブロックする必要があるファイル アップロードまたはダウンロードのタイプを指定するために使用します。 ネットワーク アクセスを許可するアクセス ポリシーで、このプロファイルを使用して、ファイル転送のアクセプタブル ユース ポリシーを実施することができます。 たとえば、ダウンロードはすべて許可するものの、アップロードはすべて禁止することで、企業内のファイルがネットワークの外に転送されないようにすることができます。

      アクセス ルールにファイル フィルタリング プロファイルを指定しなかった場合は、すべてのファイルのアップロードおよびダウンロードが許可されます。

      ファイル フィルタリング プロファイル オブジェクトには、次の主要プロパティが含まれています。 多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。


      ヒント


      複数の項目を入力するには、[Enter] を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、項目をクリックして編集を行い、[Enter] を押します。 ボックスにすでに入っている項目を削除するには、項目の上にマウスを置き、項目名の右側にある [X] またはその項目をクリックして、次に [Delete] を押して項目を削除し、対象から離れた場所をクリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。


      Block file downloads

      ユーザに宛先サイトからダウンロードさせないようにする必要があるファイルの MIME タイプ(Multipurpose Internet Mail Extensions、または一般的にインターネット メディア タイプ)。 アスタリスク(*)を、0 個以上の文字を示すワイルドカードとして使用できます。*/* はすべてのファイルを指します。 ドロップダウン リストではメイン タイプが使用可能ですが、application/javascript のようなサブタイプを指定することもできます。 デフォルトでは、すべてのファイル ダウンロードが許可されます。

      Block file uploads

      ユーザに宛先サイトにアップロードさせないようにする必要があるファイルの MIME タイプ。 アスタリスク(*)を、0 個以上の文字を示すワイルドカードとして使用できます。*/* はすべてのファイルを指します。 ドロップダウン リストではメイン タイプが使用可能ですが、application/javascript のようなサブタイプを指定することもできます。 デフォルトでは、すべてのファイル アップロードが許可されます。

      MIME タイプについて

      MIME タイプはメディア タイプとも呼ばれ、現在扱っているファイルのタイプを示すもので、Content Type ヘッダーに示されます。 多数の MIME タイプがあります。それぞれのタイプの詳細については、各タイプが登録されている Wikipedia や IANA などの情報サイトで調べることができます(公式のタイプについては、http:/​/​www.iana.org/​assignments/​media-types/​index.html を参照してください)。 MIME タイプの目的は、ASCII 以外のファイルを判別して、電子メール クライアントやブラウザなどのファイルを扱うアプリケーションが、ファイルを開くために使用すべきアプリケーションを特定できるようにすることです。

      このオブジェクトに MIME タイプを指定する場合、1 つの MIME タイプ全体をターゲットにすることも、特定のタイプ/サブタイプをターゲットにすることもできます。 メイン タイプは次のとおりです。
      • application/*:他のカテゴリに当てはまらない独立したデータ。一般的には特定のタイプのアプリケーション プログラムで処理されないと、表示または使用できないデータ。 この application カテゴリには、コンピュータ関連の言語が含まれるため、転送されたコードがマルウェアだった場合、潜在的なセキュリティ ホールが開く可能性があります。 例としては、application/pdf(Adobe Acrobat ファイル)、application/javascript、application/postscript などがあります。 特定のベンダー用に多数の vnd.* サブタイプがあります。
      • audio/*:音声ファイル。audio/mp4 や audio/mpeg など。 ファイルに動画が含まれている場合、タイプは audio ではなく video になります。
      • image/*:画像またはグラフィック ファイル。image/gif や image/jpeg など。
      • message/*:カプセル化されたメール メッセージ。message/http や message/sip など。
      • multipart/*:複数のオブジェクトで構成されたアーカイブまたは他のファイル。multipart/mixed など。
      • model/*:3D モデル ファイル。model/vrml や model/x3d+binary など。
      • text/*:プレーン テキストおよびリッチ テキストを含むテキスト ファイル。text/csv(カンマ区切り値)、text/html、text/rtf など。
      • video/*:ビデオ ファイル。video/mp4 や video/mpeg など。 このメディア タイプには、同期された音声を含めることができます。 たとえば、動画と音を含む一般的な MPEG ビデオ ファイルは、video/mpeg ファイルになります。

      ナビゲーション パス

      • ファイル フィルタリング プロファイル オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add File Filtering Profile] を選択します。
      • ファイル フィルタリング プロファイル オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 ポリシーの編集中にオブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX

      Web レピュテーション プロファイル オブジェクト

      Web レピュテーション プロファイル オブジェクトは、低レピュテーション ゾーンを定義して、そのゾーンにレピュテーションが該当した Web トラフィックに対して特殊な処理を適用するために使用します。

      Cisco Threat Operations Center は、動的な更新と、ASA、IPS、電子メール セキュリティ アプライアンス、Web セキュリティ アプライアンス、およびシステム管理者から取得したアクション可能な知識を使用して、Web サイトの Web レピュテーション スコアを計算します。 Web レピュテーションは、コンテキストおよび過去の動作に基づいた統計的な評価で、重要度が異なる多くの要素を組み合わせて 1 つの関連付けられたメトリックにするものです。 個人の信用スコアと同様に、Web レピュテーションは、-10 ~ 10 の段階的なスケールに沿った連続値です。 低レピュテーション ゾーンを定義することで、ユーザにマルウェアを提供する可能性が高い、低レピュテーション サイトに対して予防的なゼロデイ保護を実装できます。

      Web レピュテーション プロファイル オブジェクトは、次のタイプのポリシーで使用できます。
      • トラフィックを許可するアクセス ポリシー。 Web レピュテーション プロファイルを追加することで、一致するトラフィックは全般的に許可され、低レピュテーション サイトからのトラフィックはすべてドロップされます。 [Allow] アクションがあるアクセス ポリシーの一部またはすべてにプロファイルを適用できます。
      • アクションが [Decrypt Potentially Malicious Traffic] の復号化ポリシー。 Web レピュテーション プロファイルを追加することで、ポリシーと一致する低レピュテーション サイトが復号化され、アクセス ポリシーによってトラフィックの内容が認識されます。 その後、設定に従って、アクセス ポリシーでトラフィックをドロップできます。 トラフィックをドロップする、一致するアクセス ポリシーがなくても、低レピュテーション トラフィックを復号化することで、復号化されていない TLS/SSL トラフィック フローでは利用できなかったデータがレポートに提供されます。

      Web レピュテーションの許可ゾーンおよび拒否ゾーンを設定するには、スライダを目的の位置まで移動します。スライダの左側のレピュテーションはすべて低レピュテーション ゾーンとなり、右側はすべて高レピュテーションと見なされるため、特殊な処理を受けません。 レピュテーション分析は、Web ページ上のすべての要素に個別に適用されるため、一部の要素がブロックされたページが表示される可能性があることに注意してください。たとえば、低レピュテーション ゾーンに該当するレピュテーションを持つサイトから提供された広告が、ブロックされた状態でページが表示される可能性があります。

      以下は、スコアの一般的なガイドラインです。
      • -10 ~ -6:レピュテーションが最も低いゾーンのサイトは、継続的にキー ロガー、ルートキット、およびその他のマルウェアを配布する専用サイト、またはハイジャックされたサイトです。 フィッシング サイト、ボット、ドライブバイ インストーラも含まれます。 このレピュテーション範囲のサイトは、ほぼ確実に悪意のあるサイトです。 事前定義されている Web レピュテーション プロファイルの Default Reputation Profile で、このゾーンは低レピュテーション ゾーンとして定義されています。
      • -6 ~ -3:このゾーンのサイトは、攻撃的な広告シンジケートおよびユーザ トラッキング ネットワークの可能性があります。 これらのサイトは、悪意がある疑いがありますが、確実ではありません。
      • -3 ~ 3:このゾーンのサイトは、管理された信頼できるコンテンツ シンジケート ネットワークおよびユーザが生成したコンテンツ サイトの可能性があります。
      • 0 ~ 5:このゾーンのサイトは、信頼できる動作の歴史がある、または第三者の検証を受けたサイトです。
      • 5 ~ 10:このゾーンのサイトは、信頼できる動作の長い歴史があり、トラフィック量が多く、広くアクセスされているサイトです。

      多くのポリシー オブジェクトに共通のプロパティについては、ポリシー オブジェクトの共通プロパティを参照してください。

      事前定義 Web レピュテーション オブジェクト

      [Default Reputation Profile] 事前定義オブジェクトを使用すると、推奨される低レピュテーション ゾーンが実装されます。

      ナビゲーション パス

      • Web レピュテーション プロファイル オブジェクトを作成するには、[Policies] > [Objects] を選択し、[I want to] > [Add Web Reputation Profile] を選択します。
      • Web レピュテーション プロファイル オブジェクトを編集するには、[Policies] > [Objects] を選択し、オブジェクトの上にマウスを置いて、[Edit Object] をクリックします。

      ヒント


      ポリシーを作成または編集するときは、オブジェクトも作成または編集できます。 オブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックし、必要に応じてオブジェクト表示域で目的のオブジェクトのタイプを選択します。 オブジェクトを編集するには、フィールド内のオブジェクト名にマウスを移動するか、フィールドのドロップダウン リストで、オブジェクト名の横にある [View Object] をクリックしてオブジェクトを開き、オブジェクト表示域で [Edit Object] をクリックします。 ポリシーの編集中にオブジェクトを新たに作成するには、オブジェクトを追加するフィールドの下で [Create New Object] をクリックします。 オブジェクト プロパティを入力し、[Save Object] をクリックします。


      ライセンス要件

      このタイプのオブジェクトを使用するには、デバイスに有効な Web Security Essentials ライセンスが必要です。

      サポートされるデバイス タイプ

      これらのオブジェクトは、次のデバイス タイプのポリシーに使用できます。
      • ASA CX