- はじめに
- ASDM の概要
- プリファレンスの定義プリファレンスの定義およびコンフィギュレーション、診断、ファイル管理ツールの使用
- はじめる前に
- Startup Wizard の使用
- インターフェイスの設定
- マルチ モードのインターフェイスの設定
- Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポートおよび VLAN インターフェイスの設定
- グローバル オブジェクトの追加
- セキュリティ コンテキストの設定
- デバイスの設定値と管理の設定
- DHCP、DNS、および WCCP サービス
- AAA サーバおよびユーザ アカウントの設定
- 管理アクセスの設定
- ハイ アベイラビリティ
- ロギングの設定
- ダイナミック ルーティングおよびスタティック ルーティングの設定
- マルチキャスト ルーティングの設定
- ファイアウォール モードの概要
- EtherType ルールの設定
- AAA ルールの設定
- フィルタ ルールの設定
- サービス ポリシー ルールの設定
- アプリケーション レイヤ プロトコル インスペクションの設定
- NAT の設定
- ARP インスペクションおよびブリッジング パラメータの設定
- 高度なファイアウォール保護の設定
- QoS の設定
- VPN
- SSL VPN Wizard
- IKE
- General
- ダイナミック アクセス ポリシーの設定
- クライアントレス SSL VPN
- クライアントレス SSL VPN のエンド ユーザ設定
- 電子メール プロキシ
- SSL 設定の指定
- 証明書の設定
- IPS の設定
- Trend Micro Content Security の設定
- ロギングのモニタリング
- Trend Micro Content Security のモニタリング
- フェールオーバー動作のモニタ
- インターフェイスのモニタリング
- ルーティングのモニタリング
- VPN のモニタリング
- プロパティのモニタリング
- 機能のライセンスと仕様
- 許可および認証用の外部サーバの設定
Cisco ASDM ユーザ ガイド バージョン 6.0(3)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: Startup Wizard の使用
- ASA 5500 シリーズおよび PIX 500 シリーズ セキュリティ アプライアンスの Startup Wizard 画面
- ASA 5505 適応型セキュリティ アプライアンスの Startup Wizard 画面
- Step 1 - Starting Point or Welcome
- Step 2 - Basic Configuration
- Step 3 - Auto Update Server
- Step 4 - Management IP Address Configuration
- Step 5 - Interface Selection
- Step 6 - Switch Port Allocation
- Step 7 - Interface IP Address Configuration
- Step 8 - Internet Interface Configuration - PPoE
- Step 9 - Business Interface Configuration - PPoE
- Step 10 - Home Interface Configuration - PPoE
- Step 11 - General Interface Configuration
- Step 12 - Static Routes
- Step 13 - DHCP Server
- Step 14 - Address Translation (NAT/PAT)
- Step 15 - Administrative Access
- Step 16 - Easy VPN Remote Configuration
- Step 17 - Startup Wizard Summary
- その他のインターフェイスの設定
- インターフェイス コンフィギュレーション
- 外部インターフェイスのコンフィギュレーション:PPPoE
- 外部インターフェイスのコンフィギュレーション
Startup Wizard の使用
ASDM Startup Wizard の案内に従って適応型セキュリティ アプライアンスの初期設定を行い、適応型セキュリティ アプライアンスの次の設定を定義できます。
•
ASDM または CLI からの管理アクセスを制限するためのパスワード
• 内部インターフェイスや DMZ インターフェイスなどのその他のインターフェイス
• DHCP サーバで使用する場合の内部インターフェイスの DHCP 設定
メイン ASDM アプリケーション ウィンドウでこの機能にアクセスするには、次のいずれかの方法を選択します。
• [Wizards] > [Startup Wizard] を選択する。
• [Configuration] > [Device Setup] > [Startup Wizard] を選択して、[Launch Startup Wizard] をクリックする。
• 「Web ブラウザによる ASDM の起動」を参照してください。
• 『 Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide 』および『 Cisco ASA 5505 Getting Started Guide 』を参照してください。
• 「ASA 5500 シリーズおよび PIX 500 シリーズ セキュリティ アプライアンスの Startup Wizard 画面」
• 「ASA 5505 適応型セキュリティ アプライアンスの Startup Wizard 画面」
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
ASA 5500 シリーズおよび PIX 500 シリーズ セキュリティ アプライアンスの Startup Wizard 画面
表 4-1 に、ASA 5500 シリーズ適応型セキュリティ アプライアンスおよび PIX 500 シリーズ セキュリティ アプライアンスのみを設定する場合に必要な Startup Wizard の画面を一覧表示します。画面の実際の順序は、設定時の選択によって決まります。示される順序は、ASA 5505 適応型セキュリティ アプライアンスにのみ適用されます。「使用できるモード」列には、各画面が表示されるときのモードおよび追加の設定情報が一覧表示されます。選択した画面の情報を表示するには、名前をクリックしてください。
|
|
|
|---|---|
| すべてのモード。Step 1 の工場出荷時のデフォルト オプションは PIX セキュリティ アプライアンスでは使用できません。 |
|
シングル ルーテッドおよびシングル トランスペアレント モード。シングル トランスペアレント モードでイネーブルにすると、 インターフェイス コンフィギュレーション 画面と Step 13 - DHCP Server 画面は表示されません。 |
|
ASA 5505 適応型セキュリティ アプライアンスの Startup Wizard 画面
表 4-2 に、ASA 5505 適応型セキュリティ アプライアンスのみを設定する場合に必要な Startup Wizard のすべての画面を一覧表示します。一覧での画面の順序は、シングル ルーテッド モードでの設定を表します。「使用できるモード」列には、各画面が表示されるときのモードおよび追加の設定情報が一覧表示されます。選択した画面の情報を表示するには、名前をクリックしてください。
|
|
|
|---|---|
シングル ルーテッドおよびシングル トランスペアレント モード。Teleworker を使用する設定の場合にだけイネーブルにされます。 |
|
Step 1 - Starting Point or Welcome
メイン ASDM アプリケーション ウィンドウからこの機能にアクセスする(マルチモードの場合を除く)には、[File] > [Reset Device to the Factory Default Configuration] を選択します。
• [Modify existing configuration]:既存の設定を変更するには、このオプションを選択します。
• [Reset configuration to factory defaults]:設定を内部インターフェイスの工場出荷時のデフォルト値に戻すには、このオプションを選択します。
• [Configure the IP address of the management interface]:管理インターフェイスの IP アドレスとサブネット マスクを設定するには、このチェックボックスをオンにします。
• [IP Address]:管理インターフェイスの IP アドレスを指定します。
• [Subnet Mask]:ドロップダウン リストから管理インターフェイスのサブネット マスクを選択します。
(注) 設定を工場出荷時のデフォルト値にリセットすると、[Cancel] をクリックしたり、この画面を閉じたりしても、変更を元に戻せません。
『 Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide 』および『 Cisco ASA 5505 Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Step 2 - Basic Configuration
メイン ASDM アプリケーション ウィンドウでこの機能にアクセスするには、次のいずれかの方法を選択します。
• [Configuration] > [Properties] > [Device Administration] > [Device]
• [Configuration] > [Properties] > [Device Administration] > [Password]
• [Configure the device for Teleworker usage]:リモート ワーカーを対象とした一群の設定値を指定するには、このチェックボックスをオンにします。詳細については、「Step 16 - Easy VPN Remote Configuration」を参照してください。
• [Host Name]:適応型セキュリティ アプライアンスのホスト名を指定します。ホスト名は、大文字と小文字を含む最大 63 文字の英数字で指定できます。使用するセキュリティ アプライアンスに応じて、デバイス タイプが「ASA」または「PIX」と表示されます。
• [Domain Name]:証明書で使用できる、適応型セキュリティ アプライアンスの IPSec ドメイン名を指定します。ドメイン名は、特殊文字やスペースを含まない、最大 63 文字の英数字で指定できます。
• [Privileged Mode (Enable) Password section]:ASDM または CLI からの適応型セキュリティ アプライアンスへの管理アクセスを制限できます。
(注) パスワード フィールドを空白にすると、非常に大きなセキュリティ リスクであることを警告する [Password Confirmation] ダイアログボックスが表示されます。
– [Change privileged mode (enable) password]:現在の特権モード(イネーブル)パスワードを変更するには、このチェックボックスをオンにします。
– [Old Password]:変更前のイネーブル パスワードがある場合は、そのパスワードを指定します。
– [New Password]:新しいイネーブル パスワードを指定します。パスワードは最大 32 文字の英数字で、大文字と小文字を区別します。
– [Confirm New Password]:新しいイネーブル パスワードを再入力します。
『 Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide 』および『 Cisco ASA 5505 Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Step 3 - Auto Update Server
この画面では、Auto Update サーバから適応型セキュリティ アプライアンスをリモートで管理することができます。メイン ASDM アプリケーション ウィンドウからこの機能にアクセスするには、[Configuration] > [Interfaces] を選択します。
• [Enable Auto Update]:セキュリティ アプライアンスと Auto Update サーバ間の通信をイネーブルにするには、このチェックボックスをオンにします。
• [Server URL]:ドロップダウン リストから、[HTTPS] または [HTTP] を選択して、Auto Update サーバの URL の先頭を定義します。
• [Verify Server SSL certificate]:SSL 証明書が Auto Update サーバでイネーブルであることを確認するには、このチェックボックスをオンにします。
• [Username]:Auto Update サーバにログインするためのユーザ名を指定します。
• [Password]:Auto Update サーバにログインするためのパスワードを指定します。
• [Confirm Password]:確認のためにパスワードを再入力します。
• [Device ID Type]:ドロップダウン リストをクリックし、適応型セキュリティ アプライアンスを一意に識別する ID タイプを選択します。[User-defined name] を選択し、一意の ID を指定するための [Device ID] フィールドをイネーブルにします。
• [Device ID]:適応型セキュリティ アプライアンス ID として使用する一意の文字列を指定します。
『 Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide 』および『 Cisco ASA 5505 Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Step 4 - Management IP Address Configuration
この画面 では、このコンテキストでのホストの管理 IP アドレスを設定できます。メイン ASDM アプリケーション ウィンドウからこの機能にアクセスするには、[Configuration] > [Properties] > [Management IP] を選択します。
• [Management IP Address]:ASDM またはセッション プロトコルを使用し、管理目的でこのコンテキストにアクセスできるホストの IP アドレスを指定します。
• [Subnet Mask]:管理 IP アドレスのサブネット マスクを指定します。
『 Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide 』および『 Cisco ASA 5505 Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Step 5 - Interface Selection
この画面では、ASA 5505 の 8 つのファスト イーサネット スイッチ ポートを 3 つの VLAN にグループ化できます。これらの VLAN は、別のレイヤ 3 ネットワークとして機能します。グループ化後、外部(Internet)、内部(Business)、または DMZ(Home)で構成されるインターフェイスごとに、ネットワークを定義する VLAN を 1 つずつ選択または作成できます。DMZ は、ニュートラル ゾーンにある別のネットワークで、プライベート(内部)ネットワークとパブリック(外部)ネットワークの間にあります。
[Outside VLAN] または [Internet VLAN] セクション
• [Choose a VLAN]:ドロップダウン リストから事前定義済みの外部 VLAN を番号で選択します。
• [Create a VLAN]:新しい外部 VLAN を作成するには、このチェックボックスをオンにします。
• [Enable VLAN]:外部 VLAN をイネーブルにするには、このチェックボックスをオンにします。
[Inside VLAN] または [Business VLAN] セクション
• [Choose a VLAN]:ドロップダウン リストから事前定義済みの内部 VLAN を番号で選択します。
• [Create a VLAN]:新しい内部 VLAN を作成するには、このチェックボックスをオンにします。
• [Enable VLAN]:内部 VLAN をイネーブルにするには、このチェックボックスをオンにします。
[DMZ VLAN] または [Home VLAN (Optional)] セクション
• [Choose a VLAN]:ドロップダウン リストから事前定義済みの VLAN を番号で選択します。
• [Create a VLAN]:新しい VLAN を作成するには、このチェックボックスをオンにします。
• [Do not configure]:この VLAN の設定をディセーブルにするには、このチェックボックスをオンにします。
『 Cisco ASA 5505 Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Step 6 - Switch Port Allocation
この 画面 では、外部(Internet)、内部(Business)、または DMZ(Home)インターフェイスにスイッチ ポートを割り当てることができます。DMZ インターフェイスはトランスペアレント モードでは使用できません。関連付けられた VLAN にポートを追加する必要があります。デフォルトでは、スイッチ ポートはすべて VLAN1 で始まります。メイン ASDM アプリケーション ウィンドウからこの機能にアクセスするには、[Configuration] > [Interfaces] を選択します。
[Switch Ports for Outside VLAN (vlanid)] または [Switch Ports for Internet VLAN (vlanid)] セクション
• [Available Ports]:使用できるポートのリストから、追加または削除するポートを選択します。
• [Allocated Ports]:割り当てられたポートのリストから、追加または削除するポートを選択します。
• [Add]:使用できるポートのリスト、または割り当てられたポートのリストにポートを追加します。
• [Remove]:使用できるポートのリスト、または割り当てられたポートのリストからポートを削除します。
[Switch Ports for Inside VLAN (vlanid)] または [Switch Ports for Business VLAN (vlanid)] セクション
• [Available Ports]:使用できるポートのリストから、追加または削除するポートを選択します。
• [Allocated Ports]:割り当てられたポートのリストから、追加または削除するポートを選択します。
• [Add]:使用できるポートのリスト、または割り当てられたポートのリストにポートを追加します。
• [Remove]:使用できるポートのリスト、または割り当てられたポートのリストからポートを削除します。
[Switch Ports for DMZ VLAN (vlanid)] または [Switch Ports for Home VLAN (vlanid)] セクション
• [Available Ports]:使用できるポートのリストから、追加または削除するポートを選択します。
• [Allocated Ports]:割り当てられたポートのリストから、追加または削除するポートを選択します。
• [Add]:使用できるポートのリスト、または割り当てられたポートのリストにポートを追加します。
• [Remove]:使用できるポートのリスト、または割り当てられたポートのリストからポートを削除します。
『 Cisco ASA 5505 Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Step 7 - Interface IP Address Configuration
この画面では、PPPoE サーバまたは DHCP サーバから IP アドレスを取得するか、または IP アドレスとサブネット マスクを指定することによって、インターフェイスを設定できます。
[Outside IP Address] または [Internet IP Address] セクション
• [Use the following IP address]:外部 IP アドレスを指定するには、このオプションを選択します。
• [IP Address/Mask]:特定の IP アドレスを入力し、ドロップダウン リストからサブネット マスクを選択します。
• [Use DHCP]:DHCP サーバから外部 IP アドレスを取得するには、このオプションを選択します。
• [Obtain default rote using DHCP]:DHCP サーバから外部 IP アドレスのデフォルト ルートを取得するには、このチェックボックスをオンにします。
• [Use PPoE]:PPoE サーバから外部 IP アドレスを取得するには、このオプションを選択します。
[Inside IP Address] または [Business IP Address] セクション
• [Use the following IP address]:内部 IP アドレスを指定するには、このオプションを選択します。
• [IP Address/Mask]:特定の内部 IP アドレスを入力し、ドロップダウン リストからサブネット マスクを選択します。
• [Use DHCP]:DHCP サーバから内部 IP アドレスを取得するには、このオプションを選択します。
• [Use PPoE]:PPoE サーバから内部 IP アドレスを取得するには、このオプションを選択します。
[DMZ IP Address] または [Home IP Address] セクション
• [Use the following IP address]:DMZ IP アドレスを指定するには、このオプションを選択します。
• [IP Address/Mask]:特定の DMZ IP アドレスを入力し、ドロップダウン リストからサブネット マスクを選択します。
• [Use DHCP]:DHCP サーバから DMZ IP アドレスを取得するには、このオプションを選択します。
• [Use PPoE]:PPoE サーバから DMZ IP アドレスを取得するには、このオプションを選択します。
『 Cisco ASA 5505 Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Step 8 - Internet Interface Configuration - PPoE
この画面では、PPPoE サーバから IP アドレスを取得することによって、指定された外部インターフェイスを設定できます。メイン ASDM アプリケーション ウィンドウからこの機能にアクセスするには、[Configuration] > [Interfaces] を選択します。
(注) ASA 5505 以外のすべての ASA 5500 シリーズ モデルの場合、フル ライセンスの適応型セキュリティ アプライアンスは、最大で 3 つの外部インターフェイスを含む 5 つのインターフェイスをサポートします。制限モードの適応型セキュリティ アプライアンスはインターフェイスを最大で 3 つ、トランスペアレント モードの適応型セキュリティ アプライアンスはインターフェイスを最大で 2 つサポートします。最大数のインターフェイスを作成した後、または最大数のインターフェイスに名前を付けた後は、VLAN を新規作成できなくなり、既存の VLAN を選択することが必要になります。
• [Group Name]:PPoE サーバにあるグループの名前を指定します。次に進むには、グループ名を指定する必要があります。
• [PPoE Username]:PPoE サーバでのユーザ名を指定します。
• [PPoE Password]:PPoE サーバでのパスワードを指定します。
• [Confirm PPoE Password]:最初に入力した PPoE パスワードを指定します。
• [PAP]:PAP 認証を使用する場合にクリックします。
• [CHAP]:CHAP 認証を使用する場合にクリックします。
• [MSCHAP]:MSCHAP 認証を使用する場合にクリックします。
• [Obtain an IP address using PPoE]:PPoE サーバからインターフェイスの IP アドレスを取得するには、このオプションを選択します。このフィールドはトランスペアレント モードの場合には表示されません。
• [Specify an IP Address]:インターネット インターフェイスの IP アドレスを指定します。このフィールドはトランスペアレント モードの場合には表示されません。
– [IP Address]:インターネット インターフェイスで使用する IP アドレスを指定します。
– [Subnet Mask]:ドロップダウン リストからインターネット インターフェイスのサブネット マスクを選択します。
• [Obtain default route using PPoE]:PPoE サーバを使用してデフォルトのルーティングを設定するには、このチェックボックスをオンにします。
『 Cisco ASA 5505 Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Step 9 - Business Interface Configuration - PPoE
この画面では、PPPoE サーバから IP アドレスを取得することによって、内部インターフェイスを設定できます。メイン ASDM アプリケーション ウィンドウからこの機能にアクセスするには、[Configuration] > [Interfaces] を選択します。
(注) ASA 5505 以外のすべての ASA 5500 シリーズ モデルの場合、フル ライセンスの適応型セキュリティ アプライアンスは、最大で 3 つの外部インターフェイスを含む 5 つのインターフェイスをサポートします。制限モードの適応型セキュリティ アプライアンスはインターフェイスを最大で 3 つ、トランスペアレント モードの適応型セキュリティ アプライアンスはインターフェイスを最大で 2 つサポートします。最大数のインターフェイスを作成した後、または最大数のインターフェイスに名前を付けた後は、VLAN を新規作成できなくなり、既存の VLAN を選択することが必要になります。
• [Group Name]:PPoE サーバにあるグループの名前を指定します。次に進むには、グループ名を指定する必要があります。
• [PPoE Username]:PPoE サーバでのユーザ名を指定します。
• [PPoE Password]:PPoE サーバでのパスワードを指定します。
• [Confirm PPoE Password]:最初に入力した PPoE パスワードを指定します。
• [PAP]:PAP 認証を使用する場合にクリックします。
• [CHAP]:CHAP 認証を使用する場合にクリックします。
• [MSCHAP]:MSCHAP 認証を使用する場合にクリックします。
• [Obtain an IP address using PPoE] :PPoE サーバからインターフェイスの IP アドレスを取得するには、このオプションを選択します。このフィールドはトランスペアレント モードの場合には表示されません。
• [Specify an IP Address]:内部インターフェイスの IP アドレスを指定します。このフィールドはトランスペアレント モードの場合には表示されません。
– [IP Address]:内部インターフェイスで使用する IP アドレスを指定します。
– [Subnet Mask]:ドロップダウン リストからインターネット インターフェイスのサブネット マスクを選択します。
• [Obtain default route using PPoE]:PPoE サーバを使用してデフォルトのルーティングを設定するには、このチェックボックスをオンにします。
『 Cisco ASA 5505 Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Step 10 - Home Interface Configuration - PPoE
この画面では、PPPoE サーバから IP アドレスを取得することによって、DMZ インターフェイスを設定できます。メイン ASDM アプリケーション ウィンドウからこの機能にアクセスするには、[Configuration] > [Interfaces] を選択します。
(注) ASA 5505 以外のすべての ASA 5500 シリーズ モデルの場合、フル ライセンスの適応型セキュリティ アプライアンスは、最大で 3 つの外部インターフェイスを含む 5 つのインターフェイスをサポートします。制限モードの適応型セキュリティ アプライアンスはインターフェイスを最大で 3 つ、トランスペアレント モードの適応型セキュリティ アプライアンスはインターフェイスを最大で 2 つサポートします。最大数のインターフェイスを作成した後、または最大数のインターフェイスに名前を付けた後は、VLAN を新規作成できなくなり、既存の VLAN を選択することが必要になります。
• [Group Name]:PPoE サーバにあるグループの名前を指定します。次に進むには、グループ名を指定する必要があります。
• [PPoE Username]:PPoE サーバでのユーザ名を指定します。
• [PPoE Password]:PPoE サーバでのパスワードを指定します。
• [Confirm PPoE Password]:最初に入力した PPoE パスワードを指定します。
• [PAP]:PAP 認証を使用する場合にクリックします。
• [CHAP]:CHAP 認証を使用する場合にクリックします。
• [MSCHAP]:MSCHAP 認証を使用する場合にクリックします。
• [Obtain an IP address using PPoE] :PPoE サーバからインターフェイスの IP アドレスを取得するには、このオプションを選択します。このフィールドはトランスペアレント モードの場合には表示されません。
• [Specify an IP Address]:DMZ インターフェイスの IP アドレスを指定します。このフィールドはトランスペアレント モードの場合には表示されません。
– [IP Address]:DMZ インターフェイスで使用する IP アドレスを指定します。
– [Subnet Mask]:ドロップダウン リストからインターネット インターフェイスのサブネット マスクを選択します。
• [Obtain default route using PPoE]:PPoE サーバを使用してデフォルトのルーティングを設定するには、このチェックボックスをオンにします。
『 Cisco ASA 5505 Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Step 11 - General Interface Configuration
この画面では、インターフェイス間のトラフィック、および同じインターフェイスに接続されたホスト間のトラフィックを、イネーブルにしたり制限したりできます。
トラフィック制限は、オプションの設定ではありません。制限付きのライセンスしか持っていない場合は、1 つのインターフェイスから他のすべてのインターフェイスへのトラフィックを制限する必要があります。フル ライセンスまたはデバイスがトランスペアレント モードの場合、[Restrict Traffic] エリアのフィールドは表示されません。
• [Enable traffic between two or more interfaces with the same security level]:同じセキュリティ レベルにある複数のインターフェイス間のトラフィックをイネーブルにするには、このチェックボックスをオンにします。
• [Enable traffic between two or more hosts connected to the same interface]:同じインターフェイスに接続された複数のホスト間のトラフィックをイネーブルにするには、このチェックボックスをオンにします。
• [From interface]:ドロップダウン リストからインターフェイスを選択することによって、そのインターフェイスからのトラフィックを制限できます。
• [To interface]:ドロップダウン メニューからインターフェイスを選択することによって、そのインターフェイスへのトラフィックを制限できます。
『 Cisco ASA 5505 Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Step 12 - Static Routes
この画面では、任意のインターフェイスのルータに接続されたネットワークにアクセスするスタティック ルートを作成、編集、および削除できます。
• 『 Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide 』および『 Cisco ASA 5505 Getting Started Guide 』
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit Static Routes
このダイアログボックスでは、スタティック ルートを追加または編集できます。詳細については、 「Add/Edit Static Route」 を参照してください。
Step 13 - DHCP Server
この画面では、内部インターフェイスでホストする DHCP サーバとして適応型セキュリティ アプライアンスを設定できます。メイン ASDM アプリケーション ウィンドウから他のインターフェイスの DHCP サーバを設定するには、[Configuration] > [Properties] > [DHCP Services] > [DHCP Server] を選択します。詳細については、「DHCP サーバ」を参照してください。
• [Enable DHCP server on the inside interface]:内部インターフェイスから DHCP サーバへの接続を許可するには、このチェックボックスをオンにします。
• [Starting IP Address]:DHCP サーバ プールの開始範囲を、IP アドレス ブロックとして最下位から最上位の順に指定します。
(注) 適応型セキュリティ アプライアンスは、最大で 256 の IP アドレスをサポートします。
• [Ending IP Address]:DHCP サーバ プールの終了範囲を、IP アドレス ブロックとして最下位から最上位の順に指定します。
• [Enable auto-configuration]:DNS サーバ、WINS サーバ、リース期間、および ping タイムアウトの設定の自動コンフィギュレーションを許可するには、このチェックボックスをオンにします。
• [DNS Server 1]:DNS サーバの IP アドレスを指定します。
• [WINS Server 1]:WINS サーバの IP アドレスを指定します。
• [DNS Server 2]:代替 DNS サーバの IP アドレスを指定します。
• [WINS Server 2]:代替 WINS サーバの IP アドレスを指定します。
• [Lease Length (secs)]:リースの期間が終了する前に、割り当て IP アドレスをクライアントが使用できる時間を秒単位で指定します。デフォルト値は 3600 秒(1 時間)です。
• [Ping Timeout]:ping のタイムアウト値のパラメータをミリ秒単位で指定します。
• [Domain Name]:DNS を使用する DNS サーバのドメイン名を指定します。
• [Enable auto-configuration from interface]:DHCP 自動コンフィギュレーションをイネーブルにし、メニューからインターフェイスを選択するには、このチェックボックスをオンにします。画面の前のセクションで指定する値は、自動設定による設定値よりも優先されます。
『 Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide 』および『 Cisco ASA 5505 Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Step 14 - Address Translation (NAT/PAT)
この画面では、使用するセキュリティ アプライアンスでの NAT および PAT を設定することができます。メイン ASDM アプリケーション ウィンドウからこの機能にアクセスするには、[Configuration] > [NAT] を選択します。
PAT により、設定した IP アドレスの 1 つだけがグローバル アドレスとして使用されます。また、複数の発信セッションが 1 つの IP アドレスから開始されたかのように見せることができます。PAT では、最大 65,535 のホストが 1 つの外部 IP アドレスで接続を開始できます。
NAT を使用する場合は、内部インターフェイスのすべてのアドレスを外部インターフェイスのアドレスに変換するときに使用するアドレス範囲を入力します。プールのグローバル アドレスは、各発信接続で使用される IP アドレスと、発信接続が着信接続になった場合の IP アドレスに使用されます。
• PAT は、キャッシング ネーム サーバでは動作しません。
• マルチメディア アプリケーション プロトコルがセキュリティ アプライアンスを通過するには、該当するインスペクション エンジンをイネーブルにする必要があります。
• PAT は、 established コマンドでは動作しません。
• パッシブ FTP を使用する場合は、 inspect protocol ftp strict コマンドを access-list コマンドと一緒に使用して、発信 FTP トラフィックを許可します。
• 上位レベルのセキュリティ インターフェイス上の DNS サーバでは、PAT を使用できません。
• [Use Network Address Translation (NAT)]:NAT および変換に使用される IP アドレス範囲をイネーブルにする場合に選択します。
• [Starting Global IP Address]:変換に使用される IP アドレス範囲の最初の IP アドレスを指定します。
• [Ending Global IP Address]:変換に使用される IP アドレス範囲の最後の IP アドレスを指定します。
• [Subnet Mask (optional)]:変換に使用される IP アドレス範囲のサブネット マスクを指定します。
• [Use Port Address Translation (PAT)]:PAT をイネーブルにする場合に選択します。このオプションを選択した場合は、次のいずれかを選択してください。
(注) IPSec に PAT を使用すると正しく動作しない場合があります。これは、外部のトンネル エンドポイント デバイスが、同じ IP アドレスの複数のトンネルを処理できないためです。
– [Use the IP address on the outside interface]:PAT で外部インターフェイスの IP アドレスを使用する場合に選択します。
– [Specify an IP address]:PAT で使用する IP アドレスを入力します。
[IP Address]:PAT の外部インターフェイスの IP アドレスを指定します。
[Subnet Mask (optional)]:ドロップダウン リストからサブネット マスクを選択します。
• [Enable traffic through the firewall without translation]:トラフィックを変換しないでファイアウォールを通過させる場合に選択します。
『 Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide 』および『 Cisco ASA 5505 Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Step 15 - Administrative Access
この画面では、セキュリティ アプライアンスでの管理アクセスを設定できます。
• [Type]:ホストまたはネットワークがセキュリティ アプライアンスにアクセスするときに、ASDM の HTTP over SSL、SSH、または Telnet のどれを使用するかを指定します。
• [Interface]:ホストまたはネットワーク名を表示します。
• [IP address]:ホストまたはネットワークの IP アドレスを表示します。
• [Mask]:ホストまたはネットワークのサブネット マスクを表示します。
• [Enable HTTP server for HTTPS/ASDM access]:ASDM にアクセスするための HTTP サーバへのセキュアな接続をイネーブルにするには、このチェックボックスをオンにします。
• [Add]:アクセス タイプとインターフェイスを追加し、次に管理目的でのみそのインターフェイスに接続するホスト ネットワークの IP アドレスとネットマスクを指定します。詳細については、「 Add/Edit Administrative Access Entry」を参照してください。
• [Edit]:インターフェイスを変更します。詳細については、「 Add/Edit Administrative Access Entry」を参照してください。
• [Enable ASDM history metrics]:ASDM で統計を収集および表示できるようにするには、このチェックボックスをオンにします。
『 Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide 』および『 Cisco ASA 5505 Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit Administrative Access Entry
このダイアログボックスでは、ホストを設定できます。メイン ASDM アプリケーション ウィンドウでこの機能にアクセスするには、次のいずれかの方法を選択します。
• [Configuration] > [Properties] > [Device Access] > [HTTPS/ASDM]
• [Configuration] > [Properties] > [Device Access] > [Telnet]
• [Configuration] > [Properties] > [Device Access] > [SSH]
• [Configuration] > [Properties] > [History Metrics]
• [Access Type]:ドロップダウン リストで、次に示す CLI コンソール セッションの事前設定された接続タイプの 1 つを選択します。
(注) ASDM は、セキュリティ アプライアンスとのすべての通信で HTTP over SSL を使用します。
• [Interface Name]:事前設定されたインターフェイスのリストから選択します。
• [IP Address]:インターフェイスの IP アドレスを指定します。
• [Subnet Mask]:サブネット マスクの IP アドレスの選択肢から、インターフェイスのサブネット マスクを指定します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Step 16 - Easy VPN Remote Configuration
この画面では、適応型セキュリティ アプライアンスと、リモート Cisco VPN 3000 コンセントレータ、Cisco ルータ、または Easy VPN サーバとして動作している適応型セキュリティ アプライアンスとの間に、セキュアな VPN トンネルを設定できます。適応型セキュリティ アプライアンスは Easy VPN リモート デバイスとして動作するため、離れた場所に VPN を展開できます。
(注) この画面にアクセスするには、 Step 2 - Basic Configurationの [Configure the device for Teleworker usage] チェックボックスをオンにし、 インターフェイス コンフィギュレーションの [Enable Auto Update] チェックボックスをオフにする必要があります。
クライアント モードでは、適応型セキュリティ アプライアンスは内部ネットワークのクライアントの IP アドレスを公開しません。代わりに、適応型セキュリティ アプライアンスは、NAT を使用してプライベート ネットワークの IP アドレスを単一の割り当て済み IP アドレスに変換します。このモードでは、プライベート ネットワークの外部からデバイスに ping を実行したり、デバイスにアクセスしたりできません。
ネットワーク拡張モードでは、適応型セキュリティ アプライアンスが、割り当てられた IP アドレスを置き換えることによってローカル ホストの IP アドレスを保護することはありません。したがって、VPN 接続の相手側ホストは、ローカル ネットワークのホストと直接通信できます。
適応型セキュリティ アプライアンスをこれらの 2 つのモードのいずれかに設定するには、次のガイドラインに従ってください。
• ローカル ホストの IP アドレスをリモート ネットワークで非表示にする場合
• ASA 5505 の DHCP からローカル ホストに IP アドレスを渡す場合
• トラフィック転送の必要がなくても VPN 接続を開いておく場合
• リモート ホストをローカル ネットワークから直接通信を可能にする場合
• ローカル ネットワークのホストがスタティック IP アドレスの場合
• [Enable Easy VPN remote]:適応型セキュリティ アプライアンスが Easy VPN リモート デバイスとして動作できるようにするには、このチェックボックスをオンにします。この機能をイネーブルにしない場合、VPN トンネルからインターフェイス外部の適応型セキュリティ アプライアンスにアクセスできるホストは、その適応型セキュリティ アプライアンスをリモート管理できます。
• [Client Mode]:DHCP サーバを使用して、内部ネットワーク上のホストのダイナミック IP アドレスを生成する場合にクリックします。
• [Network extension]:内部ネットワークのホストにスタティック IP アドレスがある場合にクリックします。
• [Use X.509 Certificate]:X.509 証明書を使用して、IPSec Main モードをイネーブルにする場合にクリックします。ドロップダウン リストからトラストポイントを選択するか、または入力します。
• [Use group password]:ユーザ グループのパスワードを入力します。
– [Group Name]:ユーザ グループの名前を入力します。
– [Password]:ユーザ グループのパスワードを入力します。
– [Confirm password]:パスワードを確認する必要があります。
• [Confirm Password]:設定のパスワードを確認する必要があります。
• [Primary server]:プライマリ Easy VPN サーバの IP アドレスを入力します。
• [Secondary server]:セカンダリ Easy VPN サーバの IP アドレスを入力します。
(注) 適応型セキュリティ アプライアンスは、1 台のプライマリ サーバと 10 台までのセカンダリ サーバで構成される、最大で 11 台の Easy VPN サーバをサポートします。ASA の Easy VPN リモート デバイスを Easy VPN サーバに接続できるようにするには、ISP を利用して両方のデバイス間のネットワーク接続を確立しておく必要があります。ASA 5500 シリーズ適応型セキュリティ アプライアンスを DSL またはケーブル モデムに接続した後は、ISP の指示に従ってネットワーク接続設定を完了してください。IP アドレスは、PPPoE サーバ、DHCP サーバ、またはスタティック コンフィギュレーションから取得できます。
『 Cisco ASA 5505 Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Step 17 - Startup Wizard Summary
この画面には、セキュリティ アプライアンスに対して行ったすべての設定の概要が表示されます。
• 前の画面での設定を変更するには、[Back] をクリックします。
• Startup Wizard をブラウザから直接起動した場合は、[Finish] をクリックすると、ウィザードで作成された設定が適応型セキュリティ アプライアンスに自動的に送信され、フラッシュ メモリに保存されます。
• ASDM 内で Startup Wizard を実行した場合は、その設定を明示的にフラッシュ メモリに保存する必要があります。
『 Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide 』および『 Cisco ASA 5505 Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
その他のインターフェイスの設定
• [Interface]:元のホストまたはネットワークが存在するネットワーク インターフェイスを表示します。
• [Name]:設定対象となるインターフェイスの名前を表示します。
• [Security Level]:インターフェイスのセキュリティ レベル範囲を 0 ~ 100 で表示します。100 は内部インターフェイス、0 は外部インターフェイスに割り当てられます。境界インターフェイスには、1 ~ 99 の範囲の番号が使用できます。0 ~ 100 のセキュリティ レベルは、デフォルトでは設定されません。
• [Enable traffic between two or more interfaces with same security levels]:同じセキュリティ レベルを複数のインターフェイスに設定し、それらのインターフェイス間のトラフィックをイネーブルにするには、このチェックボックスをオンにします。
• [Enable traffic between two or more hosts connected to the same interface]:複数のホストにあるインターフェイスでトラフィックをイネーブルにするには、このチェックボックスをオンにします。
• [Edit]:[ インターフェイスの編集] ダイアログボックスでインターフェイスの設定を変更する場合にクリックします。
『 Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
インターフェイスの編集
メイン ASDM アプリケーション ウィンドウからこの機能にアクセスするには、[Configuration] > [Interfaces] を選択します。
• [Interface]:編集対象として選択したインターフェイスの名前を表示します。
• [Interface Name]:選択したインターフェイスの名前を表示します。このインターフェイスの名前は変更できます。
• [Security Level]:選択したインターフェイスのセキュリティ レベルを表示します。インターフェイスのセキュリティ レベルは選択できます。インターフェイスのセキュリティ レベルを下げると、警告メッセージが表示されます。
• [Use PPPoE]:外部インターフェイスに IP アドレスを割り当てる場合に PPPoE を認証方式として使用するには、このチェックボックスをオンにします。
(注) PPPoE は複数のインターフェイスで使用できるので、PPPoE クライアントの各インスタンスでは、別のユーザ名とパスワードを持つ異なる認証レベルを必要とする場合があります。
• [Use DHCP]:適応型セキュリティ アプライアンスを DHCP サーバとして使用するには、このチェックボックスをオンにします。
• [Uses the following IP address]:インターフェイスの特定の IP アドレスを入力するには、このチェックボックスをオンにします。
• [IP Address]:インターフェイスの IP アドレスを編集します。
• [Subnet Mask]:ドロップダウン リストから既存のサブネット マスクを選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
インターフェイス コンフィギュレーション
この画面では、残りのインターフェイスを設定し、複数のインターフェイス間のトラフィックをイネーブルにすることができます。
• [Edit]:[ インターフェイスの編集] ダイアログボックスでインターフェイスの設定を変更する場合にクリックします。
• [Enable traffic between two or more interfaces with the same security level]:同じセキュリティ レベルにある複数のインターフェイス間のトラフィックをイネーブルにするには、このチェックボックスをオンにします。
(注) IP 関連のフィールドは、トランスペアレント モードでは表示されません。
『 Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
外部インターフェイスのコンフィギュレーション:PPPoE
この 画面 では、PPPoE サーバから IP アドレスを取得することによって、外部インターフェイスを設定できます。メイン ASDM アプリケーション ウィンドウからこの機能にアクセスするには、[Configuration] > [Interfaces] を選択します。
• [Group Name]:インターフェイスの名前を指定します。次に進むには、グループ名を指定する必要があります。
– [PPPoE Username]:認証に必要な PPPoE ユーザ名を指定します。
– [PPPoE Password]:認証に必要な PPPoE パスワードを指定します。
– [Confirm PPPoE Password]:PPPoE パスワードを確認します。
PPPoE のデフォルトの認証方式は PAP です。CHAP または MS-CHAP を手動で設定するオプションも選択できます。
– [PAP]:認証方式として PAP を選択する場合はこのチェックボックスをオンにします。この方式では、ユーザ名とパスワードは暗号化されません。
– [CHAP]:CHAP 認証を選択する場合はこのチェックボックスをオンにします。CHAP はリモート エンドを識別するだけで、不正アクセスを防止するわけではありません。その後、アクセス サーバはユーザにアクセス権限があるかどうかを判断します。
– [MSCHAP]:Windows オペレーティング システムを使用するコンピュータとアクセス サーバ間の PPP 接続用に MS-CHAP 認証を選択するには、このチェックボックスをオンにします。
PPPoE のデフォルトの認証方式は PAP です。CHAP または MS-CHAP を手動で設定するオプションも選択できます。
– [Obtain IP Address using PPPoE]:PPPoE サーバを使用して IP アドレスを取得する場合にクリックします。
– [Specify an IP address]:インターフェイスの IP アドレスを指定する場合にクリックします。
[IP Address]:インターフェイスの IP アドレスを入力します。
[Subnet Mask]:ドロップダウン リストからインターフェイスのサブネット マスクを入力または選択します。
– [Obtain default route using PPPoE]:PPPoE サーバと PPPoE クライアント間のデフォルト ルートを取得する場合にクリックします。
『 Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
外部インターフェイスのコンフィギュレーション
この 画面 では、IP アドレスを指定するか、PPPoE サーバまたは DHCP サーバから IP アドレスを取得することによって、外部インターフェイスを設定できます。メイン ASDM アプリケーション ウィンドウからこの機能にアクセスするには、[Configuration] > [Interfaces] を選択します。
(注) ASA 5505 以外のすべての ASA 5500 シリーズ モデルの場合、フル ライセンスの適応型セキュリティ アプライアンスは、最大で 3 つの外部インターフェイスを含む 5 つのインターフェイスをサポートします。制限モードの適応型セキュリティ アプライアンスはインターフェイスを最大で 3 つ、トランスペアレント モードの適応型セキュリティ アプライアンスはインターフェイスを最大で 2 つサポートします。最大数のインターフェイスを作成した後、または最大数のインターフェイスに名前を付けた後は、VLAN を新規作成できなくなり、既存の VLAN を選択することが必要になります。
• [Interface]:インターフェイスをドロップダウン リストから選択します。
• [Interface Name]:新しいインターフェイスに名前を追加するか、または既存のインターフェイスに関連付けられた名前を表示します。
• [Enable interface]:インターフェイスを特権モードでアクティブにするには、このチェックボックスをオンにします。
• [Security Level]:インターフェイスのセキュリティ レベル範囲を 0 ~ 100 で表示します。100 は内部インターフェイス、0 は外部インターフェイスに割り当てられます。境界インターフェイスには、1 ~ 99 の範囲の番号が使用できます。0 ~ 100 のセキュリティ レベルは、デフォルトでは設定されません。
• [Use PPPoE]:PPPoE サーバから IP アドレスを取得する場合にクリックします。
• [Use DHCP]:DHCP サーバから IP アドレスを取得する場合にクリックします。
• [Obtain default route using DHCP]:DHCP を使用してデフォルト ゲートウェイの IP アドレスを取得するには、このチェックボックスをオンにします。
• [Use the following IP address]:インターフェイスの IP アドレスを手動で指定するには、このオプションを選択します。このフィールドはトランスペアレント モードの場合には表示されません。
• [IP Address]:外部インターフェイスの IP アドレスを指定します。このフィールドはトランスペアレント モードの場合には表示されません。
• [Subnet Mask]:ドロップダウン リストから外部インターフェイスのサブネット マスクを選択します。
『 Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide 』を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フィードバック