Cisco Security Manager 4.0 ユーザ ガイド
ファイアウォール デバイスでのサーバ アク セスの設定
ファイアウォール デバイスでのサーバ アクセスの設定
発行日;2012/02/02 | 英語版ドキュメント(2011/01/24 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

ファイアウォール デバイスでのサーバ アクセスの設定

[AUS] ページ

[Add Auto Update Server]/[Edit Auto Update Server] ダイアログボックス

[DHCP Relay] ページ

[Add DHCP Relay Agent Configuration]/[Edit DHCP Relay Agent Configuration] ダイアログボックス

[Add DHCP Relay Server Configuration]/[Edit DHCP Relay Server Configuration] ダイアログボックス

DHCP サーバの設定

[DHCP Server] ページ

[Add DHCP Server Interface Configuration]/[Edit DHCP Server Interface Configuration] ダイアログボックス

[Add DHCP Server Advanced Configuration]/[Edit DHCP Server Advanced Configuration] ダイアログボックス

[DNS] ページ

[Add DNS Server Group] ダイアログボックス

[Add DNS Server] ダイアログボックス

DDNS の設定

[Add DDNS Interface Rule]/[Edit DDNS Interface Rule] ダイアログボックス

[DDNS Update Methods] ダイアログボックス

[NTP] ページ

[NTP Server Configuration] ダイアログボックス

[SMTP Server] ページ

[TFTP Server] ページ

ファイアウォール デバイスでのサーバ アクセスの設定

[Server Access] セクションには、ファイアウォール デバイスでサーバ アクセスを設定するためのページが含まれています。[Server Access] は、デバイス セレクタまたはポリシー セレクタの [Device Admin] の下にあります。

この章は、次の内容で構成されています。

「[AUS] ページ」

「[DHCP Relay] ページ」

「DHCP サーバの設定」

「[DNS] ページ」

「DDNS の設定」

「[NTP] ページ」

「[SMTP Server] ページ」

「[TFTP Server] ページ」

[AUS] ページ

[AUS] ページでは、[Auto Update] 指定をサポートするサーバからのセキュリティ アプライアンスのリモート更新を設定できます。[Auto Update] によって、設定変更およびソフトウェア更新が、リモート サーバからアプライアンスに自動的に適用されます。


) このページで指定するサーバと、([Tools] メニューから [Device Properties] を選択して表示される)[Device Properties] の [Auto Update] セクションで指定するサーバは、同じである必要があります。[Device Properties] 情報は、Security Manager が設定更新を送信する宛先の AUS サーバを指定します。これに対し、このページの情報は、デバイスが更新のために接続するサーバを定義します。また、[Device Properties] で指定する [Device Identity] と、このページの [Device ID] とが一致している必要もあります。


AUS サーバを変更した場合、デバイスは、新しい設定を受け取るまで現在の設定内に定義されている AUS サーバを引き続き使用することに注意してください。したがって、AUS ポリシーは変更しますが、設定の展開には前の AUS サーバを使用する必要があります。展開が正常に完了したあとで、新しいサーバを指し示すように [Device Properties] を変更します。AUS への展開の詳細については、「Auto Update Server または CNS Configuration Engine を使用した設定の展開」を参照してください。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [AUS] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Server Access] > [AUS] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「[Add Auto Update Server]/[Edit Auto Update Server] ダイアログボックス」

フィールド リファレンス

 

表 39-1 [AUS] ページ

要素
説明

[Auto Update Servers] テーブル

このテーブルには、現在設定されている Auto Update Server が一覧表示されます。テーブルの下のボタンを使用して、これらのエントリを管理します。

エントリは、AUS サーバに接続するための優先順位の高いものから一覧表示されます。リストの順序を変更するには、上下の矢印ボタンを使用して、選択したエントリを上下に移動します。

[Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、エントリを追加、編集、または削除します。[Add Row] を選択すると、[Add Auto Update Server] ダイアログボックスが開きます。[Edit Row] を選択すると、選択した行の [Edit Auto Update Server] ダイアログボックスが開きます。これらのダイアログボックスについては、「[Add Auto Update Server]/[Edit Auto Update Server] ダイアログボックス」を参照してください。

を連結して生成します。ポートは、デフォルトの 443 以外のポート番号を入力した場合にかぎり含まれます。

[Device ID Type]

AUS サーバでこのデバイスを識別するために使用する方式を選択します。

[Host Name]:[Device Properties] ウィンドウ([Tools] > [Device Properties])で指定されている、このデバイスのホスト名。

[Serial Number]:このデバイスのシリアル番号。

[IP Address]:指定されたインターフェイスの IP アドレス。このオプションを選択すると、[Interface] フィールドが表示されます。目的のデバイス インターフェイスを入力するか、または選択します。

[MAC Address]:指定されたインターフェイスの MAC アドレス。このオプションを選択すると、[Interface] フィールドが表示されます。目的のデバイス インターフェイスを入力するか、または選択します。

[User Defined]:ユーザ指定の一意の ID が使用されます。このオプションを選択すると、[User Defined] フィールドが表示されます。このフィールドに英数字文字列を入力します。この文字列は、[Device Properties] ウィンドウ([Tools] > [Device Properties])の [Device Identity] フィールドにも表示されている必要があります。

[Poll Type]

更新のために AUS サーバをポーリングする頻度を定義する方式を選択します。

[At Specified Frequency]:このオプションを選択すると、[Poll Period] フィールドが表示されます。

[Poll Period]:デバイスが AUS サーバのポーリング後から次のポーリングを待機する時間を分単位で指定します。有効な値は 1 ~ 35791 です。

[At Scheduled Time]:このオプションを選択すると、次のフィールドが表示されます(バージョン 7.2 以降を実行している ASA/PIX デバイスにかぎり使用可能)。

[Days of the week]:デバイスが AUS サーバをポーリングする 1 日以上の日を選択します。

[Polling Start Time in Hours]:選択した日にポーリングを開始する時刻の時間単位の値(24 時間形式に基づく)。

[Polling Start Time in Mins]:選択した時刻の分単位の値。

[Enable Randomization of the Start Time]:ランダムなポーリング時間枠を指定する場合は、このオプションを選択します。[Randomization Window] フィールドがイネーブルになります。

[Randomization Window]:デバイスが指定のポーリング時間をランダム化するために使用できる最大分数。有効な値は 1 ~ 1439 です。

[Retry Count]

デバイスが新しい情報のために AUS サーバへのポーリングを試行する回数。任意。このフィールドに 0 を入力した場合、またはこのフィールドをブランクのままにした場合、デバイスはポーリング試行の失敗後に再試行しません。

[Retry Period]

[Retry Count] が 0 でもブランクでもない場合に、デバイスがポーリング試行の失敗後に AUS サーバへの再ポーリングを待機する時間(分)。有効な値は 1 ~ 35791 です。[Retry Count] が 0 でもブランクでもないのに、このフィールドをブランクのままにした場合、値はデフォルトで 5 分に設定されます。

[Disable Device After:]

このオプションを選択すると、指定されたタイムアウト期間中に AUS サーバからの応答がない場合、セキュリティ アプライアンスによって通過中のトラフィックが停止されます。

[Timeout]:AUS サーバからの応答がない場合にファイアウォール デバイスがタイムアウトを待機する時間(分)。

[Add Auto Update Server]/[Edit Auto Update Server] ダイアログボックス

[Add Auto Update Server] ダイアログボックスを使用して、新しい AUS サーバ定義を設定します。セキュリティ アプライアンスは、このサーバを自動的にポーリングして、イメージおよび設定の更新がないかどうかを確認します。

[Auto Update] 指定では、Auto Update Server が設定情報をプッシュしてセキュリティ アプライアンスに情報の要求を送信するか、または Auto Update Server に対する定期的なポーリングをセキュリティ アプライアンスで行うように設定することによって設定情報をプルするかを選択できます。また、Auto Update Server は、セキュリティ アプライアンスにコマンドを送信して、いつでも即時ポーリング要求を送信できます。Auto Update Server とセキュリティ アプライアンスが互いに通信を行うには、各セキュリティ アプライアンス上に通信パスとローカル CLI 設定が必要です。


) この AUS サーバに接続するための URL は、これらのダイアログボックスで指定されている Protocol://Username:Password@IP IP Address(:Port)/Path を連結して生成します。ポートは、デフォルトの 443 以外のポート番号を入力した場合にかぎり含まれます。


[Edit Auto Update Server] ダイアログボックスと [Add Auto Update Server] ダイアログボックスは、タイトルを除けば同じです。次の説明は両方に適用されます。

ナビゲーション パス

[Add Auto Update Server]/[Edit Auto Update Server] ダイアログボックスには、「[AUS] ページ」からアクセスできます。

フィールド リファレンス

 

表 39-2 [Add Auto Update Server]/[Edit Auto Update Server] ダイアログボックス

要素
説明

[Protocol]

AUS サーバとの通信に使用されるプロトコル。[http] または [https] を選択します。

(注) Auto Update Server と通信するためのプロトコルとして [https] を選択した場合、セキュリティ アプライアンスでは SSL が使用されます。この場合、セキュリティ アプライアンスには DES または 3DES ライセンスが必要です。

[IP Address]

IP アドレスを入力するか、またはこの AUS サーバを表すネットワーク/ホスト オブジェクトを選択します。

[Port]

AUS サーバとの通信が行われるポートの番号を入力します。[Protocol] に [http] を選択した場合は、デフォルトで 80 に設定されます。[https] を選択した場合は、443 に設定されます。任意のポート番号を入力した場合、AUS サーバが同じポートを使用するように設定されていることを確認してください。

[Path]

サーバ上の AUS サービスへのパス。標準のパスは autoupdate/AutoUpdateServlet です。AUS サーバ ホストが ASA の場合にかぎり、これを admin/auto-update に変更します。

[AUS Interface]

Auto Update Server のポーリングに使用するインターフェイスを入力または選択します。

[Verify Certificate]

このオプションを選択すると、AUS サーバからの SSL 検証が必要になります。サーバから返された証明書は、Certification Authority(CA; 証明局)ルート証明書に基づいてチェックされます。これには、AUS サーバとこのデバイスが同じ認証局を使用している必要があります。

[Username]

AUS 認証に使用するユーザ名を入力します(任意)。

[Password]

AUS 認証に使用するパスワードを入力します(任意)。

[Confirm]

パスワードを再入力します(任意)。

[DHCP Relay] ページ

[DHCP Relay] ページを使用して、セキュリティ デバイスの DHCP リレー サービスを設定します。Dynamic Host Configuration Protocol(DHCP)リレーでは、あるインターフェイス上で受信された DHCP 要求が、別のインターフェイスの背後にある外部 DHCP サーバに渡されます。DHCP リレーを設定するには、少なくとも 1 つの DHCP リレー サーバを指定してから、DHCP 要求を受信するインターフェイスで DHCP リレー エージェントをイネーブルにする必要があります。


) DHCP リレー サーバが設定されているインターフェイスでは、DHCP リレー エージェントをイネーブルにできません。
DHCP リレー エージェントは外部 DHCP サーバでだけ動作します。DHCP 要求は、DHCP サーバとして設定されているセキュリティ アプライアンス インターフェイスには転送されません。


ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [DHCP Relay] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Server Access] > [DHCP Relay] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 39-3 [DHCP Relay] ページ

要素
説明

[DHCP Relay Agent] テーブル

このテーブルには、DHCP リレーが設定されているインターフェイスが一覧表示されます。[Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、これらのエントリを管理します。

[Add Row] ボタンでは [Add DHCP Relay Agent Configuration] ダイアログボックスが開き、[Edit Row] では [Edit DHCP Relay Agent Configuration] ダイアログボックスが開きます。詳細については、「[Add DHCP Relay Agent Configuration]/[Edit DHCP Relay Agent Configuration] ダイアログボックス」を参照してください。

[DHCP Servers] テーブル

このテーブルには、DHCP リレーが設定されているインターフェイスが一覧表示されます。[Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、これらのエントリを管理します。

[Add Row] ボタンでは [Add DHCP Relay Server Configuration] ダイアログボックスが開き、[Edit Row] では [Edit DHCP Relay Server Configuration] ダイアログボックスが開きます。詳細については、「[Add DHCP Relay Server Configuration]/[Edit DHCP Relay Server Configuration] ダイアログボックス」を参照してください。

[Timeout (seconds)]

DHCP アドレス ネゴシエーションに許可される時間を秒単位で指定します。有効な値の範囲は 1 ~ 3600 秒で、デフォルト値は 60 秒です。

[Add DHCP Relay Agent Configuration]/[Edit DHCP Relay Agent Configuration] ダイアログボックス

[Add DHCP Relay Agent Configuration] ダイアログボックスを使用して、インターフェイスで DHCP リレー エージェントを設定してイネーブルにします。[Edit DHCP Relay Agent Configuration] ダイアログボックスを使用して、既存のインターフェイス リレー エージェントを更新します。


) DHCP リレー サーバが設定されているインターフェイスでは、DHCP リレー エージェントをイネーブルにできません。
DHCP リレー エージェントは外部 DHCP サーバでだけ動作します。DHCP 要求は、DHCP サーバとして設定されているセキュリティ アプライアンス インターフェイスには転送されません。


[Add DHCP Relay Agent Configuration] ダイアログボックスと [Edit DHCP Relay Agent Configuration] ダイアログボックスは実質的には同じです。次の説明は両方に適用されます。

ナビゲーション パス

[Add DHCP Relay Agent Configuration]/[Edit DHCP Relay Agent Configuration] ダイアログボックスには、「[DHCP Relay] ページ」からアクセスできます。

関連項目

「[Add DHCP Relay Server Configuration]/[Edit DHCP Relay Server Configuration] ダイアログボックス」

フィールド リファレンス

 

表 39-4 [Add DHCP Relay Agent Configuration]/[Edit DHCP Relay Agent Configuration] ダイアログボックス

要素
説明

[Interface]

DHCP リレー エージェントを設定するインターフェイスの名前を入力または選択します。

[Enable DHCP Relay]

このチェックボックスをオンにすると、指定したインターフェイスで DHCP リレーがイネーブルになります。

[Set Route]

このチェックボックスをオンにして、DHCP サーバから返された情報内のデフォルト ルータ アドレスが変更されるように DHCP リレー エージェントを設定します。このオプションを選択した場合、DHCP リレー エージェントは、DHCP サーバから返された情報内のデフォルト ルータ アドレスを、選択されたインターフェイスで置き換えます。

[Add DHCP Relay Server Configuration]/[Edit DHCP Relay Server Configuration] ダイアログボックス

新しい DHCP リレー サーバを定義する場合は、[Add DHCP Relay Server Configuration] ダイアログボックスを使用します。既存のサーバ情報を更新する場合は、[Edit DHCP Relay Server Configuration] ダイアログボックスを使用します。最大 4 台の DHCP リレー サーバを定義できます。


) [Add DHCP Relay Server Configuration] ダイアログボックスと [Edit DHCP Relay Server Configuration] ダイアログボックスは実質的には同じです。次の説明は両方に適用されます。


ナビゲーション パス

[Add DHCP Relay Server Configuration]/[Edit DHCP Relay Server Configuration] ダイアログボックスには、「[DHCP Relay] ページ」からアクセスできます。

関連項目

「[Add DHCP Relay Agent Configuration]/[Edit DHCP Relay Agent Configuration] ダイアログボックス」

フィールド リファレンス

 

表 39-5 [Add DHCP Relay Server Configuration]/[Edit DHCP Relay Server Configuration] ダイアログボックス

要素
説明

[Server]

IP アドレスを入力するか、または DHCP 要求の転送先の外部 DHCP サーバを表すネットワーク/ホスト オブジェクトを選択します。

[Interface]

DHCP 要求の外部 DHCP サーバへの転送に使用されるインターフェイスを入力または選択します。

DHCP サーバの設定

Dynamic Host Configuration Protocol(DHCP)サーバは、IP アドレスなどのネットワーク設定パラメータを DHCP クライアントに提供します。セキュリティ アプライアンスは、セキュリティ アプライアンスのインターフェイスに接続された DHCP クライアントに、DHCP サーバまたは DHCP リレー サービスを提供できます。DHCP サーバは、ネットワーク設定パラメータを DHCP クライアントに直接提供します。一方、DHCP リレーでは、あるインターフェイスで受信された DHCP 要求が、別のインターフェイスの背後にある外部 DHCP サーバに渡されます。DHCP リレーの詳細については、「[DHCP Relay] ページ」を参照してください。


) セキュリティ アプライアンス DHCP サーバは、BOOTP 要求をサポートしていません。

マルチコンテキスト モードでは、複数のコンテキストで使用されるインターフェイスで DHCP サーバまたは DHCP リレーをイネーブルにすることはできません。


セキュリティ アプライアンスの各インターフェイスで、DHCP サーバを設定できます。各インターフェイスは、アドレスの導出元としてそれぞれのアドレス プールを持つことができます。ただし、その他の DHCP 設定(DNS サーバ、ドメイン名、オプション、ping タイムアウト、WINS サーバなど)は、グローバルに設定され、すべてのインターフェイスの DHCP サーバによって使用されます。

DHCP サーバがイネーブルになっているインターフェイスで、DHCP クライアントまたは DHCP リレー サービスを設定することはできません。また、DHCP クライアントは、サーバがイネーブルになっているインターフェイスに直接接続する必要があります。

外部インターフェイスでファイアウォールも DHCP クライアントとして動作している場合は、IP 設定のオートネゴシエーションをイネーブルにできます。これにより、ファイアウォールは、(DHCP クライアントとして)外部インターフェイスから取得した DNS、WINS、およびドメイン名のパラメータを、内部ネットワークのホストに渡すことができます。あるいは、DNS、WINS、およびドメイン名のパラメータを手動で指定することもできます。これらのパラメータを手動で指定したが、自動設定も有効になっている場合、自動設定よりも手動で指定した値が優先されます。

DHCP サーバ定義を管理するには、「[DHCP Server] ページ」を使用します。

[DHCP Server] ページ

[DHCP Server] ページを使用して、グローバル DHCP サーバおよび Dynamic DNS(DDNS)での更新オプションの設定、1 つ以上のデバイス インターフェイスでの DHCP サーバの設定、および拡張サーバ オプションの設定を行います。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [DHCP Server] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Server Access] > [DHCP Server] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「DHCP サーバの設定」

フィールド リファレンス

 

表 39-6 [DHCP Server] ページ

要素
説明

[Ping Timeout]

ファイアウォール デバイスが DHCP ping 試行のタイム アウトを待機する時間をミリ秒単位で指定します。アドレス競合を回避するために、ファイアウォール デバイスは 2 つの ICMP ping パケットをアドレスに送信してから、そのアドレスを DHCP クライアントに割り当てます。有効値の範囲は 10 ~ 10000 ミリ秒です。

[Lease Length]

リースが期限切れになる前に、クライアントが割り当てられた IP アドレスを使用できる時間を秒単位で指定します。有効値の範囲は 300 ~ 1048575 秒です。デフォルト値は 3600 秒(1 時間)です。

[Enable auto-configuration](PIX および ASA 限定)

このオプションを選択すると、DHCP 自動設定がイネーブルになります。

DHCP 自動設定では、指定したインターフェイスで動作している DHCP クライアントから取得した DNS サーバ、ドメイン名、および WINS サーバの情報が、DHCP サーバから DHCP クライアントに提供されます。自動設定によって取得された情報のいずれかが手動でも指定されている場合は、手動で指定された情報の方が、検出された情報よりも優先されます。

[Interface]

[Enable auto-configuration] チェックボックスがオンになっている場合、このフィールドが使用可能になります。DNS、WINS、およびドメイン名のパラメータを提供する DHCP クライアントを実行しているインターフェイスを入力または選択します。

[Define settings] (任意)

[Domain Name]

DHCP クライアントの DNS ドメイン名を指定します。有効な DNS ドメイン名( example.com など)を入力します。

[Primary DNS Server]

IP アドレスを入力するか、または DHCP クライアントのプライマリ DNS サーバを表すネットワーク/ホスト オブジェクトを選択します。

[Primary WINS Server]

IP アドレスを入力するか、または DHCP クライアントのプライマリ WINS サーバを表すネットワーク/ホスト オブジェクトを選択します。

[Secondary DNS Server]

IP アドレスを入力するか、または DHCP クライアントの代替 DNS サーバを表すネットワーク/ホスト オブジェクトを選択します。

[Secondary WINS Server]

IP アドレスを入力するか、または DHCP クライアントの代替 WINS サーバを表すネットワーク/ホスト オブジェクトを選択します。

[Dynamic DNS Update]

[Enable Dynamic DNS Update]

グローバルな DDNS 更新オプションを定義する場合は、このチェックボックスをオンにします。

リソースレコード更新のタイプとして、[PTR Record only] または [A Record and PTR Record] を選択します。

[Override DHCP Client Request] も選択できます。選択した場合、DHCP クライアントによって要求されたすべての更新が、DHCP サーバ更新によって上書きされます。

これらのオプションは、ASA/PIX 7.2 以降でだけ使用可能です。

[DHCP Server Interface Configuration] テーブル

[Interface table]

このテーブルには、DHCP サーバ、DDNS 更新、またはその両方が設定されているデバイス インターフェイスが一覧表示されます。[Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、これらのエントリを管理します。

[Add Row] ボタンでは [Add DHCP Server Interface Configuration] ダイアログボックスが開き、[Edit Row] では [Edit DHCP Server Interface Configuration] ダイアログボックスが開きます。詳細については、「[Add DHCP Server Interface Configuration]/[Edit DHCP Server Interface Configuration] ダイアログボックス」を参照してください。

[Advanced Options]

[Advanced] ボタン

「[Add DHCP Server Advanced Configuration]/[Edit DHCP Server Advanced Configuration] ダイアログボックス」が開きます。

[Add DHCP Server Interface Configuration]/[Edit DHCP Server Interface Configuration] ダイアログボックス

これらのダイアログボックスを使用すると、DHCP をイネーブルにして、指定したインターフェイスに DHCP アドレス プールを指定したり、インターフェイスで Dynamic DNS(DDNS)更新をイネーブルにしたりすることができます。


) タイトルを除き、この 2 つのダイアログボックスは同じです。


ナビゲーション パス

[Add DHCP Server Interface Configuration] および [Edit DHCP Server Interface Configuration] ダイアログボックスには、「[DHCP Server] ページ」からアクセスできます。

関連項目

「DHCP サーバの設定」

フィールド リファレンス

 

表 39-7 [Add DHCP Server Interface Configuration]/[Edit DHCP Server Interface Configuration] ダイアログボックス

要素
説明

[Interface]

DHCP サーバを設定するインターフェイスを識別します。インターフェイス名を入力するか、またはインターフェイス オブジェクトを選択します。

[DHCP Address Pool]

DHCP サーバが IP アドレスの割り当て時に使用する IP アドレスまたは(ハイフンで区切った)アドレス範囲を入力します。範囲内の最初のアドレスと最後のアドレスは同じサブネット内に含まれている必要があります。最初のアドレスを最後のアドレスより大きくすることはできません。

[Enable DHCP Server]

このインターフェイスで DHCP サーバをイネーブルにするには、このチェックボックスをオンにします。

[Enable Dynamic DNS Update]

この DHCP サーバによる DDNS 更新をイネーブルにするには、このチェックボックスをオンにします。更新するレコードを指定します。

[PTR Record only]

[A Record and PTR Record]

[Override DHCP Client Request] も選択できます。選択した場合、DHCP クライアントによって要求されたすべての更新が、DHCP サーバ更新によって上書きされます。

[Add DHCP Server Advanced Configuration]/[Edit DHCP Server Advanced Configuration] ダイアログボックス

[Add DHCP Server Advanced Configuration]/[Edit DHCP Server Advanced Configuration] ダイアログボックスでは、DHCP サーバに設定されている DHCP オプションを管理できます。これらのオプションは、DHCP クライアントに追加の情報を提供します。たとえば、DHCP オプション 150 および DHCP オプション 66 は、Cisco IP Phone および Cisco IOS ルータに TFTP サーバ情報を提供します。

ナビゲーション パス

[Add DHCP Server Advanced Configuration]/[Edit DHCP Server Advanced Configuration] ダイアログボックスにアクセスするには、「[DHCP Server] ページ」で [Advanced] ボタンをクリックします。

関連項目

「DHCP サーバの設定」

フィールド リファレンス

 

表 39-8 [Add DHCP Server Advanced Configuration]/[Edit DHCP Server Advanced Configuration] ダイアログボックス

要素
説明

[Options] テーブル

このテーブルには、設定されている DHCP サーバ オプションが一覧表示されます。[Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、これらのエントリを管理します。

[Add Row] ボタンでは [Add DHCP Server Interface Configuration] ダイアログボックスが開き、[Edit Row] では [Edit DHCP Server Interface Configuration] ダイアログボックスが開きます。詳細については、「[Add DHCP Server Option]/[Edit DHCP Server Option] ダイアログボックス」を参照してください。

[Add DHCP Server Option]/[Edit DHCP Server Option] ダイアログボックス

[Add DHCP Server Option]/[Edit DHCP Server Option] ダイアログボックスでは、DHCP クライアントに追加情報を提供する DHCP サーバ オプション パラメータを設定できます。たとえば、DHCP オプション 150 および DHCP オプション 66 は、Cisco IP Phone および Cisco IOS ルータに TFTP サーバ情報を提供します。

ナビゲーション パス

[Add DHCP Server Option]/[Edit DHCP Server Option] ダイアログボックスには、「[Add DHCP Server Advanced Configuration]/[Edit DHCP Server Advanced Configuration] ダイアログボックス」からアクセスできます。

関連項目

「DHCP サーバの設定」

「[DHCP Server] ページ」

フィールド リファレンス

 

表 39-9 [Add DHCP Server Option]/[Edit DHCP Server Option] ダイアログボックス

要素
説明

[Option Code]

使用可能なオプション コードのリストから、オプションを選択します。1、12、50-54、58-59、61、67、および 82 以外のすべての DHCP オプション(オプション 1 ~ 255)がサポートされています。

DHCP オプション コードの詳細については、cisco.com の『 DHCP Options Reference 』を参照してください。

[Type]

オプションが DHCP クライアントに返す情報のタイプを選択します。

[IP]:このタイプを選択すると、1 つまたは 2 つの IP アドレスが DHCP クライアントに返されます。最大 2 つの IP アドレスを指定します。

[ASCII]:このタイプを選択すると、ASCII 値が DHCP クライアントに返されます。ASCII 文字列を指定します。スペースを含めることはできません。

[HEX]:このタイプを選択すると、16 進数値が DHCP クライアントに返されます。桁数が偶数の HEX 文字列を、スペースを含めずに指定します。0x プレフィクスを使用する必要はありません。

[DNS] ページ

[DNS] ページでは、ファイアウォール デバイスに 1 つ以上の DNS サーバを指定して、それらのサーバ名を WebVPN 設定または証明書設定内の IP アドレスに解決できるように設定できます。サーバ名(AAA など)を定義するその他の機能では、DNS 解決がサポートされていないため、IP アドレスを入力するか、または手動で名前を IP アドレスに解決する必要があります。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [DNS] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Server Access] > [DNS] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「[Add DNS Server] ダイアログボックス」

フィールド リファレンス

 

表 39-10 [DNS] ページ

要素
説明

[DNS Server Groups] テーブル

このテーブルには、現在定義されている DNS サーバ グループが一覧表示されます。テーブルの下の [Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、これらのグループ エントリを管理します。

[Add Row] ボタンでは [Add DNS Server Group] ダイアログボックスが開き、[Edit Row] ボタンでは [Edit DNS Server Group] ダイアログボックスが開きます。タイトルを除き、これらのダイアログボックスは同じです。詳細については、「[Add DNS Server Group] ダイアログボックス」を参照してください。

[DNS Lookup Interfaces]

DNS ルックアップをイネーブルにするインターフェイスが一覧表示されます。1 つ以上のインターフェイスを入力または選択します。

[Enable DNS Guard](ASA/PIX 7.0(5)、7.2(x)、および 8.x 限定)

このチェックボックスをオンにすると、選択したデバイスまたは共有ポリシーで DNS Guard がイネーブルになります。DNS Guard は、セキュリティ アプライアンスによって DNS 応答が転送されるとすぐに、DNS クエリーと関連付けられた DNS セッションをティアダウンします。また、DNS Guard は、メッセージ交換をモニタして、DNS 応答の ID が DNS クエリーの ID と一致することを確認します。

このコマンドは、DNS 検査がディセーブルになっているインターフェイスでだけ有効になります。DNS 検査がイネーブルになっている場合、DNS Guard 機能は常に実行されます。

(注) 7.0(5) よりも前のリリースでは、DNS 検査の設定に関係なく、DNS Guard 機能は常にイネーブルになります。

[Add DNS Server Group] ダイアログボックス

[Add DNS Server Group] ダイアログボックスを使用して、セキュリティ デバイスがサーバ名を WebVPN または証明書設定内の IP アドレスに解決するときに使用する、DNS サーバ グループの DNS サーバおよび設定を定義します。


) このダイアログボックスと [Edit DNS Server Group] ダイアログボックスは、タイトルを除けば同じです。次の説明は両方に適用されます。


ナビゲーション パス

[Add DNS Server Group] および [Edit DNS Server Group] ダイアログボックスには、「[DNS] ページ」からアクセスできます。

フィールド リファレンス

 

表 39-11 [Add DNS Server Group]/[Edit DNS Server Group] ダイアログボックス

要素
説明

[Name]

DNS サーバ グループの名前を指定します。

[DNS Servers]

このグループ内の DNS サーバが一覧表示されます。DNS 要求を転送可能な宛先のサーバを最大 6 台指定できます。セキュリティ アプライアンスは、応答を受け取るまで、各 DNS サーバを上から順に試行します。

(注) また、「[DNS] ページ」の [DNS Lookup] セクションで、DNS がイネーブルになっているインターフェイスを少なくとも 1 つ指定する必要があります。

このリストの隣の各ボタンを使用して、エントリを管理します。上から順に次の機能があります。

DNS サーバをリストに追加する。「[Add DNS Server] ダイアログボックス」が開きます。

リストから、選択されている DNS サーバ エントリを削除する。

現在選択されているエントリを 1 つ上の行に移動する。

現在選択されているエントリを 1 つ下の行に移動する。

[Timeout]

次の DNS サーバの試行を待機する秒数を 1 ~ 30 の範囲で指定します。デフォルトは 2 秒です。セキュリティ デバイスがサーバのリストを再試行するたびに、このタイムアウトは 2 倍に増えます。

[Retries]

セキュリティ デバイスが応答を受信しない場合に DNS サーバのリストを再試行する回数を、0 ~ 10 の範囲で指定します。

[Domain Name]

任意で、サーバの有効な DNS ドメイン名を指定します( dnsexample.com など)。

[Add DNS Server] ダイアログボックス

[Add DNS Server] ダイアログボックスを使用して、[Add DNS Server Group] または [Edit DNS Server Group] ダイアログボックス内の DNS サーバ リストに DNS サーバを追加します。

DNS サーバの IP アドレスを入力するか、またはネットワーク/ホスト オブジェクトの名前を選択します。

ナビゲーション パス

[Add DNS Server] ダイアログボックスには、[Add DNS Server Group] または [Edit DNS Server Group] ダイアログボックスからアクセスできます。これらのダイアログボックスの詳細については、「[Add DNS Server Group] ダイアログボックス」を参照してください。

関連項目

「[DNS] ページ」

DDNS の設定

Dynamic DNS(DDNS)は、DHCP で割り当てられた IP アドレスが頻繁に変更されても各ホストが互いを検出できるように、IP アドレスとドメイン名のマッピングの更新を行います。また、バージョン 7.2(3) 以降では、Cisco セキュリティ アプライアンスは DDNS 更新を生成できます。この機能は、[DDNS] ページで設定します。

DDNS マッピングは、DHCP サーバで 2 種類の Resource Record(RR)内で管理されます。アドレス( A )レコードには、名前から IP アドレスへのマッピングが含まれ、ポインタ( PTR )レコードはアドレスをホスト名にマップします。

DDNS は、定義した間隔で割り当て済みのアドレスとホスト名の間のアソシエーションを自動的に記録するため、アドレスとホスト名のアソシエーションを頻繁に変更することができます。これにより、たとえばモバイル ホストは、ユーザまたは管理者が操作することなく、ネットワーク内を自由に移動できます。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [DDNS] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Server Access] > [DDNS] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 39-12 [DDNS] ページ

要素
説明

[Dynamic DNS Interface Settings]

このテーブルには、現在定義されている DDNS インターフェイス更新方式が一覧表示されます。[Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、これらの方式を管理します。[Add Row] および [Edit Row] ボタンを使用すると、「[Add DDNS Interface Rule]/[Edit DDNS Interface Rule] ダイアログボックス」が開きます。

[DHCP Client requests DHCP Server to update records]

DHCP クライアント更新要求のための、アプライアンスでのグローバル設定。このオプションでは、クライアントが DHCP サーバを介して DDNS 更新を送信できるようにし、更新するレコード(PTR リソース レコード、A リソース レコードと PTR リソース レコードの両方、またはどちらも更新しない)を指定します。[Not Selected]、[Only PTR Record]、[Both A and PTR Record]、または [No Update] を選択します。

[DHCP Client ID Interface]

グローバル DHCP クライアントの更新要求で使用するインターフェイスを指定します。インターフェイス名または IP アドレスを入力するか、インターフェイス オブジェクトを選択します。

[Enable DHCP Client Broadcast]

このオプションを選択すると、デバイス上の DHCP クライアントが DDNS 更新をブロードキャストできます。ASA/PIX 7.2(3)+ デバイスだけで選択可能です。

[Add DDNS Interface Rule]/[Edit DDNS Interface Rule] ダイアログボックス

[Add DDNS Interface Rule]/[Edit DDNS Interface Rule] ダイアログボックスを使用して、Dynamic DNS 更新の規則を管理します。これらの規則は、インターフェイスごとに定義します。

ナビゲーション パス

[Add DDNS Interface Rule]/[Edit DDNS Interface Rule] ダイアログボックスには、「DDNS の設定」からアクセスします。

関連項目

「[DDNS Update Methods] ダイアログボックス」

「[Add DDNS Update Methods]/[Edit DDNS Update Methods] ダイアログボックス」

フィールド リファレンス

 

表 39-13 [Add DDNS Interface Rule]/[Edit DDNS Interface Rule] ダイアログボックス

要素
説明

[Interface]

DDNS を設定するインターフェイスの名前を入力または選択します。

(注) 指定したインターフェイスでは、DHCP がイネーブルになっている必要があります。

[Method Name]

以前に定義されている DDNS 更新方式を選択するか、または [Add Update Method]/[Edit Update Method] を選択して新しい方式を定義します。「[DDNS Update Methods] ダイアログボックス」ダイアログボックスが開きます。

[Hostname]

更新の送信先の DDNS サーバ ホストの名前を入力します。

[DHCP Client requests DHCP Server to update records]

インターフェイスでの DHCP クライアントの更新要求の設定。DHCP サーバが、PTR リソース レコードだけを更新するか、A リソース レコードと PTR リソース レコードの両方を更新するか、またはどちらも更新しないかを指定します。

[Not Selected]、[Only PTR Record]、[Both A and PTR Record]、または [No Update] を選択します。[Not Selected] 以外の項目を選択すると、「DDNS の設定」のグローバル設定が上書きされます。

[DDNS Update Methods] ダイアログボックス

[DDNS Update Methods] ダイアログボックスを使用して、Dynamic DNS 更新の方式を管理します。定義済みの方式ではそれぞれ、更新間隔と、更新対象のリソース レコードが指定されています。

ナビゲーション パス

[DDNS Update Methods] ダイアログボックスにアクセスするには、「[Add DDNS Interface Rule]/[Edit DDNS Interface Rule] ダイアログボックス」の [Method Name] ドロップダウン リストから [Add Update Method]/[Edit Update Method] を選択します。

関連項目

「DDNS の設定」

フィールド リファレンス

 

表 39-14 [DDNS Update Methods] ダイアログボックス

要素
説明

[Update Methods]

このテーブルには、現在定義されている更新方式が一覧表示されます。テーブルの下のボタンを使用して、これらのエントリを管理します。

[Add Row] ボタン

新しい更新方式を定義できる「[Add DDNS Update Methods]/[Edit DDNS Update Methods] ダイアログボックス」が開きます。

[Edit Row] ボタン

テーブルで現在選択されている方式を編集できる「[Add DDNS Update Methods]/[Edit DDNS Update Methods] ダイアログボックス」が開きます。

[Delete Row] ボタン

[Update Methods] テーブルで現在選択されている方式を削除します。確認が必要になることがあります。

[Add DDNS Update Methods]/[Edit DDNS Update Methods] ダイアログボックス

[Add DDNS Update Methods]/[Edit DDNS Update Methods] ダイアログボックスを使用して、DDNS 更新方式を定義または編集します。現在定義されている方式は、「[DDNS Update Methods] ダイアログボックス」に一覧表示されます。

ナビゲーション パス

[Add DDNS Update Methods]/[Edit DDNS Update Methods] ダイアログボックスにアクセスするには、「[DDNS Update Methods] ダイアログボックス」で [Add Row] または [Edit Row] ボタンをクリックします。

関連項目

「DDNS の設定」

フィールド リファレンス

 

表 39-15 [Add DDNS Update Methods]/[Edit DDNS Update Methods] ダイアログボックス

要素
説明

[Method Name]

この方式の識別子を指定します。

[Update Interval]

この方式でのレコードの更新頻度を指定します。日数、時間数、分数、および秒数を指定します。時間、分、および秒のデフォルト値は 0 ですが、[Day] のデフォルト値はないため、[Day] には数字を入力する必要があります。

[Update Records]

更新するリソース レコードを指定します。[Not Defined]、[A Records]、または [Both A and PTR Records] を選択します。[A Records] または [Both A and PTR Records] を選択すると、「[Add DDNS Interface Rule]/[Edit DDNS Interface Rule] ダイアログボックス」の設定が上書きされます。

[NTP] ページ

正確に同期された時刻をネットワーク システムに提供するサーバの階層システムを実装するには、Network Time Protocol(NTP; ネットワーク タイム プロトコル)を使用します。正確なタイム スタンプが関連する時間依存操作(Certificate Revocation List(CRL; 証明書失効リスト)など)では、時刻が正確である必要があります。複数の NTP サーバを設定できます。セキュリティ デバイスは、(データの信頼度を測る手段として)最下層のサーバを選択します。

[NTP] ページを使用して、NTP をイネーブルにし、セキュリティ デバイスの時刻を動的に設定するために使用する NTP サーバを管理します。


) NTP サーバから取得された時刻によって、[Clock] パネルで手動で設定した時刻が上書きされます。


ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [NTP] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Server Access] > [NTP] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 39-16 [NTP] ページ

要素
説明

[Enable NTP Authentication]

NTP サーバでの認証をイネーブルまたはディセーブルにします。認証をディセーブルにしても、設定されているサーバのリストは変更されません。

認証をイネーブルにした場合、セキュリティ アプライアンスは、パケット内で適切な trusted key を使用している場合にだけ、NTP サーバと通信します。また、セキュリティ アプライアンスは、認証キーを使用して NTP サーバと同期します。

[NTP Server Table]

現在設定されている NTP サーバが一覧表示されます。[Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、このリストを管理します。[Add Row] および [Edit Row] ボタンを使用すると、「[NTP Server Configuration] ダイアログボックス」が開きます。

[NTP Server Configuration] ダイアログボックス

[NTP Server Configuration] ダイアログボックスを使用して、NTP サーバ定義を追加または編集します。

ナビゲーション パス

[NTP Server Configuration] ダイアログボックスには、「[NTP] ページ」からアクセスできます。

フィールド リファレンス

 

表 39-17 [NTP Server Configuration] ダイアログボックス

要素
説明

[IP Address]

NTP サーバの IP アドレスを入力または選択します。

[Preferred]

このチェックボックスをオンにした場合、複数のサーバの精度が同程度であれば、この NTP サーバが優先サーバとなります。

NTP では、どのサーバの精度が最も高いか判断するためのアルゴリズムを使用し、そのサーバに同期します。複数のサーバの精度が同程度であれば、このオプションで指定されたサーバが使用されます。ただし、優先サーバよりもはるかに精度の高いサーバがある場合、セキュリティ アプライアンスによって精度の高い方のサーバが使用されます。たとえば、セキュリティ アプライアンスでは、第 3 層の優先サーバではなく第 2 層のサーバが使用されます。複数のサーバの層が同じである可能性が高い場合にだけ、NTP サーバを優先サーバとして設定することを推奨します。

[Interface]

ルーティング テーブル内のデフォルト インターフェイスを上書きする場合は、NTP トラフィックに使用するインターフェイスを入力または選択します。

[Authentication Key]:NTP サーバとの通信に MD5 認証を使用する場合、このセクション内のパラメータによって認証キーの属性を設定します。

[Key Number]

この認証キーの ID を入力します。NTP サーバのパケットも、常にこのキー ID を使用する必要があります。以前に別のサーバに対してキー ID を設定した場合は、そのキー ID をリストから選択できます。それ以外の場合は、1 ~ 4294967295 の数字を入力します。

[Trusted]

このキーを trusted key として設定します。認証を正常に行うには、このオプションを選択する必要があります。

[Key Value]

認証キーを最大 32 文字の文字列として入力します。

[Confirm]

認証キーが正しいことを確認するために、再入力します。

[SMTP Server] ページ

[SMTP Server] ページを使用して、SMTP サーバの IP アドレスを指定します。また任意で、特定のイベントに対して電子メール アラートおよび通知を送信する先のバックアップ サーバの IP アドレスを指定します。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [SMTP Server] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Server Access] > [SMTP Server] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 39-18 [SMTP Server] ページ

要素
説明

[Primary Server IP Address]

SMTP サーバの IP アドレスを入力または選択します。

[Secondary Server IP Address]

バックアップ SMTP サーバの IP アドレスを入力または選択します。

[TFTP Server] ページ

Trivial File Transfer Protocol(TFTP; トリビアル ファイル転送プロトコル)は、RFC783 および RFC1350 Rev で規定されているシンプルなクライアント/サーバ ファイル転送プロトコルです。2.[TFTP Server] ページを使用して、セキュリティ アプライアンスが実行設定のコピーを TFTP サーバに転送できるように、セキュリティ アプライアンスを TFTP クライアントとして設定できます。この方法で、設定ファイルをバックアップして、複数のセキュリティ アプライアンスに伝播できます。1 台のサーバだけがサポートされます。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [TFTP Server] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Server Access] > [TFTP Server] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 39-19 [TFTP Server] ページ

要素
説明

[Interface]

TFTP サーバへのアクセスに使用するインターフェイスの名前を入力または選択します。

[IP Address]

TFTP サーバの IP アドレスを入力または選択します。

[Directory]

TFTP サーバ上のパスを入力します。先頭はスラッシュ(/)にし、末尾を設定ファイルの書き込み先のファイル名にします( /tftpboot/asa/config3 など)。

(注) パスは、スラッシュ(/)で開始する必要があります。