PIX/ASA 7.X：デフォルト グローバル インスペクションを無効
にし、デフォルト以外のアプリケーション インスペクションを
有効にする
PIX/ASA 7.X：デフォルト グローバル インスペクションを無効にし、デフォルト以外のアプリケーション インスペクションを有
効にする
目次
概要
前提条件
要件
使用するコンポーネント
関連製品
表記法
デフォルトのグローバル ポリシー
アプリケーションのデフォルト グローバル インスペクションを無
効にする
デフォルト以外のアプリケーションのインスペクションを有効に
する
関連情報
概要
このドキュメントでは、アプリケーションのグローバル ポリシーからデフォルト インスペクションを削除する方法およびデフォ
ルト以外のアプリケーションのインスペクションを有効にする方法を説明します。
バージョン 8.3 以降の Cisco Adaptive Security Appliance（ASA）での ASDM を使用した同等な設定の詳細について『ASA
8.3.x 以降：デフォルト グローバル インスペクションの無効化と ASDM を使用したデフォルト以外のアプリケーション インス
ペクションの有効化』を参照してください。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
このドキュメントの情報は、7.x ソフトウェア イメージを実行している PIX セキュリティ アプライアンスに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用されるデバ
イスはすべて、初期設定（デフォルト）の状態から作業を開始しています。ネットワークが稼働中の場合は、コマンドが及ぼす潜
在的な影響を十分に理解しておく必要があります。
関連製品
この設定は、7.x ソフトウェア イメージを実行している適応型セキュリティ アプライアンス（ASA）でも使用できます。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
デフォルトのグローバル ポリシー
デフォルトでは、すべてのデフォルト アプリケーション インスペクション トラフィックに一致するポリシーが設定に含まれ、
特定のインスペクションがすべてのインターフェイスのトラフィックに適用されます（グローバル ポリシー）。すべてのインス
ペクションがデフォルトでイネーブルになっているわけではありません。適用できるグローバル ポリシーは 1 つだけです。グロ
ーバル ポリシーを変更する場合は、デフォルト ポリシーを編集するか無効にし、新しいポリシーを適用する必要があります。
（インターフェイス ポリシーはグローバル ポリシーに優先します）。
デフォルト ポリシー設定には、次のコマンドが含まれています。
class-map inspection_default
match default-inspection-traffic
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
service-policy global_policy global
アプリケーションのデフォルト グローバル インスペクションを無効にする
アプリケーションのグローバル インスペクションを無効にするには、inspect コマンドの no バージョンを使用します。
たとえば、セキュリティ アプライアンスでリッスンする FTP アプリケーションのグローバル インスペクションを削除するに
は、クラス コンフィギュレーション モードで no inspect ftp コマンドを使用します。
クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。設定を
削除するには、このコマンドの no 形式を使用します。
pixfirewall(config)#policy-map global_policy
pixfirewall(config-pmap)#class inspection_default
pixfirewall(config-pmap-c)#no inspect ftp
注：FTP インスペクションの詳細については、『PIX/ASA 7.x：FTP/TFTP サービスをイネーブルにする設定例』を参照してくださ
い。
デフォルト以外のアプリケーションのインスペクションを有効にする
拡張 HTTP インスペクションは、デフォルトではディセーブルになっています。
HTTP アプリケーション インスペクションを有効にするか、セキュリティ アプライアンスでリッスンするポートを変更するに
は、クラス コンフィギュレーション モードで inspect http コマンドを使用します。
クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。設定を
削除するには、このコマンドの no 形式を使用します。
inspect http コマンドを http-map 引数と組み合わせて使用した場合は、特定の攻撃および HTTP トラフィックに関連する可能
性のあるその他の脅威から保護されます。
inspect http コマンドと一緒に http-map 引数を使用する方法の詳細については、『inspect ctiqbe コマンドから inspect
xdmcp コマンド』の「inspect http」セクションを参照してください。
注：一部の URL で二重エンコードが使用されていると、ここに示すエラー メッセージが表示されます。このタイプの Web サイ
トへのアクセスを許可する必要がある場合は、厳密な HTTP インスペクションを無効にすることにより、この問題を解決できま
す。
"%PIX-4-415012:15 HTTP Deobfuscation signature detected - Reset HTTP deobfuscation
detected IDS evasion technique from x.x.x.x to y.y.y.y
注：ここで、x.x.x.x および y.y.y.y は IP アドレスを表します。
この例では、任意のインターフェイスを通過してセキュリティ アプライアンスに入るすべての HTTP 接続（ポート 80 の TCP ト
ラフィック）が HTTP インスペクション対象として分類されます。このポリシーはグローバル ポリシーであるため、インスペク
ションが発生するのは各インターフェイスにトラフィックが入ったときだけです。
hostname(config)#class-map http_traffic
hostname(config-cmap)#match port tcp eq 80
hostname(config)#policy-map http_traffic_policy
hostname(config-pmap)#class http_traffic
hostname(config-pmap-c)#inspect http
hostname(config)#service-policy http_traffic_policy global
この例では、セキュリティ アプライアンスを出入りする HTTP 接続（ポート 80 の TCP トラフィック）で外部インターフェイス
を通過するすべての接続が HTTP インスペクション対象として分類されます。
hostname(config)#class-map http_traffic
hostname(config-cmap)#match port tcp eq 80
hostname(config)#policy-map http_traffic_policy
hostname(config-pmap)#class http_traffic
hostname(config-pmap-c)#inspect http
hostname(config)#service-policy http_traffic_policy interface outside
次に、HTTP トラフィックを識別し、HTTP マップを定義して、ポリシーを定義し、外部インターフェイスにポリシーを適用する例
を示します。
hostname(config)#class-map http-port
hostname(config-cmap)#match port tcp eq 80
hostname(config-cmap)#exit
hostname(config)#http-map inbound_http
hostname(config-http-map)#content-length min 100 max 2000 action reset log
hostname(config-http-map)#content-type-verification match-req-rsp reset log
hostname(config-http-map)#max-header-length request bytes 100 action log reset
hostname(config-http-map)#max-uri-length 100 action reset log
hostname(config-http-map)#exit
hostname(config)#policy-map inbound_policy
hostname(config-pmap)#class http-port
hostname(config-pmap-c)#inspect http inbound_http
hostname(config-pmap-c)#exit
hostname(config-pmap)#exit
hostname(config)#service-policy inbound_policy interface outside
関連情報
Cisco PIX ファイアウォール ソフトウェア（英語）
Requests for Comments (RFCs)
Cisco PIX 500 シリーズ セキュリティ アプライアンス（英語）
セキュリティ製品に関する Field Notice（PIX を含む）（英語）
アプリケーション層プロトコル検査の適用（英語）
Cisco Secure PIX ファイアウォール コマンド リファレンス（英語）
Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス（英語）
テクニカルサポートとドキュメント：シスコ
1992 - 2014 Cisco Systems, Inc. All rights reserved.
Updated: 2012 年 12 月 18 日
http://www.cisco.com/cisco/web/support/JP/111/1116/1116803_mpf-j.html
Document ID: 91891