Cisco Security Manager 4.2 ユーザ ガイド
ファイアウォール アクセス ルールの管理
ファイアウォール アクセス ルールの管理
発行日;2012/05/08 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ファイアウォール アクセス ルールの管理

アクセス ルールについて

グローバル アクセス ルールについて

デバイス固有のアクセス ルールの動作について

アクセス ルールのアドレス要件およびルールの展開方法について

アクセス ルールの設定(IPv4 または IPv6)

アクセス ルール ページ(IPv4 または IPv6)

[Add Access Rule]/[Edit Access Rule] ダイアログボックス(IPv4 および IPv6)

[Advanced]/[Edit Options] ダイアログボックス

[Edit Firewall Rule Expiration Settings] ダイアログボックス

アクセス ルールの有効期限の設定

アクセス コントロールの設定(IPv4 または IPv6)

[Access Control Settings] ページ(IPv4 および IPv6)

[Firewall ACL Setting] ダイアログボックス(IPv4 または IPv6)

分析レポートの生成

ヒット カウント レポートの生成

[Hit Count Selection Summary] ダイアログボックス

ヒット カウント クエリー結果の分析

ルールのインポート

Import Rules ウィザード - [Enter Parameters] ページ

Import Rules ウィザード - [Status] ページ

Import Rules ウィザード - [Preview] ページ

インポートされたルールの例

展開中のアクセス ルールの自動最適化

ファイアウォール アクセス ルールの管理

アクセス ルールでは、トラフィックがインターフェイスを通過するために満たす必要のあるルールを定義します。着信トラフィックのルールを定義した場合、そのルールが他のどのポリシーよりも先にトラフィックに適用されます(ただし、一般的でない AAA ルールは例外です)。このため、アクセス ルールは防御の最前線となります。


ヒント デバイスの一部のタイプでは、IPv4 アクセス ルールに加えて IPv6 アクセス ルールを設定できます。サポートされるデバイス タイプの詳細については、「Security Manager での IPv6 サポート」を参照してください。

アクセス ルールの概要および使用方法については、次の項を参照してください。

「アクセス ルールについて」

「グローバル アクセス ルールについて」

「デバイス固有のアクセス ルールの動作について」

「アクセス ルールのアドレス要件およびルールの展開方法について」

「アクセス ルールの設定(IPv4 または IPv6)」

「アクセス ルールの有効期限の設定」

「アクセス コントロールの設定(IPv4 または IPv6)」

「分析レポートの生成」

「ヒット カウント レポートの生成」

「ルールのインポート」

「展開中のアクセス ルールの自動最適化」

一般的なルール テーブルの使用方法については、次の項を参照してください。

「ルールの追加および削除」

「ルールの編集」

「ルールのイネーブル化とディセーブル化」

「ルールの移動とルール順序の重要性」

アクセス ルールについて

アクセス ルール ポリシーでは、インターフェイスを通過するトラフィックを許可または拒否するルールを定義します。通常は、インターフェイスに入るトラフィックのアクセス ルールを作成します。これは、特定タイプのパケットを拒否する場合、デバイスがパケットの処理に多くの時間を費やす前にパケットを拒否する方が有効なためです。

IP アドレッシング方式に基づいた 2 つの別々のアクセス ルール ポリシーがあります。[Firewall] > [Access Rules] ポリシーは、IPv4 アドレス用で、[Firewall] > [IPv6 Access Rules] ポリシーは、IPv6 アドレス用です。アドレッシング方式、およびポリシーで使用可能なツール以外は、IPv4 および IPv6 アクセス ルールの設定は同じです。

アクセス ルールは、デバイスに展開されると、インターフェイスに接続されている Access Control List(ACL; アクセス コントロール リスト)の 1 つ以上のエントリ(ACE)となります。通常、これらのアクセス ルールが、パケットに最初に適用されるセキュリティ ポリシーとなります。つまり、防御の最前線となります。アクセス ルールを使用して、サービス(プロトコルとポート番号)、送信元アドレス、および宛先アドレスに基づいて、トラフィックを許可または拒否(ドロップ)することにより、望ましくないトラフィックをフィルタリングして除外します。インターフェイスに到着したパケットごとに、指定した基準に基づいてパケットを転送するかドロップするかが決定されます。Out 方向のアクセス ルールを定義した場合、パケットは、インターフェイスを出ていくときにも分析されます。


ヒント ASA 8.3+ デバイスの場合は、グローバルなアクセス ルールを使用して、インターフェイス固有のアクセス ルールを増強できます。詳細については、「グローバル アクセス ルールについて」を参照してください。

アクセス ルールでトラフィックを許可しても、後続のポリシーによってそのトラフィックが最終的にドロップされることがあります。たとえば、インスペクション ルール、Web フィルタ ルール、およびゾーンベースのファイアウォール ルールは、パケットがインターフェイスのアクセス ルールに合格したあとに適用されます。この場合、これらの後続のルールによって、さらに深いトラフィック分析に基づいてトラフィックがドロップされることがあります。たとえば、パケット ヘッダーが検査要件を満たしていない場合や、Web 要求の URL が望ましくない Web サイトに対応している場合などです。

このため、アクセス ルールを定義する際は、作成する他のタイプのファイアウォール ルールについて慎重に検討する必要があります。検査する必要があるトラフィックに対しては、アクセス ルールで全面的な拒否ルールを作成しないでください。一方、特定のホストやネットワークを起点または宛先とするサービスをどのような場合にも許可しないことがわかっている場合は、アクセス ルールを使用してトラフィックを拒否してください。

アクセス ルールの順序に留意してください。つまり、デバイスは、ルールに基づいてパケットを比較するとき、上から下に検索を行い、一致した最初のルールに対するポリシーを適用します。それ以降のルールは、(最初のルールより一致率が高くても)すべて無視されます。したがって、特定のルールが無視されないようにするには、そのルールを汎用性の高いルールよりも上に配置する必要があります。IPv4 ルールがまったく一致しないケースを特定する場合、および冗長なルールを特定する場合は、分析ツールやポリシー クエリー ツールを使用すると便利です。詳細については、「分析レポートの生成」および「ポリシー クエリー レポートの生成」を参照してください。

次の方法でも、アクセス ルールを評価できます。

ルールを結合する:IPv4 ルールを評価するためのツールを使用し、各ルールを結合することによって、より少ない数のルールで同じ機能を実行できます。これにより、ルールのリストが縮小され、管理が簡単になります。詳細については、「ルールの結合」を参照してください。

ヒット カウントを生成する:IPv4 および IPv6 ACL のデバイスで管理されるヒット カウント統計を表示するためのツールを使用できます。これにより、ルールでトラフィックが許可または拒否された頻度がわかります。詳細については、「ヒット カウント レポートの生成」を参照してください。

CS-MARS により収集されたイベントを表示する:デバイスをモニタするように Cisco Security Monitoring, Analysis and Response System アプリケーションを設定した場合、および syslog メッセージを生成するようにルールを設定した場合は、このアプリケーションを使用して、IPv4 ルールに関連するリアルタイムのイベントと過去のイベントを分析できます。詳細については、「アクセス ルールの CS-MARS イベントの表示」を参照してください。

アクセス ルールの概念的な詳細については、次の項を参照してください。

「グローバル アクセス ルールについて」

「デバイス固有のアクセス ルールの動作について」

「アクセス ルールのアドレス要件およびルールの展開方法について」

関連項目

「アクセス ルールの設定(IPv4 または IPv6)」

「アクセス ルールの有効期限の設定」

「アクセス コントロールの設定(IPv4 または IPv6)」

「検出中のオブジェクト グループの展開」

「ルールのインポート」

「ルールの追加および削除」

「ルールの編集」

「ルールのイネーブル化とディセーブル化」

「ルールの移動とルール順序の重要性」

グローバル アクセス ルールについて

アクセル ルール(ACL)は、どのトラフィックがデバイスを通過できるかを制御するものであり、従来からデバイス インターフェイスに適用されています。ただし、ソフトウェア リリース 8.3+ が動作している ASA デバイスを使用している場合は、IPv4 および IPv6 に対してグローバル アクセス ルールを作成することもできます。

グローバル アクセス ルールは、デバイス上のインターフェイスごとに、インターフェイスに入るトラフィックに対して処理される特殊な ACL として定義します。このため、ACL はデバイスで 1 回だけ設定されますが、In 方向に対して定義されたインターフェイス固有のセカンダリ ACL のように機能します(グローバル ルールは常に、Out 方向ではなく In 方向に適用されます)。

ASA 8.3+ デバイス上のインターフェイスにトラフィックが入ると、デバイスは、ACL を適用する際に、まずインターフェイス固有のアクセス ルールをトラフィックに適用します。次に、グローバル ルールを適用します(全体的な処理については、「ファイアウォール ルールの処理順序について」を参照してください)。

着信インターフェイスに関係なくデバイスに入ってくるすべてのトラフィックに適用するルールには、グローバル ルールを使用すると最適です。たとえば、常に拒否または常に許可する特定のホストまたはサブネットがあるとします。これらをグローバル ルールとして作成すると、デバイス上で 1 回だけ設定すれば、各インターフェイスに対して繰り返し設定する必要がありません(機能的には、[All-Interfaces] ロールに対してインターフェイス固有のルールを設定した場合と同じですが、[All-Interfaces] ルールはデバイス上で 1 回だけ設定するのではなく、各インターフェイスに対して繰り返して設定します)。


ヒント 複数のデバイスに対して同じグローバル ルール セットを設定する場合は、共有ポリシーを作成して、デバイスごとに IPv4 または IPv6 アクセス ルール ポリシー内に継承します。すべてのグローバル ルールを共有ポリシーの [Default] セクション内に配置する必要があります。いずれかのグローバル ルールを [Mandatory] セクションに配置した場合は、ローカルなインターフェイス固有のアクセス ルールが定義されているデバイス上でそのルールを継承できなくなります。共有ポリシーおよび継承ポリシーの詳細については、「ローカル ポリシーと 共有ポリシー」および「ルールの継承について」を参照してください。

Security Manager で ASA 8.3+ デバイスに対してアクセス ルールを設定する場合、インターフェイス固有のルールとグローバル ルールは同じポリシー内に設定されます。ただし、デバイスでは常にインターフェイス固有のルールが最初に処理されるため、Security Manager ではこれらの異なるタイプのルールを混在させることはできません。このため、1 つのデバイス上でインターフェイス固有のルールとグローバル ルールの両方を設定する場合は、次の点に注意してください。

アクセス ルール ポリシー内では、常にグローバル ルールが最後に処理されます。インターフェイス固有のルールはいずれも、グローバル ルールよりも先に処理されます。

決められた順序に違反するようなルールの移動はできません。たとえば、インターフェイス固有のルールをグローバル ルールの下に移動したり、グローバル ルールをインターフェイス固有のルールの上に移動したりすることはできません。

決められた順序に違反する場所にルールを作成することはできません。たとえば、インターフェイス固有のルールを選択し、インターフェイス固有の別のルールをテーブル内でその次に配置した場合、グローバル ルールを作成することはできません。間違った種類のルールを作成しようとすると、ルールを保存するときに、Security Manager によって、ルールを最も近い有効な場所に作成できるかどうか尋ねられます。この提案を受け入れないと、ルールはテーブルに追加されません。提案された場所が不適切な場合は、ルールの作成後にいつでもルールを移動できます(ただし、ルールの順序に違反しない場合にかぎります)。

決められた順序に継承ポリシー内のルールが違反する場合、そのポリシーは継承できません。たとえば、デバイス ポリシー内にグローバル ルールを作成し、[Default] セクション内でインターフェイス固有のルールを含む共有ポリシーを継承しようとすると、Security Manager でそのポリシーが継承できなくなります。

共有ポリシーの割り当て後または継承後は、そのポリシーを使用するデバイス上のルール順序に違反するようなポリシーの編集はできません。

グローバル ルールをサポートしていないデバイス上で、グローバル ルールを含むポリシーを割り当てまたは継承した場合、そのデバイスではすべてのグローバル ルールが無視され、設定はされません。たとえば、共有ポリシー内のグローバル ルールでホスト 10.100.10.10 からのすべてのトラフィックを許可し、そのポリシーを IOS デバイスに割り当てた場合、10.100.10.10 アクセスを許可するルールは IOS デバイス上では設定されません。そのホストからのトラフィックは、別のインターフェイス固有ポリシーか、またはデフォルトの deny all ポリシーによって処理されます。グローバル ルールをサポートしないデバイスには、グローバル ルールを含む共有ポリシーを割り当てないようにすることを推奨します。そうすれば、グローバル ルールで定義されているポリシーが、サポートされていないデバイスで設定されていると誤解することがありません。

また、特定のツールでグローバル ルールが処理される方法に関して、いくつかの変更点があります。

Find/Replace:グローバル ルールは、Global というインターフェイス名を使用して検索できます。ただし、グローバル ルールとインターフェイス固有のルールを変換する方法はありません。グローバル ルールはグローバル インターフェイス名を使用して検索できますが、インターフェイス名を「Global」という名前で置換しようとすると、実際には Global という名前のポリシー オブジェクトを使用する、インターフェイス固有のアクセス ルールが作成されます。

Rule Combiner:インターフェイス固有のルールとグローバル ルールが結合されることはありません。

関連項目

「アクセス ルールについて」

「デバイス固有のアクセス ルールの動作について」

「アクセス ルールのアドレス要件およびルールの展開方法について」

「アクセス ルールの設定(IPv4 または IPv6)」

「ルールの移動とルール順序の重要性」

デバイス固有のアクセス ルールの動作について

次に、アクセス ルール ポリシーを作成しない場合のデフォルトの動作をデバイス タイプに基づいて示し、アクセス ルールを作成したときに行われる処理を示します。

IOS デバイス:インターフェイスを通過するすべてのトラフィックを許可します。

送信元 A から宛先 B へのトラフィックを許可しているが、インスペクション ルール テーブルに TCP/UDP インスペクションを設定していないか、ルールに [established] 拡張オプションを設定していない場合、デバイスは A から B へのパケットをすべて許可します。ただし、B から A に戻るパケットについては、そのパケットを許可するためのアクセス ルールがないかぎり、パケットは許可されません。トラフィックのインスペクション ルール テーブルに TCP/UDP インスペクションを設定した場合、B から A に戻るパケットはいずれも自動的にデバイスを通過するため、アクセス ルール内に B から A を許可するルールは必要ありません。

ASA および PIX デバイス:高いセキュリティのインターフェイスから低いセキュリティのインターフェイスへのトラフィックを許可します。それ以外のトラフィックはすべて拒否されます。

アクセス ルールで単方向の TCP/UDP トラフィックが許可されている場合、アプライアンスによりリターン トラフィックが自動的に許可されます(リターン トラフィックのためのルールを設定する必要はありません)。ただし、ICMP トラフィックの場合は例外で、リターン ルールが必要となります(逆方向の送信元および宛先を許可します)。あるいは、ICMP のインスペクション ルールを作成する必要があります。

FWSM デバイス:インターフェイスに入るすべてのトラフィックを拒否し、インターフェイスを出るすべてのトラフィックを許可します。

デバイスに入るすべてのトラフィックを許可するためのアクセス ルールを設定する必要があります。

任意のタイプのデバイスに対してインターフェイスのルールを作成すると、デバイスによってポリシーの最後に暗黙的な deny any ルールが追加されます。このルールは、場所を忘れないように自分で追加することを推奨します。また、ルールを追加すると、ルールのヒット カウント情報を取得できます。詳細については、「ヒット カウント レポートの生成」を参照してください。


ヒント アクセス ルール ポリシーを作成する場合、Security Manager サーバからデバイスへのアクセスを許可するルールを含める必要があります。そうしない場合、この製品を使用してデバイスを管理できなくなります。

関連項目

「アクセス ルールについて」

「アクセス ルールのアドレス要件およびルールの展開方法について」

アクセス ルールのアドレス要件およびルールの展開方法について

Command-Line Interface(CLI; コマンドライン インターフェイス)でオペレーティング システム コマンドを使用して IPv4 アクセス コントロール リストを作成する場合の複雑な点の 1 つは、送信元アドレスと宛先アドレスの IP アドレス形式がオペレーティング システムによって異なっていることです。

たとえば、Cisco IOS Software では、サブネット マスクではなくワイルドカード マスクを使用してアドレスを入力する必要があります。10.100.10.0/24 ネットワーク(サブネット マスク 255.255.255.0)のルールを作成するには、アドレスを 10.100.10.0 0.0.0.255 として入力する必要があります。ワイルドカード マスクとサブネット マスクでは、0 と 1 の意味が逆になります。ただし、ASA、PIX、および FWSM ソフトウェアでは、サブネット マスクを使用するため、10.100.10.0 255.255.255.0 を入力します。

Security Manager では、アクセス ルールのアドレッシング要件が単純化されており、常にサブネット マスクを使用します。ワイルドカード マスクは入力できません。アクセス ルールをデバイスに展開すると、Security Manager によって、デバイスのオペレーティング システムが考慮され、必要に応じてサブネット マスクがワイルドカード マスクに自動変換されます。

このため、論理ポリシーに基づいて共有ルールを作成して、すべてのデバイスに適用することが可能になります。たとえば、すべてのデバイスで使用するアクセス ルール セットがある場合は、共有ポリシーを作成して、それをすべてのデバイスの継承ポリシーとして割り当てます。デバイス タイプごとに「適切な」構文を使用してルールを定義する必要はありません。他のポリシー タイプで使用する同じネットワーク/ホスト オブジェクトを使用して、対象のホストおよびネットワークを識別できます。

展開された設定内に生成される特定の CLI コマンドも、デバイス タイプに基づきます。IOS デバイスの場合、 ip access-list コマンドを使用します。ASA、PIX、FWSM デバイスの場合、 access-list または ipv6 access-list コマンドを使用し、 access-group コマンドによりインターフェイスにバインドします。ASA、PIX、FWSM、および IOS 12.4(20)T+ デバイスでは、ネットワーク/ホスト オブジェクトを使用してルールの送信元アドレスまたは宛先アドレスを識別する場合、それらのネットワーク/ホスト オブジェクトに対してオブジェクト グループを作成するために、 object-group コマンドを使用します。また、サービス オブジェクトに対してもオブジェクト グループが作成されます。

ヒント

ネットワーク/ホスト オブジェクトを使用してルールの送信元アドレスや宛先アドレスを識別でき、またルールに対して展開の最適化を設定できるため、アクセス ルールと ACL の CLI 定義内の ACE が必ずしも 1 対 1 の関係になるとはかぎりません。

ファイアウォール ルールから作成されるアクセス リストはすべて、(標準アクセス リストではなく)拡張アクセス リストです。「[Access Control Settings] ページ(IPv4 および IPv6)」で ACL の名前を指定していない場合、Security Manager によってシステム生成名が ACL に適用されます。この名前は、名前が定義されているインターフェイスおよび方向に関連するすべてのルールが含まれる ACL に適用されます。

オブジェクト グループの展開方法を制御する展開オプションがいくつかあります。この項では、デフォルトの動作について説明します。「[Deployment] ページ」([Tools] > [Security Manager Administration] > [Deployment] を選択)で、ネットワーク/ホスト オブジェクトからオブジェクト グループを作成するためのオプションの選択を解除できます。また、展開中にオブジェクト グループを最適化したり(「ファイアウォール ルールの展開時のネットワーク オブジェクト グループの最適化」を参照)、複数のサービスまたは送信元アドレスや宛先アドレスを持つルールから新しいオブジェクト グループを作成したり、使用していないオブジェクト グループを削除したりできます。

展開オプションには、アクセス ルールから生成される ACL の名前および作成される ACL の数を制御する設定も含まれます。デフォルトでは、Security Manager により、インターフェイスごとに一意の ACL が作成されます。このため、複数の重複する ACL が作成されることがあります。

[Enable ACL Sharing for Firewall Rules] を選択した場合、Security Manager は単一の ACL を作成して複数のインターフェイスに適用できるため、重複する不要な ACL が作成されることはありません。ただし、ACL の共有が行われるのは、ACL 命名要件が保たれている間に実行できる場合にかぎります。

インターフェイスおよび方向に対して ACL 名を指定した場合は、その名前が常に使用されます。このため、重複する ACL が作成されることがあります。詳細については、「アクセス コントロールの設定(IPv4 または IPv6)」を参照してください。

[Firewall Access-List Names] プロパティの [Reuse existing names] を選択すると、既存の名前は保存されます(アクセス コントロール設定ポリシーで名前を上書きした場合を除く)。つまり、重複する ACL がデバイスにすでに存在する場合は、異なる名前で ACL が重複して作成されます。

ヒント: ACL 共有を最大限に利用するには、[Firewall Access-List Names] プロパティに [Reset to CS-Manager Generated Names] を選択し、[Optimize the Deployment of Access Rules For] プロパティに [Speed] を選択する必要があります。アクセス コントロール設定ポリシー内に ACL 名は設定しないでください。

[Enable ACL Sharing for Firewall Rules] プロパティの詳細については、「[Deployment] ページ」を参照してください。

IPv4 および IPv6 ACL は同じ名前を持てません。

関連項目

「アクセス ルールについて」

「アクセス ルールの設定(IPv4 または IPv6)」

「アクセス コントロールの設定(IPv4 または IPv6)」

「検出中のオブジェクト グループの展開」

アクセス ルールの設定(IPv4 または IPv6)

アクセス ルール ポリシーでは、トラフィックがインターフェイスを通過することを許可するためのルールを定義します。IPv4 トラフィックと IPv6 トラフィックには別々のポリシーがあります。アクセス ルール ポリシーを設定しない場合、「デバイス固有のアクセス ルールの動作について」に説明するように、デバイスの動作はデバイス タイプによって異なります。

アクセス ルールを設定する前に、これから設定する他のタイプのファイアウォール ルールについて検討してください。アクセス ルールは、他のルール タイプ(AAA ルールを除く)よりも先に処理されます。検討する必要のある事項の詳細については、次の項を参照してください。

「アクセス ルールについて」

「グローバル アクセス ルールについて」

「アクセス ルールのアドレス要件およびルールの展開方法について」

始める前に

アクセス ルール セットをすべてのデバイスに適用するとします。このためには、共有ルールを作成して、そのルールを各デバイスのアクセス ルール ポリシーに継承します。詳細については、「新しい共有ポリシーの作成」および「ルールの継承または継承の解除」を参照してください。

関連項目

「セクションを使用したルール テーブルの編成」

「デバイス間でのポリシーのコピー」

「デバイス ビューまたは Site-to-Site VPN Manager における共有ポリシーの使用」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「インターフェイス ロール オブジェクトについて」

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」


ステップ 1 次のいずれかを実行して、「アクセス ルール ページ(IPv4 または IPv6)」を開きます。

(デバイス ビュー)ポリシー セレクタから [Firewall] > [Access Rules] IPv4 の場合)、または [Firewall] > [IPv6 Access Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Access Rules] IPv4 の場合)、または [Firewall] > [IPv6 Access Rules] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 ルールを作成する行を選択して [Add Row] ボタンをクリックするか、または行を右クリックして [Add Row] を選択します。この操作により、「[Add Access Rule]/[Edit Access Rule] ダイアログボックス(IPv4 および IPv6)」が開きます。


ヒント 行を選択しなかった場合、新しいルールはローカル範囲の最後に追加されます。既存の行を選択して、行全体または特定のセルを編集することもできます。詳細については、「ルールの編集」を参照してください。1 つのポリシー内にインターフェイス固有のルールとグローバル ルールを混在させた場合は、特殊なルールが適用されます。詳細については、「グローバル アクセス ルールについて」を参照してください。


ステップ 3 ルールを設定します。次に、一般的に判断が必要となる重要な点を示します。フィールドを設定する方法の詳細については、「[Add Access Rule]/[Edit Access Rule] ダイアログボックス(IPv4 および IPv6)」を参照してください。

許可または拒否:ルールに一致したトラフィックを許可するか、またはドロップするか。

送信元アドレスおよび宛先アドレス:トラフィックを生成したアドレスまたはトラフィックの宛先にかかわらず、ルールを適用する場合は、送信元または宛先に「any」を使用します。ルールがホストまたはネットワークに固有の場合は、アドレスまたはネットワーク/ホスト オブジェクトを入力します。受け入れられるアドレス形式の詳細については、「ポリシー定義中の IP アドレスの指定」または「ポリシー定義中の IPv6 アドレスの指定」を参照してください。

ユーザ:(ASA 8.4(2+) のみ)Active Directory(AD)ユーザ名(NetBIOS_DOMAIN¥username 形式)、ユーザ グループ(NetBIOS_DOMAIN¥¥user_group)、または名前とグループを定義するアイデンティティ ユーザ グループ オブジェクトを指定して、トラフィックの送信元をさらに定義できます。ユーザ指定は送信元アドレスと結合され、送信元アドレス範囲の中で照合するユーザ アドレスを制限します。詳細については、「アイデンティティ ベースのファイアウォール ルールの設定」および「アイデンティティ ユーザ グループ オブジェクトの作成」を参照してください。

サービス:IP サービスを使用して、すべてのトラフィックに適用します(たとえば、特定の送信元からのすべてのトラフィックを拒否する場合)。または、対象となるより具体的なサービス(プロトコルとポートの組み合わせ)を選択します。

インターフェイスまたはグローバル:ルールを設定するインターフェイスまたはインターフェイス ロールを選択するか、ASA 8.3+ デバイスでグローバル アクセス ルールを作成する場合は [Global] を選択します(「グローバル アクセス ルールについて」を参照)。

拡張設定:[Advanced] をクリックして、追加設定を行うための [Advanced] ダイアログボックスを開きます。次のオプションを設定できます。詳細については、「[Advanced]/[Edit Options] ダイアログボックス」を参照してください。

ロギング オプション。Security Manager または CS-MARS を使用してデバイスをモニタしている場合は、ロギングをイネーブルにする必要があります。

このルールを適用するトラフィックの方向([in] または [out])。デフォルトは [in] です。グローバル ルールでは、この設定を変更できません。

ルールの時間範囲。これにより、特定の期間中(勤務時間中など)だけ有効になるルールを設定できます。詳細については、「時間範囲オブジェクトの設定」を参照してください。

フラグメンテーションを行い、確立されたアウトバウンド セッションのトラフィックのリターンを許可するための IOS デバイス オプション。

ルールの有効期限および通知の設定。詳細については、「アクセス ルールの有効期限の設定」を参照してください。

ルールの定義が完了したら、[OK] をクリックします。

ステップ 4 適切な行を選択しないでルールを追加した場合は、追加されたルールを選択し、上下の矢印ボタンを使用して適切な位置にルールを移動します。詳細については、「ルールの移動とルール順序の重要性」を参照してください。インターフェイス固有のルールとグローバル ルールを混在させた場合には、ルールの移動に関する特別な制約はありません(「グローバル アクセス ルールについて」を参照)。

ステップ 5 (IPv4 のみ)すでに多数のルールが存在している場合は、新しいルールを展開する前に、ルールを分析して結合することを検討します。

[Tools] ボタンをクリックし、[Analysis] を選択して、使用しない冗長なルールがあるかどうかを分析します。問題領域を修正します。詳細については、「分析レポートの生成」を参照してください。

分析により冗長なルールが多数あることが示された場合は、[Tools] ボタンをクリックし、[Combine Rules] を選択してルールを結合します。Rule Combiner ツールを起動する前に、Security Manager で結合のためにすべてのルールを評価するか、または選択したルールだけを評価するかを選択できます。詳細については、「ルールの結合」を参照してください。


 

アクセス ルール ページ(IPv4 または IPv6)

[Access Rules] ページ(IPv4 の場合)または [IPv6 Access Rules] ページを使用して、デバイス インターフェイスに対してアクセス コントロール ルールを設定します。アクセス ルール ポリシーでは、インターフェイスを通過するトラフィックを許可または拒否するルールを定義します。通常は、インターフェイスに入るトラフィックのアクセス ルールを作成します。これは、特定タイプのパケットを拒否する場合、デバイスがパケットの処理に多くの時間を費やす前にパケットを拒否する方が有効なためです。アクセス ルールは、他のタイプのファイアウォール ルールよりも先に処理されます。

アクセス ルールを設定する前に、次の項を参照してください。

「アクセス ルールについて」

「グローバル アクセス ルールについて」

「デバイス固有のアクセス ルールの動作について」

「アクセス ルールのアドレス要件およびルールの展開方法について」

「アクセス ルールの設定(IPv4 または IPv6)」


ヒント ディセーブルなルールには、テーブルの行にハッシュ マークが重なって表示されます。設定を展開すると、ディセーブルなルールはデバイスから削除されます。詳細については、「ルールのイネーブル化とディセーブル化」を参照してください。

ナビゲーション パス

[Access Rules] ページを開くには、次のいずれかを実行します。

(デバイス ビュー)デバイスを選択し、次にポリシー セレクタから [Firewall] > [Access Rules] IPv4 の場合)、または [Firewall] > [IPv6 Access Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Access Rules] IPv4 の場合)、または [Firewall] > [IPv6 Access Rules] を選択します。新しいポリシーを作成するか、または既存のポリシーを選択します。

(マップ ビュー)デバイスを右クリックし、[Edit Firewall Policies] > [Access Rules](IPv4 の場合)、または [Edit Firewall Policies] > [IPv6 Access Rules] を選択します。

関連項目

「アクセス ルールの有効期限の設定」

「アクセス コントロールの設定(IPv4 または IPv6)」

「ルールの追加および削除」

「ルールの編集」

「ルールのイネーブル化とディセーブル化」

「ルールの移動とルール順序の重要性」

「セクションを使用したルール テーブルの編成」

「ルール テーブルの使用」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 15-1 [Access Rules] ページ

要素
説明

No.

順序が付けられたルール番号。

Permit

設定された次の条件に基づいて、ルールがトラフィックを許可または拒否するかどうか。

[Permit]:緑色のチェック マークとして表示されます。

[Deny]:スラッシュの入った赤色の丸として表示されます。

Source

Destination

ルールの送信元アドレスおよび宛先アドレス。「any」アドレスを指定すると、ルールは特定のホスト、ネットワーク、またはインターフェイスに制限されません。これらのアドレスは、ホストまたはネットワーク、ネットワーク/ホスト オブジェクト、インターフェイス、またはインターフェイス ロールの IPv4 または IPv6 アドレスです。複数のエントリがある場合は、テーブル セル内に個別のサブフィールドとして表示されます。次の各項を参照してください。

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「インターフェイス ロール オブジェクトについて」

User

(ASA 8.4(2+) のみ)ルールの Active Directory(AD)ユーザ名、ユーザ グループ、またはアイデンティティ ユーザ グループ オブジェクト。ユーザ指定は送信元アドレスと結合され、送信元アドレス範囲の中で照合するユーザ アドレスを制限します。次の各項を参照してください。

「アイデンティティ ベースのファイアウォール ルールの設定」

「アイデンティティ ユーザ グループ オブジェクトの作成」

Service

ルールが適用されるトラフィックのプロトコルおよびポートを指定するサービスまたはサービス オブジェクト。複数のエントリがある場合は、テーブル セル内に個別のサブフィールドとして表示されます。「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。

Interface

ルールが割り当てられるインターフェイスまたはインターフェイス ロール。インターフェイス ロール オブジェクトは、各デバイスの設定が生成されるときに、実際のインターフェイス名で置き換えられます。複数のエントリがある場合は、テーブル セル内に個別のサブフィールドとして表示されます。「インターフェイス ロール オブジェクトについて」を参照してください。

ASA 8.3+ デバイスの場合、グローバル ルールには Global という名前が付き、インターフェイスまたはインターフェイス ロールの名前を使用するルールと区別するための特別なアイコンが示されます(アイコンの説明については、「ポリシー定義中のインターフェイスの指定」を参照してください)。

Dir.

このルールが適用されるトラフィックの方向。

[In]:インターフェイスで受信するパケット。

[Out]:インターフェイスから送信するパケット。

Options

ルールに設定される追加のオプション。これには、ロギング、時間範囲、およびその他の IOS ルール オプションが含まれます。「[Advanced]/[Edit Options] ダイアログボックス」を参照してください。

Category

ルールに割り当てられるカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

Description

ルールの説明(ある場合)。

Expiration Date

ルールが期限切れになる日付。期限切れになったルールは、太字で [Expired] と示されます。期限切れになったルールは自動的には削除されません。

[Tools] ボタン

このボタンをクリックして、このタイプのポリシーとともに使用できるツールを選択します。次のツールから選択できます。

[Analysis](IPv4 のみ):他のルールと重複または競合するルールを特定します。「分析レポートの生成」を参照してください。

[Combine Rules](IPv4 のみ):似たようなルールを結合して、パフォーマンスおよびメモリ使用率を改善します。このツールにより、ポリシーに含まれるルールの数が少なくなります。「ルールの結合」を参照してください。

[Hit Count](IPv4 および IPv6):アクセス ルールに基づいてデバイスのトラフィックが許可または拒否された回数を特定します。この情報は、展開されたポリシーをデバッグする際に役立ちます。「ヒット カウント レポートの生成」を参照してください。

[Import Rules](IPv4 のみ):デバイス コマンドを使用して定義された ACL からルールをインポートします。「ルールのインポート」を参照してください。

[Query](IPv4 のみ):ポリシー クエリーを実行します。このことにより、ルールを評価して、効果が得られない削除可能なルールを特定できます。「ポリシー クエリー レポートの生成」を参照してください。

[Find and Replace] ボタン(双眼鏡アイコン)

テーブル内のさまざまなタイプの項目を検索し、必要に応じてその項目を置換するには、このボタンをクリックします。「ルール テーブルの項目の検索と置換」を参照してください。

[Up Row] ボタンと [Down Row] ボタン(矢印アイコン)

選択したルールを範囲内またはセクション内で上下に移動するには、これらのボタンをクリックします。詳細については、「ルールの移動とルール順序の重要性」を参照してください。

[Add Row] ボタン

「[Add Access Rule]/[Edit Access Rule] ダイアログボックス(IPv4 および IPv6)」を使用して選択したテーブルの行のあとにルールを追加するには、このボタンをクリックします。行を選択しなかった場合は、ローカル範囲の最後にルールが追加されます。ルールを追加する方法の詳細については、「ルールの追加および削除」を参照してください。

[Edit Row] ボタン

選択したルールを編集するには、このボタンをクリックします。個々のセルを編集することもできます。詳細については、「ルールの編集」を参照してください。

[Delete Row] ボタン

選択したルールを削除するには、このボタンをクリックします。

[Add Access Rule]/[Edit Access Rule] ダイアログボックス(IPv4 および IPv6)

IPv4 または IPv6 アクセス ルールを追加または編集するには、[Add Access Rule] および [Edit Access Rule] ダイアログボックスを使用します。アクセス ルールを設定する前に、次の項を参照してください。

「アクセス ルールについて」

「グローバル アクセス ルールについて」

「デバイス固有のアクセス ルールの動作について」

「アクセス ルールのアドレス要件およびルールの展開方法について」

「アクセス ルールの設定(IPv4 または IPv6)」

ナビゲーション パス

「アクセス ルール ページ(IPv4 または IPv6)」から、[Add Row] ボタンをクリックするか、または行を選択して [Edit Row] ボタンをクリックします。

関連項目

「アクセス ルールの有効期限の設定」

「ルールの編集」

「ルールの追加および削除」

「ルールのインポート」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」

フィールド リファレンス

 

表 15-2 [Add Access Rule]/[Edit Access Rule] ダイアログボックス

要素
説明

Enable Rule

ルールをイネーブルにするかどうか。イネーブルにすると、デバイスに設定を展開したときにルールがアクティブになります。ディセーブルなルールには、ルール テーブルにハッシュ マークが重なって表示されます。詳細については、「ルールのイネーブル化とディセーブル化」を参照してください。

Action

定義した条件に基づいて、ルールがトラフィックを許可または拒否するかどうか。

Sources

Destinations

トラフィックの送信元または宛先。項目をカンマで区切って複数の値を入力できます。

次のアドレス タイプを自由に組み合わせて入力し、トラフィックの送信元または宛先を定義できます。設定しているアクセス ルール ポリシーに基づいて、IPv4 または IPv6 アドレスのいずれかを使用します。アドレス タイプを混在させることはできません。詳細については、「ポリシー定義中の IP アドレスの指定」および「ポリシー定義中の IPv6 アドレスの指定」を参照してください。

ネットワーク/ホスト オブジェクト(IPv4 または IPv6)。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します。選択リストから、新しいネットワーク/ホスト オブジェクトを作成することもできます。

(注) Fully-Qualified Domain Name(FQDN; 完全修飾ドメイン名)を指定するには、FQDN ネットワーク/ホスト オブジェクトまたは FQDN オブジェクトを含むグループ オブジェクトを使用する必要があります。FQDN を直接入力することはできません。

ホスト IP アドレス(10.10.10.100(IPv4)または 2001:DB8::200C:417A(IPv6)など)。

IPv4 ネットワーク アドレスとサブネット マスク。形式は 10.10.10.0/24 または 10.10.10.0/255.255.255.0。

IPv6 ネットワーク アドレスとプレフィクス長。形式は、2001:DB8::/32。

IP アドレスの範囲(10.10.10.100-10.10.10.200(IPv4)または 2001:DB8::1-2001:DB8::100(IPv6)など)。

(IPv4 のみ)10.10.0.10/255.255.0.255 形式の IP アドレスのパターン。この場合のマスクは不連続なビット マスクです(「連続および不連続ネットワーク マスク(IPv4 アドレスに対応)」を参照)。

インターフェイス ロール オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します(オブジェクト タイプとして [Interface Role] を選択する必要があります)。インターフェイス ロールを使用する場合は、選択したインターフェイスの IPv4 または IPv6 のアドレスを指定した場合と同様にルールが動作します。デバイスに割り当てられる IP アドレスを把握できないため、DHCP を経由してアドレスを取得するインターフェイスの場合に有効です。詳細については、「インターフェイス ロール オブジェクトについて」を参照してください。

インターフェイス ロールを送信元として選択した場合、ダイアログボックスにタブが表示され、ホストまたはネットワークとインターフェイス ロールが区別されます。

Users

(ASA 8.4(2+) のみ)ルールの Active Directory(AD)ユーザ名、ユーザ グループ、またはアイデンティティ ユーザ グループ オブジェクト(使用する場合)。ユーザ指定は送信元アドレスと結合され、送信元アドレス範囲の中で照合するユーザ アドレスを制限します。項目をカンマで区切って複数の値を入力できます。

次の値を組み合わせて入力できます。

個別のユーザ名:NetBIOS_DOMAIN¥username

ユーザ グループ(¥ を二重にします):NetBIOS_DOMAIN¥¥user_group

アイデンティティ ユーザ グループ オブジェクト名。

[Select] をクリックしてリストからオブジェクト、ユーザ、またはユーザ グループを選択するか、新しいオブジェクトを作成します。

詳細については、以下を参照してください。

「ポリシーでのアイデンティティ ユーザの選択」

「アイデンティティ ベースのファイアウォール ルールの設定」

「アイデンティティ ユーザ グループ オブジェクトの作成」

Service

動作対象のトラフィック タイプを定義するサービス。項目をカンマで区切って複数の値を入力できます。

サービス オブジェクトおよびサービス タイプの任意の組み合わせ(通常はプロトコルとポートの組み合わせ)を入力できます。サービスを入力する場合は、有効な値の入力を求められます。リストから値を選択して、Enter または Tab を押します。

サービスを指定する方法の詳細については、「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。

Interfaces

Global(ASA 8.3+)

インターフェイス固有のルールまたはグローバル ルールのいずれを作成するかを選択します。グローバル ルールは ASA 8.3+ のデバイスだけで使用でき、特別なルールに従って処理されます(詳細については、「グローバル アクセス ルールについて」を参照してください)。

[Interfaces] を選択した場合は、ルールを割り当てるインターフェイスまたはインターフェイス ロールの名前を入力します。あるいは、[Select] をクリックして、リストからインターフェイスまたはロールを選択するか、新しいロールを作成します。インターフェイスをリストに表示するには、あらかじめ定義しておく必要があります。

インターフェイス ロール オブジェクトは、各デバイスの設定が生成されるときに、実際のインターフェイス名で置き換えられます。「インターフェイス ロール オブジェクトについて」を参照してください。グローバル ルールは、特定のインターフェイスに接続されない特殊なグローバル ACL として作成されますが、In 方向でインターフェイス固有のルールの後続のすべてのインターフェイスに対して処理されます。

Description

オプションで入力するルールの説明(最大 1024 文字)。

Category

ルールに割り当てられるカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Advanced] ボタン

このボタンをクリックして、ルールのその他の設定(ロギング設定、トラフィック方向、時間範囲、およびルールの有効期限など)を行います。詳細については、「[Advanced]/[Edit Options] ダイアログボックス」を参照してください。

[Advanced]/[Edit Options] ダイアログボックス

[Advanced]/[Edit Options] ダイアログボックスを使用して、IPv4 または IPv6 アクセス ルールの追加の設定を行います。[Advanced] ダイアログボックスでは、オプションの編集時(セルレベルの編集ダイアログボックス)よりも多くのフィールドが設定可能です。[Advanced] ダイアログボックス内の設定は、アクセス ルール内の 3 つの異なるセル(方向、オプション、およびルールの有効期限)に表示されます。

ナビゲーション パス

[Advanced] ダイアログボックスにアクセスするには、次のいずれかを実行します。

「[Add Access Rule]/[Edit Access Rule] ダイアログボックス(IPv4 および IPv6)」を表示し、[Advanced] をクリックします。

「アクセス ルール ページ(IPv4 または IPv6)」で)アクセス ルール内の [Options] セルを右クリックし、[Edit Options] を選択します。複数の行を選択すると、選択したすべてのルールに定義されているオプションが、変更によって置き換えられます。

関連項目

「アクセス ルールの設定(IPv4 または IPv6)」

「ルールの編集」

「アクセス ルールについて」

「ファイアウォール アクセス ルールの管理」

「時間範囲オブジェクトの設定」

フィールド リファレンス

 

表 15-3 [Advanced] ダイアログボックス

要素
説明

Enable Logging(PIX、ASA、FWSM)

PIX、ASA、および FWSM デバイスの場合、ルール エントリ(ACE)に syslog メッセージを生成するかどうか。次の追加オプションを選択できます。

[Default Logging]:デフォルトのロギング動作を使用します。パケットが拒否されると、メッセージ 106023 が生成されます。パケットが許可された場合、syslog メッセージは生成されません。デフォルトのロギング間隔は 300 秒です。

[Per ACE Logging]:このエントリに固有のロギングを設定します。ACE のログ イベントに対して使用するロギング レベルと、ロギング間隔(1 ~ 600 秒の範囲)を選択します。ACE に対して syslog メッセージ 106100 が生成されます。

設定可能なロギング レベルは、次のとおりです。

[Emergency]:(0)システムが不安定

[Alert]:(1)即時処理が必要

[Critical]:(2)クリティカル条件

[Error]:(3)エラー条件

[Warning]:(4)警告条件

[Notification]:(5)正常ではあるが重大な条件

[Informational]:(6)情報メッセージだけ

[Debugging]:(7)デバッグ メッセージ

Enable Logging(IOS)

Log Input

(IPv4 のみ)

IOS デバイスのコンソールに送信されるエントリに一致したパケットに関するロギング情報メッセージを生成するかどうか。

入力インターフェイスおよび送信元 MAC アドレスまたは仮想回線をロギング出力に含める場合は、[Log Input] を選択します。

Traffic Direction

([Advanced] ダイアログボックス限定)

インターフェイス固有のアクセス ルールの場合、このルールが適用されるトラフィックの方向。

[In]:インターフェイスで受信するパケット。

[Out]:インターフェイスから送信するパケット。

グローバル ルールは常に In 方向で適用されるため、グローバル ルールの設定時にはこの設定を変更できません。

Time Range

このルールが適用される時間を定義する時間範囲ポリシー オブジェクトの名前。時刻は、デバイスのシステム クロックに基づきます。この機能は、NTP を使用してシステム クロックを設定している場合に最適に機能します。

名前を入力するか、[Select] をクリックしてオブジェクトを選択します。必要なオブジェクトが表示されていない場合は、[Create] ボタンをクリックして作成します。

(注) 時間範囲は、FWSM 2.x デバイスまたは PIX 6.3 デバイスではサポートされていません。

Options(IOS)

(IPv4 のみ)

IOS デバイス用の追加オプション:

[Fragment]:フラグメンテーションを有効にします。これにより、パケット フラグメンテーションの追加管理が行われ、NFS との互換性が向上します。

デフォルトでは、1 つの完全な IP パケットを再構成するために最大 24 個のフラグメントが受け入れられます。ただし、ネットワーク セキュリティ ポリシーによっては、フラグメント化されたパケットがファイアウォールを通過しないようにデバイスを設定することが必要な場合もあります。

[Established]:デバイスを介してアクセスを戻すためのアウトバウンド TCP 接続を有効にします。このオプションは、デバイスにより保護されたネットワークからのアウトバウンドの元の接続と、外部ホスト上の同じ 2 つのデバイス間のインバウンドのリターン接続という、2 つの接続に対して機能します。

Rule Expiration

([Advanced] ダイアログボックス限定)

ルールに有効期限を設定するかどうか。カレンダー アイコンをクリックして、日付を選択します。詳細については、「アクセス ルールの有効期限の設定」を参照してください。

また、有効期限を設定している場合は、有効期限が近いことを示す通知を、ルールが失効する何日前に送信するか、およびその送信先となる電子メール アドレスを設定することもできます。最初、これらのフィールドには、[Rule Expiration administrative settings] ページ([Tools] > [Security Manager Administration] > [Rule Expiration] を選択)で設定した情報が設定されています。

期限切れになったルールは自動的には削除されません。これらの情報を手動で削除し、デバイスに設定を再配布する必要があります。

[Edit Firewall Rule Expiration Settings] ダイアログボックス

[Edit Firewall Rule Expiration Settings] ダイアログボックスを使用して、IPv4 または IPv6 アクセス ルールの有効期限の設定を編集します。

ルールの有効期限を設定するには、カレンダー アイコンをクリックして日付を選択します。

また、有効期限を設定している場合は、有効期限が近いことを示す通知を、ルールが失効する何日前に送信するか、およびその送信先となる電子メール アドレスを設定することもできます。最初、これらのフィールドには、[Rule Expiration administrative settings] ページ([Tools] > [Security Manager Administration] > [Rule Expiration] を選択)で設定した情報が設定されています。

期限切れになったルールは自動的には削除されません。これらの情報を手動で削除し、デバイスに設定を再配布する必要があります。

詳細については、「アクセス ルールの有効期限の設定」を参照してください。

ナビゲーション パス

「アクセス ルール ページ(IPv4 または IPv6)」で)アクセス ルール内の [Expiration Date] セルを右クリックし、[Edit Rule Expiration] を選択します。複数の行を選択すると、選択したすべてのルールに定義されているオプションが、変更によって置き換えられます。

アクセス ルールの有効期限の設定

アクセス ルールを頻繁に使用することは、ネットワークへの一時的なアクセスを提供することです。たとえば、特定のプロジェクトの期間中にパートナー アクセスを許可するようなアクセス ルールを設定するとします。この場合、プロジェクトの完了時にはアクセス ルールを削除することが理想的です。しかし、アクセス ルール リストが大きくなるにつれて、リストの管理が困難になり、どのルールを一時的なものとして設定したか覚えていられなくなります。

この問題に対処するために、IPv4 または IPv6 アクセス ルールに有効期限を設定できます。有効期限を設定することにより、ルールが必要でなくなる日時を計画できます。

有効期限は変更可能な日付で、期限切れになったルールが Security Manager によって削除されることはありません。Security Manager では、期限切れになったルールの [Expiration Date] カラムに「Expired」という太字が表示されます。有効期限フィールドに基づいて、アクセス ルール ページをフィルタリングできます。たとえば、「expiration date has passed」でフィルタリングすると、期限切れになったすべてのルールが表示されます。

ルールが必要でなくなった場合は、そのルールを削除する(右クリックして [Delete Row] を選択)か、またはディセーブルにし(右クリックして [Disable] を選択)、そのあとで設定をデバイスに再展開できます。最初はルールをディセーブルにしておいて、そのルールがあとで必要だとわかったときのために、そのルールを(ハッシュ マークが重なって表示された)テーブルに残しておけば、ルールを再作成する時間を節約できます。この場合は、ルールをイネーブルにし(右クリックして [Enable] を選択)、設定を再展開するだけです。

有効期限を設定するときに、通知設定も行うことができます。有効期限が近づいたときに通知を受ける電子メール アドレスを指定します。ルールを評価する時間を与えるために、電子メールの通知メッセージの送信日から有効期限までの日数を指定できます。通知設定には、最初は管理設定で([Tools] > [Security Manager Administration] > [Rule Expiration] を選択して)設定された値が入力されています。特定のルールに対して別の設定を入力できます。

ルールの有効期限を設定するには、次の手順を実行します。

新しいルールを作成する場合、またはルール全部を編集する場合は、[Advanced] ボタンをクリックして、ルールの有効期限の設定を表示します。アクセス ルールの作成の詳細については、「アクセス ルールの設定(IPv4 または IPv6)」を参照してください。

既存のルールの場合は、ルール全部を編集せずに、有効期限の設定を追加または編集できます。ルールの [Expiration Date] セルを右クリックし、[Edit Rule Expiration] を選択します。複数の行を選択して、同じルール有効期限を設定できます。詳細については、「[Edit Firewall Rule Expiration Settings] ダイアログボックス」を参照してください。

関連項目

「[Rule Expiration] ページ」

「連続および不連続ネットワーク マスク(IPv4 アドレスに対応)」

アクセス コントロールの設定(IPv4 または IPv6)

IPv4 または IPv6 アクセス コントロール リストに適用するさまざまな設定ができます。これらの設定は、IPv4 または IPv6 アクセス ルール ポリシーとともに機能します。インターフェイスとトラフィック方向の各組み合わせに対して、または ASA 8.3+ デバイスではグローバル ACL に対して、独自の ACL 名を設定できる点が重要です。PIX、ASA、および FWSM デバイスの場合は、IPv4 拒否フローの最大数および関連する syslog 間隔も制御できます。

また、PIX、ASA、および FWSM デバイスの場合は、ユーザ単位のダウンロード可能 ACL が許可されるようにインターフェイスを設定することもできます。これにより、AAA サーバでユーザベースの ACL を設定して、デバイスで定義されている ACL を上書きできます。

他にも使用可能な設定がありますが、旧式のデバイスおよびソフトウェア リリースに対応するものであり、用途が限定されています。

関連項目

「アクセス ルールの設定(IPv4 または IPv6)」


ステップ 1 次のいずれかを実行して、「[Access Control Settings] ページ(IPv4 および IPv6)」を開きます。

(デバイス ビュー)ポリシー セレクタから [Firewall] > [Settings] > [Access Control](IPv4 の場合)、または [Firewall] > [Settings] > [IPv6 Access Control] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Settings] > [Access Control](IPv4 の場合)、または [Firewall] > [Settings] > [IPv6 Access Control] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 (IPv4 ポリシーのみ)ページの上部でグローバル設定を行います。PIX、ASA、および FWSM デバイスの場合は、現在の拒否フローの最大数および関連する syslog 間隔を定義できます。ASA 8.3+ デバイスの場合、オブジェクト グループ検索をイネーブルにして、Checkpoint から変換する際の ACL パフォーマンスを最適化できます。ただし、この設定が推奨されるのは、デバイスにメモリの制約がある場合だけです。


) [Enable Object Group Search] 設定は、IPv4 アクセス ルールと IPv6 アクセス ルールの両方に適用されます。IPv4 ポリシーでの選択はすべてのルールに適用されます。IPv6 に対して別の設定はありません。


これらの設定の具体的な情報、および ACL コンパイルをサポートするプラットフォームについては、「[Access Control Settings] ページ(IPv4 および IPv6)」を参照してください。

ステップ 3 ACL 名を設定するインターフェイスごと、またはユーザ単位の ACL をイネーブルにするインターフェイスごとに、テーブルの下の [Add Row] ボタンをクリックし、「[Firewall ACL Setting] ダイアログボックス(IPv4 または IPv6)」に値を入力して、インターフェイスをインターフェイス テーブルに追加します。次の点を考慮してください。

ACL 名を設定すると、その名前が特定のインターフェイスおよび方向に適用されます。IPv4 ポリシーと IPv6 ポリシーの両方に対して同じ名前を使用できません。名前を指定していないインターフェイスと方向の組み合わせに対しては、Security Manager によってシステム生成名が作成されます。

また、ASA 8.3+ デバイスでは、グローバル ACL の名前も指定できます。

[Enable Per User Downloadable ACLs] オプションは、IPv4 または IPv6 に限定されません。IPv4 または IPv6 のいずれかの [Access Control Settings] ポリシーでこのオプションを選択した場合、もう一方のアクセス コントロール設定ポリシーで選択しなくてもこのオプションは指定したインターフェイスおよび方向に設定されます。

リスト内の既存のエントリを編集するには、そのエントリを選択して [Edit Row] をクリックします。また、リスト内のエントリを削除するには、[Delete Row] をクリックします。


 

[Access Control Settings] ページ(IPv4 および IPv6)

[Access Control Settings] ページを使用して、アクセス ルール ポリシーとともに使用する値を設定します。パフォーマンスおよびロギングの機能を制御し、各インターフェイスに対して ACL 名を設定できます。IPv4 と IPv6 に対して別々のポリシーがありますが、基本的には同じです。


ヒント これらの設定の多くは、特定のデバイス タイプまたはソフトウェア バージョンにだけ適用されます。オプションを設定し、サポートされていないデバイス タイプにポリシーを適用した場合、それらのサポートされていないデバイスではそのオプションが無視されます。

ナビゲーション パス

[Access Control] ページにアクセスするには、次のいずれかを実行します。

(デバイス ビュー)デバイスを選択し、次にポリシー セレクタから [Firewall] > [Settings] > [Access Control](IPv4 の場合)、または [Firewall] > [Settings] > [IPv6 Access Control] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Settings] > [Access Control](IPv4 の場合)、または [Firewall] > [Settings] > [IPv6 Access Control] を選択します。新しいポリシーを作成するか、または既存のポリシーを選択します。

(マップ ビュー)デバイスを右クリックし、[Edit Firewall Settings] > [Access Control](IPv4 の場合)、または [Edit Firewall Settings] > [IPv6 Access Control] を選択します。

関連項目

「アクセス コントロールの設定(IPv4 または IPv6)」

「アクセス ルールについて」

「デバイス固有のアクセス ルールの動作について」

「アクセス ルールのアドレス要件およびルールの展開方法について」

「アクセス ルールについて」

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 15-4 [Access Control Settings] ページ

要素
説明

Maximum number of concurrent flows(PIX、ASA、FWSM)

(IPv4 のみ)

デバイスが作成できる並行拒否フローの最大数。デバイスがこの数に達すると、syslog メッセージ 106101 が生成されます。使用する必要のある範囲は、デバイスで使用可能なフラッシュ メモリの大きさによって異なります。

64 MB より大きい:値は 1 ~ 4096 です。デフォルトは 4096 です。

16 MB より大きい:値は 1 ~ 1024 です。デフォルトは 1024 です。

16 MB 以下:値は 1 ~ 256 です。デフォルトは 256 です。

Syslog interval(PIX、ASA、FWSM)

(IPv4 のみ)

セキュリティ アプライアンスが拒否フローの最大値に達したことを警告する syslog メッセージ 106101 を生成するための時間間隔。拒否フローの最大値に達した場合、最後の 106101 メッセージから指定の秒数が経過すると、新たに 106101 メッセージが生成されます。値は 1 ~ 3600 ミリ秒です。デフォルトは 300 です。

Enable Access List Compilation(グローバル)

(IPv4 のみ)

アクセス リストをコンパイルするかどうか。コンパイルすると、サイズの大きなルール テーブルの処理が高速になります。コンパイルにより、すべての ACL に対するポリシー ルールおよびパフォーマンスが最適化されます。ただし、コンパイルがサポートされる旧式のプラットフォームの数は次のように限られています。

ルータ(グローバル設定のみ):7120、7140、7200、7304、および 7500

PIX 6.3 ファイアウォール(グローバル モードまたはインターフェイス単位)

ACL は、アクセス リスト要素の数が 19 以上である場合にだけコンパイルされます。推奨されるエントリの最大数は 16,000 です。

アクセス リストをコンパイルするには、デバイスに少なくとも 2.1 MB のメモリが必要となります。アクセス リストのコンパイルは、Turbo ACL とも呼ばれます。

Enable Object Group Search(ASA 8.3+)

(IPv4 ポリシーのみにあるが、IPv4 と IPv6 の両方に適用)

ASA 8.3+ デバイスでオブジェクト グループ検索をイネーブルにするかどうか。これにより、オブジェクト グループを展開せずに ACL パフォーマンスを最適化できます。オブジェクト グループ検索は主に、Checkpoint から ASA への移行時に使用されます。デバイスにメモリ制約がある場合(つまり、操作中にメモリが不足しているとわかった場合)は、これによってアクセス ルールの数が大幅に増加することがあります。

オブジェクト グループ検索をイネーブルにした場合、Hit Count ツールを使用してルールを分析することはできません。通常は、この機能をイネーブルにしないでください。代わりに、Rule Combiner ツールを使用してアクセス ルールを簡素化し、すべてのインターフェイスで実施するルールに対してはグローバル ルールを使用することを検討してください。

[Interfaces] テーブル

(IPv4 および IPv6)

このテーブルには、特別な処理を設定するインターフェイスが示されます。インターフェイス名は、特定のインターフェイスを指すか、(設定を一度に複数のインターフェイスに適用できる)インターフェイス ロールを指します。また、ASA 8.3+ デバイスでのグローバル ACL 設定の場合は、Global です。

このテーブルを使用すると、Security Manager によるシステム生成名の自動設定を行わない場合に、ACL に名前を設定できます。この名前は、インターフェイスに対して生成された特定方向の IPv4 または IPv6 ACL に適用されます。

ユーザ単位のダウンロード可能 ACL に対して、また IPv4 ではオブジェクト グループ検索および ACL コンパイルに対して、インターフェイスレベルの設定を行うこともできます。

インターフェイス設定を追加するには、[Add Row] ボタンをクリックし、「[Firewall ACL Setting] ダイアログボックス(IPv4 または IPv6)」に入力します。

インターフェイス設定を編集するには、そのインターフェイス設定を選択し、[Edit Row] ボタンをクリックします。

インターフェイス設定を削除するには、そのインターフェイス設定を選択し、[Delete Row] ボタンをクリックします。

[Firewall ACL Setting] ダイアログボックス(IPv4 または IPv6)

[Firewall ACL Setting] ダイアログボックスを使用して、IPv4 または IPv6 アクセス ルール ポリシーとともに使用する、特定のインターフェイス、インターフェイス ロール、またはグローバル ルールの設定を行います。

ナビゲーション パス

「[Access Control Settings] ページ(IPv4 および IPv6)」を表示し、インターフェイス テーブルの下の [Add Row] ボタンをクリックするか、またはテーブル内の行を選択して [Edit Row] ボタンをクリックします。

関連項目

「アクセス コントロールの設定(IPv4 または IPv6)」

「アクセス ルールについて」

「グローバル アクセス ルールについて」

「デバイス固有のアクセス ルールの動作について」

「アクセス ルールのアドレス要件およびルールの展開方法について」

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 15-5 [Firewall ACL Setting] ダイアログボックス

要素
説明

Interface

Global(ASA 8.3+)

設定の対象が特定のインターフェイス(またはインターフェイス ロール)か、あるいは ASA 8.3+ デバイスではグローバル ルールかを選択します。

[Interface] を選択した場合は、設定するインターフェイスまたはインターフェイス ロールの名前を指定します。名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

[Global] を選択した場合は、グローバル ACL の名前を指定するオプションしかありません。

Traffic Direction

インターフェイスを通過するトラフィックの方向([in] または [out])。方向が関係する場合、設定した値はこの方向にだけ適用されます。

ASA 8.3+ デバイスでは、グローバル ACL の方向は常に [in] です。

User Defined ACL Name

ACL Name

ACL に名前を指定するかどうか。このオプションを選択した場合、使用する名前を入力します。これは、インターフェイスと方向の組み合わせに対して生成された ACL に適用されます。名前は、デバイス上で一意である必要があります。

ヒント IPv6 アクセス コントロールの設定時には、[ACL Name] 編集ボックスだけが表示され、[User Defined ACL Name] チェックボックスはありません。IPv4 ACL と IPv6 ACL に対して同じ ACL 名を使用できないことに注意してください。

ASA 8.3+ デバイスでグローバル ACL に名前を設定する場合、オプションは自動的に選択されるため、目的の名前を入力するだけです。

名前を設定しなかった場合は、Security Manager により自動的に名前が生成されます。

Enable Per User Downloadable ACLs(PIX、ASA、FWSM)

ユーザ単位の ACL のダウンロードをイネーブルにしてインターフェイス上の ACL を上書きするかどうか。ユーザ ACL は、Security Manager で設定されるのではなく、AAA サーバで設定されます。ユーザ単位の ACL がない場合は、インターフェイスに設定されているアクセス ルールがトラフィックに適用されます。

ヒント このオプションは、IPv4 および IPv6 のアクセス コントロール設定ポリシーで個別に使用できます。ただし、オプションはアクセス コントロール全体に適用され、IPv4 および IPv6 に対して個別には設定されません。アクセス コントロール設定ポリシーのいずれかでこのオプションを選択した場合、オプションは指定したインターフェイスおよび方向のデバイスに設定されます。

Enable Object Group Search(PIX 6.x)

(IPv4 のみ)

PIX 6.3 インターフェイスでオブジェクト グループ検索をイネーブルにするかどうか。イネーブルにすると、サイズの大きい ACL を保持するためのデバイスのメモリ要件が少なくなります。ただし、オブジェクト グループ検索によって、各パケットでの ACL 処理が低速になるため、パフォーマンスに影響します。

非常に大きなオブジェクト グループが存在する場合は、オブジェクト グループ検索を推奨します。

ヒント ASA 8.3+ デバイスでは、オブジェクト グループ検索の設定は、「[Access Control Settings] ページ(IPv4 および IPv6)」で行います。

Enable Access List Compilation(PIX 6.x)

(IPv4 のみ)

PIX 6.x デバイスで、このインターフェイス上のアクセス リストをコンパイルするかどうか。この設定は、[Access Control Settings] ページで設定した同等のグローバル設定を上書きします。

ACL をコンパイルすると、サイズの大きいルール テーブルの処理が高速になり、インターフェイスのポリシールールおよびパフォーマンスが最適化されます。ACL は、アクセス リスト要素の数が 19 以上である場合にだけコンパイルされます。推奨されるエントリの最大数は 16,000 です。

アクセス リストをコンパイルするには、デバイスに少なくとも 2.1 MB のメモリが必要となります。

分析レポートの生成


) 分析レポートではユーザ指定を含むルールが無視されます。また、ルールに FQDN ネットワーク/ホスト オブジェクトが含まれている場合は FQDN オブジェクトが無視されますが、含まれていない場合はルールが分析に含まれます。


分析レポートを生成して、アクセス ルールのロジックを評価できます。このレポートには、アクセス ルール ポリシー内の他のルールと重複または競合するルールが一覧表示されます。この情報を使用して、削除、移動、または編集が必要なルールを特定します。

アクセス ルール ポリシーの分析には、二重の目的があります。

不要であるため削除可能な、冗長なルールまたは重複するルールを特定する。次に例を示します。

冗長な基本ルール:重複するルールと同一ではないが、基本ルールでも同じタイプのトラフィックに同じ処理が適用される場合、基本ルールを削除しても最終的な結果は変わりません。たとえば、基本ルールでは特定の時間範囲中だけサービスを禁止するが、重複するルールでは常にそのサービスを禁止する場合などです。また、重複するルールではすべての送信元を許可するが、基本ルールでは特定のネットワークを指定する場合などもこの例に含まれます。

冗長な重複するルール:これは、冗長な基本ルールの逆です。この場合、基本ルールが重複するルールと同じトラフィックに一致します。つまり、重複するルールは(アクセス リスト内では基本ルールよりもあとに配置されているため)いずれのトラフィックにも適用されません。重複するルールは削除できます。

同じルール:基本ルールおよび重複するルールが同一です。いずれか一方を削除できます。

競合するルール:同じトラフィックに対して競合する処理を定義しているルールを特定します。競合するルールがある場合は、基本ルールおよび重複するルールで、トラフィックに対して別々の処理を指定します。これらのルールが別のポリシーを指定していることが明らかでない場合もあります。ただし、基本ルールは重複するルールの前に位置するため、トラフィックに対する処理を決定するのは基本ルールです。目的のポリシーを実装するために、重複するルールを移動したり、基本ルールや重複するルールを編集したりする必要があることがあります。

たとえば、1 つの送信元または宛先に対して、基本ルールで IP トラフィックを拒否し、重複するルールで FTP トラフィックを許可する場合などです。

不要なルールを削除することにより、より使用しやすく効率のよいアクセス ルール ポリシーを開発できます。

図 15-1に、冗長なルールの例を示します。この場合、基本ルールで送信元アドレス 1.2.3.4 から宛先 2.3.4.5 への TFTP 接続が許可されています。しかし、後続のルールでも、すべての送信元アドレスからその宛先への TFTP 接続が許可されています。重複するルールを保持することを前提とすれば、基本ルールは不要になります。

図 15-1 ルール分析レポートの例

 


ヒント 分析の他にも、Combine Rules ツールを使用して、ルールを評価するように Security Manager を設定し、ルールをさらに効率のよいルールに結合する方法を利用できます。詳細については、「ルールの結合」を参照してください。

関連項目

「アクセス ルールについて」

「デバイス固有のアクセス ルールの動作について」

「アクセス ルールのアドレス要件およびルールの展開方法について」

「アクセス ルールの設定(IPv4 または IPv6)」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [Firewall] > [Access Rules] の順に選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Access Rules] を選択し、既存のポリシーを選択します。

この操作により、「アクセス ルール ページ(IPv4 または IPv6)」が開きます。

ステップ 2 [Tools] ボタンをクリックし、[Analysis] を選択します。

ルールが分析され、結果が [Rule Analysis Results] ウィンドウ内に表示されます。このレポートには、次の 3 つのウィンドウ ペインがあります。

左側のペイン([Base Rules]):基本ルール(ルール番号が最も小さい)で識別された、競合するルール グループが一覧表示されます。

右上のペイン([Conflict Overview]):左側のペインで選択されている基本ルールと、そのルールと重複または競合するすべてのルールが表示されます。範囲には、このルールがデバイスにローカルか、それとも共有ルールから継承されたものか(必須またはデフォルト)が示されます。その他のカラムは、通常のアクセス ルール属性と同じです(「アクセス ルール ページ(IPv4 または IPv6)」を参照)。

このペインで重複するルールを選択すると、右下のペインに詳細な比較が表示されます。

右下のペイン([Overlap Details]):基本ルールと、右上のペインで選択されている重複するルールの比較が、簡単に直接比較できるように表示されます。競合する要素は太字で表示されます。重複のタイプについては、上記で説明しています。

必要に応じて、[previous] ボタンおよび [next] ボタンを使用して、ページを移動して詳細を確認します。


 

ヒット カウント レポートの生成

ヒット カウント レポートを生成して、IPv4 または IPv6 アクセス ルール ポリシー内の各ルールがトラフィックに一致する頻度を判断できます。たとえば、インターフェイス ロールを使用してルールを定義し、ロールが複数のインターフェイスに適用された場合、アクセス ルールが複数の Access Control Entries(ACE; アクセス コントロール エントリ)として展開されると、展開された ACE ごとに個別のヒット カウント情報が表示されます。このヒット カウント結果には、他のタイプの ACL(クラス マップまたは AAA ルールで使用される ACL など)のカウントは示されません。

ヒット カウント情報を使用すると、アクセス ルールのデバッグに役立ちます。この情報は、ヒットしたことがない(つまり、不要であるか、または ACL における優先度の高いルールと重複している可能性がある)ルールや、頻繁にヒットする(つまり、改良が必要な)ルールを識別するのに役立ちます。

次の各図に、ヒット カウント レポートの例と情報の使用方法を示します。

図 15-2は、デフォルトのビューを示しています。上半分のテーブルには、アクセス ルール ポリシー内に存在するルールが一覧表示されます。すべてのルールが表示されるか、またはレポートの生成前に選択したルールだけが表示されます。ルールを選択すると、そのルールに対してデバイス上で作成された ACE が、ウィンドウの下半分の展開されたテーブル内に一覧表示されます。最初にレポートを開くと、展開されたテーブルに、上半分のテーブル内に一覧表示されているすべてのポリシーに対する ACE が表示されます。

展開されたテーブル内のヒット カウントは、各 ACE に対応しています。一方、ルール テーブル内のカウントは、ルールにより作成されたすべての ACE に対するヒット カウントの合計です。ASA/PIX/FWSM デバイスおよび 12.4(20)T よりも前の IOS デバイスでは、展開されたテーブルに、ルールで使用されているポリシー オブジェクト内の各要素に対するヒット カウントが表示されます。一方、IOS 12.4(20)T+ デバイスでは、オブジェクト グループ レベルの情報だけが提供されます。

図 15-3は同じ ACE を CLI 形式で示しています。これらは、デバイス設定に存在する ACE です。

ヒット カウント レポートの判読および解釈方法の詳細については、「ヒット カウント クエリー結果の分析」を参照してください。

図 15-2 展開されたテーブル

 

図 15-3 未展開の ACE テーブル

 

始める前に

ヒット カウント レポートには次の制限事項があります。

ヒット カウント レポートは、デバイスに固有です。レポートは、デバイス ビューから、一度にデバイス 1 つに対してだけ生成できます。レポートを生成する前に、デバイスにポリシーを展開する必要があります。

ASA 8.3+ デバイスでオブジェクト グループ検索をイネーブルにした場合は、Hit Count ツールを使用できません。オブジェクト グループ検索は、「[Access Control Settings] ページ(IPv4 および IPv6)」で設定します。

ユーザ指定が([User] フィールドに)含まれるルールは選択できません。すべてのユーザ ベース ルールの選択を解除するまで、Hit Count ツールを開くことができません。

FQDN ネットワーク/ホスト オブジェクトが含まれるルールは選択できますが、そのオブジェクトはヒット カウント結果で無視されます。

関連項目

「アクセス ルールについて」

「アクセス ルールの設定(IPv4 または IPv6)」


ステップ 1 (デバイス ビューのみ)[Firewall] > [Access Rules] または [Firewall] > [IPv6 Access Rules] を選択して、「アクセス ルール ページ(IPv4 または IPv6)」を開きます。

ステップ 2 特定のルールに対するヒット カウントを取得するには、テーブル内のそのルールを選択します。一連のルールを選択する場合は、Shift を押しながらクリックします。複数の個別のルールを選択する場合は、Ctrl を押しながらクリックします。

また、ルールを選択するために、セクション見出しまたは範囲見出しを選択したり、対象となるルールだけが表示されるようにフィルタを作成したりすることもできます。

ステップ 3 テーブルの下の [Tools] ボタンをクリックし、[Hit Count] を選択して「[Hit Count Selection Summary] ダイアログボックス」を開きます。

ステップ 4 レポートに含めるルールを選択します。ローカル ルール、共有ルール、および継承ルールをすべて含める場合は、[All Rules] を選択します。レポートの開始前にルールを選択した場合は、そのオプションを選択します。

ステップ 5 [OK] をクリックします。

ツールによって、デバイスから ACL およびヒット カウント情報が取得されます。必要に応じて、操作を中断できます。情報が取得されると、[Hit Count Summary Results] ページに表示されます。このレポートの解釈については、「ヒット カウント クエリー結果の分析」を参照してください。

レポートが開いている間に [Refresh Hit Count] をクリックすると、最新の情報を取得できます。[Delta] カラムに、最後のリフレッシュ以降のヒット カウントの差分が表示されます。


 

[Hit Count Selection Summary] ダイアログボックス

[Hit Count Selection Summary] ダイアログボックスを使用して、ヒット カウント情報を生成するルールを選択します。選択できるオプションは、ヒット カウント レポートの開始前に選択したルールによって制限されます。

[OK] をクリックすると、デバイスからヒット カウント情報が取得されます。これには時間がかかることがあるため、途中で操作を中断できます。結果は [Hit Count Query Results] ウィンドウに表示されます。結果の解釈については、「ヒット カウント クエリー結果の分析」を参照してください。

ナビゲーション パス

(デバイス ビューのみ)[Firewall] > [Access Rules]、または [Firewall] > [IPv6 Access Rules] を選択し、次に [Tools] ボタンをクリックしてから [Hit Count] を選択します。詳細については、「アクセス ルール ページ(IPv4 または IPv6)」を参照してください。

関連項目

「ヒット カウント レポートの生成」

「アクセス ルールについて」

フィールド リファレンス

 

表 15-6 [Hit Count Selection Summary] ダイアログボックス

要素
説明

Policy Selected

選択されているポリシーを識別します。ポリシーを選択しなかった場合、これは通常、デバイスに特定のルールが定義されていることを示す [Local] となります。ポリシーが、共有ポリシーまたは継承ポリシー内の範囲となることもあります。

このフィールドの表示内容によって、ヒット カウント レポートの範囲が実際に制限されることはありません。

Rules Selected

ヒット カウントを取得するルール。

すべての継承ルール、共有ルール、およびローカル ルールに対するヒット カウントを取得する場合は、[All Rules] を選択します。オプションは、[Policy Selected] フィールドで指定されている範囲に限定されません。

ヒット カウント レポートの開始前にルールを選択しなかった場合、このオプションだけが選択可能になります。

(注) ルールにユーザ指定が含まれている場合は、このオプションを選択しないでください。単一のルールを選択し、そのルールにユーザ指定が含まれていても、Hit Count ツールを開くことはできません。

選択したルールだけに対する情報を取得する場合は、そのルールに対するオプションを選択します。範囲の名前、セクション名、または複数の個別のルールに関連する行を選択したり、フィルタを作成してフィルタリングされたすべてのルールを選択したりできます。ヒット カウント レポートの開始時にいずれかの行が選択されていた場合は、これがデフォルトとなります。

ヒット カウント クエリー結果の分析

[Hit Count Query Results] ページを使用して、IPv4 または IPv6 アクセス ルールがトラフィックに適用された回数に関する情報を表示します。これらのルールは、デバイス上でインターフェイス ACL となるルールです。このヒット カウント結果には、他のタイプの ACL(クラス マップまたは AAA ルールで使用される ACL など)のカウントは示されません。

ヒット カウント情報を使用すると、アクセス ルールのデバッグに役立ちます。この情報は、ヒットしたことがない(つまり、不要であるか、または ACL における優先度の高いルールと重複している可能性がある)ルールや、頻繁にヒットする(つまり、改良が必要な)ルールを識別するのに役立ちます。ヒット カウント レポートの例については、「ヒット カウント レポートの生成」を参照してください。

ヒット カウント結果を分析する際には、次の点を考慮してください。

ヒット カウントの表示前に、デバイスにポリシーを展開すると、最善の結果が得られます。デバイスを検出し、ヒット カウント レポートを生成したあとで展開した場合、結果が不完全になったり、解釈が困難になることがあります。たとえば、アクセス ルールにヒット カウント情報が含まれないことがあります。

ヒット カウント統計は、インターフェイスではなく ACL に基づきます。[Security Manager Administration Deployment] ページ(「[Deployment] ページ」を参照)で [Enable ACL Sharing for Firewall Rules] を選択した場合、共有 ACL により、その ACL を共有するすべてのインターフェイスから結合された統計情報が提供されます。

「ファイアウォール ルールの展開時のネットワーク オブジェクト グループの最適化」の説明に従ってネットワーク オブジェクト グループ最適化をイネーブルにした場合、正確なヒット カウント情報が得られない可能性があります。

「展開中のアクセス ルールの自動最適化」の説明に従って ACL 最適化をイネーブルにした場合、ヒット カウント結果でのデバイスからアクセス ルールへの ACE のマッチングに問題がある可能性があります。このため、アクセス ルールを選択したときに、そのルールに対するカウント結果が得られないことがあります。

FQDN ネットワーク/ホスト オブジェクトは無視されます。これらのオブジェクトのヒットカウント情報は取得できません。

ナビゲーション パス

(デバイス ビューだけ)「アクセス ルール ページ(IPv4 または IPv6)」から [Tools] ボタンをクリックし、[Hit Count] を選択して、「[Hit Count Selection Summary] ダイアログボックス」で [OK] をクリックします。

関連項目

「ヒット カウント レポートの生成」

「アクセス ルールについて」

「テーブル カラムおよびカラム見出しの機能」

「カテゴリ オブジェクトの使用」

フィールド リファレンス

 

表 15-7 [Hit Count Query Results] ページ

要素
説明

Select Device

ヒット カウント情報を表示する対象のデバイス。

[Refresh Hit Count] ボタン

このボタンをクリックすると、ヒット カウント情報が更新されます。最後のヒット カウントと更新済みヒット カウントの差分が、展開されたテーブルの(下側のペインの)[Delta] カラムに示されます。デルタ カウントを評価しやすいように、最後のリフレッシュからの経過時間がこのボタンの隣に示されます。

リフレッシュされた情報の取得には時間がかかることがあるため、途中でリフレッシュを中断できます。

[Selected Access Rules] テーブル

ヒット カウント情報を取得するために選択したルール。ヒット カウントは、ルールにより作成されたすべての ACE に対するヒット カウントの合計です。その他の情報は、「アクセス ルール ページ(IPv4 または IPv6)」と同じです。

このテーブルから 1 つ以上のルールを選択すると、ウィンドウの下半分にあるテーブル内のルールと対応付けられている Access Control Entry(ACE; アクセス コントロール エントリ)の詳細な情報が表示されます。

Choose

展開されたテーブルか、未展開の ACE テーブルのどちらを表示するかを選択します(両者について次に説明しています)。

[Expanded] テーブル

上半分のテーブル([Selected Access Rules] テーブル)内に、選択されたルールに対するデバイスの Access Control Entry(ACE; アクセス コントロール エントリ)が表示されます。ポリシーをデバイスに展開したときにアクセス ルールによって複数の ACE が生成された場合、このリストには複数の ACE が含まれます。

このテーブルのカラムは、上半分のテーブルのカラムと対応していますが、ルールに含まれているネットワーク/ホスト、サービス、またはインターフェイス ロール オブジェクトの代わりに、ACE で設定されている特定のデータが含まれています。ただし、IOS 12.4(20)T+ デバイスの場合は例外で、オブジェクト レベルのデータだけが表示されます。また、ACE を含む ACL の名前も表示されます。

追加の [Delta] カラムには、最後に [Refresh Hit Count] ボタンをクリックして以降の ACE のヒット数が示されます。[Hit Count] カラムには、ルール全体ではなく特定の ACE に対するヒット数が表示されます。

キーを押しながらカラム見出しをクリックします。ソートできるカラムは、[Interface]、[Direction]、および [ACL Name] 以外のカラムです。

[Raw ACE] テーブル

アクセス コントロール エントリに対する実際の CLI がヒット カウントとともに表示されます。デバイス コマンドを評価する方が慣れている場合は、この情報を使用してください。

ルールのインポート

通常、デバイスを Security Manager に追加するときは、デバイスからポリシーを検出します。この処理により、デバイス上のすべてのアクティブな ACL からの Access Control Entry(ACE; アクセス コントロール エントリ)が、アクセス ルール ポリシーに移入されます。

ポリシーに使用する ACE が含まれる ACL が他に存在している場合は、Security Manager で ACE を直接定義できます。

別の方法として、デバイス実行コンフィギュレーションから CLI をコピー アンド ペーストするか、または目的のコマンドを入力することにより、ACE をインポートすることもできます。Import Rules ウィザードを使用すると、すべての ACE および関連付けられたポリシー オブジェクトを、すでに機能している ACL からすばやく作成できます。また、ルールを定義するのに CLI を使用する方が慣れている場合は、この方法を使用すると便利です。


) ユーザ指定またはアイデンティティ ユーザ グループ オブジェクト(access-list コマンドの user-groupuser または object-group-user キーワード)が含まれるルールはインポートできません。



ステップ 1 (デバイス ビューだけ)[Firewall] > [Access Rules] を選択して、「アクセス ルール ページ(IPv4 または IPv6)」を開きます。


) IPv6 アクセス ルールはインポートできません。


ステップ 2 ルールの追加位置のすぐ上の行を選択します。ローカル範囲内の行を選択してください。行を選択しなかった場合は、ローカル範囲の最後にルールが追加されます。

ステップ 3 [Tools] ボタンをクリックし、[Import Rules] を選択してウィザードを開始します(「Import Rules ウィザード - [Enter Parameters] ページ」を参照)。

ステップ 4 デバイス タイプに適した実行コンフィギュレーション形式で CLI を入力します。インターフェイス固有のルールの作成(そのあとにルールを適用するインターフェイスまたはインターフェイス ロールを入力します)、またはグローバル ルールの作成(ASA 8.3+ デバイスの場合)を選択します(「グローバル アクセス ルールについて」を参照)。また、インターフェイスに対するトラフィック方向を選択します(グローバル ルールの場合、方向は常に [In] です)。

インポート可能な CLI の例については、「インポートされたルールの例」を参照してください。

アクセス コントロール ルール以外に、次の項目がアクセス コントロール ルールによって参照される場合は、それらの項目も CLI に含める必要があります。項目を含めない場合は、インポートを正常に行うため、指定されたオブジェクトが Security Manager にあらかじめ定義されている必要があります。

時間範囲オブジェクト( time-range コマンドとそのサブコマンド)。これにより、時間範囲ポリシー オブジェクトを作成できます。

PIX、ASA、FWSM、および IOS 12.4(20)T+ デバイスの場合、オブジェクト グループ( object-group コマンドとそのサブコマンド)。これにより、ネットワーク/ホスト ポリシー オブジェクトを作成できます。

また、ASA 8.3+ デバイスの場合は、 object network コマンドおよび object service コマンドも含めることができます。ただし、オブジェクト NAT 設定はインポートされません。

CLI 内にエラーがある場合、[Next] ボタンをクリックすると、プロンプトが表示されます。入力可能な値に関するヒントについては、「Import Rules ウィザード - [Enter Parameters] ページ」を参照してください。

ステップ 5 [Next] をクリックすると、ルールが処理され、「Import Rules ウィザード - [Status] ページ」が開きます。

CLI が評価され、インポート可能な場合は、CLI から作成されたオブジェクトのタイプが通知されます。

ステップ 6 [Finish] をクリックしてルールをインポートするか、または [Next] をクリックして「Import Rules ウィザード - [Preview] ページ」でルールおよびオブジェクトを確認します。

[Preview] ページの情報は読み取り専用です。ルールに問題がなければ、[Finish] をクリックします。変更が必要な場合は、アクセス ルール ポリシー内のルールを編集できます。


 

Import Rules ウィザード - [Enter Parameters] ページ

Import Rules ウィザードを使用して、ACL からデバイス実行コンフィギュレーション形式の一連のアクセス コントロール エントリをアクセス ルール ポリシーにインポートします。入力可能なコマンド構文は、ルールのインポート先のデバイスのタイプによって決まります。

アクセス コントロール ルール以外に、次の項目がアクセス コントロール ルールによって参照される場合は、それらの項目も CLI に含める必要があります。項目を含めない場合は、インポートを正常に行うため、指定されたオブジェクトが Security Manager にあらかじめ定義されている必要があります。

時間範囲オブジェクト( time-range コマンドとそのサブコマンド)。

PIX、ASA、FWSM、および IOS 12.4(20)T デバイスの場合、オブジェクト グループ( object-group コマンドとそのサブコマンド)。

また、ASA 8.3+ デバイスの場合は、 object network コマンドおよび object service コマンドも含めることができます。ただし、オブジェクト NAT 設定はインポートされません。

ナビゲーション パス

(デバイス ビューだけ)[Tools] ボタンをクリックし、「アクセス ルール ページ(IPv4 または IPv6)」から [Import Rules] を選択します。

関連項目

「ルールのインポート」

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 15-8 Import Rules - [Enter Parameters] ダイアログボックス

要素
説明

CLI

インポートするルールおよび関連オブジェクトを定義する OS コマンド。これらのルールは実行コンフィギュレーション形式にする必要があるため、設定からコピーして貼り付ける(Ctrl+V を使用してフィールドに貼り付ける)方法が最適です。また、コマンドを手動で入力することもできます。コマンドを解釈できない場合は、プロンプトが表示されます。

一度にインポートできる ACL は、1 つだけです。

インポートできる CLI の例については、「インポートされたルールの例」を参照してください。

ヒント

オブジェクトを参照するが CLI を含めない場合、ルールは作成可能ですが、そのオブジェクトは使用されません。

PIX、FWSM、ASA、および IOS 12.4(20)T+ の場合、オブジェクト グループおよび名前のコマンドを含めることができます。

ユーザ指定またはアイデンティティ ユーザ グループ オブジェクト( access-list コマンドの user-group user または object-group-user キーワード)が含まれるルールはインポートできません。

非アクティブな ACL をインポートすると、その ACL は Security Manager に無効な状態で表示されます。設定を展開すると、その ACL はデバイスから削除されます。

拡張 ACL は、すべてのデバイス タイプに対してインポートできます。IOS デバイスに対しては標準 ACL をインポートできます。ただし、標準 ACL は拡張 ACL に変換されます。

Interface

Global(ASA 8.3+)

インターフェイス固有のルールまたはグローバル ルールのいずれをインポートするかを選択します。グローバル ルールは ASA 8.3+ のデバイスだけで使用でき、特別なルールに従って処理されます(詳細については、「グローバル アクセス ルールについて」を参照してください)。

[Interfaces] を選択した場合は、このルールを定義するインターフェイスまたはインターフェイス ロールの名前を入力します。あるいは、[Select] をクリックして、リストからインターフェイスまたはロールを選択するか、新しいロールを作成します。インターフェイスをリストに表示するには、あらかじめ定義しておく必要があります。インターフェイスまたはインターフェイス ロール名の任意の組み合わせを、カンマで区切って入力できます。

Traffic Direction

インターフェイスに対するトラフィックの方向([in] または [out])。

Category

ルールに割り当てられるカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

Import Rules ウィザード - [Status] ページ

Import Rules ウィザードの [Status] ページを使用して、インポート プロセスの結果に関する情報を参照します。

ナビゲーション パス

Import Rules ウィザードの開始方法の詳細については、「Import Rules ウィザード - [Enter Parameters] ページ」を参照してください。

関連項目

「ルールのインポート」

フィールド リファレンス

 

表 15-9 Import Rules ウィザード - [Status] ページ

要素
説明

Progress bar

インポート プロセスのステータスが表示されます。

Status

インポートされた設定のステータス。

Rules Imported

インポートされるルールの数。

Policy Objects Created

作成されるポリシー オブジェクトの数。

Messages

重大度アイコンで示された、警告、エラー、および情報のメッセージ。通常の情報メッセージには、操作中に作成されたポリシー オブジェクトや、再利用された既存のポリシー オブジェクトの説明が表示されます。

項目を選択すると、右側の [Description] ボックスに詳細なメッセージが表示されます。右側の [Action] ボックスには、問題の修正方法が表示されます。

[Abort] ボタン

インポート操作を停止するには、このボタンをクリックします。

Import Rules ウィザード - [Preview] ページ

Import Rules ウィザードの [Preview] ページを使用して、[Finish] をクリックするとインポートされるルールおよびオブジェクトを確認します。

このプレビューは読み取り専用であるため、ルールまたはオブジェクトの編集はできません。ルールまたはオブジェクトの内容が希望どおりでない場合は、[Finish] をクリックしてルールおよびオブジェクトを追加し、アクセス ルール ページでそれを編集できます。たとえば、ルールの有効期限は Security Manager でだけ有効であるため、インポートできません。

このダイアログボックスのタブが表示されるのは、インポート対象のデータに、そのタブに表示される項目が含まれている場合だけです。


ヒント CLI が存在しないオブジェクト(時間範囲など)を参照している場合、そのオブジェクトはルールに含められません。前に戻ってそのオブジェクトの CLI を追加するか、または [Finish] をクリックし、手動でオブジェクトを作成して、ルールを編集することができます。

ナビゲーション パス

Import Rules ウィザードの開始方法の詳細については、「Import Rules ウィザード - [Enter Parameters] ページ」を参照してください。

関連項目

「ルールのインポート」

「アクセス ルール ページ(IPv4 または IPv6)」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「インターフェイス ロール オブジェクトについて」

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 15-10 Import Rules ウィザード - [Preview] ページ

要素
説明

[Rules] タブ

アクセス ルール ポリシーにインポートされる、CLI から作成されたルール。CLI が標準 ACL に対応している場合でも、すべてのルールは拡張形式に変換されます。

アイコンにより、許可および拒否のステータスが示されます。

[Permit]:緑色のチェック マークとして表示されます。

[Deny]:スラッシュの入った赤色の丸として表示されます。

送信元、宛先、サービス、およびインターフェイスのセルを右クリックして [Show Contents] を選択すると、そのセル内に詳細情報が表示されます。

右クリックして [Copy] を選択すると、ルールを HTML 形式でクリップボードにコピーできます。このデータをテキスト エディタに貼り付けることもできます。

[Objects] タブ

CLI から作成されたポリシー オブジェクト(ある場合)。CLI に応じて、Security Manager により時間範囲、ネットワーク/ホスト オブジェクト、サービス オブジェクト、またはポート リスト オブジェクトが作成されることがあります。

オブジェクトを右クリックして [View Object] を選択すると、オブジェクト定義が読み取り専用形式で表示されます。

インポートされたルールの例

次に、インポート可能な CLI と、その CLI から作成されたルールおよびポリシー オブジェクトの例をいくつか示します。ルールのインポート方法の詳細については、「ルールのインポート」を参照してください。


) IPv6 アクセス コントロール ルールはインポートできません。


例 1:ネットワークから FTP サーバへのアクセスを制限する(ASA デバイス)

次のアクセス リストでは、オブジェクト グループを使用して、10.200.10.0/24 ネットワークから一部の FTP サーバへのアクセスを制限しています。その他のトラフィックはすべて許可されます。

object-group network ftp_servers
network-object host 172.16.56.195
network-object 192.168.1.0 255.255.255.224
access-list ACL_IN extended deny tcp 10.200.10.0 255.255.255.0 object-group ftp_servers
access-list ACL_IN extended permit ip any any
 
 

この例では、ftp_servers という名前の 1 つのネットワーク/ホスト オブジェクトと、2 つのアクセス ルールが作成されます。

 

例 2:勤務時間中の Web アクセスを制限する(ASA デバイス)

次の例では、午前 8 時~午後 6 時の間(通常の勤務時間)の HTTP 要求を拒否しています。

time-range no-http
periodic weekdays 8:00 to 18:00
access-list 101 deny tcp any any eq www time-range no-http
 
 

この例では、no-http という名前の 1 つの時間範囲オブジェクトと、1 つのアクセス ルールが作成されます。

 

例 3:ポート番号を使用して TCP および ICMP をフィルタリングする(IOS デバイス)

次の例では、goodports という名前の拡張アクセス リストの最初の行で、1023 よりも大きい宛先ポートを持つ着信 TCP 接続を許可しています。2 行目で、ホスト 172.28.1.2 の Simple Mail Transfer Protocol(SMTP; シンプル メール転送プロトコル)ポートへの着信 TCP 接続を許可しています。最後の行では、エラー フィードバックのための着信 ICMP メッセージを許可しています。

ip access-list extended goodports
permit tcp any 172.28.0.0 0.0.255.255 gt 1023
permit tcp any host 172.28.1.2 eq 25
permit icmp any 172.28.0.0 255.255.255.255
 
 

この例では、3 つのアクセス ルールが作成されます。IOS ACL 構文で使用されているワイルドカード マスクは通常のサブネット マスクに変換されることに注意してください。Security Manager は、標準のネットワーク/ホスト サブネット マスク指定と、IOS ACL で必要なワイルドカード マスクの間で自動変換を行います。ASA/PIX/FWSM では、ACL コマンド内にサブネット マスクを使用する必要があるため、すべてのデバイスに適用可能なルールを作成することが可能になります。Security Manager によって、ルールが正しい構文に変換されます。

 

例 4:ホストを制限する標準 ACL(IOS デバイス)

次の例では、Jones に属するワークステーションがイーサネット インターフェイス 0 へのアクセスを許可され、Smith に属するワークステーションはアクセスを許可されていません。

ip access-list standard workstations
remark Permit only Jones workstation through
permit 172.16.2.88
remark Do not allow Smith workstation through
deny 172.16.3.13
 
 

この例では、(任意の宛先に対して)標準ルールを拡張ルールに変換する 2 つのルールが作成されます。備考は、[description] フィールドに保存されます。

 

コマンド言語形式での ACL のその他の例については、次の URL を参照してください。

IOS デバイス: http://www.cisco.com/en/US/docs/ios/sec_data_plane/configuration/guide/sec_create_IP_apply.html#wp1027258

ASA デバイス: http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/acl_extended.html

展開中のアクセス ルールの自動最適化

特定のデバイスまたはすべてのデバイスに展開するときに、アクセス ルール ポリシーから作成された Access Control List(ACL; アクセス コントロール リスト)が最適化されるようにシステムを設定できます。この最適化の影響を受けるのは、展開されたポリシーだけであり、アクセス ルール ポリシーは変更されません。


) この項で説明した最適化は、IPv4 ACL のみに適用されます。ユーザ指定(明示的に定義されたユーザ名、ユーザ グループト、またはアイデンティティ ユーザ グループ オブジェクト)が含まれるルールは最適化に含まれません。最適化は IPv6 ACL では機能しません。


最適化によって、冗長性と競合がなくなり、複数のエントリ(ACE)を単一エントリに結合できます。エントリの順序は変更されても、ポリシーの意味は保持されます。つまり、最適化された ACL は、最適化されていないフォームのときと同じパケット セットを受け入れるか、または拒否します。次に、変更が行われる基本的なケースを示します。

非効率的な ACE:あるエントリが別のエントリのサブセットになっているか、または別のエントリと同一である場合、非効率的な ACE が削除されます。次の例を考えてみます。

access-list acl_mdc_inside_access deny ip host 10.2.1.1 any
access-list acl_mdc_inside_access deny ip 10.2.1.0 255.255.255.0 any
 
 

最初の ACE は実際には 2 番めの ACE のサブセットです。ACL の最適化では、2 番めのエントリだけが展開されます。

スーパーセット ACE:あるエントリが別のエントリのスーパーセットであり、ルールの順序が重要ではない場合、冗長なルールが削除されます。次の例を考えてみます。

access-list acl_mdc_inside_access permit tcp any any range 110 120
access-list acl_mdc_inside_access deny tcp any any range 115
 
 

2 番めの ACE がヒットすることはありません。ACL の最適化により 2 番めの ACE が削除され、最初の ACE だけが展開されます。

隣接する ACE:2 つのエントリがよく似ているため、1 つのエントリで同じジョブを実行できる場合。各ルールにヒットするパケットが変更されるような介入ルールは存在できません。次の例を考えてみます。

access-list myacl permit ip 1.1.1.0 255.255.255.128 any
access-list myacl permit ip 1.1.1.128 255.255.255.128 any
 
 

2 つの ACE がマージされて 1 つの ACE になります(access-list myacl permit ip 1.1.1.0 255.255.255.0 any)。

ACL の展開最適化を設定することにより、作成される ACL が小さくなり、効率も高くなります。これにより、拡張不可能な制約付きのメモリ(FWSM など)を搭載するデバイスでのパフォーマンスを改善し、これを複数の仮想コンテキスト間で共有できます。

ただし、ACL の展開最適化の設定にはデメリットもあります。

最適化を行うと、アクセス ルールに対して通常展開される内容が変更されるため、これらのルールを実際に展開されている ACE と相互に関連付けることが困難になります。この場合、ヒット カウント ツールの結果が使用できなくなることがあり、Cisco Security Monitoring, Analysis and Response System アプリケーションでイベントを相互に関連付けることが非常に困難になります。これらのツールを使用してアクセス ルールをモニタすることが必要な場合は、最適化をイネーブルにしないでください。詳細については、「ヒット カウント レポートの生成」および「アクセス ルールの CS-MARS イベントの表示」を参照してください。

最適化を行っても、アクセス ルール ポリシー内の本質的な問題は解決されません。通常は、分析ツールを使用して冗長性と競合を事前に解決することを推奨します(「分析レポートの生成」を参照)。また、展開の前に、ルール結合ツールを使用して、アクセス ルール ポリシー内のルールを最適化することもできます(「ルールの結合」を参照)。

ACL の展開最適化を設定することにした場合は、メモリ制約のあるデバイスに対してだけイネーブルにすることを検討してください。


ステップ 1 Security Manager サーバ上の Windows にログインします。

ステップ 2 NotePad などのテキスト エディタを使用して、 C:¥Program Files¥CSCOpx¥MDC¥athena¥config¥csm.properties ファイルを開きます。最適化のセクションを見つけて、指示を確認します。

すべてのデバイスに対して完全な最適化を有効にするには、次のように入力します。

OPTIMIZE.*=full

特定のデバイスに対して完全な最適化を有効にするには、アスタリスクを、そのデバイスに対する Security Manager の表示名で置き換えます。たとえば、表示名が west_coast.cisco.com であれば、次のように入力します。

OPTIMIZE.west_coast.cisco.com=full

最適化を有効にするが、ACE で使用されているオブジェクト グループを保持する場合は、キーワード全部を preserve_og で置き換えます。次に例を示します。

OPTIMIZE.west_coast.cisco.com=preserve_og

隣接するエントリをマージしない場合は、次のように入力します。

AclOptimization.doMerge=false

ステップ 3 ファイルを保存します。設定は即時に有効になり、後続のすべての展開ジョブに適用されます。

展開ジョブの最適化レポートを生成するには、[Tools] > [Security Manager Administration] > [Debug Options] から [Capture Discovery/Deployment Debugging Snapshots to File] を選択します。

展開結果には、情報メッセージとして要約された最適化結果が表示されます。これには、最適化前の最初の ACE の数と、最適化後の ACE の数が含まれます。結果は、サーバ上の C:¥Program Files¥CSCOpx¥MDC¥temp フォルダ内のファイルに保存されます。ファイル名の一部としてジョブ ID が使用されます。