Cisco Security Manager 4.1 ユーザ ガイド
ポリシー オブジェクトの管理
ポリシー オブジェクトの管理
発行日;2012/05/10 | 英語版ドキュメント(2011/03/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ポリシー オブジェクトの管理

ポリシーのオブジェクトの選択

[Policy Object Manager] ウィンドウ

[Policy Object Manager] ウィンドウのショートカット メニュー

ポリシー オブジェクトの操作:基本手順

ポリシー オブジェクトの作成

オブジェクトの編集

カテゴリ オブジェクトの使用

オブジェクトのクローニング(複製)

オブジェクトの詳細の表示

オブジェクト使用状況レポートの生成

オブジェクトの削除

オブジェクト オーバーライドの管理

個々のデバイスのポリシー オブジェクト オーバーライドについて

ポリシー オブジェクトの上書きの許可

単一デバイスのオブジェクト オーバーライドの作成または編集

複数デバイスのオブジェクト オーバーライドの一括での作成または編集

デバイスレベルのオブジェクト オーバーライドの削除

ポリシー オブジェクトのインポートおよびエクスポート

AAA サーバおよびサーバ グループ オブジェクトについて

サポートされる AAA サーバ タイプ

ASA、PIX、および FWSM デバイスでのその他の AAA サポート

定義済みの AAA 認証サーバ グループ

デフォルトの AAA サーバ グループおよび IOS デバイス

AAA サーバ オブジェクトの作成

[Add AAA Server]/[Edit AAA Server] ダイアログボックス

[AAA Server] ダイアログボックス - RADIUS 設定

[AAA Server] ダイアログボックス - TACACS+ 設定

[AAA Server] ダイアログボックス - Kerberos 設定

[AAA Server] ダイアログボックス - LDAP 設定

[AAA Server] ダイアログボックス - NT 設定

[AAA Server] ダイアログボックス - SDI 設定

[AAA Server] ダイアログボックス - HTTP-FORM 設定

[Add LDAP Attribute Map]/[Edit LDAP Attribute Map] ダイアログボックス

[Add LDAP Attribute Map Value]/[Edit LDAP Attribute Map Value] ダイアログボックス

[Add Map Value]/[Edit Map Value] ダイアログボックス

AAA サーバ グループ オブジェクトの作成

[AAA Server Group] ダイアログボックス

アクセス コントロール リスト オブジェクトの作成

拡張アクセス コントロール リスト オブジェクトの作成

標準アクセス コントロール リスト オブジェクトの作成

Web アクセス コントロール リスト オブジェクトの作成

[Add Access List]/[Edit Access List] ダイアログボックス

[Add Extended Access Control Entry]/[Edit Extended Access Control Entry] ダイアログボックス

[Add Standard Access Control Entry]/[Edit Standard Access Control Entry] ダイアログボックス

[Add Web Access Control Entry]/[Edit Web Access Control Entry] ダイアログボックス

時間範囲オブジェクトの設定

[Recurring Ranges] ダイアログボックス

インターフェイス ロール オブジェクトについて

インターフェイス ロール オブジェクトの作成

[Interface Role] ダイアログボックス

ポリシー定義中のインターフェイスの指定

単一のインターフェイス指定が許可されている場合のインターフェイス ロールの使用

インターフェイスとインターフェイス ロール間の名前の競合の処理

マップ オブジェクトについて

ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)

連続および不連続ネットワーク マスク(IPv4 アドレスに対応)

IPv4 または IPv6 ネットワーク/ホスト オブジェクトの作成

[Add Network/Host]/[Edit Network/Host] ダイアログボックス(IPv4 または IPv6)

未指定の IPv4 または IPv6 ネットワーク/ホスト オブジェクトの使用

ポリシー定義中の IP アドレスの指定

ポリシー定義中の IPv6 アドレスの指定

サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定

ポート リスト オブジェクトの設定

サービス オブジェクトの設定

ポリシー オブジェクトがオブジェクト グループとしてプロビジョニングされる方法

ネットワーク/ホスト オブジェクト、ポート リスト オブジェクト、およびサービス オブジェクトがオブジェクト グループとしてプロビジョニングされるときの命名方法

サービス オブジェクトがオブジェクト グループとしてプロビジョニングされる方法

ポリシー オブジェクトの管理

ポリシー オブジェクトを使用すると、要素の論理集合を定義できます。ポリシー オブジェクトは再利用可能な名前付きコンポーネントであり、他のオブジェクトやポリシーで使用できます。オブジェクトを使用すると、ポリシーを定義するたびにそのコンポーネントを定義する必要がなくなるため、ポリシーを定義するときに役立ちます。また、オブジェクトを使用すると、オブジェクトはオブジェクトまたはポリシーの内蔵コンポーネントになります。つまり、特定のオブジェクトの定義を変更すると、そのオブジェクトを参照しているすべてのオブジェクトおよびポリシーにこの変更が反映されます。

オブジェクトは個別に識別でき、また 1 箇所に集めて維持できるため、ネットワーク更新を簡単に行うことができます。たとえば、ネットワーク内のサーバを、MyServers という名前のネットワーク/ホスト オブジェクトとして識別し、これらのサーバで許可するプロトコルをサービス オブジェクトとして識別します。次に、サービス オブジェクトで定義されているサービスのトラフィックを、MyServers ネットワーク/ホスト オブジェクトが送受信することを許可するアクセス規則を作成します。これらのサーバで変更を行う場合は、ネットワーク/ホスト オブジェクトまたはサービス オブジェクトを更新して再展開するだけで済み、サーバを使用している各規則を見つけて編集する必要がなくなります。

オブジェクトはグローバルに定義されます。つまり、オブジェクトの定義は、そのオブジェクトを参照しているすべてのオブジェクトおよびポリシーで同じになります。ただし、多くのオブジェクト タイプ(インターフェイス ロールなど)は、デバイス レベルで上書きできます。したがって、ほとんどのデバイスに対して有効なオブジェクトを作成してから、要件が若干異なる特定のデバイスの設定にあうようにオブジェクトをカスタマイズできます。詳細については、「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

この章は、次の内容で構成されています。

「ポリシーのオブジェクトの選択」

「[Policy Object Manager] ウィンドウ」

「ポリシー オブジェクトの操作:基本手順」

「AAA サーバおよびサーバ グループ オブジェクトについて」

「アクセス コントロール リスト オブジェクトの作成」

「時間範囲オブジェクトの設定」

「インターフェイス ロール オブジェクトについて」

「マップ オブジェクトについて」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」

「ポリシー オブジェクトがオブジェクト グループとしてプロビジョニングされる方法」

ポリシーのオブジェクトの選択

ポリシーを作成するときに、多くの場合、ポリシー定義に含めるオブジェクトを 1 つ以上選択する必要があります。たとえば、ファイアウォール ポリシーでは、ネットワーク/ホスト オブジェクト、インターフェイス ロール オブジェクト、およびサービス オブジェクトが使用されます。

オブジェクトをポリシーに含めるには、オブジェクト名を手動で入力するか、[Select] ボタンをクリックしてオブジェクト セレクタ ダイアログボックスを表示します。オブジェクト セレクタは、設定しているポリシーに適用可能なオブジェクトだけを表示するように、事前にフィルタリングされている場合があります。たとえば、サブネットを必要とするポリシーを設定している場合、オブジェクト セレクタには、単一ホストを表すネットワーク/ホスト オブジェクトではなく、サブネットを表すネットワーク/ホスト オブジェクトだけが表示されます。オブジェクト セレクタにより、特定のポリシーに含めるオブジェクトを簡単に選択できます。

また、オブジェクト セレクタでは、そのタイプのオブジェクトをその場で作成および編集できます。これにより、定義中のポリシーを離れて Policy Object Manager を開かなくても、オブジェクトを簡単に操作できます。たとえば、ダイナミック NAT 規則の作成中に、必要な ACL オブジェクトが存在しないことがわかった場合、[Create] ボタンをクリックして、ACL オブジェクトを作成するためのダイアログボックスを開くことができます。オブジェクトの作成を終了すると、オブジェクト セレクタに戻ります。オブジェクト セレクタでは、新しいオブジェクトが選択され、ポリシーに含めることができるようになっています。既存のオブジェクトを変更してから使用する必要がある場合は、そのオブジェクトを選択し、[Edit] ボタンをクリックして変更し、[OK] をクリックして変更を保存します。これにより、オブジェクト セレクタに戻ります。

セレクタからオブジェクト エディタを開いてオブジェクトを作成する場合、新しいオブジェクトは、セレクタが開かれた元のフィールドの要件に準拠している必要があります。たとえば、ホストを必要とするフィールドからセレクタを開き、そのフィールドのネットワーク/ホスト オブジェクトを作成する場合は、ネットワーク/ホスト オブジェクトをホストとして定義する必要があります。

オブジェクト セレクタには 2 つのタイプがあります。1 つのオブジェクトを選択する必要があるポリシー用の単純リスト セレクタと、特定のタイプの複数のオブジェクトを選択できるポリシー用のデュアル セレクタです。次の表に、これらのセレクタとその使用方法を示します。

 

表 6-1 オブジェクト セレクタ

要素
説明

[Type]

セレクタに表示するオブジェクトのタイプ(オプションがある場合)。次の例を参考にしてください。

一部の規則ベースのポリシーで送信元および宛先を設定する場合、ネットワーク/ホスト オブジェクトまたはインターフェイス ロールを選択できます。

一部の ACL を設定する場合(Catalyst 6500/7600 デバイスで VLAN ACL を設定する場合など)、標準または拡張 ACL オブジェクトを選択できます。

ヒント 一部のポリシーでは、複数のオブジェクト タイプを選択した場合、フィールド内の別のタブに表示されます。

[Available](オブジェクト タイプ)

設定しているポリシーまたはオブジェクトに関連するすべてのオブジェクトが表示されます。

インターフェイスを選択するときは、同じ名前のインターフェイスやインターフェイス ロールが存在する場合があることに注意してください。これらは名前の横に表示されるアイコンで区別できます。詳細については、「ポリシー定義中のインターフェイスの指定」を参照してください。

ヒント リスト ボックスを選択してオブジェクト名の入力を開始することによって、セレクタ内でオブジェクトを迅速に見つけることができます。

[Selected](オブジェクト タイプ)

編集しているポリシーまたはオブジェクトに適用するために選択したオブジェクトが表示されます。

複数オブジェクト セレクタ ボタン

[>>] ボタン

[<<] ボタン

選択したオブジェクトが一方のリストから他方のリスト(示されている方向)に移動します。Ctrl を押しながらクリックすることで、複数のオブジェクトを選択できます。

ダブルクリックするか、選択して Enter を押すことによって、リスト間でオブジェクトを移動することもできます。

上下の矢印ボタン

オブジェクト タイプの数が制限される場合、順序が問題になります。セレクタに [Move Up] および [Move Down] ボタンがある場合は、オブジェクトを優先順に配置します。たとえば、AAA の方式リストを定義する場合、矢印を使用して、さまざまなタイプの AAA サーバ グループが使用される順序を決定します。

共通ボタン

[Create] ボタン

このタイプのオブジェクトを作成するには、このボタンをクリックします。

ヒント ネットワーク/ホスト オブジェクトやサービス オブジェクトなどでは、このボタンをクリックするとリストが表示され、そのリストからオブジェクトの特定のタイプを選択する必要があります。

[Edit] ボタン

選択したユーザ定義オブジェクトを編集するには、このボタンをクリックします。システム定義のオブジェクトを編集しようとした場合は、読み取り専用モードで開かれます。

関連項目

「ポリシー オブジェクトの上書きの許可」

「セレクタ内の項目のフィルタリング」

[Policy Object Manager] ウィンドウ

[Policy Object Manager] ウィンドウは、次の目的に使用します。

使用可能なすべてのオブジェクトをオブジェクト タイプに従ってグループ化して表示します。

ポリシー オブジェクトを作成、コピー、編集、および削除します。

使用状況レポートを生成します。このレポートでは、選択したオブジェクトが他の Security Manager オブジェクトおよびポリシーによってどのように使用されているかが示されます。

ナビゲーション パス

ツールバーの [Policy Object Manager] ボタンをクリックするか、[Manage] > [Policy Objects] を選択します。

関連項目

「ポリシー オブジェクトの作成」

「ポリシーのオブジェクトの選択」

「オブジェクト使用状況レポートの生成」

「オブジェクト オーバーライドの管理」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 6-2 [Policy Object Manager] ウィンドウ

要素
説明

オブジェクト タイプ セレクタまたはコンテンツ テーブル

(左側のペイン)

Security Manager で使用可能なオブジェクト タイプが一覧表示されます。オブジェクト タイプを選択すると、そのタイプの既存のすべてのオブジェクトが右側のペインの表に表示されます。

ポリシー オブジェクト テーブル(右側のペイン)

右側のペインのポリシー オブジェクト テーブルには、コンテンツ テーブルで選択されたタイプの既存のオブジェクトが表示されます。このテーブルを使用して、新しいオブジェクトを作成し、既存のオブジェクトを操作します。テーブルの下にあるボタンを使用するか、テーブル内を右クリックしてその他のコマンドを表示できます(「[Policy Object Manager] ウィンドウのショートカット メニュー」を参照)。

Access Control List(ACL; アクセス コントロール リスト)オブジェクトを除き、オブジェクト タイプごとに 1 つのテーブルがあります。ACL の場合は、拡張 ACL、標準 ACL、および Web ACL を分けるタブがあります。該当するタブを選択して、目的のオブジェクト タイプを操作します。

テーブルのカラムは、選択するオブジェクトのタイプによって異なります。テーブルの見出しを右クリックし、[Show Columns] コマンドのカラムを選択または選択解除することによって、テーブルに表示されるカラムを変更できます。カラム見出しをクリックすることで、カラムのコンテンツによって情報をソートすることもできます。見出しをクリックして、アルファベット順のソートと逆アルファベット順のソートを切り替えます。

テーブルに表示される設定の詳細については、テーブルの下にある [Create] または [Edit] ボタンをクリックし、開かれるダイアログボックスで [Help] をクリックしてください。次に、通常表示されるカラムについて説明します。

アイコン(ラベルのないフィールド)

オブジェクトが表示される場所(規則テーブル内など)では常に、ポリシー オブジェクト タイプに対して表示されるアイコンによって、そのタイプのオブジェクトが識別されます。アイコン内に鉛筆のイメージがある場合は、編集が可能です。

[Name]

ポリシー オブジェクトの名前。

[Content]

オブジェクト定義の概要。定義されているすべての設定が含まれていない場合があります。

[Permit]

ACL オブジェクトの場合、Access Control Entry(ACE; アクセス コントロール エントリ)によってトラフィックが許可されるときに、[Permit] カラムにチェックマークが表示されます。アクションが拒否の場合は、スラッシュの入った赤色の丸が表示されます。

[Category]

オブジェクトに割り当てられているカテゴリ オブジェクト(ある場合)。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。詳細については、「カテゴリ オブジェクトの使用」を参照してください。

[Overridable]

ユーザがデバイス レベルでオブジェクトのプロパティを上書きできるかどうか。チェックマークは、オブジェクトを上書きできることを示します。すべてのオブジェクト タイプを上書きできるわけではありません。

デバイスのオーバーライドの詳細については、「オブジェクト オーバーライドの管理」を参照してください。

[Description]

このカラムに紙のアイコンが表示されている場合、オブジェクトの説明があります。アイコンをダブルクリックして説明を表示するか、アイコン上にマウスを重ねます。

テーブルの下のボタン

 

新しいオブジェクトを作成するには、[New Object] ボタンをクリックします。テーブルに項目を追加するすべてのボタンに、同じアイコンが使用されます。

ヒント ネットワーク/ホスト オブジェクトやサービス オブジェクトなどでは、このボタンをクリックするとリストが表示され、そのリストからオブジェクトの特定のタイプを選択する必要があります。

このボタンをクリックすると、オブジェクトを作成するダイアログボックスが開きます。選択されたオブジェクト タイプについては、ダイアログボックス内の [Help] ボタンをクリックしてください。「ポリシー オブジェクトの作成」も参照してください。

 

選択したオブジェクトを編集するには、[Edit Object] ボタンをクリックします。テーブル内のオブジェクトの編集には、同じアイコンが使用されます。

オブジェクトの編集に使用するダイアログボックスは、オブジェクトの作成に使用するダイアログボックスと同じです。システム定義のデフォルト オブジェクトを編集しようとすると、オブジェクトのコンテンツの表示だけが許可されます。設定については、ダイアログボックス内の [Help] ボタンをクリックしてください。詳細については、「オブジェクトの編集」を参照してください。

 

選択したオブジェクトを削除するには、[Delete Object] ボタンをクリックします。ポリシーまたは別のポリシー オブジェクトで現在使用されていないユーザ定義のオブジェクトだけを削除できます。詳細については、「オブジェクトの削除」を参照してください。

[Policy Object Manager] ウィンドウのショートカット メニュー

「[Policy Object Manager] ウィンドウ」でポリシー オブジェクト テーブル内を右クリックすると、選択したオブジェクト タイプに対してさまざまな機能を実行するためのショートカット メニューが表示されます。

フィールド リファレンス

 

表 6-3 [Policy Object Manager] ウィンドウのショートカット メニュー

メニュー コマンド
説明

[New Object]

新しいポリシー オブジェクトを作成するには、このコマンドを選択します。オブジェクト タイプ固有の情報については、開かれるダイアログボックス内の [Help] をクリックしてください。「ポリシー オブジェクトの作成」も参照してください。

ヒント ネットワーク/ホスト オブジェクトまたはサービス オブジェクトの場合、サブメニューからオブジェクト タイプを選択する必要もあります。

[Edit Object]

テーブルで選択したポリシー オブジェクトを編集するには、このコマンドを選択します。システム定義のデフォルト オブジェクトを選択すると、オブジェクト定義の参照専用の画面が表示されます。詳細については、「オブジェクトの編集」を参照してください。

[Delete Object]

テーブルで選択したポリシー オブジェクトを削除するには、このコマンドを選択します。ポリシーまたは別のポリシー オブジェクトで使用されていないユーザ定義のオブジェクトだけを削除できます。詳細については、「オブジェクトの削除」を参照してください。

[Edit Device Overrides]

「[Policy Object Overrides] ウィンドウ」を使用してこのオブジェクトのデバイスレベルのオーバーライドを変更するには、このコマンドを選択します。オーバーライドを作成、編集、および削除できます。詳細については、「オブジェクト オーバーライドの管理」を参照してください。

[Clone Object]

ポリシー オブジェクトのコピーを作成するには、このコマンドを選択します。詳細については、「オブジェクトのクローニング(複製)」を参照してください。

[Find Usage]

[Object Usage] ダイアログボックスを使用して、選択したオブジェクトの使用状況レポートを生成するには、このコマンドを選択します。使用状況レポートには、オブジェクトが現在使用されている場所が示されます。詳細については、「オブジェクト使用状況レポートの生成」を参照してください。

[View Object]

オブジェクトの編集ダイアログボックスの読み取り専用バージョンを使用してオブジェクトの定義を表示するには、このコマンドを選択します。詳細については、「オブジェクトの詳細の表示」を参照してください。

ポリシー オブジェクトの操作:基本手順

次の項では、ポリシー オブジェクトに対して実行できるアクションについて説明します。一部のタスクは、特定のタイプのオブジェクトに限定されます。たとえば、すべてのタイプのオブジェクトを上書きできるわけではありません。定義済みオブジェクトは編集できません。また、すべてのオブジェクトをインポートまたはエクスポートできるわけではありません。

ここでは、次の内容について説明します。

「ポリシー オブジェクトの作成」

「オブジェクトの編集」

「カテゴリ オブジェクトの使用」

「オブジェクトのクローニング(複製)」

「オブジェクトの詳細の表示」

「オブジェクト使用状況レポートの生成」

「オブジェクトの削除」

「オブジェクト オーバーライドの管理」

「ポリシー オブジェクトのインポートおよびエクスポート」

ポリシー オブジェクトの作成

Security Manager には、ポリシーを定義するために使用できる、さまざまなタイプの定義済みポリシー オブジェクトがあります。また、必要に応じて独自のオブジェクトを作成できます。

次の 2 つの方法のいずれかでオブジェクトを作成できます。

[Policy Object Manager] ウィンドウの使用。このオプションは、特定のポリシーを定義するとき以外に、1 つ以上のオブジェクトを定義する状況に最適です。「[Policy Object Manager] ウィンドウ」を参照してください。

オブジェクト セレクタの使用。オブジェクトを使用するポリシーを定義するときは、オブジェクト セレクタにオブジェクトを作成および編集するためのボタンが表示されるため、定義しているポリシーを離れる必要がありません。ポリシー作成中に、状況に適した特定のオブジェクト タイプが要求され、ポリシーに対して必要な設定をより意識するようになるため、多くの場合これが最適な方法です。「ポリシーのオブジェクトの選択」を参照してください。


ヒント 同じ定義の複数のオブジェクトを作成できるかどうかは、[Security Manager Administration] ウィンドウ([Tools] > [Security Manager Administration] を選択)の [Policy Objects] ページの設定によって異なります。デフォルトでは、既存のオブジェクトの定義と同じ定義のオブジェクトを作成すると、Security Manager から警告が表示されますが、続行できます。詳細については、「[Policy Objects] ページ」を参照してください。

関連項目

「ポリシー オブジェクトの管理」

「ポリシー オブジェクトの操作:基本手順」


ステップ 1 次のいずれかを実行します。

[Manage] > [Policy Objects] を選択して、「[Policy Object Manager] ウィンドウ」を開きます。作成するオブジェクトのタイプをコンテンツ テーブルから選択し、テーブル内を右クリックして、[New Object] を選択します。

規則の設定中に、ポリシー オブジェクトを許可または要求するフィールドの横の [Select] を選択します。オブジェクト セレクタで、使用可能なオブジェクト リストの下にある [Create] ボタンをクリックします。


ヒント ネットワーク/ホスト オブジェクトやサービス オブジェクトなどでは、これらのボタンをクリックするとリストが表示され、そのリストからオブジェクトの特定のタイプを選択する必要があります。


選択したタイプのオブジェクトを追加するためのダイアログボックスが開きます。オブジェクトの個々のタイプの詳細については、次の項を参照してください。

「AAA サーバおよびサーバ グループ オブジェクトについて」

「アクセス コントロール リスト オブジェクトの作成」

「[ASA Group Policies] ダイアログボックス」

「カテゴリ オブジェクトの使用」

「クレデンシャル ポリシー オブジェクトの設定」

「[Add File Object]/[Edit File Object] ダイアログボックス」

「FlexConfig ポリシーとポリシー オブジェクトについて」および「FlexConfig ポリシー オブジェクトの作成」「FlexConfig の管理」

「[IKEv1 Proposal] ポリシー オブジェクトの設定」

「[IKEv2 Proposal] ポリシー オブジェクトの設定」

「インターフェイス ロール オブジェクトについて」

「IPSec IKEv1 または IKEv2 トランスフォーム セット ポリシー オブジェクトの設定」

「[Add LDAP Attribute Map]/[Edit LDAP Attribute Map] ダイアログボックス」

「マップ オブジェクトについて」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「[PKI Enrollment] ダイアログボックス」

「[Add Port Forwarding List]/[Edit Port Forwarding List] ダイアログボックス」

「ポート リスト オブジェクトの設定」

「Cisco Secure Desktop 設定オブジェクトの作成」

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」

「[Add Single Sign On Server]/[Edit Single Sign On Server] ダイアログボックス」

「接続を維持するためのサービス レベル契約(SLA)のモニタリング」

「ASA デバイスおよび IOS デバイスの SSL VPN ブックマーク リストの設定」

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

「[Add SSL VPN Gateway]/[Edit SSL VPN Gateway] ダイアログボックス」

「ASA デバイスの SSL VPN スマート トンネルの設定」

「[Add Text Object]/[Edit Text Object] ダイアログボックス」

「時間範囲オブジェクトの設定」

「トラフィック フロー オブジェクトの設定」

「[Add User Group]/[Edit User Group] ダイアログボックス」

「WINS/NetBIOS Name Service(NBNS)サーバの設定による SSL VPN でのファイル システム アクセスのイネーブル化」

ステップ 2 オブジェクトの名前を入力し、任意でオブジェクトの説明を入力します。

オブジェクト名は、大文字と小文字が区別されず、128 文字に制限されています。オブジェクト名は、文字、数字、またはアンダースコアで始めることができます。オブジェクト名の残りの部分では、文字、数字、特殊文字、およびスペースを混在させることができます。サポートされている特殊文字は、ハイフン(-)、アンダースコア(_)、ピリオド(.)、およびプラス記号(+)です。


) 特定のオブジェクト タイプ(AAA サーバ グループ、ASA ユーザ グループ、マップ、ネットワーク/ホスト オブジェクト、サービス オブジェクト、トラフィック フローなど)には、異なる命名ガイドラインがあります。詳細については、各オブジェクト タイプの作成中にオンライン ヘルプを参照してください。


ステップ 3 オブジェクト タイプ固有の設定を行います。ダイアログボックスについては、オンライン ヘルプ ページを参照してください。

ステップ 4 (任意)[Category] の下で、[Objects] テーブルでこのオブジェクトを識別するために使用するカテゴリを選択します。「カテゴリ オブジェクトの使用」を参照してください。

ステップ 5 (任意)オブジェクト タイプにオプションがある場合は、[Allow Value Override per Device] を選択して、このオブジェクトのプロパティを個々のデバイスで再定義できるようにします。「ポリシー オブジェクトの上書きの許可」を参照してください。

ステップ 6 [OK] をクリックしてオブジェクトを保存します。


 

オブジェクトの編集

必要に応じて、ユーザ定義オブジェクトを編集できます。オブジェクトに対して行った変更は、そのオブジェクトを使用するすべてのポリシー(およびその他のオブジェクト)に反映されます。ただし、デバイスに対してオブジェクトのオーバーライドがすでに定義されている場合、編集はそれらのデバイスで使用されているオブジェクトに反映されません。

ヒント

定義済みオブジェクトは編集できませんが、コピーして新しいオブジェクトを作成できます。「オブジェクトのクローニング(複製)」を参照してください。

[Edit] ダイアログボックスの一番上に、次の状況を示すメッセージが表示されます。

オブジェクトへの読み取り専用アクセスができます。これらのオブジェクトへの変更を保存できません。

「ポリシーまたはデバイスのインポート」で説明する手順を使用して、ポリシー オブジェクトがインポートされました。インポートされたオブジェクトを使用する共有ポリシーが異なるサーバで管理されている場合、そのオブジェクトは今後、再度インポートされる可能性があります。ポリシー オブジェクトに加えた変更は、ポリシー オブジェクトが再度インポートされた場合には削除されます。オブジェクトを編集する前に、ポリシー管理およびインポート用に組織で使用されているプロトコルを確実に理解してください。[Tools] > [Security Manager Administration] > [Policy Management] ページのオプションを使用して、このメッセージを表示するかどうかを制御できます(「[Policy Management] ページ」を参照)。

このオブジェクト タイプを使用するポリシーまたはオブジェクトを定義するときに、オブジェクトを編集することもできます。詳細については、「ポリシーのオブジェクトの選択」を参照してください。

はじめる前に

オブジェクトが使用されているかどうか、および変更の影響を受けるポリシー、オブジェクト、デバイスを判別します。このために使用状況レポートを生成できます。「オブジェクト使用状況レポートの生成」を参照してください。

関連項目

「ポリシー オブジェクトの作成」


ステップ 1 [Manage] > [Policy Objects] を選択して、「[Policy Object Manager] ウィンドウ」を開きます。

ステップ 2 コンテンツ テーブルからオブジェクト タイプを選択します。

ステップ 3 編集するオブジェクトを右クリックし、[Edit Object] を選択します。

ステップ 4 必要に応じて、そのオブジェクト タイプの [Edit] ダイアログボックスでフィールドを変更し、[OK] をクリックして変更を保存します。オブジェクト タイプ固有の情報については、[Help] ボタンをクリックしてください。


 

カテゴリ オブジェクトの使用

カテゴリは、オブジェクトに関する中間レベルの詳細を示します。カテゴリをオブジェクトに割り当てることによって、カテゴリの名前および色を確認して、規則テーブル内の規則およびオブジェクトを簡単に識別できます。規則を作成するときに、規則またはオブジェクトにカテゴリを割り当てることができます。または、カテゴリ情報が含まれるように規則またはオブジェクトをあとで編集できます。カテゴリ割り当てに対してデバイス コンフィギュレーション コマンドは生成されません。

ポリシー オブジェクトにカテゴリを割り当てることの利点は、次のとおりです。

分類されたオブジェクトを使用して規則テーブルを表示すると、可視性が向上します。

カテゴリに基づいて規則テーブル内でオブジェクトをフィルタリングでき、規則を保守しやすくなります。

たとえば、ネットワーク/ホスト オブジェクトを作成し、管理のためにその使用を追跡する場合があります。このネットワーク/ホスト オブジェクトを定義するときに、カテゴリに関連付けます。アクセス規則テーブルを表示すると、このネットワーク/ホスト オブジェクトを使用している規則を簡単に識別できます。テーブルをフィルタリングして、カテゴリに関連付けられている項目だけを表示することもできます。

Security Manager には、定義済みのカテゴリのセットがあります。色は変更できませんが、名前および説明を変更できます。次の手順では、名前および説明を変更する方法について説明します。


ステップ 1 [Manage] > [Policy Objects] を選択して [Policy Object Manager] を開きます(「[Policy Object Manager] ウィンドウ」を参照)。

ステップ 2 オブジェクト タイプ セレクタから [Categories] を選択します。

ステップ 3 [Edit Object] をクリックして、[Category Editor] ダイアログボックスを開きます。

ステップ 4 必要に応じて、定義済みのカテゴリ オブジェクトの名前および説明を変更します。

[Label]:カテゴリに関連付けられている色。

[Name]:カテゴリ名。名前は最大 128 文字で、特殊文字とスペースを使用できます。

[Description]:オブジェクトに関する追加情報(最大 1024 文字)。

ステップ 5 [OK] をクリックして変更を保存します。


 

オブジェクトのクローニング(複製)

ポリシー オブジェクトを最初から作成する代わりに、既存のオブジェクトのクローン作成または複製ができます。新しいオブジェクトには、コピー元のオブジェクトの属性がすべて含まれます。必要に応じて、名前およびすべての属性を変更できます。

クローニングは、編集できない定義済みオブジェクトに基づいたオブジェクトの作成に役立ちます。

関連項目

「ポリシー オブジェクトの操作:基本手順」


ステップ 1 [Manage] > [Policy Objects] を選択して、「[Policy Object Manager] ウィンドウ」を開きます。

ステップ 2 コンテンツ テーブルからオブジェクト タイプを選択します。

ステップ 3 複製するオブジェクトを右クリックし、[Clone Object] を選択します。

そのオブジェクト タイプのダイアログボックスが表示されます。[Name] フィールドには、新しいオブジェクトのデフォルト名(Copy of コピー元オブジェクトの名前 )が入ります。残りのフィールドには、コピー元オブジェクトと同じ値が入ります。

ステップ 4 必要に応じて、新しいオブジェクトの名前およびその設定を変更します。そのオブジェクト タイプ固有の情報については、[Help] ボタンをクリックしてください。

ステップ 5 [OK] をクリックして変更を保存します。


 

オブジェクトの詳細の表示

オブジェクトが別のアクティビティによってロックされている場合でも、オブジェクトのコンテンツを読み取り専用モードで表示できます。これは、[Policy Object Manager] ウィンドウでは定義を完全には表示できない複雑なオブジェクトの設定の詳細を完全に表示する必要がある場合、またはユーザ権限によってオブジェクト情報の表示だけが許可されている場合に役立ちます。

関連項目

「ポリシー オブジェクトの操作:基本手順」


ステップ 1 [Manage] > [Policy Objects] を選択して、「[Policy Object Manager] ウィンドウ」を開きます。

ステップ 2 コンテンツ テーブルからオブジェクト タイプを選択します。

ステップ 3 オブジェクトを右クリックし、[View Object] を選択します。

そのオブジェクトのダイアログボックスが読み取り専用モードで表示されます。


 

オブジェクト使用状況レポートの生成

ポリシー オブジェクトを変更する前に、そのオブジェクトが使用されているかどうかを判別する必要があります。これを実行するには、選択したオブジェクトが使用されているために、そのオブジェクトに対する変更の影響を受けるポリシー、オブジェクト、およびデバイスを示す使用状況レポートを生成します。使用状況レポートには、現在のアクティビティで選択したオブジェクトへの参照、およびデータベースにコミットされたデータで見つかった参照が含まれています。

次の方式のいずれかを使用して、使用状況レポートを生成できます。

Policy Object Manager:[Manage] > [Policy Objects] を選択して、「[Policy Object Manager] ウィンドウ」を開きます。オブジェクトのタイプをコンテンツ テーブルから選択し、オブジェクトを右クリックして、[Find Usage] を選択します。

ファイアウォール規則ポリシー:ファイアウォール規則テーブルでオブジェクトをクリックし、右クリックして、[Find Usage] を選択します。

使用状況情報が [Object Usage] ダイアログボックスに表示されます。テーブルの下にあるチェックボックスを選択または選択解除して、選択したオブジェクトが使用されているデバイス、ポリシー、またはその他のオブジェクトだけを表示できます。次の表に、ダイアログボックスのフィールドを示します。

 

表 6-4 [Object Usage] ダイアログボックス

要素
説明

[Used By]

選択したオブジェクトを参照しているデバイス、ポリシー、VPN、またはオブジェクトの名前。

[Type]

選択したオブジェクトを参照している項目のタイプ。これは、デバイス、ポリシー、または別のオブジェクトです。

[Usage]

オブジェクトがどのように参照されているかが示されます。たとえば、選択したオブジェクトがデバイスによって参照されている場合、このカラムには、オブジェクトを参照しているのはデバイスに割り当てられたポリシーであることが示されます。

[Proximity]

選択したオブジェクトとそれを使用している項目との関係が示されます。次の例を参考にしてください。

定義内にネットワーク/ホスト オブジェクトが含まれているポリシーは、そのオブジェクトと 直接的 な関係を持ち、オブジェクトに含まれる他のネットワーク/ホスト オブジェクトと 間接的 な関係を持ちます。

このポリシーが割り当てられているデバイスは、ネットワーク/ホスト オブジェクトを 直接的 に参照し、オブジェクトに含まれる他のネットワーク/ホスト オブジェクトを 間接的 に参照します。

[Devices]

[Policies]

[Other Objects]

表示する参照のタイプ。たとえば、他のオブジェクトからのオブジェクトの参照だけを表示するには、[Devices] および [Policies] を選択解除できます。

オブジェクトの削除

ユーザ定義のオブジェクトは、ポリシーまたは他のオブジェクトで使用されていない場合にだけ削除できます。定義済みのオブジェクトは削除できません。デバイスレベルのオーバーライドが定義されているオブジェクトを削除すると、オーバーライドもすべて削除されます。


ヒント 使用されていないオブジェクトをデータベースから削除できない場合があります。たとえば、オブジェクトを使用していたローカル ポリシーを、オブジェクトを使用しない共有ポリシーと置き換える場合などです。オブジェクトの削除が失敗する場合は、保留中の変更をすべて送信または廃棄してから(Workflow モードで、保留中のアクティビティをすべて送信または廃棄)、オブジェクトの削除を再試行します。または、データベース内の使用されていないオブジェクトはポリシーに影響しないため、そのままにしておくことができます。

はじめる前に

オブジェクトが現在使用されているかどうか、および削除の影響を受けるポリシー、オブジェクト、デバイスを判別します。オブジェクトを削除する前に、オブジェクトへの参照をすべて削除する必要があります。このために使用状況レポートを生成できます。「オブジェクト使用状況レポートの生成」を参照してください。


ステップ 1 [Manage] > [Policy Objects] を選択して、「[Policy Object Manager] ウィンドウ」を開きます。

ステップ 2 コンテンツ テーブルからオブジェクト タイプを選択します。

ステップ 3 削除するオブジェクトを右クリックして [Delete Object] を選択するか、オブジェクトを選択して [Delete Object] ボタンをクリックします。削除の確認が求められます。


 

オブジェクト オーバーライドの管理

ポリシー オブジェクトを作成するときに、オブジェクトの上書きを許可できます。これにより、一般的なポリシーの作成を可能にする汎用オブジェクトを作成できるようになります。個々のデバイスで、ポリシー オブジェクト定義を上書きして、ポリシーがデバイスに適切に適用されるようにします。

「[Policy Object Manager] ウィンドウ」から、上書き可能なポリシー オブジェクトを選択し、そのグローバル オブジェクトに対して定義するデバイスレベルのオーバーライド テーブルを生成できます。オブジェクトを右クリックし、[Edit Device Overrides] を選択してテーブルを生成します(「[Policy Object Overrides] ウィンドウ」を参照)。

デバイスレベルのオーバーライドは、次の 2 つの場所で作成できます。

選択したデバイスの [Device Properties] ウィンドウ。選択したデバイスだけのオーバーライドを作成および管理できます。詳細については、「単一デバイスのオブジェクト オーバーライドの作成または編集」を参照してください。

[Policy Object Manager] ウィンドウ。複数のデバイスのオーバーライドを一度に作成および管理できます。詳細については、「複数デバイスのオブジェクト オーバーライドの一括での作成または編集」を参照してください。


ヒント デバイス レベルでオブジェクト定義を上書きすると、あとからグローバル レベルでポリシー定義を変更しても、オブジェクトが上書きされたデバイスには影響しません。

次の項では、ポリシー オブジェクト オーバーライドについてより詳細に説明します。

「個々のデバイスのポリシー オブジェクト オーバーライドについて」

「ポリシー オブジェクトの上書きの許可」

「単一デバイスのオブジェクト オーバーライドの作成または編集」

「複数デバイスのオブジェクト オーバーライドの一括での作成または編集」

「デバイスレベルのオブジェクト オーバーライドの削除」

個々のデバイスのポリシー オブジェクト オーバーライドについて

多くのタイプのポリシー オブジェクトでは、特定のデバイスについてオブジェクトの上書きを許可できます。そのため、ほとんどのデバイスに定義を適用できるオブジェクトを作成し、若干異なる定義を必要とする少数のデバイスについてオブジェクトを変更することが可能です。または、上書きが必要なオブジェクトをすべてのデバイスに対して作成することもできます。これにより、すべてのデバイスに対してポリシーを 1 つ作成できます。オブジェクト オーバーライドでは、デバイス全体で使用する共有ポリシーの小さなセットを作成し、個々のデバイスに対して必要に応じてポリシーを変更することが可能です。

たとえば、社内のさまざまな部門への ICMP トラフィックを拒否する場合があります。それぞれの部門は、異なるネットワークに接続されています。これを実行するには、Departmental Network という名前のネットワーク/ホスト オブジェクトを含む規則を使用して、アクセス規則ファイアウォール ポリシーを定義します。このオブジェクトのデバイス オーバーライドを許可することによって、関連する各デバイスで、デバイスが接続されている実際のネットワークを指定するオーバーライドを作成できます。

デバイスレベルのオブジェクト オーバーライドは、VPN ポリシーの定義にグローバル オブジェクトが含まれている場合に特に重要です。VPN ポリシーは VPN トポロジ内のすべてのデバイスに適用されます。たとえば、サイト間 VPN で PKI ポリシーを定義するときに、PKI 登録オブジェクトを選択します。VPN のハブでスポークとは異なる CA サーバが使用されている場合は、デバイスレベルのオーバーライドを使用して、ハブで使用されている CA サーバを指定する必要があります。PKI ポリシーは 1 つの PKI 登録オブジェクトを参照しますが、このオブジェクトによって表される実際の CA サーバは、定義するデバイスレベルのオーバーライドに基づいて、ハブごとに異なります。

オブジェクトが上書き可能かどうかは、「[Policy Object Manager] ウィンドウ」のオブジェクト テーブルの [Overridable] カラムですぐに確認できます。緑色のチェックマークは、オブジェクトに対してオーバーライドを作成できることを示します。カラムが存在することは、オブジェクト タイプでオーバーライドが許可されていることを示します。

関連項目

「ポリシー オブジェクトの上書きの許可」

「単一デバイスのオブジェクト オーバーライドの作成または編集」

「複数デバイスのオブジェクト オーバーライドの一括での作成または編集」

「デバイスレベルのオブジェクト オーバーライドの削除」

ポリシー オブジェクトの上書きの許可

オブジェクトのオーバーライドを作成するには、オブジェクトでオーバーライドが許可されている必要があります。すべてのオブジェクト タイプでオーバーライドが許可されているわけではありません。

オーバーライドを許可する場合、オブジェクトを定義するときに [Allow Value Override per Device] を選択して、オーバーライド許可としてオブジェクトを定義します。このオプションを選択したあと、オーバーライドを定義する前に、[OK] をクリックしてオブジェクトを保存する必要があります。オブジェクトの作成の詳細については、「ポリシー オブジェクトの作成」を参照してください。

インベントリに追加するデバイスでポリシーを検出するときに、既存のオブジェクトに対してデバイスレベルのオーバーライドを作成するように Security Manager を設定することもできます。検出中に、検出されたポリシーに既存のオブジェクトが該当するが、完全には適合しないと Security Manager が判断した場合、オブジェクトは使用されますが、差異を表すためにデバイスレベルのオーバーライドが作成されます。たとえば、Security Manager で、ACL ポリシー オブジェクトと同じ名前の ACL を持つデバイスでポリシー検出を実行すると、検出されたポリシー オブジェクトの名前が再利用されますが、オブジェクトに対してデバイスレベルのオーバーライドが作成されます。検出中にデバイスレベルのオーバーライドを許可しない場合、名前に番号が付加されて新しいポリシー オブジェクトが作成されます。これがデフォルトです。

検出中にデバイスのオーバーライドを許可するように Security Manager を設定するには、[Tools] > [Security Manager Administration] > [Discovery] を選択し、[Allow Device Override for Discovered Policy Objects] を選択します。

関連項目

「個々のデバイスのポリシー オブジェクト オーバーライドについて」

「単一デバイスのオブジェクト オーバーライドの作成または編集」

「複数デバイスのオブジェクト オーバーライドの一括での作成または編集」

「デバイスレベルのオブジェクト オーバーライドの削除」

単一デバイスのオブジェクト オーバーライドの作成または編集

[Device Properties] ウィンドウから、デバイスレベルのオブジェクト オーバーライドを作成または編集できます。

オーバーライドによって、選択したデバイスだけに影響するグローバル オブジェクトの定義が指定されます。たとえば、あるデバイスについて、他のデバイスとは異なる AAA サーバ グループを表すように、AAA サーバ グループ オブジェクトの定義を上書きできます。

関連項目

「個々のデバイスのポリシー オブジェクト オーバーライドについて」

「ポリシー オブジェクトの上書きの許可」

「複数デバイスのオブジェクト オーバーライドの一括での作成または編集」

「デバイスレベルのオブジェクト オーバーライドの削除」


ステップ 1 (デバイス ビュー)デバイス セレクタでデバイスを右クリックして、[Device Properties] を選択します。

ステップ 2 上書きするオブジェクト タイプを [Policy Object Overrides] フォルダから選択します。

デバイス レベルで上書き可能な、選択したタイプのすべてのオブジェクトがテーブルに表示されます。オブジェクトにデバイスに対するオーバーライドがすでに定義されている場合、[Value Overridden?] カラムにチェックマークが付けられます。

ステップ 3 オーバーライドを変更するオブジェクトを選択し、次のいずれかを実行します。

[Create Override] ボタンをクリックするか、右クリックして [Create Override] を選択します。

[Edit Override] ボタンをクリックするか、右クリックして [Edit Override] を選択します。

そのタイプのオブジェクトを定義するためのダイアログボックスが表示され、現在のプロパティ(グローバル プロパティまたはローカル オーバーライド)が示されます。

ステップ 4 オブジェクトの定義を変更し、[OK] をクリックして、デバイスレベルのオーバーライドを保存します。[Device Properties] ウィンドウで、[Value Overridden?] カラムに緑色のチェック マークが表示されます。


 

複数デバイスのオブジェクト オーバーライドの一括での作成または編集

[Policy Object Manager] ウィンドウから、デバイスレベルのオブジェクト オーバーライドを作成または編集できます。

この方式では、複数のデバイスに対してオブジェクト オーバーライドを同時に作成できます。同じ VPN トポロジに参加している複数のデバイスのオーバーライドを作成するときに特に役立ちます。たとえば、VPN のある部分に配置されたスポークが、VPN の別の部分に配置されたスポークとは異なる CA サーバを使用する場合、これらのデバイスのサーバを定義する PKI 登録オブジェクトを上書きできます。これは、デバイス ビューから各デバイスを個別に選択し、[Device Properties] ウィンドウでオーバーライドを定義するよりも便利な方式です。

関連項目

「個々のデバイスのポリシー オブジェクト オーバーライドについて」

「ポリシー オブジェクトの上書きの許可」

「単一デバイスのオブジェクト オーバーライドの作成または編集」

「デバイスレベルのオブジェクト オーバーライドの削除」


ステップ 1 [Manage] > [Policy Objects] を選択して、「[Policy Object Manager] ウィンドウ」を開きます。

ステップ 2 上書きするオブジェクト タイプをコンテンツ テーブルから選択し、上書きするオブジェクトを選択します。


ヒント すべてのオブジェクト タイプでオーバーライドが許可されているわけではなく、すべてのオブジェクトが上書き可能として定義されているわけではありません。[Overridable] カラムの緑色のチェックマークを確認してください。オブジェクト タイプでオーバーライドが許可されているが、このオブジェクトにチェックマークがない場合は、オブジェクトのオーバーライドを許可するようにオブジェクトを編集します(「ポリシー オブジェクトの上書きの許可」を参照)。


ステップ 3 チェックマークをダブルクリックするか、オブジェクトを右クリックして [Edit Device Overrides] を選択し、「[Policy Object Overrides] ウィンドウ」を開きます。このウィンドウには、オブジェクトに対してオーバーライドが定義されている各デバイスを一覧表示するテーブルがあります。


ヒント 上書き可能なオブジェクトを編集し、[Overrides] フィールドの横の [Edit] をクリックすることもできます。


ステップ 4 次のいずれかを実行します。

オーバーライドを追加するには、[Create Override] ボタンをクリックし、オーバーライドを適用するデバイスを選択して、オーバーライドを定義します。

オーバーライドを作成および編集するためのダイアログボックスは、オブジェクトの作成に使用されるものと同じです。[Help] ボタンをクリックすると、オブジェクトのタイプに関する情報が表示されます。

作成したオーバーライドは、オブジェクトを使用するデバイス上のすべてのポリシーに適用されます。あるポリシーについてオブジェクトをオーバーライドし、別のポリシーについてはオーバーライドしない、という処理は不可能です。

オーバーライドを編集するには、オーバーライドを選択し、[Edit Override] ボタンをクリックします。


 

[Policy Object Overrides] ウィンドウ

[Policy Object Overrides] ウィンドウを使用して、選択したオブジェクトに対して定義されているすべてのデバイスレベルのオーバーライドのリストを表示します。テーブルに表示されるコンテンツはオブジェクトのタイプによって異なりますが、デバイス名、デバイスの説明、およびカテゴリは常に含まれます。オーバーライドなどのオブジェクトのコンテンツが表示される場合もあります。

オーバーライドを追加するには、[Create Override] ボタンをクリックします。[Create Overrides for Device] ウィンドウで、使用可能リストからデバイスを選択し、[>>] をクリックして選択済みリストに移動します。[OK] をクリックすると、オーバーライドを定義するためのダイアログボックスが表示されます。オーバーライドは新しく選択したすべてのデバイスに適用されます(グレーになっているデバイスのオーバーライドは変更されません)。


) 使用可能なデバイスのリストには、オブジェクトに対してオーバーライドがまだ定義されていないデバイスが表示されます。オーバーライドを持つデバイスは、選択済みのデバイスのリストにグレーで表示されます。


オーバーライドを作成および編集するためのダイアログボックスは、オブジェクトの作成に使用されるものと同じです。[Help] ボタンをクリックすると、オブジェクトのタイプに関する情報が表示されます。

作成したオーバーライドは、オブジェクトを使用するデバイス上のすべてのポリシーに適用されます。あるポリシーについてオブジェクトをオーバーライドし、別のポリシーについてはオーバーライドしない、という処理は不可能です。

オーバーライドを編集するには、オーバーライドを選択し、[Edit Override] ボタンをクリックします。

オーバーライドを削除するには、オーバーライドを選択し、[Delete Override] ボタンをクリックします。

オーバーライドの削除によって、オブジェクトの削除またはデバイス割り当てからのオブジェクトの削除は行われません。オーバーライドを削除すると、オブジェクトを使用するデバイスのポリシーでは、オブジェクトのグローバル定義の使用が開始されます。これにより、ポリシーの意味が変わります。


ヒント 選択したデバイスの [Device Properties] ウィンドウから、デバイスレベルのオーバーライドを作成および編集することもできます。[Device Properties] ウィンドウを使用すると、単一デバイスによって使用されているすべてのオブジェクトのオーバーライドの管理が簡単になります。詳細については、「単一デバイスのオブジェクト オーバーライドの作成または編集」を参照してください。

ナビゲーション パス

「[Policy Object Manager] ウィンドウ」を開きます。上書き可能なオブジェクト タイプ(オブジェクト ページに [Overridable] というカラムがある)を選択し、次のいずれかを実行します。

[Overridable] カラムの緑色のチェックマークをダブルクリックします。

オブジェクトを右クリックし、[Edit Device Overrides] を選択します。

上書き可能なオブジェクトを編集し、[Overrides] フィールドの横の [Edit] をクリックします。

関連項目

「個々のデバイスのポリシー オブジェクト オーバーライドについて」

「ポリシー オブジェクトの上書きの許可」

「複数デバイスのオブジェクト オーバーライドの一括での作成または編集」

「デバイスレベルのオブジェクト オーバーライドの削除」

「テーブルのフィルタリング」

「セレクタ内の項目のフィルタリング」

デバイスレベルのオブジェクト オーバーライドの削除

デバイスレベルのオブジェクト オーバーライドを削除すると、オブジェクトのグローバル定義が、選択したデバイスに復元されます。オーバーライドは、[Device Properties] ウィンドウまたは [Policy Object Manager] ウィンドウから削除できます。

デバイス ビューからのオーバーライドの削除:デバイスを右クリックし、[Device Properties] を選択し、[Policy Object Overrides] フォルダからオブジェクト タイプを選択します。削除するオーバーライドを選択し、[Delete Override] をクリックします。

Policy Object Manager からのオーバーライドの削除:コンテンツ テーブルからオブジェクト タイプを選択し、オブジェクトを右クリックして [Edit Device Overrides] を選択します。削除するオーバーライドを選択し、[Delete Override] をクリックします。

関連項目

「個々のデバイスのポリシー オブジェクト オーバーライドについて」

「ポリシー オブジェクトの上書きの許可」

「ポリシー オブジェクト オーバーライドのページ」

「[Policy Object Overrides] ウィンドウ」

ポリシー オブジェクトのインポートおよびエクスポート

Security Manager には Perl スクリプトが含まれており、このスクリプトを使用して、ネットワーク/ホスト オブジェクト、サービス オブジェクト、およびポート リスト ポリシー オブジェクトを別の Security Manager サーバにインポートできるように、エクスポートできます。この情報には、ポリシー オブジェクトのデバイスレベルのオーバーライドが含まれています。


) コマンドは、IPv4 アドレスのみを含むネットワーク/ホスト オブジェクトで機能します。コマンドを使用して、ネットワーク/ホスト IPv6 オブジェクトをインポートすることはできません。


インポート可能な CSV ファイルを手動で作成することもできます。たとえば、ネットワークへのエントリを拒否するネットワークまたはホストを識別する IP アドレスのリストを取得できます。Policy Object Manager でオブジェクトを手動で作成するよりも簡単な場合は、リストを 1 つ以上のネットワーク/ホスト オブジェクトとしてバルクロードする CSV ファイルを作成できます。


ヒント このコマンドを使用する以外に、他の機能を使用して、共有ポリシーに割り当てられたポリシー オブジェクトまたはローカル デバイス ポリシーで設定されたポリシー オブジェクトをエクスポートおよびインポートできます。詳細については、「Security Manager クライアントからのデバイス インベントリのエクスポート」「共有ポリシーのエクスポート」および「ポリシーまたはデバイスのインポート」を参照してください。

Perl コマンドは $NMSROOT¥bin(通常は C:¥Program Files¥CSCSpx¥bin)にあります。コマンドの構文は次のとおりです。

perl [ path ] PolicyObjectImportExport.pl -u username -p password -o {import | export} [ -a activity ] -t object_type -f filename [ -c {true | false} ] [ -d {true | false} ] [ -h ]

構文

perl [ path ] PolicyObjectImportExport.pl

Perl スクリプト コマンド。システム パス変数内に PolicyObjectImportExport.pl ファイルへのパスが定義されていない場合は、そのパスを追加します。

-u username

Security Manager のユーザ名。エクスポートされるデータは、このユーザに割り当てられた権限によって制限されます。ポリシー オブジェクトのインポートまたはエクスポートには、ユーザに Modify Objects 権限が必要であり、デバイスレベルのオーバーライドのインポートまたはエクスポートには、さらに Modify Devices 権限が必要です。

Workflow 以外のモードでオブジェクトをインポートする場合は、Submit および Approve 権限も必要です。

-p password

ユーザのパスワード。

-o {import | export}

実行する操作のタイプ。ポリシー オブジェクトを既存のファイルからインポートするか、ポリシー オブジェクトを CSV ファイルにエクスポートするかです。コミットされたオブジェクトだけがエクスポートされます。

-a activity

(任意)Workflow アクティビティの名前。名前を指定しない場合、新しいアクティビティは username_time という名前で作成されます。

-t object_type

オブジェクト タイプ。次のいずれかです。

network:ネットワーク/ホスト オブジェクトの場合。

service:サービス オブジェクトの場合。

portlist:ポート リスト オブジェクトの場合。

-f filename

CSV ファイルの名前。エクスポート時にファイルが存在する場合は、上書きされます。

-c {true | false}

(任意)オブジェクトをインポートするときに、ポリシー オブジェクトの競合検出をイネーブルにするかどうか。

false:既存のオブジェクトに同じコンテンツがある場合でも、オブジェクトはインポートされます。

true:インポートされるオブジェクトと同じコンテンツが既存のオブジェクトにある場合、インポートされるオブジェクトはスキップされます。「[Policy Objects] ページ」の [When Redundant Objects Detected] オプションで、[Enforce] を選択する必要もあります。

-d {true | false}

(任意)インポートまたはエクスポート操作中にデバイスレベルのポリシー オブジェクト オーバーライドを処理する方法。

true:グローバルに定義されたすべてのオブジェクトおよびオブジェクトのデバイスレベルのすべてのオーバーライドを含めます。

false:ポリシー オブジェクトのグローバル定義だけを含めます。デバイスレベルのポリシー オブジェクト オーバーライド情報は含めません。これがデフォルトです。

-h

(任意)コマンドラインのヘルプを表示します。このオプションを指定すると、他のすべてのオプションは無視されます。

ポリシー オブジェクトのインポート

オブジェクトをインポートするときに、オブジェクトが別のオブジェクトを参照している場合は、そのオブジェクトが Security Manager ですでに定義されている必要があります。または、インポートする同じ CSV ファイル内で定義されている必要があります。そのオブジェクトが同じ CSV ファイル内にある場合は、それを参照するオブジェクトよりも前にある必要があります(Security Manager では、オブジェクトはエクスポート時に必要に応じて自動的にソートされます)。

インポートするポリシー オブジェクトと同じ名前のポリシー オブジェクトが Security Manager 内にすでに存在する場合、オブジェクトはスキップされてインポートされません。名前の競合は、別のユーザがオブジェクトを作成したが、まだ公開用にコミットしていない場合にも発生する可能性があります。そのため、競合しているオブジェクトを参照できない場合があります。Security Manager では、新しいオブジェクトだけが作成され、既存のオブジェクトは更新されません。-c オプションを使用して、既存のオブジェクトと同じコンテンツの新しいオブジェクトを作成できるかどうかを指定します。

コマンドを実行したときに、ファイル内にエラーがあると、影響を受けるオブジェクトだけがインポートされません。これらの問題は発生時にエラー メッセージによって示され、Security Manager ではファイル内のすべてのレコードの評価が続行されます。正しく定義されたすべてのポリシー オブジェクトはインポートされ、エラーがあるオブジェクトはスキップされます。インポートされなかったポリシー オブジェクトの合計数と名前が出力画面に表示されます。

インポート コマンドの完了後、追加のアクションは、使用している Workflow モードによって異なります。

Workflow モード:同じユーザ名とパスワードを使用して Security Manager にログインし、インポート中に指定したアクティビティを送信する必要があります。変更を有効にするには、アクティビティが送信されて承認される必要があります。

Workflow 以外のモード:インポートされたオブジェクトは自動的に送信されて承認されます。アクションは必要ありません。ただし、入力したユーザ名に Submit および Approve 権限がない場合はエラーが表示され、インポート操作は失敗します。

CSV ファイル形式

1 つのファイル内のすべてのオブジェクトは、同じポリシー オブジェクト タイプになります。ファイルは、標準的な Comma-Separated Values(CSV; カンマ区切り値)形式です。最初の行はカラムの見出しです。各行は、1 つのポリシー オブジェクトを表します。カラムは、左から右へという順で、次のとおりです。

[Name]:(必須)オブジェクトの名前。

[Node]:ポリシー オブジェクトのオーバーライドが定義されているデバイスの表示名。ポリシー オブジェクトがグローバル レベルで定義されている場合、このフィールドは空です。オブジェクトをインポートするときに、表示名が Security Manager インベントリにすでにあるデバイスと一致しない場合、オブジェクトはスキップされてインポートされません。

[Description]:オブジェクトの説明(ある場合)。

[Category]:オブジェクトのカテゴリ ID(ある場合)。カテゴリ ID は 10 ~ 19 です。

[Allow Override]:オブジェクトが上書き可能かどうか。ポリシー オブジェクトがデバイス レベルで上書き可能な場合は True。上書き不可の場合は False(または空のフィールド)。

[Group]:このポリシー オブジェクトによって参照される、同じタイプの他のポリシー オブジェクトの名前。複数のオブジェクトがある場合は、カンマで区切られます。たとえば、ネットワーク構築ブロック Net1 がネットワーク構築ブロック Net2 および Net3 を参照しています。Net1 の [Group] フィールドの値は、"Net2,Net3" になります。

[Data]:オブジェクトのコンテンツ。

[Subtype]:ネットワーク/ホスト オブジェクトおよびサービス オブジェクトのオブジェクト サブタイプ(ある場合)。ネットワーク/ホスト オブジェクト タイプおよびサービス オブジェクト タイプの説明については、「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」および「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。値は次のとおりです。

ブランク(スペース):オブジェクトはグループ オブジェクト(ネットワーク/ホストまたはサービス)です。

NH:(ネットワーク/ホスト オブジェクトだけ)単一ホスト ネットワーク/ホスト オブジェクト。

NN:(ネットワーク/ホスト オブジェクトだけ)単一ネットワーク アドレス ネットワーク/ホスト オブジェクト。

NR:(ネットワーク/ホスト オブジェクトだけ)単一アドレス範囲ネットワーク/ホスト オブジェクト。

SO:(サービス オブジェクトだけ)単一サービス サービス オブジェクト。

特定のフィールドに値がない場合、そのフィールドは出力でブランクになります。フィールドに複数の値がある場合、フィールドは二重引用符で囲まれます。

AAA サーバおよびサーバ グループ オブジェクトについて

AAA サーバ オブジェクトを使用して、ネットワーク内で使用される AAA サーバを識別します。AAA によって、デバイスでは次に示すように、ユーザがだれか(認証)、ユーザが何を許可されているか(認可)、ユーザが実際に何をしたか(アカウンティング)を判別できます。

認証:認証とは、ネットワークおよびネットワーク サービスへのアクセスを許可される前に、ユーザが認証される方法です。有効なユーザ クレデンシャル(通常は、ユーザ名とパスワード)を要求することで、アクセスが制御されます。すべての認証方式(ローカル認証、回線パスワード認証、およびイネーブル認証を除く)は、AAA を使用して定義する必要があります。認証は、単独で使用するか、認可およびアカウンティングとともに使用することができます。

認可:認証の完了後、認可によって、認証済みの各ユーザが使用できるサービスおよびコマンドが制御されます。認可は、ユーザが実行を認可されていることを示す属性のセットをアセンブルすることによって機能します。これらの属性は、データベースに含まれている特定のユーザの情報と比較され、結果は、ユーザの実際の機能と制約を決定するために AAA に返されます。データベースは、アクセス サーバまたはルータにローカルに配置するか、RADIUS または TACACS+ セキュリティ サーバでリモートでホスティングできます。認可を使用しない場合は、認証が単独で、認証済みのすべてのユーザに対してサービスへの同じアクセスを提供します。認可は認証とともに使用する必要があります。

アカウンティング:アカウンティングは、ユーザがアクセスしているサービス、およびユーザが消費しているネットワーク リソース量を追跡するために使用されます。AAA アカウンティングをアクティブにすると、ネットワーク アクセス サーバによって、ユーザ アクティビティがアカウンティング レコードの形式で RADIUS または TACACS+ セキュリティ サーバ(実装したセキュリティ方式によって異なる)にレポートされます。アカウンティング情報には、セッションの開始時刻と停止時刻、ユーザ名、セッションごとのデバイスを通過したバイト数、使用されたサービス、および各セッションの時間が含まれています。このデータを、ネットワーク管理、クライアント請求、または監査のために分析できます。アカウンティングは、単独で使用するか、認証および認可とともに使用することができます。

AAA によって、アクセス規則(ACL)だけを使用するよりも、ユーザ アクセスについて高いレベルの保護と制御が提供されます。たとえば、すべての外部ユーザが DMZ ネットワーク上のサーバで Telnet の使用を試行できるアクセス規則を作成できます。一部のユーザだけが実際にサーバに到達できるようにする場合(さらに、それらのユーザの IP アドレスが常にわかるわけではないため、単純なアクセス規則を設定できない場合)、認証済みまたは認可済みのユーザだけがネットワーク デバイス(ASA やルータなど)を通過することを AAA が許可できるようにすることができます。そのため、ユーザは Telnet サーバに到達する前に認証する必要があり、サーバでは Telnet が別のログインを要求することもできます。

AAA サーバ オブジェクトを AAA サーバ グループ オブジェクトにまとめることができます。通常、AAA を必要とするポリシー(Easy VPN、リモート アクセス VPN、Secured Device Provisioning や 802.1x などのルータ プラットフォーム ポリシーなど)は、AAA サーバ グループ オブジェクトを参照します。これらのオブジェクトには、同じプロトコル(RADIUS や TACACS+ など)を使用する複数の AAA サーバが含まれています。AAA サーバ グループとは、ネットワーク セキュリティ ポリシー全体の特定の側面を実施することに焦点を当てた認証サーバの集合のことです。たとえば、内部トラフィック、外部トラフィック、またはリモート ダイヤルイン ユーザの認証専用のサーバや、ファイアウォール デバイスの管理を認可するサーバをグループ化できます。

次の項では、AAA サーバ オブジェクトを操作する方法について説明します。

「サポートされる AAA サーバ タイプ」

「ASA、PIX、および FWSM デバイスでのその他の AAA サポート」

「定義済みの AAA 認証サーバ グループ」

「デフォルトの AAA サーバ グループおよび IOS デバイス」

「AAA サーバ オブジェクトの作成」

「[Add AAA Server]/[Edit AAA Server] ダイアログボックス」

「[Add LDAP Attribute Map]/[Edit LDAP Attribute Map] ダイアログボックス」

「AAA サーバ グループ オブジェクトの作成」

サポートされる AAA サーバ タイプ

すべてのデバイスに RADIUS プロトコルを使用し、IPS 以外のすべてのデバイスに TACACS+ プロトコルを使用する AAA サーバを使用できます。ASA、PIX、および FWSM デバイスの場合は、「ASA、PIX、および FWSM デバイスでのその他の AAA サポート」で説明されているプロトコルを使用することもできます。

RADIUS :Remote Authentication Dial-In User Service(RADIUS)は、不正アクセスに対してネットワークを保護する分散クライアント/サーバ システムです。シスコの実装では、RADIUS クライアントはシスコ デバイス上で実行され、すべてのユーザ認証およびネットワーク サービス アクセス情報を持つ中央の RADIUS サーバに認証要求を送信します。

RADIUS は、固有のデバイス タイプでサポートされているプロトコルに応じて、他の AAA セキュリティ プロトコル(TACACS+、Kerberos、ローカル ユーザ名検索など)とともに使用できます。RADIUS はすべての Cisco プラットフォームでサポートされますが、RADIUS でサポートされる一部の機能は、指定されたプラットフォームだけで実行されます。

TACACS+ :Terminal Access Controller Access Control System(TACACS+)は、セキュリティ アプリケーションであり、ルータまたはネットワーク アクセス サーバへのアクセスを取得しようとするユーザの集中検証を提供します。TACACS+ の目的は、単一の管理サービスから複数のネットワーク アクセス ポイントを管理する方法を提供することです。

TACACS+ では、個別の、およびモジュールでの認証、認可、およびアカウンティング機能が提供されます。TACACS+ では、単一のアクセス コントロール サーバ(TACACS+ デーモン)で各サービスを独立して提供することが可能です。

関連項目

「ASA、PIX、および FWSM デバイスでのその他の AAA サポート」

「AAA サーバ オブジェクトの作成」

「AAA サーバおよびサーバ グループ オブジェクトについて」

ASA、PIX、および FWSM デバイスでのその他の AAA サポート

RADIUS および TACACS+ をサポートする以外に、ASA、PIX 7.0+、および FWSM 3.1+ デバイスでは、次のプロトコルを実行する AAA サーバをサポートできます。詳細については、該当するデバイス タイプおよびオペレーティング システム バージョンの設定ガイドで AAA の使用方法の説明を参照してください。

Kerberos :これらのデバイスでは、VPN 認証に Kerberos サーバを使用できます。ユーザがデバイスを介して VPN アクセスを確立しようとし、トラフィックが認証ステートメントと一致した場合、デバイスはユーザ認証について Kerberos サーバに問い合わせ、サーバからの応答に基づいてユーザ アクセスを付与するか拒否します。3DES、DES、および RC4 暗号化タイプがサポートされています。

NT :これらのデバイスでは、VPN 認証に NT サーバを使用できます。ユーザが VPN アクセスを確立しようとし、該当するトンネル グループ ポリシーが NT 認証サーバ グループを指定している場合、デバイスはユーザ認証について Microsoft Windows ドメイン サーバに問い合わせ、ドメイン サーバからの応答に基づいてユーザ アクセスを付与するか拒否します。

SDI サーバ :RSA Security, Inc. の SecurID サーバは SDI サーバと呼ばれます。ユーザが VPN アクセスを確立しようとし、該当するトンネル グループ ポリシーが SDI 認証サーバ グループを指定している場合、ASA デバイスはユーザ名およびワンタイム パスワードを SDI サーバに送信します。デバイスは、サーバからの応答に基づいてユーザ アクセスを付与するか拒否します。SDI のバージョン 5.0 では、単一ノード シークレット ファイル(SECURID)を共有する SDI マスター サーバおよびスレーブ サーバの概念が導入されました。その結果、SDI サーバを AAA サーバ オブジェクトとして設定する場合、サーバがバージョン 5.0 かそれよりも前のバージョンかを指定する必要があります。

LDAP :これらのデバイスでは、VPN 認可に Lightweight Directory Access Protocol(LDAP)サーバを使用できます。これらのデバイスでは LDAP バージョン 3 がサポートされ、任意の v3 または v2 ディレクトリ サーバと互換性があります。ただし、パスワード管理は、Sun Microsystems JAVA System Directory Server および Microsoft Active Directory だけでサポートされています。

その他のタイプの LDAP サーバ(Novell や OpenLDAP など)では、パスワード管理以外のすべての LDAP 機能がサポートされています。したがって、これらのサーバのいずれかを認証用に使用してこれらのデバイスのいずれかにログインしようとし、パスワードが期限切れになっている場合、デバイスでは接続はドロップされ、手動でのパスワードのリセットが必要になります。

LDAP サーバに対して LDAP クライアント(この場合は、ASA、PIX、または FWSM デバイス)を認証するように Simple Authentication and Security Layer(SASL)メカニズムを設定できます。これらのデバイスおよび LDAP サーバでは、複数のメカニズムをサポートできます。両方のメカニズム(MD5 および Kerberos)が使用可能な場合、ASA、PIX、または FWSM デバイスは、より強力なメカニズム(Kerberos)を認証に使用します。

VPN アクセスのユーザ認証が成功し、該当するトンネル グループ ポリシーが LDAP 認証サーバ グループを指定している場合、ASA、PIX、または FWSM デバイスは LDAP サーバを照会し、受け取った認可を VPN セッションに適用します。

HTTP-Form :これらのデバイスでは、WebVPN ユーザだけの Single Sign-On(SSO; シングル サインオン)認証に HTTP Form プロトコルを使用できます。シングル サインオンのサポートによって、WebVPN ユーザはユーザ名とパスワードを 1 回だけ入力して、複数の保護されているサービスおよび Web サーバにアクセスできます。セキュリティ アプライアンスで実行されている WebVPN サーバは、認証サーバに対して、ユーザのプロキシとして機能します。ユーザがログインすると、SSO 認証要求(ユーザ名とパスワードを含む)が WebVPN サーバから認証サーバに HTTPS を使用して送信されます。サーバによって認証要求が承認されると、SSO 認証クッキーが WebVPN サーバに返されます。セキュリティ アプライアンスでは、ユーザに代わってこのクッキーが保持され、SSO サーバによって保護されているドメイン内のセキュア Web サイトに対してユーザを認証するために使用されます。

表 6-5 に、各プロトコルでサポートされている AAA サービスを示します。

 

表 6-5 ASA、PIX、および FWSM デバイスでサポートされている AAA サービス

AAA サービス
データベース タイプ
ローカル
RADIUS
TACACS+
SDI
NT
Kerberos
LDAP
HTTP Form
認証の対象

VPN ユーザ

Yes

Yes

Yes

Yes

Yes

Yes

Yes

Yes 1

ファイアウォール セッション

Yes

Yes

Yes

Yes

Yes

Yes

Yes

No

管理者

Yes

Yes

Yes

Yes 2

Yes

Yes

Yes

No

認可の対象

VPN ユーザ

Yes

Yes

No

No

No

No

Yes

No

ファイアウォール セッション

No

Yes 3

Yes

No

No

No

No

No

管理者

Yes 4

No

Yes

No

No

No

No

No

アカウンティングの対象

VPN 接続

No

Yes

Yes

No

No

No

No

No

ファイアウォール セッション

No

Yes

Yes

No

No

No

No

No

管理者

No

Yes 5

Yes

No

No

No

No

No

1. HTTP-Form プロトコルでは、WebVPN ユーザだけの Single Sign-On(SSO; シングル サインオン)認証がサポートされます。
2. SDI は、HTTP 管理アクセスについてはサポートされません。
3. ファイアウォール セッションの場合、RADIUS 認可はユーザ固有の ACL だけでサポートされます。ユーザ固有の ACL は、RADIUS 認証応答で受信または指定されます。
4. ローカル コマンド認可は、権限レベルだけによってサポートされます。
5. コマンド アカウンティングは TACACS+ だけに使用できます。

関連項目

「サポートされる AAA サーバ タイプ」

「AAA サーバ オブジェクトの作成」

「AAA サーバおよびサーバ グループ オブジェクトについて」

定義済みの AAA 認証サーバ グループ

特定の AAA サーバを指定しないで認証方式を定義するいくつかの定義済みの AAA サーバ グループがあります。IPSec プロポーザルなどのポリシーでは、これらの定義済みのサーバ グループを使用して、実行する AAA 認証のタイプとそれらの実行順序を定義できます。

表 6-6 に、定義済みの AAA 認証サーバ グループを示します。

 

表 6-6 定義済みの AAA 認証サーバ グループ

名前
説明

Enable

デバイス上で定義されたイネーブル パスワードを認証に使用します。

KRB5

KRB5-Telnet

Kerberos 5 を認証に使用します。Telnet を使用して接続する場合は、KRB5-Telnet を使用します。

Cisco IOS ルータの場合、Kerberos 5 クライアント設定は、このプロトコルをサポートする IOS ソフトウェア バージョンを実行している選択済みプラットフォームだけで使用できます。サーバ設定はサポートされていません。デバイスに Advanced シリーズ フィーチャ セット(k9 暗号イメージ)が含まれている必要があります。

if-authenticated

if-authenticated 方式を使用します。この方式では、認証済みの場合に、ユーザは要求した機能にアクセスできます。

Line

デバイス上で定義された回線パスワードを認証に使用します。

Local

local-case

(デバイス上で定義された)ローカル ユーザ名データベースを認証に使用します。ログインで大文字と小文字を区別する場合に、local-case を使用します。

None

認証を使用しません。

RADIUS

TACACS+

RADIUS または TACACS+ 認証を使用します(Cisco IOS ルータには適用されません)。

これらの AAA サーバ グループには AAA サーバは含まれていません。ポリシーを定義するときにこれらのいずれかを使用するには、デバイスレベルのオーバーライドを作成し、グループに関連付ける AAA サーバを定義する必要があります。詳細については、「単一デバイスのオブジェクト オーバーライドの作成または編集」を参照してください。

関連項目

「AAA サーバ グループ オブジェクトの作成」

「デフォルトの AAA サーバ グループおよび IOS デバイス」

「AAA サーバおよびサーバ グループ オブジェクトについて」

デフォルトの AAA サーバ グループおよび IOS デバイス

IOS ソフトウェアを使用すると、AAA サーバ グループのメンバーとして、または個別のサーバとして、AAA サーバを定義できます。ただし、Security Manager では、すべての AAA サーバは AAA サーバ グループに属している必要があります。

したがって、AAA サーバ グループに属していない個別の AAA サーバがデバイス設定に含まれている IOS デバイスを検出した場合、それらのサーバを含めるために次のサーバ グループが Security Manager によって作成されます。

RADIUS の場合:CSM-rad-grp

TACACS+ の場合:CSM-tac-grp

これらの特別な AAA サーバ グループは、どちらも、Policy Object Manager で、これらのプロトコルのデフォルト グループとしてマークされます。これは、[Make this Group the Default AAA Server Group] チェックボックスで指定されます。

これらのグループは、Security Manager による管理のためだけに作成されます。展開中に、これらの特別なグループ内の AAA サーバは、グループの一部として ではなく 、個別のサーバとして IOS デバイスに展開されます。

独自のデフォルト グループを作成することもできます。デフォルト グループはほとんどの場合に使用できますが、同じプロトコルを使用する複数の AAA サーバ グループを設定する必要がある場合を除きます。たとえば、1 つのグループを認証用に使用し、もう 1 つのグループを認可用に使用できるように、複数の RADIUS グループを定義する場合があります。サービス プロバイダーは、VRF を使用するときに、カスタマーを分離するために同じプロトコルで複数のグループを定義する場合があります。


) PIX/ASA/FWSM デバイスに対して定義されるポリシーでこれらのデフォルト AAA サーバ グループのいずれかを使用する場合、AAA サーバは、個別のサーバとしてではなく、グループとしてそのデバイスに展開されます。これは、PIX/ASA/FWSM デバイス上のすべての AAA サーバは、AAA サーバ グループに属している必要があるためです。



注意 これらのデフォルト AAA サーバ グループをポリシー定義で使用する場合は注意してください。各 AAA サーバ グループに対して一度、すべての個別の AAA サーバに対して一度定義できる特定のコマンドがあります(たとえば、ip radius および ip tacacs。これらは、[AAA Server] ダイアログボックスの [Interface] フィールドを使用して定義されます)。デフォルト グループ内の AAA サーバは IOS デバイスに個別のサーバとして展開されるため、Security Manager によって管理されていない(設定が悪影響を受けないはずの)サーバを含む、デバイス上で設定されているすべての個別の AAA サーバの ip radius または ip tacacs 設定を間違って変更する可能性があります。

関連項目

「定義済みの AAA 認証サーバ グループ」

「AAA サーバ グループ オブジェクトの作成」

「AAA サーバおよびサーバ グループ オブジェクトについて」

AAA サーバ オブジェクトの作成

AAA サーバ オブジェクトを作成し、AAA 規則、Easy VPN、802.1x などのポリシーによって参照される AAA サーバ グループ オブジェクトに読み込むことができます。IPS デバイス上の AAA ポリシーなどでは、AAA サーバ オブジェクトがポリシーによって直接使用される場合があります。

AAA サーバ オブジェクトを作成する場合、外部 AAA サーバの IP アドレス、データ暗号化に使用されるキー、サーバによって使用されるプロトコル、およびタイムアウト間隔を指定する必要があります。


) PIX/ASA/FWSM デバイスでは、ポリシーによって参照されていないデバイス設定内の AAA オブジェクトは、次の展開中にデバイスから削除されます。ただし、RADIUS および TACACS+ という名前の定義済みの AAA オブジェクトは、ポリシーによって参照されていない場合でも、PIX 6.3 デバイスから削除されません。


関連項目

「ポリシー オブジェクトの作成」

「サポートされる AAA サーバ タイプ」

「ASA、PIX、および FWSM デバイスでのその他の AAA サポート」

「AAA サーバおよびサーバ グループ オブジェクトについて」


ステップ 1 [Manage] > [Policy Objects] を選択して [Policy Object Manager] を開きます(「[Policy Object Manager] ウィンドウ」を参照)。

ステップ 2 オブジェクト タイプ セレクタから [AAA Servers] を選択します。

ステップ 3 作業領域を右クリックし、[New Object] を選択して「[Add AAA Server]/[Edit AAA Server] ダイアログボックス」を開きます。

ステップ 4 オブジェクトの名前を入力し、任意でオブジェクトの説明を入力します。

ステップ 5 AAA サーバを識別します。

[Host] フィールドに、AAA サーバの IP アドレスか、ASA または PIX 7.2 以降のデバイスの場合は、AAA サーバのホスト名を入力します。ホスト IP アドレスを含むネットワーク/ホスト オブジェクトの名前を入力するか、または [Select] をクリックしてオブジェクトを選択することもできます。

任意で、[Interfaces] フィールドに、すべての発信 RADIUS または TACACS+ パケットに対して、その IP アドレスが使用されるインターフェイスまたはインターフェイス ロール(デバイスで単一のインターフェイス名に解決される必要があります)の名前を入力します。IPS デバイス上で使用されているオブジェクトのインターフェイスを指定しないでください。

任意で、AAA サーバを応答なしと見なすまでの待機時間を入力します。

ステップ 6 AAA サーバによって使用されるプロトコルを選択し、プロトコル固有のプロパティを設定します。RADIUS はすべてのデバイス タイプで使用でき、TACACS+ は IPS デバイス以外のすべてのデバイス タイプで使用できます。Kerberos、LDAP、NT、SDI、および HTTP-FORM プロトコルは、ASA、PIX 7.x+、および FWSM 3.1+ デバイスだけで使用できます。

プロパティの詳細については、次の項を参照してください。

RADIUS:「[AAA Server] ダイアログボックス - RADIUS 設定」を参照してください。

TACACS+:「[AAA Server] ダイアログボックス - TACACS+ 設定」を参照してください。

Kerberos:「[AAA Server] ダイアログボックス - Kerberos 設定」を参照してください。

LDAP:「[AAA Server] ダイアログボックス - LDAP 設定」を参照してください。

NT:「[AAA Server] ダイアログボックス - NT 設定」を参照してください。

SDI:「[AAA Server] ダイアログボックス - SDI 設定」を参照してください。

HTTP-FORM:「[AAA Server] ダイアログボックス - HTTP-FORM 設定」を参照してください。

ステップ 7 (任意)[Category] の下で、[Objects] テーブルでこのオブジェクトを識別するために使用するカテゴリを選択します。「カテゴリ オブジェクトの使用」を参照してください。

ステップ 8 [OK] をクリックしてオブジェクトを保存します。


 

[Add AAA Server]/[Edit AAA Server] ダイアログボックス

[Add AAA Server]/[Edit AAA Server] ダイアログボックスを使用して、AAA サーバ オブジェクトを作成、コピー、および編集します。これらのオブジェクトは AAA サーバ グループ オブジェクトにまとめられ、さまざまな AAA ポリシーを定義するときに、これらのオブジェクトによって使用する AAA サーバが識別されます。これらのオブジェクトは、AAA ポリシーで直接使用される場合があります。

使用できるプロトコルの説明については、「サポートされる AAA サーバ タイプ」および「ASA、PIX、および FWSM デバイスでのその他の AAA サポート」を参照してください。


) オブジェクトがすでに AAA サーバ グループに含まれている場合、プロトコルは編集できません。


ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [AAA Servers] を選択します。作業領域内で右クリックして [New Object] を選択するか、または行を右クリックして [Edit Object] を選択します。

関連項目

「AAA サーバ オブジェクトの作成」

「AAA サーバおよびサーバ グループ オブジェクトについて」

「[Policy Object Manager] ウィンドウ」

フィールド リファレンス

 

表 6-7 [AAA Server] ダイアログボックス - 一般設定

要素
説明

[Name]

最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

[Description]

(任意)オブジェクトの説明。

[Host]

認証要求の送信先の AAA サーバのアドレス。次のいずれかを指定します。

[IP Address]:AAA サーバの IP アドレス。ホスト IP アドレスを含むネットワーク/ホスト オブジェクトの名前を入力するか、または [Select] をクリックしてオブジェクトを選択することもできます。

[DNS Name](PIX/ASA 7.2 以降のデバイスの場合だけ):AAA サーバの DNS ホスト名。最大 128 文字。ホスト名は英数字およびハイフンですが、ホスト名の各要素は英数字で始まり、英数字で終わる必要があります。

[Interface]

すべての発信 RADIUS または TACACS パケットに対して、その IP アドレスが使用されるインターフェイス(送信元インターフェイスと呼ばれます)。インターフェイスまたはインターフェイス ロールの名前を入力するか、あるいは [Select] をクリックして、リストから名前を選択するか新しいインターフェイス ロールを作成します。

ヒント

インターフェイスの名前を入力する場合、この AAA オブジェクトを使用するポリシーが、この名前のインターフェイスを含むデバイスに割り当てられるようにします。

インターフェイス ロールの名前を入力する場合、ロールが複数のインターフェイスではなく、1 つのインターフェイスを表すようにします。

AAA サーバ グループ内の AAA サーバに対して定義できる送信元インターフェイスは 1 つだけです。グループ内の別の AAA サーバで異なる送信元インターフェイスが使用されている場合、変更を送信するとエラーが表示されます。「AAA サーバ グループ オブジェクトの作成」を参照してください。

IPS デバイス上で使用されている AAA サーバのインターフェイス名を指定しないでください。

[Timeout]

AAA サーバを応答なしと見なすまでの待機時間。

Cisco IOS ルータ:範囲は 1 ~ 1000 秒です。デフォルトは 5 秒です。

ASA/PIX 7.x 以降、FWSM 3.1 以降のデバイス:範囲は 1 ~ 300 秒です。デフォルトは 10 秒です。

PIX 6.3 ファイアウォール:範囲は 1 ~ 512 秒です。デフォルトは 5 秒です。

IPS デバイス:範囲は 1 ~ 512 秒です。デフォルトは 3 秒です。

[Protocol]

AAA サーバによって使用されるプロトコル。プロトコル リストの右側のフィールドは、選択によって変わります。

フィールドの詳細については、示されている項を参照してください。

次に、最も一般的なプロトコルを示します。

RADIUS:すべてのデバイス タイプ。「[AAA Server] ダイアログボックス - RADIUS 設定」を参照してください。

TACACS+:IPS 以外のすべてのデバイス タイプ。「[AAA Server] ダイアログボックス - TACACS+ 設定」を参照してください。

次のプロトコルは、ASA/PIX 7.x+ および FWSM 3.1+ デバイスについてサポートされます。

Kerberos:「[AAA Server] ダイアログボックス - Kerberos 設定」を参照してください。

LDAP:「[AAA Server] ダイアログボックス - LDAP 設定」を参照してください。

NT:「[AAA Server] ダイアログボックス - NT 設定」を参照してください。

SDI:「[AAA Server] ダイアログボックス - SDI 設定」を参照してください。

HTTP-FORM:「[AAA Server] ダイアログボックス - HTTP-FORM 設定」を参照してください。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[AAA Server] ダイアログボックス - RADIUS 設定

[AAA Server] ダイアログボックスの RADIUS 設定を使用して、RADIUS AAA サーバ オブジェクトを設定します。

ナビゲーション パス

「[Add AAA Server]/[Edit AAA Server] ダイアログボックス」に移動して、[Protocol] フィールドで [RADIUS] を選択します。

関連項目

「AAA サーバ オブジェクトの作成」

「AAA サーバおよびサーバ グループ オブジェクトについて」

「[AAA Server Group] ダイアログボックス」

フィールド リファレンス

 

表 6-8 [AAA Server] ダイアログボックス - RADIUS 設定

要素
説明

[Key]

[Confirm]

クライアントと AAA サーバ間でデータを暗号化するために使用される共有秘密キー。キーは、大文字と小文字が区別される最大 127 文字の英数字文字列(米国 英語)です。スペースと特殊文字を使用できます。

このフィールドで定義するキーは、RADIUS サーバ上のキーと一致する必要があります。[Confirm] フィールドにキーを再入力します。

次の点に注意してください。

キーは、IPS AAA ポリシーで使用される AAA サーバ オブジェクトに必須です。それ以外の場合、キーはオプションです。

PIX、ASA、または FWSM デバイス上でスペースを含むキーを定義しようとすると、アクティビティ検証が失敗します。

キーを定義しない場合、AAA サーバとその AAA クライアント間のすべてのトラフィックは暗号化されずに送信されます。

[Authentication/Authorization Port]

AAA 認証および認可が実行されるポート。デフォルトは 1645 です。

ヒント IPS デバイスのデフォルト ポートは 1812 です。このため、IPS 用のオブジェクトの設定時にデフォルト ポートを使用する場合は、この値を変更する必要があります。

[Accounting Port]

AAA アカウンティングが実行されるポート。デフォルトは 1646 です。

[RADIUS Password]

[Confirm]

(ASA、PIX 7.x 以上、および FWSM 3.x 以上のデバイスだけ)

RADIUS サーバへのパスワードとして機能する英数字のキーワード(最大 128 文字。スペースは使用できません)。[Confirm] フィールドにパスワードを再入力します。

[Retry Interval]

(ASA、PIX 7.x 以上、および FWSM 3.x 以上のデバイスだけ)

AAA サーバへのアクセス試行の間隔。値は次のとおりです。

ASA/FWSM デバイス:1 ~ 10 秒。

PIX デバイス:1 ~ 5 秒。

[ACL Netmask Convert]

(ASA、PIX 7.x 以上、および FWSM 3.x 以上のデバイスだけ)

RADIUS サーバから受信したダウンロード可能 ACL に含まれているネットマスク表現を処理する方式。

[Standard]:セキュリティ アプライアンスでは、RADIUS サーバから受信したすべてのダウンロード可能 ACL に標準ネットマスク表現だけが含まれていると想定します。ワイルドカード ネットマスク表現からの変換は実行されません。これがデフォルトです。

[Auto-Detect]:セキュリティ アプライアンスでは、ダウンロード可能 ACL で使用されているネットマスク表現のタイプを判別しようとします。(Cisco IOS ソフトウェアによって使用される)ワイルドカード ネットマスク表現が検出された場合は、標準ネットマスク表現に変換されます。

[Wildcard]:セキュリティ アプライアンスでは、RADIUS サーバから受信したすべてのダウンロード可能 ACL にワイルドカード ネットマスク表現だけが含まれていると想定します。ワイルドカード ネットマスク表現は、標準ネットマスク表現に変換されます。

Cisco IOS ルータなどの一部のシスコ製品では、ダウンロード可能 ACL がネットワーク マスクではなくワイルドカードで設定されている必要があります。一方、ASA デバイスでは、ダウンロード可能 ACL はネットワーク マスクで設定されている必要があります。この機能によって、ASA デバイスはワイルドカードをネットマスクに内部的に変換できます。ワイルドカード ネットマスク表現の変換は、RADIUS サーバ上で ACL の設定を変更しなくても、Cisco IOS ルータ用に作成されたダウンロード可能 ACL が ASA デバイスによって使用可能であることを意味します。

[AAA Server] ダイアログボックス - TACACS+ 設定

[AAA Server] ダイアログボックスの TACACS+ 設定を使用して、TACACS+ AAA サーバ オブジェクトを設定します。

ナビゲーション パス

「[Add AAA Server]/[Edit AAA Server] ダイアログボックス」に移動して、[Protocol] フィールドで [TACACS+] を選択します。

関連項目

「AAA サーバ オブジェクトの作成」

「AAA サーバおよびサーバ グループ オブジェクトについて」

「[AAA Server Group] ダイアログボックス」

フィールド リファレンス

 

表 6-9 [AAA Server] ダイアログボックス - TACACS+ 設定

要素
説明

[Key]

[Confirm]

クライアントと AAA サーバ間でデータを暗号化するために使用される共有秘密キー。キーは、大文字と小文字が区別される最大 127 文字の英数字文字列(米国 英語)です。スペースと特殊文字を使用できます。

このフィールドで定義するキーは、TACACS+ サーバ上のキーと一致する必要があります。[Confirm] フィールドにキーを再入力します。

次の点に注意してください。

PIX、ASA、または FWSM デバイス上でスペースを含むキーを定義しようとすると、アクティビティ検証が失敗します。

キーを定義しない場合、AAA サーバとその AAA クライアント間のすべてのトラフィックは暗号化されずに送信されます。

[Server Port]

AAA サーバとの通信に使用するポート。デフォルトは 49 です。

[AAA Server] ダイアログボックス - Kerberos 設定

[AAA Server] ダイアログボックスの Kerberos 設定を使用して、Kerberos AAA サーバ オブジェクトを設定します。


) このタイプの AAA サーバは、ASA、PIX 7.x 以上、および FWSM 3.1 以上のデバイスだけで設定できます。


ナビゲーション パス

「[Add AAA Server]/[Edit AAA Server] ダイアログボックス」に移動して、[Protocol] フィールドで [Kerberos] を選択します。

関連項目

「AAA サーバ オブジェクトの作成」

「AAA サーバおよびサーバ グループ オブジェクトについて」

「[AAA Server Group] ダイアログボックス」

フィールド リファレンス

 

表 6-10 [AAA Server] ダイアログボックス - Kerberos 設定

要素
説明

[Server Port]

AAA サーバとの通信に使用するポート。デフォルトは 88 です。

[Kerberos Realm Name]

Kerberos 認証サーバおよびチケット認可サーバを含むレルムの名前(最大 64 文字)。たとえば、example.com のように指定します。

[Retry Interval]

AAA サーバへのアクセス試行の間隔。値の範囲は 1 ~ 10 秒です。

[AAA Server] ダイアログボックス - LDAP 設定

[AAA Server] ダイアログボックスの LDAP 設定を使用して、LDAP AAA サーバ オブジェクトを設定します。


) このタイプの AAA サーバは、ASA、PIX 7.x 以上、および FWSM 3.1 以上のデバイスだけで設定できます。


ナビゲーション パス

「[Add AAA Server]/[Edit AAA Server] ダイアログボックス」に移動して、[Protocol] フィールドで [LDAP] を選択します。

関連項目

「AAA サーバ オブジェクトの作成」

「AAA サーバおよびサーバ グループ オブジェクトについて」

「[AAA Server Group] ダイアログボックス」

フィールド リファレンス

 

表 6-11 [AAA Server] ダイアログボックス - LDAP 設定

要素
説明

[Enable LDAP over SSL]

ASA/PIX/FWSM デバイスと LDAP サーバ間にセキュアな SSL 接続を確立するかどうか。

ヒント パスワード管理をイネーブルにするために Microsoft Active Directory LDAP サーバを使用する場合は、このオプションを選択する必要があります。

[Server Port]

AAA サーバとの通信に使用するポート。デフォルトは 389 です。

[LDAP Hierarchy Location]

ベース Distinguished Name(DN; 識別名)。これは、認証サーバが認可要求を受け取ったときに検索する LDAP 階層内の場所です。たとえば、OU=Cisco です。最大長は 128 文字です。

文字列では、大文字と小文字が区別されます。スペースは使用できませんが、他の特殊文字は使用できます。

[LDAP Scope]

LDAP 検索のスコープ。

[onelevel]:ベース DN の 1 レベル下だけを検索します。このタイプの検索スコープは、範囲が狭いためサブツリー検索よりも高速です。これがデフォルトです。

[subtree]:ベース DN の下のすべてのレベルを検索します。

[LDAP Distinguished Name]

LDAP スキーマ内の ASA/PIX/FWSM デバイスを一意に識別する DN およびパスワード(最大 128 文字)。DN は、データベース内の一意のキーまたはファイルの完全修飾パスに似ています。これらのパラメータは、LDAP サーバが認証のために要求した場合にだけ使用されます。

[LDAP Login Directory]

認証済みバインディングに使用される LDAP 階層内のディレクトリ オブジェクトの名前(最大 128 文字)。認証済みバインディングは、一部の LDAP サーバ(Microsoft Active Directory サーバなど)によって、他の LDAP 操作の実行前に要求されます。

この文字列では、大文字と小文字が区別されます。文字列でスペースは使用できませんが、他の特殊文字は使用できます。

[LDAP Login Password]

LDAP サーバにアクセスするための、大文字と小文字が区別される英数字のパスワード(最大 64 文字)。スペースは使用できません。

[SASL MD5 Authentication]

[SASL Kerberos Authentication]

[Kerberos Server Group]

これらのオプションによって、LDAP クライアント(ASA/PIX/FWSM デバイス)を LDAP サーバに認証するために、Simple Authentication and Security Layer(SASL)メカニズムが確立されます。

1 つまたは両方の SASL 認証メカニズムを定義できます。SASL 認証のネゴシエーション時に、ASA/PIX/FWSM デバイスは、LDAP サーバで設定されている SASL メカニズムのリストを取得し、両方のデバイスで設定されている最も強力なメカニズムを選択します。

[SASL MD5 Authentication]:デバイスから LDAP サーバに、ユーザ名とパスワードから計算された MD5 値を送信するかどうか。

[SASL Kerberos Authentication]:デバイスから LDAP サーバに、Generic Security Services Application Programming Interface(GSSAPI)Kerberos メカニズムを使用してユーザ名とレルムを送信するかどうか。このメカニズムの方が MD5 メカニズムよりも強力です。

Kerberos を選択する場合、SASL 認証に使用される Kerberos AAA サーバ グループの名前も入力する必要があります。最大長は 16 文字です。

[LDAP Server Type]

AAA に使用される LDAP サーバのタイプ。

[Auto-Detect]:ASA/PIX/FWSM デバイスがサーバ タイプを自動的に判別しようとします。これがデフォルトです。

[Microsoft]:LDAP サーバは Microsoft Active Directory サーバです。

(注) Microsoft Active Directory によるパスワード管理をイネーブルにするように LDAP over SSL を設定する必要があります。

[Sun]:LDAP サーバは Sun Microsystems JAVA System Directory Server です。

[OpenLDAP]:サーバは Open LDAP サーバです。これは、ASA/PIX 8.0 以上のデバイスだけで使用できます。

[Novell]:サーバは Novell LDAP サーバです。これは、ASA/PIX 8.0 以上のデバイスだけで使用できます。

[LDAP Attribute Map]

LDAP サーバにバインドするための LDAP 属性設定。LDAP 属性マップ ポリシー オブジェクトの名前を入力するか、または [Select] をクリックして、リストから名前を選択するか新しいオブジェクトを作成します。

LDAP 属性マップは、ユーザが定義した属性名をシスコ定義の属性にマッピングします。詳細については、「[Add LDAP Attribute Map]/[Edit LDAP Attribute Map] ダイアログボックス」を参照してください。

[AAA Server] ダイアログボックス - NT 設定

[AAA Server] ダイアログボックスの NT 設定を使用して、NT AAA サーバ オブジェクトを設定します。


) このタイプの AAA サーバは、ASA、PIX 7.x 以上、および FWSM 3.1 以上のデバイスだけで設定できます。


ナビゲーション パス

「[Add AAA Server]/[Edit AAA Server] ダイアログボックス」に移動して、[Protocol] フィールドで [NT] を選択します。

関連項目

「AAA サーバ オブジェクトの作成」

「AAA サーバおよびサーバ グループ オブジェクトについて」

「[AAA Server Group] ダイアログボックス」

フィールド リファレンス

 

表 6-12 [AAA Server] ダイアログボックス - NT 設定

要素
説明

[Server Port]

AAA サーバとの通信に使用するポート。デフォルトは 139 です。

[NT Authentication Host]

認証ドメイン コントローラ ホスト名の名前(最大 16 文字)。

[AAA Server] ダイアログボックス - SDI 設定

[AAA Server] ダイアログボックスの SDI 設定を使用して、SDI AAA サーバ オブジェクトを設定します。


) このタイプの AAA サーバは、ASA、PIX 7.x 以上、および FWSM 3.1 以上のデバイスだけで設定できます。


ナビゲーション パス

「[Add AAA Server]/[Edit AAA Server] ダイアログボックス」に移動して、[Protocol] フィールドで [SDI] を選択します。

関連項目

「AAA サーバ オブジェクトの作成」

「AAA サーバおよびサーバ グループ オブジェクトについて」

「[AAA Server Group] ダイアログボックス」

フィールド リファレンス

 

表 6-13 [AAA Server] ダイアログボックス - SDI 設定

要素
説明

[Server Port]

AAA サーバとの通信に使用するポート。デフォルトは 5500 です。

[Retry Interval]

AAA サーバへのアクセス試行の間隔。値の範囲は 1 ~ 10 秒です。デフォルトは 10 秒です。

[SDI Server Version]

SDI サーバのバージョン。

[SDI-pre-5]:バージョン 5.0 よりも前のすべての SDI バージョン。

[SDI-5]:SDI バージョン 5.0 以降。

[SDI pre-5 Slave Server]

(任意)5.0 よりも前の SDI バージョンを使用している場合に、プライマリ サーバに障害が発生したときに認証に使用されるセカンダリ サーバ。ネットワーク/ホスト オブジェクトの IP アドレスまたは名前を入力するか [Select] をクリックしてオブジェクトを選択します。または、新しいオブジェクトを作成します。

[AAA Server] ダイアログボックス - HTTP-FORM 設定

[AAA Server] ダイアログボックスの HTTP-FORM 設定を使用して、Single Sign-On 認証(SSO; シングル サインオン)用の HTTP-Form AAA サーバ オブジェクトを設定します。


) このタイプの AAA サーバは、ASA、PIX 7.x 以上、および FWSM 3.1 以上のデバイスだけで設定できます。


ナビゲーション パス

「[Add AAA Server]/[Edit AAA Server] ダイアログボックス」に移動して、[Protocol] フィールドで [HTTP-FORM] を選択します。

関連項目

「AAA サーバ オブジェクトの作成」

「AAA サーバおよびサーバ グループ オブジェクトについて」

「[AAA Server Group] ダイアログボックス」

フィールド リファレンス

 

表 6-14 [AAA Server] ダイアログボックス - HTTP-Form 設定

要素
説明

[Start URL]

セキュリティ アプライアンスの WebVPN サーバがオプションのプリログイン クッキーを取得する URL。URL の最大長は 1024 文字です。

認証 Web サーバは、ログイン ページのコンテンツとともに Set-Cookie ヘッダーを送信することによって、プリログイン シーケンスを実行する場合があります。このフィールドの URL によって、クッキーを取得する場所が定義されます。

(注) 実際のログイン シーケンスは、プリログイン クッキー シーケンスのあとに開始されます。

[Action URI]

セキュリティ アプライアンスが Single Sign-On(SSO; シングル サインオン)認証の HTTP POST 要求を送信する Web サーバ上の認証プログラムの場所と名前を定義する Uniform Resource Identifier(URI)。

アクション URI の最大長は 2048 文字です。

ヒント 認証 Web サーバ上のアクション URI は、Web サーバのログイン ページにブラウザで直接接続することによって検出できます。ブラウザに表示されるログイン Web ページの URL が、認証 Web サーバのアクション URI です。

[Username Parameter]

SSO 認証の HTTP POST 要求に含まれているユーザ名パラメータの名前。最大長は 128 文字です。

ログイン時に、ユーザは実際の名前の値を入力します。それが HTTP POST 要求に入力され、認証 Web サーバに渡されます。

[Password Parameter]

SSO 認証の HTTP POST 要求に含まれているパスワード パラメータの名前。最大長は 128 文字です。

ログイン時に、ユーザは実際のパスワードの値を入力します。それが HTTP POST 要求に入力され、認証 Web サーバに渡されます。

[Hidden Values]

SSO 認証の HTTP POST 要求に含まれている非表示パラメータ。ユーザ名やパスワードと異なりユーザには表示されないため、非表示パラメータと呼ばれます。

非表示パラメータの最大長は 2048 文字です。

ヒント 認証 Web サーバから受け取るフォームで HTTP ヘッダー アナライザを使用することによって、Web サーバが POST 要求で想定している非表示パラメータを検出できます。

[Authentication Cookie Name]

セキュリティ アプライアンスによって SSO に使用される認証クッキーの名前。最大長は 128 文字です。

SSO 認証が成功すると、認証 Web サーバはこの認証クッキーをクライアント ブラウザに渡します。クライアント ブラウザは、このクッキーを提示して、SSO ドメイン内の他の Web サーバに対して認証します。

[Add LDAP Attribute Map]/[Edit LDAP Attribute Map] ダイアログボックス

[Add LDAP Attribute Map]/[Edit LDAP Attribute Map] ダイアログボックスを使用して、Cisco Lightweight Directory Access Protocol(LDAP)属性名をカスタムのユーザ定義属性名に解釈する名前マッピングを使用する属性マップを読み込みます。

既存の LDAP ディレクトリにセキュリティ アプライアンスを導入している場合、既存のカスタム LDAP 属性の名前と値は、Cisco 属性の名前と値とは異なる場合があります。既存の属性の名前を変更するのではなく、カスタムの属性名と値を Cisco の属性名と値にマッピングする、LDAP 属性マップを作成できます。セキュリティ アプライアンスは、単純な文字列置換を使用して、ユーザ独自のカスタム名と値だけを提供します。次に、ユーザは、必要に応じてこれらの属性マップを LDAP サーバにバインドしたり、削除したりできます。属性マップ全体を削除したり、名前および値の個々のエントリを削除したりできます。

ASA、PIX、および FWSM デバイスでの LDAP のサポートの詳細については、「ASA、PIX、および FWSM デバイスでのその他の AAA サポート」を参照してください。

ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [LDAP Attribute Map] を選択します。テーブル内を右クリックして [New Object] を選択するか、行を右クリックして [Edit Object] を選択します。

関連項目

「AAA サーバ オブジェクトの作成」

「[AAA Server] ダイアログボックス - LDAP 設定」

フィールド リファレンス

 

表 6-15 [Add LDAP Attribute Map]/[Edit LDAP Attribute Map] ダイアログボックス

要素
説明

[Name]

最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

[Description]

(任意)オブジェクトの説明。

[Attribute Map] テーブル

このテーブルには、マッピングされた値が表示されます。各エントリは、カスタマー マップ名、Cisco マップ名、およびカスタマー名から Cisco 名への属性マッピングを示します。

マッピングを追加するには、[Add Row] ボタンをクリックして、「[Add LDAP Attribute Map Value]/[Edit LDAP Attribute Map Value] ダイアログボックス」を開きます。

マッピングを編集するには、マッピングを選択し、[Edit Row] ボタンをクリックします。

マッピングを削除するには、マッピングを選択し、[Delete Row] ボタンをクリックします。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

[Add LDAP Attribute Map Value]/[Edit LDAP Attribute Map Value] ダイアログボックス

[Add LDAP Attribute Map Value]/[Edit LDAP Attribute Map Value] ダイアログボックスを使用して、カスタムの属性名および一致した Cisco 属性名と値に対してユーザ定義の属性値を適用する値マッピングを使用する属性マップを読み込みます。

ナビゲーション パス

「[Add LDAP Attribute Map]/[Edit LDAP Attribute Map] ダイアログボックス」で、[Add Row] ボタンをクリックして新しいマッピングを追加するか、または行を選択して [Edit Row] ボタンをクリックします。

フィールド リファレンス

 

表 6-16 [Add LDAP Attribute Map Value]/[Edit LDAP Attribute Map Value] ダイアログボックス

要素
説明

[Customer Map Name]

Cisco マップに関連する属性マップの名前。

[Cisco Map Name]

カスタマー マップ名にマッピングする Cisco 属性マップ名。

[Customer to Cisco Map Value] テーブル

カスタマー名から Cisco 名へのマッピング。

マッピングを追加するには、[Add Row] ボタンをクリックして、「[Add Map Value]/[Edit Map Value] ダイアログボックス」を開きます。

マッピングを編集するには、マッピングを選択し、[Edit Row] ボタンをクリックします。

マッピングを削除するには、マッピングを選択し、[Delete Row] ボタンをクリックします。

[Add Map Value]/[Edit Map Value] ダイアログボックス

[Add Map Value]/[Edit Map Value] ダイアログボックスを使用して、カスタマー LDAP 属性値を Cisco マップ値にマッピングします。Cisco 値と一致させる、LDAP マップの値を入力します。

ナビゲーション パス

「[Add LDAP Attribute Map Value]/[Edit LDAP Attribute Map Value] ダイアログボックス」で、[Add Row] ボタンをクリックして新しいマッピングを追加するか、または行を選択して [Edit Row] ボタンをクリックします。

AAA サーバ グループ オブジェクトの作成

認証や認可などの AAA サービスを必要とする Security Manager ポリシー用に、AAA サーバ グループ オブジェクトを作成できます。各 AAA サーバ グループ オブジェクトには複数の AAA サーバを含めることができ、それらはすべて同じプロトコル(RADIUS や TACACS+ など)を使用します。たとえば、RADIUS を使用してネットワーク アクセスを認証し、TACACS+ を使用して CLI アクセスを認証する場合、少なくとも 2 つの AAA サーバ グループ オブジェクトを作成する必要があります。1 つは RADIUS サーバ用、1 つは TACACS+ サーバ用です。

また、グループ内の AAA サーバに対して定義できる送信元インターフェイスは 1 つだけです。グループ内の別の AAA サーバで異なる送信元インターフェイスが使用されている場合、変更を送信するとエラーが表示されます。


) エラーは、送信元として定義されている実際のインターフェイスによってトリガーされます。インターフェイスを表すインターフェイス ロールの名前ではありません。つまり、2 つの AAA サーバは、どちらも同じデバイス インターフェイスに解決されるかぎり、送信元インターフェイスとして定義された異なるインターフェイス ロールを持つことができます。送信元インターフェイスに対して定義されたインターフェイス ロールが、デバイス上の複数の実際のインターフェイスと一致した場合にも、エラーが表示されます。


作成できる AAA サーバ グループ オブジェクトの数および各グループ オブジェクトに含めることができる AAA サーバ オブジェクトの数は、選択されているプラットフォームによって異なります。たとえば、ASA デバイスでは、最大 18 個のシングルモード サーバ グループ(それぞれ最大 16 個のサーバ)と、7 個のマルチモード サーバ グループ(それぞれ最大 4 個のサーバ)がサポートされます。PIX ファイアウォールでは、最大 14 個のサーバ グループ(それぞれ最大 14 個のサーバ)がサポートされます。


) Security Manager には、認証を Cisco IOS ルータ内でローカルに実行するときに使用できる定義済みの AAA サーバ グループ オブジェクトが含まれています。



ヒント このオブジェクト タイプを使用するポリシーまたはオブジェクトを定義するときに、AAA サーバ グループ オブジェクトを作成することもできます。詳細については、「ポリシーのオブジェクトの選択」を参照してください。

関連項目

「ポリシー オブジェクトの作成」

「定義済みの AAA 認証サーバ グループ」

「デフォルトの AAA サーバ グループおよび IOS デバイス」

「AAA サーバおよびサーバ グループ オブジェクトについて」


ステップ 1 [Manage] > [Policy Objects] を選択して [Policy Object Manager] を開きます(「[Policy Object Manager] ウィンドウ」を参照)。

ステップ 2 オブジェクト タイプ セレクタから [AAA Server Groups] を選択します。

ステップ 3 作業領域を右クリックし、[New Object] を選択して「[AAA Server Group] ダイアログボックス」を開きます。

ステップ 4 オブジェクトの名前を入力します。名前の最大長は、このオブジェクトを ASA、PIX、または FWSM デバイスで使用する場合は 16 文字、Cisco IOS ルータの場合は 128 文字です。スペースはサポートされていません。


) Cisco IOS ルータでは、AAA サーバ グループ名として RADIUS、TACACS、TACACS+ はサポートされていません。また、これらの名前の短縮形(rad や tac など)を使用することは推奨しません。


ステップ 5 グループ内のサーバによって使用されるプロトコルを選択します。

ステップ 6 グループに含める AAA サーバを定義する AAA サーバ ポリシー オブジェクトの名前を入力します。[Select] を選択して、選択したプロトコルによってフィルタリングされたリストからオブジェクトを選択します。選択リストから、新しい AAA サーバ オブジェクトを作成することもできます。複数のオブジェクトを指定する場合は、カンマで区切ります。

ステップ 7 必要な追加オプションを設定します。

[Make this Group the Default AAA Server Group]:IOS デバイスの場合だけ、このグループをデフォルト グループとして使用するかどうか。AAA を必要とするすべてのポリシーに対して、このプロトコルの単一のグローバル サーバ グループを持つ場合、このオプションを使用します。詳細については、「デフォルトの AAA サーバ グループおよび IOS デバイス」を参照してください。

ASA、PIX、FWSM デバイス:応答を停止した AAA サーバの処理方法について、およびアカウンティング メッセージの送信方法について、オプションを選択します。詳細については、「[AAA Server Group] ダイアログボックス」を参照してください。

ステップ 8 (任意)[Category] の下で、[Objects] テーブルでこのオブジェクトを識別するために使用するカテゴリを選択します。「カテゴリ オブジェクトの使用」を参照してください。

ステップ 9 (任意)[Allow Value Override per Device] を選択して、このオブジェクトのプロパティを個々のデバイスで再定義できるようにします。「ポリシー オブジェクトの上書きの許可」を参照してください。

ステップ 10 [OK] をクリックしてオブジェクトを保存します。


 

[AAA Server Group] ダイアログボックス

[AAA Server Group] ダイアログボックスを使用して、AAA サーバ グループを作成、コピー、および編集します。認証、認可、またはアカウンティングに AAA サーバを使用するポリシーを定義するときは、サーバが属しているサーバ グループを選択することによって、サーバを選択します。

ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [AAA Server Groups] を選択します。作業領域内で右クリックして [New Object] を選択するか、または行を右クリックして [Edit Object] を選択します。

関連項目

「AAA サーバ グループ オブジェクトの作成」

「AAA サーバおよびサーバ グループ オブジェクトについて」

「ポリシー オブジェクトの作成」

「[Add AAA Server]/[Edit AAA Server] ダイアログボックス」

「[Policy Object Manager] ウィンドウ」

フィールド リファレンス

 

表 6-17 [AAA Server Group] ダイアログボックス

要素
説明

[Name]

オブジェクト名(このオブジェクトをファイアウォール デバイスで使用する場合は最大 16 文字。Cisco IOS ルータの場合は最大 128 文字)。オブジェクト名では、大文字と小文字が区別されません。スペースはサポートされていません。

次の重要事項を考慮してください。

Cisco IOS ルータでは、RADIUS、TACACS、または TACACS+ という名前の AAA サーバ グループはサポートされていません。また、これらの名前の短縮形(rad や tac など)を使用することは推奨しません。

この AAA サーバ グループを RADIUS または TACACS+ のデフォルト グループとして定義する場合、ここで定義する名前は、展開時にデバイス設定でデフォルト名(RADIUS または TACACS+)によって自動的に置き換えられます。

[Description]

(任意)オブジェクトの説明。

[Protocol]

グループ内の AAA サーバによって使用されるプロトコル。これらのオプションの詳細については、「サポートされる AAA サーバ タイプ」および「ASA、PIX、および FWSM デバイスでのその他の AAA サポート」を参照してください。

[AAA Servers]

サーバ グループを構成する AAA サーバ ポリシー オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックして、選択したプロトコルを使用する AAA サーバ オブジェクトだけを表示するようにフィルタリングされたリストから選択します。複数のオブジェクトを指定する場合は、カンマで区切ります。選択リストから新しいオブジェクトを作成することもできます。

[Make this Group the Default AAA Server Group (IOS)]

(IOS デバイスのみ)

この AAA サーバ グループを RADIUS または TACACS+ プロトコルのデフォルト グループとして指定するかどうか。AAA を必要とする特定のデバイスのすべてのポリシーに対して、選択したプロトコルで 1 つのグローバル グループを使用する場合、このオプションを選択します。

複数の RADIUS または TACACS+ AAA サーバ グループを作成する場合は、このオプションを選択しないでください。異なる AAA 機能を分離するため(たとえば、認証用に 1 つのグループを使用し、認可用に別のグループを使用)、または VRF 環境で異なるカスタマーを分離するために、複数のグループを使用できます。

(注) IOS ルータを検出するときに、AAA サーバ グループのメンバーではないデバイス設定内の AAA サーバは、CSM-rad-grp(RADIUS の場合)および CSM-tac-grp(TACACS+ の場合)という特別なグループに配置されます。これらはどちらもデフォルト グループとしてマークされています。これら 2 つのグループは、Security Manager でこれらのサーバを管理できるようにするためだけに作成されています。展開中に、これらの特別なグループ内の AAA サーバは、個別のサーバとしてデバイスに展開されます。詳細については、「デフォルトの AAA サーバ グループおよび IOS デバイス」を参照してください。

[Max Failed Attempts]

(PIX、ASA、FWSM デバイスだけ)

グループ内の応答のない AAA サーバが無効になるまでの接続試行の失敗数。

値の範囲は 1 ~ 5 です。

[Reactivation Mode]

(PIX、ASA、FWSM デバイスだけ)

グループ内の障害が発生した AAA サーバを再アクティブ化するときに使用する方式。

[Depletion]:グループ内のすべてのサーバに障害が発生したあとにだけ、障害が発生したサーバを再アクティブ化します。これがデフォルトです。

[Timed]:ダウンタイムの 30 秒後に、障害が発生したサーバを再アクティブ化します。

(注) [Group Accounting Mode] として [Simultaneous] を使用する場合は、[Timed] オプションを使用する必要があります。

[Reactivation Deadtime]

(PIX、ASA、FWSM デバイスだけ)

リアクティベーション モードとして [Depletion] を選択した場合、グループ内の最後のサーバのディアクティベーションとグループ内のすべてのサーバのリアクティベーションの間に必要な時間(分)。値の範囲は 0 ~ 1440 分(24 時間)です。

[Group Accounting Mode]

(PIX、ASA、FWSM デバイスだけ)

RADIUS または TACACS+ プロトコルを使用する場合、アカウンティング メッセージをグループ内の AAA サーバに送信する方式。

[Simultaneous]:アカウンティング メッセージは、グループ内のすべてのサーバに同時に送信されます。

(注) このオプションを選択する場合、[Reactivation Mode] として [Timed] を選択する必要があります。

[Single]:アカウンティング メッセージは、グループ内の 1 つのサーバに送信されます。これがデフォルトです。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

アクセス コントロール リスト オブジェクトの作成

Access Control List(ACL; アクセス コントロール リスト)オブジェクトは、1 つ以上の Access Control Entry(ACE; アクセス コントロール エントリ)、1 つ以上の ACL オブジェクト、または両方の組み合わせで構成されます。各 ACE は、ACL 内の個々の許可または拒否ステートメントです。ACL ポリシー オブジェクトを、複数のその他のポリシーおよびポリシー オブジェクト内で使用できます。

次のタイプの ACL オブジェクトを作成できます。

拡張:拡張 ACL では、送信元および宛先アドレスとサービス(またはトラフィック プロトコル)を指定できます。さらに、プロトコル タイプに基づいて、ポート(TCP または UDP の場合)または ICMP タイプ(ICMP の場合)を指定できます。拡張 ACL オブジェクトの詳細については、「拡張アクセス コントロール リスト オブジェクトの作成」を参照してください。

標準:標準 ACL では、トラフィックのマッチングに送信元アドレスが使用されます。標準 ACL オブジェクトの詳細については、「標準アクセス コントロール リスト オブジェクトの作成」を参照してください。

Web タイプ:Web ACL では、宛先アドレスおよびポートまたは URL フィルタが使用されます。Web タイプ ACL オブジェクトの詳細については、「Web アクセス コントロール リスト オブジェクトの作成」を参照してください。

これらのオブジェクトで使用されるダイアログボックスの参照情報については、「[Add Access List]/[Edit Access List] ダイアログボックス」を参照してください。

拡張アクセス コントロール リスト オブジェクトの作成

拡張アクセス コントロール リストを使用すると、特定の IP アドレスから特定の宛先 IP アドレスおよびポートへのトラフィックを許可または拒否でき、トラフィックのプロトコル(ICMP、TCP、UDP など)を指定できます。拡張 ACL の範囲は 100 ~ 199 であり、Cisco IOS ソフトウェア Release 12.0.1 以降を実行しているデバイスの場合は 2000 ~ 2699 です。

拡張 ACL の例:

access-list 110 - Applied to traffic leaving the office (outgoing)
access-list 110 permit tcp 10.128.2.0 0.0.0.255 any eq 80
 

ACL 110 は、10.128.2.0 ネットワーク上の任意のアドレスから送信されたトラフィックを許可します。「any」ステートメントは、ポート 80 へという制限付きで、トラフィックが任意の宛先アドレスを持つことが許可されることを意味します。0.0.0.0/255.255.255.255 という値を「any」として指定できます。

用途:

NAT(ポリシー NAT および NAT 免除)のアドレスの識別:ポリシー NAT では、拡張アクセス リストで送信元および宛先アドレスとポートを指定することによって、アドレス変換のローカル トラフィックを識別できます。通常の NAT では、ローカル アドレスだけを考慮できます。ポリシー NAT とともに使用されるアクセス リストは、Access Control Entry(ACE; アクセス コントロール エントリ)を拒否するように設定することはできません。

IOS ダイナミック NAT のアドレスの識別:ユーザ定義の ACL の場合、VPN トラフィックから NAT トラフィックを推定するときに、NAT プラグインによって独自の ACL CLI が生成されます。

Network Admission Control(NAC; ネットワーク アドミッション コントロール)によって代行受信されるトラフィックのフィルタリング。

モジュラ ポリシーのトラフィック クラス マップ内のトラフィックの識別:アクセス リストを使用して、クラス マップ内のトラフィックを識別できます。クラス マップは、TCP および一般接続設定、検査、IPS、QoS など、Modular Policy Framework をサポートする機能のために使用されます。1 つ以上のアクセス リストを使用して、特定のタイプのトラフィックを識別できます。

トランスペアレント モードの場合、ルーテッド モードのセキュリティ アプライアンスによってブロックされるプロトコル(BGP、DHCP、マルチキャスト ストリームなど)のイネーブル化。これらのプロトコルには、リターン トラフィックを許可するセキュリティ アプライアンス上のセッションがないため、両方のインターフェイス上にアクセス リストも必要です。

VPN アクセスの確立:VPN コマンドで拡張アクセス リストを使用して、IPsec サイト間トンネルについてデバイスでトンネリングする必要があるトラフィックを識別できます。または、VPN クライアントについてデバイスでトンネリングする必要があるトラフィックを識別できます。表 6-18に示すポリシー オブジェクトおよび設定とともに使用します。

 

表 6-18 ポリシー オブジェクトおよび設定

ポリシー オブジェクト
デバイス
目的

VPN トポロジ

すべて

保護ネットワークの選択。

ASA ユーザ グループ

ASA

インバウンド ファイアウォール ポリシー、アウトバウンド ファイアウォール ポリシー、フィルタ ACL。

トラフィック フロー

ASA 7.x、PIX 7.x

サービス ポリシー規則(MPC)。トラフィック フロー BB(クラス マップ)は、トラフィック一致タイプの 1 つとして拡張 ACL を使用します。

ユーザ グループ

IOS

Catalyst 6500/7600

PIX 6.3

Easy VPN、スプリット トンネル ACL、およびファイアウォール ACL(IOS デバイスだけ)用。

関連項目

「アクセス コントロール リスト オブジェクトの作成」

「アクセス規則のアドレス要件および規則の展開方法について」

「ポリシー オブジェクトの作成」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」


ステップ 1 [Manage] > [Policy Objects] を選択して [Policy Object Manager] を開きます(「[Policy Object Manager] ウィンドウ」を参照)。

ステップ 2 オブジェクト タイプ セレクタから [Access Control Lists] を選択します。

[Access Control List] ページが表示されます。デフォルトで [Extended] タブが開きます。

ステップ 3 作業領域内で右クリックし、[New Object] を選択します。

[Add Extended Access List] ダイアログボックスが表示されます(「[Add Access List]/[Edit Access List] ダイアログボックス」を参照)。

ステップ 4 オブジェクトの名前を入力し、任意でオブジェクトの説明を入力します。

ステップ 5 テーブル内で右クリックし、[Add] を選択します。

[Add Extended Access Control Entry] ダイアログボックスが表示されます。

ステップ 6 アクセス コントロール エントリを作成します。

[Type] で [Access Control Entry] を選択した場合は、照合するトラフィックの特性とトラフィックを許可または拒否するかを指定します。トラフィックが発生する送信元アドレス、トラフィックが到達する宛先アドレス、およびトラフィックの特性を定義するサービスを入力します。[Advanced] をクリックして、ロギング オプションを定義します。ダイアログボックスのフィールドの詳細については、「[Add Extended Access Control Entry]/[Edit Extended Access Control Entry] ダイアログボックス」を参照してください。

[ACL Object] を選択した場合は、使用可能なオブジェクト リストでオブジェクトを選択し、[>>] をクリックしてそのオブジェクトを選択されたオブジェクト リストに追加します。

ステップ 7 [OK] をクリックして変更を保存します。

ダイアログボックスが閉じ、[Add Extended Access List] ページに戻ります。新しいエントリがテーブルに表示されます。必要に応じて、そのエントリを選択し、上下ボタンをクリックして目的の位置に移動します。

ステップ 8 (任意)[Category] の下で、[Objects] テーブルでこのオブジェクトを識別するために使用するカテゴリを選択します。「カテゴリ オブジェクトの使用」を参照してください。

ステップ 9 [OK] をクリックしてオブジェクトを保存します。


 

標準アクセス コントロール リスト オブジェクトの作成

標準アクセス コントロール リストを使用すると、特定の IP アドレスからのトラフィックを許可または拒否できます。パケットの宛先と関連するポートは任意です。標準 IP ACL の範囲は 1 ~ 99 です。

標準 ACL の例:

access-list 10 permit 192.168.2.0 0.0.0.255
 

用途:

OSPF ルート再配布の識別。

SNMP を使用するコミュニティ ストリングのユーザのフィルタリング。

Catalyst 6500/7600 デバイスの VLAN ACL の設定。

関連項目

「アクセス コントロール リスト オブジェクトの作成」

「アクセス規則のアドレス要件および規則の展開方法について」

「ポリシー オブジェクトの作成」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」


ステップ 1 [Manage] > [Policy Objects] を選択して [Policy Object Manager] を開きます(「[Policy Object Manager] ウィンドウ」を参照)。

ステップ 2 オブジェクト タイプ セレクタから [Access Control Lists] を選択します。

[Access Control List] ページが表示されます。

ステップ 3 [Standard] タブをクリックします。

ステップ 4 作業領域内で右クリックし、[New Object] を選択します。

[Add Standard Access List] ダイアログボックスが表示されます(「[Add Access List]/[Edit Access List] ダイアログボックス」を参照)。

ステップ 5 オブジェクトの名前を入力し、任意でオブジェクトの説明を入力します。

ステップ 6 テーブル内で右クリックし、[Add] を選択します。

[Add Standard Access Control Entry] ダイアログボックスが表示されます。

ステップ 7 アクセス コントロール エントリを作成します。

[Type] で [Access Control Entry] を選択した場合は、照合するトラフィックの特性とトラフィックを許可または拒否するかを指定します。トラフィックが発生する送信元アドレスを入力し、ロギング オプションを選択します。ダイアログボックスのフィールドの詳細については、「[Add Standard Access Control Entry]/[Edit Standard Access Control Entry] ダイアログボックス」を参照してください。

[ACL Object] を選択した場合は、使用可能なオブジェクト リストでオブジェクトを選択し、[>>] をクリックしてそのオブジェクトを選択されたオブジェクト リストに追加します。

ステップ 8 [OK] をクリックして変更を保存します。

ダイアログボックスが閉じ、[Add Standard Access List] ダイアログボックスに戻ります。新しいエントリがテーブルに表示されます。必要に応じて、そのエントリを選択し、上下ボタンをクリックして目的の位置に移動します。

ステップ 9 (任意)[Category] の下で、[Objects] テーブルでこのオブジェクトを識別するために使用するカテゴリを選択します。「カテゴリ オブジェクトの使用」を参照してください。

ステップ 10 [OK] をクリックしてオブジェクトを保存します。


 

Web アクセス コントロール リスト オブジェクトの作成

Web ACL(WebVPN とも呼ばれる)を使用すると、Web ブラウザを使用して、セキュリティ アプライアンスへのセキュアなリモート アクセス VPN トンネルを確立できます。ソフトウェアまたはハードウェア クライアントは必要ありません。WebVPN によって、幅広い Web リソースや、Web 対応アプリケーションとレガシー アプリケーションの両方に、HTTPS インターネット サイトに到達できるほとんどのコンピュータから簡単にアクセスできます。WebVPN では、Secure Socket Layer プロトコルとその後継である Transport Layer Security(SSL/TLS1)を使用して、リモート ユーザと、セントラル サイトで設定した特定のサポート対象内部リソース間のセキュアな接続が提供されます。

表 6-19に、Web VPN ACL の例を示します。

 

表 6-19 Web VPN ACL の例

処理
フィルタ
効果

[Deny]

url http://*.yahoo.com/

Yahoo! すべてへのアクセスを拒否します。

[Deny]

url cifs://fileserver/share/directory

指定された場所にあるすべてのファイルへのアクセスを拒否します。

[Deny]

url https://www.company.com/ directory/file.html

指定されたファイルへのアクセスを拒否します。

[Permit]

url https://www.company.com/directory

指定された場所へのアクセスを許可します。

[Deny]

url http://*:8080/

ポート 8080 を介した任意の場所への HTTPS アクセスを拒否します。

[Deny]

url http://10.10.10.10

10.10.10.10 への HTTP アクセスを拒否します。

[Permit]

url any

任意の URL へのアクセスを許可します。通常は、url アクセスを拒否する ACL のあとに使用されます。

用途:

ASA ユーザ グループ ポリシー オブジェクトのフィルタ ACL として([SSL VPN] > [Clientless])。

関連項目

「アクセス コントロール リスト オブジェクトの作成」

「アクセス規則のアドレス要件および規則の展開方法について」

「ポリシー オブジェクトの作成」


ステップ 1 [Manage] > [Policy Objects] を選択して [Policy Object Manager] を開きます(「[Policy Object Manager] ウィンドウ」を参照)。

ステップ 2 オブジェクト タイプ セレクタから [Access Control Lists] を選択します。

[Access Control List] ページが表示されます。

ステップ 3 [Web] タブをクリックします。

ステップ 4 作業領域内で右クリックし、[New Object] を選択します。

[Add WebType Access List] ダイアログボックスが表示されます(「[Add Access List]/[Edit Access List] ダイアログボックス」を参照)。

ステップ 5 オブジェクトの名前を入力し、任意でオブジェクトの説明を入力します。

ステップ 6 アクセス コントロール エントリ テーブル内で右クリックし、[Add] を選択します。

[Add Web Access Control Entry] ダイアログボックスが表示されます。

ステップ 7 アクセス コントロール エントリを作成します。

[Type] で [Access Control Entry] を選択した場合は、照合するトラフィックの特性とトラフィックを許可または拒否するかを指定します。トラフィックのネットワーク宛先(ネットワーク フィルタ)または Web アドレス(URL フィルタ)に基づいてフィルタリングできます。ダイアログボックスのフィールドの詳細については、「[Add Web Access Control Entry]/[Edit Web Access Control Entry] ダイアログボックス」を参照してください。

[ACL Object] を選択した場合は、使用可能なオブジェクト リストでオブジェクトを選択し、[>>] をクリックしてそのオブジェクトを選択されたオブジェクト リストに追加します。

ステップ 8 [OK] をクリックして変更を保存します。

ダイアログボックスが閉じ、[Add WebType Access List] ページに戻ります。新しいエントリがテーブルに表示されます。必要に応じて、そのエントリを選択し、上下ボタンをクリックして目的の位置に移動します。

ステップ 9 (任意)[Category] の下で、[Objects] テーブルでこのオブジェクトを識別するために使用するカテゴリを選択します。「カテゴリ オブジェクトの使用」を参照してください。

ステップ 10 [OK] をクリックしてオブジェクトを保存します。


 

[Add Access List]/[Edit Access List] ダイアログボックス

[Add Access List]/[Edit Access List] ダイアログボックスを使用して、ACL オブジェクトの Access Control Entry(ACE; アクセス コントロール エントリ)を定義します。このページから、テーブル内の ACE と ACL オブジェクトの順序の変更、ACE と ACL オブジェクトの追加、編集、削除を行うことができます。

ダイアログボックスのタイトルは、作成する ACL のタイプ(拡張、標準、または Web タイプ)を示します。ダイアログボックスは基本的には同じであり、ACE テーブルに表示されるカラムだけが異なります。

ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [Access Control Lists] を選択します。作成する ACL オブジェクトのタイプのタブを選択し、作業領域内で右クリックして [New Object] を選択するか、行を右クリックして [Edit Object] を選択します。

関連項目

「アクセス コントロール リスト オブジェクトの作成」

「拡張アクセス コントロール リスト オブジェクトの作成」

「標準アクセス コントロール リスト オブジェクトの作成」

「Web アクセス コントロール リスト オブジェクトの作成」

「連続および不連続ネットワーク マスク(IPv4 アドレスに対応)」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」

フィールド リファレンス

 

表 6-20 [Add Access List]/[Edit Access List] ダイアログボックス

要素
説明

[Name]

最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

[Description]

(任意)オブジェクトの説明。

[Access Control Entry table]

ACL の一部である Access Control Entry(ACE; アクセス コントロール エントリ)および ACL オブジェクト。テーブルには、エントリまたはオブジェクトの名前、説明、オプション、サービス、およびエントリのその他の属性が表示されます。

[Permit] カラムで、緑色のチェックマークはエントリがトラフィックを許可することを示し(通常、トラフィックは定義しているサービスについて一致と見なされます)、スラッシュの入った赤色の丸はトラフィックが拒否されることを示します(通常、トラフィックは不一致と見なされ、定義しているサービスは拒否されたトラフィックには適用されません)。

送信元アドレスおよび(該当する場合)宛先アドレスは、ホスト IP アドレス、ネットワーク アドレス、またはネットワーク/ホスト ポリシー オブジェクトです。

ACE を追加するには、[Add] ボタンをクリックし、作成するタイプの ACL のダイアログボックスに入力を行います。

「[Add Extended Access Control Entry]/[Edit Extended Access Control Entry] ダイアログボックス」

「[Add Standard Access Control Entry]/[Edit Standard Access Control Entry] ダイアログボックス」

「[Add Web Access Control Entry]/[Edit Web Access Control Entry] ダイアログボックス」

ACE を編集するには、ACE を選択し、[Edit] ボタンをクリックします。

ACE を削除するには、ACE を選択し、[Delete] ボタンをクリックします。

エントリの位置を変更するには、エントリを選択し、必要に応じて上下の矢印ボタンをクリックします。エントリは上から下へ評価されるため、正しく位置付けることが意図した結果を得るために重要です。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

[Add Extended Access Control Entry]/[Edit Extended Access Control Entry] ダイアログボックス

[Add Extended Access Control Entry]/[Edit Extended Access Control Entry] ダイアログボックスを使用して、Access Control Entry(ACE; アクセス コントロール エントリ)または ACL オブジェクトを拡張 ACL オブジェクトに追加します。

ナビゲーション パス

拡張 ACL オブジェクトの「[Add Access List]/[Edit Access List] ダイアログボックス」から、ACE テーブルの [Add] ボタンをクリックするか、行を選択して [Edit] ボタンをクリックします。

関連項目

「拡張アクセス コントロール リスト オブジェクトの作成」

「アクセス規則のアドレス要件および規則の展開方法について」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」

「セレクタ内の項目のフィルタリング」

フィールド リファレンス

 

表 6-21 [Add Extended Access Control Entry]/[Edit Extended Access Control Entry] ダイアログボックス

要素
説明

[Type]

追加するエントリのタイプ。ダイアログボックスのフィールドは、選択に応じて変わります。

[Access Control Entry]:ACE を定義します。

[ACL Objects]:既存の ACL オブジェクトを追加します。使用可能な ACL オブジェクトのリストが表示されます。追加するオブジェクトを選択し、[>>] ボタンをクリックして選択されたオブジェクト リストに移動します。オブジェクトを削除するには、オブジェクトを選択して [<<] をクリックします。選択されたオブジェクト リスト内のオブジェクトを編集することもできます。

[Action]

エントリで定義されトラフィックに対するアクション:

[Permit]:この ACL に関連付けられているサービスはこのトラフィックに適用されます。つまり、トラフィックはサービスの使用が許可されます。

[Deny]:この ACL に関連付けられているサービスはこのトラフィックに適用されません。サービスに複数の ACL が設定されている場合、拒否されたトラフィックは、通常はリスト内の次の ACL と比較されます。そのトラフィックが ACL 内の permit エントリと一致しない場合、サービスはトラフィックに適用されません。トラフィックがネットワークからドロップされるかどうかは、サービスによって決まります。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Source]

[Destination]

トラフィックの送信元または宛先。項目をカンマで区切って複数の値を入力できます。

次のアドレス タイプを組み合わせて入力できます。詳細については、「ポリシー定義中の IP アドレスの指定」を参照してください。

ネットワーク/ホスト オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します。選択リストから、新しいネットワーク/ホスト オブジェクトを作成することもできます。

ホスト IP アドレス(10.10.10.100 など)。

ネットワーク アドレスとサブネット マスク。形式は 10.10.10.0/24 または 10.10.10.0/255.255.255.0。

IP アドレスの範囲(10.10.10.100-10.10.10.200 など)。

10.10.0.10/255.255.0.255 形式の IP アドレスのパターン。この場合のマスクは不連続なビット マスクです(「連続および不連続ネットワーク マスク(IPv4 アドレスに対応)」を参照)。

[Services]

動作対象のトラフィック タイプを定義するサービス。項目をカンマで区切って複数の値を入力できます。

サービス オブジェクトおよびサービス タイプの任意の組み合わせ(通常はプロトコルとポートの組み合わせ)を入力できます。サービスを入力する場合は、有効な値の入力を求められます。リストから値を選択して、Enter または Tab を押します。

サービスを指定する方法の詳細については、「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。

[Description]

(任意)オブジェクトの説明。

[Advanced] ボタン

このボタンをクリックして、エントリのロギング オプションを定義します。

PIX、ASA、および FWSM デバイスの場合、次の項目をイネーブルにすることができます。

[Default logging]:パケットが拒否されると、メッセージ 106023 が生成されます。パケットが許可された場合、メッセージは生成されません。

[Per ACE logging]:パケットが拒否されると、メッセージ 106100 が生成されます。メッセージのロギング重大度レベルおよびメッセージを生成する間隔(1 ~ 600 秒)を選択できます。

IOS デバイスの場合、ロギングをイネーブルにすると、エントリと一致したパケットに関する情報メッセージがコンソールに送信されます。入力インターフェイスおよび送信元 MAC アドレスまたは VC をロギング出力に含めるように選択することもできます。

[Add Standard Access Control Entry]/[Edit Standard Access Control Entry] ダイアログボックス

[Add Standard Access Control Entry]/[Edit Standard Access Control Entry] ダイアログボックスを使用して、Access Control Entry(ACE; アクセス コントロール エントリ)または ACL オブジェクトを標準 ACL オブジェクトに追加します。

ナビゲーション パス

標準 ACL オブジェクトの「[Add Access List]/[Edit Access List] ダイアログボックス」から、ACE テーブルの [Add] ボタンをクリックするか、行を選択して [Edit] ボタンをクリックします。

関連項目

「標準アクセス コントロール リスト オブジェクトの作成」

「アクセス規則のアドレス要件および規則の展開方法について」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」

「セレクタ内の項目のフィルタリング」

フィールド リファレンス

 

表 6-22 [Add Standard Access Control Entry]/[Edit Standard Access Control Entry] ダイアログボックス

要素
説明

[Type]

追加するエントリのタイプ。ダイアログボックスのフィールドは、選択に応じて変わります。

[Access Control Entry]:ACE を定義します。

[ACL Objects]:既存の ACL オブジェクトを追加します。使用可能な ACL オブジェクトのリストが表示されます。追加するオブジェクトを選択し、[>>] ボタンをクリックして選択されたオブジェクト リストに移動します。オブジェクトを削除するには、オブジェクトを選択して [<<] をクリックします。選択されたオブジェクト リスト内のオブジェクトを編集することもできます。

[Action]

エントリで定義されトラフィックに対するアクション:

[Permit]:この ACL に関連付けられているサービスはこのトラフィックに適用されます。つまり、トラフィックはサービスの使用が許可されます。

[Deny]:この ACL に関連付けられているサービスはこのトラフィックに適用されません。サービスに複数の ACL が設定されている場合、拒否されたトラフィックは、通常はリスト内の次の ACL と比較されます。そのトラフィックが ACL 内の permit エントリと一致しない場合、サービスはトラフィックに適用されません。トラフィックがネットワークからドロップされるかどうかは、サービスによって決まります。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Source]

トラフィックの送信元。項目をカンマで区切って複数の値を入力できます。

次のアドレス タイプを組み合わせて入力できます。詳細については、「ポリシー定義中の IP アドレスの指定」を参照してください。

ネットワーク/ホスト オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します。選択リストから、新しいネットワーク/ホスト オブジェクトを作成することもできます。

ホスト IP アドレス(10.10.10.100 など)。

ネットワーク アドレスとサブネット マスク。形式は 10.10.10.0/24 または 10.10.10.0/255.255.255.0。

IP アドレスの範囲(10.10.10.100-10.10.10.200 など)。

10.10.0.10/255.255.0.255 形式の IP アドレスのパターン。この場合のマスクは不連続なビット マスクです(「連続および不連続ネットワーク マスク(IPv4 アドレスに対応)」を参照)。

[Description]

(任意)オブジェクトの説明。

[Log Option]

トラフィックがエントリ基準を満たしたときにログ エントリを作成するかどうか。ACL ロギングによって、拒否されたパケットに対して syslog メッセージ 106023 が生成されます。拒否されたパケットをログに記録するには、拒否パケットが存在する必要があります。

[Add Web Access Control Entry]/[Edit Web Access Control Entry] ダイアログボックス

[Add Web Access Control Entry]/[Edit Web Access Control Entry] ダイアログボックスを使用して、Access Control Entry(ACE; アクセス コントロール エントリ)または ACL オブジェクトを Web タイプ ACL オブジェクトに追加します。

ナビゲーション パス

Web タイプ ACL オブジェクトの「[Add Access List]/[Edit Access List] ダイアログボックス」から、ACE テーブルの [Add] ボタンをクリックするか、行を選択して [Edit] ボタンをクリックします。

関連項目

「Web アクセス コントロール リスト オブジェクトの作成」

「アクセス規則のアドレス要件および規則の展開方法について」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」

「セレクタ内の項目のフィルタリング」

フィールド リファレンス

 

表 6-23 [Add Web Access Control Entry]/[Edit Web Access Control Entry] ダイアログボックス

要素
説明

[Type]

追加するエントリのタイプ。ダイアログボックスのフィールドは、選択に応じて変わります。

[Access Control Entry]:ACE を定義します。

[ACL Objects]:既存の ACL オブジェクトを追加します。使用可能な ACL オブジェクトのリストが表示されます。追加するオブジェクトを選択し、[>>] ボタンをクリックして選択されたオブジェクト リストに移動します。オブジェクトを削除するには、オブジェクトを選択して [<<] をクリックします。選択されたオブジェクト リスト内のオブジェクトを編集することもできます。

[Action]

エントリで定義されトラフィックに対するアクション:

[Permit]:この ACL に関連付けられているサービスはこのトラフィックに適用されます。つまり、トラフィックはサービスの使用が許可されます。

[Deny]:この ACL に関連付けられているサービスはこのトラフィックに適用されません。サービスに複数の ACL が設定されている場合、拒否されたトラフィックは、通常はリスト内の次の ACL と比較されます。そのトラフィックが ACL 内の permit エントリと一致しない場合、サービスはトラフィックに適用されません。トラフィックがネットワークからドロップされるかどうかは、サービスによって決まります。

[Filter Destination]

エントリがネットワーク フィルタ(ホストまたはネットワーク アドレス)を指定するか、URL フィルタ(Web サイト アドレス)を指定するか。ダイアログボックスのフィールドは、選択に応じて変わります。そのフィールドについては次で説明します。

[Destination]

(ネットワーク フィルタだけ)

トラフィックの宛先。項目をカンマで区切って複数の値を入力できます。

次のアドレス タイプを組み合わせて入力できます。詳細については、「ポリシー定義中の IP アドレスの指定」を参照してください。

ネットワーク/ホスト オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します。選択リストから、新しいネットワーク/ホスト オブジェクトを作成することもできます。

ホスト IP アドレス(10.10.10.100 など)。

ネットワーク アドレスとサブネット マスク。形式は 10.10.10.0/24 または 10.10.10.0/255.255.255.0。

IP アドレスの範囲(10.10.10.100-10.10.10.200 など)。

10.10.0.10/255.255.0.255 形式の IP アドレスのパターン。この場合のマスクは不連続なビット マスクです(「連続および不連続ネットワーク マスク(IPv4 アドレスに対応)」を参照)。

[Ports]

(ネットワーク フィルタだけ)

トラフィックが使用するポートを定義するポート番号またはポート リスト ポリシー オブジェクト(ポート ID を使用する場合)。項目をカンマで区切って複数の値を入力できます。

次のタイプを組み合わせて入力できます。

ポート リスト オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します。選択リストから、新しいポート リスト オブジェクトを作成することもできます。

ポート番号。80 など。

ポート範囲。80 ~ 90 など。

[URL Filter]

(URL フィルタだけ)

トラフィックの Universal Resource Locator(URL)つまり Web アドレス。すべての値と一致するワイルドカードとして、アスタリスクを使用できます。たとえば、http://*.cisco.com は、cisco.com ネットワーク上のすべてのサーバと一致します。任意の有効な URL を指定できます。

[Logging]

このエントリに対して使用するロギングのタイプ。

ログ エントリを作成しない場合は、[Log Disabled] を選択します。

デバイスのデフォルト設定を使用する場合は、[Default] を選択します。

使用可能なその他のすべてのオプションでは、ロギングがイネーブルになり、使用されるログ レベルが指定されます。

[Logging Interval]

ロギング メッセージの生成に使用される間隔(秒単位)。1 ~ 600。デフォルトは 300 です。このフィールドは、[Logging] フィールドでロギング レベルを選択した場合にだけ変更できます。

[Time Range]

エントリに関連付けられる時間範囲を定義する時間範囲ポリシー オブジェクト。時間範囲によってデバイスへのアクセスが定義されます。時間範囲は、デバイスのシステム クロックによって異なります。詳細については、「時間範囲オブジェクトの設定」を参照してください。

オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します。選択リストから、新しい時間範囲オブジェクトを作成することもできます。

(注) 時間範囲は、FWSM 2.x デバイスまたは PIX 6.3 デバイスではサポートされていません。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Description]

(任意)オブジェクトの説明。

時間範囲オブジェクトの設定

[Add Time Range]/[Edit Time Range] ダイアログボックスを使用して、時間範囲オブジェクトを作成、編集、またはコピーします。

時間ベースの ACL および一部のファイアウォール規則を作成するときに使用する時間範囲オブジェクトを作成できます。機能は拡張 ACL と同様ですが、時間ベースの ACL では時間を考慮したアクセス コントロールが可能です。時間範囲が特定の規則に適用され、それらの規則は範囲で定義された特定の時間アクティブになります。たとえば、特定のタイプのアクセスを許可または阻止する通常の勤務時間の規則を実装できます。

また、VPN アクセスを週のうちの特定の時間に制限するように ASA ユーザ グループを定義する場合に、時間範囲オブジェクトを使用できます。詳細については、「ASA グループ ポリシーの SSL VPN 設定」を参照してください。

時間範囲オブジェクトは、デバイスのシステム クロックに依存させることができますが、Network Time Protocol(NTP; ネットワーク タイム プロトコル)同期を使用すると最適に動作します。

ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [Time Ranges] を選択します。作業領域内で右クリックして [New Object] を選択するか、または行を右クリックして [Edit Object] を選択します。

フィールド リファレンス

 

表 6-24 [Time Range] ダイアログボックス

要素
説明

[Name]

最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

[Description]

(任意)最大 1024 文字のオブジェクトの説明。

[Start Time]

[End Time]

時間範囲オブジェクトの全体的な開始時刻および終了時刻。

[Start Now]:展開の時刻を開始時刻として定義します。

[Never End]:範囲の終了時刻を定義しません。

[Start At]、[End At]:特定の開始日と開始時刻または終了日と終了時刻を定義します。カレンダー アイコンをクリックして、日付選択用のツールを表示します。24 時間形式(HH:MM)を使用して [Time] フィールドに時刻を入力します。

[Recurring Ranges]

全体的な開始時刻および終了時刻内で発生する繰り返し期間(ある場合)。たとえば、勤務時間を定義する時間範囲オブジェクトを作成する場合、全体的な範囲については [Start Now] および [Never End] を選択し、平日の 08:00 ~ 18:00 という繰り返し範囲を入力できます。

範囲を追加するには、[New Recurring Range] ボタンをクリックし、「[Recurring Ranges] ダイアログボックス」に入力します。

範囲を編集するには、その範囲を選択して [Edit Recurring Range] ボタンをクリックします。

範囲を削除するには、その範囲を選択して [Delete Recurring Range] ボタンをクリックします。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Recurring Ranges] ダイアログボックス

[Recurring Ranges] ダイアログボックスを使用して、時間範囲オブジェクトの一部として定義される繰り返し時間間隔を追加または編集します。必要な数の繰り返し範囲を定義できます。

ナビゲーション パス

[Add Time Range]/[Edit Time Range] ダイアログボックスに移動し、[Recurring Ranges] の下の [New Recurring Range] ボタンをクリックするか、範囲を選択して [Edit Recurring Range] をクリックします。「時間範囲オブジェクトの設定」を参照してください。

フィールド リファレンス

 

表 6-25 [Recurring Ranges] ダイアログボックス

要素
説明

[Specify days of the week and times during which this recurring range will be active]

特定の曜日と時間に基づく繰り返し範囲を定義します。次の中から選択できます。

[Every day]

[Weekdays]

[Weekends]

[On these days of the week]:範囲に含める特定の日を選択します。

1 日のうちの開始時刻と終了時刻も選択します。デフォルトはすべての日です。

[Specify a weekly interval during which this recurring range will be active]

毎週の繰り返し範囲を定義します。開始日と開始時刻および終了日と終了時刻を選択します。たとえば、週の期間を日曜日に開始し、木曜日に終了できます。

インターフェイス ロール オブジェクトについて

インターフェイス ロール オブジェクトには次の用途があります。

複数のインターフェイスの指定:インターフェイス ロール オブジェクトを使用すると、各インターフェイスの名前を手動で定義することなく、複数のデバイス上の特定のインターフェイスにポリシーを適用できます。ほとんどのデバイスはインターフェイスについて標準的な命名規則に従っているため、特定のインターフェイス タイプを示す命名パターンを定義し、そのパターンと一致するすべてのインターフェイスにポリシーを適用できます。

ゾーン:インターフェイス ロール オブジェクトを使用して、ゾーンベースのファイアウォール規則ポリシーでゾーンを定義できます。

たとえば、DMZ* という命名パターンでインターフェイス ロールを定義します。このインターフェイス ロールをポリシーに含めると、そのポリシーは、選択したデバイス上の、名前が「DMZ」で始まるすべてのインターフェイスに適用されます。その結果、たとえば、すべての DMZ インターフェイスでアンチ スプーフィング チェックをイネーブルにするポリシーを、関連するすべてのデバイス インターフェイスに 1 回のアクションで適用できます。インターフェイス ロールは、デバイス上の実際のインターフェイスのいずれかを参照できます。インターフェイスには、物理インターフェイス、サブインターフェイス、仮想インターフェイス(ループバック インターフェイスなど)があります。

インターフェイス ロールは、一方のインターフェイスと他方のポリシー間の間接エンティティとして機能します。このことにより、割り当てられたロールに基づいて、特定のデバイス インターフェイスにポリシーを適用できます。また、特定のインターフェイス タイプに対して使用されている命名規則を変更する場合に、どのポリシーが変更を影響を受けるかを判別する必要がありません。インターフェイス ロールを編集するだけで済みます。

インターフェイス ロールは、新しいデバイスにポリシーを適用するときに特に役立ちます。追加するデバイスが既存のデバイスと同じインターフェイス命名方式を共有しているかぎり、追加割り当てを行わなくても、該当するポリシーをそれらに拡張できます。

Security Manager には、次の定義済みのインターフェイス ロールがあります。

All-Interfaces:特定のデバイスで定義されているすべてのインターフェイスが含まれます。

Internal:ネットワークの内側にある、特定のインターフェイスだけが含まれます。リストについてはオブジェクト定義を参照してください。

External:ネットワークの外側にある、特定のインターフェイスだけが含まれます。リストについてはオブジェクト定義を参照してください。

Self:いずれのインターフェイスも含まれません。Self インターフェイス ロールは、ゾーンベースのファイアウォール規則ポリシーに固有です。Self ゾーンはルータ自体です。これを使用して、ルータから送信されたトラフィックまたはルータに送信されるトラフィックを識別できます。ルータを通過するトラフィックは含まれません。

次の項では、インターフェイス ロール オブジェクトを操作する方法について説明します。

「インターフェイス ロール オブジェクトの作成」

「ポリシー定義中のインターフェイスの指定」

「単一のインターフェイス指定が許可されている場合のインターフェイス ロールの使用」

「インターフェイスとインターフェイス ロール間の名前の競合の処理」

インターフェイス ロール オブジェクトの作成

デバイス上の 1 つ以上のインターフェイスを表すインターフェイス ロール オブジェクトを作成できます。これらのロールは、インターフェイスまたはゾーンを必要とするポリシーを定義するときに使用できます。インターフェイス ロール オブジェクトを作成する場合、オブジェクトに含めるデバイス インターフェイスの命名パターンを定義する必要があります。インターフェイス ロールは、デバイス上の実際のインターフェイスのいずれかを参照できます。インターフェイスには、物理インターフェイス、サブインターフェイス、仮想インターフェイスがあります。


ヒント このオブジェクト タイプを使用するポリシーまたはオブジェクトを定義するときに、インターフェイス ロール オブジェクトを作成することもできます。詳細については、「ポリシーのオブジェクトの選択」を参照してください。

関連項目

「ポリシー オブジェクトの作成」

「ポリシー定義中のインターフェイスの指定」

「インターフェイス ロール オブジェクトについて」

「単一のインターフェイス指定が許可されている場合のインターフェイス ロールの使用」

「オブジェクト オーバーライドの管理」


ステップ 1 [Manage] > [Policy Objects] を選択して [Policy Object Manager] を開きます(「[Policy Object Manager] ウィンドウ」を参照)。

ステップ 2 オブジェクト タイプ セレクタから [Interface Roles] を選択します。

ステップ 3 作業領域内で右クリックし、[New Object] を選択します。

[Interface Role] ダイアログボックスが表示されます。

ステップ 4 オブジェクトの名前を入力し、任意でオブジェクトの説明を入力します。名前は最大 128 文字、説明は最大 1024 文字です。

ステップ 5 インターフェイス ロール オブジェクトの命名パターンを 1 つ以上入力します。名前は、インターフェイス、サブインターフェイス、およびその他の仮想インターフェイスの完全な名前または名前の一部です。複数の名前パターンを指定する場合は、カンマで区切ります。

次のワイルドカードを使用して、複数のインターフェイスに適用する名前パターンを作成できます。

ピリオド(.)は、1 文字を表すワイルドカードとして使用します。

ピリオドをパターン自体の一部として使用するには(たとえば、サブインターフェイスを定義するとき)、ピリオドの前にバックスラッシュ(\)を入力します。

アスタリスク(*)は、インターフェイス パターンの末尾にある 1 つ以上の文字を表すワイルドカードとして使用します。たとえば、FastEthernet* には、FastEthernet0 および FastEthernet1 という名前のインターフェイスが一致します。

パターンにワイルドカードが含まれていない場合は、インターフェイスの名前と正確に一致する必要があります。たとえば、パターン「FastEthernet」は、パターンの最後にアスタリスクを使用しないかぎり、FastEthernet0/1 とは一致しません。

ステップ 6 (任意)[Category] の下で、[Objects] テーブルでこのオブジェクトを識別するために使用するカテゴリを選択します。「カテゴリ オブジェクトの使用」を参照してください。

ステップ 7 (任意)[Allow Value Override per Device] を選択して、このオブジェクトのプロパティを個々のデバイスで再定義できるようにします。「ポリシー オブジェクトの上書きの許可」を参照してください。

ステップ 8 [OK] をクリックしてオブジェクトを保存します。


 

[Interface Role] ダイアログボックス

[Interface Role] ダイアログボックスを使用して、インターフェイス ロール オブジェクトを作成、コピー、または編集します。インターフェイス ロール オブジェクトには次の用途があります。

複数のインターフェイスの指定:インターフェイス ロール オブジェクトを使用すると、各インターフェイスの名前を手動で定義することなく、複数のデバイス上の特定のインターフェイスにポリシーを適用できます。

ゾーン:インターフェイス ロール オブジェクトを使用して、ゾーンベースのファイアウォール規則ポリシーでゾーンを定義できます。

ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [Interface Roles] を選択します。作業領域内で右クリックして [New Object] を選択するか、または行を右クリックして [Edit Object] を選択します。

関連項目

「ポリシー オブジェクトの作成」

「インターフェイス ロール オブジェクトの作成」

「単一のインターフェイス指定が許可されている場合のインターフェイス ロールの使用」

「ポリシー定義中のインターフェイスの指定」

「インターフェイス ロール オブジェクトについて」

「ゾーンベースのファイアウォール規則について」

「[Policy Object Manager] ウィンドウ」

フィールド リファレンス

 

表 6-26 [Interface Role] ダイアログボックス

要素
説明

[Name]

ポリシー オブジェクトの名前。最大 128 文字を使用できます。

[Description]

ポリシー オブジェクトの説明。最大 1024 文字を使用できます。

[Interface Name Patterns]

このインターフェイス ロールに含める名前。名前は、インターフェイス、サブインターフェイス、およびその他の仮想インターフェイスの完全な名前または名前の一部です。複数の名前パターンを指定する場合は、カンマで区切ります。

次のワイルドカードを使用して、複数のインターフェイスに適用する名前パターンを作成できます。

ピリオド(.)は、1 文字を表すワイルドカードとして使用します。

ピリオドをパターン自体の一部として使用するには(たとえば、サブインターフェイスを定義するとき)、ピリオドの前にバックスラッシュ(\)を入力します。

アスタリスク(*)は、インターフェイス パターンの末尾にある 1 つ以上の文字を表すワイルドカードとして使用します。たとえば、FastEthernet* には、FastEthernet0 および FastEthernet1 という名前のインターフェイスが一致します。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

ポリシー定義中のインターフェイスの指定

インターフェイスの識別を必要とするポリシーを設定する場合、次に示すように、インターフェイスを指定するための複数のオプションがあります。

インターフェイスの名前(Ethernet0 など)を手動で入力します。

ポリシー定義の一部としてサブインターフェイスを手動で指定するには、ピリオドの前にバックスラッシュ(\)を入力する必要があります。Ethernet0\.1 などのように入力します。

バックスラッシュなしでピリオドを入力すると、ピリオドは Security Manager によって 1 文字のワイルドカードとして処理されます。たとえば、Ethernet1/1.0 をアクセス規則の一部として定義する場合は、 Ethernet1/1\.0 と入力する必要があります。代わりに Ethernet1/1.0 と入力すると、単独のピリオドはワイルドカードとして処理されるため、名前は Ethernet1/1.0 や Ethernet1/1/0 というインターフェイスと一致します。

インターフェイス ロールの名前を手動で入力します。インターフェイス ロールの詳細については、「インターフェイス ロール オブジェクトについて」を参照してください。

インターフェイスまたはインターフェイス ロールをリストから選択します。[Interfaces] フィールドの横の [Select] をクリックすることにより、有効なインターフェイス名およびインターフェイス ロールのリストが表示されます。サブインターフェイスは、名前の中のピリオドの前にバックスラッシュが付いて表示されます。

リストから選択することによって、エントリが有効であることを保証できます。詳細については、「ポリシーのオブジェクトの選択」を参照してください。

ポリシーで複数のインターフェイスが許可されている場合、エントリをカンマで区切ります。

ポリシーおよびオブジェクト セレクタでは、インターフェイスとインターフェイス ロールはアイコンによって区別されます。インターフェイスと同じ名前のインターフェイス ロールを作成する場合は、必要なものを正確に選択するように注意してください。 表 6-27 に、アイコンの説明を示します。

 

表 6-27 インターフェイスおよびインターフェイス ロールのアイコン

タイプ
アイコン

インターフェイス

 

インターフェイス ロール

ロールを編集できる場合は、鉛筆のイメージがアイコンに重なっています。

 

ASA 8.3+ デバイス上のグローバル「インターフェイス」。インターフェイス固有ではなくグローバルとして作成された規則に対して使用されます。

 

関連項目

「Cisco IOS ルータでの基本的なインターフェイス設定」

「ファイアウォール デバイスのインターフェイスの設定」

「インターフェイス ロール オブジェクトについて」

「インターフェイス ロール オブジェクトの作成」

「単一のインターフェイス指定が許可されている場合のインターフェイス ロールの使用」

単一のインターフェイス指定が許可されている場合のインターフェイス ロールの使用

インターフェイス ロール オブジェクトは、ロールの定義方法に応じて、デバイス上で定義されている実際のインターフェイスと一致する数が変化します。つまり、特定のデバイスについて、インターフェイス ロールが 0 個、1 個、または複数個のインターフェイスと一致する場合があります。インターフェイス ロールをポリシーで使用すると、Security Manager によってロールはコマンドに変換されます。これらのコマンドによって、デバイス上で定義されている、ロールと一致するすべてのインターフェイスが設定されます。

ただし、多くのポリシーでは、単一のインターフェイス名を指定する必要があります。ポリシーによって単一のインターフェイス名が許可されている状況でインターフェイス ロールを使用する場合は、単一のインターフェイスと一致するようにインターフェイス ロールを定義する必要があります。デバイス上の複数のインターフェイスと一致するインターフェイス ロールを使用すると、Security Manager によってロールと一致するデバイス上の最初のインターフェイスが選択されますが、それが該当するインターフェイスではない場合があります(該当するインターフェイスの場合は適切に機能します)。

関連項目

「ポリシー定義中のインターフェイスの指定」

「インターフェイス ロール オブジェクトについて」

「インターフェイス ロール オブジェクトの作成」

インターフェイスとインターフェイス ロール間の名前の競合の処理

通常の状況では、デバイス上の実際のインターフェイスと同じ名前のインターフェイス ロールを設定できます。ポリシーを定義するときにオブジェクト セレクタを使用する場合(「ポリシーのオブジェクトの選択」を参照)、使用可能な選択肢としてインターフェイスとインターフェイス ロールの両方が表示され、いずれかを選択できます。ポリシーを定義するときにこの共通の名前を入力すると、Security Manager によって、インターフェイスではなくインターフェイス ロールがポリシーに自動的に関連付けられます。

ただし、次の状況では名前の競合が発生する可能性があります。

1. ポリシーを定義するときにインターフェイスの名前を入力します。

2. その後、同じ名前のインターフェイス ロールを作成します。

3. ポリシーを定義するときにこの名前を再度入力します。

4. [Select] をクリックしてオブジェクト セレクタを表示するか、[Save] をクリックしてポリシーを保存するか、一部の場合には、[OK] をクリックしてポリシーを更新します。

この一連のイベントが発生すると、インターフェイスを指定するかインターフェイス ロールを指定するかを選択できるように、[Interface Name Conflict] ダイアログボックスが自動的に開きます。ダイアログボックスには、競合が発生している名前だけが表示されます。

関連項目

「ポリシー定義中のインターフェイスの指定」

「インターフェイス ロール オブジェクトについて」

マップ オブジェクトについて

Policy Object Manager の Maps フォルダ内のオブジェクトを使用すると、インスペクション規則、ゾーンベースのファイアウォール規則、IPS、QoS、接続規則の各ポリシーのクラス マップ、パラメータ マップ、およびポリシー マップを設定できます。これらのポリシーで使用できるマップのタイプは、デバイスで実行されているオペレーティング システムおよび特定のバージョン番号によって異なるため、通常は、ポリシーを設定するときにマップを設定するのが最適です。


ヒント デバイスでは、設定するすべてのマップに一意の名前が必要です。たとえば、同じデバイス上の FTP と DNS クラス マップに対して同じ名前は使用できません。デバイスに対して同じ名前のマップを選択すると、Security Manager によって、重複する名前に数値のサフィックスが自動的に付加されます。dnsmap_1 などです。

Maps フォルダには、次のフォルダが含まれています。サブフォルダによって、マップはインスペクションに使用されるか Web コンテンツ フィルタリングに使用されるかに基づいて整理されます。

Class Maps:動作対象のトラフィックを識別するために使用されるレイヤ 7 クラス マップ。

Parameter Maps:ゾーンベースのファイアウォール規則ポリシーで使用される設定を設定するパラメータ マップ、またはその他のマップ。

Policy Maps:選択されたトラフィックに対して実行するアクションを識別するために使用されるレイヤ 7 ポリシー マップ。

Maps フォルダには、TCP マップ オブジェクト(レイヤ 4 オブジェクト)、正規表現オブジェクト、および正規表現グループ オブジェクトのエントリも含まれています。

次の項では、さまざまなタイプのマップについて詳細に説明します。

クラス マップ

クラス マップは、ポリシー マップの下位にあります。クラス マップをデバイス ポリシーで直接指定することはできません。代わりに、ポリシー マップを作成してクラス マップを組み込みます。クラス マップ自体では、インスペクション規則またはゾーンベースのファイアウォール規則で対象とするトラフィックの一致条件が定義されます。

ASA/PIX 7.2 以降、および FWSM デバイス:DNS、FTP、HTTP、IM、および SIP トラフィックのインスペクション用のクラス マップを作成できます。トラフィック一致をポリシー マップ オブジェクト内で直接定義するオプションもありますが、別々のクラス マップを作成すると、複数のポリシー マップで再利用できます。

IOS 12.4(6)T 以降のデバイス:IM アプリケーション(AOL、ICQ、MSN Messenger、Windows Messenger、および Yahoo Messenger)、P2P アプリケーション(eDonkey、FastTrack、Gnutella、Kazaa2)、H.323、HTTP、IMAP、POP3、SIP、SMTP、Sun RPC のインスペクション用のクラス マップを作成できます。ローカル、N2H2、Trend、および Websense オブジェクトを使用して、Web コンテンツのフィルタリング用のクラス マップを作成することもできます。

ASA/PIX/FWSM に使用されるクラス マップとは異なり、別々のクラス マップを作成し、関連するポリシー マップから参照する必要があります。これらのポリシー マップは、ゾーンベースのファイアウォール インスペクション規則またはコンテンツ フィルタリング規則で使用できます。詳細については、次の項を参照してください。

「ゾーンベースのファイアウォール ポリシーのインスペクション マップの設定」

「ゾーンベースのファイアウォール ポリシーのコンテンツ フィルタリング マップの設定」

クラス マップを作成するには、次の項を参照してください。

「インスペクション ポリシーのクラス マップの設定」

「ゾーンベースのファイアウォール ポリシーのクラス マップの設定」

クラス マップ、パラメータ マップ、およびポリシー マップで使用できる正規表現および正規表現グループを作成するには、次の項を参照してください。

「インスペクション マップの正規表現の設定」

「正規表現グループの設定」

パラメータ マップ

パラメータ マップによって、ゾーンベースのファイアウォール インスペクション規則またはコンテンツ フィルタリング規則、あるいは他のポリシー マップ オブジェクトで使用できる設定が定義されます。

インスペクション:一般的なゾーンベースのファイアウォール規則パラメータ用のインスペクション パラメータ マップ、または IM アプリケーション インスペクションで使用するプロトコル情報パラメータ マップを作成できます。

コンテンツ フィルタリング:ローカル、N2H2、Trend、URL フィルタ、URLF Glob、Websense パラメータ マップを作成して、Web コンテンツ フィルタリングを定義できます。

ポリシー マップ

ポリシー マップを設定して、インスペクションのデフォルト アクションを変更したり、ゾーンベースのファイアウォール設定ポリシーで Web コンテンツ フィルタリングを設定したりすることができます。ポリシー マップは、通常、特別な処理を必要とするアプリケーションに適用されます。特別な処理は、埋め込み IP アドレス情報が存在したり、動的に割り当てられたポート上でトラフィックがセカンダリ チャネルを開く場合などに必要となります。

ポリシー マップによって、マップ内で指定された条件と一致するトラフィックに対して実行するアクションが識別されます。ほとんどのポリシー マップでは、クラス マップを参照することによってトラフィック一致条件を指定できます。ただし、一部のポリシー マップでは、ポリシー マップ内で一致基準を指定する必要があります。

次のタイプのポリシー マップを設定できます。

インスペクション規則:インスペクション規則を設定する場合、Security Manager を使用して、次のアプリケーションのポリシー マップ オブジェクトを作成できます。DCE/RPC、DNS、ESMTP、FTP、GTP、H.323、HTTP、IM、IP options、IPsec、NetBIOS、SIP、Skinny、および SNMP。詳細については、「インスペクションのプロトコルおよびマップの設定」を参照してください。

ゾーンベースのファイアウォール インスペクション規則:ゾーンベースのファイアウォール インスペクション規則を設定する場合、Security Manager を使用して、次のアプリケーションのポリシー マップ オブジェクトを作成できます。H.323、HTTP、IM(AOL、ICQ、MSN Messenger、Windows Messenger、Yahoo Messenger を含む)、IMAP、P2P(eDonkey、FastTrack、Gnutella、Kazaa2 を含む)、POP3、SIP、SMTP、Sun RPC。詳細については、「ゾーンベースのファイアウォール ポリシーのインスペクション マップの設定」を参照してください。

ゾーンベースのファイアウォール コンテンツ フィルタリング規則:ゾーンベースのファイアウォール コンテンツ フィルタリング規則を設定する場合、Security Manager を使用して Web フィルタ ポリシー マップを作成できます。HTTP トラフィックを検査するように HTTP ポリシー マップを設定することもできます。詳細については、「ゾーンベースのファイアウォール ポリシーのコンテンツ フィルタリング マップの設定」を参照してください。

IPS、QoS、および接続規則:PIX 7.x+ および ASA デバイスに固有のこのサービス ポリシーを設定する場合、TCP マップを使用して TCP インスペクションをカスタマイズできます。詳細については、「TCP マップの設定」および「ファイアウォール デバイスでのサービス ポリシー規則の設定」を参照してください。

ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)

ネットワーク/ホスト オブジェクトは、ネットワーク、ホスト、またはこれらの両方を表す IP アドレスの論理集合です。IPv4 および IPv6 アドレスには、それぞれ個別のオブジェクトが存在します。IPv4 オブジェクトは単に「ネットワーク/ホスト」と呼ばれますが、IPv6 オブジェクトは「ネットワーク/ホスト IPv6」と呼ばれます。アドレス表記を除いて、これらのオブジェクトは機能的に同じです。多くの場合、ネットワーク/ホストという名前はどちらのオブジェクト タイプにも用いられます。特定のポリシーでは、ポリシーで想定されているアドレス タイプによって、いずれか 1 つのオブジェクト タイプの選択が必須になります。

ネットワーク/ホスト オブジェクトを作成するときに、オブジェクトのタイプを選択する必要があります。これにより、オブジェクトに含めることができるアドレスのタイプが定義および制限されます。

グループ:次のタイプのアドレスの組み合わせを含めることができます。

ネットワークまたはサブネット。IP アドレスおよびサブネット マスク(IPv4)、またはプレフィクスおよびプレフィクス長(IPv6)で指定されます。

IPv4 または IPv6 ネットワーク アドレスの範囲。

個別のホスト。IPv4 または IPv6 アドレスで指定されます。

その他のネットワーク/ホスト オブジェクト。既存のオブジェクトのリストから選択することによって指定されます。同じオブジェクト タイプの選択に制限されます。たとえば、他の IPv6 オブジェクトにのみ IPv6 オブジェクトを組み込むことができます。

ホスト:このオブジェクトには、単一のホスト アドレスを含めることができます(10.100.10.10(IPv4)、2001:DB8::0DB8:800:200C:417A(IPv6)など)。

ネットワーク:このオブジェクトには、単一の IPv4 ネットワーク アドレスおよびサブネット マスク(10.100.10.0/24 など)、または単一の IPv6 プレフィクスおよびプレフィクス長(2001:DB8::/32 など)を含めることができます。

アドレス範囲:このオブジェクトには、単一の IPv4 アドレス範囲(10.100.10.1-10.100.10.255 など)を含めることができます。IPv6 アドレスのアドレス範囲オブジェクトは作成できません。

ネットワーク/ホスト グループ オブジェクトによって、スケーラブルなポリシーの管理が簡単になります。ネットワーク/ホスト オブジェクトの連携機能を使用することで、ネットワークとともにポリシーを拡張できます。たとえば、ネットワーク/ホスト オブジェクトに含まれているアドレスのリストを変更すると、変更は、その他のすべてのネットワーク/ホスト オブジェクトおよびそのネットワーク/ホスト オブジェクトを参照するポリシーに伝播します。

その他のタイプのネットワーク/ホスト オブジェクト(ホスト、ネットワーク、およびアドレス範囲)には、ASA 8.3+ デバイスのポリシーで使用するときに、特別な用途があります。これらのデバイスでは、ポリシー オブジェクト自体にオブジェクト NAT 規則を設定できます。その他のタイプのデバイスでオブジェクトを使用した場合、この NAT 設定は無視されます。IPv6 オブジェクトは、対象のデバイス プラットフォームに関係なく NAT 設定をサポートしません。

次の項では、ネットワーク/ホスト オブジェクトを操作する方法について説明します。

「連続および不連続ネットワーク マスク(IPv4 アドレスに対応)」

「IPv4 または IPv6 ネットワーク/ホスト オブジェクトの作成」

「未指定の IPv4 または IPv6 ネットワーク/ホスト オブジェクトの使用」

「ポリシー定義中の IP アドレスの指定」

「ポリシー定義中の IPv6 アドレスの指定」

連続および不連続ネットワーク マスク(IPv4 アドレスに対応)

ネットワーク マスクによって、IPv4 アドレスのどの部分でネットワークを識別し、どの部分でホストを識別するかが決定されます。IP アドレスと同様に、マスクは 4 つのオクテットで表されます(オクテットは、0 ~ 255 の範囲の 10 進数に相当する 8 ビットの 2 進数です)。マスクの特定のビットが 1 の場合、IP アドレスの対応するビットはアドレスのネットワーク部分にあり、マスクの特定のビットが 0 の場合、IP アドレスの対応するビットはホスト部分にあります。

標準の(つまり、連続した)ネットワーク マスクは、0 個以上の 1 で始まり、そのあとに 0 個以上の 0 が続きます。このようなネットワーク マスクは、連続した IP アドレス範囲で構成されるネットワークを表すため、連続と見なされます。たとえば、ネットワーク 192.168.1.0/255.255.255.0 には、192.168.1.0 ~ 192.168.1.255 の範囲のすべての IP アドレスが含まれます。

次の表に、一般的に使用される標準のネットワーク マスクを表すさまざまな方式を示します。

 

表 6-28 標準のネットワーク マスク

ドット付き 10 進表記
Classless Inter-Domain Routing(CIDR)表記

255.0.0.0

/8

255.255.0.0

/16

255.255.255.0

/24

255.255.255.255

/32

たとえば、255.255.255.0 は、IP アドレスの最初の 3 つのオクテット(24 ビット、または CIDR 表記で /24)が 1 で構成され、ネットワークを示します。最後のオクテットは 0 で構成され、ホストを示します。

不連続ネットワーク マスク

非標準の(つまり、不連続の)ネットワーク マスクは、連続フォーマットに準拠しないマスクです。たとえば、10.0.1.1/255.0.255.255 は、オクテット 1、3、および 4 と正確に一致するアドレスを照合するが、オクテット 2 については任意の値が受け入れられることを示します。

不連続ネットワーク マスクは通常はネットワーク設定で使用しませんが、特定のコマンド用に使用する場合があります。Access Control List(ACL; アクセス コントロール リスト)を定義するときのフィルタリング コマンドなどです。Security Manager では、非標準のネットワーク マスクは、非標準のネットワーク マスクの使用が CLI コマンドによってサポートされているポリシーで使用できます。不連続ネットワーク マスクがサポートされていないポリシーで不連続ネットワーク マスクを定義しようとすると、エラーが表示されます。

ネットワーク マスクと検出

検出中に、Security Manager は、ネットワーク/ホスト オブジェクトを Policy Object Manager に定義されている既存の同等のオブジェクトと照合しようとします。

連続ネットワーク マスクの場合:標準のネットワークだけを含む 2 つのネットワーク/ホスト オブジェクトが同じ IP アドレスのセットで構成されている場合、同等と見なされます。

不連続ネットワーク マスクの場合:標準のネットワークが同じ IP アドレスのセットで構成され、非標準のネットワークが構文的に同等の場合にだけ、2 つのネットワーク/ホスト オブジェクトは同等と見なされます。

ネットワーク マスクの表示方法

ドット付き 10 進表記を使用して連続ネットワーク マスクと不連続ネットワーク マスクの両方を入力できますが、すべての連続ネットワーク マスクは CIDR 表記に変換されます。このことにより、ドット付き 10 進表記だけで表示される不連続ネットワーク マスクと区別しやすくなります。

関連項目

「IPv4 または IPv6 ネットワーク/ホスト オブジェクトの作成」

「ポリシー定義中の IP アドレスの指定」

「未指定の IPv4 または IPv6 ネットワーク/ホスト オブジェクトの使用」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

IPv4 または IPv6 ネットワーク/ホスト オブジェクトの作成

ネットワークまたは個別のホストを表すネットワーク/ホスト オブジェクトを作成できます。IPv4 および IPv6 アドレスには、それぞれ個別のネットワーク/ホスト オブジェクト タイプが存在します。IPv6 用のオブジェクトは、明示的にネットワーク/ホスト IPv6 と呼ばれます。

ネットワーク/ホスト オブジェクトを作成するときは、オブジェクトのタイプ(グループ、ホスト、ネットワーク、アドレス範囲)を選択する必要があります。作成後は、オブジェクト タイプを変更できません。


ヒント このオブジェクト タイプを使用するポリシーまたはオブジェクトを定義するときに、ネットワーク/ホスト オブジェクトを作成できます。詳細については、「ポリシーのオブジェクトの選択」を参照してください。

関連項目

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「ポリシー オブジェクトの作成」

「連続および不連続ネットワーク マスク(IPv4 アドレスに対応)」

「ポリシー定義中の IP アドレスの指定」

「ポリシー定義中の IPv6 アドレスの指定」

「未指定の IPv4 または IPv6 ネットワーク/ホスト オブジェクトの使用」

「ネットワーク/ホスト オブジェクト、ポート リスト オブジェクト、およびサービス オブジェクトがオブジェクト グループとしてプロビジョニングされるときの命名方法」


ステップ 1 [Manage] > [Policy Objects] を選択して、「[Policy Object Manager] ウィンドウ」を開きます。

ステップ 2 オブジェクト タイプ セレクタから、[Networks/Hosts] または [Networks/Hosts-IPv6] のいずれかを選択します。

ステップ 3 作業領域を右クリックし、[New Object] を選択し、次のネットワーク/ホスト オブジェクトのタイプのいずれかを選択して、「[Add Network/Host]/[Edit Network/Host] ダイアログボックス(IPv4 または IPv6)」を開きます。

[Group]:1 つ以上のエントリを持つオブジェクトを作成します。ネットワーク、ホスト、アドレス範囲、または他のネットワーク/ホスト オブジェクトの組み合わせを含めることができます。

[Host]:単一のホスト アドレス(10.100.10.10(IPv4)、2001:DB8::12ab:5689(IPv6)など)を持つオブジェクトを作成します。

[Network]:単一のネットワーク アドレス(10.100.10.0/24(IPv4)、2001:DB8::/32(IPv6)など)を持つオブジェクトを作成します。

[Address Range]:単一のアドレス範囲(10.100.10.1-10.100.10.255 など)を持つオブジェクトを作成します。アドレス範囲オブジェクトは IPv4 のみで使用できます。


ヒント IPv4 用のホスト、ネットワーク、およびアドレス範囲オブジェクトでは、ASA 8.3 以降のデバイスのオブジェクト NAT 規則を設定することもできます。その他のデバイスでは NAT 設定は無視されます。NAT 設定は、IPv6 オブジェクトには適用されません。


ステップ 4 オブジェクトの名前を入力し、任意でオブジェクトの説明を入力します。

ステップ 5 選択したオブジェクト タイプに応じて、必要なアドレス情報を入力します。

[Group]:[Members In Group] リストでは、オブジェクトに含まれるネットワーク、ホスト、アドレス範囲、および他のネットワーク/ホスト オブジェクトが表示されます。リストに入力するには、次のいずれかの組み合わせを実行します。

[Existing Network/Host] オブジェクトのオプションを選択し、次に目的のオブジェクトを選択して、リスト間にある [Add >>] ボタンをクリックします。

[Enter Address Information] のオプションを選択し、適切なタイプ(IPv4 または IPv6 のいずれか)の有効なアドレスを入力して、リスト間にある [Add >>] ボタンをクリックします。複数のアドレスをカンマで区切ります。これらは、メンバー リストに別々の行として追加されます。

IPv4 オブジェクトでは、ホストアドレス、ネットワーク アドレス(/ 文字のあとにサブネット マスクを入力。10.100.10.0/24 など)、またはアドレス範囲(開始アドレスと終了アドレスをハイフン「-」で区切り、オプションでサブネット マスクを指定)を含めることができます。サポートされる形式の詳細については、「ポリシー定義中の IP アドレスの指定」を参照してください。

IPv6 オブジェクトでは、ホストアドレス、ネットワーク アドレス(/ 文字のあとにプレフィクスを入力。2001:DB8::/32 など)、またはアドレス範囲(2001:DB8::1-2001:DB8::100 など)を含めることができます。サポートされる形式の詳細については、「ポリシー定義中の IPv6 アドレスの指定」を参照してください。

オブジェクトから項目を削除するには、[Members] リストで項目を選択し、リスト間にある [<< Remove] ボタンをクリックします。

[Host]:単一の IPv4 または IPv6 アドレスを入力します。

[Network]:ネットワーク アドレスおよびサブネット マスク(IPv4)、または IPv6 アドレス プレフィクスおよびプレフィクス長(IPv6)を入力します。適切なサブネット マスクが [Subnet Mask] リストに含まれていない場合は、フィールドに入力します。IPv6 プレフィクス長の入力は常に必須です。

[Address Range]:範囲を定義する最初と最後のアドレスを入力します。各フィールドに同じアドレスを入力することはできません。


ヒント オブジェクトを使用するすべてのデバイスで上書きする必要があるオブジェクトを作成する場合は、これらのフィールドをブランクのままにしておくことができます。[Allow Value Override per Device] も選択する必要があります。詳細については、「未指定の IPv4 または IPv6 ネットワーク/ホスト オブジェクトの使用」を参照してください。


ステップ 6 (任意)[Category] の下で、[Objects] テーブルでこのオブジェクトを識別するために使用するカテゴリを選択します。「カテゴリ オブジェクトの使用」を参照してください。

ステップ 7 (任意)[Allow Value Override per Device] を選択して、このオブジェクトのプロパティを個々のデバイスで再定義できるようにします。「ポリシー オブジェクトの上書きの許可」を参照してください。


ヒント [NAT] タブで NAT 規則を設定する場合は、このオプションを選択する必要があります。すべてのオブジェクト NAT 規則は、デバイスのオーバーライドと見なされます。


ステップ 8 [OK] をクリックしてオブジェクトを保存します。


 

[Add Network/Host]/[Edit Network/Host] ダイアログボックス(IPv4 または IPv6)

[Add Network/Host]/[Edit Network/Host] ダイアログボックスを使用して、ネットワーク/ホスト オブジェクトを表示、作成、または編集します。IPv6 オブジェクトの作成時は、ダイアログボックスは [IPv6 Network/Host] と呼ばれます。IPv4 オブジェクトと IPv6 オブジェクトは排他関係にあります。単一のオブジェクトにアドレス タイプを混合させることはできません。

ダイアログボックスのコンテンツ(およびその名前)は、作成するネットワーク/ホスト オブジェクトのタイプ(グループ、ホスト、ネットワーク、またはアドレス範囲)によっても異なります。グループ タイプでは、複数の値を入力できるため、ネットワーク、ホスト、または他のネットワーク/ホスト オブジェクトの集合にすることができますが、他のタイプでは 1 つの値だけを入力できます。アドレス範囲タイプは IPv4 のみで使用できます。

ASA 8.3 以降のデバイスで使用する IPv4 ホスト、ネットワーク、またはアドレス範囲オブジェクトを作成する場合、[NAT] タブでオブジェクト NAT 規則を設定することもできます。[NAT] タブの参照情報については、「[Add Network/Host]/[Edit Network/Host] ダイアログボックス - [NAT] タブ」を参照してください。NAT 設定は、IPv6 オブジェクトには適用されません。

アドレスを持たないオブジェクトを作成できます。このようなオブジェクトについては、[Allow Value Override per Device] を選択し、そのオブジェクトを使用するすべてのデバイスについてオーバーライドを作成する必要もあります。未指定アドレスの使用の詳細については、「未指定の IPv4 または IPv6 ネットワーク/ホスト オブジェクトの使用」を参照してください。

ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [Networks/Hosts] または [Networks/Hosts-IPv6] のいずれかを選択します。作業領域内で右クリックして [New Object] を選択し、オブジェクト タイプを選択するか、または行を右クリックして [Edit Object] を選択します。

関連項目

「IPv4 または IPv6 ネットワーク/ホスト オブジェクトの作成」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「[Policy Object Manager] ウィンドウ」

「ネットワーク/ホスト オブジェクト、ポート リスト オブジェクト、およびサービス オブジェクトがオブジェクト グループとしてプロビジョニングされるときの命名方法」

「セレクタ内の項目のフィルタリング」

フィールド リファレンス

 

表 6-29 [Network/Host] ダイアログボックスの [General] タブ(IPv4 または IPv6)

要素
説明

[Name]

オブジェクト名(最大 64 文字)。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

[Description]

(任意)オブジェクトの説明。

[Existing Networks/Hosts]

[Existing Networks/Hosts-IPv6]

[Enter IPv4 Address Information]

[Enter IPv6 Address Information]

[Members In Group] リスト

(グループ オブジェクトだけ。IPv4 および IPv6。)

[Members In Group] リストでは、オブジェクトに含まれるネットワーク、ホスト、またはネットワーク/ホスト オブジェクトが表示されます。これらは IPv4 または IPv6 アドレス専用です。混合させることはできません。ネットワーク/ホスト オブジェクトであるリストのメンバーを選択し、リストの下の [Edit] ボタンをクリックして定義を変更できます。

リストに入力するには、次のいずれかの組み合わせを実行します。

[Existing Network/Host] オブジェクトのオプションを選択し、次に目的のオブジェクトを選択して、リスト間にある [Add >>] ボタンをクリックします。リストの下の [Create](+)ボタンをクリックして、リストに新しいオブジェクトを作成できます。また、オブジェクトを選択し、[Edit] ボタンをクリックして、オブジェクトを変更することもできます。

[Enter Address Information] のオプションを選択し、適切なタイプ(IPv4 または IPv6 のいずれか)のアドレスを入力して、リスト間にある [Add >>] ボタンをクリックします。複数のアドレスをカンマで区切ります。これらは、メンバー リストに別々の行として追加されます。

IPv4 オブジェクトでは、ホストアドレス、ネットワーク アドレス(/ 文字のあとにサブネット マスクを入力。10.100.10.0/24 など)、またはアドレス範囲(開始アドレスと終了アドレスをハイフン「-」で区切り、オプションでサブネット マスクを指定)を含めることができます。サポートされる形式の詳細については、「ポリシー定義中の IP アドレスの指定」を参照してください。

IPv6 オブジェクトでは、ホストアドレス、ネットワーク アドレス(/ 文字のあとにプレフィクスを入力。2001:DB8::/32 など)、またはアドレス範囲(2001:DB8::1-2001:DB8::100 など)を含めることができます。サポートされる形式の詳細については、「ポリシー定義中の IPv6 アドレスの指定」を参照してください。

オブジェクトから項目を削除するには、[Members] リストで項目を選択し、リスト間にある [<< Remove] ボタンをクリックします。

[IP Address]

[IPv6 Address]

(ホスト オブジェクトだけ。IPv4 および IPv6。)

オブジェクトに含める単一ホストの IPv4 または IPv6 アドレス。

[Start IP Address]

[End IP Address]

(アドレス範囲オブジェクトだけ。IPv4 のみ。)

アドレスの範囲を定義する最初と最後の IP アドレス。開始アドレスと終了アドレスは異なっており、開始の方が終了よりも小さいアドレスである必要があります。

[IP Address]

[Subnet Mask]

(ネットワーク オブジェクトだけ。IPv4 のみ。)

ネットワークを表すアドレス。10.100.10.0/24 など。

[Subnet Mask] フィールドには共通マスク(CIDR 形式)のリストがありますが、任意のマスクを CIDR 形式(/24 など)またはドット付き 10 進形式(255.255.255.0 など)で入力できます。

[IPv6 Address]

[Prefix Length]

(ネットワーク オブジェクトだけ。IPv6 のみ。)

IPv6 アドレス プレフィクスおよびネットワークを表すプレフィクス長(2001:DB8::/32 など)。

アドレス プレフィクスとプレフィクス長を別々のフィールドに入力します。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

ヒント ホスト、アドレス範囲、またはネットワーク オブジェクトの NAT を設定する場合は、このオプションを選択する必要があります。NAT 設定はデバイスのオーバーライドとして作成され、オブジェクト内には保持されません。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

未指定の IPv4 または IPv6 ネットワーク/ホスト オブジェクトの使用

IPv4 または IPv6 に関係なく、ネットワーク/ホスト オブジェクトを定義するときに、アドレス フィールドをブランクのままにして、値が未指定のネットワーク/ホスト オブジェクトを作成できます。値が未指定のネットワーク/ホスト オブジェクトを使用するすべてのデバイスに対して、オーバーライドを作成する必要があります。

値が未指定のネットワーク/ホスト オブジェクトを使用する利点は、そのオブジェクトを使用するすべてのデバイスでデバイスレベルのオーバーライドを作成しないで変更を送信した場合に、Security Manager によってエラーが表示されることです。一方、プレースホルダ値を持つグローバル オブジェクトを定義すると(10.10.10.10 など)、オーバーライドを定義しなかった場合に、そのグローバル値が誤って展開される場合があります。

次の手順では、値が未指定のネットワーク/ホスト オブジェクトを作成および実装する方法について説明します。

関連項目

「IPv4 または IPv6 ネットワーク/ホスト オブジェクトの作成」

「個々のデバイスのポリシー オブジェクト オーバーライドについて」

「連続および不連続ネットワーク マスク(IPv4 アドレスに対応)」

「ポリシー定義中の IP アドレスの指定」

「ポリシー定義中の IPv6 アドレスの指定」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」


ステップ 1 ネットワーク/ホスト オブジェクトを作成します。次の点に注意します。

アドレス フィールドをブランクのままにします([Members In Group]、[IP Address]、[Subnet Mask]、[Start IP Address]/[End IP Address]、[IPv6 Address]、[Prefix Length] フィールドなど)。

[Allow Value Override per Device] チェックボックスをオンにします。

詳細については、「IPv4 または IPv6 ネットワーク/ホスト オブジェクトの作成」を参照してください。

ステップ 2 オブジェクトを使用する各デバイスのオーバーライドを作成します。

a. [Networks/Hosts] ページまたは [Network/Hosts-IPv6] ページのオブジェクトの [Overridable] カラムで、緑色のチェックマークをダブルクリックして「[Policy Object Overrides] ウィンドウ」を開きます。

b. [Create Override] ボタンをクリックし、オーバーライドを作成するデバイスを選択して、アドレス フィールドの値を定義します。この時点で、このオーバーライド値は選択したすべてのデバイスに適用されます。詳細については、「複数デバイスのオブジェクト オーバーライドの一括での作成または編集」を参照してください。

c. [Policy Object Overrides] ダイアログボックスで各デバイスをダブルクリックし、そのデバイスが必要とする値のアドレス フィールドを変更します。

ステップ 3 オブジェクトを必要とするポリシーを定義します。次の 2 つの方式のいずれかを使用できます。

デバイス ビューで、1 つのデバイス上でポリシーを定義し、ポリシーを共有し、ポリシーを他のデバイスに割り当てます。「ローカル ポリシーの共有」および「デバイス ビューまたは Site-to-Site VPN Manager における共有ポリシー割り当ての変更」を参照してください。

ポリシー ビューで、共有ポリシーを作成し、[Assignments] タブを使用してポリシーを他のデバイスに割り当てます。「ポリシー ビューにおけるポリシー割り当ての変更」を参照してください。


) 値が未指定のネットワーク/ホスト オブジェクトを参照するネットワーク/ホスト グループ オブジェクトを作成できます。オブジェクトを含むポリシーをデバイスに割り当てる前に、デバイスレベルのオーバーライドを作成する必要はありません。



 

ポリシー定義中の IP アドレスの指定

多くのポリシーおよびポリシー オブジェクトでは、ホストまたはネットワークの IP アドレスを入力する必要があります。一部のポリシーまたはオブジェクトについては、1 つのホストだけ、または 1 つのネットワークだけを入力する必要があります。その他のポリシーまたはオブジェクトについては、ホストとネットワークの組み合わせを入力できます。状況に合わないアドレスを入力または選択することはできません。

次に示すのは、使用できるすべての形式の説明です。ただし、特定のポリシーまたはオブジェクトでは特定の形式は許可されない場合があります(たとえば、インターフェイス ロールは、かぎられた数のポリシーだけでアドレス指定として許可されます)。ポリシーまたはオブジェクトで許可されている場合、複数のアドレスをカンマで区切って入力できます。

ネットワーク/ホスト オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します。選択リストから、新しいネットワーク/ホスト オブジェクトを作成することもできます。

ホスト IP アドレス(10.10.10.100 など)。

ネットワーク アドレスとサブネット マスク。形式は 10.10.10.0/24 または 10.10.10.0/255.255.255.0。

IP アドレスの範囲(10.10.10.100-10.10.10.200 など)。最初のアドレスと最後のアドレスはハイフンで区切ります。この範囲は、ポリシーで要求されていないかぎり、1 つのサブネット内である必要はありません。

サブネット マスクを含めることもできます(10.10.10.100-10.10.10.200/24)。

10.10.0.10/255.255.0.255 形式の IP アドレスのパターン。この場合のマスクは不連続なビット マスクです(「連続および不連続ネットワーク マスク(IPv4 アドレスに対応)」を参照)。

インターフェイス ロール オブジェクト(まれな場合)。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します(オブジェクト タイプとして [Interface Role] を選択する必要があります)。インターフェイス ロールを使用する場合は、選択したインターフェイスの IP アドレスを指定した場合と同様に規則が動作します。デバイスに割り当てられる IP アドレスを把握できないため、DHCP を経由してアドレスを取得するインターフェイスの場合に有効です。詳細については、「インターフェイス ロール オブジェクトについて」を参照してください。

ネットワーク/ホスト オブジェクトを作成するか、ポリシーの一部として IP アドレスを定義すると、Security Manager によって、アドレスの構文が正しいこと、および必要な場合はマスクが入力されたことが検証されます。たとえば、ホストを必要とするポリシーを定義する場合、マスクを入力する必要はありません。ただし、サブネットを必要とするポリシーを定義する場合、マスクとともにアドレスを入力するか、マスクが定義されたネットワーク/ホスト オブジェクトを選択する必要があります。

関連項目

「IPv4 または IPv6 ネットワーク/ホスト オブジェクトの作成」

「連続および不連続ネットワーク マスク(IPv4 アドレスに対応)」

「未指定の IPv4 または IPv6 ネットワーク/ホスト オブジェクトの使用」

「[Policy Object Manager] ウィンドウ」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

ポリシー定義中の IPv6 アドレスの指定

一部のポリシーおよびポリシー オブジェクト(IPv6 アクセス ルール、ネットワーク/ホスト IPv6 オブジェクトなど)で、IPv6 アドレスを指定できます。一部のポリシーまたはオブジェクトについては、1 つのホストだけ、または 1 つのネットワークだけを入力する必要があります。その他のポリシーまたはオブジェクトについては、ホストとネットワークの組み合わせを入力できます。状況に合わないアドレスを入力または選択することはできません。

IPv6 アドレスは 128 ビットの識別子です。IPv6 アドレスは、コロンで区切られた 8 つの 16 ビットの 16 進要素(x:x:x:x:x:x:x:x の形式)で構成されます。次に示すのは、使用できるすべての形式の説明です。ただし、特定のポリシーまたはオブジェクトでは特定の形式は許可されない場合があります(たとえば、インターフェイス ロールは、かぎられた数のポリシーだけでアドレス指定として許可されます)。ポリシーまたはオブジェクトで許可されている場合、複数のアドレスをカンマで区切って入力できます。

ネットワーク/ホスト IPv6 オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します。選択リストから、新しいネットワーク/ホスト IPv6 オブジェクトを作成することもできます。

ホスト アドレス。次のいずれかの形式を使用して、ホスト アドレスを指定できます。

完全なアドレス。8 つの要素のすべてを示します。たとえば、2001:DB8:0:0:0DB8:800:200C:417A のように使用します。個々のフィールドに先行ゼロを含める必要はありません。Security Manager では、アドレスを可能な限り圧縮形式に変換します。

圧縮アドレス。フィールドのグループは 2 つのコロン(::)で置き換えられます。IPv6 アドレスには、連続した 0 の 16 進フィールドが含まれることがよくあります。IPv6 アドレスの先頭、中間、または末尾にある連続した 0 の 16 進フィールドを 2 つのコロン(::)を使用して圧縮すると、IPv6 アドレスが扱いやすくなります(2 つのコロンは連続した 0 の 16 進フィールドを表します)。IPv6 アドレスで :: は最大 1 回しか使えません。たとえば、2001:DB8::0DB8:800:200C:417A のように使用します。未指定のアドレス 0:0:0:0:0:0:0:0 は :: として表すことができます。ループバック アドレスは ::1 です。

IPv4 アドレスの IPv6 表現。IPv4/IPv6 混合環境では、IPv4 アドレスを別の IPv6 形式(x:x:x:x:x:x:d.d.d.d)で表現できます(x は最初の 6 つのフィールドの 16 進値を示し、d はピリオドで区切られたオクテットで表した IPv4 アドレスを示します)。最初の 6 つのフィールドはすべて 0、::FFFF、または 2001:DB8:: のいずれかです。たとえば、0:0:0:0:0:0:10.1.68.3 は圧縮形式では ::10.1.68.3、0:0:0:0:0:FFFF:10.1.68.3、または 2001:DB8::10.1.68.3 になります。

ネットワーク アドレス。IPv4 の CIDR 表記と似た方法で、10 進形式のプレフィクス長を含めることで、ネットワーク アドレスを指定できます(/64 など)。数字は、プレフィクスを構成する左端の連続したアドレス ビットの数を指定します。たとえば、2001:DB8:0:CD30::/60 のように使用します。


) 2001:DB8:0:CD30::/60 を 2001::CD30:0:0:0:0/60 のように入力することもできます。ただし、末尾の 0 を圧縮する方法を推奨します。Security Manager では、アドレスを 2001:DB8:0:CD30::/60 に変換します。


インターフェイス ロール オブジェクト(まれな場合)。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します(オブジェクト タイプとして [Interface Role] を選択する必要があります)。インターフェイス ロールを使用する場合は、選択したインターフェイスの IP アドレスを指定した場合と同様に規則が動作します。デバイスに割り当てられる IP アドレスを把握できないため、DHCP を経由してアドレスを取得するインターフェイスの場合に有効です。詳細については、「インターフェイス ロール オブジェクトについて」を参照してください。

ネットワーク/ホスト IPv6 オブジェクトを作成するか、ポリシーの一部として IPv6 アドレスを定義すると、Security Manager によって、アドレスの構文が正しいこと、および必要な場合はプレフィクス長が入力されたことが検証されます。たとえば、ホストを必要とするポリシーを定義する場合、プレフィクス長を入力する必要はありません。ただし、ネットワーク アドレスを必要とするポリシーを定義する場合、プレフィクス長とともに IPv6 プレフィクスを入力するか、プレフィクス長が定義されたネットワーク/ホスト IPv6 オブジェクトを選択する必要があります。

IPv6 アドレッシングの詳細については、IETF RFC 4291『IP Version 6 Addressing Architecture』( http://www.ietf.org/rfc/rfc4291.txt )を参照してください。

関連項目

「IPv4 または IPv6 ネットワーク/ホスト オブジェクトの作成」

「未指定の IPv4 または IPv6 ネットワーク/ホスト オブジェクトの使用」

「[Policy Object Manager] ウィンドウ」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定

Security Manager の多くのポリシーでは、ポリシーが適用されるサービスを識別する必要があります。サービスは、プロトコルと、特定のタイプのトラフィックを識別するポート定義です。多くの場合、サービスはポリシー内に直接指定できます。必要なサービスを定義するサービス ポリシー オブジェクトを選択するか、サービス オブジェクトとポリシー固有のサービス指定の組み合わせを使用することもできます。

サービス オブジェクトを使用すると、特定のアプリケーションの構成を表すオブジェクトを作成したり、ネットワーク上に存在する論理組織(開発チームや企業部門など)を基にしてオブジェクトをモデル化したりできるため、サービス オブジェクトは有用です。次の 2 つのタイプのサービス ポリシー オブジェクトがあります。

サービス グループ:1 つ以上のサービス(他のサービス オブジェクトを含む)を含めることができます。これは、すべての Security Manager 3.x リリースで使用可能だったサービス オブジェクトのタイプです。

サービス オブジェクト:1 つのサービスを含めることができます。

サービスを識別する必要があるポリシーを設定するときに、[Services] フィールドの横の [Select] ボタンをクリックして、サービス オブジェクトを選択または作成できます。選択ダイアログボックスから新しいサービスを作成するには、サービス リストの下の [Add] ボタンをクリックし、タイプ(グループまたはオブジェクト)を選択します。コンテンツ テーブルから [Services] > [Services] を選択し、[Add Object] ボタンをクリックし、グループまたはオブジェクトを選択することによって、 [Policy Object Manager] ウィンドウからサービスを作成することもできます。サービス オブジェクトを作成するときに使用できる特定のフィールドについては、「サービス オブジェクトの設定」を参照してください。

Security Manager には、定義済みのサービス グループ オブジェクトの包括的なコレクションがあります。HTTP、Syslog、POP3、Telnet、SNMP など、一般的に使用されるサービス用の ICMP メッセージおよびオブジェクトが含まれています。定義済みのサービス グループ オブジェクトを使用する前に、オブジェクト定義を確認して、使用しているネットワーク実装に準拠していることを確認する必要があります。定義済みのオブジェクトがニーズに合わない場合(別の宛先ポートが必要な場合など)、新しいサービス オブジェクトを最初から作成するか、既存のオブジェクトのコピーを基に作成できます。詳細については、「オブジェクトのクローニング(複製)」を参照してください。

サービス オブジェクトを作成する場合もポリシー内にサービスを直接指定する場合も、次の形式を使用してサービスを指定できます。入力に応じて、Security Manager によってエントリに関連するテキストコンプリート オプションが示される場合があります。リストから値を選択して、Enter または Tab を押します。複数のサービスをカンマで区切って入力できます。

protocol 。プロトコルは、1 ~ 255 または tcp、udp、gre、icmp などの広く知られているプロトコル名です。数字を入力すると、その数字は関連付けられている名前に変換されます。

icmp/ message_type 。メッセージ タイプは、1 ~ 255 または echo などの広く知られているメッセージ タイプ名です。

{tcp | udp | tcp&udp}/ { destination_port_number | port_list_object }。宛先ポート番号は、1 ~ 65535 またはポート リスト オブジェクトの名前です。ハイフンを使用してポート範囲を入力できます(たとえば、10-20)。送信元ポート番号は、Default Range ポート リスト オブジェクトです。Default Range オブジェクトには、「[Policy Objects] ページ」([Tools] > [Security Manager Administration] > [Policy Objects] を選択)で選択した設定に応じて、すべてのポート(1 ~ 65535)またはすべてのセキュア ポート(1024 ~ 65535)が含まれています。

たとえば、サービスを tcp/10 として定義すると、10 が宛先ポートであり、送信元ポートは定義されないことを意味します。

ポートを指定するときに、番号の前に特別なキーワード lt (より小さい)、 gt (より大きい)、 eq (等しい)、および neq (等しくない)を使用することもできます。たとえば、 lt 440 と入力すると、440 未満のすべてのポートが指定されます。


ヒント ポート リスト オブジェクトを作成するには、 [Policy Object Manager] ウィンドウで [Services] > [Port Lists] を選択し、[Add Object] ボタンをクリックします。詳細については、「ポート リスト オブジェクトの設定」を参照してください。

{tcp | udp | tcp&udp}/ { source_port_number | port_list_object } / { destination_port_number | port_list_object }。送信元ポート番号および宛先ポート番号は、1 ~ 65535 またはポート リスト オブジェクトの名前です。ハイフンを使用してポート範囲を入力できます(たとえば、10-20)。

たとえば、サービスを tcp/10/20 として定義すると、10 が送信元ポート、20 が宛先ポートであることを意味します。宛先ポートを指定しない場合は、Default Range ポート リスト オブジェクトを使用します。tcp/10/Default Range などです。

(サービス グループだけ) service_object_name 。別の既存のサービス オブジェクトの名前。他のオブジェクトを指定する場合、オブジェクト定義を入れ子にすることができます。[Select] をクリックしてサービス オブジェクトを選択するか、または新しいオブジェクトを作成します。

関連項目

「ポリシーのオブジェクトの選択」

「ポリシー オブジェクトの作成」

「オブジェクトの編集」

「サービス オブジェクトがオブジェクト グループとしてプロビジョニングされる方法」

「カテゴリ オブジェクトの使用」

「オブジェクト オーバーライドの管理」

「ポリシー オブジェクトの上書きの許可」

ポート リスト オブジェクトの設定

[Port List] ダイアログボックスを使用して、ポート リスト オブジェクトを作成、編集、またはコピーします。各ポート リスト オブジェクトには、1 つ以上のポートまたはポート範囲(1-1000 や 2000-2500 など)を含めることができます。また、ポート リスト オブジェクトに他のポート リスト オブジェクトを含めることもできます。

通常はサービスを定義するときにポート リスト オブジェクトを使用しますが、ポート番号を入力しないで、ポートを識別するためにさまざまなポリシーで使用することもできます。サービス定義でのポート リストの使用の詳細については、「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。


ヒント 定義済みの Default Range ポート リスト オブジェクトには、[Security Manager Administration] ウィンドウ([Tools] > [Security Manager Administration] > [Policy Objects] を選択し、「[Policy Objects] ページ」を参照してください)で選択した設定に応じて、すべてのポート(1 ~ 65535)またはすべてのセキュア ポート(1024 ~ 65535)が含まれています。

ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次にオブジェクト タイプ セレクタから [Services] > [Port Lists] を選択します。作業領域内で右クリックして [New Object] を選択するか、または行を右クリックして [Edit Object] を選択します。

関連項目

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」

「サービス オブジェクトの設定」

フィールド リファレンス

 

表 6-30 [Port List] ダイアログボックス

要素
説明

[Name]

最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

[Description]

(任意)オブジェクトの説明。

[Ports]

ポート リスト オブジェクトに含まれるポートまたは範囲。443 や 1-1000 など。単一ポート、ポートの範囲、複数のポート範囲、または単一ポートと範囲の組み合わせを定義できます。複数のエントリを指定する場合は、カンマで区切ります。ポート値の範囲は 1 ~ 65535 です。

次の演算子を使用して範囲を指定できます。

gt :より大きい。gt 1000 など。

lt :より小さい。lt 1000 など。

eq :等しい。eq 1000 など。ただし、 eq 1000 は単純に 1000 と入力するのと同じ意味です。

neq :等しくない。neq 1000 など。

この演算子を使用する場合、[Ports] フィールドでは neq 値だけを使用できます。ただし、オブジェクトにポート範囲を含めることができます。したがって、1150 を除く 1000 ~ 1200 のすべてのポートを指定するオブジェクトを作成する場合は、1000 ~ 1200 の範囲のポート リスト オブジェクトと、neq 1150 を指定し、さらにそのポート リスト オブジェクトを含む別のオブジェクトを作成します。

[Port Lists]

オブジェクトに含める他のポート リスト オブジェクト(ある場合)。ポート リストの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。複数のエントリを指定する場合は、カンマで区切ります。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

サービス オブジェクトの設定

[Add Service]/[Edit Service] ダイアログボックスを使用して、サービス オブジェクトを作成または編集します。サービス オブジェクトを作成して、ネットワーク内のデバイスによって伝送されるトラフィックのタイプを記述できます。サービス オブジェクトを作成するときは、サービスによって使用されるプロトコルを指定する必要があります。

サービス オブジェクトを作成するときは、オブジェクト タイプを選択する必要があります。

サービス グループ:1 つ以上のサービス(他のサービス オブジェクトを含む)を含めることができます。これは、すべての Security Manager 3.x リリースで使用可能なサービス オブジェクトのタイプです。

サービス オブジェクト:1 つのサービスを含めることができます。

Security Manager には、定義済みのサービス グループ オブジェクトが数多く用意されています。オブジェクトを作成する前に、Policy Object Manager でリストを参照し、既存のオブジェクトがニーズに合うかどうかを確認します。定義済みのオブジェクトは複製できますが、編集することはできません。

ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次にオブジェクト タイプ セレクタから [Services] > [Services] を選択します。作業領域内で右クリックして [New Object] を選択し、オブジェクト タイプを選択するか、または行を右クリックして [Edit Object] を選択します。

関連項目

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」

「[Policy Object Manager] ウィンドウ」

フィールド リファレンス

 

表 6-31 [Add Service]/[Edit Service] ダイアログボックス

要素
説明

[Name]

オブジェクト名。ソフトウェア バージョン 8.x を実行する ASA または PIX デバイス用のオブジェクトを使用する場合は、名前の長さを 64 文字に制限します。その他のデバイスの場合、名前は最大 128 文字です。

オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

[Description]

(任意)オブジェクトの説明。

[Services](グループの場合)

[Service](オブジェクトの場合)

このポリシー オブジェクトに含めるサービス。サービス グループを作成する場合、複数のサービスをカンマで区切って入力できます。サービス オブジェクトを作成する場合、1 つのサービスだけを入力できます。

次の形式を使用して、サービスを指定できます。入力に応じて、Security Manager によってエントリに関連するテキストコンプリート オプションが示される場合があります。定義済みのサービス オブジェクトに直接変換されるサービスを入力した場合、エントリは定義済みのオブジェクト名に変換されます。たとえば、TCP/80 は HTTP に変換されます。

protocol 。プロトコルは、1 ~ 255 または tcp、udp、gre、icmp などの広く知られているプロトコル名です。数字を入力すると、その数字は関連付けられている名前に変換されます。

icmp/ message_type 。メッセージ タイプは、1 ~ 255 または echo などの広く知られている ICMP メッセージ タイプ名です。

{tcp | udp | tcp&udp}/ { destination_port_number | port_list_object }。宛先ポート番号は、1 ~ 65535 またはポート リスト オブジェクトの名前です。ハイフンを使用してポート範囲を入力できます(たとえば、10-20)。この場合には、送信元ポート番号は、Default Range ポート リスト オブジェクト(1 ~ 65535 の範囲を指定)です(ポート リスト オブジェクトの作成および編集については、「ポート リスト オブジェクトの設定」を参照してください)。

ポートを指定するときは常に、番号の前に特別なキーワード lt (より小さい)、 gt (より大きい)、 eq (等しい)、および neq (等しくない)を使用することもできます。たとえば、 lt 440 と入力すると、440 未満のすべてのポートが指定されます。

{tcp | udp | tcp&udp}/ { source_port_number | port_list_object } / { destination_port_number | port_list_object }。送信元ポート番号および宛先ポート番号は、1 ~ 65535 またはポート リスト オブジェクトの名前です。ハイフンを使用してポート範囲を入力できます(たとえば、10-20)。

(サービス グループだけ) service_object_name 。別の既存のサービス オブジェクトの名前。他のオブジェクトを指定する場合、オブジェクト定義を入れ子にすることができます。[Select] をクリックしてサービス オブジェクトを選択するか、または新しいオブジェクトを作成します。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

ポリシー オブジェクトがオブジェクト グループとしてプロビジョニングされる方法

オブジェクト グループは、ASA、PIX、FWSM、および IOS 12.4(20)T 以降のデバイスの機能であり、IP ホスト、ネットワーク、プロトコル、ポート、ICMP メッセージ タイプなどのオブジェクトをグループ化することによって、アクセス規則のサイズを減らすことができます。オブジェクト グループの機能は Security Manager のポリシー オブジェクトの機能と似ていますが、実装において重要な違いがいくつかあります。

このため、ポリシーをデバイスに展開するときに、Security Manager で設定したポリシー オブジェクトの正確なコピーであるオブジェクト グループを作成できるとはかぎりません。たとえば、ポリシー オブジェクト名は Security Manager ではオブジェクト タイプごとに一意ですが(つまり、ネットワーク/ホスト オブジェクトとサービス オブジェクトを同じ名前で定義できます)、デバイス上で定義されるすべてのタイプのオブジェクト グループは、1 つの命名方式を共有します。したがって、デバイス上の既存のサービス オブジェクト グループと名前が一致するネットワーク/ホスト オブジェクトを展開する場合、サービス オブジェクト グループと区別するために、ネットワーク/ホスト オブジェクトの名前にサフィックスが付加されます。


) オブジェクト グループを展開するときに使用できるオプションについては、「[Deployment] ページ」を参照してください。


同様に、デバイス上のポリシーを検出するときに、デバイス上で設定されたオブジェクト グループの正確なコピーであるポリシー オブジェクトを作成できるとはかぎりません。ただし、元の設定は Security Manager によって可能なかぎり保持されます。


) IOS デバイスの場合、アクセス コントロール リスト オブジェクトによって使用されるポリシー オブジェクトは、あとで展開中にオブジェクトのコンテンツによって置き換えられます。ACL オブジェクトで使用されるオブジェクト グループは保持されませんが、Security Manager ポリシー オブジェクトとして検出されます。


次の項では、ポリシー オブジェクトをデバイス上のオブジェクト グループにプロビジョニングするとき、またはこれらのデバイス上のポリシーの検出時にポリシー オブジェクトを作成するときに行われる変更について説明します。

「ネットワーク/ホスト オブジェクト、ポート リスト オブジェクト、およびサービス オブジェクトがオブジェクト グループとしてプロビジョニングされるときの命名方法」

「サービス オブジェクトがオブジェクト グループとしてプロビジョニングされる方法」

ネットワーク/ホスト オブジェクト、ポート リスト オブジェクト、およびサービス オブジェクトがオブジェクト グループとしてプロビジョニングされるときの命名方法

ほとんどの場合、ネットワーク/ホスト オブジェクト、ポート リスト オブジェクト、およびサービス オブジェクトは、オブジェクト名が変更されることなく、オブジェクト グループとしてプロビジョニングされます。表 6-32に、サポート対象デバイス上のオブジェクト グループにオブジェクト名を直接変換できない場合に、名前が変更される方法を示します。


) 定義済みのネットワーク/ホスト オブジェクト any は、オブジェクト グループとしてプロビジョニングされません。


 

表 6-32 ネットワーク/ホスト オブジェクト、ポート リスト オブジェクト、およびサービス オブジェクトのオブジェクト グループとしての命名方法

条件
新しい名前

オブジェクト名にスペースが含まれている。

スペースはアンダースコアに置き換えられます。

my object という名前のオブジェクトは、 my_object という名前のオブジェクト グループとしてプロビジョニングされます。

オブジェクト名の長さが 64 文字(オブジェクト グループでサポートされる最大)を超えている。

64 文字の制限内に収めながらオブジェクト グループで必要とされるサフィックス(_TCP や _UDP など、または _1 などの一意の番号)を付加できるように、名前は切り捨てられます。

 

デバイスにすでに同じ名前のオブジェクト グループ(プロトコル/ICMP/サービス)がある。

数値のサフィックスが 1 から順に名前に付加されます。

West という名前のネットワーク/ホスト オブジェクトがあり、デバイスに West という名前の TCP サービス オブジェクト グループがすでにある場合、展開時にオブジェクト グループの名前は West_1 に変更されます。

同じ名前のネットワーク/ホスト オブジェクト グループがすでに作成されている。

数値のサフィックスが 1 から順に名前に付加されます。

どちらも West という名前のネットワーク/ホスト オブジェクトとポート リストまたはサービス オブジェクトがある場合、ネットワーク/ホスト オブジェクトは West として展開され、ポート リストは West_1 として展開されます。

関連項目

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」

「サービス オブジェクトがオブジェクト グループとしてプロビジョニングされる方法」

「ポリシー オブジェクトがオブジェクト グループとしてプロビジョニングされる方法」

サービス オブジェクトがオブジェクト グループとしてプロビジョニングされる方法

次の表に、サービス オブジェクトをサポート対象デバイスに展開するときに、Security Manager によってオブジェクト グループが作成される方法を示します。


ヒント ASA 8.3+ デバイスの場合、サービス オブジェクトは object-group コマンドではなく object service コマンドを使用してプロビジョニングされます。

 

表 6-33 サービス オブジェクトがオブジェクト グループとしてプロビジョニングされる方法

条件
生成されるオブジェクト グループ

サービス オブジェクトに ICMP プロトコルおよび ICMP メッセージ タイプが含まれている。

ICMP タイプのオブジェクト グループがサービス オブジェクトと同じ名前で生成されます。

サービス オブジェクト service1: icmp/icmp-echo, 23

オブジェクト グループ:

object-group icmp-type service1
icmp-object icmp-echo
icmp-object 23

サービス オブジェクトにプロトコルだけが含まれている。

プロトコル オブジェクト グループがサービス オブジェクトと同じ名前で生成されます。

サービス オブジェクト service1: tcp, gre, 34

オブジェクト グループ:

object-group protocol service1
protocol-object tcp
protocol-object gre
protocol-object 34

サービス オブジェクトにより、送信元ポートと宛先ポート両方のポート リスト オブジェクトが使用されている。

ポート リスト オブジェクトと一致するサービス オブジェクト グループが生成されます。

 

サービス オブジェクトに複数のポートまたはポート範囲が含まれているが、送信元ポートのポート リスト オブジェクトは使用されていない。

送信元ポートの <ObjectName>.src という名前のサービス オブジェクト グループが生成されます。

サービス オブジェクト serv1: tcp/400,600/23-80

オブジェクト グループ:

object-group service serv1.src tcp
port-object eq 400
port-object eq 600

サービス オブジェクトに複数のポートまたはポート範囲が含まれているが、宛先ポートのポート リスト オブジェクトは使用されていない。

宛先ポートのサービス オブジェクト グループがサービス オブジェクトと同じ名前で生成されます。

サービス オブジェクト serv1: tcp/400,600/23-80, 566

オブジェクト グループ:

object-group service serv1 tcp
port-object range 23 80
port-object eq 566
object-group service serv1.src tcp
port-object eq 400
port-object eq 600

サービス オブジェクトに TCP&UDP プロトコルが含まれており、定義済みのポートが含まれている。

 

サービス オブジェクト serv1: tcp&udp/400,600/23-80, 566

オブジェクト グループ:

object-group service serv1 tcp
port-object range 23 80
port-object eq 566
object-group service serv1.src tcp
port-object eq 400
port-object eq 600
object-group protocol tcp-udp
protocol-object tcp
protocol-object udp

関連項目

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」

「ネットワーク/ホスト オブジェクト、ポート リスト オブジェクト、およびサービス オブジェクトがオブジェクト グループとしてプロビジョニングされるときの命名方法」

「ポリシー オブジェクトがオブジェクト グループとしてプロビジョニングされる方法」