-
Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド Version 7.1(1)
-
このマニュアルについて
-
セキュリティ アプライアンスの概要
-
はじめに
-
マルチコンテキスト モードのイネーブ ル化
-
イーサネットとサブインターフェイス の設定
-
セキュリティ コンテキストの追加と 管理
-
インターフェイス パラメータの設定
-
基本設定
-
IP ルーティングと DHCP サービスの 設定
-
IPv6 の設定
-
AAA サーバとローカル データベース の設定
-
フェールオーバーの設定
-
ファイアウォール モードの 概要
-
アクセスリストによるトラフィックの 指定
-
NAT の適用
-
ネットワーク アクセスの許可または 拒否
-
ネットワーク アクセスへの AAA の 適用
-
フィルタリング サービスの適用
-
モジュラ ポリシー フレームワークの 使用
-
AIP SSM および CSC SSM の管理
-
ネットワーク攻撃の防止
-
QoS ポリシーの適用
-
アプリケーション層プロトコル検査の 設定
-
ARP 検査およびブリッジング パラ メータの設定
-
IPSec と ISAKMP の設定
-
IPSec VPN の一般パラメータの設定
-
トンネルグループ、グループポリシー、 およびユーザの設定
-
VPN の IP アドレスの設定
-
リモートアクセス IPSec VPN の設定
-
LAN-to-LAN IPSec VPN の設定
-
WebVPN の設定
-
SSL VPN クライアントの設定
-
証明書の設定
-
システム アクセスの管理
-
ソフトウェア、ライセンス、および コンフィギュレーションの管理
-
セキュリティ アプライアンスのモニタ リング
-
セキュリティ アプライアンスのトラブ ルシューティング
-
機能のライセンスと仕様
-
設定例
-
コマンドライン インターフェイスの 使用
-
アドレス、プロトコル、およびポート
-
認可および認証用の外部サーバの設定
-
用語集
-
索引
-
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章 , ドキュメント全体
目次
同一セキュリティ レベルにあるインターフェイス間の通信の許可
インターフェイス パラメータの設定
この章では、各インターフェイスおよびサブインターフェイスの名前、セキュリティ レベル、IP アドレスの設定方法について説明します。シングルコンテキスト モードの場合は、この章の手順は、「イーサネットとサブインターフェイスの設定」で開始したインターフェイスの設定の続きとして実行します。マルチコンテキスト モードの場合は、「イーサネットとサブインターフェイスの設定」の手順はシステム実行スペースで実行しますが、この章の手順は各セキュリティ コンテキスト内で実行します。
セキュリティ レベルの概要
各インターフェイスには、0(最下位)~ 100(最上位)のセキュリティ レベルを設定する必要があります。たとえば、内部ホスト ネットワークなど、最もセキュアなネットワークにはレベル 100 を割り当てる必要があります。一方、インターネットなどに接続する外部ネットワークにはレベル 0 が割り当てられる場合があります。DMZ などその他のネットワークはその中間に設定できます。複数のインターフェイスを同じセキュリティ レベルに割り当てることができます。詳細については、「同一セキュリティ レベルにあるインターフェイス間の通信の許可」を参照してください。
•
ネットワーク アクセス:デフォルトでは、高位のセキュリティ インターフェイスから低位のセキュリティ インターフェイス(発信)へのアクセスは、暗黙的に許可されます。高位のセキュリティ インターフェイス上のホストは、それより低いセキュリティ インターフェイス上のホストすべてにアクセスできます。アクセスは、インターフェイスにアクセスリストを適用すると制限できます。
同じレベルのセキュリティ インターフェイスの場合、同じセキュリティ レベルまたはそれより低いレベルの他のインターフェイスにアクセスするインターフェイスへのアクセスは、暗黙的に許可されます。
•
–
–
•
同じセキュリティ レベルのインターフェイスの場合、どちらの方向のトラフィックにもフィルタリングが適用できます。
•
NAT 制御がない場合、または同じレベルのセキュリティ インターフェイスの場合は、任意のインターフェイス間で NAT を使用するように選択することも、NAT を使用しないように選択することもできます。外部インターフェイスに対して NAT を設定すると、特殊なキーワードが必要になる場合があることに留意してください。
•
インターフェイスの設定
デフォルトでは、物理インターフェイスはすべてシャットダウンされています。イネーブルになっているサブインターフェイスをトラフィックが通過できるようにするには、物理インターフェイスを事前にイネーブルにしておく必要があります。マルチコンテキスト モードの場合、物理インターフェイスまたはサブインターフェイスをコンテキストに割り当てると、インターフェイスはデフォルトではそのコンテキスト内でイネーブルになります。ただし、トラフィックがコンテキスト インターフェイスを通過するためには、そのインターフェイスをシステム コンフィギュレーションでもイネーブルにする必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでダウンします。
コンフィギュレーションを完了してトラフィックがセキュリティ アプライアンスを通過できるようにするには、事前にインターフェイス名と、ルーテッド モードの場合は IP アドレスを設定する必要があります。また、セキュリティ レベルをデフォルトの 0 から変更する必要もあります。インターフェイス名を「inside」にし、セキュリティ レベルを明示的に設定しない場合は、セキュリティ アプライアンスによってセキュリティ レベルが 100 に設定されます。
(注) フェールオーバーを使用している場合は、フェールオーバー通信およびステートフル フェールオーバー通信に予約されているインターフェイスには、この方法で名前を付けないでください。フェールオーバー リンクおよびステート リンクの設定については、「フェールオーバーの設定」を参照してください。
マルチコンテキスト モードでは、次のガイドラインに従ってください。
•
•
•
(注) インターフェイスのセキュリティ レベルを変更したときに、既存の接続がタイムアウトするまで待機せずに新しいセキュリティ情報を使用する必要がある場合は、clear local-host コマンドを使用して接続をクリアできます。
インターフェイスまたはサブインターフェイスを設定するには、次の手順を実行します。
ステップ 1
physical_interface ID には、タイプ、スロット、およびポート番号を type [ slot / ] port という形式で指定します。
PIX 500 シリーズ セキュリティ アプライアンスでは、タイプの後ろにポート番号を入力します( ethernet0 など)。
ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、タイプの後ろにスロット/ポートを入力します( gigabitethernet0/1 など)。シャーシに組み込まれているインターフェイスはスロット 0 に割り当てられていますが、4GE SSM 上のインターフェイスはスロット 1 に割り当てられています。
ASA 5500 シリーズ適応型セキュリティ アプライアンスには、次のタイプもあります。
管理インターフェイスは、管理トラフィックのみを対象に設計されているファースト イーサネット インターフェイスであり、 management0/0 と指定されます。ただし、必要であれば、トラフィックを通すために使用することもできます( management-only コマンドを参照)。透過ファイアウォール モードでは、トラフィックの通過を許可する 2 つのインターフェイスの他に、管理インターフェイスを使用できます。サブインターフェイスを管理インターフェイスに追加して、マルチコンテキスト モードのセキュリティ コンテキストごとに管理を提供することもできます。
subinterface ID は、物理インターフェイス ID の後ろに、ピリオド(.)で区切って付加します。
マルチコンテキスト モードで、マッピング名を allocate-interface コマンドを使用して割り当てた場合、その名前を入力します。
ステップ 2
name は最大 48 文字のテキスト文字列です。大文字と小文字は区別されません。新しい値を指定してこのコマンドを再入力すると名前を変更することができます。 no 形式は入力しないでください。このコマンドを入力すると、この名前を参照しているコマンドがすべて削除されます。
ステップ 3
ここで、 number には、0(最下位)~ 100(最上位)の整数を指定します。
ステップ 4
(注) IPv6 アドレスの設定については、「インターフェイスでの IPv6 の設定」を参照してください。
透過ファイアウォール モードの管理 IP アドレスを設定するには、「透過ファイアウォールの管理 IP アドレスの設定」を参照してください。透過モードでは、インターフェイスごとに IP アドレスを設定するのではなく、セキュリティ アプライアンス全体またはコンテキスト全体に IP アドレスを設定します。
•
standby キーワードおよびアドレスはフェールオーバーで使用します。詳細については、「フェールオーバーの設定」を参照してください。
•
このコマンドを再入力すると、DHCP リースがリセットされて新しいリースが要求されます。
このコマンドは、 ip address コマンドと同時には設定できません。
setroute オプションをイネーブルにする場合は、 static コマンドを使用してデフォルト ルートを設定しないでください。
ip address dhcp コマンドを入力する前に no shutdown コマンドを使用してインターフェイスをイネーブルにしていない場合は、一部の DHCP 要求が送信されない場合があります。
ステップ 5
ASA 5000 シリーズ適応型セキュリティ アプライアンスには、Management 0/0 と呼ばれる専用の管理インターフェイスが含まれており、このインターフェイスによってセキュリティ アプライアンスへのトラフィックをサポートします。ただし、 management-only コマンドを使用することで、任意のインターフェイスを管理専用インターフェイスとして設定できます。また、Management 0/0 の管理専用モードをディセーブルにして、他のインターフェイスと同様にトラフィックを通過させることもできます。
(注) 透過ファイアウォール モードでは、2 つのインターフェイスのみがトラフィックを通過させることができます。ただし、ASA 5000 シリーズ適応型セキュリティ アプライアンスでは、専用の管理インターフェイス(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用の第 3 のインターフェイスとして使用できます。モードはこの場合設定不能であり、常に管理専用にする必要があります。
ステップ 6
インターフェイスをディセーブルにするには、 shutdown コマンドを入力します。物理インターフェイスに対して shutdown コマンドを入力すると、すべてのサブインターフェイスもシャットダウンします。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスを共有しているすべてのコンテキストでシャットダウンします。これは、コンテキスト コンフィギュレーションでこのインターフェイスがイネーブルであると表示される場合も例外ではありません。
次の例では、シングルモードで物理インターフェイスのパラメータを設定します。
次の例では、シングルモードでサブインターフェイスのパラメータを設定します。
次の例では、システム コンフィギュレーションに対してマルチコンテキスト モードでインターフェイス パラメータを設定し、gigabitethernet 0/1.1 サブインターフェイスを contextA に割り当てます。
同一セキュリティ レベルにあるインターフェイス間の通信の許可
デフォルトでは、セキュリティ レベルが同じインターフェイスは同士では通信できません。同じセキュリティ レベルのインターフェイス間で通信を許可する利点としては、次のものがあります。
各インターフェイスで異なるセキュリティ レベルを使用したときに、同一のセキュリティ レベルにインターフェイスを割り当てないと、各レベル(0 ~ 100)に 1 つのインターフェイスしか設定できません。
•
(注) NAT 制御をイネーブルにすると、同じセキュリティ レベルのインターフェイス間で NAT を設定する必要がなくなります。NAT および同一セキュリティ レベルのインターフェイスの詳細については、「NAT および同じセキュリティ レベルのインターフェイス」を参照してください。
同じセキュリティ レベルを持つインターフェイス間の通信をイネーブルにした場合でも、異なるセキュリティ レベルのインターフェイスも通常どおりに設定できます。