- 始める前に
- ASA 5550 のスループットの最大化
- ASA 5550 の取り付け
- ASA 5500、ASA 5510、ASA 5520、および ASA 5540 の取り付け
- オプションの SSM の取り付け
- ASA 5500、ASA 5510、ASA 5520、および ASA 5540 プラット フォームにおけるインターフェイス ケーブルの接続
- 適応型セキュリティ アプライアンス の設定
- シナリオ:DMZ 設定
- シナリオ:IPsec リモートアクセス VPN 設定
- シナリオ:Cisco AnyConnect VPN クライアント用接続の設定
- シナリオ:SSL VPN クライアント レス接続
- シナリオ:サイトツーサイト VPN 設定
- AIP SSM の設定
- CSC SSM の設定
- ファイバ向け 4GE SSM の設定
- 3DES/AES ライセンスの取得
Cisco ASA 5500 シリーズ スタートアップ ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年7月27日
章のタイトル: シナリオ:DMZ 設定
シナリオ:DMZ 設定
非武装地帯(DMZ)は、プライベート(内部)ネットワークとパブリック(外部)ネットワークとの間の中立帯に位置する単独のネットワークです。
•
「DMZ 構成用の適応型セキュリティ アプライアンスの設定」
• 「次の作業」
DMZ ネットワーク トポロジの例
この章では、図 8-1 に示すように適応型セキュリティ アプライアンスの DMZ 構成の設定方法について説明します。
この例では、Web サーバは DMZ インターフェイス上にあり、内部ネットワークおよび外部ネットワークの両方の HTTP クライアントが Web サーバにアクセスできます。
• Web サーバは、適応型セキュリティ アプライアンスの DMZ インターフェイス上に存在します。
• 内部ネットワーク上のクライアントは、DMZ 内の Web サーバにアクセスでき、インターネット上のデバイスとも通信できます。
• インターネット上のクライアントは、DMZ Web サーバへの HTTP アクセスが許可され、インターネットからのその他のトラフィックはすべて拒否されます。
• ネットワークには、だれでも使用できる IP アドレスが 1 つあります。これは、適応型セキュリティ アプライアンスの外部インターフェイスです(209.165.200.225)。このパブリック アドレスは適応型セキュリティ アプライアンスと DMZ Web サーバで共有されます。
• 「インターネットで Web サーバにアクセスする内部ユーザ」
• 「DMZ Web サーバにアクセスするインターネット ユーザ」
インターネットで Web サーバにアクセスする内部ユーザ
図 8-2 に、内部ユーザがインターネットの Web サーバから HTTP ページを要求している場合の、適応型セキュリティ アプライアンスを経由したトラフィック フローを示します。
図 8-2 インターネット Web サーバにアクセスする内部ユーザ
内部ユーザがインターネットの Web サーバから HTTP ページを要求している場合、データは次のように適応型セキュリティ アプライアンスを経由して移動します。
1. 内部ネットワークのユーザが、www.example.com から Web ページを要求します。
2. 適応型セキュリティ アプライアンスはパケットを受信し、新しいセッションであるため、パケットが許可されていることを確認します。
3. 適応型セキュリティ アプライアンスは Network Address Translation(NAT; ネットワーク アドレス変換)を行い、ローカルな送信元アドレス(192.168.1.2)を外部インターフェイスのパブリック アドレス(209.165.200.225)に変換します。
4. 適応型セキュリティ アプライアンスは、セッションか確立されていることを記録し、外部インターフェイスからパケットを転送します。
5. www.example.com が要求に応答すると、確立されたセッションを使用して、パケットは適応型セキュリティ アプライアンスを通過します。
6. 適応型セキュリティ アプライアンスは NAT を使用して、パブリック宛先(209.165.200.225)アドレスをローカル ユーザ アドレス(192.168.1.2)に変換します。
DMZ Web サーバにアクセスするインターネット ユーザ
図 8-3 に、インターネット上のユーザが DMZ Web サーバから Web ページを要求している場合の、適応型セキュリティ アプライアンスを経由したトラフィック フローを示します。
インターネット上のユーザが DMZ Web サーバから HTTP ページを要求している場合、トラフィックは次のように適応型セキュリティ アプライアンスを流れます。
1. 外部ネットワークのユーザは、適応型セキュリティ アプライアンスのパブリック IP アドレス(外部インターフェイスの IP アドレスである 209.165.200.225)を使用して、DMZ Web サーバから Web ページを要求します。
2. 適応型セキュリティ アプライアンスはパケットを受信し、新しいセッションであるため、パケットが許可されていることを確認します。
3. 適応型セキュリティ アプライアンスは、宛先アドレスを DMZ Web サーバのローカル アドレス(10.30.30.30)に変換し、DMZ インターフェイスを通してパケットを転送します。
4. DMZ Web サーバが要求に応答すると、適応型セキュリティ アプライアンスは DMZ Web サーバのローカル アドレス(10.30.30.30)を DMZ Web サーバのパブリック アドレス(209.165.200.225)に変換します。
DMZ Web サーバにアクセスする内部ユーザ
図 8-4 に、DMZ Web サーバにアクセスしている内部ユーザを示します。
図 8-4 DMZ で Web サーバにアクセスする内部ユーザ
図 8-4 では、適応型セキュリティ アプライアンスは内部クライアントから DMZ Web サーバ宛の HTTP トラフィックを許可します。内部ネットワークには DNS サーバがないので、DMZ Web サーバへの内部クライアントの要求は、次のように処理されます。
1. ルックアップ要求が ISP の DNS サーバに送信されます。DMZ Web サーバのパブリック IP アドレスがクライアントに返されます。
2. 内部クライアントは、DMZ Web サーバのパブリック IP アドレスから Web ページを要求します。適応型セキュリティ アプライアンスは、その内部インターフェイス上の要求を受信します。
3. 適応型セキュリティ アプライアンスは、DMZ Web サーバのパブリック IP アドレスをその実アドレスに変換し(209.165.200.225 -> 10.30.30.30)、要求をその DMZ インターフェイスから Web サーバへ転送します。
4. DMZ Web サーバが要求に応答すると、適応型セキュリティ アプライアンスはその DMZ インターフェイス上のデータを受信し、その内部インターフェイスからユーザにデータを転送します。
DMZ 構成用の適応型セキュリティ アプライアンスの設定
この項では、ASDM を使用して、図 8-1 に示されている設定シナリオ用に適応型セキュリティ アプライアンスを設定する方法について説明します。手順では、シナリオに基づいたサンプル パラメータを使用します。
この設定手順では、適応型セキュリティ アプライアンスにはすでに内部インターフェイス、外部インターフェイス、および DMZ インターフェイスとして設定されているインターフェイスがあることを前提とします。DMZ インターフェイスのセキュリティ レベルを 0 ~ 100 の間に設定していることを確認します (通常は 50)。
(注) 適応型セキュリティ アプライアンスにインターフェイスをセットアップする必要がある場合、ASDM の Startup Wizard を使用できます。Startup Wizard の使用方法の詳細については、「適応型セキュリティ アプライアンスの設定」を参照してください。
• 「設定要件」
• 「収集する情報」
• 「内部クライアントとインターネット上のデバイスとの通信を可能にする」
• 「内部クライアントとインターネット上のデバイスとの通信を可能にする」
• 「内部クライアントと DMZ Web サーバとの通信を可能にする」
• 「DMZ Web サーバへのパブリック アクセスのためのスタティック PAT の設定(ポート フォワーディング)」
• 「DMZ Web サーバへのパブリック HTTP アクセスの提供」
この章の後半部分では、この設定を実装する方法について説明します。
設定要件
適応型セキュリティ アプライアンスのこの DMZ 構成では、次のような設定ルールが必要です。
収集する情報
• パブリック ネットワーク上のクライアントに対して使用可能にする DMZ 内のサーバの内部 IP アドレス(このシナリオでは Web サーバ)。
• DMZ 内のサーバのために使用されるパブリック IP アドレス (パブリック ネットワーク上のクライアントはパブリック IP アドレスを使用して DMZ 内のサーバにアクセスします)。
• 発信トラフィックで内部 IP アドレスの代わりになるクライアント IP アドレス(このシナリオでは、外部インターフェイスの IP アドレス)。内部 IP アドレスが公開されないように、発信クライアント トラフィックはこのアドレスから発信されたように表示されます。
内部クライアントとインターネット上のデバイスとの通信を可能にする
内部クライアントによるインターネット上のデバイスからのコンテンツの要求を許可するには、適応型セキュリティ アプライアンスが内部クライアントの実際の IP アドレスを外部インターフェイスの外部アドレス(つまり適応型セキュリティ アプライアンスのパブリック IP アドレス)に変換します。発信トラフィックは、このアドレスから発信されたように表示されます。
内部クライアントと DMZ Web サーバとの通信を可能にする
この手順では、内部クライアントが DMZ 内の Web サーバと安全に通信できるように、適応型セキュリティ アプライアンスを設定します。この手順を実行するには、変換ルールを設定する必要があります。
DMZ Web サーバの実際の IP アドレスをそのパブリック IP アドレスに変換する(10.30.30.30 から 209.165.200.225 へ)、DMZ インターフェイスと内部インターフェイス間の NAT ルールを設定します。
このルールが必要なのは、内部クライアントが DNS ルックアップ要求を送信したときに、DNS サーバが DMZ Web サーバのパブリック IP アドレスを返すためです。
(注) 内部ネットワーク上には DNS サーバがないため、DNS 要求は適応型セキュリティ アプライアンスから出て、インターネット上の DNS サーバによって解決されなければなりません。
内部インターフェイスと DMZ インターフェイス間の内部クライアント IP アドレスの変換
内部インターフェイスと DMZ インターフェイス間で内部クライアント IP アドレスを変換するように NAT を設定するには、次の手順に従います。
ステップ 1 [Configuration] > [Firewall] > [NAT Rules] ペインの順にクリックし、緑色の +(プラス)アイコンをクリックし、[Add "Network Object" NAT Rule] を選択します。
[Add Network Object] ダイアログボックスが表示されます。
• [Name] フィールドに、オブジェクト名を入力します。a ~ z、A ~ Z、0 ~ 9、ピリオド、ハイフン、カンマ、またはアンダースコアの文字を使用してください。名前は 64 文字以下にする必要があります。
• [Type] ドロップダウン リストから、[Network] を選択します。
• [IP Address] フィールドに、クライアントまたはネットワークの実際の IP アドレスを入力します。このシナリオでは、ネットワークの IP アドレスは 192.168.1.0 です。
• [Netmask] フィールドに、IP アドレスが IPv4 アドレスである場合はサブネット マスクを入力し、IP アドレスが IPv6 アドレスである場合はプレフィクスを入力します。
• (オプション)[Description] フィールドに、ネットワーク オブジェクトの説明を入力します(最大 200 文字)。
(注) [NAT] セクションが表示されていない場合は、[NAT] をクリックしてセクションを展開します。
ステップ 3 [Add Automatic Translation Rules] チェックボックスをオンにします。
ステップ 4 [Type] ドロップダウン リストから、[Static] を選択します。
ステップ 5 [Translated Addr.] フィールドに、内部クライアントまたはネットワークの IP アドレスを入力します。または、[...] をクリックし、[Browse Translated Addr] ダイアログボックスからアドレスを選択します。[IP Address] フィールドに、ネットワークの IP アドレスを入力します。このシナリオでは、ネットワークの IP アドレスは 192.168.1.0 です。
ステップ 6 [Advanced] をクリックし、[Advanced NAT Settings] ダイアログボックスで次のオプションを設定します。
• [Source Interface] ドロップダウン リストで、[inside] インターフェイスを選択します。
• [Destination Interface] ドロップダウン リストから、[DMZ] インターフェイスを選択します。
この 2 つの設定により、NAT ルールを適用する実際のインターフェイスとマップされるインターフェイスを指定したことになります。
ステップ 7 [OK] をクリックします。[Add Network Object] ダイアログボックスに戻ります。
ステップ 8 [OK] をクリックしてルールを追加し、Address Translation Rules のリストに戻ります。
ルールが、意図したとおりに作成されたことを確認します。表示される設定は次のようになります。
内部インターフェイスでの Web サーバのパブリック アドレスのその実アドレスへの変換
Web サーバのパブリック IP アドレスをその実際の IP アドレスに変換する NAT ルールを設定するには、次の手順に従います。
ステップ 1 [Configuration] > [Firewall] > [NAT Rules] ペインの順にクリックし、緑色の +(プラス)アイコンをクリックし、[Add "Network Object" NAT Rule] を選択します。
[Add Network Object] ダイアログボックスが表示されます。
• [Name] フィールドに、オブジェクト名を入力します。a ~ z、A ~ Z、0 ~ 9、ピリオド、ハイフン、カンマ、またはアンダースコアの文字を使用してください。名前は 64 文字以下にする必要があります。
• [Type] ドロップダウン リストから、[Host] を選択します。
• [IP Address] フィールドに、DMZ Web サーバの実際の(プライベート)アドレスを入力します。このシナリオでは、IP アドレスは 10.30.30.30 です。
• (オプション)[Description] フィールドに、ネットワーク オブジェクトの説明を入力します(最大 200 文字)。
(注) [NAT] セクションが表示されていない場合は、[NAT] をクリックしてセクションを展開します。
ステップ 3 [Add Automatic Translation Rules] チェックボックスをオンにします。
ステップ 4 [Type] ドロップダウン リストから、[Static] を選択します。
ステップ 5 [Translated Addr.] フィールドに、DMZ Web サーバのパブリック アドレス(またはマップ アドレス)を入力します。または、[...] をクリックし、[Browse Translated Addr] ダイアログボックスからアドレスを選択します。このシナリオでは、IP アドレスは 209.165.200.225 です。
ステップ 6 [Advanced] をクリックし、[Advanced NAT Settings] ダイアログボックスで次のオプションを設定します。
• [Source Interface] ドロップダウン リストで、[DMZ] インターフェイスを選択します。
• [Destination Interface] ドロップダウン リストで、[inside] インターフェイスを選択します。
この 2 つの設定により、NAT ルールを適用する実際のインターフェイスとマップされるインターフェイスを指定したことになります。
ステップ 7 [OK] をクリックします。[Add Network Object] ダイアログボックスに戻ります。
ステップ 8 [OK] をクリックしてルールを追加し、Address Translation Rules のリストに戻ります。
ルールが、意図したとおりに作成されたことを確認します。表示される設定は次のようになります。
ステップ 9 [Apply] をクリックして、適応型セキュリティ アプライアンスの設定変更を終了します。
DMZ Web サーバへのパブリック アクセスのためのスタティック PAT の設定(ポート フォワーディング)
DMZ Web サーバは、インターネット上のすべてのホストからアクセスできる必要があります。この設定では、DMZ Web サーバのプライベート IP アドレスをパブリック IP アドレスに変換し、外部 HTTP クライアントが適応型セキュリティ アプライアンスを認識せずに Web サーバにアクセスできるようにする必要があります。このシナリオでは、DMZ Web サーバで、パブリック IP アドレスと適応型セキュリティ アプライアンスの外部インターフェイスが共有されています(209.165.200.225)。
実際の Web サーバの IP アドレス(10.30.30.30)をパブリック IP アドレス(209.165.200.225)にスタティックにマッピングするには、次の手順に従います。
ステップ 1 [Configuration] > [Firewall] > [NAT Rules] ペインの順にクリックし、緑色の +(プラス)アイコンをクリックし、[Add "Network Object" NAT Rule] を選択します。
[Add Network Object] ダイアログボックスが表示されます。
• [Name] フィールドに、オブジェクト名を入力します。a ~ z、A ~ Z、0 ~ 9、ピリオド、ハイフン、カンマ、またはアンダースコアの文字を使用してください。名前は 64 文字以下にする必要があります。
• [Type] ドロップダウン リストから、[Host] を選択します。
• [IP Address] フィールドに、DMZ Web サーバの実際の IP アドレスを入力します。このシナリオでは、IP アドレスは 10.30.30.30 です。
• (オプション)[Description] フィールドに、ネットワーク オブジェクトの説明を入力します(最大 200 文字)。
(注) [NAT] セクションが表示されていない場合は、[NAT] をクリックしてセクションを展開します。
ステップ 3 [Add Automatic Translation Rules] チェックボックスをオンにします。
ステップ 4 [Type] ドロップダウン リストから、[Static] を選択します。
ステップ 5 [Translated Addr.] フィールドに、Web サーバで使用されるパブリック IP アドレスを入力します。これは、指定したインターフェイス(この場合は外部インターフェイス)の IP アドレスです。または、[...] をクリックし、[Browse Translated Addr] ダイアログボックスからアドレスを選択します。
ステップ 6 [Advanced] をクリックし、[Advanced NAT Settings] ダイアログボックスで次のオプションを設定します。
• [Source Interface] ドロップダウン リストで、[DMZ] インターフェイスを選択します。
• [Destination Interface] ドロップダウン リストから、[Outside] インターフェイスを選択します。
この 2 つの設定により、NAT ルールを適用する実際のインターフェイスとマップされるインターフェイスを指定したことになります。
• ポート変換を設定したスタティック NAT を設定するには、[Service] の [Protocol] ドロップダウン リストから [tcp] を選択します。
• [Real Port] フィールドに 80 と入力します。
• [Mapped Port] フィールドに 80 と入力します。
パブリック IP アドレスは 1 つだけなので、Port Address Translation を使用して、DMZ Web サーバの IP アドレスを適応型セキュリティ アプライアンスのパブリック IP アドレス(外部インターフェイスの IP アドレス)に変換する必要があります。
ステップ 7 [OK] をクリックします。[Add Network Object] ダイアログボックスに戻ります。
ステップ 8 [OK] をクリックしてルールを追加し、Address Translation Rules のリストに戻ります。
ルールが、意図したとおりに作成されたことを確認します。表示される設定は次のようになります。
DMZ Web サーバへのパブリック HTTP アクセスの提供
デフォルトでは、適応型セキュリティ アプライアンスは、パブリック ネットワークから着信するトラフィックをすべて拒否します。インターネットから DMZ Web サーバにアクセスするトラフィックを許可するには、DMZ Web サーバ宛の着信 HTTP トラフィックを許可するアクセス コントロール ルールを設定する必要があります。
このアクセス コントロール ルールは、トラフィックを処理する適応型セキュリティ アプライアンスのインターフェイスに対して、トラフィックが着信されるかどうか、トラフィックの発信元および宛先、および許可するトラフィック プロトコルとサービスのタイプを指定します。
この項では、トラフィックの宛先が DMZ ネットワークの Web サーバである場合に、インターネット上のホストまたはネットワークから発信される着信 HTTP トラフィックを許可するアクセス ルールを作成します。パブリック ネットワークから着信する他のすべてのトラフィックは拒否されます。
アクセス コントロール ルールを設定するには、次の手順に従います。
ステップ 1 メイン ASDM ウィンドウで、次の内容を実行します。
a. [Configuration] ツールをクリックします。
b. [Firewall] ペインで、[Access Rules] をクリックします。
c. 緑色のプラス アイコンをクリックし、[Add Access Rule] を選択します。
[Add Access Rule] ダイアログボックスが表示されます。
ステップ 2 [Add Access Rule] ダイアログボックスで、次の内容を実行します。
a. [Interface] ドロップダウン リストから、[Outside] を選択します。
b. [Permit Action] オプション ボタンをクリックします。
c. [Source] フィールドに Any と入力します。
d. [Destination] フィールドに、Web サーバのパブリック IP アドレス(209.165.200.225)を入力します。
e. [Service] フィールドに TCP/HTTP と入力します。
この時点で、[Add Access Rule] ダイアログボックスのエントリは次のようになります。
f. [OK] をクリックして、[Security Policy] > [Access Rules] ペインに戻ります。
[Apply] をクリックし、適応型セキュリティ アプライアンスが現在実行している設定に変更を保存します。
プライベート ネットワークに存在するクライアントは、DMZ Web サーバからのコンテンツに対する HTTP 要求を解決できるだけでなく、プライベート ネットワークの安全性を保持できます。
ステップ 3 次にデバイスを起動するときに適用されるように、設定変更をスタートアップ コンフィギュレーションに保存する場合は、[File] メニューから [Save] をクリックします。
または、ASDM を終了するときに設定変更を半永久的に保存するように求められます。
設定変更を保存しない場合は、次にデバイスを起動するときに変更前の設定がそのまま適用されます。
次の作業
DMZ 内の Web サーバを保護するためだけに適応型セキュリティ アプライアンスを配置する場合は、これで初期設定が完了しました。次の追加の手順を実行することもできます。
|
|
|
|---|---|
複数のアプリケーションに適応型セキュリティ アプライアンスを設定できます。次の項では、適応型セキュリティ アプライアンスの他の一般的なアプリケーションの設定手順について説明します。
|
|
|
|---|---|
フィードバック