CHAPTER
9
モジュラ ポリシー フレームワークの使用
この章では、モジュラ ポリシー フレームワークを使用して、TCP、一般的な接続設定、検査、IPS、
CSC、および QoS などの複数の機能に関するセキュリティ ポリシーを作成する方法について説明しま
す。この章には、次の項があります。
• 「モジュラ ポリシー フレームワークに関する情報」（P.9-1）
• 「モジュラ ポリシー フレームワークのライセンス要件」（P.9-9）
• 「ガイドラインと制限事項」（P.9-9）
• 「デフォルト設定」（P.9-10）
• 「モジュラ ポリシー フレームワークの設定」（P.9-12）
• 「モジュラ ポリシー フレームワークの監視」（P.9-27）
• 「モジュラ ポリシー フレームワークの設定例」（P.9-27）
• 「モジュラ ポリシー フレームワークの機能履歴」（P.9-30）
モジュラ ポリシー フレームワークに関する情報
モジュラ ポリシー フレームワークを使用して、一貫性のある柔軟な方法で適応型セキュリティ アプラ
イアンスの機能を設定できます。たとえば、モジュラ ポリシー フレームワークを使用すると、すべて
の TCP アプリケーションに適用されるタイムアウト コンフィギュレーションではなく、特定の TCP
アプリケーションに固有のタイムアウト コンフィギュレーションを作成できます。この項は、次の内
容で構成されています。
• 「モジュラ ポリシー フレームワークでサポートされる機能」（P.9-1）
• 「モジュラ ポリシー フレームワークの設定に関する情報」（P.9-2）
• 「検査ポリシーマップに関する情報」（P.9-4）
• 「レイヤ 3/4 ポリシーマップに関する情報」（P.9-5）
モジュラ ポリシー フレームワークでサポートされる機能
機能は、通過トラフィックまたは管理トラフィックに適用できます。この項は、次の内容で構成されて
います。
• 「通過トラフィックでサポートされる機能」（P.9-2）
• 「管理トラフィックでサポートされる機能」（P.9-2）
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
9-1
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークに関する情報
通過トラフィックでサポートされる機能
表 9-1 に、モジュラ ポリシー フレームワークでサポートされる機能を示します。
表 9-1
モジュラ ポリシー フレームワークの機能
機能
アプリケーション検査（複数タイプ）
参照先
• 第 40 章「アプリケーション レイヤ プロトコル検査の
準備」
• 第 41 章「基本インターネット プロトコルの検査の設
定」
• 第 43 章「データベースとディレクトリのプロトコル
の検査の設定」
• 第 44 章「管理アプリケーション プロトコルの検査の
設定」
• 第 42 章「音声とビデオのプロトコルの検査の設定」
CSC
第 60 章「CSC SSM での Content Security and Control ア
プリケーションの設定」
IPS
第 59 章「AIP SSM と SSC での IPS アプリケーションの
設定」
NetFlow セキュア イベント ロギングの
フィルタリング
第 75 章「NetFlow セキュア イベント ロギング（NSEL）
の設定」
QoS 入出力ポリシング
第 55 章「QoS の設定」
QoS 標準プライオリティキュー
第 55 章「QoS の設定」
QoS トラフィック シェーピング、階層
型プライオリティキュー
第 55 章「QoS の設定」
TCP と UDP の接続制限値とタイムアウ 第 53 章「接続の制限値とタイムアウトの設定」
ト、および TCP シーケンス番号のラン
ダム化
TCP 正規化
第 52 章「TCP 正規化の設定」
TCP ステート バイパス
第 51 章「TCP ステート バイパスの設定」
管理トラフィックでサポートされる機能
モジュラ ポリシー フレームワークでは、管理トラフィック用に次の機能をサポートします。
• RADIUS アカウンティング トラフィックのアプリケーション検査（第 44 章「管理アプリケーショ
ン プロトコルの検査の設定」を参照）
• 接続の制限値（第 53 章「接続の制限値とタイムアウトの設定」を参照）
モジュラ ポリシー フレームワークの設定に関する情報
モジュラ ポリシー フレームワークの設定は、次のタスクで構成されています。
1. レイヤ 3/4 クラスマップを作成して、モジュラ ポリシー フレームワークのアクションを実行する
トラフィックを指定します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
9-2
OL-18970-01-J
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークに関する情報
たとえば、適応型セキュリティ アプライアンスを通過するすべてのトラフィックでアクションを
実行したり、10.1.1.0/24 から任意の宛先アドレスまでのトラフィックで特定のアクションだけを
実行したりできます。
࡟ࠗࡗ 3/4 ࠢ࡜ࠬ ࡑ࠶ࡊ
241506
࡟ࠗࡗ 3/4 ࠢ࡜ࠬ ࡑ࠶ࡊ
「トラフィックの特定（レイヤ 3/4 クラスマップ）」（P.9-13）を参照してください。
2. 実行するアクションの 1 つがアプリケーション検査であり、ある検査トラフィックで追加のアク
ションを実行する場合は、検査ポリシーマップを作成します。検査ポリシーマップはトラフィック
を特定し、そのトラフィックで何をするかを指定します。
たとえば、本文の長さが 1000 バイトを上回るすべての HTTP 要求をドロップできます。
ᬌᩏࡐ࡝ࠪ࡯ ࡑ࠶ࡊߩࠕ࡚ࠢࠪࡦ
241507
ᬌᩏ ࠢ࡜ࠬ ࡑ࠶ࡊ/
match ࠦࡑࡦ࠼
match コマンドでトラフィックを直接特定する独立した検査ポリシーマップを作成したり、再利
用のために、またはより複雑な照合のために検査クラスマップを作成したりできます。「検査ポリ
シーマップのアクションの定義」（P.9-17）および「検査クラスマップ内のトラフィックの特定」
（P.9-20）を参照してください。
3. 検査されたパケット内の正規表現とテキストを照合する場合、正規表現または正規表現のグループ
（正規表現クラスマップ）を作成できます。そして、トラフィックが検査ポリシーマップと一致す
るように定義するときに、既存の正規表現を呼び出すことができます。
たとえば、「example.com」というテキストが含まれた URL を持つすべての HTTP 要求をドロッ
プできます。
ᬌᩏࡐ࡝ࠪ࡯ ࡑ࠶ࡊߩࠕ࡚ࠢࠪࡦ
241509
ᬌᩏ ࠢ࡜ࠬ ࡑ࠶ࡊ/
match ࠦࡑࡦ࠼
ᱜⷙ⴫⃻ᢥ/
ᱜⷙ⴫⃻ࠢ࡜ࠬ ࡑ࠶ࡊ
「正規表現の作成」（P.9-21）および「正規表現クラスマップの作成」（P.9-24）を参照してください。
4. レイヤ 3/4 ポリシーマップを作成し、各レイヤ 3/4 クラスマップで実行するアクションを定義しま
す。次に、サービス ポリシーを使用して、どのインターフェイスでポリシーマップを適用するか
を決定します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
9-3
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークに関する情報
ȬǤȤ 3/4 ȝȪǷȸ Ȟȃȗ
ធ⛯೙㒢
ធ⛯೙㒢
ǵȸȓǹ ȝȪǷȸ
ᬌᩏ
ᬌᩏ
241508
IPS
「アクションの定義（レイヤ 3/4 ポリシーマップ）」（P.9-24）および「インターフェイスへのアク
ションの適用（サービス ポリシー）」（P.9-26）を参照してください。
検査ポリシーマップに関する情報
検査ポリシーマップをサポートするアプリケーションのリストについては、
「アプリケーション レイヤ
プロトコル検査の設定」（P.40-6）を参照してください。
検査ポリシーマップは、次に示す要素の 1 つ以上で構成されています。検査ポリシーマップで使用可能
な実際のオプションは、アプリケーションに応じて決まります。
• トラフィック照合コマンド：検査ポリシーマップで直接トラフィック照合コマンドを定義して、ア
プリケーションのトラフィックを、URL 文字列などのアプリケーションに固有の基準と照合でき
ます。一致した場合にはアクションをイネーブルにします。
– 一部のトラフィック照合コマンドでは、正規表現を指定してパケット内部のテキストを照合で
きます。ポリシーマップを設定する前に、正規表現クラスマップ内で、正規表現を単独または
グループで作成およびテストしておいてください。
• 検査クラスマップ：（すべてのアプリケーションで使用できるわけではありません。サポートされ
るアプリケーションのリストについては、CLI ヘルプを参照してください）。検査クラスマップに
は、アプリケーション トラフィックを URL 文字列などのアプリケーション固有の基準と照合する
トラフィック照合コマンドが含まれています。その後、ポリシーマップ内のクラスマップを特定
し、アクションをイネーブルにします。クラスマップを作成することと、検査ポリシーマップ内で
直接トラフィック照合を定義することの違いは、より複雑な一致基準を作成できる点と、クラス
マップを再使用できる点です。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
9-4
OL-18970-01-J
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークに関する情報
– 一部のトラフィック照合コマンドでは、正規表現を指定してパケット内部のテキストを照合で
きます。ポリシーマップを設定する前に、正規表現クラスマップ内で、正規表現を単独または
グループで作成およびテストしておいてください。
• パラメータ：パラメータは、検査エンジンの動作に影響します。
レイヤ 3/4 ポリシーマップに関する情報
この項では、レイヤ 3/4 ポリシーマップの機能について説明します。次の項目を取り上げます。
• 「機能の方向」（P.9-5）
• 「ポリシーマップ内の機能照合」（P.9-6）
• 「複数の機能アクションが適用される順序」（P.9-6）
• 「特定の機能アクションの非互換性」（P.9-8）
• 「複数のポリシーマップの場合の機能照合」（P.9-9）
機能の方向
アクションは、機能に応じて双方向または単方向にトラフィックに適用されます。双方向に適用される
機能の場合、トラフィックが両方向のクラスマップと一致した場合に、ポリシーマップを適用するイン
ターフェイスを出入りするすべてのトラフィックが影響を受けます。
（注）
グローバル ポリシーを使用する場合は、すべての機能が単方向です。単一インターフェイスに適用す
る場合に通常双方向の機能は、グローバルに適用される場合、各インターフェイスの入力にのみ適用さ
れます。ポリシーはすべてのインターフェイスに適用されるため、ポリシーは両方向に適用され、この
場合の双方向は冗長になります。
QoS プライオリティキューなど単方向に適用される機能の場合は、ポリシーマップを適用するイン
ターフェイスに出入りする（機能によって異なります）トラフィックだけが影響を受けます。各機能の
方向については、表 9-2 を参照してください。
表 9-2
機能の方向
機能
単一インターフェイスで
の方向
グローバルでの方向
アプリケーション検査（複数タイプ）
双方向
入力
CSC
双方向
入力
IPS
双方向
入力
NetFlow セキュア イベント ロギングのフィル 該当なし
入力
タリング
QoS 入力ポリシング
入力
入力
QoS 出力ポリシング
出力
出力
QoS 標準プライオリティキュー
出力
出力
QoS トラフィック シェーピング、階層型プラ
イオリティキュー
出力
出力
TCP と UDP の接続制限値とタイムアウト、
および TCP シーケンス番号のランダム化
双方向
入力
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
9-5
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークに関する情報
表 9-2
機能の方向
機能
単一インターフェイスで
の方向
グローバルでの方向
TCP 正規化
双方向
入力
TCP ステート バイパス
双方向
入力
ポリシーマップ内の機能照合
パケットがポリシーマップ内のクラスマップと照合される方法については、次の情報を参照してくださ
い。
1. パケットは、各機能タイプのポリシーマップで、1 つのクラスマップにのみ一致します。
2. パケットが機能タイプのクラスマップに一致した場合、適応型セキュリティ アプライアンスは、
その機能タイプの後続のクラスマップとは照合しません。
3. ただし、パケットが別の機能タイプの後続のクラスマップと一致した場合、適応型セキュリティ
アプライアンスは、後続のクラスマップのアクションも適用します（サポートされている場合）。
サポートされていない組み合せの詳細については、「特定の機能アクションの非互換性」（P.9-8）
を参照してください。
たとえば、パケットが接続制限値のクラスマップと一致し、アプリケーション検査のクラスマップとも
一致した場合、両方のクラスマップ アクションが適用されます。
パケットが HTTP 検査で 1 つのクラスマップと一致し、HTTP 検査を含む別のクラスマップとも一致
した場合、2 番目のクラスマップのアクションは適用されません。
（注）
アプリケーション検査には複数の検査タイプが含まれ、上記の照合ガイドラインの観点では、各検査タ
イプはそれぞれ独立した機能となります。
複数の機能アクションが適用される順序
ポリシーマップの各種のアクションが実行される順序は、ポリシーマップ中に出現する順序とは無関係
です。
（注）
NetFlow セキュア イベント ロギングのフィルタリングは、順序に関係なく実行されます。
アクションは次の順序で実行されます。
1. QoS 入力ポリシング
2. TCP の正規化、TCP と UDP の接続制限値とタイムアウト、TCP シーケンス番号のランダム化、
および TCP ステート バイパス
（注）
適応型セキュリティ アプライアンスがプロキシ サービス AAA や CSC など）を実行する場合、
または TCP ペイロード（FTP 検査など）を変更する場合、TCP ノーマライザはデュアル モー
ドで動作します。このモードでは、プロキシまたはペイロード変更サービスの前後にアクショ
ンが適用されます。
3. CSC
4. アプリケーション検査（複数タイプ）
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
9-6
OL-18970-01-J
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークに関する情報
トラフィック クラスが複数検査の対象として分類されるときに適用されるアプリケーション検査
の順序を次に示します。同じトラフィックに適用できる検査タイプは 1 つだけです。WAAS 検査
は他の検査とともに同じトラフィックに適用できるため、例外となります。詳細については、「特
定の機能アクションの非互換性」（P.9-8）を参照してください。
a. CTIQBE
b. DNS
c. FTP
d. GTP
e. H323
f. HTTP
g. ICMP
h. ICMP エラー
i. ILS
j. MGCP
k. NetBIOS
l. PPTP
m. Sun RPC
n. RSH
o. RTSP
p. SIP
q. Skinny
r. SMTP
s. SNMP
t. SQL*Net
u. TFTP
v. XDMCP
w. DCERPC
x. インスタント メッセージ
（注）
RADIUS アカウンティングは管理トラフィックでだけ許可されているため、上記一覧には
含まれていません。WAAS 検査は他の検査とともに設定して同じトラフィックに適用でき
るため、上記一覧には含まれていません。
5. IPS
6. QoS 出力ポリシング
7. QoS 標準プライオリティキュー
8. QoS トラフィック シェーピング、階層型プライオリティキュー
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
9-7
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークに関する情報
特定の機能アクションの非互換性
一部の機能は同じトラフィックに対して相互に互換性がありません。たとえば、QoS プライオリティ
キューイングと QoS ポリシングは同じトラフィックの集合に対して設定できません。また、ほとんどの
検査は別の検査と組み合せられないため、同じトラフィックに複数の検査を設定しても、適応型セキュ
リティ アプライアンスは 1 つの検査だけを適用します。この場合、適用される機能は、「複数の機能ア
クションが適用される順序」（P.9-6）で示されているリストの中の高プライオリティ機能となります。
各機能の互換性については、その機能を扱っている章または項を参照してください。
（注）
デフォルト グローバル ポリシーで使用される match default-inspection-traffic コマンドは、デフォル
ト ポートをすべての検査と照合する特別な CLI ショートカットです。ポリシーマップで使用すると、
このクラスマップでは、トラフィックの宛先ポートに基づいて、各パケットに正しい検査が適用されま
す。たとえば、宛先がポート 69 の UDP トラフィックが適応型セキュリティ アプライアンスに到達す
ると、適応型セキュリティ アプライアンスは TFTP 検査を適用し、宛先がポート 21 の TCP トラ
フィックが到着すると、適応型セキュリティ アプライアンスは FTP 検査を適用します。そのため、こ
の場合に限って同じクラスマップに複数の検査を設定できます。通常、適応型セキュリティ アプライ
アンスは、ポート番号を使用して適用する検査を決定しないため、標準以外のポートなどにも柔軟に検
査を適用できます。
誤った設定例は、同じポリシーマップに複数の検査を設定しても、default-inspection-traffic ショート
カットを使用しないことです。例 9-1 では、ポート 21 宛てのトラフィックが、FTP 検査と HTTP 検査
の両方に誤って設定されています。例 9-2 では、ポート 80 宛てのトラフィックが、FTP 検査と HTTP
検査の両方に誤って設定されています。どちらの誤った設定例の場合も、FTP 検査だけが適用されて
います。これは、適用された検査の順序では、FTP が HTTP よりも先になるためです。
例 9-1
FTP パケットの誤設定（HTTP 検査も設定されている）
class-map ftp
match port tcp eq 21
class-map http
match port tcp eq 21
policy-map test
class ftp
inspect ftp
class http
inspect http
例 9-2
[it should be 80]
HTTP パケットの誤設定（FTP 検査も設定されている）
class-map ftp
match port tcp eq 80
class-map http
match port tcp eq 80
policy-map test
class http
inspect http
class ftp
inspect ftp
[it should be 21]
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
9-8
OL-18970-01-J
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークのライセンス要件
複数のポリシーマップの場合の機能照合
TCP および UDP トラフィック（およびステートフル ICMP 検査がイネーブルの場合は ICMP）の場
合、モジュラ ポリシー フレームワークはトラフィック フローに対して作用し、個々のパケットに限定
されません。トラフィックが、1 つのインターフェイスのポリシーで定義されている機能に一致する既
存の接続の一部である場合、そのトラフィック フローを別のインターフェイスのポリシーにある同じ
機能と照合することはできません。最初のポリシーのみが使用されます。
たとえば、HTTP トラフィックが、HTTP トラフィックを検査する内部インターフェイスのポリシーと
一致するときに、HTTP 検査用の外部インターフェイスに別のポリシーがある場合、そのトラフィック
が外部インターフェイスの出力側でも検査されることはありません。同様に、その接続のリターン ト
ラフィックが外部インターフェイスの入力ポリシーによって検査されたり、内部インターフェイスの出
力ポリシーによって検査されたりすることもありません。
ステートフル ICMP 検査をイネーブルにしない場合の ICMP のように、フローとして扱われないトラ
フィックの場合は、リターン トラフィックを戻り側のインターフェイスの別のポリシーマップと照合
できます。たとえば、内部および外部のインターフェイスで IPS を設定するとき、内部ポリシーでは仮
想センサー 1 を使用するのに対して、外部ポリシーでは仮想センサー 2 を使用する場合、非ステートフ
ル ping は仮想センサー 1 の発信側を照合するだけでなく、仮想センサー 2 の着信側も照合します。
モジュラ ポリシー フレームワークのライセンス要件
モデル
ライセンス要件
すべてのモデル
基本ライセンス
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
コンテキスト モードのガイドライン
シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。
ファイアウォール モードのガイドライン
ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。
IPv6 のガイドライン
IPv6 は次の機能でサポートされています。
• FTP、HTTP、ICMP、SIP、SMTP および IPSec-pass-thru のアプリケーション検査
• IPS
• NetFlow セキュア イベント ロギングのフィルタリング
• TCP と UDP の接続制限値とタイムアウト、および TCP シーケンス番号のランダム化
• TCP 正規化
• TCP ステート バイパス
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
9-9
第9章
モジュラ ポリシー フレームワークの使用
デフォルト設定
クラスマップのガイドライン
すべてのタイプのクラスマップの最大数は、シングルモードで 255、またはマルチモードのコンテキス
トごとに 255 です。クラスマップには、次のタイプがあります。
• レイヤ 3/4 クラスマップ（通過トラフィックと管理トラフィック向け）
• 検査クラスマップ
• 正規表現クラスマップ
• 検査ポリシーマップ下で直接使用される match コマンド
また、この制限には、すべてのタイプのデフォルトのクラスマップが含まれています。「デフォルトの
クラスマップ」（P.9-11）を参照してください。
ポリシーマップのガイドライン
ポリシーマップを使用する場合は、次のガイドラインを参考にしてください。
• 各インターフェイスには、ポリシーマップを 1 つだけ割り当てることができます （ただし、設定
では最大 64 のポリシーマップを作成できます）。
• 同一のポリシーマップを複数のインターフェイスに適用できます。
• 1 つのレイヤ 3/4 ポリシーマップで複数のレイヤ 3/4 クラスマップを指定できます。
• クラスマップごとに、1 つ以上の機能タイプから複数のアクションを割り当てることができます
（サポートされている場合）。「特定の機能アクションの非互換性」（P.9-8）を参照してください。
サービス ポリシーのガイドライン
• インターフェイス サービス ポリシーは、特定の機能に対するグローバル サービス ポリシーより優
先されます。たとえば、FTP 検査のグローバル ポリシーと、TCP 正規化のインターフェイス ポリ
シーがある場合、FTP 検査と TCP 正規化の両方がインターフェイスに適用されます。これに対し、
FTP 検査のグローバル ポリシーと、FTP 検査のインターフェイス ポリシーがある場合は、イン
ターフェイス ポリシーの FTP 検査だけがインターフェイスに適用されます。
• 適用できるグローバル ポリシーは 1 つだけです。たとえば、機能セット 1 が含まれたグローバル
ポリシーと、機能セット 2 が含まれた別のグローバル ポリシーを作成できません。すべての機能
は 1 つのポリシーに含める必要があります。
デフォルト設定
モジュラ ポリシー フレームワークのデフォルト設定については、次の項目で説明します。
• 「デフォルト コンフィギュレーション」（P.9-10）
• 「デフォルトのクラスマップ」（P.9-11）
• 「デフォルトの検査ポリシーマップ」（P.9-12）
デフォルト コンフィギュレーション
デフォルトでは、すべてのデフォルト アプリケーション検査トラフィックに一致するポリシーがコン
フィギュレーションに含まれ、特定の検査がすべてのインターフェイスのトラフィックに適用されます
（グローバル ポリシー）。すべての検査がデフォルトでイネーブルになっているわけではありません。
適用できるグローバル ポリシーは 1 つだけなので、グローバル ポリシーを変更する場合は、デフォル
トのポリシーを編集するか、デフォルトのポリシーをディセーブルにして新しいポリシーを適用します
（特定の機能では、グローバル ポリシーはインターフェイス ポリシーより優先されます）。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
9-10
OL-18970-01-J
第9章
モジュラ ポリシー フレームワークの使用
デフォルト設定
デフォルト ポリシー コンフィギュレーションには、次のコマンドが含まれます。
class-map inspection_default
match default-inspection-traffic
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
service-policy global_policy global
（注）
デフォルトのクラスマップで使用される特別な match default-inspection-traffic コマンドの詳細につ
いては、「特定の機能アクションの非互換性」（P.9-8）を参照してください。
デフォルトのクラスマップ
コンフィギュレーションには、デフォルト グローバル ポリシーで適応型セキュリティ アプライアンス
が使用するデフォルトのレイヤ 3/4 クラスマップが含まれます。これは inspection_default と呼ばれ、
デフォルト検査トラフィックと一致します。
class-map inspection_default
match default-inspection-traffic
デフォルト グローバル ポリシーで使用される match default-inspection-traffic コマンドは、デフォル
ト ポートをすべての検査と照合する特別な CLI ショートカットです。ポリシーマップで使用すると、
このクラスマップでは、トラフィックの宛先ポートに基づいて、各パケットに正しい検査が適用されま
す。たとえば、宛先がポート 69 の UDP トラフィックが適応型セキュリティ アプライアンスに到達す
ると、適応型セキュリティ アプライアンスは TFTP 検査を適用し、宛先がポート 21 の TCP トラ
フィックが到着すると、適応型セキュリティ アプライアンスは FTP 検査を適用します。そのため、こ
の場合に限って同じクラスマップに複数の検査を設定できます。通常、適応型セキュリティ アプライ
アンスは、ポート番号を使用して適用する検査を決定しないため、標準以外のポートなどにも柔軟に検
査を適用できます。
デフォルト コンフィギュレーションにある別のクラスマップは、class-default と呼ばれ、すべてのト
ラフィックと一致します。
class-map class-default
match any
このクラスマップは、すべてのレイヤ 3/4 ポリシーマップの最後に表示され、原則的に、他のすべての
トラフィックでどんなアクションも実行しないように適応型セキュリティ アプライアンスに通知しま
す。必要であれば、独自の match any クラスマップを作成せずに、class-default クラスマップを使用
できます。実際のところ、class-default で使用可能な機能は、QoS トラフィック シェーピングなどの
一部の機能だけです。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
9-11
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの設定
デフォルトの検査ポリシーマップ
デフォルトの検査ポリシーマップ コンフィギュレーションには、次のコマンドが組み込まれています。
このコンフィギュレーションでは、DNS パケットの最大メッセージ長を 512 バイトに設定しています。
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
（注）
policy-map type inspect esmtp _default_esmtp_map など、他のデフォルトの検査ポリシーマップも
あります。これらのデフォルト ポリシーマップは、inspect protocol コマンドで暗黙的に作成されま
す。たとえば、inspect esmtp はポリシーマップ「_default_esmtp_map 」を暗黙的に使用します。すべ
てのデフォルト ポリシーマップは、show running-config all policy-map コマンドを使用して表示でき
ます。
モジュラ ポリシー フレームワークの設定
この項では、モジュラ ポリシー フレームワークを使用してセキュリティ ポリシーを設定する方法につ
いて説明します。次の項目を取り上げます。
• 「階層型ポリシーマップの設定のタスク フロー」（P.9-12）
• 「トラフィックの特定（レイヤ 3/4 クラスマップ）」（P.9-13）
• 「アプリケーション検査の特別なアクションの設定（検査ポリシーマップ）」（P.9-17）
• 「アクションの定義（レイヤ 3/4 ポリシーマップ）」（P.9-24）
• 「インターフェイスへのアクションの適用（サービス ポリシー）」（P.9-26）
階層型ポリシーマップの設定のタスク フロー
クラスマップで QoS トラフィック シェーピングをイネーブルにすると、オプションでシェーピングさ
れるトラフィックのサブセットに対するプライオリティ キューイングをイネーブルにできます。これ
を行うには、プライオリティ キューイングのポリシーマップを作成する必要があります。そうすると、
トラフィック シェーピングのポリシーマップ内で、プライオリティ クラスマップを呼び出すことがで
きます。インターフェイスに適用できるのは、トラフィック シェーピングのクラスマップだけです。
この機能の詳細については、第 55 章「QoS の概要」を参照してください。
階層型ポリシーマップは、トラフィック シェーピングとプライオリティ キューイングだけでサポート
されます。
階層型ポリシーマップを実装するには、次の手順を実行します。
ステップ 1
「トラフィックの特定（レイヤ 3/4 クラスマップ）」（P.9-13）の説明に従って、優先トラフィックを特
定します。
階層型ポリシーマップで使用される複数のクラスマップを作成できます。
ステップ 2
「アクションの定義（レイヤ 3/4 ポリシーマップ）」（P.9-24）の説明に従って、ポリシーマップを作成
し、各クラスマップに対する単独のアクションを priority として指定します。
ステップ 3
「アクションの定義（レイヤ 3/4 ポリシーマップ）」（P.9-24）の説明に従って、別のポリシーマップを
作成し、class-default クラスマップに shape アクションを指定します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
9-12
OL-18970-01-J
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの設定
トラフィック シェーピングは class-default クラスマップだけに適用できます。
ステップ 4
ステップ 5
同じクラスマップでは、手順 2 で作成したプライオリティ ポリシーマップを service-policy
priority_policy_map コマンドを使用して特定します。
「インターフェイスへのアクションの適用（サービス ポリシー）」（P.9-26）の説明に従って、シェーピ
ングのポリシーマップをインターフェイスに適用します。
トラフィックの特定（レイヤ 3/4 クラスマップ）
レイヤ 3/4 クラスマップにより、アクションを適用するレイヤ 3 および 4 のトラフィックを特定しま
す。1 つのレイヤ 3/4 ポリシーマップに複数のレイヤ 3/4 クラスマップを作成できます。
この項は、次の内容で構成されています。
• 「通過トラフィック用のレイヤ 3/4 クラスマップの作成」（P.9-13）
• 「管理トラフィック用のレイヤ 3/4 クラスマップの作成」（P.9-16）
通過トラフィック用のレイヤ 3/4 クラスマップの作成
レイヤ 3/4 クラスマップでは、プロトコル、ポート、IP アドレス、およびレイヤ 3 またはレイヤ 4 の他
のアトリビュートに基づいてトラフィックを照合します。
詳細な手順
ステップ 1
次のコマンドを入力して、レイヤ 3/4 クラスマップを作成します。
hostname(config)# class-map class_map_name
hostname(config-cmap)#
class_map_name は、最大 40 文字の文字列です。「class-default」という名前は予約されています。す
べてのタイプのクラスマップで同じ名前スペースが使用されるため、別のタイプのクラスマップですで
に使用されている名前は再度使用できません。CLI はクラスマップ コンフィギュレーション モードに
移行します。
ステップ 2
（オプション）次のコマンドを入力して、クラスマップの説明を追加します。
hostname(config-cmap)# description string
ステップ 3
次の特性のいずれかと照合して、クラスに含めるトラフィックを定義します。特に指定がない場合、ク
ラスマップに含めることができる match コマンドは 1 つだけです。
• 任意のトラフィック：クラスマップは、すべてのトラフィックと照合されます。
hostname(config-cmap)# match any
（注）
IPv6 をサポートする機能（「ガイドラインと制限事項」（P.9-9）を参照）では、IPv6 トラ
フィックを照合するコマンドは、match any コマンドと match default-inspection-traffic
コマンドだけです。たとえば、IPv6 アクセスリストで照合はできません。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
9-13
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの設定
• アクセスリスト：クラスマップは、拡張アクセスリストで指定されたトラフィックと照合されま
す。適応型セキュリティ アプライアンスが透過ファイアウォール モードで動作している場合は、
EtherType アクセスリストを使用できます。
hostname(config-cmap)# match access-list access_list_name
アクセスリストの作成の詳細については、第 11 章「拡張アクセスリストの追加」または第 12 章
「EtherType アクセスリストの追加」を参照してください。
Network Address Translation（NAT; ネットワークアドレス交換）を使用するアクセスリストの作
成の詳細については、「NAT 使用時にアクセスリストで使用する IP アドレス」（P.10-4）を参照し
てください。
• TCP または UDP 宛先ポート：クラスマップは、単一ポートまたは一定範囲の連続ポートと一致し
ます。
hostname(config-cmap)# match port {tcp | udp} {eq port_num | range port_num port_num}
ヒント 複数の非連続ポートを使用するアプリケーションに対しては、match access-list コマンドを使
用して、各ポートと一致する ACE を定義します。
指定できるポートのリストについては、「TCP ポートと UDP ポート」（P.C-12）を参照してくださ
い。
たとえば、ポート 80 の TCP パケット（HTTP）と一致させるには、次のコマンドを入力します。
hostname(config-cmap)# match tcp eq 80
• 検査用のデフォルト トラフィック：クラスマップは、適応型セキュリティ アプライアンスが検査で
きるすべてのアプリケーションで使用されるデフォルトの TCP および UDP ポートと一致します。
hostname(config-cmap)# match default-inspection-traffic
デフォルト グローバル ポリシーで使用されるこのコマンドは、ポリシーマップで使用されると、
トラフィックの宛先ポートに基づいて各パケットに正しい検査を適用する特別な CLI ショート
カットです。たとえば、宛先がポート 69 の UDP トラフィックが適応型セキュリティ アプライア
ンスに到達すると、適応型セキュリティ アプライアンスは TFTP 検査を適用し、宛先がポート 21
の TCP トラフィックが到着すると、適応型セキュリティ アプライアンスは FTP 検査を適用しま
す。そのため、この場合に限って同じクラスマップに複数の検査を設定できます（他の検査ととも
「特定の機能アク
に設定可能な WAAS 検査を除きます。アクションの組み合せの詳細については、
ションの非互換性」（P.9-8）を参照してください）。通常、適応型セキュリティ アプライアンスは、
ポート番号を使用して適用する検査を決定しないため、標準以外のポートなどにも柔軟に検査を適
用できます。
「デフォルト設定」
（P.40-4）を参照してください。match
デフォルト ポートのリストについては、
default-inspection-traffic コマンドにポートが含まれているすべてのアプリケーションが、ポリ
シーマップでデフォルトでイネーブルになっているわけではありません。
match access-list コマンドを match default-inspection-traffic コマンドとともに指定すると、一
致するトラフィックを絞り込むことができます。match default-inspection-traffic コマンドに
よって照合するポートとプロトコルが指定されるため、アクセスリストのポートとプロトコルはす
べて無視されます。
ヒント トラフィック検査は、アプリケーション トラフィックが発生するポートだけで行うことをお勧
めします。match any などを使用してすべてのトラフィックを検査すると、適応型セキュリ
ティ アプライアンスのパフォーマンスに影響が出る場合があります。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
9-14
OL-18970-01-J
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの設定
（注）
IPv6 をサポートする機能（「ガイドラインと制限事項」（P.9-9）を参照）では、IPv6 トラ
フィックを照合するコマンドは、match any コマンドと match default-inspection-traffic
コマンドだけです。たとえば、IPv6 アクセスリストで照合はできません。
• IP ヘッダーの DSCP 値：クラスマップは、最大 8 個の DSCP 値と一致します。
hostname(config-cmap)# match dscp value1 [value2] [...] [value8]
たとえば、次のように入力します。
hostname(config-cmap)# match dscp af43 cs1 ef
• 優先：クラスマップは、最大 4 個の優先値と一致します。プライオリティは、IP ヘッダーの TOS
バイトで表されます。
hostname(config-cmap)# match precedence value1 [value2] [value3] [value4]
value1 ～ value4 は 0 ～ 7 になります。この値は該当のプライオリティに対応します。
• RTP トラフィック：クラスマップは RTP トラフィックと照合されます。
hostname(config-cmap)# match rtp starting_port range
starting_port には、2000 ～ 65534 の偶数番号の UDP 宛先ポートを指定します。range には、
starting_port よりも上の追加 UDP ポートの数を 0 ～ 16383 で指定します。
• トンネルグループ トラフィック：クラスマップは、QoS を適用するトンネルグループのトラ
フィックと照合されます。
hostname(config-cmap)# match tunnel-group name
トラフィック照合を調整するために、match コマンドをもう 1 つ指定できます。上記のコマンド
のいずれかを指定できますが、match any、match access-list、および match
default-inspection-traffic コマンドは指定できません。次のコマンドを入力して、各フローをポリ
シングすることもできます。
hostname(config-cmap)# match flow ip destination address
固有の IP 宛先アドレスに向かうトラフィックは、すべてフローと見なされます。
例
次に、class-map コマンドの例を示します。
hostname(config)# access-list udp permit udp any any
hostname(config)# access-list tcp permit tcp any any
hostname(config)# access-list host_foo permit ip any 10.1.1.1 255.255.255.255
hostname(config)# class-map all_udp
hostname(config-cmap)# description "This class-map matches all UDP traffic"
hostname(config-cmap)# match access-list udp
hostname(config-cmap)# class-map all_tcp
hostname(config-cmap)# description "This class-map matches all TCP traffic"
hostname(config-cmap)# match access-list tcp
hostname(config-cmap)# class-map all_http
hostname(config-cmap)# description "This class-map matches all HTTP traffic"
hostname(config-cmap)# match port tcp eq http
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
9-15
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの設定
hostname(config-cmap)# class-map to_server
hostname(config-cmap)# description "This class-map matches all traffic to server 10.1.1.1"
hostname(config-cmap)# match access-list host_foo
管理トラフィック用のレイヤ 3/4 クラスマップの作成
適応型セキュリティ アプライアンスへの管理トラフィックに対して、この種類のトラフィックに特有
のアクションの実行が必要になる場合があります。管理クラスマップを指定して、アクセスリストまた
は TCP や UDP のポートと照合できます。ポリシーマップの管理クラスマップで設定可能なアクショ
ンのタイプは、管理トラフィック専用です。「管理トラフィックでサポートされる機能」（P.9-2）を参
照してください。
詳細な手順
ステップ 1
次のコマンドを入力して、クラスマップを作成します。
hostname(config)# class-map type management class_map_name
hostname(config-cmap)#
class_map_name は、最大 40 文字の文字列です。「class-default」という名前は予約されています。す
べてのタイプのクラスマップで同じ名前スペースが使用されるため、別のタイプのクラスマップですで
に使用されている名前は再度使用できません。CLI はクラスマップ コンフィギュレーション モードに
移行します。
ステップ 2
（オプション）次のコマンドを入力して、クラスマップの説明を追加します。
hostname(config-cmap)# description string
ステップ 3
次の特性のいずれかと照合して、クラスに含めるトラフィックを定義します。クラスマップに含めるこ
とができる match コマンドは 1 つだけです。
• アクセスリスト：クラスマップは、拡張アクセスリストで指定されたトラフィックと照合されま
す。適応型セキュリティ アプライアンスが透過ファイアウォール モードで動作している場合は、
EtherType アクセスリストを使用できます。
hostname(config-cmap)# match access-list access_list_name
アクセスリストの作成の詳細については、第 11 章「拡張アクセスリストの追加」または第 12 章
「EtherType アクセスリストの追加」を参照してください。
NAT を使用するアクセスリストの作成の詳細については、「NAT 使用時にアクセスリストで使用
する IP アドレス」（P.10-4）を参照してください。
• TCP または UDP 宛先ポート：クラスマップは、単一ポートまたは一定範囲の連続ポートと一致し
ます。
hostname(config-cmap)# match port {tcp | udp} {eq port_num | range port_num port_num}
ヒント 複数の非連続ポートを使用するアプリケーションに対しては、match access-list コマンドを使
用して、各ポートと一致する ACE を定義します。
指定できるポートのリストについては、
「TCP ポートと UDP ポート」
（P.C-12）を参照してください。
たとえば、ポート 80 の TCP パケット（HTTP）と一致させるには、次のコマンドを入力します。
hostname(config-cmap)# match tcp eq 80
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
9-16
OL-18970-01-J
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの設定
アプリケーション検査の特別なアクションの設定（検査ポリシーマップ）
モジュラ ポリシー フレームワークでは、多くのアプリケーション検査で実行される特別なアクション
を設定できます。レイヤ 3/4 ポリシーマップで検査エンジンをイネーブルにする場合は、検査ポリシー
マップで定義されるアクションを必要に応じてイネーブルにすることもできます。検査ポリシーマップ
が、検査アクションを定義したレイヤ 3/4 クラスマップ内のトラフィックと一致すると、トラフィック
のそのサブセットが指定したとおりに動作します（たとえば、ドロップやレート制限など）。
この項は、次の内容で構成されています。
• 「検査ポリシーマップのアクションの定義」（P.9-17）
• 「検査クラスマップ内のトラフィックの特定」（P.9-20）
• 「正規表現の作成」（P.9-21）
• 「正規表現クラスマップの作成」（P.9-24）
検査ポリシーマップのアクションの定義
レイヤ 3/4 ポリシーマップで検査エンジンをイネーブルにする場合は、検査ポリシーマップで定義され
るアクションを必要に応じてイネーブルにすることもできます。
制限事項
ポリシーマップには、複数の class コマンドまたは match コマンドを指定できます。
1 つのパケットが複数の異なる match コマンドまたは class コマンドと一致する場合、適応型セキュリ
ティ アプライアンス がアクションを適用する順序は、ポリシーマップにアクションが追加された順序
ではなく、適応型セキュリティ アプライアンスの内部規則によって決まります。内部規則は、アプリ
ケーションのタイプとパケット解析の論理的進捗によって決まり、ユーザが設定することはできませ
ん。HTTP トラフィックの場合、Request Method フィールドの解析が Header Host Length フィールド
の解析よりも先に行われ、Request Method フィールドに対するアクションは Header Host Length
フィールドに対するアクションより先に行われます。たとえば、次の match コマンドは任意の順序で
入力できますが、match request method get コマンドが最初に照合されます。
match request header host length gt 100
reset
match request method get
log
アクションがパケットをドロップすると、検査ポリシーマップではそれ以降のアクションは実行されま
せん。たとえば、最初のアクションが接続のリセットである場合、それ以降の match コマンドまたは
class コマンドとの照合は行われません。最初のアクションがパケットのログへの記録である場合、接
続のリセットなどの 2 番目のアクションは実行されます （同じ match または class コマンドで、reset
（または drop-connection など）と log の両方のアクションを設定できます。この場合パケットは、指
定された照合でリセットされる前にログに記録されます）。
パケットが、同じ複数の match コマンドまたは class コマンドと照合される場合は、ポリシーマップ内
のそれらのコマンドの順序に従って照合されます。たとえば、ヘッダーの長さが 1001 のパケットの場
合は、次に示す最初のコマンドと照合されてログに記録され、それから 2 番目のコマンドと照合されて
リセットされます。2 つの match コマンドの順序を逆にすると、2 番目の match コマンドとの照合前
にパケットのドロップと接続のリセットが行われ、ログには記録されません。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
9-17
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの設定
match request header length gt 100
log
match request header length gt 1000
reset
クラスマップは、そのクラスマップ内で重要度が最低の match コマンド（重要度は、内部規則に基づ
きます）に基づいて、別のクラスマップまたは match コマンドと同じタイプであると判断されます。
クラスマップに、別のクラスマップと同じタイプの重要度が最低の match コマンドがある場合、それ
らのクラスマップはポリシーマップに追加された順序で照合されます。クラスマップごとに最低重要度
のコマンドが異なる場合は、最高重要度の match コマンドを持つクラスマップが最初に照合されます。
たとえば、次の 3 つのクラスマップには、match request-cmd（高重要度）と match filename（低重
要度）という 2 つのタイプの match コマンドがあります。ftp3 クラスマップには両方のコマンドが含
まれていますが、最低重要度のコマンドである match filename に従ってランク付けされています。
ftp1 クラスマップには最高重要度のコマンドがあるため、ポリシーマップ内での順序に関係なく最初に
照合されます。ftp3 クラスマップは ftp2 クラスマップと同じ重要度としてランク付けされており、
match filename コマンドも含まれています。これらのクラスマップの場合、ポリシーマップ内での順
序に従い、ftp3 が照合されてから ftp2 が照合されます。
class-map type inspect ftp match-all ftp1
match request-cmd get
class-map type inspect ftp match-all ftp2
match filename regex abc
class-map type inspect ftp match-all ftp3
match request-cmd get
match filename regex abc
policy-map type inspect ftp ftp
class ftp3
log
class ftp2
log
class ftp1
log
詳細な手順
ステップ 1
ステップ 2
（オプション）「検査クラスマップ内のトラフィックの特定」（P.9-20）の説明に従って、検査クラス
マップを作成します。または、ポリシーマップ内でトラフィックを直接特定できます。
検査ポリシーマップを作成するには、次のコマンドを入力します。
hostname(config)# policy-map type inspect application policy_map_name
hostname(config-pmap)#
検査ポリシーマップをサポートするアプリケーションのリストについては、
「アプリケーション レイヤ
プロトコル検査の設定」（P.40-6）を参照してください。
policy_map_name 引数は、最大 40 文字のポリシーマップ名です。すべてのタイプのポリシーマップで
同じ名前スペースが使用されるため、別のタイプのポリシーマップですでに使用されている名前は再度
使用できません。CLI はポリシーマップ コンフィギュレーション モードに入ります。
ステップ 3
一致したトラフィックにアクションを適用するには、次の手順を実行します。
（注）
複数の class コマンドや match コマンドを含める方法については、「制限事項」（P.9-17）を参
照してください。
a. 次のいずれかの方法を使用して、アクションを実行するトラフィックを指定します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
9-18
OL-18970-01-J
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの設定
• 次のコマンドを入力して、「検査クラスマップ内のトラフィックの特定」（P.9-20）で作成した
検査クラスマップを指定します。
hostname(config-pmap)# class class_map_name
hostname(config-pmap-c)#
すべてのアプリケーションが検査クラスマップをサポートするわけではありません。
• 適用可能な検査の章でアプリケーションごとに説明されている match コマンドの 1 つを使用
して、ポリシーマップで直接トラフィックを指定します。match not コマンドを使用すると、
match not コマンドの基準に一致するすべてのトラフィックにアクションは適用されません。
b. 次のコマンドを入力して、一致したトラフィックに対して実行するアクションを指定します。
hostname(config-pmap-c)# {[drop [send-protocol-error] |
drop-connection [send-protocol-error]| mask | reset] [log] | rate-limit message_rate}
それぞれのアプリケーションですべてのオプションを設定できるわけではありません。アプリケー
ションに固有の他のアクションも適用可能な場合があります。使用可能な実際のオプションについ
ては、該当する検査の章を参照してください。
drop キーワードを指定すると、一致するすべてのパケットをドロップします。
send-protocol-error キーワードを指定すると、プロトコル エラー メッセージを送信します。
drop-connection キーワードを指定すると、パケットをドロップし、接続を閉じます。
mask キーワードを指定すると、パケットの一致部分をマスクします。
reset キーワードを指定すると、パケットをドロップして接続を閉じ、サーバとクライアントの両
方またはいずれかに TCP リセットを送信します。
log キーワードを指定すると、システム ログ メッセージを送信します。このキーワードは単独で、
または他のキーワードのいずれかと一緒に使用できます。
rate-limit message_rate 引数では、メッセージのレートを制限します。
ステップ 4
検索エンジンに影響するパラメータを設定するには、次のコマンドを入力します。
hostname(config-pmap)# parameters
hostname(config-pmap-p)#
CLI はパラメータ コンフィギュレーション モードに移行します。各アプリケーションで設定可能なパ
ラメータについては、該当する検査の章を参照してください。
例
次の例では、HTTP 検査ポリシーマップとその関連クラスマップを示します。このポリシーマップは、
サービス ポリシーがイネーブルにするレイヤ 3/4 ポリシーマップによってアクティブになります。
hostname(config)# regex url_example example¥.com
hostname(config)# regex url_example2 example2¥.com
hostname(config)# class-map type regex match-any URLs
hostname(config-cmap)# match regex url_example
hostname(config-cmap)# match regex url_example2
hostname(config-cmap)#
hostname(config-cmap)#
hostname(config-cmap)#
hostname(config-cmap)#
class-map type inspect http match-all http-traffic
match req-resp content-type mismatch
match request body length gt 1000
match not request uri regex class URLs
hostname(config-cmap)# policy-map type inspect http http-map1
hostname(config-pmap)# class http-traffic
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
9-19
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの設定
hostname(config-pmap-c)#
hostname(config-pmap-c)#
hostname(config-pmap-c)#
hostname(config-pmap-c)#
hostname(config-pmap-p)#
drop-connection log
match req-resp content-type mismatch
reset log
parameters
protocol-violation action log
hostname(config-pmap-p)# policy-map test
hostname(config-pmap)# class test (a Layer 3/4 class
hostname(config-pmap-c)# inspect http http-map1
map not shown)
hostname(config-pmap-c)# service-policy test interface outside
検査クラスマップ内のトラフィックの特定
このタイプのクラスマップを使用して、アプリケーション固有の基準と照合できます。たとえば DNS
トラフィックの場合は、DNS クエリー内のドメイン名と照合可能です。
クラスマップは、複数のトラフィック照合をグループ化します（match-all クラスマップ）。あるいはク
ラスマップで、照合リストのいずれかを照合できます（match-any クラスマップ）。クラスマップを作
成することと、検査ポリシーマップ内で直接トラフィック照合を定義することの違いは、クラスマップ
を使用して複数の match コマンドをグループ化できる点と、クラスマップを再使用できる点です。こ
のクラスマップで指定するトラフィックに対しては、検査ポリシーマップで、接続のドロップ、リセッ
ト、またはロギングなどのアクションを指定できます。タイプの異なるトラフィックで異なるアクショ
ンを実行する場合は、ポリシーマップで直接トラフィックを指定してください。
制限事項
すべてのアプリケーションが検査クラスマップをサポートするわけではありません。サポートされるア
プリケーションのリストについては、class-map type inspect の CLI ヘルプを参照してください。
詳細な手順
ステップ 1
ステップ 2
（オプション）正規表現に基づいた照合を行う場合は、「正規表現の作成」（P.9-21）および「正規表現
クラスマップの作成」（P.9-24）を参照してください。
次のコマンドを入力して、クラスマップを作成します。
hostname(config)# class-map type inspect application [match-all | match-any]
class_map_name
hostname(config-cmap)#
application は、検査対象のアプリケーションです。サポートされるアプリケーションのリストについ
ては、CLI ヘルプまたは第 40 章「アプリケーション レイヤ プロトコル検査の準備」を参照してくださ
い。
class_map_name 引数は、最大 40 文字のクラスマップ名です。
match-all キーワードはデフォルトです。トラフィックがクラスマップと一致するには、すべての基準
と一致する必要があることを指定します。
match-any キーワードは、トラフィックが少なくとも基準の 1 つに一致したらクラスマップと一致す
ることを指定します。
CLI がクラスマップ コンフィギュレーション モードに入り、1 つ以上の match コマンドを入力できま
す。
ステップ 3
（オプション）クラスマップに説明を追加するには、次のコマンドを使用します。
hostname(config-cmap)# description string
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
9-20
OL-18970-01-J
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの設定
ステップ 4
アプリケーションで使用可能な 1 つ以上の match コマンドを入力して、クラスに含めるトラフィック
を定義します。
クラスマップと照合しないトラフィックを指定するには、match not コマンドを使用します。たとえ
ば、match not コマンドで文字列「example.com」を指定すると、「example.com」が含まれるすべて
のトラフィックはクラスマップと照合されません。
各アプリケーションで使用可能な match コマンドについては、該当する検査の章を参照してください。
例
次の例では、すべての基準に一致する必要がある HTTP クラスマップを作成します。
hostname(config-cmap)#
hostname(config-cmap)#
hostname(config-cmap)#
hostname(config-cmap)#
class-map type inspect http match-all http-traffic
match req-resp content-type mismatch
match request body length gt 1000
match not request uri regex class URLs
次の例では、基準のいずれかに一致する必要がある HTTP クラスマップを作成します。
hostname(config-cmap)#
hostname(config-cmap)#
hostname(config-cmap)#
hostname(config-cmap)#
class-map type inspect http match-any monitor-http
match request method get
match request method put
match request method post
正規表現の作成
正規表現は、文字通りの文字列そのものとして、またはメタ文字を使用してテキスト文字列と照合され
るため、さまざまなテキスト文字列と一致できます。正規表現を使用して特定のアプリケーション トラ
フィックの内容と照合できます。たとえば、HTTP パケット内部の URL 文字列と照合できます。
ガイドライン
疑問符（?）やタブなど、CLI の特殊文字をすべてエスケープするには、Ctrl+V を使用します。たと
えば、コンフィギュレーションで d?g と入力するには、d[Ctrl+V]?g とキー入力します。
正規表現をパケットと照合する場合のパフォーマンスへの影響については、『Cisco ASA 5500 Series
Command Reference』の regex コマンドを参照してください。
（注）
最適化のため、適応型セキュリティ アプライアンスは難読化解除された URL を検索します。難読化解
除により、複数のスラッシュ（/）を 1 つのスラッシュに圧縮します。「http://」のように二重スラッ
シュを使用する文字列の場合は、代わりに「http:/」で検索してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
9-21
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの設定
表 9-3 に、特殊な意味を持つメタ文字の一覧を示します。
表 9-3
regex のメタ文字
文字
説明
注
.
ドット
任意の 1 文字と一致します。たとえば d.g と指定する
と、dog、dag、dtg、および doggonnit のようにそれら
の文字を含むすべての単語と一致します。
(exp)
サブ表現
サブ表現では、カッコ内の文字とカッコ外の文字が分
離されるため、サブ表現で他のメタ文字を使用できま
す。たとえば、d(o|a)g とすると dog および dag と一致
しますが、do|ag の場合は do および ag と一致します。
サブ表現を繰り返しの数量詞と一緒に使用して、繰り
返される文字を区別することもできます。たとえば、
ab(xy){3}z は abxyxyxyz と一致します。
|
二者択一
この文字の左右いずれかの側の表現と一致します。た
とえば、dog|cat は dog または cat と一致します。
?
疑問符
直前の表現が 0 または 1 つあることを示す数量詞。た
とえば、lo?se は lse または lose と一致します。
（注）
Ctrl+V と入力してから疑問符を入力する必要
があります。そうしないと、ヘルプ機能が呼び
出されます。
*
アスタリスク
直前の表現が 0、1 つ、または任意の数存在することを
示す数量詞。たとえば、lo*se は、lse、lose、loose な
どと一致します。
+
プラス記号
直前の表現が少なくとも 1 つ存在することを示す数量
詞。たとえば、lo+se は lose や loose と一致しますが、
lse とは一致しません。
{x} また
は {x,}
[abc]
最小繰り返し数量詞
少なくとも x 回繰り返します。たとえば、ab(xy){2,}z
は abxyxyz や abxyxyxyz などと一致します。
文字クラス
カッコ内のいずれかの文字と一致します。たとえば、
[abc] は a、b、または c と一致します。
[^abc]
否定の文字クラス
カッコ内に入っていない 1 文字と一致します。たとえ
ば、[^abc] は、a、b、c 以外の任意の文字と一致しま
す。[^A-Z] は、大文字以外の任意の 1 文字と一致しま
す。
[a-c]
文字範囲クラス
範囲内の任意の文字と一致します。[a-z] は、任意の小
文字と一致します。文字と範囲を混合させることがで
きます。たとえば、[abcq-z] は a、b、c、q、r、s、t、
u、v、w、x、y、z と一致し、[a-cq-z] と指定しても同
じ結果になります。
ダッシュ（-）文字は、[abc-] や [-abc] のように、カッ
コ内の最後または最初になっている場合に限り、文字
どおりの意味で使用されます。
""
引用符
文字列内の末尾または先頭にあるスペースを保持しま
す。たとえば、" test" とすると、一致を検索するとき
に先頭のスペースを維持します。
^
カレット
行の先頭を指定します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
9-22
OL-18970-01-J
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの設定
表 9-3
regex のメタ文字 （続き）
文字
説明
注
\
エスケープ文字
メタ文字と併用すると、文字どおりの文字と一致しま
す。たとえば、\[ は左角カッコ（[）と一致します。
char
文字
文字がメタ文字でない場合は、文字通りの文字と一致
します。
\r
復帰
復帰 0x0d と一致します。
\n
改行
改行 0x0a と一致します。
\t
タブ
タブ 0x09 と一致します。
\f
改ページ
改ページ 0x0c と一致します。
\xNN
エスケープされた 16 進数
16 進数（正確に 2 桁）を使用する ASCII 文字と一致し
ます。
\NNN
エスケープされた 8 進数
8 進数（正確に 3 桁）としての ASCII 文字と一致しま
す。たとえば、文字 040 はスペースを表します。
詳細な手順
ステップ 1
正規表現をテストして、一致するはずの対象と一致することを確認するには、次のコマンドを入力しま
す。
hostname(config)# test regex input_text regular_expression
input_text 引数は、正規表現を使用して照合する、長さが最大で 201 文字の文字列です。
regular_expression 引数の長さは、最大 100 文字です。
Ctrl+V を使用して、CLI の特殊文字をすべてエスケープします。たとえば、test regex コマンドの入
力テキストにタブを入力するには、test regex "test[Ctrl+V Tab]" "test\t" と入力する必要がありま
す。
正規表現が入力テキストと一致すると、次のメッセージが表示されます。
INFO: Regular expression match succeeded.
正規表現が入力テキストと一致しない場合は、次のメッセージが表示されます。
INFO: Regular expression match failed.
ステップ 2
テスト後に正規表現を追加するには、次のコマンドを入力します。
hostname(config)# regex name regular_expression
name 引数の長さは、最大 40 文字です。
regular_expression 引数の長さは、最大 100 文字です。
例
次の例では、検査ポリシーマップで使用する正規表現を 2 つ作成します。
hostname(config)# regex url_example example¥.com
hostname(config)# regex url_example2 example2¥.com
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
9-23
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの設定
正規表現クラスマップの作成
正規表現クラスマップで、1 つ以上の正規表現を指定します。正規表現クラスマップを使用して、特定
のトラフィックの内容を照合できます。たとえば、HTTP パケット内の URL 文字列の照合が可能で
す。
詳細な手順
ステップ 1
ステップ 2
「正規表現の作成」の項の説明に従って、正規表現を 1 つ以上作成します。
次のコマンドを入力して、クラスマップを作成します。
hostname(config)# class-map type regex match-any class_map_name
hostname(config-cmap)#
class_map_name は、最大 40 文字の文字列です。「class-default」という名前は予約されています。す
べてのタイプのクラスマップで同じ名前スペースが使用されるため、別のタイプのクラスマップですで
に使用されている名前は再度使用できません。
match-any キーワードにより、トラフィックが少なくとも 1 つの正規表現と一致する場合には、その
トラフィックがクラスマップと一致するように指定します。
CLI はクラスマップ コンフィギュレーション モードに移行します。
ステップ 3
（オプション）次のコマンドを入力して、クラスマップの説明を追加します。
hostname(config-cmap)# description string
ステップ 4
正規表現ごとに次のコマンドを入力して、クラスマップに含める正規表現を指定します。
hostname(config-cmap)# match regex regex_name
例
次の例では、2 つの正規表現を作成して正規表現クラスマップに追加しています。トラフィックに文字
列「example.com」または「example2.com」が含まれている場合に、クラスマップと一致します。
hostname(config)# regex url_example example¥.com
hostname(config)# regex url_example2 example2¥.com
hostname(config)# class-map type regex match-any URLs
hostname(config-cmap)# match regex url_example
hostname(config-cmap)# match regex url_example2
アクションの定義（レイヤ 3/4 ポリシーマップ）
この項では、レイヤ 3/4 ポリシーマップを作成して、アクションをレイヤ 3/4 クラスマップに関連付け
る方法について説明します。
制限事項
ポリシーマップの最大数は 64 ですが、各インターフェイスには、ポリシーマップを 1 つだけ適用でき
ます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
9-24
OL-18970-01-J
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの設定
詳細な手順
ステップ 1
次のコマンドを入力して、ポリシーマップを追加します。
hostname(config)# policy-map policy_map_name
policy_map_name 引数は、最大 40 文字のポリシーマップ名です。すべてのタイプのポリシーマップで
同じ名前スペースが使用されるため、別のタイプのポリシーマップですでに使用されている名前は再度
使用できません。CLI はポリシーマップ コンフィギュレーション モードに入ります。
ステップ 2
（オプション）ポリシーマップの説明を指定します。
hostname(config-pmap)# description text
ステップ 3
次のコマンドを使用して、設定済みのレイヤ 3/4 クラスマップを指定します。
hostname(config-pmap)# class class_map_name
class_map_name は、前に作成したクラスマップの名前です。クラスマップを追加するには、「トラ
フィックの特定（レイヤ 3/4 クラスマップ）」（P.9-13）を参照してください。
ステップ 4
このクラスマップに、1 つ以上のアクションを指定します。「通過トラフィックでサポートされる機能」
（P.9-2）を参照してください。
（注）
クラスマップに match default_inspection_traffic コマンドがない場合、そのクラスに最大 1
つの inspect コマンドを設定できます。
QoS では、トラフィック シェーピング機能とプライオリティ キュー機能に階層型ポリシー
マップを設定できます。詳細については、「階層型ポリシーマップの設定のタスク フロー」
（P.9-12）を参照してください。
ステップ 5
このポリシーマップに含めるクラスマップごとに、ステップ 3 とステップ 4 を繰り返します。
例
接続ポリシーの policy-map コマンドの例を次に示します。このコマンドは、Web サーバ 10.1.1.1 への
接続許可数を制限します。
hostname(config)# access-list http-server permit tcp any host 10.1.1.1
hostname(config)# class-map http-server
hostname(config-cmap)# match access-list http-server
hostname(config)# policy-map global-policy
hostname(config-pmap)# description This policy map defines a policy concerning connection
to http server.
hostname(config-pmap)# class http-server
hostname(config-pmap-c)# set connection conn-max 256
次の例は、ポリシーマップでの複数の照合の動作を示しています。
hostname(config)# class-map inspection_default
hostname(config-cmap)# match default-inspection-traffic
hostname(config)# class-map http_traffic
hostname(config-cmap)# match port tcp eq 80
hostname(config)# policy-map outside_policy
hostname(config-pmap)# class inspection_default
hostname(config-pmap-c)# inspect http http_map
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
9-25
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの設定
hostname(config-pmap-c)# inspect sip
hostname(config-pmap)# class http_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:10:0
次の例は、トラフィックが最初の利用可能なクラスマップと一致した場合に、同じ機能ドメインのアク
ションが指定されている後続のクラスマップと照合されないことを示しています。
hostname(config)# class-map telnet_traffic
hostname(config-cmap)# match port tcp eq 23
hostname(config)# class-map ftp_traffic
hostname(config-cmap)# match port tcp eq 21
hostname(config)# class-map tcp_traffic
hostname(config-cmap)# match port tcp range 1 65535
hostname(config)# class-map udp_traffic
hostname(config-cmap)# match port udp range 0 65535
hostname(config)# policy-map global_policy
hostname(config-pmap)# class telnet_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:0:0
hostname(config-pmap-c)# set connection conn-max 100
hostname(config-pmap)# class ftp_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:5:0
hostname(config-pmap-c)# set connection conn-max 50
hostname(config-pmap)# class tcp_traffic
hostname(config-pmap-c)# set connection timeout tcp 2:0:0
hostname(config-pmap-c)# set connection conn-max 2000
Telnet 接続は、開始時に class telnet_traffic と一致します。同様に FTP 接続は、開始時に class
ftp_traffic と一致します。Telnet および FTP 以外の TCP 接続の場合は、class tcp_traffic と一致しま
す。Telnet 接続または FTP 接続は class tcp_traffic と一致しますが、すでに他のクラスと一致してい
るため、適応型セキュリティ アプライアンスはこの照合を行いません。
インターフェイスへのアクションの適用（サービス ポリシー）
レイヤ 3/4 ポリシーマップをアクティブにするには、1 つ以上のインターフェイスに適用するサービス
ポリシー、またはすべてのインターフェイスにグローバルに適用するサービス ポリシーを作成します。
制限事項
適用できるグローバル ポリシーは 1 つだけです。
詳細な手順
• ポリシーマップとインターフェイスを関連付けてサービス ポリシーを作成するには、次のコマン
ドを入力します。
hostname(config)# service-policy policy_map_name interface interface_name
• 特定のポリシーを持たないすべてのインターフェイスに適用するサービス ポリシーを作成するに
は、次のコマンドを入力します。
hostname(config)# service-policy policy_map_name global
デフォルトでは、すべてのデフォルト アプリケーション検査トラフィックに一致するグローバル
ポリシーがコンフィギュレーションに含まれ、すべての検査がトラフィックにグローバルに適用さ
れます。適用できるグローバル ポリシーは 1 つだけなので、グローバル ポリシーを変更する場合
は、デフォルトのポリシーを編集するか、デフォルトのポリシーをディセーブルにして新しいポリ
シーを適用します。
デフォルト サービス ポリシーには、次のコマンドが含まれます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
9-26
OL-18970-01-J
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの監視
service-policy global_policy global
例
たとえば、次のコマンドは、外部インターフェイスで inbound_policy ポリシーマップをイネーブルに
します。
hostname(config)# service-policy inbound_policy interface outside
次のコマンドは、デフォルト グローバル ポリシーをディセーブルにし、他のすべての適応型セキュリ
ティ アプライアンス インターフェイスで新しいポリシー new_global_policy をイネーブルにします。
hostname(config)# no service-policy global_policy global
hostname(config)# service-policy new_global_policy global
モジュラ ポリシー フレームワークの監視
モジュラ ポリシー フレームワークを監視するには、次のコマンドを入力します。
コマンド
目的
show service-policy
サービス ポリシーの統計情報を表示します。
モジュラ ポリシー フレームワークの設定例
この項では、モジュラ ポリシー フレームワークの例をいくつか示します。次の項目を取り上げます。
• 「HTTP トラフィックへの検査と QoS ポリシングの適用」（P.9-28）
• 「HTTP トラフィックへの検査のグローバルな適用」（P.9-28）
• 「特定のサーバへの HTTP トラフィックに対する検査と接続制限値の適用」（P.9-29）
• 「NAT による HTTP トラフィックへの検査の適用」（P.9-30）
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
9-27
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの設定例
HTTP トラフィックへの検査と QoS ポリシングの適用
この例（図 9-1）では、外部インターフェイスを通過して適応型セキュリティ アプライアンスを出入り
するすべての HTTP 接続（ポート 80 の TCP トラフィック）が HTTP 検査対象として分類されます。
外部インターフェイスを出るすべての HTTP トラフィックがポリシング対象として分類されます。
HTTP 検査と QoS ポリシング
ǻǭȥȪȆǣ
ǢȗȩǤǢȳǹ
ࡐ࡯࠻ 80
A
ࡎࠬ࠻ A
ᬌᩏ
ࡐ࡝ࠪࡦࠣ
ࡐ࡯࠻ 80
ౝㇱ
ᬌᩏ
ᄖㇱ
ࡎࠬ࠻ B
143356
図 9-1
この例について、次のコマンドを参照してください。
hostname(config)# class-map http_traffic
hostname(config-cmap)# match port tcp eq 80
hostname(config)# policy-map http_traffic_policy
hostname(config-pmap)# class http_traffic
hostname(config-pmap-c)# inspect http
hostname(config-pmap-c)# police output 250000
hostname(config)# service-policy http_traffic_policy interface outside
HTTP トラフィックへの検査のグローバルな適用
この例（図 9-2）では、任意のインターフェイスを通過して適応型セキュリティ アプライアンスに入る
すべての HTTP 接続（ポート 80 の TCP トラフィック）が HTTP 検査対象として分類されます。この
ポリシーはグローバル ポリシーなので、検査が発生するのは各インターフェイスにトラフィックが
入ったときだけです。
グローバル HTTP 検査
ᬌᩏ
ǻǭȥȪȆǣ
ǢȗȩǤǢȳǹ
ࡐ࡯࠻ 80
A
ࡎࠬ࠻ A
ࡐ࡯࠻ 80 ᬌᩏ
ౝㇱ
ᄖㇱ
ࡎࠬ࠻ B
143414
図 9-2
この例について、次のコマンドを参照してください。
hostname(config)# class-map http_traffic
hostname(config-cmap)# match port tcp eq 80
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
9-28
OL-18970-01-J
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの設定例
hostname(config)# policy-map http_traffic_policy
hostname(config-pmap)# class http_traffic
hostname(config-pmap-c)# inspect http
hostname(config)# service-policy http_traffic_policy global
特定のサーバへの HTTP トラフィックに対する検査と接続制限値の適用
この例（図 9-3）では、外部インターフェイスを通過して適応型セキュリティ アプライアンスに入る
サーバ A 宛ての HTTP 接続（ポート 80 の TCP トラフィック）が HTTP 検査および最大接続数制限値
の対象として分類されます。サーバ A から発信されたホスト A への接続は、クラスマップのアクセス
リストと照合しないので、影響を受けません。
内部インターフェイスを通じて適応型セキュリティ アプライアンスに入るサーバ B 宛てのすべての
HTTP 接続は、HTTP 検査対象として分類されます。サーバ B から発信されたホスト B への接続は、
クラスマップのアクセスリストと照合しないので、影響を受けません。
図 9-3
特定のサーバに対する HTTP 検査と接続制限値
ࠨ࡯ࡃ A
ታ㓙ߩࠕ࠼࡟ࠬ㧦192.168.1.2
ࡑ࠶ࡇࡦࠣ ࠕ࠼࡟ࠬ㧦209.165.201.1
ǻǭȥȪȆǣ
ǢȗȩǤǢȳǹ ࡐ࡯࠻ 80
ᬌᩏ
ធ⛯ߩ⸳ቯ
ࡐ࡯࠻ 80
ᬌᩏ ౝㇱ
ࡎࠬ࠻ B
ታ㓙ߩࠕ࠼࡟ࠬ㧦192.168.1.1
ࡑ࠶ࡇࡦࠣ ࠕ࠼࡟ࠬ㧦209.165.201.2㧦ࡐ࡯࠻
ᄖㇱ
ࠨ࡯ࡃ B
209.165.200.227
143357
ࡎࠬ࠻ A
209.165.200.226
この例について、次のコマンドを参照してください。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
static (inside,outside) 209.165.201.1 192.168.1.2
nat (inside) 1 192.168.1.0 255.255.255.0
global (outside) 1 209.165.201.2
access-list serverA extended permit tcp any host 209.165.201.1 eq 80
access-list ServerB extended permit tcp any host 209.165.200.227 eq 80
hostname(config)# class-map http_serverA
hostname(config-cmap)# match access-list serverA
hostname(config)# class-map http_serverB
hostname(config-cmap)# match access-list serverB
hostname(config)# policy-map policy_serverA
hostname(config-pmap)# class http_serverA
hostname(config-pmap-c)# inspect http
hostname(config-pmap-c)# set connection conn-max 100
hostname(config)# policy-map policy_serverB
hostname(config-pmap)# class http_serverB
hostname(config-pmap-c)# inspect http
hostname(config)# service-policy policy_serverB interface inside
hostname(config)# service-policy policy_serverA interface outside
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
9-29
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの機能履歴
NAT による HTTP トラフィックへの検査の適用
この例では、ネットワーク内のホストに 2 つのアドレスがあります。1 つは、実際の IP アドレスの
192.168.1.1 です。もう 1 つは、外部ネットワークで使用するマッピング IP アドレスの
209.165.200.225 です。ポリシーは、実際のアドレスを使用する内部インターフェイスに適用されるた
め、クラスマップのアクセスリストでは、実際の IP アドレスを使用する必要があります。外部イン
ターフェイスに適用する場合は、マッピング アドレスを使用します。
図 9-4
NAT による HTTP 検査
ࡐ࡯࠻ 80
ᬌᩏ ౝㇱ
ᄖㇱ
ࡎࠬ࠻
ታ㓙ߩ IP㧦192.168.1.1
ࡑ࠶ࡇࡦࠣ IP㧦209.165.200.225
ࠨ࡯ࡃ
209.165.201.1
143416
ǻǭȥȪȆǣ
ǢȗȩǤǢȳǹ
この例について、次のコマンドを参照してください。
hostname(config)# static (inside,outside) 209.165.200.225 192.168.1.1
hostname(config)# access-list http_client extended permit tcp host 192.168.1.1 any eq 80
hostname(config)# class-map http_client
hostname(config-cmap)# match access-list http_client
hostname(config)# policy-map http_client
hostname(config-pmap)# class http_client
hostname(config-pmap-c)# inspect http
hostname(config)# service-policy http_client interface inside
モジュラ ポリシー フレームワークの機能履歴
表 9-4 に、この機能のリリース履歴の一覧を示します。
表 9-4
機能 1 の機能履歴
機能名
リリース
機能情報
モジュラ ポリシー フレームワーク
7.0(1)
モジュラ ポリシー フレームワークが導入されました。
RADIUS アカウンティング トラフィックで使
用する管理クラスマップ
7.2(1)
RADIUS アカウンティング トラフィックで使用する管理
クラスマップが導入されました。class-map type
management コマンドおよび inspect radius-accounting
コマンドが導入されました。
検査ポリシーマップ
7.2(1)
検査ポリシーマップが導入されました。class-map type
inspect コマンドが導入されました。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
9-30
OL-18970-01-J
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの機能履歴
表 9-4
機能 1 の機能履歴 （続き）
機能名
リリース
機能情報
正規表現およびポリシーマップ
7.2(1)
検査ポリシーマップで使用される正規表現およびポリシー
マップが導入されました。class-map type regex コマンド、
regex コマンド、および match regex コマンドが導入され
ました。
検査ポリシーマップの match any
8.0(2)
検査ポリシーマップで使用される match any キーワードが
導入されました。トラフィックを 1 つ以上の基準に照合し
てクラスマップに一致させることができます。以前は、
match all だけが使用可能でした。
管理トラフィックの最大接続数と初期接続数
8.0(2)
レイヤ 3/4 管理クラスマップ、to-the-security-appliance 管
理トラフィックに対して set connection コマンドが使用可
能になりました。conn-max と embryonic-conn-max キー
ワードだけが使用可能です。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
9-31
第9章
モジュラ ポリシー フレームワークの使用
モジュラ ポリシー フレームワークの機能履歴
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
9-32
OL-18970-01-J