トランスペアレント ファイアウォール ルールの設定
トランスペアレント ファイアウォール ルールは、非 IP レイヤ 2 トラフィックのアクセス コントロール ルールです。これらのルールを使用して、レイヤ 2 パケット内の Ethertype 値に基づいてトラフィックを許可またはドロップできます。これらのルールによって、デバイス上に Ethertype アクセス コントロール リストが作成されます。トランスペアレント ルールを使用すると、デバイスでの非 IP トラフィック フローを制御できます(IP トラフィックを制御するには、アクセス ルールを使用します。アクセス ルールについてを参照してください)。
トランスペアレント ファイアウォールは、ブリッジ経由のトラフィック フローを制御するために単一のサブネット内に配置するデバイスです。トランスペアレント ファイアウォールを使用すると、ネットワークに番号を付け直すことなく、サブネット上にファイアウォールを配置できます。
トランスペアレント ルールは、次のタイプのインターフェイス上でだけ設定できます。
-
IOS 12.3(7)T 以降のデバイスの場合:ブリッジグループの一部であるレイヤ 3 インターフェイス上:
-
[インターフェイス(Interfaces)] > [インターフェイスポリシー(Interfaces policy)] で、ブリッジするインターフェイスをレイヤ 3 として設定します。
-
[プラットフォーム(Platform)] > [デバイス管理(Device Admin)] > [ブリッジング(Bridging)] ポリシーで、2 つ以上のレイヤ 3 インターフェイスが含まれるブリッジグループを設定します(Cisco IOS ルータにおけるブリッジングおよびブリッジ グループの定義を参照)。
-
このブリッジ グループと同じ番号を使用して、Bridge-group Virtual Interface(BVI; ブリッジ グループ仮想インターフェイス)を作成します(ブリッジ グループ仮想インターフェイスを参照)。たとえば、ブリッジ グループ 12 を作成する場合は、BVI12 を作成します。
-
-
ASA、PIX 7.0 以降、FWSM デバイスの場合:デバイスがトランスペアレント モードで実行されている場合の任意のインターフェイス上。複数のコンテキストを使用する場合は、個々のセキュリティ コンテキストでルールを設定します。
[プラットフォーム(Platform)] > [ブリッジング(Bridging)] ポリシーグループで設定できるその他のブリッジングポリシーには、ARP テーブルと ARP インスペクション、MAC テーブルと MAC 学習ディセーブル化機能、およびデバイスのリモート管理を可能にするための管理 IP アドレスの設定機能があります。トランスペアレント ファイアウォールの詳細については、ファイアウォール デバイスでのブリッジング ポリシーの設定およびルーテッド モードおよびトランスペアレント モードのインターフェイスを参照してください。
ヒント |
トランスペアレント モードの ASA、PIX、および FWSM では、すべての IP トラフィックがデバイスを通過できるようにアクセス ルールを設定する必要があります。トランスペアレント ルールでは、レイヤ 2 の非 IP トラフィックだけが制御されます。 |
また、セキュリティ デバイスでネットワーク アドレス変換を使用する方法については、トランスペアレント モードの NATを参照してください。
これらのインターフェイス上に、他のタイプのファイアウォール ルールを設定することもできます。その他のタイプのルールは、レイヤ 3 以上のトラフィックに適用されます。
ヒント |
トランスペアレントルールを設定すると、暗黙的な deny all ルールが、各インターフェイスのルールリストの最後に追加されます。必要なトラフィックをすべて許可していることを確認してください。特定のタイプのトラフィックだけを許可するのではなく、単に特定のタイプのトラフィックを拒否する場合は、permit any(ASA/PIX/FWSM デバイスの場合)または permit 0x0000 0xFFFF(IOS デバイスの場合)ルールをテーブル内の最後のルールとして含めることができます。 |
関連項目
手順
ステップ 1 |
次のいずれかを実行して、[Transparent Rules] ページを開きます。
|
||
ステップ 2 |
ルールを作成する行を選択して [行の追加(Add Row)] ボタンをクリックするか、または行を右クリックして [行の追加(Add Row)] を選択します。[Add Transparent Firewall Rule]/[Edit Transparent Firewall Rule] ダイアログボックスが開きます。
|
||
ステップ 3 |
ルールを設定します。次に、一般的に判断が必要となる重要な点を示します。フィールドを設定する方法の詳細については、[Add Transparent Firewall Rule]/[Edit Transparent Firewall Rule] ダイアログボックスを参照してください。
EtherType のグループに適用する単一のルールを作成する場合は、EtherType を 2 進数に変換し、適切なマスクを計算します。この場合、1 は、EtherType を文字どおり解釈することを示し、0 は、その位置にあるすべての値を許可することを示します。次に、マスクを 16 進数に変換する必要があります。 ルールの定義が完了したら、[OK] をクリックします。 |
||
ステップ 4 |
適切な行を選択しないでルールを追加した場合は、追加されたルールを選択し、上下の矢印ボタンを使用して適切な位置にルールを移動します。詳細については、ルールの移動とルール順序の重要性を参照してください。 |
||
ステップ 5 |
(IOS デバイスだけ)IOS デバイスでトランスペアレント ルールを設定する場合、DHCP トラフィックを検査せずにブリッジ経由で転送できます。これを設定するには、[ファイアウォール(Firewall)] > [設定(Settings)] > [検査(Inspection)] ポリシーを選択し、[DHCPパススルーを許可(トランスペアレントファイアウォール)(Permit DHCP Passthrough (Transparent Firewall))] オプションを選択します。この設定は、一部の IOS バージョンではサポートされていないため、検証結果をよく調べて、使用しているデバイスで設定できるかどうかを確認してください。 |