拡張 ACL の ACE を追加または編集するときに、次のプロパティを設定できます。多くのフィールドでは、編集ボックスの右にある「...」ボタンをクリックして、フィールドで使用できるオブジェクトを選択、作成、または編集できます。

[Action]：[Permit]/[Deny]

指定したトラフィックを許可（選択）するか、拒否（選択解除、不一致）するかを選択します。

[Source Criteria]

照合しようとしているトラフィックの発信者の特性。[Source] は設定する必要がありますが、その他のプロパティはオプションです。

[Source]

送信元の IPv4 または IPv6 アドレス。デフォルト値は any です。これはすべての IPv4 または IPv6 アドレスに一致します。IPv4 のみをターゲットにする場合は any4 を、IPv6 のみをターゲットにする場合は any6 をそれぞれ使用できます。単一のホスト アドレス（10.100.10.5 または 2001:DB8::0DB8:800:200C:417A など）、サブネット（10.100.10.0/24 または 10.100.10.0/255.255.255.0 形式、または IPv6 の場合は 2001:DB8:0:CD30::/60）、ネットワーク オブジェクトまたはネットワーク オブジェクト グループの名前、またはインターフェイスの名前を指定できます。

User

アイデンティティ ファイアウォールを有効にしている場合は、ユーザまたはユーザ グループをトラフィックの送信元として指定できます。ユーザが現在使用している IP アドレスはルールに一致します。ユーザ名（DOMAIN\user）、ユーザ グループ（DOMAIN\\group（2 つの \ はグループ名を示します））、またはユーザ オブジェクト グループを指定できます。このフィールドでは、[...] をクリックして AAA サーバ グループから名前を選択するほうが名前を入力するよりもはるかに簡単です。

Security Group

Cisco TrustSec を有効にしている場合は、セキュリティ グループの名前やタグ（1 ～ 65533）、またはセキュリティ グループ オブジェクトを指定できます。

[More Options] > [Source Service]

TCP、UDP または SCTP を宛先サービスとして指定した場合は、TCP、UDP、TCP-UDP、または SCTP を表す定義済みのサービス オブジェクトか、独自のオブジェクトをオプションで指定できます。通常は、宛先サービスのみを定義し、送信元サービスは定義しません。送信元サービスを定義する場合、宛先サービスのプロトコルは送信元サービスに一致する必要があります（たとえば、両方ともポート定義のある/ない TCP など）。

[Destination Criteria]

照合しようとしているトラフィックのターゲットの特性。[Destination] は設定する必要がありますが、その他のプロパティはオプションです。

Destination

宛先の IPv4 または IPv6 アドレス。デフォルト値は any です。これはすべての IPv4 または IPv6 アドレスに一致します。IPv4 のみをターゲットにする場合は any4 を、IPv6 のみをターゲットにする場合は any6 をそれぞれ使用できます。単一のホスト アドレス（10.100.10.5 または 2001:DB8::0DB8:800:200C:417A など）、サブネット（10.100.10.0/24 または 10.100.10.0/255.255.255.0 形式、または IPv6 の場合は 2001:DB8:0:CD30::/60）、ネットワーク オブジェクトまたはネットワーク オブジェクト グループの名前、またはインターフェイスの名前を指定できます。

Security Group

Cisco TrustSec を有効にしている場合は、セキュリティ グループの名前やタグ（1 ～ 65533）、またはセキュリティ グループ オブジェクトを指定できます。

サービス

IP、TCP、UDP などのトラフィックのプロトコル。オプションで TCP、UDP、または SCTP のポートを指定できます。デフォルトは IP ですが、より具体的なプロトコルを指定して、ターゲットにするトラフィックをより細かく設定することができます。通常は、何らかのタイプのサービス オブジェクトを選択します。TCP、UDP、および SCTP の場合は、tcp/80、tcp/http、tcp/10-20（ポート範囲）、tcp-udp/80（ポート 80 の任意の TCP または UDP トラフィックに一致）、sctp/diameter のようにポートを指定できます。サービスの指定の詳細については、拡張 ACE のサービスの仕様を参照してください。

説明

ACE の目的の説明を入力します。1 行の最大文字数は 100 文字までです。複数行を入力できます。各行は CLI の注釈として追加され、注釈は ACE の前に配置されます。

（注）	1 つのプラットフォーム（Windows など）上で英語以外の文字でコメントを追加し、それらの文字を別のプラットフォーム（Linux など）から削除しようとした場合、元の文字が正しく認識されないため編集や削除を実行できない可能性があります。この制限は、各種言語の文字をさまざまな方法でエンコードするプラットフォームの依存性によるものです。

[Enable Logging] ：[Logging Level] ：[More Options] > [Logging Interval]

ロギング オプションでは、ルールについて syslog メッセージをどのように生成するかを定義します。これらのオプションは、アクセス ルールとして使用される ACL、つまり、インターフェイスに接続されている ACL またはグローバルに適用されている ACL のみに適用されます。このオプションは他の機能に使用されている ACL では無視されます。次のロギング オプションを実装できます。

[Deselect Enable Logging]

ルールのロギングが無効になります。このルールに一致する接続については、どのタイプの syslog メッセージも発行されません。

[Select Enable Logging with Logging Level = Default]

ルールにデフォルトのロギングが提供されます。拒否された接続ごとに syslog メッセージ 106023 が発行されます。アプライアンスが攻撃を受けている場合、このメッセージの発行頻度はサービスに影響を及ぼす可能性があります。

[Select Enable Logging with Non-Default Logging Level]

106023 の代わりに、集約された syslog メッセージ 106100 が提供されます。メッセージ 106100 は、まず最初にヒットしたときに発行されます。その後、[More Options] > [Logging Interval] で設定した間隔ごとに再発行され、その間隔内のヒット数を示します。推奨されるロギング レベルは [Informational] です。

拒否メッセージを集約すると、攻撃の影響を軽減できるとともに、場合によってはメッセージの分析が容易になります。DoS 攻撃を受けている場合、メッセージ 106101 が表示されることがあります。これは、メッセージ 106100 のヒット カウントの生成に使用されるキャッシュされた拒否フローの数が、1 つの間隔における最大数を超えたことを示します。この時点で、アプライアンスは攻撃を軽減するために、次の間隔まで統計情報の収集を停止します。

[More Options] > [Enable Rule]

ルールがデバイスでアクティブになっているかどうか。無効になっているルールは、ルール テーブルに取り消し線付きのテキストで表示されます。ルールを無効にすると、ルールを削除することなく、ルールのトラフィックへの適用を停止できます。このため、そのルールが必要だと判断した場合は、後で再度有効にすることができます。

[More Options] > [Time Range]

ルールがアクティブになっている必要がある時間帯と曜日を定義する時間範囲オブジェクトの名前。時間範囲を指定しない場合、ルールは常にアクティブです。

拡張 ACE の宛先サービスには、次の条件を指定できます。送信元サービスの場合は、オプションは似ていますが、より限定されており、TCP、UDP、TCP-UDP、または SCTP 条件しか指定できません。

オブジェクト名

任意のタイプのサービス オブジェクトまたはサービス オブジェクト グループの名前。これらのオブジェクトには、以下で説明するさまざまな仕様を含めることができます。このため、ACL 間でサービス定義を再利用することが簡単にできます。定義済みオブジェクトが多数用意されているため、手動で仕様を入力したり、独自のオブジェクトを作成したりすることなく、必要なオブジェクトが見つかる場合があります。

プロトコル

1 ～ 255 の範囲の数値またはip、tcp、udp、gre などの既知の名前。

TCP、UDP、TCP-UDP、SCTP ポート

tcp、udp、tcp-udp、および sctp キーワードにポートを指定することができます。tcp-udp キーワードを使用すると、tcp と udp を個別に指定せずに両方のプロトコルのポートを定義できます。ポートは次の方法で指定できます。

• 単一ポート：tcp/80、udp/80、tcp-udp/80、sctp/3868、または tcp/www、udp/snmp、または sctp/diameter などの既知のサービス名。

• ポート範囲：tcp/1-100、udp/1-100、tcp-udp/1-100、sctp/1-100 は、ポート 1 ～ 100（1 と 100 を含む）に一致します。

• ポートに等しくない：仕様の先頭に != を追加します。たとえば、TCP ポート 80（HTTP）以外の任意の TCP トラフィックに一致させるには、!=tcp/80 と指定します。

• ポート番号より小さい：< を追加します。たとえば、150 未満の任意のポートの TCP トラフィックに一致させるには、<tcp/150 と指定します。

• ポート番号より大きい：> を追加します。たとえば、150 超の任意のポートの TCP トラフィックに一致させるには、>tcp/150 と指定します。

（注）	DNS、Discard、Echo、Ident、NTP、RPC、SUNRPC、および Talk は、それぞれに TCP の定義と UDP の定義の両方が必要です。TACACS+ では、ポート 49 に対して 1 つの TCP 定義が必要です。

ICMP、ICMP6 メッセージ

特定のメッセージ（ping エコー要求や応答メッセージなど）やメッセージ コードをターゲットにできます。ICMP（IPv4 向け）および ICMP6（IPv6 向け）をカバーする定義済みオブジェクトが多数用意されているため、手動での条件定義が不要になる場合があります。形式は次のようになります。

icmp/icmp_message_type[/icmp_message_code]

icmp6/icmp6_message_type[/icmp6_message_code]

メッセージ タイプは 1 ～ 255 の範囲の数値または既知の名前で、コードは 0 ～ 255 の範囲の数値です。選択した数値が実際のタイプ/コードに一致することを確認します。そうしないと、ACE が一致しません。

Webtype ACL の ACE を追加または編集するときに、次のプロパティを設定できます。多くのフィールドでは、編集ボックスの右にある「...」ボタンをクリックして、フィールドで使用できるオブジェクトを選択、作成、または編集できます。

特定の ACE について、URL またはアドレスでフィルタリングすることができます。ただし、両方でフィルタすることはできません。

• [Action: Permit/Deny]：指定したトラフィックを許可（選択）するか、拒否（選択解除、不一致）するかを選択します。

  • [Filter on URL] ：宛先 URL に基づくトラフィック一致条件。プロトコルを選択してサーバ名（オプションでパスとファイル名）を入力します。たとえば、http://www.example.com と指定します。または、すべてのサーバを対象にするには、http://*.example.com と指定します。以下では、URL の指定に関するヒントと制限事項をいくつか示します。

    • すべての URL を照合する場合は、any を選択します。

    • 「permit url any」を指定すると、protocol://server-ip/path の形式を含むすべての URL が許可され、このパターンに一致しないポート転送などのトラフィックがブロックされます。暗黙的な拒否が発生しないよう、必要なポート（Citrix の場合はポート 1494）への接続を許可する ACE を使用してください。

    • スマート トンネルと ica プラグインは、smart-tunnel:// と ica:// のタイプにのみ一致するため、「permit url any」を使用した ACL によって影響を受けることはありません。

    • 使用できるプロトコルは、cifs://、citrix://、citrixs://、ftp://、http://、https://、imap4://、nfs://、pop3://、smart-tunnel://、および smtp:// です。プロトコルでワイルドカードを使用することもできます。たとえば、htt* は http および https に一致し、アスタリスク * はすべてのプロトコルに一致します。たとえば、*://*.example.com は、example.com ネットワークへのすべてのタイプの URL ベース トラフィックに一致します。

    • smart-tunnel:// URL を指定すると、サーバ名だけを含めることができます。URL にパスを含めることはできません。たとえば、smart-tunnel://www.example.com は受け入れ可能ですが、smart-tunnel://www.example.com/index.html は受け入れ不可です。

    • アスタリスク（*）：空の文字列を含む任意の文字列に一致します。すべての http URL に一致させるには、http://*/* と入力します。

    • 疑問符 ? は任意の 1 文字に一致します。

    • 角カッコ（[]）：文字の範囲を指定する際に使用する演算子です。角カッコ内に指定された範囲に属する任意の 1 文字に一致します。たとえば、http://www.cisco.com:80/ と http://www.cisco.com:81/ の両方に一致させるには、「http://www.cisco.com:8[01]/」と入力します。

• [Filter on Address and Service] ：宛先アドレスとサービスに基づいてトラフィックを照合します。

  • [Address]：宛先の IPv4 または IPv6 アドレスです。すべてのアドレスに一致させるには、すべての IPv4 または IPv6 アドレスに一致する any を使用します。IPv4 のみに一致させるには any4 を、IPv6 のみに一致させるには any6 を使用します。単一のホスト アドレス（10.100.10.5 または 2001:DB8::0DB8:800:200C:417A など）、サブネット（10.100.10.0/24 または 10.100.10.0/255.255.255.0 形式、または IPv6 の場合は 2001:DB8:0:CD30::/60）を指定できます。または、ネットワーク オブジェクトを選択して、オブジェクトの内容をフィールドにロードすることもできます。

  • [Service]：単一の TCP サービス仕様。デフォルトはポートなしの tcp ですが、単一のポート（tcp/80 や tcp/www など）またはポート範囲（tcp/1-100 など）を指定できます。演算子を含めることができます。たとえば、!=tcp/80 は 80 以外のポート、<tcp/80 は 80 未満のすべてのポート、>tcp/80 は 80 超のすべてのポートです。

• [Enable Logging] 、[Logging Level] 、[More Options] > [Logging Interval]：ロギング オプションでは、実際にトラフィックを拒否するルールについて syslog メッセージをどのように生成するかを定義します。次のロギング オプションを実装できます。

  • [Deselect Enable Logging] ：ルールのロギングを無効にします。このルールで拒否されるトラフィックについては、どのタイプの syslog も発行されません。

  • [Select Enable Logging with Logging Level = Default]： ルールのデフォルト ロギングを提供します。拒否されたパケットごとに syslog メッセージ 106103 が発行されます。アプライアンスが攻撃を受けている場合、このメッセージの発行頻度はサービスに影響を及ぼす可能性があります。

  • [Select Enable Logging with Non-Default Logging Level]： 106103 の代わりに、集約された syslog メッセージ 106102 を提供します。メッセージ 106102 は、まず最初にヒットしたときに発行されます。その後、[More Options] > [Logging Interval] で設定した間隔ごとに再発行され、その間隔内のヒット数を示します。推奨されるロギング レベルは [Informational] です。

• [More Options] > [Time Range] ：ルールがアクティブになっている必要がある時間帯と曜日を定義する時間範囲オブジェクトの名前。時間範囲を指定しない場合、ルールは常にアクティブです。

以下では、Webtype ACL の URL ベースのルールの例をいくつか示します。