Cisco Security Manager 4.1 ユーザ ガイド
ファイアウォール サービスの概要
ファイアウォール サービスの概要
発行日;2012/05/09 | 英語版ドキュメント(2011/03/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ファイアウォール サービスの概要

ファイアウォール サービスの概要

ファイアウォール規則の処理順序について

NAT がファイアウォール規則に与える影響について

Security Manager によって保持される ACL 名

ACL 命名規則

ポリシー間での ACL 名前競合の解決

規則テーブルの管理

規則テーブルの使用

規則の追加および削除

規則の編集

規則テーブルの [Address] セルの追加または編集

規則テーブルの [Services] セルの追加または編集

規則テーブルの [Interfaces] セルまたは [Zones] セルの追加または編集

規則テーブルの [Category] セルの編集

規則テーブルの [Description] セルの編集

規則テーブルのセルの内容の表示

規則テーブルの項目の検索と置換

[Find and Replace] ダイアログボックス

規則の移動と規則順序の重要性

規則のイネーブル化とディセーブル化

セクションを使用した規則テーブルの編成

[Add Rule Section]/[Edit Rule Section] ダイアログボックス

規則の結合

[Combine Rules Selection Summary] ダイアログボックス

Rule Combiner 結果の解釈

Rule Combiner 結果の例

ポリシー クエリー レポートの生成

[Querying Device or Policy] ダイアログボックス

ポリシー クエリー結果の解釈

[Policy Query Result] の例

ファイアウォール規則の展開時のネットワーク オブジェクト グループの最適化

検出中のオブジェクト グループの展開

ファイアウォール サービスの概要

Firewall ポリシー フォルダ(デバイス ビューまたはポリシー ビュー)には、ファイアウォールに関連するポリシーが含まれています。これらのポリシーは、Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)、PIX ファイアウォール(PIX)、Catalyst Firewall Services Module(FWSM; ファイアウォール サービス モジュール)、および Cisco IOS ソフトウェアを実行しているセキュリティ ルータに展開できます。これらのポリシーを使用すると、デバイスを介したネットワーク アクセスを制御できます。

この章は、次の内容で構成されています。

「ファイアウォール サービスの概要」

「規則テーブルの管理」

ファイアウォール サービスの概要

Firewall ポリシー フォルダ(デバイス ビューまたはポリシー ビュー)には、ファイアウォールに関連するポリシーが含まれています。これらのポリシーは、Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)、PIX ファイアウォール(PIX)、Catalyst Firewall Services Module(FWSM; ファイアウォール サービス モジュール)、および Cisco IOS ソフトウェアを実行しているセキュリティ ルータ(Aggregation Services Router(ASR; アグリゲーション サービス ルータ)や Integrated Services Router(ISR; サービス統合ルータなど))に展開できます。

これらのポリシーは、デバイスへのアクセス(つまり、デバイスの設定を変更したり show コマンドを使用したりするためにデバイスにログインすること)ではなく、デバイスを介したアクセスの制御に焦点を置いたものです。次に、使用可能なファイアウォール ポリシーについて概説し、詳細な情報を示す項へのポインタを示します。

AAA 規則:AAA ファイアウォールまたは認証プロキシの規則です。これにより、ユーザが(ユーザ名とパスワードを使用した)認証および認可(任意)を受けて初めて、デバイスを介したネットワーク接続がユーザに許可されるように設定できます。また、アカウンティング、セキュリティ、またはリソース割り当て情報を作成することもできます。詳細については、「AAA 規則について」を参照してください。

アクセス規則、IPv6 アクセス規則:従来のインターフェイスベースの拡張アクセス コントロール規則です。IPv4 と IPv6 のトラフィックには個別のポリシーがあります。パケットは、送信元アドレス、宛先アドレス、送信元インターフェイス、およびサービスに基づいて許可または拒否されます。これらの規則は、in 方向と out 方向のどちらにも適用できます。詳細については、「アクセス規則について」を参照してください。

インスペクション規則:従来的な Context-Based Access Control(CBAC; コンテキストベース アクセス コントロール)であり、アプリケーション レイヤ プロトコル セッション情報に基づいて不正な TCP/UDP パケットをフィルタで除外し、選択したサービスの戻りトラフィックをイネーブルにします。詳細については、「インスペクション規則について」を参照してください。

Web フィルタ規則:要求された URL に基づいて Web トラフィックをフィルタリングするタイプのインスペクション規則です。これにより、望ましくない Web サイトへの接続を阻止できます。詳細については、「Web フィルタ規則について」を参照してください。

ゾーンベースのファイアウォール規則:インターフェイスではなくゾーンに基づいて規則を設定する場合、これらの規則で、IOS デバイス上のアクセス規則、インスペクション規則、および Web フィルタ規則を置き換えます。ゾーンとは、同じセキュリティ ロールを実行する定義済みのインターフェイス グループのことです(Inside や Outside など)。ゾーン規則を使用すると、他のタイプの規則を使用するよりもコンパクトなデバイス設定を作成できます。詳細については、「ゾーンベースのファイアウォール規則について」を参照してください。

ボットネット トラフィック フィルタ規則:これらの規則を使用すると、既知の不正なアドレスに送信されたボットネット トラフィックを見つけることができます。ボットネットは、無警戒なコンピュータ上に悪意のあるソフトウェアをインストールし、これらのコンピュータをプロキシとして使用して悪意のあるアクションを実行します。詳細については、「ファイアウォールの Botnet Traffic Filter 規則の管理」を参照してください。

トランスペアレント規則:トランスペアレント インターフェイスまたはブリッジド インターフェイス上の非 IP のレイヤ 2 トラフィックに適用される Ethertype アクセス コントロール規則です。詳細については、「トランスペアレント ファイアウォール規則の設定」を参照してください。

ほとんどのファイアウォール規則ポリシーは、規則テーブル内で設定します。これらのテーブルを使用すると、ほとんどのセルのインライン編集、セクションを使用した規則編成、および規則の順序変更を行うことができます。共有規則ポリシーを作成すると、多数のデバイス(異なるオペレーティング システムを実行しているデバイスを含む)にそれを適用できます。Security Manager により適切なデバイス コマンドが自動的に作成されて、個々のデバイスの特性に基づいてポリシーが設定され、デバイスに適用されない設定はフィルタで除外されます。規則テーブルの使用方法の詳細については、「規則テーブルの管理」を参照してください。

また、ほとんどのファイアウォール規則ポリシーで使用される強力な機能に、継承という考え方があります。共有ポリシーを作成するとき、デバイスにポリシーを割り当てるのではなく、デバイスにポリシーを継承させるという選択もできます。このため、一方で一連の共有規則をすべてのデバイスに適用し、他方で固有の規則を該当のデバイスだけに適用することができます。継承の詳細については、次の項を参照してください。

「規則の継承について」

「デバイス ビューまたは Site-to-Site VPN Manager における共有ポリシーの使用」.

ここでは、ファイアウォール サービス ポリシーの概要について説明します。

「ファイアウォール規則の処理順序について」

「NAT がファイアウォール規則に与える影響について」

「Security Manager によって保持される ACL 名」

ファイアウォール規則の処理順序について

ファイアウォール規則ポリシーを設定する際は、規則が処理される論理順序を覚えておく必要があります。たとえば、あるアクセス規則で特定タイプのすべてのトラフィックをドロップする場合は、そのタイプのトラフィックに適用される規則を他のファイアウォール ポリシー内に作成しても意味がありません。そのような規則がトリガーされることはないためです。逆に、特定タイプのインスペクションまたは Web フィルタリングをトラフィックに適用する場合は、そのトラフィックがデバイスに入ることを、このアクセス規則が最初に許可するように設定する必要があります。

ファイアウォール規則の一般的な論理処理順序は、次のとおりです。

AAA 規則:(認可の有無に関係なく)認証が必要な場合、ユーザはテストに合格する必要があります。合格しない場合、トラフィックはドロップされます。

アクセス規則(In 方向、IPv4 または IPv6):トラフィックはアクセス規則をパススルーする必要があります。AAA 規則を使用する場合、ユーザのセッションに対してユーザ単位の一時的なアクセス規則を設定できます。これらのユーザ単位の規則は、Security Manager ではなく AAA サーバで設定します。

ASA 8.3 以降のデバイスでは、グローバル アクセス規則はインターフェイス固有のアクセス規則のあとに処理されます。詳細については、「グローバル アクセス規則について」を参照してください。

次のいずれか。

インスペクション規則(In 方向)、Web フィルタ規則(In 方向)、ボットネット規則:これらのすべてがトラフィックに適用されます。方向を設定できないデバイスの場合は、すべての規則が In 方向であると見なされます。

ゾーンベースのファイアウォール規則:IOS デバイスに対してゾーンベースの規則を設定した場合、これらの規則がインスペクション規則と Web フィルタ規則を置き換えます(ボットネット規則は IOS デバイスに適用されません)。

次に、ルーティング プロトコルがトラフィックに適用されます。トラフィックをルーティングできない場合、そのトラフィックはドロップされます(ルーティング ポリシーは、各種デバイス タイプ用の Platform フォルダの中にあり、ファイアウォール ポリシーとは見なされません)。

インスペクション規則(Out 方向)、Web フィルタ規則(Out 方向):IOS デバイスにかぎり、Out 方向で作成したこれらの規則が適用されるようになりました。

アクセス規則(Out 方向、IPv4 または IPv6):最後に、トラフィックは Out 方向のアクセス規則をパススルーする必要があります。

トランスペアレント規則はこの概要には該当しません。トランスペアレント規則は非 IP のレイヤ 2 トラフィックだけに適用されるため、あるトランスペアレント規則がパケットに適用されると、その他のファイアウォール規則は適用されません。また逆に、他の規則が適用されると、そのトランスペアレント規則は適用されません。

関連項目

「AAA 規則について」

「アクセス規則について」

「インスペクション規則について」

「Web フィルタ規則について」

「ゾーンベースのファイアウォール規則について」

「ファイアウォールの Botnet Traffic Filter 規則の管理」

「トランスペアレント ファイアウォール規則の設定」

NAT がファイアウォール規則に与える影響について

ファイアウォール規則をサポートしているデバイスでは、Network Address Translation(NAT; ネットワーク アドレス変換)を設定することもできます。NAT は、パケット内の実際のアドレスを、宛先ネットワーク上のマップされているルーティング可能なアドレスと置き換えます。

NAT をインターフェイスで実行するように設定した場合、そのインターフェイスで同様に設定されているファイアウォール規則で、元の(NAT 実行前の)アドレスではなく、変換されたアドレスに基づいてトラフィックが評価される必要があります(ASA 8.3+ デバイスの場合を除く)。

ASA ソフトウェア リリース 8.3 以降を実行しているデバイスでは、トラフィックを評価する際に、元の(実際の)IP アドレスが使用されます(IPSec VPN トラフィック ポリシーの場合を除く)。このため、ファイアウォール規則、ACL ポリシー オブジェクト、または IOS、QoS、および接続規則プラットフォーム サービス ポリシーを設定する場合は、必ず元のアドレスを使用してください。

NAT の詳細については、次の項を参照してください。

ASA、PIX、FWSM デバイス:「ネットワーク アドレス変換について」

IOS デバイス:「Cisco IOS ルータにおける NAT ポリシー」

Security Manager によって保持される ACL 名

Security Manager は、ユーザ定義の Access Control List(ACL; アクセス コントロール リスト)名を、デバイスで設定されているとおりに保持しようとします。次の場合、Security Manager は、デバイスで設定されている ACL 名を保持できます。

ACL 名が Security Manager で指定されている場合。

アクセス規則ポリシーの場合、[Firewall] > [Settings] > [Access Control] または [Firewall] > [Settings] > [IPv6 Access Control] で ACL 名を指定できます。特定の名前を単一のインターフェイスおよび方向に対して指定できますが、その名前は、同じ ACL を使用する他のすべてのインターフェイスおよび方向に使用されます。デバイスで他のポリシーに割り当てる ACL ポリシー オブジェクトと同じ名前を使用することはできません。また、IPv4 ACL と IPv6 ACL に同じ名前を使用することはできません。

ポリシーで ACL ポリシー オブジェクトを使用する場合、そのポリシー オブジェクトの名前が ACL 名に使用されます。検出中に作成された ACL ポリシーでは、可能なかぎり、デバイスで定義されている ACL の名前が使用されます。動作は管理設定によって異なります。

[Tools] > [Security Manager Administration] > [Discovery] の順に選択して [Allow Device Override for Policy Objects] を選択すると、同じ名前で内容が異なるポリシー オブジェクトが Security Manager に存在していれば、その名前が再利用され、デバイスレベルのオーバーライドが作成されます。

そのオプションを選択しない場合は、同じ名前に番号を追加して(ACLobject_1 など)ポリシー オブジェクトが作成されます。これはデフォルトの動作です。

[Tools] > [Security Manager Administration] > [Deployment] の順に選択して表示される [Firewall Access List Names] 設定で [Reuse Existing Names] を選択した場合、ACL を生成するファイアウォール規則に対して、デバイスで定義されている名前が再利用されます。

ACL が共有されない場合(Security Manager で ACL の内容を変更した場合も同じ)。

ACL は共有されるが、その ACL を共有する各ポリシーが Security Manager で同様には定義されていない場合。ACL の内容を変更すると、1 つの ACL が名前を保持し、その他の ACL には生成された名前が割り当てられます。


) ASA デバイス、またはバージョン 6.3(x) を実行していない PIX デバイスでは、ACL 名が NAT ポリシー スタティック規則で使用されていて、さらにオブジェクトグループを含んでいる場合、その ACL 名は Security Manager により再利用されません。ACL は、送信元として定義されているオブジェクトグループの内容とともに展開されます。これは、デバイスでは ACL 内のすべての ACE の送信元がすべて同じである必要があるためです。


ヒント

ACL ポリシー オブジェクトの名前が、デバイスですでに定義されている ACL でも使用される名前と同じであり、既存の ACL が Security Manager でサポートされないコマンドに対応している場合は、展開エラーが発生し、別の名前を選択するよう要求されます。このエラーが発生した場合は、ポリシー オブジェクトの名前を変更します。

IOS デバイスでは、<number>_<number> という名前の ACL は無効です。Security Manager により、展開前にサフィックスが取り除かれます。つまり、同じ番号のプレフィクスを使用して IOS デバイスを複数の ACL オブジェクトに割り当てることはできません。ただし、番号付きサフィックスを持つ名前の ACL は許可されます(ACLname_1 など)。

番号付き ACL では、IOS デバイスに対する適切な番号範囲を使用する必要があります。標準 ACL は、1 ~ 99 または 1300 ~ 1999 の範囲にする必要があります。拡張 ACL は、100 ~ 199 または 2000 ~ 2699 の範囲にする必要があります。

IOS デバイスの ACL 名の開始文字をアンダースコア(_)にすることはできません。

ユーザ定義の名前を保持しないポリシーには、SSL VPN ポリシー、トランスペアレント ファイアウォール規則、および AAA 規則(IOS デバイスの場合)があります。

ここでは、ACL 命名に関する追加情報を提供します。

「ACL 命名規則」

「ポリシー間での ACL 名前競合の解決」

ACL 命名規則

ACL の名前が Security Manager により生成される場合、その名前は、定義している規則またはプラットフォームのタイプと、それを固有にしている設定から導出されます。新しく作成された ACL には、次の表に示す命名規則に基づいて名前が割り当てられます。


ヒント 展開中、既存の ACL を編集できない場合は、サフィックス .n(n は整数)が付加されることがあります。たとえば、acl_mdc_outside_10 という名前の ACL がすでにデバイスに存在している場合、この古い ACL を削除せずに新しい ACL を展開すると、acl_mdc_outside_10.1 という名前の新しい ACL が作成されます。

 

表 12-1 ACL 命名規則

ポリシー タイプ
命名規則

アクセス ACL

インバウンド:CSM_FW_ACL_InterfaceName

アウトバウンド:CSM_FW_ACL_OUT_InterfaceName

IPv6 アクセス ACL

インバウンド:CSM_IPV6_FW_ACL_InterfaceName

アウトバウンド:CSM_IPV6_FW_ACL_OUT_InterfaceName

インスペクション規則

ASA 7.0+/PIX 7.0+:CSM_CMAP_ACL_n(n は 1 から始まる整数)。

IOS デバイスの場合、番号付き ACL。

NAT0 ACL

インバウンド:CSM_nat0_InterfaceName_in

アウトバウンド:CSM_nat0_InterfaceName

NAT ACL

インバウンド:CSM_nat_InterfaceName_poolID_in

アウトバウンド:CSM_nat_InterfaceName_poolID

(注) PIX 6.3(x) デバイスの場合、ACL 名には、add _dns(dns)、_nrseq(norandomseq)、_emb##(初期接続制限)、_tcp##(tcp の最大接続制限)、および _udp##(udp の最大接続制限)が追加されます。

NAT ポリシー スタティック変換規則 ACL

PIX 6.3(x) デバイス:

IP の場合:CSM_static_globalIP_LocalInterfaceName_globalInterfaceName

その他のプロトコルの場合:CSM_static_globalIP_LocalInterfaceName_globalInterfaceName_ protocol _globalPort

他の OS バージョンを実行しているデバイスの場合、localIP 文字列が追加されます。

IP の場合:CSM_static_localIP_globalIP_LocalInterfaceName_
globalInterfaceName

その他のプロトコルの場合:CSM_static_localIP_globalIP_LocalInterfaceName_
globalInterfaceName_ protocol _globalPort

AAA ACL

PIX/ASA/FWSM の場合:CSM_AAA_{AUTHO | ATHEN | ACCT}
_InterfaceName _ServerGroupName

IOS デバイスの認証プロキシ:

NAC を使用しないインターフェイス:CSM_AUTH-PROXY_InterfaceName_traffic type_ACL。ここで、InterfaceName は規則が適用されるインターフェイスです。traffic type は、HTTP、Telnet、または FTP です。

同じインターフェイス上の AuthProxy および NAC:CSM_ADMISSION_ID_ACL。ここで、ID は Security Manager 内の NAC が適用されるインターフェイス ロールの内部識別子です。

Web フィルタ規則 ACL

ASA 7.0+/PIX 7.0+:デバイスはフィルタ コマンドに一致します。

IOS デバイスの場合、番号付き ACL。

ポリシー間での ACL 名前競合の解決

ACL は共有されるが、その ACL を共有するポリシーが Security Manager で同様には定義されていない場合、1 つのポリシーが ACL の元の名前を使用し、その他のポリシーは Security Manager により生成された新しい名前を使用します。元の名前を使用するポリシーを決定する際の優先順位は、次のとおりです。

アクセス リスト ACL

AAA ACL

スタティック ACL

NAT0 ACL

NAT ACL

たとえば、アクセス ACL と NAT0 ACL が同じ ACL を再利用しようとする場合は、アクセス ACL がデバイスで設定されている元の名前を使用し、NAT0 ACL は Security Manager によって名前変更されます。

規則テーブルの管理

ここでは、多くのファイアウォール規則、NAT、およびその他のポリシーに関連する、規則テーブルの基本的な使用方法について説明します。

「規則テーブルの使用」

「規則の追加および削除」

「規則の編集」

「規則テーブルの項目の検索と置換」

「規則の移動と規則順序の重要性」

「規則のイネーブル化とディセーブル化」

「セクションを使用した規則テーブルの編成」

「規則の結合」

「ポリシー クエリー レポートの生成」

「ファイアウォール規則の展開時のネットワーク オブジェクト グループの最適化」

「検出中のオブジェクト グループの展開」

規則テーブルの使用

Security Manager の規則テーブルには、ポリシーを構成する規則セット(アクセス規則など)が表示されます。これらのタイプのテーブルは、特定のポリシー グループだけで使用されますが、多くのファイアウォール サービス規則ポリシーで使用されます。ポリシー内の規則の順序が重要な場合は、規則テーブルが使用されます。

図 12-1に、規則テーブル内の機能について説明します。

図 12-1 規則テーブルの例

 

次に、規則テーブルの機能について、番号付きのコールアウトで説明します。

デバイスおよびポリシーの識別バナー(1) :このバナーに、ポリシーの共有および継承の情報が示され、いくつかのアクションを実行できることが示されます。詳細については、「ポリシー バナーの使用」を参照してください。

テーブル フィルタ(2) :大きなテーブル内から規則を簡単に見つけるために、規則をフィルタリングできます。詳細については、「テーブルのフィルタリング」を参照してください。

テーブルのカラム見出し(3) :カラムによるソート、カラムの移動、カラムの表示/非表示の切り替えを実行できます。詳細については、「テーブル カラムおよびカラム見出しの機能」を参照してください。

規則(4)、作業領域(6) :テーブルの本体に、ポリシーに含まれている規則が表示されます。

ユーザ定義のセクション(5) :便宜上、規則をセクション単位にグループ化できます。詳細については、「セクションを使用した規則テーブルの編成」を参照してください。

[Tools] メニュー(7) :ほとんどの規則テーブルには、ポリシーの操作に使用できる追加ツールのリストが含まれる [Tools] ボタンがあります。

テーブル ボタン(8) :次の操作を実行する場合は、テーブルの下にあるボタンを使用します。

規則内の項目の検索と置換(双眼鏡アイコンが付いたボタン):詳細については、「規則テーブルの項目の検索と置換」を参照してください。

規則の移動と並べ替え(上矢印および下矢印):詳細については、「規則の移動と規則順序の重要性」を参照してください。

テーブルに規則を追加(+ アイコン):詳細については、「規則の追加および削除」を参照してください。

選択した規則の編集(鉛筆アイコン):詳細については、「規則の編集」を参照してください。

選択した規則の削除(ゴミ箱アイコン):詳細については、「規則の追加および削除」を参照してください。

規則の追加および削除

規則テーブルを使用するポリシーを操作するとき、ファイアウォール規則ポリシーの多くと同様に、いくつかの方法を使用してポリシーに規則を追加できます。

[Add Row] ボタン(+ アイコン):テーブルの下の [Add Row] ボタンをクリックすることが、新しい規則を追加するための標準的な方法です。このボタンをクリックすると、そのポリシー タイプに固有の規則を追加するためのダイアログボックスが開きます。行またはセクション見出しを選択すると、選択した行の後ろに新しい規則が追加されます。選択しない場合、新しい規則は適切なスコープ(通常はローカル スコープ)の末尾に追加されます。

行を右クリックして [Add Row] を選択:行を選択して [Add Row] ボタンをクリックするのと同じです。

コピー アンド ペースト:既存の規則と類似する新しい規則を作成するには、その規則を選択し、右クリックして [Copy] を選択します。次に、規則を挿入する位置の前の行を選択し、右クリックして [Paste] を選択します。これにより複製された規則が作成されるので、それを選択して編集できます(「規則の編集」を参照)。

カット アンド ペースト:カット アンド ペーストはコピー アンド ペーストと似ていますが、[Cut] コマンドを選択すると既存の規則は削除されます。カット アンド ペーストの代わりに、規則を移動することを考慮してください(「規則の移動と規則順序の重要性」を参照)。

規則が不要になったときは、その規則を選択して [Delete Row] ボタン(ゴミ箱アイコン)をクリックすると、その規則を削除できます。


ヒント 規則を削除する代わりに、まず規則をディセーブルにすることを考慮してください。規則をディセーブルにすると、(設定を再展開したときに)その規則はデバイスから削除されますが、Security Manager から削除されることはありません。あとで結局その規則が必要であるとわかった場合は、規則をイネーブルにして、設定を再展開するだけで済みます。規則を削除した場合は、作成し直す必要があります(元に戻す機能はありません)。このため、規則を削除するポリシーを進めるのは、規則を一定時間ディセーブルにしてからにしてください。詳細については、「規則のイネーブル化とディセーブル化」を参照してください。

関連項目

「規則テーブルの使用」

「セクションを使用した規則テーブルの編成」

規則の編集

規則テーブルを使用する規則ポリシー内の既存の規則を編集するには、規則を選択して [Edit Row] ボタンをクリックするか、右クリックして [Edit Row] を選択します。これにより、選択した規則のすべての側面を編集できます。


ヒント ローカル デバイス規則ポリシーからの継承規則については、いずれの側面も編集できません。継承規則はポリシー ビューで編集します。

ほとんどの規則テーブルでは、規則全部を編集せずに、右クリック メニューに表示されるコマンドを使用して特定の属性やテーブル セルを編集することもできます。

セルを編集できるかどうかは、その内容を編集することが適切かどうかによって制限されます。たとえば、インスペクション規則には、規則の設定に基づいて多くの制限があります。

[All Interfaces] に規則を適用した場合、送信元アドレス、宛先アドレス、インターフェイス、または規則の方向はいずれも編集できません。

(送信元と宛先の間のインスペクションを制限するためのオプションを選択せずに)トラフィック一致基準に [Default Inspection Traffic] を選択した場合、または [Custom Destination Ports] を選択した場合、送信元アドレスや宛先アドレスは編集できません。

[Destination Address and Port (IOS)] を選択した場合、送信元アドレスは編集できません。

次のセルレベル コマンドが使用可能ですが、規則テーブルを使用するすべてのポリシーで、複数の行の編集機能がサポートされているわけではありません。

[Add <Attribute Type>]:複数の行を選択して、[Source]、[Destination]、[Services]、または [Interface] セルを右クリックすると、[Add] コマンドを選択して、選択したセル内の既存のデータにエントリを追加できます。[Add] コマンドの完全な名前には、属性の名前が含まれます([Add Source] など)。

[Edit <Attribute Type>]:ほとんどの属性で、内容を編集できます。編集すると、セルの内容が置き換わります。単一のセルを編集することも、複数の行を選択して、すべての行で同じタイプのセルの内容を一度に編集することもできます。[Edit] コマンドの完全な名前には、属性の名前が含まれます([Edit Interfaces] など)。

[Edit <Entry>]:[Source]、[Destination]、[Services]、または [Interface] を編集するときに、セル内のエントリを選択し、そのエントリだけを編集できる場合もあります。たとえば、[Sources] セルに 3 つのネットワーク/ホスト オブジェクトと 1 つの IP アドレスが含まれる場合、そのいずれかを選択してエントリを編集できます。[Edit] コマンドには、エントリの名前が含まれます([Edit HostObject] など)。

[Remove <Entry>]:[Source]、[Destination]、[Services]、または [Interface] を編集するときに、セル内のエントリを選択し、そのエントリを削除できる場合もあります。セル内の最後のエントリは削除できません。削除すると規則が無効になります。[Remove] コマンドには、エントリの名前が含まれます([Remove IP] など)。

[Create <Object Type> Object from Cell Contents]:[Source]、[Destination]、および [Services] セルで、[Create] コマンドを選択して適切なタイプのポリシー オブジェクトを作成できます。また、セル内のエントリを選択して、選択した項目だけからポリシー オブジェクトを作成することもできます。[Create] コマンドには、作成できるポリシー オブジェクト タイプ、およびオブジェクトの送信元である項目の名前(セル内のすべての要素のセル コンテンツ、または選択したセルのエントリの名前)が含まれます。ネットワーク/ホスト オブジェクトを作成すると、必ずネットワーク/ホスト グループ オブジェクトを作成することになります。

[Show <Attribute Type> Contents; Show <Entry> Contents]:[Show] コマンドを使用すると、セル内に定義されている実際のデータを参照できます。結果は、現在のビューによって異なります。

デバイス ビュー、マップ ビュー、またはインポート規則:特定のデバイスに対して規則が適用される実際の IP アドレス、サービス、またはインターフェイスが表示されます。たとえば、規則でネットワーク/ホスト オブジェクトが使用されている場合は、それらのオブジェクトによって定義されている特定の IP アドレスが表示されます。規則でインターフェイス オブジェクトが使用されている場合は、オブジェクトによって識別される、デバイスに定義されている特定のインターフェイスが表示されます(ある場合)。

ネットワーク/ホスト オブジェクトの IP アドレスは、IP アドレスに基づいて昇順にソートされ、その後サブネット マスクに基づいて降順にソートされます。

サービス オブジェクトは、プロトコル、送信元ポート、および宛先ポートに基づいてソートされます。

インターフェイス オブジェクトは、アルファベット順に表示されます。インターフェイスがインターフェイス オブジェクト内のパターンと一致するために選択されている場合は、そのパターンが最初に表示され、そのあとに一致するインターフェイスがカッコで囲まれて表示されます。たとえば、「* (Ethernet1)」は、デバイス上の Ethernet1 インターフェイスが * パターンと一致(すべてのインターフェイスと一致)しているために選択されています。

ポリシー ビュー:ポリシー オブジェクトに定義されているパターンとポリシーに定義されているエントリが表示されます。エントリはアルファベット順にソートされ、数字や特殊文字を先頭に含むエントリが先頭に表示されます。

関連項目

「規則テーブルの使用」

「規則の追加および削除」

「規則の移動と規則順序の重要性」

「規則のイネーブル化とディセーブル化」

「セクションを使用した規則テーブルの編成」

規則テーブルの [Address] セルの追加または編集

[Add Sources or Destinations]/[Edit Sources or Destinations] ダイアログボックス、または NAT テーブルの [Address] ダイアログボックスを使用して、送信元または宛先を含む規則テーブル内の送信元エントリまたは宛先エントリを編集します。ファイアウォール規則のセルの編集に関する詳細については、「規則の編集」を参照してください。

次のアドレス タイプを自由に組み合わせて入力し、トラフィックの送信元または宛先を定義できます。ポリシーのタイプによって、IPv4 または IPv6 のいずれのアドレスが必要であるかが決まります。アドレス タイプを混在させることはできません。項目をカンマで区切って複数の値を入力できます。詳細については、「ポリシー定義中の IP アドレスの指定」を参照してください。

ネットワーク/ホスト オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します。選択リストから新しいオブジェクトを作成することもできます。

ホスト IP アドレス(10.10.10.100(IPv4)または 2001:DB8::200C:417A(IPv6)など)。

IPv4 ネットワーク アドレスとサブネット マスク。形式は 10.10.10.0/24 または 10.10.10.0/255.255.255.0。

IPv6 ネットワーク アドレスとプレフィクス長。形式は、2001:DB8::/32。

IP アドレスの範囲(10.10.10.100-10.10.10.200(IPv4)または 2001:DB8::1-2001:DB8::100(IPv6)など)。

(IPv4 のみ)10.10.0.10/255.255.0.255 形式の IP アドレスのパターン。この場合のマスクは不連続なビット マスクです(「連続および不連続ネットワーク マスク(IPv4 アドレスに対応)」を参照)。

インターフェイス ロール オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します(オブジェクト タイプとして [Interface Role] を選択する必要があります)。インターフェイス ロールを使用する場合は、選択したインターフェイスの IPv4 または IPv6 のアドレスを指定した場合と同様に規則が動作します。デバイスに割り当てられる IP アドレスを把握できないため、DHCP を経由してアドレスを取得するインターフェイスの場合に有効です。詳細については、「インターフェイス ロール オブジェクトについて」を参照してください。

インターフェイス ロールを送信元として選択した場合、ダイアログボックスにタブが表示され、ホストまたはネットワークとインターフェイス ロールが区別されます。

ナビゲーション パス

送信元、宛先、またはその他のアドレス セルを含む規則ポリシー内で、次のいずれかを実行します。

規則テーブル内のアドレス セルを右クリックし、[Edit Sources] または [Edit Destinations] あるいは類似のコマンドを選択します。選択したセルの内容が入力したデータに置き換えられます。

アドレス セル内のエントリを選択し、[Edit <Entry>] を選択します。選択したエントリが入力したデータに置き換えられます。

複数の規則を選択し、[Sources] または [Destination] セルを右クリックして [Add Sources] または [Add Destinations] を選択します。セルにすでに入力されているデータに、入力したデータが付加されます。

規則テーブルの [Services] セルの追加または編集

[Edit Services] ダイアログボックスを使用して、対象となるトラフィックのタイプを定義するサービスを編集します。項目をカンマで区切って複数の値を入力できます。

サービス オブジェクトおよびサービス タイプの任意の組み合わせ(通常はプロトコルとポートの組み合わせ)を入力できます。サービスを入力する場合は、有効な値の入力を求められます。リストから値を選択して、Enter または Tab を押します。また、[Select] をクリックして、リストからサービスを選択するか、新しいサービスを作成することもできます。

サービスを指定する方法の詳細については、「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。

ファイアウォール規則のセルの編集に関する詳細については、「規則の編集」を参照してください。

ナビゲーション パス

サービスを含む規則ポリシー内で、次のいずれかを実行します。

規則テーブル内の [Services] セルを右クリックし、[Edit Services] を選択します。選択したセルの内容が入力したデータに置き換えられます。

[Services] セル内のエントリを選択し、[Edit <Entry>] を選択します。選択したエントリが入力したデータに置き換えられます。

複数の規則を選択し、[Services] セルを右クリックして [Add Services] を選択します。セルにすでに入力されているデータに、入力したデータが付加されます。


ヒント インスペクション規則では、[Traffic Match] カラムにサービスが表示されます。ただし、サービスが表示されるのは、トラフィックが送信元、宛先、およびポートと一致する規則の場合だけです。

規則テーブルの [Interfaces] セルまたは [Zones] セルの追加または編集

[Add or Edit Interfaces] または [Add or Edit Zones] ダイアログボックスを使用して、規則が定義されているインターフェイスまたはゾーンを編集します。ファイアウォール規則のセルの編集に関する詳細については、「規則の編集」を参照してください。

インターフェイスを編集する際は、特定のインターフェイス名またはインターフェイス ロールを自由に組み合わせて入力できます。項目をカンマで区切って複数の値を入力できます。名前を入力します。または、[Select] をクリックしてリストからインターフェイスおよびロールを選択するか、新しいロールを作成します。インターフェイスをリストに表示するには、あらかじめ定義しておく必要があります。

ポリシーをデバイスに展開すると、インターフェイス ロールが実際のインターフェイス名で置き換えられます。これは、そのデバイスで実際に設定されているインターフェイスだけです。規則によって実際に選択されるインターフェイスを表示するには、[Interfaces] セルを右クリックして [Show Interfaces] を選択します。

ゾーンの編集時には、インターフェイス ロールを 1 つだけ選択できます。個々のインターフェイスは選択できません。ゾーン ベースのファイアウォール規則にゾーンを作成するには、インターフェイス ロールを使用します。ゾーンに属するインターフェイスを表示するには、[Zones] セルを右クリックして [Show Zone Contents] を選択します。

インターフェイス ロールおよびインターフェイスの選択に関する詳細については、次の項を参照してください。

「インターフェイス ロール オブジェクトについて」

「ポリシー定義中のインターフェイスの指定」

ナビゲーション パス

インターフェイスまたはゾーンを含む規則ポリシー内で、次のいずれかを実行します。

規則テーブル内の [Interfaces] または [Zones] セルを右クリックし、[Edit Interfaces]、[Edit Zones]、または類似のコマンドを選択します。選択したセルの内容が入力したデータに置き換えられます。

[Interfaces] セル内のエントリを選択し、[Edit <Entry>] を選択します。選択したエントリが入力したデータに置き換えられます。ゾーン内のエントリを編集することはできません。

複数の規則を選択し、[Interfaces] セルを右クリックして [Add Interfaces] を選択します。セルにすでに入力されているデータに、入力したデータが付加されます。エントリをゾーンに追加することはできません。

規則テーブルの [Category] セルの編集

[Edit Category] ダイアログボックスを使用して、規則に割り当てられているカテゴリを変更します。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。ファイアウォール規則のセルの編集に関する詳細については、「規則の編集」を参照してください。

ナビゲーション パス

カテゴリを含む規則ポリシー内の [Category] セルを右クリックし、[Edit Category] を選択します。

規則テーブルの [Description] セルの編集

[Edit Description] ダイアログボックスを使用して、規則の説明を編集します。説明を使用すると、規則の目的を明確にできます。最大 1024 文字です。規則のセルの編集に関する詳細については、「規則の編集」を参照してください。

ナビゲーション パス

説明を含む規則ポリシー内の [Description] セルを右クリックし、[Edit Description] を選択します。

規則テーブルのセルの内容の表示

[Show Contents] ダイアログボックスを使用して、送信元、宛先、サービス、インターフェイス、またはゾーンのセルや、それらの要素を定義するアドレス、インターフェイス、サービス、またはポリシー オブジェクトを含む規則テーブル内のその他のセルで定義されている実際の変換済みデータを表示します。ダイアログボックスのタイトルは、調べるセルまたはエントリを示しています。この情報を使用して、デバイスに展開された規則が実際に適用されるアドレス、サービス、またはインターフェイスを判別します。セルの内容の編集または表示に関する詳細については、「規則の編集」を参照してください。

ダイアログボックスに表示される内容は、現在のビューによって異なります。

デバイス ビュー、マップ ビュー:特定のデバイスに対して規則が適用される実際の IP アドレス、サービス、またはインターフェイスが表示されます。たとえば、規則でネットワーク/ホスト オブジェクトが使用されている場合は、それらのオブジェクトによって定義されている特定の IP アドレスが表示されます。規則でインターフェイス オブジェクトが使用されている場合は、オブジェクトによって識別される、デバイスに定義されている特定のインターフェイスが表示されます(ある場合)。

ネットワーク/ホスト オブジェクトの IP アドレスは、IP アドレスに基づいて昇順にソートされ、その後サブネット マスクに基づいて降順にソートされます。

サービス オブジェクトは、プロトコル、送信元ポート、および宛先ポートに基づいてソートされます。

インターフェイス オブジェクトは、アルファベット順に表示されます。インターフェイスがインターフェイス オブジェクト内のパターンと一致するために選択されている場合は、そのパターンが最初に表示され、そのあとに一致するインターフェイスがカッコで囲まれて表示されます。たとえば、「* (Ethernet1)」は、デバイス上の Ethernet1 インターフェイスが * パターンと一致(すべてのインターフェイスと一致)しているために選択されています。

ポリシー ビュー:ポリシー オブジェクトに定義されているパターンとポリシーに定義されているエントリが表示されます。エントリはアルファベット順にソートされ、数字や特殊文字を先頭に含むエントリが先頭に表示されます。

ナビゲーション パス

送信元、宛先、サービス、インターフェイス、またはゾーンや、ネットワーク、インターフェイス、またはサービスを指定するその他のフィールドを含む規則ポリシー内で、次のいずれかを実行します。また、規則を操作する(規則のインポートなど)ツールを使用する際にも、内容を表示できます。

これらのセルの 1 つを右クリックし、[Show <Attribute Type> Contents](attribute type はセル名)を選択します。データには、セル内に定義されているすべてのエントリが含まれます。

これらのセルの 1 つのエントリを右クリックし、[Show <Entry> Contents] を選択します。コマンド名には、選択したエントリの名前が含まれます。表示されるデータは、選択したエントリだけに対応するデータです。


ヒント インスペクション規則では、[Traffic Match] カラムにサービスが表示されます。ただし、サービスが表示されるのは、トラフィックが送信元、宛先、およびポートと一致する規則の場合だけです。

規則テーブルの項目の検索と置換

規則テーブルを使用するポリシー内で、いくつかのセルの項目を検索し、選択的に置換できます。検索できるセルは、ポリシーによって異なります。パターン マッチングに基づいて項目を検索する場合、ワイルドカード文字を使用できます。たとえば、関連するいくつかのネットワークを、それらに定義されている新しいネットワーク/ホスト ポリシー オブジェクトで置き換えることができます。

検索と置換を使用するには、規則テーブルを使用するポリシーの一番下にある [Find and Replace](双眼鏡アイコン)ボタンをクリックして、「[Find and Replace] ダイアログボックス」を開きます。Firewall フォルダでは、これに AAA 規則、アクセス規則、IPv6 アクセス規則、インスペクション規則、ゾーン ベースのファイアウォール規則、および Web フィルタ規則(ASA/PIX/FWSM デバイスのみ)が含まれます。ASA/PIX/FWSM デバイスでは、NAT 変換規則ポリシー(ただし、コンテキストと動作モードのすべての組み合わせに当てはまるとはかぎりません)と IOS、QoS、および接続規則のプラットフォーム サービス ポリシーも含まれます。

項目を検索するときは、項目のタイプおよび検索するカラムを選択し、検索する文字列を入力します。また任意で、置換に使用する文字列を入力します。次の項目タイプを検索および置換できます。

[Network]、[IPv6 Network]:ネットワーク/ホスト オブジェクト名またはホストやネットワークの IP アドレス。

[Service]:サービス オブジェクト名またはプロトコルとポート。たとえば、TCP/80。検索は意味ではなく構文によるものです。つまり、TCP/80 を検索し、規則で HTTP が使用されている場合、検索結果には TCP/80 は含まれません。

[Interface Role]:インターフェイス名またはインターフェイス ロール オブジェクト名。


) アクセス規則では、グローバル インターフェイス名を使用してグローバル規則を検索できます。ただし、グローバル規則とインターフェイス固有の規則を変換する方法はありません。グローバル規則はグローバル インターフェイス名を使用して検索できますが、インターフェイス名を「Global」という名前で置換しようとすると、実際には Global という名前のポリシー オブジェクトを使用する、インターフェイス固有のアクセス規則が作成されます。


[Text]:[Description] フィールドのテキスト文字列。

次に、検索と置換に関連する操作の例をいくつか示します。

10.100.0.0/16 の範囲内のすべてのネットワークに対して network10.100 という名前の新しいネットワーク/ホスト オブジェクトを作成すると、すべての従属ネットワーク指定を検索および置換できます。たとえば、^10.100* を検索すると、10.100.10.0/24 のようなアドレスすべてを検索できます。[Find Whole Words Only] および [Allow Wildcard] オプションを選択して、置換文字列として「network10.100」と入力します。[Find Whole Words Only] を選択したため、置換される文字列は、10.100 の部分だけでなく 10.100.10.0/24 文字列全体です。

(ネットワーク/ホスト オブジェクトの代わりに)IP アドレスを使用するすべての規則を検索する場合は、*.*.*.* を検索すると、すべてのホストまたはネットワーク IP アドレスが検索されます。次に、[Find and Replace] ダイアログボックスが開いている間に、選択的にセルを編集できます。

名前に「side」が含まれるすべてのインターフェイス ロール オブジェクト(inside や outside など)を、External という名前のインターフェイス ロール オブジェクトで置換する場合は、[Find Whole Words Only] オプションと [Allow Wildcard] オプションを選択して *side を検索し、[Replace] フィールドに External を入力します。

関連項目

「規則の編集」

[Find and Replace] ダイアログボックス

[Find and Replace] ダイアログボックスを使用して、規則テーブルのセル内の項目を検索し、任意で置換します。検索できる項目のタイプは、表示されているポリシーによって異なります。

ナビゲーション パス

規則テーブルを使用するポリシーの一番下にある [Find and Replace](双眼鏡アイコン)ボタンをクリックします。Firewall フォルダでは、これに AAA 規則、アクセス規則、IPv6 アクセス規則、インスペクション規則、ゾーン ベースのファイアウォール規則、および Web フィルタ規則(ASA/PIX/FWSM デバイスのみ)が含まれます。ASA/PIX/FWSM デバイスでは、NAT 変換規則ポリシー(ただし、コンテキストと動作モードのすべての組み合わせに当てはまるとはかぎりません)と IOS、QoS、および接続規則のプラットフォーム サービス ポリシーも含まれます。

関連項目

「規則テーブルの項目の検索と置換」

「規則の編集」

フィールド リファレンス

 

表 12-2 [Find and Replace] ページ

要素
説明

[Type]

検索する項目のタイプ。タイプを選択し、検索するカラムを選択します。[All Columns] を選択すると、検索されたカラムは、[All Columns] 項目とともに一覧表示されます(検索では、テーブル内のすべてのカラムが考慮されるわけではありません)。

[Network]、[IPv6 Network]:ネットワーク/ホスト オブジェクト名またはホストやネットワークの IP アドレス。ポリシーのタイプによって、そのアドレスまたはオブジェクトが IPv4 アドレスまたは IPv6 アドレス用であるかが決まります。

[Service]:サービス オブジェクト名またはプロトコルとポート。たとえば、TCP/80。検索は意味ではなく構文によるものです。つまり、TCP/80 を検索し、規則で HTTP が使用されている場合、検索結果には TCP/80 は含まれません。

[Interface Role]:インターフェイス名またはインターフェイス ロール オブジェクト名。

(注) アクセス規則では、グローバル インターフェイス名を使用してグローバル規則を検索できます。ただし、グローバル規則とインターフェイス固有の規則を変換する方法はありません。グローバル規則はグローバル インターフェイス名を使用して検索できますが、インターフェイス名を「Global」という名前で置換しようとすると、実際には Global という名前のポリシー オブジェクトを使用する、インターフェイス固有のアクセス規則が作成されます。

[Text]:[Description] フィールドのテキスト文字列。

[Find]

検索文字列。ポリシー オブジェクトを検索する場合は、[Select] をクリックして、リストからオブジェクトを選択します。

[Replace]

(任意)検索文字列を置換するために使用する文字列。置換される文字列は、検索オプションで制御します。検索文字列をポリシー オブジェクト名で置換する場合は、[Select] をクリックして、リストからオブジェクトを選択します。

検索文字列を複数の項目で置換できます。複数の項目はカンマで区切ります。たとえば、TCP サービスを検索し、それを TCP, UDP で置き換えます。

[Replace] フィールドに何も入力せずに [Replace] ボタンをクリックすると、項目を削除できます。

テーブルで編集が許可されていない場合は、このフィールドがグレー表示されます。

[Direction]

現在選択されている行またはセルを基準にした検索の方向([up] または [down])。テーブルの終わりに達すると、引き続きテーブルの一番上から検索されます。

[Match Case]

テキスト検索の場合、[Find] フィールドで使用した大文字と小文字の違いを一致させるかどうか。

[Find Whole Words Only]

検索で単語全体(スペースまたは句読点で区切られた文字列)だけを検索して選択するかどうか。たとえば、SanJose を単語全体で検索すると、SanJose は検出されますが、SanJose1 は検出されません。

このオプションを [Allow Wildcard] オプションとともに使用すると、部分文字列を検索できます。ただし、検出された文字列を置換すると、部分文字列ではなく単語全体が置換されます。たとえば、^10.100* を検索すると、10.100.10.0/24 のようなすべてのアドレスが検出され、それらが network10.100 ポリシー オブジェクトで置換されます。[Whole Words] を選択することにより、検索対象の部分だけでなくアドレス全体がネットワーク/ホスト オブジェクトで置換されます。

テキスト検索の場合、このオプションと [Allow Wildcards] オプションは相互に排他的です。

[Allow Wildcards]

検索文字列または置換文字列でワイルドカード文字を使用するかどうか。このオプションを選択しない場合、すべての文字が文字どおりに処理されます。

Java 正規表現を使用して、次の例外を含む表現を作成できます。

ピリオド(.):ピリオドはリテラル ピリオドであり、暗黙的にエスケープされます。

疑問符(?):疑問符は単一文字を表します。

アスタリスク(*):アスタリスクは、1 つ以上の文字と一致します。0 文字とは一致しません。

プラス記号(+):プラス記号はアスタリスクと同じ意味で、1 つ以上の文字と一致します。

[Find Next] ボタン

検索文字列の次のオカレンスを検索する場合は、このボタンをクリックします。

[Replace] ボタン

見つかった文字列を置換文字列で置換する場合、このボタンをクリックします。

[Replace All] ボタン

検索文字列を自動的に検索し、テーブル全体にわたってそれを置換する場合は、このボタンをクリックします。

規則の移動と規則順序の重要性

規則テーブルを使用する規則ポリシーは、順序付けられたリストです。つまり、規則の上から下への順序が重要であり、ポリシーに影響を与えます。

デバイスは、規則ポリシーに照らしてパケットを分析するとき、上から下に順に規則を検索します。パケットに一致した最初の規則が、そのパケットに適用される規則です。それ以降の規則はすべて無視されます。このため、特定の送信元または宛先の HTML トラフィックに関連する具体的な規則の前に、IP トラフィックに関連する一般的な規則を配置すると、具体的な規則の方が適用されないことがあります。

アクセス コントロール規則の場合は、規則分析ツールを使用して、どのような場合に、規則順序によって規則がトラフィックに適用されなくなるかを特定できます(詳細については、「分析レポートの生成」を参照してください)。その他の規則ポリシーの場合は、テーブルをよく調べて、規則順序に関連する問題を特定してください。

規則の順序を並べ替える必要があると判断した場合は、移動する必要のある規則を選択し、適宜、[Up Row](上矢印)または [Down Row](下矢印)ボタンをクリックします。これらのボタンが規則テーブルの下に表示されない場合、規則順序は問題ではないため、その順序を並べ替えることはできません。

セクションを使用して規則を編成した場合は、セクション内でだけ規則を移動できます。セクション外部の規則を移動する場合、そのセクションの上または下に移動できます。セクションでの作業の詳細については、「セクションを使用した規則テーブルの編成」を参照してください。


ヒント ポリシー内でインターフェイスに固有の規則とグローバル規則を組み合わせる場合は、移動するアクセス規則に特殊な規則が適用されます。詳細については、「グローバル アクセス規則について」を参照してください。

関連項目

「規則テーブルの使用」

「規則の追加および削除」

「規則の編集」

「規則のイネーブル化とディセーブル化」

「セクションを使用した規則テーブルの編成」

規則のイネーブル化とディセーブル化

規則テーブルを使用するポリシー(ほとんどのファイアウォール サービス規則ポリシーなど)内で、個々の規則をイネーブル化およびディセーブル化できます。変更は、設定をデバイスに再展開すると有効になります。

規則がディセーブルになっている場合、テーブルでその規則にハッシュ マークが重なって表示されます。設定を展開すると、ディセーブルな規則はデバイスから削除されます。

ディセーブルな規則は便宜的に Security Manager の規則ポリシー内に保持されます。規則が必要になった場合は、規則を再作成しなくとも簡単にイネーブルにできます。このため、不要になったと思われる規則は、すぐに削除してしまわずに、ディセーブルにすることを推奨します。

規則がイネーブルかディセーブルかを変更するには、規則を選択して右クリックし、[Enable] または [Disable] の適切なほうを選択します。

関連項目

「規則テーブルの使用」

「規則の追加および削除」

「規則の編集」

「規則の移動と規則順序の重要性」

「セクションを使用した規則テーブルの編成」

セクションを使用した規則テーブルの編成

規則テーブルを使用するポリシーは、セクション単位に編成できます。次の 2 つのタイプのセクションがあります。

スコープ:ポリシーと継承ポリシーの継承関係を定義します。このセクションは、ポリシーを継承すると自動的に作成されます。詳細については、「規則の継承について」を参照してください。

ユーザ定義セクション:ポリシーの評価および編集が簡単になるように規則を編成する際に役立つ便利なグループです。このタイプのセクションは、多数の規則が含まれるポリシーに対して最も効果を発揮します。

セクション内のすべての規則は順序付けられている必要があります。規則をランダムにグループ化することはできません。連続しない規則どうしを関連付けて指定するには、それらの規則に同じカテゴリを割り当てることができます。

ユーザ定義セクションは、インデントされたセクション見出しによって、テーブル内の他の規則から目立つように表示されます。見出しには、左から順に、セクションを開いたり閉じたりするための +/- アイコン、セクションに割り当てたカテゴリ(ある場合)を識別する色の帯、セクション名、セクションに含まれる最初と最後の規則番号(4-8 など)、および入力したセクションの説明(ある場合)が表示されます。

ユーザ定義セクションを作成するかどうかは、ユーザの自由です。これらのタイプのセクションを作成することが有益だと判断した場合は、次の情報に示すセクションの作成方法と使用方法を参照してください。

新しいセクションを作成するには、セクションを挿入する行を右クリックし、[Include in New Section] を選択します(Shift を押しながらクリックして、規則のブロックを選択することもできます)。セクションの名前、説明、およびカテゴリを入力するように要求されます(必須の要素は名前だけです)。

既存の規則をセクションに移動するには、1 つ以上の連続する規則を選択し、右クリックして [Include in Section <name of section>] を選択します。このコマンドは、選択した行が既存のセクションの隣にある場合にだけ表示されます。セクションに追加する行が現在そのセクションの隣にない場合は、セクションの隣に来るまで規則を移動するか、規則をカットしてセクションにペーストします。

セクションの移動はできません。このため、セクションの外側の規則をセクション周りに移動する必要があります。セクション内にはないが、セクションの隣にある規則を移動すると、規則はそのセクションを飛び越えます。

規則をセクションの外部に移動したり、セクションを通過して移動したりすることはできません。セクションとは、規則を移動できる範囲の境界を定義するものです。規則をセクションの外側に移動して Local スコープ セクションに戻すには、1 つ以上の連続する規則を選択し、右クリックして [Remove from Section <name of section>] を選択します。このコマンドを使用するには、規則がセクションの開始位置または終了位置にある必要があります。そうでない場合、規則が開始位置または終了位置に来るまで規則を移動するか、規則をカット アンド ペーストしてセクションの外側に移動できます。

新しい規則をセクションに追加するには、目的の位置のすぐ前にある規則を選択し、[Add Row] ボタンをクリックします。規則をセクションの開始位置に挿入するには、セクション見出しを選択します。

規則を(セクションの外部だが)セクションの後ろに作成するには、規則をセクション内の最後の規則として作成してから、セクションから削除します。または、規則をセクションのすぐ上に作成し、下矢印ボタンをクリックします。

セクション見出しを右クリックして [Edit Section] を選択することにより、セクションの名前、説明、またはカテゴリを変更できます。

セクションを削除すると、セクションに含まれているすべての規則は保持されて、Local スコープ セクションに再び移されます。削除される規則はありません。セクションを削除するには、セクション見出しを右クリックし、[Delete Section] を選択します。

Combine Rules ツールを使用する場合、結果として結合された規則ではセクションが考慮されます。セクション内にある規則は、そのセクション内の他の規則とだけ結合できます。

関連項目

「規則テーブルの使用」

「規則の追加および削除」

「規則の編集」

「規則の移動と規則順序の重要性」

「規則のイネーブル化とディセーブル化」

[Add Rule Section]/[Edit Rule Section] ダイアログボックス

[Add and Edit Rule Section] ダイアログボックスを使用して、規則テーブルでユーザ定義セクション見出しを追加または編集します。セクションを使用して規則テーブルを編成する方法の詳細については、「セクションを使用した規則テーブルの編成」を参照してください。

ナビゲーション パス

次のいずれかを実行します。

規則テーブル内の 1 つ以上の規則を選択し、右クリックして [Include in New Section] を選択します。

セクション見出しを右クリックし、[Edit Section] を選択します。

フィールド リファレンス

 

表 12-3 [Add Rule Section]/[Edit Rule Section] ダイアログボックス

要素
説明

[Name]

セクションの名前。

[Description]

セクションの説明。最大 1024 文字です。

[Category]

セクションに割り当てられるカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

規則の結合

アクセス規則ポリシーおよび AAA 規則ポリシーは時間とともに拡大し、多数の規則を含むことがあります。これらのポリシーの大きさによっては、ポリシーの管理が困難になることがあります。この問題を軽減するために、規則結合ツールを使用できます。これにより、ポリシーがトラフィックを処理する方法を変更することなく、ポリシー内の規則の数を減らすことができます。


ヒント 規則を結合すると、特定のセキュリティ ポリシーを実装するために必要なアクセス規則の数を大幅に圧縮できます。たとえば、あるポリシーでアクセス規則が 3,300 個必要な場合、ホストとサービスを効率的にグループ化すると、必要な規則を 40 個に減らすことができます。ただし、Rule Combiner は IPv6 アクセス規則では使用できません。

(送信元としての)信頼できる各種ホストに対する特定範囲のサービスを(宛先としての)各種パブリック サーバに対して許可するような、複数の規則が存在するとします。この状況で 10 個の規則を適用する場合は、その 10 個の規則を 1 つの規則に結合できます。これにより、サービスの集まり(AllowedServices など)、ホスト(TrustedHosts など)、およびサーバ(PublicServers など)に対して新しいポリシー オブジェクトを作成できます。規則結合中に新しいオブジェクトを作成するには、新しく結合したセルを右クリックし、[Create Network (or Service) Object from Cell Contents] を選択します。

たとえば、インターフェイス FastEthernet0 に次の 2 つの規則があるとします。

Permit TCP for source 10.100.10.1 to destination 10.100.12.1

Permit TCP for source 10.100.10.1 to destination 10.100.13.1

この 2 つを結合して、permit TCP for source 10.100.10.1 to destination 10.100.12.1, 10.100.13.1 という 1 つの規則にできます。

規則を結合するには、多次元のソートが使用されます。たとえば、アクセス規則の場合、次のようになります。

1. 規則は送信元によってソートされるため、送信元が同じ規則はまとめて配置されます。

2. 送信元が同じ規則は宛先によってソートされるため、送信元も宛先も同じ規則はまとめて配置されます。

3. 送信元も宛先も同じ規則は 1 つの規則に結合され、サービスが連結されます。

4. 隣接する規則は、送信元およびサービスが同じかどうかチェックされます。同じであった場合、1 つの規則に結合され、宛先が連結されます。

5. 隣接する規則は、宛先およびサービスが同じかどうかチェックされます。同じであった場合、1 つの規則に結合され、送信元が連結されます。

今度は、宛先と(送信元の代わりに)サービスに基づいてソートが繰り返されます。


ヒント セクションの異なる規則が結合されることはありません。規則を整理するために作成したセクションによって、可能な結合の範囲が制限されます。また、インターフェイス固有のアクセス規則とグローバル アクセス規則が結合されることはありません。グローバル規則の詳細については、「グローバル アクセス規則について」を参照してください。

関連項目

「ファイアウォール AAA 規則の管理」

「ファイアウォール アクセス規則の管理」


ステップ 1 Firewall フォルダから、結合する規則が含まれるポリシーを選択します。次のタイプのポリシーに対して規則を結合できます。

AAA 規則

アクセス規則

ステップ 2 ツールで可能な結合が特定の規則グループに制限されるようにする場合は、それらの規則を選択します。Shift および Ctrl を押しながらクリックすると、複数の規則を選択できます。セクション見出しを選択すると、セクション内のすべての規則を選択できます。スコープ見出し([Local] など)を選択すると、スコープ内のすべての規則を選択できます。ツールを制限しない場合は、テーブルから何も選択しないでください。次の点を考慮してください。

デバイス ビューでは、ローカル規則に対する結合だけを保存できます。ツールは共有規則および継承規則に対して実行できますが、結果を保存することはできません。規則を選択しない場合、デフォルトですべてのローカル スコープ規則が考慮されます。

共有ポリシー内の規則を結合するには、ポリシー ビューでツールを実行する必要があります。規則を選択しない場合、デフォルトですべての必須規則が考慮されます。

結果を保存できない場合にツールを実行しようとすると、警告されます。

ステップ 3 テーブルの下の [Tools] ボタンをクリックし、[Combine Rules] を選択して「[Combine Rules Selection Summary] ダイアログボックス」を開きます。

ステップ 4 規則で結合を考慮するカラムを選択します。カラムを選択しない場合、結合された規則の設定が、結合対象のカラム内の設定と同じである必要があります。

また、選択した規則の結合を考慮するように選択したり、ポリシー内のすべての規則の結合を考慮するように選択することもできます。


ヒント カラム タイプが表示されていない場合、結合された規則の内容が、[Description] セルを除くセルの内容と同じである必要があります。セルの内容が異なる規則どうしは結合されません。


ステップ 5 [OK] をクリックすると、結合が生成され、[Rule Combiner Results] ダイアログボックスに結果が表示されます。

結果を分析し、結合を保存するかどうかを評価します。全部を保存するか、何も保存しないかのどちらかです。保存する結合を選択することはできません。

結果の評価の詳細については、「Rule Combiner 結果の解釈」を参照してください。例については、「Rule Combiner 結果の例」を参照してください。

ステップ 6 [OK] をクリックすると、規則テーブル内の元の規則が、結合された規則に置き換わります。


 

[Combine Rules Selection Summary] ダイアログボックス

[Combine Rules Selection Summary] ダイアログボックスを使用して、ファイアウォール規則ポリシー内の規則を結合するために使用するパラメータを定義します。[OK] をクリックすると、結合の結果が [Rule Combiner Results] ダイアログボックスに表示されます。このダイアログボックスで、「Rule Combiner 結果の解釈」で説明するように、結果を保存または廃棄することを選択できます。

ナビゲーション パス

「[AAA Rules] ページ」「アクセス規則ページ(IPv4 または IPv6)」から規則を結合できます。テーブルの一番下にある [Tools] をクリックし、[Combine Rules] を選択します。

フィールド リファレンス

 

表 12-4 [Combine Rules Selection Summary] ダイアログボックス

要素
説明

[Policy Selected]

選択したポリシーおよびスコープが表示されます。[Local] は、ローカル デバイス規則を表します。それ以外の場合、フィールドには共有ポリシーの名前と、そのポリシー内で選択されているスコープ(ある場合)が示されます。

[Rules to be combined]

ツールで結合を考慮する規則:

[All Rules]:選択したポリシー内のすべての規則の結合が考慮されます。

[Selected Rules]:ツールの起動前にポリシー内で選択した規則だけの結合が考慮されます。

ツールの実行前の規則の選択に関する詳細については、「規則の結合」を参照してください。

[Choose which columns to combine]

規則テーブル内の結合可能なカラム。2 つの規則を結合するには、選択していないカラムの内容がいずれも同一である必要があります(結合可能カラムとして一覧表示されていないカラムも含む。ただし、[Description] カラムを除く)。結合できるカラムは、次のとおりです。

[Source]

[Destination]

[Service]

[Interface]

AAA 規則の場合、他に次のカラムも結合できます。

[Action]

[Auth Proxy]

Rule Combiner 結果の解釈

[Rule Combiner Results] ダイアログボックスを使用して、規則結合の結果を評価できます(「規則の結合」を参照)。このダイアログボックスには結果が要約され、[OK] をクリックすると作成される新しい規則が表示されます。

変更される規則のセルの枠は赤色になります。上半分のテーブルで結合済みの規則を選択すると、その規則を作成するために結合された規則が下半分のテーブルに表示されます。

このウィンドウで、結果の要素を改良できます。

複数の要素を持つ [Source]、[Destination]、[Service] セルを右クリックし、[Create Network (or Service) Object from Cell Contents] を選択すると、結合されたセルの内容を含む新しいポリシー オブジェクトを作成できます。セルの内容が新しいオブジェクトに置き換わります。

また、展開された設定内にネットワーク オブジェクト グループを自動的に作成して、規則テーブル セル内のカンマ区切りの値を置き換えることもできます。ネットワーク オブジェクトは展開中に作成されます。これが規則ポリシーの内容に影響することはありません。このオプションをイネーブルにするには、[Tools] > [Security Manager Administration] > [Deployment] を選択して「[Deployment] ページ」を開き、[Create Object Groups for Multiple Sources, Destinations, or Services in a Rule] を選択します。

[Description] を右クリックし、[Edit Description] を選択して説明を変更します。結合済みの規則の説明は、改行で区切られた古い規則の各説明を連結したものです。

例については、「Rule Combiner 結果の例」を参照してください。

ヒント

結合された結果は、[OK] をクリックするまでポリシーに適用されません。結合の結果に満足しない場合は、[Cancel] をクリックして、より小さな規則グループを選択して Combine Rules ツールのスコープを制限することを考慮します。

[OK] をクリックしたあとで、その変更の受け入れを取り消すには、次の 2 つのオプションがあります。1 つめは、ポリシー ページで [Save] をクリックしないようにし、別のポリシーを選択して、ポリシーの変更を保存するように要求されたら [No] をクリックします。すでに [Save] をクリックした場合でも、(たとえば、[File] > [Discard] を選択して)アクティビティまたは設定セッションを廃棄することにより、変更を元に戻すことができます。ただし、これを行うと、他のポリシーに対して行った他の変更内容もすべて廃棄されます。変更を送信したあと、またはアクティビティが承認されたあとは、変更を元に戻すことはできません。

保存が許可されていないポリシーに対して規則を結合する場合でも、Combine Rules ツールは実行できます。たとえば、デバイス ビューでは共有ポリシーまたは継承ポリシーの結合済み規則を保存できません。結果を保存できない場合は、ツールの実行前に警告が表示されます。

セクションの異なる規則が結合されることはありません。規則を整理するために作成したセクションによって、可能な結合の範囲が制限されます。また、インターフェイス固有のアクセス規則とグローバル アクセス規則が結合されることはありません。グローバル規則の詳細については、「グローバル アクセス規則について」を参照してください。

ナビゲーション パス

[AAA Rules] ページ アクセス規則ページ(IPv4 または IPv6)から規則を結合できます。テーブルの一番下にある [Tools] をクリックして [Combine Rules] を選択し、 [Combine Rules Selection Summary] ダイアログボックスを入力して [OK] をクリックします。

フィールド リファレンス

 

表 12-5 結合された規則の結果の要約

要素
説明

[Result Summary]

何らかの結合を行うことができる場合、結合の結果の要約が示され、元の規則の数、結合後に残る規則の数、変更される規則の数、および変更されない規則の数が示されます。

[Resulting Rules] テーブル

ポリシー内に現存する規則を置換する規則。[OK] をクリックした場合、これらの規則がポリシーの一部となります。カラムは、関連付けられたポリシー内のカラム(「[AAA Rules] ページ」または「アクセス規則ページ(IPv4 または IPv6)」を参照)に、[Rule State] カラムが追加されたものです。

[Rule State] カラムには、規則のステータスが示されます。

[Modified]、[Combined]:新しい規則は、1 つ以上の規則を結合した結果、または既存の規則を変更した結果として生成されたものです。セルの枠が赤い場合、内容が結合されたセルであることを示します。

[Unchanged]:規則は他の規則と結合できなかったため、変更されていません。

[Not Selected]:可能な結合に対して規則を選択していません。

規則が多数存在する場合、テーブルの下のボタンを使用して、変更のある規則全部をスクロールできます。変更されていない規則および選択されていない規則はスキップされます。

[Original rules] テーブル(下半分のテーブル)

ダイアログボックスの下半分のテーブルに、上半分のテーブルで選択した規則を作成するために結合された元の規則が表示されます。

[Detail Report] ボタン

このボタンをクリックすると、結果の HTML レポートが作成されます。レポートには結果が要約され、結果の規則の詳細と、新しい規則を作成するために結合された規則も表示されます。

結合された規則のセル内に多数のエントリがある場合、このレポートを使用すると、結果を簡単に解釈できます。あとで使用できるようにレポートを印刷または保存することもできます。

Rule Combiner 結果の例

「規則の結合」で説明されているように Combine Rules ツールを実行すると、結合の結果が [Rule Combiner Results] ダイアログボックスに表示されます(「Rule Combiner 結果の解釈」を参照)。

図 12-2に、規則の結合の例を示します。

新しい規則が上半分のテーブルに表示されます。新しい規則が変更済み規則または結合済み規則として示され、変更されたセルの枠は赤色になります。上半分のテーブルで新しい規則を選択すると、下半分のテーブルに、新しい規則を作成するために結合された古い規則が表示されます。この例では、2 つの古い規則は、宛先、サービス、およびインターフェイスが同じです。また、2 つの異なる送信元が連結されて、新しい規則を構成しています。

レポートの一番上に、結果が要約されます。この例では、5700 個の規則が 96 個に縮小されました。

図 12-2 Rule Combiner の結果例

 

1

結合されたセル

2

新しく結合された規則

3

元の規則

関連項目

「ファイアウォール AAA 規則の管理」

「ファイアウォール アクセス規則の管理」

ポリシー クエリー レポートの生成

ほとんどのファイアウォール規則ポリシーでは、規則の評価に役立つポリシー クエリー レポートを生成できます。ポリシー クエリー レポートを使用すると、新しい規則を作成して特定の送信元、宛先、インターフェイス、サービス、またはゾーンに適用する前に、これらの項目に対してすでに存在している規則を判別できます。

また、規則の使用を禁止しているブロッキング規則や、削除できる冗長な規則があるかどうかも、ある程度は判別できます。ただし、アクセス規則を評価する場合は、これらの問題を判別するためのより強力な規則分析ツールを使用する方が得策です。

ポリシー クエリーを作成する場合は、規則の作成時にトラフィックを説明するのと同様の方法で、関連するトラフィックを説明します。クエリーの作成方法は基本的に、規則の作成方法と同じです。しかし、規則の説明をより広範にして、取得するトラフィック セットの幅を広げた方が、単一の規則またはかぎられた数の規則ではなく、関連する規則のセットを確認できます。作成するクエリーは、検出する目的の情報によって決まります。

クエリーの可能なレベルは、現在のビューによって異なります。

デバイス ビューまたはマップ ビュー:クエリーは、選択したデバイスに制限されます。ただし、サポートされているすべての規則タイプにわたってクエリーを実行できます。これにより、同じトラフィックに適用されるさまざまなタイプの規則を比較できます。

ポリシー ビュー:クエリーは、選択したポリシーに制限されます。そのポリシー内で定義されている規則だけが表示されます。他のポリシー タイプを照会することはできません。他のポリシーを調べている間に共有ポリシーを照会する場合は、共有ポリシーに割り当てられているデバイスを選択し、デバイス ビューでデバイスからポリシーを照会します。

関連項目

「[AAA Rules] ページ」

「アクセス規則ページ(IPv4 または IPv6)」

「[Inspection Rules] ページ」

「[Web Filter Rules] ページ(ASA/PIX/FWSM)」

「[Zone-based Firewall Rules] ページ」


ステップ 1 Firewall フォルダから、照会するポリシーを選択します。次のいずれかのタイプのポリシーを照会できます。

AAA 規則

アクセス規則

インスペクション規則

Web フィルタ規則(PIX/ASA/FWSM)

ゾーン ベースの規則

ステップ 2 テーブルの下の [Tools] ボタンをクリックし、[Query] を選択して [Querying Device or Policy] ダイアログボックスを開きます。

ステップ 3 照会する規則を定義するパラメータを入力します。クエリーを設定するときに、少なくとも 1 つの規則タイプ(イネーブル、ディセーブル、または両方、許可、拒否、または両方、および必須、デフォルト、または両方)を選択する必要があります。クエリー パラメータの詳細については、「[Querying Device or Policy] ダイアログボックス」を参照してください。

ポリシー ビューで、照会する規則のタイプを変更することはできません。デバイス ビューで、規則タイプの結合を照会することはできません。

ステップ 4 [OK] をクリックすると、基準と一致した規則が [Policy Query Results] ダイアログボックスに表示されます。このレポートの解釈については、「ポリシー クエリー結果の解釈」を参照してください。

ポリシー クエリー レポートの例については、「[Policy Query Result] の例」を参照してください。


 

[Querying Device or Policy] ダイアログボックス

[Querying Device] または [Querying Policy] ダイアログボックスを使用して、クエリーのパラメータを設定します。クエリー結果に、パラメータと一致した規則が表示されます。ダイアログボックスのタイトルは、照会する内容を示しています。

デバイス ビューまたはマップ ビューでは、選択したデバイスに対して定義されている規則を照会します。

ポリシー ビューでは、選択したポリシーの中だけの規則を照会します。

これらのポリシー タイプから、AAA 規則、アクセス規則、インスペクション規則、Web フィルタ規則(ASA/PIX/FWSM の場合)、およびゾーン ベースのファイアウォール規則を照会できます。

クエリーを設定するときに、少なくとも 1 つの規則タイプ(イネーブル、ディセーブル、または両方、許可、拒否、または両方、および必須、デフォルト、または両方)を選択する必要があります。


) インスペクション規則では、インターフェイス値として Global を入力した場合、一致が完了しても、一致ステータス結果は部分一致として表示されます。


結果は、[Policy Query Results] ダイアログボックス(「ポリシー クエリー結果の解釈」を参照)に表示されます。

ナビゲーション パス

ポリシー クエリー レポートを生成するには、次のいずれかを実行します。

(デバイス ビュー)デバイスを選択し、Firewall フォルダから、サポートされているファイアウォール規則ポリシーの 1 つを選択します。[Tools] ボタンをクリックし、[Query] を選択します。

(ポリシー ビュー)Firewall フォルダから、サポートされているファイアウォール規則ポリシーのいずれかを選択し、共有ポリシー セレクタから特定のポリシーを選択します。[Tools] ボタンをクリックし、[Query] を選択します。

(マップ ビュー)デバイスを右クリックし、[Edit Firewall Policies] メニューから、サポートされているファイアウォール規則ポリシーを選択します。[Tools] ボタンをクリックし、[Query] を選択します。

関連項目

「ポリシー クエリー レポートの生成」

「[Policy Query Result] の例」

フィールド リファレンス

 

表 12-6 [Querying Device or Policy] ダイアログボックス

要素
説明

[Rule Types]

照会する規則のタイプ。ポリシー ビューで照会する場合は、選択内容を変更できません。デバイス ビューで照会する場合は、次のいずれかのタイプの規則を選択できます。クエリーのスコープは、選択したデバイスに制限されます。

AAA 規則

アクセス規則

インスペクション規則

Web フィルタ規則

ゾーン ベースの規則

[Enabled and/or Disabled Rules]

イネーブルな規則、ディセーブルな規則、またはその両方を照会するか。

[Mandatory and/or Default Rules]

必須セクション内の規則、デフォルト セクション内の規則、または両方のセクション内の規則を照会するか。

[Match]

トラフィックを許可する規則、否定する規則、またはその両方を照会するか。

[Sources]

[Destinations]

トラフィックの送信元または宛先。項目をカンマで区切って複数の値を入力できます。

(注) フィールドをブランクのままにすると、クエリーはそのフィールドのすべてのアドレスに一致します。

次のアドレス タイプを自由に組み合わせて入力し、トラフィックの送信元または宛先を定義できます。詳細については、「ポリシー定義中の IP アドレスの指定」を参照してください。

ネットワーク/ホスト オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します。選択リストから、新しいネットワーク/ホスト オブジェクトを作成することもできます。

ホスト IP アドレス(10.10.10.100 など)。

ネットワーク アドレスとサブネット マスク。形式は 10.10.10.0/24 または 10.10.10.0/255.255.255.0。

IP アドレスの範囲(10.10.10.100-10.10.10.200 など)。

10.10.0.10/255.255.0.255 形式の IP アドレスのパターン。この場合のマスクは不連続なビット マスクです(「連続および不連続ネットワーク マスク(IPv4 アドレスに対応)」を参照)。

ヒント 将来のポリシー クエリー要求を容易にするために、IP アドレスのリストとともにオブジェクトを作成できます。

[Services]

対象となるトラフィックのタイプを定義するサービス。項目をカンマで区切って複数の値を入力できます。

(注) フィールドをブランクのままにした場合、クエリーは任意のサービスと一致します。

サービス オブジェクトおよびサービス タイプの任意の組み合わせ(通常はプロトコルとポートの組み合わせ)を入力できます。サービスを入力する場合は、有効な値の入力を求められます。リストから値を選択して、Enter または Tab を押します。

サービスを指定する方法の詳細については、「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。

ヒント 将来のポリシー クエリー要求を容易にするために、サービスのリストとともにオブジェクトを作成できます。

[Interfaces]

規則が定義されているインターフェイス。インターフェイスまたはインターフェイス ロール名の任意の組み合わせを、カンマで区切って入力できます。名前を入力するか、[Select] をクリックしてインターフェイスまたはインターフェイス ロールを選択します。

(注) フィールドをブランクのままにした場合、クエリーは任意のインターフェイスまたはインターフェイス ロールと一致します。

[Query for Global Rules]

アクセス規則またはインスペクション規則を照会するとき、クエリーでグローバル規則も考慮する必要があるかどうか。

[From Zone]

[To Zone]

ゾーン ベースのファイアウォール規則の場合、規則に定義されているゾーン。ゾーン名(インターフェイス ロール)を入力するか、[Select] をクリックしてリストからゾーンを選択します。

[Actions]

ゾーン ベースのファイアウォール規則の場合、規則に定義されているアクション。

[Check if Matching Rules Are Shadowed by Rules Above]

ポリシー クエリー結果に競合検出情報を含めるかどうか。このオプションを選択すると、パフォーマンスおよびコストの結果に影響を及ぼす可能性があります。

ポリシー クエリー結果の解釈

[Policy Query Results] ダイアログボックスを使用して、[Query Device or Policy] ダイアログボックスで定義したポリシー クエリーの結果を参照します。結果レポートは、「[Querying Device or Policy] ダイアログボックス」でクエリー パラメータを定義して [OK] を定義すると開きます。手順については、「ポリシー クエリー レポートの生成」を参照してください。レポート例については、「[Policy Query Result] の例」を参照してください。


ヒント クエリー結果テーブルで、行をダブルクリックするか、右クリックして [Go to Rule] を選択して、規則を編集できる規則ポリシー ページで規則を選択します。ポリシー セレクタで適切な規則ポリシーがまだ選択されていない場合は、これを 2 回行って、実際に規則を選択する必要があることがあります。

レポートを解釈するには、次のレポート セクションを考慮してください。

[Query Parameters]:レポートの一番上の部分は、クエリーに対して入力したパラメータを指定します。パラメータを変更する場合は、[Edit Query] をクリックして「[Querying Device or Policy] ダイアログボックス」を開きます。ここで、変更を行い、レポートを再生成できます。

[Results] テーブル:このテーブルには、クエリーと一致したすべての規則が一覧表示されます。複数の規則を照会した場合、[Display] フィールドで、調査する規則タイプを選択します。このテーブル内のカラムは、そのタイプの規則のカラムに、次のカラムが追加されたものです。

[Match Status]:規則をクエリーと一致させる方法を示します。

[Complete Match]:規則はすべてのクエリー パラメータと一致します。

[Partial Match]:すべての検索基準が重なるか、一致した規則のスーパーセットです。たとえば、送信元アドレス 10.100.20.0/24、宛先アドレス 10.200.100.0/24、および IP のサービスで規則が定義されている場合、クエリーで送信元 10.100.20.0/24 を検索すると、クエリー結果は規則の定義の部分だけを表すため、一致ステータスは部分一致として表示されます。

[No Effect]:規則が他の一致規則によりブロックされているか、影響しない競合が存在しています。たとえば、2 つの一致規則 A および B があるとします。規則 A の送信元アドレス、宛先アドレス、およびサービスが、規則 B のそれぞれと等しいか、またはそれらを含んでいる場合、規則 B は規則 A によってブロックされます。このため、規則 B はトラフィックに影響を与えません。

別の例として、グローバルな必須規則によってサービスが許可されるが、デバイス(ローカル)レベルでの規則によってサービスが拒否されるとします。規則は最初に一致したものから順に認識されるため、必須のグローバル スコープで一致が検出されると、それ以降は他の規則はチェックされません。ローカル規則は無効です。つまり、サービスは拒否されず、許可されます。適切な結果を得るためには、ポリシーを編集する必要があります。

[Scope]:規則が共有規則かローカル規則か、必須規則かデフォルト規則かを示します。

[Details] テーブル:詳細テーブルには、結果テーブルで選択されている規則の詳細なクエリー一致情報が表示されます。左側のフォルダは、詳細情報を参照できる属性を表しています。詳細を表示するフォルダを選択します。

詳細には、定義したパラメータであるクエリー値と、パラメータと一致する規則内の項目が表示されます。一致の関係は次のいずれかです。

[Identical]:パラメータは、規則内の値と同じです。

[Contains]:パラメータは、規則内の値を含むスーパーセットです。たとえば、クエリー パラメータがネットワーク/ホスト オブジェクトであり、オブジェクト定義の一部である IP アドレスが規則で使用されている場合などです。

[Is contained by]:パラメータは、規則の値の中でネストされているサブセットです。

[Overlaps]:クエリー パラメータでは、規則内で使用されている複数のポリシー オブジェクトにまたがる結果が表示されます。たとえば、サービス クエリー パラメータが tcp/70-90 であり、tcp/80-100 として定義されているサービスが結果に表示される場合などです。

関連項目

「[AAA Rules] ページ」

「アクセス規則ページ(IPv4 または IPv6)」

「[Inspection Rules] ページ」

「[Web Filter Rules] ページ(ASA/PIX/FWSM)」

「[Zone-based Firewall Rules] ページ」

[Policy Query Result] の例

図 12-3に、アクセス規則に関するポリシー クエリー レポートの例を示します。基準によって送信先、宛先、サービス、およびインターフェイスのパラメータは制限されませんが、クエリーはイネーブルな規則に制限されます。共有規則とローカル規則の両方が含められます。

[Query Parameters] セクションに、レポートのクエリー基準が表示されます。この例では、結果テーブル内の最初の行が選択されています。また、ウィンドウの下半分の詳細テーブルに、その規則の詳細情報が表示されています。この例では、詳細テーブルで送信元フォルダが選択されており、規則の値 any が、クエリー パラメータ * と同一一致である(任意の送信元アドレスに相当する)ことが結果に示されています。

このレポートの解釈の詳細については、「ポリシー クエリー結果の解釈」を参照してください。

図 12-3 [Policy Query Results]

 

関連項目

「ポリシー クエリー レポートの生成」

「[AAA Rules] ページ」

「アクセス規則ページ(IPv4 または IPv6)」

「[Inspection Rules] ページ」

「[Web Filter Rules] ページ(ASA/PIX/FWSM)」

「[Zone-based Firewall Rules] ページ」

ファイアウォール規則の展開時のネットワーク オブジェクト グループの最適化

ファイアウォール規則ポリシーを ASA、PIX、FWSM、または IOS 12.4(20)T 以降のデバイスに展開すると、関連付けられたネットワーク オブジェクト グループをデバイス上に作成するときに、規則で使用するネットワーク/ホスト ポリシー オブジェクトを評価して最適化するように Security Manager を設定できます。最適化によって、隣接するネットワークがマージされ、冗長なネットワーク エントリが削除されます。これにより、実行時のアクセス リスト データ構造と設定のサイズが縮小されます。メモリ制約のある一部の FWSM および PIX デバイスでは、これによるメリットがあります。

たとえば、次のエントリを含みアクセス規則内で使用される test という名前のネットワーク/ホスト オブジェクトについて考えてみます。

192.168.1.0/24
192.168.1.23
10.1.1.0
10.1.1.1
10.1.1.2/31
 

最適化をイネーブルにした場合、ポリシーを展開すると、結果のオブジェクト グループ設定が生成されます。説明に、グループが最適化されたことが示されることに注意してください。

object-group network test
description (Optimized by CS-Manager)
network-object 10.1.1.0 255.255.255.252
network-object 192.168.1.0 255.255.255.0
 
 

最適化をイネーブルにしない場合、グループ設定は次のようになります。

object-group network test
network-object 192.168.1.0 255.255.255.0
network-object 192.168.1.23 255.255.255.255
network-object 10.1.1.0 255.255.255.255
network-object 10.1.1.1 255.255.255.255
network-object 10.1.1.2 255.255.255.254
 
 

この最適化によってネットワーク/ホスト オブジェクトの定義が変更されることも、新しいネットワーク/ホスト ポリシー オブジェクトが作成されることもありません。デバイス上でポリシーを再検出すると、変更されていない既存のポリシー オブジェクトが使用されます。


) ネットワーク/ホスト オブジェクトに別のネットワーク/ホスト オブジェクトが含まれる場合、それらのオブジェクトは結合されません。それぞれのネットワーク/ホスト オブジェクトが個別に最適化されます。また、Security Manager は、連続しないサブネット マスクを使用するネットワーク/ホスト オブジェクト オブジェクトを最適化できません。


最適化を設定するには、「[Deployment] ページ」で [Optimize Network Object-Groups During Deployment] オプションを選択します([Tools] > [Security Manager Administration] を選択してコンテンツ テーブルから [Deployment] を選択します)。デフォルトでは、展開中にネットワーク オブジェクト グループは最適化されません。

検出中のオブジェクト グループの展開

オブジェクト グループを使用するデバイスからポリシーを検出するとき、グループからポリシー オブジェクトを作成するのではなく、それらのオブジェクト グループを構成する項目に展開するように設定できます。

たとえば、CSM_INLINE_55 という名前のオブジェクト グループにホスト 10.100.10.15、10.100.10.18、および 10.100.10.25 が含まれる場合、オブジェクトを展開することによりアクセス コントロール リストをインポートすると、CSM_INLINE_55 という名前のネットワーク/ホスト ポリシー オブジェクトではなく、3 つすべてのアドレスが送信元セル(または該当する場合は宛先セル)に含まれる規則が作成されます。

展開を設定するには、展開するグループのプレフィクスを識別できるようなオブジェクト グループの命名方式が必要となります。デフォルトでは、プレフィクス CSM_INLINE で始まるすべてのオブジェクト グループが展開されます。[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Discovery] を選択することにより、「[Discovery] ページ」の [Auto-Expand Object Groups with These Prefixes] フィールドでこれらのプレフィクスを設定します。