Cisco ASA 5505 クイック スタート ガイド Version 7.2
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月31日
章のタイトル: シナリオ:DMZ 設定
シナリオ:DMZ 設定
(注) Cisco ASA 5505 の DMZ 設定は、Security Plus ライセンスの場合にだけ可能です。
•
「次の作業」
DMZ ネットワーク トポロジの例
図6-1のネットワーク トポロジの例は、適応型セキュリティ アプライアンスの DMZ 実装で多く利用されているものです。
• Web サーバが適応型セキュリティ アプライアンスの DMZ インターフェイス上に存在します。
• プライベート ネットワーク上の HTTP クライアントは、DMZ 内の Web サーバにアクセスでき、インターネット上のデバイスとも通信できます。
• インターネット上のクライアントは、DMZ Web サーバへの HTTP アクセスが許可され、その他のトラフィックはすべて拒否されます。
• ネットワークには、だれでも使用できるルーティング可能な IP アドレスが 1 つあります。この IP アドレスは適応型セキュリティ アプライアンスの外部インターフェイスです(209.165.200.225)。
図6-2 に、プライベート ネットワークから、DMZ Web サーバとインターネットへの HTTP 要求の発信トラフィックの流れを示しています。
図6-2 プライベート ネットワークからの発信 HTTP トラフィックの流れ
図6-2 では、適応型セキュリティ アプライアンスは内部クライアントから DMZ Web サーバ宛の HTTP トラフィックを許可します。内部ネットワークには DNS サーバがないので、DMZ Web サーバへの内部クライアントの要求は、次のように処理されます。
1. ルックアップ要求が ISP の DNS サーバに送信されます。DMZ Web サーバのパブリック IP アドレスがクライアントに返されます。
2. 内部クライアントは HTTP 要求を適応型セキュリティ アプライアンスに送信します。
3. 適応型セキュリティ アプライアンスは DMZ Web サーバのパブリック IP アドレスを実際のアドレスに変換し、その要求を Web サーバに転送します。
4. DMZ Web サーバは、内部クライアントの実際の IP アドレスの宛先アドレスとともに HTTP コンテンツを適応型セキュリティ アプライアンスに返します。
5. 適応型セキュリティ アプライアンスは HTTP コンテンツを内部クライアントに転送します。
内部クライアントが DMZ Web サーバから HTTP コンテンツを要求することを許可するには、適応型セキュリティ アプライアンスの設定に次のルールを含める必要があります。
• DMZ Web サーバの実際の IP アドレスを DMZ Web サーバのパブリック IP アドレスに変換する(10.30.30.30 から 209.165.200.225 へ)、DMZ インターフェイスと内部インターフェイス間の NAT ルール。
• 内部クライアント ネットワークの実際のアドレスを変換する、内部インターフェイスと DMZ インターフェイス間の NAT ルール。このシナリオでは、内部クライアントが DMZ Web サーバと通信するとき、内部ネットワークの実際の IP アドレスは同じものに変換されます(10.30.30.30 から 10.30.30.30 へ)。
インターネットから DMZ Web サーバにアクセスするトラフィックを許可するには、適応型セキュリティ アプライアンスの設定に次のものを含めます。
• DMZ Web サーバのパブリック IP アドレスを DMZ Web サーバのプライベート IP アドレスに変換するアドレス変換ルール。
• DMZ Web サーバ宛の着信 HTTP トラフィックを許可するアクセス コントロール ルール。
図6-3 に、インターネットから発信され、DMZ Web サーバのパブリック IP アドレスを宛先とする HTTP 要求を示します。
図6-3 インターネットからの着信 HTTP トラフィックの流れ
DMZ 構成用のセキュリティ アプライアンスの設定
この項では、ASDM を使用して、図6-1 に示されている設定シナリオ用に適応型セキュリティ アプライアンスを設定する方法について説明します。手順では、シナリオに基づいたサンプル パラメータを使用します。
この設定手順では、適応型セキュリティ アプライアンスにはすでに内部インターフェイス、外部インターフェイス、および DMZ インターフェイスとして設定されているインターフェイスがあることを前提とします。ASDM で Startup Wizard を使用して、適応型セキュリティ アプライアンスのインターフェイスを設定します。DMZ インターフェイスのセキュリティ レベルを 0 ~ 100 の間に設定していることを確認します(通常は 50)。
Startup Wizard の使用方法の詳細については、「適応型セキュリティ アプライアンスの設定」を参照してください。
• 「設定要件」
• 「内部クライアントとインターネット上のデバイスとの通信を可能にする」
• 「内部クライアントと DMZ Web サーバとの通信を可能にする」
• 「DMZ Web サーバへのパブリック HTTP アクセスの提供」
設定要件
この DMZ 構成で適応型セキュリティ アプライアンスを設定するには、次の条件が満たされている必要があります。
• 内部クライアントはインターネット上のデバイスと通信ができる必要があります。
• 内部クライアントは DMZ Web サーバと通信できる必要があります。
ASDM の起動
Web ブラウザで ASDM を実行するには、アドレス フィールドに次の工場出荷時のデフォルト IP アドレス https://192.168.1.1/admin/ を入力します。
(注) 「https」の「s」を付け忘れると、接続は失敗します。HTTP over SSL(HTTPS)を使用すると、ブラウザと適応型セキュリティ アプライアンスとの間の安全な接続が可能になります。
内部クライアントとインターネット上のデバイスとの通信を可能にする
内部クライアントによるインターネット上のデバイスからのコンテンツの要求を許可するには、適応型セキュリティ アプライアンスが内部クライアントの実際の IP アドレスを外部インターフェイスの外部アドレス(つまり適応型セキュリティ アプライアンスのパブリック IP アドレス)に変換します。発信トラフィックは、このアドレスから発信されたように表示されます。
ASA 5505 のデフォルト設定には、必要なアドレス変換ルールが含まれています。内部インターフェイスの IP アドレスを変更しない限り、内部クライアントによるインターネット アクセスを許可するために何らかの設定を行う必要はありません。
内部クライアントと DMZ Web サーバとの通信を可能にする
この手順では、内部クライアントが DMZ 内の Web サーバと安全に通信できるように、適応型セキュリティ アプライアンスを設定します。この手順を実行するには、次の 2 つの変換ルールを設定する必要があります。
• DMZ Web サーバの実際の IP アドレスをパブリック IP アドレスに変換する(10.30.30.30 から 209.165.200.225 へ)、DMZ インターフェイスと内部インターフェイス間の NAT ルール。
• DMZ Web サーバのパブリック IP アドレスを実際の IP アドレスに変換する(209.165.200.225 から 10.30.30.30 へ)、内部インターフェイスと DMZ インターフェイス間の NAT ルール。
このルールが必要なのは、内部クライアントが DNS ルックアップ要求を送信したときに、DNS サーバが DMZ Web サーバのパブリック IP アドレスを返すためです。
(注) 内部ネットワーク上には DNS サーバがないため、DNS 要求は適応型セキュリティ アプライアンスから出て、インターネット上の DNS サーバによって解決されなければなりません。
内部インターフェイスと DMZ インターフェイス間の内部クライアント IP アドレスの変換
内部インターフェイスと DMZ インターフェイス間で内部クライアント IP アドレスを変換するように NAT を設定するには、次の手順に従います。
ステップ 1 ASDM メイン ウィンドウで、 Configuration ツールをクリックします。
ステップ 2 Features ペインで、 NAT をクリックします。
ステップ 3 Add ドロップダウン リストから、Add Static NAT Rule を選択します。
Add Static NAT Rule ダイアログボックスが表示されます。
ステップ 4 Real Address 領域で、変換する IP アドレスを指定します。このシナリオでは、内部クライアント用のアドレス変換は、10.10.10.0 サブネット全体に対して実行されます。
a. Interface ドロップダウン リストから、Inside インターフェイスを選択します。
b. クライアントまたはネットワークの IP アドレスを入力します。このシナリオでは、ネットワークの IP アドレスは 10.10.10.0 です。
c. Netmask ドロップダウン リストから、このシナリオ用の 255.255.255.0 を選択します。
ステップ 5 Static Translation 領域で、次の内容を実行します。
a. Interface ドロップダウン リストから、DMZ インターフェイスを選択します。
b. IP Address フィールドに、内部クライアント サブネットの IP アドレスを入力します。このシナリオでは、IP アドレスは 10.10.10.0 です。
c. OK をクリックして Static NAT Rule を追加し、Configuration > NAT ペインに戻ります。
ステップ 6 変換ルールが意図したとおりに表示されていることを設定ペインで確認します。ルールは次のように表示されます。
ステップ 7 Apply をクリックして、適応型セキュリティ アプライアンスの設定変更を終了します。
Web サーバのパブリック アドレスから実際のアドレスへの変換
Web サーバのパブリック IP アドレスを実際のアドレスに変換する NAT ルールを設定するには、次の手順に従います。
ステップ 1 ASDM メイン ウィンドウで、 Configuration > NAT を選択します。
ステップ 2 Add ドロップダウン リストから、Add Static NAT Rule を選択します。
Add Static NAT Rule ダイアログボックスが表示されます。
ステップ 3 Real Address 領域で、次の内容を実行します。
a. Interfaces ドロップダウン リストから、DMZ を選択します。
b. IP Address ドロップダウン リストから、DMZ Web サーバのパブリック アドレスを選択するか、入力します。このシナリオでは、IP アドレスは 209.165.200.225 です。
ステップ 4 Static Translation 領域で、次の内容を実行します。
a. Interface ドロップダウン リストから、Inside を選択します。
b. IP Address ドロップダウン リストから、DMZ Web サーバの実際の IP アドレスを選択するか、入力します。このシナリオでは、IP アドレスは 10.30.30.30 です。
ステップ 5 OK をクリックして、Configuration > NAT ペインに戻ります。設定は次のように表示されます。
DMZ Web サーバの外部 ID 設定
DMZ Web サーバは、インターネット上のすべてのホストからアクセスできる必要があります。この設定では、DMZ Web サーバのプライベート IP アドレスをパブリック IP アドレスに変換し、外部 HTTP クライアントが適応型セキュリティ アプライアンスを認識せずに Web サーバにアクセスできるようにする必要があります。実際の Web サーバの IP アドレス(10.30.30.30)をパブリック IP アドレス(209.165.200.225)にスタティックにマッピングするには、次の手順に従います。
ステップ 1 ASDM メイン ウィンドウで、 Configuration > NAT を選択します。
ステップ 2 Add ドロップダウン リストから、Add Static NAT Rule を選択します。
Add Static NAT Rule ダイアログボックスが表示されます。
ステップ 3 Real Address 領域で、次の内容を指定します。
a. Interface ドロップダウン リストから、DMZ インターフェイスを選択します。
b. DMZ Web サーバの実際の IP アドレスを入力します。このシナリオでは、IP アドレスは 10.30.30.30 です。
c. Netmask ドロップダウン リストから、255.255.255.255 を選択します。
ステップ 4 Static Translation 領域で、Web サーバで使用されるパブリック IP アドレスを指定します。
a. Interface ドロップダウン リストから、Outside を選択します。
b. IP Address ドロップダウン リストから、Interface IP キーワード(この場合は、指定した外部インターフェイスの IP アドレス)を選択します。
ステップ 5 Port Address Translation を設定します。
パブリック IP アドレスは 1 つだけなので、Port Address Translation を使用して、DMZ Web サーバの IP アドレスを適応型セキュリティ アプライアンスのパブリック外部 IP アドレスに変換する必要があります。Port Address Translation を設定するには、次の手順に従います。
a. Enable Port Address Translation (PAT) チェックボックスをオンにします。
b. Protocol ドロップダウン リストから、tcp を選択します。
c. Original Port フィールドに 80 と入力します。
d. Translated Port フィールドに 80 と入力します。
e. OK をクリックしてルールを追加し、Address Translation Rules のリストに戻ります。
このルールは、実際の Web サーバの IP アドレス(10.30.30.30)を Web サーバのパブリック IP アドレス(209.165.200.225)にスタティックにマッピングします。
ステップ 6 ルールが、意図したとおりに作成されたことを確認します。表示される設定は次のようになります。
ステップ 7 Apply をクリックして、適応型セキュリティ アプライアンスの設定変更を終了します。
DMZ Web サーバへのパブリック HTTP アクセスの提供
デフォルトでは、適応型セキュリティ アプライアンスは、パブリック ネットワークから着信するトラフィックをすべて拒否します。インターネットから DMZ Web サーバにアクセスするトラフィックを許可するには、DMZ Web サーバ宛の着信 HTTP トラフィックを許可するアクセス コントロール ルールを設定する必要があります。
このアクセス コントロール ルールは、トラフィックを処理する適応型セキュリティ アプライアンスのインターフェイスに対して、トラフィックが着信されるかどうか、トラフィックの発信元および宛先、および許可するトラフィック プロトコルとサービスのタイプを指定します。
この項では、トラフィックの宛先が DMZ ネットワークの Web サーバである場合に、インターネット上のホストまたはネットワークから発信される着信 HTTP トラフィックを許可するアクセス ルールを作成します。パブリック ネットワークから着信する他のすべてのトラフィックは拒否されます。
アクセス コントロール ルールを設定するには、次の手順に従います。
ステップ 1 ASDM メイン ウィンドウで、次の内容を実行します。
a. Configuration > Security Policy を選択します。
b. Access Rules タブをクリックして、Add プルダウン リストから Add Access Rule を選択します。
Add Access Rule ダイアログボックスが表示されます。
ステップ 2 Interface 領域および Action 領域で、次の内容を実行します。
a. Interface ドロップダウン リストから、Outside を選択します。
b. Direction ドロップダウン リストから、Incoming を選択します。
c. Action ドロップダウン リストから、Permit を選択します。
ステップ 3 Source 領域で、Type ドロップダウン リストから Any キーワードを選択して、あらゆるホストまたはネットワークから発信されるトラフィックを許可します。
ステップ 4 Destination 領域で、次の内容を実行します。
a. Type ドロップダウン リストから、Interface IP キーワードを選択します。
b. Interface ドロップダウン リストから、Outside を選択します。
ステップ 5 Protocol 領域および Service 領域で、適応型セキュリティ アプライアンス経由で許可するトラフィックのタイプを指定します。
a. Protocol ドロップダウン リストから、tcp を選択します。
b. Source Port 領域で、Service オプション ボタンが「=」(次と等しい)に設定されていることを確認し、次のドロップダウン リストから Any を選択します。
c. Destination Port 領域で、Service オプション ボタンが「=」(次と等しい)に設定されていることを確認し、次のドロップダウン リストから HTTP/WWW を選択します。
この時点で、Add Access Rule ダイアログボックスのエントリは次のようになります。
d. OK をクリックして、Security Policy > Access Rules ペインに戻ります。
ステップ 6 表示される設定は次のようになります。入力した情報が正しいことを確認します。
ステップ 7 Apply をクリックし、適応型セキュリティ アプライアンスを現在実行している設定に変更を保存します。
この設定により、プライベート ネットワークに存在するクライアントは、DMZ Web サーバからのコンテンツに対する HTTP 要求を解決できるだけでなく、プライベート ネットワークの安全性を保持できます。
ステップ 8 次にデバイスを起動するときに適用されるように、設定変更をスタートアップ コンフィギュレーションに保存する場合は、File メニューから Save を選択します。
または、ASDM を終了するときに設定変更を半永久的に保存するように求められます。
設定変更を保存しない場合は、次にデバイスを起動するときに変更前の設定がそのまま適用されます。
次の作業
DMZ 内の Web サーバを保護するためだけに適応型セキュリティ アプライアンスを配置する場合は、これで初期設定が完了しました。次の追加の手順を実行することもできます。
|
|
|
|---|---|
『 Cisco Security Appliance Command Line Configuration Guide 』 |
|
『 Cisco Security Appliance Command Reference 』 『 Cisco Security Appliance Logging Configuration and System Log Messages 』 |
複数のアプリケーションに適応型セキュリティ アプライアンスを設定できます。次の項では、適応型セキュリティ アプライアンスの他の一般的なアプリケーションの設定手順について説明します。
|
|
|
|---|---|
フィードバック