ASA CX および Cisco Prime Security Manager 9.0 ユーザ ガイド
ポリシーの管理
ポリシーの管理
発行日;2013/04/11   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

ポリシーの管理

ポリシーとは、ネットワークのセキュリティ特性および要件を定義するものであり、たとえば、ネットワークにアクセスできる人、使用できるアプリケーション、アクセスできる Web サイトなどについてのルールを定義します。 ポリシーにより、組織のネットワーク セキュリティ ポリシーを実装します。

複数のデバイスを管理するか、それとも ASA CX を 1 つ直接設定するかによって、ポリシーは多数のデバイス間で共有することも、単一のデバイスにローカルなものにすることもできます。

ここでは、ポリシーの基本事項についてより詳細に説明します。

ポリシーの概念

次の図およびその下のリストで、PRSM のポリシー管理で使用する用語について説明します。 ファイアウォール ポリシーを効果的に設計するためには、これらの概念を理解する必要があります。 これらの概念はシングル デバイス モードおよびマルチ デバイス モードの両方に当てはまりますが、シングル デバイス モードでは意識する必要がない項目もあります。

図 1. ポリシーの概念と関連事項



  • ポリシー:ファイアウォール セキュリティ ポリシーの一部の側面を定義した単一のルール。 たとえば、ギャンブル Web サイトへのアクセスを拒否したり、ユーザに認証を要求したりします。 ASA CX には、アクセス ポリシー、アイデンティティ ポリシー、復号化ポリシーといった多様なタイプのポリシーがあり、それぞれが特定のタイプのサービスを提供します。

    (注)  


    デバイス構成に含まれるすべての設定がポリシーと見なされるわけではありません。 「ポリシー」という用語はファイアウォールのルールに対して使用されます。 インターフェイス設定やロギング設定などの他の設定は、デバイス構成設定と見なされます。 PRSM マルチ デバイス モードを使用している場合、グループ内のデバイス間でポリシーを共有することはできますが、すべてのデバイス構成設定はデバイスごとに固有であり、別々に設定する必要があります。


  • ポリシー セット:ポリシーの順序付きリスト。 すべてのポリシーは、1 つのポリシー セットのメンバです。 シングル デバイス モードでは、ポリシー セットはポリシー タイプごとに 1 つ存在します。 マルチ デバイス モードでは、複数のポリシー セットを作成して多様なセキュリティ ポリシーを定義し、デバイス グループを使用してポリシー セットをデバイスに割り当てることができます。
  • ポリシー オブジェクト:ポリシー内で使用できる特性の定義。 たとえば、URL オブジェクトは、アクセス ポリシー内でアクセスを制御する URL カテゴリを定義するときに使用します。 ポリシー オブジェクトは独立したエンティティであるため、複数のポリシー内で再利用可能です。 マルチ デバイス モードでは、デバイスに設定されたポリシーでオブジェクトが使用されている場合にのみ、デバイス上にオブジェクトが設定されます。
  • デバイス グループPRSM マルチ デバイス モードを使用している場合にポリシー セットをデバイスにマップするコンテナ。 シングル デバイス モードでは、デバイス グループは 1 つ存在しますが、ユーザが意識する必要はありません。 マルチ デバイス モードで、デバイス グループとは、ネットワーク上で同じ役割を担っている 1 組のデバイス間で同じセキュリティ ポリシーを共有するために使用する方法です。 ポリシー セット、およびセット内のポリシーで使用されているポリシー オブジェクトは、グループに割り当てられた全デバイス上に設定されます。
  • 共有ポリシーまたはローカル ポリシー:全体的に見ると、ポリシー セット、ポリシー、およびポリシー オブジェクトの組み合わせによってセキュリティ ポリシーが定義され、これは、マルチ デバイス モードの場合はデバイス グループを介してデバイス間で共有されます。また、ASA CXシングル デバイス モードに設定している場合は単一のデバイスでローカルに使用されます。 構造的には、共有ポリシーとローカル ポリシーに違いはありません。 簡単に言うと、たとえデバイス グループにデバイスを 1 つしか割り当てていなくても、マルチ デバイス モードで定義したセキュリティ ポリシーはすべて共有ポリシーであり、ASA CX を直接設定している場合に作成したポリシーはすべてローカル ポリシーです。

ポリシーの概要

ポリシーとは、ネットワークのセキュリティ特性および要件を定義するものであり、たとえば、ネットワークにアクセスできる人、使用できるアプリケーション、アクセスできる Web サイトなどについてのルールを定義します。 ポリシーにより、組織のネットワーク セキュリティ ポリシーを実装します。

複数のデバイスを管理するか、それとも ASA CX を 1 つ直接設定するかによって、ポリシーは多数のデバイス間で共有することも、単一のデバイスにローカルなものにすることもできます。

ポリシーは、ポリシー セットにグループ化されます。 1 つのポリシー セットで、ネットワークのアクセス要件やユーザ認証要件といった、ある特定のタイプの動作を制御します。 各ポリシー セットは、その選択した動作のポリシーを、セットの適用対象の全デバイスに対して定義するための単位です。 ポリシー セットの評価は、最初の一致で行われます。着信トラフィックは、上から下の順にセット内の各ポリシーの一致基準と比較され、トラフィック一致基準が満たされた最初のポリシーによって、そのトラフィックに適用されるセキュリティ ポリシーが決まります。 したがって、ポリシー セット内の順番は非常に重要です。


ヒント


すべてのトラフィック フローに対して、デバイスに適用されているすべてのポリシー セットとの照合が行われます。 ただし、あるトラフィック フローへのアクセスを拒否している場合、他のポリシー セットのポリシーが適用されない可能性があります。 たとえば、アイデンティティ ポリシー セットによって認証を必須としているが、アクセス ポリシーによってトラフィック フローを拒否している場合、ユーザは、認証を求めるプロンプトを受け取ることなくアクセスを拒否されます。


ポリシーおよびポリシー セットの作成、編集、削除、管理を行う [Policy] ページを開くには、[Policies] > [Policies] を選択します。

[Policies] ページには、次の項目が含まれています。
  • [Filter]:全ポリシー セットおよび全タイプのポリシーが 1 つのリストに表示されるので、通常、ポリシーを探しやすくするためにはビューをフィルタリングする必要があります。 文字列を入力すると、リストがフィルタリングされて、その文字列を含むポリシーのみが表示されます。 入力する文字列は、一致と見なされるポリシーのポリシー名の中にあっても、タイプの中にあってもかまいません。 つまり、文字列がポリシー名の先頭に一致している必要はありません。 たとえば、「access」または「identity」といったポリシーのタイプを入力した場合、他のポリシー タイプのポリシー名に同じ文字列が現れないのであれば、そのタイプの全ポリシーを表示できます。 フィルタを削除するには、ボックスから削除します。
  • [I want to]:(マルチ デバイス モードのみ)次のコマンドが入っています。
    • [Add CX Policy Set]:ASA CX ポリシーに新規ポリシー セットを追加します。 ポリシー セットの名前、説明、およびポリシー タイプの入力を求めるプロンプトが表示されます。

    (注)  


    ASA CXシングル デバイス モードに設定している場合、ポリシー セットは事前定義されます。 追加も削除もできません。


  • [List of policy sets and their policies]:すべてのポリシー セットおよびポリシーが、ポリシー セット別に分類されて 1 つのリストに表示されます。 すべてのポリシーは、1 つのポリシー セットに入ります。 ポリシー セットごとに、ポリシー セット名、ポリシー セットを使用するデバイス グループ、ポリシー セットのタイプ、およびポリシー セットに含まれているポリシーの数が表示されます。 [Features Enabled] アイコンは、ライセンス付き機能を使用するタイプのポリシー セットの場合に、イネーブルになっている機能を示します。 アイコンにマウスを重ねると、機能のタイプが表示されます。 このアイコンが赤い場合は、その機能のライセンスが期限日に近づいているか、またはすでに期限が切れたことを意味します。その場合は、ライセンスの更新方法を調べる必要があります。 セットに含まれている個々のポリシーの警告アイコンを見つけて、機能が使用されている場所を調べてください。 警告アイコンの上にマウスを置くと、期限までの残りの日数や、猶予期間かどうかといったことを含めて、ライセンスの状態が表示されます。
    次のポリシー タイプのポリシー セットを作成できます。
    • アクセス(ASA CX):ネットワークへのアクセスを制御します。 セットに含まれているアクセス ポリシーごとに、セット内でそのポリシーの順序の番号、トラフィック一致基準を定義する送信元、宛先、サービス、およびアプリケーションの要約、ならびに適用されるアクション(許可、条件付き許可、または拒否)が表示されます。
    • アイデンティティ(ASA CX):ユーザ認証が必要かどうかを指定します。 認証の目的は、トラフィック フローに関与しているユーザを判定して、アイデンティティ ベースのアクセス ポリシーをトラフィック フローに適用できるようにすることです。 セットに含まれているアイデンティティ ポリシーごとに、そのポリシーのセット内での番号、トラフィック一致基準を定義する送信元、宛先、およびサービスの要約、ならびに適用されるアクション(認証不要、AD エージェント使用、AD エージェントまたはアクティブ認証の使用、アクティブ認証、または条件付きアクティブ認証(特定のユーザ エージェント以外の認証を必須とする))が表示されます。 レルムおよび認証タイプも表示されます。
    • 復号化(ASA CX):SSL/TLS の復号化されたトラフィック フローの処理方法を指定します。 HTTPS トラフィック フローの復号化により、検査されたトラフィック フローの内容、たとえば、アプリケーション、URL カテゴリ、Web レピュテーションなどに基づいてアクセス ポリシーを適用することが可能になります。

    (注)  


    [Pending Commit] アイコンが右側に表示されている場合、そのポリシーはまだ設定データベースに保存されていません。


    ポリシー セットまたはポリシーに関連するコマンドを表示するには、ポリシー セットのヘッダーまたはポリシーの行にマウスを置きます。 使用可能なコマンドは次のとおりです。
    • ポリシー セットのコマンド:
      • [Add New Policy]:ポリシー セットに新規ポリシーを追加します。 ポリシーは、セットの一番上に最初のエントリとして追加されます。 ポリシーを作成したら、変更をコミットする前にそのポリシーを目的の位置に移動します。 または、新規ポリシーを上に挿入したいポリシーの上にマウスを置き、[Add Above] をクリックします。
      • [Edit Policy Set]:(マルチ デバイス モードのみ)ポリシー セットのプロパティを編集します。 セットに含まれているポリシーのタイプを変更することはできません。
      • [Duplicate Policy Set]:(マルチ デバイス モードのみ)ポリシー セットのコピーを作成します。
      • [Delete Policy Set]:(マルチ デバイス モードのみ)ポリシー セットを削除します。 ポリシー セットを削除する場合、そのポリシー セットがデバイス グループから参照されていてはいけません。
    • ポリシーのコマンド:
      • オブジェクト名:ポリシーがポリシー オブジェクトを使用している場合、オブジェクトの名前をクリックするとオブジェクトの内容を表示できます。 ユーザ定義オブジェクトが表示された場合は、[Edit Object] をクリックすると変更を加えることができます。
      • [Hits]:ヒット カウントがある場合は、このリンクをクリックするとポリシーに関する詳細なポリシー ヒット レポートが表示されます。
      • [Delete Policy]:ポリシーを削除します。 ポリシーが適用されていたデバイス上では、変更がコミットされるまでポリシーは有効なままとなります。
      • [Edit Policy]:ポリシーを編集します。
      • [Duplicate Policy]:ポリシーのコピーを作成します。 ポリシーの内容が既存のポリシーとは異なるものになるように、ポリシー名および一部の属性を変更する必要があります。 ポリシーは、同じポリシー セット内の最初のポリシーとして追加されます。ポリシー セット間でポリシーをコピーすることはできません。
      • [Add Above]:このポリシーのすぐ上に新規ポリシーを作成します。
      • [Move Up]、[Move Down]:ポリシーを目的の位置まで移動します。 この上下移動コマンドでは、ポリシーが 1 行ずつ移動されます。 ポリシーをクリックし、目的の位置までドラッグすることもできます。

ローカル ポリシーまたは共有ポリシーの設定

ここでは、ローカル(シングル デバイス)ポリシーまたは共有(マルチ デバイス)ポリシーの設定方法について説明します。

ポリシー セットの設定


(注)  


ポリシー セットの作成は、PRSM マルチ デバイス モードでのみ実行可能です。 ASA CXシングル デバイス モードに設定している場合、ポリシー セットは事前定義されているため、追加、編集、および削除はできません。


ポリシー セットは、1 つ以上のデバイスに適用するポリシー一式を定義するために使用します。 ポリシー セット自体には、そのポリシー セットを単一のデバイスに適用するのか(ローカル セキュリティ ポリシー)、それとも多数のデバイスに適用するのか(共有される共通のセキュリティ ポリシー)という指定は含まれません。

手順
    ステップ 1   [Policies] > [Policies] を選択します。

    ポリシーはポリシー セットに編成され、各ポリシー セットは、ポリシーが別個の順序付きリストになっています。 ポリシー セットに関連したコマンドを参照するには、そのポリシー セットの名前にマウスを置きます。 個々のポリシーに関連したコマンドを参照するには、そのポリシーの名前にマウスを置きます。 これで目的のコマンドを選択できます。

    既存のポリシーについて処理する必要がある場合、フィルタ コントロールを使用すると、変更するポリシーを簡単に見つけることができます。

    ステップ 2   次のいずれかを実行します。
    • ASA CX に新規ポリシー セットを作成するには、[I want to] > [Add CX Policy Set] を選択します。
    • 既存のポリシー セットを編集するには、ポリシー セット名の上にマウスを置き、[Edit Policy Set] をクリックします。
    • ポリシー セットのコピーを作成するには、ポリシー セット名の上にマウスを置き、[Duplicate Policy Set] をクリックします。
    ステップ 3   ポリシー セットの次のプロパティを設定します。
    • [Policy Set Name]:ポリシー セット名。 この名前を変更すると、そのポリシー セットを参照しているすべてのデバイス グループが更新されます。
    • [Policy Set Type]:このポリシー セットに含めるポリシーのタイプ。 ポリシー セットを作成した後で、このプロパティを変更することはできません。
    • [Description]:ポリシー セットの説明。
    • [Device Groups]:このポリシー セットを割り当てるデバイス グループ。 このポリシー セットを使用するすべてのデバイス グループを選択します。 フィールドをクリックすると、現在選択可能なグループがすべて入ったドロップダウン リストが開きます。このタイプのポリシー セットがすでに割り当てられているグループは選択できません。 グループに割り当てられているポリシー セットを変更するには、デバイス グループを編集するか、または現在使用しているポリシー セットからデバイス グループを削除する必要があります。
    • Tagsこの項目の識別に役立つ語とフレーズ。 たとえば、同じタグを複数の項目に割り当てると、検索での表示が容易になります。 タグでは、ユーザが選択した使用例、目的、またはその他の特性を識別できます。 これらのタグは、ユーザの目的にのみ対応しています。システムやポリシーの機能には影響しません。 複数のタグを入力(または選択)できます。
    • Ticket IDご使用のサポート システム(Remedy など)からのケース ID またはチケット ID。 ネットワーク サポート ケースに関連する変更を行う場合、トラッキング用にここにチケット ID を入力できます。 新しい ID を入力するか、保留中の変更に使用されている既存の ID から選択することができます。必要なだけの ID を指定します。 (すでにコミットされている変更で使用した ID は、このリストに表示されません)
    ステップ 4   [Save Policy Set] をクリックして変更を保存します。

    次の作業

    新しいポリシー セットの場合は、セットにポリシーを追加します。 ポリシー セットをデバイス グループ(既存のグループ、または新規グループを作成)に割り当て、変更を保存して、グループに割り当てられているデバイスにポリシーをデプロイします。 デバイス グループの割り当ては、ポリシー セットのプロパティから行うことも、デバイス グループのプロパティから行うこともできます。

    ポリシーの設定

    ポリシーとは、ネットワークのセキュリティ特性および要件を定義するものであり、たとえば、ネットワークにアクセスできる人、使用できるアプリケーション、アクセスできる Web サイトなどについてのルールを定義します。 ポリシーにより、組織のネットワーク セキュリティ ポリシーを実装します。

    複数のデバイスを管理するか、それとも ASA CX を 1 つ直接設定するかによって、ポリシーは多数のデバイス間で共有することも、単一のデバイスにローカルなものにすることもできます。

    ポリシーは、ポリシー セットにグループ化されます。 1 つのポリシー セットで、ネットワークのアクセス要件やユーザ認証要件といった、ある特定のタイプの動作を制御します。 各ポリシー セットは、その選択した動作のポリシーを、セットの適用対象の全デバイスに対して定義するための単位です。 ポリシー セットの評価は、最初の一致で行われます。着信トラフィックは、上から下の順にセット内の各ポリシーの一致基準と比較され、トラフィック一致基準が満たされた最初のポリシーによって、そのトラフィックに適用されるセキュリティ ポリシーが決まります。 したがって、ポリシー セット内の順番は非常に重要です。

    手順
      ステップ 1   [Policies] > [Policies] を選択します。

      ポリシーはポリシー セットに編成され、各ポリシー セットは、ポリシーが別個の順序付きリストになっています。 ポリシー セットに関連したコマンドを参照するには、そのポリシー セットの名前にマウスを置きます。 個々のポリシーに関連したコマンドを参照するには、そのポリシーの名前にマウスを置きます。 これで目的のコマンドを選択できます。

      既存のポリシーについて処理する必要がある場合、フィルタ コントロールを使用すると、変更するポリシーを簡単に見つけることができます。

      ステップ 2   次のいずれかを実行します。
      • リストの一番上に新規ポリシーを作成するには、ポリシー セット名の上にマウスを置き、[Add New Policy] をクリックします。
      • 新規ポリシーをリスト中に挿入するには、目的の位置の直下のポリシーの上にマウスを置き、[Add Above] をクリックします。
      • 既存のポリシーを編集するには、ポリシー名の上にマウスを置き、[Edit Policy] をクリックします。
      • 類似した既存のポリシーを基に新規ポリシーを作成するには、ポリシー名の上にマウスを置き、[Duplicate Policy] をクリックします。
      作成または編集するポリシーのタイプに応じたポリシー プロパティのフォームが開きます。 これらのプロパティの詳細については、該当するトピックを参照してください。
      ステップ 3   [Save Policy] をクリックして変更を保存します。

      ポリシーの名前および内容は、そのポリシーを保存するポリシー セット内で固有のものにする必要があります。

      ステップ 4   ポリシー セット内の優先順位に収まるように、必要に応じて [Policies] ページでポリシーを移動します。

      ポリシー セット内のポリシーは、最初に一致したものから順に適用されるため、限定的なトラフィック一致基準を持つポリシーは、同じトラフィックに適用され、汎用的な基準を持つポリシーよりも上に置く必要があります。

      ポリシーをドラッグ アンド ドロップしたり、ポリシーにマウスを移動すると表示される [Move Up]、[Move Down] 各リンクを使用することができます。


      ポリシーまたはポリシー セットの削除


      (注)  


      ポリシー セットの削除は、PRSM マルチ デバイス モードでのみ実行可能です。 ASA CXシングル デバイス モードに設定している場合、ポリシー セットは事前定義されているため、削除できません。 一方、ポリシーは削除できます。


      ポリシーまたはポリシー セットは、不要になったら削除してください。 ただし、ポリシーまたはポリシー セットを削除する前に、それらを一時的にディセーブルにする次の方法について検討してください。
      • ポリシー:ポリシーを編集し、[Enable Policy: Off] を選択すると、そのポリシーを一時的にディセーブルにすることができます。 変更を保存すると、ポリシーが割り当てられていたデバイス上で、そのポリシーは無効になります。
      • ポリシー セット:(マルチ デバイス モードのみ)ポリシー セットを参照しているすべてのデバイス グループから、そのポリシー セットの割り当てを解除します。 変更を保存すると、そのポリシー セット全体がデバイスから削除されます。
      はじめる前に

      ポリシー セットを削除するには、その前にそのポリシー セットを参照しているデバイス グループからポリシー セットを削除する必要があります。

      手順
        ステップ 1   [Policies] > [Policies] を選択します。
        ステップ 2   次のいずれかを実行します。
        • ポリシーを削除するには、ポリシーの上にマウスを置き、[Delete Policy] を選択します。
        • ポリシー セットを削除するには、ポリシー セット名の上にマウスを置き、[Delete Policy Set] を選択します。

        デバイス グループの管理


        (注)  


        デバイス グループの作成は、PRSM マルチ デバイス モードでのみ実行可能です。 ASA CXシングル デバイス モードに設定している場合は、単一のデバイスだけを設定するため、デバイス グループは必要ありません。


        デバイス グループとは、特定のポリシー セットを 1 つ以上のデバイスに適用するためのテンプレートです。 一般的に、デバイス グループはデバイスの用途に基づいて定義します。 たとえば、インターネット エッジ デバイスは、インターネットと内部ネットワークの間のフローを制御します。

        デバイス グループでは、ポリシー タイプごとに 1 つのポリシー セットと、それらのポリシーを適用するデバイスを選択します。 デバイス グループは、複数のデバイスに共有ポリシーを割り当てるために使用するメカニズムです。 したがって、ネットワークに必要なすべての組み合わせのポリシー セットを作成できるだけの、十分な数のデバイス グループが必要となります。


        (注)  


        1 つのデバイスは、1 つのデバイス グループにのみ割り当て可能です。 最初にデバイスをインベントリに追加するときに、そのデバイス用に固有のデバイス グループが作成されます。 このグループにデバイスを残しておくことも、別のグループに移動することもできます。また、他のデバイスをグループに追加することもできます。


        デバイス グループの作成、編集、削除、表示を行う [Device Groups] ページを開くには、[Policies] > [Device Groups] を選択します。

        [Device Groups] ページには、次の項目が含まれています。

        • [Device Group Carousel]:既存のデバイス グループが、左右にスクロールするカルーセルで表示されます。 各デバイス グループのバブルには、グループ名およびグループに割り当てられているデバイス数が表示されます。 デバイス グループをクリックすると、プロパティが表示されます。プロパティは、カルーセルの下のプロパティ フィールドにロードされます。 デフォルト デバイス グループは、適宜使用可能な事前定義済みのグループです。
        • [I want to]:次のコマンドが含まれています。
          • [Add New Device Group]:新規デバイス グループを追加します。 既存のデバイス グループを表示していた場合、そのグループのプロパティ フィールドはクリアされます。

        デバイス グループ プロパティ

        カルーセルからデバイス グループを選択すると、そのプロパティがカルーセルの下に表示されます。 デバイス グループのプロパティは次のとおりです。
        • [Device Group Name]:デバイス グループの名前。
        • [Description]:デバイス グループの説明。
        • [Devices]:デバイス グループに割り当てられているデバイス(ある場合)。 複数の項目を入力するには、[Enter] を押して各項目を確認し、さらに項目を選択できるようにします。ドロップダウン リストから項目を選択すると、選択した項目が自動的にボックスに入力されます。 既存の項目を編集するには、項目をクリックして編集を行い、[Enter] を押します。 ボックスにすでに入っている項目を削除するには、項目の上にマウスを置き、項目名の右側にある [X] またはその項目をクリックして、次に [Delete] を押して項目を削除し、対象から離れた場所をクリックして削除を完了します。 入力が有効でない場合は、黄色で表示されます。フィールドの横にある [Errors] リンクをクリックすると、修正の必要がある問題の情報が表示されます。 リスト内の項目にマウスを重ねると、[View Device] リンクが表示されるので、デバイスのプロパティを確認できます。これは、適切なデバイスを選択するのに役立ちます。

          ヒント


          トラフィックのリダイレクション設定の管理状態が、デバイス グループの管理状態と異なるデバイスを選択すると、そのデバイスをグループに追加した場合の影響を説明したメッセージが表示されます。 デバイスを追加する前に、このメッセージをよくお読みください。


        • [Manage Licensed Features]:この設定は、特別なライセンスを必要とする機能を、グループに対して使用可能にするかどうかを指定します。 機能をディセーブルにした場合、その機能を使用するポリシーを含むポリシー セットを割り当てることはできません。 たとえば、URL フィルタリングをディセーブルにした場合、アクセス ポリシーに URL オブジェクトを含めることはできません。 機能を使用するポリシー セットをすでに割り当てている場合、その機能をディセーブルにすることはできません。まずそのポリシー セットへの参照を削除してください。
          次の機能の使用を制御できます。
          • [Application Services]:Application Visibility and Control ライセンスが必要です。 この機能は、アクセス ポリシーにおけるアプリケーション、アプリケーション タイプ、アプリケーション オブジェクト、またはアプリケーション サービス オブジェクトの使用と、[Applications] フィールドを制御します。
          • [URL Filtering]:Web Security Essentials ライセンスが必要です。 この機能は URL オブジェクトの使用を制御します。
          • [Web Reputation]:Web Security Essentials ライセンスが必要です。 この機能は Web レピュテーション プロファイル オブジェクトの使用を制御します。
        • [Traffic Redirection Settings]:この設定は、ASA から ASA CX SSP にリダイレクトするトラフィック タイプを指定します。 トラフィックのリダイレクト設定セクションに、設定が PRSM で管理されないというメッセージが含まれている場合、このグループの 1 つ以上のデバイスに、PRSM がサポートしない機能を使用して PRSM の外部で設定されたトラフィックのリダイレクト ポリシーがあることを示します。 管理対象ではないリダイレクト ポリシーのあるデバイスは、グループから除外される可能性がありますが、グループのリダイレクト ポリシーは永続的にディセーブルになります。 リダイレクト ポリシーを設定または変更するには、ASA CLI または ASDM を使用する必要があります。
          トラフィック リダイレクション設定をサポートするデバイス グループの場合、次の設定を行うことができます。
          • [Traffic Redirection: Enable/Disable]:グループ内のデバイスにトラフィック リダイレクションを設定するかどうか。 [Disable] を選択すると、既存のトラフィック リダイレクション ポリシーが削除され、トラフィックは ASA CX SSP を通過しなくなります。
          • [TCP/UDP Ports]:トラフィックをリダイレクトする TCP または UDP ポート。 デフォルトは [Any] で、TCP/UDP ポートに適用されるだけでなく、他のすべてのプロトコルのトラフィックも対象となります。 明示的にポート番号を入力した場合は、そのポートを通過する TCP/UDP トラフィックのみがリダイレクトされます。 ポートはプロトコル/ポートの形式で入力し、tcp/80 や udp/80 などと入力します。 tcp/1-100 や udp/1-100 のように、ハイフンを使用してポートの範囲を入力できます。 ポート番号は 1 ~ 65535 です。
          • [Interfaces]:トラフィックをリダイレクトするインターフェイス。 デフォルトは [All Interfaces] で、ASA 上のすべてのアクティブ インターフェイスを通過するトラフィックがリダイレクトされます。 グループに複数のデバイスが存在する場合は、全デバイス上の全インターフェイスが、ドロップダウン リストに使用可能なインターフェイスとして含まれます。 任意の組み合わせのインターフェイスを選択できますが、グループに含まれている各デバイスのインターフェイスを少なくとも 1 つ選択する必要があります。
            例として、次の 3 つのデバイスとそのインターフェイスについて考えてみます。
            • ASA-1:inside、outside、DMZ
            • ASA-2:inside、outside
            • ASA-3:GE1、GE2、GE3
            この場合、「inside、DMZ」という選択はできません。ASA-3 のインターフェイスがリストに含まれないからです。 選択されたインターフェイスが ASA-1 には 2 つあるのに対して、ASA-2 には 1 つしかないということは重要ではなく、ASA-1 の 2 つのインターフェイスでリダイレクションが行われることを意味しています。 このグループを保存するためには、GE1、GE2、および GE3 インターフェイスのうち少なくとも 1 つを選択して、ASA-3 が示されるようにする必要があります。
        • [Policy Sets]:ポリシー タイプごとに、ポリシー セットを選択できるフィールドがあります。 ポリシー タイプごとに 1 つのポリシー セットを選択できます。 特定のタイプのポリシーを実装しない場合は、そのポリシー タイプのフィールドをブランクのままにします。 一部のケースでは、特定のポリシー セットを割り当てない場合、特殊なポリシー セットのデフォルトの動作が適用されます。 たとえ、あるポリシー セットに単純なポリシーが含まれているが、それが実質的にそのタイプのファイアウォール動作の特別なサービスを適用することがない場合であっても、ベスト プラクティスはポリシー タイプごとにポリシー セットを選択することです。 そうすることにより、デバイスで実行すべき内容が正確にわかるようになります。 ポリシー セットを選択すると、そのポリシー セットに含まれているポリシーの数が表示されます。
        • [Save Device Group] ボタン:デバイス グループのプロパティへの変更を保存します。
        • [Delete Device Group] ボタン:現在プロパティを表示しているデバイス グループを削除します。 デバイス グループを削除すると、そのグループに割り当てられていたデバイスの割り当てが解除されます。 必ず、そのデバイスを別のグループに再度割り当ててください。

        デバイス グループの設定

        デバイス グループを作成すると、ネットワーク上で同じ役割を実行している複数のデバイスに対して、一連のポリシー セットを割り当てることができます。 たとえば、インターネット エッジ ファイアウォールのデバイス グループを作成し、インターネット トラフィックから内部ネットワークを保護する全デバイスに対して、一連の同じポリシーを適用できます。

        ここでは、新しいグループの作成方法または既存グループの編集方法について説明します。

        手順
          ステップ 1   [Policies] > [Device Groups] を選択します。
          ステップ 2   次のいずれかを実行します。
          • 新しいデバイス グループを作成するには、[I want to] > [Add New Device Group] を選択します。 既存のデバイス グループを表示していた場合は、このオプションを選択するとそのデバイス グループのプロパティがクリアされます。
          • 既存のデバイス グループを編集するには、カルーセルでそのデバイス グループを選択して、プロパティ フィールドにグループのプロパティを表示します。
          ステップ 3   名前と説明を編集します。 名前は必須です。
          ステップ 4   [Devices] フィールドで、グループに割り当てるデバイスを選択します。

          デバイスを選択するためには、そのデバイスがあらかじめインベントリ内に存在している必要があります。

          また、すでに別のデバイス グループに割り当て済みのデバイスは選択できません。 デバイスを新しいグループに割り当てるには、まず古いグループの [Devices] フィールドからデバイスを削除し、変更を保存する必要があります。 これにより、そのデバイスは新しいグループに割り当て可能になります。

          (注)     

          トラフィックのリダイレクト設定の管理対象状態が、デバイス グループとデバイスで異なっている場合、デバイスをグループに追加した場合の影響を示すメッセージが表示されます。 処理を続行する前に、このメッセージをよくお読みください。 管理対象と対象外のトラフィックのリダイレクト設定を持つデバイスが、同じグループに混在している場合、そのグループ内のすべてのデバイスにこれらの設定を行うために PRSM を使用することができなくなります。

          ステップ 5   ライセンスされている機能の使用を制御するには、[Manage License Features] グループで、機能ごとに適宜 [Enable] または [Disable] を選択します。

          各機能には、Application Visibility and Control ライセンスまたは Web Services Essentials ライセンスが必要です。 このタイプのライセンスを購入しない場合は、ライセンスを必要とする機能をディセーブルにすることができます。 この設定により、グループに割り当て可能なポリシー セットのタイプを制御できます。 割り当て済みのポリシー セットですでに使用されている機能をディセーブルにすることはできません。 変更を保存するには、まずポリシー セットの割り当てを解除するか、別のものを割り当てる必要があります。

          ステップ 6   トラフィックのリダイレクション設定が使用可能な場合は、ASA CX SSP にリダイレクトするトラフィックを定義するための設定を行います。
          トラフィック リダイレクションおよび関連事項についての詳細は、次の各トピックを参照してください。
          ステップ 7   デバイス グループに割り当てるポリシー セットを選択します。

          ポリシー タイプごとに 1 つのポリシー セットを選択できます。 特定のポリシー タイプを割り当てない場合は、そのプロパティを空のままにします。

          ステップ 8   [Save Device Group] をクリックして変更を保存します。

          選択したデバイスの中に、グループで使用される機能をサポートするために必要なライセンスを一部持っていないデバイスがある場合、変更を保存するときに、それらのデバイスに該当するライセンスを適用するよう求めるプロンプトが表示されます。 必要な場合、この時点で新しいライセンス ファイルをアップロードできます。


          次の作業

          恒久的にディセーブルにするつもりで機能をディセーブルにしたが、その機能をサポートするライセンスを使用してグループのデバイスがすでに設定されていたという場合は、グループのデバイスからライセンスを取り消して、他のデバイスのライセンスを解除する必要があります。 グループに含まれているデバイスをメモし、[Administration] > [Licenses]を選択し、各デバイスの上にマウスを置いて、[Revoke License] をクリックします。

          デバイス グループへのデバイスの割り当て


          (注)  


          デバイス グループには、ASA CX デバイスを個々に割り当てるのではなく、ASA デバイスを割り当てます。


          デバイスをインベントリに追加すると、そのデバイス用に固有のデバイス グループが作成されます。 このグループにデバイスを残すことも、別のグループに移動することもできます。また、デバイスをグループに追加することもできます。


          ヒント


          トラフィックのリダイレクト設定の管理対象状態が、デバイス グループとデバイスで異なっている場合、デバイスをグループに追加した場合の影響を示すメッセージが表示されます。 処理を続行する前に、このメッセージをよくお読みください。 管理対象と対象外のトラフィックのリダイレクト設定を持つデバイスが、同じグループに混在している場合、そのグループ内のすべてのデバイスにこれらの設定を行うために PRSM を使用することができなくなります。


          手順
            ステップ 1   [Policies] > [Device Groups] を選択します。
            ステップ 2   デバイスがすでにグループに割り当てられている場合は、まずカルーセルからそのグループを選択し(グループのプロパティをページに表示するため)、グループ プロパティの [Devices] フィールドでそのデバイス名の上にマウスを置き、[X] をクリックしてデバイスを削除します。 [Save Device Group] をクリックして変更を保存します。
            ステップ 3   カルーセルで新しいグループを選択し、[Devices] フィールドをクリックして、デバイスを選択します。
            ステップ 4   [Save Device Group] をクリックして変更を保存します。

            選択したデバイスが、そのグループで使用される機能をサポートするために必要なライセンスを一部持っていない場合は、該当ライセンスをデバイスに適用するよう求めるプロンプトが表示されます。


            デバイス グループの削除

            不要になったデバイス グループは削除できます。

            デバイス グループを削除すると、そのグループに割り当てられていたデバイスの割り当てが解除されます。 ただし、デバイス上で設定されたポリシーは、そのデバイスが新しいグループに割り当てられるまで削除も変更もされません。 すべてのデバイスがデバイス グループに割り当てられるようにしてください。

            手順
              ステップ 1   [Policies] > [Device Groups] を選択します。
              ステップ 2   削除するデバイス グループを、デバイス グループ カルーセルで選択します。
              ステップ 3   削除するグループのプロパティがプロパティ フィールドに表示されていることを確認し、[Delete Device Group] をクリックします。