Cisco Security Manager 4.1 ユーザ ガイド
ファイアウォール アクセス規則の管理
ファイアウォール アクセス規則の管理
発行日;2012/05/09 | 英語版ドキュメント(2011/03/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ファイアウォール アクセス規則の管理

アクセス規則について

グローバル アクセス規則について

デバイス固有のアクセス規則の動作について

アクセス規則のアドレス要件および規則の展開方法について

アクセス規則の設定(IPv4 または IPv6)

アクセス規則ページ(IPv4 または IPv6)

[Add Access Rule]/[Edit Access Rule] ダイアログボックス(IPv4 および IPv6)

[Advanced]/[Edit Options] ダイアログボックス

[Edit Firewall Rule Expiration Settings] ダイアログボックス

アクセス規則の有効期限の設定

アクセス コントロールの設定(IPv4 または IPv6)

[Access Control Settings] ページ(IPv4 および IPv6)

[Firewall ACL Setting] ダイアログボックス(IPv4 または IPv6)

分析レポートの生成

ヒット カウント レポートの生成

[Hit Count Selection Summary] ダイアログボックス

ヒット カウント クエリー結果の分析

規則のインポート

Import Rules ウィザード - [Enter Parameters] ページ

Import Rules ウィザード - [Status] ページ

Import Rules ウィザード - [Preview] ページ

インポートされた規則の例

展開中のアクセス規則の自動最適化

ファイアウォール アクセス規則の管理

アクセス規則では、トラフィックがインターフェイスを通過するために満たす必要のある規則を定義します。着信トラフィックの規則を定義した場合、その規則が他のどのポリシーよりも先にトラフィックに適用されます(ただし、一般的でない AAA 規則は例外です)。このため、アクセス規則は防御の最前線となります。


ヒント デバイスの一部のタイプでは、IPv4 アクセス規則に加えて IPv6 アクセス規則を設定できます。サポートされるデバイス タイプの詳細については、「Security Manager での IPv6 サポート」を参照してください。

アクセス規則の概要および使用方法については、次の項を参照してください。

「アクセス規則について」

「グローバル アクセス規則について」

「デバイス固有のアクセス規則の動作について」

「アクセス規則のアドレス要件および規則の展開方法について」

「アクセス規則の設定(IPv4 または IPv6)」

「アクセス規則の有効期限の設定」

「アクセス コントロールの設定(IPv4 または IPv6)」

「分析レポートの生成」

「ヒット カウント レポートの生成」

「規則のインポート」

「展開中のアクセス規則の自動最適化」

一般的な規則テーブルの使用方法については、次の項を参照してください。

「規則の追加および削除」

「規則の編集」

「規則のイネーブル化とディセーブル化」

「規則の移動と規則順序の重要性」

アクセス規則について

アクセス規則ポリシーでは、インターフェイスを通過するトラフィックを許可または拒否する規則を定義します。通常は、インターフェイスに入るトラフィックのアクセス規則を作成します。これは、特定タイプのパケットを拒否する場合、デバイスがパケットの処理に多くの時間を費やす前にパケットを拒否する方が有効なためです。

IP アドレッシング方式に基づいた 2 つの別々のアクセス規則ポリシーがあります。[Firewall] > [Access Rules] ポリシーは、IPv4 アドレス用で、[Firewall] > [IPv6 Access Rules] ポリシー は、IPv6 アドレス用です。アドレッシング方式、およびポリシーで使用可能なツール以外は、IPv4 および IPv6 アクセス規則の設定は同じです。

アクセス規則は、デバイスに展開されると、インターフェイスに接続されている Access Control List(ACL; アクセス コントロール リスト)の 1 つ以上のエントリ(ACE)となります。通常、これらのアクセス規則が、パケットに最初に適用されるセキュリティ ポリシーとなります。つまり、防御の最前線となります。アクセス規則を使用して、サービス(プロトコルとポート番号)、送信元アドレス、および宛先アドレスに基づいて、トラフィックを許可または拒否(ドロップ)することにより、望ましくないトラフィックをフィルタリングして除外します。インターフェイスに到着したパケットごとに、指定した基準に基づいてパケットを転送するかドロップするかが決定されます。Out 方向のアクセス規則を定義した場合、パケットは、インターフェイスを出ていくときにも分析されます。


ヒント ASA 8.3+ デバイスの場合は、グローバルなアクセス規則を使用して、インターフェイス固有のアクセス規則を増強できます。詳細については、「グローバル アクセス規則について」を参照してください。

アクセス規則でトラフィックを許可しても、後続のポリシーによってそのトラフィックが最終的にドロップされることがあります。たとえば、インスペクション規則、Web フィルタ規則、およびゾーンベースのファイアウォール規則は、パケットがインターフェイスのアクセス規則に合格したあとに適用されます。この場合、これらの後続の規則によって、さらに深いトラフィック分析に基づいてトラフィックがドロップされることがあります。たとえば、パケット ヘッダーが検査要件を満たしていない場合や、Web 要求の URL が望ましくない Web サイトに対応している場合などです。

このため、アクセス規則を定義する際は、作成する他のタイプのファイアウォール規則について慎重に検討する必要があります。検査する必要があるトラフィックに対しては、アクセス規則で全面的な拒否規則を作成しないでください。一方、特定のホストやネットワークを起点または宛先とするサービスをどのような場合にも許可しないことがわかっている場合は、アクセス規則を使用してトラフィックを拒否してください。

アクセス規則の順序に留意してください。つまり、デバイスは、規則に基づいてパケットを比較するとき、上から下に検索を行い、一致した最初の規則に対するポリシーを適用します。それ以降の規則は、(最初の規則より一致率が高くても)すべて無視されます。したがって、特定の規則が無視されないようにするには、その規則を汎用性の高い規則よりも上に配置する必要があります。IPv4 規則がまったく一致しないケースを特定する場合、および冗長な規則を特定する場合は、分析ツールやポリシー クエリー ツールを使用すると便利です。詳細については、「分析レポートの生成」および「ポリシー クエリー レポートの生成」を参照してください。

次の方法でも、アクセス規則を評価できます。

規則を結合する:IPv4 規則を評価するためのツールを使用し、各規則を結合することによって、より少ない数の規則で同じ機能を実行できます。これにより、規則のリストが縮小され、管理が簡単になります。詳細については、「規則の結合」を参照してください。

ヒット カウントを生成する:IPv4 および IPv6 ACL のデバイスで管理されるヒット カウント統計を表示するためのツールを使用できます。これにより、規則でトラフィックが許可または拒否された頻度がわかります。詳細については、「ヒット カウント レポートの生成」を参照してください。

CS-MARS により収集されたイベントを表示する:デバイスをモニタするように Cisco Security Monitoring, Analysis and Response System アプリケーションを設定した場合、および syslog メッセージを生成するように規則を設定した場合は、このアプリケーションを使用して、IPv4 規則に関連するリアルタイムのイベントと過去のイベントを分析できます。詳細については、「アクセス規則の CS-MARS イベントの表示」を参照してください。

アクセス規則の概念的な詳細については、次の項を参照してください。

「グローバル アクセス規則について」

「デバイス固有のアクセス規則の動作について」

「アクセス規則のアドレス要件および規則の展開方法について」

関連項目

「アクセス規則の設定(IPv4 または IPv6)」

「アクセス規則の有効期限の設定」

「アクセス コントロールの設定(IPv4 または IPv6)」

「検出中のオブジェクト グループの展開」

「規則のインポート」

「規則の追加および削除」

「規則の編集」

「規則のイネーブル化とディセーブル化」

「規則の移動と規則順序の重要性」

グローバル アクセス規則について

アクセス規則(ACL)は、どのトラフィックがデバイスを通過できるかを制御するものであり、従来からデバイス インターフェイスに適用されています。ただし、ソフトウェア リリース 8.3+ が動作している ASA デバイスを使用している場合は、IPv4 および IPv6 に対してグローバル アクセス規則を作成することもできます。

グローバル アクセス規則は、デバイス上のインターフェイスごとに、インターフェイスに入るトラフィックに対して処理される特殊な ACL として定義します。このため、ACL はデバイスで 1 回だけ設定されますが、In 方向に対して定義されたインターフェイス固有のセカンダリ ACL のように機能します(グローバル規則は常に、Out 方向ではなく In 方向に適用されます)。

ASA 8.3+ デバイス上のインターフェイスにトラフィックが入ると、デバイスは、ACL を適用する際に、まずインターフェイス固有のアクセス規則をトラフィックに適用します。次に、グローバル規則を適用します(全体的な処理については、「ファイアウォール規則の処理順序について」を参照してください)。

着信インターフェイスに関係なくデバイスに入ってくるすべてのトラフィックに適用する規則には、グローバル規則を使用すると最適です。たとえば、常に拒否または常に許可する特定のホストまたはサブネットがあるとします。これらをグローバル規則として作成すると、デバイス上で 1 回だけ設定すれば、各インターフェイスに対して繰り返し設定する必要がありません(機能的には、[All-Interfaces] ロールに対してインターフェイス固有の規則を設定した場合と同じですが、[All-Interfaces] 規則はデバイス上で 1 回だけ設定するのではなく、各インターフェイスに対して繰り返して設定します)。


ヒント 複数のデバイスに対して同じグローバル規則セットを設定する場合は、共有ポリシーを作成して、デバイスごとに IPv4 または IPv6 アクセス規則ポリシー内に継承します。すべてのグローバル規則を共有ポリシーの [Default] セクション内に配置する必要があります。いずれかのグローバル規則を [Mandatory] セクションに配置した場合は、ローカルなインターフェイス固有のアクセス規則が定義されているデバイス上でその規則を継承できなくなります。共有ポリシーおよび継承ポリシーの詳細については、「ローカル ポリシーと 共有ポリシー」および「規則の継承について」を参照してください。

Security Manager で ASA 8.3+ デバイスに対してアクセス規則を設定する場合、インターフェイス固有の規則とグローバル規則は同じポリシー内に設定されます。ただし、デバイスでは常にインターフェイス固有の規則が最初に処理されるため、Security Manager ではこれらの異なるタイプの規則を混在させることはできません。このため、1 つのデバイス上でインターフェイス固有の規則とグローバル規則の両方を設定する場合は、次の点に注意してください。

アクセス規則ポリシー内では、常にグローバル規則が最後に処理されます。インターフェイス固有の規則はいずれも、グローバル規則よりも先に処理されます。

決められた順序に違反するような規則の移動はできません。たとえば、インターフェイス固有の規則をグローバル規則の下に移動したり、グローバル規則をインターフェイス固有の規則の上に移動したりすることはできません。

決められた順序に違反する場所に規則を作成することはできません。たとえば、インターフェイス固有の規則を選択し、インターフェイス固有の別の規則をテーブル内でその次に配置した場合、グローバル規則を作成することはできません。間違った種類の規則を作成しようとすると、規則を保存するときに、Security Manager によって、規則を最も近い有効な場所に作成できるかどうか尋ねられます。この提案を受け入れないと、規則はテーブルに追加されません。提案された場所が不適切な場合は、規則の作成後にいつでも規則を移動できます(ただし、規則の順序に違反しない場合にかぎります)。

決められた順序に継承ポリシー内の規則が違反する場合、そのポリシーは継承できません。たとえば、デバイス ポリシー内にグローバル規則を作成し、[Default] セクション内でインターフェイス固有の規則を含む共有ポリシーを継承しようとすると、Security Manager でそのポリシーが継承できなくなります。

共有ポリシーの割り当て後または継承後は、そのポリシーを使用するデバイス上の規則順序に違反するようなポリシーの編集はできません。

グローバル規則をサポートしていないデバイス上で、グローバル規則を含むポリシーを割り当てまたは継承した場合、そのデバイスではすべてのグローバル規則が無視され、設定はされません。たとえば、共有ポリシー内のグローバル規則でホスト 10.100.10.10 からのすべてのトラフィックを許可し、そのポリシーを IOS デバイスに割り当てた場合、10.100.10.10 アクセスを許可する規則は IOS デバイス上では設定されません。そのホストからのトラフィックは、別のインターフェイス固有ポリシーか、またはデフォルトの deny all ポリシーによって処理されます。グローバル規則をサポートしないデバイスには、グローバル規則を含む共有ポリシーを割り当てないようにすることを推奨します。そうすれば、グローバル規則で定義されているポリシーが、サポートされていないデバイスで設定されていると誤解することがありません。

また、特定のツールでグローバル規則が処理される方法に関して、いくつかの変更点があります。

Find/Replace:グローバル規則は、Global というインターフェイス名を使用して検索できます。ただし、グローバル規則とインターフェイス固有の規則を変換する方法はありません。グローバル規則はグローバル インターフェイス名を使用して検索できますが、インターフェイス名を「Global」という名前で置換しようとすると、実際には Global という名前のポリシー オブジェクトを使用する、インターフェイス固有のアクセス規則が作成されます。

Rule Combiner:インターフェイス固有の規則とグローバル規則が結合されることはありません。

関連項目

「アクセス規則について」

「デバイス固有のアクセス規則の動作について」

「アクセス規則のアドレス要件および規則の展開方法について」

「アクセス規則の設定(IPv4 または IPv6)」

「規則の移動と規則順序の重要性」

デバイス固有のアクセス規則の動作について

次に、アクセス規則ポリシーを作成しない場合のデフォルトの動作をデバイス タイプに基づいて示し、アクセス規則を作成したときに行われる処理を示します。

IOS デバイス:インターフェイスを通過するすべてのトラフィックを許可します。

送信元 A から宛先 B へのトラフィックを許可しているが、インスペクション規則テーブルに TCP/UDP インスペクションを設定していないか、規則に [established] 拡張オプションを設定していない場合、デバイスは A から B へのパケットをすべて許可します。ただし、B から A に戻るパケットについては、そのパケットを許可するためのアクセス規則がないかぎり、パケットは許可されません。トラフィックのインスペクション規則テーブルに TCP/UDP インスペクションを設定した場合、B から A に戻るパケットはいずれも自動的にデバイスを通過するため、アクセス規則内に B から A を許可する規則は必要ありません。

ASA および PIX デバイス:高いセキュリティのインターフェイスから低いセキュリティのインターフェイスへのトラフィックを許可します。それ以外のトラフィックはすべて拒否されます。

アクセス規則で単方向の TCP/UDP トラフィックが許可されている場合、アプライアンスによりリターン トラフィックが自動的に許可されます(リターン トラフィックのための規則を設定する必要はありません)。ただし、ICMP トラフィックの場合は例外で、リターン規則が必要となります(逆方向の送信元および宛先を許可します)。あるいは、ICMP のインスペクション規則を作成する必要があります。

FWSM デバイス:インターフェイスに入るすべてのトラフィックを拒否し、インターフェイスを出るすべてのトラフィックを許可します。

デバイスに入るすべてのトラフィックを許可するためのアクセス規則を設定する必要があります。

任意のタイプのデバイスに対してインターフェイスの規則を作成すると、デバイスによってポリシーの最後に暗黙的な deny any 規則が追加されます。この規則は、場所を忘れないように自分で追加することを推奨します。また、規則を追加すると、規則のヒット カウント情報を取得できます。詳細については、「ヒット カウント レポートの生成」を参照してください。


ヒント アクセス規則ポリシーを作成する場合、Security Manager サーバからデバイスへのアクセスを許可する規則を含める必要があります。そうしない場合、この製品を使用してデバイスを管理できなくなります。

関連項目

「アクセス規則について」

「アクセス規則のアドレス要件および規則の展開方法について」

アクセス規則のアドレス要件および規則の展開方法について

Command-Line Interface(CLI; コマンドライン インターフェイス)でオペレーティング システム コマンドを使用して IPv4 アクセス コントロール リストを作成する場合の複雑な点の 1 つは、送信元アドレスと宛先アドレスの IP アドレス形式がオペレーティング システムによって異なっていることです。

たとえば、Cisco IOS Software では、サブネット マスクではなくワイルドカード マスクを使用してアドレスを入力する必要があります。10.100.10.0/24 ネットワーク(サブネット マスク 255.255.255.0)の規則を作成するには、アドレスを 10.100.10.0 0.0.0.255 として入力する必要があります。ワイルドカード マスクとサブネット マスクでは、0 と 1 の意味が逆になります。ただし、ASA、PIX、および FWSM ソフトウェアでは、サブネット マスクを使用するため、10.100.10.0 255.255.255.0 を入力します。

Security Manager では、アクセス規則のアドレッシング要件が単純化されており、常にサブネット マスクを使用します。ワイルドカード マスクは入力できません。アクセス規則をデバイスに展開すると、Security Manager によって、デバイスのオペレーティング システムが考慮され、必要に応じてサブネット マスクがワイルドカード マスクに自動変換されます。

このため、論理ポリシーに基づいて共有規則を作成して、すべてのデバイスに適用することが可能になります。たとえば、すべてのデバイスで使用するアクセス規則セットがある場合は、共有ポリシーを作成して、それをすべてのデバイスの継承ポリシーとして割り当てます。デバイス タイプごとに「適切な」構文を使用して規則を定義する必要はありません。他のポリシー タイプで使用する同じネットワーク/ホスト オブジェクトを使用して、対象のホストおよびネットワークを識別できます。

展開された設定内に生成される特定の CLI コマンドも、デバイス タイプに基づきます。IOS デバイスの場合、 ip access-list コマンドを使用します。ASA、PIX、FWSM デバイスの場合、 access-list または ipv6 access-list コマンドを使用し、 access-group コマンドによりインターフェイスにバインドします。ASA、PIX、FWSM、および IOS 12.4(20)T+ デバイスでは、ネットワーク/ホスト オブジェクトを使用して規則の送信元アドレスまたは宛先アドレスを識別する場合、それらのネットワーク/ホスト オブジェクトに対してオブジェクト グループを作成するために、 object-group コマンドを使用します。また、サービス オブジェクトに対してもオブジェクト グループが作成されます。

ヒント

ネットワーク/ホスト オブジェクトを使用して規則の送信元アドレスや宛先アドレスを識別でき、また規則に対して展開の最適化を設定できるため、アクセス規則と ACL の CLI 定義内の ACE が必ずしも 1 対 1 の関係になるとはかぎりません。

ファイアウォール規則から作成されるアクセス リストはすべて、(標準アクセス リストではなく)拡張アクセス リストです。「[Access Control Settings] ページ(IPv4 および IPv6)」で ACL の名前を指定していない場合、Security Manager によってシステム生成名が ACL に適用されます。この名前は、名前が定義されているインターフェイスおよび方向に関連するすべての規則が含まれる ACL に適用されます。

オブジェクト グループの展開方法を制御する展開オプションがいくつかあります。この項では、デフォルトの動作について説明します。「[Deployment] ページ」([Tools] > [Security Manager Administration] > [Deployment] を選択)で、ネットワーク/ホスト オブジェクトからオブジェクト グループを作成するためのオプションの選択を解除できます。また、展開中にオブジェクト グループを最適化したり(「ファイアウォール規則の展開時のネットワーク オブジェクト グループの最適化」を参照)、複数のサービスまたは送信元アドレスおよび宛先アドレスを持つ規則から新しいオブジェクト グループを作成したり、使用していないオブジェクト グループを削除したりできます。

展開オプションには、アクセス規則から生成される ACL の名前および作成される ACL の数を制御する設定も含まれます。デフォルトでは、Security Manager により、インターフェイスごとに一意の ACL が作成されます。このため、複数の重複する ACL が作成されることがあります。

[Enable ACL Sharing for Firewall Rules] を選択した場合、Security Manager は単一の ACL を作成して複数のインターフェイスに適用できるため、重複する不要な ACL が作成されることはありません。ただし、ACL の共有が行われるのは、ACL 命名要件が保たれている間に実行できる場合にかぎります。

インターフェイスおよび方向に対して ACL 名を指定した場合は、その名前が常に使用されます。このため、重複する ACL が作成されることがあります。詳細については、「アクセス コントロールの設定(IPv4 または IPv6)」を参照してください。

[Firewall Access-List Names] プロパティの [Reuse existing names] を選択すると、既存の名前は保存されます(アクセス コントロール設定ポリシーで名前を上書きした場合を除く)。つまり、重複する ACL がデバイスにすでに存在する場合は、異なる名前で ACL が重複して作成されます。

ヒント: ACL 共有を最大限に利用するには、[Firewall Access-List Names] プロパティに [Reset to CS-Manager Generated Names] を選択し、[Optimize the Deployment of Access Rules For] プロパティに [Speed] を選択する必要があります。アクセス コントロール設定ポリシー内に ACL 名は設定しないでください。

[Enable ACL Sharing for Firewall Rules] プロパティの詳細については、「[Deployment] ページ」を参照してください。

IPv4 および IPv6 ACL は同じ名前を持てません。

関連項目

「アクセス規則について」

「アクセス規則の設定(IPv4 または IPv6)」

「アクセス コントロールの設定(IPv4 または IPv6)」

「検出中のオブジェクト グループの展開」

アクセス規則の設定(IPv4 または IPv6)

アクセス規則ポリシーでは、トラフィックがインターフェイスを通過することを許可するための規則を定義します。IPv4 トラフィックと IPv6 トラフィックには別々のポリシーがあります。アクセス規則ポリシーを設定しない場合、「デバイス固有のアクセス規則の動作について」に説明するように、デバイスの動作はデバイス タイプによって異なります。

アクセス規則を設定する前に、これから設定する他のタイプのファイアウォール規則について検討してください。アクセス規則は、他の規則タイプ(AAA 規則を除く)よりも先に処理されます。検討する必要のある事項の詳細については、次の項を参照してください。

「アクセス規則について」

「グローバル アクセス規則について」

「アクセス規則のアドレス要件および規則の展開方法について」

はじめる前に

アクセス規則セットをすべてのデバイスに適用するとします。このためには、共有規則を作成して、その規則を各デバイスのアクセス規則ポリシーに継承します。詳細については、「新しい共有ポリシーの作成」および「規則の継承または継承の解除」を参照してください。

関連項目

「セクションを使用した規則テーブルの編成」

「デバイス間でのポリシーのコピー」

「デバイス ビューまたは Site-to-Site VPN Manager における共有ポリシーの使用」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「インターフェイス ロール オブジェクトについて」

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」


ステップ 1 次のいずれかを実行して、「アクセス規則ページ(IPv4 または IPv6)」を開きます。

(デバイス ビュー)ポリシー セレクタから [Firewall] > [Access Rules](IPv4 の場合)、または [Firewall] > [IPv6 Access Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Access Rules](IPv4 の場合)、または [Firewall] > [IPv6 Access Rules] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 規則を作成する行を選択して [Add Row] ボタンをクリックするか、または行を右クリックして [Add Row] を選択します。この操作により、「[Add Access Rule]/[Edit Access Rule] ダイアログボックス(IPv4 および IPv6)」が開きます。


ヒント 行を選択しなかった場合、新しい規則はローカル範囲の最後に追加されます。既存の行を選択して、行全体または特定のセルを編集することもできます。詳細については、「規則の編集」を参照してください。1 つのポリシー内にインターフェイス固有の規則とグローバル規則を混在させた場合は、特殊な規則が適用されます。詳細については、「グローバル アクセス規則について」を参照してください。


ステップ 3 規則を設定します。次に、一般的に判断が必要となる重要な点を示します。フィールドを設定する方法の詳細については、「[Add Access Rule]/[Edit Access Rule] ダイアログボックス(IPv4 および IPv6)」を参照してください。

許可または拒否:規則に一致したトラフィックを許可するか、またはドロップするか。

送信元アドレスおよび宛先アドレス:トラフィックを生成したアドレスまたはトラフィックの宛先にかかわらず、規則を適用する場合は、送信元または宛先に「any」を使用します。規則がホストまたはネットワークに固有の場合は、アドレスまたはネットワーク/ホスト オブジェクトを入力します。受け入れられるアドレス形式の詳細については、「ポリシー定義中の IP アドレスの指定」または「ポリシー定義中の IPv6 アドレスの指定」を参照してください。

サービス:IP サービスを使用して、すべてのトラフィックに適用します(たとえば、特定の送信元からのすべてのトラフィックを拒否する場合)。または、対象となるより具体的なサービス(プロトコルとポートの組み合わせ)を選択します。

インターフェイスまたはグローバル:規則を設定するインターフェイスまたはインターフェイス ロールを選択するか、ASA 8.3+ デバイスでグローバル アクセス規則を作成する場合は [Global] を選択します(「グローバル アクセス規則について」を参照)。

拡張設定:[Advanced] をクリックして、追加設定を行うための [Advanced] ダイアログボックスを開きます。次のオプションを設定できます。詳細については、「[Advanced]/[Edit Options] ダイアログボックス」を参照してください。

ロギング オプション。Security Manager または CS-MARS を使用してデバイスをモニタしている場合は、ロギングをイネーブルにする必要があります。

この規則を適用するトラフィックの方向([in] または [out])。デフォルトは [in] です。グローバル規則では、この設定を変更できません。

規則の時間範囲。これにより、特定の期間中(勤務時間中など)だけ有効になる規則を設定できます。詳細については、「時間範囲オブジェクトの設定」を参照してください。

フラグメンテーションを行い、確立されたアウトバウンド セッションのトラフィックのリターンを許可するための IOS デバイス オプション。

規則の有効期限および通知の設定。詳細については、「アクセス規則の有効期限の設定」を参照してください。

規則の定義が完了したら、[OK] をクリックします。

ステップ 4 適切な行を選択しないで規則を追加した場合は、追加された規則を選択し、上下の矢印ボタンを使用して適切な位置に規則を移動します。詳細については、「規則の移動と規則順序の重要性」を参照してください。インターフェイス固有の規則とグローバル規則を混在させた場合には、規則の移動に関する特別な制約はありません(「グローバル アクセス規則について」を参照)。

ステップ 5 (IPv4 のみ)すでに多数の規則が存在している場合は、新しい規則を展開する前に、規則を分析して結合することを検討します。

[Tools] ボタンをクリックし、[Analysis] を選択して、使用しない冗長な規則があるかどうかを分析します。問題領域を修正します。詳細については、「分析レポートの生成」を参照してください。

分析により冗長な規則が多数あることが示された場合は、[Tools] ボタンをクリックし、[Combine Rules] を選択して規則を結合します。Rule Combiner ツールを起動する前に、Security Manager で結合のためにすべての規則を評価するか、または選択した規則だけを評価するかを選択できます。詳細については、「規則の結合」を参照してください。


 

アクセス規則ページ(IPv4 または IPv6)

[Access Rules] ページ(IPv4 の場合)または [IPv6 Access Rules] ページを使用して、デバイス インターフェイスに対してアクセス コントロール規則を設定します。アクセス規則ポリシーでは、インターフェイスを通過するトラフィックを許可または拒否する規則を定義します。通常は、インターフェイスに入るトラフィックのアクセス規則を作成します。これは、特定タイプのパケットを拒否する場合、デバイスがパケットの処理に多くの時間を費やす前にパケットを拒否する方が有効なためです。アクセス規則は、他のタイプのファイアウォール規則よりも先に処理されます。

アクセス規則を設定する前に、次の項を参照してください。

「アクセス規則について」

「グローバル アクセス規則について」

「デバイス固有のアクセス規則の動作について」

「アクセス規則のアドレス要件および規則の展開方法について」

「アクセス規則の設定(IPv4 または IPv6)」


ヒント ディセーブルな規則には、テーブルの行にハッシュ マークが重なって表示されます。設定を展開すると、ディセーブルな規則はデバイスから削除されます。詳細については、「規則のイネーブル化とディセーブル化」を参照してください。

ナビゲーション パス

[Access Rules] ページを開くには、次のいずれかを実行します。

(デバイス ビュー)デバイスを選択し、次にポリシー セレクタから [Firewall] > [Access Rules](IPv4 の場合)、または [Firewall] > [IPv6 Access Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Access Rules](IPv4 の場合)、または [Firewall] > [IPv6 Access Rules] を選択します。新しいポリシーを作成するか、または既存のポリシーを選択します。

(マップ ビュー)デバイスを右クリックし、[Edit Firewall Policies] > [Access Rules](IPv4 の場合)、または [Edit Firewall Policies] > [IPv6 Access Rules] を選択します。

関連項目

「アクセス規則の有効期限の設定」

「アクセス コントロールの設定(IPv4 または IPv6)」

「規則の追加および削除」

「規則の編集」

「規則のイネーブル化とディセーブル化」

「規則の移動と規則順序の重要性」

「セクションを使用した規則テーブルの編成」

「規則テーブルの使用」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 14-1 [Access Rules] ページ

要素
説明

[No.]

順序が付けられた規則番号。

[Permit]

設定された次の条件に基づいて、規則がトラフィックを許可または拒否するかどうか。

[Permit]:緑色のチェック マークとして表示されます。

[Deny]:スラッシュの入った赤色の丸として表示されます。

[Source]

[Destination]

規則の送信元アドレスおよび宛先アドレス。「any」アドレスを指定すると、規則は特定のホスト、ネットワーク、またはインターフェイスに制限されません。これらのアドレスは、ホストまたはネットワーク、ネットワーク/ホスト オブジェクト、インターフェイス、またはインターフェイス ロールの IPv4 または IPv6 アドレスです。複数のエントリがある場合は、テーブル セル内に個別のサブフィールドとして表示されます。次の章を参照してください。

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「インターフェイス ロール オブジェクトについて」

[Service]

規則が適用されるトラフィックのプロトコルおよびポートを指定するサービスまたはサービス オブジェクト。複数のエントリがある場合は、テーブル セル内に個別のサブフィールドとして表示されます。「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。

[Interface]

規則が割り当てられるインターフェイスまたはインターフェイス ロール。インターフェイス ロール オブジェクトは、各デバイスの設定が生成されるときに、実際のインターフェイス名で置き換えられます。複数のエントリがある場合は、テーブル セル内に個別のサブフィールドとして表示されます。「インターフェイス ロール オブジェクトについて」を参照してください。

ASA 8.3+ デバイスの場合、グローバル規則には Global という名前が付き、インターフェイスまたはインターフェイス ロールの名前を使用する規則と区別するための特別なアイコンが示されます(アイコンの説明については、「ポリシー定義中のインターフェイスの指定」を参照してください)。

[Dir.]

この規則が適用されるトラフィックの方向。

[In]:インターフェイスで受信するパケット。

[Out]:インターフェイスから送信するパケット。

[Options]

規則に設定される追加のオプション。これには、ロギング、時間範囲、およびその他の IOS 規則オプションが含まれます。「[Advanced]/[Edit Options] ダイアログボックス」を参照してください。

[Category]

規則に割り当てられるカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Description]

規則の説明(ある場合)。

[Expiration Date]

規則が期限切れになる日付。期限切れになった規則は、太字で [Expired] と示されます。期限切れになった規則は自動的には削除されません。

[Tools] ボタン

このボタンをクリックして、このタイプのポリシーとともに使用できるツールを選択します。次のツールから選択できます。

[Analysis](IPv4 のみ):他の規則と重複または競合する規則を特定します。「分析レポートの生成」を参照してください。

[Combine Rules](IPv4 のみ):似たような規則を結合して、パフォーマンスおよびメモリ使用率を改善します。このツールにより、ポリシーに含まれる規則の数が少なくなります。「規則の結合」を参照してください。

[Hit Count](IPv4 および IPv6):アクセス規則に基づいてデバイスのトラフィックが許可または拒否された回数を特定します。この情報は、展開されたポリシーをデバッグする際に役立ちます。「ヒット カウント レポートの生成」を参照してください。

[Import Rules](IPv4 のみ):デバイス コマンドを使用して定義された ACL から規則をインポートします。「規則のインポート」を参照してください。

[Query](IPv4 のみ):ポリシー クエリーを実行します。このことにより、規則を評価して、効果が得られない削除可能な規則を特定できます。「ポリシー クエリー レポートの生成」を参照してください。

[Find and Replace] ボタン(双眼鏡アイコン)

テーブル内のさまざまなタイプの項目を検索し、必要に応じてその項目を置換するには、このボタンをクリックします。「規則テーブルの項目の検索と置換」を参照してください。

[Up Row] ボタンと [Down Row] ボタン(矢印アイコン)

選択した規則を範囲内またはセクション内で上下に移動するには、これらのボタンをクリックします。詳細については、「規則の移動と規則順序の重要性」を参照してください。

[Add Row] ボタン

「[Add Access Rule]/[Edit Access Rule] ダイアログボックス(IPv4 および IPv6)」を使用して選択したテーブルの行のあとに規則を追加するには、このボタンをクリックします。行を選択しなかった場合は、ローカル範囲の最後に規則が追加されます。規則を追加する方法の詳細については、「規則の追加および削除」を参照してください。

[Edit Row] ボタン

選択した規則を編集するには、このボタンをクリックします。個々のセルを編集することもできます。詳細については、「規則の編集」を参照してください。

[Delete Row] ボタン

選択した規則を削除するには、このボタンをクリックします。

[Add Access Rule]/[Edit Access Rule] ダイアログボックス(IPv4 および IPv6)

IPv4 または IPv6 アクセス規則を追加または編集するには、[Add Access Rule] および [Edit Access Rule] ダイアログボックスを使用します。アクセス規則を設定する前に、次の項を参照してください。

「アクセス規則について」

「グローバル アクセス規則について」

「デバイス固有のアクセス規則の動作について」

「アクセス規則のアドレス要件および規則の展開方法について」

「アクセス規則の設定(IPv4 または IPv6)」

ナビゲーション パス

「アクセス規則ページ(IPv4 または IPv6)」から、[Add Row] ボタンをクリックするか、または行を選択して [Edit Row] ボタンをクリックします。

関連項目

「アクセス規則の有効期限の設定」

「規則の編集」

「規則の追加および削除」

「規則のインポート」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」

フィールド リファレンス

 

表 14-2 [Add Access Rule]/[Edit Access Rule] ダイアログボックス

要素
説明

[Enable Rule]

規則をイネーブルにするかどうか。イネーブルにすると、デバイスに設定を展開したときに規則がアクティブになります。ディセーブルな規則には、規則テーブルにハッシュ マークが重なって表示されます。詳細については、「規則のイネーブル化とディセーブル化」を参照してください。

[Action]

定義した条件に基づいて、規則がトラフィックを許可または拒否するかどうか。

[Sources]

[Destinations]

トラフィックの送信元または宛先。項目をカンマで区切って複数の値を入力できます。

次のアドレス タイプを自由に組み合わせて入力し、トラフィックの送信元または宛先を定義できます。設定しているアクセス規則ポリシーに基づいて、IPv4 または IPv6 アドレスのいずれかを使用します。アドレス タイプを混在させることはできません。詳細については、「ポリシー定義中の IP アドレスの指定」および「ポリシー定義中の IPv6 アドレスの指定」を参照してください。

ネットワーク/ホスト オブジェクト(IPv4 または IPv6)。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します。選択リストから、新しいネットワーク/ホスト オブジェクトを作成することもできます。

ホスト IP アドレス(10.10.10.100(IPv4)または 2001:DB8::200C:417A(IPv6)など)。

IPv4 ネットワーク アドレスとサブネット マスク。形式は 10.10.10.0/24 または 10.10.10.0/255.255.255.0。

IPv6 ネットワーク アドレスとプレフィクス長。形式は、2001:DB8::/32。

IP アドレスの範囲(10.10.10.100-10.10.10.200(IPv4)または 2001:DB8::1-2001:DB8::100(IPv6)など)。

(IPv4 のみ)10.10.0.10/255.255.0.255 形式の IP アドレスのパターン。この場合のマスクは不連続なビット マスクです(「連続および不連続ネットワーク マスク(IPv4 アドレスに対応)」を参照)。

インターフェイス ロール オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します(オブジェクト タイプとして [Interface Role] を選択する必要があります)。インターフェイス ロールを使用する場合は、選択したインターフェイスの IPv4 または IPv6 のアドレスを指定した場合と同様に規則が動作します。デバイスに割り当てられる IP アドレスを把握できないため、DHCP を経由してアドレスを取得するインターフェイスの場合に有効です。詳細については、「インターフェイス ロール オブジェクトについて」を参照してください。

インターフェイス ロールを送信元として選択した場合、ダイアログボックスにタブが表示され、ホストまたはネットワークとインターフェイス ロールが区別されます。

[Service]

動作対象のトラフィック タイプを定義するサービス。項目をカンマで区切って複数の値を入力できます。

サービス オブジェクトおよびサービス タイプの任意の組み合わせ(通常はプロトコルとポートの組み合わせ)を入力できます。サービスを入力する場合は、有効な値の入力を求められます。リストから値を選択して、Enter または Tab を押します。

サービスを指定する方法の詳細については、「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。

[Interfaces]

[Global](ASA 8.3+)

インターフェイス固有の規則またはグローバル規則のいずれを作成するかを選択します。グローバル規則は ASA 8.3+ のデバイスだけで使用でき、特別な規則に従って処理されます(詳細については、「グローバル アクセス規則について」を参照してください)。

[Interfaces] を選択した場合は、規則を割り当てるインターフェイスまたはインターフェイス ロールの名前を入力します。あるいは、[Select] をクリックして、リストからインターフェイスまたはロールを選択するか、新しいロールを作成します。インターフェイスをリストに表示するには、あらかじめ定義しておく必要があります。

インターフェイス ロール オブジェクトは、各デバイスの設定が生成されるときに、実際のインターフェイス名で置き換えられます。「インターフェイス ロール オブジェクトについて」を参照してください。グローバル規則は、特定のインターフェイスに接続されない特殊なグローバル ACL として作成されますが、In 方向でインターフェイス固有の規則の後続のすべてのインターフェイスに対して処理されます。

[Description]

オプションで入力する規則の説明(最大 1024 文字)。

[Category]

規則に割り当てられるカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Advanced] ボタン

このボタンをクリックして、規則のその他の設定(ロギング設定、トラフィック方向、時間範囲、および規則の有効期限など)を行います。詳細については、「[Advanced]/[Edit Options] ダイアログボックス」を参照してください。

[Advanced]/[Edit Options] ダイアログボックス

[Advanced]/[Edit Options] ダイアログボックスを使用して、IPv4 または IPv6 アクセス規則の追加の設定を行います。[Advanced] ダイアログボックスでは、オプションの編集時(セルレベルの編集ダイアログボックス)よりも多くのフィールドが設定可能です。[Advanced] ダイアログボックス内の設定は、アクセス規則内の 3 つの異なるセル(方向、オプション、および規則の有効期限)に表示されます。

ナビゲーション パス

[Advanced] ダイアログボックスにアクセスするには、次のいずれかを実行します。

「[Add Access Rule]/[Edit Access Rule] ダイアログボックス(IPv4 および IPv6)」を表示し、[Advanced] をクリックします。

「アクセス規則ページ(IPv4 または IPv6)」で)アクセス規則内の [Options] セルを右クリックし、[Edit Options] を選択します。複数の行を選択すると、選択したすべての規則に定義されているオプションが、変更によって置き換えられます。

関連項目

「アクセス規則の設定(IPv4 または IPv6)」

「規則の編集」

「アクセス規則について」

「ファイアウォール アクセス規則の管理」

「時間範囲オブジェクトの設定」

フィールド リファレンス

 

表 14-3 [Advanced] ダイアログボックス

要素
説明

[Enable Logging](PIX、ASA、FWSM)

PIX、ASA、および FWSM デバイスの場合、規則エントリ(ACE)に syslog メッセージを生成するかどうか。次の追加オプションを選択できます。

[Default Logging]:デフォルトのロギング動作を使用します。パケットが拒否されると、メッセージ 106023 が生成されます。パケットが許可された場合、syslog メッセージは生成されません。デフォルトのロギング間隔は、300 秒です。

[Per ACE Logging]:このエントリに固有のロギングを設定します。ACE のログ イベントに対して使用するロギング レベルと、ロギング間隔(1 ~ 600 秒の範囲)を選択します。ACE に対して syslog メッセージ 106100 が生成されます。

設定可能なロギング レベルは、次のとおりです。

[Emergency]:(0)システムが不安定

[Alert]:(1)即時処理が必要

[Critical]:(2)クリティカル条件

[Error]:(3)エラー条件

[Warning]:(4)警告条件

[Notification]:(5)正常ではあるが重大な条件

[Informational]:(6)情報メッセージだけ

[Debugging]:(7)デバッグ メッセージ

[Enable Logging](IOS)

[Log Input]

(IPv4 のみ)

IOS デバイスのコンソールに送信されるエントリに一致したパケットに関するロギング情報メッセージを生成するかどうか。

入力インターフェイスおよび送信元 MAC アドレスまたは仮想回線をロギング出力に含める場合は、[Log Input] を選択します。

[Traffic Direction]

([Advanced] ダイアログボックス限定)

インターフェイス固有のアクセス規則の場合、この規則が適用されるトラフィックの方向。

[In]:インターフェイスで受信するパケット。

[Out]:インターフェイスから送信するパケット。

グローバル規則は常に In 方向で適用されるため、グローバル規則の設定時にはこの設定を変更できません。

[Time Range]

この規則が適用される時間を定義する時間範囲ポリシー オブジェクトの名前。時刻は、デバイスのシステム クロックに基づきます。この機能は、NTP を使用してシステム クロックを設定している場合に最適に機能します。

名前を入力するか、[Select] をクリックしてオブジェクトを選択します。必要なオブジェクトが表示されていない場合は、[Create] ボタンをクリックして作成します。

(注) 時間範囲は、FWSM 2.x デバイスまたは PIX 6.3 デバイスではサポートされていません。

[Options](IOS)

(IPv4 のみ)

IOS デバイス用の追加オプション:

[Fragment]:フラグメンテーションを有効にします。これにより、パケット フラグメンテーションの追加管理が行われ、NFS との互換性が向上します。

デフォルトでは、1 つの完全な IP パケットを再構成するために最大 24 個のフラグメントが受け入れられます。ただし、ネットワーク セキュリティ ポリシーによっては、フラグメント化されたパケットがファイアウォールを通過しないようにデバイスを設定することが必要な場合もあります。

[Established]:デバイスを介してアクセスを戻すためのアウトバウンド TCP 接続を有効にします。このオプションは、デバイスにより保護されたネットワークからのアウトバウンドの元の接続と、外部ホスト上の同じ 2 つのデバイス間のインバウンドのリターン接続という、2 つの接続に対して機能します。

[Rule Expiration]

([Advanced] ダイアログボックス限定)

規則に有効期限を設定するかどうか。カレンダー アイコンをクリックして、日付を選択します。詳細については、「アクセス規則の有効期限の設定」を参照してください。

また、有効期限を設定している場合は、有効期限が近いことを示す通知を、規則が失効する何日前に送信するか、およびその送信先となる電子メール アドレスを設定することもできます。最初、これらのフィールドには、[Rule Expiration administrative settings] ページ([Tools] > [Security Manager Administration] > [Rule Expiration] を選択)で設定した情報が設定されています。

期限切れになった規則は自動的には削除されません。これらの情報を手動で削除し、デバイスに設定を再配布する必要があります。

[Edit Firewall Rule Expiration Settings] ダイアログボックス

[Edit Firewall Rule Expiration Settings] ダイアログボックスを使用して、IPv4 または IPv6 アクセス規則の有効期限の設定を編集します。

規則の有効期限を設定するには、カレンダー アイコンをクリックして日付を選択します。

また、有効期限を設定している場合は、有効期限が近いことを示す通知を、規則が失効する何日前に送信するか、およびその送信先となる電子メール アドレスを設定することもできます。最初、これらのフィールドには、[Rule Expiration administrative settings] ページ([Tools] > [Security Manager Administration] > [Rule Expiration] を選択)で設定した情報が設定されています。

期限切れになった規則は自動的には削除されません。これらの情報を手動で削除し、デバイスに設定を再配布する必要があります。

詳細については、「アクセス規則の有効期限の設定」を参照してください。

ナビゲーション パス

「アクセス規則ページ(IPv4 または IPv6)」で)アクセス規則内の [Expiration Date] セルを右クリックし、[Edit Rule Expiration] を選択します。複数の行を選択すると、選択したすべての規則に定義されているオプションが、変更によって置き換えられます。

アクセス規則の有効期限の設定

アクセス規則を頻繁に使用することは、ネットワークへの一時的なアクセスを提供することです。たとえば、特定のプロジェクトの期間中にパートナー アクセスを許可するようなアクセス規則を設定するとします。この場合、プロジェクトの完了時にはアクセス規則を削除することが理想的です。しかし、アクセス規則リストが大きくなるにつれて、リストの管理が困難になり、どの規則を一時的なものとして設定したか覚えていられなくなります。

この問題に対処するために、IPv4 または IPv6 アクセス規則に有効期限を設定できます。有効期限を設定することにより、規則が必要でなくなる日時を計画できます。

有効期限は変更可能な日付で、期限切れになった規則が Security Manager によって削除されることはありません。Security Manager では、期限切れになった規則の [Expiration Date] カラムに「Expired」という太字が表示されます。有効期限フィールドに基づいて、アクセス規則ページをフィルタリングできます。たとえば、「expiration date has passed」でフィルタリングすると、期限切れになったすべての規則が表示されます。

規則が必要でなくなった場合は、その規則を削除する(右クリックして [Delete Row] を選択)か、またはディセーブルにし(右クリックして [Disable] を選択)、そのあとで設定をデバイスに再展開できます。最初は規則をディセーブルにしておいて、その規則があとで必要だとわかったときのために、その規則を(ハッシュ マークが重なって表示された)テーブルに残しておけば、規則を再作成する時間を節約できます。この場合は、規則をイネーブルにし(右クリックして [Enable] を選択)、設定を再展開するだけです。

有効期限を設定するときに、通知設定も行うことができます。有効期限が近づいたときに通知を受ける電子メール アドレスを指定します。規則を評価する時間を与えるために、電子メールの通知メッセージの送信日から有効期限までの日数を指定できます。通知設定には、最初は管理設定で([Tools] > [Security Manager Administration] > [Rule Expiration] を選択して)設定された値が入力されています。特定の規則に対して別の設定を入力できます。

規則の有効期限を設定するには、次の手順を実行します。

新しい規則を作成する場合、または規則全部を編集する場合は、[Advanced] ボタンをクリックして、規則の有効期限の設定を表示します。アクセス規則の作成の詳細については、「アクセス規則の設定(IPv4 または IPv6)」を参照してください。

既存の規則の場合は、規則全部を編集せずに、有効期限の設定を追加または編集できます。規則の [Expiration Date] セルを右クリックし、[Edit Rule Expiration] を選択します。複数の行を選択して、同じ規則有効期限を設定できます。詳細については、「[Edit Firewall Rule Expiration Settings] ダイアログボックス」を参照してください。

関連項目

「[Rule Expiration] ページ」

「連続および不連続ネットワーク マスク(IPv4 アドレスに対応)」

アクセス コントロールの設定(IPv4 または IPv6)

IPv4 または IPv6 アクセス コントロール リストに適用するさまざまな設定ができます。これらの設定は、IPv4 または IPv6 アクセス規則ポリシーとともに機能します。インターフェイスとトラフィック方向の各組み合わせに対して、または ASA 8.3+ デバイスではグローバル ACL に対して、独自の ACL 名を設定できる点が重要です。PIX、ASA、および FWSM デバイスの場合は、IPv4 拒否フローの最大数および関連する syslog 間隔も制御できます。

また、PIX、ASA、および FWSM デバイスの場合は、ユーザ単位のダウンロード可能 ACL が許可されるようにインターフェイスを設定することもできます。これにより、AAA サーバでユーザベースの ACL を設定して、デバイスで定義されている ACL を上書きできます。

他にも使用可能な設定がありますが、旧式のデバイスおよびソフトウェア リリースに対応するものであり、用途が限定されています。

関連項目

「アクセス規則の設定(IPv4 または IPv6)」


ステップ 1 次のいずれかを実行して、「[Access Control Settings] ページ(IPv4 および IPv6)」を開きます。

(デバイス ビュー)ポリシー セレクタから [Firewall] > [Settings] > [Access Control](IPv4 の場合)、または [Firewall] > [Settings] > [IPv6 Access Control] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Settings] > [Access Control](IPv4 の場合)、または [Firewall] > [Settings] > [IPv6 Access Control] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 (IPv4 ポリシーのみ)ページの上部でグローバル設定を行います。PIX、ASA、および FWSM デバイスの場合は、並行拒否フローの最大数および関連する syslog 間隔を定義できます。ASA 8.3+ デバイスの場合、オブジェクト グループ検索をイネーブルにして、Checkpoint から変換する際の ACL パフォーマンスを最適化できます。ただし、この設定が推奨されるのは、デバイスにメモリの制約がある場合だけです。


) [Enable Object Group Search] 設定は、IPv4 アクセス規則と IPv6 アクセス規則の両方に適用されます。IPv4 ポリシーでの選択はすべての規則に適用されます。IPv6 に対して別の設定はありません。


これらの設定の具体的な情報、および ACL コンパイルをサポートするプラットフォームについては、「[Access Control Settings] ページ(IPv4 および IPv6)」を参照してください。

ステップ 3 ACL 名を設定するインターフェイスごと、またはユーザ単位の ACL をイネーブルにするインターフェイスごとに、テーブルの下の [Add Row] ボタンをクリックし、「[Firewall ACL Setting] ダイアログボックス(IPv4 または IPv6)」に値を入力して、インターフェイスをインターフェイス テーブルに追加します。次の点を考慮してください。

ACL 名を設定すると、その名前が特定のインターフェイスおよび方向に適用されます。IPv4 ポリシーと IPv6 ポリシーの両方に対して同じ名前を使用できません。名前を指定していないインターフェイスと方向の組み合わせに対しては、Security Manager によってシステム生成名が作成されます。

また、ASA 8.3+ デバイスでは、グローバル ACL の名前も指定できます。

[Enable Per User Downloadable ACLs] オプションは、IPv4 または IPv6 に限定されません。IPv4 または IPv6 のいずれかの [Access Control Settings] ポリシーでこのオプションを選択した場合、もう一方のアクセス コントロール設定ポリシーで選択しなくてもこのオプションは指定したインターフェイスおよび方向に設定されます。

リスト内の既存のエントリを編集するには、そのエントリを選択して [Edit Row] をクリックします。また、リスト内のエントリを削除するには、[Delete Row] をクリックします。


 

[Access Control Settings] ページ(IPv4 および IPv6)

[Access Control Settings] ページを使用して、アクセス規則ポリシーとともに使用する値を設定します。パフォーマンスおよびロギングの機能を制御し、各インターフェイスに対して ACL 名を設定できます。IPv4 と IPv6 に対して別々のポリシーがありますが、基本的には同じです。


ヒント これらの設定の多くは、特定のデバイス タイプまたはソフトウェア バージョンにだけ適用されます。オプションを設定し、サポートされていないデバイス タイプにポリシーを適用した場合、サポートされていないデバイスではそのオプションが無視されます。

ナビゲーション パス

[Access Control] ページにアクセスするには、次のいずれかを実行します。

(デバイス ビュー)デバイスを選択し、次にポリシー セレクタから [Firewall] > [Settings] > [Access Control](IPv4 の場合)、または [Firewall] > [Settings] > [IPv6 Access Control] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Settings] > [Access Control](IPv4 の場合)、または [Firewall] > [Settings] > [IPv6 Access Control] を選択します。新しいポリシーを作成するか、または既存のポリシーを選択します。

(マップ ビュー)デバイスを右クリックし、[Edit Firewall Settings] > [Access Control](IPv4 の場合)、または [Edit Firewall Settings] > [IPv6 Access Control] を選択します。

関連項目

「アクセス コントロールの設定(IPv4 または IPv6)」

「アクセス規則について」

「デバイス固有のアクセス規則の動作について」

「アクセス規則のアドレス要件および規則の展開方法について」

「アクセス規則について」

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 14-4 [Access Control Settings] ページ

要素
説明

[Maximum number of concurrent flows](PIX、ASA、FWSM)

(IPv4 のみ)

デバイスが作成できる並行拒否フローの最大数。デバイスがこの数に達すると、syslog メッセージ 106101 が生成されます。使用する必要のある範囲は、デバイスで使用可能なフラッシュ メモリの大きさによって異なります。

64 MB より大きい:値は 1 ~ 4096 です。デフォルトは 4096 です。

16 MB より大きい:値は 1 ~ 1024 です。デフォルトは 1024 です。

16 MB 以下:値は 1 ~ 256 です。デフォルトは 256 です。

[Syslog interval](PIX、ASA、FWSM)

(IPv4 のみ)

セキュリティ アプライアンスが拒否フローの最大値に達したことを警告する syslog メッセージ 106101 を生成するための時間間隔。拒否フローの最大値に達した場合、最後の 106101 メッセージから指定の秒数が経過すると、新たに 106101 メッセージが生成されます。値は 1 ~ 3600 ミリ秒です。デフォルトは 300 です。

[Enable Access List Compilation](グローバル)

(IPv4 のみ)

アクセス リストをコンパイルするかどうか。コンパイルすると、サイズの大きな規則テーブルの処理が高速になります。コンパイルにより、すべての ACL に対するポリシー規則およびパフォーマンスが最適化されます。ただし、コンパイルがサポートされる旧式のプラットフォームの数は次のように限られています。

ルータ(グローバル設定のみ):7120、7140、7200、7304、および 7500

PIX 6.3 ファイアウォール(グローバル モードまたはインターフェイス単位)

ACL は、アクセス リスト要素の数が 19 以上である場合にだけコンパイルされます。推奨されるエントリの最大数は 16,000 です。

アクセス リストをコンパイルするには、デバイスに少なくとも 2.1 MB のメモリが必要となります。アクセス リストのコンパイルは、Turbo ACL とも呼ばれます。

[Enable Object Group Search](ASA 8.3+)

(IPv4 ポリシーのみにあるが、IPv4 と IPv6 の両方に適用)

ASA 8.3+ デバイスでオブジェクト グループ検索をイネーブルにするかどうか。これにより、オブジェクト グループを展開せずに ACL パフォーマンスを最適化できます。オブジェクト グループ検索は主に、Checkpoint から ASA への移行時に使用されます。デバイスにメモリ制約がある場合(つまり、操作中にメモリが不足しているとわかった場合)は、これによってアクセス規則の数が大幅に増加することがあります。

オブジェクト グループ検索をイネーブルにした場合、Hit Count ツールを使用して規則を分析することはできません。通常は、この機能をイネーブルにしないでください。代わりに、Rule Combiner ツールを使用してアクセス規則を簡素化し、すべてのインターフェイスで実施する規則に対してはグローバル規則を使用することを検討してください。

[Interfaces] テーブル

(IPv4 および IPv6)

このテーブルには、特別な処理を設定するインターフェイスが示されます。インターフェイス名は、特定のインターフェイスを指すか、(設定を一度に複数のインターフェイスに適用できる)インターフェイス ロールを指します。また、ASA 8.3+ デバイスでのグローバル ACL 設定の場合は、Global です。

このテーブルを使用すると、Security Manager によるシステム生成名の自動設定を行わない場合に、ACL に名前を設定できます。この名前は、インターフェイスに対して生成された特定方向の IPv4 または IPv6 ACL に適用されます。

ユーザ単位のダウンロード可能 ACL に対して、また IPv4 ではオブジェクト グループ検索および ACL コンパイルに対して、インターフェイスレベルの設定を行うこともできます。

インターフェイス設定を追加するには、[Add Row] ボタンをクリックし、「[Firewall ACL Setting] ダイアログボックス(IPv4 または IPv6)」に入力します。

インターフェイス設定を編集するには、そのインターフェイス設定を選択し、[Edit Row] ボタンをクリックします。

インターフェイス設定を削除するには、そのインターフェイス設定を選択し、[Delete Row] ボタンをクリックします。

[Firewall ACL Setting] ダイアログボックス(IPv4 または IPv6)

[Firewall ACL Setting] ダイアログボックスを使用して、IPv4 または IPv6 アクセス規則ポリシーとともに使用する、特定のインターフェイス、インターフェイス ロール、またはグローバル規則の設定を行います。

ナビゲーション パス

「[Access Control Settings] ページ(IPv4 および IPv6)」を表示し、インターフェイス テーブルの下の [Add Row] ボタンをクリックするか、またはテーブル内の行を選択して [Edit Row] ボタンをクリックします。

関連項目

「アクセス コントロールの設定(IPv4 または IPv6)」

「アクセス規則について」

「グローバル アクセス規則について」

「デバイス固有のアクセス規則の動作について」

「アクセス規則のアドレス要件および規則の展開方法について」

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 14-5 [Firewall ACL Setting] ダイアログボックス

要素
説明

[Interface]

[Global](ASA 8.3+)

設定の対象が特定のインターフェイス(またはインターフェイス ロール)か、あるいは ASA 8.3+ デバイスではグローバル規則かを選択します。

[Interface] を選択した場合は、設定するインターフェイスまたはインターフェイス ロールの名前を指定します。名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

[Global] を選択した場合は、グローバル ACL の名前を指定するオプションしかありません。

[Traffic Direction]

インターフェイスを通過するトラフィックの方向([in] または [out])。方向が関係する場合、設定した値はこの方向にだけ適用されます。

ASA 8.3+ デバイスでは、グローバル ACL の方向は常に [in] です。

[User Defined ACL Name]

[ACL Name]

ACL に名前を指定するかどうか。このオプションを選択した場合、使用する名前を入力します。これは、インターフェイスと方向の組み合わせに対して生成された ACL に適用されます。名前は、デバイス上で一意である必要があります。

ヒント IPv6 アクセス コントロールの設定時には、[ACL Name] 編集ボックスだけが表示され、[User Defined ACL Name] チェックボックスはありません。IPv4 ACL と IPv6 ACL に対して同じ ACL 名を使用できないことに注意してください。

ASA 8.3+ デバイスでグローバル ACL に名前を設定する場合、オプションは自動的に選択されるため、目的の名前を入力するだけです。

名前を設定しなかった場合は、Security Manager により自動的に名前が生成されます。

[Enable Per User Downloadable ACLs](PIX、ASA、FWSM)

ユーザ単位の ACL のダウンロードをイネーブルにしてインターフェイス上の ACL を上書きするかどうか。ユーザ ACL は、Security Manager で設定されるのではなく、AAA サーバで設定されます。ユーザ単位の ACL がない場合は、インターフェイスに設定されているアクセス規則がトラフィックに適用されます。

ヒント このオプションは、IPv4 および IPv6 のアクセス コントロール設定ポリシーで個別に使用できます。ただし、オプションはアクセス コントロール全体に適用され、IPv4 および IPv6 に対して個別には設定されません。アクセス コントロール設定ポリシーのいずれかでこのオプションを選択した場合、オプションは指定したインターフェイスおよび方向のデバイスに設定されます。

[Enable Object Group Search](PIX 6.x)

(IPv4 のみ)

PIX 6.3 インターフェイスでオブジェクト グループ検索をイネーブルにするかどうか。イネーブルにすると、サイズの大きい ACL を保持するためのデバイスのメモリ要件が少なくなります。ただし、オブジェクト グループ検索によって、各パケットでの ACL 処理が低速になるため、パフォーマンスに影響します。

非常に大きなオブジェクト グループが存在する場合は、オブジェクト グループ検索を推奨します。

ヒント ASA 8.3+ デバイスでは、オブジェクト グループ検索の設定は、「[Access Control Settings] ページ(IPv4 および IPv6)」で行います。

[Enable Access List Compilation](PIX 6.x)

(IPv4 のみ)

PIX 6.x デバイスで、このインターフェイス上のアクセス リストをコンパイルするかどうか。この設定は、[Access Control Settings] ページで設定した同等のグローバル設定を上書きします。

ACL をコンパイルすると、サイズの大きい規則テーブルの処理が高速になり、インターフェイスのポリシー規則およびパフォーマンスが最適化されます。ACL は、アクセス リスト要素の数が 19 以上である場合にだけコンパイルされます。推奨されるエントリの最大数は 16,000 です。

アクセス リストをコンパイルするには、デバイスに少なくとも 2.1 MB のメモリが必要です。

分析レポートの生成

分析レポートを生成して、アクセス規則のロジックを評価できます。このレポートには、アクセス規則ポリシー内の他の規則と重複または競合する規則が一覧表示されます。この情報を使用して、削除、移動、または編集が必要な規則を特定します。

アクセス規則ポリシーの分析には、二重の目的があります。

不要であるため削除可能な、冗長な規則または重複する規則を特定する。次の例を参考にしてください。

冗長な基本規則:重複する規則と同一ではないが、基本規則でも同じタイプのトラフィックに同じ処理が適用される場合、基本規則を削除しても最終的な結果は変わりません。たとえば、基本規則では特定の時間範囲中だけサービスを禁止するが、重複する規則では常にそのサービスを禁止する場合などです。また、重複する規則ではすべての送信元を許可するが、基本規則では特定のネットワークを指定する場合などもこの例に含まれます。

冗長な重複する規則:これは、冗長な基本規則の逆です。この場合、基本規則が重複する規則と同じトラフィックに一致します。つまり、重複する規則は(アクセス リスト内では基本規則よりもあとに配置されているため)いずれのトラフィックにも適用されません。重複する規則は削除できます。

同じ規則:基本規則および重複する規則が同一です。いずれか一方を削除できます。

競合する規則:同じトラフィックに対して競合する処理を定義している規則を特定します。競合する規則がある場合は、基本規則および重複する規則で、トラフィックに対して別々の処理を指定します。これらの規則が別のポリシーを指定していることが明らかでない場合もあります。ただし、基本規則は重複する規則の前に位置するため、トラフィックに対する処理を決定するのは基本規則です。目的のポリシーを実装するために、重複する規則を移動したり、基本規則や重複する規則を編集したりする必要があることがあります。

たとえば、1 つの送信元または宛先に対して、基本規則で IP トラフィックを拒否し、重複する規則で FTP トラフィックを許可する場合などです。

不要な規則を削除することにより、より使用しやすく効率のよいアクセス規則ポリシーを開発できます。

図 14-1に、冗長な規則の例を示します。この場合、基本規則で送信元アドレス 1.2.3.4 から宛先 2.3.4.5 への TFTP 接続が許可されています。しかし、後続の規則でも、すべての送信元アドレスからその宛先への TFTP 接続が許可されています。重複する規則を保持することを前提とすれば、基本規則は不要になります。

図 14-1 規則分析レポートの例

 


ヒント 分析の他にも、Combine Rules ツールを使用して、規則を評価するように Security Manager を設定し、規則をさらに効率のよい規則に結合する方法を利用できます。詳細については、「規則の結合」を参照してください。

関連項目

「アクセス規則について」

「デバイス固有のアクセス規則の動作について」

「アクセス規則のアドレス要件および規則の展開方法について」

「アクセス規則の設定(IPv4 または IPv6)」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [Firewall] > [Access Rules] の順に選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Access Rules] を選択し、既存のポリシーを選択します。

この操作により、「アクセス規則ページ(IPv4 または IPv6)」が開きます。

ステップ 2 [Tools] ボタンをクリックし、[Analysis] を選択します。

規則が分析され、結果が [Rule Analysis Results] ウィンドウ内に表示されます。このレポートには、次の 3 つのウィンドウ ペインがあります。

左側のペイン([Base Rules]):基本規則(規則番号が最も小さい)で識別された、競合する規則グループが一覧表示されます。

右上のペイン([Conflict Overview]):左側のペインで選択されている基本規則と、その規則と重複または競合するすべての規則が表示されます。範囲には、この規則がデバイスにローカルか、それとも共有規則から継承されたものか(必須またはデフォルト)が示されます。その他のカラムは、通常のアクセス規則属性と同じです(「アクセス規則ページ(IPv4 または IPv6)」を参照)。

このペインで重複する規則を選択すると、右下のペインに詳細な比較が表示されます。

右下のペイン([Overlap Details]):基本規則と、右上のペインで選択されている重複する規則の比較が、簡単に直接比較できるように表示されます。競合する要素は太字で表示されます。重複のタイプについては、上記で説明しています。

必要に応じて、[previous] ボタンおよび [next] ボタンを使用して、ページを移動して詳細を確認します。


 

ヒット カウント レポートの生成

ヒット カウント レポートを生成して、IPv4 または IPv6 アクセス規則ポリシー内の各規則がトラフィックに一致する頻度を判断できます。たとえば、インターフェイス ロールを使用して規則を定義し、ロールが複数のインターフェイスに適用された場合、アクセス規則が複数の Access Control Entries(ACE; アクセス コントロール エントリ)として展開されると、展開された ACE ごとに個別のヒット カウント情報が表示されます。このヒット カウント結果には、他のタイプの ACL(クラス マップまたは AAA 規則で使用される ACL など)のカウントは示されません。

ヒット カウント情報を使用すると、アクセス規則のデバッグに役立ちます。この情報は、ヒットしたことがない(つまり、不要であるか、または ACL における優先度の高い規則と重複している可能性がある)規則や、頻繁にヒットする(つまり、改良が必要な)規則を識別するのに役立ちます。

次の各図に、ヒット カウント レポートの例と情報の使用方法を示します。

図 14-2は、デフォルトのビューを示しています。上半分のテーブルには、アクセス規則ポリシー内に存在する規則が一覧表示されます。すべての規則が表示されるか、またはレポートの生成前に選択した規則だけが表示されます。規則を選択すると、その規則に対してデバイス上で作成された ACE が、ウィンドウの下半分の展開されたテーブル内に一覧表示されます。最初にレポートを開くと、展開されたテーブルに、上半分のテーブル内に一覧表示されているすべてのポリシーに対する ACE が表示されます。

展開されたテーブル内のヒット カウントは、各 ACE に対応しています。一方、規則テーブル内のカウントは、規則により作成されたすべての ACE に対するヒット カウントの合計です。ASA/PIX/FWSM デバイスおよび 12.4(20)T よりも前の IOS デバイスでは、展開されたテーブルに、規則で使用されているポリシー オブジェクト内の各要素に対するヒット カウントが表示されます。一方、IOS 12.4(20)T+ デバイスでは、オブジェクト グループ レベルの情報だけが提供されます。

図 14-3は同じ ACE を CLI 形式で示しています。これらは、デバイス設定に存在する ACE です。

ヒット カウント レポートの判読および解釈方法の詳細については、「ヒット カウント クエリー結果の分析」を参照してください。

図 14-2 展開されたテーブル

 

図 14-3 未展開の ACE テーブル

 

はじめる前に

ヒット カウント レポートは、デバイスに固有です。レポートは、デバイス ビューから、一度にデバイス 1 つに対してだけ生成できます。レポートを生成する前に、デバイスにポリシーを展開する必要があります。


ヒント ASA 8.3+ デバイスでオブジェクト グループ検索をイネーブルにした場合は、Hit Count ツールを使用できません。オブジェクト グループ検索は、「[Access Control Settings] ページ(IPv4 および IPv6)」で設定します。

関連項目

「アクセス規則について」

「アクセス規則の設定(IPv4 または IPv6)」


ステップ 1 (デバイス ビューのみ)[Firewall] > [Access Rules] または [Firewall] > [IPv6 Access Rules] を選択して、「アクセス規則ページ(IPv4 または IPv6)」を開きます。

ステップ 2 特定の規則に対するヒット カウントを取得するには、テーブル内のその規則を選択します。一連の規則を選択する場合は、Shift を押しながらクリックします。複数の個別の規則を選択する場合は、Ctrl を押しながらクリックします。

また、規則を選択するために、セクション見出しまたは範囲見出しを選択したり、対象となる規則だけが表示されるようにフィルタを作成したりすることもできます。

ステップ 3 テーブルの下の [Tools] ボタンをクリックし、[Hit Count] を選択して「[Hit Count Selection Summary] ダイアログボックス」を開きます。

ステップ 4 レポートに含める規則を選択します。ローカル規則、共有規則、および継承規則をすべて含める場合は、[All Rules] を選択します。レポートの開始前に規則を選択した場合は、そのオプションを選択します。

ステップ 5 [OK] をクリックします。

ツールによって、デバイスから ACL およびヒット カウント情報が取得されます。必要に応じて、操作を中断できます。情報が取得されると、[Hit Count Summary Results] ページに表示されます。このレポートの解釈については、「ヒット カウント クエリー結果の分析」を参照してください。

レポートが開いている間に [Refresh Hit Count] をクリックすると、最新の情報を取得できます。[Delta] カラムに、最後のリフレッシュ以降のヒット カウントの差分が表示されます。


 

[Hit Count Selection Summary] ダイアログボックス

[Hit Count Selection Summary] ダイアログボックスを使用して、ヒット カウント情報を生成する規則を選択します。選択できるオプションは、ヒット カウント レポートの開始前に選択した規則によって制限されます。

[OK] をクリックすると、デバイスからヒット カウント情報が取得されます。これには時間がかかることがあるため、途中で操作を中断できます。結果は [Hit Count Query Results] ウィンドウに表示されます。結果の解釈については、「ヒット カウント クエリー結果の分析」を参照してください。

ナビゲーション パス

(デバイス ビューのみ)[Firewall] > [Access Rules]、または [Firewall] > [IPv6 Access Rules] を選択し、次に [Tools] ボタンをクリックしてから [Hit Count] を選択します。詳細については、「アクセス規則ページ(IPv4 または IPv6)」を参照してください。

関連項目

「ヒット カウント レポートの生成」

「アクセス規則について」

フィールド リファレンス

 

表 14-6 [Hit Count Selection Summary] ダイアログボックス

要素
説明

[Policy Selected]

選択されているポリシーを識別します。ポリシーを選択しなかった場合、これは通常、デバイスに特定の規則が定義されていることを示す [Local] となります。ポリシーが、共有ポリシーまたは継承ポリシー内の範囲となることもあります。

このフィールドの表示内容によって、ヒット カウント レポートの範囲が実際に制限されることはありません。

[Rules Selected]

ヒット カウントを取得する規則。

すべての継承規則、共有規則、およびローカル規則に対するヒット カウントを取得する場合は、[All Rules] を選択します。オプションは、[Policy Selected] フィールドで指定されている範囲に限定されません。

ヒット カウント レポートの開始前に規則を選択しなかった場合、このオプションだけが選択可能になります。

選択した規則だけに対する情報を取得する場合は、その規則に対するオプションを選択します。範囲の名前、セクション名、または複数の個別の規則に関連する行を選択したり、フィルタを作成してフィルタリングされたすべての規則を選択したりできます。ヒット カウント レポートの開始時にいずれかの行が選択されていた場合は、これがデフォルトとなります。

ヒット カウント クエリー結果の分析

[Hit Count Query Results] ページを使用して、IPv4 または IPv6 アクセス規則がトラフィックに適用された回数に関する情報を表示します。これらの規則は、デバイス上でインターフェイス ACL となる規則です。このヒット カウント結果には、他のタイプの ACL(クラス マップまたは AAA 規則で使用される ACL など)のカウントは示されません。

ヒット カウント情報を使用すると、アクセス規則のデバッグに役立ちます。この情報は、ヒットしたことがない(つまり、不要であるか、または ACL における優先度の高い規則と重複している可能性がある)規則や、頻繁にヒットする(つまり、改良が必要な)規則を識別するのに役立ちます。ヒット カウント レポートの例については、「ヒット カウント レポートの生成」を参照してください。

ヒット カウント結果を分析する際には、次の点を考慮してください。

ヒット カウントの表示前に、デバイスにポリシーを展開すると、最善の結果が得られます。デバイスを検出し、ヒット カウント レポートを生成したあとで展開した場合、結果が不完全になったり、解釈が困難になることがあります。たとえば、アクセス規則にヒット カウント情報が含まれないことがあります。

ヒット カウント統計は、インターフェイスではなく ACL に基づきます。[Security Manager Administration Deployment] ページ(「[Deployment] ページ」を参照)で [Enable ACL Sharing for Firewall Rules] を選択した場合、共有 ACL により、その ACL を共有するすべてのインターフェイスから結合された統計情報が提供されます。

「ファイアウォール規則の展開時のネットワーク オブジェクト グループの最適化」の説明に従ってネットワーク オブジェクト グループ最適化をイネーブルにした場合、正確なヒット カウント情報が得られない可能性があります。

「展開中のアクセス規則の自動最適化」の説明に従って ACL 最適化をイネーブルにした場合、ヒット カウント結果でのデバイスからアクセス規則への ACE のマッチングに問題がある可能性があります。このため、アクセス規則を選択したときに、その規則に対するカウント結果が得られないことがあります。

ナビゲーション パス

(デバイス ビューだけ)「アクセス規則ページ(IPv4 または IPv6)」から [Tools] ボタンをクリックし、[Hit Count] を選択して、「[Hit Count Selection Summary] ダイアログボックス」で [OK] をクリックします。

関連項目

「ヒット カウント レポートの生成」

「アクセス規則について」

「テーブル カラムおよびカラム見出しの機能」

「カテゴリ オブジェクトの使用」

フィールド リファレンス

 

表 14-7 [Hit Count Query Results] ページ

要素
説明

[Select Device]

ヒット カウント情報を表示する対象のデバイス。

[Refresh Hit Count] ボタン

このボタンをクリックすると、ヒット カウント情報が更新されます。最後のヒット カウントと更新済みヒット カウントの差分が、展開されたテーブルの(下側のペインの)[Delta] カラムに示されます。デルタ カウントを評価しやすいように、最後のリフレッシュからの経過時間がこのボタンの隣に示されます。

リフレッシュされた情報の取得には時間がかかることがあるため、途中でリフレッシュを中断できます。

[Selected Access Rules] テーブル

ヒット カウント情報を取得するために選択した規則。ヒット カウントは、規則により作成されたすべての ACE に対するヒット カウントの合計です。その他の情報は、「アクセス規則ページ(IPv4 または IPv6)」と同じです。

このテーブルから 1 つ以上の規則を選択すると、ウィンドウの下半分にあるテーブル内の規則と対応付けられている Access Control Entry(ACE; アクセス コントロール エントリ)の詳細な情報が表示されます。

[Choose]

展開されたテーブルか、未展開の ACE テーブルのどちらを表示するかを選択します(両者について次に説明しています)。

[Expanded] テーブル

上半分のテーブル([Selected Access Rules] テーブル)内に、選択された規則に対するデバイスの Access Control Entry(ACE; アクセス コントロール エントリ)が表示されます。ポリシーをデバイスに展開したときにアクセス規則によって複数の ACE が生成された場合、このリストには複数の ACE が含まれます。

このテーブルのカラムは、上半分のテーブルのカラムと対応していますが、規則に含まれているネットワーク/ホスト、サービス、またはインターフェイス ロール オブジェクトの代わりに、ACE で設定されている特定のデータが含まれています。ただし、IOS 12.4(20)T+ デバイスの場合は例外で、オブジェクト レベルのデータだけが表示されます。また、ACE を含む ACL の名前も表示されます。

追加の [Delta] カラムには、最後に [Refresh Hit Count] ボタンをクリックして以降の ACE のヒット数が示されます。[Hit Count] カラムには、規則全体ではなく特定の ACE に対するヒット数が表示されます。

キーを押しながらカラム見出しをクリックします。ソートできるカラムは、[Interface]、[Direction]、および [ACL Name] 以外のカラムです。

[Raw ACE] テーブル

アクセス コントロール エントリに対する実際の CLI がヒット カウントとともに表示されます。デバイス コマンドを評価する方が慣れている場合は、この情報を使用してください。

規則のインポート

通常、デバイスを Security Manager に追加するときは、デバイスからポリシーを検出します。この処理により、デバイス上のすべてのアクティブな ACL からの Access Control Entry(ACE; アクセス コントロール エントリ)が、アクセス規則ポリシーに移入されます。

ポリシーに使用する ACE が含まれる ACL が他に存在している場合は、Security Manager で ACE を直接定義できます。

別の方法として、デバイス実行コンフィギュレーションから CLI をコピー アンド ペーストするか、または目的のコマンドを入力することにより、ACE をインポートすることもできます。Import Rules ウィザードを使用すると、すべての ACE および関連付けられたポリシー オブジェクトを、すでに機能している ACL からすばやく作成できます。また、規則を定義するのに CLI を使用する方が慣れている場合は、この方法を使用すると便利です。


ステップ 1 (デバイス ビューだけ)[Firewall] > [Access Rules] を選択して、「アクセス規則ページ(IPv4 または IPv6)」を開きます。


) IPv6 アクセス規則はインポートできません。


ステップ 2 規則の追加位置のすぐ上の行を選択します。ローカル範囲内の行を選択してください。行を選択しなかった場合は、ローカル範囲の最後に規則が追加されます。

ステップ 3 [Tools] ボタンをクリックし、[Import Rules] を選択してウィザードを開始します(「Import Rules ウィザード - [Enter Parameters] ページ」を参照)。

ステップ 4 デバイス タイプに適した実行コンフィギュレーション形式で CLI を入力します。インターフェイス固有の規則の作成(そのあとに規則を適用するインターフェイスまたはインターフェイス ロールを入力します)、またはグローバル規則の作成(ASA 8.3+ デバイスの場合)を選択します(「グローバル アクセス規則について」を参照)。また、インターフェイスに対するトラフィック方向を選択します(グローバル規則の場合、方向は常に [In] です)。

インポート可能な CLI の例については、「インポートされた規則の例」を参照してください。

アクセス コントロール規則以外に、次の項目がアクセス コントロール規則によって参照される場合は、それらの項目も CLI に含める必要があります。

時間範囲オブジェクト( time-range コマンドとそのサブコマンド)。これにより、時間範囲ポリシー オブジェクトを作成できます。

PIX、ASA、FWSM、および IOS 12.4(20)T+ デバイスの場合、オブジェクト グループ( object-group コマンドとそのサブコマンド)。これにより、ネットワーク/ホスト ポリシー オブジェクトを作成できます。

また、ASA 8.3+ デバイスの場合は、 object network コマンドおよび object service コマンドも含めることができます。ただし、オブジェクト NAT 設定はインポートされません。

CLI 内にエラーがある場合、[Next] ボタンをクリックすると、プロンプトが表示されます。入力可能な値に関するヒントについては、「Import Rules ウィザード - [Enter Parameters] ページ」を参照してください。

ステップ 5 [Next] をクリックすると、規則が処理され、「Import Rules ウィザード - [Status] ページ」が開きます。

CLI が評価され、インポート可能な場合は、CLI から作成されたオブジェクトのタイプが通知されます。

ステップ 6 [Finish] をクリックして規則をインポートするか、または [Next] をクリックして「Import Rules ウィザード - [Preview] ページ」で規則およびオブジェクトを確認します。

[Preview] ページの情報は読み取り専用です。規則に問題がなければ、[Finish] をクリックします。変更が必要な場合は、アクセス規則ポリシー内の規則を編集できます。


 

Import Rules ウィザード - [Enter Parameters] ページ

Import Rules ウィザードを使用して、ACL からデバイス実行コンフィギュレーション形式の一連のアクセス コントロール エントリをアクセス規則ポリシーにインポートします。入力可能なコマンド構文は、規則のインポート先のデバイスのタイプによって決まります。

アクセス コントロール規則以外に、次の項目がアクセス コントロール規則によって参照される場合は、それらの項目も CLI に含める必要があります。

時間範囲オブジェクト( time-range コマンドとそのサブコマンド)。

PIX、ASA、FWSM、および IOS 12.4(20)T デバイスの場合、オブジェクト グループ( object-group コマンドとそのサブコマンド)。

また、ASA 8.3+ デバイスの場合は、 object network コマンドおよび object service コマンドも含めることができます。ただし、オブジェクト NAT 設定はインポートされません。

ナビゲーション パス

(デバイス ビューだけ)[Tools] ボタンをクリックし、「アクセス規則ページ(IPv4 または IPv6)」から [Import Rules] を選択します。

関連項目

「規則のインポート」

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 14-8 Import Rules - [Enter Parameters] ダイアログボックス

要素
説明

[CLI]

インポートする規則および関連オブジェクトを定義する OS コマンド。これらの規則は実行コンフィギュレーション形式にする必要があるため、設定からコピーして貼り付ける(Ctrl+V を使用してフィールドに貼り付ける)方法が最適です。また、コマンドを手動で入力することもできます。コマンドを解釈できない場合は、プロンプトが表示されます。

一度にインポートできる ACL は、1 つだけです。

インポートできる CLI の例については、「インポートされた規則の例」を参照してください。

ヒント

オブジェクトを参照するが CLI を含めない場合、規則は作成可能ですが、そのオブジェクトは使用されません。

PIX、FWSM、ASA、および IOS 12.4(20)T+ の場合、オブジェクト グループおよび名前のコマンドを含めることができます。

非アクティブな ACL をインポートすると、その ACL は Security Manager に無効な状態で表示されます。設定を展開すると、その ACL はデバイスから削除されます。

拡張 ACL は、すべてのデバイス タイプに対してインポートできます。IOS デバイスに対しては標準 ACL をインポートできます。ただし、標準 ACL は拡張 ACL に変換されます。

[Interface]

[Global](ASA 8.3+)

インターフェイス固有の規則またはグローバル規則のいずれをインポートするかを選択します。グローバル規則は ASA 8.3+ のデバイスだけで使用でき、特別な規則に従って処理されます(詳細については、「グローバル アクセス規則について」を参照してください)。

[Interfaces] を選択した場合は、この規則を定義するインターフェイスまたはインターフェイス ロールの名前を入力します。あるいは、[Select] をクリックして、リストからインターフェイスまたはロールを選択するか、新しいロールを作成します。インターフェイスをリストに表示するには、あらかじめ定義しておく必要があります。インターフェイスまたはインターフェイス ロール名の任意の組み合わせを、カンマで区切って入力できます。

[Traffic Direction]

インターフェイスに対するトラフィックの方向([in] または [out])。

[Category]

規則に割り当てられるカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

Import Rules ウィザード - [Status] ページ

Import Rules ウィザードの [Status] ページを使用して、インポート プロセスの結果に関する情報を参照します。

ナビゲーション パス

Import Rules ウィザードの開始方法の詳細については、「Import Rules ウィザード - [Enter Parameters] ページ」を参照してください。

関連項目

「規則のインポート」

フィールド リファレンス

 

表 14-9 Import Rules ウィザード - [Status] ページ

要素
説明

経過表示バー

インポート プロセスのステータスが表示されます。

[Status]

インポートされた設定のステータス。

[Rules Imported]

インポートされる規則の数。

[Policy Objects Created]

作成されるポリシー オブジェクトの数。

[Messages]

重大度アイコンで示された、警告、エラー、および情報のメッセージ。通常の情報メッセージには、操作中に作成されたポリシー オブジェクトや、再利用された既存のポリシー オブジェクトの説明が表示されます。

項目を選択すると、右側の [Description] ボックスに詳細なメッセージが表示されます。右側の [Action] ボックスには、問題の修正方法が表示されます。

[Abort] ボタン

インポート操作を停止するには、このボタンをクリックします。

Import Rules ウィザード - [Preview] ページ

Import Rules ウィザードの [Preview] ページを使用して、[Finish] をクリックするとインポートされる規則およびオブジェクトを確認します。

このプレビューは読み取り専用であるため、規則またはオブジェクトの編集はできません。規則またはオブジェクトの内容が希望どおりでない場合は、[Finish] をクリックして規則およびオブジェクトを追加し、アクセス規則ページでそれを編集できます。たとえば、規則の有効期限は Security Manager でだけ有効であるため、インポートできません。

このダイアログボックスのタブが表示されるのは、インポート対象のデータに、そのタブに表示される項目が含まれている場合だけです。


ヒント CLI が存在しないオブジェクト(時間範囲など)を参照している場合、そのオブジェクトは規則に含められません。前に戻ってそのオブジェクトの CLI を追加するか、または [Finish] をクリックし、手動でオブジェクトを作成して、規則を編集することができます。

ナビゲーション パス

Import Rules ウィザードの開始方法の詳細については、「Import Rules ウィザード - [Enter Parameters] ページ」を参照してください。

関連項目

「規則のインポート」

「アクセス規則ページ(IPv4 または IPv6)」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「インターフェイス ロール オブジェクトについて」

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 14-10 Import Rules ウィザード - [Preview] ページ

要素
説明

[Rules] タブ

アクセス規則ポリシーにインポートされる、CLI から作成された規則。CLI が標準 ACL に対応している場合でも、すべての規則は拡張形式に変換されます。

アイコンにより、許可および拒否のステータスが示されます。

[Permit]:緑色のチェック マークとして表示されます。

[Deny]:スラッシュの入った赤色の丸として表示されます。

送信元、宛先、サービス、およびインターフェイスのセルを右クリックして [Show Contents] を選択すると、そのセル内に詳細情報が表示されます。

右クリックして [Copy] を選択すると、規則を HTML 形式でクリップボードにコピーできます。このデータをテキスト エディタに貼り付けることもできます。

[Objects] タブ

CLI から作成されたポリシー オブジェクト(ある場合)。CLI に応じて、Security Manager により時間範囲、ネットワーク/ホスト オブジェクト、サービス オブジェクト、またはポート リスト オブジェクトが作成されることがあります。

オブジェクトを右クリックして [View Object] を選択すると、オブジェクト定義が読み取り専用形式で表示されます。

インポートされた規則の例

次に、インポート可能な CLI と、その CLI から作成された規則およびポリシー オブジェクトの例をいくつか示します。規則のインポート方法の詳細については、「規則のインポート」を参照してください。


) IPv6 アクセス コントロール規則はインポートできません。


例 1:ネットワークから FTP サーバへのアクセスを制限する(ASA デバイス)

次のアクセス リストでは、オブジェクト グループを使用して、10.200.10.0/24 ネットワークから一部の FTP サーバへのアクセスを制限しています。その他のトラフィックはすべて許可されます。

object-group network ftp_servers
network-object host 172.16.56.195
network-object 192.168.1.0 255.255.255.224
access-list ACL_IN extended deny tcp 10.200.10.0 255.255.255.0 object-group ftp_servers
access-list ACL_IN extended permit ip any any
 
 

この例では、ftp_servers という名前の 1 つのネットワーク/ホスト オブジェクトと、2 つのアクセス規則が作成されます。

 

例 2:勤務時間中の Web アクセスを制限する(ASA デバイス)

次の例では、午前 8 時~午後 6 時の間(通常の勤務時間)の HTTP 要求を拒否しています。

time-range no-http
periodic weekdays 8:00 to 18:00
access-list 101 deny tcp any any eq www time-range no-http
 
 

この例では、no-http という名前の 1 つの時間範囲オブジェクトと、1 つのアクセス規則が作成されます。

 

例 3:ポート番号を使用して TCP および ICMP をフィルタリングする(IOS デバイス)

次の例では、goodports という名前の拡張アクセス リストの最初の行で、1023 よりも大きい宛先ポートを持つ着信 TCP 接続を許可しています。2 行目で、ホスト 172.28.1.2 の Simple Mail Transfer Protocol(SMTP; シンプル メール転送プロトコル)ポートへの着信 TCP 接続を許可しています。最後の行では、エラー フィードバックのための着信 ICMP メッセージを許可しています。

ip access-list extended goodports
permit tcp any 172.28.0.0 0.0.255.255 gt 1023
permit tcp any host 172.28.1.2 eq 25
permit icmp any 172.28.0.0 255.255.255.255
 
 

この例では、3 つのアクセス規則が作成されます。IOS ACL 構文で使用されているワイルドカード マスクは通常のサブネット マスクに変換されることに注意してください。Security Manager は、標準のネットワーク/ホスト サブネット マスク指定と、IOS ACL で必要なワイルドカード マスクの間で自動変換を行います。ASA/PIX/FWSM では、ACL コマンド内にサブネット マスクを使用する必要があるため、すべてのデバイスに適用可能な規則を作成することが可能になります。Security Manager によって、規則が正しい構文に変換されます。

 

例 4:ホストを制限する標準 ACL(IOS デバイス)

次の例では、Jones に属するワークステーションがイーサネット インターフェイス 0 へのアクセスを許可され、Smith に属するワークステーションはアクセスを許可されていません。

ip access-list standard workstations
remark Permit only Jones workstation through
permit 172.16.2.88
remark Do not allow Smith workstation through
deny 172.16.3.13
 
 

この例では、(任意の宛先に対して)標準規則を拡張規則に変換する 2 つの規則が作成されます。備考は、[description] フィールドに保存されます。

 

コマンド言語形式での ACL のその他の例については、次の URL を参照してください。

IOS デバイス: http://www.cisco.com/en/US/docs/ios/sec_data_plane/configuration/guide/sec_create_IP_apply.html#wp1027258

ASA デバイス: http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/acl_extended.html

展開中のアクセス規則の自動最適化

特定のデバイスまたはすべてのデバイスに展開するときに、アクセス規則ポリシーから作成された Access Control List(ACL; アクセス コントロール リスト)が最適化されるようにシステムを設定できます。この最適化の影響を受けるのは、展開されたポリシーだけであり、アクセス規則ポリシーは変更されません。


) このトピックで説明される最適化は IPv4 ACL だけに適用されます。最適化は IPv6 ACL では機能しません。


最適化によって、冗長性と競合がなくなり、複数のエントリ(ACE)を単一エントリに結合できます。エントリの順序は変更されても、ポリシーの意味は保持されます。つまり、最適化された ACL は、最適化されていないフォームのときと同じパケット セットを受け入れるか、または拒否します。次に、変更が行われる基本的なケースを示します。

非効率的な ACE:あるエントリが別のエントリのサブセットになっているか、または別のエントリと同一である場合、非効率的な ACE が削除されます。次の例を考えてみます。

access-list acl_mdc_inside_access deny ip host 10.2.1.1 any
access-list acl_mdc_inside_access deny ip 10.2.1.0 255.255.255.0 any

最初の ACE は実際には 2 番めの ACE のサブセットです。ACL の最適化では、2 番めのエントリだけが展開されます。

スーパーセット ACE:あるエントリが別のエントリのスーパーセットであり、規則の順序が重要ではない場合、冗長な規則が削除されます。次の例を考えてみます。

access-list acl_mdc_inside_access permit tcp any any range 110 120
access-list acl_mdc_inside_access deny tcp any any range 115
 
 

2 番めの ACE がヒットすることはありません。ACL の最適化により 2 番めの ACE が削除され、最初の ACE だけが展開されます。

隣接する ACE:2 つのエントリがよく似ているため、1 つのエントリで同じジョブを実行できる場合。各規則にヒットするパケットが変更されるような介入規則は存在できません。次の例を考えてみます。

access-list myacl permit ip 1.1.1.0 255.255.255.128 any
access-list myacl permit ip 1.1.1.128 255.255.255.128 any
 

2 つの ACE がマージされて 1 つの ACE になります(access-list myacl permit ip 1.1.1.0 255.255.255.0 any)。

ACL の展開最適化を設定することにより、作成される ACL が小さくなり、効率も高くなります。これにより、拡張不可能な制約付きのメモリ(FWSM など)を搭載するデバイスでのパフォーマンスを改善し、これを複数の仮想コンテキスト間で共有できます。

ただし、ACL の展開最適化の設定にはデメリットもあります。

最適化を行うと、アクセス規則に対して通常展開される内容が変更されるため、これらの規則を実際に展開されている ACE と相互に関連付けることが困難になります。この場合、ヒット カウント ツールの結果が使用できなくなることがあり、Cisco Security Monitoring, Analysis and Response System アプリケーションでイベントを相互に関連付けることが非常に困難になります。これらのツールを使用してアクセス規則をモニタすることが必要な場合は、最適化をイネーブルにしないでください。詳細については、「ヒット カウント レポートの生成」および「アクセス規則の CS-MARS イベントの表示」を参照してください。

最適化を行っても、アクセス規則ポリシー内の本質的な問題は解決されません。通常は、分析ツールを使用して冗長性と競合を事前に解決することを推奨します(「分析レポートの生成」を参照)。また、展開の前に、規則結合ツールを使用して、アクセス規則ポリシー内の規則を最適化することもできます(「規則の結合」を参照)。

ACL の展開最適化を設定することにした場合は、メモリ制約のあるデバイスに対してだけイネーブルにすることを検討してください。


ステップ 1 Security Manager サーバ上の Windows にログインします。

ステップ 2 NotePad などのテキスト エディタを使用して、 C: ¥ Program Files ¥ CSCOpx ¥ MDC ¥ athena ¥ config ¥ csm.properties ファイルを開きます。最適化のセクションを見つけて、指示を確認します。

すべてのデバイスに対して完全な最適化を有効にするには、次のように入力します。

OPTIMIZE.*=full

特定のデバイスに対して完全な最適化を有効にするには、アスタリスクを、そのデバイスに対する Security Manager の表示名で置き換えます。たとえば、表示名が west_coast.cisco.com であれば、次のように入力します。

OPTIMIZE.west_coast.cisco.com=full

最適化を有効にするが、ACE で使用されているオブジェクト グループを保持する場合は、キーワード全部を preserve_og で置き換えます。次の例を参考にしてください。

OPTIMIZE.west_coast.cisco.com=preserve_og

隣接するエントリをマージしない場合は、次のように入力します。

AclOptimization.doMerge=false

ステップ 3 ファイルを保存します。設定は即時に有効になり、後続のすべての展開ジョブに適用されます。

展開ジョブの最適化レポートを生成するには、[Tools] > [Security Manager Administration] > [Debug Options] から [Capture Discovery/Deployment Debugging Snapshots to File] を選択します。

展開結果には、情報メッセージとして要約された最適化結果が表示されます。これには、最適化前の最初の ACE の数と、最適化後の ACE の数が含まれます。結果は、サーバ上の C:¥Program Files¥CSCOpx¥MDC¥temp フォルダ内のファイルに保存されます。ファイル名の一部としてジョブ ID が使用されます。