ファイアウォール デバイスでのブリッジングについて
従来、ファイアウォールはルーテッド ホップであり、保護されたサブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。一方、トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルスファイアウォール」のように機能するレイヤ 2 デバイスであり、接続されたデバイスへのルータホップとしては認識されません。セキュリティ アプライアンスは、その内部および外部ポート上で同じネットワークを接続し、アクセス コントロール ブリッジとして機能します。各インターフェイスに異なる VLAN を割り当てます。IP アドレッシングは使用しません。
このように、既存のネットワークに簡単にトランスペアレント ファイアウォールを導入できます。IP の再アドレッシングは必要ありません。また、トラブルシューティングすべき複雑なルーティング パターンも NAT 設定もないため、メンテナンスが容易になります。
トランスペアレント モードのデバイスはブリッジとして機能しますが、IP トラフィックのようなレイヤ 3 トラフィックは、特別なアクセス ルールで明示的に許可しないかぎり、セキュリティ アプライアンスを通過できません。アクセス リストなしでファイアウォールを通過できるトラフィックは ARP トラフィックだけであり、このトラフィックは ARP インスペクションおよび IPv6 ネイバー探索を使用して制御できます。
セキュリティ アプライアンスがトランスペアレント モードで実行している場合、パケットの発信インターフェイスは、ルート ルックアップではなく MAC アドレス ルックアップを実行することによって決定されます。ルート ステートメントは引き続き設定可能ですが、セキュリティ アプライアンスから発信されたトラフィックにだけ適用されます。たとえば、syslog サーバがリモート ネットワークに配置されている場合は、セキュリティ アプライアンスがそのサブネットにアクセスできるように、スタティック ルートを使用する必要があります。
Cisco Security Manager 4.13 以降、ブリッジグループ仮想インターフェイス(BV) 機能がルーテッド ファイアウォール モードに拡張されています。ルーテッドファイアウォールは、ブリッジグループを設定することによって実装されます。ユーザは、最大 8 つのブリッジグループを設定でき、ASA 9.7.1(Cisco Security Manager 4.13)では、各グループに最大 64 のインターフェイスを含めることができます。Cisco Security Manager 4.13 以前のバージョンでは、ユーザは最大 2 つのブリッジグループを設定できます。各グループには、最大 4 つのインターフェイスが含まれます。トランスペアレントモードでサポートされる BVI 機能に加えて、ルーテッド ファイアウォール モードには、次の追加の通信モードのサポートが含まれます。
-
BVI 間通信
-
BVI からデータポートへの通信(レイヤ 2 からレイヤ 3)およびその逆
トランスペアレント ファイアウォールを設定するには、次のポリシーを使用します。マルチ コンテキスト モードの ASA/PIX/FWSM デバイスを設定する場合は、トランスペアレントのセキュリティ コンテキストごとに次のポリシーを設定します。
-
:アクセスルールは、拡張アクセスコントロールリストを使用して、レイヤ 3 以上のトラフィックを制御します。ルーテッド モードでは、一部のタイプのトラフィックは、アクセス リストで許可されていても、セキュリティ アプライアンスを通過できません。たとえば、トランスペアレント ファイアウォールを介してルーティング プロトコルの隣接関係を確立できます。これにより、アクセス ルールに基づいて、OSPF、RIP、EIGRP、または BGP トラフィックの通過を許可できます。同様に、HSRP または VRRP のようなプロトコルもセキュリティ アプライアンスを通過できます。ただし、トランスペアレント モードのセキュリティ アプライアンスは CDP パケットを通過させません。
トランスペアレント ファイアウォールで直接サポートされていない機能については、上流および下流のルータでこれらの機能を提供できるように、トラフィックを通過させることがきます。たとえば、アクセス ルールを使用することによって、(サポートされていない DHCP リレー機能の代わりに)DHCP トラフィックの通過を許可したり、IP/TV で作成されるようなマルチキャスト トラフィックの通過を許可したりできます。
詳細については、アクセス ルールについておよびアクセス ルールの設定を参照してください。
-
トランスペアレント ファイアウォール ルールの設定を参照してください。
:トランスペアレントルールは、Ethertype アクセスコントロールリストを使用して、非 IP のレイヤ 2 トラフィックを制御します。たとえば、AppleTalk、IPX、BPDU、および MPLS がデバイスを通過できるようにルールを設定できます。詳細については、 -
および [IPv6ネイバーキャッシュ(IPv6 Neighbor Cache)]:これらのポリシーを使用して、ブリッジを通過できる ARP および IPv6 トラフィックのタイプを制御します。必要に応じて、スタティックな ARP エントリおよび IPv6 ネイバー キャッシュ エントリを設定して、これらのスタティック ルールで定義されていないトラフィックをドロップできます。MAC アドレス、IP アドレス、またはインターフェイス間に不一致がある場合に、セキュリティ アプライアンスがパケットをドロップするように、ARP インスペクションをイネーブルにします。これによって、ARP スプーフィングを防ぐことができます。詳細については、[ARP Table] ページおよび[ARP Inspection] ページを参照してください。
、[ARPインスペクション(ARP Inspection)]
(注) |
非トランスペアレントの ASA/PIX/FWSM デバイスで使用できるブリッジング ポリシーは、[ARP Table] と [IPv6 Neighbor Cache] のみです。 |
-
[MAC Address Table] ページおよび[MAC Learning] ページを参照してください。
および [MACラーニング(MAC Learning)]:これらのポリシーを使用して、スタティックな MAC-IP アドレスマッピングを設定し、MAC 学習をイネーブルまたはディセーブルにします。MAC 学習はデフォルトではイネーブルになっており、これによってアプライアンスは、トラフィックがインターフェイスを通過するときに MAC-IP アドレス マッピングを追加できます。スタティック エントリ以外のすべてのトラフィックを阻止する場合は、MAC 学習をディセーブルにできます。詳細については、 -
[プラットフォーム(Platform) > [ブリッジング(Bridging)] > [管理IP(Management IP)]
-
および [プラットフォーム(Platform)] > [ブリッジング(Bridging)] > [管理IPv6(Management IPv6)]:これらのポリシーを使用して、Security Manager がデバイスとの通信に使用する管理 IP アドレスを設定します。
(注) |
[Management IP] ページおよび [Management IPv6] ページは Catalyst 6500 サービス モジュール(ファイアウォール サービス モジュールおよび適応型セキュリティ アプライアンス サービス モジュール)では使用できません。 |
管理 IP アドレスを変更する場合は、デバイスまたはセキュリティ コンテキストのデバイス プロパティも更新する必要があります。次の手順に従ってください。
-
管理 IP アドレスを変更し、変更を保存して送信します。
-
変更をデバイスに展開します。
-
デバイスビューで、デバイスまたはセキュリティコンテキストを選択してから、[ツール(Tools)] > [デバイスのプロパティ(Device Properties)] を選択します。[General] ページで、新しい管理 IP アドレスを [IP Address] フィールドに入力します。[Credentials] タブで、管理インターフェイスにログインできるアカウントのクレデンシャルで、ユーザ名およびパスワードのフィールドを更新します。これで、Security Manager は、以降の展開およびデバイス通信に、このアドレスおよびユーザ アカウントを使用するようになります。
詳細については、[Management IP] ページを参照してください。