Cisco セキュリティ アプライアンス コマンドライン コンフィギュレーション ガイド Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ用 ソフトウェア バージョン 7.2
examples.fm
設定例
発行日;2013/09/05 | 英語版ドキュメント(2011/04/01 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

設定例

例 1:外部アクセスのあるマルチ モード ファイアウォール

例 1:システム コンフィギュレーション

例 1:管理コンテキストのコンフィギュレーション

例 1:カスタマー A のコンテキストのコンフィギュレーション

例 1:カスタマー B のコンテキストのコンフィギュレーション

例 1:カスタマー C のコンテキストのコンフィギュレーション

例 2:同じセキュリティ レベルを使用したシングル モード ファイアウォール

例 3:マルチ コンテキストの共有リソース

例 3:システム コンフィギュレーション

例 3:管理コンテキストのコンフィギュレーション

例 3:部門 1 のコンテキストのコンフィギュレーション

例 3:部門 2 のコンテキストのコンフィギュレーション

例 4:外部アクセスのあるマルチ モード、トランスペアレント ファイアウォール

例 4:システム コンフィギュレーション

例 4:管理コンテキストのコンフィギュレーション

例 4:カスタマー A のコンテキストのコンフィギュレーション

例 4:カスタマー B のコンテキストのコンフィギュレーション

例 4:カスタマー C のコンテキストのコンフィギュレーション

例 5:WebVPN コンフィギュレーション

例 6:IPv6 コンフィギュレーション

例 7:ケーブルベースのアクティブ/スタンバイ フェールオーバー(ルーテッド モード)

例 8:LAN ベースのアクティブ/スタンバイ フェールオーバー(ルーテッド モード)

例 8:プライマリ装置のコンフィギュレーション

例 8:セカンダリ装置のコンフィギュレーション

例 9:LAN ベースのアクティブ/アクティブ フェールオーバー(ルーテッド モード)

例 9:プライマリ装置のコンフィギュレーション

例 9:プライマリ システムのコンフィギュレーション

例 9:プライマリ管理コンテキストのコンフィギュレーション

例 9:プライマリ ctx1 コンテキストのコンフィギュレーション

例 9:セカンダリ装置のコンフィギュレーション

例 10:ケーブルベースのアクティブ/スタンバイ フェールオーバー(トランスペアレント モード)

例 11:LAN ベースのアクティブ/ スタンバイ フェールオーバー(トランスペアレント モード)

例 11:プライマリ装置のコンフィギュレーション

例 11:セカンダリ装置のコンフィギュレーション

例 12:LAN ベースのアクティブ/ アクティブ フェールオーバー(トランスペアレント モード)

例 12:プライマリ装置のコンフィギュレーション

例 12:プライマリ システムのコンフィギュレーション

例 12:プライマリ管理コンテキストのコンフィギュレーション

例 12:プライマリ ctx1 コンテキストのコンフィギュレーション

例 12:セカンダリ装置のコンフィギュレーション

例 13:スタティック ルート トラッキングを使用したデュアル ISP サポート

例 14:ASA 5505 基本ライセンス

例 15:フェールオーバーおよびデュアル ISP バックアップでの ASA 5505 Security Plus ライセンス

例 15:プライマリ装置のコンフィギュレーション

例 15:セカンダリ装置のコンフィギュレーション

例 16:ネットワーク トラフィックの誘導

AIP SSM によるすべてのトラフィックの検査

AIP SSM による特定のトラフィックの検査

アラート イベント記録の確認

設定のトラブルシューティング

設定例

この付録では、セキュリティ アプライアンスを実装するいくつかの一般的な方法について、図を使用して説明します。次の項目を取り上げます。

「例 1:外部アクセスのあるマルチ モード ファイアウォール」

「例 2:同じセキュリティ レベルを使用したシングル モード ファイアウォール」

「例 3:マルチ コンテキストの共有リソース」

「例 4:外部アクセスのあるマルチ モード、トランスペアレント ファイアウォール」

「例 5:WebVPN コンフィギュレーション」

「例 6:IPv6 コンフィギュレーション」

「例 7:ケーブルベースのアクティブ/スタンバイ フェールオーバー(ルーテッド モード)」

「例 8:LAN ベースのアクティブ/スタンバイ フェールオーバー(ルーテッド モード)」

「例 9:LAN ベースのアクティブ/アクティブ フェールオーバー(ルーテッド モード)」

「例 10:ケーブルベースのアクティブ/スタンバイ フェールオーバー(トランスペアレント モード)」

「例 11:LAN ベースのアクティブ/ スタンバイ フェールオーバー(トランスペアレント モード)」

「例 12:LAN ベースのアクティブ/ アクティブ フェールオーバー(トランスペアレント モード)」

「例 13:スタティック ルート トラッキングを使用したデュアル ISP サポート」

「例 14:ASA 5505 基本ライセンス」

「例 15:フェールオーバーおよびデュアル ISP バックアップでの ASA 5505 Security Plus ライセンス」

「例 16:ネットワーク トラフィックの誘導」

例 1:外部アクセスのあるマルチ モード ファイアウォール

このコンフィギュレーションでは、3 つのセキュリティ コンテキストに加え、管理コンテキストを作成します。各コンテキストは、内部インターフェイスと外部インターフェイスを持ちます。カスタマー C(customerC)コンテキストには、サービス プロバイダー側に HTTP フィルタリング用の Websense サーバが設置された DMZ インターフェイスが含まれています(図 B-1 を参照)。

内部ホストはダイナミック NAT または PAT を使用して外部を通じインターネットにアクセスすることができますが、外部ホストは内部にアクセスできません。

カスタマー A(customerA)コンテキストには、内部ルータの後ろに 2 つめのネットワークがあります。

管理コンテキストでは、1 つのホストから セキュリティ アプライアンス への SSH セッションを許可しています。

インターフェイスを固有にする場合、コンテキスト間で同じ内部 IP アドレスを共有できますが、個別の IP アドレスを設定する方が管理は簡単です。

図 B-1 例 1

 

この構成の詳細については、次の項目を参照してください。

「例 1:システム コンフィギュレーション」

「例 1:管理コンテキストのコンフィギュレーション」

「例 1:カスタマー A のコンテキストのコンフィギュレーション」

「例 1:カスタマー B のコンテキストのコンフィギュレーション」

「例 1:カスタマー C のコンテキストのコンフィギュレーション」

例 1:システム コンフィギュレーション

まず、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにします。モードは、再起動後も保持されますが、コンフィギュレーション ファイルには保存されません。 show mode コマンドを入力して、現在のモードを表示します。

hostname Farscape
password passw0rd
enable password chr1cht0n
mac-address auto
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
admin-context admin
interface gigabitethernet 0/0
shutdown
interface gigabitethernet 0/0.3
vlan 3
no shutdown
interface gigabitethernet 0/1
no shutdown
interface gigabitethernet 0/1.4
vlan 4
no shutdown
interface gigabitethernet 0/1.5
vlan 5
no shutdown
interface gigabitethernet 0/1.6
vlan 6
no shutdown
interface gigabitethernet 0/1.7
vlan 7
no shutdown
interface gigabitethernet 0/1.8
vlan 8
no shutdown
class gold
limit-resource rate conns 2000
limit-resource conns 20000
class silver
limit-resource rate conns 1000
limit-resource conns 10000
class bronze
limit-resource rate conns 500
limit-resource conns 5000
context admin
allocate-interface gigabitethernet 0/0.3
allocate-interface gigabitethernet 0/1.4
config-url disk0://admin.cfg
member default
context customerA
description This is the context for customer A
allocate-interface gigabitethernet 0/0.3
allocate-interface gigabitethernet 0/1.5
config-url disk0://contexta.cfg
member gold
context customerB
description This is the context for customer B
allocate-interface gigabitethernet 0/0.3
allocate-interface gigabitethernet 0/1.6
config-url disk0://contextb.cfg
member silver
context customerC
description This is the context for customer C
allocate-interface gigabitethernet 0/0.3
allocate-interface gigabitethernet 0/1.7-gigabitethernet 0/1.8
config-url disk0://contextc.cfg
member bronze
 

例 1:管理コンテキストのコンフィギュレーション

10.1.1.75 のホストは、SSH を使用してコンテキストにアクセスできます。それには、 crypto key generate コマンドを使用してキーを生成する必要があります。

hostname Admin
domain isp
interface gigabitethernet 0/0.3
nameif outside
security-level 0
ip address 209.165.201.2 255.255.255.224
no shutdown
interface gigabitethernet 0/1.4
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
no shutdown
passwd secret1969
enable password h1andl0
route outside 0 0 209.165.201.1 1
ssh 10.1.1.75 255.255.255.255 inside
nat (inside) 1 10.1.1.0 255.255.255.0
! This context uses dynamic NAT for inside users that access the outside
global (outside) 1 209.165.201.10-209.165.201.29
! The host at 10.1.1.75 has access to the Websense server in Customer C, so
! it needs a static translation for use in Customer C’s access list
static (inside,outside) 209.165.201.30 10.1.1.75 netmask 255.255.255.255
 

例 1:カスタマー A のコンテキストのコンフィギュレーション

interface gigabitethernet 0/0.3
nameif outside
security-level 0
ip address 209.165.201.3 255.255.255.224
no shutdown
interface gigabitethernet 0/1.5
nameif inside
security-level 100
ip address 10.1.2.1 255.255.255.0
no shutdown
passwd hell0!
enable password enter55
route outside 0 0 209.165.201.1 1
! The Customer A context has a second network behind an inside router that requires a
! static route. All other traffic is handled by the default route pointing to the router.
route inside 192.168.1.0 255.255.255.0 10.1.2.2 1
nat (inside) 1 10.1.2.0 255.255.255.0
! This context uses dynamic PAT for inside users that access that outside. The outside
! interface address is used for the PAT address
global (outside) 1 interface
 

例 1:カスタマー B のコンテキストのコンフィギュレーション

interface gigabitethernet 0/0.3
nameif outside
security-level 0
ip address 209.165.201.4 255.255.255.224
no shutdown
interface gigabitethernet 0/1.6
nameif inside
security-level 100
ip address 10.1.3.1 255.255.255.0
no shutdown
passwd tenac10us
enable password defen$e
route outside 0 0 209.165.201.1 1
nat (inside) 1 10.1.3.0 255.255.255.0
! This context uses dynamic PAT for inside users that access the outside
global (outside) 1 209.165.201.9 netmask 255.255.255.255
access-list INTERNET remark Inside users only access HTTP and HTTPS servers on the outside
access-list INTERNET extended permit tcp any any eq http
access-list INTERNET extended permit tcp any any eq https
access-group INTERNET in interface inside
 

例 1:カスタマー C のコンテキストのコンフィギュレーション

interface gigabitethernet 0/0.3
nameif outside
security-level 0
ip address 209.165.201.5 255.255.255.224
no shutdown
interface gigabitethernet 0/1.7
nameif inside
security-level 100
ip address 10.1.4.1 255.255.255.0
no shutdown
interface gigabitethernet 0/1.8
nameif dmz
security-level 50
ip address 192.168.2.1 255.255.255.0
no shutdown
passwd fl0wer
enable password treeh0u$e
route outside 0 0 209.165.201.1 1
url-server (dmz) vendor websense host 192.168.2.2 url-block block 50
url-cache dst 128
filter url http 10.1.4.0 255.255.255.0 0 0
! When inside users access an HTTP server, the security appliance consults with a
! Websense server to determine if the traffic is allowed
nat (inside) 1 10.1.4.0 255.255.255.0
! This context uses dynamic NAT for inside users that access the outside
global (outside) 1 209.165.201.9 netmask 255.255.255.255
! A host on the admin context requires access to the Websense server for management using
! pcAnywhere, so the Websense server uses a static translation for its private address
static (dmz,outside) 209.165.201.6 192.168.2.2 netmask 255.255.255.255
access-list MANAGE remark Allows the management host to use pcAnywhere on the Websense server
access-list MANAGE extended permit tcp host 209.165.201.30 host 209.165.201.6 eq pcanywhere-data
access-list MANAGE extended permit udp host 209.165.201.30 host 209.165.201.6 eq pcanywhere-status
access-group MANAGE in interface outside
 

例 2:同じセキュリティ レベルを使用したシングル モード ファイアウォール

このコンフィギュレーションでは、3 つの内部インターフェイスを作成します。2 つのインターフェイスは同じセキュリティ レベルの部門に接続します。これにより、すべてのホストがアクセス リストを使用せずに通信できます。DMZ インターフェイスは Syslog サーバのホスティングを行います。外部の管理ホストは、Syslog サーバと セキュリティ アプライアンス にアクセスする必要があります。セキュリティ アプライアンスに接続するには、ホストは VPN 接続を使用します。セキュリティ アプライアンスは内部インターフェイス上の RIP を使用してルートを認識します。セキュリティ アプライアンスはルートを RIP でアドバタイズしません。したがって、アップストリーム ルータはセキュリティ アプライアンス トラフィック用のスタティック ルートを使用する必要があります(図 B-2 を参照)。

部門ネットワークは、インターネットへのアクセスと PAT の使用を許可されています。

図 B-2 例 2

 

passwd g00fba11
enable password gen1u$
hostname Buster
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
interface gigabitethernet 0/0
nameif outside
security-level 0
ip address 209.165.201.3 255.255.255.224
no shutdown
interface gigabitethernet 0/1
nameif dept2
security-level 100
ip address 10.1.2.1 255.255.255.0
mac-address 000C.F142.4CDE standby 000C.F142.4CDF
no shutdown
rip authentication mode md5
rip authentication key scorpius key_id 1
interface gigabitethernet 0/2
nameif dept1
security-level 100
ip address 10.1.1.1 255.255.255.0
no shutdown
interface gigabitethernet 0/3
nameif dmz
security-level 50
ip address 192.168.2.1 255.255.255.0
no shutdown
same-security-traffic permit inter-interface
route outside 0 0 209.165.201.1 1
nat (dept1) 1 10.1.1.0 255.255.255.0
nat (dept2) 1 10.1.2.0 255.255.255.0
! The dept1 and dept2 networks use PAT when accessing the outside
global (outside) 1 209.165.201.9 netmask 255.255.255.255
! Because we perform dynamic NAT on these addresses for outside access, we need to perform
! NAT on them for all other interface access. This identity static statement just
! translates the local address to the same address.
static (dept1,dept2) 10.1.1.0 10.1.1.0 netmask 255.255.255.0
static (dept2,dept1) 10.1.2.0 10.1.2.0 netmask 255.255.255.0
! The syslog server uses a static translation so the outside management host can access
! the server
static (dmz,outside) 209.165.201.5 192.168.2.2 netmask 255.255.255.255
access-list MANAGE remark Allows the management host to access the syslog server
access-list MANAGE extended permit tcp host 209.165.200.225 host 209.165.201.5 eq telnet
access-group MANAGE in interface outside
! Advertises the security appliance IP address as the default gateway for the downstream
! router. The security appliance does not advertise a default route to the upstream
! router. Listens for RIP updates from the downstream router. The security appliance does
! not listen for RIP updates from the upstream router because a default route to the
! upstream router is all that is required.
router rip
network 10.0.0.0
default information originate
version 2
! The client uses a pre-shared key to connect to the security appliance over IPSec. The
! key is the password in the username command following.
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 group 2
isakmp policy 1 hash sha
isakmp enable outside
crypto ipsec transform-set vpn_client esp-3des esp-sha-hmac
username admin password passw0rd
crypto ipsec transform-set vpn esp-3des esp-sha-hmac
crypto dynamic-map vpn_client 1 set transform-set vpn
crypto map telnet_tunnel 1 ipsec-isakmp dynamic vpn_client
crypto map telnet_tunnel interface outside
ip local pool client_pool 10.1.1.2
access-list VPN_SPLIT extended permit ip host 209.165.201.3 host 10.1.1.2
telnet 10.1.1.2 255.255.255.255 outside
telnet timeout 30
logging trap 5
! System messages are sent to the syslog server on the DMZ network
logging host dmz 192.168.2.2
logging enable
 

例 3:マルチ コンテキストの共有リソース

このコンフィギュレーションには、社内の複数の部門用のマルチ コンテキストが含まれています。各部門が独自のセキュリティ ポリシーを使用できるように、各部門に独自のセキュリティ コンテキストを設定します。ただし、Syslog サーバ、メール サーバ、および AAA サーバは、すべての部門で共有します。これらのサーバは、共有インターフェイス上に置かれます(図 B-3 を参照)。

部門 1 には、AAA サーバによって認証された外部ユーザがアクセスできる Web サーバがあります。

図 B-3 例 3

 

この構成の詳細については、次の項目を参照してください。

「例 3:システム コンフィギュレーション」

「例 3:管理コンテキストのコンフィギュレーション」

「例 3:部門 1 のコンテキストのコンフィギュレーション」

「例 3:部門 2 のコンテキストのコンフィギュレーション」

例 3:システム コンフィギュレーション

まず、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにします。モードは、再起動後も保持されますが、コンフィギュレーション ファイルには保存されません。 show mode コマンドを入力して、現在のモードを表示します。

hostname Ubik
password pkd55
enable password deckard69
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
mac-address auto
admin-context admin
interface gigabitethernet 0/0
no shutdown
interface gigabitethernet 0/0.200
vlan 200
no shutdown
interface gigabitethernet 0/1
shutdown
interface gigabitethernet 0/1.201
vlan 201
no shutdown
interface gigabitethernet 0/1.202
vlan 202
no shutdown
interface gigabitethernet 0/1.300
vlan 300
no shutdown
context admin
allocate-interface gigabitethernet 0/0.200
allocate-interface gigabitethernet 0/1.201
allocate-interface gigabitethernet 0/1.300
config-url disk0://admin.cfg
context department1
allocate-interface gigabitethernet 0/0.200
allocate-interface gigabitethernet 0/1.202
allocate-interface gigabitethernet 0/1.300
config-url ftp://admin:passw0rd@10.1.0.16/dept1.cfg
context department2
allocate-interface gigabitethernet 0/0.200
allocate-interface gigabitethernet 0/1.203
allocate-interface gigabitethernet 0/1.300
config-url ftp://admin:passw0rd@10.1.0.16/dept2.cfg
 

例 3:管理コンテキストのコンフィギュレーション

hostname Admin
interface gigabitethernet 0/0.200
nameif outside
security-level 0
ip address 209.165.201.3 255.255.255.224
no shutdown
interface gigabitethernet 0/0.201
nameif inside
security-level 100
ip address 10.1.0.1 255.255.255.0
no shutdown
interface gigabitethernet 0/0.300
nameif shared
security-level 50
ip address 10.1.1.1 255.255.255.0
no shutdown
passwd v00d00
enable password d011
route outside 0 0 209.165.201.2 1
nat (inside) 1 10.1.0.0 255.255.255.0
! This context uses PAT for inside users that access the outside
global (outside) 1 209.165.201.6 netmask 255.255.255.255
! This context uses PAT for inside users that access the shared network
global (shared) 1 10.1.1.30
! Because this host can access the web server in the Department 1 context, it requires a
! static translation
static (inside,outside) 209.165.201.7 10.1.0.15 netmask 255.255.255.255
! Because this host has management access to the servers on the Shared interface, it
! requires a static translation to be used in an access list
static (inside,shared) 10.1.1.78 10.1.0.15 netmask 255.255.255.255
access-list SHARED remark -Allows only mail traffic from inside to exit shared interface
access-list SHARED remark -but allows the admin host to access any server.
access-list SHARED extended permit ip host 10.1.1.78 any
access-list SHARED extended permit tcp host 10.1.1.30 host 10.1.1.7 eq smtp
! Note that the translated addresses are used.
access-group SHARED out interface shared
! Allows 10.1.0.15 to access the admin context using Telnet. From the admin context, you
! can access all other contexts.
telnet 10.1.0.15 255.255.255.255 inside
aaa-server AAA-SERVER protocol tacacs+
aaa-server AAA-SERVER (shared) host 10.1.1.6
key TheUauthKey
server-port 16
! The host at 10.1.0.15 must authenticate with the AAA server to log in
aaa authentication telnet console AAA-SERVER
aaa authorization command AAA-SERVER LOCAL
aaa accounting command AAA-SERVER
logging trap 6
! System messages are sent to the syslog server on the Shared network
logging host shared 10.1.1.8
logging enable
 

例 3:部門 1 のコンテキストのコンフィギュレーション

interface gigabitethernet 0/0.200
nameif outside
security-level 0
ip address 209.165.201.4 255.255.255.224
no shutdown
interface gigabitethernet 0/0.202
nameif inside
security-level 100
ip address 10.1.2.1 255.255.255.0
no shutdown
interface gigabitethernet 0/0.300
nameif shared
security-level 50
ip address 10.1.1.2 255.255.255.0
no shutdown
passwd cugel
enable password rhialto
nat (inside) 1 10.1.2.0 255.255.255.0
! The inside network uses PAT when accessing the outside
global (outside) 1 209.165.201.8 netmask 255.255.255.255
! The inside network uses dynamic NAT when accessing the shared network
global (shared) 1 10.1.1.31-10.1.1.37
! The web server can be accessed from outside and requires a static translation
static (inside,outside) 209.165.201.9 10.1.2.3 netmask 255.255.255.255
access-list WEBSERVER remark -Allows the management host (its translated address) on the access-list WEBSERVER remark -admin context to access the web server for management
access-list WEBSERVER remark -it can use any IP protocol
access-list WEBSERVER extended permit ip host 209.165.201.7 host 209.165.201.9
access-list WEBSERVER remark -Allows any outside address to access the web server
access-list WEBSERVER extended permit tcp any eq http host 209.165.201.9 eq http
access-group WEBSERVER in interface outside
access-list MAIL remark -Allows only mail traffic from inside to exit out the shared int
! Note that the translated addresses are used.
access-list MAIL extended permit tcp host 10.1.1.31 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.32 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.33 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.34 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.35 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.36 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.37 eq smtp host 10.1.1.7 eq smtp
access-group MAIL out interface shared
aaa-server AAA-SERVER protocol tacacs+
aaa-server AAA-SERVER (shared) host 10.1.1.6
key TheUauthKey
server-port 16
! All traffic matching the WEBSERVER access list must authenticate with the AAA server
aaa authentication match WEBSERVER outside AAA-SERVER
logging trap 4
! System messages are sent to the syslog server on the Shared network
logging host shared 10.1.1.8
logging enable
 

例 3:部門 2 のコンテキストのコンフィギュレーション

interface gigabitethernet 0/0.200
nameif outside
security-level 0
ip address 209.165.201.5 255.255.255.224
no shutdown
interface gigabitethernet 0/0.203
nameif inside
security-level 100
ip address 10.1.3.1 255.255.255.0
no shutdown
interface gigabitethernet 0/0.300
nameif shared
security-level 50
ip address 10.1.1.3 255.255.255.0
no shutdown
passwd maz1r1an
enable password ly0ne$$e
route outside 0 0 209.165.201.2 1
nat (inside) 1 10.1.3.0 255.255.255.0
! The inside network uses PAT when accessing the outside
global (outside) 1 209.165.201.10 netmask 255.255.255.255
! The inside network uses PAT when accessing the shared network
global (shared) 1 10.1.1.38
access-list MAIL remark -Allows only mail traffic from inside to exit out the shared int
access-list MAIL extended permit tcp host 10.1.1.38 host 10.1.1.7 eq smtp
! Note that the translated PAT address is used.
access-group MAIL out interface shared
logging trap 3
! System messages are sent to the syslog server on the Shared network
logging host shared 10.1.1.8
logging enable
 

例 4:外部アクセスのあるマルチ モード、トランスペアレント ファイアウォール

このコンフィギュレーションでは、3 つのセキュリティ コンテキストに加え、管理コンテキストを作成します。各コンテキストで、内部ルータと外部ルータ間で転送される OSPF トラフィックを許可します( 図 B-4 を参照)。

内部ホストからは外部のインターネットにアクセスできますが、外部ホストは内部にアクセスできません。

アウトオブバンド管理ホストは、管理 0/0 インターフェイスに接続されています。

管理コンテキストでは、1 つのホストから セキュリティ アプライアンス への SSH セッションを許可しています。

コンテキスト間で同じ内部 IP アドレスを共有できますが、個別の IP アドレスを設定する方が管理は簡単です。

図 B-4 例 4

 

この構成の詳細については、次の項目を参照してください。

「例 4:システム コンフィギュレーション」

「例 4:管理コンテキストのコンフィギュレーション」

「例 4:カスタマー A のコンテキストのコンフィギュレーション」

「例 4:カスタマー B のコンテキストのコンフィギュレーション」

「例 4:カスタマー C のコンテキストのコンフィギュレーション」

例 4:システム コンフィギュレーション

まず、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにします。モードは、再起動後も保持されますが、コンフィギュレーション ファイルには保存されません。 show mode コマンドを入力して、現在のモードを表示します。

firewall transparent
hostname Farscape
password passw0rd
enable password chr1cht0n
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
admin-context admin
interface gigabitethernet 0/0
no shutdown
interface gigabitethernet 0/0.150
vlan 150
no shutdown
interface gigabitethernet 0/0.151
vlan 151
no shutdown
interface gigabitethernet 0/0.152
vlan 152
no shutdown
interface gigabitethernet 0/0.153
vlan 153
no shutdown
interface gigabitethernet 0/1
shutdown
interface gigabitethernet 0/1.4
vlan 4
no shutdown
interface gigabitethernet 0/1.5
vlan 5
no shutdown
interface gigabitethernet 0/1.6
vlan 6
no shutdown
interface gigabitethernet 0/1.7
vlan 7
no shutdown
interface management 0/0
no shutdown
context admin
allocate-interface gigabitethernet 0/0.150
allocate-interface gigabitethernet 0/1.4
allocate-interface management 0/0
config-url disk0://admin.cfg
context customerA
description This is the context for customer A
allocate-interface gigabitethernet 0/0.151
allocate-interface gigabitethernet 0/1.5
config-url disk0://contexta.cfg
context customerB
description This is the context for customer B
allocate-interface gigabitethernet 0/0.152
allocate-interface gigabitethernet 0/1.6
config-url disk0://contextb.cfg
context customerC
description This is the context for customer C
allocate-interface gigabitethernet 0/0.153
allocate-interface gigabitethernet 0/1.7
config-url disk0://contextc.cfg
 

例 4:管理コンテキストのコンフィギュレーション

10.1.1.75 のホストは、SSH を使用してコンテキストにアクセスできます。それには、 crypto key generate コマンドを使用してキーのペアを生成する必要があります。

hostname Admin
domain isp
interface gigabitethernet 0/0.150
nameif outside
security-level 0
no shutdown
interface gigabitethernet 0/1.4
nameif inside
security-level 100
no shutdown
interface management 0/0
nameif manage
security-level 50
ip address 10.2.1.1 255.255.255.0
no shutdown
passwd secret1969
enable password h1andl0
ip address 10.1.1.1 255.255.255.0
route outside 0 0 10.1.1.2 1
ssh 10.1.1.75 255.255.255.255 inside
access-list OSPF remark -Allows OSPF
access-list OSPF extended permit 89 any any
access-group OSPF in interface outside
 

例 4:カスタマー A のコンテキストのコンフィギュレーション

interface gigabitethernet 0/0.151
nameif outside
security-level 0
no shutdown
interface gigabitethernet 0/1.5
nameif inside
security-level 100
no shutdown
passwd hell0!
enable password enter55
ip address 10.1.2.1 255.255.255.0
route outside 0 0 10.1.2.2 1
access-list OSPF remark -Allows OSPF
access-list OSPF extended permit 89 any any
access-group OSPF in interface outside
 

例 4:カスタマー B のコンテキストのコンフィギュレーション

interface gigabitethernet 0/0.152
nameif outside
security-level 0
no shutdown
interface gigabitethernet 0/1.6
nameif inside
security-level 100
no shutdown
passwd tenac10us
enable password defen$e
ip address 10.1.3.1 255.255.255.0
route outside 0 0 10.1.3.2 1
access-list OSPF remark -Allows OSPF
access-list OSPF extended permit 89 any any
access-group OSPF in interface outside
 

例 4:カスタマー C のコンテキストのコンフィギュレーション

interface gigabitethernet 0/0.153
nameif outside
security-level 0
no shutdown
interface gigabitethernet 0/1.7
nameif inside
security-level 100
no shutdown
passwd fl0wer
enable password treeh0u$e
ip address 10.1.4.1 255.255.255.0
route outside 0 0 10.1.4.2 1
access-list OSPF remark -Allows OSPF
access-list OSPF extended permit 89 any any
access-group OSPF in interface outside
 

例 5:WebVPN コンフィギュレーション

このコンフィギュレーションでは、セキュリティ アプライアンスへの WebVPN 接続を作成するために必要なコマンドを示します。

WebVPN によってユーザは、Web ブラウザを使用してセキュリティ アプライアンスへのセキュアなリモート アクセス VPN トンネルを確立できます。ソフトウェアまたはハードウェア クライアントは必要ありません。WebVPN を使用することで、HTTP(S)インターネット サイトにアクセスできるほとんどすべてのコンピュータから、幅広い Web リソースおよび Web 対応アプリケーションに簡単にアクセスできます。WebVPN では、Secure Socket Layer プロトコルとその後継である Transport Layer Security(SSL/TLS1)を使用して、リモート ユーザと、セントラル サイトで設定した特定のサポート対象内部リソース間のセキュアな接続が提供されます。セキュリティ アプライアンスはプロキシ処理が必要な接続を認識し、HTTP サーバは認証サブシステムと通信してユーザを認証します。


ステップ 1 WebVPN のセキュリティ アプライアンスを設定します。

webvpn
! WebVPN sessions are allowed on the outside and dmz1 interfaces, ASDM is not allowed.
enable outside
enable dmz161
title-color green
secondary-color 200,160,0
text-color black
default-idle-timeout 3600
! The NetBios Name server used for CIFS resolution.
nbns-server 172.31.122.10 master timeout 2 retry 2
accounting-server-group RadiusACS1
! WebVPN sessions are authenticated to a RADIUS aaa server.
authentication-server-group RadiusACS2
 

ステップ 2 グループ ポリシーまたはユーザ ポリシーに適用する WebVPN アクセス リストをイネーブルにする必要があります。アクセス リストは、グループまたはユーザ設定の filter value および functions コマンドで定義されます。

access-list maia2 remark -deny access to url and send a syslog every 300 seconds
access-list maia2 remark -containing the hit-count (how many times the url was accessed)
access-list maia2 webtype deny url https://sales.example.com log informational interval 300
access-list maia2 remark -Permits access to the URL.
access-list maia2 webtype permit url http://employee-connection.example.com
access-list maia2 remark -Permits access to the site using ssh.
access-list maia2 remark -To be enforced via Port-Forwarding application.
access-list maia2 webtype permit tcp asa-35.example.com 255.255.255.255 eq ssh
access-list maia2 remark -Denies access to the application on port 1533.
access-list maia2 webtype deny tcp im.example.com 255.255.255.255 eq 1533
access-list maia2 remark -Permits access to files on this file share via
access-list maia2 remark -WebVPN Common Internet File System (CIFS).
access-list maia2 webtype permit url cifs://server-bos/people/mkting log informational 3600
 

ステップ 3 ログイン後に WebVPN ユーザのホーム ページで示されるユーザまたはグループごとに定義された設定済み URL のリストを設定できます。

url-list HomeURL "Sales" https://sales.example.com
url-list HomeURL "VPN3000-1" http://vpn3k-1.example.com
url-list HomeURL "OWA-2000" http://10.160.105.2/exchange
url-list HomeURL "Exchange5.5" http://10.86.195.113/exchange
url-list HomeURL " Employee Benefits" http://benefits.example.com
url-list HomeURL "Calendar" http://http://eng.example.com/cal.html
 

ステップ 4 WebVPN を介してポート転送され、ユーザまたはグループ ポリシーごとに適用される web TCP 以外のアプリケーションのリストを設定します。これらはグローバルに定義されますが、ユーザまたはグループ ポリシーごとに適用できます。

port-forward Apps1 4001 10.148.1.81 telnet term-servr
port-forward Apps1 4008 router1-example.com ssh
port-forward Apps1 10143 flask.example.com imap4
port-forward Apps1 10110 flask.example.com pop3
port-forward Apps1 10025 flask.example.com smtp
port-forward Apps1 11533 sametime-im.example.com 1533
port-forward Apps1 10022 secure-term.example.com ssh
port-forward Apps1 21666 tuscan.example.com 1666 perforce-f1
port-forward Apps1 1030 sales.example.com https
 

ステップ 5 SSLVPNusers グループ ポリシーのユーザに対して適用されるポリシー属性を設定します。

group-policy SSLVPNusers internal
group-policy SSLVPNusers attributes
banner value Welcome to Web Services !!!
vpn-idle-timeout 2
vpn-tunnel-protocol IPSec webvpn
webvpn
functions url-entry file-access file-entry file-browsing port-forward filter
url-list value HomeURL
port-forward value Apps1
 

ステップ 6 次に、ASDM および WebVPN HTTPS セッションが終了するインターフェイスを設定します。セキュリティ アプライアンスは WebVPN および ASDM 管理セッションを同時に同一のインターフェイスでサポートできることに注意してください。そのためには、これらの機能に別々のポート番号を割り当てる必要があります。

! Enables the HTTP server to allow ASDM and WebVPN HTTPS sessions.
http server enable
! Allows ASDM session(s) from host 10.20.30.47 on the inside interface ; WebVPN sessions
! are not allowed on this interface.
http 10.10.10.45 255.255.255.255 inside
! Allows WebVPN sessions on outside interfce using HTTP to be re-directed to HTTPS.
! ASDM session is not allowed on this interface.
http redirect outside 80
! Allows WebVPN sessions on dmz1 interfce using HTTP to be re-directed to HTTPS.
http redirect dmz161 80
 

ステップ 7 次に、HTTPS ASDM および WebVPN セッションの 3DES-sha1 暗号を使用したセキュリティ アプライアンスでの終了を許可します。適切な 3DES アクティベーション キーが事前にインストールされている必要があります。

ssl encryption 3des-sha1
ssl trust-point CA-MS inside
 

ステップ 8 最後に、電子メール プロキシを設定します。

imap4s
enable outside
enable inside
enable dmz161
default-group-policy DfltGrpPolicy
pop3s
enable outside
enable inside
enable dmz161
default-group-policy DfltGrpPolicy
smtps
enable outside
enable inside
enable dmz161
default-group-policy DfltGrpPolicy
 

例 6:IPv6 コンフィギュレーション

このコンフィギュレーション例では、セキュリティ アプライアンスでの IPv6 サポートの機能をいくつか示します。

各インターフェイスは、IPv6 アドレスと IPv4 アドレスの両方で設定されます。

IPv6 のデフォルト ルートは ipv6 route コマンドで設定されます。

IPv6 のアクセス リストは外部インターフェイスに適用されます。

内部インターフェイスのホストの IPv6 アドレスにおける Modified-EUI64 形式インターフェイス識別子を使用します。

外部インターフェイスは、ルータ アドバタイズメント メッセージを抑止します。

IPv6 スタティック ルート。

図 B-5 IPv6 デュアル スタック コンフィギュレーション

 

enable password myenablepassword
passwd mypassword
hostname coyupix
asdm image flash:/asdm.bin
boot system flash:/image.bin
interface Ethernet0
nameif outside
security-level 0
ip address 10.142.10.100 255.255.255.0
ipv6 address 2001:400:3:1::100/64
ipv6 nd suppress-ra
ospf mtu-ignore auto
no shutdown
interface Ethernet1
nameif inside
security-level 100
ip address 10.140.10.100 255.255.255.0
ipv6 address 2001:400:1:1::100/64
ospf mtu-ignore auto
no shutdown
access-list allow extended permit icmp any any
ssh 10.140.10.75 255.255.255.255 inside
logging enable
logging buffered debugging
ipv6 enforce-eui64 inside
ipv6 route outside 2001:400:6:1::/64 2001:400:3:1::1
ipv6 route outside ::/0 2001:400:3:1::1
ipv6 access-list outacl permit icmp6 2001:400:2:1::/64 2001:400:1:1::/64
ipv6 access-list outacl permit tcp 2001:400:2:1::/64 2001:400:1:1::/64 eq telnet
ipv6 access-list outacl permit tcp 2001:400:2:1::/64 2001:400:1:1::/64 eq ftp
ipv6 access-list outacl permit tcp 2001:400:2:1::/64 2001:400:1:1::/64 eq www
access-group allow in interface outside
access-group outacl in interface outside
route outside 0.0.0.0 0.0.0.0 16.142.10.1 1
 

例 7:ケーブルベースのアクティブ/スタンバイ フェールオーバー(ルーテッド モード)

図 B-6 に、シリアル フェールオーバー ケーブルを使用したフェールオーバー コンフィギュレーションのネットワーク図を示します。このコンフィギュレーションは、PIX セキュリティ アプライアンスだけで使用できます。

図 B-6 ケーブルベースのフェールオーバー コンフィギュレーション

 

次に、ケーブルベースのフェールオーバー コンフィギュレーションにおける代表的なコマンドを示します。

enable password myenablepassword
passwd mypassword
hostname pixfirewall
asdm image flash:/asdm.bin
boot system flash:/image.bin
interface Ethernet0
nameif outside
security-level 0
speed 100
duplex full
ip address 209.165.201.1 255.255.255.224 standby 209.165.201.2
no shutdown
interface Ethernet1
nameif inside
security-level 100
speed 100
duplex full
ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
no shutdown
interface Ethernet3
description STATE Failover Interface
telnet 192.168.2.45 255.255.255.255 inside
access-list acl_in permit tcp any host 209.165.201.5 eq 80
access-group acl_in in interface outside
failover
failover link state Ethernet3
failover interface ip state 192.168.253.1 255.255.255.252 standby 192.168.253.2
global (outside) 1 209.165.201.3 netmask 255.255.255.224
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 209.165.201.5 192.168.2.5 netmask 255.255.255.255 0 0
route outside 0.0.0.0 0.0.0.0 209.165.201.4 1

例 8:LAN ベースのアクティブ/スタンバイ フェールオーバー(ルーテッド モード)

図 B-7 に、イーサネット フェールオーバー リンクを使用したフェールオーバー コンフィギュレーションのネットワーク図を示します。これらの装置は、装置の障害を検出すると、セカンダリ装置にフェールオーバーするように設定されています(プライマリ装置のコンフィギュレーションの failover polltime unit コマンドを参照)。

図 B-7 LAN ベースのフェールオーバー コンフィギュレーション

 

この構成の詳細については、次の項目を参照してください。

「例 8:プライマリ装置のコンフィギュレーション」

「例 8:セカンダリ装置のコンフィギュレーション」

例 8:プライマリ装置のコンフィギュレーション

hostname pixfirewall
enable password myenablepassword
password mypassword
interface Ethernet0
nameif outside
ip address 209.165.201.1 255.255.255.224 standby 209.165.201.2
no shutdown
interface Ethernet1
nameif inside
ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
no shutdown
interface Ethernet2
description LAN Failover Interface
no shutdown
interface ethernet3
description STATE Failover Interface
telnet 192.168.2.45 255.255.255.255 inside
access-list acl_out permit tcp any host 209.165.201.5 eq 80
failover
failover lan unit primary
failover lan interface failover Ethernet2
failover lan enable
! The failover lan enable command is required on the PIX security appliance only.
failover polltime unit msec 200 holdtime msec 800
failover key key1
failover link state Ethernet3
failover interface ip failover 192.168.254.1 255.255.255.0 standby 192.168.254.2
failover interface ip state 192.168.253.1 255.255.255.0 standby 192.168.253.2
global (outside) 1 209.165.201.3 netmask 255.255.255.224
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 209.165.201.5 192.168.2.5 netmask 255.255.255.255 0 0
access-group acl_out in interface outside
route outside 0.0.0.0 0.0.0.0 209.165.201.4 1
 

例 8:セカンダリ装置のコンフィギュレーション

failover
failover lan unit secondary
failover lan interface failover ethernet2
failover lan enable
failover key key1
failover interface ip failover 192.168.254.1 255.255.255.0 standby 192.168.254.2

例 9:LAN ベースのアクティブ/アクティブ フェールオーバー(ルーテッド モード)

次に、アクティブ/アクティブのフェールオーバーを設定する例を示します。この例では、admin と ctx1 という名前の 2 つのユーザ コンテキストがあります。図 B-8 に、この例のネットワーク図を示します。

図 B-8 アクティブ/アクティブのフェールオーバー設定

 

この構成の詳細については、次の項目を参照してください。

例 9:プライマリ装置のコンフィギュレーション

例 9:セカンダリ装置のコンフィギュレーション

例 9:プライマリ装置のコンフィギュレーション

プライマリ装置のコンフィギュレーションについては、次の項を参照してください。

「例 9:プライマリ システムのコンフィギュレーション」

「例 9:プライマリ管理コンテキストのコンフィギュレーション」

「例 9:プライマリ ctx1 コンテキストのコンフィギュレーション」

例 9:プライマリ システムのコンフィギュレーション

まず、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにします。モードは、再起動後も保持されますが、コンフィギュレーション ファイルには保存されません。 show mode コマンドを入力して、現在のモードを表示します。

hostname ciscopix
enable password farscape
password crichton
asdm image flash:/asdm.bin
boot system flash:/cdisk.bin
mac-address auto
interface Ethernet0
description LAN/STATE Failover Interface
interface Ethernet1
no shutdown
interface Ethernet2
no shutdown
interface Ethernet3
no shutdown
interface Ethernet4
no shutdown
interface Ethernet5
no shutdown
interface Ethernet6
no shutdown
interface Ethernet7
no shutdown
interface Ethernet8
no shutdown
interface Ethernet9
no shutdown
failover
failover lan unit primary
failover lan interface folink Ethernet0
failover link folink Ethernet0
failover interface ip folink 10.0.4.1 255.255.255.0 standby 10.0.4.11
failover group 1
primary
preempt
failover group 2
secondary
preempt
admin-context admin
context admin
description admin
allocate-interface Ethernet1
allocate-interface Ethernet2
config-url flash:/admin.cfg
join-failover-group 1
context ctx1
description context 1
allocate-interface Ethernet3
allocate-interface Ethernet4
config-url flash:/ctx1.cfg
join-failover-group 2

例 9:プライマリ管理コンテキストのコンフィギュレーション

enable password frek
password elixir
hostname admin
interface Ethernet1
nameif outside
security-level 0
ip address 192.168.5.101 255.255.255.0 standby 192.168.5.111
interface Ethernet2
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0 standby 192.168.0.11
monitor-interface outside
monitor-interface inside
route outside 0.0.0.0 0.0.0.0 192.168.5.1 1
ssh 192.168.0.2 255.255.255.255 inside
 

例 9:プライマリ ctx1 コンテキストのコンフィギュレーション

enable password quadrophenia
password tommy
hostname ctx1
interface Ethernet3
nameif inside
security-level 100
ip address 192.168.20.1 255.255.255.0 standby 192.168.20.11
interface Ethernet4
nameif outside
security-level 0
ip address 192.168.10.31 255.255.255.0 standby 192.168.10.41
asr-group 1
access-list 201 extended permit ip any any
access-group 201 in interface outside
logging enable
logging console informational
monitor-interface inside
monitor-interface outside
route outside 0.0.0.0 0.0.0.0 192.168.10.71 1
 

例 9:セカンダリ装置のコンフィギュレーション

フェールオーバー リンクを認識するには、セカンダリ セキュリティ アプライアンス を設定します。セカンダリ セキュリティ アプライアンスは、ブート時またはフェールオーバーが初めてイネーブルになったときに、プライマリ セキュリティ アプライアンスからコンテキスト コンフィギュレーションを取得します。フェールオーバー グループの設定内の preempt コマンドを使用すると、設定が同期化されて先行遅延時間が経過したときに、フェールオーバー グループが指定ユニット上でアクティブになります。

failover
failover lan unit secondary
failover lan interface folink Ethernet0
failover interface ip folink 10.0.4.1 255.255.255.0 standby 10.0.4.11
 

例 10:ケーブルベースのアクティブ/スタンバイ フェールオーバー(トランスペアレント モード)

図 B-6 に、シリアル フェールオーバー ケーブルを使用したトランスペアレント モードのフェールオーバー コンフィギュレーションのネットワーク図を示します。このコンフィギュレーションは、PIX 500 シリーズ セキュリティ アプライアンスだけで使用できます。

図 B-9 トランスペアレント モードのケーブルベースのフェールオーバー コンフィギュレーション

 

 

次に、ケーブルベースのトランスペアレント ファイアウォール フェールオーバー コンフィギュレーションにおける代表的なコマンドを示します。

enable password myenablepassword
passwd mypassword
hostname pixfirewall
asdm image flash:/asdm.bin
boot system flash:/image.bin
firewall transparent
interface Ethernet0
speed 100
duplex full
nameif outside
security-level 0
no shutdown
interface Ethernet1
speed 100
duplex full
nameif inside
security-level 100
no shutdown
interface Ethernet3
description STATE Failover Interface
telnet 192.168.2.45 255.255.255.255 mgmt
access-list acl_in permit tcp any host 209.165.201.5 eq 80
access-group acl_in in interface outside
ip address 209.165.201.1 255.255.255.0 standby 209.165.201.2
failover
failover link state Ethernet3
failover interface ip state 192.168.253.1 255.255.255.0 standby 192.168.253.2
route outside 0.0.0.0 0.0.0.0 209.165.201.4 1

例 11:LAN ベースのアクティブ/ スタンバイ フェールオーバー(トランスペアレント モード)

図 B-7 に、イーサネット フェールオーバー リンクを使用したトランスペアレント モードのフェールオーバー コンフィギュレーションのネットワーク図を示します。これらの装置は、装置の障害を検出すると、セカンダリ装置にフェールオーバーするように設定されています(プライマリ装置のコンフィギュレーションの failover polltime unit コマンドを参照)。

図 B-10 トランスペアレント モードの LAN ベースのフェールオーバー コンフィギュレーション

 

この構成の詳細については、次の項目を参照してください。

「例 8:プライマリ装置のコンフィギュレーション」

「例 8:セカンダリ装置のコンフィギュレーション」

例 11:プライマリ装置のコンフィギュレーション

firewall transparent
hostname pixfirewall
enable password myenablepassword
password mypassword
interface Ethernet0
nameif outside
no shutdown
interface Ethernet1
nameif inside
no shutdown
interface Ethernet2
description LAN Failover Interface
no shutdown
interface ethernet3
description STATE Failover Interface
telnet 192.168.2.45 255.255.255.255 inside
access-list acl_out permit tcp any host 209.165.201.5 eq 80
ip address 209.165.201.1 255.255.255.0 standby 209.165.201.2
failover
failover lan unit primary
failover lan interface failover Ethernet2
failover lan enable
! The failover lan enable command is required on the PIX security appliance only.
failover polltime unit msec 200 holdtime msec 800
failover key key1
failover link state Ethernet3
failover interface ip failover 192.168.254.1 255.255.255.0 standby 192.168.254.2
failover interface ip state 192.168.253.1 255.255.255.0 standby 192.168.253.2
access-group acl_out in interface outside
route outside 0.0.0.0 0.0.0.0 209.165.201.4 1
 

例 11:セカンダリ装置のコンフィギュレーション

firewall transparent
failover
failover lan unit secondary
failover lan interface failover ethernet2
failover lan enable
failover key key1
failover interface ip failover 192.168.254.1 255.255.255.0 standby 192.168.254.2

例 12:LAN ベースのアクティブ/ アクティブ フェールオーバー(トランスペアレント モード)

次の例は、トランスペアレント モードのアクティブ/ アクティブ フェールオーバーの設定方法を示します。この例では、admin と ctx1 という名前の 2 つのユーザ コンテキストがあります。図 B-8 に、この例のネットワーク図を示します。

図 B-11 トランスペアレント モードのアクティブ/ アクティブ フェールオーバー コンフィギュレーション

 

この構成の詳細については、次の項目を参照してください。

例 9:プライマリ装置のコンフィギュレーション

例 9:セカンダリ装置のコンフィギュレーション

例 12:プライマリ装置のコンフィギュレーション

プライマリ装置のコンフィギュレーションについては、次の項を参照してください。

「例 9:プライマリ システムのコンフィギュレーション」

「例 9:プライマリ管理コンテキストのコンフィギュレーション」

「例 9:プライマリ ctx1 コンテキストのコンフィギュレーション」

例 12:プライマリ システムのコンフィギュレーション

まず、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにします。モードは、再起動後も保持されますが、コンフィギュレーション ファイルには保存されません。 show mode コマンドを入力して、現在のモードを表示します。

firewall transparent
hostname ciscopix
enable password farscape
password crichton
asdm image flash:/asdm.bin
boot system flash:/cdisk.bin
mac-address auto
interface Ethernet0
description LAN/STATE Failover Interface
interface Ethernet1
no shutdown
interface Ethernet2
no shutdown
interface Ethernet3
no shutdown
interface Ethernet4
no shutdown
interface Ethernet5
no shutdown
interface Ethernet6
no shutdown
interface Ethernet7
no shutdown
interface Ethernet8
no shutdown
interface Ethernet9
no shutdown
failover
failover lan unit primary
failover lan interface folink Ethernet0
failover link folink Ethernet0
failover interface ip folink 10.0.4.1 255.255.255.0 standby 10.0.4.11
failover group 1
primary
preempt
failover group 2
secondary
preempt
admin-context admin
context admin
description admin
allocate-interface Ethernet1
allocate-interface Ethernet2
config-url flash:/admin.cfg
join-failover-group 1
context ctx1
description context 1
allocate-interface Ethernet3
allocate-interface Ethernet4
config-url flash:/ctx1.cfg
join-failover-group 2

例 12:プライマリ管理コンテキストのコンフィギュレーション

enable password frek
password elixir
hostname admin
interface Ethernet1
nameif outside
security-level 0
interface Ethernet2
nameif inside
security-level 100
ip address 192.168.5.31 255.255.255.0 standby 192.168.5.32
monitor-interface outside
monitor-interface inside
route outside 0.0.0.0 0.0.0.0 192.168.5.1 1
ssh 192.168.5.72 255.255.255.255 inside
 

例 12:プライマリ ctx1 コンテキストのコンフィギュレーション

enable password quadrophenia
password tommy
hostname ctx1
interface Ethernet3
nameif inside
security-level 100
interface Ethernet4
nameif outside
security-level 0
access-list 201 extended permit ip any any
access-group 201 in interface outside
logging enable
logging console informational
ip address 192.168.10.31 255.255.255.0 standby 192.168.10.32
monitor-interface inside
monitor-interface outside
route outside 0.0.0.0 0.0.0.0 192.168.10.1 1
 

例 12:セカンダリ装置のコンフィギュレーション

フェールオーバー リンクを認識するには、セカンダリ セキュリティ アプライアンス を設定します。セカンダリ セキュリティ アプライアンスは、ブート時またはフェールオーバーが初めてイネーブルになったときに、プライマリ セキュリティ アプライアンスからコンテキスト コンフィギュレーションを取得します。フェールオーバー グループの設定内の preempt コマンドを使用すると、設定が同期化されて先行遅延時間が経過したときに、フェールオーバー グループが指定ユニット上でアクティブになります。

firewall transparent
failover
failover lan unit secondary
failover lan interface folink Ethernet0
failover interface ip folink 10.0.4.1 255.255.255.0 standby 10.0.4.11
 

例 13:スタティック ルート トラッキングを使用したデュアル ISP サポート

このコンフィギュレーションは、プライマリ ISP ルートがダウンした場合に、スタティック ルート トラッキングを使用して、バックアップの ISP ルートを利用するリモート オフィスを示します。リモート オフィスのセキュリティ アプライアンスは、ICMP エコー要求を使用して、メイン オフィス ゲートウェイのアベイラビリティを監視します。このゲートウェイがデフォルト ルートを通じて利用できなくなると、デフォルト ルートがルーティング テーブルから削除されて、代わりにバックアップ ISP へのフローティング ルートが使用されます。

図 B-12 デュアル ISP サポート

 

passwd password1
enable password password2
hostname myfirewall
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
!
interface gigabitethernet 0/0
nameif outside
security-level 0
ip address 10.1.1.2 255.255.255.0
no shutdown
!
interface gigabitethernet 0/1
description backup isp link
nameif backupisp
security-level 100
ip address 172.16.2.2 255.255.255.0
no shutdown
!
sla monitor 123
type echo protocol ipIcmpEcho 10.2.1.2 interface outside
num-packets 3
timeout 1000
frequency 3
sla monitor schedule 123 life forever start-time now
!
track 1 rtr 123 reachability
!
route outside 0.0.0.0 0.0.0.0 10.1.1.1 track 1
! The above route is used while the tracked object, router 10.2.1.2
! is available. It is removed when the router becomes unavailable.
!
route backupisp 0.0.0.0 0.0.0.0 172.16.2.1 254
! The above route is a floating static route that is added to the
! routing table when the tracked route is removed.

例 14:ASA 5505 基本ライセンス

このコンフィギュレーションでは、内部(ビジネス)、外部(インターネット)、ホームの 3 つの VLAN を作成します(図 B-13 を参照)。ホーム VLAN と内部 VLAN も外部にアクセスできますが、ホーム VLAN から内部 VLAN にはアクセスできません。内部 VLAN からはホーム VLAN にアクセスできるため、1 台のプリンタを共有できます。外部 IP アドレスは DHCP を使用して設定されているため、内部 VLAN とホーム VLAN は、インターネット アクセス時にインターフェイス PAT を使用します。

図 B-13 例 13

 

passwd g00fba11
enable password gen1u$
hostname Buster
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
interface vlan 2
nameif outside
security-level 0
ip address dhcp setroute
no shutdown
interface vlan 1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
no shutdown
interface vlan 3
! This interface cannot communicate with the inside interface. This is required using
! the Base license
no forward interface vlan 1
nameif home
security-level 50
ip address 192.168.2.1 255.255.255.0
no shutdown
interface ethernet 0/0
switchport access vlan 2
no shutdown
interface ethernet 0/1
switchport access vlan 1
no shutdown
interface ethernet 0/2
switchport access vlan 1
no shutdown
interface ethernet 0/3
switchport access vlan 3
no shutdown
interface ethernet 0/4
switchport access vlan 3
no shutdown
interface ethernet 0/5
switchport access vlan 3
no shutdown
interface ethernet 0/6
description PoE for IP phone1
switchport access vlan 1
no shutdown
interface ethernet 0/7
description PoE for IP phone2
switchport access vlan 1
no shutdown
nat (inside) 1 0 0
nat (home) 1 0 0
global (outside) 1 interface
! The previous NAT statements match all addresses on inside and home, so you need to
! also perform NAT when hosts access the inside or home networks (as well as the outside). ! Or you can exempt hosts from NAT for inside <--> home traffic, as effected by the
! following:
access-list natexmpt-inside extended permit ip any 192.168.2.0 255.255.255.0
access-list natexmpt-home extended permit ip any 192.168.1.0 255.255.255.0
nat (inside) 0 access-list natexmpt-inside
nat (home) 0 access-list natexmpt-home
http server enable
http 192.168.1.0 255.255.255.0 inside
dhcpd address 192.168.1.2-192.168.1.254 inside
dhcpd auto_config outside
dhcpd enable inside
logging asdm informational
ssh 192.168.1.0 255.255.255.0 inside
 

例 15:フェールオーバーおよびデュアル ISP バックアップでの ASA 5505 Security Plus ライセンス

このコンフィギュレーションでは、内部、外部、dmz、バックアップ ISP、および faillink の 5 つの VLAN を作成します(図 B-13 を参照)。

図 B-14 例 15

 

この構成の詳細については、次の項目を参照してください。

例 15:プライマリ装置のコンフィギュレーション

例 16:ネットワーク トラフィックの誘導

例 15:プライマリ装置のコンフィギュレーション

passwd g00fba11
enable password gen1u$
hostname Buster
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
interface vlan 2
description Primary ISP interface
nameif outside
security-level 0
ip address 209.165.200.224 standby 209.165.200.225
backup interface vlan 4
no shutdown
interface vlan 1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
no shutdown
interface vlan 3
nameif dmz
security-level 50
ip address 192.168.2.1 255.255.255.0
no shutdown
interface vlan 4
description Backup ISP interface
nameif backup-isp
security-level 0
ip address 209.168.202.128 standby 209.168.202.129
no shutdown
interface vlan 5
description LAN Failover Interface
interface ethernet 0/0
switchport access vlan 2
no shutdown
interface ethernet 0/1
switchport access vlan 4
no shutdown
interface ethernet 0/2
switchport access vlan 1
no shutdown
interface ethernet 0/3
switchport access vlan 3
no shutdown
interface ethernet 0/4
switchport access vlan 5
no shutdown
failover
failover lan unit primary
failover lan interface faillink vlan5
failover lan faillink vlan5
failover polltime unit 3 holdtime 10
failover key key1
failover interface ip faillink 10.1.1.1 255.255.255.0 standby 10.1.1.2
nat (inside) 1 0 0
nat (home) 1 0 0
global (outside) 1 interface
! The previous NAT statements match all addresses on inside and home, so you need to
! also perform NAT when hosts access the inside or home networks (as well as the outside). ! Or you can exempt hosts from NAT for inside <--> home traffic, as effected by the
! following:
access-list natexmpt-inside extended permit ip any 192.168.2.0 255.255.255.0
access-list natexmpt-home extended permit ip any 192.168.1.0 255.255.255.0
nat (inside) 0 access-list natexmpt-inside
nat (home) 0 access-list natexmpt-home
sla monitor 123
type echo protocol ipIcmpEcho 209.165.200.234 interface outside
num-packets 2
frequency 5
sla monitor schedule 123 life forever start-time now
track 1 rtr 123 reachability
route outside 0 0 209.165.200.234 1 track 1
! This route is for the primary ISP.
route backup-isp 0 0 209.165.202.154 2
! If the link goes down for the primary ISP, either due to a hardware failure
! or unplugged cable, then this route will be used.
http server enable
http 192.168.1.0 255.255.255.0 inside
dhcpd address 192.168.1.2-192.168.1.254 inside
dhcpd auto_config outside
dhcpd enable inside
logging asdm informational
ssh 192.168.1.0 255.255.255.0 inside
 

例 15:セカンダリ装置のコンフィギュレーション

フェールオーバー リンクを認識するには、セカンダリ セキュリティ アプライアンス を設定します。セカンダリ セキュリティ アプライアンスは、ブート時またはフェールオーバーが初めてイネーブルになったときに、プライマリ セキュリティ アプライアンスからコンテキスト コンフィギュレーションを取得します。

interface ethernet 0/4
switchport access vlan 5
no shutdown
failover
failover lan unit secondary
failover lan interface faillink vlan5
failover polltime unit 3 holdtime 10
failover key key1
failover interface ip faillink 10.1.1.1 255.255.255.0 standby 10.1.1.2
 

例 16:ネットワーク トラフィックの誘導

次の設定例では、バージョン 7.2.1 ソフトウェアを使用する ASA 5500 シリーズ適応型セキュリティ アプライアンスおよび IPS ソフトウェア 5.1.1 を使用する AIP SSM モジュールを示します。

適応型セキュリティ アプライアンスを通過するネットワーク トラフィックには、インターネットにアクセスする内部ユーザ、非武装地帯(DMZ)の適応型セキュリティ アプライアンスによって保護されているリソースにアクセスするインターネット ユーザまたは内部ネットワークのインターネット ユーザが含まれます。適応型セキュリティ アプライアンスと送受信されるネットワーク トラフィックは、検査のために IPS モジュールには送信されません。IPS モジュールに送信されないトラフィックの例には、適応型セキュリティ アプライアンス インターフェイスの(ICMP による)ping または適応型セキュリティ アプライアンスへの Telnet が含まれます。

ASA 5510 適応型セキュリティ アプライアンスに必要な設定コンポーネントには、インターフェイス、アクセス リスト、ネットワーク アドレス変換(NAT)、およびルーティングが含まれます。AIP SSM に必要な設定コンポーネントには、ネットワーク設定、許可されたホスト、インターフェイス設定、シグニチャ定義およびイベント アクション ルールが含まれます。

この項で使用されるコマンドに関する詳細情報を取得するには、Command Lookup Tool を使用します(登録ユーザ専用)。


) この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。これらのスキームは、テスト環境で使用された RFC 1918 アドレスです。


図 B-15 に、この設定例のネットワーク図を示します。

図 B-15 ネットワーク図

 

図 B-16 および図 B-17 に、ASA 5510 適応型セキュリティ アプライアンスと AIP SSM の初期設定を示します。

図 B-16 ASA 5510 適応型セキュリティ アプライアンスの設定

 

asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
!--- Translation rules are added.
global (outside) 1 172.16.1.100
global (dmz) 1 192.168.1.100
nat (inside) 1 10.2.2.0 255.255.255.0
static (dmz,outside) 172.16.1.50 192.168.1.50 netmask 255.255.255.255
static (inside,dmz) 10.2.2.200 10.2.2.200 netmask 255.255.255.255
!--- Access lists are applied to the interfaces.
access-group acl_outside_in in interface outside
access-group acl_inside_in in interface inside
access-group acl_dmz_in in interface dmz
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
!--- Out-of-the-box default configuration includes
!--- policy-map global_policy.
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
!--- Out-of-the-box default configuration includes
!--- the service-policy global_policy applied globally.
prompt hostname context
.
: end

図 B-17 AIP SSM の設定

 

exit
! ------------------------------
service logger
exit
! ------------------------------
service network-access
exit
! ------------------------------
service notification
exit
! ------------------------------
service signature-definition sig0
!--- The signature is modified from the default setting for testing purposes.

signatures 2000 0
alert-severity high
engine atomic-ip
event-action produce-alert|produce-verbose-alert
exit
alert-frequency
summary-mode fire-all
summary-key AxBx
exit
exit
status
enabled true
exit
exit
!--- The signature is modified from the default setting for testing purposes.

signatures 2004 0
alert-severity high
engine atomic-ip
event-action produce-alert|produce-verbose-alert
exit
alert-frequency
summary-mode fire-all
summary-key AxBx
exit
exit
status
enabled true
exit
exit
!--- The custom signature is added for testing purposes.
signatures 60000 0
alert-severity high
sig-fidelity-rating 75
sig-description
sig-name Telnet Command Authorization Failure
sig-string-info Command authorization failed
sig-comment signature triggers string command authorization failed
exit
engine atomic-ip
specify-l4-protocol yes
l4-protocol tcp
no tcp-flags
no tcp-mask
exit
specify-payload-inspection yes
regex-string Command authorization failed
exit
exit
exit
exit
exit
! ------------------------------
service ssh-known-hosts
exit
! ------------------------------
service trusted-certificates
exit
! ------------------------------
service web-server
enable-tls true
exit
onionlabaip#

AIP SSM によるすべてのトラフィックの検査

この設定は、すべてのトラフィックをモニタするための要件を満たしています。また、ASA 5510 と AIP SSM の対話方法についても 2 つの決定を行う必要があります。

AIP SSM モジュールを無差別モードとインライン モードのいずれで導入するか。

無差別モードでは、ASA 5510 が元のデータを宛先に転送する一方で、データのコピーが AIP SSM に送信されます。無差別モードの AIP SSM は、侵入検知システム(IDS)として認識される場合があります。このモードでは、アラームの原因となるトリガー パケットが宛先に到達できます。回避が発生し、追加パケットによる宛先への到達が中断される場合がありますが、トリガー パケットは中断されません。

インライン モードでは、検査を目的として、ASA 5510 によって AIP SSM にデータが転送されます。AIP SSM の検査に合格したデータは ASA 5510 に返され、処理が継続されて宛先に送信されます。インライン モードの AIP SSM は、侵入防御システム(IPS)として認識される場合があります。無差別モードとは異なり、インライン モード IPS では実際にトリガー パケットによる宛先への到達が中断されます。

ASA 5510 が AIP SSM と通信できない場合に、適応型セキュリティ アプライアンスによる検査対象のトラフィックの処理方法について。

ASA 5510 が AIP SSM と通信できない場合のインスタンスの例には、AIP SSM のリロードまたはモジュールに障害が発生して代わりが必要な場合が含まれます。この場合、適応型セキュリティ アプライアンスはフェール オープンまたはフェール クローズになれます。

フェール オープンでは、AIP SSM に到達できない場合、適応型セキュリティ アプライアンスは検査対象のトラフィックを最終的な宛先に渡し続けられます。フェール クローズでは、適応型セキュリティ アプライアンスが AIP SSM と通信できない場合、検査対象のトラフィックをブロックします。


) アクセス リストを使用して、検査対象のトラフィックを定義します。次の例では、アクセス リストによって任意の発信元から任意の宛先へのすべての IP トラフィックが許可されます。つまり、検査対象のトラフィックは、適応型セキュリティ アプライアンスを通過する任意のトラフィックである可能性があります。


ciscoasa(config)#access-list traffic_for_ips permit ip any any
ciscoasa(config)#class-map ips_class_map
ciscoasa(config-cmap)#match access-list traffic_for_ips
!--- The match any
!--- command can be used in place of the match access-list [access-list name]
!--- command. In this example, access-list traffic_for_ips permits
!--- all traffic. The match any command also
!--- permits all traffic. You can use either configuration.
!--- When you define an access-list, it can ease troubleshooting.
ciscoasa(config)#policy-map global_policy
!--- Note that policy-map global_policy is a part of the
!--- default configuration. In addition, policy-map global_policy is applied
!--- globally using the service-policy command.
ciscoasa(config-pmap)#class ips_class_map
ciscoasa(config-pmap-c)#ips inline fail-open
!--- Two decisions need to be made.
!--- First, does the AIP-SSM function
!--- in inline or promiscuous mode?
!--- Second, does the ASA fail-open or fail-closed?

AIP SSM による特定のトラフィックの検査

AIP SSM がすべてのトラフィックのサブセットをモニタする場合は、適応型セキュリティ アプライアンスの 2 つの独立変数を変更できます。

必要なトラフィックを含めたり除外するためにアクセス リストを作成できます。

あるインターフェイスに対してまたはグローバルにサービス ポリシーを適用できます。

図 B-15 のネットワーク図は、次の例に示すように、外部ネットワークと DMZ ネットワークの間のすべてのトラフィックを検査する AIP SSM を示します。

ciscoasa#configure terminal
ciscoasa(config)#access-list traffic_for_ips deny ip 10.2.2.0 255.255.255.0 192.168.1.0 255.255.255.0
ciscoasa(config)#access-list traffic_for_ips permit ip any 192.168.1.0 255.255.255.0
ciscoasa(config)#access-list traffic_for_ips deny ip 192.168.1.0 255.255.255.0 10.2.2.0 255.255.255.0
ciscoasa(config)#access-list traffic_for_ips permit ip 192.168.1.0 255.255.255.0 any
ciscoasa(config)#class-map ips_class_map
ciscoasa(config-cmap)#match access-list traffic_for_ips
ciscoasa(config)#policy-map interface_policy
ciscoasa(config-pmap)#class ips_class_map
ciscoasa(config-pmap-c)#ips inline fail-open
ciscoasa(config)#service-policy interface_policy interface dmz
!--- The access-list denies traffic from the inside network to the DMZ network
!--- and traffic to the inside network from the DMZ network.
!--- In addition, the service-policy command is applied to the DMZ interface.

次に、内部ネットワークから外部ネットワークへのトラフィックをモニタする一方で、DMZ ネットワークへの内部ネットワークを除外するように AIP SSM を設定する例を示します。


) 次の例を理解するには、ステートフルネス、TCP、UDP、ICMP、接続およびコネクションレス通信の中程度の知識が必要です。


ciscoasa#configure terminal
ciscoasa(config)#access-list traffic_for_ips deny ip 10.2.2.0 255.255.255.0 192.168.1.0 255.255.255.0
ciscoasa(config)#access-list traffic_for_ips permit ip 10.2.2.0 255.255.255.0 any
ciscoasa(config)#class-map ips_class_map
ciscoasa(config-cmap)#match access-list traffic_for_ips
ciscoasa(config)#policy-map interface_policy
ciscoasa(config-pmap)#class ips_class_map
ciscoasa(config-pmap-c)#ips inline fail-open
ciscoasa(config)#service-policy interface_policy interface inside

このアクセス リストでは、内部ネットワークから発信され、DMZ ネットワークに宛てられたトラフィックが拒否されます。アクセス リストの 2 行目では、内部ネットワークから発信され、AIP SSM への外部ネットワークに宛てられたトラフィックが許可または送信されます。この時点で、適応型セキュリティ アプライアンスのステートフルネスが機能しはじめます。

たとえば、内部ユーザが外部ネットワーク(ルータ)上のデバイスへの TCP 接続(Telnet)を開始します。ユーザがルータに正常に接続してログインし、許可されていないルータ コマンドを発行します。ルータは、「Command authorization failed」メッセージで応答します。「Command authorization failed」というメッセージが含まれるデータ パケットの送信元は外部ルータ、宛先は内部ユーザとなっています。発信元(外部)および宛先(内部)は、前に定義したアクセス リストには一致しません。適応型セキュリティ アプライアンスは、ステートフル接続を追跡します。その結果、戻されるデータ パケット(外部から内部へ)は検査のために AIP SSM に送信されます。AIP SSM で設定されたカスタム シグニチャ 60000 0 がアラームを発行します。


) デフォルトでは、適応型セキュリティ アプライアンスは、ICMP トラフィックの状態を保持しません。前の例では、内部ユーザ(ICMP エコー要求)が外部ルータに ping します。ルータは ICMP エコー応答を返します。AIP SSM では、エコー要求パケットは検査されますが、エコー応答パケットは検査されません。適応型セキュリティ アプライアンスで ICMP 検査がイネーブルになっている場合、エコー要求とエコー応答のどちらのパケットも AIP SSM によって検査されます。


アラート イベント記録の確認

アラート イベントが AIP SSM に記録されていることを確認するには、次の手順を実行します。


ステップ 1 管理者ユーザ アカウントを使用して、AIP SSM にログインします。


) 出力は、シグニチャ設定、AIP SSM に送信されたトラフィックのタイプ、およびネットワーク負荷によって異なります。


特定の show コマンドが、Output Interpreter Tool(OIT)(登録ユーザ専用)でサポートされています。OIT を使用して、 show コマンド出力の解析を表示できます。このツールはサポート ツール セットの 1 つで、 https://www.cisco.com/pcgi-bin/Support/OutputInterpreter/home.pl から入手できます。

ステップ 2 show events alert コマンドを入力します。

次の出力が表示されます。

evIdsAlert: eventId=1156198930427770356 severity=high vendor=Cisco
originator:
hostId: onionlabaip
appName: sensorApp
appInstanceId: 345
time: 2006/08/24 18:52:57 2006/08/24 13:52:57 UTC
signature: description=Telnet Command Authorization Failure id=60000 version=custom
subsigId: 0
sigDetails: Command authorization failed
interfaceGroup:
vlan: 0
participants:
attacker:
addr: locality=OUT 172.16.1.200
port: 23
target:
addr: locality=IN 10.2.2.200
port: 33189
riskRatingValue: 75
interface: ge0_1
protocol: tcp
evIdsAlert: eventId=1156205750427770078 severity=high vendor=Cisco
originator:
hostId: onionlabaip
appName: sensorApp
appInstanceId: 345
time: 2006/08/24 19:46:08 2006/08/24 14:46:08 UTC
signature: description=ICMP Echo Request id=2004 version=S1
subsigId: 0
interfaceGroup:
vlan: 0
participants:
attacker:
addr: locality=OUT 172.16.1.200
target:
addr: locality=DMZ 192.168.1.50
triggerPacket:
000000 00 16 C7 9F 74 8C 00 15 2B 95 F9 5E 08 00 45 00 ....t...+..^..E.
000010 00 3C 2A 57 00 00 FF 01 21 B7 AC 10 01 C8 C0 A8 .<*W....!.......
000020 01 32 08 00 F5 DA 11 24 00 00 00 01 02 03 04 05 .2.....$........
000030 06 07 08 09 0A 0B 0C 0D 0E 0F 10 11 12 13 14 15 ................
000040 16 17 18 19 1A 1B 1C 1D 1E 1F ..........
riskRatingValue: 100
interface: ge0_1
protocol: icmp
 
evIdsAlert: eventId=1156205750427770079 severity=high vendor=Cisco originator:
hostId: onionlabaip
appName: sensorApp
appInstanceId: 345
time: 2006/08/24 19:46:08 2006/08/24 14:46:08 UTC
signature: description=ICMP Echo Reply id=2000 version=S1
subsigId: 0
interfaceGroup:
vlan: 0
participants:
attacker:
addr: locality=DMZ 192.168.1.50
target:
addr: locality=OUT 172.16.1.200
triggerPacket:
000000 00 16 C7 9F 74 8E 00 03 E3 02 6A 21 08 00 45 00 ....t.....j!..E.
000010 00 3C 2A 57 00 00 FF 01 36 4F AC 10 01 32 AC 10 .<*W....6O...2..
000020 01 C8 00 00 FD DA 11 24 00 00 00 01 02 03 04 05 .......$........
000030 06 07 08 09 0A 0B 0C 0D 0E 0F 10 11 12 13 14 15 ................
000040 16 17 18 19 1A 1B 1C 1D 1E 1F ..........
riskRatingValue: 100
interface: ge0_1
protocol: icmp


 

これらの設定では、複数の IPS シグニチャがテスト トラフィックに対してアラームを発行するように調整されています。シグニチャ 2000 および 2004 は設定変更が行われています。カスタム シグニチャ 60000 が追加されています。適応型セキュリティ アプライアンスを通過するデータがほとんどないネットワークでは、イベントをトリガーするためにシグニチャの修正が必要になることがあります。適応型セキュリティ アプライアンスおよび AIP SSM が大量のトラフィックが通過する環境に導入される場合、デフォルトのシグニチャ設定によってイベントが生成される可能性があります。

設定のトラブルシューティング

設定をトラブルシューティングするには、次の手順を実行します。

特定の show コマンドが、OIT(登録ユーザ専用)でサポートされています。OIT を使用して、 show コマンド出力の解析を表示できます。


ステップ 1 ASA 5510 から次の show コマンドを入力します。

a. show module:適応型セキュリティ アプライアンスの SSM およびシステム情報に関する情報を表示します。

ciscoasa#show module
Mod Card Type Model Serial No.
--- -------------------------------------------- ------------------ -----------
0 ASA 5510 Adaptive Security Appliance ASA5510 JMX1016K0RN
1 ASA 5500 Series Security Services Module-10 ASA-SSM-10 JAB101502A6
Mod MAC Address Range Hw Version Fw Version Sw Version
--- --------------------------------- ------------ ------------ ---------------
0 0016.c79f.748c to 0016.c79f.7490 1.1 1.0(10)0 7.2(1)
1 0016.c79f.7567 to 0016.c79f.7567 1.0 1.0(10)0 5.1(1)S205.0
Mod SSM Application Name Status SSM Application Version
--- ------------------------------ ---------------- --------------------------
1 IPS Up 5.1(1)S205.0
Mod Status Data Plane Status Compatibility
--- ------------------ --------------------- -------------
0 Up Sys Not Applicable
1 Up Up
!--- Each of the areas highlighted indicate that
!--- the ASA recognizes the AIP-SSM and the AIP-SSM status is up.

b. show run :適応型セキュリティ アプライアンスの現在の実行コンフィギュレーションを表示します。

ciscoasa#show run
!--- Output is suppressed.
access-list traffic_for_ips extended permit ip any any
...
class-map ips_class_map
match access-list traffic_for_ips
...
policy-map global_policy
...
class ips_class_map
ips inline fail-open
...
service-policy global_policy global
!--- Each of these lines are needed
!--- in order to send data to the AIP-SSM.

c. show access-list:アクセス リストのカウンタを表示します。

ciscoasa#show access-list traffic_for_ips
access-list traffic_for_ips; 1 elements
access-list traffic_for_ips line 1 extended permit ip any any (hitcnt=2) 0x9bea7286
!--- Confirms the access-list displays a hit count greater than zero.

ステップ 2 AIP SSM をインストールして使用する前に、ネットワーク トラフィックが適応型セキュリティ アプライアンスを意図したとおりに通過しない場合は、ネットワークおよび ASA 5510 アクセス ポリシー ルールをトラブルシューティングします。