ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
アクセス ルールの設定
アクセス ルールの設定
発行日;2012/09/25 | 英語版ドキュメント(2012/06/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

アクセス ルールの設定

アクセス ルールに関する情報

ルールに関する一般情報

暗黙的な許可

同じインターフェイスでのアクセス ルールと EtherType ルールの使用

ルールの順序

暗黙的な拒否

コメントの使用

着信ルールと発信ルール

グローバル アクセス ルールの使用

アクセス ルールに関する情報

リターン トラフィックに対するアクセス ルール

アクセス ルールを使用したトランスペアレント ファイアウォールを介したブロードキャストとマルチキャスト トラフィックの許可

管理アクセス ルール

EtherType ルールに関する情報

サポートされている EtherType

リターン トラフィックに対するアクセス ルール

MPLS の許可

アクセス ルールのライセンス要件

ガイドラインと制限事項

デフォルト設定

アクセス ルールの設定

アクセス ルールの追加

EtherType ルールの追加(トランスペアレント モードのみ)

Add/Edit EtherType Rule

管理アクセス ルールの設定

高度なアクセス ルール設定

アクセス ルールの拡張機能

HTTP Redirect の設定

Edit HTTP/HTTPS Settings

アクセス ルールの機能履歴

アクセス ルールの設定

この章では、ASA を経由するネットワーク アクセスを、アクセス ルールを使用して制御する方法について説明します。次の項目を取り上げます。

「アクセス ルールに関する情報」

「アクセス ルールのライセンス要件」

「ガイドラインと制限事項」

「デフォルト設定」

「アクセス ルールの設定」

「アクセス ルールの機能履歴」


) ルーテッド ファイアウォール モードの場合もトランスペアレント ファイアウォール モードの場合も、ネットワーク アクセスを制御するには、アクセス ルールを使用します。トランスペアレント モードでは、アクセス ルール(レイヤ 3 トラフィックの場合)と EtherType ルール(レイヤ 2 トラフィックの場合)の両方を使用できます。

また、ASA インターフェイスに管理アクセスの目的でアクセスするには、ホスト IP アドレスを許可するアクセス ルールは必要ありません。必要なのは、「管理アクセスの設定」の説明に従って管理アクセスを設定することだけです。


アクセス ルールに関する情報

アクセス ポリシーは、1 つ以上のアクセス ルール、インターフェイスごとのまたはすべてのインターフェイスに対するグローバルな EtherType ルール、またはその両方から構成されます。

ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モードの場合は、アクセス ルールを使用して IP トラフィックを制御できます。アクセス ルールでは、プロトコル、送信元および宛先の IP アドレスまたはネットワーク、および任意で送信元ポートと宛先ポートに基づいてトラフィックが許可または拒否されます。


) 任意のトラフィックに対してASAでの受信を許可するには、インバウンド アクセス ルールをインターフェイスに適用する必要があります。インバウンド アクセス ルールを適用しないと、そのインターフェイスで受信されるトラフィックはすべて、ASAにより自動的にドロップされます。


トランスペアレント モードの場合に限り、EtherType ルールによって非 IP トラフィックのネットワーク アクセスが制御されます。EtherType ルールでは、EtherType に基づいてトラフィックが許可または拒否されます。

この項は、次の内容で構成されています。

「ルールに関する一般情報」

「アクセス ルールに関する情報」

「EtherType ルールに関する情報」

ルールに関する一般情報

この項では、アクセス ルールと EtherType ルールの両方について説明します。次の項目を取り上げます。

「暗黙的な許可」

「同じインターフェイスでのアクセス ルールと EtherType ルールの使用」

「ルールの順序」

「暗黙的な拒否」

「コメントの使用」

「着信ルールと発信ルール」

「グローバル アクセス ルールの使用」

暗黙的な許可

ルーテッド モードの場合、デフォルトでは次のタイプのトラフィックが許可されます。

高セキュリティ インターフェイスから低セキュリティ インターフェイスへの IPv4 トラフィック。

高セキュリティ インターフェイスから低セキュリティ インターフェイスへの IPv6 トラフィック。


) グローバル アクセス ルールを設定している場合は、これらのデフォルトが適用されないことがあります。


トランスペアレント モードの場合、デフォルトでは次のタイプのトラフィックが許可されます。

高セキュリティ インターフェイスから低セキュリティ インターフェイスへの IPv4 トラフィック。

高セキュリティ インターフェイスから低セキュリティ インターフェイスへの IPv6 トラフィック。

双方向の Address Resolution Protocol(ARP; アドレス解決プロトコル)。


) ARP トラフィックは ARP インスペクションによって制御できますが、アクセス ルールによって制御することはできません。


双方向の Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)。

他のトラフィックには、アクセス ルール(IPv4)、IPv6 アクセス ルール(IPv6)、または EtherType ルール(非 IPv4/IPv6)のいずれかを使用する必要があります。

同じインターフェイスでのアクセス ルールと EtherType ルールの使用

アクセス ルールと EtherType ルールの両方を各方向のインターフェイスに適用できます。

ルールの順序

ルールの順序が重要です。ASAにおいて、パケットを転送するかドロップするかの判断が行われる場合、ASAでは、パケットと各ルールとの照合が、それらのルールの並び順に従って行われます。いずれかのルールに合致した場合、それ以降のルールはチェックされません。たとえば、先頭に作成したアクセス ルールが、インターフェイスに対してすべてのトラフィックを明示的に許可するものであれば、それ以降のルールはチェックされません。

ルールは、非アクティブにすることで、ディセーブルにできます。

暗黙的な拒否

暗黙的な拒否ルールでは、ユーザが明示的に許可しない限り、トラフィックは通過できないことが指定されます。たとえば、特定のアドレスを除くすべてのユーザに、ASA を通過してネットワークにアクセスすることを許可する場合、特定のアドレスを拒否したうえで、他のすべてのユーザを許可します。

設定にグローバル アクセス ルールが含まれない場合、暗黙的な拒否ルールはインターフェイス アクセス ルールの最後に適用されます。インターフェイス アクセス ルールとグローバル アクセス ルールの両方を設定している場合、暗黙的な拒否(any any)はインターフェイス ベースのアクセス ルールの最後には配置されません。暗黙的な拒否(any any)は、グローバル アクセス ルールの最後に実行されます。論理的には、最初にインターフェイス ベースのアクセス ルールのエントリ、次にグローバル アクセス ルールのエントリ、そしてグローバル アクセス ルールの最後にある暗黙的な拒否(any any)という順序で処理されます。

たとえば、設定にインターフェイス ベースのアクセス ルールとグローバル アクセス ルールが含まれる場合、次の処理論理が適用されます。

1. インターフェイス アクセス コントロール ルール

2. グローバル アクセス コントロール ルール

3. デフォルトのグローバル アクセス コントロール ルール(deny any any)

インターフェイス ベースのアクセス ルールのみが設定されている場合は、次の処理論理が適用されます。

1. インターフェイス アクセス コントロール ルール

2. デフォルトのインターフェイス アクセス コントロール ルール(deny any any)

EtherType ルールの場合、暗黙的な拒否は、IPv4 または IPv6 トラフィックや ARP には適用されません。たとえば、EtherType 8037(IPX 用の EtherType)を許可する場合、以前にアクセス ルールを使用して許可した(あるいはセキュリティの高いインターフェイスから低いインターフェイスへの送信を暗黙的に許可した)IP トラフィックはいずれも、リストの末尾にある暗黙的な拒否条件によりブロックされることはありません。ただし、EtherType ルールによりすべてのトラフィックを 明示的に 拒否すれば、IP トラフィックおよび ARP トラフィックは拒否されます。

コメントの使用

[ASDM access rule] ウィンドウでは、ルールの隣に表示されるコメントは、そのルールの前に設定されたものです。つまり、CLI から設定したコメントを [ASDM access rule] ウィンドウで表示する場合、CLI でコメントの後に設定されたルールの隣にそのコメントが表示されます。ただし、ASDM のパケット トレーサは、CLI の照合ルール後に設定されたコメントに一致します。

着信ルールと発信ルール

ASAでは、次の 2 つのタイプのアクセス リストをサポートします。

着信:着信アクセス リストは、インターフェイスに入ってくるトラフィックに適用されます。

発信:発信アクセス リストは、インターフェイスから出ていくトラフィックに適用されます。


) 「着信」および「発信」という用語は、インターフェイス上の ASA に入るトラフィックまたはインターフェイス上の ASA を出るトラフィックのどちらにインターフェイス上のアクセス リストが適用されているかを意味します。これらの用語は、一般に着信と呼ばれる、セキュリティの低いインターフェイスから高いインターフェイスへのトラフィックの移動や、一般に発信と呼ばれる、セキュリティの高いインターフェイスから低いインターフェイスへのトラフィックの移動を意味しません。


着信アクセス リストを利用して、特定のインターフェイスにアクセス リストをバインドしたり、すべてのインターフェイスにグローバル ルールを適用したりすることができます。グローバル ルールの詳細については、「グローバル アクセス ルールの使用」を参照してください。

アクセス リストは、たとえば内部ネットワークの特定のホストにのみ外部ネットワークの Web サーバへのアクセスを許可する場合に便利です。複数の着信アクセス リストを作成してアクセスを制限するよりも、発信アクセス リストを 1 つ作成して、指定したホストだけが許可されるようにすることができます (図 37-1 を参照)。発信アクセス リストは、他のホストが外部ネットワークに到達することを禁止します。

図 37-1 発信アクセス リスト

 

グローバル アクセス ルールの使用

グローバル アクセス ルールの利用により、ルールの適用を必要とするインターフェイスを指定せずに、入トラフィックにグローバル ルールを適用できます。グローバル アクセス ルールを使用する利点としては、次のものがあります。

競合アプライアンスからASAに移行するときに、各インターフェイスにインターフェイス固有のポリシーを適用する代わりに、グローバル アクセス ルール ポリシーを維持することができます。

グローバル アクセス コントロール ポリシーは、インターフェイスごとに複製されないため、メモリ容量を節約できます。

グローバル アクセス ルールにより、セキュリティ ポリシーを柔軟に定義することができます。送信元および宛先の IP アドレスに一致する限り、パケットを受信するインターフェイスを指定する必要がありません。

グローバル アクセス ルールでは、インターフェイス固有のアクセス ルールと同じ mtrie および stride ツリーを使用するので、グローバル ルールのスケーラビリティとパフォーマンスはインターフェイス固有のルールと同一になります。

インターフェイス アクセス ルールと一緒にグローバル アクセス ルールを設定できます。この場合、特定のインターフェイス アクセス ルールが常に汎用のグローバル アクセス ルールよりも前に処理されます。

グローバル アクセス ルールにおける暗黙的な拒否の詳細については、「暗黙的な拒否」を参照してください。

リターン トラフィックに対するアクセス ルール

ルーテッド モードとトランスペアレント モードの両方に対する TCP 接続および UDP 接続については、リターン トラフィックを許可するためのアクセス ルールは必要ありません。ASAは、確立された双方向接続のリターン トラフィックをすべて許可します。

ただし、ICMP などのコネクションレス型プロトコルについては、ASAは単方向セッションを確立します。したがって、(アクセス リストを送信元インターフェイスと宛先インターフェイスに適用することで)アクセス ルールで双方向の ICMP を許可するか、ICMP インスペクション エンジンをイネーブルにする必要があります。ICMP インスペクション エンジンは、ICMP セッションを双方向接続として扱います。

アクセス ルールを使用したトランスペアレント ファイアウォールを介したブロードキャストとマルチキャスト トラフィックの許可

ルーテッド ファイアウォール モードでは、ブロードキャストとマルチキャスト トラフィックは、アクセス ルールで許可されている場合でもブロックされます。これには、サポートされていないダイナミック ルーティング プロトコルおよび DHCP(DHCP リレーを設定している場合を除く)が含まれます。トランスペアレント ファイアウォール モードでは、すべての IP トラフィックの通過を許可できます。この機能は、たとえば、ダイナミック ルーティングが許可されていないマルチ コンテキスト モードで特に有用です。


) これらの特殊なタイプのトラフィックはコネクションレス型であるため、拡張アクセス リストを両方のインターフェイスに適用して、リターン トラフィックの通過を許可する必要があります。


表 37-1 に、トランスペアレント ファイアウォールの通過を許可できる一般的なトラフィック タイプを示します。

 

表 37-1 トランスペアレント ファイアウォールの特殊トラフィック

トラフィック タイプ
プロトコルまたはポート
注釈

DHCP

UDP ポート 67 および 68

DHCP サーバがイネーブルの場合、ASAは DHCP パケットの通過を拒否します。

EIGRP

プロトコル 88

--

OSPF

プロトコル 89

--

マルチキャスト ストリーム

UDP ポートは、アプリケーションによって異なります。

マルチキャスト ストリームは、常に Class D アドレス(224.0.0.0 to 239.x.x.x)に送信されます。

RIP(v1 または v2)

UDP ポート 520

--

管理アクセス ルール

ASA宛ての管理トラフィックを制御するアクセス ルールを設定できます。to-the-box 管理トラフィックに関するアクセス コントロール ルール(HTTP、Telnet、および SSH など)は、管理アクセス ルールよりも優先されます。したがって、このような許可された管理トラフィックは、to-the-box アクセス リストで明示的に拒否されている場合でも着信が許可されます。

EtherType ルールに関する情報

この項では、EtherType ルールについて説明します。次の項目を取り上げます。

「サポートされている EtherType」

「リターン トラフィックに対するアクセス ルール」

「MPLS の許可」

サポートされている EtherType

EtherType ルールは、16 ビットの 16 進数値で指定されるすべての EtherType を制御します。

EtherType ルールでは、Ethernet V2 フレームがサポートされています。

802.3 形式フレームでは、type フィールドではなく length フィールドが使用されるため、ルールでは処理されません。

デフォルトで許可される BPDU は唯一の例外です。BPDU は、SNAP でカプセル化されており、ASAは特別に BPDU を処理するように設計されています。

ASAでは、トランク ポート(シスコ専用)BPDU が受信されます。トランク BPDU のペイロードには VLAN 情報が含まれるので、BPDU を許可すると、ASA により、発信 VLAN を使用してペイロードが修正されます。

リターン トラフィックに対するアクセス ルール

EtherType はコネクションレス型であるため、トラフィックを両方向に通過させる必要がある場合は、両方のインターフェイスにルールを適用する必要があります。

MPLS の許可

MPLS を許可する場合は、Label Distribution Protocol(LDP; ラベル配布プロトコル)および Tag Distribution Protocol(TDP; タグ配布プロトコル)の TCP 接続がASAを経由して確立されるようにしてください。これには、ASA インターフェイス上の IP アドレスを LDP セッションまたは TDP セッションの router-id として使用するように、ASAに接続されている両方の MPLS ルータを設定します (LDP および TDP を使用することにより、MPLS ルータは、転送するパケットに使用するラベル(アドレス)をネゴシエートできるようになります)。

Cisco IOS ルータで、使用プロトコル(LDP または TDP)に適したコマンドを入力します。 interface は、ASAに接続されているインターフェイスです。

hostname(config)# mpls ldp router-id interface force
 

または

hostname(config)# tag-switching tdp router-id interface force
 

アクセス ルールのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

その他のガイドラインと制限事項

管理アクセス用のASA インターフェイスにアクセスする場合は、ホスト IP アドレスを許可するアクセス リストは不要です。必要なのは、「管理アクセスの設定」の手順に従って管理アクセスを設定することだけです。

[ASDM access rule] ウィンドウでは、ルールの隣に表示されるコメントは、そのルールの前に設定されたものです。つまり、CLI から設定したコメントを [ASDM access rule] ウィンドウで表示する場合、CLI でコメントの後に設定されたルールの隣にそのコメントが表示されます。ただし、ASDM のパケット トレーサは、CLI の照合ルール後に設定されたコメントに一致します。

デフォルト設定

「暗黙的な許可」を参照してください。

アクセス ルールの設定

この項は、次の内容で構成されています。

「アクセス ルールの追加」

「EtherType ルールの追加(トランスペアレント モードのみ)」

「管理アクセス ルールの設定」

「高度なアクセス ルール設定」

「HTTP Redirect の設定」

アクセス ルールの追加

アクセス ルールを適用するには、次の手順を実行します。

手順の詳細


ステップ 1 [Configuration] > [Firewall] > [Access Rules] の順に選択します。

ステップ 2 [Add] をクリックし、次のいずれかのオプションを選択します。

Add Access Rule

Add IPv6 Access Rule

該当するアクセス ルールのダイアログボックスが表示されます。

ステップ 3 [Interface] ドロップダウン リストから、ルールを適用するインターフェイスを選択します。

管理インターフェイスは管理専用であり、アクセス ルールの設定には使用できません。

ステップ 4 [Action] フィールドで、目的のアクションに対応するオプション ボタンをクリックします。オプション ボタンは次のいずれかです。

[Permit]:条件に合致した場合にアクセスが許可されます。

[Deny]:条件に合致した場合にアクセスが拒否されます。

ステップ 5 指定した宛先に対してトラフィックを許可または拒否する送信元のネットワーク、インターフェイス IP、またはアドレスに対応する IP アドレスを、[Source] フィールドに入力します。

インターフェイスで IPv6 をイネーブルにする方法については、「IPv6 アドレッシングの設定」を参照してください。

ステップ 6 [User] フィールドに、アクセス リスト対するユーザ名またはグループを入力します。ユーザ名は、 domain_NetBIOS_name \ user _ name という形式で入力します。グループ名は、 domain _ NetBIOS_name \ group _ name という形式で入力します。

送信元 IP アドレスではなくユーザ名とユーザ グループ名に基づいてアクセス ルールを設定できます。ASA は、IP アドレスと Windows Active Directory のログイン情報の関連付けに基づいてセキュリティ ポリシーを適用し、ネットワーク IP アドレスではなくマッピングされたユーザ名を使用してイベントを報告します。

詳細については、「アイデンティティに基づくアクセス ルールの設定」を参照してください。

ステップ 7 ユーザ名とユーザ グループを参照するには、省略符号([...])ボタンをクリックします。[Browse User] ダイアログボックスが表示されます。詳細については、「アクセス ルールへのユーザおよびグループの追加」を参照してください。

ステップ 8 [Source] フィールドで指定した送信元からのトラフィックを許可または拒否する宛先のネットワーク、インターフェイス IP、またはアドレスに対応する IP アドレスを、[Destination] フィールドに入力します。

ステップ 9 サービス タイプを選択します。

ステップ 10 (任意)トラフィックをどのような場合に許可しどのような場合に拒否するかを指定するアクセス ルールに時間範囲を追加する場合は、[More Options] をクリックしてリストを展開します。

a. [Time Range] ドロップダウン リストの右側にある参照ボタンをクリックします。

[Browse Time Range] ダイアログボックスが表示されます。

b. [Add] をクリックします。

[Add Time Range] ダイアログボックスが表示されます。

c. [Time Range Name] フィールドに、時間範囲の名前を入力します。ただし、スペースは使用できません。

d. [Start Time] および [End Time] で、開始時間および終了時間を選択します。

e. 毎日または隔週でその時間範囲がアクティブになるようにするなど、時間範囲に関する追加制限を指定する場合は、[Add] をクリックし、指定する内容を選択します。

f. [OK] をクリックすると、時間範囲について任意で指定した内容が適用されます。

ステップ 11 (任意)[Description] フィールドに、アクセス ルールの内容説明を入力します。

この説明は、複数行に渡って入力できますが、各行に入力できるのは最大で 100 文字までです。

ステップ 12 (任意)デフォルトでは、ロギングがイネーブルになっています。ロギングをディセーブルにするには、チェックボックスをオフにします。また、ドロップダウン リストからロギング レベルを変更することもできます。デフォルトのロギング レベルは [Informational] です。

ステップ 13 [OK] をクリックします。新規に設定したアクセス ルールとともにアクセス ルールが表示されます。

ステップ 14 [Apply] をクリックし、アクセス ルールを設定に保存します。


) アクセス ルールを追加した後は、[IPv4 and IPv6]、[IPv4 Only]、[IPv6 Only] のうち、いずれかのオプション ボタンをクリックして、メイン ペインに表示するアクセス ルールをフィルタリングできます。


アクセス ルールを選択して [Edit] または [Delete] をクリックすると、特定のアクセス ルールを編集または削除できます。


 

EtherType ルールの追加(トランスペアレント モードのみ)

[EtherType Rules] ウィンドウに、パケット EtherType に基づくアクセス ルールが表示されます。EtherType ルールは、トランスペアレント モードで動作する ASA において、非 IP 関連トラフィック ポリシーを設定する場合に使用されます。トランスペアレント モードでは、拡張アクセス ルールと EtherType アクセス ルールの両方をインターフェイスに適用できます。EtherType ルールは、拡張アクセス ルールに優先されます。

EtherType ルールの詳細については、「アクセス ルールに関する情報」を参照してください。

EtherType ルールを追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Management Access] > [EtherType Rules] を選択します。

ステップ 2 [Add] をクリックします。

[Add EtherType rules] ウィンドウが表示されます。

ステップ 3 (任意)特定の位置に新しい EtherType ルールを追加する場合は、まず既存のルールをいずれか 1 つ選択します。そのうえで [Insert...] をクリックすると、選択したルールの前に目的の EtherType ルールが追加されます。選択したルールの後に EtherType ルールを追加する場合は、[Insert After...] をクリックします。

ステップ 4 [Interface] ドロップダウン リストから、ルールを適用するインターフェイスを選択します。

管理インターフェイスは管理専用であり、アクセス ルールの設定には使用できません。

ステップ 5 [Action] フィールドで、目的のアクションに対応するオプション ボタンをクリックします。オプション ボタンは次のいずれかです。

[Permit]:条件に合致した場合にアクセスが許可されます。

[Deny]:条件に合致した場合にアクセスが拒否されます。

ステップ 6 [EtherType] フィールドで、ドロップダウン リストから、EtherType 値を選択します。

ステップ 7 (任意)[Description] フィールドに、ルールの内容説明を入力します。

この説明は、複数行に渡って入力できますが、各行に入力できるのは最大で 100 文字までです。

ステップ 8 (任意)このルールを適用するトラフィックの方向を指定する場合は、[More Options] をクリックしてリストを展開し、次のいずれかのオプション ボタンをクリックして、方向を指定します。

[In]:着信トラフィック

[Out]:発信トラフィック

ステップ 9 [OK] をクリックします。


 

フィールド

[Add]:新しい EtherType ルールを追加します。ドロップダウン リストから追加するルールのタイプを選択します。

[Edit]:EtherType ルールを編集します。

[Delete]:EtherType ルールを削除します。

[Move Up]:ルールを上に移動します。ルールは、このテーブルに表示される順序で評価されるため、重複したルールがある場合は、それらを表示する順序に注意が必要です。

[Move Down]:ルールを下に移動します。

[Cut]:ルールを切り取ります。

[Copy]:ルールのパラメータをコピーします。[Paste] ボタンを使用すれば、それと同じパラメータを持つルールを新たに作成できます。

[Paste]:ルールからコピーしたパラメータまたは切り取ったパラメータがあらかじめ入力された状態の [Add/Edit Rule] ダイアログボックスが表示されます。このダイアログボックスでは、それらのパラメータを修正して新しいルールを作成し、それをテーブルに追加できます。[Paste] ボタンをクリックすると、選択したルールのすぐ前にそのルールが追加されます。[Paste] ドロップダウン リストから [Paste After] 項目を選択すると、選択したルールのすぐ後にそのルールが追加されます。

次に、[EtherType Rules] テーブルのカラムについて説明します。カラムの内容を編集する場合は、テーブル セルをダブルクリックします。カラム ヘッダーをダブルクリックすると、選択されたカラムをソート キーとして、テーブルが英数字の昇順でソートされます。ルールを右クリックすると、上記のボタンで選択できるすべてオプションのほか、[Insert] 項目および [Insert After] 項目が表示されます。[Insert] 項目を指定すると、選択したルールのすぐ前に新しいルールが挿入され、[Insert After] 項目を指定すると、選択したルールのすぐ後に新しいルールが挿入されます。

[No]:ルールの評価順序を示します。

[Action]:このルールのアクションを許可または拒否します。

[Ethervalue]:EtherType を識別するための EtherType 値。IPX、BPDU、MPLS-Unicast、MPLS-Multicast、または 0x600(1536)~ 0xffff の 16 ビットの 16 進数値です。

[Interface]:ルールが適用されるインターフェイスを示します。

[Direction Applied]:このルールの方向。着信トラフィックまたは発信トラフィックです。

[Description]:ルールを説明するオプションのテキストです。

Add/Edit EtherType Rule

[Configuration] > [Security Policy] > [Ethertype Rules] > [Add/Edit Ethertype Rules]

[Add/Edit EtherType Rules] ダイアログボックスを使用して、EtherType ルールを追加または編集できます。

EtherType ルールの詳細については、「アクセス ルールに関する情報」を参照してください。

フィールド

[Action]:このルールのアクションを許可または拒否します。

[Interface]:このルールのインターフェイスの名前です。

[Apply rule to]:このルールの方向。着信トラフィックまたは発信トラフィックです。

[Ethervalue]:EtherType を識別するための EtherType 値。BPDU、IPX、MPLS-Unicast、MPLS-Multicast、any(0x600 ~ 0xffff の任意の値)、または 0x600(1536)~ 0xffff の 16 ビットの 16 進数値です。

[Description]:ルールを説明するオプションのテキストです。

管理アクセス ルールの設定

特定のピア(または複数のピア)からセキュリティ アプライアンスへの to-the-box 管理トラフィックに関するアクセス コントロールをサポートするインターフェイス ACL を設定できます。このタイプの ACL は、IKE DoS(サービス拒絶)攻撃をブロックする場合などに有用です

to-the-box トラフィックのパケットを許可または拒否する拡張 ACL を設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Management Access] > [Management Access Rules] を選択します。

ステップ 2 [Add] をクリックし、次のいずれかの処理内容を選択します。

Add Management Access Rule

Add IPv6 Management Access Rule

選択したアクションに対応する [Add Management Access Rule] ダイアログボックスが表示されます。

ステップ 3 [Interface] ドロップダウン リストから、ルールを適用するインターフェイスを選択します。

管理インターフェイスは管理専用であり、アクセス ルールの設定には使用できません。

ステップ 4 [Action] フィールドで、次のいずれかのオプション ボタンをクリックし、アクションを選択します。

[Permit]:条件に合致した場合にアクセスが許可されます。

[Deny]:条件に合致した場合にアクセスが拒否されます。

ステップ 5 トラフィックを許可または拒否する送信元のネットワーク オブジェクト グループ、インターフェイス IP、またはアドレスに対応する IP アドレスを、[Source] フィールドに入力します。


) IPv6 アドレスを使用して拡張 ACL を設定する場合は、少なくとも 1 つのインターフェイスで IPv6 を事前にイネーブルにしておく必要があります。インターフェイスで IPv6 をイネーブルにする方法については、「IPv6 アドレッシングの設定」を参照してください。


ステップ 6 [Service] フィールドで、ルールに指定するトラフィックのサービス名を入力するか、省略符号([...])ボタンをクリックしてサービスを参照します。

ステップ 7 (任意)[Description] フィールドに、追加する管理アクセス ルールについての内容説明を入力します。

この説明は、複数行に渡って入力できますが、各行に入力できるのは最大で 100 文字までです。

ステップ 8 (任意)デフォルトでは、ロギングがイネーブルになっています。ロギングをディセーブルにするには、チェックボックスをオフにします。また、ドロップダウン リストからロギング レベルを変更することもできます。デフォルトのロギング レベルは [Informational] です。

ステップ 9 (任意)トラフィックをどのような場合に許可しどのような場合に拒否するかを指定するアクセス ルールに、送信元サービス(TCP、UDP、および TCP-UDP に限る)および時間範囲を追加する場合は、[More Options] をクリックしてリストを展開します。この管理アクセス ルールをオフにする場合は、[Enable Rule] をオフにします。

[Source Service] フィールドに送信元サービスを入力するか、省略符号([...])ボタンをクリックしてサービスを参照します。

宛先サービスと送信元サービスは同じである必要があります。[Destination Service] フィールドをコピーし、[Source Service] フィールドに貼り付けます。

ロギング間隔を設定する場合(ただし、ロギングをイネーブルにし、デフォルト以外の設定を選択した場合)は、[Logging Interval] フィールドに値を入力します。

追加するルールに対して事前定義済みの時間範囲を選択する場合は、[Time Range] ドロップダウン リストから時間範囲を選択するか、省略符号([...])ボタンをクリックして時間範囲を参照します。曜日を指定したり、時間範囲が繰り返してアクティブになる間隔を週単位で指定したりなど、追加の時間範囲の制限を指定することもできます。

ステップ 10 [OK] をクリックします。ダイアログボックスが閉じ、管理アクセス ルールが追加されます。

ステップ 11 [Apply] をクリックします。ルールが実行コンフィギュレーションに保存されます。


) 管理アクセス ルールを作成したら、ペインの下部にあるオプション ボタンをクリックして、表示内容の順序を変更できるほか、IPv4 ルールと IPv6 ルールをどちらも表示するのか、IPv4 ルールだけ表示するのか、IPv6 ルールだけ表示するのかを指定できます。



 

高度なアクセス ルール設定

[Advanced Access Rule Configuration] ダイアログボックスでは、グローバル アクセス ルールのロギング オプションを設定できます。

ロギングがイネーブルで、パケットがアクセス ルールに合致した場合、ASA では、フロー エントリが作成され、指定された時間内に受信したパケット数の追跡が行われます。ASA は、最初のヒットがあったとき、および各間隔の終わりにシステム ログ メッセージを生成して、その間隔におけるヒットの合計数を示し、最後のヒットの時間を報告します。


) [ASA] ペインの [last rule hit] 行にヒット数の情報が表示されます。ルールのヒット数とタイムスタンプを表示するには、[Configuration] > [Firewall] > [Advanced] > [ACL Manager] の順に選択し、マウスのポインタを [ACL Manager] テーブルのセルに重ねます。


各間隔の終わりに、ASAはヒット数を 0 にリセットします。追跡期間中、アクセス ルールに合致するパケットがなかった場合は、ASAによりそのフロー エントリは削除されます。

どの時点でも大量のフローが同時に存在する可能性があります。メモリおよび CPU のリソースが無制限に消費されないようにするため、ASAでは同時拒否フロー数に制限が設定されます。この制限は、拒否フローに対してだけ設定されます(許可フローには設定されません)。これは、拒否フローが攻撃を示している可能性があるためです。制限に達した場合、ASAでは既存の拒否フローが期限切れになるまで新しい拒否フローは作成されません。DoS 攻撃(サービス拒絶攻撃)が開始された場合、ASAではごく短時間のうちに大量の拒否フローが作成される可能性があります。拒否フロー数を制限することで、メモリおよび CPU のリソースが無制限に消費されるのを防ぐことができます。

前提条件

これらの設定は、アクセス ルールの新しいロギング メカニズムをイネーブルにしている場合にのみ適用されます。

フィールド

[Maximum Deny-flows]:ASAによりロギングが停止される前に許可される拒否フローの最大数を、1 からとデフォルト値までの間で指定します。デフォルトは 4096 です。

[Alert Interval]:拒否フローが最大数に達したことを示すシステム ログ メッセージ(番号 106101)が生成される時間間隔(1 ~ 3600 秒)を指定します。デフォルトは 300 秒です。

[Per User Override table]:ユーザごとの上書き機能の状態を指定します。インバウンド アクセス ルールに対してユーザごとの上書き機能をイネーブルになると、RADIUS サーバによって提供されるアクセス ルールは、そのインターフェイス上で設定されたアクセス ルールに置き換えられます。ユーザごとの上書き機能がディセーブルになると、RADIUS サーバによって提供されるアクセス ルールは、そのインターフェイス上で設定されたアクセス ルールと結合されます。インターフェイスにインバウンド アクセス ルールが設定されていない場合、ユーザごとの上書きは設定できません。

[Object Group Search Setting]:サービス ルールの保存に使用されるメモリの量が削減されますが、一致するアクセス ルールの検索にかかる時間が増大します。

アクセス ルールの拡張機能

セキュリティ アプライアンスを使用すると、特定のオブジェクト グループを含むアクセス ルールの拡張機能をオフにできます。拡張機能がオフになっている場合、検索にはオブジェクト グループ検索が使用されます。これにより、拡張されたルールの保存に必要なメモリ量は削減されますが、検索のパフォーマンスが低下します。メモリ使用率に対するパフォーマンスのトレードオフによって、検索をオンおよびオフにできます。

特定のオブジェクト グループを含むアクセス ルールの拡張機能をオフにするオプションを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Access Rules] の順に選択します。

ステップ 2 [Advanced] ボタンをクリックします。

ステップ 3 [Enable Object Group Search Algorithm] チェックボックスをオンにします。

HTTP Redirect の設定

HTTP Redirect テーブルには、ASAの各インターフェイス、そのインターフェイスが HTTP 接続を HTTPS にリダイレクトするように設定されているかどうか、および接続のリダイレクトに使用するポート番号が表示されます。


) HTTP をリダイレクトするには、インターフェイスに HTTP を許可するアクセス リストが必要です。アクセス リストがないと、インターフェイスは HTTP ポートをリッスンできません。


[Configuration] > [Device Management] > [Advanced] > [HTTP Redirect] > [Edit] ペインを使用して、インターフェイスの HTTP リダイレクト設定または HTTP 接続のリダイレクト元のポートを変更できます。テーブルでインターフェイスを選択し、[Edit] をクリックします。インターフェイスをダブルクリックすることもできます。[Edit HTTP/HTTPS Settings] ダイアログボックスが表示されます。

Edit HTTP/HTTPS Settings

[Edit HTTP/HTTPS Settings] ダイアログボックスでは、インターフェイスの HTTP リダイレクト設定またはポート番号を変更できます。

フィールド

[Edit HTTP/HTTPS Settings] ダイアログボックスには次のフィールドがあります。

[Interface]:ASAが HTTP 要求を HTTPS にリダイレクトする(またはしない)インターフェイスを示します。

[Redirect HTTP to HTTPS]:HTTP 要求を HTTPS にリダイレクトするにはオンにし、リダイレクトしない場合はオフにします。

[HTTP Port]:インターフェイスが HTTP 接続のリダイレクトに使用するポートを指定します 。デフォルトでは、インターフェイスはポート 80 をリッスンします。


 

アクセス ルールの詳細については、「アクセス ルールに関する情報」を参照してください。

アクセス ルールの機能履歴

表 37-2 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。ASDM は、複数のプラットフォーム リリースとの下位互換性があるため、サポートが追加された特定の ASDM リリースは一覧には含まれていません。

 

表 37-2 アクセス ルールの機能履歴

機能名
プラットフォーム リリース
機能情報

インターフェイス アクセス ルール

7.0(1)

ASA を経由するネットワーク アクセスを、アクセス リストを使用して制御します。

次の画面が導入されました。[Configuration] > [Firewall] > [Access Rules]。

グローバル アクセス ルール

8.3(1)

グローバル アクセス ルールが導入されました。

次の画面が変更されました。[Configuration] > [Firewall] > [Access Rules]。