Cisco Security Appliance コマンド ライン コンフィギュレーション ガイド Version 7.0(4)
設定例
設定例
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

設定例

例 1:外部アクセスのあるマルチモード ファイアウォール

例 1:システム コンフィギュレーション

例 1:管理コンテキスト コンフィギュレーション

例 1:顧客 A コンテキスト コンフィギュレーション

例 1:顧客 B コンテキスト コンフィギュレーション

例 1:顧客 C コンテキスト コンフィギュレーション

例 2:同じセキュリティ レベルを使用したシングルモード ファイアウォール

例 3:マルチコンテキストの共有リソース

例 3:システム コンフィギュレーション

例 3:管理コンテキスト コンフィギュレーション

例 3:部門 1 コンテキスト コンフィギュレーション

例 3:部門 2 コンテキスト コンフィギュレーション

例 4:外部アクセスのあるマルチモード、透過ファイアウォール

例 4:システム コンフィギュレーション

例 4:管理コンテキスト コンフィギュレーション

例 4:顧客 A コンテキスト コンフィギュレーション

例 4:顧客 B コンテキスト コンフィギュレーション

例 4:顧客 C コンテキスト コンフィギュレーション

例 5:WebVPN コンフィギュレーション

例 1:外部アクセスのあるマルチモード ファイアウォール

このコンフィギュレーションでは、3 つのセキュリティ コンテキストに加え、管理コンテキストを作成します。各コンテキストは、内部インターフェイスと外部インターフェイスを持ちます。顧客 C コンテキストには DMZ インターフェイスが含まれています。この DMZ インターフェイスでは、HTTP フィルタリング用の Websense サーバがサービス プロバイダー社内にあります(図B-1 を参照)。

内部ホストはダイナミック NAT または PAT を使用して外部を通じインターネットにアクセスすることができますが、外部ホストは内部にアクセスできません。

顧客 A コンテキストは内部ルータの背後に 2 番目のネットワークを持っています。

管理コンテキストは、1 台のホストからセキュリティ アプライアンスへの SSH セッションを許可します。

インターフェイスが固有である場合、内部 IP アドレスはコンテキスト間で同一にすることができますが、それぞれを固有にした方が管理が容易です。

図B-1 例 1

 

この事例のコンフィギュレーションについては、次の項を参照してください。

「例 1:システム コンフィギュレーション」

「例 1:管理コンテキスト コンフィギュレーション」

「例 1:顧客 A コンテキスト コンフィギュレーション」

「例 1:顧客 B コンテキスト コンフィギュレーション」

「例 1:顧客 C コンテキスト コンフィギュレーション」

例 1:システム コンフィギュレーション

まず、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。モードはリブートしても保持されますが、コンフィギュレーション ファイルには保存されません。 write terminal show startup-config 、または show running-config コマンドを使用してセキュリティ アプライアンスでコンフィギュレーションを表示した場合、モードはセキュリティ アプライアンスのバージョンの後ろに表示されます(空白はシングルモードを意味し、「<system>」はシステム コンフィギュレーションでのマルチモードを意味し、<context> はコンテキストでのマルチモードを意味します)。

hostname Farscape
password passw0rd
enable password chr1cht0n
admin-context admin
interface gigabitethernet 0/0
shutdown
interface gigabitethernet 0/0.3
vlan 3
no shutdown
interface gigabitethernet 0/1
no shutdown
interface gigabitethernet 0/1.4
vlan 4
no shutdown
interface gigabitethernet 0/1.5
vlan 5
no shutdown
interface gigabitethernet 0/1.6
vlan 6
no shutdown
interface gigabitethernet 0/1.7
vlan 7
no shutdown
interface gigabitethernet 0/1.8
vlan 8
no shutdown
context admin
allocate-interface gigabitethernet 0/0.3
allocate-interface gigabitethernet 0/1.4
config-url disk0://admin.cfg
context customerA
description This is the context for customer A
allocate-interface gigabitethernet 0/0.3
allocate-interface gigabitethernet 0/1.5
config-url disk0://contexta.cfg
context customerB
description This is the context for customer B
allocate-interface gigabitethernet 0/0.3
allocate-interface gigabitethernet 0/1.6
config-url disk0://contextb.cfg
context customerC
description This is the context for customer C
allocate-interface gigabitethernet 0/0.3
allocate-interface gigabitethernet 0/1.7-gigabitethernet 0/1.8
config-url disk0://contextc.cfg

例 1:管理コンテキスト コンフィギュレーション

10.1.1.75 のホストは SSH を使用してコンテキストにアクセスします。そのためには、 crypto key generate コマンドを使用してキーを生成する必要があります。

hostname Admin
domain isp
interface gigabitethernet 0/0.3
nameif outside
security-level 0
ip address 209.165.201.2 255.255.255.224
no shutdown
interface gigabitethernet 0/1.4
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
no shutdown
passwd secret1969
enable password h1andl0
route outside 0 0 209.165.201.1 1
ssh 10.1.1.75 255.255.255.255 inside
nat (inside) 1 10.1.1.0 255.255.255.0
! This context uses dynamic NAT for inside users that access the outside
global (outside) 1 209.165.201.10-209.165.201.29
! The host at 10.1.1.75 has access to the Websense server in Customer C, so
! it needs a static translation for use in Customer C’s access list
static (inside,outside) 209.165.201.30 10.1.1.75 netmask 255.255.255.255
 

例 1:顧客 A コンテキスト コンフィギュレーション

interface gigabitethernet 0/0.3
nameif outside
security-level 0
ip address 209.165.201.3 255.255.255.224
no shutdown
interface gigabitethernet 0/1.5
nameif inside
security-level 100
ip address 10.1.2.1 255.255.255.0
no shutdown
passwd hell0!
enable password enter55
route outside 0 0 209.165.201.1 1
! The Customer A context has a second network behind an inside router that requires a
! static route. All other traffic is handled by the default route pointing to the router.
route inside 192.168.1.0 255.255.255.0 10.1.2.2 1
nat (inside) 1 10.1.2.0 255.255.255.0
! This context uses dynamic PAT for inside users that access that outside. The outside
! interface address is used for the PAT address
global (outside) 1 interface
 

例 1:顧客 B コンテキスト コンフィギュレーション

interface gigabitethernet 0/0.3
nameif outside
security-level 0
ip address 209.165.201.4 255.255.255.224
no shutdown
interface gigabitethernet 0/1.6
nameif inside
security-level 100
ip address 10.1.3.1 255.255.255.0
no shutdown
passwd tenac10us
enable password defen$e
route outside 0 0 209.165.201.1 1
nat (inside) 1 10.1.3.0 255.255.255.0
! This context uses dynamic PAT for inside users that access the outside
global (outside) 1 209.165.201.9 netmask 255.255.255.255
access-list INTERNET remark Inside users only access HTTP and HTTPS servers on the outside
access-list INTERNET extended permit tcp any any eq http
access-list INTERNET extended permit tcp any any eq https
access-group INTERNET in interface inside
 

例 1:顧客 C コンテキスト コンフィギュレーション

interface gigabitethernet 0/0.3
nameif outside
security-level 0
ip address 209.165.201.5 255.255.255.224
no shutdown
interface gigabitethernet 0/1.7
nameif inside
security-level 100
ip address 10.1.4.1 255.255.255.0
no shutdown
interface gigabitethernet 0/1.8
nameif dmz
security-level 50
ip address 192.168.2.1 255.255.255.0
no shutdown
passwd fl0wer
enable password treeh0u$e
route outside 0 0 209.165.201.1 1
url-server (dmz) vendor websense host 192.168.2.2 url-block block 50
url-cache dst 128
filter url http 10.1.4.0 255.255.255.0 0 0
! When inside users access an HTTP server, the security appliance consults with a
! Websense server to determine if the traffic is allowed
nat (inside) 1 10.1.4.0 255.255.255.0
! This context uses dynamic NAT for inside users that access the outside
global (outside) 1 209.165.201.9 netmask 255.255.255.255
! A host on the admin context requires access to the Websense server for management using
! pcAnywhere, so the Websense server uses a static translation for its private address
static (dmz,outside) 209.165.201.6 192.168.2.2 netmask 255.255.255.255
access-list MANAGE remark Allows the management host to use pcAnywhere on the Websense server
access-list MANAGE extended permit tcp host 209.165.201.30 host 209.165.201.6 eq pcanywhere-data
access-list MANAGE extended permit udp host 209.165.201.30 host 209.165.201.6 eq pcanywhere-status
access-group MANAGE in interface outside
 

例 2:同じセキュリティ レベルを使用したシングルモード ファイアウォール

このコンフィギュレーションでは、3 つの内部インターフェイスを作成します。2 つのインターフェイスは同じセキュリティ レベルの部門に接続します。これにより、すべてのホストがアクセスリストを使用せずに通信できます。DMZ インターフェイスは Syslog サーバをホスティングします。外部インターフェイス上の管理ホストは、Syslog サーバとセキュリティ アプライアンスにアクセスできる必要があります。セキュリティ アプライアンスに接続するため、ホストは VPN 接続を使用します。セキュリティ アプライアンスは内部インターフェイス上の RIP を使用してルートを認識します。セキュリティ アプライアンスはルートを RIP でアドバタイズしないので、アップストリーム ルータはセキュリティ アプライアンス トラフィック用のスタティック ルートを使用する必要があります(図B-2 を参照)。

部門ネットワークは、インターネットへのアクセスと PAT の使用を許可されています。

図B-2 例 2

 

interface gigabitethernet 0/0
nameif outside
security-level 0
ip address 209.165.201.3 255.255.255.224
no shutdown
interface gigabitethernet 0/1
nameif dept2
security-level 100
ip address 10.1.2.1 255.255.255.0
no shutdown
interface gigabitethernet 0/2
nameif dept1
security-level 100
ip address 10.1.1.1 255.255.255.0
no shutdown
interface gigabitethernet 0/3
nameif dmz
security-level 50
ip address 192.168.2.1 255.255.255.0
no shutdown
passwd g00fba11
enable password gen1u$
hostname Buster
same-security-traffic permit inter-interface
route outside 0 0 209.165.201.1 1
nat (dept1) 1 10.1.1.0 255.255.255.0
nat (dept2) 1 10.1.2.0 255.255.255.0
! The dept1 and dept2 networks use PAT when accessing the outside
global (outside) 1 209.165.201.9 netmask 255.255.255.255
! Because we perform dynamic NAT on these addresses for outside access, we need to perform
! NAT on them for all other interface access. This identity static statement just
! translates the local address to the same address.
static (dept1,dept2) 10.1.1.0 10.1.1.0 netmask 255.255.255.0
static (dept2,dept1) 10.1.2.0 10.1.2.0 netmask 255.255.255.0
! The syslog server uses a static translation so the outside management host can access
! the server
static (dmz,outside) 209.165.201.5 192.168.2.2 netmask 255.255.255.255
access-list MANAGE remark Allows the management host to access the syslog server
access-list MANAGE extended permit tcp host 209.165.200.225 host 209.165.201.5 eq telnet
access-group MANAGE in interface outside
! Advertises the security appliance IP address as the default gateway for the downstream
! router. The security appliance does not advertise a default route to the router.
rip dept2 default version 2 authentication md5 scorpius 1
! Listens for RIP updates from the downstream router. The security appliance does not
! listen for RIP updates from the router because a default route to the router is all that
! is required.
rip dept2 passive version 2 authentication md5 scorpius 1
! The client uses a pre-shared key to connect to the security appliance over IPSec. The
! key is the password in the username command following.
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 group 2
isakmp policy 1 hash sha
isakmp enable outside
crypto ipsec transform-set vpn_client esp-3des esp-sha-hmac
username admin password passw0rd
crypto ipsec transform-set vpn esp-3des esp-sha-hmac
crypto dynamic-map vpn_client 1 set transform-set vpn
crypto map telnet_tunnel 1 ipsec-isakmp dynamic vpn_client
crypto map telnet_tunnel interface outside
ip local pool client_pool 10.1.1.2
access-list VPN_SPLIT extended permit ip host 209.165.201.3 host 10.1.1.2
telnet 10.1.1.2 255.255.255.255 outside
telnet timeout 30
logging trap 5
! System messages are sent to the syslog server on the DMZ network
logging host dmz 192.168.2.2
logging on

例 3:マルチコンテキストの共有リソース

このコンフィギュレーションには、社内の複数の部門用のマルチコンテキストが含まれています。それぞれの部門が独自のセキュリティ ポリシーを持つことができるように、各部門には独自のセキュリティ コンテキストがあります。ただし、syslog サーバ、メール サーバ、および AAA サーバはすべての部門で共有されます。これらのサーバは、共有インターフェイス上に置かれます(図B-3 を参照)。

部門 1 には、AAA サーバで認証された外部ユーザがアクセスできる Web サーバがあります。

図B-3 例 3

 

この事例のコンフィギュレーションについては、次の項を参照してください。

「例 3:システム コンフィギュレーション」

「例 3:管理コンテキスト コンフィギュレーション」

「例 3:部門 1 コンテキスト コンフィギュレーション」

「例 3:部門 2 コンテキスト コンフィギュレーション」

例 3:システム コンフィギュレーション

まず、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。モードはリブートしても保持されますが、コンフィギュレーション ファイルには保存されません。 write terminal show startup-config 、または show running-config コマンドを使用してセキュリティ アプライアンスでコンフィギュレーションを表示した場合、モードはセキュリティ アプライアンスのバージョンの後ろに表示されます(空白はシングルモードを意味し、「<system>」はシステム コンフィギュレーションでのマルチモードを意味し、<context> はコンテキストでのマルチモードを意味します)。

hostname Ubik
password pkd55
enable password deckard69
admin-context admin
interface gigabitethernet 0/0
no shutdown
interface gigabitethernet 0/0.200
vlan 200
no shutdown
interface gigabitethernet 0/1
shutdown
interface gigabitethernet 0/1.201
vlan 201
no shutdown
interface gigabitethernet 0/1.202
vlan 202
no shutdown
interface gigabitethernet 0/1.300
vlan 300
no shutdown
context admin
allocate-interface gigabitethernet 0/0.200
allocate-interface gigabitethernet 0/1.201
allocate-interface gigabitethernet 0/1.300
config-url disk0://admin.cfg
context department1
allocate-interface gigabitethernet 0/0.200
allocate-interface gigabitethernet 0/1.202
allocate-interface gigabitethernet 0/1.300
config-url ftp://admin:passw0rd@10.1.0.16/dept1.cfg
context department2
allocate-interface gigabitethernet 0/0.200
allocate-interface gigabitethernet 0/1.203
allocate-interface gigabitethernet 0/1.300
config-url ftp://admin:passw0rd@10.1.0.16/dept2.cfg
 

例 3:管理コンテキスト コンフィギュレーション

hostname Admin
interface gigabitethernet 0/0.200
nameif outside
security-level 0
ip address 209.165.201.3 255.255.255.224
no shutdown
interface gigabitethernet 0/0.201
nameif inside
security-level 100
ip address 10.1.0.1 255.255.255.0
no shutdown
interface gigabitethernet 0/0.300
nameif shared
security-level 50
ip address 10.1.1.1 255.255.255.0
no shutdown
passwd v00d00
enable password d011
route outside 0 0 209.165.201.2 1
nat (inside) 1 10.1.0.0 255.255.255.0
! This context uses PAT for inside users that access the outside
global (outside) 1 209.165.201.6 netmask 255.255.255.255
! This context uses PAT for inside users that access the shared network
global (shared) 1 10.1.1.30
! Because this host can access the web server in the Department 1 context, it requires a
! static translation
static (inside,outside) 209.165.201.7 10.1.0.15 netmask 255.255.255.255
! Because this host has management access to the servers on the Shared interface, it
! requires a static translation to be used in an access list
static (inside,shared) 10.1.1.78 10.1.0.15 netmask 255.255.255.255
access-list SHARED remark -Allows only mail traffic from inside to exit shared interface
access-list SHARED remark -but allows the admin host to access any server.
access-list SHARED extended permit ip host 10.1.1.78 any
access-list SHARED extended permit tcp host 10.1.1.30 host 10.1.1.7 eq smtp
! Note that the translated addresses are used.
access-group SHARED out interface shared
! Allows 10.1.0.15 to access the admin context using Telnet. From the admin context, you
! can access all other contexts.
telnet 10.1.0.15 255.255.255.255 inside
aaa-server AAA-SERVER protocol tacacs+
aaa-server AAA-SERVER (shared) host 10.1.1.6
key TheUauthKey
! The host at 10.1.0.15 must authenticate with the AAA server to log in
aaa authentication telnet console AAA-SERVER
logging trap 6
! System messages are sent to the syslog server on the Shared network
logging host shared 10.1.1.8
logging on
 

例 3:部門 1 コンテキスト コンフィギュレーション

interface gigabitethernet 0/0.200
nameif outside
security-level 0
ip address 209.165.201.4 255.255.255.224
no shutdown
interface gigabitethernet 0/0.202
nameif inside
security-level 100
ip address 10.1.2.1 255.255.255.0
no shutdown
interface gigabitethernet 0/0.300
nameif shared
security-level 50
ip address 10.1.1.2 255.255.255.0
no shutdown
passwd cugel
enable password rhialto
nat (inside) 1 10.1.2.0 255.255.255.0
! The inside network uses PAT when accessing the outside
global (outside) 1 209.165.201.8 netmask 255.255.255.255
! The inside network uses dynamic NAT when accessing the shared network
global (shared) 1 10.1.1.31-10.1.1.37
! The web server can be accessed from outside and requires a static translation
static (inside,outside) 209.165.201.9 10.1.2.3 netmask 255.255.255.255
access-list WEBSERVER remark -Allows the management host (its translated address) on the access-list WEBSERVER remark -admin context to access the web server for management
access-list WEBSERVER remark -it can use any IP protocol
access-list WEBSERVER extended permit ip host 209.165.201.7 host 209.165.201.9
access-list WEBSERVER remark -Allows any outside address to access the web server
access-list WEBSERVER extended permit tcp any eq http host 209.165.201.9 eq http
access-group WEBSERVER in interface outside
access-list MAIL remark -Allows only mail traffic from inside to exit out the shared int
! Note that the translated addresses are used.
access-list MAIL extended permit tcp host 10.1.1.31 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.32 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.33 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.34 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.35 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.36 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.37 eq smtp host 10.1.1.7 eq smtp
access-group MAIL out interface shared
aaa-server AAA-SERVER protocol tacacs+
aaa-server AAA-SERVER (shared) host 10.1.1.6
key TheUauthKey
! All traffic matching the WEBSERVER access list must authenticate with the AAA server
aaa authentication match WEBSERVER outside AAA-SERVER
logging trap 4
! System messages are sent to the syslog server on the Shared network
logging host shared 10.1.1.8
logging on
 

例 3:部門 2 コンテキスト コンフィギュレーション

interface gigabitethernet 0/0.200
nameif outside
security-level 0
ip address 209.165.201.5 255.255.255.224
no shutdown
interface gigabitethernet 0/0.203
nameif inside
security-level 100
ip address 10.1.3.1 255.255.255.0
no shutdown
interface gigabitethernet 0/0.300
nameif shared
security-level 50
ip address 10.1.1.3 255.255.255.0
no shutdown
passwd maz1r1an
enable password ly0ne$$e
route outside 0 0 209.165.201.2 1
nat (inside) 1 10.1.3.0 255.255.255.0
! The inside network uses PAT when accessing the outside
global (outside) 1 209.165.201.10 netmask 255.255.255.255
! The inside network uses PAT when accessing the shared network
global (shared) 1 10.1.1.38
access-list MAIL remark -Allows only mail traffic from inside to exit out the shared int
access-list MAIL extended permit tcp host 10.1.1.38 host 10.1.1.7 eq smtp
! Note that the translated PAT address is used.
access-group MAIL out interface shared
logging trap 3
! System messages are sent to the syslog server on the Shared network
logging host shared 10.1.1.8
logging on
 

例 4:外部アクセスのあるマルチモード、透過ファイアウォール

このコンフィギュレーションでは、3 つのセキュリティ コンテキストに加え、管理コンテキストを作成します。各コンテキストは、内部ルータと外部ルータの間で OSPF トラフィックの通過を許可します( 図B-4 を参照)。

内部ホストは外部を介してインターネットにアクセスできますが、外部ホストは内部にアクセスできません。

管理コンテキストは、1 台のホストからセキュリティ アプライアンスへの SSH セッションを許可します。

内部 IP アドレスはコンテキスト間で同一にすることができますが、それぞれを固有にした方が管理が容易です。

図B-4 例 4

 

この事例のコンフィギュレーションについては、次の項を参照してください。

「例 4:システム コンフィギュレーション」

「例 4:管理コンテキスト コンフィギュレーション」

「例 4:顧客 A コンテキスト コンフィギュレーション」

「例 4:顧客 B コンテキスト コンフィギュレーション」

「例 4:顧客 C コンテキスト コンフィギュレーション」

例 4:システム コンフィギュレーション

まず、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。モードはリブートしても保持されますが、コンフィギュレーション ファイルには保存されません。 write terminal show startup-config 、または show running-config コマンドを使用してセキュリティ アプライアンスでコンフィギュレーションを表示した場合、モードはセキュリティ アプライアンスのバージョンの後ろに表示されます(空白はシングルモードを意味し、「<system>」はシステム コンフィギュレーションでのマルチモードを意味し、<context> はコンテキストでのマルチモードを意味します)。

firewall transparent
hostname Farscape
password passw0rd
enable password chr1cht0n
admin-context admin
interface gigabitethernet 0/0
no shutdown
interface gigabitethernet 0/0.150
vlan 150
no shutdown
interface gigabitethernet 0/0.151
vlan 151
no shutdown
interface gigabitethernet 0/0.152
vlan 152
no shutdown
interface gigabitethernet 0/0.153
vlan 153
no shutdown
interface gigabitethernet 0/1
shutdown
interface gigabitethernet 0/1.4
vlan 4
no shutdown
interface gigabitethernet 0/1.5
vlan 5
no shutdown
interface gigabitethernet 0/1.6
vlan 6
no shutdown
interface gigabitethernet 0/1.7
vlan 7
no shutdown
context admin
allocate-interface gigabitethernet 0/0.150
allocate-interface gigabitethernet 0/1.4
config-url disk0://admin.cfg
context customerA
description This is the context for customer A
allocate-interface gigabitethernet 0/0.151
allocate-interface gigabitethernet 0/1.5
config-url disk0://contexta.cfg
context customerB
description This is the context for customer B
allocate-interface gigabitethernet 0/0.152
allocate-interface gigabitethernet 0/1.6
config-url disk0://contextb.cfg
context customerC
description This is the context for customer C
allocate-interface gigabitethernet 0/0.153
allocate-interface gigabitethernet 0/1.7
config-url disk0://contextc.cfg
 

例 4:管理コンテキスト コンフィギュレーション

10.1.1.75 のホストは SSH を使用してコンテキストにアクセスします。そのためには、 crypto key generate コマンドを使用してキー ペアを生成する必要があります。

hostname Admin
domain isp
interface gigabitethernet 0/0.150
nameif outside
security-level 0
no shutdown
interface gigabitethernet 0/1.4
nameif inside
security-level 100
no shutdown
passwd secret1969
enable password h1andl0
ip address 10.1.1.1 255.255.255.0
route outside 0 0 10.1.1.2 1
ssh 10.1.1.75 255.255.255.255 inside
access-list OSPF remark -Allows OSPF
access-list OSPF extended permit 89 any any
access-group OSPF in interface outside
 

例 4:顧客 A コンテキスト コンフィギュレーション

interface gigabitethernet 0/0.151
nameif outside
security-level 0
no shutdown
interface gigabitethernet 0/1.5
nameif inside
security-level 100
no shutdown
passwd hell0!
enable password enter55
ip address 10.1.2.1 255.255.255.0
route outside 0 0 10.1.2.2 1
access-list OSPF remark -Allows OSPF
access-list OSPF extended permit 89 any any
access-group OSPF in interface outside
 

例 4:顧客 B コンテキスト コンフィギュレーション

interface gigabitethernet 0/0.152
nameif outside
security-level 0
no shutdown
interface gigabitethernet 0/1.6
nameif inside
security-level 100
no shutdown
passwd tenac10us
enable password defen$e
ip address 10.1.3.1 255.255.255.0
route outside 0 0 10.1.3.2 1
access-list OSPF remark -Allows OSPF
access-list OSPF extended permit 89 any any
access-group OSPF in interface outside
 

例 4:顧客 C コンテキスト コンフィギュレーション

interface gigabitethernet 0/0.153
nameif outside
security-level 0
no shutdown
interface gigabitethernet 0/1.7
nameif inside
security-level 100
no shutdown
passwd fl0wer
enable password treeh0u$e
ip address 10.1.4.1 255.255.255.0
route outside 0 0 10.1.4.2 1
access-list OSPF remark -Allows OSPF
access-list OSPF extended permit 89 any any
access-group OSPF in interface outside
 

例 5:WebVPN コンフィギュレーション

このコンフィギュレーションは、セキュリティ アプライアンスへの WebVPN 接続を作成するために必要なコマンドを示しています。

WebVPN によってユーザは、ブラウザを使用してセキュリティ アプライアンスへのセキュアなリモートアクセス VPN トンネルを確立できます。ソフトウェア クライアントもハードウェア クライアントも必要ありません。WebVPN を使用することで、HTTP(S) インターネット サイトにアクセスできるほとんどすべてのコンピュータから、幅広い Web リソースおよび Web 対応アプリケーションに簡単にアクセスできます。WebVPN は Secure Sockets Layer(SSL)プロトコルおよびその後継である Transport Layer Security(SSL/TLS1)を使用して、リモート ユーザと、中央サイトで設定した特定のサポートされている内部リソースとの間で、セキュアな接続を提供します。セキュリティ アプライアンスはプロキシで処理する必要がある接続を認識し、HTTP サーバは認証サブシステムと対話してユーザを認証します。


ステップ 1 WebVPN に対してセキュリティ アプライアンスを設定します。

webvpn
! WebVPN sessions are allowed on the outside and dmz1 interfaces, ASDM is not allowed.
enable outside
enable dmz161
title-color green
secondary-color 200,160,0
text-color black
default-idle-timeout 3600
! The NetBios Name server used for CIFS resolution.
nbns-server 172.31.122.10 master timeout 2 retry 2
accounting-server-group RadiusACS1
! WebVPN sessions are authenticated to a RADIUS aaa server.
authentication-server-group RadiusACS2
 

ステップ 2 WebVPN アクセスリストをグループポリシーまたはユーザ ポリシーで実施できるようにする必要があります。アクセスリストは、グループ コンフィギュレーションまたはユーザ コンフィギュレーションの filter value コマンドと functions コマンドで定義されます。

access-list maia2 remark -deny access to url and send a syslog every 300 seconds
access-list maia2 remark -containing the hit-count (how many times the url was accessed)
access-list maia2 webtype deny url https://sales.example.com log informational interval 300
access-list maia2 remark -Permits access to the URL.
access-list maia2 webtype permit url http://employee-connection.example.com
access-list maia2 remark -Permits access to the site using ssh.
access-list maia2 remark -To be enforced via Port-Forwarding application.
access-list maia2 webtype permit tcp asa-35.example.com 255.255.255.255 eq ssh
access-list maia2 remark -Denies access to the application on port 1533.
access-list maia2 webtype deny tcp im.example.com 255.255.255.255 eq 1533
access-list maia2 remark -Permits access to files on this file share via
access-list maia2 remark -WebVPN Common Internet File System (CIFS).
access-list maia2 webtype permit url cifs://server-bos/people/mkting log informational 3600
 

ステップ 3 ログイン後、WebVPN ユーザのホーム ページに示されている事前設定の URL のリストを設定することができます。これは、ユーザまたはグループごとに定義されています。

url-list HomeURL "Sales" https://sales.example.com
url-list HomeURL "VPN3000-1" http://vpn3k-1.example.com
url-list HomeURL "OWA-2000" http://10.160.105.2/exchange
url-list HomeURL "Exchange5.5" http://10.86.195.113/exchange
url-list HomeURL " Employee Benefits" http://benefits.example.com
url-list HomeURL "Calendar" http://http://eng.example.com/cal.html
 

ステップ 4 WebVPN でポート転送され、ユーザまたはグループポリシーごとに実施される非 Web TCP アプリケーションのリストを設定します。これらはグローバルに定義されますが、ユーザまたはグループポリシーごとに実施できます。

port-forward Apps1 4001 10.148.1.81 telnet term-servr
port-forward Apps1 4008 router1-example.com ssh
port-forward Apps1 10143 flask.example.com imap4
port-forward Apps1 10110 flask.example.com pop3
port-forward Apps1 10025 flask.example.com smtp
port-forward Apps1 11533 sametime-im.example.com 1533
port-forward Apps1 10022 secure-term.example.com ssh
port-forward Apps1 21666 tuscan.example.com 1666 perforce-f1
port-forward Apps1 1030 sales.example.com https
 

ステップ 5 SSLVPNusers グループポリシーのユーザに対して実施するポリシー アトリビュートを設定します。

group-policy SSLVPNusers internal
group-policy SSLVPNusers attributes
banner value Welcome to Web Services !!!
vpn-idle-timeout 2
vpn-tunnel-protocol IPSec webvpn
webvpn
functions url-entry file-access file-entry file-browsing port-forward filter
url-list value HomeURL
port-forward value Apps1
 

ステップ 6 次に、ASDM および WebVPN HTTPS セッションが終了するインターフェイスを設定します。同一インターフェイスでの ASDM/WebVPN の併用はサポートされていません。

! Enables the HTTP server to allow ASDM and WebVPN HTTPS sessions.
http server enable
! Allows ASDM session(s) from host 10.20.30.47 on the inside interface ; WebVPN sessions
! are not allowed on this interface.
http 10.10.10.45 inside
! Allows WebVPN sessions on outside interfce using HTTP to be re-directed to HTTPS.
! ASDM session is not allowed on this interface.
http redirect outside 80
! Allows WebVPN sessions on dmz1 interfce using HTTP to be re-directed to HTTPS.
! ASDM session is not allowed on this interface.
http redirect dmz161 80
 

ステップ 7 次に、3DES-sha1 暗号化を使用して、セキュリティ アプライアンスでの HTTPS ASDM および WebVPN セッションの終了を許可します。適切な 3DES アクティべーション キーが事前にインストールされている必要があります。

ssl encryption 3des-sha1
ssl trust-point CA-MS inside
 

ステップ 8 最後に、電子メール プロキシを設定します。

imap4s
enable outside
enable inside
enable dmz161
default-group-policy DfltGrpPolicy
pop3s
enable outside
enable inside
enable dmz161
default-group-policy DfltGrpPolicy
smtps
enable outside
enable inside
enable dmz161
default-group-policy DfltGrpPolicy