- このマニュアルについて
- サービス ポリシーとアクセス コントロール
- サービス ポリシー
- アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)
- アクセス ルール
- 公開サーバ
- ネットワーク アドレス変換
- ネットワーク アドレス変換(NAT)(ASA 8.3 以降)
- ネットワーク オブジェクト NAT(ASA 8.3 以降)
- Twice NAT(ASA 8.3 以降)
- アプリケーション インスペクション
- アプリケーション レイヤ プロトコル インスペクションの準備
- 基本インターネット プロトコルのインスペクション
- 音声とビデオのプロトコルのインスペクション
- データベースおよびディレクトリ プロトコルのインスペクション
- 管理アプリケーション プロトコルのインスペクション
- 接続設定と QoS
- 接続設定
- QoS
- 接続のトラブルシューティングおよびリソース
- 高度なネットワーク保護
- ASA および Cisco クラウド Web セキュリティ
- 脅威検出
- ASA モジュール
- ASA FirePOWER(SFR)モジュール
- ASA CX モジュール
- ASA IPS モジュール
Cisco ASA シリーズファイアウォール ASDM コンフィギュレーションガイドソフトウェアバージョン 7.3
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月9日
章のタイトル: サービス ポリシー
サービス ポリシー
サービス ポリシーにより、一貫性のある柔軟な方法でASAの機能を設定できます。たとえば、サービス ポリシーを使用すると、すべての TCP アプリケーションに適用されるタイムアウト コンフィギュレーションではなく、特定の TCP アプリケーションに固有のタイムアウト コンフィギュレーションを作成できます。サービス ポリシーは、1 つのインターフェイスに適用されるか、またはグローバルに適用される複数のアクションまたはルールで構成されます。
サービス ポリシーについて
次の各トピックでは、サービス ポリシーの仕組みについて説明します。
•
「機能の方向」
サービス ポリシーのコンポーネント
サービス ポリシーのポイントは、許可しているトラフィックに高度なサービスを適用することです。アクセス ルールによって許可されるトラフィックにサービス ポリシーを適用することで、サービス モジュールへのリダイレクトやアプリケーション インスペクションの適用などの特別な処理を実行できます。
• すべてのインターフェイスに適用される 1 つのグローバル ポリシー。
• インターフェイスごとに適用される 1 つのサービス ポリシー。このポリシーは、デバイスを通過するトラフィックと対象とするクラスと、ASA インターフェイス宛ての(インターフェイスを通過するのではない)管理トラフィックを対象とするクラスの組み合わせである場合があります。
1. サービス ポリシー マップ。これはルールの順序セットであり、 service-policy コマンドで命名されます。ASDM では、ポリシー マップは [Service Policy Rules] ページにフォルダとして表示されます。
2. ルール。各ルールは、サービス ポリシー内の class コマンドと、および class コマンドに関連するコマンドで構成されます。ASDM では、各ルールは個別の行に表示され、ルールの名前はクラス名です。
a. class コマンドは、ルールのトラフィック一致基準を定義します。
b. inspect や set connection timeout などの class 関連のコマンドは、一致するトラフィックに適用するサービスと制約を定義します。inspect コマンドは、検査対象トラフィックに適用するアクションを定義するインスペクション ポリシー マップを指す場合があります。インスペクション ポリシー マップとサービス ポリシー マップは同じではないことに注意してください。
次の例では、サービス ポリシーが CLI と ASDM でどのように表示されるかを比較します。図の吹き出しと CLI の行は 1 対 1 では対応しないことに注意してください。
サービス ポリシーで設定される機能
次の表に、サービス ポリシーを使用して設定する機能の一覧を示します。
|
|
|
|
|
|---|---|---|---|
• |
|||
機能の方向
アクションは、機能に応じて双方向または単方向にトラフィックに適用されます。双方向に適用される機能の場合、トラフィックが両方向のクラス マップと一致した場合に、ポリシー マップを適用するインターフェイスを出入りするすべてのトラフィックが影響を受けます。
(注) グローバル ポリシーを使用する場合は、すべての機能が単方向です。単一インターフェイスに適用する場合に通常双方向の機能は、グローバルに適用される場合、各インターフェイスの入力にのみ適用されます。ポリシーはすべてのインターフェイスに適用されるため、ポリシーは両方向に適用され、この場合の双方向は冗長になります。
QoS プライオリティ キューなど単方向に適用される機能の場合は、ポリシー マップを適用するインターフェイスに出入りする(機能によって異なります)トラフィックだけが影響を受けます。各機能の方向については、次の表を参照してください。
|
|
|
|
|---|---|---|
サービス ポリシー内の機能照合
パケットは、次のルールに従って特定のインターフェイスのポリシーの ルールに一致します。
1. パケットは、各機能タイプのインターフェイスのにだけ一致します。
2. パケットが機能タイプの ルールに一致した場合、ASA は、その機能タイプの後続の ルールとは照合しません。
3. ただし、パケットが別の機能タイプの後続の ルールと一致した場合、ASA は、後続の ルールのアクションも適用します(サポートされている場合)。サポートされていない組み合わせの詳細については、「特定の機能アクションの非互換性」を参照してください。
(注) アプリケーション インスペクションには、複数のインスペクション タイプが含まれ、ほとんどのタイプは相互に排他的です。組み合わせ可能なインスペクションの場合、各インスペクションは個々の機能と見なされます。
• パケットが接続制限値の ルールと一致し、アプリケーション インスペクションの ルールとも一致した場合、両方のクラス マップ アクションが適用されます。
• パケットが HTTP インスペクションで 1 つの ルールと一致し、HTTP インスペクションを含む別の ルールとも一致した場合、2 番目の ルールのアクションは適用されません。
• パケットが FTP インスペクションで 1 つの ルールと一致し、HTTP インスペクションを含む別の ルールとも一致した場合、HTTP および FTP インスペクションは組み合わせることができないため、2 番目の ルールのアクションは適用されません。
• パケットが HTTP インスペクションで 1 つの ルールと一致し、さらに IPv6 インスペクションを含む別の ルールとも一致した場合、IPv6 インスペクションは他のとタイプのインスペクションと組み合わせることができるため、両方のアクションが適用されます。
複数の機能アクションが適用される順序
サービス ポリシーの各種のアクションが実行される順序は、 テーブル中に出現する順序とは無関係です。
2. TCP の正規化、TCP と UDP の接続制限値とタイムアウト、TCP シーケンス番号のランダム化、および TCP ステート バイパス
(注) ASAがプロキシ サービス(AAA や CSC など)を実行したり、TCP ペイロード(FTP インスペクション)を変更したりするときは、TCP ノーマライザはデュアル モードで動作します。その場合、サービスを変更するプロキシやペイロードの前後で適用されます。
4. 他のインスペクションと組み合わせることができるアプリケーション インスペクション:
5. 他のインスペクションと組み合わせることができないアプリケーション インスペクション: 詳細については、「特定の機能アクションの非互換性」を参照してください。
(注) NetFlow セキュア イベント ロギングのフィルタリングとアイデンティティ ファイアウォールのユーザ統計情報は順番に依存しません。
特定の機能アクションの非互換性
一部の機能は同じトラフィックに対して相互に互換性がありません。次のリストには、すべての非互換性が含まれていない場合があります。各機能の互換性については、その機能に関する章または項を参照してください。
• QoS プライオリティ キューイングと QoS ポリシングは同じトラフィックの集合に対して設定できません。
• ほとんどのインスペクションは別のインスペクションと組み合わせられないため、同じトラフィックに複数のインスペクションを設定しても、ASA は 1 つのインスペクションだけを適用します。HTTP インスペクションはクラウド Web セキュリティ インスペクションと組み合わせることができます。他の例外は、「複数の機能アクションが適用される順序」に記載されています。
• トラフィックを ASA CX および ASA IPS などの複数のモジュールに送信されるように設定できません。
• HTTP インスペクションは、ASA CX または ASA FirePOWER と互換性がありません。
• クラウド ネットワーク セキュリティは、ASA CX または ASA FirePOWER と互換性がありません。
(注) デフォルト グローバル ポリシーで使用される の Default Inspection Traffic トラフィック クラスは、デフォルト ポートをすべてのインスペクションと照合する特別な CLI ショートカットです。ポリシー マップで使用すると、このクラス マップでは、トラフィックの宛先ポートに基づいて、各パケットに正しいインスペクションが適用されます。たとえば、宛先がポート 69 の UDP トラフィックが ASA に到達すると、ASA は TFTP インスペクションを適用し、宛先がポート 21 の TCP トラフィックが到着すると、ASA は FTP インスペクションを適用します。そのため、この場合に限って同じクラス マップに複数のインスペクションを設定できます。通常、ASA は、ポート番号を使用して適用するインスペクションを決定しないため、標準以外のポートなどにも柔軟にインスペクションを適用できます。
このトラフィック クラスには、クラウド Web セキュリティ インスペクション用のデフォルト ポートは含まれません(80 および 443)。
複数のサービス ポリシーの場合の機能照合
TCP および UDP トラフィック(およびステートフル ICMP インスペクションがイネーブルの場合は ICMP)の場合、サービス ポリシーはトラフィック フローに対して作用し、個々のパケットに限定されません。トラフィックが、1 つのインターフェイスのポリシーで定義されている機能に一致する既存の接続の一部である場合、そのトラフィック フローを別のインターフェイスのポリシーにある同じ機能と照合することはできません。最初のポリシーのみが使用されます。
たとえば、HTTP トラフィックが、HTTP トラフィックを検査する内部インターフェイスのポリシーと一致するときに、HTTP インスペクション用の外部インターフェイスに別のポリシーがある場合、そのトラフィックが外部インターフェイスの出力側でも検査されることはありません。同様に、その接続のリターン トラフィックが外部インターフェイスの入力ポリシーによって検査されたり、内部インターフェイスの出力ポリシーによって検査されたりすることもありません。
ステートフル ICMP インスペクションをイネーブルにしない場合の ICMP のように、フローとして扱われないトラフィックの場合は、リターン トラフィックを戻り側のインターフェイスの別のポリシー マップと照合できます。たとえば、内部および外部のインターフェイスで IPS を設定するとき、内部ポリシーでは仮想センサー 1 を使用するのに対して、外部ポリシーでは仮想センサー 2 を使用する場合、非ステートフル ping は仮想センサー 1 のアウトバウンド側を照合するだけでなく、仮想センサー 2 のインバウンド側も照合します。
サービス ポリシーのガイドライン
• DNS、FTP、HTTP、ICMP、ScanSafe、SIP、SMTP、IPsec-pass-thru、および IPv6 のアプリケーション インスペクション。
• NetFlow セキュア イベント ロギングのフィルタリング
• TCP と UDP の接続制限値とタイムアウト、および TCP シーケンス番号のランダム化
すべてのタイプのクラス マップ(トラフィック クラス)の最大数は、シングル モードでは 255 個、マルチ モードではコンテキストごとに 255 個です。クラス マップには、次のタイプがあります。
• レイヤ 3/4 クラスマップ(通過トラフィックと管理トラフィック向け)。
• インスペクション ポリシー マップ下で直接使用される match コマンド
この制限には、すべてのタイプのデフォルト クラス マップも含まれ、ユーザ設定のクラス マップを約 235 に制限します。「デフォルトのクラス マップ(トラフィック クラス)」を参照してください。
• インターフェイス サービス ポリシーは、特定の機能に対するグローバル サービス ポリシーより優先されます。たとえば、FTP インスペクションのグローバル ポリシーと、TCP 正規化のインターフェイス ポリシーがある場合、FTP インスペクションと TCP 正規化の両方がインターフェイスに適用されます。これに対し、FTP インスペクションのグローバル ポリシーと、FTP インスペクションのインターフェイス ポリシーがある場合は、インターフェイス ポリシーの FTP インスペクションだけがインターフェイスに適用されます。
• 適用できるグローバル ポリシーは 1 つだけです。たとえば、機能セット 1 が含まれたグローバル ポリシーと、機能セット 2 が含まれた別のグローバル ポリシーを作成できません。すべての機能は 1 つのポリシーに含める必要があります。
• コンフィギュレーションに対してサービス ポリシーの変更を加えた場合は、すべての 新しい 接続で新しいサービス ポリシーが使用されます。既存の接続では、その接続が確立された時点で設定されていたポリシーの使用が続行されます。 show コマンドの出力には、古い接続に関するデータは含まれません。
たとえばインターフェイスから QoS サービス ポリシーを削除し、変更したバージョンを追加した場合、 show service-policy コマンドには、新しいサービス ポリシーに一致する新しい接続に関連付けられた QoS カウンタだけが表示されます。古いポリシーの既存の接続はコマンド出力には表示されなくなります。
すべての接続が新しいポリシーを確実に使用するように、現在の接続を解除し、新しいポリシーを使用して再度接続できるようにします。 clear conn または clear local-host コマンドを使用してください。
サービス ポリシーのデフォルト
次の各トピックでは、サービス ポリシーとモジュラ ポリシー フレームワークのデフォルト設定について説明します。
デフォルトのサービス ポリシー設定
デフォルトでは、すべてのデフォルト アプリケーション インスペクション トラフィックに一致するポリシーがコンフィギュレーションに含まれ、特定のインスペクションがすべてのインターフェイスのトラフィックに適用されます(グローバル ポリシー)。すべてのインスペクションがデフォルトでイネーブルになっているわけではありません。適用できるグローバル ポリシーは 1 つだけなので、グローバル ポリシーを変更する場合は、デフォルトのポリシーを編集するか、デフォルトのポリシーをディセーブルにして新しいポリシーを適用します (特定の機能では、グローバル ポリシーはインターフェイス ポリシーより優先されます)。
デフォルトのクラス マップ(トラフィック クラス)
設定には、ASA が Default Inspection Traffic というデフォルト グローバル ポリシーで使用するデフォルトのレイヤ 3/4 クラス マップ(トラフィック クラス)が含まれます。このクラス マップは、デフォルトのインスペクション トラフィックを照合します。デフォルト グローバル ポリシーで使用されるこのクラスは、デフォルト ポートをすべてのインスペクションと照合する特別なショートカットです。
ポリシーで使用すると、このクラスでは、トラフィックの宛先ポートに基づいて、各パケットに正しいインスペクションが適用されます。たとえば、宛先がポート 69 の UDP トラフィックが ASA に到達すると、ASA は TFTP インスペクションを適用し、宛先がポート 21 の TCP トラフィックが到着すると、ASA は FTP インスペクションを適用します。そのため、この場合に限って同じクラス マップに複数のインスペクションを設定できます。通常、ASA は、ポート番号を使用して適用するインスペクションを決定しないため、標準以外のポートなどにも柔軟にインスペクションを適用できます。
デフォルト コンフィギュレーションにある別のクラス マップは、class-default と呼ばれ、すべてのトラフィックと一致します。必要であれば、Any トラフィック クラスを使用してclass-default クラスを使用できます。実際、一部の機能は class-default でしか使用できません。
サービス ポリシーの設定
サービス ポリシーの設定では、インターフェイスあたりのサービス ポリシー ルール、またはグローバル ポリシーのサービス ポリシー ルールを 1 つ以上追加します。ASDM では、ウィザードを使用してサービス ポリシーを作成できます。それぞれのルールごとに、次の要素を指定します。
1. ルールを適用するインターフェイスまたはグローバル ポリシー。
2. アクションを適用するトラフィック。レイヤ 3 および 4 のトラフィックを指定できます。
3. トラフィック クラスに適用するアクション。トラフィック クラスごとに複数の競合しないアクションを適用できます。
ポリシーを作成した後にルールを追加したり、ルールやポリシーを移動、変更、または削除したりできます。次の各トピックでは、サービス ポリシーの設定方法について説明します。
通過トラフィックのサービス ポリシー ルールの追加
通過トラフィックのサービス ポリシー ルールを追加するには、[Add Service Policy Rule Wizard] を使用します。ポリシーの適用範囲として、特定のインターフェイスまたはグローバルのいずれかを選択するように求められます。
• インターフェイス サービス ポリシーは、特定の機能に対するグローバル サービス ポリシーより優先されます。たとえば、FTP インスペクションを行うグローバル ポリシーと、TCP 接続制限を行うインターフェイス ポリシーが設定されている場合、インターフェイスには FTP インスペクションおよび TCP 接続制限がどちらも適用されます。これに対し、FTP インスペクションのグローバル ポリシーと、FTP インスペクションのインターフェイス ポリシーがある場合は、インターフェイス ポリシーの FTP インスペクションだけがインターフェイスに適用されます。
• グローバル サービス ポリシーは、すべてのインターフェイスにデフォルト サービスを提供します。インターフェイス固有のポリシーで上書きされない限り、グローバル ポリシーが適用されます。デフォルト アプリケーション インスペクションのサービス ポリシー ルールを含むグローバル ポリシーは、デフォルトで存在します。詳細については、「サービス ポリシーのデフォルト」を参照してください。ウィザードを使用してルールをグローバル ポリシーに追加できます。
サービス ポリシーで設定できる機能については、「サービス ポリシーで設定される機能」を参照してください。
ステップ 1 [Configuration] > [Firewall] > [Service Policy Rules] を選択し、[Add] または [Add] > [Add Service Policy Rule] をクリックします。
ステップ 2 [Create a Service Policy and Apply To] 領域で次の操作を行います。
a. ポリシーを特定の インターフェイス に適用するか、すべてのインターフェイスに グローバル に適用するかを選択します。
b. [Interface] を選択した場合は、インターフェイスの名前を選択します。インターフェイスにすでにポリシーが設定されている場合は、既存のポリシーにルールを追加していることになります。
c. インターフェイスにまだサービス ポリシーが設定されていない場合は、新しいポリシーの名前を入力します。
e. (オプション)[Drop and log unsupported IPv6 to IPv6 traffic] オプションをオンにして、IPv6 トラフィックをサポートしないアプリケーション インスペクションによってドロップされる IPv6 トラフィックの syslog(767001)を生成します。デフォルトでは、syslog が生成されません。IPv6 をサポートするインスペクションのリストについては、「IPv6 のガイドライン」を参照してください。
ステップ 3 [Traffic Classification Criteria] ページで、次のいずれかのオプションを選択してポリシー アクションを適用するトラフィックを指定し、[Next] をクリックします。
• [Create a new traffic class]。トラフィック クラスの名前を入力し、任意で説明を入力します。
– [Default Inspection Traffic]:このクラスは、ASA が検査可能なすべてのアプリケーションによって使用される、デフォルトの TCP および UDP ポートを照合します。[Next] をクリックすると、このクラスで定義されているサービスとポートが表示されます。
デフォルト グローバル ポリシーで使用されるこのオプションは、ルール内で使用されると、トラフィックの宛先ポートに基づいて、パケットごとに正しい検査が適用されるようにします。詳細については、「デフォルトのクラス マップ(トラフィック クラス)」を参照してください。
デフォルト ポートのリストについては、「デフォルト インスペクションと NAT に関する制限事項」を参照してください。ASA には、デフォルトのインスペクション トラフィックに一致して、すべてのインターフェイス上のトラフィックに共通検査を適用するデフォルト グローバル ポリシーが含まれます。Default Inspection Traffic クラスにポートが含まれているすべてのアプリケーションが、ポリシー マップにおいてデフォルトでイネーブルになっているわけではありません。
Source and Destination IP Address(ACL を使用)クラスを Default Inspection Traffic クラスと一緒に指定して、照合されるトラフィックを絞り込むことができます。Default Inspection Traffic クラスは一致するポートとプロトコルを指定するので、アクセス リストのポートとプロトコルはすべて無視されます。
– [Source and Destination IP Address (uses ACL)]:このクラスは拡張アクセス リストで指定されているトラフィックを照合します。ASA がトランスペアレント ファイアウォール モードで動作している場合は、EtherType ACL を使用できます。[Next] をクリックすると、アクセス コントロール エントリの属性を入力するように求められます。ウィザードによって ACL が作成されます。既存の ACL を選択することはできません。
ACE を定義するときに [Match] オプションを選択すると、アドレスに一致するトラフィックにアクションを適用するルールが作成されます。[Do Not Match] オプションでは、トラフィックを指定したアクションの適用から免除します。たとえば、10.1.1.25 を除いて、10.1.1.0/24 のトラフィックすべてを照合し、そのトラフィックに接続制限を適用するとします。この場合は、2 つのルール([Match] オプションを使用した 10.1.1.0/24 に対するルールおよび [Do Not Match] オプションを使用した 10.1.1.25 に対するルール)を作成します。必ず、Do Not Match ルールが Match ルールの上になるように配置してください。順序を逆にすると、10.1.1.25 が最初に Match ルールを照合することになります。
(注) このタイプの新しいトラフィック クラスを作成する場合は、最初にアクセス コントロール エントリ(ACE)を 1 つだけ指定できます。ルールを追加した後は、同じインターフェイスまたはグローバル ポリシーに新しいルールを追加してから [Add rule to existing traffic class] を指定することによって、ACE を追加できます(以下を参照)。
– [Tunnel Group]:このクラスは、QoS を適用するトンネル グループ(接続プロファイル)のトラフィックを照合します。その他にもう 1 つのトラフィック照合オプションを指定してトラフィック照合対象をさらに絞込み、[Any Traffic]、[Source and Destination IP Address (uses ACL)]、または [Default Inspection Traffic] を排除できます。
[Next] をクリックすると、トンネル グループを選択するように求められます(必要に応じて新しい接続グループを作成できます)。各フローをポリシングするには、[Match flow destination IP address] をオンにします。固有の IP 宛先アドレスに向かうトラフィックは、すべてフローと見なされます。
– [TCP or UDP Destination Port]:1 つのポートまたは連続する一定範囲のポートを照合します。[Next] をクリックすると、 TCP または UDP のいずれかを選択してポート番号を入力するように求められます。ASDM ですでに定義されているポートを選択するには、[...] をクリックします。
ヒント 複数の非連続ポートを使用するアプリケーションの場合は、[Source and Destination IP Address (uses ACL)] を使用して各ポートを照合します。
– [RTP Range]:クラス マップは、RTP トラフィックを照合します。[Next] をクリックすると、2000 ~ 65534 の間の RTP ポート範囲を入力するように求められます。範囲内の最大ポート数は、16383 です。
– [IP DiffServ CodePoints (DSCP)]:このクラスは、IP ヘッダーの最大 8 つの DSCP 値を照合します。[Next] をクリックすると、目的の値を選択または入力する(それらの値を [Match] または [DSCP] リストに移動する)ように求められます。
– [IP Precedence]:このクラス マップは、IP ヘッダーの TOS バイトによって表される、最大 4 つの Precedence 値を照合します。[Next] をクリックすると、値を入力するように求められます。
– [Any Traffic]:すべてのトラフィックを照合します。
• [Add rule to existing traffic class]。すでに同じインターフェイスにサービス ポリシー ルールを指定している場合、またはグローバル サービス ポリシーを追加する場合は、このオプションによって既存のアクセス リストに ACE を追加できます。このインターフェイスのサービス ポリシー ルールで [Source and Destination IP Address (uses ACL)] オプションを選択した場合は、事前に作成したすべてのアクセス リストに ACE を追加できます。このトラフィック クラスでは、複数の ACE を追加する場合であっても、1 セットのルール アクションしか指定できません。この手順全体を繰り返すことによって、複数の ACE を同じトラフィック クラスに追加できます。ACE の順序の変更方法については、「サービス ポリシー ルールの順序の管理」を参照してください。[Next] をクリックすると、アクセス コントロール エントリの属性を入力するように求められます。
• [Use an existing traffic class]。 別のインターフェイスのルールで使用されるトラフィック クラスを作成した場合は、そのトラフィック クラス定義をこのルールで再使用できます。1 つのルールのトラフィック クラスを変更すると、その変更は同じトラフィック クラスを使用するすべてのルールに継承されます。コンフィギュレーションに CLI で入力した class-map コマンドが含まれている場合は、それらのトラフィック クラス名も使用できます(ただし、そのトラフィック クラスの定義を表示するには、そのルールを作成する必要があります)。
• [Use class default as the traffic class]。このオプションでは、すべてのトラフィックを照合する class-default クラスを使用します。class-default クラスは、ASA によって自動的に作成され、ポリシーの最後に配置されます。このクラスは、アクションを何も適用しない場合でも ASA によって作成されますが、内部での使用に限られます。必要に応じて、このクラスにアクションを適用できます。これは、すべてのトラフィックを照合する新しいトラフィック クラスを作成するよりも便利な場合があります。class-default クラスを使用して、このサービス ポリシーにルールを 1 つだけ作成できます。これは、各トラフィック クラスを関連付けることができるのは、サービス ポリシーごとに 1 つのルールだけであるためです。
ステップ 4 追加設定が必要なトラフィック一致基準を選択した場合は、目的のパラメータを入力して [Next] をクリックします。
ステップ 5 [Rule Actions] ページで、1 つまたは複数のルール アクションを設定します。適用できる機能およびアクション(詳細情報へのリンクを含む)については、「サービス ポリシーで設定される機能」を参照してください。
管理トラフィックのサービス ポリシー ルールの追加
管理目的で ASA に向けられるトラフィックのサービス ポリシー ルールを追加するには、[Add Service Policy Rule] ウィザードを使用します。ポリシーの適用範囲として、特定のインターフェイスまたはグローバルのいずれかを選択するように求められます。
• インターフェイス サービス ポリシーは、特定の機能に対するグローバル サービス ポリシーより優先されます。たとえば、RADIUS アカウンティング インスペクションを使用するグローバル ポリシーと接続制限を使用するインターフェイス ポリシーがある場合、RADIUS アカウンティングと接続制限の両方がそのインターフェイスに適用されます。ただし、RADIUS アカウンティングを使用するグローバル ポリシーと RADIUS アカウンティングを使用するインターフェイス ポリシーがある場合、インターフェイス ポリシー RADIUS アカウンティングだけがそのインターフェイスに適用されます。
• グローバル サービス ポリシーは、すべてのインターフェイスにデフォルト サービスを提供します。インターフェイス固有のポリシーで上書きされない限り、グローバル ポリシーが適用されます。デフォルト アプリケーション インスペクションのサービス ポリシー ルールを含むグローバル ポリシーは、デフォルトで存在します。詳細については、「サービス ポリシーのデフォルト」を参照してください。ウィザードを使用してルールをグローバル ポリシーに追加できます。
サービス ポリシーで設定できる機能については、「サービス ポリシーで設定される機能」を参照してください。
ステップ 1 [Configuration] > [Firewall] > [Service Policy Rules] を選択し、[Add] または [Add] > [Add Management Service Policy Rule] をクリックします。
ステップ 2 [Create a Service Policy and Apply To] 領域で次の操作を行います。
a. ポリシーを特定の インターフェイス に適用するか、すべてのインターフェイスに グローバル に適用するかを選択します。
b. [Interface] を選択した場合は、インターフェイスの名前を選択します。インターフェイスにすでにポリシーが設定されている場合は、既存のポリシーにルールを追加していることになります。
c. インターフェイスにまだサービス ポリシーが設定されていない場合は、新しいポリシーの名前を入力します。
ステップ 3 [Traffic Classification Criteria] ページで、次のいずれかのオプションを選択してポリシー アクションを適用するトラフィックを指定し、[Next] をクリックします。
• [Create a new traffic class]。トラフィック クラスの名前を入力し、任意で説明を入力します。
– [Source and Destination IP Address (uses ACL)]:このクラスは拡張アクセス リストで指定されているトラフィックを照合します。ASA がトランスペアレント ファイアウォール モードで動作している場合は、EtherType ACL を使用できます。[Next] をクリックすると、アクセス コントロール エントリの属性を入力するように求められます。ウィザードによって ACL が作成されます。既存の ACL を選択することはできません。
ACE を定義するときに [Match] オプションを選択すると、アドレスに一致するトラフィックにアクションを適用するルールが作成されます。[Do Not Match] オプションでは、トラフィックを指定したアクションの適用から免除します。たとえば、10.1.1.25 を除いて、10.1.1.0/24 のトラフィックすべてを照合し、そのトラフィックに接続制限を適用するとします。この場合は、2 つのルール([Match] オプションを使用した 10.1.1.0/24 に対するルールおよび [Do Not Match] オプションを使用した 10.1.1.25 に対するルール)を作成します。必ず、Do Not Match ルールが Match ルールの上になるように配置してください。順序を逆にすると、10.1.1.25 が最初に Match ルールを照合することになります。
– [TCP or UDP Destination Port]:1 つのポートまたは連続する一定範囲のポートを照合します。[Next] をクリックすると、 TCP または UDP のいずれかを選択してポート番号を入力するように求められます。ASDM ですでに定義されているポートを選択するには、[...] をクリックします。
ヒント 複数の非連続ポートを使用するアプリケーションの場合は、[Source and Destination IP Address (uses ACL)] を使用して各ポートを照合します。
• [Add rule to existing traffic class]。すでに同じインターフェイスにサービス ポリシー ルールを指定している場合、またはグローバル サービス ポリシーを追加する場合は、このオプションによって既存のアクセス リストに ACE を追加できます。このインターフェイスのサービス ポリシー ルールで [Source and Destination IP Address (uses ACL)] オプションを選択した場合は、事前に作成したすべてのアクセス リストに ACE を追加できます。このトラフィック クラスでは、複数の ACE を追加する場合であっても、1 セットのルール アクションしか指定できません。この手順全体を繰り返すことによって、複数の ACE を同じトラフィック クラスに追加できます。ACE の順序の変更方法については、「サービス ポリシー ルールの順序の管理」を参照してください。[Next] をクリックすると、アクセス コントロール エントリの属性を入力するように求められます。
• [Use an existing traffic class]。 別のインターフェイスのルールで使用されるトラフィック クラスを作成した場合は、そのトラフィック クラス定義をこのルールで再使用できます。1 つのルールのトラフィック クラスを変更すると、その変更は同じトラフィック クラスを使用するすべてのルールに継承されます。コンフィギュレーションに CLI で入力した class-map コマンドが含まれている場合は、それらのトラフィック クラス名も使用できます(ただし、そのトラフィック クラスの定義を表示するには、そのルールを作成する必要があります)。
ステップ 4 追加設定が必要なトラフィック一致基準を選択した場合は、目的のパラメータを入力して [Next] をクリックします。
ステップ 5 [Rule Actions] ページで、1 つまたは複数のルール アクションを設定します。
• RADIUS アカウンティング インスペクションを設定するには、[RADIUS Accounting Map] ドロップダウン リストからインスペクション マップを選択するか、または [Configure] をクリックしてマップを追加します。詳細については、「サービス ポリシーで設定される機能」を参照してください。
• 接続を設定するには、「接続の設定」を参照してください。
サービス ポリシー ルールの順序の管理
インターフェイス上またはグローバル ポリシー内でのサービス ポリシー ルールの順序は、トラフィックへのアクションの適用方法に影響します。パケットがサービス ポリシーのルールを照合する方法については、次のガイドラインを参照してください。
• パケットは、機能タイプごとにサービス ポリシーのルールを 1 つだけ照合できます。
• パケットが、1 つの機能タイプのアクションを含むルールを照合する場合、ASA は、その機能タイプを含む、後続のどのルールに対してもそのパケットを照合しません。
• ただし、そのパケットが異なる機能タイプの後続のルールを照合する場合、ASA は後続ルールのアクションも適用します。
たとえば、パケットが接続制限のルールを照合し、アプリケーション インスペクションのルールも照合する場合は、両方のアクションが適用されます。
パケットがアプリケーション インスペクションのルールを照合し、アプリケーション インスペクションを含む別のルールを照合する場合、2 番目のルール アクションは適用されません。
ルールに複数の ACE が組み込まれたアクセス リストが含まれる場合は、ACE の順序もパケット フローに影響します。ASA は、リストのエントリの順序に従って、各 ACE に対してパケットをテストします。一致が見つかると、ACE はそれ以上チェックされません。たとえば、すべてのトラフィックを明示的に許可する ACE を ACL の先頭に作成した場合は、残りのステートメントはチェックされません。
ルールまたはルール内での ACE の順序を変更するには、次の手順を実行します。
ステップ 1 [Configuration] > [Firewall] > [Service Policy Rules] ペインで、上または下に動かすルールまたは ACE を選択します。
ステップ 2 [Move Up] または [Move Down] ボタンをクリックします。
(注) 複数のサービス ポリシーで使用されるアクセス リストで ACE を並べ替えると、その変更はすべてのサービス ポリシーで継承されます。
ステップ 3 ルールまたは ACE を並べ替えたら、[Apply] をクリックします。
フィードバック