- ASDM の概要
- 始める前に
- FWSM で使用するスイッチの設定
- Startup Wizard
- インターフェイスの設定
- グローバル オブジェクトの追加
- セキュリティ コンテキストの設定
- デバイス プロパティの設定
- DHCP サービスと DNS サービスの 設定
- AAA サーバの設定
- Device Access
- フェールオーバー
- ロギングおよび SNMP の設定
- ダイナミック ルーティングおよび スタティック ルーティング の設定
- マルチキャスト ルーティングの設定
- ファイアウォール モードの概要
- アクセス ルールと EtherType ルール の設定
- AAA ルールの設定
- トラフィックのフィルタリング
- サービス ルール
- NAT の設定
- ARP 検査およびブリッジング パラメータの設定
- ネットワーク攻撃の防止
- 証明書
- システム ログ メッセージのモニタリ ング
- フェールオーバーのモニタリング
- インターフェイス
- ルーティングのモニタリング
- プロパティのモニタリング
- 仕様
- 索引
Cisco ASDM ユーザ ガイド 5.2(3)F
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2012年2月22日
章のタイトル: Device Access
Device Access
•
Telnet
AAA Access
AAA Access ペインには、認証、認可、アカウンティングを設定するためのタブが含まれます。AAA サービスの概要については、「FWSM での AAA の実装」を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Authentication
FWSM への管理者アクセスの認証をイネーブルにするには、このタブを使用します。認証では、有効なユーザ名およびパスワードを要求してアクセスを制御します。次の項目を認証するように、FWSM を設定できます。
• FWSM へのすべての管理接続(この接続は、次の方法を使用します)
• Require authentication to allow use of privileged mode commands:特権モード コマンドへのアクセスを制御するパラメータを指定します。
–Enable:特権モード コマンドの使用が許可される前のユーザ認証の要求をイネーブルまたはディセーブルにします。
–Server Group:ユーザの認証に使用するサーバ グループを選択し、特権モード コマンドを使用します。
–Use LOCAL when server group fails:選択したサーバ グループに障害が発生した場合、ユーザの認証に LOCAL データベースの使用を許可し、特権モード コマンドを使用します。
• Require authentication for the following types of connections:認証を必要とする接続のタイプを指定するとともに、その認証に使用するサーバ グループを指定します。
–HTTP/ASDM:HTTP/ASDM 接続に認証が必要かどうかを指定します。
–Server Group:指定した接続タイプの認証に使用するサーバ グループを選択します。
–Use LOCAL when server group fails:選択したサーバ グループに障害が発生した場合、指定した接続タイプの認証に LOCAL データベースを使用することを許可します。
–Telnet:Telnet 接続に認証が必要かどうかを指定します。マルチコンテキスト モードでは、システム コンフィギュレーションで AAA を設定できません。ただし、管理コンテキストで Telnet の認証を設定した場合、認証はスイッチから FWSM へのセッション(システム実行スペースに入る)にも適用されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Authorization
管理コマンドを認可するように FWSM を設定できます。コマンド認可では、有効なユーザ名およびパスワードで認証した後に、各ユーザに許可されるコマンドを制御できます。
認可では、ユーザが使用できるコマンドを制御できます。認証だけでは、ユーザに許可されるコマンドを制御しません。
コマンド認可をイネーブルにすると、(Configure Command Privileges ボタンを使用した)特権レベルを個々のコマンドまたはコマンド グループに手動で割り当てるオプション、または(Set ASDM Defined User Roles ボタンを使用した)ASDM 定義済みユーザ ロールをイネーブルにするオプションが使用できます。
|
|
|
|
ASDM Defined User Role Setup ペインには、Yes をクリックした場合、ASDM が FWSM に発行するコマンドおよび特権のリストが表示されます。Yes により、ASDM は、管理者、読み取り専用、監視専用の 3 つの特権をサポートします。
Command Privilege Setup ペインには、ASDM が FWSM に発行しようとしているコマンドおよび特権のリストが表示されます。リスト内で 1 つまたは複数のコマンドを選択し、Edit ボタンを使用して、選択したコマンドの特権レベルを変更できます。
• Enable:FWSM コマンド アクセスの認可をイネーブルまたはディセーブルにします。このチェックボックスをオンにすると、このペインの残りのパラメータがアクティブになります。
• Server Group:コマンドアクセスに対するユーザの認可に使用するサーバ グループを選択します。
• Use LOCAL when server group fails:選択したサーバ グループに障害が発生した場合、ユーザの認可に LOCAL データベースの使用を許可し、特権モード コマンドを使用します。
• Set ASDM Defined User Roles:ASDM Defined User Roles Setup ペインを開きます。このペインでは、事前定義済みユーザ プロファイルを設定するとともに、選択済みのリスト化されたコマンドの特権レベルを設定できます。
• Configure Command Privileges:Command Privilege Setup ペインを開きます。このペインでは、個々のコマンドまたはコマンド グループに特権レベルを手動で割り当てることができます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Command Privilege Setup
個々のコマンドまたはコマンド グループに特権レベルを割り当てるには、Command Privilege Setup ペインを使用します。カラムの先頭をクリックすると、選択したカラムをキー フィールドとして使用し、テーブル全体が英数字順に並び替わります。
• Command Mode:特定のコマンド モードまたは -- All Modes -- を選択します。この選択により、リストのすぐ下の Command Modes テーブルに表示される内容が決まります。
• CLI Command:CLI コマンドの名前を指定します。
• Mode:このコマンドに適用されるモードを示します。一部のコマンドには、複数のモードが適用されます。
• Variant:特権レベルの適用先である特定のコマンドの形式(show または clear など)を示します。
• Privilege:このコマンドに現在割り当てられている特権レベルが表示されます。
• Edit:Select Command(s) Privilege ポップアップ ペインを表示します。このペインでは、親ペインで選択した 1 つまたは複数のコマンドの特権レベルをリストから選択できます。OK をクリックすると、ただちに変更内容が Command Modes テーブルに反映されます。
• Select All:Command Modes テーブルの内容全体を選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
ASDM Defined User Roles Setup
ASDM Defined User Roles Setup ペインでは、管理者、読み取り専用、監視専用という名前が付いたユーザ プロファイルを、FWSM がセットアップするかどうかを尋ねます。このペインには、AAA Access ペインの Authorization タブにある Set ASDM Defined User Roles . . をクリックして移動します。
• Command List:事前定義ユーザ アカウント特権のセットアップで影響を受ける CLI コマンド、そのモード、バリアント、特権が一覧表示されます。
–CLI Command:CLI コマンドの名前を指定します。
–Mode:このコマンドに適用されるモードを示します。一部のコマンドには、複数のモードが適用されます。
–Variant:特権レベルの適用先である特定のコマンドの形式(show または clear など)を示します。
–Privilege:このコマンドに現在割り当てられている特権レベルが表示されます。
• Yes:リストされたコマンドをそれぞれの特権レベルでセットアップするように、FWSM に指示します。このセットアップでは、User Accounts ペインを介して、特権レベル 15 の管理者、特権レベル 5 の読み取り専用、特権レベル 3 の監視専用というそれぞれの役割でユーザが作成されます。
• No:コマンドおよびユーザの特権レベルを手動で管理します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Accounting タブ
アカウンティングでは、FWSM を通過するトラフィックを追跡し続けることができます。トラフィックの認証をイネーブルにすると、ユーザごとにトラフィックをアカウンティングできます。トラフィックを認証しない場合は、IP アドレスごとにトラフィックをアカウンティングできます。アカウンティング情報には、セッションの開始時刻と終了時刻、AAA クライアント メッセージとユーザ名、そのセッションで FWSM を通過したバイト数、使用されたサービス、セッションの継続時間が含まれます。
(注) アカウンティングを設定できるのは、TACACS+ サーバ グループに対してだけです。TACACS+ サーバ グループがまだ設定されていない場合は、Configuration > Properties > AAA Setup > AAA Server Groups で移動します。
• Require accounting to allow accounting of user activity:ユーザ アクティビティのアカウンティングに関連するパラメータを指定します。
–Enable:ユーザ アクティビティのアカウンティングを許可する要求をイネーブルまたはディセーブルにします。
–Server Group:該当する場合は、ユーザ アカウンティングに使用する選択済みサーバ グループを指定します。TACACS+ サーバ グループが存在しない場合、このリストのデフォルト値は --None-- です。
(注) サーバ グループ リスト パラメータの定義は、このペインのすべての領域で同じです。
• Require accounting for the following types of connections:アカウンティングを必要とする接続タイプと、それぞれのサーバ グループを指定します。
–SSH:Secure Shell(SSH; セキュア シェル)接続のアカウンティングを要求します。
–Telnet:Telnet 接続のアカウンティングを要求します。
• Require command accounting for FWSM:コマンドのアカウンティングに関連するパラメータを指定します。
–Enable:コマンドのアカウンティングを許可する要求をイネーブルまたはディセーブルにします。
–Privilege level:コマンド アカウンティングを実行する、選択された特権レベルを示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
HTTPS\ASDM
HTTPS/ASDM ペインには、HTTPS を使用した ASDM へのアクセスを許可するすべてのホストまたはネットワークのアドレスを指定するテーブルが用意されています。このテーブルを使用して、アクセスを許可するホストやネットワークを追加または変更できます。
• Interface:デバイス マネージャへの管理アクセスを許可するアクセス元の FWSM 上のインターフェイスを一覧表示します。
• IP Address:アクセスを許可するネットワークまたはホストの IP アドレスを一覧表示します。
• Mask:アクセスを許可するネットワークまたはホストに関連付けられたネットワーク マスクを一覧表示します。
• Add:新しいホストまたはネットワークを追加するための Add HTTP Configuration ダイアログボックスを表示します。
• Edit:選択したホストまたはネットワークを編集するための Edit HTTP Configuration ダイアログボックスを表示します。
• Delete:選択したホストまたはネットワークを削除します。
• Enable HTTP Server:このチェックボックスをオフにすると、Web サーバがディセーブルになり、ASDM への HTTPS 接続が終了します。ASDM にアクセスするには、コマンドラインからこの設定を再度イネーブルにする必要があります。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit HTTP Configuration
Add/Edit HTTP Configuration ダイアログボックスでは、HTTPS での FWSM デバイス マネージャへの管理アクセスが許可されるホストまたはネットワークを追加できます。
• Interface Name:FWSM デバイス マネージャへの管理アクセスを許可するアクセス元の FWSM 上のインターフェイスを指定します。
• IP Address:アクセスを許可するネットワークまたはホストの IP アドレスを指定します。
• Mask:アクセスを許可するネットワークまたはホストに関連付けられたネットワーク マスクを指定します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Secure Shell
Secure Shell ペインでは、特定のホストまたはネットワークが、SSH プロトコルを使用して、管理アクセスのために FWSM へ接続することだけを許可するルールを設定できます。ルールでは、特定の IP アドレスおよびネットマスクへの SSH アクセスが制限されます。ルールに準拠した SSH 接続試行は、次に AAA サーバまたは Telnet パスワードによって認証される必要があります。
SSH セッションは、Monitoring > Administration > Secure Shell Sessions を使用して監視できます。
Secure Shell ペインでは、次のフィールドが表示されます。
• Allowed SSH Versions:FWSM が受け入れる SSH のバージョンを制限します。デフォルトでは、SSH バージョン 1 および SSH バージョン 2 接続が受け入れられます。
• Timeout (minutes):FWSM が SSH セッションを閉じる前にアイドルでいられる分数を 1 ~ 60 で表示します。デフォルトは 5 分です。
• SSH Access Rule:SSH を使用した FWSM へのアクセスが許可されるホストおよびネットワークを表示します。このテーブルの行をダブルクリックすると、選択したエントリを対象とした Edit SSH Configuration ダイアログボックスが開きます。
–Interface:SSH 接続を許可する FWSM のインターフェイスの名前が表示されます。
–IP Address:指定したインターフェイスを介してこの FWSM への接続が許可されている各ホストまたはネットワークの IP アドレスを表示します。
–Mask:指定したインターフェイスを介してこの FWSM への接続が許可されている各ホストまたはネットワークの IP アドレスのネットマスクを表示します。
• Add:Add SSH Configuration ダイアログボックスが開きます。
• Edit:Edit SSH Configuration ダイアログボックスが開きます。
• Delete:選択した SSH アクセス ルールを削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit SSH Configuration
Add SSH Configuration ダイアログボックスでは、新しい SSH アクセス ルールをルール テーブルに追加できます。Edit SSH Configuration ダイアログボックスでは、既存のルールを変更できます。
• Interface:SSH 接続を許可するFWSM インターフェイスの名前を指定します。
• IP Address:FWSM との SSH 接続の確立が許可されるホストまたはネットワークの IP アドレスを指定します。
• Mask:セキュリティ アプライアンスとの SSH 接続の確立が許可されるホストまたはネットワークのネットマスクです。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Telnet
Telnet ペインでは、ASDM を実行している特定のホストまたはネットワークだけが Telnet プロトコルを使用して FWSM に接続できるルールを設定します。
ルールでは、FWSM インターフェイスを介した特定の IP アドレスおよびネットマスクへの管理 Telnet アクセスが制限されます。ルールに準拠した接続試行は、事前設定された AAA サーバまたは Telnet パスワードによって認証される必要があります。Telnet セッションは、Monitoring > Telnet Sessions を使用して監視できます。
(注) コンフィギュレーション ファイルには 5 つ以上の Telnet セッションが含まれますが、シングルコンテキスト モードで同時にアクティブになれるのは 5 つまでです。マルチコンテキスト モードでは、コンテキストごとに 5 つの Telnet セッションのみアクティブになれます。
• Interface:Telnet 接続を許可するFWSM インターフェイス(ASDM を実行している PC またはワークステーションがあるインターフェイス)の名前を表示します。
• IP Address:指定したインターフェイスを介してこの FWSM への接続が許可されている各ホストまたはネットワークの IP アドレスを表示します。
(注) これは、FWSM インターフェイスの IP アドレスではありません。
• Netmask:指定したインターフェイスを介してこの FWSM への接続が許可されている各ホストまたはネットワークの IP アドレスのネットマスクを表示します。
(注) これは、FWSM インターフェイスの IP アドレスではありません。
• Timeout:FWSM が Telnet セッションを閉じる前にアイドルでいられる分数を 1 ~ 60 で表示します。デフォルトは 5 分です。
• Add:Add Telnet Configuration ダイアログボックスが開きます。
• Edit:Edit Telnet Configuration ダイアログボックスが開きます。
• Apply:ASDM での変更内容を FWSM に送信し、実行中のコンフィギュレーションに適用します。 Save をクリックすると、実行コンフィギュレーションのコピーがフラッシュ メモリに書き込まれます。実行中のコンフィギュレーションのコピーをフラッシュ メモリ、TFTP サーバ、またはフェールオーバー スタンバイ装置に書き込むには、 File メニューを使用します。
• Reset:変更内容を破棄し、変更前に表示されていた情報、または Refresh か Apply を最後にクリックしたときに表示されていた情報に戻します。Reset したら Refresh を実行し、現在の実行コンフィギュレーション データが表示されることを確認してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit Telnet Configuration
• Interface Name:FWSM への Telnet アクセスを許可するインターフェイスを選択します。
• IP Address:FWSM への Telnet が許可されたホストまたはネットワークの IP アドレスを入力します。
• Mask:FWSM への Telnet が許可されたホストまたはネットワークのサブネット マスクを入力します。
• Cancel:変更内容を破棄して、前のペインに戻ります。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Telnet ルールの追加
Telnet ルール テーブルにルールを追加するには、次の手順を実行します。
1. Add ボタンをクリックして、Telnet > Add ダイアログボックスを開きます。
2. Interface をクリックし、FWSM インターフェイスをルール テーブルに追加します。
3. IP Address フィールドに、この FWSM インターフェイスを介した Telnet アクセスが許可される、ASDM を実行中のホストの IP アドレスを入力します。
(注) これは、FWSM インターフェイスの IP アドレスではありません。
4. Mask リストで、Telnet アクセスを許可する IP アドレスのネットマスクを選択または入力します。
(注) これは、FWSM インターフェイスの IP アドレスのマスクではありません。
Telnet ルールの編集
Telnet ルール テーブルのルールを編集するには、次の手順を実行します。
1. Edit をクリックし、Telnet > Edit ダイアログボックスを開きます。
2. Interface をクリックし、ルール テーブルからFWSM インターフェイスを選択します。
3. IP Address フィールドに、この FWSM インターフェイスを介した Telnet アクセスが許可される、ASDM を実行中のホストの IP アドレスを入力します。
(注) これは、FWSM インターフェイスの IP アドレスではありません。
4. Mask リストで、Telnet アクセスを許可する IP アドレスのネットマスクを選択または入力します。
(注) これは、FWSM インターフェイスの IP アドレスのマスクではありません。
Telnet ルールの削除
Telnet テーブルからルールを削除するには、次の手順を実行します。
変更内容の適用
Add、Edit、または Delete を使用してテーブルを変更した内容は、実行中のコンフィギュレーションにただちに適用されるわけではありません。変更内容を適用または破棄するには、次のいずれかのボタンをクリックします。
1. Apply :ASDM での変更内容を FWSM に送信し、実行中のコンフィギュレーションに適用します。 Save をクリックすると、実行コンフィギュレーションのコピーがフラッシュ メモリに書き込まれます。実行中のコンフィギュレーションのコピーをフラッシュ メモリ、TFTP サーバ、またはフェールオーバー スタンバイ装置に書き込むには、 File メニューを使用します。
2. Reset :変更内容を破棄し、変更前に表示されていた情報、または Refresh か Apply を最後にクリックしたときに表示されていた情報に戻します。Reset をクリックした後は、 Refresh を使用して、現在実行中のコンフィギュレーションの情報が表示されていることを確認します。
Virtual Access
Virtual Access ペインでは、仮想 Telnet、仮想 SSH、および仮想 HTTP を設定できます。ここでは、次の項目について説明します。
FWSM での直接認証
仮想 Telnet、SSH、または HTTP では、通過トラフィックの認証が設定されるときに、ユーザは FWSM で直接認証できます(「ネットワーク アクセス認証の設定」を参照)。仮想 IP アドレスを使用して、FWSM で直接認証を受けることができます。プロトコルまたはサービスのネットワーク アクセス認証を設定できますが、ユーザが直接認証を受けることができるのは、HTTP(S)、Telnet、または FTP のみです。認証を必要とする他のトラフィックが許可される前に、ユーザはまずこれらのサービスの 1 つを認証する必要があります。FWSM で HTTP、Telnet、または FTP は許可しないが、他のタイプのトラフィックを認証する場合、仮想 Telnet、SSH または HTTP を設定できます。ユーザが次のいずれかのサービスを使用して FWSM に設定された所定の IP アドレスに接続すると、FWSM はプロンプトを表示します。
仮想 Telnet アドレス、および AAA 認証ルールを使用して認証するその他のサービスに Telnet、HTTP または SSH アクセスの認証を設定する必要があります。
認証が済んでいないユーザが仮想 IP アドレスに接続すると、ユーザはユーザ名とパスワードを尋ねられ、その後 AAA サーバにより認証されます。いったん認証されると、ユーザには「Authentication Successful.」メッセージが表示されます。その後ユーザは認証を必要とする他のサービスに正常にアクセスできます。
送信元インターフェイスに適用されるアクセス ルールに、宛先インターフェイスとして仮想アドレスを含める必要があります。
着信ユーザ(低位セキュリティから高位セキュリティへ)に対して、NAT が必要ない場合でも、仮想 IP アドレスのスタティック NAT ルールを追加する必要があります。通常、アイデンティティ NAT ルールが使用されます(アドレスをそのアドレス自体に変換する場合)。発信ユーザには、スタティック NAT ルールは必要ありません。
HTTP 認証のカスケード
HTTP 認証のカスケードに、仮想 HTTP を使用することもできます。FWSM で HTTP 認証を使用し、HTTP サーバも認証を要求している場合、このコマンドを使用して、FWSM(AAA サーバを経由)および HTTP サーバで別々に認証できます。仮想 HTTP を使用しない場合、FWSM での認証に使用したのと同じユーザ名とパスワードが HTTP サーバに送信されます。HTTP サーバのユーザ名およびパスワードが別に要求されることはありません。ユーザ名とパスワードが AAA および HTTP サーバと同じでない場合、HTTP 認証は失敗します。
この機能は、AAA 認証が必要なすべての HTTP 接続を FWSM 上の仮想 HTTP サーバにリダイレクトします。FWSM は、AAA サーバのユーザ名とパスワードを求めるプロンプトを表示します。AAA サーバがユーザを認証すると、FWSM は HTTP 接続を元のサーバにリダイレクトしますが、AAA サーバのユーザ名およびパスワードは含まれません。HTTP パケットにユーザ名およびパスワードが含まれないため、HTTP サーバは HTTP サーバのユーザ名およびパスワードをユーザに個別に要求します。
• Virtual Telnet Server:仮想 Telnet IP アドレスを設定します。
• Virtual SSH Server:仮想 SSH IP アドレスを設定します。
• Virtual HTTP Server:仮想 HTTP IP アドレスを設定します。
• Host:FWSM 上の仮想 HTTP サーバにホスト名を割り当てます。AAA ユーザ名とパスワードを入力するためにユーザが仮想 HTTP サーバに転送されるときに、次の認証ダイアログボックス メッセージにホスト名が表示されます。
この情報は、AAA プロンプトと宛先 HTTP サーバ プロンプトを区別するのに役立ちます。
• Display Redirection Warning:HTTP 接続を FWSM にリダイレクトする必要があることをユーザに通知します。このオプションは、リダイレクトが自動的に実行されない場合、テキスト ベースのブラウザにのみ適用されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フィードバック