Cisco Security Appliance コマンド ライン コンフィギュレーション ガイド Version 7.0(4)
WebVPN の設定
WebVPN の設定
発行日;2012/01/23 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

WebVPN の設定

WebVPN セキュリティ対策の順守

WebVPN でサポートされていない機能の概要

中央サイトにアクセスするための SSL の使用

WebVPN セッションでの HTTPS の使用

WebVPN HTTP/HTTPS プロキシの設定

SSL/TLS 暗号化プロトコルの設定

デジタル証明書による認証

Web VPN 用にブラウザのクッキーをイネーブルにする

WebVPN グローバル設定とグループポリシー設定の概要

デジタル証明書による認証

DNS のグローバル設定

グローバルな WebVPN アトリビュートの設定

WebVPN ポリシーの作成と適用

グローバル コンフィギュレーション モードでのポート転送、URL、およびアクセスリストの作成

グループポリシー モードまたはユーザ モードでのグループポリシーとユーザへのリストの割り当て

グループポリシーとユーザ用の機能のイネーブル化

グループポリシーへのユーザの割り当て

RADIUS サーバを使用する

セキュリティ アプライアンス認証サーバを使用する

WebVPN グループポリシーとユーザ アトリビュートの設定

電子メールの設定

電子メール プロキシの設定

電子メール プロキシ証明書認証

MAPI の設定

Web 電子メール MS Outlook Web Access の設定

WebVPN エンド ユーザ設定の概要

エンド ユーザ インターフェイスの定義

WebVPN ホームページの表示

WebVPN Application Access パネルの表示

フローティング ツールバーの表示

ユーザ名とパスワードの要求

セキュリティのヒントの通知

WebVPN 機能を使用するためのリモート システムの設定

Application Access における hosts ファイル エラーの回復

hosts ファイルの概要

不正な Application Access の終了

hosts ファイルの再設定

WebVPN による hosts ファイルの自動再設定

手動による hosts ファイルの再設定

WebVPN データのキャプチャ

WebVPN キャプチャ ファイル

WebVPN キャプチャ ツールのアクティブ化

WebVPN キャプチャ ツールの出力ファイルの検索とアップロード

WebVPN の設定

この章では、WebVPN について説明します。WebVPN によってユーザは、ブラウザを使用してセキュリティ アプライアンスへのセキュアなリモートアクセス VPN トンネルを確立できます。ソフトウェア クライアントもハードウェア クライアントも必要ありません。WebVPN を使用することで、インターネット上のほぼすべてのコンピュータから、幅広い Web リソースおよび Web 対応アプリケーションに簡単にアクセスできます。これには、次のリソースへのセキュアなアクセスが含まれます。

内部 Web サイト

Web 対応アプリケーション

NT/Active Directory ファイル共有

POP3S、IMAP4S、および SMTPS などの電子メール プロキシ

MS Outlook Web Access

MAPI

他の TCP ベースのアプリケーションにアクセスするためのポート転送

WebVPN は Secure Sockets Layer プロトコルおよびその後継である Transport Layer Security を使用して、リモート ユーザと、中央サイトで設定した特定のサポートされている内部リソースとの間で、セキュアな接続を提供します。セキュリティ アプライアンスはプロキシで処理する必要がある接続を認識し、HTTP サーバは認証サブシステムと対話してユーザを認証します。

ネットワーク管理者は、ユーザに対してグループ単位で WebVPN リソースへのアクセスを提供します。ユーザは、内部ネットワーク上のリソースに直接アクセスすることはできません。

次の事項について説明します。

WebVPN セキュリティ対策の順守

WebVPN でサポートされていない機能の概要

中央サイトにアクセスするための SSL の使用

デジタル証明書による認証

Web VPN 用にブラウザのクッキーをイネーブルにする

WebVPN グローバル設定とグループポリシー設定の概要

グローバルな WebVPN アトリビュートの設定

グローバル コンフィギュレーション モードでのポート転送、URL、およびアクセスリストの作成

グループポリシーとユーザ用の機能のイネーブル化

電子メールの設定

WebVPN エンド ユーザ設定の概要

Application Access における hosts ファイル エラーの回復

WebVPN データのキャプチャ

WebVPN セキュリティ対策の順守

セキュリティ アプライアンス上の WebVPN 接続は、リモートアクセス IPSec 接続とはまったく異なっています。特に SSL 対応サーバとの対話方法やセキュリティ上のリスクを減らすための対策に大きな違いがあります。

WebVPN 接続では、セキュリティ アプライアンスは、エンド ユーザの Web ブラウザとターゲット Web サーバとの間のプロキシとして機能します。WebVPN ユーザが SSL 対応 Web サーバに接続すると、セキュリティ アプライアンスはセキュアな接続を確立し、SSL 証明書を検証します。エンド ユーザのブラウザは提示された SSL 証明書を受信しないため、この証明書を検証することはできません。

セキュリティ アプライアンス上の現在の WebVPN 実装では、有効期限が切れた証明書を提示するサイトとの通信は許可しません。また、セキュリティ アプライアンスは信頼できる CA 証明書の検証も実行しません。このため、WebVPN ユーザは、SSL 対応の Web サーバと通信する前に相手が提示する証明書を分析することができません。

SSL 証明書に関するリスクを最小限にするには、次のようにします。

1. WebVPN アクセスを必要とするすべてのユーザからなるグループポリシーを設定し、そのグループポリシーに対してだけ WebVPN 機能をイネーブルにします。

2. WebVPN ユーザに対してインターネット アクセスを制限します。その方法の 1 つは、URL エントリをディセーブルにすることです。次に、WebVPN ユーザがアクセス可能なプライベート ネットワーク内の特定のターゲットへのリンクを設定します。

3. ユーザに適切な情報を提供します。SSL 対応サイトがプライベート ネットワーク内部にない場合、ユーザは WebVPN 接続を介してこのサイトにアクセスすることはできません。そのようなサイトにアクセスする場合、ユーザは別のブラウザ ウィンドウを開き、そのブラウザを使用して、提示された証明書を表示する必要があります。

WebVPN でサポートされていない機能の概要

セキュリティ アプライアンスは、WebVPN 接続では次の機能をサポートしていません。

Active/Active または Active/Standby ステートフル フェールオーバー。1 台のセキュリティ アプライアンスに障害が発生した場合にもう 1 台が処理を引き継ぐように、2 台のセキュリティ アプライアンスを設定できる機能です。

モジュラ ポリシー フレームワークの検査機能。コンフィギュレーション制御を検査する機能です。

vpn-filter コマンドなどのフィルタ設定コマンドが持つ機能。

NAT。グローバルに一意の IP アドレスの必要性を減らす機能です。

PAT。複数の発信セッションが 1 つの IP アドレスから発信されているように見せることができる機能です。

QoS。 police コマンドと priority-queue コマンドを使用してレートを制限する機能です。

接続制限。スタティックまたはモジュラ ポリシー フレームワークの set connection コマンドを使用して、接続をチェックする機能です。

established コマンド。このコマンドを使用すると、高セキュリティ ホストから低セキュリティ ホストへの接続が確立済みの場合に、低セキュリティ ホストから高セキュリティ ホストへのリターン接続が可能になります。

中央サイトにアクセスするための SSL の使用

WebVPN は SSL およびその後継である TLS1 を使用して、リモート ユーザと、中央サイトにある特定のサポートされている内部リソースとの間で、セキュアな接続を提供します。ここでは、次の項目について説明します。

WebVPN セッションでの HTTPS の使用

WebVPN HTTP/HTTPS プロキシの設定

SSL/TLS 暗号化プロトコルの設定

WebVPN セッションでの HTTPS の使用

WebVPN セッションの確立には、次のことが必要です。

セキュリティ アプライアンスまたはロードバランシング クラスタへのアクセスに HTTPS を使用する。Web ブラウザには、セキュリティ アプライアンスの IP アドレスを https:// address 形式で入力します。 address はセキュリティ アプライアンス インターフェイスの IP アドレスまたは DNS ホスト名です。

ユーザの接続先のセキュリティ アプライアンス インターフェイス上で WebVPN セッションをイネーブルにする。

インターフェイス上で WebVPN セッションを許可するには、次の手順を実行します。


ステップ 1 グローバル コンフィギュレーション モードで webvpn コマンドを入力して、webvpn モードに入ります。

ステップ 2 WebVPN セッションに使用するインターフェイス名を指定して enable コマンドを入力します。

たとえば、外部のインターフェイス上で WebVPN セッションをイネーブルにするには、次のように入力します。

hostname(config)# webvpn
hostname(config-webvpn)# enable outside
 


 


) ASA は、インターフェイス上で WebVPN 管理セッションまたは ASDM 管理セッションをサポートしていますが、両方を同時にサポートすることはできません。ASDM と WebVPN を同時に使用するには、これらを別々のインターフェイス上で設定します。


WebVPN HTTP/HTTPS プロキシの設定

セキュリティ アプライアンスは HTTPS 接続を終了して、HTTP/HTTPS 要求を HTTP プロキシ サーバや HTTPS プロキシ サーバに転送できます。これらのサーバは、ユーザとインターネットの仲介役として機能します。すべてのインターネット アクセスが組織によって制御されているサーバを経由するように指定することで、別のフィルタリングが可能になり、セキュアなインターネット アクセスと管理制御が保証されます。

HTTP プロキシと HTTPS プロキシに対する値を設定するには、webvpn モードで http-proxy コマンドと https-proxy コマンドを入力します。

SSL/TLS 暗号化プロトコルの設定

SSL/TLS 暗号化プロトコルを設定するときは、次のことに注意してください。

使用しているセキュリティ アプライアンスとブラウザが、同じ SSL/TLS 暗号化プロトコルを利用していることを確認してください。

電子メール プロキシを設定する場合は、セキュリティ アプライアンス SSL バージョンを TLSv1 Only に設定しないでください。MS Outlook と MS Outlook Express は TLS をサポートしていません。

TCP ポート転送には、Sun Microsystems Java Runtime Environment(JRE)バージョン 1.4.x と 1.5.x が必要です。WebVPN ユーザが次の SSL バージョンで接続している場合、ポート転送は機能しません。

 

Negotiate SSLv3

Java がダウンロードされる

Negotiate SSLv3/TLSv1

Java がダウンロードされる

Negotiate TLSv1

Java がダウンロードされない

TLSv1Only

Java がダウンロードされない

SSLv3Only

Java がダウンロードされない

デジタル証明書による認証

SSL はデジタル証明書を使用して認証を行います。セキュリティ アプライアンスは、ブート時に自己署名の SSL サーバ証明書を作成します。または、PKI コンテキストで発行された SSL 証明書をセキュリティ アプライアンスにインストールすることもできます。HTTPS の場合、この証明書をクライアントにインストールする必要があります。証明書のインストールは、特定のセキュリティ アプライアンスから 1 度だけ行います。

デジタル証明書によるユーザ認証には、次のような制限事項があります。

デジタル証明書を使用して認証を行う WebVPN ユーザに対して、ポート転送は機能しません。JRE には、Web ブラウザ キーストアにアクセスする機能はありません。このため、JAVA はブラウザがユーザ認証に使用する証明書を使用できず、起動できません。

電子メールプロキシは、Netscape 7.x の電子メール クライアントの証明書認証だけをサポートします。MS Outlook、MS Outlook Express、Eudora など、他の電子メール クライアントは、証明書ストアにアクセスできません。

Web VPN 用にブラウザのクッキーをイネーブルにする

WebVPN が正しく動作するためには、ブラウザのクッキーが必要です。ブラウザでクッキーがディセーブルになっていると、Web ポータル ホームページからのリンクによって新しいウィンドウが開き、ユーザはもう一度ログインするように要求されます。

WebVPN グローバル設定とグループポリシー設定の概要

通常、IPSec セッション用の tunnel group コマンドと group policy コマンドは WebVPN には使用できません。WebVPN の場合、これらのコマンドはグローバル webvpn モードで使用します。ただし、次のような例外があります。

グループポリシー WebVPN モードで発行される WebVPN コマンドには適用される。

クライアントが WebVPN セッション適用するにバナー(ある場合)。

vpn-idletimeout コマンド、 vpn-tunnel-protocol コマンド、および vpn-session-timeout コマンドはに適用される。

Web VPN は、WebVPN に固有の認証、認可、アカウンティング設定を使用します。これらはグローバル webvpn コマンドを使用して設定します。 表29-1 に、このような機能を持つ WebVPN に固有のコマンドを示します。

 

表29-1 WebVPN 固有のコマンド

コマンド

accounting-server-group

authentication-server-group 1

authorization-server-group

authorization-dn-attributes

authoriziation-required

1.バージョン 7.0.x では、WebVPN は RADIUS での Expiry 認証をサポートしていません。

デジタル証明書による認証

デジタル証明書を使用して認証を行う WebVPN ユーザは、グローバルな認証と認可の設定を使用しません。その代わり、証明書の検証が完了すると、ユーザは認可サーバを使用して認証します。

DNS のグローバル設定

WebVPN は、接続先のグループポリシーの DNS 設定を使用しません。WebVPN はセキュリティ アプライアンスのグローバル DNS 設定に従います。セキュリティ アプライアンスのグローバル DNS 設定が正しく設定されていることを確認してください。

グローバルな WebVPN アトリビュートの設定

表29-2 に、WebVPN ユーザにグローバルに適用される WebVPN アトリビュートを示します。

 

表29-2 グローバルな WebVPN アトリビュート

機能
コマンド
デフォルト値

WebVPN で使用するように事前に設定されているアカウンティング サーバを指定します。

accounting-server-group

なし

WebVPN ユーザ用の認証方式(複数可)を指定します。

authentication

AAA

WebVPN で使用するように事前に設定されている認証サーバを指定します。

authentication-server-group

LOCAL

WebVPN で使用するように事前に設定されている認可サーバを指定します。

authorization-server-group

なし

ユーザが接続するには、正常に認可される必要があります。

authorization-required

ディセーブル

認可のユーザ名として使用するピア証明書の DN を指定します。

authorization-dn-attributes

プライマリ アトリビュート:CN

セカンダリ アトリビュート:OU

使用するグループポリシーの名前を指定します。

default-group-policy

DfltGrpPolicy

デフォルトのアイドル タイムアウト(秒単位)を指定します。

default-idle-timeout

1800 秒(30 分)

指定したインターフェイスで WebVPN をイネーブルにします。

enable

ディセーブル

HTTP 要求用のプロキシ サーバを指定します。

http-proxy

なし

HTTPS 要求用のプロキシ サーバを指定します。

https-proxy

なし

ユーザにログインを求める HTML テキストを設定します。

login-message

「Please enter your username and password.」

WebVPN のログイン ページとホームページに表示するロゴ イメージを指定します。

logo

Cisco ロゴ

セキュリティ アプライアンスからユーザにログ アウトを示す HTML テキストを設定します。

logout-message

「Goodbye.」

CIFS 名前解決用の NetBIOS ネーム サービス サーバを指定します。

nbns-server

なし

WebVPN への初回ログイン時のユーザ名のプロンプトを設定します。

username-prompt

「Login:」

WebVPN への初回ログイン時のパスワードのプロンプトを設定します。

password-prompt

「Password:」

WebVPN ブラウザ タイトルやタイトルバーに表示される HTML 形式のタイトル文字列を設定します。

title

「WebVPN Service」

ログイン ページ、ホーム ページ、およびファイル アクセス ページのタイトルバーの色を設定します。

title-color

HTML #999CC、ラベンダー色

ログイン ページ、ホーム ページ、およびファイル アクセス ページのテキスト バーの色を設定します。

text-color

ログイン ページ、ホーム ページ、およびファイル アクセス ページの 2 番目のタイトルバーの色を設定します。

secondary-color

HTML #CCCCFF、ラベンダー色

ログイン ページ、ホーム ページ、およびファイル アクセス ページの 2 番目のテキスト バーの色を設定します。

secondary-text-color

これらの WebVPN コマンドは webvpn モードで入力します。webvpn モードに入るには、グローバル コンフィギュレーション モードで webvpn コマンドを入力します。

webvpn コマンドとともに入力したすべてのコマンドをデフォルト値にリセットするには、 no webvpn コマンドを使用します。

WebVPN ポリシーの作成と適用

中央にあるリソースへのアクセスを制御する WebVPN ポリシーを作成および適用するには、次の作業を実行します。

グローバル コンフィギュレーション モードでのポート転送、URL、およびアクセスリストの作成

グループポリシー モードまたはユーザ モードでのグループポリシーとユーザへのリストの割り当て

グループポリシーとユーザ用の機能のイネーブル化

グループポリシーへのユーザの割り当て

グローバル コンフィギュレーション モードでのポート転送、URL、およびアクセスリストの作成

転送するポートと WebVPN ユーザに提示する URL のリストを設定し、これらのアクセス レベルを設定するには、グローバル コンフィギュレーション モードで port forward コマンド、 url-list コマンド、および access-list コマンドを使用します。

グループポリシー モードまたはユーザ モードでのグループポリシーとユーザへのリストの割り当て

ポート転送と URL リストを設定したら、webvpn グループポリシー モードまたはユーザ モードで port forward コマンド、 url-list コマンド、および filter コマンドを使用して、グループポリシーやユーザにリストを割り当てます。

グループポリシーとユーザ用の機能のイネーブル化

グループポリシーとユーザ用の機能をイネーブルにするには、グループポリシー モードまたはユーザ コンフィギュレーション モードで functions コマンドを発行します。

グループポリシーへのユーザの割り当て

ユーザをグループポリシーに割り当てると、ユーザごとにポリシーを設定するのではなく、複数のユーザにポリシーを適用することにより、設定が容易になります。ユーザをグループポリシーに割り当てるには、次の 2 つ方法があります。

RADIUS サーバを使用する

RADIUS サーバをユーザ認証に使用する場合は、次の手順を実行して、ユーザをグループポリシーに割り当てます。


ステップ 1 RADIUS でユーザ認証を行い、Class アトリビュートを使用してそのユーザを特定のグループポリシーに割り当てます。

ステップ 2 OU=group_name 形式で Class アトリビュートをグループポリシー名に設定します。

たとえば、WebVPN ユーザを SSL_VPN グループに割り当てるには、RADIUS Class アトリビュートを OU=SSL_VPN;(セミコロンは省略不可)の値に設定します。


 

セキュリティ アプライアンス認証サーバを使用する

セキュリティ アプライアンスの内部認証サーバでユーザを認証するように設定し、これらのユーザをセキュリティ アプライアンス上でグループポリシーに割り当てることもできます。

WebVPN グループポリシーとユーザ アトリビュートの設定

表29-3 に、すべての WebVPN グループポリシーとユーザ アトリビュートを示します。

 

表29-3 WebVPN グループポリシー アトリビュート

機能
コマンド
デフォルト値

webtype アクセスリストの名前を設定します。

filter

このコマンドを入力するまで、セキュリティ アプライアンスが WebVPN アクセスリストを強制することはありません。

WebVPN 機能(ファイル アクセス、ファイル ブラウジング、ファイル エントリ、URL エントリ、ポート転送、MAPI プロキシ)の一部または全部をイネーブルにします。

functions

ディセーブル

ログイン時に表示される Web ページの URL を設定します。

homepage

なし

このグループポリシー用の HTML からフィルタリングするコンテンツとオブジェクトを設定します。

html-content-filter

フィルタリングなし

転送する WebVPN TCP ポートのリストを適用します。ユーザ インターフェイスにこのリスト上のアプリケーションが表示されます。

port-forward

なし

ポート転送アプレットの名前を設定します。

port-forward-name

「Application Access」

エンド ユーザのアクセス用にユーザ インターフェイスで表示される WebVPN サーバと URL のリストを適用します。

url-list

なし

電子メールの設定

WebVPN は、電子メールにアクセスする方法をいくつかサポートしています。ここでは、次の方式について説明します。

電子メール プロキシの設定

MAPI の設定

Web 電子メール MS Outlook Web Access の設定

電子メール プロキシの設定

WebVPN は IMAP4S、POP3S、および SMTPS 電子メール プロキシをサポートしています。 表29-4 に、電子メール プロキシ ユーザにグローバルに適用されるアトリビュートを示します。

 

表29-4 グローバル電子メール プロキシ アトリビュート

機能
コマンド
デフォルト値

電子メール プロキシで使用するように事前に設定されているアカウンティング サーバを指定します。

accounting-server-group

なし

電子メール プロキシ ユーザ用の認証方式(複数可)を指定します。

authentication

IMAP4S:メールホスト(必須)

POP3S メールホスト(必須)

SMTPS:AAA

電子メール プロキシで使用するように事前に設定されている認証サーバを指定します。

authentication-server-group

LOCAL

WebVPN で使用するように事前に設定されている認可サーバを指定します。

authorization-server-group

なし

ユーザが接続するには、正常に認可される必要があります。

authorization-required

ディセーブル

認可のユーザ名として使用するピア証明書の DN を指定します。

authorization-dn-attributes

プライマリ アトリビュート:CN

セカンダリ アトリビュート:OU

使用するグループポリシーの名前を指定します。

default-group-policy

DfltGrpPolicy

指定したインターフェイスで電子メール プロキシをイネーブルにします。

enable

ディセーブル

電子メールと VPN のユーザ名とパスワードとの間の区切り記号を定義します。

name-separator

「:」(コロン)

未処理の未承認セッションの最大数を設定します。

outstanding

20

電子メール プロキシがリスンするポートを設定します。

port

IMAP4S:993

POP3S:995

SMTPS:9882

デフォルトの電子メール サーバを指定します。

server

なし

電子メールとサーバ名との間の区切り記号を定義します。

server-separator

「@」

2.Eudora 電子メール クライアントでは、SMTPS 接続のデフォルトのポートが 988 の場合でも、SMTPS はポート 465 でだけ動作します。

電子メール プロキシ証明書認証

電子メール プロキシ接続の証明書認証は、Netscape 7x 電子メール クライアントで機能します。MS Outlook、MS Outlook Express、Eudora など、他の電子メール クライアントは、証明書ストアにアクセスできません。

MAPI の設定

MS Outlook Exchange プロキシとも呼ばれる MAPI には、次の要件があります。

MS Outlook Exchange がリモート コンピュータにインストールされている必要があります。

セキュリティ アプライアンス インターフェイス上で、MS Outlook Exchange プロキシをイネーブルにします。これには、グループポリシー web vpn コマンドの 1 つである functions コマンドを入力します。次に例を示します。

hostname(config)# group-policy group_policy_name attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# functions mapi
 

Exchange サーバの NetBIOS 名を指定します。この Exchange サーバは、セキュリティ アプライアンス DNS サーバと同じドメイン上にあることが必要です。次に例を示します。

hostname(config)# domain domain_name
hostname(config)#

) MS Outlook Exchange Mail Proxy を経由して接続されているオープンな MS Outlook クライアントは、Exchange Server 上で常にメール チェックを行っているため、接続がオープン状態に保たれます。Outlook がオープンである限り、接続がタイムアウトすることはありません。これは、設定には関係ありません。


Web 電子メール MS Outlook Web Access の設定

Web 電子メールとは、MS Outlook Web Access for Exchange 2000、Exchange 5.5、および Exchange 2003 のことです。中央サイトに MS Outlook Exchange Server が必要です。また、ユーザが次の作業を行う必要があります。

WebVPN セッションで、ブラウザに電子メール サーバの URL を入力する。

プロンプトが表示されたら、電子メール サーバのユーザ名を domain\username 形式で入力する。

電子メールのパスワードを入力する。

WebVPN エンド ユーザ設定の概要

この項は、エンド ユーザのために WebVPN を設定するシステム管理者を対象にしています。ここでは、エンド ユーザ インターフェイスをカスタマイズする方法について説明します。

この項では、リモート システムの設定要件と作業の概要を説明します。ユーザが WebVPN の使用を開始するために、ユーザに伝える必要のある情報を明確にします。次の項目について説明します。

エンド ユーザ インターフェイスの定義

ユーザ名とパスワードの要求

セキュリティのヒントの通知

WebVPN 機能を使用するためのリモート システムの設定

エンド ユーザ インターフェイスの定義

WebVPN エンド ユーザ インターフェイスは一連の HTML パネルです。ユーザは、セキュリティ アプライアンス インターフェイスの IP アドレスを https:// address 形式で入力することにより、WebVPN にログインします。最初に表示されるパネルは、ログイン画面です。

WebVPN ホームページの表示

ユーザがログインすると、WebVPN ホームページが表示されます(図29-1)。

図29-1 WebVPN ホームページ

 

ホームページには設定済みの WebVPN 機能がすべて表示され、選択済みのロゴ、テキスト、および色が外観に反映されています。このサンプル ホームページには、特定のファイル共有の指定機能以外のすべての WebVPN 機能が表示されています。ユーザはこのホームページを使用して、ネットワークのブラウズ、URL の入力、特定の Web サイトへのアクセス、およびポート転送による TCP アプリケーションへのアクセスを実行できます。

WebVPN Application Access パネルの表示

ポート転送(アプリケーション アクセスとも呼ばれる)を開始する場合、ユーザは「Start TCP application access」リンクをクリックします。Application Access パネルが開きます(図29-2)。

図29-2 WebVPN Application Access パネル

 

このパネルには、この WebVPN 接続用に設定された TCP アプリケーションが表示されます。アプリケーションを使用する場合は、このパネルを開いたまま、通常の方法でアプリケーションを起動します。

フローティング ツールバーの表示

WebVPN には、フローティング ツールバーもあります(図29-3)。

図29-3 WebVPN フローティング ツールバー

 

フローティング ツールバーの次の特性に注意してください。

ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイルの場所のブラウズ、設定済み Web 接続の選択ができます。

ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバーは表示できません。

フローティング ツールバーは、現在の WebVPN セッションを表します。 Close ボタンをクリックすると、セキュリティ アプライアンスは WebVPN セッションの終了を確認するプロンプトを表示します。

WebVPN の使用方法については、表29-6 を参照してください。

ユーザ名とパスワードの要求

ネットワークによっては、リモート セッション中にユーザが、コンピュータ、インターネット サービス プロバイダー、WebVPN、メール サーバ、ファイル サーバ、企業アプリケーションのうち、それらの一部またはすべてにログインする必要が生じることがあります。 ユーザはさまざまなコンテキストで認証を行うために、一意のユーザ名、パスワード、PIN コードなどさまざまな情報が要求される場合があります。

表29-5 に、WebVPN ユーザが知っておく必要のあるユーザ名とパスワードのタイプを示します。

 

表29-5 WebVPN ユーザに通知するユーザ名とパスワード

ログイン ユーザ名/
パスワード タイプ
目的
入力するタイミング

コンピュータ

コンピュータへのアクセス

コンピュータの起動

インターネット サービス プロバイダー

インターネットへのアクセス

インターネット サービス プロバイダーへの接続

WebVPN

リモート ネットワークへのアクセス

WebVPN の起動

ファイル サーバ

リモート ファイル サーバへのアクセス

WebVPN ファイル ブラウジング機能を使用して、リモート ファイル サーバにアクセスするとき

企業アプリケーションへのログイン

ファイアウォールで保護された内部サーバへのアクセス

WebVPN Web ブラウジング機能を使用して、保護されている内部 Web サイトにアクセスするとき

メール サーバ

WebVPN 経由によるリモート メール サーバへのアクセス

電子メール メッセージの送受信

セキュリティのヒントの通知

必ず WebVPN セッションからログアウトするようにユーザに通知してください(WebVPN からログアウトするには、WebVPN ツールバーの logout アイコンをクリックするか、またはブラウザを閉じます)。

WebVPN を使用してもすべてのサイトとの通信がセキュアであるとは限らないことを、ユーザに通知してください。WebVPN は、企業ネットワーク上のリモート PC やワークステーションとセキュリティ アプライアンスとの間のデータ転送のセキュリティを保証するものです。したがって、ユーザが HTTPS 以外の Web リソース(インターネット上や内部ネットワーク上にあるもの)にアクセスする場合、企業のセキュリティ アプライアンスから目的の Web サーバまでの通信はセキュアではありません。

WebVPN 機能を使用するためのリモート システムの設定

表29-6 に、WebVPN を使用するためのリモート システムの設定に関する情報を示します。次の作業について説明します。

WebVPN の起動

WebVPN フローティング ツールバーの使用

Web ブラウジング

ネットワーク ブラウジングとファイル管理

アプリケーションの使用(ポート転送)

ポート転送を介した電子メールの使用

Web アクセスを介した電子メールの使用

電子メール プロキシを介した電子メールの使用

また、 表29-6 には、次の項目に関する情報も記載されています。

WebVPN の要件(機能別)

WebVPN をサポートするアプリケーション

クライアント アプリケーションのインストールとコンフィギュレーションの要件

エンド ユーザに提供する必要のある情報

エンド ユーザのためのヒントや使用上の推奨事項

ユーザ アカウントを別々に設定し、各ユーザがそれぞれ異なる WebVPN 機能を使用できるようにすることが可能です。 表29-6 には機能別の情報をまとめてあります。利用できない機能の情報についてはスキップしてください。

 

表29-6 WebVPN リモート システム コンフィギュレーションとエンド ユーザの要件

作業
リモート システムまたは
エンド ユーザの要件
仕様または使用上の推奨事項

WebVPN の起動

インターネットへの接続

サポートされているインターネット接続は、次のとおりです。

家庭の DSL、ケーブル、ダイヤルアップ

公共のキオスク

ホテルの回線

空港の無線ノード

インターネット カフェ

WebVPN 対応のブラウザ

WebVPN には次のブラウザを推奨します。他のブラウザでは、WebVPN 機能を完全にはサポートできない場合があります。

Microsoft Windows の場合:

Internet Explorer バージョン 6.0

Netscape バージョン 7.2

Mozilla バージョン 1.7 以上

Firefox 1.x

Linux の場合:

Mozilla バージョン 1.7

Netscape バージョン 7.2

Firefox 1.x

Solaris の場合:

Netscape バージョン 7.2

Macintosh OS X の場合:

Safari バージョン 1.0

Firefox 1.x

ブラウザでのクッキーのイネーブル化

ポート転送を介してアプリケーションにアクセスするために、ブラウザでクッキーをイネーブルにする必要があります。

WebVPN 用の URL

https アドレスの形式は次のとおりです。

https:// address

address は、WebVPN がイネーブルになっているセキュリティ アプライアンスのインターフェイスの IP アドレスまたは DNS ホスト名(またはロードバランシング クラスタ)です。 たとえば、
https://10.89.192.163 または https://cisco.example.com のようになります。

WebVPN のユーザ名とパスワード

(オプション)ローカル プリンタ

WebVPN は、Web ブラウザからネットワーク プリンタへの印刷をサポートしていません。ローカル プリンタへの印刷はサポートされています。

WebVPN フローティング ツールバーの使用

フローティング ツールバーを使用すると、WebVPN を簡単に使用できます。ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイルの場所のブラウズ、設定済み Web 接続の選択ができます。

ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバーは表示できません。

フローティング ツールバーは、現在の WebVPN セッションを表します。 Close ボタンをクリックすると、セキュリティ アプライアンスは WebVPN セッションの終了を確認するプロンプトを表示します。


ヒント ヒント:テキストをテキスト フィールドに貼り付けるには、Ctrl+V キーを使用します。WebVPN ツールバーでは右クリックはディセーブルになっています。

Web ブラウジング

保護されている Web サイトのユーザ名とパスワード

WebVPN を使用しても、すべてのサイトとの通信がセキュアになるわけではありません。「 セキュリティのヒントの通知 」の項を参照してください。

WebVPN での Web ブラウジングのルックアンドフィールは、ユーザが見慣れたものではない場合があります。たとえば、WebVPN を使用すると次のようになります。

WebVPN タイトル バーが各 Web ページの上部に表示される

Web サイトへのアクセス方法:

WebVPN ホームページ上の Enter Web Address フィールドに URL を入力する

WebVPN ホームページ上にある設定済みの Web サイト リンクをクリックする

上記 2 つのどちらかの方法でアクセスした Web ページ上のリンクをクリックする

また、特定のアカウントの設定によっては、次のようになる場合もあります。

一部の Web サイトがブロックされている

使用可能な Web サイトが、WebVPN ホームページ上にリンクとして表示されるものに限られる

ネットワーク ブラウジングとファイル管理

共有リモートアクセス用に設定されたファイル アクセス権

WebVPN を介してアクセスできるのは、共有フォルダと共有ファイルに限られます。

保護されているファイル サーバのサーバ名とパスワード

フォルダとファイルが存在するドメイン、ワークグループ、およびサーバ名

ユーザは、組織ネットワークを介してファイルを見つける方法に慣れていない場合があります。

注意

コピー処理の進行中は、 Copy File to Server コマンドを中断したり、別の画面に移動したりしないでください。コピー処理を中断すると、不完全なファイルがサーバに保存される可能性があります。

アプリケーションの使用

(ポート転送またはアプリケーション アクセスと呼ばれる)


) Macintosh OS X の場合、この機能をサポートしているのは Safari ブラウザだけです。



) この機能を使用するには、Sun Microsystems Java™ Runtime Environment をインストールしてローカル クライアントを設定する必要があります。これには、ローカル システムで管理者の許可が必要になるため、ユーザがパブリック リモート システムから接続した場合に、アプリケーションを使用できない可能性があります。



注意 ユーザは、Close アイコンをクリックしてアプリケーションを終了したら、必ず Application Access ウィンドウを閉じる必要があります。このウィンドウを正しく閉じないと、Application Access またはアプリケーション自体がディセーブルになる可能性があります。詳細については、「Application Access における hosts ファイル エラーの回復」を参照してください。

インストール済みのクライアント アプリケーション

ブラウザでイネーブルにされているクッキー

管理者特権

ユーザが DNS 名を使用してサーバを指定する場合、そのユーザは PC のローカル管理者である必要があります。これは、hosts ファイルの修正に管理者特権が必要なためです。

インストール済みの Sun Microsystems Java Runtime Environment(JRE)バージョン 1.4.x と 1.5.x

ブラウザで Javascript をイネーブルにする必要があります。デフォルトでは、イネーブルになっています。

JRE がインストールされていない場合は、ポップアップ ウィンドウが表示され、ユーザに対して使用可能なサイトが示されます。

まれに、JAVA 例外エラーで WebVPN ポート転送アプレットが失敗することがあります。このような状況が発生した場合は、次の手順を実行します。

1. ブラウザのキャッシュをクリアして、ブラウザを閉じます。

2. JAVA アイコンがコンピュータのタスク バーに表示されていないことを確認します。JAVA のインスタンスをすべて閉じます。

3. WebVPN セッションを確立し、ポート転送 JAVA アプレットを起動します。

設定済みのクライアント アプリケーション(必要な場合)


) Microsoft Outlook クライアントの場合、この設定手順は不要です。


Windows 以外のすべてのクライアント アプリケーションでは、設定が必要です。

クライアント アプリケーションを設定するには、ローカルにマッピングされたサーバの IP アドレスとポート番号を使用します。この情報を見つけるには、次の手順を実行します。

1. リモート システム上で WebVPN を起動し、WebVPN ホームページの Application Access リンクをクリックします。Application Access ウィンドウが表示されます。


) WebVPN でアプリケーション(たとえば Outlook over Port Forwarding など)を使用する場合、アプリケーションで表示される URL(たとえば電子メール内の URL)をクリックしても、WebVPN ではそのサイトは開きません。WebVPN でこのようなサイトを開くには、WebVPN ホームページ上の Enter WebVPN (URL) Address ボックスに URL をカット アンド ペーストする必要があります。


Windows アプリケーションの設定が必要かどうかを確認するには、Remote Server の値をチェックします。

Remote Server にサーバ ホスト名が含まれている場合、クライアント アプリケーションの設定は不要です。

Remote Server フィールドに IP アドレスが含まれている場合、クライアント アプリケーションを設定する必要があります。

2. Name カラムで、使用するサーバ名を確認し、このサーバに対応するクライアント IP アドレスとポート番号を Local カラムで確認します。

3. この IP アドレスとポート番号を使用して、クライアント アプリケーションを設定します。設定手順は、クライアント アプリケーションによって異なります。

Application Access を介した電子メールの使用

Application Access の要件を満たす(「アプリケーションの使用」を参照)

電子メールを使用するには、WebVPN ホームページから Application Access を起動します。これにより、メール クライアントが使用できるようになります。


IMAP クライアントの使用中にメール サーバとの接続が中断し、新しく接続を確立できない場合は、IMAP アプリケーションを終了して WebVPN を再起動します。


その他のメール クライアント

Microsoft Outlook Express バージョン 5.5 および 6.0 はテスト済みです。

WebVPN は、Netscape Mail、Lotus Notes、および Eudoraなどの、ポート転送を介したその他の SMTPS、POP3S、または IMAP4S 電子メール プログラムをサポートしますが、動作確認は行っていません。

Web Access を介した電子メールの使用

インストールされている Web ベースの電子メール製品

次の製品がサポートされています。

Outlook Web Access

最適な結果を得るために、Internet Explorer 6.x 以上、Mozilla 1.7、または Firefox 1.x. で OWA を使用してください。

Louts iNotes

その他の Web ベースの電子メール製品も動作しますが、動作確認は行っていません。

電子メール プロキシを介した電子メールの使用

インストール済みの SSL 対応メール アプリケーション

セキュリティ アプライアンス SSL バージョンを TLSv1 Only に設定しないでください。Outlook および Outlook Express は TLS をサポートしていません。

サポートされているメール アプリケーションは次のとおりです。

Microsoft Outlook

Microsoft Outlook Express バージョン 5.5 および 6.0

Netscape Mail バージョン 7

Eudora 4.2 for Windows 2000

その他の SSL 対応クライアントも動作しますが、動作確認は行っていません。

設定済みのメール アプリケーション

メール アプリケーションの使用方法と例については、「電子メールの設定」を参照してください。

Application Access における hosts ファイル エラーの回復

Application Access ウィンドウを正しく閉じることは、非常に重要です。Application Access の使用を終了する場合は、close アイコンをクリックします。このウィンドウを正しく閉じないと、次のような状況が発生します。

次に Application Access を起動しようとしたときに、Application Access がディセーブルになっていて、 Backup HOSTS File Found エラー メッセージが表示される。

アプリケーションをローカルで実行している場合でも、アプリケーション自体がディセーブルになっているか、または動作しない。

このようなエラーは、Application Access ウィンドウを不適切な方法で終了したことが原因です。次に例を示します。

Application Access の使用中に、ブラウザがクラッシュした。

Application Access の使用中に、停電またはシステム シャットダウンが発生した。

作業中に Application Access ウィンドウを最小化し、このウィンドウがアクティブな状態(ただし最小化されている)でコンピュータをシャットダウンした。

ここでは、次の項目について説明します。

hosts ファイルの概要

不正な Application Access の終了

hosts ファイルの再設定

hosts ファイルの概要

ローカル システム上の hosts ファイルは、IP アドレスをホスト名にマッピングしています。Application Access を起動すると、WebVPN は hosts ファイルを修正し、WebVPN 固有のエントリを追加します。Application Access ウィンドウを正しく閉じて Application Access を終了すると、hosts ファイルは元の状態に戻ります。

 

Application Access の起動前

hosts ファイルは元の状態です。

Application Access の起動時

WebVPN は hosts ファイルを hosts.webvpn にコピーして、バックアップを作成します。

次に WebVPN は hosts ファイルを編集し、WebVPN 固有の情報を挿入します。

Application Access の終了時

WebVPN はバックアップ ファイルを hosts ファイルにコピーして、hosts ファイルを元の状態に戻します。

WebVPN は hosts.webvpn を削除します。

Application Access の終了後

hosts ファイルは元の状態です。


) Microsoft アンチスパイウェア ソフトウェアは、ポート転送 JAVA アプレットによる hosts ファイルの変更をブロックします。アンチスパイウェア ソフトウェアの使用時に hosts ファイルの変更を許可する方法の詳細については、www.microsoft.com を参照してください。


不正な Application Access の終了

Application Access が正しく終了しなかった場合、 hosts ファイルは WebVPN 用にカスタマイズされた状態のままになっています。ユーザが次に Application Access を起動するときに、WebVPN は hosts.webvpn ファイルを検索することで、Application Access が正しく終了していない可能性をチェックします。hosts.webvpn ファイルが検出されると、 Backup HOSTS File Found エラー メッセージが表示され(図29-4 を参照)、Application Access が一時的にディセーブルになります。

Application Access を正しくシャットダウンしないと、リモートアクセス クライアント/サーバ アプリケーションが不安定な状態のままになります。WebVPN を使用せずにこれらのアプリケーションを起動しようとすると、正しく動作しない場合があります。通常の接続先のホストが使用できなくなる場合があります。一般にこのような状況は、自宅からリモートでアプリケーションを実行し、Application Access ウィンドウを終了せずにコンピュータをシャットダウンし、その後職場でそのアプリケーションを実行しようとした場合に発生します。

hosts ファイルの再設定

Application Access または正しく動作しないアプリケーションを再度イネーブルにするには、次の手順を実行します。

リモートアクセス サーバに接続できる場合は、「 WebVPN による hosts ファイルの自動再設定 」の項で説明されている手順を実行してください。

現在の場所からリモートアクセス サーバに接続できない場合や、hosts ファイルをカスタム編集した場合は、「 手動による hosts ファイルの再設定 」で説明されている手順に従ってください。

WebVPN による hosts ファイルの自動再設定

リモートアクセス サーバに接続できる場合は、hosts ファイルを再設定し、Application Access やアプリケーションを再度イネーブルにするために、次の手順を実行します。


ステップ 1 WebVPN を起動してログインします。ホームページが開きます。

ステップ 2 Applications Access リンクをクリックします。 Backup HOSTS File Found メッセージが表示されます(図29-4 を参照)。

図29-4 Backup HOSTS File Found メッセージ

 

ステップ 3 次のいずれかのオプションを選択します。

Restore from backup = WebVPN は強制的に正しくシャットダウンされます。WebVPN は hosts.webvpn backup ファイルを hosts ファイルにコピーし、hosts ファイルを元の状態に戻してから、hosts.webvpn を削除します。その後、Application Access を再起動する必要があります。

Do nothing = Application Access は起動しません。リモートアクセスのホームページに戻ります。

Delete backup = WebVPN は hosts.webvpn ファイルを削除し、hosts ファイルを WebVPN 用にカスタマイズされた状態にしておきます。元の hosts ファイル設定は失われます。Application Access は、WebVPN 用にカスタマイズされた hosts ファイルを新しいオリジナルとして使用して起動します。このオプションは、hosts ファイル設定が失われても問題がない場合にだけ選択してください。Application Access が不適切にシャットダウンされた後に、ユーザまたはユーザが使用するプログラムによって hosts ファイルが編集された可能性がある場合は、他の 2 つのオプションのどちらかを選択するか、または hosts ファイルを手動で編集します(「 手動による hosts ファイルの再設定 」を参照)。


 

手動による hosts ファイルの再設定

現在の場所からリモートアクセス サーバに接続できない場合や、カスタマイズした hosts ファイルの編集内容を失いたくない場合は、次の手順に従って、hosts ファイルを再設定し、Application Access とアプリケーションを再度イネーブルにします。


ステップ 1 hosts ファイルを見つけて編集します。

ステップ 2 # added by WebVpnPortForward という文字列が含まれている行があるかどうかをチェックします。
この文字列を含む行がある場合、hosts ファイルは WebVPN 用にカスタマイズされています。hosts ファイルが WebVPN 用にカスタマイズされている場合、次の例のようになっています。

123.0.0.3 server1 # added by WebVpnPortForward
123.0.0.3 server1.example.com vpn3000.com # added by WebVpnPortForward
123.0.0.4 server2 # added by WebVpnPortForward
123.0.0.4 server2.example.com.vpn3000.com # added by WebVpnPortForward
123.0.0.5 server3 # added by WebVpnPortForward
123.0.0.5 server3.example.com vpn3000.com # added by WebVpnPortForward
 
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 cisco.example.com # source server
# 38.25.63.10 x.example.com # x client host
 
123.0.0.1 localhost
 
 

ステップ 3 # added by WebVpnPortForward という文字列が含まれている行を削除します。

ステップ 4 hosts ファイルを保存してから閉じます。

ステップ 5 WebVPN を起動してログインします。ホームページが表示されます。

ステップ 6 Application Access リンクをクリックします。Application Access ウィンドウが表示されます。これで Application Access がイネーブルになります。


 

WebVPN データのキャプチャ

WebVPN キャプチャにより、WebVPN 接続では正しく表示されない Web サイトに関する情報を記録できます。記録されたデータは、Cisco カスタマー サポート エンジニアによる問題のトラブルシューティングに役立ちます。


) WebVPN キャプチャをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスに影響します。トラブルシューティングに必要なキャプチャ ファイルを生成したら、WebVPN キャプチャを必ずディセーブルにしてください。


WebVPN キャプチャ ファイル

capture コマンドを使用して WebVPN キャプチャをイネーブルにすると、セキュリティ アプライアンスは、最初にアクセスした URL のデータを次のファイルに保存します。

capture name_ ORIGINAL.000:セキュリティ アプライアンスと Web サーバとの間で交換されたデータが格納されます。

capture name_ MANGLED.000:セキュリティ アプライアンスとブラウザとの間で交換されたデータが格納されます。

後続のキャプチャごとに、セキュリティ アプライアンスは対応する capture name_ ORIGINAL.<nnn> ファイルと capture name_ MANGLED.<nnn> ファイルのペアを追加生成し、ファイル拡張子を増分します。次の例では、 sales というキャプチャ名がこのキャプチャに割り当てられ、 dir コマンドの出力によって、3 つの URL キャプチャから 3 組のファイルが表示されます。

hostname# dir
Directory of disk0:/
2952 -rw- 10931 10:38:32 Jan 19 2005 config
6 -rw- 5124096 19:43:32 Jan 01 2003 cdisk.bin
3397 -rw- 5157 08:30:56 Feb 14 2005 sales_ORIGINAL.000
3398 -rw- 6396 08:30:56 Feb 14 2005 sales_MANGLED.000
3399 -rw- 4928 08:32:51 Feb 14 2005 sales_ORIGINAL.001
3400 -rw- 6167 08:32:51 Feb 14 2005 sales_MANGLED.001
3401 -rw- 5264 08:35:23 Feb 14 2005 sales_ORIGINAL.002
3402 -rw- 6503 08:35:23 Feb 14 2005 sales_MANGLED.002
hostname#
 

WebVPN キャプチャ ツールのアクティブ化


) WebVPN キャプチャをアクティブにすると、WebVPN ウィンドウにアイコンが表示されます。


WebVPN キャプチャをアクティブにするには、特権 EXEC モードで capture コマンドを使用します。

capture capture-name type webvpn user webvpn-user [ url url]

no capture capture-name

パラメータは次のとおりです。

capture-name は、キャプチャに割り当てる名前です。これは、キャプチャ ファイルの名前の先頭にも付加されます。

webvpn-user は、キャプチャの対象となるユーザ名です。

url は、データ キャプチャの対象となる URL プレフィックスです。次の 2 つの URL 形式のどちらかを使用します。

http:// server / path 形式は、 server / path によって指定されるサーバへの HTTP トラフィックをキャプチャする場合に使用します。

https:// server / path 形式は、 server / path によって指定されるサーバへの HTTPS トラフィックをキャプチャする場合に使用します。

URL を指定しない場合、すべてのトラフィックが記録されます。

次の例では、Web サイト wwwin.abcd.com/hr/people にアクセスする user2 の HTTP トラフィックをキャプチャするように設定された、 hr という名前のキャプチャを作成します。

hostname# capture hr type webvpn user user2 url http://wwwin.abcd.com/hr/people
WebVPN capture started.
capture name hr
user name user2
url /http/0/wwwin.abcd.com/hr/people
hostname#
 

WebVPN キャプチャ ツールの出力ファイルの検索とアップロード

WebVPN キャプチャ ツールの出力ファイルを検索するには、dir コマンドを使用します。次の例は、生成された ORIGINAL.000 ファイルと MANGLED.000 ファイルが含まれた、dir コマンドの出力を示しています。

hostname# dir
Directory of disk0:/
2952 -rw- 10931 10:38:32 Jan 19 2005 config
6 -rw- 5124096 19:43:32 Jan 01 2003 cdisk.bin
3397 -rw- 5157 08:30:56 Feb 14 2005 hr_ORIGINAL.000
3398 -rw- 6396 08:30:56 Feb 14 2005 hr_MANGLED.000
hostname#
 

copy flash コマンドを使用すると、WebVPN キャプチャ ツールの出力ファイルを別のコンピュータにアップロードできます。次の例は、 copy flash コマンドを使用して、hr_ORIGINAL.000 ファイルと hr_MANGLED.000 ファイルを tftp 経由でアップロードしています。

hostname# copy flash:/hr_original.000 tftp://10.86.194.191/hr_original.000
Source filename [hr_original.000]?
Address or name of remote host [10.86.194.191]?
Destination filename [hr_original.000]?
!!!!!!
21601 bytes copied in 0.370 secs
 
hostname# copy flash:/hr_mangled.000 tftp://10.86.194.191/hr_mangled.000
Source filename [hr_mangled.000]?
Address or name of remote host [10.86.194.191]?
Destination filename [hr_mangled.000]?
!!!!!!
23526 bytes copied in 0.380 secs
 
hostname#

) フラッシュ メモリを節約するために、不要になったキャプチャ ファイルはセキュリティ アプライアンスから削除してください。