Catalyst 6500 シリーズ スイッチ/Cisco 7600 シ リーズ ルータ Firewall Services Module コマンド リファレンス リリース 4.0
gateway ~ http-map コマンド
gateway ~ http-map コマンド
発行日;2012/02/24 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

gateway ~ http-map コマンド

gateway

global

group-delimiter

group-lock

group-object

group-policy

group-policy attributes

gtp-map

h225-map

hello-interval

help

hold-time

hostname

hsi

hsi-group

http

http authentication-certificate

http server enable

http-map

gateway ~ http-map コマンド

gateway

特定のゲートウェイを管理するコール エージェントのグループを指定するには、Media Gateway Control Protocol(MGCP)マップ コンフィギュレーション モードで、 gateway コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

gateway ip_address [ group_id ]

 
シンタックスの説明

gateway

特定のゲートウェイを管理するコール エージェントのグループを指定します。

group_id

0 ~ 2147483647 のコール エージェント グループの ID。

ip_address

ゲートウェイの IP アドレス。

 
デフォルト

このコマンドは、デフォルトではディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

MGCP マップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

gateway コマンドを使用すると、特定のゲートウェイを管理するコール エージェント グループを指定できます。ゲートウェイの IP アドレスは、 ip_address オプションで指定します。 group_id オプションは、0 ~ 4294967295 の数値で、ゲートウェイを管理しているコール エージェントの group_id と対応している必要があります。ゲートウェイは 1 つのグループだけに属することができます。

次に、コール エージェント 10.10.11.5 および 10.10.11.6 でゲートウェイ 10.10.10.115 を制御し、コール エージェント 10.10.11.7 および 10.10.11.8 で 2 つのゲートウェイ 10.10.10.116 および 10.10.10.117 を制御するように設定する例を示します。

hostname(config)# mgcp-map mgcp_policy
hostname(config-mgcp-map)# call-agent 10.10.11.5 101
hostname(config-mgcp-map)# call-agent 10.10.11.6 101
hostname(config-mgcp-map)# call-agent 10.10.11.7 102
hostname(config-mgcp-map)# call-agent 10.10.11.8 102
hostname(config-mgcp-map)# gateway 10.10.10.115 101
hostname(config-mgcp-map)# gateway 10.10.10.116 102
hostname(config-mgcp-map)# gateway 10.10.10.117 102
 

 
関連コマンド

コマンド
説明

debug mgcp

MGCP のデバッグ情報の表示をイネーブルにします。

mgcp-map

MGCP マップを定義し、MGCP マップ コンフィギュレーション モードをイネーブルにします。

show mgcp

MGCP の設定およびセッション情報を表示します。

global

Network Address Translation(NAT; ネットワーク アドレス変換)用にマッピングされたアドレスのプールを作成するには、グローバル コンフィギュレーション モードで、 global コマンドを使用します。アドレスのプールを削除するには、このコマンドの no 形式を使用します。

global ( mapped_ifc) nat_id { mapped_ip [ - mapped_ip ] [ netmask mask ] | interface }

no global ( mapped_ifc) nat_id { mapped_ip [- mapped_ip ] [ netmask mask ] | interface }

 
シンタックスの説明

interface

マッピング先のアドレスとしてインターフェイスの IP アドレスを使用します。

mapped_ifc

マッピング先の IP アドレス ネットワークに接続されたインターフェイスの名前を指定します。

mapped_ip [ - mapped_ip ]

マッピングされたインターフェイスを終了するときに、実アドレスを変換する際にマッピングされるアドレスを指定します。1 つのアドレスを指定する場合は、Port Address Translation(PAT; ポート アドレス変換)を設定します。アドレス範囲を指定する場合には、ダイナミック NAT を設定します。

外部ネットワークがインターネットに接続されている場合には、Network Information Center(NIC)に各グローバル IP アドレスを登録する必要があります。

nat_id

NAT ID に対応する整数を指定します。この ID は、変換する実アドレスに、マッピングしたプールを関連付けるために、 nat コマンドにより参照されます。

標準 NAT の場合、この整数は 1 ~ 2147483647 です。ポリシー NAT( nat id access-list )の場合、この整数は 1 ~ 65535 です。

NAT ID 0 には、 global コマンドを指定しないでください。0 は、 global コマンドを使用しないアイデンティティ NAT および NAT 免除用に予約されています。

netmask mask

(任意) mapped_ip に対してネットワーク マスクを指定します。このマスクは、 mapped_ip とペアにする場合、ネットワークを指定しません。ホストに割り当てる場合、 mapped_ip に割り当てたサブネット マスクを指定します。アドレス範囲を設定する場合には、 mapped_ip - mapped_ip を指定する必要があります。

マスクを指定しない場合、アドレス クラスのデフォルト マスクが使用されます。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

3.2.(1)

NAT がトランスペアレント ファイアウォール モードでサポートされるようになりました。

 
使用上のガイドライン

ダイナミック NAT および PAT では、まず、変換する所定のインターフェイス上の実アドレスを識別する、 nat コマンドを設定します。次に、別個の global コマンドを設定して、別のインターフェイスを終了するときにマッピング アドレス(PAT の場合は 1 つのアドレス)を指定します。各 nat コマンドは、各コマンドに割り当てる番号である、NAT ID と対比することで、 global コマンドと一致させます。

ダイナミック NAT および PAT の詳細については、 nat コマンドを参照してください。

NAT の設定を変更し、新しい NAT 情報が使用される前に既存の変換がタイムアウトするまで待機しない場合は、clear xlate コマンドを使用して、変換テーブルをクリアできます。ただし、変換テーブルをクリアすると、現在のすべての接続が切断されます。

次に、内部インターフェイスにおける 10.1.1.0/24 ネットワークを変換する例を示します。

hostname(config)# nat (inside) 1 10.1.1.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.1-209.165.201.30
 

ダイナミック NAT 用のアドレス プール、および NAT プールを使い果たした場合に使用する PAT アドレスを識別するには、次のコマンドを入力します。

hostname(config)# nat (inside) 1 10.1.1.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.5
hostname(config)# global (outside) 1 209.165.201.10-209.165.201.20
 

たとえばルーティングを簡素化するなど、内部ネットワーク(10.1.1.0)と同じネットワーク上にあるように表示されるようにセキュリティ レベルの低い DMZ ネットワーク アドレスを変換するには、次のコマンドを入力します。

hostname(config)# nat (dmz) 1 10.1.2.0 255.255.255.0 outside dns
hostname(config)# global (inside) 1 10.1.1.45
 

ポリシー NAT を使用した 2 つの異なる宛先アドレスを持つ 1 つの実アドレスを識別するには、次のコマンドを入力します。

hostname(config)# access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.201.0 255.255.255.224
hostname(config)# access-list NET2 permit ip 10.1.2.0 255.255.255.0 209.165.200.224 255.255.255.224
hostname(config)# nat (inside) 1 access-list NET1 tcp 0 2000 udp 10000
hostname(config)# global (outside) 1 209.165.202.129
hostname(config)# nat (inside) 2 access-list NET2 tcp 1000 500 udp 2000
hostname(config)# global (outside) 2 209.165.202.130
 

ポリシー NAT を使用した、異なるポートを使用する実アドレスと宛先アドレスのペアを 1 つ識別するには、次のコマンドを入力します。

hostname(config)# access-list WEB permit tcp 10.1.2.0 255.255.255.0 209.165.201.11 255.255.255.255 eq 80
hostname(config)# access-list TELNET permit tcp 10.1.2.0 255.255.255.0 209.165.201.11 255.255.255.255 eq 23
hostname(config)# nat (inside) 1 access-list WEB
hostname(config)# global (outside) 1 209.165.202.129
hostname(config)# nat (inside) 2 access-list TELNET
hostname(config)# global (outside) 2 209.165.202.130
 

 
関連コマンド

コマンド
説明

clear configure global

コンフィギュレーションから global コマンドを削除します。

nat

変換する実アドレスを指定します。

show running-config global

コンフィギュレーションで global コマンドを表示します。

static

1 対 1 の変換を設定します。

group-delimiter

グループ名の解析をイネーブルにし、トンネルのネゴシエーション中に受信するユーザ名からグループ名を解析するときに使用するデリミタを指定するには、グローバル コンフィギュレーション モードで、 group-delimiter コマンドを使用します。グループ名の解析をディセーブルにするには、このコマンドの no 形式を使用します。

group-delimiter delimiter

no group-delimiter

 
シンタックスの説明

delimiter

グループ名のデリミタとして使用する文字を指定します。
有効値: @ # !

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、デリミタは指定されず、グループ名の解析はディセーブルです。

次に、 group-delimiter コマンドを使用して、グループのデリミタをハッシュ符号(#)に変更する例を示します。

hostname(config)# group-delimiter #

 
関連コマンド

コマンド
説明

show running-config group-delimiter

現在の group-delimiter 値を表示します。

strip-group

ストリップ グループ処理をイネーブルまたはディセーブルにします。

group-lock

リモート ユーザがトンネル グループを介してだけアクセスできるように制限するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名 コンフィギュレーション モードで、 group-lock コマンドを使用します。実行コンフィギュレーションから group-lock 属性を削除するには、このコマンドの no 形式を使用します。

group-lock { value tunnel-grp-name | none }

no group-lock

 
シンタックスの説明

none

グループロックを null 値に設定し、グループロックの制約を適用しません。デフォルトまたは指定したグループ ポリシーからグループロック値が継承されないようにします。

value tunnel-grp-name

ユーザが接続するために、FWSM が必要とする既存のトンネル グループの名前を指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

ユーザ名コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このオプションを使用すると、別のグループ ポリシーから値を継承できます。グループロックをディセーブルにするには、group-lock none コマンドを使用します。

グループロックは、Virtual Private Network(VPN; 仮想プライベート ネットワーク)クライアントに設定されているグループが、ユーザが割り当てられたトンネル グループと一致しているかどうかを確認することにより、ユーザを制約します。一致していない場合、Firewall Service Module(FWSM; ファイアウォール サービス モジュール)によりユーザは接続できなくなります。グループロックを設定しない場合、FWSM は、割り当てられたグループとは関係なく、ユーザを認証します。

次に、FirstGroup というグループ ポリシーにグループロックを設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# group-lock value tunnel group name

このオプションを使用すると、別のグループ ポリシーから値を継承できます。グループロックをディセーブルにするには、 group-lock none コマンドを使用します。

Group-lock restricts users by checking if the group configured in the VPN client is the same as the tunnel group to which the user is assigned. If it is not, the FWSM prevents the user from connecting. If you do not configure group-lock, the FWSM authenticates users without regard to the assigned group.

group-object

ネットワーク オブジェクト グループを追加するには、プロトコル、ネットワーク、サービス、および icmp-type コンフィギュレーション モードで、group-object コマンドを使用します。ネットワーク オブジェクト グループを削除するには、このコマンドの no 形式を使用します。

group-object obj_grp_id

no group-object obj_grp_id

 
シンタックスの説明

obj_grp_id

オブジェクト グループ(1 ~ 64 文字)を識別します。文字、数字、「_」、「-」、および「.」の符号を任意に組み合わせることができます。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

プロトコル コンフィギュレーション

--

ネットワーク コンフィギュレーション

--

サービス コンフィギュレーション

--

icmp-type コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

それ自体がオブジェクト グループであるオブジェクトを定義するには、 group-object コマンドと object-group コマンドを併用します。プロトコル、ネットワーク、サービス、および icmp-type コンフィギュレーション モードでこのコマンドを実行します。このコマンドにより、同じタイプのオブジェクトの論理グループを作成し、構造型コンフィギュレーションに階層型オブジェクト グループを構築できます。

オブジェクトがグループ オブジェクトの場合には、オブジェクト グループ内でオブジェクトを重複できます。たとえば、グループ A およびグループ B の両方にオブジェクト 1 が含まれている場合、A および B の両方を含むグループ C を定義できます。ただし、グループの階層が循環する原因となるグループ オブジェクトを含めることはできません。たとえば、グループ A にグループ B が含まれている場合、グループ B にグループ A を含めることはできません。

階層型オブジェクト グループの最大許容レベルは、10 です。

次に、ネットワーク コンフィギュレーション モードで group-object コマンドを使用し、ホストの重複設定を不要にする例を示します。

hostname(config)# object-group network host_grp_1
hostname(config-network)# network-object host 192.168.1.1
hostname(config-network)# network-object host 192.168.1.2
hostname(config-network)# exit
hostname(config)# object-group network host_grp_2
hostname(config-network)# network-object host 172.23.56.1
hostname(config-network)# network-object host 172.23.56.2
hostname(config-network)# exit
hostname(config)# object-group network all_hosts
hostname(config-network)# group-object host_grp_1
hostname(config-network)# group-object host_grp_2
hostname(config-network)# exit
hostname(config)# access-list grp_1 permit tcp object-group host_grp_1 any eq ftp
hostname(config)# access-list grp_2 permit tcp object-group host_grp_2 any eq smtp
hostname(config)# access-list all permit tcp object-group all-hosts any eq w
 

 
関連コマンド

コマンド
説明

clear configure object-group

コンフィギュレーションからすべての object-group コマンドを削除します。

network-object

ネットワーク オブジェクト グループにネットワーク オブジェクトを追加します。

object-group

設定を最適化するオブジェクト グループを定義します。

port-object

サービス オブジェクト グループにポート オブジェクトを追加します。

show running-config object-group

現在のオブジェクト グループを表示します。

group-policy

グループ ポリシーを作成または編集するには、グローバル コンフィギュレーション モードで、 group-policy コマンドを使用します。コンフィギュレーションからグループ ポリシーを削除するには、このコマンドの no 形式を使用します。

group-policy name { internal [from group-policy_name ] | external server-group serve r_ group password server _ password }

no group-policy name

 
シンタックスの説明

external server-group server_group

グループ ポリシーを外部として指定し、FWSM が属性を問い合せる Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)サーバ グループを識別します。

from group-policy_name

この内部グループ ポリシーの属性を、既存グループ ポリシーの値に初期設定します。

internal

グループ ポリシーを内部として指定します。

name

グループ ポリシーの名前を指定します。

password server_password

外部 AAA サーバ グループから属性を取得するときに使用するパスワードを指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

FWSM には、「DefaultGroupPolicy」という名前のデフォルトのグループ ポリシーが常に存在します。ただし、デフォルト グループ ポリシーを有効にするには、このポリシーを使用するように FWSM を設定する必要があります。コンフィギュレーションについては、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide 』を参照してください。

DefaultGroupPolicy には、次の AVP が設定されています。

 

属性
デフォルト値

wins-server

なし

dns-server

なし

vpn-access-hours

無制限

vpn-simultaneous-logins

3

vpn-idle-timeout

30 分

vpn-session-timeout

なし

vpn-filter

なし

vpn-tunnel-protocol

IPSec WebVPN

ip-comp

ディセーブル

re-xauth

ディセーブル

group-lock

なし

pfs

ディセーブル

client-access-rules

なし

banner

なし

password-storage

ディセーブル

ipsec-udp

ディセーブル

ipsec-udp-port

10000

backup-servers

keep-client-config

split-tunnel-policy

tunnelall

split-tunnel-network-list

なし

default-domain

なし

split-dns

なし

client-firewall

なし

secure-unit-authentication

ディセーブル

user-authentication

ディセーブル

user-authentication-idle-timeout

なし

ip-phone-bypass

ディセーブル

leap-bypass

ディセーブル

nem

ディセーブル

次に、「FirstGroup」という名前の内部グループ ポリシーを作成する例を示します。

hostname(config)# group-policy FirstGroup internal
 

次に、AAA サーバ グループに「BostonAAA」、パスワードに「12345678」を指定し、「ExternalGroup」という名前の外部グループ ポリシーを作成する例を示します。

hostname(config)# group-policy ExternalGroup external server-group BostonAAA password 12345678
 

 
関連コマンド

コマンド
説明

clear configure group-policy

特定のグループ ポリシーまたはすべてのグループ ポリシーの設定を削除します。

group-policy attributes

グループ ポリシー属性モードを開始し、指定されたグループ ポリシーの AVP を設定できるようにします。

show running-config group-policy

特定のグループ ポリシーまたはすべてのグループ ポリシーの実行コンフィギュレーションを表示します。

group-policy attributes

グループ ポリシー属性モードを開始するには、グローバル コンフィギュレーション モードで、 group-policy attributes コマンドを使用します。グループ ポリシーからすべての属性を削除するには、このコマンドの no 形式を使用します。この属性モードで、指定したグループ ポリシーの AVP を設定できます。

group-policy name attributes

no group-policy name attributes

 
シンタックスの説明

name

グループ ポリシーの名前を指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

属性モードにおけるこのコマンドの構文には、一般に次の特徴があります。

no 形式を使用すると、実行コンフィギュレーションから属性が削除され、他のグループ ポリシーからの値の継承がイネーブルになります。

none キーワードを使用すると、実行コンフィギュレーションの属性が null 値に設定され、値は継承されません。

ブール属性には、イネーブル化およびディセーブル化された設定用の明示的な構文があります。

次に、「FirstGroup」というグループ ポリシーについて、グループ ポリシー属性モードを開始する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)#
 

 
関連コマンド

コマンド
説明

clear configure group-policy

特定のグループ ポリシーまたはすべてのグループ ポリシーの設定を削除します。

group-policy

グループ ポリシーを作成、編集、または削除します。

show running-config group-policy

特定のグループ ポリシーまたはすべてのグループ ポリシーの実行コンフィギュレーションを表示します。

gtp-map

GTP のパラメータ定義に使用する特定のマップを識別するには、グローバル コンフィギュレーション モードで gtp-map コマンドを使用します。マップを削除するには、このコマンドの no 形式を使用します。

gtp-map map_name

no gtp-map map_name


) GTP 検査には、特殊なライセンスが必要です。必要なライセンスがない状態で、FWSM 上で gtp-map コマンドを入力した場合、FWSMでエラー メッセージが表示されます。


 
シンタックスの説明

map_name

GTP マップの名前

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

GPRS は、既存の GSM ネットワークを統合するために設計された、データ ネットワーク アーキテクチャです。モバイル サブスクライバに対して、企業ネットワークおよびインターネットへの、中断されないパケット交換データ サービスを提供します。GTP の概要、および FWSM によるワイヤレス ネットワーク上の安全なアクセスが保証される方法については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide 』の「Applying Application Layer Protocol Inspection」の章を参照してください。

GTP パラメータの定義に使用する特定のマップを識別するには、gtp-map コマンドを使用します。このコマンドを入力すると、特定のマップを定義するために使用される各種コマンドを入力できる、コンフィギュレーション モードが開始されます。GTP マップを定義したあと、 inspect gtp コマンドを使用して、マップをイネーブルにします。次に、 class-map policy-map 、および service-policy コマンドを使用して、トラフィック クラスの定義、このクラスへの inspect コマンドの適用、および 1 つ以上のインターフェイスへのポリシーの適用を行います。

 

表 13-1 GTP マップ コンフィギュレーション コマンド

コマンド
説明

description

GTP コンフィギュレーション マップの説明を指定します。

drop

ドロップするためのメッセージ ID、APN、または GTP バージョンを指定します。

mcc

3 桁のモバイル国番号(000 ~ 999)を指定します。1 桁または 2 桁の入力は 0 が付加されます。

message-length

メッセージの最小および最大の長さを指定します。

permit errors

エラーのあるパケットまたは異なる GTP バージョンを許可します。

request-queue

キューで許可される最大の要求を指定します。

timeout (gtp-map)

GSN、PDP コンテキスト、要求、シグナリング接続、およびトンネルに対し、アイドル タイムアウトを指定します。

tunnel-limit

許可されたトンネルの最大数を指定します。

次に、gtp-map コマンドを使用して、GTP のパラメータを定義するために使用する特定のマップ(gtp-policy)を識別する例を示します。

hostname(config)# gtp-map qtp-policy
hostname(config-gtpmap)#
 

次に、アクセス リストを使用して GTP トラフィックの識別、GTP マップの定義、ポリシーの定義、および外部インターフェイスへのポリシーの適用を行う例を示します。

hostname(config)# access-list gtp-acl permit udp any any eq 3386
hostname(config)# access-list gtp-acl permit udp any any eq 2123
hostname(config)# class-map gtp-traffic
hostname(config-cmap)# match access-list gtp-acl
hostname(config-cmap)# exit
hostname(config)# gtp-map gtp-policy
hostname(config-gtpmap)# request-queue 300
hostname(config-gtpmap)# permit mcc 111 mnc 222
hostname(config-gtpmap)# message-length min 20 max 300
hostname(config-gtpmap)# drop message 20
hostname(config-gtpmap)# tunnel-limit 10000
hostname(config)# policy-map inspection_policy
hostname(config-pmap)# class gtp-traffic
hostname(config-pmap-c)# inspect gtp gtp-policy
hostname(config)# service-policy inspection_policy outside
 

 
関連コマンド

 

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

clear service-policy inspect gtp

グローバル GTP 統計情報をクリアします。

debug gtp

GTP 検査の詳細情報を表示します。

inspect gtp

特定の GTP マップがアプリケーション検査で使用されるようにします。

show service-policy inspect gtp

GTP 設定を表示します。

h225-map

H.225 アプリケーション検査マップを定義するには、グローバル コンフィギュレーション モードで、h225-map コマンドを使用します。マップを削除するには、このコマンドの no 形式を使用します。

h225-map map_name

no h225-map map_name

 
シンタックスの説明

map_name

H.225 マップの名前を指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

FWSM 3.1

このコマンドが追加されました。

 
使用上のガイドライン

H.225 マップにより、H.225 コール シグナリングに HSI が含まれている場合、FWSM で H.245 接続用のダイナミックなポート固有のピンホールをオープンできます。

H.225 マップは、HSI および関連するエンドポイントの情報を提供します。これらは、FWSMによって保護されているネットワークのセキュリティを損なわずに接続を確立するために必要な情報です。

h225-map コマンドを入力すると、特定のマップを定義するために使用される各種コマンドを入力できる、h225 マップ コンフィギュレーション モードが開始されます。

1 つの H.225 マップに、最大 5 つの HSI グループを含めることができます。各 HSI グループに、最大 10 のエンドポイントを含めることができます。

次に、H.225 マップを定義する例を示します。

hostname(config)# h225-map sample_map
hostname(config-h225-map)# hsi-group 1
hostname(config-h225-map-hsi-grp)# hsi 10.10.15.11
hostname(config-h225-map-hsi-grp)# endpoint 10.3.6.1 inside
hostname(config-h225-map-hsi-grp)# endpoint 10.10.25.5 outside
hostname(config-h225-map-hsi-grp)# exit
 

 
関連コマンド

コマンド
説明

endpoint

HSI グループに関連付けるエンドポイントを定義します。

hsi

HSI グループに関連付ける HSI を定義します。

hsi-group

HSI グループを定義し、HSI グループ コンフィギュレーション モードをイネーブルにします。

inspect h323 h225

H.323 アプリケーション検査に H.225 マップを適用します。

hello-interval

インターフェイス上で EIGRP hello パケットが送信される間隔を指定するには、インターフェイス コンフィギュレーション モードで hello-interval コマンドを使用します。hello 間隔をデフォルト値に戻すには、このコマンドの no 形式を使用します。

hello-interval eigrp as-number seconds

no hello-interval eigrp as-number seconds

 
シンタックスの説明

as-number

EIGRP ルーティング プロセスの自律システム番号。

seconds

インターフェイスで送信される hello パケットの間隔を指定します。有効値は 1 ~ 65535 秒です。

 
デフォルト

デフォルトの seconds は 5 秒です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

hello 間隔が小さいほど、トポロジ変更が迅速に検出されますが、発生するルーティング トラフィックが増えます。この値は、特定のネットワーク上のすべてのルータおよびアクセス サーバで同じである必要があります。

次に、EIGRP hello 間隔を 10 秒、ホールドタイムを 30 秒に設定する例を示します。

hostname(config-if)# hello-interval eigrp 100 10
hostname(config-if)# hold-time eigrp 100 30
 

 
関連コマンド

コマンド
説明

hold-time

hello パケットでアドバタイズされた EIGRP ホールド タイムを設定します。

help

指定したコマンドのヘルプ情報を表示するには、ユーザ EXEC モードで help コマンドを使用します。

help { command | ? }

 
シンタックスの説明

command

CLI ヘルプを表示するコマンドを指定します。

?

現在の特権レベルおよびモードで使用可能なすべてのコマンドを表示します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ EXEC

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

help コマンドは、すべてのコマンドに関するヘルプ情報を表示します。各コマンドのヘルプを表示するには、 help コマンドの後にコマンド名を入力します。コマンド名を指定せずに、 ? を代わりに入力すると、現在の特権レベルおよびモードで使用可能なすべてのコマンドが表示されます。

pager コマンドをイネーブルにし、24 行が表示されると、出力が停止し、次のプロンプトが表示されます。

<--- More --->
 

More プロンプトでは、次のように UNIX more コマンドと類似した構文を使用します。

テキストの別の画面を表示するには、 Space バーを押します。

次の行を表示するには、 Enter キーを押します。

コマンド ラインに戻るには、q キーを押します。

次に、 rename コマンドのヘルプ情報を表示する例を示します。

hostname# help rename
 
USAGE:
 
rename /noconfirm [{disk0:|disk1:|flash:}] <source path> [{disk0:|disk1:
|flash:}] <destination path>
 
DESCRIPTION:
 
rename Rename a file
 
SYNTAX:
 
/noconfirm No confirmation
{disk0:|disk1:|flash:} Optional parameter that specifies the filesystem
<source path> Source file path
<destination path> Destination file path
 
hostname#
 

次に、コマンド名と疑問符を入力して、ヘルプを表示する例を示します。

hostname(config)# enable ?
usage: enable password <pwd> [encrypted]
 

コマンド プロンプトに ? を入力すると、ヘルプがコア コマンド(show、no、または clear コマンドでない) で利用できます。

hostname(config)# ?
aaa Enable, disable, or view TACACS+ or RADIUS
user authentication, authorization and accounting
...

 
関連コマンド

コマンド
説明

show version

オペレーティング システム ソフトウェアに関する情報を表示します。

hold-time

EIGRP hello パケットで FWSM によってアドバタイズされるホールド タイムを指定するには、インターフェイス コンフィギュレーション モードで hold-time コマンドを使用します。hello 間隔をデフォルト値に戻すには、このコマンドの no 形式を使用します。

hold-time eigrp as-number seconds

no hold-time eigrp as-number seconds

 
シンタックスの説明

as-number

EIGRP ルーティング プロセスの自律システム番号。

seconds

ホールド タイムを秒数で指定します。有効値は 1 ~ 65535 秒です。

 
デフォルト

デフォルトの seconds は 15 秒です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

この値は、FWSM で送信される EIGRP hello パケットでアドバタイズされます。そのインターフェイスにおける EIGRP ネイバではこの値を使用してFWSM のアベイラビリティを決定します。アドバタイズ ホールド タイムの間、FWSMから hello パケットを受信しない場合、EIGRP ネイバは FWSM を利用不可と見なします。

非常に輻輳した大規模なネットワークでは、デフォルトのホールド タイムは、ネイバから hello パケットを受信するのにすべてのルーターおよびアクセス サーバにとって十分な時間でない場合があります。この場合、ホールド タイムを長くできます。

ホールド タイムを hello 間隔の少なくとも 3 倍にすることを推奨します。FWSM が指定したホールド タイム内に hello パケットを受信しない場合、このネイバを介したルートは利用不可と見なされます。

ホールド タイムが増加すると、ネットワーク間のルートの統合が遅くなります。

次に、EIGRP hello 間隔を 10 秒、ホールドタイムを 30 秒に設定する例を示します。

hostname(config-if)# hello-interval eigrp 100 10
hostname(config-if)# hold-time eigrp 100 30
 

 
関連コマンド

コマンド
説明

hello-interval

インターフェイス上で EIGRP hello パケットが送信される間隔を指定します。

hostname

FWSM のホスト名を設定するには、グローバル コンフィギュレーション モードで、 hostname コマンドを使用します。デフォルトのホスト名に戻すには、このコマンドの no 形式を使用します。ホスト名はコマンドライン プロンプトとして表示されます。複数のデバイスに対してセッションを確立する場合、ホスト名はコマンドを入力したデバイスを追跡するのに役立ちます。

hostname name

no hostname [ name ]

 
シンタックスの説明

name

最大 63 文字でホスト名を指定します。ホスト名の最初と最後は文字または数字で、中間は文字、数字、またはハイフンだけで構成する必要があります。

 
デフォルト

デフォルトは、FWSM です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

マルチ コンテキスト モードでは、システムの実行スペースで設定したホスト名が、すべてのコンテキストのコマンドライン プロンプトに表示されます。

コンテキスト内で任意に設定するホスト名は、コマンドラインには表示されませんが、 banner コマンドの $(hostname) トークンに使用できます。

次に、ホスト名を firewall1 に設定する例を示します。

hostname(config)# hostname firewall1
firewal11(config)#

 
関連コマンド

コマンド
説明

banner

ログイン、message of the day、またはイネーブル バナーを設定します。

domain-name

デフォルトのドメイン名を設定します。

hsi

HSI に HSI グループを関連付けるには、HSI グループ コンフィギュレーション モードで、hsi コマンドを使用します。HSI を削除するには、このコマンドの no 形式を使用します。

hsi ip address

no hsi ip address

 
シンタックスの説明

ip address

HSI の IP アドレス。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

HSI グループ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

FWSM 3.1

このコマンドが追加されました。

 
使用上のガイドライン

HSI グループにより、Cisco CallManager が H.323 エンドポイント間の接続を試みる場合、FWSM で H.323 接続を可能にするダイナミックなポート固有のピンホールをオープンできます。

1 つの H.225 マップに、最大 5 つの HSI グループを関連付けることができます。各 HSI グループに、最大 10 のエンドポイントを含めることができます。

次に、H.225 マップを定義する例を示します。

hostname(config)# h225-map hmap
hostname(config-h225-map)# hsi-group 1
hostname(config-h225-map-hsi-grp)# hsi 10.10.15.11
hostname(config-h225-map-hsi-grp)# endpoint 10.3.6.1 inside
hostname(config-h225-map-hsi-grp)# endpoint 10.10.25.5 outside
hostname(config-h225-map-hsi-grp)# exit
 

 
関連コマンド

コマンド
説明

endpoint

HSI グループに関連付けるエンドポイントを定義します。

hsi-group

HSI グループを定義し、HSI グループ コンフィギュレーション モードをイネーブルにします。

h225-map

H.225 マップを定義し、h.225 マップ コンフィギュレーション モードをイネーブルにします。

inspect h323 h225

H.323 アプリケーション検査に H.225 マップを適用します。

hsi-group

HSI グループを定義するには、h225 マップ コンフィギュレーション モードで、hsi-group コマンドを使用します。HSI グループを削除するには、このコマンドの no 形式を使用します。

hsi-group group_ID

no hsi-group group_ ID

 
シンタックスの説明

group_name

HSI グループを識別する番号を、0 ~ 2147483647 の範囲で指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

H.225 マップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

FWSM 3.1

このコマンドが追加されました。

 
使用上のガイドライン

hsi-group コマンドを入力すると、特定のマップを定義するために使用される各種コマンドを入力できる、HSI グループ コンフィギュレーション モードが開始されます。

HSI グループにより、H.225 コール シグナリングに HSI が含まれている場合、FWSM で H.245 接続用のダイナミックなポート固有のピンホールをオープンできます。

1 つの H.225 マップに、最大 5 つの HSI グループを関連付けることができます。各 HSI グループに、最大 10 のエンドポイントを含めることができます。エンドポイントを設定する前に、グループ内に HSI を設定しておく必要があります。HSI グループを削除する場合には、事前にすべてのエンドポイントと HSI を削除する必要があります。

次に、H.225 マップを定義する例を示します。

hostname(config)# h225-map hmap
hostname(config-h225-map)# hsi-group 1
hostname(config-h225-map-hsi-grp)# hsi 192.168.100.1
hostname(config-h225-map-hsi-grp)# endpoint 192.168.100.101
hostname(config-h225-map-hsi-grp)# endpoint 192.168.100.102
hostname(config-h225-map-hsi-grp)# exit
hostname(config-h225-map)# hsi-group 2
hostname(config-h225-map-hsi-grp)# hsi 192.168.200.1
hostname(config-h225-map-hsi-grp)# endpoint 192.168.200.101
hostname(config-h225-map-hsi-grp)# endpoint 192.168.200.102
hostname(config-h225-map-hsi-grp)# exit
 

 
関連コマンド

 

コマンド
説明

endpoint

HSI グループに関連付けるエンドポイントを定義します。

hsi

HSI グループに関連付ける HSI を定義します。

h225-map

H.225 マップを定義し、h.225 マップ コンフィギュレーション モードをイネーブルにします。

inspect h323 h225

H.323 アプリケーション検査に H.225 マップを適用します。

http

FWSM の内部 HTTP サーバにアクセスできるホストを指定するには、グローバル コンフィギュレーション モードで、 http コマンドを使用します。1 つ以上のホストを削除するには、このコマンドの no 形式を使用します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を、引数を指定しないで使用します。

http ip_address subnet_mask interface_name

no http

 
シンタックスの説明

interface_name

ホストが HTTP サーバにアクセスできる FWSM インターフェイスの名前を指定します。

ip_address

HTTP サーバにアクセスできるホストの IP アドレスを指定します。

subnet_mask

HTTP サーバにアクセスできるホストのサブネット マスクを指定します。

 
デフォルト

HTTP サーバにアクセスできるホストはありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

次に、IP アドレス 10.10.99.1、サブネット マスク 255.255.255.255 のホストに、外部インターフェイスを経由した HTTP サーバへのアクセスを許可する例を示します。

hostname(config)# http 10.10.99.1 255.255.255.255 outside
 

次に、すべてのホストに外部インターフェイスを経由した HTTP サーバへのアクセスを許可する例を示します。

hostname(config)# http 0.0.0.0 0.0.0.0 outside
 

 
関連コマンド

コマンド
説明

clear configure http

HTTP コンフィギュレーションを削除します。HTTP サーバをディセーブルにして、HTTP サーバにアクセス可能なホストを削除します。

http authentication-certificate

FWSM との HTTPS 接続を確立しているユーザからの証明書を介して、認証を要求します。

http server enable

HTTP サーバをイネーブルにします。

show running-config http

HTTP サーバがイネーブルであるかどうかに関係なく、HTTP サーバにアクセスできるホストを表示します。

http authentication-certificate

HTTPS 接続を確立するユーザに対して、証明書を使用した認証を要求するには、グローバル コンフィギュレーション モードで、 http authentication-certificate コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。コンフィギュレーションからすべての http authentication-certificate コマンドを削除するには、 no 形式を、引数なしで使用します。

http authentication-certificate interface

no http authentication-certificate [ interface ]

 
シンタックスの説明

interface

証明書による認証を必要とする FWSM でインターフェイスを指定します。

 
デフォルト

HTTP の証明書認証はディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドのサポートが追加されました。

 
使用上のガイドライン

FWSM は、PKI トラスト ポイントと比較して証明書を検証します。証明書が検証に合格しない場合、FWSM は SSL 接続を終了します。

信頼できる内部インターフェイス上の接続の場合には証明書を提供しなくても済むように、証明書による認証は、インターフェイス単位で設定できます。このコマンドを複数回使用することにより、複数のインターフェイス上に証明書による認証を設定できます。

検証は URL が判別される前に実行されるため、WebVPN および ASDM アクセスの両方に影響します。

ASDM は、この値のほかに、独自の認証方式を使用します。したがって、証明書認証が設定されている場合には、証明書認証およびユーザ名とパスワードの両方が要求されます。証明書認証がディセーブルの場合は、ユーザ名とパスワード認証だけが要求されます。

次に、outside および external というインターフェイスに接続するクライアントに対して、証明書による認証を要求する例を示します。

hostname(config)# http authentication-certificate inside
hostname(config)# http authentication-certificate external

 
関連コマンド

コマンド
説明

clear configure http

HTTP コンフィギュレーションを削除します。HTTP サーバをディセーブルにして、HTTP サーバにアクセス可能なホストを削除します。

http

IP アドレスおよびサブネット マスクを使用して HTTP サーバにアクセスできるホストを指定します。また、ホストが HTTP サーバにアクセスできる FWSM インターフェイスを指定します。

http server enable

HTTP サーバをイネーブルにします。

show running-config http

HTTP サーバがイネーブルであるかどうかに関係なく、HTTP サーバにアクセスできるホストを表示します。

http server enable

FWSM の ASDM 用 HTTPS サーバをイネーブルにするには、グローバル コンフィギュレーション モードで、 http server enable コマンドを使用します。HTTPS サーバをディセーブルにするには、このコマンドの no 形式を使用します。

http server enable

no http server enable

 
デフォルト

HTTP サーバはディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

次に、HTTPS サーバをイネーブルにする例を示します。

hostname(config)# http server enable

 
関連コマンド

コマンド
説明

clear configure http

HTTP コンフィギュレーションを削除します。HTTP サーバをディセーブルにして、HTTPS サーバにアクセス可能なホストを削除します。

http

IP アドレスおよびサブネット マスクを使用して HTTPS サーバにアクセスできるホストを指定します。また、ホストが HTTPS サーバにアクセスするための FWSM インターフェイスを指定します。

http authentication-certificate

FWSM との HTTPS 接続を確立しているユーザからの証明書を介して、認証を要求します。

show running-config http

HTTPS サーバにアクセス可能なホストのほか、HTTPS サーバがイネーブルにされているか否かを表示します。

http-map

拡張 HTTP 検査パラメータに適用する HTTP マップを作成するには、グローバル コンフィギュレーション モードで、 http-map コマンドを使用します。このコマンドを削除するには、このコマンドの no 形式を使用します。

http-map map_name

no http-map map_name

 
シンタックスの説明

map_name

HTTP マップの名前を指定します。

 
デフォルト

このコマンドは、デフォルトではディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

拡張 HTTP 検査機能は、アプリケーション ファイアウォールとも呼ばれ、HTTP メッセージが RFC 2616 に適合し、RFC に定義されたサポート対象の拡張方式を使用し、さらにその他の各種条件を満たしているかどうかを検証します。これにより、HTTP メッセージを使用して、ネットワークのセキュリティ ポリシーを回避しようとする攻撃者を防ぐことができます。


) HTTP マップを使用して HTTP 検査をイネーブルにすると、動作のリセットとログを伴う厳密な HTTP 検査がデフォルトでイネーブルになります。検査に失敗した場合に実行される動作は変更できますが、HTTP マップがイネーブルである限り、厳密な検査をディセーブルにできません。


ほとんどの場合、条件、および条件を満たしていない場合の FWSM の応答方法を設定できます。HTTP メッセージに適用できる条件は、次のとおりです。

設定可能なリストに、いかなる方式も含まれていない

メッセージのボディ サイズが、設定可能な制限の範囲内である

要求および応答メッセージのヘッダー サイズが、設定可能な制限の範囲内である

URI の長さが、設定可能な制限の範囲内である

メッセージ ボディのコンテンツ タイプが、ヘッダーと一致している

応答メッセージのコンテンツ タイプが、要求 メッセージの accept-type フィールドと一致している

メッセージのコンテンツ タイプが、事前定義された内部リストに含まれている

メッセージが HTTP RFC 形式の条件に適合している

選択したサポート対象アプリケーションが存在する、または存在しない

選択したコード化タイプが存在する、または存在しない


) 条件を満たしていないメッセージに指定できる動作は、allowreset、または drop などの各種コンフィギュレーション コマンドを使用して設定します。これらの動作のほかに、イベントをロギングするかどうかを指定できます。


表 13-2 に、HTTP マップ コンフィギュレーション モードで使用できるコンフィギュレーション コマンドの概要を示します。コマンドの詳細な構文は、このマニュアルの各コマンド エントリを参照してください。

 

表 13-2 HTTP マップ コンフィギュレーション コマンド

コマンド
説明

content-length

HTTP コンテンツの長さに基づく検査をイネーブルにします。

content-type-verification

HTTP コンテンツのタイプに基づく検査をイネーブルにします。

max-header-length

HTTP ヘッダーの長さに基づく検査をイネーブルにします。

max-uri-length

URI の長さに基づく検査をイネーブルにします。

port-misuse

ポート誤使用のアプリケーション検査をイネーブルにします。

request-method

HTTP要求方式に基づく検査をイネーブルにします。

strict-http

厳密な HTTP 検査をイネーブルにします。

transfer-encoding

転送コード化タイプに基づく検査をイネーブルにします。

次に、HTTP トラフィックの識別、HTTP マップの定義、ポリシーの定義、および外部インターフェイスへのポリシーの適用を行う例を示します。

hostname(config)# class-map http-port
hostname(config-cmap)# match port tcp eq 80
hostname(config-cmap)# exit
hostname(config)# http-map inbound_http
hostname(config-http-map)# content-length min 100 max 2000 action reset log
hostname(config-http-map)# content-type-verification match-req-rsp reset log
hostname(config-http-map)# max-header-length request bytes 100 action log reset
hostname(config-http-map)# max-uri-length 100 action reset log
hostname(config-http-map)# exit
hostname(config)# policy-map inbound_policy
hostname(config-pmap)# class http-port
hostname(config-pmap-c)# inspect http inbound_http
hostname(config-pmap-c)# exit
hostname(config-pmap)# exit
hostname(config)# service-policy inbound_policy interface outside
 

この例では、FWSM は、次を含むトラフィックを検出した場合、接続をリセットして、syslog エントリを作成します。

100 バイト未満または 2000 バイトを超えるメッセージ

サポートされていないコンテンツ タイプ

100 バイトを超える HTTP ヘッダー

100 バイトを超える URI

 
関連コマンド

 

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

debug appfw

HTTP アプリケーション検査に関する詳細情報を表示します。

debug http-map

HTTP マップに関連付けられたトラフィックの詳細情報を表示します。

inspect http

特定の HTTP マップがアプリケーション検査で使用されるようにします。

policy-map

特定のセキュリティ アクションにクラス マップを対応付けます。