概要
簡易インターネットFirewallとして導入する際に利用できる設定例を紹介します。本例では、WAN側接続に固定IP もしくは DHCPを利用します。
対象製品は以下を想定してますが、他のASAモデルでも当設定例の流用が可能です。
- ASA5506-X, ASA5508-X, ASA5516-X
- ASA5512-X, ASA5515-X, ASA5525-X, ASA5545-X, ASA5555-X
なお、当設定例を利用前に、ASAの初期セットアップが完了している必要があります。 初期セットアップが まだの場合は、ASA5500-X: 初期化と、ASDMからのS/Wアップグレード、ライセンス有効化 を確認してください。
当ドキュメントは、ASA5506-X ASAバージョン 9.4(3)12、ASDMバージョン 7.6(2)150を用いて確認、作成しております。
ネットワーク構成
当ドキュメントの設定例を用いて、以下のような構成を実現可能です。
アドレスと接続構成

接続先 |
Interface Name |
ASA IP情報 |
その他 設定 |
WAN |
outside |
172.16.0.1/24 or DHCPでIP情報受信 |
固定IP時はGatewayは172.16.0.254 or DHCP利用時は Default Routeを受信 |
LAN |
inside |
192.168.0.254/24 |
DHCPサーバ機能 有効 (割当IPレンジ:192.168.0.1~200) |
通信構成

接続元 |
送信元IP情報 |
宛先IP情報 |
宛先サービス/ポート |
許可/拒否 |
LAN |
192.168.0.241 (管理者端末) |
192.168.0.254 (ASA inside IP) |
ASDM (TCP443) Telnet (TCP23) |
許可 |
LAN |
192.168.0.0/24 |
全て |
HTTP (TCP80) HTTPS (TCP443) DNS (UDP53) NTP (UDP123) ICMP |
許可 |
LAN |
全て |
全て |
全て |
拒否 |
WAN |
全て |
全て |
全て |
拒否 |
設定例
利用モデルによりポート構成とインターフェイス名が異なることがあります。 以下の設定例の違いは、インターフェイス名のみです。 ポート構成について詳しくは、ASA: モデル別 ポート構成とインターフェイス名 を参照してください。
(青字)の箇所は、環境に合わせ変更し利用してください。 主要設定の説明は後述します。 感嘆符(!)が先頭についている行は、実機に設定しても反映されない コメント行です。
Internet-FW-01 設定例 (ASA5506/08/16利用時)
!-------------------------------------------------------- ! Internet-Firewall Configuration Template ! for ASA5506-X, ASA5508-X, ASA5516-X !-------------------------------------------------------- ! ! HOSTNAME and PASSWORD ! hostname Internet-FW-01 enable password (特権パスワード) ! ! !-------------------------------------------------------- ! ! WAN ! interface GigabitEthernet1/1 nameif outside security-level 0 ip address (IPアドレス サブネットマスク もしくは dhcp setroute) no shutdown ! route outside 0.0.0.0 0.0.0.0 (GatewayのIPアドレス) !! 固定IP利用時のみ必要 ! !-------------------------------------------------------- ! ! LAN - INTERFACE ! interface GigabitEthernet1/2 nameif inside security-level 100 ip address 192.168.0.254 255.255.255.0 no shutdown ! ! ! LAN - DHCP SERVER ! dhcpd address 192.168.0.1-192.168.0.200 inside dhcpd dns (DNSサーバIPアドレス) interface inside dhcpd enable inside ! ! !-------------------------------------------------------- ! ! ACCESS CONTROL - LAN to WAN ! access-list ACL-INSIDE extended permit tcp 192.168.0.0 255.255.255.0 any eq www access-list ACL-INSIDE extended permit tcp 192.168.0.0 255.255.255.0 any eq https access-list ACL-INSIDE extended permit udp 192.168.0.0 255.255.255.0 any eq domain access-list ACL-INSIDE extended permit udp 192.168.0.0 255.255.255.0 any eq ntp access-list ACL-INSIDE extended permit icmp 192.168.0.0 255.255.255.0 any access-list ACL-INSIDE extended deny ip any any access-group ACL-INSIDE in interface inside ! ! ! ACCESS CONTROL - WAN to LAN ! access-list ACL-OUTSIDE extended deny ip any any access-group ACL-OUTSIDE in interface outside ! ! ! ACCESS CONTROL - ENABLE ICMP STATEFUL INSPECTION ! policy-map global_policy class inspection_default inspect icmp ! service-policy global_policy global ! ! !-------------------------------------------------------- ! ! NAT ! object network PAT-192.168.0.0-24 subnet 192.168.0.0 255.255.255.0 nat (inside,outside) dynamic interface ! ! !-------------------------------------------------------- ! ! MANAGEMENT - LOGGING ! logging enable logging timestamp logging buffer-size 40000 logging buffered errors logging asdm informational ! ! ! MANAGEMENT - ASDM ACCESS ! http server enable http 192.168.0.241 255.255.255.255 inside ! ! ! MANAGEMENT - TELNET ACCESS ! telnet 192.168.0.241 255.255.255.255 inside passwd (Telnet用パスワード) ! ! !--------------------------------------------------------
|
Internet-FW-01 設定例 (ASA5512/15/25/45/55利用時)
!-------------------------------------------------------- ! Internet-Firewall Configuration Template ! for ASA5512-X, ASA5515-X, ASA5525-X, ASA5545-X, ASA5555-X !-------------------------------------------------------- ! ! HOSTNAME and PASSWORD ! hostname Internet-FW-01 enable password (特権パスワード) ! ! !-------------------------------------------------------- ! ! WAN - INTERFACE ! interface GigabitEthernet0/0 nameif outside security-level 0 ip address (IPアドレス サブネットマスク もしくは dhcp setroute) no shutdown ! route outside 0.0.0.0 0.0.0.0 (GatewayのIPアドレス) !! 固定IP利用時のみ必要 ! !-------------------------------------------------------- ! ! LAN - INTERFACE ! interface GigabitEthernet0/1 nameif inside security-level 100 ip address 192.168.0.254 255.255.255.0 no shutdown ! ! ! LAN - DHCP SERVER ! dhcpd address 192.168.0.1-192.168.0.200 inside dhcpd dns (DNSサーバIPアドレス) interface inside dhcpd enable inside ! ! !-------------------------------------------------------- ! ! ACCESS CONTROL - LAN to WAN ! access-list ACL-INSIDE extended permit tcp 192.168.0.0 255.255.255.0 any eq www access-list ACL-INSIDE extended permit tcp 192.168.0.0 255.255.255.0 any eq https access-list ACL-INSIDE extended permit udp 192.168.0.0 255.255.255.0 any eq domain access-list ACL-INSIDE extended permit udp 192.168.0.0 255.255.255.0 any eq ntp access-list ACL-INSIDE extended permit icmp 192.168.0.0 255.255.255.0 any access-list ACL-INSIDE extended deny ip any any access-group ACL-INSIDE in interface inside ! ! ! ACCESS CONTROL - WAN to LAN ! access-list ACL-OUTSIDE extended deny ip any any access-group ACL-OUTSIDE in interface outside ! ! ! ACCESS CONTROL - ENABLE ICMP STATEFUL INSPECTION ! policy-map global_policy class inspection_default inspect icmp ! service-policy global_policy global ! ! !-------------------------------------------------------- ! ! NAT ! object network PAT-192.168.0.0-24 subnet 192.168.0.0 255.255.255.0 nat (inside,outside) dynamic interface ! ! !-------------------------------------------------------- ! ! MANAGEMENT - LOGGING ! logging enable logging timestamp logging buffer-size 40000 logging buffered errors logging asdm informational ! ! ! MANAGEMENT - ASDM ACCESS ! http server enable http 192.168.0.241 255.255.255.255 inside ! ! ! MANAGEMENT - TELNET ACCESS ! telnet 192.168.0.241 255.255.255.255 inside passwd (Telnet用パスワード) ! ! !--------------------------------------------------------
|
設定の説明
主要設定の説明や、その補足・カスタマイズ情報などを、以下に記載します。
WAN側
ip address (IPアドレス+サブネットマスク or dhcp setroute)
WAN側接続に、固定IPを利用するか、DHCPでIP情報を受信するか、で設定が異なります。
例えば、WAN側Interfaceで 固定IPアドレス 172.16.0.1/24を設定する場合は、「ip address 172.16.0.1 255.255.255.0」と設定します。
例えば、WAN側Interfaceで DHCPでIP情報と デフォルトルートを受け取る場合は、「ip address dhcp setroute」と設定します。
route outside 0.0.0.0 0.0.0.0 (GatewayのIPアドレス)
固定IPアドレスを利用時のみ デフォルトルートの設定が必要です。 例えば、WAN(Internet)宛のルータのIPアドレスが 172.16.0.254の場合は、「route outside 0.0.0.0 0.0.0.0 172.16.0.254」と設定します。
その他 設定
上記以外の設定は、以下ドキュメントを参考にしてください。
ASA5500-X: Internet Firewall 設定例 (WAN側 PPPoE利用時)
動作確認
設定後の動作確認例を紹介します。
WAN側の動作確認 (固定IP利用時)
show run interfaceコマンドで、各インターフェイスの設定状況を確認します。
Internet-FW-01(config)# show run interface ! interface GigabitEthernet1/1 nameif outside security-level 0 ip address 172.16.0.1 255.255.255.0 ! interface GigabitEthernet1/2 nameif inside security-level 100 ip address 192.168.0.254 255.255.255.0 ! interface GigabitEthernet1/3 shutdown no nameif no security-level no ip add
|
show interface ip briefコマンドで、IPアドレス割当て状況と、データInterfaceのStatus状況を確認します。 例えば、以下出力例の場合、Interface GigabitEthernet1/1は 172.16.0.1が固定IPで割当てられ、Upしている事を確認できます。
Internet-FW-01(config)# show interface ip brief Interface IP-Address OK? Method Status Protocol GigabitEthernet1/1 172.16.0.1 YES manual up up GigabitEthernet1/2 192.168.0.254 YES CONFIG up up GigabitEthernet1/3 unassigned YES unset administratively down down
|
show routeコマンドで、デフォルトルート(0.0.0.0/0)が正しく設定されていることを確認します。
Internet-FW-01(config)# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route Gateway of last resort is 122.1.253.8 to network 0.0.0.0 S* 0.0.0.0 0.0.0.0 [1/0] via 172.16.0.254, outside C 172.16.0.0 255.255.255.0 is directly connected, outside L 172.16.0.1 255.255.255.255 is directly connected, outside C 192.168.0.0 255.255.255.0 is directly connected, inside L 192.168.0.254 255.255.255.255 is directly connected, inside
|
WAN側の動作確認 (DHCP利用時)
show run interfaceコマンドで、各インターフェイスの設定状況を確認します。
Internet-FW-01(config)# show run interface ! interface GigabitEthernet1/1 nameif outside security-level 0 ip address dhcp setroute ! interface GigabitEthernet1/2 nameif inside security-level 100 ip address 192.168.0.254 255.255.255.0 ! interface GigabitEthernet1/3 shutdown no nameif no security-level no ip add
|
show interface ip briefコマンドで、IPアドレス割当て状況と、データInterfaceのStatus状況を確認します。 例えば、以下出力例の場合、Interface GigabitEthernet1/1は 172.16.0.105のIP情報をDHCPで学習し、Upしている事を確認できます。
Internet-FW-01(config)# show interface ip brief Interface IP-Address OK? Method Status Protocol GigabitEthernet1/1 172.16.0.105 YES DHCP up up GigabitEthernet1/2 192.168.0.254 YES CONFIG up up GigabitEthernet1/3 unassigned YES unset administratively down down
|
show routeコマンドで、デフォルトルート(0.0.0.0/0)を正しく学習していることを確認します。
Internet-FW-01(config)# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route Gateway of last resort is 122.1.253.8 to network 0.0.0.0 S* 0.0.0.0 0.0.0.0 [1/0] via 172.16.0.254, outside C 172.16.0.0 255.255.255.0 is directly connected, outside L 172.16.0.105 255.255.255.255 is directly connected, outside C 192.168.0.0 255.255.255.0 is directly connected, inside L 192.168.0.254 255.255.255.255 is directly connected, inside
|
その他 動作確認
上記以外の動作確認は、以下ドキュメントを参考にしてください。
ASA5500-X: Internet Firewall 設定例 (WAN側 PPPoE利用時)
よくある質問
保守時に必要な情報と手順を教えてください
以下ドキュメントをご参考ください。
ASA5500-X: 保守交換 参考手順 (バックアップファイル利用時)
https://community.cisco.com/t5/-/-/ta-p/3772664
トラブルシューティング
当ドキュメントの設定例を利用時の、トラブル対応に役に立つドキュメントを紹介します。
関連情報