セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA/PIX 7.X: ASDM を使用したデフォルトのグローバル検査の無効化およびデフォルト以外のアプリケーション検査の有効化

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、アプリケーションのグローバル ポリシーからデフォルト インスペクションを削除する方法およびデフォルト以外のアプリケーションのインスペクションを有効にする方法を説明します。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

この文書に記載されている情報は Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)にその実行 7.x ソフトウェア イメージ基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

この設定も 7.x ソフトウェア イメージを実行する PIX セキュリティ アプライアンス モデルと使用することができます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

デフォルトのグローバル ポリシー

デフォルトでは、すべてのデフォルト アプリケーション インスペクション トラフィックに一致するポリシーが設定に含まれ、特定のインスペクションがすべてのインターフェイスのトラフィックに適用されます(グローバル ポリシー)。 すべてのインスペクションがデフォルトでイネーブルになっているわけではありません。 適用できるグローバル ポリシーは 1 つだけです。 グローバル ポリシーを変更する場合は、デフォルト ポリシーを編集するか無効にし、新しいポリシーを適用する必要があります。 (インターフェイス ポリシーはグローバル ポリシーに優先します)。

デフォルト ポリシー設定には、次のコマンドが含まれています。

class-map inspection_default
 match default-inspection-traffic
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
service-policy global_policy global

イネーブル デフォルト以外のアプリケーション インスペクション

Cisco ASA のデフォルト以外のアプリケーション インスペクションを有効に するためにこのプロシージャを完了して下さい:

  1. ASDM にログインして下さい。 設定 > ファイアウォール > サービス ポリシー ルールに行って下さい。

    asa-disgi-enai-asdm-01.gif

  2. デフォルト Class-map およびデフォルト Policy-map がグローバル な ポリシーのための設定を保存し含まれているたいと思ったり、ポリシーをグローバルに取除きたいと思う場合ツール > コマンド ライン インターフェースに行き、ポリシーをグローバルに取除くサービス ポリシー グローバル ポリシー グローバルコマンドを使用しないで下さい。 それから、『Send』 をクリック して下さいそうすればコマンドは ASA に適用されます。

    asa-disgi-enai-asdm-02.gif

    注: このステップによってグローバル な ポリシーは適応性がある Security Device Manager (ASDM)で見えなくなりますが、CLI で示されています。

  3. ここに示されているように新しいポリシーを追加するために『Add』 をクリック して下さい:

    asa-disgi-enai-asdm-03.gif

  4. インターフェイスの隣のオプション ボタンがチェックされる確かめ、ドロップダウン・メニューからポリシーを適用したいと思うインターフェイスをことを選択しなさい。 それから、ポリシー名および説明を提供して下さい。 [Next] をクリックします。

    asa-disgi-enai-asdm-04.gif

  5. HTTP が TCP の下で下るように TCPトラフィックを一致するために新しい class-map を作成して下さい。 [Next] をクリックします。

    asa-disgi-enai-asdm-05.gif

  6. プロトコルとして TCP を選択して下さい。

    asa-disgi-enai-asdm-06.gif

    ポート 80 をサービスとして『HTTP』 を選択 し、『OK』 をクリック して下さい。

    asa-disgi-enai-asdm-07.gif

  7. 『HTTP』 を選択 し、『Finish』 をクリック して下さい。

    asa-disgi-enai-asdm-08.gif

  8. ASDM からの ASA にこれらのコンフィギュレーション変更を送信 するために『Apply』 をクリック して下さい。 これで、設定は完了です。

    asa-disgi-enai-asdm-09.gif

確認

設定を確認するこれらの show コマンドを使用して下さい:

  • 設定されるクラスマップを表示する show run class-map コマンドを使用して下さい。

    ciscoasa# sh run class-map
    !
    class-map inspection_default
    match default-inspection-traffic
    class-map outside-class
    match port tcp eq www
    !
  • 設定されるポリシーマップを表示する show run policy-map コマンドを使用して下さい。

    ciscoasa# sh run policy-map
    !
    policy-map type inspect dns preset_dns_map
     parameters
      message-length maximum 512
    policy-map global_policy
     class inspection_default
      inspect dns preset_dns_map
      inspect ftp
      inspect h323 h225
      inspect h323 ras
      inspect rsh
      inspect rtsp
      inspect esmtp
      inspect sqlnet
      inspect skinny
      inspect sunrpc
      inspect xdmcp
      inspect sip
      inspect netbios
      inspect tftp
    policy-map outside-policy
     description Policy on outside interface
     class outside-class
      inspect http
    !
  • 設定されるサービス ポリシーを表示する show run service-policy コマンドを使用して下さい。

    ciscoasa# sh run service-policy
    service-policy outside-policy interface outside
    

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 112235