セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

Cisco ASDM による公開サーバの設定

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2014 年 4 月 2 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Cisco Adaptive Security Device Manager(ASDM)を使用してパブリック サーバを設定する方法について説明します。 パブリック サーバは、これらのリソースを使用するために外部の世界から使用されるアプリケーション サーバです。 パブリック サーバと呼ばれる新機能は、Cisco ASDM ソフトウェア リリース 6.2 から導入されています。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェア バージョン 8.2 以降を実行する Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス

  • Cisco Adaptive Security Device Manager ソフトウェア バージョン 6.2 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

内部 IP アドレス 172.16.10.10 を使用する Web サーバは DMZ ネットワークにあり、外部の世界からアクセスできる必要があります。 これを実現するには、次のことを行う必要があります。

  • この Web サーバ に固有の変換エントリの作成

  • この接続を許可する ACL エントリの作成

ただし、Cisco ASDM ソフトウェア リリース バージョン 6.2 以降では、パブリック サーバのための新しいウィザードが導入されています。 これからは、NAT 変換や ACL の許可を個別に設定する必要はありません。 代わりに、パブリック インターフェイス、プライベート インターフェイス、パブリック IP アドレス、プライベート アドレス、サービスなどの簡単な詳細情報を指定するだけで済みます。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113425-asdm-pub-server-01.gif

ASDM の設定

ウィザードを使用してパブリック サーバを設定するには、次の手順を実行します。

  1. [Configuration] > [Firewall] > [Public servers] の順に選択します。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113425-asdm-pub-server-02.gif

  2. [Add] をクリックします。 [Add Public Server] ウィンドウが表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113425-asdm-pub-server-03.gif

  3. 今度は、次のパラメータを指定します。

    • [Private Interface]:実サーバが接続されるインターフェイスです。

    • [Private IP Address]:サーバの実際の IP アドレスです。

    • [Private Service]:実サーバで実行されている実際のサービスです。

    • [Public Interface]:外部ユーザが実サーバにアクセスするために使用するインターフェイスです。

    • [Public Address]:外部ユーザに表示される IP アドレスです。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113425-asdm-pub-server-04.gif

  4. [OK] をクリックします。

  5. 関連する設定エントリを [Public Servers] ペインで確認できます。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113425-asdm-pub-server-05.gif

  6. 参考のために、対応する CLI 設定を次に示します。

    Cisco ASA
    access-list inside_access_in extended permit tcp any host 209.165.201.10 eq www 
    access-group inside_access_in in interface outside
    static (dmz,outside) 209.165.201.10 172.16.10.10 netmask 255.255.255.255 

スタティック PAT のサポート

Cisco ASDM バージョン 6.2 を使用する場合、パブリック サーバはスタティック NAT でのみ設定でき、スタティック PAT では設定できません。 つまり、パブリック サーバは、そのサーバを実際に外部の世界に公開しているサービスからアクセス可能であることを意味します。 Cisco ASDM ソフトウェア リリース 6.3 以降では、ポート アドレス変換を使用するスタティック NAT がサポートされます。これは、パブリック サーバが実際に公開されているサービスとは異なるサービスで、パブリック サーバにアクセスできることを意味します。

次に示すのは、ASDM ソフトウェア リリース 6.3 の [Add Public Server] ウィンドウの、サンプル の ASDM スクリーン ショットです。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113425-asdm-pub-server-06.gif

ここでは、プライベート サービスとは異なるパブリック サービスを指定できます。 詳細は、『ポート アドレス変換を使用したスタティック NAT』を参照してください。

CLI の詳細

この機能は管理者がパブリック サーバを簡単に設定できるように、ASDM の観点のみから導入されたものです。 対応する新しい CLI コマンドは導入されていません。 ASDM を使用してパブリック サーバを設定する場合、スタティック リストとアクセス リストに対応するコマンド セットが自動的に作成され、該当する ASDM ペインで確認できます。 これらのエントリを変更すると、パブリック サーバのエントリも変更されます。

確認

現在、この設定に使用できる確認手順はありません。


関連情報


Document ID: 113425