Cisco Security Manager 4.24 ユーザーガイド

ゾーンベースのファイアウォールルールについて

ゾーンは、ネットワークのセキュリティ境界を設定します。ゾーンは、トラフィックがネットワークの別の領域に移動するときにインスペクションまたはフィルタリングの対象となる境界を定義します。ゾーン間のデフォルトのゾーンベースのファイアウォールポリシーは、「deny all」です。このため、ゾーンベースのファイアウォールルールが明示的に設定されていない場合、すべてのゾーン間のトラフィックの移動がブロックされます。

ゾーンベースのファイアウォールルールは、ゾーンのペア間にあるさまざまなタイプの単方向トラフィックに、特定のアクション（Drop、Pass、Inspect、および Content Filter）を適用します。トラフィックの方向は、送信元ゾーンと宛先ゾーンを各ルールの一部として指定することで設定します。

ログ

ゾーンベースのファイアウォールルールには、syslog、alert、audit-trail のロギングオプションがあります。ほとんどのメッセージは、syslog サーバが設定されていないかぎりルータコンソールに記録されます。syslog ロギングの設定の詳細については、Cisco IOS ルータにおけるロギングを参照してください。

重要なポイント

ゾーンとゾーンベースのファイアウォールルールについて、次の点に注意してください。

ゾーンベースのファイアウォール機能は、12.4(6)T 以降を実行する IOS デバイス、および 12.2(33) 以降を実行する ASR デバイスでのみサポートされています。
ゾーンベースのファイアウォールルールと IOS インスペクションルールが同じインターフェイスを使用する場合は、エラーが発生します。

ゾーンベースのファイアウォールモデルと以前のインターフェイスベースのインスペクションルールモデルは、ルータ上で互いに排他的ではありませんが、指定されたインターフェイス上で結合することはできません。つまり、インターフェイスは、インスペクションルールで設定されている場合に、セキュリティゾーンのメンバとして設定できません。さらに、両方のモデルを同時に使用するようにルーターを設定することはお勧めしません。

インターフェイスは 1 つのセキュリティゾーンにのみ割り当てることができますが、ゾーンには複数のインターフェイスを含めることができます。インターフェイスが複数のゾーンに割り当てられている場合は、エラーが発生します。
特定のインターフェイスとの間のすべてのトラフィックは、インターフェイスがゾーンに割り当てられている場合に暗黙的にブロックされます（同じゾーンの他のインターフェイスとの間で送受信されるトラフィック、およびルータ上の任意のインターフェイスに送信されるトラフィックを除く）。このため、ゾーンメンバインターフェイスとの間のトラフィックを許可するには、そのゾーンと他の任意のゾーンとの間にトラフィックを許可または検査するルールを 1 つ以上設定する必要があります。
トラフィックは、同じゾーンのメンバであるインターフェイス間を流れることを暗黙に許可されます。ただし、同じゾーンのメンバ間のトラフィックのインスペクションを要求するルールを定義できます。
「Self」ゾーンは、ルータ自体を独立したセキュリティゾーンとして定義するデフォルトのゾーンであり、送信元ゾーンまたは宛先ゾーンとして指定できます。Self ゾーンは、デフォルトの「deny all」ポリシーの唯一の例外です。任意のルータインターフェイスへのすべてのトラフィックは、明示的に拒否されるまで許可されます。

Self ゾーンを含むゾーンベースのファイアウォールルールは、ローカルトラフィック（ルータに向けられたトラフィック、またはルータによって生成されたトラフィック）に適用されます。ルータを通過するトラフィックには適用されません。詳細については、Self ゾーンを参照してください。

Self ゾーンに適用されるルールでは、検査アクションは許可されません。
Pass アクションは、一方向でだけトラフィックを許可します。リターントラフィックのルールは明示的に定義する必要があります。ただし、Inspect アクションでは、リターントラフィックは確立済みの接続に対して自動的に許可されます。
トラフィックは、ゾーンメンバインターフェイスと、ゾーンメンバでない任意のインターフェイスとの間を流れることができません。
ゾーンに割り当てられていないインターフェイスは、依然として従来のルータポートとして機能でき、他のタイプのファイアウォールルールが設定されている場合があります。

ただし、インターフェイスがゾーンベースのファイアウォールポリシーに含まれない場合でも、そのインターフェイスをゾーンに追加し、そのゾーンとゾーン間トラフィックフローが必要な他のゾーンとの間に「pass all」ポリシー（「ダミーポリシー」の一種）を設定する必要がある場合があります。

ゾーンのメンバーであるインターフェイスに適用されるアクセス制御リスト（ACL）は、ゾーンルールが適用される前に処理されます。したがって、両方のルールタイプの使用を継続するには、インターフェイス ACL を緩和して、特定のトラフィックフローがゾーンベースのルールによって処理されるようにすることが必要な場合があります。
ゾーン内のすべてのインターフェイスは、同じ Virtual Routing and Forwarding（VRF; 仮想ルーティングおよび転送）インスタンスに属している必要があります。ゾーンベースのルールは、メンバインターフェイスが別々の VRF にあるゾーン間に設定できます。ただし、トラフィックがこれらの VRF 間を流れることができない場合、これらのルールは実行されません。詳細については、ゾーンと VRF 対応ファイアウォールを参照してください。
ゾーンは、インターフェイスロールオブジェクトを使用して定義されます。ゾーンに使用されているインターフェイスロールの定義を変更した場合は、ゾーンを変更することになり、既存のトラフィックフローに影響することがあります。さらに、インターフェイスロールでワイルドカードを使用してインターフェイス名のパターンを指定すると、ルータで新しいインターフェイスを作成するときに、インターフェイスがゾーンに自動的に追加される可能性があることに注意してください。
ゾーンベースのファイアウォールルールに、競合するゾーン情報が含まれている場合、テーブルで最初に定義されたルールが優先されます。有効なゾーンを参照しないルールは展開されず、アクティビティ検証警告が表示されます。
空のゾーンがあると、特定のデバイスでアクティビティ検証エラーが発生します。次の制約事項リストを参照してください。

特定のデバイスでは、送信元ゾーンと宛先ゾーンを同じにできません。次の制約事項リストを参照してください。

（注）

バージョン 4.21 以降、Cisco Security Manager では、すべてのアグリゲーションサービスルータ、統合サービスルータ、埋め込み型サービスルータ、および Cisco IOS ソフトウェアで動作するすべてのデバイスについて、バグ修正または拡張機能のサポートを含むサポート全体が終了します。

Self ゾーン

ルータ自体は「Self」という固有の名前を持つ独立したセキュリティゾーンとして定義されており、IOS ファイアウォールがルータで終端または発信するトラフィック（「ローカル」トラフィックと呼ばれる）の検査をサポート（TCP、UDP および H.323 のみ）しているため、着信および発信ルータトラフィックは、ルーテッドゾーン間トラフィックと同じ方法でルールの対象となります。

インターフェイスがゾーンに割り当てられると、そのインターフェイスに接続されているホストがそのゾーンに含まれます。デフォルトでは、トラフィックは同じゾーンのメンバーであるインターフェイス間のフローを許可されており、デフォルトの「deny-all」ポリシーがゾーン間を移動するトラフィックに適用されます。

ただし、その他のゾーンおよびルータの IP インターフェイス（Self ゾーン）間を直接流れるトラフィックは暗黙的に許可されています。これにより、ゾーンファイアウォール設定がルータに適用される場合に、ルータの管理インターフェイスへの接続が維持されることが保証されます。

つまり、ルータのインターフェイスの IP アドレスへのトラフィックフローおよび IP アドレスからのトラフィックフローは、当初はゾーンポリシーによって制御されていません。ルータインターフェイスと他のゾーンの間を移動するトラフィックを制御する場合は、このローカルトラフィックをブロックまたは許可するルールを適用する必要があります。

Self ゾーンのルールを設定する場合は、次の点を考慮します。

ルータに設定されているすべての IP アドレスは、インターフェイスゾーンのメンバーシップに関係なく Self ゾーンに属します。
逆に明示的なルールを設定するまで、Self ゾーンとの間のトラフィックは制限されません。

つまり、Self ゾーンを含むゾーンベースのファイアウォールルールを構成すると、Self ゾーンと他のゾーンの間のトラフィックはすぐに両方向で制限されます。たとえば、「プライベート」ゾーンから Self ゾーンへのトラフィックに影響するルールを定義した場合、Self からプライベートへのルールを 1 つ以上定義するまで、ルータはプライベートゾーンにトラフィックを発信できません。

ルータ自体と、Self ゾーンルールに含まれない他のゾーンとの間のトラフィックは影響を受けません。

Self ゾーンに適用されるルールでは、検査アクションは許可されません。

インバウンド Self ゾーントラフィックに制限を設定する場合は、必要なアウトバウンドトラフィック（ルーティングプロトコルおよびネットワーク管理プロトコルを含む）を検討します。たとえば、あるゾーンからルータ自体へのインバウンドトラフィックを制限した場合、ルーティングプロトコルはそのゾーンに属するすべてのインターフェイスで動作を停止することがあります。

ゾーンベースのファイアウォールポリシーでの VPN の使用

IP Security（IPsec）VPN 実装が最近拡張されて、VPN 接続のファイアウォールポリシー設定が単純化されました。IPSec Virtual Tunnel Interface（VTI; 仮想トンネルインターフェイス）と GRE+IPSec により、特定のセキュリティゾーンにトンネルインターフェイスを配置することで、VPN サイト間接続およびクライアント接続をそのセキュリティゾーンに限定できます。接続が特定のポリシーによって制限される必要がある場合は、接続を VPN DMZ 内で隔離できます。または、VPN 接続が暗黙的に信頼されている場合は、VPN 接続をネットワーク内で信頼されているのと同じセキュリティゾーンに配置できます。

（トンネル/ループバック/仮想インターフェイスを動的に作成する）動的 VPN でゾーンベースのファイアウォールルールを使用するようにルータを設定するには、次の操作を行います。

VPN インターフェイス専用のゾーンを定義します。
[Zone Based Firewall] ページの [VPN] タブの [VPNゾーン（VPN Zone）] フィールドに、このゾーンを入力します。
ゾーンベースのファイアウォールルールを作成して、VPN トラフィックを適宜許可します。

VTI 以外の IPsec が採用されている場合は、VPN にゾーンベースのファイアウォールポリシーを設定するときに注意する必要があります。ゾーンポリシーでは、保護されたホストが暗号化された VPN トラフィックの入力インターフェイスとは異なるゾーンにある場合に、リモート VPN ホストまたはクライアントによるそれらのホストへのアクセスを明示的に許可する必要があります。このアクセスポリシーは、VPN クライアントの送信元 IP アドレスを列挙するアクセスコントロールリスト（ACL）、および VPN クライアントが到達することを許可されているすべての保護ホストの宛先 IP アドレスを含めることで設定する必要があります。アクセスポリシーが適切に設定されていない場合、ポリシーによって、脆弱なホストが敵対的なトラフィックにさらされる可能性があります。

これらのトピックの詳細については、cisco.com のホワイトペーパー『Using VPN with Zone-Based Policy Firewall』を参照してください。

ゾーンと VRF 対応ファイアウォール

Cisco IOS ファイアウォールは Virtual Routing and Forwarding（VRF）に対応しており、異なる VRF 間で重複する IP アドレス、VRF に対する個別のしきい値とタイムアウトなどを管理できます。ゾーンベースのファイアウォールルールを適用するには、ゾーン内のすべてのインターフェイスが同じ VRF に属している必要があります。

ルータで複数の VRF が設定されていて、あるインターフェイスですべての VRF に共通のサービス（インターネットサービスなど）が提供されている場合は、そのインターフェイスを別のゾーンに配置します。その後、共通ゾーンと他のゾーンとの間のポリシーを定義できます（VRF あたり 1 つ以上のゾーンを設定できます）。

次の図に示すように、異なる VRF を含む 2 つのゾーン間でルールを設定できます。

この図の場合：

共通サービスを提供するインターフェイスはゾーン「common」のメンバです。
すべての VRF A は、単一のゾーン「vrf_A」にあります。
VRF B には複数のインターフェイスが含まれており、「vrf_B_1」と「vrf_B_2」の 2 つのゾーンに分割されています。
ゾーン Z1 には VRF インターフェイスがありません。

この設定に基づいて、次の処理を行うことができます。

これらの各ゾーンと common ゾーンの間にポリシーを指定できます。さらに、VRF ルートエクスポートが設定されていて、トラフィックパターンが適切である場合は、ゾーン vrf_A、vrf_B_n、および Z1 のそれぞれの間でポリシーを指定できます。
ゾーン vrf_A と vrf_B_1 の間にポリシーを設定できますが、トラフィックがこれらのゾーン間を流れることができることを確認します。
VRF ごとにグローバルなしきい値とタイマーを指定する必要はありません。その代わりに、パラメータマップによって inspect アクションにパラメータが提供されます。

ゾーンベースのファイアウォールルールの Permit/Deny とアクションとの関係について

ゾーンベースのファイアウォールルールを作成する場合、実行に関連する 2 つの設定を行う必要があります。許可/拒否とアクション（ドロップ、パス、検査、またはコンテンツフィルタ）です。目的の結果を得るには、この 2 つのパラメータ間の関係を明確に理解する必要があります。

許可/拒否：許可/拒否設定は、アクセス制御リスト（ACL）エントリの許可/拒否に対応しているように見えます。ただし、ゾーンベースのファイアウォールルールでは、標準のアクセスルールとは異なり、これらのキーワードでトラフィックは許可または拒否されません。代わりに、[Source]、[Destination]、および [Services] フィールドで定義されたトラフィックフローにアクションを適用するかどうかと、それらが関連クラスマップの処理に影響するかどうかを指定します。
- 許可：指定したアクションを、[送信元（Source）]、[宛先（Destination）]、および [サービス（Services）]フィールドと一致するトラフィックに適用します（プロトコルが [Protocols] テーブルにリストされている場合、アクションはそれらのプロトコルに限定されます）。

ヒント：ゾーンベースのすべてのルールは基本的に「許可」ルールである必要があります。これは最も理解しやすい設定です。選択したアクションを適用するトラフィックを識別しているということです。

- 拒否：[送信元（Source）]、[宛先（Destination）]、および [サービス（Services）]フィールドで定義されたトラフィックを除外します。（プロトコルが [プロトコル（Protocols）] テーブルにリストされている場合、除外はそれらのプロトコルに限定されます）。つまり、ルールに一致しないトラフィックとして処理します。代わりに、ゾーンペアの後続のクラスマップ（ゾーンルールと同じではない）を評価し、トラフィックと一致する後続マップを探します。後続マップがトラフィックと一致しない場合は、デフォルトのルールをトラフィックに適用します（デフォルトのドロップ動作の変更を参照）。

ゾーンルールとクラスマップ間には 1 対 1 関係がないことに注意してください。したがって、ルールテーブルで参照するだけでは、ルールがクラスマップに変換される方法を判断できません。Deny 規則に一致するトラフィックに適用できる後続規則を確認するには、設定をプレビューする必要があります（設定をプレビューするには、変更を保存し、[ツール（Tools）] > [設定のプレビュー（ Preview Configuration）] を選択します。詳細については、設定のプレビューを参照してください）。

一般的に、拒否ルールを使用して、サブネットに適用する許可ルールからサブネット内の特定の IP アドレスを除外できます。たとえば、10.100.10.0/24 に適用されるルールから 10.100.10.1 を除外します。ただし、特定の IP アドレスの Permit ルールを作成し、目的のアクションを適用して、このルールがゾーンベースのルールテーブルの一般ルールよりも上にリストされるようにする方がはるかに簡単です。

Deny ルールを使用する場合は、ゾーンベースのルールと設定のトラブルシューティングも参照してください。

アクション：アクションパラメータは、許可ルールに一致するトラフィックに起きることを定義します。どのクラスマップにルールが追加されるかを判断する場合を除き、Deny ルールではこれらのパラメータが無視されます。

Permit ルールを作成する場合、[Source]、[Destination]、[Services]、および [Protocol] フィールドと一致するトラフィックは、選択したアクション（トラフィックをドロップ（さらにオプションでログに記録）、トラフィックを渡す（さらにオプションでログに記録）、トラフィックを検査、またはコンテンツフィルタリングを適用（Web トラフィックの場合のみ））に従って処理されます。

一部のプロトコルでトラフィックを検査する場合、またはコンテンツフィルタリングを実行する場合は、詳細インスペクションに使用するポリシーマップを指定するオプションもあります。詳細インスペクションポリシーマップでは、トラフィックのより詳細な特性に基づくアクションも指定します。この追加のインスペクションは、割り当てたポリシーマップが参照するクラスマップの要件を満たすパケットに適用されます。詳細インスペクションのクラスマップに一致しないパケットは許可されます。このため、詳細インスペクションは、ポリシーマップでそのアクションが指定されている場合に TCP 接続をリセットすることがあります。

次の表に、ゾーンベースのファイアウォールルールで選択した Permit/Deny とアクションの関係を示します。この表では、TCP サービスを例として使用しますが、全般的な説明は IP サービスにも適用されます。結果は、ルールで指定した [From Zone] と [To Zone] にだけ適用されます。

表 1. ゾーンベースのルールの Permit/Deny とアクションとの関係

許可/拒否

サービス

ルールアクション

プロトコル

結果

許可（Permit）

[TCP]

成功（Pass）

（なし）

すべての TCP トラフィックを通過させます。

拒否（Deny）

[TCP]

成功（Pass）

（なし）

ルールをスキップし、次のクラスマップを評価します。Permit ルールを含む次のクラスマップが適用されるか、またはクラスのデフォルトルールが適用されます。

Pass アクションは無視されます。

許可（Permit）

[TCP]

削除（Drop）

（なし）

すべての TCP トラフィックをドロップします。

拒否（Deny）

[TCP]

削除（Drop）

（なし）

ルールをスキップし、次のクラスマップを評価します。Permit ルールを含む次のクラスマップが適用されるか、またはクラスのデフォルトルールが適用されます。

Drop アクションは無視されます。

許可（Permit）

[TCP]

成功（Pass）

DNS

DNS トラフィックのみ通過させます。その他の TCP トラフィックは、以降のルールによって処理されます。

許可（Permit）

[TCP]

削除（Drop）

DNS

DNS トラフィックはドロップされます。その他の TCP トラフィックは、以降のルールによって処理されます。

拒否（Deny）

[TCP]

成功（Pass）

DNS

DNS トラフィックのルールをスキップし、次のクラスマップを評価します。Permit ルールを含む次のクラスマップが適用されるか、またはクラスのデフォルトルールが適用されます。

Pass アクションは無視されます。

拒否（Deny）

[TCP]

削除（Drop）

DNS

DNS トラフィックのルールをスキップし、次のクラスマップを評価します。Permit ルールを含む次のクラスマップが適用されるか、またはクラスのデフォルトルールが適用されます。

Drop アクションは無視されます。

許可（Permit）

[TCP]

検査（Inspect）

HTTP

HTTP トラフィックを許可して検査します。より詳細な検査用のポリシーマップを指定すると、ポリシーマップのアクションは、より詳細な検査パラメータに一致するすべてのパケットに適用されます（プロトコル違反の接続のリセットなど）。

拒否（Deny）

[TCP]

検査（Inspect）

HTTP

HTTP トラフィックのルールをスキップし、次のクラスマップを評価します。Permit ルールを含む次のクラスマップが適用されるか、またはクラスのデフォルトルールが適用されます。

検査アクションは無視されます。

ヒント

後続のルールまたはクラスデフォルトが検査なしでトラフィックを通過させる場合、HTTP 接続のリターントラフィックを許可するために、もう一方の方向に Permit/Pass ルール（またはアクセスルール）を作成する必要があります。HTTP 接続を禁止する場合は、拒否/検査ルールの代わりに許可/ドロップルールを作成します。

許可（Permit）

[TCP]

コンテンツフィルタ

HTTP

HTTP トラフィックを許可して検査し、URL フィルタリングマップを適用して、要求された Web サイトに基づいて Web 接続を選択的に許可または拒否します。

より詳細な検査用のポリシーマップを指定すると、ポリシーマップのアクションは、より詳細な検査パラメータに一致するすべてのパケットに適用されます（プロトコル違反の接続のリセットなど）。

このため、Web サイトがブラックリストに追加されたか、HTTP パケットが詳細インスペクションルールに違反したため、トラフィックがドロップされることがあります。

拒否（Deny）

[TCP]

コンテンツフィルタ

HTTP

HTTP トラフィックのルールをスキップし、次のクラスマップを評価します。Permit ルールを含む次のクラスマップが適用されるか、またはクラスのデフォルトルールが適用されます。

コンテンツフィルタアクションは無視されます。

ヒント

このタイプのルールでは、トラフィックをドロップまたはコンテンツフィルタリングを適用する後続のクラスマップがない場合に、指定した送信元/宛先をコンテンツフィルタリングから免除できます。ただし、このトラフィックに対して HTTP 接続を許可する場合は、トラフィックの Permit/Inspect ルールを作成する必要があります。

ゾーンベースのファイアウォールルールの Services と Protocols の関係について

ゾーンベースのファイアウォールを作成する場合、ターゲットトラフィックの特性の識別に役立つ、一見すると同じような 2 つのパラメータ（Services と Protocols）があります。これらのフィールドのエントリは非常によく似た情報を提供する場合がありますが、デバイス設定でゾーンベースのファイアウォールポリシーを構築するときに異なる方法で使用されます。ここでは、これらのフィールドの推奨される使用方法について説明します。

[サービス（Services）]：[サービス（Services）] フィールドは、アクセス制御リスト（ACL）エントリのトラフィックプロトコルの定義に使用されます。この ACL エントリは、指定された送信元と宛先とともに、ポリシーを適用するトラフィックを定義するためにクラスマップによって使用されます。ただし、標準のアクセスルールとは異なり、このサービス情報はトラフィックプロトコルを識別する主要な手段ではありません。ACL ではエントリごとにサービスを指定する必要があるため、サービス情報が必要となります。

一般に、[プロトコル（Protocol）] テーブルを使用して Drop、Pass、または Inspect の対象とする特定のプロトコルを識別するため、すべてのゾーンベースのファイアウォールルールの [サービス（Services）] フィールドはデフォルトエントリ（IP）のままにできます。

[Service] に IP 以外を指定する場合は、[Protocol] テーブルにリストされているプロトコルと競合しないように選択してください。たとえば、[サービス（Services）] フィールドで UDP を指定せずに、テーブルに TCP ベースのプロトコルをリストします。一般に、特定のルールに対して、[Services] フィールドに特定のサービスを指定する場合は、[Protocol] テーブルにプロトコルを入力しないでください。

[プロトコル（Protocol）]：[ゾーンベースのルールの追加（Add Zone Based Rule）] ダイアログボックスと [ゾーンベースのルールの編集（Edit Zone Based Rule）] ダイアログボックスの [アクション（Action）] 領域にある [プロトコル（Protocol）] テーブルは、1 つ以上のプロトコルの選択、カスタムポートアプリケーションマッピングの追加（デフォルト以外のポートを指定した場合）、およびディープインスペクションポリシーマップの適用に使用されます。DNS などの非常に特定的なプロトコル、TCP や UDP などの一般プロトコル、さらに特殊なアプリケーションに使用するポートを識別するカスタムプロトコルを指定できます。

原則として、[Services] は [IP] に設定したままにし、[Protocol] テーブルを使用して、Drop、Pass、Inspect アクションのすべてのゾーンベースルールに対するプロトコル（これもサービスです）を指定します（コンテンツフィルタアクションは、HTTP プロトコルを自動的に使用します。これを設定することはできますが、変更はできません。）このアプローチに従うと、可能な限り「クリーン」で、解釈（およびトラブルシューティング）が容易な設定が作成されます。

デバイスコンフィギュレーションを生成するときにこれらのフィールドがどのように使用されるかの詳細については、ゾーンベースのルールと設定のトラブルシューティングを参照してください。

ゾーンベースのファイアウォールルールに対する一般的な推奨事項

ゾーンベースのファイアウォールルールでは、さまざまな設定が可能です。標準のアクセスルール、インスペクションルール、および Web フィルタルールの代わりにゾーンベースのルールを使用できるため、非常に複雑で分析が難しい一連のルールをすばやく生成できます。

ゾーンベースのルールを定義する際は、それらをできるだけ単純明快なものにするように努めてください。ゾーンベースのファイアウォールポリシーの簡略性を維持するために、次の推奨事項を考慮してください。

許可ルールのみを使用します。選択したアクションによって、一致したトラフィックに対する処理が決定されます。拒否ルールは解析が困難です。詳細については、ゾーンベースのファイアウォールルールの Permit/Deny とアクションとの関係についてを参照してください。
ドロップルールとパスルールは、標準のインターフェイスアクセスルールと同等ですが、指定されたゾーンペアに適用されます。[サービス（Services）] フィールドまたは [プロトコル（Protocol）] テーブルのいずれかを使用してトラフィックのタイプを識別できますが、[プロトコル（Protocol）] テーブルのみを使用することをお勧めします。トラフィックをドロップするには、アクション [ドロップ（Drop）] とともに [許可（Permit）] を指定します。
最初のトラフィックを検査する前に、それを通過させる必要はありません。たとえば、ゾーン間の HTTP トラフィックを許可する場合、必要な許可/インスペクションルールは 1 つだけです。最初に許可/パスルールを作成する必要はありません。Pass ルールを使用する場合で、リターントラフィックを許可する場合には、リターン方向の Pass ルールも作成する必要があることに注意してください。実際には、通常、インスペクションルールのみを使用して、パスルールの作成を避けることができます。
許可/パスルールと許可/ドロップルールを使用して、標準のアクセスルールと同じ機能を実行できます。このため、アクセスルールポリシーを排除し、ゾーンベースのファイアウォールルールだけを使用できます。

ただし、インターフェイスアクセスルールの解析に使用できるツールは複数あり、Security Manager ではゾーンベースルールとアクセスルールに同じインターフェイスロールを使用できるため、ゾーンルールテーブルではなくアクセスルールテーブルに Pass/Drop ポリシー（標準アクセスルールの Permit/Deny）を作成する方が便利な場合があります。ゾーンルールテーブルは、主にゾーンベースの Inspection および Content Filter ルールに使用します。

セクションを使用して、各ゾーンペアのルールを編成します。セクションを使用すると、ペアのすべてのルールを簡単に参照できます。これは、ルールに順序の依存関係がある場合に重要になることがあります。セクションでの作業の詳細については、セクションを使用したルールテーブルの編成を参照してください。

ゾーンベースのファイアウォールルールの開発と適用

次に、ゾーンベースのファイアウォールルールを作成してネットワークに適用する方法の概要を示します。

セキュリティゾーンに関してネットワークとそのサブネットワークを検討します。さまざまなゾーンのセキュリティ要件について考えます。一般的なガイドラインとして、セキュリティの観点から見たときに類似するルータインターフェイスをグループ化します。
あるゾーンから別のゾーンに移動するときに検査されるトラフィックのタイプを決定し、それぞれのタイプをどのように検査し、処理するかを決定します。
これらの決定を実行するゾーンベースのファイアウォールルールを定義します。このプロセスには、ルール自体を定義する前に実行できる、またはルールの定義中に必要に応じて実行できる次の手順の一部またはすべてが含まれる場合があります。
- 名前付きインターフェイスロールオブジェクトを作成し、適切なインターフェイスとインターフェイスパターンをそれらのオブジェクトに割り当てることで、ゾーンを定義します。
- 特定のレイヤ 4 プロトコルとポート、およびオプションで特定のネットワークとホストの Port Application Mapping（PAM; ポートアプリケーションマッピング）設定を定義/編集します。
- レイヤ 7 プロトコル（HTTP、IMAP、インスタントメッセージング（IM）、ピアツーピア（P2P））のディープパケットインスペクション（DPI）ポリシーを設定します。
- プロトコル情報パラメータマップを設定します。これらのパラメータマップは IM アプリケーションと対話する DNS サーバを定義します。
- 検査アクションの接続、タイムアウト、およびその他の設定を定義する検査パラメータマップを設定します。
- URL ベースコンテンツフィルタリングの WebFilter パラメータまたは WebFilter ポリシーマップを定義します。

ここでは、これらの手順に関する追加情報を提供します。

マップオブジェクトについて
ゾーンベースのファイアウォールポリシーのコンテンツフィルタリングマップの設定
ゾーンベースのファイアウォールポリシーのインスペクションマップの設定

ゾーンベースのファイアウォールルールの追加

この手順では、Security Manager でゾーンベースのファイアウォールルールを設定する方法について説明します。

関連項目

手順

ステップ 1

[Zone-based Firewall Rules] ページへのアクセス方法を次に示します。

（デバイスビュー）IOS ルータを選択し、ポリシーセレクタから [ファイアウォール（Firewall）] > [ゾーンベースのファイアウォールルール（Zone Based Firewall Rules）] を選択します。
（ポリシービュー）ポリシータイプセレクタから [ファイアウォール（Firewall）] > [ゾーンベースのファイアウォールルール（Zone Based Firewall Rules）] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2

ルールテーブルの下にある [行の追加（Add Row）] ボタンをクリックするか、テーブル内の任意の場所を右クリックして [行の追加（Add Row）] を選択し、[ゾーンベースのファイアウォールルールの追加（Add Zone Based Firewall Rule）] ダイアログボックスを開きます。

このダイアログボックスの詳細な説明については、ゾーンベースのファイアウォールルールの追加と編集を参照してください。

ステップ 3

このルールの基本トラフィックフローを定義します。

（注）

[Permit/Deny]、[Sources]、[Destinations]、および [Services] オプションは、詳細なアクション関連ポリシーを適用することで拡張でき、特定のゾーンのペア間の特定の方向に制限される単純なアクセスルールの定義と考えることができます。

[Permit] または [Deny] で、このルールに一致するトラフィックをさらに処理するかどうかを選択します。詳細については、ゾーンベースのファイアウォールルールの Permit/Deny とアクションとの関係についてを参照してください。
必要に応じて、送信元と宛先のホスト/ネットワークまたはセキュリティグループ（IOS 15.2(2)T+ および IOS-XE 3.5.x(15.2(1)S)+ のみ）を指定します。

デフォルトでは、トラフィック定義には、「any」（任意）の送信元から「any」（任意）の宛先へのパケットが含まれます。これらのフィールドを使用して、1 つ以上の送信元および宛先ホスト/ネットワークを指定することにより、この基本トラフィック定義を改良できます（詳細については、ネットワーク/ホストオブジェクトについておよびネットワーク/ホストオブジェクトについてを参照してください）。
IP や TCP など、トラフィックのタイプを示す 1 つ以上のサービス（プロトコル）を指定します。

複数のサービスを指定できますが、IP は通常、単独で使用されます（サービスとサービスオブジェクトおよびポートリストオブジェクトの理解と指定を参照。）
[From Zone] を指定します。このゾーンから発信したトラフィックだけが一致します。

[To Zone] を指定します。このゾーンに流れるトラフィックだけが一致します。

ゾーン/インターフェイスオブジェクトの詳細については、インターフェイスロールオブジェクトについてを参照してください。

（注）

[開始ゾーン（From Zone）] と [終了ゾーン（To Zone）] は、「ゾーンペア」と呼ばれるものを構成します。

[Advanced] ボタンをクリックして時間範囲を追加するか、このゾーンベースのファイアウォールルールに packet-fragment または established-connection 制限を適用します。

これらのオプションの詳細については、ゾーンベースのファイアウォールルール：[Advanced Options] ダイアログボックスを参照してください。

ステップ 4

ベースアクションを選択し、必要に応じて追加のパラメータを指定することにより、この定義に一致するトラフィックに適用されるアクションを指定します。

ベースアクションを選択します。

[ドロップ（Drop）]：一致するトラフィックはサイレントにドロップされます。ドロップの通知は発信元ホストに送信されません。
[ドロップして記録（Drop and Log）]：一致するトラフィックはドロップされ、syslog メッセージが生成されます。ドロップの通知は発信元ホストに送信されません。
[通過（Pass）]：トラフィックは転送されます。このアクションは単方向です。[Pass] では、指定した方向のトラフィックだけが許可されます。
[通過させて記録（Pass and Log）]：トラフィックは転送され、syslog メッセージが生成されます。

（注）

[通過（Pass）] アクションは、トラフィック内の接続またはセッションの状態を追跡しません。[通過（Pass）] は、一方向のトラフィックのみを許可します。リターントラフィックを許可するには、対応するルールを定義する必要があります。Pass アクションは、IPSec ESP、IPSec AH、ISAKMP、およびその他の動作が予測可能なセキュアなプロトコルに役立ちます。ただし、ほとんどのアプリケーショントラフィックは、Inspect アクションを指定したゾーンベースのファイアウォールルールでより適切に処理されます。

[検査（Inspect）]：このオプションは、状態に基づくトラフィック制御を提供します。デバイスは TCP および UDP トラフィックに関する接続またはセッション情報を維持するため、接続要求に対するリターントラフィックが許可されます。

選択したレイヤ 4（TCP、UDP）プロトコルおよびレイヤ 7（HTTP、IMAP、インスタントメッセージング、およびピアツーピア）プロトコルに基づいたパケットインスペクションを適用する場合、このオプションを選択します。選択したプロトコルのポートアプリケーションマッピング（PAM）も編集でき、ディープパケットインスペクション（DPI）を設定して、レイヤ 7 プロトコルの追加のプロトコル関連情報を指定できます。

[コンテンツフィルタ（Content Filter）]：WebFilter パラメータマップまたは WebFilter ポリシーマップに基づいて HTTP コンテンツインスペクション（URL フィルタリング）を設定します。このアクションは一般に Web フィルタルールと同等ですが、ゾーンベースのファイアウォールルールでは、HTTP ディープパケットインスペクション（DPI）などの追加の詳細オプションがサポートされます。

ルータが HTTP 要求を代行受信し、プロトコル関連の検査を実行します。また、任意で、要求を許可するかブロックするかを決定するためにサードパーティ製サーバに接続します。WebFilter パラメータマップを提供できます。このマップにより、ローカル URL リスト、および外部 SmartFilter（以前の N2H2）や Websense サーバからの情報に基づくフィルタリングを定義します。または、ローカル、N2H2、Websense、または Trend Micro フィルタリングデータにアクセスする WebFilter ポリシーマップを提供できます。

コンテンツフィルタ以外のアクションについては、考慮される特定のトラフィックプロトコルを選択および編集できます。

[プロトコル（Protocol）] テーブルの横にある [選択（Select）] をクリックして[Protocol Selector] ダイアログボックスを開きます。1 つ以上のプロトコルを選択し、[>>] をクリックしてそれらを [選択済みのプロトコル（Selected Protocols）] リストに追加します。選択したプロトコルの [Port Application Mapping (PAM)] 設定を編集できます。詳細については、[Configure Protocol] ダイアログボックスを参照してください。

インスタントメッセージングおよび Stun-ice プロトコルでは、プロトコル情報パラメータマップを選択できます。また、アクションとして [Inspect] が選択されている場合、一部のプロトコルでは詳細インスペクションポリシーマップを選択できます。

詳細については、ゾーンベースのファイアウォールポリシーのインスペクションマップの設定およびプロトコル情報パラメータマップの設定を参照してください。

（注）

[ドロップ（Drop）]、[ドロップして記録（Drop and Log）]、[通過（Pass）]、[通過させて記録（Pass and Log）] アクションのプロトコルを指定する必要はありません。[Protocol] テーブルを空のままにして、[送信元（Sources）]、[宛先（Destinations）]、および [サービス（Services）] パラメータに基づいてトラフィックを渡すかドロップできます。

選択したアクションが [Content Filter] の場合は、URL フィルタリングを設定します。
1. [Protocol] フィールドの横の [Configure] をクリックして HTTP PAM 設定をカスタマイズし、HTTP 詳細インスペクションポリシーマップを適用します。詳細については、[Configure Protocol] ダイアログボックスを参照してください。
2. [WebFilter Parameter Map] または [WebFilter Policy Map] を選択し、適切な WebFilter マップの名前を入力または選択します。詳細については、ゾーンベースのファイアウォールポリシーのコンテンツフィルタリングマップの設定を参照してください。
選択したアクションが [Inspect] または [Content Filter] の場合は、カスタマイズした接続、タイムアウト、およびその他の設定のセットに適用するインスペクションパラメータマップの名前を入力または選択します。詳細については、インスペクションパラメータマップの設定を参照してください。

ステップ 5

（任意）ルールの識別に役立つ説明を入力します。

ステップ 6

（任意）[Category] の下で、ルールテーブルでこのルールを識別するために使用するカテゴリを選択します。カテゴリオブジェクトの使用を参照してください。

ステップ 7

[OK] をクリックして [ゾーンベースのファイアウォールルールの追加（Add Zone Based Firewall Rule）] ダイアログボックスを終了し、[ゾーンベースのファイアウォールルール（Zone Based Firewall Rules）] テーブルに戻ります。

新しいルールがテーブルにリストされます。

ゾーンベースのファイアウォールポリシーのインスペクションマップの設定

ルータのゾーンベースのファイアウォールポリシーを設定する場合は、ルールのアクションとして [Inspect] を選択することで、トラフィックを検査するルールを定義できます。続いて、検査する特定のプロトコルを選択できます。

一部のプロトコルでは、ポリシーマップを選択して、基準に一致するパケットに対して詳細インスペクションを実行できます。これらのマップは、ルールの定義時に [ポリシーオブジェクトセレクタ（Policy Object Selector）] ダイアログボックスから設定するか、[Policy Object Manager] ウィンドウでいつでも設定できます（[管理（Manage）] > [ポリシーオブジェクト（Policy Objects）] を選択）。ポリシーマップに加えて、インスペクションに対して設定できるパラメータマップがいくつかあります。

詳細インスペクションを許可するプロトコルでは、関連ポリシーマップを選択できます。ポリシーマップには、ターゲットのトラフィックの一致条件を定義するクラスマップが含まれます。これらのポリシーマップを [Policy Object Manager] で作成するには、[マップ（Maps）] > [ポリシーマップ（Policy Maps）] > [検査（Inspect）] フォルダから、次の表に一覧表示されている使用可能なマップタイプの 1 つを選択し、ゾーンベースのファイアウォールポリシーのポリシーマップの設定に記載の詳細な使用方法情報を確認します。

詳細インスペクションポリシーマップで使用するクラスマップの作成については、次の表の一致基準ダイアログボックスと、ゾーンベースのファイアウォールポリシーのクラスマップの設定を参照してください。これらのクラスマップは、[Policy Object Manager] の [マップ（Maps）] > [クラスマップ（Class Maps）] > [検査（Inspect）] フォルダにあります。

アクションとして [Inspect]（または [Content Filter]）が選択されている場合は、ゾーンベースのファイアウォールルールの追加と編集のインスペクションパラメータマップも適用できます。ゾーンベースのファイアウォールインスペクションには、いくつかの一般設定が含まれ、そのすべてに、ほとんどのネットワークに適切なデフォルト値があります。これらの設定のいずれかを調整する場合は、検査パラメータマップを作成する必要があります。[Policy Object Manager] で、[マップ（Maps）] > [パラメータマップ（Parameter Maps）] > [検査（Inspect）] > [検査パラメータ（Inspect Parameters）] を選択し、インスペクションパラメータマップの設定の詳細な使用状況情報を確認します。

表 2. ゾーンベースのファイアウォールインスペクションルールのポリシーオブジェクト
プロトコル	IOS ソフトウェアの最小バージョン	ポリシーマップ	クラスマップ	パラメータマップ	説明および一致基準の参照
インスタントメッセージング：AOL、ICQ、MSN Messenger、Windows Messenger、Yahoo Messenger	12.4(9)T	IM（ゾーンベースの IOS）	AOL ICQ MSN Messenger Windows Messenger Yahoo Messenger	Protocol Info	サービスのタイプ（テキストチャットまたはその他）に基づいてトラフィックを検査します。ゾーンベースのファイアウォールの IM アプリケーションクラスマップ：[Add Match Condition]/[Edit Match Condition] ダイアログボックスを参照してください。プロトコル情報パラメータマップを選択して、検査しているトラフィックで使用されている DNS サーバも定義する必要があります。プロトコル情報パラメータマップの設定を参照してください。
Peer-to-peer（P2P; ピアツーピア）：eDonkey、FastTrack、Gnutella、Kazaa2	12.4(9)T	P2P	eDonkey FastTrack Gnutella Kazaa2	なし（None）	ファイル名に基づいてトラフィックを検査します。ゾーンベースのファイアウォールの P2P アプリケーションクラスマップ：[Add Match Condition]/[Edit Match Condition] ダイアログボックスを参照してください。
H.323	12.4(6)T	H.323（IOS）	H.323（IOS）	なし（None）	H.323 メッセージタイプに基づいてトラフィックを検査します。H.323（IOS）クラスマップの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックスを参照してください。
HTTP	12.4(6)T	HTTP（Zone ベースの IOS）	HTTP（IOS）	なし（None）	ヘッダーや本文の内容、ポートの誤用、トラフィックに Java アプレットが含まれているかどうかなど、広範な基準に基づいてトラフィックを検査します。HTTP（IOS）クラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックスを参照してください。
Internet Message Access Protocol（IMAP） Post Office Protocol 3（POP3）	12.4(6)T	IMAP POP3	IMAP POP3	なし（None）	無効なコマンドまたはクリアテキストログインに基づいてトラフィックを検査します。IMAP および POP3 クラスマップの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックスを参照してください。
SIP（Session Initiation Protocol）	12.4(6)T	SIP（IOS）	SIP（IOS）	なし（None）	広範な基準に基づいてトラフィックを検査します。SIP（IOS）クラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックスを参照してください。
SMTP（Simple Mail Transfer Protocol）	12.4(6)T	SMTP	SMTP	なし（None）	データ長に基づいてトラフィックを検査します。SMTP クラスマップの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックスを参照してください。
Stun-ice	12.4(9)T	なし	なし	Protocol Info	プロトコル情報パラメータマップを選択して、検査しているトラフィックで使用されている DNS サーバーを定義する必要があります。プロトコル情報パラメータマップの設定を参照してください。
Sun Remote Procedure Call（RPC; リモートプロシージャコール）	12.4(6)T	Sun RPC	Sun RPC	なし（None）	RPC プロトコル番号に基づいてトラフィックを検査します。Sun RPC クラスマップの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックスを参照してください。
SCTP（Stream Control Transmission Protocol）	12.4(6)T	SCTP	なし	なし	PPID 一致基準に基づいてトラフィックを検査します。SCTP ポリシーマップの [一致条件とアクションの追加または編集（Add or Edit Match Condition and Action] ダイアログボックスを参照してください。
Diameter プロトコル	12.4(6)T	Diameter	Diameter	なし（None）	アプリケーション ID、コマンドコード、および AVP に基づいてトラフィックを検査します。Diameter クラスとポリシーマップの [一致条件（とアクション）の追加または編集（Add or Edit Match Condition (and Action)] ダイアログボックスを参照してください。
LISP（Locator and ID Separation Protocol）	12.4(6)T	LISP	なし	なし	アプリケーション ID、コマンドコード、および AVP に基づいてトラフィックを検査します。

ゾーンベースのファイアウォールポリシーのクラスマップの設定

[Add Class Map]/[Edit Class Map] ダイアログボックスを使用すると、同じタイプのポリシーマップで使用するクラスマップを定義できます。ダイアログボックスの名前は、作成するマップのタイプを示します。

クラスマップでは、アプリケーション固有の基準に基づいてトラフィックを定義します。次に、対応するポリシーマップ内のクラスマップを選択し、選択したトラフィックに適用するアクションを設定します。したがって、各クラスマップには、同じ方法（許可する、ドロップするなど）で処理するトラフィックを含める必要があります。

Cisco IOS ソフトウェアを実行しているデバイスのゾーンベースのファイアウォールルールを設定する場合は、次の目的でクラスマップを作成できます。

12.4(6)T 以降では、H.323、HTTP、IMAP、POP3、SIP、SMTP、および Sun RPC タイプのトラフィックのインスペクション用のクラスを作成できます。Local、N2H2（SmartFilter）、WebSense のクラスタイプを使用して、Web フィルタリングのクラスを作成できます。一致基準の詳細については、次の項を参照してください。
12.4(9)T 以降では、AOL、eDonkey、FastTrack、Gnutella、ICQ、Kazaa2、MSN Messenger、Windows Messenger、および Yahoo Messenger タイプのトラフィックのインスペクション用のクラスを作成できます。一致基準の詳細については、次の項を参照してください。
- ゾーンベースのファイアウォールの IM アプリケーションクラスマップ：[Add Match Condition]/[Edit Match Condition] ダイアログボックス
- ゾーンベースのファイアウォールの P2P アプリケーションクラスマップ：[Add Match Condition]/[Edit Match Condition] ダイアログボックス
12.4(20)T 以降では、トレンドポリシーオブジェクトを使用して Web フィルタリングのクラスを作成できます。Trend コンテンツフィルタクラスマップの一致基準については、次の表で説明します。

ナビゲーションパス

[管理（Manage）] > [ポリシーオブジェクト（Policy Objects）] を選択し、コンテンツテーブルの [マップ（Maps）] > [クラスマップ（Class Maps）] フォルダ内のフォルダにある任意のゾーンベースのクラスマップオブジェクトを選択します。作業領域内を右クリックしてから [新規オブジェクト(New Object] を選択するか、行を右クリックしてから [オブジェクトの編集（Edit Object）] を選択します。

フィールドリファレンス

表 3. ゾーンベースのファイアウォールポリシーの [Add Class Maps]/[Edit Class Maps] ダイアログボックス

要素

説明

名前

ポリシーオブジェクトの名前。最大 40 文字を使用できます。

説明

ポリシーオブジェクトの説明。最大 200 文字を使用できます。

[Match] テーブル

一致タイプ（Match Type）

（Trend コンテンツフィルタクラスマップを除く）

[Match] テーブルには、クラスマップに含まれている基準が表示されます。各行には、各基準に一致する、または一致しないトラフィックを検査で検索するかどうか、および検査される基準と値が示されます。

テーブルの名前は、クラスに一致するためにトラフィックがすべての基準を満たす必要があるか（[Match All]）、またはリストされているいずれかの基準との一致で十分か（[Match Any]）を示します。HTTP（IOS）および SMTP クラスの場合は、すべて一致といずれか一致のどちらかを選択できます。[Match All] テーブルを使用しているときに、複数の基準を追加する場合は、いずれのトラフィックとも一致しない特性のセットを定義しないようにしてください。

ヒント

[完全一致（Match All）] は、Cisco IOS Software バージョン 12.4(20)T 以降を実行しているデバイスでだけ動作します。

基準を追加するには、[Add] ボタンをクリックし、[Match Criterion] ダイアログボックスに入力します。詳細については、上記で示している項を参照してください。
基準を編集するには、基準を選択し、[Edit] ボタンをクリックします。
基準を削除するには、基準を選択し、[Delete] ボタンをクリックします。

Trend コンテンツフィルタ一致基準

Trend コンテンツフィルタクラスマップの一致基準は、他のどのクラスマップとも異なります。テーブルに項目を追加する代わりに、リストから目的の項目を選択します。次のタブにある Trend-Micro 分類のいずれかの [Enable] チェックボックスをオンにします。トラフィックは、いずれかの選択項目と一致する場合にクラスと一致します。

[Productivity Categories]：トラフィックを URL が属するカテゴリと照合します。たとえば、ギャンブルやポルノに関連するトラフィックをターゲットにできます。
[Security Ratings]：トラフィックを、Trend-Micro によって割り当てられたセキュリティレーティングと照合します。たとえば、広告に関連するトラフィックであるアドウェアをターゲットにできます。

これらのカテゴリまたはセキュリティ分類の詳細については、Trend-Micro のマニュアルを参照してください。

カテゴリ

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。カテゴリオブジェクトの使用を参照してください。

デバイスごとに値のオーバーライドを許可

オーバーライド

[編集（Edit）] ボタン

デバイスレベルでのオブジェクト定義の変更を許可するかどうか。詳細については、ポリシーオブジェクトの上書きの許可および個々のデバイスのポリシーオブジェクトオーバーライドについてを参照してください。

デバイスのオーバーライドを許可した場合は、[編集（Edit）] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[オーバーライド（Overrides）] フィールドには、このオブジェクトに対するオーバーライドを持つデバイスの数が表示されます。

ゾーンベースのファイアウォールの IM アプリケーションクラスマップ：[Add Match Condition]/[Edit Match Condition] ダイアログボックス

ゾーンベースのファイアウォールポリシーで使用するさまざまな Instant Messenger（IM; インスタントメッセンジャ）アプリケーションクラス用の [Add Match Criterion]/[Edit Match Criterion] ダイアログボックスを使用して、クラスマップの一致基準と値を定義します。

次のタイプのトラフィックに対して一致を定義できます。

[Any]：テキストチャットトラフィックを除く、アプリケーションからの任意のタイプのトラフィック。
[Text-chat]：テキストチャットトラフィック。

ナビゲーションパス

AOL、ICQ、MSN Messenger、Windows Messenger、または Yahoo Messenger クラスの [クラスマップの追加（Add Class Maps）]/[クラスマップの編集（Edit Class Maps）] ダイアログボックスで、テーブル内を右クリックして [行の追加（Add Row）] を選択するか、行を右クリックして [行の編集（Edit Row）] を選択します。ゾーンベースのファイアウォールポリシーのクラスマップの設定を参照してください。

ゾーンベースのファイアウォールの P2P アプリケーションクラスマップ：[Add Match Condition]/[Edit Match Condition] ダイアログボックス

ゾーンベースのファイアウォールポリシーで使用するさまざまな Peer-to-Peer（P2P; ピアツーピア）アプリケーションクラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックスを使用して、クラスマップの一致基準と値を定義します。

ナビゲーションパス

eDonkey、FastTrack、Gnutella、または Kazaa2 クラスの [クラスマップの追加（Add Class Maps）]/[クラスマップの編集（Edit Class Maps）] ダイアログボックスで、テーブル内を右クリックして [行の追加（Add Row）] を選択するか、行を右クリックして [行の編集（Edit Row）] を選択します。ゾーンベースのファイアウォールポリシーのクラスマップの設定を参照してください。

フィールドリファレンス

表 4. ゾーンベースのファイアウォールの P2P アプリケーションクラスマップの [Add Match Condition]/[Edit Match Condition] ダイアログボックス

要素

説明

基準

照合の基準を選択します。

[File Transfer]：ファイル転送トラフィックを照合します。
[Search Filename]：ユーザが検索しているファイルの名前を照合します。この基準を使用して、ユーザが eDonkey を使用して特定のファイルを検索できないようにできます。
[Text Chat]：eDonkey テキストチャットトラフィックを照合します。

タイプ（Type）

基準に一致するトラフィックをマップに含めることを指定します。

ファイル名

トラフィックに関連付けられているファイルの名前。正規表現を使用して、名前のパターンを指定できます。正規表現の作成に使用できるメタ文字の詳細については、正規表現の作成に使用されるメタ文字を参照してください。

ヒント

eDonkey にはファイル名は不要です。

H.323（IOS）クラスマップの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

（注）

バージョン 4.17 以降、Cisco Security Manager は引き続き IOS の機能をサポートしていますが、拡張機能はサポートしていません。

ゾーンベースのファイアウォールポリシーで使用する H.323（IOS）クラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックスを使用して、クラスマップの一致基準と値を定義します。H.323 プロトコルメッセージタイプに基づいてトラフィックを照合できます。照合するメッセージを選択します。

ナビゲーションパス

H.323（IOS）クラスの [クラスマップの追加（Add Class Maps）]/[クラスマップの編集（Edit Class Maps）] ダイアログボックスで、テーブル内を右クリックして [行の追加（Add Row）] を選択するか、行を右クリックして [行の編集（Edit Row）] を選択します。ゾーンベースのファイアウォールポリシーのクラスマップの設定を参照してください。

HTTP（IOS）クラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

（注）

バージョン 4.17 以降、Cisco Security Manager は引き続き IOS の機能をサポートしていますが、拡張機能はサポートしていません。

ゾーンベースのファイアウォールポリシーで使用する HTTP（IOS）クラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックスを使用して、クラスマップの一致基準と値を定義します。

このダイアログボックスのフィールドは、選択した基準によって変わります。次の基準を使用できます。

[Request/Response Body Length]、[Request Body Length]、[Response Body Length]：要求、応答、またはその両方の本文の長さが指定した数よりも小さいまたは大きいことを指定します。これにより、最小または最大のメッセージ長を設定できます。
[Request/Response Body]、[Request Body]、[Response Body]：要求、応答、またはその両方の本文の照合に正規表現を適用します。
[Request/Response Header]、[Request Header]、[Response Header]：ヘッダーと正規表現の照合、繰り返しフィールドのテスト、コンテンツタイプのチェック、またはヘッダー内のレコードの合計の長さまたはレコード数のチェックを行うことができます。
[Request/Response Protocol Violation]：非準拠 HTTP トラフィックを照合します。
[Request Argument]、[Request URI]：要求メッセージ内の引数（パラメータ）または Uniform Resource Identifier（URI）の長さやコンテンツ（正規表現）を照合します。
[Request Port Misuse]：特定のタイプのアプリケーションによるポートの誤使用を照合します。
[Response Body Java Applet]：HTTP 接続の Java アプレットを照合します。
[Response Header Status Line]：ヘッダー内のステータス行のコンテンツの照合に正規表現を適用します。

ナビゲーションパス

HTTP（IOS）クラスの [クラスマップの追加（Add Class Maps）]/[クラスマップの編集（Edit Class Maps）] ダイアログボックスで、テーブル内を右クリックして [行の追加（Add Row）] を選択するか、行を右クリックして [行の編集（Edit Row）] を選択します。ゾーンベースのファイアウォールポリシーのクラスマップの設定を参照してください。

フィールドリファレンス

表 5. HTTP（IOS）クラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス
要素	説明
基準	照合する HTTP トラフィック基準を指定します。基準については、上記で説明しています。
タイプ（Type）	基準に一致するトラフィックをマップに含めることを指定します。
可変フィールド次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。
最小長	評価されるフィールドの最小長（バイト単位）。指定した数値よりも長さが小さい場合は、条件が一致します。
最大長	評価されるフィールドの最大長（バイト単位）。指定した数値よりも長さが大きい場合は、条件が一致します。
ヘッダーオプション	ヘッダーレコードのタイプ。レコードタイプを選択しない場合は、ヘッダー内のすべてのレコードにカウントまたは表現が適用されます。レコードタイプを選択した場合、それらの選択は選択したタイプのレコードにだけ適用されます。コンテンツタイプまたは転送の符号化を選択した場合は、それらのタイプに関連する追加の選択を行うことができます。
要求メソッド	照合する要求メソッド。
値（コンテンツタイプ）	[Header Option] フィールドでコンテンツタイプを選択した場合、次のタイプを選択できます。 [Mismatch]：要求メッセージの受け入れフィールド値に照らして応答メッセージのコンテンツタイプを検証します。 [Unknown]：コンテンツタイプは不明です。既知のすべての MIME タイプに照らして項目を評価する場合は、[Unknown] を選択します。 [Violation]：コンテンツタイプ定義と実際の本文のコンテンツタイプが一致しません。
エンコードタイプ	[Header Option] フィールドで転送の符号化を選択した場合、次のタイプを選択できます。 [All]：すべての転送符号化タイプ。 [Chunked]：メッセージ本文は一連のチャンクとして転送され、各チャンクに固有のサイズインジケータが含まれます。 [圧縮（Compress）]：メッセージ本文は、UNIX ファイル圧縮を使用して転送されます。 [Deflate]：メッセージ本文は、zlib 形式（RFC 1950）および deflate 圧縮（RFC 1951）を使用して転送されます。 [GZIP]：メッセージ本文は、GNU zip（RFC 1952）を使用して転送されます。 [Identity]：転送の符号化は実行されません。
Greater Than Count	ヘッダーで使用できるレコードの最大数。特定のヘッダーオプションを選択した場合、カウントはそれらのタイプのレコードに適用されます。特定のヘッダーオプションを選択しない場合、カウントはタイプにかかわらずヘッダー内のレコードの総数に適用されます。
正規表現	パターンマッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。
ポート誤使用	照合する要求ポート誤使用のタイプ。選択できるオプションは、次のとおりです。 [Any]：リストされている誤使用タイプのいずれか。 [IM]：インスペクションの対象となるインスタントメッセージングプロトコルアプリケーション。 [P2P]：インスペクションの対象となるピアツーピアプロトコルアプリケーション。 [Tunneling]：インスペクションの対象となるトンネリングアプリケーション（HTTPPort/HTTPHost）。

IMAP および POP3 クラスマップの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

ゾーンベースのファイアウォールポリシーで使用する Internet Message Access Protocol（IMAP）および Post Office Protocol 3（POP3）クラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックスを使用して、クラスマップの一致基準と値を定義します。

照合するトラフィックを識別するために次の基準を選択できます。

[Invalid Command]：POP3 サーバまたは IMAP 接続で有効でないコマンドを照合します。
[Login Clear Text]：パスワードがクリアテキストで提供されるセキュアでないログインを照合します。

ナビゲーションパス

IMAP または POP3 クラスの [クラスマップの追加（Add Class Maps）]/[クラスマップの編集（Edit Class Maps）] ダイアログボックスで、テーブル内を右クリックして [行の追加（Add Row）] を選択するか、行を右クリックして [行の編集（Edit Row）] を選択します。ゾーンベースのファイアウォールポリシーのクラスマップの設定を参照してください。

SIP（IOS）クラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

（注）

バージョン 4.17 以降、Cisco Security Manager は引き続き IOS の機能をサポートしていますが、拡張機能はサポートしていません。

ゾーンベースのファイアウォールポリシーで使用する SIP（IOS）クラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックスを使用して、クラスマップの一致基準と値を定義します。

このダイアログボックスのフィールドは、選択した基準によって変わります。

ナビゲーションパス

SIP（IOS）クラスの [クラスマップの追加（Add Class Maps）]/[クラスマップの編集（Edit Class Maps）] ダイアログボックスで、テーブル内を右クリックして [行の追加（Add Row）] を選択するか、行を右クリックして [行の編集（Edit Row）] を選択します。ゾーンベースのファイアウォールポリシーのクラスマップの設定を参照してください。

フィールドリファレンス

表 6. SIP（IOS）クラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス
要素	説明
基準	照合するトラフィック基準を指定します。次の中から選択できます。 [Protocol Violation]：プロトコルに違反するトラフィックを照合します。 [Request/Response Header Options]：選択した要求または応答ヘッダーフィールドと正規表現を照合します。 [Request Options]：選択した要求ヘッダーフィールドと要求メソッドを照合するか、正規表現を照合します。 [Response Options]：選択した応答ヘッダーフィールドまたはステータスメッセージと正規表現を照合します。
タイプ（Type）	基準に一致するトラフィックをマップに含めることを指定します。
可変フィールド次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。
ヘッダー	要求または応答メッセージのヘッダーのタイプ。正規表現は、選択したタイプのヘッダーの内容と照合されます。
方法	検査する要求メソッドを次に示します。 [ack]：前のメッセージが有効で受け入れられることを確認応答します。 [bye]：コールを終了することを示します。 [cancel]：保留中の要求を終了します。 [info]：コールのシグナリングパスを経由する中間セッションシグナリング情報を伝えます。 [invite]：コールをセットアップします。 [message]：インスタントメッセージを送信します。 [notify]：状態変更を加入者に通知します。 [options]：別のユーザエージェントまたはプロキシサーバの容量を問い合わせます。 [prack]：暫定応答メッセージの信頼性の高い転送を提供します。 [refer]：受信者が要求で提供されている連絡先情報を使用してサードパーティに連絡する必要があることを示します。 [register]：レコードのアドレスの SIP 要求の転送先とする連絡先アドレスを含みます。 [subscribe]：1 つのイベントまたは一連のイベントに関する通知をあとで受け取ることを要求します。 [update]：セッションのパラメータを更新することをクライアントに許可しますが、ダイアログの状態に影響はありません。
ステータス	正規表現が応答内のステータス行と照合されます。
正規表現	パターンマッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

SMTP クラスマップの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

ゾーンベースのファイアウォールポリシーで使用する SMTP クラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックスを使用して、クラスマップの一致基準と値を定義します。

ヒント

12.4(20)T よりも前の Cisco IOS ソフトウェアを実行しているルータでは、[Data Length] 基準だけを使用できます。

このダイアログボックスのフィールドは、選択した基準によって変わります。次の基準を使用できます。

[Data Length]：トラフィックのデータ長が指定した数値よりも大きいことを指定します。トラフィックのデータ長を照合して、SMTP 接続で転送されるデータが指定したバイト数を超えているかどうかを判断できます。デフォルトでは、インスペクションはデータ長を 20 未満に維持します。
[Body Regular Expression]：正規表現を適用して、電子メールメッセージの本文のテキストおよび HTML のコンテンツタイプおよびコンテンツ符号化タイプを照合します。7 ビットまたは 8 ビット符号化を使用するテキストまたは HTML だけがチェックされます。正規表現は、別の符号化タイプ（base64 や Zip ファイルなど）を使用するメッセージではスキャンできません。
[Command Line Length]：指定した数値以下の ESMTP コマンドラインの長さを指定します。この基準を使用して、Denial of Service（DoS; サービス拒絶）攻撃を阻止します。
[コマンドVerb（Command Verb）]：選択した SMTP または ESMTP コマンドに検査を制限します。SMTP の検査を設定すると、制限しない限り、すべてのコマンドが検査されます。
[Header Length]：SMTP ヘッダーの長さが指定した数値よりも大きいことを指定します。この基準を使用して、ヘッダーの使用可能サイズを制限することで DoS 攻撃を阻止します。
[Header Regular Expression]：正規表現を適用して、電子メールメッセージのヘッダーのコンテンツを照合します。たとえば、この基準を使用して件名、差出人、または宛先フィールドの特定のパターンをテストできます。
[MIMEコンテンツタイプの正規表現（Mime Content-Type Regular Expression）]：正規表現を適用して、電子メール添付ファイルの Multipurpose Internet Message Exchange（MIME）コンテンツタイプと照合します。この基準を使用して、望ましくないタイプの添付ファイルの送信を防ぎます。
[Mime Encoding]：検査する電子メール添付ファイルの MIME 符号化タイプを指定します。この基準を使用して、送信を制限する不明または非標準の符号化を識別します。
[Recipient Address]：正規表現を適用して、SMTP RCPT コマンドの電子メールメッセージの受信者を照合します。この基準を使用して、存在しない受信者を検索します。これは、スパムの送信元の識別に役立つ場合があります。
[Recipient Count]：電子メールメッセージの受信者数が指定した数を超えられないことを指定します。この基準を使用して、スパムの発信者が多数のユーザに電子メールを送信することを防ぎます。
[無効な受信者数（Recipient Invalid Count）]：電子メールメッセージの無効な受信者の数が指定した数を超えられないことを指定します。これを使用して、スパマーが多数の一般的な名前に電子メールを送信し、実際のアドレスを狙っているのを防ぎます。SMTP は通常、アドレスが無効な場合に「no such address」メッセージを返信します。無効なアドレスの数を制限することで、これらのスパム発信者への応答を防ぐことができます。
[Reply EHLO]：EHLO サーバ応答のサービス拡張パラメータを指定します。この基準を使用して、クライアントが特定のサービス拡張を使用することを防ぎます。
[Sender Address]：正規表現を適用して、電子メールメッセージの送信者を照合します。この基準を使用して、既知のスパム発信者などの特定の送信者がデバイスを介して電子メールメッセージを送信することをブロックします。

ナビゲーションパス

SMTP クラスの [クラスマップの追加（Add Class Maps）]/[クラスマップの編集（Edit Class Maps）] ダイアログボックスで、テーブル内を右クリックして [行の追加（Add Row）] を選択するか、行を右クリックして [行の編集（Edit Row）] を選択します。ゾーンベースのファイアウォールポリシーのクラスマップの設定を参照してください。

フィールドリファレンス

表 7. SMTP クラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス
要素	説明
基準	照合する SMTP トラフィック基準を指定します。基準については、上記で説明しています。
タイプ（Type）	基準に一致するトラフィックをマップに含めることを指定します。
可変フィールド次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。
最大長	評価されるフィールドの最大長（バイト単位）。指定した数値よりも長さが大きい場合は、条件が一致します。
Greater Than Count	電子メールメッセージで許可される受信者または無効な受信者の最大数。指定した数値よりも数が大きい場合は、条件が一致します。
Verb Option User Defined Format （[Command Verb] 基準のみ）	検査する SMTP または ESMTP コマンド。[User Defined] を選択した場合は、電子メールメッセージの本文の単語に対応するテキスト文字列を入力する必要があります。単語には、スペースまたは特殊文字は使用できません。使用できるのは英数字だけです。
Service Extension Parameter User Defined Format （[EHLO応答（Reply EHLO）] 基準の場合）	検査する EHLO サーバ応答のサービス拡張パラメータ。よく知られたパラメータの 1 つを選択するか、[User Defined] を選択して [User Defined Format] フィールドでプライベート拡張を指定します。
Encoding Format User Defined Format	テストする MIME 符号化フォーマット。エンコーディングタイプは次のとおりです。 [7-bit]：ASCII 符号化。 [8-bit]：7 ビット ASCII の範囲外のオクテットを含む電子メールメッセージの交換に使用されます。 [base64]：数値として扱い、base 64 表現に変換することでバイナリデータを符号化します。 [quoted-printable]：印刷可能文字を使用して 8 ビットデータを 7 ビットデータパス上に送信する符号化。 [binary]：0 と 1 だけを使用した符号化。 [unknown]：符号化タイプは不明です。 [x-uuencode]：非標準の符号化。 [user defined]：定義する符号化タイプ。[User Defined] を選択した場合は、探している符号化タイプを定義するテキスト文字列を入力する必要があります。
正規表現	パターンマッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

Sun RPC クラスマップの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

ゾーンベースのファイアウォールポリシーで使用する Sun リモートプロシージャコール（RPC）クラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックスを使用して、クラスマップの一致基準と値を定義します。照合する RPC プロトコル番号を入力できます。プロトコル番号の詳細については、Sun RPC のマニュアルを参照してください。

ナビゲーションパス

Sun RPC クラスの [クラスマップの追加（Add Class Maps）]/[クラスマップの編集（Edit Class Maps）] ダイアログボックスで、テーブル内を右クリックして [行の追加（Add Row）] を選択するか、行を右クリックして [行の編集（Edit Row）] を選択します。ゾーンベースのファイアウォールポリシーのクラスマップの設定を参照してください。

ローカル Web フィルタクラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

ローカル Web フィルタクラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックスを使用して、クラスマップの一致基準と値を定義します。

ナビゲーションパス

ローカル Web フィルタクラスの [クラスマップの追加（Add Class Maps）]/[クラスマップの編集（Edit Class Maps）] ダイアログボックスで、テーブル内を右クリックして [行の追加（Add Row）] を選択するか、行を右クリックして [行の編集（Edit Row）] を選択します。ゾーンベースのファイアウォールポリシーのクラスマップの設定を参照してください。

フィールドリファレンス

表 8. ローカル Web フィルタクラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス
要素	説明
基準	照合するトラフィック基準を指定します。次の中から選択できます。 [Server Domain]：サーバの名前に基づいてトラフィックを照合します。選択する URLF Glob パラメータマップでは、*.cisco.com や www.cisco.com などのサーバドメイン名を指定する必要があります。 [URL Keyword]：URL 内のキーワードに基づいてトラフィックを照合します。キーワードは、URL 内の / 文字の間に出現する完結した文字列です。たとえば、URL セグメント www.cisco.com/en/US では、en と US がキーワードの例です。
タイプ（Type）	基準に一致するトラフィックをマップに含めることを指定します。
URLF Globパラメータマップ（URLF Glob Parameter Map）	照合する URL パターンを定義する URLF Glob パラメータマップオブジェクト。選択したオブジェクトに、選択した照合タイプに適したコンテンツがあることを確認します。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しいオブジェクトを作成できます。

N2H2 および Websense クラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

N2H2（SmartFilter）および Websense Web フィルタクラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックスを使用して、クラスマップの一致基準と値を定義します。使用可能な一致基準は、SmartFilter または Websense サーバからの応答の照合だけです。

ナビゲーションパス

N2H2 または Websense Web フィルタクラスの [クラスマップの追加（Add Class Maps）]/[クラスマップの編集（Edit Class Maps）] ダイアログボックスで、テーブル内を右クリックして [行の追加（Add Row）] を選択するか、行を右クリックして [行の編集（Edit Row）] を選択します。ゾーンベースのファイアウォールポリシーのクラスマップの設定を参照してください。

インスペクションパラメータマップの設定

[Add Inspect Parameter Map]/[Edit Inspect Parameter Map] ダイアログボックスを使用して、ルータのゾーンベースのファイアウォールポリシーのインスペクション用のパラメータマップを定義します。ゾーンベースのファイアウォールポリシールールのアクションを [Inspect] または [Content Filter] に設定する場合は、インスペクションパラメータマップを選択して、インスペクションアクションの接続、タイムアウト、およびその他の設定を定義できます。ゾーンベースのファイアウォールルールのインスペクションパラメータマップを選択しない場合は、これらの設定にデフォルト値が使用されます。

ナビゲーションパス

[管理（Manage）] > [ポリシーオブジェクト（Policy Objects）] を選択し、コンテンツテーブルから [マップ（Maps）] > [パラメータマップ（Parameter Maps）] > [検査（Inspect）] > [パラメータの検査（Inspect Parameters）] を選択します。作業領域内を右クリックして [新規オブジェクト（New Object）] を選択するか、行を右クリックして [オブジェクトの編集（Edit Object）] を選択します。

フィールドリファレンス

表 9. [Add Inspect Parameter Map]/[Edit Inspect Parameter Map] ダイアログボックス
要素	説明
名前	ポリシーオブジェクトの名前。最大 40 文字を使用できます。
説明	ポリシーオブジェクトの説明。最大 200 文字を使用できます。
DNS Timeout	アクティビティがないときに DNS ルックアップセッションが管理される時間の長さ（秒単位）。
ICMP Timeout	非アクティブな Internet Control Message Protocol（ICMP; インターネット制御メッセージプロトコル）セッションが維持される時間の長さ（秒単位）。
Max Incomplete Low Max Incomplete High	既存のハーフオープンセッションの数。これにより、ソフトウェアは、ハーフオープン状態のセッションの削除を開始（上限しきい値に達したとき）および停止（下限しきい値に達したとき）します。 [低（Low）] フィールドには、必ず [高（High）] フィールドに入力した数値よりも小さい数値を入力してください（たとえば、400 と 500 など）。デフォルトでは、ハーフオープンセッションは無制限です。
One Minute Low One Minute High	新しい未確立セッションの数。これにより、システムは、ハーフオープン状態のセッションの削除を開始および停止します。[Low] フィールドには、[High] フィールドに入力した数値よりも小さい数値を必ず入力してください。デフォルトは無制限です。
最大セッション数（Max Sessions）	ゾーンペア上のインスペクションセッションの最大数（200 など）。デフォルトは無制限です。
TCP FINWAIT Timeout	ファイアウォールが FIN 交換を検出したあと、TCP セッション状態情報を保持する時間の長さ（秒単位）。TCP セッションを閉じる準備が整うと、FIN 交換が発生します。
TCP SYNWAIT Timeout	セッションをドロップする前に、TCP セッションが設定された状態に到達するのを待機する時間の長さ（秒単位）。
TCP Idle Timeout	セッションでアクティビティがない間、TCP セッションを維持する時間の長さ（秒単位）。
TCP Max Incomplete Hosts TCP Max Incomplete Block Time	TCP ホスト固有の Denial of Service（DoS; サービス拒絶攻撃）の検出と防止のしきい値とブロッキング時間（分単位）。最大不完全ホストは、ソフトウェアがホストへのハーフオープンセッションの削除を開始する前に同時に存在できる、同じホスト宛先アドレスを持つハーフオープン TCP セッションの数です。同じ宛先ホストアドレスを持つハーフオープンセッションの数が異常に多い場合は、ホストに対して DoS 攻撃が起動されていることを示している可能性があります。しきい値を超えた場合、ハーフオープンセッションは、最大不完全ブロック時間に基づいてドロップされます。ブロック時間が 0 の場合、ソフトウェアは、ホストへの新規接続要求のたびに、ホストの最も古い既存のハーフオープンセッションを削除します。これにより、ホストに対するハーフオープンセッション数がしきい値を超えないことが保証されます。ブロック時間が 0 よりも大きい場合、ソフトウェアはホストのすべての既存のハーフオープンセッションを削除し、ホストに対するすべての新規接続要求をブロックします。ソフトウェアは、ブロック時間が経過するまですべての新規接続要求のブロックを継続します。ソフトウェアは、指定されたしきい値を超えるたびに、またホストへの接続開始のブロッキングが開始または終了したときに、syslog メッセージを送信します。
UDP Idle Timeout	セッションでアクティビティがない間、UDP セッションを維持する時間の長さ（秒単位）。ソフトウェアは、有効な UDP パケットを検出すると、新しい UDP セッションの状態情報を確立します。UDP はコネクションレス型サービスであるため、実際のセッションは存在しません。したがって、ソフトウェアは、パケット内の情報を調べることでセッションを見積もり、そのパケットが他の UDP パケットと似ているかどうか（類似の送信元アドレスまたは宛先アドレスを持っているなど）、および別の類似 UDP パケットの直後にそのパケットが検出されたかどうかを判断します。ソフトウェアが、UDP アイドルタイムアウトで定義されている期間中に UDP セッションの UDP パケットを検出しなかった場合、ソフトウェアは、そのセッションの状態情報の管理を継続しません。
Enable Alert	ステートフルパケットインスペクションのアラートメッセージをコンソールで生成するかどうか。
Enable Audit Trail	監査証跡メッセージを syslog サーバまたはルータに記録するかどうか。
カテゴリ	オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。カテゴリオブジェクトの使用を参照してください。
デバイスごとに値のオーバーライドを許可オーバーライド [編集（Edit）] ボタン	デバイスレベルでのオブジェクト定義の変更を許可するかどうか。詳細については、ポリシーオブジェクトの上書きの許可および個々のデバイスのポリシーオブジェクトオーバーライドについてを参照してください。デバイスのオーバーライドを許可した場合は、[編集（Edit）] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[オーバーライド（Overrides）] フィールドには、このオブジェクトに対するオーバーライドを持つデバイスの数が表示されます。

プロトコル情報パラメータマップの設定

[Add Protocol Info Parameter Map]/[Edit Protocol Info Parameter Map] ダイアログボックスを使用して、ルータ上のゾーンベースのファイアウォールポリシーの Instant Messaging（IM; インスタントメッセージング）アプリケーションまたは Stun-ice プロトコルのインスペクション用のパラメータマップを定義します。ゾーンベースのファイアウォールポリシールールのアクションを [Inspect] に設定した場合は、AOL、ICQ、MSN Messenger、Windows Messenger、Yahoo Messenger、Stun-ice のいずれかのアプリケーションを設定するときにプロトコル情報パラメータマップを選択する必要があります。プロトコル情報パラメータマップでは、これらのアプリケーションと対話する DNS サーバを定義します。これにより、インスタントメッセンジャアプリケーションエンジンは、インスタントメッセンジャトラフィックを認識し、そのインスタントメッセンジャアプリケーションに対して設定済みポリシーを適用できます。

ナビゲーションパス

[管理（Manage）] > [ポリシーオブジェクト（Policy Objects）] を選択し、目次から [マップ（Maps）] > [パラメータマップ（Parameter Maps）] > [検査（Inspect）] > [プロトコル情報パラメータ（Protocol Info Parameters）] を選択します。作業領域内を右クリックして [新規オブジェクト（New Object）] を選択するか、行を右クリックして [オブジェクトの編集（Edit Object）] を選択します。

フィールドリファレンス

表 10. [Add Protocol Info Parameter Map]/[Edit Protocol Info Parameter Map] ダイアログボックス
要素	説明
名前	ポリシーオブジェクトの名前。最大 40 文字を使用できます。
説明	ポリシーオブジェクトの説明。最大 200 文字を使用できます。
DNS Server Table	トラフィックが許可（および検査）または拒否される DNS サーバ。サーバを追加するには、[Add] ボタンをクリックし、[Add Server] ダイアログボックスに入力します（プロトコル情報パラメータの [Add DNS Server]/[Edit DNS Server] ダイアログボックスを参照）。サーバを編集するには、サーバを選択し、[Edit] ボタンをクリックします。サーバを削除するには、サーバを選択し、[Delete] ボタンをクリックします。
カテゴリ	オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。カテゴリオブジェクトの使用を参照してください。
デバイスごとに値のオーバーライドを許可オーバーライド [編集（Edit）] ボタン	デバイスレベルでのオブジェクト定義の変更を許可するかどうか。詳細については、ポリシーオブジェクトの上書きの許可および個々のデバイスのポリシーオブジェクトオーバーライドについてを参照してください。デバイスのオーバーライドを許可した場合は、[編集（Edit）] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[オーバーライド（Overrides）] フィールドには、このオブジェクトに対するオーバーライドを持つデバイスの数が表示されます。

プロトコル情報パラメータの [Add DNS Server]/[Edit DNS Server] ダイアログボックス

[Add DNS Server]/[Edit DNS Server] ダイアログボックスを使用して、トラフィックが許可（および検査）または拒否される DNS サーバを識別します。これらのサーバは、ゾーンベースのファイアウォールポリシーでこれらのサーバを必要とするプロトコルのインスペクションに使用するプロトコル情報パラメータマップで定義されます。

次のいずれかのタイプを使用して、サーバを識別できます。

[Server Name]：DNS サーバの名前。アスタリスク（*）をワイルドカードとして使用して、1 文字以上を照合できます。たとえば、cisco.com ドメイン上のすべての DNS サーバを識別する場合は、*.cisco.com を指定できます。
[IP Address]：単一の DNS サーバの IP アドレス。
[IP アドレス範囲（IP Address Range）]：開始アドレスと終了アドレスの間にある DNS サーバーを識別する IP アドレスの範囲。

ナビゲーションパス

[プロトコル情報パラメータマップの追加（Add Protocol Info Parameter Map）]/[プロトコル情報パラメータマップの編集（Edit Protocol Info Parameter Map）] ダイアログボックスで、サーバーテーブルの下にある [追加（Add）] ボタンをクリックするか、サーバーを選択して [編集（Edit）] ボタンをクリックします。プロトコル情報パラメータマップの設定を参照してください。

ゾーンベースのファイアウォールポリシーのポリシーマップの設定

ゾーンベースのファイアウォールポリシーの [Add Policy Map]/[Edit Policy Map] ダイアログボックスを使用して、Cisco IOS ルータのゾーンベースのファイアウォールポリシーで使用するインスペクションマップの一致基準と値を定義します。H.323（IOS）、HTTP（ゾーンベース IOS）、IM（ゾーンベース IOS）、IMAP、P2P、POP3、SIP（IOS）、SMTP、および Sun RPC インスペクションのポリシーインスペクションマップを作成できます。ダイアログボックスの名前は、作成しているマップのタイプを示します。

インスペクションマップを定義するときに、同じタイプのクラスマップを選択し、一致するトラフィックに対して実行するアクションを定義します。ポリシーマップを作成する前、またはポリシーマップの作成時に、必要なクラスマップを設定できます。

ナビゲーションパス

[管理（Manage）] > [ポリシーオブジェクト（Policy Objects）] を選択し、コンテンツテーブルの [マップ（Maps）] > [ポリシーマップ（Policy Maps）] > [検査（Inspect）] フォルダで、[H.323 (IOS)]、[HTTP (Zone based IOS)]、[IM (Zone based IOS)]、[IMAP]、[P2P]、[POP3]、[SIP (IOS)]、[SMTP]、[Sun RPC] のいずれかの項目を選択します。作業領域内を右クリックして [新規オブジェクト（New Object）] を選択するか、行を右クリックして [オブジェクトの編集（Edit Object）] を選択します。

フィールドリファレンス

表 11. ゾーンベースのファイアウォールポリシーの [Add Policy Maps]/[Edit Policy Maps] ダイアログボックス
要素	説明
名前	ポリシーオブジェクトの名前。最大 40 文字を使用できます。
説明	ポリシーオブジェクトの説明。最大 200 文字を使用できます。
[Match All] テーブル	[Match All] テーブルには、ポリシーマップに含まれているクラスマップ、およびこのクラスに一致するトラフィックに適用するアクションが表示されます。トラフィックがこのクラスと照合される場合、選択したクラスマップで定義されているすべての基準を満たす必要があります。基準を追加するには、[Add] ボタンをクリックし、[Match Condition and Action] ダイアログボックスに入力します（ゾーンベースのファイアウォールポリシーおよび Web フィルタポリシーの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックスを参照）。基準を編集するには、基準を選択し、[Edit] ボタンをクリックします。基準を削除するには、基準を選択し、[Delete] ボタンをクリックします。
カテゴリ	オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。カテゴリオブジェクトの使用を参照してください。
デバイスごとに値のオーバーライドを許可オーバーライド [編集（Edit）] ボタン	デバイスレベルでのオブジェクト定義の変更を許可するかどうか。詳細については、ポリシーオブジェクトの上書きの許可および個々のデバイスのポリシーオブジェクトオーバーライドについてを参照してください。デバイスのオーバーライドを許可した場合は、[編集（Edit）] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[オーバーライド（Overrides）] フィールドには、このオブジェクトに対するオーバーライドを持つデバイスの数が表示されます。

ゾーンベースのファイアウォールポリシーおよび Web フィルタポリシーの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

ゾーンベースのファイアウォールポリシーおよび Web フィルタポリシーの [Add Match Condition and Action]、[Edit Match Condition and Action] ダイアログボックスを使用して、インスペクションのクラスマップを選択し、クラスに一致するトラフィックに対して実行するアクションを定義します。このダイアログボックスは、H.323（IOS）、HTTP（ゾーンベース IOS）、IM（ゾーンベース IOS）、IMAP、P2P、POP3、SIP（IOS）、SMTP、Sun RPC、Web フィルタのタイプのポリシーマップに使用されます。

このダイアログボックスのフィールドは、定義しているポリシーマップのタイプによって若干異なります。

ナビゲーションパス

ゾーンベースのファイアウォールポリシーの [ポリシーマップの追加（Add Policy Maps）]/[ポリシーマップの編集（Edit Policy Maps）] ダイアログボックスで、一致テーブル内を右クリックして [行の追加（Add Row）] を選択するか、行を右クリックして [行の編集（Edit Row）] を選択します。ゾーンベースのファイアウォールポリシーのポリシーマップの設定を参照してください。

フィールドリファレンス

表 12. ゾーンベースのファイアウォールポリシーの [Add Match Condition and Action]、[Edit Match Condition and Action] ダイアログボックス
要素	説明
一致タイプ（Match Type）	クラスマップを選択していることを指定します。ゾーンベースのファイアウォールポリシーのポリシーマップを作成する場合は、クラスマップを定義する必要があります。
クラスマップ P2P、IM、および Web フィルタクラスマップタイプ	作成しているポリシーマップタイプのクラスマップの名前です。[選択（Select）] をクリックしてリストからマップを選択するか、新しいクラスマップオブジェクトを作成します。 P2P、IM、および Web フィルタポリシーマップの場合は、作成しているポリシーマップのタイプも選択する必要があります。たとえば、P2P マップでは、[eDonkey]、[FastTrack]、[Gnutella]、[Kazaa2] から選択する必要があります。IM（ゾーンベース IOS）マップでは、[AOL]、[MSN Messenger]、[Yahoo Messenger]、[Windows Messenger]、[ICQ] から選択する必要があります。Web フィルタマップでは、[Local]、[N2H2]、[WebSense]、[Trend] から選択する必要があります。
操作	選択したクラスに一致するトラフィックに対してデバイスが適用するアクション。

ゾーンベースのファイアウォールポリシーのコンテンツフィルタリングマップの設定

ルータのゾーンベースのファイアウォールポリシーを設定する場合は、ルールのアクションとして [Content Filter] を選択することで、Web コンテンツをフィルタリングするルールを定義できます。

Web コンテンツをフィルタリングするには、特定のマップオブジェクトを設定する必要があります。マップオブジェクトは、ルールを定義しているときに [ポリシーオブジェクトセレクタ（policy object selector）] ダイアログボックスから設定するか、[Policy Object Manager] ウィンドウ（[管理（Manage）]> [ポリシーオブジェクト（Policy Objects）] を選択）でいつでも設定できます。

必要なマップのタイプは、コンテンツのフィルタリングに使用している手法と、使用している Cisco IOS ソフトウェアバージョンによって異なります。デバイスにローカルに定義されている URL リストに基づいてコンテンツをフィルタリングするか、SmartFilter（N2H2）、Websense、Trend Micro などの外部フィルタリングサーバを使用できます。

ヒント

外部サーバを使用する場合は、選択したサーバタイプ用のマニュアルに基づいて、サーバを適切に設定する必要があります。Trend Micro サーバを使用する場合は、[Zone Based Firewall] ページ（[Firewall] > [Settings] > [Zone Based Firewall] を選択）の [Content Filtering] タブで、サーバの詳細を指定し、製品を登録して証明書をダウンロードする必要があります。[Zone-based Firewall Rules] ページを参照してください。

次に、ゾーンベースのコンテンツフィルタリングに使用されるマップオブジェクトの要件を示します。

12.4(20)T よりも前のリリースを実行しているデバイスでは、URL フィルタパラメータマップを作成する必要があります。[Policy Object Manager] で、[マップ（Maps）] > [パラメータマップ（Parameter Maps）] > [ウェブフィルタ（Web Filter）] > [URLフィルタ（URL Filter）] を選択し、URL フィルタパラメータマップの設定の詳細な使用状況情報を確認します。
- 許可されるホストのリスト（許可リストの一部）および拒否されるホストのリスト（ブロックリストの一部）を使用して、ルータでローカルフィルタリングを実行するには、[ローカルフィルタリング（Local Filtering）] タブでリストを作成します。最初に Web アクセス要求がこれらのリストと比較されてから、要求が外部フィルタリングサーバに送信されます（外部フィルタリングサーバを設定している場合）。これらのリストには、完全なドメイン名（www.cisco.com など）、または部分的な名前（cisco.com など）が含まれますが、パスやページ名は含まれず、ワイルドカードは使用できません。
- SmartFilter（N2H2）または Websense サーバを使用するには、使用しているサーバのタイプとそのアドレス情報を [External Filter] タブで設定します。サーバとの通信を制御するその他の設定も設定できます。URL フィルタパラメータマップを使用して Trend Micro サーバを設定することはできません。
リリース 12.4(20)T 以降を実行しているデバイスでは、Web フィルタポリシーマップを使用するアプローチが推奨されます。Web フィルタポリシーマップはより複雑ですが、柔軟性が向上し、Trend Micro フィルタリングサーバにアクセスできます。[Policy Object Manager] で、[マップ（Maps）] > [ポリシーマップ（Policy Maps）] > [ウェブフィルタ（Web Filter）] > [ウェブフィルタ（Web Filter）] を選択し、Web フィルタマップの設定の詳細な使用状況情報を確認します。

Web フィルタポリシーマップには、他のタイプのマップが組み込まれます。ポリシーマップを作成するには、次のマップタイプの 1 つ以上が必要です。

- パラメータマップ：デフォルト設定を使用しない場合は、[Add Web Filter Map]/[Edit Web Filter Map] ダイアログボックスの [Parameters] タブで、さまざまなタイプの Web フィルタリングのパラメータマップを選択できます。SmartFilter（N2H2）または Websense を使用している場合は、パラメータマップがこれらのサーバを識別するため、マップを選択する必要があります。ローカルフィルタリングおよび Trend Micro フィルタリングでは、パラメータマップでいくつかの一般設定を設定します。その中で最も重要な設定は、URL がブロックされるときにメッセージまたは Web ページを表示するかどうかです。[Policy Object Manager] の [マップ（Maps）] > [パラメータマップ（Parameter Maps）] > [ウェブフィルタ（Web Filter）] フォルダで、ローカル、N2H2、Trend、および Websense のパラメータマップを検索できます。詳細な使用方法については、ローカル Web フィルタパラメータマップの設定、N2H2 または WebSense パラメータマップの設定、またはTrend パラメータマップの設定を参照してください。

（注）

Trend Micro サーバ情報は、[Zone Based Firewall] ページ（[Firewall] > [Settings] > [Zone Based Firewall] を選択）の [Content Filtering] タブで設定します。[Zone-based Firewall Rules] ページを参照してください。

- 一致条件のクラスマップ：これらのクラスマップでは、ターゲットとするトラフィックのタイプを定義し、実行するアクションを指定します。フィルタリングのタイプ（[Local]、[SmartFilter/N2H2]、[Websense]、または [Trend Micro]）を選択し、ターゲットのトラフィックを識別するクラスマップを指定し、そのトラフィックに対して実行するアクション（[Allow]、[Reset] など）を選択します。[Policy Object Manager] の [マップ（Maps）] > [クラスマップ（Class Maps）] > [ウェブフィルタ（Web Filter）] フォルダで、ローカル、N2H2、Trend、および Websense のクラスマップを検索できます。

これらのクラスマップ設定は、フィルタリングのタイプによって異なります。

[Local Filtering]：Local WebFilter クラスマップは、ターゲットにするドメイン名または URL キーワードを指定する 1 つ以上の URLF Glob パラメータのリストです。URL キーワードは、URL 内のスラッシュ（/）文字で囲まれた任意のテキスト文字列です。これらのクラスマップは、Web フィルタポリシーで許可する URL リスト（許可リストの一部）と拒否する URL リスト（ブロックリストの一部）を定義するのに役立ちます。リストごとに別々のマップを作成します。詳細な使用方法については、ゾーンベースのファイアウォールポリシーのクラスマップの設定、ローカル Web フィルタクラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス、およびURLF Glob パラメータマップの設定を参照してください。

[SmartFilter (N2H2)] または [Websense Filtering]：N2H2 および Websense のクラスマップでは、任意のサーバー応答を一致基準として定義します。詳細な使用方法については、ゾーンベースのファイアウォールポリシーのクラスマップの設定を参照してください。

[Trend Micro Filtering]：Trend クラスマップでは、Trend Micro によって定義されている、ターゲットにするさまざまなプロダクティビティカテゴリおよびセキュリティレーティングを選択できます。詳細な使用方法については、ゾーンベースのファイアウォールポリシーのクラスマップの設定を参照してください。

コンテンツフィルタリングの定義に使用されるマップ以外に、コンテンツフィルタルールの次のマップも設定できます。

インスペクションパラメータマップ：ゾーンベースのファイアウォールインスペクションには、いくつかの一般設定が含まれ、そのすべてに、ほとんどのネットワークに適切なデフォルト値があります。これらの設定のいずれかを調整する場合は、インスペクションパラメータマップを作成できます。[Policy Object Manager] で、[マップ（Maps）] > [パラメータマップ（Parameter Maps）] > [検査（Inspect）] > [検査パラメータ（Inspect Parameters）] を選択し、インスペクションパラメータマップの設定の詳細な使用状況情報を確認します。
HTTP ポリシーマップ：Web フィルタリングに加えて個々の HTTP パケットに詳細インスペクションを使用する場合は、ゾーンベースのファイアウォールルールの追加と編集の [アクション（Action）] セクションの [プロトコル（Protocol）] フィールドの横にある [設定（Configure）] をクリックして、HTTP ポリシーマップを設定できます。HTTP ポリシーマップには、照合するトラフィックのタイプを定義し、実行するアクションを定義する HTTP クラスマップが組み込まれます。たとえば、Java アプレットを含むトラフィックをターゲットにできます。[Policy Object Manager] で、[マップ（Maps）] > [ポリシーマップ（Policy Maps）] > [検査（Inspect））] > [HTTP（ゾーンベースのIOS）（HTTP (Zone Based IOS)）] を選択し、ゾーンベースのファイアウォールポリシーのポリシーマップの設定、HTTP（IOS）クラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス、およびゾーンベースのファイアウォールポリシーのクラスマップの設定の詳細な使用状況情報を確認します。

ローカル Web フィルタパラメータマップの設定

[Add Local Parameter Map]/[Edit Local Parameter Map] ダイアログボックスを使用して、ルータのゾーンベースのファイアウォールポリシーのローカル Web フィルタリング用のパラメータマップを定義します。ゾーンベースのファイアウォールポリシールールのアクションを [Content Filter] に設定する場合は、（[Parameter] タブでパラメータタイプに [Local] を選択するときに）ローカル Web フィルタパラメータマップを組み込む Web フィルタポリシーマップを選択できます。Web フィルタポリシーマップの詳細については、Web フィルタマップの設定を参照してください。

ナビゲーションパス

[管理（Manage）] > [ポリシーオブジェクト（Policy Objects）] を選択し、次にコンテンツテーブルから [マップ（Maps）] > [パラメータマップ（Parameter Maps）] > [Webフィルタ（Web Filter）] > [ローカル（Local）] を選択します。作業領域内を右クリックして [新規オブジェクト（New Object）] を選択するか、行を右クリックして [オブジェクトの編集（Edit Object）] を選択します。

フィールドリファレンス

表 13. [Add Local Web Filter Parameter Map]/[Edit Local Web Filter Parameter Map] ダイアログボックス
要素	説明
名前	ポリシーオブジェクトの名前。最大 40 文字を使用できます。
説明	ポリシーオブジェクトの説明。最大 200 文字を使用できます。
Enable Alert	ステートフルパケットインスペクションのアラートメッセージをコンソールで生成するかどうか。
Enable Allow Mode	URL フィルタリングプロセスが URL フィルタリングデータベースに接続していない場合に、URL 要求を許可するかまたはブロックするか。許可モードがオンの場合、一致しないすべての URL 要求が許可され、オフの場合は、一致しないすべての URL 要求がブロックされます。
Block Page	ブロックしているページにユーザがアクセスしようとした場合に、ユーザに表示する Web ページ。次の中から選択できます。 [None]：ユーザには何の情報も示されません。 [Message]：編集ボックスに入力したテキストメッセージがユーザに表示されます。 [リダイレクトURL（Redirect URL）]：編集ボックスに入力した URL にユーザーがリダイレクトされます。
カテゴリ	オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。カテゴリオブジェクトの使用を参照してください。
デバイスごとに値のオーバーライドを許可オーバーライド [編集（Edit）] ボタン	デバイスレベルでのオブジェクト定義の変更を許可するかどうか。詳細については、ポリシーオブジェクトの上書きの許可および個々のデバイスのポリシーオブジェクトオーバーライドについてを参照してください。デバイスのオーバーライドを許可した場合は、[編集（Edit）] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[オーバーライド（Overrides）] フィールドには、このオブジェクトに対するオーバーライドを持つデバイスの数が表示されます。

N2H2 または WebSense パラメータマップの設定

[Add N2H2 Parameter Map]/[Edit N2H2 Parameter Map] または [Add Websense Parameter Map]/[Edit Websense Parameter Map] ダイアログボックスを使用して、ルータのゾーンベースのファイアウォールポリシーの Smartfilter（N2H2）または Websense Web フィルタリング用のパラメータマップを定義します。ゾーンベースのファイアウォールポリシールールのアクションを [Content Filter] に設定する場合は、（[Parameter] タブでパラメータタイプに [N2H2] または [Websense] を選択するときに）N2H2 または Websense Web フィルタパラメータマップを組み込む Web フィルタポリシーマップを選択できます。Web フィルタポリシーマップの詳細については、Web フィルタマップの設定を参照してください。

ナビゲーションパス

[管理（Manage）] > [ポリシーオブジェクト（Policy Objects）] を選択し、次にコンテンツテーブルの [マップ（Maps）] > [パラメータマップ（Parameter Maps）] > [Webフィルタ（Web Filter）] フォルダから [N2H2] または [WebSense] を選択します。作業領域内を右クリックして [新規オブジェクト（New Object）] を選択するか、行を右クリックして [オブジェクトの編集（Edit Object）] を選択します。

フィールドリファレンス

表 14. [Add N2H2 Parameter Map]/[Edit N2H2 Parameter Map] または [Add Websense Parameter Map]/[Edit Websense Parameter Map] ダイアログボックス

要素

説明

名前

ポリシーオブジェクトの名前。最大 40 文字を使用できます。

説明

ポリシーオブジェクトの説明。最大 200 文字を使用できます。

URL Filtering Server Table

URL フィルタリングサーバのリストとそれらの属性。

サーバを追加するには、[Add] ボタンをクリックし、[Add External Filter] ダイアログボックスに入力します（[Add External Filter]/[Edit External Filter] ダイアログボックスを参照）。
サーバを編集するには、サーバを選択し、[Edit] ボタンをクリックします。
サーバを削除するには、サーバを選択し、[Delete] ボタンをクリックします。

Enable Alert

ステートフルパケットインスペクションのアラートメッセージをコンソールで生成するかどうか。

Enable Allow Mode

URL フィルタリングプロセスが URL フィルタリングデータベースに接続していない場合に、URL 要求を許可するかまたはブロックするか。許可モードがオンの場合、一致しないすべての URL 要求が許可され、オフの場合は、一致しないすべての URL 要求がブロックされます。

Block Page

ブロックしているページにユーザがアクセスしようとした場合に、ユーザに表示する Web ページ。次の中から選択できます。

[None]：ユーザには何の情報も示されません。
[Message]：編集ボックスに入力したテキストメッセージがユーザに表示されます。
[リダイレクトURL（Redirect URL）]：編集ボックスに入力した URL にユーザーがリダイレクトされます。

送信元インターフェイス（Source Interface）

TCP 接続がシステムと URL フィルタリングサーバ間で確立された場合に、送信元 IP アドレスとして使用される IP アドレスのインターフェイス。

Maximum Cache Entries

分類キャッシュに格納されるエントリの最大数。デフォルトは 5000 です。

Cache Life Time

エントリがキャッシュテーブルに残る時間の長さ（時間数）。デフォルトは 24 です。

Maximum Requests

保留中の要求の最大数。範囲は、1 ～ 2147483647 です。デフォルトは 1000 です。

Maximum Responses

バッファできる HTTP 要求の最大数。範囲は、0 ～ 20000 です。デフォルトは 200 です。

Truncate Hostname

Truncate Script Parameters

URL を切り捨てるかどうかを次のように指定します。:

オプションを選択しない場合、URL は切り捨てられません。
ホスト名を選択した場合、URL はドメイン名の末尾で切り捨てられます。
スクリプトパラメータを選択した場合、URL は、URL 内の左端の疑問符で切り捨てられます。

ヒント

両方のオプションを選択できますが、そのような指定方法は論理的ではありません。

Enable Server Log

HTTP 要求に関する情報を URL フィルタリングサーバーのログサーバーに送信するかどうか。この情報には、URL、ホスト名、送信元 IP アドレス、および宛先 IP アドレスが含まれます。

カテゴリ

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。カテゴリオブジェクトの使用F を参照してください。

デバイスごとに値のオーバーライドを許可

オーバーライド

[編集（Edit）] ボタン

デバイスレベルでのオブジェクト定義の変更を許可するかどうか。詳細については、ポリシーオブジェクトの上書きの許可および個々のデバイスのポリシーオブジェクトオーバーライドについてを参照してください。

デバイスのオーバーライドを許可した場合は、[編集（Edit）] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[オーバーライド（Overrides）] フィールドには、このオブジェクトをオーバーライドするデバイスの数が表示されます。

[Add External Filter]/[Edit External Filter] ダイアログボックス

[Add External Filter]/[Edit External Filter] ダイアログボックスを使用して、URL フィルタリングサーバを N2H2、Websense、または URL フィルタパラメータマップポリシーオブジェクトに追加します。

ナビゲーションパス

次のいずれかのダイアログボックスで、サーバーテーブルの下の [追加（Add）] ボタンをクリックするか、サーバーを選択して [編集（Edit）] ボタンをクリックします。

[Add N2H2 Parameter Map]/[Edit N2H2 Parameter Map] または [Add Websense Parameter Map]/[Edit Websense Parameter Map] ダイアログボックスN2H2 または WebSense パラメータマップの設定を参照してください。
[Add URL Filter Parameter Map]/[Edit URL Filter Parameter Map] ダイアログボックスURL フィルタパラメータマップの設定を参照してください。

フィールドリファレンス

表 15. [Add External Filter]/[Edit External Filter] ダイアログボックス
要素	説明
サーバ	URL フィルタリングサーバの完全修飾ドメイン名または IP アドレス。
[ポート（Port）]	要求をリスニングするポート。
Retransmission Count	サーバからの応答がないときに、ルータがルックアップ要求を再送信する回数。値の範囲は 1 ～ 10 です。
タイムアウト（Timeout）	サーバからの応答をルータが待機する秒数。範囲は、1 ～ 300 です。
外部	サーバがネットワークの外部にあるかどうか。

Trend パラメータマップの設定

[Add Trend Parameter Map]/[Edit Trend Parameter Map] ダイアログボックスを使用して、ルータのゾーンベースのファイアウォールポリシーの Trend Micro Web フィルタリング用のパラメータマップを定義します。ゾーンベースのファイアウォールポリシールールのアクションを [Content Filter] に設定する場合は、（[Parameter] タブでパラメータタイプに [Trend] を選択するときに）Trend Web フィルタパラメータマップを組み込む Web フィルタポリシーマップを選択できます。Web フィルタポリシーマップの詳細については、Web フィルタマップの設定を参照してください。

ナビゲーションパス

[管理（Manage）] > [ポリシーオブジェクト（Policy Objects）] を選択し、次にコンテンツテーブルから [マップ（Maps）] > [パラメータマップ（Parameter Maps）] > [Webフィルタ（Web Filter）] > [傾向（Trend）] を選択します。作業領域内を右クリックして [新規オブジェクト（New Object）] を選択するか、行を右クリックして [オブジェクトの編集（Edit Object）] を選択します。

フィールドリファレンス

表 16. [Add Trend Parameter Map]/[Edit Trend Parameter Map] ダイアログボックス
要素	説明
名前	ポリシーオブジェクトの名前。最大 40 文字を使用できます。
説明	ポリシーオブジェクトの説明。最大 200 文字を使用できます。
Enable Allow Mode	URL フィルタリングプロセスが URL フィルタリングデータベースに接続していない場合に、URL 要求を許可するかまたはブロックするか。許可モードがオンの場合、一致しないすべての URL 要求が許可され、オフの場合は、一致しないすべての URL 要求がブロックされます。
Block Page	ブロックしているページにユーザがアクセスしようとした場合に、ユーザに表示する Web ページ。次の中から選択できます。 [None]：ユーザには何の情報も示されません。 [Message]：編集ボックスに入力したテキストメッセージがユーザに表示されます。 [リダイレクトURL（Redirect URL）]：編集ボックスに入力した URL にユーザーがリダイレクトされます。
Maximum Requests	保留中の要求の最大数。範囲は、1 ～ 2147483647 です。デフォルトは 1000 です。
Maximum Responses	バッファできる HTTP 要求の最大数。範囲は、0 ～ 20000 です。デフォルトは 200 です。
Truncate Hostname	ドメイン名の末尾で URL を切り捨てるかどうか。
カテゴリ	オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。カテゴリオブジェクトの使用を参照してください。
デバイスごとに値のオーバーライドを許可オーバーライド [編集（Edit）] ボタン	デバイスレベルでのオブジェクト定義の変更を許可するかどうか。詳細については、ポリシーオブジェクトの上書きの許可および個々のデバイスのポリシーオブジェクトオーバーライドについてを参照してください。デバイスのオーバーライドを許可した場合は、[編集（Edit）] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[オーバーライド（Overrides）] フィールドには、このオブジェクトに対するオーバーライドを持つデバイスの数が表示されます。

URL フィルタパラメータマップの設定

[Add URL Filter Parameter Map]/[Edit URL Filter Parameter Map] ダイアログボックスを使用して、ルータのゾーンベースのファイアウォールポリシーで使用するインスペクションマップのパラメータ、および一致基準と値を定義します。

ゾーンベースのファイアウォールポリシールールのアクションを [Content Filter] に設定する場合は、URL フィルタパラメータマップを選択して、Web フィルタリングパラメータと一致基準を定義できます。ただし、ルータが Cisco IOS Software Release 12.4(20)T 以降を実行している場合、適切なサーバータイプ（ローカル、N2H2、Trend、または Websense）のパラメータおよびクラスマップとともに Web フィルタポリシーマップを設定することを推奨します。詳細については、Web フィルタマップの設定を参照してください。

ナビゲーションパス

[管理（Manage）] > [ポリシーオブジェクト（Policy Objects）] を選択し、次に目次から [マップ（Maps）] > [パラメータマップ（Parameter Maps）] > [Web フィルタ（Web Filter）] > [URL フィルタ（URL Filter）] を選択します。作業領域内を右クリックして [新規オブジェクト（New Object）] を選択するか、行を右クリックして [オブジェクトの編集（Edit Object）] を選択します。

フィールドリファレンス

表 17. [Add URL Filter Parameter Map]/[Edit URL Filter Parameter Map] ダイアログボックス

要素

説明

名前

ポリシーオブジェクトの名前。最大 40 文字を使用できます。

説明

ポリシーオブジェクトの説明。最大 200 文字を使用できます。

[Local Filtering] タブ

このタブのフィールドでは、ローカル URL フィルタリングのプロパティを定義します。

[許可リスト登録ドメイン（Permitlisted Domains）] テーブルと [ブロックリスト登録ドメイン（Blocklisted Domains）] テーブル

これらのテーブルでは、ソフトウェアが外部 URL フィルタリングサーバにアクセスしないドメイン名を定義します。許可リストにあるドメイン名は常に許可されます。ブロックリストにあるドメイン名は常にブロックされます。これらのリストを使用して、制限なしで許可する（自社の Web サイトなど）または完全にブロックする（ポルノサイトなど）ドメイン全体を識別します。

ドメイン名は完全な形式（www.cisco.com など、ホスト名を含む）にしたり、部分的な形式（cisco.com など）にしたりできます。部分的な名前の場合、そのドメイン上のすべての Web サイトホストが、許可されるか、または拒否されます。また、ホストの IP アドレスを入力することもできます。

ドメイン名を追加するには、[Add] ボタンをクリックし、[Add Server] ダイアログボックスに入力します（URL フィルタパラメータの [Add URL Domain Name]/[Edit URL Domain Name] ダイアログボックスを参照）。
ドメイン名を編集するには、ドメインを選択し、[Edit] ボタンをクリックします。
ドメイン名を削除するには、ドメインを選択し、[Delete] ボタンをクリックします。

Enable Alert

ステートフルパケットインスペクションのアラートメッセージをコンソールで生成するかどうか。

Enable Audit Trail

URL 情報を syslog サーバまたはルータのログに記録するかどうか。

Enable Allow Mode

URL フィルタリングプロセスが URL フィルタリングデータベースに接続していない場合に、URL 要求を許可するかまたはブロックするか。許可モードがオンの場合、一致しないすべての URL 要求が許可され、オフの場合は、一致しないすべての URL 要求がブロックされます。

[External Filtering] タブ

このタブのフィールドでは、外部 URL フィルタリングサーバのプロパティを定義します。

サーバータイプ

Server Table

設定している外部 URL フィルタリングサーバのタイプ（[SmartFilter (N2H2)] または [Websense]）。

サーバを追加するには、[Add] ボタンをクリックし、[Add External Filter] ダイアログボックスに入力します（[Add External Filter]/[Edit External Filter] ダイアログボックスを参照）。
サーバを編集するには、サーバを選択し、[Edit] ボタンをクリックします。
サーバを削除するには、サーバを選択し、[Delete] ボタンをクリックします。

送信元インターフェイス（Source Interface）

TCP 接続がシステムと URL フィルタリングサーバ間で確立された場合に、送信元 IP アドレスとして使用される IP アドレスのインターフェイス。

Maximum Cache Entries

分類キャッシュに格納されるエントリの最大数。デフォルトは 5000 です。

Maximum Requests

保留中の要求の最大数。範囲は、1 ～ 2147483647 です。デフォルトは 1000 です。

Maximum Responses

バッファできる HTTP 要求の最大数。範囲は、0 ～ 20000 です。デフォルトは 200 です。

Truncate Hostname

Truncate Script Parameters

URL を切り捨てるかどうかを次のように指定します。:

オプションを選択しない場合、URL は切り捨てられません。
ホスト名を選択した場合、URL はドメイン名の末尾で切り捨てられます。
スクリプトパラメータを選択した場合、URL は、URL 内の左端の疑問符で切り捨てられます。

12.4(15)T よりも前のソフトウェアリリースを実行しているデバイスには切り捨てオプションを選択しないでください。選択すると検証エラーが発生します。

ヒント

両方のオプションを選択できますが、そのような指定方法は論理的ではありません。

Enable Server Log

HTTP 要求に関する情報を URL フィルタリングサーバーのログサーバーに送信するかどうか。この情報には、URL、ホスト名、送信元 IP アドレス、および宛先 IP アドレスが含まれます。

その他のフィールド

カテゴリ

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。カテゴリオブジェクトの使用を参照してください。

デバイスごとに値のオーバーライドを許可

オーバーライド

[編集（Edit）] ボタン

デバイスレベルでのオブジェクト定義の変更を許可するかどうか。詳細については、ポリシーオブジェクトの上書きの許可および個々のデバイスのポリシーオブジェクトオーバーライドについてを参照してください。

デバイスのオーバーライドを許可した場合は、[編集（Edit）] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[オーバーライド（Overrides）] フィールドには、このオブジェクトに対するオーバーライドを持つデバイスの数が表示されます。

URL フィルタパラメータの [Add URL Domain Name]/[Edit URL Domain Name] ダイアログボックス

[URLドメイン名の追加（Add URL Domain Name）] ダイアログボックスを使用して、許可リスト（許可）またはブロックリスト（拒否）に Web サイトのドメイン名を追加します。

ドメイン名は完全な形式（www.cisco.com など、ホスト名を含む）にしたり、部分的な形式（cisco.com など）にしたりできます。部分的な名前の場合、そのドメイン上のすべての Web サイトホストが、許可されるか、または拒否されます。また、ホストの IP アドレスを入力することもできます。

ナビゲーションパス

[URLフィルタパラメータマップの追加（Add URL Filter Parameter Map）]/[URLフィルタパラメータマップの編集（Edit URL Filter Parameter Map）] ダイアログボックスで、許可リストまたはブロックリストテーブルの下にある [追加（Add）] ボタンをクリックするか、名前を選択して [編集（Edit）] ボタンをクリックします。URL フィルタパラメータマップの設定を参照してください。

URLF Glob パラメータマップの設定

[Add URLF Glob Parameter Map]/[Edit URLF Glob Parameter Map] ダイアログボックスを使用して、ローカル Web フィルタクラスマップの URL のインスペクション用のパラメータマップを定義します。

1 つの URLF Glob に、ブロックまたは許可する URL のセグメントだけが含まれている必要があります。許可またはブロックリスト URL のクラスマップを作成することが目的です。続いて、ローカル Web フィルタポリシーマップを定義して、識別された URL を許可またはブロックできます。

1 つの URLF Glob は、次のタイプの URL セグメントの 1 つに制限する必要もあります。

URL のサーバ名に出現する文字列。これには、サーバ名とネットワークのドメイン名が含まれます。たとえば、www.cisco.com などです。
URL キーワードに出現する文字列。これは、URL 内の / 文字の間に出現する文字列、またはファイル名です。たとえば、URL セグメント www.cisco.com/en/US/ では、en と US の両方がキーワードです。index.html など、URL 内のファイル名もキーワードと見なされます。

URLF Glob では、/、{、}、? の文字を使用できません。

サーバ名または URL キーワードが一致するためには、ワイルドカードメタ文字を使用して可変文字列パターンを指定しないかぎり、URL 内の文字列が URLF Glob に含まれる文字列と完全に一致する必要があります。サーバ名または URL キーワードのパターンマッチングには、次のメタ文字を使用できます。

*（アスタリスク）。0 個以上の任意の文字のシーケンスと一致します。たとえば、*.edu は教育機関ドメインにあるすべてのサーバと一致し、hack* を使用すると www.example.com/hacksite/123.html をブロックできます。
[abc]（文字クラス）。カッコ内の任意の文字と一致します。文字のマッチングでは大文字と小文字が区別されます。たとえば、[abc] は a、b、または c と一致しますが、A、B、または C とは一致しません。このため、www.[ey]xample.com を使用して、www.example.com と www.yxample.com をブロックできます。
[a-c]（文字範囲クラス）。範囲内の任意の文字と一致します。文字のマッチングでは大文字と小文字が区別されます。[a-z] は、任意の小文字と一致します。文字と範囲を混合できます。たとえば、[abcq-z] は、a、b、c、q、r、s、t、u、v、w、x、y、z と一致し、[a-cq-z] も同じです。ダッシュ（-）文字は、角カッコ内の最後または最初の文字である場合にだけリテラルになります（[abc-] または [-abc]）。
[0-9]（数字範囲クラス）。カッコ内のすべての数字とマッチします。たとえば、[0-9] は 0、1、2、3、4、5、6、7、8、または 9 と一致します。このため、www.example[0-9][0-9].com を使用して、www.example01.com、www.example33.com、および www.example99.com などをブロックできます。

ナビゲーションパス

[管理（Manage）] > [ポリシーオブジェクト（Policy Objects）] を選択し、次にコンテンツテーブルから [マップ（Maps）] > [パラメータマップ（Parameter Maps）] > [Webフィルタ（Web Filter）] > [URLFグロブパラメータ（URLF Glob Parameters）] を選択します。作業領域内を右クリックして [新規オブジェクト（New Object）] を選択するか、行を右クリックして [オブジェクトの編集（Edit Object）] を選択します。

フィールドリファレンス

表 18. [Add URLF Glob Parameter Map]/[Edit URLF Glob Parameter Map] ダイアログボックス
要素	説明
名前	ポリシーオブジェクトの名前。最大 40 文字を使用できます。
説明	ポリシーオブジェクトの説明。最大 200 文字を使用できます。
値	ターゲットとしている URL のサーバドメインまたはキーワード。1 種類の Glob だけを入力できます（すべてのサーバドメイン、またはすべての URL キーワードは指定できますが、両方の混合はできません）。複数のエントリを含める場合は、エントリを改行で区切ります。たとえば、次のエントリは、すべての政府または教育機関の Web サーバを識別します。 `.gov .edu`
カテゴリ	オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。カテゴリオブジェクトの使用を参照してください。
デバイスごとに値のオーバーライドを許可オーバーライド [編集（Edit）] ボタン	デバイスレベルでのオブジェクト定義の変更を許可するかどうか。詳細については、ポリシーオブジェクトの上書きの許可および個々のデバイスのポリシーオブジェクトオーバーライドについてを参照してください。デバイスのオーバーライドを許可した場合は、[編集（Edit）] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[オーバーライド（Overrides）] フィールドには、このオブジェクトに対するオーバーライドを持つデバイスの数が表示されます。

Web フィルタマップの設定

[Add Web Filter Map]/[Edit Web Filter Map] ダイアログボックスを使用して、ルータのゾーンベースのファイアウォールポリシーで使用するインスペクションマップのパラメータ、および一致基準と値を定義します。

ゾーンベースのファイアウォールポリシールールのアクションを [Content Filter] に設定する場合は、Web フィルタポリシーマップを選択して、Web フィルタリングパラメータと一致基準を定義できます。Web フィルタポリシーマップは、Cisco IOS ソフトウェアリリース 12.4(20)T 以降を実行しているルータでだけ選択できます。Cisco IOS Software Release 12.4(6)T から 12.4(20)T までを実行しているルータにゾーンベースのファイアウォールを設定する場合は、Web フィルタポリシーマップの代わりに URL フィルタパラメータマップを設定する必要があります。詳細については、URL フィルタパラメータマップの設定を参照してください。

ローカル Web フィルタリングとサーバベースの Web フィルタリングの組み合わせを設定できます。これを設定するには、使用しているサーバのタイプおよび一致基準に適したパラメータマップと、ローカルおよびサーバクラスマップの適切な組み合わせを選択する必要があります。異なるタイプのサーバのクラスマップとパラメータマップは組み合わせないでください。

ナビゲーションパス

[管理（Manage）] > [ポリシーオブジェクト（Policy Objects）] を選択し、次にオブジェクトタイプセレクタから [マップ（Maps）] > [ポリシーマップ（Policy Maps）] > [Webフィルタ（Web Filter）] > [Webフィルタ（Web Filter）] を選択します。テーブル内を右クリックして [新規オブジェクト（New Object）] を選択するか、行を右クリックして [オブジェクトの編集（Edit Object）] を選択します。

フィールドリファレンス

表 19. [Add FTP Map]/[Edit FTP Map] ダイアログボックス
要素	説明
名前	ポリシーオブジェクトの名前。最大 40 文字を使用できます。
説明	ポリシーオブジェクトの説明。最大 200 文字を使用できます。
[パラメータ（Parameters）] タブ
パラメータタイプパラメータマップ	Web フィルタポリシーマップに含めるパラメータマップのタイプ。パラメータマップを選択しない場合は [None] を選択します。特定のパラメータタイプを選択する場合は、[パラメータマップ（Parameter Map）] フィールドにパラメータマップの名前を入力します。[選択（Select）] をクリックしてリストからマップを選択するか、新しいパラメータマップオブジェクトを作成します。
[Match Condition and Action] タブ [Match All] テーブルには、ポリシーマップに含まれているクラスマップ、およびこのクラスに一致するトラフィックに適用するアクションが表示されます。トラフィックがこのクラスと照合される場合、選択したクラスマップで定義されているすべての基準を満たす必要があります。基準を追加するには、[Add] ボタンをクリックし、[Match Condition and Action] ダイアログボックスに入力します（ゾーンベースのファイアウォールポリシーおよび Web フィルタポリシーの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックスを参照）。基準を編集するには、基準を選択し、[Edit] ボタンをクリックします。基準を削除するには、基準を選択し、[Delete] ボタンをクリックします。
カテゴリ	オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。カテゴリオブジェクトの使用を参照してください。
デバイスごとに値のオーバーライドを許可オーバーライド [編集（Edit）] ボタン	デバイスレベルでのオブジェクト定義の変更を許可するかどうか。詳細については、ポリシーオブジェクトの上書きの許可および個々のデバイスのポリシーオブジェクトオーバーライドについてを参照してください。デバイスのオーバーライドを許可した場合は、[編集（Edit）] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[オーバーライド（Overrides）] フィールドには、このオブジェクトに対するオーバーライドを持つデバイスの数が表示されます。

デフォルトのドロップ動作の変更

デフォルトでは、ゾーン間のすべてのトラフィックは明示的に許可されていないかぎりドロップされます。ただし、この項の説明に従って、このデフォルト動作を変更できます。

Security Manager は、ゾーンベースのファイアウォールルールに対して指定されているパラメータ（クラス、パラメータ、およびポリシーマップを含みます）を、ルータが認識する一連の IOS コマンドに変換します。これらはいわゆる「CLI」（コマンドラインインターフェイス）コンフィギュレーションコマンドであり、[ツール（Tools）] > [設定のプレビュー（Preview Configuration）] を選択することで別のウィンドウでプレビューできます。詳細については、設定のプレビューを参照してください。また、ゾーンベースのルールと設定のトラブルシューティングでは、ゾーンベースのファイアウォールの CLI コマンドの例について説明しています。

この説明の目的では、これらのコマンドのうち最も重要なコマンドは policy-map です。このコマンドは、ゾーンの各ペアにゾーンポリシーを適用するために使用します。つまり、任意のゾーンペアに対して、トラフィック（クラス）とアクションを定義するすべてのルールが 1 つの policy-map で適用されます。さらに、Security Manager は、現在の class-default クラスを policy-map のクラスリストの末尾に追加して、ゾーンルールで処理されないすべてのパケットをキャプチャします。

デフォルトの class-default はドロップです。このクラスを各 policy-map に追加すると、ゾーン間のトラフィックの暗黙的なドロップが実現されます。ただし、前に述べたように、このデフォルト動作は任意のゾーンペアに対して変更できます。たとえば、すべての不一致トラフィックを渡すことを選択したり、デフォルトを [Drop and Log] に変更して、既存のルールで一致しないトラフィックを判断したりできます。

（注）

デフォルト動作のオプションは、[Drop]、[Drop and Log]、[Pass]、および [Pass and Log] だけです。

デフォルトポリシーでパケットを引き続きドロップする場合は、Security Manager で何も行う必要がありません。このルールは自動的に生成されます。ゾーンペアのデフォルト動作を変更しない場合は、Permit any any IP ルール（つまり、ゾーンベースのファイアウォールルールの追加と編集の [一致（Match）]：許可（Permit）、[送信元（Sources）]：any、[宛先（Destinations）]：any、[サービス（Services）]：IP）を指定し、[アクション（Action）] として [ドロップして記録（Drop and Log）]、[通過（Pass）]、または [通過させて記録（Pass and Log）] を選択する必要があります。このルールがゾーンペアのルールのリストの最後にあることも確認する必要があります。Security Manager は、これを目的の class-default ルールとして解釈します。

ゾーンベースのルールテーブルに大量のルールが含まれる場合は、このルールがゾーンペアの他のすべてのルールよりもあとにあることを確認するのが難しい場合があります。この確認作業を軽減するのに使用できる手法をいくつか示します。

セクションを使用して、ゾーンペアごとに 1 つのセクションでテーブルを編成します。これにより、ゾーンペアのルールを並べること、また class-default ルールが最後にくるようにすることができます。セクションでの作業の詳細については、セクションを使用したルールテーブルの編成を参照してください。
[デフォルト（Default）] スコープに class-default ルールを含む共有ゾーンベースルールポリシーを作成し、デバイスのローカルゾーンベースルールポリシーでこのルールを継承します。共有ポリシーの継承と作成の詳細については、ルールの継承または継承の解除および新しい共有ポリシーの作成を参照してください。

ゾーンベースのファイアウォールルールの設定

[ゾーンベースのファイアウォール（Zone Based Firewall）] 設定ページを使用して、参照されないゾーンの識別、VPN インターフェイス用のゾーンの指定、WAAS サポートの有効化または無効化、Trend Micro のサーバーと証明書情報のメンテナンス、およびグローバルログ設定の指定をします。

（注）

バージョン 4.21 以降、Cisco Security Manager では、すべてのアグリゲーションサービスルータ、統合サービスルータ、埋め込み型サービスルータ、および Cisco IOS ソフトウェアで動作するすべてのデバイスについて、バグ修正または拡張機能のサポートを含むサポート全体が終了します。

関連項目

[Zone Based Firewall] ページ
ゾーンベースのファイアウォールルールについて

手順

ステップ 1	[Zone Based Firewall] ページへのアクセス方法を次に示します。（デバイスビュー）IOS デバイスを選択し、ポリシーセレクタから [ファイアウォール（Firewall）] > [設定（Settings）] > [ゾーンベースのファイアウォール（Zone Based Firewall）] を選択します。（ポリシービュー）ポリシータイプセレクタから [ファイアウォール（Firewall）] > [設定（Settings）] > [ゾーンベースのファイアウォール（Zone Based Firewall）] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。
ステップ 2	（任意）[Zones] タブで、参照されないゾーンを追加、編集、および削除します。 [Zones] タブには、デバイスに定義されているすべての参照されないゾーン、つまり関連付けられているインターフェイス、ルール、またはポリシーのないゾーンがリストされます。参照されないゾーンは、通常、デバイス検出時に検索および表示されますが、名前を付けた「空の」ゾーンをこの手順で作成することもできます。
ステップ 3	（任意）[VPN] タブで、VPN トラフィックに対して設定されたゾーンの名前を指定します。このゾーンは、このルータのゾーンベースのファイアウォールルールで動的 VPN トラフィックを処理できるようにします。詳細については、ゾーンベースのファイアウォールポリシーでの VPN の使用を参照してください。
ステップ 4	（任意）[WAAS] タブで、[WAASの有効化（Enable WAAS）] を選択して Wide Area Application Services 相互運用性を有効にします。このオプションがイネーブルになっていない場合、WAAS デバイスによって最適化されたパケットは、TCP ハンドシェイク時に WAAS によって TCP パケットシーケンス番号が増加したため、ドロップされる可能性があります。この動作は、IOS デバイスによって潜在的攻撃と見なされる可能性があります。
ステップ 5	（任意）[コンテンツフィルタの設定（Content Filter Settings）] タブで、Trend Micro ベースのコンテンツフィルタリング用のサーバー０設定を指定します。 Trend Micro ベースのコンテンツフィルタリングを使用するには、[Zone Based Firewall] ページのこのタブで、Trend Micro サーバの接続情報を設定する必要があります。このタブでは、Trend Micro の登録および証明書のダウンロードへのリンクも提供されます。この形式のコンテンツフィルタリングを利用するには、Trend Micro とのアクティブなサブスクリプションを取得し、有効なサブスクリプション証明書をダウンロードして IOS デバイスにインストールする必要があります。詳細については、[Zone Based Firewall] ページ - [Content Filter] タブを参照してください。
ステップ 6	（任意）[Global Parameters (ASR)] タブで、ASR デバイスに固有のグローバルなログ関連設定を設定できます。 [Log Dropped Packets]：このオプションを選択して、デバイスによってドロップされたすべてのパケットを記録し、syslog ロギングをイネーブルにして情報を表示する必要があります。 [Log Flow export timeout rate]：フローが期限切れになるか、またはタイムアウトしたあとに NetFlow ログが作成されます。フローが期限切れになるまでアクティブでいられる期間に関して時間制限を設定することが重要です。この値は、フローが期限切れになるまでアクティブなままでいることのできる最大分数です。この値は、1 ～ 3600 の任意の整数で、デフォルトは 30 です。 [Log Flow export destination IP]：フローデータの送信先となる、NetFlow Collector の IP アドレスまたはホスト名。 [Log Flow export destination port]：NetFlow Collector によってモニタされる、フローデータの UDP ポート。

[Zone Based Firewall] ページ

[Zone Based Firewall] ページを使用して、参照されないゾーンの設定と識別、VPN ゾーンの指定、WAAS サポートのイネーブル化またはディセーブル化、Trend Micro のサーバと証明書情報のメンテナンス、およびサポートされる ASR デバイスでのグローバルログ設定の指定を行います。

次のタブについては、このページの表で説明されています。

ゾーン
VPN
WAAS
Global Parameters (ASR)

[コンテンツフィルタリング（Content Filtering）] タブの詳細については、[Zone Based Firewall] ページ - [Content Filter] タブを参照してください。

ナビゲーションパス

[Zone Based Firewall] ページにアクセスするには、次のいずれかを実行します。

（デバイスビュー）デバイスを選択し、ポリシーセレクタから [ファイアウォール（Firewall）] > [設定（Settings）] > [ゾーンベースのファイアウォール（Zone Based Firewall）] を選択します。
（ポリシービュー）ポリシータイプセレクタから [ファイアウォール（Firewall）] > [設定（Settings）] > [ゾーンベースのファイアウォール（Zone Based Firewall）] を選択します。新しいポリシーを作成するか、または既存のポリシーを選択します。
（マップビュー）デバイスを右クリックし、[ファイアウォール設定の編集（Edit Firewall Settings）] > [ゾーンベースのファイアウォール（Zone Based Firewall）] を選択します。

フィールドリファレンス

表 20. [Zone Based Firewall] ページ
要素	説明
[Zones] タブ	このタブには、参照されないゾーン、つまり関連付けられているインターフェイス、ルール、またはポリシーのないゾーンをリストする [Zones] テーブルが表示されます。参照されないゾーンは、通常、デバイス検出時に検索および表示されますが、名前を付けた「空の」ゾーンをこの手順で作成することもできます。 [Zones] テーブルには、参照されないゾーンごとに次の情報がリストされます。 [Zone]：ゾーン/インターフェイスロールの名前。 [Content]：ゾーンに割り当てられているインターフェイス。 [Description]：ゾーンに関してユーザが指定するコメント。このテーブルにゾーンを追加するには、[Add Row] ボタンをクリックし、[Zone] ダイアログボックスでゾーン名を指定します。
[VPN] タブ	このタブには、[VPN Zone] フィールドが表示されます。このフィールドのゾーンエントリによって、動的 VPN トラフィックをこのルータ上のゾーンベースのファイアウォールルールで処理できます。このゾーンの詳細については、ゾーンベースのファイアウォールポリシーでの VPN の使用を参照してください。 VPN トラフィックが通過するゾーンを入力または選択します。
[WAAS] タブ	このタブには、[Enable WAAS] チェックボックスが表示されます。このオプションをオンにすると、Wide Area Application Services 相互運用性がイネーブルになります。このオプションがイネーブルになっていない場合、WAAS デバイスによって最適化されたパケットは、TCP ハンドシェイク時に WAAS によって TCP パケットシーケンス番号が増加したため、ドロップされる可能性があります。この動作は、IOS デバイスによって潜在的攻撃と見なされる可能性があります。
[Content Filtering] タブ	このタブには、Trend Micro ベースのコンテンツフィルタリングのサーバ設定と証明書リンクが表示されます。詳細については、[Zone Based Firewall] ページ - [Content Filter] タブを参照してください。
[Global Parameters (ASR)] タブ	このタブには、ASR デバイスに固有のグローバルなロギング関連設定が表示されます。これらの設定は、次のように設定します。 [Log Dropped Packets]：このオプションを選択して、デバイスによってドロップされたすべてのパケットを記録し、syslog ロギングをイネーブルにして情報を表示する必要があります。 [Log Flow export timeout rate]：フローが期限切れになるか、またはタイムアウトしたあとに NetFlow ログが作成されます。フローが期限切れになるまでアクティブでいられる期間に関して時間制限を設定することが重要です。この値は、フローが期限切れになるまでアクティブなままでいることのできる最大分数です。この値は、1 ～ 3600 の任意の整数で、デフォルトは 30 です。 [Log Flow export destination IP]：フローデータの送信先となる、NetFlow Collector の IP アドレスまたはホスト名。 [Log Flow export destination port]：NetFlow Collector によってモニタされる、フローデータの UDP ポート。

[Zone Based Firewall] ページ - [Content Filter] タブ

Trend Micro ベースのコンテンツフィルタリングを使用するには、[Zone Based Firewall] ページのこのタブで、Trend Micro サーバの接続情報を設定する必要があります。このタブでは、Trend Micro の登録および証明書のダウンロードへのリンクも提供されます。この形式のコンテンツフィルタリングを利用するには、Trend Micro とのアクティブなサブスクリプションを取得し、有効なサブスクリプション証明書をダウンロードして IOS デバイスにインストールする必要があります。

ナビゲーションパス

[Zone Based Firewall] ページにアクセスするには、次のいずれかを実行します。

（デバイスビュー）デバイスを選択し、デバイスセレクタから [ファイアウォール（Firewall）] > [設定（Settings）] > [ゾーンベースのファイアウォール（Zone Based Firewall）] を選択します。
（ポリシービュー）ポリシーセレクタから [ファイアウォール（Firewall）] > [設定（Settings）] > [ゾーンベースのファイアウォール（Zone Based Firewall）] を選択します。
（マップビュー）デバイスを右クリックし、[ファイアウォール設定の編集（Edit Firewall Settings）] > [ゾーンベースのファイアウォール（Zone Based Firewall）] を選択します。

フィールドリファレンス

表 21. [Zone Based Firewall] ページ - [Content Filter] タブ
要素	説明
Trend Micro Server Settings
Cache-entry-lifetime (hrs)	Trend Micro サーバーへのルックアップ要求がルータのローカル URL キャッシュテーブルに残る時間数。許可される範囲は 0 ～ 120 です。デフォルト値は 24 です。
Cache-size (KBytes)	ルータのローカル URL キャッシュで使用する最大メモリ量。許可される範囲は 0 ～ 120,000 KB です。デフォルト値は 250 です。
サーバー（Server）	Trend Micro URL フィルタリングサーバの完全修飾ドメイン名または IP アドレス。
HTTP ポート（HTTP Port）	Trend Micro サーバが HTTP 要求をリスニングするポート。デフォルトは 80 です。
HTTPS ポート（HTTPS Port）	Trend Micro サーバが HTTPS 要求をリスニングするポート。デフォルトは 443 です。
Retransmission Count	サーバからの応答がないときに、ルータがルックアップ要求を再送信する回数。指定できる範囲は 1 ～ 10 です。
Retransmission Timeout	サーバからの応答をルータが待機する秒数。範囲は 1 ～ 300 です。
アラート（Alert）	ステートフルパケットインスペクションメッセージが syslog にコピーされるかどうか。
Trend Micro Server Certificate Download Links
Link to download certificates	Cisco IOS ルータに Trend URL フィルタリングサポートの信頼できる CA の証明書をインストールするページを開きます。
Link for product registration	製品ライセンス登録のページを開きます。製品認証キーを入力し、ルータを登録する必要があります。

[Add Zone]/[Edit Zone] ダイアログボックス

[Add Zone]/[Edit Zone] ダイアログボックスを使用して、参照されないゾーン（関連付けられているインターフェイス、ルール、またはポリシーのないゾーン）を追加および編集します。

ナビゲーションパス

[Add Zone]/[Edit Zone] ダイアログボックスにアクセスするには、次のいずれかを行います。

（デバイスビュー）デバイスを選択し、デバイスセレクタから [ファイアウォール（Firewall）] > [設定（Settings）] > [ゾーンベースのファイアウォール（Zone Based Firewall）] を選択します。[ゾーン（Zones）] テーブル内を右クリックして [行の追加（Add Row）] を選択するか、行項目を右クリックして [行の編集（Edit Row）] を選択します。
（ポリシービュー）ポリシーセレクタから [ファイアウォール（Firewall）] > [設定（Settings）] > [ゾーンベースのファイアウォール（Zone Based Firewall）] を選択します。テーブル内を右クリックして [行の追加（Add Row）] を選択するか、行項目を右クリックして [行の編集（Edit Row）] を選択します。
（マップビュー）デバイスを右クリックし、[ファイアウォールポリシーの編集（Edit Firewall Policies）] > [ゾーンベースのファイアウォールルール（Zone Based Firewall Rules）] を選択します。

[ゾーン（Zone）] フィールドにゾーン名を入力するか、[選択（Select）] をクリックして [インターフェイスセレクタ（Interfaces Selector）] ダイアログボックスからゾーンを選択します。

ゾーンベースのルールと設定のトラブルシューティング

ゾーンベースのファイアウォールルールは強力ですが、複雑でもあります。ゾーンルールを使用して、アクセルルール、インスペクションルール、および Web フィルタルールを 1 種類のファイアウォールルールで置換できます。ゾーンベースのファイアウォールルールでは非常に多くのアクションを実行できるため、アクセスコントロールリスト（ACL）、クラスマップ、およびポリシーマップの構造といった、これらのアクションから生成された設定では、多くの異なるタイプのコンフィギュレーションコマンドが使用されます。（たとえばアクセスルールとは異なり）ゾーンベースのファイアウォールルールと設定の行との間には、1 対 1 対応はありません。

この複雑さを示すために、ここではゾーンベースのファイアウォールルールと、そのルールから生成された設定の関係を説明します。ゾーンベースのファイアウォールルールを作成および展開するために、このトピックの情報を理解する必要はありません。ただし、CLI（コマンドラインインターフェイス）に精通している場合、またはルールによって望ましくない結果が生成される場合は、ゾーンベースのファイアウォールルールを理解およびトラブルシューティングするのにこの情報が役立つ場合があります。

次の図に示すルールのセットについて考えます。これらのルールは単一のゾーンペアのポリシーを構成し、内部ゾーンから外部ゾーンに移動するトラフィックに影響します。これは、インターネットに向かう内部ネットワークからのトラフィックです。ルールでは、次のアクションを定義します。

10.100.10.0/24 および 10.100.11.0/24 ネットワークからのすべてのトラフィックをドロップする。
10.100.12.0/24 ネットワークからのすべての FTP および FTPS トラフィックをドロップする。
任意のネットワークからのすべてのピアツーピアトラフィックをドロップする。
すべての FTP/FTPS トラフィック（すでにドロップされている 10.100.12.0/24 からのトラフィックを除く）を検査（および許可）する。
追加の詳細インスペクションポリシーマップを使用して、すべての HTTP トラフィックを検査する。
最後に、残りのすべての TCP/UDP トラフィックの汎用インスペクションを実行する。

これらのルールを展開すると、Security Manager は次の設定を生成します。太字は、設定に続く説明の参照用に追加されています。

A.


class-map type inspect http match-any HTTPcmap
 match req-resp protocol-violation
 match request port-misuse any
!

B.


policy-map type inspect http HTTPpmap
 class type inspect http HTTPcmap
  reset
  log
!

C.


class-map type inspect CSM_ZBF_CLASS_MAP_1
 match access-group name CSM_ZBF_CMAP_ACL_1
!

D.


class-map type inspect match-any CSM_ZBF_CMAP_PLMAP_1
 match protocol ftp
 match protocol ftps
!

E.


class-map type inspect CSM_ZBF_CLASS_MAP_2
 match access-group name CSM_ZBF_CMAP_ACL_2
 match class-map CSM_ZBF_CMAP_PLMAP_1
!

F.


class-map type inspect match-any CSM_ZBF_CLASS_MAP_3
 match protocol bittorrent
 match protocol edonkey
 match protocol fasttrack
 match protocol icq
 match protocol kazaa2
!

G.


class-map type inspect CSM_ZBF_CLASS_MAP_4
 match protocol http
!

H.


class-map type inspect match-any CSM_ZBF_CLASS_MAP_5
 match protocol tcp
 match protocol udp
!

I.


policy-map type inspect CSM_ZBF_POLICY_MAP_1
 class type inspect CSM_ZBF_CLASS_MAP_1
  drop
 class type inspect CSM_ZBF_CLASS_MAP_2
  drop
 class type inspect CSM_ZBF_CLASS_MAP_3
  drop 
class type inspect CSM_ZBF_CMAP_PLMAP_1
  inspect
 class type inspect CSM_ZBF_CLASS_MAP_4
  inspect
  service-policy http HTTPpmap
 class type inspect CSM_ZBF_CLASS_MAP_5
  inspect
 class class-default
  drop
!

J.


zone security Inside
zone security Outside
zone-pair security CSM_Inside-Outside_1 source Inside destination Outside
 service-policy type inspect CSM_ZBF_POLICY_MAP_1
!
interface GigabitEthernet0/1
 ip address dhcp
 zone-member security Inside
!
interface GigabitEthernet0/2
 ip address dhcp
 zone-member security Outside
!

K.


ip access-list extended CSM_ZBF_CMAP_ACL_1
 permit ip 10.100.10.0 0.0.0.255 any
 permit ip 10.100.11.0 0.0.0.255 any
!

L.


ip access-list extended CSM_ZBF_CMAP_ACL_2
 permit ip 10.100.12.0 0.0.0.255 any
!

次のリストでは、Security Manager のルールが device-configuration コマンドにどのように変換されるかを説明し、このルールとコマンドの関係を理解できるようにします。リストの番号は、Security Manager のルールテーブルのルール番号に対応します（前の図を参照）。

このルールでは、10.100.10.0/24 ネットワークからのすべてのトラフィックがドロップされます。[Permit]、[Source]、[Destination]、[Service] の各フィールドは、（K）で定義されている CSM_ZBF_CMAP_ACL_1 という名前の ACL の最初のアクセスコントロールエントリ（ACE）の作成に使用されます。この ACL は、（I）で定義されているポリシーマップ CSM_ZBF_POLICY_MAP_1 の最初の廃棄ルールを定義する、（C）で定義されているクラスマップ CSM_ZBF_CLASS_MAP_1 から参照されます。

ポリシーマップ（I）は、（J）のゾーンサービスポリシーの定義に使用されます。このポリシーマップはすべてのルールがゾーンペアに割り当てられる方法であるため、（J）は再び言及されていません。

このルールでは、10.100.11.0/24 ネットワークからのすべてのトラフィックがドロップされます。このルールは、（K）で定義されている ACL に ACE を追加することで、ルール 1 に結合されています。残りの設定は、ルール 1 と同じです。このため、ルール 1 と 2 は、基本的にデバイス設定の単一のルールになります。
このルールでは、10.100.10.12/24 ネットワークからのすべての FTP/FTPS トラフィックがドロップされます。[Permit]、[Source]、[Destination]、[Service] の各フィールドは、（L）で定義されている CSM_ZBF_CMAP_ACL_2 という名前の ACL の作成に使用されます。[Protocol] テーブルでは、FTP および FTPS プロトコルを指定する、（D）で定義されているクラスマップ CSM_ZBF_CMAP_PLMAP_1 が生成されます。ACL および FTP/FTPS クラスマップは、（E）で定義されている新しいクラスマップ CSM_ZBF_CLASS_MAP_2 で使用されます。これにより、送信元とプロトコルの組み合わせに基づいてトラフィックの特徴付けが完了します。最後に、（E）は、ポリシーマップ（I）で第 2 のルールとして参照されています。
このルールは、Bittorrent、eDonkey、FastTrack、ICQ、または Kazaa2 のいずれかのプロトコルを使用する送信元からのピアツーピアトラフィックをドロップします。このルールにより、内部サーバがこれらのサービスのファイル共有ソースとして使用されることを防ぎます。ルールはデフォルト IP サービスのすべての送信元と宛先に適用されるため、ACL は不要です。代わりに、設定は（F）で定義されているクラスマップ CSM_ZBF_CLASS_MAP_3 から開始します。このクラスマップは、ポリシーマップ（I）の第 3 の廃棄ルールで参照されています。
このルールは、任意の送信元から任意の宛先への FTP/FTPS トラフィックを検査します。これは、これらのサービスが許可されることを意味します。ルール 3 は、ルール 5 よりも上にあるため 10.100.12.0/24 ネットワークからの FTP/FTPS トラフィックをすでにドロップしています。このため、これらのルールの組み合わせは、FTP/FTPS トラフィックが 10.100.12.0/24 以外のすべての送信元に対して検査されることを意味します。[Protocol] テーブルでは、ルール 3 に対するのと同じプロトコルを指定するため、新しいクラスマップは不要です。代わりに、ポリシーマップ（I）は、クラスマップ（D）を単純に第 4 のクラスタイプとして参照しますが、今回は Inspect アクションを伴います。
このルールは、HTTP トラフィックを検査し、HTTPpmap という名前の詳細インスペクションポリシーマップを適用します。HTTPpmap ポリシーマップ（B）は、トラフィックがクラスマップ HTTPcmap（A）で定義されている基準と一致する場合に実行するアクションを定義します。これらのマップでは、HTTP プロトコルに違反する HTTP 接続、またはポートを誤用する HTTP 接続をリセット（ドロップ）し、syslog エントリを生成する必要があることを指定します（プロトコル違反とポートの誤用は、サービス妨害（DoS）攻撃の特徴を示している可能性があります）。（A）と（B）の組み合わせにより、このポリシーの詳細検査ルールが定義されます。

追加のクラスマップ CSM_ZBF_CLASS_MAP_4 は、HTTP プロトコル（G）を指定するために必要です。次に、ポリシーマップ（I）の第 5 のクラスタイプルールは、インスペクションのクラスマップ（G）を参照し、service-policy コマンドは詳細インスペクションのポリシーマップ（B）を参照します。

このルールは、TCP/UDP トラフィックに対する汎用インスペクションを提供し、内部ネットワークからインターネットおよびその戻り方向の他の TCP/UDP トラフィックを許可および検査します。（H）で定義されているクラスマップ CSM_ZBF_CLASS_MAP_5 は、[Protocols] テーブルから生成されています。このクラスマップは、ポリシーマップ（I）の最後から 2 つめのルールになります。
最後に、ポリシーマップ（I）の最後の class-default ルールとして出現する自動ルールがあります。このルールは、ポリシーマップ（I）で参照されているクラスマップの 1 つと一致しないトラフィックをドロップします。たとえば、内部ネットワークからインターネットへの ICMP トラフィックは許可されません。さまざまな class-default ルールの設定方法については、デフォルトのドロップ動作の変更を参照してください。

[Zone-based Firewall Rules] ページ

ゾーンベースのファイアウォールルールは、「ゾーン」と呼ばれるインターフェイスのグループ間でファイアウォールポリシーを一方向に適用します。つまり、インターフェイスはゾーンに割り当てられ、特定のインスペクションポリシーがゾーン間を一方向に移動するトラフィックに適用されます。

ゾーンは、トラフィックがネットワークの別の領域に移動するときに特定の制限の対象となる境界を定義します。ゾーン間のデフォルトのゾーンベースファイアウォールポリシーは、[すべて拒否（deny all）] です。このため、ポリシーが明示的に設定されていない場合は、ゾーン間のすべてのトラフィックがブロックされます。

（注）

バージョン 4.21 以降、Cisco Security Manager では、すべてのアグリゲーションサービスルータ、統合サービスルータ、埋め込み型サービスルータ、および Cisco IOS ソフトウェアで動作するすべてのデバイスについて、バグ修正または拡張機能のサポートを含むサポート全体が終了します。

[Zone Based Firewall Rules] ページには、現在設定されているゾーンベースのファイアウォールルールのリストが表示され、ルールを追加、編集、および削除できます。

ヒント

ディセーブルなルールには、テーブルの行にハッシュマークが重なって表示されます。設定を展開すると、ディセーブルなルールはデバイスから削除されます。詳細については、ルールのイネーブル化とディセーブル化を参照してください。

ナビゲーションパス

[Zone Based Firewall Rules] ページにアクセスするには、次のいずれかを実行します。

（デバイスビュー）デバイスを選択し、ポリシーセレクタから [ファイアウォール（Firewall）] > [設定（Settings）] > [ゾーンベースのファイアウォールルール（Zone Based Firewall Rules）] を選択します。
（ポリシービュー）ポリシータイプセレクタから [ファイアウォール（Firewall）] > [ゾーンベースのファイアウォールルール（Zone Based Firewall Rules）] を選択します。新しいポリシーを作成するか、または既存のポリシーを選択します。
（マップビュー）デバイスを右クリックし、[ファイアウォールポリシーの編集（Edit Firewall Policies）] > [ゾーンベースのファイアウォールルール（Zone Based Firewall Rules）] を選択します。

フィールドリファレンス

表 22. [Zone Based Firewall Rules] ページ

要素

説明

番号

この番号は、リスト内の順序におけるルールの位置を示します。[Up Row] ボタンおよび [Down Row] ボタンを使用して、選択したルールの位置を変更できます。

許可（Permit）

ルールでトラフィックが許可されるか拒否されるかを示します。

[Permit]：緑色のチェックマークとして表示されます。
[Deny]：スラッシュの入った赤色の丸として表示されます。

ソース

ルールのトラフィックの送信元。ネットワークまたはセキュリティグループにすることができます。複数のエントリは、テーブルセル内の個別の行に表示されます。

[ネットワーク（Network）]：このルールの送信元として定義されているネットワーク、ホスト、または IP アドレスオブジェクトおよび定義。「All-Address」オブジェクトは、ルールを特定のホストまたはネットワークに制限しません。

これらの定義の詳細については、ネットワーク/ホストオブジェクトについておよびポリシー定義中の IP アドレスの指定を参照してください。

（注）

バージョン 4.21 以降、Cisco Security Manager は、すべてのアグリゲーションサービスルータ、統合サービスルータ、組み込みサービスルータ、および Cisco IOS ソフトウェアで動作するすべてのデバイスについて、バグ修正または拡張機能のサポートを含むサポート全体を終了します。

各仕様を他の仕様と組み合わせて、トラフィックの一致をすべての定義を含むフローのみに制限します。たとえば、指定された送信元アドレス範囲内から発信された指定されたユーザートラフィックなどに制限します。

宛先

ルールのトラフィックの宛先。ネットワークまたはセキュリティグループにすることができます。複数のエントリは、テーブルセル内に個別の行に表示されます。

[ネットワーク（Network）]：このルールの宛先として定義されているネットワーク、ホスト、または IP アドレスオブジェクトおよび定義。「All-Address」オブジェクトは、ルールを特定のホストまたはネットワークに制限しません。

これらの定義の詳細については、ネットワーク/ホストオブジェクトについておよびポリシー定義中の IP アドレスの指定を参照してください。

（注）

バージョン 4.21 以降、Cisco Security Manager は、すべてのアグリゲーションサービスルータ、統合サービスルータ、組み込みサービスルータ、および Cisco IOS ソフトウェアで動作するすべてのデバイスについて、バグ修正または拡張機能のサポートを含むサポート全体を終了します。

各仕様を他の仕様と組み合わせて、トラフィックの一致をすべての定義を含むフローのみに制限します。たとえば、指定された送信元アドレス範囲内から発信された指定されたユーザートラフィックなどに制限します。

サービス

このルールで照合されるトラフィックのタイプを定義するサービス。サービスは、プロトコルおよびポート情報を指定するオブジェクトで定義されます。詳細については、サービスとサービスオブジェクトおよびポートリストオブジェクトの理解と指定を参照してください。

From Zone

このルールは、このゾーンから発信されるトラフィックにだけ適用されます。

To Zone

このルールは、このゾーンを宛先とするトラフィックにだけ適用されます。

Inspected Protocol

ルールが選択されたアクションを実行するプロトコル。

操作

一致したプロトコルの処理方法を識別します。

[Drop]：一致したトラフィックはサイレントにドロップされます。すべてのトラフィックに適用されるデフォルトアクション。
[Drop and Log]：一致したトラフィックは、記録され、ドロップされます。
[Pass]：ルータは、一致したトラフィックを送信元ゾーンから宛先ゾーンに転送します。
[Pass and Log]：トラフィックが記録され、転送されます。
[Inspect]：状態ベースのトラフィックコントロール。[Inspect] は、Port to Application Mapping（PAM）に基づいて、特定のプロトコルのアプリケーションインスペクションとコントロールを提供できます。
[Content Filter]：WebFilter パラメータマップまたは WebFilter ポリシーマップに基づく HTTP コンテンツインスペクション。

（注）

ログオプションによって、システムログメッセージが生成されます。これらのメッセージをキャプチャするように syslog ロギングが設定されていることを確認する必要があります。

オプション

このルールに割り当てられているインスペクションパラメータマップ。[Inspect] アクションと [Content Filter] アクションでだけ使用できます。

カテゴリ

ルールに割り当てられるカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。カテゴリオブジェクトの使用を参照してください。

説明

このルールの説明（提供されている場合）。最大 1024 文字を使用できます。

[最後のチケット（Last Ticket(s)）]

ルールの最終変更に関連付けられたチケットを表示します。[最後のチケット（Last Ticket(s)）] 列のチケット ID をクリックして、チケットの詳細を表示し、そのチケットに移動できます。外部チケット管理システムへのリンクが設定されている場合は、チケットの詳細からそのシステムに移動することもできます（[チケット管理（Ticket Management）] ページを参照）。

[クエリ（Query）] ボタン

ポリシークエリを実行します。実行すると、ルールを評価して、効果が得られない削除可能なルールを特定できます。ポリシークエリーレポートの生成を参照してください。

[Find and Replace] ボタン（双眼鏡アイコン）

テーブル内でのルールの検索と変更を容易にするために、IP アドレスやポリシーオブジェクト名などのルールテーブルの値を検索します。ルールテーブルの項目の検索と置換を参照してください。

[Up] ボタン

選択したルールをテーブル内で 1 行上に移動します。

[Down] ボタン

選択したルールをテーブル内で 1 行下に移動します。

[追加（Add）] ボタン

新しいルールを作成できる [Add Zone-based Firewall Rule] ダイアログボックスを開きます。

[編集（Edit）] ボタン

テーブル内の選択したルールの編集に使用します。[Edit Zone-based Firewall Rule] ダイアログボックスを開きます。

[削除（Delete）] ボタン

選択したルールをテーブルから削除します。

ゾーンベースのファイアウォールルールの追加と編集

[Add Zone based Firewall Rule]/[Edit Zone based Firewall Rule] ダイアログボックスを使用して、Cisco IOS および ASR デバイスに対するゾーンベースのファイアウォールルールを追加および編集します。

ナビゲーションパス

[Zone-based Firewall Rules] ページから、[列の追加（Add Row）] ボタンをクリックするか、または行を選択して [行の編集（Edit Row）] ボタンをクリックします。

フィールドリファレンス

表 23. [Add Zone based Firewall Rule] および [Edit Zone based Firewall Rule] ダイアログボックス

要素

説明

ルールの有効化（Enable Rule）

選択されている場合は、設定が生成および展開されたあとでルールがデバイスでイネーブルになります。ルールを削除せずにディセーブルにするには、このオプションの選択を解除します。

トラフィック

このルールが適用されるトラフィックフローを定義します。

一致（Match）

一致したトラフィックを許可するか拒否するかどうかを選択します。このオプションの詳細については、ゾーンベースのファイアウォールルールの Permit/Deny とアクションとの関係についてを参照してください。

ソース

このルールのトラフィックソースを提供します。ネットワークまたはセキュリティグループになります。次の 1 つ以上のタイプのソースに対して、値またはオブジェクト名を入力するか、オブジェクトを選択できます。

（注）

これらのフィールドのいずれかに、項目をカンマで区切って、1 つ以上の値を入れます。

ネットワーク – さまざまなネットワーク、ホスト、および IP アドレスの定義を、個別に、またはオブジェクトとして指定できます。「All-Address」オブジェクトは、ルールを特定のホストまたはネットワークに制限しません。

これらの定義の詳細については、ネットワーク/ホストオブジェクトについておよびポリシー定義中の IP アドレスの指定を参照してください。

（注）

バージョン 4.21 以降、Cisco Security Manager は、すべてのアグリゲーションサービスルータ、統合サービスルータ、組み込みサービスルータ、および Cisco IOS ソフトウェアで動作するすべてのデバイスについて、バグ修正または拡張機能のサポートを含むサポート全体を終了します。

各仕様を他の仕様と組み合わせて、トラフィックの一致をすべての定義を含むフローのみに制限します。たとえば、指定された送信元アドレス範囲内から発信された指定されたユーザトラフィックです。

宛先

このルールのトラフィックの宛先を指定します。ネットワークまたはセキュリティグループにすることができます。次の 1 つ以上のタイプのソースに対して、値またはオブジェクト名を入力するか、オブジェクトを選択できます。

（注）

これらのフィールドのいずれかに、項目をカンマで区切って、1 つ以上の値を入れます。

ネットワーク – さまざまなネットワーク、ホスト、および IP アドレスの定義を、個別に、またはオブジェクトとして指定できます。「All-Address」オブジェクトは、ルールを特定のホストまたはネットワークに制限しません。

これらの定義の詳細については、ネットワーク/ホストオブジェクトについておよびポリシー定義中の IP アドレスの指定を参照してください。

（注）

バージョン 4.21 以降、Cisco Security Manager は、すべてのアグリゲーションサービスルータ、統合サービスルータ、組み込みサービスルータ、および Cisco IOS ソフトウェアで動作するすべてのデバイスについて、バグ修正または拡張機能のサポートを含むサポート全体を終了します。

各仕様を他の仕様と組み合わせて、トラフィックの一致をすべての定義を含むフローのみに制限します。たとえば、指定された送信元アドレス範囲内から発信された指定されたユーザトラフィックです。

サービス

このルールで照合されるトラフィックのタイプを定義するサービスを指定します。サービスオブジェクトおよびサービスタイプの任意の組み合わせ（通常はプロトコルとポートの組み合わせ）をカンマで区切って入力できます。このオプションの詳細については、ゾーンベースのファイアウォールルールの Services と Protocols の関係についてを参照してください。

サービスを入力する場合は、有効な値の入力を求められます。[Select] をクリックして、リストからサービスを選択することもできます。サービスを指定する方法の詳細については、サービスとサービスオブジェクトおよびポートリストオブジェクトの理解と指定を参照してください。

From Zone

To Zone

基本的なゾーンベースのファイアウォールルールは単方向です。つまり、2 つのゾーン間で一方向にだけ移動するトラフィックフローを定義します。

このルールのトラフィックフローが発信されるゾーンを入力または選択し、トラフィックが流れる先のゾーンを入力または選択します。

[Advanced] ボタン

時間範囲オプションを選択できる [Advanced Options] ダイアログボックスを開きます。ゾーンベースのファイアウォールルール：[Advanced Options] ダイアログボックスを参照してください。

アクション

このルールと一致するトラフィックに適用されるアクション。目的のアクションを選択します。

[Action]：[Drop]、[Drop and Log]、[Pass]、[Pass and Log]

[ドロップ（Drop）]：指定したサービスに対するすべてのパケットをサイレントにドロップします。すべてのトラフィックに適用されるデフォルトアクション。
[ドロップアンドログ（Drop and Log）]：一致したトラフィックは、記録され、ドロップされます。
[パス（Pass）]：ルータは、一致したパケットを [送信元ゾーン（From Zone）] から [宛先ゾーン（To Zone）] に転送します。リターントラフィックは認識されないため、リターントラフィック用に追加のルールを指定する必要があります。このオプションは、IPsec で符号化されたトラフィックなどのプロトコルにだけ役立ちます。
[パスアンドログ]：トラフィックが記録され、転送されます。

これらのアクションについては、[プロトコル（Protocol）] テーブルの横の [選択（Select）] ボタンをクリックして[Protocol Selector] ダイアログボックスを開くことにより、照合する 1 つ以上のプロトコルを選択できます。ただし、これは必須ではありません。[Protocol] テーブルを空のままにして、[Sources]、[Destinations]、および [Services] パラメータに基づいてトラフィックを渡すかドロップできます。実際には、これらは標準アクセスルールです。

[Protocol Selector] ダイアログボックスでは、選択したプロトコルの Port Application Mapping（PAM; ポートアプリケーションマッピング）パラメータを編集できる[Configure Protocol] ダイアログボックスにもアクセスできます。

（注）

ログオプションによって、システムログメッセージが生成されます。これらのメッセージをキャプチャするように syslog ロギングが設定されていることを確認する必要があります。

[Action]：[Inspect]

[検査（Inspect）] は状態に基づくトラフィック制御を提供します。デバイスは、TCP および UDPトラフィックに関する接続またはセッション情報を維持するため、接続要求に対するリターントラフィックが許可されます。

選択したレイヤ 4（TCP、UDP）プロトコルおよびレイヤ 7（HTTP、IMAP、インスタントメッセージング、およびピアツーピア）プロトコルに基づいたパケットインスペクションを適用する場合、このオプションを選択します。選択したプロトコルの PAM も編集でき、ディープパケットインスペクション（DPI）を設定して、レイヤ 7 プロトコルの追加のプロトコル関連情報を提供できます。詳細については、ゾーンベースのファイアウォールポリシーのインスペクションマップの設定を参照してください。

[プロコトル（Protocol）] テーブルの横の [選択（Select）] ボタンをクリックして [Protocol Selector] ダイアログボックスを開くことにより、インスペクションに対して 1 つ以上のプロトコルを選択できます。
[Protocol Selector] ダイアログボックスでは、カスタムプロトコルを作成し、選択したプロトコルの PAM および DPI パラメータを編集できる[Configure Protocol] ダイアログボックスにもアクセスできます。
[検査パラメータ（Inspect Parameters）]：このフィールドにインスペクションパラメータマップの名前を入力するか、または [選択（Select）] を選択してリストから選択することで、カスタマイズされた一連の接続、タイムアウト、およびその他の設定を適用できます。選択リストダイアログボックスから新しいインスペクションパラメータマップを作成することもできます。詳細については、インスペクションパラメータマップの設定を参照してください。

インスペクションパラメータマップを指定しない場合、デフォルト設定が使用されます。

[Action]：[Content Filter]

[コンテンツフィルタ（Content Filter）] では、指定されたパラメータまたはポリシーマップに基づく URL フィルタリングが提供されます。ルータが HTTP 要求を代行受信し、プロトコル関連の検査を実行します。また、任意で、要求を許可するかブロックするかを決定するためにサードパーティ製サーバに接続します。WebFilter パラメータマップを提供できます。このマップにより、ローカル URL リスト、および外部 SmartFilter（以前の N2H2）や Websense サーバからの情報に基づくフィルタリングを定義します。または、ローカル、N2H2、Websense、または Trend Micro フィルタリングデータにアクセスする WebFilter ポリシーマップを提供できます。

アクションとして [コンテンツフィルタ（Content Filter）] が選択されている場合は、HTTP がプロトコルとして指定されます。[Configure] をクリックして、HTTP PAM 設定を編集し、HTTP DPI マップを適用できる[Configure Protocol] ダイアログボックスを開くことができます。
[ウェブフィルタパラメータマップ（WebFilter Parameter Map）] または [ウェブフィルタポリシーマップ（WebFilter Policy Map）] を選択し、適切なマップの名前を指定します。適切な [Select] ボタンをクリックしてリストからマップを選択できます。選択リストダイアログボックスから新しいマップを作成することもできます。これらのマップの設定の詳細については、ゾーンベースのファイアウォールポリシーのコンテンツフィルタリングマップの設定を参照してください。
[検査パラメータ（Inspect Parameters）]：このフィールドにインスペクションパラメータマップの名前を入力するか、または [選択（Select）] を選択してリストから選択することで、カスタマイズされた一連の接続、タイムアウト、およびその他の設定を適用できます。選択リストダイアログボックスから新しいインスペクションパラメータマップを作成することもできます。詳細については、インスペクションパラメータマップの設定を参照してください。

インスペクションパラメータマップを指定しない場合、デフォルト設定が使用されます。

説明

（任意）ルールテーブルを表示するときにルールを識別するのに役立つ最大 1024 文字の説明を入力できます。

カテゴリ

（任意）ルールにカテゴリを割り当てて、ルールとオブジェクトの整理および識別に役立てることができます。カテゴリオブジェクトの使用を参照してください。

ゾーンベースのファイアウォールルール：[Advanced Options] ダイアログボックス

ゾーンベースのファイアウォールルールの [Advanced Options] ダイアログボックスを使用して、特定の時間範囲情報をゾーンベースのファイアウォールルールに適用します。

ナビゲーションパス

[ゾーンベースのファイアウォールルールの追加（Add Zone based Firewall Rule）]/[ゾーンベースのファイアウォールルールの編集（Edit Zone based Firewall Rule）] ダイアログボックスの [トラフィック（Traffic）] セクションで、[詳細設定（Advanced）] ボタンをクリックします。

フィールドリファレンス

表 24. [Advanced Options] ダイアログボックス
要素	説明
時間範囲（Time Range）	この機能では、このゾーンベースのファイアウォールルールがアクティブになる期間を定義できます。時間範囲を指定しない場合は、ルールが即時に、そして常にアクティブになります。時間範囲オブジェクトの名前を入力するか、[選択（Select）] をクリックして [時間範囲セレクタ（Time Ranges Selector）] ダイアログボックスのリストから選択します。このダイアログボックスで、時間範囲オブジェクトを作成および編集できます。詳細については、時間範囲オブジェクトの設定を参照してください。
オプション	この機能では、このゾーンベースのファイアウォールルールに initial-packet-fragment または established-connection 制限を適用できます。次のいずれかのオプションを選択します。 [なし（None）]：packet-fragment または established-connection 制限は適用されません。 [フラグメント（Fragment）]：選択されている場合は、ルールが初期以外のパケットフラグメントに適用されます。フラグメントはルールに従って許可または拒否されます。ホワイトペーパー『Access Control Lists and IP Fragments』に、ゾーンベースのファイアウォールルールにも関連する追加情報が記載されています。 [確立済み（Established）]：TCP プロトコルの場合にだけ、確立済みの接続を要求します。TCP データグラムに ACK または RST 制御ビットが設定されている場合に一致します。一致しないケースは、接続を形成する初期 TCP データグラムです。

[Protocol Selector] ダイアログボックス

[Protocol Selector] ダイアログボックスを使用して、ゾーンベースのファイアウォールルールのトラフィック定義の一部として、1 つ以上の通信プロトコルを指定します。

[Protocol Selector] ダイアログボックスでは、カスタムプロトコルの作成および既存のプロトコルの Port Application Mapping（PAM; ポートアプリケーションマッピング）パラメータの編集に使用できる [Configure Protocol] ダイアログボックスにもアクセスできます。[Configure Protocol] ダイアログボックスでは、特定のプロトコルの詳細インスペクションポリシーマップ、およびプロトコル情報パラメータマップも選択します。詳細については、[Configure Protocol] ダイアログボックスを参照してください。

ナビゲーションパス

[Protocol Selector] ダイアログボックスには、[Add Zone based Firewall Rule]/[Edit Zone based Firewall Rule] ダイアログボックス（ゾーンベースのファイアウォールルールの追加と編集で説明しています）からアクセスできます。いずれかのダイアログボックスで、[Content Filter] 以外のアクションを選択し、[Protocol] テーブルの横の [Select] ボタンをクリックします。

[Zone Based Firewall Rules] テーブルの任意のエントリの [Inspected Protocol] カラムを右クリックしてから [Edit Protocols] を選択することでも、[Protocol Selector] ダイアログボックスを開くことができます。

[Configure Protocol] ダイアログボックス

特定のプロトコルオブジェクトの選択によって、Port Application Mapping（PAM; ポートアプリケーションマッピング）パラメータ（レイヤ 4 プロトコルとポート、およびオプションで特定のネットワークとホスト）を定義するパケットインスペクションをゾーンベースのファイアウォールルールに設定できます。レイヤ 7（HTTP、IMAP、Instant Messaging、およびピアツーピア）プロトコルには、そのプロトコルに固有の詳細パケットインスペクションポリシーも含めることができます。ゾーンベースのファイアウォールルールの定義中のプロトコルの選択については、ゾーンベースのファイアウォールルールの追加と編集を参照してください。

[Configure Protocol] ダイアログボックスは、ゾーンベースのファイアウォールルールで使用する既存のプロトコル定義の編集、およびカスタム定義の作成に使用されます。たとえば、プロトコルで一部またはすべてのネットワークにデフォルトポートを使用しない場合は、異なるポートマッピングを設定できます。

ナビゲーションパス

[Configure Protocol] ダイアログボックスには、[Protocol Selector] ダイアログボックスから次のようにアクセスします。

[Selected Protocols] リストの下にある [Create]（+）ボタンをクリックして、新規プロトコルを作成する。
[Selected Protocols] リストでプロトコルを選択し、[Edit]（鉛筆）ボタンをクリックしてそのプロトコルを編集する。

偏向のない言語

翻訳について

検索結果

章のタイトル： ゾーンベースのファイアウォール ルールの管理

ゾーンベースのファイアウォール ルールの管理

ゾーンベースのファイアウォール ルールについて

ログ

重要なポイント

関連項目

Self ゾーン

関連項目

ゾーンベースのファイアウォールポリシーでの VPN の使用

関連項目

ゾーンと VRF 対応ファイアウォール

関連項目

ゾーンベースのファイアウォールルールの Permit/Deny とアクションとの関係について

ゾーンベースのファイアウォール ルールの Services と Protocols の関係について

ゾーンベースのファイアウォール ルールに対する一般的な推奨事項

ゾーンベースのファイアウォールルールの開発と適用

ゾーンベースのファイアウォールルールの追加

手順

ゾーンベースのファイアウォール ポリシーのインスペクション マップの設定

関連項目

ゾーンベースのファイアウォール ポリシーのクラス マップの設定

ナビゲーション パス

関連項目

フィールド リファレンス

ゾーンベースのファイアウォールの IM アプリケーション クラス マップ：[Add Match Condition]/[Edit Match Condition] ダイアログボックス

ナビゲーション パス

関連項目

ゾーンベースのファイアウォールの P2P アプリケーション クラス マップ：[Add Match Condition]/[Edit Match Condition] ダイアログボックス

ナビゲーション パス

関連項目

フィールド リファレンス

H.323（IOS）クラス マップの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

ナビゲーション パス

関連項目

HTTP（IOS）クラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

ナビゲーション パス

関連項目

フィールド リファレンス

IMAP および POP3 クラス マップの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

ナビゲーション パス

関連項目

SIP（IOS）クラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

ナビゲーション パス

関連項目

フィールド リファレンス

SMTP クラス マップの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

ナビゲーション パス

関連項目

フィールド リファレンス

Sun RPC クラス マップの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

ナビゲーション パス

関連項目

ローカル Web フィルタ クラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

ナビゲーション パス

関連項目

フィールド リファレンス

N2H2 および Websense クラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

ナビゲーション パス

関連項目

インスペクション パラメータ マップの設定

ナビゲーション パス

関連項目

フィールド リファレンス

プロトコル情報パラメータ マップの設定

ナビゲーション パス

関連項目

フィールド リファレンス

プロトコル情報パラメータの [Add DNS Server]/[Edit DNS Server] ダイアログボックス

ナビゲーション パス

ゾーンベースのファイアウォール ポリシーのポリシー マップの設定

ナビゲーション パス

関連項目

フィールド リファレンス

ゾーンベースのファイアウォール ポリシーおよび Web フィルタ ポリシーの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

ナビゲーション パス

関連項目

章のタイトル：ゾーンベースのファイアウォールルールの管理

ゾーンベースのファイアウォールルールの管理

ゾーンベースのファイアウォールルールについて

ゾーンベースのファイアウォールルールの Services と Protocols の関係について

ゾーンベースのファイアウォールルールに対する一般的な推奨事項

ゾーンベースのファイアウォールポリシーのインスペクションマップの設定

ゾーンベースのファイアウォールポリシーのクラスマップの設定

ナビゲーションパス

フィールドリファレンス

ゾーンベースのファイアウォールの IM アプリケーションクラスマップ：[Add Match Condition]/[Edit Match Condition] ダイアログボックス

ナビゲーションパス

ゾーンベースのファイアウォールの P2P アプリケーションクラスマップ：[Add Match Condition]/[Edit Match Condition] ダイアログボックス

ナビゲーションパス

フィールドリファレンス

H.323（IOS）クラスマップの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

ナビゲーションパス

ナビゲーションパス

フィールドリファレンス

IMAP および POP3 クラスマップの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

ナビゲーションパス

ナビゲーションパス

フィールドリファレンス

SMTP クラスマップの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

ナビゲーションパス

フィールドリファレンス

Sun RPC クラスマップの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

ナビゲーションパス

ローカル Web フィルタクラスの [Add Match Criterion]/[Edit Match Criterion] ダイアログボックス

ナビゲーションパス

フィールドリファレンス

ナビゲーションパス

インスペクションパラメータマップの設定

ナビゲーションパス

フィールドリファレンス

プロトコル情報パラメータマップの設定

ナビゲーションパス

フィールドリファレンス

ナビゲーションパス

ゾーンベースのファイアウォールポリシーのポリシーマップの設定

ナビゲーションパス

フィールドリファレンス

ゾーンベースのファイアウォールポリシーおよび Web フィルタポリシーの [Add Match Condition and Action]/[Edit Match Condition and Action] ダイアログボックス

ナビゲーションパス

フィールドリファレンス

ゾーンベースのファイアウォールポリシーのコンテンツフィルタリングマップの設定

ローカル Web フィルタパラメータマップの設定

ナビゲーションパス

フィールドリファレンス

N2H2 または WebSense パラメータマップの設定

ナビゲーションパス

フィールドリファレンス

ナビゲーションパス

フィールドリファレンス

Trend パラメータマップの設定

ナビゲーションパス

フィールドリファレンス

URL フィルタパラメータマップの設定

ナビゲーションパス

フィールドリファレンス

URL フィルタパラメータの [Add URL Domain Name]/[Edit URL Domain Name] ダイアログボックス

ナビゲーションパス

URLF Glob パラメータマップの設定

ナビゲーションパス

フィールドリファレンス

Web フィルタマップの設定

ナビゲーションパス

フィールドリファレンス

ゾーンベースのファイアウォールルールの設定

ナビゲーションパス

フィールドリファレンス

ナビゲーションパス

フィールドリファレンス

ナビゲーションパス

ナビゲーションパス

フィールドリファレンス

ゾーンベースのファイアウォールルールの追加と編集

ナビゲーションパス

フィールドリファレンス

ゾーンベースのファイアウォールルール：[Advanced Options] ダイアログボックス