Cisco PIX Device Manager インストレーション ガイド
PDM の構成
PDM の構成
発行日;2012/01/11 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

PDM の構成

Internet Explorer による PDM の起動

Netscape Navigator による PDM の起動

PDM のホーム ページ

PDM Startup Wizard の使用方法

VPN Wizard

Site-to-Site VPN

Remote Access VPN

Select Interface

VPN トンネルの構成

構成に関する推奨事項

PDM の構成

この項では、PDM を構成する方法について説明します。 次の項目について説明します。

「Internet Explorer による PDM の起動」

「Netscape Navigator による PDM の起動」

「PDM Startup Wizard の使用方法」

「VPN Wizard」

「VPN トンネルの構成」

「構成に関する推奨事項」

Internet Explorer による PDM の起動

Internet Explorer を使用して PDM を起動するには、次の手順に従います。


ステップ 1 PIX Firewall 装置に接続されているワークステーション上の Internet Explorer ブラウザで、次のように入力します。

https://pix_inside_interface_ip_address
 

pix_inside_interface_ip_address には PIX Firewall の内部インターフェイスの IP アドレスを標準(数字)形式で入力します。

PIX 501 および PIX 506/506E の場合、工場出荷時のデフォルト内部インターフェイス アドレスは次のとおりです。

inside IP address to 192.168.1.1
 

PIX 501 プラットフォームおよび PIX 506/506E プラットフォームの場合は https://192.168.1.1 と入力します。

PDM が起動します。


) 「https」に「s」が追加されているか確認してください。「https」でない場合、ブラウザは接続できません。HTTPS (HTTP over SSL)は、PDM を使用して構成または監視している PIX Firewall とブラウザとの間のセキュアな接続を実現します。


ステップ 2 セキュリティ証明書を受け入れます(PDM を使用するには、証明書を受け入れる必要があります)。

認証ダイアログ(「Security Alert」というタイトル)が表示される場合、次回から Windows Internet Explorer にその認証ダイアログが表示されないようにするには、次の手順に従います。

a. View Certificate をクリックします。

b. Install Certificate をクリックします。

c. next > next > Finish > Yes の順にクリックします。

d. 証明書ダイアログボックスで、OK をクリックします。

e. Security Alert ダイアログボックスで、Yes をクリックします。


) 次回からの PDM ロードでは、認証ダイアログボックスが表示されません。


ステップ 3 パスワードを入力します。 パスワードが設定されていない場合は、ここで任意のパスワードを選んで入力します。OK をクリックして続行します。

ステップ 4 「Do you want to install and run ‘Cisco PIX Device Manager'?」と尋ねるセキュリティ警告に「Yes」と応答します。

次回 PDM をロードするときにこの質問が表示されないようにするには、「Always trust content from Cisco Systems.」というラベルのボックスをオンにします。

ステップ 5 画面の手順に従います。

認証の受け取り後、PDM が起動します。

ステップ 6 PDM を使用する方法の詳細については、 http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pdm/v_30/pdm30olh.pdf で、オンライン ヘルプを参照してください。


 

Netscape Navigator による PDM の起動

Netscape Navigator を使用して PDM を起動するには、次の手順に従います。


ステップ 1 PIX Firewall 装置に接続されているワークステーション上の Netscape Navigator ブラウザで、次のように入力します。

https://172.23.59.230/
 

PDM が起動します。

ステップ 2 セキュリティ証明書を受け入れます (PDM を使用するには、証明書を受け入れる必要があります)。

認証ダイアログ(「Security Alert」というタイトル)が表示される場合、次回から Netscape Navigator にその認証ダイアログが表示されないようにするには、次の手順に従います。

a. New Site Certificate 画面で、Next をクリックします。

b. 次の New Site Certificate 画面で、Next をクリックします。

c. Accept this certificate forever (until it expires) を選択し、次の New Site Certificate 画面で Next をクリックします。

d. 次の New Site Certificate で、Next をクリックします。

e. 次の New Site Certificate で、Finish をクリックします。

f. Certificate Name Check で、Continue をクリックします。

ステップ 3 ユーザ名とパスワードを入力します。OK をクリックします。

ステップ 4 「Remember this decision」を選択し、次の 4 つの Java Security 画面で Grant をクリックします。

認証の受け取り後、PDM が起動します。

ステップ 5 PDM を使用する方法の詳細については、 http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pdm/v_30/pdm30olh.pdf で、オンライン ヘルプを参照してください。


 

PDM のホーム ページ

PDM のホーム ページでは、インターフェイスの状態、実行しているバージョン、ライセンス情報、パフォーマンスなど、PIX Firewall に関する重要な情報を一目で確認できます。 PDM のホーム ページで確認できる詳細の多くは PDM 内の他の場所でも確認できますが、PDM のホーム ページは PIX Firewall の動作状態を表示するための便利で迅速な方法です。 ホーム ページ上のすべての情報は、Device Information を除き、10 秒ごとに更新されます。

メイン ツールバーで Home をクリックすることによって、いつでもホーム ページにアクセスできます。


) インターフェイスが、DHCP または PPPoE を使用して IP アドレスを取得するよう構成されており、かつ PIX Firewall バージョン 6.3 以上を実行している場合は、Interface Status テーブルに IP アドレスが表示されます。 以前のバージョンの PIX Firewall ソフトウェアを実行している場合、IP アドレスは表示されません。

PIX 501 の場合、内部インターフェイスが組み込みスイッチとして機能するため、内部インターフェイス リンクは、常にアップとして表示されます。PIX 501 の内部インターフェイス上の物理接続を確認してください。


PDM のホーム ページには、次のフィールドが表示されます。

 

領域
説明

Device Information

この領域には、次の情報が表示されます。

Host Name、PIX Version、Device Type、License、PDM Version、Total Memory、および Total Flash。

Licensed Features:この領域には、PIX Firewall が使用を許可されている機能が表示されます。

Encryption

Failover

Max Interfaces

Inside Hosts

IKE Peers

Max Physical Interfaces

Interface Status

Interface:Interfaces パネルで設定されているとおりにインターフェイス名が表示されます。 テーブルの任意の見出しをクリックすることによって、その値でテーブルをソートできます。

IP Address/Mask:関連するインターフェイスの IP アドレスが表示されます。

Link:インターフェイスのリンク状態が表示されます。 リンクの物理状態がダウンである場合は赤いアイコンが表示され、リンクの物理状態がアップである場合は緑のアイコンが表示されます。 PIX 501 の場合、内部インターフェイスが組み込みスイッチとして機能するため、内部インターフェイス リンクは、常に、アップとして表示されることに注意してください。 PIX 501 の内部インターフェイス上の物理接続を確認してください。

Current Kbps:インターフェイスを通過している 1 秒あたりの現在のキロビット数が表示されます。

VPN Status

この領域には、VPN トンネルの状態が表示されます(VPN トンネルが構成されている場合)。

Traffic Status

Connection Per Second Usage:デバイスを通過しているトラフィックの 1 秒あたりの接続数(TCP、UDP、および合計)に関する情報が表示されます。

outside Interface Traffic Usage (Kbps):「外部」インターフェイスを通過している着信トラフィックおよび発信トラフィックが 1 秒あたりのキロビット数で表示されます。

System Resources Status

CPU:その時点の CPU 使用率が表示されます。

CPU Usage (percent):リアルタイムの CPU 使用状況および最後の 5 分間の履歴が表示されます。

Memory:その時点のメモリ使用量の合計が表示されます。

Memory Usage (percent):リアルタイムのメモリ使用状況および最後の 5 分間の履歴が MB 単位で表示されます。

Memory (MB):空きメモリ、使用中のメモリ、およびメモリの合計に関する情報が MB 単位で表示されます。 1 MB は 1,048,576 バイトであることに注意してください。

PDM Startup Wizard の使用方法

このウィザードを完了すると、PIX Firewall はすぐにイネーブルになります。


http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pdm/v_30/pdm30olh.pdf にあるオンライン ヘルプを使用して、PDM を手動で構成できます。


PDM の起動後、次のようにして、メイン PDM コントロール パネルからいつでも PDM Startup Wizard にアクセスできます。


ステップ 1 PDM のトップ メニューで、 Wizards > Startup Wizard をクリックします。

ステップ 2 Welcome to the Startup Wizard ページを読んで、次へ進む準備ができたら Next をクリックします。

ステップ 3 ネットワーク セキュリティ ポリシーに従って構成プロンプトに入力します。各ウィザード ページの終わりで Next をクリックすると、次のプロンプト セットに移動できます。前のプロンプトに戻るには、 Back をクリックします。

Startup Wizard ダイアログボックスに、何を入力するかを決める際の手引きが必要な場合は、 Help をクリックします。

ステップ 4 すべてのウィザード ページを完成させると、 Startup Wizard Completed ページが表示されます。PIX Firewall に構成を送信してウィザードを終了するには、 Finish をクリックします。前のページの内容を変更する場合は、 Back をクリックします。


 

VPN Wizard

定義する Virtual Private Network(VPN; バーチャル プライベート ネットワーク)トンネルのタイプを選択し、そのトンネルをイネーブルにするインターフェイスを指定するには、VPN Wizard パネルを使用します。VPN トンネルは、ローカル PIX Firewall とリモート PIX Firewall または VPN コンセントレータなど、2 つの IPSec ピア間のトラフィックを暗号化することによって、パブリック インターネットなどのセキュリティ保護されてないネットワーク上でのセキュアな通信を提供します。

セキュアなトンネルを構成するには、まず、PIX Firewall を使用して自分の LAN へのリモート アクセスを提供するか、別の地理的な場所にある LAN への接続を提供するかを決定します。次に、リモート IPSec ピアへの接続に使用するインターフェイスを特定します。 PIX Firewall に 2 つのインターフェイスしかない場合、これには必ずセキュリティ レベルの低いインターフェイスを使用します。このインターフェイスは、デフォルトで、「outside」という名前です。PIX Firewall に多数のインターフェイスがある場合は、このウィザードを実行する前に VPN 構成を計画して、セキュアな接続の確立が必要な各リモート IPSec ピアに使用するインターフェイスを特定する必要があります。

PIX Firewall を、別の PIX Firewall または Cisco VPN コンセントレータに関連するリモート アクセス クライアントとしてセットアップするには、Wizards メニューから Startup Wizard を選択します。

次のように VPN Wizard を構成できます。

「Site-to-Site VPN」

「Remote Access VPN」

「Select Interface」

Site-to-Site VPN

この構成は、2 つの IPSec セキュリティ ゲートウェイ間で使用されます。IPSec ゲートウェイには、PIX Firewall、VPN コンセントレータ、サイトツーサイト IPSec 接続をサポートする他のデバイスがあります。 このオプションを選択すると、このタイプの VPN に必要な構成を入力するための一連のパネルが表示されます。 サイトツーサイト VPN では、ローカル PIX Firewall によって、自分の LAN と、別の地理的な場所にある LAN の間の安全な接続が提供されます。

Remote Access VPN

この構成は、モバイル ユーザなどの VPN クライアントに対してセキュアなリモート アクセスを可能にするために使用されます。 リモート アクセス VPN を使用すると、リモート ユーザが中央のネットワーク リソースにセキュアにアクセスできます。 このオプションを選択すると、このタイプの VPN に必要な構成を入力するための一連のパネルが表示されます。 リモート アクセス VPN では、ローカル PIX Firewall によって、個々のリモート ユーザと、ローカル PIX Firewall で保護されている LAN リソースの間のセキュアな接続が提供されます。

Select Interface

現在の VPN トンネルをイネーブルにするインターフェイスを選択するには、この選択リストを使用します。 外部インターフェイスは PIX Firewall 上のセキュリティ レベルの低いインターフェイスで、内部インターフェイスはセキュリティ レベルの高いインターフェイスです。

VPN トンネルの構成

VPN トンネルをまだ構成していない場合は、VPN Wizard を使用して構成を開始します。
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pdm/v_30/pdm30olh.pdf
を参照してください。このウィザードを実行することにより、PIX Firewall は、ウィザードのプロンプトで指定したネットワーク セキュリティ ポリシーを適用するようすぐに構成されます。

VPN トンネルを構成する方法については、 http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pdm/v_30/pdm30olh.pdf で、VPN Wizard のオンライン ヘルプを参照してください。

構成に関する推奨事項

Windows を実行する場合に最高のパフォーマンスを得るためには、Java プラグインを持たない Internet Explorer バージョン 5.5 または 6.0、あるいはデフォルト JVM としてではなく Java プラグインをサポートした Internet Explorer バージョン 5.5 または 6.0 を使用します。PDM バージョン 3.0 は、ブラウザに対して Java プラグインをサポートしています。

Windows 2000 以降を使用する場合は、Windows 構成ファイル「hosts」を編集することによって、PDM を高速にロードできます。


ステップ 1 hosts ファイルを見つけます。 Windows 2000 の場合、hosts ファイルは次の場所にあります。

C:\WINNT\system32\drivers\etc\hosts
 

ステップ 2 このファイルを選択し、右クリックして、Open With>Notepad を選択します。

ステップ 3 hosts ファイルに記述されている Microsoft の指示に従って、PIX Firewall の IP アドレスとホスト名を追加します。

ステップ 4 hosts ファイルを元の場所に保存します。

Copyright (c) 1993-1999 Microsoft Corp.
This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
 
This file contains the mappings of IP addresses to host names. Each
entry should be kept on an individual line. The IP address should
be placed in the first column followed by the corresponding host name.
The IP address and the host name should be separated by at least one
space.
 
Additionally, comments (such as these) may be inserted on individual
lines or following the machine name denoted by a '#' symbol.
 
For example:
 
102.54.94.97 rhino.example.com # source server
38.25.63.10 x.example.com # x client host