[状況] メニューから、プライベート ネットワーク接続に関する次の情報を表示できます。
IPSec トンネルに関する情報を表示するには、[状況] のプルダウン メニューから [統計情報] を選択します。 次に [トンネルの詳細] タブをクリックします。 プライベート ネットワークへの VPN トンネルの IPSec 統計情報を示した IP セキュリティ情報が表示されます。
[暗号化]:このトンネルを通るトラフィック用のデータ暗号化方式。暗号化されたデータは、途中で盗み見られた場合でも、読み取ることはできないようになっています。
[認証]:このトンネルを通るトラフィックに使用される、データまたはパケットの認証方式。認証により、データが改ざんされていないことを確認できます。
[破棄]:VPN 装置のセキュア ゲートウェイから出力されていず、VPN Client により拒否されたデータ パケットの合計数。
[バイパス]:暗号化する必要がなく、VPN Client で処理されなかったデータ パケットの合計数。ローカル ARP と DHCP がこのカテゴリに該当します。
[ローカル LAN]:トンネルがアクティブなときに、ローカル エリア ネットワークへのアクセスを可能、不可のどちらにするかを設定(この機能の設定に関する情報については、「ローカル LAN アクセスの許可」を参照してください)。
[圧縮]:データ圧縮が有効であるかどうか、および使用されている圧縮のタイプ。現在 VPN Client でサポートされている圧縮のタイプは、LZS だけです。
ルーティング情報を表示するには、[状況] のプルダウン メニューから [統計情報] を選択します。 次に [ルートの詳細] タブをクリックします。
[ローカル LAN ルート] ボックスには、IPSec トンネルを介して組織のプライベート ネットワークに接続しているユーザがローカル LAN 上でアクセスできるネットワークのネットワーク アドレスが示されます。ユーザは、クライアント側の接続で、10 までのネットワークにアクセスできます。中央サイトにいるネットワーク管理者は、クライアント側からユーザがアクセスできるネットワ−クを設定する必要があります。VPN 3000 Concentrator 上での [Local LAN Access] の設定に関する情報については、『VPN Client アドミニストレータ ガイド』の第 1 章を参照してください。
[ファイアウォール] タブには、VPN Client のファイアウォール設定に関する情報が表示されます。
VPN Concentrator のネットワーク マネージャでは、VPN Client で使用されるファイアウォール(Cisco Integrated Client、Zone Labs ZoneAlarm、ZoneAlarm Pro、BlackICE Defender など)を指定し、Configuration | User Management | Base Group or Group | Client FW タブでファイアウォール ポリシーをセットアップします。 ファイアウォール ポリシーには次のオプションがあります。
AYT(Are You There)では特定のファイアウォールが使用されますが、特定のファイアウォール ポリシーを使用する必要はありません。 VPN Client PC にインストールされた、サポートされているファイアウォール ソフトウェアにより、その PC のルールが管理されます。VPN Client では、30 秒ごとにファイアウォールがポールされ、ファイアウォールが動作していることが確認されます。ただし、特定のポリシーが実施されていることは確認されません。
Centralized Protection Policy(CPP)、または VPN Concentrator に定義された「Policy Pushed」では、ステートフルなファイアウォール ポリシーを定義できます。このポリシーは、トンネルが有効な間に、VPN Client によってインターネット トラフィックに適用されます。CPP は、スプリット トンネリングの実行中に使用され、Tunnel Everything の設定には無関係です。Tunnel Everything の設定では、トンネルを通過するトラフィック以外のすべてのトラフィックは、トンネル接続が存在する間は、ブロックされます。このポリシーでは、Cisco Integrated Client を使用します。このポリシーのルールは、VPN Concentrator 上で定義され、それぞれの接続の際に VPN Client に送信されます。トンネルがアクティブである間、VPN Client により、トンネルを通過しないすべてのトラフィックに対してこれらのルールが適用されます。
注 CPP はインターネット トラフィックに対してのみ影響します。トンネルを通過するトラフィックは、このポリシー ルールには影響されません。Tunnel Everything モードで動作しているときは、CPP を使用可能にしても影響はありません。
Client/Server は VPN Concentrator 上の「Policy from Server」(Zone Labs Integrity)に対応し、Zone Labs Integrity ソリューションと関連があります。このポリシーは、プライベート ネットワーク内の Integrity Server 上で定義され、VPN Concentrator に送信されます。その後、このポリシーは、VPN Concentrator により VPN Client PC 上の Integrity Agent に送信され、実装されます。Integrity は、完全なパーソナル ファイアウォールであるため、ネットワーク トラフィックをアプリケーションとデータに基づいて決定できます。
表 5-1 には、サポートされているさまざまなファイアウォールで使用可能なポリシー オプションについてまとめてあります。
[ファイアウォール] タブには、ファイアウォール ポリシーと設定済みファイアウォール製品など、VPN Client のファイアウォールの設定に関する情報が表示されます。 これ以外に [ファイアウォール] タブに表示される情報は、これら 2 つの設定オプションによって異なります。
このタブに表示される情報は、使用するファイアウォール ポリシーによって異なります。
AYT:Are You There(AYT)がサポートされているときは、[ファイアウォール] タブには、ファイアウォール ポリシー(AYT)、およびファイアウォール製品の名称だけが表示されます。AYT では、特定のパーソナル ファイアウォールが使用されますが、ユーザは特定のファイアウォール ポリシーの使用を要求されません。
Centralized Protection Policy (CPP):CPP がサポートされているときは、[ファイアウォール] タブには、ファイアウォール ポリシー、使用しているファイアウォール、およびファイアウォール ルールが表示されます。
Client/Server:Client/Server がサポートされているときは、[ファイアウォール] タブには、ファイアウォール ポリシーが Client/Server、製品名が ZoneLabs Integrity Agent のように表示されます。その他に、ユーザ ID、セッション ID、およびファイアウォール サーバのアドレスとポート番号も表示されます。
この [ファイアウォール] タブには、AYT を使用中であることが示され、AYT をサポートするファイアウォール製品名が表示されます。 AYT は、Cisco Intrusion Prevention Security Agent、または Zone Labs Zone Alarm か Zone Alarm Pro と併用されます。システム上でファイアウォールが使用可能に設定され、動作していることは確認されますが、特定のポリシーが使用されているかどうかについては確認されません。
CPP は、VPN Concentrator 上で定義され、VPN Concentrator によって管理される、ステートフルなファイアウォール ポリシーです。CPP では、スプリット トンネリングが使用されているときに、VPN Client PC およびプライベート ネットワークが不正侵入から保護されます。 CPP では、スプリット トンネリングを介して接続されているときに使用される、VPN Client で統合されたファイアウォールを実現するためのステートフルなファイアウォール ポリシーが送付されます。CPP の [ファイアウォール] タブには、その時点で有効なファイアウォール ルールが表示されます。
[ファイアウォールルール] のセクションには、VPN Client 上で現在有効なファイアウォール ルールがすべて表示されます。これらのルールは、重要度の高いものから順に表示されます。この表の最上部にあるルールは、VPN Client とセキュア ゲートウェイ間、および VPN Client と VPN Client が通信するプライベート ネットワーク間の発信トラフィック、および受信トラフィックを許可します。たとえば、VPN Client がトンネルを通じて接続する各プライベート ネットワークに対して、2 つのルールが有効になっています(1 つのルールが発信トラフィックを許可し、もう 1 つのルールが受信トラフィックを許可します)。これらのルールは、VPN Client ソフトウェアに組み込まれています。これらのルールは表の最上部にあるので、VPN Client では、CPP ルールが調べられる前に、これらのルールが実施されます。プライベート ネットワークのトラフィックは、これらのルールに従って送受信されます。
CPP ルール(VPN Concentrator 上で定義される)は、トンネルを通過しないトラフィックに対してのみ使用され、表中で次に表示されます。CPP に対するフィルタやルールの設定については、『VPN Client アドミニストレータ ガイド』の第 1 章を参照してください。VPN Concentrator 上のデフォルトのルール「Firewall Filter for VPN Client(Default)」では、VPN Client によるデータ送信がすべて許可されますが、送信トラフィックに対する応答のみがリーターン トラフィックとして許可されます。
最後に 2 つのルールが表の最下部に表示されています。VPN Concentrator 上に定義されているこれらのルールは、フィルタのデフォルト動作(ドロップさせるか、通過させるか)を指定しています。デフォルトの動作は、変更されていない限り、ドロップです。これらのルールは、トラフィックが、この表の上部に記載されたルールのいずれかに一致しない場合にだけ使用されます。
注 Cisco Integrated Client ファイアウォールは、その性質上ステートフルであり、TCP、UDP、および ICMP などのプロトコルで、送信パケットに対する受信応答が許可されます。この例外については、『VPN Client アドミニストレータ ガイド』の第 1 章を参照してください。他のプロトコル、たとえば HTTP に対しても送信パケットに対する受信応答を許可したい場合は、ネットワーク管理者が VPN Concentrator 上で特定のフィルタを定義する必要があります。
[ファイアウォールルール] の表上部の列ヘッダーのバーを動かすと各項目の幅を広げることができます。たとえば、[アクシ] や [方] のように、一部のみを表示するのではなく、[アクション] や [方向] のようにすべてを表示できます。ただし、この表示を終了し、再びこの状況表示画面の [ファイアウォール] タブを開くときは、列が元の幅に戻ってしまいます。VPN Concentrator のデフォルト ルール(破棄、すべて、受信、および破棄、すべて、着信)が、常にリストの最下部に表示されます。これらの 2 つのルールは、安全ネットとして機能し、トラフィックが、これらのルールより優先度の高いルールのいずれとも一致しないときにだけ有効になります。
特定のルールのフィールドを表示するには、最初の列をクリックし、ルール リストの下にある領域内のフィールドを確認してください。たとえば、ルール リストの下のウィンドウ セクションには、このリスト上で強調表示されたルールのフィールドが表示されます。
Client/Server ポリシーがサポートされている場合は、[ファイアウォール] タブには、ファイアウォール ポリシーの名前、製品名、ユーザ ID、セッション ID、およびプライベート ネットワーク内にあるファイアウォール サーバのアドレスとポート番号が表示されます。Zone Labs Integrity は、Client/Server のファイアウォール ソリューションです。この中で、Integrity Server(IS)は、VPN Client PC 上の Integrity Agent(IA)へファイアウォール ポリシーをプッシュするファイアウォール サーバとして動作します。また、Zone Labs Integrity は、中央での常にオンのパーソナル ファイアウォールを提供します。
[製品]:現在使用している Client/Server ソリューションの名前(Zone Labs Integrity Client など)を表示します。
[セッション ID]:すべてのエンティティ間の接続のセッション ID。この ID は、ファイアウォール クライアントを初期化するために使用されます。また、トラブルシューティングの際に利用されます。
すべての接続統計情報をゼロにリセットするには、[リセット] をクリックします。取り消しはできません。[リセット] は接続統計情報だけを対象とし、このウィンドウの他のセクションには影響を与えません。
Copyright © 2003, Cisco Systems, Inc. All rights reserved.