- このマニュアルについて
- ASDM の概要
- 始める前に
- スタートアップ ウィザードの使用
- インターフェイスの設定
- Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポートおよ び VLAN インターフェイスの設定
- グローバル オブジェクト
- セキュリティ コンテキストの設定
- デバイス プロパティの設定
- DHCP サービスと DNS サービス
- AAA サーバの設定
- デバイス アクセスの設定
- フェールオーバー
- ロギングの設定
- ダイナミック ルーティングおよび スタティック ルーティングの設定
- マルチキャスト ルーティングの設定
- ファイアウォール モードの 概要
- アクセス ルールの設定
- EtherType ルールの設定
- AAA ルールの設定
- フィルタ ルールの設定
- サービス ポリシー ルールの設定
- NAT
- ARP 検査およびブリッジング パラメータの設定
- ネットワーク攻撃の防止
- QoS の設定
- VPN
- IKE
- 一般的な VPN 設定
- WebVPN
- WebVPN エンド ユーザ 設定
- 電子メール プロキシ
- SSL 設定の指定
- 証明書の設定
- CSD
- IPS の設定
- Trend Micro Content Security の設定
- システム ログ メッセージのモニタリ ング
- Trend Micro Content Security のモニ タリング
- フェールオーバーのモニタリング
- インターフェイスのモニタリング
- ルーティングのモニタリング
- VPN のモニタリング
- プロパティのモニタリング
- 索引
ASDM ユーザ ガイド Version 5.2(2)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月20日
章のタイトル: スタートアップ ウィザードの使用
- Startup Wizard
- Starting Point
- Basic Configuration
- Outside Interface Configuration
- Internet (Outside) VLAN Configuration
- Outside Interface Configuration - PPPoE
- Internet (Outside) VLAN Configuration - PPPoE
- Inside Interface Configuration
- Business (Inside) VLAN Configuration
- DMZ Interface Configuration
- Home (DMZ) VLAN Configuration
- Switch Port Allocation
- General Interface Configuration
- Static Routes
- Add/Edit Static Routes
- Route Monitoring Options
- Auto Update Server
- DHCP Server
- Address Translation (NAT/PAT)
- Administrative Access
- Add/Edit Administrative Access Entry
- Easy VPN Remote Configuration
- Management IP Address Configuration
- Other Interfaces Configuration
- Edit Interface
- Startup Wizard Summary
スタートアップ ウィザードの使用
Startup Wizard
Cisco ASDM 5.2 開始画面から次の順にクリックします。
Configuration > Properties > Startup Wizard
ASDM Startup Wizard ウィザードで、セキュリティ アプライアンスの初期コンフィギュレーションを段階的に設定することができます。コンフィギュレーション画面をクリックすると表示されるプロンプトに従って、使用するセキュリティ アプライアンスの情報を入力します。Startup Wizard で設定すると、セキュリティ アプライアンスの使用をすぐに開始できます。
Startup Wizard では、コンフィギュレーションで次のように定義します。
•
イネーブル パスワード。ASDM またはコマンドライン インターフェイスからセキュリティ アプライアンスの管理アクセスを制限します。
• セキュリティ アプライアンスの外部インターフェイス IP アドレスの情報
• 内部インターフェイスまたは DMZ インターフェイスなど、セキュリティ アプライアンスで使用する他のインターフェイスも Startup Wizard ウィザードで設定できます。
• 使用するセキュリティ アプライアンスの NAT または PAT のルール
• DHCP サーバを利用する場合など、内部インターフェイスの DHCP 設定
各設定の詳細情報を表示するには、該当するコンフィギュレーション画面で Help ボタンをクリックします。
Startup Wizard の使用には次の情報が必要です。事前に確認してください。
• 使用するネットワークで セキュリティ アプライアンス を識別する一意のホスト名
• 外部インターフェイス、内部インターフェイスなどの IP アドレス
• NAT または PAT のコンフィギュレーションに使用する IP アドレス
• Startup Wizard を実行するには、Cisco ASDM 5.2 の開始ページで Run Startup Wizard as a Java Applet ボタンをクリックします。
• Startup Wizard は、ASDM の Wizards メニューからいつでもアクセスできます。
• Help のアイコンには疑問符「?」が表示されています。
• 以降の Startup Wizard ページでは、 Finish をクリックしてウィザードをいつでも終了できます。 ここでは、Startup Wizard での変更がセキュリティ アプライアンスに送信されます。
• セキュリティ アプライアンスは 2 つのモードで実行されます。
–ルーテッド:ルーテッド モードでは、セキュリティ アプライアンスは、接続するネットワークのルータになります。インターフェイスごとに、それぞれ異なるサブネットの IP アドレスが必要です。セキュリティ アプライアンスは接続するネットワーク間の NAT を実行します。シングルコンテキスト モードでは、ルーテッド ファイアウォールは OSPF および RIP をサポートします(パッシブ モードで)。マルチコンテキスト モードでは、スタティック ルートだけがサポートされます。ルーテッド モードでは、コンテキストあたり 256 までのインターフェイスがサポートされています。また、シングルモードでは、最大 1000 のインターフェイスをそれぞれのコンテキストに分割して使用できます。インターフェイスはそれぞれ異なるサブネット上に置かれます。コンテキスト間でインターフェイスを共有することもできます。
ルーテッド モードでは、ACL で許可しても、いくつかのタイプのトラフィックはセキュリティ アプライアンスを通過できません。一方、透過ファイアウォールは、拡張 ACL(IP トラフィックの場合)または EtherType ACL を使用して、どのトラフィックも許可することができます。
(注) 高度なルーティングのニーズを、セキュリティ アプライアンスに頼るのではなく、MSFC などのアップストリーム ルータとダウンストリーム ルータの拡張ルーティング機能を使用することをお勧めします。
–透過:透過モードでは、セキュリティ アプライアンスは、接続デバイスへのルータ ホップとして見なされず、「bump-in-the-wire(BITW)」または「ステルス ファイアウォール」のように動作します。同じネットワークがセキュリティ アプライアンスの内部ポートと外部ポートで接続されますが、異なる VLAN を内部と外部で使用します。ダイナミック ルーティング プロトコルまたは NAT は必要ありません。透過モードでは、内部インターフェイスと外部インターフェイスの 2 つのインターフェイスのみサポートされます。透過モードを使用すると、コンフィギュレーションを簡略化したり、攻撃者から認識されにくくすることができます。透過ファイアウォールは、他の場合にはルーテッド モードでブロックされるトラフィックにも使用できます。たとえば、透過ファイアウォールでは、マルチキャスト ストリームが許可されます。
透過モードはブリッジとして機能しますが、IP トラフィックなどのレイヤ 3 トラフィックは、拡張 ACL で明示的に許可されない限り、セキュリティ アプライアンスを通過できません。ACL なしで透過ファイアウォールを通過できるトラフィックは ARP トラフィックだけです。ARP トラフィックは ARP 検査によって制御されます。
(注) 透過モードのセキュリティ アプライアンスは、CDP パケットを通過させません。
• コンテキスト モード(シングルまたはマルチ)は、リブートしても保持されますが、コンフィギュレーション ファイルには保存されません。別の装置にコンフィギュレーションをコピーする必要がある場合、mode コマンドを実行して新しい装置のモードが一致するように設定します。
シングルモードからマルチモードに変換すると、セキュリティ アプライアンスは、実行コンフィギュレーションを 2 つのファイルに変換します。その 2 つとは、システム コンフィギュレーションを構成する新しいスタートアップ コンフィギュレーションと、管理コンテキストを構成する admin.cfg です(内部フラッシュ メモリのルート ディレクトリに作成されます)。
• フル ライセンスでは、セキュリティ アプライアンス でインターフェイスを 5 つまでサポートし、そのうち 3 つまでのインターフェイス名を「interface」にできます。制限モードでは、セキュリティ アプライアンスでサポートされるインターフェイスは 3 つまで、透過モードでは、セキュリティ アプライアンスでサポートされるインターフェイスは 2 つまでです。
作成したインターフェイスまたは名前を付けたインターフェイスが最大数に達すると、VLAN を新規追加できないため、既存の VLAN の選択が必要になります。
• セキュリティ アプライアンスは Easy VPN リモート デバイスとして使用できます。ただし、セキュリティ アプライアンスを Easy VPN リモート デバイスで機能するように設定すると、他のトンネル タイプを確立できません。たとえば、セキュリティ アプライアンスは、両方を Easy VPN リモート デバイスとして同時に、または 1 方の端を標準ピアツーピア VPN として展開することはできません。
セキュリティ アプライアンスを Easy VPN リモート デバイスとして使用する場合、2 つの動作モードがあります。
–Network Extension Mode(ネットワーク拡張モード)
Easy VPN の Client Mode を設定すると、セキュリティ アプライアンス は内部ネットワークにクライアント IP アドレスを示しません。その代わり、ネットワーク アドレス変換(NAT)を利用して、プライベート ネットワークの IP アドレスを特定の IP アドレスに変換します。セキュリティ アプライアンスを Client Mode に設定すると、プライベート ネットワークの外部からデバイスに ping を実行したり、アクセスしたりできなくなります。
Easy VPN の Network Extension Mode を設定すると、セキュリティ アプライアンスはローカル ホストの IP アドレスを保護せず、割り当てられている IP アドレスに置き換えられません。したがって、VPN 接続の相手側ホストは、ローカル ネットワークのホストと直接通信できます。
Launch Startup Wizard:Startup Wizard を起動します。
(注) Launch Startup Wizard ボタンは、ツールバーから Wizards >Startup Wizard をクリックした場合、表示されません。
この画面を除き、Startup Wizard のすべての画面に次のボタンが表示されます。
• Back:直前の画面に戻ります(この画面ではボタンがグレー表示されます)。
• Finish:画面の選択に従い、コンフィギュレーションをセキュリティ アプライアンスに送信します(この画面ではボタンがグレー表示されます)。
• Cancel:変更を破棄して適用しません。Cancel をクリックすると、Exit Wizard ダイアログボックスが表示されます。Exit をクリックすると Wizard は終了し、Cancel をもう一度クリックすると Wizard 画面に戻ります。Wizard で Back をクリックすると、いつでも直前の画面に戻れます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Starting Point
Configuration > Properties > Startup Wizard > Starting Point
Starting Point 画面で、既存のコンフィギュレーションを続けて利用したり、工場出荷時のデフォルト コンフィギュレーションにリセットしたりできます。Reset configuration to existing defaults チェックボックスをオンにすると、デフォルトの内部インターフェイスの IP アドレスとサブネット マスクに戻ります。既存のコンフィギュレーションを続けて利用する場合、IP アドレスとサブネット マスクは自動的に保持されます。
Starting Point 画面には、Next、Cancel、Help ボタン、および次の項目が表示されます。
• Modify existing configuration:既存のコンフィギュレーションを利用してウィザードを開始します。
• Reset configuration to factory defaults:内部インターフェイスの工場出荷時のデフォルト値でウィザードを開始します。
–Configure the IP address of the management interface:管理インターフェイスの IP アドレスとサブネット マスクを設定します。
IP Address:設定する管理インターフェイスの IP アドレスを入力します。
Subnet Mask:設定する管理インターフェイスの サブネット マスクを入力します。
(注) コンフィギュレーションを工場出荷時のデフォルト値にリセットすると、ウィザードをキャンセルして変更を元に戻すことはできません。
(注) この画面の Back と Finish ボタンはディセーブルになっています。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Basic Configuration
Startup Wizard > Basic Configuration
Basic Configuration 画面で、使用するセキュリティ アプライアンスのホスト名とイネーブル パスワード、およびセキュリティ アプライアンスのドメイン名を設定できます。
ドメイン名は最大 63 文字の英数字で指定します。大文字と小文字を区別しません。
イネーブル パスワードを使用すると、ASDM またはセキュリティ アプライアンスをコマンドライン インターフェイスから管理できます。パスワードは最大 16 文字の英数字で、大文字と小文字を区別します。現在のパスワードを変更するには、 Change privileged mode (enabled) password チェックボックスをオンにし、変更前のパスワードと変更後のパスワードを入力してから、変更後のパスワードをフィールドで確認します。
(注) パスワード フィールドを空白にすると Password Confirmation 画面が表示されて、非常に大きなセキュリティ リスクであることを警告します。
Basic Configuration 画面には、Back、Next、Finish、Cancel、Help ボタン、および次の項目が表示されます。
• Host Name:セキュリティ アプライアンスのホスト名を入力します。ホスト名は最大 63 文字の英数字で、大文字と小文字を区別しません。注:このフィールドには、使用しているプラットフォームに応じて、ホスト名の前に ASA または PIX が表示されます。
• Domain Name:セキュリティ アプライアンスの IPSec ドメイン名を指定します。後で認証に使用されます。ドメイン名は最大 63 文字の英数字で指定します。特殊文字とスペースは使用できません。
• Privileged Mode (Enable) Password area:ASDM またはコマンドライン インターフェイスからセキュリティ アプライアンスへの管理アクセスを制限します。
–Change privileged mode (enable) Password:現在の特権モードの(イネーブル)パスワードを変更します。
–Old Password:変更前のイネーブル パスワードがある場合、そのパスワードを入力します。
–New Password:変更後のイネーブル パスワードを入力します。 パスワードは最大 16 文字の英数字で、大文字と小文字を区別します。
–Confirm New Password:変更後のイネーブル パスワードを再入力します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
この機能は、ASDM アプリケーションのメイン画面で利用できます。
Configuration > Properties > Device Administration > Device
Configuration > Properties > Device Administration > Password
Outside Interface Configuration
Startup Wizard > Outside Interface Configuration
Outside Interface Configuration で、IP アドレスを指定するか PPPoE または a DHCP サーバから取得して、外部インターフェイスを設定できます。
Outside Interface Configuration 画面には、Back、Next、Finish、Cancel、Help ボタン、および次の項目が表示されます。
–Interface:新規のインターフェイスを追加するか、またはドロップダウン リストから選択します。
–Interface Name:新しいインターフェイスに名前を追加します。または、既存のインターフェイス名を表示します。
–Enable interface:インターフェイスを特権モードでアクティブにします。
–Security Level:インターフェイスのセキュリティ レベル範囲が 0 ~ 100 で表示されます。100 は内部インターフェイス、0 は外部インターフェイスに割り当てられます。境界インターフェイスには、1 ~ 99 の範囲の番号が使用されます。0 ~ 100 のセキュリティ レベルは、デフォルトでは設定されません。
–Use PPPoE:イーサネット経由の PPP (PPPoE)サーバからインターフェイスの IP アドレスを取得します。
PPPoE のデフォルト パスワード認証方式は、パスワード認証プロトコル(PAP)です。チャレンジ ハンドシェーク認証プロトコル(CHAP)または Microsoft CHAP(MSCHAP)を手動で設定するオプションもあります。
–Use DHCP:IP アドレスをダイナミック ホスト コンフィギュレーション プロトコル サーバから取得し、IP アドレスが不要になったホストから再利用します。
(注) DHCP クライアントには IP アドレスが初期設定されないため、ブロードキャスト要求を送信して DHCP サーバから IP アドレスを取得する必要があります。
Obtain default route using DHCP:DHCP を使用してデフォルト ゲートウェイの IP アドレスを取得します。
(注) DHCP をワークステーション(ホスト)から使用すると、ブートアップ時に IP アドレス、サブネット マスク、デフォルト ゲートウェイなどの初期設定情報を取得できます。
–Use the following IP address:インターフェイスの IP アドレスを手動で指定します。
IP Address:外部インターフェイスの IP アドレスを入力します。
Subnet Mask:外部インターフェイスのサブネット マスクを入力します。また、ドロップダウン リストから選択もできます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Internet (Outside) VLAN Configuration
Startup Wizard > Internet (Outside) VLAN Configuration
Internet (Outside) VLAN Configuration 画面で、IP アドレスを指定するか PPPoE または DHCP サーバから取得して、インターネットのインターフェイスを設定できます。
フル ライセンスでは、セキュリティ アプライアンス でインターフェイスを 5 つまでサポートし、そのうち 3 つまでのインターフェイス名を「interface」にできます。制限モードでは、セキュリティ アプライアンスでサポートされるインターフェイスは 3 つまで、透過モードでは、セキュリティ アプライアンスでサポートされるインターフェイスは 2 つまでです。
作成したインターフェイスまたは名前を付けたインターフェイスが最大数に達すると、VLAN を新規追加できないため、既存の VLAN の選択が必要になります。
Internet (Outside) VLAN Configuration 画面には、Back、Next、Finish、Cancel、Help ボタン、および次の項目が表示されます。
• Select Internet Interface エリア
–Choose an interface:設定するインターフェイスをドロップダウン リストから選択します。
–Create new VLAN interface:新規の VLAN インターフェイスを作成します。クリックして、新しい VLAN の番号を入力します。
作成したインターフェイスまたは名前を付けたインターフェイスが最大数に達すると、VLAN を新規追加できないため、既存の VLAN の選択が必要になります。詳細については、「特記事項」の項を参照してください。
• Enable interface:インターフェイスを特権モードでアクティブにします。
• Interface Name:インターフェイスの名前を指定します。
• Security Level:インターフェイスのセキュリティ レベルを 0 ~ 100 の範囲で指定します。100 は内部インターフェイス、0 は外部インターフェイスに割り当てられます。境界インターフェイスには、1 ~ 99 の範囲の番号が使用されます。0 ~ 100 のセキュリティ レベルは、デフォルトでは設定されません。
–Use PPPoE:インターネット インターフェイスのダイナミック IP アドレスを PPPoE サーバから取得します。
–Use DHCP:インターネット インターフェイスの IP アドレスを DHCP サーバから取得します。
(注) DHCP クライアントには IP アドレスが初期設定されないため、ブロードキャスト要求を送信して DHCP サーバから IP アドレスを取得する必要があります。
Obtain default route using DHCP:DHCP を使用してデフォルト ゲートウェイの IP アドレスを取得します。
(注) DHCP をワークステーション(ホスト)から使用すると、ブートアップ時に IP アドレス、サブネット マスク、デフォルト ゲートウェイなどの初期設定情報を取得できます。
–Use the following IP address:インターネット インターフェイスの IP アドレスを指定します。PPPoE サーバまたは DHCP サーバから取得しません。
IP Address:インターネット インターフェイスの IP アドレスを入力します。
Subnet Mask:インターネット インターフェイスのサブネット マスクを入力します。また、ドロップダウン リストから選択もできます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Outside Interface Configuration - PPPoE
Startup Wizard > Outside Interface Configuration - PPPoE
Outside Interface Configuration - PPPoE 画面で、IP アドレスを PPPoE サーバから取得してインターフェイスを設定できます。ASA デバイスは、指定したインターフェイスの PPPoE です。
ネットワーク レイヤ プロトコルをルーティングする前に、この場合は PPPoE 認証を実行して、接続を確立してネゴシエートする必要があります。
Outside Interface Configuration - PPPoE 画面には、Back、Next、Finish、Cancel、Help ボタン、および次の項目が表示されます。
• Group Name:インターフェイスの名前を指定します。
–PPPoE Username:認証に必要な PPPoE ユーザ名を指定します。
–PPPoE Password:認証に必要な PPPoE パスワードを指定します。
–Confirm PPPoE Password:PPPoE パスワードを確認します。
PPPoE のデフォルト パスワード認証方式は、パスワード認証プロトコル(PAP)です。チャレンジ ハンドシェーク認証プロトコル(CHAP)または Microsoft CHAP(MSCHAP)を手動で設定するオプションもあります。
–PAP:認証方式としてパスワード認証プロトコルを選択します。PAP は最も単純な認証プロトコルです。この方式では、ユーザ名とパスワードは暗号化されません。
–CHAP:認証方式としてチャレンジ ハンドシェーク認証プロトコルを選択します。
CHAP はリモート エンドを識別するだけで、不正アクセスを防止しません。その際、アクセス サーバはユーザにアクセス権限があるかどうかを判断します。
–MSCHAP:Microsoft チャレンジ ハンドシェーク認証プロトコルを選択し、Microsoft Screens オペレーティング システムのコンピュータとアクセス サーバを PPP 接続します。
–Obtain IP Address using PPPoE:IP アドレスを PPPoE サーバから取得します。
PPPoE のデフォルト パスワード認証方式は、パスワード認証プロトコル(PAP)です。チャレンジ ハンドシェーク認証プロトコル(CHAP)または Microsoft CHAP(MSCHAP)を手動で設定するオプションもあります。
–Specify an IP address:インターフェイスの IP アドレスを指定します。PPPoE サーバから取得しません。
IP Address:インターフェイスの IP アドレスを入力します。
Subnet Mask:インターフェイスのサブネット マスクを入力します。また、ドロップダウン リストから選択もできます。
–Obtain default route using PPPoE:PPPoE サーバと PPPoE クライアント間のデフォルト ルートを取得します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Internet (Outside) VLAN Configuration - PPPoE
Startup Wizard > Internet (Outside) VAN Configuration - PPPoE
Internet (Outside) VLAN Configuration - PPPoE 画面で、IP アドレスを PPPoE サーバから取得してインターフェイスを設定できます。ASA デバイスは、指定したインターフェイスの PPPoE です。
ネットワーク レイヤ プロトコルをルーティングする前に、この場合は PPPoE 認証を実行して、接続を確立してネゴシエートする必要があります。
Internet (Outside) VLAN Configuration - PPPoE 画面には、Back、Next、Finish、Cancel、Help ボタン、および次の項目が表示されます。
• Group Name:インターフェイスの名前を指定します。
–PPPoE Username:認証に必要な PPPoE ユーザ名を指定します。
–PPPoE Password:認証に必要な PPPoE パスワードを指定します。
–Confirm PPPoE Password:PPPoE パスワードを確認します。
PPPoE のデフォルト パスワード認証方式は、パスワード認証プロトコル(PAP)です。 チャレンジ ハンドシェーク認証プロトコル(CHAP)または Microsoft CHAP(MSCHAP)を手動で設定するオプションもあります。
–PAP:認証方式としてパスワード認証プロトコルを選択します。PAP は最も単純な認証プロトコルです。 この方式では、ユーザ名とパスワードは暗号化されません。
–CHAP:認証方式としてチャレンジ ハンドシェーク認証プロトコルを選択します。
CHAP はリモート エンドを識別するだけで、不正アクセスを防止しません。その際、アクセス サーバはユーザにアクセス権限があるかどうかを判断します。
–MSCHAP:Microsoft チャレンジ ハンドシェーク認証プロトコルを選択し、Microsoft Screens オペレーティング システムのコンピュータとアクセス サーバを PPP 接続します。
–Obtain IP Address using PPPoE:IP アドレスを PPPoE サーバから取得します。
PPPoE のデフォルト パスワード認証方式は、パスワード認証プロトコル(PAP)です。 チャレンジ ハンドシェーク認証プロトコル(CHAP)または Microsoft CHAP(MSCHAP)を手動で設定するオプションもあります。
–Specify an IP address:インターフェイスの IP アドレスを指定します。PPPoE サーバから取得しません。
IP Address:インターフェイスの IP アドレスを入力します。
Subnet Mask:インターフェイスのサブネット マスクを入力します。また、ドロップダウン リストから選択もできます。
–Obtain default route using PPPoE:PPPoE サーバと PPPoE クライアント間のデフォルト ルートを取得します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Inside Interface Configuration
Startup Wizard > Inside Interface Configuration
Inside Interface Configuration 画面で、IP アドレスを指定するか PPPoE サーバまたは DHCP サーバから取得して、内部インターフェイスを設定できます。
(注) VLAN が設定されるとメッセージが表示され、さらに変更するには Configuration > Interfaces を選択することを示します。
フル ライセンスでは、セキュリティ アプライアンス でインターフェイスを 5 つまでサポートし、そのうち 3 つまでのインターフェイス名を「interface」にできます。制限モードでは、セキュリティ アプライアンスでサポートされるインターフェイスは 3 つまで、透過モードでは、セキュリティ アプライアンスでサポートされるインターフェイスは 2 つまでです。
作成したインターフェイスまたは名前を付けたインターフェイスが最大数に達すると、VLAN を新規追加できないため、既存の VLAN の選択が必要になります。
Inside Interface Configuration 画面には、Back、Next、Finish、Cancel、Help ボタン、および次の項目が表示されます。
–Choose an interface:設定するインターフェイスをドロップダウン リストから選択します。
–Create new VLAN interface:新規の内部インターフェイスを作成します。
–Enable interface:インターフェイスを特権モードでアクティブにします。
• Interface Name:インターフェイスの名前を指定します。
• Security Level:インターフェイスのセキュリティ レベルを 0 ~ 100 の範囲で指定します。100 は内部インターフェイス、0 は外部インターフェイスに割り当てられます。境界インターフェイスには、1 ~ 99 の範囲の番号が使用されます。0 ~ 100 のセキュリティ レベルは、デフォルトでは設定されません。
–Use PPPoE:内部インターフェイスの IP アドレスを PPPoE サーバから取得します。
–Use DHCP:内部インターフェイスの IP アドレスを DHCP サーバから取得します。
(注) DHCP クライアントには IP アドレスが初期設定されないため、ブロードキャスト要求を送信して DHCP サーバから IP アドレスを取得する必要があります。
Obtain default route using DHCP:DHCP を使用してデフォルト ゲートウェイの IP アドレスを取得します。
(注) DHCP をワークステーション(ホスト)から使用すると、ブートアップ時に IP アドレス、サブネット マスク、デフォルト ゲートウェイなどの初期設定情報を取得できます。
–Use the following IP address:内部インターフェイスの IP アドレスを指定します。PPPoE サーバまたは DHCP サーバから取得しません。
IP Address:内部インターフェイスの IP アドレスを指定します。
Subnet Mask:内部インターフェイスのサブネット マスクを指定します。サブネット マスクの IP アドレスのリストが表示されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Business (Inside) VLAN Configuration
Startup Wizard > Business (Inside) VLAN Configuration
Business (Inside) VLAN Configuration 画面で、IP アドレスを指定するか PPPoE サーバまたは DHCP サーバから取得して、内部インターフェイスを設定できます。
(注) VLAN が設定されるとメッセージが表示され、さらに変更するには Configuration > Interfaces を選択することを示します。
フル ライセンスでは、セキュリティ アプライアンス でインターフェイスを 5 つまでサポートし、そのうち 3 つまでのインターフェイス名を「interface」にできます。制限モードでは、セキュリティ アプライアンスでサポートされるインターフェイスは 3 つまで、透過モードでは、セキュリティ アプライアンスでサポートされるインターフェイスは 2 つまでです。
作成したインターフェイスまたは名前を付けたインターフェイスが最大数に達すると、VLAN を新規追加できないため、既存の VLAN の選択が必要になります。
Business (Inside) VLAN Configuration 画面には、Back、Next、Finish、Cancel、Help ボタン、および次の項目が表示されます。
–Choose an interface:設定するインターフェイスをドロップダウン リストから選択します。
–Create new VLAN interface:新規の内部インターフェイスを作成します。
–Enable interface:インターフェイスを特権モードでアクティブにします。
• Interface Name:インターフェイスの名前を指定します。
• Security Level:インターフェイスのセキュリティ レベルを 0 ~ 100 の範囲で指定します。100 は内部インターフェイス、0 は外部インターフェイスに割り当てられます。境界インターフェイスには、1 ~ 99 の範囲の番号が使用されます。0 ~ 100 のセキュリティ レベルは、デフォルトでは設定されません。
–Use PPPoE:内部インターフェイスの IP アドレスを PPPoE サーバから取得します。
–Use DHCP:内部インターフェイスの IP アドレスを DHCP サーバから取得します。
(注) DHCP クライアントには IP アドレスが初期設定されないため、ブロードキャスト要求を送信して DHCP サーバから IP アドレスを取得する必要があります。
Obtain default route using DHCP:DHCP を使用してデフォルト ゲートウェイの IP アドレスを取得します。
(注) DHCP をワークステーション(ホスト)から使用すると、ブートアップ時に IP アドレス、サブネット マスク、デフォルト ゲートウェイなどの初期設定情報を取得できます。
–Use the following IP address:内部インターフェイスの IP アドレスを指定します。PPPoE サーバまたは DHCP サーバから取得しません。
IP Address:内部インターフェイスの IP アドレスを指定します。
Subnet Mask:内部インターフェイスのサブネット マスクを指定します。サブネット マスクの IP アドレスのリストが表示されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
DMZ Interface Configuration
Startup Wizard > DMZ Interface Configuration
DMZ Interface Configuration 画面で、ワーク インターフェイスを設定できます。
セキュリティ アプライアンスでは、フル機能の名前の付いたインターフェイスを 3 つまでサポートします。透過モードでは、セキュリティ アプライアンスでサポートされるインターフェイスは 2 つまでです。通常、1 つのインターフェイスが外部インターネット(インターネット ゾーン)と接続、別のインターフェイスがホーム ネットワーク(ホーム ゾーン)と接続し、3 つ目のインターフェイス(ワーク インターフェイス)が非武装地帯(DMZ)のように動作します。DMZ は、ニュートラル ゾーンにある別のネットワークで、プライベート(内部)ネットワークとパブリック(外部)ネットワークの間にあります。
フル ライセンスでは、セキュリティ アプライアンス でインターフェイスを 5 つまでサポートし、そのうち 3 つまでのインターフェイス名を「interface」にできます。制限モードでは、セキュリティ アプライアンスでサポートされるインターフェイスは 3 つまで、透過モードでは、セキュリティ アプライアンスでサポートされるインターフェイスは 2 つまでです。
作成したインターフェイスまたは名前を付けたインターフェイスが最大数に達すると、VLAN を新規追加できないため、既存の VLAN の選択が必要になります。
DMZ Interface Configuration 画面には、Back、Next、Finish、Cancel、Help ボタン、および次の項目が表示されます。
–Choose an interface:設定するインターフェイスをドロップダウン リストから選択します。
–Create new VLAN interface:新規のワーク インターフェイスを作成します。
–Enable interface:インターフェイスを特権モードでアクティブにします。
• Interface Name:インターフェイスの名前を指定します。
• Security Level:インターフェイスのセキュリティ レベルを 0 ~ 100 の範囲で指定します。100 は内部インターフェイス、0 は外部インターフェイスに割り当てられます。境界インターフェイスには、1 ~ 99 の範囲の番号が使用されます。0 ~ 100 のセキュリティ レベルは、デフォルトでは設定されません。
–Use PPPoE:ワーク インターフェイスの IP アドレスを PPPoE サーバから取得します。
–Use DHCP:ワーク インターフェイスの IP アドレスを DHCP サーバから取得します。
(注) DHCP クライアントには IP アドレスが初期設定されないため、ブロードキャスト要求を送信して DHCP サーバから IP アドレスを取得する必要があります。
Obtain default route using DHCP:DHCP を使用してデフォルト ゲートウェイの IP アドレスを取得します。
(注) DHCP をワークステーション(ホスト)から使用すると、ブートアップ時に IP アドレス、サブネット マスク、デフォルト ゲートウェイなどの初期設定情報を取得できます。
–Use the following IP address:ワーク インターフェイスの IP アドレスを指定します。PPPoE サーバまたは DHCP サーバから取得しません。
IP Address:ワーク インターフェイスの IP アドレスを指定します。
Subnet Mask:ワーク インターフェイスのサブネット マスクを指定します。ドロップダウン リストからサブネット マスクの IP アドレスを選択できます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Home (DMZ) VLAN Configuration
Startup Wizard > Home (DMZ) VLAN Configuration
Home (DMZ) VLAN Configuration 画面で、ワーク インターフェイスを設定できます。
セキュリティ アプライアンスでは、フル機能の名前の付いたインターフェイスを 3 つまでサポートします。透過モードでは、セキュリティ アプライアンスでサポートされるインターフェイスは 2 つまでです。通常、1 つのインターフェイスが外部インターネット(インターネット ゾーン)と接続、別のインターフェイスがホーム ネットワーク(ホーム ゾーン)と接続し、3 つ目のインターフェイス(ワーク インターフェイス)が非武装地帯(DMZ)のように動作します。DMZ は、ニュートラル ゾーンにある別のネットワークで、プライベート(内部)ネットワークとパブリック(外部)ネットワークの間にあります。
フル ライセンスでは、セキュリティ アプライアンス でインターフェイスを 5 つまでサポートし、そのうち 3 つまでのインターフェイス名を「interface」にできます。制限モードでは、セキュリティ アプライアンスでサポートされるインターフェイスは 3 つまで、透過モードでは、セキュリティ アプライアンスでサポートされるインターフェイスは 2 つまでです。
作成したインターフェイスまたは名前を付けたインターフェイスが最大数に達すると、VLAN を新規追加できないため、既存の VLAN の選択が必要になります。
Home (DMZ) VLAN Configuration 画面には、Back、Next、Finish、Cancel、Help ボタン、および次の項目が表示されます。
–Choose an interface:設定するインターフェイスをドロップダウン リストから選択します。
–Create new VLAN interface:新規のワーク インターフェイスを作成します。
–Enable interface:インターフェイスを特権モードでアクティブにします。
• Interface Name:インターフェイスの名前を指定します。
• Security Level:インターフェイスのセキュリティ レベルを 0 ~ 100 の範囲で指定します。100 は内部インターフェイス、0 は外部インターフェイスに割り当てられます。境界インターフェイスには、1 ~ 99 の範囲の番号が使用されます。0 ~ 100 のセキュリティ レベルは、デフォルトでは設定されません。
–Use PPPoE:ワーク インターフェイスの IP アドレスを PPPoE サーバから取得します。
–Use DHCP:ワーク インターフェイスの IP アドレスを DHCP サーバから取得します。
(注) DHCP クライアントには IP アドレスが初期設定されないため、ブロードキャスト要求を送信して DHCP サーバから IP アドレスを取得する必要があります。
Obtain default route using DHCP:DHCP を使用してデフォルト ゲートウェイの IP アドレスを取得します。
(注) DHCP をワークステーション(ホスト)から使用すると、ブートアップ時に IP アドレス、サブネット マスク、デフォルト ゲートウェイなどの初期設定情報を取得できます。
–Use the following IP address:ワーク インターフェイスの IP アドレスを指定します。PPPoE サーバまたは DHCP サーバから取得しません。
IP Address:ワーク インターフェイスの IP アドレスを指定します。
Subnet Mask:ワーク インターフェイスのサブネット マスクを指定します。ドロップダウン リストからサブネット マスクの IP アドレスを選択できます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Switch Port Allocation
Startup Wizard > Switch Port Allocation
Switch Port Allocation 画面で、スイッチ ポートを外部インターフェイス、内部インターフェイス、ワーク インターフェイスに割り当てられます。VLAN はポート ベースなので、それぞれの VLAN にポートを設定する必要があります。デフォルトでは、スイッチ ポートはすべて VLAN1 から始まります。
Switch Port Allocation 画面には、Back、Next、Finish、Cancel、Help ボタン、および次の項目が表示されます。
Allocate Switch Ports to your Outside Interface(vlanid)エリア
• Available Ports:使用できるポートのリストから、追加または削除するポートを選択します。
• Allocated Ports:割り当てられたポートのリストから、追加または削除するポートを選択します。
• Add:使用できるポートのリスト、または割り当てられたポートのリストにポートを追加します。
• Remove:使用できるポートのリスト、または割り当てられたポートのリストからポートを削除します。
Allocate Switch Ports to your Inside Interface(vlanid)エリア
• Available Ports:使用できるポートのリストから、追加または削除するポートを選択します。
• Allocated Ports:割り当てられたポートのリストから、追加または削除するポートを選択します。
• Add:使用できるポートのリスト、または割り当てられたポートのリストにポートを追加します。
• Remove:使用できるポートのリスト、または割り当てられたポートのリストからポートを削除します。
Allocate Switch Ports to your Work Interface(vlanid)エリア
• Available Ports:使用できるポートのリストから、追加または削除するポートを選択します。
• Allocated Ports:割り当てられたポートのリストから、追加または削除するポートを選択します。
• Add:使用できるポートのリスト、または割り当てられたポートのリストにポートを追加します。
• Remove:使用できるポートのリスト、または割り当てられたポートのリストからポートを削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
General Interface Configuration
Startup Wizard > General Interface Configuration
General Interface Configuration 画面で、インターフェイス間のトラフィック、および同じインターフェイスに接続するホスト間のトラフィックをイネーブルにしたり、制限したりできます。
トラフィック制限は、オプションの設定ではありません。制限されたライセンスだけを使用する場合、あるインターフェイスから他のすべてのインターフェイスまでを制限する必要があります。通常は、ワーク インターフェイスから内部インターフェイスへのトラフィックが対象ですが、任意のペアを選択できます。フル ライセンスまたはデバイスが透過モードの場合、Restrict Traffic エリアのフィールドは表示されません。
General Interface Configuration 画面には、Back、Next、Finish、Cancel、Help ボタン、および次の項目が表示されます。
• Enable traffic between two or more interfaces with the same security level:同じセキュリティ レベルの複数インターフェイス間のトラフィックをイネーブルにします。
• Enable traffic between two or more hosts connected to the same interface:同じインターフェイスに接続する複数ホスト間のトラフィックをイネーブルにします。
(注) トラフィック制限は、オプションの設定ではありません。制限されたライセンスだけを使用する場合、あるインターフェイスから他のすべてのインターフェイスまでを制限する必要があります。フル ライセンスまたはデバイスが透過モードの場合、このフィールドは表示されません。
• From interface:ドロップダウン メニューから選択したインターフェイスからのトラフィックを制限します。
• To interface:ドロップダウン メニューから選択したインターフェイスへのトラフィックを制限します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Static Routes
Static Routes 画面で、すべてのインターフェイスで、ルータ接続ネットワークにアクセスするスタティック ルートを作成できます。デフォルトのルートを入力するには、IP アドレスとマスクを 0.0.0.0、または簡単な形式の 0 に設定します。
あるセキュリティ アプライアンス インターフェイスの IP アドレスをゲートウェイ IP アドレスにしている場合、セキュリティ アプライアンスはパケット内の指定の IP アドレスで ARP を実行し、ゲートウェイの IP アドレスで実行しません。
Add/Edit Static Routes
Startup Wizard > Static Routes > Add/Edit Static Route
Add/Edit Static Route ダイアログボックスで、スタティック ルートを追加または編集できます。
Route Monitoring Options
Startup Wizard > Static Routes > Add/Edit Static Route > Route Monitoring Options
Route Monitoring Options ダイアログボックスで、スタティック ルートのモニタリング パラメータを設定できます。
Auto Update Server
Startup Wizard > Auto Update Server
Auto Update Server 画面で、ASA デバイスをリモートで管理できます。設定すると、ASA コンフィギュレーション、ASA イメージ、ASDM イメージが自動更新されます。
Auto Update Server 画面には、Back、Next、Finish、Cancel、Help ボタン、および次の項目が表示されます。
• Enable Auto Update:セキュリティ アプライアンスと Auto Update サーバの通信をイネーブルにします。
–Server URL:ドロップダウン リストからセキュア http(https)または http を選択し、Auto Update サーバの URL の先頭を指定します。次のボックスに、Auto Update サーバの残りの IP アドレスを入力します。
–Verify server SSL certificate:Auto Update サーバで SSL 認証がイネーブルになっているか確認します。
–Username:Auto Update サーバにログインするユーザ名を入力します。
–Password:Auto Update サーバにログインするパスワードを入力します。
–Confirm Password:パスワードを確認のために再入力します。
–Device ID Type:ドロップダウン リストから、セキュリティ アプライアンスを識別する一意の ID タイプを選択します。User-defined name を選択すると Device ID フィールドがイネーブルになり、一意の ID を指定できます。
–Device ID:セキュリティ アプライアンスの ID に使用する一意の文字列を入力します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
DHCP Server
DHCP Server 画面で、セキュリティ アプライアンスを、内部インターフェイスのホストに対するダイナミック ホスト コントロール プロトコル(DHCP)サーバとして設定できます。IP アドレスの範囲をアドレス プールに設定すると、内部インターフェイスのホストが DHCP で IP アドレスを要求したとき、セキュリティ アプライアンスはこのプールのアドレスを割り当てます。
• DNS、WINS、および最も低いセキュリティ レベルのインターフェイス(内部インターフェイス)の情報をこの画面で設定できます。他のインターフェイスに DHCP サーバを設定するには、ASDM のメイン画面から Configuration> Properties > DHCP Services > DHCP Server を選択します。
• DHCP プールで使用できるアドレス数は 256 です。
• DHCP サーバ を使用するオプションを ASDM に設定すると、セキュリティ アプライアンスは機能のライセンスとプラットフォームによって決まるアドレス数に基づいて、内部 IP アドレスを使用、アドレスを追加、アドレス プールを設定します。プール サイズはそれぞれ異なり、コンフィギュレーションを簡易化するため、ライセンスより少ない IP アドレス数で設定される場合があります。
DHCP Server 画面には、Back、Next、Finish、Cancel、Help ボタン、および次の項目が表示されます。
• Enable DHCP server on the inside interface:セキュリティ アプライアンスの DHCP を起動します。
Starting IP Address:DHCP サーバ プール範囲の開始を入力します。一連の IP アドレスは最小から最大の順です。セキュリティ アプライアンスでサポートされる IP アドレス数は 256 です。
Ending IP Address:DHCP サーバ プール範囲の終了を入力します。一連の IP アドレスは最小から最大の順です。セキュリティ アプライアンスでサポートされる IP アドレス数は 256 です。
Enable auto-configuration:ウィザードで DNS サーバ、WINS サーバ、リース期間、ping のタイムアウトを設定できます。
DNS Server 1:DNS を使用する DNS サーバの IP アドレスを入力します。
WINS Server 1:DNS を使用する WINS(インターネット ネーミング サービス)サーバの IP アドレスを入力します。
DNS Server 2:DNS を使用する代替 DNS サーバの IP アドレスを入力します。
WINS Server 2:DNS を使用する代替 WINS サーバの IP アドレスを入力します。
Lease Length (secs):リース期間が終了するまでクライアントが割り当てられた IP アドレスを使用できる時間(秒単位)を入力します。デフォルト値は、3600 秒(1 時間)です。
Ping Timeout:ping のタイムアウト値(ミリ秒単位)のパラメータを入力します。
Domain Name:DNS を使用する DNS サーバのドメイン名を入力します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Address Translation (NAT/PAT)
Startup Wizard > Address Translation (NAT/PAT)
Address Translation (NAT/PAT) 画面で、NAT および PAT をセキュリティ アプライアンスに設定できます。
PAT により、設定した IP アドレスの 1 つだけがグローバル アドレスとして使用されます。PAT を使用すると、複数の発信セッションが 1 つの IP アドレスから発信されているように見せることができます。PAT がイネーブルになっていると、セキュリティ アプライアンスは、各発信変換スロット用に PAT IP アドレスから一意のポート番号を選択します。この機能は、発信接続に十分な数の一意の IP アドレスを割り当てられない場合に役立ちます。ポート アドレスに指定した IP アドレスは、他のグローバル アドレス プールで使用できません。PAT では、最大 65,535 のホストが 1 つの外部 IP アドレスで接続を開始できます。
NAT を使用するには、内部インターフェイスのアドレスを外部インターフェイスのアドレスに変換するときに使用するアドレス範囲を入力します。プールのグローバル アドレスは、各発信接続で使用される IP アドレスと、発信接続が着信接続になった場合の IP アドレスに使用されます。
NAT を利用する場合、この画面で要求された IP アドレス範囲からセキュリティ アプライアンスの発信時に使用されるアドレス プールが作成されます。ISP がインターネット登録のグローバル アドレスの範囲を指定している場合、その範囲をここに入力します。
PAT アドレス コンフィギュレーションを使用する場合、次の制限事項があります。
• マルチメディア アプリケーション プロトコルがセキュリティ アプライアンスを通過するには、該当する検査エンジンをイネーブルにする必要があります。
• パッシブ FTP で使用する場合、 Inspect protocol ftp strict コマンド文を access-list コマンド文と同時に実行して、FTP の発信トラフィックを許可します。
• セキュリティ レベルの高いインターフェイスの DNS サーバが、外部インターフェイスのルート ネーム サーバから更新を取得する必要がある場合、PAT を使用できません。
Address Translation (NAT/PAT) 画面には、Back、Next、Finish、Cancel、Help ボタン、および次の項目が表示されます。
• Enable traffic through the firewall without translation:トラフィックが変換されずにファイアウォールを通過します。
NAT は 1 対 1 アドレス変換、PAT は(ファイアウォール内の)多対 1 変換です。
• Use Network Address Translation (NAT):NAT と変換に使用される IP アドレス範囲をイネーブルにします。
–Starting Global IP Address:変換に使用される IP アドレス範囲で最初の IP アドレスを入力します。
–Ending Global IP Address:変換に使用される IP アドレス範囲で最後の IP アドレスを入力します。
–Subnet Mask (optional):変換に使用される IP アドレス範囲のサブネット マスクを指定します。
• Use Port Address Translation (PAT):PAT をイネーブルにします。このオプションを選択した場合、次の中から 1 つ選択してください。
(注) IPSec に PAT を使用すると正しく動作しない場合があります。これは、外部のトンネル エンドポイント デバイスが、同じ IP アドレスの複数のトンネルを処理できないためです。
–Use the IP address on the outside interface:セキュリティ アプライアンスは PAT で外部インターフェイスの IP アドレスを使用します。
–Specify an IP address:PAT で使用する IP アドレスを指定します。
IP Address:PAT の対象になる外部インターフェイスの IP アドレスを入力します。
Subnet Mask (optional):PAT の対象になる外部インターフェイスのサブネット マスクを入力します。または、下向き矢印をクリックしてサブネット マスクを選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Administrative Access
Startup Wizard > Administrative Access
Administrative Access 画面で、セキュリティ アプライアンスの管理アクセスを設定できます。コンフィギュレーションに使用できるインターフェイスは自動で一覧表示されます。この画面で、IP アドレス、インターフェイス名、セキュリティ レベルを設定すると、それぞれのインターフェイスが一意になります。
(注) 他の場所ですでに設定されたインターフェイスへの管理アクセスを設定できます。 この画面では、IP アドレスおよびインターフェイス名などの項目を変更できません。
Administrative Access 画面には、Back、Next、Finish、Cancel、Help ボタン、および次の項目が表示されます。
• Type:ホストまたはネットワークが セキュリティ アプライアンス のアクセス時に HTTPS/ASDM、SSH、または Telnet のどれを使用するか指定します。
• Interface:ホスト名またはネットワーク名を表示します。
• IP Address:ホストまたはネットワークの IP アドレスを表示します。
• Mask:ホストまたはネットワークのサブネット マスクを表示します。
• Add:アクセス タイプとインターフェイスを選択して、ホスト/ネットワークの IP アドレスとネットマスクが、管理目的のみでこのインターフェイスに接続できるように指定します。
Add/Edit Administrative Access Entry
Startup Wizard > Add/Edit Administrative Access Entry
Add/Edit Administrative Access Entry ダイアログボックスで、ホストを設定できます。
コマンドライン インターフェイス コンソール セッションにあらかじめ設定されている接続を、次の中から選択します。
• Telnet protocol:ネットワーク接続に Telnet プロトコルを適用します。
• ASDM/HTTPS protocol: Tools > Command Line Interface のネットワーク接続に HTTPS(SSL を使用した HTTP)プロトコルを適用します。
(注) ASDM は、常に HTTPS でセキュリティ アプライアンスと通信します。
• Secure Shell (SSH) protocol:ネットワーク接続にセキュア シェル(SSH)プロトコルを適用します。
セキュリティ アプライアンスを ASDM の CLI ツールから設定する前に、セキュリティ アプライアンスの技術マニュアルを確認することをお勧めします。また、「Password」、「Authentication」も参照してください。
ASDM の各画面で使用される CLI コマンドの詳細については、Command Line Interface Commands Used by ASDM screens Help > About the security appliance を参照してください。ここでは最後のコンフィギュレーションの変更が表示されるので、特に便利です。
Add/Edit Administrative Access Entry 画面には、OK、Cancel、Help ボタン、および次の項目が表示されます。
• Access Type:CLI コンソール セッションに適用する、あらかじめ設定された接続方法(ASDM/HTTP、SSH、Telnet)をドロップダウン メニューから選択します。
• Interface Name:事前設定されたインターフェイスのリストから選択します。
• IP Address :インターフェイスの IP アドレスを指定します。
• Subnet Mask:インターフェイスのサブネット マスクを、サブネット マスクの IP アドレスのリストから選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
この機能は、ASDM アプリケーションのメイン画面で利用できます。
Configuration > Properties > Device Access > HTTPS/ASDM
Configuration > Properties > Device Access > Telnet
Easy VPN Remote Configuration
Startup Wizard > Easy VPN Remote Configuration
複数のサイトを持つ企業では、シスコの Easy VPN ソリューションをサイトに展開して、セキュアな通信を確立し、サイト間でリソースを共有できます。Easy VPN ソリューションは、中央サイトの Easy VPN サーバとリモート オフィスの Easy VPN リモート デバイスで構成されます。Easy VPN ソリューションを使用すると、バーチャル プライベート ネットワークの展開および管理を次のように簡略化できます。
• リモート サイトのホストで、VPN クライアント ソフトウェアを実行する必要がありません。
• 中央サーバのセキュリティ ポリシーは、VPN 接続が確立された時にリモート デバイスへプッシュされます。
• ローカル設定が必要なコンフィギュレーション パラメータはほとんどありません。
Easy VPN リモート デバイスとして使用した場合、セキュリティ アプライアンスを基本的なファイアウォール サービスを実行するように設定できるため、DMZ の Web サーバを不正アクセスから防御したりできます。ただし、セキュリティ アプライアンスを Easy VPN リモート デバイスで機能するように設定すると、他のトンネル タイプを確立できません。たとえば、セキュリティ アプライアンスは、両方を Easy VPN リモート デバイスとして同時に、または 1 方の端を標準ピアツーピア VPN として展開することはできません。
Easy VPN Remote Configuration 画面で、リモートのシスコ VPN 3000 コンセントレータ、IOS ベースのルータ、Easy VPN サーバとして動作するセキュリティ アプライアンスとセキュリティ アプライアンスの間に、セキュアな VPN トンネルを設定できます。セキュリティ アプライアンスは Easy VPN リモート デバイスとして機能し、上記のデバイスを経由して離れた場所に VPN を展開できます。
セキュリティ アプライアンスを Easy VPN リモート デバイスとして使用する場合、2 つの動作モードがあります。
• Network Extension Mode(ネットワーク拡張モード)
Easy VPN の Client Mode を設定すると、セキュリティ アプライアンス は内部ネットワークにクライアント IP アドレスを示しません。その代わり、ネットワーク アドレス変換(NAT)を利用して、プライベート ネットワークの IP アドレスを特定の IP アドレスに変換します。セキュリティ アプライアンスを Client Mode に設定すると、プライベート ネットワークの外部からデバイスに ping を実行したり、アクセスしたりできなくなります。
Easy VPN の Network Extension Mode を設定すると、セキュリティ アプライアンスはローカル ホストの IP アドレスを保護せず、割り当てられている IP アドレスに置き換えられません。したがって、VPN 接続の相手側ホストは、ローカル ネットワークのホストと直接通信できます。
次のガイドラインを参照して、セキュリティ アプライアンスを Easy VPN の Client Mode または Network Extension Mode のどちらに設定するか決定します。
• ローカル ホストの IP アドレスをリモート ネットワークで非表示にする場合
• ASA 5505 の DHCP からローカル ホストに IP アドレスを渡す場合
次の場合は、Network Extension Mode を使用します。
• トラフィック転送の必要がなくても VPN 接続を開いておく場合
• リモート ホストをローカル ネットワークから直接通信を可能にする場合
• ローカル ネットワークのホストがスタティック IP アドレスの場合
• ASA で最大 11 台 の Easy VPN サーバがサポートされます。プライマリが 1 台とセカンダリが 10 台までです。
• Easy VPN Client Mode では、DHCP サーバで内部ネットワーク上のホストのダイナミック IP アドレスを生成することができます。
Easy VPN の Client Mode を使用するには、内部インターフェイスの DHCP サーバをイネーブルにする必要があります。
• ASA の Easy VPN リモート デバイスを Easy VPN サーバに接続する前に、インターネット サービス プロバイダー(ISP)を利用して、両方のデバイスのネットワーク接続を確立しておく必要があります。
ASA から DSL またはケーブル モデムに接続してから、ISP の指示に従ってネットワーク接続を完了します。ISP と接続を確立するときに IP アドレスを取得する基本的な方式が 3 つあります。
Easy VPN サーバは、ASA Easy VPN リモート デバイスに適用されるポリシーを制御します。ただし、Easy VPN サーバと初めて接続を確立する場合、一部はローカルで設定する必要があります。
設定するには、このウィザードで次のステップを実行するか、または CLI を利用します。
Easy VPN Remote Configuration 画面には、Back、Next、Finish、Cancel、Help ボタン、および次の項目が表示されます。
• Enable Easy VPN remote:ASA を Easy VPN リモート デバイスにします。ASA を Easy VPN リモートにすると、ASA をリモート管理するネットワークを選択できます。この機能をイネーブルにしない場合、VPN トンネルで ASA の外部インターフェイスにアクセスできるホストでリモート管理できます。
–Client Mode:DHCP サーバで、内部ネットワーク上のホストのダイナミック IP アドレスを生成します。
Client Mode は、トラフィックごとに VPN 接続をイネーブルにして、要求がある場合だけリソースを使用できるようにします。ASA は、ASA の(よりセキュリティの高い)内部インターフェイスに接続しているすべてのクライアントの IP アドレスに、ネットワーク アドレス変換(NAT)を適用します。
(注) Client Mode を使用するには、内部インターフェイスの DHCP サーバをイネーブルにする必要があります。
–Network extension:内部ネットワークのホストにスタティック IP アドレスがある場合、クリックします。
Network Extension Mode では、内部インターフェイスのクライアントの IP アドレスは、Easy VPN サーバで変更されずに受信されます。また、トラフィック転送の必要がなくても、VPN 接続は開かれたままになります。このオプションでは、ASA の(よりセキュリティの高い)内部インターフェイスのクライアントの IP アドレスに NAT は適用されません。
–Use X.509 Certificate:X.509 証明書で IPSec Main Mode を許可します。ドロップダウン リストからトラストポイントを選択するか、トラストポイントを入力します。
–Use group password:ユーザ グループのパスワードを入力します。
Password:ユーザ グループのパスワードを入力します。
Confirm password:パスワードの確認を要求します。
–Confirm Password:設定のパスワードの確認を要求します。
• Easy VPN Server エリア:ASA を Easy VPN サーバとして使用し、VPN ポリシーを 1 つの場所の ASA に設定してから、そのコンフィギュレーションを複数のEasy VPN リモート デバイスにプッシュします。
–Primary server:プライマリ Easy VPN サーバの IP アドレスを入力します。
–Secondary server:セカンダリ Easy VPN サーバの IP アドレスを入力します。
(注) ASA で最大 11 台 の Easy VPN サーバがサポートされます(プライマリが 1 台とセカンダリが 10 台までです)。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Management IP Address Configuration
Startup Wizard > Management IP Address Configuration
Management IP Address Configuration 画面で、ホストの管理 IP アドレスをこのコンテキストに設定できます。
Management IP Address Configuration 画面には、Back、Next、Finish、Cancel、Help ボタン、および次の項目が表示されます。
• Management IP Address:ASDM またはセッション プロトコルを利用して、管理のためにこのコンテキストにアクセスできるホストの IP アドレス。
• Subnet Mask:管理 IP アドレスのサブネット マスク。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Other Interfaces Configuration
Startup Wizard > Other Interfaces Configuration
Other Interfaces Configuration 画面で、残りのインターフェイスを設定できます。一覧表示されたインターフェイスから選択して Edit ボタンをクリックし、Edit 画面で設定します。
Other Interfaces Configuration 画面には、Back、Next、Finish、Cancel、Help ボタン、および次の項目が表示されます。
• Interface:元のホストまたはネットワークに存在するネットワーク インターフェイスを表示します。
• Security Level:インターフェイスのセキュリティ レベル範囲が 0 ~ 100 で表示されます。100 は内部インターフェイス、0 は外部インターフェイスに設定されています。境界インターフェイスには、1 ~ 99 の範囲の番号が使用されます。0 ~ 100 のセキュリティ レベルは、デフォルトでは設定されません。
• Enable traffic between two or more interfaces with same security levels:同じセキュリティ レベルを複数のインターフェイスに設定し、そのインターフェイス間のトラフィックをイネーブルにします。
• Enable traffic between two or more hosts connected to the same interface:複数のホストにあるインターフェイスでトラフィックをイネーブルにします。
• Edit:Edit Interface ダイアログボックスでインターフェイスを設定します。
Edit Interface
Startup Wizard > Other Interfaces Configuration > Edit Interface
Edit Interfaces を使用すると、既存のインターフェイスを編集できます。
Edit Interface ダイアログボックスには、OK、Cancel、Help ボタン、および次の項目が表示されます。
• Interface:編集対象として選択したインターフェイスの名前を表示します。
• Interface Name:編集対象として選択したインターフェイスの名前を表示します。このインターフェイスの名前は変更できます。
• Security Level:選択したインターフェイスのセキュリティ レベルを表示します。インターフェイスのセキュリティ レベルは選択できます。外部ネットワークは 0、内部ネットワークは 100 です。境界インターフェイスには、1 ~ 99 の範囲の番号が使用されます。0 ~ 100 のセキュリティ レベルは、デフォルトでは設定されません。インターフェイスのセキュリティ レベルを低く変更すると、警告が表示されます。
–Use PPPoE:外部インターフェイスに IP アドレスを割り当てる際に、PPPoE を認証方式として使用します。PPPoE では、イーサネット ネットワークを経由した、標準方式の認証方式 Point-to-Point Protocol(ポイントツーポイント プロトコル)が提供されています。
(注) PPPoE は複数のインターフェイスで使用できるので、PPPoE クライアントの各インスタンスでは、別のユーザ名とパスワードを持つ異なる認証レベルを必要とする場合があります。
–Use DHCP:ASA を DHCP サーバとして使用して、ダイナミックに割り当てた IP アドレスなどのネットワーク コンフィギュレーション パラメータを DHCP クライアントに渡します。
–Uses the following IP address:インターフェイスの特定の IP アドレスを入力します。
IP Address:インターフェイスの IP アドレスを編集します。
Subnet Mask:サブネット マスクを編集するには、新しいアドレスを入力するか、ドロップダウン リストから既存の IP アドレスを選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Startup Wizard Summary
Startup Wizard > Startup Wizard Summary
Startup Wizard Summary 画面で、行ったすべての設定をセキュリティ アプライアンスに送信できます。
• Startup Wizard をブラウザから直接起動した場合、 Finish をクリックすると、ウィザードで作成されたコンフィギュレーションはセキュリティ アプライアンスに送信され、フラッシュ メモリに保存されます。
• Startup Wizard を ASDM の中で実行した場合、他のコンフィギュレーション変更と同様に、コンフィギュレーションを明示的にフラッシュ メモリに保存する必要があります。
Startup Wizard Summary 画面には、Back、Finish、Cancel、Help ボタンが表示されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フィードバック