この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Virtual Security Gateway(VSG)のファイアウォール プロファイルおよびポリシー オブジェクトの設定方法について説明します。
• 「Cisco VSG のファイアウォール ポリシー オブジェクトに関する情報」
• 「Cisco VSG ポリシー オブジェクト設定の前提条件」
• 「Cisco VSG のファイアウォール ポリシー オブジェクト」
• 「設定の制限値」
Cisco VSG のすべての設定および管理は、Cisco Virtual Network Management Center(VNMC)を使用して行います。
(注) ポリシーエージェント(PA)がインストールされている場合、コマンドライン インターフェイス(CLI)は Cisco VSG のポリシー関連オブジェクトの設定に使用できません。PA をアンインストール(削除)すると、CLI から再度ポリシー(およびポリシー オブジェクト)を設定できます。ただし、Cisco VSG のファイアウォール ポリシー オブジェクトのすべての設定および管理には Cisco VNMC を使用することを推奨します。
• 「Cisco VSG ポリシー オブジェクト設定の前提条件」
• 「ゾーン」
• 「ルール」
• 「ポリシー」
Cisco VSG ポリシー オブジェクトには次の前提条件があります。
• Cisco Nexus 1000V シリーズ スイッチ に NEXUS_VSG_SERVICES_PKG ライセンスがインストールされている必要があります。
• 保護対象の ESX ホスト(VEM)の数に対して十分なライセンスがあることを確認してください。
• 仮想スーパーバイザ モジュール(VSM)上で、Cisco VSG のサービスおよび HA インターフェイスのポート プロファイルを作成してください。
• Cisco VSG ソフトウェアをインストールし、基本インストールを完了します。詳細については、『 Cisco Virtual Security Gateway, Release 4.2(1)VSG1(3.1) and Cisco Virtual Network Management Center, Release 1.3 Installation and Upgrade Guide 』を参照してください。
• データ IP アドレスおよび管理 IP アドレスを設定する必要があります。データ IP アドレスを設定するには、『 Cisco Virtual Security Gateway, Release 4.2(1)VSG1(3.1) and Cisco Virtual Network Management Center, Release 1.3 Installation and Upgrade Guide 』を参照してください。
Cisco VSG の設定に関する注意事項と制約事項は次のとおりです。
• 管理 VLAN は VM ネットワーク vSwitch 上にある必要があります。
• HA およびサービス VLAN はアップリンク ポート上に設定します。(システム VLAN 上にある必要はありません)。
• Cisco VSG の管理インターフェイスとデータ インターフェイス(data0)に同じネットワーク IP アドレスを設定しないでください。
設定および管理作業については、次の要件が満たされている必要があります。
• Cisco VSG ソフトウェアは 3 つのネットワーク アダプタで実行されている必要があります。ネットワーク ラベルは次のとおりです。
• Cisco VSG VM の電源をオンにし、データ インターフェイスの IP アドレス(data0 用)および管理インターフェイスの IP アドレスを設定します。
ネットワーク アダプタへのネットワーク ラベルの割り当てに関する詳細については、『 Cisco Virtual Security Gateway, Release 4.2(1)VSG1(3.1) and Cisco Virtual Network Management Center, Release 1.3 Installation and Upgrade Guide 』を参照してください。
表 6-1 に、Cisco VSG パラメータのデフォルト設定を示します。
|
|
---|---|
ゾーンは、仮想マシン(VM)またはホストの論理グループです。ゾーンは、ゾーン名を使用したゾーン属性に基づくポリシーの記述を許可することにより、ポリシーの記述を簡素化できます。ゾーン定義により、ゾーンに VM がマッピングされます。論理グループの定義は、vCenter に定義された VM 属性など、VM またはホストに関連付けられた属性に基づくことができます。ゾーン定義は条件ベースのサブネットおよびエンドポイントの IP アドレスとして記述できます。
ゾーンおよびオブジェクト グループは異なる方向のさまざまなルール間で共有されるため、オブジェクト グループで使用される属性は、方向付けされていない、ニュートラル属性である必要があります。
次に、show running-config コマンド出力にゾーンが表示される例を示します。
オブジェクト グループは、属性に関連する一連の条件です。オブジェクト グループおよびゾーンは異なる方向のさまざまなルール間で共有されるため、オブジェクト グループ条件で使用される属性は、方向付けされず、ニュートラルである必要があります。オブジェクト グループは、ファイアウォール ルールの記述を支援するセカンダリ ポリシー オブジェクトです。ルール条件は、演算子を使用することによりオブジェクト グループを参照できます。
次に、show running-config コマンド出力にオブジェクト グループが表示される例を示します。
ファイアウォール ルールは複数の条件とアクショで構成できます。ルールは、ポリシー内で、条件ベースのサブネット、またはエンド ポイントの IP アドレスおよび VM 属性として定義できます。
アクションはポリシー評価の結果です。指定したルール内で、次のアクションを 1 つまたは複数定義して関連付けることができます。
次に、show running-config コマンド出力にルールが表示される例を示します。
ファイアウォール ポリシーは、特定のポリシーにルールをバインドし、ルール間にランクを作成します。ポリシーは、Cisco VSG 上のネットワーク トラフィックを適用します。ポリシーは次のポリシー オブジェクトのセットを使用して構築されます。
ポリシーは、一連の間接的な関連付けを使用して Cisco VSG にバインドされます。セキュリティ管理者は、セキュリティ プロファイルを設定すると、セキュリティ プロファイル内のポリシー名を参照できます。セキュリティ プロファイルは、Cisco VSG へのリファレンスを持つポート プロファイルに関連付けられます。
次に、show running-config コマンド出力にポリシーが表示される例を示します。
次に、show running-config コマンド出力に条件が表示される例を示します。
次に、 show running-config コマンド出力にアクションが表示される例を示します。
ここでは、Cisco Virtual Security Gateway の属性について説明します。
• 「属性クラス」
• 「方向属性」
ファイアウォール ポリシーは、着信パケットまたは発信パケットに対して方向付けられています。ルール条件内の属性は、送信元または宛先のいずれかに関連するように指定されたものが必要です。src.、dst.のようなプレフィクス、または属性名は、方向付けに使用されます。
オブジェクト グループおよびゾーンは異なる方向のさまざまなルール間で共有されるため、オブジェクト グループ条件で使用される属性は方向付けされません。方向付けされていない属性(src.または dst.などの方向プレフィクスを提供 しない)は、ニュートラル属性と呼ばれます。
異なる方向の 2 つのルール条件は同じオブジェクト グループ定義を共有できます。オブジェクト グループで使用されるニュートラル属性と net.ip-address は、src.net.ip-address および dst.net.ip-address のような異なるルールで使用される方向属性と関連付けることができます。
• 「VM 属性」
• 「ゾーン属性」
属性は、ポリシー ルールおよび条件の設定、またはゾーン定義で使用されます。ゾーンは、VM 属性を使用して定義することもできます。
ここでは、VSG ネットワーク属性について説明します( 表 6-2 を参照)。
|
|
---|---|
IP アドレス1 |
|
ポート1 |
|
IP プロトコル 91 |
|
レイヤ 2 モードのフレームの EtherType1 |
VM 属性は、仮想マシンのインフラストラクチャに関連する属性で、次の VM 属性のクラスを含みます。
• 仮想インフラストラクチャ属性:これらの属性は、VMware vCenter から取得され、 表 6-3 にリストされている名前にマッピングされます。
• ポート プロファイル属性:これらの属性は、ポート プロファイルに関連付けられます。
• カスタム属性:これらの属性は、サービス プロファイルで設定できます。
表 6-3 に、サポートされる VM 属性を示します。
|
|
---|---|
vm.name2 |
|
vm.host-name1 |
|
vm.os-fullname1 |
|
vm.vapp-name1 |
|
vm.cluster.name1 |
|
vm.inventory-path1 |
|
vm.portprofile-name1 |
|
関連付けられたポート グループのセキュリティ プロファイルからのカスタム属性。 (注) 一意のカスタム属性 xxx ごとに、合成された属性名は src.vm.custom.xxx または dst.vm.custom.xxx となります。ポリシーは合成された属性名を使用します。 |
vm.custom.xxx1 |
カスタム VM 属性は、サービス プロファイルの下で設定できるユーザ定義の属性です。
次に、Cisco VSG の VM 属性を確認する例を示します。
表 6-4 に、Cisco VSG がサポートするゾーン属性を示します。
|
|
---|---|
zone.name3 |
セキュリティ プロファイルは、ポリシーの記述に使用できるカスタム属性を定義します。特定のポート プロファイルのタグが付いたすべての VM は、そのポート プロファイルに関連付けられたセキュリティ プロファイルで定義されたファイアウォール ポリシーおよびカスタム属性を継承します。各カスタム属性は、state = CA のように名前と値のペアとして設定されます。
次に、Cisco VSG のセキュリティ プロファイルを確認する例を示します。
次に、Cisco VSG のセキュリティ プロファイルを確認する例を示します。
Cisco VNMC GUI を使用すると、Cisco VSG のセキュリティ ポリシー オブジェクトを表示できます。Cisco VNMC GUI で表示されるポリシー オブジェクトは、show running-config コマンドを入力して Cisco VSG CLI に表示される組織のパス位置と必ずしも同じ位置に表示されるわけではありません。
たとえば、Cisco VNMC GUI では、仮想データセンター DC1 がテナントの下にあり、アプリケーション APP1 が DC1 の下にある場合、APP1 レベルの vvnsp app1-sp は DC レベルのポリシー セット ps1 を指します。
図 6-1 に、Cisco VNMC GUI の組織構造を示します。
図 6-1 テナント、データセンター、およびアプリケーションの Cisco VNMC 組織階層
show running-config コマンドの出力は、ポリシー セットおよびそのオブジェクトが、セキュリティ プロファイルが定義されている APP1 レベルから解決されることを示しています。Cisco VNMC GUI のオブジェクトの実際の場所は DC1 レベルです。
Cisco VSG の show running-config コマンド出力で表示されるポリシー オブジェクト DN は、DN(解決される場所と関連する DN)とともに表示されます。ポリシー オブジェクト DN は、Cisco VNMC の組織階層に実際のポリシー オブジェクトがある場所にはありません。
ただし、セキュリティ プロファイルは、Cisco VNMC の組織階層に実際のセキュリティ プロファイルが作成された場所に DN とともに表示されます。
ポリシー オブジェクトは、Cisco VNMC の組織階層にセキュリティ プロファイルが置かれている場所の上で解決されます。
次の例では、Cisco VSG が次の仕様で設定されています。
• セキュリティ プロファイル(VNSP)sp1 に、ルール r1 を含むポリシー p1 のあるポリシーセット ps1 があります。
• ポリシーセット ps1 が Cisco VNMC の組織ツリー内のルートに置かれています。
• ポリシー p1 が Cisco VNMC の組織ツリー内のルートに置かれています。
• ルール r1 が Cisco VNMC のポリシー p1 内に置かれています(Cisco VNMC ではルール オブジェクト自体を作成できません)。
• セキュリティ プロファイル sp1 が Cisco VNMC の tenant_d3337/dc1 に置かれています。
tenant_d3337 のすべての Cisco VSG には、次の show-running config コマンド出力があります(この設定はリーフ パス内のすべての Cisco VSG に複製されます)。
(注) 上のポリシー オブジェクトは、実際は Cisco VNMC の組織ツリーの DC1 レベルには存在しませんが、Cisco VNMC 組織ツリー内のその位置から解決されます。
サービス ファイアウォールのログを使用してファイアウォール ポリシーをテストおよびデバッグできます。ポリシーの評価中に、ポリシー エンジンによりポリシー評価のポリシー結果が表示されます。このツールは、ポリシーをトラブルシューティングするユーザとポリシー記述者双方に役立ちます。
この手順を開始する前に、次のことを実行または確認する必要があります。
• Cisco VSG ソフトウェアは 3 つのネットワーク アダプタで実行されている必要があります。次のようにネットワーク ラベルを割り当てます。
ネットワーク アダプタへのネットワーク ラベルの割り当てに関する詳細については、『 Cisco Virtual Security Gateway, Release 4.2(1)VSG1(3.1) and Cisco Virtual Network Management Center, Release 1.3 Installation and Upgrade Guide 』を参照してください。
• Cisco VSG VM の電源をオンにし、データ インターフェイスの IP(data0 用)および管理インターフェイスの IP を設定します。
2. service-firewall logging enable
|
|
|
---|---|---|
Cisco VSG の設定を表示するには、show running-config コマンドを使用します。
表 6-5 に、Cisco VSG を設定する場合の制限値を示します。
|
|
---|---|