Cisco Security Manager 4.1 ユーザ ガイド
ファイアウォール デバイスでのデバイス アク セスの設定
ファイアウォール デバイスでのデバイス アクセスの設定
発行日;2012/05/10 | 英語版ドキュメント(2011/03/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ファイアウォール デバイスでのデバイス アクセスの設定

コンソール タイムアウトの設定

[HTTP] ページ

[HTTP Configuration] ダイアログボックス

ICMP の設定

[Add ICMP]/[Edit ICMP] ダイアログボックス

管理アクセスの設定

セキュア シェル アクセスの設定

[Add SSH Host]/[Edit SSH Host] ダイアログボックス

SNMP の設定

SNMP の用語

[SNMP] ページ

[SNMP Trap Configuration] ダイアログボックス

[Add SNMP Host Access Entry] ダイアログボックス

[Telnet] ページ

[Telnet Configuration] ダイアログボックス

ファイアウォール デバイスでのデバイス アクセスの設定

ポリシー セレクタの [Device Admin] フォルダの下にある [Device Access] セクションには、ファイアウォール デバイスへのアクセスを定義するためのページがあります。

この章は、次の内容で構成されています。

「コンソール タイムアウトの設定」

「[HTTP] ページ」

「ICMP の設定」

「管理アクセスの設定」

「セキュア シェル アクセスの設定」

「SNMP の設定」

「[Telnet] ページ」

コンソール タイムアウトの設定

[Console] ページを使用して、非アクティブなコンソール セッションのタイムアウト値を指定します。指定した時間制限に達した場合は、コンソール セッションが終了します。

[Console Timeout] フィールドに、コンソール セッションがデバイスによって閉じられる前にアイドル状態でいられる時間(分単位)を入力します。有効値は、0 ~ 60 分です。コンソール セッションがタイムアウトにならないようにするには、0 を入力します。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [Console] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Device Access] > [Console] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「ファイアウォール デバイスでのデバイス アクセスの設定」

[HTTP] ページ

[HTTP] ページのテーブルを使用して、デバイス上の HTTP サーバにアクセスするように設定されたインターフェイスと、それらのインターフェイスでの HTTP から HTTPS へのリダイレクトを管理します。このページから、デバイス上の HTTP サーバをイネーブルまたはディセーブルにすることもできます。特定のデバイス マネージャから管理者アクセスを行うには、HTTPS アクセスが必要です。


) HTTP をリダイレクトするには、インターフェイスに HTTP を許可するアクセス リストが必要です。このアクセス リストがないと、インターフェイスはポート 80、または HTTP 用に設定した他のポートをリッスンできません。


ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [HTTP] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Device Access] > [HTTP] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 45-1 [HTTP] ページ

要素
説明

[HTTP Interface] テーブル

このテーブルの [Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、HTTP-to-HTTPS リダイレクトが設定されているデバイス インターフェイスを管理します。[Add Row] および [Edit Row] を使用すると、「[HTTP Configuration] ダイアログボックス」が開きます。

[Enable HTTP Server]

デバイス上で HTTP サーバをイネーブルまたはディセーブルにします。イネーブルになっている場合は、サーバの通信 ポート を指定できます。ポートの範囲は 1 ~ 65535 です。デフォルトは 443 です。

[HTTP Configuration] ダイアログボックス

[HTTP Configuration] ダイアログボックスを使用して、特定のインターフェイスを介してデバイス上の HTTP サーバへのアクセスを許可されるホストまたはネットワークを追加または編集します。HTTP リダイレクトをイネーブルおよびディセーブルにすることもできます。

ナビゲーション パス

[HTTP Configuration] ダイアログボックスには、「[HTTP] ページ」からアクセスできます。

フィールド リファレンス

 

表 45-2 [HTTP Configuration] ダイアログボックス

要素
説明

[Interface Name]

デバイス上の HTTP サーバへのアクセスが許可されるインターフェイスを入力または選択します。

[IP Address/Netmask]

デバイスとの HTTP 接続の確立を許可されるホストまたはネットワークの IP アドレスとネットマスクをスラッシュ(「/」)で区切って入力します。または、[Select] をクリックして、ネットワーク/ホスト オブジェクトを選択できます。

[Enable Authentication Certificate]

このオプションは、HTTP 接続を確立するためにユーザ証明認証を要求する場合に選択します。ASA および PIX 8.0(2)+ デバイスでは、認証 ポート を指定できます。

[Redirect port]

セキュリティ アプライアンスが HTTPS にリダイレクトする HTTP 要求をリッスンするポート。HTTP リダイレクトをディセーブルにするには、このフィールドがブランクであることを確認します。

ICMP の設定

[ICMP] ページのテーブルを使用して、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)規則を管理します。この規則では、セキュリティ デバイス上の特定のインターフェイスへの ICMP アクセスを許可または拒否するすべてのホストまたはネットワークのアドレスを指定します。

ICMP 規則では、任意のデバイス インターフェイス上で終了する ICMP トラフィックを制御します。ICMP 制御リストが設定されていない場合、デバイスは、外部インターフェイスを含む任意のインターフェイスで終了するすべての ICMP トラフィックを受け入れます。ただし、デフォルトでは、デバイスはブロードキャスト アドレスに送信された ICMP エコー要求に応答しません。

ICMP Unreachable メッセージ(タイプ 3)は常に許可することを推奨します。ICMP Unreachable メッセージを拒否すると、ICMP パス MTU ディスカバリがディセーブルになり、IPsec および PPTP トラフィックが停止することがあります。パス MTU ディスカバリの詳細については、RFC 1195 および RFC 1435 を参照してください。

ICMP 制御リストが設定されている場合、デバイスは ICMP トラフィックとの最初の一致を使用し、続いて暗黙的な deny all を使用します。つまり、最初に一致したエントリが許可エントリの場合は、ICMP パケットの処理を継続します。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しない場合、デバイスは ICMP パケットを廃棄し、syslog メッセージを生成します。ICMP 制御リストが設定されていない場合は、すべてのケースで許可規則が想定されます。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [ICMP] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Device Access] > [ICMP] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 45-3 [ICMP] ページ

要素
説明

[ICMP Rules] テーブル

このテーブルの下にある [Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、ICMP 規則を管理します。[Add Row] を選択すると、[Add ICMP] ダイアログボックスが開きます。[Edit Row] を選択すると、[Edit ICMP] ダイアログボックスが開きます。これらのダイアログボックスについては、「[Add ICMP]/[Edit ICMP] ダイアログボックス」を参照してください。

[ICMP Unreachable Parameters]

[Rate Limit]

このデバイス上のインターフェイスで終了する ICMP トラフィックについて、デバイスが 1 秒間に転送できる ICMP Unreachable メッセージの最大数です。この値は、1 ~ 100 メッセージ/秒です。デフォルトは 1 メッセージ/秒です。

[Burst Size]

ICMP Unreachable メッセージのバースト サイズ。1 ~ 10 の値を指定できます。

(注) このパラメータは、現在システムでは使用されていないため、任意の値を選択できます。

[Add ICMP]/[Edit ICMP] ダイアログボックス

[Add ICMP] ダイアログボックスを使用して、ICMP 規則を追加します。この規則では、指定したデバイス インターフェイス上で指定した ICMP アクセスを許可または拒否されるホスト/ネットワークを指定します。


) [Edit ICMP] ダイアログボックスは、事実上 [Add ICMP] ダイアログボックスと同じであり、既存の ICMP 規則の修正に使用します。次の説明は、両方のダイアログボックスに適用されます。


ナビゲーション パス

[Add ICMP]/[Edit ICMP] ダイアログボックスには、「ICMP の設定」からアクセスできます。

フィールド リファレンス

 

表 45-4 [Add ICMP]/[Edit ICMP] ダイアログボックス

要素
説明

[Action]

この規則によって、指定したインターフェイス上の指定したネットワークからの選択した ICMP サービス メッセージが許可されるか、または拒否されるか。次のどちらかを選択します。

[Permit]:指定したネットワーク/ホストからの ICMP メッセージは、指定したインターフェイスに対して許可されます。

[Deny]:指定したネットワーク/ホストから指定したインターフェイスへの ICMP メッセージはドロップされます。

[ICMP Service]

規則を適用する特定の ICMP サービス メッセージを入力または選択します。

[Interface]

これらの ICMP メッセージの送信先のデバイス インターフェイスを入力または選択します。

[Network]

ホストまたは IP アドレスを入力するか、ネットワーク/ホスト オブジェクトを選択して、指定した ICMP メッセージの送信元を定義します。

管理アクセスの設定

[Management Access] ページを使用して、高セキュリティ インターフェイスへのアクセスをイネーブルまたはディセーブルにして、デバイスに対して管理機能を実行できるようにします。内部インターフェイスでこの機能をイネーブルにして、IPsec VPN トンネル上のインターフェイスで管理機能を実行可能にできます。管理アクセス機能は、一度に 1 つのインターフェイスでだけイネーブルにすることができます。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [Management Access] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Device Access] > [Management Access] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

管理アクセスのイネーブル化とディセーブル化

[Management Access Interface] フィールドで、管理アクセス接続を許可するデバイス インターフェイスの名前を入力します。[Select] をクリックすると、インターフェイス オブジェクトのリストからインターフェイスを選択できます。

管理アクセス機能は、一度に 1 つのインターフェイスでだけイネーブルにすることができます。

管理アクセスをディセーブルにするには、[Management Access Interface] フィールドをクリアします。

セキュア シェル アクセスの設定

[Secure Shell] ページを使用して、SSH プロトコルを使用したセキュリティ デバイスへの管理アクセスを許可する規則を設定します。規則では、特定の IP アドレスとネットマスクへの SSH アクセスが制限されます。これらの規則に準拠する任意の SSH 接続試行は、AAA サーバまたは Telnet パスワードによって認証される必要があります。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [Secure Shell] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Device Access] > [Secure Shell] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 45-5 [Secure Shell] ページ

要素
説明

[SSH Version]

デバイスによって受け入れられる SSH バージョンを指定します。 1 2 、または 1 と 2 を選択します。デフォルトでは、SSH バージョン 1 接続および SSH バージョン 2 接続が受け入れられます。

[Timeout]

セキュア シェル セッションがデバイスによって閉じられる前にアイドル状態でいられる時間(分単位)を 1 ~ 60 で入力します。デフォルト値は 5 分です。

[Allowed Hosts] テーブル

このテーブルの下にある [Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、SSH を介したセキュリティ デバイスへの接続を許可するホストを管理します。[Add Row] を選択すると、[Add Host] ダイアログボックスが開きます。[Edit Row] を選択すると、[Edit Host] ダイアログボックスが開きます。これらのダイアログボックスについては、「[Add SSH Host]/[Edit SSH Host] ダイアログボックス」を参照してください。

[Enable Secure Copy]

このボックスをオンにして、セキュリティ アプライアンス上の Secure Copy(SCP; セキュア コピー)サーバをイネーブルにします。これにより、アプライアンスはデバイスとの間でファイルを転送するための SCP サーバとして機能できます。SSH を使用したセキュリティ アプライアンスへのアクセスを許可されるクライアントだけが、セキュア コピー接続を確立できます。

セキュア コピー サーバのこの実装には、次の制限があります。

サーバはセキュア コピーの接続を受け入れまたは終了できますが、開始はできません。

サーバにはディレクトリ サポートがありません。ディレクトリ サポートがないため、セキュリティ アプライアンスの内部ファイルへのリモート クライアント アクセスが制限されます。

サーバではバナーがサポートされません。

サーバではワイルドカードがサポートされません。

セキュリティ アプライアンス ライセンスには、SSH バージョン 2 接続をサポートするための VPN-3DES-AES 機能が必要です。

[Add SSH Host]/[Edit SSH Host] ダイアログボックス

[Add SSH Host] ダイアログボックスを使用して、SSH アクセス規則を追加します。


) [Edit Host] ダイアログは、事実上 [Add Host] ダイアログボックスと同じであり、既存の SSH アクセス規則の修正に使用されます。次の説明は、両方のダイアログボックスに適用されます。


ナビゲーション パス

[Add Host]/[Edit Host] ダイアログボックスには、「セキュア シェル アクセスの設定」からアクセスできます。

フィールド リファレンス

 

表 45-6 [Add Host]/[Edit Host] ダイアログボックス

要素
説明

[Interface]

SSH 接続が許可されるデバイス インターフェイスの名前を入力または選択します。

[IP Addresses]

指定したインターフェイス上のセキュリティ デバイスとの SSH 接続の確立を許可される各ホストまたはネットワークの名前または IP アドレスを入力します。複数のエントリを区切るにはカンマを使用します。[Select] をクリックして、リストからネットワーク/ホスト オブジェクトを選択することもできます。

SNMP の設定

Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)は、PC またはワークステーションで実行されているネットワーク管理ステーションが、スイッチ、ルータ、セキュリティ アプライアンスなどのさまざまなタイプのデバイスのヘルスとステータスをモニタするための標準的な方法を定義します。[SNMP] ページを使用して、SNMP 管理ステーションによってモニタされるようにファイアウォール デバイスを設定できます。

Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)は、集中管理する場所からのネットワーク デバイスのモニタリングをイネーブルにします。Cisco セキュリティ アプライアンスでは、SNMP バージョン 1 および 2c を使用したネットワーク モニタリングに加えて、トラップおよび SNMP 読み取りアクセスがサポートされます。SNMP 書き込みアクセスはサポートされません。

Network Management Station(NMS; ネットワーク管理ステーション)に「トラップ」(イベント通知)を送信するようにセキュリティ アプライアンスを設定したり、NMS を使用してセキュリティ アプライアンス上の Management Information Bases(MIB; 管理情報ベース)を参照したりできます。CiscoWorks for Windows またはその他の任意の SNMP MIB-II 対応ブラウザを使用して、SNMP トラップを受信し、MIB を参照します。

セキュリティ アプライアンスには、指定したイベントが発生した場合(たとえばネットワーク上のリンクが起動またはダウンした場合)に指定した管理ステーションに通知する SNMP エージェントがあります。通知には、管理ステーションに対してデバイスを識別する SNMP システム Object ID(OID; オブジェクト ID)が含まれます。セキュリティ アプライアンス SNMP エージェントは、管理ステーションが情報を要求した場合にも応答します。

SNMP MIB および OID

SNMP トラップは、ネットワーク デバイスで発生した重要イベント(ほとんどの場合はエラーまたは障害)をレポートします。SNMP トラップは、標準またはエンタープライズ固有の Management Information Bases(MIB; 管理情報ベース)で定義されています。

標準トラップと MIB は、Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)によって作成され、各種 RFC に文書化されています。標準トラップは、セキュリティ アプライアンス ソフトウェアにコンパイルされます。必要に応じて、RFC、標準 MIB、および標準トラップを IETF Web サイト http://www.ietf.org/ からダウンロードできます。

Cisco MIB ファイルおよび OID については、 http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml を参照してください。OID は、FTP サイト ftp://ftp.cisco.com/pub/mibs/oid/oid.tar.gz からダウンロードできます。

ここでは、次の内容について説明します。

「SNMP の用語」

「[SNMP] ページ」

SNMP の用語

一般的な SNMP 用語の定義をいくつか示します。

エージェント :セキュリティ アプライアンス上で実行されている SNMP サーバ。エージェントは情報の要求と管理ステーションからのアクションに応答します。エージェントは、Management Information Base(MIB; 管理情報ベース)(SNMP マネージャから表示または変更できるデータ オブジェクトの集合)へのアクセスも制御します。

管理ステーション :SNMP イベントをモニタし、セキュリティ アプライアンスなどのデバイスを管理するように設定された PC またはワークステーション。管理ステーションは、ハードウェア障害など、対処する必要のあるイベントに関するメッセージも受信できます。

MIB :エージェントは、Management Information Bases(MIB; 管理情報ベース)と呼ばれる標準化されたデータ構造をメンテナンスします。MIB は、パケット、接続、エラーのカウンタ、バッファ使用状況、フェールオーバーのステータスなどの情報の収集に使用されます。MIB の番号は、特定の製品、およびほとんどのネットワーク デバイスで使用される共通プロトコルとハードウェア規格に対して定義されています。SNMP 管理ステーションでは、MIB を参照したり、特定のフィールドだけを要求したりできます。一部のアプリケーションでは、管理の目的で MIB データを修正できます。

OID :SNMP 標準は、管理ステーションが SNMP エージェントでネットワーク デバイスを一意に識別したり、モニタおよび表示される情報のソースをユーザに示したりできるように、システム Object ID(OID; オブジェクト ID)を割り当てます。

トラップ :SNMP エージェントから管理ステーションへのメッセージを生成する、指定されたイベント。イベントには、リンクアップ、リンクダウン、コールドスタート、認証、syslog イベントなどのアラーム条件が含まれます。

[SNMP] ページ

[SNMP] ページを使用して、Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)管理ステーションによってモニタされるようにセキュリティ アプライアンスを設定します。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [SNMP] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Device Access] > [SNMP] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「SNMP の設定」

フィールド リファレンス

 

表 45-7 [SNMP] ページ

要素
説明

[Enable SNMP Servers]

このオプションを選択すると、指定したインターフェイスの SNMP 情報がセキュリティ デバイスから提供されます。このオプションの選択を解除すると、設定情報を保持したまま、SNMP モニタリングをディセーブルにできます。

[Read Community String]

[Confirm]

要求をこのデバイスに送信するときに SNMP 管理ステーションで使用されるパスワードを入力します。SNMP コミュニティ ストリングは、SNMP 管理ステーションと管理対象のネットワーク ノード間の共有秘密キーです。セキュリティ デバイスでは、このパスワードを使用して、着信 SNMP 要求が有効かどうかを判断します。パスワードは大文字小文字が区別される、最大 32 文字の英数字の文字列です。スペースは使用できません。

[Confirm] フィールドにパスワードを再度入力し、パスワードが正しく入力されたことを確認します。

[System Administrator Name]

デバイス管理者またはその他の担当者の名前を入力します。この文字列は大文字と小文字が区別され、最大 127 文字です。スペースを使用できますが、複数のスペースを入力しても 1 つのスペースになります。

[Location]

このセキュリティ デバイスの場所を記します( Building 42, Sector 54 など)。この文字列は大文字と小文字が区別され、最大 127 文字です。スペースを使用できますが、複数のスペースを入力しても 1 つのスペースになります。

[Port](PIX 7.x、ASA、FWSM 3.x のみ)

着信要求が受け入れられるポートを指定します。デフォルトは 161 です。

[Configure SNMP Traps]

「[SNMP Trap Configuration] ダイアログボックス」で SNMP トラップを設定するには、このボタンをクリックします。

[SNMP Hosts] テーブル

このテーブルには、セキュリティ アプライアンスにアクセスできる SNMP 管理ステーションが一覧表示されます。これは Security Manager の標準のテーブルです。「テーブルの使用」で説明されているとおり、このテーブルには [Add Row]、[Edit Row]、[Delete Row] ボタンがあります。

[Add Row] と [Edit Row] のボタンでは、「[Add SNMP Host Access Entry] ダイアログボックス」が開きます。これは管理ステーションのホスト エントリを追加および編集するために使用します。

[SNMP Trap Configuration] ダイアログボックス

[SNMP Trap Configuration] ダイアログボックスを使用して、選択したセキュリティ デバイスの SNMP トラップ(イベント通知)を設定します。

トラップは参照とは異なります。トラップは、生成される リンクアップ イベント リンクダウン イベント Syslog イベント など、特定のイベントに対する管理対象デバイスから管理ステーションへの割り込み「コメント」です。

デバイスの SNMP Object ID(OID; オブジェクト ID)は、デバイスから送信される SNMP イベント トラップに表示されます。セキュリティ デバイスで実行されている SNMP サービスは、2 つの機能を実行します。

管理ステーションからの SNMP 要求に応答します。

セキュリティ アプライアンスからのトラップを受信するように登録されている管理ステーションまたはその他のデバイスにトラップを送信します。

Cisco セキュリティ デバイスでは、3 種類のトラップがサポートされます。

ファイアウォール

汎用

syslog

[SNMP Trap Configuration] ダイアログボックスでは、使用できるトラップが、[Standard]、[Entity MIB]、[Resource]、[Other] の 4 つのタブ付きパネルに表示されます。

ナビゲーション パス

[SNMP Trap Configuration] ダイアログボックスには、「[SNMP] ページ」からアクセスできます。

関連項目

「SNMP の設定」

「[Add SNMP Host Access Entry] ダイアログボックス」

フィールド リファレンス

 

表 45-8 [SNMP Trap Configuration] ダイアログボックス

要素
説明

[Enable All SNMP Traps]

4 つすべてのタブ付きパネルをすばやく選択するには、このチェックボックスをオンにします。

[Enable Syslog Traps]

トラップ関連の Syslog メッセージの送信をイネーブルにするには、このチェックボックスをオンにします。

トラップされる Syslog メッセージの重大度は、「[Logging Filters] ページ」で設定されます。

次の 4 つのタブ付きパネルで、目的のイベント通知トラップを選択します。選択したデバイスに適用できるトラップだけがダイアログボックスに表示されます。

[Standard]

[Authentication]:未認可の SNMP アクセス。この認証エラーは、間違ったコミュニティ ストリングが付いたパケットによって発生します。

[Link Up]:通知に示されているとおり、デバイスの通信リンクの 1 つが使用可能になりました。

[Link Down]:通知に示されているとおり、デバイスの通信リンクの 1 つにエラーが発生しました。

[Cold Start]:デバイスが自動で再初期化しているときに、その設定またはプロトコル エンティティの実装が変更されることがあります。

[Warm Start]:デバイスが自動で再初期化しているときに、その設定またはプロトコル エンティティの実装が変更されることはありません。

[Entity MIB]

[Field Replaceable Unit Insert]:示されているとおり、Field Replaceable Unit(FRU; 現場交換可能ユニット)が挿入されました(FRU には電源装置、ファン、プロセッサ モジュール、インターフェイス モジュールなどの組み立て部品が含まれます)。

[Field Replaceable Unit Remove]:通知に示されているとおり、Field Replaceable Unit(FRU; 現場交換可能ユニット)が取り外されました。

[Configuration Change]:通知に示されているとおり、ハードウェアに変更がありました。

[Fan Failure]:通知に示されているとおり、デバイスの冷却ファンに障害が発生しました。

[CPU Temperature]:中央処理装置の温度が、設定した制限に達しました。

[Power Supply Failure]:通知に示されているとおり、デバイスの電源装置に障害が発生しました。

[Redundancy Switchover]:通知に示されているとおり、冗長コンポーネントでスイッチオーバーが発生しました。

[Alarm Asserted]:アラームで示されている状態があります。

[Alarm Cleared]:アラームで示されている状態はありません。

[Resource]

[Connection Limit Reached]:このトラップは、設定した接続制限に達したため、接続試行が拒否されたことを示します。

[Resource Limit Reached]:通知に示されているとおり、この通知は設定したリソース制限に達すると生成されます。

[Resource Rate Limit Reached]:通知に示されているとおり、この通知は設定したリソースのレート制限に達すると生成されます。

[Other]

[IPSec Start]:通知に示されているとおり、IPsec が起動しました。

[IPSec Stop]:通知に示されているとおり、IPsec が停止しました。

[IKEv2 Start]:Internet Key Exchange version 2(IKEv2; インターネット キー エクスチェンジ バージョン 2)の交換が起動しました。

[IKEv2 Stop]:Internet Key Exchange version 2(IKEv2; インターネット キー エクスチェンジ バージョン 2)の交換が停止しました。

[Memory Threshold]:通知に示されているとおり、使用可能な空きメモリが、設定したしきい値を下回りました。

[Remote Access Session Threshold Exceeded]:通知に示されているとおり、リモート アクセス セッションの数が、定義した制限に達しました。

[CPU Rising Threshold]:CPU リソースの使用率が、指定した [Period] の期間に [Percentage] の値を超過すると、この通知が起動します。

[Percentage]:CPU リソースの使用率の上限を、使用可能なリソース全体のパーセンテージとして入力します。有効な値の範囲は 10 ~ 94 です。デフォルトは 70 % です。

[Period]:時間の長さを分単位で入力します。この期間内に [Percentage] で指定した使用可能なパーセンテージを超過すると通知が発行されます。有効な値の範囲は 1 ~ 60 です。

[Interface Threshold]:物理インターフェイスの使用率が、[Percentage] で指定した、帯域幅全体のパーセンテージを超過すると、この通知が発行されます。

[Percentage]:インターフェイスの使用率の上限を、使用可能な帯域幅全体のパーセンテージとして入力します。有効な値の範囲は 30 ~ 99 です。デフォルトは 70 % です。

[NAT Packet Discard]:IP パケットが NAT 機能により廃棄されると、この通知が生成されます。ネットワーク アドレス変換の使用可能なアドレスまたはポートが、設定したしきい値を下回りました。

[Add SNMP Host Access Entry] ダイアログボックス

[Add SNMP Host Access Entry] ダイアログボックスを使用して、[SNMP] ページにある [SNMP Hosts] テーブルのエントリを追加または編集します。これらのエントリは、セキュリティ デバイスへのアクセスが許可されている SNMP 管理ステーションを示します。

ナビゲーション パス

[Add SNMP Host Access Entry] ダイアログボックスには、「[SNMP] ページ」からアクセスできます。

関連項目

「SNMP の設定」

「[SNMP Trap Configuration] ダイアログボックス」

フィールド リファレンス

 

表 45-9 [Add SNMP Host Access Entry] ダイアログボックス

要素
説明

[Interface Name]

この SNMP 管理ステーションがデバイスにアクセスするインターフェイスを入力または選択します。

[IP Address]

IP アドレスを入力するか、または SNMP 管理ステーションを表すネットワークまたはホストのオブジェクトを選択します。

[UDP Port]

(任意)SNMP ホストからの要求用の UDP ポートを入力します。このフィールドを使用して、[SNMP] ページの指定したグローバル値を上書きできます。

[Community String]

[Confirm]

要求をセキュリティ デバイスに送信するときに SNMP 管理ステーションで使用されるパスワードを入力します。SNMP コミュニティ ストリングは、SNMP 管理ステーションと管理対象のネットワーク ノード間の共有秘密キーです。そのため、着信 SNMP 要求が有効かどうかを判断するためにパスワードが使用されます。パスワードは大文字小文字が区別される、最大 32 文字の英数字の文字列です。スペースは使用できません。

[Confirm] フィールドにパスワードをもう一度入力します。

[SNMP Version]

管理ステーションで使用する SNMP のバージョン( 1 または 2c )を選択します。

[Server Poll/Trap Specification]

この管理ステーションとの通信タイプを指定します(ポーリングのみ、トラップのみ、またはトラップとポーリングの両方)。次のいずれかまたは両方をオンにします。

[Poll]:セキュリティ デバイスは、管理ステーションからの定期的な要求を待機します。

[Trap]:トラップ イベントが発生すると、デバイスはトラップ イベントを送信します。

[Telnet] ページ

[Telnet] ページを使用して、Telnet プロトコルを使用したファイアウォール デバイスへの接続を、特定のホストまたはネットワークにだけ許可する規則を設定します。

この規則により、ファイアウォール デバイス インターフェイスを介した管理 Telnet アクセスが特定の IP アドレスおよびネットマスクに制限されます。この規則に準拠する接続試行は、設定済みの AAA サーバまたは Telnet パスワードによって認証される必要があります。Telnet セッションは、[Monitoring] > [Telnet Sessions] を使用してモニタできます。


) シングルコンテキスト モードでは一度に 5 つの Telnet セッションだけアクティブにできます。ASA 上のマルチコンテキスト モードでは、コンテキストあたり 5 つの Telnet だけをアクティブにでき、ブレードあたり 100 個の Telnet セッションをアクティブにできます。リソース クラスでは、管理者がこのパラメータをさらに調整できます。


ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [Telnet] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Device Access] > [Telnet] を選択します。[Telnet] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存のポリシーを選択します。

関連項目

「[Telnet Configuration] ダイアログボックス」

フィールド リファレンス

 

表 45-10 [Telnet] ページ

要素
説明

[Timeout]

Telnet セッションがファイアウォール デバイスによって閉じられる前にアイドル状態でいられる時間(分単位)。値の範囲は 1 ~ 1440 分です。

[Telnet Access Table]

[Interface]

クライアントから Telnet パケットを受信するインターフェイス。

[IP Addresses]

指定されたインターフェイスを通じて Telnet コンソールにアクセスできる各ホストまたはネットワークの IP アドレスおよびネットワーク マスク。

[Telnet Configuration] ダイアログボックス

[Telnet Configuration] ダイアログボックスを使用して、インターフェイスの Telnet オプションを設定します。

ナビゲーション パス

[Telnet Configuration] ダイアログボックスには、「[Telnet] ページ」からアクセスできます。

フィールド リファレンス

 

表 45-11 [Telnet Configuration] ダイアログボックス

要素
説明

[Interface Name]

クライアントからの Telnet パケットを受信できるインターフェイスを入力または選択します。

[IP Addresses/Netmask]

指定したインターフェイスを通じてファイアウォール デバイスの Telnet コンソールへのアクセスを許可される各ホストまたはネットワークの IP アドレスとネットマスクを「/」で区切って入力または選択します。複数のエントリを区切るには、カンマを使用します。

(注) アクセスを単一 IP アドレスに制限するには、ネットマスクとして 255.255.255.255 または 32 を使用します。内部ネットワークのサブネットワーク マスクは使用しないでください。