Cisco Security Appliance コマンド リファレンス Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ用 ソフトウェア バージョン 8.0(5)

 

構文の説明

 

デフォルト

このコマンドは、デフォルトでディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

特定のゲートウェイを管理しているコール エージェントのグループを指定するには、 gateway コマンドを使用します。 ip_address オプションを使用して、ゲートウェイの IP アドレスを指定します。 group_id オプションには 0 ～ 4294967295 の数字を指定します。この数字は、ゲートウェイを管理しているコール エージェントの group_id に対応している必要があります。1 つのゲートウェイは 1 つのグループだけに所属できます。

例

次に、コール エージェント 10.10.11.5 および 10.10.11.6 にゲートウェイ 10.10.10.115 の制御を許可し、コール エージェント 10.10.11.7 および 10.10.11.8 にゲートウェイ 10.10.10.116 および 10.10.10.117 の制御を許可する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ダイナミック NAT と PAT の場合、最初に nat コマンドを設定し、変換する所定のインターフェイスの実アドレスを指定します。次に、別の global コマンドを設定して、別のインターフェイスから出るときのマッピング アドレスを指定します（PAT の場合、このアドレスは 1 つです）。各 nat コマンドは、各コマンドに割り当てられた番号である NAT ID の比較によって、1 つの global コマンドと一致します。

ダイナミック NAT および PAT の詳細については、 nat コマンドを参照してください。

NAT コンフィギュレーションを変更する場合、既存の変換がタイムアウトするまで待たずに新しい NAT 情報を使用するために、clear xlate コマンドを使用して変換テーブルをクリアできます。ただし、変換テーブルをクリアすると、現在の接続がすべて切断されます。

例

たとえば、内部インターフェイス上の 10.1.1.0/24 ネットワークを変換するには、次のコマンドを入力します。

ダイナミック NAT 用のアドレス プールを、NAT プールを使い果たしたときのための PAT アドレスと共に指定するには、次のコマンドを入力します。

ルーティングの簡略化などのために、セキュリティの低い DMZ（非武装地帯）のネットワーク アドレスを変換して内部ネットワーク（10.1.1.0）と同じネットワーク上に表示するには、次のコマンドを入力します。

ポリシー NAT を使用して、1 つの実際のアドレスに 2 つの異なる宛先アドレスを指定するには、次のコマンドを入力します。

ポリシー NAT を使用して、それぞれが異なるポートを使用する、1 つの実際のアドレスと宛先アドレスのペアを指定するには、次のコマンドを入力します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのグループ エイリアスはありませんが、グループ エイリアスを指定すると、そのエイリアスがデフォルトでイネーブルになります。

 

コマンド履歴

 

使用上のガイドライン

ここで指定したグループ エイリアスが、ログイン ページのドロップダウン リストに表示されます。各グループに複数のエイリアスを指定することも、エイリアスを指定しないことも可能です。このコマンドは、同じグループが「Devtest」や「QA」などの複数の一般名で知られている場合に役立ちます。

例

次に、「devtest」という名前の webvpn トンネル グループを設定し、そのグループに対してエイリアス「QA」および「Fra-QA」を確立するコマンドの例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトで、デリミタは指定されていないため、グループ名解析はディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

デリミタは、トンネルがネゴシエートされるときに、ユーザ名からトンネル グループ名を解析するために使用されます。デフォルトで、デリミタは指定されていないため、グループ名解析はディセーブルです。

例

次に、グループ デリミタをハッシュ マスク（#）に変更する group-delimiter コマンドの例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

使用上のガイドライン

グループ ロックをディセーブルにするには、 group-lock none コマンドを使用します。

グループ ロックは、VPN クライアントに設定されているグループが、ユーザが割り当てられているトンネル グループと同一であるかどうかをチェックすることによって、ユーザを制限します。同一ではなかった場合、セキュリティ アプライアンスはユーザによる接続を禁止します。グループ ロックを設定しなかった場合、セキュリティ アプライアンスは、割り当てられているグループに関係なくユーザを認証します。

 

コマンド履歴

例

次に、FirstGroup という名前のグループ ポリシーにグループ ロックを設定する例を示します。

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

group-object コマンドは、それ自身がオブジェクト グループであるオブジェクトを定義するために、 object-group コマンドとともに使用します。このコマンドは、プロトコル、ネットワーク、サービス、および ICMP タイプ コンフィギュレーション モードで使用します。このサブコマンドを使用すると、同じタイプのオブジェクトを論理グループ化して、構造化されたコンフィギュレーションの階層オブジェクト グループを構築できます。

オブジェクト グループ内でのオブジェクトの重複は、それらのオブジェクトがグループ オブジェクトの場合は許可されます。たとえば、オブジェクト 1 がグループ A とグループ B の両方に存在する場合、A と B の両方を含むグループ C を定義できます。ただし、グループの階層が循環型になるようなグループ オブジェクトを含めることはできません。たとえば、グループ A にグループ B を含め、さらにグループ B にグループ A を含めることはできません。

階層オブジェクト グループは 10 レベルまで許可されています。

（注） セキュリティ アプライアンスでは IPv6 のネスト化したオブジェクト グループはサポートしていません。このため、そのようなグループ内に属する IPv6 エンティティを持つオブジェクトが別の IPv6 オブジェクト グループに含まれる場合、このオブジェクトに対しては group-object コマンドを使用できません。

例

次に、ネットワーク コンフィギュレーション モードで group-object コマンドを使用して、ホストを重複させる必要性を排除する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。「使用上のガイドライン」を参照してください。

 

コマンド履歴

 

使用上のガイドライン

セキュリティ アプライアンスには、「DefaultGroupPolicy」という名前のデフォルト グループ ポリシーが常に存在しています。ただし、このデフォルト グループ ポリシーは、これを使用するようにセキュリティ アプライアンスを設定しない限り、有効ではありません。設定手順については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

group-policy attributes コマンドを使用して設定グループ ポリシー モードを開始します。このモードでは、グループ ポリシーのあらゆる属性値ペアを設定できます。DefaultGroupPolicy には、次の属性と値のペアがあります。

また、設定グループ ポリシーモードで webvpn コマンドを入力するか、 group-policy attributes コマンドを入力してから、設定グループ webvpn モードで webvpn コマンドを入力することで、グループ ポリシーの webvpn モード属性を設定できます。詳細については、 group-policy attributes コマンドの説明を参照してください。

例

次に、「FirstGroup」という名前の内部グループ ポリシーを作成する例を示します。

次に、AAA サーバ グループ「BostonAAA」およびパスワード「12345678」を指定して、「ExternalGroup」という名前の外部グループ ポリシーを作成する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

属性モードのコマンド構文には、一般的に、次のような特徴があります。

• no 形式は実行コンフィギュレーションから属性を削除し、別のグループ ポリシーからの値の継承をイネーブルにします。

• none キーワードは実行コンフィギュレーションの属性をヌル値に設定し、これによって継承を禁止します。

• ブール型属性には、イネーブルおよびディセーブルの設定用に明示的な構文があります。

セキュリティ アプライアンスには、DefaultGroupPolicy という名前のデフォルト グループ ポリシーが常に存在しています。ただし、このデフォルト グループ ポリシーは、これを使用するようにセキュリティ アプライアンスを設定しない限り、有効ではありません。設定手順については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

group-policy attributes コマンドを使用して設定グループ ポリシー モードを開始します。このモードでは、グループ ポリシーのあらゆる属性値ペアを設定できます。DefaultGroupPolicy には、次の属性と値のペアがあります。

また、 group-policy attributes コマンドを入力してから、設定グループ ポリシー モードで webvpn コマンドを入力することで、グループ ポリシーの webvpn モード属性を設定できます。詳細については、 webvpn コマンド（グループ ポリシー属性モードおよびユーザ名属性モード）の説明を参照してください。

例

次に、FirstGroup という名前のグループ ポリシーのグループ ポリシー属性モードを開始する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

グループ プロンプトのデフォルト テキストは「GROUP:」です。

グループ プロンプトのデフォルト スタイルは、color:black;font-weight:bold;text-align:right です。

 

コマンド履歴

 

使用上のガイドライン

style オプションは有効な Cascading Style Sheet（CSS）パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium（W3C）の Web サイト（www.w3.org）の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

• カンマ区切りの RGB 値、HTML の色値、または色の名前（HTML で認識される場合）を使用できます。

• RGB 形式は 0,0,0 で、各色（赤、緑、青）を 0 ～ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。

• HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。

（注） WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。

例

次に、テキストを「Corporate Group:」に変更し、デフォルト スタイルのフォント ウェイトを bolder に変更する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトは 10 秒です。

 

コマンド履歴

 

使用上のガイドライン

show ad-groups コマンドは LDAP を使用している Active Directory サーバにのみ適用され、Active Directory サーバでリストされているグループが表示されます。 group-search-timeout コマンドを使用して、サーバからの応答を待機する時間を調整します。

例

次に、タイムアウトを 20 秒に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの URL または IP アドレスはありませんが、URL または IP アドレスを指定すると、これがデフォルトでイネーブルになります。

 

コマンド履歴

 

使用上のガイドライン

グループの URL または IP アドレスを指定すると、ユーザがログイン時にグループを選択する必要がなくなります。ユーザがログインすると、セキュリティ アプライアンスはトンネル グループ ポリシー テーブル内でユーザの着信 URL/アドレスを検索します。URL/アドレスが見つかり、さらにトンネル グループで group-url がイネーブルになっている場合、セキュリティ アプライアンスは関連するトンネル グループを自動的に選択して、ユーザ名およびパスワード フィールドだけをログイン ウィンドウでユーザに表示します。これによりユーザ インターフェイスが簡素化され、グループ リストがユーザに表示されなくなるという利点が追加されます。ユーザに表示されるログイン ウィンドウでは、そのトンネル グループ用に設定されているカスタマイゼーションが使用されます。

URL/アドレスがディセーブルで、group-alias が設定されている場合は、グループのドロップダウン リストも表示され、ユーザによる選択が必要になります。

1 つのグループに対して複数の URL/アドレスを設定する（または、1 つも設定しない）ことができます。URL/アドレスごとに個別にイネーブルまたはディセーブルに設定できます。指定した URL/アドレスごとに個別の group-url コマンドを使用する必要があります。http または https プロトコルを含めて、URL/アドレス全体を指定する必要があります。

複数のグループに同じ URL/アドレスを関連付けることはできません。セキュリティ アプライアンスでは、URL/アドレスの一意性を検証してから、トンネル グループに対する URL/アドレスを受け入れます。

次に、「test」という名前の webvpn トンネル グループを設定して、「http://www.cisco.com」および「https://supplier.com」という 2 つのグループ URL をそのグループ用に確立する例を示します。

次に、RadiusServer という名前のトンネル グループに対して、グループ URL、http://www.cisco.com および http://192.168.10.10 をイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次に、H.323 コールで H.245 トンネリングをブロックする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの seconds は 5 秒です。

 

コマンド履歴

 

使用上のガイドライン

hello 間隔を小さくするほど、トポロジの変更が速く検出されますが、ルーティング トラフィックの増加につながります。この値は、特定のネットワーク上のすべてのルータおよびアクセス サーバで同じにする必要があります。

例

次の例では、EIGRP hello 間隔を 10 秒に、ホールド タイムを 30 秒に設定します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

help コマンドを使用すると、すべてのコマンドのヘルプ情報が表示されます。 help コマンドの後にコマンド名を入力することによって、個々のコマンドのヘルプを参照できます。コマンド名を指定せず、その代わりに ? と 入力した場合、現在の特権レベルおよびモードで使用可能なすべてのコマンドを表示します。

pager コマンドがイネーブルの場合、24 行表示されると、リスト表示が一時停止して次のプロンプトが表示されます。

More プロンプトでは、次のように、UNIX の more コマンドに類似した構文が使用されます。

• 次のテキスト画面を表示するには、Space バーを押します。

• 次の行を表示するには、Enter キーを押します。

• コマンドラインに戻るには、q キーを押します。

例

次に、 rename コマンドのヘルプを表示する例を示します。

次に、コマンド名と疑問符を入力して、ヘルプを表示する例を示します。

コマンド プロンプトで ? を入力すると、主要コマンド（show、no、または clear コマンド以外）に関する ヘルプを表示できます。

 

関連コマンド

 

構文の説明

 

デフォルト

DfltGrpPolicy

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、Cisco Secure Desktop がインストールされているセキュリティ アプライアンスにのみ有効です。 システム検知 とも呼ばれるホストの整合性チェックには、VPN 機能ポリシーを適用するために満たす必要がある最小セットの基準がリモート PC に備わっているかどうかのチェックが含まれています。セキュリティ アプライアンスは、次のように hic-fail-group-policy 属性の値を使用して、リモート CSD ユーザへのアクセス権限を制限します。

• VPN 機能ポリシーを「Use Failure Group-Policy」に設定している場合は、常にこの値を使用します。

• VPN 機能ポリシーを「Use Success Group-Policy, if criteria match」に設定している場合は、基準が一致しなかったときに、この値を使用します。

この属性は、適用される失敗グループ ポリシーの名前を指定します。グループ ポリシーを使用して、アクセス権限を、デフォルト グループ ポリシーに関連付けられているアクセス権限と区別します。

（注） VPN 機能ポリシーを「Always use Success Group-Policy」に設定している場合、セキュリティ アプライアンスではこの属性を使用しません。

詳細については、『 Cisco Secure Desktop Configuration Guide for Cisco ASA 5500 Series Administrators 』を参照してください。

例

次に、「FirstGroup」という名前の WebVPN トンネル グループを作成して、「group2」という名前の失敗グループ ポリシーを指定する例を示します。

 

関連コマンド

 

構文の説明

 

構文の説明構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

これは HTTP フォームのコマンドを使用した SSO です。

セキュリティ アプライアンスの WebVPN サーバは、HTTP POST 要求を使用して、認証 Web サーバにシングル サインオン認証要求を送信します。その要求では、ユーザには表示されない SSO HTML フォームの特定の非表示パラメータ（ユーザ名およびパスワード以外）が必要になることがあります。Web サーバから受信したフォームに対して HTTP ヘッダー アナライザを使用することで、Web サーバが POST 要求で想定している非表示パラメータを検出できます。

コマンド hidden-parameter を使用すると、Web サーバが認証 POST 要求で必要としている非表示パラメータを指定できます。ヘッダー アナライザを使用する場合は、エンコーディング済みの URL パラメータを含む非表示パラメータ ストリング全体をコピーして貼り付けることができます。

入力を簡単にするために、複数の連続行で非表示パラメータを入力できます。セキュリティ アプライアンスでは、その複数行を連結して単一の非表示パラメータにします。非表示パラメータ 1 行ごとの最大文字数は 255 文字ですが、各行にはそれより少ない文字しか入力できません。

（注） ストリングに疑問符を含める場合は、疑問符の前に Ctrl+V のエスケープ シーケンスを使用する必要があります。

例

次に、& で区切られた 4 つのフォーム エントリとその値で構成される非表示パラメータの例を示します。POST 要求から抜き出された 4 つのエントリおよびその値は、次のとおりです。

• SMENC、値は ISO-8859-1

• SMLOCALE、値は US-EN

• ターゲット、値は https%3A%2F%2Ftools.cisco.com%2Femco%2Fappdir%2FAreaRoot.do

%3FEMCOPageCode%3DENG

• smauthreason、値は 0

SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Ftools.cisco.com%2Femco%2Fappdir%2FAreaRoot.do%3FEMCOPageCode%3DENG&smauthreason=0

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドのデフォルト動作は none です。

 

コマンド履歴

 

使用上のガイドライン

非表示共有は、共有名の末尾のドル記号（$）で識別されます。たとえば、ドライブ C は C$ として共有されます。非表示共有では、共有フォルダは表示されず、ユーザはこれらの非表示リソースを参照またはアクセスすることを禁止されます。

hidden-shares コマンドの no 形式を使用すると、コンフィギュレーションからオプションが削除され、グループ ポリシー属性として非表示共有がディセーブルになります。

例

次に、GroupPolicy2 に関連する WebVPN CIFS 非表示共有を可視にする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの seconds は 15 秒です。

 

コマンド履歴

 

使用上のガイドライン

この値は、セキュリティ アプライアンスによって EIGRP hello パケットでアドバタイズされます。そのインターフェイスの EIGRP ネイバーは、この値を使用してセキュリティ アプライアンスの可用性を判断します。アドバタイズされたホールド タイム中にセキュリティ アプライアンスから hello パケットを受信しなかった場合、EIGRP ネイバーはセキュリティ アプライアンスが使用不可であると見なします。

非常に混雑した大規模ネットワークでは、一部のルータおよびアクセス サーバが、デフォルト ホールド タイム内にネイバーから hello パケットを受信できない可能性があります。この場合、ホールド タイムを増やすこともできます。

ホールド タイムは、少なくとも hello 間隔の 3 倍にすることを推奨します。指定したホールド タイム内にセキュリティ アプライアンスで hello パケットを受信しなかった場合、このネイバーを通過するルートは使用不可であると見なされます。

ホールド タイムを増やすと、ネットワーク全体のルート収束が遅くなります。

例

次の例では、EIGRP hello 間隔を 10 秒に、ホールド タイムを 30 秒に設定します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのホームページはありません。

 

コマンド履歴

 

使用上のガイドライン

グループ ポリシーに関連付けられているユーザのホームページ URL を指定するには、このコマンドで url-string の値を入力します。デフォルト グローバル ポリシーからホームページを継承するには、このコマンドの no 形式を使用します。クライアントレス ユーザには、認証の成功後すぐにこのページが表示されます。AnyConnect は、VPN 接続が正常に確立されると、この URL に対してデフォルトの Web ブラウザを起動します。Linux プラットフォームでは、AnyConnect が現在このコマンドをサポートしていないため、コマンドは無視されます。

例

次に、FirstGroup という名前のグループ ポリシーのホームページとして www.example.com を指定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、インスタンスを複数設定できます。

例

次に、RADIUS アカウンティングを使用するホストを指定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのホスト名はプラットフォームによって異なります。

 

コマンド履歴

 

使用上のガイドライン

マルチコンテキスト モードでは、システム実行スペースで設定したホスト名がすべてのコンテキストのコマンド ラインのプロンプトに表示されます。

コンテキスト内に任意で設定したホスト名は、コマンドラインには表示されませんが、 banner コマンドの $(hostname) トークンでは使用できます。

例

次に、ホスト名を firewall1 に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次に、H.323 インスペクション ポリシー マップで HSI を HSI グループに追加する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次に、H.323 インスペクション ポリシー マップで HSI グループを設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

フィルタリングは行われません。

 

コマンド履歴

 

使用上のガイドライン

すべてのコンテンツ フィルタ（ html-content-filter none コマンドを発行して作成されたヌル値を含む）を削除するには、このコマンドの no 形式を引数なしで使用します。 no オプションを使用すると、値を別のグループ ポリシーから継承できるようになります。html コンテンツ フィルタを継承しないようにするには、 html-content-filter none コマンドを使用します。

次回このコマンドを使用すると、前回までの設定が上書きされます。

例

次に、FirstGroup という名前のグループ ポリシーに対して JAVA と ActiveX、クッキー、およびイメージのフィルタリングを設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

HTTP サーバにアクセスできるホストはありません。

 

コマンド履歴

例

次に、IP アドレス 10.10.99.1 とサブネット マスク 255.255.255.255 を持つホストが、外部インターフェイス経由で HTTP サーバにアクセスできるようにする例を示します。

次に、任意のホストが、外部インターフェイス経由で HTTP サーバにアクセスできるようにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、圧縮は gzip に設定されています。

 

コマンド履歴

 

使用上のガイドライン

WebVPN 接続の場合、グローバル コンフィギュレーション モードで設定された compression コマンドによって、グループ ポリシー コンフィギュレーション モードおよびユーザ名 webvpn コンフィギュレーション モードで設定された http-comp コマンドが上書きされます。

例

次に、グローバル ポリシー sales の圧縮をディセーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、HTTP プロキシ サーバは設定されていません。

 

コマンド履歴

 

使用上のガイドライン

組織が管理するサーバを経由したインターネットへのアクセスを必須にすると、セキュアなインターネット アクセスを確保して管理面の制御を保証するためのフィルタリング導入の別のきっかけにもなります。

セキュリティ アプライアンスでサポートされるのは、http-proxy コマンドの 1 つのインスタンスだけです。このコマンドのインスタンスが実行コンフィギュレーションにすでに 1 つ存在する場合、もう 1 つインスタンスを入力すると、CLI は以前のインスタンスを上書きします。 show running-config webvpn コマンドを入力すると、CLI によって実行コンフィギュレーション内のすべての http-proxy コマンドがリストされます。応答に http-proxy コマンドがリストされていない場合、このコマンドは存在しません。

例

次の例は、次の設定の HTTP プロキシ サーバの使用を設定する方法を示しています。IP アドレスが 209.165.201.2 のデフォルト ポート（443）を使用。

次に、同じプロキシ サーバを使用して、各 HTTP 要求とともにユーザ名およびパスワードを送信するように設定する例を示します。

次も、同じコマンドの例を示しますが、前の例とは異なり、この例では、セキュリティ アプライアンスが HTTP 要求で www.example.com という特定の URL を受信した場合には、プロキシ サーバに渡すのではなく自分自身で要求を解決します。

次に、exclude オプションの使用例を示します。

次に、pac オプションを使用する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの値や動作はありません。

 

コマンド履歴

 

使用上のガイドライン

セキュリティ アプライアンスは、さまざまなソースからの属性値を適用できます。次の階層に従って、属性値を適用します。

1. DAP レコード

2. ユーザ名

3. グループ ポリシー

4. トンネル グループのグループ ポリシー

5. デフォルトのグループ ポリシー

したがって、属性の DAP 値は、ユーザ、グループ ポリシー、またはトンネル グループに設定されたものよりも優先順位が高くなります。

DAP レコードの属性をイネーブルまたはディセーブルにすると、セキュリティ アプライアンスはその値を適用して実行します。たとえば、DAP webvpn モードで HTTP プロキシをディセーブルにすると、セキュリティ アプライアンスはそれ以上値を検索しません。代わりに、 http-proxy コマンドの no 値を使用すると、属性は DAP レコードには存在しないため、セキュリティ アプライアンスは適用する値を見つけるために、ユーザ名および必要に応じてグローバル ポリシーの AAA 属性に移動して検索します。

例

次に、Finance という名前のダイナミック アクセス ポリシー レコードに対して HTTP プロキシ ポート フォワーディングをイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

HTTP リダイレクトはディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

インターフェイスには、HTTP を許可するアクセス リストが必要です。アクセス リストがない場合、セキュリティ アプライアンスはポート 80 も HTTP 用に設定した他のどのポートもリッスンしません。

例

次に、デフォルト ポート 80 のままで、内部インターフェイスの HTTP リダイレクトを設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

HTTP サーバはディセーブルです。

 

コマンド履歴

例

次に、HTTP サーバをイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、HTTPS プロキシ サーバは設定されていません。

 

コマンド履歴

 

使用上のガイドライン

組織が管理するサーバを経由したインターネットへのアクセスを必須にすると、セキュアなインターネット アクセスを確保して管理面の制御を保証するためのフィルタリング導入の別のきっかけにもなります。

セキュリティ アプライアンスでサポートされるのは、https-proxy コマンドの 1 つのインスタンスだけです。このコマンドのインスタンスが実行コンフィギュレーションにすでに 1 つ存在する場合、もう 1 つインスタンスを入力すると、CLI は以前のインスタンスを上書きします。 show running-config webvpn コマンドを入力すると、CLI によって実行コンフィギュレーション内のすべての https-proxy コマンドがリストされます。応答に https-proxy コマンドがリストされていない場合、このコマンドは存在しません。

例

次の例は、次の設定の HTTPS プロキシ サーバの使用を設定する方法を示しています：IP アドレスが 209.165.201.2 のデフォルト ポート（443）を使用。

次に、同じプロキシ サーバを使用して、各 HTTPS 要求とともにユーザ名およびパスワードを送信するように設定する例を示します。

次も、同じコマンドの例を示しますが、前の例とは異なり、この例では、セキュリティ アプライアンスが HTTPS 要求で www.example.com という特定の URL を受信した場合には、プロキシ サーバに渡すのではなく自分自身で要求を解決します。

次に、pac オプションを使用する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、ハードウェア モジュールがアップ状態で、パスワード リセットがサポートされている場合にのみ有効です。AIP SSM でこのコマンドを実行すると、モジュールのリブートが発生します。モジュールは、リブートが完了するまで、オフライン状態になります。これには数分かかる場合があります。 show module コマンドを実行すると、モジュールの状態をモニタできます。

コマンドは、必ずプロンプトで確認を要求します。コマンドが成功した場合は、それ以上何も出力されません。コマンドが失敗した場合は、障害が発生した理由を示すエラー メッセージが表示されます。表示される可能性のあるエラー メッセージは、次のとおりです。

Unable to reset the password on the module in slot 1

Unable to reset the password on the module in slot 1 - unknown module state

Unable to reset the password on the module in slot 1 - no module installed

Failed to reset the password on the module in slot 1 - module not in Up state

Unable to reset the password on the module in slot 1 - unknown module type

The module is slot [n] does not support password reset

Unable to reset the password on the module in slot 1 - no application found

The SSM application version does not support password reset

Failed to reset the password on the module in slot 1

例

次に、スロット 1 のハードウェア モジュールのパスワードをリセットする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。