Cisco Security Manager 4.0 ユーザ ガイド
ファイアウォール インスペクション規則の管理
ファイアウォール インスペクション規則の管理
発行日;2012/02/07 | 英語版ドキュメント(2010/06/21 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

ファイアウォール インスペクション規則の管理

インスペクション規則について

インスペクション規則のインターフェイスの選択

検査するプロトコルの選択

インスペクション規則のアクセス規則要件について

IOS デバイスでの Denial of Service(DoS; サービス拒絶)攻撃を防ぐためのインスペクションの使用

インスペクション規則の設定

[Inspection Rules] ページ

Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザード

Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Specify Address and Port] ページ

Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Inspected Protocol] ページおよび [Edit Inspected Protocol] ダイアログボックス

[Configure DNS] ダイアログボックス

[Configure SMTP] ダイアログボックス

[Configure ESMTP] ダイアログボックス

[Configure Fragments] ダイアログボックス

[Configure IMAP]/[Configure POP3] ダイアログボックス

[Configure RPC] ダイアログボックス

[Custom Protocol] ダイアログボックス

[Configure] ダイアログボックス

インスペクションのプロトコルおよびマップの設定

インスペクション ポリシーのクラス マップの設定

DCE/RPC マップの設定

DNS マップの設定

DNS マップの [Protocol Conformance] タブ

DNS マップの [Filtering] タブ

DNS クラス マップおよび DNS ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

ESMTP マップの設定

ESMTP ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

FTP マップの設定

FTP クラス マップおよび FTP ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

GTP マップの設定

[Add Country Network Codes]/[Edit Country Network Codes] ダイアログボックス

[Add Permit Response]/[Edit Permit Response] ダイアログボックス

[GTP Map Timeouts] ダイアログボックス

GTP ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

H.323 マップの設定

[Add HSI Group]/[Edit HSI Group] ダイアログボックス

[Add HSI Endpoint IP Address]/[Edit HSI Endpoint IP Address] ダイアログボックス

H.323 クラス マップおよび H.323 ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

ASA 7.1.x、PIX 7.1.x、FWSM 3.x、および IOS デバイスの HTTP マップの設定

HTTP マップの [General] タブ

HTTP マップの [Entity Length] タブ

HTTP マップの [RFC Request Method] タブ

HTTP マップの [Extension Request Method] タブ

HTTP マップの [Port Misuse] タブ

HTTP マップの [Transfer Encoding] タブ

ASA 7.2+ および PIX 7.2+ デバイスの HTTP マップの設定

HTTP クラス マップおよび HTTP ポリシー マップ(ASA 7.2+/PIX 7.2+)の [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

ASA 7.2+、PIX 7.2+ デバイスの IM マップの設定

IM クラス マップおよび IM ポリシー マップ(ASA 7.2+/PIX 7.2+)の [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

IOS デバイスの IM マップの設定

IP オプション マップの設定

IPsec パススルー マップの設定

NetBIOS マップの設定

SIP マップの設定

SIP クラス マップおよびポリシー マップの [Add Match Condition and Action]/[EditMatch Condition and Action] ダイアログボックス

Skinny マップの設定

Skinny ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

SNMP マップの設定

正規表現グループの設定

インスペクション マップの正規表現の設定

正規表現の作成に使用されるメタ文字

IOS デバイスのインスペクション規則の設定

ファイアウォール インスペクション規則の管理

インスペクション規則では、デバイスに対するプロトコル インスペクションを設定します。インスペクションでは、アクセス規則に一時的な穴を開けて、信頼ネットワーク内で開始された接続に対するリターン トラフィックを許可します。また、トラフィックが検査されるとき、デバイスでは、検査されるプロトコルに基づいて誤った形式のパケットを除外するための追加の制御も実装します。

インスペクション規則に対して生成されるデバイス コマンドは、デバイス タイプに応じて異なります。ASA、PIX 7.0+、および FWSM 3.x+ を実行しているデバイスでは、access-list、policy-map、class-map の各コマンドが使用されます。古い FWSM および PIX 6.3 デバイスでは、fixup コマンドが使用されます。IOS デバイスでは、ip-inspect コマンドが使用されます。

インスペクション規則の使用方法については、次の項を参照してください。

「インスペクション規則について」

「インスペクション規則のインターフェイスの選択」

「検査するプロトコルの選択」

「インスペクション規則のアクセス規則要件について」

「IOS デバイスでの Denial of Service(DoS; サービス拒絶)攻撃を防ぐためのインスペクションの使用」

「インスペクション規則の設定」

「[Inspection Rules] ページ」

「インスペクションのプロトコルおよびマップの設定」

「IOS デバイスのインスペクション規則の設定」

一般的な規則テーブルの使用方法については、次の項を参照してください。

「規則の追加および削除」

「規則の編集」

「規則のイネーブル化とディセーブル化」

「規則の移動と規則順序の重要性」

インスペクション規則について

インスペクション規則では、Context-Based Access Control(CBAC; コンテキストベース アクセス コントロール)インスペクション コマンドを設定します。CBAC では、デバイスを通過するトラフィックを検査して、TCP および UDP セッションの状態情報を検出および管理します。デバイスでは、この状態情報を使用して、許容できるセッションのリターン トラフィックおよび追加のデータ接続を許可するための一時的な穴を作成します。

CBAC では、ファイアウォール インターフェイスでアクセス リストに一時的な穴を作成します。これらの穴は、検査されるトラフィックがファイアウォールを通過して内部ネットワークから出るときに作成されます。リターン トラフィック(通常はブロックされます)と追加のデータ チャネルは、この穴からファイアウォールを通って内部ネットワークに入ることができます。トラフィックは、そのトラフィックがファイアウォールを通って出るときにインスペクションをトリガーした、元のトラフィックと同じセッションの一部となっている場合にだけ、ファイアウォールを通って戻ることができます。

インスペクション規則は、アクセス規則のあとに適用されるため、アクセス規則で拒否したトラフィックは検査されません。トラフィックが検査されるようにするには、入力インターフェイスと出力インターフェイスの両方で、アクセス規則によってトラフィックが許可される必要があります。アクセス規則ではレイヤ 3(ネットワーク、IP)または 4(トランスポート、TCP または UDP プロトコル)で接続を制御できますが、インスペクション規則を使用すると、アプリケーション レイヤ プロトコル セッション情報を使用してトラフィックを制御できます。

すべてのプロトコルについて、プロトコルを検査するときに、デバイスによって次の機能が提供されます。

トラフィックのリターン パスを自動的に開く(送信元アドレスと宛先アドレスを反転する)ため、リターン トラフィックを許可するアクセス規則を作成する必要がない。各接続はセッションと見なされ、デバイスはセッション状態情報を保持し、有効なセッションのリターン トラフィックだけを許可します。TCP を使用するプロトコルには明示的なセッション情報が含まれますが、UDP アプリケーションでは、送信元および宛先アドレスと一連の UDP パケットの時間的な近さに基づき、デバイスがセッションと同等のものをモデル化します。

これらの一時的なアクセス リストは動的に作成され、セッションが終了するとき、削除されます。

すべての TCP パケットのシーケンス番号を追跡し、想定範囲内にないシーケンス番号を持つパケットをドロップする。

タイムアウトとしきい値を使用してセッション状態情報を管理することによって、完全には確立されていないセッションをいつドロップするかの判断に役立てる。セッションがドロップまたはリセットされると、デバイスは、セッションの送信元と宛先の両方に接続をリセットするよう通知して、リソースを解放し、Denial of Service(DoS; サービス拒絶)攻撃の可能性を低減します。

ここでは、インスペクションについて詳しく説明します。

「インスペクション規則のインターフェイスの選択」

「検査するプロトコルの選択」

「インスペクション規則のアクセス規則要件について」

「IOS デバイスでの Denial of Service(DoS; サービス拒絶)攻撃を防ぐためのインスペクションの使用」

「インスペクションのプロトコルおよびマップの設定」

「インスペクション規則の設定」

「IOS デバイスのインスペクション規則の設定」

インスペクション規則のインターフェイスの選択

内部ネットワークを保護するインスペクションをデバイスに設定します。TCP、UDP、またはその他の特定のプロトコルとともに使用します。トラフィック セッションがデバイスの特定の側から(通常は、保護されている内部ネットワークから)開始された場合にだけ、アプリケーションのトラフィックがデバイスを通過できるようにするには、これらのアプリケーションを検査します。


ヒント IOS デバイスでは、インスペクションを明示的に設定する必要があり、検査するトラフィックの方向を指定できます。ASA、PIX、および FWSM の各デバイスでは、方向を指定できず、インスペクションを設定する必要があるのはインスペクションのデフォルトを使用しない場合だけです。以降の説明では、方向に関する文は IOS デバイスにだけ適用されます。ASA、PIX、および FWSM では、単純に指定されたインターフェイスにインスペクションを設定します。


多くの場合、単一のインターフェイスで一方向にだけインスペクションを設定します。これにより、トラフィックは許容される(有効、既存)セッションに属する場合にだけ内部ネットワークに戻ることができます。これは、インターネット上で発生したトラフィックから内部ネットワークを保護するための一般的な設定です。

1 つ以上のインターフェイスで、双方向のインスペクションを設定することもできます。エクストラネット設定やイントラネット設定などを使用して、ファイアウォールの両側のネットワークを保護する必要がある場合、および DoS 攻撃から保護する場合に、双方向のインスペクションを設定します。たとえば、デバイスが 2 つのパートナー企業のネットワークの間にある場合は、特定のアプリケーションに対してトラフィックを一方向に制限し、他のアプリケーションに対してトラフィックを反対方向に制限することが必要となることがあります。DMZ ゾーン内の Web サーバを保護している場合は、HTTP トラフィックに詳細なインスペクションを設定して、望ましくない特性を持つ接続を識別し、リセットすることが必要となることがあります。

インターネットまたは別の制御対象外ネットワークに接続するネットワークのアウトバウンド インターフェイスにインスペクション規則を設定する一方で、信頼ネットワーク内ではフィルタリングされない接続を許可することが必要となる場合があります。このため、デバイスでは、保護されていないことによって潜在的な危険性のあるネットワーク上を移動するセッションにだけ、インスペクションのリソースが使用されます。

関連項目

「検査するプロトコルの選択」

「インスペクション規則のアクセス規則要件について」

「IOS デバイスでの Denial of Service(DoS; サービス拒絶)攻撃を防ぐためのインスペクションの使用」

「インスペクションのプロトコルおよびマップの設定」

「インスペクション規則の設定」

検査するプロトコルの選択

TCP および UDP は汎用的に検査できます。これにより、これらのプロトコルを使用するすべてのアプリケーションがカバーされます。ただし、より特定的なプロトコルを検査することもできます。場合によっては、特定のプロトコルの検査によって、汎用的な TCP/UDP インスペクションよりも優れたサービスが提供されることがあります。TCP および UDP のインスペクションでは、アプリケーション固有のコマンドが認識されないため、あるアプリケーションのすべてのリターン パケットが許可されないことがあります。特に、リターン パケットのポート番号が前の既存パケットとは異なる場合は、その可能性が高くなります。

次の例を参考にしてください。

一部のプロトコルでは、詳細なインスペクションを設定できる。詳細なインスペクションでは、トラフィック ストリームに対して、より具体的な規則を設定できます。たとえば、要求および応答のコンテンツ タイプが一致しない HTTP 接続をドロップできます。詳細なインスペクションと設定オプションについては、「インスペクションのプロトコルおよびマップの設定」を参照してください。

FTP など、リターン チャネルをネゴシエーションするプロトコルは、明示的に検査する必要がある。FTP トラフィックの単純な汎用 TCP インスペクションを使用する場合は、ネゴシエーションされたチャネルは開かれず、接続が失敗します。FTP を許可する場合は、FTP 用の明示的なインスペクション規則を作成してください。

また、マルチメディア プロトコルもリターン チャネルをネゴシエーションするため、明示的に検査する必要があります。これらのプロトコルには、H.323、Real Time Streaming Protocol(RTSP; リアルタイム ストリーミング プロトコル)、およびその他のアプリケーション固有のプロトコルが含まれます。一部のアプリケーションでは汎用 TCP チャネルも使用するため、汎用 TCP インスペクションも設定する必要があります。汎用的な TCP インスペクション規則は、テーブル内でより明示的なインスペクション規則よりも下にある必要があります(つまり、TCP または UDP を指定する規則は、すべて、インスペクション規則テーブルの最後にある必要があります)。

関連項目

「インスペクション規則のインターフェイスの選択」

「インスペクション規則のアクセス規則要件について」

「IOS デバイスでの Denial of Service(DoS; サービス拒絶)攻撃を防ぐためのインスペクションの使用」

「インスペクション規則の設定」

インスペクション規則のアクセス規則要件について

アクセス規則は、インスペクション規則よりも前に適用されます。このため、検査するトラフィックがアクセス規則で禁止されないようにする必要があります。次のガイドラインを使用します。

検査したトラフィックがファイアウォールを通過してネットワークから出ることを許可する。

検査されるトラフィックは、保護ネットワークから出るトラフィックを評価する、すべてのアクセス規則で許可される必要があります。たとえば、Telnet が検査される場合、Telnet トラフィックは、ネットワークから出るトラフィックに適用されるすべてのアクセス規則で許可される必要があります。

検査されるリターン トラフィックがファイアウォールを通過してネットワークに入ることを拒否する。

アクセス リストに一時的な穴を作成する場合、アクセス リストでは、検査されるリターン トラフィックを拒否する必要があります。これは、インスペクション エンジンによって、このトラフィックのアクセス リストに一時的な穴が開けられるためです(通常、ネットワークに入るトラフィックはブロックされるようにします)。

ネットワークでの必要性に応じて、検査できないトラフィック、または検査する必要のないトラフィックを許可または拒否する。

たとえば、ICMP トラフィックを検査しないで、一部の ICMP トラフィックを許可する場合は、両方向のトラフィックが許可されるようにアクセス規則を設定します。少なくとも、(ping コマンドに対する)echo reply、(トレース ルートに対する)time-exceeded、(パス MTU ディスカバリに対する)packet-too-big、(トレース ルートに対する)traceroute、および(ホストが見つからないことを通知する)unreachable の ICMP メッセージ タイプを許可することを検討します。

保護ネットワーク上のアドレスと一致する送信元アドレスからのすべてのネットワーク トラフィックを拒否するアクセス規則エントリを追加する。

この方法は、保護されていないネットワークからのトラフィックが、保護ネットワーク上のデバイスの識別情報を偽って使用することを防ぐため、アンチ スプーフィング保護と呼ばれます。

送信元アドレスが 255.255.255.255 のブロードキャスト メッセージを拒否するエントリを追加する。

このエントリは、ブロードキャスト攻撃を防ぐのに役立ちます。

関連項目

「アクセス規則について」

「インスペクション規則のインターフェイスの選択」

「検査するプロトコルの選択」

「インスペクション規則の設定」

IOS デバイスでの Denial of Service(DoS; サービス拒絶)攻撃を防ぐためのインスペクションの使用

アプリケーション レイヤでパケットを検査すること、および TCP セッション情報と UDP セッション情報を保持することによって、デバイスは、SYN フラッディングなどの特定のタイプのネットワーク攻撃を検出および回避できます。SYN フラッド攻撃は、ネットワーク攻撃者がサーバに膨大な数の接続要求をフラッドし、接続を完了しないことによって発生します。これにより、ハーフオープン接続が大量に発生してサーバが処理しきれなくなり、有効な要求へのサービスが拒否されます。ネットワーク デバイスへのアクセスを拒否するネットワーク攻撃を、Denial-of-Service(DoS; サービス拒絶)攻撃と呼びます。

インスペクションは、他の方法で DoS 攻撃から保護するのに役立ちます。インスペクションは、TCP 接続のパケット シーケンス番号を参照し、それらが想定範囲内にあるかどうかを確認して、すべての疑わしいパケットをドロップします。また、ハーフオープン接続をドロップするインスペクション設定をすることもできます。このことを行うには、ファイアウォール処理とメモリ リソースの維持が必要です。これ以外に、インスペクションでは、新しい接続で頻繁に発生するエラーを検出してアラート メッセージを発行できます。

IOS デバイスでは、複数のインスペクション設定パラメータを設定して、SYN フラッディングとハーフオープン接続からの保護を微調整できます。[Firewall] > [Settings] > [Inspection] ポリシーを設定します。各設定の詳細については、「IOS デバイスのインスペクション規則の設定」を参照してください。

インスペクションは、フラグメント化された IP パケットに関連する特定の DoS 攻撃からも保護できます。ファイアウォールは攻撃者が特定のホストに実際に接続することを防ぎますが、攻撃者はそのホストによって提供されるサービスを中断させることがあります。このことは、多くの非初期 IP フラグメントを送信するか、または、フラグメント化されたパケットの最初のフラグメントをフィルタする ACL を持つルータを経由して、完全にフラグメント化されたパケットを送信することによって行われます。ターゲット ホストでは不完全なパケットを再構成しようとし、これにより、これらのフラグメントによって、ターゲット ホスト上のリソースが占有されます。フラグメント インスペクションを微調整するには、 フラグメント プロトコルのインスペクション規則を設定し、許可するフラグメントの最大数とタイムアウト値を設定します。

関連項目

「インスペクション規則について」

「検査するプロトコルの選択」

「インスペクションのプロトコルおよびマップの設定」

「インスペクション規則の設定」

インスペクション規則の設定

インスペクション規則ポリシーは、インターフェイスを通じて検査されるトラフィックを識別します。インスペクションでは、許可されるセッションを追跡し、リターン トラフィックを許可するために、アクセス規則に一時的な穴を開けます。

インスペクション規則はアクセス規則よりもあとに処理されるため、アクセス規則でドロップされたトラフィックは検査されません。インスペクション規則を作成するときに検討する必要のある事項の詳細については、次の各項を参照してください。

「インスペクション規則について」

「インスペクション規則のインターフェイスの選択」

「検査するプロトコルの選択」

「インスペクション規則のアクセス規則要件について」

「IOS デバイスでの Denial of Service(DoS; サービス拒絶)攻撃を防ぐためのインスペクションの使用」

「インスペクションのプロトコルおよびマップの設定」

「マップ オブジェクトについて」

始める前に

あるインスペクション規則のセットをすべてのデバイスに適用するとします。このことを行うには、共有規則を作成して、その規則を各デバイスのインスペクション規則ポリシーで継承します。詳細については、「新しい共有ポリシーの作成」および「規則の継承または継承の解除」を参照してください。


ステップ 1 次のいずれかを実行して、「[Inspection Rules] ページ」を開きます。

(デバイス ビュー)ポリシー セレクタから [Firewall] > [Inspection Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Inspection Rules] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 規則を作成する行を選択して [Add Row] ボタンをクリックするか、または行を右クリックして [Add Row] を選択します。この操作により、「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザード」が開きます。


ヒント 行を選択しなかった場合、新しい規則はローカル範囲の最後に追加されます。既存の行を選択して、行全体または特定のセルを編集することもできます。詳細については、「規則の編集」を参照してください。


ステップ 3 規則をデバイスのすべてのインターフェイスに適用するか、指定したインターフェイスにだけ適用するかを選択します。

インターフェイスを指定することを選択した場合は、インターフェイス名またはインターフェイス ロールを入力するか、[Select] をクリックしてリストから選択します。また、IOS デバイスの場合は、規則を出力方向(インターフェイスから出るトラフィック)に適用するかどうかも選択できます。他のすべてのデバイス タイプには入力方向を使用します。

ステップ 4 トラフィックのマッチングに使用する基準を選択します。この基準により、この規則に基づいて検査される対象が決まります。

[Default Protocol Ports]:このオプションは、検査しているプロトコルでネットワークのデフォルト ポートが使用されている場合に選択します。

送信元アドレスまたは宛先アドレスに基づいてインスペクションを制約する場合は、[Limit inspection between source and destination IP addresses](ASA、PIX 7.x+、および FWSM 3.x+ デバイスでだけ使用できます)も選択します。[Next] をクリックすると、送信元アドレスと宛先アドレスの入力を求められます。他の値を設定することだけが目的である場合は、送信元またはアドレスに [any] を指定できます。

[Custom Destination Ports]:このオプションは、追加のデフォルト以外の TCP または UDP ポートを特定のプロトコルに関連付ける場合(たとえば、宛先ポート 8080 上の TCP トラフィックを HTTP トラフィックとして扱う場合)に選択します。[Next] をクリックすると、ポートまたはポート範囲の入力を求められます。

[Destination Address and Port](IOS デバイスのみ):このオプションは、トラフィックが特定の宛先に向かっている場合にだけ、デフォルト以外の追加の TCP または UDP ポートを特定のプロトコルに関連付ける場合(たとえば、トラフィックが 192.168.1.10 に向かっている場合にだけ、宛先ポート 8080 上のトラフィックを HTTP として扱う場合)に選択します。[Next] をクリックすると、宛先アドレスとポート情報の入力を求められます。

[Source and Destination Address and Port](PIX 7.x+、ASA、FWSM 3.x+):このオプションは、IOS デバイスで [Destination Address and Port] を選択するのと同じ理由で選択しますが、トラフィックの送信元を識別する追加オプションがあります。[Next] をクリックすると、送信元アドレス、宛先アドレス、およびサービス ポート情報の入力を求められます。


) FWSM 2.x および PIX 6.3(x) の場合は、[Default Inspection Traffic] または [Custom Destination Ports] だけを選択できます。


ステップ 5 [Next] をクリックします。[Default Protocol Ports] 以外のオプションを選択した場合は、上記で説明した必要なアドレッシングとポート情報を入力し、[Next] をクリックします。「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Specify Address and Port] ページ」を参照してください。

ステップ 6 「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Inspected Protocol] ページおよび [Edit Inspected Protocol] ダイアログボックス」で、検査するプロトコルをリストから選択します。規則を割り当てているデバイスでそのプロトコルのインスペクションがサポートされていることが [Device Type] フィールドに示されていることを確認します(サポートされていないデバイス タイプに規則を割り当てた場合、規則は無視されますが、検証の警告が生成されます)。

選択したプロトコルで追加設定が許可されている場合は、[Configure] ボタンがアクティブになります。このボタンをクリックして、オプションを選択します。詳細については、「インスペクションのプロトコルおよびマップの設定」を参照してください。

IOS デバイスのみ:

トラフィックの一致基準として [Custom Destination Ports] または [Destination Address and Port] を選択した場合は、プロトコル名として [custom protocol] を選択し、[Configure] をクリックして設定に名前を割り当てることができる。

インスペクション設定ポリシーで設定された値を上書きする追加のアラート、監査、およびタイムアウトを設定できる。また、限られた数のプロトコルに対して、ルータによって設定されたトラフィックを検査するかどうかも指定できます。インスペクション設定の詳細については、「IOS デバイスのインスペクション規則の設定」を参照してください。

ステップ 7 [Finish] をクリックして規則を保存します。

ステップ 8 適切な行を選択しないで規則を追加した場合は、追加された規則を選択し、上下の矢印ボタンを使用して適切な位置に規則を移動します。詳細については、「規則の移動と規則順序の重要性」を参照してください。


 

[Inspection Rules] ページ

[Inspection Rules] ページを使用して、デバイス インターフェイスのインスペクション規則を設定します。インスペクションでは、デバイスを通過するトラフィックを調べて、TCP および UDP セッションの状態情報を検出および管理します。デバイスでは、この状態情報を使用して、許容できるセッションのリターン トラフィックおよび追加のデータ接続を許可するための一時的な穴を作成します。

インスペクション規則は、アクセス規則のあとに処理されます。このため、アクセス規則で拒否されたトラフィックは検査されません。

インスペクション規則を設定する前に、次の項を読んでください。

「インスペクション規則について」

「インスペクション規則のインターフェイスの選択」

「検査するプロトコルの選択」

「インスペクション規則のアクセス規則要件について」

「IOS デバイスでの Denial of Service(DoS; サービス拒絶)攻撃を防ぐためのインスペクションの使用」

「インスペクション規則の設定」


ヒント ディセーブルな規則には、テーブルの行にハッシュ マークが重なって表示されます。デバイスがディセーブルな規則の設定をサポートする場合、これらの規則はディセーブルな状態で設定に含まれています。サポートしない場合、これらの規則は設定に含まれません。詳細については、「規則のイネーブル化とディセーブル化」を参照してください。


ナビゲーション パス

[Inspection Rules] ページにアクセスするには、次のいずれかを実行します。

(デバイス ビュー)デバイスを選択してから、ポリシー セレクタで [Firewall] > [Inspection Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Inspection Rules] を選択します。新しいポリシーを作成するか、または既存のポリシーを選択します。

(マップ ビュー)デバイスを右クリックし、[Edit Firewall Policies] > [Inspection Rules] を選択します。

関連項目

「規則の追加および削除」

「規則の編集」

「規則のイネーブル化とディセーブル化」

「規則の移動と規則順序の重要性」

「セクションを使用した規則テーブルの編成」

「規則テーブルの使用」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 15-1 [Inspection Rules] ページ

要素
説明

[No.]

順序が付けられた規則番号。

[Permit]

設定された次の条件に基づいて、検査する必要のあるトラフィックが規則によって識別されるかどうか。

[Permit]:検査するトラフィックを特定します。緑色のチェック マークとして表示されます。

[Deny]:トラフィックを検査から免除します。トラフィックが許可されるかブロックされるかは、アクセス規則によって決定されます。スラッシュの入った赤色の丸として表示されます。

[Source]

[Destination]

規則の送信元アドレスおよび宛先アドレス。「any」アドレスを指定すると、規則は特定のホスト、ネットワーク、またはインターフェイスに制限されません。これらのアドレスは、ホストまたはネットワーク、ネットワーク/ホスト オブジェクト、インターフェイス、またはインターフェイス ロールの IP アドレスです。複数のエントリがある場合は、テーブル セル内に個別のサブフィールドとして表示されます。次の章を参照してください。

「ネットワーク/ホスト オブジェクトについて」

「インターフェイス ロール オブジェクトについて」

[Traffic Match]

規則で使用される一致のタイプ。

[default-inspection]:規則では、デフォルト ポートに基づいてトラフィックが検査されます。

[TCP,UDP/port number]:規則では、カスタム ポート番号に基づいてトラフィックが検査されます。

[Service]:規則では、サービスの仕様またはサービス オブジェクトに基づいてトラフィックが検査されます。複数のエントリがある場合は、テーブル セル内に個別のサブフィールドとして表示されます。「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。

[Interface]

規則が割り当てられるインターフェイスまたはインターフェイス ロール。[Global] は、規則がすべてのインターフェイスに割り当てられていることを示します。インターフェイス ロール オブジェクトは、各デバイスの設定が生成されるときに、実際のインターフェイス名で置き換えられます。複数のエントリがある場合は、テーブル セル内に個別のサブフィールドとして表示されます。「インターフェイス ロール オブジェクトについて」を参照してください。

[Dir.]

(IOS デバイスのみ)

この規則が適用されるトラフィックの方向。

[In]:インターフェイスで受信するパケット。

[Out]:インターフェイスから送信するパケット。

[Inspected Protocol]

検査されるプロトコルと、場合によってはプロトコルの設定の一部。

[Time Range]

規則に割り当てられている時間範囲ポリシー オブジェクト。このオブジェクトでは、インスペクションが行われる時間枠を定義します。

[Category]

規則に割り当てられるカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Description]

規則の説明(ある場合)。

[Tools] ボタン

このボタンをクリックして、このタイプのポリシーとともに使用できるツールを選択します。次のツールから選択できます。

[Query]:ポリシー クエリーを実行します。このことにより、規則を評価して、効果が得られない削除可能な規則を特定できます。「ポリシー クエリー レポートの生成」を参照してください。

[Find and Replace] ボタン(双眼鏡アイコン)

テーブル内のさまざまなタイプの項目を検索し、必要に応じてその項目を置換するには、このボタンをクリックします。「規則テーブルの項目の検索と置換」を参照してください。

[Up Row] ボタンと [Down Row] ボタン(矢印アイコン)

選択した規則を範囲内またはセクション内で上下に移動するには、これらのボタンをクリックします。詳細については、「規則の移動と規則順序の重要性」を参照してください。

[Add Row] ボタン

「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザード」を使用して選択したテーブルの行のあとに規則を追加するには、このボタンをクリックします。行を選択しなかった場合は、ローカル範囲の最後に規則が追加されます。規則を追加する方法の詳細については、「規則の追加および削除」を参照してください。

[Edit Row] ボタン

選択した規則を編集するには、このボタンをクリックします。個々のセルを編集することもできます。詳細については、「規則の編集」を参照してください。

[Delete Row] ボタン

選択した規則を削除するには、このボタンをクリックします。

Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザード

Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードを使用して、インスペクション規則を追加および編集します。ウィザードでは、このページの [Match Traffic By] グループでの選択に基づいてインスペクション規則を設定するプロセスの手順が示されます。

インスペクション規則を設定する前に、次の項を読んでください。

「インスペクション規則について」

「インスペクション規則のインターフェイスの選択」

「検査するプロトコルの選択」

「インスペクション規則のアクセス規則要件について」

「IOS デバイスでの Denial of Service(DoS; サービス拒絶)攻撃を防ぐためのインスペクションの使用」

「インスペクション規則の設定」

ナビゲーション パス

「[Inspection Rules] ページ」から、[Add Row] ボタンをクリックするか、または行を選択して [Edit Row] ボタンをクリックします。

関連項目

「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Specify Address and Port] ページ」

「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Inspected Protocol] ページおよび [Edit Inspected Protocol] ダイアログボックス」

「インターフェイス ロール オブジェクトについて」

「規則の編集」

フィールド リファレンス

 

表 15-2 Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの手順 1、トラフィック一致方式の選択

要素
説明

[Enable Rule]

規則をイネーブルにするかどうか。イネーブルにすると、デバイスに設定を展開したときに規則がアクティブになります。ディセーブルな規則には、規則テーブルにハッシュ マークが重なって表示されます。詳細については、「規則のイネーブル化とディセーブル化」を参照してください。

[Apply the Rule to]

規則が適用されるインターフェイス。

[All Interfaces]:規則をすべてのインターフェイスに適用します。規則は、ASA、PIX、および FWSM デバイスでグローバル規則になります。IOS デバイスの場合は、各インターフェイスに対して規則が入力方向に設定されます。

[Interface (PIX 7.x+, ASA, FWSM 3.x+, IOS)] - [Interfaces] フィールドで指定されたインターフェイスにだけ規則を適用します。インターフェイスまたはインターフェイス ロールの名前を入力するか、[Select] をクリックしてリストからインターフェイスまたはインターフェイス ロールを選択するか、あるいは新しいロールを作成します。インターフェイスをリストに表示するには、あらかじめ定義しておく必要があります。

IOS デバイスの場合にだけ、この規則が適用されるトラフィックの方向(インターフェイスに入るトラフィック([In])またはインターフェイスから出るトラフィック([Out]))を選択します。その他のデバイスでは、方向を [In] のままにします。

[Match Traffic By]

検査するトラフィックを識別する方法。デフォルトのプロトコル ポート(単独)以外を選択した場合は、[Next] をクリックしたときに、他のポートまたはアドレス情報の入力を求められます。

[Default Protocol Ports]

[Limit inspection between source and destination IP addresses](PIX 7.x+、ASA、FWSM 3.x+)

プロトコルに割り当てられているデフォルト ポートに基づいてトラフィックを検査します。

[Limit inspection between source and destination IP addresses] を選択して、指定した送信元と宛先間でインスペクションを実行するように指定することもできます。検査するトラフィックに制約を適用しないでプロトコルを検査する場合は、このオプションを選択しないでください。

[Custom Destination Ports]

指定したデフォルト以外の TCP または UDP 宛先ポートに基づいてトラフィックを検査します。このオプションは、追加の TCP または UDP トラフィックを特定のプロトコルに関連付ける場合(たとえば、宛先ポート 8080 上の TCP トラフィックを HTTP トラフィックとして扱う場合)に選択します。

[Destination Address and Port](IOS)

宛先 IP アドレスとポートに基づいて IOS デバイス上のトラフィックを検査します。このオプションは、トラフィックが特定の宛先に向かっている場合にだけ、デフォルト以外の追加の TCP または UDP ポートを特定のプロトコルに関連付ける場合(たとえば、トラフィックが 192.168.1.10 に向かっている場合にだけ、宛先ポート 8080 上のトラフィックを HTTP として扱う場合)に選択します。

[Source and Destination Address and Port](PIX 7.x、ASA、FWSM 3.x)

送信元と宛先の IP アドレスとサービスに基づいて、PIX 7.x+、ASA、および FWSM 3.x+ デバイス上のトラフィックを検査します。このオプションは、IOS デバイスで [Destination Address and Port] を選択するのと同じ理由で選択しますが、トラフィックの送信元を識別する追加オプションがあります。

[Category]

規則に割り当てられるカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Description]

オプションで入力する規則の説明(最大 1024 文字)。

Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Specify Address and Port] ページ

Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードのアドレスまたはポートの指定ページを使用して、インスペクション規則に必要な IP アドレス、ポート、またはサービスを識別します。このページの内容は、ウィザードの最初のページ(「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザード」を参照)の [Match Traffic By] グループで選択した内容によって異なります。このページは、[Default Protocol Ports] だけを選択した場合には表示されません。

次のリファレンス テーブルは、各フィールドが適用される一致基準を示しています。

このページで [Next] をクリックしたときに、検査するプロトコルを選択します(「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Inspected Protocol] ページおよび [Edit Inspected Protocol] ダイアログボックス」を参照)。

ナビゲーション パス

「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザード」から、[Match Traffic By] グループの [Default Protocol Ports] 以外のオプションを選択し、[Next] をクリックします。

関連項目

「インスペクション規則について」

「インスペクション規則のインターフェイスの選択」

「検査するプロトコルの選択」

「インスペクション規則のアクセス規則要件について」

「IOS デバイスでの Denial of Service(DoS; サービス拒絶)攻撃を防ぐためのインスペクションの使用」

「インスペクション規則の設定」

「インターフェイス ロール オブジェクトについて」

「規則の編集」

フィールド リファレンス

 

表 15-3 Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの手順 2、[Specify Address and Port] ページ

要素
説明

[Action]

([Limit inspection between source and destination IP addresses] および [Source and Destination Address and Port] のマッチングに使用できます。)

設定された次の条件に基づいて、検査する必要のあるトラフィックを識別するかどうか。通常は、[Permit] 規則を作成します。

[Permit]:検査するトラフィックを特定します。

[Deny]:トラフィックを検査から免除します。トラフィックが許可されるかブロックされるかは、アクセス規則によって決定されます。

[Sources]

[Destinations]

([Limit inspection between source and destination IP addresses] および [Source and Destination Address and Port] のマッチングに使用できます。[Destination Address and Port] の場合は、[Destinations] フィールドだけを使用できます。)

トラフィックの送信元または宛先。項目をカンマで区切って複数の値を入力できます。

次のアドレス タイプを自由に組み合わせて入力し、トラフィックの送信元または宛先を定義できます。詳細については、「ポリシー定義中の IP アドレスの指定」を参照してください。

ネットワーク/ホスト オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します。選択リストから、新しいネットワーク/ホスト オブジェクトを作成することもできます。

ホスト IP アドレス(10.10.10.100 など)。

ネットワーク アドレスとサブネット マスク。形式は 10.10.10.0/24 または 10.10.10.0/255.255.255.0。

IP アドレスの範囲(10.10.10.100-10.10.10.200 など)。

10.10.0.10/255.255.0.255 形式の IP アドレスのパターン。この場合のマスクは不連続なビット マスクです(「連続および不連続ネットワーク マスク」を参照)。

[Destination Address and Port] のマッチングを設定する場合を除き、インターフェイス ロール オブジェクト。[Select] をクリックしてリストから名前を選択します(オブジェクト タイプとして [Interface Role] を選択する必要があります)。インターフェイス ロールを使用する場合は、選択したインターフェイスの IP アドレスを指定した場合と同様に規則が動作します。デバイスに割り当てられる IP アドレスを把握できないため、DHCP を経由してアドレスを取得するインターフェイスの場合に有効です。詳細については、「インターフェイス ロール オブジェクトについて」を参照してください。

インターフェイス ロールを送信元として選択した場合、ダイアログボックスにタブが表示され、ホストまたはネットワークとインターフェイス ロールが区別されます。

[Service]

([Source and Destination Address and Port] のマッチングに使用できます。)

動作対象のトラフィック タイプを定義するサービス。項目をカンマで区切って複数の値を入力できます。

サービス オブジェクトおよびサービス タイプの任意の組み合わせ(通常はプロトコルとポートの組み合わせ)を入力できます。サービスを入力する場合は、有効な値の入力を求められます。リストから値を選択して、Enter または Tab を押します。

サービスを指定する方法の詳細については、「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。

[Time Range]

([Limit inspection between source and destination IP addresses] および [Source and Destination Address and Port] のマッチングに使用できます。)

この規則が適用される時間を定義する時間範囲ポリシー オブジェクトの名前。時刻は、デバイスのシステム クロックに基づきます。この機能は、NTP を使用してシステム クロックを設定している場合に最適に機能します。

名前を入力するか、[Select] をクリックしてオブジェクトを選択します。必要なオブジェクトが表示されていない場合は、[Create] ボタンをクリックして作成します。

[Protocol]

([Custom Destination Ports]、および [Destination Address and Port] のマッチングに使用できます。)

指定しているポートのプロトコル(TCP、UDP、または TCP/UDP)。

IOS デバイスに対して [Custom Destination Ports] を設定している場合は、TCP/UDP を選択する必要があります。

[Ports]

([Custom Destination Ports]、および [Destination Address and Port] のマッチングに使用できます。)

検査するトラフィックで使用されるポート。値は 1 ~ 65535 です。

[Single]:ポート番号を 1 つだけ指定します。

[Range]:10000-11000 など、ポートの範囲を指定します。

カスタム ポートを設定する場合、一部のプラットフォームまたは OS バージョンではポート範囲がサポートされないことに注意してください。すべての競合は、この規則を編集しているときではなく、ポリシーの検証中に識別されます。

ヒント 定義済みのポート マッピングと競合するポートまたはポート範囲を指定した場合は、デバイスでポートの再マッピングが許可されません。

Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Inspected Protocol] ページおよび [Edit Inspected Protocol] ダイアログボックス

Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Inspected Protocol] ページ、または [Edit Inspected Protocol] ダイアログボックスを使用して、インスペクション規則で検査されるプロトコルを設定します。

ナビゲーション パス

次のいずれかを実行します。

「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザード」から、このページに達するまで [Next] をクリックする。

[Edit Inspected Protocols] ダイアログボックスにアクセスするには、インスペクション規則の [Inspected Protocol] セルを右クリックし、[Edit Inspected Protocol] を選択する。複数の行を選択すると、選択したすべての規則に定義されている検査対象プロトコルが、変更によって置き換えられます。

関連項目

「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Specify Address and Port] ページ」

「インスペクション規則について」

「インスペクション規則のインターフェイスの選択」

「検査するプロトコルの選択」

「インスペクション規則のアクセス規則要件について」

「IOS デバイスでの Denial of Service(DoS; サービス拒絶)攻撃を防ぐためのインスペクションの使用」

「インスペクション規則の設定」

「規則の編集」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 15-4 [Inspected Protocols] ダイアログボックス

要素
説明

[Protocols table]

検査できるプロトコルのリストが表示されます。規則ごとに 1 つのプロトコルを選択できます。リストには、プロトコルのインスペクションを許可するデバイス オペレーティング システムに関する情報が含まれています。インスペクション規則ポリシーを使用するデバイス タイプでサポートされていないプロトコルは選択しないでください。

を選択し、[Configure] をクリックしてプロトコルに名前を付けることができます。その他のデバイス タイプでは、前に指定したポートに関連付けるプロトコルを選択します。

グループ列には、一部のプロトコルの使用に関する追加情報が表示されます。

オプション列には、選択したプロトコルに対して設定されているオプションが表示されます(存在する場合)。

[Selected Protocol]

[Configure] ボタン

選択したプロトコルが表示されます。プロトコルで追加の設定が許可されている場合は、[Configure] ボタンがアクティブになります。このボタンをクリックするとオプションが表示され、開かれるダイアログボックスで [Help] ボタンをクリックすると、オプションに関する情報が表示されます。設定が許可されるプロトコルの詳細については、「インスペクションのプロトコルおよびマップの設定」を参照してください。

[Rule Settings (IOS)]

規則が Cisco IOS ソフトウェアを実行しているデバイスで使用されている場合は、その規則の追加設定。[Use Default Inspection] 設定を選択した場合は、IOS のデフォルト、またはインスペクション設定ポリシーで定義されている設定(「IOS デバイスのインスペクション規則の設定」を参照)が使用されます。これらは、イネーブルまたはディセーブルにできる設定です。

[Alert]:ステートフル パケット インスペクションのアラート メッセージをコンソールで生成するかどうか。

[Audit]:監査証跡メッセージを syslog サーバまたはルータに記録するかどうか。

[Timeout]:アクティビティがない場合にセッションが管理される時間の長さ(秒単位)を設定するかどうか。[Specify Timeout] を選択した場合は、5 ~ 43200 秒のタイムアウト値を入力します。

[Inspect Router Generated Traffic]:デバイス自体によって生成されるトラフィックを検査するかどうか。このオプションは、限られた数のプロトコルに対して使用できます。

[Configure DNS] ダイアログボックス

[Configure DNS] ダイアログボックスを使用して、PIX 7.0+、ASA、FWSM、および IOS デバイスでの DNS インスペクションを設定します。

ナビゲーション パス

「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Inspected Protocol] ページおよび [Edit Inspected Protocol] ダイアログボックス」に移動し、プロトコル テーブルで [DNS] を選択して、[Configure] をクリックします。

フィールド リファレンス

 

表 15-5 [Configure DNS] ダイアログボックス

要素
説明

[Maximum DNS Packet Length]

最大 DNS パケット長。値は 512 ~ 65535 です。

[DNS Map]

トラフィックの一致条件とアクション、プロトコル準拠ポリシー、およびフィルタ設定を定義する DNS ポリシー マップ オブジェクト。オブジェクト名を入力するか、[Select] をクリックして選択します。必要なオブジェクトが表示されていない場合は、[Create] ボタンをクリックして作成します。

[Enable Dynamic Filter Snooping]

DNS ルックアップ情報のデータベースを構築するために、セキュリティ アプライアンスに DNS パケットのスヌープを許可するかどうか。この情報は、DNS 名と IP アドレスをマッチングするためにボットネット トラフィック フィルタリングで使用されます。

ボットネット トラフィック フィルタリング規則ポリシーを設定する場合は、このオプションを選択します。それ以外の場合は、このオプションを選択しないでください。詳細については、「[Botnet Traffic Filter Rules] ページ」を参照してください。

[Configure SMTP] ダイアログボックス

SMTP のダイアログボックスを使用して、Simple Mail Transfer Protocol(SMTP; シンプル メール転送プロトコル)インスペクションの設定を編集します。SMTP は、インターネット上でのサーバとクライアント間の電子メールの転送に使用されます。

SMTP インスペクションでは、不正なコマンドがあるパケットがすべてドロップされます。パケットの最大データ長を設定できます。0 ~ 4294967295 の範囲の長さを入力します。

ナビゲーション パス

「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Inspected Protocol] ページおよび [Edit Inspected Protocol] ダイアログボックス」に移動し、プロトコル テーブルで [SMTP] を選択して、[Configure] をクリックします。

[Configure ESMTP] ダイアログボックス

[Configure ESMTP] ダイアログボックスを使用して、Extended Simple Mail Transport Protocol(ESMTP; 拡張シンプル メール転送プロトコル)インスペクションの設定を編集します。プラットフォームに基づいて、次の設定を行うことができます。

[IOS devices]:パケットの最大データ長を設定できます。0 ~ 4294967295 の範囲の長さを入力します。

[ASA/PIX 7.x+ devices]:ESMTP ポリシー マップ オブジェクトを指定して、詳細インスペクション パラメータを定義できます。オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

ナビゲーション パス

「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Inspected Protocol] ページおよび [Edit Inspected Protocol] ダイアログボックス」に移動し、プロトコル テーブルで [ESMTP] を選択して、[Configure] をクリックします。

[Configure Fragments] ダイアログボックス

[Configure Fragments] ダイアログボックスを使用して、IOS デバイスのフラグメント インスペクションの設定を編集します。

ナビゲーション パス

「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Inspected Protocol] ページおよび [Edit Inspected Protocol] ダイアログボックス」に移動し、プロトコル テーブルで [fragment] を選択して、[Configure] をクリックします。

フィールド リファレンス

 

表 15-6 [Configure Fragments] ダイアログボックス

要素
説明

[Maximum Fragments]

Cisco IOS ソフトウェアによって状態情報(構造)が割り当てられる、アセンブルされていないパケットの最大数。アセンブルされていないパケットとは、セッションの初期パケットよりも前に、ルータ インターフェイスに到着したパケットのことです。値は 0 ~ 10000 の状態エントリです。デフォルトは 256 です。

(注) 状態構造にはメモリが割り当てられます。この値をより大きい数値に設定すると、メモリ リソースが枯渇することがあります。

[Timeout (sec)]

パケット状態構造がアクティブに保たれる秒数。タイムアウト値が経過すると、アセンブルされていないパケットがルータによってドロップされ、別のパケットで使用できるように構造が解放されます。値は 1 ~ 1000 です。デフォルトのタイムアウト値は 1 秒です。

[Configure IMAP]/[Configure POP3] ダイアログボックス

[Configure IMAP]/[Configure POP3] ダイアログボックスを使用して、IOS デバイスの Internet Message Access Protocol(IMAP)または Post Office Protocol 3(POP3)インスペクションの設定を編集します。

IMAP は、共有できるメール サーバ上に保持される電子メールまたは掲示板メッセージにアクセスするためのメソッドです。クライアント電子メール プログラムが、リモート メッセージにローカルであるかのようにアクセスできます。

メール サーバに格納されている電子メールを受信するには POP3 が使用されます。IMAP とは異なり、POP はリモート ホストだけからメールを取得します。

ナビゲーション パス

「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Inspected Protocol] ページおよび [Edit Inspected Protocol] ダイアログボックス」に移動し、[IMAP] または [POP3] を選択して、[Configure] をクリックします。

フィールド リファレンス

 

表 15-7 [Configure IMAP]/[Configure POP3] ダイアログボックス

要素
説明

[Reset Connection on Invalid IMAP/POP3 packet]

無効なパケットが検出された場合に、クライアントとサーバ間の接続をリセットするか、またはドロップするか。クライアントは、サーバに再接続するために検証プロセスを繰り返す必要があります。

[Enforce Secure Authentication]

パスワードがクリア テキストで送信されないように、クライアントがサーバへのセキュア ログインを使用する必要があるかどうか。

[Configure RPC] ダイアログボックス

RPC のダイアログボックスを使用して、IOS デバイスの RPC インスペクションの設定を編集します。RPC インスペクションでは、指定した RPC プログラムを除くすべての RPC プログラムのトラフィックがブロックされます。複数の RPC プログラムを許可するには、許可するプログラム番号ごとに規則を作成します。

ナビゲーション パス

「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Inspected Protocol] ページおよび [Edit Inspected Protocol] ダイアログボックス」に移動し、プロトコル テーブルで [RPC] を選択して、[Configure] をクリックします。

フィールド リファレンス

 

表 15-8 [Configure RPC] ダイアログボックス

要素
説明

[Program Number]

許可するプログラム番号。値は 1 ~ 4294967295 です。

[Wait Time]

同じ送信元アドレスから同じ宛先アドレスおよびポートへの後続の接続を許可するために、ファイアウォールの穴を開けたまま維持する時間(分単位)。値は 0 ~ 35791 分です。デフォルトは 0 です。

[Custom Protocol] ダイアログボックス

[Custom Protocol] ダイアログボックスを使用して、「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Specify Address and Port] ページ」で IOS デバイスに対して設定したプロトコルとポートの指定に名前を割り当てます。

ナビゲーション パス

「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Inspected Protocol] ページおよび [Edit Inspected Protocol] ダイアログボックス」に移動し、プロトコル テーブルでカスタム プロトコルを選択して、[Configure] をクリックします。

[Configure] ダイアログボックス

[Configure] ダイアログボックスを使用して、HTTP または IM インスペクションのポリシー マップ オブジェクトを選択します。これらのタイプのインスペクションに使用されるマップは、デバイスで使用されているオペレーティング システム バージョンによって異なります。目的のバージョンを選択し、[Select] をクリックして、目的のポリシー マップ オブジェクトを選択するか、新規に作成します。

ナビゲーション パス

「Add Inspect/Application FW Rule ウィザード/Edit Inspect/Application FW Rule ウィザードの [Inspected Protocol] ページおよび [Edit Inspected Protocol] ダイアログボックス」に移動し、プロトコル テーブルで [HTTP] または [IM] を選択して、[Configure] をクリックします。

インスペクションのプロトコルおよびマップの設定

デバイスのインスペクション規則を設定する場合は、検査するプロトコルを選択します。これらのプロトコルの一部では、詳細インスペクション用の追加設定が可能です。詳細インスペクションでは、パケットがデバイスを通過するために満たす必要のある追加要件を指定できます。たとえば、要求および応答のコンテンツ タイプが一致しない HTTP 接続をドロップできます。(検査可能なプロトコルの完全なリストについては、[Inspection Rule] ページで [Add Row] をクリックし、[Next] をクリックしてプロトコル リストを表示します)。

設定できる内容は、プロトコルだけでなく、デバイスのオペレーティング システムとバージョン番号によっても異なります。通常は、IOS デバイスに比べて ASA デバイスの方がインスペクションを細かく微調整できます(IOS デバイスを設定するとき、インスペクションをより詳細に制御するには、ゾーンベースのファイアウォール インスペクションの設定を検討します。詳細については、「ゾーンベースのファイアウォール規則について」を参照してください)。

一部の詳細インスペクション設定は、インスペクション規則で直接行います。ただし、一部のプロトコルでは、独立したポリシー オブジェクトとして作成するポリシー マップを含むようにインスペクション規則を設定できます(ポリシー マップを設定する必要があるのは、デフォルトのインスペクション オプション以外のオプションが必要な場合だけです)。これらのマップは、ポリシーの設定時にポリシー オブジェクト セレクタ ダイアログボックスから、または [Policy Object Manager] ウィンドウ([Tools] > [Policy Object Manager] を選択)から設定できます。

ポリシー マップを使用するプロトコルでは、ターゲット トラフィックの一致条件を定義する、目的のポリシー マップを選択できます。ASA、PIX、および FWSM の各デバイスでは、これらのポリシー マップは一致条件を定義するクラス マップを指す場合があります。これらのポリシー マップを [Policy Object Manager] で作成するには、[Maps] > [Policy Maps] > [Inspect] フォルダの次のテーブルにリストされているマップの 1 つを選択し、記載されているリファレンスで詳細な使用方法情報を確認します。[Maps] > [Class Maps] > [Inspect] フォルダにあるクラス マップの作成の詳細については、ボックスと「インスペクション ポリシーのクラス マップの設定」を参照してください。

 

表 15-9 インスペクション規則での詳細インスペクションのプロトコルの設定

プロトコル
デバイス タイプ
ポリシー マップ
クラス マップ(ASA、PIX、FWSM のみ)
説明および一致基準の参照

DNS

ASA、PIX、FWSM、IOS

DNS

DNS

クラス マップおよびポリシー マップを使用して、広範な基準に基づいてトラフィックを検査します。これにより、DNS パケットの広範な制御が可能になります。また、インスペクション規則で最大長を設定し、(ASA デバイスで)ボットネット規則での動的 DNS スヌーピングの使用をイネーブルにできます。次の項を参照してください。

「DNS マップの設定」

「DNS クラス マップおよび DNS ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」

「[Configure DNS] ダイアログボックス」

FTP Strict

ASA、PIX、FWSM、IOS

FTP

FTP

ファイル名、タイプ、サーバ、ユーザ、または FTP コマンドに基づいてトラフィックを検査します。「FTP マップの設定」および「FTP クラス マップおよび FTP ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」を参照してください。

GTP

ASA、PIX、FWSM、IOS

GTP

GTP

タイムアウト値、メッセージ サイズ、トンネル数、およびセキュリティ アプライアンスを通過する GTP バージョンに基づいてトラフィックを検査します。「GTP マップの設定」および「GTP ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」を参照してください。

H.323 H.325

H.323 RAS

ASA、PIX、FWSM

H.323(ASA、PIX、FWSM)

H.323(ASA、PIX、FWSM)

H.323 メッセージ タイプ、発信側、着信側などの広範な基準に基づいてトラフィックを検査します。「H.323 マップの設定」および「H.323 クラス マップおよび H.323 ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」を参照してください。

HTTP

ASA、PIX、FWSM、IOS

HTTP(ASA 7.1.x、PIX 7.1.x、FWSM 3.x、IOS)

HTTP(ASA 7.2+、PIX 7.2+)

HTTP(ASA、PIX、FWSM)

ヘッダーや本文の内容、ポートの誤用、トラフィックに Java アプレットが含まれているかどうかなど、広範な基準に基づいてトラフィックを検査します。使用されるマップは、オペレーティング システムとバージョンによって異なります。

ASA/PIX 7.2+ の場合は「ASA 7.2+ および PIX 7.2+ デバイスの HTTP マップの設定」および「HTTP クラス マップおよび HTTP ポリシー マップ(ASA 7.2+/PIX 7.2+)の [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」を参照してください。

ASA/PIX 7.1.x、FWSM 3.x+、および IOS の場合は「ASA 7.1.x、PIX 7.1.x、FWSM 3.x、および IOS デバイスの HTTP マップの設定」を参照してください。

SIP

ASA、PIX、FWSM

SIP(ASA、PIX、FWSM)

SIP(ASA、PIX、FWSM)

広範な基準に基づいてトラフィックを検査します。「SIP マップの設定」および「SIP クラス マップおよびポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」を参照してください。

Skinny

ASA、PIX、FWSM、IOS

Skinny

(なし)

広範な基準に基づいてトラフィックを検査します。「Skinny マップの設定」および「Skinny ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」を参照してください。

SMTP

ASA、PIX 7.x+、FWSM 3.x+、IOS

(なし)

(なし)

Simple Mail Transfer Protocol(SMTP; シンプル メール転送プロトコル)トラフィックを検査し、無効なコマンドを使用するパケットをすべてドロップします。パケットの最大データ長を設定できます。「[Configure SMTP] ダイアログボックス」を参照してください。

SNMP

ASA、PIX、FWSM 3.x+、IOS

SNMP

(なし)

SNMP バージョンに基づいて SNMP トラフィックを検査します。「SNMP マップの設定」を参照してください。

NetBIOS

ASA、PIX 7.x+、FWSM

NetBIOS

(なし)

NetBIOS トラフィックを検査し、セキュリティ アプライアンスの NAT 設定に従って NetBIOS Name Service(NBNS)パケット内の IP アドレスを変換します。プロトコルに違反するパケットをドロップできます。「NetBIOS マップの設定」を参照してください。

IPSec Pass Through

ASA、PIX 7.x+

IPsec Pass Through

(なし)

IPSec トラフィックを検査し、ESP または AH トラフィックが許可されるかどうかを制御します。「IPsec パススルー マップの設定」を参照してください。

DCE/RPC

ASA 7.2+、PIX 7.2+、FWSM 3.2+

DCE/RPC

(なし)

タイムアウトとマッパー サービスの実行に基づいてトラフィックを検査します。「DCE/RPC マップの設定」を参照してください。

IP オプション

ASA 8.2(2)+

IP オプション

(なし)

IP ヘッダーの Options セクションに特定のオプションが設定されている IP パケットを許可します。ルーテッド モードでは、router-alert オプションを含むパケットが許可されます。それ以外の場合は、いずれかのオプションが設定されていると、パケットがドロップされます。IP オプションはほとんどの通信で必要ではありませんが、NOP(no operation)オプションがパディングに使用される場合があるため、このオプションを許可することが必要となることがあります。「IP オプション マップの設定」を参照してください。

ESMTP

ASA、PIX 7.x+、FWSM 3.x+、IOS

ESMTP

(なし)

ESMTP トラフィックを検査します。IOS では、最大データ長だけを設定できます。ASA、PIX、FWSM では、広範な基準に基づいてトラフィックを検査できます。「ESMTP マップの設定」を参照してください。

フラグメント

IOS

(なし)

(なし)

アセンブルされていないパケット フラグメントの最大許容数に基づいてトラフィックを検査します。「[Configure Fragments] ダイアログボックス」を参照してください。

Internet Message Access Protocol(IMAP)

Post Office Protocol 3(POP3)

IOS

(なし)

(なし)

無効なコマンドまたはクリア テキスト ログインに基づいてトラフィックを検査します。「[Configure IMAP]/[Configure POP3] ダイアログボックス」を参照してください。

Sun Remote Procedure Call(RPC; リモート プロシージャ コール)

FWSM 2.x、IOS

(なし)

(なし)

RPC プロトコル番号に基づいてトラフィックを検査します。「[Configure RPC] ダイアログボックス」を参照してください。

IM

ASA、PIX 7.x+、IOS

IM(ASA 7.2+、PIX 7.2+)

IM(IOS)

IM(ASA、PIX のみ)

広範な基準に基づいてトラフィックを検査します。許可されるマップは、オペレーティング システムのバージョンによって異なります。

ASA、PIX の場合は「ASA 7.2+、PIX 7.2+ デバイスの IM マップの設定」および「IM クラス マップおよび IM ポリシー マップ(ASA 7.2+/PIX 7.2+)の [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」を参照してください。

IOS の場合は「IOS デバイスの IM マップの設定」を参照してください。

関連項目

「検査するプロトコルの選択」

「インスペクション規則について」

「IOS デバイスでの Denial of Service(DoS; サービス拒絶)攻撃を防ぐためのインスペクションの使用」

「インスペクション規則の設定」

「ポリシー オブジェクトの作成」

「マップ オブジェクトについて」

「インスペクション マップの正規表現の設定」

「正規表現グループの設定」

インスペクション ポリシーのクラス マップの設定

[Add Class Map]/[Edit Class Map] ダイアログボックスを使用すると、同じタイプのポリシー マップで使用するクラス マップを定義できます。ダイアログボックスの名前は、作成するマップのタイプを示します。

クラス マップでは、アプリケーション固有の基準に基づいてトラフィックを定義します。次に、対応するポリシー マップ内のクラス マップを選択し、選択したトラフィックに適用するアクションを設定します。したがって、各クラス マップには、同じ方法(許可する、ドロップするなど)で処理するトラフィックを含める必要があります。

ASA/PIX 7.2 以上、または FWSM を実行しているデバイスのインスペクション規則を設定している場合は、DNS、FTP、H.323、HTTP、IM、および SIP のトラフィック タイプのインスペクション用のクラス マップを作成できます。

関連ポリシー マップにクラス基準を定義することもできます。ただし、クラス マップを作成すると、複数のポリシー マップでマップを再利用できます。

ここでは、使用可能な一致基準について説明します。

「DNS クラス マップおよび DNS ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」

「FTP クラス マップおよび FTP ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」

「H.323 クラス マップおよび H.323 ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」

「HTTP クラス マップおよび HTTP ポリシー マップ(ASA 7.2+/PIX 7.2+)の [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」

「IM クラス マップおよび IM ポリシー マップ(ASA 7.2+/PIX 7.2+)の [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」

「SIP クラス マップおよびポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、コンテンツ テーブルの [Maps] > [Class Maps] > [Inspect] フォルダで [DNS]、[FTP]、[H.323 (ASA/PIX/FWSM)]、[HTTP (ASA/PIX/FWSM)]、[IM]、または [SIP (ASA/PIX/FWSM)] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

「インスペクション規則について」

フィールド リファレンス

 

表 15-10 インスペクション規則の [Add Class Maps]/[Edit Class Maps] ダイアログボックス

要素
説明

[Name]

ポリシー オブジェクトの名前。最大 40 文字を使用できます。

[Description]

ポリシー オブジェクトの説明。最大 200 文字を使用できます。

[Match] テーブル

[Match Type]

[Match] テーブルには、クラス マップに含まれている基準が表示されます。各行には、各基準に一致する、または一致しないトラフィックを検査で検索するかどうか、および検査される基準と値が示されます。

基準を追加するには、[Add] ボタンをクリックし、[Match Criterion] ダイアログボックスに入力します。詳細については、上記で示している項を参照してください。

基準を編集するには、基準を選択し、[Edit] ボタンをクリックします。

基準を削除するには、基準を選択し、[Delete] ボタンをクリックします。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

DCE/RPC マップの設定

[Add DCE/RPC Map]/[Edit DCE/RPC Map] ダイアログボックスを使用して、DCE/RPC インスペクションのマップを定義します。DCE/RPC インスペクション ポリシー マップを使用すると、DCE/RPC インスペクションに使用されるデフォルトの設定値を変更できます。

DCE/RPC は、Microsoft 分散クライアントおよびサーバ アプリケーションで広く使用されているプロトコルであり、ソフトウェア クライアントがサーバ上のプログラムをリモートで実行できるようにします。

このような処理では、一般的に、必要なサービスに動的に割り当てられるネットワーク情報を取得するために、エンドポイント マッパーと呼ばれるサーバのよく知られたポート番号をリスニングすることによって、クライアントがクエリーを実行します。その後、クライアントは、サービスを提供しているサーバ インスタンスへのセカンダリ接続を設定します。セキュリティ アプライアンスでは、適切なポート番号とネットワーク アドレスが許可され、必要に応じてセカンダリ接続の NAT も適用されます。

DCE/RPC インスペクション マップは、EPM とよく知られた TCP ポート 135 上のクライアントとの間のネイティブ TCP 接続を検査します。EPM のマップおよび検索操作が、クライアントに対してサポートされます。クライアントとサーバは、任意のセキュリティ ゾーンに配置できます。埋め込みサーバ IP アドレスとポート番号は、該当する EPM 応答メッセージから受信されます。クライアントは EPM によって返されたサーバ ポートに複数の接続を試行できるため、ユーザが設定可能なタイムアウトのあるピンホールを複数使用できます。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Maps] > [Policy Maps] > [Inspect] > [DCE/RPC] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-11 [Add DCE/RPC]/[Edit DCE/RPC] ダイアログボックス

要素
説明

[Name]

ポリシー オブジェクトの名前。最大 40 文字を使用できます。

[Description]

ポリシー オブジェクトの説明。最大 200 文字を使用できます。

[Pinhole Timeout]

DCE/RPC ピンホールのタイムアウト。デフォルトは 2 分(00:02:00)です。有効な値は、00:00:01 ~ 1193:00:00 です。

[Enforce Endpoint Mapper Service]

バインディング時にエンドポイント マッパー サービスを実行するかどうか。このサービスを使用して、クライアントはエンドポイント マッパーと呼ばれるサーバに、必要なサービスについて動的に割り当てられたネットワーク情報をクエリーします。

[Enable Endpoint Mapper Service Lookup]

[Service Lookup Timeout]

エンドポイント マッパー サービスの検索操作をイネーブルにするかどうか。このオプションを選択した場合は、検索操作のタイムアウトを入力できます。タイムアウトを指定しない場合は、ピンホール タイムアウトまたはデフォルトのピンホール タイムアウト値が使用されます。有効な値は、00:00:01 ~ 1193:00:00 です。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

DNS マップの設定

[Add DNS Map]/[Edit DNS Map] ダイアログボックスを使用して、インスペクション用の DNS マップを定義します。DNS マップを使用すると、DNS アプリケーション インスペクションに使用するデフォルト設定値を変更できます。

DNS アプリケーションのインスペクションでは、DNS スプーフィングとキャッシュ侵害からの保護を提供する DNS メッセージ制御がサポートされます。特定の DNS タイプを許可、ドロップ、または記録し、その他の DNS タイプをブロックする規則を設定できます。たとえば、サーバ間でのゾーン転送を制限できます。

DNS ヘッダーの Recursion Desired フラグと Recursion Available フラグをマスクして、パブリック サーバが特定の内部ゾーンだけをサポートする場合に、そのサーバを攻撃から保護できます。また、DNS ランダム化をイネーブルにすると、ランダム化をサポートしていないサーバや強度の低い擬似乱数ジェネレータを使用するサーバのスプーフィングやキャッシュ侵害を回避できます。クエリーできるドメイン名を制限することによって、パブリック サーバがより確実に保護されます。

不一致の DNS 応答を過度に多数受信した(このことはキャッシュ侵害攻撃を示している可能性があります)場合に、DNS 不一致のアラートを設定して通知できます。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Maps] > [Policy Maps] > [Inspect] > [DNS] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

「インスペクション ポリシーのクラス マップの設定」

フィールド リファレンス

 

表 15-12 [Add DNS Map]/[Edit DNS Map] ダイアログボックス

要素
説明

[Name]

ポリシー オブジェクトの名前。最大 40 文字を使用できます。

[Description]

ポリシー オブジェクトの説明。最大 200 文字を使用できます。

[Protocol Conformance] タブ

DNS セキュリティの設定とアクションを定義します。このタブのオプションの詳細については、「DNS マップの [Protocol Conformance] タブ」を参照してください。

[Filtering] タブ

DNS のフィルタリング設定を定義します。このタブのオプションの詳細については、「DNS マップの [Filtering] タブ」を参照してください。

[Mismatch Rate] タブ

[Log When DNS ID Mismatch Rate Exceeds] オプションでは、DNS 識別子不一致が過度に発生した場合に、次の基準に基づいてレポートするかどうかを決定します。

[Threshold]:システム メッセージ ログが送信される前に許容される不一致の最大発生数。値は 0 ~ 4294967295 です。

[Time Interval]:モニタする期間(秒単位)。値は 1 ~ 31536000 です。

[Match Condition and Action] タブ

[Match All] テーブルに、ポリシー マップに含まれている基準が表示されます。各行には、各基準に一致する、または一致しないトラフィックを検査で検索するかどうか、検査される基準と値、および条件を満たすトラフィックに対して実行されるアクションが示されます。

基準を追加するには、[Add] ボタンをクリックし、[Match Condition and Action] ダイアログボックスに入力します(「DNS クラス マップおよび DNS ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」を参照)。

基準を編集するには、基準を選択し、[Edit] ボタンをクリックします。

基準を削除するには、基準を選択し、[Delete] ボタンをクリックします。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

DNS マップの [Protocol Conformance] タブ

[Protocol Conformance] タブを使用して、DNS マップの DNS セキュリティ設定とアクションを定義します。

ナビゲーション パス

[Add DNS Map]/[Edit DNS Map] ダイアログボックスの [Protocol Conformance] タブをクリックします。「DNS マップの設定」を参照してください。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-13 DNS マップの [Protocol Conformance] タブ

要素
説明

[Enable DNS Guard Function]

DNS ヘッダーの識別子フィールドを使用して DNS クエリーおよび応答の不一致チェックを実行するかどうか。クエリーごとに 1 つの応答がセキュリティ アプライアンスを通過できます。

[Generate Syslog for ID Mismatch]

DNS 識別子の不一致が過度に発生した場合に syslog エントリを作成するかどうか。

[Randomize the DNS Identifier for DNS Query]

DNS クエリー メッセージの DNS 識別子をランダム化するかどうか。

[Enable NAT Rewrite Function]

DNS 応答の A レコードで IP アドレス変換をイネーブルにするかどうか。

[Enable Protocol Enforcement]

ドメイン名、ラベル長、圧縮、ループ ポインタのチェックなど、DNS メッセージ形式チェックをイネーブルにするかどうか。

[Require Authentication Between DNS Server (RFC2845)]

[Action]

RFC 2845 の定義に従って、DNS サーバ間で認証を要求するかどうか。このオプションを選択した場合は、認証がない場合に実行するアクションを選択します。

DNS マップの [Filtering] タブ

[Filtering] タブを使用して、DNS マップの DNS フィルタリング設定とアクションを定義します。

ナビゲーション パス

[Add DNS Map]/[Edit DNS Map] ダイアログボックスの [Filtering] タブをクリックします。「DNS マップの設定」を参照してください。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-14 DNS マップの [Filtering] タブ

要素
説明

[Drop Packets that Exceed Specified Length]

[Maximum Packet Length]

指定したバイト単位の最大長を超えたパケットをドロップするかどうか。これはグローバル設定です。

[Drop Packets Sent to Server that Exceed Specified Maximum Length]

[Maximum Length]

指定したバイト単位の最大長を超えた、サーバに送信されたパケットをドロップするかどうか。

[Drop Packets Sent to Server that Exceed Length Indicated by Resource Record]

サーバに送信されたパケットのうち、リソース レコードで指定された長さを超えるものをドロップするかどうか。

[Drop Packets Sent to Client that Exceed Specified Length]

[Maximum Length]

クライアントに送信されたパケットのうち、指定したバイト単位の最大長を超えたものをドロップするかどうか。

[Drop Packets Sent to Client that Exceed Length Indicated by Resource Record]

リソース レコードで指定された長さを超えた、クライアントに送信されたパケットをドロップするかどうか。

DNS クラス マップおよび DNS ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

[Add DNS Match Criterion]/[Edit DNS Match Criterion] ダイアログボックス(DNS クラス マップの場合)または [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス(DNS ポリシー マップの場合)を使用して、次の処理を行います。

DNS クラス マップの一致基準と値を定義する。

DNS ポリシー マップの作成時に DNS クラス マップを選択する。

DNS ポリシー マップに一致基準、値、およびアクションを直接定義する。

このダイアログボックスのフィールドは、選択した基準、およびクラス マップとポリシー マップのどちらを作成しているかによって変わります。

ナビゲーション パス

DNS クラス マップを作成している場合は、[Policy Object Manager] で、DNS の [Add Class Maps]/[Edit Class Maps] ダイアログボックスのテーブル内を右クリックして [Add Row] を選択するか、行を右クリックして [Edit Row] を選択します。「インスペクション ポリシーのクラス マップの設定」を参照してください。

DNS ポリシー マップを作成している場合は、[Policy Object Manager] で、[Add DNS Map]/[Edit DNS Map] ダイアログボックスの [Match Condition and Action] タブのテーブル内を右クリックして [Add Row] を選択するか、行を右クリックして [Edit Row] を選択します。「DNS マップの設定」を参照してください。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-15 DNS クラス マップおよび DNS ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

要素
説明

[Match Type]

[Class Name]

(ポリシー マップのみ)

既存の DNS クラス マップを使用するか、新規 DNS クラス マップを定義できます。

[Use Specified Values]:このダイアログボックスでクラス マップを定義する場合。

[Use Values in Class Map]:既存の DNS クラス マップ ポリシー オブジェクトを選択する場合。DNS クラス マップの名前を [Class Name] フィールドに入力します。[Select] をクリックしてリストからマップを選択するか、または新しいクラス マップ オブジェクトを作成します。

[Criterion]

照合するトラフィック基準を指定します。

[DNS Class]:DNS クエリーまたはリソース レコードのクラスを照合します。

[DNS Type]:DNS クエリーまたはリソース レコードのタイプを照合します。

[Domain Name]:DNS クエリーまたはリソース レコードのドメイン名を照合します。

[Header Flag]:ヘッダー内の DNS フラグを照合します。

[Question]:DNS の質問を照合します。

[Resource Record]:DNS リソース レコードを照合します。

[Type]

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、[Doesn't Match] がストリング「example.com」で選択されている場合は、「example.com」が含まれているすべてのトラフィックがマップから除外されます。

[Matches]:基準に一致する。

[Doesn't Match]:基準に一致しない。

[Action]

(ポリシー マップのみ)

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。

可変フィールド

次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。

[Value]

(DNS クラス基準の場合)

検査する DNS クラス。

[Internet]:インターネット DNS クラスと一致します。

[DNS Class Field Value]:指定した数値と一致します。

[DNS Class Field Range]:指定した数値範囲と一致します。

[Value]

(DNS タイプ基準の場合)

検査する DNS タイプ。

[DNS Type Field Name]:DNS タイプの名前と一致します。

[A]:IPv4 アドレス。

[AXFR]:完全(ゾーン)転送。

[CNAME]:正規の名前。

[IXFR]:増分(ゾーン)転送。

[NS]:権限ネームサーバ。

[SOA]:権限のゾーンの開始。

[TSIG]:トランザクション シグニチャ。

[DNS Type Field Value]:指定した数値と一致します。

[DNS Type Field Range]:指定した数値範囲と一致します。

[Value]

(ドメイン名基準の場合)

評価する正規表現。次のいずれかを選択できます。

[Regular Expression]:パターン マッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[Select] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

[Regular Expression Group]:パターン マッチングに使用する正規表現を定義する、正規表現グループ オブジェクト。オブジェクトの名前を入力します。[Select] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現グループ オブジェクトを作成できます。

[Options]

[Value]

(ヘッダー フラグ基準の場合)

検査するヘッダー フラグ。[Options] フィールドを使用して、完全一致(等しい)または部分一致(含む)のどちらを適用するかを指定します。

[Header Flag Name]:選択したヘッダー フラグ名と一致します。

AA(権威のある回答)

QR(クエリー)

RA(再帰可能)

RD(再帰拒否)

TC(切り捨て)フラグ ビット

[Header Flag Value]:指定した 16 ビットの 16 進値と一致します。

[Resource Record]

照合するセクションをリストします。

[Additional]:DNS 追加リソース レコード。

[Answer]:DNS 回答リソース レコード。

[Authority]:DNS 権限リソース レコード。

ESMTP マップの設定

[Add ESMTP Map]/[Edit ESMTP Map] ダイアログボックスを使用して、ESMTP 検査マップの一致基準と値を定義します。ESMTP ポリシー マップを使用すると、ESMTP インスペクションに使用するデフォルト設定値を変更できます。

ESMTP インスペクションでは、スパム、フィッシング、不正形式メッセージ攻撃、バッファ オーバーフロー/アンダーフロー攻撃などの攻撃を検出します。このインスペクションでは、アプリケーション セキュリティとプロトコルへの準拠もサポートされています。これにより、ESMTP メッセージの健全性が確保され、複数の攻撃の検出、送信者/受信者のブロック、およびメール中継のブロックを行うことができます。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Maps] > [Policy Maps] > [Inspect] > [ESMTP] を選択します。テーブル内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-16 [Add ESMTP Map]/[Edit ESMTP Map] ダイアログボックス

要素
説明

[Name]

ポリシー オブジェクトの名前。最大 40 文字を使用できます。

[Description]

ポリシー オブジェクトの説明。最大 200 文字を使用できます。

[Parameters] タブ

[Mask Server Banner]

クライアントがサーバ情報を検出することを防ぐためにサーバ バナーをマスクするかどうか。

[Configure Mail Relay]

[Domain Name]

[Action]

ESMTP インスペクションでメール中継を検出するかどうか。このオプションを選択する場合は、検査しているドメイン名を入力し、メール中継が検出された場合に実行するアクションを選択します。

[Special Character](ASA7.2.3+/PIX7.2.3+)

[Action]

送信者または受信者の電子メール アドレス内の特殊文字を検出するかどうか。このオプションを選択した場合は、特殊文字が検出された場合に実行するアクションを選択します。

[Allow TLS](ASA7.2.3+、8.0.3+/PIX7.2.3)

[Action Log]

セキュリティ アプライアンスで TLS プロキシを許可するかどうか。このオプションを選択した場合は、[Action Log] も選択して、TLS の検出時にログ エントリを作成します。

[Match Condition and Action] タブ

[Match All] テーブルに、ポリシー マップに含まれている基準が表示されます。各行には、各基準に一致する、または一致しないトラフィックを検査で検索するかどうか、検査される基準と値、および条件を満たすトラフィックに対して実行されるアクションが示されます。

基準を追加するには、[Add] ボタンをクリックし、[Match Condition and Action] ダイアログボックスに入力します(「ESMTP ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」を参照)。

基準を編集するには、基準を選択し、[Edit] ボタンをクリックします。

基準を削除するには、基準を選択し、[Delete] ボタンをクリックします。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

ESMTP ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

[Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックスを使用して、ESMTP ポリシー マップの一致基準、値、およびアクションを定義します。

このダイアログボックスのフィールドは、選択した基準によって変わります。次の基準を使用できます。

[Body Length]:メッセージ本文の長さと一致します。

[Body Line Length]:メッセージ本文の行の長さと一致します。

[Commands]:ESMTP コマンドと一致します。

[Command Recipient Count]:受信者の電子メール アドレスの数と一致します。

[Command Line Length]:コマンドラインの文字数と一致します。

[EHLO Reply Parameters]:ESMTP EHLO 応答パラメータと一致します。

[Header Length]:ヘッダーの文字数と一致します。

[Header Line Length]:メッセージ ヘッダー内の行の文字数と一致します。

[To Recipients Count]:ヘッダーの To フィールドの受信者数と一致します。

[Invalid Recipients Count]:ヘッダー内の無効な受信者数と一致します。

[MIME File Type]:MIME ファイル タイプと一致します。

[MIME Filename Length]:ファイル名の文字数と一致します。

[MIME Encoding]:MIME 符号化スキームと一致します。

[Sender Address]:送信元のアドレスと一致します。

[Sender Address Length]:送信元のアドレスの文字数と一致します。

ナビゲーション パス

[Policy Object Manager] で、[Add ESMTP Map]/[Edit ESMTP Map] ダイアログボックスの [Match Condition and Action] タブのテーブル内を右クリックして [Add Row] を選択するか、行を右クリックして [Edit Row] を選択します。「ESMTP マップの設定」を参照してください。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-17 ESMTP ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

要素
説明

[Criterion]

照合する ESMTP トラフィック基準を指定します。基準については、上記で説明しています。

[Type]

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、[Doesn't Match] がストリング「example.com」で選択されている場合は、「example.com」が含まれているすべてのトラフィックがマップから除外されます。

[Matches]:基準に一致する。

[Doesn't Match]:基準に一致しない。

[Action]

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。

可変フィールド

次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。

[Greater Than Length]

評価されるフィールドの長さ(バイト単位)。この基準は、長さが指定した数値よりも大きい場合に一致し、フィールドが指定した数値よりも小さい場合は一致しません。

ダイアログボックスでは、[Body Length] および [Header Length] を除き、1 ~ 4294967295 を指定できる有効な長さ範囲を指定します。

[Commands]

検査する ESMTP コマンド バーブ。

[Greater Than Count]

評価される項目の数。この基準は、カウントが指定した数値よりも大きい場合に一致し、カウントが指定した数値よりも小さい場合は一致しません。

[Parameters]

検査する ESMTP EHLO 応答パラメータ。

[Value]

評価する正規表現。次のいずれかを選択できます。

[Regular Expression]:パターン マッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[Select] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

[Regular Expression Group]:パターン マッチングに使用する正規表現を定義する、正規表現グループ オブジェクト。オブジェクトの名前を入力します。[Select] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現グループ オブジェクトを作成できます。

[MIME Encoding]

検査する MIME 符号化スキーム。

FTP マップの設定

[Add FTP Map]/[Edit FTP Map] ダイアログボックスを使用して、FTP 検査マップの一致基準と値を定義します。FTP マップを使用して、FTP PUT などの特定の FTP プロトコル方式がセキュリティ アプライアンスを通過して FTP サーバに到達するのをブロックできます。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Maps] > [Policy Maps] > [Inspect] > [FTP] を選択します。テーブル内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

「インスペクション ポリシーのクラス マップの設定」

フィールド リファレンス

 

表 15-18 [Add FTP Map]/[Edit FTP Map] ダイアログボックス

要素
説明

[Name]

ポリシー オブジェクトの名前。最大 40 文字を使用できます。

[Description]

ポリシー オブジェクトの説明。最大 200 文字を使用できます。

[Parameters] タブ

[Mask Greeting Banner from Server]

FTP サーバのグリーティング バナーをマスクして、クライアントがサーバ情報を検出するのを防ぐかどうか。

[Mask Reply to SYST Command]

syst コマンドへの応答をマスクして、クライアントがサーバ情報を検出するのを防ぐかどうか。

[Match Condition and Action] タブ

[Match All] テーブルに、ポリシー マップに含まれている基準が表示されます。各行には、各基準に一致する、または一致しないトラフィックを検査で検索するかどうか、検査される基準と値、および条件を満たすトラフィックに対して実行されるアクションが示されます。

基準を追加するには、[Add] ボタンをクリックし、[Match Condition and Action] ダイアログボックスに入力します(「FTP クラス マップおよび FTP ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」を参照)。

基準を編集するには、基準を選択し、[Edit] ボタンをクリックします。

基準を削除するには、基準を選択し、[Delete] ボタンをクリックします。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

[Validate For]

[Validate] ボタン

オブジェクトを検証するデバイス プラットフォーム。オブジェクトを使用するプラットフォームを選択し、[Validate] をクリックして、そのオブジェクトがポリシー配置を回避するように設定されているかどうかを判断します。

FTP クラス マップおよび FTP ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

[Add FTP Match Criterion]/[Edit FTP Match Criterion] ダイアログボックス(FTP クラス マップの場合)または [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス(FTP ポリシー マップの場合)を使用して、次の処理を行います。

FTP クラス マップの一致基準と値を定義する。

FTP ポリシー マップの作成時に FTP クラス マップを選択する。

FTP ポリシー マップに一致基準、値、およびアクションを直接定義する。

このダイアログボックスのフィールドは、選択した基準、およびクラス マップとポリシー マップのどちらを作成しているかによって変わります。

ナビゲーション パス

FTP クラス マップを作成している場合は、[Policy Object Manager] で、FTP の [Add Class Maps]/[Edit Class Maps] ダイアログボックスのテーブル内を右クリックして [Add Row] を選択するか、行を右クリックして [Edit Row] を選択します。「インスペクション ポリシーのクラス マップの設定」を参照してください。

FTP ポリシー マップを作成している場合は、[Policy Object Manager] で、[Add FTP Map]/[Edit FTP Map] ダイアログボックスの [Match Condition and Action] タブのテーブル内を右クリックして [Add Row] を選択するか、行を右クリックして [Edit Row] を選択します。「FTP マップの設定」を参照してください。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-19 FTP クラス マップおよび FTP ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

要素
説明

[Match Type]

[Class Name]

(ポリシー マップのみ)

既存の FTP クラス マップを使用するか、新規 FTP クラス マップを定義できます。

[Use Specified Values]:このダイアログボックスでクラス マップを定義する場合。

[Use Values in Class Map]:既存の FTP クラス マップ ポリシー オブジェクトを選択する場合。FTP クラス マップの名前を [Class Name] フィールドに入力します。[Select] をクリックしてリストからマップを選択するか、または新しいクラス マップ オブジェクトを作成します。

[Criterion]

照合する FTP トラフィック基準を指定します。

[Request Command]:FTP 要求コマンドを照合します。

[Filename]:FTP 転送のファイル名を照合します。

[File Type]:FTP 転送のファイル タイプを照合します。

[Server]:FTP サーバ名を照合します。

[Username]:FTP ユーザ名を照合します。

[Type]

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、[Doesn't Match] がストリング「example.com」で選択されている場合は、「example.com」が含まれているすべてのトラフィックがマップから除外されます。

[Matches]:基準に一致する。

[Doesn't Match]:基準に一致しない。

[Action]

(ポリシー マップのみ)

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。

可変フィールド

次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。

[Request Commands]

検査する FTP コマンド。

[Append (APPE)]:ファイルに追加します。

[Delete (DELE)]:サーバ サイトでファイルを削除します。

[Help (HELP)]:サーバからヘルプ情報を提供します。

[Put (PUT)]:stor(ファイルの保存)コマンドの FTP クライアント コマンド。

[Rename From (RNFR)]:名前変更する元のファイル名を指定します。

[Server Specific Command (SITE)]:サーバに固有のコマンドを指定します。通常はリモート管理に使用されます。

[Change to Parent (CDUP)]:現在の作業ディレクトリの親ディレクトリに変更します。

[Get (GET)]:retr(ファイルの取得)コマンドの FTP クライアント コマンド。

[Create Directory (MKD)]:ディレクトリを作成します。

[Remove Directory (RMD)]:ディレクトリを削除します。

[Rename To (RNTO)]:名前変更する先の名前を指定します。

[Store File with Unique Name (STOU)]:ファイルを一意のファイル名で保存します。

[Value]

評価する正規表現。次のいずれかを選択できます。

[Regular Expression]:パターン マッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[Select] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

[Regular Expression Group]:パターン マッチングに使用する正規表現を定義する、正規表現グループ オブジェクト。オブジェクトの名前を入力します。[Select] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現グループ オブジェクトを作成できます。

GTP マップの設定

[Add GTP Map]/[Edit GTP Map] ダイアログボックスを使用して、GTP 検査マップの一致基準と値を定義します。

GPRS Tunnel Protocol(GTP; GPRS トンネル プロトコル)は、モバイル サブスクライバに対して、GSM ネットワークと企業ネットワークまたはインターネットの間の中断のない接続を提供します。GTP では、トンネリング メカニズムを使用して、ユーザ データ パケットを伝送するサービスを提供します。

GTP マップ オブジェクトを使用すると、GTP アプリケーション インスペクションに使用するデフォルト設定値を変更できます。GTP プロトコルは、インターネットなどの TCP/IP ネットワークへのワイヤレス接続にセキュリティを提供する設計になっています。GTP マップを使用して、タイムアウト値、メッセージ サイズ、トンネル数、およびセキュリティ アプライアンスを通過する GTP バージョンを制御できます。


ヒント GTP インスペクションには特殊なライセンスが必要です。必要なライセンスがない場合は、GTP マップを展開しようとした場合にデバイス エラーが発生します。


ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Maps] > [Policy Maps] > [Inspect] > [GTP] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-20 [Add GTP Map]/[Edit GTP Map] ダイアログボックス

要素
説明

[Name]

ポリシー オブジェクトの名前。最大 40 文字を使用できます。

[Description]

ポリシー オブジェクトの説明。最大 200 文字を使用できます。

[Parameters] タブ

[Country and Network Codes Table]

マップに含める 3 桁の Mobile Country Code(mcc; モバイル国コード)および Mobile Network Code(mnc; モバイル ネットワーク コード)。コードは 000 ~ 999 です。

コードを追加するには、[Add] ボタンをクリックし、ダイアログボックスに入力します。

行を編集するには、行を選択し、[Edit] ボタンをクリックします。

行を削除するには、行を選択し、[Delete] ボタンをクリックします。

[Permit Response Table]

応答の送信先とは異なる GSN からの GTP 応答を許可するネットワーク/ホスト ポリシー オブジェクト。

オブジェクトを追加するには、[Add] ボタンをクリックし、ダイアログボックスに入力します。詳細については、「[Add Permit Response]/[Edit Permit Response] ダイアログボックス」を参照してください。

行を編集するには、行を選択し、[Edit] ボタンをクリックします。

行を削除するには、行を選択し、[Delete] ボタンをクリックします。

[Request Queue]

キュー内で許可される最大要求数。制限に達したあとに新しい要求が到着すると、最も長時間キュー内にあった要求が削除されます。値は 1 ~ 9999999 です。デフォルトは 200 です。

[Tunnel Limit]

許可されるトンネルの最大数。

[Permit Errors]

エラーがあるか GTP バージョンが異なるパケットを許可するかどうか。デフォルトでは、解析時に失敗したすべての無効パケットがドロップされます。

[Edit Timeouts] ボタン

このボタンをクリックして、さまざまな操作のタイムアウト値を設定します。これらのオプションの詳細については、「[GTP Map Timeouts] ダイアログボックス」を参照してください。

[Match Condition and Action] タブ

[Match All] テーブルに、ポリシー マップに含まれている基準が表示されます。各行には、各基準に一致する、または一致しないトラフィックを検査で検索するかどうか、検査される基準と値、および条件を満たすトラフィックに対して実行されるアクションが示されます。

基準を追加するには、[Add] ボタンをクリックし、[Match Condition and Action] ダイアログボックスに入力します(「GTP ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」を参照)。

基準を編集するには、基準を選択し、[Edit] ボタンをクリックします。

基準を削除するには、基準を選択し、[Delete] ボタンをクリックします。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

[Validate For]

[Validate] ボタン

オブジェクトを検証するデバイス プラットフォーム。オブジェクトを使用するプラットフォームを選択し、[Validate] をクリックして、そのオブジェクトがポリシー配置を回避するように設定されているかどうかを判断します。

[Add Country Network Codes]/[Edit Country Network Codes] ダイアログボックス

[Add Country Network Codes]/[Edit Country Network Codes] ダイアログボックスを使用して、Mobile Country Code(mcc; モバイル国コード)および Mobile Network Code(mnc; モバイル ネットワーク コード)値を GTP ポリシー マップに追加します。コードは 000 ~ 999 です。

ナビゲーション パス

[Add GTP Map]/[Edit GTP Map] ダイアログボックスで、[Country and Network codes] テーブルの [Add] ボタンをクリックするか、行を選択して [Edit] ボタンをクリックします。「GTP マップの設定」を参照してください。

[Add Permit Response]/[Edit Permit Response] ダイアログボックス

[Add Permit Response]/[Edit Permit Response] ダイアログボックスを使用して、応答の送信先とは異なる GSN からの GTP 応答を許可します。

トラフィックの宛先([To Object Group])および送信元([From Object Group])を定義するネットワーク/ホスト ポリシー オブジェクトの名前を入力します。[Select] をクリックして、リストからオブジェクトを選択します。[Object Selector] ダイアログボックスの [Create] ボタンをクリックすることにより、新しいオブジェクトを作成することもできます。

「any」という名前のネットワーク/ホスト オブジェクトは使用できません。

ナビゲーション パス

[Add GTP Map]/[Edit GTP Map] ダイアログボックスで、[Permit Response] テーブルの [Add] ボタンをクリックするか、行を選択して [Edit] ボタンをクリックします。「GTP マップの設定」を参照してください。

[GTP Map Timeouts] ダイアログボックス

[GTP Map Timeouts] ダイアログボックスを使用して、GTP マップのタイムアウト値を設定します。

ナビゲーション パス

[Add GTP Map]/[Edit GTP Map] ダイアログボックスで、[Parameters] タブの [Edit Timeouts] ボタンをクリックします。「GTP マップの設定」を参照してください。

フィールド リファレンス

 

表 15-21 [GTP Map Timeouts] ダイアログボックス

要素
説明

[GSN Timeout]

非活動状態のままこの時間(hh:mm:ss)が経過すると GSN が削除されます。デフォルトは 30 分です。すぐにティアダウンしない場合は、0 を入力します。

[PDP Context Timeout]

PDP コンテキストの受信を開始する前に許容される最大期間(hh:mm:ss)。デフォルトは 30 分です。制限なしを指定する場合は、0 を入力します。

[Request Queue Timeout]

GTP メッセージの受信を開始する前に許容される最大期間(hh:mm:ss)。デフォルトは 60 秒です。制限なしを指定する場合は、0 を入力します。

[Signaling Connections Timeout]

非活動状態のままこの時間(hh:mm:ss)が経過すると GTP シグナリングが削除されます。デフォルトは 30 分です。シグナルを削除しない場合は、0 を入力します。

[Tunnel Timeout]

非活動状態のままこの時間(hh:mm:ss)が経過すると GTP トンネルがティアダウンされます。デフォルトは 60 秒です(PDP コンテキストの削除要求を受信していない場合)。すぐにティアダウンしない場合は、0 を入力します。

[T3 Response Timeout]

接続を除去する前に応答を待機する最大時間。

GTP ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

[Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックスを使用して、GTP ポリシー マップの一致基準、値、およびアクションを定義します。

このダイアログボックスのフィールドは、選択した基準によって変わります。

ナビゲーション パス

[Policy Object Manager] で、[Add GTP Map]/[Edit GTP Map] ダイアログボックスの [Match Condition and Action] タブのテーブル内を右クリックして [Add Row] を選択するか、行を右クリックして [Edit Row] を選択します。「GTP マップの設定」を参照してください。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-22 GTP ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

要素
説明

[Criterion]

照合する GTP トラフィック基準を指定します。

[Access Point Name]:アクセス ポイント名を照合します。このため、GTP アプリケーションのインスペクションがイネーブルになっている場合にドロップするアクセス ポイントを定義できます。

[Message ID]:ドロップするメッセージの数値 ID を照合します。デフォルトでは、すべての有効なメッセージ ID が許可されます。

[Message Length]:UDP パケットの長さを照合します。この基準を使用して、UDP ペイロードに対して許可されるメッセージの最大長のデフォルトを変更します。

[Version]:GTP バージョンを照合します。

[Type]

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、[Doesn't Match] がストリング「example.com」で選択されている場合は、「example.com」が含まれているすべてのトラフィックがマップから除外されます。

[Matches]:基準に一致する。

[Doesn't Match]:基準に一致しない。

[Action]

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。

[Drop Packet]:デフォルトでは、解析時に失敗したすべての無効パケットがドロップされます。

[Drop Packet and Log]

[Rate Limit]

可変フィールド

次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。

[Access Point Name]

GTP アプリケーションのインスペクションがイネーブルになっている場合に作用するアクセス ポイント。

[Specified By]:ドロップするアクセス ポイント名。デフォルトでは、有効な APN を持つすべてのメッセージが検査され、すべての APN が許可されます。

[Regular Expression]:パターン マッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[Select] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

[Regular Expression Group]:パターン マッチングに使用する正規表現を定義する、正規表現グループ オブジェクト。オブジェクトの名前を入力します。[Select] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現グループ オブジェクトを作成できます。

[ID Type]

操作対象のメッセージの数値 ID。

[Value]:単一のメッセージ ID。

[Range]:メッセージ ID の範囲。

[Minimum Length]

UDP ペイロード内の最小バイト数。

[Maximum Length]

UDP ペイロード内の最大バイト数。

[Version Type]

単一値または値範囲としての GTP バージョン。

バージョン 0 を指定するには 0 を使用し、バージョン 1 を指定するには 1 を使用します。バージョン 0 の GTP ではポート 2123 を使用し、バージョン 1 ではポート 3386 を使用します。デフォルトでは、すべての GTP バージョンが許可されます。

H.323 マップの設定

[Add H.323 Map]/[Edit H.323 Map] ダイアログボックスを使用して、H.323 検査マップの一致基準と値を定義します。H.323 ポリシー マップを使用すると、H.323 インスペクションに使用するデフォルト設定値を変更できます。

H.323 インスペクションでは、Cisco CallManager や VocalTec Gatekeeper などの H.323 準拠アプリケーションがサポートされます。H.323 は、LAN 上でのマルチメディア会議について国際電気通信連合が定義しているプロトコルのスイートです。セキュリティ アプライアンスでは、バージョン 4 までの H.323 がサポートされます。これには、H.323 v3 機能である Multiple Calls on One Call Signaling Channel(1 つのコール シグナリング チャネルでの複数コール)が含まれます。

H.323 インスペクションがイネーブルになっている場合、セキュリティ アプライアンスでは、H.323 バージョン 3 で導入された機能である同じコール シグナリング チャネルでの複数コールがサポートされます。この機能により、コール セットアップ時間が短縮され、セキュリティ アプライアンス上で使用されるポート数が削減されます。H.323 インスペクションの 2 つの主要機能は次のとおりです。

H.225 および H.245 メッセージに必要な組み込み IPv4 アドレスの NAT。H.323 メッセージは PER 符号化フォーマットで符号化されているため、セキュリティ アプライアンスでは、ASN.1 デコーダを使用して H.323 メッセージをデコードします。

ネゴシエーションされた H.245 および RTP/RTCP 接続の動的な割り当て。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Maps] > [Policy Maps] > [Inspect] > [H.323 (ASA/PIX/FWSM)] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

「インスペクション ポリシーのクラス マップの設定」

フィールド リファレンス

 

表 15-23 [Add H.323 Map]/[Edit H.323 Map] ダイアログボックス

要素
説明

[Name]

ポリシー オブジェクトの名前。最大 40 文字を使用できます。

[Description]

ポリシー オブジェクトの説明。最大 200 文字を使用できます。

[Parameters] タブ

[HSI Group table]

マップに含める HSI グループ。グループ番号、HSI ホストの IP アドレス、およびセキュリティ アプライアンスに接続しているクライアントの IP アドレスとインターフェイス名がテーブルに表示されます。グループあたり最大 5 つの HSI ホスト、HSI グループあたり最大 10 個のエンド ポイントが許可されます。

グループを追加するには、[Add] ボタンをクリックし、ダイアログボックスに入力します(「[Add HSI Group]/[Edit HSI Group] ダイアログボックス」を参照)。

グループを編集するには、グループを選択し、[Edit] ボタンをクリックします。

グループを削除するには、グループを選択し、[Delete] ボタンをクリックします。

[Call Duration Limit]

秒単位でのコール期間制限。範囲は 0:0:0 ~ 1163:0:0 です。値 0 はタイムアウトしないことを意味します。

[Enforce Presence of Calling and Called Party Numbers]

コールの確立で使用されるコールと着番号を強制するかどうか。

[Check State Transition on H.225 Messages]

H.225 メッセージで状態チェック検証をイネーブルにするかどうか。

[Check State Transition on RAS Messages]

RAS メッセージで状態チェック検証をイネーブルにするかどうか。

[Create Pinholes on Seeing RCF Packets]

ネットワークの内部にゲートキーパーがある場合に、H.323 エンドポイント間でコールの確立をイネーブルにするかどうか。デバイスは、Registration Request/Registration Confirm(RRQ/RCF)メッセージに基づいてコールのピンホールを開けます。これらの RRQ/RCF メッセージはゲートキーパーとの間で送信されるため、コール側エンドポイントの IP アドレスは不明であり、デバイスは送信元 IP アドレス/ポート 0/0 を通じてピンホールを開けます。

このオプションは、ASA 8.0(5)+ デバイスで使用可能です。

[Check for H.245 Tunneling]

[Action]

H.245 トンネル ブロッキングを実施し、[Action] リストボックスで選択したアクションを実行するかどうか。

[Check RTP Packets for Protocol Conformance]

プロトコル準拠のために、RTP パケットのフローがピンホールを経由することを調べるかどうか。

[Payload Type must be Audio or Video based on Signaling Exchange]

シグナリング交換に基づいてペイロード タイプをオーディオまたはビデオに強制するかどうか。

[Match Condition and Action] タブ

[Match All] テーブルに、ポリシー マップに含まれている基準が表示されます。各行には、各基準に一致する、または一致しないトラフィックを検査で検索するかどうか、検査される基準と値、および条件を満たすトラフィックに対して実行されるアクションが示されます。

基準を追加するには、[Add] ボタンをクリックし、[Match Condition and Action] ダイアログボックスに入力します(「H.323 クラス マップおよび H.323 ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」を参照)。

基準を編集するには、基準を選択し、[Edit] ボタンをクリックします。

基準を削除するには、基準を選択し、[Delete] ボタンをクリックします。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

[Add HSI Group]/[Edit HSI Group] ダイアログボックス

[Add HSI Group]/[Edit HSI Group] ダイアログボックスを使用して、H.323 ポリシー インスペクション マップに HSI グループを追加します。

ナビゲーション パス

[Add H.323 Map]/[Edit H.323 Map] ダイアログボックスの [Parameters] タブで、[HSI group] テーブルの [Add Row] ボタンをクリックするか、行を選択して [Edit Row] ボタンをクリックします。「H.323 マップの設定」を参照してください。

フィールド リファレンス

 

表 15-24 [Add HSI Group]/[Edit HSI Group] ダイアログボックス

要素
説明

[Group ID]

HSI グループの ID 番号(0 ~ 2147483647)。

[IP Address]

HSI ホストの IP アドレス。

[Endpoint table]

HSI グループに関連付けられているエンド ポイント。グループあたり最大 10 個のエンド ポイントを追加できます。エンド ポイントごとに、IP アドレスとインターフェイス ポリシー グループを指定します。

エンド ポイントを追加するには、[Add] ボタンをクリックし、ダイアログボックスに入力します(「[Add HSI Endpoint IP Address]/[Edit HSI Endpoint IP Address] ダイアログボックス」を参照)。

エンド ポイントを編集するには、エンド ポイントを選択し、[Edit] ボタンをクリックします。

エンド ポイントを削除するには、エンド ポイントを選択し、[Delete] ボタンをクリックします。

[Add HSI Endpoint IP Address]/[Edit HSI Endpoint IP Address] ダイアログボックス

[Add HSI Endpoint IP Address]/[Edit HSI Endpoint IP Address] ダイアログボックスを使用して、HSI グループにエンド ポイントを追加します。

ナビゲーション パス

[Add HSI Group]/[Edit HSI Group] ダイアログボックスで、エンド ポイント テーブルの [Add Row] ボタンをクリックするか、行を選択して [Edit Row] ボタンをクリックします。「H.323 マップの設定」を参照してください。

フィールド リファレンス

 

表 15-25 [Add HSI Endpoint IP Address]/[Edit HSI Endpoint IP Address] ダイアログボックス

要素
説明

[Network/Host]

エンド ポイント ホストまたはネットワークの IP アドレス。

[Interface]

セキュリティ アプライアンスに接続されているインターフェイスを識別するインターフェイス ポリシー グループ。ポリシー グループの名前を入力するか、[Select] をクリックしてリストから選択します。ここで新しいポリシー グループを作成することもできます。

H.323 クラス マップおよび H.323 ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

[Add H.323 Match Criterion]/[Edit H.323 Match Criterion] ダイアログボックス(H.323 クラス マップの場合)または [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス(H.323 ポリシー マップの場合)を使用して、次の処理を行います。

H.323 クラス マップの一致基準と値を定義する。

H.323 ポリシー マップの作成時に H.323 クラス マップを選択する。

H.323 ポリシー マップに一致基準、値、およびアクションを直接定義する。

このダイアログボックスのフィールドは、選択した基準、およびクラス マップとポリシー マップのどちらを作成しているかによって変わります。

ナビゲーション パス

H.323 クラス マップを作成している場合は、[Policy Object Manager] で、H.323 の [Add Class Maps]/[Edit Class Maps] ダイアログボックスのテーブル内を右クリックして [Add Row] を選択するか、行を右クリックして [Edit Row] を選択します。「インスペクション ポリシーのクラス マップの設定」を参照してください。

H.323 ポリシー マップを作成している場合は、[Policy Object Manager] で、[Add H.323 Map]/[Edit H.323 Map] ダイアログボックスの [Match Condition and Action] タブのテーブル内を右クリックして [Add Row] を選択するか、行を右クリックして [Edit Row] を選択します。「H.323 マップの設定」を参照してください。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-26 H.323 クラス マップおよび H.323 ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

要素
説明

[Match Type]

[Class Name]

(ポリシー マップのみ)

既存の H.323 クラス マップを使用するか、新規 H.323 クラス マップを定義できます。

[Use Specified Values]:このダイアログボックスでクラス マップを定義する場合。

[Use Values in Class Map]:既存の H.323 クラス マップ ポリシー オブジェクトを選択する場合。H.323 クラス マップの名前を [Class Name] フィールドに入力します。[Select] をクリックしてリストからマップを選択するか、または新しいクラス マップ オブジェクトを作成します。

[Criterion]

照合する H.323 トラフィック基準を指定します。

[Called Party]:着信ユーザ アドレスを照合します。

[Calling Party]:発信側アドレスを照合します。

[Media Type]:メディア タイプを照合します。

[Type]

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、[Doesn't Match] がストリング「example.com」で選択されている場合は、「example.com」が含まれているすべてのトラフィックがマップから除外されます。

[Matches]:基準に一致する。

[Doesn't Match]:基準に一致しない。

[Action]

(ポリシー マップのみ)

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。

可変フィールド

次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。

[Value]

評価する正規表現。次のいずれかを選択できます。

[Regular Expression]:パターン マッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[Select] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

[Regular Expression Group]:パターン マッチングに使用する正規表現を定義する、正規表現グループ オブジェクト。オブジェクトの名前を入力します。[Select] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現グループ オブジェクトを作成できます。

[Media Type]

検査するメディアのタイプ(オーディオ、ビデオ、またはデータ)。

ASA 7.1.x、PIX 7.1.x、FWSM 3.x、および IOS デバイスの HTTP マップの設定

[Add HTTP Map]/[Edit HTTP Map] ダイアログボックスを使用して、ASA 7.1.x、PIX 7.1.x、FWSM 3.x、および IOS デバイスの HTTP マップを定義します。

アプリケーション ファイアウォールとも呼ばれる拡張 HTTP インスペクション機能では、HTTP メッセージが RFC 2616 に準拠していること、RFC で定義された方式を使用していること、およびその他のさまざまな基準に準拠していることを確認します。このことは、HTTP メッセージを使用してネットワーク セキュリティ ポリシーを回避することによる攻撃を防止するのに役立ちます。

HTTP マップで HTTP インスペクションをイネーブルにした場合は、リセットおよびログ アクションを伴う厳格な HTTP インスペクションがデフォルトでイネーブルになります。インスペクションの失敗に対して実行するアクションは変更できますが、HTTP マップがイネーブルになっているかぎり、厳格なインスペクションはディセーブルにできません。Security Manager では、 http-map コマンドを使用してデバイスにマップを設定します。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Maps] > [Policy Maps] > [Inspect] > [HTTP (ASA 7.1.x/PIX 7.1.x/FWSM3.x/IOS)] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-27 ASA 7.1.x/PIX 7.1.x/FWSM 3.x/IOS デバイスの [Add HTTP Map]/[Edit HTTP Map] ダイアログボックス

要素
説明

[Name]

ポリシー オブジェクトの名前。最大 40 文字を使用できます。

[Description]

ポリシー オブジェクトの説明。最大 200 文字を使用できます。

[General] タブ

準拠していない HTTP 要求が受信された場合に実行するアクションを定義し、コンテンツ タイプの検証をイネーブルにします。オプションの詳細については、「HTTP マップの [General] タブ」を参照してください。

[Entity Length] タブ

HTTP コンテンツの長さが設定したターゲットの範囲外の場合に実行するアクションを定義します。オプションの詳細については、「HTTP マップの [Entity Length] タブ」を参照してください。

[RFC Request Method] タブ

HTTP 要求で特定の RFC 要求メソッドが使用されている場合にセキュリティ アプライアンスが実行する必要のあるアクションを定義します。オプションの詳細については、「HTTP マップの [RFC Request Method] タブ」を参照してください。

[Extension Request Method] タブ

HTTP 要求で特定の拡張要求メソッドが使用されている場合に実行されるアクションを定義します。オプションの詳細については、「HTTP マップの [Extension Request Method] タブ」を参照してください。

[Port Misuse] タブ

特定の望ましくないアプリケーションが検出された場合に実行するアクションを定義します。オプションの詳細については、「HTTP マップの [Port Misuse] タブ」を参照してください。

[Transfer Encoding] タブ

HTTP 要求で特定の転送符号化タイプが使用されている場合に実行されるアクションを定義します。オプションの詳細については、「HTTP マップの [Transfer Encoding] タブ」を参照してください。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

HTTP マップの [General] タブ

[General] タブを使用して、準拠していない HTTP 要求が受信された場合に実行するアクションを定義し、コンテンツ タイプの検証をイネーブルにします。

ナビゲーション パス

ASA 7.1.x/PIX 7.1.x/FWSM 3.x/IOS デバイスの [Add HTTP Map]/[Edit HTTP Map] ダイアログボックスの [General] タブをクリックします。「ASA 7.1.x、PIX 7.1.x、FWSM 3.x、および IOS デバイスの HTTP マップの設定」を参照してください。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-28 HTTP マップの [General] タブ

要素
説明

[Take action for non-RFC 2616 compliant traffic]

RFC 2616 に準拠しないトラフィックに対して実行するアクションを設定するかどうか。設定できるアクションは次のとおりです。

[Allow Packet]:メッセージを許可します。

[Drop Packet]:接続を閉じます。

[Reset Connection](デフォルト):TCP リセット メッセージをクライアントとサーバに送信します。

[Generate Syslog] を選択して、非準拠トラフィックが検出された場合にメッセージを syslog に書き込むこともできます。

[Verify Content-type field belongs to the supported internal content-type list.]

サポートされる内部コンテンツ タイプ リストにコンテンツ タイプがないトラフィックに対して実行するアクションを設定するかどうか。設定できるアクションは次のとおりです。

[Allow Packet]:メッセージを許可します。

[Drop Packet]:接続を閉じます。

[Reset Connection](デフォルト):TCP リセット メッセージをクライアントとサーバに送信します。

次のオプションも選択できます。

[Verify Content-type field for response matches the ACCEPT field of request]:応答のコンテンツ タイプが要求と一致することも確認します。

[Generate Syslog]:非準拠トラフィックが検出された場合にメッセージを syslog に書き込みます。

[Override Global TCP Idle Timeout (IOS only)]

TCP アイドル タイムアウトのデフォルト設定を変更するかどうか。この時間の経過後に通信アクティビティがない場合、IOS デバイスは接続を終了します。このオプションを選択した場合は、目的のタイムアウト値を秒単位で指定します。

[Override Global Audit Trail Setting (IOS only)]

[Enable Audit Trail]

IOS デバイスの監査証跡設定を変更するかどうか。このオプションを選択した場合は、[Enable Audit Trail] を選択して監査証跡メッセージを生成できます。

HTTP マップの [Entity Length] タブ

[Entity Length] タブを使用して、HTTP コンテンツの長さに基づくインスペクションをイネーブルにします。

ナビゲーション パス

ASA 7.1.x/PIX 7.1.x/FWSM 3.x/IOS デバイスの [Add HTTP Map]/[Edit HTTP Map] ダイアログボックスの [Entity Length] タブをクリックします。「ASA 7.1.x、PIX 7.1.x、FWSM 3.x、および IOS デバイスの HTTP マップの設定」を参照してください。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-29 HTTP マップの [Entity Length] タブ

要素
説明

[Inspect URI Length]

URI の長さに基づくインスペクションをイネーブルにするかどうか。このオプションを選択した場合は、次の項目を設定します。

[Maximum]:バイト単位での URI の最大長(1 ~ 65535)。

[Excessive URI Length Action]:長さを超過した場合に実行するアクション。

[Allow Packet]:メッセージを許可します。

[Drop Packet]:接続を閉じます。

[Reset Connection]:TCP リセット メッセージをクライアントとサーバに送信します。

[Generate Syslog]:違反が発生した場合に syslog メッセージを生成するかどうか。

[Inspect Maximum Header Length]

HTTP ヘッダーの長さに基づくインスペクションをイネーブルにするかどうか。このオプションを選択した場合は、次の項目を設定します。

[Request]:バイト単位での要求ヘッダーの最大長(1 ~ 65535)。

[Response]:バイト単位での応答ヘッダーの最大長(1 ~ 65535)。

[Excessive Header Length Action]:長さを超過した場合に実行するアクション。

[Allow Packet]:メッセージを許可します。

[Drop Packet]:接続を閉じます。

[Reset Connection]:TCP リセット メッセージをクライアントとサーバに送信します。

[Generate Syslog]:違反が発生した場合に syslog メッセージを生成するかどうか。

[Inspect Body Length]

メッセージ本文の長さに基づくインスペクションをイネーブルにするかどうか。このオプションを選択した場合は、次の項目を設定します。

[Minimum Threshold]:バイト単位でのメッセージ本文の最小長(1 ~ 65535)。

[Maximum Threshold]:バイト単位でのメッセージ本文の最大長(1 ~ 65535)。

[Body Length Threshold Action]:メッセージ本文が設定した境界の範囲外の場合に実行するアクション。

[Allow Packet]:メッセージを許可します。

[Drop Packet]:接続を閉じます。

[Reset Connection]:TCP リセット メッセージをクライアントとサーバに送信します。

[Generate Syslog]:違反が発生した場合に syslog メッセージを生成するかどうか。

HTTP マップの [RFC Request Method] タブ

[RFC Request Method] タブを使用して、HTTP 要求で特定の要求メソッドが使用されている場合に実行するアクションを定義します。

ナビゲーション パス

ASA 7.1.x/PIX 7.1.x/FWSM 3.x/IOS デバイスの [Add HTTP Map]/[Edit HTTP Map] ダイアログボックスの [RFC Request Method] タブをクリックします。「ASA 7.1.x、PIX 7.1.x、FWSM 3.x、および IOS デバイスの HTTP マップの設定」を参照してください。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-30 HTTP マップの [RFC Request Method]

要素
説明

[Available and Selected Methods]

[Action]

[Generate Syslog]

[Available Methods] リストには、RFC 2616 で定義されている要求メソッドが表示されます。

メソッドのアクションを設定するには、メソッドを選択し、次に、アクションを選択します。選択したメソッドが含まれた HTTP 要求が発生したときに syslog にメッセージが追加されるようにする場合は、任意で [Generate Syslog] を選択します。[>>] ボタンをクリックして、メソッドを [Selected Methods] リストに追加します。(メソッドを選択済みリストから削除するには、メソッドを選択し、[<<] ボタンをクリックします。)

ヒント アクションと syslog 要求がそれぞれ同じである場合は、Ctrl を押しながらクリックすることで、一度に複数のメソッドを選択できます。

指定できるアクションは次のとおりです。

[Allow Packet]:メッセージを許可します。

[Drop Packet]:接続を閉じます。

[Reset Connection](デフォルト):TCP リセット メッセージをクライアントとサーバに送信します。

[Specify the action to be applied for the remaining available methods above.]

上記で特定のアクションを指定していないメソッドのデフォルト アクションを定義するかどうか。このオプションを選択した場合は、アクション、およびデフォルト アクションに使用する syslog 設定を選択します。

HTTP マップの [Extension Request Method] タブ

[Extension Request Method] タブを使用して、HTTP 要求で特定の拡張要求メソッドが使用されている場合に実行するアクションを定義します。

ナビゲーション パス

ASA 7.1.x/PIX 7.1.x/FWSM 3.x/IOS デバイスの [Add HTTP Map]/[Edit HTTP Map] ダイアログボックスの [Extension Request Method] タブをクリックします。「ASA 7.1.x、PIX 7.1.x、FWSM 3.x、および IOS デバイスの HTTP マップの設定」を参照してください。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-31 HTTP マップの [Extension Request Method] タブ

要素
説明

[Available and Selected Methods]

[Action]

[Generate Syslog]

[Available Methods] リストには、RFC 2616 で定義されている拡張要求メソッドが表示されます。

メソッドのアクションを設定するには、メソッドを選択し、次に、アクションを選択します。選択したメソッドが含まれた HTTP 要求が発生したときに syslog にメッセージが追加されるようにする場合は、任意で [Generate Syslog] を選択します。[>>] ボタンをクリックして、メソッドを [Selected Methods] リストに追加します。(メソッドを選択済みリストから削除するには、メソッドを選択し、[<<] ボタンをクリックします。)

ヒント アクションと syslog 要求がそれぞれ同じである場合は、Ctrl を押しながらクリックすることで、一度に複数のメソッドを選択できます。

指定できるアクションは次のとおりです。

[Allow Packet]:メッセージを許可します。

[Drop Packet]:接続を閉じます。

[Reset Connection](デフォルト):TCP リセット メッセージをクライアントとサーバに送信します。

[Specify the action to be applied for the remaining available methods above.]

上記で特定のアクションを指定していないメソッドのデフォルト アクションを定義するかどうか。このオプションを選択した場合は、アクション、およびデフォルト アクションに使用する syslog 設定を選択します。

HTTP マップの [Port Misuse] タブ

[Port Misuse] タブを使用して、ポートの誤用アプリケーション ファイアウォール インスペクションをイネーブルにします。設定できるアプリケーション カテゴリは次のとおりです。

[IM]:インスタント メッセージング。チェックされるアプリケーションは、Yahoo!Messenger、AIM、および MSN IM です。

[P2P]:ピアツーピア アプリケーション。Kazaa アプリケーションがチェックされます。

[Tunneling]:トンネリング アプリケーション。チェックされるアプリケーションは、HTTPort/HTTHost、GNU Httptunnel、GotoMyPC、Firethru、および Http-tunnel.com Client です。

ナビゲーション パス

ASA 7.1.x/PIX 7.1.x/FWSM 3.x/IOS デバイスの [Add HTTP Map]/[Edit HTTP Map] ダイアログボックスの [Port Misuse] タブをクリックします。「ASA 7.1.x、PIX 7.1.x、FWSM 3.x、および IOS デバイスの HTTP マップの設定」を参照してください。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-32 HTTP マップの [Port Misuse] タブ

要素
説明

[Available and Selected Application Categories]

[Action]

[Generate Syslog]

[Available Application Categories] リストには、ファイアウォール インスペクション設定を定義できるカテゴリが表示されます。

カテゴリのアクションを設定するには、カテゴリを選択し、次に、アクションを選択します。選択したアプリケーションが含まれた HTTP 要求が発生したときに syslog にメッセージが追加されるようにする場合は、任意で [Generate Syslog] を選択します。[>>] ボタンをクリックして、カテゴリを [Selected Categories] リストに追加します(カテゴリを選択済みリストから削除するには、カテゴリを選択し、[<<] ボタンをクリックします)。

ヒント アクションと syslog 要求がそれぞれ同じである場合は、Ctrl を押しながらクリックすることで、一度に複数のカテゴリを選択できます。

指定できるアクションは次のとおりです。

[Allow Packet]:メッセージを許可します。

[Drop Packet]:接続を閉じます。

[Reset Connection](デフォルト):TCP リセット メッセージをクライアントとサーバに送信します。

[Specify the action to be applied for the remaining available categories above.]

上記で特定のアクションを指定していないカテゴリのデフォルト アクションを定義するかどうか。このオプションを選択した場合は、アクション、およびデフォルト アクションに使用する syslog 設定を選択します。

HTTP マップの [Transfer Encoding] タブ

[Transfer Encoding] タブを使用して、転送符号化タイプに基づくインスペクションをイネーブルにします。設定できる符号化タイプは次のとおりです。

[Chunked]:メッセージ本文が一連のチャンクとして転送される転送符号化タイプを識別します。

[Compressed]:メッセージ本文が UNIX ファイル圧縮を使用して転送される転送符号化タイプを識別します。

[Deflate]:メッセージ本文が zlib 形式(RFC 1950)および deflate 圧縮(RFC 1951)を使用して転送される転送符号化タイプを識別します。

[GZIP]:メッセージ本文が GNU zip(RFC 1952)を使用して転送される転送符号化タイプを識別します。

[Identity]:メッセージ本文で転送符号化が実行されない接続を識別します。

ナビゲーション パス

ASA 7.1.x/PIX 7.1.x/FWSM 3.x/IOS デバイスの [Add HTTP Map]/[Edit HTTP Map] ダイアログボックスの [Transfer Encoding] タブをクリックします。「ASA 7.1.x、PIX 7.1.x、FWSM 3.x、および IOS デバイスの HTTP マップの設定」を参照してください。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-33 HTTP マップの [Transfer Encoding] タブ

要素
説明

[Available and Selected Encoding Types]

[Action]

[Generate Syslog]

[Available Encoding Types] リストには、ファイアウォール インスペクション設定を定義できる転送符号化のタイプが表示されます。

タイプのアクションを設定するには、タイプを選択し、次に、アクションを選択します。選択したタイプが含まれた HTTP 要求が発生したときに syslog にメッセージが追加されるようにする場合は、任意で [Generate Syslog] を選択します。[>>] ボタンをクリックして、タイプを [Selected Encoding Types] リストに追加します(タイプを選択済みリストから削除するには、タイプを選択し、[<<] ボタンをクリックします)。

ヒント アクションと syslog 要求がそれぞれ同じである場合は、Ctrl を押しながらクリックすることで、一度に複数のタイプを選択できます。

指定できるアクションは次のとおりです。

[Allow Packet]:メッセージを許可します。

[Drop Packet]:接続を閉じます。

[Reset Connection](デフォルト):TCP リセット メッセージをクライアントとサーバに送信します。

[Specify the action to be applied for the remaining available encoding types above.]

上記で特定のアクションを指定していないタイプのデフォルト アクションを定義するかどうか。このオプションを選択した場合は、アクション、およびデフォルト アクションに使用する syslog 設定を選択します。

ASA 7.2+ および PIX 7.2+ デバイスの HTTP マップの設定

[Add HTTP Map]/[Edit HTTP Map] ダイアログボックスを使用して、ASA および PIX ソフトウェア リリース 7.2 以上の HTTP 検査マップの一致基準と値を定義します。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Maps] > [Policy Maps] > [Inspect] > [HTTP (ASA 7.2+/PIX 7.2+)] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

「インスペクション ポリシーのクラス マップの設定」

フィールド リファレンス

 

表 15-34 [Add HTTP Map]/[Edit HTTP Map] ダイアログボックス(ASA 7.2+/PIX 7.2+)

要素
説明

[Name]

ポリシー オブジェクトの名前。最大 40 文字を使用できます。

[Description]

ポリシー オブジェクトの説明。最大 200 文字を使用できます。

[Parameters] タブ

[Body Match Maximum]

本文一致で検索する必要のある HTTP メッセージの本文の最大文字数。

ヒント 値が大きいと、パフォーマンスに多大な影響を与えることがあります。

[Check for protocol violations]

プロトコル違反をチェックするかどうか。

[Action]

定義した設定に基づいて実行するアクション。接続をドロップ、リセット、または記録できます。

[Spoof Server]

サーバ HTTP ヘッダー値を指定した文字列で置換できます。

[Match Condition and Action] タブ

[Match All] テーブルに、ポリシー マップに含まれている基準が表示されます。各行には、各基準に一致する、または一致しないトラフィックを検査で検索するかどうか、検査される基準と値、および条件を満たすトラフィックに対して実行されるアクションが示されます。

基準を追加するには、[Add] ボタンをクリックし、[Match Condition and Action] ダイアログボックスに入力します(「HTTP クラス マップおよび HTTP ポリシー マップ(ASA 7.2+/PIX 7.2+)の [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」を参照)。

基準を編集するには、基準を選択し、[Edit] ボタンをクリックします。

基準を削除するには、基準を選択し、[Delete] ボタンをクリックします。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

[Overrides: None]

デバイスにオーバーライドが存在しないことを示します。表示を変更するには、オーバーライドを手動で設定する必要があります。詳細については、「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

(注) [Allow Value Override per Device] を選択してもオーバーライドは自動的には設定されません。

HTTP クラス マップおよび HTTP ポリシー マップ(ASA 7.2+/PIX 7.2+)の [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

[Add HTTP Match Criterion]/[Edit HTTP Match Criterion] ダイアログボックス(HTTP クラス マップの場合)または [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス(HTTP ポリシー マップの場合)を使用して、次の処理を行います。

HTTP クラス マップの一致基準と値を定義する。

HTTP ポリシー マップの作成時に HTTP クラス マップを選択する。

HTTP ポリシー マップに一致基準、値、およびアクションを直接定義する。

これらのタイプのマップは、ASA 7.2 以上または PIX 7.2 以上のオペレーティング システムを実行しているデバイスだけに使用されます。

このダイアログボックスのフィールドは、選択した基準、およびクラス マップとポリシー マップのどちらを作成しているかによって変わります。次の基準を使用できます。

[Request/Response Content Type Mismatch]:応答のコンテンツ タイプが要求の accept フィールドの MIME タイプの 1 つと一致する必要があることを指定します。

[Request Arguments]:要求の引数に正規表現照合を適用します。

[Request Body]:要求の本文に正規表現照合を適用します。

[Request Body Length]:要求の本文の長さが指定したバイト数よりも大きいまたは小さいものが一致することを指定します。

[Request Header Count]:要求のヘッダー数が指定した数よりも大きいまたは小さいものが一致することを指定します。

[Request Header Length]:要求のヘッダーの長さが指定したバイト数よりも大きいまたは小さいものが一致することを指定します。

[Request Header Field]:要求のヘッダーに正規表現照合を適用します。

[Request Header Field Count]:指定したヘッダー フィールド数に基づいて、要求のヘッダーに正規表現照合を適用します。

[Request Header Field Length]:指定したフィールド長に基づいて、要求のヘッダーに正規表現照合を適用します。

[Request Header Content Type]:要求の content-type ヘッダー フィールドで評価するコンテンツ タイプを指定します。

[Request Header Transfer Encoding]:要求の transfer-encoding ヘッダー フィールドで評価する転送符号化を指定します。

[Request Header Non-ASCII]:要求のヘッダーに非 ASCII 文字があるかどうかを指定します。

[Request Method]:照合する要求メソッドを指定します。

[Request URI]:要求の URI に正規表現照合を適用します。

[Request URI Length]:要求の URI の長さが指定したバイト数よりも大きいまたは小さいものが一致することを指定します。

[Response Body ActiveX]:要求の本文に ActiveX コンテンツがあるかどうかを指定します。

[Response Body Java Applet]:要求の本文に Java アプレットがあるかどうかを指定します。

[Response Body]:応答の本文に正規表現照合を適用します。

[Response Body Length]:応答の本文の長さが指定したバイト数よりも大きいまたは小さいものが一致することを指定します。

[Response Header Count]:応答のヘッダー数が指定した数よりも大きいまたは小さいものが一致することを指定します。

[Response Header Length]:応答のヘッダーの長さが指定したバイト数よりも大きいまたは小さいものが一致することを指定します。

[Response Header Field]:応答のヘッダーに正規表現照合を適用します。

[Response Header Field Count]:指定したヘッダー フィールド数に基づいて、応答のヘッダーに正規表現照合を適用します。

[Response Header Field Length]:指定したフィールド長に基づいて、応答のヘッダーに正規表現照合を適用します。

[Response Header Content Type]:応答の content-type ヘッダー フィールドで評価するコンテンツ タイプを指定します。

[Response Header Transfer Encoding]:応答の transfer-encoding ヘッダー フィールドで評価する転送符号化を指定します。

[Response Header Non-ASCII]:応答のヘッダーに非 ASCII 文字があるかどうかを指定します。

[Response Status Line]:応答の状況表示行に正規表現照合を適用します。

ナビゲーション パス

HTTP クラス マップを作成している場合は、[Policy Object Manager] で、HTTP の [Add Class Maps]/[Edit Class Maps] ダイアログボックスのテーブル内を右クリックして [Add Row] を選択するか、行を右クリックして [Edit Row] を選択します。「インスペクション ポリシーのクラス マップの設定」を参照してください。

HTTP ポリシー マップを作成している場合は、[Policy Object Manager] で、ASA/PIX 7.2+ デバイスの [Add HTTP Map]/[Edit HTTP Map] ダイアログボックスの [Match Condition and Action] タブのテーブル内を右クリックして [Add Row] を選択するか、行を右クリックして [Edit Row] を選択します。「ASA 7.2+ および PIX 7.2+ デバイスの HTTP マップの設定」を参照してください。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-35 HTTP クラス マップおよび HTTP ポリシー マップ(ASA 7.2+/PIX 7.2+)の [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

要素
説明

[Match Type]

[Class Name]

(ポリシー マップのみ)

既存の HTTP クラス マップを使用するか、新規 HTTP クラス マップを定義できます。

[Use Specified Values]:このダイアログボックスでクラス マップを定義する場合。

[Use Values in Class Map]:既存の HTTP クラス マップ ポリシー オブジェクトを選択する場合。HTTP クラス マップの名前を [Class Name] フィールドに入力します。[Select] をクリックしてリストからマップを選択するか、または新しいクラス マップ オブジェクトを作成します。

[Criterion]

照合する HTTP トラフィック基準を指定します。基準については、上記で説明しています。

[Type]

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、[Doesn't Match] がストリング「example.com」で選択されている場合は、「example.com」が含まれているすべてのトラフィックがマップから除外されます。

[Matches]:基準に一致する。一部の基準では、これは使用可能な唯一のオプションです。

[Doesn't Match]:基準に一致しない。

[Action]

(ポリシー マップのみ)

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。アクションのタイプは選択した基準によって決まります。

可変フィールド

次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。

[Field Name]

評価するヘッダー フィールドの名前。次のいずれかを選択できます。

[Predefined]:定義済みの HTTP ヘッダー フィールド。

[Regular Expression]:パターン マッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[Select] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

[Value]

評価する正規表現。次のいずれかを選択できます。

[Regular Expression]:パターン マッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[Select] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

[Regular Expression Group]:パターン マッチングに使用する正規表現を定義する、正規表現グループ オブジェクト。オブジェクトの名前を入力します。[Select] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現グループ オブジェクトを作成できます。

[Request Header Transfer Encoding] または [Response Header Transfer Encoding] 基準を評価する場合は、次のオプションも指定できます。

[Specified By]:転送符号化の次の定義済みタイプの 1 つ。

[Chunked]:メッセージ本文は、一連のチャンクとして転送されます。

[Compressed]:メッセージ本文は、UNIX ファイル圧縮を使用して転送されます。

[Deflate]:メッセージ本文は、zlib 形式(RFC 1950)および deflate 圧縮(RFC 1951)を使用して転送されます。

[GZIP]:メッセージ本文は、GNU zip(RFC 1952)を使用して転送されます。

[Identity]:転送の符号化は実行されません。

[Empty]:要求ヘッダーの transfer-encoding フィールドは空です。

[Greater Than Length]

評価されるフィールドの長さ(バイト単位)。この基準は、長さが指定した数値よりも大きい場合に一致し、フィールドが指定した数値よりも小さい場合は一致しません。

[Greater Than Count]

評価される項目の数。この基準は、カウントが指定した数値よりも大きい場合に一致し、カウントが指定した数値よりも小さい場合は一致しません。

[Content Type]

コンテンツ タイプ ヘッダー フィールドで指定した、評価するコンテンツ タイプ。次のいずれかを選択できます。

[Specified By]:定義済み MIME タイプ。

[Unknown]:MIME タイプは不明です。既知のすべての MIME タイプに照らして項目を評価する場合は、[Unknown] を選択します。

[Violation]:本文のマジック番号は、コンテンツ タイプ ヘッダー フィールドの MIME タイプに対応している必要があります。

[Regular Expression]、[Regular Expression Group]:評価する正規表現または正規表現グループ。これらのオプションの詳細については、[Value] フィールドの説明を参照してください。

[Request Method]

照合する指定済み要求メソッド。次のいずれかを選択できます。

[Specified By]:定義済みの要求メソッド。

[Regular Expression]、[Regular Expression Group]:評価する正規表現または正規表現グループ。これらのオプションの詳細については、[Value] フィールドの説明を参照してください。

ASA 7.2+、PIX 7.2+ デバイスの IM マップの設定

[Add IM Map]/[Edit IM Map] ダイアログボックスを使用して、ASA/PIX 7.2 以上を実行しているデバイスの Instant Messenger(IM; インスタント メッセンジャー)検査マップを定義します。IM マップを使用すると、IM アプリケーション インスペクションに使用するデフォルト設定値を変更できます。

インスタント メッセージングでは、業務の実行時にクリア テキストが使用されることから、潜在的なネットワーク攻撃やウイルスの拡散が懸念されます。このため、特定のタイプのインスタント メッセージの発生はブロックする一方で、他のタイプは許可することが必要となる場合があります。

ASA および PIX デバイスでは、IM アプリケーション インスペクションにより、ネットワークの使用を制御するための詳細なアクセス コントロールが提供されます。正規表現を使用して、機密データの漏れとネットワークの脅威の伝播を阻止できます。Yahoo!Messenger または MSN Messenger トラフィックを検査できます。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Maps] > [Policy Maps] > [Inspect] > [IM (ASA 7.2+/PIX 7.2+)] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-36 [Add IM Map]/[Edit IM Map] ダイアログボックス

要素
説明

[Name]

ポリシー オブジェクトの名前。最大 40 文字を使用できます。

[Description]

ポリシー オブジェクトの説明。最大 200 文字を使用できます。

[Match Condition and Action] タブ

[Match All] テーブルに、ポリシー マップに含まれている基準が表示されます。各行には、各基準に一致する、または一致しないトラフィックを検査で検索するかどうか、検査される基準と値、および条件を満たすトラフィックに対して実行されるアクションが示されます。

基準を追加するには、[Add] ボタンをクリックし、[Match Condition and Action] ダイアログボックスに入力します(「IM クラス マップおよび IM ポリシー マップ(ASA 7.2+/PIX 7.2+)の [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」を参照)。

基準を編集するには、基準を選択し、[Edit] ボタンをクリックします。

基準を削除するには、基準を選択し、[Delete] ボタンをクリックします。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

IM クラス マップおよび IM ポリシー マップ(ASA 7.2+/PIX 7.2+)の [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

[Add IM Match Criterion]/[Edit IM Match Criterion] ダイアログボックス(IM クラス マップの場合)または [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス(IM ポリシー マップの場合)を使用して、次の処理を行います。

IM クラス マップの一致基準と値を定義する。

IM ポリシー マップの作成時に IM クラス マップを選択する。

IM ポリシー マップに一致基準、値、およびアクションを直接定義する。

これらのタイプのマップは、ASA 7.2 以上または PIX 7.2 以上のオペレーティング システムを実行しているデバイスだけに使用されます。

このダイアログボックスのフィールドは、選択した基準、およびクラス マップとポリシー マップのどちらを作成しているかによって変わります。

ナビゲーション パス

IM クラス マップを作成している場合は、[Policy Object Manager] で、IM の [Add Class Maps]/[Edit Class Maps] ダイアログボックスのテーブル内を右クリックして [Add Row] を選択するか、行を右クリックして [Edit Row] を選択します。「インスペクション ポリシーのクラス マップの設定」を参照してください。

IM ポリシー マップを作成している場合は、[Policy Object Manager] で、ASA 7.2/PIX 7.2 の [Add IM Map]/[Edit IM Map] ダイアログボックスの [Match Condition and Action] タブのテーブル内を右クリックして [Add Row] を選択するか、行を右クリックして [Edit Row] を選択します。「ASA 7.2+、PIX 7.2+ デバイスの IM マップの設定」を参照してください。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-37 IM クラス マップおよび IM ポリシー マップ(ASA 7.2+/PIX 7.2+)の [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

要素
説明

[Match Type]

[Class Name]

(ポリシー マップのみ)

既存の IM クラス マップを使用するか、新規 IM クラス マップを定義できます。

[Use Specified Values]:このダイアログボックスでクラス マップを定義する場合。

[Use Values in Class Map]:既存の IM クラス マップ ポリシー オブジェクトを選択する場合。IM クラス マップの名前を [Class Name] フィールドに入力します。[Select] をクリックしてリストからマップを選択するか、または新しいクラス マップ オブジェクトを作成します。

[Criterion]

照合する IM トラフィック基準を指定します。基準は次のとおりです。

[Filename]:IM ファイル転送サービスのファイル名を照合します。

[Client IP Address]:送信元クライアント IP アドレスを照合します。

[Client Login Name]:IM サービスのクライアント ログイン名を照合します。

[Peer IP Address]:ピアまたは宛先の IP アドレスを照合します。

[Peer Login Name]:IM サービスのピアまたは宛先のログイン名を照合します。

[Protocol]:IM プロトコルを照合します。

[Service]:IM サービスを照合します。

[File Transfer Service Version]:IM ファイル転送サービス バージョンを照合します。

[Type]

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、[Doesn't Match] がストリング「example.com」で選択されている場合は、「example.com」が含まれているすべてのトラフィックがマップから除外されます。

[Matches]:基準に一致する。

[Doesn't Match]:基準に一致しない。

[Action]

(ポリシー マップのみ)

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。

可変フィールド

次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。

[Value]

評価する正規表現。次のいずれかを選択できます。

[Regular Expression]:パターン マッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[Select] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

[Regular Expression Group]:パターン マッチングに使用する正規表現を定義する、正規表現グループ オブジェクト。オブジェクトの名前を入力します。[Select] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現グループ オブジェクトを作成できます。

[IP Address]

照合する IP アドレス。

[Protocol]

IM プロトコル(MSN Messenger または Yahoo!Messenger)。

[Services]

検査する IM サービス。表示されているサービスの 1 つ以上を選択します。

IOS デバイスの IM マップの設定

[Add IM Map (IOS)]/[Edit IM Map (IOS)] ダイアログボックスを使用して、IOS デバイスの Instant Messaging(IM; インスタント メッセージング)インスペクション ポリシー マップ オブジェクトを設定します。IM マップを使用すると、IM アプリケーション インスペクションに使用するデフォルト設定値を変更できます。

インスタント メッセージングでは、業務の実行時にクリア テキストが使用されることから、潜在的なネットワーク攻撃やウイルスの拡散が懸念されます。このため、特定のタイプのインスタント メッセージの発生はブロックする一方で、他のタイプは許可することが必要となる場合があります。

IM アプリケーション インスペクションにより、ネットワークの使用を制御するための詳細なアクセス コントロールが提供されます。機密データの漏れおよびネットワークの脅威の伝播を阻止するのにも役立ちます。許可または拒否されるサーバを指定することで、スコープを限定できます。Yahoo!Messenger、MSN Messenger、および AOL インスタント メッセージのインスペクションがサポートされます。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Maps] > [Policy Maps] > [Inspect] > [IM (IOS)] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-38 [Add IM Map (IOS)]/[Edit IM Map (IOS)] ダイアログボックス

要素
説明

[Name]

ポリシー オブジェクトの名前。最大 40 文字を使用できます。

[Description]

ポリシー オブジェクトの説明。最大 200 文字を使用できます。

サービス タブ

さまざまな IM サービス プロバイダーを表すタブ。各タブで使用できる設定は同じです。サービス プロバイダーごとに個別に設定する必要があります。次のフィールドの説明は、Yahoo!、MSN、および AOL の各サービスに適用されます。

[Text Chat]

許可、拒否、記録、またはそのいくつかの組み合わせなど、テキスト チャット サービスの処理方法。

[Other Services]

許可、拒否、記録、またはそのいくつかの組み合わせなど、テキスト チャット以外のサービスの処理方法。IOS ソフトウェアは、音声チャット、ビデオチャット、ファイルの共有と転送、ゲームなど、テキスト チャット以外のすべてのサービスを 1 つのグループとして認識します。

[Permit Servers]

ここで指定したサーバからのトラフィックを許可します。使用できる形式は、カンマで区切られた IP アドレス、IP 範囲、およびホスト名です。

[Deny Servers]

ここで指定したサーバからのトラフィックを拒否します。使用できる形式は、カンマで区切られた IP アドレス、IP 範囲、およびホスト名です。

[Alert]

アラートをイネーブルにするかディセーブルにするか。デフォルトは、デフォルトのインスペクション設定の使用です。

[Audit]

監査証跡をイネーブルにするかディセーブルにするか。デフォルトは、デフォルトのインスペクション設定の使用です。

[Timeout]

サービスのタイムアウト。デフォルトのインスペクション設定を使用するか、タイムアウトを指定することを選択できます。[Specify Timeout] を選択した場合は、タイムアウト値を秒単位で入力します。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

IP オプション マップの設定

[Add IP Options Map]/[Edit IP Options Map] ダイアログボックスを使用して、ASA 8.2(2)+ デバイスの IP パケット ヘッダー内のオプションのインスペクション用マップを定義します。options フィールドで提供される制御機能は、一部の状況では必須ですが、ほとんどの一般的な状況では不要です。

IP オプション インスペクションを設定しない場合、ASA デバイスは、オプションが設定されているすべてのパケットをドロップしますが、例外が 1 つあります。ルーテッド モードでは、ルータ アラート オプションを含むパケットが許可されます(ルータ アラート パケットを禁止するには、ルータ アラートを選択解除した IP オプション マップを作成し、ポリシー マップを使用して IP オプションを検査するようにインスペクション規則を設定します)。


ヒント パケット ヘッダー サイズと位置合わせを適切に保つために No Operation(NOP)オプションがパディングとして使用される場合があるため、NOP を許可することが必要な場合があります。


各オプションについて、次の動作を選択できます。

[Allow]:パケットを許可し、IP ヘッダーの options フィールドを変更しません。

[Clear]:パケットを許可し、IP ヘッダーの options フィールドのオプションをクリアします。

オプションを選択しない場合は、オプションが禁止され、オプションを含むパケットがドロップされます。ここにリストされていないオプションを選択しても、パケットがドロップされます。この動作は変更できません。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Maps] > [Policy Maps] > [Inspect] > [IP Options] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-39 [Add IP Options Map]/[Edit IP Options Map] ダイアログボックス

要素
説明

[Name]

ポリシー オブジェクトの名前。最大 128 文字を使用できます。

[Description]

ポリシー オブジェクトの説明。

[End of Options List]

End of Options List(EOOL)、または IP オプション 0 は、単一の 0 バイトだけを含み、オプションのリストの終わりを示すためにすべてのオプションの最後に置かれます。これは、ヘッダー長に従ったヘッダーの終わりと一致しないことがあります。

[No operation]

No Operation(NOP)、または IP オプション 1 はパディングに使用されます。IP ヘッダーの Options フィールドには、0 個、1 個、またはそれ以上のオプションが含まれることがあり、これによってフィールド変数の合計の長さが決まります。ただし、IP ヘッダーは 32 ビットの倍数である必要があります。すべてのオプションのビット数が 32 ビットの倍数でない場合は、NOP オプションを使用してオプションが 32 ビット境界に合わせられます。

[Router alert]

Router Alert(RTRALT)、または IP オプション 20 は、パケットがそのルータ宛ではない場合でも、パケットの内容を検査するように通過ルータに通知します。このインスペクションは、RSVP および同様のプロトコルの実装に、パケットの配信パス上にあるルータによる比較的複雑な処理が必要な場合に役立ちます。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

IPsec パススルー マップの設定

[Add IPsec Pass Through Map]/[Edit IPsec Pass Through Map] ダイアログボックスを使用して、IPsec パススルー マップ ポリシー オブジェクトを設定します。IPsec パススルー マップ ポリシー マップを使用すると、IPsec パススルー インスペクションに使用するデフォルトの設定値を変更できます。

IPSec パススルー インスペクション エンジンを使用すると、セキュリティ アプライアンスで、特定の ESP または AH アクセス リストを必要とすることなく、IKE(UDP ポート 500)ネゴシエーションが正常に行われたことによって 2 つのホスト間に生成される、ESP(IP プロトコル 50)および AH(IP プロトコル 51)トラフィックを渡すことができます。

ESP または AH トラフィックは、既存の制御フローが MPF フレームワークで定義された接続制限内である場合に、インスペクション エンジンによって許可されます。このとき、設定されたアイドル タイムアウトが適用されます。制御フローがない場合は、UDP アイドル タイムアウトが設定された IKE UDP ポート 500 トラフィックに対して新しい制御フローが作成されます。または、既存のフローが使用されます。

インスペクション エンジンにパケットが確実に到着するように、このようなすべてのトラフィック(ESP および AH)のために穴を開けます。この検査は制御フローに付加されます。制御フローは、少なくとも 1 つのデータ フロー(ESP または AH)が確立されているかぎり存在しますが、トラフィックのフローは常に同じ接続を経由します。この IKE 接続は、データ フローがあるかぎり開いた状態で保たれるため、キーの再生成は常に成功します。フローは、NAT が使用されているかどうかに関係なく作成されます。ただし、PAT はサポートされていません。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Maps] > [Policy Maps] > [Inspect] > [IPsec Pass Through] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-40 [Add IPsec Pass Through Map]/[Edit IPsec Pass Through Map] ダイアログボックス

要素
説明

[Name]

ポリシー オブジェクトの名前。最大 40 文字を使用できます。

[Description]

ポリシー オブジェクトの説明。最大 200 文字を使用できます。

[Allow ESP]

[Maximum ESP Tunnels per Client]

[ESP Idle Timeout]

ESP トラフィックを許可するかどうか。このオプションを選択した場合は、各クライアントで使用できる ESP トンネルの最大数と、ESP トンネルが閉じられる前にアイドル状態のままでいられる時間(時間:分:秒の形式)を設定できます。デフォルトのタイムアウトは 10 分(00:10:00)です。

[Allow AH]

[Maximum AH Tunnels per Client]

[AH Idle Timeout]

AH トラフィックを許可するかどうか。このオプションを選択した場合は、各クライアントで使用できる AH トンネルの最大数と、AH トンネルが閉じられる前にアイドル状態のままでいられる時間(時間:分:秒の形式)を設定できます。デフォルトのタイムアウトは 10 分(00:10:00)です。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

NetBIOS マップの設定

[Add NetBIOS Map]/[Edit NetBIOS Map] ダイアログボックスを使用して、NetBIOS インスペクションのマップを定義します。NetBIOS ポリシー マップを使用すると、NetBIOS インスペクションに使用するデフォルト設定値を変更できます。

NetBIOS インスペクション エンジンは、セキュリティ アプライアンスの NAT 設定に従って NetBIOS Name Service(NBNS)パケット内の IP アドレスを変換します。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Maps] > [Policy Maps] > [Inspect] > [NetBIOS] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-41 [Add NetBIOS Map]/[Edit NetBIOS Map] ダイアログボックス

要素
説明

[Name]

ポリシー オブジェクトの名前。最大 40 文字を使用できます。

[Description]

ポリシー オブジェクトの説明。最大 200 文字を使用できます。

[Check for Protocol Violation]

[Action]

NetBIOS プロトコル違反をチェックするかどうか。このオプションを選択した場合は、違反の発生時に実行するアクションを選択します。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

SIP マップの設定

[Add SIP Map]/[Edit SIP Map] ダイアログボックスを使用して、SIP アプリケーション インスペクションに使用する値を設定します。SIP インスペクション マップを使用すると、SIP アプリケーション インスペクションに使用するデフォルト設定値を変更できます。

SIP は、インターネット会議、テレフォニー、プレゼンス、イベント通知、およびインスタント メッセージングに広く使用されているプロトコルです。テキストベースの性質とその柔軟性により、SIP ネットワークは数多くのセキュリティ脅威にさらされます。

SIP アプリケーション インスペクションでは、メッセージ ヘッダーおよび本文のアドレス変換、ポートの動的なオープン、および基本的な健全性チェックが行われます。SIP メッセージの健全性を実現するアプリケーション セキュリティおよびプロトコルへの準拠と、SIP ベースの攻撃の検出もサポートされます。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Maps] > [Policy Maps] > [Inspect] > [SIP (ASA/PIX/FWSM)] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

「インスペクション ポリシーのクラス マップの設定」

フィールド リファレンス

 

表 15-42 [Add SIP Map]/[Edit SIP Map] ダイアログボックス

要素
説明

[Name]

ポリシー オブジェクトの名前。最大 40 文字を使用できます。

[Description]

ポリシー オブジェクトの説明。最大 200 文字を使用できます。

[Parameters] タブ

[Enable SIP Instant Messaging Extensions]

インスタント メッセージング拡張をイネーブルにするかどうか。

[Permit Non-SIP Traffic on SIP Port]

SIP ポートで SIP 以外のトラフィックを許可するかどうか。

[Hide Server's and Endpoint's IP Address]

IP アドレスを非表示にして、IP アドレスのプライバシーをイネーブルにするかどうか。

[Check RTP Packets for Protocol Conformance]

[Limit Payload to Audio or Video based on the Signaling Exchange]

プロトコル準拠のために、RTP/RTCP パケットのフローがピンホールを経由することを調べるかどうか。このオプションを選択した場合は、シグナリング交換に基づいてペイロード タイプをオーディオ/ビデオに強制することも選択できます。

[If Number of Hops to Destination is Greater Than 0]

Max-Forwards ヘッダーの値が 0 かどうかをチェックするかどうか。0 よりも大きい場合は、[Action] フィールドで選択するアクションが実装されます。デフォルトは、パケットのドロップです。

[If State Transition is Detected]

SIP 状態遷移をチェックするかどうか。遷移が検出された場合は、[Action] フィールドで選択するアクションが実装されます。デフォルトは、パケットのドロップです。

[If Header Fields Fail Strict Validation]

SIP ヘッダー フィールドが無効な場合に [Action] フィールドで指定したアクションを実行するかどうか。デフォルトは、パケットのドロップです。

[Inspect Server's and Endpoint's Software Version]

User-Agent および Server ヘッダーで SIP エンドポイント ソフトウェア バージョンを検査するかどうか。デフォルトは、情報のマスクです。

[If Non-SIP URI is Detected]

SIP 以外の URI が Alert-Info および Call-Info ヘッダーに検出された場合に、[Action] フィールドで指定したアクションを実行するかどうか。デフォルトは、情報のマスクです。

[Match Condition and Action] タブ

[Match All] テーブルに、ポリシー マップに含まれている基準が表示されます。各行には、各基準に一致する、または一致しないトラフィックを検査で検索するかどうか、検査される基準と値、および条件を満たすトラフィックに対して実行されるアクションが示されます。

基準を追加するには、[Add] ボタンをクリックし、[Match Condition and Action] ダイアログボックスに入力します(「SIP クラス マップおよびポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」を参照)。

基準を編集するには、基準を選択し、[Edit] ボタンをクリックします。

基準を削除するには、基準を選択し、[Delete] ボタンをクリックします。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

SIP クラス マップおよびポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

[Add SIP Match Criterion]/[Edit SIP Match Criterion] ダイアログボックス(SIP クラス マップの場合)または [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス(SIP ポリシー マップの場合)を使用して、次の処理を行います。

SIP クラス マップの一致基準と値を定義する。

SIP ポリシー マップの作成時に SIP クラス マップを選択する。

SIP ポリシー マップに一致基準、値、およびアクションを直接定義する。

このダイアログボックスのフィールドは、選択した基準、およびクラス マップとポリシー マップのどちらを作成しているかによって変わります。

ナビゲーション パス

SIP クラス マップを作成している場合は、[Policy Object Manager] で、SIP の [Add Class Maps]/[Edit Class Maps] ダイアログボックスのテーブル内を右クリックして [Add Row] を選択するか、行を右クリックして [Edit Row] を選択します。「インスペクション ポリシーのクラス マップの設定」を参照してください。

SIP ポリシー マップを作成している場合は、[Policy Object Manager] で、[Add SIP Map]/[Edit SIP Map] ダイアログボックスの [Match Condition and Action] タブのテーブル内を右クリックして [Add Row] を選択するか、行を右クリックして [Edit Row] を選択します。「SIP マップの設定」を参照してください。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-43 SIP クラス マップおよび SIP ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

要素
説明

[Match Type]

[Class Name]

(ポリシー マップのみ)

既存の SIP クラス マップを使用するか、新規 SIP クラス マップを定義できます。

[Use Specified Values]:このダイアログボックスでクラス マップを定義する場合。

[Use Values in Class Map]:既存の SIP クラス マップ ポリシー オブジェクトを選択する場合。SIP クラス マップの名前を [Class Name] フィールドに入力します。[Select] をクリックしてリストからマップを選択するか、または新しいクラス マップ オブジェクトを作成します。

[Criterion]

照合する SIP トラフィック基準を指定します。

[Called Party]:To ヘッダーで指定された着信側を照合します。

[Calling Party]:From ヘッダーで指定された発信側を照合します。

[Content Length]:Content Length ヘッダーを照合します。

[Content Type]:Content Type ヘッダーを照合します。

[IM Subscriber]:SIP インスタント メッセンジャーの加入者を照合します。

[Message Path]:SIP Via ヘッダーを照合します。

[Third Party Registration]:サードパーティ登録の要求者を照合します。

[URI Length]:SIP ヘッダーの URI を照合します。

[Request Method]:SIP 要求メソッドを照合します。

[Type]

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、[Doesn't Match] がストリング「example.com」で選択されている場合は、「example.com」が含まれているすべてのトラフィックがマップから除外されます。

[Matches]:基準に一致する。

[Doesn't Match]:基準に一致しない。

[Action]

(ポリシー マップのみ)

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。

可変フィールド

次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。

[Value]

評価する正規表現。次のいずれかを選択できます。

[Regular Expression]:パターン マッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[Select] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

[Regular Expression Group]:パターン マッチングに使用する正規表現を定義する、正規表現グループ オブジェクト。オブジェクトの名前を入力します。[Select] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現グループ オブジェクトを作成できます。

[URI Type]

照合する URI のタイプ(SIP または TEL)。

[Greater Than Length]

評価されるフィールドの長さ(バイト単位)。この基準は、長さが指定した数値よりも大きい場合に一致し、フィールドが指定した数値よりも小さい場合は一致しません。

[Content Type]

コンテンツ タイプ ヘッダー フィールドで指定した、評価するコンテンツ タイプ。次のいずれかを選択できます。

[SDP]:SDP SIP コンテンツ ヘッダー タイプを照合します。

[Regular Expression]、[Regular Expression Group]:評価する正規表現または正規表現グループ。これらのオプションの詳細については、[Value] フィールドの説明を参照してください。

[Resource Method]

検査する要求メソッドを次に示します。

[ack]:クライアントが INVITE 要求に対する最終的な応答を受信したことを確認します。

[bye]:コールを終了し、発信側または着信側から送信できます。

[cancel]:保留中のすべての検索を取り消しますが、すでに受け入れられているコールは終了しません。

[info]:コールのシグナリング パスを経由する中間セッション シグナリング情報を伝えます。

[invite]:ユーザまたはサービスがコール セッションへの参加を招待されることを指定します。

[message]:各メッセージが他のメッセージに依存しないインスタント メッセージを送信します。

[notify]:以前の SUBSCRIBE メソッドによって要求されたイベントが発生したことを SIP ノードに通知します。

[options]:サーバの機能をクエリーします。

[prack]:暫定応答確認。

[refer]:受信者が要求で提供されているリソースを参照することを要求します。

[register]:To ヘッダー フィールドにリストされているアドレスを SIP サーバに登録します。

[subscribe]:1 つのイベントまたは一連のイベントに関する通知をあとで受け取ることを要求します。

[unknown]:ネットワークのセキュリティに未知の影響を与える可能性がある非標準拡張を使用します。

[update]:セッションのパラメータを更新することをクライアントに許可しますが、ダイアログの状態に影響はありません。

Skinny マップの設定

[Add Skinny Map]/[Edit Skinny Map] ダイアログボックスを使用して、Skinny インスペクションの Skinny マップを定義します。Skinny ポリシー マップを使用すると、Skinny インスペクションに使用するデフォルト設定値を変更できます。

Skinny(SCCP)は、VoIP ネットワークで使用される簡易プロトコルです。SCCP を使用している Cisco IP Phones は、H.323 環境で共存できます。Cisco CallManager とともに使用する場合、SCCP クライアントは H.323 準拠端末と相互運用できます。セキュリティ アプライアンスのアプリケーション レイヤ機能は、SCCP バージョン 3.3 を認識します。SCCP プロトコルには、2.4、3.0.4、3.1.1、3.2、3.3.2 の 5 つのバージョンがあります。

セキュリティ アプライアンスでは、3.3.2 までのすべてのバージョンがサポートされます。セキュリティ アプライアンスでは、SCCP に対して PAT と NAT がサポートされます。PAT は、使用する IP 電話のグローバル IP アドレスよりも IP 電話の数が多い場合に必要です。SCCP シグナリング パケットの NAT および PAT をサポートすることで、Skinny アプリケーションは、すべての SCCP シグナリングおよびメディア パケットがセキュリティ アプライアンスを通過できることを保証します。

Cisco CallManager と Cisco IP Phone 間の通常のトラフィックは SCCP を使用し、特殊な設定なしで SCCP インスペクションによって処理されます。セキュリティ アプライアンスでは、DHCP オプション 150 および 66 もサポートされます。これは、TFTP サーバの場所を Cisco IP Phone およびその他の DHCP クライアントに送信することで実現されます。Cisco IP Phone では、デフォルト ルートを設定する DHCP オプション 3 が要求に含まれることもあります。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Maps] > [Policy Maps] > [Inspect] > [Skinny] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-44 [Add Skinny Map]/[Edit Skinny Map] ダイアログボックス

要素
説明

[Name]

Skinny マップの名前。最大 40 文字を使用できます。

[Description]

最大 200 文字の Skinny マップの説明。

[Parameters] タブ

[Enforce Endpoint Registration]

コールを行う前に登録を強制するかどうか。

[Maximum SCCP Station Message ID 0x]

許可される SCCP スタティック メッセージ ID の最大数(16 進数)。

[Check RTP Packets for Protocol Conformance]

[Enforce Payload Type to be Audio or Video based on Signaling Exchange]

プロトコル準拠のために、RTP パケットのフローがピンホールを経由することを調べるかどうか。このオプションを選択した場合は、ペイロード タイプを強制するかどうかも選択できます。

[Minimum SCCP Prefix Length]

許可される最小の SCCP 長。

[Maximum SCCP Prefix Length]

許可される最大の SCCP 長。

[Media Timeout]

メディア接続のタイムアウト値。

[Signaling Timeout]

シグナリング接続のタイムアウト値。

[Match Condition and Action] タブ

[Match All] テーブルに、ポリシー マップに含まれている基準が表示されます。各行には、各基準に一致する、または一致しないトラフィックを検査で検索するかどうか、検査される基準と値、および条件を満たすトラフィックに対して実行されるアクションが示されます。

基準を追加するには、[Add] ボタンをクリックし、[Match Condition and Action] ダイアログボックスに入力します(「Skinny ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス」を参照)。

基準を編集するには、基準を選択し、[Edit] ボタンをクリックします。

基準を削除するには、基準を選択し、[Delete] ボタンをクリックします。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

Skinny ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

[Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックスを使用して、Skinny ポリシー マップの一致基準、値、およびアクションを定義します。

ナビゲーション パス

[Policy Object Manager] で、[Add Skinny Map]/[Edit Skinny Map] ダイアログボックスの [Match Condition and Action] タブのテーブル内を右クリックして [Add Row] を選択するか、行を右クリックして [Edit Row] を選択します。「SIP マップの設定」を参照してください。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-45 Skinny ポリシー マップの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

要素
説明

[Criterion]

照合する Skinny トラフィック基準を指定します。

[Type]

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、0xFFFF で [Doesn't Match] が選択されている場合は、メッセージ ID が 0xFFFF であるすべてのトラフィックがマップから除外されます。

[Matches]:基準に一致する。

[Doesn't Match]:基準に一致しない。

[ID Type]

検査するメッセージ ID の 16 進値。

[Value]:単一の 16 進数値を照合します。

[Range]:値の範囲を照合します。

[Action]

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。

SNMP マップの設定

[Add SNMP Map]/[Edit SNMP Map] ダイアログボックスを使用して、SNMP インスペクションのマップを定義します。SNMP ポリシー マップを使用すると、SNMP アプリケーション インスペクションに使用するデフォルト設定値を変更できます。

SNMP アプリケーション インスペクションでは、SNMP トラフィックを特定バージョンの SNMP に制限できます。旧バージョンの SNMP はセキュリティが高くないため、特定の SNMP バージョンを拒否することがセキュリティ ポリシーによって要求されることがあります。セキュリティ アプライアンスでは、SNMP バージョン 1、2、2c、または 3 を拒否できます。SNMP マップを作成することにより、許可されるバージョンを制御します。さらに、SNMP インスペクションをイネーブルにする場合に SNMP マップを適用します。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Maps] > [Policy Maps] > [Inspect] > [SNMP] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

フィールド リファレンス

 

表 15-46 [Add SNMP Map]/[Edit SNMP Map] ダイアログボックス

要素
説明

[Name]

ポリシー オブジェクトの名前。最大 40 文字を使用できます。

[Description]

ポリシー オブジェクトの説明。最大 200 文字を使用できます。

[Disallowed SNMP Versions]

禁止する SNMP のバージョン。

SNMP Version 1

SNMP Version 2c(コミュニティ ベース)

SNMP Version 2(パーティ ベース)

SNMP Version 3

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

正規表現グループの設定

[Add Regular Expression Groups]/[Edit Regular Expression Groups] ダイアログボックスを使用して、複数の正規表現を含む正規表現グループを定義します。グループにより、モジュール形式の正規表現を作成し、さまざまな用途のためにそれらの正規表現を複数の方法でグループ化できるようになります。オブジェクトは、一部のインスペクション クラス マップとインスペクション ポリシー マップで使用できます。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Maps] > [Regular Expressions Groups] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

「ポリシー オブジェクトの作成」

フィールド リファレンス

 

表 15-47 [Add Regular Expression Class Map]/[Edit Regular Expression Class Map] ダイアログボックス

要素
説明

[Name]

ポリシー オブジェクトの名前。最大 40 文字を使用できます。

[Description]

ポリシー オブジェクトの説明。最大 200 文字を使用できます。

[Regular Expressions]

グループに含める正規表現を含む正規表現ポリシー オブジェクト。オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

インスペクション マップの正規表現の設定

[Add Regular Expression]/[Edit Regular Expression] ダイアログボックスを使用して、クラスおよびポリシー インスペクション マップ、または正規表現グループ ポリシー オブジェクトで使用する正規表現を定義します。

正規表現は、厳密な文字列として、またはテキスト文字列の複数のバリアントと一致するようにメタ文字を使用して、テキスト文字列を照合します。正規表現をさまざまなタイプのクラスおよびポリシー インスペクション マップで使用して、さまざまなターゲット アイテムを照合できます。たとえば、HTTP パケット内の本文テキストなど、特定のアプリケーション トラフィックのコンテンツを照合できます。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Maps] > [Regular Expressions] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「マップ オブジェクトについて」

「インスペクションのプロトコルおよびマップの設定」

「ポリシー オブジェクトの作成」

フィールド リファレンス

 

表 15-48 [Add Regular Expression]/[Edit Regular Expression] ダイアログボックス

要素
説明

[Name]

ポリシー オブジェクトの名前。最大 40 文字を使用できます。

[Description]

ポリシー オブジェクトの説明。最大 200 文字を使用できます。

[Value]

100 文字までの長さの正規表現。正規表現の作成に使用できるメタ文字の詳細については、「正規表現の作成に使用されるメタ文字」を参照してください。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

正規表現の作成に使用されるメタ文字

次の表で、[Add Regular Expression]/[Edit Regular Expression] ダイアログボックス(「インスペクション マップの正規表現の設定」を参照)で正規表現の構築に使用できるメタ文字について説明します。

正規表現を作成するときは、次のことに注意してください。

テキスト文字列に、文字どおりに使用するメタ文字を入力する場合は、それらの文字の前にバックスラッシュ(\)エスケープ文字を追加します。たとえば、「example\.com」のようにします。

大文字と小文字を一致させる場合は、大文字と小文字の両方でテキストを入力します。たとえば、「cats」は「[cC][aA][tT][sS]」と入力します。

 

表 15-49 正規表現の作成に使用されるメタ文字

文字
説明
注意事項

.

ドット

任意の単一文字と一致します。たとえば、d.g は dog、dag、dtg、doggonnit など、これらの文字が含まれているすべての単語と一致します。

(exp)

サブ表現

サブ表現は、文字を周囲の文字から分離して、サブ表現に他のメタ文字を使用できるようにします。たとえば、d(o|a)g は dog および dag と一致しますが、do や ag とは一致しません。また、サブ表現を繰り返し限定作用素とともに使用して、繰り返す文字を区別できます。たとえば、ab(xy){3}z は abxyxyxyz と一致します。

|

代替

このメタ文字によって区切られている複数の表現のいずれかと一致します。たとえば、dog|cat は dog または cat と一致します。

?

疑問符

直前の表現が 0 または 1 個存在することを示す修飾子。たとえば、lo?se は lse または lose と一致します。

*

アスタリスク

直前の表現が 0、1、または任意の個数存在することを示す修飾子。たとえば、lo*se は lse、lose、loose などと一致します。

+

プラス

直前の表現が少なくとも 1 個存在することを示す修飾子。たとえば、lo+se は lose および loose と一致しますが、lse とは一致しません。

{x}

繰り返し限定作用素

厳密に x 回繰り返します。たとえば、ab(xy){3}z は abxyxyxyz と一致します。

 

最小繰り返し限定作用素

少なくとも x 回繰り返します。たとえば、ab(xy){2,}z は abxyxyz、abxyxyxyz などと一致します。

[abc]

文字クラス

カッコ内の任意の文字と一致します。たとえば、[abc] は a、b、または c と一致します。

[^abc]

否定文字クラス

角カッコに含まれていない単一文字と一致します。たとえば、[^abc] は a、b、または c 以外の任意の文字と一致します。[^A-Z] は、大文字でない任意の単一文字と一致します。

[a-c]

文字範囲クラス

範囲内の任意の文字と一致します。[a-z] は、任意の小文字と一致します。文字と範囲を混合できます。[abcq-z] は、a、b、c、q、r、s、t、u、v、w、x、y、z と一致し、[a-cq-z] も同じです。

ダッシュ(-)文字は、角カッコ内の最後または最初の文字である場合にだけリテラルになります([abc-] または [-abc])。

""

引用符

文字列の末尾または先頭のスペースを保持します。たとえば、" test" では一致を探すときに先頭のスペースを保持します。

^

キャレット

行の先頭を指定します。

¥

エスケープ文字

メタ文字とともに使用すると、リテラル文字と一致します。たとえば、¥[ は左の角カッコと一致します。

char

文字

文字がメタ文字でない場合は、リテラル文字と一致します。

¥r

復帰

復帰 0x0d と一致します。

¥n

改行

改行 0x0a と一致します。

¥t

タブ

タブ 0x09 と一致します。

¥f

フォーム フィード

フォーム フィード 0x0c と一致します。

¥xNN

エスケープされた 16 進数

16 進数(厳密に 2 桁)を使用した ASCII 文字と一致します。

¥NNN

エスケープされた 8 進数

8 進数(厳密に 3 桁)としての ASCII 文字と一致します。たとえば、文字 040 はスペースを表します。

IOS デバイスのインスペクション規則の設定

インスペクション規則を設定する場合は、インスペクション設定も設定して、IOS デバイスの一部のグローバル インスペクション パラメータのデフォルト設定を変更できます。ほとんどのインスペクション設定は、Denial of Service(DoS; サービス拒絶)攻撃の防止または軽減に関連します。これらのほとんどのオプションのデフォルト設定は、ほとんどのネットワークに適しているため、1 つ以上の設定を調整する必要がある場合にだけこのポリシーを設定します。設定を変更しない場合は、デバイスに設定されません(デフォルトが設定されたままになります)。

[Inspection settings] ページを開くには、次のいずれかを実行します。

(デバイス ビュー)デバイスを選択してから、ポリシー セレクタで [Firewall] > [Settings] > [Inspection] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Settings] > [Inspection] を選択します。新しいポリシーを作成するか、または既存のポリシーを選択します。

(マップ ビュー)デバイスを右クリックし、[Edit Firewall Settings] > [Inspection] を選択します。

次の表で、使用可能なインスペクション設定について説明します。

 

表 15-50 [Inspection] ページ

要素
説明
[Global Timeout Values]

[TCP Establish Timeout (seconds)]

セッションをドロップする前に、TCP セッションが設定された状態に到達するのを待機する時間の長さ。1 ~ 2147483 の秒単位です。デフォルトは 30 です。

[FIN Wait Time (seconds)]

ファイアウォールが FIN 交換を検出したあと、TCP セッション状態情報を保持する時間の長さ。1 ~ 2147483 の秒単位です。TCP セッションを閉じる準備が整うと、FIN 交換が発生します。デフォルトは 5 です。

[TCP Idle Time (seconds)]

セッションでアクティビティがない間、TCP セッションを維持する時間の長さ。1 ~ 2147483 の秒単位です。デフォルトは 3600(1 時間)です。

[UDP Idle Time (seconds)]

セッションでアクティビティがない間、UDP セッションを維持する時間の長さ。1 ~ 2147483 の秒単位です。デフォルトは 30 です。

ソフトウェアは、有効な UDP パケットを検出すると、新しい UDP セッションの状態情報を確立します。UDP はコネクションレス型サービスであるため、実際のセッションは存在しません。したがって、ソフトウェアは、パケット内の情報を調べることでセッションを見積もり、そのパケットが他の UDP パケットと似ているかどうか(類似の送信元アドレスまたは宛先アドレスを持っているなど)、および別の類似 UDP パケットの直後にそのパケットが検出されたかどうかを判断します。

ソフトウェアが、UDP アイドル タイムアウトで定義されている期間中に UDP セッションの UDP パケットを検出しなかった場合、ソフトウェアは、そのセッションの状態情報の管理を継続しません。

[DNS Timeout (seconds)]

アクティビティがない間、DNS lookup セッションが管理される時間の長さ。1 ~ 2147483 の秒単位です。デフォルトは 5 です。

[SYN Flooding DoS Attack Thresholds]

[Maximum 1 Minute Connection Rate - low]

[Maximum 1 Minute Connection Rate - high]

新しい未確立セッションの数。これにより、システムは、ハーフオープン状態のセッションの削除を開始および停止します。[Low] フィールドには、[High] フィールドに入力した数値よりも小さい数値を必ず入力してください。使用できる値は 1 分あたり 1 ~ 2147483647 です。low のデフォルトは 400 で、high のデフォルトは 500 です。

[Maximum Incomplete Sessions Stop Threshold]

[Maximum Incomplete Sessions Start Threshold]

既存のハーフオープン セッションの数。これにより、ソフトウェアは、ハーフオープン状態のセッションの削除を開始および停止します。[stop] フィールドには、[start] フィールドに入力した数値よりも小さい数値を必ず入力してください。使用できる値は 1 ~ 2147483647 です。low のデフォルトは 400 で、high のデフォルトは 500 です。

[Thresholds per Host]

[Max Sessions Per Host]

ソフトウェアがホストへのハーフオープン セッションの削除を開始する前に同時に存在できる、同じホスト宛先アドレスを持つハーフオープン TCP セッションの数。使用できる値は 1 ~ 4294967295 です。デフォルトは 50 です。

ハーフオープン セッションの数が多い場合は、ホストに対する DoS 攻撃があることを示している可能性があります。

[Max Sessions Blocking Interval (min)]

ホストごとの最大セッション数のしきい値に達した場合に、TCP ホスト固有の Denial-of-Service(DoS; サービス拒絶)攻撃の可能性を軽減するために適用するブロック時間。使用できる値は 0 ~ 35791 分です。デフォルトは 0 です。

ブロック時間値が 0 の場合、ソフトウェアは、最大セッション制限を超えるホストへの新規接続要求のたびに、ホストの最も古い既存のハーフオープン セッションを削除する。これにより、ホストに対するハーフオープン セッション数がしきい値を超えないことが保証されます。

ブロック時間値が 0 よりも大きい場合、ソフトウェアはホストのすべての既存のハーフオープン セッションを削除し、ホストに対するすべての新規接続要求をブロックする。ソフトウェアは、ブロック時間が経過するまですべての新規接続要求のブロックを継続します。

その他

[Session Hash Table Size (buckets)]

バケットの観点で見たハッシュ テーブルのサイズ。ハッシュ テーブルに使用できる値は、1024、2048、4096、および 8192 です。デフォルトは 1024 です。

デバイスを介して実行されているセッションの合計数が現在のハッシュ サイズのほぼ 2 倍の場合は、ハッシュ テーブル サイズを大きくする必要があります。セッションの合計数が現在のハッシュ サイズの約半分に減った場合は、ハッシュ テーブル サイズを小さくします。基本的には、セッション数とハッシュ テーブルのサイズ間の比率を 1:1 に維持するようにしてください。

[Enable Alert Messages]

ステートフル パケット インスペクションのアラート メッセージをコンソールで生成するかどうか。

[Enable Audit Trail Messages]

監査証跡メッセージを syslog サーバまたはルータに記録するかどうか。

[Permit DHCP Passthrough (Transparent Firewall)]

DHCP パケットをブリッジ経由でインスペクションなしで転送することをトランスペアレント ファイアウォールに許可するかどうか。

DHCP パススルーを許可すると、DHCP パケットの ACL がオーバーライドされるため、ACL がすべての IP パケットを拒否するように設定されている場合でも、DHCP パケットが転送されます。このため、ブリッジの一方の側のクライアントは、ブリッジの反対側の DHCP サーバから IP アドレスを取得できます。

[Block Non-SYN Packets]

確立されたセッションに属さない TCP パケットをドロップするかどうか。これらは、セッションを開始しない TCP パケットです。つまり、これらのパケットでは SYN ビットが設定されていません。

[Log Dropped Packets]

ドロップしたパケットのログ メッセージを作成して、ドロップの理由を指定するかどうか。

関連項目

「インスペクション規則について」

「インスペクション規則の設定」

「IOS デバイスでの Denial of Service(DoS; サービス拒絶)攻撃を防ぐためのインスペクションの使用」