Cisco ASA 5500 シリーズ スタートアップ ガイド
シナリオ:DMZ 設定
シナリオ:DMZ 設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

シナリオ:DMZ 設定

DMZ ネットワーク トポロジの例

インターネットで Web サーバにアクセスする内部ユーザ

DMZ Web サーバにアクセスするインターネット ユーザ

DMZ Web サーバにアクセスする内部ユーザ

DMZ 構成用の適応型セキュリティ アプライアンスの設定

設定要件

収集する情報

内部クライアントとインターネット上のデバイスとの通信を可能にする

内部クライアントと DMZ Web サーバとの通信を可能にする

内部インターフェイスと DMZ インターフェイス間の内部クライアント IP アドレスの変換

内部インターフェイスでの Web サーバのパブリック アドレスのその実アドレスへの変換

DMZ Web サーバへのパブリック アクセスのためのスタティック PAT の設定(ポート フォワーディング)

DMZ Web サーバへのパブリック HTTP アクセスの提供

次の作業

シナリオ:DMZ 設定

非武装地帯(DMZ)は、プライベート(内部)ネットワークとパブリック(外部)ネットワークとの間の中立帯に位置する単独のネットワークです。

この章は、次の項で構成されています。

「DMZ ネットワーク トポロジの例」

「DMZ 構成用の適応型セキュリティ アプライアンスの設定」

「次の作業」

DMZ ネットワーク トポロジの例

この章では、図 8-1 に示すように適応型セキュリティ アプライアンスの DMZ 構成の設定方法について説明します。

この例では、Web サーバは DMZ インターフェイス上にあり、内部ネットワークおよび外部ネットワークの両方の HTTP クライアントが Web サーバにアクセスできます。

図 8-1 DMZ 設定シナリオのネットワーク レイアウト

 

このシナリオ例には、次の特徴があります。

Web サーバは、適応型セキュリティ アプライアンスの DMZ インターフェイス上に存在します。

内部ネットワーク上のクライアントは、DMZ 内の Web サーバにアクセスでき、インターネット上のデバイスとも通信できます。

インターネット上のクライアントは、DMZ Web サーバへの HTTP アクセスが許可され、インターネットからのその他のトラフィックはすべて拒否されます。

ネットワークには、だれでも使用できる IP アドレスが 1 つあります。これは、適応型セキュリティ アプライアンスの外部インターフェイスです(209.165.200.225)。このパブリック アドレスは適応型セキュリティ アプライアンスと DMZ Web サーバで共有されます。

この項は、次の内容で構成されています。

「インターネットで Web サーバにアクセスする内部ユーザ」

「DMZ Web サーバにアクセスするインターネット ユーザ」

「DMZ Web サーバにアクセスする内部ユーザ」

インターネットで Web サーバにアクセスする内部ユーザ

図 8-2 に、内部ユーザがインターネットの Web サーバから HTTP ページを要求している場合の、適応型セキュリティ アプライアンスを経由したトラフィック フローを示します。

図 8-2 インターネット Web サーバにアクセスする内部ユーザ

 

 

内部ユーザがインターネットの Web サーバから HTTP ページを要求している場合、データは次のように適応型セキュリティ アプライアンスを経由して移動します。

1. 内部ネットワークのユーザが、www.example.com から Web ページを要求します。

2. 適応型セキュリティ アプライアンスはパケットを受信し、新しいセッションであるため、パケットが許可されていることを確認します。

3. 適応型セキュリティ アプライアンスは Network Address Translation(NAT; ネットワーク アドレス変換)を行い、ローカルな送信元アドレス(192.168.1.2)を外部インターフェイスのパブリック アドレス(209.165.200.225)に変換します。

4. 適応型セキュリティ アプライアンスは、セッションか確立されていることを記録し、外部インターフェイスからパケットを転送します。

5. www.example.com が要求に応答すると、確立されたセッションを使用して、パケットは適応型セキュリティ アプライアンスを通過します。

6. 適応型セキュリティ アプライアンスは NAT を使用して、パブリック宛先(209.165.200.225)アドレスをローカル ユーザ アドレス(192.168.1.2)に変換します。

7. 適応型セキュリティ アプライアンスはパケットを内部ユーザに転送します。

DMZ Web サーバにアクセスするインターネット ユーザ

図 8-3 に、インターネット上のユーザが DMZ Web サーバから Web ページを要求している場合の、適応型セキュリティ アプライアンスを経由したトラフィック フローを示します。

図 8-3 DMZ Web サーバにアクセスする外部ユーザ

 

インターネット上のユーザが DMZ Web サーバから HTTP ページを要求している場合、トラフィックは次のように適応型セキュリティ アプライアンスを流れます。

1. 外部ネットワークのユーザは、適応型セキュリティ アプライアンスのパブリック IP アドレス(外部インターフェイスの IP アドレスである 209.165.200.225)を使用して、DMZ Web サーバから Web ページを要求します。

2. 適応型セキュリティ アプライアンスはパケットを受信し、新しいセッションであるため、パケットが許可されていることを確認します。

3. 適応型セキュリティ アプライアンスは、宛先アドレスを DMZ Web サーバのローカル アドレス(10.30.30.30)に変換し、DMZ インターフェイスを通してパケットを転送します。

4. DMZ Web サーバが要求に応答すると、適応型セキュリティ アプライアンスは DMZ Web サーバのローカル アドレス(10.30.30.30)を DMZ Web サーバのパブリック アドレス(209.165.200.225)に変換します。

5. 適応型セキュリティ アプライアンスはパケットを外部ユーザに転送します。

DMZ Web サーバにアクセスする内部ユーザ

図 8-4 に、DMZ Web サーバにアクセスしている内部ユーザを示します。

図 8-4 DMZ で Web サーバにアクセスする内部ユーザ

 

図 8-4 では、適応型セキュリティ アプライアンスは内部クライアントから DMZ Web サーバ宛の HTTP トラフィックを許可します。内部ネットワークには DNS サーバがないので、DMZ Web サーバへの内部クライアントの要求は、次のように処理されます。

1. ルックアップ要求が ISP の DNS サーバに送信されます。DMZ Web サーバのパブリック IP アドレスがクライアントに返されます。

2. 内部クライアントは、DMZ Web サーバのパブリック IP アドレスから Web ページを要求します。適応型セキュリティ アプライアンスは、その内部インターフェイス上の要求を受信します。

3. 適応型セキュリティ アプライアンスは、DMZ Web サーバのパブリック IP アドレスをその実アドレスに変換し(209.165.200.225 -> 10.30.30.30)、要求をその DMZ インターフェイスから Web サーバへ転送します。

4. DMZ Web サーバが要求に応答すると、適応型セキュリティ アプライアンスはその DMZ インターフェイス上のデータを受信し、その内部インターフェイスからユーザにデータを転送します。

この設定を作成する手順については、この章の後半部分で説明します。

DMZ 構成用の適応型セキュリティ アプライアンスの設定

この項では、ASDM を使用して、図 8-1 に示されている設定シナリオ用に適応型セキュリティ アプライアンスを設定する方法について説明します。手順では、シナリオに基づいたサンプル パラメータを使用します。

この設定手順では、適応型セキュリティ アプライアンスにはすでに内部インターフェイス、外部インターフェイス、および DMZ インターフェイスとして設定されているインターフェイスがあることを前提とします。DMZ インターフェイスのセキュリティ レベルを 0 ~ 100 の間に設定していることを確認します (通常は 50)。


) 適応型セキュリティ アプライアンスにインターフェイスをセットアップする必要がある場合、ASDM の Startup Wizard を使用できます。Startup Wizard の使用方法の詳細については、「適応型セキュリティ アプライアンスの設定」を参照してください。


この項は、次の内容で構成されています。

「設定要件」

「収集する情報」

「内部クライアントとインターネット上のデバイスとの通信を可能にする」

「内部クライアントとインターネット上のデバイスとの通信を可能にする」

「内部クライアントと DMZ Web サーバとの通信を可能にする」

「DMZ Web サーバへのパブリック アクセスのためのスタティック PAT の設定(ポート フォワーディング)」

「DMZ Web サーバへのパブリック HTTP アクセスの提供」

この章の後半部分では、この設定を実装する方法について説明します。

設定要件

適応型セキュリティ アプライアンスのこの DMZ 構成では、次のような設定ルールが必要です。

目的
対象となるルール

内部クライアントが、インターネット上の Web サーバから情報を要求できる

適応型セキュリティ アプライアンスに備わった、内部クライアントによるインターネット上のデバイスへのアクセスを許可するデフォルト設定。設定を追加する必要はありません。

内部クライアントが、DMZ Web サーバから情報を要求できる

DMZ Web サーバの実際の IP アドレスをパブリック IP アドレスに変換する(10.30.30.30 から 209.165.200.225 へ)、DMZ インターフェイスと内部インターフェイス間の NAT ルール。

内部クライアント ネットワークの実際のアドレスを変換する、内部インターフェイスと DMZ インターフェイス間の NAT ルール。このシナリオでは、内部ネットワークの実 IP アドレスはその実アドレス自体に「変換」されます。つまり、内部ネットワークの実 IP アドレスは、内部クライアントが DMZ Web サーバ(10.30.30.30)と通信するときに使用されます。

外部クライアントが、DMZ Web サーバから情報を要求できる

DMZ Web サーバのパブリック IP アドレスをそのプライベート IP アドレスに変換する(209.165.200.225 から 10.30.30.30 へ)、外部インターフェイスと DMZ インターフェイス間のアドレス変換ルール。

DMZ Web サーバ宛の着信 HTTP トラフィックを許可するアクセス コントロール ルール。

収集する情報

この設定手順を開始する前に、次の情報を収集します。

パブリック ネットワーク上のクライアントに対して使用可能にする DMZ 内のサーバの内部 IP アドレス(このシナリオでは Web サーバ)。

DMZ 内のサーバのために使用されるパブリック IP アドレス (パブリック ネットワーク上のクライアントはパブリック IP アドレスを使用して DMZ 内のサーバにアクセスします)。

発信トラフィックで内部 IP アドレスの代わりになるクライアント IP アドレス(このシナリオでは、外部インターフェイスの IP アドレス)。内部 IP アドレスが公開されないように、発信クライアント トラフィックはこのアドレスから発信されたように表示されます。

内部クライアントとインターネット上のデバイスとの通信を可能にする

内部クライアントによるインターネット上のデバイスからのコンテンツの要求を許可するには、適応型セキュリティ アプライアンスが内部クライアントの実際の IP アドレスを外部インターフェイスの外部アドレス(つまり適応型セキュリティ アプライアンスのパブリック IP アドレス)に変換します。発信トラフィックは、このアドレスから発信されたように表示されます。

内部クライアントと DMZ Web サーバとの通信を可能にする

この手順では、内部クライアントが DMZ 内の Web サーバと安全に通信できるように、適応型セキュリティ アプライアンスを設定します。この手順を実行するには、変換ルールを設定する必要があります。

DMZ Web サーバの実際の IP アドレスをそのパブリック IP アドレスに変換する(10.30.30.30 から 209.165.200.225 へ)、DMZ インターフェイスと内部インターフェイス間の NAT ルールを設定します。

このルールが必要なのは、内部クライアントが DNS ルックアップ要求を送信したときに、DNS サーバが DMZ Web サーバのパブリック IP アドレスを返すためです。


) 内部ネットワーク上には DNS サーバがないため、DNS 要求は適応型セキュリティ アプライアンスから出て、インターネット上の DNS サーバによって解決されなければなりません。


この項は、次の内容で構成されています。

「内部インターフェイスと DMZ インターフェイス間の内部クライアント IP アドレスの変換」

「内部インターフェイスでの Web サーバのパブリック アドレスのその実アドレスへの変換」

内部インターフェイスと DMZ インターフェイス間の内部クライアント IP アドレスの変換

内部インターフェイスと DMZ インターフェイス間で内部クライアント IP アドレスを変換するように NAT を設定するには、次の手順に従います。


ステップ 1 [Configuration] > [Firewall] > [NAT Rules] ペインの順にクリックし、緑色の +(プラス)アイコンをクリックし、[Add "Network Object" NAT Rule] を選択します。

[Add Network Object] ダイアログボックスが表示されます。

ステップ 2 次の値を入力します。

[Name] フィールドに、オブジェクト名を入力します。a ~ z、A ~ Z、0 ~ 9、ピリオド、ハイフン、カンマ、またはアンダースコアの文字を使用してください。名前は 64 文字以下にする必要があります。

[Type] ドロップダウン リストから、[Network] を選択します。

[IP Address] フィールドに、クライアントまたはネットワークの実際の IP アドレスを入力します。このシナリオでは、ネットワークの IP アドレスは 192.168.1.0 です。

[Netmask] フィールドに、IP アドレスが IPv4 アドレスである場合はサブネット マスクを入力し、IP アドレスが IPv6 アドレスである場合はプレフィクスを入力します。

(オプション)[Description] フィールドに、ネットワーク オブジェクトの説明を入力します(最大 200 文字)。


) [NAT] セクションが表示されていない場合は、[NAT] をクリックしてセクションを展開します。


ステップ 3 [Add Automatic Translation Rules] チェックボックスをオンにします。

ステップ 4 [Type] ドロップダウン リストから、[Static] を選択します。

ステップ 5 [Translated Addr.] フィールドに、内部クライアントまたはネットワークの IP アドレスを入力します。または、[...] をクリックし、[Browse Translated Addr] ダイアログボックスからアドレスを選択します。[IP Address] フィールドに、ネットワークの IP アドレスを入力します。このシナリオでは、ネットワークの IP アドレスは 192.168.1.0 です。

 

ステップ 6 [Advanced] をクリックし、[Advanced NAT Settings] ダイアログボックスで次のオプションを設定します。

[Source Interface] ドロップダウン リストで、[inside] インターフェイスを選択します。

[Destination Interface] ドロップダウン リストから、[DMZ] インターフェイスを選択します。

この 2 つの設定により、NAT ルールを適用する実際のインターフェイスとマップされるインターフェイスを指定したことになります。

 

ステップ 7 [OK] をクリックします。[Add Network Object] ダイアログボックスに戻ります。

ステップ 8 [OK] をクリックしてルールを追加し、Address Translation Rules のリストに戻ります。

ルールが、意図したとおりに作成されたことを確認します。表示される設定は次のようになります。

 

ステップ 9 [Apply] をクリックして、適応型セキュリティ アプライアンスの設定変更を終了します。

内部インターフェイスでの Web サーバのパブリック アドレスのその実アドレスへの変換

Web サーバのパブリック IP アドレスをその実際の IP アドレスに変換する NAT ルールを設定するには、次の手順に従います。


ステップ 1 [Configuration] > [Firewall] > [NAT Rules] ペインの順にクリックし、緑色の +(プラス)アイコンをクリックし、[Add "Network Object" NAT Rule] を選択します。

[Add Network Object] ダイアログボックスが表示されます。

ステップ 2 次の値を入力します。

[Name] フィールドに、オブジェクト名を入力します。a ~ z、A ~ Z、0 ~ 9、ピリオド、ハイフン、カンマ、またはアンダースコアの文字を使用してください。名前は 64 文字以下にする必要があります。

[Type] ドロップダウン リストから、[Host] を選択します。

[IP Address] フィールドに、DMZ Web サーバの実際の(プライベート)アドレスを入力します。このシナリオでは、IP アドレスは 10.30.30.30 です。

(オプション)[Description] フィールドに、ネットワーク オブジェクトの説明を入力します(最大 200 文字)。


) [NAT] セクションが表示されていない場合は、[NAT] をクリックしてセクションを展開します。


ステップ 3 [Add Automatic Translation Rules] チェックボックスをオンにします。

ステップ 4 [Type] ドロップダウン リストから、[Static] を選択します。

ステップ 5 [Translated Addr.] フィールドに、DMZ Web サーバのパブリック アドレス(またはマップ アドレス)を入力します。または、[...] をクリックし、[Browse Translated Addr] ダイアログボックスからアドレスを選択します。このシナリオでは、IP アドレスは 209.165.200.225 です。

 

ステップ 6 [Advanced] をクリックし、[Advanced NAT Settings] ダイアログボックスで次のオプションを設定します。

[Source Interface] ドロップダウン リストで、[DMZ] インターフェイスを選択します。

[Destination Interface] ドロップダウン リストで、[inside] インターフェイスを選択します。

この 2 つの設定により、NAT ルールを適用する実際のインターフェイスとマップされるインターフェイスを指定したことになります。

 

ステップ 7 [OK] をクリックします。[Add Network Object] ダイアログボックスに戻ります。

ステップ 8 [OK] をクリックしてルールを追加し、Address Translation Rules のリストに戻ります。

ルールが、意図したとおりに作成されたことを確認します。表示される設定は次のようになります。

 

ステップ 9 [Apply] をクリックして、適応型セキュリティ アプライアンスの設定変更を終了します。


 

DMZ Web サーバへのパブリック アクセスのためのスタティック PAT の設定(ポート フォワーディング)

DMZ Web サーバは、インターネット上のすべてのホストからアクセスできる必要があります。この設定では、DMZ Web サーバのプライベート IP アドレスをパブリック IP アドレスに変換し、外部 HTTP クライアントが適応型セキュリティ アプライアンスを認識せずに Web サーバにアクセスできるようにする必要があります。このシナリオでは、DMZ Web サーバで、パブリック IP アドレスと適応型セキュリティ アプライアンスの外部インターフェイスが共有されています(209.165.200.225)。

実際の Web サーバの IP アドレス(10.30.30.30)をパブリック IP アドレス(209.165.200.225)にスタティックにマッピングするには、次の手順に従います。


ステップ 1 [Configuration] > [Firewall] > [NAT Rules] ペインの順にクリックし、緑色の +(プラス)アイコンをクリックし、[Add "Network Object" NAT Rule] を選択します。

[Add Network Object] ダイアログボックスが表示されます。

ステップ 2 次の値を入力します。

[Name] フィールドに、オブジェクト名を入力します。a ~ z、A ~ Z、0 ~ 9、ピリオド、ハイフン、カンマ、またはアンダースコアの文字を使用してください。名前は 64 文字以下にする必要があります。

[Type] ドロップダウン リストから、[Host] を選択します。

[IP Address] フィールドに、DMZ Web サーバの実際の IP アドレスを入力します。このシナリオでは、IP アドレスは 10.30.30.30 です。

(オプション)[Description] フィールドに、ネットワーク オブジェクトの説明を入力します(最大 200 文字)。


) [NAT] セクションが表示されていない場合は、[NAT] をクリックしてセクションを展開します。


ステップ 3 [Add Automatic Translation Rules] チェックボックスをオンにします。

ステップ 4 [Type] ドロップダウン リストから、[Static] を選択します。

ステップ 5 [Translated Addr.] フィールドに、Web サーバで使用されるパブリック IP アドレスを入力します。これは、指定したインターフェイス(この場合は外部インターフェイス)の IP アドレスです。または、[...] をクリックし、[Browse Translated Addr] ダイアログボックスからアドレスを選択します。

 

ステップ 6 [Advanced] をクリックし、[Advanced NAT Settings] ダイアログボックスで次のオプションを設定します。

[Source Interface] ドロップダウン リストで、[DMZ] インターフェイスを選択します。

[Destination Interface] ドロップダウン リストから、[Outside] インターフェイスを選択します。

この 2 つの設定により、NAT ルールを適用する実際のインターフェイスとマップされるインターフェイスを指定したことになります。

ポート変換を設定したスタティック NAT を設定するには、[Service] の [Protocol] ドロップダウン リストから [tcp] を選択します。

[Real Port] フィールドに 80 と入力します。

[Mapped Port] フィールドに 80 と入力します。

 

パブリック IP アドレスは 1 つだけなので、Port Address Translation を使用して、DMZ Web サーバの IP アドレスを適応型セキュリティ アプライアンスのパブリック IP アドレス(外部インターフェイスの IP アドレス)に変換する必要があります。

ステップ 7 [OK] をクリックします。[Add Network Object] ダイアログボックスに戻ります。

ステップ 8 [OK] をクリックしてルールを追加し、Address Translation Rules のリストに戻ります。

ルールが、意図したとおりに作成されたことを確認します。表示される設定は次のようになります。

 

ステップ 9 [Apply] をクリックして、適応型セキュリティ アプライアンスの設定変更を終了します。

DMZ Web サーバへのパブリック HTTP アクセスの提供

デフォルトでは、適応型セキュリティ アプライアンスは、パブリック ネットワークから着信するトラフィックをすべて拒否します。インターネットから DMZ Web サーバにアクセスするトラフィックを許可するには、DMZ Web サーバ宛の着信 HTTP トラフィックを許可するアクセス コントロール ルールを設定する必要があります。

このアクセス コントロール ルールは、トラフィックを処理する適応型セキュリティ アプライアンスのインターフェイスに対して、トラフィックが着信されるかどうか、トラフィックの発信元および宛先、および許可するトラフィック プロトコルとサービスのタイプを指定します。

この項では、トラフィックの宛先が DMZ ネットワークの Web サーバである場合に、インターネット上のホストまたはネットワークから発信される着信 HTTP トラフィックを許可するアクセス ルールを作成します。パブリック ネットワークから着信する他のすべてのトラフィックは拒否されます。

アクセス コントロール ルールを設定するには、次の手順に従います。


ステップ 1 メイン ASDM ウィンドウで、次の内容を実行します。

a. [Configuration] ツールをクリックします。

b. [Firewall] ペインで、[Access Rules] をクリックします。

c. 緑色のプラス アイコンをクリックし、[Add Access Rule] を選択します。

[Add Access Rule] ダイアログボックスが表示されます。

ステップ 2 [Add Access Rule] ダイアログボックスで、次の内容を実行します。

a. [Interface] ドロップダウン リストから、[Outside] を選択します。

b. [Permit Action] オプション ボタンをクリックします。

c. [Source] フィールドに Any と入力します。

d. [Destination] フィールドに、Web サーバのパブリック IP アドレス(209.165.200.225)を入力します。

e. [Service] フィールドに TCP/HTTP と入力します。

この時点で、[Add Access Rule] ダイアログボックスのエントリは次のようになります。

 

f. [OK] をクリックして、[Security Policy] > [Access Rules] ペインに戻ります。

表示される設定は次のようになります。

 

入力した情報が正しいことを確認します。

[Apply] をクリックし、適応型セキュリティ アプライアンスが現在実行している設定に変更を保存します。

プライベート ネットワークに存在するクライアントは、DMZ Web サーバからのコンテンツに対する HTTP 要求を解決できるだけでなく、プライベート ネットワークの安全性を保持できます。

ステップ 3 次にデバイスを起動するときに適用されるように、設定変更をスタートアップ コンフィギュレーションに保存する場合は、[File] メニューから [Save] をクリックします。

または、ASDM を終了するときに設定変更を半永久的に保存するように求められます。

設定変更を保存しない場合は、次にデバイスを起動するときに変更前の設定がそのまま適用されます。


 

次の作業

DMZ 内の Web サーバを保護するためだけに適応型セキュリティ アプライアンスを配置する場合は、これで初期設定が完了しました。次の追加の手順を実行することもできます。

 

実行内容
参照先

詳細な設定およびオプション機能と拡張機能の設定

Cisco ASA 5500 Series Configuration Guide using the CLI

日常的な運用について

Cisco ASA 5500 Series Command Reference

Cisco ASA 5500 Series System Log Messages

複数のアプリケーションに適応型セキュリティ アプライアンスを設定できます。次の項では、適応型セキュリティ アプライアンスの他の一般的なアプリケーションの設定手順について説明します。

 

実行内容
参照先

リモートアクセス VPN の設定

「シナリオ:IPsec リモートアクセス VPN 設定」

Cisco AnyConnect ソフトウェア クライアントの SSL VPN の設定

「シナリオ:Cisco AnyConnect VPN クライアント用接続の設定」

ブラウザ ベース SSL VPN の設定

「シナリオ:SSL VPN クライアントレス接続」

サイトツーサイト VPN の設定

「シナリオ:サイトツーサイト VPN 設定」