Cisco Security Manager 4.2 ユーザ ガイド
ファイアウォール サービスの概要
ファイアウォール サービスの概要
発行日;2012/05/08 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ファイアウォール サービスの概要

ファイアウォール サービスの概要

ファイアウォール ルールの処理順序について

NAT がファイアウォール ルールに与える影響について

Security Manager によって保持される ACL 名

ACL 命名ルール

ポリシー間での ACL 名前競合の解決

ルール テーブルの管理

ルール テーブルの使用

ルールの追加および削除

ルールの編集

ルール テーブルの [Address] セルの追加または編集

ルール テーブルの [User] セルの追加または編集

ルール テーブルの [Services] セルの追加または編集

ルール テーブルの [Interfaces] セルまたは [Zones] セルの追加または編集

ルール テーブルの [Category] セルの編集

ルール テーブルの [Description] セルの編集

ルール テーブルのセルの内容の表示

ルール テーブルの項目の検索と置換

[Find and Replace] ダイアログボックス

ルールの移動とルール順序の重要性

ルールのイネーブル化とディセーブル化

セクションを使用したルール テーブルの編成

[Add Rule Section]/[Edit Rule Section] ダイアログボックス

ルールの結合

[Combine Rules Selection Summary] ダイアログボックス

Rule Combiner 結果の解釈

Rule Combiner 結果の例

ポリシー クエリー レポートの生成

[Querying Device or Policy] ダイアログボックス

ポリシー クエリー結果の解釈

[Policy Query Result] の例

ファイアウォール ルールの展開時のネットワーク オブジェクト グループの最適化

検出中のオブジェクト グループの展開

ファイアウォール サービスの概要

Firewall ポリシー フォルダ(デバイス ビューまたはポリシー ビュー)には、ファイアウォールに関連するポリシーが含まれています。これらのポリシーは、Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)、PIX ファイアウォール(PIX)、Catalyst Firewall Services Module(FWSM; ファイアウォール サービス モジュール)、および Cisco IOS ソフトウェアを実行しているセキュリティ ルータに展開できます。これらのポリシーを使用すると、デバイスを介したネットワーク アクセスを制御できます。

この章の構成は、次のとおりです。

「ファイアウォール サービスの概要」

「ルール テーブルの管理」

ファイアウォール サービスの概要

Firewall ポリシー フォルダ(デバイス ビューまたはポリシー ビュー)には、ファイアウォールに関連するポリシーが含まれています。これらのポリシーは、Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)、PIX ファイアウォール(PIX)、Catalyst Firewall Services Module(FWSM; ファイアウォール サービス モジュール)、および Cisco IOS ソフトウェアを実行しているセキュリティ ルータ(Aggregation Services Router(ASR; アグリゲーション サービス ルータ)や Integrated Services Router(ISR; サービス統合ルータなど))に展開できます。

これらのポリシーは、デバイスへのアクセス(つまり、デバイスの設定を変更したり show コマンドを使用したりするためにデバイスにログインすること)ではなく、デバイスを介したアクセスの制御に焦点を置いたものです。次に、使用可能なファイアウォール ポリシーについて概説し、詳細な情報を示す項へのポインタを示します。

AAA ルール:AAA ファイアウォールまたは認証プロキシのルールです。これにより、ユーザが(ユーザ名とパスワードを使用した)認証および認可(任意)を受けて初めて、デバイスを介したネットワーク接続がユーザに許可されるように設定できます。また、アカウンティング、セキュリティ、またはリソース割り当て情報を作成することもできます。詳細については、「AAA ルールについて」を参照してください。

アクセル ルール、IPv6 アクセル ルール:従来のインターフェイスベースの拡張アクセス コントロール ルールです。IPv4 と IPv6 のトラフィックには個別のポリシーがあります。パケットは、送信元アドレス、宛先アドレス、送信元インターフェイス、およびサービスに基づいて許可または拒否されます。これらのルールは、in 方向と out 方向のどちらにも適用できます。詳細については、「アクセス ルールについて」を参照してください。

インスペクション ルール:従来的な Context-Based Access Control(CBAC; コンテキストベース アクセス コントロール)であり、アプリケーション レイヤ プロトコル セッション情報に基づいて不正な TCP/UDP パケットをフィルタで除外し、選択したサービスの戻りトラフィックをイネーブルにします。詳細については、「インスペクション ルールについて」を参照してください。

Web フィルタ ルール:要求された URL に基づいて Web トラフィックをフィルタリングするタイプのインスペクション ルールです。これにより、望ましくない Web サイトへの接続を阻止できます。詳細については、「Web フィルタ ルールについて」を参照してください。

ゾーンベースのファイアウォール ルール:インターフェイスではなくゾーンに基づいてルールを設定する場合、これらのルールで、IOS デバイス上のアクセス ルール、インスペクション ルール、および Web フィルタ ルールを置き換えます。ゾーンとは、同じセキュリティ ロールを実行する定義済みのインターフェイス グループのことです(Inside や Outside など)。ゾーン ルールを使用すると、他のタイプのルールを使用するよりもコンパクトなデバイス設定を作成できます。詳細については、「ゾーンベースのファイアウォール ルールについて」を参照してください。

ボットネット トラフィック フィルタ ルール:これらのルールを使用すると、既知の不正なアドレスに送信されたボットネット トラフィックを見つけることができます。ボットネットは、無警戒なコンピュータ上に悪意のあるソフトウェアをインストールし、これらのコンピュータをプロキシとして使用して悪意のあるアクションを実行します。詳細については、「ファイアウォールの Botnet Traffic Filter ルールの管理」を参照してください。

トランスペアレント ルール:トランスペアレント インターフェイスまたはブリッジド インターフェイス上の非 IP のレイヤ 2 トラフィックに適用される Ethertype アクセス コントロール ルールです。詳細については、「トランスペアレント ファイアウォール ルールの設定」を参照してください。

ほとんどのファイアウォール ルール ポリシーは、ルール テーブル内で設定します。これらのテーブルを使用すると、ほとんどのセルのインライン編集、セクションを使用したルール編成、およびルールの順序変更を行うことができます。共有ルール ポリシーを作成すると、多数のデバイス(異なるオペレーティング システムを実行しているデバイスを含む)にそれを適用できます。Security Manager により適切なデバイス コマンドが自動的に作成されて、個々のデバイスの特性に基づいてポリシーが設定され、デバイスに適用されない設定はフィルタで除外されます。ルール テーブルの使用方法の詳細については、「ルール テーブルの管理」を参照してください。

また、ほとんどのファイアウォール ルール ポリシーで使用される強力な機能に、継承という考え方があります。共有ポリシーを作成するとき、デバイスにポリシーを割り当てるのではなく、デバイスにポリシーを継承させるという選択もできます。このため、一方で一連の共有ルールをすべてのデバイスに適用し、他方で固有のルールを該当のデバイスだけに適用することができます。継承の詳細については、次の項を参照してください。

「ルールの継承について」

「デバイス ビューまたは Site-to-Site VPN Manager における共有ポリシーの使用」

ここでは、ファイアウォール サービス ポリシーの概要について説明します。

「ファイアウォール ルールの処理順序について」

「NAT がファイアウォール ルールに与える影響について」

「Security Manager によって保持される ACL 名」

ファイアウォール ルールの処理順序について

ファイアウォール ルール ポリシーを設定する際は、ルールが処理される論理順序を覚えておく必要があります。たとえば、あるアクセス ルールで特定タイプのすべてのトラフィックをドロップする場合は、そのタイプのトラフィックに適用されるルールを他のファイアウォール ポリシー内に作成しても意味がありません。そのようなルールがトリガーされることはないためです。逆に、特定タイプのインスペクションまたは Web フィルタリングをトラフィックに適用する場合は、そのトラフィックがデバイスに入ることを、このアクセス ルールが最初に許可するように設定する必要があります。

ファイアウォール ルールの一般的な論理処理順序は、次のとおりです。

AAA ルール:(認可の有無に関係なく)認証が必要な場合、ユーザはテストに合格する必要があります。合格しない場合、トラフィックはドロップされます。

アクセル ルール(In 方向、IPv4 または IPv6):トラフィックはアクセス ルールをパススルーする必要があります。AAA ルールを使用する場合、ユーザのセッションに対してユーザ単位の一時的なアクセス ルールを設定できます。これらのユーザ単位のルールは、Security Manager ではなく AAA サーバで設定します。

ASA 8.3 以降のデバイスでは、グローバル アクセス ルールはインターフェイス固有のアクセス ルールのあとに処理されます。詳細については、「グローバル アクセス ルールについて」を参照してください。

次のいずれかです。

インスペクション ルール(In 方向)、Web フィルタ ルール(In 方向)、ボットネット ルール、サービス ポリシー ルール(IPS、QoS、接続):これらのすべてがトラフィックに適用されます。方向を設定できないデバイスの場合は、すべてのルールが In 方向であると見なされます。

ゾーンベースのファイアウォール ルール:IOS デバイスに対してゾーンベースのルールを設定した場合、これらのルールがインスペクション ルールと Web フィルタ ルールを置き換えます(ボットネット ルールは IOS デバイスに適用されません)。

次に、ルーティング プロトコルがトラフィックに適用されます。トラフィックをルーティングできない場合、そのトラフィックはドロップされます(ルーティング ポリシーは、各種デバイス タイプ用の Platform フォルダの中にあり、ファイアウォール ポリシーとは見なされません)。

ScanSafe Web セキュリティ ポリシー、インスペクション ルール(Out 方向)、Web フィルタ ルール(Out 方向):IOS デバイスにかぎり、ScanSafe ポリシー、または Out 方向で作成したインスペクション ルールあるいは Web フィルタ ルールが適用されるようになりました。

アクセル ルール(Out 方向、IPv4 または IPv6):最後に、トラフィックは Out 方向のアクセス ルールをパススルーする必要があります。

トランスペアレント ルールはこの概要には該当しません。トランスペアレント ルールは非 IP のレイヤ 2 トラフィックだけに適用されるため、あるトランスペアレント ルールがパケットに適用されると、その他のファイアウォール ルールは適用されません。また逆に、他のルールが適用されると、そのトランスペアレント ルールは適用されません。

関連項目

「AAA ルールについて」

「アクセス ルールについて」

「インスペクション ルールについて」

「Web フィルタ ルールについて」

「ゾーンベースのファイアウォール ルールについて」

「ファイアウォールの Botnet Traffic Filter ルールの管理」

「トランスペアレント ファイアウォール ルールの設定」

NAT がファイアウォール ルールに与える影響について

ファイアウォール ルールをサポートしているデバイスでは、Network Address Translation(NAT; ネットワーク アドレス変換)を設定することもできます。NAT は、パケット内の実際のアドレスを、宛先ネットワーク上のマップされているルーティング可能なアドレスと置き換えます。

NAT をインターフェイスで実行するように設定した場合、そのインターフェイスで同様に設定されているファイアウォール ルールで、元の(NAT 実行前の)アドレスではなく、変換されたアドレスに基づいてトラフィックが評価される必要があります(ASA 8.3+ デバイスの場合を除く)。

ASA ソフトウェア リリース 8.3 以降を実行しているデバイスでは、トラフィックを評価する際に、元の(実際の)IP アドレスが使用されます(IPSec VPN トラフィック ポリシーの場合を除く)。このため、ファイアウォール ルール、ACL ポリシー オブジェクト、または IOS、QoS、および接続ルール プラットフォーム サービス ポリシーを設定する場合は、必ず元のアドレスを使用してください。

NAT の詳細については、次の項を参照してください。

ASA、PIX、FWSM デバイス:「ネットワーク アドレス変換について」

IOS デバイス:「Cisco IOS ルータにおける NAT ポリシー」

Security Manager によって保持される ACL 名

Security Manager は、ユーザ定義の Access Control List(ACL; アクセス コントロール リスト)名を、デバイスで設定されているとおりに保持しようとします。次の場合、Security Manager は、デバイスで設定されている ACL 名を保持できます。

ACL 名が Security Manager で指定されている場合。

アクセス ルール ポリシーの場合、[Firewall] > [Settings] > [Access Control] または [Firewall] > [Settings] > [IPv6 Access Control] で ACL 名を指定できます。特定の名前を単一のインターフェイスおよび方向に対して指定できますが、その名前は、同じ ACL を使用する他のすべてのインターフェイスおよび方向に使用されます。デバイスで他のポリシーに割り当てる ACL ポリシー オブジェクトと同じ名前を使用することはできません。また、IPv4 ACL と IPv6 ACL に同じ名前を使用することはできません。

ポリシーで ACL ポリシー オブジェクトを使用する場合、そのポリシー オブジェクトの名前が ACL 名に使用されます。検出中に作成された ACL ポリシーでは、可能なかぎり、デバイスで定義されている ACL の名前が使用されます。動作は管理設定によって異なります。

[Tools] > [Security Manager Administration] > [Discovery] の順に選択して [Allow Device Override for Policy Objects] を選択すると、同じ名前で内容が異なるポリシー オブジェクトが Security Manager に存在していれば、その名前が再利用され、デバイスレベルのオーバーライドが作成されます。

そのオプションを選択しない場合は、同じ名前に番号を追加して(ACLobject_1 など)ポリシー オブジェクトが作成されます。これはデフォルトの動作です。

[Tools] > [Security Manager Administration] > [Deployment] の順に選択して表示される [Firewall Access List Names] 設定で [Reuse Existing Names] を選択した場合、ACL を生成するファイアウォール ルールに対して、デバイスで定義されている名前が再利用されます。

ACL が共有されない場合(Security Manager で ACL の内容を変更した場合も同じ)。

ACL は共有されるが、その ACL を共有する各ポリシーが Security Manager で同様には定義されていない場合。ACL の内容を変更すると、1 つの ACL が名前を保持し、その他の ACL には生成された名前が割り当てられます。


) ASA デバイス、またはバージョン 6.3(x) を実行していない PIX デバイスでは、ACL 名が NAT ポリシー スタティック ルールで使用されていて、さらにオブジェクトグループを含んでいる場合、その ACL 名は Security Manager により再利用されません。ACL は、送信元として定義されているオブジェクトグループの内容とともに展開されます。これは、デバイスでは ACL 内のすべての ACE の送信元がすべて同じである必要があるためです。


ヒント

ACL ポリシー オブジェクトの名前が、デバイスですでに定義されている ACL でも使用される名前と同じであり、既存の ACL が Security Manager でサポートされないコマンドに対応している場合は、展開エラーが発生し、別の名前を選択するよう要求されます。このエラーが発生した場合は、ポリシー オブジェクトの名前を変更します。

IOS デバイスでは、<number>_<number> という名前の ACL は無効です。Security Manager により、展開前にサフィックスが取り除かれます。つまり、同じ番号のプレフィクスを使用して IOS デバイスを複数の ACL オブジェクトに割り当てることはできません。ただし、番号付きサフィックスを持つ名前の ACL は許可されます(ACLname_1 など)。

番号付き ACL では、IOS デバイスに対する適切な番号範囲を使用する必要があります。標準 ACL は、1 ~ 99 または 1300 ~ 1999 の範囲にする必要があります。拡張 ACL は、100 ~ 199 または 2000 ~ 2699 の範囲にする必要があります。

IOS デバイスの ACL 名の開始文字をアンダースコア(_)にすることはできません。

ユーザ定義の名前を保持しないポリシーには、SSL VPN ポリシー、トランスペアレント ファイアウォール ルール、および AAA ルール(IOS デバイスの場合)があります。

ここでは、ACL 命名に関する追加情報を提供します。

「ACL 命名ルール」

「ポリシー間での ACL 名前競合の解決」

ACL 命名ルール

ACL の名前が Security Manager により生成される場合、その名前は、定義しているルールまたはプラットフォームのタイプと、それを固有にしている設定から導出されます。新しく作成された ACL には、次の表に示す命名ルールに基づいて名前が割り当てられます。


ヒント 展開中、既存の ACL を編集できない場合は、サフィックス .n(n は整数)が付加されることがあります。たとえば、acl_mdc_outside_10 という名前の ACL がすでにデバイスに存在している場合、この古い ACL を削除せずに新しい ACL を展開すると、acl_mdc_outside_10.1 という名前の新しい ACL が作成されます。

 

表 12-1 ACL 命名ルール

ポリシー タイプ
命名ルール

アクセス ACL

インバウンド:CSM_FW_ACL_InterfaceName

アウトバウンド:CSM_FW_ACL_OUT_InterfaceName

IPv6 アクセス ACL

インバウンド:CSM_IPV6_FW_ACL_InterfaceName

アウトバウンド:CSM_IPV6_FW_ACL_OUT_InterfaceName

インスペクション ルール

ASA 7.0+/PIX 7.0+:CSM_CMAP_ACL_n(n は 1 から始まる整数)。

IOS デバイスの場合、番号付き ACL。

NAT0 ACL

インバウンド:CSM_nat0_InterfaceName_in

アウトバウンド:CSM_nat0_InterfaceName

NAT ACL

インバウンド:CSM_nat_InterfaceName_poolID_in

アウトバウンド:CSM_nat_InterfaceName_poolID

(注) PIX 6.3(x) デバイスの場合、ACL 名には、add _dns(dns)、_nrseq(norandomseq)、_emb##(初期接続制限)、_tcp##(tcp の最大接続制限)、および _udp##(udp の最大接続制限)が追加されます。

NAT ポリシー スタティック変換ルール ACL

PIX 6.3(x) デバイス:

IP の場合:CSM_static_globalIP_LocalInterfaceName_globalInterfaceName

その他のプロトコルの場合:CSM_static_globalIP_LocalInterfaceName_globalInterfaceName_ protocol _globalPort

他の OS バージョンを実行しているデバイスの場合、localIP 文字列が追加されます。

IP の場合:CSM_static_localIP_globalIP_LocalInterfaceName_globalInterfaceName

その他のプロトコルの場合:CSM_static_localIP_globalIP_LocalInterfaceName_globalInterfaceName_ protocol _globalPort

AAA ACL

PIX/ASA/FWSM の場合:CSM_AAA_{AUTHO | ATHEN | ACCT}_InterfaceName _ServerGroupName

IOS デバイスの認証プロキシ:

NAC を使用しないインターフェイス:CSM_AUTH-PROXY_InterfaceName_traffic type_ACL。ここで、InterfaceName はルールが適用されるインターフェイスです。traffic type は、HTTP、Telnet、または FTP です。

同じインターフェイス上の AuthProxy および NAC:CSM_ADMISSION_ID_ACL。ここで、ID は Security Manager 内の NAC が適用されるインターフェイス ロールの内部識別子です。

Web フィルタ ルール ACL

ASA 7.0+/PIX 7.0+:デバイスはフィルタ コマンドに一致します。

IOS デバイスの場合、番号付き ACL。

ポリシー間での ACL 名前競合の解決

ACL は共有されるが、その ACL を共有するポリシーが Security Manager で同様には定義されていない場合、1 つのポリシーが ACL の元の名前を使用し、その他のポリシーは Security Manager により生成された新しい名前を使用します。元の名前を使用するポリシーを決定する際の優先順位は、次のとおりです。

アクセス リスト ACL

AAA ACL

スタティック ACL

NAT0 ACL

NAT ACL

たとえば、アクセス ACL と NAT0 ACL が同じ ACL を再利用しようとする場合は、アクセス ACL がデバイスで設定されている元の名前を使用し、NAT0 ACL は Security Manager によって名前変更されます。

ルール テーブルの管理

ここでは、多くのファイアウォール ルール、NAT、およびその他のポリシーに関連する、ルール テーブルの基本的な使用方法について説明します。

「ルール テーブルの使用」

「ルールの追加および削除」

「ルールの編集」

「ルール テーブルの項目の検索と置換」

「ルールの移動とルール順序の重要性」

「ルールのイネーブル化とディセーブル化」

「セクションを使用したルール テーブルの編成」

「ルールの結合」

「ポリシー クエリー レポートの生成」

「ファイアウォール ルールの展開時のネットワーク オブジェクト グループの最適化」

「検出中のオブジェクト グループの展開」

ルール テーブルの使用

Security Manager のルール テーブルには、ポリシーを構成するルール セット(アクセス ルールなど)が表示されます。これらのタイプのテーブルは、特定のポリシー グループだけで使用されますが、多くのファイアウォール サービス ルール ポリシーで使用されます。ポリシー内のルールの順序が重要な場合は、ルール テーブルが使用されます。

図 12-1に、ルール テーブル内の機能について説明します。

図 12-1 ルール テーブルの例

 

次に、ルール テーブルの機能について、番号付きのコールアウトで説明します。

デバイスおよびポリシーの識別バナー(1) :このバナーに、ポリシーの共有および継承の情報が示され、いくつかのアクションを実行できることが示されます。詳細については、「ポリシー バナーの使用」を参照してください。

テーブル フィルタ(2) :大きなテーブル内からルールを簡単に見つけるために、ルールをフィルタリングできます。詳細については、「テーブルのフィルタリング」を参照してください。

テーブルのカラム見出し(3) :カラムによるソート、カラムの移動、カラムの表示/非表示の切り替えを実行できます。詳細については、「テーブル カラムおよびカラム見出しの機能」を参照してください。

ルール(4)、作業領域(6) :テーブルの本体に、ポリシーに含まれているルールが表示されます。

ユーザ定義のセクション(5) :便宜上、ルールをセクション単位にグループ化できます。詳細については、「セクションを使用したルール テーブルの編成」を参照してください。

[Tools] メニュー(7) :ほとんどのルール テーブルには、ポリシーの操作に使用できる追加ツールのリストが含まれる [Tools] ボタンがあります。

テーブル ボタン(8) :次の操作を実行する場合は、テーブルの下にあるボタンを使用します。

ルール内の項目の検索と置換(双眼鏡アイコンが付いたボタン):詳細については、「ルール テーブルの項目の検索と置換」を参照してください。

ルールの移動と並べ替え(上矢印および下矢印):詳細については、「ルールの移動とルール順序の重要性」を参照してください。

テーブルにルールを追加(+ アイコン):詳細については、「ルールの追加および削除」を参照してください。

選択したルールの編集(鉛筆アイコン):詳細については、「ルールの編集」を参照してください。

選択したルールの削除(ゴミ箱アイコン):詳細については、「ルールの追加および削除」を参照してください。

ルールの追加および削除

ルール テーブルを使用するポリシーを操作するとき、ファイアウォール ルール ポリシーの多くと同様に、いくつかの方法を使用してポリシーにルールを追加できます。

[Add Row] ボタン(+ アイコン):テーブルの下の [Add Row] ボタンをクリックすることが、新しいルールを追加するための標準的な方法です。このボタンをクリックすると、そのポリシー タイプに固有のルールを追加するためのダイアログボックスが開きます。行またはセクション見出しを選択すると、選択した行の後ろに新しいルールが追加されます。選択しない場合、新しいルールは適切なスコープ(通常はローカル スコープ)の末尾に追加されます。

行を右クリックして [Add Row] を選択:行を選択して [Add Row] ボタンをクリックするのと同じです。

コピー アンド ペースト:既存のルールと類似する新しいルールを作成するには、そのルールを選択し、右クリックして [Copy] を選択します。次に、ルールを挿入する位置の前の行を選択し、右クリックして [Paste] を選択します。これにより複製されたルールが作成されるので、それを選択して編集できます(「ルールの編集」を参照)。

カット アンド ペースト:カット アンド ペーストはコピー アンド ペーストと似ていますが、[Cut] コマンドを選択すると既存のルールは削除されます。カット アンド ペーストの代わりに、ルールを移動することを考慮してください(「ルールの移動とルール順序の重要性」を参照)。

ルールが不要になったときは、そのルールを選択して [Delete Row] ボタン(ゴミ箱アイコン)をクリックすると、そのルールを削除できます。


ヒント ルールを削除する代わりに、まずルールをディセーブルにすることを考慮してください。ルールをディセーブルにすると、(設定を再展開したときに)そのルールはデバイスから削除されますが、Security Manager から削除されることはありません。あとで結局そのルールが必要であるとわかった場合は、ルールをイネーブルにして、設定を再展開するだけで済みます。ルールを削除した場合は、作成し直す必要があります(元に戻す機能はありません)。このため、ルールを削除するポリシーを進めるのは、ルールを一定時間ディセーブルにしてからにしてください。詳細については、「ルールのイネーブル化とディセーブル化」を参照してください。

関連項目

「ルール テーブルの使用」

「セクションを使用したルール テーブルの編成」

ルールの編集

ルール テーブルを使用するルール ポリシー内の既存のルールを編集するには、ルールを選択して [Edit Row] ボタンをクリックするか、右クリックして [Edit Row] を選択します。これにより、選択したルールのすべての側面を編集できます。


ヒント ローカル デバイス ルール ポリシーからの継承ルールについては、いずれの側面も編集できません。継承ルールはポリシー ビューで編集します。

ほとんどのルール テーブルでは、ルール全部を編集せずに、右クリック メニューに表示されるコマンドを使用して特定の属性やテーブル セルを編集することもできます。

セルを編集できるかどうかは、その内容を編集することが適切かどうかによって制限されます。たとえば、インスペクション ルールには、ルールの設定に基づいて多くの制限があります。

[All Interfaces] にルールを適用した場合、送信元アドレス、宛先アドレス、インターフェイス、またはルールの方向はいずれも編集できません。

(送信元と宛先の間のインスペクションを制限するためのオプションを選択せずに)トラフィック一致基準に [Default Inspection Traffic] を選択した場合、または [Custom Destination Ports] を選択した場合、送信元アドレスや宛先アドレスは編集できません。

[Destination Address and Port (IOS)] を選択した場合、送信元アドレスは編集できません。

次のセルレベル コマンドが使用可能ですが、ルール テーブルを使用するすべてのポリシーで、複数の行の編集機能がサポートされているわけではありません。

[Add <Attribute Type>]:複数の行を選択して、[Source]、[User]、[Destination]、[Services]、または [Interface] セルを右クリックすると、[Add] コマンドを選択して、選択したセル内の既存のデータにエントリを追加できます。[Add] コマンドの完全な名前には、属性の名前が含まれます([Add Source] など)。

[Edit <Attribute Type>]:ほとんどの属性で、内容を編集できます。編集すると、セルの内容が置き換わります。単一のセルを編集することも、複数の行を選択して、すべての行で同じタイプのセルの内容を一度に編集することもできます。[Edit] コマンドの完全な名前には、属性の名前が含まれます([Edit Interfaces] など)。

[Edit <Entry>]:[Source]、[User]、[Destination]、[Services]、または [Interface] を編集するときに、セル内のエントリを選択し、そのエントリだけを編集できる場合もあります。たとえば、[Sources] セルに 3 つのネットワーク/ホスト オブジェクトと 1 つの IP アドレスが含まれる場合、そのいずれかを選択してエントリを編集できます。[Edit] コマンドには、エントリの名前が含まれます([Edit HostObject] など)。

[Remove <Entry>]:[Source]、[User]、[Destination]、[Services]、または [Interface] を編集するときに、セル内のエントリを選択し、そのエントリを削除できる場合もあります。セル内の最後のエントリは削除できません。削除するとルールが無効になります。[Remove] コマンドには、エントリの名前が含まれます([Remove IP] など)。

[Create <Object Type> Object from Cell Contents]:[Source]、[User]、[Destination]、および [Services] セルで、[Create] コマンドを選択して適切なタイプのポリシー オブジェクトを作成できます。また、セル内のエントリを選択して、選択した項目だけからポリシー オブジェクトを作成することもできます。[Create] コマンドには、作成できるポリシー オブジェクト タイプ、およびオブジェクトの送信元である項目の名前(セル内のすべての要素のセル コンテンツ、または選択したセルのエントリの名前)が含まれます。ネットワーク/ホスト オブジェクトを作成すると、必ずネットワーク/ホスト グループ オブジェクトを作成することになります。

[Show <Attribute Type> Contents; Show <Entry> Contents]:[Show] コマンドを使用すると、セル内に定義されている実際のデータを参照できます。結果は、現在のビューによって異なります。

デバイス ビュー、マップ ビュー、またはインポート ルール:特定のデバイスに対してルールが適用される実際の IP アドレス、Fully-Qualified Domain Name(FQDN; 完全修飾ドメイン名)、サービス、またはインターフェイスが表示されます。たとえば、ルールでネットワーク/ホスト オブジェクトが使用されている場合は、それらのオブジェクトによって定義されている特定の IP アドレスまたは FQDN が表示されます。ルールでインターフェイス オブジェクトが使用されている場合は、オブジェクトによって識別される、デバイスに定義されている特定のインターフェイスが表示されます(ある場合)。

ネットワーク/ホスト オブジェクトの IP アドレスは、IP アドレスに基づいて昇順にソートされ、その後サブネット マスクに基づいて降順にソートされます。

サービス オブジェクトは、プロトコル、送信元ポート、および宛先ポートに基づいてソートされます。

インターフェイス オブジェクトは、アルファベット順に表示されます。インターフェイスがインターフェイス オブジェクト内のパターンと一致するために選択されている場合は、そのパターンが最初に表示され、そのあとに一致するインターフェイスがカッコで囲まれて表示されます。たとえば、「* (Ethernet1)」は、デバイス上の Ethernet1 インターフェイスが * パターンと一致(すべてのインターフェイスと一致)しているために選択されています。

ポリシー ビュー:ポリシー オブジェクトに定義されているパターンとポリシーに定義されているエントリが表示されます。エントリはアルファベット順にソートされ、数字や特殊文字を先頭に含むエントリが先頭に表示されます。

関連項目

「ルール テーブルの使用」

「ルールの追加および削除」

「ルールの移動とルール順序の重要性」

「ルールのイネーブル化とディセーブル化」

「セクションを使用したルール テーブルの編成」

ルール テーブルの [Address] セルの追加または編集

[Add Sources or Destinations]/[Edit Sources or Destinations] ダイアログボックス、または NAT テーブルの [Address] ダイアログボックスを使用して、送信元または宛先を含むルール テーブル内の送信元エントリまたは宛先エントリを編集します。ファイアウォール ルールのセルの編集に関する詳細については、「ルールの編集」を参照してください。

次のアドレス タイプを自由に組み合わせて入力し、トラフィックの送信元または宛先を定義できます。ポリシーのタイプによって、IPv4 または IPv6 のいずれのアドレスが必要であるかが決まります。アドレス タイプを混在させることはできません。項目をカンマで区切って複数の値を入力できます。詳細については、「ポリシー定義中の IP アドレスの指定」を参照してください。

ネットワーク/ホスト オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します。選択リストから新しいオブジェクトを作成することもできます。


) Fully-Qualified Domain Name(FQDN; 完全修飾ドメイン名)を指定するには、FQDN ネットワーク/ホスト オブジェクトまたは FQDN オブジェクトを含むグループ オブジェクトを使用する必要があります。FQDN を直接入力することはできません。すべてのポリシー タイプで FQDN が許可されるわけではありません。ポリシーで FQDN が使用できない場合は、FQDN オブジェクトが含まれるオブジェクトは指定できません。


ホスト IP アドレス(10.10.10.100(IPv4)または 2001:DB8::200C:417A(IPv6)など)。

IPv4 ネットワーク アドレスとサブネット マスク。形式は 10.10.10.0/24 または 10.10.10.0/255.255.255.0。

IPv6 ネットワーク アドレスとプレフィクス長。形式は、2001:DB8::/32。

IP アドレスの範囲(10.10.10.100-10.10.10.200(IPv4)または 2001:DB8::1-2001:DB8::100(IPv6)など)。

(IPv4 のみ)10.10.0.10/255.255.0.255 形式の IP アドレスのパターン。この場合のマスクは不連続なビット マスクです(「連続および不連続ネットワーク マスク(IPv4 アドレスに対応)」を参照)。

インターフェイス ロール オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します(オブジェクト タイプとして [Interface Role] を選択する必要があります)。インターフェイス ロールを使用する場合は、選択したインターフェイスの IPv4 または IPv6 のアドレスを指定した場合と同様にルールが動作します。デバイスに割り当てられる IP アドレスを把握できないため、DHCP を経由してアドレスを取得するインターフェイスの場合に有効です。詳細については、「インターフェイス ロール オブジェクトについて」を参照してください。

インターフェイス ロールを送信元として選択した場合、ダイアログボックスにタブが表示され、ホストまたはネットワークとインターフェイス ロールが区別されます。

ナビゲーション パス

送信元、宛先、またはその他のアドレス セルを含むルール ポリシー内で、次のいずれかを実行します。

ルール テーブル内のアドレス セルを右クリックし、[Edit Sources] または [Edit Destinations] あるいは類似のコマンドを選択します。選択したセルの内容が入力したデータに置き換えられます。

アドレス セル内のエントリを選択し、[Edit <Entry>] を選択します。選択したエントリが入力したデータに置き換えられます。

複数のルールを選択し、[Sources] または [Destination] セルを右クリックして [Add Sources] または [Add Destinations] を選択します。セルにすでに入力されているデータに、入力したデータが付加されます。

ルール テーブルの [User] セルの追加または編集


ヒント [User] セルは ASA 8.4(2+) のみに適用されます。このセルに設定される内容はすべて他のデバイスまたは OS バージョンで無視されます。

[Add Users] または [Edit Users] ダイアログ ボックスを使用して、ユーザ ID グループが含まれるルール テーブルで、ユーザ エントリを編集できます。ファイアウォール ルールのセルの編集に関する詳細については、「ルールの編集」を参照してください。

Active Directory(AD)ユーザまたはユーザ グループ名に基づいたトラフィックを識別するために、以下を任意に組み合わせて入力できます。アイデンティティ ユーザ グループを設定した場合、これらは送信元トラフィックのみに適用されます。ルールに一致するトラフィックの場合、送信元アドレスとアイデンティティ ユーザ グループの両方が一致する必要があります。つまり、ルールは、宛先に向けられた際に送信元フィールドに定義された特定のネットワークまたはホスト上のユーザから送信されたトラフィックに適用されます。詳細については、「アイデンティティ ベースのファイアウォール ルールの設定」を参照してください。

送信元アドレスに関係なくルールをユーザに適用するには、送信元セルに [any] を指定してください。

項目をカンマで区切って複数の値を入力できます。サポートされるフォーマットは次のとおりです。

アイデンティティ ユーザ グループ オブジェクト

個別のユーザ:NETBIOS_DOMAIN¥user

ユーザ グループ(¥ を二重にします):NETBIOS_DOMAIN¥¥user_group

[Select] をクリックしてリストからオブジェクト、ユーザ、またはユーザ グループを選択するか、新しいオブジェクトを作成します。詳細については、「ポリシーでのアイデンティティ ユーザの選択」および「アイデンティティ ユーザ グループ オブジェクトの作成」を参照してください。

ナビゲーション パス

[User] セルを含むルール ポリシー内で、次のいずれかを実行します。

ルール テーブル内の [User] セルを右クリックし、[Edit Users] を選択します。選択したセルの内容が入力したデータに置き換えられます。

[User] セル内のエントリを選択し、[Edit <Entry>] を選択します。選択したエントリが入力したデータに置き換えられます。

複数のルールを選択し、[User] セルを右クリックして [Add User] を選択します。セルにすでに入力されているデータに、入力したデータが付加されます。

ルール テーブルの [Services] セルの追加または編集

[Edit Services] ダイアログボックスを使用して、対象となるトラフィックのタイプを定義するサービスを編集します。項目をカンマで区切って複数の値を入力できます。

サービス オブジェクトおよびサービス タイプの任意の組み合わせ(通常はプロトコルとポートの組み合わせ)を入力できます。サービスを入力する場合は、有効な値の入力を求められます。リストから値を選択して、Enter または Tab を押します。また、[Select] をクリックして、リストからサービスを選択するか、新しいサービスを作成することもできます。

サービスを指定する方法の詳細については、「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。

ファイアウォール ルールのセルの編集に関する詳細については、「ルールの編集」を参照してください。

ナビゲーション パス

サービスを含むルール ポリシー内で、次のいずれかを実行します。

ルール テーブル内の [Services] セルを右クリックし、[Edit Services] を選択します。選択したセルの内容が入力したデータに置き換えられます。

[Services] セル内のエントリを選択し、[Edit <Entry>] を選択します。選択したエントリが入力したデータに置き換えられます。

複数のルールを選択し、[Services] セルを右クリックして [Add Services] を選択します。セルにすでに入力されているデータに、入力したデータが付加されます。


ヒント インスペクション ルールでは、[Traffic Match] カラムにサービスが表示されます。ただし、サービスが表示されるのは、トラフィックが送信元、宛先、およびポートと一致するルールの場合だけです。

ルール テーブルの [Interfaces] セルまたは [Zones] セルの追加または編集

[Add or Edit Interfaces] または [Add or Edit Zones] ダイアログボックスを使用して、ルールが定義されているインターフェイスまたはゾーンを編集します。ファイアウォール ルールのセルの編集に関する詳細については、「ルールの編集」を参照してください。

インターフェイスを編集する際は、特定のインターフェイス名またはインターフェイス ロールを自由に組み合わせて入力できます。項目をカンマで区切って複数の値を入力できます。名前を入力します。または、[Select] をクリックしてリストからインターフェイスおよびロールを選択するか、新しいロールを作成します。インターフェイスをリストに表示するには、あらかじめ定義しておく必要があります。

ポリシーをデバイスに展開すると、インターフェイス ロールが実際のインターフェイス名で置き換えられます。これは、そのデバイスで実際に設定されているインターフェイスだけです。ルールによって実際に選択されるインターフェイスを表示するには、[Interfaces] セルを右クリックして [Show Interfaces] を選択します。

ゾーンの編集時には、インターフェイス ロールを 1 つだけ選択できます。個々のインターフェイスは選択できません。ゾーン ベースのファイアウォール ルールにゾーンを作成するには、インターフェイス ロールを使用します。ゾーンに属するインターフェイスを表示するには、[Zones] セルを右クリックして [Show Zone Contents] を選択します。

インターフェイス ロールおよびインターフェイスの選択に関する詳細については、次の項を参照してください。

「インターフェイス ロール オブジェクトについて」

「ポリシー定義中のインターフェイスの指定」

ナビゲーション パス

インターフェイスまたはゾーンを含むルール ポリシー内で、次のいずれかを実行します。

ルール テーブル内の [Interfaces] または [Zones] セルを右クリックし、[Edit Interfaces]、[Edit Zones]、または類似のコマンドを選択します。選択したセルの内容が入力したデータに置き換えられます。

[Interfaces] セル内のエントリを選択し、[Edit <Entry>] を選択します。選択したエントリが入力したデータに置き換えられます。ゾーン内のエントリを編集することはできません。

複数のルールを選択し、[Interfaces] セルを右クリックして [Add Interfaces] を選択します。セルにすでに入力されているデータに、入力したデータが付加されます。エントリをゾーンに追加することはできません。

ルール テーブルの [Category] セルの編集

[Edit Category] ダイアログボックスを使用して、ルールに割り当てられているカテゴリを変更します。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。ファイアウォール ルールのセルの編集に関する詳細については、「ルールの編集」を参照してください。

ナビゲーション パス

カテゴリを含むルール ポリシー内の [Category] セルを右クリックし、[Edit Category] を選択します。

ルール テーブルの [Description] セルの編集

[Edit Description] ダイアログボックスを使用して、ルールの説明を編集します。説明を使用すると、ルールの目的を明確にできます。最大 1024 文字です。ルールのセルの編集に関する詳細については、「ルールの編集」を参照してください。

ナビゲーション パス

説明を含むルール ポリシー内の [Description] セルを右クリックし、[Edit Description] を選択します。

ルール テーブルのセルの内容の表示

[Show Contents] ダイアログボックスを使用して、送信元、ユーザ、宛先、サービス、インターフェイス、またはゾーンのセルや、それらの要素を定義するアドレス、アイデンティティ ユーザ グループ、インターフェイス、サービス、またはポリシー オブジェクトを含むルール テーブル内のその他のセルで定義されている実際の変換済みデータを表示します。ダイアログボックスのタイトルは、調べるセルまたはエントリを示しています。この情報を使用して、デバイスに展開されたルールが実際に適用されるアドレス、サービス、またはインターフェイスを判別します。セルの内容の編集または表示に関する詳細については、「ルールの編集」を参照してください。

ダイアログボックスに表示される内容は、現在のビューによって異なります。

デバイス ビュー、マップ ビュー:特定のデバイスに対してルールが適用される実際の IP アドレス、ユーザ、サービス、またはインターフェイスが表示されます。たとえば、ルールでネットワーク/ホスト オブジェクトが使用されている場合は、それらのオブジェクトによって定義されている特定の IP アドレスまたは Fully-Qualified Domain Name(FQDN; 完全修飾ドメイン名)が表示されます。ルールでインターフェイス オブジェクトが使用されている場合は、オブジェクトによって識別される、デバイスに定義されている特定のインターフェイスが表示されます(ある場合)。

ネットワーク/ホスト オブジェクトの IP アドレスは、IP アドレスに基づいて昇順にソートされ、その後サブネット マスクに基づいて降順にソートされます。

サービス オブジェクトは、プロトコル、送信元ポート、および宛先ポートに基づいてソートされます。

インターフェイス オブジェクトは、アルファベット順に表示されます。インターフェイスがインターフェイス オブジェクト内のパターンと一致するために選択されている場合は、そのパターンが最初に表示され、そのあとに一致するインターフェイスがカッコで囲まれて表示されます。たとえば、「* (Ethernet1)」は、デバイス上の Ethernet1 インターフェイスが * パターンと一致(すべてのインターフェイスと一致)しているために選択されています。

ポリシー ビュー:ポリシー オブジェクトに定義されているパターンとポリシーに定義されているエントリが表示されます。エントリはアルファベット順にソートされ、数字や特殊文字を先頭に含むエントリが先頭に表示されます。

ナビゲーション パス

送信元、ユーザ、宛先、サービス、インターフェイス、またはゾーンや、ネットワーク、アイデンティティ ユーザ グループ、インターフェイス、またはサービスを指定するその他のフィールドを含むルール ポリシー内で、次のいずれかを実行します。また、ルールを操作する(ルールのインポートなど)ツールを使用する際にも、内容を表示できます。

これらのセルの 1 つを右クリックし、[Show <Attribute Type> Contents](attribute type はセル名)を選択します。データには、セル内に定義されているすべてのエントリが含まれます。

これらのセルの 1 つのエントリを右クリックし、[Show <Entry> Contents] を選択します。コマンド名には、選択したエントリの名前が含まれます。表示されるデータは、選択したエントリだけに対応するデータです。


ヒント インスペクション ルールでは、[Traffic Match] カラムにサービスが表示されます。ただし、サービスが表示されるのは、トラフィックが送信元、宛先、およびポートと一致するルールの場合だけです。

ルール テーブルの項目の検索と置換

ルール テーブルを使用するポリシー内で、いくつかのセルの項目を検索し、選択的に置換できます。検索できるセルは、ポリシーによって異なります。パターン マッチングに基づいて項目を検索する場合、ワイルドカード文字を使用できます。たとえば、関連するいくつかのネットワークを、それらに定義されている新しいネットワーク/ホスト ポリシー オブジェクトで置き換えることができます。

検索と置換を使用するには、ルール テーブルを使用するポリシーの一番下にある [Find and Replace](双眼鏡アイコン)ボタンをクリックして、「[Find and Replace] ダイアログボックス」を開きます。Firewall フォルダでは、これに AAA ルール、アクセル ルール、IPv6 アクセル ルール、インスペクション ルール、ゾーン ベースのファイアウォール ルール、および Web フィルタ ルール(ASA/PIX/FWSM デバイスのみ)が含まれます。ASA/PIX/FWSM デバイスでは、NAT 変換ルール ポリシー(ただし、コンテキストと動作モードのすべての組み合わせに当てはまるとはかぎりません)と IOS、QoS、および接続ルールのプラットフォーム サービス ポリシーも含まれます。

項目を検索するときは、項目のタイプおよび検索するカラムを選択し、検索する文字列を入力します。また任意で、置換に使用する文字列を入力します。次の項目タイプを検索および置換できます。

[Network]、[IPv6 Network]:ネットワーク/ホスト オブジェクト名またはホストやネットワークの IP アドレス。

[User]:Active Directory(AD)ユーザ名(NetBIOS_DOMAIN¥user)、ユーザ グループ名(NetBIOS_DOMAIN¥¥user_group)、またはアイデンティティ ユーザ グループ オブジェクト名。

[Service]:サービス オブジェクト名またはプロトコルとポート。たとえば、TCP/80。検索は意味ではなく構文によるものです。つまり、TCP/80 を検索し、ルールで HTTP が使用されている場合、検索結果には TCP/80 は含まれません。

[Interface Role]:インターフェイス名またはインターフェイス ロール オブジェクト名。


) アクセス ルールでは、グローバル インターフェイス名を使用してグローバル ルールを検索できます。ただし、グローバル ルールとインターフェイス固有のルールを変換する方法はありません。グローバル ルールはグローバル インターフェイス名を使用して検索できますが、インターフェイス名を「Global」という名前で置換しようとすると、実際には Global という名前のポリシー オブジェクトを使用する、インターフェイス固有のアクセス ルールが作成されます。


[Text]:[Description] フィールドのテキスト文字列。

次に、検索と置換に関連する操作の例をいくつか示します。

10.100.0.0/16 の範囲内のすべてのネットワークに対して network10.100 という名前の新しいネットワーク/ホスト オブジェクトを作成すると、すべての従属ネットワーク指定を検索および置換できます。たとえば、^10.100* を検索すると、10.100.10.0/24 のようなアドレスすべてを検索できます。[Find Whole Words Only] および [Allow Wildcard] オプションを選択して、置換文字列として「network10.100」と入力します。[Find Whole Words Only] を選択したため、置換される文字列は、10.100 の部分だけでなく 10.100.10.0/24 文字列全体です。

(ネットワーク/ホスト オブジェクトの代わりに)IP アドレスを使用するすべてのルールを検索する場合は、*.*.*.* を検索すると、すべてのホストまたはネットワーク IP アドレスが検索されます。次に、[Find and Replace] ダイアログボックスが開いている間に、選択的にセルを編集できます。

名前に「side」が含まれるすべてのインターフェイス ロール オブジェクト(inside や outside など)を、External という名前のインターフェイス ロール オブジェクトで置換する場合は、[Find Whole Words Only] オプションと [Allow Wildcard] オプションを選択して *side を検索し、[Replace] フィールドに External を入力します。

関連項目

「ルールの編集」

[Find and Replace] ダイアログボックス

[Find and Replace] ダイアログボックスを使用して、ルール テーブルのセル内の項目を検索し、任意で置換します。検索できる項目のタイプは、表示されているポリシーによって異なります。

ナビゲーション パス

ルール テーブルを使用するポリシーの一番下にある [Find and Replace](双眼鏡アイコン)ボタンをクリックします。Firewall フォルダでは、これに AAA ルール、アクセル ルール、IPv6 アクセル ルール、インスペクション ルール、ゾーン ベースのファイアウォール ルール、および Web フィルタ ルール(ASA/PIX/FWSM デバイスのみ)が含まれます。ASA/PIX/FWSM デバイスでは、NAT 変換ルール ポリシー(ただし、コンテキストと動作モードのすべての組み合わせに当てはまるとはかぎりません)と IOS、QoS、および接続ルールのプラットフォーム サービス ポリシーも含まれます。

関連項目

「ルール テーブルの項目の検索と置換」

「ルールの編集」

フィールド リファレンス

 

表 12-2 [Find and Replace] ページ

要素
説明

Type

検索する項目のタイプ。タイプを選択し、検索するカラムを選択します。[All Columns] を選択すると、検索されたカラムは、[All Columns] 項目とともに一覧表示されます(検索では、テーブル内のすべてのカラムが考慮されるわけではありません)。

[Network]、[IPv6 Network]:ネットワーク/ホスト オブジェクト名またはホストやネットワークの IP アドレス。ポリシーのタイプによって、そのアドレスまたはオブジェクトが IPv4 アドレスまたは IPv6 アドレス用であるかが決まります。

[User]:Active Directory(AD)ユーザ名(NetBIOS_DOMAIN¥user)、ユーザ グループ名(NetBIOS_DOMAIN¥¥user_group)、またはアイデンティティ ユーザ グループ オブジェクト名。

[Service]:サービス オブジェクト名またはプロトコルとポート。たとえば、TCP/80。検索は意味ではなく構文によるものです。つまり、TCP/80 を検索し、ルールで HTTP が使用されている場合、検索結果には TCP/80 は含まれません。

[Interface Role]:インターフェイス名またはインターフェイス ロール オブジェクト名。

(注) アクセス ルールでは、グローバル インターフェイス名を使用してグローバル ルールを検索できます。ただし、グローバル ルールとインターフェイス固有のルールを変換する方法はありません。グローバル ルールはグローバル インターフェイス名を使用して検索できますが、インターフェイス名を「Global」という名前で置換しようとすると、実際には Global という名前のポリシー オブジェクトを使用する、インターフェイス固有のアクセス ルールが作成されます。

[Text]:[Description] フィールドのテキスト文字列。

Find

検索文字列。ポリシー オブジェクトを検索する場合は、[Select] をクリックして、リストからオブジェクトを選択します。

Replace

(任意)検索文字列を置換するために使用する文字列。置換される文字列は、検索オプションで制御します。検索文字列をポリシー オブジェクト名で置換する場合は、[Select] をクリックして、リストからオブジェクトを選択します。

検索文字列を複数の項目で置換できます。複数の項目はカンマで区切ります。たとえば、TCP サービスを検索し、それを TCP, UDP で置き換えます。

[Replace] フィールドに何も入力せずに [Replace] ボタンをクリックすると、項目を削除できます。

テーブルで編集が許可されていない場合は、このフィールドがグレー表示されます。

Direction

現在選択されている行またはセルを基準にした検索の方向([up] または [down])。テーブルの終わりに達すると、引き続きテーブルの一番上から検索されます。

Match Case

テキスト検索の場合、[Find] フィールドで使用した大文字と小文字の違いを一致させるかどうか。

Find Whole Words Only

検索で単語全体(スペースまたは句読点で区切られた文字列)だけを検索して選択するかどうか。たとえば、SanJose を単語全体で検索すると、SanJose は検出されますが、SanJose1 は検出されません。

このオプションを [Allow Wildcard] オプションとともに使用すると、部分文字列を検索できます。ただし、検出された文字列を置換すると、部分文字列ではなく単語全体が置換されます。たとえば、^10.100* を検索すると、10.100.10.0/24 のようなすべてのアドレスが検出され、それらが network10.100 ポリシー オブジェクトで置換されます。[Whole Words] を選択することにより、検索対象の部分だけでなくアドレス全体がネットワーク/ホスト オブジェクトで置換されます。

テキスト検索の場合、このオプションと [Allow Wildcards] オプションは相互に排他的です。

Allow Wildcards

検索文字列または置換文字列でワイルドカード文字を使用するかどうか。このオプションを選択しない場合、すべての文字が文字どおりに処理されます。

Java 正規表現を使用して、次の例外を含む表現を作成できます。

ピリオド(.):ピリオドはリテラル ピリオドであり、暗黙的にエスケープされます。

疑問符(?):疑問符は単一文字を表します。

アスタリスク(*):アスタリスクは、1 つ以上の文字と一致します。0 文字とは一致しません。

プラス記号(+):プラス記号はアスタリスクと同じ意味で、1 つ以上の文字と一致します。

[Find Next] ボタン

検索文字列の次のオカレンスを検索する場合は、このボタンをクリックします。

[Replace] ボタン

見つかった文字列を置換文字列で置換する場合、このボタンをクリックします。

[Replace All] ボタン

検索文字列を自動的に検索し、テーブル全体にわたってそれを置換する場合は、このボタンをクリックします。

ルールの移動とルール順序の重要性

ルール テーブルを使用するルール ポリシーは、順序付けられたリストです。つまり、ルールの上から下への順序が重要であり、ポリシーに影響を与えます。

デバイスは、ルール ポリシーに照らしてパケットを分析するとき、上から下に順にルールを検索します。パケットに一致した最初のルールが、そのパケットに適用されるルールです。それ以降のルールはすべて無視されます。このため、特定の送信元または宛先の HTML トラフィックに関連する具体的なルールの前に、IP トラフィックに関連する一般的なルールを配置すると、具体的なルールの方が適用されないことがあります。

アクセス コントロール ルールの場合は、ルール分析ツールを使用して、どのような場合に、ルール順序によってルールがトラフィックに適用されなくなるかを特定できます(詳細については、「分析レポートの生成」を参照してください)。その他のルール ポリシーの場合は、テーブルをよく調べて、ルール順序に関連する問題を特定してください。

ルールの順序を並べ替える必要があると判断した場合は、移動する必要のあるルールを選択し、適宜、[Up Row](上矢印)または [Down Row](下矢印)ボタンをクリックします。これらのボタンがルール テーブルの下に表示されない場合、ルール順序は問題ではないため、その順序を並べ替えることはできません。

セクションを使用してルールを編成した場合は、セクション内でだけルールを移動できます。セクション外部のルールを移動する場合、そのセクションの上または下に移動できます。セクションでの作業の詳細については、「セクションを使用したルール テーブルの編成」を参照してください。


ヒント ポリシー内でインターフェイスに固有のルールとグローバル ルールを組み合わせる場合は、移動するアクセス ルールに特殊なルールが適用されます。詳細については、「グローバル アクセス ルールについて」を参照してください。

関連項目

「ルール テーブルの使用」

「ルールの追加および削除」

「ルールの編集」

「ルールのイネーブル化とディセーブル化」

「セクションを使用したルール テーブルの編成」

ルールのイネーブル化とディセーブル化

ルール テーブルを使用するポリシー(ほとんどのファイアウォール サービス ルール ポリシーなど)内で、個々のルールをイネーブル化およびディセーブル化できます。変更は、設定をデバイスに再展開すると有効になります。

ルールがディセーブルになっている場合、テーブルでそのルールにハッシュ マークが重なって表示されます。設定を展開すると、ディセーブルなルールはデバイスから削除されます。

ディセーブルなルールは便宜的に Security Manager のルール ポリシー内に保持されます。ルールが必要になった場合は、ルールを再作成しなくとも簡単にイネーブルにできます。このため、不要になったと思われるルールは、すぐに削除してしまわずに、ディセーブルにすることを推奨します。

ルールがイネーブルかディセーブルかを変更するには、ルールを選択して右クリックし、[Enable] または [Disable] の適切なほうを選択します。

関連項目

「ルール テーブルの使用」

「ルールの追加および削除」

「ルールの編集」

「ルールの移動とルール順序の重要性」

「セクションを使用したルール テーブルの編成」

セクションを使用したルール テーブルの編成

ルール テーブルを使用するポリシーは、セクション単位に編成できます。次の 2 つのタイプのセクションがあります。

スコープ:ポリシーと継承ポリシーの継承関係を定義します。このセクションは、ポリシーを継承すると自動的に作成されます。詳細については、「ルールの継承について」を参照してください。

ユーザ定義セクション:ポリシーの評価および編集が簡単になるようにルールを編成する際に役立つ便利なグループです。このタイプのセクションは、多数のルールが含まれるポリシーに対して最も効果を発揮します。

セクション内のすべてのルールは順序付けられている必要があります。ルールをランダムにグループ化することはできません。連続しないルールどうしを関連付けて指定するには、それらのルールに同じカテゴリを割り当てることができます。

ユーザ定義セクションは、インデントされたセクション見出しによって、テーブル内の他のルールから目立つように表示されます。見出しには、左から順に、セクションを開いたり閉じたりするための +/- アイコン、セクションに割り当てたカテゴリ(ある場合)を識別する色の帯、セクション名、セクションに含まれる最初と最後のルール番号(4-8 など)、および入力したセクションの説明(ある場合)が表示されます。

ユーザ定義セクションを作成するかどうかは、ユーザの自由です。これらのタイプのセクションを作成することが有益だと判断した場合は、次の情報に示すセクションの作成方法と使用方法を参照してください。

新しいセクションを作成するには、セクションを挿入する行を右クリックし、[Include in New Section] を選択します(Shift を押しながらクリックして、ルールのブロックを選択することもできます)。セクションの名前、説明、およびカテゴリを入力するように要求されます(必須の要素は名前だけです)。

既存のルールをセクションに移動するには、1 つ以上の連続するルールを選択し、右クリックして [Include in Section <name of section>] を選択します。このコマンドは、選択した行が既存のセクションの隣にある場合にだけ表示されます。セクションに追加する行が現在そのセクションの隣にない場合は、セクションの隣に来るまでルールを移動するか、ルールをカットしてセクションにペーストします。

セクションの移動はできません。このため、セクションの外側のルールをセクション周りに移動する必要があります。セクション内にはないが、セクションの隣にあるルールを移動すると、ルールはそのセクションを飛び越えます。

ルールをセクションの外部に移動したり、セクションを通過して移動したりすることはできません。セクションとは、ルールを移動できる範囲の境界を定義するものです。ルールをセクションの外側に移動して Local スコープ セクションに戻すには、1 つ以上の連続するルールを選択し、右クリックして [Remove from Section <name of section>] を選択します。このコマンドを使用するには、ルールがセクションの開始位置または終了位置にある必要があります。そうでない場合、ルールが開始位置または終了位置に来るまでルールを移動するか、ルールをカット アンド ペーストしてセクションの外側に移動できます。

新しいルールをセクションに追加するには、目的の位置のすぐ前にあるルールを選択し、[Add Row] ボタンをクリックします。ルールをセクションの開始位置に挿入するには、セクション見出しを選択します。

ルールを(セクションの外部だが)セクションの後ろに作成するには、ルールをセクション内の最後のルールとして作成してから、セクションから削除します。または、ルールをセクションのすぐ上に作成し、下矢印ボタンをクリックします。

セクション見出しを右クリックして [Edit Section] を選択することにより、セクションの名前、説明、またはカテゴリを変更できます。

セクションを削除すると、セクションに含まれているすべてのルールは保持されて、Local スコープ セクションに再び移されます。削除されるルールはありません。セクションを削除するには、セクション見出しを右クリックし、[Delete Section] を選択します。

Combine Rules ツールを使用する場合、結果として結合されたルールではセクションが考慮されます。セクション内にあるルールは、そのセクション内の他のルールとだけ結合できます。

関連項目

「ルール テーブルの使用」

「ルールの追加および削除」

「ルールの編集」

「ルールの移動とルール順序の重要性」

「ルールのイネーブル化とディセーブル化」

[Add Rule Section]/[Edit Rule Section] ダイアログボックス

[Add and Edit Rule Section] ダイアログボックスを使用して、ルール テーブルでユーザ定義セクション見出しを追加または編集します。セクションを使用してルール テーブルを編成する方法の詳細については、「セクションを使用したルール テーブルの編成」を参照してください。

ナビゲーション パス

次のいずれかを実行します。

ルール テーブル内の 1 つ以上のルールを選択し、右クリックして [Include in New Section] を選択します。

セクション見出しを右クリックし、[Edit Section] を選択します。

フィールド リファレンス

 

表 12-3 [Add Rule Section]/[Edit Rule Section] ダイアログボックス

要素
説明

Name

セクションの名前。

Description

セクションの説明。最大 1024 文字です。

Category

セクションに割り当てられるカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

ルールの結合

アクセス ルール ポリシーおよび AAA ルール ポリシーは時間とともに拡大し、多数のルールを含むことがあります。これらのポリシーの大きさによっては、ポリシーの管理が困難になることがあります。この問題を軽減するために、ルール結合ツールを使用できます。これにより、ポリシーがトラフィックを処理する方法を変更することなく、ポリシー内のルールの数を減らすことができます。


ヒント ルールを結合すると、特定のセキュリティ ポリシーを実装するために必要なアクセス ルールの数を大幅に圧縮できます。たとえば、あるポリシーでアクセス ルールが 3,300 個必要な場合、ホストとサービスを効率的にグループ化すると、必要なルールを 40 個に減らすことができます。ただし、Rule Combiner は IPv6 アクセス ルールで使用できません。また、ユーザまたはユーザ グループを指定するルールでも、直接とアイデンティティ ユーザ グループ オブジェクトのどちらでも使用できません。このツールは、FQDN ネットワーク/ホスト オブジェクトを使用するルールで使用できます。

(送信元としての)信頼できる各種ホストに対する特定範囲のサービスを(宛先としての)各種パブリック サーバに対して許可するような、複数のルールが存在するとします。この状況で 10 個のルールを適用する場合は、その 10 個のルールを 1 つのルールに結合できます。これにより、サービスの集まり(AllowedServices など)、ホスト(TrustedHosts など)、およびサーバ(PublicServers など)に対して新しいポリシー オブジェクトを作成できます。ルール結合中に新しいオブジェクトを作成するには、新しく結合したセルを右クリックし、[Create Network (or Service) Object from Cell Contents] を選択します。

たとえば、インターフェイス FastEthernet0 に次の 2 つのルールがあるとします。

Permit TCP for source 10.100.10.1 to destination 10.100.12.1

Permit TCP for source 10.100.10.1 to destination 10.100.13.1

この 2 つを結合して、permit TCP for source 10.100.10.1 to destination 10.100.12.1, 10.100.13.1 という 1 つのルールにできます。

ルールを結合するには、多次元のソートが使用されます。たとえば、アクセス ルールの場合、次のようになります。

1. ルールは送信元によってソートされるため、送信元が同じルールはまとめて配置されます。

2. 送信元が同じルールは宛先によってソートされるため、送信元も宛先も同じルールはまとめて配置されます。

3. 送信元も宛先も同じルールは 1 つのルールに結合され、サービスが連結されます。

4. 隣接するルールは、送信元およびサービスが同じかどうかチェックされます。同じであった場合、1 つのルールに結合され、宛先が連結されます。

5. 隣接するルールは、宛先およびサービスが同じかどうかチェックされます。同じであった場合、1 つのルールに結合され、送信元が連結されます。

今度は、宛先と(送信元の代わりに)サービスに基づいてソートが繰り返されます。


ヒント セクションの異なるルールが結合されることはありません。ルールを整理するために作成したセクションによって、可能な結合の範囲が制限されます。また、インターフェイス固有のアクセス ルールとグローバル アクセス ルールが結合されることはありません。グローバル ルールの詳細については、「グローバル アクセス ルールについて」を参照してください。

関連項目

「ファイアウォール AAA ルールの管理」

「ファイアウォール アクセス ルールの管理」


ステップ 1 Firewall フォルダから、結合するルールが含まれるポリシーを選択します。次のタイプのポリシーに対してルールを結合できます。

AAA ルール

アクセル ルール

ステップ 2 ツールで可能な結合が特定のルール グループに制限されるようにする場合は、それらのルールを選択します。Shift および Ctrl を押しながらクリックすると、複数のルールを選択できます。セクション見出しを選択すると、セクション内のすべてのルールを選択できます。スコープ見出し([Local] など)を選択すると、スコープ内のすべてのルールを選択できます。ツールを制限しない場合は、テーブルから何も選択しないでください。次の点を考慮してください。

デバイス ビューでは、ローカル ルールに対する結合だけを保存できます。ツールは共有ルールおよび継承ルールに対して実行できますが、結果を保存することはできません。ルールを選択しない場合、デフォルトですべてのローカル スコープ ルールが考慮されます。

共有ポリシー内のルールを結合するには、ポリシー ビューでツールを実行する必要があります。ルールを選択しない場合、デフォルトですべての必須ルールが考慮されます。

結果を保存できない場合にツールを実行しようとすると、警告されます。

ステップ 3 テーブルの下の [Tools] ボタンをクリックし、[Combine Rules] を選択して「[Combine Rules Selection Summary] ダイアログボックス」を開きます。

ステップ 4 ルールで結合を考慮するカラムを選択します。カラムを選択しない場合、結合されたルールの設定が、結合対象のカラム内の設定と同じである必要があります。

また、選択したルールの結合を考慮するように選択したり、ポリシー内のすべてのルールの結合を考慮するように選択することもできます。


ヒント カラム タイプが表示されていない場合、結合されたルールの内容が、[Description] セルを除くセルの内容と同じである必要があります。セルの内容が異なるルールどうしは結合されません。


ステップ 5 [OK] をクリックすると、結合が生成され、[Rule Combiner Results] ダイアログボックスに結果が表示されます。

結果を分析し、結合を保存するかどうかを評価します。全部を保存するか、何も保存しないかのどちらかです。保存する結合を選択することはできません。

結果の評価の詳細については、「Rule Combiner 結果の解釈」を参照してください。例については、「Rule Combiner 結果の例」を参照してください。

ステップ 6 [OK] をクリックすると、ルール テーブル内の元のルールが、結合されたルールに置き換わります。


 

[Combine Rules Selection Summary] ダイアログボックス

[Combine Rules Selection Summary] ダイアログボックスを使用して、ファイアウォール ルール ポリシー内のルールを結合するために使用するパラメータを定義します。[OK] をクリックすると、結合の結果が [Rule Combiner Results] ダイアログボックスに表示されます。このダイアログボックスで、「Rule Combiner 結果の解釈」で説明するように、結果を保存または廃棄することを選択できます。

ナビゲーション パス

「[AAA Rules] ページ」「アクセス ルール ページ(IPv4 または IPv6)」からルールを結合できます。テーブルの一番下にある [Tools] をクリックし、[Combine Rules] を選択します。

フィールド リファレンス

 

表 12-4 [Combine Rules Selection Summary] ダイアログボックス

要素
説明

Policy Selected

選択したポリシーおよびスコープが表示されます。[Local] は、ローカル デバイス ルールを表します。それ以外の場合、フィールドには共有ポリシーの名前と、そのポリシー内で選択されているスコープ(ある場合)が示されます。

Rules to be combined

ツールで結合を考慮するルール:

[All Rules]:選択したポリシー内のすべてのルールの結合が考慮されます。

[Selected Rules]:ツールの起動前にポリシー内で選択したルールだけの結合が考慮されます。

ツールの実行前のルールの選択に関する詳細については、「ルールの結合」を参照してください。

Choose which columns to combine

ルール テーブル内の結合可能なカラム。2 つのルールを結合するには、選択していないカラムの内容がいずれも同一である必要があります(結合可能カラムとして一覧表示されていないカラムも含む。ただし、[Description] カラムを除く)。結合できるカラムは、次のとおりです。

Source

Destination

Service

Interface

AAA ルールの場合、他に次のカラムも結合できます。

Action

Auth Proxy

Rule Combiner 結果の解釈

[Rule Combiner Results] ダイアログボックスを使用して、ルール結合の結果を評価できます(「ルールの結合」を参照)。このダイアログボックスには結果が要約され、[OK] をクリックすると作成される新しいルールが表示されます。

変更されるルールのセルの枠は赤色になります。上半分のテーブルで結合済みのルールを選択すると、そのルールを作成するために結合されたルールが下半分のテーブルに表示されます。

このウィンドウで、結果の要素を改良できます。

複数の要素を持つ [Source]、[Destination]、[Service] セルを右クリックし、[Create Network (or Service) Object from Cell Contents] を選択すると、結合されたセルの内容を含む新しいポリシー オブジェクトを作成できます。セルの内容が新しいオブジェクトに置き換わります。

また、展開された設定内にネットワーク オブジェクト グループを自動的に作成して、ルール テーブル セル内のカンマ区切りの値を置き換えることもできます。ネットワーク オブジェクトは展開中に作成されます。これがルール ポリシーの内容に影響することはありません。このオプションをイネーブルにするには、[Tools] > [Security Manager Administration] > [Deployment] を選択して「[Deployment] ページ」を開き、[Create Object Groups for Multiple Sources, Destinations, or Services in a Rule] を選択します。

[Description] を右クリックし、[Edit Description] を選択して説明を変更します。結合済みのルールの説明は、改行で区切られた古いルールの各説明を連結したものです。

例については、「Rule Combiner 結果の例」を参照してください。

ヒント

結合された結果は、[OK] をクリックするまでポリシーに適用されません。結合の結果に満足しない場合は、[Cancel] をクリックして、より小さなルール グループを選択して Combine Rules ツールのスコープを制限することを考慮します。

[OK] をクリックしたあとで、その変更の受け入れを取り消すには、次の 2 つのオプションがあります。1 つめは、ポリシー ページで [Save] をクリックしないようにし、別のポリシーを選択して、ポリシーの変更を保存するように要求されたら [No] をクリックします。すでに [Save] をクリックした場合でも、(たとえば、[File] > [Discard] を選択して)アクティビティまたは設定セッションを廃棄することにより、変更を元に戻すことができます。ただし、これを行うと、他のポリシーに対して行った他の変更内容もすべて廃棄されます。変更を送信したあと、またはアクティビティが承認されたあとは、変更を元に戻すことはできません。

保存が許可されていないポリシーに対してルールを結合する場合でも、Combine Rules ツールは実行できます。たとえば、デバイス ビューでは共有ポリシーまたは継承ポリシーの結合済みルールを保存できません。結果を保存できない場合は、ツールの実行前に警告が表示されます。

セクションの異なるルールが結合されることはありません。ルールを整理するために作成したセクションによって、可能な結合の範囲が制限されます。また、インターフェイス固有のアクセス ルールとグローバル アクセス ルールが結合されることはありません。グローバル ルールの詳細については、「グローバル アクセス ルールについて」を参照してください。

ナビゲーション パス

[AAA Rules] ページ アクセス ルール ページ(IPv4 または IPv6)からルールを結合できます。テーブルの一番下にある [Tools] をクリックして [Combine Rules] を選択し、 [Combine Rules Selection Summary] ダイアログボックスを入力して [OK] をクリックします。

フィールド リファレンス

 

表 12-5 結合されたルールの結果の要約

要素
説明

Result Summary

何らかの結合を行うことができる場合、結合の結果の要約が示され、元のルールの数、結合後に残るルールの数、変更されるルールの数、および変更されないルールの数が示されます。

[Resulting Rules] テーブル

ポリシー内に現存するルールを置換するルール。[OK] をクリックした場合、これらのルールがポリシーの一部となります。カラムは、関連付けられたポリシー内のカラム(「[AAA Rules] ページ」または「アクセス ルール ページ(IPv4 または IPv6)」を参照)に、[Rule State] カラムが追加されたものです。

[Rule State] カラムには、ルールのステータスが示されます。

[Modified]、[Combined]:新しいルールは、1 つ以上のルールを結合した結果、または既存のルールを変更した結果として生成されたものです。セルの枠が赤い場合、内容が結合されたセルであることを示します。

[Unchanged]:ルールは他のルールと結合できなかったため、変更されていません。

[Not Selected]:可能な結合に対してルールを選択していません。

ルールが多数存在する場合、テーブルの下のボタンを使用して、変更のあるルール全部をスクロールできます。変更されていないルールおよび選択されていないルールはスキップされます。

[Original rules] テーブル(下半分のテーブル)

ダイアログボックスの下半分のテーブルに、上半分のテーブルで選択したルールを作成するために結合された元のルールが表示されます。

[Detail Report] ボタン

このボタンをクリックすると、結果の HTML レポートが作成されます。レポートには結果が要約され、結果のルールの詳細と、新しいルールを作成するために結合されたルールも表示されます。

結合されたルールのセル内に多数のエントリがある場合、このレポートを使用すると、結果を簡単に解釈できます。あとで使用できるようにレポートを印刷または保存することもできます。

Rule Combiner 結果の例

「ルールの結合」で説明されているように Combine Rules ツールを実行すると、結合の結果が [Rule Combiner Results] ダイアログボックスに表示されます(「Rule Combiner 結果の解釈」を参照)。

図 12-2に、ルールの結合の例を示します。

新しいルールが上半分のテーブルに表示されます。新しいルールが変更済みルールまたは結合済みルールとして示され、変更されたセルの枠は赤色になります。上半分のテーブルで新しいルールを選択すると、下半分のテーブルに、新しいルールを作成するために結合された古いルールが表示されます。この例では、2 つの古いルールは、宛先、サービス、およびインターフェイスが同じです。また、2 つの異なる送信元が連結されて、新しいルールを構成しています。

レポートの一番上に、結果が要約されます。この例では、5700 個のルールが 96 個に縮小されました。

図 12-2 Rule Combiner の結果例

 

1

結合されたセル

2

新しく結合されたルール

3

元のルール

関連項目

「ファイアウォール AAA ルールの管理」

「ファイアウォール アクセス ルールの管理」

ポリシー クエリー レポートの生成

ほとんどのファイアウォール ルール ポリシーでは、ルールの評価に役立つポリシー クエリー レポートを生成できます。ポリシー クエリー レポートを使用すると、新しいルールを作成して特定の送信元、ユーザ、宛先、インターフェイス、サービス、またはゾーンに適用する前に、これらの項目に対してすでに存在しているルールを判別できます。

また、ルールの使用を禁止しているブロッキング ルールや、削除できる冗長なルールがあるかどうかも、ある程度は判別できます。ただし、アクセス ルールを評価する場合は、これらの問題を判別するためのより強力なルール分析ツールを使用する方が得策です。

ポリシー クエリーを作成する場合は、ルールの作成時にトラフィックを説明するのと同様の方法で、関連するトラフィックを説明します。クエリーの作成方法は基本的に、ルールの作成方法と同じです。しかし、ルールの説明をより広範にして、取得するトラフィック セットの幅を広げた方が、単一のルールまたはかぎられた数のルールではなく、関連するルールのセットを確認できます。作成するクエリーは、検出する目的の情報によって決まります。

クエリーの可能なレベルは、現在のビューによって異なります。

デバイス ビューまたはマップ ビュー:クエリーは、選択したデバイスに制限されます。ただし、サポートされているすべてのルール タイプにわたってクエリーを実行できます。これにより、同じトラフィックに適用されるさまざまなタイプのルールを比較できます。

ポリシー ビュー:クエリーは、選択したポリシーに制限されます。そのポリシー内で定義されているルールだけが表示されます。他のポリシー タイプを照会することはできません。他のポリシーを調べている間に共有ポリシーを照会する場合は、共有ポリシーに割り当てられているデバイスを選択し、デバイス ビューでデバイスからポリシーを照会します。

関連項目

「[AAA Rules] ページ」

「アクセス ルール ページ(IPv4 または IPv6)」

「[Inspection Rules] ページ」

「[Web Filter Rules] ページ(ASA/PIX/FWSM)」

「[Zone-based Firewall Rules] ページ」


ステップ 1 Firewall フォルダから、照会するポリシーを選択します。次のいずれかのタイプのポリシーを照会できます。

AAA ルール

アクセル ルール

インスペクション ルール

Web フィルタ ルール(PIX/ASA/FWSM)

ゾーン ベースのルール

ステップ 2 テーブルの下の [Tools] ボタンをクリックし、[Query] を選択して [Querying Device or Policy] ダイアログボックスを開きます。

ステップ 3 照会するルールを定義するパラメータを入力します。クエリーを設定するときに、少なくとも 1 つのルール タイプ(イネーブル、ディセーブル、または両方、許可、拒否、または両方、および必須、デフォルト、または両方)を選択する必要があります。クエリー パラメータの詳細については、「[Querying Device or Policy] ダイアログボックス」を参照してください。

ポリシー ビューで、照会するルールのタイプを変更することはできません。デバイス ビューで、ルール タイプの結合を照会することはできません。

ステップ 4 [OK] をクリックすると、基準と一致したルールが [Policy Query Results] ダイアログボックスに表示されます。このレポートの解釈については、「ポリシー クエリー結果の解釈」を参照してください。

ポリシー クエリー レポートの例については、「[Policy Query Result] の例」を参照してください。


 

[Querying Device or Policy] ダイアログボックス

[Querying Device] または [Querying Policy] ダイアログボックスを使用して、クエリーのパラメータを設定します。クエリー結果に、パラメータと一致したルールが表示されます。ダイアログボックスのタイトルは、照会する内容を示しています。

デバイス ビューまたはマップ ビューでは、選択したデバイスに対して定義されているルールを照会します。

ポリシー ビューでは、選択したポリシーの中だけのルールを照会します。

これらのポリシー タイプから、AAA ルール、アクセル ルール、インスペクション ルール、Web フィルタ ルール(ASA/PIX/FWSM の場合)、およびゾーン ベースのファイアウォール ルールを照会できます。

クエリーを設定するときに、少なくとも 1 つのルール タイプ(イネーブル、ディセーブル、または両方、許可、拒否、または両方、および必須、デフォルト、または両方)を選択する必要があります。


) インスペクション ルールでは、インターフェイス値として Global を入力した場合、一致が完了しても、一致ステータス結果は部分一致として表示されます。


結果は、[Policy Query Results] ダイアログボックス(「ポリシー クエリー結果の解釈」を参照)に表示されます。

ナビゲーション パス

ポリシー クエリー レポートを生成するには、次のいずれかを実行します。

(デバイス ビュー)デバイスを選択し、Firewall フォルダから、サポートされているファイアウォール ルール ポリシーの 1 つを選択します。[Tools] ボタンをクリックし、[Query] を選択します。

(ポリシー ビュー)Firewall フォルダから、サポートされているファイアウォール ルール ポリシーのいずれかを選択し、共有ポリシー セレクタから特定のポリシーを選択します。[Tools] ボタンをクリックし、[Query] を選択します。

(マップ ビュー)デバイスを右クリックし、[Edit Firewall Policies] メニューから、サポートされているファイアウォール ルール ポリシーを選択します。[Tools] ボタンをクリックし、[Query] を選択します。

関連項目

「ポリシー クエリー レポートの生成」

「[Policy Query Result] の例」

フィールド リファレンス

 

表 12-6 [Querying Device or Policy] ダイアログボックス

要素
説明

Rule Types

照会するルールのタイプ。ポリシー ビューで照会する場合は、選択内容を変更できません。デバイス ビューで照会する場合は、次のいずれかのタイプのルールを選択できます。クエリーのスコープは、選択したデバイスに制限されます。

AAA ルール

アクセル ルール

インスペクション ルール

Web フィルタ ルール

ゾーン ベースのルール

Enabled and/or Disabled Rules

イネーブルなルール、ディセーブルなルール、またはその両方を照会するか。

Mandatory and/or Default Rules

必須セクション内のルール、デフォルト セクション内のルール、または両方のセクション内のルールを照会するか。

Match

トラフィックを許可するルール、否定するルール、またはその両方を照会するか。

Sources

Destinations

トラフィックの送信元または宛先。項目をカンマで区切って複数の値を入力できます。

(注) フィールドをブランクのままにした場合、クエリーはそのフィールドに対する任意のアドレスと一致します。

次のアドレス タイプを自由に組み合わせて入力し、トラフィックの送信元または宛先を定義できます。詳細については、「ポリシー定義中の IP アドレスの指定」を参照してください。

ネットワーク/ホスト オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します。選択リストから、新しいネットワーク/ホスト オブジェクトを作成することもできます。

ホスト IP アドレス(10.10.10.100 など)。

ネットワーク アドレスとサブネット マスク。形式は 10.10.10.0/24 または 10.10.10.0/255.255.255.0。

IP アドレスの範囲(10.10.10.100-10.10.10.200 など)。

10.10.0.10/255.255.0.255 形式の IP アドレスのパターン。この場合のマスクは不連続なビット マスクです(「連続および不連続ネットワーク マスク(IPv4 アドレスに対応)」を参照)。

ヒント 将来のポリシー クエリー要求を容易にするために、IP アドレスのリストとともにオブジェクトを作成できます。

User

(ASA 8.4(2+) のみ)ルールの Active Directory(AD)ユーザ名、ユーザ グループ、またはアイデンティティ ユーザ グループ オブジェクト(使用する場合)。項目をカンマで区切って複数の値を入力できます。

(注) フィールドをブランクのままにした場合、クエリーは [User] フィールドに何も入っていないルールにのみ一致します。

次の値を組み合わせて入力できます。

個別のユーザ名:NetBIOS_DOMAIN¥username

ユーザ グループ(¥ を二重にします):NetBIOS_DOMAIN¥¥user_group

アイデンティティ ユーザ グループ オブジェクト名。

[Select] をクリックしてリストからオブジェクト、ユーザ、またはユーザ グループを選択するか、新しいオブジェクトを作成します。

詳細については、以下を参照してください。

「ポリシーでのアイデンティティ ユーザの選択」

「アイデンティティ ベースのファイアウォール ルールの設定」

「アイデンティティ ユーザ グループ オブジェクトの作成」

Services

対象となるトラフィックのタイプを定義するサービス。項目をカンマで区切って複数の値を入力できます。

(注) フィールドをブランクのままにした場合、クエリーは任意のサービスと一致します。

サービス オブジェクトおよびサービス タイプの任意の組み合わせ(通常はプロトコルとポートの組み合わせ)を入力できます。サービスを入力する場合は、有効な値の入力を求められます。リストから値を選択して、Enter または Tab を押します。

サービスを指定する方法の詳細については、「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。

ヒント 将来のポリシー クエリー要求を容易にするために、サービスのリストとともにオブジェクトを作成できます。

Interfaces

ルールが定義されているインターフェイス。インターフェイスまたはインターフェイス ロール名の任意の組み合わせを、カンマで区切って入力できます。名前を入力するか、[Select] をクリックしてインターフェイスまたはインターフェイス ロールを選択します。

(注) フィールドをブランクのままにした場合、クエリーは任意のインターフェイスまたはインターフェイス ロールと一致します。

Query for Global Rules

アクセス ルールまたはインスペクション ルールを照会するとき、クエリーでグローバル ルールも考慮する必要があるかどうか。

From Zone

To Zone

ゾーン ベースのファイアウォール ルールの場合、ルールに定義されているゾーン。ゾーン名(インターフェイス ロール)を入力するか、[Select] をクリックしてリストからゾーンを選択します。

Actions

ゾーン ベースのファイアウォール ルールの場合、ルールに定義されているアクション。

Check if Matching Rules Are Shadowed by Rules Above

ポリシー クエリー結果に競合検出情報を含めるかどうか。このオプションを選択すると、パフォーマンスおよびコストの結果に影響を及ぼす可能性があります。

ポリシー クエリー結果の解釈

[Policy Query Results] ダイアログボックスを使用して、[Query Device or Policy] ダイアログボックスで定義したポリシー クエリーの結果を参照します。結果レポートは、「[Querying Device or Policy] ダイアログボックス」でクエリー パラメータを定義して [OK] を定義すると開きます。手順については、「ポリシー クエリー レポートの生成」を参照してください。レポート例については、「[Policy Query Result] の例」を参照してください。


ヒント クエリー結果テーブルで、行をダブルクリックするか、右クリックして [Go to Rule] を選択して、ルールを編集できるルール ポリシー ページでルールを選択します。ポリシー セレクタで適切なルール ポリシーがまだ選択されていない場合は、これを 2 回行って、実際にルールを選択する必要があることがあります。

レポートを解釈するには、次のレポート セクションを考慮してください。

[Query Parameters]:レポートの一番上の部分は、クエリーに対して入力したパラメータを指定します。パラメータを変更する場合は、[Edit Query] をクリックして「[Querying Device or Policy] ダイアログボックス」を開きます。ここで、変更を行い、レポートを再生成できます。

[Results] テーブル:このテーブルには、クエリーと一致したすべてのルールが一覧表示されます。複数のルールを照会した場合、[Display] フィールドで、調査するルール タイプを選択します。このテーブル内のカラムは、そのタイプのルールのカラムに、次のカラムが追加されたものです。

[Match Status]:ルールをクエリーと一致させる方法を示します。

[Complete Match]:ルールはすべてのクエリー パラメータと一致します。

[Partial Match]:すべての検索基準が重なるか、一致したルールのスーパーセットです。たとえば、送信元アドレス 10.100.20.0/24、宛先アドレス 10.200.100.0/24、および IP のサービスでルールが定義されている場合、クエリーで送信元 10.100.20.0/24 を検索すると、クエリー結果はルールの定義の部分だけを表すため、一致ステータスは部分一致として表示されます。

[No Effect]:ルールが他の一致ルールによりブロックされているか、影響しない競合が存在しています。たとえば、2 つの一致ルール A および B があるとします。ルール A の送信元アドレス、宛先アドレス、およびサービスが、ルール B のそれぞれと等しいか、またはそれらを含んでいる場合、ルール B はルール A によってブロックされます。このため、ルール B はトラフィックに影響を与えません。

別の例として、グローバルな必須ルールによってサービスが許可されるが、デバイス(ローカル)レベルでのルールによってサービスが拒否されるとします。ルールは最初に一致したものから順に認識されるため、必須のグローバル スコープで一致が検出されると、それ以降は他のルールはチェックされません。ローカル ルールは無効です。つまり、サービスは拒否されず、許可されます。適切な結果を得るためには、ポリシーを編集する必要があります。

[Scope]:ルールが共有ルールかローカル ルールか、必須ルールかデフォルト ルールかを示します。

[Details] テーブル:詳細テーブルには、結果テーブルで選択されているルールの詳細なクエリー一致情報が表示されます。左側のフォルダは、詳細情報を参照できる属性を表しています。詳細を表示するフォルダを選択します。

詳細には、定義したパラメータであるクエリー値と、パラメータと一致するルール内の項目が表示されます。一致の関係は次のいずれかです。

[Identical]:パラメータは、ルール内の値と同じです。

[Contains]:パラメータは、ルール内の値を含むスーパーセットです。たとえば、クエリー パラメータがネットワーク/ホスト オブジェクトであり、オブジェクト定義の一部である IP アドレスがルールで使用されている場合などです。

[Is contained by]:パラメータは、ルールの値の中でネストされているサブセットです。

[Overlaps]:クエリー パラメータでは、ルール内で使用されている複数のポリシー オブジェクトにまたがる結果が表示されます。たとえば、サービス クエリー パラメータが tcp/70-90 であり、tcp/80-100 として定義されているサービスが結果に表示される場合などです。

関連項目

「[AAA Rules] ページ」

「アクセス ルール ページ(IPv4 または IPv6)」

「[Inspection Rules] ページ」

「[Web Filter Rules] ページ(ASA/PIX/FWSM)」

「[Zone-based Firewall Rules] ページ」

[Policy Query Result] の例

図 12-3に、アクセス ルールに関するポリシー クエリー レポートの例を示します。基準によって送信先、宛先、サービス、およびインターフェイスのパラメータは制限されませんが、クエリーはイネーブルなルールに制限されます。共有ルールとローカル ルールの両方が含められます。

[Query Parameters] セクションに、レポートのクエリー基準が表示されます。この例では、結果テーブル内の最初の行が選択されています。また、ウィンドウの下半分の詳細テーブルに、そのルールの詳細情報が表示されています。この例では、詳細テーブルで送信元フォルダが選択されており、ルールの値 any が、クエリー パラメータ * と同一一致である(任意の送信元アドレスに相当する)ことが結果に示されています。

このレポートの解釈の詳細については、「ポリシー クエリー結果の解釈」を参照してください。

図 12-3 Policy Query Results

 

関連項目

「ポリシー クエリー レポートの生成」

「[AAA Rules] ページ」

「アクセス ルール ページ(IPv4 または IPv6)」

「[Inspection Rules] ページ」

「[Web Filter Rules] ページ(ASA/PIX/FWSM)」

「[Zone-based Firewall Rules] ページ」

ファイアウォール ルールの展開時のネットワーク オブジェクト グループの最適化

ファイアウォール ルール ポリシーを ASA、PIX、FWSM、または IOS 12.4(20)T 以降のデバイスに展開すると、関連付けられたネットワーク オブジェクト グループをデバイス上に作成するときに、ルールで使用するネットワーク/ホスト ポリシー オブジェクトを評価して最適化するように Security Manager を設定できます。最適化によって、隣接するネットワークがマージされ、冗長なネットワーク エントリが削除されます。これにより、実行時のアクセス リスト データ構造と設定のサイズが縮小されます。メモリ制約のある一部の FWSM および PIX デバイスでは、これによるメリットがあります。

たとえば、次のエントリを含みアクセス ルール内で使用される test という名前のネットワーク/ホスト オブジェクトについて考えてみます。

192.168.1.0/24
192.168.1.23
10.1.1.0
10.1.1.1
10.1.1.2/31
 
 

最適化をイネーブルにした場合、ポリシーを展開すると、結果のオブジェクト グループ設定が生成されます。説明に、グループが最適化されたことが示されることに注意してください。

object-group network test
description (Optimized by CS-Manager)
network-object 10.1.1.0 255.255.255.252
network-object 192.168.1.0 255.255.255.0
 
 

最適化をイネーブルにしない場合、グループ設定は次のようになります。

object-group network test
network-object 192.168.1.0 255.255.255.0
network-object 192.168.1.23 255.255.255.255
network-object 10.1.1.0 255.255.255.255
network-object 10.1.1.1 255.255.255.255
network-object 10.1.1.2 255.255.255.254
 
 

この最適化によってネットワーク/ホスト オブジェクトの定義が変更されることも、新しいネットワーク/ホスト ポリシー オブジェクトが作成されることもありません。デバイス上でポリシーを再検出すると、変更されていない既存のポリシー オブジェクトが使用されます。


) ネットワーク/ホスト オブジェクトに別のネットワーク/ホスト オブジェクトが含まれる場合、それらのオブジェクトは結合されません。それぞれのネットワーク/ホスト オブジェクトが個別に最適化されます。また、Security Manager は、連続しないサブネット マスクを使用するネットワーク/ホスト オブジェクト オブジェクトを最適化できません。


最適化を設定するには、「[Deployment] ページ」で [Optimize Network Object-Groups During Deployment] オプションを選択します([Tools] > [Security Manager Administration] を選択してコンテンツ テーブルから [Deployment] を選択します)。デフォルトでは、展開中にネットワーク オブジェクト グループは最適化されません。

検出中のオブジェクト グループの展開

オブジェクト グループを使用するデバイスからポリシーを検出するとき、グループからポリシー オブジェクトを作成するのではなく、それらのオブジェクト グループを構成する項目に展開するように設定できます。

たとえば、CSM_INLINE_55 という名前のオブジェクト グループにホスト 10.100.10.15、10.100.10.18、および 10.100.10.25 が含まれる場合、オブジェクトを展開することによりアクセス コントロール リストをインポートすると、CSM_INLINE_55 という名前のネットワーク/ホスト ポリシー オブジェクトではなく、3 つすべてのアドレスが送信元セル(または該当する場合は宛先セル)に含まれるルールが作成されます。

展開を設定するには、展開するグループのプレフィクスを識別できるようなオブジェクト グループの命名方式が必要となります。デフォルトでは、プレフィクス CSM_INLINE で始まるすべてのオブジェクト グループが展開されます。[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Discovery] を選択することにより、「[Discovery] ページ」の [Auto-Expand Object Groups with These Prefixes] フィールドでこれらのプレフィクスを設定します。