ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
オブジェクトの設定
オブジェクトの設定
発行日;2012/09/25 | 英語版ドキュメント(2012/06/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

オブジェクトの設定

ネットワーク オブジェクトとグループの設定

ネットワーク オブジェクトの概要

ネットワーク オブジェクトの設定

ネットワーク オブジェクト グループの設定

ルールでのネットワーク オブジェクトおよびグループの使用

ネットワーク オブジェクトまたはグループの使用状況の表示

サービス オブジェクトとサービス グループの設定

サービス オブジェクトとサービス グループに関する情報

サービス オブジェクトの追加および編集

サービス オブジェクトの追加

サービス オブジェクトの編集

サービス グループの追加および編集

サービス グループの追加

サービス グループの編集

Browse Service Groups

オブジェクトとグループのライセンス要件

オブジェクトとグループのガイドラインと制限事項

正規表現の設定

正規表現の作成

正規表現の構築

正規表現のテスト

正規表現クラス マップの作成

時間範囲の設定

Add/Edit Time Range

アクセス ルールへの時間範囲の追加

Add/Edit Recurring Time Range

オブジェクトの設定

オブジェクトとは、コンフィギュレーションで使用するための再利用可能なコンポーネントです。オブジェクトは、インライン IP アドレスの代わりにASA コンフィギュレーションで定義し、使用できます。オブジェクトを使用すると、コンフィギュレーションのメンテナンスが容易になります。これは、一箇所でオブジェクトを変更し、このオブジェクトを参照している他のすべての場所に反映できるからです。オブジェクトを使用しなければ、1 回だけ変更するのではなく、必要に応じて各機能のパラメータを変更する必要があります。たとえば、ネットワーク オブジェクトによって IP アドレスおよびサブネット マスクが定義されており、このアドレスを変更する場合、この IP アドレスを参照する各機能ではなく、オブジェクト定義でアドレスを変更することだけが必要です。

この章では、オブジェクトを設定する方法について説明します。説明する項目は次のとおりです。

「ネットワーク オブジェクトとグループの設定」

「サービス オブジェクトとサービス グループの設定」

「正規表現の設定」

「時間範囲の設定」


) その他のオブジェクトについては、次の項を参照してください。

クラス マップ:「アプリケーション レイヤ プロトコル インスペクションの準備」

インスペクション マップ:「アプリケーション レイヤ プロトコル インスペクションの準備」

TCP マップ:「接続の設定」


 

ネットワーク オブジェクトとグループの設定

この項では、ネットワーク オブジェクトおよびグループの使用方法について説明します。次の項目を取り上げます。

「ネットワーク オブジェクトの概要」

「ネットワーク オブジェクトの設定」

「ネットワーク オブジェクト グループの設定」

「ルールでのネットワーク オブジェクトおよびグループの使用」

「ネットワーク オブジェクトまたはグループの使用状況の表示」

ネットワーク オブジェクトの概要

ネットワーク オブジェクトには、ホスト、ネットワーク IP アドレス、または IP アドレスの範囲を含めることができます。また、このオブジェクトは、NAT ルールをイネーブルにすることができます。(詳細については、「ネットワーク オブジェクト NAT の設定(ASA 8.3 以降)」を参照してください)。

ネットワーク オブジェクトを使用すると、ホストおよびネットワークの IP アドレスを事前に定義して、以降の設定を効率よく行えます。たとえば、アクセス ルールや AAA ルールなどのセキュリティ ポリシーを設定すると、手動で入力する代わりに事前定義済みのアドレスを選択できます。さらに、オブジェクトの定義を変更した場合、変更内容は自動的にそのオブジェクトを使用するすべてのルールに継承されます。

ネットワーク オブジェクトは手動で追加できます。または、ASDM にアクセス ルールや AAA ルールのような既存のコンフィギュレーションからオブジェクトを自動的に作成させることもできます。このような派生したオブジェクトのいずれかを編集した場合、後でそのオブジェクトを使用していたルールを削除してもその編集内容は残ります。編集しない場合、リフレッシュすると、派生したオブジェクトには現在のコンフィギュレーションが反映されるだけです。

ネットワーク オブジェクト グループは、複数のホストとネットワークが一緒に含まれているグループです。ネットワーク オブジェクト グループには、他のネットワーク オブジェクト グループを含めることもできます。このため、ネットワーク オブジェクト グループを送信元アドレスまたは宛先アドレスとしてアクセス ルールに指定できます。

ルールの設定時に、[ASDM] ウィンドウには [Addresses] サイド ペインがあり、使用可能なネットワーク オブジェクトとネットワーク オブジェクト グループが表示されます。[Addresses] ペインで直接オブジェクトを追加、編集、または削除できます。また、追加するネットワーク オブジェクトおよびグループを [Addresses] ペインから選択したアクセス ルールの送信元または宛先にドラッグできます。

また、ネットワーク オブジェクト グループ内に名前付きオブジェクトを作成できます。名前付きオブジェクトを使用すると、1 箇所のオブジェクトを変更し、このオブジェクトを参照している他のすべての場所に変更を反映することができます。それ以外の場合、オブジェクトの変更には、コンフィギュレーション内のすべての IP アドレスとマスクのペアを変更する手動プロセスが必要となります。さらに、名前付きオブジェクトを 1 つ以上のオブジェクト グループに追加して(または 1 つ以上のオブジェクト グループから切り離して)、オブジェクトが複製されず、効率的に使用されるようにすることができます。オブジェクトは再利用でき、他のモジュールで参照されている場合は削除できません。

ネットワーク オブジェクトの設定

ネットワーク オブジェクトの詳細については、「ネットワーク オブジェクトの概要」を参照してください。

ネットワーク オブジェクトを追加または編集するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Objects] > [Network Objects/Group] を選択します。

ステップ 2 [Add] をクリックし、[Network Object] を選択して新しいオブジェクトを追加するか、編集する既存のオブジェクトを選択して、[Edit] をクリックします。

ルール ウィンドウの [Addresses] サイド ペインで、またはルールの追加時に、ネットワーク オブジェクトを追加または編集できます。

リスト内のオブジェクトを検索するには、[Filter] フィールドに名前または IP アドレスを入力して [Filter] をクリックします。ワイルドカード文字としてアスタリスク(*)や疑問符(?)を使用できます。

[Add/Edit Network Object] ダイアログボックスが表示されます。

ステップ 3 次の値を入力します。

[Name]:オブジェクト名。a ~ z、A ~ Z、0 ~ 9、ピリオド、ハイフン、カンマ、またはアンダースコアの文字を使用してください。名前は、64 文字以下である必要があります。

[Type]:[Network]、[Host]、または [Range]。

[IP Address]:ホスト アドレスまたはネットワーク アドレスの、IPv4 アドレスまたは IPv6 アドレス。このフィールドに IPv6 アドレスのコロン(:)を入力すると、[Netmask] フィールドが [Prefix Length] に変わります。オブジェクト タイプとして [Range] を選択した場合は、[IP Address] フィールドは、開始アドレスと終了アドレスを入力できるように変更されます。

[Netmask or Prefix Length]:IP アドレスが IPv4 アドレスである場合、サブネット マスクを入力します。IP アドレスが IPv6 アドレスである場合、プレフィックスを入力します。(このフィールドは、オブジェクト タイプに [Host] を入力した場合は使用できません)。

[Description]:(任意)ネットワーク オブジェクトの説明(最大 200 文字)。


) ネットワーク オブジェクトへの NAT ルールの追加の詳細については、「ネットワーク オブジェクト NAT の設定(ASA 8.3 以降)」を参照してください。


ステップ 4 [OK] をクリックします。

ステップ 5 [Apply] をクリックして、設定を保存します

これでルールの作成時にこのネットワーク オブジェクトを使用できます。オブジェクトを編集した場合、変更内容は自動的にそのオブジェクトを使用するすべてのルールに継承されます。


 


) 使用中のネットワーク オブジェクトは削除できません。


ネットワーク オブジェクト グループの設定

ネットワーク オブジェクト グループの詳細については、「ネットワーク オブジェクトの概要」を参照してください。

ネットワーク オブジェクトまたはネットワーク オブジェクト グループを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Objects] > [Network Objects/Groups] を選択します。

ステップ 2 [Add] > [Network Object Group] をクリックして、新規オブジェクトまたは新規オブジェクト グループを追加します。

ルール ウィンドウの [Addresses] サイド ペインで、またはルールの追加時に、ネットワーク オブジェクト グループを追加または編集できます。

リスト内のオブジェクトを検索するには、[Filter] フィールドに名前または IP アドレスを入力して [Filter] をクリックします。ワイルドカード文字としてアスタリスク(*)や疑問符(?)を使用できます。

[Add Network Object Group] ダイアログボックスが表示されます。

ステップ 3 [Group Name] フィールドで、グループ名を入力します。

a ~ z、A ~ Z、0 ~ 9、ピリオド、ハイフン、カンマ、またはアンダースコアの文字を使用してください。名前は、64 文字以下である必要があります。

ステップ 4 (任意)[Description] フィールドで、説明を長さ 200 文字以内で入力します。

ステップ 5 既存のオブジェクトまたはグループを新しいグループに追加したり(グループのネストが可能)、新しいアドレスを作成してグループに追加したりできます。

既存のネットワーク オブジェクトまたはグループを新しいグループに追加するには、[Existing Network Objects/Groups] ペインでオブジェクトをダブルクリックします。

または、オブジェクトを選択して、[Add] をクリックします。オブジェクトまたはグループが右側の [Members in Group] ペインに追加されます。

新しいアドレスを追加するには、[Create New Network Object Member] 領域で値を入力し、[Add] をクリックします。

オブジェクトまたはグループが右側の [Members in Group] ペインに追加されます。このアドレスはネットワーク オブジェクト リストにも追加されます。

オブジェクトを削除するには、[Members in Group] ペインでオブジェクトをダブルクリックするか、またはオブジェクトを選択して [Remove] をクリックします。

ステップ 6 すべてのメンバ オブジェクトを追加し終えたら、[OK] をクリックします。

これでルールの作成時にこのネットワーク オブジェクト グループを使用できます。編集したオブジェクト グループの場合、変更内容は自動的にそのグループを使用するすべてのルールに継承されます。


 


) 使用中のネットワーク オブジェクト グループは削除できません。


ルールでのネットワーク オブジェクトおよびグループの使用

ルールの作成時には、手動で IP アドレスを入力したり、ルールで使用するネットワーク オブジェクトまたはグループを参照したりできます。ルールでネットワーク オブジェクトまたはグループを使用するには、次の手順を実行します。


ステップ 1 ルール ダイアログボックスで、送信元または宛先のアドレス フィールドの横にある [...] 参照ボタンをクリックします。

[Browse Source Address] または [Browse Destination Address] ダイアログボックスが表示されます。

ステップ 2 新しいネットワーク オブジェクトまたはグループを追加したり、既存のネットワーク オブジェクトまたはグループをダブルクリックして選択したりできます。

リスト内のオブジェクトを検索するには、[Filter] フィールドに名前または IP アドレスを入力して [Filter] をクリックします。ワイルドカード文字としてアスタリスク(*)や疑問符(?)を使用できます。

新しいネットワーク オブジェクトを追加する方法について、「ネットワーク オブジェクトの設定」を参照してください。

新しいネットワーク オブジェクト グループを追加する方法については、「ネットワーク オブジェクト グループの設定」を参照してください。

新しいオブジェクトを追加するか、既存のオブジェクトをダブルクリックすると、そのオブジェクトが [Selected Source/Destination] フィールドに表示されます。アクセス ルールの場合、このフィールドに複数のオブジェクトをカンマで区切って入力できます。

ステップ 3 [OK] をクリックします。

ルール ダイアログボックスに戻ります。


 

ネットワーク オブジェクトまたはグループの使用状況の表示

ネットワーク オブジェクトまたはグループを使用しているルールを表示するには、[Configuration] > [Firewall] > [Objects] > [Network Objects/Group] ペインで拡大鏡の形をした [Find] アイコンをクリックします。

[Usages] ダイアログボックスが表示され、現在ネットワーク オブジェクトまたはグループを使用しているすべてのルールが一覧表示されます。このダイアログボックスには、そのオブジェクトが含まれるネットワーク オブジェクト グループもすべて一覧表示されます。

サービス オブジェクトとサービス グループの設定

この項では、サービス オブジェクトおよびサービス グループの設定方法について説明します。次の項目を取り上げます。

「サービス オブジェクトとサービス グループに関する情報」

「サービス オブジェクトの追加および編集」

「サービス グループの追加および編集」

「Browse Service Groups」

サービス オブジェクトとサービス グループに関する情報

サービス オブジェクトには、プロトコル、オプションの(送信元/宛先)ポート、および関連する説明が含まれています。サービス オブジェクトは、コンフィギュレーションのインライン IP アドレスの代わりに ASA コンフィギュレーションで作成および使用します。特定の IP アドレスとマスクのペアまたはプロトコル(および任意でポート)を使用してオブジェクトを定義でき、このオブジェクトを複数のコンフィギュレーションで使用することができます。

オブジェクトを使用する利点は、その IP アドレスまたはプロトコルを変更するたびに実行コンフィギュレーションを検索してすべての場所でルールを変更する必要がないことです。オブジェクトを 1 回変更すると、そのオブジェクトを使用するすべてのルールにこの変更が自動的に適用されます。

サービス オブジェクトは、NAT コンフィギュレーション、アクセス リスト、およびオブジェクト グループで使用できます。

名前付きサービス グループに複数のサービスを関連付けることができます。1 つのグループに任意のタイプのプロトコルとサービスを指定できます。または、次のタイプごとにサービス グループを作成できます。

TCP ポート

UDP ポート

ICMP タイプ

IP プロトコル

複数のサービス グループをネストすれば、「グループのグループ」を構成できます。「グループのグループ」は 1 つのグループとして使用できます。

サービス グループは、ポート、ICMP タイプ、プロトコルを識別する必要がある多くのコンフィギュレーションで使用できます。NAT ルールやセキュリティ ポリシー ルールの設定時に、[ASDM] ウィンドウの右側の [Services] ペインにもサービス グループやその他の使用可能なグローバル オブジェクトが表示されます。この [Services] ペインから直接オブジェクトを追加、編集、削除できます。

また、サービス オブジェクト グループ内に名前付きオブジェクトを作成できます。名前付きオブジェクトを使用すると、1 箇所のオブジェクトを変更し、このオブジェクトを参照している他のすべての場所に変更を反映することができます。それ以外の場合、オブジェクトの変更には、コンフィギュレーション内のすべての IP アドレスとマスクのペアを変更する手動プロセスが必要となります。さらに、名前付きオブジェクトを 1 つ以上のオブジェクト グループに追加して(または 1 つ以上のオブジェクト グループから切り離して)、オブジェクトが複製されず、効率的に使用されるようにすることができます。(名前付きサービス オブジェクトは、サービス オブジェクト グループのみに追加したり、切り離したりすることができます。他のタイプのオブジェクト グループではできません)。オブジェクトは再利用でき、他のモジュールで参照されている場合は削除できません。

サービス オブジェクトまたはサービス グループを削除すると、すベてのサービス グループおよび使用されていたアクセス ルールから削除されます。

サービス グループがアクセス ルールで使用されている場合は、アクセス ルールを削除するとき以外はサービス グループを削除しないでください。アクセス ルールで使用されているサービス グループを空にはできません。

サービス オブジェクトの追加または編集の詳細については、「サービス オブジェクトの追加および編集」を参照してください。

サービス グループの追加または編集の詳細については、「サービス グループの追加および編集」を参照してください。

サービス オブジェクトの追加および編集

この項は、次の内容で構成されています。

「サービス オブジェクトの追加」

「サービス オブジェクトの編集」

サービス オブジェクトの追加

サービス オブジェクトを追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Objects] > [Service Object/Group] ペインで、[Add] をクリックします。

ステップ 2 ドロップダウン リストから [Service Object] を選択します。

ステップ 3 [Name] フィールドに、サービス オブジェクトの名前を入力します。a ~ z、A ~ Z、0 ~ 9、ピリオド、ハイフン、カンマ、またはアンダースコアの文字を使用してください。名前は、64 文字以下である必要があります。

ステップ 4 [Service Type] フィールドから必要なタイプ [tcp]、[udp]、[icmp]、または [icmp6 protocol] を選択します。

ステップ 5 (任意)サービス タイプとして tcp または udp を選択した場合は、次を入力します。

Destination Port/Range

[Source Port/Range]:プロトコルの送信元ポート/範囲を一覧表示します。

[Description]:サービス グループの説明を一覧表示します。

ステップ 6 (任意)サービス タイプとして icmp または icmp6 を選択した場合は、次を入力します。

[ICMP Type]:サービス グループの ICMP タイプを一覧表示します。

[Description]:サービス グループの説明を一覧表示します。

ステップ 7 (任意)サービス タイプとしてプロトコルを選択した場合は、次を入力します。

[Protocol]:サービス グループ プロトコルを一覧表示します。

[Description]:サービス グループの説明を一覧表示します。

ステップ 8 [OK] をクリックしてコンフィギュレーションを保存します。


 

サービス オブジェクトの編集

サービス オブジェクトを編集するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Objects] > [Service Object/Group] ペインに移動します。

ステップ 2 [Name] カラムで既存のサービス オブジェクトを選択します。

ステップ 3 [Edit] をクリックします。

サービス オブジェクトのタイプに応じて編集を選択すると、適切な [Edit] ウィンドウが表示されます。

[Service Object]:[Edit Service Object] ウィンドウが表示されます。

[Service Group]:[Edit Service Group] が表示されます。

[Protocol Group]:[Edit Protocol Group] ウィンドウが表示されます。

ステップ 4 必要な変更内容を入力します。

ステップ 5 [OK] をクリックしてコンフィギュレーションを保存します。


) [Delete] をクリックしてサービス オブジェクトを削除することもできます。



 

サービス グループの追加および編集

名前付きサービス グループに複数のサービス オブジェクトを関連付けることができます。1 つのグループに任意のタイプのプロトコルとサービスを指定できます。または、次のタイプごとにサービス グループを作成できます。

TCP ポート

UDP ポート

ICMP タイプ

IP プロトコル

複数のサービス グループをネストすれば、「グループのグループ」を構成できます。「グループのグループ」は 1 つのグループとして使用できます。

この項は、次の内容で構成されています。

「サービス グループの追加」

「サービス グループの編集」

サービス グループの追加

サービス オブジェクトまたはサービス グループを追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Objects] > [Service Object/Group] ペインで、[Add] をクリックします。

ステップ 2 ドロップダウン リストから [Service Group] を選択します。

[Add Service Group] ダイアログボックスが表示されます。

ステップ 3 [Name] フィールドに、新しいサービス グループの名前を入力します。最大 64 文字の名前を設定できます。この名前は、すべてのオブジェクト グループに対して一意である必要があります。サービス グループの名前にネットワーク オブジェクト グループで使用した名前は使用できません。

ステップ 4 [Description] フィールドで、サービス グループの説明を長さ 200 文字以内で入力します。

ステップ 5 デフォルトでは、既存のサービス/サービス グループからサービス グループを追加できます。[Name] フィールドからグループを選択し、[Add] をクリックしてグループにサービスを追加します。

任意で新しいメンバを作成できます。

[Create new member] オプション ボタンをクリックします。

ドロップダウン リストからサービス タイプを選択します。

宛先ポート/範囲を入力します。

送信元ポート/範囲を入力します。

ステップ 6 [Add] をクリックして、新しいサービスを追加します。

ステップ 7 [OK] をクリックしてコンフィギュレーションを保存します。


 

サービス グループの編集

サービス グループを編集するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Objects] > [Service Object/Group] ペインに移動します。

ステップ 2 編集する既存のサービス グループを選択し、[Edit] をクリックします。

サービス オブジェクトのタイプに応じて編集を選択すると、適切なウィンドウが表示されます。

[Service Object]:[Edit Service Object] ウィンドウが表示されます。

[Service Group]:[Edit Service Group] が表示されます。

[Protocol Group]:[Edit Protocol Group] ウィンドウが表示されます。

ステップ 3 必要な変更内容を入力します。

ステップ 4 [OK] をクリックしてコンフィギュレーションを保存します。


) [Delete] をクリックしてサービス グループを削除することもできます。サービス グループを削除すると、使用されているすべてのサービス グループから削除されます。サービス グループがアクセス ルールで使用されている場合は、削除しないでください。アクセス ルールで使用されているサービス グループを空にはできません。



 

[Configuration] > [Global Objects] > [Service Groups] > [Add/Edit Service Group] ダイアログボックスでは、サービス グループにサービスを割り当てることができます。このダイアログボックス名は追加するサービス グループのタイプと同じ名前になります。たとえば、追加するサービス グループが TCP の場合、[Add/Edit TCP Service Group] ダイアログボックスが表示されます。

フィールド

[Group Name]:グループ名を 64 文字以内で入力します。名前は、すべてのオブジェクト グループで一意であることが必要です。サービス グループの名前にネットワーク オブジェクト グループで使用した名前は使用できません。

[Description]:サービス グループの説明を 200 文字以内で入力します。

[Existing Service/Service Group]:サービス グループに追加可能な項目を示します。定義済みのサービス グループから選択するか、よく使用されるポート、タイプ、プロトコルの名前のリストから選択します。

[Service Groups]:このテーブルのタイトルは、追加するサービス グループのタイプによって異なります。定義済みサービス グループが含まれます。

[Predefined]:事前定義済みのポート、タイプ、またはプロトコルを一覧表示します。

[Create new member]:新しいサービス グループ メンバを作成できます。

[Service Type]:新しいサービス グループ メンバのサービス タイプを選択できます。サービス タイプには、TCP、UDP、TCP-UDP、ICMP、および protocol があります。

[Destination Port/Range]:新しい TCP、UDP、または TCP-UDP サービス グループ メンバの宛先ポートまたは範囲を入力できます。

[Source Port/Range]:新しい TCP、UDP、または TCP-UDP サービス グループ メンバの送信元ポートまたは範囲を入力できます。

[ICMP Type]:新しい ICMP サービス グループ メンバの ICMP タイプを入力できます。

[Protocol]:新しい protocol サービス グループ メンバのプロトコルを入力できます。

[Members in Group]:サービス グループに追加済みのアイテムを示します。

[Add]:選択したアイテムをサービス グループに追加します。

[Remove]:選択したアイテムをサービス グループから削除します。

Browse Service Groups

[Browse Service Groups] ダイアログボックスでは、サービス グループを選択できます。このダイアログボックスはさまざまなコンフィギュレーション画面で使用され、その時のタスクに該当する名前で表示されます。たとえば、[Add/Edit Access Rule] ダイアログボックスから使用した場合、このダイアログボックス名は [Browse Source Port] または [Browse Destination Port] になります。

フィールド

[Add]:サービス グループを追加します。

[Edit]:選択したサービス グループを編集します。

[Delete]:選択したサービス グループを削除します。

[Find]:一致する名前だけを表示するように、表示内容をフィルタリングします。[Find] をクリックすると、Filter フィールドが開きます。もう一度 [Find] をクリックすると、[Filter] フィールドは非表示になります。

[Filter field]:サービス グループの名前を入力します。ワイルドカード文字としてアスタリスク(*)や疑問符(?)を使用できます。

[Filter]:フィルタを実行します。

[Clear]:[Filter] フィールドをクリアします。

[Type]:TCP、UDP、TCP-UDP、ICMP、Protocol など、表示するサービス グループのタイプを選択できます。タイプをすべて表示するには、[All] を選択します。通常、ルールのタイプを設定する場合、使用できるサービス グループのタイプは 1 つだけです。TCP のアクセス ルールに UDP のサービス グループは選択できません。

[Name]:サービス グループ名を示します。アイテムの名前の隣にあるプラス([+])アイコンをクリックすると、アイテムが展開されます。マイナス([-])アイコンをクリックすると、アイテムが折りたたまれます。

オブジェクトとグループのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

オブジェクトとグループのガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートしますが、制限事項があります。(「その他のガイドラインと制限事項」を参照)。

その他のガイドラインと制限事項

オブジェクト グループには、次のガイドラインと制限事項が適用されます。

オブジェクトおよびオブジェクト グループは、同じ名前スペースを共有します。

オブジェクト グループには、固有の名前が必要となります。「Engineering」という名前のネットワーク オブジェクト グループと「Engineering」という名前のサービス オブジェクト グループを作成する場合、少なくとも 1 つのオブジェクト グループ名の最後に識別子(または「タグ」)を追加して、その名前を固有のものにする必要があります。たとえば、「Engineering_admins」と「Engineering_hosts」という名前を使用すると、オブジェクト グループの名前を固有のものにして特定可能にすることができます。

別のコマンドで使用されている場合は、オブジェクト グループを削除したり、オブジェクト グループを空にすることはできません。

ASAは、ネストされた IPv6 オブジェクト グループはサポートしません。したがって、IPv6 エンティティが含まれるオブジェクトを別の IPv6 オブジェクト グループの下でグループ化できません。

 

正規表現の設定

正規表現は、ストリングそのものとしてテキスト ストリングと文字どおりに照合することも、 メタ文字 を使用してテキスト ストリングの複数のバリアントと照合することもできます。正規表現を使用して特定のアプリケーション トラフィックの内容と照合できます。たとえば、HTTP パケット内部の URL 文字列と照合できます。ここでは、正規表現を作成する方法について説明します。次の項目を取り上げます。

「正規表現の作成」

「正規表現の構築」

「正規表現のテスト」

「正規表現クラス マップの作成」

正規表現の作成

正規表現は、ストリングそのものとしてテキスト ストリングと文字どおりに照合することも、 metacharacters を使用してテキスト ストリングの複数のバリアントと照合することもできます。正規表現を使用して特定のアプリケーション トラフィックの内容と照合できます。たとえば、HTTP パケット内部の URL 文字列と照合できます。

ガイドライン

Ctrl キーを押した状態で V キーを押すと、CLI において、疑問符(?)やタブなどの特殊文字をすべてエスケープできます。たとえば、コンフィギュレーションで d?g と入力するには、 d[Ctrl+V]?g とキー入力します。

正規表現をパケットと照合する場合のパフォーマンスへの影響については、コマンド リファレンスの regex コマンドを参照してください。


) 最適化のために、ASAでは、難読化解除された URL が検索されます。難読化解除では、複数のスラッシュ(/)が単一のスラッシュに圧縮されます。「http://」などの、一般的に 2 つのスラッシュが使用されるストリングでは、代わりに「http:/」を検索してください。


表 20-1 は、特殊な意味を持つメタ文字のリストです。

 

表 20-1 regex メタ文字

文字
説明
注釈

.

ドット

任意の単一文字と一致します。たとえば、 d.g は、dog、dag、dtg、およびこれらの文字を含む任意の単語(doggonnit など)に一致します。

( exp )

サブ表現

サブ表現は、文字を周囲の文字から分離して、サブ表現に他のメタ文字を使用できるようにします。たとえば、 d(o|a)g は dog および dag に一致しますが、 do|ag は do および ag に一致します。また、サブ表現を繰り返し限定作用素とともに使用して、繰り返す文字を区別できます。たとえば、 ab(xy){3}z は、abxyxyxyz に一致します。

|

代替

このメタ文字によって区切られている複数の表現のいずれかと一致します。たとえば、 dog|cat は、dog または cat に一致します。

?

疑問符

直前の表現が 0 または 1 個存在することを示す修飾子。たとえば、 lo?se は、lse または lose に一致します。

を入力してから疑問符を入力しないと、ヘルプ機能が呼び出されます。

*

アスタリスク

直前の表現が 0、1、または任意の個数存在することを示す修飾子。たとえば、 lo*se は、lse、lose、loose などに一致します。

+

プラス

直前の表現が少なくとも 1 個存在することを示す修飾子。たとえば、 lo+se は、lose および loose に一致しますが、lse には一致しません。

{ x } または { x ,}

最小繰り返し限定作用素

少なくとも x 回繰り返します。たとえば、 ab(xy){2,}z は、abxyxyz や abxyxyxyz などに一致します。

[ abc ]

文字クラス

カッコ内の任意の文字と一致します。たとえば、 [abc] は、a、b、または c に一致します。

[^ abc ]

否定文字クラス

角カッコに含まれていない単一文字と一致します。たとえば、 [^abc] は、a、b、c 以外の任意の文字に一致します。 [^A-Z] は、大文字のアルファベット文字以外の任意の単一の文字に一致します。

[ a - c ]

文字範囲クラス

範囲内の任意の文字と一致します。 [a-z] は、任意の小文字のアルファベット文字に一致します。文字と範囲を組み合わせて使用することもできます。 [abcq-z] および [a-cq-z] は、a、b、c、q、r、s、t、u、v、w、x、y、z に一致します。

ダッシュ(-)文字は、角カッコ内の最初の文字または最後の文字である場合にのみリテラルとなります( [abc-] [-abc] )。

""

引用符

文字列の末尾または先頭のスペースを保持します。たとえば、 " test" では一致を探すときに先頭のスペースを保持します。

^

キャレット

行の先頭を指定します。

\

エスケープ文字

メタ文字とともに使用すると、リテラル文字と一致します。たとえば、 \[ は左角カッコに一致します。

char

文字

文字がメタ文字でない場合は、リテラル文字と一致します。

\r

復帰

復帰 0x0d と一致します。

\n

改行

改行 0x0a と一致します。

\t

Tab

タブ 0x09 と一致します。

\f

改ページ

フォーム フィード 0x0c と一致します。

\x NN

エスケープされた 16 進数

16 進数(厳密に 2 桁)を使用した ASCII 文字と一致します。

\ NNN

エスケープされた 8 進数

8 進数(厳密に 3 桁)としての ASCII 文字と一致します。たとえば、文字 040 はスペースを表します。

手順の詳細

[Configuration] > [Global Objects] > [Regular Expressions] > [Add/Edit a Regular Expression Fields]

[Name]:正規表現の名前を 40 文字以内で入力します。

[Value]:正規表現を 100 文字以内で入力します。 表 20-1 に示すメタ文字を使用するか、または [Build] をクリックし、 正規表現の構築のダイアログボックスを利用してテキストを手動で入力します。

[Build]: 正規表現の構築のダイアログボックスを利用して正規表現を作成できます。

[Test]:正規表現を適切なサンプル テキストでテストします。

正規表現の構築

[Configuration] > [Global Objects] > [Regular Expressions] > [Add/Edit a Regular Expression] > [Build Regular Expression] ダイアログボックスでは、文字およびメタ文字から正規表現を構築できます。メタ文字の挿入フィールドでは、カッコで囲まれたメタ文字がフィールド名に表示されます。

メタ文字の詳細については、表 20-1を参照してください。

手順の詳細

[Build Snippet]:このエリアで、正規表現テキストの部分式を作成したり、メタ文字を [Regular Expression] フィールドに挿入したりできます。

[Starts at the beginning of the line (^)]:部分式は行頭から開始し、開始場所はメタ文字のカレット(^)で示します。このオプションを使用して作成した部分式は、正規表現の先頭に挿入してください。

[Specify Character String]:テキスト文字列を手動で入力します。

[Character String]:テキスト文字列を入力します。

[Escape Special Characters]:テキスト文字列に入力したメタ文字を文字そのものとして扱う場合、このボックスをオンにすると、メタ文字の前にエスケープ文字であるバックスラッシュ(\)が追加されます。たとえば、「example.com」と入力すると「example\.com」に変換されます。

[Ignore Case]:大文字と小文字を両方とも照合する場合、このチェックボックスをオンにすると、両方を照合するテキストが自動的に追加されます。たとえば、「cats」と入力すると「[cC][aA][tT][sS]」に変換されます。

[Specify Character]:正規表現に挿入するメタ文字を指定します。

[Negate the character]:識別した文字を照合の対象外に指定します。

[Any character (.)]:すべての文字と一致させる、メタ文字のピリオド(.)を挿入します。たとえば、 d.g は、dog、dag、dtg、およびこれらの文字を含む任意の単語(doggonnit など)に一致します。

[Character set]:文字セットを挿入します。テキストをこのセットに含まれるすべての文字と照合します。次のようなセットがあります。

[0-9A-Za-z]

[0-9]

[A-Z]

[a-z]

[aeiou]

[\n\f\r\t](改行、改ページ、復帰、タブを示す)

たとえば、[0-9A-Za-z] の場合、部分式は 0 ~ 9 の数字と A ~ Z の大文字および小文字と照合します。

[Special character]:エスケープが必要な文字 \、?、*、+、|、.、[、(、^ を挿入します。エスケープ文字はバックスラッシュ(\)で、このオプションを選択すると自動的に入力されます。

[Whitespace character]:空白スペースには \n(改行)、\f(改ページ)、\r(復帰)、\t(タブ)があります。

[Three digit octal number]:8 進数を使用する ASCII 文字(3 桁まで)と一致します。たとえば、\040 はスペースを意味します。バックスラッシュ(\)は自動的に入力されます。

[Two digit hexadecimal number]: 16 進数を使用する ASCII 文字(2 桁まで)と一致します。バックスラッシュ(\)は自動的に入力されます。

[Specified character]:任意の 1 文字を入力します。

[Snippet Preview]: 表示専用 。正規表現に入力される部分式を示します。

[Append Snippet]:部分式を正規表現の最後に追加します。

[Append Snippet as Alternate]:部分式をパイプ記号(|)で区切って、正規表現の最後に追加します。区切られた表現の一方と照合します。たとえば、 dog|cat は、dog または cat に一致します。

[Insert Snippet at Cursor]:部分式をカーソル位置に挿入します。

[Regular Expression]:このエリアには、手動で入力して部分式で作成できる正規表現テキストが含まれます。その後、[Regular Expression] フィールドのテキストを選択して、選択部分に数量詞を適用できます。

[Selection Occurrences]:[Regular Expression] フィールドのテキストを選択し、次のいずれかのオプションをクリックしてから [Apply to Selection] をクリックします。たとえば、正規表現「test me」の「me」を選択して [One or more times] を適用すると、この正規表現は「test (me)+」になります。

[Zero or one times (?)]:この記号よりも前の表現が 0 または 1 つあることを示す数量詞です。たとえば、 lo?se は、lse または lose に一致します。

[One or more times (+)]:この記号よりも前の表現が少なくとも 1 つあることを示す数量詞です。たとえば、 lo+se は、lose および loose に一致しますが、lse には一致しません。

[Any number of times (*)]:この記号よりも前の表現が 0、1、またはそれ以上あることを示す数量詞です。たとえば、 lo*se は lse、lose、loose、などと一致します。

[At least]:少なくとも x 回繰り返します。たとえば、 ab(xy){2,}z は abxyxyz、abxyxyxyz などと一致します。

[Exactly]: x 回だけ繰り返します。たとえば、 ab(xy){3}z は、abxyxyxyz に一致します。

[Apply to Selection]:数量詞を選択部分に適用します。

[Test]:正規表現を適切なサンプル テキストでテストします。

正規表現のテスト

[Configuration] > [Global Objects] > [Regular Expressions] > [Add/Edit a Regular Expression] > [Test Regular Expression] ダイアログボックスでは、入力テキストを正規表現でテストし、意図したとおりに一致するかどうかを確認できます。

手順の詳細

[Regular Expression]:テストする正規表現を入力します。デフォルトでは、[Add/Edit Regular Expression] または [Build Regular Expression] ダイアログボックスで入力した正規表現が、このフィールドに入力されます。テスト中に正規表現を変更した場合、[OK] をクリックすると [Add/Edit Regular Expression] または [Build Regular Expression] ダイアログボックスにその変更内容が継承されます。[Cancel] をクリックすると、変更内容は失われます。

[Test String]:正規表現で一致すると想定されたテキスト文字列を入力します。

[Test]:[Text String] のテキスト文字列を [Regular Expression] の正規表現でテストします。

[Test Result]: 表示専用 。テストの成功/失敗を示します。

正規表現クラス マップの作成

正規表現クラス マップで、1 つ以上の正規表現を指定します。正規表現クラス マップを使用して、特定のトラフィックの内容を照合できます。たとえば、HTTP パケット内の URL 文字列の照合が可能です。

手順の詳細

[Configuration] > [Global Objects] > [Regular Expressions] > [Add/Edit Regular Expression Class Map] ダイアログボックスのフィールド:

[Name]:クラス マップの名前を 40 文字以内で入力します。「class-default」という名前は予約されています。すべてのタイプのクラス マップで同じ名前スペースが使用されるため、別のタイプのクラス マップですでに使用されている名前は再度使用できません。

[Description]:説明を 200 文字以内で入力します。

[Available Regular Expressions]:クラス マップに割り当てられていない正規表現を一覧表示します。

[Edit]:選択した正規表現を編集します。

[New]:新しい正規表現を作成します。

[Add]:選択した正規表現をクラス マップに追加します。

[Remove]:選択した正規表現をクラス マップから削除します。

[Configured Match Conditions]:クラス マップの正規表現を照合タイプとともに示します。

[Match Type]:照合タイプを示します。正規表現の場合、常に基準の肯定一致タイプ(等号(=)を表示したアイコン)になります。また、インスペクション クラス マップで否定一致(赤丸を表示したアイコン)の作成もできます。クラス マップに正規表現が複数ある場合は、照合タイプ アイコンの隣にそれぞれ「OR」を表示し、「match any」クラス マップになっていることを示します。正規表現のいずれか 1 つと一致するだけで、トラフィックがクラス マップに一致します。

[Regular Expression]:このクラス マップに含まれている正規表現の名前を一覧表示します。

時間範囲の設定

[Configuration] > [Global Objects] > [Time Ranges] ペインで開始時間と終了時間を定義する再利用コンポーネントを作成し、さまざまなセキュリティ機能に適用します。時間範囲を 1 回だけ定義すれば、後は時間範囲を選択して、スケジューリングが必要なさまざまなオプションに適用できます。

時間範囲機能を使用して時間の範囲を定義し、トラフィックのルールやアクションに使用できます。たとえば、アクセス リストに時間範囲を設定すると、ASAのアクセスを制限できます。

時間範囲は、開始時間、終了時間、およびオプションの繰り返しエントリで構成されます。

アクセス ルールに時間範囲を追加する詳細な手順については、「アクセス ルールへの時間範囲の追加」を参照してください。


) 時間範囲を作成してもデバイスへのアクセスは制限されません。このペインでは時間範囲だけを定義します。


フィールド

[Name]:時間範囲の名前を指定します。

[Start Time]:時間範囲の開始時刻を指定します。

[End Time]:時間範囲の終了を指定します。

[Recurring Entries]:指定した開始時刻と停止時刻の範囲内でアクティブな時間の追加制限を指定します。

Add/Edit Time Range

[Configuration] > [Global Objects] > [Time Ranges] > [Add/Edit Time Range] ダイアログボックスでは、特定の日付と時刻を定義し、アクションに設定できます。たとえば、アクセス リストに時間範囲を設定すると、ASAのアクセスを制限できます。時間範囲はASAのシステム クロックに依存しています。ただし、この機能は、NTP 同期化により最適に動作します。IPv6 ACL に時間範囲を追加する詳細な手順については、「アクセス ルールの設定」を参照してください。

アクセス ルールへの時間範囲の追加

ACL に時間範囲を追加して、トラフィックがインターフェイスを通過することを許可または拒否する時間を指定できます。

ACL に時間範囲を追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [Access Rules] の順に選択します。

ステップ 2 [IPv4 Only]、[the IPv6 Only]、または [IPV6 and IPv6] オプション ボタンをオンにして、アクセス リストのタイプを選択します。

ステップ 3 [Add] をクリックします。[Add Access Rule] ウィンドウが表示されます。

ステップ 4 [Interface] ドロップダウン リストから、目的のインターフェイスを選択します。

管理インターフェイスは管理専用であり、アクセス ルールの設定には使用できません。

ステップ 5 [Permit] または [Deny] をクリックして、アクションを許可または拒否します。

ステップ 6 [Source] フィールドで、IP アドレスを入力します。

ステップ 7 [Destination] フィールドで、IP アドレスを入力します。

ステップ 8 サービス タイプを選択します。

ステップ 9 [More Options] をクリックして、リストを展開します。

ステップ 10 [Time Range] ドロップダウン リストの右側にある参照ボタンをクリックします。

[Browse Time Range] ウィンドウが表示されます。

ステップ 11 [Add] をクリックします。

[Add Time Range] ウィンドウが表示されます。

ステップ 12 [Time Range Name] フィールドに、時間範囲の名前を入力します。ただし、スペースは使用できません。

ステップ 13 次のいずれかを実行して、[Start Time] と [End Time] を選択します。

a. [Start Now] および [Never End] オプション ボタンをオンにして、デフォルト設定を許可します。

b. [Start at] および [End at] オプション ボタンをオンにし、リストから指定した開始時間および停止時間を選択することによって、特定の時間範囲を適用します。

時間範囲には、入力した時刻も含まれます。

ステップ 14 (任意)曜日を指定したり、時間範囲が繰り返してアクティブになる間隔を週単位で指定したりなど、追加の時間範囲の制限を指定するには、[Add] をクリックして、次のいずれかを実行します。

a. [Specify days of the week and times on which this recurring range will be active] をクリックし、リストから日付と時刻を選択してから、[OK] をクリックします。

b. [Specify a weekly interval when this recurring range will be active] をクリックし、リストから日付と時刻を選択してから、[OK] をクリックします。

ステップ 15 [OK] をクリックして、時間範囲を適用します。

ステップ 16 [OK] をクリックして、アクセス ルールを適用します。


 


) 時間範囲を作成してもデバイスへのアクセスは制限されません。このペインでは時間範囲だけを定義します。


[Add/Edit Time Range] フィールドの説明

[Time Range Name]:時間範囲の名前を指定します。スペースや引用符は使用できません。また、先頭にはアルファベットか数字を使用します。

[Start now/Started]:時間範囲がただちに開始するか、または時間範囲がすでに始まっているかを指定します。このボタンのラベルは、追加/編集する時間範囲の設定状態によって変わります。時間範囲を新規追加する場合または固定の開始時間が定義された時間範囲を編集する場合、ボタンは [Start Now] になります。開始時間が非固定の時間範囲を編集する場合は、ボタンが [Started] になります。

[Start Time]:時間範囲の開始時刻を指定します。

[Month]:月を 1 月~ 12 月の範囲で指定します。

[Day]:日を 01 ~ 31 の範囲で指定します。

[Year]:年を 1993 ~ 2035 の範囲で指定します。

[Hour]:時間を 00 ~ 23 の範囲で指定します。

[Minute]:分を 00 ~ 59 の範囲で指定します。

[Never end]:時間範囲が終了しない場合に指定します。

[End at (inclusive)]:時間範囲の終了時刻を指定します。指定した終了時刻も範囲に含まれます。たとえば、指定した時間範囲が 11:30 で終了する場合、11 時 30 分 59 秒まで有効です。この場合、時間範囲は 11:31 になったとき終了します。

[Month]:月を 1 月~ 12 月の範囲で指定します。

[Day]:日を 01 ~ 31 の範囲で指定します。

[Year]:年を 1993 ~ 2035 の範囲で指定します。

[Hour]:時間を 00 ~ 23 の範囲で指定します。

[Minute]:分を 00 ~ 59 の範囲で指定します。

[Recurring Time Ranges]:時間範囲を日単位または週単位で設定します。

[Add]:繰り返し時間範囲を追加します。

[Edit]:選択した繰り返し時間範囲を編集します。

[Delete]:選択した繰り返し時間範囲を削除します。

Add/Edit Recurring Time Range

[Configuration] > [Global Objects] > [Time Ranges] > [Add/Edit Time Range] > [Add/Edit Periodic Time Range] ペインでは、日単位または週単位で時間範囲を詳細に指定できます。

アクセス ルールに繰り返し時間範囲を追加する詳細な手順については、「アクセス ルールへの時間範囲の追加」を参照してください。


) 時間範囲を作成してもデバイスへのアクセスは制限されません。このペインでは時間範囲だけを定義します。


[Add/Edit Recurring Time Range] フィールドの説明

Days of the week

[Every day]:週の毎日を指定します。

[Weekdays]:月曜日~金曜日を指定します。

[Weekends]:土曜日と日曜日を指定します。

[On these days of the week]:特定の曜日を指定します。

[Daily Start Time]:時間範囲が開始する時間と分を指定します。

[Daily End Time (inclusive)] エリア:時間範囲が終了する時間と分を指定します。指定した終了時刻も範囲に含まれます。

Weekly Interval

[From]:月曜日~日曜日までの曜日を一覧表示します。

[Through]:月曜日~日曜日までの曜日を一覧表示します。

[Hour]:時間を 00 ~ 23 の範囲で一覧表示します。

[Minute]:分を 00 ~ 59 の範囲で一覧表示します。