再利用可能オブジェクトの概要
柔軟性と Web インターフェイスの使いやすさを向上させるために、Firepower システムでは、名前を値に関連付ける再利用可能な構成である名前付きオブジェクトを使用します。その値を使用する場合は、代わりに名前付きオブジェクトを使用します。多くのポリシーとルール、イベント検索、レポート、ダッシュボードなど、Web インターフェイスのさまざまな場所でのオブジェクトの使用がサポートされています。よく使用される構成を表す多くの事前定義されたオブジェクトが提供されています。
オブジェクトを作成および管理するには、オブジェクト マネージャを使用します。オブジェクトを使用する多くの構成では、必要に応じて、その場でオブジェクトを作成することもできます。オブジェクト マネージャを使用して、次の操作も実行できます。
-
ネットワーク、ポート、VLAN、または URL オブジェクトが使用されているポリシー、設定、およびその他のオブジェクトを表示します。」を参照してください。
-
単一の構成で複数のオブジェクトを参照するための、オブジェクトのグループ化。オブジェクト グループを参照してください。
-
選択したデバイス、またはマルチドメイン展開の場合は選択したドメインのオブジェクト値のオーバーライド。オブジェクトのオーバーライドを参照してください。
アクティブなポリシーで使用されるオブジェクトを編集した後に、変更を有効にするには、変更した構成を再展開する必要があります。アクティブなポリシーで使用されているオブジェクトは削除できません。
(注) |
オブジェクトは、そのデバイスに割り当てられているポリシーでオブジェクトが使用される場合のみ、管理対象デバイスで設定されます。特定のデバイスに割り当てられているすべてのポリシーからオブジェクトを削除する場合、オブジェクトは、次の導入時にデバイス設定からも削除され、オブジェクトに対する後続の変更はデバイス設定に反映されません。 |
オブジェクト タイプ
次の表に、Firepower システムで作成できるオブジェクト、各オブジェクト タイプがグループ化可能かどうか、およびオーバーライドを許可するように構成できるかどうかを示します。
オブジェクト タイプ(Object Type) |
グループ化可能 |
オーバーライドを許可 |
---|---|---|
ネットワーク |
可 |
可 |
[ポート(Port)] |
可 |
可 |
インターフェイス:
|
No |
No |
トンネル ゾーン |
No |
No |
アプリケーション フィルタ |
No |
No |
VLAN タグ |
可 |
可 |
セキュリティ グループ タグ(SGT)(Security Group Tag (SGT)) |
No |
No |
URL |
可 |
可 |
位置情報(GeoLocation) |
No |
No |
時間範囲 |
No |
No |
変数セット |
No |
No |
セキュリティ インテリジェンス:ネットワーク、DNS、URL のリストとフィード |
No |
No |
シンクホール |
No |
No |
ファイル リスト |
No |
No |
暗号スイート リスト |
No |
No |
識別名(Distinguished Name) |
Yes |
No |
公開キー インフラストラクチャ(PKI):
|
Yes |
No |
DNS サーバ グループ |
No |
No |
SLA モニタ |
No |
No |
プレフィックス リスト:IPv4 および IPv6 |
No |
可 |
ルート マップ |
No |
可 |
アクセス リスト:標準および拡張 |
No |
可 |
AS パス |
No |
可 |
コミュニティ リスト(Community List) |
No |
可 |
ポリシー リスト |
No |
可 |
FlexConfig:テキストおよび FlexConfig オブジェクト |
No |
可 |
オブジェクトおよびマルチテナンシー
マルチドメイン展開では、グローバルおよび子孫ドメインでオブジェクトを作成できます。ただし、グローバル ドメインでのみ作成できるセキュリティ グループ タグ(SGT)オブジェクトを除きます。現在のドメインで作成されたオブジェクトが表示されます。このオブジェクトは編集できます。また、編集できない先祖ドメインで作成されたオブジェクトも表示されますが、セキュリティ ゾーンとインターフェイス グループを除きます。
(注) |
セキュリティ ゾーンとインターフェイス グループは、リーフ レベルで設定したデバイス インターフェイスに関連するため、子孫ドメイン内の管理者は、先祖ドメインで作成されたゾーンとグループを表示および編集できます。サブドメインのユーザは、先祖ゾーンとグループからインターフェイスを追加および削除できますが、ゾーン/グループを削除または名前変更することはできません。 |
オブジェクト名は、ドメイン階層内で一意である必要があります。システムは、現在のドメインでは表示できないオブジェクトの名前との競合を特定することができます。
グループ化をサポートするオブジェクトの場合、現在のドメインのオブジェクトを先祖ドメインから継承されたオブジェクトとグループ化できます。
オブジェクトのオーバーライドにより、ネットワーク、ポート、VLAN タグ、URL などの特定のオブジェクト タイプのデバイス固有またはドメイン固有の値を定義できます。マルチドメイン展開では、先祖ドメイン内のオブジェクトのデフォルト値を定義できますが、子孫ドメイン内の管理者は、そのオブジェクトのオーバーライドの値を追加できます。