Cisco Security Manager 4.0 ユーザ ガイド
ファイアウォール デバイスの管理
ファイアウォール デバイスの管理
発行日;2012/02/02 | 英語版ドキュメント(2010/10/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

ファイアウォール デバイスの管理

ファイアウォールのデフォルト設定

ファイアウォール デバイスのインターフェイスの設定

デバイス インターフェイスについて

冗長インターフェイスについて

ルーテッド モードおよびトランスペアレント モードのインターフェイス

シングルおよびマルチ コンテキストのインターフェイス

ASA 5505 のポートおよびインターフェイスについて

デバイス インターフェイスの管理

[Add/Edit Interface] ダイアログボックスの使用方法

デバイス インターフェイスの高度な設定

同じセキュリティ レベルを持つインターフェイス間のトラフィックのイネーブル化

PPPoE ユーザ リストの管理

VPDN グループの管理

インターフェイスのトラブルシューティング

ファイアウォール デバイスでのブリッジング ポリシーの設定

FWSM 3.1 のブリッジング サポート

ファイアウォール デバイスでのデバイス管理ポリシーの設定

AAA の設定

AAA の準備

AAA ポリシーの定義

バナーの設定

ブート イメージおよび設定の指定

クロック設定

アクセス クレデンシャルの設定

ファイアウォール デバイスの管理

ここでは、シスコのセキュリティ デバイス(Adaptive Security Appliances(ASA; 適応型セキュリティ アプライアンス)、PIX ファイアウォール、および Catalyst 6500 シリーズ スイッチの Firewall Services Module(FWSM; ファイアウォール サービス モジュール))上で、セキュリティ サービスとポリシーを設定および管理する方法について説明します。

この章は、次の内容で構成されています。

「ファイアウォールのデフォルト設定」

「ファイアウォール デバイスのインターフェイスの設定」

「ファイアウォール デバイスでのブリッジング ポリシーの設定」

「ファイアウォール デバイスでのデバイス管理ポリシーの設定」

ファイアウォールのデフォルト設定

ファイアウォール デバイスは、すでにある程度設定された状態で出荷されています。新規で設置したファイアウォール デバイスを手動で Cisco Security Manager に追加する場合は、そのデバイスのプリセットまたはデフォルト ポリシーを見つける(インポートする)必要があります。これらのポリシーを Security Manager にインポートすることによって、そのデバイスに最初に設定を展開したときに、これらのポリシーを意図せずに削除してしまわずにすみます。ポリシーをインポートする方法の詳細については、「ポリシーの検出」を参照してください。

Cisco Security Manager には、多数のデバイス タイプやバージョンのデフォルト ポリシーを含む設定ファイルのセットが用意されています。これらの設定ファイルは、 <install_dir> \CSCOpx¥MDC¥fwtools¥pixplatform¥ ディレクトリ(たとえば、 C:¥Program Files¥CSCOpx¥MDC¥fwtools¥pixplatform¥ )に格納されています。

ファイル名は、デバイス タイプ、オペレーティング システムのバージョン、コンテキストのサポート、および動作タイプを表しています。たとえば、「FactoryDefault_FWSM2_2_MR.cfg」は、FWSM、バージョン 2.2 で、マルチ コンテキストをサポートし、ルーテッド モードで動作する場合の設定ファイルです。同様に、「FactoryDefault_ASA7_0_1_ST.cfg」は、ASA、バージョン 7.0.1、シングル コンテキストのトランスペアレント モードの設定ファイルです。

セキュリティ コンテキストの詳細については、「シングルおよびマルチ コンテキストのインターフェイス」を、ルーテッドおよびトランスペアレント動作の詳細については、「ルーテッド モードおよびトランスペアレント モードのインターフェイス」を参照してください。

提供されている設定ファイルから新しいデバイスを追加する方法については、「設定ファイルからのデバイスの追加」を参照してください。

ファイアウォール デバイスのインターフェイスの設定

[Interfaces] ページには、選択したデバイスに設定されているインターフェイス、サブインターフェイス、および冗長インターフェイスが表示されます。次の項で示すように、このページから、インターフェイス、サブインターフェイス、および冗長インターフェイスを追加、編集、削除したり、同じセキュリティ レベルのインターフェイス間で通信できるようにしたり、VPDN グループおよび PPPoE ユーザを管理したりできます。

「デバイス インターフェイスについて」

「冗長インターフェイスについて」

「ルーテッド モードおよびトランスペアレント モードのインターフェイス」

「シングルおよびマルチ コンテキストのインターフェイス」

「デバイス インターフェイスの管理」

「[Add/Edit Interface] ダイアログボックスの使用方法」

「デバイス インターフェイス:IP タイプ(PIX/ASA)」

「デバイス インターフェイス:IP タイプ(PIX 6.3)」

「デバイス インターフェイス:MAC アドレス」

「デバイス インターフェイス:メディア タイプ」

「ASA 5505 のポートおよびインターフェイスについて」

「デバイス インターフェイスの高度な設定」

「同じセキュリティ レベルを持つインターフェイス間のトラフィックのイネーブル化」

「PPPoE ユーザ リストの管理」

「VPDN グループの管理」

「インターフェイスのトラブルシューティング」

デバイス インターフェイスについて

インターフェイスは、セキュリティ デバイスと他のネットワーク デバイスとの間の接続ポイントです。インターフェイスは、最初はディセーブルになっています。そのため、ファイアウォール設定に不可欠な作業として、インターフェイスをイネーブルにし、適切なパケット インスペクションおよび転送を許可するように設定する必要があります。

インターフェイスには、物理インターフェイスと論理インターフェイスの 2 つのタイプがあります。物理インターフェイスは、ネットワーク ケーブルが差し込まれるデバイス上の実際のスロットであり、論理インターフェイスは、特定の物理ポートに割り当てられる仮想ポートです。一般的に、物理ポートは「インターフェイス」と呼ばれ、論理ポートは「サブインターフェイス」と呼ばれます。定義できるインターフェイスの数およびタイプは、アプライアンス モデルおよび購入したライセンスのタイプによって異なります。


) PIX オペレーティング システムのバージョン 6.3 が稼動しているデバイスでは、「インターフェイス」および「サブインターフェイス」というラベルではなく、「物理的」および「論理的」というラベルが使用されます。また、トランスペアレント モードおよびマルチ コンテキストは、これらのデバイスではサポートされません。


サブインターフェイスを使用すると、物理インターフェイスを異なる VLAN ID がタグ付けされた複数の論理インターフェイスに分割できます。VLAN により、特定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスやセキュリティ アプライアンスを追加しなくても、ネットワークで使用できるインターフェイスの数を増やすことができます。この機能は、マルチ コンテキスト モードで特に役立ち、これにより、各コンテキストに一意のインターフェイスを割り当てることができます。

原則として、インターフェイスはルータベースのネットワークに接続し、サブインターフェイスはスイッチベースのネットワークに接続します。すべてのサブインターフェイスが、許可トラフィックを正しくルーティングする物理インターフェイスに関連付けられている必要があります。


) 物理インターフェイスはタグの付いていないパケットを通過させるため、サブインターフェイスを使用する場合、通常は物理インターフェイスでトラフィックを通過させないようにします。サブインターフェイスでトラフィックを通過させるために、物理インターフェイスはイネーブルにしておく必要がありますが、物理インターフェイスではトラフィックを通過させないように、物理インターフェイスには名前を付けないでください。ただし、物理インターフェイスにタグの付いていないパケットを通過させる場合には、通常のようにインターフェイスに名前を付けることができます(インターフェイスの命名の詳細については、「[Add/Edit Interface] ダイアログボックスの使用方法」を参照してください)。


FWSM には外部物理インターフェイスは含まれません。代わりに、内部 VLAN インターフェイスを使用します。たとえば、VLAN 201 を FWSM 内部インターフェイスに割り当てて、VLAN 200 を外部インターフェイスに割り当てます。これらの VLAN を物理スイッチ ポートに割り当てると、ホストがこれらのポートに接続します。VLAN 201 と 200 間で通信が行われる場合は、FWSM が VLAN 間で唯一使用可能なパスであり、トラフィックはステートフルに検査されるように強制されます。

デバイス インターフェイスの追加情報については、次の項を参照してください。

「冗長インターフェイスについて」

「ルーテッド モードおよびトランスペアレント モードのインターフェイス」

「シングルおよびマルチ コンテキストのインターフェイス」


) スイッチ機能とセキュリティ アプライアンス機能を組み合わせた ASA 5505 は、物理スイッチ ポートと論理 VLAN インターフェイスの両方を設定する特殊な事例です。詳細については、「ASA 5505 のポートおよびインターフェイスについて」を参照してください。


ファイアウォール デバイスは設定がさまざまであり、設定によって、特定のデバイスに関連付けられるインターフェイスの定義方法が決まります。次の表に、さまざまな設定の概要を示します。

 

表 35-1 セキュリティ アプライアンスの設定

デバイス タイプ
動作モード(ルータまたはトランスペアレント)
コンテキストのサポート(シングルまたはマルチ)

PIX 6.3.x

該当なし

該当なし

PIX 7.0/ASA

ルータまたはトランスペアレント

シングル

PIX 7.0/ASA、または管理対象外の PIX 7.0/ASA のセキュリティ コンテキスト

ルータまたはトランスペアレント

マルチ(「マルチ セキュリティ コンテキストを設定するためのチェックリスト」を参照)

FWSM、または管理対象外スイッチのセキュリティ コンテキスト(マルチ モード)

ルータまたはトランスペアレント

シングルまたはマルチ

冗長インターフェイスについて

Security Manager 3.2.2 から、論理的な「冗長」インターフェイスを定義して、セキュリティ アプライアンスの信頼性を向上させることができるようになりました。冗長インターフェイスは物理インターフェイスの特定のペアであり、1 つをアクティブ(またはプライマリ)として指定し、もう 1 つをスタンバイ(またはセカンダリ)として指定します。アクティブ インターフェイスで障害が発生すると、スタンバイ インターフェイスがアクティブになり、トラフィックの送信を開始します。この機能はデバイスレベルのフェールオーバーとは別のものですが、必要な場合には、フェールオーバーと同様に冗長インターフェイスを設定できます。最大 8 個の冗長インターフェイス ペアを設定できます。

冗長インターフェイスは、常にメンバ ペアの 1 つだけがアクティブになる単一のインターフェイス(内部、外部など)として機能します。この冗長インターフェイスは、一意のインターフェイス名、セキュリティ レベル、および IP アドレスを使用して通常どおりに設定します。各メンバ インターフェイスは同じタイプ(ギガビット イーサネットなど)である必要があり、名前、セキュリティ レベル、または IP アドレスを割り当てられないことに注意してください。実際には、メンバー インターフェイスに対して [Duplex] および [Speed] 以外のオプションを設定しないでください。

冗長インターフェイスは、追加した最初の物理インターフェイスの MAC アドレスを使用します。設定内のメンバ インターフェイスの順序を変更すると、MAC アドレスは、その時点でリストの先頭に表示されているインターフェイスの MAC アドレスと一致するように変更されます。または、冗長インターフェイスに明示的に MAC アドレスを割り当てることもできます。この場合、メンバ インターフェイスの MAC アドレスに関係なく、このアドレスが使用されます。どちらの場合にも、アクティブ インターフェイスがスタンバイにフェールオーバーしたときには、トラフィックが中断されないように同じ MAC アドレスが保持されます。

ルーテッド モードおよびトランスペアレント モードのインターフェイス

ASA/PIX 7.0 および FWSM 2.2.1 から、2 つのモード( ルーテッド または トランスペアレント )のどちらかで動作するように、セキュリティ デバイスを設定できるようになりました(PIX 6.3 はルーテッド モードでだけ動作します)。

ルーテッド モードの場合、セキュリティ アプライアンスは接続されているネットワークのゲートウェイまたはルータとして機能します。つまり、そのインターフェイスの IP アドレスを保持し、IP アドレス(レイヤ 3)情報に基づいて、これらのインターフェイスを通過するトラフィックを検査およびフィルタリングします。このモードでは、各デバイス インターフェイスが別の IP サブネットに接続され、そのサブネット上で専用の IP アドレスを持ちます。ルーテッド モードは、シングル モードで、またはコンテキストごとに、最大 256 個のインターフェイスをサポートし、最大で 1000 個のインターフェイスがすべてのコンテキスト間で分配されます。

トランスペアレント モードの場合、セキュリティ アプライアンスはレイヤ 2(データリンク)デバイス、つまりトランスペアレント ブリッジとして動作し、多くの場合、「Bump In The Wire」または「ステルス ファイアウォール」と呼ばれます。このモードでは、内部および外部の 2 つのインターフェイスだけを定義できます。これらのインターフェイスには IP アドレスは必要ありません。VLAN ID を使用して検査済みのトラフィックを転送します。ただし、デバイスに専用の管理インターフェイスが含まれている場合は、これ(物理インターフェイスまたはサブインターフェイスのどちらか)をデバイス管理トラフィック用の 3 番目のインターフェイスとして使用できます。


) Cisco Security Manager は、検出中に FWSM 2.x デバイスのインターフェイス情報を読み込みません。


関連項目

「ファイアウォール デバイスでのブリッジング ポリシーの設定」

「[Bridging]」

シングルおよびマルチ コンテキストのインターフェイス

セキュリティの「コンテキスト」によって、単一の物理デバイスが複数の独立したファイアウォールとして動作できます。マルチ コンテキスト モードの場合、個々のコンテキストは独自の設定を備えた単一の仮想ファイアウォールを定義します。各コンテキストは一意の仮想ファイアウォールとして機能して、そのコンテキストに割り当てられたインターフェイスを通過するトラフィックを検査およびフィルタリングします。コンテキストはそれぞれ、同じセキュリティ アプライアンスに定義されている他のコンテキストを「認識しません」。

シングル コンテキストのルーテッド モード デバイスの場合、マルチ コンテキスト デバイス上のインターフェイスはルータベースのネットワークに接続し、サブインターフェイスはスイッチベースのネットワークに接続します。さらに、各サブインターフェイスは、許可トラフィックを正しくルーティングするインターフェイスに関連付けられている必要があります。

ただし、コンテキストを定義して展開するまで、設定のルーテッド モード部分である IP アドレスは定義できず、管理インターフェイスも指定できません。しかし、必要なインターフェイスおよびサブインターフェイスを定義するまで、セキュリティ コンテキストは定義できません。

つまり、セキュリティ コンテキスト自体を定義および設定する前に、(ルーテッド モードまたはトランスペアレント モードのどちらの場合でも)複数のセキュリティ コンテキストを提供するデバイス上でインターフェイスおよびサブインターフェイスをイネーブルにして設定する必要があります。

詳細は「ファイアウォール デバイスでのセキュリティ コンテキストの設定」を参照してください。

ASA 5505 のポートおよびインターフェイスについて

ASA 5505 は組み込みスイッチを含んでいるという点で独特であり、また、設定に必要なポートおよびインターフェイスが 2 種類存在します。

物理スイッチ ポート:ASA 5505 には、ハードウェアのスイッチング機能を使用してレイヤ 2 でトラフィックを転送するファスト イーサネット スイッチ ポートが 8 個あります。これらのポートのうちの 2 つは、Power-over-Ethernet(PoE)ポートです。これらのポートは、PC、IP Phone、または DSL モデムなどのユーザ機器に直接接続できます。または、別のスイッチに接続できます。

論理 VLAN インターフェイス:ルーテッド モードでは、これらのインターフェイスは、設定済みのセキュリティ ポリシーを使用してファイアウォールと VPN サービスを適用することによって、レイヤ 3 の VLAN ネットワーク間でトラフィックを転送します。トランスペアレント モードでは、これらのインターフェイスは、設定済みのセキュリティ ポリシーを使用してファイアウォール サービスを適用することによって、レイヤ 2 の同じネットワーク上の VLAN 間でトラフィックを転送します。

スイッチ ポートを別々の VLAN に分離するには、各スイッチ ポートを VLAN インターフェイスに割り当てます。同じ VLAN 上のスイッチ ポートは、ハードウェア スイッチングを使用して相互に通信できます。ただし、1 つの VLAN 上のスイッチ ポートが別の VLAN 上のスイッチ ポートとの通信を試行した場合は、ASA 5505 によって、トラフィックおよび 2 つの VLAN 間のルートまたはブリッジにセキュリティ ポリシーが適用されます。


) サブインターフェイスは、ASA 5505 では使用できません。


詳細については、「[ASA 5505 Ports and Interfaces] ページ」を参照してください。

デバイス インターフェイスの管理

[Interfaces] ページには、選択したデバイスに設定されているインターフェイス、サブインターフェイス、および冗長インターフェイスが表示されます。各セキュリティ デバイスが設定され、各アクティブ インターフェイスがイネーブルになっている必要があります。非アクティブ インターフェイスをディセーブルにすることができます。ディセーブルにした場合、インターフェイスでデータの送受信は行われませんが、その設定情報は保持されます。

新しいファイアウォール デバイスをブートストラップすると、設定機能により、内部インターフェイスに関連付けられているアドレスと名前だけが設定されます。そのセキュリティ デバイスを通過するトラフィックのアクセス規則および変換規則を指定する前に、そのデバイス上の残りのインターフェイスを定義する必要があります。

次の手順を実行して、セキュリティ デバイスのインターフェイスを管理します。設定済みのインターフェイス、サブインターフェイス、および冗長インターフェイスを追加、編集、削除したり、同じセキュリティ レベルを持つインターフェイス間の通信をイネーブルにしたりできます。


ステップ 1 デバイス ビューが現在のアプリケーション ビューであることを確認します。必要に応じて、ツールバーの [Device View] ボタンをクリックします。


) デバイス ビューを使用したデバイス ポリシーの設定の詳細については、「デバイス ビューおよび Site-to-Site VPN Manager におけるポリシーの管理」を参照してください。


ステップ 2 設定するアプライアンスを選択します。

ステップ 3 デバイス ポリシー セレクタで [Interfaces] を選択します。

[Interfaces] ページが表示されます。このページにあるフィールドの説明については、「[Interfaces] ページ - PIX および ASA」を参照してください。

ステップ 4 必要に応じて、インターフェイスを追加、編集、および削除します。

新しいインターフェイスを定義するには、[Interfaces] ページの下部にある [Add Row] ボタンをクリックして、[Add/Edit Interface] ダイアログボックスを開きます(「[Add/Edit Interface] ダイアログボックスの使用方法」を参照)。

既存のインターフェイスを編集するには、[Interfaces] リストで目的のエントリを選択し、[Interfaces] ページの下部にある [Edit Row] ボタンをクリックして、[Add/Edit Interface] ダイアログボックスを開きます(「[Add/Edit Interface] ダイアログボックスの使用方法」を参照)。

既存のインターフェイスを削除するには、リストで目的のエントリを選択してから、[Delete Row] ボタンをクリックします。確認ダイアログボックスが表示される場合があります。[OK] をクリックしてインターフェイスを削除します。

ステップ 5 ウィンドウの下部にある [Save] をクリックして、インターフェイス定義を Cisco Security Manager サーバに保存します。


 

[Add/Edit Interface] ダイアログボックスの使用方法

ここでは、[Add/Edit Interface] ダイアログボックスを使用してセキュリティ デバイスのインターフェイスを設定する方法について説明します。このダイアログボックスに表示されるパラメータの一部は、デバイス タイプとバージョン、動作モード(ルーテッドとトランスペアレント)、およびデバイスでホストするのがシングル コンテキストかマルチ コンテキストかによって変化します。そのため、次の説明の一部は、設定中のデバイスを正確に反映していない可能性があります。ただし、基本的な設定手順は同じであり、また、特定のデバイスに関する追加情報へのリンクも記載されています。さらに、さまざまなバージョンの [Add/Edit Interface] ダイアログボックスで表示される全パラメータの説明については、参照ページ「[Add Interface]/[Edit Interface] ダイアログボックス」を参照できます。

スイッチ機能とセキュリティ アプライアンス機能を組み合わせた ASA 5505 は、物理スイッチ ポートと論理 VLAN インターフェイスの両方を設定する特殊な事例です。詳細については、「ASA 5505 のポートおよびインターフェイスについて」を参照してください。


) フェールオーバーに物理インターフェイスを使用する場合は、このダイアログボックスでそのインターフェイスを定義できますが、設定はできません。代わりに [Failover] ページを使用してください(「フェールオーバーの設定」を参照)。特に、インターフェイス名は指定しないでください。このパラメータを指定すると、インターフェイスをフェールオーバー リンクとして使用できなくなります。


インターフェイス、サブインターフェイス、または冗長インターフェイスを定義および設定するには、次の手順を実行します。


ステップ 1 「デバイス インターフェイスの管理」の説明に従って、[Add/Edit Interface] ダイアログボックスを開きます。

ステップ 2 [Enable Interface] を選択して、インターフェイスをイネーブルにします。インターフェイスをディセーブルにするが定義は保持する場合、このオプションの選択を解除します。

インターフェイスがイネーブルでない場合、トラフィックはインターフェイス、関連するサブインターフェイス、または冗長インターフェイスを通過できません。サブインターフェイスを定義する場合は、サブインターフェイスを定義する前に、関連付けるインターフェイスをイネーブルにします。冗長インターフェイスを定義する場合は、冗長インターフェイスを定義する前に、メンバ インターフェイスをイネーブルにします。

ステップ 3 このインターフェイスをデバイス管理用に予約するには、[Management Only] を選択します。このデバイスの管理用トラフィックだけが受け入れられます。他のインターフェイスおよびデバイスのパススルー トラフィックは拒否されます。

ステップ 4 2 つの物理インターフェイスを単一の論理的な「冗長」インターフェイスとして設定するには、[Redundant Interface] をオンにします(詳細については、「冗長インターフェイスについて」を参照してください)。

[Redundant Interface] をオンにすると、[Type] オプションがディセーブルになり、[Hardware Port]、[Duplex]、および [Speed] オプションが非表示になって、[Redundant ID]、[Primary Interface]、および [Secondary Interface] オプションが表示されます。

この冗長インターフェイスの ID を指定します。有効な ID は、1 ~ 8 の整数です。使用可能なインターフェイスのリストから、プライマリ インターフェイスを選択します。同様に、関連リストからセカンダリ インターフェイスを選択します。

ステップ 5 [Type] リストから、定義するインターフェイスのタイプを選択します。

[Interface] は物理インターフェイスを示し、[Subinterface] は、定義済みの物理インターフェイスに関連付けられる論理インターフェイス(または VLAN 接続)を示します。

サブインターフェイスを使用すると、物理インターフェイスを異なる VLAN ID がタグ付けされた複数の論理インターフェイスに分割できます。VLAN により、特定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスやセキュリティ アプライアンスを追加しなくても、ネットワークで使用できるインターフェイスの数を増やすことができます。この機能はマルチ コンテキスト モードで特に役立ち、これにより、各コンテキストに一意のインターフェイスを割り当てることができます。


) 物理インターフェイスはタグの付いていないパケットを通過させるため、サブインターフェイスを使用する場合、通常は物理インターフェイスでトラフィックを通過させないようにします。サブインターフェイスでトラフィックを通過させるために、物理インターフェイスはイネーブルにしておく必要がありますが、物理インターフェイスではトラフィックを通過させないように、物理インターフェイスには名前を付けないでください。ただし、物理インターフェイスにタグの付いていないパケットを通過させる場合には、通常のようにインターフェイスに名前を付けることができます。


ステップ 6 (任意)[Name] フィールドに、このインターフェイスの ID を最大 48 文字で指定します。

セキュリティ アプライアンスのインターフェイス命名規則に従って、いくつかの名前が特定のインターフェイス用に予約されています。そのため、これらの予約名を使用すると、デフォルトの予約済みセキュリティ レベルが適用されます。特に、 inside および outside はそれぞれ、内部の最もセキュリティの高い接続と、外部の最もセキュリティの低いネットワーク接続を示すのに使用されます。

また、一般的にサブインターフェイス名は、独自の ID に加えて、関連付けられているインターフェイスも特定します。たとえば、 DMZoobmgmt で、DMZ インターフェイスに接続されているアウトオブバンド管理ネットワークを示すことができます。

繰り返しになりますが、 インターフェイスをフェールオーバー用または冗長インターフェイスのメンバとして使用する場合は、そのインターフェイスに名前を付けないでください 。詳細については、「フェールオーバーの設定」および「冗長インターフェイスについて」を参照してください。

ステップ 7 このインターフェイスで使用する ハードウェア ポート を指定します。

インターフェイスを定義する場合は、ネットワーク タイプ、スロット、およびポート番号を含む物理ポート ID を、 type[slot/]port の形式で入力します。サブインターフェイスを定義する場合は、定義済みのポートのリストから簡単に目的のハードウェア ポートを選択できます(VLAN ID も指定する必要があります)。

物理インターフェイスのネットワーク タイプには、Ethernet または GigabitEthernet のいずれかを指定できます。ASA 5580 の場合は、TenGigabitEthernet も使用できます。このフィールドでは自動パターン マッチングが提供されることに注意してください。たとえば、e という文字を最初に入力すると、「Ethernet」がこのフィールドに挿入されます。同様に、g という文字を入力すると、「GigabitEthernet」が挿入されます。

PIX 500 シリーズ のセキュリティ アプライアンスの場合は、タイプとポート番号を入力します( ethernet0 など)。特定の PIX ファイアウォール モデルのインターフェイス番号付けの詳細については、『 Cisco PIX Firewall Hardware Installation Guide, Version 6.3 』を参照してください。

ASA 5500 シリーズ のアプライアンスの場合は、タイプとスロット/ポートのペアを入力します( gigabitethernet0/1 など)。シャーシに組み込まれているポートはスロット 0 に割り当てられ、4GE SSM のポートはスロット 1 に割り当てられます。

ASA 5500 シリーズのアプライアンスには、 管理 インターフェイス タイプも含まれています。管理インターフェイスは、デバイス管理トラフィック専用のファスト イーサネット インターフェイスであり、 management0/0 のように指定します。ただし、必要な場合には、この物理インターフェイスを通過トラフィックに使用できます([Management Only] オプションは選択しないでください)。そのため、トランスペアレント ファイアウォール モードでは、通過トラフィックに使用できる 2 つのインターフェイスに加えて、管理インターフェイスも使用できます。また、管理インターフェイスにサブインターフェイスを追加して、マルチ コンテキスト モードの各セキュリティ コンテキストにおける管理を提供することもできます。

ステップ 8 (サブインターフェイスだけ)このサブインターフェイスの ID を指定します。1 ~ 4294967295 の整数を [Subinterface ID] フィールドに入力します。

サブインターフェイスのポート ID の場合、この ID は選択したハードウェア ポートに付加されます。たとえば、 GigabitEthernet0.4 は、GigabitEthernet0 ポートで動作する、4 の ID を割り当てられたサブインターフェイスを示します。

ステップ 9 (ASA スロット/ポート インターフェイスだけ) メディア タイプ (RJ45(銅線)または SFP(ファイバ))を選択します。10 ギガビット イーサネット カードには SFP が必要です。

ステップ 10 (インターフェイスだけ)[Duplex] および [Speed] で適切なオプションを選択します。[Speed] および [Duplex] オプションは、主に銅線ベースのインターフェイス用です。

[Duplex]
[Speed]

[auto]:デュプレックス設定を自動的に検出します。銅線ベースのギガビット イーサネットに必要です。

[auto]:速度設定を自動的に検出します。

[full]:両方向の同時通信を可能にします。

[10]:速度を 10 Mbps に設定します。

[half]:一度に片方向の通信を可能にします。

[100]:速度を 100 Mbps に設定します。

[N/A]:デュプレックス設定はファイバベースのインターフェイスには適用されません。

[1000]:速度を 1000 Mbps に設定します。銅線ベースのギガビット イーサネットでだけ使用します。

[10000]:TenGigabitEthernet(10000BASE-SX)インターフェイスに対して自動的に設定されます。ASA 5580 でだけ使用可能です。

[nonegotiate]:速度を 1000 Mbps に設定し、リンク パラメータをネゴシエートしません。ファイバベースのインターフェイス専用です。

PIX 6.3 デバイスでは、[Speed] と [Duplex] の設定が組み合わされるため、オプションは、[auto]、[10baset]、[10full]、[100basetx]、[100full]、[aui]、および [bnc] になります。


) 両方のパラメータで [auto] 設定を使用することを強く推奨します。これにより、セキュリティ アプライアンスは自動的に正しい速度およびデュプレックス設定を選択できます。どちらかに固定の設定を指定してから、あとでその設定を変更すると、インターフェイスはシャットダウンされます。

また、デュプレックスの不一致を回避するために、このインターフェイスにリンクされているリモート インターフェイスは、必ず同じ設定値で設定してください。


ステップ 11 [MTU](最大伝送ユニット)フィールドに、最大パケット サイズをバイト数で指定します。

有効な値は 300 ~ 65535 です。PPPoE を除くすべての IP タイプのデフォルトは 1500 で、PPPoE のデフォルトは 1492 です。IP タイプの詳細については、「デバイス インターフェイス:IP タイプ(PIX/ASA)」および「デバイス インターフェイス:IP タイプ(PIX 6.3)」を参照してください。

ステップ 12 (サブインターフェイスだけ)このサブインターフェイスの VLAN ID を指定します。1 ~ 4094(FWSM の場合は 4096)の値を [VLAN ID] フィールドに入力します。指定した VLAN ID は、どの接続デバイスでも使用されていない必要があります。

ステップ 13 (PIX だけ)インターフェイスのセキュリティ レベルを指定します。0(最もセキュアではない)~ 100(最もセキュア)の数を [Security Level] フィールドに入力します。

外部 インターフェイスは、常に 0 です。

内部 インターフェイスは、常に 100 です。

DMZ インターフェイスの値の範囲は 1 ~ 99 です。

ステップ 14 (任意)このインターフェイスの 説明 を最大 240 文字で入力できます(1 行に入力します。つまり、復帰は入力できません)。

ステップ 15 [Add/Edit Interface] ダイアログボックスのその他のセクションは次のとおりです。

「デバイス インターフェイス:IP タイプ(PIX/ASA)」または「デバイス インターフェイス:IP タイプ(PIX 6.3)」

「デバイス インターフェイス:MAC アドレス」

「デバイス インターフェイス:メディア タイプ」

[Bridge Groups]:ブリッジ グループは、管理 IP アドレスを伴う VLAN インターフェイスのペアであり、トランスペアレント モードで稼動している FWSM(3.1 以降)上で同じネットワークを接続します。このような FWSM 用に開かれる [Add/Edit Interface] ダイアログボックスには、インターフェイスの割り当て先のグループが一覧表示される読み取り専用の [Bridge Group] フィールドが含まれています。ブリッジ グループの定義の詳細については、「[Add Bridge Group]/[Edit Bridge Group] ダイアログボックス」を参照してください。

[Roles]:このインターフェイスに割り当てられているすべてのインターフェイス ロールが、このフィールドに一覧表示されます。ロールの割り当ては、このインターフェイスに指定されている名前と、Cisco Security Manager に現在定義されているインターフェイス ロール オブジェクト間のパターン マッチングに基づきます。詳細は「インターフェイス ロール オブジェクトについて」を参照してください。

ステップ 16 [OK] をクリックして [Add/Edit Interface] ダイアログボックスを閉じ、インターフェイスをイネーブルにします。


 

デバイス インターフェイス:IP タイプ(PIX/ASA)

シングル コンテキストのルーテッド モードで稼動しているセキュリティ デバイスには、そのインターフェイスの IP アドレッシングが必要です。ファイアウォール インターフェイスには、割り当てられるまで IP アドレスがありません(マルチ コンテキスト モードでは、インターフェイスの IP アドレスはコンテキスト設定で設定されます)。トランスペアレント モードでは、デバイスはアクセス制御ブリッジ(「Bump In The Wire」)として機能することに注意してください。つまり、インターフェイスにそれぞれ異なる VLAN を割り当てますが、IP アドレッシングは必要ありません。

シングル コンテキスト、ルーテッド モードのセキュリティ デバイス用に表示される [Add/Edit Interface] ダイアログボックスには、セクション [IP Type] が含まれており、ここで、次の説明に従って、インターフェイスの IP アドレッシングのタイプを指定し、関連するパラメータを入力します。ダイアログボックスの他のセクションについては、「[Add/Edit Interface] ダイアログボックスの使用方法」を参照してください。


注意 冗長インターフェイスで使用するインターフェイスには、IP タイプの情報を指定しないでください。


) PIX 6.3 デバイス用の [Add/Edit Interface] ダイアログボックスの [IP Type] セクションについては、「デバイス インターフェイス:IP タイプ(PIX 6.3)」を参照してください。



ステップ 1 [Add/Edit Interface] ダイアログボックスで、[IP Type] リストからアドレス割り当て方法を選択し、関連パラメータを指定します。

[Static IP]:このインターフェイスが接続するネットワーク上のセキュリティ デバイスを示すスタティック IP アドレスおよびサブネット マスクを指定します。サブネット マスクを指定しない場合は、次に示すように「クラスフル」ネットワークが使用されます。

IP アドレスの最初のオクテットが 1 ~ 126 の場合(つまり、アドレスが 1.0.0.0 ~ 126.255.255.255 の場合)、クラス A ネットマスク(255.0.0.0)が使用されます。

IP アドレスの最初のオクテットが 128 ~ 191 の場合(つまり、アドレスが 128.0.0.0 ~ 191.255.255.255 の場合)、クラス B ネットマスク(255.255.0.0)が使用されます。

IP アドレスの最初のオクテットが 192 ~ 223 の場合(つまり、アドレスが 192.0.0.0 ~ 223.255.255.255 の場合)、クラス C ネットマスク(255.255.255.0)が使用されます。

[Use DHCP]:Dynamic Host Configuration Protocol(DHCP)をイネーブルにして、接続ネットワーク上の DHCP サーバから IP アドレスが自動的に割り当てられるようにします。次のオプションが使用可能になります。

[DHCP Learned Route Metric](必須):学習したルートに管理ディスタンスを割り当てます。有効な値は 1 ~ 255 です。このフィールドがブランクの場合、学習されたルートの管理ディスタンスはデフォルトで 1 になります。

[Obtain Default Route using DHCP]:デフォルトのスタティック ルートを設定する必要がないように、DHCP サーバからデフォルト ルートを取得するには、このチェックボックスをオンにします。

[Enable Tracking for DHCP Learned Route]:[Obtain Default Route using DHCP] をオンにした場合、このチェックボックスをオンにすると、特定の Service Level Agreement(SLA; サービス レベル契約)モニタによるルート トラッキングをイネーブルにできます。次のオプションが使用可能になります。

[Tracked SLA Monitor]:[Enable Tracking for DHCP Learned Route] を選択した場合は必須です。ルート トラッキングに使用する SLA モニタ オブジェクトの名前を指定します。[Select] ボタンを使用して、使用可能な SLA モニタのリストから選択できます(詳細については、「接続を維持するためのサービス レベル契約(SLA)のモニタリング」を参照してください)。

[PPPoE (PIX and ASA 7.2+)]:PPPoE をイネーブルにして、接続ネットワーク上の PPPoE サーバから IP アドレスが自動的に割り当てられるようにします。フェールオーバーではサポートされません。

[VPDN Group Name](必須):ネットワーク接続、ネゴシエーション、および認証に使用する認証方式とユーザ名/パスワードが含まれる Virtual Private Dialup Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)グループ。詳細については、「VPDN グループの管理」を参照してください。

[IP Address]:指定した場合、ネゴシエートされたアドレスではなく、このスタティック IP アドレスが、接続および認証に使用されます。

[Subnet Mask]:指定した IP アドレスとともに使用されるサブネットマスク。

[PPPoE Learned Route Metric](必須):学習したルートに管理ディスタンスを割り当てます。有効な値は 1 ~ 255 です。このフィールドがブランクの場合、学習されたルートの管理ディスタンスはデフォルトで 1 になります。

[Obtain Default Route using PPPoE]:PPPoE サーバからデフォルト ルートを取得するには、このボックスをオンにします。PPPoE クライアントでまだ接続が確立されていない場合には、デフォルト ルートを設定します。このオプションを使用する場合は、スタティックに定義されたルートを設定に含めることができません。

[Enable Tracking for PPPoE Learned Route]:[Obtain Default Route using PPPoE] を選択した場合、このオプションを選択し、PPPoE が学習したルートのルート トラッキングをイネーブルにできます。次のオプションが使用可能になります。

[Dual ISP Interface]:デュアル ISP サポート用のインターフェイスを定義する場合、設定中の接続を示す [Primary] または [Secondary] を選択します。

[Tracked SLA Monitor]:[Enable Tracking for DHCP Learned Route] を選択した場合は必須です。ルート トラッキングに使用する SLA モニタ オブジェクトの名前を指定します。[Select] ボタンを使用して、使用可能な SLA モニタのリストから選択できます(詳細については、「接続を維持するためのサービス レベル契約(SLA)のモニタリング」を参照してください)。


) DHCP および PPPoE は、ファイアウォール デバイスの外部インターフェイスでだけ設定できます。外部インターフェイスで PPPoE がすでに設定されている場合は、オプションとして使用できません。



 

デバイス インターフェイス:IP タイプ(PIX 6.3)

PIX バージョン 6.3 のセキュリティ デバイスには、そのインターフェイスの IP アドレッシングが必要です。ファイアウォール インターフェイスには、割り当てられるまで IP アドレスがありません。


) その他のセキュリティ アプライアンス用に表示される [IP Type] オプションについては、「デバイス インターフェイス:IP タイプ(PIX/ASA)」を参照してください。


PIX 6.3 セキュリティ デバイス用に表示される [Add/Edit Interface] ダイアログボックスには、セクション [IP Type] が含まれており、ここで、次の説明に従って、インターフェイスの IP アドレッシングのタイプを指定し、関連するパラメータを入力します。ダイアログボックスの他のセクションについては、「[Add/Edit Interface] ダイアログボックスの使用方法」を参照してください。


ステップ 1 [Add/Edit Interface] ダイアログボックスで、[IP Type] リストからアドレス割り当て方法を選択し、関連パラメータを指定します。

[Static IP]:このインターフェイスが接続するネットワーク上のセキュリティ デバイスを示すスタティック IP アドレスおよびサブネット マスクを指定します。サブネット マスクを指定しない場合は、次に示すように「クラスフル」ネットワークが使用されます。

IP アドレスの最初のオクテットが 1 ~ 126 の場合(つまり、アドレスが 1.0.0.0 ~ 126.255.255.255 の場合)、クラス A ネットマスク(255.0.0.0)が使用されます。

IP アドレスの最初のオクテットが 128 ~ 191 の場合(つまり、アドレスが 128.0.0.0 ~ 191.255.255.255 の場合)、クラス B ネットマスク(255.255.0.0)が使用されます。

IP アドレスの最初のオクテットが 192 ~ 223 の場合(つまり、アドレスが 192.0.0.0 ~ 223.255.255.255 の場合)、クラス C ネットマスク(255.255.255.0)が使用されます。

[Use DHCP]:Dynamic Host Configuration Protocol(DHCP)をイネーブルにして、接続ネットワーク上の DHCP サーバから IP アドレスが自動的に割り当てられるようにします。次のオプションが使用可能になります。

[Obtain Default Route using DHCP]:デフォルトのスタティック ルートを設定する必要がないように、DHCP サーバからデフォルト ルートを取得するには、このチェックボックスをオンにします。

[Retry Count]:PIX が DHCP 要求を再送信する回数。有効な値は 4 ~ 16 で、デフォルトは 4 です。

[PPPoE (PIX and ASA 7.2+)]:PPPoE をイネーブルにして、接続ネットワーク上の PPPoE サーバから IP アドレスが自動的に割り当てられるようにします。フェールオーバーではサポートされません。

[IP Address]:指定した場合、ネゴシエートされたアドレスではなく、このスタティック IP アドレスが、接続および認証に使用されます。

[Subnet Mask]:指定した IP アドレスとともに使用されるサブネットマスク。

[Obtain Default Route using PPPoE]:PPPoE サーバからデフォルト ルートを取得するには、このボックスをオンにします。PPPoE クライアントでまだ接続が確立されていない場合には、デフォルト ルートを設定します。このオプションを使用する場合は、スタティックに定義されたルートを設定に含めることができません。

[Retry Count]:PIX が PPPoE 要求を再送信する回数。有効な値は 4 ~ 16 で、デフォルトは 4 です。


) DHCP および PPPoE は、ファイアウォール デバイスの外部インターフェイスでだけ設定できます。外部インターフェイスで PPPoE がすでに設定されている場合は、オプションとして使用できません。



 

デバイス インターフェイス:MAC アドレス

デフォルトでは、物理インターフェイスはそのバーンドイン MAC アドレスを使用し、物理インターフェイスのすべてのサブインターフェイスもまた同じバーンドイン MAC アドレスを使用します。冗長インターフェイスは、追加した最初の物理インターフェイスの MAC アドレスを使用します。設定内のメンバ インターフェイスの順序を変更すると、その MAC アドレスは、その時点でリストの先頭に表示されているインターフェイスの MAC アドレスと一致するように変更されます。手動で冗長インターフェイスに MAC アドレスを割り当てた場合、物理インターフェイスの MAC アドレスに関係なく、このアドレスが使用されます。

サブインターフェイスに一意の MAC アドレスを割り当てることが必要になる場合もあります。たとえば、サービス プロバイダーが MAC アドレスに基づいてアクセスを制御している場合などです。

さらに、フェールオーバーを使用する場合は、スタンバイ MAC アドレスを指定できます。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイ アドレスを使用します。

(任意)プライベート MAC アドレスを現在のインターフェイスに手動で割り当てるには、次の手順を実行します。


ステップ 1 [Add/Edit Interface] ダイアログボックスで、[Active MAC Address] フィールドに目的の MAC アドレスを入力します。

MAC アドレスは、 H.H.H の形式で指定します。 H は 16 ビットの 16 進数です。たとえば、MAC アドレスが 00-0C-F1-42-4C-DE の場合、000C.F142.4CDE と入力します。

ステップ 2 キーボードの Tab キーを押すか、またはダイアログボックス内の他の場所([Description] フィールドなど)をクリックすると、ダイアログボックスの更新がトリガーされ、[Standby MAC Address] フィールドがアクティブになります。

ステップ 3 必要に応じて、デバイスレベルのフェールオーバーで使用する スタンバイ MAC アドレス を指定します。

アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイ アドレスを使用します。

ステップ 4 「[Add/Edit Interface] ダイアログボックスの使用方法」に従ってデバイス インターフェイスの設定を続けます。


 

デバイス インターフェイス:メディア タイプ

ASA 5500 シリーズのアプライアンスの場合、シャーシに組み込まれているポートはスロット 0 に割り当てられ、4GE SSM のポートはスロット 1 に割り当てられます。デフォルトでは、ASA で使用されるコネクタはすべて RJ-45 コネクタです。ただし、4GE SSM のポートには、ファイバ SFP コネクタを含めることができます。

これらのファイバベースの接続のインターフェイス設定の一環として、[Media Type] の設定をデフォルト(RJ45)からファイバコネクタ設定(SFP)に変更する必要があります。そのため、[Add/Edit Interface] ダイアログボックスで [Hardware Port] フィールドにハードウェア ポート ID とスロット/ポート番号を入力すると、[Media Type] オプションがイネーブルになります。


) ファイバ インターフェイスではデュプレックス設定はサポートされず、また固定速度もありません。そのため、[Duplex] オプションはディセーブルになり、[Speed] オプションは auto および nonegotiate に制限されます。[Speed] および [Duplex] オプションの詳細については、「[Add/Edit Interface] ダイアログボックスの使用方法」を参照してください。


ASA インターフェイスの [Media Type] をファイバに変更するには、次の手順を実行します。


ステップ 1 [Add/Edit Interface] ダイアログボックスで、物理ポート ID とスロット番号 1 を [Hardware Port] フィールドに入力します( gigabitethernet1/2 など)。

ステップ 2 キーボードの Tab キーを押すか、またはダイアログボックス内の他の場所([Description] フィールドなど)をクリックすると、ダイアログボックスの更新がトリガーされ、[Media Type] オプションがイネーブルになります。

この手順を実行するのはこれが初めての場合、ファイバ接続が使用されていることを確認するように警告するメッセージが表示されることがあります。[OK] をクリックして、メッセージ ボックスを閉じます。

ステップ 3 [SFP] ボタンをクリックして、このインターフェイスの接続タイプをファイバに変更します。

ステップ 4 「[Add/Edit Interface] ダイアログボックスの使用方法」に従ってデバイス インターフェイスの設定を続けます。


 

デバイス インターフェイスの高度な設定

高度な設定オプションは、シングル コンテキスト モードで稼動しているデバイス上のインターフェイスに使用可能です。これらが全般的なデバイス関連設定であることに注意してください。つまり、個別のインターフェイスには適用されません。次のオプションがあります。

同じセキュリティ レベルを持つインターフェイス間のトラフィックのイネーブル化

PPPoE ユーザの定義および編集(FWSM には適用されません)

VPDN グループの作成および編集(FWSM には適用されません)


) この項の情報は、PIX 6.3 デバイスにも、マルチコンテキスト モードのセキュリティ デバイスにも適用されません。


高度なインターフェイス設定を指定するには、次の手順を実行します。


ステップ 1 デバイス ビューが現在のアプリケーション ビューであることを確認します。必要に応じて、ツールバーの [Device View] ボタンをクリックします。


) デバイス ビューを使用したデバイス ポリシーの設定の詳細については、「デバイス ビューおよび Site-to-Site VPN Manager におけるポリシーの管理」を参照してください。


ステップ 2 設定するアプライアンスを選択します。

ステップ 3 デバイス ポリシー セレクタで [Interfaces] を選択します。

[Interfaces] ページが表示されます。このページにあるフィールドの説明については、「デバイス インターフェイスの管理」を参照してください。

ステップ 4 [Interfaces] ページの下部にある [Advanced] ボタンをクリックして、[Advanced Interface Settings] ダイアログボックスを開きます。

ステップ 5 (任意)「同じセキュリティ レベルを持つインターフェイス間のトラフィックのイネーブル化」の説明に従って、[Traffic between interfaces with the same security levels] の目的の設定を選択します。

ステップ 6 (任意、PIX/ASA だけ)PPPoE ユーザのリストを作成および管理するには、[PPPoE Users] ボタンをクリックして [PPPoE Users] ダイアログボックスを開きます。

「PPPoE ユーザ リストの管理」の説明に従って、このダイアログボックスで、PPPoE ユーザを追加、編集、および削除できます。

ステップ 7 (任意、PIX/ASA だけ)VPDN グループを管理するには、次の手順を実行します。

VPDN グループを追加するには、[Advanced Interface Settings] ダイアログボックスで [Add Row] ボタンをクリックします。[Add VPDN Group] ダイアログボックスが表示されます。

VPDN グループを編集するには、ダイアログボックス内のリストから目的のグループを選択して、[Edit Row] ボタンをクリックします。[Edit VPDN Group] ダイアログボックスが表示されます。

VPDN グループを削除するには、ダイアログボックス内のリストから目的のグループを選択して、[Delete Row] ボタンをクリックします。確認ダイアログボックスが表示される場合があります。[OK] をクリックしてグループを削除します。

[Add VPDN Group] ダイアログボックスと [Edit VPDN Group] ダイアログボックスは、実質的に同一です。「VPDN グループの管理」を参照してください。

ステップ 8 [OK] をクリックして、[Advanced Interface Settings] ダイアログボックスを閉じます。


 

同じセキュリティ レベルを持つインターフェイス間のトラフィックのイネーブル化

この項で説明するように、シングル コンテキストのセキュリティ デバイス用に表示される [Advanced Interface Settings] ダイアログボックスには、[Traffic between interfaces with the same security level] ドロップダウン リストが含まれています([Advanced Interface Settings] ダイアログボックスの詳細については、「デバイス インターフェイスの高度な設定」を参照してください)。

デフォルトでは、同じセキュリティ レベルのインターフェイスまたはサブインターフェイスは、相互に通信できません。同じセキュリティ レベルのインターフェイス間で通信できるようにすると、次の利点が得られます。

101 より多い数の通信インターフェイスを設定できます。

インターフェイスごとに異なるレベルを使用し、同じセキュリティ レベルにインターフェイスを割り当てないようにすると、1 レベルにつき 1 つのインターフェイスしか設定できません(0 ~ 100)。

アクセス リストを使用しないで、同じセキュリティ レベルのすべてのインターフェイス間でトラフィックを自由に通過させることができます。


) NAT 制御をイネーブルにしている場合、同じセキュリティ レベルのインターフェイス間で NAT を設定する必要はありません。



ステップ 1 [Advanced Interface Settings] ダイアログボックスで、このデバイスに 同じセキュリティ レベルを持つインターフェイス間のトラフィック を処理させる方法を示すオプションを選択します。

[Disabled]:同じセキュリティ レベルのインターフェイス間の通信を許可しません。

[Inter-interface]:同じセキュリティ レベルが設定されているインターフェイス間のトラフィック フローをイネーブルにします。このオプションをイネーブルにした場合、ファイアウォール デバイス内のインターフェイス間のトラフィック フローをイネーブルにするために変換規則を定義する必要はありません。

[Intra-interface]:同じセキュリティ レベルが設定されているサブインターフェイス間のトラフィック フローをイネーブルにします。このオプションをイネーブルにした場合、インターフェイスに割り当てられているサブインターフェイス間のトラフィック フローをイネーブルにするために変換規則を定義する必要はありません。

[Both]:同じセキュリティ レベルを持つインターフェイスおよびサブインターフェイスで、インターフェイス内およびインターフェイス間の両方の通信を許可します。

ステップ 2 「デバイス インターフェイスの高度な設定」に進むか、または [OK] をクリックして [Advanced Interface Settings] ダイアログボックスを閉じます。


 

PPPoE ユーザ リストの管理

Point-to-Point Protocol over Ethernet(PPPoE)では、デバイス上のイーサネット インターフェイスを介して、セキュリティ デバイスと外部 ISP 間で標準の PPP 通信を実行できます。通信リンクを確立するには、デバイスで認証クレデンシャルを提供して、ネットワーク パラメータを取得する必要があります。これは、Virtual Private Dialup Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)グループを使用することで実行され、VPDN グループは、基本的には既定の PPPoE ユーザ(つまり、ユーザ名およびパスワード)と認証プロトコルで構成されます。VPDN グループの詳細については、「VPDN グループの管理」を参照してください。

VPDN グループで使用できる PPPoE ユーザのクレデンシャルは、[PPPoE Users] ダイアログボックスに保持されます。このダイアログボックスは、[Advanced Interface Settings] ダイアログボックスで [PPPoE Users] ボタンをクリックすると開きます(「デバイス インターフェイスの高度な設定」を参照)。

[PPPoE Users] ダイアログボックスには、標準の [Add Row]、[Edit Row]、および [Delete Row] ボタンとともに、現在定義されている PPPoE ユーザのテーブルが表示されます。

新しい PPPoE ユーザをリストに追加するには、[Add Row] ボタンをクリックします。[Add PPPoE User] ダイアログボックスが表示されます。

PPPoE ユーザを編集するには、リストで目的のユーザを選択してから、[Edit Row] ボタンをクリックします。[Edit PPPoE User] ダイアログボックスが表示されます。

PPPoE ユーザを削除するには、リストで目的のユーザを選択してから、[Delete Row] ボタンをクリックします。確認ダイアログボックスが表示される場合があります。[OK] をクリックしてユーザを削除します。

タイトルを除いて、[Add PPPoE User] ダイアログボックスと [Edit PPPoE User] ダイアログボックスは同一です。次の手順では、両方を使用して PPPoE ユーザのクレデンシャルを管理する方法を示します。


ステップ 1 次の PPPoE ユーザ クレデンシャルのパラメータを入力または編集します。

[Username]:このユーザ アカウントに割り当てられる名前。通常、外部 ISP によって提供されます。

[Password]:このユーザ アカウントに割り当てられるパスワード。通常、外部 ISP によって提供されます。

[Confirm]:パスワードを再入力します。

[Store Username and Password in Local Flash]:選択すると、この PPPoE ユーザ情報は、間違って上書きされないように、デバイスのローカル フラッシュ メモリに格納されます。

ステップ 2 [OK] をクリックして、[Add PPPoE User]/[Edit PPPoE User] ダイアログボックスを閉じ、[PPPoE Users] ダイアログボックスに戻ります。


 

VPDN グループの管理

Virtual Private Dialup Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)グループ(基本的には、既定の PPPoE ユーザと認証プロトコル)は、PPPoE 通信リンクを確立してネットワーク パラメータを取得することを目的として、セキュリティ デバイスが外部 ISP にアクセスし、自分自身を認証するために使用します(PPPoE ユーザを確立する方法の詳細については、「PPPoE ユーザ リストの管理」を参照してください)。

使用可能な VPDN グループが [Advanced Interface Settings] ダイアログボックスに保持されます。このダイアログ ボックスは、「デバイス インターフェイスの高度な設定」の説明に従って、[Interfaces] ページの下部にある [Advanced] ボタンをクリックすると開きます。

ダイアログボックスには、現在定義されている VPDN グループのテーブルと、標準の [Add Row]、[Edit Row]、および [Delete Row] ボタンが含まれています。[Add Row] ボタンをクリックすると [Add VPDN Group] ダイアログボックスが開き、[Edit Row] ボタンをクリックすると、実質的に同一の [Edit VPDN Group] ダイアログボックスが開きます。両方の使い方について、次の手順で説明します。


ステップ 1 次の VPDN グループ パラメータを入力または編集します。

[Group Name]:このグループを Security Manager 内で識別する最大 63 文字の名前。

[PPPoE Username]:このグループが ISP との認証に使用する PPPoE クレデンシャルの識別名。

使用可能な PPPoE ユーザのリストから選択します。ユーザの作成および編集の詳細については、「PPPoE ユーザ リストの管理」を参照してください。

[PPP Authentication]:ISP によって想定されている認証方式を選択します。

[PAP]:パスワード認証プロトコル。クリア テキストのクレデンシャルを交換します。

[CHAP]:チャレンジ ハンドシェイク認証プロトコル。暗号化されたクレデンシャルを交換します。

[MSCHAP]:Microsoft 社の CHAP。バージョン 1 だけです。

ステップ 2 [OK] をクリックして [Add VPDN Group]/[Edit VPDN Group] ダイアログボックスを閉じ、[Advanced Interface Settings] ダイアログボックスに戻ります。


 

インターフェイスのトラブルシューティング

次の情報を使用して、インターフェイスの設定中に発生する問題をトラブルシューティングしてください。

エラー :このデバイスに定義されているインターフェイスの IP アドレスが重複しています。

状況 :インターフェイスをファイアウォール デバイスに手動で追加するなど、[Interfaces] ページに行った変更を保存しようとしています。

説明 :このデバイスに定義されている 2 つ以上のインターフェイスで、同じサブネットの IP アドレスを共有していることが示されています。デバイスの個々のインターフェイスは、それぞれ別のネットワークまたはサブネットに接続されている必要があります。

解決策 :それぞれのインターフェイスに固有のサブネットを識別するために必要な正しい IP アドレスおよびサブネット マスクの値が入力されていることを確認します。

ファイアウォール デバイスでのブリッジング ポリシーの設定

従来、ファイアウォールはルーテッド ホップであり、保護されたサブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。一方、トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」のように機能するレイヤ 2 デバイスであり、接続されたデバイスへのルータ ホップとしては認識されません。セキュリティ アプライアンスは、その内部および外部ポート上で同じネットワークを接続し、アクセス制御ブリッジとして機能します。各インターフェイスに異なる VLAN を割り当てます。IP アドレッシングは使用しません。

このように、既存のネットワークに簡単にトランスペアレント ファイアウォールを導入できます。IP の再アドレッシングは必要ありません。また、トラブルシューティングすべき複雑なルーティング パターンも NAT 設定もないため、メンテナンスが容易になります。

トランスペアレント モードのデバイスはブリッジとして機能しますが、IP トラフィックのようなレイヤ 3 トラフィックは、特別なアクセス規則で明示的に許可しないかぎり、セキュリティ アプライアンスを通過できません。アクセス リストなしでトランスペアレント ファイアウォールを通過できるトラフィックは ARP トラフィックだけであり、このトラフィックは ARP インスペクションを使用して制御できます。

セキュリティ アプライアンスがトランスペアレント モードで実行している場合、パケットの発信インターフェイスは、ルート ルックアップではなく MAC アドレス ルックアップを実行することによって決定されます。ルート ステートメントは引き続き設定可能ですが、セキュリティ アプライアンスから発信されたトラフィックにだけ適用されます。たとえば、syslog サーバがリモート ネットワークに配置されている場合は、セキュリティ アプライアンスがそのサブネットにアクセスできるように、スタティック ルートを使用する必要があります。

トランスペアレント ファイアウォールを設定するには、次のポリシーを使用します。マルチ コンテキスト モードの ASA/PIX/FWSM デバイスを設定する場合は、トランスペアレントのセキュリティ コンテキストごとに次のポリシーを設定します。

[Firewall] > [Access Rules]:アクセス規則は、拡張アクセス コントロール リストを使用して、レイヤ 3 以上のトラフィックを制御します。ルーテッド モードの場合、一部のトラフィック タイプは、たとえアクセス リストで許可していても、セキュリティ アプライアンスを通過できません。たとえば、トランスペアレント ファイアウォールを介してルーティング プロトコルの隣接関係を確立できます。これにより、アクセス規則に基づいて、OSPF、RIP、EIGRP、または BGP トラフィックの通過を許可できます。同様に、HSRP または VRRP のようなプロトコルもセキュリティ アプライアンスを通過できます。ただし、トランスペアレント モードのセキュリティ アプライアンスは CDP パケットを通過させません。

トランスペアレント ファイアウォールで直接サポートされていない機能については、上流および下流のルータでこれらの機能を提供できるように、トラフィックを通過させることがきます。たとえば、アクセス規則を使用することによって、(サポートされていない DHCP リレー機能の代わりに)DHCP トラフィックの通過を許可したり、IP/TV で作成されるようなマルチキャスト トラフィックの通過を許可したりできます。

詳細については、「アクセス規則について」および「アクセス規則の設定」を参照してください。

[Firewall] > [Transparent Rules]:トランスペアレント規則は、Ethertype アクセス コントロール リストを使用して、非 IP のレイヤ 2 トラフィックを制御します。たとえば、AppleTalk、IPX、BPDU、および MPLS がデバイスを通過できるように規則を設定できます。詳細については、「トランスペアレント ファイアウォール規則の設定」を参照してください。

[Platform] > [Bridging] > [ARP Table] および [ARP Inspection]:これらのポリシーを使用して、ブリッジを通過できる ARP トラフィックのタイプを制御します。必要に応じて、スタティックな ARP エントリを設定し、これらのスタティック規則で定義されていないトラフィックをドロップできます。MAC アドレス、IP アドレス、またはインターフェイス間に不一致がある場合に、セキュリティ アプライアンスがパケットをドロップするように、ARP インスペクションをイネーブルにします。これによって、ARP スプーフィングを防ぐことができます。詳細については、「[ARP Table] ページ」および「[ARP Inspection] ページ」を参照してください。


) ARP テーブルは、非トランスペアレントの ASA/PIX/FWSM デバイス用に使用できる唯一のブリッジング ポリシーです。


[Platform] > [Bridging] > [MAC Address Table] および [MAC Learning]:これらのポリシーを使用して、スタティックな MAC-IP アドレス マッピングを設定し、MAC 学習をイネーブルまたはディセーブルにします。MAC 学習はデフォルトではイネーブルになっており、これによってアプライアンスは、トラフィックがインターフェイスを通過するときに MAC-IP アドレス マッピングを追加できます。スタティック エントリ以外のすべてのトラフィックを阻止する場合は、MAC 学習をディセーブルにできます。詳細については、「[MAC Address Table] ページ」および「[MAC Learning] ページ」を参照してください。

[Platform] > [Bridging] > [Management IP]:このポリシーを使用して、Security Manager がデバイスとの通信に使用する管理 IP アドレスを設定します。このアドレスを変更する場合は、デバイスまたはセキュリティ コンテキストのデバイス プロパティも更新する必要あります。次の手順を実行します。

管理 IP アドレスを変更し、変更を保存して送信します。

変更をデバイスに展開します。

デバイス ビューで、デバイスまたはセキュリティ コンテキストを選択してから、[Tools] > [Device Properties] を選択します。[General] ページで、新しい管理 IP アドレスを [IP Address] フィールドに入力します。[Credentials] タブで、管理インターフェイスにログインできるアカウントのクレデンシャルで、ユーザ名およびパスワードのフィールドを更新します。これで、Security Manager は、以降の展開およびデバイス通信に、このアドレスおよびユーザ アカウントを使用するようになります。

詳細については、「[Management IP] ページ」を参照してください。

関連項目

「[Bridging]」

「FWSM 3.1 のブリッジング サポート」

「ルーテッド モードおよびトランスペアレント モードのインターフェイス」

「[Transparent Rules] ページ」

FWSM 3.1 のブリッジング サポート

FWSM 3.1 では複数の L2 インターフェイスのペアをサポートできますが、Security Manager では 2 つの L2 インターフェイス(1 つのインターフェイス ペア)と、関連付けられた 1 つの管理 IP アドレスしか指定できません。つまり、関連付けられた 2 つの指定済みインターフェイスを含む 1 つのブリッジ グループだけが、管理 IP アドレスでプロビジョニングされます。デバイス設定に最大で 1 つのブリッジ グループと 2 つの指定済みインターフェイスが含まれている場合、このデバイス設定は検出対象になります。他のすべてのシナリオは、結果としてエラー メッセージが表示され、コマンドは検出時に拒否されます。さらに、検出では Security Manager にブリッジ グループ情報は表示されませんが、展開中にはブリッジ グループ コマンドが生成されます。ブリッジ グループがデバイス設定に存在しない場合、トランスペアレント規則ポリシーでは、ブリッジ グループ 1 が展開および使用されます。

関連項目

「ファイアウォール デバイスでのブリッジング ポリシーの設定」

ファイアウォール デバイスでのデバイス管理ポリシーの設定

[Device Admin] セクションには、ファイアウォール デバイスのデバイス管理ポリシーを設定するページが含まれています。詳細については、次の項を参照してください。

「AAA の設定」

「バナーの設定」

「ブート イメージおよび設定の指定」

「クロック設定」

「アクセス クレデンシャルの設定」

AAA の設定

Authentication-Authorization-Accounting(AAA; 認証、認可、アカウンティング)によって、セキュリティ アプライアンスは、ユーザがだれか(認証)、ユーザは何を実行できるか(認可)、ユーザは何を実行したか(アカウンティング)を特定できます。認証は、単独で使用することも、認可およびアカウンティングとともに使用することもできます。認可については、常に最初にユーザが認証されている必要があります。アカウンティングもまた、単独で使用することも、認証および認可とともに使用することもできます。

認証、認可、アカウンティングでは、ユーザ アクセスに関して、アクセス リストだけを使用する場合よりも、さらに高度な保護および制御が実現されます。たとえば、すべての外部ユーザに DMZ ネットワーク上のサーバにある Telnet へのアクセスを許可する ACL を作成できますが、サーバへのユーザ アクセスを制限する場合に、これらのユーザの IP アドレスが常に認識できるわけではないときには、AAA をイネーブルにして、認証されたユーザか認可されたユーザ、またはその両方だけにセキュリティ アプライアンスを通過させることができます(Telnet サーバも認証を強制します。セキュリティ アプライアンスは非認可ユーザがサーバにアクセスしようとするのを防ぎます)。

認証 :認証は、ユーザ ID に基づいてアクセスを付与します。認証は、一般的にユーザ名とパスワードからなる有効なユーザ クレデンシャルを要求することによってユーザ ID を確立します。次の項目を認証するように、セキュリティ アプライアンスを設定できます。

Telnet、SSH、HTTPS/ASDM、またはシリアル コンソールを使用した、セキュリティ アプライアンスへの管理接続

enable コマンド

認可 :認可は、ユーザが認証されたあとのユーザの能力を制御します。認可は、認証された個々のユーザが使用できるサービスおよびコマンドを制御します。認可をイネーブルにしなかった場合、認証が単独で、すべての認証済みユーザに対して同じサービス アクセスを提供します。

認可で提供される制御を必要とする場合は、広範な認証規則を設定してから、詳細な認可を設定できます。たとえば、外部ネットワーク上の任意のサーバにアクセスしようとする内部ユーザを認証してから、認可を使用して、特定のユーザがアクセスできる外部サーバを制限できます。

セキュリティ アプライアンスはユーザごとに最初の 16 個の認可要求をキャッシュします。そのため、ユーザが現在の認証セッション中に同じサービスにアクセスする場合、セキュリティ アプライアンスは要求を認可サーバに再送信しません。

アカウンティング :アカウンティングはセキュリティ アプライアンスを通過するトラフィックを追跡して、ユーザ アクティビティを記録します。このようなトラフィックの認証をイネーブルにすると、ユーザごとにトラフィックをアカウントできます。トラフィックを認証しない場合は、IP アドレスごとにトラフィックをアカウントできます。アカウンティング情報には、セッションの開始および停止時間、ユーザ名、セッション中にセキュリティ アプライアンスを通過したバイト数、使用したサービス、および各セッションの持続時間が含まれます。

AAA の準備

AAA サービスは、ローカル データベースまたは 1 つ以上の AAA サーバの使用に依存します。また、ローカル データベースを AAA サーバによって提供される大多数のサービスのフォールバックとして使用することもできます。AAA を実装する前に、ローカル データベースを設定し、AAA サーバ グループおよびサーバを設定する必要があります。

ローカル データベースおよび AAA サーバの設定は、セキュリティ アプライアンスにサポートさせる AAA サービスによって異なります。AAA サーバを使用するかどうかに関係なく、管理アクセスをサポートするユーザ アカウントでローカル データベースを設定して予想外のロックアウトを防いだり、また必要であれば、AAA サーバが到達不能のときにフォールバック方式を提供したりする必要があります。詳細については、「ユーザ アカウントの設定」を参照してください。

次の表に、AAA サービスのサポートの概要を AAA サーバ タイプ別およびローカル データベース別に示します。ローカル データベースは、[Platform] > [Device Admin] > [User Accounts] ページでユーザ アカウントを設定することによって管理します(「ユーザ アカウントの設定」を参照)。[Platform] > [Device Admin] > [AAA] ページを使用して、AAA サーバ グループを確立し、個々の AAA サーバをサーバ グループに追加します。

 

表 35-2 AAA サポートの概要

AAA サービス
データベース タイプ
ローカル
RADIUS
TACACS+
SDI
NT
Kerberos
LDAP
HTTP Form

認証の対象

VPN ユーザ

はい

はい

はい

はい

はい

はい

はい

はい 1

ファイアウォール セッション

はい

はい

はい

いいえ

いいえ

いいえ

いいえ

いいえ

管理者

はい

はい

はい

いいえ

いいえ

いいえ

いいえ

いいえ

認可の対象

VPN ユーザ

はい

はい

いいえ

いいえ

いいえ

いいえ

はい

いいえ

ファイアウォール セッション

いいえ

はい 2

はい

いいえ

いいえ

いいえ

いいえ

いいえ

管理者

はい 3

いいえ

はい

いいえ

いいえ

いいえ

いいえ

いいえ

アカウンティングの対象

VPN 接続

いいえ

はい

はい

いいえ

いいえ

いいえ

いいえ

いいえ

ファイアウォール セッション

いいえ

はい

はい

いいえ

いいえ

いいえ

いいえ

いいえ

管理者

いいえ

はい

はい

いいえ

いいえ

いいえ

いいえ

いいえ

1 HTTP Form プロトコルは、WebVPN ユーザだけを対象にしたシングル サインオン認証をサポートします。

2 ファイアウォール セッションでは、RADIUS 認可はユーザ固有の ACL でだけサポートされ、ユーザ固有の ACL は RADIUS 認証応答で受信または指定されます。

3 ローカル コマンド認可は、権限レベルでだけサポートされます。

ローカル データベース

セキュリティ アプライアンスにより、ユーザ アカウントを入力できるローカル データベースが保持されます。ユーザ アカウントには、最低でもユーザ名が含まれます。一般的には、パスワードおよび権限レベルを各ユーザ名に割り当てますが、パスワードは任意です。ローカル ユーザ アカウントは、[Platform] > [Device Admin] > [User Accounts] ページで管理できます(「ユーザ アカウントの設定」を参照)。

ローカル データベースを使用してコマンド認可をイネーブルにすると、セキュリティ アプライアンスは割り当て済みのユーザ権限レベルを参照して、どのコマンドが使用可能かを判断します。デフォルトでは、すべてのコマンドに権限レベル 0 またはレベル 15 のどちらかが割り当てられます。


) CLI へのアクセスは許可するが、特権モードには入れないようにするユーザをローカル データベースに追加する場合は、コマンド認可をイネーブルにする必要があります。コマンド認可がない場合、ユーザの特権レベルが 2 以上(2 がデフォルト)あると、ユーザは自身のパスワードを使用して、CLI で特権モード(およびすべてのコマンド)にアクセスできます。また、ユーザがログイン コマンドを使用できないように、コンソール アクセスに対して RADIUS または TACACS+ 認証を使用することや、システムのイネーブル パスワードを使用して特権モードにアクセスできるユーザを制御できるように、すべてのローカル ユーザをレベル 1 に設定することもできます。


ローカル データベースはネットワーク アクセス認可には使用できません。

ローカル データベースのユーザ アカウントによって、コンソールとイネーブル パスワードの認証、コマンド認可、および VPN 認証と認可のフォールバック サポートが提供されます。この動作は、セキュリティ アプライアンスからの予想外のロックアウトを防ぐように設計されています。

フォールバック サポートを必要とするユーザについては、ローカル データベース内のユーザ名およびパスワードと、AAA サーバ上のユーザ名およびパスワードとを一致させることを推奨します。これにより、トランスペアレント フォールバック サポートが提供されます。ユーザは、サービスを提供しているのが AAA サーバなのかローカル データベースなのかを判断できないため、AAA サーバでローカル データベースのユーザ名およびパスワードとは異なるユーザ名およびパスワードを使用するということは、どちらのユーザ名およびパスワードを提供する必要があるのかがユーザにはわからないということになります。

マルチ コンテキスト モードの場合、 login コマンドを使用して CLI で個別のログインを入力できるように、システム実行スペースでユーザ名を設定できます。ただし、ローカル データベースを使用する aaa コマンドは、システム実行スペースでは設定できません。


) VPN 機能は、マルチ モードではサポートされません。


デバイス管理用の AAA

セキュリティ アプライアンスに対する次のすべての管理接続を認証できます。

Telnet

SSH

シリアル コンソール

ASDM

VPN 管理アクセス

また、イネーブル モードに入ろうとする管理者も認証できます。管理コマンドを認可できます。管理セッションおよびセッション中に発行されたコマンドのアカウンティング データをアカウンティング サーバに送信させることができます。

[Platform] > [Device Admin] > [AAA] ページを使用すると、AAA をデバイス管理用に設定できます(「AAA ポリシーの定義」を参照)。

ネットワーク アクセス用の AAA

[Firewall] > [AAA Rules] ページを使用すると、ファイアウォールを通過するトラフィックの認証、認可、およびアカウンティングの規則を設定できます(「ファイアウォール AAA 規則の管理」を参照)。作成する規則はアクセス規則と同様ですが、定義済みのトラフィックに対して認証、認可、またはアカウンティングを行うかどうか、および AAA サービス要求を処理するためにセキュリティ アプライアンスが使用する AAA サーバ グループを指定する点だけが異なります。

VPN アクセス用の AAA

VPN アクセス用の AAA サービスには次のものがあります。

ユーザを VPN グループに割り当てるためのユーザ アカウント設定。[Platform] > [Device Admin] > [User Accounts] ページで設定します(「ユーザ アカウントの設定」を参照)。

多数のユーザ アカウントまたはトンネル グループによって参照される可能性がある VPN グループ ポリシー。[Remote Access VPN] > [RA VPN Policies] > [User Group Policy] または [Site to Site VPN] > [User Group Policy] ページで設定します。

トンネル グループ ポリシー。[Remote Access VPN] > [RA VPN Policies] > [PIX7.0/ASA Tunnel Group Policy] または [Site to Site VPN] > [PIX7.0/ASA Tunnel Group Policy] ページで設定します。

AAA ポリシーの定義

デバイスまたは共有ポリシーに AAA 設定を定義するには、次の手順を使用します。

関連項目

「[AAA] ページ」

「ユーザ アカウントの設定」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Device Admin] > [AAA] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Device Admin] > [AAA] を選択します。[AAA] を右クリックし [New AAA Policy] を選択してポリシーを作成するか、またはポリシー セレクタから既存ポリシーを選択します。

[AAA] ページが表示されます。このページにあるフィールドの説明については、「[AAA] ページ」を参照してください。

ステップ 2 [Authentication] タブをクリックします。

ステップ 3 特権コマンドの AAA 認証を要求するには、次の手順を実行します。

a. [Require AAA Authentication] の下にある [Enable] チェックボックスをオンにして、特権コマンドの使用を許可します。

b. 認証に使用する AAA サーバ グループの名前を入力するか、または [Select] をクリックしてリストから選択します。

c. ローカル データベースを特権コマンド認証のフォールバック方式として使用するには、[Use LOCAL when server group fails] チェックボックスをオンにします。

ステップ 4 セキュリティ アプライアンスへの HTTP、シリアル コンソール、SSH、または Telnet アクセスの AAA 認証を要求するには、次の手順を実行します。

a. 認証するデバイス アクセス タイプ([HTTP]、[Serial]、[SSH]、または [Telnet])の横にあるチェックボックスをオンにします。

b. 認証に使用する AAA サーバ グループの名前を入力するか、または [Select] をクリックしてリストから選択します。

c. ローカル データベースをこのデバイス アクセスの認証のフォールバック方式として使用するには、[Use LOCAL when server group fails] チェックボックスをオンにします。

ステップ 5 [Login Prompt] フィールドに、認証発生時にユーザに表示するプロンプトを入力します。

ステップ 6 対応するボックスに、承認時または拒否時にユーザに表示するメッセージを入力します。

ステップ 7 [Authorization] タブをクリックします。

ステップ 8 コマンド アクセスの AAA 認可を要求するには、次の手順を実行します。

a. [Enable Authorization for Command Access] チェックボックスをオンにします。

b. 認可に使用する AAA サーバ グループの名前を入力するか、または [Select] をクリックしてリストから選択します。

c. ローカル データベースをコマンド認可のフォールバック方式として使用するには、[Use LOCAL when server group fails] チェックボックスをオンにします。

ステップ 9 [Accounting] タブをクリックします。

ステップ 10 特権コマンドの AAA アカウンティングを要求するには、次の手順を実行します。

a. 特権コマンドの [Require AAA Accounting] の下にある [Enable] チェックボックスをオンにします。

b. アカウンティングに使用する AAA サーバ グループの名前を入力するか、または [Select] をクリックしてリストから選択します。

ステップ 11 セキュリティ アプライアンスへの HTTP、シリアル コンソール、SSH、または Telnet アクセスの AAA アカウンティングを要求するには、次の手順を実行します。

a. アカウンティングをイネーブルにするデバイス アクセス タイプ([HTTP]、[Serial]、[SSH]、または [Telnet])の横にあるチェックボックスをオンにします。

b. アカウンティングに使用する AAA サーバ グループの名前を入力するか、または [Select] をクリックしてリストから選択します。

ステップ 12 コマンド アクセスの AAA アカウンティングを要求するには、次の手順を実行します。

a. コマンド アクセスの [Require Accounting] の下にある [Enable] チェックボックスをオンにします。

b. アカウンティングに使用する AAA サーバ グループの名前を入力するか、または [Select] をクリックしてリストから選択します。

c. 生成されるアカウンティング レコードのコマンドに関連付ける必要がある最小限の権限レベルを選択します。


 

バナーの設定

[Banner] ページを使用して、ファイアウォール デバイスまたは共有ポリシーのセッション(exec)、ログイン、および Message-of-the-Day(motd)バナーを指定できます。

トークン $(hostname) または $(domain) を使用すると、これらはセキュリティ アプライアンスのホスト名およびドメイン名で置き換えられます。コンテキスト設定で $(system) トークンを入力した場合、コンテキストはシステム設定で設定されているバナーを使用します。

テキスト内のスペースは保持されますが、タブは入力できません。複数行のバナーを設定するには、追加する行ごとに 1 行のテキストを入力します。これで、それぞれの行が既存バナーの最後に付加されます。テキストが空の場合は、Carriage Return(CR; 復帰)がバナーに追加されます。

バナーの長さについて、RAM およびフラッシュ メモリの制限以外の制限はありません。使用できるのは、改行(Enter キー、2 文字としてカウントされる)を含む ASCII 文字だけです。Telnet または SSH を介してセキュリティ アプライアンスにアクセスしたときに、バナー メッセージを処理するのに十分なシステム メモリがなかった場合や、バナー メッセージの表示を試行して TCP 書き込みエラーが発生した場合には、セッションが閉じます。

関連項目

「[Banner] ページ」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Device Admin] > [Banner] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Device Admin] > [Banner] を選択します。[Banner] を右クリックし [New Banner Policy] を選択してポリシーを作成するか、またはポリシー セレクタから既存ポリシーを選択します。

[Banner] ページが表示されます。このページにあるフィールドの説明については、表 48-26を参照してください。

ステップ 2 [Session (exec) Banner] ボックスに、イネーブル プロンプトを表示する前にバナーとして表示させるテキストを入力します。

ステップ 3 [Login Banner] ボックスに、Telnet を使用したセキュリティ アプライアンスへのアクセス時に、パスワード ログイン プロンプトの前にバナーとして表示させるテキストを入力します。

ステップ 4 [Message-of-the-Day (motd) Banner] ボックスに、Message-of-the-Day バナーとして表示させるテキストを入力します。

ステップ 5 バナーを置換するには、該当するボックスの内容を変更します。

ステップ 6 バナーを削除するには、該当するボックスの内容をクリアします。


 

ブート イメージおよび設定の指定

ブート イメージ/設定では、PIX 7.x 以降が稼動しているセキュリティ アプライアンスの起動元のイメージ ファイル、および起動時に使用する設定ファイルを選択できます。

起動イメージとして使用するローカル バイナリ イメージ ファイルを最大 4 つ指定できます。また、TFTP サーバに格納されているイメージを 1 つ指定して、そこからデバイスを起動できます。TFTP サーバに格納されているイメージを指定する場合は、そのファイルをリスト内の先頭に配置する必要があります。デバイスが、イメージのロード元の TFTP サーバに到達できない場合は、フラッシュ メモリに格納されている、リスト内の次のイメージ ファイルのロードが試行されます。

ブート変数を指定しなかった場合、内部フラッシュ メモリ上の最初の有効なイメージがシステムの起動に選択されます。

関連項目

「[Boot Image/Configuration] ページ」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Device Admin] > [Boot Image/Configuration] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Device Admin] > [Boot Image/Configuration] を選択します。ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

[Boot Image/Configuration] ページが表示されます。このページにあるフィールドの説明については、表 48-27を参照してください。

ステップ 2 システムがロードされるときに使用する設定ファイルの URL を入力します。構文については、表 48-27を参照してください。

ステップ 3 セキュリティ アプライアンス上の ASA イメージ ファイルへのパスを入力します( flash:/asa など)。構文については、表 48-27を参照してください。

ステップ 4 追加、編集、または削除するシステム イメージ ファイルごとに、次のいずれかを実行します。

システム イメージ ファイルを [Boot Images] テーブルに追加するには、[Add Row] をクリックして [Images] ダイアログボックスを開きます。

システム イメージ ファイルを編集するには、エントリを選択し、[Edit Row] をクリックして [Images] ダイアログボックスを開きます。

[Boot Images] テーブルからシステム イメージ ファイルを削除するには、エントリを選択して [Delete Row] をクリックします。

ステップ 5 システムがロードされるときに使用するシステム イメージ ファイルの URL を入力して、[OK] をクリックします。構文については、「[Images] ダイアログボックス」を参照してください。

ステップ 6 システム イメージ ファイルをテーブル内で上下に移動させるには、そのイメージ ファイルの行を選択してから、必要に応じて [Up Arrow] または [Down Arrow] ボタンをクリックします。


 

クロック設定

[Clock] ページでは、セキュリティ アプライアンスの日付および時刻を手動で設定できます。


) マルチ コンテキスト モードの場合、時刻はシステム設定でしか設定できません。


NTP サーバを使用してダイナミックに時刻を設定するには、「[NTP] ページ」を参照してください。NTP サーバから取得された時刻は、[Clock] ページで手動で設定された時刻を上書きします。

関連項目

「[Clock] ページ」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Device Admin] > [Clock] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Device Admin] > [Clock] を選択します。[Clock] を右クリックし [New Clock Policy] を選択してポリシーを作成するか、またはポリシー セレクタから既存ポリシーを選択します。

[Clock] ページが表示されます。このページにあるフィールドの説明については、表 48-29を参照してください。

ステップ 2 このデバイスのタイム ゾーンを [Device Time Zone] リスト ボックスから選択します。

ステップ 3 このデバイスに夏時間を適用しない場合は、[None] を選択します。

ステップ 4 適用する場合、開始日付および終了日付を使用して夏時間を指定するには、次の手順を実行します。

a. [Set by Date] を選択します。

b. [Start] の下にある [Calendar] ボタンをクリックして、夏時間が開始する日付を選択します。

c. ドロップダウン リスト ボックスを使用して、夏時間が開始する時間および分を選択します。

d. [End] の下にある [Calendar] ボタンをクリックして、夏時間が終了する日付を選択します。

e. ドロップダウン リスト ボックスを使用して、夏時間が終了する時間および分を選択します。

ステップ 5 1 年のうちの特定の日にち(8 月の第 1 日曜日など)を使用して夏時間を指定するには、次の手順を実行します。

a. 毎年同じ日に夏時間が発生するように指定するには、[Specify Recurring Time] チェックボックスをオンにします。

b. 夏時間が開始する月を、[Start] の下にある [Month] ドロップダウン リスト ボックスから選択します。

c. 夏時間が開始する週に対応する番号を、[Start] の下にある [Week] ドロップダウン リスト ボックスから選択します。

d. 夏時間が開始する週の曜日を、[Start] の下にある [Weekday] ドロップダウン リスト ボックスから選択します。

e. 夏時間が開始する時間を、[Start] の下にある [Hour] ドロップダウン リスト ボックスから選択します。

f. 夏時間が開始する分を、[Start] の下にある [Minute] ドロップダウン リスト ボックスから選択します。

g. 夏時間が終了する月を、[End] の下にある [Month] ドロップダウン リスト ボックスから選択します。

h. 夏時間が終了する週に対応する番号を、[End] の下にある [Week] ドロップダウン リスト ボックスから選択します。

i. 夏時間が終了する週の曜日を、[End] の下にある [Weekday] ドロップダウン リスト ボックスから選択します。

j. 夏時間が終了する時間を、[End] の下にある [Hour] ドロップダウン リスト ボックスから選択します。

k. 夏時間が終了する分を、[End] の下にある [Minute] ドロップダウン リスト ボックスから選択します。


 

アクセス クレデンシャルの設定

[Contact Credentials] ページを使用すると、Cisco Security Manager がデバイスへのアクセス時に使用する将来的なアクセス設定を指定できます。[Contact Credentials] ページを使用して、デバイス上のログイン パスワードとイネーブル パスワードを変更することもできます。

ログイン パスワードを使用すると、Telnet または SSH セッションを使用してセキュリティ アプライアンスに接続する場合に、EXEC モードにアクセスできます(Telnet または SSH アクセスのユーザ認証を設定する場合は、ユーザごとに専用のパスワードを指定します。このログイン パスワードは使用しません)。

イネーブル パスワードを使用すると、ログイン後に特権 EXEC モードにアクセスできます(イネーブル アクセスのユーザ認証を設定する場合は、ユーザごとに専用のパスワードを指定します。このイネーブル パスワードは使用しません)。

関連項目

「[Credentials] ページ」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Contact Credentials] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Device Admin] > [Contact Credentials] を選択します。[Contact Credentials] を右クリックし [New Contact Credentials Policy] を選択してポリシーを作成するか、またはポリシー セレクタから既存ポリシーを選択します。

[Contact Credentials] ページが表示されます。このページにあるフィールドの説明については、表 48-30を参照してください。

ステップ 2 アクセス ユーザ名およびパスワードを変更するには、次の手順を実行します。

a. [Change the contact username and password] チェックボックスをオンにします。

[Username] および [Password] フィールドがイネーブルになります。

b. デバイスにログインするためのユーザ名を入力します。

c. デバイスにログインするためのパスワードを入力します。

d. デバイスにログインするためのパスワードを再入力します。

e. デバイスにログインするユーザの権限レベルを選択します。

ステップ 3 イネーブル パスワードを変更するには、次の手順を実行します。

a. [Change the enable password] チェックボックスをオンにします。

[Enable Password] フィールドがイネーブルになります。

b. イネーブル パスワードを入力します。

c. イネーブル パスワードを再入力します。

ステップ 4 Telnet/SSH パスワードを変更するには、次の手順を実行します。

a. [Change the TELNET/SSH password] チェックボックスをオンにします。

[Telnet Password] フィールドがイネーブルになります。

b. イネーブル パスワードを入力します。

c. イネーブル パスワードを再入力します。