Maximum DNS Packet Length

最大 DNS パケット長。値は 512 ～ 65535 です。

DNS Map

トラフィックの一致条件とアクション、プロトコル準拠ポリシー、およびフィルタ設定を定義する DNS ポリシー マップ オブジェクト。オブジェクト名を入力するか、[選択（Select）] をクリックしてオブジェクトを選択します。必要なオブジェクトが表示されていない場合は、[作成（Create）] ボタンをクリックして作成します。

動的フィルタスヌーピングの有効化（Enable Dynamic Filter Snooping）

DNS ルックアップ情報のデータベースを構築するために、セキュリティ アプライアンスに DNS パケットのスヌープを許可するかどうか。この情報は、DNS 名と IP アドレスをマッチングするためにボットネット トラフィック フィルタリングで使用されます。

ボットネット トラフィック フィルタリング ルール ポリシーを設定する場合は、このオプションを選択します。それ以外の場合は、このオプションを選択しないでください。詳細については、[Botnet Traffic Filter Rules] ページを参照してください。

Maximum Fragments

Cisco IOS ソフトウェアによって状態情報（構造）が割り当てられる、アセンブルされていないパケットの最大数。アセンブルされていないパケットとは、セッションの初期パケットよりも前に、ルータ インターフェイスに到着したパケットのことです。値は 0 ～ 10000 の状態エントリです。デフォルトは 256 です。

[タイムアウト(秒)（Timeout (sec)）]

パケット状態構造がアクティブに保たれる秒数。タイムアウト値が経過すると、アセンブルされていないパケットがルータによってドロップされ、別のパケットで使用できるように構造が解放されます。値は 1 ～ 1000 です。デフォルトのタイムアウト値は 1 秒です。

Reset Connection on Invalid IMAP/POP3 packet

無効なパケットが検出された場合に、クライアントとサーバ間の接続をリセットするか、またはドロップするか。クライアントは、サーバに再接続するために検証プロセスを繰り返す必要があります。

Enforce Secure Authentication

パスワードがクリア テキストで送信されないように、クライアントがサーバへのセキュア ログインを使用する必要があるかどうか。

プログラム番号

許可するプログラム番号。値は 1 ～ 4294967295 です。

待ち時間（Wait Time）

同じ送信元アドレスから同じ宛先アドレスおよびポートへの後続の接続を許可するために、ファイアウォールの穴を開けたまま維持する時間（分単位）。値は 0 ～ 35791 分です。デフォルトは 0 です。

一致タイプ（Match Type）

クラス名

（ポリシー マップのみ）

既存の DCE/RPC クラスマップを使用するか、新規 DCE/RPC クラスマップを定義できます。

• [Use Specified Values]：このダイアログボックスでクラス マップを定義する場合。

• [クラスマップの値を使用（Use Values in Class Map）]：既存の DCE/RPC クラス マップ ポリシー オブジェクトを選択する場合。DNS クラスマップの名前を [クラス名（Class Name）] フィールドに入力します。[選択（Select）] をクリックしてリストからマップを選択するか、新しいクラスマップオブジェクトを作成します。

基準

照合するトラフィック基準を指定します。

• ms-rpc-epm：Microsoft RPC EPM メッセージを照合します。

• ms-rpc-isystemactivator：ISystemMapper メッセージを照合します。

• ms-rpc-oxidresolver：OxidResolver メッセージを照合します。

タイプ（Type）

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、文字列「example.com」で [一致しない（Doesn’t Match）] を選択した場合、「example.com」を含むトラフィックはすべてマップの対象外になります。

• [Matches]：基準に一致する。

• [一致しない（Doesn't Match）]：基準に一致しない。

操作

（ポリシー マップのみ）

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。

• [リセット（Reset）]：パケットをドロップし、接続を閉じ、サーバーとクライアントの両方またはいずれかに TCP リセットを送信します。

• [ログ（Log）]：システムログメッセージを送信します。このオプションは単独で使用するか、または他のアクションのいずれかと一緒に使用できます。

• [リセットとログ（Reset and Log）]：リセットアクションとログアクションを実行します。

Enable DNS Guard Function

DNS ヘッダーの識別子フィールドを使用して DNS クエリーおよび応答の不一致チェックを実行するかどうか。クエリーごとに 1 つの応答がセキュリティ アプライアンスを通過できます。

Generate Syslog for ID Mismatch

DNS 識別子の不一致が過度に発生した場合に syslog エントリを作成するかどうか。

Randomize the DNS Identifier for DNS Query

DNS クエリー メッセージの DNS 識別子をランダム化するかどうか。

Enable NAT Rewrite Function

DNS 応答の A レコードで IP アドレス変換をイネーブルにするかどうか。

Enable Protocol Enforcement

ドメイン名、ラベル長、圧縮、ループ ポインタのチェックなど、DNS メッセージ形式チェックをイネーブルにするかどうか。

Enable DNS on TCP

DNS over TCP トラフィックのインスペクションを有効にするかどうかを指定します。DNS/TCP ポート 53 トラフィックが、DNS インスペクションを適用するクラスの一部であることを確認します。インスペクションのデフォルト クラスには、TCP/53 が含まれています。

Require Authentication Between DNS Server (RFC2845)

操作

RFC 2845 の規定に従って、DNS サーバ間で認証を要求するかどうか。このオプションを選択した場合は、認証がない場合に実行するアクションを選択します。

Drop Packets that Exceed Specified Length

Maximum Packet Length

指定したバイト単位の最大長を超えたパケットをドロップするかどうか。これはグローバル設定です。

Drop Packets Sent to Server that Exceed Specified Maximum Length

最大長（Maximum Length）

指定したバイト単位の最大長を超えた、サーバに送信されたパケットをドロップするかどうか。

Drop Packets Sent to Server that Exceed Length Indicated by Resource Record

サーバに送信されたパケットのうち、リソース レコードで指定された長さを超えるものをドロップするかどうか。

Drop Packets Sent to Client that Exceed Specified Length

最大長（Maximum Length）

クライアントに送信されたパケットのうち、指定したバイト単位の最大長を超えたものをドロップするかどうか。

Drop Packets Sent to Client that Exceed Length Indicated by Resource Record

リソース レコードで指定された長さを超えた、クライアントに送信されたパケットをドロップするかどうか。

UmbrellaポリシーのUmbrellaコネクタタグの有効化（Enable Umbrella Connector Tag for Umbrella Policy）

チェックボックスをオンにして、DNS ポリシーマップ Umbrella タグ名を入力します。tag 名には、最大 50 文字を指定できます。タグ名が 50 文字を超える場合、Cisco Security Manager からエラーメッセージがスローされます。

フェールオープンの有効化（Enable Fail-Open）

Umbrella DNS サーバーが使用できない場合に DNS 解決を動作させるには、このチェックボックスをオンにします。

フェールオープンが選択されていて、Cisco Umbrella DNS サーバーが使用できない場合、このポリシーマップで Umbrella 自体が無効になり、システム上に設定された他の DNS サーバー（存在する場合）に DNS 要求を移動できます。Umbrella DNS サーバーが再度使用可能になると、ポリシーマップはそれらの使用を再開します。このオプションを選択しない場合、アクセスできない Umbrella リゾルバに DNS 要求が移動し続けるため応答を得られません。

デバイスID

デバイス ID は、デバイスが Umbrellaサーバーに正常に登録された後に生成されます。ID は、Cisco Security Manager でデバイスを再検出した後にのみ、このフィールドに表示されます。

DNSCryptの有効化（Enable DNScrypt）

Umbrella データパスで DNS 暗号化を有効にするには、このチェックボックスをオンにします。1 時間ごとに、秘密鍵がキーエクスチェンジスレッドと Umbrella リゾルバの間で交換されます。

[Umbrellaコネクタの有効化（Enable Umbrella Connector）] チェックボックスがオンになっていることを確認します。チェックボックスがオフの場合、設定の不一致に関するエラーメッセージが表示されます。

一致タイプ（Match Type）

クラス名

（ポリシー マップのみ）

既存の DNS クラス マップを使用するか、新規 DNS クラス マップを定義できます。

• [Use Specified Values]：このダイアログボックスでクラス マップを定義する場合。

• [Use Values in Class Map]：既存の DNS クラス マップ ポリシー オブジェクトを選択する場合。DNS クラスマップの名前を [クラス名（Class Name）] フィールドに入力します。[選択（Select）] をクリックしてリストからマップを選択するか、新しいクラスマップオブジェクトを作成します。

基準

照合するトラフィック基準を指定します。

• [DNS Class]：DNS クエリーまたはリソース レコードのクラスを照合します。

• [DNS Type]：DNS クエリーまたはリソース レコードのタイプを照合します。

• [Domain Name]：DNS クエリーまたはリソース レコードのドメイン名を照合します。

• [Header Flag]：ヘッダー内の DNS フラグを照合します。

• [Question]：DNS の質問を照合します。

• [Resource Record]：DNS リソース レコードを照合します。

タイプ（Type）

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、文字列「example.com」で [一致しない（Doesn’t Match）] を選択した場合、「example.com」を含むトラフィックはすべてマップの対象外になります。

• [Matches]：基準に一致する。

• [一致しない（Doesn't Match）]：基準に一致しない。

操作

（ポリシー マップのみ）

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。

可変フィールド

次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。

値

（DNS クラス基準の場合）

検査する DNS クラス。

• [Internet]：インターネット DNS クラスと一致します。

• [DNS Class Field Value]：指定した数値と一致します。

• [DNS Class Field Range]：指定した数値範囲と一致します。

値

（DNS タイプ基準の場合）

検査する DNS タイプ。

• [DNS Type Field Name]：DNS タイプの名前と一致します。

  • [A]：IPv4 アドレス。

  • [AXFR]：完全（ゾーン）転送。

  • [CNAME]：正規の名前。

  • [IXFR]：増分（ゾーン）転送。

  • [NS]：権限ネームサーバ。

  • [SOA]：権限のゾーンの開始。

  • [TSIG]：トランザクション シグニチャ。

• [DNS Type Field Value]：指定した数値と一致します。

• [DNS Type Field Range]：指定した数値範囲と一致します。

値

（ドメイン名基準の場合）

評価する正規表現。次のいずれかを選択できます。

• [Regular Expression]：パターン マッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

• [Regular Expression Group]：パターン マッチングに使用する正規表現を定義する、正規表現グループ オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現グループオブジェクトを作成できます。

オプション

値

（ヘッダー フラグ基準の場合）

検査するヘッダー フラグ。[Options] フィールドを使用して、完全一致（等しい）または部分一致（含む）のどちらを適用するかを指定します。

• [Header Flag Name]：選択したヘッダー フラグ名と一致します。

  • AA（権威のある回答）

  • QR（クエリー）

  • RA（再帰可能）

  • RD（再帰拒否）

  • TC（切り捨て）フラグ ビット

• [Header Flag Value]：指定した 16 ビットの 16 進数値と一致します。

Resource Record

照合するセクションをリストします。

• [Additional]：DNS 追加リソース レコード。

• [Answer]：DNS 回答リソース レコード。

• [Authority]：DNS 権限リソース レコード。

基準

照合する ESMTP トラフィック基準を指定します。基準については、上記で説明しています。

タイプ（Type）

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、文字列「example.com」で [一致しない（Doesn’t Match）] を選択した場合、「example.com」を含むトラフィックはすべてマップの対象外になります。

• [Matches]：基準に一致する。

• [一致しない（Doesn't Match）]：基準に一致しない。

操作

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。

可変フィールド

次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。

最大長

評価されるフィールドの長さ（バイト単位）。この基準は、長さが指定した数値よりも大きい場合に一致し、フィールドが指定した数値よりも小さい場合は一致しません。

ダイアログボックスでは、[Body Length] および [Header Length] を除き、1 ～ 4294967295 を指定できる有効な長さ範囲を指定します。

コマンド

検査する ESMTP コマンド バーブ。

Greater Than Count

評価される項目の数。この基準は、カウントが指定した数値よりも大きい場合に一致し、カウントが指定した数値よりも小さい場合は一致しません。

パラメータ

検査する ESMTP EHLO 応答パラメータ。

値

評価する正規表現。次のいずれかを選択できます。

• [Regular Expression]：パターン マッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

• [Regular Expression Group]：パターン マッチングに使用する正規表現を定義する、正規表現グループ オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現グループオブジェクトを作成できます。

MIME Encoding

検査する MIME 符号化スキーム。

一致タイプ（Match Type）

クラス名

（ポリシー マップのみ）

既存の FTP クラス マップを使用するか、新規 FTP クラス マップを定義できます。

• [Use Specified Values]：このダイアログボックスでクラス マップを定義する場合。

• [Use Values in Class Map]：既存の FTP クラス マップ ポリシー オブジェクトを選択する場合。FTP クラスマップの名前を [クラス名（Class Name）] フィールドに入力します。[選択（Select）] をクリックしてリストからマップを選択するか、新しいクラスマップオブジェクトを作成します。

基準

照合する FTP トラフィック基準を指定します。

• [Request Command]：FTP 要求コマンドを照合します。

• [Filename]：FTP 転送のファイル名を照合します。

• [File Type]：FTP 転送のファイル タイプを照合します。

• [Server]：FTP サーバ名を照合します。

• [Username]：FTP ユーザ名を照合します。

タイプ（Type）

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、文字列「example.com」で [一致しない（Doesn’t Match）] を選択した場合、「example.com」を含むトラフィックはすべてマップの対象外になります。

• [Matches]：基準に一致する。

• [一致しない（Doesn't Match）]：基準に一致しない。

操作

（ポリシー マップのみ）

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。

可変フィールド

次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。

Request Commands

検査する FTP コマンド。

• [Append (APPE)]：ファイルに追加します。

• [Delete (DELE)]：サーバ サイトでファイルを削除します。

• [Help (HELP)]：サーバからヘルプ情報を提供します。

• [Put (PUT)]：stor（ファイルの保存）コマンドの FTP クライアント コマンド。

• [Rename From (RNFR)]：名前変更する元のファイル名を指定します。

• [Server Specific Command (SITE)]：サーバに固有のコマンドを指定します。通常、リモート管理に使用します。

• [Change to Parent (CDUP)]：現在の作業ディレクトリの親ディレクトリに変更します。

• [Get (GET)]：retr（ファイルの取得）コマンドの FTP クライアント コマンド。

• [Create Directory (MKD)]：ディレクトリを作成します。

• [Remove Directory (RMD)]：ディレクトリを削除します。

• [Rename To (RNTO)]：名前変更する先の名前を指定します。

• [Store File with Unique Name (STOU)]：ファイルを一意のファイル名で保存します。

値

評価する正規表現。次のいずれかを選択できます。

• [Regular Expression]：パターン マッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

• [Regular Expression Group]：パターン マッチングに使用する正規表現を定義する、正規表現グループ オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現グループオブジェクトを作成できます。

GSN タイムアウト（GSN Timeout）（ASA 9.5(1) より前）

エンドポイントタイムアウト（Endpoint Timeout）（ASA 9.5(1) 以降）

非活動状態のままこの時間（hh:mm:ss）が経過すると GSN が削除されます。デフォルトは 30 分です。すぐにティアダウンしない場合は、0 を入力します。

PDP Context Timeout

PDP コンテキストの受信を開始する前に許容される最大期間（hh:mm:ss）。デフォルトは 30 分です。制限なしを指定する場合は、0 を入力します。

Request Queue Timeout

GTP メッセージの受信を開始する前に許容される最大期間（hh:mm:ss）。デフォルトは 60 秒です。制限なしを指定する場合は、0 を入力します。

Signaling Connections Timeout

非活動状態のままこの時間（hh:mm:ss）が経過すると GTP シグナリングが削除されます。デフォルトは 30 分です。シグナルを削除しない場合は、0 を入力します。

Tunnel Timeout

非活動状態のままこの時間（hh:mm:ss）が経過すると GTP トンネルがティアダウンされます。デフォルトは 60 秒です（PDP コンテキストの削除要求を受信していない場合）。すぐにティアダウンしない場合は、0 を入力します。

T3 Response Timeout

接続を除去する前に応答を待機する最大時間。

基準

照合する GTP トラフィック基準を指定します。

• [Access Point Name]：アクセス ポイント名を照合します。このため、GTP アプリケーションのインスペクションがイネーブルになっている場合にドロップするアクセス ポイントを定義できます。

• [Message ID]：ドロップするメッセージの数値 ID を照合します。デフォルトでは、すべての有効なメッセージ ID が許可されます。

• [Message Length]：UDP パケットの長さを照合します。この基準を使用して、UDP ペイロードに対して許可されるメッセージの最大長のデフォルトを変更します。

• [Version]：GTP バージョンを照合します。

• [MSISDN]：MSISDN を正規表現またはクラスと照合し、一致する MSISDN を持つすべての GTP パケットをドロップします。

• [選択モード（Selection Mode）]：0 ～ 3 の範囲。

タイプ（Type）

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、文字列「example.com」で [一致しない（Doesn’t Match）] を選択した場合、「example.com」を含むトラフィックはすべてマップの対象外になります。

• [Matches]：基準に一致する。

• [一致しない（Doesn't Match）]：基準に一致しない。

操作

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。

• [Drop Packet]：デフォルトでは、解析時に失敗したすべての無効パケットがドロップされます。

• Drop Packet and Log

• レート制限

可変フィールド

次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。

アクセス ポイント名（Access Point Name）

GTP アプリケーションのインスペクションがイネーブルになっている場合に作用するアクセス ポイント。

• [Specified By]：ドロップするアクセス ポイント名。デフォルトでは、有効な APN を持つすべてのメッセージが検査され、すべての APN が許可されます。

• [Regular Expression]：パターン マッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

• [Regular Expression Group]：パターン マッチングに使用する正規表現を定義する、正規表現グループ オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現グループオブジェクトを作成できます。

ID タイプ

操作対象のメッセージの数値 ID。

• [Value]：単一のメッセージ ID。値は、1 ～ 255 です。

• [Range]：メッセージ ID の範囲。範囲は 1 ～ 255 です。

最小長（Minimum Length）

UDP ペイロード内の最小バイト数。

最大長（Maximum Length）

UDP ペイロード内の最大バイト数。

バージョン

バージョン 4.9 以降、Security Manager は、ASA デバイス 9.5(1) 以降の GTP マップ オブジェクトで GPRS トンネル プロトコル（GTP）v2 および拡張 v1 のサポートを提供します。GTPv1 と GTPv2 に個別のメッセージ ID 照合を設定できるようになりました。

ASA デバイス 9.5(1) 以降の場合、条件としてメッセージ ID を選択すると、v1 と v2 の ２つのバージョンのオプションが表示されます。v1 または v2 を選択し、1 から 255 までの単一の値、または 1 から 255 までの値の範囲を入力します。

Version Type

ASA バージョン 9.5(1) より前のバージョン：バージョン 0 を指定するには 0 を使用し、バージョン 1 を指定するには 1 を使用します。バージョン 0 の GTP ではポート 2123 を使用し、バージョン 1 ではポート 3386 を使用します。デフォルトでは、すべての GTP バージョンが許可されます。

正規表現

バージョン 4.18 以降、Cisco Security Manager では、正規表現を使用して MSISDN を設定し、一致する MSISDN を持つすべての GTP パケットをドロップできます。このフィールドは、[条件（Criterion）] ドロップダウンで MSISDN を選択すると表示されます。

正規表現グループ（Regular Expression Group）

バージョン 4.18 以降、Cisco Security Manager では、正規表現クラスを使用して MSISDN を設定し、一致する MSISDN を持つすべての GTP パケットをドロップできます。このフィールドは、[条件（Criterion）] ドロップダウンで MSISDN を選択すると表示されます。

モード値（Mode Value）

[条件（Criterion）] ドロップダウンで [選択項目（Selection）] が選択されている場合、このフィールドが表示されます。モード値を 0 ～ 3 の範囲で入力します。これは必須フィールドです。

グループ ID（Group ID）

HSI グループの ID 番号（0 ～ 2147483647）。

IPアドレス

HSI ホストの IP アドレス。

Endpoint table

HSI グループに関連付けられているエンド ポイント。グループあたり最大 10 個のエンド ポイントを追加できます。エンド ポイントごとに、IP アドレスとインターフェイス ポリシー グループを指定します。

• エンド ポイントを追加するには、[Add] ボタンをクリックし、ダイアログボックスに入力します（[Add HSI Endpoint IP Address]/[Edit HSI Endpoint IP Address] ダイアログボックスを参照）。

• エンド ポイントを編集するには、エンド ポイントを選択し、[Edit] ボタンをクリックします。

• エンド ポイントを削除するには、エンド ポイントを選択し、[Delete] ボタンをクリックします。

Network/Host

エンド ポイント ホストまたはネットワークの IP アドレス。

インターフェイス

セキュリティ アプライアンスに接続されているインターフェイスを識別するインターフェイス ポリシー グループ。ポリシーグループの名前を入力するか、[選択（Select）] をクリックしてリストから選択します。ここで新しいポリシーグループを作成することもできます。

一致タイプ（Match Type）

クラス名

（ポリシー マップのみ）

既存の H.323 クラス マップを使用するか、新規 H.323 クラス マップを定義できます。

• [Use Specified Values]：このダイアログボックスでクラス マップを定義する場合。

• [Use Values in Class Map]：既存の H.323 クラス マップ ポリシー オブジェクトを選択する場合。H.323 クラスマップの名前を [クラス名（Class Name）] フィールドに入力します。[選択（Select）] をクリックしてリストからマップを選択するか、新しいクラスマップオブジェクトを作成します。

基準

照合する H.323 トラフィック基準を指定します。

• [Called Party]：着信ユーザ アドレスを照合します。

• [Calling Party]：発信側アドレスを照合します。

• [Media Type]：メディア タイプを照合します。

タイプ（Type）

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、文字列「example.com」で [一致しない（Doesn’t Match）] を選択した場合、「example.com」を含むトラフィックはすべてマップの対象外になります。

• [Matches]：基準に一致する。

• [一致しない（Doesn't Match）]：基準に一致しない。

操作

（ポリシー マップのみ）

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。

可変フィールド

次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。

値

評価する正規表現。次のいずれかを選択できます。

• [Regular Expression]：パターン マッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

• [Regular Expression Group]：パターン マッチングに使用する正規表現を定義する、正規表現グループ オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現グループオブジェクトを作成できます。

メディア タイプ（Media Type）

検査するメディアのタイプ（オーディオ、ビデオ、またはデータ）。

Take action for non-RFC 2616 compliant traffic

RFC 2616 に準拠しないトラフィックに対して実行するアクションを設定するかどうか。指定できるアクションは、次のとおりです。

• [Allow Packet]：メッセージを許可します。

• [Drop Packet]：接続を閉じます。

• [Reset Connection]（デフォルト）：TCP リセット メッセージをクライアントとサーバに送信します。

[Syslogの生成（Generate Syslog）] を選択して、非準拠トラフィックが検出された場合にメッセージを syslog に書き込むこともできます。

Verify Content-type field belongs to the supported internal content-type list.

サポートされる内部コンテンツ タイプ リストにコンテンツ タイプがないトラフィックに対して実行するアクションを設定するかどうか。指定できるアクションは、次のとおりです。

• [Allow Packet]：メッセージを許可します。

• [Drop Packet]：接続を閉じます。

• [Reset Connection]（デフォルト）：TCP リセット メッセージをクライアントとサーバに送信します。

次のオプションも選択できます。

• [要求のACCEPTフィールドと応答のContent-typeフィールドの一致を検証する（Verify Content-type field for response matches the ACCEPT field of request）]：応答のコンテンツタイプが要求と一致することも確認します。

• [Syslogの生成（Generate Syslog）]：非準拠トラフィックが検出された場合にメッセージを syslog に書き込みます。

Override Global TCP Idle Timeout (IOS only)

TCP アイドル タイムアウトのデフォルト設定を変更するかどうか。この時間の経過後に通信アクティビティがない場合、IOS デバイスは接続を終了します。このオプションを選択した場合は、目的のタイムアウト値を秒単位で指定します。

Override Global Audit Trail Setting (IOS only)

Enable Audit Trail

IOS デバイスの監査証跡設定を変更するかどうか。このオプションを選択した場合は、[監査証跡の有効化（Enable Audit Trail）] を選択して監査証跡メッセージを生成できます。

Inspect URI Length

URI の長さに基づくインスペクションをイネーブルにするかどうか。このオプションを選択した場合は、次の項目を設定します。

• [Maximum]：バイト単位での URI の最大長（1 ～ 65535）。

• [Excessive URI Length Action]：長さを超過した場合に実行するアクション。

  • [Allow Packet]：メッセージを許可します。

  • [Drop Packet]：接続を閉じます。

  • [Reset Connection]：TCP リセット メッセージをクライアントとサーバに送信します。

• [Generate Syslog]：違反が発生した場合に syslog メッセージを生成するかどうか。

Inspect Maximum Header Length

HTTP ヘッダーの長さに基づくインスペクションをイネーブルにするかどうか。このオプションを選択した場合は、次の項目を設定します。

• [Request]：バイト単位での要求ヘッダーの最大長（1 ～ 65535）。

• [Response]：バイト単位での応答ヘッダーの最大長（1 ～ 65535）。

• [Excessive Header Length Action]：長さを超過した場合に実行するアクション。

  • [Allow Packet]：メッセージを許可します。

  • [Drop Packet]：接続を閉じます。

  • [Reset Connection]：TCP リセット メッセージをクライアントとサーバに送信します。

• [Generate Syslog]：違反が発生した場合に syslog メッセージを生成するかどうか。

Inspect Body Length

メッセージ本文の長さに基づくインスペクションをイネーブルにするかどうか。このオプションを選択した場合は、次の項目を設定します。

• [Minimum Threshold]：バイト単位でのメッセージ本文の最小長（1 ～ 65535）。

• [Maximum Threshold]：バイト単位でのメッセージ本文の最大長（1 ～ 65535）。

• [Body Length Threshold Action]：メッセージ本文が設定した境界の範囲外の場合に実行するアクション。

  • [Allow Packet]：メッセージを許可します。

  • [Drop Packet]：接続を閉じます。

  • [Reset Connection]：TCP リセット メッセージをクライアントとサーバに送信します。

• [Generate Syslog]：違反が発生した場合に syslog メッセージを生成するかどうか。

Available and Selected Methods

操作

Syslog を生成する

[Available Methods] リストには、RFC 2616 で規定されている要求メソッドが表示されます。

メソッドのアクションを設定するには、メソッドを選択してから、アクションを選択します。選択したメソッドが含まれた HTTP 要求が発生したときに syslog にメッセージが追加されるようにする場合は、任意で [Syslogの生成（Generate Syslog）] を選択します。[>>] ボタンをクリックして、メソッドを [選択済みのメソッド（Selected Methods）] リストに追加します（メソッドを選択済みリストから削除するには、メソッドを選択し、[<<] ボタンをクリックします）。

指定できるアクションは次のとおりです。

• [Allow Packet]：メッセージを許可します。

• [Drop Packet]：接続を閉じます。

• [Reset Connection]（デフォルト）：TCP リセット メッセージをクライアントとサーバに送信します。

Specify the action to be applied for the remaining available methods above.

上記で特定のアクションを指定していないメソッドのデフォルト アクションを定義するかどうか。このオプションを選択した場合は、アクション、およびデフォルト アクションに使用する syslog 設定を選択します。

Available and Selected Methods

操作

Syslog を生成する

[Available Methods] リストには、RFC 2616 で規定されている拡張要求メソッドが表示されます。

メソッドのアクションを設定するには、メソッドを選択してから、アクションを選択します。選択したメソッドが含まれた HTTP 要求が発生したときに syslog にメッセージが追加されるようにする場合は、任意で [Syslogの生成（Generate Syslog）] を選択します。[>>] ボタンをクリックして、メソッドを [選択済みのメソッド（Selected Methods）] リストに追加します（メソッドを選択済みリストから削除するには、メソッドを選択し、[<<] ボタンをクリックします）。

指定できるアクションは次のとおりです。

• [Allow Packet]：メッセージを許可します。

• [Drop Packet]：接続を閉じます。

• [Reset Connection]（デフォルト）：TCP リセット メッセージをクライアントとサーバに送信します。

Specify the action to be applied for the remaining available methods above.

上記で特定のアクションを指定していないメソッドのデフォルト アクションを定義するかどうか。このオプションを選択した場合は、アクション、およびデフォルト アクションに使用する syslog 設定を選択します。

Available and Selected Application Categories

操作

Syslog を生成する

[Available Application Categories] リストには、ファイアウォール インスペクション設定を定義できるカテゴリが表示されます。

カテゴリのアクションを設定するには、カテゴリを選択し、次にアクションを選択します。選択したアプリケーションが含まれる HTTP 要求が発生したときに syslog にメッセージが追加されるようにする場合は、任意で [Syslogの生成（Generate Syslog）] を選択します。[>>] ボタンをクリックして、カテゴリを [選択されたカテゴリ（Selected Categories）] リストに追加します（カテゴリを選択済みリストから削除するには、カテゴリを選択し、[<<] ボタンをクリックします）。

指定できるアクションは次のとおりです。

• [Allow Packet]：メッセージを許可します。

• [Drop Packet]：接続を閉じます。

• [Reset Connection]（デフォルト）：TCP リセット メッセージをクライアントとサーバに送信します。

Specify the action to be applied for the remaining available categories above.

上記で特定のアクションを指定していないカテゴリのデフォルト アクションを定義するかどうか。このオプションを選択した場合は、アクション、およびデフォルト アクションに使用する syslog 設定を選択します。

Available and Selected Encoding Types

操作

Syslog を生成する

[Available Encoding Types] リストには、ファイアウォール インスペクション設定を定義できる転送符号化のタイプが表示されます。

あるタイプのアクションを設定するには、タイプを選択し、アクションを選択します。選択したタイプを含む HTTP リクエストが発生したときに syslog にメッセージが追加されるようにする場合は、必要に応じて [Syslogの生成（Generate Syslog）] を選択します。[>>] ボタンをクリックして、タイプを [選択済みのエンコードのタイプ（Selected Encoding Types）] リストに追加します（あるタイプを選択済みリストから削除するには、タイプを選択し、[<<] ボタンをクリックします）。

指定できるアクションは次のとおりです。

• [Allow Packet]：メッセージを許可します。

• [Drop Packet]：接続を閉じます。

• [Reset Connection]（デフォルト）：TCP リセット メッセージをクライアントとサーバに送信します。

Specify the action to be applied for the remaining available encoding types above.

上記で特定のアクションを指定していないタイプのデフォルト アクションを定義するかどうか。このオプションを選択した場合は、アクション、およびデフォルト アクションに使用する syslog 設定を選択します。

一致タイプ（Match Type）

クラス名

（ポリシー マップのみ）

既存の HTTP クラス マップを使用するか、新規 HTTP クラス マップを定義できます。

• [Use Specified Values]：このダイアログボックスでクラス マップを定義する場合。

• [Use Values in Class Map]：既存の HTTP クラス マップ ポリシー オブジェクトを選択する場合。HTTP クラスマップの名前を [クラス名（Class Name）] フィールドに入力します。[選択（Select）] をクリックしてリストからマップを選択するか、新しいクラスマップオブジェクトを作成します。

基準

照合する HTTP トラフィック基準を指定します。基準については、上記で説明しています。

タイプ（Type）

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、文字列「example.com」で [一致しない（Doesn’t Match）] を選択した場合、「example.com」を含むトラフィックはすべてマップの対象外になります。

• [Matches]：基準に一致する。一部の基準では、これは使用可能な唯一のオプションです。

• [一致しない（Doesn't Match）]：基準に一致しない。

操作

（ポリシー マップのみ）

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。アクションのタイプは選択した基準によって決まります。

可変フィールド

次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。

フィールド名

評価するヘッダー フィールドの名前。次のいずれかを選択できます。

• [Predefined]：定義済みの HTTP ヘッダー フィールド。

• [Regular Expression]：パターン マッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

値

評価する正規表現。次のいずれかを選択できます。

• [Regular Expression]：パターン マッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

• [Regular Expression Group]：パターン マッチングに使用する正規表現を定義する、正規表現グループ オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現グループオブジェクトを作成できます。

[Request Header Transfer Encoding] または [Response Header Transfer Encoding] 基準を評価する場合は、次のオプションも指定できます。

• [Specified By]：転送符号化の次の定義済みタイプの 1 つ。

  • [Chunked]：メッセージ本文は、一連のチャンクとして転送されます。

  • [Compressed]：メッセージ本文は、UNIX ファイル圧縮を使用して転送されます。

  • [Deflate]：メッセージ本文は、zlib 形式（RFC 1950）および deflate 圧縮（RFC 1951）を使用して転送されます。

  • [GZIP]：メッセージ本文は、GNU zip（RFC 1952）を使用して転送されます。

  • [Identity]：転送の符号化は実行されません。

• [Empty]：要求ヘッダーの transfer-encoding フィールドは空です。

最大長

評価されるフィールドの長さ（バイト単位）。この基準は、長さが指定した数値よりも大きい場合に一致し、フィールドが指定した数値よりも小さい場合は一致しません。

Greater Than Count

評価される項目の数。この基準は、カウントが指定した数値よりも大きい場合に一致し、カウントが指定した数値よりも小さい場合は一致しません。

コンテンツ タイプ（Content Type）

コンテンツ タイプ ヘッダー フィールドで指定した、評価するコンテンツ タイプ。次のいずれかを選択できます。

• [Specified By]：定義済み MIME タイプ。

• [Unknown]：MIME タイプは不明です。既知のすべての MIME タイプに照らして項目を評価する場合は、[Unknown] を選択します。

• [Violation]：本文のマジック番号は、コンテンツ タイプ ヘッダー フィールドの MIME タイプに対応している必要があります。

• [Regular Expression]、[Regular Expression Group]：評価する正規表現または正規表現グループ。これらのオプションの詳細については、[Value] フィールドの説明を参照してください。

要求メソッド

照合する指定済み要求メソッド。次のいずれかを選択できます。

• [Specified By]：定義済みの要求メソッド。

• [Regular Expression]、[Regular Expression Group]：評価する正規表現または正規表現グループ。これらのオプションの詳細については、[Value] フィールドの説明を参照してください。

一致タイプ（Match Type）

クラス名

（ポリシー マップのみ）

既存の IM クラス マップを使用するか、新規 IM クラス マップを定義できます。

• [Use Specified Values]：このダイアログボックスでクラス マップを定義する場合。

• [Use Values in Class Map]：既存の IM クラス マップ ポリシー オブジェクトを選択する場合。IM クラスマップの名前を [クラス名（Class Name）] フィールドに入力します。[選択（Select）] をクリックしてリストからマップを選択するか、新しいクラスマップオブジェクトを作成します。

基準

照合する IM トラフィック基準を指定します。基準は次のとおりです。

• [Filename]：IM ファイル転送サービスのファイル名を照合します。

• [Client IP Address]：送信元クライアント IP アドレスを照合します。

• [Client Login Name]：IM サービスのクライアント ログイン名を照合します。

• [Peer IP Address]：ピアまたは宛先の IP アドレスを照合します。

• [Peer Login Name]：IM サービスのピアまたは宛先のログイン名を照合します。

• [Protocol]：IM プロトコルを照合します。

• [Service]：IM サービスを照合します。

• [File Transfer Service Version]：IM ファイル転送サービス バージョンを照合します。

タイプ（Type）

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、文字列「example.com」で [一致しない（Doesn’t Match）] を選択した場合、「example.com」を含むトラフィックはすべてマップの対象外になります。

• [Matches]：基準に一致する。

• [一致しない（Doesn't Match）]：基準に一致しない。

操作

（ポリシー マップのみ）

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。

可変フィールド

次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。

値

評価する正規表現。次のいずれかを選択できます。

• [Regular Expression]：パターン マッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

• [Regular Expression Group]：パターン マッチングに使用する正規表現を定義する、正規表現グループ オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現グループオブジェクトを作成できます。

IPアドレス

照合する IP アドレス。

プロトコル

IM プロトコル（MSN Messenger または Yahoo! Messenger）。

サービス

検査する IM サービス。表示されているサービスの 1 つ以上を選択します。

基準

一致させる IPv6 拡張ヘッダーのタイプを選択します。

• [認証ヘッダー（AH）（Authentication Header (AH)）]：IP パケットの整合性とデータ発信元の認証を提供します。

• [宛先オプションヘッダー（Destination Options Header）]：IPv6 モビリティに使用され、特定のアプリケーションのサポートにも使用されます。

• [カプセル化セキュリティペイロード（ESP）ヘッダー（Encapsulating Security Payload (ESP) Header）]：ESP ヘッダーに続くすべての情報は暗号化され、中間ネットワーク デバイスからアクセスできません。

• [フラグメントヘッダー（Fragment Header）]：トラフィック送信元のフラグメント化パケット通信をサポートします。

• [ホップバイホップオプションヘッダー（Hop-by-Hop Options Header）]：パケットの配信パス内のすべてのノードによって検査される必要があるオプションの情報。

• [ヘッダー数（Header Count）]：パケット内のヘッダーの数。このオプションを選択すると、次のフィールドが表示されます。ここで、ヘッダー数の上限を指定します。

  • [次より多い数（Greater Than Count）]：0 ～ 255 の値を入力します。

ヘッダー数が指定した数値よりも大きい場合に、パケットは一致とみなされます。ヘッダー数が指定した数値以下の場合は一致しません。

• [ルーティングヘッダータイプ（Routing Header Type）]：このオプションを使用して、ヘッダーコードに基づいて 1 つのヘッダータイプ、または複数の EH タイプを一致させます。このタイプを選択すると次の値オプションが表示されます。いずれかの値を指定します。

  • [ルーティングタイプ （Routing Type）]：1 つの拡張ヘッダーコードを入力します（例：認証ヘッダーの場合は 51）。

  • [ルーティングタイプフィールド範囲（Routing Type Field Range）]：開始値と終了値を入力して、EH コードの範囲を定義します。

• [ルーティングヘッダーアドレスカウント（Routing Header Address Count）]：パケットに埋め込まれている IP アドレスの数。このオプションを選択すると、次のフィールドが表示されます。アドレス数の上限を指定します。

  • [次より多い数（Greater Than Count）]：0 ～ 255 の値を入力します。

アドレス数が指定した数値よりも大きい場合に、パケットは一致とみなされます。アドレス数が指定した数値以下の場合は一致しません。

タイプ（Type）

定義された基準に一致するトラフィックにのみマップが適用されることを指定します。

操作

定義された基準に一致するトラフィックに対してデバイスが適用するアクションを選択します。

• [パケットをドロップ（Drop Packet）] ：一致するパケットは通知なしでドロップされます。

• [パケットをドロップしてログに記録（Drop Packet and Log）]：一致するパケットはログに記録されてからドロップされます。

• [ログに記録（Log）] - 一致するパケットがログに記録され、処理が続行されます。

一致タイプ（Match Type）

クラス名

（ポリシー マップのみ）

既存の SIP クラス マップを使用するか、新規 SIP クラス マップを定義できます。

• [Use Specified Values]：このダイアログボックスでクラス マップを定義する場合。

• [Use Values in Class Map]：既存の SIP クラス マップ ポリシー オブジェクトを選択する場合。IM クラスマップの名前を [クラス名（Class Name）] フィールドに入力します。[選択（Select）] をクリックしてリストからマップを選択するか、新しいクラスマップオブジェクトを作成します。

基準

照合する SIP トラフィック基準を指定します。

• [Called Party]：To ヘッダーで指定された着信側を照合します。

• [Calling Party]：From ヘッダーで指定された発信側を照合します。

• [Content Length]：Content Length ヘッダーを照合します。

• [Content Type]：Content Type ヘッダーを照合します。

• [IM Subscriber]：SIP インスタント メッセンジャの加入者を照合します。

• [Message Path]：SIP Via ヘッダーを照合します。

• [Third Party Registration]：サードパーティ登録の要求者を照合します。

• [URI Length]：SIP ヘッダーの URI を照合します。

• [Request Method]：SIP 要求メソッドを照合します。

タイプ（Type）

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、文字列「example.com」で [一致しない（Doesn’t Match）] を選択した場合、「example.com」を含むトラフィックはすべてマップの対象外になります。

• [Matches]：基準に一致する。

• [一致しない（Doesn't Match）]：基準に一致しない。

操作

（ポリシー マップのみ）

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。

可変フィールド

次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。

値

評価する正規表現。次のいずれかを選択できます。

• [Regular Expression]：パターン マッチングに使用する正規表現を定義する、正規表現オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現オブジェクトを作成できます。

• [Regular Expression Group]：パターン マッチングに使用する正規表現を定義する、正規表現グループ オブジェクト。オブジェクトの名前を入力します。[選択（Select）] をクリックして既存のオブジェクトのリストからオブジェクトを選択するか、または新しい正規表現グループオブジェクトを作成できます。

URI Type

照合する URI のタイプ（SIP または TEL）。

最大長

評価されるフィールドの長さ（バイト単位）。この基準は、長さが指定した数値よりも大きい場合に一致し、フィールドが指定した数値よりも小さい場合は一致しません。

コンテンツ タイプ（Content Type）

コンテンツ タイプ ヘッダー フィールドで指定した、評価するコンテンツ タイプ。次のいずれかを選択できます。

• [SDP]：SDP SIP コンテンツ ヘッダー タイプを照合します。

• [Regular Expression]、[Regular Expression Group]：評価する正規表現または正規表現グループ。これらのオプションの詳細については、[Value] フィールドの説明を参照してください。

Resource Method

検査する要求メソッドを次に示します。

• [ack]：クライアントが INVITE 要求に対する最終的な応答を受信したことを確認します。

• [bye]：コールを終了し、発信側または着信側から送信できます。

• [cancel]：保留中のすべての検索を取り消しますが、すでに受け入れられているコールは終了しません。

• [info]：コールのシグナリング パスを経由する中間セッション シグナリング情報を伝えます。

• [invite]：ユーザまたはサービスがコール セッションへの参加を招待されることを示します。

• [message]：各メッセージが他のメッセージに依存しないインスタント メッセージを送信します。

• [notify]：以前の SUBSCRIBE メソッドによって要求されたイベントが発生したことを SIP ノードに通知します。

• [options]：サーバの機能をクエリーします。

• [prack]：暫定応答確認。

• [refer]：受信者が要求で提供されているリソースを参照することを要求します。

• [register]：To ヘッダー フィールドにリストされているアドレスを SIP サーバに登録します。

• [subscribe]：1 つのイベントまたは一連のイベントに関する通知をあとで受け取ることを要求します。

• [unknown]：ネットワークのセキュリティに未知の影響を与える可能性がある非標準拡張を使用します。

• [update]：セッションのパラメータを更新することをクライアントに許可しますが、ダイアログの状態に影響はありません。

基準

照合する Skinny トラフィック基準を指定します。

タイプ（Type）

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、0xFFFF で [一致しない（Doesn't Match）] が選択されている場合は、メッセージ ID が 0xFFFF であるすべてのトラフィックがマップから除外されます。

• [Matches]：基準に一致する。

• [一致しない（Doesn't Match）]：基準に一致しない。

ID Type

検査するメッセージ ID の 16 進値。

• [Value]：単一の 16 進数値を照合します。

• [Range]：値の範囲を照合します。

操作

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。

基準

ペイロード PID（PPID）基準を選択します。

タイプ（Type）

定義された基準に一致するトラフィック、または一致しないトラフィックにのみマップが適用されることを指定します。

SCTP PPID の現在のリストは http://www.iana.org/assignments/sctp-parameters/sctp-parameters.xhtml#sctp-parameters-25 で確認できます。

最小ペイロード PID

PPID 番号を入力します。Cisco Security Manager が受け入れ、内部で処理される、名前に関連付けられた特定の PPID があります。テキストボックスに PPID 番号を入力し、[OK] をクリックします。デフォルト名と一致する場合、対応する名前が一致アクションテーブルに表示されます。

最大ペイロード PID

（オプション）2 番目に高い PPID を入力して、PPID の範囲を指定します。

操作

SCTP データチャンクの PPID に基づいてアクションを選択します。

• [パケットをドロップ（Drop Packet）]：一致するすべてのパケットをドロップし、ログに記録します。

• [ログ（Log）]：システムログメッセージを送信します。

• [レート制限（Rate Limit）]：メッセージのレートを制限します。1 秒間のパケット数で表したレートです。

一致タイプ（Match Type）

（ポリシーマップのみ）

既存の Diameter クラスマップを使用するか、新しい Diameter クラスマップを定義できます。

• [Use Specified Values]：このダイアログボックスでクラス マップを定義する場合。

• [Use Values in Class Map]：既存の Diameter クラス マップ ポリシー オブジェクトを選択する場合。Diameter クラスマップの名前を [クラス名（Class Name）] フィールドに入力します。[選択（Select）] をクリックしてリストからマップを選択するか、新しいクラスマップオブジェクトを作成します。

基準

照合する Diameter トラフィックの基準を指定します。

• [Application ID]：アプリケーション ID を照合します。アプリケーション ID は、[開始値（Begin Value）] フィールドの Diameter アプリケーションの名前または番号（0 ～ 4294967295）です。照合したい連続する番号が付いたアプリケーションの範囲がある場合は、[開始値（Begin Value）] フィールドの 2 番目の ID を含めることができます。アプリケーションの名前または番号別に範囲を定義でき、開始値と終了値間のすべての番号に適用されます。

• [Command Code]：コマンドコードを照合します。コードは、[開始値（Begin Value）] フィールドの Diameter コマンドコードの名前または番号（0 ～ 4294967295）です。照合したい連続する番号が付されたコマンドコードの範囲がある場合は、[開始値（Begin Value）] フィールドの 2 番目のコードを含めることができます。コマンド コードの名前または番号別に範囲を定義でき、開始値と終了値間のすべての番号に適用されます。

• [AVP]：属性値ペアを照合します。

  • AVB ベースの属性値のみ照合するには、属性値ペアの名前または番号（1 ～ 4294967295）を指定します。最初のコードについては、カスタム AVP、RFC または 3GPP 技術仕様に登録されている AVP、およびソフトウェアで直接サポートされている AVP の名前を [開始値（Begin Value）] フィールドで指定できます。AVP の範囲を照合する場合は、[開始値（Begin Value）] フィールドの 2 番目のコードを番号で指定します。値によって AVP を照合する場合は、2 番目のコードを指定できません。[ベンダーID（Vendor ID）] フィールドに、一致するベンダーの ID 番号（0 ～ 4294967295）を指定します。たとえば、3GPP ベンダー ID は 10415、IETF は 0。

  • 属性の値に基づいて AVP を照合するには、[AVPデータタイプ（AVP Data Type）] フィールドで追加の属性値を指定します。

タイプ（Type）

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、文字列「example.com」で [一致しない（Doesn’t Match）] を選択した場合、「example.com」を含むトラフィックはすべてマップの対象外になります。

• [Matches]：基準に一致する。

• [一致しない（Doesn't Match）]：基準に一致しない。

可変フィールド

次のフィールドは、[Criterion] フィールドでの選択内容によって変わります。このリストは、表示されると想定されるフィールドのスーパーセットです。

AVP データタイプ（AVP DataType）

これは、AVP の データ タイプがサポートされている場合にのみ設定できます。たとえば、アドレス データ タイプがある AVP の IP アドレスを指定できます。次に、サポートされているデータタイプの値オプションの特定の構文を示します。

• [Address]：照合する IPv4 または IPv6 アドレスを指定します。例：10.100.10.10 または 2001:DB8::0DB8:800:200C:417A。

• [Diameter Identity]、[Diameter URI]、[Octet String]、[UTF8tString]：これらのデータタイプの照合には正規表現または正規表現クラスオブジェクトを使用します。

• [Enumerated]：[開始範囲（Begin Range）] および [終了範囲]（End Range）] フィールドで数値の範囲を指定します。範囲は 0 ～ 4294967295 です。

• Float32：8 桁の小数点表現

• Float64：16 桁精度の小数点表記

• Integer32：-2147483647 ～ 2147483647

• Integer64：-9223372036854775807 ～ 9223372036854775807

• Unsigned32：0 ～ 4294967295

• Unsigned64：0 ～ 18446744073709551615

• [Time]：開始日時と終了日時を指定します。両方を指定する必要があります。時間は 24 時間形式で指定します。

操作

（ポリシー マップのみ）

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。

名前

カスタム AVP の名前。最大 32 文字で指定できます。

説明

AVP の説明。最大 80 文字で指定できます。

AVP コード

特定のベンダーコードアドレス空間に属する AVP コード（256 ～ 4294967295）の値を設定します。

データタイプ（DataType）

これは、AVP の データ タイプがサポートされている場合にのみ設定できます。たとえば、アドレス データ タイプがある AVP の IP アドレスを指定できます。次に、サポートされているデータタイプの値オプションの特定の構文を示します。

• [Address]：照合する IPv4 または IPv6 アドレスを指定します。例：10.100.10.10 または 2001:DB8::0DB8:800:200C:417A。

• [Diameter Identity]、[Diameter URI]、[Octet String]、[UTF8tString]：これらのデータタイプの照合には正規表現または正規表現クラスオブジェクトを使用します。

• [Enumerated]：[開始範囲（Begin Range）] および [終了範囲]（End Range）] フィールドで数値の範囲を指定します。範囲は 0 ～ 4294967295 です。

• Float32：8 桁の小数点表現

• Float64：16 桁精度の小数点表記

• Integer32：-2147483647 ～ 2147483647

• Integer64：-9223372036854775807 ～ 9223372036854775807

• Unsigned32：0 ～ 4294967295

• Unsigned64：0 ～ 18446744073709551615

• [Time]：開始日時と終了日時を指定します。両方を指定する必要があります。時間は 24 時間形式で指定します。

ベンダー ID

[ベンダーID（Vendor ID）] フィールドに、ベンダーの ID 番号（0 ～ 4294967295）を指定します。たとえば、3GPP ベンダー ID は 10415、IETF は 0。

カテゴリ

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。カテゴリ オブジェクトの使用を参照してください。

デバイスごとに値のオーバーライドを許可

オーバーライド

[編集（Edit）] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、ポリシー オブジェクトの上書きの許可および個々のデバイスのポリシー オブジェクト オーバーライドについてを参照してください。

デバイスのオーバーライドを許可した場合は、[編集（Edit）] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[オーバーライド（Overrides）] フィールドには、このオブジェクトに対するオーバーライドを持つデバイスの数が表示されます。

名前

TLS プロキシオブジェクトの名前。最大 63 文字で指定できます。

説明

TLS プロキシオブジェクトの説明。

サーバーの設定

[サーバープロキシ証明書（Server Proxy Certificate）]

[選択（Select）] をクリックして、Diameter クライアントの証明書への署名に使用されている CA 証明書を ASA トラストポイントにインポートします。この手順では、TLS ハンドシェイク中に提示するプロキシトラストポイント証明書を指定します。トラストポイントは、自己署名の場合またはサードパーティによって発行される場合があります。

これにより、ASA が Diameter クライアントを信頼できます。

[TLS プロキシハンドシェイク時のクライアント認証を有効化（Enable client authentication during TLS proxy handshake）]

TLS ハンドシェイク時に、ASA に証明書の提示と TLS クライアントの認証を要求する場合にオンにします。

暗号化（オプション）

4.14 以降、Cisco Security Manager では、TLS プロキシがサーバとして使用されている場合に暗号スイートを設定できます。

このフィールドでは、TLS ハンドシェイク時に通知/照合される暗号スイートを定義します。

データの暗号化に必要なハッシュアルゴリズムを [使用可能なメンバー（Available Members）] リストから選択して [選択済みのメンバー（Selected Members）] リストに追加します。

クライアント設定

[リモート TCP サーバーとの通信にクリアテキスト使用するようにプロキシクライアントを設定（Configure the proxy client to use clear text to communicate with the remote TCP server）]

暗号化が必要ない場合は、クリアテキストを使用するプロキシクライアントを選択します。

[TLS クライアント用のプロキシ証明書を指定します。このクライアントプロキシ証明書は、自己署名の場合、CA に登録済みの場合、またはサードパーティによって発行される場合があります。（Specify the proxy certificate for the TLS client. The client proxy certificate could either be self-signed, enrolled with a CA or issued by a third party.）]

クライアントプロキシ証明書を指定する場合は、オンにします。

または、[選択（Select）] をクリックして TLS クライアント用の CA 証明書をインポートします。

[電話のローカルダイナミック証明書に署名する内部認証局を指定します。このローカル CA は、proxy-ldc-issuer が有効になっている自己署名証明書にするか、組み込みのローカル CA サーバーを使用して LDC を電話に発行することができます。（Specify the internal Certificate Authority to sign the local dynamic certificates for phones. This local CA can be self-signed certificate with proxy-ldc-issuer enabled or you may use embedded Local CA Server to issue LDC to phones.）]

ローカルダイナミック証明書の発行元を指定する場合は、オンにします。

または、[選択（Select）] をクリックして CA 証明書をインポートします。これは、ローカルダイナミック証明書（LDC）の発行者として機能します。

[ローカルダイナミック証明書のキーペア（Local Dynamic Certificate Key Pair）]

[キーペア名（Key Pair Name）]

クライアントまたはサーバーのダイナミック証明書で使用する RSA キーペアを指定します。このキーペアは、「crypto key generate」コマンドで生成されている必要があります。

キーペアは、展開前にデバイスに存在している必要があります。

暗号化（オプション）

TLS ハンドシェイク時に通知/照合される暗号スイートを定義します。クライアントプロキシ（このプロキシはサーバーに対する TLS クライアントとして機能します）の場合、2 つの TLS レッグ間の非対称暗号化方式のために、ユーザー定義の暗号スイートで Hello メッセージの元の暗号スイートが置き換えられます。

データの暗号化に必要なハッシュアルゴリズムを [使用可能なメンバー（Available Members）] リストから選択して [選択済みのメンバー（Selected Members）] リストに追加します。

カテゴリ

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。カテゴリ オブジェクトの使用を参照してください。

デバイスごとに値のオーバーライドを許可

オーバーライド

[編集（Edit）] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、ポリシー オブジェクトの上書きの許可および個々のデバイスのポリシー オブジェクト オーバーライドについてを参照してください。

デバイスのオーバーライドを許可した場合は、[編集（Edit）] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[オーバーライド（Overrides）] フィールドには、このオブジェクトに対するオーバーライドを持つデバイスの数が表示されます。

名前

ポリシー オブジェクトの名前。最大 40 文字を使用できます。

説明

ポリシー オブジェクトの説明。最大 200 文字を使用できます。

[パラメータ（Parameters）] タブ

[SS7 バリアント（SS7 Variant）]

ネットワークで M3UA インスペクションに使用する SS7 バリアントを選択します。このオプションによって、ポイントコードの有効な形式が決定します。

オプションを設定して、M3UA ポリシーを導入した後は、最初にポリシーを削除しないかぎり、ポリシーを変更することはできません。

デフォルトの SS7 バリアントは ITU です。

[M3UA アプリケーション サーバー プロセス（ASP）状態検証を有効にする（Enable M3UA Application Server Process (ASP) State Validation）]

アプリケーション サーバー プロセス（ASP）状態検証を実行する場合はオンにします。システムは M3UA セッションの ASP の状態を維持し、検証結果に基づいて ASP メッセージをドロップします。

ASP の厳密な状態検証を無効にすると、すべての ASP メッセージが検査されずに転送されます。

[タイムアウトの適用（Enforce Timeout）]

エンドポイント（Endpoint）

M3UA エンドポイントの統計情報を削除するアイドルタイムアウトを入力します（hh:mm:ss 形式）。タイムアウトを付けない場合は、0 を指定してください。デフォルトは 30 分（0:30:00）です。

セッション

ASP の厳密な状態検証を有効にしている場合に M3UA セッションを削除するためのアイドルタイムアウトを入力します（hh:mm:ss 形式）。

タイムアウトを付けない場合は、0 を指定してください。デフォルト値は 30 分（0:30:00）です。このタイムアウトが無効になっている場合、システムは古いセッションを削除できません。

[M3UA メッセージタグの検証（M3UA Message Tag Validation）]

指定したメッセージタイプの特定フィールドの内容を確認および検証するかどうかを指定します。検証で合格しなかったメッセージはドロップされます。検証はメッセージ タイプによって異なります。検証するメッセージを選択します。

[利用できない宛先ユーザー部（DUPU）（Destination User Part Unavailable (DUPU)）]

ユーザー/理由フィールドが存在し、有効な理由およびユーザー コードのみが含まれている必要があります。

エラー（Error）

すべての必須フィールドが存在し、許可された値のみが含まれている必要があります。各エラー メッセージには、そのエラー コードの必須フィールドが含まれている必要があります。

通知

ステータス タイプおよびステータス情報フィールドには、許可された値のみが含まれている必要があります。

[一致条件およびアクション（Match Condition and Action）] タブ

[Match All] テーブルに、ポリシー マップに含まれている基準が表示されます。各行には、各基準に一致する、または一致しないトラフィックを検査で検索するかどうか、検査される基準と値、および条件を満たすトラフィックに対して実行されるアクションが示されます。

• 基準を追加するには、[Add] ボタンをクリックし、[Match Condition and Action] ダイアログボックスに入力します（M3UA ポリシーマップの [一致条件とアクションの追加または編集（Add or Edit Match Condition and Action] ダイアログボックスを参照）。

• 基準を編集するには、基準を選択し、[Edit] ボタンをクリックします。

• 基準を削除するには、基準を選択し、[Delete] ボタンをクリックします。

カテゴリ

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。カテゴリ オブジェクトの使用を参照してください

デバイスごとに値のオーバーライドを許可

オーバーライド

[編集（Edit）] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、ポリシー オブジェクトの上書きの許可および個々のデバイスのポリシー オブジェクト オーバーライドについてを参照してください。

デバイスのオーバーライドを許可した場合は、[編集（Edit）] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[オーバーライド（Overrides）] フィールドには、このオブジェクトに対するオーバーライドを持つデバイスの数が表示されます。

基準

一致する SCTP トラフィックの基準（メッセージ、DPC、OPC、またはサービスインジケータ）を指定します。

メッセージ基準

M3UA メッセージのクラスとタイプを照合します。ここでは、メッセージクラス ID の可能な値とそれに対応するメッセージ ID について詳しく説明します。これらのメッセージの詳細については、M3UA の RFC およびドキュメンテーションを参照してください。

• クラス ID 0（管理メッセージ）：メッセージ ID 0-1

• クラス ID 1（メッセージの転送）：メッセージ ID 1

• クラス ID2（SS7 シグナリングネットワーク管理メッセージ）：メッセージ ID 1-6

• クラス ID 3（ASP 状態保守メッセージ）：メッセージ ID 1-6

• クラス ID 4（ASP トラフィック メンテナンス メッセージ）：メッセージ ID 1-4

• クラス ID 9（ルーティングキー管理メッセージ）：メッセージ ID 1-4

DPC 基準

データメッセージ内の宛先ポイントコードを照合します。ポイントコード は zone-region-sp 形式で、各要素に使用できる値は SS7 バリアントによって異なります。

OPC 基準

データメッセージ内の発信ポイントコード、つまりトラフィックの送信元を照合します。ポイント コードは zone-region-sp 形式で、各要素に使用可能な値は SS7 バリアントによって異なります。

• ITU：ポイント コードは 14 ビットで 3-8-3 形式です。値の範囲は、[0-7]-[0-255]-[0-7] です。

• ANSI：ポイント コードは 24 ビットで 8-8-8 形式です。値の範囲は、[0-255]-[0-255]-[0-255] です。

• Japan：ポイント コードは 16 ビットで 5-4-7 形式です。値の範囲は、[0-31]-[0-15]-[0-127] です。

• China：ポイント コードは 24 ビットで 8-8-8 形式です。値の範囲は、[0-255]-[0-255]-[0-255] です。

サービスインジケータ基準

サービスインジケータ番号を照合します（0 ～ 15）。使用可能なサービスインジケータは、変数セクションにリストされています。これらのサービスインジケータの詳細については、M3UA の RFC およびドキュメンテーションを参照してください。

• 0：シグナリング ネットワーク管理メッセージ

• 1：シグナリング ネットワーク テストおよびメンテナンス メッセージ

• 2：シグナリング ネットワーク テストおよびメンテナンス特別メッセージ

• 3：SCCP

• 4：電話ユーザー部

• 5：ISDN ユーザー部

• 6：データ ユーザー部（コールおよび回線関連のメッセージ）

• 7：データ ユーザー部（設備の登録およびキャンセル メッセージ）

• 8：MTP テスト ユーザー部に予約済み

• 9：ブロードバンド ISDN ユーザー部

• 10：サテライト ISDN ユーザー部

• 11：予約済み

• 12：AAL タイプ 2 シグナリング

• 13：ベアラー非依存コール制御

• 14：ゲートウェイ制御プロトコル

• 15：予約済み

タイプ（Type）

基準に一致する、または一致しないトラフィックをマップに含めるかどうかを指定します。たとえば、文字列「example.com」で [一致しない（Doesn’t Match）] を選択した場合、「example.com」を含むトラフィックはすべてマップの対象外になります。

• [Matches]：基準に一致する。

• [一致しない（Doesn't Match）]：基準に一致しない。

操作

定義された基準に一致するトラフィックに対してデバイスが適用するアクション。

• [Drop Packet]：デフォルトでは、解析時に失敗したすべての無効パケットがドロップされます。

• [ドロップパケットとログ（Drop Packet and Log）]：ドロップパケットと同じですが、加えてシステムログメッセージを送信します。

• [レート制限（Rate Limit）]：メッセージのレートを制限します。このオプションは、メッセージ基準が選択されている場合に使用できます。