オペレーションマニュアル

オペレーションマニュアルでは、目的に合わせた設定や操作手順、運用のヒント、設定事例をご紹介しています。

管理ツール(管理GUI)

Cisco ASDM-IDM Lancher

ファイアウォールの管理GUIは、専用のランチャーアプリを使用します。

インストール

ファイアウォール専用のランチャーアプリ「ADSM-IDM Lancher」をインストールします。


  1. コントロールパネル画面左メニューより「アプライアンス」の「ファイアウォール」をクリック
  2. 右上の「設定」をクリックし、開いたメニューより「管理GUIを開く」をクリックすると「Cisco ASDM」の画面が開きます
  3. 「Install ASDM Launcher」をクリックします。

  4. インストールファイルをダウンロードし、 ASDM Launcher のインストールを開始します。
  5. インストールウィザードが開きますので指示の通りインストールを行います。
    「Finish」まで進めばインストールが完了となります。

画面説明

ファイアウォールの管理GUIは、Cisco ASDM-IDM Lancherを起動し画面上部のメニューから操作します。
../../../_images/fw_operaton_view_1.png

画面サンプル:メニューバー(拡大)

Home

ホーム画面へ移動します。
この画面では、リソース、トラフィック、ログなどの情報を一覧で確認できるダッシュボードです。

Configuration

ファイアウォールの設定(コンフィグ)の確認や操作を行います

Monitoring

ログやセッション、収集したデータのグラフ化など、機器のモニタリング情報を見ることができます

Save

「Configuration」などで、おこなったファイアウォールの設定を保存します。
何か操作・変更した後は必ずこのボタンで保存しましょう。

Refresh

「Cisco ASDM-IDM Launcher」画面を最新情報に更新(リフレッシュ)します

Back

一つ前の画面へ戻ります

Foward

一つ先の画面へ進みます

help

ベンダーの操作マニュアルを開きます。
わからない操作があるときは参照しましょう。

基本操作

この項目では、管理GUIでよく行われる操作についてご紹介します。
管理GUI画面の基本的な機能についてはベンダーのサイトをご覧ください。

ログイン

管理GUIを開くまでの操作です。


  1. 「Cisco ASDM-IDM Launcher」を起動します。

  2. ユーザー認証画面が表示されるので、ユーザー情報を入力し、「OK」ボタンをクリックします。

  3. ログイン情報を入力します。

    Device IP Address / Name

    コントロールパネル>アプライアンス>ファイアウォール詳細の
    アウトサイドIPアドレス(サブネットマスクを除く) を入力

    Username

    コントロールパネル>アプライアンス>ファイアウォール詳細の
    ユーザー名 を入力

    Password

    コントロールパネル>アプライアンス>ファイアウォール詳細>設定>管理ユーザーで
    ご自身が設定したパスワード を入力

操作リファレンス

IPv4、IPv6 のアクセスリストを確認する確認

設定されているファイアウォールを通るIPv4、IPv6 トラフィックのアクセス制限を確認する手順です。


  1. メニューの「Configuration」ボタンを押します。
  2. 左側のメニューカテゴリーから「Firewall」を押します。
  3. 左側のツリーメニューから「Access Rules」を選択します。
  4. 右側にアクセスルール一覧が表示されます。

IPv4、IPv6 のアクセスリストを設定する

ファイアウォールを通るIPv4、IPv6 トラフィックのアクセス制限を設定する手順です。


  1. 上側の「Configuration」ボタンを押します。
  2. 左下側の「Firewall」タブを押します。
  3. 左側のツリーメニューから「Access Rules」を選択します。

  4. 表示されたアクセスリストの上側にある「Add」メニューをクリックして、「Add Access Rule」を選択します。

  5. 「Add Access Rule」画面で必要事項を入力し、「OK」ボタンを押します。
  6. 最後にアクセスルール一覧の下側にある「Apply」ボタンを押して設定を反映させます。

アクセス数の制限設定

ファイアウォールを通るトラフィックのアクセス数を確認する手順です。


  1. 上側の「Configuration」ボタンを押します。
  2. 左下側の「Firewall」タブを押します。
  3. 左側のツリーメニューから「Service Policy Rules」を選択します。

  4. サービスポリシールール一覧の上側にある「Add」ボタンを押します。
    「Add Service Policy Rule Wizard」が表示されます。

  5. ウィザード「Service Policy」ステップで必要項目を選択し、「Next」ボタンを押します。

    Interface

    ポリシーを投入するインターフェース名を選択

  6. ウィザード「Traffic Classification Criteria」ステップで必要事項を入力し、「Next」ボタンを押します。

    Create a new traffic class

    クラス名を入力(任意の文字列)

    Traffic Match Criteria

    TCP、UDP トラフィックの場合は「TCP or UDP Destination Port」を選択

  7. ウィザード「Traffic Match - Destination Port」ステップで必要事項を入力し、「Next」ボタンを押します。

    Protocol

    「TCP」か「UDP」を選択

    service

    「ポート番号」を直接入力するか「…」からサービスを選択

  8. ウィザード「Rule Actions」ステップで「Connection Settings」タブを選択し必要事項を入力します。
    入力した後に「Finish」ボタンを押します。

  9. 最後にサービスポリシー一覧の下側にある「Apply」ボタンを押して設定を反映させます。

管理ツール(管理CLI)

基本操作とヘルプ

ログイン

ファイアウォールの管理CLIへのログインは、ターミナルソフトを用いて、SSH経由でログインします。

# ssh [管理ユーザー]@[接続先IPアドレス]

管理ユーザー

コントロールパネル>アプライアンス>ファイアウォール詳細の
ユーザー名 を入力

管理パスワード

コントロールパネル>アプライアンス>ファイアウォール詳細>設定>管理ユーザーで
ご自身が設定したパスワード を入力

接続先IPアドレス

コントロールパネル>アプライアンス>ファイアウォール詳細の
アウトサイドIPアドレス(サブネットマスクを除く) を入力
  • SSHセッションは1セキュリティコンテキストあたり最大2セッションまで接続できます。

  • SSHセッションはファイアウォール全体で同時接続の制限がございます。他ユーザーのセッション状況により、SSH経由でログインできない場合があります。

ログアウト

ユーザEXECモードか特権EXECモードでexitを入力するとログアウトします。 グローバルコンフィギュレーションモードでexitした場合は、一つ前の特権EXECモードに戻ります。

(config)# exit         ← グローバルコンフィギュレーションモードでexitすると一つ前の特権EXECモードへ
#

タブ補完

コマンド入力中に「TAB」キーを入力するとタブ補完機能を利用することができます。

> show v [TAB]を押す
↓ 補完されます
> show version

ヘルプ機能

ターミナルから「?」を押すことでヘルプが表示されます。

> ?

  clear       Reset functions
  enable      Turn on privileged commands
  exit        Exit from the EXEC
  help        Interactive help for commands
  login       Log in as a particular user
  logout      Exit from the EXEC
  no          Negate a command or set its defaults
  ping        Send echo messages
  quit        Exit from the EXEC
  show        Show running system information
  traceroute  Trace route to destination

コマンドに続けて「?」を押すと、そのコマンドに関するヘルプが表示されます。

> show ?

  checksum        Display configuration information cryptochecksum
  community-list  List community-list
  curpriv         Display current privilege level
  history         Display the session command history
  policy-list     List IP Policy list
  prefix-list     List IP prefix lists
  version         Display system software version

操作モードの切り替え

管理CLIでは、操作する内容に応じて権限の昇格や操作モードの切り替えが必要です。 モード・権限状態によってプロンプトが変わります。

モード

プロンプト

昇格コマンド

ユーザEXECモード

>

ログインしてすぐの状態

特権EXECモード

#

ユーザEXECモードで権限昇格コマンドを発行し、管理パスワードを入力

> enable
Password: (管理パスワード入力)
#

グローバルコンフィギュレーションモード

(config)#

特権EXECモードで権限切り替えコマンドを入力

# configure terminal
(config)#
  • グローバルコンフィギュレーションモードから「exit」で特権EXECモードへ権限を降格することができます。

  • 特権EXECモードかユーザEXECモードで「exit」することで管理ツールからログアウトします。

操作リファレンス

グローバルコンフィギュレーションモードへの切り替え

設定変更を行うときは、「特権EXECモード」に昇格した後「グローバルコンフィギュレーションモード」へ移らなければなりません。 グローバルコンフィギュレーションモードではプロンプトに「(config)」が表示されるようになります。

# configure terminal
(config)#(グローバルコンフィギュレーションモード)

現在のコンフィグを確認する

現在の設定は running-configコマンドで確認します。

# show running-config
: Saved

:
: Hardware:   FPR4K-SM-36
:
(以下略)

:end

続けて単語を入力することで、内容を絞り込みすることができます。

# show running-config logging
logging enable
logging timestamp
logging buffered notifications
(以下略)

コンフィグを削除する

グローバルコンフィギュレーションモードから設定したコンフィグの先頭に「no」を追加して再投入すると削除できます。

(config)# no logging timestamp

コンフィグを保存する

操作した内容を保存するには「write memory」を実行します。

# write memory
Building configuration...
Cryptochecksum: e26cbc51 1b0793cd fcdf8b27 c0f5f927
5208 bytes copied in 0.110 secs
[OK]

管理パスワードを変更する

管理ユーザーのパスワード変更はグローバルコンフィギュレーションモードから下記のように行います。

(config)# username [管理ユーザー] password [パスワード]

特権EXECモード昇格(enableコマンド)のパスワード変更は下記のように行います。

(config)# enable password [パスワード]

管理ツールのアクセス制限設定

必要があれば、管理ツールのアクセス制限を行ってください。

管理ツール(管理CLI)のアクセス制限

グローバルコンフィギュレーションモードから、このコマンドでアウトサイドインターフェースにアクセス制限を設定します。

コマンド書式
 (config)# ssh [IP アドレス] [サブネットマスク] outside
入力例
 (config)# ssh 203.0.113.0 255.255.255.0 outside  ← アクセスを許可したいアドレスを設定します
 (config)# show running-config ssh                ← 設定確認
 ssh stricthostkeycheck
 203.0.113.0 255.255.255.0 outside
 ...
 ...

Note

設定を誤ってアクセスできなくなった場合は、管理ツール(管理GUI)にログインして設定変更を行ってください。

管理ツール(管理GUI)のアクセス制限

グローバルコンフィギュレーションモードから、このコマンドでアウトサイドインターフェースにアクセス制限を設定します。

入力例
 (config)# http [IP アドレス] [サブネットマスク] outside
入力例
 (config)# http 203.0.113.0 255.255.255.0 outside ← アクセスを許可したいアドレスを設定します
 (config)# show running-config http               ← 設定確認
 http server enable
 http server session-timeout 5
 http 203.0.113.0 255.255.255.0 outside
 ...
 ...

アクセスリストを確認する

「access-list」でアクセスリスト(制限)が確認できます。 アクセスリストは「line」の小さい順番に適用されます。

# show access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list fw-rule; 13 elements; name hash: 0x69ee2d6a
access-list fw-rule line 1 extended permit icmp any4 any4 (hitcnt=2545) 0xc9cbeacf
access-list fw-rule line 2 extended permit tcp any4 any4 eq ssh (hitcnt=2104) 0x63788caa
access-list fw-rule line 3 extended permit tcp any4 any4 eq 3389 (hitcnt=120) 0xe5c2ef55
access-list fw-rule line 4 extended permit tcp any4 any4 eq 5900 (hitcnt=15) 0xfcc1d9bf
access-list fw-rule line 5 extended permit tcp any4 any4 eq 10000 (hitcnt=66) 0x50e776db
access-list fw-rule line 6 extended permit udp any4 any4 eq snmp (hitcnt=43) 0xadee6a07
access-list fw-rule line 7 extended permit tcp any4 any4 eq www (hitcnt=216) 0x3636f2ba
access-list fw-rule line 8 extended permit tcp any4 any4 eq https (hitcnt=77) 0x5e09814e
access-list fw-rule line 9 extended permit tcp any4 any4 eq smtp (hitcnt=67) 0x52b4536f
access-list fw-rule line 10 extended permit tcp any4 any4 eq 587 (hitcnt=21) 0x3ca23d3f
access-list fw-rule line 11 extended permit tcp any4 any4 eq pop3 (hitcnt=3) 0x050a61f5
access-list fw-rule line 12 extended permit tcp any4 any4 eq 995 (hitcnt=16) 0x6ee3fe29
access-list fw-rule line 13 extended deny 112 any any log disable (hitcnt=0) 0x3479d92a
access-list fw-rule line 14 extended permit icmp6 any6 any6 (hitcnt=0) 0x69e4b8e2
access-list fw-rule line 15 extended permit tcp any6 any6 eq www (hitcnt=0) 0x3d057a17

アクセスリストが適用されなかったトラフィックには標準のアクセス制限が適用されます。 標準のアクセス制限は以下のとおりです。

トラフィックの方向

標準のアクセス制限

アウトサイドインターフェース ⇒ インサイドインターフェース

ブロック

インサイドインターフェース ⇒ アウトサイドインターフェース 許可

許可

アクセスリストの設定

IPv4を設定する

ファイアウォールを通るIPv4 トラフィックのアクセス制限設定は以下の順番で行います。

  1. アクセスリストを作成する

  2. アクセスリストをインターフェースのトラフィックに適用する

許可アクセスリストを作成する場合はグローバルコンフィギュレーションモードから以下のように設定します。

(config)# access-list [アクセスリスト名] extended permit [プロトコル] [接続元(from)] [接続先(to)] [オプション]

アクセスリストのインターフェースへの適用は以下のように設定します。

(config)# access-group [アクセスリスト名] [適用するトラフィック] interface [適用するインターフェース]

Note

コマンドの詳細な使い方はベンダーマニュアルをご確認ください。

設定例 ここでは 出荷時に設定済みの「fw-rule」に対してルールを追加する方法を説明します。 「fw-rule」はアウトサイドインターフェースのインバウンドトラフィックに適用されており、fw-ruleへ設定を追加するとアクセス制限が反映されます。

接続元 203.0.113.0/24 のアウトサイド側からのトラフィックをすべて許可
(config)# access-list fw-rule extended permit ip 203.0.113.0 255.255.255.0 any4
IMAP 接続のアウトサイド側からのトラフィックをすべて許可
 (config)# access-list fw-rule extended permit tcp any4 any4 eq 143

IPv6を設定する

ファイアウォールを通るIPv6トラフィックのアクセス制限設定もIPv4 同様に以下の順番で行います。

  1. アクセスリストを作成する

許可アクセスリストを作成する場合は以下のように設定します。

書式
 (config)# access-list [アクセスリスト名] permit [プロトコル] [接続元] [接続先] [オプション]

ここでは作成済みのアクセスリストfw-ruleにIPv6のアクセスリストの追加するには以下のようになります。

HTTP接続のアウトサイド側からのIPv6トラフィックをすべて許可
 (config)# access-list fw-rule permit tcp any6 any6 eq www

Note

コマンドの詳細な使い方はベンダーマニュアルをご確認ください。

アクセス数の制限

ファイアウォールを通過するトラフィックのアクセス数を制限することで、DoS攻撃の対策となります。
最大接続数を小さくしすぎると正規のトラフィックまで制限することになるので、設定には注意が必要です。

提供時に制限を行っているトラフィックがありますので、運用状況を見ながら最大接続数の見直しを行いましょう。

アクセス数の制限は以下の順番で行います。

  1. クラスマップを作成

  2. ポリシーマップを作成し、クラスマップを登録

  3. クラスマップに接続制限を設定

  4. インターフェースにポリシーマップを適用

(設定例)接続数の制限

tcp/80のトラフィックに接続数制限を設定する設定例です。


1.グローバルコンフィギュレーションモードから tcp/80 番ポートのトラフィックに適用されるクラスマップを作成します。
(config)# class-map http_traffic
(config-cmap)# match port tcp eq 80

2.ポリシーマップを作成し、http_traffic クラスマップを適用します。
(config-cmap)# policy-map outside_policy
(config-pmap)# class http_traffic

3.http_traffic クラスマップに接続数制限を設定します。
(config-pmap-c)# set connection conn-max 2000

4.アウトサイドインターフェースにoutside_policy ポリシーマップを適用します。
(config-pmap-c)# service-policy outside_policy interface outside

(設定例)アクセス数設定の変更

SMTP(tcp/25)トラフィックの最大同時接続数を500に変更する場合の設定例です。

(config)# policy-map outside_policy
(config-pmap)# class smtp_traffic
(config-pmap-c)# set connection conn-max 500

ログを確認する

# show logging
Syslog logging: enabled
Facility: 20
Timestamp logging: enabled
Standby logging: disabled
...
...

セッション情報を確認する

# show conn all
7 in use, 27 most used
TCP outside 203.0.113.2:45404 NP Identity Ifc 203.0.113.3:22, idle 0:00:00, bytes 141692,
flags UOB
...
...