-
- cache コマンド~ clear compression コマンド
- clear configuration session through clear isis コマ ンド
- clear lisp eid コマンド ~ clear xlate コマンド
- client コマンド ~ crl enforcenextupdate コマンド
- crypto am-disable コマンド ~ crypto ipsec security-association replay コマンド
- crypto isakmp disconnect-notify コマンド~ cxsc auth-proxy port コマンド
- dnscrypt
- dns domain-lookup
- dns expire-entry-timer
- dns-group
- dns-guard
- dns name-server
- dns poll-timer
- dns-server(グループ ポリシー)
- dns-server(IPv6 DHCP プール)
- dns server-group(グローバル)
- dns-id
- dns update
- domain-name (dns server-group)
- domain-name(グローバル)
- domain-name(IPv6 DHCP プール)
- domain-password
- downgrade
- download-max-size
- drop
- drop-connection
- dtls port
- duplex
- dynamic-access-policy-config
- dynamic-access-policy-record
- dynamic-authorization
- dynamic-filter ambiguous-is-black
- dynamic-filter blacklist
- dynamic-filter database fetch
- dynamic-filter database find
- dynamic-filter database purge
- dynamic-filter drop blacklist
- dynamic-filter enable
- dynamic-filter updater-client enable
- dynamic-filter use-database
- dynamic-filter whitelist
dnscrypt コマンド~ dynamic-filter whitelist コマンド
dnscrypt
DNScrypt がデバイスと Cisco Umbrella 間の接続を暗号化できるようにするには、DNS インスペクション ポリシー マップのパラメータ コンフィギュレーション モードで dnscrypt コマンドを使用します。DNScrypt を無効にするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
DNS インスペクション ポリシーマップを設定する際に、次のコマンドを使用します。
DNScrypt を有効にすると、Umbrella リゾルバとのキー交換スレッドが開始されます。キー交換スレッドは、1 時間ごとにリゾルバとのハンドシェイクを実行し、新しい秘密鍵でデバイスを更新します。
DNScrypt では UDP/443 を使用するため、そのポートが DNS インスペクションに使用するクラス マップに含まれていることを確認する必要があります。デフォルトのインスペクション クラスには DNS インスペクションに UDP/443 がすでに含まれています。
例
次の例では、デフォルト ポリシーを使用して Umbrella を有効にし、グローバル DNS インスペクションで使用されるデフォルトのインスペクション ポリシーマップで DNScrypt も有効にします。グローバル DNS インスペクションはすでに UDP/443 に適用されています。
関連コマンド
|
|
|
|---|---|
アイドル タイムアウトを設定します。その時間が経過するまでサーバからの応答がない場合、クライアントから Umbrella サーバへの接続は削除されます。 |
|
DNS インスペクション エンジンで、DNS ルックアップ要求を Cisco Umbrella にリダイレクトできるようにします。 |
dns domain-lookup
サポートされているコマンドに対してネーム ルックアップを実行するために、ASA が DNS サーバに DNS 要求を送信することをイネーブルにするには、グローバル コンフィギュレーション モードで dns domain-lookup コマンドを使用します。DNS 要求をディセーブルにするには、このコマンドの no 形式を使用します。
(注
) ASA では、機能に応じて DNS サーバの使用が限定的にサポートされます。たとえば、ほとんどのコマンドでは、IP アドレスを入力する必要があります。名前を使用できるのは、名前と IP アドレスを関連付けるように name コマンドを手動で設定し、names コマンドを使用して名前の使用をイネーブルにした場合だけです。
dns domain-lookup interface_name
no dns domain-lookup interface_name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
DNS ルックアップをイネーブルにした後で、 dns server-group DefaultDNS サーバ グループ コマンド、次に name-server コマンドを使用して DNS サーバを指定します。アクティブなサーバ グループは、 dns-group コマンドを使用して変更できます。PN トンネル グループ用に他の DNS サーバ グループを設定できます。詳細については、 tunnel-group コマンドを参照してください。
一部の ASA 機能では、ドメイン名で外部サーバにアクセスするために DNS サーバを使用する必要があります。たとえば、ボットネット トラフィック フィルタ機能では、ダイナミック データベース サーバにアクセスして、スタティック データベースのエントリを解決するために DNS サーバが必要です。さらに、Cisco Smart Software Licensing では、ライセンス機関のアドレスの解決に DNS が必要です。他の機能( ping コマンドや traceroute コマンドなど)では、ping や traceroute を実行する名前を入力できるため、ASA は DNS サーバと通信することで名前を解決できます。名前は、多くの SSL VPN コマンドおよび certificate コマンドでもサポートされます。また、アクセス ルールに完全修飾ドメイン名(FQDN)ネットワーク オブジェクトを使用するために、DNS サーバを設定する必要もあります。
例
次に、管理インターフェイス、内部インターフェイス、および DMZ インターフェイスに対してネーム ルックアップを実行するために、ASA が DNS サーバに DNS 要求を送信できるようにする例を示します。
関連コマンド
|
|
|
|---|---|
dns expire-entry-timer
TTL が期限切れになった後で解決された FQDN の IP アドレスを削除するには、グローバル コンフィギュレーション モードで dns expire-entry-timer コマンドを使用します。タイマーを削除するには、このコマンドの no 形式を使用します。
dns expire-entry-timer minutes minutes
no dns expire-entry-timer minutes minutes
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、解決された FQDN の IP アドレスが、その TTL の期限切れ後に削除されるまでの時間を指定します。IP アドレスが削除されると、ASA は tmatch ルックアップ テーブルを再コンパイルします。
このコマンドの指定は、DNS に関連するネットワーク オブジェクトがアクティブ化されている場合にのみ有効です。
デフォルトの DNS expire-entry-timer 値は 1 分です。これは、DNS エントリの TTL の期限が切れた 1 分後に IP アドレスが削除されることを意味します。
(注) 一般的な FQDN ホスト(www.sample.com など)の解決 TTL が短時間である場合、デフォルト設定を使用すると、tmatch ルックアップ テーブルが頻繁に再コンパイルされる可能性があります。セキュリティを確保すると同時に tmatch ルックアップ テーブルの再コンパイル頻度を減らすために、長い DNS expire-entry タイマー値を指定できます。
例
次に、解決されたエントリを 240 分後に削除する例を示します。
関連コマンド
|
|
|
|---|---|
dns-group
アクティブな DNS グループを指定するには、グローバル コンフィギュレーション モードで dns-group コマンドを使用します。トンネル グループごとに DNS サーバ グループを指定するには、トンネル グループ webvpn 属性コンフィギュレーション モードで dns-group コマンドを使用します。デフォルトの DNS グループに戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、「dnsgroup1」という名前の DNS グループの使用を指定するカスタマイゼーション コマンドの例を示します。
関連コマンド
|
|
|
|---|---|
dns-guard
クエリーごとに 1 つの DNS 応答を実行する DNS Guard 機能をイネーブルにするには、パラメータ コンフィギュレーション モードで dns-guard コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
DNS Guard は、デフォルトでイネーブルになっています。この機能は、 policy-map type inspect dns コマンドを定義していなくても、 inspect dns コマンドを設定していれば、イネーブルにできます。ディセーブルにするには、ポリシー マップ コンフィギュレーションで no dns-guard コマンドを明示的に指定する必要があります。 inspect dns コマンドが設定されていない場合、動作は global dns-guard コマンドが決定します。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
DNS ヘッダーの ID フィールドを使用して、DNS 応答と DNS ヘッダーを一致させます。クエリーごとに 1 つの応答が ASA を介して許可されます。
例
次に、DNS インスペクション ポリシー マップで DNS Guard をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
dns name-server
アクティブな DNS サーバ グループの DNS サーバを設定するには、グローバル コンフィギュレーション モードで dns name-server コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。このコマンドは、 name-server コマンドと同等です。
(注) ASA では、機能に応じて DNS サーバの使用が限定的にサポートされます。たとえば、ほとんどのコマンドでは、IP アドレスを入力する必要があります。名前を使用できるのは、名前と IP アドレスを関連付けるように name コマンドを手動で設定し、names コマンドを使用して名前の使用をイネーブルにした場合だけです。
dns name-server ip_address [ ip_address2 ] [...] [ ip_address6 ]
no dns name-server ip_address [ ip_address2 ] [...] [ ip_address6 ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、 dns server-group DefaultDNS サーバ グループに DNS サーバを追加するように変更されました。 |
|
使用上のガイドライン
DNS 検索をイネーブルにするには、 dns domain-lookup コマンドを使用します。DNS ルックアップをイネーブルにしないと、DNS サーバは使用されません。
このコマンドは、アクティブな DNS サーバ グループにサーバを追加します。デフォルトでは、アクティブなグループは DefaultDNS と呼ばれます。 dns-group コマンドを使用してアクティブなグループを変更できます。次に結果の設定を示します。
一部の ASA 機能では、ドメイン名で外部サーバにアクセスするために DNS サーバを使用する必要があります。たとえば、ボットネット トラフィック フィルタ機能では、ダイナミック データベース サーバにアクセスして、スタティック データベースのエントリを解決するために DNS サーバが必要です。さらに、Cisco Smart Software Licensing では、ライセンス機関のアドレスの解決に DNS が必要です。他の機能( ping コマンドや traceroute コマンドなど)では、ping や traceroute を実行する名前を入力できるため、ASA は DNS サーバと通信することで名前を解決できます。名前は、多くの SSL VPN コマンドおよび certificate コマンドでもサポートされます。また、アクセス ルールに完全修飾ドメイン名(FQDN)ネットワーク オブジェクトを使用するために、DNS サーバを設定する必要もあります。
例
次に、IPv6 アドレスで DNS サーバを設定する例を示します。
関連コマンド
|
|
|
|---|---|
dns poll-timer
ネットワーク オブジェクト グループで定義された完全修飾ドメイン名(FQDN)を解決するために、ASA が DNS サーバに照会する期間のタイマーを指定するには、グローバル コンフィギュレーション モードで dns poll-timer コマンドを使用します。タイマーを削除するには、このコマンドの no 形式を使用します。
dns poll-timer minutes minutes
no dns poll-timer minutes minutes
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、ネットワーク オブジェクト グループで定義された FQDN を解決するために、ASA が DNS サーバに照会する期間のタイマーを指定します。FQDN は、DNS ポーリング タイマーの期限切れ、または、解決された IP エントリの TTL の期限切れのいずれかが発生した時点で解決されます。
例
次に、DNS ポーリング タイマーを 240 分に設定する例を示します。
関連コマンド
|
|
|
|---|---|
dns-server(グループ ポリシー)
プライマリおよびセカンダリの DNS サーバの IP アドレスを設定するには、グループ ポリシー コンフィギュレーション モードで dns-server コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
dns-server { value ip_address [ ip_address ] | none }
構文の説明
dns-server コマンドをヌル値に設定して、DNS サーバが許可されないようにします。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーから値を継承しないようにします。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、別のグループ ポリシーの DNS サーバを継承できます。サーバが継承されないようにするには、 dns-server none コマンドを使用します。
dns-server コマンドを実行するたびに、既存の設定が上書きされます。たとえば、DNS サーバ x.x.x.x を設定し、次に DNS サーバ y.y.y.y を設定した場合、2 番めのコマンドは最初のコマンドを上書きし、y.y.y.y が唯一の DNS サーバになります。複数のサーバを設定する場合も同様です。以前に設定された DNS サーバを上書きする代わりにサーバを追加するには、このコマンドを入力するときにすべての DNS サーバの IP アドレスを含めます。
例
次の例は、FirstGroup という名前のグループ ポリシーに、IP アドレスが 10.10.10.15 と 10.10.10.45 である DNS サーバを設定する方法を示しています。
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# dns-server value 10.10.10.15 10.10.10.45
関連コマンド
|
|
|
|---|---|
dns-server(IPv6 DHCP プール)
DHCPv6 サーバを設定するときにステートレス アドレス自動設定(SLAAC)クライアントに DNS サーバの IP アドレスを提供するには、IPv6 DHCP プール コンフィギュレーション モードで dns-server コマンドを使用します。DNS サーバを削除するには、このコマンドの no 形式を使用します。
no dns-server dns_ipv6_address
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
プレフィックス委任機能とともに SLAAC を使用しているクライアントの場合は、クライアントが情報要求(IR)パケットを ASA に送信したときに、DNS サーバを含め、 ipv6 dhcp プール 内の情報を提供するように ASA を設定できます。ASA は IR パケットのみを受け付け、アドレスをクライアントに割り当てません。DHCPv6 ステートレス サーバを設定するには、 ipv6 dhcp server コマンドを使用します。サーバを有効にする場合は、 ipv6 dhcp プール 名を指定します。
例
次に、2 つの IPv6 DHCP プールを作成して、2 つのインターフェイスで DHCPv6 サーバを有効にする例を示します。
関連コマンド
dns server-group(グローバル)
DNS サーバ グループを作成して設定するには、グローバル コンフィギュレーション モードで dns server-group コマンドを使用します。特定の DNS サーバ グループを削除するには、このコマンドの no 形式を使用します。
(注) ASA では、機能に応じて DNS サーバの使用が限定的にサポートされます。たとえば、ほとんどのコマンドでは、IP アドレスを入力する必要があります。名前を使用できるのは、名前と IP アドレスを関連付けるように name コマンドを手動で設定し、names コマンドを使用して名前の使用をイネーブルにした場合だけです。
構文の説明
DNS サーバ グループの名前を指定します。ASA ルックアップのデフォルトのグループ 名は DefaultDNS です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
DNS 検索をイネーブルにするには、 dns domain-lookup コマンドを使用します。DNS ルックアップをイネーブルにしないと、DNS サーバは使用されません。
ASA では、発信要求に dns server-group DefaultDNS サーバ グループを使用します。アクティブなサーバ グループは、 dns-group コマンドを使用して変更できます。VPN トンネル グループ用他の目的のために他の DNS サーバ グループを設定できます。詳細については、 tunnel-group コマンドを参照してください。
一部の ASA 機能では、ドメイン名で外部サーバにアクセスするために DNS サーバを使用する必要があります。たとえば、ボットネット トラフィック フィルタ機能では、ダイナミック データベース サーバにアクセスして、スタティック データベースのエントリを解決するために DNS サーバが必要です。さらに、Cisco Smart Software Licensing では、ライセンス機関のアドレスの解決に DNS が必要です。他の機能( ping コマンドや traceroute コマンドなど)では、ping や traceroute を実行する名前を入力できるため、ASA は DNS サーバと通信することで名前を解決できます。名前は、多くの SSL VPN コマンドおよび certificate コマンドでもサポートされます。また、アクセス ルールに完全修飾ドメイン名(FQDN)ネットワーク オブジェクトを使用するために、DNS サーバを設定する必要もあります。
例
次に、「DefaultDNS」という名前の DNS サーバ グループを設定する例を示します。
関連コマンド
|
|
|
|---|---|
dns-id
参照 ID オブジェクトで cn-id を設定するには、ca-reference-identity モードで dns-id コマンドを使用します。dns-id を削除するには、このコマンドの no 形式を使用します。 ca-reference-identity モードにアクセスするには、参照 ID オブジェクトを設定するための crypto ca reference-identity コマンドを入力します。
構文の説明
タイプ dNSName の subjectAltName エントリ。これは DNS ドメイン名です。DNS-ID 参照 ID では、アプリケーション サービスは特定されません。 |
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
参照 ID が作成されると、4 つの ID タイプと関連付けられた値を参照 ID に追加、または参照 ID から削除することができます。
参照 ID の cn ID と dns ID には、アプリケーション サービスを特定する情報を含めることができず、DNS ドメイン名を特定する情報が含まれている必要があります。
例
次に、syslog サーバの参照 ID を作成する例を示します。
関連コマンド
|
|
|
|---|---|
dns update
DNS ポーリング タイマーの有効期限を待機せずに、指定されたホスト名を解決する DNS ルックアップを開始するには、特権 EXEC モードで dns update コマンドを使用します。
dns update [ host fqdn_name ] [ timeout seconds seconds ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、DNS ポーリング タイマーの有効期限を待機しないで、指定されたホスト名を解決する DNS ルックアップをすぐに開始します。オプションを指定せずに DNS アップデートを実行する場合、アクティブ化されたすべてのホスト グループと FQDN ホストが DNS ルックアップ用に選択されます。コマンドの実行が終了すると、ASA のコマンド プロンプトに [Done] と表示され、syslog メッセージが生成されます。
アップデート操作が開始すると、アップデート開始ログが作成されます。アップデート操作が終了するか、またはタイマーが期限切れになってから中断すると、別の syslog メッセージが生成されます。許可される未処理 DNS アップデート操作は 1 つのみです。
例
関連コマンド
|
|
|
|---|---|
domain-name (dns server-group)
未修飾のホスト名に追加するデフォルトのドメイン名を設定するには、dns server-group コンフィギュレーション モードで domain-name コマンドを使用します。ドメイン名を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA は、修飾子を持たない名前のサフィクスとして、ドメイン名を付加します。たとえば、ドメイン名を「example.com」に設定し、syslog サーバとして非修飾名「jupiter」を指定した場合は、ASA によって名前が修飾されて「jupiter.example.com」となります。
例
次に、ドメインを「dnsgroup1」に対して「example.com」に設定する例を示します。
関連コマンド
|
|
|
|---|---|
domain-name(グローバル)
デフォルトのドメイン名を設定するには、グローバル コンフィギュレーション モードで domain-name コマンドを使用します。ドメイン名を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA は、修飾子を持たない名前のサフィクスとして、ドメイン名を付加します。たとえば、ドメイン名を「example.com」に設定し、syslog サーバとして非修飾名「jupiter」を指定した場合は、ASA によって名前が修飾されて「jupiter.example.com」となります。マルチ コンテキスト モードでは、システム実行スペース内だけではなく、各コンテキストに対してドメイン名を設定できます。
例
次に、ドメインを example.com に設定する例を示します。
関連コマンド
|
|
|
|---|---|
domain-name(IPv6 DHCP プール)
DHCPv6 サーバを設定するときにステートレス アドレス自動設定(SLAAC)クライアントにドメイン名を提供するには、IPv6 DHCP プール コンフィギュレーション モードで domain-name コマンドを使用します。ドメイン名を削除するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
クライアントがプレフィックス委任機能とともに SLAAC を使用する場合、クライアントが情報要求(IR)パケットを ASA に送信するときに IPv6 DHCP プール 内の情報(ドメイン名など)を提供するように ASA を設定できます。ASA は IR パケットのみを受け付け、アドレスをクライアントに割り当てません。DHCPv6 ステートレス サーバを設定するには、 ipv6 dhcp server コマンドを使用します。サーバを有効にする場合は、 ipv6 dhcp プール 名を指定します。
例
次に、2 つの IPv6 DHCP プールを作成して、2 つのインターフェイスで DHCPv6 サーバを有効にする例を示します。
関連コマンド
domain-password
IS-IS ルーティング ドメイン認証パスワードを設定するには、ルータ ISIS コンフィギュレーション モードで domain-password コマンドを使用します。パスワードをディセーブルにするには、このコマンドの no 形式を使用します。
domain-name password [ authenticate snp { validate | send-only }]
構文の説明
(任意)これを指定すると、システムはパスワードを SNP に挿入し、受け取ったパスワードを SNP で確認するようになります。 |
|
(任意)これを指定すると、システムは SNP へのパスワードの挿入だけは行うようになりますが、SNP での受け取ったパスワードの確認は行われません。このキーワードは、ソフトウェアのアップグレード中、移行をスムーズに行うために使用します。 |
デフォルト
ドメイン パスワードは指定されていません。また、レベル 2 ルーティング情報のやり取りを行うための認証はイネーブルにされていません。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このパスワードはプレーン テキストとしてやり取りされるため、この機能が提供するセキュリティは限定されています。
このパスワードは、レベル 2(エリア ルータ レベル)の PDU リンクステート パケット(LSP)、Complete Sequence Number PDU(CSNP)、および Partial Sequence Number PDU(PSNP)に挿入されます。
authenticate snp キーワードを指定して、 validate または send-only キーワードを指定しなかった場合、IS-IS ルーティング プロトコルは SNP にパスワードを挿入しません。
例
次に、ルーティング ドメインに認証パスワードを割り当て、このパスワードを SNP に挿入し、システムが受け取った SNP で確認するように指定する例を示します。
関連コマンド
downgrade
ソフトウェア バージョンをダウングレードするには、グローバル コンフィギュレーション モードで downgrade コマンドを使用します。
downgrade [ /noconfirm ] old_image_url old_config_url [ activation-key old_key ]
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、次の機能を完了するためのショートカットです。
1. ブート イメージ コンフィギュレーションのクリア( clear configure boot )。
2. 古いイメージへのブート イメージの設定( boot system )。
3. (任意)新たなアクティベーション キーの入力( activation-key )。
4. 実行コンフィギュレーションのスタートアップ コンフィギュレーションへの保存( write memory )。これにより、BOOT 環境変数を古いイメージに設定します。このため、リロードすると古いイメージがロードされます。
5. 古いコンフィギュレーションのスタートアップ コンフィギュレーションへのコピー( copy old_config_url startup-config )。
例
関連コマンド
|
|
|
|---|---|
download-max-size
(注) download-max-size コマンドは機能しません。使用しないでください。ただし、実行コンフィギュレーションでは表示される場合があり、CLI で使用できます。
ダウンロードするオブジェクトの最大許容サイズを指定するには、グループ ポリシー webvpn コンフィギュレーション モードで download-max-size コマンドを使用します。このオブジェクトをコンフィギュレーションから削除するには、このコマンドの no バージョンを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
関連コマンド
|
|
|
|---|---|
グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで使用します。webvpn モードを開始して、グループ ポリシーまたはユーザ名に適用するパラメータを設定できるようにします。 |
|
drop
match コマンドまたは class コマンドに一致するすべてのパケットをドロップするには、一致またはクラス コンフィギュレーション モードで、 drop コマンドを使用します。このアクションをディセーブルにするには、このコマンドの no 形式を使用します。
drop [ send-protocol-error ] [ log ]
no drop [ send-protocol-error ] [ log ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
モジュラ ポリシー フレームワークを使用する場合は、一致またはクラス コンフィギュレーション モードで drop コマンドを使用して、 match コマンドまたはクラス マップと一致するパケットをドロップします。この drop アクションは、アプリケーション トラフィックのインスペクション ポリシー マップ( policy-map type inspect コマンド)で有効です。ただし、すべてのアプリケーションでこのアクションが許可されているわけではありません。
インスペクション ポリシー マップは、1 つ以上の match コマンドと class コマンドで構成されます。インスペクション ポリシー マップで使用できる実際のコマンドは、アプリケーションによって異なります。 match コマンドまたは class コマンドを入力してアプリケーション トラフィックを識別( class コマンドは match コマンドを含む既存の class-map type inspect コマンドを指す)した後は、 drop コマンドを入力して match コマンドまたは class コマンドと一致するすべてのパケットをドロップできます。
パケットをドロップすると、インスペクション ポリシー マップで以降のアクションは実行されません。たとえば、最初のアクションでパケットをドロップした場合は、それ以降、 match コマンドまたは class コマンドと一致しません。最初のアクションがパケットのロギングである場合は、パケットのドロップなどの別のアクションが発生する可能性があります。同じ match コマンドまたは class コマンドに対して drop アクションと log アクションの両方を設定できます。その場合、パケットは所定の一致箇所でドロップされる前にロギングされます。
レイヤ 3/4 ポリシー マップ( policy-map コマンド)で inspect コマンドを使用してアプリケーション インスペクションをイネーブルにする場合、このアクションを含むインスペクション ポリシー マップをイネーブルにできます。たとえば、 inspect http http_policy_map コマンドを入力します。http_policy_map は、インスペクション ポリシー マップの名前です。
例
次に、パケットをドロップし、HTTP トラフィック クラス マップと一致した場合にログを送信する例を示します。同じパケットが 2 番めの match コマンドにも一致する場合、そのパケットはすでにドロップされているため、処理されません。
関連コマンド
|
|
|
|---|---|
drop-connection
モジュラ ポリシー フレームワークを使用する場合は、一致またはクラス コンフィギュレーション モードで drop-connection コマンドを使用してパケットをドロップし、 match コマンドまたはクラス マップと一致するトラフィックの接続を閉じます。このアクションをディセーブルにするには、このコマンドの no 形式を使用します。
drop-connection [ send-protocol-error ] [ log ]
no drop-connection [ send-protocol-error ] [ log ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
接続は、ASA 上の接続データベースから削除されます。接続がドロップされた ASA に入る後続パケットはすべて廃棄されます。この drop-connection アクションは、アプリケーション トラフィックのインスペクション ポリシー マップ( policy-map type inspect コマンド)で有効です。ただし、すべてのアプリケーションでこのアクションが許可されているわけではありません。インスペクション ポリシー マップは、1 つ以上の match コマンドと class コマンドで構成されます。インスペクション ポリシー マップで使用できる実際のコマンドは、アプリケーションによって異なります。 match コマンドまたは class コマンドを入力してアプリケーション トラフィックを識別( class コマンドは match コマンドを含む既存の class-map type inspect コマンドを指す)した後は、 drop-connection コマンドを入力してパケットをドロップし、 match コマンドまたは class コマンドと一致するトラフィックの接続を閉じます。
パケットをドロップするか、または接続を閉じると、インスペクション ポリシー マップで以降のアクションは実行されません。たとえば、最初のアクションがパケットをドロップし接続を閉じることである場合、それ以降は match コマンドまたは class コマンドに対応しません。最初のアクションがパケットのロギングである場合は、パケットのドロップなどの別のアクションが発生する可能性があります。同じ match コマンドまたは class コマンドに対して drop-connection アクションと log アクションの両方を設定できます。その場合、パケットは所定の一致箇所でドロップされる前にロギングされます。
レイヤ 3/4 ポリシー マップ( policy-map コマンド)で inspect コマンドを使用してアプリケーション インスペクションをイネーブルにすると、このアクションを含むインスペクション ポリシー マップをイネーブルにできます。たとえば、 inspect http http_policy_map コマンドを入力します。http_policy_map は、インスペクション ポリシー マップの名前です。
例
次に、パケットをドロップし、接続を閉じて、http-traffic クラス マップと一致した場合にログを送信する例を示します。同じパケットが 2 番めの match コマンドにも一致する場合、そのパケットはすでにドロップされているため、処理されません。
関連コマンド
|
|
|
|---|---|
dtls port
DTLS 接続用のポートを指定するには、webvpn コンフィギュレーション モードで dtls port コマンドを使用します。このコマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、DTLS を使用する SSL VPN 接続用の UDP ポートを指定します。
DTLS により、一部の SSL 接続で発生する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。
例
次に、webvpn コンフィギュレーション モードを開始し、DTLS 用にポート 444 を指定する例を示します。
関連コマンド
|
|
|
duplex
銅線イーサネット インターフェイス(RJ-45)のデュプレックス方式を設定するには、インターフェイス コンフィギュレーション モードで duplex コマンドを使用します。デュプレックス設定をデフォルトに戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、 interface コマンドのキーワードからインターフェイス コンフィギュレーション モード コマンドに移されました。 |
使用上のガイドライン
デュプレックス モードは、物理インターフェイス上にだけ設定します。
duplex コマンドは、ファイバ メディアでは使用できません。
ネットワークで自動検出がサポートされていない場合は、デュプレックス モードを特定の値に設定します。
ASA 5500 シリーズの RJ-45 インターフェイスでは、デフォルトのオートネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX をイネーブルにするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションがディセーブルにされ、Auto-MDI/MDIX もディセーブルになります。
PoE ポート上でデュプレックス方式を auto 以外に設定した場合は、IEEE 802.3af をサポートしない Cisco IP Phone およびシスコ ワイヤレス アクセス ポイントは検出されず、電源が供給されません。
例
次に、デュプレックス モードを全二重に設定する例を示します。
関連コマンド
|
|
|
|---|---|
dynamic-access-policy-config
DAP レコードとそれに関連付けられたアクセス ポリシー属性を設定するには、グローバル コンフィギュレーション モードで dynamic-access-policy-config コマンドを使用します。既存の DAP コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
dynamic-access-policy-config name | activate
no dynamic-access-policy-config
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
グローバル コンフィギュレーション モードで dynamic-access-policy-config コマンドを使用して、1 つまたは複数の DAP レコードを作成します。DAP 選択コンフィギュレーション ファイルをアクティブにするには、 activate 引数を指定して dynamic-access-policy-config コマンドを使用します。
このコマンドを使用するには、ダイナミック アクセス ポリシー レコード モードを開始します。このモードでは、指定した DAP レコードの属性を設定できます。ダイナミック アクセス ポリシー レコード モードで使用できるコマンドは、次のとおりです。
例
次に、user1 という名前の DAP レコードを設定する例を示します。
ciscoasa(config)# dynamic-access-policy-config user1
ciscoasa(config-dynamic-access-policy-record)#
関連コマンド
|
|
|
|---|---|
dynamic-access-policy-record
DAP レコードを作成してアクセス ポリシー属性を入力するには、グローバル コンフィギュレーション モードで dynamic-access-policy-record コマンドを使用します。既存の DAP レコードを削除するには、このコマンドの no 形式を使用します。
dynamic-access-policy-record name
no dynamic-access-policy-record name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
グローバル コンフィギュレーション モードで dynamic-access-policy-record コマンドを使用して、1 つまたは複数の DAP レコードを作成します。このコマンドを使用するには、ダイナミック アクセス ポリシー レコード モードを開始します。このモードでは、指定した DAP レコードの属性を設定できます。ダイナミック アクセス ポリシー レコード モードで使用できるコマンドは、次のとおりです。
例
次に、Finance という名前の DAP レコードを作成する例を示します。
ciscoasa(config)# dynamic-access-policy-record Finance
ciscoasa(config-dynamic-access-policy-record)#
関連コマンド
|
|
|
|---|---|
dynamic-authorization
AAA サーバ グループの RADIUS の動的認可(認可変更)サービスをイネーブルにするには、AAA サーバ グループ コンフィギュレーション モードで dynamic-authorization コマンドを使用します。動的認可をディセーブルにするには、このコマンドの no 形式を使用します。
dynamic-authorization [ port number ]
no dynamic-authorization [ port number ]
構文の説明
デフォルト
デフォルトのリスニング ポートは 1700 です。デフォルトでは、dynamic-authorization はイネーブルになりません。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、ISE 認可変更(CoA)のために RADIUS サーバ グループを設定するために使用します。定義されると、対応する RADIUS サーバ グループが CoA 通知用に登録され、ASA は ISE からの CoA ポリシー更新用ポートをリッスンします。
ISE Change of Authorization(CoA)機能は、認証、認可、およびアカウンティング(AAA)セッションの属性を、セッション確立後に変更するためのメカニズムを提供します。AAA のユーザまたはユーザ グループのポリシーを変更すると、ISE から ASA へ CoA パケットを直接送信して認証を再初期化し、新しいポリシーを適用できます。インライン ポスチャ実施ポイント(IPEP)で、ASA と確立された各 VPN セッションのアクセス コントロール リスト(ACL)を適用する必要がなくなりました。
エンド ユーザが VPN 接続を要求すると、ASA はユーザに対して ISE 認証を実行し、ネットワークへの制限付きアクセスを提供する ACL を受領します。アカウンティング開始メッセージが ISE に送信され、セッションが登録されます。ポスチャ アセスメントが NAC エージェントと ISE 間で直接行われます。このプロセスは、ASA に透過的です。ISE が CoA の「ポリシー プッシュ」を介して ASA にポリシーの更新を送信します。これにより、ネットワーク アクセス権限を高める新しいユーザ ACL が識別されます。後続の CoA 更新を介し、接続のライフタイム中に追加のポリシー評価が ASA に透過的に行われる場合があります。
例
次の例は、ISE サーバ グループに、動的認可(CoA)のアップデートと時間ごとの定期的なアカウンティングを設定する方法を示しています。ISE によるパスワード認証を設定するトンネル グループ設定が含まれています。
次に、ISE でローカル証明書の検証と認可用のトンネル グループを設定する例を示します。この場合、サーバ グループは認証用に使用されないため、 authorize-only コマンドをサーバ グループ コンフィギュレーションに組み込みます。
関連コマンド
|
|
|
|---|---|
dynamic-filter ambiguous-is-black
ボットネット トラフィック フィルタのグレイリストに記載されているトラフィックを、ドロップするためにブラックリストに記載されているトラフィックとして扱うには、グローバル コンフィギュレーション モードで dynamic-filter ambiguous-is-black コマンドを使用します。グレイリストに記載されているトラフィックを許可するには、このコマンドの no 形式を使用します。
dynamic-filter ambiguous-is-black
no dynamic-filter ambiguous-is-black
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
dynamic-filter enable コマンドを設定してから dynamic-filter drop blacklist コマンドを設定すると、このコマンドでは、グレイリストに記載されているトラフィックが、ドロップするためにブラックリストに記載されているトラフィックとして扱われます。このコマンドをイネーブルにしない場合、グレーリストに記載されているトラフィックはドロップされません。
複数のドメイン名にあいまいなアドレスが関連付けられていますが、これらのドメイン名がすべてブラックリストに記載されてるわけではありません。これらのアドレスはグレーリストに記載されます。
例
次に、外部インターフェイスでポート 80 のすべてのトラフィックをモニタし、ブラックリストおよびグレイリストに記載されているトラフィックを脅威レベル moderate 以上でドロップする例を示します。
関連コマンド
dynamic-filter blacklist
ボットネット トラフィック フィルタのブラックリストを編集するには、グローバル コンフィギュレーション モードで dynamic-filter blacklist コマンドを使用します。ブラックリストを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ダイナミック フィルタ ブラックリスト コンフィギュレーション モードを開始した後に、 address コマンドおよび name コマンドを使用して、ブラックリストで信用できない名前としてタグ付けするドメイン名または IP アドレス(ホストまたはサブネット)を手動で入力できます。また、syslog メッセージおよびレポートで、ダイナミック ブラックリストおよびホワイトリストの両方に記載されている名前または IP アドレスがホワイトリスト アドレスとしてのみ識別されるように、ホワイトリストに名前や IP アドレスを入力できます( dynamic-filter whitelist コマンドを参照)。アドレスがダイナミック ブラックリストに記載されていない場合でも、ホワイトリストに記載されたアドレスの syslog メッセージは表示されます。
スタティック ブラックリスト エントリは、常に Very High 脅威レベルに指定されます。
スタティック データベースにドメイン名を追加した場合、ASA は、1 分間待機してからそのドメイン名の DNS 要求を送信し、ドメイン名と IP アドレスの組を DNS ホスト キャッシュ に追加します(このアクションはバックグラウンド プロセスで、ASA の設定の続行に影響しません)。ボットネット トラフィック フィルタ スヌーピングによる DNS パケット インスペクションもイネーブルにすることを推奨します( inspect dns dynamic-filter-snooping コマンドを参照してください)。次の場合、ASAは、通常の DNS lookup ではなく、ボットネット トラフィック フィルタ スヌーピングを使用してスタティック ブラックリストのドメイン名を解決します。
DNS スヌーピングを使用すると、感染ホストがスタティック データベースに記載されている名前に対する DNS 要求を送信したときに、ASA がドメイン名と関連付けられている IP アドレスを DNS パケット内から検出し、その名前と IP アドレスを DNS 逆ルックアップ キャッシュに追加します。
スタティック データベースを使用すると、ブラックリストに記載するドメイン名または IP アドレスを使用してダイナミック データベースを増強できます。
ボットネット トラフィック フィルタ スヌーピングをイネーブルにせず、上記の状況のいずれかが発生した場合、このトラフィックは、ボットネット トラフィック フィルタでモニタされません。
(注) このコマンドは、ASA が DNS サーバを使用することが必須です。dns domain-lookup コマンドおよび dns server-group コマンドを参照してください。
例
次に、ブラックリストおよびホワイトリストのエントリを作成する例を示します。
関連コマンド
dynamic-filter database fetch
ボットネット トラフィック フィルタのダイナミック データベースのダウンロードをテストするには、特権 EXEC モードで dynamic-filter database fetch コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
実際のデータベースは ASA で保存されません。ダウンロードされてから廃棄されます。このコマンドは、テスト用にのみ使用してください。
例
次に、ダイナミック データベースのダウンロードをテストする例を示します。
関連コマンド
dynamic-filter database find
ボットネット トラフィック フィルタのダイナミック データベースにドメイン名または IP アドレスが含まれているかどうかを確認するには、特権 EXEC モードで dynamic-filter database find コマンドを使用します。
dynamic-filter database find string
構文の説明
string には、ドメイン名または IP アドレスのすべてまたは一部を、3 文字以上の検索文字列で指定できます。データベース検索では、正規表現はサポートされません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
一致する項目が複数見つかった場合は、最初の 2 つの項目が表示されます。一致する項目を絞り込むために詳細な検索条件を指定するには、より長い文字列を入力します。
例
次に、文字列「example.com」で検索する例を示します。この例では、一致する項目が 1 つ見つかります。
次に、文字列「bad」で検索する例を示します。この例では、一致する項目が 3 つ以上見つかります。
関連コマンド
dynamic-filter database purge
実行メモリからボットネット トラフィック フィルタのダイナミック データベースを手動で削除するには、特権 EXEC モードで dynamic-filter database purge コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
データベース ファイルは実行メモリに保存されます。フラッシュ メモリには保存されません。データベースを削除する必要がある場合、 dynamic-filter database purge コマンドを使用します。
データベース ファイルを消去するには、 no dynamic-filter use-database コマンドを使用して、データベースの使用をディセーブルにしておく必要があります。
例
次に、データベースの使用をディセーブルにしてからデータベースを消去する例を示します。
関連コマンド
dynamic-filter drop blacklist
ボットネット トラフィック フィルタを使用して、ブラックリストに記載されたトラフィックを自動的にドロップするには、グローバル コンフィギュレーション モードで dynamic-filter drop blacklist コマンドを使用します。自動ドロップをディセーブルにするには、このコマンドの no 形式を使用します。
dynamic-filter drop blacklist [ interface name ] [ action-classify-list subset_access_list ] [ threat-level { eq level | range min max }]
no dynamic-filter drop blacklist [ interface name ] [ action-classify-list subset_access_list ] [ threat-level { eq level | range min max }]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
最初に、ドロップするトラフィックに対して dynamic-filter enable コマンドを設定するようにしてください。ドロップされるトラフィックは、常に、モニタされるトラフィックと同じであるか、またはこのトラフィックのサブセットである必要があります。
このコマンドは、各インターフェイスおよびグローバル ポリシーに対して複数回入力できます。所定のインターフェイス/グローバル ポリシーに対する複数のコマンドで、重複トラフィックを指定しないでください。コマンド照合順を完全に制御することはできないので、重複トラフィックは、照合されたコマンドを把握できないことになります。たとえば、所定のインターフェイスに対してすべてのトラフィックに一致するコマンド( action-classify-list キーワードを使用しない)と action-classify-list キーワードを使用するコマンドの両方を指定しないでください。この場合、トラフィックと action-classify-list キーワードを使用するコマンドとの照合が行われないことがあります。同様に、 action-classify-list キーワードを使用する複数のコマンドを指定する場合、アクセス リストが固有であり、ネットワークが重複していないことを確認してください。
例
次に、外部インターフェイスの 80 番ポートのトラフィックをすべてモニタし、脅威レベルが moderate 以上のトラフィックをドロップする例を示します。
関連コマンド
dynamic-filter enable
ボットネット トラフィック フィルタをイネーブルにするには、グローバル コンフィギュレーション モードで dynamic-filter enable コマンドを使用します。ボットネット トラフィック フィルタをディセーブルにするには、このコマンドの no 形式を使用します。
dynamic-filter enable [ interface name ] [ classify-list access_list ]
no dynamic-filter enable [ interface name ] [ classify-list access_list ]
構文の説明
拡張アクセス リストを使用してモニタするトラフィックを指定します( access-list extended コマンドを参照)。アクセス リストを作成しない場合、デフォルトでは、すべてのトラフィックをモニタします。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ボットネット トラフィック フィルタは、各初期接続パケットの送信元 IP アドレスおよび宛先 IP アドレスを、ダイナミック データベース、スタティック データベース、DNS 逆ルックアップ キャッシュ、および DNS ホスト キャッシュの IP アドレスと比較し、syslog メッセージを送信するか、または一致するトラフィックをドロップします。
マルウェアとは、知らないうちにホストにインストールされている悪意のあるソフトウェアです。個人情報(パスワード、クレジット カード番号、キー ストローク、または独自データ)の送信などのネットワーク アクティビティを試みるマルウェアは、マルウェアが既知の不正な IP アドレスへの接続を開始したときにボットネット トラフィック フィルタによって検出できます。Botnet Traffic Filter は、悪意のある既知のドメイン名および IP アドレスを含む動的データベースと、着信接続および発信接続とを照合して、疑わしいアクティビティをすべてログに記録します。また、ローカルの「ブラックリスト」または「ホワイトリスト」に IP アドレスやドメイン名を入力して、スタティック データベースでダイナミック データベースを補完できます。
DNS スヌーピングは個別にイネーブルになります( inspect dns dynamic-filter-snoop コマンドを参照)。一般的に、Botnet Traffic Filter を最大限に利用するには、DNS スヌーピングをイネーブルにする必要がありますが、必要に応じて、Botnet Traffic Filter のロギングだけを単独で使用できます。ダイナミック データベースに DNS スヌーピングが設定されていない場合、ボットネット トラフィック フィルタでは、スタティック データベースのエントリとダイナミック データベースの IP アドレスだけが使用されます。ダイナミック データベースのドメイン名は使用されません。
ボットネット トラフィック フィルタのモニタ対象のアドレスは次のとおりです。
- 既知のマルウェア アドレス:これらのアドレスは、「ブラックリスト」に記載されます。
- 既知の許可アドレス:これらのアドレスは、「ホワイトリスト」に記載されます。
- あいまいなアドレス:ブラックリストに記載されていないドメイン名を 1 つ以上含む複数のドメイン名に関連付けられているアドレス。これらのアドレスは「グレーリスト」に記載されます。
- リストに記載されていないアドレス:どのリストにも記載されていない不明アドレス。
既知のアドレスに対するボットネット トラフィック フィルタのアクション
dynamic-filter enable コマンドを使用して、不審なアクティビティをロギングするようボットネット トラフィック フィルタを設定できます。また、任意で、 dynamic-filter drop blacklist コマンドを使用して、不審なトラフィックを自動的にブロックするようボットネット トラフィック フィルタを設定できます。
リストに記載されていないアドレスについては、syslog メッセージは生成されません。ただし、ブラックリスト、ホワイトリスト、およびグレイリストに記載されているアドレスについては、タイプ別の syslog メッセージが生成されます。ボットネット トラフィック フィルタでは、338 nnn という番号が付いた詳細な syslog メッセージが生成されます。メッセージでは、着信接続と発信接続、ブラックリスト アドレス、ホワイトリスト アドレス、またはグレイリスト アドレス、およびその他の多数の変数が区別されます(グレイリストには、ブラックリストに記載されていないドメイン名を 1 つ以上含む複数のドメイン名に関連付けられているアドレスが含まれています)。
例
次に、外部インターフェイスの 80 番ポートのトラフィックをすべてモニタし、脅威レベルが moderate 以上のトラフィックをドロップする例を示します。
関連コマンド
dynamic-filter updater-client enable
ボットネット トラフィック フィルタについて、シスコの更新サーバからのダイナミック データベースのダウンロードをイネーブルにするには、グローバル コンフィギュレーション モードで dynamic-filter updater-client enable コマンドを使用します。ダイナミック データベースのダウンロードをディセーブルにするには、このコマンドの no 形式を使用します。
dynamic-filter updater-client enable
no dynamic-filter updater-client enable
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA にデータベースをまだインストールしていない場合は、約 2 分後にデータベースが適応型セキュリティ アプライアンスにダウンロードされます。アップデート サーバは、将来のアップデートのために ASA がサーバにポーリングする頻度を決定します(通常は 1 時間ごと)。
ボットネット トラフィック フィルタでは、Cisco アップデート サーバからダイナミック データベースの定期アップデートを受け取ることができます。
このデータベースには、数千もの既知の不正なドメイン名と IP アドレスが含まれています。DNS 応答のドメイン名とダイナミック データベースのドメイン名が一致した場合、ボットネット トラフィック フィルタは、このドメイン名と IP アドレスを DNS 逆ルックアップ キャッシュ に追加します。感染したホストがマルウェア サイトの IP アドレスへの接続を開始すると、ASA によって、この不審なアクティビティに関する syslog メッセージ情報が送信されます。
データベースを使用するには、ASA 用のドメイン ネーム サーバを設定して、適応型セキュリティ アプライアンスが URL にアクセスできるようにしてください。ダイナミック データベースでドメイン名を使用するには、DNS パケット インスペクションとボットネット トラフィック フィルタ スヌーピングをイネーブルにする必要があります。ASA は、ドメイン名とそれに関連付けられている IP アドレスを DNS パケット内から検出します。
場合によっては、IP アドレス自体がダイナミック データベースに入力され、ボットネット トラフィック フィルタは DNS 要求を検査せずに、その IP アドレスへのすべてのトラフィックをログに記録します。
データベース ファイルは実行メモリに保存されます。フラッシュ メモリには保存されません。データベースを削除する必要がある場合は、 dynamic-filter database purge コマンドを使用します。
(注) このコマンドは、ASA が DNS サーバを使用することが必須です。dns domain-lookup コマンドおよび dns server-group コマンドを参照してください。
例
次のマルチ モードの例では、ダイナミック データベースのダウンロードと、context1 および context2 でのデータベースの使用をイネーブルにします。
次のシングル モードの例では、ダイナミック データベースのダウンロードおよび使用をイネーブルにします。
関連コマンド
dynamic-filter use-database
ボットネット トラフィック フィルタのダイナミック データベースの使用をイネーブルにするには、グローバル コンフィギュレーション モードで dynamic-filter use-database コマンドを使用します。ダイナミック データベースの使用をディセーブルにするには、このコマンドの no 形式を使用します。
no dynamic-filter use-database
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ダウンロードされたデータベースのディセーブル化は、マルチ コンテキスト モードでデータベースの使用をコンテキストごとに設定できるようにする場合に有用です。ダイナミック データベースのダウンロードのイネーブル化については、 dynamic-filter updater-client enable コマンドを参照してください。
例
次のマルチ モードの例では、ダイナミック データベースのダウンロードと、context1 および context2 でのデータベースの使用をイネーブルにします。
次のシングル モードの例では、ダイナミック データベースのダウンロードおよび使用をイネーブルにします。
関連コマンド
dynamic-filter whitelist
ボットネット トラフィック フィルタのホワイトリストを編集するには、グローバル コンフィギュレーション モードで dynamic-filter whitelist コマンドを使用します。ホワイトリストを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スタティック データベースを使用すると、ホワイトリストに記載するドメイン名または IP アドレスを使用してダイナミック データベースを増強できます。ダイナミック フィルタ ホワイトリスト コンフィギュレーション モードを開始した後に、 address コマンドおよび name コマンドを使用して、ホワイトリストで信用できる名前としてタグ付けするドメイン名または IP アドレス(ホストまたはサブネット)を手動で入力できます。ダイナミック ブラックリストとスタティック ホワイトリストの両方に記載された名前やアドレスは、syslog メッセージおよびレポートでは、ホワイトリスト アドレスとしてのみ示されます。アドレスがダイナミック ブラックリストに記載されていない場合でも、ホワイトリストに記載されたアドレスの syslog メッセージは表示されます。スタティック ブラックリストに名前や IP アドレスを入力するには、 dynamic-filter blacklist コマンドを使用します。
スタティック データベースにドメイン名を追加した場合、ASA は、1 分間待機してからそのドメイン名の DNS 要求を送信し、ドメイン名と IP アドレスの組を DNS ホスト キャッシュ に追加します(このアクションはバックグラウンド プロセスで、ASA の設定の続行に影響しません)。ボットネット トラフィック フィルタ スヌーピングによる DNS パケット インスペクションもイネーブルにすることを推奨します( inspect dns dynamic-filter-snooping コマンドを参照してください)。次の場合、ASA は、通常の DNS lookup ではなく、ボットネット トラフィック フィルタ スヌーピングを使用してスタティック ブラックリストのドメイン名を解決します。
DNS スヌーピングを使用すると、感染ホストがスタティック データベースに記載されている名前に対する DNS 要求を送信したときに、ASA がドメイン名と関連付けられている IP アドレスを DNS パケット内から検出し、その名前と IP アドレスを DNS 逆ルックアップ キャッシュに追加します。
ボットネット トラフィック フィルタ スヌーピングをイネーブルにせず、上記の状況のいずれかが発生した場合、このトラフィックは、ボットネット トラフィック フィルタでモニタされません。
(注) このコマンドは、ASA が DNS サーバを使用することが必須です。dns domain-lookup コマンドおよび dns server-group コマンドを参照してください。
例
次に、ブラックリストおよびホワイトリストのエントリを作成する例を示します。
フィードバック