アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)

Similar documents
アプリケーション レイヤ プロトコル インスペクションの準備

詳細設定

R80.10_FireWall_Config_Guide_Rev1

FQDN を使用した ACL の設定

Cisco CSS HTTP キープアライブと ColdFusion サーバの連携

リンク バンドル コマンド

VPN 接続の設定

障害およびログの表示

連絡先の管理

MIB サポートの設定

Symantec AntiVirus の設定

VLAN の設定

パスワード暗号化の設定

V-Client for Mac ユーザーズガイド

ログインおよび設定

ゲートウェイのファイル形式

スケジューリングおよび通知フォーム のカスタマイズ

VPN の IP アドレス

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 5 日ネットワールド 新規 I

conf_example_260V2_inet_snat.pdf

9 WEB監視

Untitled

SMTP ルーティングの設定

ファイル メニューのコマンド

Cisco Start Firewall Cisco ASA 5506-X PAT(Port Address Translation) の設定 2016 年 3 月 23 日 第 1.1 版 株式会社ネットワールド

<4D F736F F F696E74202D20352D335F8D5C90AC CF909482CC90B690AC82C695D28F572E707074>

ユーザ デバイス プロファイルの ファイル形式

ユーティリティ 管理番号 内容 対象バージョン 157 管理情報バッチ登録コマンド (utliupdt) のメッセージ出力に対し リダイレクトまたはパイプを使用すると メッセージが途中までしか出 力されないことがある 267 転送集計コマンド (utllogcnt) でファイル ID とホスト名の組

McAfee SaaS Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 12 日ネットワールド 新規 I

使用する前に

URL ACL(Enhanced)導入ガイド

PfRv2 での Learn-List と PfR-Map の設定

HDC-EDI Manager Ver レベルアップ詳細情報 < 製品一覧 > 製品名バージョン HDC-EDI Manager < 対応 JavaVM> Java 2 Software Development Kit, Standard Edition 1.4 Java 2

電話機のファイル形式

Microsoft Word - トンネル方式(3 UNI仕様書5.1版)_ _1910.doc

マルチ VRFCE PE-CE リンクのプロビジョ ニング

クイックマニュアル(利用者編)

8021.X 認証を使用した Web リダイレクトの設定

シナリオ:サイトツーサイト VPN の設定

連絡先

ゲートウェイのファイル形式

付録

KDDI ペーパーレスFAXサービス

2

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

基本設定

パスワード暗号化の設定

4-5. ファイアウォール (IPv6)

4-4. ファイアウォール (IPv4)

FUI 機能付きの OCS サーバ URL リダイレクトの設定例

メッセージの確認

パーティションおよびコール検 索スペース(コーリング サーチ スペース)

WebOTXマニュアル

ASA/PIX 8.x: MPF と正規表現を使用した FTP サイトの許可/ブロックの設定例

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

2 台の N-PE 上でのアクセス リングの終端

シナリオ:DMZ の設定

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

レベルアップ詳細情報 < 製品一覧 > 製品名 バージョン < 追加機能一覧 > 管理番号 内容 説明書参照章 カナ文字拡張対応 < 改善一覧 > 管理番号 内容 対象バージョン 説明書参照章 文字列のコピー ペースト改善 ~ 子画面の表示方式 ~ 履歴の詳細情報 ~ タブの ボタン ~ 接続時の管

IBM Proventia Management/ISS SiteProtector 2.0

メッセージの確認

Cisco Unified Communications Manager サーバ アドレスとユーザ名の自動的な入力

ゲートウェイ ファイル形式

<4D F736F F D B838B8A7597A3424F DEC837D836A B5F E315F E646F63>

Cisco ViewMail for Microsoft Outlook クイックスタートガイド (リリース 8.5 以降)

FW APIServer 設定ガイド Version 年 2 月 3 日富士通株式会社 i All Right Reserved, Copyright FUJITSU LIMITED

ASA の脅威検出機能および設定

VNX ファイル ストレージの管理

パスワード管理

WeChat 認証ベースのインターネット アクセス

PowerPoint プレゼンテーション

ディレクトリ ハンドラの管理

ローカルな Clean Access の設定

電話機のリセットと再起動

PowerPoint プレゼンテーション

Nagios XI Webサイトの改ざん監視

音声とビデオのプロトコルのインスペクション

Microsoft PowerPoint - KanriManual.ppt

NN _JP.fm

Microsoft Word - A04 - Configuring Launch In Context_jp-ReviewedandCorrected a.doc

クラスタ構築手順書

レポートのデータへのフィルタの適用

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

<4D F736F F D20837D836A B5F93C192E88C AC888D593FC97CD5F2E646F63>

1 はじめに はじめに 本マニュアルは アルファメールプラチナをご利用のお客様が 新 Web サーバー環境 に移行する手順と設定方法をご案内しております 新 Web サーバー環境ご利用開始までの手順について お客様 弊社 新 Web サーバー切替の申し込み P.3 新 Web サーバー切替のお申し込

F コマンド

目次 1. ユーザー登録 ( 初期セットアップ ) を行う Office365 の基本的な動作を確認する... 6 Office365 にログインする ( サインイン )... 6 Office365 からサインアウトする ( ログアウト )... 6 パスワードを変更する... 7

概要 ABAP 開発者が SAP システム内の SAP ソースまたは SAP ディクショナリーオブジェクトを変更しようとすると 2 つのアクセスキーを入力するよう求められます 1 特定のユーザーを開発者として登録する開発者キー このキーは一度だけ入力します 2 SAP ソースまたは SAP ディクシ

OSSTechドキュメント

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

Oracle DatabaseとIPv6 Statement of Direction

メッセージの確認

SpreadSheet Interface

Mobile Access IPSec VPN設定ガイド

1. 主な機能追加項目 以下の検索項目をサポートしました 書誌 全文検索コマンド検索 国内 査定日 最新の査定日 ( 登録査定日または拒絶査定日 ) を検索します 査定種別 最新の登録 拒絶査定 または査定なしを検索します 審査最終処分日 最新の審査最終処分日を検索します 審査最終処分種別 最新の審

適応型セキュリティ アプライ アンスの設定

適応型セキュリティ アプライ アンスの設定

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

1 TCP/IPがインストールされていて正常に動作している場合は ループバックアドレィング5.3 ネットワークのトラブルシューティング スでリプライが返ってきます リプライが返ってこない場合 なんらかの原因でサービスが無効になっていたり TCP/IPプロトコルが壊れていたりする可能性があります 2

Transcription:

CHAPTER 2 アプリケーションインスペクションの特別なアクション ( インスペクションポリシーマップ ) モジュラポリシーフレームワークでは 多くのアプリケーションインスペクションで実行される特別なアクションを設定できます サービスポリシーでインスペクションエンジンをイネーブルにする場合は インスペクションポリシーマップで定義されるアクションを必要に応じてイネーブルにすることもできます インスペクションポリシーマップが インスペクションアクションを定義したサービスポリシー内のトラフィックと一致すると トラフィックのそのサブセットが指定したとおりに動作します ( たとえば ドロップやレート制限など ) インスペクションポリシーマップに関する情報 (P.2-1) ガイドラインと制限事項 (P.2-2) デフォルトのインスペクションポリシーマップ (P.2-3) インスペクションポリシーマップのアクションの定義 (P.2-3) インスペクションクラスマップ内のトラフィックの特定 (P.2-4) 次の作業 (P.2-4) インスペクションポリシーマップの機能履歴 (P.2-4) インスペクションポリシーマップに関する情報 インスペクションポリシーマップをサポートするアプリケーションのリストについては アプリケーションレイヤプロトコルインスペクションの設定 (P.8-10) を参照してください インスペクションポリシーマップは 次に示す要素の 1 つ以上で構成されています インスペクションポリシーマップで使用可能な実際のオプションは アプリケーションに応じて決まります トラフィック照合オプション : インスペクションポリシーマップで直接トラフィック照合オプションを定義して アプリケーションのトラフィックを URL 文字列などのアプリケーションに固有の基準と照合できます 一致した場合にはアクションをイネーブルにします 一部のトラフィック照合オプションでは 正規表現を指定してパケット内部のテキストを照合できます ポリシーマップを設定する前に 正規表現クラスマップ内で 正規表現を単独またはグループで作成およびテストしておいてください 2-1

ガイドラインと制限事項 第 2 章アプリケーションインスペクションの特別なアクション ( インスペクションポリシーマップ ) インスペクションクラスマップ : インスペクションクラスマップには 複数のトラフィック照合オプションが含まれます その後 ポリシーマップでクラスマップを指定し クラスマップのアクションを全体としてイネーブルにします クラスマップを作成することと インスペクションポリシーマップ内で直接トラフィック照合を定義することの違いは より複雑な一致基準を作成できる点と クラスマップを再使用できる点です ただし 異なる一致基準に対して異なるアクションを設定することはできません 注 : すべてのアプリケーションがインスペクションクラスマップをサポートするわけではありません パラメータ : パラメータは インスペクションエンジンの動作に影響します ガイドラインと制限事項 HTTP インスペクションポリシーマップ : 使用中の HTTP インスペクションポリシーマップを変更する場合 変更を有効にするには インスペクションポリシーマップのアクションを削除し 再適用する必要があります たとえば http-map インスペクションポリシーマップを修正する場合は そのインスペクションポリシーマップを削除し 変更を適用して サービスポリシーに再度追加する必要があります すべてのインスペクションポリシーマップ : 使用中のインスペクションポリシーマップを別のマップ名と交換する場合は そのインスペクションポリシーマップを削除し 変更を適用して 新しいインスペクションポリシーマップをサービスポリシーに再度追加する必要があります インスペクションポリシーマップには 複数のインスペクションクラスマップまたは直接照合を指定できます 1 つのパケットが複数の異なる照合と一致する場合 ASA がアクションを適用する順序は インスペクションポリシーマップにアクションが追加された順序ではなく ASA の内部ルールによって決まります 内部ルールは アプリケーションのタイプとパケット解析の論理的進捗によって決まり ユーザが設定することはできません HTTP トラフィックの場合 Request Method フィールドの解析が Header Host Length フィールドの解析よりも先に行われ Request Method フィールドに対するアクションは Header Host Length フィールドに対するアクションより先に行われます アクションがパケットをドロップすると インスペクションポリシーマップではそれ以降のアクションは実行されません たとえば 最初のアクションが接続のリセットである場合 それ以降の一致基準との照合は行われません 最初のアクションがパケットのログへの記録である場合 接続のリセットなどの 2 番目のアクションは実行されます パケットが 同じ複数の一致基準と照合される場合は ポリシーマップ内のそれらのコマンドの順序に従って照合されます クラスマップは そのクラスマップ内で重要度が最低の照合オプション ( 重要度は 内部ルールに基づきます ) に基づいて 別のクラスマップまたは直接照合のと同じタイプであると判断されます クラスマップに 別のクラスマップと同じタイプの重要度が最低の照合オプションがある場合 それらのクラスマップはポリシーマップに追加された順序で照合されます クラスマップごとに最低重要度の照合が異なる場合は 最高重要度の照合オプションを持つクラスマップが最初に照合されます 2-2

デフォルトのインスペクションポリシーマップ デフォルトのインスペクションポリシーマップ DNS インスペクションは preset_dns_map インスペクションクラスマップを使用して デフォルトでイネーブルになります 最大 DNS メッセージ長は 512 バイトです 最大クライアント DNS メッセージ長は リソースレコードに一致するように自動的に設定されます DNS ガードはイネーブルになり ASA によって DNS 応答が転送されるとすぐに ASA は DNS クエリーに関連付けられている DNS セッションを切断します ASA はまた メッセージ交換をモニタして DNS 応答の ID が DNS クエリーの ID と一致することを確認します NAT の設定に基づく DNS レコードの変換はイネーブルです プロトコルの強制はイネーブルであり DNS メッセージ形式チェックが行われます ドメイン名の長さが 255 文字以下 ラベルの長さが 63 文字 圧縮 ループポインタのチェックなどです ( 注 ) _default_esmtp_map など デフォルトのインスペクションポリシーマップはほかにもあります たとえば ESMTP インスペクションルールはポリシーマップ _default_esmtp_map を暗黙的に使用します インスペクションポリシーマップのアクションの定義 手順の詳細 サービスポリシーでインスペクションエンジンをイネーブルにする場合は インスペクションポリシーマップで定義されるアクションを必要に応じてイネーブルにすることもできます ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 ステップ 6 ( オプション ) インスペクションクラスマップを作成します または ポリシーマップ内でトラフィックを直接特定できます インスペクションクラスマップ内のトラフィックの特定 (P.2-4) を参照してください ( オプション ) 正規表現をサポートするポリシーマップタイプの場合は 正規表現を作成します 一般的な操作のコンフィギュレーションガイド を参照してください [Configuration] > [Firewall] > [Objects] > [Inspect Maps] を選択します 設定するインスペクションタイプを選択します [Add] をクリックして 新しいインスペクションポリシーマップを追加します インスペクションの章の該当するインスペクションタイプの手順に従います 2-3

インスペクションクラスマップ内のトラフィックの特定 インスペクションクラスマップ内のトラフィックの特定 制限事項 手順の詳細 このタイプのクラスマップを使用して アプリケーション固有の基準と照合できます たとえば DNS トラフィックの場合は DNS クエリー内のドメイン名と照合可能です クラスマップは 複数のトラフィック照合をグループ化します (match-all クラスマップ ) あるいはクラスマップで 照合リストのいずれかを照合できます (match-any クラスマップ ) クラスマップを作成することと インスペクションポリシーマップ内で直接トラフィック照合を定義することの違いは クラスマップを使用して複数の match コマンドをグループ化できる点と クラスマップを再使用できる点です このクラスマップで指定するトラフィックに対しては インスペクションポリシーマップで 接続のドロップ リセット またはロギングなどのアクションを指定できます タイプの異なるトラフィックで異なるアクションを実行する場合は ポリシーマップで直接トラフィックを指定してください すべてのアプリケーションがインスペクションクラスマップをサポートするわけではありません ステップ 1 ステップ 2 ステップ 3 ステップ 4 [Configuration] > [Firewall] > [Objects] > [Class Maps] を選択します 設定するインスペクションタイプを選択します [Add] をクリックして 新しいインスペクションクラスマップを追加します インスペクションの章の該当するインスペクションタイプの手順に従います 次の作業 インスペクションポリシーを使用するには 第 1 章 サービスポリシー を参照してください インスペクションポリシーマップの機能履歴 表 2-1 に この機能のリリース履歴を示します 表 2-1 サービスポリシーの機能履歴 機能名 リリース 機能情報 インスペクションポリシーマップ 7.2(1) インスペクションポリシーマップが導入されました class-map type inspect コマンドが導入されました 正規表現およびポリシーマップ 7.2(1) インスペクションポリシーマップで使用される正規表現およびポリシーマップが導入されました class-map type regex コマンド regex コマンド およびmatch regex コマンドが導入されました 2-4

インスペクションポリシーマップの機能履歴 表 2-1 サービスポリシーの機能履歴 ( 続き ) 機能名リリース機能情報 インスペクションポリシーマップの match any 8.0(2) インスペクションポリシーマップで使用される match any キーワードが導入されました トラフィックを 1 つ以上の基準に照合してクラスマップに一致させることができます 以前は match all だけが使用可能でした 2-5

インスペクションポリシーマップの機能履歴 2-6

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック