Cisco Security Manager 4.0 ユーザ ガイド
ファイアウォール デバイスでのデバイス アク セスの設定
ファイアウォール デバイスでのデバイス アクセスの設定
発行日;2012/02/02 | 英語版ドキュメント(2010/07/28 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

ファイアウォール デバイスでのデバイス アクセスの設定

コンソール タイムアウトの設定

[HTTP] ページ

[HTTP Configuration] ダイアログボックス

ICMP の設定

[Add ICMP]/[Edit ICMP] ダイアログボックス

管理アクセスの設定

セキュア シェル アクセスの設定

[Add SSH Host]/[Edit SSH Host] ダイアログボックス

SNMP の設定

SNMP の用語

SNMP MIB および OID

[SNMP] ページ

[SNMP Trap Configuration] ダイアログボックス

[Add SNMP Host Access Entry] ダイアログボックス

[Telnet] ページ

[Telnet Configuration] ダイアログボックス

ファイアウォール デバイスでのデバイス アクセスの設定

ポリシー セレクタの [Device Admin] フォルダの下にある [Device Access] セクションには、ファイアウォール デバイスへのアクセスを定義するためのページがあります。

この章は、次の内容で構成されています。

「コンソール タイムアウトの設定」

「[HTTP] ページ」

「ICMP の設定」

「管理アクセスの設定」

「セキュア シェル アクセスの設定」

「SNMP の設定」

「[Telnet] ページ」

コンソール タイムアウトの設定

[Console] ページを使用して、非アクティブなコンソール セッションのタイムアウト値を指定します。指定した時間制限に達した場合は、コンソール セッションが終了します。

[Console Timeout] フィールドに、コンソール セッションがデバイスによって閉じられる前にアイドル状態でいられる時間(分単位)を入力します。有効値は、0 ~ 60 分です。コンソール セッションがタイムアウトにならないようにするには、0 を入力します。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [Console] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Device Access] > [Console] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「ファイアウォール デバイスでのデバイス アクセスの設定」

[HTTP] ページ

[HTTP] ページのテーブルを使用して、デバイス上の HTTP サーバにアクセスするように設定されたインターフェイスと、それらのインターフェイスでの HTTP から HTTPS へのリダイレクトを管理します。このページから、デバイス上の HTTP サーバをイネーブルまたはディセーブルにすることもできます。特定のデバイス マネージャから管理者アクセスを行うには、HTTPS アクセスが必要です。


) HTTP をリダイレクトするには、インターフェイスに HTTP を許可するアクセス リストが必要です。このアクセス リストがないと、インターフェイスはポート 80、または HTTP 用に設定した他のポートをリッスンできません。


ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [HTTP] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Device Access] > [HTTP] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 36-1 [HTTP] ページ

要素
説明

[HTTP Interface] テーブル

このテーブルの [Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、HTTP-to-HTTPS リダイレクトが設定されているデバイス インターフェイスを管理します。[Add Row] および [Edit Row] を使用すると、「[HTTP Configuration] ダイアログボックス」が開きます。

[Enable HTTP Server]

デバイス上で HTTP サーバをイネーブルまたはディセーブルにします。イネーブルになっている場合は、サーバの通信 ポート を指定できます。ポートの範囲は 1 ~ 65535 です。デフォルトは 443 です。

[HTTP Configuration] ダイアログボックス

[HTTP Configuration] ダイアログボックスを使用して、特定のインターフェイスを介してデバイス上の HTTP サーバへのアクセスを許可されるホストまたはネットワークを追加または編集します。HTTP リダイレクトをイネーブルおよびディセーブルにすることもできます。

ナビゲーション パス

[HTTP Configuration] ダイアログボックスには、「[HTTP] ページ」からアクセスできます。

フィールド リファレンス

 

表 36-2 [HTTP Configuration] ダイアログボックス

要素
説明

[Interface Name]

デバイス上の HTTP サーバへのアクセスが許可されるインターフェイスを入力または選択します。

[IP Address/Netmask]

デバイスとの HTTP 接続の確立を許可されるホストまたはネットワークの IP アドレスとネットマスクをスラッシュ(「/」)で区切って入力します。または、[Select] をクリックして、ネットワーク/ホスト オブジェクトを選択できます。

[Enable Authentication Certificate]

このオプションは、HTTP 接続を確立するためにユーザ証明認証を要求する場合に選択します。ASA および PIX 8.0(2)+ デバイスでは、認証 ポート を指定できます。

[Redirect port]

セキュリティ アプライアンスが HTTPS にリダイレクトする HTTP 要求をリッスンするポート。HTTP リダイレクトをディセーブルにするには、このフィールドがブランクであることを確認します。

ICMP の設定

[ICMP] ページのテーブルを使用して、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)規則を管理します。この規則では、セキュリティ デバイス上の特定のインターフェイスへの ICMP アクセスを許可または拒否するすべてのホストまたはネットワークのアドレスを指定します。

ICMP 規則では、任意のデバイス インターフェイス上で終了する ICMP トラフィックを制御します。ICMP 制御リストが設定されていない場合、デバイスは、外部インターフェイスを含む任意のインターフェイスで終了するすべての ICMP トラフィックを受け入れます。ただし、デフォルトでは、デバイスはブロードキャスト アドレスに送信された ICMP エコー要求に応答しません。

ICMP Unreachable メッセージ(タイプ 3)は常に許可することを推奨します。ICMP Unreachable メッセージを拒否すると、ICMP パス MTU ディスカバリがディセーブルになり、IPsec および PPTP トラフィックが停止することがあります。パス MTU ディスカバリの詳細については、RFC 1195 および RFC 1435 を参照してください。

ICMP 制御リストが設定されている場合、デバイスは ICMP トラフィックとの最初の一致を使用し、続いて暗黙的な deny all を使用します。つまり、最初に一致したエントリが許可エントリの場合は、ICMP パケットの処理を継続します。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しない場合、デバイスは ICMP パケットを廃棄し、syslog メッセージを生成します。ICMP 制御リストが設定されていない場合は、すべてのケースで許可規則が想定されます。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [ICMP] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Device Access] > [ICMP] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 36-3 [ICMP] ページ

要素
説明

[ICMP Rules] テーブル

このテーブルの下にある [Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、ICMP 規則を管理します。[Add Row] を選択すると、[Add ICMP] ダイアログボックスが開きます。[Edit Row] を選択すると、[Edit ICMP] ダイアログボックスが開きます。これらのダイアログボックスについては、「[Add ICMP]/[Edit ICMP] ダイアログボックス」を参照してください。

[ICMP Unreachable Parameters]

[Rate Limit]

このデバイス上のインターフェイスで終了する ICMP トラフィックについて、デバイスが 1 秒間に転送できる ICMP Unreachable メッセージの最大数です。この値は、1 ~ 100 メッセージ/秒です。デフォルトは 1 メッセージ/秒です。

[Burst Size]

ICMP Unreachable メッセージのバースト サイズ。1 ~ 10 の値を指定できます。

(注) このパラメータは、現在システムでは使用されていないため、任意の値を選択できます。

[Add ICMP]/[Edit ICMP] ダイアログボックス

[Add ICMP] ダイアログボックスを使用して、ICMP 規則を追加します。この規則では、指定したデバイス インターフェイス上で指定した ICMP アクセスを許可または拒否されるホスト/ネットワークを指定します。


) [Edit ICMP] ダイアログボックスは、事実上 [Add ICMP] ダイアログボックスと同じであり、既存の ICMP 規則の修正に使用します。次の説明は、両方のダイアログボックスに適用されます。


ナビゲーション パス

[Add ICMP]/[Edit ICMP] ダイアログボックスには、「ICMP の設定」からアクセスできます。

フィールド リファレンス

 

表 36-4 [Add ICMP]/[Edit ICMP] ダイアログボックス

要素
説明

[Action]

この規則によって、指定したインターフェイス上の指定したネットワークからの選択した ICMP サービス メッセージが許可されるか、または拒否されるか。次のどちらかを選択します。

[Permit]:指定したネットワーク/ホストからの ICMP メッセージは、指定したインターフェイスに対して許可されます。

[Deny]:指定したネットワーク/ホストから指定したインターフェイスへの ICMP メッセージはドロップされます。

[ICMP Service]

規則を適用する特定の ICMP サービス メッセージを入力または選択します。

[Interface]

これらの ICMP メッセージの送信先のデバイス インターフェイスを入力または選択します。

[Network]

ホストまたは IP アドレスを入力するか、ネットワーク/ホスト オブジェクトを選択して、指定した ICMP メッセージの送信元を定義します。

管理アクセスの設定

[Management Access] ページを使用して、高セキュリティ インターフェイスへのアクセスをイネーブルまたはディセーブルにして、デバイスに対して管理機能を実行できるようにします。内部インターフェイスでこの機能をイネーブルにして、IPsec VPN トンネル上のインターフェイスで管理機能を実行可能にできます。管理アクセス機能は、一度に 1 つのインターフェイスでだけイネーブルにすることができます。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [Management Access] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Device Access] > [Management Access] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

管理アクセスのイネーブル化とディセーブル化

[Management Access Interface] フィールドで、管理アクセス接続を許可するデバイス インターフェイスの名前を入力します。[Select] をクリックすると、インターフェイス オブジェクトのリストからインターフェイスを選択できます。

管理アクセス機能は、一度に 1 つのインターフェイスでだけイネーブルにすることができます。

管理アクセスをディセーブルにするには、[Management Access Interface] フィールドをクリアします。

セキュア シェル アクセスの設定

[Secure Shell] ページを使用して、SSH プロトコルを使用したセキュリティ デバイスへの管理アクセスを許可する規則を設定します。規則では、特定の IP アドレスとネットマスクへの SSH アクセスが制限されます。これらの規則に準拠する任意の SSH 接続試行は、AAA サーバまたは Telnet パスワードによって認証される必要があります。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [Secure Shell] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Device Access] > [Secure Shell] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 36-5 [Secure Shell] ページ

要素
説明

[SSH Version]

デバイスによって受け入れられる SSH バージョンを指定します。 1 2 、または 1 と 2 を選択します。デフォルトでは、SSH バージョン 1 および SSH バージョン 2 接続が受け入れられます。

[Timeout]

セキュア シェル セッションがデバイスによって閉じられる前にアイドル状態でいられる時間(分単位)を 1 ~ 60 で入力します。デフォルト値は 5 分です。

[Allowed Hosts] テーブル

このテーブルの下にある [Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、SSH を介したセキュリティ デバイスへの接続を許可するホストを管理します。[Add Row] を選択すると、[Add Host] ダイアログボックスが開きます。[Edit Row] を選択すると、[Edit Host] ダイアログボックスが開きます。これらのダイアログボックスについては、「[Add SSH Host]/[Edit SSH Host] ダイアログボックス」を参照してください。

[Enable Secure Copy]

このボックスをオンにして、セキュリティ アプライアンス上の Secure Copy(SCP; セキュア コピー)サーバをイネーブルにします。これにより、アプライアンスはデバイスとの間でファイルを転送するための SCP サーバとして機能できます。SSH を使用したセキュリティ アプライアンスへのアクセスを許可されるクライアントだけが、セキュア コピー接続を確立できます。

セキュア コピー サーバのこの実装には、次の制限があります。

サーバはセキュア コピーの接続を受け入れまたは終了できますが、開始はできません。

サーバにはディレクトリ サポートがありません。ディレクトリ サポートがないため、セキュリティ アプライアンスの内部ファイルへのリモート クライアント アクセスが制限されます。

サーバではバナーがサポートされません。

サーバではワイルドカードがサポートされません。

セキュリティ アプライアンス ライセンスには、SSH バージョン 2 接続をサポートするための VPN-3DES-AES 機能が必要です。

[Add SSH Host]/[Edit SSH Host] ダイアログボックス

[Add SSH Host] ダイアログボックスを使用して、SSH アクセス規則を追加します。


) [Edit Host] ダイアログは、事実上 [Add Host] ダイアログボックスと同じであり、既存の SSH アクセス規則の修正に使用されます。次の説明は、両方のダイアログボックスに適用されます。


ナビゲーション パス

[Add Host]/[Edit Host] ダイアログボックスには、「セキュア シェル アクセスの設定」からアクセスできます。

フィールド リファレンス

 

表 36-6 [Add Host]/[Edit Host] ダイアログボックス

要素
説明

[Interface]

SSH 接続が許可されるデバイス インターフェイスの名前を入力または選択します。

[IP Addresses]

指定したインターフェイス上のセキュリティ デバイスとの SSH 接続の確立を許可される各ホストまたはネットワークの名前または IP アドレスを入力します。複数のエントリを区切るにはカンマを使用します。[Select] をクリックして、リストからネットワーク/ホスト オブジェクトを選択することもできます。

SNMP の設定

Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)は、PC またはワークステーションで実行されているネットワーク管理ステーションが、スイッチ、ルータ、セキュリティ アプライアンスなどのさまざまなタイプのデバイスのヘルスとステータスをモニタするための標準的な方法を定義します。[SNMP] ページを使用して、SNMP 管理ステーションによってモニタされるようにファイアウォール デバイスを設定できます。

Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)は、集中管理する場所からのネットワーク デバイスのモニタリングをイネーブルにします。Cisco セキュリティ アプライアンスでは、SNMP バージョン 1 および 2c を使用したネットワーク モニタリングに加えて、トラップおよび SNMP 読み取りアクセスがサポートされます。SNMP 書き込みアクセスはサポートされません。

Network Management Station(NMS; ネットワーク管理ステーション)に「トラップ」(イベント通知)を送信するようにセキュリティ アプライアンスを設定したり、NMS を使用してセキュリティ アプライアンス上の Management Information Bases(MIB; 管理情報ベース)を参照したりできます。CiscoWorks for Windows またはその他の任意の SNMP MIB-II 対応ブラウザを使用して、SNMP トラップを受信し、MIB を参照します。

セキュリティ アプライアンスには、指定したイベントが発生した場合(たとえばネットワーク上のリンクが起動またはダウンした場合)に指定した管理ステーションに通知する SNMP エージェントがあります。通知には、管理ステーションに対してデバイスを識別する SNMP システム Object ID(OID; オブジェクト ID)が含まれます。セキュリティ アプライアンス SNMP エージェントは、管理ステーションが情報を要求した場合にも応答します。

ここでは、次の内容について説明します。

「SNMP の用語」

「SNMP MIB および OID」

「[SNMP] ページ」

SNMP の用語

一般的な SNMP 用語の定義をいくつか示します。

エージェント :セキュリティ アプライアンス上で実行されている SNMP サーバ。エージェントは情報の要求と管理ステーションからのアクションに応答します。エージェントは、Management Information Base(MIB; 管理情報ベース)(SNMP マネージャから表示または変更できるデータ オブジェクトの集合)へのアクセスも制御します。

管理ステーション :SNMP イベントをモニタし、セキュリティ アプライアンスなどのデバイスを管理するように設定された PC またはワークステーション。管理ステーションは、ハードウェア障害など、対処する必要のあるイベントに関するメッセージも受信できます。

MIB :エージェントは、Management Information Bases(MIB; 管理情報ベース)と呼ばれる標準化されたデータ構造をメンテナンスします。MIB は、パケット、接続、エラーのカウンタ、バッファ使用状況、フェールオーバーのステータスなどの情報の収集に使用されます。MIB の番号は、特定の製品、およびほとんどのネットワーク デバイスで使用される共通プロトコルとハードウェア規格に対して定義されています。SNMP 管理ステーションでは、MIB を参照したり、特定のフィールドだけを要求したりできます。一部のアプリケーションでは、管理の目的で MIB データを修正できます。

OID :SNMP 標準は、管理ステーションが SNMP エージェントでネットワーク デバイスを一意に識別したり、モニタおよび表示される情報のソースをユーザに示したりできるように、システム Object ID(OID; オブジェクト ID)を割り当てます。

トラップ :SNMP エージェントから管理ステーションへのメッセージを生成する、指定されたイベント。イベントには、リンクアップ、リンクダウン、コールドスタート、認証、syslog イベントなどのアラーム条件が含まれます。

SNMP MIB および OID

SNMP トラップは、ネットワーク デバイスで発生した重要イベント(ほとんどの場合はエラーまたは障害)をレポートします。SNMP トラップは、標準またはエンタープライズ固有の Management Information Bases(MIB; 管理情報ベース)で定義されています。

標準トラップと MIB は、Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)によって作成され、各種 RFC に文書化されています。標準トラップは、セキュリティ アプライアンス ソフトウェアにコンパイルされます。必要に応じて、RFC、標準 MIB、および標準トラップを IETF Web サイト http://www.ietf.org/ からダウンロードできます。

Cisco MIB ファイルおよび OID については、 http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml を参照してください。OID は、FTP サイト ftp://ftp.cisco.com/pub/mibs/oid/oid.tar.gz からダウンロードできます。

[SNMP] ページ

[SNMP] ページを使用して、Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)管理ステーションによってモニタされるようにセキュリティ アプライアンスを設定します。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [SNMP] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Device Access] > [SNMP] を選択します。[SNMP] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存のポリシーを選択します。

関連項目

「SNMP の設定」

「[SNMP Trap Configuration] ダイアログボックス」

「[Add SNMP Host Access Entry] ダイアログボックス」

フィールド リファレンス

 

表 36-7 [SNMP] ページ

要素
説明

[Password (Community String)]

要求をファイアウォールに送信するときに、SNMP 管理ステーションで使用されるパスワードを入力します。SNMP コミュニティ ストリングは、SNMP 管理ステーションと管理対象のネットワーク ノード間の共有秘密キーです。ファイアウォールでは、着信 SNMP 要求が有効かどうかを判断するためにパスワードが使用されます。パスワードは、大文字と小文字が区別され、最大 32 文字です。スペースは使用できません。

[System Administrator Name]

ファイアウォール システム管理者の名前を入力します。テキストは、大文字と小文字が区別され、最大 127 文字です。スペースを使用できますが、複数のスペースを入力しても 1 つのスペースになります。

[Location]

ファイアウォールの場所を指定します。テキストは、大文字と小文字が区別され、最大 127 文字です。スペースを使用できますが、複数のスペースを入力しても 1 つのスペースになります。

[Port](PIX 7.x および ASA のみ)

着信要求が受け入れられるポートを指定します。

[Configure Traps] ボタン

クリックすると、SNMP トラップ設定を設定できる [SNMP Trap Configuration] ダイアログボックスが開きます。

[SNMP Hosts Table]

[Interface]

SNMP 管理ステーションが存在するインターフェイスを識別します。

[IP Address]

SNMP 管理ステーションの IP アドレスを識別します。

[Community String]

要求をファイアウォールに送信するときに、SNMP 管理ステーションで使用されるパスワードを識別します。SNMP コミュニティ ストリングは、SNMP 管理ステーションと管理対象のネットワーク ノード間の共有秘密キーです。ファイアウォールでは、着信 SNMP 要求が有効かどうかを判断するためにパスワードが使用されます。パスワードは、大文字と小文字が区別され、最大 32 文字です。スペースは使用できません。

[SNMP Version]

管理ステーションに設定されている SNMP のバージョンを識別します。

[Poll/Trap]

この管理ステーションと通信する方法が表示されます(ポーリングのみ、トラップのみ、またはトラップとポーリングの両方)。

[Poll]:ファイアウォール デバイスは、管理ステーションからの定期的な要求を待機します。

[Trap]:syslog イベントを発生時に送信します。

[UDP Port]

SNMP ホストの UDP ポートを指定します。SNMP ホストの UDP ポートのデフォルト値は 162 です。

[SNMP Trap Configuration] ダイアログボックス

[SNMP Trap Configuration] ダイアログボックスを使用して、トラップ設定を設定します。

トラップは参照とは異なります。生成されるリンク アップ イベント、リンク ダウン イベント、syslog イベントなど、特定のイベントに対する管理対象デバイスから管理ステーションへの割り込み「コメント」です。

セキュリティ アプライアンスの SNMP Object ID(OID; オブジェクト ID)は、セキュリティ アプライアンスから送信される SNMP イベント トラップに表示されます。ファイアウォール デバイスでは、SNMP イベント トラップおよび SNMP mib-2.system.sysObjectID にシステム OID が提供されます。

ファイアウォール デバイスで実行されている SNMP サービスは、2 つの異なる機能を実行します。

管理ステーション(SNMP クライアントとも呼ばれます)からの SNMP 要求に応答します。

セキュリティ アプライアンスからのトラップ(イベント通知)を受信するように登録されている管理ステーションまたはその他のデバイスにトラップを送信します。

Cisco ファイアウォール デバイスでは、3 種類のトラップがサポートされます。

ファイアウォール

汎用

syslog

ナビゲーション パス

[SNMP Trap Configuration] ダイアログボックスには [SNMP] ページからアクセスできます。詳細については、「[SNMP] ページ」を参照してください。

関連項目

「SNMP の設定」

「[Add SNMP Host Access Entry] ダイアログボックス」

フィールド リファレンス

 

表 36-8 [SNMP Trap Configuration] ダイアログボックス

要素
説明

[Standard SNMP Traps](PIX 7.x、ASA、FWSM のみ)

送信する標準 SNMP トラップを選択します。

[Authentication]:認証標準トラップをイネーブルにします。

[Cold Start]:コールド スタート標準トラップをイネーブルにします。

[Link Up]:リンク アップ標準トラップをイネーブルにします。

[Link Down]:リンク ダウン標準トラップをイネーブルにします。

[Entity MIB Notifications](PIX 7.x および ASA のみ)

イネーブルにするエンティティ MIB 通知を選択します。

[FRU Insert]:Field Replaceable Unit(FRU; 現場交換可能ユニット)が挿入された場合のトラップ通知をイネーブルにします。

[FRU Remove]:Field Replaceable Unit(FRU; 現場交換可能ユニット)が削除された場合のトラップ通知をイネーブルにします。

[Configuration Change]:ハードウェア変更が行われた場合のトラップ通知をイネーブルにします。

[IPsec Traps](PIX 7.x および ASA のみ)

イネーブルにする IPsec トラップを選択します。

[Start]:IPsec 開始時のトラップをイネーブルにします。

[Stop]:IPsec 停止時のトラップをイネーブルにします。

[Remote Access Traps](PIX 7.x および ASA のみ)

イネーブルにするリモート アクセス トラップを選択します。

[Session Threshold Exceeded]:リモート アクセス セッションが定義済みの限界に達した場合のファイアウォール デバイスによるトラップの送信をイネーブルにします。

[Enable Syslog Traps]

SNMP 管理ステーションへの syslog メッセージの送信をイネーブルまたはディセーブルにします。

[Add SNMP Host Access Entry] ダイアログボックス

[Add SNMP Host Access Entry] ダイアログボックスを使用して、SNMP 管理ステーションを追加します。

ナビゲーション パス

[Add SNMP Host Access Entry] ダイアログボックスには [SNMP] ページからアクセスできます。詳細については、「[SNMP] ページ」を参照してください。

関連項目

「[SNMP Trap Configuration] ダイアログボックス」

フィールド リファレンス

 

表 36-9 [Add SNMP Host Access Entry] ダイアログボックス

要素
説明

[Interface Name]

SNMP 管理ステーションが存在するインターフェイスを選択します。[Select] をクリックすると、インターフェイス オブジェクトのリストからインターフェイスを選択できます。

[IP Address]

SNMP 管理ステーションの IP アドレスを入力します。[Select] をクリックすると、IP アドレス オブジェクトのリストから IP アドレスを選択できます。

[UDP Port]

SNMP ホストの UDP ポートを入力します。このフィールドでは、SNMP ホストの UDP ポートのデフォルト値である 162 を上書きできます。

[Community String]

要求をファイアウォールに送信するときに、SNMP 管理ステーションで使用されるパスワードを入力します。SNMP コミュニティ ストリングは、SNMP 管理ステーションと管理対象のネットワーク ノード間の共有秘密キーです。ファイアウォールでは、着信 SNMP 要求が有効かどうかを判断するためにパスワードが使用されます。パスワードは、大文字と小文字が区別され、最大 32 文字です。スペースは使用できません。

[SNMP Version]

管理ステーションに設定されている SNMP のバージョンを選択します。

[Server Poll/Trap Specification]

この管理ステーションと通信する方法を指定します(ポーリングのみ、トラップのみ、またはトラップとポーリングの両方)。

[Poll]:ファイアウォール デバイスは、管理ステーションからの定期的な要求を待機します。

[Trap]:syslog イベントを発生時に送信します。

[Telnet] ページ

[Telnet] ページを使用して、Telnet プロトコルを使用したファイアウォール デバイスへの接続を、特定のホストまたはネットワークにだけ許可する規則を設定します。

この規則により、ファイアウォール デバイス インターフェイスを介した管理 Telnet アクセスが特定の IP アドレスおよびネットマスクに制限されます。この規則に準拠する接続試行は、設定済みの AAA サーバまたは Telnet パスワードによって認証される必要があります。Telnet セッションは、[Monitoring] > [Telnet Sessions] を使用してモニタできます。


) シングルコンテキスト モードでは一度に 5 つの Telnet セッションだけアクティブにできます。ASA 上のマルチコンテキスト モードでは、コンテキストあたり 5 つの Telnet だけをアクティブにでき、ブレードあたり 100 個の Telnet セッションをアクティブにできます。リソース クラスでは、管理者がこのパラメータをさらに調整できます。


関連項目

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [Telnet] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Device Access] > [Telnet] を選択します。[Telnet] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存のポリシーを選択します。

関連項目

「[Telnet Configuration] ダイアログボックス」

フィールド リファレンス

 

表 36-10 [Telnet] ページ

要素
説明

[Timeout]

Telnet セッションがファイアウォール デバイスによって閉じられる前にアイドル状態でいられる時間(分単位)。値の範囲は 1 ~ 1440 分です。

[Telnet Access Table]

[Interface]

クライアントから Telnet パケットを受信するインターフェイス。

[IP Addresses]

指定されたインターフェイスを通じて Telnet コンソールにアクセスできる各ホストまたはネットワークの IP アドレスおよびネットワーク マスク。

[Telnet Configuration] ダイアログボックス

[Telnet Configuration] ダイアログボックスを使用して、インターフェイスの Telnet オプションを設定します。

ナビゲーション パス

[Telnet Configuration] ダイアログボックスには、「[Telnet] ページ」からアクセスできます。

フィールド リファレンス

 

表 36-11 [Telnet Configuration] ダイアログボックス

要素
説明

[Interface Name]

クライアントからの Telnet パケットを受信できるインターフェイスを入力または選択します。

[IP Addresses/Netmask]

指定したインターフェイスを通じてファイアウォール デバイスの Telnet コンソールへのアクセスを許可される各ホストまたはネットワークの IP アドレスとネットマスクを「/」で区切って入力または選択します。複数のエントリを区切るには、カンマを使用します。

(注) アクセスを単一 IP アドレスに制限するには、ネットマスクとして 255.255.255.255 または 32 を使用します。内部ネットワークのサブネットワーク マスクは使用しないでください。