Cisco Security Manager 4.0 ユーザ ガイド
ファイアウォール デバイスでのサービス ポリ シー規則の設定
ファイアウォール デバイスでのサービス ポリシー規則の設定
発行日;2012/02/02 | 英語版ドキュメント(2011/01/24 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

ファイアウォール デバイスでのサービス ポリシー規則の設定

サービス ポリシー規則について

TCP ステート バイパスについて

[Priority Queues] ページ

[Priority Queue Configuration] ダイアログボックス

[IPS, QoS, and Connection Rules] ページ

Insert/Edit Service Policy (MPC) Rule ウィザード

手順 1: サービス ポリシーの設定

手順 2: トラフィック クラスの設定

手順 3: アクションの設定

AIP SSM/SSC について

トラフィック フロー オブジェクトの設定

デフォルト検査トラフィック

TCP マップの設定

[Add TCP Option Range]/[Edit TCP Option Range] ダイアログボックス

ファイアウォール デバイスでのサービス ポリシー規則の設定

ここでは、サービス ポリシー規則を設定する方法について説明します。サービス ポリシーを使用すると、一貫した柔軟な方法で、プライオリティ キューイング、アプリケーション インスペクション、Quality of Service(QoS; サービス品質)など、特定のセキュリティ アプライアンス機能を設定できます。たとえば、サービス ポリシーを使用して、すべての TCP アプリケーションに適用されるタイムアウト設定を作成する一方で、特定の TCP アプリケーションに固有のタイムアウト設定を作成できます。


) 特定のサービス ポリシーの範囲および実装の詳細については、cisco.com を参照してください。たとえば、次の参考資料が役立ちます。

Using Modular Policy Framework

QoS Configuration and Monitoring


この章は、次の内容で構成されています。

「サービス ポリシー規則について」

「TCP ステート バイパスについて」

「[Priority Queues] ページ」

「[IPS, QoS, and Connection Rules] ページ」

「トラフィック フロー オブジェクトの設定」

「TCP マップの設定」

サービス ポリシー規則について

サービス ポリシー規則には、次の機能が含まれています。

TCP 接続設定および一般接続設定(TCP ステート バイパスを含む。「TCP ステート バイパスについて」を参照)

Content Security Control(CSC)

アプリケーション インスペクション

侵入防御サービス

QoS キューイングおよびポリシング

これらの機能の設定オプションは、Security Manager の 2 つのページ([Priority Queues] および
[IPS, QoS and Connection Rules])にあります。機能にアクセスする場合は、[Platform] > [Service Policy Rules] にナビゲートしてください。

プライオリティ キューイング

プライオリティ キューイングでは、インターフェイスに Low Latency Queuing(LLQ; 低遅延キューイング)プライオリティ キューおよび「ベスト エフォート」キューの 2 つのキューが設定されます。この機能により、音声およびビデオなど、遅延の影響を受けやすいトラフィックを優先して、他のトラフィックより先に送信できます。プライオリティ キュー内のパケットは、常にベスト エフォート キュー内のパケットより先に送信されます。

キューのサイズは無限ではないので、キューが一杯になるとオーバーフローする可能性があります。キューが一杯になると、それ以上はパケットをキューに格納することができなくなり、パケットはドロップされます。これを「テール ドロップ」と呼びます。テール ドロップを最小限に抑えるには、キューのバッファ サイズを大きくします。また、送信キューに格納できるパケットの最大数を微調整することもできます。これらのオプションにより、プライオリティ キューイングの遅延およびロバストネスを制御できます。

プライオリティ キューイングは Quality of Service(QoS; サービス品質)の機能です。Security Manager では、プライオリティ キュー サイズおよび送信キュー サイズを「[Priority Queues] ページ」で管理します。一方、トラフィック クラスのプライオリティ キューイングは、Service Policy (MPC) Rule ウィザードの [QoS] タブにあるオプションで設定します。このウィザードには、「[IPS, QoS, and Connection Rules] ページ」からアクセスします。

アプリケーション インスペクションおよび QoS

アプリケーションの中には、セキュリティ アプライアンスによる特別な処理を必要とするものがあります。このため、固有のアプリケーション インスペクション エンジンが用意されています。特に、ユーザ データ パケットに IP アドレス情報を埋め込むアプリケーション、または動的に割り当てられるポートでセカンダリ チャネルを開くアプリケーションなどでは特別な検査が必要です。

アプリケーション インスペクションは、デフォルトで多くのプロトコルに対してイネーブルになっていますが、ディセーブルになっているプロトコルもあります。多くの場合、アプリケーション インスペクション エンジンがトラフィックをモニタするポートは変更可能です。

アプリケーション インスペクション エンジンは Network Address Translation(NAT; ネットワーク アドレス変換)と連動し、埋め込まれたアドレス情報の位置を特定できます。このことにより、これらの埋め込みアドレスを NAT で変換し、変換によって影響を受けるチェックサムまたはその他のフィールドを更新できるようになります。

サービス ポリシー規則では、セキュリティ アプライアンスで処理されるさまざまなタイプのトラフィックに、特定タイプのアプリケーション インスペクションを適用する方法を定義します。規則は、特定のインターフェイスに適用するか、またはすべてのインターフェイスにグローバルに適用できます。

これらの規則により、Cisco IOS ソフトウェアの Quality-of-Service(QoS; サービス品質)CLI と同じ仕組みで、セキュリティ アプライアンスの機能を設定できます。たとえば、サービス ポリシー規則を使用して、トラフィックを識別する基準の 1 つとして IP precedence を追加し、レートを制限できます。すべての TCP アプリケーションに適用されるタイムアウト設定を作成する一方で、特定の TCP アプリケーションに固有のタイムアウト設定を作成することもできます。

アプリケーション インスペクションを適用するトラフィックのタイプを定義するには、トラフィック一致基準を使用します。たとえば、ポート 23 の TCP トラフィックは Telnet トラフィック クラスに分類できます。すると、トラフィック クラスを使用して接続制限を適用できます。

トラフィック一致基準は、単一のインターフェイスに複数割り当てることができます。ただし、パケットが一致するのは、特定のサービス ポリシー規則内の最初の基準だけです。

TCP ステート バイパスについて

デフォルトでは、ASA または FWSM を通過するすべてのトラフィックは、アダプティブ セキュリティ アルゴリズムを使用して検査され、セキュリティ ポリシーに基づいて、通過を許可されるかドロップされます。デバイスは、各パケットの状態をチェックして(新規の接続か既存の接続かを判定し)、セッション管理パス(新規接続の SYN パケットの場合)、高速パス(既存の接続の場合)、またはコントロール プレーン パス(高度な検査の場合)に接続を割り当て、ファイアウォールのパフォーマンスを最大限に高めます。


) TCP ステート バイパスは、FWSM 3.2+ デバイスおよび ASA 8.2+ デバイスだけで使用可能です。


高速パスの既存の接続に一致する TCP パケットは、セキュリティ ポリシーをすべて再チェックしなくてもアプライアンスを通過できます。この機能によって、パフォーマンスが最大になります。ただし、SYN パケットを使用して高速パスでセッションを確立する方式、および高速パス内で発生するチェック(TCP シーケンス番号など)は、接続のアウトバウンドおよびインバウンド フローが同じデバイスを通過する必要があり、非対称ルーティング環境に該当しません。

たとえば、新規接続がセキュリティ デバイス 1 に割り当てられるとします。SYN パケットはセッション管理パスを通過し、接続のエントリが高速パス テーブルに追加されます。この接続の後続パケットがデバイス 1 を通過した場合、高速パス内のエントリに一致するのでこのパケットは送信されます。ただし、後続パケットがデバイス 2 に向かった場合、SYN パケットはこのデバイスのセッション管理パスを通過していないので、高速パス内に接続のエントリは存在せず、パケットはドロップされます。

したがって、上流のルータに非対称ルーティングが設定され、トラフィックが 2 つのセキュリティ デバイスを交互に通過する場合は、この特定のトラフィック フローの TCP ステート バイパスをイネーブルにします。TCP ステート バイパスによって、高速パス内でセッションを確立する方法が変更され、高速パス チェックがディセーブルになります。この場合、TCP トラフィックは UDP 接続を処理するときと同じように処理されます。つまり、指定されたネットワークに一致する SYN パケット以外のパケットがセキュリティ デバイスに送信され、高速パス エントリが存在しない場合、そのパケットは高速パス内で接続を確立するためにセッション管理パスを通過します。高速パスに入ると、トラフィックは高速パス チェックをバイパスします。

サポートされていない機能

TCP ステート バイパスをイネーブルにする場合、次の機能はサポートされません。

アプリケーション インスペクション:アプリケーション インスペクションでは、インバウンドおよびアウトバウンドのトラフィックが同じセキュリティ デバイスを通過する必要があります。したがって、TCP ステート バイパスではアプリケーション インスペクションがサポートされていません。

AAA 認証セッション:あるセキュリティ デバイスでユーザを認証した場合、トラフィックが他のセキュリティ デバイスを経由すると、そのデバイスではユーザが認証されていないため、トラフィックは拒否されます。

TCP 代行受信、最大初期接続の制限、TCP シーケンス番号のランダム化:TCP ステート バイパスをイネーブルにした場合、デバイスは接続の状態を追跡しません。したがって、これらの機能は適用できません。

Cisco Content Security and Control Security Services Module(CSC SSM):TCP ステート バイパスで SSM および SSC 機能は使用できません。

NAT との互換性

変換セッションはセキュリティ デバイスごとに独立して確立されるため、スタティック NAT は必ず TCP ステート バイパス トラフィックの両方のデバイスに設定します。ダイナミック NAT を使用する場合、デバイス 1 のセッションに選択されるアドレスと、デバイス 2 のセッションに選択されるアドレスは異なります。

関連項目

「サービス ポリシー規則について」

[Priority Queues] ページ

プライオリティ キューにより、ネットワークのトラフィックにプライオリティを付ける方法を定義できます。パケットの特性に基づいてプライオリティの異なるキューにトラフィックを格納する、一連のフィルタを定義できます。プライオリティの最も高いキューが最初に処理され、そのキューが空になると、プライオリティが次に高いキューから低いキューへと順番に処理が進みます。

Security Manager では、このページでプライオリティ キュー サイズおよび送信キュー サイズを管理します。一方、トラフィック クラスのプライオリティ キューイングは、Service Policy (MPC) Rule ウィザードの [QoS] タブにあるオプションで設定します。このウィザードには、「[IPS, QoS, and Connection Rules] ページ」からアクセスします。


) これらのキューを追加および編集するには、[Priority Queue Configuration] ダイアログボックスを使用します。このページの [Priority Queues] テーブルに表示されるフィールドの詳細については、「[Priority Queue Configuration] ダイアログボックス」を参照してください。


ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Service Policy Rules] > [Priority Queues] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Service Policy Rules] > [Priority Queues] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「ファイアウォール デバイスでのサービス ポリシー規則の設定」

「Insert/Edit Service Policy (MPC) Rule ウィザード」

「サービス ポリシー規則について」

「キューイング パラメータについて」

[Priority Queue Configuration] ダイアログボックス

[Priority Queues] ページでプライオリティ キューを定義および編集するには、[Priority Queue Configuration] ダイアログボックスを使用します。

ナビゲーション パス

[Priority Queue Configuration] ダイアログボックスを開くには、「[Priority Queues] ページ」で [Add Row] ボタンまたは [Edit Row] ボタンをクリックします。

関連項目

「ファイアウォール デバイスでのサービス ポリシー規則の設定」

「Insert/Edit Service Policy (MPC) Rule ウィザード」

「サービス ポリシー規則について」

「キューイング パラメータについて」

フィールド リファレンス

 

表 46-1 [Priority Queue Configuration] ダイアログボックス

要素
説明

[Interface Name]

この規則が適用されるインターフェイスを指定します。インターフェイス名を入力するか、または [Select] をクリックして使用可能なインターフェイスを選択できます。

[Queue Limit]

プライオリティ キューに格納できるパケットの最大数を入力します。この最大数を超えると、データがドロップされます。この制限には、0 ~ 2048 パケットの範囲を指定する必要があります。

[Transmission Ring Limit]

送信キューに格納できるパケットの最大数を入力します。これで送信キューを微調整すると遅延を短縮でき、送信ドライバを介してパフォーマンスを向上できます。

PIX デバイスの場合、この値の範囲は 3 ~ 128 パケットです。バージョン 7.2 よりも前の ASA の場合は、この制限を 3 ~ 256 パケットの範囲で指定します。また、バージョン 7.2 以降が稼動している ASA の場合は、3 ~ 512 パケットの範囲で指定します。

[IPS, QoS, and Connection Rules] ページ

新しいサービス ポリシー規則を定義し、既存のサービス ポリシー規則を編集または削除するには、[IPS, QoS, and Connection Rules] ページを使用します。

IPS、QoS、および接続規則の設定は、次の 3 つのタスクで構成されます。

1. サービス ポリシーの設定 。サービス ポリシーを作成し、そのサービス ポリシーが適用されるインターフェイスを決定します。詳細については、「手順 1: サービス ポリシーの設定」を参照してください。

2. トラフィック クラスの設定 。サービス ポリシーが適用されるトラフィックを識別する基準を指定します。詳細については、「手順 2: トラフィック クラスの設定」を参照してください。

3. アクションの設定 。情報またはリソースを保護するために実行するアクション、またはこのサービス ポリシーで指定されたトラフィックの QoS 機能を実行するアクションを指定します。詳細については、「手順 3: アクションの設定」を参照してください。

この 3 つのタスクの実行には、「Insert/Edit Service Policy (MPC) Rule ウィザード」を使用します。このページの [IPS, QoS and Connection Rules] テーブルに表示されるフィールドの詳細については、個々のタスクの項を参照してください。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Service Policy Rules] > [IPS, QoS, and Connection Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Service Policy Rules] > [IPS, QoS, and Connection Rules] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「ファイアウォール デバイスでのサービス ポリシー規則の設定」

「サービス ポリシー規則について」

標準の規則テーブルに関する内容:

「規則テーブルの使用」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

Insert/Edit Service Policy (MPC) Rule ウィザード

[IPS, QoS, and Connection Rules] ページでサービス ポリシー規則を追加および編集するには、Insert/Edit Service Policy (MPC) Rule ウィザードを使用します。Insert/Edit Service Policy (MPC) Rule ウィザードにより、次の手順が示されます。

「手順 1: サービス ポリシーの設定」

「手順 2: トラフィック クラスの設定」

「手順 3: アクションの設定」

ナビゲーション パス

「[IPS, QoS, and Connection Rules] ページ」で [Add Row or Edit Row] ボタンをクリックして、Insert/Edit Service Policy (MPC) Rule ウィザードを開きます。

手順 1: サービス ポリシーの設定

Insert/Edit Service Policy (MPC) Rule ウィザードを使用して IPS、QoS、および接続規則を設定する最初の手順は、規則のイネーブル化と規則を適用するインターフェイスの指定です。

「[IPS, QoS, and Connection Rules] ページ」で [Add Row or Edit Row] ボタンをクリックして、Insert/Edit Service Policy (MPC) Rule ウィザードを開きます。

 

表 46-2 Insert/Edit Service Policy (MPC) Rule ウィザード - 手順 1: サービス ポリシーの設定

要素
説明

[Enable The Current MPC Rule]

このサービス ポリシー規則をイネーブルにするには、このチェックボックスをオンにします。現時点で規則を定義しておき、あとからデバイスに展開する場合は、このオプションの選択を解除します。

[Category]

規則をカテゴリに割り当てるには、このリストからカテゴリを選択します。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。詳細については、「カテゴリ オブジェクトの使用」を参照してください。

[Description]

(任意)サービス ポリシー規則の説明を入力します。

[Global - Applies to All Interfaces]

すべてのインターフェイスにグローバルに規則を適用するには、このオプションを選択します。このオプションは、アクセス リストを使用して、送信元または宛先 IP アドレスに基づいてトラフィックを照合する機能とは互換性がありません。

[Interfaces]

特定のインターフェイスまたはインターフェイスのグループ(あるいはインターフェイス ロール)に規則を適用するには、このオプションを選択したあと、インターフェイスまたはインターフェイス オブジェクトの名前を入力または選択します。

この選択は、アクセス リストを使用して、送信元または宛先 IP アドレスに基づいてトラフィックを照合する場合は必須です。

(注) インターフェイス固有の規則は、指定した機能のグローバル サービス ポリシーに優先します。たとえば、FTP インスペクションを行うグローバル ポリシーと、TCP 接続制限を行うインターフェイス ポリシーが設定されている場合、インターフェイスには FTP インスペクションおよび TCP 接続制限がどちらも適用されます。ただし、FTP インスペクションを行うグローバル ポリシーと、FTP インスペクションを行うインターフェイス ポリシーが設定されている場合は、インターフェイス ポリシーの FTP インスペクションだけがインターフェイスに適用されます。

[Next]

このボタンをクリックすると、ウィザードの次のページに進みます。

[Cancel]

このボタンをクリックすると、ウィザードを閉じて変更を廃棄します。

手順 2: トラフィック クラスの設定

Insert/Edit Service Policy (MPC) Rule ウィザードを使用して IPS、QoS、および接続規則を設定する 2 番目の手順は、規則を適用するトラフィック クラスの指定です。

 

表 46-3 Insert/Edit Service Policy (MPC) Rule ウィザード - 手順 2: トラフィック クラスの設定

要素
説明

[Traffic Classification]

この規則のトラフィックを照合するクラスを指定します。

[Use class-default As The Traffic Class]:このサービス ポリシーのトラフィック クラス class-default を使用するには、このオプションを選択します。class-default トラフィック クラスは、すべてのトラフィックを照合します。

[Traffic Class]:特定のトラフィック クラスにこの規則を適用するには、このオプションを選択します。定義済みのトラフィック クラスの名前を入力するか、または [Select] をクリックしてトラフィック フロー セレクタからトラフィック クラスを選択します。

トラフィック フロー セレクタで [Create] または [Edit] ボタンのいずれかをクリックし、「オンザフライ」でトラフィック フローを定義または編集することもできます(トラフィック フローは [Policy Object Manager] の [Traffic Flows] ページでも作成および編集できます)。詳細については、「トラフィック フロー オブジェクトの設定」を参照してください。

手順 3: アクションの設定

Insert/Edit Service Policy (MPC) Rule ウィザードの 3 番目の手順は、規則に関する IPS、接続設定、QoS、および CSC のパラメータの指定です。各パラメータ セットは、別々のタブ付きパネルに表示されます。

 

表 46-4 Insert/Edit Service Policy (MPC) Rule ウィザード - 手順 3: アクションの設定

要素
説明
[Intrusion Prevention] タブ

[Enable IPS for this Traffic]

このトラフィック フローの侵入防御をイネーブルまたはディセーブルにします。このチェックボックスをオンにすると、このパネル上の他のパラメータが使用可能になります。

(注) これらのパラメータは、Advanced Inspection and Prevention Security Services Module(AIP SSM)または Advanced Inspection and Prevention Security Services Card(AIP SSC)がインストールされている ASA 7.0+ デバイスだけに適用できます。詳細については、「AIP SSM/SSC について」を参照してください。

[IPS Mode]

侵入防御の動作モードを選択します。

[Inline]:このモードでは、トラフィック フローに AIP SSM/SSC が直接配置されます。IPS インスペクションの対象と識別されたトラフィックは、最初に AIP SSM/SSC に渡されて検査されなければ、ASA を通過できません。インスペクションの対象と識別されたすべてのパケットが分析されてから通過を許可されるため、このモードが最も安全です。また、AIP SSM/SSC はパケット単位でブロッキング ポリシーを実装できます。ただし、このモードはスループットに影響する可能性があります。

[Promiscuous]:このモードでは、トラフィックの複製ストリームが AIP SSM/SSC に送信されます。このモードの安全性はインライン モードより低くなりますが、トラフィックのスループットにはほとんど影響しません。インライン モードと異なり、無差別モードでは AIP SSM/SSC が元のパケットをドロップできません。トラフィックをブロックできるのは、ASA にトラフィックの回避を指示するか、またはアプライアンス上の接続をリセットした場合だけです。

また、AIP SSM/SSC がトラフィックを分析している間、AIP SSM/SSC がトラフィックを回避する前に一部のトラフィックが ASA を通過する場合があります。

[On IPS Card Failure]

AIP SSM/SSC が動作不能になった場合に実行するアクションを指定します。

[Open]:モジュールまたはカードで障害が発生した場合でもトラフィックを許可します。

[Close]:モジュールまたはカードで障害が発生した場合はトラフィックをブロックします。

[Connection Settings] タブ

[Enable Connection Settings For This Traffic]

このトラフィック フローの接続設定をイネーブルまたはディセーブルにします。このチェックボックスをオンにすると、このパネル上の他のパラメータがアクティブになります。[Connection Settings] タブでは、最大接続、初期接続、タイムアウト、および TCP のパラメータを設定できます。

[Maximum Connections]

TCP 接続と UDP 接続の最大数、およびこのトラフィック フローの初期接続の最大数を指定できます。

[Maximum TCP & UDP Connections]:サブネット全体の TCP および UDP の最大同時接続数を指定します。上限は 65,536 です。どちらのプロトコルもデフォルトは 0 で、この場合に許可される接続は無制限です。

[Maximum TCP & UDP Connections Per Client]:ASA/PIX 7.1+ の場合にかぎり、クライアント単位で TCP および UDP の最大同時接続数を指定します。

[Maximum Embryonic Connections]:ASA/PIX 7.0+ の場合にかぎり、ホスト単位で最大初期接続数を指定します。上限は 65,536 です。初期接続は、送信元と宛先間で必要なハンドシェイクを完了しなかった接続要求です。この制限により、TCP 代行受信機能がイネーブルになります。デフォルトは 0 で、この場合の初期接続数は無制限です。TCP 代行受信は、TCP SYN パケットを使用してインターフェイスをフラッディングすることによる DoS 攻撃から内部システムを保護します。初期接続制限を超えると、クライアントからセキュリティ レベルのより高いサーバに送信される TCP SYN パケットが、TCP 代行受信機能によって代行受信されます。検証プロセス中には SYN クッキーが使用され、有効なトラフィックのドロップ量を最小限に抑えることができます。したがって、到達不能なホストからの接続試行がサーバに到達することはありません。この機能は、TCP ステート バイパスがイネーブルになっている場合には適用されません。

[Maximum Embryonic Connections Per Client]:ASA/PIX 7.1+ の場合にかぎり、クライアント単位で最大初期接続数を指定します。この機能は、TCP ステート バイパスがイネーブルになっている場合には適用されません。

[Connection Timeouts]

このトラフィック フローの次の接続タイムアウト設定を指定できます。

[Embryonic Connection Timeout]:初期接続スロットが解放されるまでのアイドル時間を指定します。接続のタイムアウトをディセーブルにするには、0:0:0 を入力します。デフォルトは FWSM で 20 秒、ASA/PIX デバイスで 30 秒です。

[Half Closed Connection Timeout]:ハーフクローズ接続スロットが解放されるまでのアイドル時間を指定します。接続のタイムアウトをディセーブルにするには、0:0:0 を入力します。

FWSM の場合、デフォルト値は 20 秒、最大値は 255 秒(4 分 15 秒)です。

ASA/PIX デバイスの場合、この期間は 5 分以上にする必要があります。デフォルトは 10 分です。

[TCP Connection Timeout]:接続スロットが解放されるまでのアイドル時間を指定します。接続のタイムアウトをディセーブルにするには、0:0:0 を入力します。この期間は 5 分以上にする必要があります。デフォルトは 1 時間です。

[Reset Connection Upon Timeout]

選択した場合、タイムアウト発生後に接続がリセットされます。ASA/PIX 7.0(4)+ だけで選択可能です。

[Detect Dead Connections]

デッド接続検出機能をイネーブルにします。ASA/PIX 7.2+ デバイスだけで選択可能です。このオプションを選択すると、次の 2 つのフィールドがイネーブルになります。

[Dead Connection Detection Timeout]:デッド接続が検出された場合の再試行間隔を指定します。デフォルトは 15 秒です。

[Dead Connection Detection Retries]:デッド接続の検出後に実行される再試行の回数を指定します。デフォルトは 5 です。

[Traffic Flow Idle Timeout]

トラフィック フローがアイドルになってからフローが切断されるまでの期間を指定します。FWSM 3.2+ だけに適用できます。デフォルトは 1 時間です。

[Enable TCP Normalization]

TCP 正規化をイネーブルにし、TCP マップ選択オプションをアクティブにします。ASA/PIX 7.0+ だけに適用されます。ただし、TCP ステート バイパスがイネーブルになっている場合には適用されません。

[TCP map]

TCP 正規化に使用する TCP マップを指定します。TCP マップの名前を入力または選択します。詳細については、「TCP マップの設定」を参照してください。

[Randomize TCP Sequence Number]

シーケンス番号のランダム化機能をイネーブルにします。別のインライン セキュリティ アプライアンスもシーケンス番号をランダム化していて、結果としてデータが混乱している場合にだけ、この機能をディセーブルにします。それぞれの TCP 接続には 2 つの初期シーケンス番号が割り当てられており、そのうちの 1 つはクライアントで生成され、もう 1 つはサーバで生成されます。セキュリティ アプライアンスは、ホスト/サーバから生成された ISN をセキュリティ レベルの高いインターフェイス上でランダム化します。攻撃者が次の ISN を予測してセッション ハイジャックを実行できないように、少なくとも 1 つの ISN をランダムに生成する必要があります。TCP ステート バイパスがイネーブルになっている場合には適用されません。

[Enable TCP State Bypass]

このトラフィック フローの TCP ステート バイパスをイネーブルにします。このオプションにより、接続のアウトバウンドおよびインバウンド フローが同じデバイスを通過しない場合に、非対称ルーティング環境で特定のトラフィック フローが許可されます。FWSM 3.2+ および ASA 8.2+ だけに適用できます。詳細については、「TCP ステート バイパスについて」を参照してください。

[Enable Decrement TTL]

このオプションを選択すると、セキュリティ アプライアンスから渡されるパケットの Time-to-Live(TTL; 存続可能時間)値の減分が有効になります。PIX/ASA 7.2.2+ だけに適用できます。

[QoS] タブ

[Enable QoS For This Traffic]

このトラフィック フローの Quality of Service(QoS; サービス品質)オプションをイネーブルにします。選択すると、[Enable Priority For This Flow] オプションおよび [Traffic Policing] オプションがアクティブになります。

(注) このタブ上のオプションは、PIX/ASA 7.0+ デバイスだけに適用できます。

[Enable Priority For This Flow]

このフローの厳密なスケジューリング プライオリティをイネーブルにします。「[Priority Queues] ページ」でプライオリティ キューを定義する必要があります。

[Traffic Policing]

出力および入力のトラフィック ポリシングをイネーブルにします。トラフィック ポリシングにより、インターフェイス上で送受信されるトラフィックの最大レートを制御できます。

[Output (Traffic Policing)]

デバイスから出力されるトラフィックのポリシングをイネーブルにします。ポリシングをイネーブルにする場合は、次の値を指定できます。

[Committed Rate]:このトラフィック フローのレート制限。8,000 ~ 2,000,000,000 の範囲の値で、許容最大速度(1 秒あたりのビット数)を指定します。

[Burst Rate]:1,000 ~ 512,000,000 の範囲の値で、適合レート値まで抑制するまでに、持続したバーストにおいて許可される最大瞬間バイト数を指定します。

[Conform Action]:レートが適合バースト値よりも少ない場合に実行するアクション。選択肢は [Transmit] または [Drop] です。

[Exceed Action]:レートが適合レート値と適合バースト値の間になっている場合に、このアクションを実行します。選択肢は [Transmit] または [Drop] です。

[Input (Traffic Policing)]

デバイスに入力されるトラフィックのポリシングをイネーブルにします。これらのオプションは、ASA/PIX 7.2+ デバイスだけに適用されます。ポリシングをイネーブルにする場合は、次の値を指定できます。

[Committed Rate]:このトラフィック フローのレート制限。8,000 ~ 2,000,000,000 の範囲の値で、許容最大速度(1 秒あたりのビット数)を指定します。

[Burst Rate]:1,000 ~ 512,000,000 の範囲の値で、適合レート値まで抑制するまでに、持続したバーストにおいて許可される最大瞬間バイト数を指定します。

[Conform Action]:レートが適合バースト値よりも少ない場合に実行するアクション。選択肢は [Transmit] または [Drop] です。

[Exceed Action]:レートが適合レート値と適合バースト値の間になっている場合に、このアクションを実行します。選択肢は [Transmit] または [Drop] です。

[CSC] タブ

[Enable Content Security Control For This Traffic]

このトラフィック フローで Cisco Content Security and Control Security Services Module(CSC SSM)の使用をイネーブルまたはディセーブルにします。このチェックボックスをオンにすると、[On CSC SSM Failure] オプションが使用可能になります。これらのオプションは、ASA 7.1+ デバイスだけに適用できます。ただし、TCP ステート バイパスがイネーブルになっている場合には適用されません。

CSC SSM では、FTP、HTTP、POP3、および SMTP のパケットをスキャンし、ウイルス、スパイウェア、スパム、およびその他の好ましくないトラフィックに対処します。

[On CSC SSM Failure]

CSC SSM が動作不能になった場合に実行する次のアクションを指定します。

[Open]:CSC SSM で障害が発生した場合でもトラフィックを許可します。

[Close]:CSC SSM で障害が発生した場合はトラフィックをブロックします。

AIP SSM/SSC について

ASA 5500 シリーズ セキュリティ アプライアンスには、Advanced Inspection and Prevention Security Services Module(AIP SSM)または Advanced Inspection and Prevention Security Services Card(AIP SSC)をインストールできます。AIP SSM/SSC では、プロアクティブでフル機能の侵入防御サービスを提供する高機能な IPS ソフトウェアを実行し、ワームおよびネットワーク ウイルスなどの悪意のあるトラフィックがネットワークに影響を及ぼす前に、それらのトラフィックを阻止します。

AIP SSM/SSC は適応型セキュリティ アプライアンスから独立して動作するので、個別のデバイスとしてデバイス インベントリに追加する必要があります。ただし、AIP SSM/SSC は ASA のトラフィック フローに統合されます。AIP SSM/SSC には、外部インターフェイス自体がありません(SSM だけに用意された管理インターフェイスを除く)。IPS インスペクションのトラフィックを識別する場合、トラフィックは次のように ASA および AIP SSM/SSC を通過します。

1. トラフィックが ASA に入ります。

2. ファイアウォール ポリシーが適用されます。

3. バックプレーンを介して AIP SSM/SSC にトラフィックが送信されます。

無差別モードでは、トラフィックのコピーが AIP SSM/SSC に送信されます。インライン モードと無差別モードの詳細については、Insert/Edit Service Policy (MPC) Rule ウィザード(「手順 3: アクションの設定」)の [Intrusion Prevention] セクションで [IPS Mode] を参照してください。

4. AIP SSM/SSC がセキュリティ ポリシーをトラフィックに適用し、適切なアクションを実行します。

5. バックプレーンを介して有効なトラフィックが適応型セキュリティ アプライアンスに返送されます。

インライン モードでは、AIP SSM/SSC はセキュリティ ポリシーに従ってトラフィックをブロックする場合があります。この場合、ブロックされたトラフィックは返送されません。

6. VPN ポリシーが適用されます(設定されている場合)。

7. トラフィックが ASA を出ます。

次の図に、AIP SSM/SSC をインライン モードで実行する場合のトラフィック フローを示します。この例で、AIP SSM/SSC は攻撃として識別したトラフィックを自動的にブロックします。他のトラフィックはすべて ASA に戻されます。

 

次の図に、AIP SSM/SSC を無差別モードで実行する場合のトラフィック フローを示します。この例で、AIP SSM/SSC は脅威として識別されたトラフィックについて、ASA に shun メッセージを送信します。

 

AIP SSM/SSC を設定する場合は、ホスト ASA 上にサービス ポリシー規則を設定し、AIP SSM/SSC デバイス上に IPS ポリシーを設定する必要があります。IPS ポリシー設定の概要については、「IPS 設定の概要」を参照してください。

関連項目

「デバイス インベントリへのデバイスの追加」

トラフィック フロー オブジェクトの設定

トラフィックの一致定義を設定するには、[Add Traffic Flow]/[Edit Traffic Flow] ダイアログボックスを使用します。これらのトラフィック フロー定義は、PIX 7.0+、ASA 7.0+、および FWSM 3.2+ の各オペレーティング システムが稼動するデバイスで、IPS、QoS、および接続規則のサービス ポリシーに含まれるクラス マップ( class map コマンド)に対応します。これらの規則の設定の詳細については、「ファイアウォール デバイスでのサービス ポリシー規則の設定」を参照してください。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Traffic Flows] を選択します。作業領域内で右クリックして [New Object] を選択するか、または行を右クリックして [Edit Object] を選択します。

これらのダイアログボックスは、サービス ポリシー規則を定義しているときに、トラフィック フロー セレクタの [Create] または [Edit] ボタンをクリックして開くこともできます。トラフィック フロー クラスの選択の詳細については、「手順 2: トラフィック クラスの設定」を参照してください。

関連項目

「アクセス コントロール リスト オブジェクトの作成」

フィールド リファレンス

 

表 46-5 [Add Traffic Flow]/[Edit Traffic Flow] ダイアログボックス

要素
説明

[Name]

トラフィック フロー オブジェクトの名前。最大 40 文字を使用できます。クラス マップのネーム スペースは、セキュリティ コンテキストに対してローカルです。したがって、複数のセキュリティ コンテキストで同じ名前を使用できます。セキュリティ コンテキストあたりのクラス マップの最大数は 255 です。

[Description]

トラフィック フローの説明(任意)。最大 1024 文字を使用できます。

[Traffic Match Type]

照合するトラフィックのタイプ。選択したオプションによって、ダイアログボックス内のフィールドが変更される場合があります。選択可能なすべてのフィールドについては、この表の後半を参照してください。[Traffic Match Type] のオプションは次のとおりです。

[Any Traffic]:すべてのトラフィックを照合します。

[Source and Destination IP Address (access-list)]:指定したアクセス コントロール リストに基づいて、パケットの送信元アドレスおよび宛先アドレスを照合します。

[Default Inspection Traffic]:デフォルト検査トラフィックを照合します。デフォルト設定のリストについては、「デフォルト検査トラフィック」を参照してください。

[Default Inspection Traffic with access list]:指定したアクセス コントロール リストで制限されたデフォルト検査トラフィックを照合します。

[TCP or UDP Destination Port]:指定した TCP または UDP の宛先ポート、あるいはポートの範囲に送信されるトラフィックを照合します。ここで有効なポート番号は 0 ~ 65535 です。

[RTP Range]:指定した UDP 宛先ポートの範囲に送信されるトラフィックを照合します。ここで有効なポート番号は 2000 ~ 65535 です。

[Tunnel Group]:指定したトンネル グループに属する VPN トンネル内のフローに基づいて、宛先アドレスを照合します。

[IP Precedence Bits]:トラフィック パケットに割り当てられた precedence 値を照合します。最大で 4 つの値を選択できます。

[IP DiffServe Code Points (DSCP) Values]:トラフィック パケットに関連付けられた DSCP 値を照合します。最大で 8 つの値を選択できます。

可変フィールド

[Add Traffic Flow]/[Edit Traffic Flow] ダイアログボックスには、[Traffic Match Type] フィールドで選択した内容に応じて次のフィールドが表示されます。次のリストに、選択可能なフィールド セットをすべて示します。

[Available ACLs]

マップに選択可能な Access Control List(ACL; アクセス コントロール リスト)オブジェクトのリスト。ターゲット トラフィックを定義する ACL を選択するか、または [Create] ボタンをクリックして新しいオブジェクトを追加します。オブジェクトを選択して [Edit] をクリックし、定義を変更することもできます。オブジェクトのリストが大きい場合は、[Filter] フィールドを使用して表示を制限してください(「セレクタ内の項目のフィルタリング」)。

[TCP or UDP]

[TCP/UDP Port or Port Range]

プロトコル(TCP または UDP)を指定するオプション ボタン、および指定したプロトコル/ポートに基づいてトラフィックを照合するときに使用する、宛先ポート番号または番号の範囲を指定するテキスト フィールド。

単一のポート値またはポート番号の範囲(0-2000 など)を指定できます。有効なポート番号は 0 ~ 65535 です。

[RTP Port Range]

トラフィック フローに関連付けられた RTP 宛先ポートの範囲。有効な 2000 ~ 65535 の範囲内でポート範囲を入力する必要があります。

(注) ダイアログボックスを閉じると、入力したポート範囲は、終了値から開始値を引いた port-span 値に変換されます。たとえば、ダイアログボックスに範囲 2001-3000 を入力すると、[Traffic Flows] ポリシー オブジェクト テーブルの [Match Value] カラムに「RTP port 2001 range 999」が表示されます。port-span 値はデバイスから要求されます。

[Tunnel group name]

[Match Flow IP Destination Address]

使用可能な VPN トンネル グループが一覧表示されます。グループを選択するか、またはグループの名前を入力します。[Match Flow IP Destination Address] を選択して、宛先アドレスを一致タイプとして認識することもできます。

ヒント FlexConfig のオブジェクトおよびポリシーを使用して、PIX 7.0+ デバイスに VPN トンネル グループを定義できます。詳細については、「FlexConfig ポリシーとポリシー オブジェクトについて」を参照してください。

[Available IP Precedence]

[Match on IP Precedence]

IP precedence 番号。照合する値を選択し、[>>] をクリックして [Match] テーブルに追加します。複数の値を選択するには、Ctrl を押しながらクリックします。最大で 4 つの値を選択できます。

[Match] テーブルから値を削除するには、その値を選択して [<<] をクリックします。

[Available DSCP Values]

[Match on DSCP]

IP DiffServe Code Point(DSCP)番号。照合する値を選択し、[>>] をクリックして [Match] テーブルに追加します。複数の値を選択するには、Ctrl を押しながらクリックします。最大で 8 つの値を選択できます。

[Match] テーブルから値を削除するには、その値を選択して [<<] をクリックします。

[Category]

トラフィック フロー オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

デフォルト検査トラフィック

トラフィック フロー ポリシー オブジェクトを作成すると、デフォルト検査トラフィックを照合できます。詳細については、「トラフィック フロー オブジェクトの設定」を参照してください。次の表に、デフォルト検査トラフィック カテゴリに含まれているトラフィックのタイプを示します。

 

表 46-6 デフォルト検査トラフィック

ポート
NAT の制限
コメント

CTIQBE

TCP/2748

CuSeeMe

UDP/7648

DNS over UDP

UDP/53

WINS 経由の名前解決では NAT は非サポート。

PTR レコードは変更されません。

FTP

TCP/21

GTP

UDP/2123、3386

H.323、H.225

TCP/1720、1718

同じセキュリティ インターフェイス上の NAT は非サポート。スタティック PAT は非サポート。

RAS

UDP/1718、1719

同じセキュリティ インターフェイス上の NAT は非サポート。スタティック PAT は非サポート。

HTTP

TCP/80

ICMP

--

すべての ICMP トラフィックがデフォルトのクラス マップで照合されます。

ILS(LDAP)

TCP/389

PAT は非サポート。

IP オプション

--

すべての IP オプション トラフィックがデフォルトのクラス マップで照合されます。

MGCP

UDP/2427、2727

NetBIOS ネーム サーバ

UDP/137、138(送信元ポート)

NBNS UDP ポート 137 および NBDS UDP ポート 138 のパケットについて NAT を実行し、NetBIOS がサポートされます。

RSH

TCP/514

PAT は非サポート。

RTSP

TCP/554

PAT は非サポート。外部 NAT は非サポート。

HTTP クローキングの処理は行われません。

SIP

TCP/5060、UDP/5060

外部 NAT は非サポート。同じセキュリティ インターフェイス上の NAT は非サポート。

Skinny Client Control Protocol(SCCP)

TCP/2000

外部 NAT は非サポート。同じセキュリティ インターフェイス上の NAT は非サポート。

SMTP および ESMTP

TCP/25

SQL*Net

TCP/1521

バージョン 1 および 2。

Sun RPC over UDP

UDP/111

NAT または PAT は非サポート。

デフォルトの規則には UDP ポート 111 が含まれています。TCP ポート 111 の Sun RPC インスペクションをイネーブルにする場合は、TCP ポート 111 を照合する新しい規則を作成し、Sun RPC インスペクションを実行する必要があります。

TFTP

UDP/69

ペイロード IP アドレスは変換されません。

XDMCP

UDP/177

NAT または PAT は非サポート。

TCP マップの設定

IPS、QoS、および接続規則のサービス ポリシーで使用する TCP 正規化マップを定義するには、[Add TCP Map]/[Edit TCP Map] ダイアログボックスを使用します。TCP 正規化機能により、異常なパケットを識別する基準を指定できます。セキュリティ アプライアンスは異常なパケットを検出すると、そのパケットをドロップします。このマップは、デバイスを通過する、またはデバイスに送信される TCP トラフィックに対して使用されます。

これらの TCP マップは、PIX 7.x+ デバイスおよび ASA デバイス上の TCP フローに適用できます。IPS、QoS、および接続規則の設定の詳細については、「ファイアウォール デバイスでのサービス ポリシー規則の設定」を参照してください。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Maps] > [TCP Maps] を選択します。作業領域内で右クリックして [New Object] を選択するか、または行を右クリックして [Edit Object] を選択します。

これらのダイアログボックスは、サービス ポリシー規則を定義しているときに、TCP マップ セレクタの [Create] または [Edit] ボタンをクリックして開くこともできます。TCP 正規化のイネーブル化および TCP マップの選択の詳細については、「手順 3: アクションの設定」の「Connection Settings」セクションを参照してください。

関連項目

「マップ オブジェクトについて」

フィールド リファレンス

 

表 46-7 [Add TCP Map]/[Edit TCP Map] ダイアログボックス

要素
説明

[Name]

TCP 正規化マップの名前。最大 128 文字を使用できます。

[Description]

マップ オブジェクトの説明。最大 1024 文字を使用できます。

[Queue Limit]

(ASA デバイス限定)

TCP 接続で、バッファに格納して順序を並べ替えることのできる out-of-order パケットの最大数。1 ~ 250 の間の値を入力します。0 を入力すると、この設定はディセーブルになり、デフォルトのシステム キュー制限が使用されます。この制限は、トラフィックのタイプによって次のように異なります。

アプリケーション インスペクション、IPS、および TCP check-retransmission の接続のキュー制限は 3 パケットです。セキュリティ アプライアンスがウィンドウ サイズの異なる TCP パケットを受信した場合、キュー制限はアドバタイズされた設定に一致するように動的に変更されます。

その他の TCP 接続の場合、out-of-order パケットはそのまま通過します。

ただし、[Queue Limit] を 1 以上に設定した場合、すべての TCP トラフィックで許容される out-of-order パケットの数は、指定した値に一致します。アプリケーション インスペクション、IPS、および TCP check-retransmission のトラフィックの場合、アドバタイズされた設定はすべて無視されます。その他の TCP トラフィックの場合、out-of-order パケットはそのまま通過せず、ここでバッファに格納されて並べ替えられます。

[Time Out]

(ASA 7.2(4)+ デバイス限定)

out-of-order パケットをバッファに格納しておくことのできる最大期間。この期間を超えると、パケットはドロップされます。1 ~ 20 秒の間の値を入力します。デフォルトは 4 秒です。

[Queue Limit] に 0 を入力した場合、この設定は無視されます。

[Verify TCP Checksum]

オンにすると、チェックサム検証がイネーブルになります。

[Drop SYN Packets with Data]

オンにすると、データを持つ TCP SYN パケットがドロップされます。

[Drop Connection on Window Variation]

オンにすると、ウィンドウ サイズが突然変更された接続がドロップされます。

[Drop Packets that Exceed Maximum Segment Size]

オンにすると、ピアに設定された Maximum Segment Size(MSS; 最大セグメント サイズ)を超えるパケットがドロップされます。

[Check if Transmitted Data is the Same as Original]

オンにすると、再送信データのチェックがイネーブルになります。

[Clear Urgent Flag]

オンにすると、セキュリティ アプライアンスを介して URG(緊急)フラグがクリアされます。URG フラグは、ストリーム内の他のデータよりプライオリティの高い情報が、パケットに含まれていることを示すのに使用されます。TCP の RFC では、URG フラグの厳密な解釈が定められていません。したがって、緊急オフセットの処理方法がエンド システムによって異なり、エンド システムが脆弱になる場合があります。

[Clear Selective Ack]

Selective Acknowledgment Mechanism(SACK)オプションをクリアするか許可するかどうか。

[Clear TCP Timestamp]

PAWS および RTT をディセーブルにするタイムスタンプ オプションをクリアするか許可するかどうか。

[Clear Window Scale]

ウィンドウ スケール タイムスタンプ オプションをクリアするか許可するかどうか。

[Enable TTL Evasion Protection]

セキュリティ アプライアンスから提供される TTL 回避保護をイネーブルにします。セキュリティ ポリシーを回避しようとする攻撃を防ぐ場合は、このオプションをイネーブルにしないでください。

たとえば、攻撃者は、TTL が非常に短い状態でポリシーを通過するパケットを送信できます。TTL が 0 になると、セキュリティ アプライアンスとエンドポイントの間のルータは、パケットをドロップします。この時点で、攻撃者は長い TTL を設定した、悪意のあるパケットを送信できます。セキュリティ アプライアンスはこのパケットを再送信と見なすため、パケットは通過します。一方、エンドポイント ホストにとっては、このパケットが最初に受信するパケットになります。この場合、攻撃はセキュリティによって阻止されず、攻撃者は攻撃に成功します。

[Reserved Bits]

TCP ヘッダーに予約済みビットが設定された TCP パケットの処理方法を指定します。TCP ヘッダーの 6 つの予約済みビットは今後の使用が想定されるもので、通常は値が 0 に設定されています。

[Clear and Allow]:TCP ヘッダー内の予約済みビットをクリアし、パケットを許可します。

[Allow only]:TCP ヘッダーに予約済みビットが設定されたパケットを許可します。

[Drop]:TCP ヘッダーに予約済みビットが設定されたパケットをドロップします。

[TCP Range Options] テーブル

[TCP Range Options] テーブルには、TCP マップに定義された TCP オプション範囲、およびそれらのオプションに実行するアクションが一覧表示されます。一般的な数値の範囲は 6 ~ 7 および 9 ~ 255 です。下限は上限以下とする必要があります。

範囲を追加するには、[Add] ボタンをクリックし、[Add TCP Option Range] ダイアログボックスを開きます(「[Add TCP Option Range]/[Edit TCP Option Range] ダイアログボックス」を参照)。

範囲を編集するには、範囲を選択し、[Edit] ボタンをクリックします。

範囲を削除するには、範囲を選択し、[Delete] ボタンをクリックします。

[Category]

マップ オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Add TCP Option Range]/[Edit TCP Option Range] ダイアログボックス

TCP 正規化マップで使用する TCP オプション範囲を定義または編集するには、[Add TCP Option Range]/[Edit TCP Option Range] ダイアログボックスを使用します。これらは、デバイスで明示的にサポートされていない TCP オプションです。この機能により、指定した TCP オプション セットを持つパケットを許可または廃棄できます。一般的な数値の範囲は 6 ~ 7 および 9 ~ 255 です。

ナビゲーション パス

[Add TCP Map]/[Edit TCP Map] ダイアログボックスで、[TCP Range Options] テーブル内を右クリックして [Add Row] を選択するか、または既存の行を右クリックして [Edit Row] を選択します。「TCP マップの設定」を参照してください。

フィールド リファレンス

 

表 46-8 [Add TCP Option Range]/[Edit TCP Option Range] ダイアログボックス

要素
説明

[Lower]

範囲の下限。6 または 7 を入力するか、あるいは 9 ~ 255 の整数を入力します。

(注) [Lower] の境界は [Upper] の境界以下とする必要があります。

[Upper]

範囲の上限。6 または 7 を入力するか、あるいは 9 ~ 255 の整数を入力します。

[Action]

指定したオプション セットを持つパケットに対して実行するアクションを選択します。

[Allow]:指定したオプション セットを持つパケットをすべて許可します。

[Clear]:指定したオプションが設定されたすべてのパケットからそのオプションをクリアし、パケットを許可します。

[Drop]:指定したオプション セットを持つパケットをすべて廃棄します。