Cisco VPN クライアント管理者ガイド リリース 5.0
ASDM を使用した VPN クライアントの設定
ASDM を使用した VPN クライアントの設定
発行日;2012/06/01 | 英語版ドキュメント(2010/05/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

ASDM を使用した VPN クライアントの設定

IPSec リモート アクセス接続プロファイルの設定

IPsec 接続プロファイルの追加または編集

基本属性の設定

詳細属性の設定

クライアント アドレス指定の設定

[Add or Edit IPsec Remote Access Connection] と [Add SSL VPN Access Connection]

Assigning Address Pools to an Interface

Select Address Pools

Add or Edit IP Pool

IPsec-specific パラメータの設定

既存の IPsec 接続プロファイルの変更

IKE 認証モードの設定

接続プロファイルの IKE 認証エントリの追加または編集

IKE パラメータ

インターフェイスでの IKE のイネーブル化

IPsec over NAT-T のイネーブル化

IPsec over TCP のイネーブル化

識別方式の決定

インバウンド Aggressive モード接続のディセーブル化

接続解除の前にピアに警告

リブート前のアクティブ セッションの終了を待機

ASDM を使用したクライアント ソフトウェア アップデートの設定

クライアント アップデートのイネーブル化

ASDM を使用した IPsec クライアント接続用グループ ポリシーの設定

リモート アクセスの内部グループ ポリシーの追加または編集、一般属性

詳細 IPsec クライアント パラメータの設定

クライアント アクセス ルールの設定

クライアント アクセス ルールの追加または編集

クライアント ファイアウォールのパラメータの設定

ハードウェア クライアント パラメータの設定

ASDM を使用した VPN クライアントの設定

この章では、Adaptive Security Device Manager(ASDM; 適応型セキュリティ デバイスマネージャ)を使用して、適応型セキュリティ アプライアンスに VPN クライアントを設定するする方法について説明します。この章の構成は、次のとおりです。

「IPSec リモート アクセス接続プロファイルの設定」

「IKE パラメータ」

「ASDM を使用したクライアント ソフトウェア アップデートの設定」

「ASDM を使用した IPsec クライアント接続用グループ ポリシーの設定」

「詳細 IPsec クライアント パラメータの設定」

IPSec リモート アクセス接続プロファイルの設定

セキュリティ アプライアンスを VPN クライアントで使用できるように設定するには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec Connection Profiles]、[Group Policies]、および [Advanced] で、該当するパラメータを設定する必要があります。

ここでは、VPN クライアントと特に関係のあるセキュリティ アプライアンス設定プロセスについて説明します。また、ASDM オンライン ヘルプ、『ASDM User Manual』、および『ASA CLI Configuration Guide』の説明に従って、残りのパラメータを設定する(あるいはデフォルト値を受け入れる)必要があります。

IPsec グループは、IPsec 接続パラメータを使用してトンネルを作成します。IPsec 接続は、リモート アクセスまたはサイト間のいずれかです。この章では、リモート アクセス接続のみを説明しますが、必要な情報をすべて網羅するために、必要に応じて、サイト間接続について説明します。IPsec グループは、内部サーバまたは外部 RADIUS サーバ上で設定されます。クライアント モードの ASA 5505 または VPN 3002 ハードウェア クライアント パラメータ(インタラクティブ ハードウェア クライアント認証と個別ユーザ認証をイネーブルまたはディセーブルにする)の場合は、ユーザとグループに対して設定されたパラメータよりも IPsec 接続パラメータが優先されます。

設定済みの接続プロファイルがない場合や、既存の接続プロファイルを変更する場合は、必要に応じて [Add] または [Edit] をクリックします。


) 「接続プロファイル」と「トンネル グループ」という用語を、同じ意味で使用している場合があります。


IPsec 接続プロファイルを設定するには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec Connection Profiles] を選択します。[IPsec Connection Profiles] ウィンドウのパラメータにより、IPsec リモート アクセス接続を設定できます。このセクションのほとんどのパラメータは、以前トンネル グループのセクションで設定していたパラメータです。IPsec 接続は、IPsec 接続とクライアントレス SSL VPN 接続の接続固有レコードを表します。次の手順を実行します。


ステップ 1 [Access Interfaces] エリアで、IPsec アクセスに対してイネーブルにするインターフェイスを選択します。デフォルトでは、アクセス方式は何も選択されていません。

ステップ 2 [Connection Profiles] エリアには、既存の IPsec 接続に設定されているパラメータが表形式で表示されます。接続プロファイルの表には、接続ポリシーを決定するレコードが含まれています。1 つのレコードによって、その接続のデフォルト グループ ポリシーが識別されます。レコードにはプロトコル固有の接続パラメータが含まれています。テーブルには次の列があります。

[Name]:IPsec 接続の名前または IP アドレスを指定します

[ID Certificate]:ID 証明書がある場合は、その名前を指定します

[IPsec Protocol]:IPsec プロトコルがイネーブルになっているかどうかを示します。このプロトコルは、[Add or Edit IPsec Remote Access Connection] の [Basic] ウィンドウでイネーブルにします

[L2TP/IPsec Protocol]:L2TP/IPsec プロトコルがイネーブルになっているかどうかを示します。このプロトコルは、[Add or Edit IPsec Remote Access Connection] の [Basic] ウィンドウでイネーブルにします

[Group Policy]:この IPsec 接続のグループ ポリシーの名前を示します。

ステップ 3 [IPsec Enabled] チェックボックスをオンにして、該当する各接続に対して IPsec をイネーブルにします。


 

新しい接続プロファイルを追加する、あるいは既存の接続を選択して変更する場合は、[Add] または [Edit] をクリックします。[Add or Edit IPsec Remote Access Connection Profile] ダイアログボックスが開きます。

選択したサーバ グループを表から削除するには、[Delete] をクリックします。確認されず、やり直しもできません。

IPsec 接続プロファイルの追加または編集

[Add or Edit IPsec Remote Access Connection Profile Basic] ダイアログボックスでは、IPsec 接続の共通属性を設定できます。このダイアログボックスの左側にあるナビゲーション ペインでは、基本または詳細接続プロファイル属性を設定するかどうかを選択できます。

基本属性の設定

基本属性から設定します。設定するフィールドは、次のとおりです。

フィールド

[Name]:接続名を指定します。Edit 機能の場合、このフィールドは読み取り専用です。

[IKE Peer Authentication]:IKE ピアを設定します。

[Pre-shared key]:接続の事前共有キーの値を指定します。事前共有キーの最大長は 128 文字です

[Identity Certificate]:ID 証明書が設定および登録されている場合は、ID 証明書の名前を選択します

[Manage]:[Manage Identity Certificates] ウィンドウが開きます。このウィンドウでは、選択した証明書の詳細を追加、編集、削除、エクスポート、または表示できます。

[User Authentication]:ユーザ認証で使用するサーバの情報を指定します。詳細な認証情報は [Advanced] セクションで設定できます。

[Server Group]:ユーザ認証で使用するサーバ グループを選択します。デフォルトは LOCAL です。LOCAL 以外のサーバ グループを選択すると、[Fallback] チェックボックスが選択できるようになります

[Manage]:[Configure AAA Server Group] ダイアログボックスが開きます

[Fallback]:指定したサーバ グループで障害が発生した場合に、ユーザ認証で LOCAL を使用するかどうかを指定します。

[Client Address Assignment]:クライアント属性の割り当てに関連した属性を指定します。

[DHCP Servers]:使用する DHCP サーバの IP アドレスを指定します。最大で 10 台までのサーバをスペースで区切って追加できます

[Client Address Pools]:事前定義済みのアドレス プールを 6 個まで指定します。アドレス プールを定義するには、[Configuration] > [Remote Access VPN] > [Network Client Access] > [Address Assignment] > [Address Pools] に移動します

[Select]:[Select Address Pools] ダイアログボックスが開きます。このダイアログボックスでは、アドレス プールの選択、追加、または編集を行うことができます。選択項目が [Assigned Address Pools] フィールドに表示されるように、選択項目をダブルクリックしてください。1 つの接続に複数のアドレス プールを割り当てることができます。選択項目を割り当てると、[Client Address Pools] フィールドに表示されます。

[Default Group Policy]:デフォルト グループ ポリシーに関連した属性を指定します。

[Group Policy]:この接続で使用するデフォルト グループ ポリシーを選択します。デフォルトは DfltGrpPolicy です

[Manage]:[Configure Group Policies] ダイアログボックスが開きます。このダイアログボックスでは、グループ ポリシーを追加、編集、または削除できます

[Client Protocols]:この接続で使用するプロトコルを選択します。デフォルトでは、IPsec と L2TP over IPsec の両方が選択されています。[Enable IPsec protocol] が選択されていることを確認してください。

詳細属性の設定

詳細属性では、接続プロファイルの全般設定、クライアント アドレス指定、認証、認可、アカウンティング、IPsec、および PPP 情報を設定します。すべての属性に対して設定を行う(またはデフォルト値を受け入れる)必要がありますが、ここでは直接 IPsec 接続に影響を与える属性のみを説明します。

クライアント アドレス指定の設定

クライアント IP アドレスの割り当てポリシーを指定し、アドレス プールをすべての IPsec 接続および SSL VPN 接続に割り当てるには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec or SSL VPN Connections] > [Add or Edit] > [Advanced] > [Client Addressing] を選択します。[Add IPsec Remote Access Connection] ダイアログボックスが開きます。これらのダイアログボックスを使用して、アドレス プールを追加し、そのプールをインターフェイスに割り当て、それらのプールを表示、編集、または削除します。この表には、設定されているインターフェイス固有のアドレス プールが表示されます。


) 使用中の場合はアドレス プールを変更または削除できません。[Edit] をクリックしたときにアドレス プールが使用中であった場合、ASDM は、エラー メッセージとともに、プール内のそのアドレスを使用している接続名およびユーザ名の一覧を表示します。


次の項では、[Add IPsec Remote Access Connection] ウィンドウとその下位ウィンドウについて説明し、フィールドに値を割り当てます。

「[Add or Edit IPsec Remote Access Connection] と [Add SSL VPN Access Connection]」

「Assigning Address Pools to an Interface」

「Select Address Pools」

「Add or Edit IP Pool」

[Add or Edit IPsec Remote Access Connection] と [Add SSL VPN Access Connection]

[Add or Edit IPsec Remote Access Connection Profile] ウィンドウにアクセスするには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec or SSL VPN Connections] > [Add or Edit] > [Advanced] > [Client Addressing] を選択します。

フィールド

次の説明に従って、このウィンドウのフィールドに値を割り当てます。

[Global Client Address Assignment Policy]:すべての IPsec 接続と SSL VPN Client 接続(AnyConnect クライアント接続を含む)に影響するポリシーを設定します。セキュリティ アプライアンスはアドレスを見つけるまで、選択されたソースを次の順番で使用します。

[Use authentication server]:クライアント アドレスのソースとして、セキュリティ アプライアンスが認証サーバの使用を試みるように指定します

[Use DHCP]:クライアント アドレスのソースとして、セキュリティ アプライアンスが DHCP の使用を試みるように指定します

[Use address pool]:クライアント アドレスのソースとして、セキュリティ アプライアンスがアドレス プールの使用を試みるように指定します。

[Interface-Specific Address Pools]:設定されているインターフェイス固有のアドレス プールの一覧を表示します。

[Add or Edit]:[Assign Address Pools to Interface] ダイアログボックスを開きます。このダイアログボックスでは、次項の説明に従って、アドレス プール割り当ての表示、追加、または変更を行うことができます。

[Delete]:表からアドレス プールの割り当てを削除します。

Assigning Address Pools to an Interface

[Assign Address Pools to Interface] ウィンドウを使用して、インターフェイスを選択し、そのインターフェイスに 1 つ以上のアドレス プールを割り当てます。このウィンドウにアクセスするには、[Configure] > [Remote Access VPN] > [Network (Client) Access] > [IPsec or SSL VPN Connections] > [Add or Edit] > [Advanced] > [Client Addressing] > [Add or Edit] を選択します。

フィールド

次の説明に従って、このウィンドウのフィールドに値を割り当てます。

[Interface]:アドレス プールの割り当て先インターフェイスを選択します。デフォルトは DMZ です。

[Address Pools]:指定したインターフェイスに割り当てるアドレス プールを指定します。

[Select]:[Select Address Pools] ダイアログボックスが開きます。このダイアログボックスでは、このインターフェイスに割り当てるアドレス プールを複数選択できます。選択内容は、[Assign Address Pools to Interface] ダイアログボックスの [Address Pools] フィールドに表示されます。

Select Address Pools

[Select Address Pools] ウィンドウには、クライアント アドレスの割り当てで選択可能なプール名、開始アドレスと終了アドレス、およびアドレス プールのサブネットマスクが表示され、リストのエントリを追加、編集、削除できます。このウィンドウにアクセスするには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec or SSL VPN Connections] > [Add or Edit] > [Advanced] > [Client Addressing] > [Add or Edit] > [Select] を選択します。

フィールド

次の説明に従って、このウィンドウのフィールドに値を割り当てます。

[Add]:[Add IP Pool] ウィンドウが開きます。このウィンドウでは、新しい IP アドレス プールを設定できます。

[Edit]:[Edit IP Pool] ウィンドウが開きます。このウィンドウでは、選択した IP アドレス プールを変更できます。

[Delete]:選択したアドレス プールを削除します。確認されず、やり直しもできません。

[Assign]:インターフェイスに割り当てられているアドレス プール名を表示します。テーブルからプールを選択して、[Assign] をクリックするか、インターフェイスに追加する未割り当ての各プールをダブルクリックします。[Assign] フィールドで、[Assign Address Pools to Interface] ダイアログボックスのプール割り当てのリストを更新します。

Add or Edit IP Pool

[Add or Edit IP Pool] ダイアログボックスでは、クライアント アドレス割り当てで使用する IP アドレスの範囲を指定または変更できます。このダイアログボックスにアクセスするには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec or SSL VPN Connections] > [Add or Edit] > [Advanced] > [Client Addressing] > [Add or Edit] > [Select] > [Add or Edit] を選択します。

フィールド

次の説明に従って、このウィンドウのフィールドに値を割り当てます。

[Name]:IP アドレス プールに割り当てられている名前を指定します。

[Starting IP Address]:プールの最初の IP アドレスを指定します。

[Ending IP Address]:プールの最後の IP アドレスを指定します。

[Subnet Mask]:プール内のアドレスに適用するサブネット マスクを選択します。

IPsec-specific パラメータの設定

IPsec-specific パラメータを設定するには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec Connection Profiles] を選択してから、次の手順を実行します。


ステップ 1 [Access Interfaces] エリアで、該当するボックスをオンにして IPsec アクセス用に特定のインターフェイスをイネーブルにします。すでに設定済みのインターフェイスだけがこの選択ボックスに表示されます。

ステップ 2 [Connection Profiles] エリアの [IPsec Enabled] で、IPsec を使用する各接続プロファイル(トンネル グループ)のチェックボックスをオンします。

ステップ 3 このリストに接続プロファイルを追加するには、[Add] をクリックします。ここで、戻って接続プロファイル パラメータのすべてを設定することもできます。詳細については、「IPSec リモート アクセス接続プロファイルの設定」を参照してください。

ステップ 4 既存の接続プロファイルを変更するには、[Edit] をクリックします。「既存の IPsec 接続プロファイルの変更」を参照してください。

ステップ 5 このリストから接続プロファイルを削除するには、[Delete] をクリックします。

ステップ 6 [Apply] をクリックします。変更内容が実行コンフィギュレーションに保存されます。


 

既存の IPsec 接続プロファイルの変更

[Add or Edit IPsec Connection Profile] ウィンドウでは、IPsec 固有の接続プロファイル パラメータを前述のように設定または編集できます。

フィールド

[Send certificate chain]:証明書チェーン全体の送信をイネーブルまたはディセーブルにします。このアクションには、ルート証明書および送信内のすべての下位 CA 証明書が含まれます。

[IKE Peer ID Validation]:IKE ピア ID 確認要求を無視するか、必須とするか、あるいは証明書によってサポートされている場合にだけチェックするかを選択します。

[IKE Keep Alive]:ISAKMP キープアライブ モニタリングをイネーブルにし、設定します。

[Disable Keep Alives]:ISAKMP キープアライブをイネーブルまたはディセーブルにします

[Monitor Keep Alives]:ISAKMP キープアライブ モニタリングをイネーブルまたはディセーブルにします。このオプションを選択すると、[Confidence Interval] フィールドと [Retry Interval] フィールドが利用できるようになります

[Confidence Interval]:ISAKMP キープアライブの信頼間隔を指定します。これは、ピアがキープアライブ モニタリングを開始するまでにセキュリティ アプライアンスが許可するアイドル時間を表す秒数です。最小 10 秒、最大 300 秒です。リモート アクセス グループのデフォルトは 300 秒です

[Retry Interval]:ISAKMP キープアライブのリトライ間の待機秒数を指定します。デフォルトは 2 秒です

[Head end will never initiate keepalive monitoring]:中央サイトのセキュリティ アプライアンスがキープアライブ モニタリングを開始しないように指定します。

[Interface-Specific Authentication Mode]:認証モードをインターフェイスごとに指定します。

[Interface]:インターフェイス名を選択できます。デフォルトのインターフェイスは inside と outside ですが、別のインターフェイス名を設定した場合には、その名前がリストに表示されます。

[Authentication Mode]:認証モードを、上記の none、xauth、または hybrid の中から選択できます

[Interface/Authentication Mode] テーブル:インターフェイス名と、選択されている関連認証モードを表示します

[Add or Edit]:選択したインターフェイス/認証モードのペアを [Interface/Authentication Modes] テーブルで追加または変更します

[Delete]:選択したインターフェイスと認証モードのペアを [Interface/Authentication Modes] テーブルから削除します。

[Client VPN Software Update Table]:クライアント タイプ、VPN クライアントのリビジョン、およびインストールされている各クライアント VPN ソフトウェア パッケージのイメージ URL を一覧表示します。クライアント タイプごとに、許可されるクライアント ソフトウェア リビジョンと、必要に応じて、ソフトウェア アップグレードをダウンロードする URL または IP アドレスを指定できます。クライアント アップデート メカニズム([Client Update] ウィンドウに詳細説明があります)は、この情報を使用して、各 VPN クライアントが適切なリビジョン レベルで実行されているかどうかを判断し、適切であれば、通知メッセージとアップデート メカニズムを、旧式のソフトウェアを実行しているクライアントに提供します。

[Client Type]:VPN クライアント タイプを識別します。「Windows」には、すべての Windows ベースのプラットフォームが含まれます。「Win NT」には、Windows Vista、Windows XP、Windows 2000、および Windows NT 4.0 が含まれます。これら以外のプラットフォームには、Linux、Solaris、および Mac OS X があります。VPN クライアント リリース 5.0 以降では、Windows 95、Windows 98、および Windows ME プラットフォームをサポートしていません。


) セキュア ゲートウェイはクライアント アップデート リスト内のエントリごとに個別の通知メッセージを送信するので、クライアント アップデート エントリが重複しないようにしてください。たとえば、「Windows」という値には、すべての Windows プラットフォームが含まれ、「WinNT」という値には、Windows Vista、Windows XP、Windows 2000、および Windows NT 4.0 が含まれるため、Windows と Windows NT の両方を指定できません。クライアントのタイプとバージョン情報を確認するには、シスコ VPN クライアントのメイン ウィンドウの左上隅にあるロック アイコンをクリックし、[About VPN Client] を選択してください。


[VPN Client Revisions]:許可される VPN クライアントのリビジョン レベルを指定します

[Image URL]:適切な VPN クライアント ソフトウェア イメージをダウンロードできる URL または IP アドレスを指定します。Windows ベースの VPN クライアントの場合、URL は http:// または https:// という形式です。クライアント モードの ASA 5505 または VPN 3002 ハードウェア クライアントの場合、URL は tftp:// という形式です。

IKE 認証モードの設定

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec Connection Profiles] > [Advanced] > [IPsec] > [IKE Authentication] ウィンドウで、デフォルトおよびインターフェイス固有の IKE 認証モードを設定するには、次の手順を実行します。


ステップ 1 デフォルト モード(XAUTH、Hybrid XAUTH、または Disable user authentication during IKE)を設定します。

[XAUTH]:IKE 拡張認証モードを使用するように指定します。この認証モードは、TACACS+ または RADIUS を使用する IKE 内のユーザを認証する機能を提供します。これがデフォルト値です。

[Hybrid XAUTH]:ハイブリッド モードを使用するように指定します。この認証モードでは、セキュリティ アプライアンス認証にデジタル認証を使用でき、リモート VPN ユーザ認証に別の従来の方式(RADIUS、TACACS+、SecurID など)を使用できます。このモードでは、インターネット キー交換(IKE)のフェーズ 1 が次の手順に分かれています。これらを合せてハイブリッド認証と呼びます。

セキュリティ アプライアンスでは、リモート VPN ユーザが標準公開キー技術で認証されます。これにより、単方向に認証する IKE セキュリティ アソシエーションが確立されます。

次に、拡張認証(xauth)交換でリモート VPN ユーザが認証されます。この拡張認証では、サポートされている従来のいずれかの認証方式を使用できます。


) 認証タイプをハイブリッドに設定する前に、認証サーバを設定し、事前共有キーを作成する必要があります。


[Disable user authentication during IKE]:IKE キーの再生成時の再認証をイネーブルにすると、セキュリティ アプライアンスでは、最初のフェーズ 1 IKE ネゴシエーションにおいて、ユーザはユーザ名とパスワードの入力が求められ、その後 IKE キーの再生成が行われるたびにユーザ認証が求められます。再認証によって、セキュリティが強化されます。設定されているキー再生成間隔が極端に短い場合、繰り返し認証を求められるので、ユーザは不便さを感じることがあります。認証要求が繰り返されないようにするには、IKE の間、再認証をディセーブルにします。

ステップ 2 XAUTH 要求に「Enter Username and Password」プロンプトを含めるかどうかを指定します。

ステップ 3 このリストに接続プロファイルを追加するには、[Add] をクリックします。既存の接続プロファイルを変更するには、[Edit] をクリックします。このリストから接続プロファイルを削除するには、[Delete] をクリックします。

ステップ 4 [Apply] をクリックします。変更内容が実行コンフィギュレーションに保存されます。


 

接続プロファイルの IKE 認証エントリの追加または編集

Internet Key Exchange(IKE; インターネット キー交換)によって、キーが必要なサービス(IPsec など)のための共有セキュリティ ポリシーおよび認証キーが確立されます。IPsec トラフィックを通過させる前に、各セキュリティ アプライアンスはそのピアの ID を検証する必要があります。それには、事前共有キーを両ホストに手動で入力するか、CA サービスを使用します。IKE は、Oakley を部分的に使用し、また、ISAKMP フレームワーク内で SKEME と呼ばれるプロトコル スイートも部分的に使用するハイブリッド プロトコルです。これは、以前は ISAKMP/Oakley と呼ばれていたプロトコルであり、RFC 2409 で定義されています。

VPN 接続を使用するインターフェイスごとに、IKE をイネーブルにする必要があります。


) IOS デバイスで crypto isakmp keepalive コマンドを periodic キーワードと共に設定すると(たとえば、crypto isakmp keepalive timeoutval periodic)、VPN クライアント接続はサポートされません。


IKE 拡張認証(XAUTH)は、IETF draft-ietf-ipsec-isakmp-xauth-04.txt(「拡張認証」草案)に従って実装されます。このプロトコルには、TACACS+ または RADIUS を使用して IKE 内のユーザを認証する機能があります。

ドロップダウン メニューでユーザ認証のデフォルト モードを設定します。このオプションには、[XAUTH](拡張ユーザ認証)、[Hybrid XAUTH]、および [Disable user authentication during IKE] があります。デフォルト値は XAUTH です。

XAUTH は、TACACS+ または RADIUS を使用して IKE 内のユーザを認証します。XAUTH は、RADIUS または他のサポートされているユーザ認証プロトコルを使用して、ユーザを認証します。

ハイブリッド XAUTH 認証は、セキュリティ アプライアンス認証にデジタル証明書を使用し、リモート VPN ユーザ認証に RADIUS、TACACS+、SecurID などの別の従来の方式を使用する必要がある場合に使用します。

ハイブリッド XAUTH によって、IKE のフェーズ 1 が次の 2 つの手順に分割されます。2 つ合せてハイブリッド認証と呼ばれます。

セキュリティ アプライアンスでは、リモート VPN ユーザが標準公開キー技術で認証されます。これにより、単方向に認証する IKE セキュリティ アソシエーションが確立されます。

次に、XAUTH 交換がリモート VPN ユーザを認証します。この拡張認証では、サポートされている従来のいずれかの認証方式を使用できます。


) 認証タイプをハイブリッドに設定するには、事前に認証サーバを設定し、事前共有キーを作成し、トラストポイントを設定する必要があります。


IKE 認証を適用する特定のインターフェイスを追加または編集するには、次の手順を実行します。


ステップ 1 [Interface-Specific Mode] エリアで、[Add] または [Edit] をクリックします。[Assign Authentication Mode to Interface] ダイアログボックスが表示されます。

ステップ 2 ドロップダウン メニューからインターフェイスを選択します。

ステップ 3 使用する認証モードを選択します。選択項目は、前述のように、[XAUTH]、[Hybrid XAUTH]、および [Disable user authentication during IKE] です。

ステップ 4 [OK] をクリックします。選択項目は、[Interface-Specific Mode] エリアに表示されます。

ステップ 5 [OK] をクリックして選択内容を適用します。


 

IKE パラメータ

IKE パラメータをイネーブルにするには、[Configuration] > [Remote Access VPN] を選択します。このパネルでは、VPN 接続を使用する場合のシステム全体の値を設定できます。次の項では、各オプションについて説明します。

インターフェイスでの IKE のイネーブル化

VPN 接続を使用するインターフェイスごとに、IKE をイネーブルにする必要があります。

IPsec over NAT-T のイネーブル化

NAT-T により IPSec ピアは、リモート アクセスとサイト間の両方の接続を NAT デバイスを介して確立できます。NAT-T は UDP データグラムの IPsec トラフィックをカプセル化し、ポート 4500 を使用して、NAT デバイスにポート情報を提供します。NAT-T はすべての NAT デバイスを自動検出し、必要な場合だけ IPsec トラフィックをカプセル化します。この機能は、デフォルトではディセーブルになっています。

セキュリティ アプライアンスは、データ交換を行うクライアントに応じて、標準の IPsec、IPsec over TCP、NAT-T、および IPsec over UDP を同時にサポートできます。

NAT-T と IPsec over UDP の両方がイネーブルになっている場合、NAT-T が優先されます。

イネーブルになっている場合、IPsec over TCP は他のすべての接続方式よりも優先されます。

セキュリティ アプライアンスによる NAT-T の実装では、次の場合において、単一の NAT/PAT デバイスの背後にある IPSec ピアをサポートします。

サイト間接続が 1 つの場合。

サイト間接続または複数のリモート アクセス クライアントのいずれか。ただし、両方を混在させることはできません。

NAT-T を使用するには、次の手順を実行する必要があります。

セキュリティ アプライアンスのポート 4500 を開きます。

このパネルで、IPSec over NAT-T をグローバルにイネーブルにします。

[Configuration] > [VPN] > [IPsec] > [Pre-Fragmentation] パネルで、フラグメンテーション ポリシー パラメータの 2 番目と 3 番目のオプションを選択します。これらのオプションにより、トラフィックは、IP フラグメンテーションをサポートしていない NAT デバイス間を移動できます。これによって、IP フラグメンテーションをサポートする NAT デバイスの動作が妨げられることはありません。

IPsec over TCP のイネーブル化

IPSec over TCP を使用すると、標準 ESP や標準 IKE が機能できない環境、または既存のファイアウォール ルールを変更した場合に限って機能できる環境で、VPN クライアントが動作可能になります。IPSec over TCP は TCP パケット内で IKE プロトコルと IPSec プロトコルをカプセル化し、NAT と PAT の両方のデバイスおよびファイアウォールによりセキュアなトンネリングを実現します。この機能は、デフォルトではディセーブルになっています。


) この機能は、プロキシベースのファイアウォールでは動作しません。


IPsec over TCP は、リモート アクセス クライアントで動作します。また、すべての物理インターフェイスと VLAN インターフェイスでも動作します。これは、セキュリティ アプライアンス機能に対応するクライアントに限られます。サイト間接続では機能しません。

セキュリティ アプライアンスは、データ交換を行うクライアントに応じて、標準の IPsec、IPsec over TCP、NAT-Traversal、および IPsec over UDP を同時にサポートできます。

1 度に 1 つのトンネルをサポートする VPN 3002 ハードウェア クライアントは、標準の IPsec、IPsec over TCP、NAT-Traversal、または IPsec over UDP を使用して接続できます。

イネーブルになっている場合、IPsec over TCP は他のすべての接続方式よりも優先されます。

セキュリティ アプライアンスとその接続先のクライアントの両方で IPsec over TCP をイネーブルにします。

最大 10 個のポートを指定して、それらのポートに対して IPsec over TCP をイネーブルにできます。ポート 80(HTTP)やポート 443(HTTPS)などのウェルノウン ポートを入力すると、そのポートに関連付けられているプロトコルが機能しなくなることを示す警告がシステムに表示されます。その結果、ブラウザを使用して、IKE がイネーブルのインターフェイスからセキュリティ アプライアンスを管理できなくなります。この問題を解決するには、HTTP/HTTPS 管理を別のポートに再設定します。

セキュリティ アプライアンスだけでなく、クライアントでも TCP ポートを設定する必要があります。クライアント設定には、セキュリティ アプライアンスに対して設定したポートを少なくとも 1 つ含める必要があります。

識別方式の決定

IKE ネゴシエーションでは、ピアが相互に相手を識別する必要があります。この識別方式は、次のオプションから選択できます。

 

表 2-1 IKE 識別方式

パラメータ
使用目的

アドレス

ISAKMP の識別情報を交換するホストの IP アドレスを使用します。

ホスト名

ISAKMP の識別情報を交換するホストの完全修飾ドメイン名を使用します(デフォルト)。この名前は、ホスト名とドメイン名で構成されます。

キー ID

リモート ピアが事前共有キーの検索に使用する文字列を使用します。

自動

接続タイプによって IKE ネゴシエーションを決定します。

事前共有キーの IP アドレス

証明書認証の cert DN。

インバウンド Aggressive モード接続のディセーブル化

フェーズ 1 の IKE ネゴシエーションでは、Main モードと Aggressive モードのいずれかを使用できます。どちらのモードも同じサービスを提供しますが、Aggressive モードの場合にピア間で必要とされる交換処理は、3 つではなく 2 つだけです。Agressive モードの方が高速ですが、通信パーティの ID は保護されません。そのため、情報を暗号化するセキュアな SA を確立する前に、ピア間で ID 情報を交換する必要があります。この機能は、デフォルトではディセーブルになっています。

接続解除の前にピアに警告

クライアントまたはサイト間セッションがドロップされる理由としては、セキュリティ アプライアンスのシャットダウンまたはリブート、セッション アイドル タイムアウト、最大接続時間の超過、管理者による切断などが考えられます。

セキュリティ アプライアンスは、(サイト間コンフィギュレーションの場合)限定されたピアである、VPN クライアントと VPN 3002 ハードウェア クライアントに、セッションが接続解除される直前に通知し、その理由を伝えることができます。アラートを受信したピアまたはクライアントは、その理由を復号化してイベント ログまたはポップアップ パネルに表示します。この機能は、デフォルトではディセーブルになっています。

このパネルでは、セキュリティ アプライアンスがこれらのアラートを送信し、接続解除の理由を伝えることができるように、通知機能をイネーブルにできます。

限定されたクライアントとピアには次のものが含まれます。

アラートがイネーブルになっているセキュリティ アプライアンス デバイス

バージョン 4.0 以降のソフトウェアを実行している VPN クライアント(設定は不要)

4.0 以降のソフトウェアを実行し、アラートがイネーブルになっている VPN 3002 ハードウェア クライアント

バージョン 4.0 以降のソフトウェアを実行し、アラートがイネーブルになっている VPN 3000 シリーズ Concentrator。

この機能は、次のクライアントには適用されません。

Cisco AnyConnet VPN Client

Cisco IOS ソフトウェア

Cisco Secure PIX Firewall

リブート前のアクティブ セッションの終了を待機

すべてのアクティブ セッションが自発的に終了した場合に限り、中央サイトのデバイスがリブートするようにスケジュールを設定できます。この機能は、デフォルトではディセーブルになっています。

フィールド

[Enable IKE]:設定されたすべてのインターフェイスの IKE ステータスを表示します。

[Interface]:設定されたすべてのセキュリティ アプライアンスのインターフェイス名を表示します

[IKE Enabled]:設定されたインターフェイスごとに IKE がイネーブルになっているかどうかを示します

[Enable/Disables]:強調表示されたインターフェイスの IKE をイネーブルまたはディセーブルにします。

[NAT Transparency]:IPSec over NAT-T および IPSec over TCP をイネーブルまたはディセーブルにできます。

[Enable IPSec over NAT-T]:IPSec over NAT-T をイネーブルにする場合に選択します

[NAT Keepalive]:セキュリティ アプライアンスが NAT-T セッションを終了させるまでに許容する、トラフィックなしの経過時間を秒数で入力します。デフォルトは 20 秒です。範囲は、10 ~ 3600 秒(1 時間)です

[Enable IPSec over TCP]:IPSec over TCP をイネーブルにする場合に選択します

[Enter up to 10 comma-separated TCP port values]:IPSec over TCP をイネーブルにするポートを最大で 10 ポートまで入力します。ポート間はカンマで区切ります。スペースは不要です。デフォルト ポートは 10,000 です。指定できる範囲は、1 ~ 65,635 です。

[Identity to Be Sent to Peer]:IPSec のピアがお互いを識別する方法を設定できます。IKE ネゴシエーションでは、ピアが相互に相手を識別する必要があります。この識別方式は、次のオプションから選択できます。

[Identity]:IPSec のピアがお互いを識別する方法を、次の中から 1 つ選択します。

 

パラメータ
機能

アドレス

ホストの IP アドレスを使用します。

ホスト名

ホストの完全修飾ドメイン名を使用します。この名前は、ホスト名とドメイン名で構成されます。

キー ID

リモート ピアが事前共有キーの検索に使用する文字列を使用します。

自動

接続タイプ(事前共有キーの IP アドレスまたは証明書認証の cert DN)によって IKE ネゴシエーションを判断します。

[Key Id String]:ピアが事前共有キーの検索に使用する英数文字列を入力します。

[Disable inbound aggressive mode connections]:Aggressive モードの接続をディセーブルにする場合に選択します。

[Alert peers before disconnecting]:セッションを接続解除する前に、セキュリティ アプライアンスから限定されたサイト間ピアとリモート アクセス クライアントに通知する場合に選択します。

[Wait for all active sessions to voluntarily terminate before rebooting]:セキュリティ アプライアンスにより、すべてのアクティブなセッションが終了するまで、予定されたリブートを延期させる場合に選択します。


) IKE メイン モードを使用するサイト間コンフィギュレーションの場合は、2 つのピアの IKE キープアライブのコンフィギュレーションが同じであることを確認してください。両方のピアで IKE キープアライブがイネーブルになっているか、または両方のピアで IKE キープアライブがディセーブルになっている必要があります。


デジタル証明書を使用して認証を設定する場合、証明書チェーン全体を送信する(ID 証明書と発行するすべての証明書をピアに送信する)か、証明書だけを発行する(ルート証明書とすべての下位 CA 証明書を含む)かを指定できます。

Windows クライアント ソフトウェアの古いバージョンを使用しているユーザに、クライアントをアップデートする必要があることを通知し、アップデートされたクライアント バージョンをユーザが取得するためのメカニズムを提供できます。VPN 3002 ハードウェア クライアント ユーザの場合は、自動アップデートをトリガーできます。すべての接続プロファイルまたは特定の接続プロファイルに対して、client-update を設定および変更できます。

デジタル証明書を使用して認証を設定する場合は、IKE ピアに送信する証明書を識別するトラストポイントの名前を指定できます。

ASDM を使用したクライアント ソフトウェア アップデートの設定

クライアント アップデート機能により、許容されるクライアントのリビジョン レベルを確認できます。この機能を使用すると、中央にいる管理者は、VPN クライアント ソフトウェアおよび VPN 3002 ハードウェア クライアント イメージのアップデート時期を、VPN クライアント ユーザに自動的に通知できます。

リモート ユーザは、旧式の VPN ソフトウェア バージョンまたはハードウェア クライアント バージョンを使用している可能性があります。クライアント アップデート機能を使用すれば、いつでもクライアント リビジョンのアップデートを有効にして、アップデートが適用されるクライアントのタイプおよびリビジョン番号を指定し、アップデートを取得する URL または IP アドレスを通知することができます。また Windows クライアントの場合は、オプションとして VPN クライアント バージョンをアップデートする必要があることをユーザに通知できます。Windows クライアントに対しては、更新を実行するメカニズムをユーザに提供できます。VPN 3002 ハードウェア クライアント ユーザの場合、アップデートは通知せずに自動的に行われます。この機能は、IPsec リモート アクセス トンネル グループ タイプにのみ適用されます。

リビジョン番号のリストに含まれるソフトウェア バージョンより新しいバージョンがすでにクライアントで実行されている場合は、そのソフトウェアをアップデートする必要はありません。リストにあるソフトウェア バージョン(またはそれ以降のバージョン)が実行されていないクライアントでは、ソフトウェアを更新する必要があります。

[Client VPN Software Update Table] には、クライアント タイプ、VPN クライアントのリビジョン、およびインストールされている各クライアント VPN ソフトウェア パッケージのイメージ URL を一覧表示します。クライアント タイプごとに、許可されるクライアント ソフトウェア リビジョンと、必要に応じて、ソフトウェア アップグレードをダウンロードする URL または IP アドレスを指定できます。クライアント アップデート メカニズム([Client Update] ウィンドウに詳細説明があります)は、この情報を使用して、各 VPN クライアントが適切なリビジョン レベルで実行されているかどうかを判断し、適切であれば、通知メッセージとアップデート メカニズムを、旧式のソフトウェアを実行しているクライアントに提供します。クライアント アップデートを設定するには、次のフィールドで指定します。

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec Connection Profiles] > [Advanced] > [IPsec] > [Client Software Update] ウィンドウを表示し、次のフィールド を設定して [Client Software Update] テーブルを設定します。

フィールド

[Enable Client Update]:すべてのトンネル グループと特定のトンネル グループの両方を対象にクライアント アップデートをイネーブルまたはディセーブルにします。クライアント アップデートをイネーブルにしてから、Windows、MAC OS X、および Linux の VPN クライアントにクライアント アップデート通知を送信するか、またはハードウェア クライアントの自動アップデートを開始する必要があります。

[Client Type]:アップグレードするクライアント(ソフトウェアまたはハードウェア)を一覧表示します。Windows ソフトウェア クライアントの場合には、すべての Windows またはサブセットを表示します。[All Windows Based] をクリックした場合は、Windows のバージョンを個別に指定しないでください。Windows NT、Windows 2000、および Windows XP を指定する場合、Windows Vista も含まれます。ハードウェア クライアントは、ASA 5505 ソフトウェアまたは VPN 3002 ハードウェア クライアントのリリースと一緒にアップデートされます。

すべての Windows クライアントをサポートするようにクライアント アップデート機能がすでに設定されている場合、個々の Windows クライアント タイプを指定するためには、あらかじめその設定を解除しておく必要があります。


) セキュア ゲートウェイはクライアント アップデート リスト内のエントリごとに個別の通知メッセージを送信するので、クライアント アップデート エントリが重複しないようにしてください。たとえば、「Windows」という値には、すべての Windows プラットフォームが含まれ、「WinNT」という値には、Windows Vista、Windows XP、Windows 2000、および Windows NT 4.0 が含まれるため、Windows と Windows NT の両方を指定できません。クライアントのタイプとバージョン情報を確認するには、シスコ VPN クライアントのメイン ウィンドウの左上隅にあるロック アイコンをクリックし、[About VPN Client] を選択してください。


[Client Type]:アップグレードするクライアント(ソフトウェアまたはハードウェア)を一覧表示します。Windows ソフトウェア クライアントの場合には、すべての Windows またはサブセットを表示します。[All Windows Based] をクリックした場合は、Windows のバージョンを個別に指定しないでください。Windows NT、Windows 2000、および Windows XP を指定する場合、Windows Vista も含まれます。ハードウェア クライアントは、ASA 5505 ソフトウェアまたは VPN 3002 ハードウェア クライアントのリリースと一緒にアップデートされます。

[VPN Client Revisions]:このクライアントに合ったソフトウェア イメージ リビジョンのカンマ区切りリストを格納しています。ユーザのクライアント リビジョン番号が、指定されているリビジョン番号のいずれかと一致している場合には、クライアントを更新する必要はありません。Windows ベースのクライアントの場合には、アップデート通知を受信しません。次の警告が適用されます。

リビジョン リストには、このアップデートのソフトウェア バージョンが記載されている必要があります。

自分のエントリが、VPN クライアントの場合には URL と、ハードウェア クライアントの場合には TFTP サーバと正確に一致する必要があります

ハードウェア クライアント イメージを配布するための TFTP サーバは堅牢である必要があります

VPN クライアント ユーザは、一覧表示されている URL から適切なソフトウェア バージョンをダウンロードする必要があります

VPN 3002 ハードウェア クライアント ソフトウェアは、ユーザに通知することなく、自動的に TFTP 経由でアップデートされます。

[Image URL]:ソフトウェア イメージのダウンロード元 URL または IP アドレスを格納しています。この URL は、クライアントに適合するファイルを指している必要があります。Windows、MAC OS X、および Linux ベースのクライアントの場合は、URL を http:// または https:// 形式にする必要があります。ハードウェア クライアントの場合、URL は tftp:// という形式にする必要があります。

Windows、MAC OS X、および Linux ベースの VPN クライアントの場合:VPN クライアント通知で [Launch] ボタンをアクティブにするには、URL に、HTTP または HTTPS というプロトコル名と、アップデートが格納されているサイトのサーバ アドレスを含める必要があります。URL の形式は、http(s)://サーバ_アドレス:ポート/ディレクトリ/ファイル名です。DNS サーバが設定済みの場合、IP アドレスまたはホスト名のどちらもサーバ アドレスとして使用できます。例:

http://10.10.99.70/vpnclient-win-4.6.Rel-k9.exe
 

ディレクトリはオプションです。ポート番号は、80 以外の HTTP ポート、443 以外の HTTPS ポートを使用する場合にだけ必要です。

ハードウェア クライアントの場合、URL の形式は、tftp://サーバ_アドレス/ディレクトリ/ファイル名です。DNS サーバが設定済みの場合、IP アドレスまたはホスト名のどちらもサーバ アドレスとして使用できます。例:

tftp://10.1.1.1/vpn3002-4.1.Rel-k9.bin
 

クライアント アップデートのイネーブル化

IPsec VPN クライアント アップデートをイネーブルにし、接続されたクライアントをオプションとしてアップグレードするには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [Upload Software] > [Client Software] を選択します。

[Client Software] ダイアログボックスにより、中央にいる管理者は次のアクションを実行できます。

クライアント アップデートをイネーブルにする。アップデートを適用するクライアントのタイプとリビジョン番号を指定する。

アップデートを取得する URL または IP アドレスを指定する。

Windows クライアントの場合に、オプションで VPN クライアント バージョンをアップデートする必要があることをユーザに通知する。


) [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [Upload Software] > [Client Software] で選択できるクライアント アップデート機能は、(IPsec)VPN クライアント(Windows、MAC OS X、および Linux の場合)と VPN 3002 ハードウェア クライアントにだけ適用されます。これは、Cisco AnyConnect VPN クライアントには適用されません。接続時にセキュリティ アプライアンスによって自動的にアップデートされます。


IPsec VPN クライアントの場合は、アップデートを実行するメカニズムをユーザに提供できます。VPN 3002 ハードウェア クライアント ユーザの場合、アップデートは通知せずに自動的に行われます。クライアント アップデートは、IPsec リモートアクセス トンネルグループのタイプだけに適用できます。


) IPsec サイト間 IPsec 接続またはクライアントレス VPN IPsec 接続を対象にクライアント アップデートを試みても、エラー メッセージは表示されず、アップデート通知やクライアント アップデートがそれらのタイプの IPsec 接続に届くことはありません。


特定のクライアント タイプのすべてのクライアントに対してクライアント アップデートをグローバルにイネーブルにするには、このウィンドウを使用します。また、このウィンドウから、アップグレードが必要であることをすべての Windows、MAC OS X、および Linux クライアントに通知し、すべての VPN 3002 ハードウェア クライアントのアップグレードを開始することもできます。アップデートの適用先クライアント リビジョンと、アップデートのダウンロード元 URL または IP アドレスを設定するには、[Edit] をクリックします。

特定のトンネル グループのクライアント アップデート リビジョンとソフトウェア アップデート ソースを設定するには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec] > [Add/Edit] > [Advanced] > [IPsec] > [Client Software Update] を選択してください。

フィールド

[Enable Client Update]:すべてのトンネル グループと特定のトンネル グループの両方を対象にクライアント アップデートをイネーブルまたはディセーブルにします。クライアント アップデートをイネーブルにしてから、Windows、MAC OS X、および Linux の VPN クライアントにクライアント アップデート通知を送信するか、またはハードウェア クライアントの自動アップデートを開始する必要があります。

[Client Type]:アップグレードするクライアント(ソフトウェアまたはハードウェア)を一覧表示します。Windows ソフトウェア クライアントの場合には、すべての Windows またはサブセットを表示します。[All Windows Based] をクリックした場合は、Windows のバージョンを個別に指定しないでください。ハードウェア クライアントは、ASA 5505 ソフトウェアまたは VPN 3002 ハードウェア クライアントのリリースと一緒にアップデートされます。


) セキュア ゲートウェイはクライアント アップデート リスト内のエントリごとに個別の通知メッセージを送信するので、クライアント アップデート エントリが重複しないようにしてください。たとえば、「Windows」という値には、すべての Windows プラットフォームが含まれ、「WinNT」という値には、Windows Vista、Windows XP、Windows 2000、および Windows NT 4.0 が含まれるため、Windows と Windows NT の両方を指定できません。クライアントのタイプとバージョン情報を確認するには、シスコ VPN クライアントのメイン ウィンドウの左上隅にあるロック アイコンをクリックし、[About VPN Client] を選択してください。


[VPN Client Revisions]:このクライアントに合ったソフトウェア イメージ リビジョンのカンマ区切りリストを格納しています。ユーザのクライアント リビジョン番号が、指定されているリビジョン番号のいずれかと一致している場合には、クライアントを更新する必要はありません。Windows ベースのクライアントの場合には、アップデート通知を受信しません。次の警告が適用されます。

リビジョン リストには、このアップデートのソフトウェア バージョンが記載されている必要があります。

自分のエントリが、VPN クライアントの場合には URL と、ハードウェア クライアントの場合には TFTP サーバと正確に一致する必要があります。

ハードウェア クライアント イメージを配布するための TFTP サーバは堅牢である必要があります。

VPN クライアント ユーザは、一覧表示されている URL から適切なソフトウェア バージョンをダウンロードする必要があります。

VPN 3002 ハードウェア クライアント ソフトウェアは、ユーザに通知することなく、自動的に TFTP 経由でアップデートされます。

[Image URL]:ソフトウェア イメージのダウンロード元 URL または IP アドレスを格納しています。この URL は、クライアントに適合するファイルを指している必要があります。Windows、MAC OS X、および Linux ベースのクライアントの場合は、URL を http:// または https:// 形式にする必要があります。ハードウェア クライアントの場合、URL は tftp:// という形式にする必要があります。

Windows、MAC OS X、および Linux ベースの VPN クライアントの場合:VPN クライアント通知で [Launch] ボタンをアクティブにするには、URL に、HTTP または HTTPS というプロトコル名と、アップデートが格納されているサイトのサーバ アドレスを含める必要があります。URL の形式は、http(s)://サーバ_アドレス:ポート/ディレクトリ/ファイル名です。DNS サーバが設定済みの場合、IP アドレスまたはホスト名のどちらもサーバ アドレスとして使用できます。例:

http://10.10.99.70/vpnclient-win-4.6.Rel-k9.exe
 

ディレクトリはオプションです。ポート番号は、80 以外の HTTP ポート、443 以外の HTTPS ポートを使用する場合にだけ必要です。

ハードウェア クライアントの場合、URL の形式は、tftp://サーバ_アドレス/ディレクトリ/ファイル名です。DNS サーバが設定済みの場合、IP アドレスまたはホスト名のどちらもサーバ アドレスとして使用できます。例:

tftp://10.1.1.1/vpn3002-4.1.Rel-k9.bin

[Edit]:[Edit Client Update Entry] ダイアログボックスを開きます。このボックスを使用して、クライアント アップデート パラメータを設定または変更できます。[Edit Client Update] のエントリを確認してください。

[Live Client Update]:現在接続中のすべての VPN クライアント、または選択したトンネル グループにアップグレード通知メッセージを送信します。

[Tunnel Group]:すべてまたは特定のトンネル グループをアップデートの対象として選択します

[Update Now]:アップグレード通知をただちに送信します。この通知には、選択したトンネル グループまたは接続中のすべてのトンネル グループ内で現在接続中の VPN クライアントを対象とするアップデート済みソフトウェアの取得場所を指定する URL が記載されています。メッセージには、ソフトウェアの新バージョンをダウンロードする場所が記載されています。その VPN クライアントの管理者は、新しいソフトウェア バージョンを取得し、VPN クライアント ソフトウェアをアップデートできます

VPN 3002 ハードウェア クライアントの場合、アップグレードは通知せずに自動的に行われます。

アップグレードを実行するには、ウィンドウの [Enable Client Update] を選択する必要があります。接続していないクライアントは、アップグレード通知を受信するか、次回ログインしたときに自動的にアップグレードされます。

ASDM を使用した IPsec クライアント接続用グループ ポリシーの設定

[Group Policies] ウィンドウ([Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] を選択して表示)では、個別の VPN グループ ポリシーの属性を管理できます。VPN グループ ポリシーは、デバイスの内部(ローカル)または外部の RADIUS または LDAP サーバに格納されているユーザ指向の属性と値のペアのセットです。VPN グループ ポリシーを設定することによって、個別のグループまたはユーザ名レベルで設定しなかった属性をユーザが継承するようにできます。デフォルトでは、VPN ユーザにはグループ ポリシーが関連付けられません。グループ ポリシー情報は、VPN トンネル グループおよびユーザ アカウントで使用されます。

「子」の関係のウィンドウとダイアログボックスでは、デフォルト グループのパラメータを含むグループ パラメータを設定できます。デフォルト グループ パラメータは、すべてのグループおよびユーザに共通であると考えられるパラメータで、これらによってコンフィギュレーション タスクが効率化されます。グループはデフォルト グループからパラメータを「継承」でき、ユーザは自身のグループまたはデフォルト グループからパラメータを「継承」できます。これらのパラメータは、グループおよびユーザを設定するときに上書きできます。

内部または外部いずれかのグループ ポリシーを設定できます。内部グループ ポリシーはローカルに保存され、外部グループ ポリシーは RADIUS または LDAP サーバの外部に保存されます。[Edit] をクリックすると、類似のダイアログボックスが開き、新しいグループ ポリシーを作成したり、既存のグループ ポリシーを変更したりできます。

これらのダイアログボックスで、次の種類のパラメータを設定します。

一般属性:名前、バナー、アドレス プール、プロトコル、フィルタリング、および接続の設定。

サーバ:DNS および WINS サーバ、DHCP スコープ、およびデフォルト ドメイン名。

[Advanced attributes]:スプリット トンネリング、IE ブラウザ プロキシ、SSL VPN クライアントと AnyConnect クライアント、および IPsec クライアント。

これらのパラメータを設定する前に、次の項目を設定する必要があります。

アクセス時間

ルールとフィルタ

IPsec セキュリティ アソシエーション

フィルタリングおよびスプリット トンネリング用のネットワーク リスト

ユーザ認証サーバ(特に、内部認証サーバ)。

フィールド

[Group Policy]:現在設定されているグループ ポリシーの一覧と、VPN グループ ポリシーを管理するための [Add]、[Edit]、および [Delete] ボタンが表示されます。

[Name]:現在設定されているグループ ポリシーの名前を一覧表示します

[Type]:現在設定されている各グループ ポリシーのタイプを一覧表示します

[Tunneling Protocol]:現在設定されている各グループ ポリシーが使用するトンネリング プロトコルを一覧表示します

[AAA Server Group]:現在設定されている各グループ ポリシーが属する AAA サーバ グループが存在すれば、一覧表示します

[Add]:ドロップダウン メニューが表示され、内部または外部のグループ ポリシーを追加するかどうかを選択できます。単に [Add] をクリックする場合は、デフォルトにより内部グループ ポリシーを作成することになります。[Add] をクリックすると、[Add Internal Group Policy] ダイアログボックスまたは [Add External Group Policy] ダイアログボックスが開きます。これらのダイアログボックスを使用して、新しいグループ ポリシーを一覧に追加できます。このダイアログボックスには、3 つのメニュー セクションがあります。それぞれのメニュー項目をクリックすると、その項目のパラメータが表示されます。項目間を移動するとき、ASDM は設定を保持します。すべてのメニュー セクションでパラメータ設定が終了したら、[Apply] または [Cancel] をクリックします。ドロップダウン メニューが表示され、内部または外部のグループ ポリシーを追加するかどうかを選択できます。単に [Add] をクリックする場合は、デフォルトにより内部グループ ポリシーを作成することになります

[Edit]:[Edit Group Policy] ダイアログボックスを表示します。このダイアログボックスを使用して、既存のグループ ポリシーを編集できます

[Delete]:AAA グループ ポリシーをリストから削除します。確認されず、やり直しもできません。

リモート アクセスの内部グループ ポリシーの追加または編集、一般属性

[Add or Edit Group Policy] ダイアログボックスでは、追加または編集するグループ ポリシーのトンネリング プロトコル、フィルタ、接続設定、およびサーバを指定できます。このウィンドウの各フィールドで、[Inherit] チェックボックスを選択すると、対応する設定の値をデフォルト グループ ポリシーから取得できます。[Inherit] は、このダイアログボックスの属性すべてのデフォルト値です。


VPN クライアントで最も重要なフィールドは、[More Options] 行の下に表示されます。このグループの継承元である個別のグループ ポリシーまたはユーザ名によって、IPsec がトンネリング プロトコルとして指定されるかどうか確信が持てないのであれば、トンネリング プロトコルの 1 つとして IPsec を選択する必要があります。


フィールド

[Add or Edit Internal Group Policy] > [General] ダイアログボックスには、次の属性が表示されます。これらの属性は、SSL VPN と IPsec セッション、またはクライアントレス SSL VPN セッションに適用されます。そのため、いくつかの属性は、1 つのタイプのセッションに表示され、他のタイプには表示されません。

[Name]:このグループ ポリシーの名前を指定します。Edit 機能の場合、このフィールドは読み取り専用です。

[Banner]:ログイン時にユーザに対して表示するバナー テキストを指定します。長さは最大 491 文字です。デフォルト値はありません。

[Address Pools]:(Network (Client) Access 専用)このグループ ポリシーで使用する 1 つ以上のアドレス プールの名前を指定します。アドレス プールを設定するには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Assignment] > [Address Pools] を選択します。

[Select]:(Network (Client) Access 専用)[Select Address Pools] ウィンドウが開きます。このウィンドウには、クライアント アドレス割り当てで選択可能なアドレス プールのプール名、開始アドレスと終了アドレス、およびサブネット マスクが表示され、そのリストからエントリを選択、追加、編集、削除、および割り当てを行うことができます。

[More Options]:このグループ ポリシーで設定可能な追加のオプションを表示します。

[Tunneling Protocols]:このグループが使用できるトンネリング プロトコルを指定します。ユーザは、選択されているプロトコルだけを使用できます。次の選択肢があります。

[Clientless SSL VPN]:SSL/TLS による VPN の使用法を指定します。この VPN では、ソフトウェアやハードウェアのクライアントを必要とせずに、Web ブラウザを使用してセキュリティ アプライアンスへのセキュアなリモート アクセス トンネルを確立します。クライアントレス SSL VPN を使用すると、HTTPS インターネット サイトを利用できるほとんどすべてのコンピュータから、企業の Web サイト、Web 対応アプリケーション、NT/AD ファイル共有(Web 対応)、電子メール、およびその他の TCP ベース アプリケーションなど、幅広い企業リソースに簡単にアクセスできるようになります

[SSL VPN Client]:Cisco AnyConnect VPN クライアントまたはレガシー SSL VPN クライアントの使用を指定します

[IPsec]:IP セキュリティ プロトコル。IPsec は最もセキュアなプロトコルとされており、VPN トンネルのほぼ完全なアーキテクチャを提供します。サイト間(ピアツーピア)接続、およびクライアントと LAN 間の接続の両方で IPsec を使用できます。

[L2TP over IPsec]:いくつかの一般的な PC およびモバイル PC のオペレーティング システムで提供される VPN クライアントを使用しているリモート ユーザが、パブリック IP ネットワークを介してセキュリティ アプライアンスおよびプライベート企業ネットワークへのセキュアな接続を確立できるようにします。L2TP は、データのトンネリングに PPP over UDP(ポート 1701)を使用します。セキュリティ アプライアンスは、IPsec 転送モード用に設定する必要があります


) プロトコルを選択しないと、エラー メッセージが表示されます。


[Filter]:(Network (Client) Access 専用)使用するアクセス コントロール リストを指定するか、またはグループ ポリシーから値を継承するかどうかを指定します。フィルタは、セキュリティ アプライアンスを経由して着信したトンネリングされたデータ パケットを、送信元アドレス、宛先アドレス、プロトコルなどの基準によって、許可するか拒否するかを決定するルールで構成されます。フィルタおよびルールを設定する方法については、[Group Policy] ウィンドウを参照してください。

[Web ACL]:(Clientless SSL VPN 専用)トラフィックをフィルタリングする場合は、ドロップダウン リストからアクセス コントロール リスト(ACL)を選択します。選択する前に ACL を表示、変更、追加、または削除する場合は、リストの横にある [Manage] をクリックします。

[Manage]:アクセス コントロール リスト(ACL)と拡張アクセス コントロール リスト(ACE)を追加、編集、および削除できる [ACL Manager] ウィンドウを表示します。ACL Manager の詳細については、そのウィンドウのオンライン ヘルプを参照してください。

[NAC Policy]:このグループ ポリシーに適用するネットワーク アドミッション コントロール ポリシーの名前を選択します。オプションの NAC ポリシーを各グループ ポリシーに割り当てることができます。デフォルト値は --None-- です。

[Manage]:[Configure NAC Policy] ダイアログボックスが開きます。1 つ以上の NAC ポリシーを設定すると、[NAC Policy] 属性の横のドロップダウン リストに、設定した NAC ポリシー名がオプションとして表示されます。

[Access Hours]:このユーザに適用される既存のアクセス時間ポリシーがある場合はその名前を選択するか、または新しいアクセス時間ポリシーを作成します。デフォルト値は [Inherit] です。また、[Inherit] チェックボックスがオフの場合のデフォルト値は [--Unrestricted--] です。

[Manage]:[Browse Time Range] ダイアログボックスを開きます。このダイアログボックスでは、時間範囲を追加、編集、または削除できます。

[Simultaneous Logins]:このユーザに許可する同時ログインの最大数を指定します。デフォルト値は 3 です。最小値は 0 で、この場合ログインがディセーブルになり、ユーザ アクセスを禁止します。


) 最大数の制限はありませんが、複数の同時接続の許可がセキュリティの低下を招き、パフォーマンスに影響を及ぼすおそれがあります。


[Restrict Access to VLAN]:(オプション)「VLAN マッピング」とも呼ばれます。このパラメータにより、このグループ ポリシーが適用されるセッションの出力 VLAN インターフェイスを指定します。セキュリティ アプライアンスは、このグループのトラフィックすべてを、選択した VLAN に転送します。この属性を使用して VLAN をグループ ポリシーに割り当て、アクセス コントロールを簡素化します。この属性に値を割り当てる方法は、ACL を使用してセッションのトラフィックをフィルタリングする方法の代替方法です。ドロップダウン リストには、デフォルト値(Unrestricted)の他に、このセキュリティ アプライアンスで設定されている VLAN だけが表示されます。


) この機能は、HTTP 接続の場合には有効ですが、FTP および CIFS 接続では使用できません。


[Maximum Connect Time]:[Inherit] チェックボックスがオフになっている場合、このパラメータには、ユーザの最大接続時間を分単位で指定します。ここで指定した時間が経過すると、システムは接続を終了します。最短時間は 1 分で、最長時間は 35791394 分(4000 年超)です。接続時間を無制限にするには、[Unlimited] をオンにします(デフォルト)。

[Idle Timeout]:[Inherit] チェックボックスがオフになっている場合、このパラメータには、ユーザのアイドル タイムアウト時間を分単位で指定します。この期間、ユーザの接続に通信アクティビティがなかった場合、システムは接続を終了します。最短時間は 1 分で、最長時間は 10080 分です。デフォルトは 30 分です。接続時間を無制限にするには、[Unlimited] をオンにします。この値は、クライアントレス SSL VPN のユーザには適用されません。

[On smart card removal]:デフォルト オプション [Disconnect] で、認証に使用されるスマート カードが除外されると、クライアントは接続を切断します。接続の間、スマート カードをコンピュータに保持することをユーザに要求しない場合は、[Keep the connection] をクリックします。

詳細 IPsec クライアント パラメータの設定

[Add or Edit Group Policy] > [Advanced] > [IPsec Client] ダイアログボックスでは、追加または編集するグループ ポリシーのトンネリング プロトコル、フィルタ、接続設定、およびサーバを指定できます。

フィールド

[Re-Authentication on IKE Re-key]:[Inherit] チェックボックスがオフである場合に、IKE キーの再生成が行われたときの再認証をイネーブルまたはディセーブルにします。ユーザは、30 秒以内にクレデンシャルを入力する必要があります。また、約 2 分間で SA が期限切れになり、トンネルが終了するまでの間に、3 回まで入力を再試行できます。

[Enable extended reauth-on-rekey to allow entry of authentication credentials until SA expiry]:設定済みの SA の最大ライフタイムまで、ユーザは認証クレデンシャルをこの回数再入力できます。

[IP Compression]:[Inherit] チェックボックスがオフである場合に、IP Compression をイネーブルまたはディセーブルにします。

[Perfect Forward Secrecy]:[Inherit] チェックボックスがオフである場合に、完全転送秘密(PFS)をイネーブルまたはディセーブルにします。PFS は、特定の IPsec SA のキーが他のシークレット(他のキーなど)から導出されたものでないことを保証します。つまり、PFS では、攻撃者があるキーを突破しても、そこから他のキーを導出することはできないことが保証されます。PFS がイネーブルになっていない場合は、IKE SA の秘密キーが突破されると、その攻撃者は、IPsec のすべての保護データをコピーし、IKE SA のシークレットの知識を使用して、その IKE SA によって設定された IPsec SA のセキュリティを侵すことができると推測されます。PFS を使用すると、攻撃者が IKE を突破しても、直接 IPsec にはアクセスできません。その場合、攻撃者は各 IPsec SA を個別に突破する必要があります。

[Store Password on Client System]:クライアント システムでのパスワードの保管をイネーブルまたはディセーブルにします。


注意 パスワードをクライアント システムで保管すると、潜在的なセキュリティ リスクが発生します。

[IPsec over UDP]:IPsec over UDP の使用をイネーブルまたはディセーブルにします。

[IPsec over UDP Port]:IPsec over UDP で使用する UDP ポートを指定します。

[Tunnel Group Lock]:[Inherit] チェックボックスまたは値 None が選択されていない場合に、リストから選択したトンネル グループのロックをイネーブルにします。

[IPsec Backup Servers]:[Server Configuration] フィールドと [Server IP Addresses] フィールドをアクティブにします。これによって、これらの値が継承されない場合に使用する UDP バックアップ サーバを指定できます。

[Server Configuration]:IPsec バックアップ サーバとして使用するサーバ設定オプションを一覧表示します。使用できるオプションは、[Keep Client Configuration](デフォルト)、[Use Backup Servers Below]、および [Clear Client Configuration] です

[Server Addresses(space delimited)]:IPsec バックアップ サーバの IP アドレスを指定します。このフィールドは、[Server Configuration] で選択した値が Use Backup Servers Below である場合にだけ使用できます。

クライアント アクセス ルールの設定

[Add or Edit Group Policy] > [Advanced] > [IPsec Client] > [Client Access Rules] ダイアログボックスでは、特定のタイプおよびバージョンの VPN クライアントからのアクセスを許可または拒否するように設定できます。ルールを定義しない場合、セキュリティ アプライアンスはすべてのクライアント タイプを許可します。クライアントがいずれのルールにも一致しない場合、セキュリティ アプライアンスは接続を拒否します。拒否ルールを定義する場合、1 つ以上の許可ルールを定義する必要があります。許可ルールを定義していない場合、セキュリティ アプライアンスは、追加または変更されたグループ ポリシーに対してすべての接続を拒否します。

クライアント アクセス ルールの追加または編集

[Add or Edit Client Access Rule] ダイアログボックスでは、IPsec グループ ポリシーの新しいクライアント アクセス ルールを追加するか、または既存のルールを修正できます。このダイアログボックスのフィールドは、VPN クライアントの各種タイプに関連しています。そのため、値のすべてが IPsec VPN クライアントで有効なわけではありません。

フィールド

[Priority]:このルールの優先順位が表示されます。

[Action]:このルールがアクセスを許可するか拒否するかを指定します。

[VPN Client Type]:このルールを適用する VPN クライアントのタイプ(ソフトウェアまたはハードウェア)を指定します。ソフトウェア クライアントの場合は、すべての Windows クライアントかサブセットかを指定します。VPN クライアント タイプに共通の値には、VPN 3002、PIX、Linux、*(すべてのクライアント タイプに一致)、および WinNT(Windows NT、Windows 2000、Windows XP、および Windows Vista に一致)があります。* を選択した場合は、Windows XP など、個々の Windows のタイプを設定しません。

[VPN Client Version]:このルールを適用する VPN クライアントのバージョンを指定します(複数可)。このボックスには、このクライアントに適用されるソフトウェアまたはファームウェア イメージのカンマ区切りリストが含まれます。

次の警告が適用されます。

このクライアントのソフトウェア バージョンを指定する必要があります。* を指定して、任意のバージョンと一致させることができます

自分のエントリが、VPN クライアントの場合には URL と、VPN 3002 の場合には TFTP サーバと正確に一致する必要があります

ハードウェア クライアント イメージを配布するための TFTP サーバは堅牢である必要があります

クライアントがリストにあるソフトウェア バージョンをすでに実行している場合、ソフトウェアをアップデートする必要はありません。クライアントがリストにあるソフトウェア バージョンを実行していなくても、更新は正しく実行されます

VPN クライアント ユーザは、一覧表示されている URL から適切なソフトウェア バージョンをダウンロードする必要があります

VPN 3002 ハードウェア クライアント ソフトウェアは、自動的に TFTP 経由でアップデートされます。

クライアント ファイアウォールのパラメータの設定

[Add or Edit Group Policy] > [Advanced] > [IPsec Client] > [Client Firewall] ダイアログボックスでは、追加または変更するグループ ポリシーに対して VPN クライアントのパーソナル ファイアウォール ポリシーを設定できます。セキュリティ アプライアンスは、接続設定のネゴシエーション中に、このファイアウォール ポリシーを VPN クライアントにプッシュします。このグループに、ファイアウォールをまだ設定していないユーザがいる場合は、[Firewall Setting] フィールドの「Firewall Optional」を選択してください。


) これらのファイアウォール機能を使用できるのは、Microsoft Windows を実行する VPN クライアントだけです。現在、ハードウェア クライアントまたは他(Windows 以外)のソフトウェア クライアントでは、これらの機能は使用できません。


ファイアウォールは、データの個々の着信パケットと発信パケットをそれぞれ検査して、パケットを許可するかドロップするかどうかを決定することにより、コンピュータをインターネットから分離して保護します。ファイアウォールは、グループのリモート ユーザがスプリット トンネリングを設定している場合、セキュリティの向上をもたらします。この場合、ファイアウォールは、インターネットまたはユーザのローカル LAN を経由する侵入からユーザの PC を保護することで、企業ネットワークを保護します。VPN クライアントを使用してセキュリティ アプライアンスに接続しているリモート ユーザは、適切なファイアウォール オプションを選択できます。

最初のシナリオでは、リモート ユーザの PC 上にパーソナル ファイアウォールがインストールされています。VPN クライアントは、ローカル ファイアウォールで定義されているファイアウォール ポリシーを適用し、そのファイアウォールが実行されていることを確認するためにモニタします。ファイアウォールの実行が停止すると、VPN クライアントはセキュリティ アプライアンスへの接続をドロップします。(このファイアウォール適用メカニズムは Are You There(AYT)と呼ばれます。VPN クライアントが定期的に「are you there?」メッセージを送信することによってファイアウォールをモニタするからです。応答が返されない場合、VPN クライアントは、ファイアウォールがダウンしてセキュリティ アプライアンスへの接続が終了したことを認識します)。ネットワーク管理者がこれらの PC ファイアウォールを独自に設定する場合もありますが、この方法を使用すれば、ユーザは各自の設定をカスタマイズできます。

第 2 のシナリオでは、VPN クライアント PC のパーソナル ファイアウォールに中央集中型ファイアウォール ポリシーを適用することが選択されることがあります。一般的な例としては、スプリット トンネリングを使用してグループのリモート PC へのインターネット トラフィックをブロックすることが挙げられます。この方法は、トンネルが確立されている間、インターネット経由の侵入から PC を保護するので、中央サイトも保護されます。このファイアウォールのシナリオは、プッシュ ポリシーまたは Central Protection Policy(CPP)と呼ばれます。セキュリティ アプライアンスでは、VPN クライアントに適用するトラフィック管理ルールのセットを作成し、これらのルールをフィルタに関連付けて、そのフィルタをファイアウォール ポリシーに指定します。セキュリティ アプライアンスは、このポリシーを VPN クライアントにプッシュします。その後、VPN クライアントはポリシーをローカル ファイアウォールに渡し、そこでポリシーが適用されます。

フィールド

[Inherit]:グループ ポリシーがデフォルト グループ ポリシーからクライアントのファイアウォール設定を取得するかどうかを決めます。このオプションはデフォルト設定です。設定すると、このタブにある残りの属性がその設定によって上書きされ、名前がグレー表示になります。

[Firewall Setting]:ファイアウォールが存在するかどうかを一覧表示します。存在する場合には、そのファイアウォールが必須かオプションかを一覧表示します。[No Firewall](デフォルト)を選択すると、このウィンドウにある残りのフィールドは、いずれもアクティブになりません。このグループのユーザをファイアウォールで保護する場合は Firewall Required または Firewall Optional 設定を選択します。

[Firewall Required] を選択した場合は、このグループのユーザ全員が、指定されたファイアウォールを使用する必要があります。セキュリティ アプライアンスは、サポートされている指定のファイアウォールがインストールされ、動作していないと、接続を試行するセッションをすべてドロップします。この場合、セキュリティ アプライアンスは、ファイアウォール設定が一致していないことを VPN クライアントに通知します。


) (注)グループでファイアウォールを必須にする場合には、そのグループに Windows VPN クライアント以外のクライアントが存在しないことを確認してください。Windows VPN クライアント以外のクライアント(クライアント モードの ASA 5505 と VPN 3002 ハードウェア クライアントを含む)は接続できません。


このグループに、まだファイアウォールに対応していないリモート ユーザがいる場合は、Firewall Optional を選択します。Firewall Optional 設定を使用すると、グループ内のすべてのユーザが接続できるようになります。ファイアウォールに対応しているユーザは、ファイアウォールを使用できます。ファイアウォールなしで接続するユーザには、警告メッセージが表示されます。この設定は、一部のユーザがファイアウォールをサポートしており、他のユーザがサポートしていないグループを作成するときに役立ちます。たとえば、移行途中のグループでは、一部のメンバはファイアウォール機能を設定し、別のユーザはまだ設定していないことがあります。

[Firewall Type]:シスコを含む複数のベンダーのファイアウォールを一覧表示します。Custom Firewall を選択すると、Custom Firewall の下のフィールドがアクティブになります。指定したファイアウォールが、使用できるファイアウォール ポリシーと相関している必要があります。設定したファイアウォールにより、サポートされるファイアウォール ポリシー オプションが決まります。

[Custom Firewall]:カスタム ファイアウォールのベンダー ID、製品 ID、および説明を指定します。

[Vendor ID]:このグループ ポリシーのカスタム ファイアウォールのベンダーを指定します

[Product ID]:このグループ ポリシー用に設定されるカスタム ファイアウォールの製品またはモデル名を指定します

[Description]:(オプション)カスタム ファイアウォールについて説明します。

[Firewall Policy]:カスタム ファイアウォール ポリシーのタイプと送信元を指定します。

[Policy defined by remote firewall (AYT)]:ファイアウォール ポリシーがリモート ファイアウォール(Are You There)によって定義されるように指定します。Policy defined by remote firewall(AYT)は、このグループのリモート ユーザのファイアウォールが、各自の PC に存在することを意味しています。このローカル ファイアウォールが、VPN クライアントにファイアウォール ポリシーを適用します。セキュリティ アプライアンスは、指定されたファイアウォールがインストールされ、実行されている場合にのみ、このグループ内の VPN クライアントの接続を許可します。指定されたファイアウォールが実行されていない場合、接続は失敗します。接続が確立すると、VPN クライアントがファイアウォールを 30 秒ごとにポーリングして、そのファイアウォールが実行されていることを確認します。ファイアウォールの実行が停止すると、VPN クライアントはセッションを終了します

[Policy pushed (CPP)]:ポリシーがピアからプッシュされるように指定します。このオプションを選択すると、[Inbound Traffic Policy] および [Outbound Traffic Policy] リストと [Manage] ボタンがアクティブになります。セキュリティ アプライアンスは、[Policy Pushed (CPP)] ドロップダウン メニューから選択されたフィルタによって定義されるトラフィック管理ルールをこのグループの VPN クライアントに適用します。メニューで使用できる選択肢は、このセキュリティ アプライアンスで定義されているフィルタで、デフォルト フィルタも含まれます。セキュリティ アプライアンスがこれらのルールを VPN クライアントにプッシュすることに注意してください。セキュリティ アプライアンスではなく VPN クライアントから見たルールを作成し、定義する必要があります。たとえば、「in」と「out」はそれぞれ、VPN クライアントに着信するトラフィックと、VPN クライアントから発信されるトラフィックです。VPN クライアントにローカル ファイアウォールもある場合、セキュリティ アプライアンスからプッシュされたポリシーは、ローカル ファイアウォールのポリシーと同時に機能します。いずれかのファイアウォールのルールでブロックされたすべてのパケットがドロップされます

[Inbound Traffic Policy]:着信トラフィックに対して使用できるプッシュ ポリシーを一覧表示します

[Outbound Traffic Policy]:発信トラフィックに対して使用できるプッシュ ポリシーを一覧表示します

[Manage]:[ACL Manager] ウィンドウを表示します。このウィンドウで、アクセス コントロール リスト(ACL)を設定できます。

ハードウェア クライアント パラメータの設定

VPN クライアントには、これらのパラメータを設定しません。ハードウェア クライアント パラメータは、使用するハードウェア クライアントとして ASA 5505 などのハードウェア クライアントを設定する場合にのみ、[Add or Edit Group Policy] > [Advanced] > [IPsec Client] > [Hardware Client] ダイアログボックスで設定してください。