Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
オブジェクトの設定
オブジェクトの設定
発行日;2012/02/01 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

オブジェクトの設定

オブジェクトとグループの設定

オブジェクトとグループに関する情報

オブジェクトに関する情報

オブジェクト グループに関する情報

オブジェクトとグループのライセンス要件

オブジェクトとグループのガイドラインと制限事項

オブジェクトの設定

ネットワーク オブジェクトの設定

サービス オブジェクトの設定

オブジェクト グループの設定

プロトコル オブジェクト グループの追加

ネットワーク オブジェクト グループの追加

サービス オブジェクト グループの追加

ICMP タイプ オブジェクト グループの追加

オブジェクト グループのネスト

オブジェクト グループの削除

オブジェクトとグループのモニタリング

オブジェクトとグループの機能履歴

正規表現の設定

正規表現の作成

正規表現クラスマップの作成

拡張アクセスリストのアクティベーションのスケジュール設定

アクセスリストのアクティベーションのスケジュール設定に関する情報

アクセスリストのアクティベーションのスケジュール設定におけるライセンス要件

アクセスリストのアクティベーションのスケジュール設定におけるガイドラインと制限事項

時間範囲の設定と適用

アクセスリストのアクティベーションのスケジュール設定例

アクセスリストのアクティベーションのスケジュール設定における機能履歴

オブジェクトの設定

オブジェクトとは、コンフィギュレーションで使用するための再利用可能なコンポーネントです。オブジェクトは、インライン IP アドレスの代わりに適応型セキュリティ アプライアンス コンフィギュレーションで定義し、使用できます。オブジェクトを使用すると、コンフィギュレーションのメンテナンスが容易になります。これは、一箇所でオブジェクトを変更し、このオブジェクトを参照している他のすべての場所に反映できるからです。オブジェクトを使用しなければ、1 回だけ変更するのではなく、必要に応じて各機能のパラメータを変更する必要があります。たとえば、ネットワーク オブジェクトによって IP アドレスおよびサブネット マスクが定義されており、このアドレスを変更する場合、この IP アドレスを参照する各機能ではなく、オブジェクト定義でアドレスを変更することだけが必要です。

この章では、オブジェクトを設定する方法について説明します。説明する項目は次のとおりです。

「オブジェクトとグループの設定」

「正規表現の設定」

「拡張アクセスリストのアクティベーションのスケジュール設定」

オブジェクトとグループの設定

この項は、次の内容で構成されています。

「オブジェクトとグループに関する情報」

「オブジェクトとグループのライセンス要件」

「オブジェクトとグループのガイドラインと制限事項」

「オブジェクトの設定」

「オブジェクト グループの設定」

「オブジェクトとグループのモニタリング」

「オブジェクトとグループの機能履歴」

オブジェクトとグループに関する情報

適応型セキュリティ アプライアンスでは、オブジェクトおよびオブジェクト グループがサポートされています。必要に応じて、1 つまたは複数のオブジェクト グループのオブジェクトを関連付けるか、関連付けを解除して、オブジェクトが重複しないようにしつつ、必要に応じてオブジェクトを再利用できるようにします。

この項は、次の内容で構成されています。

「オブジェクトに関する情報」

「オブジェクト グループに関する情報」

オブジェクトに関する情報

オブジェクトは、任意のコンフィギュレーションでインライン IP アドレスの代わりに適応型セキュリティ アプライアンスによって作成され、使用されます。オブジェクトは、特定の IP アドレスおよびネットマスクのペアまたはプロトコル(およびオプションでポート)で定義できます。このオブジェクトは、複数のコンフィギュレーションで使用できます。利点は、この IP アドレスまたはプロトコルに対して作成されたコンフィギュレーションを変更する場合、実行コンフィギュレーションですべての規則を変更する必要のないことです。オブジェクトを変更すると、指定したオブジェクトを使用するすべての規則にこの変更が自動的に適用されます。オブジェクトは、ネットワーク オブジェクトとサービス オブジェクトの 2 種類を設定できます。これらのオブジェクトは、Network Address Translation(NAT; ネットワーク アドレス変換)、アクセスリスト、およびオブジェクト グループで使用できます。

オブジェクト グループに関する情報

類似オブジェクトをグループにまとめると、オブジェクトごとに ACE を入力する代わりに、ACE でオブジェクト グループを使用できるようになります。次のタイプのオブジェクト グループを作成できます。

プロトコル

ネットワーク

サービス

ICMP のタイプ

たとえば、次の 3 つのオブジェクト グループを考えてみます。

MyServices:内部ネットワークへのアクセスが許可されるサービス要求の TCP/UDP ポート番号を含む。

TrustedHosts:最大範囲のサービスとサーバへのアクセスが許可されるホスト アドレスとネットワーク アドレスを含む。

PublicServers:最大のアクセスが提供されるサーバのホスト アドレスを含む。

上記のグループを作成すると、1 つの ACE を使用して、信頼できるホストが公開サーバのグループにサービス要求を許可することが可能になります。

オブジェクト グループを他のオブジェクト グループにネストすることもできます。

オブジェクトとグループのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

オブジェクトとグループのガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートしますが、制限事項があります(「その他のガイドラインと制限事項」を参照してください)。

その他のガイドラインと制限事項

オブジェクト グループには、次のガイドラインと制限事項が適用されます。

オブジェクトおよびオブジェクト グループは、同じ名前スペースを共有します。

オブジェクト グループには、固有の名前が必要となります。「Engineering」という名前のネットワーク オブジェクト グループと「Engineering」という名前のサービス オブジェクト グループを作成する場合、少なくとも 1 つのオブジェクト グループ名の最後に識別子(または「タグ」)を追加して、その名前を固有のものにする必要があります。たとえば、「Engineering_admins」と「Engnineering_hosts」という名前を使用すると、オブジェクト グループの名前を固有のものにして特定可能にすることができます。

別のコマンドで使用されている場合は、オブジェクト グループを削除したり、オブジェクト グループを空にすることはできません。

適応型セキュリティ アプライアンスは、ネストされた IPv6 オブジェクト グループはサポートしません。したがって、IPv6 エンティティが含まれるオブジェクトを別の IPv6 オブジェクト グループの下でグループ化できません。

オブジェクトの設定

この項は、次の内容で構成されています。

「ネットワーク オブジェクトの設定」

「サービス オブジェクトの設定」

ネットワーク オブジェクトの設定

ネットワーク オブジェクトには、1 つの IP アドレスとマスクのペアが含まれます。ネットワーク オブジェクトは、ホスト、サブネット、または範囲の 3 種類です。

オブジェクト定義の一部として、自動 NAT を設定することもできます。詳細については、「ネットワーク オブジェクト NAT の設定」を参照してください。

手順の詳細

 

コマンド
目的

ステップ 1

object network obj_name

 

例:

hostname(config)# object-network OBJECT1

新しいネットワーク オブジェクトを作成します。 obj_name は最大長が 64 文字の文字列で、英字、数字、および次の文字を組み合せることができます。

下線(_)

ダッシュ(-)

ピリオド(.)

プロンプトが、ネットワーク オブジェクト コンフィギュレーション モードに変わります。

ステップ 2

{ host ip_addr | subnet net_addr net_mask | range ip_addr_1 ip_addr_2 }

 

例:

hostname(config-network-object)# host 10.2.2.2

ネームド オブジェクトに IP アドレスを割り当てます。ホスト アドレス、サブネット、またはアドレスの範囲を設定できます。

ステップ 3

description text

 

例:

hostname(config-network-object)# description Engineering Network

オブジェクトに説明を追加します。

ネットワーク オブジェクトを作成するには、次のコマンドを入力します。

hostname (config)# object network OBJECT1
hostname (config-network-object)# host 10.2.2.2

サービス オブジェクトの設定

サービス オブジェクトには、プロトコル、およびオプションの送信元ポートまたは宛先ポート、あるいはその両方が含まれます。

手順の詳細

 

コマンド
目的

ステップ 1

object service obj_name

 

例:

hostname(config)# object-service SERVOBJECT1

新しいサービス オブジェクトを作成します。 obj_name は最大長が 64 文字の文字列で、英字、数字、および次の文字を組み合せることができます。

下線(_)

ダッシュ(-)

ピリオド(.)

プロンプトが、サービス オブジェクト コンフィギュレーション モードに変わります。

ステップ 2

service { protocol | icmp icmp-type | icmp6 icmp6-type | { tcp | udp } [ source operator port ] [ destination operator port ]}

 

例:

hostname(config-service-object)# service tcp source eq www destination eq ssh

送信元のマッピング アドレスのサービス オブジェクトを作成します。

protocol 引数には、IP プロトコルの名前または番号を指定します。

icmp tcp または udp の各キーワードは、このサービス オブジェクトが ICMP プロトコル、TCP プロトコル、または UDP プロトコルのいずれかのサービス オブジェクトであることを指定します。

icmp-type 引数は、ICMP タイプを指定します。

icmp6 キーワードは、サービス タイプが ICMP バージョン 6 接続用であることを指定します。

icmp6-type 引数は、ICMP バージョン 6 タイプを指定します。

source キーワードは、送信元ポートを指定します。

destination キーワードは、宛先ポートを指定します。

operator port 引数は、プロトコルのポート設定をサポートする 1 つのポート/コードの値を指定します。TCP または UDP のポートの設定時には、「eq」、「neq」、「lt」、「gt」、および「range」を指定できます。「range」演算子を使用すると、開始ポートおよび終了ポートの一覧が表示されます。

サービス オブジェクトを作成するには、次のコマンドを入力します。

hostname (config)# object service SERVOBJECT1
hostname (config-service-object)# service tcp source eq www destination eq ssh

プロトコル オブジェクト グループの追加

プロトコル オブジェクト グループを追加または変更するには、この項の手順を実行します。グループを追加した後、同じグループ名でこの手順を繰り返し、追加のオブジェクトを指定することで、必要に応じてさらにオブジェクトを追加できます。既存のオブジェクトを再入力する必要はありません。設定済みのコマンドは、コマンドの no 形式で削除するまで残ります。

手順の詳細

 

コマンド
目的

ステップ 1

object-group protocol obj _ grp_id

 

例:

:
hostname(config)# object-group protocol tcp_udp_icmp

プロトコル グループを追加します。 obj_grp_id は最大長が 64 文字の文字列で、英字、数字、および次の文字を組み合せることができます。

下線(_)

ダッシュ(-)

ピリオド(.)

プロンプトがプロトコル コンフィギュレーション モードに変わります。

ステップ 2

description text

 

例:

hostname(config-protocol)# description New Group

(オプション)説明を追加します。説明には、最大 200 文字を使用できます。

ステップ 3

protocol-object protocol

 

例:

hostname(config-protocol)# protocol-object tcp
 

グループでプロトコルを定義します。プロトコルごとにコマンドを入力します。protocol は、指定の IP プロトコルの数値識別子(1 ~ 254)またはキーワード識別子(たとえば、 icmp tcp 、または udp )です。すべての IP プロトコルを含めるには、キーワード ip を使用します。指定できるプロトコルのリストについては、「プロトコルとアプリケーション」を参照してください。

TCP、UDP、および ICMP のプロトコル グループを作成するには、次のコマンドを入力します。

hostname (config)# object-group protocol tcp_udp_icmp
hostname (config-protocol)# protocol-object tcp
hostname (config-protocol)# protocol-object udp
hostname (config-protocol)# protocol-object icmp

ネットワーク オブジェクト グループの追加

ネットワーク オブジェクト グループは、IPv4 アドレスおよび IPv6 アドレスをサポートします。

ネットワーク オブジェクト グループを追加または変更するには、この項の手順を実行します。グループを追加した後、同じグループ名でこの手順を繰り返し、追加のオブジェクトを指定することで、必要に応じてさらにオブジェクトを追加できます。既存のオブジェクトを再入力する必要はありません。設定済みのコマンドは、コマンドの no 形式で削除するまで残ります。

手順の詳細

 

コマンド
目的

ステップ 1

object-group network grp_id

 

例:

hostname(config)# object-group network admins

ネットワーク グループを追加します。

grp_id は最大長が 64 文字の文字列で、英字、数字、および次の文字を組み合せることができます。

下線(_)

ダッシュ(-)

ピリオド(.)

プロンプトがプロトコル コンフィギュレーション モードに変わります。

ステップ 2

description text

 

例:

hostname(config-network)# Administrator Addresses

(オプション)説明を追加します。説明には、最大 200 文字を使用できます。

ステップ 3

network-object { object name | host ip_address | ip_address mask}

 

例:

hostname(config-network)# network-object host 10.2.2.4

object キーワードは、ネットワーク オブジェクト グループに追加オブジェクトを追加します。

グループでネットワークを定義します。ネットワークまたはアドレスごとにコマンドを入力します。

3 人の管理者の IP アドレスを含むネットワーク グループを作成するには、次のコマンドを入力します。

hostname (config)# object-group network admins
hostname (config-protocol)# description Administrator Addresses
hostname (config-protocol)# network-object host 10.2.2.4
hostname (config-protocol)# network-object host 10.2.2.78
hostname (config-protocol)# network-object host 10.2.2.34

サービス オブジェクト グループの追加

サービス オブジェクト グループを追加または変更するには、この項の手順を実行します。グループを追加した後、同じグループ名でこの手順を繰り返し、追加のオブジェクトを指定することで、必要に応じてさらにオブジェクトを追加できます。既存のオブジェクトを再入力する必要はありません。設定済みのコマンドは、コマンドの no 形式で削除するまで残ります。

手順の詳細

 

コマンド
目的

ステップ 1

object-group service grp_id { tcp | udp | tcp-udp }

 

例:

hostname(config)# object-group service services1 tcp-udp

サービス グループを追加します。

object キーワードは、サービス オブジェクト グループに追加オブジェクトを追加します。

grp_id は最大長が 64 文字の文字列で、英字、数字、および次の文字を組み合せることができます。

下線(_)

ダッシュ(-)

ピリオド(.)

tcp udp 、または tcp-udp のいずれかのキーワードで、追加するサービス(ポート)のプロトコルを指定します。DNS(ポート 53)のように、同じポート番号で TCP と UDP の両方を使用している場合は、 tcp-udp キーワードを入力します。

プロンプトがサービス コンフィギュレーション モードに変わります。

ステップ 2

description text

 

例:

hostname(config-service)# description DNS Group

(オプション)説明を追加します。説明には、最大 200 文字を使用できます。

ステップ 3

port-object { eq port | range begin_port end_port }

 

例:

hostname(config-service)# port-object eq domain

グループでポートを定義します。ポートまたはポート範囲ごとにコマンドを入力します。使用できるキーワードおよび予約済みポート割り当てのリストについては、「プロトコルとアプリケーション」を参照してください。

DNS(TCP/UDP)、LDAP(TCP)、および RADIUS(UDP)が含まれたサービス グループを作成するには、次のコマンドを入力します。

hostname (config)# object-group service services1 tcp-udp
hostname (config-service)# description DNS Group
hostname (config-service)# port-object eq domain
 
hostname (config)# object-group service services2 udp
hostname (config-service)# description RADIUS Group
hostname (config-service)# port-object eq radius
hostname (config-service)# port-object eq radius-acct
 
hostname (config)# object-group service services3 tcp
hostname (config-service)# description LDAP Group
hostname (config-service)# port-object eq ldap

ICMP タイプ オブジェクト グループの追加

ICMP タイプ オブジェクト グループを追加または変更するには、この項の手順を実行します。グループを追加した後、同じグループ名でこの手順を繰り返し、追加のオブジェクトを指定することで、必要に応じてさらにオブジェクトを追加できます。既存のオブジェクトを再入力する必要はありません。設定済みのコマンドは、コマンドの no 形式で削除するまで残ります。

手順の詳細

 

コマンド
目的

ステップ 1

object-group icmp-type grp_id

 

例:

hostname(config)# object-group icmp-type ping
 

ICMP タイプ オブジェクト グループを追加します。 grp_id は最大長が 64 文字の文字列で、英字、数字、および次の文字を組み合せることができます。

下線(_)

ダッシュ(-)

ピリオド(.)

プロンプトが ICMP タイプ コンフィギュレーション モードに変わります。

ステップ 2

description text

 

例:

hostname(config-icmp-type)# description Ping Group

(オプション)説明を追加します。説明には、最大 200 文字を使用できます。

ステップ 3

 
icmp-object icmp-type

 

例:

hostname(config-icmp-type)# icmp-object echo-reply

ICMP タイプをグループで定義します。タイプごとにコマンドを入力します。ICMP タイプのリストについては、「ICMP タイプ」を参照してください。

次のコマンドを入力して、echo-reply および echo(ping 制御に使用)が含まれる ICMP タイプ グループを作成します。

hostname (config)# object-group icmp-type ping
hostname (config-service)# description Ping Group
hostname (config-service)# icmp-object echo
hostname (config-service)# icmp-object echo-reply
 

オブジェクト グループのネスト

オブジェクト グループを階層型にネストして、1 つのオブジェクト グループが同じタイプの他のオブジェクト グループを含むようにできます。そして、ネストしたグループ オブジェクトと通常のオブジェクトは、単一のオブジェクト グループ内でさまざまに組み合せることができます。セキュリティ アプライアンスは、ネストされた IPv6 オブジェクト グループはサポートしません。したがって、IPv6 エンティティが含まれるオブジェクトを別の IPv6 オブジェクト グループの下でグループ化できません。

オブジェクト グループを同じタイプの別のオブジェクト グループ内にネストするには、まず、ネストするグループを作成し(「オブジェクト グループの設定」を参照)、この項の手順を実行します。

手順の詳細

 

コマンド
目的

ステップ 1

object-group group {{ protocol | network | icmp-type } grp_id | service grp_id { tcp | udp | tcp-udp }}

 

例:

hostname(config)# object-group network Engineering_group
 

下位に別のオブジェクト グループをネストする指定のオブジェクト グループ タイプを追加または編集します。

service _grp_id は最大長が 64 文字の文字列で、英字、数字、および次の文字を組み合せることができます。

下線(_)

ダッシュ(-)

ピリオド(.)

ステップ 2

group-object group_id

 

例:

hostname(config-network)# group-object Engineering_groups

指定したグループをステップ 1 で指定したオブジェクト グループの下位に追加します。ネストするグループは、同じタイプである必要があります。ネストしたグループ オブジェクトと通常のオブジェクトは、単一のオブジェクト グループ内でさまざまに組み合せることができます。

次のコマンドを入力して、さまざまな部門に所属する特権ユーザのネットワーク オブジェクト グループを作成します。

hostname (config)# object-group network eng
hostname (config-network)# network-object host 10.1.1.5
hostname (config-network)# network-object host 10.1.1.9
hostname (config-network)# network-object host 10.1.1.89
 
hostname (config)# object-group network hr
hostname (config-network)# network-object host 10.1.2.8
hostname (config-network)# network-object host 10.1.2.12
 
hostname (config)# object-group network finance
hostname (config-network)# network-object host 10.1.4.89
hostname (config-network)# network-object host 10.1.4.100
 

その後、3 つすべてのグループを次のようにネストします。

hostname (config)# object-group network admin
hostname (config-network)# group-object eng
hostname (config-network)# group-object hr
hostname (config-network)# group-object finance
 

ACE では次のように管理オブジェクト グループを指定するだけです。

hostname (config)# access-list ACL_IN extended permit ip object-group admin host 209.165.201.29

オブジェクト グループの削除

特定のオブジェクト グループまたは指定したタイプのすべてのオブジェクト グループを削除できますが、アクセスリストで使用されている場合は、そのオブジェクト グループを削除したり、空にすることはできません。

手順の詳細

 

ステップ 1

次のいずれかを実行します。

no object-group grp_id

 

例:

hostname(config)# no object-group Engineering_host
 

指定のオブジェクト グループを削除します。 grp_id は最大長が 64 文字の文字列で、英字、数字、および次の文字を組み合せることができます。

下線(_)

ダッシュ(-)

ピリオド(.)

clear object-group [ protocol | network | services | icmp-type ]

 

例:

hostname(config)# clear-object group network

指定したタイプのすべてのオブジェクト グループを削除します。


) タイプを入力しない場合、すべてのオブジェクト グループが削除されます。


オブジェクトとグループのモニタリング

オブジェクトおよびグループをモニタするには、次のコマンドを入力します。

 

コマンド
目的
show access-list

オブジェクトをグループ化せずに個々のエントリに拡張されるアクセスリスト エントリを表示します。

show running-config object-group

現在のすべてのオブジェクト グループを表示します。

show running-config object-group grp_id

現在のオブジェクト グループをグループ ID ごとに表示します。

show running-config object-group grp_type

現在のオブジェクト グループをグループ タイプごとに表示します。

オブジェクトとグループの機能履歴

表 11-1 に、この機能のリリース履歴の一覧を示します。

 

表 11-1 オブジェクト グループの機能履歴

機能名
リリース
機能情報

オブジェクト グループ

7.0(1)

オブジェクト グループにより、アクセスリストの作成とメンテナンスが簡略化されます。

object-group protocol object-group network object-group service 、および object-group icmp_type コマンドが導入または変更されました。

オブジェクト

8.3(1)

オブジェクトのサポートが導入されました。

次のコマンドが導入または変更されました。

object-network object-service object-group network object-group service network object access-list extended access-list webtype access-list remark

正規表現の設定

正規表現は、文字通りの文字列そのものとして、または メタ文字 を使用してテキスト文字列と照合されるため、さまざまなテキスト文字列と一致できます。正規表現を使用して特定のアプリケーション トラフィックの内容と照合できます。たとえば、HTTP パケット内部の URL 文字列と照合できます。この項では、正規表現を作成する方法について説明します。説明項目は次のとおりです。

「正規表現の作成」

「正規表現クラスマップの作成」

正規表現の作成

正規表現は、文字通りの文字列そのものとして、または メタ文字 を使用してテキスト文字列と照合されるため、さまざまなテキスト文字列と一致できます。正規表現を使用して特定のアプリケーション トラフィックの内容と照合できます。たとえば、HTTP パケット内部の URL 文字列と照合できます。

ガイドライン

疑問符(?)やタブなど、CLI の特殊文字をすべてエスケープするには、 Ctrl+V を使用します。たとえば、コンフィギュレーションで d?g と入力するには、 d[Ctrl+V]?g とキー入力します。

正規表現をパケットと照合する場合のパフォーマンスへの影響については、『 Cisco ASA 5500 Series Command Reference 』の regex コマンドを参照してください。


) 最適化のため、適応型セキュリティ アプライアンスは難読化解除された URL を検索します。難読化解除により、複数のスラッシュ(/)を 1 つのスラッシュに圧縮します。「http://」のように二重スラッシュを使用する文字列の場合は、代わりに「http:/」で検索してください。


表 11-2 に、特殊な意味を持つメタ文字の一覧を示します。

 

表 11-2 regex のメタ文字

文字
説明

.

ドット

任意の 1 文字と一致します。たとえば d.g と指定すると、dog、dag、dtg、および doggonnit のようにそれらの文字を含むすべての単語と一致します。

( exp )

サブ表現

サブ表現では、カッコ内の文字とカッコ外の文字が分離されるため、サブ表現で他のメタ文字を使用できます。たとえば、 d(o|a)g とすると dog および dag と一致しますが、 do|ag の場合は do および ag と一致します。サブ表現を繰り返しの数量詞と一緒に使用して、繰り返される文字を区別することもできます。たとえば、 ab(xy){3}z は abxyxyxyz と一致します。

|

二者択一

この文字の左右いずれかの側の表現と一致します。たとえば、 dog|cat は dog または cat と一致します。

?

疑問符

直前の表現が 0 または 1 つあることを示す数量詞。たとえば、 lo?se は lse または lose と一致します。

と入力してから疑問符を入力する必要があります。そうしないと、ヘルプ機能が呼び出されます。

*

アスタリスク

直前の表現が 0、1 つ、または任意の数存在することを示す数量詞。たとえば、 lo*se は、lse、lose、loose などと一致します。

+

プラス記号

直前の表現が少なくとも 1 つ存在することを示す数量詞。たとえば、 lo+se は lose や loose と一致しますが、lse とは一致しません。

{ x } または { x ,}

最小繰り返し数量詞

少なくとも x 回繰り返します。たとえば、 ab(xy){2,}z は abxyxyz や abxyxyxyz などと一致します。

[ abc ]

文字クラス

カッコ内のいずれかの文字と一致します。たとえば、 [abc] は a、b、または c と一致します。

[^ abc ]

否定の文字クラス

カッコ内に入っていない 1 文字と一致します。たとえば、 [^abc] は、a、b、c 以外の任意の文字と一致します。 [^A-Z] は、大文字以外の任意の 1 文字と一致します。

[ a - c ]

文字範囲クラス

範囲内の任意の文字と一致します。 [a-z] は、任意の小文字と一致します。文字と範囲を混合させることができます。たとえば、 [abcq-z] は a、b、c、q、r、s、t、u、v、w、x、y、z と一致し、[ a-cq-z] と指定しても同じ結果になります。

ダッシュ(-)文字は、 [abc-] [-abc] のように、カッコ内の最後または最初になっている場合に限り、文字どおりの意味で使用されます。

""

引用符

文字列内の末尾または先頭にあるスペースを保持します。たとえば、「 test 」とすると、一致を検索するときに先頭のスペースを維持します。

^

カレット

行の先頭を指定します。

¥

エスケープ文字

メタ文字と併用すると、文字どおりの文字と一致します。たとえば、 ¥[ は左角カッコ([)と一致します。

char

文字

文字がメタ文字でない場合は、文字通りの文字と一致します。

¥r

復帰

復帰 0x0d と一致します。

¥n

改行

改行 0x0a と一致します。

¥t

タブ

タブ 0x09 と一致します。

¥f

改ページ

改ページ 0x0c と一致します。

¥x NN

エスケープされた 16 進数

16 進数(正確に 2 桁)を使用する ASCII 文字と一致します。

¥ NNN

エスケープされた 8 進数

8 進数(正確に 3 桁)としての ASCII 文字と一致します。たとえば、文字 040 はスペースを表します。

手順の詳細


ステップ 1 正規表現をテストして、一致するはずの対象と一致することを確認するには、次のコマンドを入力します。

hostname(config)# test regex input_text regular_expression
 

input_text 引数は、正規表現を使用して照合する、長さが最大で 201 文字の文字列です。

regular_expression 引数の長さは、最大 100 文字です。

Ctrl+V を使用して、CLI の特殊文字をすべてエスケープします。たとえば、 test regex コマンドの入力テキストにタブを入力するには、 test regex "test[Ctrl+V Tab]" "test\t" と入力する必要があります。

正規表現が入力テキストと一致すると、次のメッセージが表示されます。

INFO: Regular expression match succeeded.
 

正規表現が入力テキストと一致しない場合は、次のメッセージが表示されます。

INFO: Regular expression match failed.
 

ステップ 2 テスト後に正規表現を追加するには、次のコマンドを入力します。

hostname(config)# regex name regular_expression
 

name 引数の長さは、最大 40 文字です。

regular_expression 引数の長さは、最大 100 文字です。


 

次の例では、検査ポリシーマップで使用する正規表現を 2 つ作成します。

hostname(config)# regex url_example example\.com
hostname(config)# regex url_example2 example2\.com
 

正規表現クラスマップの作成

正規表現クラスマップで、1 つ以上の正規表現を指定します。正規表現クラスマップを使用して、特定のトラフィックの内容を照合できます。たとえば、HTTP パケット内の URL 文字列の照合が可能です。

手順の詳細


ステップ 1 「正規表現の設定」の項の説明に従って、正規表現を 1 つ以上作成します。

ステップ 2 次のコマンドを入力して、クラスマップを作成します。

hostname(config)# class-map type regex match-any class_map_name
hostname(config-cmap)#
 

class_map_name は、最大 40 文字の文字列です。「class-default」という名前は予約されています。すべてのタイプのクラスマップで同じ名前スペースが使用されるため、別のタイプのクラスマップですでに使用されている名前は再度使用できません。

match-any キーワードにより、トラフィックが少なくとも 1 つの正規表現と一致する場合には、そのトラフィックがクラスマップと一致するように指定します。

CLI はクラスマップ コンフィギュレーション モードに移行します。

ステップ 3 (オプション)次のコマンドを入力して、クラスマップの説明を追加します。

hostname(config-cmap)# description string
 

ステップ 4 正規表現ごとに次のコマンドを入力して、クラスマップに含める正規表現を指定します。

hostname(config-cmap)# match regex regex_name
 


 

次の例では、2 つの正規表現を作成して正規表現クラスマップに追加しています。トラフィックに文字列「example.com」または「example2.com」が含まれている場合に、クラスマップと一致します。

hostname(config)# regex url_example example\.com
hostname(config)# regex url_example2 example2\.com
hostname(config)# class-map type regex match-any URLs
hostname(config-cmap)# match regex url_example
hostname(config-cmap)# match regex url_example2
 

拡張アクセスリストのアクティベーションのスケジュール設定

この項は、次の内容で構成されています。

「アクセスリストのアクティベーションのスケジュール設定に関する情報」

「アクセスリストのアクティベーションのスケジュール設定におけるライセンス要件」

「アクセスリストのアクティベーションのスケジュール設定におけるガイドラインと制限事項」

「時間範囲の設定と適用」

「アクセスリストのアクティベーションのスケジュール設定例」

「アクセスリストのアクティベーションのスケジュール設定における機能履歴」

アクセスリストのアクティベーションのスケジュール設定に関する情報

ACE に時間範囲を適用することで、アクセスリストの各 ACE が、1 日および週の特定の時刻にアクティブになるようにスケジュールを設定できます。

アクセスリストのアクティベーションのスケジュール設定におけるライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

アクセスリストのアクティベーションのスケジュール設定におけるガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

その他のガイドラインと制限事項

アクセスリストでオブジェクト グループを使用する際には、次のガイドラインと制限事項が適用されます。

ACL を非アクティブにするための指定の終了時刻の後、約 80 ~ 100 秒の遅延が発生する場合があります。たとえば、指定の終了時刻が 3:50 の場合、この 3:50 は終了時刻に含まれているため、コマンドは、3:51:00 ~ 3:51:59 の間に呼び出されます。コマンドが呼び出された後、セキュリティ アプライアンスは現在実行されているすべてのタスクを終了し、コマンドに ACL を無効にさせます。

time-range コマンドごとに、複数の定期的なエントリが許可されます。 time-range コマンドに absolute 値と periodic 値の両方が指定されている場合、 periodic コマンドは absolute の開始時刻になって初めて評価され、 absolute の終了時刻に達した後は評価されません。

時間範囲の設定と適用

時間範囲を追加して時間ベースのアクセスリストを実装できます。時間範囲を特定するには、この項の手順を実行します。

手順の詳細

 

コマンド
目的

ステップ 1

time-range name

 

例:

hostname(config)# time range Sales
 

時間範囲の名前を特定します。

ステップ 2

次のいずれかを実行します。

periodic days-of-the-week time to [ days-of-the-week ] time

 

例:

hostname(config-time-range)# periodic monday 7:59 to friday 17:01
 

定期的な時間範囲を指定します。

days-of-the-week には次の値を指定できます。

monday tuesday wednesday thursday friday saturday 、または sunday

daily

weekdays

weekend

time の形式は、 hh : mm です。たとえば、8:00 は午前 8 時になります。また、20:00 は午後 8 時になります。

absolute start time date [ end time date ]

 

例:

hostname(config-time-range)# absolute start 7:59 2 january 2009

絶対的な時間範囲を指定します。

time の形式は、 hh : mm です。たとえば、8:00 は午前 8 時になります。また、20:00 は午後 8 時になります。

date の形式は、 day month year です。たとえば、 1 january 2006 と指定します。

ステップ 3

access-list access_list_ name [ extended ] {deny | permit}... [ time-range name ]

 

例:

hostname(config)# access list Marketing extended deny tcp host 209.165.200.225 host 209.165 201.1 time-range Pacific_Coast

ACE へ時間範囲を適用します。


) ACE のロギングもイネーブルにするには、log キーワードを time-range キーワードの前に使用します。inactive キーワードを使用して ACE をディセーブルにする場合は、inactive キーワードを最後のキーワードとして使用します。


access-list コマンドの完全な構文については、「拡張アクセスリストの追加」を参照してください。

次の例では、「Sales」という名前のアクセスリストを「New_York_Minute」という名前の時間範囲にバインドしています。

hostname(config)# access-list Sales line 1 extended deny tcp host 209.165.200.225 host 209.165.201.1 time-range New_York_Minute

アクセスリストのアクティベーションのスケジュール設定例

次に、2006 年 1 月 1 日の午前 8 時に始まる絶対的な時間範囲の例を示します。終了時刻も終了日も指定されていないため、時間範囲は事実上無期限になります。

hostname(config)# time-range for2006
hostname(config-time-range)# absolute start 8:00 1 january 2006
 

次に、平日の午前 8 時~午後 6 時に毎週繰り返される定期的な時間範囲の例を示します。

hostname(config)# time-range workinghours
hostname(config-time-range)# periodic weekdays 8:00 to 18:00

アクセスリストのアクティベーションのスケジュール設定における機能履歴

表 11-3 に、この機能のリリース履歴の一覧を示します。

 

表 11-3 アクセスリストのアクティベーションのスケジュール設定における機能履歴

機能名
リリース
機能情報

アクセスリストのアクティベーションのスケジュール設定

7.0

アクセスリストの各 ACE が、1 日および週の特定の時刻にアクティブになるようにスケジュールを設定できます。

object-group protocol object-group network object-group service 、および object-group icmp_type コマンドが導入または変更されました。