ASDM を使用した Cisco セキュリティ アプライアン ス コンフィギュレーション ガイド
アクセス ルールおよび ACL の設定
アクセス ルールおよび ACL の設定
発行日;2012/02/01 | 英語版ドキュメント(2010/06/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

アクセス ルールおよび ACL の設定

アクセス ルールと ACL

アクセス ルールおよび ACL について

EtherType ACL について

EtherType ルールにおける暗黙的な拒否

サポートされている EtherType

IP および ARP に限定した暗黙的な許可

MPLS の許可

アクセス ルールの使用方法

インバウンドとアウトバウンド アクセス ルールと、インバウンドおよびアウトバウンド ACL

NAT の使用時にアクセス ルールに使用する IP アドレス

リターン トラフィックに関するアクセス ルール

アクセス ルールを使用したブロードキャスト トラフィックおよびマルチキャスト トラフィックに対するトランスペアレント ファイアウォールの通過の許可

アクセス ルールおよび ACL の設定

標準 ACL の設定

標準 ACL の追加

標準 ACL への ACE の追加

標準 ACL における ACE の編集

拡張 ACL の設定

管理トラフィックに使用する拡張 ACL の設定

管理トラフィックに使用する拡張 ACL の編集

ネットワーク トラフィックに使用する拡張アクセス ルールの設定

ネットワーク トラフィックに使用する拡張アクセス ルールの編集

拡張 ACE の削除

Web-type ACL の設定

Web-type ACL および Web-type ACE の追加

Web-type ACL および Web-type ACE の編集

Web-type ACE の削除

EtherType ACL の設定

EtherType ACL の追加

EtherType アクセス ルールの編集

サービス グループを管理するためのアクセス ルールの追加

アクセス ルールを使用するための ASDM フィールド定義

アクセス ルールのフィールド定義

ルール クエリー

ルール クエリーの新規作成と編集

アクセス ルールの追加と編集

サービス グループの管理

[Add/Edit Service Group]

高度なアクセス ルール設定

ログ オプション

アクセス ルールおよび ACL の設定

シスコのセキュリティ アプライアンスは、アクセス ルールおよび Access Control List(ACL; アクセス コントロール リスト)による基本的なトラフィック フィルタリング機能を備えています。この機能を使用すると、特定のトラフィックの送受信を制限することにより、ネットワーク内でのアクセスを制御できます。


) ASA のマニュアルでは、アクセス ルールおよび ACL を表すのに、それぞれ「ACE」、「アクセスリスト」という用語が使用されています。


この章では、アクセス ルールを使用して ACL を作成する方法、および ASDM を使用してそれらをネットワーク 設定に追加しトラフィックを制御する方法について説明します。

「アクセス ルールと ACL」

「アクセス ルールおよび ACL の設定」

アクセス ルールと ACL

この項では、アクセス ルールおよび ACL について説明します。次の項目を取り上げます。

「アクセス ルールおよび ACL について」

「EtherType ACL について」

「MPLS の許可」

「アクセス ルールの使用方法」

「インバウンドとアウトバウンド アクセス ルールと、インバウンドおよびアウトバウンド ACL」

「NAT の使用時にアクセス ルールに使用する IP アドレス」

「リターン トラフィックに関するアクセス ルール」

「アクセス ルールを使用したブロードキャスト トラフィックおよびマルチキャスト トラフィックに対するトランスペアレント ファイアウォールの通過の許可」

アクセス ルールおよび ACL について

アクセス ルールの用途は多岐に渡ります。アクセス ルールは、各プロトコルのパケットをフィルタリングするためのもので、すべてのルーテッド プロトコルおよびネットワーク プロトコル(IP や AppleTalk など)に対して設定できます。アクセス ポリシーは、インターフェイスごとに 1 つまたは複数のアクセス ルールで構成されます。それぞれのアクセス ルールは、許可ルール(パケットを転送)または拒否ルール(パケットをドロップ)を表す ACL の個々のエントリに対応しており、プロトコルや、送信元および宛先の IP アドレスまたはネットワークに適用できるほか、必要に応じて送信元および宛先のポートに適用することもできます。

設定できるアクセス ルールおよび ACL には次のようなタイプがあります。

標準アクセス ルール:標準 ACL では、OSPF ルートの宛先 IP アドレス(送信元 IP アドレスではない)が識別されます。標準 ACL は、OSPF 再配布のルート マップに使用できます。トラフィックを制御するためのインターフェイスには、標準 ACL は適用できません。標準アクセス ルールの設定手順については、「標準 ACL の設定」を参照してください。

拡張アクセス ルール:拡張 ACL は、1 つまたは複数のアクセス ルールで構成されます。行番号を指定すれば、アクセス ルールや、送信元および宛先のアドレスを挿入できるほか、アクセス ルールのタイプに応じて、プロトコル、ポート(TCP または UDP の場合)、ICMP タイプ(ICMP の場合)を挿入することもできます。これらのパラメータは、ACL を作成すればすべて指定できますが、パラメータごとにオブジェクト グループおよびサービス グループを使用することもできます (ネットワーク オブジェクトおよびサービス グループの詳細については、「ネットワーク オブジェクトおよびグループの使用」および「サービス グループの設定」を参照してください)。拡張アクセス ルールの設定手順については、「拡張 ACL の設定」を参照してください。

Web-type アクセス ルール:Web-type アクセス ルールは、クライアントレス SSL VPN のフィルタリングをサポートする設定に追加されます。Web-type アクセス ルールの設定手順については、「Web-type ACL の設定」を参照してください。

EtherType アクセス ルール:パケット EtherType に基づいたアクセス ルールで、トランスペアレント モードの場合にだけ使用されます。EtherType ルールは、トランスペアレント モードで動作するセキュリティ アプライアンスにおいて、非 IP 関連トラフィック ポリシーを設定する場合に使用されます。トランスペアレント モードでは、拡張アクセス ルールと EtherType アクセス ルールの両方をインターフェイスに適用できます。EtherType ルールは、拡張アクセス ルールに優先されます。詳細については、「EtherType ACL の設定」を参照してください。

IPv6 アクセス ルール:IPv6 の ACL は、IPv4 で使用される通常の ACL とほぼ同じ機能を持ちます。IPv6 アクセスリストは、拡張 ACL、Web-type ACL、および EtherType ACL を基にして定義することが可能で、目的のインターフェイスの IPv6 アドレスから IPv6 アクセスリスト内の拒否条件および許可条件を設定できます。IPv6 では、ACL はサポートされていません。

セキュリティ アプライアンスの管理アクセス用インターフェイスにアクセスする場合は、ホストの IP アドレスを許可するアクセス ルールは必要ありません。「管理アクセスの設定」に従って、管理アクセスの設定を行うだけで十分です。

ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モードの場合は、アクセス ルールを使用して IP トラフィックを制御できます。トランスペアレント モードの場合は、拡張アクセス ルール(レイヤ 3 トラフィック用)および EtherType ルール(レイヤ 2 トラフィック用)のどちらも使用可能です。


) 任意のトラフィックに対してセキュリティ アプライアンスでの受信を許可するには、インバウンド アクセス ルールをインターフェイスに適用する必要があります。インバウンド アクセス ルールを適用しないと、そのインターフェイスで受信されるトラフィックはすべて、セキュリティ アプライアンスにより自動的にドロップされます。


EtherType ルールにおける暗黙的な拒否

EtherType ルールのリストには、末尾に暗黙的な拒否ルールが含まれています。そのため、その対象となるトラフィックは、明示的に許可しない限り通過できません。たとえば、特定のアドレスのユーザを除くすべてのユーザに対して、セキュリティ アプライアンスを介したネットワークへのアクセスを許可する場合は、その特定のアドレスを持つユーザを拒否するだけでなく、その他のユーザを許可する必要があります。

EtherType ルールの場合、暗黙的な拒否は、IPv4 トラフィックや ARP には適用されません。たとえば、EtherType 8037(IPX 用の EtherType)を許可する場合、以前にアクセス ルールを使用して許可した(あるいはセキュリティの高いインターフェイスから低いインターフェイスへの送信を暗黙的に許可した)IP トラフィックはいずれも、リストの末尾にある暗黙的な拒否条件によりブロックされることはありません。ただし、EtherType ルールによりすべてのトラフィックを明示的に拒否すれば、IP トラフィックおよび ARP トラフィックは拒否されます。

サポートされている EtherType

EtherType ルールにより、16 ビットの 16 進数で表される任意の EtherType を制御できます。

EtherType ルールでは、Ethernet V2 フレームがサポートされています。

タイプ フィールドの代わりに長さフィールドが使用される 802.3 形式のフレームには、このルールは適用されません。

唯一の例外として BPDU にはこのルールが適用されます。BPDU は SNAP でカプセル化されているため、セキュリティ アプライアンスでは特別に BPDU の処理が行われます。

セキュリティ アプライアンスでは、(シスコ独自の)トランク ポート BPDU が受信されます。トランク BPDU は、そのペイロード内に VLAN 情報が含まれているため、BPDU を許可すると、セキュリティ アプライアンスでは発信 VLAN によりペイロードが変更されます。


) フェールオーバーを使用する場合は、ブリッジ ループを回避できるように、EtherType ルールを使用して、双方のインターフェイス上で BPDU を許可する必要があります。


IP および ARP に限定した暗黙的な許可

IPv4 トラフィックは、セキュリティの高いインターフェイスから低いインターフェイスへ送信される場合、ルールが適用されていなくても、トランスペアレント ファイアウォールの通過を自動的に許可されます。ARP は、転送方向にかかわらず、ルールが適用されていなくても、トランスペアレント ファイアウォールの通過を許可されます。ARP トラフィックは ARP インスペクションによって制御されます。

ただし、EtherType を使用して、IPv4 トラフィックおよび ARP トラフィックを除くすべてのトラフィックを許可するには、それらがセキュリティの高いインターフェイスから低いインターフェイスへ送信される場合であっても、EtherType アクセスリストを適用する必要があります。

EtherType はコネクションレス型であるため、トラフィックがどちらの方向にも通過できるようにするには、双方のインターフェイスに対してルールを適用する必要があります。

MPLS の許可

MPLS を許可する場合は、セキュリティ アプライアンスを介してラベル配布プロトコルおよびタグ配布プロトコルによる TCP 接続が確立されている必要があります。これらの TCP 接続を確立するには、セキュリティ アプライアンスのインターフェイス上で IP アドレスが LDP セッションまたは TDP セッションのルータ ID として使用されるように、セキュリティ アプライアンスに接続されている MPLS ルータを設定します (LDP および TDP では、パケットの転送に使用されるラベル(アドレス)のネゴシエートが MPLS ルータで行われます)。

アクセス ルールの使用方法

ここで説明するのは、アクセス ルールの使用に関する一般事項です。

同一のインターフェイス:1 つのインターフェイスに対し、それぞれの転送方向にアクセス ルールを適用できます。

ルールの順序:ルールの順序には注意が必要です。セキュリティ アプライアンスにおいて、パケットを転送するかドロップするかの判断が行われる場合、セキュリティ アプライアンスでは、パケットと各ルールとの照合が、それらのルールの並び順に従って行われます。いずれかのルールに合致した場合、それ以降のルールはチェックされません。たとえば、リストの先頭に作成したアクセス ルールが、インターフェイスに対してすべてのトラフィックを明示的に許可するものであれば、それ以降のルールはチェックされません。

ディセーブル:ルールは、非アクティブにすることで、ディセーブルにできます。

暗黙的な拒否:ACL には、末尾に暗黙的な拒否ルールが含まれています。そのため、その対象となるトラフィックは、明示的に許可しない限り通過できません。たとえば、特定のアドレスのユーザを除くすべてのユーザに対して、セキュリティ アプライアンスを介したネットワークへのアクセスを許可する場合は、その特定のアドレスを持つユーザを拒否するだけでなく、その他のユーザを許可する必要があります。

インバウンドとアウトバウンド アクセス ルールと、インバウンドおよびアウトバウンド ACL

デフォルトでは、セキュリティの高いインターフェイスから低いインターフェイスへのトラフィックはすべて許可されます。ACL を使用すると、セキュリティの低いインターフェイスからのトラフィックを許可することや、セキュリティの高いインターフェイスからのトラフィックを制限することが可能です。

セキュリティ アプライアンスでは、次の 2 つのタイプの ACL がサポートされています。

インバウンド:インバウンド ACL は、インターフェイスで受信されるトラフィックに対して適用されます。

アウトバウンド:アウトバウンド ACL は、インターフェイスから送信されるトラフィックに対して適用されます。


) 「インバウンド」および「アウトバウンド」という用語は、インターフェイスにおける ACL の適用対象を表したもので、前者は、インターフェイスにおいてセキュリティ アプライアンスにより受信されるトラフィックに ACL が適用されることを表し、後者はインターフェイスにおいてセキュリティ アプライアンスから送信されるトラフィックに ACL が適用されることを表しています。通常、トラフィックがセキュリティの低いインターフェイスから高いインターフェイスへ送信されることを「インバウンド」、セキュリティの高いインターフェイスから低いインターフェイスへ送信されることを「アウトバウンド」と呼びますが、上記の用語はこうしたトラフィックの転送方向を表すものではありません。


たとえば、内部ネットワーク上の特定のホストに限って、外部ネットワーク上の Web サーバにアクセスできるようにする場合などには、アウトバウンド ACL が有用です。複数のインバウンド ACL を作成してアクセスを制限することもできますが、指定したホストだけアクセスを許可するアウトバウンド ACL を 1 つだけ作成する方が効率的です (図 21-1 を参照)。このアウトバウンド ACL を使用すれば、その他のホストが外部ネットワークへアクセスすることもできなくなります。

図 21-1 アウトバウンド ACL

 

図 21-2 アウトバウンド ACL

 

NAT の使用時にアクセス ルールに使用する IP アドレス

NAT を使用する場合、アクセス ルールに指定する IP アドレスは、そのアクセス ルールを適用するインターフェイスによって異なります。具体的には、インターフェイスに接続されているネットワーク上で有効なアドレスを使用する必要があります。インバウンド アクセス ルールとアウトバウンド アクセス ルールのどちらを適用する場合でも、使用するアドレスは、転送方向ではなく、インターフェイスによってだけ決まります。

たとえば、内部インターフェイスのインバウンド方向にアクセス ルールを適用する場合は、外部アドレスへのアクセス時に内部の送信元アドレス上で NAT が実行されるようにセキュリティ アプライアンスを設定します。アクセス ルールは内部インターフェイスに適用されるため、送信元アドレスは、変換されていない元のアドレスとなります。また、外部アドレスは変換されないため、アクセス ルールに使用される宛先アドレスは、実際のアドレスとなります(図 21-3 を参照)。

図 21-3 アクセス ルールに指定する IP アドレス:送信元アドレスに NAT が使用される場合

 

図 21-4 を参照)。

図 21-4 ACL に指定する IP アドレス:送信元アドレスに NAT が使用される場合

 

外部ホストから内部ホストへのアクセスを許可する場合は、外部インターフェイスに対してインバウンド アクセス ルールを適用できます。外部ネットワークで使用できるのは変換済みアドレスに限られるため、アクセス ルールには内部ホストの変換済みアドレスを指定する必要があります (図 21-5 を参照)。

図 21-5 アクセス ルールに指定する IP アドレス:宛先アドレスに NAT が使用される場合

 

図 21-6 を参照)。

図 21-6 ACL に指定する IP アドレス:宛先アドレスに NAT が使用される場合

 

双方のインターフェイスで NAT を実行する場合は、そのインターフェイスにとって可視のアドレスを使用することに留意してください。図 21-7 では、内部ネットワークに対して変換済みアドレスが表示されるよう、外部サーバではスタティック NAT が使用されています。

図 21-7 アクセス ルールに指定する IP アドレス:送信元アドレスおよび宛先アドレスに NAT が使用される場合

 

図 21-8 ACL に指定する IP アドレス:送信元アドレスおよび宛先アドレスに NAT が使用される場合

 

リターン トラフィックに関するアクセス ルール

ルーテッド モードおよびトランスペアレント モードでの TCP 接続および UDP 接続に対しては、リターン トラフィックを許可するための ACL を設定する必要はありません。これは、双方向接続が確立されれば、セキュリティ アプライアンスによりすべてのリターン トラフィックが許可されるためです。ただし、ICMP などのコネクションレス型プロトコルの場合、セキュリティ アプライアンスで確立されるのは単方向セッションであるため、ACL を設定して(送信元インターフェイスおよび宛先インターフェイスにアクセス ルールを適用することにより)両方向の ICMP を許可するか、または ICMP インスペクション エンジンをイネーブルにする必要があります。ICMP インスペクション エンジンでは、ICMP セッションが双方向接続として処理されます。ACL で ICMP を許可する方法については、「サービス グループを管理するためのアクセス ルールの追加」を参照してください。

アクセス ルールを使用したブロードキャスト トラフィックおよびマルチキャスト トラフィックに対するトランスペアレント ファイアウォールの通過の許可

ルーテッド ファイアウォール モードの場合、ブロードキャスト トラフィックおよびマルチキャスト トラフィックは、サポートされていないダイナミック ルーティング プロトコルや DHCP(DHCP リレーを設定していない場合)を含め、アクセス ルールで許可されている場合であってもブロックされます。トランスペアレント ファイアウォール モードでは、IP トラフィックの通過を許可できます。この機能は特に、ダイナミック ルーティングが許可されないマルチ コンテキスト モードに有用です。


) これら特殊なタイプのトラフィックはコネクションレス型であるため、リターン トラフィックの通過を許可するためには、双方のインターフェイスに対して拡張 ACL を適用する必要があります。


表 21-1 は、トランスペアレント ファイアウォールの通過を許可できる主なトラフィック タイプをまとめたものです。

 

表 21-1 トランスペアレント ファイアウォールの特殊なトラフィック

トラフィックのタイプ
プロトコルまたはポート
注意事項

DHCP

UDP ポート 67 および 68

DHCP サーバをイネーブルにした場合、DHCP パケットはセキュリティ アプライアンスを通過できません。

EIGRP

プロトコル 88

--

OSPF

プロトコル 89

--

マルチキャスト ストリーム

UDP ポートは、アプリケーションにより異なります。

マルチキャスト ストリームの送信先は常に、クラス D アドレス(224.0.0.0 ~ 239.x.x.x)です。

RIP(v1 または v2)

UDP ポート 520

--

アクセス ルールおよび ACL の設定

[Access Rules] ペインには、ルールとして表現されたネットワーク全体のセキュリティ ポリシーが表示されます。

[Access Rules] オプションを選択する場合は、使用可能なプロトコルやポートなど、特定のホストまたはネットワークから別のホストまたはネットワークへのアクセスを制御するアクセス コントロール リストをこのペインで定義できます。

アクセス ルールの詳細については、「アクセス ルールと ACL」を参照してください。

この項は、次の内容で構成されています。

「標準 ACL の設定」

「拡張 ACL の設定」

「Web-type ACL の設定」

「EtherType ACL の設定」

「サービス グループを管理するためのアクセス ルールの追加」

「アクセス ルールを使用するための ASDM フィールド定義」

標準 ACL の設定

標準 ACL では、OSPF ルートの宛先 IP アドレス(送信元 IP アドレスではない)が識別されます。標準 ACL は、OSPF 再配布のルート マップに使用できます。トラフィックを制御するためのインターフェイスには、標準 ACL は適用できません。ACE を追加する場合は、追加先となる ACL をあらかじめ作成しておく必要があります。


) IPv6 では、ACL はサポートされていません。


この項は、次の内容で構成されています。

「標準 ACL の追加」

「標準 ACL への ACE の追加」

標準 ACL の追加

標準 ACL をコンフィギュレーションに追加する手順、およびその ACL に ACE を追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Advanced] > [Standard ACL] を選択します。

ステップ 2 [Add] をクリックし、ドロップダウン リストから [Add ACL] を選択します。

ステップ 3 [Add ACL] ダイアログボックスで、ACL を識別するための名前または番号を入力します(スペースは使用できません)。

ステップ 4 [OK] をクリックします。

メイン ペインに ACL の名前が表示されます。

必要であれば ACL をさらに追加します。

ステップ 5 [Apply] をクリックし、追加した ACL をコンフィギュレーションに保存します。

これで、新規作成した ACL に 1 つまたは複数の ACE を追加できるようになります。

ACE を追加する手順については、「標準 ACL への ACE の追加」を参照してください。


 

標準 ACL への ACE の追加

コンフィギュレーションに ACE を追加する場合は、あらかじめ ACL を追加しておく必要があります。標準 ACL を追加する方法については、「標準 ACL の追加」を参照してください。ACE を編集する方法については、「標準 ACL における ACE の編集」を参照してください。

コンフィギュレーションに保存されている ACL に ACE を追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Advanced] > [Standard ACL] を選択します。

ステップ 2 メイン ペインで、ACE を追加する ACL を選択します。

ステップ 3 [Add] をクリックし、ドロップダウン リストから [Add ACE] を選択します。

[Add ACE] ダイアログボックスが表示されます。

ステップ 4 (オプション)特定の位置に ACE を追加する場合は、まず既存の ACE をいずれか 1 つ選択します。その上で [Insert...] をクリックすると、選択した ACE の前に目的の ACE が追加されます。選択した ACE の後に追加する場合は、 [Insert After...] をクリックします。

ステップ 5 次のいずれかのオプション ボタンをクリックして、アクションを選択します。

[Permit] :条件に合致した場合にアクセスが許可されます。

[Deny] :条件に合致した場合にアクセスが拒否されます。

ステップ 6 [Address] フィールドに、アクセスを許可または拒否する宛先の IP アドレスを入力します。

[Address] フィールドの横にある省略符号ボタンをクリックして、ネットワーク オブジェクトのアドレスを参照することもできます。

ステップ 7 (オプション)[Description] フィールドに、ACE の内容がよくわかるような説明を入力します。

この説明は、複数行に渡って入力できますが、各行に入力できるのは最大で 100 文字までです。

ステップ 8 [OK] をクリックします。

新規作成した ACE が ACL に表示されます。

ステップ 9 [Apply] をクリックし、ACE をコンフィギュレーションに保存します。


 

標準 ACL における ACE の編集

標準 ACL の ACE を編集するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Advanced] > [Standard ACL] を選択します。

ステップ 2 メイン ペインで、編集する ACE を選択します。

ステップ 3 [Edit] をクリックします。

[Edit ACE] ダイアログボックスが表示されます。

ステップ 4 目的の項目内容を編集します。

ステップ 5 [OK] をクリックします。


 

拡張 ACL の設定

拡張 ACL を使用すると、送信元および宛先の IP アドレスに基づいて、パケットをフィルタリングできます。拡張 ACL は、1 つまたは複数のアクセス ルールで構成されます。行番号を指定すれば、アクセス ルールや、送信元および宛先のアドレスを挿入できるほか、アクセス ルールのタイプに応じて、プロトコル、ポート(TCP または UDP の場合)、ICMP タイプ(ICMP の場合)を挿入することもできます。これらのパラメータは、ACL を作成すればすべて指定できますが、パラメータごとにオブジェクト グループおよびサービス グループを使用することもできます (ネットワーク オブジェクトおよびサービス グループの詳細については、「ネットワーク オブジェクトおよびグループの使用」および「サービス グループの設定」を参照してください)。

この項は、次の内容で構成されています。

「管理トラフィックに使用する拡張 ACL の設定」

「ネットワーク トラフィックに使用する拡張アクセス ルールの設定」

「管理トラフィックに使用する拡張 ACL の編集」

「ネットワーク トラフィックに使用する拡張アクセス ルールの編集」

「拡張 ACE の削除」

管理トラフィックに使用する拡張 ACL の設定

特定のピア(または複数のピア)からセキュリティ アプライアンスへの to-the-box 管理トラフィックに関するアクセス コントロールをサポートするインターフェイス ACL を設定できます。このタイプの ACL は、IKE DoS(サービス拒絶)攻撃をブロックする場合などに有用です (管理トラフィック用の拡張 ACL を編集する手順については、「管理トラフィックに使用する拡張 ACL の編集」を参照してください)。

to-the-box トラフィックのパケットを許可または拒否する拡張 ACL を設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Management Access] > [Management Access Rules] を選択します。

ステップ 2 [Add] をクリックし、次のいずれかの処理内容を選択します。

[Add Management Access Rule]

[Add IPv6 Management Access Rule]

該当するアクセス ルールのダイアログボックスが表示されます。

ステップ 3 [Interface] ドロップダウン リストから、ルールを適用するインターフェイスを選択します。

管理インターフェイスは、管理作業にだけ使用されるものであり、アクセス ルールの設定には使用できません。

ステップ 4 [Action] フィールドで、次のいずれかのオプション ボタンをクリックし、アクションを選択します。

[Permit] :条件に合致した場合にアクセスが許可されます。

[Deny] :条件に合致した場合にアクセスが拒否されます。

ステップ 5 トラフィックを許可または拒否する送信元のネットワーク オブジェクト グループ、インターフェイス IP、またはアドレスに対応する IP アドレスを、[Source] フィールドに入力します。


) IPv6 アドレスを使用して拡張 ACL を設定する場合は、少なくとも 1 つのインターフェイスで IPv6 を事前にイネーブルにしておく必要があります。インターフェイスで IPv6 をイネーブルにする方法については、「インターフェイスの設定」を参照してください。


ステップ 6 サービス タイプを選択します。

サービス タイプの詳細については、「サービス グループを管理するためのアクセス ルールの追加」を参照してください。

ステップ 7 (オプション)[Description] フィールドに、ACL の内容説明を入力します。

この説明は、複数行に渡って入力できますが、各行に入力できるのは最大で 100 文字までです。

ステップ 8 (オプション)デフォルトでは、ロギングがイネーブルになっています。ロギングをディセーブルにするには、チェックボックスをオフにします。また、ドロップダウン リストからロギング レベルを変更することもできます。デフォルトのロギング レベルは [Informational] です。

ロギング オプションの詳細については、「ログ オプション」を参照してください。

ステップ 9 (オプション)トラフィックをどのような場合に許可しどのような場合に拒否するかを指定するアクセス ルールに、送信元サービス(TCP、UDP、および TCP-UDP に限る)および時間範囲を追加する場合は、 [More Options] をクリックしてリストを展開します。

a. [Source Service] フィールドで、参照ボタンをクリックします。

b. [Browse Source Services] ウィンドウで、アクセス ルールに適用するサービスを選択し、 [Source Service] をクリックします。

選択したサービスが [Source Service] フィールドに表示されます。

c. [OK] をクリックします。

ステップ 10 (オプション)時間範囲を追加する場合は、[More Options] を使用します。手順は次のとおりです。

a. [Time Range] フィールドの右側にある参照ボタンをクリックします。

[Browse Time Range] ダイアログボックスが表示されます。

b. [Add] をクリックします。

[Add Time Range] ダイアログボックスが表示されます。

c. [Time Range Name] フィールドに、時間範囲の名前を入力します。ただし、スペースは使用できません。

d. [Start Time] および [End Time] で、開始時間および終了時間を選択します。

e. 毎日または隔週でその時間範囲がアクティブになるようにするなど、時間範囲に関する追加制限を指定する場合は、[Add] をクリックし、指定する内容を選択します。

f. すべてのウィンドウで [OK] をクリックすると、時間範囲についてオプションで指定した内容が適用されます。

ステップ 11 [Apply] をクリックし、ACL をコンフィギュレーションに保存します。


) アクセス ルールを追加した後は、[IPv4 and IPv6]、[IPv4 Only]、[IPv6 Only] のうち、いずれかのオプション ボタンをクリックして、メイン ウィンドウに表示するアクセス ルールをフィルタリングできます。



 

管理トラフィックに使用する拡張 ACL の編集

管理トラフィック用の拡張 ACL を編集するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Management Access] > [Management Access Rules] を選択します。

ステップ 2 [Edit] をクリックします。

[Edit Management Access Rule] ダイアログボックスが表示されます。

ステップ 3 目的の項目内容を編集します。

ACL のフィールドの詳細については、「管理トラフィックに使用する拡張 ACL の設定」または「アクセス ルールを使用するための ASDM フィールド定義」を参照してください。

ステップ 4 [OK] をクリックします。

ステップ 5 [Apply] をクリックし、変更内容をコンフィギュレーションに保存します。


 

ネットワーク トラフィックに使用する拡張アクセス ルールの設定

拡張アクセス ルールを使用すると、セキュリティ アプライアンスを通過するホストおよび外部ネットワークにアクセスするホストをフィルタリングすることにより、through-the box へのアクセスを制御することも可能です。この項では、拡張アクセス ルールを追加する方法について説明します。ネットワーク トラフィック用の拡張 ACL を編集する手順については、「ネットワーク トラフィックに使用する拡張アクセス ルールの編集」を参照してください。

ネットワーク トラフィック用の拡張 ACL を設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Access Rules] を選択します。

ステップ 2 [Add] をクリックし、次のいずれかのオプションを選択します。

[Add Access Rule]

[Add IPv6 Access Rule]

該当するアクセス ルールのダイアログボックスが表示されます。

ステップ 3 [Interface] ドロップダウン リストから、ルールを適用するインターフェイスを選択します。

管理インターフェイスは、管理作業にだけ使用されるものであり、アクセス ルールの設定には使用できません。

ステップ 4 [Action] フィールドで、目的のアクションに対応するオプション ボタンをクリックします。オプション ボタンは次のいずれかです。

[Permit] :条件に合致した場合にアクセスが許可されます。

[Deny] :条件に合致した場合にアクセスが拒否されます。

ステップ 5 指定した宛先に対してトラフィックを許可または拒否する送信元のネットワーク オブジェクト グループ、インターフェイス IP、またはアドレスに対応する IP アドレスを、[Source] フィールドに入力します。

インターフェイスで IPv6 をイネーブルにする方法については、「インターフェイスの設定」を参照してください。

ステップ 6 [Source] フィールドで指定した送信元からのトラフィックを許可または拒否する宛先のネットワーク オブジェクト グループ、インターフェイス IP、またはアドレスに対応する IP アドレスを、[Destination] フィールドに入力します。

ステップ 7 サービス タイプを選択します。

サービス タイプの詳細については、「サービス グループを管理するためのアクセス ルールの追加」を参照してください。

ステップ 8 (オプション)トラフィックをどのような場合に許可しどのような場合に拒否するかを指定するアクセス ルールに時間範囲を追加する場合は、 [More Options] をクリックしてリストを展開します。

a. [Time Range] ドロップダウン リストの右側にある参照ボタンをクリックします。

[Browse Time Range] ダイアログボックスが表示されます。

b. [Add] をクリックします。

[Add Time Range] ダイアログボックスが表示されます。

c. [Time Range Name] フィールドに、時間範囲の名前を入力します。ただし、スペースは使用できません。

d. [Start Time] および [End Time] で、開始時間および終了時間を選択します。

e. 毎日または隔週でその時間範囲がアクティブになるようにするなど、時間範囲に関する追加制限を指定する場合は、 [Add] をクリックし、指定する内容を選択します。

f. [OK] をクリックすると、時間範囲についてオプションで指定した内容が適用されます。

ステップ 9 (オプション)[Description] フィールドに、ACL の内容説明を入力します。

この説明は、複数行に渡って入力できますが、各行に入力できるのは最大で 100 文字までです。

ステップ 10 (オプション)デフォルトでは、ロギングがイネーブルになっています。ロギングをディセーブルにするには、チェックボックスをオフにします。また、ドロップダウン リストからロギング レベルを変更することもできます。デフォルトのロギング レベルは [Informational] です。

ロギング オプションの詳細については、「ログ オプション」を参照してください。

ステップ 11 [OK] をクリックします。新規に設定したアクセス ルールとともに ACL が表示されます。

ステップ 12 [Apply] をクリックし、ACL をコンフィギュレーションに保存します。


) アクセス ルールを追加した後は、[IPv4 and IPv6]、[IPv4 Only]、[IPv6 Only] のうち、いずれかのオプション ボタンをクリックして、メイン ペインに表示するアクセス ルールをフィルタリングできます。



 

ネットワーク トラフィックに使用する拡張アクセス ルールの編集

ネットワーク トラフィック用の拡張アクセス ルールを編集するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Access Rules] を選択します。

ステップ 2 次のいずれかのオプション ボタンをクリックして、編集するアクセス ルールのタイプを選択します。

[IPv4 and IPv6] :IPv4 タイプのアドレスと IPv6 タイプのアドレスがどちらも含まれるアクセス ルールが表示されます。

[IPv4 Only] :IPv4 タイプのアドレスだけが含まれるアクセス ルールが表示されます。

[IPv6 Only] :IPv6 タイプのアドレスだけが含まれるアクセス ルールが表示されます。

選択したルール タイプに対応するインターフェイスが、メインの [Access Rule] ペインに表示されます。

ステップ 3 編集する ACE を選択します。

ステップ 4 [Edit] をクリックします。

[Edit Access Rule] ダイアログボックスが表示されます。

ステップ 5 現在のコンフィギュレーションから変更する内容を入力します。

ステップ 6 [OK] をクリックします。

アップデートされたアクセス ルールが、メインの [Access Rule] ペインに表示されます。

ステップ 7 [Apply] をクリックし、変更内容をコンフィギュレーションに保存します。


 

拡張 ACE の削除

拡張 ACE を削除するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Access Rules] を選択します。

ステップ 2 次のいずれかのオプション ボタンをクリックして、編集するアクセス ルールのタイプを選択します。

[IPv4 and IPv6] :IPv4 タイプのアドレスと IPv6 タイプのアドレスがどちらも含まれるアクセス ルールが表示されます。

[IPv4 Only] :IPv4 タイプのアドレスだけが含まれるアクセス ルールが表示されます。

[IPv6 Only] :IPv6 タイプのアドレスだけが含まれるアクセス ルールが表示されます。

ステップ 3 削除する既存の ACE を選択します。

ステップ 4 [Delete] をクリックします。

選択した ACE が、メインの [Access Rule] ペインから消去されます。

ステップ 5 [Apply] をクリックして、コンフィギュレーションを保存します。


 

Web-type ACL の設定

Web-type ACL は、クライアントレス SSL VPN のフィルタリングをサポートするコンフィギュレーションに追加されます。この ACL を使用すると、特定のネットワーク、サブネット、ホスト、および Web サーバへのアクセスを許可または拒否できます。各 ACE は、ACL の機能を構成する個々のルールに対応します。フィルタを設定しない場合は、すべての接続が許可されます。

この項は、次の内容で構成されています。

「Web-type ACL および Web-type ACE の追加」

「例」

「Web-type ACL および Web-type ACE の編集」

Web-type ACL および Web-type ACE の追加

ACE を追加する場合は、追加先となる Web-type ACL をあらかじめ作成しておく必要があります。


) スマート トンネル ACE によるフィルタリングは必ず、サーバ別に実行されます。そのため、次のような処理を行うためのスマート トンネル ACE は作成できません。


ディレクトリに対するアクセスの許可または拒否

特定のスマート トンネル対応アプリケーションに対するアクセスの許可または拒否

Web-type アクセス ルールを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Web ACLs] を選択します。

ステップ 2 [Add] をクリックし、さらに次のいずれかをクリックして、追加する ACL タイプを選択します。

[Add ACL]

[Add IPv6 ACL]

[Add ACL] ダイアログボックスが表示されます。

ステップ 3 ACL の名前を入力し(スペースは使用できません)、 [OK] をクリックします。

ステップ 4 作成したリストにエントリを追加する場合は、 [Add] をクリックし、ドロップダウン リストから [Add ACE] を選択します。

ステップ 5 [Action] フィールドで、目的のアクションに対応するオプション ボタンをクリックします。オプション ボタンは次のいずれかです。

[Permit]:条件に合致した場合にアクセスが許可されます。

[Deny]:条件に合致した場合にアクセスが拒否されます。


) 各 ACL には、末尾に暗黙的な拒否ルールがあります。


ステップ 6 [Filter] フィールドでは、フィルタリングを URL に基づいて行うか、アドレスおよびサービスに基づいて行うかを選択できます。

a. URL に基づいてフィルタリングを行う場合は、ドロップダウン リストから URL プレフィクスを選択し、[URL] フィールドに URL を入力します。

[URL] フィールドでは、次のようなワイルドカード文字を使用できます。

アスタリスク(*):空の文字列を含む任意の文字列に一致します。

疑問符(?):任意の 1 文字に一致します。

角カッコ([]):文字の範囲を指定する際に使用する演算子です。角カッコ内に指定された範囲に属する任意の 1 文字に一致します。たとえば、http://www.cisco.com:80/ および http://www.cisco.com:81/ を一致対象とするには、次のように入力します。

http://www.cisco.com:8[01]/

b. アドレスおよびサービスに基づいてフィルタリングを行う場合は、 [Filter address and service] オプション ボタンをクリックし、適切な値を入力します。

フィールドの端にある参照ボタンをクリックして、アドレスおよびサービスを参照することもできます。

ステップ 7 (オプション)デフォルトでは、ロギングがイネーブルになっています。ロギングをディセーブルにするには、チェックボックスをオフにします。また、ドロップダウン リストからロギング レベルを変更することもできます。デフォルトのロギング レベルは [Informational] です。

ロギング オプションの詳細については、「ログ オプション」を参照してください。

ステップ 8 (オプション)ロギング レベルをデフォルト設定から変更する場合は、 [More Options] をクリックしてリストを展開し、ロギング間隔を指定します。

有効値の範囲は 1 ~ 6000 秒です。デフォルトは 300 秒です。

ステップ 9 (オプション)トラフィックをどのような場合に許可しどのような場合に拒否するかを指定するアクセス ルールに時間範囲を追加する場合は、 [More Options] をクリックしてリストを展開します。

a. [Time Range] ドロップダウン リストの右側にある参照ボタンをクリックします。

[Browse Time Range] ダイアログボックスが表示されます。

b. [Add] をクリックします。

[Add Time Range] ダイアログボックスが表示されます。

c. [Time Range Name] フィールドに、時間範囲の名前を入力します。ただし、スペースは使用できません。

d. [Start Time] および [End Time] に、それぞれ開始時間および終了時間を入力します。

e. 毎日または隔週でその時間範囲がアクティブになるようにするなど、時間範囲に関する追加制限を指定する場合は、[Add] をクリックし、目的の値を指定します。

ステップ 10 [OK] をクリックすると、時間範囲についてオプションで指定した内容が適用されます。

ステップ 11 [Apply] をクリックして、コンフィギュレーションを保存します。


) アクセス ルールを追加した後は、[IPv4 and IPv6]、[IPv4 Only]、[IPv6 Only] のうち、いずれかのオプション ボタンをクリックして、メイン ペインに表示するアクセス ルールをフィルタリングできます。



 

次に、ACE の例を示します。

スマート トンネル ACE の例

ポート転送 TCP ベース ACL の例

プラグイン ACE の例

HTTP ACE および HTTPS ACE の例

CIFS 共有 ACE の例

 

表 21-2 スマート トンネル ACE の例

機能
アクション
URL 値に基づくフィルタ
ドロップダウン
[://] テキスト ボックス

基本 URL を許可する。

許可

任意

http://www.example.com

基本 URL へのスマート トンネル アクセスを許可する。

:スマート トンネル アクセスを設定する場合は、ACE タイプを 2 つとも追加した上で、[Clientless SSL VPN Access] > [Portal] > [Bookmarks] を選択し、ブックマーク エントリに URL を指定して、[Add Bookmark] ダイアログボックスの [Enable Smart Tunnel] チェックボックスをオンにします。

許可

任意

http://www.example.com

許可

任意

smart-tunnel://www.example.com

基本 URL へのスマート トンネル アクセスを許可し、基本 URL 以外へのスマート トンネル アクセスを拒否する。

許可

任意

http://www.example.com

許可

任意

smart-tunnel://www.example.com

拒否

任意

smart-tunnel://images.example.com

末尾が「.example.com」であるすべての URL へのスマート トンネル アクセスを許可する。

許可

任意

http://*.example.com

許可

任意

smart-tunnel://*.example.com

 

表 21-3 ポート転送 TCP ベース ACL の例

機能
アクション
アドレス値およびサービス値に基づくフィルタ
アドレス
サービス

ポート転送を許可する。

許可

192.168.20.92

2224

ポート 80 ~ 90 をブロックする。

拒否

192.168.20.92

80-90

すべてのポートをブロックする。

拒否

192.168.20.92

tcp

指定したアドレスを宛先とするトラフィック以外のすべてのトラフィックを暗黙的に拒否する。

許可

10.86.192.1

tcp

デフォルトの TCP ポート(3389)を指定する。

許可

10.86.192.193

3389


) RDP、SSH、VNC などのプロトコルは、それぞれのプラグインがセキュリティ アプライアンス上にインポートされた場合に限り使用できます。


 

表 21-4 プラグイン ACE の例

機能
アクション
URL 値に基づくフィルタ
アドレス値およびサービス値に基づくフィルタ
ドロップダウン
[://] テキスト ボックス
アドレス
サービス

指定した IP アドレスへの SSH プラグイン アクセスを許可する。

許可

ssh

192.168.20.92

ある範囲に属する IP アドレスへの RDP プラグイン アクセスを許可する。

許可

rdp

192.168.20.[1-112]

RDP プラグイン アクセスを許可する IP アドレスの範囲をワイルドカードを使用して指定する。

許可

rdp

192.168.20.*

特定の URL へのアクセスを許可する。

許可

HTTP

10.80.192.1/engineering/*

許可

HTTP

10.86.192.1/marketing/*

許可

10.86.192.193

3389

TCP アクセスを許可する。

許可

10.86.192.193

3389

 

表 21-5 HTTP ACE および HTTPS ACE の例

機能
アクション
URL 値に基づくフィルタ
ドロップダウン
[://] テキスト ボックス

特定の URL へのアクセスを許可する。

許可

HTTP

10.80.192.1/engineering/*

許可

HTTP

10.86.192.1/marketing/*

任意の HTTP URL へのアクセスを許可する。

許可

HTTP

*/*

任意の HTTPS URL へのアクセスを許可する。

許可

https

*/*

 

表 21-6 CIFS 共有 ACE の例

機能
アクション
URL 値に基づくフィルタ
ドロップダウン
[://] テキスト ボックス

shares/Marketing_Reports フォルダへのアクセスを拒否する。このエントリが、指定した IP アドレス用の ACL に含まれる唯一のエントリである場合、shares/Sales_Reports フォルダのルート、同階層の全フォルダ、およびすべてのサブフォルダへのアクセスが暗黙的に拒否されます。

拒否

cifs

172.16.10.39/shares/Marketing_Reports

指定した IP アドレス配下のすべてのフォルダへのアクセスを許可する。

許可

cifs

172.16.10.40/shares*

Web-type ACL および Web-type ACE の編集

Web-type ACL および Web-type ACE を編集するには、次の手順を実行します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Web ACLs] を選択します。

ステップ 2 次のいずれかのオプション ボタンをクリックして、編集するアクセス ルールのタイプを選択します。

[IPv4 and IPv6] :IPv4 タイプのアドレスと IPv6 タイプのアドレスがどちらも含まれるアクセス ルールが表示されます。

[IPv4 Only] :IPv4 タイプのアドレスだけが含まれるアクセス ルールが表示されます。

[IPv6 Only] :IPv6 タイプのアドレスだけが含まれるアクセス ルールが表示されます。

選択したルール タイプに対応するインターフェイスが、メインの [Access Rule] ペインに表示されます。

ステップ 3 編集する ACE を選択し、必要に応じて値を変更します。

特定の値に関する詳細については、「Web-type ACL および Web-type ACE の追加」または「アクセス ルールを使用するための ASDM フィールド定義」を参照してください。ACE の使用例は、「例」に記載されています。

ステップ 4 [OK] をクリックします。

ステップ 5 [Apply] をクリックし、変更内容をコンフィギュレーションに保存します。


 

Web-type ACE の削除

Web-type ACE を削除するには、次の手順を実行します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Web ACLs] を選択します。

ステップ 2 次のいずれかのオプション ボタンをクリックして、削除するアクセス ルールのタイプを選択します。

[IPv4 and IPv6]:IPv4 タイプのアドレスと IPv6 タイプのアドレスがどちらも含まれるアクセス ルールが表示されます。

[IPv4 Only]:IPv4 タイプのアドレスだけが含まれるアクセス ルールが表示されます。

[IPv6 Only]:IPv6 タイプのアドレスだけが含まれるアクセス ルールが表示されます。

選択したルール タイプに対応するインターフェイスが、メインの [Access Rule] ペインに表示されます。

ステップ 3 削除する ACE を選択します。


) 特定の ACE を選択した場合は、その ACE だけが削除されます。ACL を選択した場合は、その ACL およびそれに属するすべての ACE が削除されます。


ステップ 4 [Delete] をクリックします。

ステップ 5 選択した項目が、ビュー ペインから削除されます。


) 誤って削除したルールを元に戻す場合は、[Apply] をクリックする前に、[Reset] をクリックします。削除されたルールが再び、ビュー ペインに表示されます。


ステップ 6 [Apply] をクリックし、変更内容をコンフィギュレーションに保存します。


 

EtherType ACL の設定

EtherType アクセス ルールは、パケット EtherType に基づいたアクセス ルールです。EtherType ルールは、トランスペアレント モードで動作するセキュリティ アプライアンスにおいて、非 IP 関連トラフィック ポリシーを設定する場合に使用されます。トランスペアレント モードでは、拡張アクセス ルールと EtherType アクセス ルールの両方をインターフェイスに適用できます。EtherType ルールは、拡張アクセス ルールに優先されます。

EtherType アクセス ルールおよび EtherType ACL の詳細については、「EtherType ACL について」を参照してください。

この項は、次の内容で構成されています。

「EtherType ACL の追加」

「EtherType アクセス ルールの編集」

EtherType ACL の追加

EtherType ACL を追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [EtherType Rules] を選択します。

ステップ 2 [Add] をクリックします。

[Add EtherType rules] ウィンドウが表示されます。

ステップ 3 (オプション)特定の位置に新しい EtherType ルールを追加する場合は、まず既存のルールをいずれか 1 つ選択します。その上で [Insert...] をクリックすると、選択したルールの前に目的の EtherType ルールが追加されます。選択したルールの後に EtherType ルールを追加する場合は、 [Insert After...] をクリックします。

ステップ 4 [Interface] ドロップダウン リストから、ルールを適用するインターフェイスを選択します。

管理インターフェイスは、管理作業にだけ使用されるものであり、アクセス ルールの設定には使用できません。

ステップ 5 [Action] フィールドで、目的のアクションに対応するオプション ボタンをクリックします。オプション ボタンは次のいずれかです。

[Permit] :条件に合致した場合にアクセスが許可されます。

[Deny] :条件に合致した場合にアクセスが拒否されます。

ステップ 6 [EtherType] フィールドで、ドロップダウン リストから、EtherType 値を選択します。

ステップ 7 (オプション)[Description] フィールドに、ルールの内容説明を入力します。

この説明は、複数行に渡って入力できますが、各行に入力できるのは最大で 100 文字までです。

ステップ 8 (オプション)このルールを適用するトラフィックの方向を指定する場合は、 [More Options] をクリックしてリストを展開し、次のいずれかのオプション ボタンをクリックして、方向を指定します。

[In] :着信トラフィック

[Out] :発信トラフィック

ステップ 9 [OK] をクリックします。


 

EtherType アクセス ルールの編集

EtherType アクセス ルール カラムの内容を編集することにより、ルールの内容や、コンフィギュレーションにおけるルールの順序を変更できます。

EtherType ACL を編集するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [EtherType Rules] を選択します。

ステップ 2 [Edit] をクリックします。

[Edit EtherType Rule] ダイアログボックスが表示されます。

ステップ 3 目的の項目内容を編集し、 [OK] をクリックします。

アクセス ルールのフィールドに関する詳細については、「EtherType ACL の追加」を参照してください。

ステップ 4 [Apply] をクリックし、変更内容をコンフィギュレーションに保存します。


 

サービス グループを管理するためのアクセス ルールの追加

[Service Groups] ペインでは、指定したグループに複数のサービスを関連付けられます。1 つのグループには、任意のタイプのプロトコルとサービスを指定できるほか、次のタイプごとにサービス グループを作成できます。

TCP ポート

UDP ポート

TCP-UDP ポート

ICMP タイプ

IP プロトコル

複数のサービス グループをネストすれば、「グループのグループ」を構成できます。「グループのグループ」は 1 つのグループとして使用できます。

サービス グループは、ポート、ICMP タイプ、プロトコルを識別する必要がある多くのコンフィギュレーションで使用できます。アクセス ルールを設定する際には、使用可能なサービス グループなどのグローバル オブジェクトが表示される [Services] ペインが [ASDM] ウィンドウの右側に表示されます。[Services] ペインでは、オブジェクトの追加、編集、または削除を直接実行できます。サービス グループの管理に関する詳細については、「サービス グループの管理」 を参照してください。

サービス グループを使用して ACL を設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Access Rules] を選択します。

ステップ 2 [Add] をクリックし、次のいずれかのオプションを選択します。

[Add Access Rule]

[Add IPv6 Access Rule]

該当するアクセス ルールのダイアログボックスが表示されます。

ステップ 3 [Interface] ドロップダウン リストから、ルールを適用するインターフェイスを選択します。

管理インターフェイスは、管理作業にだけ使用されるものであり、アクセス ルールの設定には使用できません。

ステップ 4 [Action] フィールドで、目的のアクションに対応するオプション ボタンをクリックします。オプション ボタンは次のいずれかです。

[Permit] :条件に合致した場合にアクセスが許可されます。

[Deny] :条件に合致した場合にアクセスが拒否されます。

ステップ 5 指定した宛先に対してトラフィックを許可または拒否する送信元のネットワーク オブジェクト グループ、インターフェイス IP、またはアドレスに対応する IP アドレスを、[Source] フィールドに入力します。

インターフェイスで IPv6 をイネーブルにする方法については、「インターフェイスの設定」を参照してください。

ステップ 6 [Source] フィールドで指定した送信元からのトラフィックを許可または拒否する宛先のネットワーク オブジェクト グループ、インターフェイス IP、またはアドレスに対応する IP アドレスを、[Destination] フィールドに入力します。

ステップ 7 [Service] フィールドで、参照ボタンをクリックします。

[Browse Service] ダイアログボックスが表示されます。

ステップ 8 [Browse Service] リストから、アクセス ルールを適用するサービス グループを選択します。選択できるのは、TCP ポート、UDP ポート、TCP-UDP ポート、ICMP タイプ、IP プロトコルのいずれかです。

ステップ 9 [OK] をクリックします。

ステップ 10 (オプション)[Description] ペインで、アクセス ルールに関する説明を入力します(最大 200 文字まで)。

ステップ 11 (オプション)デフォルトでは、ロギングがイネーブルになっています。ロギングをディセーブルにするには、チェックボックスをオフにします。また、ドロップダウン リストからロギング レベルを変更することもできます。デフォルトのロギング レベルは [Informational] です。

ロギング オプションの詳細については、「ログ オプション」を参照してください。

ステップ 12 (オプション)トラフィックをどのような場合に許可しどのような場合に拒否するかを指定するアクセス ルールに、送信元サービス(TCP、UDP、および TCP-UDP に限る)および時間範囲を追加する場合は、 [More Options] をクリックしてリストを展開します。

a. [Source Service] フィールドで、参照ボタンをクリックし、既存のサービスを参照します。

b. [Browse Source Services] ダイアログボックスで、アクセス ルールを適用するサービスを選択し、[Source Service] ボタンをクリックします。

選択したサービスが [Source Service] フィールドに表示されます。

c. [OK] をクリックします。

ステップ 13 (オプション)時間範囲を追加する場合は、[More Options] を使用します。手順は次のとおりです。

a. [Time Range] フィールドの右側にある参照ボタンをクリックします。

[Browse Time Range] ダイアログボックスが表示されます。

b. [Add] をクリックします。

[Add Time Range] ダイアログボックスが表示されます。

c. [Time Range Name] フィールドに、時間範囲の名前を入力します。ただし、スペースは使用できません。

d. [Start Time] および [End Time] に、それぞれ開始時間および終了時間を入力します。

e. 毎日または隔週でその時間範囲がアクティブになるようにするなど、時間範囲に関する追加制限を指定する場合は、 [Add] をクリックし、目的の値を指定します。

f. [OK] をクリックすると、時間範囲についてオプションで指定した内容が適用されます。

ステップ 14 [Add] をクリックします。

ステップ 15 [Add] ドロップダウン リストから、 [Service Group] をクリックします。

[Add Service Group] ダイアログボックスが表示されます。

ステップ 16 [Group Name] フィールドに、サービス グループの名前を入力します。その際、サービス グループの内容を表すような名前を入力します。

ステップ 17 [Existing Service/Service Group] オプション ボタンをクリックします。

ステップ 18 [OK] をクリックします。

新規に設定されたサービス グループが、[Browse Service] ペインに表示されます。

ステップ 19 [OK] をクリックします。

新規に設定されたサービス グループとともに、[Service] フィールドが表示されます。

ステップ 20 [OK] をクリックします。

ステップ 21 [Apply] をクリックして、コンフィギュレーションを保存します。


) アクセス ルールを追加した後は、[IPv4 and IPv6][IPv4 Only][IPv6 Only] のうち、いずれかのオプション ボタンをクリックして、メイン ペインに表示するアクセス ルールをフィルタリングできます。



 

アクセス ルールのフィールド定義

テーブル カラムの幅はカーソルを使用して調整できます。カーソルをカラムの線に重ね、二重矢印になるまで移動します。カラムの線をクリックして、目的のサイズになるまでドラッグします。

[Add]:新しいアクセス ルールを追加します。

[Edit]:アクセス ルールを編集します。

[Delete]:アクセス ルールを削除します。

[Move Up]:ルールを上に移動します。ルールは、このテーブルに表示される順序で評価されるため、重複したルールがある場合は、それらを表示する順序に注意が必要です。

[Move Down]:ルールを下に移動します。

[Cut]:ルールを切り取ります。

[Copy]:ルールのパラメータをコピーします。[Paste] ボタンを使用すれば、それと同じパラメータを持つルールを新たに作成できます。

[Paste]:ルールからコピーしたパラメータまたは切り取ったパラメータがあらかじめ入力された状態の [Add/Edit Rule] ダイアログボックスが表示されます。このダイアログボックスでは、それらのパラメータを修正して新しいルールを作成し、それをテーブルに追加できます。[Paste] ボタンをクリックすると、選択したルールのすぐ前にそのルールが追加されます。[Paste] ドロップダウン リストから [Paste After] 項目を選択すると、選択したルールのすぐ後にそのルールが追加されます。

[Find]:一致するルールだけを表示するように、表示内容をフィルタリングします。 [Find] をクリックすると、[Filter] フィールドが表示されます。もう一度 [Find] をクリックすると、[Filter] フィールドは非表示になります。

[Filter] ドロップダウン リスト:フィルタリングする基準として、[Interface]、[Source]、[Destination]、[Source or Destination]、[Destination Service]、[Rule Query] の中からいずれかを選択します。ルール クエリーとは、複数の基準を 1 つにまとめたもので、保存しておけば繰り返し使用できます。

[Condition] ドロップダウン リスト:基準が [Source]、[Destination]、[Source or Destination]、[Destination Service] の場合、条件として [is] と [includes] のいずれかを選択します。

[Filter] フィールド:[Interface] タイプが選択された場合、このフィールドはドロップダウン リストになり、そこからインターフェイス名を選択できます。[Rule Query] タイプが選択された場合、このドロップダウン リストには、選択肢としてすべての定義済みルール クエリーが表示されます。[Source] タイプおよび [Destination] タイプが選択された場合は、IP アドレスを指定できます。アドレスは、手動で入力できるほか、参照([...])ボタンをクリックし、[Browse Address] ダイアログボックスを開いて参照することもできます。[Destination Service] タイプが選択された場合は、プロトコル タイプとして、TCP、UDP、TCP-UDP、ICMP、IP のいずれかを指定できます。プロトコル タイプは、手動で入力できるほか、参照([...])ボタンをクリックし、[Browse Service Groups] ダイアログボックスを開いて参照することもできます。[Filter] フィールドには、複数のエントリを指定できます。その際、各エントリは、カンマまたはスペースで区切ります。また、ワイルドカードも使用できます。

[Filter]:フィルタを実行します。

[Clear]:一致内容および表示内容をすべてクリアします。

[Rule Query]:[Rule Queries] ダイアログボックスが表示されます。このダイアログボックスでは、名前付きルール クエリーを管理できます。

[Diagram]:ルール テーブルの下に [Rule Flow Diagram] 領域が表示されます。この図には、ネットワーク、トラフィックのタイプ、インターフェイス名、フローの方向、およびアクションが表示されます。

[Export]:カンマ区切り形式または html 形式のファイルにエクスポートします。

[Clear Hits]:選択したアクセス ルールに対するヒット数をクリアします。このフィールドをアクティブにするためには、ロギングがイネーブルになっている必要があります。

[Show Log]:選択したアクセス ルールにより生成された syslog が、Real-Time Log Viewer に表示されます。

[Packet Trace]:適応型セキュリティ アプライアンスによるパケット処理についての詳細情報、およびパケット スニファやネットワークの障害分離に関する情報を取得できます。

[IPv4 Only]:IPv4 タイプのアドレスだけが含まれるアクセス ルールが表示されます。

[IPv6 Only]:IPv6 タイプのアドレスだけが含まれるアクセス ルールが表示されます。

[IPv4 and IPv6]:IPv4 タイプのアドレスと IPv6 タイプのアドレスがどちらも含まれるアクセス ルールが表示されます。

次に、[Access Rules] テーブルのカラムについて説明します。カラムの内容を編集する場合は、テーブル行をダブルクリックします。ルールは、実行順に表示されます。ルールを右クリックすると、上記のボタンで選択できるすべてオプションのほか、[Insert] 項目および [Insert After] 項目が表示されます。[Insert] 項目を指定すると、選択したルールのすぐ前に新しいルールが挿入され、[Insert After] 項目を指定すると、選択したルールのすぐ後に新しいルールが挿入されます。

[No]:ルールの評価順序が表示されます。

[Enabled]:ルールがイネーブルかディセーブルかが表示されます。

[Source]:[Destination Type] フィールドで指定された宛先に対してトラフィックを許可または拒否する送信元の IP アドレス、ネットワーク オブジェクト グループ、インターフェイス IP、またはアドレスを指定します。アドレス カラムには、単語 any が付いたインターフェイス名が表示される場合があります(inside: any など)。これは、内部インターフェイスのすべてのホストが、このルールの影響を受けることを表します。

[Destination]:[Source Type] フィールドで指定された送信元に対してトラフィックを許可または拒否する宛先の IP アドレス、ネットワーク オブジェクト グループ、インターフェイス IP、またはアドレスを指定します。アドレス カラムには、単語 any が付いたインターフェイス名が表示される場合があります(outside: any など)。これは、外部インターフェイスのすべてのホストが、このルールの影響を受けることを表します。また、詳細モードでは、アドレス カラムに角カッコで囲まれた IP アドレスが表示されることもあります([209.165.201.1-209.165.201.30] など)。これらのアドレスは、変換済みアドレスです。内部ホストから外部ホストへの接続が確立されると、ファイアウォールでは内部ホストのアドレスがプールのアドレスにマップされます。ホストからのアウトバウンド接続が確立されると、それ以降はこのアドレス マッピングがファイアウォールに保持されます。アドレス マッピング構造は xlate と呼ばれ、一定期間メモリに保持されます。外部ホストでは、もしアクセス ルールにより許可されていれば、この間にプールの変換済みアドレスを使用して、内部ホストへの接続を開始できます。通常、内部ホストでは常に同じ IP アドレスが使用されるため、外部から内部への接続にはスタティック変換が必要です。

[Service]:ルールで指定されるサービスまたはプロトコルが表示されます。

[Action]:ルールに適用されるアクション([Permit] または [Deny])が表示されます。

[Hits]: ルールに対するヒット数が表示されます。このカラムは、[Preferences] ダイアログボックスで設定した頻度に応じて動的にアップデートされます。ヒット数は、明示的なルールにだけ適用されます。暗黙的なルールのヒット数は [Access Rules] テーブルには表示されません。

[Logging]:ロギング レベル、およびログ メッセージが生成される時間間隔(秒単位)が表示されます(アクセス ルールのロギングをイネーブルにした場合)。

[Time]:ルールが適用される時間範囲が表示されます。

[Description]:ルールを追加したときに入力した説明が表示されます。暗黙的なルールに対しては、「Implicit outbound rule」という説明が含まれます。

[Addresses]:IP 名またはネットワーク オブジェクト グループの追加、編集、削除、または検索を行うことができます。IP アドレス オブジェクトは、ルールの作成時に、送信元エントリおよび宛先エントリに基づいて自動的に作成されるため、それ以降のルールを作成する際には容易に選択できます。IP アドレス オブジェクトの追加、編集、および削除は、手動で行うことはできません。

[Services]:サービスの追加、編集、削除、または検索を行うことができます。

[Time Ranges]:時間範囲の追加、編集、または削除を行うことができます。

モード

次の表は、ACL が使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

ルール クエリー

[Rule Queries] ダイアログボックスでは、ルールの検索時に [Filter] フィールドで使用できる名前付きルール クエリーを管理できます。

フィールド

[Add]:ルール クエリーを追加します。

[Edit]:ルール クエリーを編集します。

[Delete]:ルール クエリーを削除します。

[Name]:ルール クエリーの名前を一覧表示します。

[Description]:ルール クエリーの説明を一覧表示します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

ルール クエリーの新規作成と編集

[New/Edit Rule Query] ダイアログボックスでは、ルールの検索時に [Filter] フィールドで使用できる名前付きルール クエリーを追加または編集できます。

フィールド

[Name]:ルール クエリーの名前を入力します。

[Description]:ルール クエリーの説明を入力します。

[Match Criteria]:フィルタの条件を一覧表示します。

[any of the following criteria]:一覧表示された任意の基準に一致するようにルール クエリーを設定します。

[all of the following criteria]:一覧表示されたすべての基準に一致するようにルール クエリーを設定します。

[Field]:基準のタイプを一覧表示します。これには、インターフェイスまたは送信元などがあります。

[Value]:基準の値を一覧表示します([inside] など)。

[Remove]:選択した基準を削除します。

[Define New Criteria]:新しい基準を定義して、それを照合基準に追加します。

[Field]:[Interface]、[Source]、[Destination]、[Service]、[Action]、別の [Rule Query] など、ルール クエリーにネストされる基準のタイプを選択します。

[Value]:検索する値を入力します。[Interface] タイプが選択された場合、このフィールドはドロップダウン リストになり、そこからインターフェイス名を選択できます。[Action] タイプが選択された場合、ドロップダウン リストには [Permit] および [Deny] が表示されます。[Rule Query] タイプが選択された場合、このドロップダウン リストには、選択肢としてすべての定義済みルール クエリーが表示されます。[Source] タイプおよび [Destination] タイプが選択された場合は、IP アドレスを指定できます。IP アドレスは、手動で入力できるほか、参照([...])ボタンをクリックし、[Browse Address] ダイアログボックスを開いて参照することもできます。[Service] タイプが選択された場合は、プロトコル タイプとして、TCP、UDP、TCP-UDP、ICMP、IP のいずれかを指定できます。プロトコル タイプは、手動で入力できるほか、参照([...])ボタンをクリックし、[Browse Service Groups] ダイアログボックスを開いて参照することもできます。

[Add]:[Match Criteria] テーブルに基準を追加します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

アクセス ルールの追加と編集

[Add/Edit Rule] ダイアログボックスでは、新しいルールの作成や、既存のルールの修正を行うことができます。

アクセス ルールの詳細については、「アクセス ルールと ACL」を参照してください。

フィールド

[Interface]:ルールを適用するインターフェイスを指定します。

[Action]:新しいルールのアクション タイプを指定します。[Permit] と [Deny] のいずれかを選択します。

[Permit]:一致するすべてのトラフィックを許可します。

[Deny]:一致するすべてのトラフィックを拒否します。

[Source]:[Destination] フィールドで指定された宛先に対してトラフィックを許可または拒否する送信元の IP アドレス、ネットワーク オブジェクト グループ、インターフェイス IP、またはアドレスを指定します。

[...]:既存の IP アドレス オブジェクト、IP 名、ネットワーク オブジェクト グループ、またはそれらすべてを選択、追加、編集、削除、または検索できます。

[Destination]:[Source Type] フィールドで指定された送信元に対してトラフィックを許可または拒否する宛先の IP アドレス、ネットワーク オブジェクト グループ、インターフェイス IP、またはアドレスを指定します。

[...]:既存の IP アドレス オブジェクト、IP 名、ネットワーク オブジェクト グループ、またはそれらすべてを選択、追加、編集、削除、または検索できます。

[Service]:このオプションを選択すると、サービスのリストからポート番号、ポートの範囲、またはウェルノウン サービス名やグループを指定できます。

[...]:事前に設定したリストで、既存のサービスを選択、追加、編集、削除、または検索できます。

[Description]:(オプション)アクセス ルールの説明を入力します。

[Enable Logging]:アクセス ルールのロギングをイネーブルにします。

[Logging Level]:デフォルトの値をそのまま使用するか、または [Emergency]、[Alert]、[Critical]、[Error]、[Warning]、[Notification]、[Informational]、[Debugging] のいずれかを指定します。

[More Options]:ルールの追加設定オプションを表示します。

[Enable Rule]:ルールをイネーブルまたはディセーブルにします。

[Traffic Direction]:どちらの方向のトラフィックにルールを適用するかを指定します。[Incoming] と [Outgoing] のいずれかを選択できます。

[Source Service]:送信元のプロトコルとサービスを指定します(TCP または UDP サービスに限る)。

[...]:事前に設定したリストで、送信元サービスを選択、追加、編集、削除、または検索できます。

[Logging Interval]:ロギングが設定されている場合、ロギング間隔を秒単位で指定します。

[Time Range]:このルールに定義されている時間範囲をドロップダウン リストから指定します。

[...]:事前に設定したリストで、時間範囲を選択、追加、編集、削除、または検索できます。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

サービス グループの管理

[Manage Service Groups] ダイアログボックスでは、名前付きグループにある複数の TCP、UDP、または TCP-UDP サービス(ポート)を関連付けることができます。それにより、アクセス ルール、IPSec ルール、コンジットなど、ASDM および CLI 内のさまざまな機能でサービス グループを使用できます。

用語のサービスは、ウェルノウン ポート番号および「リテラル」名(ftp、telnet、smtp など)を持ち、アプリケーション レベル サービスと関連付けられた上位レイヤ プロトコルを指します。

セキュリティ アプライアンスでは、次の TCP リテラル名を使用できます。

bgp、chargen、cmd、daytime、discard、domain、echo、exec、finger、ftp、ftp-data、gopher、h323、hostname、http、ident、irc、klogin、kshell、lpd、nntp、pop2、pop3、pptp、smtp、sqlnet、sunrpc、tacacs、talk、telnet、time、uucp、whois、www。

サービス グループの名前は、オブジェクト グループの 4 つすべてのタイプで、一意であることが必要です。たとえば、サービス グループとネットワーク グループには、同じ名前は使用できません。

複数のサービス グループをネストすれば、「グループのグループ」を構成できます。「グループのグループ」は 1 つのグループとして使用できます。サービス オブジェクト グループを削除すると、それが使用されているすべてのサービス オブジェクト グループから削除されます。

サービス グループがアクセス ルールで使用されている場合は、削除しないでください。アクセス ルールで使用されているサービス グループを空にはできません。

フィールド

[TCP]:TCP サービスまたは TCP ポート番号をオブジェクト グループに追加する場合は、このオプションを選択します。

[UDP]:UDP サービスまたは UDP ポート番号をオブジェクト グループに追加する場合は、このオプションを選択します。

[TCP-UDP]:TCP および UDP に共通のサービスまたはポート番号をオブジェクト グループに追加する場合は、このオプションを選択します。

[Service Group] テーブル:このテーブルには、各サービス オブジェクト グループの記述名が表示されます。このリストのグループを修正または削除する場合は、目的のグループを選択し、 [Edit] または [Delete] をクリックします。新しいグループをこのリストに追加する場合は、 [Add] をクリックします。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

[Add/Edit Service Group]

[Add/Edit Service Group] ダイアログボックスでは、TCP および UDP のサービスまたはポートのグループを管理できます。

フィールド

[Service Group Name]:サービス グループの名前を指定します。名前は、すべてのオブジェクト グループで一意であることが必要です。サービス グループに、ネットワーク グループと同じ名前を指定することはできません。

[Description]:サービス グループの説明を指定します。

[Service]:事前定義済みドロップダウン リストから、サービス グループのサービスを選択できます。

[Range/Port #]:サービス グループのポートの範囲を指定できます。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

高度なアクセス ルール設定

[Advanced Access Rule Configuration] ダイアログボックスでは、グローバル アクセス ルールのロギング オプションを設定できます。

ロギングがイネーブルで、パケットがアクセス ルールに合致した場合、セキュリティ アプライアンスでは、フロー エントリが作成され、指定された時間内に受信したパケット数の追跡が行われます(「ログ オプション」を参照)。セキュリティ アプライアンスでは、最初のヒットがあったとき、および各追跡期間の終了時にシステム ログ メッセージが生成されます。このメッセージにより、その期間におけるヒットの合計数がわかります。またセキュリティ アプライアンスでは、各追跡期間の終了時に、ヒット数が 0 にリセットされます。追跡期間中、アクセス ルールに合致するパケットがなかった場合は、セキュリティ アプライアンスによりそのフロー エントリは削除されます。

どの時点においても、大量のフローが同時に存在する可能性があります。メモリおよび CPU のリソースが無制限に消費されないようにするため、セキュリティ アプライアンスでは同時拒否フロー数に制限が設定されます。この制限は、拒否フローに対してだけ設定されます(許可フローには設定されません)。これは、拒否フローが攻撃を示している可能性があるためです。制限に達した場合、セキュリティ アプライアンスでは既存の拒否フローが期限切れになるまで新しい拒否フローは作成されません。DoS 攻撃(サービス拒絶攻撃)が開始された場合、セキュリティ アプライアンスではごく短時間のうちに大量の拒否フローが作成される可能性があります。拒否フロー数を制限することで、メモリおよび CPU のリソースが無制限に消費されるのを防ぐことができます。

アクセス ルールの詳細については、「アクセス ルールと ACL」を参照してください。

前提条件

これらの設定は、アクセス ルールのアクセス コントロール エントリ(別名ルール)に対して、さらに新しいロギング メカニズムをイネーブルにする場合に限り適用されます。詳細については、「ログ オプション」を参照してください。

フィールド

[Maximum Deny-flows]:セキュリティ アプライアンスによりロギングが停止される前に許可される拒否フローの最大数を、1 からとデフォルト値までの間で指定します。デフォルトは 4096 です。

[Alert Interval]:拒否フローが最大数に達したことを示すシステム ログ メッセージ(番号 106101)が生成される時間間隔(1 ~ 3600 秒)を指定します。デフォルトは 300 秒です。

[Per User Override table]:ユーザごとの上書き機能の状態を指定します。インバウンド アクセス ルールに対してユーザごとの上書き機能をイネーブルになると、RADIUS サーバによって提供されるアクセス ルールは、そのインターフェイス上で設定されたアクセス ルールに置き換えられます。ユーザごとの上書き機能がディセーブルになると、RADIUS サーバによって提供されるアクセス ルールは、そのインターフェイス上で設定されたアクセス ルールと結合されます。インターフェイスにインバウンド アクセス ルールが設定されていない場合、ユーザごとの上書きは設定できません。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

ログ オプション

[Log Options] ダイアログボックスでは、各アクセス ルールのロギング オプションを設定できます。グローバル ロギング オプションの設定手順については、「高度なアクセス ルール設定」を参照してください。

このダイアログボックスでは、旧式のロギング メカニズム(拒否されたトラフィックだけが記録される)を使用したり、新しいロギング メカニズム(許可および拒否されたトラフィックがパケットのヒット数などの追加情報と共に記録される)を使用したり、ロギングをディセーブルにしたりできます。

[Log] オプションをイネーブルにすると、一定量のメモリが消費されます。潜在的な DoS 攻撃のリスクを制御するには、[Maximum Deny-flow] 設定が便利です。この設定を使用する場合は、[Access Rules] ウィンドウの [Advanced] を選択します。

フィールド

[Use default logging behavior]:パケットが拒否されると、セキュリティ アプライアンスによりシステム ログ メッセージ番号 106023 が記録される、旧式のアクセス ルール ロギング メカニズムが使用できるようになります。このオプションは、デフォルト設定に戻す場合に使用します。

[Enable logging for the rule]:パケットがアクセス ルールに合致すると(許可または拒否のいずれか)、セキュリティ アプライアンスによりシステム ログ メッセージ番号 106100 が記録される、新しいアクセス ルール ロギング メカニズムがイネーブルになります。

パケットがアクセス ルールに合致すると、セキュリティ アプライアンスではフロー エントリが作成され、指定された時間内に受信したパケット数の追跡が行われます (「ログ オプション」を参照)。セキュリティ アプライアンスでは、最初のヒットがあったとき、および各追跡期間の終了時にシステム ログ メッセージが生成されます。このメッセージにより、その期間におけるヒットの合計数がわかります。またセキュリティ アプライアンスでは、各追跡期間の終了時に、ヒット数が 0 にリセットされます。追跡期間中、アクセス ルールに合致するパケットがなかった場合は、セキュリティ アプライアンスによりそのフロー エントリは削除されます。

[Logging Level]:syslog サーバに送信されるロギング メッセージのレベルをドロップダウン リストから選択します。レベルは次のように定義されています。

[Emergency](レベル 0):セキュリティ アプライアンスでは、このレベルは使用しません。

[Alert](レベル 1、即時対処が必要)

[Critical](レベル 2、クリティカル条件)

[Error](レベル 3、エラー条件)

[Warning](レベル 4、警告条件)

[Notification](レベル 5、正常だが顕著な条件)

[Informational](レベル 6、情報メッセージのみ)

[Debugging](レベル 7、デバッグ中のみ表示)

[Logging Interval]:セキュリティ アプライアンスにおいて、フロー統計情報が syslog に送信されるまでの待機時間を秒単位で設定します(1 ~ 600 秒)。この設定は、アクセス ルールに合致するパケットがない場合に、フローを削除するタイムアウト値としても使用されます。デフォルトは 300 秒です。

[Disable logging for the rule]:アクセス ルールに対するロギングをすべてディセーブルにします。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--