このドキュメントでは、アプリケーションのグローバル ポリシーからデフォルト インスペクションを削除する方法およびデフォルト以外のアプリケーションのインスペクションを有効にする方法を説明します。
このドキュメントに関する固有の要件はありません。
このドキュメントの情報は、7.x ソフトウェア イメージを実行している Cisco 適応型セキュリティ アプライアンス(ASA)に基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
この設定は、7.x ソフトウェア イメージを実行している PIX セキュリティ アプライアンスでも使用できます。
表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
デフォルトでは、すべてのデフォルト アプリケーション インスペクション トラフィックに一致するポリシーが設定に含まれ、特定のインスペクションがすべてのインターフェイスのトラフィックに適用されます(グローバル ポリシー)。すべてのインスペクションがデフォルトでイネーブルになっているわけではありません。適用できるグローバル ポリシーは 1 つだけです。グローバル ポリシーを変更する場合は、デフォルト ポリシーを編集するか無効にし、新しいポリシーを適用する必要があります。(インターフェイス ポリシーはグローバル ポリシーに優先します)。
デフォルト ポリシー設定には、次のコマンドが含まれています。
class-map inspection_default match default-inspection-traffic policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp service-policy global_policy global
Cisco ASA でデフォルト以外のアプリケーション インスペクションを有効にするには、次の手順を実行します。
ASDM にログインします。[Configuration] > [Firewall] > [Service Policy Rules] に移動します。
デフォルト クラスマップとデフォルト ポリシーマップが含まれるグローバル ポリシーの構成は維持する一方、ポリシーをグローバルに削除する場合は、[Tools] > [Command Line Interface] に移動し、ポリシーをグローバルに削除するために no service-policy global-policy global コマンドを使用します。それから [Send] をクリックして、このコマンドを ASA に適用します。
注:この手順では、グローバルポリシーはAdaptive Security Device Manager(ASDM)では非表示になりますが、CLIでは表示されます。
以下に示すように、[Add] をクリックし、新しいポリシーを追加します。
[Interface] の横のオプション ボタンがオンになっていることを確認してから、ポリシーを適用するインターフェイスをドロップダウン メニューから選択します。次に、[Policy Name] と [Description] に入力します。[Next] をクリックします。
HTTPは TCP で定義されているため、TCP トラフィックと一致する新規クラスマップを作成します。[Next] をクリックします。
プロトコルとして TCP を選択します。
[Service] として HTTP ポート 80 を選択し、[OK] をクリックします。
[HTTP] を選択し、[Finish] をクリックします。
[Apply] をクリックし、設定の変更を ASDM から ASA に送信します。これで、設定は完了です。
設定を検証するには、次の show コマンドを使用します。
show run class-map コマンドを使用して、設定されているクラス マップを表示します。
ciscoasa# sh run class-map ! class-map inspection_default match default-inspection-traffic class-map outside-class match port tcp eq www !
show run class-map コマンドを使用して、設定されているポリシーマップを表示します。
ciscoasa# sh run policy-map ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp policy-map outside-policy description Policy on outside interface class outside-class inspect http !
show run service-policy コマンドを使用して、設定されているサービス ポリシーを表示します。
ciscoasa# sh run service-policy service-policy outside-policy interface outside
改定 | 発行日 | コメント |
---|---|---|
1.0 |
25-Nov-2010 |
初版 |