Cisco ISA 3000 Industrial Security Appliance ハードウェア設置ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年8月4日
章のタイトル: 初期設定
初期設定
この章では、基本的な動作設定をデバイスに提供する、インストーラの Out-Of-Box エクスペリエンス(OBE)について説明します。Cisco ISA 3000では工場出荷時にデフォルトのパラメータ セットが設定されています。
–
ポート情報
– 配線の手順
– ASDM の起動
– 次の作業
工場出荷時のデフォルト設定
ISA 3000の工場出荷時のデフォルト設定は、他の ASA デバイスとは若干異なります。次のセクションでは、そうした違いの一部について説明します。
ポート情報
ポートの番号付け、つまりインターフェイスの番号付けは、他の ASA デバイスとは異なります。ASA の一般的なポート番号付けは 0 から始まりますが、ISA 3000のポートの番号付けは 1 から始まります。ポートのインターフェイス名は次のようになります。
外部からアクセス可能なタイプ A の USB 2.0(4 ピン)コネクタが 2 つあります。これらのポートは、大容量ストレージ デバイスをサポートします。これらの 2 つの USB ポートは、ASA では disk1、disk2 と表示されます。以下に例を示します。
ASA のデフォルト設定
ファイアウォール モード
ISA 3000はデフォルトではトランスペアレント モードで動作します。ファイアウォール ポリシーについては、このセクションで後述します。
管理ポート
管理ポートにはデフォルトのスタティック IP アドレス、192.168.1.1 が割り当てられています。
DHCP サーバ
管理ポートに接続されている DHCP が有効なクライアントは、ISA 3000から直接、IP アドレスを取得できます。デフォルト設定では、ISA 3000の管理ポートで有効になっている DHCP サーバを指定します。DHCP クライアントにリースできる IP アドレスの範囲は、管理ポートに割り当てられた IP アドレスに重複しない範囲です。この IP アドレスのデフォルトの範囲は 192.168.1.5 から 192.168.1.254 の間で選択されます。
HTTP サーバ
デフォルト設定では、管理ポートでクライアントからISA 3000への Cisco ASDM アクセスを提供します。デフォルト設定は、管理ポートの HTTP サーバを自動的にイネーブルにします。初回の Cisco ASDM アクセスではパスワードが施行されません。
データ ポート
デフォルトではすべてのデータ ポートがブリッジ グループにあります。これにより、どのインターフェイスを介してもトラフィック フローが他のインターフェイスに流れることができます(ブリッジ モード)。ただし、必要に応じてハードウェア バイパス機能を利用するには、トラフィックにギガビット イーサネット 1/1 および 1/2 ペア(または、Copper SKU では、ギガビット イーサネット 1/3 および 1/4 ペア)を使用することが推奨されます。
allowAll アクセス リストを作成し、CLI または ASDM を使用してそれをデータ インターフェイスに適用できます。SourceFire トラフィック用には別のアクセス リスト、sfrAccesList が作成されます。
(注) ISA3000 データポートは、/30 または /31 のマスクを持つことはできません。
ファイアウォール ポリシー
データ ポートはデフォルトで有効になっています。トラフィックは、デフォルトで存在するポリシー マップとクラス マップを使用して、SFR に転送されます。
(注) BVI インターフェイスがデータの転送を有効にするには、適切な IP アドレスが必要です。同じネットワークに明示的に設定された BVI IP アドレスがなければ、トラフィック フローが停止します。
アクセス リストの sfrAccessList のデフォルト設定では、すべてのトラフィックを突き合わせます。たとえば、以下を使用して HTTP トラフィックのみを識別し、SFR に送ることができます。
FirePOWER 検査のトラフィックを識別するクラス マップのデフォルト設定は次のとおりです。
CLI の工場出荷時のデフォルト設定
CLI の一般的な工場出荷時のデフォルト設定は次のとおりです。
(注) ギガビット イーサネット 1/1 ~ 1/4 は、任意のポートから他の任意のポートへのトラフィックが可能なブリッジ グループ 1 にあります。
(注) 192.168.1.1 は、デフォルトの管理 IP アドレスです。これは、単一のデバイス マネージャ、ASDM または CLI で ISA 3000を管理するために使用できるアドレスです
(注) ASA がトランスペアレント モードのときにポート間でデータが流れるためには、BVI インターフェイスに IP アドレスが必要です。
(注) デフォルトでは、copper SKU の両方のペアでハードウェア バイパスがイネーブルになっています。ASA が復旧すると、ハードウェア バイパスはオフになります。
(注) 管理ポートにより、ASDM アクセスを有効にします。
(注) FirePOWER モジュールで障害が発生した場合、「fail-open」モードにより、 ASA でトラフィックの無視および転送が可能になります。コマンド「monitor-only」を実行すると ASA から SFR へのパケットがコピーされ、パッシブ/オフライン インスペクションが行われます。
MIB 情報
ISA 3000は、現在 ASA ソフトウェアでサポートされるすべての MIB をサポートします。
ASA でサポートされる MIB は、SNMP 構成ガイドの URL で確認できます。
http://www.cisco.com/c/en/us/td/docs/security/asa/asa94/configuration/general/asa-general-cli/monitor-snmp.html
そこで、ネットワーク管理 MIB の URL を見つけることができます。
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml
設定のためにデバイスに接続する
Cisco ISA 3000には、初期設定を行うために使用できる 3 つのオプションがあります。
このオプションでは、USB ケーブルを使ってデバイスのミニ USB ポートに PC を接続します。
正しいドライバがインストールされていれば、ターミナル プログラムを起動できます。ルータと通信する適切なドライバがないという警告が PC やラップトップに表示された場合は、ドライバをパソコン メーカーから入手するか、または次の URL を参照してください。 https://www.silabs.com/products/mcu/Pages/USBtoUARTBridgeVCPDrivers.aspx
このオプションでは、DB9 コネクタおよびケーブルに標準の RJ45 を使用して、Cisco ISA 3000の RJ-45 コンソール ポートに PC を接続します。
設定する PC がCisco ISA 3000の管理インターフェイスと同じサブネットワークにある場合は、ASDM を使用してデバイスを設定できます。IP アドレスの範囲は、192.168.1.5 から 192.168.1.254 です。ASDM GUI を起動して、デバイスの設定を開始できます。
配線の手順
手順 1 以下をケーブルで直接、デバイスまたはレイヤ 2 イーサネット スイッチに接続します。
(注) 管理インターフェイスは ASA FirePOWER モジュールだけに属する別のデバイスとして動作するため、内部インターフェイスと管理インターフェイスは同じネットワークで接続できます。
手順 2 ギガビット イーサネット 1/1(外部)インターフェイスを WAN デバイス(たとえばケーブル モデムなど)に接続します。
(注) ケーブル モデムで 192.168.1.0/24 または 192.168.10.0/24 の外部 IP アドレスが指定された場合、別の IP アドレスを使用するように ISA 3000の設定を変更する必要があります。
ISA3000 の電源投入
手順 1 電源プラグの適切な配線手順については、Chapter 3, “DC 電源への接続”の説明を参照してください。
手順 2 電源プラグは DC 電源に配線した後に ISA3000 に接続します。
手順 3 LED のステータスを調べて、デバイスが正常に動作していることを確認します。Chapter 3, “接続の確認”を参照してください。
ASDM の起動
ASDM を実行するための要件については、Cisco.com の『 ASDM release notes 』を参照してください。
ここでは、ASA FirePOWER モジュールを管理するために、ASDM を使用することを前提としています。FireSIGHT システムを使用する場合は、モジュール CLI に接続し、セットアップ スクリプトを実行する必要があります。『 ASA Firepower quick start guide 』を参照してください。
手順 1 ISA 3000に接続されているコンピュータで、Web ブラウザを起動します。
手順 2 [Address] フィールドに https://192.168.1.1/admin という URL を入力します。
手順 3 ブラウザで、信頼できないアプリケーションの実行を許可してよいかどうか、確認を求められます。ブラウザによっては、ユーザは別の方法で応答します。適切な応答については、セキュリティの質問に対するブラウザでの応答を参照してください。
手順 4 [Cisco ASDM]Web ページが表示されます。
(注) 管理コンピュータをワイヤレス クライアントとして ASA に接続した場合は、https://192.168.10.1/admin で ASDM にアクセスできます。
手順 5 使用可能なオプション([InstallASDM Launcher]、[Run ASDM]、[Run Startup Wizard])のいずれかをクリックします。
手順 6 画面の指示に従ってオプションを選択し、ASDM を起動します。[Cisco ASDM-IDM Launcher]が表示されます。
[Install ASDM Launcher]をクリックした場合、場合によっては、「 Install an Identity Certificate for ASDM 」に従って ISA3000 の ID 証明書と ASA FirePOWER モジュールの証明書をそれぞれインストールすることが必要になります。
手順 7 ユーザ名とパスワードのフィールドを空のまま残し、[OK]をクリックします。メイン ASDM ウィンドウが表示されます。
手順 8 インストールする ASA FirePOWER モジュールの IP アドレスを指定するよう求められた場合は、ダイアログボックスをキャンセルします。[Startup Wizard] を使用して、まず、モジュールの IP アドレスを正しい IP アドレスに設定する必要があります。
ASDM は ASA バックプレーンを介して ASA FirePOWER モジュールの IP アドレス設定を変更できます。ただし、モジュールを管理するには、ネットワークを介して管理 1/1 インターフェイス上のモジュール(および新しい IP アドレス)にアクセスする必要があります。推奨される展開ではモジュールの IP アドレスが内部ネットワークに存在するため、このアクセスが可能です。IP アドレスを設定した後に ASDM がネットワーク上のモジュールに到達できない場合は、エラーが表示されます。
手順 9 [Wizards] > [Startup Wizard]を選択します。
手順 10 トラフィック インターフェイス(ギガビット イーサネット1/1 ~ 1/4)に接続するローカル ネットワークと同じサブネットで明示的に設定された IP アドレスをブリッジ グループ管理が持つことを確認してください。
手順 11 必要に応じて追加の ASA 設定を行うか、または、ASA FirePOWER の [Basic Configuration] 画面が表示されるまで、画面を進んでください。
手順 12 [I accept the agreement]をクリックして、[Next] または [Finish] をクリックすると、ウィザードが終了します。
手順 13 ASDM を終了し、再起動します。ホームページに ASA FirePOWER のタブが表示されます。
セキュリティの質問に対するブラウザでの応答
ここでは、ASDM の起動中に上記のステップ 3 のセキュリティの質問に応答する方法を示します。
Internet Explorer[InternetExplorer]
他の ASDM ウィザードおよび詳細設定の実行
ASDM には、セキュリティ ポリシーを設定するためのウィザードが多数含まれています。使用可能なすべてのウィザードを見るには、[Wizards]メニューを参照してください。
ISA 3000の設定を続行するには、『 Navigating the Cisco ASA Series Documentation 』でソフトウェア バージョンに応じたマニュアルを参照してください。
ASA Firepowerモジュールの設定
ASDM を使用して、モジュールのセキュリティ ポリシーを設定し、モジュールにトラフィックを送信します。
(注) 注:別の方法として、FireSIGHT 管理センターを使用してASA Firepower モジュールを管理することもできます。詳細については、『ASA Firepower Module Quick Start Guide』を参照してください。
手順 1 ASDM のASA Firepowerのページを使用して、モジュールのセキュリティ ポリシーを設定します。ポリシーの設定方法について詳しく知るには、任意のページで [Help]をクリックするか、または [Help] > [ASA FirepowerHelp Topics] を選択します。
手順 2 トラフィックをモジュールに送信するには、[Configuration]> [Firewall] > [Service Policy Rules] を選択します。
手順 3 [Add] > [Add Service PolicyRule] を選択します。
手順 4 ポリシーを特定のインターフェイスに適用するか、または全体的に適用するかを選択し、[Next]をクリックします。
手順 5 トラフィックの一致を設定します。たとえば、インバウンドのアクセス ルールを通過したすべてのトラフィックがモジュールへリダイレクトされるように、一致を [Any Traffic]に設定できます。また、ポート、ACL(送信元と宛先の基準)、または既存のトラフィック クラスに基づいて、より厳密な基準を定義することもできます。このポリシーでは、その他のオプションはあまり有用ではありません。トラフィック クラスの定義が完了したら、[Next]をクリックします。
手順 6 [Rule Actions] ページで[ASA Firepower Inspection] タブをクリックします。
手順 7 [Enable ASA Firepower for this traffic flow]チェックボックスをオンにします。
手順 8 [If ASA FirePOWER Card Fails] 領域で、次のいずれかをクリックします。
手順 9 (オプション)トラフィックの読み取り専用のコピーをモジュールに送信する(つまりパッシブ モードにする)には、[Monitor-only]をオンにします。
手順 10 [Finish]、[Apply]の順にクリックします。
手順 11 この手順を繰り返して、追加のトラフィック フローを必要に応じて設定します。
次の作業
ASA Firepowerモジュールと ASA 操作の詳細については、ASA/ASDM のファイアウォール設定ガイドの「ASA Firepower Module」の章、または ASDM のオンライン ヘルプを参照してください。ASA/ASDM のすべてのドキュメントのリンクについては、 Navigating the Cisco ASA Series Documentation を参照してください。
ASA FirePOWER の設定の詳細については、オンライン ヘルプまたは『 ASA Firepower Module User Guide 』または『 FireSIGHT System User Guide 』を参照してください。
フィードバック