Cisco Adaptive Security Appliance Software Version 7

ここ1、2ヶ月は Cisco のファイアーウォール関連の仕事が続いています。Cisco ファイアーウォール製品 (PIX/ASA) の OS の最新バージョンが 7.X 台になりましたが、6.X 台と比べて多くのコマンドが変わりました。


「げっ、いままでの設定がそのまま入らないよ…。やばっ。」


というわけで慌てて調べたのですが、その成果をまとめておきます。今回は既存のシンプルなファイアーウォールの設定を古い機器& OS から新しく導入する ASA (Software Ver. 7.0) に移行したのですが、設定がシンプルと言えどコマンド変更の影響を受けました。工場出荷時デフォルト設定でも新コマンドがいくつか含まれているのです。以下私の場合に関連した変更点です。
・インターフェイスの設定方法の変更
Cisco ルータのようにインターフェイスコンフィグレーションモードに移行してから設定するようになりました。


interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!


というような感じです。IOS のコマンドに合わせたということですね。
・access-list のクリア方法が変わった
access-list を消去するのに “clear configure access-list” コマンドを使うようになりました。一瞬消すコマンドがわからず焦りました。ちなみに1行だけ消すのは “no access-list” コマンドですね。
・fixup コマンドが inspect コマンドに変更
fixuup コマンドが inspect コマンド (+ Modular Policy Framework = MPF) に置き換わりました。とりあえず CLI で fixup コマンドを入力すれば受け付けて MPF のコマンド群に変換してくれるので、fixup コマンドを入力し結果を確認しましょう。変換後は以下のような感じになります。


class-map inspection_default
match default-inspection-traffic
!
policy-map global_policy
class inspection_default
inspect ftp
inspect http
(…)
!
service-policy global_policy global
・新コマンド “ftp mode passive”
アプライアンスの FTP クライアントの動作を指定します。ファイアーウォールの動作には関係ないです。デフォルトの設定で有効化されていました。
・新コマンド dns-guard
DNS Guard は DNS リクエストのヘッダ中の identification field を、レスポンスのヘッダとマッチさせて 1 query に対し 1 response のみ通信を許可する機能です。これもデフォルト設定では有効になっています。
・新コマンド “asdm image”
ASDM (Adaptive Security Device Manager) イメージ、すなわち管理用 GUI を用いるためのソフトウェアの位置を指定するためのコマンド。このコマンドが startup configuration に指定されていなければ、デフォルトの規則に従いイメージを見つけます。ASDM の初回実行後にこのコマンドが自動で追加設定されました。


ちなみに ASDM にアクセスするためには http コマンドで設定を行います。


http server enable
http 192.168.0.0 255.255.255.0 inside


準備ができたら、HTTPS プロトコル (ポートは普通に 443) でアクセスします。その後指示に従い Java のアプレットとして ASDM を実行するか、Launcher プログラムを手許の PC にインストールし、これを用いて起動します。
・conduit/outbound コマンドがなくなった
既になくなることはアナウンスされていましたが、とうとう conduit/outbound コマンドが使えなくなりました。って言っても使っている人は少ないかも知れませんね。私の最初に見た PIX の設定ではこれらのコマンドが使われていて「ふーん。PIX ってよくわかんねえなあ。」というのが第一印象でした。
・”logging on” が “logging enable” に変更


・”floodguard enable” の指定は機能が常時有効化されたので、不要となった
シンプルなファイアーウォールとしての設定を移行するだけでも、これだけの変更が関連しました。VPN 関連も変更があるようなので、関係する人は Upgrade Guide に目を通しておいた方が良いと思います。