• ネットワーク構成別 設定例・テンプレート
• 初期セットアップ手順
• ASA5500-Xシリーズ
• Firepower1000/2100, Secure Firewall 3100/4200シリーズ
• 導入構成別 設定例・テンプレート
• Internet接続用 Firewall
• 導入構成別 追加設定
• アクセス制御
• アドレス変換
• 高可用性
• 管理アクセス
• シスログ
• NTP 時刻管理
• リモートアクセスVPNサーバ 設定例 with AnyConnect
• 簡易セットアップ：
• デザインガイド・パフォーマンス最適化：
• 導入構成別 カスタマイズ例：
• バージョン選定とアップグレード方法
• トラブルシューティングガイド
• RMA 方法 (FPR1000/2100/3100/4200-ASA)
• RMA 方法 (FPR4100-ASA)
• その他 保守メンテナンスに役立つドキュメント
• その他 トラブルシューティング 全般
• その他 設定例

  　　

ネットワーク構成別 設定例・テンプレート

ASA OS を利用時の、よ くある導入構成毎の 設定例やテンプレートが掲載された、Cisco Support Community (CSC) や Cisco.com (CCO) のドキュメントを紹介します。 参考情報として、カスタマイズし利用を検討してください。 なお、機器と機能によっては、追加のライセンス購入・適用や、ハードウェアの準備が必要となることがあります。 

本ガイドの主な対象製品は、Cisco ASA5500-XシリーズとASAvになりますが、Firepower1000/2100/3100/4200シリーズでASAソフトウェアをご利用時もご利用いただけます。

なお、多くの掲載ドキュメントは、一定以上の製品取扱い経験のある方向けに作成されております。仮に公開ドキュメント情報のみでは問題解決が困難で、具体的な設計・導入支援が必要の場合は、Cisco製品販売代理店様のネットワーク構築サービスのご利用を検討いただけますよう お願いいたします。 Cisco認定パートナーを探すには、購入案内 をご確認ください。

なお、FTD OS を利用時の、設計資料や設定例など情報は、Cisco FTD How To を参照してください。

　　　

　　

初期セットアップ手順

モデル毎の初期セットアップ時に利用できるドキュメントを以下に紹介します。

ASA5500-Xシリーズ

ASA5500-Xを 利用開始するには、Console、もしくは Telnet/SSHや GUIツール(ASDM)で該当機器にアクセスし、バージョン変更やライセンスを適用する必要があります。 詳しくは、以下の初期セットアップガイドなどを参照してください。

• ASA5500-X: 初期セットアップ手順： 初期設定、S/Wアップグレード、ライセンス有効化方法 

 

なお、ASDMスタートアップウィザードを用いた、ホスト名やパスワード、Interface設定、PAT、DHCPなど主要設定の、簡易セットアップも可能です。 基本設定を素早く行いたい時に便利です。詳しくは、以下ガイドなどを参照してください。　

• ASA: ASDM スタートアップウィザードを用いた 簡易セットアップ

  

Firepower1000/2100, Secure Firewall 3100/4200シリーズ

1000/3100/4200シリーズの全バージョンと、2100シリーズ(ASA 9.13以降)は、旧製品のASA5500-Xと同等の設定や管理が可能です。各製品のより詳しいセットアップ方法は、スタートアップガイド を参照してください。なお、最新の情報はスタートアップガイドの「英語版」を参照してください。

• Cisco Firepower 1010 スタートアップガイド
• Cisco Firepower 1100 スタートアップガイド
• Cisco Firepower 2100 スタートアップガイド
• Cisco Secure Firewall 3100 スタートアップガイド
• Cisco Secure Firewall 4200 スタートアップガイド

 

なお、Firepower100/2100や Secure Firewall 3100/4200シリーズ、ASAvを利用時は、ライセンスはスマートライセンス認証方式となります。スマートライセンスの設定例とトラブルシューティングは以下を参照してください。

• ASA: スマートライセンス認証とトラブルシューティング

　　

　　　

導入構成別 設定例・テンプレート

モデルや構成別の、導入や運用時に利用できる、設定例やテンプレートを紹介します。

Internet接続用 Firewall

ASAをインターネット接続用のファイアウォールとして導入する場合に利用できる設定例やテンプレートです。

• Internet Firewall 設定例 (WAN側 固定IP or DHCP利用時)

インターネット接続Firewall用の設定例・テンプレートです。 WAN(インターネット)側接続に、固定IPアドレス もしくは DHCPを利用します。
　　

• Internet Firewall 設定例 (WAN側 PPPoE利用時)

インターネット接続Firewall用の設定例・テンプレートです。 WAN(インターネット)側接続に、PPPoEを利用します。
　　

• Internet Firewall 設定例 (冗長構成)

インターネット接続Firewall用の設定例・テンプレートです。 WAN(インターネット)側接続は、固定IPアドレスを利用します。 ASAを2台用意し、冗長を組むことで、対障害性を高めます。

• Cisco ASA 5500-Xシリーズ Firewall 設定ガイド

ASAバージョン 8.4向け(2011年時)の設定ガイドですが、基本的な動作は 最新のASAバージョン(2023年現在)でも変わっておらず、設定時の参考情報として活用いただけます。 基本設定と、NATやACL、Loggingの設定方法を説明します。

　　　 

　　 

導入構成別 追加設定

設定例・テンプレートに組み合わせて利用できる、追加設定手順です。

アクセス制御

• さまざまなシナリオのためのASAアクセスコントロールリストの設定

シナリオ別のアクセスルール(ACL)の設定例の紹介です

 

• ASA: FQDN ACL の設定例と動作確認

URLフィルタリングの簡易的な代替として利用できる、FQDN ACLの実装と設定方法を紹介します。

   

アドレス変換

• ASA: NATルールタイプ別の処理の違いと 設定例

ASAは、多種多様な  Network Address Translation(NAT)の設定をサポートしています。 当ドキュメントは主要なNATルールタイプである、 Twice NATと Network Object NATの違いと、設定例を紹介します。

   

高可用性

• 物理リンクの冗長化 (LACP)

ASA インターフェイスを二重化することで、リンク障害時の通信停止時間を抑えたり、無障害時のリンク速度の帯域の拡張が可能です。 リンク冗長化技術であるLACPの設定例を紹介します。 なお、ASAのLACPの利用には、接続する対向機器もLACPをサポートしている必要があります。
　　

• 物理リンクの冗長化 (Redundant Interface)

ASAインターフェイスを二重化することで、リンク障害時の通信停止時間を抑えることが可能です。 リンク冗長化技術であるRedundant Interfaceの設定例を紹介します。 
　　

• WANの冗長化 (Traffic Zone)

WANの冗長環境にASAを導入する場合、Traffic Zone技術を利用することで、複数WANを outside側として束ねて利用することができます。 Traffic Zone技術の概要と設定例、動作確認例を紹介します。 

　　　  

管理アクセス

• インターフェイス内外での ASA バージョン 9.x SSH および Telnet の設定例

セキュアなCLIでのリモートアクセスを可能とする SSHの CLI もしくは ASDMの設定例や、Telnetの設定例を紹介します。 

   

• ASA: ASDM・CLI・特権モードにアクセス時に ローカルユーザ認証を有効化する方法

ASDMやSSH、Telnetで管理アクセス時に、ユーザIDとパスワードを認証に用いるための設定例を紹介します。

      

シスログ

• 適応型セキュリティアプライアンス(ASA)syslogの設定

ASAで設定可能な各種ロギング機能について紹介します。

• ASA: ロギングの適切なSeverityレベル選択とチューニング

ASA は、Emergency～Debuggingレベルまでの多種多様なログの管理・出力が可能です。 しかし、ログの出力が多くなるほど、その膨大なログの管理負荷の上昇や、トラブル時のログ調査の負担アップにつながる恐れがあります。 これら改善の一助となる、ロギング設定のチューニング方法について紹介します。

   

NTP 時刻管理

• ASA: 時刻設定とNTPサーバの利用方法

　　タイムゾーンや手動時刻設定や、NTPサーバ利用時の設定と、その確認方法を紹介します。  

 

リモートアクセスVPNサーバ 設定例 with AnyConnect

AnyConnectを介して、パソコンやモバイル端末からのリモートアクセスVPNを、ASAで終端することができます。 なお、リモートアクセスVPNの利用には、ライセンスの購入と適用が必要です。

AnyConnectの設定例や管理時に役立つドキュメントを以下に紹介します。 一部ドキュメントは、AnyConectやASAバージョンが古いため、UIや設定項目がかわっている可能性があります。

なお、ASAとAnyConnectは多種多様な設定が可能です。急ぎ導入が必要時や パフォーマンスを重視したい場合は、シンプルな設定・機能での利用がお勧めです。

簡易セットアップ：

セットアップ ウィザード利用時：

• ASA でのスプリット トンネリングによる AnyConnect セキュア モビリティ クライアントの設定
  

手動設定時：

• Cisco AnyConnect Secure Mobility Client を使用して Remote Access VPN を行う際の設定 (1)
• Cisco AnyConnect Secure Mobility Client を使用して Remote Access VPN を行う際の設定 (2)

 

デザインガイド・パフォーマンス最適化：

• ASA: リモートアクセスVPN パフォーマンス最適化のためのベストプラクティス (AnyConnect)
• AnyConnect の MTU について
• AnyConnect Deep Dive    ※シスコパートナー様のみダウンロード可
• Secure Remote Worker SAFE Design Guide  (英語)
• Deploying AnyConnect SSL VPN with ASA (and Firepower Threat Defense)  (英語)
• AnyConnect VPN, ASA, and FTD FAQ for Secure Remote Workers   (英語) 
• Optimize Anyconnect Split Tunnel for Office365  (英語) 

 

導入構成別 カスタマイズ例：

• Cisco ASA5500 VPN のFailover設定
• AnyConnectのバージョンアップ方法（windows端末）
• ASA/AnyConnect: Dynamic Split Tunnneling の設定例と動作確認
  
• ASA: Inbound/Outbound方向それぞれのVPN Filter設定方法と注意点
  
• ASA/AnyConnect: Client Profile: バックアップサーバリストの設定と動作確認
  
• ASA: AnyConnect Start Before Logon(SBL)の設定
  
• DAP - AnyConnect を使用しての接続を、接続もとのプラットフォームにより管理
• VPN: AnyConnect: DAPの設定数の目安と 推奨設定数について
  
• AnyConnect Apple iOS - Per App VPN の設定例
• management-access を使用した VPN 経由での ASA 管理アクセス方法
  
• AnyConnectの日本語化方法（Windows用）
• 【爆速!?】 AnyConnect 高速化方法 4選 【在宅勤務】

 

バージョン選定とアップグレード方法

以下ドキュメントを参考に、導入時は十分 不具合修正と安定化の進んだ「推奨バージョン」もしくは「偶数トレイン(9.14、9.16、9.18など)の最新バージョン」での導入を強くお勧めします。導入後は 万が一の障害に備え、ASAのバックアップファイルや関連ログの取得と保管をしておくことを強くお勧めします。

• ASA: ASDMを用いた、同じトレイン内の 最新バージョンへのアップグレード方法
• Firepower1000/2100: ASAのアップグレードについて
  
• ASDM: ASA設定のバックアップ・リストア機能について

  
  

トラブルシューティングガイド

RMA 方法 (FPR1000/2100/3100/4200-ASA)

アプライアンスモードの場合のRMA手順例は以下。

1. 以下ドキュメントを参考に、障害機と同じバージョンにリイメージの実施
FPR1000-ASA: https://community.cisco.com/t5/-/-/ta-p/4820049
FPR2100-ASA Appliance Mode (ver 9.13以降): https://community.cisco.com/t5/-/-/ta-p/4850956
その他モデル (英語): https://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/reimage/asa-ftd-reimage.html#task_bg5_dpg_zyb

2. スマートライセンスを有効化し、3DES/AESの有効化
https://community.cisco.com/t5/-/-/ta-p/3163034

3. ASA設定のリストア
https://community.cisco.com/t5/-/-/ta-p/3155941

  

RMA 方法 (FPR4100-ASA)

以下ドキュメントを参照
https://community.cisco.com/t5/-/-/ta-p/4098793

 

その他 保守メンテナンスに役立つドキュメント

ASAの管理や運用、メンテンナンスに役立つドキュメントを以下に紹介します。

• ハードウェア設置ガイド (英語)
• FPR1010: USBからのパッケージファイル アップロード方法
  
• FPR 1000/2100/3100/4100/4200 シリーズの交換可能なPIDの紹介
• ASA: ソフトウェア不具合と修正バージョンの確認方法
• ファイアウォール: Bug Trend (2024年)
  
• ファイアウォール: Bug Trend (2023年)

 

その他 トラブルシューティング 全般

ASA導入時や運用時のトラブル対応の参考情報は以下ガイドなどを参照してください。

• ASA ファイアウォール トラブルシューティング
• VPN トラブルシューティング

  

 

その他 設定例

Router、スイッチ、セキュリティ製品(ASA/FTDやISE)、ワイヤレス製品などの設定例は以下ガイドからアクセス可能です。

• シスコ製品 設定例