ASDM を使用した Cisco セキュリティ アプライアン ス コンフィギュレーション ガイド
サービス ポリシー ルールの設定
サービス ポリシー ルールの設定
発行日;2012/02/01 | 英語版ドキュメント(2010/01/11 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

サービス ポリシー ルールの設定

サービス ポリシーの概要

サービス ポリシーでサポートされている機能

通過トラフィックでサポートされる機能

管理トラフィックでサポートされる機能

サービス ポリシーの設定について

機能の方向性

ポリシー マップ内の機能照合

複数の機能アクションが適用される順序

特定の機能アクションの非互換性

複数ポリシー マップの機能照合

モジュラー ポリシー フレームワーク用のライセンス要件

ガイドラインおよび制約事項

デフォルト設定

通過トラフィックのサービス ポリシー ルールの追加

管理トラフィックのサービス ポリシー ルールの追加

RADIUS アカウンティング インスペクションの概要

管理トラフィックのサービス ポリシー ルールの設定

サービス ポリシー ルールの順序の管理

RADIUS アカウンティング フィールドの説明

[Select RADIUS Accounting Map]

[Add RADIUS Accounting Policy Map]

RADIUS インスペクション マップ

RADIUS インスペクション マップ(ホスト)

RADIUS インスペクション マップ(その他)

モジュラー ポリシー フレームワークの機能履歴

サービス ポリシー ルールの設定

この章では、サービス ポリシー ルールをイネーブルにする方法を説明します。サービス ポリシーを使用すると、一貫した柔軟な方法でセキュリティ アプライアンスの機能を設定できます。たとえば、サービス ポリシーを使用して、すべての TCP アプリケーションに適用されるタイムアウト コンフィギュレーションを作成する一方で、特定の TCP アプリケーションに固有のタイムアウト コンフィギュレーションを作成できます。

この章には、次の項があります。

「サービス ポリシーの概要」

「モジュラー ポリシー フレームワーク用のライセンス要件」

「ガイドラインおよび制約事項」

「デフォルト設定」

「通過トラフィックのサービス ポリシー ルールの追加」

「管理トラフィックのサービス ポリシー ルールの追加」

「サービス ポリシー ルールの順序の管理」

「RADIUS アカウンティング フィールドの説明」

「モジュラー ポリシー フレームワークの機能履歴」

サービス ポリシーの概要

この項では、セキュリティ ポリシーの概要について説明します。説明する内容は次のとおりです。

「サービス ポリシーでサポートされている機能」

「サービス ポリシーの設定について」

「複数の機能アクションが適用される順序」

「通過トラフィックのサービス ポリシー ルールの追加」

「モジュラー ポリシー フレームワークの機能履歴」

サービス ポリシーでサポートされている機能

これらの機能は、通過トラフィックまたは管理トラフィックに適用されます。この項は、次の内容で構成されています。

「通過トラフィックでサポートされる機能」

「管理トラフィックでサポートされる機能」

通過トラフィックでサポートされる機能

表 23-1 では、モジュラー ポリシー フレームワークでサポートされている機能について一覧表示しています

 

表 23-1 モジュラー ポリシー フレームワークの機能

機能
参照先:

アプリケーション インスペクション
(複数タイプ)

「アプリケーション レイヤ プロトコル インスペクションの設定」

CSC

「Trend Micro Content Security の設定」

IPS

「AIP SSM および SSC での IPS アプリケーションの設定」

NetFlow Secure Event Logging
フィルタリング

「NetFlow の使用方法」

QoS 入出力ポリシング

「QoS の設定」

QoS 標準プライオリティ キュー

「QoS の設定」

QoS トラフィック シェーピング、
階層プライオリティ キュー

「QoS の設定」

TCP と UDP の接続制限

「接続の設定」

TCP と UDP の接続タイムアウト

「接続の設定」

TCP シーケンス番号のランダム化

「接続の設定」

TCP 正規化

「接続の設定」

TCP ステート バイパス

「接続の設定」

管理トラフィックでサポートされる機能

表 23-2 では、モジュラー ポリシー フレームワークでサポートされている管理トラフィック用の機能について一覧表示しています。

 

表 23-2 管理トラフィック用のモジュラー ポリシー フレームワークの機能

機能
参照先:

RADIUS アカウンティング トラフィック用のアプリケーション インスペクション

「RADIUS アカウンティング インスペクション」

TCP と UDP の接続制限

「接続の設定」

サービス ポリシーの設定について

サービス ポリシーの設定では、インターフェイスあたりのサービス ポリシー ルール、またはグローバル ポリシーのサービス ポリシー ルールを 1 つ以上追加します。それぞれのルールごとに、次の要素を指定します。

1. ルールを適用するインターフェイスを指定するか、またはグローバル ポリシーを指定します。

2. アクションを適用するトラフィックを指定します。レイヤ 3 および 4 の通過トラフィックを指定できます。

3. トラフィック クラスにアクションを適用します。トラフィック クラスごとに複数のアクションを適用できます。

機能の方向性

アクションは、機能に応じて双方向または単方向でトラフィックに適用されます。双方向で適用される機能の場合、トラフィックが両方の方向でクラス マップを照合するのであれば、ポリシー マップを適用するインターフェイスに出入りするすべてのトラフィックが影響を受けます。


) グローバル ポリシーを使用する場合は、すべての機能が単方向になります。1 つのインターフェイスに適用されるときには通常であれば双方向の機能も、グローバルに適用されるときは各インターフェイスの入力側にだけ適用されます。グローバル ポリシーはすべてのインターフェイスに適用されるため、両方向で適用されることになります。このため、この場合の双方向性は冗長になります。


たとえば QoS プライオリティ キューのように単方向で適用される機能の場合は、ポリシー マップを適用するインターフェイスから出る側のトラフィックだけが影響を受けます。各機能の方向性については、 表 23-3 を参照してください。

 

表 23-3 機能の方向性

機能
単一インターフェイス方向
グローバル方向

アプリケーション インスペクション
(複数タイプ)

双方向

入力側

CSC

双方向

入力側

IPS

双方向

入力側

NetFlow Secure Event Logging
フィルタリング

該当なし

入力側

QoS 入力ポリシング

入力側

入力側

QoS 出力ポリシング

出力側

出力側

QoS 標準プライオリティ キュー

出力側

出力側

QoS トラフィック シェーピング、
階層プライオリティ キュー

出力側

出力側

TCP と UDP の接続制限

双方向

入力側

TCP と UDP の接続タイムアウト

双方向

入力側

TCP 正規化

双方向

入力側

TCP シーケンス番号のランダム化

双方向

入力側

TCP ステート バイパス

双方向

入力側

ポリシー マップ内の機能照合

ポリシー マップ内でパケットがクラス マップを照合する方法については、次の情報を参照してください。

1. パケットは、機能タイプごとにポリシー マップのクラス マップを 1 つだけ照合できます。

2. パケットが、1 つの機能タイプのクラス マップを照合する場合、セキュリティ アプライアンスは、その機能タイプの後続のどのクラス マップに対してもそのパケットを照合しません。

3. ただし、そのパケットが異なる機能タイプの後続クラス マップを照合する場合、セキュリティ アプライアンスは後続クラス マップに対してアクションを適用します(サポートされる場合)。サポートされていない組み合せの詳細については、「通過トラフィックのサービス ポリシー ルールの追加」を参照してください。

たとえば、パケットが接続制限のクラス マップを照合し、アプリケーション インスペクションのクラス マップも照合する場合は、両方のクラス マップ アクションが適用されます。

パケットが HTTP インスペクションのクラス マップを照合し、HTTP インスペクションを含む別のクラス マップを照合する場合、2 番目のクラス マップ アクションは適用されません。


) アプリケーション インスペクションには、複数の検査の種類が含まれ、上記の照合ガイドラインを考慮する際は、それぞれの検査の種類が別個の機能です。


複数の機能アクションが適用される順序

ポリシー マップ内の異なる種類のアクションが実行される順序は、ポリシー マップ内でアクションが現れる順序に依存しません。


) NetFlow Secure Event Logging フィルタリングは、順序に依存しません。


アクションは、次の順序で実行されます。

1. QoS 入力ポリシング

2. TCP 正規化、TCP および UDP の接続制限とタイムアウト、TCP シーケンス番号のランダム化、および TCP ステート バイパス。


) セキュリティ アプライアンスがプロキシ サービス(AAA や CSC など)を実行する場合、または TCP ペイロード(FTP インスペクションなど)を変更する場合、TCP ノーマライザはデュアル モードで動作します。このモードでは、プロキシまたはペイロード変更サービスの前後にアクションが適用されます。


3. CSC

4. アプリケーション インスペクション(複数タイプ)

トラフィックのクラスが複数の検査用に分析される際に適用されるアプリケーション インスペクションの順序は、次のとおりです。同じトラフィックに適用される検査の種類は 1 種類だけです。WAAS インスペクションは、同じトラフィックに他の検査とともに例外的に適用できます。詳細については、「通過トラフィックのサービス ポリシー ルールの追加」を参照してください。

a. CTIQBE

b. DNS

c. FTP

d. GTP

e. H323

f. HTTP

g. ICMP

h. ICMP エラー

i. ILS

j. MGCP

k. NetBIOS

l. PPTP

m. Sun RPC

n. RSH

o. RTSP

p. SIP

q. Skinny

r. SMTP

s. SNMP

t. SQL*Net

u. TFTP

v. XDMCP

w. DCERPC

x. インスタント メッセージ


) RADIUS アカウンティングは、管理トラフィックで許可された唯一の検査なので一覧表示されていません。WAAS は、同じトラフィックに他の検査とともに設定できるので一覧表示されていません。


5. IPS

6. QoS 出力ポリシング

7. QoS 標準プライオリティ キュー

8. QoS トラフィック シェーピング、階層プライオリティ キュー

特定の機能アクションの非互換性

いくつかの機能は、同じトラフィックに関して互いに互換性がありません。たとえば、QoS プライオリティ キューイングと QoS ポリシングを同一のトラフィック セットに設定できません。また、ほとんどの検査は、別の検査と組み合せるべきではないので、同じトラフィックに対して複数の検査を設定してもセキュリティ アプライアンスは 1 つの検査だけ適用します。この場合、適用される機能は「複数の機能アクションが適用される順序」にあるリストのうち、優先順位が高い機能です。

各機能の互換性については、その機能に関する章や項を参照してください。


) デフォルトのグローバル ポリシーで使用される Default Inspection Traffic トラフィック分類は、すべての検査に対してデフォルトのポートを照合するための特別なショートカットです。このトラフィック分離は、ルール内で使用されると、トラフィックの宛先ポートに基づいて、パケットごとに正しい検査が適用されるようにします。たとえば、ポート 69 に対する UDP トラフィックがセキュリティ アプライアンスに到達するとセキュリティ アプライアンスは TFTP インスペクションを適用し、ポート 21 に対する TCP トラフィックが到達するとセキュリティ アプライアンスは FTP インスペクションを適用します。つまり、この場合に限り、同じルールに対して複数の検査を設定できます。通常、セキュリティ アプライアンスは適用される検査を判別するのにポート番号を使用しないので、たとえば、標準外のポートに柔軟に検査を適用できます。


複数ポリシー マップの機能照合

TCP および UDP トラフィック(およびステートフル ICMP インスペクションがイネーブルの場合の ICMP)の場合、モジュラー ポリシー フレームワークは、個々のパケットだけでなくトラフィック フローにも適用されます。トラフィックが 1 つのインターフェイスのポリシーで定義されている機能を照合する既存接続の一部になっている場合、そのトラフィック フローは、別のインターフェイスのポリシーで定義されている同じ機能を照合できません。最初のポリシーだけが使用されます。

たとえば、HTTP トラフィックが HTTP トラフィックを検査する内部インターフェイスのポリシーを照合し、HTTP インスペクションを行う外部インターフェイスで別個のポリシーが定義されている場合、そのトラフィックが外部インターフェイスの出力側でも検査されることはありません。同様に、その接続のリターン トラフィックは、外部インターフェイスの入力側ポリシーによって検査されたり、内部インターフェイスの出力側ポリシーによって検査されたりすることもありません。

ステートフル ICMP インスペクションをイネーブルにしない場合の ICMP のようにフローとして処理されないトラフィックの場合、リターン トラフィックは戻りインターフェイスの別のポリシー マップを照合できます。たとえば、内部および外部インターフェイスで IPS を設定するときに、内部ポリシーでは仮想センサー 1 を使用するのに対して、外部ポリシーでは仮想センサー 2 を使用する場合、非ステートフル ping は仮想センサー 1 の発信側を照合するだけでなく、仮想センサー 2 の着信側も照合します。

モジュラー ポリシー フレームワーク用のライセンス要件

 

モデル
ライセンス要件

全モデル

基本ライセンス

ガイドラインおよび制約事項

この項では、この機能に関するガイドラインおよび制約事項について説明します。

コンテキスト モードのガイドライン

シングル モードとマルチ コンテキスト モードでサポートされます。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされます。

IPv6 のガイドライン

次の機能に関して、IPv6 をサポートします。

FTP、HTTP、ICMP、SIP、SMTP、および IPSec-pass-thru 向けのアプリケーション インスペクション

IPS

NetFlow Secure Event Logging フィルタリング

TCP と UDP の接続制限

TCP と UDP の接続タイムアウト

TCP シーケンス番号のランダム化

TCP 正規化

TCP ステート バイパス

サービス ポリシー ガイドライン

既定の機能に関して、インターフェイス ポリシーはグローバル ポリシーより優先されます。たとえば、FTP インスペクションを使用するグローバル ポリシーと TCP 正規化を使用するインターフェイス ポリシーがある場合、FTP インスペクションと TCP 正規化の両方がそのインターフェイスに適用されます。ただし、FTP インスペクションを使用するグローバル ポリシーと FTP インスペクションを使用するインターフェイス ポリシーがある場合、インターフェイス ポリシー FTP インスペクションだけがそのインターフェイスに適用されます。

適用できるグローバル ポリシーは 1 つだけです。たとえば、機能セット 1 を含むグローバル ポリシーと、機能セット 2 を含む別のグローバル ポリシーは、作成できません。すべての機能が 1 つのポリシーに含まれる必要があります。

デフォルト設定

コンフィギュレーションには、すべてのデフォルト アプリケーション インスペクション トラフィックを照合し、特定の検査をすべてのインターフェイスのトラフィックに適用するポリシー(グローバル ポリシー)がデフォルトで含まれています。すべての検査がデフォルトでイネーブルになっているわけではありません。1 つのグローバル ポリシーしか適用できないため、グローバル ポリシーを変更する場合には、デフォルト ポリシーを編集するか、またはそのポリシーをディセーブルにして新しいポリシーを適用する必要があります (インターフェイス ポリシーはグローバル ポリシーより優先されます)。

デフォルト ポリシーには次のアプリケーション インスペクションが含まれています。

最大メッセージ長 512 バイトに対する DNS インスペクション

FTP

H323(H225)

H323(RAS)

RSH

RTSP

ESMTP

SQLnet

Skinny(SCCP)

SunRPC

XDMCP

SIP

NetBIOS

TFTP

通過トラフィックのサービス ポリシー ルールの追加

詳細については、「通過トラフィックでサポートされる機能」を参照してください。通過トラフィックのサービス ポリシー ルールを追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Service Policy Rules] ペインを選択して、 [Add] をクリックします。

[Add Service Policy Rule Wizard - Service Policy] ダイアログボックスが表示されます。


) [Add] ボタンの右側にある小さな矢印ではなく [Add] ボタンをクリックすると、通過トラフィック ルールがデフォルトで追加されます。[Add] ボタン上の矢印をクリックすると、通過トラフィック ルールと管理トラフィック ルールのいずれかを選択できます。


ステップ 2 [Create a Service Policy and Apply To] 領域で、次のオプションの 1 つをクリックします。

[Interface]。 このオプションでは、サービス ポリシーが 1 つのインターフェイスに適用されます。既定の機能に関して、インターフェイス ポリシーはグローバル ポリシーより優先されます。たとえば、FTP インスペクションを使用するグローバル ポリシーと TCP 接続制限を使用するインターフェイス ポリシーがある場合、FTP インスペクションと TCP 接続制限の両方がそのインターフェイスに適用されます。ただし、FTP インスペクションを使用するグローバル ポリシーと FTP インスペクションを使用するインターフェイス ポリシーがある場合、インターフェイス ポリシー FTP インスペクションだけがそのインターフェイスに適用されます。

a. ドロップダウン リストからインターフェイスを選択します。

すでにポリシーが適用されているインターフェイスを選択する場合は、ウィザードの指示に従って、新しいサービス ポリシー ルールをそのインターフェイスに追加できます。

b. 新しいサービス ポリシーの場合は、[Policy Name] フィールドに名前を入力します。

c. (オプション)[Description] フィールドに説明を入力します。

[Global - applies to all interfaces]。 このオプションでは、サービス ポリシーがすべてのインターフェイスにグローバルに適用されます。デフォルト アプリケーション インスペクションのサービス ポリシー ルールを含むグローバル ポリシーは、デフォルトで存在します。詳細については、「デフォルト設定」を参照してください。ウィザードを使用してルールをグローバル ポリシーに追加できます。

ステップ 3 [Next] をクリックします。

[Add Service Policy Rule Wizard - Traffic Classification Criteria] ダイアログボックスが表示されます。

ステップ 4 次のオプションのいずれかをクリックして、ポリシーのアクションを適用するトラフィックを指定します。

[Create a new traffic class]。 [Create a new traffic class] フィールドにトラフィック クラス名を入力し、説明(オプション)を入力します。

基準のいずれかを使用してトラフィックを特定します。

[Default Inspection Traffic] :このクラスは、セキュリティ アプライアンスが検査可能なすべてのアプリケーションによって使用される、デフォルトの TCP および UDP ポートを照合します。

デフォルト グローバル ポリシーで使用されるこのオプションは、ルール内で使用されると、トラフィックの宛先ポートに基づいて、パケットごとに正しい検査が適用されるようにします。たとえば、ポート 69 に対する UDP トラフィックがセキュリティ アプライアンスに到達するとセキュリティ アプライアンスは TFTP インスペクションを適用し、ポート 21 に対する TCP トラフィックが到達するとセキュリティ アプライアンスは FTP インスペクションを適用します。つまり、この場合に限り、同じルールに対して複数の検査を設定できます(アクションの組み合せの詳細については、「通過トラフィックのサービス ポリシー ルールの追加」を参照してください)。通常、セキュリティ アプライアンスは適用される検査を判別するのにポート番号を使用しないので、たとえば、標準外のポートに柔軟に検査を適用できます。

デフォルト ポートの一覧については、「デフォルトのインスペクション ポリシー」を参照してください。セキュリティ アプライアンスには、デフォルトのインスペクション トラフィックを照合し、すべてのインターフェイスのトラフィックに共通検査を適用するグローバル ポリシーが組み込まれています。Default Inspection Traffic クラスにポートが含まれているすべてのアプリケーションが、ポリシー マップにおいてデフォルトでイネーブルになっているわけではありません。

Source and Destination IP Address (uses ACL) クラスを Default Inspection Traffic クラスと一緒に指定して、照合されるトラフィックを絞り込むことができます。Default Inspection Traffic クラスによって照合するポートとプロトコルが指定されるため、アクセスリストのポートとプロトコルはすべて無視されます。

[Source and Destination IP Address (uses ACL)] :このクラスは拡張アクセスリストで指定されているトラフィックを照合します。セキュリティ アプライアンスがトランスペアレント ファイアウォール モードで動作している場合は、EtherType アクセスリストを使用できます。


) このタイプの新しいトラフィック クラスを作成する場合は、最初にアクセス コントロール エントリ(ACE)を 1 つだけ指定できます。ルールを追加した後は、同じインターフェイスまたはグローバル ポリシーに新しいルールを追加し、それから [Traffic Classification] ダイアログボックス(以下を参照)で [Add rule to existing traffic class] を指定することによって、ACE を追加できます。


[Tunnel Group] :このクラスは、QoS を適用するトンネル グループのトラフィックを照合します。その他にもう 1 つのトラフィック照合オプションを指定してトラフィック照合対象をさらに絞込み、[Any Traffic]、[Source and Destination IP Address (uses ACL)]、または [Default Inspection Traffic] を排除できます。

[TCP or UDP Destination Port] :1 つのポートまたは連続する一定範囲のポートを照合します。


ヒント 複数の非連続ポートを使用するアプリケーションの場合は、[Source and Destination IP Address (uses ACL)] を使用して各ポートを照合します。


[RTP Range] :クラス マップは、RTP トラフィックを照合します。

[IP DiffServ CodePoints (DSCP)] :このクラスは、IP ヘッダーの最大 8 つの DSCP 値を照合します。

[IP Precedence] :このクラス マップは、IP ヘッダーの TOS バイトによって表される、最大 4 つの Precedence 値を照合します。

[Any Traffic] :すべてのトラフィックを照合します。

[Add rule to existing traffic class]。 すでに同じインターフェイスにサービス ポリシー ルールを指定している場合、またはグローバル サービス ポリシーを追加する場合は、このオプションによって既存のアクセスリストに ACE を追加できます。このインターフェイスのサービス ポリシー ルールで [Source and Destination IP Address (uses ACL)] オプションを選択した場合は、事前に作成したすべてのアクセスリストに ACE を追加できます。このトラフィック クラスでは、複数の ACE を追加する場合であっても、1 セットのルール アクションしか指定できません。この手順全体を繰り返すことによって、複数の ACE を同じトラフィック クラスに追加できます。ACE の順序の変更方法については、「サービス ポリシー ルールの順序の管理」を参照してください。

[Use an existing traffic class]。 別のインターフェイスのルールで使用されるトラフィック クラスを作成した場合は、そのトラフィック クラス定義をこのルールで再使用できます。1 つのルールのトラフィック クラスを変更すると、その変更は同じトラフィック クラスを使用するすべてのルールに継承されます。コンフィギュレーションに CLI で入力した class-map コマンドが含まれている場合は、それらのトラフィック クラス名も使用できます(ただし、そのトラフィック クラスの定義を表示するには、そのルールを作成する必要があります)。

[Use class default as the traffic class]。 このオプションでは、すべてのトラフィックを照合する class-default クラスを使用します。class-default クラスは、セキュリティ アプライアンスによって自動的に作成され、ポリシーの最後に配置されます。このクラスは、アクションを何も適用しない場合でもセキュリティ アプライアンスによって作成されますが、内部での使用に限られます。必要に応じて、このクラスにアクションを適用できます。これは、すべてのトラフィックを照合する新しいトラフィック クラスを作成するよりも便利な場合があります。class-default クラスを使用して、このサービス ポリシーにルールを 1 つだけ作成できます。これは、各トラフィック クラスを関連付けることができるのは、サービス ポリシーごとに 1 つのルールだけであるためです。

ステップ 5 [Next] をクリックします。

ステップ 6 次に表示されるダイアログボックスは、選択したトラフィック照合基準に応じて異なります。


) [Any Traffic] オプションの場合には、追加設定を行うための特別なダイアログボックスはありません。


[Default Inspections]:このダイアログボックスは情報提供の目的でだけ表示され、トラフィック クラスに含まれるアプリケーションとポートが示されます。

[Source and Destination Address]:このダイアログボックスでは、送信元アドレスと宛先アドレスを設定できます。

a. [Match] または [Do Not Match] をクリックします。

[Match] オプションでは、アドレスが一致するトラフィックにアクションを適用する場合のルールを作成します。[Do Not Match] オプションでは、トラフィックを指定したアクションの適用から免除します。たとえば、10.1.1.25 を除いて、10.1.1.0/24 のトラフィックすべてを照合し、そのトラフィックに接続制限を適用するとします。この場合は、2 つのルール([Match] オプションを使用した 10.1.1.0/24 に対するルールおよび [Do Not Match] オプションを使用した 10.1.1.25 に対するルール)を作成します。必ず、Do Not Match ルールが Match ルールの上になるように配置してください。順序を逆にすると、10.1.1.25 が最初に Match ルールを照合することになります。

b. [Source] フィールドで、送信元 IP アドレスを入力するか、 [...] ボタンをクリックして ASDM にすでに定義されている IP アドレスを選択します。

プレフィクス/長さ表記(10.1.1.0/24 など)を使用してアドレスとサブネット マスクを指定します。マスクを使用せずに IP アドレスを入力すると、そのアドレスは最後が 0 であってもホスト アドレスと見なされます。

任意の送信元アドレスを指定するには、 any を入力します。

アドレスが複数ある場合はカンマで区切ります。

c. [Destination] フィールドで、宛先 IP アドレスを入力するか、 [...] ボタンをクリックして ASDM にすでに定義されている IP アドレスを選択します。

プレフィクス/長さ表記(10.1.1.0/24 など)を使用してアドレスとサブネット マスクを指定します。マスクを使用せずに IP アドレスを入力すると、そのアドレスは最後が 0 であってもホスト アドレスと見なされます。

任意の宛先アドレスを指定するには、 any を入力します。

アドレスが複数ある場合はカンマで区切ります。

d. [Service] フィールドで、宛先サービスの IP サービス名または番号を入力するか、 [...] ボタンをクリックしてサービスを選択します。

TCP または UDP のポート番号、あるいは ICMP サービス番号を指定する場合は、 プロトコル / ポート を入力します。たとえば、TCP/8080 と入力します。

デフォルトでは、サービスは IP です。

サービスが複数ある場合はカンマで区切ります。

e. (オプション)[Description] フィールドに説明を入力します。

f. (オプション)TCP または UDP の送信元サービスを指定するには、 [More Options] 領域をクリックして開き、[Source Service] フィールドに TCP サービスまたは UDP サービスを入力します。

宛先サービスと送信元サービスは同じであることが必要です。[Destination Service] フィールドをコピーし、[Source Service] フィールドに貼り付けます。

g. (オプション)ルールを非アクティブにするには、 [More Options] 領域をクリックして開き、 [Enable Rule] をオフにします。

この設定は、ルールを削除せずに無効にしたい場合に便利です。

h. (オプション)ルールの時間範囲を指定するには、 [More Options] 領域をクリックして開き、[Time Range] ドロップダウン リストから時間範囲を選択します。

新しい時間範囲を追加するには、 [...] ボタンをクリックします。詳細については、「時間範囲の設定」を参照してください。

この設定は、事前に設定した時間にだけルールをアクティブにする場合に便利です。

[Tunnel Group]:[Tunnel Group] ドロップダウン リストからトンネル グループを選択するか、または [New] をクリックして新しいトンネル グループを追加します。詳細については、「IPsec リモート アクセス接続のプロファイル」を参照してください。

各フローをポリシングするには、 [Match flow destination IP address] をオンにします。一意の IP 宛先アドレスに向かうすべてのトラフィックは、フローと見なされます。

[Destination Port]: [TCP] または [UDP] をクリックします。

[Service] フィールドに、ポート番号または名前を入力するか、または [...] をクリックして ASDM で定義済みのサービスを選択します。

[RTP Range]:RTP ポート範囲を 2000 ~ 65534 の間で入力します。範囲内の最大ポート数は、16383 です。

[IP DiffServ CodePoints (DSCP)]:[DSCP Value to Add] エリアで、 [Select Named DSCP Values] から値を選択するか、または [Enter DSCP Value (0-63)] フィールドに値を入力し、 [Add] をクリックします。

必要に応じて値を追加するか、または [Remove] ボタンを使用して値を削除します。

[IP Precedence]:[Available IP Precedence] エリアで値を選択し、 [Add] をクリックします。

必要に応じて値を追加するか、または [Remove] ボタンを使用して値を削除します。

ステップ 7 [Next] をクリックします。

[Add Service Policy Rule - Rule Actions] ダイアログボックスが表示されます。

ステップ 8 1 つ以上のルール アクションを設定します。機能のリストについては、「サービス ポリシーでサポートされている機能」を参照してください。

ステップ 9 [Finish] をクリックします。


 

管理トラフィックのサービス ポリシー ルールの追加

管理目的でセキュリティ アプライアンスに転送されるトラフィックのサービス ポリシーを作成できます。詳細については、「管理トラフィックでサポートされる機能」を参照してください。この項は、次の内容で構成されています。

「RADIUS アカウンティング インスペクションの概要」

「管理トラフィックのサービス ポリシー ルールの設定」

RADIUS アカウンティング インスペクションの概要

よく知られた問題の中に、GPRS ネットワークでの過剰請求攻撃があります。過剰請求攻撃により消費者は、利用したことのないサービスについて請求されるために怒り、困惑します。この場合、悪意の攻撃者はサーバへの接続をセットアップし、SGSN から IP アドレスを取得します。攻撃者がコールを終了しても、悪意のあるサーバはそのアドレスにパケットを送信し続け、そのパケットは GGSN によってドロップされますが、悪意のあるサーバからの接続はアクティブなままの状態になります。悪意の攻撃者に割り当てられた IP アドレスは、解放されて正規のユーザに再度割り当てられ、そのユーザは攻撃者が利用したサービスについて請求されることになります。

RADIUS アカウンティング インスペクションでは、GGSN によって検出されるトラフィックが正規のものであることを確認することによって、このタイプの攻撃を防止します。RADIUS アカウンティング機能を適正に設定していると、セキュリティ アプライアンスは、「Radius Accounting Request Start」 メッセージの Framed IP アトリビュートと 「Radius Accounting Request Stop」 メッセージの Framed IP アトリビュートの照合結果に基づいて接続を切断します。「Stop」 メッセージで Framed IP アトリビュートの照合 IP アドレスが確認されると、セキュリティ アプライアンスは、その IP アドレスと一致する送信元との接続すべてを検索します。

RADIUS サーバで事前共有キーを設定してセキュリティ アプライアンスがメッセージを検証できるようにするオプションも用意されています。共有秘密が設定されていない場合、セキュリティ アプライアンスではメッセージの送信元を検証する必要がなく、送信元 IP アドレスが RADIUS メッセージの送信を許可されている設定済みアドレスの 1 つかどうかだけがチェックされます。

管理トラフィックのサービス ポリシー ルールの設定

管理トラフィックのサービス ポリシーを追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Service Policy Rules] ペインで、[Add] の横の下矢印をクリックします。

ステップ 2 [Add Management Service Policy Rule] を選択します。

[Add Management Service Policy Rule Wizard - Service Policy] ダイアログボックスが表示されます。

ステップ 3 [Create a Service Policy and Apply To] 領域で、次のオプションの 1 つをクリックします。

[Interface]。 このオプションでは、サービス ポリシーが 1 つのインターフェイスに適用されます。既定の機能に関して、インターフェイス ポリシーはグローバル ポリシーより優先されます。たとえば、RADIUS アカウンティング インスペクションを使用するグローバル ポリシーと接続制限を使用するインターフェイス ポリシーがある場合、RADIUS アカウンティングと接続制限の両方がそのインターフェイスに適用されます。ただし、RADIUS アカウンティングを使用するグローバル ポリシーと RADIUS アカウンティングを使用するインターフェイス ポリシーがある場合、インターフェイス ポリシー RADIUS アカウンティングだけがそのインターフェイスに適用されます。

a. ドロップダウン リストからインターフェイスを選択します。

すでにポリシーが適用されているインターフェイスを選択する場合は、ウィザードの指示に従って、新しいサービス ポリシー ルールをそのインターフェイスに追加できます。

b. 新しいサービス ポリシーの場合は、[Policy Name] フィールドに名前を入力します。

c. (オプション)[Description] フィールドに説明を入力します。

[Global - applies to all interfaces]。 このオプションでは、サービス ポリシーがすべてのインターフェイスにグローバルに適用されます。デフォルト アプリケーション インスペクションのサービス ポリシー ルールを含むグローバル ポリシーは、デフォルトで存在します。詳細については、「デフォルト設定」を参照してください。ウィザードを使用してルールをグローバル ポリシーに追加できます。

ステップ 4 [Next] をクリックします。

[Add Management Service Policy Rule Wizard - Traffic Classification Criteria] ダイアログボックスが表示されます。

ステップ 5 次のオプションのいずれかをクリックして、ポリシーのアクションを適用するトラフィックを指定します。

[Create a new traffic class]。 [Create a new traffic class] フィールドにトラフィック クラス名を入力し、説明(オプション)を入力します。

基準のいずれかを使用してトラフィックを特定します。

[Source and Destination IP Address (uses ACL)] :このクラスは拡張アクセスリストで指定されているトラフィックを照合します。セキュリティ アプライアンスがトランスペアレント ファイアウォール モードで動作している場合は、EtherType アクセスリストを使用できます。


) このタイプの新しいトラフィック クラスを作成する場合は、最初にアクセス コントロール エントリ(ACE)を 1 つだけ指定できます。ルールを追加した後は、同じインターフェイスまたはグローバル ポリシーに新しいルールを追加し、それから [Traffic Classification] ダイアログボックス(以下を参照)で [Add rule to existing traffic class] を指定することによって、ACE を追加できます。


[TCP or UDP Destination Port] :1 つのポートまたは連続する一定範囲のポートを照合します。


ヒント 複数の非連続ポートを使用するアプリケーションの場合は、[Source and Destination IP Address (uses ACL)] を使用して各ポートを照合します。


[Add rule to existing traffic class]。 すでに同じインターフェイスにサービス ポリシー ルールを指定している場合、またはグローバル サービス ポリシーを追加する場合は、このオプションによって既存のアクセスリストに ACE を追加できます。このインターフェイスのサービス ポリシー ルールで [Source and Destination IP Address (uses ACL)] オプションを選択した場合は、事前に作成したすべてのアクセスリストに ACE を追加できます。このトラフィック クラスでは、複数の ACE を追加する場合であっても、1 セットのルール アクションしか指定できません。この手順全体を繰り返すことによって、複数の ACE を同じトラフィック クラスに追加できます。ACE の順序の変更方法については、「サービス ポリシー ルールの順序の管理」を参照してください。

[Use an existing traffic class]。 別のインターフェイスのルールで使用されるトラフィック クラスを作成した場合は、そのトラフィック クラス定義をこのルールで再使用できます。1 つのルールのトラフィック クラスを変更すると、その変更は同じトラフィック クラスを使用するすべてのルールに継承されます。コンフィギュレーションに CLI で入力した class-map コマンドが含まれている場合は、それらのトラフィック クラス名も使用できます(ただし、そのトラフィック クラスの定義を表示するには、そのルールを作成する必要があります)。

ステップ 6 [Next] をクリックします。

ステップ 7 次に表示されるダイアログボックスは、選択したトラフィック照合基準に応じて異なります。

[Source and Destination Address]:このダイアログボックスでは、送信元アドレスと宛先アドレスを設定できます。

a. [Match] または [Do Not Match] をクリックします。

[Match] オプションでは、アドレスが一致するトラフィックにアクションを適用する場合のルールを作成します。[Do Not Match] オプションでは、トラフィックを指定したアクションの適用から免除します。たとえば、10.1.1.25 を除いて、10.1.1.0/24 のトラフィックすべてを照合し、そのトラフィックに接続制限を適用するとします。この場合は、2 つのルール([Match] オプションを使用した 10.1.1.0/24 に対するルールおよび [Do Not Match] オプションを使用した 10.1.1.25 に対するルール)を作成します。必ず、Do Not Match ルールが Match ルールの上になるように配置してください。順序を逆にすると、10.1.1.25 が最初に Match ルールを照合することになります。

b. [Source] フィールドで、送信元 IP アドレスを入力するか、 [...] ボタンをクリックして ASDM にすでに定義されている IP アドレスを選択します。

プレフィクス/長さ表記(10.1.1.0/24 など)を使用してアドレスとサブネット マスクを指定します。マスクを使用せずに IP アドレスを入力すると、そのアドレスは最後が 0 であってもホスト アドレスと見なされます。

任意の送信元アドレスを指定するには、 any を入力します。

アドレスが複数ある場合はカンマで区切ります。

c. [Destination] フィールドで、宛先 IP アドレスを入力するか、 [...] ボタンをクリックして ASDM にすでに定義されている IP アドレスを選択します。

プレフィクス/長さ表記(10.1.1.0/24 など)を使用してアドレスとサブネット マスクを指定します。マスクを使用せずに IP アドレスを入力すると、そのアドレスは最後が 0 であってもホスト アドレスと見なされます。

任意の宛先アドレスを指定するには、 any を入力します。

アドレスが複数ある場合はカンマで区切ります。

d. [Service] フィールドで、宛先サービスの IP サービス名または番号を入力するか、 [...] ボタンをクリックしてサービスを選択します。

TCP または UDP のポート番号、あるいは ICMP サービス番号を指定する場合は、 プロトコル / ポート を入力します。たとえば、TCP/8080 と入力します。

デフォルトでは、サービスは IP です。

サービスが複数ある場合はカンマで区切ります。

e. (オプション)[Description] フィールドに説明を入力します。

f. (オプション)TCP または UDP の送信元サービスを指定するには、 [More Options] 領域をクリックして開き、[Source Service] フィールドに TCP サービスまたは UDP サービスを入力します。

宛先サービスと送信元サービスは同じである必要があります。[Destination Service] フィールドをコピーし、[Source Service] フィールドに貼り付けます。

g. (オプション)ルールを非アクティブにするには、 [More Options] 領域をクリックして開き、 [Enable Rule] をオフにします。

この設定は、ルールを削除せずに無効にしたい場合に便利です。

h. (オプション)ルールの時間範囲を指定するには、 [More Options] 領域をクリックして開き、[Time Range] ドロップダウン リストから時間範囲を選択します。

新しい時間範囲を追加するには、 [...] ボタンをクリックします。詳細については、「時間範囲の設定」を参照してください。

この設定は、事前に設定した時間にだけルールをアクティブにする場合に便利です。

[Destination Port]: [TCP] または [UDP] をクリックします。

[Service] フィールドに、ポート番号または名前を入力するか、または [...] をクリックして ASDM で定義済みのサービスを選択します。

ステップ 8 [Next] をクリックします。

「Add Management Service Policy Rule - Rule Actions」 ダイアログボックスが表示されます。

ステップ 9 RADIUS アカウンティング インスペクションを設定するには、「RADIUS Accounting Map」 ドロップダウン リストからインスペクション マップを選択するか、または 「Configure」 をクリックしてマップを追加します。

詳細については、「RADIUS アカウンティング フィールドの説明」を参照してください。

ステップ 10 最大接続数を設定するには、[Maximum Connections] 領域で次の値を 1 つ以上入力します。

[TCP & UDP Connections] :トラフィック クラスのすべてのクライアントで同時に接続される TCP および UDP 接続の最大数を 65,536 までの範囲で指定します。どちらのプロトコルともデフォルトは 0 で、接続可能な最大許容数に設定されています。

[Embryonic Connections] :ホストごとの初期接続の最大数を 65,536 までの範囲で指定します。初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。この制限により、TCP 代行受信機能をイネーブルにします。デフォルトは 0 で、最大初期接続数であることを示します。TCP 代行受信により、TCP SYN パケットによってインターフェイスをフラッディングさせる DoS 攻撃から内部システムを保護します。初期接続の制限値を超えると、クライアントからセキュリティ レベルのより高いサーバへ送信される TCP SYN パケットが TCP 代行受信機能によって代行受信されます。SYN クッキーは、検証プロセス中に使用され、ドロップされる有効なトラフィックの量を最小限に抑えるのに役立ちます。したがって、到達不能なホストからの接続試行がサーバに到達することはありません。

ステップ 11 [Finish] をクリックします。


 

サービス ポリシー ルールの順序の管理

インターフェイス上またはグローバル ポリシー内でのサービス ポリシー ルールの順序は、トラフィックへのアクションの適用方法に影響します。パケットがサービス ポリシーのルールを照合する方法については、次のガイドラインを参照してください。

パケットは、機能タイプごとにサービス ポリシーのルールを 1 つだけ照合できます。

パケットが、1 つの機能タイプのアクションを含むルールを照合する場合、セキュリティ アプライアンスは、その機能タイプを含む、後続のどのルールに対してもそのパケットを照合しません。

ただし、そのパケットが異なる機能タイプの後続のルールを照合する場合、セキュリティ アプライアンスは後続ルールのアクションも適用します。

たとえば、パケットが接続制限のルールを照合し、アプリケーション インスペクション のルールも照合する場合は、両方のアクションが適用されます。

パケットがアプリケーション インスペクションのルールを照合し、アプリケーション インスペクションを含む別のルールを照合する場合、2 番目のルール アクションは適用されません。

ルールに複数の ACE が組み込まれたアクセスリストが含まれる場合は、ACE の順序もパケット フローに影響します。FWSM は、リストのエントリの順序に従って、各 ACE に対してパケットをテストします。一致が検出されると、それ以後の ACE はチェックされません。たとえば、すべてのトラフィックを明示的に許可するアクセスリストの先頭に ACE を作成すると、それ以外の文はチェックされません。

ルールまたはルール内での ACE の順序を変更するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Service Policy Rules] ペインで、上または下に動かすルールまたは ACE を選択します。

ステップ 2 [Move Up] または [Move Down] カーソルをクリックします(図 23-1 を参照してください)。

図 23-1 ACE の移動

 


) 複数のサービス ポリシーで使用されるアクセスリストで ACE を並べ替えると、その変更はすべてのサービス ポリシーで継承されます。


ステップ 3 ルールまたは ACE を並べ替えたら、 [Apply] をクリックします。


 

RADIUS アカウンティング フィールドの説明

この項では、RADIUS アカウンティング フィールドの一覧を示します。説明する内容は次のとおりです。

「[Select RADIUS Accounting Map]」

「[Add RADIUS Accounting Policy Map]」

「RADIUS インスペクション マップ」

「RADIUS インスペクション マップ(ホスト)」

「RADIUS インスペクション マップ(その他)」

[Select RADIUS Accounting Map]

[Select RADIUS Accounting Map] ダイアログボックスでは、定義済み RADIUS アカウンティング マップを選択するか、新しい RADIUS アカウンティング マップを定義できます。

フィールド

[Add]:新しい RADIUS アカウンティング マップを追加できます。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

[Add RADIUS Accounting Policy Map]

[Add RADIUS Accounting Policy Map] ダイアログボックスでは、RADIUS アカウンティング マップの基本設定を追加できます。

フィールド

[Name]:事前に設定されている RADIUS アカウンティング マップの名前を入力します。

[Description]:RADIUS アカウンティング マップの説明を 100 文字以内で入力します。

[Host Parameters] タブ:

[Host IP Address]:RADIUS メッセージの送信元となるホストの IP アドレスを指定します。

[Key: (optional)]:キーを指定します。

[Add]:[Host] テーブルにホスト エントリを追加します。

[Delete]:[Host] テーブルからホスト エントリを削除します。

[Other Parameters] タブ:

[Attribute Number]:「Accounting Start」 を受信したときに確認するアトリビュート番号を指定します。

[Add]:[Attribute] テーブルにエントリを追加します。

[Delete]:[Attribute] テーブルからエントリを削除します。

[Send response to the originator of the RADIUS message]:RADIUS メッセージの送信元ホストにメッセージを返信します。

[Enforce timeout]:ユーザのタイムアウトをイネーブルにします。

[Users Timeout]:データベース内のユーザのタイムアウト(hh:mm:ss)。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

RADIUS インスペクション マップ

[RADIUS] ペインでは、事前に設定された RADIUS アプリケーション インスペクション マップを表示できます。RADIUS マップでは、RADIUS アプリケーション インスペクションで使用されるコンフィギュレーションのデフォルト値を変更できます。RADIUS マップを使用すると、過剰請求攻撃を防御できます。

フィールド

[Name]:インスペクション マップの名前を 40 文字以内で入力します。

[Description]:インスペクション マップの説明を 200 文字以内で入力します。

[RADIUS Inspect Maps]:定義されている RADIUS インスペクション マップを一覧表示するテーブルです。定義されているインスペクション マップは、[Inspect Maps] ツリーの [RADIUS] エリアにも表示されます。

[Add]:新規の RADIUS インスペクション マップを、[RADIUS Inspect Maps] テーブルの定義リストと [Inspect Maps] ツリーの [RADIUS] エリアに追加します。RADIUS マップを新たに設定するには、[Inspect Maps] ツリーで [RADIUS] エントリを選択します。

[Delete]:[RADIUS Inspect Maps] テーブルで選択したアプリケーション インスペクション マップを削除します。[Inspect Maps] ツリーの [RADIUS] エリアからも削除されます。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

RADIUS インスペクション マップ(ホスト)

[RADIUS Inspect Map Host Parameters] ペインでは、インスペクション マップのホスト パラメータを設定できます。

フィールド

[Name]:事前に設定されている RADIUS アカウンティング マップの名前を示します。

[Description]:RADIUS アカウンティング マップの説明を 200 文字以内で入力します。

[Host Parameters]:ホストのパラメータを設定できます。

[Host IP Address]:RADIUS メッセージの送信元となるホストの IP アドレスを指定します。

[Key: (optional)]:キーを指定します。

[Add]:[Host] テーブルにホスト エントリを追加します。

[Delete]:[Host] テーブルからホスト エントリを削除します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

RADIUS インスペクション マップ(その他)

[RADIUS Inspect Map Other Parameters] ペインでは、インスペクション マップに追加するパラメータを設定できます。

フィールド

[Name]:事前に設定されている RADIUS アカウンティング マップの名前を示します。

[Description]:RADIUS アカウンティング マップの説明を 200 文字以内で入力します。

[Other Parameters]:追加するパラメータを設定できます。

[Send response to the originator of the RADIUS message]:RADIUS メッセージの送信元ホストにメッセージを返信します。

[Enforce timeout]:ユーザのタイムアウトをイネーブルにします。

[Users Timeout]:データベース内のユーザのタイムアウト(hh:mm:ss)。

[Enable detection of GPRS accounting]:GPRS アカウンティングの検出をイネーブルにします。このオプションは、GTP/GPRS ライセンスがイネーブルの場合にだけ使用できます。

[Validate Attribute]:アトリビュート情報です。

[Attribute Number]:「Accounting Start」 を受信したときに確認するアトリビュート番号を指定します。

[Add]:[Attribute] テーブルにエントリを追加します。

[Delete]:[Attribute] テーブルからエントリを削除します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

モジュラー ポリシー フレームワークの機能履歴

表 23-4 に、この機能のリリース履歴を一覧表示します。

 

表 23-4 サービス ポリシーの機能履歴

機能名
リリース
機能情報

モジュラー ポリシー フレームワーク

7.0(1)

モジュラー ポリシー フレームワークが導入されました。

RADIUS アカウンティング トラフィックで
使用する管理クラス マップ

7.2(1)

RADIUS アカウンティング トラフィックで使用する管理クラス マップが導入されました。 class-map type management 、および inspect radius-accounting というコマンドが導入されました。

インスペクション クラス マップ

7.2(1)

インスペクション クラス マップが導入されました。 class-map type inspect というコマンドが導入されました。

正規表現とポリシー マップ

7.2(1)

インスペクション ポリシー マップで使用する正規表現とポリシー マップが導入されました。 class-map type regex regex match regex というコマンドが導入されました。

インスペクション ポリシー マップでの match any の導入

8.0(2)

インスペクション ポリシー マップで使用するための match any キーワードが導入されました。トラフィックは、クラス マップと照合するために、1 つ以上の基準と照合できます。以前は、 match all だけが使用できました。

管理トラフィックでの最大接続数と初期接続数

8.0(2)

レイヤ 3/4 管理クラス マップ、セキュリティへのアプライアンス管理トラフィックに対して、 set connection コマンドが使用できるようになりました。 conn-max embryonic-conn-max キーワードだけを使用できます。