Cisco Security Appliance コマンド ライン コンフィギュレーション ガイド Version 7.0(4)
トンネルグループ、グループポリシー、 およびユーザの設定
トンネルグループ、グループポリシー、およびユーザの設定
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

トンネルグループ、グループポリシー、およびユーザの設定

トンネルグループ、グループポリシー、およびユーザの概要

トンネルグループ

トンネルグループの一般パラメータ

IPSec 接続パラメータ

トンネルグループの設定

デフォルトのリモートアクセス トンネルグループのコンフィギュレーション

リモートアクセス トンネルグループの設定

リモートアクセス トンネルグループの名前とタイプの指定

リモートアクセス トンネルグループの一般アトリビュートの設定

リモートアクセス トンネルグループの IPSec アトリビュートの設定

デフォルトの LAN-to-LAN トンネルグループのコンフィギュレーション

LAN-to-LAN トンネルグループの設定

LAN-to-LAN トンネルグループの名前とタイプの指定

LAN-to-LAN トンネルグループの一般アトリビュートの設定

LAN-to-LAN IPSec アトリビュートの設定

グループポリシー

デフォルトのグループポリシー

グループポリシーの設定

ユーザの設定

ユーザ名のコンフィギュレーションの表示

特定ユーザの設定

ユーザのパスワードと特権レベルの設定

ユーザ アトリビュートの設定

トンネルグループ、グループポリシー、およびユーザの設定

この章では、VPN のトンネルグループ、グループポリシー、およびユーザの設定方法について説明します。次の事項について説明します。

「トンネルグループ、グループポリシー、およびユーザの概要」

「トンネルグループの設定」

「グループポリシー」

「ユーザの設定」

要約すると次のようになります。最初にトンネルグループを設定して、接続用の値を設定します。次に、グループポリシーを設定します。グループポリシーでは、ユーザの集合に関する値が設定されます。その後、ユーザを設定します。ユーザはグループの値を継承でき、さらに個別のユーザ単位に特定の値を設定することができます。この章では、これらのエンティティを設定する方法と理由について説明します。

トンネルグループ、グループポリシー、およびユーザの概要

グループとユーザは、バーチャル プライベート ネットワーク(VPN)のセキュリティ管理とセキュリティ アプライアンスの設定における中核的な概念です。グループとユーザで指定されるアトリビュートによって、VPN へのユーザ アクセスと VPN の使用方法が決定されます。 グループ は、ユーザの集合を 1 つのエンティティとして扱うものです。 ユーザ のアトリビュートは、 グループポリシー から取得されます。トンネルグループは、特定の接続用のグループポリシーを指定します。ユーザに特定のグループポリシーを割り当てない場合は、その接続のデフォルトのグループポリシーが適用されます。

トンネルグループとグループポリシーを使用すると、システム管理が簡略化されます。コンフィギュレーション タスクを効率化するために、セキュリティ アプライアンスには、デフォルトの LAN-to-LAN トンネルグループ(DefaultL2Lgroup)、デフォルトのリモートアクセス トンネルグループ(DefaultRAgroup)、およびデフォルトのグループポリシー(DfltGrpPolicy)が用意されています。デフォルトのトンネルグループとグループポリシーでは、多くのユーザに共通すると考えられる設定が提供されます。ユーザを追加するときに、ユーザがグループポリシーからパラメータを「継承」するように指定することができます。この指定により、多数のユーザの VPN アクセスを迅速に設定することができます。

すべての VPN ユーザに同一の権限を許可する場合は、特定のトンネルグループやグループポリシーを設定する必要はありませんが、VPN がそのように使用されることはほとんどありません。たとえば、経理グループ、カスタマー サポート グループ、および MIS(経営情報システム)グループが、プライベート ネットワークのそれぞれ異なる部分にアクセスできるようにする場合が考えられます。また、MIS の特定のユーザにシステムへのアクセスを許可し、その他の MIS ユーザはアクセスできないようにする場合もあります。トンネルグループとグループポリシーにより、このような柔軟な設定を安全に実行することができます。


) セキュリティ アプライアンスには、オブジェクト グループという概念もあります。これは、ネットワーク リストのスーパーセットです。オブジェクト グループを使用すると、ポートやネットワークに対する VPN アクセスを定義することができます。オブジェクト グループは、グループポリシーやトンネルグループよりも、ACL と関連があります。オブジェクト グループを使用する方法の詳細については、第13章「アクセスリストによるトラフィックの指定」を参照してください。


トンネルグループ

トンネルグループは、トンネル接続ポリシーを格納したレコードのセットで構成されます。トンネルグループには、トンネル自体の作成に関連する少数のアトリビュートが含まれます。また、トンネルグループには、ユーザ関連のアトリビュートを定義するグループポリシーへのポインタも含まれます。

セキュリティ アプライアンスには、LAN-to-LAN 接続用とリモートアクセス接続用の 2 つのデフォルト トンネルグループが用意されています。これらのデフォルト トンネルグループは変更できますが、削除はできません。また、環境に固有のトンネルグループを 1 つ以上作成することもできます。トンネルグループは、セキュリティ アプライアンスのローカルな設定であり、外部サーバでは設定できません。

トンネルグループでは、次のアトリビュートが指定されます。

一般パラメータ

IPSec 接続パラメータ

トンネルグループの一般パラメータ

一般パラメータには、次のものがあります。

トンネルグループ名:リモートアクセス クライアントも LAN-to-LAN クライアントも、次のようにトンネルグループを名前で選択します。

認証に事前共有キーを使用する IPSec クライアントの場合、トンネルグループ名は IPSec クライアントがセキュリティ アプライアンスに渡すグループ名と同じです。

認証に証明書を使用する IPSec クライアントはこの名前を証明書の一部として渡し、セキュリティ アプライアンスが証明書からこの名前を抽出します。

トンネルグループのレコードには、トンネル接続ポリシーの情報が含まれます。これらのレコードでは、トンネル ユーザが認証されるサーバ、および接続情報の送信先となるアカウンティング サーバが指定されます。また、これらのレコードには、接続用のデフォルト グループポリシーも指定され、さらにプロトコル固有の接続パラメータも含まれています。

接続タイプ:接続タイプには、リモートアクセス IPSec と LAN-to-LAN IPSec があります。トンネルグループでは、接続タイプを 1 つだけ指定できます。

認証、認可、アカウンティング サーバ:これらのパラメータでは、セキュリティ アプライアンスが次の目的で使用するサーバのグループまたはリストを指定します。

ユーザの認証

ユーザがアクセスを認可されたサービスに関する情報の取得

アカウンティング レコードの保存

サーバ グループは、1 つ以上のサーバで構成されます。

接続用のデフォルト グループポリシー:グループポリシーは、ユーザ関連のアトリビュートのセットです。デフォルト グループポリシーは、セキュリティ アプライアンスがトンネル ユーザを認証または認可する際にデフォルトで使用するアトリビュートを含んだグループポリシーです。

クライアント アドレスの割り当て方式:この方式には、セキュリティ アプライアンスがクライアントに割り当てる 1 つ以上の DHCP サーバまたはアドレス プールの値が含まれます。

IPSec 接続パラメータ

IPSec パラメータには、次のものがあります。

クライアント認証方式:事前共有キーまたは証明書。

ISAKMP キープアライブの設定。この機能により、セキュリティ アプライアンスは リモート ピアの継続的な存在を監視し、自分自身の存在をピアに報告します。ピアが応答しなくなると、セキュリティ アプライアンスは接続を削除します。IKE キープアライブをイネーブルにすると、IKE ピアが接続を失ったときに接続がハングしません。

IKE キープアライブにはさまざまな形式があります。この機能が動作するには、セキュリティ アプライアンスとリモート ピアが共通の形式をサポートしている必要があります。この機能は、次のピアに対して動作します。

Cisco VPN Client(Release 3.0 以上)

Cisco VPN 3000 Client(Release 2.x)

Cisco VPN 3002 Hardware Client

Cisco VPN 3000 シリーズ Concentrator

Cisco IOS ソフトウェア

Cisco Secure PIX Firewall

シスコ以外の VPN クライアントは IKE キープアライブをサポートしません。

IKE キープアライブをサポートするピアとサポートしないピアが混在するグループを設定する場合は、グループ全体に対して IKE キープアライブをイネーブルにします。この機能をサポートしないピアに影響はありません。

IKE キープアライブをディセーブルにすると、応答しないピアとの接続はタイムアウトになるまでアクティブのままになるため、アイドル タイムアウトを短くすることを推奨します。アイドル タイムアウトを変更するには、「グループポリシーの設定」を参照してください。


) ISDN 回線経由で接続するクライアントがグループに含まれる場合は、接続コストを削減するために IKE キープアライブをディセーブルにしてください。通常、ISDN 接続はアイドルになると切断されますが、IKE キープアライブのメカニズムによって接続がアイドル状態にならないために、切断されなくなります。

IKE キープアライブをディセーブルにすると、クライアントは IKE キーと IPSec キーのどちらかの期限が満了した場合にのみ切断されます。IKE キープアライブがイネーブルになっている場合とは異なり、障害が発生したトラフィックは Peer Timeout Profile 値を持つトンネルから切断されません。



) IKE メイン モードを使用する LAN-to-LAN コンフィギュレーションの場合は、2 つのピアの IKE キープアライブの設定が同じであることを確認してください。両方のピアで IKE キープアライブがイネーブルになっているか、または両方のピアで IKE キープアライブがディセーブルになっている必要があります。


認可ユーザ名を定義するための値。

トンネルグループの設定

セキュリティ アプライアンスには、リモートアクセス用(DefaultRAGroup)と LAN-to-LAN 用(DefaultL2LGroup)の 2 つのデフォルト トンネルグループがあります。これらのグループは変更可能ですが、削除はできません。デフォルト トンネルグループも含めて、すべてのトンネルグループの現在のコンフィギュレーションとデフォルトのコンフィギュレーションを確認するには、 show running-config all tunnel-group コマンドを入力します。

新しいトンネルグループは、IPSec リモートアクセス(ipsec-ra)トンネルまたは IPSec LAN-to-LAN(ipsec-l2l)トンネルとして設定できます。デフォルトは ipsec-ra です。その後のパラメータは、選択したトンネル タイプによって異なります。

デフォルトのリモートアクセス トンネルグループのコンフィギュレーション

デフォルトのリモートアクセス トンネルグループの内容は、次のとおりです。

tunnel-group DefaultRAGroup type ipsec-ra
tunnel-group DefaultRAGroup general-attributes
no address-pool
authentication-server-group LOCAL
no authorization-server-group
no accounting-server-group
default-group-policy DfltGrpPolicy
no dhcp-server
no strip-realm
no strip-group
tunnel-group DefaultRAGroup ipsec-attributes
no pre-shared-key
no authorization-required
authorization-dn-attributes CN OU
peer-id-validate req
no radius-with-expiry
no chain
no trust-point
isakmp keepalive threshold 300 retry 2
 

リモートアクセス トンネルグループの設定

リモートアクセス トンネルグループを設定するには、この項の手順を実行します。IPSec リモートアクセス VPN トンネルグループは、リモートアクセス IPSec クライアント接続にのみ適用されます。

リモートアクセス トンネルグループの名前とタイプの指定

トンネルグループに名前とタイプを割り当てるには、 tunnel-group コマンドを入力して、トンネルグループの名前とタイプを指定します。

hostname(config)# tunnel-group tunnel_group_name type tunnel_type
 

リモートアクセス トンネルの場合、タイプは ipsec-ra になります。

hostname(config)# tunnel-group TunnelGroup1 type ipsec-ra
 

リモートアクセス トンネルグループの一般アトリビュートの設定

トンネルグループの一般アトリビュートを設定するには、次の手順でパラメータを指定します。


ステップ 1 tunnel-group コマンドに general-attributes デジグネータを指定して、config-general モードに入ります。

hostname(config)# tunnel-group tunnel_group_name general-attributes
 

このコマンドにより config-general モードに入ります。トンネルグループの一般アトリビュートは、このモードで設定します。

ステップ 2 認証サーバ グループがある場合、使用するグループの名前を指定します。指定したグループに障害が発生したときにローカル データベースを認証に使用する場合は、LOCAL という語を追加します。

hostname(config-general)# authentication-server-group groupname [LOCAL]
 

グループ名の後ろにインターフェイス名を指定することにより、インターフェイス固有の認証を設定することもできます。次のコマンドは、「test」という名前のインターフェイスでサーバ「servergroup1」を認証に使用するように、インターフェイス固有の認証を設定しています。

hostname(config-general)# authentication-server-group test servergroup1
 

ステップ 3 認可サーバ グループがある場合、使用するグループの名前を指定します。

hostname(config-general)# authorization-server-group groupname
 

ステップ 4 アカウンティングサーバ グループがある場合、使用するグループの名前を指定します。

hostname(config-general)# accounting-server-group groupname
 

ステップ 5 デフォルト グループポリシーの名前を指定します。

hostname(config-general)# default-group-policy policyname
 

次の例では、グループポリシーの名前として「DfltGrpPolicy」を設定しています。

hostname(config)# default-group-policy DfltGrpPolicy
 

ステップ 6 DHCP サーバ(最大 10 サーバ)の名前または IP アドレス、および DHCP アドレス プール(最大 6 プール)の名前を指定します。デフォルトでは、DHCP サーバとアドレス プールは使用されません。

hostname(config-general)# dhcp-server server1 [...server10]
hostname(config-general)# address-pool [(interface name)] address_pool1 [...address_pool6]

) インターフェイス名は丸カッコで囲む必要があります。


アドレス プールは、グローバル コンフィギュレーション モードで ip local pool コマンドを使用して設定します。

ステップ 7 ユーザ名を AAA サーバに渡す前に、ユーザ名からグループまたは領域を除去するかどうかを指定します。デフォルトでは、グループ名も領域も除去されません。

hostname(config-general)# strip-group
hostname(config-general)# strip-realm
 

認証時にユーザ名の領域修飾子を削除するには、 strip-realm コマンドを入力します。このコマンドを入力すると、認証は username のみに基づいて実行されます。それ以外の場合は、 username@realm 文字列全体に基づいて認証が行われます。サーバでデリミタを解析できない場合は、Strip Realm をイネーブルにする必要があります。Group Lookup 機能と Strip Realm を使用する場合は、グループのデリミタに @ 文字を使用しないでください。

ステップ 8 接続する認可データベースにユーザが存在する必要があるかどうかを指定します。

hostname(config)# authorization-server-group groupname
 


 

リモートアクセス トンネルグループの IPSec アトリビュートの設定

IPSec アトリビュートを設定するには、次のパラメータを指定します。


ステップ 1 ipsec-attributes デジグネータを指定します。

hostname(config)# tunnel-group tunnel-group-name ipsec-attributes
 

たとえば、次のコマンドは、「TG1」という名前のトンネルグループに関係する config-ipsec モードのコマンドが続くことを指定しています。

hostname(config)# tunnel-group TG1 ipsec-attributes
 

このコマンドにより config-ipsec モードに入ります。トンネルグループの IPSec アトリビュートは、このモードで設定します。

ステップ 2 証明書から認可クエリー用の名前を得るために使用する 1 つまたは複数のアトリビュートを指定します。このアトリビュートにより、サブジェクト DN フィールドのどの部分を認可用のユーザ名として使用するかが指定されます。

hostname(config-ipsec)# authorization-dn-attributes {primary-attribute [secondary-attribute] | use-entire-name}
 

たとえば、次のコマンドは、「CN」アトリビュートを認可用のユーザ名として使用することを指定しています。

hostname(config-ipsec)# authorization-dn-attributes CN
 

authorization-dn-attributes には、 C (国)、 CN (通常名)、 DNQ (DN 修飾子)、 EA (電子メール アドレス)、 GENQ (世代修飾子)、 GN (名)、 I (イニシャル)、 L (地名)、 N (名前)、 O (組織)、 OU (組織ユニット)、 SER (シリアル番号)、 SN (姓)、 SP (州または都道府県)、 T (役職)、 UID (ユーザ ID)があります。

ステップ 3 ユーザに接続を許可する前に、そのユーザが正常に認可されている必要があるかどうかを指定します。デフォルトでは認可は要求されません。

hostname(config-ipsec)# authorization-required
 

ステップ 4 client-update パラメータとして、クライアントのタイプおよびそのクライアントで許可されるリビジョン レベルを指定します。

hostname(config-ipsec)# client-update type type url url-string rev-nums rev-numbers
 

使用可能なクライアント タイプは、 Win9X (Windows 95、Windows 98、および Windows ME プラットフォーム)、 WinNT (Windows NT 4.0、Windows 2000、および Windows XP プラットフォーム)、 Windows (すべての Windows ベースのプラットフォーム)、および vpn3002 (VPN3002 ハードウェア クライアント)です。

クライアントがリビジョン番号リストにあるソフトウェア バージョンをすでに実行している場合、ソフトウェアをアップデートする必要はありません。クライアントがリストにあるソフトウェア バージョンを実行していない場合、アップデートする必要があります。これらのクライアント アップデート エントリから 4 つまで指定することができます。

次の例では、リモートアクセス トンネルグループのクライアント アップデート パラメータを設定しています。ここでは、リビジョン番号 4.6.1 と、このアップデートを取得するための URL として「https://support/updates」を指定しています。

hostname(config-ipsec)# client-update type windows url https://support/updates/ rev-nums 4.6.1
 

ステップ 5 事前共有キーに基づく IKE 接続をサポートするために、事前共有キーを指定します。

hostname(config-ipsec)# pre-shared-key xyzx
 

上記のコマンドは、IPSec リモートアクセス トンネルグループの IKE 接続をサポートするために、事前共有キー xyzx を指定しています。

ステップ 6 ピアの証明書を使用してピアの ID を検証するかどうかを指定します。

hostname(config-ipsec)# peer-id-validate option
 

使用できるオプションは、 req (必須)、 cert (証明書でサポートされている場合)、 nocheck (調べない)です。デフォルトは req です。

ステップ 7 証明書チェーンを送信できるかどうかを指定します。次のコマンドは、ルート証明書とすべての下位 CA 証明書を送信しています。

hostname(config-ipsec)# chain
 

すべてのトンネルグループ タイプにこのアトリビュートを適用できます。

ステップ 8 IKE ピアに送信する証明書を識別するトラストポイントの名前を指定します。

hostname(config-ipsec)# trust-point trust-point-name
 

次のコマンドは、IKE ピアに送信する証明書の名前として「mytrustpoint」を指定しています。

hostname(config-ipsec)# trust-point mytrustpoint
 

すべてのトンネルグループ タイプにこのアトリビュートを適用できます。

ステップ 9 セキュリティ アプライアンスが認証時に MS-CHAPv2 を使用してユーザとパスワード アップデートをネゴシエートするかどうかを指定します。

hostname(config-ipsec)# radius-with-expiry
 

RADIUS 認証が設定されていない場合、セキュリティ アプライアンスはこのコマンドを無視します。

ステップ 10 ISAKMP キープアライブのしきい値と許可されるリトライ回数を指定します。

hostname(config)# isakmp keepalive threshold <number> retry <number>
 

threshold パラメータは、ピアがキープアライブ モニタリングを開始するまでの最長アイドル時間を秒数で指定します(10 ~ 3600)。 retry パラメータは、キープアライブ応答が受信されなくなった後のリトライ間のインターバルです(2 ~ 10 秒)。IKE キープアライブは、デフォルトでイネーブルです。IKE キープアライブをディセーブルにするには、 isakmp コマンドの no 形式を入力します。

たとえば、次のコマンドは、IKE キープアライブのしきい値を 15 秒に設定し、リトライ インターバルを 10 秒に設定します。

hostname(config-ipsec)# isakmp keepalive threshold 15 retry 10
 

threshold パラメータのデフォルト値は、リモートアクセスの場合は 300、LAN-to-LAN の場合は 10 です。また、retry パラメータのデフォルト値は 2 です。


 

デフォルトの LAN-to-LAN トンネルグループのコンフィギュレーション

デフォルトの LAN-to-LAN トンネルグループの内容は、次のとおりです。

tunnel-group DefaultL2LGroup type ipsec-l2l
tunnel-group DefaultL2LGroup general-attributes
no accounting-server-group
default-group-policy DfltGrpPolicy
tunnel-group DefaultL2LGroup ipsec-attributes
no pre-shared-key
peer-id-validate req
no chain
no trust-point
isakmp keepalive threshold 10 retry 2
 

LAN-to-LAN トンネルグループのパラメータはリモートアクセス トンネルグループのパラメータより少なく、そのほとんどはどちらのグループでも同じです。実際に接続を設定する場合の利便性を考え、ここではこのグループのパラメータを個別に説明します。

LAN-to-LAN トンネルグループの設定

IPSec LAN-to-LAN VPN トンネルグループは、LAN-to-LAN IPSec クライアント接続にのみ適用されます。LAN-to-LAN トンネルグループを設定するには、この項の手順を実行します。

LAN-to-LAN トンネルグループの名前とタイプの指定

トンネルグループの名前とタイプを指定するには、次のように tunnel-group コマンドを入力します。

hostname(config)# tunnel-group tunnel_group_name type tunnel_type
 

LAN-to-LAN トンネルの場合、タイプは ipsec-l2l になります。

hostname(config)# tunnel-group TunnelGroup1 type ipsec-l2l
 

LAN-to-LAN トンネルグループの一般アトリビュートの設定

トンネルグループの一般アトリビュートを設定するには、次の手順でパラメータを指定します。


ステップ 1 general-attributes デジグネータを指定して、config-general モードに入ります。

hostname(config)# tunnel-group tunnel_group_tunnel-group-name general-attributes
hostname(config-general)#
 

プロンプトが変化して、config-general モードに入ったことがわかります。トンネルグループの一般アトリビュートは、このモードで設定します。

ステップ 2 アカウンティングサーバ グループがある場合、使用するグループの名前を指定します。

hostname(config-general)# accounting-server-group groupname
 

たとえば、次のコマンドは、アカウンティング サーバ グループ「acctgserv1」の使用を指定しています。

hostname(config-general)# accounting-server-group acctgserv1
 

ステップ 3 デフォルト グループポリシーの名前を指定します。

hostname(config-general)# default-group-policy policyname
 

たとえば、次のコマンドは、デフォルト グループポリシーの名前に「MyPolicy」を指定しています。

hostname(config-general)# default-group-policy MyPolicy
 


 

LAN-to-LAN IPSec アトリビュートの設定

IPSec アトリビュートを設定するには、次の手順を実行します。


ステップ 1 config-ipsec モードに入るには、ipsec-attributes デジグネータとともに tunnel-group コマンドを入力します。トンネルグループの IPSec アトリビュートは、このモードで設定します。

hostname(config)# tunnel-group tunnel-group-name ipsec-attributes
 

たとえば、次のコマンドは、config-ipsec モードに入り、「TG1」という名前のトンネルグループのパラメータを設定できます。

hostname(config)# tunnel-group TG1 ipsec-attributes
hostname(config-ipsec)#
 

プロンプトが変化して、config-ipsec モードに入ったことがわかります。

ステップ 2 事前共有キーに基づく IKE 接続をサポートするために、事前共有キーを指定します。

hostname(config-ipsec)# pre-shared-key key
 

たとえば、次のコマンドは、IPSec リモートアクセス トンネルグループの IKE 接続をサポートするために、事前共有キー xyzx を指定しています。

hostname(config-ipsec)# pre-shared-key xyzx
 

ステップ 3 ピアの証明書を使用してピアの ID を検証するかどうかを指定します。

hostname(config-ipsec)# peer-id-validate option
 

使用できるオプションは、 req (必須)、 cert (証明書でサポートされている場合)、 nocheck (調べない)です。デフォルトは req です。たとえば、次のコマンドは、peer-id-validate オプションを nocheck に設定しています。

hostname(config-ipsec)# peer-id-validate nocheck
 

ステップ 4 証明書チェーンを送信できるかどうかを指定します。次のアクションは、ルート証明書とすべての下位 CA 証明書を送信しています。

hostname(config-ipsec)# chain
 

すべてのトンネルグループ タイプにこのアトリビュートを適用できます。

ステップ 5 IKE ピアに送信する証明書を識別するトラストポイントの名前を指定します。

hostname(config-ipsec)# trust-point trust-point-name
 

たとえば、次のコマンドは、トラストポイント名を「mytrustpoint」に設定しています。

hostname(config-ipsec)# trust-point mytrustpoint
 

すべてのトンネルグループ タイプにこのアトリビュートを適用できます。

ステップ 6 ISAKMP キープアライブのしきい値と許可されるリトライ回数を指定します。 threshold パラメータは、ピアがキープアライブ モニタリングを開始するまでの最長アイドル時間を秒数で指定します(10 ~ 3600)。 retry パラメータは、キープアライブ応答が受信されなくなった後のリトライ間のインターバルです(2 ~ 10 秒)。IKE キープアライブは、デフォルトでイネーブルです。IKE キープアライブをディセーブルにするには、 isakmp コマンドの no 形式を入力します。

hostname(config)# isakmp keepalive threshold <number> retry <number>
 

たとえば、次のコマンドは、ISAKMP キープアライブのしきい値を 15 秒に設定し、リトライ インターバルを 10 秒に設定します。

hostname(config-ipsec)# isakmp keepalive threshold 15 retry 10
 

threshold パラメータのデフォルト値は、LAN-to-LAN の場合は 10 です。また、retry パラメータのデフォルト値は 2 です。


 

グループポリシー

グループポリシーは、IPSec 接続用のユーザ関連のアトリビュートと値のペアがセットになったもので、デバイスに内部的(ローカル)に保存されるか、外部の RADIUS サーバ上に保存されます。トンネルグループは、トンネルの確立後、ユーザ接続の条件を設定するグループポリシーを参照します。グループポリシーを使用すると、アトリビュートのセット全体をユーザまたはユーザのグループに適用することができ、各ユーザに各アトリビュートを個別に指定する必要がなくなります。

ユーザにグループポリシーを割り当てたり、特定のユーザのグループポリシーを変更したりするには、グローバル コンフィギュレーション モードで group-policy コマンドを入力します。

セキュリティ アプライアンスには、デフォルトのグループポリシーが含まれています。このデフォルト グループポリシーは変更できますが、削除はできません。また、環境に固有のグループポリシーを 1 つ以上作成することができます。

グループポリシーには、次のアトリビュートがあります。

ID

サーバの定義

クライアント ファイアウォールの設定

トンネリング プロトコル

IPSec の設定

ハードウェア クライアントの設定

フィルタ

クライアント コンフィギュレーションの設定

WebVPN の機能

接続の設定

デフォルトのグループポリシー

セキュリティ アプライアンスでは、デフォルトのグループポリシーが提供されます。このデフォルト グループポリシーは変更できますが、削除はできません。デフォルト グループポリシーは、「DfltGrpPolicy」という名前で必ずセキュリティ アプライアンス上に存在していますが、このデフォルト グループポリシーは、セキュリティ アプライアンスでそれを使用するように設定しなければ有効になりません。デフォルト グループポリシーを表示するには、次のコマンドを入力します。

hostname(config)# show running-config all group-policy DfltGrpPolicy
 

デフォルト グループポリシーを設定するには、次のコマンドを入力します。

hostname(config)# group-policy DfltGrpPolicy internal

) デフォルトのグループポリシーは、内部(internal)です。コマンドのシンタックスは、
hostname(config)# group-policy DfltGrpPolicy {internal | external} となっていますが、タイプを external に変更することはできません。


グループポリシーの任意のアトリビュートを変更する場合は、次のように group-policy attributes コマンドを使用してアトリビュート モードに入り、その後、目的の任意のアトリビュートを変更するためのコマンドを指定します。

hostname(config)# group-policy DfltGrpPolicy attributes

) アトリビュート モードは内部グループポリシーにのみ適用されます。


セキュリティ アプライアンスで提供されるデフォルトのグループポリシー「DfltGrpPolicy」は、次のとおりです。

group-policy DfltGrpPolicy internal
group-policy DfltGrpPolicy attributes
wins-server none
dns-server none
vpn-access-hours none
vpn-simultaneous-logins 3
vpn-idle-timeout 30
vpn-session-timeout none
vpn-filter none
vpn-tunnel-protocol IPSec
password-storage disable
ip-comp disable
re-xauth disable
group-lock none
pfs disable
banner none
ipsec-udp disable
ipsec-udp-port 10000
split-tunnel-policy tunnelall
split-tunnel-network-list none
default-domain none
split-dns none
secure-unit-authentication disable
user-authentication disable
user-authentication-idle-timeout 30
ip-phone-bypass disable
leap-bypass disable
nem disable
backup-servers keep-client-config
client-firewall none
client-access-rule none
webvpn
functions url-entry
no html-content-filter
no homepage
no filter
no url-list
no port-forward
port-forward-name value Application Access
 

デフォルト グループポリシーは変更可能です。また、環境に固有の 1 つ以上のグループポリシーを作成することもできます。

グループポリシーの設定

グループポリシーは、リモートアクセスまたは LAN-to-LAN IPSec トンネルに適用できます。どちらの場合も、パラメータが明示的に指定されていなければ、そのグループはデフォルト グループポリシーの値を使用します。グループポリシーを設定するには、次の手順を実行します。


ステップ 1 グループポリシーの名前とタイプ(内部または外部)を指定します。

hostname(config)# group-policy group_policy_name type
 

たとえば、次のコマンドは、グループポリシーの名前を「GroupPolicy1」、タイプを内部と指定しています。

hostname(config)# group-policy GroupPolicy1 internal
 

デフォルトのタイプは internal です。

キーワード from を追加して既存のポリシーの名前を指定することにより、内部グループポリシーのアトリビュートをその既存のグループポリシーの値に初期設定することができます。

hostname(config)# group-policy group_policy_name internal from group_policy_name
 

外部グループポリシーの場合は、次のように、セキュリティ アプライアンスがアトリビュートのクエリーを実行できる AAA サーバ グループを指定し、その外部 AAA サーバ グループからアトリビュートを取得するときに使用するパスワードを指定します。

hostname(config)# group-policy name external server-group server_group password server_password}
 

) 外部グループポリシーの場合、サポートされる AAA サーバ タイプは RADIUS のみです。


ステップ 2 グローバル コンフィギュレーション モードで group-policy attributes コマンドを使用して、グループポリシーのアトリビュート モードに入ります。

hostname(config)# group-policy name attributes
hostname(config-group-policy)#
 

プロンプトが変化して、モードが変更されたことがわかります。グループポリシー アトリビュート モードでは、指定したグループポリシーのアトリビュートと値のペアを設定することができます。グループポリシー アトリビュート モードで、デフォルト グループから継承しないアトリビュートと値のペアを明示的に設定します。このためのコマンドを、次の手順で説明します。

ステップ 3 プライマリとセカンダリの WINS サーバを指定します。

hostname(config-group-policy)# wins-server value {ip_address [ip_address] | none}
 

最初に指定する IP アドレスがプライマリ WINS サーバの IP アドレスです。2 番目(オプション)の IP アドレスはセカンダリ WINS サーバの IP アドレスです。IP アドレスではなく none キーワードを指定すると、WINS サーバにヌル値が設定されます。この設定により、WINS サーバは許可されず、デフォルトまたは指定のグループポリシーから値が継承されなくなります。

wins-server コマンドを入力するたびに、既存の設定が上書きされます。たとえば、WINS サーバ x.x.x.x を設定し、その後 WINS サーバ y.y.y.y を設定すると、2 番目のコマンドで最初のコマンドが上書きされ、y.y.y.y が単独の WINS サーバになります。サーバを複数設定する場合も同様です。以前に設定したサーバを上書きせずに WINS サーバを追加するには、このコマンドを入力するときにすべての WINS サーバの IP アドレスを指定します。

次の例は、「FirstGroup」という名前のグループポリシーに、IP アドレスが 10.10.10.15 と 10.10.10.30 である WINS サーバを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# wins-server value 10.10.10.15 10.10.10.30
 

ステップ 4 プライマリとセカンダリの DNS サーバを指定します。

hostname(config-group-policy)# dns-server value {ip_address [ip_address] | none}
 

最初に指定する IP アドレスがプライマリ DNS サーバの IP アドレスです。2 番目(オプション)の IP アドレスはセカンダリ DNS サーバの IP アドレスです。IP アドレスではなく none キーワードを指定すると、DNS サーバにヌル値が設定されます。この設定により、DNS サーバは許可されず、デフォルトまたは指定のグループポリシーから値が継承されなくなります。

dns-server コマンドを入力するたびに、既存の設定が上書きされます。たとえば、DNS サーバ x.x.x.x を設定し、その後 DNS サーバ y.y.y.y を設定すると、2 番目のコマンドで最初のコマンドが上書きされ、y.y.y.y が単独の DNS サーバになります。サーバを複数設定する場合も同様です。以前に設定したサーバを上書きせずに DNS サーバを追加するには、このコマンドを入力するときにすべての DNS サーバの IP アドレスを指定します。

次の例は、「FirstGroup」という名前のグループポリシーに、IP アドレスが 10.10.10.15 と 10.10.10.30 である DNS サーバを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# dns-server value 10.10.10.15 10.10.10.30
 

ステップ 5 VPN アクセス時間を設定します。これには、グループポリシー コンフィギュレーション モードで vpn-access-hours コマンドを使用して、グループポリシーを設定済みの time-range ポリシーに関連付けます。

hostname(config-group-policy)# vpn-access-hours value {time-range | none}
 

グループポリシーは、デフォルトまたは指定されたグループポリシーの time-range の値を継承することができます。この継承が発生しないようにするには、このコマンドで time-range の名前ではなく none キーワードを入力します。このキーワードにより、VPN アクセス時間がヌル値に設定され、time-range ポリシーは許可されなくなります。

time-range 変数は、グローバル コンフィギュレーション モードで time-range コマンドを使用して定義されたアクセス時間のセットの名前です。次の例は、「FirstGroup」という名前のグループポリシーを「824」と呼ばれる time-range ポリシーに関連付ける方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-access-hours value 824
 

ステップ 6 グループポリシー コンフィギュレーション モードで vpn-simultaneous-logins コマンドを使用して、任意のユーザに許可される同時ログイン数を指定します。

hostname(config-group-policy)# vpn-simultaneous-logins integer
 

デフォルト値は 3 です。値の範囲は 0 ~ 2147483647 の整数です。グループポリシーは、別のグループポリシーからこの値を継承することができます。ログインをディセーブルにしてユーザのアクセスを禁止するには、0 を入力します。次の例は、「FirstGroup」という名前のグループポリシーで最大 4 つの同時ログインを許可する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-simultaneous-logins 4
 

) 同時ログインに最大数の制限はありませんが、複数の同時ログインの許可がセキュリティの低下を招き、パフォーマンスに影響を及ぼす恐れがあります。


ステップ 7 グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-idle-timeout コマンドを入力して、ユーザ タイムアウト期間を設定します。

hostname(config-group-policy)# vpn-idle-timeout {minutes | none}
 

最小時間は 1 分で、最大時間は 35791394 分です。デフォルトは 30 分です。この期間中に接続上で通信アクティビティがまったくなかった場合、セキュリティ アプライアンスは接続を終了します。

グループポリシーは、別のグループポリシーからこの値を継承できます。値を継承しないようにするには、分を指定する代わりに none キーワードを使用して、このコマンドを入力します。また、none キーワードを指定すると、無制限のアイドル タイムアウト期間が許可されます。このキーワードにより、アイドル タイムアウトにヌル値が設定され、アイドル タイムアウトが拒否されます。

次の例は、「FirstGroup」という名前のグループポリシーに 15 分の VPN アイドル タイムアウトを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-idle-timeout 15
 

ステップ 8 グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-session-timeout コマンドを使用して、VPN 接続の最大時間を設定します。

hostname(config-group-policy)# vpn-session-timeout {minutes | none}
 

最小時間は 1 分で、最大時間は 35791394 分です。デフォルト値はありません。この期間が終了すると、セキュリティ アプライアンスは接続を終了します。

グループポリシーは、別のグループポリシーからこの値を継承できます。値を継承しないようにするには、分を指定する代わりに none キーワードを使用して、このコマンドを入力します。 none キーワードを指定すると、無制限のセッション タイムアウト期間が許可されます。セッション タイムアウトにはヌル値が設定され、セッション タイムアウトが拒否されます。

次の例は、「FirstGroup」という名前のグループポリシーに 180 分の VPN セッション タイムアウトを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-session-timeout 180
 

ステップ 9 グループポリシー モードまたはユーザ名モードで vpn - filter コマンドを使用して、VPN 接続に使用する ACL の名前を指定します。

hostname(config-group-policy)# vpn-filter {value ACL name | none}
 

vpn - filter none コマンドを入力して作成したヌル値を含めて、ACL を削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値を別のグループポリシーから継承できます。

グループポリシーは、別のグループポリシーからこの値を継承できます。値を継承しないようにするには、ACL 名を指定する代わりに、 none キーワードを入力します。 none キーワードは、アクセスリストがないことを示します。このキーワードにより、ヌル値が設定され、アクセスリストが拒否されます。

ACL を設定して、このグループポリシーについて、さまざまなタイプのトラフィックを許可または拒否します。次に、 vpn-filter コマンドを入力して、これらの ACL を適用します。

次の例は、「FirstGroup」という名前のグループポリシーに対して「acl_vpn」という名前のアクセスリストを呼び出すフィルタを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-filter acl_vpn
 

ステップ 10 このグループポリシーの VPN トンネル タイプ(IPSec または WebVPN)を指定します。

hostname(config-group-policy)# vpn-tunnel-protocol {webvpn | IPSec}
 

デフォルトは IPSec です。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

hostname(config-group-policy)# no vpn-tunnel-protocol [webvpn | IPSec]
 

このコマンドのパラメータの値は、次のとおりです。

IPSec :2 つのピア(リモートアクセス クライアントまたは別のセキュア ゲートウェイ)間の IPSec トンネルをネゴシエートします。認証、暗号化、カプセル化、キー管理を制御するセキュリティ アソシエーションを作成します。

webvpn :HTTP 対応 Web ブラウザ経由でリモート ユーザに VPN サービスを提供します。クライアントは不要です。

このコマンドを入力して、1 つ以上のトンネリング モードを設定します。VPN トンネルで接続するユーザに対して、1 つ以上のトンネリング モードを設定する必要があります。

次の例は、「FirstGroup」という名前のグループポリシーに IPSec トンネリング モードを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-tunnel-protocol IPSec
 

ステップ 11 グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して
password-storage
コマンドを使用し、ユーザがログイン パスワードをクライアント システムに保存するかどうかを指定します。パスワード保存をディセーブルにするには、 disable キーワードを指定して password-storage コマンドを使用します。

hostname(config-group-policy)# password-storage {enable | disable}
 

セキュリティ上の理由から、パスワード保存はデフォルトでディセーブルになっています。パスワード保存は、セキュアなサイトにあることがわかっているシステムでのみ、イネーブルにします。

password-storage アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

hostname(config-group-policy)# no password-storage
 

no 形式を指定すると、password-storage の値を別のグループポリシーから継承することができます。

このコマンドは、対話的なハードウェア クライアント認証やハードウェア クライアントの個別ユーザ認証には適用されません。

次の例は、「FirstGroup」という名前のグループポリシーでパスワード保存をイネーブルにする方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# password-storage enable
 

ステップ 12 デフォルトではディセーブルになっている IP 圧縮をイネーブルにするかどうかを指定します。

hostname(config-group-policy)# ip-comp {enable | disable}
 

LZS IP 圧縮をイネーブルにするには、グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して ip-comp コマンドを入力します。IP 圧縮をディセーブルにするには、 disable キーワードを指定して ip-comp コマンドを入力します。

ip-comp アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。これにより、値を別のグループポリシーから継承できます。

hostname(config-group-policy)# no ip-comp
 

データ圧縮をイネーブルにすることにより、モデムで接続するリモート ダイヤルイン ユーザのデータ伝送レートが高くなる可能性があります。


注意 データ圧縮を使用すると、ユーザ セッションごとのメモリ要求と CPU 使用率が増加し、結果としてセキュリティ アプライアンスのスループット全体が低下します。そのため、データ圧縮はモデムで接続するリモート ユーザについてのみイネーブルにすることを推奨します。モデム ユーザ専用のグループポリシーを設計して、そのようなユーザに対してのみ圧縮をイネーブルにしてください。

ステップ 13 グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して re-xauth コマンドを使用し、IKE キーの再生成時にユーザが再認証を受ける必要があるかどうかを指定します。IKE キーが再生成される際のユーザの再認証をディセーブルにするには、 disable キーワードを入力します。

hostname(config-group-policy)# re-xauth {enable | disable}
 

re-xauth アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。これにより、IKE キーが再生成される際の再認証の値を別のグループポリシーから継承できます。

hostname(config-group-policy)# no re-xauth
 

IKE キーが再生成される際の再認証は、デフォルトでディセーブルです。IKE キーが再生成される際の再認証をイネーブルにすると、セキュリティ アプライアンスは初回のフェーズ 1 PKE ネゴシエーションでユーザにユーザ名とパスワードの入力を求めるプロンプトを表示し、IKE キーの再生成が発生するたびに同様にユーザ認証のプロンプトを表示します。再認証によりセキュリティがより強固になります。

設定されているキーの再生成インターバルが短い場合、ユーザは繰り返し認可要求を受けるため、不便を感じる場合があります。認可要求が何度も繰り返されないようにするには、再認証をディセーブルにします。設定されているキーの再生成インターバルを確認するには、モニタリング モードで show crypto ipsec sa コマンドを入力して、セキュリティ アソシエーションの秒単位のライフタイム、およびデータのキロバイト単位のライフタイムを表示します。


) 接続先にユーザが存在しない場合、再認証は失敗します。


ステップ 14 グループポリシー コンフィギュレーション モードで group-lock コマンドを使用することにより、トンネルグループのみを介してアクセスするようにリモート ユーザを制限するかどうかを指定します。

hostname(config-group-policy)# group-lock {value tunnel-grp-name | none}
hostname(config-group-policy)# no group-lock
 

tunnel-grp-name 変数は、セキュリティ アプライアンスがユーザの接続に関して要求する既存のトンネルグループの名前を指定します。group-lock は、VPN クライアントで設定されたグループが、そのユーザが割り当てられているトンネルグループと同じかどうかをチェックすることによって、ユーザを制限します。同じでない場合、セキュリティ アプライアンスはそのユーザによる接続を禁止します。group-lock を設定しない場合、セキュリティ アプライアンスは割り当てられているグループを考慮せずに、ユーザを認証します。グループ ロックはデフォルトでディセーブルになっています。

group-lock アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、値を別のグループポリシーから継承できます。

group-lock をディセーブルにするには、 none キーワードを指定して group-lock コマンドを入力します。none キーワードにより、group-lock はヌル値に設定され、group-lock の制限が拒否されます。また、デフォルトまたは指定されたグループポリシーから group-lock の値が継承されなくなります。

ステップ 15 グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して pfs コマンドを使用し、PFS(perfect forward secrecy; 完全転送秘密)をイネーブルにするかどうかを指定します。

hostname(config-group-policy)# pfs {enable | disable}
 

IPSec ネゴシエーションでは、PFS により、新しい各暗号キーは以前のどのキーとも関連性がないことが保証されます。PFS は、デフォルトではディセーブルになっています。

PFS をディセーブルにするには、 disable キーワードを入力します。

pfs アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。グループポリシーは、別のグループポリシーから PFS の値を継承できます。値を継承しないようにするには、このコマンドの no 形式を入力します。

hostname(config-group-policy)# no pfs
 

ステップ 16 バナーまたは初期メッセージを表示する場合は、それを指定します。デフォルトではバナーは表示されません。指定したメッセージは、リモート クライアントが接続たきに、そのクライアントに表示されます。バナーを指定するには、グループポリシー コンフィギュレーション モードで banner コマンドを入力します。バナー テキストの長さは 510 文字までです。復帰を入力するには、「\n」シーケンスを入力します。


) バナー内の復帰改行は、2 文字として数えられます。


バナーを削除するには、このコマンドの no 形式を入力します。このコマンドの no 形式を使用すると、グループポリシーのすべてのバナーが削除されることに注意してください。

グループポリシーは、別のグループポリシーからこの値を継承できます。値を継承しないようにするには、次のように、バナー文字列の値を指定する代わりに none キーワードを入力します。

hostname(config-group-policy)# banner {value banner_string | none}
 

次の例は、「FirstGroup」という名前のグループポリシーにバナーを作成する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# banner value Welcome to Cisco Systems 7.0.

ステップ 17 IPSec over UDP をイネーブルにするかどうかを指定します。IPSec over UDP を使用するには、次のように ipsec-udp-port コマンドも設定する必要があります。

hostname(config-group-policy)# ipsec-udp {enable | disable}
hostname(config-group-policy)# no ipsec-udp
 

IPSec over UDP(IPSec through NAT と呼ばれることもあります)を使用すると、Cisco VPN クライアントまたはハードウェア クライアントは、NAT を実行しているセキュリティ アプライアンスに UDP 経由で接続することができます。この機能はデフォルトでディセーブルになっています。IPSec over UDP をイネーブルにするには、グループポリシー コンフィギュレーション モードで、 ipsec-udp コマンドに enable キーワードを指定します。IPSec over UDP をディセーブルにするには、 disable キーワードを入力します。IPSec over UDP のアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。これにより、IPSec over UDP の値を別のグループポリシーから継承できます。

また、IPSec over UDP を使用するように Cisco VPN クライアントを設定しておく必要があります(Cisco VPN クライアントは、デフォルトで IPSec over UDP を使用するように設定されています)。VPN 3002 では、IPSec over UDP を使用するためのコンフィギュレーションは必要ありません。

IPSec over UDP は、リモートアクセス接続にのみ適用される専用の機能で、モード コンフィギュレーションが必要です。セキュリティ アプライアンスは、SA のネゴシエート時にクライアントとの間でコンフィギュレーション パラメータをやり取りします。IPSec over UDP を使用すると、システムのパフォーマンスがわずかに低下する場合があります。

次の例は、「FirstGroup」という名前のグループポリシーに IPSec over UDP を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# ipsec-udp enable
 

IPSec over UDP をイネーブルにした場合は、グループポリシー コンフィギュレーション モードで ipsec-udp-port コマンドも設定する必要があります。このコマンドにより、IPSec over UDP 用の UDP ポート番号が設定されます。IPSec ネゴシエーションでは、セキュリティ アプライアンスは設定されたポートでリッスンし、他のフィルタ規則で UDP トラフィックがドロップされていても、そのポート宛ての UDP トラフィックを転送します。ポート番号の範囲は 4001 ~ 49151 です。デフォルトのポート値は 10000 です。

UDP ポートをディセーブルにするには、このコマンドの no 形を入力します。これにより、IPSec over UDP のポート値を別のグループポリシーから継承できます。

hostname(config-group-policy)# ipsec-udp-port port
 

次の例は、「FirstGroup」という名前のグループポリシーの IPSec UDP ポートをポート 4025 に設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# ipsec-udp-port 4025
 

ステップ 18 スプリット トンネリング ポリシーを指定して、トラフィックのトンネリング規則を設定します。

hostname(config-group-policy)# split-tunnel-policy {tunnelall | tunnelspecified | excludespecified}
hostname(config-group-policy)# no split-tunnel-policy
 

デフォルトでは、すべてのトラフィックがトンネリングされます。スプリット トンネリング ポリシーを設定するには、グループポリシー コンフィギュレーション モードで split-tunnel-policy コマンドを入力します。 split-tunnel-policy アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。これにより、スプリット トンネリングの値を別のグループポリシーから継承できます。

スプリット トンネリングを使用すると、リモートアクセス IPSec クライアントは、条件に応じて、パケットを暗号化された形式で IPSec トンネルを介して誘導したり、クリア テキスト形式でネットワーク インターフェイスに誘導したりすることができます。スプリット トンネリングがイネーブルになっている場合、IPSec トンネルの相手側を宛先としないパケットを暗号化する必要はありません。このようなパケットはトンネル上を復号化された状態で送信され、その後、最終的な宛先にルーティングされます。このコマンドは、このスプリット トンネリング ポリシーを特定のネットワークに適用します。

トラフィックがクリア テキストで送信されるネットワークのリストは、 excludespecified キーワードで定義します。この機能は、トンネル経由で企業ネットワークに接続しながら、プリンタなどのローカル ネットワーク デバイスにアクセスするリモート ユーザにとって便利です。このオプションは、Cisco VPN クライアントに対してのみ適用されます。

tunnelall キーワードを指定すると、すべてのトラフィックがクリア テキストとして送信されなくなるか、セキュリティ アプライアンス以外の宛先に送信されなくなります。この指定では、実質的にスプリット トンネリングはディセーブルになります。リモート ユーザは企業ネットワークを経由してインターネットにアクセスしますが、ローカル ネットワークにはアクセスできません。これがデフォルトのオプションです。

tunnelspecified キーワードでは、指定されたネットワークとの間のすべてのトラフィックがトンネリングされます。このオプションにより、スプリット トンネリングはイネーブルになります。このオプションでは、トンネリングするアドレスのネットワーク リストを作成することができます。これ以外のすべてのアドレスに対するデータは、クリア テキストで送信され、リモート ユーザのインターネット サービス プロバイダーによってルーティングされます。


) スプリット トンネリングは主としてトラフィック管理機能であり、セキュリティ機能ではありません。最大限のセキュリティを確保するには、スプリット トンネリングをイネーブルにしないことを推奨します。


次の例は、「FirstGroup」という名前のグループポリシーで、指定されたネットワークのトンネリングに関してのみ、スプリット トンネリング ポリシーを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# split-tunnel-policy tunnelspecified
 

ステップ 19 グループポリシー コンフィギュレーション モードで split-tunnel-network-list コマンドを使用して、スプリット トンネリング用のネットワーク リストを作成します。

hostname(config-group-policy)# split-tunnel-network-list {value access-list_name | none}
hostname(config-group-policy)# no split-tunnel-network-list value [access-list_name]
 

スプリット トンネリングのネットワーク リストは、トラフィックをトンネル経由で送信する必要のあるネットワークと、トンネリングが不要なネットワークを区別します。セキュリティ アプライアンスは、ネットワーク リストに基づいてスプリット トンネリングを実行するかどうかを決定します。ネットワーク リストは、プライベート ネットワーク上のアドレスのリストで構成された ACL です。標準タイプの ACL のみが許可されます。

value access-list name パラメータは、トンネリングを実行する、または実行しないネットワークを列挙したアクセスリストを指定します。

none キーワードは、スプリット トンネリング用のネットワーク リストが存在しないことを示し、セキュリティ アプライアンスはすべてのトラフィックをトンネリングします。 none キーワードを指定すると、スプリットトンネリングのネットワーク リストにヌル値が設定され、スプリット トンネリングが拒否されます。また、これにより、デフォルトまたは指定されたグループポリシーから、デフォルトのスプリット トンネリング ネットワーク リストが継承されなくなります。

ネットワーク リストを削除するには、このコマンドの no 形式を入力します。すべてのスプリット トンネリング ネットワーク リストを削除するには、引数を指定せずに no split-tunnel-network-list コマンドを入力します。このコマンドにより、 none キーワードを入力して作成したヌル リストがあればそれも含めて、設定済みのすべてのネットワーク リストが削除されます。

スプリット トンネリングのネットワーク リストが存在しない場合、ユーザはデフォルトまたは指定されたグループポリシー内に存在するネットワーク リストを継承します。ユーザがこのようなネットワーク リストを継承しないようにするには、 split-tunnel-network-list none コマンドを入力します。

次の例は、「FirstGroup」という名前のグループポリシーに「FirstList」という名前のネットワーク リストを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# split-tunnel-network-list FirstList
 

ステップ 20 デフォルトのドメイン名を指定します。グループポリシーのユーザにデフォルトのドメイン名を設定するには、グループポリシー コンフィギュレーション モードで default-domain コマンドを入力します。ドメイン名を削除するには、このコマンドの no 形式を入力します。

hostname(config-group-policy)# default-domain {value domain-name | none}
hostname(config-group-policy)# no default-domain [domain-name]
 

セキュリティ アプライアンスは、ドメイン フィールドが省略される DNS クエリーにドメインを追加するために、IPSec クライアントにデフォルトのドメイン名を渡します。このドメイン名は、トンネリングされたパケットにのみ適用されます。デフォルトのドメイン名が存在しない場合、ユーザはデフォルト グループポリシーのドメイン名を継承します。

value domain-name パラメータは、そのグループのデフォルト ドメイン名を示します。デフォルト ドメイン名が存在しないことを示すには、 none キーワードを入力します。このコマンドにより、デフォルト ドメイン名にヌル値が設定され、デフォルト ドメイン名が拒否されます。また、デフォルトまたは指定されたグループポリシーからデフォルト ドメイン名が継承されなくなります。

すべてのデフォルト ドメイン名を削除するには、引数を指定せずに no default-domain コマンドを入力します。このコマンドにより、 none キーワードとともに default-domain コマンドを入力して作成したヌル リストがあればそれも含めて、設定済みのすべてのデフォルト ドメイン名が削除されます。 no 形式を使用すると、ドメイン名の継承が許可されます。

次の例は、「FirstGroup」という名前のグループポリシーに「FirstDomain」というデフォルト ドメイン名を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# default-domain value FirstDomain
 

ステップ 21 スプリット トンネルを介して解決されるドメインのリストを入力します。グループポリシー コンフィギュレーション モードで split-dns コマンドを入力します。リストを削除するには、このコマンドの no 形式を入力します。

スプリット トンネリングのドメイン リストが存在しない場合、ユーザはデフォルト グループポリシー内に存在するリストを継承します。ユーザがこのようなスプリット トンネリング ドメイン リストを継承しないようにするには、 none キーワードを指定して split-dns コマンドを入力します。

すべてのスプリット トンネリング ドメイン リストを削除するには、引数を指定せずに no split-dns コマンドを入力します。これにより、 none キーワードとともに split-dns コマンドを発行して作成したヌル リストを含めて、設定済みのすべてのスプリット トンネリング ドメイン リストが削除されます。

パラメータ value domain-name は、セキュリティ アプライアンスがスプリット トンネルを介して解決するドメイン名を指定します。 none キーワードは、スプリット DNS リストが存在しないことを示します。また、このキーワードにより、スプリット DNS リストにヌル値が設定されます。そのため、スプリット DNS リストは拒否され、デフォルトまたは指定されたグループポリシーのスプリット DNS リストが継承されなくなります。

hostname(config-group-policy)# split-dns {value domain-name1 [domain-name2... domain-nameN] | none}
hostname(config-group-policy)# no split-dns [domain-name domain-name2 domain-nameN]
 

ドメインのリスト内で各エントリを区切るには、スペースを 1 つ入力します。エントリ数に制限はありませんが、文字列全体で 255 文字を超えることはできません。英数字、ハイフン(-)、およびピリオド(.)のみを使用できます。

次の例は、「FirstGroup」という名前のグループポリシーで、Domain1、Domain2、Domain3、Domain4 の各ドメインがスプリット トンネリングを介して解決されるように設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# split-dns value Domain1 Domain2 Domain3 Domain4
 

ステップ 22 グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して secure-unit-authentication コマンドを入力し、セキュア ユニット認証をイネーブルにするかどうかを指定します。

hostname(config-group-policy)# secure-unit-authentication {enable | disable}
hostname(config-group-policy)# no secure-unit-authentication
 

セキュア ユニット認証は、VPN ハードウェア クライアントがトンネルを開始するたびにユーザ名とパスワードを使用して認証されるようにすることにより、セキュリティを強化します。この機能がイネーブルの場合、ハードウェア クライアントはユーザ名とパスワードを保存しません。セキュア ユニット認証はデフォルトでディセーブルになっています。

セキュア ユニット認証をディセーブルにするには、 disable キーワードを入力します。セキュア ユニット認証のアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、セキュア ユニット認証の値を別のグループポリシーから継承できます。


) この機能がイネーブルの場合、VPN トンネルを起動するには、ユーザがユーザ名とパスワードを入力する必要があります。


セキュア ユニット認証では、ハードウェア クライアントが使用するトンネルグループに対して認証サーバ グループが設定されている必要があります。

プライマリ セキュリティ アプライアンスでセキュア ユニット認証を使用する必要がある場合は、すべてのバックアップ サーバにも必ず同じ設定を行ってください。

次の例は、「FirstGroup」という名前のグループポリシーでセキュア ユニット認証をイネーブルにする方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# secure-unit-authentication enable
 

ステップ 23 グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して user-authentication コマンドを入力し、ユーザ認証をイネーブルにするかどうかを指定します。

hostname(config-group-policy)# user-authentication {enable | disable}
hostname(config-group-policy)# no user-authentication
 

ユーザ認証をディセーブルにするには、 disable キーワードを入力します。ユーザ認証アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、ユーザ認証の値を別のグループポリシーから継承できます。

ユーザ認証はデフォルトでディセーブルになっています。ユーザ認証がイネーブルの場合、ハードウェア クライアントの背後の個々のユーザは、トンネルを介してネットワークにアクセスするために認証を受ける必要があります。個々のユーザは、設定した認証サーバの順序に従って認証されます。

プライマリ セキュリティ アプライアンスでユーザ認証を使用する必要がある場合は、すべてのバックアップ サーバにも必ず同じ設定を行ってください。

次の例は、「FirstGroup」という名前のグループポリシーでユーザ認証をイネーブルにする方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# user-authentication enable
 

ステップ 24 グループポリシー コンフィギュレーション モードで user-authentication-idle-timeout コマンドを使用して、ハードウェア クライアントの背後の個々のユーザにアイドル タイムアウトを設定します。

hostname(config-group-policy)# user-authentication-idle-timeout {minutes | none}
hostname(config-group-policy)# no user-authentication-idle-timeout
 

minutes パラメータには、アイドル タイムアウト期間の長さを分単位で指定します。最小値は 1 分、デフォルト値は 30 分、最大値は 35791394 分です。

アイドル タイムアウト値を削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、アイドル タイムアウト値を別のグループポリシーから継承できます。

アイドル タイムアウト値を継承しないようにするには、 none キーワードを指定して
user-authentication-idle-timeout コマンドを入力します。このコマンドにより、アイドル タイムアウトにヌル値が設定されます。この設定によってアイドル タイムアウトが拒否され、デフォルトまたは指定されたグループポリシーからユーザ認証のアイドル タイムアウト値が継承されなくなります。

アイドル タイムアウト期間中にハードウェア クライアントの背後のユーザによる通信アクティビティがない場合、セキュリティ アプライアンスはそのクライアントのアクセスを終了します。


user-authentication-idle-timeout コマンドで終了されるのは、VPN トンネルを経由したクライアントのアクセスのみであり、VPN トンネル自体は終了されません。


次の例は、「FirstGroup」という名前のグループポリシーに 45 分の アイドル タイムアウト値を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# user-authentication-idle-timeout 45
 

ステップ 25 IP Phone Bypass をイネーブルにするには、グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して ip-phone-bypass コマンドを入力します。IP Phone Bypass を使用すると、ハードウェア クライアントの背後の IP Phone はユーザ認証プロセスを実行しなくても接続が可能になります。IP Phone Bypass は、デフォルトでディセーブルになっています。イネーブルの場合、セキュア ユニット認証は有効なままになります。

IP Phone Bypass をディセーブルにするには、 disable キーワードを入力します。IP Phone Bypass アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、IP Phone Bypass の値を別のグループポリシーから継承できます。

hostname(config-group-policy)# ip-phone-bypass {enable | disable}
hostname(config-group-policy)# no ip-phone-bypass
 

ステップ 26 Lightweight Extensible Authentication Protocol(LEAP)Bypass をイネーブルにするかどうかを指定します。LEAP Bypass をイネーブルにするには、グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して leap-bypass コマンドを入力します。LEAP Bypass をディセーブルにするには、 disable キーワードを入力します。LEAP Bypass のアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、LEAP Bypass の値を別のグループポリシーから継承できます。

hostname(config-group-policy)# leap-bypass {enable | disable}
hostname(config-group-policy)# no leap-bypass

LEAP Bypass がイネーブルの場合、VPN ハードウェア クライアントの背後の無線デバイスからの LEAP パケットは、ユーザ認証の前に VPN トンネルを通過します。このアクションにより、シスコの無線アクセス ポイント デバイスを使用するワークステーションで LEAP 認証を確立し、その後、ユーザ単位で再度認証を実行することができます。LEAP Bypass は、デフォルトでディセーブルになっています。


) IEEE 802.1X は、有線および無線ネットワークにおける認証規格です。この規格では、クライアントと認証サーバの間で強力な相互認証を実現し、ユーザ単位およびセッション単位のダイナミックな無線暗号化秘密(WEP)キーの使用を可能にして、スタティックな WEP キーの場合に介在する面倒な管理作業やセキュリティ上の問題を軽減することができます。

シスコシステムズは、Cisco LEAP と呼ばれる 802.1X 無線認証タイプを開発しました。LEAP(Lightweight Extensible Authentication Protocol)は、無線クライアントと RADIUS サーバの間の接続における相互認証を実装します。パスワードなど、認証に使用されるクレデンシャルは、無線メディア上で送信される前に必ず暗号化されます。

Cisco LEAP では、無線クライアントを RADIUS サーバに対して認証します。RADIUS アカウンティング サービスは提供されません。


対話的なハードウェア クライアント認証をイネーブルにしている場合、この機能は意図したように動作しません。


注意 認証されていないトラフィックがトンネルを通過できるようにすると、ネットワークにセキュリティ リスクを招く恐れがあります。

次の例は、「FirstGroup」という名前のグループポリシーに LEAP Bypass を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# leap-bypass enable
 

ステップ 27 グループポリシー コンフィギュレーション モードで、 enable キーワードを指定して nem コマンドを入力し、ハードウェア クライアントの Network Extension Mode(NEM; ネットワーク拡張モード)をイネーブルにします。

hostname(config-group-policy)# nem {enable | disable}
hostname(config-group-policy)# no nem
 

ネットワーク拡張モードを使用すると、ハードウェア クライアントは、VPN トンネル経由でリモート プライベート ネットワークに 1 つのルーティング可能なネットワークを提供することができます。ハードウェア クライアントの背後のプライベート ネットワークからセキュリティ アプライアンスの背後のネットワークへのすべてのトラフィックは、IPSec でカプセル化されます。PAT は適用されません。したがって、セキュリティ アプライアンスの背後のデバイスは、トンネル経由でのみハードウェア クライアントの背後にあるプライベート ネットワーク上のデバイスに直接アクセスでき、逆方向の場合も同様にトンネル経由の場合にのみ可能になります。トンネルは、ハードウェア クライアントから開始する必要がありますが、トンネルの確立後はどちらの側からデータ交換を開始してもかまいません。

NEM をディセーブルにするには、 disable キーワードを入力します。この NEM のアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、値を別のグループポリシーから継承できます。

次の例は、「FirstGroup」という名前のグループポリシーに NEM を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# nem enable
 

ステップ 28 バックアップ サーバを設定します(使用する予定がある場合)。IPSec バックアップ サーバを使用すると、VPN クライアントはプライマリ セキュリティ アプライアンスが使用不可の場合も接続が可能になります。バックアップ サーバを設定するには、グループポリシー コンフィギュレーション モードで backup-servers コマンドを入力します。

hostname(config-group-policy)# backup-servers {server1 server2... server10 | clear-client-config | keep-client-config}
 

バックアップ サーバを設定すると、セキュリティ アプライアンスは、IPSec トンネルを確立するときにクライアントにサーバ リストを渡します。バックアップ サーバは、クライアントまたはプライマリ セキュリティ アプライアンスにその設定を行うまでは存在しません。

バックアップ サーバを削除するには、このコマンドの no 形式を入力します。backup-servers アトリビュートを実行コンフィギュレーションから削除し、backup-servers の値を他のグループポリシーから継承できるようにするには、引数を指定せずにこのコマンドの no 形式を入力します。

hostname(config-group-policy)# no backup-servers [server1 server2... server10 | clear-client-config | keep-client-config]
 

clear-client-config キーワードは、クライアントでバックアップ サーバを使用しないことを指定します。セキュリティ アプライアンスはヌルのサーバ リストを配信します。

keep-client-config キーワードは、セキュリティ アプライアンスがバックアップ サーバ情報をクライアントに送信しないことを指定します。クライアントは、そのクライアントのサーバ リストを使用します(設定されている場合)。これがデフォルトです。

server1 server 2.... server10 パラメータ リストは、プライマリ セキュリティ アプライアンスが使用不可の場合に VPN クライアントが使用するサーバを、プライオリティ順にスペースで区切ったリストです。このリストには、サーバを IP アドレスまたはホスト名で指定します。このリストの長さは 500 文字までですが、格納できるエントリは 10 個までです。

バックアップ サーバは、クライアントまたはプライマリ セキュリティ アプライアンスのいずれかに設定します。セキュリティ アプライアンスにバックアップ サーバを設定すると、セキュリティ アプライアンスはバックアップ サーバ ポリシーをグループ内のクライアントに配信し、クライアントにバックアップ サーバ リストが設定されている場合はそのリストを置き換えます。


) ホスト名を使用している場合は、バックアップ用の DNS サーバおよび WINS サーバを、プライマリの DNS サーバおよび WINS サーバと異なるネットワーク上に配置することを推奨します。このようにしないと、ハードウェア クライアントの背後のクライアントが DHCP 経由でそのハードウェア クライアントから DNS および WINS の情報を取得している場合に、プライマリ サーバへの接続が失われると、バックアップ サーバに別の DNS および WINS の情報があっても、クライアントは DHCP リースの期限が満了するまではアップデートされなくなります。また、ホスト名を使用している場合に DNS サーバ が使用不可になると、大幅な遅延が発生する恐れがあります。


次の例は、「FirstGroup」という名前のグループポリシーに、IP アドレスが 10.10.10.1 と 192.168.10.14 であるバックアップ サーバを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# backup-servers 10.10.10.1 192.168.10.14
 

ステップ 29 グループポリシー コンフィギュレーション モードで client-firewall コマンドを使用して、セキュリティ アプライアンスが IKE トンネル ネゴシエーション中に VPN クライアントに配信するパーソナル ファイアウォール ポリシーを設定します。ファイアウォール ポリシーを削除するには、このコマンドの no 形式を入力します。

すべてのファイアウォール ポリシーを削除するには、引数を指定せずに no client-firewall コマンドを入力します。このコマンドにより、 none キーワードとともに client-firewall コマンドを入力して作成したヌル ポリシーがあればそれも含めて、設定済みのすべてのファイアウォール ポリシーが削除されます。

ファイアウォール ポリシーが存在しない場合、ユーザはデフォルトまたはその他のグループポリシー内に存在するファイアウォール ポリシーを継承します。ユーザがこのようなファイアウォール ポリシーを継承しないようにするには、 none キーワードを指定して client-firewall コマンドを入力します。

次のコマンドを入力して、適切なクライアント ファイアウォールのパラメータを設定します。この一連のコマンドの後に記載された 表25-1 で、これらのコマンドのシンタックス要素について説明します。

hostname(config-group-policy)# client-firewall none
 
hostname(config-group-policy)# client-firewall opt | req custom vendor-id num product-id num policy AYT | {CPP acl-in ACL acl-out ACL} [description string]
 
hostname(config-group-policy)# client-firewall opt | req zonelabs-zonealarm policy AYT | {CPP acl-in ACL acl-out ACL}
 
hostname(config-group-policy)# client-firewall opt | req zonelabs-zonealarmorpro policy AYT | {CPP acl-in ACL acl-out ACL}
 
client-firewall opt | req zonelabs-zonealarmpro policy AYT | {CPP acl-in ACL acl-out ACL}
 
hostname(config-group-policy)# client-firewall opt | req cisco-integrated acl-in ACL acl-out ACL
 
hostname(config-group-policy)# client-firewall opt | req sygate-personal
 
hostname(config-group-policy)# client-firewall opt | req sygate-personal-pro
 
hostname(config-group-policy)# client-firewall opt | req sygate-security-agent
 
hostname(config-group-policy)# client-firewall opt | req networkice-blackice
 
hostname(config-group-policy)# client-firewall opt | req cisco-security-agent
 

 

表25-1 client-firewall コマンドのパラメータ

パラメータ
説明

acl-in <ACL>

クライアントが着信トラフィックに使用するポリシーを指定します。

acl-out <ACL>

クライアントが発信トラフィックに使用するポリシーを指定します。

AYT

クライアント PC のファイアウォール アプリケーションがファイアウォール ポリシーを制御するように指定します。セキュリティ アプライアンスはファイアウォールが実行されていることを確認します。セキュリティ アプライアンスは、確認のために「Are You There?」という質問を行い、応答がない場合はトンネルを切断します。

cisco-integrated

Cisco 統合ファイアウォール タイプを指定します。

cisco-security-agent

Cisco Intrusion Prevention Security Agent ファイアウォール タイプを指定します。

CPP

VPN クライアントのファイアウォール ポリシーのソースとして Policy Pushed を指定します。

custom

カスタム ファイアウォール タイプを指定します。

description <string>

ファイアウォールの説明です。

networkice-blackice

Network ICE Black ICE ファイアウォール タイプを指定します。

none

クライアント ファイアウォール ポリシーが存在しないことを示します。ファイアウォール ポリシーにヌル値を設定して、ファイアウォール ポリシーを拒否します。デフォルトのグループポリシーまたは指定されているグループポリシーからファイアウォール ポリシーを継承しないようにします。

opt

オプションのファイアウォール タイプを示します。

product-id

ファイアウォール製品を指定します。

req

必要なファイアウォール タイプを示します。

sygate-personal

Sygate Personal ファイアウォール タイプを指定します。

sygate-personal-pro

Sygate Personal Pro ファイアウォール タイプを指定します。

sygate-security-agent

Sygate Security Agent ファイアウォール タイプを指定します。

vendor-id

ファイアウォール ベンダーを指定します。

zonelabs-zonealarm

Zone Labs ZoneAlarm ファイアウォール タイプを指定します。

zonelabs-zonealarmorpro policy

Zone Labs ZoneAlarm または Pro ファイアウォール タイプを指定します。

zonelabs-zonealarmpro policy

Zone Labs ZoneAlarm Pro ファイアウォール タイプを指定します。

次の例は、「FirstGroup」という名前のグループポリシーで、Cisco Intrusion Prevention Security Agent を必要とするクライアント ファイアウォール ポリシーを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# client-firewall req cisco-security-agent
 

ステップ 30 グループポリシー コンフィギュレーション モードで client-access-rule コマンドを使用して、セキュリティ アプライアンスを介して IPSec で接続できるリモートアクセス クライアントのタイプとバージョンを制限する規則を指定します。規則を削除するには、このコマンドの no 形式を入力します。このコマンドは、次のコマンドと同等です。

hostname(config-group-policy)# client-access-rule 1 deny type "Cisco VPN Client" version 4.0
 

すべての規則を削除するには、引数を指定せずに no client-access-rule コマンドを入力します。これにより、 none キーワードとともに client-access-rule コマンドを発行して作成したヌル規則があればそれも含めて、設定済みのすべての規則が削除されます。

デフォルトでは、アクセス規則はありません。クライアント アクセス規則が存在しない場合、ユーザはデフォルト グループポリシー内に存在する規則を継承します。

ユーザがクライアント アクセス規則を継承しないようにするには、 none キーワードを指定して client-access-rule コマンドを入力します。このコマンドの結果、すべてのタイプとバージョンのクライアントが接続できるようになります。

hostname(config-group-policy)# client-access rule priority {permit | deny} type type version {version | none}
 
hostname(config-group-policy)# no client-access rule [priority {permit | deny} type type version version]
 

表25-2 で、これらのコマンドのキーワードとパラメータの意味を説明します。

 

表25-2 client-access-rule コマンドのパラメータ

パラメータ
説明

deny

特定のタイプまたはバージョン(あるいはその両方)のデバイスの接続を拒否します。

none

クライアント アクセス規則を許可しません。client-access-rule をヌル値に設定して、制限を拒否します。デフォルトのグループポリシーまたは指定されているグループポリシーから値を継承しないようにします。

permit

特定のタイプまたはバージョン(あるいはその両方)のデバイスの接続を許可します。

priority

規則のプライオリティを決定します。最小の整数値を持つ規則のプライオリティが最も高くなります。したがって、クライアントのタイプまたはバージョン(あるいはその両方)に一致し、最小の整数値を持つ規則が適用されます。それよりもプライオリティの低い規則は、セキュリティ アプライアンスでは無視されます。

type type

デバイス タイプを、「VPN 3002」などの自由形式の文字列で指定します。文字列は、 show vpn-sessiondb remote で表示される内容と完全に一致している必要があります。ただし、ワイルドカードとして * 文字を入力できます。

version version

デバイスのバージョンを、「7.0」などの自由形式の文字列で指定します。文字列は、 show vpn-sessiondb remote で表示される内容と完全に一致している必要があります。ただし、ワイルドカードとして * 文字を入力できます。

次のガイドラインに従って規則を作成します。

規則を定義しない場合、セキュリティ アプライアンスはすべての接続タイプを許可します。

クライアントがどの規則にも一致しない場合、セキュリティ アプライアンスは接続を拒否します。拒否規則を定義する場合は、許可規則も 1 つ以上定義しないと、セキュリティ アプライアンスはすべての接続を拒否します。

ソフトウェア クライアントとハードウェア クライアントのどちらでも、タイプとバージョンは show vpn-sessiondb remote で表示される内容と完全に一致している必要があります。

* 文字はワイルドカードです。各規則で複数回入力することができます。たとえば、 client-access rule 3 deny type * version 3.* では、バージョン 3.x のソフトウェア リリースを実行しているすべてのクライアント タイプを拒否する、プライオリティ 3 のクライアント アクセス規則が作成されます。

グループポリシーごとに最大 25 の規則を作成できます。

規則のセット全体で 255 文字の制限があります。

クライアントのタイプまたはバージョン(あるいはその両方)を送信しないクライアントには、n/a を入力できます。

次の例は、「FirstGroup」という名前のグループポリシーにクライアント アクセス規則を作成する方法を示しています。これらの規則は、バージョン 4.x のソフトウェアを実行する Cisco VPN クライアントを許可し、すべての Windows NT クライアントを拒否します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# client-access-rule 1 deny type WinNT version *
hostname(config-group-policy)# client-access-rule 2 permit “Cisco VPN Client” version 4.*

) 「type」フィールドは、任意の値が許可される自由形式の文字列ですが、その値は、クライアントが接続時にセキュリティ アプライアンスに送信する固定値と一致している必要があります。


ステップ 31 特定のユーザまたはグループポリシー用の WebVPN コンフィギュレーションをカスタマイズします。グループポリシー コンフィギュレーション モードで webvpn コマンドを使用して、webvpn モードに入ります。グループポリシー用の webvpn コマンドは、ファイル、MAPI プロキシ、URL、および TCP アプリケーションへの WebVPN 経由のアクセスを定義します。フィルタリングする ACL とトラフィックの種類も特定します。WebVPN は、デフォルトではディセーブルになっています。

webvpn モードで入力されたすべてのコマンドを削除するには、このコマンドの no 形式を入力します。これらの webvpn コマンドは、設定を行ったユーザ名またはグループポリシーに対して適用されます。

hostname(config-group-policy)# webvpn
hostname(config-group-policy)# no webvpn
 

電子メール プロキシを使用するために WebVPN を設定する必要はありません。

WebVPN によってユーザは、ブラウザを使用してセキュリティ アプライアンスへのセキュアなリモートアクセス VPN トンネルを確立できます。ソフトウェア クライアントもハードウェア クライアントも必要ありません。WebVPN を使用することで、HTTPS インターネット サイトにアクセスできるほとんどすべてのコンピュータから、幅広い Web リソースおよび Web 対応アプリケーションに簡単にアクセスできます。WebVPN は SSL およびその後継である TLS1 を使用して、リモート ユーザと、中央サイトで設定した特定のサポートされている内部リソースとの間で、セキュアな接続を提供します。セキュリティ アプライアンスはプロキシで処理する必要がある接続を認識し、HTTP サーバは認証サブシステムと対話してユーザを認証します。


) グローバル コンフィギュレーション モードで webvpn モードを入力することによって、WebVPN のグローバル設定を構成できます。この項で説明する webvpn モード(グループポリシー モードから入る webvpn モード)を使用すると、特定のグループポリシーの WebVPN コンフィギュレーションをカスタマイズできます。


webvpn モードでは、次のパラメータをカスタマイズできます。各パラメータについては、後続のステップで説明します。

functions url-entry

html-content-filter

homepage

filter

url-list

port-forward

port-forward-name value Application Access

次の例は、「FirstGroup」という名前のグループポリシーの webvpn モードに入る方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-username-webvpn)#
 

ステップ 32 イネーブルにする WebVPN 機能を設定します。グループポリシーに対して、WebVPN を使用した、ファイル アクセスとファイル ブラウジング、HTTP プロキシ、MAPI プロキシ、および URL エントリを設定するには、webvpn モードで functions コマンドを入力します。

hostname(config-username-webvpn)# functions {file-access | file-browsing | file-entry | http-proxy | url-entry | mapi | none}
 
hostname(config-username-webvpn)# no functions [file-access | file-browsing | file-entry | http-proxy | url-entry | mapi]
 

設定した機能を削除するには、このコマンドの no 形式を入力します。これらの機能は、デフォルトではディセーブルです。

functions none コマンドを発行して作成したヌル値を含めて、設定済みのすべての機能を削除するには、引数を指定せずにこのコマンドの no 形式を入力します。 no オプションを使用すると、値を別のグループポリシーから継承できます。機能の値を継承しないようにするには、 functions none コマンドを入力します。

このコマンドで使用するキーワードの意味を次の表で説明します。

 

file-access

ファイル アクセスをイネーブルまたはディセーブルにします。イネーブルにすると、WebVPN ホーム ページにサーバ リストのファイル サーバが表示されます。ファイル ブラウジングまたはファイル エントリをイネーブルにするには、ファイル アクセスをイネーブルにする必要があります。

file-browsing

ファイル サーバとファイル共有のブラウジングをイネーブルまたはディセーブルにします。ファイル サーバのユーザ エントリを許可するには、ファイル ブラウジングをイネーブルにする必要があります。

file-entry

ユーザがファイル サーバの名前を入力する機能をイネーブルまたはディセーブルにします。

http-proxy

HTTP アプレット プロキシのクライアントへの転送をイネーブルまたはディセーブルにします。プロキシは、Java、ActiveX、Flash など、適切なマングリングを妨げる技術に対して有用です。セキュリティ アプライアンスの使用を継続しながら、マングリングをバイパスします。転送プロキシは、ブラウザの古いプロキシ コンフィギュレーションを自動的に変更し、すべての HTTP および HTTPS 要求を新しいプロキシ コンフィギュレーションにリダイレクトします。HTML、CSS、JavaScript、VBScript、ActiveX、Java など、実質的にすべてのクライアント サイド技術をサポートします。サポートされるブラウザは Microsoft Internet Explorer だけです。

mapi

Microsoft Outlook/Exchange のポート転送をイネーブルまたはディセーブルにします。

none

すべての WebVPN の functions にヌルを設定します。デフォルトのグループポリシーまたは指定されているグループポリシーから機能を継承しないようにします。

url-entry

ユーザの URL エントリをイネーブルまたはディセーブルにします。イネーブルにしても、セキュリティ アプライアンスは設定されている URL またはネットワーク ACL で、URL を制限します。URL エントリをディセーブルにすると、セキュリティ アプライアンスは、WebVPN ユーザがホーム ページの URL にのみアクセスできるように制限します。

次の例は、「FirstGroup」という名前のグループポリシーに対して、ファイル アクセス、ファイル ブラウジング、および MAPI プロキシを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-username-webvpn)# functions file-access file-browsing MAPI
 

ステップ 33 webvpn モードで html-content-filter コマンドを使用して、このグループポリシーの WebVPN セッションの Java、ActiveX、イメージ、スクリプト、およびクッキーをフィルタリングするかどうかを指定します。コンテンツ フィルタを削除するには、このコマンドの no 形式を入力します。 none キーワードとともに html-content-filter コマンドを発行して作成したヌル値を含めて、すべてのコンテンツ フィルタを削除するには、引数を指定せずにこのコマンドの no 形式を入力します。 no オプションを使用すると、値を別のグループポリシーから継承できます。HTML コンテンツ フィルタを継承しないようにするには、 none キーワードを指定して html-content-filter コマンドを入力します。HTML フィルタリングは、デフォルトでディセーブルです。

コマンドを 2 回使用すると、先行する設定値が上書きされます。

hostname(config-username-webvpn)# html-content-filter {java | images | scripts | cookies | none}
 
hostname(config-username-webvpn)# no html-content-filter [java | images | scripts | cookies | none]
 

このコマンドで使用するキーワードの意味を次の表で説明します。

 

cookies

イメージからクッキーを削除して、アドバタイズメント フィルタリングを制限し、プライバシーを保持します。

images

イメージへの参照を削除します(<IMG> タグを削除)。

java

Java および ActiveX への参照を削除します(<EMBED>、<APPLET>、および <OBJECT> の各タグを削除)。

none

フィルタリングを実行しないことを指定します。ヌル値を設定して、フィルタリングを拒否します。フィルタリングの値を継承しないようにします。

scripts

スクリプトへの参照を削除します(<SCRIPT> タグを削除)。

次の例は、「FirstGroup」という名前のグループポリシーに、Java と ActiveX、クッキー、およびイメージのフィルタリングを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-username-webvpn)# html-content-filter java cookies images
 

ステップ 34 webvpn モードで homepage コマンドを使用して、この WebVPN グループポリシーでログイン時に表示される Web ページの URL を指定します。 homepage none コマンドを発行して作成したヌル値を含めて、設定されているホーム ページを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値を別のグループポリシーから継承できます。ホーム ページを継承しないようにするには、 homepage none コマンドを入力します。

none キーワードは、WebVPN ホーム ページがないことを示します。これにより、ヌル値が設定されてホーム ページが拒否され、ホーム ページが継承されなくなります。

キーワード value の後ろの url-string 変数で、ホーム ページの URL を指定します。文字列の先頭は、http:// または https:// にする必要があります。

デフォルトのホーム ページはありません。

hostname(config-username-webvpn)# homepage {value url-string | none}
hostname(config-username-webvpn)# no homepage
 

ステップ 35 webvpn モードで filter コマンドを使用して、このグループポリシーまたはユーザ名で WebVPN 接続に使用するアクセスリストの名前を指定します。 filter none コマンドを発行して作成したヌル値を含めて、アクセスリストを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値を別のグループポリシーから継承できます。フィルタの値を継承しないようにするには、 filter value none コマンドを入力します。

filter コマンドを入力して指定するまで、WebVPN アクセスリストは適用されません。

ACL を設定して、このグループポリシーについて、さまざまなタイプのトラフィックを許可または拒否します。次に、 filter コマンドを入力して、これらの ACL を WebVPN トラフィックに適用します。

hostname(config-username-webvpn)# filter {value ACLname | none}
hostname(config-username-webvpn)# no filter
 

none キーワードは、 webvpntype アクセスリストがないことを示します。これにより、ヌル値が設定されてアクセスリストが拒否され、別のグループポリシーからアクセスリストが継承されなくなります。

キーワード value の後ろの ACLname 文字列で、すでに設定されているアクセスリストの名前を指定します。


) WebVPN は、vpn-filter コマンドで定義されている ACL を使用しません。


次の例は、「FirstGroup」という名前のグループポリシーに対して acl_in という名前のアクセスリストを呼び出すフィルタを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-username-webvpn)# filter acl_in
 

ステップ 36 特定のグループポリシーに WebVPN サーバと URL のリストを適用するには、グループポリシーまたはユーザ名モードから入った webvpn モードで、 url-list コマンドを入力します。 none キーワードとともに url-list コマンドを使用して作成したヌル値を含めて、リストを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値を別のグループポリシーから継承できます。URL リストを継承しないようにするには、 none キーワードを指定して url-list コマンドを入力します。

hostname(config-username-webvpn)# url-list {listname displayname url | none}
hostname(config-username-webvpn)# no url-list
 

このコマンドで使用するキーワードと変数の意味を次の表で説明します。

 

displayname

URL の名前を指定します。この名前は、WebVPN のエンドユーザ インターフェイスに表示されます。

listname

URL をグループ化する名前を指定します。

none

URL のリストが存在しないことを示します。ヌル値を設定して、URL リストを拒否します。URL リストの値を継承しないようにします。

url

WebVPN ユーザがアクセスできる URL を指定します。

デフォルトの URL リストはありません。

コマンドを 2 回使用すると、先行する設定値が上書きされます。

webvpn モードで url-list コマンドを入力し、グループポリシーの WebVPN ホーム ページに表示する URL リストを指定する前に、リストを作成しておく必要があります。 url-list コマンドをグローバル コンフィギュレーション モードで入力し、1 つ以上のリストを作成します。

次の例は、「FirstGroup」という名前のグループポリシーに、「FirstGroupURLs」という URL リストを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-username-webvpn)# url-list value FirstGroupURLs
 

ステップ 37 webvpn モードで port-forward コマンドを使用して、このグループポリシーの WebVPN アプリケーション アクセスをイネーブルにします。 port-forward none コマンドを発行して作成したヌル値を含めて、コンフィギュレーションからポート転送アトリビュートを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、リストを別のグループポリシーから継承できます。ポート転送リストを継承しないようにするには、 none キーワードを指定して port-forward コマンドを入力します。

hostname(config-username-webvpn)# port-forward {value listname | none}
hostname(config-username-webvpn)# no port-forward
 

none キーワードは、フィルタリングが実行されないことを示します。これにより、ヌル値が設定されてフィルタリングが拒否され、フィルタリング値が継承されなくなります。

ポート転送は、デフォルトではディセーブルになっています。

キーワード value の後ろの listname 文字列で、WebVPN ユーザがアクセスできるアプリケーションのリストを指定します。コンフィギュレーション モードで port-forward コマンドを入力し、このリストを定義します。

コマンドを 2 回使用すると、先行する設定値が上書きされます。

webvpn モードで port-forward コマンドを入力し、アプリケーション アクセスをイネーブルにする前に、WebVPN 接続でユーザが使用できるアプリケーションのリストを定義する必要があります。グローバル コンフィギュレーション モードで port-forward コマンドを入力し、このリストを定義します。

次の例は、「FirstGroup」という名前の内部グループポリシーに ports1 というポート転送リストを設定する方法を示しています。

hostname(config)# group-policy FirstGroup internal attributes
hostname(config-group-policy)# webvpn
hostname(config-username-webvpn)# port-forward value ports1
 

ステップ 38 webvpn モードで port-forward-name コマンドを使用して、特定のユーザまたはグループポリシーでエンド ユーザへの TCP ポート転送を識別する表示名を設定します。 port-forward-name none コマンドを使用して作成したヌル値を含めて、表示名を削除するには、コマンドの no 形式を入力します。 no オプションは、デフォルト名の「Application Access」を復元します。表示名を使用しないようにするには、 port-forward none コマンドを入力します。

hostname(config-username-webvpn)# port-forward-name {value name | none}
hostname(config-username-webvpn)# no port-forward-name
 

次の例は、「FirstGroup」という名前の内部グループポリシーに「Remote Access TCP Applications」という名前を設定する方法を示しています。

hostname(config)# group-policy FirstGroup internal attributes
hostname(config-group-policy)# webvpn
hostname(config-username-webvpn)# port-forward-name value Remote Access TCP Applications
 


 

ユーザの設定

デフォルトでは、ユーザは、割り当てられているグループポリシーからすべてのユーザ アトリビュートを継承します。また、セキュリティ アプライアンスでは、ユーザ レベルで個別にアトリビュートを割り当て、そのユーザに適用されるグループポリシーの値を上書きすることができます。たとえば、すべてのユーザに営業時間内のアクセスを許可し、特定のユーザに 24 時間のアクセスを許可するグループポリシーを指定することができます。

ユーザ名のコンフィギュレーションの表示

すべてのユーザ名のコンフィギュレーションを、グループポリシーから継承したデフォルト値も含めて表示するには、次のように、 all キーワードを指定して show running-config username コマンドを入力します。

hostname# show running-config all username
 

all キーワードを省略すると、明示的に設定された値のみがリストに表示されます。この例では、ユーザ名は「testuser」と「oliverw」です。継承した値も含めて、設定済みのすべてのユーザのコンフィギュレーションは、次のとおりです。

username testuser password 12RsxXQnphyr/I9Z encrypted privilege 15
username testuser attributes
vpn-group-policy testing
vpn-access-hours value averylongtime
vpn-simultaneous-logins 4
vpn-idle-timeout 30
vpn-session-timeout none
vpn-filter value tunneled
no vpn-framed-ip-address
group-lock value test
webvpn
no functions
html-content-filter java images scripts cookies
no homepage
no filter
no url-list
no port-forward
no port-forward-name
 
username oliverw password vt/qqEzfgfrXXya4 encrypted privilege 2
username oliverw attributes
no vpn-group-policy
vpn-tunnel-protocol webvpn
no vpn-framed-ip-address
webvpn
functions url-entry file-access file-entry file-browsing
no html-content-filter
no homepage
no filter
no url-list
no port-forward
no port-forward-name
username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15
username newuser nopassword privilege 15
 

特定ユーザの設定

特定のユーザを設定するには、 username コマンドを使用してユーザ名モードに入り、ユーザにパスワード(パスワードなしも可)とアトリビュートを割り当てます。指定しなかったすべてのアトリビュートは、グループポリシーから継承されます。

内部ユーザ認証データベースは、 username コマンドを使用して入力されたユーザで構成されています。 login コマンドは、このデータベースを認証に使用します。セキュリティ アプライアンス データベースにユーザを追加するには、グローバル コンフィギュレーション モードで username コマンドを入力します。ユーザを削除するには、このコマンドの no 形式を使用して削除するユーザ名を指定します。すべてのユーザ名を削除するには、ユーザ名を指定せずに clear configure username コマンドを使用します。

ユーザのパスワードと特権レベルの設定

ユーザにパスワードと特権レベルを割り当てるには、 username コマンドを使用します。 nopassword キーワードを入力して、そのユーザにパスワードが不要であることを指定することもできます。パスワードを指定する場合は、そのパスワードを暗号化形式で保存するかどうかを指定できます。

オプションの privilege キーワードにより、そのユーザの特権レベルを設定できます。特権レベルの範囲は 0(最低)~ 15 です。一般に、システム管理者は最高の特権レベルを持ちます。デフォルトのレベルは 2 です。

hostname(config)# username name {nopassword | password password [encrypted]} [privilege priv_level]}
 
hostname(config)# no username [name]
 

このコマンドで使用するキーワードと変数の意味を次の表で説明します。

 

encrypted

パスワードの暗号化を指定します。

name

ユーザの名前を指定します。

nopassword

このユーザにパスワードが不要であることを指定します。

password password

このユーザにパスワードが存在することを示し、パスワードを指定します。

privilege priv_level

このユーザの特権レベルを設定します。範囲は 0 ~ 15 です。この数値が低いほど、コマンドの使用やセキュリティ アプライアンスの管理に関する機能が限定されます。デフォルトの特権レベルは 2 です。システム管理者の通常の特権レベルは 15 です。

デフォルトでは、このコマンドで追加する VPN ユーザにはアトリビュートやグループポリシーは関連付けられません。すべての値を明示的に設定する必要があります。

次の例は、暗号化されたパスワードが pw_12345678 で、特権レベルが 12 の「anyuser」という名前のユーザを設定する方法を示しています。

hostname(config)# username anyuser password pw_12345678 encrypted privilege 12
 

ユーザ アトリビュートの設定

ユーザのパスワード(存在する場合)と特権レベルの設定後は、その他のアトリビュートを設定します。これらは任意の順序で設定できます。任意のアトリビュートと値のペアを削除するには、該当コマンドの no 形式を入力します。


ステップ 1 attributes キーワードを指定して username コマンドを入力し、ユーザ名モードに入ります。

hostname(config)# username name attributes
hostname(config-username)#
 

プロンプトが変化し、新しいモードになったことが示されます。これでアトリビュートを設定できます。

ステップ 2 このユーザがアトリビュートを継承するグループポリシーの名前を指定します。デフォルトでは、VPN ユーザにはグループポリシーが関連付けられていません。

hostname(config-username)# vpn-group-policy group-policy-name
hostname(config-username)# no vpn-group-policy group-policy-name
 

このコマンドを使用すると、ユーザはそれまでにユーザ レベルで設定されていないアトリビュートを継承します。

特定のユーザに対してユーザ名モードでアトリビュートを設定する(そのアトリビュートがユーザ名モードで使用可能である場合)ことにより、グループポリシーからのそのアトリビュートの値を上書きできます。

次の例は、「anyuser」という名前のユーザが「FirstGroup」という名前のグループポリシーのアトリビュートを使用するように設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-group-policy FirstGroup
 

ステップ 3 設定済みの time-range ポリシーの名前を指定して、このユーザがシステムへのアクセスを許可される時間を関連付けます。

このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。このオプションを使用すると、time-range の値を別のグループポリシーから継承できます。値を継承しないようにするには、 vpn-access-hours none コマンドを入力します。デフォルトでは、アクセスは無制限です。

hostname(config-username)# vpn-access-hours value {time-range | none}
hostname(config-username)# vpn-access-hours value none
 

次の例は、「anyuser」という名前のユーザを「824」と呼ばれる time-range ポリシーに関連付ける方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-access-hours 824
 

ステップ 4 このユーザに許可される同時ログインの最大数を指定します。範囲は 0 ~ 2147483647 です。デフォルトの同時ログイン数は 3 です。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。ログインをディセーブルにしてユーザのアクセスを禁止するには、0 を入力します。

hostname(config-username)# vpn-simultaneous-logins integer
hostname(config-username)# no vpn-simultaneous-logins
 

次の例は、「anyuser」という名前のユーザに最大 4 つの同時ログインを許可する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-simultaneous-logins 4
 

ステップ 5 アイドル タイムアウト期間を分単位で入力するか、 none を入力してアイドル タイムアウトをディセーブルにします。この期間中に接続上で通信アクティビティがまったくなかった場合、セキュリティ アプライアンスは接続を終了します。

範囲は 1 ~ 35791394 分です。デフォルトは 30 分です。無制限のタイムアウト期間を許可し、タイムアウト値を継承しないようにするには、 none キーワードを指定して vpn-idle-timeout コマンドを入力します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

hostname(config-username)# vpn-idle-timeout {minutes | none}
hostname(config-username)# no vpn-idle-timeout
 

次の例は、「anyuser」という名前のユーザに 30 分の VPN アイドル タイムアウトを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-idle-timeout 30
 

ステップ 6 ユーザの最大接続時間を分単位で指定するか、 none を入力して無制限の接続時間を許可し、このアトリビュートの値を継承しないようにします。この期間が終了すると、セキュリティ アプライアンスは接続を終了します。

範囲は 1 ~ 35791394 分です。デフォルトのタイムアウトはありません。無制限のタイムアウト期間を許可し、タイムアウト値を継承しないようにするには、 none キーワードを指定して vpn-session-timeout コマンドを入力します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

hostname(config-username)# vpn-session-timeout {minutes | none}
hostname(config-username)# no vpn-session-timeout
 

次の例は、「anyuser」という名前のユーザに 180 分の VPN セッション タイムアウトを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-session-timeout 180
 

ステップ 7 VPN 接続用のフィルタとして使用する、事前に設定されたユーザ固有の ACL の名前を指定します。アクセスリストを拒否し、グループポリシーからアクセスリストを継承しないようにするには、none キーワードを指定して vpn-filter コマンドを入力します。 vpn - filter none コマンドを発行して作成したヌル値を含めて、ACL を削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値をグループポリシーから継承できます。このコマンドには、デフォルトの動作や値はありません。

ACL を設定して、このユーザについて、さまざまなタイプのトラフィックを許可または拒否します。次に、 vpn-filter コマンドを使用して、これらの ACL を適用します。

hostname(config-username)# vpn-filter {value ACL name | none}
hostname(config-username)# no vpn-filter

) WebVPN は、vpn-filter コマンドで定義された ACL を使用しません。


次の例は、「anyuser」という名前のユーザに対して「acl_vpn」という名前のアクセスリストを呼び出すフィルタを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-filter value acl_vpn
 

ステップ 8 特定のユーザに割り当てる IP アドレスとネットマスクを指定します。IP アドレスを削除するには、このコマンドの no 形式を入力します。

hostname(config-username)# vpn-framed-ip-address {ip_address}
hostname(config-username)# no vpn-framed-ip-address
 

次の例は、「anyuser」という名前のユーザに IP アドレス 10.92.166.7 を設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-framed-ip-address 10.92.166.7
 

ステップ 9 前の手順で指定した IP アドレスに使用するネットワーク マスクを指定します。 no vpn-framed-ip-address コマンドを使用した場合は、ネットワーク マスクを指定しないでください。サブネット マスクを削除するには、このコマンドの no 形式を入力します。デフォルトの動作や値はありません。

hostname(config-username)# vpn-framed-ip-netmask {netmask}
hostname(config-username)# no vpn-framed-ip-netmask
 

次の例は、「anyuser」という名前のユーザに、サブネット マスク 255.255.255. 254 を設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-framed-ip-netmask 255.255.255.254
 

ステップ 10 このユーザが使用できる VPN トンネル タイプ(IPSec または WebVPN)を指定します。デフォルトは、デフォルト グループポリシーから取得される値で、IPSec になります。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。

hostname(config-username)# vpn-tunnel-protocol {webvpn | IPSec}
hostname(config-username)# no vpn-tunnel-protocol [webvpn | IPSec]
 

このコマンドのパラメータの値は、次のとおりです。

IPSec: 2 つのピア(リモートアクセス クライアントまたは別のセキュア ゲートウェイ)間の IPSec トンネルをネゴシエートします。認証、暗号化、カプセル化、キー管理を制御するセキュリティ アソシエーションを作成します。

webvpn: HTTP 対応 Web ブラウザ経由でリモート ユーザに VPN サービスを提供します。クライアントは不要です。

このコマンドを入力して、1 つ以上のトンネリング モードを設定します。VPN トンネルで接続するユーザに対して、1 つ以上のトンネリング モードを設定する必要があります。

次の例は、「anyuser」という名前のユーザに WebVPN および IPSec トンネリング モード(複数も可)を設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-tunnel-protocol webvpn
hostname(config-username)# vpn-tunnel-protocol IPSec
 

ステップ 11 value キーワードを指定して group-lock アトリビュートを設定することにより、指定した既存のトンネルグループのみを介してアクセスするようにリモート ユーザを制限します。 group-lock アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、値をグループポリシーから継承できます。group-lock をディセーブルにし、デフォルトまたは指定されたグループポリシーから group-lock の値を継承しないようにするには、 none キーワードを指定して group-lock コマンドを入力します。

group-lock は、VPN クライアントで設定されたグループが、そのユーザが割り当てられているトンネルグループと同じかどうかをチェックすることによって、ユーザを制限します。同じでない場合、セキュリティ アプライアンスはそのユーザによる接続を禁止します。group-lock を設定しない場合、セキュリティ アプライアンスは割り当てられているグループを考慮せずに、ユーザを認証します。

hostname(config-username)# group-lock {value tunnel-grp-name | none}
hostname(config-username)# no group-lock
 

次の例は、「anyuser」という名前のユーザにグループ ロックを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# group-lock value tunnel group name
 

ステップ 12 ユーザがログイン パスワードをクライアント システム上に保存するかどうかを指定します。パスワード保存は、デフォルトでディセーブルになっています。パスワード保存は、セキュアなサイトにあることがわかっているシステムでのみ、イネーブルにします。パスワード保存をディセーブルにするには、 disable キーワードを指定して password-storage コマンドを入力します。password-storage アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を入力します。これにより、password-storage の値をグループポリシーから継承できます。

hostname(config-username)# password-storage {enable | disable}
hostname(config-username)# no password-storage
 

このコマンドは、対話的なハードウェア クライアント認証やハードウェア クライアントの個別ユーザ認証では動作しません。

次の例は、「anyuser」という名前のユーザでパスワード保存をイネーブルにする方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# password-storage enable
 

ステップ 13 特定のユーザの WebVPN コンフィギュレーションをカスタマイズします。ユーザ名コンフィギュレーション モードで webvpn コマンドを使用して、webvpn モードに入ります。ユーザ名用の webvpn コマンドは、ファイル、MAPI プロキシ、URL、および TCP アプリケーションへの WebVPN 経由のアクセスを定義します。フィルタリングする ACL とトラフィックの種類も特定します。WebVPN は、デフォルトではディセーブルになっています。

webvpn モードで入力されたすべてのコマンドを削除するには、このコマンドの no 形式を使用します。これらの webvpn コマンドは、設定を行ったユーザ名に対して適用されます。

hostname(config-username)# webvpn
hostname(config-username)# no webvpn
 

電子メール プロキシを使用するために WebVPN を設定する必要はありません。

WebVPN によってユーザは、ブラウザを使用してセキュリティ アプライアンスへのセキュアなリモートアクセス VPN トンネルを確立できます。ソフトウェア クライアントもハードウェア クライアントも必要ありません。WebVPN を使用することで、HTTPS インターネット サイトにアクセスできるほとんどすべてのコンピュータから、幅広い Web リソースおよび Web 対応アプリケーションに簡単にアクセスできます。WebVPN は SSL およびその後継である TLS1 を使用して、リモート ユーザと、中央サイトで設定した特定のサポートされている内部リソースとの間で、セキュアな接続を提供します。セキュリティ アプライアンスはプロキシで処理する必要がある接続を認識し、HTTP サーバは認証サブシステムと対話してユーザを認証します。


) グローバル コンフィギュレーション モードで webvpn モードを入力することによって、WebVPN のグローバル設定を構成できます。ここで説明する、ユーザ名モードから入った webvpn モードを使用すると、特定のユーザの WebVPN コンフィギュレーションをカスタマイズできます。


webvpn モードでは、次のパラメータをカスタマイズできます。各パラメータについては、後続のステップで説明します。

functions url-entry

html-content-filter

homepage

filter

url-list

port-forward

port-forward-name value Application Access

次の例は、ユーザ名「anyuser」のアトリビュートの webvpn モードに入る方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)#

ステップ 14 イネーブルにする WebVPN 機能を設定します。このユーザに対して、WebVPN を使用した、ファイル アクセスとファイル ブラウジング、HTTP プロキシ、MAPI プロキシ、および URL エントリを設定するには、webvpn モードで functions コマンドを入力します。設定した機能を削除するには、このコマンドの no 形式を入力します。これらの機能は、デフォルトではディセーブルです。

functions none コマンドを発行して作成したヌル値を含めて、設定済みのすべての機能を削除するには、引数を指定せずにこのコマンドの no 形式を入力します。 no オプションを使用すると、値を別のグループポリシーから継承できます。機能の値を継承しないようにするには、 functions none コマンドを入力します。

hostname(config-username-webvpn)# functions {file-access | file-browsing | file-entry | http-proxy | url-entry | mapi | none}
 
hostname(config-username-webvpn)# no functions [file-access | file-browsing | file-entry | http-proxy | url-entry | mapi]
 

このコマンドで使用するキーワードは、次のとおりです。

file-access: ファイル アクセスをイネーブルまたはディセーブルにします。イネーブルにすると、WebVPN ホーム ページにサーバ リストのファイル サーバが表示されます。ファイル ブラウジングまたはファイル エントリをイネーブルにするには、ファイル アクセスをイネーブルにする必要があります。

file-browsing: ファイル サーバとファイル共有のブラウジングをイネーブルまたはディセーブルにします。ファイル サーバのユーザ エントリを許可するには、ファイル ブラウジングをイネーブルにする必要があります。

file-entry: ユーザがファイル サーバの名前を入力する機能をイネーブルまたはディセーブルにします。

http-proxy: HTTP アプレット プロキシのクライアントへの転送をイネーブルまたはディセーブルにします。プロキシは、Java、ActiveX、Flash など、適切なマングリングを妨げる技術に対して有用です。セキュリティ アプライアンスの使用を継続しながら、マングリングをバイパスします。転送プロキシは、ブラウザの古いプロキシ コンフィギュレーションを自動的に変更し、すべての HTTP および HTTPS 要求を新しいプロキシ コンフィギュレーションにリダイレクトします。HTML、CSS、JavaScript、VBScript、ActiveX、Java など、実質的にすべてのクライアント サイド技術をサポートします。サポートされるブラウザは Microsoft Internet Explorer だけです。

mapi: Microsoft Outlook/Exchange のポート転送をイネーブルまたはディセーブルにします。

none: すべての WebVPN の functions にヌルを設定します。デフォルトのグループポリシーまたは指定されているグループポリシーから機能を継承しないようにします。

url-entry: ユーザの URL エントリをイネーブルまたはディセーブルにします。イネーブルにしても、セキュリティ アプライアンスは設定されている URL またはネットワーク ACL で、URL を制限します。URL エントリをディセーブルにすると、セキュリティ アプライアンスは、WebVPN ユーザがホーム ページの URL にのみアクセスできるように制限します。

次の例は、「anyuser」という名前のユーザに対して、ファイル アクセス、ファイル ブラウジング、HTTP プロキシ、および MAPI プロキシを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# functions file-access file-browsing MAPI
 

ステップ 15 このユーザの WebVPN セッションの Java、ActiveX、イメージ、スクリプト、およびクッキーをフィルタリングするには、webvpn モードで html-content-filter コマンドを入力します。コンテンツ フィルタを削除するには、このコマンドの no 形式を入力します。 html-content-filter none コマンドを発行して作成したヌル値を含めて、設定済みのすべてのコンテンツ フィルタを削除するには、引数を指定せずにこのコマンドの no 形式を入力します。 no オプションを使用すると、値をグループポリシーから継承できます。HTML コンテンツ フィルタを継承しないようにするには、
html-content-filter none
コマンドを入力します。HTML フィルタリングは、デフォルトでディセーブルです。

コマンドを 2 回使用すると、先行する設定値が上書きされます。

hostname(config-username-webvpn)# html-content-filter {java | images | scripts | cookies | none}
 
hostname(config-username-webvpn)# no html-content-filter [java | images | scripts | cookies | none]
 

このコマンドで使用するキーワードは、次のとおりです。

cookies: イメージからクッキーを削除して、アドバタイズメント フィルタリングを制限し、プライバシーを保持します。

images: イメージへの参照を削除します(<IMG> タグを削除)。

java: Java および ActiveX への参照を削除します(<EMBED>、<APPLET>、および <OBJECT> の各タグを削除)。

none: フィルタリングを実行しないことを指定します。ヌル値を設定して、フィルタリングを拒否します。フィルタリングの値を継承しないようにします。

scripts :スクリプトへの参照を削除します(<SCRIPT> タグを削除)。

次の例は、「anyuser」という名前のユーザに、Java と ActiveX、クッキー、およびイメージのフィルタリングを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# html-content-filter java cookies images
 

ステップ 16 この WebVPN ユーザのログイン時に表示される Web ページの URL を指定するには、webvpn モードで homepage コマンドを入力します。 homepage none コマンドを発行して作成したヌル値を含めて、設定されているホーム ページを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値をグループポリシーから継承できます。ホーム ページを継承しないようにするには、 homepage none コマンドを入力します。

none キーワードは、WebVPN ホーム ページがないことを示します。これにより、ヌル値が設定されてホーム ページが拒否され、ホーム ページが継承されなくなります。

キーワード value の後ろの url-string 変数で、ホーム ページの URL を指定します。文字列の先頭は、http:// または https:// にする必要があります。

デフォルトのホーム ページはありません。

hostname(config-username-webvpn)# homepage {value url-string | none}
hostname(config-username-webvpn)# no homepage
 

次の例は、「anyuser」という名前のユーザのホーム ページとして www.example.com を指定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# homepage value www.example.com
 

ステップ 17 このユーザの WebVPN 接続に使用するアクセスリストの名前を指定するには、webvpn モードで filter コマンドを入力します。 filter none コマンドを発行して作成したヌル値を含めて、アクセスリストを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値をグループポリシーから継承できます。フィルタの値を継承しないようにするには、 filter value none コマンドを入力します。

filter コマンドを入力して指定するまで、WebVPN アクセスリストは適用されません。

ACL を設定して、このユーザについて、さまざまなタイプのトラフィックを許可または拒否します。次に、 filter コマンドを入力して、これらの ACL を WebVPN トラフィックに適用します。

hostname(config-username-webvpn)# filter {value ACLname | none}
hostname(config-username-webvpn)# no filter
 

none キーワードは、 webvpntype アクセスリストがないことを示します。これにより、ヌル値が設定されてアクセスリストが拒否され、別のグループポリシーからアクセスリストが継承されなくなります。

キーワード value の後ろの ACLname 文字列で、すでに設定されているアクセスリストの名前を指定します。


) WebVPN は、vpn-filter コマンドで定義されている ACL を使用しません。


次の例は、「anyuser」という名前のユーザに対して acl_in という名前のアクセスリストを呼び出すフィルタを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# filter acl_in
 

ステップ 18 特定のユーザに WebVPN サーバと URL のリストを適用するには、webvpn モードで url-list コマンドを入力します。 url-list none コマンドを使用して作成したヌル値を含めて、リストを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、値をグループポリシーから継承できます。URL リストを継承しないようにするには、 url-list none コマンドを入力します。

hostname(config-username-webvpn)# url-list {listname displayname url | none}
hostname(config-username-webvpn)# no url-list
 

このコマンドで使用するキーワードと変数は、次のとおりです。

displayname :URL の名前を指定します。この名前は、WebVPN のエンドユーザ インターフェイスに表示されます。

listname :URL をグループ化する名前を指定します。

none :URL のリストが存在しないことを示します。ヌル値を設定して、URL リストを拒否します。URL リストの値を継承しないようにします。

url :WebVPN ユーザがアクセスできる URL を指定します。

デフォルトの URL リストはありません。

コマンドを 2 回使用すると、先行する設定値が上書きされます。

webvpn モードで url-list コマンドを入力し、ユーザの WebVPN ホーム ページに表示する URL リストを指定する前に、リストを作成しておく必要があります。 url-list コマンドをグローバル コンフィギュレーション モードで入力し、1 つ以上のリストを作成します。

次の例は、「anyuser」という名前のユーザに「AnyuserURLs」という URL リストを設定する方法を示しています。

hostname(config)# username anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# url-list value AnyuserURLs
 

ステップ 19 このユーザの WebVPN アプリケーション アクセスをイネーブルにするには、webvpn モードで port-forward コマンドを入力します。 port-forward none コマンドを発行して作成したヌル値を含めて、コンフィギュレーションからポート転送アトリビュートを削除するには、このコマンドの no 形式を入力します。 no オプションを使用すると、リストをグループポリシーから継承できます。フィルタリングを拒否してポート転送リストを継承しないようにするには、 none キーワードを指定して port-forward コマンドを入力します。

ポート転送は、デフォルトではディセーブルになっています。

hostname(config-username-webvpn)# port-forward {value listname | none}
hostname(config-username-webvpn)# no port-forward
 

キーワード value の後ろの listname 文字列で、WebVPN ユーザがアクセスできるアプリケーションのリストを指定します。コンフィギュレーション モードで port-forward コマンドを入力し、このリストを定義します。

コマンドを 2 回使用すると、先行する設定値が上書きされます。

webvpn モードで port-forward コマンドを入力し、アプリケーション アクセスをイネーブルにする前に、WebVPN 接続でユーザが使用できるアプリケーションのリストを定義する必要があります。グローバル コンフィギュレーション モードで port-forward コマンドを入力し、このリストを定義します。

次の例は、「ports1」というポート転送リストを設定する方法を示しています。

hostname(config-group-policy)# webvpn
hostname(config-username-webvpn)# port-forward value ports1
 

ステップ 20 webvpn モードで port-forward-name コマンドを使用して、特定のユーザでエンド ユーザへの TCP ポート転送を識別する表示名を設定します。 port-forward-name none コマンドを使用して作成したヌル値を含めて、表示名を削除するには、コマンドの no 形式を入力します。 no オプションは、デフォルト名の「Application Access」を復元します。表示名を使用しないようにするには、 port-forward none コマンドを入力します。

hostname(config-username-webvpn)# port-forward-name {value name | none}
hostname(config-username-webvpn)# no port-forward-name
 

次の例は、ポート転送名「test」を設定する方法を示しています。

hostname(config-group-policy)# webvpn
hostname(config-username-webvpn)# port-forward-name value test