Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.2(2)

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャと共に使用して、高度な TCP 接続設定を設定します。トラフィックのクラスを class-map コマンドを使用して定義し、TCP 検査を tcp-map コマンドを使用してカスタマイズします。その新しい TCP マップを policy-map コマンドを使用して適用します。TCP 検査を service-policy コマンドを使用して有効にします。

tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。次のコマンドを tcp マップ コンフィギュレーション モードで使用できます。

例

次の例では、localmap という名前の TCP マップの使用を指定するための tcp-map コマンドの使用方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャと共に使用します。トラフィックのクラスを class-map コマンドを使用して定義し、TCP 検査を tcp-map コマンドを使用してカスタマイズします。その新しい TCP マップを policy-map コマンドを使用して適用します。TCP 検査を service-policy コマンドを使用して有効にします。

tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。tcp マップ コンフィギュレーション モードで tcp-options コマンドを使用して、selective-acknowledgement オプション、window-scale オプション、および timestamp TCP オプションを消去します。また、明確に定義されていないオプションを持つパケットも消去またはドロップできます。

例

次の例では、TCP オプションが 6 ～ 7 および 9 ～ 255 の範囲にあるすべてのパケットをドロップする方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトでは、Telnet セッションのアイドル状態が 5 分間続くと、セキュリティ アプライアンスによって停止されます。

 

コマンド履歴

 

使用上のガイドライン

telnet コマンドでは、Telnet でセキュリティ アプライアンス コンソールにアクセスできるホストを指定できます。セキュリティ アプライアンスへの Telnet 接続は、すべてのインターフェイスでイネーブルにできます。ただし、セキュリティ アプライアンスでは、外部インターフェイスへの Telnet トラフィックがすべて、必ず IPSec で保護されます。外部インターフェイスへの Telnet セッションをイネーブルにするには、まず外部インターフェイス上で、IPSec がセキュリティ アプライアンスの生成する IP トラフィックを含むように設定した後、外部インターフェイスで Telnet をイネーブルにします。

no telnet コマンドを使用すると、それまでに設定した IP アドレスから Telnet アクセスが削除されます。telnet timeout コマンドを使用すると、コンソールの Telnet セッションの最大アイドル時間を設定して、その時間が経過すると、セキュリティ アプライアンスがログオフするようにできます。no telnet コマンドは、telnet timeout コマンドと共に使用できません。

IP アドレスを入力した場合、ネットマスクも入力する必要があります。デフォルトのネットマスクはありません。内部ネットワークのサブネットワーク マスクを使用しないでください。netmask は、IP アドレスのビット マスクだけです。アクセスを IP アドレス 1 つに制限するには、255.255.255.255 のように各オクテットに 255 を使用します。

IPSec が動作中の場合に、アンセキュアなインターフェイス名（通常、外部インターフェイス）を指定できます。telnet コマンドでインターフェイス名を指定するには、少なくとも、crypto map コマンドを設定する必要があります。

passwd コマンドを使用して、コンソールへの Telnet アクセスで使用するパスワードを設定します。デフォルトは cisco です。who コマンドを使用して、現在セキュリティ アプライアンス コンソールにアクセスしている IP アドレスを表示します。kill コマンドを使用して、アクティブな Telnet コンソール セッションを終了します。

aaa コマンドを console キーワードと共に使用する場合は、Telnet コンソール アクセスを認証サーバで認証する必要があります。

（注） aaa コマンドを設定して、セキュリティ アプライアンス Telnet コンソール アクセスに認証を要求した場合に、コンソール ログイン要求がタイムアウトしたときは、セキュリティ アプライアンス ユーザ名と enable password コマンドで設定したパスワードを入力して、シリアル コンソールからセキュリティ アプライアンスにアクセスできます。

例

次の例では、ホスト 192.168.1.3 および 192.168.1.4 が Telnet を通してセキュリティ アプライアンス コンソールへのアクセス許可を得る方法を示します。さらに、192.168.2.0 ネットワーク上のすべてのホストがアクセスを許可されます。

次の例では、セッションの最大アイドル継続時間を変更する方法を示します。

次の例では、Telnet コンソール ログイン セッションを示します（パスワードは入力時には表示されません）。

no telnet コマンドを使用して個々のエントリを削除することも、すべての telnet コマンド文を clear configure telnet コマンドで削除することもできます。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

システム ログ メッセージは、デフォルトではディセーブルになっています。

 

コマンド履歴

例

次の例では、ロギングをイネーブルにしてから、現在のセッションだけでロギングをディセーブルにする方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトは 24 行です。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、現在の Telnet セッションに対してだけ pager line 設定を変更します。新しいデフォルトの pager 設定をコンフィギュレーションに保存するには、 pager コマンドを使用します。

管理コンテキストに Telnet 接続する場合、ある特定のコンテキスト内の pager コマンドに異なる設定があっても、他のコンテキストに移ったときには、pager line 設定はユーザのセッションに従います。現在の pager 設定を変更するには、新しい設定で terminal pager コマンドを入力するか、 pager コマンドを現在のコンテキストで入力します。 pager コマンドは、コンテキスト コンフィギュレーションに新しい pager 設定を保存する以外に、新しい設定を現在の Telnet セッションに適用します。

例

次の例では、表示される行数を 20 に変更します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの表示幅は 80 カラムです。

 

コマンド履歴

例

次の例では、端末の表示幅を 100 カラムにする方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

test aaa-server コマンドを使用して、セキュリティ アプライアンスが特定の AAA サーバでユーザを認証または認可できるかどうかを確認します。このコマンドを使用すると、実際のサプリカントでテストする必要がないため、セキュリティ アプライアンス上のコンフィギュレーションの確認が簡略化されます。また、認証および認可の失敗が、AAA サーバ パラメータの設定の誤り、AAA サーバへの接続の問題、またはセキュリティ アプライアンスでのその他のコンフィギュレーション エラーに起因するものかどうかを識別できます。

このコマンドを入力すると、 host および password キーワードと引数のペアを省略できます。セキュリティ アプライアンスは、これらの値を入力するようにプロンプトを表示します。認証テストを実行している場合、 password キーワードと引数のペアを省略して、セキュリティ アプライアンスがプロンプトを表示しているときにパスワードを入力できます。

例

次の例では、ホスト 192.168.3.4 の srvgrp1 という名前の RADIUS AAA サーバに対して、タイムアウト 9 秒、リトライ間隔 7 秒、認証ポート 1650 を設定します。AAA サーバ パラメータの設定に続く test aaa-server コマンドは、認証テストがサーバに到達できずに失敗したことを示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

test regex コマンドは、正規表現が一致すべきものと一致するかどうかをテストします。

入力したテキストと正規表現が一致すると、次のメッセージが表示されます。

一致しない場合は、次のメッセージが表示されます。

例

次の例は、入力したテキストと正規表現が一致するかどうかをテストします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの値や動作はありません。

 

コマンド履歴

 

使用上のガイドライン

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを 1 度入力すると、再入力しなくてもさまざまなサーバで各種のセキュアなサービスにアクセスできます。 test sso-server コマンドは、SSO サーバが認識されるかどうか、および認証要求に応答するかどうかをテストします。

server-name 引数により指定された SSO サーバが検出されない場合は、次のエラーが表示されます。

ERROR: sso-server server-name does not exist

SSO サーバが検出されても user-name 引数によって指定されたユーザが検出されない場合、認証は拒否されます。

例

特権 EXEC モードで入力された次の例では、my-sso-server という名前の SSO サーバが Anyuser というユーザ名を使用して正常にテストされています。

次の例は同じサーバのテストを示していますが、Anyuser というユーザ名は認識されず、認証は失敗しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

タイトルバーのテキストのデフォルト色は白です。

 

コマンド履歴

例

次の例では、タイトルバーのテキストの色を黒に設定する方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

tftp-server コマンドを使用すると、 configure net コマンドと write net コマンドの入力が容易になります。 configure net コマンドや write net コマンドを入力するときに、 tftp-server コマンドで指定した TFTP サーバを継承するか、独自の値を指定できます。また、 tftp-server コマンドのパスをそのまま継承したり、 tftp-server コマンド値の末尾にパスとファイル名を追加したり、 tftp-server コマンド値を上書きすることもできます。

セキュリティ アプライアンスがサポートする tftp-server コマンドは 1 つだけです。

例

次の例では、TFTP サーバを指定し、コンフィギュレーションを /temp/config/test_config ディレクトリから読み取る方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトのしきい値は 5000 ミリ秒です。

 

コマンド履歴

 

使用上のガイドライン

しきい値は、しきい値超過イベントを示すためだけに使われます。このイベントは、到達可能性には影響しませんが、 timeout コマンドの設定が正しいかどうかを調べるために使用できます。

例

次の例では、ID が 123 の SLA オペレーションを設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。SLA オペレーションの頻度を 10 秒、しきい値を 2,500 ミリ秒、タイムアウト値を 4,000 ミリ秒に設定しています。

 

関連コマンド

 

シンタックスの説明

absolute	（オプション）タイムアウトになった場合は、無条件に再認証を求めます。
conn	（オプション）接続が終了するまでのアイドル時間を指定します。最短時間は 5 分です。
hh : mm : ss	タイムアウト時間を指定します。
h225 hh : mm : ss	（オプション）H.225 シグナリング接続が終了するまでのアイドル時間を指定します。
h323	（オプション）H.245（TCP）および H.323（UDP）メディア接続が終了するまでのアイドル時間を指定します。デフォルトは 5 分です。 （注） H.245 および H.323 メディア接続の両方に同じ接続フラグが設定されるため、H.245（TCP）接続は H.323（RTP および RTCP）メディア接続とアイドル タイムアウトを共有します。
half-closed	（オプション）TCP ハーフクローズ接続が解放されるまでのアイドル時間を指定します。
icmp	（オプション）ICMP のアイドル時間を指定します。
inactivity	（オプション）無活動タイムアウトになった場合は、再認証を求めます。
mgcp hh:mm:ss	（オプション）MGCP メディア接続が削除されるまでのアイドル時間を指定します。
mgcp-pat hh:mm:ss	（オプション）MGCP PAT 変換が削除されるまでの絶対間隔を設定します。
rpc	（オプション）RPC スロットが解放されるまでのアイドル時間を指定します。最短時間は 1 分です。
sip	（オプション）SIP タイマーを修正します。
sip-disconnect	（オプション）メディアが削除され、メディア xlate が終了するまでのアイドル時間を設定します。範囲は 1 ～ 10 分です。デフォルトは 2 分です。
sip-invite	（オプション）暫定応答のピンホールおよびメディア xlate が終了するまでのアイドル時間を設定します。範囲は 1 ～ 30 分です。デフォルトは 3 分です。
sip_media	（オプション）SIP メディア タイマーを修正します。メディア タイマーは、UDP 非アクティビティ タイムアウトの代わりに、SIP UDP メディア パケットを扱う SIP RTP/RTCP で使用されます。
sunrpc	（オプション）SUNRPC スロットが終了するまでアイドル時間を指定します。
uauth	（オプション）認証および認可キャッシュがタイムアウトするまでの継続時間を設定します。ユーザは次回の接続時に再認証を必要とします。
udp	（オプション）UDP スロットが解放されるまでのアイドル時間を指定します。最短時間は 1 分です。
xlate	（オプション）変換スロットが解放されるまでのアイドル時間を指定します。最短時間は 1 分です。

 

デフォルト

デフォルトは次のとおりです。

• conn hh : mm : ss は、1 時間（ 01:00:00 ）です。

• h225 hh : mm : ss は、1 時間（ 01:00:00 ）です。

• h323 hh : mm : ss は、5 分（ 00:05:00 ）です。

• half-closed hh : mm : ss は、10 分（ 00:10:00 ）です。

• icmp hh:mm:ss は、2 分（ 00:00:0 2 ）です。

• mgcp hh:mm:ss は、5 分（ 00:05:00 ）です。

• mgcp-pat hh:mm:ss は、5 分（ 00:05:00 ）です。

• rpc hh : mm : ss は、10 分（ 00:10:00 ）です。

• sip hh:mm: は、30 分（ 00:30:00 ）です。

• sip-disconnect hh:mm:ss は、2 分（ 00:02:00 ）です。

• sip-invite hh:mm:ss は、3 分（ 00:03:00 ）です。

• sip_media hh:mm:ss は、2 分（ 00:02:00 ）です。

• sunrpc hh:mm:ss は、10 分（ 00:10:00 ）です。

• uauth hh:mm:ss は、5 分（ 00:5:00 absolute ）です。

• udp hh : mm : ss は、2 分（ 00:02:00 ）です。

• xlate hh : mm : ss は、3 時間（ 03:00:00 ）です。

 

コマンド履歴

 

使用上のガイドライン

timeout コマンドは、接続、変換 UDP、および RPC の各スロットに許容されるアイドル時間を設定します。指定されたアイドル時間内に、そのスロットが使用されていなければ、リソースがフリー プールに戻されます。TCP 接続スロットは、通常の接続終了シーケンスの約 60 秒後に解放されます。

（注） 接続に受動 FTP を使用している場合、または Web 認証に virtual コマンドを使用している場合は、timeout uauth 0:0:0 コマンドは使用しないでください。

timeout コマンドの後ろにキーワードと値を複数入力できます。

接続タイマーは、変換タイマーに優先します。つまり、変換タイマーは、すべての接続がタイムアウトした後に初めて動作します。

conn hh : mm : ss を設定する場合、 0:0:0 を使用すると、接続がタイムアウトしません。

half-closed hh : mm : ss を設定する場合、0:0:0 を使用すると、ハーフクローズ接続がタイムアウトしません。

h255 hh : mm : ss を設定する場合、 h225 00:00:00 を使用すると、H.225 シグナリング接続が絶対に終了しません。タイムアウト値を h225 00:00:01 に設定すると、タイマーがディセーブルになり、すべてのコールが消去された後、TCP 接続がすぐに終了します。

uauth hh : mm : ss 時間は、 xlate キーワードより短く設定する必要があります。キャッシュをディセーブルにするには、0 に設定します。接続上で受動 FTP が使用されている場合は、0 には設定しないでください。

absolute キーワードをディセーブルにするには、uauth タイマーに 0（ゼロ）を設定します。

例

次の例では、アイドル状態の最大継続時間を設定する方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトのタイムアウト値は 10 秒です。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、すべての AAA サーバ プロトコル タイプに有効です。

timeout コマンドを使用して、セキュリティ アプライアンスが AAA サーバへの接続を試みる時間の長さを指定します。 retry-interval コマンドを使用して、セキュリティ アプライアンスが接続を試行する間隔を指定します。

タイムアウトは、セキュリティ アプライアンスがサーバとのトランザクションの完了に必要となる合計所要時間です。リトライ間隔は、タイムアウト期間中に通信が再試行される頻度を決定します。したがって、リトライ間隔がタイムアウト値以上の場合、再試行されません。再試行する場合は、リトライ間隔をタイムアウト値よりも小さくする必要があります。

例

次の例では、ホスト 1.2.3.4 上の「svrgrp1」という名前の RADIUS AAA サーバに、タイムアウト値 30 秒、リトライ間隔 10 秒を設定します。したがって、セキュリティ アプライアンスは、30 秒後に中止するまで通信を 3 度試行します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトのタイムアウトは 2 秒です。

 

コマンド履歴

例

次の例では、DNS サーバ グループの「dnsgroup1」に対してタイムアウトを 1 秒に設定しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトは、 gsn 、 pdp-context 、および signaling に対して 30 分です。

request のデフォルトは 1 分です。

tunnel のデフォルトは 1 時間です（Delete PDP Context Request を受信していない場合）。

 

コマンド履歴

 

使用上のガイドライン

パケット データ プロトコル（PDP）コンテキストは、IMSI と NSAPI の組み合せであるトンネル識別子（TID）によって識別されます。各 MS は最大 15 の NSAPI を持つことができ、様々な QoS レベルのアプリケーション要件に基づいて、それぞれが異なる NSAPI を持つ複数の PDP コンテキストを作成できます。

GTP トンネルは、それぞれ別個の GSN ノードにある、2 つの関連する PDP コンテキストによって定義され、トンネル ID によって識別されます。GTP トンネルは、パケットを外部パケット データ ネットワークとモバイル ステーション ユーザの間で転送するために必要なものです。

例

次の例では、要求キューに対して 2 分のタイムアウト値を設定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

ユーザのデフォルトのタイムアウト値は 1 時間です。

 

コマンド履歴

例

次の例では、ユーザのタイムアウト値を 10 分に設定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトのタイムアウト値は 5000 ミリ秒です。

 

コマンド履歴

 

使用上のガイドライン

SLA オペレーションで要求パケットを送信する頻度を設定するには frequency コマンドを使用し、要求への応答を受信するために待機時間を設定するには timeout コマンドを使用します。 timeout コマンドで指定する値は、 frequency コマンドで指定する値より大きくすることはできません。

例

次の例では、ID が 123 の SLA オペレーションを設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。SLA オペレーションの頻度を 10 秒、しきい値を 2,500 ミリ秒、タイムアウト値を 4,000 ミリ秒に設定しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

このコマンドは、デフォルトではディセーブルになっています。

 

コマンド履歴

例

次の例では、DCERPC 検査ポリシー マップのピンホール接続のタイムアウト値を設定する方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

時間範囲を作成しても、デバイスへのアクセスは制限されません。 time-range コマンドは、時間範囲だけを定義します。時間範囲を定義したら、トラフィックの規則かアクションに関連付けます。

時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。次に、 access-list extended time-range コマンドと共に使用して、時間範囲を ACL にバインドします。

時間範囲は、セキュリティ アプライアンスのシステム クロックによって決まりますが、NTP で同期を取れます。

例

次の例では、New_York_Minute という時間範囲を作成し、時間範囲コンフィギュレーション モードに入ります。

時間範囲を作成し、時間範囲コンフィギュレーション モードに入ったら、 absolute キーワードと periodic キーワードを使用して時間範囲のパラメータを定義できます。 time-range コマンドの absolute キーワードおよび periodic キーワードの設定をデフォルトに戻すには、時間範囲コンフィギュレーション モードで default コマンドを使用します。

時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。次に、 access-list extended コマンドを使用して、時間範囲を ACL にバインドします。次の例では、Sales という ACL を New_York_Minute という時間範囲にバインドします。

ACL の詳細については、 access-list extended コマンドを参照してください。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトは次のとおりです。

• delay は 5 秒です。

• holdtime は 10 秒です。

 

コマンド履歴

 

使用上のガイドライン

OSPF プロトコルによるトポロジ変更受信と計算開始との間の遅延時間、および 2 つの連続した SPF 計算での待機時間を設定するには、 timers spf コマンドを使用します。デフォルトのタイマー値に戻すには、 no timers spf コマンドを使用します。

例

次の例では、SPF 計算の遅延時間に 10 秒、SPF 計算の待機時間に 20 秒を設定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトのタイトルのテキストは「WebVPN Service」です。

デフォルトのタイトルのスタイルは次のとおりです。

background-color:white;color:maroon;border-bottom:5px groove #669999;font-size:larger;
vertical-align:middle;text-align:left;font-weight:bold

 

コマンド履歴

 

使用上のガイドライン

タイトルを入れない場合は、 value の引数なしで title text コマンドを使用します。

style オプションは、有効な Cascading Style Sheet（CSS）パラメータとして表現されます。このパラメータの説明は、このマニュアルでは取り扱いません。CSS パラメータの詳細については、
World Wide Web Consortium（W3C）の Web サイト www.w3.org の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手可能です。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

• カンマ区切りの RGB 値、HTML の色値、または色の名前（HTML で認識される場合）を使用できます。

• RGB 形式は 0,0,0 で、各色（赤、緑、青）について 0 ～ 255 の範囲で 10 進値を入力します。このカンマ区切りのエントリは、他の 2 色と混合する各色の輝度のレベルを示しています。

• HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番目は赤を、3 番目と 4 番目は緑を、5 番目と 6 番目は青を表しています。

（注） WebVPN ページを簡単にカスタマイズするには、ASDM を使用することをお勧めします。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するのに便利な機能があります。

例

次の例では、タイトルを「Cisco WebVPN Service」というテキストでカスタマイズします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトは 0 です。

 

コマンド履歴

 

使用上のガイドライン

このフィールドには、遅延、優先度、信頼性などの情報が入っています。ネットワークにある他のルータのポリシー ルーティングや、専用アクセス レートなどの機能で使用されます。

例

次の例では、ICMP エコー要求/応答時間プローブ オペレーションを使用する、ID が 123 の SLA オペレーションを設定しています。また、エコー要求パケットのペイロード サイズを 48 バイト、SLA オペレーション中に送信するエコー要求の数を 5、タイプ オブ サービス バイトを 80 に設定しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

このコマンドにデフォルト設定はありません。

 

コマンド履歴

 

使用上のガイドライン

traceroute コマンドは、送信された各プローブの結果を出力します。出力の各行が 1 つの TTL 値に対応します（昇順）。次の表に、このコマンドの出力で使われる記号を示します。

例

次の例では、traceroute コマンドで宛先 IP アドレスを指定した場合の出力を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

SLA のトラッキングはディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

track rtr コマンドで、トラッキング エントリのオブジェクト ID を作成し、そのエントリで使用する SLA を指定します。

SLA オペレーションごとに、オペレーション戻りコード値が保持されます。この値は、トラッキング プロセスで解釈されます。OK、Over Threshold、および他のいくつかの戻りコードがあります。 表32-1 に、戻りコードが意味するオブジェクトの到達可能性の状態を示します。

例

次の例では、ID が 123 の SLA オペレーションを設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

このコマンドは、デフォルトではディセーブルになっています。

 

コマンド履歴

例

次の例では、SIP 検査ポリシー マップで、既知の SIP シグナリング ポートを使用した SIP 以外のトラフィックを許可する方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

このコマンドは、デフォルトではディセーブルになっています。コマンドがイネーブルで、サポートされる転送符号化タイプが指定されていない場合、デフォルトのアクションは接続をロギングなしで許可します。デフォルト アクションを変更するには、 default キーワードを使用して別のデフォルト アクションを指定します。

 

コマンド履歴

 

使用上のガイドライン

transfer-encoding コマンドをイネーブルにする場合、セキュリティ アプライアンスは、サポートおよび設定された各転送符号化タイプの HTTP 接続に、指定したアクションを適用します。

セキュリティ アプライアンスは、設定したリストの転送符号化タイプに一致 しない すべてのトラフィックに、 default アクションを適用します。事前設定済みの default アクションでは、接続をロギングなしで allow します。

たとえば、事前設定済みのデフォルトのアクションが与えられ、 drop および log のアクションを伴う符号化タイプを 1 つ以上指定する場合、セキュリティ アプライアンスは設定済みの符号化タイプを含む接続をドロップして、各接続のログを記録し、サポートされるその他の符号化タイプに対してすべての接続を許可します。

より厳しいポリシーを設定する場合は、デフォルト アクションを drop （または reset ）および log に変更します（イベントをログに記録する場合）。次に、 allow アクションを使用して、許容される符号化タイプをそれぞれ設定します。

適用する各設定に対して、 transfer-encoding コマンドを 1 度入力します。 transfer-encoding コマンドの 1 つのインスタンスはデフォルト アクションの変更に使用し、もう 1 つのインスタンスは設定済みの転送符号化タイプのリストに各符号化タイプを追加するために使用します。

このコマンドの no 形式を使用して、設定済みのアプリケーション タイプのリストからアプリケーション カテゴリを削除する場合は、アプリケーション カテゴリのキーワードの後ろに入力した文字がすべて無視されます。

例

次の例では、事前設定済みのデフォルトを使用して、緩やかなポリシーを指定しています。サポートされているすべてのアプリケーション タイプを、個別に拒否されていない限り許可します。

この場合、GNU zip を使用した接続だけがドロップされ、イベントのログが記録されます。

次の例では、特に許可されていない任意の符号化タイプに対し、接続をリセットしてイベントをログに記録するようにデフォルト アクションを変更した厳しいポリシーを指定します。

この場合、転送符号化を使用していない接続だけが許可されます。サポートされるその他の符号化タイプの HTTP トラフィックを受信した場合、セキュリティ アプライアンスは接続をリセットして、syslog エントリを作成します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このアトリビュートは、すべての IPSec トンネル グループ タイプに適用できます。

例

次の例は config-ipsec コンフィギュレーション モードで入力され、209.165.200.225 という名前の IPSec LAN-to-LAN トンネル グループの IKE ペアに送られる証明書を識別するためのトラストポイントを設定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

このコマンドは、デフォルトではディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、DNS トランザクションにおいて、TSIG の監視をイネーブルにし、TSIG が必ず存在することを要求します。

例

次の例では、DNS 検査ポリシー マップで TSIG 強制をイネーブルにする方法を示します。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

セキュリティ アプライアンスが提供する TTL 回避保護は、デフォルトでイネーブルです。

 

コマンド履歴

 

使用上のガイドライン

tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャと共に使用します。トラフィックのクラスを class-map コマンドを使用して定義し、TCP 検査を tcp-map コマンドを使用してカスタマイズします。その新しい TCP マップを policy-map コマンドを使用して適用します。TCP 検査を service-policy コマンドを使用して有効にします。

tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。tcp マップ コンフィギュレーション モードで ttl-evasion-protection コマンドを使用して、セキュリティ ポリシーを回避しようとした攻撃を防止します。

たとえば、攻撃者は非常に短い TTL を持つポリシーを通過するパケットを送信できます。TTL が 0 になると、セキュリティ アプライアンスとエンドポイントの間のルータはパケットをドロップします。攻撃者は、この時点で長い TTL を持つ悪意のあるパケットを送信できます。セキュリティ アプライアンスはこのパケットを再送と見なし、通過させます。ただし、エンドポイントのホストでは、このパケットが攻撃者より受信した最初のパケットとなります。このような場合、攻撃者は攻撃を防ぐセキュリティがなくても成功します。この機能をイネーブルにすると、このような攻撃を防ぐことができます。

例

次の例では、ネットワーク 10.0.0.0 から 20.0.0.0 へのフローで TTL 回避保護をディセーブルにする方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

セキュリティ アプライアンスには、次のデフォルト トンネル グループがあります。

• DefaultRAGroup：デフォルトの IPSec リモート アクセス トンネル グループ

• DefaultL2LGroup：デフォルトの IPSec LAN-to-LAN トンネル グループ

• DefaultWEBVPNGroup：デフォルトの WebVPN トンネル グループ

これらのグループの変更はできますが、削除はできません。セキュリティ アプライアンスは、トンネル ネゴシエーション中に特定のトンネル グループが識別されない場合、これらのグループを使用して、リモートアクセスおよび LAN-to-LAN トンネル グループに対してデフォルトのトンネル パラメータを設定します。

tunnel-group コマンドを入力した後、特定のトンネル グループに特定のアトリビュートを設定するには、次のコマンドから適切なものを入力します。それぞれのコマンドは、トンネル グループ アトリビュートを設定するためのコンフィギュレーション モードに入ります。

• tunnel-group general-attributes

• tunnel-group ipsec-attributes

• tunnel-group webvpn-attributes

• tunnel-group ppp-attributes

例

次の例は、グローバル コンフィギュレーション モードで入力されています。最初のコマンドは、IPSec リモート アクセス トンネル グループを設定します。グループ名は「group1」です。

次の例では、IPSec LAN-to-LAN トンネル グループを設定します。名前は、LAN-to-LAN ピアの IP アドレスです。

次の例では、「group1」という名前の webvpn トンネル グループを設定する tunnel-group コマンドを示します。このコマンドはグローバル コンフィギュレーション モードで入力します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

次の表は、このグループに属しているコマンドと、コマンドを設定できるトンネル グループのタイプを示しています。