ASA デバイスを設定する

この章は、次のセクションで構成されています。

Security Cloud Control での ASA の接続ログイン情報の更新

ASA のオンボーディングプロセスで、Security Cloud Control がデバイスへの接続に使用するユーザー名とパスワードを入力し、これらのログイン情報がデバイスで変更された場合は、[ログイン情報の更新(Update Credentials)] のデバイスアクションを使用して、Security Cloud Control でもログイン情報を更新します。この機能により、デバイスを再度オンボードすることなく Security Cloud Control でログイン情報を更新できます。切り替えるユーザー名とパスワードの組み合わせは、ユーザーの ASA またはその認証、許可、およびアカウンティング(AAA)サーバーにすでに存在している必要があります。このプロセスは、Security Cloud Control データベースにのみ影響します。ログイン情報の更新機能を使用しても、ASA の設定は変更されません。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Device)] タブをクリックしてから、[ASA] をクリックします。

ステップ 3

接続資格情報を更新する ASA を選択します。1 つの、または複数の ASA の認証情報を一度に更新できます。

ステップ 4

[デバイスアクション(Device Actions)] ペインで、[資格情報の更新(Update Credentials)] をクリックします。

ステップ 5

ASA を Security Cloud Control に接続するために使用する Cloud Connector または Secure Device Connector(SDC)を選択します。

ステップ 6

ASA への接続に使用する新しいユーザー名とパスワードを入力します。

ステップ 7

ログイン情報が変更されると、Security Cloud Control はデバイスを同期します。

(注)  

 

Security Cloud Control がデバイスの同期に失敗した場合、Security Cloud Control の接続ステータスに [無効なログイン情報(Invalid Credentials)] と表示されることがあります。その場合は、無効なユーザー名とパスワードの組み合わせを使用した可能性があります。使用する資格情報が ASA または AAA サーバーに保存されていることを確認して、再試行してください。

ある SDC から別の SDC への ASA の移動

Security Cloud Control では、1 つのテナントあたり 1 つ以上の SDC の使用がサポートされます。次の手順を使用して、管理対象 ASA を、ある SDC から別の SDC に移動できます。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

別の SDC に移動する ASA を選択します。

ステップ 3

[デバイスアクション] ウィンドウで、[ログイン情報の更新(Update Credentials)] をクリックします。

ステップ 4

[セキュアデバイスコネクタ(Secure Device Connector)] ボタンをクリックし、デバイスの移動先の SDC を選択します。

ステップ 5

ASA の導入準備に使用した管理者のユーザー名とパスワードを入力し、[更新(Update)] をクリックします。これらの変更をデバイスに展開する必要はありません。

Cisco ASA インターフェイスの設定

Security Cloud Control は、コマンドラインインターフェイスを使用する必要性をなくす、使いやすいインターフェイスを提供することで、Cisco ASA インターフェイスの設定を簡素化します。Cisco ASA の物理インターフェイス、サブインターフェイス、および EtherChannel の設定を完全に制御できます。さらに、ルートベースのサイト間 VPN で作成された仮想トンネルインターフェイスも表示できますが、読み取り専用です。Security Cloud Control を使用して、Cisco ASA デバイスのデータインターフェイスまたは管理/診断インターフェイスを設定および編集できます。

インターフェイス接続(物理的または仮想)のためにケーブルを接続するとき、インターフェイスを設定する必要があります。少なくとも、トラフィックを通過させることができるように、インターフェイスに名前を付けて有効化します。インターフェイスがブリッジグループのメンバーである場合、インターフェイスに名前を付けるだけで十分です。インターフェイスがブリッジ仮想インターフェイス(BVI)の場合、BVI に IP アドレスを割り当てる必要があります。単一の物理インターフェイスではなく、VLAN サブインターフェイスを特定のポートで作成する場合、通常、物理インターフェイスではなくサブインターフェイス上で IP アドレスを設定します。VLAN サブインターフェイスを使用すると、物理インターフェイスを異なる VLAN ID がタグ付けされた複数の論理インターフェイスに分割できます。

インターフェイス リストは、利用可能なインターフェイス、その名前、アドレスおよびステータスを表示します。インターフェイスの行を選択し、[操作(Actions)] ウィンドウで [編集(Edit)] をクリックして、インターフェイスの状態(オンまたはオフ)を変更したり、インターフェイスを編集したりすることができます。このリストは、設定に基づいたインターフェイス特性を示します。インターフェイスの行を展開して、サブインターフェイスまたはブリッジグループメンバーを表示します。

管理インターフェイス

次のインターフェイスに接続して ASA を管理できます。

  • 任意の通過トラフィック インターフェイス

  • 専用の管理スロット/ポート インターフェイス(使用しているモデルで使用できる場合)

MTU 設定の使用

MTU は、デバイスが特定のイーサネット インターフェイスで送信可能な最大フレームペイロードサイズを指定します。MTU 値は、イーサネット ヘッダー、VLAN タギング、またはその他のオーバーヘッドを含まないフレーム サイズです。たとえば MTU を 1500 に設定した場合、想定されるフレーム サイズはヘッダーを含めて 1518 バイト、VLAN を使用する場合は 1522 バイトです。これらのヘッダーに対応するために MTU 値を高く設定しないでください。

仮想トンネルインターフェイス(VTI)の読み取り専用サポート

2 つの Cisco ASA デバイス間にルートベースのサイト間 VPN トンネルを設定すると、それらのデバイス間に仮想トンネルインターフェイス(VTI)が作成されます。VTI トンネルが設定されたデバイスは、Security Cloud Control にオンボーディングでき、検出されて [Cisco ASAインターフェイス(ASA Interfaces)] ページに一覧表示されますが、それらの管理はサポートされていません。

Cisco ASA 物理インターフェイスの設定

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックします。

ステップ 3

変更するデバイスを選択し、右側の [管理(Management)] ペインで [インターフェイス(Interfaces)] をクリックします。

ステップ 4

設定する物理インターフェイスをクリックし、[Edit] をクリックします。

[物理インターフェイスの編集(Editing Physical Interface)] ダイアログボックスが表示されます。

ステップ 5

[論理名(Logical Name)] フィールドに、インターフェイスの名前を入力します。

ステップ 6

次の手順のいずれかに進みます。

Cisco ASA 物理インターフェイスの IPv4 アドレス指定の設定

手順

ステップ 1

[物理インターフェイスの編集(Edit Physical Interface)] ダイアログボックスの [IPv4アドレス(IPv4 Address)] タブで、次のように設定します。

  • [タイプ(Type)]:インターフェイスには、スタティック IP アドレス指定または DHCP のいずれかを使用できます。

    [スタティック(Static)]:変更されない必要があるアドレスを割り当てる場合は、このオプションを選択します。

    • [IPアドレスとサブネットマスク(IP Address and Subnet Mask)]:インターフェイスに接続されたネットワークに対するインターフェイスの IP アドレスとサブネットマスクを入力します。

    • [スタンバイIPアドレス(Standby IP Address)]:高可用性を設定しており、このインターフェイスの HA をモニタリングしている場合は、同じサブネット上にスタンバイ IP アドレスも設定します。スタンバイデバイスのこのインターフェイスは、スタンバイアドレスを使用します。

      各インターフェイスにスタンバイ IP アドレスを設定します。スタンバイ アドレスを設定することが推奨されていますが、必須ではありません。スタンバイ IP アドレスがないと、アクティブ装置はスタンバイ インターフェイスの状態を確認するためのネットワーク テストを実行できません。リンク ステートのみ追跡できます。

    [DHCP]:ネットワーク上の DHCP サーバーからアドレスを取得する場合は、このオプションを選択します。

    [デフォルトルートを取得(Obtain Default Route)] チェックボックスをオンにすると、デフォルトルートを DHCP サーバーから取得できます。通常、このオプションのチェックボックスをオンにします。

ステップ 2

設定が完了した場合、または次のいずれかの手順を続行する場合は、[保存(Save)] をクリックします。

Cisco ASA 物理インターフェイスの IPv6 アドレス指定の設定

手順

ステップ 1

[物理インターフェイスの編集(Editing Physical Interface)] ダイアログボックスで、[IPv6アドレス(IPv6 Address)] タブをクリックします。

ステップ 2

次を設定します。

  • [状態(State)]:グローバルアドレスを設定しない場合に IPv6 処理を有効にしてリンクローカルアドレスを自動的に設定するには、[状態(State)] スライダをクリックして有効にします。リンクローカルアドレスはインターフェイスの MAC アドレス(Modified EUI-64 形式)に基づいて生成されます。

    (注)  

     

    IPv6 を無効にしても、明示的な IPv6 アドレスを指定して設定されているインターフェイス、または自動設定が有効になっているインターフェイスの IPv6 処理は無効になりません。

  • [アドレスの自動設定(Address Auto Configuration)]:

    アドレスを自動的に設定するには、チェックボックスをオンにします。IPv6 ステートレス自動設定では、デバイスが存在するリンクで使用する IPv6 グローバル プレフィックスのアドバタイズメントなどの、IPv6 サービスを提供するようにルータが設定されている場合に限り、グローバルな IPv6 アドレスが生成されます。IPv6 ルーティング サービスがリンクで使用できない場合、リンクローカル IPv6 アドレスのみが取得され、そのデバイスが属するネットワーク リンクの外部にはアクセスできません。リンクローカル アドレスは Modified EUI-64 インターフェイス ID に基づいています。

    RFC 4862 では、ステートレス自動設定用に設定されたホストはルータ アドバタイズメント メッセージを送信しないと規定されていますが、この場合は、デバイスがルータ アドバタイズメント メッセージを送信します。メッセージを抑制して、RFC に準拠するためには、[RA を抑制(Suppress RA)] を選択します。

  • [RA を抑制(Suppress RA)]:ルータアドバタイズメントを抑制する場合にチェックボックスをオンにします。ネイバーデバイスがデフォルトのルータアドレスを動的に学習できるように、デバイスはルータアドバタイズメントに参加できます。デフォルトでは、ルータ アドバタイズメント メッセージ(ICMPv6 Type 134)は、設定済みの各 IPv6 インターフェイスに定期的に送信されます。

    ルータ アドバタイズメントもルータ要請メッセージ(ICMPv6 Type 133)に応答して送信されます。ルータ要請メッセージは、システムの起動時にホストから送信されるため、ホストは、次にスケジュールされているルータ アドバタイズメント メッセージを待つことなくただちに自動設定できます。

    デバイスで IPv6 プレフィックスを提供する必要がないインターフェイス(外部インターフェイスなど)では、これらのメッセージを抑制できます。

  • [DADの試行(DAD Attempts)]:インターフェイスが重複アドレス検出(DAD)を実行する頻度(0 ~ 600)。デフォルトは 1 です。ステートレス自動設定プロセスでは、DAD はアドレスがインターフェイスに割り当てられる前に、新しいユニキャスト IPv6 アドレスの一意性を検証します。重複アドレスがインターフェイスのリンクローカル アドレスであれば、インターフェイス上で IPv6 パケットの処理は無効になります。重複アドレスがグローバル アドレスであれば、そのアドレスは使用されません。インターフェイスは、ネイバー送信要求メッセージを使用して、重複アドレス検出を実行します。重複アドレス検出(DAD)プロセスを無効にするには、この値を 0 に設定します。

  • [リンクローカルアドレス(Link-Local Address)]:アドレスをリンクローカルのみとして使用する場合に入力します。リンクローカル アドレスでは、ローカル ネットワークの外部にはアクセスできません。リンクローカル アドレスはブリッジ グループ インターフェイスには設定できません。

    (注)  

     

    リンクローカル アドレスは、FE8、FE9、FEA、または FEB で始まっている必要があります。例、fe80::20d:88ff:feee:6a82。Modified EUI-64 形式に基づくリンクローカル アドレスを自動的に割り当てることを推奨します。たとえば、その他のデバイスで Modified EUI-64 形式の使用が強制される場合、手動で割り当てたリンクローカル アドレスによりパケットがドロップされることがあります。

  • [スタンバイ リンクローカル アドレス(Standby Link-Local Address)]:インターフェイスがデバイスの高可用性ペアに接続する場合は、このアドレスを設定します。このインターフェイスが接続されている他のデバイスのインターフェイスに設定されているリンクローカルアドレスを入力します。

  • [スタティックアドレスとプレフィックス(Static Address/Prefix)]:ステートレス自動設定を使用しない場合、完全なスタティックグローバル IPv6 アドレスとネットワークプレフィックスを入力します。たとえば、「2001:0DB8::BA98:0:3210/48」のように入力します。別のスタティックアドレスを追加できます。

  • [スタンバイIPアドレス(Standby IP Address)]:高可用性を設定し、このインターフェイスの HA をモニタリングしている場合は、同じサブネット上にスタンバイ IPv6 アドレスも設定します。スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスにより使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ ユニットはネットワーク テストを使用してスタンバイ インターフェイスをモニタできず、リンク ステートをトラックすることしかできません。

ステップ 3

設定が完了した場合、または次のいずれかの手順を続行する場合は、[保存(Save)] をクリックします。

Cisco ASA 物理インターフェイスの詳細オプションの設定

高度なインターフェイス オプションには、ほとんどのネットワークに適合するデフォルト設定が用意されています。ネットワークの問題を解決する場合のみ設定を行います。

次の手順では、インターフェイスが定義済みであることを前提としています。インターフェイスを最初に編集または作成するときに、これらの設定を編集することもできます。

この手順と手順内のすべてのステップはオプションです。

手順

ステップ 1

[物理インターフェイスの編集(Editing Physical Interface)] ダイアログボックスで、[詳細設定(Advanced)] タブをクリックします。

ステップ 2

次の詳細設定値を設定します。

  • [HAモニタリング(HA Monitoring)]:これを有効にすると、高可用性の設定でピア装置にフェールオーバーするかどうかの判断要素にインターフェイスの状態が含まれます。このオプションは、高可用性を設定しない場合は無視されます。インターフェイスの名前を設定しない場合も、無視されます。

  • [管理専用(Management Only)]:これを有効にすると、データインターフェイスが管理専用になります。

    管理専用インターフェイスはトラフィックの通過を許可しないため、データインターフェイスを [管理専用(Management Only)] インターフェイスに設定する意味はあまりありません。管理/診断インターフェイスは、常に管理専用であるため、この設定を変更することはできません。

  • [MTU]:デフォルトの MTU は 1500 バイトです。64 ~ 9198 の値を指定できます。ジャンボ フレームが頻繁にやり取りされるネットワークでは、大きな値に設定します。

  • [デュプレックスと速度(Mbps)(Duplex and Speed (Mbps))]:デフォルトでは、インターフェイスは接続相手のインターフェイスに対し、互いに最適なデュプレックスおよび速度をネゴシエートしますが、必要に応じて、特定のデュプレックスおよび速度を強制的に適用することもできます。記載されているオプションは、インターフェイスでサポートされるもののみです。ネットワークモジュールのインターフェイスにこれらのオプションを設定する前に、「インターフェイス設定の制限事項」 をお読みください。

    • [デュプレックス(Duplex)]:[自動(Auto)]、[ハーフ(Half)]、または [フル(Full)] を選択します。[自動(Auto)] は、インターフェイスによってサポートされる場合のみデフォルトとなります。

    • [速度(Speed)]:[自動(Auto)] を選択してインターフェイスに速度をネゴシエートさせるか(これがデフォルトです)、または特定の速度:[10]、[100]、[1000]、[10000] Mbps を選択します。 次の特別オプションも選択できます。

  • [DADの試行(DAD Attempts)]:インターフェイスが重複アドレス検出(DAD)を実行する頻度(0 ~ 600)。デフォルトは 1 です。ステートレス自動設定プロセスでは、DAD はアドレスがインターフェイスに割り当てられる前に、新しいユニキャスト IPv6 アドレスの一意性を検証します。重複アドレスがインターフェイスのリンクローカル アドレスであれば、インターフェイス上で IPv6 パケットの処理は無効になります。重複アドレスがグローバル アドレスであれば、そのアドレスは使用されません。インターフェイスは、ネイバー送信要求メッセージを使用して、重複アドレス検出を実行します。重複アドレス検出(DAD)プロセスを無効にするには、この値を 0 に設定します。

  • [MACアドレス(MAC Address)]:H.H.H 形式の Media Access Control。H は 16 ビットの 16 進数です。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は 000C.F142.4CDE と入力します。MAC アドレスはマルチキャスト ビット セットを持つことはできません。つまり、左から 2 番目の 16 進数字を奇数にすることはできません。

  • [スタンバイMACアドレス(Standby MAC Address)]:高可用性で使用します。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイ アドレスを使用します。

ステップ 3

インターフェイスを保存し、インターフェイスの詳細オプションの設定に進まない場合は、「インターフェイスの有効化」に進みます。

ステップ 4

[保存(Save)] をクリックします。

Cisco ASA の物理インターフェイスの有効化

手順

ステップ 1

有効にする物理インターフェイスを選択します。

ステップ 2

インターフェイスの論理名に関連付けられている、ウィンドウ右上の [状態(State)] スライダを動かします。

ステップ 3

行った変更を確認して展開します。

Cisco ASA VLAN サブインターフェイスの追加

VLAN サブインターフェイスを使用すると、物理インターフェイスを異なる VLAN ID がタグ付けされた複数の論理インターフェイスに分割できます。VLAN サブインターフェイスが 1 つ以上あるインターフェイスは、自動的に 802.1Q トランクとして設定されます。VLAN では、所定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスまたはデバイスを追加しなくても、ネットワーク上で使用できるインターフェイスの数を増やすことができます。

物理インターフェイスをスイッチのトランク ポートに接続する場合は、サブインターフェイスを作成します。スイッチ トランク ポートで表示できる各 VLAN のサブインターフェイスを作成します。物理インターフェイスをスイッチのアクセス ポートに接続する場合は、サブインターフェイスを作成しても意味がありません。

Cisco ASA VLAN サブインターフェイスの設定

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックします。

ステップ 3

変更するデバイスを選択し、右側の [管理(Management)] ペインで [インターフェイス(Interfaces)] をクリックします。

ステップ 4

次のいずれかの方法を使用して、サブインターフェイスを追加できます。

  • > [サブインターフェイス(Subinterface)] の順に選択します。
  • 設定する物理インターフェイスをクリックし、右側の [アクション(Actions)] ペインで [新しいサブインターフェイス(New Subinterface)] をクリックします。

ステップ 5

[VLAN ID] フィールドに、1 ~ 4094 の VLAN ID を入力します。

VLAN ID には、接続されているスイッチで予約されているものがあります。詳細については、スイッチのマニュアルを参照してください。マルチ コンテキスト モードの場合、VLAN はシステム設定でしか設定できません。

ステップ 6

[サブインターフェイスID(Subinterface ID)] フィールドに、サブインターフェイス ID を 1 ~ 4294967293 の整数で入力します。

許可されるサブインターフェイスの番号は、プラットフォームによって異なります。設定後は ID を変更できません。

ステップ 7

次の手順のいずれかに進みます。

Cisco ASA サブインターフェイスの IPv4 アドレス指定の設定

手順

ステップ 1

[サブインターフェイスの作成(Creating Subinterface)] ダイアログボックスの [IPv4アドレス(IPv4 Address)] タブで、次のように設定します。

  • [タイプ(Type)]:インターフェイスには、スタティック IP アドレス指定または DHCP のいずれかを使用できます。

    [スタティック(Static)]:変更されない必要があるアドレスを割り当てる場合は、このオプションを選択します。

    • [IPアドレスとサブネットマスク(IP Address and Subnet Mask)]:インターフェイスに接続されたネットワークに対するインターフェイスの IP アドレスとサブネットマスクを入力します。

    • [スタンバイIPアドレス(Standby IP Address)]:高可用性を設定しており、このインターフェイスの HA をモニタリングしている場合は、同じサブネット上にスタンバイ IP アドレスも設定します。スタンバイデバイスのこのインターフェイスは、スタンバイアドレスを使用します。

      各インターフェイスにスタンバイ IP アドレスを設定します。スタンバイ アドレスを設定することが推奨されていますが、必須ではありません。スタンバイ IP アドレスがないと、アクティブ装置はスタンバイ インターフェイスの状態を確認するためのネットワーク テストを実行できません。リンク ステートのみ追跡できます。

    [DHCP]:ネットワーク上の DHCP サーバーからアドレスを取得する場合は、このオプションを選択します。

    [デフォルトルートを取得(Obtain Default Route)] チェックボックスをオンにすると、デフォルトルートを DHCP サーバーから取得できます。通常、このオプションのチェックボックスをオンにします。

ステップ 2

設定が完了した場合、または次のいずれかの手順を続行する場合は、[保存(Save)] をクリックします。

Cisco ASA サブインターフェイスの IPv6 アドレス指定の設定

手順

ステップ 1

[サブインターフェイスの作成(Creating Subinterface)] ダイアログボックスで、[IPv6アドレス(IPv6 Address)] タブをクリックします。

ステップ 2

次を設定します。

  • [状態(State)]:グローバルアドレスを設定しない場合に IPv6 処理を有効にしてリンクローカルアドレスを自動的に設定するには、[状態(State)] スライダをクリックして有効にします。リンクローカルアドレスはインターフェイスの MAC アドレス(Modified EUI-64 形式)に基づいて生成されます。

    (注)  

     

    IPv6 を無効にしても、明示的な IPv6 アドレスを指定して設定されているインターフェイス、または自動設定が有効になっているインターフェイスの IPv6 処理は無効になりません。

  • [アドレスの自動設定(Address Auto Configuration)]:

    アドレスを自動的に設定するには、チェックボックスをオンにします。IPv6 ステートレス自動設定では、デバイスが存在するリンクで使用する IPv6 グローバル プレフィックスのアドバタイズメントなどの、IPv6 サービスを提供するようにルータが設定されている場合に限り、グローバルな IPv6 アドレスが生成されます。IPv6 ルーティング サービスがリンクで使用できない場合、リンクローカル IPv6 アドレスのみが取得され、そのデバイスが属するネットワーク リンクの外部にはアクセスできません。リンクローカル アドレスは Modified EUI-64 インターフェイス ID に基づいています。

    RFC 4862 では、ステートレス自動設定用に設定されたホストはルータ アドバタイズメント メッセージを送信しないと規定されていますが、この場合は、デバイスがルータ アドバタイズメント メッセージを送信します。メッセージを抑制して、RFC に準拠するためには、[RA を抑制(Suppress RA)] を選択します。

  • [RAを抑制(Suppress RA)]:ルータアドバタイズメントを抑制する場合にチェックボックスをオンにします。ネイバーデバイスがデフォルトのルータアドレスを動的に学習できるように、デバイスはルータアドバタイズメントに参加できます。デフォルトでは、ルータ アドバタイズメント メッセージ(ICMPv6 Type 134)は、設定済みの各 IPv6 インターフェイスに定期的に送信されます。

    ルータ アドバタイズメントもルータ要請メッセージ(ICMPv6 Type 133)に応答して送信されます。ルータ要請メッセージは、システムの起動時にホストから送信されるため、ホストは、次にスケジュールされているルータ アドバタイズメント メッセージを待つことなくただちに自動設定できます。

    デバイスで IPv6 プレフィックスを提供する必要がないインターフェイス(外部インターフェイスなど)では、これらのメッセージを抑制できます。

  • [DADの試行(DAD Attempts)]:インターフェイスが重複アドレス検出(DAD)を実行する頻度(0 ~ 600)。デフォルトは 1 です。ステートレス自動設定プロセスでは、DAD はアドレスがインターフェイスに割り当てられる前に、新しいユニキャスト IPv6 アドレスの一意性を検証します。重複アドレスがインターフェイスのリンクローカル アドレスであれば、インターフェイス上で IPv6 パケットの処理は無効になります。重複アドレスがグローバル アドレスであれば、そのアドレスは使用されません。インターフェイスは、ネイバー送信要求メッセージを使用して、重複アドレス検出を実行します。重複アドレス検出(DAD)プロセスを無効にするには、この値を 0 に設定します。

  • [リンクローカルアドレス(Link-Local Address)]:アドレスをリンクローカルのみとして使用する場合に入力します。リンクローカル アドレスでは、ローカル ネットワークの外部にはアクセスできません。リンクローカル アドレスはブリッジ グループ インターフェイスには設定できません。

    (注)  

     

    リンクローカル アドレスは、FE8、FE9、FEA、または FEB で始まっている必要があります。例、fe80::20d:88ff:feee:6a82。Modified EUI-64 形式に基づくリンクローカル アドレスを自動的に割り当てることを推奨します。たとえば、その他のデバイスで Modified EUI-64 形式の使用が強制される場合、手動で割り当てたリンクローカル アドレスによりパケットがドロップされることがあります。

  • [スタンバイ リンクローカル アドレス(Standby Link-Local Address)]:インターフェイスがデバイスの高可用性ペアに接続する場合は、このアドレスを設定します。このインターフェイスが接続されている他のデバイスのインターフェイスに設定されているリンクローカルアドレスを入力します。

  • [スタティックアドレスとプレフィックス(Static Address/Prefix)]:ステートレス自動設定を使用しない場合、完全なスタティックグローバル IPv6 アドレスとネットワークプレフィックスを入力します。たとえば、「2001:0DB8::BA98:0:3210/48」のように入力します。別のスタティックアドレスを追加できます。

  • [スタンバイIPアドレス(Standby IP Address)]:高可用性を設定し、このインターフェイスの HA をモニタリングしている場合は、同じサブネット上にスタンバイ IPv6 アドレスも設定します。スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスにより使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ ユニットはネットワーク テストを使用してスタンバイ インターフェイスをモニタできず、リンク ステートをトラックすることしかできません。

ステップ 3

設定が完了した場合、または次のいずれかの手順を続行する場合は、[保存(Save)] をクリックします。

Cisco ASA サブインターフェイスの詳細オプションの設定

高度なインターフェイス オプションには、ほとんどのネットワークに適合するデフォルト設定が用意されています。ネットワークの問題を解決する場合のみ設定を行います。

次の手順では、インターフェイスが定義済みであることを前提としています。インターフェイスを最初に編集または作成するときに、これらの設定を編集することもできます。

この手順と手順内のすべてのステップはオプションです。

手順

ステップ 1

[サブインターフェイスの作成(Creating Subinterface)] ダイアログボックスで、[詳細設定(Advanced)] タブをクリックします。

ステップ 2

次の詳細設定値を設定します。

  • [HAモニタリング(HA Monitoring)]:これを有効にすると、高可用性の設定でピア装置にフェールオーバーするかどうかの判断要素にインターフェイスの状態が含まれます。このオプションは、高可用性を設定しない場合は無視されます。インターフェイスの名前を設定しない場合も、無視されます。

  • [管理専用(Management Only)]:これを有効にすると、データインターフェイスが管理専用になります。

    管理専用インターフェイスはトラフィックの通過を許可しないため、データインターフェイスを [管理専用(Management Only)] インターフェイスに設定する意味はあまりありません。管理/診断インターフェイスは、常に管理専用であるため、この設定を変更することはできません。

  • [MTU]:デフォルトの MTU は 1500 バイトです。64 ~ 9198 の値を指定できます。ジャンボ フレームが頻繁にやり取りされるネットワークでは、大きな値に設定します。

  • [DADの試行(DAD Attempts)]:インターフェイスが重複アドレス検出(DAD)を実行する頻度(0 ~ 600)。デフォルトは 1 です。ステートレス自動設定プロセスでは、DAD はアドレスがインターフェイスに割り当てられる前に、新しいユニキャスト IPv6 アドレスの一意性を検証します。重複アドレスがインターフェイスのリンクローカル アドレスであれば、インターフェイス上で IPv6 パケットの処理は無効になります。重複アドレスがグローバル アドレスであれば、そのアドレスは使用されません。インターフェイスは、ネイバー送信要求メッセージを使用して、重複アドレス検出を実行します。重複アドレス検出(DAD)プロセスを無効にするには、この値を 0 に設定します。

  • [MACアドレス(MAC Address)]:H.H.H 形式の Media Access Control。H は 16 ビットの 16 進数です。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は 000C.F142.4CDE と入力します。MAC アドレスはマルチキャスト ビット セットを持つことはできません。つまり、左から 2 番目の 16 進数字を奇数にすることはできません。

  • [スタンバイMACアドレス(Standby MAC Address)]:高可用性で使用します。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイ アドレスを使用します。

ステップ 3

インターフェイスを保存し、インターフェイスの詳細オプションの設定に進まない場合は、「サブインターフェイスの有効化」に進みます。

ステップ 4

[保存(Save)] をクリックします。

サブインターフェイスの有効化

手順

ステップ 1

有効にするサブインターフェイスを選択します。

ステップ 2

インターフェイスの論理名に関連付けられている、ウィンドウ右上の [状態(State)] スライダを動かします。

ステップ 3

行った変更を確認して展開します。

Cisco ASA サブインターフェイスの削除

ASA からサブインターフェイスを削除するには、次の手順を実行します。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックします。

ステップ 3

変更するデバイスを選択し、右側の [管理(Management)] ペインで [インターフェイス(Interfaces)] をクリックします。

ステップ 4

[インターフェイス(Interfaces)] ページで、削除するサブインターフェイスにリンクされている物理インターフェイスを展開し、その特定のサブインターフェイスを選択します。

ステップ 5

右側の [アクション(Actions)] ペインで、[削除(Remove)] をクリックします。

ステップ 6

削除する EtherChannel インターフェイスを確認し、[削除(Delete)] をクリックします。

ステップ 7

行った変更を確認して展開します。

Cisco ASA の EtherChannel インターフェイスについて

802.3ad EtherChannel は、単一のネットワークの帯域幅を増やすことができるように、個別のイーサネット リンク(チャネル グループ)のバンドルで構成される論理インターフェイスです(ポートチャネル インターフェイスと呼びます)。ポートチャネル インターフェイスは、インターフェイス関連の機能を設定するときに、物理インターフェイスと同じように使用します。

モデルでサポートされているインターフェイスの数に応じて、最大 48 個の Etherchannel を設定できます。

Link Aggregation Control Protocol

リンク集約制御プロトコル(LACP)では、2 つのネットワーク デバイス間でリンク集約制御プロトコル データ ユニット(LACPDU)を交換することによって、インターフェイスが集約されます。

LACP では、ユーザが介入しなくても、EtherChannel へのリンクの自動追加および削除が調整されます。また、コンフィギュレーションの誤りが処理され、メンバ インターフェイスの両端が正しいチャネル グループに接続されていることがチェックされます。「オン」モードではインターフェイスがダウンしたときにチャネル グループ内のスタンバイ インターフェイスを使用できず、接続とコンフィギュレーションはチェックされません。

Cisco ASA EtherChannel インターフェイスの詳細については、『ASDM Book 1: Cisco ASA Series General Operations ASDM Configuration Guide, X, Y』の「EtherChannel and Redundant Interfaces」の章を参照してください。

Cisco ASA の EtherChannel の設定

新しい EtherChannel インターフェイスを Cisco ASA に追加には、次の手順を実行します。

始める前に

Cisco ASA インターフェイスで EtherChannel を設定するには、次の前提条件を満たす必要があります。

  • チャネルグループ内のすべてのインターフェイスは、同じメディアタイプと容量である必要があり、同じ速度とデュプレックスに設定する必要があります。メディアタイプは RJ-45 または SFP のいずれかです。異なるタイプ(銅と光ファイバ)の SFP を混在させることができます。速度が [SFPを検出(Detect SFP)] に設定されている限り、さまざまなインターフェイス容量をサポートする Cisco Secure Firewall 3100 を除いて、大容量のインターフェイスで速度を低く設定することでインターフェイス容量(1GB と 10GB のインターフェイスなど)を混在させることはできません。その場合は、共通の最低速度が使用されます。

  • 名前が設定されている場合は、物理インターフェイスをチャネル グループに追加できません。最初に名前を削除する必要があります。

  • 別の EtherChannel インターフェイスグループのインターフェイス部分、スイッチポート インターフェイス、およびサブインターフェイスを持つインターフェイスは追加できません。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックします。

ステップ 3

変更するデバイスを選択し、右側の [管理(Management)] ペインで [インターフェイス(Interfaces)] をクリックします。

ステップ 4

> [EtherChannelインターフェイス(EtherChannel Interface)] の順に選択します。

ステップ 5

[論理名(Logical Name)] フィールドに、EtherChannel インターフェイスの名前を入力します。

ステップ 6

[EtherChannel ID] で、1 ~ 8 の整数を入力します。

ステップ 7

[リンク集約制御プロトコル(Link Aggregation Control Protocol)] のドロップダウンボタンをクリックし、次の 2 つのオプションのいずれかを選択します。

  • [アクティブ(Active)]:LACP アップデートを送信および受信します。アクティブ EtherChannel は、アクティブまたはパッシブ EtherChannel と接続を確立できます。LACP トラフィックを最小にする必要がある場合以外は、アクティブ モードを使用する必要があります。
  • [オン(On)]:EtherChannel は常にオンであり、LACP は使用されません。[オン(On)] の EtherChannel は、[オン(On)] と設定されている別の EtherChannel のみと接続できます。

ステップ 8

メンバーとして EtherChannel に含めるインターフェイスを検索して選択します。1 つ以上のインターフェースを含める必要があります

警告

 

EtherChannel インターフェイスをメンバーとして追加し、すでに IP アドレスが設定されている場合、Security Cloud Control はメンバーの IP アドレスを削除します。

ステップ 9

[IPv4]、[IPv6]、または [詳細設定(Advanced)] タブを選択して、サブインターフェイスの IP アドレスを設定します。

ステップ 10

ウィンドウの右上にある [状態(State)] スライダを動かして、EtherChannel インターフェイスを有効にします。

ステップ 11

[保存(Save)] をクリックします。

ステップ 12

行った変更を確認して展開します。

Cisco ASA の EtherChannel の編集

Cisco ASA の既存の EtherChannel を編集するには、次の手順を実行します。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックします。

ステップ 3

変更するデバイスを選択し、右側の [管理(Management)] ペインで [インターフェイス(Interfaces)] をクリックします。

ステップ 4

[インターフェイス(Interfaces )] ページで、編集する EtherChannel インターフェイスを選択します。

ステップ 5

右側の [アクション(Actions)] ペインで、[編集(Edit)] をクリックします。

ステップ 6

必要な値を変更し、[保存(Save)] をクリックします。

ステップ 7

行った変更を確認して展開します。

Cisco ASA の EtherChannel インターフェイスの削除

Cisco ASA から EtherChannel インターフェイスを削除するには、次の手順を実行します。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックします。

ステップ 3

変更するデバイスを選択し、右側の [管理(Management)] ペインで [インターフェイス(Interfaces)] をクリックします。

ステップ 4

[インターフェイス(Interfaces )] ページで、削除する EtherChannel インターフェイスを選択します。

ステップ 5

右側の [アクション(Actions)] ペインで、[削除(Remove)] をクリックします。

ステップ 6

削除する EtherChannel インターフェイスを確認し、[削除(Delete)] をクリックします。

ステップ 7

行った変更を確認して展開します。

Security Cloud Control の Cisco ASA システム設定ポリシー

Cisco ASA システム設定ポリシーの概要

システム設定ポリシーを使用して、Cisco ASA デバイスの動作と機能を管理します。このポリシーには、ドメインネームサービス、セキュアコピーサーバーの有効化、メッセージロギング、ACL チェックなしでの VPN トラフィックの許可などの重要な設定が含まれます。ポリシーを設定することで、セキュアなネットワーク環境を維持するためにデバイスが適切に設定された状態を確保できます。

Cisco ASA デバイスを設定する際は、重要な点として、共有システム設定ポリシーを使用して複数のデバイスの設定を管理するオプションがあることに注意してください。または、任意の単一デバイスの設定を個別に編集することができます。

共有システム設定ポリシー

共有システム設定ポリシーは、ネットワーク内の複数の Cisco ASA デバイスに適用されます。これにより、同時に複数の管理対象デバイスを設定することができ、それによって展開に一貫性をもたらし、管理の手間を合理化することができます。共有ポリシーのパラメータに加えた変更は、そのポリシーを使用する他の Cisco ASA デバイスに影響を与えます。

[ポリシー(Policies)] > [Cisco ASA(ASA)] > [システム設定(System Settings)] の順に選択します。Cisco ASA 共有システム設定ポリシーの作成を参照してください。

また、単一の Cisco ASA デバイスに固有のデバイス固有システム設定を変更して、共有システム設定ポリシーの値を上書きすることもできます。セキュリティデバイス > [Cisco ASAデバイス(ASA device)] > [管理(Management)] > [設定(Settings)] の順に選択します。デバイス固有のシステム設定の指定または変更 を参照してください。

Cisco ASA 共有システム設定ポリシーの作成

Cisco ASA デバイスの新しい共有システム設定ポリシーを作成するには、この手順を使用します。

手順

ステップ 1

左側のペインで [ポリシー(Policies)] > [Cisco ASA(ASA)] > [システム設定(System Settings)] をクリックします。

ステップ 2

をクリックします。

ステップ 3

[名前(Name)] フィールドにポリシーの名前を入力し、[保存(Save)] をクリックします。

ステップ 4

Cisco ASA 共有システム設定の編集ページで、必要なパラメータを設定します。

(注)  

 

  • 対応するパラメータ上のオレンジ色のドット()により、保存されていない変更が強調表示されます。

  • 拒否記号()により、デバイスからの既存のローカル値を使用するパラメータが強調表示されます。

基本 DNS 設定の指定

DNS サーバーを設定して、ASA がホスト名を IP アドレスに解決できるようにする必要があります。また、アクセスルールに完全修飾ドメイン名(FQDN)ネットワークオブジェクトを使用するように、DNS サーバーを設定する必要があります。

手順

ステップ 1

Cisco ASA システム設定の編集ページで、左側のペインにある [DNS] をクリックします。

ステップ 2

[既存の値を保持(Retain existing values)] チェックボックスをオフにして、共有 Cisco ASA システム設定ポリシーの値を設定します。

重要

 

[既存の値を保持(Retain existing values)] チェックボックスがオンになっていると、フィールドが非表示になるため、値を設定できません。Security Cloud Control は、この設定に Cisco ASA デバイスの既存のローカル値を使用し、共有ポリシーからは継承しません。

ステップ 3

[DNS] セクションで、 をクリックしてサーバーを設定します。

  • [IPバージョン(IP Version)]:使用する IP アドレスのバージョンを選択します。

  • [IPアドレス(IP Address)]:DNS サーバーの IP アドレスを指定します。

  • [インターフェイス名(Interface Name)]:DNS 探索を有効にするインターフェイスを指定します。

(注)  

 

ここで指定したインターフェイス名が、この共有システム設定ポリシーに関連付けられている Cisco ASA デバイスにおいて同じであることを確認します。

ステップ 4

[保存(Save)] をクリックします。

ステップ 5

[ドメイン名(Domain name)] フィールドで、Cisco ASA のドメイン名を指定します。

ASA は、修飾子を持たない名前のサフィックスとして、ドメイン名を追加します。たとえば、ドメイン名を「example.com」に設定し、syslog サーバーとして非修飾名「jupiter」を指定した場合は、ASA によって名前が修飾されて「jupiter.example.com」となります。

ステップ 6

[DNS探索(DNS Lookup)] セクションで、 をクリックし、インターフェイス名を指定します。

インターフェイスで DNS ルックアップを有効にしない場合、ASA はそのインターフェイスの DNS サーバーと通信しません。DNS サーバーへのアクセスに使用されるすべてのインターフェイスで DNS ルックアップを有効にしてください。

(注)  

 

設定済みのインターフェイスを削除するには、[アクション(Actions)] の下にある削除アイコンをクリックします。

ステップ 7

[保存(Save)] をクリックします。

HTTP 設定の指定

管理アクセス用の Cisco ASA インターフェイスにアクセスするには、HTTP を使用した Cisco ASA へのアクセスを許可するすべてのホスト/ネットワークのアドレスを指定する必要があります。HTTP リダイレクトを設定して HTTP 接続を HTTPS に自動的にリダイレクトするには、HTTP を許可するアクセスルールを有効化する必要があります。そうしないと、インターフェイスが HTTP ポートをリッスンできません。

手順

ステップ 1

Cisco ASA システム設定の編集ページで、左側のペインにある [HTTP] をクリックします。

ステップ 2

[既存の値を保持(Retain existing values)] チェックボックスをオフにして、共有 Cisco ASA システム設定ポリシーの値を設定します。

重要

 

[既存の値を保持(Retain existing values)] チェックボックスがオンになっていると、フィールドが非表示になるため、値を設定できません。Security Cloud Control は、この設定に Cisco ASA デバイスの既存のローカル値を使用し、共有ポリシーからは継承しません。

ステップ 3

[HTTPサーバーを有効にする(Enable HTTP Server)] チェックボックスをオンにして HTTP サーバーを有効にします。

ステップ 4

[ポート番号(Port Number)] フィールドで、ポート番号を設定します。port は、インターフェイスが HTTP 接続のリダイレクトに使用するポートを指定します。

警告

 

デバイスの HTTP ポートを変更すると、Security Cloud Control への接続で問題が発生する可能性があります。デバイスのネットワーク接続に関連する設定を変更する場合は、この点に注意してください。

ステップ 5

をクリックして HTTP 情報を追加します。

  • [インターフェイス(Interface)]:ここで指定したインターフェイス名が、この共有システム設定ポリシーに関連付けられている Cisco ASA デバイスにおいて同じであることを確認します。

  • [IPバージョン(IP Version)]:使用する IP アドレスのバージョンを選択します。

  • [IPアドレス(IP Address)]:HTTP を使用して Cisco ASA にアクセスできるすべてのホスト/ネットワークのアドレスを指定します。

  • [ネットマスク(Netmask)]:ネットワークのサブネットマスクを指定します。

(注)  

 

ホストを削除するには、[アクション(Actions)] の下にある削除アイコンをクリックします。

ステップ 6

[保存(Save)] をクリックします。

NTP サーバーを使用した日付と時刻の設定

NTP を使用して階層的なサーバ システムを実現し、ネットワーク システム間の時刻を正確に同期します。このような精度は、CRL の検証など正確なタイム スタンプを含む場合など、時刻が重要な操作で必要になります。複数の NTP サーバーを設定できます。ASA は、データ信頼度の尺度となる一番下のストラタムのサーバーを選択します。

手動で設定した時刻はすべて、NTP サーバーから取得された時刻によって上書きされます。

ASA は NTPv4 をサポートします。

手順

ステップ 1

Cisco ASA システム設定の編集ページで、左側のペインにある [NTP] をクリックします。

ステップ 2

[既存の値を保持(Retain existing values)] チェックボックスをオフにして、共有 Cisco ASA システム設定ポリシーの値を設定します。

重要

 

[既存の値を保持(Retain existing values)] チェックボックスがオンになっていると、フィールドが非表示になるため、値を設定できません。Security Cloud Control は、この設定に Cisco ASA デバイスの既存のローカル値を使用し、共有ポリシーからは継承しません。

ステップ 3

をクリックして NTP サーバーの詳細情報を追加します。

  • [IPバージョン(IP Version)]:使用する IP アドレスのバージョンを選択します。

  • [IPアドレス(IP Address)]:NTP サーバーの IP アドレスを指定します。

    サーバーのホスト名を入力することはできません。ASA は、NTP サーバーの DNS ルックアップをサポートしていません。

  • [キーID(Key Id)]:1 ~ 4294967295 の数字を入力します。

    この設定では、この認証キーのキー ID を指定します。これにより、認証を使用して NTP サーバーと通信できます。NTP サーバーのパケットも、常にこのキー ID を使用する必要があります。

  • [インターフェイス名(Interface Name)]:インターフェイス名を指定します。ここで指定したインターフェイス名が、この共有システム設定ポリシーに関連付けられている Cisco ASA デバイスにおいて同じであることを確認します。

    NTP では、どのサーバーの精度が最も高いかを判断するためのアルゴリズムを使用し、そのサーバーに同期します。精度が同じ程度であれば、優先サーバーを使用します。ただし、優先サーバーよりも精度が大幅に高いサーバーがある場合、ASA は精度の高いそのサーバーを使用します。

  • [優先する(Prefer)]:(オプション)[優先(Preferred)] チェックボックスをオンにして、このサーバーを優先サーバーに設定します。

(注)  

 

NTP サーバーを削除するには、[アクション(Actions)] の下にある削除アイコンをクリックします。

ステップ 4

[保存(Save)] をクリックします。

SSH アクセスの設定

ASA 上でセキュア コピー(SCP)サーバーをイネーブルにできます。SSH による ASA へのアクセスを許可されたクライアントだけが、セキュア コピー接続を確立できます。

手順

ステップ 1

Cisco ASA 設定ポリシーの編集ページで、左側のペインにある [SSH] をクリックします。

ステップ 2

[既存の値を保持(Retain existing values)] チェックボックスをオフにして、共有 Cisco ASA システム設定ポリシーの値を設定します。

重要

 

[既存の値を保持(Retain existing values)] チェックボックスがオンになっていると、フィールドが非表示になるため、値を設定できません。Security Cloud Control は、この設定に Cisco ASA デバイスの既存のローカル値を使用し、共有ポリシーからは継承しません。

ステップ 3

[SSHのscopyの有効化(Enable Scopy SSH)](セキュアコピー SSH)を有効にします。

ステップ 4

[タイムアウト(分単位)(Timeout in Minutes)] フィールドで、タイムアウトを 1 ~ 60 分の範囲で設定します。デフォルトは 5 分です。デフォルトの期間では一般に短すぎるので、実働前のテストとトラブルシューティングがすべて完了するまでは、長めに設定しておいてください。

ステップ 5

をクリックして、次を設定します。

  • [インターフェイス(Interface)]:インターフェイス名を指定します。ここで指定したインターフェイス名が、この共有システム設定ポリシーに関連付けられている Cisco ASA デバイスにおいて同じであることを確認します。

  • [IPバージョン(IP Version)]:使用する IP アドレスのバージョンを選択します。

  • [IPアドレス(IP Address)]:SSH を使用して Cisco ASA にアクセスできるすべてのホスト/ネットワークのアドレスを指定します。

  • [ネットマスク(Netmask)]:ネットワークのサブネットマスクを指定します。

(注)  

 

SSH の詳細情報を削除するには、[アクション(Actions)] の下にある削除アイコンをクリックします。

ステップ 6

[保存(Save)] をクリックします。

システムロギングの設定

システム ロギングは、デバイスから syslog デーモンを実行するサーバへのメッセージを収集する方法です。中央 syslog サーバへロギングは、ログおよびアラートの集約に役立ちます。シスコ デバイスでは、これらのログ メッセージを UNIX スタイルの syslog サービスに送信できます。syslog サービスは、簡単なコンフィギュレーション ファイルに従って、メッセージを受信してファイルに保存するか、出力します。この形式のロギングは、ログ用の保護された長期ストレージを提供します。ログは、ルーチンのトラブルシューティングおよびインシデント処理の両方で役立ちます。

セキュリティ レベル

次の表に、syslog メッセージの重大度の一覧を示します。

表 1. Syslog メッセージの重大度

レベル番号

セキュリティ レベル

説明

[0]

emergencies

システムは使用不能

1

alert

すぐに措置する必要があります。

2

critical

深刻な状況です。

3

error

エラー状態です。

4

warning

警告状態です。

5

Notification(通告)

正常ですが、注意を必要とする状況です。

6

informational

情報メッセージです。

7

debugging

デバッグ メッセージです。

問題をデバッグするときに、このレベルで一時的にのみログに記録します。このログレベルでは、非常に多くのメッセージが生成される可能性があるため、システムパフォーマンスに影響を与える可能性があります。

(注)  

ASA は、シビラティ(重大度) 0(緊急)の syslog メッセージを生成しません。
手順

ステップ 1

Cisco ASA システム設定の編集ページで、左側のペインにある [Syslog] をクリックします。

ステップ 2

[既存の値を保持(Retain existing values)] チェックボックスをオフにして、共有 Cisco ASA システム設定ポリシーの値を設定します。

重要

 

[既存の値を保持(Retain existing values)] チェックボックスがオンになっていると、フィールドが非表示になるため、値を設定できません。Security Cloud Control は、この設定に Cisco ASA デバイスの既存のローカル値を使用し、共有ポリシーからは継承しません。

ステップ 3

次を設定します。

  • [ロギングの有効化(Logging Enabled)]:セキュアなロギングを有効にします。

  • [タイムスタンプの有効化(Timestamp Enabled)]:メッセージへの日時の挿入を有効にします。

  • [ホストのダウンを許可(Permit host down)]:(オプション)TCP 接続された syslog サーバーがダウンした場合、新しい接続をブロックする機能を無効にします。

  • [バッファサイズ(Buffer Size)]:内部ログバッファのサイズを指定します。指定できる範囲は 4096 ~ 1048576 バイトです。

  • [バッファされるロギングレベル(Buffered Logging Level)]:一時的な保存場所となる内部ログバッファに送信する syslog メッセージを指定します。

  • [コンソールのロギングレベル(Console Logging Level)]:コンソールポートに送信する syslog メッセージを指定します。

  • [トラップのロギングレベル(Trap Logging Level)]:syslog サーバーに送信する syslog メッセージを指定します。

ステップ 4

をクリックして syslog サーバーの詳細情報を追加します。

  • [インターフェイス名(Interface Name)]:syslog サーバーが常駐するインターフェイスの名前を指定します。ここで指定したインターフェイス名が、この共有システム設定ポリシーに関連付けられている Cisco ASA デバイスにおいて同じであることを確認します。

  • [IPバージョン(IP Version)]:使用する IP アドレスのバージョンを選択します。

  • [IPアドレス(IP Address)]:syslog サーバーの IP アドレスを指定します。

  • [プロトコル(Protocol)]:Cisco ASA が syslog メッセージを syslog サーバーに送信するために使用するプロトコル(TCP または UDP)を選択します。

    • [ポート(Port)]:syslog サーバーが syslog メッセージをリッスンするポートを指定します。指定できる TCP ポート範囲は 1 ~ 65535 で、UDP ポート範囲は 1025 ~ 65535 です。

    • [Cisco EMBLEM形式のログメッセージ(UDPのみ)(Log messages in Cisco EMBLEM format (UDP only))]:UDP 限定で syslog サーバーでの EMBLEM 形式ロギングを有効にします。

    • [SSLを使用してセキュアsyslogを有効にしますか?(Enable secure syslog using SSL?)]:リモートロギングホストへの接続で、TCP の場合にだけ SSL/TLS を使用するように指定します。

  • [参照アイデンティティ(Reference Identity)]:以前に設定された参照アイデンティティ オブジェクトに基づく証明書での RFC 6125 参照アイデンティティ検査を有効にする参照アイデンティティタイプを指定します。参照アイデンティティ オブジェクトについて詳しくは、「参照アイデンティティの設定」を参照してください。

(注)  

 

syslog サーバーを削除するには、[アクション(Actions)] の下にある削除アイコンをクリックします。

ステップ 5

[保存(Save)] をクリックします。

Sysopt 設定の有効化

発信インターフェイスにバインドされている暗号マップ ACL は、VPN トンネルを通過する IPsec パケットの許可と拒否を行います。IPsec は、IPsec トンネルから来たパケットの認証と解読を行い、トンネルに関連付けられている ACL とパケットを照合して評価します。

ACL は、どの IP トラフィックを保護するかを定義します。たとえば、2 つのサブネット間または 2 台のホスト間のすべての IP トラフィックを保護するための ACL を作成できます

手順

ステップ 1

Cisco ASA システム設定の編集ページで、左側のペインにある [Sysopt] をクリックします。

ステップ 2

[既存の値を保持(Retain existing values)] チェックボックスをオフにして、共有 Cisco ASA システム設定ポリシーの値を設定します。

重要

 

[既存の値を保持(Retain existing values)] チェックボックスがオンになっていると、フィールドが非表示になるため、値を設定できません。Security Cloud Control は、この設定に Cisco ASA デバイスの既存のローカル値を使用し、共有ポリシーからは継承しません。

ステップ 3

[VPNトラフィックのインターフェイス アクセス リストのバイパスを許可(Allow VPN traffic to bypass interface access lists)] を有効にすると、ACL 検査がバイパスされます。

ステップ 4

[保存(Save)] をクリックします。

[共有システム設定(Shared System Settings)] ページからのポリシーの割り当て

共有システム設定ポリシーを設定した後、オンボーディングされた Cisco ASA デバイスを割り当て、設定をデバイスに展開して変更を有効にします。ポリシーに加えられた変更は、ポリシーに関連付けられているデバイスに影響します。

デバイス固有の設定ページからポリシーを割り当てることもできます。


(注)  

Cisco ASA デバイスは、1 つの共有システム設定ポリシーにのみ関連付けることができます。

手順

ステップ 1

左側のペインで [ポリシー(Policies)] > [Cisco ASA(ASA)] > [システム設定(System Settings)] をクリックします。

ステップ 2

共有ポリシーを選択して、[編集(Edit)] をクリックします。

ステップ 3

ポリシー名の横に表示されるフィルタをクリックして、デバイスを割り当てます。

ステップ 4

選択したポリシーに関連付ける Cisco ASA デバイスを選択し、[OK] をクリックします。

(注)  

 

選択したポリシーにすでに関連付けられているデバイスのチェックボックスは、オンになっています。

赤色のアイコン が表示されている場合は、デバイスへの共有システム設定ポリシーの適用中にエラーが発生したことを意味します。問題をトラブルシュートするには、[Cisco ASAシステム設定(ASA System Settings)] ページでポリシーをクリックし、[検出されたエラー(Error Detected)] ペインで [デバイスワークフロー(Device Workflows)] をクリックして詳細情報を取得します。

ステップ 5

行った変更を確認して展開します。

デバイス固有のシステム設定の指定または変更

デバイス固有のシステム設定は、Security Cloud Control を使用して変更できる Cisco ASA デバイスに固有の既存の値です。共有システム設定ポリシーの値は、変更が必要なパラメータに関する既存のデバイス固有の値で上書きできます。

このトピックでは、オンボードされた Cisco ASA デバイスのシステム設定の指定方法について説明します。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックします。

ステップ 3

目的の Cisco ASA デバイスを選択し、右側の [管理(Management)] ペインで [設定(Settings)] をクリックします。

選択した Cisco ASA デバイスのデバイス固有システム設定が表示されます。

(注)  

 

選択したデバイスに共有システム設定ポリシーが割り当てられている場合は、[親ポリシー(Parent Policy)] に、そのポリシーを開くためのリンクが表示されます。デバイス固有の設定ページからポリシーを割り当てることもできます。選択したポリシーに関連付ける Cisco ASA デバイスを選択し、[OK] をクリックします。

ステップ 4

目的のシステム設定の値を設定または変更し、[保存(Save)] をクリックします。

(注)  

 

共有システム設定とデバイス固有システム設定のフィールドの説明は、同じであるままになります。詳細については、以下の対応するリンクをクリックしてください。

[セキュリティデバイスに戻る(Return to Security Devices)] をクリックすると、[セキュリティデバイス(Security Devices)] ページに移動できます。

ステップ 5

変更が完了したら、[保存(Save)] をクリックします。

(注)  

 

対応するパラメータ上のオレンジ色のドット()により、保存されていない変更が強調表示されます。

デバイス固有の設定ページからのポリシーの割り当て

オンボードされた Cisco ASA デバイスのデバイス固有設定ページからポリシーを割り当てることもできます。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックします。

ステップ 3

目的の Cisco ASA デバイスを選択し、右側の [管理(Management)] ペインで [設定(Settings)] をクリックします。

選択した Cisco ASA デバイスのデバイス固有設定が表示されます。

(注)  

 

選択したデバイスに共有システム設定ポリシーが割り当てられている場合は、[親ポリシー(Parent Policy)] に、そのポリシーを開くためのリンクが表示されます。選択したポリシーに関連付ける Cisco ASA デバイスを選択し、[OK] をクリックします。

ステップ 4

[親ポリシー(Parent Policy)] ボタンをクリックして共有システム設定ポリシーを割り当てます。

ステップ 5

ポリシーを選択し、[適用(Apply)] をクリックします。

ステップ 6

行った変更を確認して展開します。

共有システム設定ポリシーへの Cisco ASA デバイスの自動割り当て

新しい Cisco ASA デバイスをオンボーディングする際、または既存のデバイスの変更を確認したり、それらのアウトオブバンド変更を処理したりする際、Security Cloud Control は次のことを確認します。

  • デバイス固有の設定が、既存の共有システム設定ポリシーと一致しているかどうか:一致している場合は、そのデバイスが共有システム設定ポリシーに割り当てられます。

  • オンボーディングされたデバイスのデバイス固有の設定が相互に一致しているかどうか:一致している場合は、新しい共有システム設定ポリシーが自動的に作成され、同じローカル設定を持つデバイスがこの共有ポリシーに割り当てられます。


(注)  

共有設定ポリシーの名前は、ユーザーが作成したかシステムが作成したかにかかわらず変更できます。

Cisco ASA 共有システム設定ポリシーのフィルタ処理

[Cisco ASAシステム設定(ASA System Setting)] ページで特定の共有システム設定ポリシーを検索する場合は、問題と使用状況に基づいてフィルタを使用して検索を絞り込むことにより、探しているものをより簡単に見つけることができます。

[ポリシー(Policies)] > [Cisco ASA(ASA)] > [システム設定(System Settings)] > の順にクリックします

  • 問題

    • [検出された問題(Issue Detected)]:デバイスを適用するときに問題のあるポリシーのみが表示されます。

    • [問題なし(No issue)]:デバイスに正常に適用されたポリシーのみが表示されます。

  • 使用方法

    • [使用中(In Use)]:デバイスに割り当てられているポリシーが表示されます。

    • [未使用(Unused)]:まだデバイスに割り当てられていないポリシーが表示されます。

共有システム設定ポリシーへのデバイスの関連付けの解除

共有システム設定ポリシーで Cisco ASA デバイスが不要になった場合は、簡単に関連付けを解除できます。デバイスは、次の場合にポリシーからデタッチされます。

  • デバイス固有設定に変更が加えられた場合に、共有ポリシーの対応する設定が、デバイスの既存の値を保持するように設定されていない。

  • デバイスが、共有システム設定ポリシーから手動でデタッチされる。

  • 共有システム設定ポリシーが Security Cloud Control から削除される。ただし、これによりデバイスは削除されません。共有設定ポリシーの削除を参照してください。

手順

ステップ 1

左側のペインで [ポリシー(Policies)] > [Cisco ASA(ASA)] > [システム設定(System Settings)] をクリックします。

ステップ 2

共有ポリシーを選択して、[編集(Edit)] をクリックします。

ステップ 3

ポリシー名の横に表示されるフィルタをクリックして、デバイスをデタッチします。

ステップ 4

選択した共有システム設定ポリシーからデタッチするデバイスのチェックボックスをオフにして、[OK] をクリックします。

(注)  

 

変更は自動的に保存され、手動で展開する必要はありません。

共有設定ポリシーの削除

共有設定ポリシーの一部を削除する場合は、1 つ以上の共有設定ポリシーを選択して削除するオプションがあります。ただし、重要な点として、まだデバイスに適用またはコミットされていない場合にのみ削除できることに注意してください。

始める前に

削除する共有設定ポリシーへのデバイスの関連付けが解除されていることを確認します。詳細については、「共有システム設定ポリシーへのデバイスの関連付けの解除」を参照してください。

手順

ステップ 1

左側のペインで [ポリシー(Policies)] > [Cisco ASA(ASA)] > [システム設定(System Settings)] をクリックします。

ステップ 2

共有ポリシーを選択して、[削除(Delete)] をクリックします。

ステップ 3

[OK] をクリックしてアクションを確認します。

(注)  

 

Security Cloud Control から Cisco ASA を削除すると、デバイス固有の設定と構成も削除され、デバイス参照が共有設定ポリシーから削除されます。

Security Cloud Control での Cisco ASA ルーティング

ルーティング プロトコルでは、メトリックを使用して、パケットの移動に最適なパスを評価します。メトリックは、宛先への最適なパスを決定するためにルーティングアルゴリズムが使用する、パスの帯域幅などの測定基準です。パスの決定プロセスを支援するために、ルーティング アルゴリズムは、ルート情報が格納されるルーティング テーブルを初期化して保持します。ルート情報は、使用するルーティング アルゴリズムによって異なります。

ルーティングアルゴリズムにより、さまざまな情報がルーティングテーブルに入力されます。宛先またはネクスト ホップの関連付けにより、最終的な宛先に達するまで、「ネクスト ホップ」を表す特定のルータにパケットを送信することによって特定の宛先に最適に到達できることがルータに示されます。ルータは、着信パケットを受信すると宛先アドレスを確認し、このアドレスとネクスト ホップとを関連付けようとします。

ルーティングテーブルには、パスの妥当性に関するデータなど、他の情報を格納することもできます。ルータは、メトリックを比較して最適なルートを決定します。これらのメトリックは、使用しているルーティング アルゴリズムの設計によって異なります。

ルータは互いに通信し、さまざまなメッセージの送信によりそのルーティングテーブルを保持しています。ルーティング アップデート メッセージはそのようなメッセージの 1 つで、通常はルーティング テーブル全体か、その一部で構成されています。ルーティング アップデートを他のすべてのルータから分析することで、ルータはネットワーク トポロジの詳細な全体像を構築できます。ルータ間で送信されるメッセージのもう 1 つの例であるリンクステート アドバタイズメントは、他のルータに送信元のリンクのステートを通知します。ネットワークの宛先に対する最適なルートをルータが決定できるように、リンク情報を使用してネットワークトポロジの全体像を構築できます。

Cisco ASA スタティックルートについて

接続されていないホストまたはネットワークにトラフィックをルーティングするには、スタティックルーティングとダイナミックルーティングのどちらかを使用して、ホストまたはネットワークへのルートを定義する必要があります。通常は、少なくとも 1 つのスタティック ルート、つまり、他の方法でデフォルトのネットワーク ゲートウェイにルーティングされていない、すべてのトラフィック用のデフォルト ルート(通常、ネクスト ホップ ルータ)を設定する必要があります。

Cisco ASA ルーティングの概念と CLI コマンドの一般的な情報については、次のドキュメントを参照してください。

デフォルトルート

最も単純なオプションは、すべてのトラフィックをアップストリームルータに送信するようにデフォルトスタティックルートを設定して、トラフィックのルーティングをルータに任せることです。デフォルト ルートは、ASA が既知のルートもスタティック ルートも指定されていないすべての IP パケットを送信するゲートウェイ IP アドレスを特定します。デフォルト スタティック ルートとは、つまり宛先の IP アドレスとして 0.0.0.0/0(IPv4)または ::/0(IPv6)が指定されたスタティック ルートのことです。

デフォルト ルートを常に定義する必要があります。

Static Route

次の場合は、スタティック ルートを使用します。

  • ネットワークがサポート対象外のルータ ディスカバリ プロトコルを使用している。

  • ネットワークが小規模でスタティック ルートを容易に管理できる。

  • ルーティング プロトコルが関係するトラフィックまたは CPU のオーバーヘッドをなくす必要がある。

  • 場合によっては、デフォルト ルートだけでは不十分である。デフォルトのゲートウェイでは宛先ネットワークに到達できない場合があるため、スタティック ルートをさらに詳しく設定する必要があります。たとえば、デフォルトのゲートウェイが外部の場合、デフォルト ルートは、ASA に直接接続されていない内部ネットワークにはまったくトラフィックを転送できません。

  • ダイナミック ルーティング プロトコルをサポートしていない機能を使用している。

スタティック ルート トラッキング

スタティック ルートの問題の 1 つは、ルートがアップ状態なのかダウン状態なのかを判定する固有のメカニズムがないことです。スタティック ルートは、ネクスト ホップ ゲートウェイが使用できなくなった場合でも、ルーティング テーブルに保持されています。スタティック ルートは、ASA 上の関連付けられたインターフェイスがダウンした場合に限りルーティング テーブルから削除されます。

スタティック ルート トラッキング機能には、スタティック ルートの使用可能状況を追跡し、プライマリ ルートがダウンした場合のバックアップ ルートをインストールするための方式が用意されています。たとえば、ISP ゲートウェイへのデフォルト ルートを定義し、かつ、プライマリ ISP が使用できなくなった場合に備えて、セカンダリ ISP へのバックアップ デフォルト ルートを定義できます。

ASA では、ASA が ICMP エコー要求を使用してモニタする宛先ネットワーク上でモニタリング対象ホストにスタティック ルートを関連付けることでスタティック ルート トラッキングを実装します。指定された時間内にエコー応答がない場合は、そのホストはダウンしていると見なされ、関連付けられたルートはルーティング テーブルから削除されます。削除されたルートに代わって、メトリックが高い追跡対象外のバックアップ ルートが使用されます。

モニタリング対象の選択時には、その対象が ICMP エコー要求に応答できることを確認してください。対象には任意のネットワーク オブジェクトを選択できますが、次のものを使用することを検討する必要があります。

  • ISP ゲートウェイアドレス(デュアル ISP サポート用)。

  • ネクスト ホップ ゲートウェイ アドレス(ゲートウェイの使用可能状況に懸念がある場合)。

  • Cisco ASA が通信する必要のある対象ネットワーク上のサーバー(syslog サーバーなど)。

  • 宛先ネットワーク上の永続的なネットワークオブジェクト。

Cisco ASA スタティックルートの設定

スタティック ルートは、特定の宛先ネットワークのトラフィックの送信先を定義します。

ここでは、Cisco ASA デバイスにスタティックルートを追加する手順について説明します。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックします。

ステップ 3

スタティックルートを設定するデバイスを選択します。

ステップ 4

右側の [管理(Management)] ペインで、[ルーティング(Routing)] をクリックします。

ステップ 5

をクリックしてスタティックルートを追加します。

ステップ 6

ルートの [説明(Description)] を入力できます。

ステップ 7

[IPv4] または [IPv6] アドレスのどちらのルートであるかを選択します。

ステップ 8

ルートのプロパティを設定します。

  • [インターフェイス(Interface)]:トラフィックの送信経路となるインターフェイスを選択します。ゲートウェイ アドレスは、このインターフェイスを介してアクセス可能である必要があります。

    Null0 ルートを使用して不要なトラフィックや望ましくないトラフィックを転送することで、トラフィックをドロップできます。スタティック Null0 ルートには、推奨パフォーマンスプロファイルが割り当てられます。また、スタティック null0 ルートを使用して、ルーティング ループを回避することもできます。

    Cisco ASA CLI は、「Null0」と「null0」の両方の文字列を受け入れます。

  • [ゲートウェイIP(Gateway IP)]:(Null0 ルートには適用されません)宛先ネットワークへのゲートウェイの IP アドレスを識別するネットワークオブジェクトを選択します。トラフィックはこのアドレスに送信されます。

  • [メトリック(Metric)]:ルートのアドミニストレーティブ ディスタンス。1 ~ 254 の範囲で指定します。スタティックルートのデフォルト値は 1 です。インターフェイスとゲートウェイの間に追加ルータがある場合、アドミニストレーティブ ディスタンスとしてホップ数を入力します。

    アドミニストレーティブ ディスタンスは、ルートを比較するために使用されるパラメータです。番号が低いほど、ルートに高い優先順位が与えられます。接続されたルート(デバイスのインターフェイスに直接接続されているネットワーク)は、スタティック ルートよりも常に優先されます。

  • [宛先IP(Destination IP)]:宛先ネットワークを識別するネットワークオブジェクトを選択します。ホストが含まれ、このルートのゲートウェイが使用される宛先ネットワークです。

  • [宛先マスク(Destination Mask)](IPv4 アドレッシング専用):宛先 IP のサブネットマスクを入力します。

  • [トラッキング(Tracking)](IPv4 アドレッシング専用):ルートトラッキングプロセスの固有識別子を入力します。

ステップ 9

[保存(Save)] をクリックします。

ステップ 10

行った変更をレビューして展開するか、待機してから複数の変更を一度に展開します。

Cisco ASA スタティックルートの編集

Cisco ASA デバイスに関連付けられているスタティックルートのパラメータを編集できます。


(注)  

ただし、スタティックルートの変更中に別の IP バージョンを選択することはできません。または、要件に基づいて新しいスタティックルートを作成できます。
手順

ステップ 1

スタティックルートを編集する Cisco ASA デバイスを選択します。

ステップ 2

右側の [管理(Management)] ペインで、[ルーティング(Routing)] をクリックします。

ステップ 3

ルーティングリストのページで、変更するルートを選択し、右側の [アクション(Actions)] ペインで [編集(Edit)] をクリックします。

ステップ 4

必要な値を変更し、[保存(Save)] をクリックします。ルーティングのパラメータについては、Cisco ASA スタティックルートの設定を参照してください。

ステップ 5

行った変更をレビューして展開するか、待機してから複数の変更を一度に展開します。

スタティックルートの削除

始める前に

スタティックルートを削除すると、デバイスのローカル SDC または Security Cloud Control への接続に影響を与える可能性があります。接続が失われた場合に備えて、適切なディザスタリカバリ手順が実施されていることを確認してください。

手順

ステップ 1

削除する Cisco ASA デバイスを選択します。

ステップ 2

右側の [管理(Management)] ペインで、[ルーティング(Routing)] をクリックします。

ステップ 3

ルーティングリストのページで、変更するルートを選択し、右側の [アクション(Actions)] ペインで [削除(Delete)] をクリックします。

ステップ 4

[OK] をクリックして、変更内容を確定します。

ステップ 5

行った変更をレビューして展開するか、待機してから複数の変更を一度に展開します。

Security Cloud Control のセキュリティポリシーの管理

セキュリティポリシーは、目的の宛先へのトラフィックを許可するか、セキュリティ脅威が特定された場合にトラフィックをドロップすることを最終的な目標として、ネットワークトラフィックを検査します。Security Cloud Control を使用して、さまざまな種類のデバイスでセキュリティポリシーを設定できます。

Cisco ASA ネットワーク セキュリティ ポリシーの管理

Cisco ASA ネットワーク セキュリティ ポリシーには、ASA ファイアウォールを介して別のネットワークにアクセスするトラフィックを許可するか拒否するかを決定するアクセス制御リスト(ACL)が含まれます。この項では、ASA アクセスリストを作成し、そのリスト内のアクセスルールを設定する手順について説明します。また、インターフェイスをアクセス制御リストに割り当て、Security Cloud Control によって管理される他の Cisco ASA デバイス間で共有する手順についても詳しく説明します。

Cisco ASA アクセス制御リストおよびアクセスグループについて

Cisco ASA アクセス制御リスト

アクセス制御リスト(ACL)を使用すると、さまざまな特性(送信元および宛先 IP アドレス、IP プロトコル、ポート、送信元、その他のパラメータなど)に基づいてトラフィックフローを識別することができます。

次に、アクセスリストの例を示します。

access-list ACL extended permit ip any any

ACL はアクセスリストの名前です。

複数のデバイスで同じアクセスリストを個別に作成することを回避し、代わりに単一のアクセスリストを作成して複数の Cisco ASA デバイス間で共有することができます。共有アクセスリストに加えた変更は、ACL が割り当てられているすべてのデバイスに自動的に適用されます。必要に応じて、アクセスリストを他の Cisco ASA デバイスにコピーすることもできます。

アクセス ルール

アクセスリストには、特定の特性(送信元および宛先 IP アドレス、IP プロトコル、ポート番号、セキュリティグループタグなど)に基づいてネットワークへのトラフィックフローを許可または拒否するアクセスルールが含まれます。

Cisco ASA アクセスグループ

アクセスグループは、任意の方向のトラフィックフロー用に設定されたデバイスインターフェイスにアクセスリストが割り当てられると確立される特定の関連性です。アクセスリストには、デバイスインターフェイスを通過するトラフィックを許可または拒否する特定のルールが含まれます。

次に、デバイスインターフェイスがアクセスリストに割り当てられると作成されるアクセスグループの例を示します。

access-group ACL out interface giginterface0

ACL はアクセスリストの名前であり、giginterface0 はアクセスリストに割り当てられているデバイスインターフェイスの論理名です。


(注)  

API エンドポイントを使用して Cisco ASA アクセスグループを管理するには、Cisco DevNet の Web サイトの「Get Access Groups」を参照してください。

ASA アクセスリストの作成

ASA ファイアウォールでアクセスリストを設定すると、送信元からネットワーク外の宛先へのトラフィックを許可するルールが自動的に作成されます。追加のルールを作成し、アクセスリストをインターフェイスに割り当てて、トラフィックネットワークを規制できます。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックし、対応するチェックボックスをオンにして ASA デバイスを選択します。

ステップ 3

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 4

[アクセスリストの作成(Create Access List)] をクリックします。

ステップ 5

[名前(Name)] フィールドに新しいアクセスリストの名前を入力し、[保存(Save)] をクリックします。

(注)  

 

1 つのデバイスに同じ名前のアクセスリストを 2 つ設定することはできません。

ステップ 6

[Save(保存)] をクリックします。

Security Cloud Control により、1 つのアクセスグループとすべてのトラフィックを許可するデフォルトルールが作成されます。

これで、アクセスリストに新しいルールを追加できます。ASA アクセスリストへのルールの追加を参照してください。

次のタスク

ASA アクセスリストへのルールの追加

ルール番号の昇順でルールを追加できます。パケットは、ルールが作成された順序でルールに対して検証されます。つまり、最初のルールが優先され、その後に後続のルールが検証されます。必要に応じて、ルールの位置を調整できます。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックし、対応するチェックボックスをオンにして ASA デバイスを選択します。

ステップ 3

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 4

[選択したアクセスリスト(Selected Access List)] ドロップダウンリストから、必要なアクセスリストを選択します。

ステップ 5

右側に表示される [ルールの追加(Add Rule)]()アイコンをクリックします。

(注)  

 

順序付きリストで、目的の位置にカーソルを合わせ、[ここにルールを追加(Add Rule Here)] をクリックします。

ステップ 6

[新しいアクセスルール(New Access Rule)] ウィンドウで、次の情報を入力します。

  • [順序]:ルールの順序付きリストのどこにルールを挿入するかを選択します。ルールは最初に一致したものから適用され、ルールリスト内の 1 から最後までの位置によって優先順位が決定されます。

  • [アクション]:対象のトラフィックを許可(承認)するかブロッキング(破棄)するかを指定します。

  • [プロトコル(Protocol)]:IP、TCP、UDP、ICMP、ICMPv6 などのトラフィックのプロトコルを指定します。デフォルトは IP ですが、より具体的なプロトコルを指定して、ターゲットにするトラフィックをより細かく設定することができます。

  • [送信元/接続先]:送信元(発信アドレス)と接続先(トラフィックフローのターゲットアドレス)を定義します。通常は、ホストまたはサブネットの IPv4 アドレスを設定します。これはネットワーク オブジェクト グループで表すことができます。送信元または接続先に割り当てることができるオブジェクトは 1 つだけです。新しいネットワークオブジェクトまたはグループを作成するには、「ASA ネットワークオブジェクトおよびネットワークグループの作成または編集」を参照してください。

  • [ポート]:TCP や UDP などのサービスタイプと、ポート番号またはポート番号範囲を組み合わせたポートオブジェクトを選択します。

  • [SGTグループ(SGT Group)]:リストから必要なセキュリティグループを割り当てます。デフォルトでは、値は「Any」(すべて)です。「ASA ポリシーのセキュリティグループタグ」を参照してください。

  • [時間範囲]:ASA ネットワークポリシーの時間範囲を定義して、時刻に基づいてネットワークとリソースへのアクセスを許可します。ASA 時間範囲オブジェクト」を参照してください。

  • [ロギング(Logging)]:ネットワークポリシールールに起因するアクティビティは、デフォルトではログに記録されません。個々のルールのロギングをアクティブ化できます。「ルールアクティビティのログ記録」を参照してください。

ステップ 7

[保存(Save)] をクリックします。

ルールがアクセスリストに追加され、「アクティブ」状態に設定されます。

ステップ 8

行った変更を今すぐレビューして展開するか、後で複数の変更を一度に展開します。

システムログアクティビティについて

新しいルールをセットアップするときに、そのアクティビティを収集する頻度とシビラティ(重大度)レベルを指定できます。これを実行するには、対応するシビラティレベルを選択してから、データ収集の頻度を選択します。これにより、ルールによって生成されたアクティビティをモニターおよび分析するために必要な情報を確実に得ることができます。


(注)  

ASA は、シビラティ(重大度) 0(緊急)の syslog メッセージを生成しません。

ログレコードが更新される頻度を示すロギング間隔を調整するオプションがあります。この間隔は秒単位で測定され、1 ~ 600 の範囲で設定できます。デフォルトでは、この間隔は 300 秒に設定されます。この間隔の値は、ドロップ統計情報を収集するキャッシュから非アクティブなフローを削除するためのタイムアウト期間としても使用されます。

表 2. ログルールアクティビティ

セキュリティ レベル

説明

emergencies

システムが使用不可能な状態です。

アラート

すぐに措置する必要があります。

重大

深刻な状況です。

エラー

エラー状態です。

警告

警告状態です。

通知

正常ですが、注意を必要とする状況です。

情報

情報メッセージです。

デバッグ

デバッグ メッセージです。

アクセス制御リストのルールの非アクティブ化

アクセス制御リストで新しいルールを作成すると、そのルールはデフォルトでアクティブになります。ただし、個々のルールを一時的に非アクティブにして、トラフィックフローを最適化したり、競合を解決したり、問題を切り分けることができます。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックし、対応するチェックボックスをオンにして ASA デバイスを選択します。

ステップ 3

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 4

[選択したアクセスリスト(Selected Access List)] ドロップダウンリストから、必要なアクセス制御リストを選択します。

ステップ 5

ルールリストで、必要な対応するルールのチェックボックスをオンにします。

ステップ 6

選択した行で、[アクティブ(Active)] 設定をスライドしてオフにします。

ステップ 7

行った変更を今すぐレビューして展開するか、後で複数の変更を一度に展開します。

ASA ポリシーのセキュリティグループタグについて

アクセス制御ルール内でセキュリティグループタグ(SGT)を使用する ASA をオンボードする場合、Security Cloud Control では、これらの SGT グループを使用するルールを編集し、そのルールを持っているポリシーを管理できます。ただし、SGT グループを作成したり、Security Cloud Control GUI を使用して編集したりすることはできません。SGT グループを作成または編集するには、ASA の Adaptive Security Device Manager(ASDM)、または Security Cloud Control で使用可能な CLI を使用する必要があります。

Security Cloud Control のオブジェクトページで SGT グループの詳細を見ると、それらのオブジェクトが編集不可のシステム提供オブジェクトとして識別されていることがわかります。

Security Cloud Control 管理者は、SGT グループを含む ACL および ASA ポリシーで次のタスクを実行できます。

  • 送信元および宛先セキュリティグループを除き、ACL のすべての側面を編集します。

  • SGT グループを含むポリシーを 1 つの ASA から別の ASA にコピーします。

コマンド ライン インターフェイスを使用して Cisco TrustSec を設定する手順の詳細については、お使いの ASA リリースに関する『ASA CLI ブック 2:Cisco ASA シリーズ ファイアウォール CLI 構成ガイド』の「ASA および Cisco TrustSec」の章を参照してください。

ASA アクセス制御リストへのインターフェイスの割り当て

ASA インターフェイスをアクセス制御リストに割り当てると、デバイスはリストとインターフェイスの間に特定の関連性を確立します。アクセス制御リストに関連付けられたルールは、指定した方向にトラフィックが流れるインターフェイスにのみ適用されます。

1 つのトラフィックの方向に対して、インターフェイスごとに 1 つのアクセスリストのみを割り当てることができます。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックし、対応するチェックボックスをオンにして ASA デバイスを選択します。

ステップ 3

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 4

[選択したアクセスリスト(Selected Access List)] ドロップダウンリストからアクセスリストを選択します。

ステップ 5

右側に表示される [アクション(Actions)] ペインで、[インターフェイスの割り当て(Assign Interfaces)] をクリックします。

ステップ 6

[インターフェイス(Interface)] ドロップダウンリストでインターフェイスを選択します。

ステップ 7

[方向(Direction)] ドロップダウンリストから、選択したアクセスリストを適用する方向を指定します。

指定したアクセスリストは、指定した方向にトラフィックが流れるインターフェイスに適用されます。このアクセスリストは、複数のインターフェイスおよび方向に適用できます。

ASA デバイス上のすべてのインターフェイスにアクセスリストを適用するには、ASA グローバルアクセスリストの作成を参照してください。

ステップ 8

[Save(保存)] をクリックします。

ステップ 9

行った変更を今すぐレビューして展開するか、後で複数の変更を一度に展開します。

ASA グローバルアクセスリストの作成

グローバルアクセスポリシーは、ASA のすべてのインターフェイスに適用されるネットワークポリシーです。これらのポリシーは、着信ネットワークトラフィックにのみ適用されます。グローバルアクセスポリシーを作成することで、一連のルールを ASA 上のすべてのインターフェイスに一様に適用することができます。

1 つの ASA に設定できるグローバルアクセスポリシーは 1 つだけです。ただし、他のポリシーと同様に、グローバルアクセスポリシーには複数のルールを割り当てることができます。

ASA でのルール処理の順序は、次のとおりです。

  1. インターフェイス アクセス ルール

  2. ブリッジ仮想インターフェイス(BVI)アクセスルール

  3. グローバル アクセス ルール

  4. 暗黙的拒否ルール

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックし、対応するチェックボックスをオンにして ASA デバイスを選択します。

ステップ 3

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 4

[選択したアクセスリスト(Selected Access List)] ドロップダウンリストからアクセスリストを選択します。

ステップ 5

右側に表示される [アクション(Actions)] ペインで、[インターフェイスの割り当て(Assign Interfaces)] をクリックします。

ステップ 6

[グローバルアクセスリストとして作成(Create as a global access list)] チェックボックスをオンにします。

ステップ 7

[Save(保存)] をクリックします。

ステップ 8

行った変更を今すぐレビューして展開するか、後で複数の変更を一度に展開します。

複数の Cisco ASA デバイスによる Cisco ASA アクセス制御リストの共有

ネットワークセキュリティでアクセスポリシーを共有すると、効率性、一貫性、および中央管理が効果的に改善され、全体的なセキュリティ態勢が強化されます。共有アクセス制御リストを使用すると、Cisco ASA デバイスでアクセスルールを一度定義し、それらを Security Cloud Control で管理されている他の Cisco ASA デバイスに適用でき、個別に設定する必要がなくなります。これにより、ネットワークの一貫性が確保され、設定ミスのリスクが軽減されます。さらに、共有アクセス制御リストは拡張性を提供します。これは、増加するユーザーおよび Cisco ASA デバイスに対してアクセス制御リストを管理できるため、ネットワークを拡張および進化させることが可能になるからです。

次の点に留意してください。

  • アクセス制御リストのルールは共有されますが、インターフェイスは含まれません。

  • アクセス制御リストを他の Cisco ASA デバイスと共有すると、同じ名前の既存のアクセス制御リストが上書きされます。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックし、対応するチェックボックスをオンにして ASA デバイスを選択します。

ステップ 3

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 4

[選択したアクセスリスト(Selected Access List)] ドロップダウンリストからアクセス制御リストを選択します。

ステップ 5

右側に表示される [アクション(Actions)] ペインで、[共有(Share)] をクリックします。

ステップ 6

対応するチェックボックスをオンにして Cisco ASA デバイスを選択し、[保存(Save)] をクリックします。

右側に表示される [デバイスの関係(Device Relationships)] ペインに、選択したアクセス制御リストを共有する Cisco ASA デバイスが表示されます。

ステップ 7

行った変更を今すぐレビューして展開するか、後で複数の変更を一度に展開します。

別の Cisco ASA への Cisco ASA アクセス制御リストのコピー

Cisco ASA アクセス制御リストは、同じテナント内の別の Security Cloud Control 管理対象デバイスに簡単にコピーできます。アクセスリストファイルをターゲット Cisco ASA デバイスにコピーした後にアクセスリストに加えられた変更は、ターゲットデバイスに自動的に適用されません。この点は、変更が自動的に適用されるアクセス制御リスト共有機能と異なります。

次の点に留意してください。

  • ターゲットデバイスに同じ名前の別のアクセスリストがすでに存在する場合、アクセスリストをターゲットデバイスにコピーすることはできません。

  • ターゲットデバイスの別のアクセスリストが同じインターフェイスおよび方向に関連付けられている場合、アクセスリストをコピーすることはできません。

  • アクセスリストは、ターゲットデバイスの無効なインターフェイスにのみコピーできません。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックし、対応するチェックボックスをオンにして ASA デバイスを選択します。

ステップ 3

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 4

[選択したアクセスリスト(Selected Access List)] ドロップダウンリストからアクセスリストを選択します。

ステップ 5

右側の [操作(Actions)] ウィンドウで、[コピー(Copy)] をクリックします。

ステップ 6

アクセスリストをコピーするターゲットデバイスを選択します。

ステップ 7

インターフェイスを選択し、選択したアクセスリストを適用する方向を指定します。

指定したアクセスリストは、指定した方向にトラフィックが流れるインターフェイスに適用されます。このアクセスリストは、複数のインターフェイスおよび方向に適用できます。

選択したターゲット上のすべてのインターフェイスにアクセスリストを適用するには、ASA グローバルアクセスリストの作成を参照してください。

ステップ 8

[コピー(Copy)] をクリックします。

コピーが成功すると、Security Cloud Control 画面の右下隅にメッセージが表示されます。

ステップ 9

行った変更を今すぐレビューして展開するか、後で複数の変更を一度に展開します。

Cisco ASA アクセスリストおよびデバイス内またはそれらの間でのルールのコピー

アクセス制御ルールは、次の方法でコピーできます。

  • 同じアクセスリスト内。

  • 同じ Cisco ASA デバイス内または異なる Cisco ASA デバイス間で、あるアクセスリストから別のアクセスリストへ。


(注)  

アクセスリストにすでに存在するルールを追加しようとすると、貼り付け操作は失敗します。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックし、対応するチェックボックスをオンにして ASA デバイスを選択します。

ステップ 3

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 4

[選択したアクセスリスト(Selected Access List)] ドロップダウンリストから、必要なアクセスリストを選択します。

ステップ 5

対応するチェックボックスをクリックしてルールを選択し、右側の [アクション(Actions)] ペインで [コピー(Copy)] をクリックします。

ステップ 6

次の手順を実行します。

  • 同じアクセスリスト内にルールを貼り付けるには、目的の位置にマウスのポインタを移動させ、[ルールをここに貼り付け(Paste Rule Here)] オプションが表示されたら、それをクリックします。[ルールの追加/編集(Add/Edit rule)] ダイアログボックスが表示され、コピーしたルールを変更できます(同じアクセスリスト内では同一のルールが許可されないため)。
  • 同じ Cisco ASA デバイス内にルールを貼り付けるには、[選択したアクセスリスト(Selected Access List)] ドロップダウンリストから、必要なアクセスリストを選択します。
  • 別の Cisco ASA デバイスにルールを貼り付けるには、左側のペインで セキュリティデバイス に移動して Cisco ASA デバイスを選択し、[ポリシー(Policy)] > [選択したアクセスリスト(Selected Access List)] の順に選択します。

ステップ 7

コピーしたルールを目的の位置に貼り付けるには、新しいルールを配置する位置の後にあるルールを選択します。右側の [アクション(Actions)] ペインで、[貼り付け(Paste)] をクリックします。コピーしたルールが、選択したルールの前に挿入されます。

必要に応じて、[上に移動(Move Up)] ボタンと [下に移動(Move Down)] ボタンを使用してルールを配置できます。

(注)  

 

または、ルールリストテーブルの目的の位置にマウスのポインタを移動させ、[ルールをここに貼り付け(Paste Rule Here)] が表示されたら、それをクリックします。

共有 Cisco ASA アクセス制御リストの共有解除

ネットワークを処理するインターフェイスを管理するルールが古くなった場合は、現在リンクされているデバイスからアクセス制御リストの共有を解除できます。共有アクセス制御リストから Cisco ASA デバイスの共有を解除しても、現在このリストを共有している他の Cisco ASA デバイスには影響しません。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックし、対応するチェックボックスをオンにして ASA デバイスを選択します。

ステップ 3

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 4

[選択したアクセスリスト(Selected Access List)] ドロップダウンリストからアクセスリストを選択します。

ステップ 5

右側の [アクション(Actions)] ペインで、[共有(Share)] をクリックします。

ステップ 6

選択したアクセスリストを共有する Cisco ASA デバイスのチェックボックスをオフにして、[保存(Save)] をクリックします。

ステップ 7

行った変更を今すぐレビューして展開するか、待機してから複数の変更を展開します。

Cisco ASA アクセス ポリシー リスト ページの表示


(注)  

このビューは、新しいポリシービューに移行された Cisco ASA デバイスに適用されます。レガシーのポリシービューにオンボードされたままのデバイスの場合、古いビューが引き続き表示されます。

Cisco ASA アクセス ポリシー リスト ページには、Security Cloud Control テナントにオンボードされた Cisco ASA デバイスに関連付けられているすべてのアクセスリストの包括的な概要が表示されます。


(注)  

フィルタ()ボタンをクリックし、[デバイスによるフィルタ(Filter by Device)] をクリックして、複数の Cisco ASA デバイスで共有されているポリシーまたは単一の Cisco ASA デバイスに固有のポリシーを検索します。

手順

ステップ 1

左側のペインで、[ポリシー(Policies)] > [Cisco ASA(ASA)] > [アクセスポリシー(Access Policies)] をクリックします

このページには、次の情報が表示されます。

  • [名前(Name)]:アクセスリストの名前。

  • [デバイス(Device)]:各アクセスリストに関連付けられている、対応する Cisco ASA デバイス。また、複数のデバイス間で共有されているアクセスリストの場合は、共有アクセスリストを使用するすべての Cisco ASA デバイスのリストが表示されます。

    ボタンをクリックして、選択したプロファイルに関連付けられている Cisco ASA デバイスを表示します。

    選択したデバイスのポリシーページに移動するには、[ポリシーの表示(View Policies)] をクリックします。アクセスリストを作成または編集できます。

    このページに戻るには、[Cisco ASAアクセスポリシー(ASA Access Policies)] をクリックします。

  • [インターフェイス(Interfaces)]:各アクセスリストが割り当てられているネットワーク インターフェイス。

ステップ 2

アクセスリストに関連付けられている Cisco ASA デバイスを表示するには、[デバイス(Device)] 列の対応するボタンをクリックします。

ステップ 3

選択したデバイスのポリシーページに移動するには、[ポリシーの表示(View Policies)] をクリックします。アクセスリストを作成または編集できます。

ステップ 4

ポリシーリストページに戻るには、左上隅にある [←Cisco ASAアクセスポリシー(← ASA Access Policies)] をクリックします。

Cisco ASA アクセスリストのグローバル検索

Security Cloud Control テナントで次を検索するには、グローバル検索機能を使用します。

  • Cisco ASA デバイスとそれに関連付けられているすべてのアクセスリスト。

  • オンボードされたすべての Cisco ASA デバイスのアクセスリストまたは共有アクセスリストとその出現。

Cisco ASA アクセス制御リストの名前変更

アクセスリストの名前は、特定のニーズに合わせて変更できます。グローバルアクセスリストの名前を変更する場合も、共有アクセス制御リストの名前を変更する場合も、それは簡単なプロセスです。アクセスリストが共有されている場合、その名前を変更すると、共有アクセス制御リストが使用されている他のすべてのデバイスで名前が更新されます。更新された名前は、設定がそれらのデバイスに展開された後にのみ反映されることに注意してください。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックし、対応するチェックボックスをオンにして ASA デバイスを選択します。

ステップ 3

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 4

[選択したアクセスリスト(Selected Access List)] ドロップダウンリストから、名前を変更するアクセスリストを選択します。

ステップ 5

右側のペインで [名前変更(Rename)]()アイコンをクリックします。

ステップ 6

[保存(Save)]()ボタンをクリックします。

ステップ 7

行った変更を今すぐレビューして展開するか、後で複数の変更を一度に展開します。

Cisco ASA アクセス制御リストからのルールの削除

アクセスリストからアクセスルールを削除できますが、リストが存在するには、少なくとも 1 つのルールが残っている必要があります。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックし、対応するチェックボックスをオンにして ASA デバイスを選択します。

ステップ 3

右側の [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 4

アクセスリストをクリックして、削除するルールを選択します。

ステップ 5

右側の [アクション] ペインで、[削除] をクリックします。

ステップ 6

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Cisco ASA アクセス制御リストの削除

この手順を使用すると、アクセス制御リスト、共有アクセスリスト、またはグローバルアクセスリストを削除できます。あるデバイスから共有アクセスリストを削除しても、そのアクセスリストが使用されている他のデバイスは影響を受けません。それらのデバイスでは、アクセスリストは、ローカルアクセスリストとして保持されます。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックし、対応するチェックボックスをオンにして ASA デバイスを選択します。

ステップ 3

右側に表示される [管理(Management)] ペインで、[ポリシー(Policy)] をクリックします。

ステップ 4

[選択したアクセスリスト(Selected Access List)] ドロップダウンリストから、削除するアクセスリストを選択します。

ステップ 5

右側の [アクション(Actions)] ペインで、[削除(Delete)] をクリックします。

ステップ 6

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

ASA ネットワークポリシーの比較

手順

ステップ 1

左側のペインで [ポリシー(Policies)] > [Cisco ASA(ASA)] > [アクセスポリシー(Access Policies)] をクリックします。

ステップ 2

ビューアの右上隅にある [比較(Compare)] をクリックします。

ステップ 3

比較するポリシーを 2 つまで選択します。

ステップ 4

ビューアの下部にある [比較の表示(View Comparison)] をクリックします。これにより、比較ビューアが表示されます。完了したら、[完了(Done)] をクリックし、[比較を完了(Done Comparing)] をクリックします。

ヒット率

Security Cloud Control を使用すると、ポリシーの安全でスケーラブルなオーケストレーションに加えて、ポリシールールの結果を評価できるようになり、より正確なポリシー分析のためのシンプルな視覚化と、根本原因への迅速で実行可能なピボットを、すべてクラウドから 1 つのペインで行うことが可能になります。ヒット率機能を使用すると、次のことが可能になります。

  • 古く照合されないポリシールールを排除し、セキュリティ態勢を強化します。

  • ボトルネックを即座に特定し、正確で効率的な優先順位付けを確実に実施することにより、ファイアウォールのパフォーマンスを最適化します(たとえば、トリガーされたポリシールールの優先順位が高くなります)。

  • デバイスまたはポリシールールがリセットされた場合でも、設定されたデータ保持期間(1 年)の間、ヒット率情報の履歴を維持します。

  • 実用的な情報に基づいて、疑わしいシャドウおよび未使用のルールの検証を強化します。更新または削除についての疑問を解消します。

  • 事前定義された時間間隔(日、週、月、年)と実際のヒットのスケール(ゼロ、>100、>100k など)を活用して、ポリシー全体のコンテキストでポリシールールの使用を視覚化し、ネットワークを通過するパケットへの影響を評価します。

ASA ポリシーのヒット率の表示

手順

ステップ 1

左側のペインで [ポリシー(Policies)] > [Cisco ASA(ASA)] > [システム設定(System Settings)] をクリックします。

ステップ 2

フィルタアイコンをクリックして、開いた状態でピン留めします。

ステップ 3

[ヒット(Hits)] 領域で、さまざまなヒットカウントフィルタをクリックして、他のポリシーよりもヒットの頻度が高いポリシーや低いポリシーを表示します。

アクセスリスト内の Cisco ASA ネットワークルールの検索とフィルタ処理

検索

検索バーを使用して、アクセスリスト内のルールの名前に含まれる名前、キーワード、またはフレーズを検索します。検索では大文字と小文字が区別されません。

Filter

フィルタサイドバーを使用して、ネットワークポリシーの問題を特定します。フィルタリングは。加算的ではなく、各フィルタ設定は互いに独立して機能します。

ポリシーの問題

Security Cloud Control は、シャドウルールを含むネットワークポリシーを識別します。シャドウ ルールを含むポリシーの数は、[ポリシーの問題(Policy Issues)] フィルタに示されます。

Security Cloud Control は、ネットワークポリシーページのシャドウバッジ shadow_badge.png で、シャドウイングされたルールとそれらを含むネットワークポリシーをマークします。[シャドウイング済み(Shadowed)] をクリックして、シャドウイングされたルールを含むすべてのポリシーを表示します。詳細については、シャドウルールを参照してください。

ヒット数(Hits)

このフィルタを使用して、指定された期間に何度もトリガーされたルールを、すべてのアクセスリストを対象に特定します。

ユースケースのフィルタリング

ヒットがゼロのルールをすべて特定する

ヒットのないルールがある場合は、ルールを編集してより効果的にするか、単に削除することができます。

  1. ASA デバイスを選択し、右側の [管理] ペインで [ポリシー] をクリックします。

  2. ルールテーブルの上にある [クリア] をクリックして、既存のフィルタをクリアします。

  3. フィルタアイコンをクリックし、[ヒット(Hits)] フィルタを展開します。

  4. 期間を選択します。

  5. 0 ヒットを選択します。

ネットワークポリシー内のルールがヒットする頻度の検索

  1. ASA デバイスを選択し、右側の [管理] ペインで [ポリシー] をクリックします。

  2. ルールテーブルの上にある [クリア] をクリックして、既存のフィルタをクリアします。

  3. フィルタアイコンをクリックし、[ヒット(Hits)] フィルタを展開します。

  4. 期間を選択します。

  5. 各種のヒットフィルタを選択して、各種のルールがどのカテゴリに分類されるかを確認します。

ヒット率によるネットワークポリシーのフィルタ処理

  1. ASA デバイスを選択し、右側の [管理] ペインで [ポリシー] をクリックします。

  2. ルールテーブルの上にある [クリア] をクリックして、既存のフィルタをクリアします。

  3. フィルタアイコンをクリックし、[ヒット(Hits)] フィルタを展開します。

  4. 期間を選択します。

  5. 異なるヒット率カテゴリを選択します。Security Cloud Control は、指定したレートでヒットしているポリシーを表示します。

シャドウイングされたルール

シャドウイングされたルールを含むネットワークポリシーは、ポリシーの少なくとも 1 つのルールがトリガーされることがないポリシーです。これは、それに先行するルールによって、シャドウイングされたルールによるパケットの評価が妨げられるためです。

たとえば、「example」ネットワークポリシーの次のネットワーク オブジェクトとネットワークルールについて考えてみます。

object network 02-50 
range 10.10.10.2 10.10.10.50 
object network 02-100 
range 10.10.10.2 10.10.10.100
access-list example extended deny ip any4 object 02-50 
access-list example extended permit ip host 10.10.10.35 object 02-50 
access-list example extended permit ip any4 object 02-100
次のルールによって評価されるトラフィックはありません 
access-list example extended permit ip host 10.10.10.35 object 02-50
その理由は、先行するルール 
access-list example extended deny ip any4 object 02-50
が、10.10.10.2 から 10.10.10.50 の範囲の任意アドレスから到達するすべて IPOv4 アドレスを拒否するためです。

シャドウイングされたルールを持つネットワークポリシーを見つける

シャドウイングされたルールを持つネットワークポリシーを見つけるには、ネットワーク ポリシー フィルタを使用します。

手順

ステップ 1

左側のペインで [ポリシー(Policies)] > [Cisco ASA(ASA)] > [アクセスポリシー(Access Policies)] をクリックします。

ステップ 2

ASA アクセスポリシーテーブルの上部にあるフィルタアイコンをクリックします。

ステップ 3

[ポリシーの問題] フィルタで、[シャドウイング] をオンにして、シャドウイングされたルールを持つすべてのポリシーを表示します。

シャドウルールを使用した問題の解決

次に示すのは、Security Cloud Control が前述の「例」のネットワークポリシーで説明されているルールを表示する方法です。

1 行目のルールは、ポリシー内の別のルールをシャドウしているため、シャドウ警告バッジ のマークが付いています。2 行目のルールは、ポリシー内の別のルールによってシャドウされているため マークが付いています。2 行目のルールのアクションは、ポリシー内の別のルールによって完全にシャドウされているためグレー表示されています。Security Cloud Control は、2 行目のルールをシャドウするポリシー内のルールを通知できます。

3 行目のルールは、時々のみトリガーできます。これは部分的なシャドウルールです。10.10.10.2 ~ 10.10.10.50 の範囲の IP アドレスに到達しようとする IPv4 アドレスからのネットワークトラフィックは、最初のルールによってすでに拒否されているため、評価されません。ただし、10.10.10.51 ~ 10.10.10.100 の範囲のアドレスに到達しようとする IPv4 アドレスは、最後のルールによって評価され、許可されます。


注意    

Security Cloud Control は、部分的なシャドウルールにシャドウ警告バッジ を適用しません。

手順

ステップ 1

ポリシーでシャドウルールを選択します。前述の例では、2 行目をクリックすることを意味します。

ステップ 2

ルールの詳細ペインで、[シャドウ基準(Shadowed By)] 領域を探します。この例では、2 行目のルールの [シャドウ基準(Shadowed By)] 領域は、1 行目のルールによってシャドウされていることを示しています。

ステップ 3

シャドウイングルールを確認します。広すぎる場合、シャドウルールを確認します。不要な場合、シャドウルールを編集するか、シャドウルールを削除します。

(注)  

 

シャドウルールを削除することで、ASA のアクセス コントロール エントリ(ACE)の数を減らすことができ、他の ACE で他のルールを作成するためのスペースが解放されます。Security Cloud Control は、1 つのネットワークポリシーのすべてのルールから派生した ACE の数を計算し、ネットワークポリシーの詳細ペインの上部に合計を表示します。ネットワークポリシーのいずれかのルールがシャドウされている場合は、その数もリストされます。

Security Cloud Control は、ネットワークポリシーの 1 つのルールから派生した ACE の数も表示し、その情報をネットワークポリシーの詳細ペインに表示します。リストの例を次に示します。

ステップ 4

ネットワークポリシーの詳細ペインの [デバイス( Devices)] 領域を調べて、ポリシーを使用するデバイスを特定します。

ステップ 5

[セキュリティデバイス(Security Devices)] ページを開き、ポリシー変更の影響を受けるデバイスに変更を展開し直します。

ネットワーク アドレス変換

IP ネットワーク内の各コンピュータおよびデバイスには、ホストを識別する固有の IP アドレスが割り当てられています。パブリック IPv4 アドレスが不足しているため、これらの IP アドレスの大部分はプライベートであり、企業のプライベートネットワークの外部にルーティングできません。RFC 1918 では、アドバタイズされない、内部で使用できるプライベート IP アドレスが次のように定義されています。

  • 10.0.0.0 ~ 10.255.255.255

  • 172.16.0.0 ~ 172.31.255.255

  • 192.168.0.0 ~ 192.168.255.255

ネットワーク アドレス変換(NAT)の主な機能の 1 つは、プライベート IP ネットワークがインターネットに接続できるようにすることです。NAT は、プライベート IP アドレスをパブリック IP に置き換え、内部プライベート ネットワーク内のプライベート アドレスをパブリック インターネットで使用可能な正式の、ルーティング可能なアドレスに変換します。このようにして、NAT はパブリック アドレスを節約します。これは、ネットワーク全体に対して 1 つのパブリック アドレスだけを外部に最小限にアドバタイズするように NAT を設定できるためです。

NAT の他の機能には、次のおりです。

  • セキュリティ:内部アドレスを隠蔽し、直接攻撃を防止します。

  • IP ルーティングソリューション:NAT を使用する際に、重複 IP アドレスが問題になりません。

  • 柔軟性:外部で使用可能なパブリックアドレスに影響を与えずに、内部 IP アドレス方式を変更できます。たとえば、インターネットにアクセス可能なサーバーの場合、インターネット用に固定 IP アドレスを維持できますが、内部向けにサーバーのアドレスを変更することができます。

  • IPv4 と IPv6(ルーテッドモードのみ)の間の変換:IPv4 ネットワークに IPv6 ネットワークを接続する場合は、NAT を使用すると、2 つのタイプのアドレス間で変換を行うことができます。

Security Cloud Control を使用して、さまざまな使用例の NAT ルールを作成できます。NAT ルールウィザードまたは次のトピックを使用して、さまざまな NAT ルールを作成します。

NAT ルールの処理命令

ネットワークオブジェクトの NAT ルールおよび Twice NAT ルールは、3 つセクションに分割された 1 つのテーブルに格納されます。最初にセクション 1 のルール、次にセクション 2、最後にセクション 3 というように、一致が見つかるまで順番に適用されます。たとえば、セクション 1 で一致が見つかった場合、セクション 2 とセクション 3 は評価されません。次の表に、各セクション内のルールの順序を示します。

表 3. NAT ルール テーブル

テーブルのセクション

ルール タイプ

セクション内のルールの順序

セクション 1

Twice NAT(ASA)

手動 NAT(FTD)

設定に登場する順に、最初の一致ベースで適用されます。最初の一致が適用されるため、一般的なルールの前に固有のルールが来るようにする必要があります。そうしない場合、固有のルールを期待どおりに適用できない可能性があります。デフォルトでは、Twice NAT ルールはセクション 1 に追加されます。

セクション 2

ネットワークオブジェクト NAT(ASA)

自動 NAT(FTD)

セクション 1 で一致が見つからない場合、セクション 2 のルールが次の順序で適用されます。

  1. スタティック ルール

  2. ダイナミック ルール

各ルール タイプでは、次の順序ガイドラインが使用されます。

  1. 実際の IP アドレスの数量:小から大の順。たとえば、アドレスが 1 個のオブジェクトは、アドレスが 10 個のオブジェクトよりも先に評価されます。

  2. 数量が同じ場合には、IP アドレス番号(最小から最大まで)が使用されます。たとえば、10.1.1.0 は、11.1.1.0 よりも先に評価されます。

  3. 同じ IP アドレスが使用される場合、ネットワーク オブジェクトの名前がアルファベット順で使用されます。たとえば、オブジェクト「Arlington」はオブジェクト「Detroit」の前に評価されます。

セクション 3

Twice NAT(ASA)

手動 NAT(FTD)

まだ一致が見つからない場合、セクション 3 のルールがコンフィギュレーションに登場する順に、最初の一致ベースで適用されます。このセクションには、最も一般的なルールを含める必要があります。このセクションにおいても、一般的なルールの前に固有のルールが来るようにする必要があります。そうしない場合、一般的なルールが適用されます。

たとえばセクション 2 のルールでは、ネットワーク オブジェクト内に定義されている次の IP アドレスがあるとします。

  • 192.168.1.0/24(スタティック)

  • 192.168.1.0/24(ダイナミック)

  • 10.1.1.0/24(スタティック)

  • 192.168.1.1/32(スタティック)

  • 172.16.1.0/24(ダイナミック)(オブジェクト Detroit)

  • 172.16.1.0/24(ダイナミック)(オブジェクト Arlington)

この結果、使用される順序は次のとおりです。

  • 192.168.1.1/32(スタティック)

  • 10.1.1.0/24(スタティック)

  • 192.168.1.0/24(スタティック)

  • 172.16.1.0/24(ダイナミック)(オブジェクト Arlington)

  • 172.16.1.0/24(ダイナミック)(オブジェクト Detroit)

  • 192.168.1.0/24(ダイナミック)

ネットワークアドレス変換ウィザード

ネットワークアドレス変換(NAT)ウィザードは、次のタイプのアクセスに使用する NAT ルールをデバイスで作成する際に役立ちます。

  • 内部ユーザーのインターネットアクセスを有効にする。この NAT ルールを使用して、内部ネットワーク上のユーザーがインターネットにアクセスできるようにすることができます。

  • 内部サーバーをインターネットに公開する。この NAT ルールを使用して、ネットワーク外のユーザーが内部 Web サーバーまたは電子メールサーバーにアクセスできるようにすることができます。

「内部ユーザーのインターネットアクセスを有効にする」ための前提条件

NAT ルールを作成する前に、次の情報を収集します。

  • ユーザーに最も近いインターフェイス。通常これは「内部」インターフェイスと呼ばれます。

  • インターネット接続に最も近いインターフェイス。通常これは「外部」インターフェイスと呼ばれます。

  • 特定のユーザーのみにインターネットへのアクセスを許可する場合は、それらのユーザーのサブネットアドレスが必要です。

「内部サーバーをインターネットに公開する」ための前提条件

NAT ルールを作成する前に、次の情報を収集します。

  • ユーザーに最も近いインターフェイス。通常これは「内部」インターフェイスと呼ばれます。

  • インターネット接続に最も近いインターフェイス。通常これは「外部」インターフェイスと呼ばれます。

  • インターネット側の IP アドレスに変換する、ネットワーク内のサーバーの IP アドレス。

  • サーバーが使用するパブリック IP アドレス。

次の作業

NAT ウィザードを使用した NAT ルールの作成 を参照してください。

NAT ウィザードを使用した NAT ルールの作成

始める前に

NAT ウィザードを使用して NAT ルールを作成するために必要な前提条件については、ネットワークアドレス変換ウィザードを参照してください。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

フィルタ 検索フィールドを使用して、NAT ルールを作成するデバイスを見つけます。

ステップ 5

詳細パネルの [管理(Management)] 領域で、[NAT] をクリックします。

ステップ 6

> [NAT ウィザード(NAT Wizard)] をクリックします。

ステップ 7

NAT ウィザードの質問に回答し、画面の指示に従います。

  • NAT ウィザードはネットワーク オブジェクトを使用してルールを作成します。ドロップダウンメニューから既存のオブジェクトを選択するか、作成ボタン で新しいオブジェクトを作成します。

  • NAT ルールを保存する前に、すべての IP アドレスをネットワークオブジェクトとして定義する必要があります。

ステップ 8

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

NAT の一般的な使用例

Twice NAT と手動 NAT

「自動 NAT」とも呼ばれる「ネットワークオブジェクト NAT」を使用して達成できるいくつかの一般的なタスクを次に示します。

ネットワークオブジェクト NAT と自動 NAT

「手動 NAT」とも呼ばれる「Twice NAT」を使用して達成できる一般的なタスクを次に示します。

内部ネットワーク上のサーバーがパブリック IP アドレスを使用してインターネットに到達できるようにする

使用例

インターネットからアクセスする必要があるプライベート IP アドレスを持つサーバーがあり、1 つのパブリック IP アドレスからプライベート IP アドレスへの NAT に十分なパブリック IP アドレスがある場合は、この NAT 戦略を使用します。パブリック IP アドレスの数に限りがある場合は、「パブリック IP アドレスの特定のポートでユーザーが内部ネットワーク上のサーバーを使用できるようにする」を参照してください(このソリューションの方が適している可能性があります)。

方法

サーバーは静的なプライベート IP アドレスを持ち、そのサーバーにネットワークの外部のユーザーがアクセスできる必要があります。静的プライベート IP アドレスを静的パブリック IP アドレスに変換するネットワークオブジェクト NAT ルールを作成します。その後、そのパブリック IP アドレスからのトラフィックがプライベート IP アドレスに到達できるようにするアクセスポリシーを作成します。最後に、これらの変更をデバイスに展開します。

始める前に

まず始めに、2 つのネットワークオブジェクトを作成します。一方のオブジェクトを「servername_inside」と名前を付け、もう一方のオブジェクトに「servername_outside」という名前を付けます。servername_inside ネットワークオブジェクトには、サーバーのプライベート IP アドレスが含まれている必要があります。servername_outside ネットワークオブジェクトには、サーバーのパブリック IP アドレスが含まれている必要があります。手順については、「ネットワークオブジェクトの作成」を参照してください。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

NAT ルールを作成するデバイスを選択します。

ステップ 5

右側の [管理(Management)] ペインで [NAT] をクリックします。

ステップ 6

> [ネットワークオブジェクト NAT(Network Object NAT)] をクリックします。

ステップ 7

セクション 1 の [タイプ(Type)] で、[静的(Static)] を選択します。[続行(Continue)] をクリックします。

ステップ 8

セクション 2 の [インターフェイス(Interfaces)] で、送信元インターフェイスには [内部(inside)] を選択し、接続先インターフェイスには [外部(outside)] を選択します。[続行(Continue)] をクリックします。

ステップ 9

セクション 3 の [パケット(Packets)] で、次のアクションを実行します。

  1. [元のアドレス(Original Address)] メニューを展開し、[選択(Choose)] をクリックして、servername_inside オブジェクトを選択します。

  2. [変換済みアドレス(Translated Address)] メニューを展開し、[選択](Choose)] をクリックして、servername_outside オブジェクトを選択します。

ステップ 10

セクション 4 の [詳細(Advanced)] はスキップしてください。

ステップ 11

FDM 管理対象デバイスの場合、セクション 5 の [名前(Name)] で、NAT ルールに名前を付けます。

ステップ 12

[保存(Save)] をクリックします。

ステップ 13

ASA の場合はネットワークポリシー規則を展開し、FDM による管理 デバイスの場合はアクセス コントロール ポリシー規則を展開して、servername_inside から servername_outside へのトラフィックフローを可能にします。

ステップ 14

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

ASA の保存済み構成ファイルのエントリ

この手順を実行することで、ASA の保存済み構成ファイル内に次のエントリが作成および表示されます。


(注)  

これは FDM による管理 デバイスには適用されません。

この手順によって作成されるオブジェクト:

object network servername_outside
host 209.165.1.29
object network servername_inside
host 10.1.2.29

この手順によって作成される NAT ルール:

object network servername_inside
 nat (inside,outside) static servername_outside

内部ネットワーク上のユーザーが外部インターフェイスのパブリック IP アドレスを使用してインターネットにアクセスできるようにする

使用例

外部インターフェイスのパブリックアドレスを共有することにより、プライベートネットワーク内のユーザーとコンピューターがインターネットに接続できるようにします。

方法

プライベートネットワーク上のすべてのユーザーがデバイスの外部インターフェイスのパブリック IP アドレスを共有できるようにするポートアドレス変換(PAT)ルールを作成します。

プライベートアドレスがパブリックアドレスとポート番号にマッピングされると、デバイスはそのマッピングを記録します。そのパブリック IP アドレスとポート宛の着信トラフィックを受信すると、デバイスはトラフィックを要求したプライベート IP アドレスにトラフィックを送り返します。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

NAT ルールを作成するデバイスを選択します。

ステップ 5

右側の [管理(Management)] ペインで [NAT] をクリックします。

ステップ 6

[ネットワークオブジェクトNAT(Network Object NAT)] をクリックします。

ステップ 7

セクション 1 の [タイプ(Type)] で、[ダイナミック(Dynamic)] を選択します。[続行(Continue)] をクリックします。

ステップ 8

セクション 2 の [インターフェイス(Interfaces)] で、送信元インターフェイスには [任意(any)] を選択し、接続先インターフェイスには [外部(outside)] を選択します。[続行(Continue)] をクリックします。

ステップ 9

セクション 3 の [パケット(Packets)] で、次のアクションを実行します。

  1. [元のアドレス(Original Address)] メニューを展開し、[選択(Choose)] をクリックして、ネットワーク構成に応じて [any-ipv4] オブジェクトまたは [any-ipv6] オブジェクトを選択します。

  2. [変換済みアドレス(Translated Address)] メニューを展開し、利用可能なリストから [インターフェイス(interface)] を選択します。インターフェイスにより、外部インターフェイスのパブリックアドレスを使用することが示唆されています。

ステップ 10

FDM 管理対象デバイスの場合、セクション 5 の [名前(Name)] に NAT ルールの名前を入力します。

ステップ 11

[保存(Save)] をクリックします。

ステップ 12

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

ASA の保存済み構成ファイルのエントリ

この手順を実行することで、ASA の保存済み構成ファイル内に次のエントリが作成および表示されます。


(注)  

これは FDM による管理 デバイスには適用されません。

この手順によって作成されるオブジェクト:

object network any_network
subnet 0.0.0.0 0.0.0.0

この手順によって作成される NAT ルール:

object network any_network
nat (any,outside) dynamic interface

内部ネットワーク上のサーバーをパブリック IP アドレスの特定のポートで使用できるようにする

使用例

パブリック IP アドレスが 1 つしかない場合、または数が非常に限られている場合は、静的 IP アドレスとポートにバインドされた受信トラフィックを内部アドレスに変換するネットワークオブジェクト NAT ルールを作成できます。特定のケースの手順を提供していますが、これらはサポートされている他のアプリケーションのモデルとして使用できます。

前提条件

まず始めに、FTP、HTTP、および SMTP サーバーのネットワークオブジェクトを 1 つずつ、合計 3 つの個別のオブジェクトを作成します。この手順のために、これらのオブジェクトを ftp-server-objecthttp-server-object、および smtp-server-object と呼びます。手順については、「ネットワークオブジェクトの作成」「」を参照してください。

FTP サーバーへの NAT 着信 FTP トラフィック

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

NAT ルールを作成するデバイスを選択します。

ステップ 5

右側の [管理(Management)] ペインで [NAT] をクリックします。

ステップ 6

> [ネットワークオブジェクト NAT(Network Object NAT)] をクリックします。

ステップ 7

セクション 1 の [タイプ(Type)] で、[静的(Static)] を選択します。[続行(Continue)] をクリックします。

ステップ 8

セクション 2 の [インターフェイス(Interfaces)] で、送信元インターフェイスには [内部(inside)] を選択し、接続先インターフェイスには [外部(outside)] を選択します。[続行(Continue)] をクリックします。

ステップ 9

セクション 3 の [パケット(Packets)] で、次のアクションを実行します。

  • [元のアドレス(Original Address)] メニューを展開し、[選択(Choose)] をクリックして、ftp-server-object を選択します。

  • [変換済みアドレス(Translated Address)] メニューを展開し、[選択](Choose)] をクリックして、[インターフェイス(Inerface)] を選択します。

  • [ポート変換の使用(Use Port Translation)] にチェックを付けます。

  • [tcp]、[ftp]、[ftp] を選択します。

ステップ 10

セクション 4 の [詳細(Advanced)] はスキップしてください。

ステップ 11

FDM 管理対象デバイスの場合、セクション 5 の [名前(Name)] で、NAT ルールに名前を付けます。

ステップ 12

[保存(Save)] をクリックします。NAT テーブルの セクション 2 に新しいルールが作成されます。

ステップ 13

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

ASA の保存済み構成ファイルのエントリ

この手順を実行することで、ASA の保存済み構成ファイル内に次のエントリが作成および表示されます。


(注)  

これは FDM による管理 デバイスには適用されません。

この手順によって作成されるオブジェクト
object network ftp-object
host 10.1.2.27
この手順によって作成される NAT ルール
object network ftp-object
nat (inside,outside) static interface service tcp ftp ftp

HTTP サーバーへの NAT 着信 HTTP トラフィック

パブリック IP アドレスが 1 つしかない場合、または数が非常に限られている場合は、静的 IP アドレスとポートにバインドされた受信トラフィックを内部アドレスに変換するネットワークオブジェクト NAT ルールを作成できます。特定のケースの手順を提供していますが、これらはサポートされている他のアプリケーションのモデルとして使用できます。

始める前に

まず始めに、HTTP サーバーのネットワークオブジェクトを作成します。この手順のために、オブジェクトを http-object と呼びます。手順については、「ネットワークオブジェクトの作成」「」を参照してください。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

NAT ルールを作成するデバイスを選択します。

ステップ 5

右側の [管理(Management)] ペインで [NAT] をクリックします。

ステップ 6

> [ネットワークオブジェクト NAT(Network Object NAT)] をクリックします。

ステップ 7

セクション 1 の [タイプ(Type)] で、[静的(Static)] を選択します。[続行(Continue)] をクリックします。

ステップ 8

セクション 2 の [インターフェイス(Interfaces)] で、送信元インターフェイスには [内部(inside)] を選択し、接続先インターフェイスには [外部(outside)] を選択します。[続行(Continue)] をクリックします。

ステップ 9

セクション 3 の [パケット(Packets)] で、次のアクションを実行します。

  • [オリジナルアドレス(Original Address)] メニューを展開し、[選択](Choose)] をクリックして、http オブジェクトを選択します。

  • [変換済みアドレス(Translated Address)] メニューを展開し、[選択](Choose)] をクリックして、[インターフェイス(Inerface)] を選択します。

  • [ポート変換の使用(Use Port Translation)] にチェックを付けます。

  • tcphttp、http を選択します。

ステップ 10

セクション 4 の [詳細(Advanced)] はスキップしてください。

ステップ 11

FDM 管理対象デバイスの場合、セクション 5 の [名前(Name)] で、NAT ルールに名前を付けます。

ステップ 12

[保存(Save)] をクリックします。NAT テーブルの セクション 2 に新しいルールが作成されます。

ステップ 13

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

ASA の保存済み構成ファイルのエントリ

この手順を実行することで、ASA の保存済み構成ファイル内に次のエントリが作成および表示されます。


(注)  

これは FDM による管理 デバイスには適用されません。

この手順によって作成されるオブジェクト

object network http-object
host 10.1.2.28
この手順によって作成される NAT ルール
object network http-object
nat (inside,outside) static interface service tcp www www

SMTP サーバーへの NAT 着信 SMTP トラフィック

パブリック IP アドレスが 1 つしかない場合、または数が非常に限られている場合は、静的 IP アドレスとポートにバインドされた受信トラフィックを内部アドレスに変換するネットワークオブジェクト NAT ルールを作成できます。特定のケースの手順を提供していますが、これらはサポートされている他のアプリケーションのモデルとして使用できます。

始める前に

まず始めに、smtp サーバーのネットワークオブジェクトを作成します。この手順の説明では、オブジェクトを smtp-object と呼びます。手順については、「ネットワークオブジェクトの作成」「」を参照してください。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

NAT ルールを作成するデバイスを選択します。

ステップ 5

右側の [管理(Management)] ペインで [NAT] をクリックします。

ステップ 6

> [ネットワークオブジェクト NAT(Network Object NAT)] をクリックします。

ステップ 7

セクション 1 の [タイプ(Type)] で、[静的(Static)] を選択します。[続行(Continue)] をクリックします。

ステップ 8

セクション 2 の [インターフェイス(Interfaces)] で、送信元インターフェイスには [内部(inside)] を選択し、接続先インターフェイスには [外部(outside)] を選択します。[続行(Continue)] をクリックします。

ステップ 9

セクション 3 の [パケット(Packets)] で、次のアクションを実行します。

  • [元のアドレス(Original Address)] メニューを展開し、[選択(Choose)] をクリックして、smtp-server-object を選択します。

  • [変換済みアドレス(Translated Address)] メニューを展開し、[選択](Choose)] をクリックして、[インターフェイス(Inerface)] を選択します。

  • [ポート変換の使用(Use Port Translation)] にチェックを付けます。

  • tcp、smtp、smtp を選択します。

ステップ 10

セクション 4 の [詳細(Advanced)] はスキップしてください。

ステップ 11

FDM 管理対象デバイスの場合、セクション 5 の [名前(Name)] で、NAT ルールに名前を付けます。

ステップ 12

[保存(Save)] をクリックします。NAT テーブルの セクション 2 に新しいルールが作成されます。

ステップ 13

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

ASA の保存済み構成ファイルのエントリ

この手順を実行することで、ASA の保存済み構成ファイル内に次のエントリが作成および表示されます。


(注)  

これは FDM による管理 デバイスには適用されません。

この手順によって作成されるオブジェクト
object network smtp-object
host 10.1.2.29
この手順によって作成される NAT ルール
object network smtp-object
nat (inside,outside) static interface service tcp smtp smtp

プライベート IP アドレス範囲のパブリック IP アドレス範囲への変換

使用例

特定のデバイスタイプまたはユーザータイプのグループがあり、IP アドレスを特定の範囲に変換して、受信側デバイス(トランザクションの反対側のデバイス)がトラフィックを許可する必要がある場合は、このアプローチを使用します。

内部アドレスのプールを外部アドレスのプールに変換

始める前に

変換するプライベート IP アドレスプールのネットワークオブジェクトを作成し、それらのプライベート IP アドレスの変換先となるパブリックアドレスプールのネットワークオブジェクトも作成します。

ASA の場合、「元のアドレス」プール(変換するプライベート IP アドレスプール)は、アドレス範囲を持つネットワークオブジェクト、サブネットを定義するネットワークオブジェクト、またはプール内のすべてのアドレスを含むネットワークグループにすることができます。FTD の場合、「元のアドレス」プールは、サブネットを定義するネットワークオブジェクト、またはプール内のすべてのアドレスを含むネットワークグループにすることができます。


(注)  

ASA の場合、「変換されたアドレス」のプールを定義するネットワークグループは、サブネットを定義するネットワークオブジェクトにすることはできません。

これらのアドレスプールを作成する場合は、ASA ネットワークオブジェクトおよびネットワークグループの作成または編集とを参照してください。

以下の手順のために、プライベートアドレスプールをinside_pool、 パブリックアドレスプールをoutside_pool と名付けました。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

NAT ルールを作成するデバイスを選択します。

ステップ 5

右側の [管理(Management)] ペインで [NAT] をクリックします。

ステップ 6

> [ネットワーク オブジェクト NAT(Network Object NAT)] をクリックします。

ステップ 7

セクション 1 の [タイプ(Type)] で [ダイナミック(Dynamic)] を選択し、[続行(Continue)] をクリックします。

ステップ 8

セクション 2 の [インターフェイス(Interfaces)] で、送信元インターフェイスを [内部(inside)] に設定し、接続先インターフェイスを [外部(outside)] に設定します。[続行(Continue)] をクリックします。

ステップ 9

セクション 3 の [パケット(Packets)] で、以下のタスクを実行します。

  • [元アドレス(Original Address)] で、[選択(Choose)] をクリックし、上記の前提条件セクションで作成した inside_pool ネットワークオブジェクト (またはネットワークグループ) を選択します。

  • [変換されたアドレス(Translated Address)] で、[選択(Choose)] をクリックし、上記の前提条件セクションで作成した outside_pool ネットワークオブジェクト (またはネットワークグループ) を選択します。

ステップ 10

セクション 4 の [詳細(Advanced)] はスキップしてください。

ステップ 11

FDM 管理対象デバイスの場合、セクション 5 の [名前(Name)] で、NAT ルールに名前を付けます。

ステップ 12

[保存(Save)] をクリックします。

ステップ 13

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

ASA の保存済み構成ファイルのエントリ

この手順を実行することで、ASA の保存済み構成ファイル内に次のエントリが表示されます。


(注)  

これは FDM による管理 デバイスには適用されません。

この手順によって作成されるオブジェクト

object network outside_pool
    range 209.165.1.1 209.165.1.255
object network inside_pool
    range 10.1.1.1 10.1.1.255

この手順によって作成される NAT ルール

object network inside_pool
nat (inside,outside) dynamic outside_pool

外部インターフェイスを通過する際に IP アドレスの範囲が変換されるのを防ぐ

使用例

この Twice NAT ユースケースを使用して、サイト間 VPN を有効にします。

方法

IP アドレスのプールをそれ自体に変換して、ネットワークのある場所の IP アドレスが変更されずに別の場所に届くようにします。

Twice NATルールの作成

始める前に

それ自体に変換する IP アドレスのプールを定義するネットワークオブジェクトまたはネットワークグループを作成します。ASA の場合、アドレスの範囲は、IP アドレス範囲を使用するネットワークオブジェクト、サブネットを定義するネットワークオブジェクト、または範囲内のすべてのアドレスを含むネットワーク グループ オブジェクトによって定義できます。

ネットワークオブジェクトやネットワークグループを作成する場合は、『ASA ネットワークオブジェクトおよびネットワークグループの作成または編集』と『』を参照してください。

次の手順では、ネットワークオブジェクトまたはネットワークグループを Site-to-Site-PC-Pool と呼びます。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

NAT ルールを作成するデバイスを選択します。

ステップ 5

右側の [管理(Management)] ペインで [NAT] をクリックします。

ステップ 6

> [Twice NAT] をクリックします。.

ステップ 7

セクション 1 の [タイプ(Type)] で、[静的(Static)] を選択します。[続行(Continue)] をクリックします。

ステップ 8

セクション 2 の [インターフェイス(Interfaces)] で、送信元インターフェイスには [内部(inside)] を選択し、接続先インターフェイスには [外部(outside)] を選択します。[続行(Continue)] をクリックします。

ステップ 9

セクション 3 の [パケット(Packets)] で、次の変更を行います。

  • [元のアドレス(Original Address)] メニューを展開し、[選択(Choose)] をクリックして、前提条件セクションで作成した Site-to-Site-PC-Pool オブジェクトを選択します。

  • [変換済みアドレス(Translated Address)] メニューを展開し、[選択(Choose)] をクリックして、前提条件セクションで作成した Site-to-Site-PC-Pool オブジェクトを選択します。

ステップ 10

セクション 4 の [詳細(Advanced)] はスキップしてください。

ステップ 11

FDM 管理対象デバイスの場合、セクション 5 の [名前(Name)] で、NAT ルールに名前を付けます。

ステップ 12

[保存(Save)] をクリックします。

ステップ 13

ASA の場合、クリプトマップを作成します。クリプトマップの作成方法の詳細については、『CLI ブック 3:Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド』の、「LAN-to-LAN IPsec VPN」の章を確認してください。

ステップ 14

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

ASA の保存済み構成ファイルのエントリ

この手順を実行することで、ASA の保存済み構成ファイル内に次のエントリが表示されます。


(注)  

これは FDM による管理 デバイスには適用されません。

この手順によって作成されるオブジェクト

object network Site-to-Site-PC-Pool
range 10.10.2.0 10.10.2.255

この手順によって作成される NAT ルール

nat (inside,outside) source static Site-to-Site-PC-Pool Site-to-Site-PC-Pool

ASA のテンプレート

テンプレートを使用すると、汎用のデバイス/サービス構成を構築できるため、その構成をグループ化された他の構成に適用できます。これらのテンプレートにより、グループ化された多くの実装に影響を与えるための変更を一箇所で行うことができます。

ASA テンプレートパラメータ

新しいテンプレートを作成する際、特定のデバイスをモデルにしたい場合があります。Security Cloud Control には、テンプレートがモデル化されたデバイスの設定内にあるテキストの選択されたフィールドに基づいてテンプレートパラメータを設定する機能があります。パラメータは、作成するか、既存のパラメータから設定する、またはテンプレート パラメータ ビュー内で検索することができます。


(注)  

ASA テンプレートの設定をインポートすることを選択した場合、設定は JSON 形式である必要があります。

新規パラメータの作成

手順

ステップ 1

既存のデバイスが導入準備された状態で、Security Cloud Control の上部にある [テンプレート] タブに移動します。

ステップ 2

[新しいテンプレート(New Template)] または [テンプレートの管理(Manage Templates)] を選択します。

ステップ 3

必要な設定を選択してパラメータを作成します。

ステップ 4

画面上部にある [名前(Name)] フィールドに入力することによってテンプレートに名前を付けます。

ステップ 5

パラメータを追加する目的のテキストフィールドを選択します。

ステップ 6

パラメータに説明を付け、値と必要な注記を追加します。

ステップ 7

[名前(Name)] フィールドの横にある [保存(Save)] をクリックしてパラメータを保存します。

ステップ 8

その後、[テンプレートの確認(Review Template)] をクリックして、テンプレートを確認することができます。

これで、今後このテンプレートを使用して導入準備されるすべてのデバイスに適用されるパラメータが作成され、保存されました。

新規 ASA、ISR、ASR テンプレートの作成

基本設定

既知の ASA、ISR、または ASR の基本設定から始めます。目的の設定を選択して、テンプレートのパラメータ化を開始します。パラメータ化には、構成ファイル内のフィールドまたは属性の選択と、構成ファイルのインスタンス化で選択される値のリストの識別が含まれます。


(注)  

ASA テンプレートの設定をインポートすることを選択した場合、設定は JSON 形式である必要があります。

パラメータの追加

基本設定を選択すると、パラメータ化プロセスを開始できます。設定エディタから、パラメータ化する目的のフィールドを選択します。選択した文字列は二重括弧で囲まれています。左ペインから、パラメータの名前を変更したり、説明を追加したり、複数の値を追加したりできます。[カスタム値を許可(Allow Custom Value)] を選択すると、インスタンス化時にカスタム値を設定できます。それ以外の場合は、識別された値のみ選択できます。

パラメータ化が完了したら、テンプレートの名前を指定し、[保存(Save)] をクリックします。

パラメータ化の詳細については、こちらを参照してください。

レビュー

テンプレートを保存したら、[レビュー(Review)] をクリックしてレビュープロセスに移動します。レビューでは、パラメータ化された値を含め、テンプレートをそのままエクスポートできます。これは必ずしも有効な設定ではありませんが、Security Cloud Control に保存されているテンプレートを確認することができます。必要に応じて、[編集(Edit)] をクリックしてテンプレートを編集することもできます。[差分(Diff)] ボタンを使用すると、保存されたテンプレートと最新の編集との違いが表示されます。

テンプレートからの ASA 設定の生成

テンプレートからの設定の作成

テンプレートからカスタム設定を生成するプロセスを開始するには、[テンプレートから設定(Config from Template)] ボタンをします。使用可能なテンプレートが一覧表示されます。該当するテンプレートを選択して、[テンプレートの選択(Choose Template)] をクリックします。

ほとんどの場合、テンプレートにはパラメータ化された値が含まれます。設定をカスタマイズするには、エクスポート時にこれらの値が設定されている必要があります。左側のペインから、この設定に必要な各パラメータと値を選択します。エディタに選択した値が示されます。エクスポート時にパラメータがこれらの値に置き換えられます。すべてのパラメータ値を設定したら、[エクスポート(Export)] ボタンをクリックして設定をエクスポートし、ダウンロードします。テンプレートにパラメータ化された値が含まれていない場合は、[エクスポート(Export)] ボタンをクリックして設定をそのままエクスポートします。

ASA テンプレートの管理

[テンプレートの管理(Manage Templates)] ビューでは、既存のすべてのテンプレートを可視化して、編集および削除できます。パラメータ化と値の設定は、テンプレートの編集中に変更できます。その方法は、既存のテンプレートにマウスのカーソルを合わせて、[編集(Edit)] を選択して変更を加えるだけです。

テンプレートの編集

編集ビューでは、次の作業を実行できます。

  • エディタのテキストをダブルクリックまたは強調表示して、パラメータを追加します。

  • 説明のテキストボックスにパラメータの説明を入力します。その後に、[値の追加(Add Value)] をクリックします。

  • 値を指定し、注記を入力します。[追加(Add)] をクリックします。

  • 完了したら、[Save] をクリックします。

  • ここで、[テンプレートの確認(Review Template)] をクリックして、テンプレートを確認することができます。

    • [差分(Diff)] をクリックすると、ファイルを比較できます。

    • テンプレートをエクスポートするには、[エクスポート(Export)] をクリックします。

API トークン

開発者は、Security Cloud Control REST API 呼び出しを行うときに Security Cloud Control API トークンを使用します。呼び出しを成功させるには、API トークンを REST API 認証ヘッダーに挿入する必要があります。API トークンは、有効期限のない「長期的な」アクセストークンですが、更新したり、取り消したりできます。

Security Cloud Control 内から API トークンを生成できます。生成されたトークンは、生成直後に、[一般設定(General Settings)] ページが開いている間のみ表示されます。Security Cloud Control で別のページを開いてから [一般設定(General Settings)] ページに戻ると、トークンが発行されたことはわかりますが、トークンは表示されなくなります。

個々のユーザーは、特定のテナントに対して独自のトークンを作成できます。あるユーザーが別のユーザーに代わってトークンを生成することはできません。トークンはアカウントとテナントのペアに固有であり、他のユーザーとテナントの組み合わせには使用できません。

API トークン形式とクレーム

API トークンは JSON Web トークン(JWT)です。JWT トークン形式の詳細については、「Introduction to JSON Web Tokens」を参照してください。

Security Cloud Control API トークンは、次の一連のクレームを提供します。

  • id:ユーザー/デバイス uid

  • parentId:テナント uid

  • ver:公開キーのバージョン(初期バージョンは 0、例:cdo_jwt_sig_pub_key.0

  • subscriptionsSecurity Services Exchange サブスクリプション(任意)

  • client_id:「api-client

  • jti:トークン id

FDM による管理 デバイステンプレートへの ASA 設定の移行


注目

Firepower Device Manager (FDM)のサポートと機能は、要求があった場合にのみ利用できます。テナントで Firewall Device Manager サポートがまだ有効になっていない場合は、FDM による管理 デバイスを管理したり、デバイスに展開したりすることはできません。サポートチームにリクエストを送信して、このプラットフォームを有効にします。

Security Cloud Control を使用すると、ASA を FDM による管理 デバイスに移行できます。Security Cloud Control には、ASA の実行構成の次の要素を FDM による管理 デバイステンプレートに移行するためのウィザードが用意されています。

  • アクセス制御ルール(ACL)

  • インターフェイス

  • ネットワークアドレス変換(NAT)ルール

  • ネットワークオブジェクトとネットワーク グループ オブジェクト

  • ルート

  • サービスオブジェクトとサービス グループ オブジェクト

  • サイト間 VPN

ASA 実行構成のこれらの要素を FDM による管理 デバイステンプレートに移行したら、その FDM テンプレートを、Security Cloud Control によって管理される新しい FDM による管理 デバイスに適用できます。FDM による管理 デバイスはテンプレートで定義された構成を採用するため、FDM による管理 デバイスは ASA の実行構成のいくつかの側面を使用して構成されるようになりました。

ASA 実行コンフィギュレーションの他の要素は、このプロセスを使用して移行されません。これらの他の要素は、FDM による管理 デバイステンプレートでは空の値で表されます。テンプレートが FDM による管理 デバイスに適用されると、移行された値が新しい FDM による管理 デバイスに適用され、空の値は無視されます。新しい FDM による管理 デバイスの他のデフォルト値は、すべて保持されます。移行されなかった ASA 実行コンフィギュレーションのその他の要素は、移行プロセス以外で FDM による管理 デバイスで再作成する必要があります。

Security Cloud Control を使用して ASA を FDM による管理 デバイスに移行するプロセスの詳細については、『Migrating an ASA to an FDM-Managed Device Using Cisco Security Cloud Control』を参照してください。

Cisco ASA 証明書の管理

デジタル証明書は、デバイスや個々のユーザーの認証に使用されるデジタル ID を提供します。デジタル証明書には、名前、シリアル番号、会社、部門、または IP アドレスなど、ユーザーまたはデバイスを識別する情報が含まれます。デジタル証明書には、ユーザまたはデバイスの公開キーのコピーも含まれています。デジタル証明書の詳細については、『Cisco ASA Series General Operations ASDM Configuration, X.Y』ドキュメントの「Basic Settings」ブックの「Digital Certificates」の章を参照してください。

認証局(CA) は、証明書に「署名」してその認証を確認することで、デバイスまたはユーザーのアイデンティティを保証する、信頼できる機関です。CA はID 証明書も発行します。

  • ID 証明書:ID 証明書は、特定のシステムまたはホストの証明書です。これらは OpenSSL ツールキットを使用して自分で生成することも、認証局から取得することもできます。自己署名証明書を生成することもできます。CA は、特定のシステムまたはホストの証明書であるID 証明書を発行します。

  • 信頼できる認証局(CA)証明書:信頼できる CA 証明書は、システムで他の証明書への署名に使用できる証明書です。これらの証明書は、基本制約拡張と CA フラグに関して内部アイデンティティ証明書と異なります。これらは CA 証明書では有効ですが、アイデンティティ証明書では無効です。信頼できる CA 証明書は自己署名され、ルート証明書と呼ばれます。

リモートアクセス VPN は、セキュリティで保護された VPN 接続を確立するために、セキュアゲートウェイおよび AnyConnect クライアント(エンドポイント)を認証するためのデジタル証明書を使用します。詳細については、「リモートアクセス VPN の証明書ベースの認証」を参照してください。

証明書のインストールに関するガイドライン

ASA での証明書のインストールに関する以下のガイドラインをお読みください。

  • 証明書は、1 つの ASA デバイスに、または複数の ASA デバイスに同時にインストールできます。

  • 証明書は一度に 1 つだけインストールできます。

  • 証明書は、ライブ ASA デバイスにのみインストールできます。モーダルデバイスにはインストールできません。

Cisco ASA 証明書のインストール

デジタル証明書をトラストポイント オブジェクトとしてアップロードし、Security Cloud Control によって管理される Cisco ASA デバイスにインストールする必要があります。


(注)  

ASA デバイスにアウトオブバンドの変更がなく、ステージングされたすべての変更が展開されていることを確認します。

Security Cloud Control でサポートされているデジタル証明書と形式を次に示します。

  • ID 証明書は、次の方法を使用してインストールできます。

    • PKCS12 ファイルのインポート。

    • 自己署名証明書。

    • 証明書署名要求(CSR)のインポート。

  • 信頼できる CA 証明書は、PEM または DER 形式を使用してインストールできます。

Security Cloud Control を使用して Cisco ASA に証明書をインストールする手順を示すスクリーンキャストをご覧ください。インストールされている証明書を変更、エクスポート、および削除する手順も示しています。

サポートされている証明書形式

  • PKCS12:PKCS#12、P12、または PFX 形式は、サーバー証明書、あらゆる中間証明書、および秘密キーを 1 つの暗号化可能ファイルに格納するためのバイナリ形式です。PFX ファイルには通常、.pfx.p12 などの拡張子が付いています。

  • PEM:PEM(元は「Privacy Enhanced Mail」)ファイルには ASCII(または Base64)エンコードデータが含まれており、証明書ファイルは .pem、.crt、.cer、または .key 形式にすることができます。これらは Base64 でエンコードされた ASCII ファイルで、「-----BEGIN CERTIFICATE-----」および「-----END CERTIFICATE-----」ステートメントが含まれています。

  • DER:DER(Distinguished Encoding Rule)形式は、ASCII PEM 形式ではなく、シンプルなバイナリ形式の証明書です。.der ファイル拡張子が付いている場合もありますが、.cer ファイル拡張子が付いていることが多いため、DER の.cer ファイルと PEM の .cer ファイルを区別する唯一の方法は、テキストエディタで開いて、 BEGIN/END ステートメントの有無を確認することです。PEM とは異なり、DER でエンコードされたファイルには、-----BEGIN CERTIFICATE----- などのプレーン テキスト ステートメントは含まれません。

トラストポイント画面

Cisco ASA デバイスを Security Cloud Control に導入準備した後、[セキュリティデバイス(Security Devices)] タブで Cisco ASA デバイスを選択し、左側の [管理(Management)] ペインで [トラストポイント(Trustpoints)] をクリックします。

[トラストポイント] タブに、デバイスにインストール済みの証明書が表示されます。

  • [インストール済み(Installed)] ステータスは、対応する証明書がデバイスに正常にインストールされたことを示します。

  • 「不明(Unknown)」ステータスは、対応する証明書に情報がなにも含まれていないことを示します。それを削除し、正しい詳細情報を使用して再度アップロードする必要があります。Security Cloud Control は、すべての不明な証明書を信頼できる CA 証明書として検出します。

  • [インストール済み(Installed)] と表示されている行をクリックして、右側のペインに証明書の詳細を表示します。[詳細(More)] をクリックして、選択した証明書の詳細を表示します。

  • インストールされたID 証明書は、PKCS12 または PEM 形式でエクスポートして、他の ASA デバイスにインポートできます。「ID 証明書のエクスポート」を参照してください。

  • インストールされた証明書で変更できるのは、詳細設定のみです。

    • [編集] をクリックして、詳細設定を変更します。

    • 変更を加えたら、[送信(Send)] をクリックして、更新された証明書をインストールします。

PKCS12 を使用した ID 証明書のインストール

PKCS12 形式用に作成された既存のトラストポイント オブジェクトを選択して、ASA デバイスにインストールできます。インストールウィザードから新しいトラストポイント オブジェクトを作成し、ASA デバイスに証明書をインストールすることもできます。

始める前に

手順

ステップ 1

ナビゲーションバーで セキュリティデバイス をクリックします。

ステップ 2

単一の ASA デバイスに ID 証明書をインストールするには、次の手順を実行します。

  1. [デバイス] タブをクリックします。

  2. [ASA] タブをクリックして、ASA デバイスを選択します。

  3. 右側の [管理(Management)] ペインで、[トラストポイント(Trustpoints)] をクリックします。

  4. [Install(インストール)] をクリックします。

(注)  

 

複数の ASA デバイスに証明書をインストールすることもできます。複数の ASA デバイスを選択し、右側の [デバイスアクション(Devices Action)] で [証明書のインストール(Install Certificate)] をクリックします。

ステップ 3

[インストールするトラストポイント証明書の選択(Select Trustpoint Certificate to Install)] で、次のいずれかをクリックします。

  • [作成(Create)]:新しいトラストポイント オブジェクトを追加します。詳細については、「PKCS12 を使用した ID 証明書オブジェクトの追加」を参照してください。

  • [選択(Choose)]:PKCS タイプの証明書登録オブジェクトを選択します。

ステップ 4

[送信(Send)] をクリックします。

ASA デバイスに証明書がインストールされます。

(注)  

 

中間 CA がインストールされている ASA にPKCS12 証明書をインポートする場合、まだインストールされていないすべての中間 CA 証明書について、トラストポイント オブジェクトが自動的に作成されてデバイスにインストールされます。ID 証明書をクリックすると、次の例のようなメッセージが右側のペインに表示されます。

自己署名登録を使用した証明書のインストール

自己署名証明書用に作成された既存のトラストポイント オブジェクトを選択して、ASA デバイスにインストールできます。インストールウィザードから新しいトラストポイント オブジェクトを作成し、ASA デバイスに証明書をインストールすることもできます。

始める前に

手順

ステップ 1

ナビゲーションバーで セキュリティデバイス をクリックします。

ステップ 2

単一の ASA デバイスに ID 証明書をインストールするには、次の手順を実行します。

  1. [デバイス] タブをクリックします。

  2. [ASA] タブをクリックして、ASA デバイスを選択します。

  3. 右側の [管理(Management)] ペインで、[トラストポイント(Trustpoints)] をクリックします。

  4. [Install(インストール)] をクリックします。

(注)  

 

複数の ASA デバイスに署名付き証明書をインストールすることもできます。複数の ASA デバイスを選択し、右側の [デバイスアクション(Devices Action)] で [証明書のインストール(Install Certificate)] をクリックします。

ステップ 3

[インストールするトラストポイント証明書の選択(Select Trustpoint Certificate to Install)] で、次のいずれかをクリックします。

  • [作成(Create)]:新しいトラストポイント オブジェクトを追加します。詳細については、「PKCS12 を使用した ID 証明書オブジェクトの追加」を参照してください。

  • [選択(Choose)]:自己署名タイプの証明書登録オブジェクトを選択します。

ステップ 4

[送信(Send)] をクリックします。

自己署名登録タイプのトラストポイントの場合は、[発行元の共通名(Issuer Common Name )] ステータスが常に ASA デバイスとなります。これは、管理対象デバイス自体が独自の CA として機能し、独自のID 証明書を生成するために CA 証明書を必要としないためです。

証明書署名要求(CSR)の管理

最初に CSR リクエストを生成し、信頼できる認証局(CA)によって署名されたこのリクエストを取得する必要があります。次に、CA によって発行された署名付き ID 証明書を ASA デバイスにインストールできます。

次の図は、CSR を生成し、認証された発行済み証明書を ASA にインストールするワークフローを示しています。

CSR リクエストの生成

手順

ステップ 1

ナビゲーションバーで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

[ASA] タブをクリックして、ASA デバイスを選択します。

ステップ 4

単一の ASA デバイスに ID 証明書をインストールするには、次の手順を実行します。

ステップ 5

[Install(インストール)] をクリックします。

ステップ 6

[インストールするトラストポイント証明書の選択(Select Trustpoint Certificate to Install)] で、次のいずれかをクリックします。

ステップ 7

[送信(Send)] をクリックします。

未署名の証明書署名要求(CSR)が生成されます。

ステップ 8

コピーアイコン copy_icon.png をクリックして、CSR の詳細をコピーします。CSR リクエストは「.csr」ファイル形式でもダウンロードできます。

ステップ 9

[OK] をクリックします。

ステップ 10

証明書に署名するために、証明書署名要求(CSR)を認証局に送信します。

認証局によって発行された署名済みID 証明書のインストール

CA が署名付き証明書を発行したら、それを ASA デバイスにインストールします。

手順

ステップ 1

[トラストポイント(Trustpoint )] 画面で、[ステータス(Status)] が [署名付き証明書のインストールを待機中(Awaiting Signed Certificate Install)] の CSR 要求をクリックし、右側の [アクション(Actions) ] ペインで [認証済みID証明書のインストール(Install Certified ID Certificate)] をクリックします。

ステップ 2

CA から受信した署名付き証明書をアップロードします。ファイルをドラッグアンドドロップするか、その内容を所定のフィールドに貼り付けることができます。トラストポイントコマンドは、選択したトラストポイントに基づいて生成されます。

ステップ 3

[送信(Send)] をクリックします。

これにより、署名付きID 証明書が ASA デバイスにインストールされます。証明書をインストールすると、変更がすぐにデバイスに展開されます。

(注)  

 

複数の ASA デバイスに証明書をインストールすることもできます。複数の ASA デバイスを選択し、右側の [デバイスアクション(Devices Action)] で [証明書のインストール(Install Certificate)] をクリックします。

Cisco ASA の信頼できる証明書のインストール

始める前に

手順

ステップ 1

ナビゲーションメニューで、セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

[ASA] タブをクリックして、ASA デバイスを選択します。

ステップ 4

単一の ASA デバイスに ID 証明書をインストールするには、次の手順を実行します。

  1. ASA デバイスを選択し、右側の [管理] ペインで [トラストポイント] をクリックします。

  2. [Install(インストール)] をクリックします。

(注)  

 

複数の ASA デバイスに証明書をインストールすることもできます。複数の ASA デバイスを選択し、右側の [デバイスアクション(Devices Action)] で [証明書のインストール(Install Certificate)] をクリックします。

ステップ 5

[インストールするトラストポイント証明書の選択(Select Trustpoint Certificate to Install)] で、次のいずれかをクリックします。

ステップ 6

[送信(Send)] をクリックします。

これにより、信頼できる CA ファイルが ASA デバイスにインストールされます。

アイデンティティ証明書のエクスポート

キーペアと、トラストポイントに関連付けられている発行済み証明書は、PKCS12 形式または PEM 形式でエクスポートおよびインポートできます。この形式は、異なる ASA 上のトラストポイント コンフィギュレーションを手動でコピーする場合に便利です。

手順

ステップ 1

ナビゲーションメニューで、セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

[ASA] をクリックします。

ステップ 4

ASA デバイスを選択し、右側の [管理] で [トラストポイント] をクリックします。

ステップ 5

ID 証明書をクリックして証明書コンフィギュレーションをエクスポートします。または、検索フィールドに名前を入力することにより、証明書を検索することもできます。

ステップ 6

右側の [操作(Actions)] ペインで [証明書のエクスポート(Export Certificate)] をクリックします。

ステップ 7

[PKCS12 形式(PKCS12 Format)] または [PEM 形式(PEM Format)] をクリックすることにより、証明書の形式を選択します。

ステップ 8

PKCS12 ファイルをエクスポート用に暗号化するために使用する暗号化パスフレーズを入力します。

ステップ 9

暗号化パスフレーズを確認のために再入力します。

ステップ 10

[エクスポート(Export)] をクリックして、証明書コンフィギュレーションをエクスポートします。

情報ダイアログボックスが表示され、証明書コンフィギュレーション ファイルが指定の場所に正常にエクスポートされたことが示されます。

次のタスク

ダウンロードしたアイデンティティ証明書を表示するには、証明書をダウンロードしたディレクトリで以下のコマンドを実行します。
  1. 証明書を Base64 形式で復号化するには、次のコマンドを実行します。
    openssl base64 -d -in <file_name>.p12 -out <file_name>_b64.p12
  2. 証明書を表示するには、次のコマンドを実行します。 
    openssl pkcs12 -in <file_name>_b64.p12 -passin pass:<password>

インストールされた証明書の編集

インストールされている証明書の詳細オプションのみを変更できます。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

[ASA] タブをクリックします。

ステップ 4

ASA デバイスを選択し、右側の [管理] で [トラストポイント] をクリックします。

ステップ 5

変更する証明書をクリックし、右側の [アクション] ペインで [編集] をクリックします。

ステップ 6

該当するパラメータを変更し、[保存(Save)] をクリックします。

Cisco ASA からの既存証明書の削除

証明書は 1 つずつ削除できます。証明書を削除すると、復元できなくなります。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

ASA デバイスを選択し、右側の [管理(Management)] で [トラストポイント(Trustpoints)] をクリックします。

ステップ 3

変更する証明書をクリックし、右側の [アクション] ペインで [削除] をクリックします。

ステップ 4

[OK] をクリックして、選択した証明書を削除します。

ASA ファイルの管理

Security Cloud Control は、Cisco ASA デバイスのフラッシュ(disk0)スペースに存在するファイルの表示、アップロード、または削除などの基本的なファイル管理タスクの実行に役立つファイル管理ツールを提供します。


(注)  

disk1 に存在するファイルは管理できません。

[ファイル管理(File Management)] 画面には、デバイスのフラッシュ(disk0)に存在するすべてのファイルが一覧表示されます。ファイルが正常にアップロードされたら、更新アイコンをクリックして、そのファイルを表示できます。デフォルトでは、この画面は 10 分ごとに自動的に更新されます。[ディスク容量(Disk Space)] フィールドには、disk0 ディレクトリのディスク容量が表示されます。

AnyConnect イメージは、単一または複数の ASA デバイスにアップロードできます。アップロードが成功すると、AnyConnect イメージは、選択した ASA デバイスの RA VPN 設定に関連付けられます。これにより、容易に、新しくリリースされた AnyConnect パッケージを複数の ASA デバイスに同時にアップロードできます。

フラッシュシステムへのファイルのアップロード

Security Cloud Control は、リモートサーバーからの URL ベースのファイルのアップロードのみをサポートしています。ファイルのアップロードでサポートされているプロトコルは、HTTP、HTTPS、TFTP、FTP、SMB、および SCP です。AnyConnect ソフトウェアイメージ、DAP.xml、data.xml、ホスト スキャン イメージ ファイルなどの任意のファイルを単一または複数の ASA デバイスにアップロードできます。


(注)  

リモートサーバーの URL パスが無効である場合、または何らかの問題が発生した場合、Security Cloud Control は、選択された Cisco ASA デバイスにファイルをアップロードしません。詳細については、そのデバイスの [ワークフロー(Workflows)] に移動してください。

デバイスが高可用性向けに設定されている場合、Security Cloud Control は最初にスタンバイデバイスにファイルをアップロードします。アップロードが成功して初めて、アクティブデバイスにファイルがアップロードされます。ファイル削除プロセスでも同様に動作します。

ファイルのアップロード時にサポートされているプロトコルの構文:

プロトコル(Protocol)

構文

HTTP http://[[パス/ ]ファイル名] http://www.geonames.org/data-sources.html
HTTPS https://[[パス/ ]ファイル名] https://docs.aws.amazon.com/amazov/tagging.html
TFTP tftp://[[パス/ ]ファイル名] tftp://10.10.16.6/ftd/components.html
FTP ftp://[[ユーザー[:パスワード]@]サーバー[:ポート]/[パス/ ]ファイル名] ftp://'dlpuser:rNrKYTX9g7z3RgJRmxWuGHbeu'@ftp.dlptest.com/image0-000.jpg
SMB smb://[[パス/ ]ファイル名] smb://10.10.32.145//sambashare/hello.txt
SCP scp://[[ユーザー[:パスワード]@]サーバー[/パス]/ファイル名] scp://root:cisco123@10.10.16.6//root/events_send.py

はじめる前に

  • ASA デバイスからリモートサーバーにアクセスできることを確認します。

  • ファイルがすでにリモートサーバーにアップロードされていることを確認します。

  • ASA デバイスからそのサーバーへのネットワークルートがあることを確認します。

  • URL で FQDN が使用されている場合は、DNS が設定されていることを確認します。

  • リモートサーバーの URL は、認証を求めない直接リンクである必要があります。

  • リモートサーバーの IP アドレスが NAT 処理されている場合は、リモートサーバーのロケーションの NAT 処理済みパブリック IP アドレスを指定する必要があります。


(注)  

フェールオーバーでピアとして設定されている Cisco ASA にファイルをアップロードすると、Security Cloud Control ではフェールオーバーペアの他のピアに対する新しいファイルは確認されず、デバイスのステータスは [未同期(Not Synced)] に変わります。Security Cloud Control が両方のデバイスのファイルを認識できるようにするには、変更を両方のデバイスに手動で展開する必要があります。

単一の ASA デバイスへのファイルのアップロード

単一の ASA デバイスにファイルをアップロードするには、この手順を使用します。

手順

ステップ 1

ナビゲーションバーで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

[ASA] タブをクリックして、ASA デバイスを選択します。

ステップ 4

右側の [管理] ペインで、[ファイル管理(File Management)] をクリックします。使用可能なディスクスペースと ASA デバイスに存在するファイルが表示されます。

ステップ 5

右側の [アップロード] ボタンをクリックします。

ステップ 6

URL リンクで、ファイルが事前にアップロードされているサーバーのパスを指定します。[接続先パス(Destination Path)] フィールドには、disk0 ディレクトリにアップロードされるファイルの名前が表示されます。disk0 内の特定のディレクトリにファイルをアップロードする場合は、このフィールドでその名前を指定します。たとえば、dap.xml ファイルを「DAPFiles」ディレクトリにアップロードする場合は、フィールドで「disk0:/DAPFiles/dap.xml」と指定します。

(注)  

 

Security Cloud Control Cisco ASA CLI インターフェイスで dir コマンドを実行すると、disk0 フォルダに存在するディレクトリが表示されます。

ステップ 7

指定したサーバーパスが AnyConnect ファイルを指している場合、[ファイルを RA VPN 設定に関連付ける(Associate file with RA VPN Configuration)] チェックボックスがオンになります。:このチェック ボックスは、正しい命名規則(「anyconnect-win-xxx.pkg」、「anyconnect-linux-xxx.pkg」、または「anyconnect-mac-xxx.pkg」形式)に従う AnyConnect ファイル名に対してのみ有効です。このチェックボックスを選択すると、アップロードが成功した後、Security Cloud Control は AnyConnect ファイルを選択した Cisco ASA デバイスの RA VPN 設定に関連付けます。

ステップ 8

[アップロード(Upload)] をクリックします。Security Cloud Control は、デバイスにファイルをアップロードします。

ステップ 9

手順 5 で AnyConnect パッケージの RA VPN 設定との関連付けを選択した場合は、新しい RA VPN 設定を ASA デバイスに展開します

次のタスク

設定の変更をデバイスに展開する必要はありません。

複数の ASA デバイスへのファイルのアップロード

複数の ASA デバイスにファイルを同時にアップロードするには、この手順を使用します。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

[ASA] タブをクリックし、複数の ASA デバイスを選択して一括アップロードを実行します。

ステップ 4

右側の [デバイスアクション] ペインで、[ファイルのアップロード(Upload File)] をクリックします。注:[ファイルのアップロード(Upload File)] リンクは、ASA デバイスがオンラインの場合に表示されます。

ステップ 5

[URLリンク(URL link)]で、ファイルが事前にアップロードされているサーバーのパスを指定します。[接続先パス(Destination Path)] フィールドには、disk0 ディレクトリにアップロードされるファイルの名前が表示されます。disk0 内の特定のディレクトリにファイルをアップロードする場合は、このフィールドでその名前を指定します。たとえば、dap.xml ファイルを「DAPFiles」ディレクトリにアップロードする場合は、フィールドで「disk0:/DAPFiles/dap.xml」と指定します。

(注)  

 

Security Cloud Control Cisco ASA CLI インターフェイスで dir コマンドを実行すると、disk0 フォルダに存在するディレクトリが表示されます。

ステップ 6

指定したサーバーパスが AnyConnect ファイルを指している場合、[ファイルをRA VPN設定に関連付ける(Associate file with RA VPN Configuration)] チェックボックスがオンになります。

(注)  

 

このチェック ボックスは、正しい命名規則(「anyconnect-win-xxx.pkg」、「anyconnect-linux-xxx.pkg」、または「anyconnect-mac-xxx.pkg」形式)に従う AnyConnect ファイル名に対してのみ有効です。このチェックボックスを選択すると、アップロードが成功した後、Security Cloud Control は AnyConnect ファイルを選択した Cisco ASA デバイスの RA VPN 設定に関連付けます。

ステップ 7

[アップロード(Upload)] をクリックします。

ステップ 8

手順 4 で AnyConnect パッケージの RA VPN 設定との関連付けを選択した場合は、新しい RA VPN 設定を ASA デバイスに展開します

次のタスク

個々のデバイスのファイルのアップロードの進行状況を表示できます。ASA デバイスを選択し、右側の [管理] ペインで [ファイル管理(File Management)] をクリックします。ファイルのアップロードが進行中の場合は、操作が完了するまで待ちます。

設定の変更をデバイスに展開する必要はありません。

ASA からのファイルの削除

RA VPN 設定に関連付けられた AnyConnect ファイルを削除することはできません。対応する RA VPN 設定から AnyConnect ファイルの関連付けを解除してから、ファイル管理ツールからファイルを削除する必要があります。


(注)  

フェールオーバーでピアとして設定されている Cisco ASA にファイルをアップロードすると、Security Cloud Control はフェールオーバーペアの他のピアの新しいファイルを確認せず、デバイスのステータスは [未同期(Not Synced)] に変わります。Security Cloud Control が両方のデバイスのファイルを認識できるようにするには、変更を両方のデバイスに手動で展開する必要があります。

remove の操作は、選択したファイルをフラッシュメモリから完全に削除します。ファイルの削除時に確認を求めるメッセージが表示されます。選択した ASA デバイスからファイルを削除するには、次の手順を使用します。

手順

ステップ 1

ナビゲーションバーで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

[ASA] タブをクリックして、ASA デバイスを選択します。

ステップ 4

右側の [管理] ペインで、[ファイル管理(File Management)] をクリックします。

ステップ 5

削除するファイルを選択し、右側の [アクション] で [削除] をクリックします。最大 25 個のファイルを選択できます。Security Cloud Control が一部のファイルの削除に失敗した場合は、デバイスのワークフローを表示して、削除されたファイルと保持されたファイルを確認できます。

ステップ 6

AnyConnect パッケージの削除を選択した場合は、新しい RA VPN 設定を ASA デバイスに展開します

既存の高可用性構成による Cisco ASA の管理

アクティブ-アクティブ フェールオーバー モードの ASA に加えられた設定変更

Security Cloud Control)が Cisco ASA の実行構成を Security Cloud Control でステージングされた構成で変更する場合、または Security Cloud Control の構成を Cisco ASA に保存されている構成で変更する場合、CDO は、設定の変更部分が Security Cloud Control GUI で管理可能な場合、構成ファイルの関連する行のみを変更しようとします。Security Cloud Control GUI を使用して目的の構成変更を行うことができない場合、Security Cloud Control は構成ファイル全体を上書きして変更を加えようとします。

2 つの例を示します。

  • ネットワークオブジェクトは、Security Cloud Control GUI を使用して作成または変更できます。Security Cloud Control がその変更を Cisco ASA の設定に展開する必要がある場合、変更が発生したときに Cisco ASA の実行構成ファイルの関連する行が上書きされます。

  • Security Cloud Control GUI を使用して新しい Cisco ASA ユーザーを作成することはできません。Cisco ASA の ASDM または CLI を使用して新しいユーザーが ASA に追加された場合、そのアウトオブバンド変更が受け入れられ、Security Cloud Control が保存されているコンフィギュレーション ファイルを更新すると、Security Cloud ControlSecurity Cloud Control にステージングされているその ASA のコンフィギュレーション ファイル全体を上書きしようとします。

ASA がアクティブ-アクティブ フェールオーバー モードで設定されている場合、これらのルールは適用されません。Security Cloud Control がアクティブ-アクティブ フェールオーバー モードで設定された Cisco ASA を管理する場合、Security Cloud Control は常に、すべての設定変更をそれ自体から Cisco ASA に展開したり、すべての設定変更を Cisco ASA からそれ自体に読み込むとは限りません。これに該当する 2 つの例を次に示します。

  • Security Cloud ControlSecurity Cloud Control GUI でサポートしていない、Security Cloud Control で行われた Cisco ASA の設定ファイルへの変更は、Cisco ASA に展開できません。また、Security Cloud Control がサポートしていない設定ファイルに加えられた変更と、Security Cloud Control がサポートしている設定ファイルに加えられた変更の組み合わせは、Cisco ASA に展開できません。どちらの場合も、「Security Cloud Control は現時点でフェールオーバーモードのデバイスの完全な構成の置き換えをサポートしていません。[キャンセル] をクリックして、デバイスに手動で変更を適用してください。」というエラーメッセージを受け取ります。Security Cloud Control インターフェイスのメッセージとともに、無効になっている [構成の置換(Replace Configuration)] ボタンが表示されます。

  • アクティブ-アクティブ フェールオーバー モードで設定された Cisco ASA に加えられたアウトオブバンド変更は、Security Cloud Control によって拒否されません。Cisco ASA の実行構成にアウトオブバンド変更を加えると、Cisco ASA は [セキュリティデバイス(Security Devices)] ページで「競合が検出されました(Conflict Detected)」とマークされます。競合を確認して拒否しようとすると、Security Cloud Control はそのアクションをブロックします。「Security Cloud Control は、このデバイスのアウトオブバンド変更の拒否をサポートしていません。このデバイスは、サポートされていないソフトウェアバージョンを実行しているか、アクティブ/アクティブ フェールオーバー ペアのメンバーです。[続行] をクリックして、アウトオブバンド変更を受け入れてください。」というエラーメッセージを受け取ります。


注意    

Cisco ASA からのアウトオブバンド変更を受け入れることにした場合、Security Cloud Control でステージングされていて、まだ Cisco ASA に展開されていない設定変更はすべて上書きされ、失われます。

変更が Security Cloud Control GUI でサポートされている場合、Security Cloud Control は、フェールオーバーモードの Cisco ASA に加えられた設定変更をサポートします。

ASA での DNS の設定

次の手順を使用して、各 ASA でドメインネームサーバー(DNS)を設定します。

前提条件

  • ASA はインターネットにアクセスできる必要があります。

  • 開始する前に、次の情報を収集します。

    • DNS サーバーに到達できる ASA インターフェイスの名前。たとえば、inside、outside、dmz。

    • 組織で使用する DNS サーバーの IP アドレス。独自の DNS サーバーを保持していない場合は、Cisco Umbrella を使用できます。Cisco Umbrella の IP アドレスは 208.67.220.220 です。

手順

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

[ASA] タブをクリックし、DNS を設定するすべての ASA を選択します。

ステップ 4

右側の操作ウィンドウで、[コマンド ライン インターフェイス] を選択します。

ステップ 5

CLI マクロのお気に入りの星をクリックします。

ステップ 6

[マクロ] パネルで [DNSの設定] マクロを選択します。

ステップ 7

[>_パラメータを表示] を選択し、パラメータ列に以下のパラメータの値を入力します。

  • IF_Name:DNS サーバーに到達できる ASA インターフェイスの名前。

  • IP_ADDR: 組織で使用する DNS サーバーの IP アドレス。

ステップ 8

[デバイスに送信] をクリックします。

Security Cloud Control コマンドライン インターフェイス

Security Cloud Control は、ASA デバイスを管理するためのコマンド ライン インターフェイス(CLI)をユーザーに提供します。コマンドは、単一のデバイスに送信することも、複数のデバイスに同時に送信することも可能です。

コマンドライン インターフェイスの使用

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

コマンド ライン インターフェイス(CLI)を使用して管理するデバイスを見つけるには、デバイスタブとフィルタボタンを使用します。

ステップ 4

デバイスを選択します。

ステップ 5

[デバイスアクション(Device Actions)] ペインで、[>_コマンドラインインターフェイス(>_ Command Line Interface)] をクリックします。

ステップ 6

[コマンドラインインターフェイス(Command Line Interface)] タブをクリックします。

ステップ 7

コマンドペインにコマンドを入力して、[送信(Send)] をクリックします。コマンドに対するデバイスの応答は、「応答ペイン」の下に表示されます。

(注)  

 

実行できるコマンドに制限がある場合、それらの制限はコマンドペインの上に一覧表示されます。

コマンドラインインターフェイスでのコマンドの入力

1 つのコマンドを 1 行に入力することも、複数のコマンドを複数の行に連続して入力することもでいます。Security Cloud Control では、入力順にコマンドが実行されます。次の ASA の例では、3 つのネットワークオブジェクトと、それらのネットワークオブジェクトを含むネットワーク オブジェクト グループを作成するコマンドのバッチを送信します。

[ASAデバイスコマンドの入力(Entering {3} device Commands)]:Security Cloud Control は、ASA のグローバル コンフィギュレーション モードでコマンドを実行します。

長いコマンド:非常に長いコマンドを入力すると、Security Cloud Control は、コマンドを複数のコマンドに分割して、すべてのコマンドを API に対して実行できるようにします。コマンドの適切な区切りを Security Cloud Control が判断できない場合、コマンドリストを区切る箇所に関するヒントを求めるプロンプトが表示されます。次に例を示します。

エラー:Security Cloud Control は、600 文字を超える長さのこのコマンドの一部を実行しようとしました。コマンドリストを分割して間に追加の空行を挿入することで、適切なコマンド分離ポイントを Security Cloud Control に示すことができます。

このエラーが表示された場合:

手順

ステップ 1

[CLI履歴(CLI History)] ペインで、エラーの原因となったコマンドをクリックします。 Security Cloud Control は、コマンドの長いリストをコマンドボックスに入力します。

ステップ 2

関連するコマンドのグループの後に空行を挿入して、コマンドの長いリストを編集します。たとえば、上記の例のように、ネットワークオブジェクトのリストを定義し、それらをグループに追加した後に空の行を追加します。この作業を、コマンドリストのいくつかの箇所で実行することになる場合があります。

ステップ 3

[送信(Send)] をクリックします。

コマンド履歴での動作

CLI コマンドを送信すると、Security Cloud Control はそのコマンドを [コマンドラインインターフェイス(Command Line Interface)] ページの履歴ペインに記録します。履歴ペインに保存されたコマンドは、再実行することも、コマンドをテンプレートとして使用することもできます。

手順

ステップ 1

左側のペインで、セキュリティデバイス ページをクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

[>_コマンドラインインターフェイス(>_Command Line Interface)] をクリックします。

ステップ 5

履歴ペインがまだ展開されていない場合は、時計アイコン をクリックして展開します。

ステップ 6

[履歴(History)] ペインで変更または再送信するコマンドを選択します。

ステップ 7

コマンドをそのまま再利用するか、コマンドペインでコマンドを編集し、[送信(Send)] をクリックします。Security Cloud Control の応答ペインにコマンドの結果が表示されます。

(注)  

 

次の 2 つの状況で「完了しました(Done!)」というメッセージが Security Cloud Control の応答ペインに表示されます。

  • コマンドが正常に実行された後。

  • コマンドの返すべき結果が何もなかった場合。たとえば、設定エントリを検索する正規表現を含む show コマンドを発行したとします。正規表現の条件に一致する設定エントリがなかった場合、Security Cloud Control は「完了しました(Done!)」を返します。

一括コマンド ライン インターフェイス

Security Cloud Control では、コマンド ライン インターフェイス(CLI)を使用してSecure Firewall ASAFDM による管理脅威防御、SSH、および Cisco IOS デバイスを管理できます。コマンドは、単一のデバイスに送信することも、同じ種類の複数のデバイスに同時に送信することも可能です。このセクションでは、CLI コマンドを複数のデバイスに一度に送信する方法について説明します。

一括 CLI インターフェイス


(注)  

次の 2 つの状況で「完了しました(Done!)」というメッセージが Security Cloud Control に表示されます。

  • コマンドがエラーなしで正常に実行された後。

  • コマンドの返すべき結果が何もなかった場合。たとえば、特定の設定エントリを検索する正規表現を含む show コマンドを発行したとします。正規表現の条件に一致する設定エントリがなかった場合、Security Cloud Control は「完了しました(Done!)」を返します。

ケース

説明

1

コマンド履歴ペインを展開したり折りたたんだりするには、時計アイコンをクリックします。

2

コマンド履歴。コマンドを送信すると、Security Cloud Control はこの履歴ペインにコマンドを記録するので、コマンドをもう一度選択し、再度実行できます。

3

コマンドペイン。このペインのプロンプトにコマンドを入力します。

4

応答ペイン。Security Cloud Control は、コマンドに対するデバイスの応答と Security Cloud Control メッセージを表示します。複数のデバイスの応答が同じだった場合、応答ペインに「X デバイスの応答を表示しています(Showing Responses for X devices)」というメッセージが表示されます。[Xデバイス(X Devices)] をクリックすると、コマンドに対して同じ応答を返したすべてのデバイスが Security Cloud Control に表示されます。

(注)  

 

次の 2 つの状況で「完了しました(Done!)」というメッセージが Security Cloud Control に表示されます。

  • コマンドがエラーなしで正常に実行された後。

  • コマンドの返すべき結果が何もなかった場合。たとえば、特定の設定エントリを検索する正規表現を含む show コマンドを発行したとします。正規表現の条件に一致する設定エントリがなかった場合、Security Cloud Control は「完了しました(Done!)」を返します。

5

[マイリスト(My List)] タブには、[セキュリティデバイス] テーブルから選択したデバイスが表示されます。このタブで、コマンドの送信先デバイスを含めたり、除外したりできます。

[6]

上の図で強調表示されている [実行(Execution)] タブには、履歴ペインで選択されているコマンドの対象デバイスが表示されます。この例では、履歴ペインで show run | grep user コマンドが選択され、[実行(Execution)] タブに、10.82.109.160、10.82.109.181、および 10.82.10.9.187 に送信されたことが表示されます。

7

[応答別(By Response)] タブをクリックすると、コマンドによって生成された応答のリストが表示されます。同一の応答は 1 行にグループ化されます。[応答別(By Response)] タブで行を選択すると、Security Cloud Control はそのコマンドへの応答を応答ペインに表示します。

8

[デバイス別(By Device)] タブをクリックすると、各デバイスからの個別の応答が表示されます。リスト内のいずれかのデバイスをクリックすると、特定のデバイスからのコマンドへの応答を表示できます。

コマンドの一括送信

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

コマンド ライン インターフェイスを使用して設定するデバイスを見つけるには、適切なデバイスタブを選択し、フィルタボタンを使用します。

ステップ 4

デバイスを選択します。

ステップ 5

[デバイスアクション(Device Actions)] ペインで、[>_コマンドラインインターフェイス(>_ Command Line Interface)] をクリックします。

ステップ 6

[マイリスト(My List)] フィールドで、コマンドを送信するデバイスをオンまたはオフにすることができます。

ステップ 7

コマンドペインにコマンドを入力して、[送信(Send)] をクリックします。コマンド出力が応答ペインに表示されます。コマンドは変更ログに記録され、Security Cloud Control コマンドはコマンドを [一括CLI(Bulk CLI)] ウィンドウの [履歴(History)] ペインに記録します。

(注)  

 

コマンドは、同期されている選択された ASA デバイスでは成功しますが、同期されていないデバイスでは失敗する場合があります。選択した ASA デバイスのいずれかが同期されていない場合、次のコマンドのみが許可されます。show、ping、traceroute、vpn-sessiondb、changeto、dir、write、copy

一括コマンド履歴での動作

一括 CLI コマンドを送信すると、Security Cloud Control がそのコマンドを [一括CLIページ(Bulk CLI page)] の履歴ページに記録します。一括 CLI インターフェイス履歴ペインに保存されたコマンドは、再実行することも、コマンドをテンプレートとして使用することもできます。履歴ペインのコマンドは、それらが実行された元のデバイスに関連付けられています。

手順

ステップ 1

ナビゲーションウィンドウで、セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックし、フィルタアイコンをクリックして、設定するデバイスを見つけます。

ステップ 4

デバイスを選択します。

ステップ 5

[コマンドラインインターフェイス(Command Line Interface)] をクリックします。

ステップ 6

[履歴(History)] ペインで変更または再送信するコマンドを選択します。選択したコマンドは特定のデバイスに関連付けられており、最初のステップで選択したものとは限らないことに注意してください。

ステップ 7

[マイリスト(My List)] タブを見て、送信しようとしているコマンドが対象のデバイスに送信されることを確認します。

ステップ 8

コマンドペインでコマンドを編集し、[送信(Send)] をクリックします。Security Cloud Control の応答ペインにコマンドの結果が表示されます。

(注)  

 

コマンドは、同期されている選択された ASA デバイスでは成功しますが、同期されていないデバイスでは失敗する場合があります。選択した ASA デバイスのいずれかが同期されていない場合、次のコマンドのみが許可されます。show、ping、traceroute、vpn-sessiondb、changeto、dir、write、copy

一括コマンドフィルタでの動作

一括 CLI コマンドを実行後、[応答別(By Response)] フィルタと [デバイス別(By Device)] フィルタを使用して、デバイスの設定を続行できます。

応答別フィルタ

一括コマンドの実行後、Security Cloud Control は [応答別(By Response)] タブに、コマンドを送信したデバイスから返された応答のリストを入力します。同じ応答のデバイスは 1 行にまとめられます。[応答別(By Response)] タブの行をクリックすると、応答ペインにデバイスからの応答が表示されます。応答ペインに複数のデバイスの応答が表示される場合、「X デバイスの応答を表示しています(Showing Responses for X devices)」というメッセージが表示されます。[X デバイス(X Devices)] をクリックすると、コマンドに対して同じ応答を返したすべてのデバイスが Security Cloud Control に表示されます。

コマンド応答に関連付けられたデバイスのリストにコマンドを送信するには、次の手順に従います。

手順

ステップ 1

[応答別(By Response)] タブの行にあるコマンドシンボルをクリックします。

ステップ 2

コマンドペインでコマンドを確認し、[送信(Send)] をクリックしてコマンドを再送信するか、[クリア(Clear)] をクリックしてコマンドペインをクリアし、新しいコマンドを入力してデバイスに送信してから、[送信(Send)] をクリックします。

ステップ 3

コマンドから受け取った応答を確認します。

ステップ 4

選択したデバイスの実行コンフィギュレーション ファイルに変更が反映されていることが確実な場合は、コマンドペインに write memory と入力し、[送信(Send)] をクリックします。この操作により、実行コンフィギュレーションがスタートアップ コンフィギュレーションに保存されます。

デバイス別フィルタ

一括コマンドの実行後、Security Cloud Control は [実行(Execution)] タブと [デバイス別(By Device)] タブに、コマンドを送信したデバイスのリストを入力します。[デバイス別(By Device)] タブの行をクリックすると、各デバイスの応答が表示されます。

同じデバイスリストでコマンドを実行するには、次の手順に従います。

手順

ステップ 1

[デバイス別(By Device)] タブをクリックします。

ステップ 2

[>_これらのデバイスでコマンドを実行(>_Execute a command on these devices)] をクリックします。

ステップ 3

[クリア(Clear)] をクリックしてコマンドペインをクリアし、新しいコマンドを入力します。

ステップ 4

[マイリスト(My List)] ペインで、リスト内の個々のデバイスを選択または選択解除して、コマンドを送信するデバイスのリストを指定します。

ステップ 5

[送信(Send)] をクリックします。コマンドへの応答が応答ペインに表示されます。応答ペインに複数のデバイスの応答が表示される場合、「X デバイスの応答を表示しています(Showing Responses for X devices)」というメッセージが表示されます。[Xデバイス(X Devices)] をクリックすると、コマンドに対して同じ応答を返したすべてのデバイスが Security Cloud Control に表示されます。

ステップ 6

選択したデバイスの実行コンフィギュレーション ファイルに変更が反映されていることが確実な場合は、コマンドペインに write memory と入力し、[送信(Send)] をクリックします。

コマンド ライン インターフェイス マクロ

CLI マクロは、すぐに使用できる完全な形式の CLI コマンド、または実行前に変更できる CLI コマンドのテンプレートです。すべてのマクロは、1 つ以上の ASA デバイスで同時に実行できます。

テンプレートに似た CLI マクロを使用して、複数のデバイスで同じコマンドを同時に実行します。CLI マクロは、デバイスの設定と管理の一貫性を促進します。完全な形式の CLI マクロを使用して、デバイスに関する情報を取得します。ASA デバイスですぐに使用できるさまざまな CLI マクロがあります。

頻繁に実行するタスクを監視するための CLI マクロを作成できます。詳細については、「CLI マクロの作成」を参照してください。

CLI マクロは、システム定義またはユーザー定義です。システム定義マクロは Security Cloud Control によって提供され、編集も削除もできません。ユーザー定義マクロはユーザーが作成し、編集または削除できます。


(注)  

デバイスが Security Cloud Control にオンボードされた後にのみ、デバイスのマクロを作成できます。

例として ASA を使用すると、いずれかの ASA で特定のユーザーを検索する場合は、次のコマンドを実行できます。

show running-config | grep username

このコマンドを実行すると、検索しているユーザーのユーザー名が username に置き換わります。このコマンドからマクロを作成するには、同じコマンドを使用して、username を中括弧で囲みます。

パラメータには任意の名前を付けることができ、そのパラメータ名で同じマクロを作成することもできます。

パラメータ名は説明的な名前にでき、英数字と下線を使用する必要があります。この場合、コマンドシンタックスは次のようになります。 
show running-config | grep
コマンドの一部として、コマンドの送信先のデバイスに適した CLI シンタックスを使用する必要があります。

新規コマンドからの CLI マクロの作成

手順

ステップ 1

CLI マクロを作成する前に Security Cloud Control のコマンド ライン インターフェイスでコマンドをテストして、コマンドの構文が正しく、信頼できる結果が返されることを確認します。

(注)  

 

ステップ 2

左側のペインで セキュリティデバイス をクリックします。

ステップ 3

[デバイス(Devices)] タブをクリックしてデバイスを見つけます。

ステップ 4

適切なデバイスタイプのタブをクリックし、オンラインかつ同期されているデバイスを選択します。

ステップ 5

[>_コマンドラインインターフェイス(>_Command Line Interface)] をクリックします。

ステップ 6

CLI マクロのお気に入りのスター をクリックして、すでに存在するマクロを確認します。

ステップ 7

プラスボタン をクリックします。

ステップ 8

マクロに一意の名前を指定します。必要に応じて、CLI マクロの説明とメモを入力します。

ステップ 9

[コマンド(Command)] フィールドにコマンドを入力します。

ステップ 10

コマンドの実行時に変更したいコマンドの部分を、中括弧で囲まれたパラメータ名に置き換えます。

ステップ 11

[作成(Create)] をクリックします。作成したマクロは、最初に指定したデバイスだけでなく、そのタイプのすべてのデバイスで使用できます。

コマンドを実行するには、『デバイスでの CLI マクロの実行』を参照してください。

CLI 履歴または既存の CLI マクロからの CLI マクロの作成

この手順では、すでに実行したコマンド、別のユーザー定義マクロ、またはシステム定義マクロからユーザー定義マクロを作成します。

手順

ステップ 1

左側のペインで [インベントリ(Inventory)]セキュリティデバイスをクリックします。

(注)  

 

CLI 履歴からユーザー定義マクロを作成する場合は、コマンドを実行したデバイスを選択します。CLI マクロは、同じアカウントのデバイス間で共有されますが、CLI 履歴は共有されません。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックし、オンラインかつ同期されているデバイスを選択します。

ステップ 4

[>_コマンドラインインターフェイス(>_Command Line Interface)] をクリックします。

ステップ 5

CLI マクロを作成するコマンドを見つけて選択します。次のいずれかの方法を使用してください。

  • クロック をクリックして、そのデバイスで実行したコマンドを表示します。マクロに変換するコマンドを選択すると、コマンドペインにそのコマンドが表示されます。

  • CLI マクロのお気に入りのスター をクリックして、すでに存在するマクロを確認します。変更するユーザー定義またはシステム定義の CLI マクロを選択します。コマンドがコマンドペインに表示されます。

ステップ 6

コマンドがコマンドペインに表示された状態で、CLI マクロの金色の星 をクリックします。このコマンドが、新しい CLI マクロの基礎になります。

ステップ 7

マクロに一意の名前を指定します。必要に応じて、CLI マクロの説明とメモを入力します。

ステップ 8

[コマンド(Command)] フィールドのコマンドを確認し、必要な変更を加えます。

ステップ 9

コマンドの実行時に変更したいコマンドの部分を、中括弧で囲まれたパラメータ名に置き換えます。

ステップ 10

[作成(Create)] をクリックします。作成したマクロは、最初に指定したデバイスだけでなく、そのタイプのすべてのデバイスで使用できます。

コマンドを実行するには、CLI マクロの実行を参照してください。

CLI マクロの実行

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックし、1 つ以上のデバイスを選択します。

ステップ 4

[>_コマンドラインインターフェイス(>_Command Line Interface)] をクリックします。

ステップ 5

コマンドパネルで、スター をクリックします。

ステップ 6

コマンドパネルから CLI マクロを選択します。

ステップ 7

次のいずれかの方法でマクロを実行します。

  • 定義するパラメータがマクロに含まれていない場合は、[送信(Send)] をクリックします。コマンドへの応答が応答ペインに表示されます。これで完了です。

  • マクロにパラメータが含まれている場合(下の Configure DNS マクロなど)、[>_ パラメータの表示(>_ View Parameters)] をクリックします。

ステップ 8

[パラメータ(Parameters)] ペインで、パラメータの値を [パラメータ(Parameters)] の各フィールドに入力します。

ステップ 9

[送信(Send)] をクリックします。Security Cloud Control が正常にコマンドを送信し、デバイスの構成を更新すると、「完了(Done!)」というメッセージが表示されます。

  • ASA の場合は、実行コンフィギュレーションが更新されます。

ステップ 10

コマンドを送信した後で、「一部のコマンドが実行コンフィギュレーションに変更を加えた可能性があります」というメッセージが 2 つのリンクとともに表示されることがあります。

  • [ディスクへの書き込み(Write to Disk)] をクリックすると、このコマンドによって加えられた変更と、実行コンフィギュレーションのその他の変更がデバイスのスタートアップ構成に保存されます。

  • [取り消す(Dismiss)] をクリックすると、メッセージが取り消されます。

CLI マクロの編集

ユーザー定義の CLI マクロは編集できますが、システム定義のマクロは編集できません。CLI マクロを編集すると、すべての ASA デバイスでマクロが変更されます。マクロは特定のデバイス固有のものではありません。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

デバイスを選択します。

ステップ 5

[コマンドラインインターフェイス(Command Line Interface)] をクリックします。

ステップ 6

編集するユーザー定義マクロを選択します。

ステップ 7

マクロラベルの編集アイコンをクリックします。

ステップ 8

[マクロの編集(Edit Macro)] ダイアログボックスで CLI マクロを編集します。

ステップ 9

[保存(Save)] をクリックします。

CLI マクロの実行方法については、「CLI マクロの実行」を参照してください。

CLI マクロの削除

ユーザー定義の CLI マクロは削除できますが、システム定義のマクロは削除できません。CLI マクロを削除すると、すべてのデバイスでマクロが削除されます。マクロは特定のデバイス固有のものではありません。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

デバイスを選択します。

ステップ 5

[コマンドラインインターフェイス(Command Line Interface)] をクリックします。

ステップ 6

削除するユーザー定義 CLI マクロを選択します。

ステップ 7

CLI マクロラベルのゴミ箱アイコン をクリックします。

ステップ 8

CLI マクロを削除することを確認します。

Security Cloud Control CLI を使用した Cisco ASA の設定

Security Cloud Control で提供される CLI インターフェイスで CLI コマンドを実行して、ASA デバイスを設定できます。このインターフェイスを使用するには、[セキュリティデバイス(Security Devices)] をクリックし、デバイスを選択して、[コマンド ライン インターフェイス(Command Line Interface)] をクリックします。詳細については、「Security Cloud Control コマンドライン インターフェイスの使用」を参照してください。

新しいロギングサーバーの追加

システム ロギングは、デバイスから syslog デーモンを実行するサーバへのメッセージを収集する方法です。中央 syslog サーバへロギングは、ログおよびアラートの集約に役立ちます。

詳細については、実行している ASA バージョンの『CLI Book1: Cisco ASA Series General Operations CLI Configuration Guide』に含まれる「Logging」の章にある「Monitoring」セクションを参照してください。

DNS サーバーの設定

DNS サーバーを設定して、ASA がホスト名を IP アドレスに解決できるようにする必要があります。また、アクセス ルールに完全修飾ドメイン名(FQDN)ネットワーク オブジェクトを使用するように、DNS サーバーを設定する必要があります。

詳細については、実行している ASA バージョンの『CLI Book1: Cisco ASA Series General Operations CLI Configuration Guide』に含まれる「Basic Settings」の章の「Configure the DNS Server」セクションを参照してください。

スタティックルートとデフォルトルートの追加

接続されていないホストまたはネットワークにトラフィックをルーティングするには、スタティックルーティングとダイナミックルーティングのどちらかを使用して、ホストまたはネットワークへのルートを定義する必要があります。

詳細については、『CLI Book1: Cisco ASA Series General Operations CLI Configuration Guide』の「Static and Default Routes」の章を参照してください。

インターフェイスの設定

CLI コマンドを使用して、管理インターフェイスとデータインターフェイスを設定できます。詳細については、『CLI Book1: Cisco ASA Series General Operations CLI Configuration Guide』の「Basic Interface Configuration」の章を参照してください。

Security Cloud Control を使用した Cisco ASA 設定の比較

2 つの ASA の構成を比較するには、次の手順を実行します。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして ASA デバイスを見つけるか、[テンプレート(Templates)] タブをクリックして ASA モデルデバイスを見つけます。

ステップ 3

[ASA] タブをクリックします。

ステップ 4

比較するデバイスを見つけるためにデバイスリストをフィルタ処理します。

ステップ 5

2 つの ASA を選択します。それらのステータスは重要ではありません。Security Cloud Control に保存されている Cisco ASA の設定を比較しようとしています。

ステップ 6

右側の [デバイスアクション(Device Actions)] ペインで、 [比較(Compare)] をクリックします。

ステップ 7

[構成の比較(Comparing Configurations)] ダイアログで、[次へ(Next)] および [前へ(Previous)] をクリックして、構成ファイル内の青色で強調表示されている相違点をスキップします。

ASA バルク CLI の使用例

次は、Cisco ASA デバイスに対して Security Cloud Control のバルク CLI 機能を使用するときに発生する可能性のあるワークフローの例です。

ASA の実行コンフィギュレーションですべてのユーザーを表示し、いずれかのユーザーを削除する

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけます。

ステップ 3

[ASA] タブをクリックします。

ステップ 4

ユーザーを削除するデバイスのデバイスリストを検索およびフィルタ処理し、デバイスを選択します。

(注)  

 

選択したデバイスが同期されていることを確認してください。デバイスが同期されていない場合、次のコマンドのみが許可されます。show、ping、traceroute、vpn-sessiondb、changeto、dir、copy、および write

ステップ 5

詳細ペインで [>_コマンドラインインターフェイス(>_Command Line Interface)] をクリックします 。Security Cloud Control には、[マイリスト(My List)]ペインで選択したデバイスが一覧表示されます。少数のデバイスにコマンドを送信する場合は、そのリストにあるデバイスのチェックを外します。

ステップ 6

コマンドペインで、show run | grep user と入力し、[送信(Send)] をクリックします。文字列 user を含む実行コンフィギュレーション ファイルのすべての行が、応答ペインに表示されます。[実行(Execution)] タブが開き、コマンドが実行されたデバイスが表示されます。

ステップ 7

[応答別(By Response)] タブをクリックし、応答を確認して、削除するユーザーが含まれているデバイスを確認します。

ステップ 8

[マイリスト(My List)] タブをクリックし、ユーザーを削除するデバイスのリストを選択します。

ステップ 9

コマンドペインで、user コマンドの no 形式を入力して user2 を削除し、[送信(Send)] をクリックします。この例では、user2 を削除します。

no user user2 password reallyhardpassword privilege 10

ステップ 10

ユーザー名の検索に使用した、show run | grep user コマンドのインスタンスの履歴パネルを確認します。このコマンドを選択し、[実行(Execution )] リストでデバイスのリストを確認して、[送信(Send)] を選択します。指定したデバイスからユーザー名が削除されたことがわかります。

ステップ 11

実行コンフィギュレーションから正しいユーザーを削除し、実行コンフィギュレーションに残っているユーザーが正しいことを確認したら、次の手順を実行します。

  1. 履歴ペインから no user user2 password reallyhardpassword privilege 10 コマンドを選択します。

  2. [デバイス別(By Device)] タブをクリックし、[これらのデバイスでコマンドを実行(Execute a command on these devices)] をクリックします。

  3. コマンドペインで、[クリア(Clear)] をクリックしてコマンドペインをクリアします。

  4. deploy memory コマンドを入力し、[送信(Send)] をクリックします。

選択した ASA 上のすべての SNMP 設定を見つける

この手順で、ASA の実行コンフィギュレーションにあるすべての SNMP 構成エントリを表示できます。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけます。

ステップ 3

[ASA] タブをクリックします。

ステップ 4

実行コンフィギュレーションの SNMP 構成を分析するデバイスをフィルタ処理して検索し、それらを選択します。

(注)  

 

選択したデバイスが同期されていることを確認してください。デバイスが同期されていない場合、次のコマンドのみが許可されます。show、ping、traceroute、vpn-sessiondb、changeto、および dir

ステップ 5

詳細ペインで、[>_コマンドラインインターフェイス(>_Command Line Interface)] をクリックします。選択したデバイスは [マイリスト(My List)] ペインに表示されます。少数のデバイスにコマンドを送信する場合は、そのリストにあるデバイスのチェックを外します。

ステップ 6

コマンドペインで、show run | grep snmp と入力し、[送信(Send)] をクリックします。文字列 snmp を含む実行コンフィギュレーション ファイルのすべての行が、応答ペインに表示されます。[実行(Execution)] タブが開き、コマンドが実行されたデバイスが表示されます。

ステップ 7

応答ペインでコマンド出力を確認します。

ASA コマンド ライン インターフェイスのドキュメント

Security Cloud Control は、ASA コマンド ライン インターフェイスをフルサポートしています。ユーザーが単一のデバイスおよび複数のデバイスに同時に ASA コマンドを送信できるように、Security Cloud Control ではターミナル型のインターフェイスを提供しています。ASA コマンド ライン インターフェイスのドキュメントは内容豊富です。Security Cloud Control ドキュメントの中でその一部を再作成することはしていません。Cisco.com の ASA CLI ドキュメントへのポインタを次に示します。

ASA コマンド ライン インターフェイス構成ガイド

ASA バージョン 9.1 以降、ASA CLI 構成ガイドは 3 部に分かれています。

  • CLI ブック 1:Cisco ASA シリーズ CLI 構成ガイド(一般的な操作)

  • CLI ブック 2:Cisco ASA シリーズ ファイアウォール CLI 構成ガイド

  • CLI ブック 3:Cisco ASA シリーズ VPN CLI 構成ガイド

[サポート] > [製品カテゴリ] > [セキュリティ] > [ファイアウォール] > [ASA 5500] > [設定] > [構成ガイド]https://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-installation-and-configuration-guides-list.htmlに移動すると、Cisco.com の ASA CLI 構成ガイドにアクセスできます。

ASA コマンド ライン インターフェイス構成ガイドに含まれるいくつかの特定のセクション

show コマンドと more コマンドの出力のフィルタ処理『CLI ブック 1:Cisco ASA シリーズ CLI 構成ガイド(一般的な操作)』の「show コマンドと more コマンドの出力のフィルタ処理」では、正規表現を使用した show コマンド出力のフィルタ処理について学習できます。

ASA コマンドリファレンス

ASA コマンドリファレンスガイドでは、すべての ASA コマンドとそのオプションがアルファベット順でリストになっています。ASA コマンドリファレンスはバージョン固有ではありません。次の 4 部が公開されています。

  • Cisco ASA シリーズ コマンド リファレンス、A ~ H コマンド

  • Cisco ASA シリーズ コマンドリファレンス、I ~ R コマンド

  • Cisco ASA シリーズ コマンド リファレンス、S コマンド

  • Cisco ASA シリーズ コマンド リファレンス、T ~ Z コマンドおよび ASASM 用 IOS コマンド

[サポート] > [製品カテゴリ] > [セキュリティ] > [ファイアウォール] > [ASA 5500] > [リファレンスガイド] > [コマンドリファレンス] > [ASAコマンドリファレンス]https://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-command-reference-list.html#anchor325に移動すると、Cisco.com の ASA コマンドリファレンスガイドにアクセスできます。

Security Cloud Control CLI コマンドの結果のエクスポート

スタンドアロンデバイスまたは複数のデバイスに発行された CLI コマンドの結果をコンマ区切り値(.csv)ファイルにエクスポートして、必要に応じて情報をフィルタリングおよび並べ替えることができます。単一のデバイスまたは多数のデバイスの CLI 結果を一度にエクスポートできます。エクスポートされた情報には、次のものが含まれます。

  • デバイス

  • 日付

  • ユーザー

  • コマンド

  • 出力

CLI コマンドの結果のエクスポート

コマンドウィンドウで実行したコマンドの結果を .csv ファイルにエクスポートできます。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つまたは複数のデバイスを選択してハイライトします。

ステップ 5

デバイスの [デバイスアクション(Device Actions)] ペインで、>_ [コマンドラインインターフェイス(Command Line Interface)] をクリックします。

ステップ 6

[コマンドラインインターフェイス(Command Line Interface)] ペインでコマンドを入力し、[送信(Send)] をクリックしてデバイスに送ります。

ステップ 7

入力されたコマンドのウィンドウの右側で、エクスポートアイコン をクリックします。

ステップ 8

.csv ファイルにわかりやすい名前を付け、ファイルをローカルファイルシステムに保存します。.csv ファイル上のコマンド出力を読み取る場合、すべてのセルを展開して、コマンドのすべての結果を表示します。

CLI マクロの結果のエクスポート

コマンドウィンドウで実行されたマクロの結果をエクスポートできます。次の手順で、1 つまたは複数のデバイスで実行された CLI マクロの結果を .csv ファイルにエクスポートします。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つまたは複数のデバイスを選択してハイライトします。

ステップ 5

デバイスの [デバイスアクション(Device Actions)] ペインで、>_ [コマンドラインインターフェイス(Command Line Interface)] をクリックします。

ステップ 6

CLI ウィンドウの左側のペインで、CLI マクロのお気に入りを示す星を選択します。

ステップ 7

エクスポートするマクロコマンドをクリックします。適切なパラメータを入力し、[送信(Send)] をクリックします。

ステップ 8

入力されたコマンドのウィンドウの右側で、エクスポートアイコン をクリックします。

ステップ 9

.csv ファイルにわかりやすい名前を付け、ファイルをローカルファイルシステムに保存します。.csv ファイル上のコマンド出力を読み取る場合、すべてのセルを展開して、コマンドのすべての結果を表示します。

CLI コマンド履歴のエクスポート

次の手順を使用して、1 つまたは複数のデバイスの CLI 履歴を .csv ファイルにエクスポートします。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つまたは複数のデバイスを選択してハイライトします。

ステップ 5

デバイスの [デバイスアクション(Device Actions)] ペインで、[>_コマンドラインインターフェイス(>_Command Line Interface)] をクリックします。

ステップ 6

履歴ペインがまだ展開されていない場合は、[時計(Clock)] アイコン をクリックして展開します。

ステップ 7

入力されたコマンドのウィンドウの右側で、エクスポートアイコン をクリックします。

ステップ 8

.csv ファイルにわかりやすい名前を付け、ファイルをローカルファイルシステムに保存します。.csv ファイル上のコマンド出力を読み取る場合、すべてのセルを展開して、コマンドのすべての結果を表示します。

CLI マクロのリストをエクスポートする

コマンドウィンドウで実行されたマクロのみをエクスポートできます。次の手順で、1 つまたは複数のデバイスの CLI マクロを .csv ファイルにエクスポートします。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つまたは複数のデバイスを選択してハイライトします。

ステップ 5

デバイスの [デバイス アクション] ペインで、[>_コマンドラインインターフェイス(>_Command Line Interface)] をクリックします。

ステップ 6

CLI ウィンドウの左側のペインで、CLI マクロのお気に入りを示す星を選択します。

ステップ 7

エクスポートするマクロコマンドをクリックします。適切なパラメータを入力し、[送信(Send)] をクリックします。

ステップ 8

入力されたコマンドのウィンドウの右側で、エクスポートアイコン をクリックします。

ステップ 9

.csv ファイルにわかりやすい名前を付け、ファイルをローカルファイルシステムに保存します。

ASA 設定の復元

ASA の設定を変更し、その変更を元に戻したい場合は、ASA の過去の設定を復元できます。これは、予期しない、または望ましくない結果をもたらした構成変更を削除する便利な方法です。

ASA の設定の復元について

設定を復元する前に、次の注意事項を確認してください。

  • Security Cloud Control は、復元することを選択した設定を、ASA に展開されている最後に認識された設定と比較します。ステージングされていても ASA に展開されていない設定とは比較しません。ASA に展開されていない変更がある場合に、以前の設定を復元すると、展開されていない変更は、復元プロセスによって上書きされて失われます。

  • ASA は [同期(Synced)] または [非同期(Not Synced)] の状態になっている可能性がありますが、デバイスが [競合が検出されました(Conflict Detected)] の状態の場合、過去の設定を復元する前に、競合を解決する必要があります。

  • 過去の設定を復元すると、それまでに展開されたすべての設定変更が上書きされます。たとえば、以下のリストにある 2023 年 1 月 31 日の設定を復元すると、2023 年 2 月 15 日に行われた設定変更が上書きされます。

  • [次へ(Next)] および [前へ(Previous)] ボタンをクリックすると、構成ファイル内を移動し、構成ファイルの変更が強調表示されます

  • 設定変更に最初に適用した変更リクエストラベルは、[設定の復元(Restore Configuration)] リストに表示されます。

図 1. ASA 設定の復元画面

ASA 設定の復元画面

設定の変更はどのくらいの期間保持されますか?

1 年以内の ASA の設定を復元できます。Security Cloud Control は変更ログに記録された設定変更を復元します。変更ログには、設定変更が ASA に書き込まれたり、そこから読み取られたりするたびに変更が記録されます。Security Cloud Control は 1 年分の変更ログを保存し、前年内に作成されたバックアップの数に制限はありません。

ASA 設定の復元

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[ASA] タブをクリックします。

ステップ 3

設定を復元する ASA を選択します。

ステップ 4

[管理(Management)] ペインで、[復元(Restore)] をクリックします。

ステップ 5

[復元(Restore)] ペインで、復元する設定を選択します。

たとえば、上の図では、2023 年 1 月 31 日の設定が選択されています。

ステップ 6

Security Cloud Control によって検証された最新の実行設定」と「<date> から選択された設定」を比較して、[<date> から選択された設定(Selected Configuration from <date>)] ウィンドウに表示されている設定を復元することを確認します。[前へ(Previous)] と [次へ(Next)] を使用して、すべての変更を比較します。

ステップ 7

[復元(Restore)] をクリックします。これにより、Security Cloud Control の設定がステージングされます。[セキュリティデバイス(Security Devices)] ページに、デバイスの設定ステータスが [非同期(Not Synced)] と表示されます。

ステップ 8

右側のペインで [変更の展開 ...(Deploy Changes...)] をクリックして変更を展開し、Cisco ASA を同期させます。

トラブルシューティング

保持したかったのに失ってしまった変更を回復するには、どうすればよいですか。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[ASA] タブをクリックします。

ステップ 4

必要なデバイスを選択します。

ステップ 5

右側のペインで [変更ログ(Change Log)] をクリックします。

ステップ 6

変更ログで変更を確認します。それらの記録から、失われた設定を再構築できる可能性があります。

ASA および Cisco IOS デバイス構成ファイルの管理

ASA および Cisco IOS デバイスなど、一部のタイプのデバイスでは、設定が 1 つのファイルに保存されます。それらのデバイスの場合、Security Cloud Control で構成ファイルを確認し、さまざまな操作を実行できます。

デバイスの構成ファイルを表示する

Cisco ASA、SSH 管理対象デバイス、Cisco IOS を実行しているデバイスなど、構成全体を 1 つの構成ファイルに保存するデバイスの場合、Security Cloud Control を使用して構成ファイルを表示できます。


(注)  

SSH 管理対象デバイスと Cisco IOS デバイスには読み取り専用の設定があります。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

設定を表示するデバイスまたはモデルを選択します。

ステップ 5

右側の [管理(Management] ペインで、[設定(Configuration)] をクリックします。

完全な構成ファイルが表示されます。

完全なデバイス設定ファイルの編集

ASA など、一部のタイプのデバイスは、設定を 1 つの構成ファイルに保存します。これらのデバイスの場合、Security Cloud Control でデバイス構成ファイルを表示し、デバイスに応じてさまざまな操作を実行できます。

現在、Security Cloud Control を使用して直接編集できるのは Cisco ASA 構成ファイルのみです。


注意    

この手順は、デバイスの構成ファイルのシンタックスに精通している上級ユーザーを対象としています。この手法では、Security Cloud Control に保存されている構成ファイルのコピーに直接変更を加えます。

手順

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[ASA] タブをクリックします。

ステップ 4

構成を編集するデバイスを選択します。

ステップ 5

右側の [管理(Management] ペインで、[構成(Configuration)] をクリックします。

ステップ 6

[デバイスの構成(Device Configuration)] ページで、[編集(Edit)] をクリックします。

ステップ 7

右側のエディターボタンをクリックして、既定のテキストエディタ(Vim または Emacs テキストエディタ)を選択します。

ステップ 8

ファイルを編集し、変更を保存します。

ステップ 9

[セキュリティデバイス(Security Devices)] ページに戻り、変更をプレビューして展開します。

デバイス設定変更について

デバイスを管理するために、Security Cloud Control は、デバイスの設定のコピーを独自のデータベースに保存する必要があります。Security Cloud Control は、管理対象デバイスから設定を「読み取る」とき、デバイス設定のコピーを作成し、それを保存します。Security Cloud Control が最初にデバイスの設定のコピーを読み取って保存するのは、デバイスが導入準備されたときです。以下 の選択肢のように、さまざまな目的に応じて設定を読み取ります。

  • [変更の破棄(Discard Changes)]:このアクションは、デバイスの設定ステータスが「未同期」の場合に使用できます。未同期の状態では、デバイスの設定に対する変更が Security Cloud Control で保留中になっています。このオプションを使用すると、保留中のすべての変更を取り消すことができます。保留中の変更は削除され、Security Cloud Control は設定のコピーをデバイスに保存されている設定のコピーで上書きします。

  • [変更の確認(Check for Changes)]:このアクションは、デバイスの設定ステータスが同期済みの場合に使用できます。[変更の確認(Checking for Changes)] をクリックすると、Security Cloud Control は、デバイスの設定のコピーを、デバイスに保存されている設定のコピーと比較するように指示します。違いがある場合、Security Cloud Control はデバイスに保存されているコピーでそのデバイスの設定のコピーをすぐに上書きします。

  • [競合の確認(Review Conflict)] と [レビューなしで承認(Accept Without Review)]:デバイスで [競合検出(Conflict Detection)] を有効にすると、Security Cloud Control はデバイスに加えられた設定の変更を 10 分ごとにチェックします。https://docs.defenseorchestrator.com/Welcome_to_Cisco_Defense_Orchestrator/Basics_of_Cisco_Defense_Orchestrator/Synchronizing_Configurations_Between_Defense_Orchestrator_and_Device/0010_Conflict_Detectionデバイスに保存されている設定のコピーが変更された場合、Security Cloud Control は「競合が検出されました」という設定ステータスを表示して通知します。

    • [競合の確認(Review Conflict)]:[競合の確認(Review Conflict)] をクリックすると、デバイスで直接行われた変更を確認し、それらを受け入れるか拒否するかを選択できます。

    • [レビューなしで承認(Accept Without Review)]:このアクションにより、Security Cloud Control がもつ、デバイスの構成のコピーが、デバイスに保存されている構成の最新のコピーで上書きされます。Security Cloud Control では、上書きアクションを実行する前に、構成の 2 つのコピーの違いを確認するよう求められません。

[すべて読み取り(Read All)] :これは一括操作です。任意の状態にある複数のデバイスを選択し、[すべて読み取り(Read All)] をクリックして、Security Cloud Control に保存されているすべてのデバイスの設定を、デバイスに保存されている設定で上書きできます。

  • [変更の展開(Deploy Changes)]:デバイスの設定に変更を加えると、Security Cloud Control では、加えた変更が独自のコピーに保存されます。これらの変更は、デバイスに展開されるまで Security Cloud Control で「保留」されています。デバイスの設定に変更があり、それがデバイスに展開されていない場合、デバイスは未同期構成状態になります。

    保留中の設定変更は、デバイスを通過するネットワークトラフィックには影響しません。変更は、Security Cloud Control がデバイスに展開した後にのみ影響を及ぼします。Security Cloud Control がデバイスの設定に変更を展開すると、変更された設定の要素のみが上書きされます。デバイスに保存されている構成ファイル全体を上書きすることはありません。展開は、1 つのデバイスに対して開始することも、複数のデバイスに対して同時に開始することもできます。

  • [すべて破棄(Discard All)] は、[プレビューして展開...(Preview and Deploy..)] をクリックした後にのみ使用できるオプションです。 。[プレビューして展開(Preview and Deploy)] をクリックすると、Security Cloud Control で保留中の変更のプレビューが Security Cloud Control に表示されます。[すべて破棄(Discard All)] をクリックすると、保留中のすべての変更が Security Cloud Control から削除され、選択したデバイスには何も展開されません。上述の [変更の破棄(Discard Changes)] とは異なり、保留中の変更を削除すると操作が終了します。


(注)  

展開や繰り返しの展開をスケジュールできます。詳細については、自動展開のスケジュールを参照してください。

すべてのデバイス設定の読み取り

Security Cloud Control の外部にあるデバイスの設定が変更された場合、Security Cloud Control に保存されているデバイスの設定と、当該デバイスの設定のローカルコピーは同じではなくなります。多くの場合、Security Cloud Control にあるデバイスの設定のコピーをデバイスに保存されている設定で上書きして、設定を再び同じにしたいと考えます。[すべて読み取り(Read All)] リンクを使用して、多くのデバイスでこのタスクを同時に実行できます。

Security Cloud Control によるデバイス設定の 2 つのコピーの管理方法の詳細については、「設定変更の読み取り、破棄、チェック、および展開」を参照してください。

[すべて読み取り(Read All)] をクリックした場合に、Security Cloud Control にあるデバイスの設定のコピーがデバイスの設定のコピーで上書きされる 3 つの設定ステータスを次に示します。

  • [競合検出(Conflict Detected)]:競合検出が有効になっている場合、Security Cloud Control は、設定に加えられた変更について、管理するデバイスを 10 分ごとにポーリングします。Security Cloud Control がデバイスの設定が変更されたことを検出した場合、Security Cloud Control はデバイスの [競合検出(Conflict Detected)] 設定ステータスを表示します。

  • [同期(Synced)]:デバイスが [同期(Synced)] 状態の場合に、[すべて読み取り(Read All)] をクリックすると、Security Cloud Control はすぐにデバイスをチェックして、設定に直接変更が加えられているかどうかを判断します。[すべて読み取り(Read All)] をクリックすると、Security Cloud Control はデバイスの設定のコピーを上書きすることを確認し、その後 Security Cloud Control が上書きを実行します。

  • [非同期(Not Synced)]:デバイスが [非同期(Not Synced)] 状態の場合に、[すべて読み取り(Read All)] をクリックすると、Security Cloud Control は、Security Cloud Control を使用したデバイスの設定に対する保留中の変更があること、および [すべて読み取り(Read All)] 操作を続行すると保留中の変更が削除されてから、Security Cloud Control にある設定のコピーがデバイス上の設定で上書きされることを警告します。この [すべて読み取り(Read All)] は、[変更の破棄(Discard Changes)] と同様に機能します。設定変更の破棄

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

(任意)変更ログでこの一括アクションの結果を簡単に識別できるように、変更リクエストラベルを作成します。

ステップ 5

Security Cloud Control を保存する設定のデバイスを選択します。Security Cloud Control では、選択したすべてのデバイスに適用できるアクションのコマンドボタンのみ提供されることに注意してください。

ステップ 6

[すべて読み取り(Read All)] をクリックします。

ステップ 7

選択したデバイスのいずれかについて、Security Cloud Control で設定変更がステージングされている場合、Security Cloud Control は警告を表示し、設定の一括読み取りアクションを続行するかどうかを尋ねられます。[すべて読み取り(Read All)] をクリックして続行します。

ステップ 8

設定の [すべて読み取り(Read All)] 操作の進行状況については、[通知(notifications)] タブで確認します。一括操作の個々のアクションの成功または失敗に関する詳細を確認する場合は、青色の [レビュー(Review)] リンクをクリックすると、[ジョブ(Jobs)] ページに移動します。 Security Cloud Control でのジョブのモニタリング

ステップ 9

変更リクエストラベルを作成してアクティブ化した場合は、他の設定変更を誤ってこのイベントに関連付けないように、忘れずにラベルをクリアしてください。

Cisco ASA から Security Cloud Control への構成変更の読み取り

Security Cloud Control が Cisco ASA の設定を「読み取る」理由

ASA を管理するため、Security Cloud Control は、ASA の実行構成ファイルのコピーを独自に保存しておく必要があります。Security Cloud Control が最初にデバイスの構成ファイルのコピーを読み取って保存するのは、デバイスがオンボードされたときです。その後、Security Cloud Control が ASA から設定を読み取るときに、[変更の確認(Check for Changes)]、[レビューなしで承認(Accept Without Review)]、または [設定の読み取り(Read Configuration)] のいずれかを選択します。詳細については、「設定変更の読み取り、破棄、チェック、および展開」を参照してください。

Security Cloud Control は、次の状況でも ASA の設定を読み取る必要があります。

  • ASA への設定変更の展開に失敗し、デバイスの状態がリストにないか、[非同期(Not Synced)] になっている場合。

  • デバイスのオンボーディングが失敗し、デバイスの状態が [設定なし(No Config)] になっている場合。

  • Security Cloud Control の外部でデバイス設定を変更したが、その変更はポーリングまたは検出されていないため、デバイスの状態が [同期(Synced)] または [競合検出(Conflict Detected)] になっている場合。

このような場合、Security Cloud Control は、デバイスに保存されている最後に認識された設定のコピーを必要とします。

ASA の設定変更の読み取り

ASA での構成変更の読み取りが求められたら、次の手順を実行します。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

Security Cloud Control が最近オンボードに失敗したデバイス、または Security Cloud Control が変更の展開に失敗したデバイスを選択します。

ステップ 5

右側の [同期済み(Synced)] ペインで [構成の読み取り(Read Configuration)] をクリックします。このオプションを実行すると、現在 Security Cloud Control に保存されている構成が上書きされます。

すべてのデバイスの設定変更のプレビューと展開

テナント上のデバイスに構成変更を加えたものの、その変更をまだ展開していない場合に、Security Cloud Control は展開アイコン にオレンジ色のドットを表示して通知します。これらの変更の影響を受けるデバイスには、[デバイスとサービス(Devices and Services)] ページに「非同期(Not Synced)」のステータスが表示されます。[展開(Deploy)] をクリックすると、保留中の変更があるデバイスを確認し、それらのデバイスに変更を展開できます。


(注)  

作成および変更を行う新しい FDM または FTD ネットワークオブジェクトまたはグループごとに、Security Cloud Control は、Security Cloud Control によって管理されるすべての オンプレミス Management Centerに対してこのページにエントリを作成します。

この展開方法は、サポートされているすべてのデバイスで使用できます。

この展開方法を使用して、単一の構成変更を展開することも、待機して複数の変更を一度に展開することもできます。

手順

ステップ 1

画面の右上で [デプロイ(Deploy)] アイコン をクリックします。

ステップ 2

展開する変更があるデバイスを選択します。デバイスに黄色の三角の注意マークが付いている場合、そのデバイスに変更を展開することはできません。黄色の三角の注意マークにマウスを合わせると、そのデバイスに変更を展開できない理由を確認できます。

ステップ 3

(オプション)保留中の変更に関する詳細情報を表示する場合は、[詳細な変更ログを表示(View Detailed Changelog)] リンクをクリックして、その変更に関連付けられた変更ログを開きます。[展開(Deploy)] アイコンをクリックして、[保留中の変更があるデバイス(Devices with Pending Changes)] ページに戻ります。

ステップ 4

(オプション)[保留中の変更があるデバイス(Devices with Pending Changes)] ページを離れずに、変更を追跡する変更リクエストを作成します。

ステップ 5

[今すぐ展開(Deploy Now)] をクリックして、選択したデバイスに今すぐ変更を展開します。[ジョブ(Jobs)] トレイの [アクティブなジョブ(Active jobs)] インジケータに進行状況が表示されます。

ステップ 6

(オプション)展開が完了したら、Security Cloud Control ナビゲーションバーの [ジョブ(Jobs)] をクリックします。展開の結果を示す最近の「変更の展開(Deploy Changes)」ジョブが表示されます。

ステップ 7

変更リクエストラベルを作成し、それに関連付ける構成変更がない場合は、それをクリアします。

次のタスク

Security Cloud Control から ASA への構成変更の展開

Security Cloud Control が Cisco ASA に変更を展開する理由

Security Cloud Control を使用してデバイスの設定を管理および変更すると、Security Cloud Control により構成ファイルの独自のコピーに加えた変更が保存されます。それらの変更は、デバイスに「展開」されるまで Security Cloud Control で「ステージング」されたと見なされます。ステージングされた設定変更は、デバイスを通過するネットワークトラフィックには影響しません。Security Cloud Control がデバイスに変更を「展開」した後にのみ、デバイスを通過するトラフィックに影響を与えます。Security Cloud Control がデバイスの設定に変更を展開すると、変更された設定の要素のみが上書きされます。デバイスに保存されている構成ファイル全体を上書きすることはありません。

ASA には、「実行コンフィギュレーション」とも呼ばれる「実行」構成ファイルと、「スタートアップ コンフィギュレーション」とも呼ばれる「起動」構成ファイルがあります。実行コンフィギュレーション ファイルに保存されている構成は、ASA を通過するトラフィックに適用されます。実行コンフィグレーションに変更を加え、それらの変更がもたらす動作に問題がないことを確認したら、それらをスタートアップ コンフィギュレーションに展開できます。ASA が再起動されるたびに、スタートアップ コンフィギュレーションが構成の開始点として使用されます。実行コンフィギュレーションに加えた変更で、スタートアップ コンフィギュレーションに保存されていないものは、ASA の再起動後にすべて失われます。

Security Cloud Control から ASA に変更を展開すると、それらの変更が実行コンフィギュレーション ファイルに書き込まれます。これらの変更によってもたらされる動作に問題がなければ、それらの変更をスタートアップ コンフィギュレーション ファイルに展開できます。

展開は、1 つのデバイスに対して開始することも、複数のデバイスに対して同時に開始することもできます。単一のデバイスに対して、個別の展開や繰り返しの展開をスケジュールできます。

一部の変更は ASA に直接展開される

Security Cloud ControlCLI インターフェイス CLI マクロを使用して ASA に変更を加えた場合、それらの変更は Security Cloud Control で「ステージング」されません。それらは、ASA の実行コンフィギュレーションに直接展開されます。このように変更を加えると、デバイスは Security Cloud Control と「同期」状態が維持されます。

設定変更の展開について

このセクションでは、ASA 構成ファイルを変更するために、Security Cloud Control の CLI インターフェイスまたは CLI マクロインターフェイスを使用せずに、Security Cloud Control の GUI を使用しているか、[デバイス設定(Device Configuration)] ページを編集していることを前提としています。

ASA の設定の更新は、2 段階のプロセスです。

手順

ステップ 1

次のいずれかの方法を使用して、Security Cloud Control で変更を加えます。

  • Security Cloud Control GUI

  • [デバイス設定(Device Configuration)] ページのデバイス設定

ステップ 2

変更を加えたら、[セキュリティデバイス(Security Devices)] ページに戻り、[プレビューして展開(Preview and Deploy...)] をクリックして、デバイスへの変更をプレビューして展開します。

次のタスク

Security Cloud Control が ASA の実行構成を Security Cloud Control でステージングされた構成で更新する場合、または ASA に保存されている実行構成で Security Cloud Control 上の構成を変更する場合、CDO は、構成の変更部分が Security Cloud Control GUI で管理可能な場合、構成ファイルの関連する行のみを変更しようとします。Security Cloud Control GUI を使用して目的の構成変更を行うことができない場合、Security Cloud Control は構成ファイル全体を上書きして変更を加えようとします。

2 つの例を示します。

  • ネットワークオブジェクトは、Security Cloud Control GUI を使用して作成または変更できます。Security Cloud Control がその変更を ASA の構成に展開する必要がある場合、変更が発生したときに ASA の実行構成ファイルの関連する行が上書きされます。

  • 新しいローカル ASA ユーザーは Security Cloud Control GUI を使用して作成することはできませんが、[デバイスの設定(Device Configuration)] ページで ASA の設定を編集することで作成できます。[デバイスの設定(Device Configuration)] ページでユーザーを追加し、その変更を ASA に展開すると、Security Cloud Control は実行構成ファイル全体を上書きして、その変更を ASA の実行構成ファイルに保存しようとします。

Security Cloud Control GUI を使用して行った設定変更の展開

手順

ステップ 1

Security Cloud Control GUI を使用して設定を変更し、変更を保存すると、その変更は Security Cloud Control に保存されたバージョンの ASA の実行コンフィギュレーション ファイルに保存されます。

ステップ 2

[セキュリティデバイス(Security Devices)] ページのデバイスに戻ります。

ステップ 3

[デバイス] タブをクリックします。デバイスが「未同期」になっていることがわかります。

ステップ 4

次のいずれかの方法を使用して、変更を展開します。

  • 画面右上の [展開(Deploy)] アイコン をクリックします。これにより、デバイスに加えた変更を展開する前に確認することができます。変更を加えたデバイスを確認し、デバイスを展開して変更を確認し、[今すぐ展開(Deploy Now)] をクリックして変更を展開します。

    (注)  

     

    [保留中の変更があるデバイス(Devices with Pending Changes)] 画面でデバイスの横に黄色の警告三角形が表示されている場合、変更を展開することはできません。警告の三角形にマウスを合わせると、デバイスに変更を展開できない理由が表示されます。

  • [未同期(Not Synced)] ウィンドウで、[プレビューして展開...(Preview and Deploy...)] をクリックします。

    1. ASA コンフィギュレーション ファイルを変更するコマンドを確認します。

    2. コマンドに問題がない場合は、[リカバリプリファレンスの設定(Configuration Recovery Preference)] を選択します。

      (注)  

       

      [通知を受け取り、設定を手動で復元します。(Let me know and I will restore the configuration manually)] を選択した場合、続行する前に、[手動同期手順の表示(View Manual Synchronization Instructions)] をクリックします。

    3. [デバイスに変更を適用する(Apply Changes to Device)] をクリックします。

    4. [OK] をクリックして成功メッセージを確認します。

自動展開のスケジュール

自動展開をスケジュールすることにより、単一のデバイスまたは保留中の変更があるすべてのデバイスへの展開をスケジュールするようにテナントを設定することもできます。

Security Cloud Control の CLI インターフェイスを使用した設定変更の展開

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

設定を編集するデバイスを選択します。

ステップ 5

[アクション(Actions)] ペインで、[>_コマンドラインインターフェイス(>_Command Line Interface)] をクリックします。

ステップ 6

コマンド ライン インターフェイス テーブルにコマンドがある場合は、[クリア(Clear)] をクリックしてそれらを削除します。

ステップ 7

コマンド ライン インターフェイスの表の上部のボックスにあるコマンドプロンプトに、コマンドを入力します。各コマンドを個別の行に入力するか、構成ファイルのセクションをコマンドとして入力することにより、1 つのコマンドを実行したり、複数のコマンドを一括で実行したりできます。コマンド ライン インターフェイス テーブルに入力できるコマンドの例を次に示します。

ネットワークオブジェクト「albany」を作成する単一のコマンド
object network albany 
host 209.165.30.2
一緒に送信される複数のコマンド:
object network albany
host 209.165.30.2
object network boston
host 209.165.40.2
object network cambridge
host 209.165.50.2
コマンドとして入力された実行コンフィギュレーション ファイルのセクション:
interface GigabitEthernet0/5
 nameif guest
 security-level 0
 no ip address

(注)  

 

Security Cloud Control では、EXEC モード、特権 EXEC モード、およびグローバル コンフィギュレーション モードの間を移動する必要はありません。入力したコマンドは適切なコンテキストで解釈されます。

ステップ 8

コマンドを入力したら、[送信(Send)] をクリックします。Security Cloud Control が ASA の実行構成ファイルへの変更を正常に展開すると、[完了(Done!)] というメッセージが表示されます。

ステップ 9

コマンドを送信した後で、「一部のコマンドが実行コンフィギュレーションに変更を加えた可能性があります」というメッセージが 2 つのリンクとともに表示されることがあります。

  • [ディスクに展開(Deploy to Disk)] をクリックすると、このコマンドによって加えられた変更と、実行構成のその他の変更が、ASA のスタートアップ構成に保存されます。

  • [取り消す(Dismiss)] をクリックすると、メッセージが取り消されます。

デバイス設定の編集による設定変更の展開


注意    

この手順は、ASA 構成ファイルのシンタックスに精通している上級ユーザーを対象としています。この手法では、Security Cloud Control に保存されている実行構成ファイルに直接変更を加えます。

手順

ステップ 1

セキュリティデバイス[デバイス(Devices)] タブをクリックします。

ステップ 2

適切なデバイスタイプのタブをクリックします。

ステップ 3

設定を編集するデバイスを選択します。

ステップ 4

[アクション(Actions)] ペインで、[設定の表示(View Configuration)] をクリックします。

ステップ 5

[編集(Edit)] をクリックします。

ステップ 6

実行中の設定に変更を加えて保存します。

ステップ 7

[インベントリ] ページに戻ります。[未同期(Not Synced)] ウィンドウで、[プレビューして展開...(Preview and Deploy...)] をクリックします。

ステップ 8

[デバイスの同期(Device Sync)] ウィンドウで、変更を確認します。

ステップ 9

変更の種類に応じて、[変更の置換(Replace Configuration)] または [変更のデバイスへの適用(Apply Changes to Device)] をクリックします。

複数デバイス上の共有オブジェクトの設定変更を展開する

この手順は、2 つ以上のデバイスで共有されているポリシーまたはオブジェクトに変更を加える場合に使用します。多くのデバイスで使用されている共通ポリシーを変更できます。

手順

ステップ 1

編集する共有オブジェクトを含む [ポリシー(Policies)] ページまたは [オブジェクト(Objects)] ページを開いて編集します。

ステップ 2

共有デバイスリストを確認し、挙げられているすべてのデバイスに変更を加えることを確認します。

ステップ 3

[確認(Confirm)] をクリックします。

ステップ 4

[保存(Save)] をクリックします。

ステップ 5

[展開(Deploy)] アイコンをクリックして、影響を受けるデバイスに変更を展開します。

デバイス設定の一括展開

共有オブジェクトを編集するなどして複数のデバイスに変更を加えた場合、影響を受けるすべてのデバイスにそれらの変更を一度に適用できます。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

Security Cloud Control で設定を変更した、すべてのデバイスを選択します。これらのデバイスは、「未同期」ステータスが表示されているはずです。

ステップ 5

次のいずれかの方法を使用して、変更を展開します。

  • 画面の右上にある ボタンをクリックして、[保留中の変更があるデバイス(Devices with Pending Changes)] ウィンドウを表示します。これにより、選択したデバイス上の保留中の変更を展開する前に確認することができます。変更を展開するには、[今すぐ展開(Deploy Now)] をクリックします。

    (注)  

     

    [保留中の変更があるデバイス(Devices with Pending Changes)] 画面でデバイスの横に黄色の警告三角形が表示されている場合、そのデバイスに変更を展開することはできません。そのデバイスに変更を展開できない理由を確認するには、警告三角形の上にマウスカーソルを置きます。

  • 詳細ペインで [すべて展開(Deploy All)] をクリックします。 すべての警告を確認し、[OK] をクリックします。一括展開は、変更を確認せずにすぐに開始します。

ステップ 6

(任意)ナビゲーションバーの [ジョブ(Jobs)] アイコン をクリックして、一括展開の結果を表示します。

スケジュールされた自動展開について

Security Cloud Control を使用すると、CDO が管理する 1 つ以上のデバイスの構成を変更し、都合のよいタイミングでそれらのデバイスに変更を展開するようにスケジュールできます。

[設定(Settings)] ページの [テナント設定(Tenant Settings)] タブで 自動展開をスケジュールするオプションを有効にする をした場合のみ、展開をスケジュールできます。このオプションを有効にすると、展開スケジュールを作成、編集、削除できます。展開スケジュールによって、Security Cloud Control に保存されたすべてのステージング済みの変更が、設定した日時に展開されます。[ジョブ] ページから、展開スケジュールを表示および削除することもできます。

Security Cloud Control読み取られていないデバイスに直接変更が加えられた場合、その競合が解決されるまで、展開スケジュールはスキップされます。[ジョブ(Jobs)] ページには、スケジュールされた展開が失敗したインスタンスが一覧表示されます。[自動展開をスケジュールするオプションを有効にする(Enable the Option to Schedule Automatic Deployments)] をオフにすると、スケジュールされたすべての展開が削除されます。


注意    

複数のデバイスの新しい展開をスケジュールし、それらのデバイスの一部に展開が既にスケジュールされている場合、既存の展開スケジュールが新しい展開スケジュールで上書きされます。

(注)  

展開スケジュールを作成すると、スケジュールはデバイスのタイムゾーンではなく現地時間で作成されます。展開スケジュールは、サマータイムに合わせて自動的に調整されません

自動展開のスケジュール

展開スケジュールは、単一のイベントまたは繰り返し行われるイベントにすることができます。繰り返し行われる自動展開は、繰り返し行われる展開をメンテナンス期間に合わせるための便利な方法です。次の手順に従って、単一のデバイスに対して 1 回限りまたは繰り返し行われる展開をスケジュールします。


(注)  

既存の展開がスケジュールされているデバイスへの展開をスケジュールすると、新しくスケジュールされた展開によって既存の展開が上書きされます。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つ以上のデバイスを選択します。

ステップ 5

[デバイスの詳細(Device Details)] ペインで、[スケジュールされた展開( Scheduled Deployments)] タブを見つけて、[スケジュール(Schedule)] をクリックします。

ステップ 6

展開をいつ実行するかを選択します。

  • 1 回限りの展開の場合は、[1回限り(Once on)] オプションをクリックして、カレンダーから日付と時刻を選択します。

  • 繰り返し展開する場合は、[定期(Every)] オプションをクリックします。日に 1 回と週に 1 回のいずれかの展開を選択できます。展開を実行する [曜日(Day)] と [時刻(Time)] を選択します。

ステップ 7

[保存(Save)] をクリックします。

スケジュールされた展開の編集

スケジュールされた展開を編集するには、次の手順に従います。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つ以上のデバイスを選択します。

ステップ 5

[デバイスの詳細(Device Details)] ペインで、[スケジュールされた展開( Scheduled Deployments)] タブを見つけて、[編集(Edit)] をクリックします。

ステップ 6

スケジュールされた展開の繰り返し回数、日付、または時刻を編集します。

ステップ 7

[保存(Save)] をクリックします。

スケジュールされた展開の削除

スケジュールされた展開を削除するには、次の手順に従います。


(注)  

複数のデバイスの展開をスケジュールしてから、一部のデバイスのスケジュールを変更または削除した場合は、残りのデバイスの元のスケジュールされた展開が保持されます。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つ以上のデバイスを選択します。

ステップ 5

[デバイスの詳細(Device Details)] ペインで、[スケジュールされた展開( Scheduled Deployments)] タブを見つけて、[削除(Delete)] をクリックします。

次のタスク

設定変更の確認

[変更の確認(Check for Changes)] をクリックして、デバイスの設定がデバイス上で直接変更されているか、Security Cloud Control に保存されている設定のコピーと異なっているかどうかを確認します。このオプションは、デバイスが [同期(Synced)] 状態のときに表示されます。

変更を確認するには、次の手順を実行します。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

設定がデバイス上で直接変更された可能性があるデバイスを選択します。

ステップ 5

右側の [同期(Synced)] ペインで [変更の確認(Check for Changes)] をクリックします。

ステップ 6

次の動作は、デバイスによって若干異なります。

  • デバイスの場合、デバイスの設定に変更があった場合、次のメッセージが表示されます。

    Reading the policy from the device. If there are active deployments on the device, reading will start after they are finished.

    • [OK] をクリックして、先へ進みます。デバイスの設定で、Security Cloud Control に保存されている設定が上書きされます。

    • 操作をキャンセルするには、[キャンセル(Cancel)] をクリックします。

  • ASA デバイスの場合:

  1. 提示された 2 つの設定を比較します。[続行(Continue)] をクリックします。最後に認識されたデバイス設定(Last Known Device Configuration)というラベルの付いた設定は、Security Cloud Control に保存されている設定です。[デバイスで検出(Found on Device)] というラベルの付いた設定は、ASA に保存されている設定です。

  2. 次のいずれかを選択します。

    1. [拒否(Reject)]:アウトオブバンド変更を拒否して、「最後に認識されたデバイス設定(Last Known Device Configuration)」を維持します。

    2. [承認(Accept)]:アウトオブバンド変更を承認して、Security Cloud Control に保存されているデバイスの設定を、デバイスで見つかった設定で上書きします。

  3. [続行(Continue)] をクリックします。

設定変更の破棄

Security Cloud Control を使用してデバイスの構成に加えた、展開されていない構成変更のすべてを「元に戻す」場合は、[変更の破棄(Discard Changes)] をクリックします。[変更の破棄(Discard Changes)] をクリックすると、Security Cloud Control は、デバイスに保存されている構成でデバイスの構成のローカルコピーを完全に上書きします。

[変更の破棄(Discard Changes)] をクリックすると、デバイスの構成ステータスは [非同期(Not Synced)] 状態になります。変更を破棄すると、Security Cloud Control 上の構成のコピーは、デバイス上の構成のコピーと同じになり、Security Cloud Control の構成ステータスは [同期済み(Synced)] に戻ります。

デバイスの展開されていない構成変更のすべてを破棄する(つまり「元に戻す」)には、次の手順を実行します。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

構成変更を実行中のデバイスを選択します。

ステップ 5

右側の [未同期(Not Synced)] ペインで [変更の破棄(Discard Changes)] をクリックします。

  • FDM による管理 デバイスの場合は、Security Cloud Control で「Security Cloud Control 上の保留中の変更は破棄され、このデバイスに関する Security Cloud Control 構成は、デバイス上の現在実行中の構成に置き換えられます(Pending changes on CDO will be discarded and the CDO configuration for this device will be replaced with the configuration currently running on the device)」という警告メッセージが表示されます。[続行(Continue)] をクリックして変更を破棄します。

  • Meraki デバイスの場合は、Security Cloud Control で変更がすぐに削除されます。

  • AWS デバイスの場合は、Security Cloud Control で削除しようとしているものが表示されます。[同意する(Accept)] または [キャンセル(Cancel)] をクリックします。

デバイスのアウトオブバンド変更

アウトオブバンド変更とは、Security Cloud Control を使用せずにデバイス上で直接行われた変更を指します。アウトオブバンド変更は、SSH 接続を介してデバイスのコマンド ライン インターフェイスを使用して、または、ASA の場合は Adaptive Security Device Manager(ASDM)、FDM による管理 デバイスの場合は FDMオンプレミス Firewall Management Center ユーザーインターフェイス上の オンプレミス Firewall Management Center などのローカルマネージャを使用して行うことができます。アウトオブバンド変更により、Security Cloud Control に保存されているデバイスの設定とデバイス自体に保存されている設定との間で競合が発生します。

デバイスでのアウトオブバンド変更の検出

ASA、FDM による管理 デバイス、Cisco IOS デバイス、または オンプレミス Firewall Management Center に対して競合検出が有効になっている場合、Security Cloud Control は 10 分ごとにデバイスをチェックし、Security Cloud Control の外部でデバイスの設定に直接加えられた新たな変更を検索します。

Security Cloud Control は、Security Cloud Control に保存されていないデバイスの設定に対する変更を検出した場合、そのデバイスの [設定ステータス(Configuration Status)] を [競合検出(Conflict Detected)] 状態に変更します。

Security Cloud Control が競合を検出した場合、次の 2 つの状態が考えられます。

  • Security Cloud Control のデータベースに保存されていない設定変更が、デバイスに直接加えられています。

  • FDM による管理 デバイスの場合、FDM による管理 デバイスに展開されていない「保留中」の設定変更がある可能性があります。

  • オンプレミス Firewall Management Center の場合、たとえば、Security Cloud Control との同期が保留されている Security Cloud Control の外部で行われた変更や、オンプレミス Firewall Management Center への展開が保留されている Security Cloud Control で行われた変更がある可能性があります。

Security Cloud Control とデバイス間の設定を同期する

設定の競合について

[セキュリティデバイス(Security Devices)] ページで、デバイスまたはサービスのステータスが [同期済み(Synced)]、[未同期(Not Synced)]、または [競合検出(Conflict Detected)] になっていることがあります。Security Cloud Control を使用して管理するオンプレミス Firewall Management Center のステータスを確認するには、[ツールとサービス(Tools & Services)] > [Firewall Management Center] に移動します。

  • デバイスが [同期済み(Synced)] の場合、Security Cloud Control の設定と、デバイスにローカルに保存されている設定は同じです。

  • デバイスが [未同期(Not Synced)] の場合、Security Cloud Control に保存された設定が変更され、デバイスにローカルに保存されている設定とは異なっています。Security Cloud Control からデバイスに変更を展開すると、Security Cloud Control のバージョンに一致するようにデバイスの設定が変更されます。

  • Security Cloud Control の外部でデバイスに加えられた変更は、アウトオブバンドの変更と呼ばれます。デバイスの競合検出が有効になっている場合、アウトオブバンドの変更が行われると、デバイスのステータスが [競合が検出されました(Conflict Detected)] に変わります。アウトオブバンドの変更を受け入れると、Security Cloud Control の設定がデバイスの設定と一致するように変更されます。

競合検出

競合検出が有効になっている場合、Security Cloud Control はデフォルトの間隔でデバイスをポーリングして、Security Cloud Control の外部でデバイスの構成が変更されたかどうかを判断します。変更が行われたことを検出すると、Security Cloud Control はデバイスの構成ステータスを [競合検出(Conflict Detected)] に変更します。Security Cloud Control の外部でデバイスに加えられた変更は、「アウトオブバンドの」変更と呼ばれます。

Security Cloud Control によって管理されているオンプレミス Firewall Management Center で、ステージングされた変更があり、デバイスが [未同期(Not Synced)] 状態の場合、Security Cloud Control はデバイスのポーリングを停止して変更を確認します。Security Cloud Control との同期が保留されている Security Cloud Control の外部で行われた変更と、オンプレミス Management Center への展開が保留されている Security Cloud Control で行われた変更がある場合、Security Cloud Controlオンプレミス Management Centerが [競合検出(Conflict Detected)] 状態であることを宣言します。

このオプションを有効にすると、デバイスごとに競合または OOB 変更を検出する頻度を設定できます。詳細については、デバイス変更のポーリングのスケジュールを参照してください。

競合検出の有効化

競合検出を有効にすると、Security Cloud Control の外部でデバイスに変更が加えられた場合に警告が表示されます。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブを選択します。

ステップ 4

競合検出を有効にする 1 台または複数のデバイスを選択します。

ステップ 5

デバイステーブルの右側にある [競合検出(Conflict Detection)] ボックスで、リストから [有効(Enabled)] を選択します。

デバイスからのアウトオブバンド変更の自動的な受け入れ

変更の自動的な受け入れを有効にすることで、管理対象デバイスに直接加えられた変更を自動的に受け入れるように Security Cloud Control を設定できます。Security Cloud Control を使用せずにデバイスに直接加えられた変更は、アウトオブバンド変更と呼ばれます。アウトオブバンドの変更により、Security Cloud Control に保存されているデバイスの設定とデバイス自体に保存されている設定との間で競合が発生します。

変更の自動受け入れ機能は、競合検出のための強化機能です。デバイスで変更の自動受け入れを有効にしている場合、Security Cloud Control は 10 分ごとに変更をチェックして、デバイスの設定に対してアウトオブバンドの変更が行われたかどうかを確認します。設定が変更されていた場合、Security Cloud Control は、プロンプトを表示することなく、デバイスの設定のローカルバージョンを自動的に更新します。

Security Cloud Control で行われたいずれかの設定変更がデバイスにまだ展開されていない場合、Security Cloud Control は設定変更を自動的に受け入れません画面上のプロンプトに従って、次のアクションを決定します。

変更の自動承認を使用するには、最初に、[セキュリティデバイス(Security Devices)] ページの [競合検出(Conflict Detection)] メニューで自動承認オプションをテナントが表示できるようにします。次に、個々のデバイスでの変更の自動承認を有効にします。

Security Cloud Control でアウトオブバンドの変更を検出するものの、変更を手動で受け入れたり拒否したりするオプションを選択する場合は、代わりに 競合検出 を有効にします。

自動承認変更の設定

手順

ステップ 1

管理者またはネットワーク管理者権限を持つアカウントを使用して Security Cloud Control にログインします。

ステップ 2

左側のペインで [管理(Administration)] > [一般設定(General Settings)] をクリックします。

ステップ 3

[テナント設定(Tenant Settings)] エリアで、[デバイスの変更を自動承認するオプションの有効化(Enable the Option to Auto-accept Device Changes)] のトグルをクリックします。[セキュリティデバイス(Security Devices)] ページの [競合検出(Conflict Detection)] メニューに [変更の自動承認(Auto-Accept Changes)] メニューオプションが表示されます。

ステップ 4

左側のペインで セキュリティデバイス をクリックして、アウトオブバンドの変更を自動承認するデバイスを選択します。

ステップ 5

[競合の検出(Devices & Services)] メニューで、ドロップダウンメニューから [変更の自動承認(Auto-Accept Changes)] を選択します。

テナント上のすべてのデバイスの自動承認変更の無効化

手順

ステップ 1

[管理者(Admin)] または [ネットワーク管理者(Super Admin)] 権限を持つアカウントを使用して Security Cloud Control にログインします。

ステップ 2

左側のペインで [管理(Administration)] > [一般設定(General Settings)] をクリックします。

ステップ 3

[テナント設定(Tenant Settings)] 領域で、トグルを左にスライドして灰色の X を表示し、[デバイスの変更を自動承認するオプションを有効にする(Enable the option to auto-accept device changes)] を無効にします。これにより、競合検出メニューの [変更の自動承認(Auto-Accept Changes)] オプションが無効になり、テナント上のすべてのデバイスでこの機能が無効になります。

(注)  

 

[自動承認(Auto-Accept)] を無効にした場合、Security Cloud Control で承認する前に、各デバイスの競合を確認する必要があります。これまで変更の自動承認が設定されていたデバイスも対象になります。

設定の競合の解決

このセクションでは、デバイスで発生する設定の競合の解決に関する情報を提供します。

未同期ステータスの解決

次の手順を使用して、「未同期」の設定ステータスのデバイスを解決します。

手順

ステップ 1

ナビゲーションバーで セキュリティデバイス をクリックします。

(注)  

 

オンプレミス Firewall Management Center の場合は、[管理(Administration)] > [Firewall Management Center] をクリックして、[未同期(Not Synced)] 状態の FMC を選択し、ステップ 5 から続行します。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

未同期と報告されたデバイスを選択します。

ステップ 5

右側の [未同期(Not synced)] パネルで、次のいずれかを選択します。

  • [プレビューして展開...(Preview and Deploy..)] :設定の変更を Security Cloud Control からデバイスにプッシュする場合は、今行った変更をプレビューして展開するか、待ってから一度に複数の変更を展開します。

  • [変更の破棄(Discard Changes)]:設定の変更を Security Cloud Control からデバイスにプッシュしない場合、または Security Cloud Control で開始した設定の変更を「元に戻す」場合。このオプションは、Security Cloud Control に保存されている設定を、デバイスに保存されている実行構成で上書きします。

競合検出ステータスの解決

Security Cloud Control を使用すると、ライブデバイスごとに競合検出を有効化または無効化できます。競合検出 が有効になっていて、Security Cloud Control を使用せずにデバイスの設定に変更が加えられた場合、デバイスの設定ステータスには [競合検出(Conflict Detected)] と表示されます。

[競合検出(Conflict Detected)] ステータスを解決するには、次の手順に従います。

手順

ステップ 1

ナビゲーションバーで セキュリティデバイス をクリックします。

(注)  

 

オンプレミス Firewall Management Center の場合は、[管理(Administration)] > [Firewall Management Center] をクリックして、[未同期(Not Synced)] 状態の FMC を選択し、ステップ 5 から続行します。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

競合を報告しているデバイスを選択し、右側の詳細ペインで [競合の確認(Review Conflict)] をクリックします。

ステップ 5

[デバイスの同期(Device Sync)] ページで、強調表示されている相違点を確認して、2 つの設定を比較します。

  • 「最後に認識されたデバイス設定(Last Known Device Configuration)」というラベルの付いたパネルは、Security Cloud Control に保存されているデバイス設定です。

  • [デバイスで検出(Found on Device)] というラベルの付いたパネルは、ASA の実行コンフィギュレーションに保存されている設定です。

ステップ 6

次のいずれかを選択して、競合を解決します。

  • [デバイスの変更を承認(Accept Device changes)]:設定と、Security Cloud Control に保存されている保留中の変更がデバイスの実行コンフィギュレーションで上書きされます。

    (注)  

     

    Security Cloud Control はコマンド ライン インターフェイス以外での Cisco IOS デバイスへの変更の展開をサポートしていないため、競合を解決する際の Cisco IOS デバイスの唯一の選択肢は [レビューなしで承認(Accept Without Review)] です。

  • [デバイスの変更を拒否(Reject Device Changes)]:デバイスに保存されている設定を Security Cloud Control に保存されている設定で上書きします。

(注)  

 

拒否または承認されたすべての設定変更は、変更ログに記録されます。

デバイス変更のポーリングのスケジュール

競合検出 を有効にしている場合、または [設定(Settings)] ページで [デバイスの変更を自動承認するオプションの有効化(Enable the Option to Auto-accept Device Changes)] オプションを有効にしている場合、Security Cloud Control はデフォルトの間隔でデバイスをポーリングして、Security Cloud Control の外部でデバイスの設定に変更が加えられたかどうかを判断します。Security Cloud Control による変更のポーリング間隔は、デバイスごとにカスタマイズできます。ポーリング間隔の変更は、複数のデバイスに適用できます。

デバイスでこの間隔が選択されていない場合は、間隔は「テナントのデフォルト」に自動的に設定されます。


(注)  

[セキュリティデバイス(Security Devices)] ページでデバイスごとの間隔をカスタマイズすると、[一般設定(General Settings)] ページの [デフォルトの競合検出間隔(Default Conflict Detection Interval)] で選択したポーリング間隔がオーバーライドされます。デフォルトの競合検出間隔

[セキュリティデバイス(Security Devices)] ページで [競合検出(Conflict Detection)] を有効にするか、[設定(Settings)] ページで [デバイスの変更を自動承認するオプションの有効化(Enable the Option to Auto-accept Device Changes)] オプションを有効にしたら、次の手順に従い Security Cloud Control によるデバイスのポーリング間隔をスケジュールします。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

競合検出を有効にする 1 台または複数のデバイスを選択します。

ステップ 5

[競合検出(Conflict Detection)] と同じ領域で、[チェック間隔(Check every)] のドロップダウンメニューをクリックし、目的のポーリング間隔を選択します。