IBM テクノロジー : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA/FWSM オブジェクト グループの使用と設定

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2010 年 8 月 3 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料は PIXコード バージョン 6.2 でオブジェクト グループを、導入される機能記述したものです。 オブジェクト グループ化によって、IP ホストやネットワーク、プロトコル、ポート、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)タイプなどのオブジェクトをオブジェクト グループにまとめることができます。 オブジェクト グループは、設定すると、そのグループ内のすべてのオブジェクトを参照するために標準の conduit または access-list PIX コマンドで使用できます。 これによって、設定のサイズを削減できます。

オブジェクト グループの名前は変更できません。 削除してからもう一度オブジェクト グループに変更を適用する必要があります。

access-list をオブジェクト グループで作成した後は、access-group コマンドでインターフェイスに適用する必要があります。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco PIX ソフトウェア リリース 6.2(2) 以降

  • Cisco 515 PIX Firewall(これらの設定で動作する任意の PIX モデル)

  • Cisco ASA ソフトウェア リリース 7.0 以降

  • ソフトウェア バージョン 1.1 以降が稼動する Cisco Firewall Service Module(FWSM; ファイアウォール サービス モジュール)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

このドキュメントの情報は、ソフトウェア バージョン 7.0 以降が稼動する Cisco 5500 シリーズ Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)にも適用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

オブジェクト グループの使用

1 つのコマンド内でオブジェクト グループを使用するときには、次の例に示すように、グループ名の前にキーワード object-group を使用する必要があります。

access-list 100 permit object-group protocols object-group
   remotes object-group locals object-group services

この例で、protocols、remotes、locals、および services はすでに定義されたオブジェクト グループ名です。 オブジェクト グループをネストさせて、1 つのオブジェクト グループを別のオブジェクト グループのサブセットとして含めることができます。

次の出力にそのコマンド セットを示します。

object-group grp_id

object-group description description_text

group-object object_grp_name


object-group icmp-type grp_id

icmp-object icmp_type


object-group network grp_id

network-object host host_addr

network-object net_addr netmask

object-group protocol grp_id

protocol-object protocol


object-group service grp_id {tcp|udp|tcp-udp}

port-object eq service

port-object range begin_service end_service

オブジェクト グループの設定

ICMP タイプの設定

ICMP-type オブジェクト グループは、ICMP Access Control List(ACL; アクセス コントロール リスト)とコンジットだけで使用する特定の ICMP タイプを指定するために使用されます。 ICMP タイプの全リストは、object-group コマンド用の PIX コマンド リファレンス内に存在します。

(config)#object-group icmp-type icmp-allowed
(config-icmp-type)#icmp-object echo 
(config-icmp-type)#icmp-object time-exceeded
(config-icmp-type)#exit

(config)#access-list 100 permit icmp any any object-group icmp-allowed

ネットワーク構成

ACL またはコンジットに定義するホスト IP アドレスやサブネット範囲を指定するには、ネットワーク オブジェクト グループを使用します。 ホスト IP アドレスにはキーワード host がその前に付き、IP アドレスまたはすでに name コマンドで定義されているホスト名のいずれかを指定できます。 このオブジェクト グループを、関連する ACL/コンジットの送信元または宛先として使用できます。

(config)#names
(config)#name 10.1.1.10 myFTPserver

(config)#object-group network ftp_servers

(config-network)#network-object host 10.1.1.14
(config-network)#network-object host myFTPserver

(config-network)#network-object 10.1.1.32 255.255.255.224
(config-network)#exit

(config)#access-list 101 permit ip any object-group ftp_servers

このリストが FTP サーバだけで構成される場合、次の具体的な例が当てはまります。

(config)#access-list 101 permit tcp any object-group ftp_servers eq ftp

プロトコル 設定

ACL またはコンジットで定義したいプロトコルを指定するには、プロトコル オブジェクト グループを使用します。 このオブジェクト グループは、関連する ACL またはコンジット内だけでプロトコル タイプとして使用できます。 このオブジェクト グループ用に許可されたプロトコルは、access-list または conduit コマンドに許可された標準の PIX プロトコル名だけ、たとえば、Transmission Control Protocol(TCP; 伝送制御プロトコル)、User Datagram Protocol(UDP; ユーザ データグラム プロトコル)、Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)、Enhanced Interior Gateway Routing Protocol(EIGRP)、Encapsulating Security Payload(ESP)、Authentication Header(AH; 認証ヘッダー)などであることに注意してください。 TCP または UDP の上に収まるプロトコルは、プロトコル オブジェクト グループでは指定できません。 これらのプロトコルは、その代わりに、次の例で示すようにオブジェクト グループを使用します。

(config)#object-group protocol proto_grp_1
 
(config-protocol)#protocol-object udp
(config-protocol)#protocol-object tcp
(config-protocol)#protocol-object esp
(config-protocol)#exit

(config)#access-list 102 permit object-group proto_grp_1 any any

サービス設定

ACL またはコンジットに定義したい特定のまたは一定範囲の TCP や UDP ポートを指定するには、サービス オブジェクト グループを使用します。 次の例に示すように、このオブジェクト グループは、関連する ACL/コンジットの送信元ポートまたは宛先ポートとして使用できます。

(config)#object-group service allowed_prots tcp
(config-service)#port-object eq ftp
(config-service)#port-object range 2020 2021
(config-service)#exit

(config)#object-group service high_ports tcp-udp
(config-service)#port-object range 1024 65535
(config-service)#exit 

(config)#access-list 103 permit tcp any object-group 
          high_ports any object-group allowed_prots

強化されたサービスである object-group は、ソフトウェア バージョン 8.0 のリリース時に導入されました。 object-group によって、ASA/PIX は、同一サービス グループ内に IP プロトコルをまとめて結合できるようになったので、プロトコルと icmp-type 固有のオブジェクト グループの必要性が排除されました。 object-group を設定する場合、プロトコル タイプは指定しないでください。

(config)#object-group service RTPUsers
(config-service)#service-object icmp echo-reply
(config-service)#service-object icmp echo
(config-service)#service-object tcp http
(config-service)#service-object tcp https
(config-service)#service-object tcp http
(config-service)#service-object tcp pptp
(config-service)#service-object udp domain
(config-service)#service-object udp isakmp
(config-service)#service-object esp
(config-service)#service-object gre
(config-service)#exit 
(config)#access-list acl_inside permit object-group RTPUsers 192.168.50.0 
255.255.255.0 any
(config)#show access-list acl_inside
access-list acl_inside line 1 extended permit object-group RTPUsers 
192.168.50.0 255.255.255.0 any 
access-list acl_inside line 1 extended permit icmp 
192.168.50.0 255.255.255.0 any echo-reply (hitcnt=0) 
access-list acl_inside line 1 extended permit icmp 
192.168.50.0 255.255.255.0 any echo (hitcnt=0) 
access-list acl_inside line 1 extended permit tcp 
192.168.50.0 255.255.255.0 any eq www (hitcnt=0) 
access-list acl_inside line 1 extended permit tcp 
192.168.50.0 255.255.255.0 any eq https (hitcnt=0) 
access-list acl_inside line 1 extended permit udp 
192.168.50.0 255.255.255.0 any eq domain (hitcnt=0) 
access-list acl_inside line 1 extended permit esp 
192.168.50.0 255.255.255.0 any (hitcnt=0) 
access-list acl_inside line 1 extended permit gre 
192.168.50.0 255.255.255.0 any (hitcnt=0) 
access-list acl_inside line 1 extended permit udp 
192.168.50.0 255.255.255.0 any eq isakmp (hitcnt=0) 
access-list acl_inside line 1 extended permit tcp 
192.168.50.0 255.255.255.0 any eq pptp (hitcnt=0) 

オブジェクト グループのネスト設定

別のオブジェクト グループ内にネストできるのは、同一タイプのオブジェクト グループだけです。 たとえば、ネットワーク タイプのオブジェクト グループには、プロトコル タイプのオブジェクト グループをネストできません。

あるグループ内にグループをネストするには、group-object サブコマンドを発行します。 この例では、4 つのホストすべてを指定するために ACL またはコンジット内の all_hosts グループを使用できます。 または、各グループ内の 2 つのホストだけを指定するために host_grp_1 と host_grp_2 のいずれかを使用することもできます。

(config)#object-group network host_grp_1

(config-network)#network-object host 10.1.1.10
(config-network)#network-object host 10.1.1.14 
(config-network)#exit
       
(config)#object-group network host_grp_2

(config-network)#network-object host 172.16.10.1
(config-network)#network-object host 172.16.10.2
(config-network)#exit
       

(config)#object-group network all_hosts

(config-network)#group-object host_grp_1

(config-network)#group-object host_grp_2

(config-network)#exit

確認

このセクションでは、設定が正しく動作していることを確認するために使用できる情報を提供しています。

特定の show コマンドは、Output Interpreter Tool登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。

  • show running-config object-group:現在定義されている ACL を示します。

  • show access-list <acl>:ACL と各行の関連するヒット カウンタを示します。 このコマンドは、定義済みの各オブジェクト グループに関する拡張 ACL エントリを表示します。

  • clear object-group [grp_type]:パラメータなしで入力すると、clear object-group コマンドはコマンドでは使用されていない定義済みのオブジェクト グループすべてを削除します。 grp_type パラメータを使用することで、そのグループ タイプ用だけにコマンドで使用されていない定義済みのオブジェクト グループすべてが削除されます。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連情報


Document ID: 25700