Cisco ASA 5500 シリーズ Adaptive Security Appliance クイック スタート ガイド

クイック スタート ガイド

Cisco ASA 5500 シリーズ

Adaptive Security Appliance クイック スタート ガイド

1 パッケージ内容の確認 2 Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスの取り付け 3 Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスの設定 4 一般的な設定シナリオ 5 オプションの SSM 設定と構成の手順 6 オプションのメンテナンスとアップグレードの手順

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスについて

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス ファミリは、中規模ビジネスのネット ワークから大規模エンタープライズのネットワークまで、企業レベルのセキュリティをモジュラ形式 の専用のアプライアンスで提供します。その用途の広い 1 ラック ユニット（1RU）設計では、最大 8 個の 10/100/1000 ギガビット イーサネット インターフェイス（5520 と 5540 の場合）、および 1 個の 10/100 ファースト イーサネット管理インターフェイスがサポートされます。したがって、費用有効で 柔軟性があり、Demilitarized Zone（DMZ; 非武装地帯）サポートがあるセキュリティ ソリューションを 必要とする企業にとって優れた選択肢となっています。オプションの 4GE SSM には 4 個のポートが備 わっていて、それぞれ 2 つのインターフェイス（銅線の RJ-45（イーサネット）および光ファイバ接続 用の SFP）があります。市場をリードする Cisco 適応型セキュリティ アプライアンス シリーズ製品の 1 つである Cisco ASA 5500 を使用すると、多様な統合セキュリティ サービス、ハードウェア VPN アク セラレータ、完全な侵入防御、高いアベイラビリティ、および強力なリモート管理といった各種の機 能が、導入の容易な高性能のソリューションで提供されます。 132228 POWERSTATUS FLASH ACTIVEVPN CISCO ASA 5530 SERIES Adaptive Security Appliance

このマニュアルについて

このマニュアルでは、Cisco ASA 5510、5520、および 5540 の適応型セキュリティ アプライアンスを設 置して設定し、VPN、DMZ、リモートアクセス、および侵入防御の導入のために使用する方法につい て説明します。 このマニュアルで説明する手順を完了すると、適応型セキュリティ アプライアンスで、ほとんどの構 成に適した堅固な VPN、DMZ、またはリモート アクセスの設定を実行できるようになります。このマ ニュアルは、適応型セキュリティ アプライアンスを設置し、基本コンフィギュレーションで実行する ために十分な情報のみを記載しています。 詳細については、次のマニュアルを参照してください。

• Cisco ASA 5500 Series Release Notes

• Cisco ASA 5500 Series Hardware Installation Guide

• Cisco Security Appliance Command Line Configuration Guide

• Cisco Security Appliance Command Reference

1 パッケージ内容の確認

パッケージの箱の内容をチェックし、Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスを 取り付けるために必要な品目がすべてそろっていることを確認します。 (72-1482-01) 700-18797-01 AO 700-18798-01 AO 4 48-0451-01 AO 2 48-0654-01 AO 4

48-0523-01 AO _Hardware5500 SeriesCisco ASA

Installation Guide Safety and Compliance Guide Cisco ASA 5500 Cisco ASA 5500 Adaptive Security Appliance Product CD 4 92574 PC LINK SPD 3LINK SPD 2LINK SPD 1LINK SPD 0 MGMT USB2 USB1 FLASH POWERSTATUS FLASH VPN ACTIVE

2 Cisco ASA 5500 シリーズ適応型セキュリティ アプライア

ンスの取り付け

警告 「危険」の意味です。人身事故を予防するための注意事項が記述されています。装置の取り扱 い作業を行うときは、電気回路の危険性に注意し、一般的な事故防止策をとるよう努めてくだ さい。警告の各国語版を参照するには、各注意事項の番号と、装置に付属の「Translation Safety Warnings」の番号を照らし合せてください。ステートメント 1071

注意 これらの手順を実行する場合は、『Regulatory Compliance and Safety Information for the Cisco ASA 5500 Series』の安全に関する警告を読み、適切な安全手順に従ってください。 警告 ラックにこの装置をマウントしたり、ラック上の装置の作業を行うときは、ケガをしないよう に、装置が安定した状態に置かれていることを十分に確認してください。安全に関するガイド ラインは次のとおりです。 • この装置だけをラックにマウントする場合、ラックの一番下にマウントしてください。 • すでに別の装置がラックに取り付けられている場合は、最も重い装置をラックの一番下に 取り付け、重い順に下から上へと設置するようにします。 • ラックにスタビライザが付属している場合は、スタビライザを取り付けてから、ラックへ の装置の取り付けまたはラックでの作業を行います。ステートメント 1006 適応型セキュリティ アプライアンスをラックに取り付ける場合は、次のガイドラインに従います。 • メンテナンスのためにラックの周囲にすき間を空けます。 • 閉鎖型ラックに装置をマウントする場合は、換気が十分に行われるようにします。閉鎖型ラックに 装置を詰め込みすぎないようにしてください。各装置で熱が発生します。 • 開放型ラックに装置をマウントする場合は、ラックのフレームで吸気口や排気口をふさがないよう に注意します。

警告 次の手順を実行する前に、DC 回路に電気が流れていないことを確認してください。すべての 電源を確実に切断するには、パネル ボード上で DC 回路に対応している回路ブレーカーを確 認して、回路ブレーカーを OFF の位置に切り替え、回路ブレーカーのスイッチ ハンドルを OFF の位置のままテープで固定します。ステートメント 7

シャーシのラック

マウント

シャーシをラックマウントするには、次の手順に従います。 ステップ1 付属のネジを使用して、シャーシにラックマウント ブラケットを取り付けます。シャー シの前面付近または背面にある穴にブラケットを取り付けます（図 1 を参照してくださ い）。 図1 ブラケットの取り付け 92591 CISCO ASA 5540 SERIES

ステップ2 付属のネジを使用して、シャーシをラックに取り付けます（図2 を参照してください）。 図2 シャーシのラック マウント 92592 POWER STATUS FLASH ACTIVE VPN CISCO ASA 5540 SERIES

インターフェイス

_{ケーブルの接続}

インターフェイス ケーブルを接続するには、次の手順に従います。 ステップ1 管理アクセスのため、コンピュータまたはターミナルを適応型セキュリティ アプライア ンスに接続します。 （注） コンピュータまたはターミナルをコンソール ポートに接続する前に、ボー レートを確認 します。ボー レートは、適応型セキュリティ アプライアンスのコンソール ポートのデフォ ルト ボー レート（9600 ボー）と一致している必要があります。コンピュータまたはター ミナルを次のように設定します。9600 ボー（デフォルト）、8 データ ビット、パリティな し、1 ストップ ビット、FC= ハードウェア。 ステップ2 アクセサリ キットから青色のコンソール ケーブルを見つけます。コンソール ケーブルに は、一方の端に RJ-45 コネクタ、もう一方の端に DB-9 コネクタがあります。 ステップ3 青色のコンソール ケーブルの RJ-45 コネクタを、適応型セキュリティ アプライアンスの 背面パネルにあるコンソール ポートに接続します（図 3 を参照してください）。 ステップ4 青色のケーブルの DB-9 コネクタをコンピュータまたはターミナルのシリアル ポートに 接続します。

図3 シャーシ コンソール ケーブルの接続 （注） 管理目的で、適応型セキュリティ アプライアンスの MGMT ポートにイーサネット ケーブルを 接続することもできます。MGMT ポートは管理トラフィック専用のファースト イーサネット インターフェイスで、Management0/0 として指定されています。MGMT ポートはコンソール ポートと類似していますが、着信トラフィックのみを受け入れます。 ステップ5 アクセサリ キットから黄色のイーサネット ケーブルを見つけます。 ステップ6 イーサネット ケーブルの一方の端をイーサネット ポートに接続し、もう一方の端をネッ トワーク デバイス（ルータ、スイッチ、ハブなど）に接続します。 ステップ7 電源コードを適応型セキュリティ アプライアンスと電源に接続します。 ステップ8 シャーシの電源を入れます。 1 _{RJ-45 コンソール ポート} 2 _{RJ-45/DB-9 シリアル コンソール ケーブル（ヌルモデム）} 92593 FLASH CONSOLE AU X

POWERSTATUS ACTIVE VPN FLASH

2

3 Cisco ASA 5500 シリーズ適応型セキュリティ アプライア

ンスの設定

この項では、適応型セキュリティ アプライアンスの初期設定について説明します。設定手順を実行す るには、ブラウザベースの Cisco Adaptive Security Device Manager（ASDM）またはコマンドライン イ

ンターフェイス（CLI）のいずれかを使用します。

（注） ASDM を使用するには、DES ライセンスまたは 3DES/AES ライセンスが必要です。詳細につ

いては、P.61 の「DES および 3DES/AES の暗号化ライセンスの取得」を参照してください。

工場出荷時のデフォルト設定について

Cisco 適応型セキュリティ アプライアンスは、すぐに使用を開始できるように工場でデフォルト設定さ れて出荷されます。この設定は、大部分の中小企業におけるネットワーク環境のニーズを満たしてい ます。デフォルトでは、適応型セキュリティ アプライアンスは次のように設定されています。 • 内部（ギガビット イーサネット 0/1）インターフェイスには、デフォルト DHCP アドレス プール が組み込まれている。 この設定により、内部ネットワークのクライアントは、適応型セキュリティ アプライアンスに接 続するためにアプライアンスから DHCP アドレスを取得できます。このため、管理者は ASDM を 使用して適応型セキュリティ アプライアンスを設定および管理できます。 • 外部（ギガビット イーサネット 0/0）インターフェイスはパブリック ネットワークへの接続に使用 され、すべての着信トラフィックを拒否するように設定されている。 この設定により、内部ネットワークが要求外のトラフィックから保護されます。 また、ネットワークのセキュリティ ポリシーに基づいて、外部インターフェイス、または必要なその 他すべてのインターフェイスを経由する ICMP トラフィックをすべて拒否するように適応型セキュリ ティ アプライアンスを設定することを検討する必要もあります。このアクセス コントロール ポリシー は、icmp コマンドを使用して設定できます。icmp コマンドの詳細については、『Cisco Security Appliance Command Reference』を参照してください。

Adaptive Security Device Manager について

Adaptive Security Device Manager

（ASDM）は、適応型セキュリティ ア プライアンスを管理および監視でき る、豊富な機能を持つグラフィカル イ ン タ ー フ ェ イ ス で す。そ の Web ベースの設計によってセキュアなア クセスが実現されるため、Web ブラ ウザを使用して、どこからでも適応型 セキュリティ アプライアンスに接続 し、管理することができます。 設定と管理の機能がそろっているだ けでなく、ASDM には適応型セキュ リティ アプライアンスの導入を簡素 化および促進するインテリジェント ウィザードが搭載されています。

ASDM を使用するには、DES ライセンスまたは 3DES/AES ライセンスが必要です。さらに、Web ブラ ウザで Java および JavaScript をイネーブルにする必要があります。

コマンドライン

インターフェイスを使用した設定について

適応型セキュリティ アプライアンスは、ASDM Web コンフィギュレーション ツールだけでなく、コマ

ンドライン インターフェイスを使用しても設定できます。詳細については、『Cisco Security Appliance

Command Line Configuration Guide』および『Cisco Security Appliance Command Reference』を参照してく ださい。

Startup Wizard の使用方法

ASDM には、適応型セキュリティ アプライアンスの初期設定を簡素化する Startup Wizard が用意されて

います。Startup Wizard を使用すると、わずかな手順で、内部ネットワーク（ギガビット イーサネット

0/1）と外部ネットワーク（ギガビット イーサネット 0/0）間でパケットが安全に流れるように適応型

Startup Wizard を起動する前に、次の情報を収集します。 • ネットワーク上の適応型セキュリティ アプライアンスを識別する一意のホスト名 • 外部インターフェイス、内部インターフェイス、およびその他のインターフェイスの IP アドレス • NAT または PAT の設定に使用する IP アドレス • DHCP サーバの IP アドレス範囲 Startup Wizard を使用して適応型セキュリティ アプライアンスの基本設定をセットアップするには、次 の手順に従います。 ステップ1 まだ次の操作を実行していない場合は、ここでいずれかを実行します。 • ASA 5520 または 5540 の場合は、イーサネット ケーブルを使用して内部ギガビット イーサネット 0/1 インターフェイスをスイッチまたはハブに接続します。同じスイッ チに、適応型セキュリティ アプライアンスを設定する PC を接続します。 • ASA 5510 の場合は、イーサネット ケーブルを使用して内部イーサネット 1 インター フェイスをスイッチまたはハブに接続します。同じスイッチに、適応型セキュリティ アプライアンスを設定する PC を接続します。 ステップ2 DHCP を使用するように（適応型セキュリティ アプライアンスから自動的に IP アドレス を受け取るように）PC を 設定するか、192.168.1.0 ネットワークからアドレスを選択して PC に固定 IP アドレスを割り当てます（有効なアドレスは 192.168.1.2 ～ 192.168.1.254 で、 255.255.255.0 のマスクと 192.168.1.1 のデフォルト ルートがあります）。 （注） 適応型セキュリティ アプライアンスの内部インターフェイスには、デフォルトで 192.168.1.1 が割り当てられています。そのため、このアドレスは使用できません。 ステップ3 次のいずれかの操作を実行します。 • ASA 5520 または 5540 の場合は、ギガビット イーサネット 0/1 インターフェイスのリ ンク LED を確認します。 • ASA 5510 場合は、イーサネット 1 インターフェイスのリンク LED を確認します。 接続が確立されると、適応型セキュリティ アプライアンスのリンク LED インターフェイ ス、およびスイッチまたはハブ上の対応するリンク LED が緑色に点灯します。

ステップ4 Startup Wizard を起動します。 a. スイッチまたはハブに接続された PC で、インターネット ブラウザを起動します。 b. ブラウザのアドレス フィールドに、https://192.168.1.1/ という URL を入力します。 （注） 適応型セキュリティ アプライアンスは、192.168.1.1 のデフォルト IP アドレスが設定 されて出荷されます。「https」の「s」を付け忘れると、接続は失敗します。HTTPS （HTTP over SSL）を使用すると、ブラウザと適応型セキュリティ アプライアンスと の間の安全な接続が可能になります。 ステップ5 ユーザ名とパスワードの入力を求めるダイアログボックスでは、どちらのフィールドも空 のままにします。Enter キーを押します。 ステップ6 Yes をクリックして、証明書を受け入れます。後続の認証および証明書に関するすべての ダイアログボックスで、Yes をクリックします。

ステップ7 ASDM が起動したら、ウィンドウ最上部にある Wizards メニューから Startup Wizard を

選択します。

ステップ8 Startup Wizard の手順に従って適応型セキュリティ アプライアンスを設定します。

Startup Wizard のフィールドの詳細を確認するには、ウィンドウ下部にある Help ボタンを クリックします。

4 一般的な設定シナリオ

この項では、適応型セキュリティ アプライアンスの一般的な導入の設定例を示します。次の 3 つの例 を紹介します。 • DMZ ネットワーク上の Web サーバのホスティング • オフサイトのクライアントが内部ネットワークとのセキュアな通信を確立するためのリモート ア クセス VPN 接続の確立 • 他のビジネス パートナーまたはリモート オフィスとのサイトツーサイト VPN 接続の確立 ネットワークを設定するときには、これらのシナリオをガイドとして使用してください。実際に使用 するネットワーク アドレスに置き換え、必要に応じて追加のポリシーを適用します。

シナリオ

_{1：DMZ 設定}

非武装地帯（DMZ）は、プライベート（内部）ネットワークとパブリック（外部）ネットワークとの 間の中立帯に位置する別個のネットワークです。この例のネットワーク トポロジは、適応型セキュリ ティ アプライアンスの DMZ 実装の大部分と類似しています。Web サーバは DMZ インターフェイス上 にあり、内部ネットワークおよび外部ネットワークの両方の HTTP クライアントが Web サーバに安全 にアクセスできます。 図4 では、内部ネットワーク上の HTTP クライアント（10.10.10.10）は、DMZ Web サーバ（10.30.30.30） と HTTP 通信を開始しています。インターネット上のすべてのクライアントが DMZ Web サーバに HTTP アクセスできます。それ以外の通信はすべて拒否されます。ネットワークは、10.30.30.50 ～ 10.30.30.60 のアドレスの IP プールを使用するように設定されています（IP プールは、DMZ インター フェイスで使用可能な IP アドレスの範囲です）。

図4 DMZ 設定シナリオのネットワーク レイアウト DMZ Web サーバはプライベート DMZ ネットワーク上にあるため、プライベート IP アドレスをパブ リック（ルーティングが可能な）IP アドレスに変換する必要があります。外部クライアントはこのパ ブリック アドレスを使用して、インターネット上のすべてのサーバにアクセスする場合と同様に DMZ Web サーバにアクセスできます。 図4 に示されている DMZ 設定シナリオには、だれでも使用できるルーティング可能な 2 つの IP アド レスがあります。1 つは適応型セキュリティ アプライアンスの外部インターフェイス用 （209.165.200.225）、もう 1 つは DMZ Web サーバのパブリック IP アドレス用（209.165.200.226）です。 次の手順では、ASDM を使用して、HTTP クライアントと Web サーバとの間にセキュアな通信を確立 するよう適応型セキュリティ アプライアンスを設定する方法を示します。 この DMZ シナリオでは、適応型セキュリティ アプライアンスにはすでに dmz と呼ばれる外部イン ターフェイスが設定されています。Startup Wizard を使用して、適応型セキュリティ アプライアンスの DMZ のインターフェイスを設定します。セキュリティ レベルを 0 ～ 100 の間に設定していることを確 認します（通常は 50）。 132064 HTTP 10.10.10.10 Web 10.30.30.30 DMZ 10.30.30.0 10.10.10.0 HTTP HTTP 209.165.200.225 ASA

収集する情報 この設定手順を開始する前に、次の情報を収集します。 • パブリック ネットワーク上のクライアントに対して使用可能にする DMZ 内のサーバの内部 IP ア ドレス（このシナリオでは Web サーバ）。 • DMZ 内のサーバのために使用される外部 IP アドレス（パブリック ネットワーク上のクライアン トは外部 IP アドレスを使用して DMZ 内のサーバにアクセスします）。 • 発信トラフィックで内部 IP アドレスの代わりになるクライアント IP アドレス（内部 IP アドレス が公開されないように、発信クライアント トラフィックはこのアドレスから発信されたように表 示されます）。

手順

1：ネットワーク変換用の IP プールを設定する

内部 HTTP クライアント（10.10.10.10）が DMZ ネットワーク上の Web サーバ（10.30.30.30）にアクセ スするには、DMZ インターフェイスの IP アドレス（10.30.30.50 ～ 10.30.30.60）のプールを定義する必 要があります。同様に、内部 HTTP クライアントがパブリック ネットワーク上のデバイスと通信する には、外部インターフェイス（209.165.200.225）の IP プールが必要です。IP プールを効率的に管理し、 保護されたネットワーク クライアントとインターネット上のデバイス間のセキュアな通信を容易にす るには、ASDM を使用します。 1. Web ブラウザのアドレス フィールドに工場出荷時のデフォルト IP アドレス https://192.168.1.1/admin/ を入力して、ASDM を起動します。 （注） 「https」の「s」を付け忘れると、接続は失敗します。HTTPS（HTTP over SSL）を使 用すると、ブラウザと適応型セキュリティ アプライアンスとの間の安全な接続が可 能になります。

2. ASDM ウィンドウの最上部にある Configuration をクリックします。 3. ASDM ウィンドウの左側にある NAT 機能を選択します。

4. ASDM ウィンドウの下部にある Manage Pools をクリックします。Manage Global Address Pools ダイ

（注） 大部分の設定では、グローバル プールは、低セキュリティ インターフェイスつまりパブリッ ク インターフェイスに対して追加されます。

5. Manage Global Address Pools ダイアログボックスで次の操作を実行します。

a. dmz インターフェイスを選択します（この手順を開始する前に Startup Wizard を使用して設定

済みのもの）。

6. Add Global Pool Item ダイアログボックスで次の操作を実行します。 a. Interface ドロップダウン メニューから dmz を選択します。 b. IP アドレスの範囲を入力するために Range をクリックします。 c. DMZ インターフェイスの IP アドレスの範囲を入力します。このシナリオでは、範囲は 209.165.200.230 ～ 209.165.200.240 です。 d. 一意のプール ID を入力します。このシナリオでは、プール ID は 200 です。 e. OK をクリックして、Manage Global Address Pools ダイアログボックスに戻ります。

（注） DMZ インターフェイスに使用可能な限定 IP アドレスがある場合は、Port Address

Translation (PAT) または Port Address Translation (PAT) using the IP address of the interface を選択することもできます。

7. Manage Global Address Pools ダイアログボックスで次の操作を実行します。 a. outside インターフェイスを選択します。

8. Add Global Pool Item ダイアログボックスが表示されたら、次の操作を実行します。 a. Interface ドロップダウン メニューから outside を選択します。

b. Port Address Translation (PAT) using the IP address of the interface をクリックします。 c. ステップ 6d で割り当てたのと同じプール ID をこのプールに割り当てます（このシナリオで は、プール ID は 200 になります）。 d. OK をクリックします。表示される設定は次のようになります。 9. 設定値が正しいことを確認し、次の操作を実行します。 a. OK をクリックします。 b. メイン ASDM ウィンドウで、Apply をクリックします。 （注） 使用可能なパブリック IP アドレスは 2 つだけで、そのうち 1 つは DMZ サーバ用に予 約されているため、内部 HTTP クライアントによって開始されるトラフィックはすべ て、外部インターフェイス IP アドレスを使用して適応型セキュリティ アプライアン スから送信されます。この設定では、内部クライアントからのトラフィックはイン ターネットとの間でルーティングされます。

手順

2：プライベート ネットワークでのアドレス変換を設定する

Network Address Translation（NAT; ネットワーク アドレス変換）では、適応型セキュリティ アプライア

ンスの 2 つのインターフェイス間で交換されるネットワーク トラフィックの送信元 IP アドレスが置き

換えられます。この変換では、パブリック ネットワーク経由のルーティングが可能になりますが、内

部 IP アドレスはパブリック ネットワーク上で公開されません。

Port Address Translation（PAT; ポート アドレス変換）は、NAT の拡張機能です。この機能を使用する と、プライベート ネットワーク上の複数のホストをパブリック ネットワークの単一の IP アドレスに マッピングできます。PAT は、使用可能なパブリック IP アドレスの数が制限されている中小規模の企 業にとって不可欠です。 内部インターフェイスと内部 HTTP クライアントの DMZ インターフェイスとの間に NAT を設定する には、メイン ASDM ページから始まる次の手順に従います。 1. ASDM ウィンドウの最上部にある Configuration をクリックします。 2. ASDM ウィンドウの左側にある NAT 機能を選択します。

3. Translation Rules をクリックし、次に ASDM ページの右側にある Add をクリックします。 4. Add Address Translation Rule ダイアログボックスで、Use NAT が選択されていることを確認し、

5. 内部クライアントの IP アドレスを入力します。このシナリオでは、IP アドレスは 10.10.10.10 です。 6. Mask ドロップダウン メニューから 255.255.255.224 を選択します。

7. Translate Address on Interface ドロップダウン メニューから DMZ インターフェイスを選択します。 8. Translate Address To セクションで Dynamic をクリックします。

9. プール ID の Address Pools ドロップダウン メニューから 200 を選択します。 10. OK をクリックします。

11. 操作を続行するかどうかを確認するダイアログボックスが表示されます。Proceed をクリックしま す。

12. NAT Translation Rules ページで、表示されている設定が正しいかどうかを確認します。 13. Apply をクリックして、適応型セキュリティ アプライアンスの設定変更を終了します。

表示される設定は次のようになります。

手順

3：DMZ Web サーバの外部 ID を設定する

DMZ Web サーバは、インターネット上のすべてのホストから容易にアクセスできる必要があります。 この設定では、Web サーバの IP アドレスを変換してインターネット上に存在しているように表示し、 外部 HTTP クライアントが適応型セキュリティ アプライアンスに気付かずに Web サーバにアクセスで きるようにする必要があります。Web サーバの IP アドレス（10.30.30.30）をパブリック IP アドレス （209.165.200.225）にスタティックにマッピングするには、次の手順に従います。 1. ASDM ウィンドウの最上部にある Configuration をクリックします。 2. ASDM ウィンドウの左側にある NAT 機能を選択します。

3. Translation Rules をクリックし、次にページの右側にある Add をクリックします。 4. インターフェイスのドロップダウン リストから外部 dmz インターフェイスを選択します。 5. Web サーバの IP address（10.30.30.30）を入力します。

6. Mask ドロップダウン メニューから 255.255.255.224 を選択し、次に Static をクリックします。 7. Web サーバの外部 IP アドレス（209.165.200.226）を入力します。次に OK をクリックします。 8. 入力した値を確認し、Apply をクリックします。

手順

4：DMZ Web サーバへの HTTP アクセスを可能にする

デフォルトでは、適応型セキュリティ アプライアンスは、パブリック ネットワークから着信するトラ フィックをすべて拒否します。適応型セキュリティ アプライアンスにアクセス コントロール ルールを 作成し、パブリック ネットワークから適応型セキュリティ アプライアンスを経由して DMZ のリソー スに到達する特定のトラフィック タイプを許可する必要があります。 インターネット上のすべてのクライアントが DMZ 内の Web サーバにアクセスできるように、適応型 セキュリティ アプライアンス経由の HTTP トラフィックを許可するアクセス コントロール ルールを設 定するには、次の手順に従います。 1. ASDM ウィンドウで次の操作を実行します。 a. Configuration をクリックします。

b. ASDM 画面の左側にある Security Policy を選択します。 c. テーブルで、Add をクリックします。

2. Add Access Rule ダイアログボックスで次の操作を実行します。

a. Action で、ドロップダウン メニューから permit を選択し、適応型セキュリティ アプライアン

スを経由するトラフィックを許可します。

b. Source Host/Network で、IP Address をクリックします。 c. Interface ドロップダウン メニューから outside を選択します。

d. Source Host/Network 情報の IP アドレスを入力します（0.0.0.0 を使用して、すべてのホストま

たはネットワークから発信されたトラフィックを許可します）。

e. Destination Host/Network で、IP Address をクリックします。

f. Interface ドロップダウン メニューから dmz インターフェイスを選択します。 g. IP address フィールドに、Web サーバなどの宛先ホストまたはネットワークの IP アドレスを入 力します（このシナリオでは、Web サーバの IP アドレスは 10.30.30.30 です）。 h. Mask ドロップダウン メニューから 255.255.255.224 を選択します。 （注） または、どちらの場合もそれぞれ Browse ボタンをクリックして、ホストまたはネッ トワークを選択することもできます。

3. 許可するトラフィックのタイプを指定します。

（注） HTTP トラフィックは常に、任意の TCP 送信元ポート番号から固定の宛先ポート番号 80

に向けられます。

a. Protocol and Service で TCP をクリックします。

b. Source Port で、Service ドロップダウン メニューから「=」（等しい）を選択します。

c. 省略記号（...）が付いたボタンをクリックし、オプションをスクロールして Any を選択します。 d. Destination Port で、Service ドロップダウン メニューから「=」（等しい）を選択します。 e. 省略記号（...）が付いたボタンをクリックし、オプションをスクロールして HTTP を選択しま

f. OK をクリックします。 （注） ACL によるロギング システム メッセージなどの追加機能については、画面上部にあ る More Options をクリックします。下部にあるダイアログボックスにアクセス ルー ルの名前を入力できます。 g. 入力した情報が正しいことを確認し、OK をクリックします。 （注） 指定された宛先アドレスは DMZ Web サーバのプライベート アドレス（10.30.30.30） ですが、インターネット上の任意のホストから 209.165.200.225 宛ての HTTP トラ フィックは、適応型セキュリティ アプライアンス経由で許可されます。アドレス変 換（10.30.30.30 = 209.165.200.225）により、トラフィックが許可されます。 h. メイン ウィンドウで、Apply をクリックします。 表示される設定は次のようになります。

これで、プライベート ネットワークおよびパブリック ネットワーク上の HTTP クライアントが DMZ Web サーバに安全にアクセスできるようになりました。

シナリオ

2：リモート アクセス VPN

リモート アクセス Virtual Private Network（VPN; バーチャル プライベート ネットワーク）では、オフ サイトのユーザにセキュアなアクセスを提供できます。ASDM を使用すると、適応型セキュリティ ア プライアンスを設定して、インターネットを越えてセキュアな接続（トンネル）を作成できます。 図 5 に、インターネットを越えて VPN クライアントからの要求を受け入れ、VPN クライアントとセ キュアな接続を確立するように設定された適応型セキュリティ アプライアンスを示します。 図5 リモート アクセス VPN シナリオのネットワーク レイアウト ASDM VPN Wizard を使用すると、一連の簡単な手順で、適応型セキュリティ アプライアンスをリモー ト アクセス VPN ヘッドエンド デバイスとして設定できます。 132209 10.10.10.0 VPN 1 VPN 3 ASA DNS 10.10.10.163 WINS 10.10.10.133 VPN 2

手順

1：適応型セキュリティ アプライアンスをリモート アクセス VPN 用に設定する

1. Web ブラウザのアドレス フィールドに工場出荷時のデフォルト IP アドレス https://192.168.1.1/admin/ を入力して、ASDM を起動します。

2. メイン ASDM ページで、Wizards ドロップダウン メニューから VPN Wizard オプションを選択し

ます。VPN Wizard Step 1 ウィンドウが表示されます。 3. VPN Wizard の Step 1 で、次の手順に従います。 a. Remote Access VPN オプションを選択します。 b. ドロップダウン メニューから、着信 VPN トンネルで有効なインターフェイスとして outside を 選択します。 c. Next をクリックして続行します。

手順

2：VPN クライアントを選択する

1. VPN Wizard の Step 2 では、オプション ボタンをクリックして、リモート アクセス ユーザが Cisco

VPN クライアントまたはその他の Easy VPN Remote 製品のいずれかを使用して適応型セキュリ

ティ アプライアンスに接続できるようにします。

（注） 現在この画面には 1 つの選択肢しか表示されていませんが、他のトンネル タイプが使用可

能になると簡単にイネーブルにできるように設定されています。

手順

3：VPN トンネル グループ名および認証方式を指定する

VPN Wizard の Step 3 で、次の手順に従います。

1. 共通の接続パラメータおよびクライアント アトリビュートを使用する複数ユーザのセットに

Tunnel Group Name（「CiscoASA」など）を入力します。

2. 次のいずれかの操作を実行して、使用する認証のタイプを指定します。 － 認証にスタティック事前共有キーを使用するには、Pre-Shared Key をクリックし、キー （「CisCo」など）を入力します。 － 認証にデジタル証明書を使用するには、Certificate をクリックし、ドロップダウン メニューか ら証明書署名アルゴリズム（rsa-sig/dsa-sig）を選択し、次に、事前設定されているトラストポ イント名をドロップダウン メニューから選択します。 3. Next をクリックして続行します。

手順

4：ユーザ認証方式を指定する

ユーザの認証は、ローカル認証データベース、または外部の Authentication, Authorization, and Accounting

（AAA; 認証、認可、アカウンティング）サーバを使用して実行できます（AAA サーバには RADIUS、

TACACS+、SDI、NT、および Kerberos があります）。 VPN Wizard の Step 4 で、次の手順に従います。 1. 適切なオプション ボタンをクリックして、使用するユーザ認証のタイプを選択します。 － ローカル認証データベース － 外部の AAA サーバ グループ 2. 事前設定されているサーバ グループをドロップダウン リストから選択するか、New をクリックし て新しいサーバ グループを追加します。 3. Next をクリックして続行します。

手順

5：必要に応じてユーザ アカウントを設定する

ローカル ユーザ データベースを使用してユーザを認証する場合は、VPN Wizard の Step 5 で個々のユー

ザ アカウントを作成します。

1. 新しいユーザを追加するには、ユーザ名とパスワードを入力し、Add をクリックします。

手順

6：アドレス プールを設定する

リモート クライアントがネットワークにアクセスするには、接続に成功したときにリモート VPN クラ イアントに割り当てられる可能性のある IP アドレスのプールを設定する必要があります。このシナリ オでは、プールは 209.165.201.1 ～ 209.166.201.20 の範囲の IP アドレスを使用するように設定します。 アドレス プールを設定するには、次の手順に従います。 1. プール名を入力するか、事前設定されているプールをドロップダウン リストから選択します。 2. プールで使用する IP アドレスの範囲の最初の値を入力します。 3. プールで使用する IP アドレスの範囲の最後の値を入力します。 4. サブネット マスクを入力するか、事前設定されている値をドロップダウン リストから選択します。 5. Next をクリックして続行します。

手順

7：クライアント アトリビュートを設定する

各リモート アクセス クライアントがネットワークにアクセスするには、使用する DNS サーバと WINS サーバ、デフォルトのドメイン名などの基本的なネットワーク設定情報が必要です。各リモート クラ イアントを個々に設定するのではなく、ASDM にクライアント情報を設定できます。接続が確立され ると、適応型セキュリティ アプライアンスはこの情報をリモート クライアントに適用します。 必ず正しい値を指定してください。値が正しくない場合、リモート クライアントが解決に DNS 名を使 用できない、または Windows ネットワーキングを使用できないという問題が発生します。 VPN Wizard の Step 7 で、次の手順に従います。 1. リモート クライアントで使用するネットワーク設定情報を入力します。 2. Next をクリックして続行します。

手順

8：IKE ポリシーを設定する

IKE は、データを保護しプライバシーを保証する暗号化方式を含むネゴシエーション プロトコルで、ピ アの ID を確認する認証方式でもあります。ほとんどの場合、ASDM のデフォルト値を使用すれば、十 分にセキュアな VPN トンネルを確立できます。 IKE ポリシーを指定するには、次の手順に従います。 1. IKE セキュリティ アソシエーションにおいて適応型セキュリティ アプライアンスが使用する暗号

化アルゴリズム（DES、3DES、または AES）、認証アルゴリズム（MD5 または SHA）、および

Diffie-Hellman グループ（1、2、5、または 7）を選択します。

手順

9：IPSec の Encryption パラメータおよび Authentication パラメータを設定する

1. 暗号化アルゴリズム（DES、3DES、または AES）および認証アルゴリズム（MD5 または SHA）を

選択します。

手順

10：アドレス変換の例外およびスプリット トンネリングを設定する

適応型セキュリティ アプライアンスは、NAT を使用して、内部 IP アドレスが外部に公開されないよう にしています。認証されたリモート ユーザに公開するローカル ホストおよびネットワークを特定する ことで、このネットワーク保護に例外を設定できます。公開するリソースを、ホストやネットワーク IP アドレス、名前、またはグループで指定します（このシナリオでは、内部ネットワーク 10.10.10.0 全 体がすべてのリモート クライアントに公開されます）。

VPN Wizard の Step 10 で、ホスト、グループ、およびネットワークを Selected パネルに対して動的に追 加または削除します。 1. 必要に応じて、Add または Delete をクリックします。 （注） 画面下部のチェックボックスをオンにすると、スプリット トンネリングがイネーブルにな ります。スプリット トンネリングを使用すると、設定したネットワークの外部のトラフィッ クは、暗号化された VPN トンネルを経由せずにインターネットに直接送信されます。 2. リモート クライアントに公開するリソースを指定したら、Next をクリックして続行します。

手順

11：リモート アクセス VPN 設定を確認する

作成した VPN トンネルの設定アトリビュートを確認します。表示される設定は次のようになります。

適切に設定されている場合は Finish をクリックしてウィザードを終了し、適応型セキュリティ アプラ

シナリオ

_{3：サイトツーサイト VPN 設定}

適応型セキュリティ アプライアンスに備わっているサイトツーサイト VPN 機能を使用すると、企業は ネットワーク セキュリティを維持したまま、ネットワークを拡張してビジネス パートナーや世界中の リモート オフィスとの間で低コストのパブリック インターネット接続を実現できます。VPN 接続で は、セキュアな接続、つまり「トンネル」経由で 1 つの場所から別の場所へデータを送信できます。こ れは、まず接続の両端を認証し、次に 2 つのサイト間で送信されるすべてのデータを自動的に暗号化 することによって可能になります。 図6 に、2 つの適応型セキュリティ アプライアンス間の VPN トンネルの例を示します。 図6 サイトツーサイト VPN 設定シナリオのネットワーク レイアウト 図6 のような VPN サイトツーサイト構成を作成するには、2 台の適応型セキュリティ アプライアンス を設定する必要があります（接続のそれぞれの側に 1 台ずつ）。

ASDM には、サイトツーサイト VPN の設定プロセスを説明する設定ウィザードが用意

されています。

手順

1：適応型セキュリティ アプライアンスを 1 つ目のサイトで設定する

適応型セキュリティ アプライアンスを 1 つ目のサイトで設定します。このシナリオにおける 1 つ目の サイトは ASA セキュリティ アプライアンス 1 で、以降は ASA 1 と呼びます。 1. Web ブラウザのアドレス フィールドに工場出荷時のデフォルト IP アドレス https://192.168.1.1/admin/ を入力して、ASDM を起動します。 132066 ASA 2 10.10.10.0 209.165.200.226 209.165.200.236 ASA 1 A 10.20.20.0 B

2. メイン ASDM ページで、Wizards ドロップダウン メニューから VPN Wizard オプションを選択し ます。ASDM で、最初の VPN Wizard ページが開きます。 VPN Wizard の最初のページで、次の手順に従います。 a. Site-to-Site VPN オプションを選択します。 （注） Site-to-Site VPN オプションを選択すると、2 つの IPSec セキュリティ ゲートウェイが 接続されますが、これには適応型セキュリティ アプライアンス、VPN コンセントレー タ、またはサイトツーサイト IPSec 接続をサポートするその他のデバイスが含まれる 可能性があります。 b. ドロップダウン メニューから、現在の VPN トンネルで有効なインターフェイスとして outside を選択します。

c. Next をクリックして続行します。

手順

2：VPN ピアに関する情報を入力する

VPN ピアは、設定している接続のもう一方の端にあるシステムで、通常はリモート サイトにあります。 VPN Wizard の 2 ページで、リモート VPN ピアに関する情報を入力します。このシナリオでは、リモー ト VPN ピアは ASA セキュリティ アプライアンス 2 で、以降は ASA 2 と呼びます。次の手順に従います。 1. ピアの IP アドレス（ASA 2）およびトンネル グループ名を入力します。 2. 次のいずれかの操作を実行して、使用する認証のタイプを指定します。 － 認証に事前共有キー（「CisCo」など）を使用するには、Pre-Shared Key オプション ボタンを クリックし、両方の適応型セキュリティ アプライアンス間の IPSec ネゴシエーションで共有さ れる事前共有キーを入力します。 （注） リモート サイトで ASA 2 を設定する場合、VPN ピアは ASA 1 です。ここで指定する のと同じ Pre-shared Key（CisCo）を入力してください。

－ 認証にデジタル証明書を使用するには、Certificate オプション ボタンをクリックし、ドロップ

ダウン メニューからトラストポイント名を選択します。

手順

3：IKE ポリシーを設定する

IKE は、データを保護しプライバシーを保証する暗号化方式を含むネゴシエーション プロトコルで、ピ アの ID を確認する認証方式でもあります。ほとんどの場合、ASDM のデフォルト値を使用すれば、十 分にセキュアな VPN トンネルを 2 つのピア間に確立できます。 IKE ポリシーを指定するには、次の手順に従います。 1. IKE セキュリティ アソシエーションにおいて適応型セキュリティ アプライアンスが使用する暗号

化アルゴリズム（DES、3DES、または AES）、認証アルゴリズム（MD5 または SHA）、および

Diffie-Hellman グループ（1、2、または 5）を選択します。

（注） ASA 2 を設定する場合は、ASA 1 で選択した各オプションと同じ値を正確に入力します。

VPN トンネルが失敗し、処理速度を低下させる一般的な原因は、暗号化の不整合です。

手順

4：IPSec の Encryption パラメータおよび Authentication パラメータを設定する

1. 暗号化アルゴリズム（DES、3DES、または AES）および認証アルゴリズム（MD5 または SHA）を

選択します。

2. Next をクリックして続行します。

手順

5：ローカル ホストおよびネットワークを指定する

リモート サイト ピアとの通信にこの IPSec トンネルを使用することを許可するローカル サイトのホス

トおよびネットワークを指定します（リモート サイト ピアは後の手順で指定します）。

VPN Wizard の 5 ページで、Add または Delete をクリックして、ホストおよびネットワークを動的に追 加または削除します。現在のシナリオでは、ネットワーク A（10.10.10.0）からのトラフィックは ASA 1 によって暗号化され、VPN トンネル経由で送信されます。

VPN Wizard の 5 ページで、IPSec トンネルへのアクセスを許可するローカル ホストまたはネットワー クを指定します。次の手順に従います。 1. IP Address をクリックします。 2. ドロップダウン メニューから、インターフェイスとして inside または outside のいずれかを選択し ます。 3. IP アドレスとマスクを入力します。 4. Add をクリックします。 5. トンネルへのアクセスを許可するホストまたはネットワークごとに、ステップ 1 ～ ステップ 4 を 繰り返します。 6. Next をクリックして続行します。

手順

6：リモート ホストおよびネットワークを指定する

手順 5 で設定した、ローカル ホストおよびネットワークとの通信にこの IPSec トンネルを使用するこ とを許可するリモート サイトのホストおよびネットワークを指定します。Add または Delete をクリッ クして、ホストおよびネットワークを動的に追加または削除します。現在のシナリオにおいて、ASA 1 では、リモート ネットワークはネットワーク B（10.20.20.0）で、このネットワークからの暗号化され たトラフィックはトンネル経由で許可されます。 IPSec トンネルへのアクセスを許可するリモート ホストまたはネットワークを指定するには、次の手順 に従います。 1. IP Address をクリックします。

2. Interface ドロップダウン メニューから、インターフェイスとして inside または outside のいずれか

を選択します。

3. IP アドレスとマスクを入力します。 4. Add をクリックします。

5. トンネルへのアクセスを許可するホストまたはネットワークごとに、ステップ 1 ～ ステップ 4 を

手順

7：VPN アトリビュートを表示してウィザードを終了する

作成した VPN トンネルの設定リストを確認します。適切に設定されている場合は Finish をクリックし

て、適応型セキュリティ アプライアンスに設定変更を適用します。

次の作業

これで、ローカルの適応型セキュリティ アプライアンスの設定は完了です。次は、リモート サイトで 適応型セキュリティ アプライアンスを設定する必要があります。 リモート サイトでは、VPN ピアとしての役割を果たす 2 つ目の適応型セキュリティ アプライアンスを 設定します。設定手順は、ローカルの適応型セキュリティ アプライアンスを設定する場合と同じです。 P.40 の「手順 1：適応型セキュリティアプライアンスを 1 つ目のサイトで設定する」から開始し、P.49 の「手順 7：VPN アトリビュートを表示してウィザードを終了する」で終了します。 （注） ASA 2 を設定する場合は、ASA 1 で選択した各オプションと同じ値を正確に入力します。VPN 構成が失敗する一般的な原因は、不整合です。

5 オプションの SSM 設定と構成の手順

適応型セキュリティ アプライアンスは、シャーシに接続して追加機能を提供するオプションの Security Service Module（SSM; セキュリティ サービス モジュール）をサポートしています。この項では、4GE SSM と AIP SSM の設定と構成の手順について説明します。

4GE SSM の手順

4GE SSM には、8 個のイーサネット ポートがあります。10/100/1000 Mbps 用、銅線の RJ-45 ポートが 4 個、および 1000 Mbps 用着脱可能小型フォーム ファクタ（SFP）ファイバ ポートが 4 個です。同じ 4GE カードを使用して、銅線ポートとファイバ ポートを混合させることができます。 4GE SSM を購入された場合は、この項で示す手順を使用して次の作業を実行します。 • 使用するインターフェイスをケーブル接続する • 使用する SFP インターフェイスのメディア タイプ設定を変更する （注） デフォルトのメディア タイプ設定はイーサネットであるため、イーサネット インターフェイ スを使用する場合はメディア タイプ設定を変更する必要がありません。

手順

1：4GE SSM インターフェイスをケーブル接続する

4GE SSM インターフェイスをケーブル接続するには、ネットワーク デバイスに接続するポートごとに 次の手順に従います。 ステップ1 RJ-45（イーサネット）インターフェイスをネットワーク デバイスに接続するには、イン ターフェイスごとに次の作業を実行します。 a. アクセサリ キットから黄色のイーサネット ケーブルを見つけます。 b. ケーブルの一方の端を 4GE SSM のイーサネット ポートに接続します。

図7 イーサネット ポートへの接続 c. ケーブルのもう一方の端をネットワーク デバイスに接続します。 ステップ2 （オプション）SFP（光ファイバ）ポートを使用する場合は、SFP モジュールを取り付け、 ケーブル接続します（図8 を参照してください）。 a. SFP モジュールを、カチッという音が聞こえるまで SFP ポートに差し込み、スライド させます。カチッという音は、SFP モジュールがポートにロックされたことを示しま す。 b. 取り付けた SFP から光ポート プラグを取り外します。 c. 4GE SSM のアクセサリ キットから LC コネクタ（光ファイバ ケーブル）を見つけます。 d. LC コネクタを SFP ポートに接続します。 1 RJ-45（イーサネット）ポート 143597 MGMT USB2 Cisco SSM-4GE LNK SPD 0 1 2 3 POWERSTATUS MGMT USB2 USB1 Cisco SSM-4GE 1

図8 LC コネクタの接続 e. LC コネクタのもう一方の端をネットワーク デバイスに接続します。 SFP ポートをネットワーク デバイスに接続したら、各 SFP インターフェイスのメディア タイプ設定を 変更する必要もあります。次の「手順 2：（オプション）ファイバ インターフェイスの 4GE SSM メディ ア タイプを設定する」を実行します。

手順

2：

（オプション）ファイバ

インターフェイスの 4GE SSM メディア タイプを設定す

る

SFP インターフェイスの場合、それぞれのメディア タイプ設定をデフォルト設定（イーサネット）か らファイバ コネクタに変更する必要があります。 （注） デフォルトのメディア タイプ設定はイーサネットであるため、イーサネット インターフェイ スを使用する場合はメディア タイプ設定を変更する必要がありません。 1 _{LC コネクタ} 2 _{SFP モジュール} MGMT USB2 Cisco SSM-4GE LNK SPD 0 1 2 3 MGMT USB2 USB1 P OW ER STATUS 1 143647 2

ASDM を使用する SFP インターフェイスのメディア タイプを設定するには、メイン ASDM ページから 始まる次の手順に従います。

ステップ1 ASDM ウィンドウの最上部にある Configuration をクリックします。

ステップ2 ASDM ウィンドウの左側にある Interfaces 機能を選択します。

ステップ3 4GE SSM インターフェイスを選択し、Edit をクリックします。Edit Interface ダイアログ

ボックスが表示されます。

ステップ4 Configure Hardware Properties をクリックします。Hardware Properties ダイアログボック

スが表示されます。

ステップ5 Media Type ドロップダウン メニューをクリックし、Fiber Connector を選択します。

ステップ6 OK をクリックして Edit Interfaces ダイアログボックスに戻り、次に OK をクリックして

インターフェイス設定のダイアログボックスに戻ります。

ステップ7 この手順を、各 SFP インターフェイスに対して繰り返します。

メディア タイプはコマンドラインから設定することもできます。詳細については、『Cisco Security

Appliance Command Line Configuration Guide』の「Configuring Ethernet Settings and Subinterfaces」を参照 してください。

AIP SSM の手順

オプションの AIP SSM は、インライン モードまたは混合モードで追加のセキュリティ検査を提供する 高度な IPS ソフトウェアを実行します。セキュリティ アプライアンスは、パケットが出力インターフェ イスから送信される直前（または VPN 暗号化が設定されている場合は暗号化が行われる前）、および 他のファイアウォール ポリシーが適用された後に、パケットを AIP SSM に転送します。たとえば、ア クセス リストによってブロックされたパケットは、AIP SSM に転送されません。 AIP SSM を購入された場合は、この項で示す手順を使用して次の作業を実行します。 • 管理インターフェイスをケーブル接続する • AIP SSM に転送するトラフィックを指定するように適応型セキュリティ アプライアンスを設定す る • AIP SSM へのセッションを確立し、セットアップを実行する AIP SSM で実行される IPS ソフトウェアには多数の機能があり、このマニュアルではそれらの機能に ついて説明していません。詳細な設定情報については、次の別マニュアルを参照してください。

• Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface

• Cisco Intrusion Prevention System Command Reference

手順

1：AIP SSM 管理インターフェイスをケーブル接続する

AIP SSM 管理インターフェイスをケーブル接続するには、次の手順に従います。

ステップ1 アクセサリ キットから黄色のイーサネット ケーブルを見つけます。

ステップ2 ケーブルの一方の端を AIP SSM の管理ポートに接続します（図 9 を参照してください）。

図9 管理ポートへの接続

手順

2：AIP SSM にトラフィックを転送するように ASA 5500 を設定する

セキュリティ アプライアンスから AIP SSM に転送するトラフィックを指定するには、次の手順に

従います。

ステップ1 AIP SSM に転送するトラフィックを指定するには、class-map コマンドを使用してクラス

マップを追加します。詳細については、『Cisco Security Appliance Command Line Configuration Guide』の「Using Modular Policy Framework」を参照してください。

ステップ2 クラス マップ トラフィックを使用して実行するアクションを設定するポリシー マップ

を追加または編集するには、次のコマンドを入力します。

hostname(config)# policy-map name

1 管理ポート 2 RJ-45/RJ-45 ケーブル 143648 MGMT USB2 USB1 POWER STATUS LINK A CT SPEED 2 1

ステップ3 アクションを割り当てるクラス マップ（ステップ 1 で追加したもの）を指定するには、次 のコマンドを入力します。

hostname(config-pmap)# class class_map_name

ステップ4 AIP SSM にトラフィックを割り当てるには、次のコマンドを入力します。

hostname(config-pmap-c)# ips {inline | promiscuous} {fail-close |

fail-open} inline キーワードを指定すると、AIP SSM が直接トラフィック フローに置かれます。まず AIP SSM を通過し、そこで検査されなければ、トラフィックはセキュリティ アプライア ンスを通過できません。すべてのパケットは分析されたうえで通過を許可されるので、こ のモードは最も安全です。また、AIP SSM では、パケットごとにブロッキング ポリシー を実装できます。ただし、このモードはスループットに影響を与える可能性があります。 promiscuous キーワードを指定すると、トラフィックの重複したストリームが AIP SSM に 送信されます。このモードは安全性は劣りますが、トラフィックのスループットにはほと んど影響を与えません。インライン モードと異なり、AIP SSM がトラフィックをブロッ クできるのは、トラフィックを shun するようセキュリティ アプライアンスに指示する か、セキュリティ アプライアンスで接続をリセットする場合のみです。さらに、AIP SSM がトラフィックを分析している間、AIP SSM がブロックする前に少量のトラフィックが セキュリティ アプライアンスを通過する場合があります。 fail-close キーワードを指定すると、AIP SSM が使用できない場合、セキュリティ アプラ イアンスはすべてのトラフィックをブロックするように設定されます。 fail-open キーワードを指定すると、AIP SSM が使用できない場合、セキュリティ アプラ イアンスはすべてのトラフィックの通過を検査なしで許可するように設定されます。 ステップ5 1 つまたは複数のインターフェイスでポリシー マップを有効にするには、次のコマンドを 入力します。

hostname(config)# service-policy policymap_name {global | interface

interface_name} global を指定すると、すべてのインターフェイスにポリシー マップが適用され、interface を指定すると、1 つのインターフェイスにポリシーが適用されます。使用できるグローバ ル ポリシーは、1 つに限られます。インターフェイスのグローバル ポリシーを無効にす るには、そのインターフェイスにサービス ポリシーを適用します。各インターフェイス に適用できるポリシー マップは、1 つだけです。

次の例では、すべての IP トラフィックは AIP SSM に混合モードで転送され、何らかの原因で AIP SSM カードに障害が発生した場合、IP トラフィックはすべてブロックされます。

hostname(config)# access-list IPS permit ip any any hostname(config)# class-map my-ips-class

hostname(config-cmap)# match access-list IPS hostname(config-cmap)# policy-map my-ids-policy hostname(config-pmap)# class my-ips-class

hostname(config-pmap-c)# ips promiscuous fail-close

hostname(config-pmap-c)# service-policy my-ips-policy global

手順

3：AIP SSM へのセッションを確立し、セットアップを実行する

トラフィックを AIP SSM に転送するように ASA 5500 シリーズ適応型セキュリティ アプライアンスを 設定し終えたら、AIP SSM へのセッションを確立して初期設定用のセットアップ ユーティリティを実 行します。 （注） 適応型セキュリティ アプライアンスから（session 1 コマンドを使用して）AIP SSM へのセッ ションを確立することも、管理インターフェイス上で SSH または Telnet を使用して直接 AIP SSM に接続することもできます。または、ASDM の使用も可能です。 適応型セキュリティ アプライアンスから AIP SSM にセッションを確立するには、次の手順に従います。 ステップ1 ASA 5500 シリーズ適応型セキュリティ アプライアンスから AIP SSM にセッションを確 立するには、session 1 コマンドを入力します。 hostname# session 1

Opening command session with slot 1.

Connected to slot 1. Escape character sequence is 'CTRL-^X'.

ステップ2 ユーザ名とパスワードを入力します。デフォルトのユーザ名とパスワードはどちらも

cisco です。

（注） AIP SSM に初めてログインしたとき、デフォルトのパスワードを変更するよう求められま