- RSS フィードを購読する
- 新着としてマーク
- 既読としてマーク
- ブックマーク
- 購読
- 印刷用ページ
- 不適切なコンテンツを報告
2017-05-02 11:18 AM 2019-01-04 04:04 PM 更新
概要
簡易インターネットFirewallとして導入する際に利用できる設定例を紹介します。本例では、WAN側接続にPPPoEを利用します。
対象製品は以下を想定してますが、他のASAモデルでも当設定例の流用が可能です。
- ASA5506-X, ASA5508-X, ASA5516-X
- ASA5512-X, ASA5515-X, ASA5525-X, ASA5545-X, ASA5555-X
なお、当設定例を利用前に、ASAの初期セットアップが完了している必要があります。 初期セットアップが まだの場合は、ASA5500-X: 初期化と、ASDMからのS/Wアップグレード、ライセンス有効化 を確認してください。
当ドキュメントは、ASA5506-X ASAバージョン 9.4(3)12、ASDMバージョン 7.6(2)150を用いて確認、作成しております。
ネットワーク構成
当ドキュメントの設定例を用いて、以下のような構成を実現可能です。
アドレスと接続構成
接続先 | Interface Name | ASA IP情報 | その他 設定 |
WAN | outside | (PPPoE利用) | - |
LAN | inside | 192.168.0.254/24 | DHCPサーバ機能 有効 (割当IPレンジ:192.168.0.1~200) |
通信構成
接続元 | 送信元IP情報 | 宛先IP情報 | 宛先サービス/ポート | 許可/拒否 |
LAN | 192.168.0.241 (管理者端末) |
192.168.0.254 (ASA inside IP) |
ASDM (TCP443) Telnet (TCP23) |
許可 |
LAN | 192.168.0.0/24 | 全て | HTTP (TCP80) HTTPS (TCP443) DNS (UDP53) NTP (UDP123) ICMP |
許可 |
LAN | 全て | 全て | 全て | 拒否 |
WAN | 全て | 全て | 全て | 拒否 |
設定例
利用モデルによりポート構成とインターフェイス名が異なることがあります。 以下の設定例の違いは、インターフェイス名のみです。 ポート構成について詳しくは、ASA: モデル別 ポート構成とインターフェイス名 を参照してください。
(青字)の箇所は、環境に合わせ変更し利用してください。 主要設定の説明は後述します。 感嘆符(!)が先頭についている行は、実機に設定しても反映されない コメント行です。
Internet-FW-01 設定例 (ASA5506/08/16利用時)
!-------------------------------------------------------- |
Internet-FW-01 設定例 (ASA5512/15/25/45/55利用時)
!-------------------------------------------------------- |
設定の説明
主要設定の説明や、その補足・カスタマイズ情報などを、以下に記載します。
ホスト名とパスワード
enable password (特権パスワード)
CLIで設定変更や 細かな機器状態の確認が可能となる 特権EXECモードにアクセス時に入力が必要となるパスワードです。 任意パスワードを設定してください。 また、暗号化され保存されるため、設定したパスワードは忘れないようにしてください。
WAN関連
vpdn group PPPoE localname (PPPoEユーザ名)
接続業者から割り当てられたPPPoE接続用のユーザ名を設定します。
vpdn group PPPoE ppp authentication (pap もしくは chap)
PPPoE認証方式を指定します。papを利用時は「vpdn group PPPoE ppp authentication pap」、chapを利用時は「vpdn group PPPoE ppp authentication chap」と設定します。
vpdn username (PPPoEユーザ名) password (PPPoEパスワード)
接続業者から割り当てられたPPPoE接続用のユーザ名とパスワードを設定します。
security-level 100
各インターフェイスのセキュリティレベルを 0(最低) ~ 100(最大)の間で設定します。 デフォルトで outsideは セキュリティレベル 0、insideは セキュリティレベル 100です。 これらは、通常 設定変更は不要です。
ip address pppoe setroute
IP 情報とゲートウェイ情報を 接続先から受取り利用するための設定です。 PPPoEで自動で情報受取が可能な場合、当設定で問題ありません。 なお、PPPoEで固定IPアドレスを利用したい場合は、「ip address <IP address> <subnet mask> pppoe setroute」コマンドで設定します。
mtu outside (MTUサイズ)
日本国内でPPPoEを利用する場合、MTU 1454(例:Bフレッツなど) もしくは MTU 1438(例:フレッツ・光プレミアムなど)を利用するケースが多いです。 例えば、MTUを1454にする場合、「mtu outside 1454」と設定します。
LAN関連
dhcpd address 192.168.0.1-192.168.0.200 inside
inside側のDHCPクライアントに配布するIPアドレスのレンジ。
dhcpd dns (DNSサーバIPアドレス) interface inside
配付するDNSサーバ情報を設定します。通常、接続業者から指定されたDNSサーバIPアドレスを記入してください。 例えば、DNSサーバ 8.8.8.8を利用する場合、「dhcpd dns 8.8.8.8 interface inside」と設定します。
アクセス制御
access-list ACL-INSIDE extended permit tcp 192.168.0.0 255.255.255.0 any eq www
access-list ACL-INSIDE extended permit tcp 192.168.0.0 255.255.255.0 any eq https
access-list ACL-INSIDE extended permit udp 192.168.0.0 255.255.255.0 any eq domain
access-list ACL-INSIDE extended permit udp 192.168.0.0 255.255.255.0 any eq ntp
access-list ACL-INSIDE extended permit icmp 192.168.0.0 255.255.255.0 any
access-list ACL-INSIDE extended deny ip any any
ア クセスリスト名 ACL-INSIDEを定義し、192.168.0.0/24内の送信元IPからの、HTTP(TCP80)、HTTPS(TCP443)、 DNS(UDP53)、NTP(UDP123)、ICMPを各許可し、それ以外は全て拒否する設定です。 アクセスリストは、設定した上から順にチェックされます。 カスタマイズしたい場合は、設定ガイド などが役立ちます。 また、CLIで基本設定を実施後、細かな変更はASDMから行う方法もお勧めです。
access-group ACL-INSIDE in interface inside
定義したアクセスリスト ACL-INSIDEを、insideインターフェイスに紐付けます。
policy-map global_policy
class inspection_default
inspect icmp
!
service-policy global_policy global
ICMPのステートフルインスペクションはデフォルト無効のため、それを有効化します。
アドレス変換
object network PAT-192.168.0.0-24
subnet 192.168.0.0 255.255.255.0
nat (inside,outside) dynamic interface
inside側の192.168.0.0/24からoutside側への通信を、outside側のinterfaceでPATするための設定です。 なお、ASAは様々なアドレス変換設定をサポートしています。 カスタマイズしたい場合は、設定ガイド や ASA: NATルールタイプ別の処理の違いと 設定例 などが役立ちます。
管理設定
logging buffered errors
logging asdm informational
logging buffered (show logで確認可能)と、logging asdm (ASDMで確認可能)の、Severity Levelを設定します。 カスタマイズしたい場合は、ASA: ロギングの適切なSeverityレベル選択とチューニング などが役立ちます。
http 192.168.0.241 255.255.255.255 inside
ASAのinsideにHTTPS/ASDMでGUIアクセスを許可する、管理端末のIPアドレス もしくは ネットワークを指定します。
telnet 192.168.0.241 255.255.255.255 inside
passwd (telnet用パスワード)
1 段目の設定でASAのinsideにTelnetでCLIアクセスを許可する、管理端末のIPアドレス もしくは ネットワークを指定します。 2段目の設定でTelnetアクセス時に利用するパスワードを指定します。 例えば、telnet123をパスワードとする場合、「passwd telnet123」と設定します。
なお、ASAは、よりセキュアなSSHや、管理アクセス時のユーザ名・パスワードでの認証もサポートします。 管理アクセスについてカスタマイズしたい場合は、ASA: ASDM・CLI・特権モードにアクセス時に ローカルユーザ認証を有効化する方法 などを参照してください。
動作確認
設定後の動作確認例を紹介します。
WAN側の動作確認
show vpdn session pppoe stateコマンドで、PPPoEセッションがアップ(SESSION_UP)していることを確認します。
Internet-FW-01(config)# show vpdn session pppoe state |
show ip address outside pppoeコマンドで、IPアドレスが正しく割当てられていることを確認します。
Internet-FW-01(config)# show ip address outside pppoe PPPoE Assigned IP addr: 153.232.xx.xx 255.255.255.255 on Interface: outside |
show routeコマンドで、デフォルトルート(0.0.0.0/0)を正しく学習していることを確認します。
Internet-FW-01(config)# show route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP |
LAN側の動作確認
DHCP でのIPアドレスやDNSサーバー情報の自動取得を有効にした端末をLANに接続し、任意アドレスやDNSサーバIPが割り当てられることを確認してくだ さい。 端末から、ASAのLAN側IPアドレスや、DNSサーバのIPアドレス、インターネット上の任意WEBサイトにアクセス可能か確認します。
DHCPサーバ(ASA)からのIPアドレスの割当状況は、show dhcpd bindingコマンドで確認できます。
Internet-FW-01(config)# show dhcpd binding |
アクセス制御の動作確認
LAN側の任意端末から任意WEBサイトなどにアクセスし、ASAを経由しアクセスが可能であることを確認します。
show access-listコマンドを実行し、hitcntを確認し、期待のルールにマッチし通信が許可/拒否されていることを確認します。
Internet-FW-01(config)# show access-list |
show conn longコマンドで、確立している通信を確認できます。 データの交換量が多い通信は、bytesの数値も大きくなります。 常にデータの交換がされている通信は、idleタイムが 0s(=0秒)か、もしくは 小さな値を示します。 "IPアドレス (IPアドレス)"の ()内は、NAT変換後のアドレスを示します。
Internet-FW-01(config)# show conn long UDP outside: 133.243.238.164/123 (133.243.238.164/123) inside: 192.168.0.5/123 (153.232.xx.xx/123), flags - , idle 37s, uptime 37s, timeout 2m0s, bytes 96 TCP outside: 52.86.174.31/443 (52.86.174.31/443) inside: 192.168.0.5/60283 (153.232.xx.xx/60283), flags Ux , idle 7s, uptime 7s, timeout 1h0m, bytes 0 TCP outside: 52.86.174.31/443 (52.86.174.31/443) inside: 192.168.0.5/60280 (153.232.xx.xx/60280), flags UxIO , idle 6s, uptime 7s, timeout 1h0m, bytes 6101 TCP outside: 52.86.174.31/443 (52.86.174.31/443) inside: 192.168.0.5/60278 (153.232.xx.xx/60278), flags UxIO , idle 4s, uptime 7s, timeout 1h0m, bytes 8476 TCP outside: 104.244.42.8/443 (104.244.42.8/443) inside: 192.168.0.5/59752 (153.232.xx.xx/59752), flags UxIO , idle 13s, uptime 18m13s, timeout 1h0m, bytes 8068 |
ASDM のSyslog Messages画面、もしくは show log asdmコマンドで通信ログを確認します。 アクセスリストによりドロップ(Deny)された通信はログに出力されます。 ドロップが正しいか確認し、必要に応じて アクセスリストのカスタマイズ(指定通信の許可、など)を検討してください。
Internet-FW-01(config)# show log asdm 4|Dec 07 2016 14:18:08|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.4/5246 by access-group "ACL-INSIDE" [0x932a8f72, 0x0] 4|Dec 07 2016 14:18:08|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.4/5246 by access-group "ACL-INSIDE" [0x932a8f72, 0x0] 4|Dec 07 2016 14:18:08|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.5/5246 by access-group "ACL-INSIDE" [0x932a8f72, 0x0] 4|Dec 07 2016 14:18:08|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.119.134/5246 by access-group "ACL-INSIDE" [0x932a8f72, 0x0] 4|Dec 07 2016 14:18:08|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.4/5246 by access-group "ACL-INSIDE" [0x932a8f72, 0x0] 6|Dec 07 2016 14:18:08|302016: Teardown UDP connection 8366 for inside:192.168.0.5/68 to identity:255.255.255.255/67 duration 0:02:01 bytes 300 6|Dec 07 2016 14:18:08|302016: Teardown UDP connection 8367 for inside:192.168.0.5/68 to identity:192.168.0.254/67 duration 0:02:01 bytes 271 6|Dec 07 2016 14:18:15|305011: Built dynamic UDP translation from inside:192.168.0.5/61462 to outside:153.232.xx.xx/61462 6|Dec 07 2016 14:18:15|302015: Built outbound UDP connection 8435 for outside:8.8.8.8/53 (8.8.8.8/53) to inside:192.168.0.5/61462 (153.232.xx.xx/61462) 6|Dec 07 2016 14:18:15|302014: Teardown TCP connection 8423 for outside:54.250.151.250/80 to inside:192.168.0.5/60255 duration 0:01:09 bytes 3019 TCP FINs |
なお、show コマンドの後に「| include (文字列)」を付ける事で、任意文字列の含まれる行のみの出力も可能であり、便利です。 例えば、「show log asdm | in Deny」コマンドで、文字列"Deny"が含まれるログのみ出力できます。
Internet-FW-01(config)# show log asdm | in Deny 6|Dec 07 2016 14:44:16|106015: Deny TCP (no connection) from 192.168.0.241/51956 to 192.168.0.254/443 flags FIN ACK on interface inside 4|Dec 07 2016 14:44:18|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.4/5247 by access-group "ACL-INSIDE" [0x932a8f72, 0x0] 4|Dec 07 2016 14:44:26|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.4/5247 by access-group "ACL-INSIDE" [0x932a8f72, 0x0] 6|Dec 07 2016 14:44:27|106015: Deny TCP (no connection) from 192.168.0.241/51957 to 192.168.0.254/443 flags FIN ACK on interface inside 4|Dec 07 2016 14:44:42|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.4/5247 by access-group "ACL-INSIDE" [0x932a8f72, 0x0] 4|Dec 07 2016 14:44:42|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.4/5247 by access-group "ACL-INSIDE" [0x932a8f72, 0x0] 4|Dec 07 2016 14:44:44|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.4/5247 by access-group "ACL-INSIDE" [0x932a8f72, 0x0] 6|Dec 07 2016 14:44:46|106015: Deny TCP (no connection) from 192.168.0.241/51958 to 192.168.0.254/443 flags FIN ACK on interface inside 4|Dec 07 2016 14:44:48|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.4/5247 by access-group "ACL-INSIDE" [0x932a8f72, 0x0] |
アドレス変換の動作確認
show nat detailコマンドを実行し、期待のルールにマッチし、アドレス変換が実行されていることを確認します。 送信元アドレスが変換された場合、translate_hitsカウンタがアップします。
Internet-FW-01(config)# show nat detail |
show xlateコマンドで、アドレス変換情報を確認できます。 (ただ、show conn longコマンドでもアドレス変換状況は解るため、実運用ではshow xlateコマンドを使う機会は少ないかもしれません。)
Internet-FW-01(config)# show xlate |
機器異常の有無の確認
show logコマンドを確認し、ASA-1-xxxxxx(alert)や ASA-2-xxxxxx(critical) で始まる、ASAの動作異常(例:Hardware障害やCPU/Memory高負荷など)を示す、ロギングメッセージがない事を確認します。 (なお、以下実行例の %ASA-3-710003のDenyログの出力は、インターネット上の無差別不正アクセスの攻撃を受け、それをASAがブロックした出力と思われま す。)
Internet-FW-01(config)# show logging Syslog logging: enabled Facility: 20 Timestamp logging: enabled Hide Username logging: enabled Standby logging: disabled Debug-trace logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: level errors, 1504 messages logged Trap logging: disabled Permit-hostdown logging: disabled History logging: disabled Device ID: disabled Mail logging: disabled ASDM logging: level informational, 40332 messages logged Dec 07 2016 14:11:03: %ASA-3-710003: TCP access denied by ACL from 124.91.236.199/37621 to outside:153.232.xx.xx/23 Dec 07 2016 14:11:05: %ASA-3-710003: TCP access denied by ACL from 124.91.236.199/37621 to outside:153.232.xx.xx/23 Dec 07 2016 14:11:13: %ASA-3-710003: TCP access denied by ACL from 124.91.236.199/22613 to outside:153.232.xx.xx/23 Dec 07 2016 14:11:32: %ASA-3-710003: TCP access denied by ACL from 124.91.236.199/38735 to outside:153.232.xx.xx/23 Dec 07 2016 14:11:48: %ASA-3-710003: TCP access denied by ACL from 124.91.236.199/42555 to outside:153.232.xx.xx/23 Dec 07 2016 14:11:54: %ASA-3-710003: TCP access denied by ACL from 124.91.236.199/21277 to outside:153.232.xx.xx/23 Dec 07 2016 14:12:12: %ASA-3-710003: TCP access denied by ACL from 181.46.139.15/9048 to outside:153.232.xx.xx/23 |
show cpu コマンドを確認し、CPU負荷が異常に高くないか(80%以上など)、確認します。
Internet-FW-01(config)# show cpu CPU utilization for 5 seconds = 0%; 1 minute: 2%; 5 minutes: 1% |
ASAに管理アクセスの確認 (ASDM)
ASA に管理アクセス可能なIPアドレスを持つ任意端末(本例だと192.168.0.241)から、ASDMでアクセス可能である事を確認します。 ASDMアクセス時にユーザ名とパスワードを聞かれた場合は、ユーザ名は入力せず 特権パスワードのみ入力し、ログインします。
管理端末に ASDM-IDM Launcherがインストールされていない場合は、ASAの管理インターフェイスに https://<IP address> もしくは https://<IP address>/admin でアクセスし、ASDM-IDM Laincherのインストールを実行してください。
ASAに管理アクセスの確認 (Telnet)
ASAに管理アクセス可能なIPアドレスを持つ任意端末(本例だと192.168.0.241)から、Telnetでアクセス可能である事を確認します。
User Access Verification Password: <---- Telnet用パスワードを入力 |
よくある質問
保守時に必要な情報と手順を教えてください
以下ドキュメントをご参考ください。
ASA5500-X: 保守交換 参考手順 (バックアップファイル利用時)
https://community.cisco.com/t5/-/-/ta-p/3772664
トラブルシューティング
当ドキュメントの設定例を利用時の、トラブル対応に役に立つドキュメントを紹介します。