- 始める前に
- ASA 5550 のスループットの 最大化
- ASA 5550 の取り付け
- ASA 5500、ASA 5510、ASA 5520 および ASA 5540 の設置
- オプションの SSM の取り付け
- ASA 5500、ASA 5510、 ASA 5520、および ASA 5540 プラットフォームでのインター フェイス ケーブルの接続
- 適応型セキュリティ アプライ アンスの設定
- シナリオ:DMZ の設定
- シナリオ: IPSec リモートアク セス VPN の設定
- シナリオ:Cisco AnyConnect VPN Client 用の接続の設定
- シナリオ:SSL VPN クライアン トレス接続
- シナリオ:サイトツーサイト VPN の設定
- AIP SSM の設定
- CSC SSM の設定
- ファイバ用 4GE SSM の設定
- 3DES/AES ライセンスの取得
- 索引
Cisco ASA 5500 シリーズ 適応型セキュリティ アプライアンス スタートアップ ガイド Version 8.0
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月15日
章のタイトル: シナリオ:DMZ の設定
シナリオ:DMZ の設定
非武装地帯(DMZ)とは、プライベート(内部)ネットワークとパブリック(外部)ネットワークの間の中立ゾーンにある区別されたネットワークです。
•
「DMZ 配置用の適応型セキュリティ アプライアンスの設定」
• 「次の手順」
DMZ 設定用の基本ネットワーク レイアウト
図 8-1 で示すネットワーク トポロジは、適応型セキュリティ アプライアンスのほとんどの DMZ 実装の代表的なものです。この配置では、Web サーバは DMZ インターフェイス上にあり、HTTP クライアントは内部ネットワークからも外部ネットワークからもこの Web サーバにセキュアにアクセスできます。
DMZ ネットワーク トポロジの例
この章では、適応型セキュリティ アプライアンスの DMZ の配置を設定する方法について説明します(図 8-2 を参照してください)。
図 8-2 DMZ の設定シナリオのネットワーク レイアウト
• Web サーバは、適応型セキュリティ アプライアンスの DMZ インターフェイス上にあります。
• プライベート ネットワーク上のクライアントは、DMZ の Web サーバにアクセスでき、またインターネット上のデバイスとも通信できます。
• インターネット上のクライアントは、DMZ Web サーバへの HTTP アクセスを許可され、インターネットから発信されるその他のトラフィックはすべて拒否されます。
• ネットワークには、パブリックに使用可能な IP アドレス、つまり適応型セキュリティ アプライアンスの外部インターフェイス(209.165.200.225)があります。このパブリック アドレスは、適応型セキュリティ アプライアンスおよび DMZ Web サーバで共有されます。
• 「インターネット上の Web サーバにアクセスする内部ユーザ」
• 「DMZ Web サーバにアクセスするインターネット ユーザ」
インターネット上の Web サーバにアクセスする内部ユーザ
図 8-3 は、内部ユーザがインターネット上の Web サーバに HTTP ページを要求したときの、適応型セキュリティ アプライアンスを通るトラフィック フローを示しています。
図 8-3 インターネット上の Web サーバにアクセスする内部ユーザ
内部ユーザがインターネット上の Web サーバに HTTP ページを要求すると、データは次のように適応型セキュリティ アプライアンスを通じて移動します。
1. 内部ネットワーク上のユーザが www.example.com に Web ページを要求します。
2. 適応型セキュリティ アプライアンスはパケットを受信します。これは新しいセッションのため、このパケットが許可されていることを確認します。
3. 適応型セキュリティ アプライアンスはネットワーク アドレス変換(NAT)を行い、ローカルの送信元アドレス(192.168.1.2)を外部インターフェイスのパブリック アドレス(209.165.200.225)に変換します。
4. 適応型セキュリティ アプライアンスはセッションが確立されたことを記録し、外部インターフェイスからこのパケットを転送します。
5. www.example.com が要求に応答すると、パケットは確立されたセッションを使用して適応型セキュリティ アプライアンスを通過します。
6. 適応型セキュリティ アプライアンスは NAT を実行し、パブリックの宛先アドレスをローカル ユーザ アドレス(192.168.1.2)に変換します。
DMZ Web サーバにアクセスするインターネット ユーザ
図 8-4 は、インターネット上のユーザが DMZ Web サーバに Web ページを要求したときの、適応型セキュリティ アプライアンスを通るトラフィック フローを示しています。
インターネット上のユーザが DMZ Web サーバに HTTP ページを要求すると、トラフィックは次のように適応型セキュリティ アプライアンスを通過します。
1. 外部ネットワーク上のユーザは、適応型セキュリティ アプライアンスのパブリック IP アドレス(外部インターフェイスの IP アドレスである
209.165.200.225)を使用して、DMZ Web サーバに Web ページを要求します。
2. 適応型セキュリティ アプライアンスはパケットを受信します。これは新しいセッションのため、このパケットが許可されていることを確認します。
3. 適応型セキュリティ アプライアンスは、宛先アドレスを DMZ Web サーバのローカル アドレス(10.30.30.30)に変換し、DMZ インターフェイスを通じてパケットを転送します。
4. DMZ Web サーバが要求に応答すると、適応型セキュリティ アプライアンスは、ローカルの送信元アドレスを DMZ Web サーバのパブリック アドレス(209.165.200.225)に変換します。
DMZ Web サーバにアクセスする内部ユーザ
図 8-5 は、DMZ Web サーバにアクセスするユーザを示しています。
図 8-5 DMZ 上の Web サーバにアクセスする内部ユーザ
図 8-5 で、適応型セキュリティ アプライアンスは、内部クライアントから発信される DMZ Web サーバ宛の HTTP トラフィックを許可します。内部ネットワークには DNS サーバが存在しないため、内部クライアントの DMZ Web サーバに対する要求は、次のように処理されます。
1. 検索要求は ISP の DNS サーバに送信されます。DMZ Web サーバのパブリック IP アドレスがクライアントに返されます。
2. 内部クライアントは、DMZ Web サーバの IP アドレスに Web ページを要求します。適応型セキュリティ アプライアンスは、内部インターフェイス上でこの要求を受信します。
3. 適応型セキュリティ アプライアンス は DMZ Web サーバの IP アドレスを実アドレス(209.165.200.225 -> 10.30.30.30)に変換し、DMZ インターフェイスから Web サーバに要求を転送します。
4. DMZ Web サーバが要求に応答すると、適応型セキュリティ アプライアンスは DMZ インターフェイス上でデータを受信し、内部インターフェイスからユーザにこのデータを転送します。
DMZ 配置用の適応型セキュリティ アプライアンスの設定
この章では、ASDM を使用して、図 8-2 で示す設定シナリオの適応型セキュリティ アプライアンスを設定する方法について説明します。手順で使用するサンプル パラメータは、シナリオに基づいています。
この設定手順では、内部インターフェイス、外部インターフェイス、および DMZ インターフェイス用に適応型セキュリティ アプライアンスのインターフェイスがすでに設定されていることを前提としています。適応型セキュリティ アプライアンスのインターフェイスをセットアップするには、ASDM の Startup Wizard を使用します。DMZ インターフェイスのセキュリティ レベルが 0 ~ 100 に設定されていることを確認します(一般的な値は 50 です)。
Startup Wizard の使用方法の詳細については、「適応型セキュリティ アプライアンスの設定」を参照してください。
• 「設定の要件」
• 「必要な情報」
• 「内部クライアントによるインターネット上のデバイスとの通信の許可」
• 「内部クライアントによる DMZ Web サーバとの通信の許可」
• 「DMZ Web サーバへのパブリック アクセス用のスタティック PAT の設定(ポート転送)」
• 「DMZ Web サーバへのパブリック HTTP アクセスの提供」
ここからは、この設定を実装するための手順について説明します。
設定の要件
適応型セキュリティ アプライアンスのこの DMZ 配置には、次の設定規則が必要です。
必要な情報
• パブリック ネットワーク上のクライアントが使用できるようにする DMZ 内のサーバ(このシナリオでは Web サーバ)の内部 IP アドレス。
• DMZ 内のサーバ用に使用されるパブリック IP アドレス(パブリック ネットワーク上のクライアントは、このパブリック IP アドレスを使用して DMZ 内のサーバにアクセスします)。
• 発信トラフィックの内部 IP アドレスの代わりになるクライアント IP アドレス(このシナリオでは、外部インターフェイスの IP アドレス)。IP アドレスが公開されないようにするため、発信クライアントのトラフィックはこのアドレスから発信されたように見えます。
ASDM の起動
この項では、ASDM Launcher ソフトウェアを使用して ASDM を起動する方法について説明します。ASDM Launcher ソフトウェアをまだインストールしていない場合は、「ASDM Launcher のインストール」を参照してください。
Web ブラウザまたは Java を使用して直接 ASDM にアクセスする場合は、「Web ブラウザを使用した ASDM の起動」を参照してください。
ASDM Launcher ソフトウェアを使用して ASDM を起動するには、次の手順を実行します。
ステップ 1 デスクトップから、Cisco ASDM Launcher ソフトウェアを起動します。
ステップ 2 適応型セキュリティ アプライアンスの IP アドレスまたはホスト名を入力します。
ステップ 3 Username および Password フィールドはブランクのままにします。
(注) デフォルトで、Cisco ASDM Launcher には Username および Password は設定されていません。
ステップ 5 証明書を受け入れるよう要求するセキュリティ警告が表示されたら、 Yes をクリックします。
ASA は更新するソフトウェアがあるかどうかを確認し、ある場合は自動的にダウンロードします。
内部クライアントによるインターネット上のデバイスとの通信の許可
内部クライアントがインターネット上のデバイスにコンテンツを要求できるようにするため、適応型セキュリティ アプライアンスは、内部クライアントの実 IP アドレスを外部インターフェイスの外部アドレス(つまり、適応型セキュリティ アプライアンスのパブリック IP アドレス)に変換します。発信トラフィックは、このアドレスから発信されたように見えます。
適応型セキュリティ アプライアンスでは、必要なアドレス変換規則がデフォルトで設定されています。内部インターフェイスの IP アドレスを変更しない限り、内部クライアントによるインターネットへのアクセスを許可する設定を行う必要はありません。
内部クライアントによる DMZ Web サーバとの通信の許可
この手順では、内部クライアントが DMZ 内の Web サーバとセキュアに通信できるように、適応型セキュリティ アプライアンスを設定します。これを行うには、次の 2 つの規則を設定する必要があります。
• DMZ Web サーバの実 IP アドレスをパブリック IP アドレス(10.30.30.30 から 209.165.200.225)に変換する、DMZ および内部インターフェイス間の NAT 規則。
• DMZ Web サーバのパブリック IP アドレスを実 IP アドレス(209.165.200.225 から 10.30.30.30 )に戻す、内部および DMZ インターフェイス間の NAT 規則。
内部クライアントが DNS 検索要求を送信すると、DNS サーバは DMZ Web サーバのパブリック IP アドレスを返すため、この規則が必要になります。
(注) 内部ネットワーク上に DNS サーバが存在しないため、DNS 要求は適応型セキュリティ アプライアンスを出て、インターネット上の DNS サーバによって解決される必要があります。
内部および DMZ インターフェイス間の内部クライアントの IP アドレス変換
内部インターフェイスおよび DMZ インターフェイス間で内部クライアントの IP アドレスを変換する NAT 規則を設定するには、次の手順を実行します。
ステップ 1 ASDM のメイン ウィンドウで、 Configuration ツールをクリックします。
ステップ 2 ASDM ウィンドウの左側にある Device List 領域で、Firewall をクリックします。
ステップ 3 ASDM ウィンドウの左側にある Firewall ペインで、NAT Rules をクリックします。
ステップ 4 緑色のプラス記号(+)のアイコンをクリックし、Add Static NAT Rule を選択します。
Add Static NAT Rule ダイアログボックスが表示されます。
ステップ 5 Original 領域で、変換する IP アドレスを指定します。このシナリオでは、内部クライアントのアドレス変換は、10.10.10.0 サブネット全体に対して実行されます。
a. Interface ドロップダウン リストで、inside インターフェイスを選択します。
b. Source フィールドに、クライアントまたはネットワークの IP アドレスを入力します。このシナリオでは、ネットワークの IP アドレスは 10.10.10.0 です。
ステップ 6 Translated 領域で、次の手順を実行します。
a. Interface ドロップダウン リストで、DMZ インターフェイスを選択します。
b. IP Address フィールドに、内部クライアントまたはネットワークの IP アドレスを入力します。このシナリオでは、ネットワークの IP アドレスは 10.10.10.0 です。
c. OK をクリックして Static NAT Rule を追加し、Configuration > NAT ペインに戻ります。
設定ペインで、変換規則が予想どおりに表示されることを確認します。規則は次のように表示されます。
ステップ 7 Apply をクリックして、適応型セキュリティ アプライアンスの設定変更を完了します。
Web サーバのパブリック アドレスから実アドレスへの変換
Web サーバのパブリック IP アドレスを実 IP アドレスに変換する NAT 規則を設定するには、次の手順を実行します。
ステップ 1 Configuration > Firewall > NAT Rules 画面で、緑色の +(プラス記号)のアイコンをクリックし、Add Static NAT Rule を選択します。
Add Static NAT Rule ダイアログボックスが表示されます。
ステップ 2 Original 領域で、次の手順を実行します。
a. Interface ドロップダウン リストで、DMZ を選択します。
b. Source フィールドで、DMZ Web サーバのパブリック アドレスを入力するか、または IP Address ドロップダウン リストから選択します。このシナリオでは、IP アドレスは 209.165.200.225 です。
ステップ 3 Translated 領域で、次の手順を実行します。
a. Interface ドロップダウン リストで、inside を選択します。
b. DMZ Web サーバの実アドレスを入力するか、または IP Address ドロップダウン リストから選択します。このシナリオでは、IP アドレスは 10.30.30.30 です。
ステップ 4 OK をクリックして、Configuration > NAT ペインに戻ります。表示される設定は、次のようになります。
ステップ 5 Apply をクリックして、適応型セキュリティ アプライアンスの設定変更を完了します。
DMZ Web サーバへのパブリック アクセス用のスタティック PAT の設定(ポート転送)
DMZ Web サーバは、インターネット上のすべてのホストからアクセスできる必要があります。この設定では、DMZ Web サーバのプライベート IP アドレスをパブリック IP アドレスに変換して、外部 HTTP クライアントが適応型セキュリティ アプライアンスを意識せずに Web サーバにアクセスできるようにする必要があります。このシナリオでは、DMZ Web サーバは、適応型セキュリティ アプライアンスの外部インターフェイス(209.165.200.225)とパブリック IP アドレスを共有しています。
Web サーバの実 IP アドレス(10.30.30.30)をパブリック IP アドレス(209,165,200,225)にスタティックにマッピングするには、次の手順を実行します。
ステップ 1 Configuration > Firewall > NAT Rules ペインで、Add ドロップダウン リストから Add Static NAT Rule を選択します。
Add Static NAT Rule ダイアログボックスが表示されます。
ステップ 2 Original 領域で、Web サーバの実 IP アドレスを次のように指定します。
a. Interface ドロップダウン リストで、DMZ インターフェイスを選択します。
b. DMZ Web サーバの実 IP アドレスを入力します。このシナリオでは、IP アドレスは 10.30.30.30 です。
ステップ 3 Translated 領域で、Web サーバに使用されるパブリック IP アドレスを次のように指定します。
a. Interface ドロップダウン リストで、outside を選択します。
b. Interface IP オプション ボタンをクリックします。これが指定されたインターフェイス(この場合は外部インターフェイス)の IP アドレスになります。
パブリック IP アドレスは 1 つしかないため、ポート アドレス変換を使用して、DMZ Web サーバの IP アドレスを、適応型セキュリティ アプライアンスのパブリック IP アドレス(外部インターフェイスの IP アドレス)に変換する必要があります。ポート アドレス変換を設定するには、次の手順を実行します。
a. Enable Port Address Translation チェックボックスをオンにします。
b. TCP Protocol オプション ボタンをクリックします。
c. Original Port フィールドに 80 を入力します。
d. Translated Port フィールドに 80 を入力します。
e. OK をクリックして規則を追加し、Address Translation Rules のリストに戻ります。
この規則は、Web サーバの実 IP アドレス(10.30.30.30)を Web サーバのパブリック IP アドレス(209,165,200,225)にスタティックにマッピングします。
ステップ 5 規則が予想どおりに作成されたことを確認します。表示される設定は、次のようになります。
ステップ 6 Apply をクリックして、適応型セキュリティ アプライアンスの設定変更を完了します。
DMZ Web サーバへのパブリック HTTP アクセスの提供
デフォルトでは、適応型セキュリティ アプライアンスはパブリック ネットワークから発信されたすべてのトラフィックを拒否します。インターネットからの着信トラフィックが DMZ Web サーバにアクセスすることを許可するには、DMZ Web サーバ宛の着信 HTTP トラフィックを許可するアクセス コントロールを設定する必要があります。
このアクセス コントロール規則には、トラフィックを処理する適応型セキュリティ アプライアンスのインターフェイス、トラフィックが着信であること、トラフィックの発信元と宛先、および許可されるトラフィックのプロトコルとサービスの種類を指定します。
この項では、トラフィックの宛先が DMZ ネットワークの場合に、インターネット上のホストまたはネットワークから発信される着信 HTTP トラフィックを許可するアクセス規則を作成します。パブリック ネットワークから発信されるその他のトラフィックはすべて拒否されます。
アクセス コントロール規則を設定するには、次の手順を実行します。
ステップ 1 ASDM のメイン ウィンドウで、次の手順を実行します。
b. Firewall ペインで、 Access Rules をクリックします。
c. 緑色のプラス記号のアイコンをクリックし、Add Access Rule を選択します。
Add Access Rule ダイアログボックスが表示されます。
ステップ 2 Add Access Rule ダイアログボックスで、次の手順を実行します。
a. Interface プルダウン リストで、outside を選択します。
b. Permit Action オプション ボタンをクリックします。
d. Destination フィールドで、Web サーバのパブリック IP アドレス(209.165.200.225)を入力します。
g. アクセス コントロール規則をただちにイネーブルにする場合は、Enable Rule チェックボックスをオンにします。
h. Traffic Direction の隣で In をクリックします。
i. Source Service フィールドに tcp/http を入力します。
この時点で、Add Access Rule ダイアログボックスのエントリは、次のようになります。
j. OK をクリックし、Security Policy > Access Rules ペインに戻ります。
Apply をクリックして、適応型セキュリティ アプライアンスが現在実行中の設定変更を保存します。
これで、パブリック ネットワーク上のクライアントが、プライベート ネットワークをセキュアな状態に保ちながら、DMZ Web サーバからのコンテントに対する HTTP 要求を解決できます。
ステップ 3 次回のデバイス起動時に変更が適用されるように、設定変更をスタートアップ設定に保存する場合は、File メニューで Save をクリックします。
あるいは、ASDM の終了時に設定変更の保存を要求するプロンプトが表示されます。
設定変更を保存しない場合は、次回のデバイス起動時に以前の設定が有効になります。
次の手順
DMZ 内の Web サーバを保護する目的で適応型セキュリティ アプライアンスを配置するだけの場合は、これで初期設定は終わりです。次の追加の手順について、実行する必要があるかどうかを検討してください。
|
|
|
|---|---|
Cisco Security Appliance Command Reference Cisco Security Appliance Logging Configuration and System Log Messages |
適応型セキュリティ アプライアンスは、複数のアプリケーション用に設定できます。次の項で、その他の一般的なアプリケーション用に適応型セキュリティ アプライアンスを設定する手順を説明します。
|
|
|
|---|---|
フィードバック