- ASDM の概要
- 始める前に
- FWSM で使用するスイッチの設定
- Startup Wizard
- インターフェイスの設定
- グローバル オブジェクトの追加
- セキュリティ コンテキストの設定
- デバイス プロパティの設定
- DHCP サービスと DNS サービスの 設定
- AAA サーバの設定
- Device Access
- フェールオーバー
- ロギングおよび SNMP の設定
- ダイナミック ルーティングおよび スタティック ルーティング の設定
- マルチキャスト ルーティングの設定
- ファイアウォール モードの概要
- アクセス ルールと EtherType ルール の設定
- AAA ルールの設定
- トラフィックのフィルタリング
- サービス ルール
- NAT の設定
- ARP 検査およびブリッジング パラメータの設定
- ネットワーク攻撃の防止
- 証明書
- システム ログ メッセージのモニタリ ング
- フェールオーバーのモニタリング
- インターフェイス
- ルーティングのモニタリング
- プロパティのモニタリング
- 仕様
- 索引
Cisco ASDM ユーザ ガイド 5.2(3)F
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: デバイス プロパティの設定
デバイス プロパティの設定
Device Administration
Device Administration で、FWSM に基本的なパラメータを設定できます。ここでは、次の項目について説明します。
•
「Banner」
• 「Device」
• 「SMTP」
• 「SNMP」
Banner
Banner ペインで、当日のお知らせメッセージ、ログイン、セッション バナーを設定できます。
バナーを作成するには、該当するフィールドにテキストを入力します。テキストに入力したスペースはそのまま表示されます。タブは ASDM インターフェイスで入力します。コマンドラインから入力できません。トークンの $(domain) および $(hostname) は、FWSM のドメイン名およびホスト名に置き換えられます。
$(hostname) および $(domain) トークンを使用すると、特定のコンテキストで指定したホスト名とドメイン名を画面に表示できます。$(system) トークンを使用して、特定のコンテキストのシステム スペースで設定したバナーを画面に表示できます。
バナーが複数行の場合、行ごとに入力したテキストが既存のバナーの最後に追加されます。テキストが空の場合、復帰記号(CR)がバナーに追加されます。RAM やフラッシュ メモリの容量が許す限り、バナーの長さに制限はありません。ASCII 文字のみ使用できます。改行(Enter キー。2 文字に相当)も使用できます。
Telnet または SSH で FWSM にアクセスしたとき、システム メモリが不足してバナー メッセージを表示できなかったり、バナー メッセージを表示するときに TCP 書き込みエラーが発生したりするとセッションは終了します。
バナーを置き換えるには、該当するフィールドの内容を変更して Apply をクリックします。バナーをクリアするには、該当するフィールドの内容をクリアして Apply をクリックします。
システム コンテキストでは ASDM ペインから バナー コマンドを使用できませんが、 Tools > Command Line Interface から設定できます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
CLI Prompt
CLI Prompt ペインでは、CLI プロンプトに表示される情報およびそれらの情報の表示順序を設定できます。
プロンプトに情報を追加する機能によって、モジュールが複数あるときにログインしているモジュールを一目で確認することができます。これは、フェールオーバー中、両方のモジュールに同じホスト名がある場合に重要です。
プロンプトを設定するには、Available Prompts メニューから domain、priority、slot または state を選択するか、または Selected Prompts メニューから context または hostname を選択します。
Selected Prompts はデフォルト設定です。Available Prompts は、Add ボタンまたは Remove ボタンをクリックして追加または削除できるキーワードです。Selected Prompts および Available Prompts は、プロンプトを強調表示して Add ボタンまたは Remove ボタンをクリックすることで入れ替えることができます。
プロンプトを選択したら、Move Up ボタンまたは Move Down ボタンを使用して表示順序を決定します。プロンプトをプレビューするには、CLI Prompt Preview フィールドを確認します。その後、 Apply または Reset をクリックします。
• context (Multiple mode only):現在のコンテキストを表示するプロンプトを設定します。
• domain:ドメインを表示するプロンプトを設定します。
• priority:「failover lan unit」設定を表示するプロンプトを設定します。
• slot:スロットの場所を表示するプロンプトを設定します(該当する場合)。
• state:現在のトラフィックの処理状態を表示するプロンプトを設定します。
• context (Multiple mode only):現在のコンテキストを表示するプロンプトを設定します。
• hostname:ホスト名を表示するプロンプトを設定します。
プロンプトをプレビューするには、CLI Prompt Preview フィールドを確認します。その後、 Apply または Reset をクリックします。
• Apply:ASDM での変更内容を FWSM に送信し、実行中のコンフィギュレーションに適用します。実行中のコンフィギュレーションのコピーをフラッシュ メモリに書き込むには、Save をクリックします。
• Reset:変更内容を破棄し、変更前に表示されていた情報、または Refresh か Apply を最後にクリックしたときに表示されていた情報に戻します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
CPU Threshold
CPU Threshold ペインでは、CPU 使用状況のモニタリングを設定できます。CPU 使用状況のポーリング間隔、および上昇しきい値を示す CPU 使用状況の割合を設定することができます。CPU 使用状況のモニタリングは、CPU Utilization Traps がイネーブルになっている場合にのみイネーブルになります。
• Enable CPU Threshold and interval:CPU しきい値のモニタリングをイネーブルします。
• Monitoring Interval:CPU 使用状況のモニタリング間隔を設定します(60 ~ 3600 秒)。デフォルト値は 1 秒です。
• CPU Utilization Threshold:CPU 使用状況しきい値を設定します(10 ~ 100%)。デフォルト値は 10% です。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Device
Device ペインで、ホスト名とドメイン名を FWSM に設定できます。
ホスト名はコマンドラインのプロンプトに表示されます。このホスト名によって、複数のデバイスとのセッションを確立する場合に、コマンドを入力する場所が常に把握できます。
マルチコンテキスト モードでは、システム実行スペースで設定したホスト名がすべてのコンテキストのコマンドライン プロンプトに表示されます。コンテキストで設定したホスト名を、コマンドラインに表示せず、バナーに表示するオプションもあります。
FWSM は、ドメイン名を未修飾名に拡張子として追加します。たとえば、ドメイン名を
「example.com」に設定し、syslog サーバに未修飾名「jupiter」を指定すると、セキュリティ アプライアンスは、この名前を「jupiter.example.com」に限定します。FWSM は、RSA キーの生成にもドメイン名を使用します。
• FWSM Host Name:ホスト名を設定します。デフォルト ホスト名は FWSM です。
• Domain Name:ドメイン名を設定します。デフォルトのドメイン名は、default.domain.invalid です。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
FTP Mode
FTP Mode ペインで、FTP モードをアクティブまたはパッシブに設定できます。FWSM がイメージ ファイルまたはコンフィギュレーション ファイルを FTP サーバにアップロードしたり、FTP サーバからダウンロードできるようになります。パッシブ FTP クライアントは、コントロール接続とデータ接続を両方とも起動できます。サーバはパッシブ モードでデータ接続の宛先になり、特定の接続の受信時にポート番号に応答します。
• Specify FTP mode as passive:FTP モードをアクティブまたはパッシブに設定します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
ICMP Rules
ICMP Rules ペインで、ICMP ルール テーブルを表示し、FWSM に ICMP でアクセスするすべてのホストまたはネットワークの許可/拒否を指定します。このテーブルでホストまたはネットワークを追加、変更すると、FWSM に送信された ICMP メッセージを許可または禁止できます。
ICMP ルールは、FWSM インターフェイスに ICMP トラフィックが着信した場合の制御方法を表示します。ICMP コントロール リストが設定されていない場合、FWSM は外部インターフェイスも含め、インターフェイスに着信した ICMP トラフィックをすべて許可します。ただし、デフォルトでは、FWSM はブロードキャスト アドレスへの ICMP エコー要求に応答しません。
(注) Security Policy ペインで ICMP トラフィックのアクセス ルールを設定すると、宛先のインターフェイスが保護されていても FWSM を通過ルートにできます。
ICMP の到達不能メッセージ タイプ(type 3)の権限は、常に許可にすることをお勧めします。ICMP の到達不能メッセージを拒否すると、ICMP の Path MTU Discovery 機能がディセーブルになり、IPSec および PPTP トラフィックが停止する場合があります。Path MTU Discovery の詳細については、RFC 1195 および RFC 1435 を参照してください。
ICMP コントロール リストを設定すると、FWSM では最初に一致した条件を ICMP トラフィックに適用し、暗黙的にすべてを拒否します。したがって、最初に一致したエントリが許可の場合は、ICMP パケットはそのまま処理されます。最初に一致したエントリが拒否の場合または一致しなかった場合は、FWSM で ICMP パケットは破棄され、システム ログ メッセージが出力されます。例外は ICMP コントロール リストが設定されていない場合です。その場合、 許可 が設定されているものとして処理されます。
• Interface:ICMP アクセスが許可される FWSM のインターフェイスを一覧表示します。
• Action:指定したネットワークまたはホストの ICMP メッセージの許可/拒否を表示します。
• IP Address:アクセスを許可/拒否するネットワークまたはホストの IP アドレスを一覧表示します。
• Mask:アクセスを許可するネットワークまたはホストに関連付けられたネットワーク マスクを一覧表示します。
• ICMP Type:ルールを適用する ICMP メッセージ タイプを一覧表示します。 表8-1 に示す ICMP タイプがサポートされます。
• Add:Add ICMP Rule ダイアログボックスが表示され、新規の ICMP ルールをテーブルの最後に追加できます。
• Insert Before:ICMP ルールを選択中のルールの前に追加します。
• Insert After:ICMP ルールを選択中のルールの後に追加します。
• Edit:選択したホストまたはネットワークを編集するための Edit ICMP Rule ダイアログボックスを表示します。
• Delete:選択したホストまたはネットワークを削除します。
|
|
|
|---|---|
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit ICMP Rule
Add/Edit ICMP Rule ダイアログボックスで、ICMP ルールの追加または変更ができます。ICMP ルールでは、FWSM への ICMP アクセスが許可/拒否されるホストまたはネットワークのアドレスをすべて指定できます。
• ICMP Type:ルールを適用する ICMP メッセージ タイプを指定します。 表8-2 に示す ICMP タイプがサポートされます。
• Interface:ICMP アクセスが許可される FWSM のインターフェイスを特定します。
• IP Address:アクセスを許可/拒否するネットワークまたはホストの IP アドレスを指定します。
• Any Address:指定したインターフェイスのすべての受信アドレスにアクションを適用します。
• Mask:アクセスを許可するネットワークまたはホストに関連付けられたネットワーク マスクを指定します。
• Action:指定したネットワークまたはホストの ICMP メッセージの許可/拒否を指定します。
–Permit:指定したホストまたはネットワークと、アクセス許可されたインターフェイスの ICMP メッセージを作成します。
–Deny:指定したホストまたはネットワークと、ドロップされたインターフェイスの ICMP メッセージを作成します。
|
|
|
|---|---|
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Password
Password ペインで、ログイン パスワードとイネーブル パスワードを設定できます。
Telnet または SSH セッションを使用して FWSM に接続する場合、またはスイッチから FWSM のセッションに入る場合、ログイン パスワードを使用してユーザ EXEC モードにアクセスできます(Telnet または SSH のアクセスにユーザ認証を設定すると、ユーザは自分のパスワードを使用し、ログイン パスワードを使用しません。 AAA Access ペインを参照してください)。
イネーブル パスワードでログインすると、特権 EXEC モードにアクセスできます。また、このパスワードは、デフォルト ユーザ名で ASDM にアクセスする場合にも使用します。デフォルト ユーザ名は空白になっています。デフォルト ユーザ名は User Accounts ペインに「enable_15」と表示されます(イネーブル アクセスにユーザ認証を設定すると、ユーザは自分のパスワードを使用し、イネーブル パスワードを使用しません。 AAA Access ペインを参照してください。さらに、HTTP/ASDM アクセスにも認証を設定できます)。
• Enable Password:イネーブル パスワードを設定します。デフォルトでは空白になっています。
–Change the privileged mode password:イネーブル パスワードを変更できます。
–Old Password:変更前のパスワードを入力します。
–New Password:変更後のパスワードを入力します。
–Confirm New Password:変更後のパスワードを確認します。
• Telnet Password:ログイン パスワードを設定します。デフォルトでは「cisco」です。この領域は Telnet Password になっていますが、このパスワードで Telnet、SSH およびセッションにアクセスできます。
–Change the password to access the FWSM console:ログイン パスワードを変更できます。
–Old Password:変更前のパスワードを入力します。
–New Password:変更後のパスワードを入力します。
–Confirm New Password:変更後のパスワードを確認します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Secure Copy
Secure Copy ペインで、FWSM のセキュア コピー サーバをイネーブルにできます。SSH を利用する FWSM のアクセスを許可されたクライアントだけが、セキュア コピー接続を確立できます。
セキュア コピー サーバの実装には、次の制限事項があります。
• サーバはセキュア コピー接続の受け入れと終了はできますが、起動はできません。
• サーバは、ディレクトリの指定をサポートしていません。そのため、リモート クライアント アクセスで FWSM の内部ファイル参照はできません。
• SSH バージョン 2 で接続するには、FWSM のライセンスに VPN-3DES-AES 機能が必要です。
• Enable Secure Copy Server:FWSM のセキュア コピー サーバをイネーブルにします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
SMTP
SMTP ペインで、発生した重要イベントを電子メールで通知する SMTP クライアントをイネーブル/ディセーブルにできます。ここで追加できるのは SMTP サーバの IP アドレスで、オプションとしてバックアップ サーバの IP アドレスも設定できます。ASDM は IP アドレスが有効かどうかをチェックしません。アドレスを正確に入力してください。
警告を受信する電子メール アドレスは、 Configuration > Properties > Logging > Email Setup で設定します。
• Remote SMTP Server:プライマリ SMTP サーバとセカンダリ SMTP サーバを設定できます。
• Primary Server IP Address:SMTP サーバの IP アドレスを入力します。
• Secondary Server IP Address (Optional):セカンダリ SMTP サーバの IP アドレスをオプションで入力します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
SNMP
SNMP ペインで、SNMP 管理ステーションを監視するように FWSM を設定できます。
ネットワーク管理ステーションを PC またはワークステーションで実行し、スイッチ、ルータ、FWSM など、さまざまなタイプのデバイスのステータスとヘルスを監視する標準的な方法を SNMP で定義できます。
• Management station:PC またはワークステーションで実行されるネットワーク管理ステーションです。SNMP プロトコルを使用して、管理対象デバイスの標準データベースを管理します。ハードウェアの障害など注意が必要なイベントのメッセージも受信できます。
• Agent:SNMP コンテキストでは、管理ステーションがクライアント、FWSM で動作する SNMP エージェントがサーバになります。
• OID:SNMP 規格では、システム オブジェクト ID(OID)を設定して、管理ステーションが SNMP エージェントがあるネットワーク デバイスを一意に識別したり、ユーザに分かるように監視情報の発生元を表示したりします。
• MIB:エージェントは Management Information Databases(MIB;管理情報データベース)と呼ばれる標準データ構造を保持します。これが管理ステーションに蓄積されます。MIB は、パケット、接続、エラー カウンタ、バッファの使用状況、フェールオーバー ステータスなどの情報を収集します。MIB は製品ごとに定義され、通常のネットワーク デバイスで使用される一般的なプロトコルとハードウェア規格も MIB に定義されています。SNMP 管理ステーションから MIB を参照したり、特定のフィールドだけを要求したりできます。一部のアプリケーションでは、管理目的で MIB データを変更する場合があります。
• Trap:エージェントはアラーム条件も監視します。リンク アップ、リンク ダウン、syslog イベントなどトラップに定義したアラーム条件が発生すると、エージェントは指定された管理ステーションにただちに通知します。この通知は SNMP トラップとも呼ばれます。
シスコの MIB ファイルおよび OID については、
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml を参照してください。OID は、次の URL からダウンロードすることもできます。 ftp://ftp.cisco.com/pub/mibs/oid/oid.tar.gz。
FWSM は、次の SNMP MIB をサポートしています。
(注) FWSM は、Cisco syslog MIB のブラウジングはサポートしません。
• MIB-II の System グループと Interface グループをブラウジングできます。MIB のブラウジングはトラップの送信とは違います。ブラウジングとは、管理ステーションから MIB ツリーの snmpget や snmpwalk を実行し、値を決定することです。
• Cisco MIB および Cisco Memory Pool MIB を使用できます。
• FWSM は、次の Cisco MIB をサポートしていません。
• cfwSecurityNotification NOTIFICATION-TYPE
• cfwContentInspectNotification NOTIFICATION-TYPE
• cfwConnNotification NOTIFICATION-TYPE
• cfwAccessNotification NOTIFICATION-TYPE
• cfwAuthNotification NOTIFICATION-TYPE
• cfwGenericNotification NOTIFICATION-TYPE
FWSM は、SNMP を利用する CPU 使用状況のモニタリングをサポートしています。FWSM の CPU 使用状況を監視する際、HP OpenView などの SNMP 管理ソフトウェアを利用すると、ネットワーク管理者は容量プランを作成できます。
この機能は、Cisco Process MIB(CISCO-PROCESS-MIB.my)の cpmCPUTotalTable のサポート機能によって組み込まれています。MIB には他に 2 つのテーブル(cpmProcessTable、cpmProcessExtTable)がありますが、今回のリリースではサポートされていません。
cpmCPUTotalTable の各行には、CPU のインデックスと次のオブジェクトが含まれます。
(注) 現在の FWSM ハードウェア プラットフォームは単一 CPU だけサポートしているため、FWSM が返す cpmCPUTotalTable は 1 行だけで、インデックスは常に 1 になります。
直前の 3 要素の値は、show cpu usage コマンドの出力値と同じです。
次の新しい MIB オブジェクトが cpmCPUTotalTable にありますが、FWSM ではサポートされていません。
• Community string (default):パスワードを入力します。SNMP 管理ステーションは FWSM に要求を送信するとき、このパスワードを使用します。SNMP のコミュニティ ストリングは、SNMP 管理ステーションと管理対象ネットワーク ノード間で共有される秘密情報です。FWSM はパスワードを参照して、受信する SNMP 要求が有効かどうかを決定します。パスワードは、大文字と小文字が区別される最大 32 文字の値です。スペースは使用できません。デフォルトは「public」です。SNMPv2c では、管理ステーションごとに別のコミュニティ ストリングを設定できます。コミュニティ ストリングがどの管理ステーションにも設定されていない場合、ここで設定した値がデフォルトとして使用されます。
• Contact:FWSM システム管理者の名前を入力します。テキストは最大 127 文字で、大文字と小文字を区別します。スペースは使用できますが、連続するスペースは 1 桁のスペースに縮められます。
• Security Appliance Location:FWSM の場所を指定します。テキストは最大 127 文字で、大文字と小文字を区別します。スペースは使用できますが、連続するスペースは 1 桁のスペースに縮められます。
• Listening Port:SNMP トラフィックが送信されるポートを指定します。デフォルトは 161 です。
• Configure Traps:イベントを設定すると、SNMP トラップを利用して通知できます。
–Interface:SNMP 管理ステーションが存在する FWSM のインターフェイス名を表示します。
–IP Address:SNMP 管理ステーションの IP アドレスを表示します。FWSM はこのアドレスを使ってトラップ イベントを送信したり、要求またはポーリングを受信したりします。
–Community string:管理ステーションでコミュニティ ストリングを指定しない場合、Community String (default) フィールドの設定値が使用されます。
–SNMP Version:管理ステーションに設定されている SNMP のバージョンを表示します。
–Poll/Trap:この管理ステーションの通信方式を表示します。ポーリングのみ、トラップのみ、ポーリングとトラップがあります。ポーリングとは、一定間隔で繰り返し送信される管理ステーションの要求を FWSM が待つことをいいます。トラップを設定すると、発生した syslog イベントが送信されます。
–UDP Port:SNMP ホストの UDP ポートです。デフォルト ポートは 162 です。
• Add:Add SNMP Host Access Entry が開き、次のフィールドを設定できます。
• Interface Name:管理ステーションが存在するインターフェイスを選択します。
• IP Address:管理ステーションの IP アドレスを指定します。
• Server Poll/Trap Specification: Poll または Trap を選択します。両方を選択することもできます。
• UDP Port:SNMP ホストの UDP ポートです。このフィールドを指定すると、SNMP ホストのデフォルト UDP ポート番号 162 が上書きされます。
• Edit:Edit SNMP Host Access Entry ダイアログボックスが開き、追加の場合と同じフィールドが表示されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit SNMP Host Access Entry
SNMP 管理ステーションを追加するには、次の手順を実行します。
1. Add をクリックし、SNMP Host Access Entry ダイアログボックスを開きます。
2. Interface Name から SNMP 管理ステーションが存在するインターフェイスを選択します。
3. 管理ステーションの IP アドレスを IP Address に入力します。
4. SNMP ホストの UDP ポートを入力します。デフォルトは 162 です。
5. SNMP ホストの Community String パスワードを入力します。管理ステーションでコミュニティ ストリングを指定しない場合、SNMP Configuration ペインの Community String (default) フィールドに設定した値が使用されます。
6. Poll または Trap をクリックして選択します。両方を選択することもできます。
• Cancel :変更内容を破棄して、前のペインに戻ります。
SNMP 管理ステーションを編集するには、次の手順を実行します。
1. SNMP ペインで SNMP 管理ステーション テーブルのリスト項目を選択します。
2. Edit をクリックし、Edit SNMP Host Access Entry を開きます。
3. Interface Name から SNMP 管理ステーションが存在するインターフェイスを選択します。
4. 管理ステーションの IP アドレスを IP Address に入力します。
5. SNMP ホストの Community String パスワードを入力します。管理ステーションでコミュニティ ストリングを指定しない場合、SNMP Configuration ペインの Community String (default) フィールドに設定した値が使用されます。
6. SNMP ホストの UDP ポートを入力します。デフォルトは 162 です。
7. Poll または Trap をクリックして選択します。両方を選択することもできます。
• Cancel :変更内容を破棄して、前のペインに戻ります。
テーブルから SNMP 管理ステーションを削除するには、次の手順を実行します。
1. SNMP ペインで SNMP 管理ステーション テーブルの項目を選択します。
• Interface name:SNMP ホストが存在するインターフェイスを選択します。
• IP Address:SNMP ホストの IP アドレスを入力します。
• UDP Port:SNMP アップデートの送信先にする UDP ポートを入力します。デフォルトは 162 です。
• Community String:SNMP サーバのコミュニティ ストリングを入力します。
• SNMP Version:SNMP のバージョンを選択します。
• Server Port/Trap Specification
• Poll:ポーリング情報を送信します。ポーリングとは、一定間隔で繰り返し送信される管理ステーションの要求を FWSM が待つことをいいます。
• Trap:トラップ情報を送信します。トラップを設定すると、発生した syslog イベントが送信されます。
• Cancel:変更内容を破棄して、前のペインに戻ります。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
SNMP Trap Configuration
トラップはブラウジングと異なり、特に要求しなくても、リンク アップ、リンク ダウン、syslog イベントなど特定のイベントが発生すると、管理対象デバイスから管理ステーションに「コメント」が送信されます。
FWSM の SNMP オブジェクト ID(OID)が、FWSM から送信される SNMP イベントに表示されます。FWSM のシステム OID は、SNMP のイベント トラップと SNMP の mib-2.system.sysObjectID に表示されます。
FWSM で実行される SNMP サービスには、2 つの異なる機能があります。
• 管理ステーション(または SNMP クライアント)が送信した SNMP 要求に応答を返します。
• 管理ステーション、またはFWSM の通知を受信するように登録されたその他のデバイスに、トラップ(イベント通知)を送信します。
SNMP Trap Configuration を開くと、次のフィールドが表示されます。
• Standard SNMP Traps:送信する標準トラップを選択します。
–Authentication:認証の標準トラップをイネーブルにします。
–Cold Start:コールド スタートの標準トラップをイネーブルにします。
–Link Up:リンク アップの標準トラップをイネーブルにします。
–Link Down:リンク ダウンの標準トラップをイネーブルにします。
–FRU Insert:現場交換可能ユニット(FRU)が挿入された場合のトラップ通知をイネーブルにします。
–FRU Remove:現場交換可能ユニット(FRU)が取り外された場合のトラップ通知をイネーブルにします。
–Configuration Change:ハードウェア変更が行われた場合のトラップ通知をイネーブルにします。
–Alarm Asserted:Entity MIB からアラーム アサート通知を受信した場合のトラップ通知をイネーブルにします。シングルコンテキスト モードまたはマルチコンテキスト モードの管理コンテキストでのみ使用できます。
–Alarm Clear:Entity MIB からアラーム クリア通知を受信した場合のトラップ通知をイネーブルにします。シングルコンテキスト モードまたはマルチコンテキスト モードの管理コンテキストでのみ使用できます。
–Redundancy Switchover:フェールオーバーの状態の変更に対するトラップ通知をイネーブルにします。
• IPSec Traps:IPSec トラップをイネーブルにします。
–Start:IPSec が開始した場合のトラップをイネーブルにします。
–Stop:IPSec が停止した場合のトラップをイネーブルにします。
• Remote Access Traps:リモート アクセス トラップをイネーブルにします。
–Session threshold exceeded:リモート アクセスを開こうとしたセッション数が、設定されているセッション数のしきい値を超過した場合のトラップをイネーブルにします。
• Resource Traps:リソース制限トラップをイネーブルにします。
–Resource Limit Reached:任意のリソースがリソース マネージャの制限に達した場合のトラップ通知をイネーブルにします。シングルコンテキスト モードまたはマルチコンテキスト モードの管理コンテキストでのみ使用できます。
–Rate Limit Reached:レート制限されたリソースが制限に達した場合のトラップ通知をイネーブルにします。シングルコンテキスト モードまたはマルチコンテキスト モードの管理コンテキストでのみ使用できます。
• NAT Traps:NAT 関連のトラップをイネーブルにします。
–Packet discarded:使用可能なアドレス変換スロットがないためにパケットが破棄された場合のトラップ通知をイネーブルにします。
• CPU Utilization Traps:CPU しきい値のトラップをイネーブルにします。
–CPU rising threshold reached:CPU 使用状況が上昇しきい値制限に達した場合のトラップ通知をイネーブルにします。
• CPU Utilization and Monitoring Interval:CPU 使用状況のモニタリングを設定します。
–Configure threshold and interval:CPU 使用状況のモニタリングの間隔と上昇しきい値を設定します。
–CPU Utilization threshold:CPU 上昇しきい値を示す CPU 使用状況の割合を入力します。10 ~ 100 の範囲の値を指定できます。
–Monitoring interval:FWSM が CPU 使用状況のモニタリング間隔を秒単位で入力します。60 ~ 3600 の範囲の値を指定できます。
• Syslog:syslog トラップをイネーブルにします。
–Enable Syslog traps:SNMP 管理ステーションへの syslog メッセージの送信をイネーブルにします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
TFTP Server
TFTP Server ペインで FWSM を設定すると、TFTP を利用してファイル サーバにコンフィギュレーションを保存できます。
(注) このペインでは、サーバにファイルを書き込みません。このペインで FWSM を TFTP サーバで使用できるように設定してから、File > Save Running Configuration to TFTP Server をクリックします。
TFTP は RFC783 および RFC1350 Rev. 2 で規定されているシンプルなクライアント/サーバ ファイル転送プロトコルです。このパネルで FWSM を TFTP クライアント に設定すると、実行コンフィギュレーションのコピーを TFTP サーバ に転送できます。転送するには、 File > Save Running Configuration to TFTP Server をクリックするか Tools > Command Line Interface をクリックします。この方法でコンフィギュレーション ファイルをバックアップし、複数の FWSM にプロパゲートできます。
configure net コマンドで TFTP サーバの IP アドレスを指定し、 tftp-server コマンドでサーバのインターフェイスとパス/ファイル名を指定すると、そこに実行コンフィギュレーション ファイルが書き込まれます。この情報を実行コンフィギュレーションに設定すれば、ASDM で File > Save Running Configuration をクリックするだけで、 write net コマンドで TFTP サーバにファイル転送できます。
FWSM でサポートされる TFTP サーバは 1 つだけです。TFTP サーバのフル パスを Configuration > Properties > Device Administration > TFTP Server で指定します。ここで設定すると、CLI の configure net および write net コマンドにコロン(:)で IP アドレスを指定できます。ただし、FWSM と TFTP サーバの通信に必要な、中間デバイスの認証またはコンフィギュレーションは、この機能とは別に実行されます。
show tftp-server コマンドで、現在のコンフィギュレーションに含まれている tftp-server コマンド文を一覧表示できます。 no tftp server コマンドで、サーバへのアクセスをディセーブルにします。
• Enable:クリックして選択すると、コンフィギュレーションに含まれる TFTP サーバの設定がイネーブルになります。
• Interface Name:FWSM のインターフェイス名を選択します。このインターフェイスで TFTP サーバの設定を使用します。
• IP Address:TFTP サーバの IP アドレスを入力します。
• Path:TFTP サーバのパスを入力します。先頭にスラッシュ(/)を付け、最後にファイル名を指定します。ここに実行コンフィギュレーションが書き込まれます。
TFTP サーバのパスの例: /tftpboot/ FWSM /config3
TFTP の詳細については、使用するソフトウェア バージョンの FWSM の技術マニュアルを参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
User Accounts
User Accounts ペインで、ローカル ユーザ データベースを管理できます。ローカル ユーザ データベースは、次の機能で使用されます。
デフォルトでは、空白のユーザ名とイネーブル パスワードを指定して ASDM にログインできます(「 Password 」を参照)。ただし、(空白ユーザ名を使用しないで)ログイン画面でユーザ名とパスワードを入力すると、ASDM はローカル データベースをチェックして照合します。
(注) ローカル データベースを参照する HTTP 認証を設定できますが(「Authentication」を参照)、この機能はデフォルトで常にイネーブルです。RADIUS または TACACS+ サーバを認証に使用する場合は、HTTP 認証だけを設定します。
• Telnet および SSH 認証(「 Authentication 」を参照)。
システム コンフィギュレーションでユーザ アカウントを設定することはできません。ただし、管理コンテキストで Telnet の認証をイネーブルにすると、システムの Telnet 認証もイネーブルになります。セッション/Telnet をスイッチから FWSM に変更する場合は、管理コンテキストのユーザ アカウントを使用します。
• enable コマンド認証(「 Authentication 」を参照)。
CLI アクセスのみの設定です。ASDM ログインには影響しません。
• コマンド認可(「 Authorization 」を参照)。
ローカル データベースを使用するコマンド認可をイネーブルにすると、セキュリティ アプライアンスはユーザ特権レベルを参照して、どのコマンドが使用できるか確認します。コマンド認可がディセーブルの場合、通常特権レベルは参照されません。デフォルトでは、コマンドの特権レベルは 0 または 15 のどちらかになっています。ASDM にはイネーブルにできる特権レベルがあらかじめ定義されています。指定できるレベルは、15(管理)、5(読み取り専用)、3(監視専用)の 3 種類です。あらかじめ定義されたレベルを使用するには、3 種類の特権レベルのいずれかにユーザを設定します。
(注) CLI へのアクセス権を取得できるユーザを特権 EXEC モードに入れないようにするには、そのユーザをローカル データベースに追加する際にコマンド認可をイネーブルにする必要があります。コマンド認可を行わないと、ユーザは、特権レベルが 2 以上(2 がデフォルト)の場合、CLI で自分のパスワードを使用して特権モード(およびすべてのコマンド)にアクセスできます。あるいは、コンソール アクセスに RADIUS または TACACS+ 認証を使用して、ユーザが login コマンドを使用できないようにすることも、すべてのローカル ユーザをレベル 1 に設定して、システム イネーブル パスワードを使用して特権モードにアクセスできるユーザを制御することもできます。
ネットワーク アクセス認可には、ローカル データベースは使用できません。
( Password でなく)このペインでイネーブル パスワードを設定するには、ユーザ名 enable_15 のパスワードを変更します。ユーザ名 enable_15 は常時このペインに表示されます。これがデフォルトのユーザ名です。
CLI で他のイネーブル レベル パスワードを設定すると( enable password 10 など)、そのユーザ名は enable_10 のようになります。
• User Name カラム:ここに示すパラメータを適用するユーザ名を指定します。
• Privilege (Level) カラム:ユーザに設定する特権レベルを指定します。特権レベルは、ローカル コマンド認可で使用されます。詳細については、「 Authorization 」を参照してください。
• Add ボタン:Add User Account ダイアログボックスを表示します。
• Edit ボタン:Edit User Account ダイアログボックスを表示します。
• Delete ボタン:選択した行をテーブルから削除します。確認されず、やり直しもできません。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit User Account > Identity タブ
このタブで指定したパラメータでユーザ アカウントを識別し、追加または変更ができます。変更は、OK をクリックすると User Accounts テーブルにただちに表示されます。
• Password:ユーザの一意のパスワードを指定します。パスワードは 4 文字以上にする必要があります。また、最大 32 文字です。パスワードは、大文字と小文字を区別します。フィールドには、アスタリスクだけが表示されます。
(注) セキュリティ保護のため、パスワードは 8 文字以上にすることをお勧めします。
• Confirm Password:ユーザ パスワードを再入力して確認するように求めます。フィールドには、アスタリスクだけが表示されます。
• Privilege Level リスト:ローカル コマンド認可でユーザに適用する特権レベルを選択します。0(最低)~ 15(最高)の範囲の値を指定します。詳細については、「 Authorization 」を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Auto Update
Auto Update ペインで FWSM の管理リモート サーバを設定すると、リモート サーバで Auto Update 仕様をサポートできます。Auto Update を利用すると、FWSM にコンフィギュレーションの変更を適用したり、離れた場所からソフトウェア アップデートを取得したりできます。
Auto Update は、FWSM の管理者が直面するさまざまな課題を解決できる便利な機能です。
• ダイナミック アドレッシングおよび NAT に関する問題点を解決します。
• 基本アクションのコンフィギュレーション変更を確実に反映します。
• オープン インターフェイスで、きわめて高い開発自由度があります。
• サービス プロバイダー環境のセキュリティ ソリューションに容易に対応できます。
• 高い信頼性と豊富なセキュリティ管理機能を、さまざまな製品により幅広くサポートします。
Auto Update 仕様は、中央から、リモート管理アプリケーションにより FWSM のコンフィギュレーションやソフトウェア イメージをダウンロードしたり、基本的な監視機能を実行したりする場合に必要なインフラストラクチャです。
Auto Update 仕様に従うことで、Auto Update サーバは FWSM にコンフィギュレーション情報をプッシュしたり、要求を送信して情報を取得したりできます。また、FWSM から Auto Update サーバへ定期的にポーリングさせ、最新のコンフィギュレーション情報を送ることもできます。また、Auto Update サーバはいつでも FWSM にコマンドを送信し、ただちにポーリング要求を送信させることもできます。Auto Update サーバと FWSM の通信では、通信パスとローカル CLI コンフィギュレーションをすべての FWSM に設定する必要があります。
FWSM の Auto Update 機能は、Cisco Secure Policy Manager などの製品と併用できますが、サードパーティ製品で FWSM を管理することもできます。
• FWSM のコンフィギュレーションが Auto Update サーバで更新されても、ASDM には通知されません。 Refresh または File > Refresh ASDM with the Running Configuration on the Device をクリックして、最新のコンフィギュレーションを取得する必要があります。また、ASDM でコンフィギュレーションに加えた変更は失われます。
• Auto Update サーバとの通信プロトコルとして HTTPS を選択すると、FWSM は SSL を使用します。その場合、FWSM に DES または 3DES のライセンスが必要です。
Auto Update ペインには、次のフィールドが表示されます。
• Enable Auto Update:FWSM を Auto Update サーバから設定できるようにします。
HTTP(S) server:Auto Update サーバの場所を設定できます。
• Verify Certificate:Auto Update サーバが返した証明書を、認証局(CA)のルート証明書と照合するように確認します。その場合、Auto Update サーバと FWSM は、同じ CA を使用する必要があります。
• Protocol:Auto Update サーバが FWSM との通信に使用するプロトコルを選択します。選択肢は http と https です。
• Server:Auto Update サーバの名前または IP アドレス。FWSM がホスト名を解決できる場合にのみ名前を指定します。
• User Name (Optional):Auto Update サーバのアクセス時に必要なユーザ名を入力します。
• Port:Auto Update サーバで接続するポートを指定します。HTTP のデフォルトは TCP ポート 80、HTTPS のデフォルトは TCP ポート 443 です。
• Path:Auto Update サーバのパスを入力します。
• Password:Auto Update サーバのユーザ パスワードを入力します。
• Confirm Password:Auto Update サーバのユーザ パスワードを再入力します。
Timeout:FWSM が Auto Update サーバのタイムアウトを待つ時間を設定できます。
• Enable Timeout Period:FWSM は、Auto Update サーバから応答を受信しなかった場合、タイムアウトします。
• Timeout Period (Minutes):Auto Update サーバから応答がなかった場合の FWSM のタイムアウト時間(分単位)を指定します。
Polling Parameters:FWSM から Auto Update サーバの情報をポーリングする頻度を設定できます。
• Polling Period (minutes):FWSM から Auto Update サーバに新しい情報をポーリングするときの待ち時間(分単位)。
• Retry Period (minutes):サーバのポーリングに失敗した場合、FWSM から Auto Update サーバに新しい情報をポーリングするまでの待ち時間(分単位)。
• Retry Count:FWSM から Auto Update サーバに新しい情報をポーリングするときの再試行回数。
• Advanced:Advanced Auto Update Properties を表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Advanced Autoupdate Properties
• Use Device ID:デバイス ID による認証をイネーブルにします。デバイス ID により、FWSM が Auto Update サーバで一意に識別できます。
• Device ID:使用するデバイス ID のタイプを入力します。
–IP Address on:選択したインターフェイスの IP アドレス。FWSM を Auto Update サーバが一意に識別する場合に使用します。
–MAC Address on:選択したインターフェイスの MAC アドレス。FWSM を Auto Update サーバが一意に識別する場合に使用します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フィードバック