Firepower Management Center バージョン 6.3 コンフィギュレーションガイド

Firepower Threat Defense リモートアクセス VPN の概要

Firepower Threat Defense は、リモートアクセス SSL と IPsec-IKEv2 VPN をサポートするセキュアなゲートウェイ機能を提供します。完全なトンネルクライアントである AnyConnect Secure Mobility Client[AnyConnectSecureMobilityClient] は、セキュリティゲートウェイへのセキュアな SSL および IPsec-IKEv2 接続をリモートユーザに提供します。AnyConnect はエンドポイントデバイスでサポートされている唯一のクライアントで、Firepower Threat Defense デバイスへのリモート VPN 接続が可能です。このクライアントにより、ネットワーク管理者がリモートコンピュータにクライアントをインストールして設定しなくても、リモートユーザは SSL または IPsec-IKEv2 VPN クライアントを活用できます。Windows、Mac、および Linux 用の AnyConnect モバイルクライアントは、接続時にセキュアゲートウェイから展開されます。Apple iOS デバイスおよび Android デバイス用の AnyConnect アプリは、当該プラットフォームのアプリストアからインストールされます。

Firepower Management Center の [リモートアクセスVPNポリシー（Remote Access VPN Policy）] ウィザードを使用して、SSL と IPsec-IKEv2 リモートアクセス VPN を基本機能とともに迅速かつ容易にセットアップします。次に、必要に応じてポリシー設定を強化し、Firepower Threat Defense セキュアゲートウェイデバイスに展開します。

リモートアクセス VPN ポリシーを使用して、次の設定を構成できます。

二要素認証
承認を得るための LDAP または Active Directory の設定
VPN セッションでのパスワード変更の管理
RADIUS サーバへのアカウンティングレコードの送信
許可サーバによるグループポリシーまたはその他の属性の選択のオーバーライド
- ユーザグループへの VPN アクセスの拒否
- ユーザグループに対する接続プロファイルの選択の制限

次の例を使用して、VPN ユーザに限定帯域幅を割り当てたり、ユーザ ID ベースのアクセスコントロールルールに VPN ID を使用したりできます。

ユーザあたりの AnyConnect 帯域幅を制限する方法
ユーザ ID ベースのアクセスコントロールルールに VPN アイデンティティを使用する方法

リモートアクセス VPN の機能

次の項では、Firepower Threat Defense のリモートアクセス VPN の機能について説明します。

Cisco AnyConnect セキュアモビリティクライアントを使用した SSL および IPsec-IKEv2 リモートアクセス。
Firepower Management Center IPv4 トンネル上の IPv6 など、すべての組み合わせがサポートされています。
FMC と FDM の両方での設定サポート。デバイス固有のオーバーライド。
Firepower Management Center および FTD 両方の HA 環境をサポート。
複数のインターフェイスと複数の AAA サーバのサポート。
Rapid Threat Containment では、RADIUS CoA または RADIUS ダイナミック認証の使用がサポートされています。

AAA

自己署名または CA 署名のアイデンティティ証明書を使用したサーバ認証。
RADIUS サーバ、LDAP、または AD を使用する AAA ユーザ名とパスワードベースのリモート認証。
RADIUS グループとユーザ承認属性、および RADIUS アカウンティング。
VPN ID を使用した NGFW アクセス制御の統合。

VPN トンネリング

アドレス割り当て
スプリットトンネリング
スプリット DNS
クライアントファイアウォール ACL
最大接続およびアイドル時間のセッションタイムアウト

モニタリング（Monitoring）

期間、クライアントアプリケーションなどのさまざまな特性によって VPN ユーザを表示する新しい VPN ダッシュボードウィジェット。
ユーザ名や OS プラットフォームなどの認証情報を含むリモートアクセス VPN イベント。
FTD 統合 CLI により利用可能なトンネル統計。

AnyConnect のコンポーネント

AnyConnect Secure Mobility Client[AnyConnectSecureMobilityClient]導入

リモートアクセス VPN ポリシーに、接続エンドポイントに配布するための AnyConnect クライアントイメージおよび AnyConnect クライアントプロファイルを含めることができます。または、クライアントソフトウェアを他の方法で配布できます。『Cisco AnyConnect Secure Mobility Client Administrator Guide』の該当するバージョンで、「Deploy AnyConnect」の章を参照してください。

事前にクライアントがインストールされていない場合、リモートユーザは、SSL または IPsec-IKEv2 VPN 接続を受け入れるように設定されているインターフェイスの IP アドレスをブラウザに入力します。セキュリティアプライアンスが http:// 要求を https:// にリダイレクトするように設定されている場合を除いて、リモートユーザは https://address の形式で URL を入力する必要があります。URL を入力すると、ブラウザがそのインターフェイスに接続して、ログイン画面が表示されます。

ユーザログイン後、セキュアゲートウェイは VPN クライアントを必要としているとユーザを識別すると、リモートコンピュータのオペレーティングシステムに一致するクライアントをダウンロードします。ダウンロード後、クライアントは自動的にインストールと設定を行い、セキュアな接続を確立します。接続の終了時には、（セキュリティアプライアンスの設定に応じて）そのまま残るか、または自動的にアンインストールを実行します。以前にインストールされたクライアントの場合、ログイン後、Firepower Threat Defense セキュリティゲートウェイはクライアントのバージョンを検査し、必要に応じてアップグレードします。

AnyConnect Secure Mobility Client[AnyConnectSecureMobilityClient] 操作

クライアントがセキュリティアプライアンスとの接続をネゴシエートする場合、クライアントは、Transport Layer Security（TLS）、および任意で Datagram Transport Layer Security（DTLS）を使用して接続します。DTLS により、一部の SSL 接続で発生する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイムアプリケーションのパフォーマンスが向上します。

IPsec-IKEv2 VPN クライアントがセキュアゲートウェイへの接続を開始すると、インターネットキーエクスチェンジ（IKE）によるデバイスの認証と、続く IKE 拡張認証（Xauth）によるユーザ認証からなるネゴシエーションが行われます。グループプロファイルが VPN クライアントにプッシュされ、IPsec セキュリティアソシエーション（SA）が作成されて VPN が完了します。

AnyConnect クライアントプロファイルおよびエディタ

AnyConnect クライアントプロファイルは、設定パラメータのグループで、動作や表示の設定に VPN クライアントが使用する XML ファイル内に保存されます。これらのパラメータ（XML タグ）には、ホストコンピュータの名前とアドレス、および追加のクライアント機能を有効にする設定が含まれています。

AnyConnect プロファイルエディタを使用してプロファイルを設定できます。このエディタは、AnyConnect ソフトウェアパッケージの一部として利用できる便利な GUI ベースの設定ツールです。これは、Firepower Management Center の外部から実行する独立したプログラムです。

リモートアクセス VPN 認証

リモートアクセス VPN サーバ認証

Firepower Threat Defense セキュアゲートウェイは、VPN クライアントのエンドポイントに対して自身を特定し、認証するために必ず証明書を使用します。

ウィザードを使用してリモートアクセス VPN 構成を設定するときに、選択した証明書を対象の Firepower Threat Defense デバイスに登録できます。ウィザードの [アクセスおよび証明書（Access & Certificate）] フェーズで、[選択した証明書オブジェクトをターゲットデバイスに登録する（Enroll the selected certificate object on the target devices）] オプションを選択します。証明書の登録は、指定したデバイス上で自動的に開始されます。リモートアクセス VPN の構成が完了すると、デバイス証明書のホームページで登録した証明書のステータスを確認できます。ステータスは、証明書の登録が成功したかどうかを明確に示します。これで、リモートアクセス VPN の設定が完了し、導入の準備ができました。

PKI の登録とも呼ばれる、セキュアゲートウェイの証明書の取得については、Firepower Threat Defense Certificate ベースの認証で説明しています。この章には、ゲートウェイ証明書の設定、登録、および管理の詳細な説明が含まれています。

リモートアクセス VPN のクライアント AAA

SSL と IPsec-IKEv2 の両方について、リモートユーザ認証はユーザ名とパスワードのみ、証明書のみ、あるいはこの両方を使用して実行されます。

（注）

展開でクライアント証明書を使用している場合は、Firepower Threat Defense または Firepower Management Center に関係なく、クライアントのプラットフォームにこれらの証明書を追加する必要があります。クライアントに証明書を入力するために、SCEP や CA サービスなどの機能は提供されません。

AAA サーバでは、セキュアゲートウェイとして機能する管理対象デバイスが、ユーザの身元（認証）、ユーザが許可されていること（認可）、およびユーザが行ったこと（アカウンティング）を確認できます。AAA サーバの例としては、RADIUS、LDAP/AD、TACACS+、Kerberos などがあります。Firepower Threat Defense デバイス上のリモートアクセス VPN では、AD、LDAP、および RADIUS AAA サーバが認証のためにサポートされています。認証サーバとアカウンティングサーバには、RADIUS サーバのみを構成して使用できます。リモートアクセス VPN の認可の詳細については、「権限および属性のポリシー実施の概要」の項を参照してください。

（注）

リモートアクセス VPN ポリシーを追加または編集する前に、指定するレルムおよび RADIUS サーバグループを設定する必要があります。詳細については、レルムの作成およびRADIUS サーバグループを参照してください。

DNS が設定されていないと、デバイスは AAA サーバ名、名前付き URL、および FQDN またはホスト名を持つ CA サーバを解決できません。解決できるのは IP アドレスのみです。

リモートユーザから提供されるログイン情報は、LDAP または AD レルムまたは RADIUS サーバグループによって検証されます。これらのエンティティは、Firepower Threat Defense セキュアゲートウェイと統合されます。

（注）

ユーザが認証ソースとして Active Directory を使用して RA VPN で認証を受ける場合、ユーザは自分のユーザ名を使用してログインする必要があります。domain\username または username@domain 形式は失敗します。（Active Directory はこのユーザ名をログオン名、または場合によっては sAMAccountName と呼んでいます）。詳細については、MSDN でユーザの命名属性 [英語] を参照してください。

認証に RADIUS を使用する場合、ユーザは前述のどの形式でもログインできます。

VPN 接続経由で認証されると、リモートユーザには VPN ID が適用されます。この VPN ID は、そのリモートユーザに属しているネットワークトラフィックを認識し、フィルタリングするために Firepower Threat Defense のセキュアゲートウェイ上のアイデンティティポリシーで使用されます。

アイデンティティポリシーはアクセスコントロールポリシーと関連付けられ、これにより、誰がネットワークリソースにアクセスできるかが決まります。リモートユーザがブロックされるか、またはネットワークリソースにアクセスできるかはこのようにして決まります。

詳細については、アイデンティティポリシーについておよびアクセスコントロールポリシーの開始のセクションを参照してください。

権限および属性のポリシー実施の概要

Firepower Threat Defense デバイスは、外部認証サーバおよび/または承認 AAA サーバ（RADIUS）から、あるいは Firepower Threat Defense デバイス上のグループポリシーから、ユーザ承認属性（ユーザの権利または権限とも呼ばれる）を VPN 接続に適用することをサポートしています。Firepower Threat Defense デバイスがグループポリシーに設定されている属性と競合する外部 AAA サーバから属性を受信した場合は、AAA サーバからの属性が常に優先されます。

Firepower Threat Defense デバイスは次の順序で属性を適用します。

外部 AAA サーバ上のユーザ属性：ユーザ認証や認可が成功すると、サーバからこの属性が返されます。
Firepower Threat Defense デバイス上で設定されているグループポリシー：RADIUS サーバからユーザの RADIUS CLASS 属性 IETF-Class-25（OU=group-policy）の値が返された場合は、Firepower Threat Defense デバイスはそのユーザを同じ名前のグループポリシーに入れて、そのグループポリシーの属性のうち、サーバから返されないものを適用します。
接続プロファイル（トンネルグループと呼ばれる）で割り当てられたグループポリシー：接続プロファイルには、接続の事前設定と、認証前にユーザに適用されるデフォルトのグループポリシーが含まれています。

（注）

Firepower Threat Defense デバイスは、デフォルトのグループポリシー DfltGrpPolicy から継承したシステムデフォルト属性をサポートしていません。前述のとおり、ユーザ属性または AAA サーバのグループポリシーによって上書きされない場合、接続プロファイルに割り当てられたグループポリシーの属性がユーザセッションに使用されます。

AAA サーバ接続の概要

LDAP、AD、および RADIUS AAA サーバは、ユーザ識別処理のみの場合、VPN 認証のみの場合、またはそれら両方の場合に、Firepower Threat Defense デバイスから到達できる必要があります。AAA サーバは、次のアクティビティのためにリモートアクセス VPN で使用されます。

ユーザ識別処理：サーバは管理インターフェイスを介して到達できる必要があります。

Firepower Threat Defense デバイスの管理インターフェイスには、VPN で使用される通常のインターフェイスとは別のルーティングプロセスと設定があります。

VPN 認証：サーバは通常のインターフェイス（診断インターフェイスまたはデータインターフェイス）のいずれかを介して到達できる必要があります。

通常のインターフェイスでは、2 つのルーティングテーブルが使用されます。診断インターフェイス用および管理専用に設定されたその他のインターフェイス用の管理専用ルーティングテーブルと、データインターフェイスに使用されるデータルーティングテーブルです。ルートルックアップが完了すると、管理専用ルーティングテーブルが最初にチェックされ、次にデータルーティングテーブルがチェックされます。最初の照合は、AAA サーバに到達するように選択されます。

（注）

データインターフェイスに AAA サーバを配置する場合は、管理専用ルーティングポリシーがデータインターフェイス宛てのトラフィックと一致しないようにしてください。たとえば、診断インターフェイスを介するデフォルトルートがある場合、トラフィックが決してデータルーティングテーブルにフォールバックしないように注意してください。show route management-only コマンドと show route コマンドを使用してルーティングの決定を確認します。

同じ AAA サーバ上の両方のアクティビティについて、ユーザ識別処理用の管理インターフェイスを介してサーバに到達可能にすることに加え、次のいずれかを実行して、同じ AAA サーバへの VPN 認証アクセスを確保します。

管理インターフェイスと同じサブネット上の IP アドレスを使用して診断インターフェイスを有効にして設定し、インターフェイスを介した AAA サーバへのルートを設定します。診断インターフェイスのアクセスは、VPN アクティビティ、識別処理のための管理インターフェイスのアクセスに使用されます。

（注）

このように構成すると、診断インターフェイスおよび管理インターフェイスと同じサブネット上にデータインターフェイスを設定することもできません。管理インターフェイスとデータインターフェイスが同じネットワーク上に必要な場合（たとえば、デバイス自体をゲートウェイとして使用する場合）でも、診断インターフェイスは無効のままでなければならないため、このソリューションを使用できません。

AAA サーバへのデータインターフェイスを介してルートを設定します。データインターフェイスのアクセスは、VPN アクティビティ、ユーザ識別処理のための管理インターフェイスのアクセスに使用されます。

さまざまなインターフェイスの詳細については、Firepower Threat Defense の通常のファイアウォールインターフェイスを参照してください。

展開後、次の CLI コマンドを使用して、Firepower Threat Defense デバイスからの AAA サーバ接続をモニタおよびトラブルシューティングします。

show aaa-server AAA サーバの統計情報を表示します。
show route management-only 管理専用ルーティングテーブルエントリを表示します。
show route データトラフィックのルーティングテーブルエントリを表示します。
ping system と traceroute system は管理インターフェイスを介して AAA サーバへのパスを確認します。
ping interface ifname と traceroute destination は診断インターフェイスとデータインターフェイスを介して AAA サーバへのパスを確認します。
test aaa-server authentication と test aaa-server authorization は AAA サーバでの認証と許可をテストします。
clear aaa-server statistics groupname または clear aaa-server statistics protocol protocol はグループ別またはプロトコル別に AAA サーバの統計情報をクリアします。
aaa-server groupname active host hostname は障害が発生した AAA サーバをアクティブ化します。または、 aaa-server groupname fail host hostname で AAA サーバを不合格にします。
debug ldap level 、debug aaa authentication 、 debug aaa authorization 、debug aaa accounting 。

リモートアクセス VPN のガイドラインと制限事項

リモートアクセス VPN ポリシーの設定

新しいリモートアクセス VPN ポリシーは、ウィザードを使用してのみ追加できます。ウィザードのすべての手順を実行して新しいポリシーを作成する必要があります。ウィザードを完了する前にキャンセルすると、ポリシーは保存されません。
2 人のユーザが同時にリモートアクセス VPN ポリシーを編集することはできません。ただし、Web インターフェイスでは同時編集が防止されません。これが発生した場合、最後に保存された設定が保持されます。
リモートアクセス VPN ポリシーがそのデバイスに割り当てられている場合、あるドメインから別のドメインに Firepower Threat Defense デバイスを移動することはできません。
クラスタモードの FirePOWER 9300 および 4100 シリーズは、リモートアクセス VPN の設定をサポートしていません。
誤って設定された FTD NAT ルールがあると、リモートアクセス VPN 接続が失敗する可能性があります。
IKE ポート 500/4500 または SSL ポート 443 が使用されている場合、またはアクティブな PAT 変換がある場合は、これらのポートでサービスを開始できないため、AnyConnect IPSec-IKEv2 または SSL リモートアクセス VPN を同じポートに設定することはできません。これらのポートは、リモートアクセス VPN を設定する前に Firepower Threat Defense デバイスで使用しないようにする必要があります。
ウィザードを使用してリモートアクセス VPN を設定しているときは、インライン証明書登録オブジェクトを作成できますが、それらを使用してアイデンティティ証明書をインストールすることはできません。証明書登録オブジェクトは、リモートアクセス VPN ゲートウェイとして設定されている Firepower Threat Defense デバイスでアイデンティティ証明書を生成するために使用されます。デバイスにリモートアクセス VPN 設定を展開する前に、デバイスにアイデンティティ証明書をインストールします。証明書登録オブジェクトに基づいてアイデンティティ証明書をインストールする方法の詳細については、オブジェクトマネージャを参照してください。
リモートアクセス VPN ポリシーの設定を変更した後は、Firepower Threat Defense デバイスに変更を再展開します。設定変更の展開にかかる時間は、ポリシーとルールの複雑さ、デバイスに送信する設定のタイプと量、メモリとデバイスモデルなど、複数の要因によって異なります。リモートアクセス VPN ポリシーの変更を展開する前に、設定変更の展開に関する注意事項を確認してください。

同時 VPN セッションのキャパシティプランニング

同時 VPN セッションの最大数は、プラットフォーム固有の制限に準拠し、ライセンスには依存しません。デバイスモデルに基づいて、1 台のデバイスで許可される同時リモートアクセス VPN セッション数に上限が設けられます。この制限は、システムパフォーマンスが許容できないレベルに低下しないように設計されています。これらの制限は、キャパシティプランニングに使用します。


デバイスモデル	最大同時リモートアクセス VPN セッション数
Firepower 2110	1500
Firepower 2120	3500
Firepower 2130	7500
Firepower 2140	10000

他のハードウェアモデルの容量については、セールス担当者にお問い合わせください。

（注）

プラットフォームごとのセッション数の上限に達すると、FTD デバイスが VPN 接続を拒否します。Syslog メッセージが示され、接続が拒否されます。Syslog メッセージガイドで Syslog メッセージ「%ASA-4-113029」と「and %ASA-4-113038」を参照してください。詳細については、http://www.cisco.com/c/en/us/td/docs/security/asa/syslog-guide/syslogs.htmlを参照してください。

VPN の暗号使用方法の制御

DES よりも高度な暗号方式を使用しないようにするため、Firepower Management Center の次の場所で、展開前チェックを使用することもできます。

[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] > [SSL 設定（SSL Settings）]

[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）] > [詳細（Advanced）] > [IPsec]

SSL 設定と IPsec の詳細については、SSL 設定およびリモートアクセス VPN の [IPsec/IKEv2パラメータ（IPsec/IKEv2 Parameters）] の設定を参照してください。

認証、認可、アカウンティング

Firepower Threat Defense デバイスは、システム統合認証サーバのみを使用するリモートアクセス VPN ユーザの認証をサポートしており、ローカルユーザデータベースはサポートされていません。
LDAP または AD の認可とアカウンティングは、リモートアクセス VPN ではサポートされていません。リモートアクセス VPN ポリシーでは、RADIUS サーバグループのみを承認サーバまたはアカウンティングサーバとして構成できます。
リモートアクセス VPN を使用するには、トポロジ内の各デバイスで DNS を設定します。DNS がないと、デバイスは AAA サーバ名、名前付き URL、および FQDN またはホスト名を持つ CA サーバを解決できません。解決できるのは IP アドレスのみです。

プラットフォームの設定を使用して DNS を設定できます。詳細については、DNS の設定およびDNS サーバグループオブジェクトを参照してください。

クライアント証明書

展開でクライアント証明書を使用している場合は、Firepower Threat Defense または Firepower Management Center に関係なく、クライアントのプラットフォームにこれらの証明書を追加する必要があります。クライアントに証明書を入力するために、SCEP や CA サービスなどの機能は提供されません。

AnyConnect のサポート対象外の機能

サポートされている VPN クライアントは、Cisco AnyConnect セキュアモビリティクライアントのみです。それ以外のクライアントまたはネイティブ VPN はサポートされていません。クライアントレス VPN は、Web ブラウザを使用して AnyConnect クライアントの展開に使用されるだけで、VPN 接続としてはサポートされていません。

FTD セキュアゲートウェイに接続する場合、次の AnyConnect 機能はサポートされていません。

セキュアモビリティ、ネットワークアクセス管理、およびコア VPN 機能と VPN クライアントプロファイルを超えたその他のすべての AnyConnect モジュールとそのプロファイル。
Hostscan およびエンドポイントポスチャアセスメントと、クライアントポスチャに基づくダイナミックアクセスポリシーなどのポスチャ派生機能。
AnyConnect のカスタマイズとローカリゼーションのサポート。FTD デバイスは、これらの機能のために AnyConnect を設定するために必要なファイルを設定または展開しません。
AnyConnect クライアントのカスタム属性は、FTD ではサポートされません。したがって、デスクトップクライアントでの遅延アップグレード、モバイルクライアントでのアプリケーションごとの VPN といった、カスタム属性を使用するすべての機能はサポートされません。
ローカル認証では、VPN ユーザを FTD セキュアゲートウェイで設定することはできません。

ローカル CA では、セキュアゲートウェイは認証局として動作できません。
プライマリ認証およびセカンダリ認証の 2 つの AAA サーバから 2 セットのユーザ名とパスワードを使用するセカンダリ認証または二重認証
SAML 2.0 を使用したシングルサインオン
TACACS、Kerberos（KCD 認証および RSA SDI）
LDAP 認証（LDAP 属性マップ）
ブラウザプロキシ
VPN ロードバランシング。

新規リモートアクセス VPN 接続の設定

ここでは、VPN ゲートウェイとして Firepower Threat Defense デバイスを使用したり、VPN クライアントとして Cisco AnyConnect を使用したりして、新しいリモートアクセスを設定する手順について説明します。


	操作内容	詳細
ステップ 1	ガイドラインと前提条件を確認します。	リモートアクセス VPN のガイドラインと制限事項リモートアクセス VPN を設定するための前提条件
ステップ 2	ウィザードを使用して新しいリモートアクセス VPN ポリシーを作成します。	新しいリモートアクセス VPN ポリシーの作成
ステップ 3	デバイスに展開されているアクセスコントロールポリシーを更新します。	Firepower Threat Defense デバイスのアクセスコントロールポリシーの更新
ステップ 4	（任意）NAT がデバイスで設定されている場合は、NAT 免除ルールを設定します。	（任意）NAT 免除の設定
ステップ 5	DNS を設定します。	DNS の設定
ステップ 6	AnyConnect クライアントプロファイルを追加します。	AnyConnect クライアントプロファイル XML ファイルの追加
ステップ 7	リモートアクセス VPN ポリシーを展開します。	設定変更の展開
ステップ 8	（任意）リモートアクセス VPN ポリシー設定を確認します。	設定の確認

リモートアクセス VPN を設定するための前提条件

Firepower Threat Defense デバイスを展開し、Firepower Management Center を設定して、輸出規制対象の機能を有効にした必要なライセンスを持つデバイスを管理します。詳細については、VPN ライセンスを参照してください。
リモートアクセス VPN ゲートウェイとして機能する各 Firepower Threat Defense デバイスにアイデンティティ証明書を取得するために使用する証明書登録オブジェクトを設定します。
RADIUS サーバグループオブジェクトと、リモートアクセス VPN ポリシーで使用されている AD または LDAP レルムを設定します。
リモートアクセス VPN 設定が機能するように AAA サーバに Firepower Threat Defense デバイスからアクセスできることを確認します。AAA サーバへの接続を確実にするために、ルーティングを設定します（[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイスの編集（Edit Device）] > [ルーティング（Routing）]）。
Firepower Threat Defense のリモートアクセス VPN を有効にするため、AnyConnect Plus、AnyConnect Apex、または AnyConnect VPN Only のうちいずれかの Cisco AnyConnect ライセンスを購入します。
シスコのソフトウェアダウンロードセンターから最新の AnyConnect イメージファイルをダウンロードします。

Firepower Management Center の Web インターフェイスで、[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [VPN] > [AnyConnect ファイル（AnyConnect File）] に移動し、新しいAnyConnect クライアントイメージファイルを追加します。
ユーザが VPN 接続のためにアクセスするネットワークインターフェイスを含む、セキュリティゾーンまたはインターフェイスグループを作成します。インターフェイスオブジェクト：インターフェイスグループとセキュリティゾーンを参照してください
AnyConnect プロファイルエディタをシスコのソフトウェアダウンロードセンターからダウンロードし、AnyConnect クライアントプロファイルを作成します。スタンドアロンプロファイルエディタを使用して、新しい AnyConnect プロファイルを作成したり、既存の AnyConnect プロファイルを変更したりできます。

新しいリモートアクセス VPN ポリシーの作成

新しいリモートアクセス VPN ポリシーを追加できるのはリモートアクセス VPN ポリシーウィザードを使用する場合のみです。このウィザードは、基本的な機能を持つリモートアクセス VPN をすばやく、簡単にセットアップできるようにします。さらに、必要に応じて追加の属性を指定することでポリシー設定を強化して Firepower Threat Defense のセキュアゲートウェイデバイスに展開できます。


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
エクスポート制御機能が有効なスマートライセンスアカウントに関連付けられている次の AnyConnect ライセンスのいずれか。 AnyConnect VPN Only AnyConnect Plus AnyConnect Apex	該当なし	FTD	任意（Any）	Admin

始める前に

リモートアクセス VPN を設定するための前提条件に示されているすべての前提条件を満たしていることを確認します。

手順

ステップ 1	[Devices] > [VPN] > [Remote Access]を選択します。
ステップ 2	[追加（ Add）]（）をクリックし、基本的なポリシー設定を行うウィザードを使用して新しいリモートアクセス VPN ポリシーを作成します。ウィザードのすべての手順を実行して新しいポリシーを作成する必要があります。ウィザードを完了する前にキャンセルすると、ポリシーは保存されません。
ステップ 3	[ターゲットデバイス（Target Devices）] と [プロトコル（Protocols）] を選択します。選択した Firepower Threat Defense デバイスは、VPN クライアントユーザのリモートアクセス VPN ゲートウェイとして機能します。リストからデバイスを選択するか、または新しいデバイスを追加します。 SSL または IPSec-IKEv2、あるいはその両方の VPN プロトコルを選択できます。Firepower Threat Defense は、VPN トンネルを経由するパブリックネットワークを介してセキュアな接続を確立するために両方のプロトコルをサポートしています。SSL 設定については、SSL 設定を参照してください。
ステップ 4	[接続プロファイル（Connection Profile）] および [グループポリシー（Group Policy）] 設定を設定します。接続プロファイルでは、リモートユーザが VPN デバイスに接続する方法を定義するパラメータセットを指定します。パラメータには、認証、VPN クライアントへのアドレスの割り当てとグループポリシーの設定および属性が含まれています。Firepower Threat Defense デバイスは、リモートアクセス VPN ポリシーを設定する際の DefaultWEBVPNGroup というデフォルトの接続プロファイルを提供します。グループポリシーはグループポリシーオブジェクト内に保存される属性と値の一連のペアで、VPN ユーザに対してリモートアクセス VPN のエクスペリエンスを定義します。グループポリシーを使用して、ユーザ認証プロファイル、IP アドレス、AnyConnect 設定、VLAN マッピング、およびユーザセッション設定などの属性を設定します。RADIUS 承認サーバがグループポリシーを割り当てるか、または現在の接続プロファイルから取得されます。
ステップ 5	VPN ユーザがリモートアクセス VPN への接続に使用する [AnyConnect クライアントイメージ（AnyConnect Client Image）] を選択します。 Cisco AnyConnect セキュアモビリティクライアントは Firepower Threat Defense デバイスへのセキュアな SSL 接続または IPSec（IKEv2）接続を提供し、これにより、リモートユーザによる企業リソースへのフル VPN プロファイリングが可能となります。Firepower Threat Defense デバイスにリモートアクセス VPN ポリシーを展開したら、VPN ユーザは設定したデバイスインターフェイスの IP アドレスをブラウザに入力し、AnyConnect クライアントをダウンロードしてインストールできるようになります。
ステップ 6	[ネットワークインターフェイスとアイデンティティ証明書（Network Interface and Identity Certificate）] を選択します。インターフェイスオブジェクトは、ネットワークをセグメント化してトラフィックフローを管理し、分類しやすくします。セキュリティゾーンオブジェクトは単にインターフェイスをグループ化します。これらのグループは複数のデバイスにまたがることがあります。また、単一のデバイスに複数のゾーンインターフェイスオブジェクトを設定することもできます。インターフェイスオブジェクトには次の 2 つのタイプがあります。セキュリティゾーン：インターフェイスは、1 つのセキュリティゾーンにのみ属することができます。インターフェイスグループ：インターフェイスは複数のインターフェイスグループ（および 1 つのセキュリティゾーン）に属することができます。
ステップ 7	リモートアクセス VPN ポリシー設定の [概要（Summary）] を表示します。 [概要（Summary）] ページには、これまでに設定したすべてのリモートアクセス VPN 設定が表示され、選択したデバイスにリモートアクセス VPN ポリシーを展開する前に実行する必要がある追加設定へのリンクが示されます。必要に応じて、[戻る（Back）] をクリックして設定に変更を加えます。
ステップ 8	リモートアクセス VPN ポリシーの基本設定を完了するには、[終了（Finish）] をクリックします。ウィザードを使用してリモートアクセス VPN ポリシーを完了すると、ポリシーリストページに戻ります。DNS 設定をセットアップし、VPN ユーザのアクセス制御を設定し、NAT の免除を有効にして（必要な場合）、基本的な RA VPN のポリシー設定を完了します。次に、設定を展開し、VPN 接続を確立します。

Firepower Threat Defense デバイスのアクセスコントロールポリシーの更新

リモートアクセス VPN ポリシーを展開する前に、VPN トラフィックを許可するルールを使用してターゲットの Firepower Threat Defense デバイス上でアクセスコントロールポリシーを更新する必要があります。ルールは、定義済み VPN プールネットワークの送信元と社内ネットワークの宛先を持つ外部インターフェイスを通過するすべてのトラフィックを許可する必要があります。

（注）

[復号されたトラフィックのアクセスコントロールポリシーをバイパスする（sysopt permit-vpn）（Bypass Access Control policy for decrypted traffic (sysopt permit-vpn)）] オプションを選択した場合は、リモートアクセス VPN のアクセスコントロールポリシーを更新する必要はありません。詳細については、リモートアクセス VPN のアクセスインターフェイスの設定を参照してください。

始める前に

リモートアクセス VPN ポリシーウィザードを使用してリモートアクセス VPN ポリシーの設定を実行します。

手順

ステップ 1	Firepower Management Center の Web インターフェイスで、[ポリシー（Policies）] > [アクセス制御（Access Control）] を選択します。
ステップ 2	リモートアクセス VPN ポリシーが展開されるターゲットデバイスに割り当てられているアクセスコントロールポリシーを選択し、[編集（Edit）] をクリックします。
ステップ 3	新しいルールを追加するには、[ルールの追加（Add Rule）] をクリックします。
ステップ 4	ルールの [名前（Name）] を指定し、[有効（Enabled）] を選択します。
ステップ 5	[アクション（Action）]、[許可（Allow）]、または [信頼（Allow）] を選択します。
ステップ 6	[ゾーン（Zones）] タブで次の項目を選択します。 [使用可能なゾーン（Available Zones）] から外部ゾーンを選択し、[送信元に追加（Add to Source）] をクリックします。 [使用可能なゾーン（Available Zones）] から内部ゾーンを選択し、[宛先に追加（Add to Destination）] をクリックします。
ステップ 7	[ネットワーク（Networks）] タブで次の項目を選択します。使用可能なネットワークから内部ネットワーク（内部インターフェイスまたは社内ネットワーク）を選択し、[宛先に追加（Add to Destination）] をクリックします。使用可能なネットワークから VPN アドレスプールネットワークを選択し、[送信元ネットワークに追加（Add to Source Networks）] をクリックします。
ステップ 8	その他の必要なアクセス制御ルールを設定して [追加（Add）] をクリックします。
ステップ 9	ルールとアクセスコントロールポリシーを保存します。

（任意）NAT 免除の設定

NAT 免除を使用すると、アドレスは変換から除外され、変換済みのホストとリモートホストの両方が保護されたホストとの接続を開始できるようになります。アイデンティティ NAT と同様に、特定のインターフェイスでホストの変換を制限するのではなく、すべてのインターフェイスを経由する接続に NAT 免除を使用する必要があります。ただし、NAT 免除では変換対象の実際のアドレスを決定するときに実際のアドレスおよび宛先アドレスを指定できます（ポリシー NAT と類似）。アクセスリストのポートを考慮するには、スタティックアイデンティティ NAT を使用します。

始める前に

リモートアクセス VPN ポリシーが展開されているターゲットデバイスに NAT が設定されているかどうかを確認します。NAT がターゲットデバイスで有効になっている場合、NAT ポリシーを定義して VPN トラフィックを対象外にする必要があります。

手順

ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス（Devices）] > [NAT] をクリックします。

ステップ 2

更新する NAT ポリシーを選択するか、または [新しいポリシー（New Policy）] > [脅威対策NAT（Threat Defense NAT）] をクリックし、すべてのインターフェイスへの接続を許可する NAT ルールを含む NAT ポリシーを作成します。

ステップ 3

[ルールの追加（Add Rule）] をクリックして NAT ルールを追加します。

ステップ 4

[NAT ルールの追加（Add NAT Rule）] ウィンドウで、次を選択します。

[NAT ルール（NAT Rule）] に [手動 NAT ルール（Manual NAT Rule）] を選択します。
[タイプ（Type）] に [スタティック（Static）] を選択します。
[インターフェイスオブジェクト（Interface Objects）] タブで、送信元と宛先のインターフェイスオブジェクトを選択します。

（注）

このインターフェイスオブジェクトは、リモートアクセス VPN ポリシーで選択したインターフェイスと同じである必要があります。

詳細については、リモートアクセス VPN のアクセスインターフェイスの設定を参照してください。

[変換（Translation）] タブで送信元と宛先のネットワークを選択します。
- [元の送信元（Original Source）] および [変換済み送信元（Translated Source）]
- [元の宛先（Original Destination）] および [変換済み宛先（Translated Destination）]

ステップ 5

[詳細（Advanced）] タブで [宛先インターフェイスでプロキシ ARP を使用しない（Do not proxy ARP on Destination interface）] を選択します。

[宛先インターフェイスでプロキシ ARP を使用しない（Do not proxy ARP on Destination Interface）]：マッピング IP アドレスへの着信パケットのプロキシ ARP を無効にします。マッピングインターフェイスと同じネットワーク上のアドレスを使用した場合、システムはプロキシ ARP を使用してマッピングアドレスのすべての ARP 要求に応答することで、マッピングアドレスを宛先とするトラフィックを代行受信します。この方法だと、デバイスがその他のネットワークのゲートウェイになる必要がないため、ルーティングが簡略化されます。プロキシ ARP は必要に応じて無効にできます。無効にする場合、上流に位置するルータに適切なルートが設定されている必要があります。

ステップ 6

[OK] をクリックします。

DNS の設定

リモートアクセス VPN を使用するには、Firepower Threat Defense の各デバイスで DNS を設定します。DNS がないと、デバイスは AAA サーバ名、名前付き URL、FQDN またはホスト名を持つ CA サーバを解決できません。IP アドレスのみを解決できます。

手順

ステップ 1	DNS サーバの詳細とドメインルックアップインターフェイスを [プラットフォーム設定（Platform Settings）] を使用して設定します。詳細については、DNS の設定およびDNS サーバグループオブジェクトを参照してください。
ステップ 2	VNP ネットワーク経由で DNS サーバに到達可能な場合は、リモートアクセス VPN トンネルを介して DNS トラフィックを許可するためのスプリットトンネルをグループポリシーに設定します。詳細については、グループポリシーオブジェクトの設定を参照してください。

AnyConnect クライアントプロファイル XML ファイルの追加

AnyConnect クライアントプロファイルは、設定パラメータのグループで、動作や表示の設定にクライアントが使用する XML ファイル内に保存されます。これらのパラメータ（XML タグ）には、ホストコンピュータの名前とアドレス、および追加のクライアント機能を有効にする設定が含まれています。

AnyConnect プロファイルエディタを使用すると、AnyConnect クライアントプロファイルを作成できます。このエディタは、AnyConnect ソフトウェアパッケージの一部として利用できる GUI ベースの設定ツールです。これは、Firepower Management Center の外部で実行する独立したプログラムです。AnyConnect プロファイルエディタの使用の詳細については、『Cisco AnyConnect Secure Mobility Client Administrator Guide』を参照してください。

始める前に

Firepower Threat Defense リモートアクセス VPN ポリシーには VPN クライアントに割り当てる AnyConnect クライアントプロファイルが必要です。クライアントプロファイルはグループポリシーに関連付けられます。

AnyConnect プロファイルエディタはシスコのソフトウェアダウンロードセンターからダウンロードします。

手順

ステップ 1

[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）]。

ステップ 2

リストから既存のリモートアクセス VPN ポリシーを選択し、対応する [編集（Edit）] アイコンをクリックします。

リモートアクセス VPN のポリシーに設定されている接続プロファイルのリストが表示されます。

ステップ 3

AnyConnect クライアントプロファイルを更新する接続プロファイルを選択し、[編集（Edit）] アイコンをクリックします。

ステップ 4

[追加（Add）] アイコンをクリックしてグループポリシーを追加するか、または [グループポリシーの編集（Edit Group Policy）] > [全般（General）] > [AnyConnect] をクリックします。

ステップ 5

リストからクライアントプロファイルを選択するか、または [追加（Add）] アイコンをクリックして新しいプロファイルを追加します。

AnyConnect プロファイルの [名前（Name）] を指定します。

[参照（Browse）] をクリックし、AnyConnect プロファイルの XML ファイルを選択します。

（注）

二要素認証の場合、AnyConnect クライアントプロファイル XML ファイルでタイムアウトが 60 秒以上に更新されていることを確認してください。

[保存（Save）] をクリックします。

（任意）スプリットトンネリングの設定

スプリットトンネルではセキュアトンネル経由のリモートネットワークへの VPN 接続が可能ですが、VPN トンネル外のネットワークにも接続できます。VPN ユーザがリモートアクセス VPN に接続されている間、外部ネットワークにアクセスできるようにするには、スプリットトンネルを設定します。スプリットトンネルリストを設定するには、標準アクセスリストまたは拡張アクセスリストを作成する必要があります。

詳細については、グループポリシーの設定を参照してください。

手順

ステップ 1	[デバイス（Devices）] > [VP ] > [リモートアクセス（Remote Access）] を選択します。
ステップ 2	リストから既存のリモートアクセスポリシーを選択し、対応する編集アイコンをクリックします。
ステップ 3	接続プロファイルを選択して [編集（Edit）] アイコンをクリックします。
ステップ 4	[追加（Add）] アイコンをクリックしてグループポリシーを追加します。または、[グループポリシーの編集（Edit Group Policy）] > [全般（General）] > [スプリットトンネリング（Split Tunneling）] をクリックします。
ステップ 5	[IPv4スプリットトンネリング（IPv4 Split Tunneling）] または [IPv6スプリットトンネリング（IPv6 Split Tunneling）] リストから、[以下に指定したネットワークを除外する（Exclude networksspecified below）] を選択し、VPN トラフィックから除外するネットワークを選択します。スプリットトンネリングオプションをこのままにした場合、エンドポイントからのすべてのトラフィックは VPN 接続経由で送信されます。
ステップ 6	[標準アクセスリスト（Standard Access List）] または [拡張アクセスリスト（Extended Access List）] をクリックし、ドロップダウンからアクセスリストを選択するか、新しいアクセスリストを追加します。
ステップ 7	新しい標準アクセスリストまたは拡張アクセスリストを追加する場合は、次の手順を実行します。新しいアクセスリストの [名前（Name）] を指定し、[追加（Add）] をクリックします。 [アクション（Action）] から [許可（Allow）] を選択します。 VPN トンネル上で許可するネットワークトラフィックを選択し、[追加（Add）] をクリックします。
ステップ 8	[保存（Save）] をクリックします。

設定の確認

手順

ステップ 1

外部ネットワークのマシンで Web ブラウザを開きます。

ステップ 2

リモートアクセス VPN ゲートウェイとして設定されている FTD デバイスの URL を入力します。

ステップ 3

プロンプトが表示されたらユーザ名とパスワードを入力し、[ログオン（Logon）] をクリックします。

（注）

システムに AnyConnect がインストールされている場合は、VPN に自動的に接続されます。

AnyConnect がインストールされていない場合は、AnyConnect クライアントをダウンロードするように求められます。

ステップ 4

まだインストールされていない場合は AnyConnect をダウンロードし、VPN に接続します。

AnyConnect クライアントは自身をインストールします。認証が成功すると、Firepower Threat Defense リモートアクセス VPN ゲートウェイに接続されます。該当するアイデンティティポリシーまたは QoS ポリシーは、リモートアクセス VPN ポリシーの設定に従って適用されます。

接続プロファイルの設定

リモートアクセス VPN ポリシーには、特定のデバイスを対象とする接続プロファイルが含まれています。これらのポリシーはトンネル自体の作成に関連しています。たとえば AAA を行う方法、アドレス（DHCP やアドレスプール）を VPN クライアントに割り当てる方法などです。また、Firepower Threat Defense デバイスで設定された（または AAA サーバから得られる）グループポリシーで識別されるユーザ属性も、これらに含まれます。また、デバイスには DefaultWEBVPNGroup という名前のデフォルト接続プロファイルもあります。ウィザードを使って設定された接続プロファイルがリストに表示されます。

手順

ステップ 1	[Devices] > [VPN] > [Remote Access]を選択します。
ステップ 2	リストから既存のリモートアクセス VPN ポリシーを選択し、対応する [編集（Edit）] アイコンをクリックします。
ステップ 3	接続プロファイルを選択し、対応する編集アイコンをクリックします。 [接続プロファイルの編集（edit connection profile）] ページが表示されます。
ステップ 4	（任意）複数の接続プロファイルを追加します。複数の接続プロファイルの設定
ステップ 5	VPN クライアントの IP アドレスを設定します。 VPN クライアントの IP アドレスの設定
ステップ 6	（任意）リモートアクセス VPN の AAA 設定を更新します。リモートアクセス VPN 認証
ステップ 7	（任意）エイリアスを作成または更新します。接続プロファイルのエイリアスの作成または更新
ステップ 8	接続プロファイルを保存します。

複数の接続プロファイルの設定

別のグループの VPN ユーザに異なる権限を付与する場合は、各ユーザグループの特定の接続プロファイルまたはグループポリシーを設定することができます。たとえば、経理グループ、カスタマーサポートグループ、および MIS（経営情報システム）グループが、プライベートネットワークのそれぞれ異なる部分にアクセスできるようにする場合が考えられます。また、MIS に所属する特定のユーザには、他の MIS ユーザにはアクセスできないシステムにアクセスを許可する場合があります。接続プロファイルとグループポリシーにより、このような柔軟な設定を安全に実行することができます。

リモートアクセスポリシーウィザードを使用して VPN ポリシーを作成する場合に設定できる接続プロファイルは 1 つのみです。接続プロファイルは後で追加できます。また、デバイスには DfaultWEBVPNGroup というデフォルトの接続プロファイルもあります。

始める前に

リモートアクセスポリシーウィザードを使用し、接続プロファイルでリモートアクセス VPN が設定されていることを確認します。

手順

ステップ 1	Firepower Management Center の Web インターフェイスで、[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）] を選択します。既存のリモートアクセスポリシーがリストされます。
ステップ 2	リストから既存のリモートアクセス VPN ポリシーを選択し、対応する [編集（Edit）] アイコンをクリックします。
ステップ 3	[追加（Add）] アイコンをクリックし、[接続プロファイルの追加（Add Connection Profile）] ウィンドウで次の項目を指定します。 [接続プロファイル（Connection Profile）]：リモートユーザが VPN 接続のために使用する名前を指定します。接続プロファイルにはリモートユーザによる VPN デバイスへの接続方法を定義する一連のパラメータが含まれます。 [クライアントアドレスの割り当て（Client Address Assignment）]：リモートクライアントの IP アドレスは、ローカルの IP アドレスプール、DHCP サーバ、および AAA サーバから割り当てられます。 [AAA]：セキュア VPN ゲートウェイとして機能する管理対象デバイスが、どのユーザに（認証）、何を許可し（承認）、そのユーザが何を実行したか（アカウンティング）を判断できるように AAA サーバを設定します。 [エイリアス（Aliases）]：接続プロファイルの代替名または URL を指定します。リモートアクセス VPN 管理者は、エイリアス名とエイリアス URL を有効または無効にできます。VPN ユーザは、AnyConnect VPN クライアントを使用して Firepower Threat Defense デバイスのリモートアクセス VPN に接続する場合にエイリアス名を使用できます。
ステップ 4	[保存（Save）] をクリックします。

VPN クライアントの IP アドレスの設定

クライアントアドレスの割り当ては、リモートアクセス VPN ユーザ用の IP アドレスを割り当てる手段です。

リモート VPN クライアントの IP アドレスは、ローカルの IP アドレスプール、DHCP サーバ、および AAA サーバから割り当てように設定できます。最初に AAA サーバが割り当てられ、その後で他のものが割り当てられます。[詳細（Advanced）] タブで [クライアントアドレスの割り当て（Client Address Assignment）] ポリシーを設定して、割り当て基準を定義します。この接続プロファイルに関連付けられているグループポリシーやシステムのデフォルトグループポリシーである [DfltGrpPolicy] で定義された IP プールが存在しない場合、この接続プロファイルで定義されている IP プールのみが使用されます。

[IPv4 アドレスプール（IPv4 Address Pools）]：SSL VPN クライアントは、Firepower Threat Defense デバイスに接続したときに新しい IP アドレスを受け取ります。アドレスプールでは、リモートクライアントが受け取ることのできるアドレス範囲が定義されます。既存の IP アドレスプールを選択します。IPv4 および IPv6 アドレスそれぞれに最大 6 つのプールを追加できます。

（注）

Firepower Management Center の既存の IP プールから IP アドレスを使用するか、または [追加（Add）] オプションを使用して新しいプールを作成できます。また、[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [アドレスプール（Address Pools）] パスを使用して、Firepower Management Center に IP プールを作成することもできます。詳細については、アドレスプールを参照してください。

手順

ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）] を選択します。

既存のリモートアクセスポリシーがリストされます。

ステップ 2

リストから既存のリモートアクセス VPN ポリシーを選択し、対応する [編集（Edit）] アイコンをクリックします。

ステップ 3

更新する接続プロファイルを選択し、対応する [編集（Edit）] アイコンをクリックして、[クライアントアドレスの割り当て（Client Address Assignment）] タブを選択します。

ステップ 4

[アドレスプール（Address Pools）] で次の項目を選択します。

[追加（Add）] アイコンをクリックして IP アドレスを追加し、[IPv4] または [IPv6] を選択して対応するアドレスプールを追加します。利用可能なプールから IP アドレスプールを選択し、[追加（Add）] をクリックします。

（注）

複数の Firepower Threat Defense デバイス間でリモートアクセス VPN ポリシーを共有する場合は、すべてのデバイスが同じアドレスプールを共有することに留意してください。ただし、デバイスレベルのオブジェクトオーバーライドを使用して、グローバル定義をデバイスごとの一意なアドレスプールに置き換える場合を除きます。NAT を使用していないデバイスでアドレスが重複しないようにするには、一意なアドレスプールが必要です。

新しい IPv4 または IPv6 アドレスプールを追加するには、[アドレスプール（Address Pools）] ウィンドウで [追加（Add）] アイコンを選択します。IPv4 プールを選択する場合は、開始と終了の IP アドレスを提供します。新しい IPv6 アドレスプールを含めることを選択する場合は、1 ～ 16384 の範囲の [アドレス数（Number of Addresses）] を入力します。オブジェクトが多数のデバイス間で共有される場合は、IP アドレスの競合を回避するために、[オーバーライドを許可（Allow Overrides）] オプションを選択します。詳細については、アドレスプールを参照してください。
[OK] をクリック

ステップ 5

[DHCPサーバ（DHCP Servers）] で次の項目を選択します。

（注）

DHCP サーバアドレスは、IPv4 アドレスでのみ設定可能です。

名前と DHCP（Dynamic Host Configuration Protocol）のサーバアドレスをネットワークオブジェクトとして指定します。オブジェクトリストからサーバを選択するには、[追加（Add）] アイコンを選択します。DHCP サーバを削除するには、その行で [削除（Delete）] アイコンを選択します。
[新しいネットワークオブジェクト（New Network Objects）] ウィンドウで [追加（Add）] アイコンを選択し、新しいネットワークオブジェクトを追加します。新しいオブジェクト名、説明、ネットワークを入力し、必要に応じて [オーバーライドを許可（Allow Overrides）] オプションを選択します。詳細については、ネットワークオブジェクトの作成およびオブジェクトのオーバーライドの許可を参照してください。
[OK] をクリックします。

ステップ 6

[保存（Save）] をクリックします。

リモートアクセス VPN の AAA 設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
エクスポート制御機能が有効なスマートライセンスアカウントに関連付けられている次の AnyConnect ライセンスのいずれか。 AnyConnect VPN Only AnyConnect Plus AnyConnect Apex	該当なし	FTD	任意（Any）	Admin

手順

ステップ 1

[Devices] > [VPN] > [Remote Access]を選択します。

ステップ 2

リストから既存のリモートアクセス VPN ポリシーを選択し、対応する [編集（Edit）] アイコンをクリックします。

ステップ 3

AAA 設定が更新されるように接続プロファイルを選択し、対応する [編集（Edit）] アイコンをクリックしてから、[AAA] タブをクリックします。

ステップ 4

[認証（Authentication）] で次の項目を選択します。

[認証方式（Authentication Method）]：ユーザに対してネットワークとネットワークサービスへのアクセスを許可する前に、ユーザの識別方法を決定します。有効なユーザクレデンシャル（通常は、ユーザ名とパスワード）を要求することで、アクセスが制御されます。また、クライアントからの証明書も含まれます。サポートされている認証方式は、[AAA のみ（AAA only）]、[クライアント証明書のみ（Client Certificate only）]、および [AAA とクライアント証明書（AAA + Client Certificate）] です。

[認証方式（Authentication Method）] の選択に応じて、次のようになります。
- [AAA のみ（AAA only）]：[認証サーバ（Authentication Server）] に [RADIUS] を選択した場合、デフォルトで許可サーバは同じ値になります。ドロップダウンリストから [アカウンティングサーバ（Accounting Server）] を選択します。認証サーバドロップダウンリストから [AD] と [LDAP] を選択した場合は常に、[認証サーバ（Authorization Server）] と [アカウンティングサーバ（Accounting Server）] をそれぞれ手動で選択する必要があります。
- [クライアント証明書のみ（Client Certificate Only）]：各ユーザはクライアント証明書を使用して認証されます。クライアント証明書は、VPN クライアントエンドポイントで設定する必要があります。デフォルトでは、ユーザ名はクライアント証明書フィールド CN および OU から派生します。クライアント証明書の他のフィールドにユーザ名が指定されている場合は、[プライマリ（Primary）] と [セカンダリ（Secondary）] フィールドを使用して適切なフィールドをマップします。
  
  クライアント証明書のユーザ名が含まれる [マップ固有フィールド（Map Specific Field）] オプションを選択すると、[プライマリ（Primary）] および [セカンダリ（Secondary）] フィールドに [CN（一般名）（CN (Common Name)）] と [OU（組織ユニット）（OU (Organisational Unit)）] のデフォルト値がそれぞれ表示されます。[DN全体をユーザ名として使用（Use entire DN as username）] オプションを選択した場合、ユーザ ID が自動的に取得されます。識別名（DN）は、個々のフィールドから構成される一意の識別子であり、ユーザを接続プロファイルと照合するときに識別子として使用できます。DN ルールは、拡張証明書認証に使用されます。
  
  [固有のフィールドをマップ（Map specific field）] オプションに関連する [プライマリ（Primary）] フィールドと [セカンダリ（Secondary）] フィールドには、次の共通の値が含まれています。
  - C（国）
  - CN（一般名）
  - DNQ（DN 修飾子）
  - EA（電子メールアドレス）
  - GENQ（世代識別子）
  - GN（姓名の名）
  - I（イニシャル）
  - L（地名）
  - N（名前）
  - O（組織）
  - OU（組織ユニット）
  - SER（シリアル番号）
  - SN（姓名の姓）
  - SP（都道府県）
  - T（タイトル）
  - UID（ユーザ ID）
  - UPN（ユーザプリンシパル名）
- [クライアント証明書とAAA（Client Certificate & AAA）]：各ユーザはクライアント証明書とAAAサーバの両方を使用して認証されます。
  
  どの認証方式を選択する場合にも、[ユーザが承認データベースに存在するときにのみ接続を許可（Allow connection only if user exists in authorization database）] を選択または選択解除します。

[認証サーバ（Authentication Server）]：認証とは、ユーザに対してネットワークとネットワークサービスへのアクセスを許可する前に、ユーザの識別を行う方法です。認証には、有効なユーザクレデンシャル、証明書、またはその両方が必要です。認証は、単独で使用することも、認可およびアカウンティングとともに使用することもできます。

以前にリモートアクセス VPN ユーザを認証するように設定した LDAP または AD レルムか RADIUS サーバグループを指定します。

ステップ 5

[認可（Authorization）] で次の項目を選択します。

[認可（Authorization Server）]：認証の完了後、認可によって、認証済みの各ユーザが使用できるサービスおよびコマンドが制御されます。認可は、ユーザが実行を認可されていることを示す属性のセット、実際の機能、および制限事項をアセンブルすることによって機能します。認可を使用しない場合は、認証が単独で、認証済みのすべてのユーザに対して同じアクセス権を提供します。認可には、認証が必要です。RADIUS サーバのみが承認サービスでサポートされます。リモートアクセス VPN 認可の仕組みについては、権限および属性のポリシー実施の概要を参照してください。

リモートアクセス VPN ユーザを承認するように事前設定された RADIUS サーバグループオブジェクトを入力または選択します。

RADIUS サーバが接続プロファイルのユーザ承認用に構成されている場合、リモートアクセス VPN システムの管理者は、ユーザまたはユーザグループに複数の承認属性を構成できます。RADIUS サーバに構成される承認属性は、ユーザまたはユーザグループに固有にできます。ユーザが認証されると、これらの特定の承認属性が Firepower Threat Defense デバイスにプッシュされます。

（注）

許可サーバから所得した AAA サーバ属性は、グループポリシーまたは接続プロファイルで事前に設定されていた可能性がある属性値を上書きします。

必要な場合は、[ユーザが承認データベースに存在するときにのみ接続を許可（Allow connection only if user exists in authorization database）] をオンにします。

有効にすると、システムは正常に接続するために、クライアントのユーザ名が承認データベース内に存在することを確認します。ユーザ名が承認データベース内に存在しない場合、接続が拒否されます。

ステップ 6

[アカウンティング（Accounting）] で次の項目を選択します。

[アカウンティングサーバ（Accounting Server）]：アカウンティングは、ユーザがアクセスしているサービス、およびユーザが消費しているネットワークリソース量を追跡するために使用されます。AAA アカウンティングがアクティブになると、ネットワークアクセスサーバはユーザアクティビティを RADIUS サーバに報告します。アカウンティング情報には、セッションの開始時刻と停止時刻、ユーザ名、セッションごとのデバイスを通過したバイト数、使用されたサービス、および各セッションの時間が含まれています。このデータを、ネットワーク管理、クライアント請求、または監査のために分析できます。アカウンティングは、単独で使用するか、認証および認可とともに使用することができます。

リモートアクセス VPN セッションを構成するために使用される RADIUS サーバグループオブジェクトを指定します。

ステップ 7

[詳細設定（Advanced Settings）] で次の項目を選択します。

[ユーザ名からレルムを削除（Strip Realm from username）]：ユーザ名を AAA サーバに渡す前に、ユーザ名からレルムを削除するには選択します。たとえば、このオプションを選択して、domain\username を指定した場合、ユーザ名からドメインが削除され、認証用の AAA サーバに送信されます。デフォルトでは、このオプションはオフになっています。

[ユーザ名からグループを削除（Strip Group from username）]：ユーザ名を AAA サーバに渡す前に、ユーザ名からグループを削除するには選択します。デフォルトでは、このオプションはオフになっています。

（注）

レルムとは管理ドメインのことです。これらのオプションを有効にすると、ユーザ名だけに基づいて認証できます。これらのオプションを任意に組み合わせて有効にできます。ただし、サーバが区切り文字を解析できない場合は、両方のチェックボックスをオンにする必要があります。

[パスワード管理（Password Management）]：リモートアクセス VPN ユーザのパスワードを管理できるようにします。パスワードが期限切れになる前に通知するか、パスワードが期限切れになる日に通知するかを選択します。

ステップ 8

[保存（Save）] をクリックします。

の RADIUS サーバ属性 Firepower Threat Defense

Firepower Threat Defense デバイスは、リモートアクセス VPN ポリシーで認証および/または承認のために設定された外部 RADIUS サーバから、VPN 接続にユーザ承認属性（ユーザの権利または権限とも呼ばれる）を適用することをサポートしています。

（注）

Firepower Threat Defense デバイスはベンダー ID 3076 の属性をサポートしています。

次のユーザ認可属性が Firepower Threat Defense デバイスから RADIUS サーバに送信されます。

RADIUS 属性 146 および 150 は、認証および認可の要求の場合に Firepower Threat Defense デバイスから RADIUS サーバに送信されます。
3 つの属性（146、150、151）はすべて、アカウンティングの開始、暫定更新、および停止要求のために、Firepower Threat Defense デバイスから RADIUS サーバに送信されます。

表 1. Firepower Threat Defense から RADIU サーバに送信される RADIUS 属性
属性	属性番号	構文、タイプ	シングルまたはマルチ値	説明または値
接続プロファイル名またはトンネルグループ名。	146	文字列	シングル	1 ～ 253 文字
クライアントタイプ（Client Type）	150	整数	シングル	2 = AnyConnect クライアント SSL VPN、6 = AnyConnect クライアント IPsec VPN（IKEv2）
セッションタイプ	151	整数	シングル	1 = AnyConnect クライアント SSL VPN、2 = AnyConnect クライアント IPsec VPN（IKEv2）

表 2. 送信される RADIUS 属性 Firepower Threat Defense
属性	属性番号	構文、タイプ	シングルまたはマルチ値	説明または値
Access-List-Inbound	86	文字列	シングル	アクセスリスト属性の両方が、FTD デバイスで設定されている ACL の名前を使用します。スマート CLI 拡張アクセスリストのオブジェクトタイプを作成します（[デバイス（Device）] > [詳細設定（Advanced Configuration）] > [スマートCLI（Smart CLI）] > [オブジェクト（Object）] を選択します）。これらの ACL は、着信（FTD デバイスに入るトラフィック）または発信（FTD デバイスから出るトラフィック）方向のトラフィックフローを制御します。
Access-List-Outbound	87	文字列	シングル
Address-Pools	217	文字列	シングル	FTD デバイスで定義されたネットワークオブジェクトの名前。RA VPN へのクライアント接続のアドレスプールとして使用されるサブネットを識別します。[オブジェクト（Objects）] ページでネットワークオブジェクトを定義します。
Banner1	15	文字列	シングル	ユーザがログインするときに表示されるバナー。
Banner2	36	文字列	シングル	ユーザがログインするときに表示されるバナーの 2 番目の部分。Banner2 は Banner1 に付加されます。
ダウンロード可能 ACL（Downloadable ACLs）	Cisco-AV-Pair	merge-dacl {before-avpair \| after-avpair}		Cisco-AV-Pair 構成でサポートされます。
Filter ACLs	86、87	文字列	シングル	フィルタ ACL は、RADIUS サーバで ACL 名で参照されます。ACL 設定が Firepower Threat Defense デバイス上にすでに存在していて、RADIUS 承認時に使用できるようにする必要があります。 86 = アクセスリスト-インバウンド 87 = アクセスリスト-アウトバウンド
Group-Policy	25	文字列	シングル	接続に使用されるグループポリシー。RA VPN の [グループポリシー（Group Policy）] ページでグループポリシーを作成する必要があります。次の形式のいずれかを使用できます。 `グループポリシー名` OU=`グループポリシー名` OU=`グループポリシー名`;
Simultaneous-Logins	2	整数	シングル	ユーザが確立を許可されている個別の同時接続の数（0 ～ 2147483647）。
VLAN	140	整数	シングル	ユーザの接続を制限する VLAN（0 ～ 4094）。FTD デバイスのサブインターフェイスでも、この VLAN を設定する必要があります。

接続プロファイルのエイリアスの作成または更新

エイリアスには、特定の接続プロファイルの代替名または URL が含まれます。リモートアクセス VPN 管理者は、エイリアス名とエイリアス URL を有効または無効にできます。VPN ユーザは、Firepower Threat Defense デバイスに接続するときにエイリアス名を選択できます。このデバイスに設定されているすべての接続のエイリアス名の表示をオンまたはオフにできます。また、リモートアクセス VPN 接続の開始時にエンドポイントが選択できるエイリアス URL のリストを設定することもできます。ユーザがエイリアス URL を使用して接続すると、システムはエイリアス URL と一致する接続プロファイルを使用して自動的にそのユーザをログに記録します。

手順

ステップ 1	[Devices] > [VPN] > [Remote Access]を選択します。
ステップ 2	使用可能な VPN ポリシーのリストから、設定を変更するポリシーを選択します。
ステップ 3	接続プロファイルを選択し、対応する編集アイコンをクリックします。
ステップ 4	[エイリアス（Aliases）] タブをクリックします。
ステップ 5	エイリアス名を追加するには、次の手順を実行します。 [エイリアス名（Alias Names）] の [追加（Add）] をクリックします。 [エイリアス名（Alias Name）] を指定します。エイリアスを有効にするには、各ウィンドウで [有効（Enabled）] チェックボックスをオンにします。 [OK] をクリックします。
ステップ 6	エイリアス URL を追加するには、次の手順を実行します。 [エイリアスURL（Alias URL）] の [追加（Add）] をクリックします。リストから [エイリアスURL（Alias URL）] を選択するか、新しい URL オブジェクトを作成します。詳細については、URL オブジェクトの作成を参照してください。エイリアスを有効にするには、各ウィンドウで [有効（Enabled）] チェックボックスをオンにします。 [OK] をクリックします。エイリアス名またはエイリアス URL を編集するには、[編集（Edit）] アイコンをクリックします。エイリアス名またはエイリアス URL を削除するには、その行で [削除（Delete）] アイコンをクリックします。
ステップ 7	[保存（Save）] をクリックします。

リモートアクセス VPN のアクセスインターフェイスの設定

[アクセスインターフェイス（Access Interface）] テーブルには、デバイスインターフェイスを含むインターフェイスグループとセキュリティゾーンが示されています。これらは、リモートアクセス SSL または IPsec IKEv2 VPN 接続用に設定されています。このテーブルには、各インターフェイスグループまたはセキュリティゾーン、インターフェイスで使用されるインターフェイストラストポイント、および Datagram Transport Layer Security（DTLS）が有効かどうかが表示されます。


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
エクスポート制御機能が有効なスマートライセンスアカウントに関連付けられている次の AnyConnect ライセンスのいずれか。 AnyConnect VPN Only AnyConnect Plus AnyConnect Apex	該当なし	FTD	任意（Any）	Admin

手順

ステップ 1

[Devices] > [VPN] > [Remote Access]を選択します。

ステップ 2

リストから既存のリモートアクセス VPN ポリシーを選択し、対応する [編集（Edit）] アイコンをクリックします。

ステップ 3

[アクセスインターフェイス（Access Interface）] タブをクリックします。

ステップ 4

アクセスインターフェイスを追加するには、[追加（Add）] アイコンを選択し、[アクセスインターフェイスの追加（Add Access Interface）] ウィンドウで以下に対する値を指定します。

[アクセスインターフェイス（Access Interface）]：インターフェイスが属するインターフェイスグループまたはセキュリティゾーンを選択します。

インターフェイスグループまたはセキュリティゾーンは、ルーテッドタイプでなければなりません。他のインターフェイスタイプは、リモートアクセス VPN 接続ではサポートされていません。
次のオプションを選択して、アクセスインターフェイスに [プロトコル（Protocol）] オブジェクトを関連付けます。
- [IPSet-IKEv2の有効化（Enable IPSet-IKEv2）]：IKEv2 設定を有効にするには、このオプションを選択します。
- [SSL の有効化（Enable SSL）]：SSL 設定を有効にするには、このオプションを選択します。
  - [Datagram Transport Layer Security の有効化（Enable Datagram Transport Layer Security）] を選択します。
    
    選択すると、インターフェイスで Datagram Transport Layer Security（DTLS）がイネーブルになり、AnyConnect VPN Client は 2 つの同時トンネル（SSL トンネルと DTLS トンネル）を使用して SSL VPN 接続を確立できます。
    
    DTLS を有効にすると、一部の SSL 接続で発生する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイムアプリケーションのパフォーマンスが向上します。
  - [インターフェイス固有のアイデンティティ証明書を設定する（Configure Interface Specific Identity Certificate）] チェックボックスをオンにして、ドロップダウンリストから [インターフェイスアイデンティティ証明書（Interface Identity Certificate）] を選択します。
    
    [インターフェイスアイデンティティ証明書（Interface Identity Certificate）] を選択しないと、[トラストポイント（Trustpoint）] がデフォルトで使用されます。
    
    [インターフェイスアイデンティティ証明書（Interface Identity Certificate）] または [トラストポイント（Trustpoint）] を選択しないと、[SSLグローバルアイデンティティ証明書（SSL Global Identity Certificate）] がデフォルトで使用されます。
[OK] をクリックして変更を保存します。

ステップ 5

[アクセス設定（Access Settings）] で次の項目を選択します。

[ユーザがログイン中に接続プロファイルを選択することを許可する（Allow Users to select connection profile while logging in）]：複数の接続プロファイルがある場合、このオプションを選択すると、ユーザはログイン時に正しい接続プロファイルを選択できます。このオプションを IPsec-IKEv2 VPN に選択する必要があります。

ステップ 6

[SSL設定（SSL Settings）] で次のオプションを使用します。

[Web アクセスポート番号（Web Access Port Number）]：VPN セッションで使用するポート。デフォルトポートは 443 です。
[DTLS ポート番号（DTLS Port Number）]：DTLS 接続に使用する UDP ポート。デフォルトポートは 443 です。
[SSLグローバルアイデンティティ証明書（SSL Global Identity Certificate）]：[インターフェイス固有のアイデンティティ証明書（Interface Specific Identity Certificate）] が提供されていない場合、選択した [SSLグローバルアイデンティティ証明書（SSL Global Identity Certificate）] がすべての関連インターフェイスに使用されます。

ステップ 7

[IPsec-IKEv2設定（IPsec-IKEv2 Settings）] の場合、リストから [IKEv2アイデンティティ証明書（IKEv2 Identity Certificate）] を選択するか、アイデンティティ証明書を追加します。

ステップ 8

[VPNトラフィックのアクセスコントロール（Access Control for VPN Traffic）] セクションで、アクセスコントロールポリシーをバイパスする場合に次のオプションを選択します。

[復号されたトラフィック（sysopt permit-vpn）に対するバイパスアクセスコントロールポリシー（Bypass Access Control policy for decrypted traffic (sysopt permit-vpn)）]：デフォルトでは、復号されたトラフィックは、アクセスコントロールポリシーのインスペクションの対象になります。復号されたトラフィックオプションに対してバイパスアクセスコントロールポリシーを有効にすると、ACL インスペクションがバイパスされますが、AAA サーバからダウンロードされた VPN フィルタ ACL と認証 ACL は、VPN トラフィックに引き続き適用されます。

（注）

このオプションを選択した場合は、Firepower Threat Defense デバイスのアクセスコントロールポリシーの更新で指定したリモートアクセス VPN のアクセスコントロールポリシーを更新する必要はありません。

ステップ 9

[保存（Save）] をクリックしてアクセスインターフェイスの変更を保存します。

Cisco AnyConnect セキュアモビリティクライアントイメージ

Cisco AnyConnect セキュアモビリティクライアントは Firepower Threat Defense デバイスへのセキュアな SSL 接続または IPsec（IKEv2）接続を提供し、これにより、リモートユーザによる企業リソースへのフル VPN プロファイリングが可能となります。インストール済みのクライアントがない場合、リモートユーザは、クライアントレス VPN 接続を受け入れるように設定されたインターフェイスの IP アドレスをブラウザに入力し、AnyConnect クライアントをダウンロードしてインストールすることができます。Firepower Threat Defense デバイスは、リモートコンピュータのオペレーティングシステムに適合するクライアントをダウンロードします。ダウンロード後に、クライアントがインストールされてセキュアな接続が確立されます。すでにクライアントがインストールされている場合は、ユーザの認証時に Firepower Threat Defense デバイスがクライアントのバージョンを検査し、必要に応じてクライアントをアップグレードします。

リモートアクセス VPN 管理者は、新規または追加の AnyConnect クライアントイメージを VPN ポリシーに関連付けます。管理者は、サポート対象外または期限切れで不要になったクライアントパッケージの関連付けを解除できます。

Firepower Management Center は、ファイルパッケージ名を使用してオペレーティングシステムの種類を判別します。ユーザがオペレーティングシステム情報を示さずにファイルの名前を変更した場合は、有効なオペレーティングシステムタイプをリストボックスから選択する必要があります。

シスコのソフトウェアダウンロードセンターを参照して AnyConnect クライアントイメージファイルをダウンロードします。

への Cisco AnyConnect Mobility クライアントイメージの追加 Firepower Management Center

[AnyConnectファイル（AnyConnect File）] オブジェクトを使用して、Cisco AnyConnect Mobility クライアントイメージを Firepower Management Center にアップロードすることもできます。詳細については、FTD ファイルオブジェクトを参照してください。クライアントイメージの詳細については、Cisco AnyConnect セキュアモビリティクライアントイメージを参照してください。

特定のクライアントイメージを表示するには、[[再注文]ボタンの表示] をクリックします。

（注）

すでにインストールされている Cisco AnyConnect クライアントイメージを削除するには、その行の [削除（Delete）] アイコンをクリックします。


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
エクスポート制御機能が有効なスマートライセンスアカウントに関連付けられている次の AnyConnect ライセンスのいずれか。 AnyConnect VPN Only AnyConnect Plus AnyConnect Apex	該当なし	FTD	任意（Any）	Admin

手順

ステップ 1	Firepower Management Center Web インターフェイスで、[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）]、リストされている RA VPN ポリシーを選択および編集し、[詳細設定（Advanced）] タブを選択します。を選択します
ステップ 2	[AnyConnect イメージ（AnyConnect Images）] ダイアログの [使用可能な AnyConnect イメージ（Available AnyConnect Images）] 部分で [追加（Add）] アイコンをクリックします。
ステップ 3	使用可能な AnyConnect イメージの [名前（Name）]、[ファイル名（File Name）]、および [説明（Description）] を入力します。
ステップ 4	[参照（Browse）] をクリックして、アップロードするクライアントイメージを選択する場所に移動します。
ステップ 5	[保存（Save）] をクリックしてイメージを Firepower Management Center にアップロードします。クライアントイメージを Firepower Management Center にアップロードすると、オペレーティングシステムに Firepower Management Center にアップロードされたイメージのプラットフォーム情報が表示されます。

リモートアクセス VPN クライアントに対する AnyConnect イメージの更新

シスコのソフトウェアダウンロードセンターで新しい AnyConnect クライアント更新を入手できる場合は、そのパッケージを手動でダウンロードしてリモートアクセス VPN ポリシーに追加します。それにより、オペレーティングシステムに応じて VPN クライアントシステム上で新しい AnyConnect パッケージがアップグレードされます。

始める前に

この項の手順は、Firepower Threat Defense VPN ゲートウェイに接続しているリモートアクセス VPN クライアントに新しい AnyConnect クライアントイメージを更新するのに役立ちます。AnyConnect のイメージを更新する前に、次の設定が完了していることを確認します。

シスコのソフトウェアダウンロードセンターから最新の AnyConnect イメージファイルをダウンロードします。
Firepower Management Center の Web インターフェイスで、[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [VPN] > [AnyConnect ファイル（AnyConnect File）] に移動し、新しいAnyConnect クライアントイメージファイルを追加します。

手順

ステップ 1	Firepower Management Center の Web インターフェイスで、[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）] を選択します。
ステップ 2	リストから既存のリモートアクセスポリシーを選択し、対応する [編集（Edit）] アイコンをクリックします。
ステップ 3	[詳細（Advanced）] > [AnyConnect クライアントイメージ（AnyConnect Client Image）] >[追加（Add）] をクリックします。
ステップ 4	[利用可能なAnyConnectイメージ（Available AnyConnect Images）] からクライアントイメージファイルを選択し、[追加（Add）] をクリックします。必要な AnyConnect クライアントイメージが表示されていない場合は、[追加（Add）] アイコンをクリックして参照し、イメージをアップロードします。
ステップ 5	リモートアクセス VPN ポリシーを保存します。リモートアクセス VPN ポリシーの変更が展開されると、リモートアクセス VPN ゲートウェイとして設定されている Firepower Threat Defense デバイスで新しい AnyConnect クライアントイメージが更新されます。新しい VPN ユーザが VPN ゲートウェイに接続すると、クライアントイメージのオペレーティングシステムに応じて、新しい AnyConnect クライアントイメージがダウンロードされます。既存の VPN ユーザの場合、AnyConnect クライアントイメージは次の VPN セッションで更新されます。

リモートアクセス VPN のアドレス割り当てポリシー

Firepower Threat Defense デバイスは、IPv4 または IPv6 ポリシーを使用して、リモートアクセス VPN クライアントに IP アドレスを割り当てることができます。複数のアドレス割り当て方式を設定すると、Firepower Threat Defense デバイスは IP アドレスが見つかるまで各オプションを試行します。

IPv4 または IPv6 ポリシー

IPv4 または IPv6 ポリシーを使用すると、リモートアクセス VPN クライアントへの IP アドレスに対応できます。まず、IPv4 ポリシーを試してから、次に IPv6 ポリシーを試す必要があります。

[承認サーバを使用（Use Authorization Server）]：ユーザごとに外部承認サーバからアドレスを取得します。IP アドレスが設定された承認サーバを使用している場合は、この方式を使用することをお勧めします。アドレス割り当ては、RADIUS ベースの承認サーバでのみサポートされています。AD/LDAP ではサポートされていません。この方法は、IPv4 と IPv6 の両方の割り当てポリシーで使用できます。
[DHCP を使用（Use DHCP）]：接続プロファイルに設定された DHCP サーバから IP アドレスを取得します。グループポリシーで DHCP ネットワーク範囲を設定することによって、DHCP サーバが使用できる IP アドレスの範囲を定義することもできます。DHCP を使用する場合は、[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [ネットワーク（Network）] ペインでサーバを設定します。この方法は IPv4 の割り当てポリシーに使用できます。
[内部アドレスプールを使用（Use an internal address pool）]：内部的に設定されたアドレスプールは、最も設定が簡単なアドレスプール割り当て方式です。この方式を使用する場合は、[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [アドレスプール（Address Pools）] ペインで IP アドレスプールを作成し、接続プロファイルで同じものを選択します。この方法は、IPv4 と IPv6 の両方の割り当てポリシーで使用できます。

[IP アドレスが解放された後時間が経ってから IP アドレスを再利用する（Reuse an IP address so many minutes after it is released）]：IP アドレスがアドレスプールに戻った後、IP アドレスの再使用を遅らせます。遅延時間を設けることにより、IP アドレスがすぐに再割り当てされることによって発生する問題がファイアウォールで生じないようにできます。デフォルトでは、遅延はゼロに設定されています。つまり、Firepower Threat Defense デバイスは IP アドレスの再使用の際に遅延を課しません。遅延時間を延長する場合は、IP アドレスを再割り当てするまでの時間を 0 ～ 480 の範囲で指定します。この設定要素は、IPv4 割り当てポリシーで使用できます。

証明書マップの設定

証明書マップを使用して、証明書フィールドの内容に基づいて接続プロファイルとユーザ証明書をマッチングするルールを定義できます。証明書マップは、セキュアゲートウェイでの証明書認証に使用されます。

ルール、または証明書マップは、FTD 証明書のマップオブジェクトについてで定義されます。

手順

ステップ 1

[Devices] > [VPN] > [Remote Access]を選択します。

ステップ 2

リストから既存のリモートアクセス VPN ポリシーを選択し、対応する [編集（Edit）] アイコンをクリックします。

ステップ 3

[詳細（Advanced）] > [証明書マップ（Certificate Maps）] をクリックします。

ステップ 4

[証明書グループ照合の全般設定（General Settings for Certificate Group Matching）] ペインで次のオプションを選択します。

優先順位に基づいて選択されます。つまり、最初の選択候補で一致するものが見つからなかった場合、オプションリストの次の候補がマッチングされます。ルールが満たされると、マッピングが実行されます。ルールが満たされない場合、デフォルトの接続プロファイル（下に表示されている）がこの接続に使用されます。次のいずれか、またはすべてのオプションを選択して、認証を確立し、クライアントにマッピングする必要のある接続プロファイル（トンネルグループ）を決定します。

グループ URL と証明書マップが異なる接続プロファイルと一致する場合、グループ URL を使用します
[設定されているルールを使用して証明書を接続プロファイルと照合（Use the configured rules to match a certificate to a Connection Profile）]：接続プロファイルマップで定義されているルールを使用するには、これを有効にします。

（注）

証明書マッピングを設定することは、証明書に基づく認証を意味します。設定されている認証方法に関係なく、リモートユーザはクライアント証明書を提供するよう求められます。

ステップ 5

[証明書から接続プロファイルへのマップ（Certificate to Connection Profile Map）] セクションで、[マッピングの追加（Add Mapping）] をクリックし、このポリシーの証明書から接続プロファイルへのマッピングを作成します。

[証明書マップ（Certificate Map）] オブジェクトを選択するか、作成します。
証明書マップオブジェクトのルールが満たされた場合に使用する必要のある [接続プロファイル（Connection Profile）] を選択します。
[OK] をクリックして、マッピングを作成します。

ステップ 6

[保存（Save）] をクリックします。

グループポリシーの設定

グループポリシーはグループポリシーオブジェクト内に保存される属性と値の一連のペアで、リモートアクセス VPN のエクスペリエンスを定義します。たとえば、グループポリシーオブジェクトで、アドレス、プロトコル、接続設定などの一般的な属性を設定します。

ユーザに適用されるグループポリシーは VPN トンネルが確立される際に決定されます。RADIUS 承認サーバがグループポリシーを割り当てるか、または現在の接続プロファイルから取得されます。

（注）

FTD ではグループポリシー属性の継承はありません。ユーザについては、グループポリシーオブジェクトが全体として使用されます。ログイン時に AAA サーバで特定されたグループポリシーオブジェクトが使用されるか、またはこれが指定されていない場合は、VPN 接続に対して設定されたデフォルトのグループポリシーが使用されます。指定されたデフォルトのグループポリシーはデフォルト値に設定できますが、これは、接続プロファイルに割り当てられ、他のグループポリシーがユーザに対して特定されていない場合にのみ使用されます。


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
任意（Any）	該当なし	FTD	任意（Any）	Admin

手順

ステップ 1	[Devices] > [VPN] > [Remote Access]を選択します。
ステップ 2	リストから既存のリモートアクセス VPN ポリシーを選択し、対応する [編集（Edit）] アイコンをクリックします。
ステップ 3	[詳細（Advanced）] > [グループポリシー（Group Policies）] をクリックします。
ステップ 4	このリモートアクセス VPN ポリシーに関連付けるグループポリシーをさらに選択します。これらは、リモートアクセス VPN ポリシー作成中に割り当てられたデフォルトのグループポリシーを凌駕するものです。[追加（Add）] をクリックします。 [更新（Refresh）] と [検索（Search）] ユーティリティを使用して、グループポリシーを検索します。必要に応じて、新しいグループポリシーオブジェクトを追加します。
ステップ 5	利用可能なグループポリシーから [グループポリシー（group policies）] を選択し、[追加（Add）] をクリックして選択します。
ステップ 6	[OK] をクリックして、グループポリシーの選択を完了します。

リモートアクセス VPN の IPsec の設定

IPsec 設定は、リモートアクセス VPN ポリシーを設定する際に、VPN プロトコルとして IPsec を選択した場合にのみ適用可能です。そうでない場合は、[アクセスインターフェイスの編集（Edit Access Interface）] ダイアログボックスを使用して、IKEv2 を有効にすることができます。詳細については、リモートアクセス VPN のアクセスインターフェイスの設定を参照してください。


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
エクスポート制御機能が有効なスマートライセンスアカウントに関連付けられている次の AnyConnect ライセンスのいずれか。 AnyConnect VPN Only AnyConnect Plus AnyConnect Apex	該当なし	FTD	任意（Any）	Admin

手順

ステップ 1	[Devices] > [VPN] > [Remote Access]を選択します。
ステップ 2	使用可能な VPN ポリシーのリストから、設定を変更するポリシーを選択します。
ステップ 3	[Advanced] タブをクリックします。 IPsec 設定のリストは、画面左側のナビゲーションウィンドウに表示されます。
ステップ 4	ナビゲーションウィンドウを使用して、次の IPsec オプションを編集します。暗号マップ（Crypto Maps）：[暗号マップ（Crypto Maps）] ページには、IKEv2 プロトコルが有効になっているインターフェイスグループがリストされます。暗号マップは、IKEv2 プロトコルが有効になっているインターフェイス用に自動生成されます。暗号マップを編集するには、リモートアクセス VPN 暗号マップの設定を参照してください。[アクセスインターフェイス（Access Interface）] タブで、選択した VPN ポリシーにインターフェイスグループを追加または削除できます。詳細については、リモートアクセス VPN のアクセスインターフェイスの設定を参照してください。 IKE ポリシー（IKE Policy）：[IKE ポリシー（IKE Policy）] ページには、AnyConnect エンドポイントが IPsec プロトコルを使用して接続している場合、選択した VPN ポリシーに適用可能なすべての IKE ポリシーオブジェクトがリストされます。詳細については、リモートアクセス VPN での IKE ポリシーを参照してください。新しい IKE ポリシーを追加するには、IKEv2 ポリシーオブジェクトの設定を参照してください。FTD がサポートしているのは AnyConnect IKEv2 のみです。サードパーティ標準の IKEv2 クライアントはサポートされていません。 [IPsec/IKEv2 パラメータ（IPsec/IKEv2 Parameters）]：[IPsec/IKEv2 パラメータ（IPsec/IKEv2 Parameters）] ページでは、IKEv2 セッション設定、IKEv2 セキュリティアソシエーション設定、IPsec 設定、および NAT 透過設定を変更できます。詳細については、リモートアクセス VPN の [IPsec/IKEv2パラメータ（IPsec/IKEv2 Parameters）] の設定を参照してください。
ステップ 5	[保存（Save）] をクリックします。

リモートアクセス VPN 暗号マップの設定

暗号マップは、IPsec-IKEv2 プロトコルが有効になっているインターフェイス用に自動生成されます。[アクセスインターフェイス（Access Interface）] タブで、選択した VPN ポリシーにインターフェイスグループを追加または削除できます。詳細については、リモートアクセス VPN のアクセスインターフェイスの設定を参照してください。


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
エクスポート制御機能が有効なスマートライセンスアカウントに関連付けられている次の AnyConnect ライセンスのいずれか。 AnyConnect VPN Only AnyConnect Plus AnyConnect Apex	該当なし	FTD	任意（Any）	Admin

手順

ステップ 1

[Devices] > [VPN] > [Remote Access]を選択します。

ステップ 2

使用可能な VPN ポリシーのリストから、設定を変更するポリシーを選択します。

ステップ 3

[詳細設定（Advanced）] > [暗号マップ（Crypto Maps）] をクリックし、テーブルの行を選択して、[編集（Edit）] アイコンをクリックし、暗号マップオプションを編集します。

ステップ 4

[IKEv2 IPsecプロポーザル（IKEv2 IPsec Proposals）] を選択し、トランスフォームセットを選択して、トンネル内のトラフィックの保護に使用される認証アルゴリズムおよび暗号化アルゴリズムを指定します。

ステップ 5

[リバースルートインジェクションを有効にする（Enable Reverse Route Injection）] を選択し、スタティックルートは、リモートトンネルエンドポイントで保護されているネットワークとホストのルーティングプロセスに自動的に挿入されます。

ステップ 6

[クライアントサービスの有効化（Enable Client Services）] を選択し、ポート番号を指定します。

クライアントサービスサーバは、HTTPS（SSL）アクセスを提供します。これにより、AnyConnect ダウンロードは、ソフトウェアアップグレード、プロファイル、ローカリゼーションおよびカスタマイゼーションファイル、CSD、SCEP、および AnyConnect クライアントが必要とするその他のファイルダウンロードを受信できます。このオプションを選択した場合は、クライアントサービスのポート番号を指定します。クライアントサービスサーバを有効にしない場合、ユーザは、AnyConnect クライアントが必要する可能性があるこれらのファイルをダウンロードできません。

（注）

同じデバイスで実行する SSL VPN に対して同じポートを使用できます。SSL VPN を設定した場合でも、IPsec-IKEv2 クライアントで SSL を介してファイルをダウンロードするには、このオプションを選択する必要があります。

ステップ 7

[Perfect Forward Secrecyの有効化（Enable Perfect Forward Secrecy）] を選択し、[係数グループ（Modulus Group）] を選択します。

暗号化された交換ごとに一意のセッションキーを生成および使用するために、Perfect Forward Secrecy（PFS）を使用します。固有のセッションキーを使用することで、後続の復号から交換が保護されます。また、交換全体が記録されていて、攻撃者がエンドポイントデバイスで使用されている事前共有キーや秘密キーを入手している場合であっても保護されます。このオプションを選択する場合は、[係数グループ（Modulus Group）] リストで、PFS セッションキーの生成時に使用する Diffie-Hellman キー導出アルゴリズムも選択します。

係数グループは、2 つの IPsec ピア間の共有秘密キーを互いに送信することなく取得するために使用する Diffie-Hellman グループです。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。2 つのピアに、一致する係数グループが設定されている必要があります。リモートアクセス VPN 設定を許可する係数グループを選択します。

[1]：Diffie-Hellman グループ 1（768 ビット係数）。
[2]：Diffie-Hellman グループ 2（1024 ビット係数）。
[5]：Diffie-Hellman グループ 5（1536 ビット係数。128 ビットキーの保護に推奨されるが、グループ 14 の方がより強力）。AES 暗号化を使用する場合は、このグループ（またはそれ以上）を使用します。
[14]：Diffie-Hellman グループ 14（2048 ビット係数。128 ビットキーの保護に推奨される）。
[19]：Diffie-Hellman グループ 19（256 ビットの楕円曲線フィールドサイズ）。
[20]：Diffie-Hellman グループ 20（384 ビットの楕円曲線フィールドサイズ）。
[21]：Diffie-Hellman グループ 21（521 ビットの楕円曲線フィールドサイズ）。
[24]：Diffie-Hellman グループ 24（2048 ビット係数および 256 ビット素数位数サブグループ）。

ステップ 8

[ライフタイム継続時間（秒数）（Lifetime Duration (seconds)）] を指定します。

セキュリティアソシエーション（SA）のライフタイム（秒数）。このライフタイムを超えると、SA の期限が切れ、2 つのピア間で再ネゴシエーションを行う必要があります。一般的に、一定の限度に達するまで、ライフタイムが短いほど、IKE ネゴシエーションがセキュアになります。ただし、ライフタイムが長いと、今後の IPsec セキュリティアソシエーションのセットアップが、短いライフタイムの場合よりも迅速に行われます。

120 ～ 2147483647 秒の値を指定できます。デフォルトは 28800 秒です。

ステップ 9

[ライフタイムのサイズ（KB）（Lifetime Size (kbytes)）] を指定します。

特定のセキュリティアソシエーションが期限切れになる前にそのセキュリティアソシエーションを使用して IPsec ピア間を通過できるトラフィック量（KB 単位）。

10 ～ 2147483647 KB の値を指定できます。デフォルトは 4,608,000 KB です。無限のデータを指定することはできません。

ステップ 10

次の [ESPv3設定（ESPv3 Settings）] を選択します。

[着信ICMPのエラーメッセージを検証（Validate incoming ICMP error messages）]：IPsec トンネルを介して受信され、プライベートネットワーク上の内部ホストが宛先の ICMP エラーメッセージを検証するかどうかを選択します。
[「フラグメント禁止」ポリシーを有効にする（Enable 'Do Not Fragment' Policy）]：IP ヘッダーに Do-Not-Fragment（DF）ビットセットを使用する大量のパケットを IPsec サブシステムがどのように処理するかを定義し、[ポリシー（Policy）] リストからいずれかの項目を選択します。
- コピー（Copy）：DF ビットを保持します。
- クリア（Clear）：DF ビットを無視します。
- 設定（Set）：DF ビットを設定して使用します。
[トラフィックフロー機密保持（TFC）パケットを有効にする（Enable Traffic Flow Confidentiality (TFC) Packets）]：トンネルを通過するトラフィックプロファイルをマスクするダミーの TFC パケットを有効にします。[バースト（Burst）]、[ペイロードサイズ（Payload Size）]、および [タイムアウト（Timeout）] パラメータを使用して、指定した SA で不定期にランダムな長さのパケットを生成します。
- バースト（Burst）：1 ～ 16 バイトの値を指定します。
- ペイロードサイズ（Payload Size）：64 ～ 1024 バイトの値を指定します。
- タイムアウト（Timeout）：10 ～ 60 秒の値を指定します。

ステップ 11

[OK] をクリックします。

リモートアクセス VPN での IKE ポリシー

Internet Key Exchange（IKE、インターネットキーエクスチェンジ）は、IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec Security Association（SA、セキュリティアソシエーション）の自動的な確立に使用されるキー管理プロトコルです。IKE ネゴシエーションは 2 つのフェーズで構成されています。フェーズ 1 では、2 つの IKE ピア間のセキュリティアソシエーションをネゴシエートします。これにより、ピアはフェーズ 2 で安全に通信できるようになります。フェーズ 2 のネゴシエーションでは、IKE によって IPsec などの他のアプリケーション用の SA が確立されます。両方のフェーズで接続のネゴシエーション時にプロポーザルが使用されます。IKE プロポーザルは、2 つのピア間のネゴシエーションを保護するためにこれらのピアで使用されるアルゴリズムのセットです。IKE ネゴシエーションは、共通（共有）IKE ポリシーに合意している各ピアによって開始されます。このポリシーは、後続の IKE ネゴシエーションを保護するために使用されるセキュリティパラメータを示します。

（注）

FTD は、リモートアクセス VPN では IKEv2 のみサポートします。

IKEv1 とは異なり、IKEv2 プロポーザルでは、1 つのポリシーで複数のアルゴリズムおよびモジュラスグループを選択できます。フェーズ 1 のネゴシエーションでピアを選択するため、作成する IKE プロポーザルの数を 1 つにすることは可能ですが、複数の異なる IKE プロポーザルを作成して、最も望ましいオプションを高い優先順位に設定することも検討してください。IKEv2 では、ポリシーオブジェクトが認証方式を指定しないため、その他のポリシーで認証要件を定義する必要があります。

リモートアクセス IPsec VPN を設定する際には IKE ポリシーが必要です。

リモートアクセス VPN IKE ポリシーの設定

IKE ポリシーテーブルには、IPsec プロトコルを使用して AnyConnect のエンドポイントを接続するとき、選択した VPN 設定に利用可能なすべての IKE ポリシーオブジェクトを記述します。詳細については、リモートアクセス VPN での IKE ポリシーを参照してください。

（注）

FTD では、リモートアクセス VPN の IKEv2 のみに対応しています。

手順

ステップ 1	[Devices] > [VPN] > [Remote Access]を選択します。
ステップ 2	使用可能な VPN ポリシーのリストから、設定を変更するポリシーを選択します。
ステップ 3	[詳細設定（Advanced）] > [IKEポリシー（IKE Policy）] をクリックします。
ステップ 4	[追加（Add）] ボタンをクリックして、利用可能な IKEv2 ポリシーから選択するか、新しい IKEv2 ポリシーを追加して、次の項目を指定します。 [Name（名前）]：IKEv2 ポリシーの名前。 [説明（Description）]：IKEv2 ポリシーの任意の説明 [優先度（Priority）]：このプライオリティ値によって、共通のセキュリティアソシエーション（SA）の検出試行時に、ネゴシエーションする 2 つのピアを比較することで、IKE ポリシーの順序が決定します。 [ライフタイム（Lifetime）]：セキュリティアソシエーション（SA）のライフタイム（秒数）。 [整合性（Integrity）]：IKEv2 ポリシーで使用されるハッシュアルゴリズムの整合性アルゴリズム部分です。 [暗号化（Encryption）]：フェーズ 2 ネゴシエーションを保護するためのフェーズ 1 SA の確立に使用される暗号化アルゴリズムです。 [PRFハッシュ（PRF Hash）]：IKE ポリシーに使用されるハッシュアルゴリズムの疑似乱数関数（PRF）部分です。IKEv2 では、これらの要素に異なるアルゴリズムを指定できます。 [DHグループ（DH Group）]：暗号化に使用する Diffie-Hellman グループです。
ステップ 5	[保存（Save）] をクリックします。

リモートアクセス VPN の [IPsec/IKEv2パラメータ（IPsec/IKEv2 Parameters）] の設定

手順

ステップ 1	[Devices] > [VPN] > [Remote Access]を選択します。
ステップ 2	使用可能な VPN ポリシーのリストから、設定を変更するポリシーを選択します。
ステップ 3	[詳細設定（Advanced）] > [IPsec] > [IPsec/IKEv2パラメータ（IPsec/IKEv2 Parameters）] をクリックします。
ステップ 4	[IKEv2セッション設定（IKEv2 Session Settings）] で次の項目を選択します。 [ピアに送信されるID（Identity Sent to Peers）]：IKE ネゴシエーションでピアが自身の識別に使用する ID を選択します。 [自動（Auto）]：接続タイプごとの IKE ネゴシエーションを決定します。事前共有キー用の IP アドレス、証明書認証のための Cert DN（非対応）。 [IPアドレス（IP address）]：ISAKMP 識別情報を交換するホストの IP アドレスを使用します。ホスト名（Hostname）：ISAKMP 識別情報を交換するホストの完全修飾ドメイン名（FQDN)）を使用します。この名前は、ホスト名とドメイン名で構成されます。 [トンネルの切断時の通知を有効にする（Enable Notification on Tunnel Disconnect]：管理者は、SA で受信された着信パケットがその SA のトラフィックセレクタと一致しない場合のピアへの IKE 通知の送信を有効または無効にすることができます。デフォルトでは、[この通知を送信する（Sending this notification）] は無効になっています。 [すべてのセッションが終了するまでデバイスの再起動を許可しない（Do not allow device reboot until all sessions are terminated）]：オンにすると、すべてのアクティブなセッションが自主的に終了してからシステムが再起動されます。デフォルトでは、無効になっています。
ステップ 5	[IKEv2セキュリティアソシエーションIKEv（SA）の設定（IKEv2 Security Association (SA) Settings）] で次の項目を選択します。 [クッキーチャレンジ（Cookie Challenge）]：SA 開始パケットに応答してピアデバイスにクッキーチャレンジを送信するかどうかを選択します。阻止サービス妨害（DoS）攻撃に役立つことがあります。デフォルトでは、使用可能な SA の 50% がネゴシエーション中である場合にクッキーチャレンジを使用します。次のオプションのいずれか 1 つを選択します。 [カスタム（Custom）]：[着信クッキーチャレンジのしきい値（Threshold to Challenge Incoming Cookies）] を指定します。これは許可されるネゴシエーション中の SA の総数の割合です。この設定を指定すると、以降の SA ネゴシエーションに対してクッキーチャレンジがトリガーされます。範囲は 0 ～ 100% です。デフォルトは 50% です。 [常時（Always）]：ピアデバイスにクッキーチャレンジを常に送信します。 [不可（Never）]：ピアデバイスにクッキーチャレンジを送信しません。 [許可されるネゴシエーション中のSAの数（Number of SAs Allowed in Negotiation）]：一時点でのネゴシエーション中 SA の総数を制限します。クッキーチャレンジと共に使用する場合は、有効なクロスチェックが実行されるようにするため、クッキーチャレンジのしきい値をこの制限値よりも低くしてください。デフォルトは 100 % です。 [許可されるSAの最大数（Maximum number of SAs Allowed）]：許可される IKEv2 接続の数を制限します。
ステップ 6	[IPsec設定（IPsec Settings）] で次の項目を選択します。 [暗号化の前にフラグメンテーションを有効にする（Enable Fragmentation Before Encryption）]：このオプションは、IP フラグメンテーションをサポートしていない NAT デバイス間をトラフィックが通過できるようにします。このオプションを使用しても、IP フラグメンテーションをサポートしていない NAT デバイスの動作が妨げられることはありません。 [パスの最大伝送ユニットのエージング（Path Maximum Transmission Unit Aging）]：PMTU（パスの最大伝送ユニット）のエージング（SA（セキュリティアソシエーション）のリセット PMTU までのインターバル）が可能であるかを確認します。 [値のリセット間隔（Value Reset Interval）]：SA（セキュリティアソシエーション）の PMTU 値が元の値にリセットされるまでの時間（分）を入力します。有効範囲は 10 ～ 30 分です。デフォルトは無制限です。
ステップ 7	[NAT設定（NAT Settings）] で次の項目を選択します。 [キープアライブメッセージトラバーサル（Keepalive Messages Traversal）]：NAT キープアライブメッセージトラバーサルを有効にするかどうかを設定します。VPN 接続ハブとスポークとの間にデバイス（中間デバイス）が配置されている場合、キープアライブメッセージを転送するために NAT トラバーサルキープアライブを使用します。このデバイスでは、IPsec フローで NAT を実行します。このオプションを選択する場合は、セッションがアクティブであることを示すためにスポークと中間デバイス間でキープアライブ信号が送信される間隔（秒）を設定します。値は 10 ～ 3600 秒となります。デフォルトは 20 秒です。 [間隔（Interval）]：NAT キープアライブ間隔を 10 ～ 3600 秒に設定します。デフォルトは 20 秒です。
ステップ 8	[保存（Save）] をクリックします。

RADIUS ダイナミック認証

Firepower Threat Defense は、RADIUS サーバを使用して、ダイナミックアクセスコントロールリスト（ACL）またはユーザごとの ACL 名を使用する VPN リモートアクセスおよびファイアウォールカットスループロキシセッションのユーザ許可を実行できます。ダイナミック認証または RADIUS 認可変更（RADIUS CoA）のダイナミック ACL を実装するには、RADIUS サーバをサポートするように設定する必要があります。ユーザが認証を試みる場合、RADIUS サーバによってダウンロード可能 ACL、または ACL 名が Firepower Threat Defense に送信されます。特定のサービスへのアクセスは ACL によって許可されるか拒否されるかのいずれかです。Firepower Threat Defense は認証セッションの期限が切れると ACL を削除します。

RADIUS ダイナミック認証の設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
エクスポート制御機能が有効なスマートライセンスアカウントに関連付けられている次の AnyConnect ライセンスのいずれか。 AnyConnect VPN Only AnyConnect Plus AnyConnect Apex	該当なし	FTD	任意（Any）	Admin

始める前に：

RADIUS サーバで参照されている場合、セキュリティゾーンやインターフェイスグループには 1 つのインターフェイスのみ設定できます。
ダイナミック認証が有効になっている RADIUS サーバでダイナミック認証を機能させるためには、Firepower Threat Defense 6.3 以降が必要です。
Firepower Threat Defense 6.2.3 以前のバージョンでは、RADIUS サーバでのインターフェイスの選択はサポートされていません。展開中、インターフェイスオプションは無視されます。

表 3. 手順
	操作内容	詳細
ステップ 1	Firepower Management Center Web インターフェイスにログインします。
ステップ 2	ダイナミック認証を使用して、RADIUS サーバオブジェクトを設定します。	RADIUS サーバグループのオプション
ステップ 3	認可変更（CoA）が有効になっているインターフェイスを介して ISE サーバへのルートを設定し、ルーティングまたは特定のインターフェイスを介して Firepower Threat Defense から RADIUS サーバへの接続を確立します。	RADIUS サーバグループのオプションユーザ制御用 ISE/ISE-PIC の設定
ステップ 4	リモートアクセス VPN ポリシーを設定し、ダイナミック認証を使用して作成した RADIUS サーバグループオブジェクトを選択します。	新しいリモートアクセス VPN ポリシーの作成
ステップ 5	DNS サーバの詳細とドメインルックアップインターフェイスを [プラットフォーム設定（Platform Settings）] を使用して設定します。	DNS の設定 DNS サーバグループオブジェクト
ステップ 6	VNP ネットワーク経由で DNS サーバに到達可能な場合は、リモートアクセス VPN トンネルを介して DNS トラフィックを許可するためのスプリットトンネルをグループポリシーに設定します。	グループポリシーオブジェクトの設定
ステップ 7	設定変更を展開します。	設定変更の展開

二要素認証

リモートアクセス VPN に対してニ要素認証を設定することができます。二要素認証を使用する場合、ユーザはユーザ名とスタティックパスワードに加えて、RSA トークンやパスコードなどの追加項目を指定する必要があります。二要素認証が 2 番目の認証ソースを使用することと異なるのは、1 つの認証ソースで 2 つの要素が設定され、RSA サーバとの関係がプライマリ認証ソースに関連付けられている点です。

RSA 二要素認証の設定

このタスクの概要：

RADIUS サーバまたは AD サーバを RSA サーバの認証エージェントとして設定し、サーバをリモートアクセス VPN のプライマリ認証ソースとして Firepower Management Center で使用することができます。

この方法を使用する場合、ユーザは RADIUS または AD サーバで設定されているユーザ名を使用して認証し、パスワードと 1 回限りの一時的な RSA トークンを連結し、パスワードとトークンをコンマで区切る必要があります（password,token）。

この設定では、認証サービスを提供するために（Cisco ISE で供給されるような）個別の RADIUS サーバを使用することが一般的です。2 番目の RADIUS サーバを認証サーバとして設定し、必要に応じてアカウンティングサーバとしても設定します。


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
エクスポート制御機能が有効なスマートライセンスアカウントに関連付けられている次の AnyConnect ライセンスのいずれか。 AnyConnect VPN Only AnyConnect Plus AnyConnect Apex	該当なし	FTD	任意（Any）	Admin

始める前に：

Firepower Threat Defense に RADIUS 二要素認証を設定する前に、次の設定が完了していることを確認します。

RSA サーバ上で以下の操作を実行します。

RADIUS または Active Directory サーバを認証エージェントとして設定します。
設定（sdconf.rec）ファイルを生成してダウンロードします。
トークンプロファイルを作成してトークンをユーザに割り当て、トークンをユーザに配布します。トークンをダウンロードして、リモートアクセス VPN クライアントシステムにインストールします。

詳細については、RSA SecureID スイートのドキュメントを参照してください。

ISE サーバ上で以下の操作を実行します。

RSA サーバで生成した設定（sdconf.rec）ファイルをインポートします。
外部アイデンティティソースとして RSA サーバを追加して、共有秘密を指定します。

表 4. 手順

操作内容

詳細

ステップ 1

Firepower Management Center Web インターフェイスにログインします。

ステップ 2

RADIUS サーバグループを作成します。

RADIUS サーバグループのオプション

ステップ 3

RADIUS または AD サーバをホストとして指定して、新しい RADIUS サーバグループ内に RADIUS サーバオブジェクトを作成します。タイムアウトの時間は 60 秒以上に設定します。

RADIUS サーバオプション

（注）

RADIUS または AD サーバは、RSA サーバで認証エージェントとして設定されているサーバと同じである必要があります。

二要素認証の場合は、AnyConnect クライアントプロファイル XML ファイルでもタイムアウトが 60 秒以上に更新されていることを確認してください。

ステップ 4

ウィザードを使用して新しいリモートアクセス VPN ポリシーを設定するか、既存のリモートアクセス VPN ポリシーを編集します。

新しいリモートアクセス VPN ポリシーの作成

ステップ 5

認証サーバとして RADIUS を選択し、新しく作成した RADIUS サーバグループを認証サーバとして選択します。

リモートアクセス VPN の AAA 設定

ステップ 7

設定変更を展開します。

設定変更の展開

リモートアクセス VPN の AAA の設定のカスタマイズ

ここでは、リモートアクセス VPN の AAA プリファレンスのカスタマイズについて説明します。詳細については、リモートアクセス VPN の AAA 設定を参照してください。

クライアント証明書を使用した VPN ユーザの認証

ウィザードを使用するか、またはポリシーを後で編集することによって新しいリモートアクセス VPN ポリシーを作成するときに、クライアント証明書を使用してリモートアクセス VPN 認証を設定できます。

始める前に

VPN ゲートウェイとして機能する各 Firepower Threat Defense デバイスにアイデンティティ証明書を取得するために使用する証明書登録オブジェクトを設定します。

手順

ステップ 1	Firepower Management Center の Web インターフェイスで、[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）] を選択します。
ステップ 2	リスト内の既存のリモートアクセスポリシーを選択し、対応する [編集（Edit）] アイコンをクリックします。または、[追加（Add）] をクリックして新しいリモートアクセス VPN ポリシーを作成します。
ステップ 3	新しいリモートアクセス VPN ポリシーには、接続プロファイルの設定時に認証を設定します。既存の設定の場合は、クライアントプロファイルが含まれている接続プロファイルを選択し、[編集（Edit）] をクリックします。
ステップ 4	[AAA] タブで、[認証方式（Authentication Method）]、[クライアント証明書のみ（Client Certificate Only）] を選択します。この認証方式では、ユーザはクライアント証明書を使用して認証されます。VPN クライアントエンドポイントで設定する必要があります。デフォルトでは、ユーザ名はクライアント証明書フィールド CN および OU からそれぞれ派生します。クライアント証明書の他のフィールドにユーザ名が指定されている場合は、[プライマリ（Primary）] と [セカンダリ（Secondary）] フィールドを使用して適切なフィールドをマップします。クライアント証明書のユーザ名を含む [固有のフィールドをマップ（Map specific field）] オプションを選択する場合。[プライマリ（Primary）] フィールドと [セカンダリ（Secondary）] フィールドには、デフォルト値の [CN（共通名）（CN (Common Name)）] と [組織ユニット（OU）（OU (Organisational Unit)）] がそれぞれ表示されます。[DN全体をユーザ名として使用（Use entire DN as username）] オプションを選択した場合、ユーザ ID が自動的に取得されます。識別名（DN）は、個々のフィールドから構成される一意の識別子であり、ユーザを接続プロファイルと照合するときに識別子として使用できます。DN ルールは、拡張証明書認証に使用されます。 [固有のフィールドをマップ（Map specific field）] オプションに関連する [プライマリ（Primary）] フィールドと [セカンダリ（Secondary）] フィールドには、次の共通の値が含まれています。 C（国） CN（一般名） DNQ（DN 修飾子 EA（電子メールアドレス） GENQ（世代識別子） GN（姓名の名） I（イニシャル） L（地名） N（名前） O（組織） OU（組織ユニット） SER（シリアル番号） SN（姓名の姓） SP（都道府県） T（タイトル） UID（ユーザ ID） UPN（ユーザプリンシパル名）どの認証方式を選択する場合にも、[ユーザが承認データベースに存在するときにのみ接続を許可（Allow connection only if user exists in authorization database）] を選択または選択解除します。

クライアント証明書と AAA サーバ経由でのリモートアクセス VPN のログインの設定

クライアント証明書と認証サーバの両方を使用するようにリモートアクセス VPN 認証が設定されている場合、VPN クライアント認証はクライアント証明書の検証と AAA サーバの両方を使用して実行されます。

始める前に

VPN ゲートウェイとして機能する各 Firepower Threat Defense デバイスのアイデンティティ証明書を取得するために使用される証明書登録オブジェクトを設定します。
RADIUS サーバグループオブジェクトと、このリモートアクセス VPN ポリシーで使用されている AD または LDAP レルムを設定します。
リモートアクセス VPN 設定が機能するように AAA サーバに Firepower Threat Defense デバイスからアクセスできることを確認します。

手順

ステップ 1	Firepower Management Center の Web インターフェイスで、[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）] を選択します。
ステップ 2	リスト内の既存のリモートアクセスポリシーを選択し、対応する [編集（Edit）] アイコンをクリックします。または、[追加（Add）] をクリックして新しいリモートアクセス VPN ポリシーを作成します。
ステップ 3	新しいリモートアクセス VPN ポリシーには、接続プロファイルの設定時に認証を設定します。既存の設定の場合は、クライアントプロファイルが含まれている接続プロファイルを選択し、[編集（Edit）] をクリックします。
ステップ 4	[AAA] タブで、[認証方式（Authentication Method）]、[クライアント証明書と AAA（Client Certificate & AAA）] を選択します。 [認証方式（Authentication Method）] の選択に応じて、次のようになります。 [クライアント認証と AAA（Client Certificate & AAA）]：両方のタイプの認証が実行されます。 [AAA]：[認証サーバ（Authentication Server）] に [RADIUS] を選択した場合、デフォルトで許可サーバは同じ値になります。ドロップダウンリストから [アカウンティングサーバ（Accounting Server）] を選択します。認証サーバドロップダウンリストから [AD] と [LDAP] を選択した場合は常に、[認証サーバ（Authorization Server）] と [アカウンティングサーバ（Accounting Server）] をそれぞれ手動で選択する必要があります。 [クライアント証明書（Client Certificate）]：ユーザはクライアント証明書を使用して認証されます。クライアント証明書は、VPN クライアントエンドポイントで設定する必要があります。デフォルトでは、ユーザ名はクライアント証明書フィールド CN および OU からそれぞれ派生します。クライアント証明書の他のフィールドにユーザ名が指定されている場合は、[プライマリ（Primary）] と [セカンダリ（Secondary）] フィールドを使用して適切なフィールドをマップします。クライアント証明書のユーザ名を含む [固有のフィールドをマップ（Map specific field）] オプションを選択する場合。[プライマリ（Primary）] フィールドと [セカンダリ（Secondary）] フィールドには、デフォルト値の [CN（共通名）（CN (Common Name)）] と [組織ユニット（OU）（OU (Organisational Unit)）] がそれぞれ表示されます。[DN全体をユーザ名として使用（Use entire DN as username）] オプションを選択した場合、ユーザ ID が自動的に取得されます。識別名（DN）は、個々のフィールドから構成される一意の識別子であり、ユーザを接続プロファイルと照合するときに識別子として使用できます。DN ルールは、拡張証明書認証に使用されます。 [固有のフィールドをマップ（Map specific field）] オプションに関連する [プライマリ（Primary）] フィールドと [セカンダリ（Secondary）] フィールドには、次の共通の値が含まれています。 C（国） CN（一般名） DNQ（DN 修飾子 EA（電子メールアドレス） GENQ（世代識別子） GN（姓名の名） I（イニシャル） L（地名） N（名前） O（組織） OU（組織ユニット） SER（シリアル番号） SN（姓名の姓） SP（都道府県） T（タイトル） UID（ユーザ ID） UPN（ユーザプリンシパル名）どの認証方式を選択する場合にも、[ユーザが承認データベースに存在するときにのみ接続を許可（Allow connection only if user exists in authorization database）] を選択または選択解除します。

VPN セッションでのパスワード変更の管理

パスワードの管理では、リモートアクセス VPN 管理者がリモートアクセス VPN ユーザのパスワード期限切れの通知を設定できます。パスワード管理は、 AAA のみとクライアント証明書と AAA の認証設定の AAA 設定で使用できます。詳細については、リモートアクセス VPN の AAA 設定を参照してください。

手順

ステップ 1	Firepower Management Center の Web インターフェイスで、[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）] を選択します。
ステップ 2	リストから既存のリモートアクセスポリシーを選択し、対応する [編集（Edit）] アイコンをクリックします。
ステップ 3	AAA の設定が含まれている接続プロファイルを選択し、[編集（Edit）] をクリックします。
ステップ 4	[AAA] > [詳細設定（Advanced Settings）] > [パスワード管理（Password Management）] を選択します。
ステップ 5	[パスワード管理の有効化（Enable Password Management）] を選択し、次のいずれかを選択します。 [Notify User（ユーザ通知）]：パスワードの有効期限が切れる前にユーザに通知します。ボックスに日数を指定します。 [パスワードの有効期限の日にユーザに通知（Notify user on the day password expires）]：パスワードが期限切れになる当日にユーザに通知します。
ステップ 6	[保存（Save）] をクリックします。

承認を得るための LDAP または Active Directory の設定

認証に LDAP サーバまたは Active Directory（AD）サーバを使用してリモートアクセス VPN を設定する場合は、FlexConfig オブジェクトを使用して属性マップを設定する必要があります。これは、Firepower Management Center の Web インターフェイス上では属性マップが直接サポートされていないためです。

始める前に

LDAP または AD のレルムオブジェクトが作成されていることを確認します。

手順

ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）] を選択します。

ステップ 2

認証サーバとして、LDAP または AD レルムオブジェクトを含むリモートアクセス VPN ポリシーを作成します。または、既存のリモートアクセス VPN の設定を編集し、LDAP または AD レルムを認証サーバとして選択します。

ステップ 3

[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [FlexConfig] > [FlexConfig オブジェクト（FlexConfig Object）] を選択します。

ステップ 4

FlexConfig ポリシーを作成し、次の 2 つの FlexConfig オブジェクトを作成して追加セクションに割り当てます。

FlexConfig ポリシーの設定を参照してください。

[展開タイプ（Deployment type）] を [1 回（Once）]、[タイプ（Type）] を [後ろに付加（Append）] にして、LDAP 属性マップの FlexConfig オブジェクトを作成します。

オブジェクトの本文には、次を入力します。

lda attribute-map <LDAP_Map_for_VPN_Access>
          map-name  memberOf Group-Policy
          map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com LabAdminAccessGroupPolicy
          map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com VPNAccessGroupPolicy

[展開タイプ（Deployment type）] を [毎回（Everytime）]、[タイプ（Type）] を [後ろに付加（Append）] にして、LDAP 属性マップを LDAP AAA サーバに関連付ける FlexConfig オブジェクト属性を作成します。

（注）

このマッピングは、LDAP 属性マップの割り当てが Firepower Management Center によって拒否されるため、その割り当てを元に戻すために必要です。

オブジェクトの本文領域に次を入力します。

aaa-server <LDAP/AD_Realm_name> host <AD Server IP>
          ldap-attribute-map <LDAP_Map_for_VPN_Access>
          exit

リモートアクセス VPN ポリシーの設定に追加した接続プロファイルの AAA サーバの設定に使用した LDAP レルム名と同じ AAA サーバを使用します。

詳細については、FlexConfig テキストオブジェクトの設定を参照してください。

[Save] をクリックします。

FlexConfig ポリシー内での FlexConfig オブジェクトの順序が、LDAP 属性マップの FlexConfig オブジェクトの後に AAA サーバオブジェクトが続いていることを確認します。

これは、LDAP 属性マップを設定し、それを Firepower Threat Defense デバイス上の LDAP サーバ設定と関連付けます。

RADIUS サーバへのアカウンティングレコードの送信

リモートアクセス VPN のアカウンティングレコードは、ユーザがアクセスしたサービスやユーザが使用したネットワークリソースの量を VPN 管理者が追跡するのに役立ちます。アカウンティング情報には、ユーザセッションの開始時刻と停止時刻、ユーザ名、セッションごとのデバイスを通過したバイト数、使用されたサービス、および各セッションの時間が含まれています。このデータを、ネットワーク管理、クライアント請求、または監査のために分析できます。

アカウンティングは、単独で使用するか、認証および認可とともに使用することができます。AAA アカウンティングをアクティブ化すると、ネットワークアクセスサーバは設定されたアカウンティングサーバにユーザアクティビティをレポートします。RADIUS サーバはアカウンティングサーバとして設定できます。そのため、ユーザアクティビティ情報のすべてが Firepower Management Center から RADIUS サーバに送信されます。

（注）

リモートアクセス VPN AAA の設定では、認証、許可、およびアカウンティング用に同じ RADIUS サーバまたは個別の RADIUS サーバを使用できます。

始める前に

認証要求またはアカウンティングレコードが送信される RADIUS サーバで RADIUS グループオブジェクトを設定します。RADIUS サーバグループのオプションを参照してください。

RADIUS サーバが Firepower Threat Defense デバイスから到達可能であることを確認します。[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイスの編集（Edit Device）] > [ルーティング（Routing）] で Firepower Management Center のルーティングを設定し、RADIUS へのサーバへの接続を確保します。

手順

ステップ 1	Firepower Management Center の Web インターフェイスで、[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）] を選択します。
ステップ 2	リスト内の既存のリモートアクセスポリシーを選択し、対応する [編集（Edit）] アイコンをクリックします。または、新しいリモートアクセス VPN ポリシーを作成します。
ステップ 3	AAA の設定が含まれている接続プロファイルを選択し、[編集（Edit）] > [AAA] をクリックします。
ステップ 4	アカウンティングサーバとして RADIUS サーバを選択します。
ステップ 5	[保存（Save）] をクリックします。

認証サーバへのグループポリシーの選択の委任

ユーザに適用されるグループポリシーは VPN トンネルが確立される際に決定されます。ウィザードを使用してリモートアクセス VPN ポリシーを作成するときに接続プロファイルのグループポリシーを選択するか、または後で接続プロファイルの接続ポリシーを更新することができます。ただし、グループポリシーを割り当てるように AAA（RADIUS）サーバを設定するか、または現在の接続プロファイルから取得されます。Firepower Threat Defense デバイスが設定プロファイルに設定されている属性と競合する外部 AAA サーバから属性を受信した場合は、AAA サーバからの属性が常に優先されます。

IETF RADIUS サーバ属性 25 を送信してユーザ/ユーザグループの許可プロファイルを設定し、対応するグループポリシー名にマップするように、ISE または RADIUS サーバを構成します。ユーザまたはユーザグループに特定のグループポリシーを設定すると、ダウンロード可能な ACL をプッシュし、バナーを設定し、VLAN を制限し、セッションに SGT を適用する高度なオプションを設定できます。これらの属性は、VPN 接続が確立した時点でそのグループに含まれているすべてのユーザに適用されます。

詳細については、『Cisco Identity Services Engine Administrator Guide』の「Configure Standard Authorization Policies」」の項およびの RADIUS サーバ属性 Firepower Threat Defenseを参照してください。

許可サーバによるグループポリシーまたはその他の属性の選択のオーバーライド

リモートアクセス VPN ユーザが VPN に接続すると、接続プロファイル内に設定されているグループポリシーとその他の属性がそのユーザに割り当てられます。ただし、リモートアクセス VPN システムの管理者は、ユーザまたはユーザグループの許可プロファイルを設定するように ISE または RADIUS サーバを設定することによって、グループポリシーとその他の属性の選択を認証サーバに委任できます。ユーザが認証されると、これらの特定の承認属性が Firepower Threat Defense デバイスにプッシュされます。

始める前に

許可サーバとして RADIUS を使用たリモートアクセス VPN ポリシーが設定されていることを確認します。

手順

ステップ 1	Firepower Management Center の Web インターフェイスで、[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）] を選択します。
ステップ 2	リストから既存のリモートアクセスポリシーを選択し、対応する [編集（Edit）] アイコンをクリックします。
ステップ 3	まだ設定されていない場合は、許可サーバとして RADIUS または ISE を選択します。
ステップ 4	[詳細（Advanced）] > [グループポリシー（Group Policies）] を選択し、必要なグループポリシーを追加します。グループポリシーオブジェクトの詳細については、グループポリシーオブジェクトの設定を参照してください。 1 つのグループポリシーのみを 1 つの接続プロファイルにマップすることができますが、1 つのリモートアクセス VPN ポリシーには複数のグループポリシーを作成できます。これらのグループポリシーは、ISE または RADIUS サーバで参照でき、許可サーバの許可属性を割り当てることによって接続プロファイル内に設定されているグループポリシーをオーバーライドするように設定できます。
ステップ 5	ターゲットの Firepower Threat Defense デバイス上に設定を展開します。
ステップ 6	許可サーバで、IP アドレスとダウンロード可能な ACL の RADIUS 属性を持つ許可プロファイルを作成します。リモートアクセスで選択した許可サーバにグループポリシーを設定すると、そのグループポリシーは、ユーザが認証された後にリモートアクセス VPN ユーザの接続プロファイルに設定されているグループポリシーをオーバーライドします。

ユーザグループへの VPN アクセスの拒否

VPN を使用可能な認証済みのユーザまたはユーザグループが不要な場合は、VPN アクセスを拒否するグループポリシーを設定できます。リモートアクセス VPN ポリシー内にグループポリシーを作成し、許可を行うため、ISE または RADIUS サーバの設定でそれを参照します。

始める前に

リモートアクセスポリシーウィザードを使用してリモートアクセス VPN が設定されており、リモートアクセス VPN ポリシーに認証の設定が行われていることを確認します。

手順

ステップ 1	Firepower Management Center の Web インターフェイスで、[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）] を選択します。
ステップ 2	リストから既存のリモートアクセスポリシーを選択し、対応する [編集（Edit）] アイコンをクリックします。
ステップ 3	[詳細（Advanced）] > [グループポリシー（Group Policies）] をクリックします。
ステップ 4	グループポリシーを選択して [編集（Edit）] アイコンをクリックするか、または新しいグループポリシーを追加します。
ステップ 5	[詳細（Advanced）] > [セッション設定（Session Settings）] を選択し、[ユーザごとの同時ログイン（Simultaneous Login Per User）] を 0（ゼロ）に設定します。これにより、ユーザまたはユーザグループは VPN への接続を完全に停止します。
ステップ 6	[保存（Save）] をクリックしてグループポリシーを保存した後、リモートアクセス VPN 設定を保存します。
ステップ 7	IETF RADIUS サーバ属性 25 を送信し、対応するグループポリシー名にマップするようにユーザ/ユーザグループの許可プロファイルを設定して、ISE または RADIUS サーバサーバを設定します。
ステップ 8	リモートアクセス VPN ポリシーでは、ISE または RADIUS サーバを承認サーバとして構成できます。
ステップ 9	リモートアクセス VPN ポリシーを保存および展開します。

ユーザグループに対する接続プロファイルの選択の制限

1 つの接続プロファイルをユーザまたはユーザグループに適用する場合、接続プロファイルを無効にすることで、AnyConnect VPN クライアントを使用して接続するときに選択するユーザのグループエイリアスまたは URL のリストが表示されないようにすることができます。

たとえば、モバイルユーザ、会社支給のラップトップのユーザ、個人のラップトップのユーザなど、異なる VPN ユーザグループに組織が特定の設定を使用する場合は、それらの各ユーザグループに固有の接続プロファイルを設定し、ユーザが VPN に接続したときに適切に接続プロファイルを適用することができます。

デフォルトでは、AnyConnect クライアントは Firepower Management Center に設定されており、Firepower Threat Defense に展開されている接続プロファイル（接続プロファイル名別、エイリアス別、またはエイリアス URL 別）のリストを表示します。カスタム接続プロファイルが設定されていない場合、AnyConnect は DefaultWEBVPNGroup 接続プロファイルを表示します。次の手順を使用して、1 つの接続プロファイルをユーザグループに適用します。

始める前に

Firepower Management Center の Web インターフェイスで、リモートアクセス VPN ポリシーウィザードを使用し、[認証方式（Authentication Method）] を [クライアント証明書のみ（Client Certificate Only）] または [クライアント証明書と AAA（Client Certificate + AAA）] に設定してリモートアクセス VPN を設定します。証明書からユーザ名のフィールドを選択します。
認証のための ISE または RADIUSのサーバを設定し、グループポリシーを認証サーバに関連付けます。

手順

ステップ 1	Firepower Management Center の Web インターフェイスで、[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）] を選択します。
ステップ 2	リストから既存のリモートアクセスポリシーを選択し、対応する [編集（Edit）] アイコンをクリックします。
ステップ 3	[アクセスインターフェイス（Access Interfaces）] タブを選択し、[ログイン時にユーザによる接続プロファイルの選択を許可（Allow users to select the connection profile while logging in）] を無効にします。
ステップ 4	[詳細（Advanced）]> [証明書マップ（Certificate Maps）] をクリックします。
ステップ 5	[設定したルールを使用して証明書を接続プロファイルと照合する（Use the configured rules to match a certificate to a Connection Profile）] をオンにします。
ステップ 6	[証明書マップ名（Certificate Map Name）] を選択するか、または [追加（Add）] アイコンをクリックして証明書ルールを追加します。
ステップ 7	[接続プロファイル（Connection Profile）] を選択し、[OK] をクリックします。この設定では、ユーザが AnyConnect クライアントから接続すると、そのユーザにはマップされた接続プロファイルが提供され、VPN を使用するように認証されます。

リモートアクセス VPN クライアントでの AnyConnect クライアントプロファイルの更新

AnyConnect クライアントプロファイルは、AnyConnect の一部として VPN クライアントシステムに展開される管理者定義のエンドユーザ要件および認証ポリシーを含む XML ファイルです。これでエンドユーザが事前設定されたネットワークプロファイルを使用できるようになります。

独立した設定ツールである GUI ベースの AnyConnect プロファイルエディタを使用して AnyConnect クライアントプロファイルを作成します。スタンドアロンプロファイルエディタを使用して、新しい AnyConnect プロファイルを作成したり、既存の AnyConnect プロファイルを変更したりできます。プロファイルエディタはシスコのソフトウェアダウンロードセンターからダウンロードできます。

詳細については、『Cisco AnyConnect Secure Mobility Client Administrator Guide』の該当するリリースの「AnyConnect プロファイルエディタ」の章を参照してください。

始める前に

リモートアクセスポリシーウィザードを使用してリモートアクセス VPN が設定されており、設定が Firepower Threat Defense デバイスに展開されていることを確認します。新しいリモートアクセス VPN ポリシーの作成を参照してください。
Firepower Management Center の Web インターフェイスで、[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [VPN] > [AnyConnect ファイル（AnyConnect File）] に移動し、新しいAnyConnect クライアントイメージを追加します。

手順

ステップ 1	Firepower Management Center の Web インターフェイスで、[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）] を選択します。
ステップ 2	リストから既存のリモートアクセス VPN ポリシーを選択し、対応する [編集（Edit）] アイコンをクリックします。
ステップ 3	クライアントプロファイルに含まれている編集すべき接続プロファイルを選択して [編集（Edit）] をクリックします。
ステップ 4	[グループポリシーの編集（Edit Group Policy）] > [AnyConnect] > [プロファイル（Profiles）] をクリックします。
ステップ 5	リストからクライアントプロファイルの XML ファイルを選択するか、または [追加（Add）] アイコンをクリックして新しいクライアントプロファイルを追加します。
ステップ 6	グループポリシーと接続プロファイルを保存し、その後にリモートアクセス VPN ポリシーを保存します。
ステップ 7	変更を展開します。クライアントプロファイルに加えた変更は、リモートアクセス VPN ゲートウェイに接続したときに VPN クライアント上で更新されます。

ユーザあたりの AnyConnect 帯域幅を制限する方法

ここでは、ユーザが Cisco AnyConnect VPN クライアントを使用して Firepower Threat Defense リモートアクセス VPN ゲートウェイに接続する場合に VPN ユーザに消費される最大帯域幅を制限する手順について説明します。Firepower Threat Defense で Quality of Service（QoS）ポリシーを使用して最大帯域幅を制限し、単一のユーザやグループまたは複数のユーザがリソース全体を引き継ぐことがないようにすることができます。この設定では、重要なトラフィックに優先順位を付け、帯域幅の占有を防止し、ネットワークを管理できます。トラフィックが最大レートを超えると、Firepower Threat Defenseは超過した分のトラフィックをドロップします。


	操作内容	詳細
ステップ 1	レルムを作成および設定します。	Active Directory レルムの作成および設定。
ステップ 2	新しく作成したレルムで利用可能なユーザまたはグループの QoS ポリシーおよび QoS ルールを作成します。	QoS ポリシーとルールの作成
ステップ 3	リモートアクセス VPN ポリシーを設定し、ユーザ認証用に新しく作成したレルムを選択します。	リモートアクセス VPN ポリシーの作成または更新
ステップ 4	リモートアクセス VPN ポリシーを展開します。	設定変更の展開

Active Directory レルムの作成および設定

ここでは、レルムを作成し、アクティビティをモニタする VPN ユーザおよびユーザグループを指定する手順について説明します。

手順

ステップ 1	Firepower Management Center web インターフェイスで、[システム（System）] > [統合（Integration）] > [レルム（Realms）] を選択します。
ステップ 2	[新しいレルム（New realm）] をクリックして、レルムの詳細を指定し、[OK] をクリックします。
ステップ 3	次のタブに必要な詳細を入力し、[保存（Save）] をクリックします。 [ディレクトリ（Directory）]：1 つのレルムに複数のディレクトリを指定できます。この場合、ユーザ制御用のユーザクレデンシャルとグループクレデンシャルを照合するために、そのレルムの [ディレクトリ（Directory）] タブページにリストされている順序で、各ドメインコントローラがクエリされます。レルムディレクトリの設定を参照してください。 [レルム設定（Realm Configuration）]：レルムの作成中に入力されたレルム設定を更新できます。 [ユーザダッシュボード（User Download）]：ユーザとグループは、Firepower Management Center のダウンロードに含めることも、ダウンロードから除外することもできます。レルムが作成され、[レルム（Realms）] タブに追加されます。
ステップ 4	[ステート（State）] を右にスライドし、レルムをユーザコントロールで使用できるように有効にします。レルムの管理を参照してください
ステップ 5	ダウンロードアイコンをクリックし、ユーザおよびユーザグループを Firepower Management Center にダウンロードします。ユーザとグループのダウンロードを参照してください
ステップ 6	[保存（Save）] をクリックします。

QoS ポリシーとルールの作成

管理対象デバイスに展開する QoS ポリシーによりレート制限が決まります。ユーザまたはユーザグループが消費できる VPN 帯域幅を制限するようにレルムを選択すると、QoS ポリシーを作成できます。各 QoS ポリシーは、複数のデバイスを対象にすることができます。各デバイスで同時に展開可能な QoS ポリシーは 1 つです。

。

手順

ステップ 1

Firepower Management Center web インターフェイスで、[デバイス（Devices）] > [QoS] > [新しいポリシー（New Policy）] を選択します。

ステップ 2

[名前（Name）] を入力し、必要に応じて [説明（Description）] を入力します。

ステップ 3

（任意）QoS ポリシーを展開する [使用可能なデバイス（Available Devices）] を選択し、[ポリシーに追加（Add to Policy）] をクリックするか、[選択されたデバイス（Selected Devices）] にドラッグアンドドロップします。

（注）

リモートアクセス VPN ポリシーを展開する同じデバイスを選択します。ポリシーを展開する前に、デバイスを割り当てる必要があります。

ステップ 4

QoS ポリシーの [ルール（Rules）] タブで、[ルールの追加（Add Rule）] をクリックします。

ステップ 5

[名前（Name）]を入力します。

ステップ 6

ルールコンポーネントを設定します。

[有効（Enabled）]：ルールを有効にするかどうかを指定します。
[QoSの適用（Apply QoS On）]：レート制限するインターフェイス（[宛先インターフェイスオブジェクトのインターフェイス（Interfaces in Destination Interface Objects）] または [送信元インターフェイスオブジェクトのインターフェイス（Interfaces in Source Interface Objects）]）を選択します。選択するインターフェイスは、入力されたインターフェイス制約（任意ではなく）と一致する必要があります。
[インターフェイスごとのトラフィック制限（Traffic Limit Per Interface）]：ダウンロード制限とアップロード制限を Mbits/sec 単位で入力します。[無制限（Unlimited）] のデフォルト値にすると、一致するトラフィックはその方向でレート制限されません。
[ユーザ（Users）]：[ユーザ（Users）] で、新しい作成したレルムおよびユーザを選択し、VPN トラフィックを制限します。追加する条件に対応する他のタブをクリックします。[QoSの適用（Apply QoS On）] の選択内容に対応する、送信元インターフェイスまたは宛先インターフェイスの条件を設定する必要があります。
[コメント（Comments）]：[コメント（Comments）] をクリックし、コメントを追加し、[OK] をクリックします。

ステップ 7

ルールを保存します。

ポリシーエディタで、ルールの位置を設定します。クリックしてドラッグするか、または右クリックメニューを使用してカットアンドペーストを実行します。ルールには 1 から番号が付けられます。システムは、ルール番号の昇順で上から順に、ルールをトラフィックと照合します。トラフィックが一致する最初のルールは、そのトラフィックを処理するルールです。適切なルールの順序を指定することで、ネットワークトラフィックの処理に必要なリソースが削減され、ルールのプリエンプションを回避できます。

ステップ 8

[保存（Save）] をクリックして、ポリシーを保存します。

リモートアクセス VPN ポリシーの作成または更新

手順

ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）] を選択します。

ステップ 2

ウィザードを使用して新しいリモートアクセス VPN ポリシーを作成します。[認証サーバ（Authentication Server）] で新しく作成したレルムをするか、既存の VPN ポリシーを編集して、次の手順を実行します。

VPN ユーザに割り当てる接続プロファイルを選択し、[編集（Edit）] ボタンをクリックします。
[AAA] タブで、[認証方式（Authentication Method）]、[AAA]、[クライアント証明書とAAA（Client Certificate & AAA）] を選択します。
[認証サーバ（Authentication Server）] として必要なレルムを選択します。
必要に応じて他の接続プロファイルオプションを更新し、接続プロファイルを保存します。

ステップ 3

リモートアクセス VPN ポリシーに必要な設定を完了し、[保存（Save）] をクリックします。

ユーザ ID ベースのアクセスコントロールルールに VPN アイデンティティを使用する方法


	操作内容	詳細
ステップ 1	レルムを作成および設定します。	Active Directory レルムの作成および設定。
ステップ 2	アイデンティティポリシーを作成し、アイデンティティルールを追加します。	アイデンティティポリシーおよびアイデンティティルールの作成。
ステップ 3：	アクセスコントロールポリシーとアイデンティティポリシーを関連付けます。	アイデンティティポリシーとアクセスコントロールポリシーの関連付け
ステップ 4	リモートアクセス VPN ポリシーを設定し、ユーザ認証用に新しく作成したレルムを選択します。	リモートアクセス VPN ポリシーの作成または更新
ステップ 5	リモートアクセス VPN ポリシーを展開します。	設定変更の展開

Active Directory レルムの作成および設定

ここでは、レルムを作成し、アクティビティをモニタする VPN ユーザおよびユーザグループを指定する手順について説明します。

手順

ステップ 1	Firepower Management Center web インターフェイスで、[システム（System）] > [統合（Integration）] > [レルム（Realms）] を選択します。
ステップ 2	[新しいレルム（New realm）] をクリックして、レルムの詳細を指定し、[OK] をクリックします。
ステップ 3	次のタブに必要な詳細を入力し、[保存（Save）] をクリックします。 [ディレクトリ（Directory）]：1 つのレルムに複数のディレクトリを指定できます。この場合、ユーザ制御用のユーザクレデンシャルとグループクレデンシャルを照合するために、そのレルムの [ディレクトリ（Directory）] タブページにリストされている順序で、各ドメインコントローラがクエリされます。レルムディレクトリの設定を参照してください。 [レルム設定（Realm Configuration）]：レルムの作成中に入力されたレルム設定を更新できます。 [ユーザダッシュボード（User Download）]：ユーザとグループは、Firepower Management Center のダウンロードに含めることも、ダウンロードから除外することもできます。レルムが作成され、[レルム（Realms）] タブに追加されます。
ステップ 4	[ステート（State）] を右にスライドし、レルムをユーザコントロールで使用できるように有効にします。レルムの管理を参照してください
ステップ 5	ダウンロードアイコンをクリックし、ユーザおよびユーザグループを Firepower Management Center にダウンロードします。ユーザとグループのダウンロードを参照してください
ステップ 6	[保存（Save）] をクリックします。

アイデンティティポリシーおよびアイデンティティルールの作成

アイデンティティポリシーには、トラフィックに関連付けられているレルムと認証方式に基づいて、ユーザ認証を実行するアイデンティティルールが含まれます。アイデンティティルールでは、トラフィックのセットを、レルムおよび認証方式（パッシブ認証、アクティブ認証、または認証なし）と関連付けます。アイデンティティルールで呼び出す前に、使用するレルムおよび認証方式を完全に設定しておく必要があります。

手順

ステップ 1	Firepower Management Center web インターフェイスで、[ポリシー（Policies）] > [アクセスコントロール（Access Control）] > [アイデンティティ（Identity）] を選択し、[新しいポリシー（New Policy）] をクリックします。
ステップ 2	[名前（Name）] および [説明（Description）] を入力し、[保存（Save）] をクリックします。
ステップ 3	ポリシーにルールを追加するには、[ルールの追加（Add Rule）] をクリックし、[名前（Name）] を入力します。
ステップ 4	ルールを有効にするかどうかを指定します。
ステップ 5	既存のカテゴリにルールを追加するには、ルールを [挿入（Insert）] する場所を指定します。新しいカテゴリを追加するには、[カテゴリの追加（Add Category）] をクリックします。
ステップ 6	リストからルール [アクション（Action）] を選択し、リモートアクセス VPN で設定されているインターフェイスを送信元インターフェイスとして選択します。
ステップ 7	[レルムと設定（Realms & Settings）] タブをクリックし、[レルム（Realms）] リストからアイデンティティルール用に作成された新しいレルムを選択します。リモートアクセス VPN ポリシーでユーザ認証用に選択したものと同じレルムを選択していることを確認してください。
ステップ 8	選択したレルムでユーザの優先設定を構成し、その他の必要なルールオプションを選択します。
ステップ 9	[追加（Add）] をクリックして、アイデンティティポリシーを保存します。

アイデンティティポリシーとアクセスコントロールポリシーの関連付け

アイデンティティポリシーを、リモートアクセス VPN ポリシーが展開される Firepower Threat Defense デバイスに展開されているアクセスコントロールポリシーに関連付ける必要があります。

手順

ステップ 1	Firepower Management Center web インターフェイスで、[ポリシー（Policies）] > [アクセスコントロール（Access Control）] を選択し、[アクセスコントロール（Access Control）] をクリックします。
ステップ 2	必要なアクセスコントロールポリシーを選択し、[編集（Edit）] アイコンをクリックします。
ステップ 3	アクセスコントロールポリシーエディタで、[詳細（Advanced）] タブをクリックします。
ステップ 4	[アイデンティティポリシー設定（Identity Policy Settings）] 領域で編集アイコン（）をクリックします。代わりに表示アイコン（）が表示される場合、設定は先祖ポリシーから継承され、設定を変更する権限がありません。設定がロック解除されている場合は、[Inherit from base policy] をオフにして、編集を有効にします。
ステップ 5	ドロップダウンリストからアイデンティティポリシーを選択します。編集アイコンをクリックすると、アイデンティティポリシーを編集できます。
ステップ 6	[OK] をクリックします。
ステップ 7	[保存（Save）] をクリックして、アクセスコントロールポリシーを保存します。

リモートアクセス VPN ポリシーの作成または更新

手順

ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）] を選択します。

ステップ 2

ウィザードを使用して新しいリモートアクセス VPN ポリシーを作成します。[認証サーバ（Authentication Server）] で新しく作成したレルムをするか、既存の VPN ポリシーを編集して、次の手順を実行します。

VPN ユーザに割り当てる接続プロファイルを選択し、[編集（Edit）] ボタンをクリックします。
[AAA] タブで、[認証方式（Authentication Method）]、[AAA]、[クライアント証明書とAAA（Client Certificate & AAA）] を選択します。
[認証サーバ（Authentication Server）] として必要なレルムを選択します。
必要に応じて他の接続プロファイルオプションを更新し、接続プロファイルを保存します。

ステップ 3

リモートアクセス VPN ポリシーに必要な設定を完了し、[保存（Save）] をクリックします。

Firepower Management Center バージョン 6.3 コンフィギュレーション ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： のリモート アクセス VPN Firepower Threat Defense

のリモート アクセス VPN Firepower Threat Defense

Firepower Threat Defense リモート アクセス VPN の概要

リモート アクセス VPN の機能

AAA

VPN トンネリング

モニタリング（Monitoring）

AnyConnect のコンポーネント

AnyConnect Secure Mobility Client[AnyConnectSecureMobilityClient]導入

AnyConnect Secure Mobility Client[AnyConnectSecureMobilityClient] 操作

AnyConnect クライアント プロファイル およびエディタ

リモート アクセス VPN 認証

リモート アクセス VPN サーバ認証

リモート アクセス VPN のクライアント AAA

権限および属性のポリシー実施の概要

AAA サーバ接続の概要

リモート アクセス VPN のガイドラインと制限事項

リモート アクセス VPN ポリシーの設定

同時 VPN セッションのキャパシティ プランニング

VPN の暗号使用方法の制御

認証、認可、アカウンティング

クライアント証明書

AnyConnect のサポート対象外の機能

新規リモート アクセス VPN 接続の設定

リモート アクセス VPN を設定するための前提条件

新しいリモート アクセス VPN ポリシーの作成

始める前に

手順

Firepower Threat Defense デバイスのアクセス コントロール ポリシーの更新

始める前に

手順

（任意）NAT 免除の設定

始める前に

手順

DNS の設定

手順

AnyConnect クライアント プロファイル XML ファイルの追加

始める前に

手順

（任意）スプリット トンネリングの設定

手順

設定の確認

手順

接続プロファイルの設定

手順

複数の接続プロファイルの設定

始める前に

手順

VPN クライアントの IP アドレスの設定

手順

リモートアクセス VPN の AAA 設定

手順

の RADIUS サーバ属性 Firepower Threat Defense

接続プロファイルのエイリアスの作成または更新

手順

リモートアクセス VPN のアクセス インターフェイスの設定

手順

Cisco AnyConnect セキュア モビリティ クライアント イメージ

Cisco AnyConnect セキュア モビリティ クライアント イメージ

への Cisco AnyConnect Mobility クライアント イメージの追加 Firepower Management Center

手順

リモート アクセス VPN クライアントに対する AnyConnect イメージの更新

始める前に

手順

リモート アクセス VPN のアドレス割り当てポリシー

証明書マップの設定

手順

グループ ポリシーの設定

手順

リモート アクセス VPN の IPsec の設定

手順

リモート アクセス VPN 暗号マップの設定

手順

リモート アクセス VPN での IKE ポリシー

リモート アクセス VPN IKE ポリシーの設定

手順

章のタイトル：のリモートアクセス VPN Firepower Threat Defense

のリモートアクセス VPN Firepower Threat Defense

Firepower Threat Defense リモートアクセス VPN の概要

リモートアクセス VPN の機能

AnyConnect クライアントプロファイルおよびエディタ

リモートアクセス VPN 認証

リモートアクセス VPN サーバ認証

リモートアクセス VPN のクライアント AAA

リモートアクセス VPN のガイドラインと制限事項

リモートアクセス VPN ポリシーの設定

同時 VPN セッションのキャパシティプランニング

新規リモートアクセス VPN 接続の設定

リモートアクセス VPN を設定するための前提条件

新しいリモートアクセス VPN ポリシーの作成

Firepower Threat Defense デバイスのアクセスコントロールポリシーの更新

AnyConnect クライアントプロファイル XML ファイルの追加

（任意）スプリットトンネリングの設定

リモートアクセス VPN のアクセスインターフェイスの設定

Cisco AnyConnect セキュアモビリティクライアントイメージ

Cisco AnyConnect セキュアモビリティクライアントイメージ

への Cisco AnyConnect Mobility クライアントイメージの追加 Firepower Management Center

リモートアクセス VPN クライアントに対する AnyConnect イメージの更新

リモートアクセス VPN のアドレス割り当てポリシー

グループポリシーの設定

リモートアクセス VPN の IPsec の設定

リモートアクセス VPN 暗号マップの設定

リモートアクセス VPN での IKE ポリシー

リモートアクセス VPN IKE ポリシーの設定

リモートアクセス VPN の [IPsec/IKEv2パラメータ（IPsec/IKEv2 Parameters）] の設定

リモートアクセス VPN の AAA の設定のカスタマイズ

クライアント証明書と AAA サーバ経由でのリモートアクセス VPN のログインの設定

RADIUS サーバへのアカウンティングレコードの送信

認証サーバへのグループポリシーの選択の委任

許可サーバによるグループポリシーまたはその他の属性の選択のオーバーライド

ユーザグループへの VPN アクセスの拒否

ユーザグループに対する接続プロファイルの選択の制限

リモートアクセス VPN クライアントでの AnyConnect クライアントプロファイルの更新

リモートアクセス VPN ポリシーの作成または更新

ユーザ ID ベースのアクセスコントロールルールに VPN アイデンティティを使用する方法

アイデンティティポリシーおよびアイデンティティルールの作成

アイデンティティポリシーとアクセスコントロールポリシーの関連付け

リモートアクセス VPN ポリシーの作成または更新