Cisco Security Manager 4.0 ユーザ ガイド
ファイアウォール デバイスでのセキュリティ コンテキストの設定
ファイアウォール デバイスでのセキュリティ コンテキストの設定
発行日;2012/02/02 | 英語版ドキュメント(2010/07/28 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

ファイアウォール デバイスでのセキュリティ コンテキストの設定

マルチ コンテキスト モードのイネーブル化とディセーブル化

マルチ セキュリティ コンテキストを設定するためのチェックリスト

セキュリティ コンテキストの管理

[Add Security Context]/[Edit Security Context] ダイアログボックス(FWSM)

[Add Security Context]/[Edit Security Context] ダイアログボックス(PIX/ASA)

[Allocate Interfaces] ダイアログボックス(PIX/ASA だけ)

ファイアウォール デバイスでのセキュリティ コンテキストの設定

1 つのセキュリティ アプライアンスに対して複数のセキュリティ「コンテキスト」を定義できます。各コンテキストは、独自のセキュリティ ポリシー、インターフェイス、および管理者を持つ独立した仮想デバイスとして機能します。マルチ コンテキストとは、複数のスタンドアロン デバイスが存在するようなものです。マルチ コンテキスト モードでは、ルーティング テーブル、ファイアウォール機能、IPS、管理など、多数の機能がサポートされています。VPN、マルチキャスト、ダイナミック ルーティング プロトコルなど、サポートされていない機能もあります。セキュリティ コンテキストでは、スタティック ルートしかサポートしていないため、マルチ コンテキスト モードで OSPF または RIP をイネーブルにすることはできません。また、ASA および PIX で設定された IPS 機能など、Cisco Security Manager によって直接管理されない機能もあります。

マルチ コンテキスト モードでは、セキュリティ アプライアンスに各コンテキストの設定が含まれます。この設定で、セキュリティ ポリシーやインターフェイス、およびスタンドアロン デバイスで設定できるほとんどのオプションが指定されます。システム管理者は、システム設定でコンテキストを設定することにより、コンテキストを追加および管理します。これは、シングルモード設定と同様に起動設定です。システム設定には、セキュリティ アプライアンスの基本的な設定が指定されていますが、それ自身のネットワーク インターフェイスまたはネットワーク設定は含まれていません。システムがネットワーク リソースにアクセスする必要がある場合は(サーバからコンテキストをダウンロードする場合など)、管理コンテキストとして指定されたコンテキストが使用されます。システム設定は、基本的なコンテキスト設定の追加、削除、および編集に使用します(ネットワーク インターフェイスをさまざまなコンテキストに割り当てる場合など)。

管理コンテキストは他のコンテキストと似ていますが、ユーザが管理コンテキストにログオンすると、そのユーザはシステム管理者権限を持ち、システム設定およびその他すべてのコンテキストにアクセスできるという点が異なります。

この章は、次の内容で構成されています。

「マルチ コンテキスト モードのイネーブル化とディセーブル化」

「マルチ セキュリティ コンテキストを設定するためのチェックリスト」

「セキュリティ コンテキストの管理」

マルチ コンテキスト モードのイネーブル化とディセーブル化

Cisco Security Manager では、既存のデバイスでマルチ コンテキスト モードに切り替えることはサポートされていません。このタスクを実行するには、Security Manager からデバイスを削除し、デバイス マネージャまたは CLI 入力を使用してマルチ コンテキスト モードをイネーブルにしたあと、再びデバイスを Cisco Security Manager に追加する必要があります。マルチ コンテキスト モードでデバイスを追加したあとは、セキュリティ コンテキストを追加、編集、および削除できます。


) マルチ コンテキスト デバイスを手動で定義する場合は、[New Device - Device Information] ダイアログボックスの [Operating System] セクションで [Contexts] リストから [Multi] を選択します。


同様に、Cisco Security Manager では、既存のデバイスをシングルコンテキスト モードに復元することはサポートされていません。このタスクを実行するには、Cisco Security Manager からデバイスおよびその子コンテキストすべてを削除し、デバイス マネージャまたは CLI 入力を使用してマルチ コンテキスト モードをイネーブルにしたあと、再びデバイスを Cisco Security Manager に追加する必要があります。


) シングルコンテキスト デバイスを手動で定義する場合は、[New Device - Device Information] ダイアログボックスの [Operating System] セクションで [Contexts] リストから [Single] を選択します。


関連項目

「マルチ セキュリティ コンテキストを設定するためのチェックリスト」

「セキュリティ コンテキストの管理」

「[Add Security Context]/[Edit Security Context] ダイアログボックス(PIX/ASA)」

「[Add Security Context]/[Edit Security Context] ダイアログボックス(FWSM)」

マルチ セキュリティ コンテキストを設定するためのチェックリスト

セキュリティ コンテキストを使用すると、1 つの物理デバイスを複数の独立したファイアウォールとして使用できます。各セキュリティ コンテキストは、独自の設定を持つ 1 つの仮想ファイアウォールを定義します。物理デバイスの場合と同様に、各セキュリティ コンテキストは適切に設定する必要があります。そうしない場合、全体的なセキュリティが低下するおそれがあります。このため、同じ物理アプライアンス上で複数のファイアウォールを定義して設定する際は、特に注意が必要です。

次のチェックリストに、複数のセキュリティ コンテキストを使用してファイアウォール デバイスを設定する際に必要な基本手順について概説します。これらの各手順の中にさらに複数の手順が含まれることがあります。すべての手順を、示されている順序どおりに実行してください。たとえば、さまざまなコンテキストを設定する前に、インターフェイスを定義する必要があります。

手順
タスク

手順 1

物理アプライアンスで、インターフェイスとサブインターフェイス、または VLAN を定義します。

このタスクでは、FWSM でインターフェイスとサブインターフェイス、または VLAN を定義します。これらは、あとで作成するときに、さまざまなセキュリティ コンテキストに割り当てられます。物理インターフェイスのパラメータを指定します。たとえば、接続タイプ(イーサネット、ギガビット イーサネットなど)、ハードウェア ポート ID、速度、デュプレックス モード、VLAN ID(サブインターフェイスを定義する場合)を指定します。

結果 :すべてのインターフェイスおよびサブインターフェイスが定義されます。

詳細については、「ファイアウォール デバイスのインターフェイスの設定」を参照してください。

手順 2

基本セキュリティ アプライアンスを管理するための管理コンテキストを定義します。

セキュリティ アプライアンスの管理専用にコンテキストおよび IP アドレスを定義するために、このタスクは個別に呼び出されます。このプロセスは、セキュリティ コンテキストを定義するプロセスと同じです。ただし、プロセスの間は、これを管理コンテキストとして指定するために、必ず [Admin Context] をオンにしてください。

管理コンテキストは、アプライアンスの管理で使用される以外にも、追加の処理のために syslog および SNMP メッセージをモニタリング デバイス(Cisco Security Monitoring、Analysis and Response System(CS-MARS)など)に公開する場合にも使用されます。

特定の管理 IP アドレスを管理コンテキストに関連付けるまでは、デバイスを定義するときに指定した IP アドレスが、セキュリティ アプライアンスの管理に使用されます。管理 IP アドレスを管理コンテキストに関連付けて指定すると、この IP アドレスが [Device Properties] ページの IP アドレスよりも優先されます。

結果 :管理コンテキストが定義され、物理インターフェイスに関連付けられます。

詳細については、次の資料を参照してください。

「[Add Security Context]/[Edit Security Context] ダイアログボックス(PIX/ASA)」

「[Add Security Context]/[Edit Security Context] ダイアログボックス(FWSM)」

手順 3

基本アプライアンスで各セキュリティ コンテキスト(仮想ファイアウォール)を定義します。

このタスクでは、個々のセキュリティ コンテキストを定義します。それぞれに名前を付け、その設定ファイルのロケーションを割り当て、インターフェイスを割り当てます。各セキュリティ コンテキストは、仮想ファイアウォールを表します。また、その定義には、制御下にあるインターフェイスおよび関連付けられた VLAN ID の範囲が含まれます。

(注) 管理コンテキストはファイアウォール デバイスとして使用できますが、通常このように使用されるのは、シングルコンテキスト モードの場合だけです。このため、このチェックリストでは、セキュリティ コンテキストを個別のエンティティとして扱っています。

セキュリティ コンテキストを定義するときに、新しいインターフェイスを追加したり、ハードウェアのポート値を変更することはできません。すでに定義されているインターフェイスを、コンテキストに割り当てるために選択するだけです。

結果 :各セキュリティ コンテキストが定義され、物理インターフェイスに関連付けられます。また、セキュリティ コンテキストがトラフィックを調査する VLAN も指定されます。

詳細については、次の資料を参照してください。

「[Add Security Context]/[Edit Security Context] ダイアログボックス(PIX/ASA)」

「[Add Security Context]/[Edit Security Context] ダイアログボックス(FWSM)」

手順 4

送信/展開を実行して、仮想ファイアウォールを基本アプライアンスの子として生成します。

各コンテキストの個々の設定の定義を開始するには、セキュリティ アプライアンスで必要なコンテキストを作成しておく必要があります。アプライアンスでコンテキストを作成するには、コンテキストを定義してから、Workflow モードでは変更を送信し、Workflow 以外のモードでは変更をセキュリティ アプライアンスに展開します。

セキュリティ コンテキストを作成すると、デバイス ビューで元のセキュリティ アプライアンスの下に「仮想ファイアウォール デバイス」が表示されます。各仮想デバイスは、点線で縁取られた関連するデバイス アイコンで表されます。その名前は、基本セキュリティ アプライアンス名、アンダースコア(_)、コンテキスト名で構成されます。たとえば、仮想デバイス asaMultiRouted_admin は、「asaMultiRouted」という名前のセキュリティ アプライアンス上の(「admin」という名前の)管理コンテキストを表します。同様に、 asaMultiRouted_security1 は、同じ基本アプライアンス上のセキュリティ コンテキスト「security1」を表します。

結果 :変更が(Workflow モードかどうかに応じて)送信または展開されます。これにより、管理コンテキストおよびセキュリティ コンテキストが基本セキュリティ アプライアンスの子として作成されます。

詳細については、次の資料を参照してください。

「ワークフローおよびアクティビティの概要」

「承認のためのアクティビティの送信(アクティビティ アプルーバを使用する Workflow モード)」

「展開および Configuration Archive の使用」

手順 5

セキュリティ コンテキストごとに追加の設定を定義します。

仮想ファイアウォール デバイスを選択し、使用可能なポリシー(アクセス規則や変換オプションなど)を編集することにより、各セキュリティ コンテキストの定義を完了できます。

結果 :各セキュリティ コンテキストが完全に定義され、仮想ファイアウォールとして使用できるようになります。

セキュリティ コンテキストの管理

[Security Contexts] ページに、選択したデバイスに設定されているセキュリティ コンテキストが一覧表示されます。このページから、マルチ コンテキスト モードで実行されている ASA、PIX 7.x 以降、または FWSM デバイスのセキュリティ コンテキストを追加、編集、および削除できます。


ヒント FWSM デバイスからセキュリティ コンテキストを削除すると、デバイスの実行コンフィギュレーションからセキュリティ コンテキストが削除されますが、関連付けられた設定ファイルは削除されません。このため、すでに削除されたセキュリティ コンテキストと同じ名前で別のセキュリティ コンテキストをあとから追加すると、問題が発生することがあります。これは、FWSM の既知の問題であり、Security Manager の動作とは関連していません。この問題を回避するには、CLI を使用してデバイスから設定ファイルを削除します。


Cisco Security Manager を使用してコンテキストを設定するためには、セキュリティ アプライアンスがマルチ コンテキスト モードになっている必要があります。詳細については、「マルチ コンテキスト モードのイネーブル化とディセーブル化」を参照してください。

セキュリティ コンテキストを管理するには、次の手順を実行します。


ステップ 1 デバイス ビューが現在のアプリケーション ビューであることを確認します。必要に応じて、ツールバーの [Device View] ボタンをクリックします。

デバイス ビューを使用したデバイス ポリシーの設定の詳細については、「デバイス ビューおよび Site-to-Site VPN Manager におけるポリシーの管理」を参照してください。

ステップ 2 設定するアプライアンスを選択します。

ステップ 3 デバイス ポリシー セレクタで [Security Contexts] を選択して、[Security Contexts] ページを表示します。


) マルチモード デバイスの子コンテキストは、シングル モードのファイアウォール デバイスとは別のアイコンを使用して表されます。


ステップ 4 必要に応じて、コンテキストを追加、編集、および削除します。

新しいコンテキストを定義するには、ページの一番下にある [Add Row] ボタンをクリックして、[Add Security Context] ボックスを開きます。

既存のコンテキストを編集するには、[Security Contexts] リストで目的のエントリを選択し、ページの一番下にある [Edit Row] ボタンをクリックして、[Edit Security Context] ダイアログボックスを開きます。

既存のコンテキストを削除するには、リストから目的のエントリを選択し、[Delete Row] ボタンをクリックします。


) ここでセキュリティ コンテキストを削除すると、セキュリティ コンテキスト デバイスもデバイス インベントリから削除されます。


セキュリティ コンテキストおよび対応するセキュリティ コンテキスト デバイスを削除することを確認します。


) タイトルを除き、[Add Security Context] ダイアログボックスと [Edit Security Context] ダイアログボックスは同じです。PIX/ASA デバイスの場合、詳細については「[Add Security Context]/[Edit Security Context] ダイアログボックス(PIX/ASA)」を参照してください。FWSM の場合、詳細については「[Add Security Context]/[Edit Security Context] ダイアログボックス(FWSM)」を参照してください。



 

[Add Security Context]/[Edit Security Context] ダイアログボックス(FWSM)

[Add Security Context]/[Edit Security Context] ダイアログボックスでは、現在選択されているファイアウォール サービス モジュールのコンテキストを定義および管理できます(タイトルを除き、2 つのダイアログボックスは同じです)。

少なくとも 1 つのセキュリティ コンテキストを管理コンテキストとして指定する必要があります。


注意 Security Manager は、FWSM に対してマップされた(つまり、「名前付き」または「エイリアス付き」の)インターフェイスをサポートしていません。名前付きインターフェイスを使用する FWSM を検出してから、関連する設定を変更した場合、再展開は失敗します。インターフェイス エイリアスを適切な VLAN ID で置き換えてください。

ナビゲーション パス

「セキュリティ コンテキストの管理」で説明されているように、[Add Security Context]/[Edit Security Context] ダイアログボックスには [Security Contexts] ページからアクセスできます。

フィールド リファレンス

 

表 47-1 [Add Security Context]/[Edit Security Context] ダイアログボックス(FWSM)

要素
説明

[Name]

最大 32 文字のコンテキスト名を入力します。 System Null (大文字と小文字の区別なし)は予約済みであるため使用できません。

(注) コンテキスト名は、デバイス上では大文字と小文字が区別されますが、Security Manager では区別されません。つまり、Security Manager では、名前が同じで大文字と小文字が異なる 2 つのコンテキストを設定することはできません。

[Mode](FWSM 3.1 以降)

このセキュリティ コンテキストのモード([Router] または [Transparent])を選択します。

(注) [Edit Security Context] ダイアログボックスでは、選択されているモードを変更できません。

[Admin Context]

このコンテキストをこのデバイスの管理コンテキストにする場合、このチェックボックスをオンにします。

(注) デバイスの管理コンテキストの名前は、[Security Contexts] テーブルの下に表示されます。

[VLAN IDs]

このコンテキストに割り当てる VLAN を入力します。複数の VLAN エントリを区切るには、カンマを使用します。

[Config URL]

ファイルシステム プロトコルを選択し、アクセスするコンテキスト設定ファイルのパスと名前を入力して、コンテキスト設定の場所を URL タイプのアドレスとして指定します。

つまり、ドロップダウン リストからプロトコル タイプを選択し、サーバ名(リモート ファイル システムの場合)、パス、およびファイル名を関連するテキスト フィールドに入力します。たとえば、FTP の場合、組み合わせた URL は次の形式になります。 ftp://server.example.com/configs/admin.cfg

使用可能なプロトコルは次のとおりです。

disk:/

ftp://

http://

https://

tftp://

[Failover Group]

このコンテキストがアクティブ/アクティブ フェールオーバー設定の一部である場合は、このコンテキストが属するフェールオーバー グループを選択します。

[Description]

(任意)コンテキストの説明を入力します。

[Management IP Addr]

Security Manager がこのセキュリティ コンテキストとの通信に使用する IP アドレスを入力するか選択します。

[Add Security Context]/[Edit Security Context] ダイアログボックス(PIX/ASA)

[Add Security Context]/[Edit Security Context] ダイアログボックスでは、現在選択されている PIX/ASA セキュリティ アプライアンスのコンテキストを定義および管理できます(タイトルを除き、2 つのダイアログボックスは同じです)。

少なくとも 1 つのセキュリティ コンテキストを管理コンテキストとして指定する必要があります。

ナビゲーション パス

「セキュリティ コンテキストの管理」で説明されているように、[Add Security Context]/[Edit Security Context] ダイアログボックスには [Security Contexts] ページからアクセスできます。

フィールド リファレンス

 

表 47-2 [Add Security Context]/[Edit Security Context] ダイアログボックス(PIX/ASA)

要素
説明

[Name]

最大 32 文字のコンテキスト名を入力します。 System Null (大文字と小文字の区別なし)は予約済みであるため使用できません。

(注) コンテキスト名は、デバイス上では大文字と小文字が区別されますが、Security Manager では区別されません。つまり、Security Manager では、名前が同じで大文字と小文字が異なる 2 つのコンテキストを設定することはできません。

[Description]

(任意)コンテキストの説明を入力します。

[Admin Context]

このコンテキストをこのデバイスの管理コンテキストにする場合、このチェックボックスをオンにします。

(注) デバイスの管理コンテキストの名前は、[Security Contexts] テーブルの下に表示されます。

[Config URL]

ファイルシステム プロトコルを選択し、アクセスするコンテキスト設定ファイルのパスと名前を入力して、コンテキスト設定の場所を URL タイプのアドレスとして指定します。

つまり、ドロップダウン リストからプロトコル タイプを選択し、サーバ名(リモート ファイル システムの場合)、パス、およびファイル名を関連するテキスト フィールドに入力します。たとえば、FTP の場合、組み合わせた URL は次の形式になります。 ftp://server.example.com/configs/admin.cfg

使用可能なプロトコルは次のとおりです。

disk0:/

disk1:/

flash:/

ftp://

http://

https://

tftp://

[Interfaces]

このテーブルには、このコンテキストに割り当てられているインターフェイスとサブインターフェイス、およびそれらに関連付けられた設定が一覧表示されます。これらのインターフェイスおよびサブインターフェイスについて、セキュリティ コンテキストはトラフィックを調査します。

インターフェイスおよびサブインターフェイスをこのコンテキストに追加するには、テーブルの下の [Add Row] ボタンをクリックして「[Allocate Interfaces] ダイアログボックス(PIX/ASA だけ)」を開きます。1 つ以上のインターフェイスを割り当てることができます。また任意で、各インターフェイスに 1 つまたは一定範囲のサブインターフェイスを割り当てることができます。

割り当てエントリを編集するには、エントリを選択し、テーブルの下の [Edit Row] ボタンをクリックして、[Edit Interface] ダイアログボックスを開きます。編集できるのは [Alias Name] と [Show hardware properties option] だけですので注意してください。インターフェイス/サブインターフェイスの割り当ては変更できません。これらのオプションの詳細については、「[Allocate Interfaces] ダイアログボックス(PIX/ASA だけ)」を参照してください。

インターフェイス/サブインターフェイスの割り当てを削除するには、このテーブルから該当する行を選択し、テーブルの下の [Delete Row] ボタンをクリックします。

[Failover Group]

このコンテキストがアクティブ/アクティブ フェールオーバー設定の一部である場合は、このコンテキストが属するフェールオーバー グループを選択します。

[Management IP Address]

Security Manager がこのセキュリティ コンテキストとの通信に使用する IP アドレスを入力するか選択します。

[Allocate Interfaces] ダイアログボックス(PIX/ASA だけ)

[Allocate Interfaces] ダイアログボックスでは、インターフェイスをコンテキストに割り当てることができます。また任意で、1 つまたは一定範囲の関連サブインターフェイスをコンテキストに割り当て、名前のエイリアス設定オプションを設定できます。

ナビゲーション パス

[Allocate Interfaces] ダイアログボックスには、[Add Security Context]/[Edit Security Context] ダイアログボックスからアクセスします。詳細については、「[Add Security Context]/[Edit Security Context] ダイアログボックス(PIX/ASA)」を参照してください。

関連項目

「セキュリティ コンテキストの管理」

フィールド リファレンス

 

表 47-3 [Allocate Interfaces] ダイアログボックス

要素
説明

[Physical Interface]

このコンテキストに割り当てる物理インターフェイスを選択します。

トランスペアレント ファイアウォール モードでは、別のコンテキストに割り当てられていないインターフェイスだけを割り当てることができます。すでに別のコンテキストに割り当てられているインターフェイスを選択した場合は、サブインターフェイスも指定する必要があります。

[Sub Interface ID From]/[Sub Interface ID To]

これらのドロップダウン リストを使用して、1 つまたは一定範囲のサブインターフェイスを指定します。どちらのリストにも、選択した物理インターフェイスに関連付けられているサブインターフェイス ID が表示されます。

1 つのサブインターフェイスを指定するには、最初のリストから目的の ID を選択します。範囲を指定するには、(使用可能な場合)2 番目のリストから最後の ID を選択します(トランスペアレント ファイアウォール モードでは、他のコンテキストに割り当てられていないサブインターフェイスだけが表示されます)。

[View Allocation] ボタン

このボタンをクリックすると、[View Interface Allocation] ダイアログボックスが開きます。このダイアログボックスに、このデバイスで定義されているすべての物理インターフェイスと、それぞれに関連付けられているセキュリティ コンテキストおよびフェールオーバー グループが読み取り専用のリストで表示されます。これを使用すると、[Allocate Interfaces] ダイアログボックスを開いたまま、現在の割り当てをすばやく確認できます。

[Use aliased name in context]

このインターフェイス/サブインターフェイスのエイリアス名設定をイネーブルにするには、[Use aliased names in the security context] をオンにし、[Alias Name] フィールドにエイリアスを入力します。

このコンテキストに関連して表示されるすべての箇所(「[Interfaces] ページ - PIX および ASA」の [Hardware Port] カラムなど)において、指定したエイリアスが、この物理インターフェイスまたはサブインターフェイスの名前に置き換わります。

[Alias Name]

目的のエイリアスを入力します。エイリアスは文字で始まり、文字または数字で終わる必要があります。また、内側には文字、数字、およびアンダースコアだけを使用できます。

[Suffix Range From]/[Suffix Range To]

サブインターフェイスの範囲を指定した場合、これらのフィールドが使用可能になって、エイリアス名に数字のサフィックスを指定できます。各サブインターフェイスのエイリアス名は、この範囲からのシーケンス番号に、直前のフィールドで指定した [Alias Name] を追加した名前になります。

これらの値は、デフォルトで最初のサブインターフェイス ID 番号および最後のサブインターフェイス ID 番号に設定されますが、任意の有効な数字範囲を入力できます。

[Show hardware properties in context]

このオプションを選択すると、エイリアスを定義した場合でも、 show interface CLI コマンドにより、コンテキストの物理インターフェイス プロパティが表示されます。選択しない場合、show interface の出力にはエイリアス名が含まれます。