セキュリティ : Cisco IOS ファイアウォール

ゾーン ベースのポリシー ファイアウォール設計および塗布ガイド

2015 年 10 月 17 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2010 年 6 月 9 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

Cisco IOS か。 ソフトウェア リリース 12.4(6)T ゾーン ベースのポリシー ファイアウォール(ZFW)を、Cisco IOS ファイアウォール機能セットのための新しい設定モデル導入しました。 この新しい設定モデルは好ましいトラフィックを可能にするために明示的なポリシーが適用されるまで多数インターフェイス ルータのための直観的なポリシー、ファイアウォール ポリシー アプリケーションの高められた細かさ、およびデフォルトをファイアウォール セキュリティ ゾーン間のトラフィックを禁止する否定すべてのポリシー提供します。

Cisco IOS ソフトウェア リリース 12.4(6)T の前に設定されるほぼすべての古典的な Cisco IOS ファイアウォール機能は新しいゾーン ベースのポリシー点検インターフェイスでサポートされます:

  • ステートフル パケット点検

  • VRF わかっている Cisco IOS ファイアウォール

  • URL フィルタリング

  • サービスの拒絶(DoS)軽減

Cisco IOS ソフトウェア リリース 12.4(9)T クラスごとのセッション/接続およびスループット限界の ZFW サポート、またアプリケーション点検および制御加えました:

  • HTTP

  • 電子メール・プロトコル(POP3)は、インターネット メール アクセス プロトコル(IMAP)、シンプル・メール転送プロトコル/高めましたシンプル・メール転送プロトコル(SMTP/ESMTP)を

  • Sun リモート・プロシージャ・コール(RPC)

  • インスタント メッセージ(IM)アプリケーション:

    • Microsoft メッセンジャー

    • Yahoo メッセンジャー

    • AOL インスタントメッセンジャー

  • ピアツーピア(P2P)ファイル共有:

    • Bittorrent

    • KaZaA

    • Gnutella

    • eDonkey

より容易な DoS 保護調整のための Cisco IOS ソフトウェア リリース 12.4(11)T によって加えられる統計情報。

いくつかの Cisco IOS 古典的なファイアウォール機能および機能は Cisco IOS ソフトウェア リリース 12.4(15)T の ZFW でまだサポートされていません:

  • 認証委任状

  • ステートフル ファイアウォール フェールオーバー

  • 統一されたファイアウォール MIB

  • IPv6 ステートフル点検

  • TCP 故障中のサポート

ZFW は一般にほとんどのファイアウォール点検アクティビティのための Cisco IOS パフォーマンスを改善します。

Cisco IOS ZFW か古典的なファイアウォールはマルチキャスト トラフィックのステートフル点検サポートが含まれていません。

前提条件

要件

この文書のための特定の要件がありません。

使用するコンポーネント

この文書は特定のソフトウェアおよびハードウェア バージョンに制限されません。

表記法

文書規定に関する詳細については Cisco テクニカル・ティップ規定を参照して下さい。

ゾーン ベースのポリシー概要

Cisco IOS 古典的なファイアウォール ステートフル点検は(以前コンテキストベース アクセス管理、か CBAC として知られている)ステートフル点検ポリシーがインターフェイスに適用されたインターフェース・ベース設定モデルを用いました。 そのインターフェイスを通るすべてのトラフィックは同じ点検ポリシーを受け取りました。 この設定モデルはファイアウォール ポリシーが複数のインターフェイス間で適用する必要があるときファイアウォール ポリシーの細かさを制限し、シナリオでファイアウォール ポリシーの適切なアプリケーションの混乱を、特に引き起こしました。

ゾーン ベースのポリシー ファイアウォール(別名ゾーン ポリシー ファイアウォール、か ZFW より古いインターフェース・ベース モデルからより適用範囲が広い、より簡単により理解されたゾーン ベースのモデルに)ファイアウォール設定を変更します。 インターフェイスはゾーンに割り当てられ、点検ポリシーはゾーンの間で移動するトラフィックに適用されます。 区域間ポリシーはかなり柔軟性および細かさを提供します、従って異なる点検ポリシーは同じルータ インターフェイスに接続される複数のホスト グループに適用することができます。

ファイアウォール ポリシーは Cisco で設定されますか。 ホストのネットワーク プロトコールおよび点検が適用するグループのための点検を定義するために階層的な構造を用いるポリシー言語(完全な)。

ゾーン ベースのポリシー設定モデル

ZFW は Cisco IOS 古典ファイアウォールと比べて完全に Cisco IOS ファイアウォール点検を設定する方法を、変更します。

ファイアウォール設定への最初の重要な変更点はゾーン ベースの設定の導入です。 Cisco IOS ファイアウォールはゾーン設定モデルを設定する最初の Cisco IOS ソフトウェア脅威防衛機能です。 他の機能はゾーン モデルをそのうちに採用するかもしれません。 Cisco IOS 古典的なファイアウォール IP Inspect コマンド セットを用いるステートフル点検(か CBAC)インターフェース・ベース設定モデルはしばらく維持されます。 但し、もしあっても僅かの新しい機能は古典的なコマンドライン インターフェース(CLI)と構成可能です。 ZFW はステートフル点検か CBAC コマンドを使用しません。 2 つの設定モデルはルータで同時に使用され、インターフェイスで結合しないことができます。 インターフェイスはセキュリティ ゾーン メンバーで設定され、また IP Inspect のために同時に設定することができません。

ゾーンはあなたのネットワークのセキュリティ ボーダーを確立します。 ゾーンはトラフィックがあなたのネットワークの別の領域にそれとしてポリシー制限に交差する服従する境界を定義します。 ゾーン間の ZFW のデフォルト ポリシーは否定しますすべてをあります。 ポリシーが明示的に設定されない場合、ゾーンの間で移動するすべてのトラフィックはブロックされます。 これはトラフィックがアクセス・コントロール・リスト(ACL)かと明示的にブロックされるまで暗示的に許可されるステートフル点検のモデルからの重要な出発です。

第 2 重要な変更点はモジュラ Quality-of-Service (QoS) CLI (MQC)がどのトラフィックがポリシー マップで適用されたアクションから影響を受けるか指定するフォーマットは QoS のクラス マップの使用に類似していることを確認するかもしれない Cisco IOS ソフトウェアをよく知っている CPL. Users として知られている新しい設定ポリシー言語の導入です。

ゾーン ベースのポリシー ファイアウォールを適用する方法ためのルール

ゾーンのルータ ネットワーク・インターフェイスの会員はインターフェイス動作を支配する複数のルールに応じて、ようにであるゾーン メンバー インターフェイスの間で移動するトラフィックあります:

  • ゾーンはインターフェイスがゾーンに割り当てることができる前に設定する必要があります。

  • インターフェイスは 1 つのセキュリティ ゾーンだけに割り当てることができます。

  • ある特定のインターフェイスに出入するすべてのトラフィックは暗示的にインターフェイスが同じゾーンの他のインターフェイスに出入してトラフィックを除くゾーン、およびルータのあらゆるインターフェイスへのトラフィックに割り当てられるときブロックされます。

  • トラフィックは暗示的に同じゾーンのメンバーであるインターフェイス間でデフォルトでフローすることができます。

  • トラフィックをゾーン メンバー インターフェイスに出入して許可するために、ポリシーはそのゾーンと他のどのゾーンの間でもトラフィックを許可するか、または検査して設定する必要があります。

  • 自己ゾーンはデフォルトへ唯一の例外否定しますすべてのポリシーをです。 トラフィックが明示的に拒否されるまであらゆるルータ インターフェイスへのすべてのトラフィックが割り当てられます。

  • トラフィックはゾーン メンバー インターフェイスとゾーン メンバーではないインターフェイスの間でフローできません。 渡して下さい、点検すれば、ドロップ アクションは 2 つのゾーン間で適用しますただ。

  • 古典的なルータ ポートとしてゾーン機能に割り当てられないし、まだ古典的なステートフル inspection/CBAC 設定を使用するかもしれないインターフェイス。

  • ゾーニング/ファイアウォール ポリシーの一部ではないことをことボックスのインターフェイス要求すれば。 まだゾーンにことインターフェイス置くことは必要であるかもしれないし、パスを交通の流れが望まれるそのゾーンと他のどのゾーン間のもすべてのポリシー(種類の模造ポリシー)設定します。

  • 先行からそれはトラフィックがルータですべてのインターフェイス間でフローすることなら、すべてのインターフェイスはゾーニング モデルの一部である必要があること続きます(各インターフェイスは 1 つのゾーンまたは別のもののメンバーである必要があります)。

  • 先行への唯一の例外はデフォルトで許可されるルータに出入してデフォルトでアプローチをですトラフィック否定します。 明示的なポリシーはそのようなトラフィックを制限するために設定することができます。

ゾーン ベースのポリシー ネットワーク セキュリティの設計

セキュリティ ゾーンはネットワーク内の相対的なセキュリティの各領域のために同じゾーンに割り当てられるすべてのインターフェイスが同じようなセキュリティ レベルと保護されるように設定する必要があります。 たとえば、3 つのインターフェイスが付いているアクセス ルータを考慮して下さい:

  • 公衆インターネットに接続される 1 つのインターフェイス

  • 公衆インターネットから入手しやすくなければならない私用 LAN に接続される 1 つのインターフェイス

  • Webサーバ、ドメイン・ネーム・システム(DNS)サーバおよび電子メール サーバが公衆インターネットにとって入手しやすい必要があるところインターネット サービス非武装地帯(DMZ)に接続される 1 つのインターフェイス

このネットワークの各インターフェイスは自身のゾーンに公衆インターネットから DMZ の特定のホストへのいろいろなアクセスおよび保護された LAN のホストのためのいろいろなアプリケーション使用ポリシーを許可したいと思うかもしれませんが、割り当てられます。 (図 1.を参照して下さい)

図 1: 基本的なセキュリティ ゾーン トポロジー

http://www.cisco.com/c/dam/en/us/support/docs/security/ios-firewall/98628-zone-design-guide1.gif

この例では、各ゾーンは 1 つのインターフェイスだけ保持します。 追加インターフェースが私用ゾーンに加えられる場合、ゾーンの新しいインターフェイスに接続されるホストは同じゾーンの既存のインターフェイスのすべてのホストにトラフィックを通過できます。 さらに、他のゾーンのホストへのホストのトラフィックは現在のポリシーから同様に影響を受けます。

通常、ネットワーク例に 3 つの主要なポリシーがあります:

  • インターネットへの私用ゾーン接続

  • DMZ ホストへの私用ゾーン接続

  • DMZ ホストへのインターネット ゾーン接続

DMZ が公衆インターネット--にさらされるので、DMZ ホストは 1つ以上の DMZ ホストの危殆化で成功するかもしれない悪意のある個人からの望ましくないアクティビティに服従するかもしれません。 DMZ ホストが私用ゾーン ホストまたはインターネット ゾーン ホストに達することができるようにアクセス ポリシーが提供されなければ、DMZ ホストを危殆化した個人は私用またはインターネット ホストに対してさらなる攻撃を遂行するのに DMZ ホストを使用できません。 ZFW は禁則デフォルト セキュリティ ポスチャを課します。 従って、DMZ ホストがとりわけ他のネットワークへの提供されたアクセスでなければ、他のネットワークは DMZ ホストからのあらゆる接続に対して保護されます。 同様に、アクセスはインターネット ホストが私用ゾーン ホストにアクセスすることができる、従って私用ゾーン ホストはインターネット ホストによって不必要なアクセスから安全ですように提供されません。

ゾーン ベースのポリシー ファイアウォールとの IPSec VPN の使用

IPSec VPN への最近の機能拡張は VPN 接続のためのファイアウォール ポリシー設定を簡約化します。 IPSec バーチャル トンネル インターフェイス(VTI)および GRE+IPSec は指定セキュリティ ゾーンにトンネル インターフェイスを配置することによっておよび特定のセキュリティ ゾーンへのクライアント接続サイト間の VPN の拘束を可能にします。 接続が特定のポリシーによって制限する必要がある場合接続に VPN DMZ で接続されていないできます。 または、VPN 接続が暗示的に信頼されれば、VPN 接続は信頼された内部ネットワークと同じセキュリティ ゾーンに置くことができます。

非VTI IPSec が適用する場合、VPN 接続ファイアウォール ポリシーは厳重な検査がセキュリティを維持するように要求します。 リモート サイトのホストのための IP アドレスによってゾーン ポリシーがとりわけアクセスを許可する保護しなさい VPN クライアントはルータへの VPN クライアントの暗号化された接続より別のゾーンにホストいます。 アクセス ポリシーが正しく設定されない場合、保護する必要があるホストは不必要な、潜在的に対立したホストに露出されて終わることができます。 参照しま VPN をそれ以上の概念および設定議論のためにゾーン ベースのポリシー ファイアウォールと使用します

Cisco ポリシー言語(完全な)設定

この手順が ZFW を設定するのに使用することができます。 ステップのシーケンスは重要ではないです、しかしいくつかのイベントは順序で完了する必要があります。 たとえば policy-map に class-map を割り当てる前に、class-map を設定して下さい。 ポリシーを設定するまで同様に、ゾーン組に policy-map を割り当てることができません。 設定しなかった設定の別の部分に頼るセクションを設定することを試みれば、ルータはエラー メッセージと対応します。

  1. ゾーンを定義して下さい。

  2. ゾーン組を定義して下さい。

  3. 交差させるゾーン組をそれとして適用されるポリシーがなければならないトラフィックを記述するクラスマップを定義して下さい。

  4. あなたのクラスマップのトラフィックにアクションを適用するためにポリシーマップを定義して下さい。

  5. ゾーン組にポリシーマップを適用して下さい。

  6. ゾーンにインターフェイスを割り当てて下さい。

ゾーン ベースのポリシー ファイアウォール クラスマップの設定

クラスマップはファイアウォールがポリシー アプリケーションに選択するトラフィックを定義します。 4 つのクラスマップをソートしますここにリストされているこれらの基準に基づいてトラフィックを層にして下さい。 これらの基準は class-map でマッチ コマンドを使用して指定されます:

  • アクセス グループ—標準、延長かまたは示された ACL はおよび寄港先基づいてトラフィックをソースおよび宛先 IP アドレスにフィルタリングし、ソースをたどることができます。

  • プロトコル—層 4 プロトコル(TCP、UDP および ICMP)および HTTP、SMTP、DNS、等のようなアプリケーション サービス。 ポート アプリケーション マッピングに知られているどのよく知られたかユーザー定義サービスでも指定することができます。

  • Class-map —付加的なマッチ基準を提供する従属 class-map は別の class-map の中で入り込むことができます。

  • ない—ない基準はどの指定サービス(プロトコル)と一致しないトラフィック、アクセス グループまたは部下 class-map でも class-map に選択されることを指定します。

「マッチ」基準の結合: 「Match-all」vs 「Match-any」

クラスマップはマッチ基準を適用する方法を判別するために match-any または match-all オペレータを加えることができます。 match-any が指定される場合、トラフィックは class-map のマッチ条件の 1 つだけを満たす必要があります。 match-all が指定される場合、トラフィックはその特定のクラスに属するために class-map の条件すべてを満たす必要があります。

マッチ基準は特定からより少なく特定に順序でトラフィックが複数の条件を満たす場合適用する必要があります。 たとえば、この class-map を考慮して下さい:

class-map type inspect match-any my-test-cmap
 match protocol http
 match protocol tcp

HTTP トラフィックはトラフィックが HTTP 点検の service-specific 機能によって処理されることを確かめるためにマッチ プロトコル http に最初に出会う必要があります。 プロトコル http と一致するためにそれを比較する前にマッチ・ラインが反転する、従ってトラフィックがマッチ プロトコル TCP 文に出会えば場合トラフィックは TCP トラフィックとして単に分類され、ファイアウォールの TCP 点検コンポーネントの機能に従って検査されます。 これは H.323、SIP、Skinny、RTSP、および他のような FTP、TFTP および複数のマルチメディアおよび音声シグナリング サービスのようなある特定のサービスのための問題です。 これらのサービスは付加的な点検機能がこれらのサービスのより複雑なアクティビティを確認するように要求します。

マッチ基準として ACL を適用する方法

クラスマップはポリシー アプリケーションのためのマッチ基準の 1 つとして ACL を適用できます。 class-map の唯一のマッチ基準が ACL であり、class-map が Inspect アクションを適用する policy-map と関連付けられればルータは ACL によって割り当てられるすべてのトラフィックがのための基本的な TCP または UDP 点検を適用します但し例外としては ZFW がアプリケーションを意識した点検を提供する。 これには(に制限されなくて) FTP、SIP、Skinny (SCCP)、H.323、Sun RPC、および TFTP が含まれています。 アプリケーション特有の点検が利用できればおよび ACL がプライマリまたは制御通信路を許可すれば、ACL がトラフィックを可能にするかどうかに関係なくプライマリ/制御とチャネル連携セカンダリかメディアは、許可されます。

class-map がマッチ基準として ACL だけ 101 適用する場合、ACL 101 はこれとして現われます:

access-list 101 permit ip any any

ある特定のゾーン組に適用されるサービス ポリシーの方にすべてのトラフィックが割り当てられ対応する帰りトラフィックは反対方向で許可されます。 従って、ACL は細目望ましいタイプにトラフィックを制限するために制限を適用する必要があります。 PAM リストが HTTP、NetBIOS、H.323 および DNS のようなアプリケーション サービスが含まれていることに注目して下さい。 但し、PAM の特定のアプリケーションのある特定のポートの使用の知識にもかかわらず、ファイアウォールはアプリケーション トラフィックのよく知られた要件を収容するために十分なアプリケーション特有の機能だけを適用します。 従って、telnet のような簡単なアプリケーション トラフィック、SSH、他の単一チャネル アプリケーションは TCP として点検され、および統計情報は提示コマンド出力で統合されます。 ネットワーク アクティビティへのアプリケーション特有の可視性が望まれる場合、アプリケーション名によってサービスのための点検を設定する必要があります(マッチ プロトコル http、マッチ プロトコル telnet、等を設定して下さい)。

この設定からの提示 policy-map タイプ Inspect ゾーン組コマンド出力で利用可能なそれ以上のダウンにページを示されているより明示的なファイアウォール ポリシーと統計情報を比較して下さい。 この設定が Cisco IP 電話からのトラフィックを検査するのに、また http を、ftp、NetBIOS、ssh 使用され含む、dns、いろいろなトラフィックを使用する複数のワークステーション:

class-map type inspect match-all all-private
 match access-group 101
!         
policy-map type inspect priv-pub-pmap
 class type inspect all-private
  inspect
 class class-default
!
zone security private
zone security public
zone-pair security priv-pub source private destination public
 service-policy type inspect priv-pub-pmap
! 
interface FastEthernet4
 ip address 172.16.108.44 255.255.255.0
 zone-member security public
!
interface Vlan1
 ip address 192.168.108.1 255.255.255.0
 zone-member security private
!
access-list 101 permit ip 192.168.108.0 0.0.0.255 any

この設定が定義し易い、私用ゾーン発信するすべてのトラフィックに(トラフィックが規格を観察する限り、PAM 確認された寄港先をに)対応する間、サービス活動に限られた可視性を提供し、特定のトラフィックの種類のための ZFW の帯域幅およびセッション限界を適用する機会を提供しません。 これは policy-map がタイプ Inspect ゾーン組 priv パブ コマンド出力割り当て IP だけ[サブネット]ゾーン組間のあらゆる ACL 使用する前の簡単な設定の結果であることを示します。 見てわかるように、ワークステーション トラフィックのほとんどは基本的な TCP または UDP 統計情報で数えられます:

stg-871-L#show policy-map type insp zone-pair priv-pub
 Zone-pair: priv-pub
 
  Service-policy inspect : priv-pub-pmap
 
    Class-map: all-private (match-all)
      Match: access-group 101
      Inspect
        Packet inspection statistics [process switch:fast switch]
        tcp packets: [413:51589]
        udp packets: [74:28]
        icmp packets: [0:8]
        ftp packets: [23:0]
        tftp packets: [3:0]
        tftp-data packets: [6:28]
        skinny packets: [238:0]
 
        Session creations since subsystem startup or last reset 39
        Current session counts (estab/half-open/terminating) [3:0:0]
        Maxever session counts (estab/half-open/terminating) [3:4:1]
        Last session created 00:00:20
        Last statistic reset never
        Last session creation rate 2
        Maxever session creation rate 7
        Last half-open session total 0
 
    Class-map: class-default (match-any)
      Match: any 
      Drop (default action)
        0 packets, 0 bytes

対照によって、アプリケーション特有のクラスを加える同じような設定は粒状アプリケーション統計情報および制御を提供し、まだ最初の例で ACL だけ一致する policy-map の最後のチャンスと最後チャンス class-map を定義することによって示されていたサービスの同じ幅を収容します:

class-map type inspect match-all all-private
 match access-group 101
class-map type inspect match-all private-ftp
 match protocol ftp
 match access-group 101
class-map type inspect match-any netbios
 match protocol msrpc
 match protocol netbios-dgm
 match protocol netbios-ns
 match protocol netbios-ssn
class-map type inspect match-all private-netbios
 match class-map netbios
 match access-group 101
class-map type inspect match-all private-ssh
 match protocol ssh
 match access-group 101
class-map type inspect match-all private-http
 match protocol http
 match access-group 101
!
policy-map type inspect priv-pub-pmap
 class type inspect private-http
  inspect
 class type inspect private-ftp
  inspect
 class type inspect private-ssh
  inspect
 class type inspect private-netbios
  inspect
 class type inspect all-private
  inspect
 class class-default!
zone security private
zone security public
zone-pair security priv-pub source private destination public
 service-policy type inspect priv-pub-pmap
! 
interface FastEthernet4
 ip address 172.16.108.44 255.255.255.0
 zone-member security public
!
interface Vlan1
 ip address 192.168.108.1 255.255.255.0
 zone-member security private
!
access-list 101 permit ip 192.168.108.0 0.0.0.255 any

より固有の設定は提示 policy-map タイプ Inspect ゾーン組 priv パブ コマンドにこの相当な粒状出力を提供します:

stg-871-L#sh policy-map type insp zone-pair priv-pub
 Zone-pair: priv-pub

   Service-policy inspect : priv-pub-pmap

     Class-map: private-http (match-all)
       Match: protocol http
       Match: access-group 101
       Inspect
         Packet inspection statistics [process switch:fast switch]
         tcp packets: [0:2193]

         Session creations since subsystem startup or last reset 731
         Current session counts (estab/half-open/terminating) [0:0:0]
         Maxever session counts (estab/half-open/terminating) [0:3:0]
         Last session created 00:29:25
         Last statistic reset never
         Last session creation rate 0
         Maxever session creation rate 4
         Last half-open session total 0

     Class-map: private-ftp (match-all)
       Match: protocol ftp
       Inspect
         Packet inspection statistics [process switch:fast switch]
         tcp packets: [86:167400]
         ftp packets: [43:0]

         Session creations since subsystem startup or last reset 7
         Current session counts (estab/half-open/terminating) [0:0:0]
         Maxever session counts (estab/half-open/terminating) [2:1:1]
         Last session created 00:42:49
         Last statistic reset never
         Last session creation rate 0
         Maxever session creation rate 4
         Last half-open session total 0

     Class-map: private-ssh (match-all)
       Match: protocol ssh
       Inspect
         Packet inspection statistics [process switch:fast switch]
         tcp packets: [0:62]

         Session creations since subsystem startup or last reset 4
         Current session counts (estab/half-open/terminating) [0:0:0]
         Maxever session counts (estab/half-open/terminating) [1:1:1]
         Last session created 00:34:18
         Last statistic reset never
         Last session creation rate 0
         Maxever session creation rate 2
         Last half-open session total 0

     Class-map: private-netbios (match-all)
       Match: access-group 101
       Match: class-map match-any netbios
         Match: protocol msrpc
           0 packets, 0 bytes
           30 second rate 0 bps
         Match: protocol netbios-dgm
           0 packets, 0 bytes
           30 second rate 0 bps
         Match: protocol netbios-ns
           0 packets, 0 bytes
           30 second rate 0 bps
         Match: protocol netbios-ssn
           2 packets, 56 bytes
           30 second rate 0 bps
       Inspect
         Packet inspection statistics [process switch:fast switch]
         tcp packets: [0:236]
 
         Session creations since subsystem startup or last reset 2
         Current session counts (estab/half-open/terminating) [0:0:0]
         Maxever session counts (estab/half-open/terminating) [1:1:1]
         Last session created 00:31:32
         Last statistic reset never
         Last session creation rate 0
         Maxever session creation rate 1
         Last half-open session total 0

     Class-map: all-private (match-all)
       Match: access-group 101
       Inspect
         Packet inspection statistics [process switch:fast switch]
         tcp packets: [51725:158156]
         udp packets: [8800:70]
         tftp packets: [8:0]
         tftp-data packets: [15:70]
         skinny packets: [33791:0]

         Session creations since subsystem startup or last reset 2759
         Current session counts (estab/half-open/terminating) [2:0:0]
         Maxever session counts (estab/half-open/terminating) [2:6:1]
         Last session created 00:22:21
         Last statistic reset never
         Last session creation rate 0
         Maxever session creation rate 12
         Last half-open session total 0
 
     Class-map: class-default (match-any)
       Match: any 
       Drop (default action)
         4 packets, 112 bytes

上記されるように粒状 class-map および policy-map 設定の、使用のもう一つの加えられた利点は各クラスの点検動作を調節するためにパラメータ マップを加えることによって、セッションおよびレート値のクラス特定の限界を適用し、とりわけ点検パラメータを調整する可能性行います。

ゾーン ベースのポリシー ファイアウォール ポリシーマップの設定

policy-map は 1つ以上のクラスマップにセキュリティ ゾーン組に適用されるサービス ポリシーを定義するためにファイアウォール ポリシー アクションを適用します。 Inspect タイプ policy-map が作成されるとき、クラス class-default と示されるデフォルト クラスはクラスの終わりに適用します。 クラス class-default のデフォルト ポリシー アクションは渡るためにドロップで、しかし変更することができます。 ログ オプションはドロップ アクションと加えることができます。 Inspect はクラス class-default で適用することができません。

ゾーン ベースのポリシー ファイアウォール アクション

ZFW は 1 つのゾーンから別のものに横断するトラフィックに 3 つのアクションを提供します:

  • ドロップ—これは各 Inspect タイプ policy-map を終える「クラス class-default」によって適用されるようにすべてのトラフィックのためのデフォルト アクション、です。 policy-map 内の他のクラスマップはまた不必要なトラフィックを廃棄するために設定することができます。 ドロップ アクションによって処理されるトラフィックは拒否されたトラフィックを送ったホストへ ICMP 「ホスト到達不可能」メッセージを送ることの ACL の動作に対して ZFW によって「無言で」(すなわち、ドロップの通知は関連したエンドホストに送られません)、廃棄されます。 現在、「無声ドロップ」動作を変更するオプションがありません。 ログ オプションは syslog 通知のためのドロップとトラフィックがファイアウォールによって廃棄されたこと加えることができます。

  • パス—このアクションはルータがゾーンから他へトラフィックを転送するようにします。 パス アクションはトラフィック内の接続またはセッションの状態をトラッキングしません。 パスは 1 方向のトラフィックだけを可能にします。 対応するポリシーは帰りトラフィックが反対方向で渡るように適用する必要があります。 パス アクションは IPSec ESP のようなプロトコルに役立ちます、予想できる動作の IPSec AH、ISAKMP および他の本質的に安全なプロトコル。 但し、ほとんどのアプリケーション トラフィックは Inspect アクションを用いる ZFW でよりよく処理されます。

  • Inspect — Inspect アクションは状態ベース交通整理を提供します。 たとえば、私用ゾーンからのより早いネットワーク例のインターネット ゾーンへのトラフィックが検査されれば、ルータは TCP およびユーザ・データグラム・プロトコル(UDP)トラフィックのための接続かセッション情報を維持します。 従って、私用ゾーン接続要求の答えとしてインターネット ゾーン ホストから送られるルータ割り当て帰りトラフィック。 また、Inspect は脆弱か敏感なアプリケーション トラフィックを運ぶかもしれないある特定のサービス プロトコルにアプリケーション点検および制御を提供できます。 監査トレールはパラメータ マップと接続/セッション開始、停止、期間、転送されるデータ音量およびソースおよび宛先アドレスを記録するために加えることができます。

アクションはポリシーマップのクラスマップと関連付けられます:

conf t
 policy-map type inspect z1-z2-pmap
  class type inspect service-cmap
   inspect|drop|allow [service-parameter-map]

パラメータ マップはある特定の class-map の点検ポリシーのための接続パラメータを修正するためにオプションを提供します。

ゾーン ポリシー ファイアウォール パラメータ マップの設定

パラメータ マップは DoS 保護、TCP connection/UDP セッション タイマーおよび監査トレール ロギング設定のようなパラメータの ZFW のために点検動作を、指定します。 パラメータ マップはまた層 7 クラスとおよびポリシーマップ アプリケーション特有の動作を、HTTP オブジェクトのような、POP3 および IMAP 認証定義するために要件および他のアプリケーション特有の情報加えられます。

ZFW のための点検パラメータ マップは他の ZFW クラスおよびポリシー オブジェクトと同じようなタイプ Inspect で設定されます:

stg-871-L(config)#parameter-map type inspect z1-z2-pmap
stg-871-L(config-profile)#?
parameter-map commands:
  alert           Turn on/off alert
  audit-trail     Turn on/off audit trail
  dns-timeout     Specify timeout for DNS
  exit            Exit from parameter-map
  icmp            Config timeout values for icmp
  max-incomplete  Specify maximum number of incomplete connections before
                  clamping
  no              Negate or set default values of a command
  one-minute      Specify one-minute-sample watermarks for clamping
  sessions        Maximum number of inspect sessions
  tcp             Config timeout values for tcp connections
  udp             Config timeout values for udp flows

特定のタイプのパラメータ マップは層 7 アプリケーション点検ポリシーによって適用されるパラメータを指定します。 Regex タイプ パラメータ マップは正則表現を使用して HTTP 塗布点検と併用するための正則表現をそのフィルタ トラフィック定義します:

parameter-map type regex [parameter-map-name]

プロトコル情報タイプ パラメータ マップはインスタント メッセージ アプリケーション点検と併用するためのサーバ名を定義します:

parameter-map type protocol-info [parameter-map-name]

HTTP および IM のための完全な設定詳細はこの文書のそれぞれアプリケーション点検セクションでアプリケーション点検提供されます。

DoS 保護を調節することはこの文書の以下のセクションでカバーされます。

アプリケーション点検を設定することはこの文書の以下のセクションでカバーされます。

ゾーン ベースのポリシー ファイアウォール ポリシーのためのロギングを適用する方法

ZFW はまたは設定されたファイアウォール ポリシー アクション デフォルトで廃棄されるか、または検査されるトラフィックのためのロギング オプションを提供します。 監査トレール ロギングは ZFW が検査するトラフィックのために利用可能です。 監査トレールはパラメータ マップの監査トレールを定義し、policy-map の Inspect アクションを用いるパラメータ マップを加えることによって加えられます:

conf t
 policy-map type inspect z1-z2-pmap
  class type inspect service-cmap
   inspect|drop|allow [parameter-map-name (optional)]

ドロップ ロギングはそのトラフィックのために利用可能 ZFW ドロップです。 ドロップ ロギングは policy-map のドロップ アクションでログを加えることによって設定されます:

conf t
 policy-map type inspect z1-z2-pmap
  class type inspect service-cmap
   inspect|drop|allow [service-parameter-map]

ゾーン ポリシー ファイアウォール クラスマップおよびポリシーマップの編集

ZFW は現在ポリシーマップ、クラスマップおよびパラメータ マップのようなさまざまな ZFW 構造を修正できるエディタを組み込みません。 class-map またはアクション アプリケーションのマッチ文を policy-map の内で含まれているさまざまなクラスマップに再配置するためにこれらのステップを完了する必要があります:

  1. マイクロソフト・ウインドウズ Notepad のようなテキスト・エディタに既存の構造、か Linux/UNIX プラットフォームのエディタをのような VI コピーして下さい。

  2. ルータの設定から既存の構造を取除いて下さい。

  3. あなたのテキスト・エディタの構造を編集して下さい。

  4. ルータの CLI に構造をコピーし直して下さい。

設定例

この設定例は Cisco 1811 統合サービス ルータを用います。 2 つの私用イーサネット LAN セグメント間の IP 接続、VLAN 設定および透過的なブリッジングの基本構成は付録 A.で利用できます ルータは 5 つのゾーンに分かれます:

  • 公衆インターネットは FastEthernet 0 (インターネット ゾーン)に接続されます

  • 2 つのインターネット サーバは FastEthernet 1 (DMZ ゾーン)に接続されます

  • イーサネット スイッチは 2 VLAN で設定されます:

    • ワークステーションは VLAN1 (クライアント ゾーン)に接続されます。

    • サーバは VLAN2 (サーバ ゾーン)に接続されます。

    • クライアントおよびサーバ ゾーンは同じサブネットにあります。 透過的なファイアウォールはゾーン間で適用します、従ってそれら二つのインターフェイスの区域間ポリシーはクライアントおよびサーバ ゾーン間のトラフィックだけに影響を及ぼします。

  • VLAN1 および VLAN2 インターフェイスはブリッジ バーチャル インターフェイス(BVI1)を通って他のネットワークと伝達し合います。 このインターフェイスは私用ゾーンに割り当てられます。 (図 2.を参照して下さい)

    図 2: ゾーン トポロジー細部

    http://www.cisco.com/c/dam/en/us/support/docs/security/ios-firewall/98628-zone-design-guide2.gif

これらのポリシーは先に定義されるネットワーク ゾーンを使用して適用します、:

  • インターネット ゾーンのホストは DMZ の 1 つのサーバの DNS、SMTP および SSH サービスに達することができます。 他のサーバは SMTP、HTTP および HTTPS サービスを提示します。 ファイアウォール ポリシーは各ホストで利用可能な特定のサービスへのアクセスを制限します。

  • DMZ ホストは他のどのゾーンのホストにも接続できません。

  • クライアント ゾーンのホストはすべての TCP、UDP および ICMP サービスのサーバ ゾーンのホストに接続できます。

  • サーバ ゾーンのホストはクライアント ゾーンのホストに UNIX ベースのアプリケ−ション サーバがポート 6900 に 6910 のクライアント ゾーンのデスクトップ パソコンの X Windows サーバに X Windows クライアント セッションを開けることができる以外接続できません。

  • 私用ゾーン(の組合せクライアントおよびサーバ)のすべてのホストは SSH、FTP、POP、IMAP、ESMTP および HTTP サービスの DMZ と HTTP、HTTPS および DNS サービスおよび ICMP のインターネット ゾーンのホストにアクセスできます。 なお、アプリケーション点検は私用ゾーンからインターネット ゾーンへの HTTP 接続でサポートされたインスタント メッセージおよび P2P アプリケーションが続けていかれなかったポート 80 ではないこと保証するために適用されます。 (図 3.を参照して下さい)

    図 3: 設定例で適用されるゾーン組サービス許可

    http://www.cisco.com/c/dam/en/us/support/docs/security/ios-firewall/98628-zone-design-guide3.gif

これらのファイアウォール ポリシーは複雑な状況の順で設定されます:

  1. クライアント サーバ TCP/UDP/ICMP 点検

  2. 私用DMZ SSH/FTP/POP/IMAP/ESMTP/HTTP 点検

  3. インターネット-ホスト・アドレスによって制限される DMZ SMTP/HTTP/DNS 点検

  4. ポート アプリケーション マッピング(PAM)のサーバ クライアント X Windows 点検-指定サービス

  5. HTTP 塗布点検を用いる私用インターネット HTTP/HTTPS/DNS/ICMP

異なる時に異なるネットワーク セグメントに設定の部分を加えるので、ゾーンに置かれるときネットワーク セグメントが他のセグメントへの接続を失うことを覚えておくことは重要です。 たとえば、私用ゾーンが設定される場合、私用ゾーンのホストはそれぞれポリシーが定義されるまで DMZ およびインターネット ゾーンへの接続を失います。

ステートフル点検ルーティング ファイアウォール

私用インターネット ポリシーを設定して下さい

図 4 は私用インターネット ポリシーの設定を説明します。

図 4: 私用ゾーンからのインターネット ゾーンへのサービス点検

http://www.cisco.com/c/dam/en/us/support/docs/security/ios-firewall/98628-zone-design-guide4.gif

私用インターネット ポリシーは HTTP に層 4 点検を、HTTPS、DNS 適用し、私用ゾーンからのインターネット ゾーンに ICMP のための 4 点検を層にします。 これは私用ゾーンからのインターネット ゾーンへの接続を可能にし、帰りトラフィックを可能にします。 層 7 点検はフィックスアップを要求するアプリケーションのより堅いアプリケーション制御、よりよいセキュリティおよびサポートの利点を運びます。 但し、層 7 点検は、述べられるようにゾーンの間で点検のために許されない設定されない層 7 プロトコルとして、ネットワーク アクティビティのよりよい理解を、要求します。

  1. 先に記述されているポリシーに従ってゾーンの間で許可したいと思うトラフィックを記述するクラスマップを定義して下さい:

    conf t
     class-map type inspect match-any internet-traffic-class
      match protocol http
      match protocol https
      match protocol dns
      match protocol icmp
  2. ちょうど定義したクラスマップのトラフィックを検査するために policy-map を設定して下さい:

    conf t
     policy-map type inspect private-internet-policy
      class type inspect internet-traffic-class
       inspect
  3. 私用インターネット ゾーンを設定し、それぞれゾーンにルータ インターフェイスを割り当てて下さい:

    conf t
    zone security private
    zone security internet
    int bvi1            
    zone-member security private
    int fastethernet 0
    zone-member security internet
  4. ゾーン組を設定し、適切な policy-map を適用して下さい。

    注: ただインターネット ゾーンに旅する私用ゾーンでソースをたどられる接続を点検するために私用インターネット ゾーン組を現在設定する必要があります:

    conf t
     zone-pair security private-internet source private destination internet
      service-policy type inspect private-internet-policy

    これはクライアント ゾーンからのサーバ ゾーンへの HTTP、HTTPS、DNS および ICMP 接続を許可し、不必要なトラフィックが TCP 80 を渡すことができないこと保証するために HTTP トラフィックにアプリケーション点検を適用するように私用インターネット ゾーン組の層 7 点検ポリシーの設定を HTTP のサービス ポート完了します。

私用 DMZ ポリシーを設定して下さい

図 5 は私用 DMZ ポリシーの設定を説明します。

図 5: 私用ゾーンからの DMZ ゾーンへのサービス点検

http://www.cisco.com/c/dam/en/us/support/docs/security/ios-firewall/98628-zone-design-guide5.gif

私用 DMZ ポリシーはゾーン間のネットワーク トラフィックのよりよい理解を要求するので複雑な状況を加えます。 このポリシーは私用ゾーンから DMZ に層 7 点検を適用します。 これは私用ゾーンからの DMZ への接続を可能にし、帰りトラフィックを可能にします。 層 7 点検はフィックスアップを要求するアプリケーションのより堅いアプリケーション制御、よりよいセキュリティおよびサポートの利点を運びます。 但し、層 7 点検は、述べられるようにゾーンの間で点検のために許されない設定されない層 7 プロトコルとして、ネットワーク アクティビティのよりよい理解を、要求します。

  1. 先に記述されているポリシーに従ってゾーンの間で許可したいと思うトラフィックを記述するクラスマップを定義して下さい:

    conf t
     class-map type inspect match-any L7-inspect-class
      match protocol ssh
      match protocol ftp
      match protocol pop
      match protocol imap
      match protocol esmtp
      match protocol http
  2. ちょうど定義したクラスマップのトラフィックを検査するためにポリシーマップを設定して下さい:

    conf t
     policy-map type inspect private-dmz-policy
      class type inspect L7-inspect-class
       inspect
  3. 私用 DMZ ゾーンを設定し、それぞれゾーンにルータ インターフェイスを割り当てて下さい:

    conf t
    zone security private
    zone security dmz
    int bvi1            
    zone-member security private
    int fastethernet 1
    zone-member security dmz
  4. ゾーン組を設定し、適切な policy-map を適用して下さい。

    注: ただ DMZ に旅する私用ゾーンでソースをたどられる接続を点検するために私用 DMZ ゾーン組を現在設定する必要があります:

    conf t
     zone-pair security private-dmz source private destination dmz
      service-policy type inspect private-dmz-policy

    これはクライアント ゾーンからのサーバ ゾーンへのすべての TCP、UDP および ICMP 接続を割り当てるために私用 DMZ の層 7 点検ポリシーの設定を完了します。 ポリシーは従属チャネルのためのフィックスアップを適用しませんが、ほとんどのアプリケーション接続を収容するために簡単なポリシーの例を提供します。

インターネット DMZ ポリシーを設定して下さい

図 6 はインターネット DMZ ポリシーの設定を説明します。

図 6: インターネット ゾーンからの DMZ ゾーンへのサービス点検

http://www.cisco.com/c/dam/en/us/support/docs/security/ios-firewall/98628-zone-design-guide6.gif

このポリシーはインターネット ゾーンから DMZ に層 7 点検を適用します。 これはインターネット ゾーンからの DMZ への接続を可能にし、DMZ ホストから接続を開始したインターネット ホストに帰りトラフィックを可能にします。 インターネット DMZ ポリシーは特定のホストの特定のサービス、ホストのグループ、またはサブネットへのアクセスを制限するために ACL によって定義される宛名群と層 7 点検を結合します。 これは IP アドレスを指定するために ACL を参照する別の class-map 内のサービスを指定する class-map に入り込むことによって達成されます。

  1. 先に記述されているポリシーに従ってゾーンの間で許可したいと思うトラフィックを記述する ACL およびクラスマップを定義して下さい。

    サービスのための複数のクラスマップは相違アクセス ポリシーが 2 つの異なるサーバへのアクセスに適用するので使用する必要があります。 インターネット ホストは 172.16.2.2 への DNS および HTTP 接続を与えられ、172.16.2.3 への SMTP 接続は許可されます。 クラスマップの相違点に注意して下さい。 サービスを指定するクラスマップはのリストされたサービス可能にするのに match-any キーワードを使用します。 サービス クラスマップと ACL を関連付けるクラスマップはトラフィックを許可するためにクラス マップの条件が両方とも満たす必要があるように要求するのに match-all キーワードを使用します:

    conf t
     access-list 110 permit ip any host 172.16.2.2
     access-list 111 permit ip any host 172.16.2.3
     class-map type inspect match-any dns-http-class
      match protocol dns
      match protocol http
     class-map type inspect match-any smtp-class
      match protocol smtp
     class-map type inspect match-all dns-http-acl-class
      match access-group 110
      match class-map dns-http-class
     class-map type inspect match-all smtp-acl-class
      match access-group 111
      match class-map smtp-class
  2. ちょうど定義したクラスマップのトラフィックを検査するためにポリシーマップを設定して下さい:

    conf t
     policy-map type inspect internet-dmz-policy
      class type inspect dns-http-acl-class
       inspect
      class type inspect smtp-acl-class
       inspect
  3. インターネットおよび DMZ ゾーンを設定し、それぞれゾーンにルータ インターフェイスを割り当てて下さい。 前のセクションでそれを設定する場合 DMZ 設定をスキップして下さい:

    conf t
    zone security internet
    zone security dmz
    int fastethernet 0            
     zone-member security internet
    int fastethernet 1
     zone-member security dmz
  4. ゾーン組を設定し、適切な policy-map を適用して下さい。

    注: ただ DMZ ゾーンに旅するインターネット ゾーンでソースをたどられる接続を点検するためにインターネット DMZ ゾーン組を現在設定する必要があります:

    conf t
     zone-pair security internet-dmz source internet destination dmz
      service-policy type inspect internet-dmz-policy

    これはインターネット DMZ ゾーン組のアドレス特定の層 7 点検ポリシーの設定を完了します。

ステートフル点検透過的なファイアウォール

サーバ クライアント ポリシーを設定して下さい

図 7 はサーバ クライアント ポリシーの設定を説明します。

図 7: サーバ ゾーンからのクライアント ゾーンへのサービス点検

http://www.cisco.com/c/dam/en/us/support/docs/security/ios-firewall/98628-zone-design-guide7.gif

サーバ クライアント ポリシーはユーザー定義サービスを使用して点検を適用します。 層 7 点検はサーバ ゾーンからクライアント ゾーンに適用します。 これはサーバ ゾーンからのクライアント ゾーンに特定のポート範囲への X Windows 接続を可能にし、帰りトラフィックを可能にします。 X Windows は PAM の元々サポートされたプロトコルではないです、従って PAM のユーザ設定サービスは定義する必要があります従って ZFW は適切なトラフィックを確認し、検査できます。

2つ以上のルータ インターフェイスは IEEE ブリッジグループでブリッジ バーチャル インターフェイス(BVI)によってブリッジグループのインターフェイスと他のサブネットへのルーティング間のブリッジングを提供するために統合されたルーティングおよびブリッジング(IRB)を提供するように設定されます。 透過的なファイアウォール ポリシーは適用しますブリッジ」を交差させるトラフィックのための「ない BVI によってブリッジグループを出て行くトラフィックのためのファイアウォール点検を提供しますが。 点検ポリシーはブリッジグループを交差させるトラフィックにだけ適用します。 従って、このシナリオで、点検は私用ゾーンの中で入り込む、クライアントおよびサーバ ゾーンの間で移動するトラフィックにだけ適用されます。 トラフィックが BVI によってブリッジグループを出て行くとだけ私用ゾーンの間で、および公衆および DMZ ゾーンは適用される、ポリシー始まります。 トラフィックがクライアントまたはサーバ ゾーンからの BVI によって出て行く場合、透過的なファイアウォール ポリシーは呼び出されません。

  1. X Windows のためのユーザー定義エントリで PAM を設定して下さい。

    X Windows クライアント(アプリケーションがホストされるかところで)開いた接続はのためのポート 6900 で開始する範囲のクライアントに情報を(ユーザが機能しているかところで)表示します。

    各々の付加的な接続は連続的なポート、従ってクライアントが 1 つのホストの 10 の異なるセッションを表示すれば、サーバを使用しますポートを 6900-6909 使用します。 従って、6900 から 6909 にポート範囲を点検すれば、開いた 6909 を越えるポートへの接続は失敗します:

    conf t
     ip port-map user-Xwindows port tcp from 6900 to 6910
  2. 付加的な PAM 質問を解決するか、または PAM および Cisco IOS ファイアウォール ステートフル点検間のインターオペラビリティの細部についての情報があるように粒状プロトコル点検ドキュメンテーションを確認するために PAM 文書を検討して下さい。

  3. 先に記述されているポリシーに従ってゾーンの間で許可したいと思うトラフィックを記述するクラスマップを定義して下さい:

    conf t
     class-map type inspect match-any Xwindows-class
      match protocol user-Xwindows
  4. ちょうど定義したクラスマップのトラフィックを検査するためにポリシーマップを設定して下さい:

    conf t
     policy-map type inspect servers-clients-policy
      class type inspect Xwindows-class
       inspect
  5. クライアントおよびサーバ ゾーンを設定し、それぞれゾーンにルータ インターフェイスを割り当てて下さい。

    これらのゾーンを設定し、クライアント サーバ ポリシー構成セクションのインターフェイスを割り当てた場合、ゾーン組定義にスキップできます。 IRB 設定を繋ぐことは完璧さに提供されます:

    conf t
    bridge irb
    bridge 1 protocol ieee
    bridge 1 route ip
    zone security clients
    zone security servers
     int vlan 1
     bridge-group 1
     zone-member security clients
    int vlan 2
     bridge-group 1
     zone-member security servers
  6. ゾーン組を設定し、適切な policy-map を適用して下さい。

    注: ただクライアント ゾーンに旅するサーバ ゾーンでソースをたどられる接続を点検するためにサーバ クライアント ゾーン組を現在設定する必要があります:

    conf t
     zone-pair security servers-clients source servers destination clients
      service-policy type inspect servers-clients-policy

    これはサーバ ゾーンからのクライアント ゾーンへの X Windows 接続を可能にするためにサーバ クライアント ゾーン組のユーザー定義点検ポリシーの設定を完了します。

クライアント サーバ ポリシーを設定して下さい

図 8 はクライエント・サーバ ポリシーの設定を説明します。

図 8: クライアント ゾーンからのサーバ ゾーンへのサービス点検

http://www.cisco.com/c/dam/en/us/support/docs/security/ios-firewall/98628-zone-design-guide8.gif

クライエント・サーバ ポリシーは他よりより少なく複雑です。 層 4 点検はクライアント ゾーンからサーバ ゾーンに適用します。 これはクライアント ゾーンからのサーバ ゾーンへの接続を可能にし、帰りトラフィックを可能にします。 層 4 点検はほとんどのアプリケーション トラフィックを割り当てるように少数のルールだけ要求されることファイアウォール設定の簡易性の利点を、運びます。 但し、層 4 点検はまた 2 つの主要な不利な点を運びます:

  • FTP のようなアプリケーションか流出メディアサービスは頻繁にサーバからクライアントに付加的な従属チャネルをネゴシエートします。 この機能性は通常制御通信路ダイアログを監察し、従属チャネルを許可するサービス フィックスアップで収容されます。 この機能は層 4 点検で利用できません。

  • 層 4 点検はほぼすべてのアプリケーション層トラフィックを割り当てます。 ネットワーク使用が下り線でファイアウォールを通してコントロールする必要があれば少数のアプリケーションだけそうファイアウォールを通して許可されるサービスを制限するために、ACL 設定する必要があります割り当てられます。

ルータ インターフェイスは両方とも IEEE ブリッジ グループで設定されます、従ってこのファイアウォール ポリシーは透過的なファイアウォール点検を適用します。 このポリシーは IEEE IP ブリッジ グループの 2 つのインターフェイスで適用されます。 点検ポリシーはブリッジ グループを交差させるトラフィックにだけ適用します。 これはクライアントおよびサーバ ゾーンが私用ゾーンの中でなぜ入り込むか説明します。

  1. 先に記述されているポリシーに従ってゾーンの間で許可したいと思うトラフィックを記述するクラスマップを定義して下さい:

    conf t
     class-map type inspect match-any L4-inspect-class
     match protocol tcp
     match protocol udp
     match protocol icmp
  2. ちょうど定義したクラスマップのトラフィックを検査するためにポリシーマップを設定して下さい:

    conf t
     policy-map type inspect clients-servers-policy
     class type inspect L4-inspect-class
      inspect
  3. クライアントおよびサーバ ゾーンを設定し、それぞれゾーンにルータ インターフェイスを割り当てて下さい:

    conf t
    zone security clients
    zone security servers
    int vlan 1            
    zone-member security clients
    int vlan 2
    zone-member security servers
  4. ゾーン組を設定し、適切な policy-map を適用して下さい。

    注: ただサーバ ゾーンに旅するクライアント ゾーンでソースをたどられる接続を点検するためにクライアント サーバ ゾーン組を現在設定する必要があります:

    conf t
     zone-pair security clients-servers source clients destination servers
      service-policy type inspect clients-servers-policy

    これはクライアント ゾーンからのサーバ ゾーンへのすべての TCP、UDP および ICMP 接続を割り当てるためにクライアント サーバ ゾーン組のための層 4 点検ポリシーの設定を完了します。 ポリシーは従属チャネルのためのフィックスアップを適用しませんが、ほとんどのアプリケーション接続を収容するために簡単なポリシーの例を提供します。

ゾーン ベースのポリシー ファイアウォールのためにポリシングを行なうレート

データ網は特定のタイプのネットワーク トラフィックの伝送速度を制限し、よりビジネス必要なトラフィックに低優先順位トラフィックの影響を制限する機能と頻繁に寄与します。 Cisco IOS ソフトウェアはトラフィックのわずかな率およびバーストを制限するトラフィック ポリシングのこの機能を提供します。 Cisco IOS ソフトウェアは Cisco IOS リリース 12.1(5)T 以来のトラフィック ポリシングをサポートしました。

Cisco IOS ソフトウェア リリース 12.4(9)T 特定の class-map の定義と一致するトラフィックのポリシングを行なうために機能を加えることによってレートリミットの ZFW をセキュリティ ゾーンから他へファイアウォールを横断すると同時に増加します。 これは特定のトラフィックを記述し、ファイアウォール ポリシーを適用し、そのトラフィックの帯域幅消費をポリシングを行なうために 1 つの設定ポイントの提供の便利を提供します。 ZFW ポリシングはインターフェース・ベース ポリシングとポリシー一致のためにだけアクション送信およびポリシー違反にドロップを提供すること異なります。 ZFW ポリシングは DSCP のためのトラフィックを示すことができません。

ZFW ポリシングはバイト/秒でパケット/秒しか帯域幅使用を規定でき、帯域幅パーセント ポリシングは提供されません。 ZFW ポリシングはインターフェース・ベース ポリシングの有無にかかわらず適用します。 従って、付加的なポリシング機能が要求されれば、これらの機能はインターフェース・ベース ポリシングによって加えることができます。 インターフェース・ベース ポリシングがファイアウォール ポリシングと共に使用される場合、ポリシーが競合しないこと確かめて下さい。

ZFW ポリシングの設定

ZFW ポリシングは 1,000 から 512,000,000 バイトの範囲で構成可能バースト値の 8,000 のおよび 2,000,000,000 ビット/秒間のユーザー定義レート値に policy-map の class-map のトラフィックを、制限します。

ZFW ポリシングはポリシー アクションの後で適用する policy-map の設定の付加的なラインによって設定されます、:

policy-map type inspect private-allowed-policy
 class type inspect http-class
  inspect
  police rate [bps rate value <8000-2000000000>] burst [value in bytes <1000-512000000>]

セッション制御

class-map と一致する policy-map のトラフィックのためのセッション カウントを制限するためにまたもたらされたセッション制御のポリシングを行なう ZFW。 これは既存の機能に class-map ごとの DoS 保護ポリシーを適用するために加えます。 実際には、これはある特定の class-map と一致するゾーン組を交差させるセッションの数の粒状制御を可能にします。 同じ class-map が複数のポリシーマップかゾーン組で使用される場合、異なるセッション限界はさまざまな class-map アプリケーションで適用することができます。

セッション制御は望ましいセッション音量が含まれているそれからパラメータ マップを付けるパラメータ マップの、設定によって policy-map の下の class-map に適用される点検アクションに適用されます:

parameter-map type inspect my-parameters
 sessions maximum [1-2147483647]

policy-map type inspect private-allowed-policy
 class type inspect http-class
  inspect my-parameters

パラメータ マップは Inspect アクションにしか加えることができパスまたはドロップ アクションで利用できません。

ZFW のセッション制御およびポリシング アクティビティはこのコマンドで目に見えます

show policy-map type inspect zone-pair

アプリケーション点検

アプリケーション点検は ZFW に付加的な機能をもたらします。 アプリケーション点検ポリシーはユーザ アプリケーションがアプリケーションが有用な機能を提供するようにするメッセージを送り、受け取る OSI モデルの層 7 で適用します。 いくつかのアプリケーションは望ましくなくか脆弱な機能を提供するかもしれませんアプリケーション サービスのアクティビティを制限するために従ってこれらの機能と関連付けられるメッセージはフィルタリングする必要があります。

Cisco IOS ソフトウェア ZFW はこれらのアプリケーション サービスのアプリケーション点検および制御を提供します:

  • HTTP

  • SMTP

  • POP3

  • IMAP

  • Sun RPC

  • P2P アプリケーション トラフィック

  • IM アプリケーション

アプリケーション点検および制御(AIC)はサービスごとの機能で変わります。 HTTP 点検はアプリケーション動作規格の準拠性を実施し、サービスによって転送されるタイプの内容を制限するために転送サイズを、Web アドレス長さ制限するように機能およびブラウザ アクティビティを提供する複数のタイプのアプリケーション アクティビティの粒状フィルタリングを提供します。 SMTP のための AIC はコンテンツ長さを制限し、プロトコル準拠性を実施できます。 POP3 および IMAP 点検はユーザ信任状の妥協を防ぐのにユーザがセキュア認証機構を使用していることの確認を助けることができます。

アプリケーション点検は付加的な一組のポリシーマップおよび既存の点検クラスマップに点検 policy-map のアプリケーション サービス方針の定義によって適用されるポリシーマップ設定されます、およびアプリケーション特有のクラスマップで。

HTTP 塗布点検

アプリケーション点検は HTTP トラフィックで IM、P2P ファイルのような他のアプリケーションのための HTTP のサービス ポートの不必要な使用をコントロールするために共有、および TCP 80 によって別の方法で firewalled アプリケーションをリダイレクトできるトンネリング アプリケーション適用することができます。

許可された HTTP トラフィックに違反するトラフィックを記述するためにアプリケーション点検 class-map を設定して下さい:

! configure the actions that are not permitted
class-map type inspect http match-any http-aic-cmap
 match request port-misuse any
 match req-resp protocol-violation 
! define actions to be applied to unwanted traffic
policy-map type inspect http http-aic-pmap
 class type insp http http-aic-cmap
  reset
  log
! define class-map for stateful http inspection
class-map type inspect match-any http-cmap
 match protocol http
! define class-map for stateful inspection for other traffic
class-map type inspect match-any other-traffic-cmap
 match protocol smtp
 match protocol dns
 match protocol ftp
! define policy-map, associate class-maps and actions
policy-map type inspect priv-pub-pmap
 class type inspect http-cmap
  inspect
  service-policy http http-aic-pmap
 class type inspect other-traffic-cmap
  inspect

HTTP 塗布点検改善

Cisco IOS ソフトウェア リリース 12.4(9)T ZFW の HTTP 点検機能に改善をもたらします。 Cisco IOS ファイアウォールは Cisco IOS ソフトウェア リリース 12.3(14)T の HTTP 塗布点検をもたらしました。 Cisco IOS ソフトウェア リリース 12.4(9)T 加えることによって既存の機能を増加します:

  • 割り当てる能力は否定し、ヘッダ名前およびヘッダー値に基づいてモニタ要求、応答。 これは脆弱なヘッダー フィールドを運ぶ応答および要求をブロックして役立ちます。

  • HTTP要求の異なる要素およびヘッダの最大 URL 長さ、最大ヘッダー長、最大数、最大ヘッダ ライン長さ、等のような応答ヘッダーのサイズを制限する能力。 これはバッファ オーバーフローを防いで役立ちます。

  • 要求をブロックする同じタイプの複数のヘッダを運ぶ応答および能力; たとえば、2 つの content-length ヘッダとの要求。

  • 非 ASCII ヘッダとの要求および応答をブロックする能力。 これは Webサーバにワームおよび他の悪意のある内容を配信するのにバイナリおよび他の非 ASCII 文字を使用するさまざまな不正侵入を防いで役立ちます。

  • ユーザー指定カテゴリに HTTP 方式をグループ化するブロックする能力および柔軟性は/グループのそれぞれが提供されるモニタ/割り当てましたり。 HTTP RFC は制限一組の HTTP 方式を可能にします。 Webサーバの脆弱性を不正利用するのに使用することができるのでいくつかの標準的な方法は危険考慮されます。 標準外方式の多数に悪いセキュリティ レコードがあります。

  • ユーザに基づいて特定の URIs をブロックする方式は正則表現を設定しました。 この機能はユーザにカスタム URIs をブロックするために機能を与え、問い合わせます。

  • ユーザ カスタマイズ可能なストリングが付いているヘッダ タイプ(特にサーバ ヘッダ タイプ)をスプーフィングする能力。 これは攻撃者が Webサーバ応答を分析し、可能ように同様に多くの情報を学ぶケースで役立ちます、そして開始しますその特定の Webサーバの弱さにつけこむ不正侵入を。

  • 1つ以上の HTTP パラメータ値が正則表現としてユーザによって入れられる値と一致する場合 HTTP 接続のアラートをブロックするか、または発行する能力。 いくつかの可能な HTTP 値コンテキストはヘッダ、ボディ、ユーザ名、パスワード、ユーザ エージェント、要求ライン、状態表示行およびデコードされた CGI 変数が含まれています。

HTTP 塗布点検改善のための設定例は簡単なネットワークを仮定します:

http://www.cisco.com/c/dam/en/us/support/docs/security/ios-firewall/98628-zone-design-guide9.gif

ファイアウォールは 2 つのクラスにトラフィックをグループ化します:

  • HTTP トラフィック

  • 他のすべての単一チャネル TCP、UDP および ICMP トラフィック

HTTP は Web トラフィックの特定の点検を可能にするために分かれます。 これはあなたおよび第 2 セクションの HTTP 塗布点検がこの文書の最初のセクションのポリシングを設定するようにします。 P2P および IM のための特定のクラスマップおよびポリシーマップをこの文書の第 3 セクションのトラフィック設定します。 接続は私用ゾーンから公共ゾーンへの許可されます。 接続は公共ゾーンから私用ゾーンに提供されません。

最初のポリシーを設定する完全な設定は 2 つのゾーンに付録 C、基本的なゾーン ポリシー ファイアウォール設定提供されます。

HTTP 塗布点検機能拡張の設定

HTTP 塗布点検(、また他のアプリケーション点検ポリシー)基本的な層 4 設定より複雑な設定を要求します。 制御し確認したい、好ましく、望ましくないトラフィックに望ましいアクションを特定のトラフィックを適用するために層 7 トラフィック分類およびポリシーを設定して下さい。

HTTP 塗布点検は(他のタイプのアプリケーション点検と同じような) HTTP トラフィックにしか適用することができません。 従って、特定の HTTP トラフィックのための層 7 クラスマップおよびポリシーマップを定義して下さいそして HTTP のためのレイヤ4 class-map をとりわけ定義し、レイヤ4 policy-map の HTTP 点検にレイヤ7 ポリシーを、そのように適用します:

!configure the layer-7 traffic characteristics:
class-map type inspect http match-any http-l7-cmap
 match  req-resp protocol-violation
 match  request body length gt 4096
!
!configure the action to be applied to the traffic 
!matching the specific characteristics:
policy-map type inspect http http-l7-pmap
 class type inspect http http-l7-cmap
  reset
  log 
!
!define the layer-4 inspection policy
class-map type inspect match-all http-l4-cmap
 match protocol http
!
!associate layer-4 class and layer-7 policy-map
!in the layer-4 policy-map:
policy-map type inspect private-allowed-policy
 class type inspect http-l4-cmap
  inspect
  service-policy http http-l7-pmap

これらの HTTP 塗布点検トラフィック特性すべては層 7 class-map で定義されます:

  • ヘッダ点検—このコマンドは割り当てる機能を提供しましたり/否定しましたり/ヘッダが設定された正則表現と一致する応答またはモニタ要求ものです。 割り当てればアクションをリセットすることは class-map 条件を満たす要求か応答に適用することができます。 ログ アクションの付加により syslog メッセージを引き起こします:

    APPFW-6-HTTP_HDR_REGEX_MATCHED

    コマンド使用状況:

    match {request|response|req-resp} header regex <parameter-map-name>

    サンプル使用ケース

    ヘッダが非 ASCII 文字が含まれている応答か要求をブロックするために http appfw ポリシーを設定して下さい。

    parameter-map type regex non_ascii_regex
       pattern “[^\x00-\x80]”
    class-map type inspect http non_ascii_cm
       match req-resp header regex non_ascii_regex
    policy-map type inspect http non_ascii_pm
       class type inspect http non_ascii_cm
          reset
  • ヘッダー長点検—このコマンドは長さが設定されたしきい値を超過する場合要求または応答ヘッダーの長さをチェックし、アクションを適用します。 アクションは割り当てるか、またはリセットしましたあります。 ログ アクションの付加により syslog メッセージを引き起こします:

    APPFW-4- HTTP_HEADER_LENGTH

    コマンド使用状況:

    match {request|response|req-resp} header length gt <bytes>

    サンプル使用ケース

    ヘッダー長大きいより 4096 バイトを持っている要求および応答をブロックするために http appfw ポリシーを設定して下さい。

    class-map type inspect http hdr_len_cm
       match req-resp header length gt 4096
    
    policy-map type inspect http hdr_len_pm
       class type inspect http hdr_len_cm
          reset
  • ヘッダ カウント点検—このコマンドはカウントが設定されたしきい値を超過するとき要求/応答のヘッダ ライン(フィールド)の数を確認しましたりおよびアクションを適用します。 アクションは割り当てるか、またはリセットしましたあります。 ログ アクションの付加により syslog メッセージを引き起こします:

    APPFW-6- HTTP_HEADER_COUNT.

    コマンド使用状況:

    match {request|response|req-resp} header count gt <number>

    サンプル使用ケース

    16 以上のヘッダー フィールドがある要求をブロックするために http appfw ポリシーを設定して下さい。

    class-map type inspect http hdr_cnt_cm
       match request header count gt 16
    
    policy-map type inspect http hdr_cnt_pm
       class type inspect http hdr_cnt_cm
          reset
  • ヘッダー フィールド点検—このコマンドは割り当てる機能を提供しましたり/否定しましたり/特定の HTTP ヘッダー フィールドが含まれ、評価するモニタ要求/応答ものです。 割り当てればアクションをリセットすることは class-map 条件を満たす要求か応答に適用することができます。 ログ アクションの付加により syslog メッセージを引き起こします:

    APPFW-6- HTTP_HDR_FIELD_REGEX_MATCHED

    コマンド使用状況:

    match {request|response|req-resp} header <header-name>

    サンプル使用ケース

    スパイウェア/アドウェアをブロックするために http 塗布点検ポリシーを設定して下さい:

    parameter-map type regex ref_regex
       pattern “\.delfinproject\.com”
       pattern “\.looksmart\.com”
    
    parameter-map type regex host_regex
       pattern “secure\.keenvalue\.com”
       pattern “\.looksmart\.com”
    
    parameter-map type regex usragnt_regex
       pattern “Peer Points Manager”
    
    class-map type inspect http spy_adwr_cm
       match request header refer regex ref_regex 
       match request header host regex host_regex
       match request header user-agent regex usragnt_regex
    
    policy-map type inspect http spy_adwr_pm
       class type inspect http spy_adwr_cm
          reset
  • ヘッダー フィールド長さ点検—このコマンドはヘッダー フィールド ラインの長さを制限する機能を提供したものです。 割り当てればアクションをリセットすることは class-map 条件を満たす要求か応答に適用することができます。 ログ アクションの付加により syslog メッセージを引き起こします:

    APPFW-6- HTTP_HDR_FIELD_LENGTH.

    コマンド使用状況:

    match {request|response|req-resp} header <header-name> length gt <bytes>

    サンプル使用ケース

    クッキーおよびユーザ エージェント フィールドの長さが 256 および 128 をそれぞれ超過する要求をブロックするために http appfw ポリシーを設定して下さい。

    class-map type inspect http hdrline_len_cm
       match request header cookie length gt 256
       match request header user-agnet length gt 128
    
    policy-map type inspect http hdrline_len_pm
       class type inspect http hdrline_len_cm
          reset
  • ヘッダー フィールド繰返しの点検—このコマンドは要求か応答がヘッダー フィールドを繰り返したかどうか確認します。 割り当てればアクションをリセットすることは class-map 条件を満たす要求か応答に適用されるかもしれません。 イネーブルにされたとき、ログ アクションにより syslog メッセージを引き起こします:

    APPFW-6- HTTP_REPEATED_HDR_FIELDS.

    コマンド使用状況:

    match {request|response|req-resp} header <header-name>

    サンプル使用ケース

    複数の content-length ヘッダ ラインがある要求をか応答をブロックするために http appfw ポリシーを設定して下さい。 これはセッション密輸を防ぐのに使用される最も有用な機能性の 1 つです。

    class-map type inspect http multi_occrns_cm
       match req-resp header content-length count gt 1
    
    policy-map type inspect http multi_occrns_pm
       class type inspect http multi_occrns_cm
          reset
  • 方式点検— HTTP RFC は制限一組の HTTP 方式を可能にします。 但しいくつかの方式が Webサーバの脆弱性を不正利用するのに使用することができると同時に、いくつかの標準的な方法は危険考慮されます。 標準外方式の多数は悪意のあるアクティビティのために頻繁に使用されます。 これは方式をさまざまなカテゴリにグループ化し、ユーザに各カテゴリのためのアクションを選んでもらう必要性を要します。 このコマンドはユーザを安全な方式、危険な方式、webdav 方式、RFC 方式および延長方式のようなさまざまなカテゴリに方式をグループ化する適用範囲が広い方法提供したものです。 割り当てればアクションをリセットすることは class-map 条件を満たす要求か応答に適用することができます。 ログ アクションの付加により syslog メッセージを引き起こします:

    APPFW-6-HTTP_METHOD.

    コマンド使用状況:

    match request method <method>

    サンプル使用ケース

    3 つのカテゴリに HTTP 方式をグループ化する http appfw ポリシーを設定して下さい: 金庫、危険および webdav。 これらは表で示されています。 ことアクションをそのような物設定して下さい:

    • ログなしですべての安全な方式が割り当てられます

    • ログとすべての危険な方式が割り当てられます

    • すべての webdav 方式はログとブロックされます。

    安全 危険 WebDAV
    GET、頭部、オプション 置かれる POST は接続しましたり、トレースします BCOPY、BDELETE、BMOVE

    http policy:
    
    class-map type inspect http safe_methods_cm
       match request method get
       match request method head
       match request method option
       
    class-map type inspect http unsafe_methods_cm
       match request method post
       match request method put
       match request method connect
       match request method trace
    
    class-map type inspect http webdav_methods_cm
       match request method bcopy
       match request method bdelete
       match request method bmove
    
    policy-map type inspect http methods_pm
       class type inspect http safe_methods_cm
          allow
       class type inspect http unsafe_methods_cm
          allow log
          class type inspect http webdav_methods_cm
          reset log
  • URI 点検—このコマンドは割り当てる機能を提供しましたり//URI が設定された規則的な点検と一致するモニタ要求を否定したものです。 これはユーザにカスタム URL およびクエリーをブロックするために機能を与えます。 割り当てればアクションをリセットすることは class-map 条件を満たす要求か応答に適用することができます。 ログ アクションの付加により syslog メッセージを引き起こします:

    APPFW-6- HTTP_URI_REGEX_MATCHED

    コマンド使用状況:

    match request uri regex <parameter-map-name>

    サンプル使用ケース

    URI がのこれらの正則表現一致する要求をブロックするために http appfw ポリシーを設定して下さい:

    • 。*cmd.exe

    • 。*sex

    • 。*gambling

    parameter-map type regex uri_regex_cm
       pattern “.*cmd.exe”
       pattern “.*sex”
       pattern “.*gambling”
    
    class-map type inspect http uri_check_cm
       match request uri regex uri_regex_cm
    
    policy-map type inspect http uri_check_pm
       class type inspect http uri_check_cm
          reset
  • URI 長さ点検—このコマンドは長さが設定されたしきい値を超過するとき要求で送られている URI の長さを確認し、設定されたアクションを適用します。 割り当てればアクションをリセットすることは class-map 条件を満たす要求か応答に適用することができます。 ログ アクションの付加により syslog メッセージを引き起こします:

    APPFW-6- HTTP_URI_LENGTH.

    コマンド使用状況:

    match request uri length gt <bytes>

    サンプル使用ケース

    要求の URI 長さが 3076 バイトを超過する時はいつでもアラームを発するために http appfw ポリシーを設定して下さい。

    class-map type inspect http uri_len_cm
       match request uri length gt 3076
    
    policy-map type inspect http uri_len_pm
       class type inspect http uri_len_cm
          log
  • 引数点検—このコマンドは割り当てる機能を提供しますか引数(パラメータ)設定された規則的な点検と一致しなさい要求を否定するか、または監察したものです。 割り当てればアクションをリセットすることは class-map 条件を満たす要求か応答に適用することができます。 ログ アクションの付加により syslog メッセージを引き起こします:

    APPFW-6- HTTP_ARG_REGEX_MATCHED

    コマンド使用状況:

    match request arg regex <parameter-map-name>

    サンプル使用ケース

    引数がのこれらの正則表現一致する要求をブロックするために http appfw ポリシーを設定して下さい:

    • 。*codered

    • 。*attack

    parameter-map type regex arg_regex_cm
       pattern “.*codered”
       pattern “.*attack”
    
    class-map type inspect http arg_check_cm
       match request arg regex arg_regex_cm
    
    policy-map type inspect http arg_check_pm
       class type inspect http arg_check_cm
          reset
  • 引数長さ点検—このコマンドは長さが設定されたしきい値を超過するとき要求で送られる引数の長さを確認し、設定されたアクションを適用します。 割り当てればアクションをリセットすることは class-map 条件を満たす要求か応答に適用することができます。 ログ アクションの付加により syslog メッセージを引き起こします:

    APPFW-6- HTTP_ARG_LENGTH.

    コマンド使用状況:

    match request arg length gt <bytes>

    サンプル使用ケース

    要求の引数長さが 512 バイトを超過する時はいつでもアラームを発するために http appfw ポリシーを設定して下さい。

    class-map type inspect http arg_len_cm
       match request arg length gt 512
    
    policy-map type inspect http arg_len_pm
       class type inspect http arg_len_cm
          log
  • ボディ点検—この CLI はユーザが要求または応答のボディと一致するべき正則表現のリストを指定することを可能にします。 割り当てればアクションをリセットすることは class-map 条件を満たす要求か応答に適用することができます。 ログ アクションの付加により syslog メッセージを引き起こします:

    APPFW-6- HTTP_BODY_REGEX_MATCHED

    コマンド使用状況:

    match {request|response|reg-resp} body regex <parameter-map-name>

    サンプル使用ケース

    ボディがパターンが含まれている応答をブロックするために http appfw を設定して下さい。* [Aa] [TT] [TT] [Aa] [Cc] [Kk]

    parameter-map type regex body_regex
       pattern “.*[Aa][Tt][Tt][Aa][Cc][Kk]”
    
    class-map type inspect http body_match_cm
       match response body regex body_regex
    
    policy-map type inspect http body_match_pm
       class type inspect http body_match_cm
          reset
  • ボディ(コンテンツ)長さ点検—このコマンドは要求か応答によって送られるメッセージのサイズを確認します。 割り当てればアクションをリセットすることは class-map 条件を満たす要求か応答に適用することができます。 ログ アクションの付加により syslog メッセージを引き起こします:

    APPFW-4- HTTP_CONTENT_LENGTH

    コマンド使用状況:

    match {request|response|req-resp} body length lt <bytes> gt <bytes>

    サンプル使用ケース

    要求または応答の 10K バイト メッセージを伝える HTTP セッションをブロックするために http appfw ポリシーを設定して下さい。

    class-map type inspect http cont_len_cm
       match req-resp header content-length gt 10240
    
    policy-map type inspect http cont_len_pm
       class type inspect http cont_len_cm
          reset
  • 状態表示行点検—コマンドはユーザが応答のステータス ラインと一致するべき正則表現のリストを指定することを可能にします。 割り当てればアクションをリセットすることは class-map 条件を満たす要求か応答に適用することができます。 ログ アクションの付加により syslog メッセージを引き起こします:

    APPFW-6-HTTP_STLINE_REGEX_MATCHED.

    コマンド使用状況:

    match response status-line regex <class-map-name>

    サンプル使用ケース

    禁止されたページにアクセスするために試みが試みられる時はいつでもアラームを記録するために http appfw を設定して下さい。 禁止されたページは通常 403 ステイタス コードが含まれ、状態表示行は\ n.禁止される\ r HTTP/1.0 403 ページのように見えます

    parameter-map type regex status_line_regex
       pattern “[Hh][Tt][Tt][Pp][/][0-9][.][0-9][ \t]+403”
    
    class-map type inspect http status_line_cm
       match response status-line regex status_line_regex
    
    policy-map type inspect http status_line_pm
       class type inspect http status_line_cm
          log
  • 内容タイプ点検—このコマンドは内容タイプ メッセージ・ヘッダーがサポートされたコンテンツのタイプのリストにあるかどうか確認します。 内容タイプ ヘッダがメッセージ データまたはエンティティ ボディ部分の内容と一致することをまた確認します。 キーワード ミスマッチが設定される場合、コマンドは要求メッセージの受け入れられたフィールド値に対して応答メッセージの内容タイプを確認します。 割り当てればアクションをリセットすることは class-map 条件を満たす要求か応答に適用することができます。 ログ アクションの付加により適切な syslog メッセージを引き起こします:

    APPFW-4- HTTP_CONT_TYPE_VIOLATION, 
    APPFW-4- HTTP_CONT_TYPE_MISMATCH, 
    APPFW-4- HTTP_CONT_TYPE_UNKNOWN

    コマンド使用状況:

    match {request|response|req-resp} header content-type [mismatch|unknown|violation]

    サンプル使用ケース

    未知内容タイプを持っている要求および応答を運ぶ HTTP セッションをブロックするために http appfw ポリシーを設定して下さい。

    class-map type inspect http cont_type_cm
       match req-resp header content-type unknown
    
    policy-map type inspect http cont_type_pm
       class type inspect http cont_type_cm
          reset
  • ポート誤用点検—このコマンドが IM のような他のアプリケーションのために、トンネル伝送する P2P 誤用される防ぐのに http ポート(80)を使用されています等は割り当てますまたはアクションをリセットすることは class-map 条件を満たす要求か応答に適用することができます。 ログ アクションの付加により適切な syslog メッセージを引き起こします:

    APPFW-4- HTTP_PORT_MISUSE_TYPE_IM
    APPFW-4-HTTP_PORT_MISUSE_TYPE_P2P
    APPFW-4-HTTP_PORT_MISUSE_TYPE_TUNNEL

    コマンド使用状況:

    match request port-misuse {im|p2p|tunneling|any}

    サンプル使用ケース

    IM アプリケーションのために誤用される HTTP セッションをブロックするために http appfw ポリシーを設定して下さい。

    class-map type inspect http port_misuse_cm
       match request port-misuse im
    
    policy-map type inspect http port_misuse_pm
       class type inspect http port_misuse_cm
          reset
  • 厳密 http 点検—このコマンドは HTTP要求および応答に対して厳密なプロトコル一致チェックをイネーブルにします。 割り当てればアクションをリセットすることは class-map 条件を満たす要求か応答に適用することができます。 ログ アクションの付加により syslog メッセージを引き起こします:

    APPFW-4- HTTP_PROTOCOL_VIOLATION

    コマンド使用状況:

    match req-resp protocol-violation

    サンプル使用ケース

    RFC 2616 に違反する要求か応答をブロックするために http appfw ポリシーを設定して下さい:

    class-map type inspect http proto-viol_cm 
       match req-resp protocol-violation 
    
    policy-map type inspect http proto-viol_pm 
       class type inspect http proto-viol_cm 
          reset
  • 転送符号化点検—このコマンドは割り当てる機能を提供しますか転送符号化タイプが設定されたタイプと一致する要求を/応答を否定するか、または監察したものです。 割り当てればアクションをリセットすることは class-map 条件を満たす要求か応答に適用することができます。 ログ アクションの付加により syslog メッセージを引き起こします:

    APPFW-6- HTTP_TRANSFER_ENCODING

    コマンド使用状況:

    match {request|response|req-resp} header transfer-encoding 
    {regex <parameter-map-name> |gzip|deflate|chunked|identity|all}

    サンプル使用ケース

    圧縮タイプ符号化がある要求をか応答をブロックするために http appfw ポリシーを設定して下さい。

    class-map type inspect http trans_encoding_cm
       match req-resp header transfer-encoding type compress
    
    policy-map type inspect http trans_encoding_pm
       class type inspect http trans_encoding_cm
          reset
  • Java アプレット点検—このコマンドは応答に Java アプレットがある確認し、アプレットを検出次第設定されたアクションをかどうか適用します。 割り当てればアクションをリセットすることは class-map 条件を満たす要求か応答に適用することができます。 ログ アクションの付加により syslog メッセージを引き起こします:

    APPFW-4- HTTP_JAVA_APPLET 

    コマンド使用状況:

    match response body java-applet

    サンプル使用ケース

    Java アプレットをブロックするために http appfw ポリシーを設定して下さい。

    class-map type inspect http java_applet_cm
       match response body java-applet
    
    policy-map type inspect http java_applet_pm
       class type inspect http java_applet_cm
          reset

インスタント メッセージおよびピアツーピア アプリケーション制御のための ZFW サポート

Cisco IOS ソフトウェア リリース 12.4(9)T IM および P2P アプリケーションの ZFW サポートを導入しました。

Cisco IOS ソフトウェアは最初に IM Cisco IOS ソフトウェア リリース 12.4(4)T のアプリケーション制御のサポートを提供しました。 ZFW の初期リリースは ZFW インターフェイスの IM アプリケーションをサポートしませんでした。 IM アプリケーション制御が望まれた場合、ユーザは ZFW 設定インターフェイスに移行することができませんでした。 Cisco IOS ソフトウェア リリース 12.4(9)T Yahoo メッセンジャー(YM)、MSN メッセンジャー(MSN)、および AOL インスタントメッセンジャー(AIM)をサポートする IM 点検の ZFW サポートを導入します。

Cisco IOS ソフトウェア リリース 12.4(9)T P2P ファイル共有アプリケーションの天然 IOS ファイアウォール サポートを提供する Cisco IOS ソフトウェアの最初のバージョンです。

アプリケーション トラフィックのための両方の IM および P2P 点検提供層 4 および層 7 ポリシー。 これは他が否定される間、ある特定のアプリケーション アクティビティが許可されるように割り当てを許可するか、またはトラフィックを、またさまざまなプロトコルの比放射能の粒状層 7 制御を拒否するために提供できることを意味します ZFW が基本的なステートフル点検。

P2P アプリケーション点検および制御

SDM 2.2 はファイアウォール構成セクションの P2P アプリケーション制御をもたらしました。 SDM はすべての P2P トラフィックをブロックするゼロのライン レートにおよびポリシング P2P アプリケーション アクティビティを検出するためにネットワーク ベース アプリケーション認識(NBAR)および QoS ポリシー適用しました。 これは必要な NBAR/QoS 設定に気づいていなかったら IOS ファイアウォール CLI の P2P サポートを期待している CLI ユーザが CLI の P2P ブロッキングを設定することができなかった問題を上げました。 Cisco IOS ソフトウェア リリース 12.4(9)T P2P アプリケーション アクティビティを検出するために NBAR にてこ入れする ZFW CLI の原産 P2P 制御をもたらします。 このソフトウェア リリース複数の P2P アプリケーション プロトコルをサポートします:

  • BitTorrent

  • eDonkey

  • FastTrack

  • Gnutella

  • KaZaA/KaZaA2

  • WinMX

P2P アプリケーションは検出を避ける「ポート ホッピング」動作および他のプロトコルの動作を修正する P2P アプリケーションへの頻繁な変更およびアップデートによってもたらされるトリック、また問題の結果として、検出し特ににくいです。 ZFW は NBAR のトラフィック認識機能と天然 ZFW の完全な設定インターフェイスの P2P アプリケーション制御を提供するためにファイアウォール ステートフル点検を結合します。 NBAR は 2 つの優秀な利点を提供します:

  • 複合体にもかかわらずアプリケーションを確認するオプションの発見的ベースのアプリケーション認識は動作を困難に検出します

  • プロトコル アップデートおよび修正の並んでとどまるためにアップデート メカニズムを提供する拡張可能なインフラストラクチャ

P2P 点検の設定

上記されるように、P2P 点検および制御は層 4 ステートフル点検を提供し、7 つのアプリケーション制御を層にします。

層 4 点検はネイティブ・アプリケーション サービス ポートの点検が十分なら、他のアプリケーション サービスに同様に設定されます:

class-map type inspect match-any my-p2p-class
match protocol [bittorrent | edonkey | fasttrack | gnutella | kazaa | kazaa2 | winmx ] 
[signature (optional)]
!
policy-map type inspect private-allowed-policy
 class type inspect my-p2p-class
  [drop | inspect | pass]

マッチ プロトコル[サービス名前]の付加的なシグニチャ オプションに注意して下さい。 マッチ プロトコル文の終わりにシグニチャ オプションを加えることによって特定の P2P アプリケーション アクティビティを示すトラフィックの telltales を捜すために、NBAR 発見的方法はトラフィックに適用されます。 これにはアプリケ−ションの動作のポート ホッピングおよびトラフィック検出を避けるために他の変更が含まれています。 トラフィック点検のこのレベルは高められた CPU 利用および減らされたネットワーク スループット機能の価格に来ます。 シグニチャ オプションが適用しない場合ポート ホッピング動作を検出するために、NBAR ベースの発見的解析は適用されないし CPU 利用は同じ範囲に影響を与えられません。

原産サービス点検はアプリケーションが「標準外ソースおよび寄港先にホップすれば」、または認識されないポート番号のアクションを始めるためにアプリケーションがアップデートされればそれが P2P アプリケーションの制御を保持することができないこと不利な点を運びます:

アプリケーション (12.4(15)T PAM リストによって確認される)原産ポート
bittorrent TCP 6881-6889
edonkey TCP 4662
fasttrack TCP 1214
gnutella TCP 6346-6349 TCP 6355,5634 UDP 6346-6348
kazaa2 PAM に依存した
winmx TCP 6699

(Inspect) P2P トラフィックを許可したい場合付加的な設定を提供する必要があるかもしれません。 いくつかのアプリケーションは複数の P2P ネットワークを使用するかもしれませんまたはアプリケーションがはたらくようにあなたのファイアウォール設定で収容することを必要とするかもしれない特定の動作を設定して下さい:

  • BitTorrent クライアントは通常「追跡者」と標準外ポートで動作する http によって(ピア登録簿サーバ)伝達し合います。 これは普通 TCP 6969 です、しかし急流特定の追跡者ポートをチェックする必要があるかもしれません。 BitTorrent を許可したい場合付加的なポートを収容する最もよい方式は HTTP をマッチ プロトコルの 1 つで設定し、IP port-map コマンドを使用して HTTP へ TCP 6969 を加えることです:

    ip port-map http port tcp 6969
    

    class-map で適用されたマッチ基準と http を bittorrent 定義する必要があり。

  • eDonkey は eDonkey および Gnutella 両方として検出される接続を開始するようです。

  • KaZaA 点検は NBAR シグニチャ検出に完全に依存しています。

層 7 (アプリケーション)点検は選択式にファイル検索、ファイル転送およびテキスト チャット機能をブロックするか、または許可することのような service-specific アクションを、確認し、適用するために機能の層 4 点検を増加します。 service-specific 機能はサービスによって変わります。

P2P アプリケーション点検は HTTP 塗布点検に類似しています:

!configure the layer-7 traffic characteristics:
class-map type inspect [p2p protocol] match-any p2p-l7-cmap
 match action
!
!configure the action to be applied to the traffic 
!matching the specific characteristics:
policy-map type inspect [p2p protocol] p2p-l7-pmap
 class type inspect p2p p2p-l7-cmap
  [ reset | allow ]
  log
!
!define the layer-4 inspection policy
class-map type inspect match-all p2p-l4-cmap
 match protocol [p2p protocol]
!
!associate layer-4 class and layer-7 policy-map
!in the layer-4 policy-map:
policy-map type inspect private-allowed-policy
 class type inspect p2p-l4-cmap
  [ inspect | drop | pass ]
  service-policy p2p p2p-l7-pmap

P2P アプリケーション点検は層 4 点検によってサポートされるアプリケーションのサブセットのためのアプリケーション特有の機能を提供します:

  • edonkey

  • fasttrack

  • gnutella

  • kazaa2

アプリケーション特有のマッチ基準オプションを変えるこれらのアプリケーション提供のそれぞれ:

edonkey

router(config)#class-map type inspect edonkey match-any edonkey-l7-cmap
router(config-cmap)#match ?
  file-transfer     Match file transfer stream
  flow              Flow based QoS parameters
  search-file-name  Match file name
  text-chat         Match text-chat

fasttrack

router(config)#class-map type inspect fasttrack match-any ftrak-l7-cmap
router(config-cmap)#match ?
  file-transfer  File transfer stream
  flow           Flow based QoS parameters

gnutella

router(config)#class-map type inspect gnutella match-any gtella-l7-cmap
router(config-cmap)#match ?
  file-transfer  Match file transfer stream
  flow           Flow based QoS parameters

kazaa2

router(config)#class-map type inspect kazaa2 match-any kazaa2-l7-cmap
router(config-cmap)#match ?
  file-transfer  Match file transfer stream
  flow           Flow based QoS parameters

ある P2P プロトコルへの新しい P2P プロトコル定義かアップデートは NBAR のダイナミック pdlm アップデート機能性を使用してロードすることができます。 これは新しい PDLM をロードする構成コマンドです:

ip nbar pdlm <file-location>

新しいプロトコルはクラス タイプ Inspect にマッチ プロトコル…コマンドで利用できます。 新しい P2P プロトコルにサービス(副プロトコル)、新しい層 7 Inspect class-map タイプがあったり、また 7 つのマッチ基準を、なれば利用可能に層にすれば。

IM アプリケーション点検および制御

Cisco IOS ソフトウェア リリース 12.4(4)T IM アプリケーション点検および制御をもたらしました。 IM サポートは 12.4(6)T の ZFW と導入されませんでした、従ってユーザは ZFW およびレガシー ファイアウォール機能がある特定のインターフェイスで共存できないので同じファイアウォール ポリシーの IM 制御および ZFW を適用することができませんでした。

Cisco IOS ソフトウェア リリース 12.4(9)T この IM サービスのためのステートフル点検およびアプリケーション制御をサポートします:

  • AOL インスタントメッセンジャー

  • MSN メッセンジャー

  • Yahoo メッセンジャー

IM 点検はほとんどのサービスから IM 点検が各々のある特定のサービスのためのホストの特定のグループへの制御アクセスに頼るので、わずかに異なります。 IM サービスは IM サービスにアクセスするためにクライアントが接続できる必要がある登録簿サーバの比較的永久的なグループに一般に頼ります。 IM アプリケーションはプロトコルまたはサービス観点から制御し非常ににくくがちです。 これらのアプリケーションを制御する効果的な方法は固定 IM サーバへのアクセスを制限することです。

IM 点検の設定

IM 点検および制御は層 4 ステートフル点検を提供し、7 つのアプリケーション制御を層にします。

層 4 点検は他のアプリケーション サービスに同様に設定されます:

class-map type inspect match-any my-im-class
match protocol [aol | msnmsgr | ymsgr ]
!
policy-map type inspect private-allowed-policy
 class type inspect my-im-class
  [drop | inspect | pass

IM アプリケーションは機能性を維持するために複数のポートのサーバを接続できます。 Inspect アクションの適用によってある特定の IM サービスを許可したい場合 Server リストが IM サービスのサーバへの許可されたアクセスを定義することを必要としないかもしれません。 但し、関連する policy-map で AOL インスタントメッセンジャーおよびドロップ アクションを適用することのようなある特定の IM サービスを、指定する class-map を設定するにより IM クライアントはインターネットへの接続が許可される別のポートを試し、見つけます場合があります。 ある特定のサービスへの接続を許可したいと思わないかまたは IM サービス機能テキスト チャットを制限したいと思えばサーバ リストを定義して下さい従って ZFW は IM アプリケーションと関連付けられるトラフィックを識別できます:

!configure the server-list parameter-map:
parameter-map type protocol-info <name>
  server name <name> 
  server ip a.b.c.d
  server ip range a.b.c.d a.b.c.d

たとえば、Yahoo IM サーバ リストはそのように定義されます:

parameter-map type protocol-info ymsgr-pmap
  server name scs.msg.yahoo.com
  server name scsd.msg.yahoo.com
  server ip 66.77.88.99
  server ip range 103.24.5.67 103.24.5.99

プロトコル定義に Server リストを適用する必要があります:

class-map type inspect match-any ym-l4-cmap
 match protocol ymsgr ymsgr-pmap

ネーム・リゾリューションをイネーブルにするために IP ネーム サーバ ip.ad.re.ss IP ドメイン ルックアップおよびコマンドを設定して下さい。

IM サーバ名はかなりダイナミックです。 定期的にあなたの設定された IM サーバ リストが完了した、正しいことを確認する必要があります。

層 7 (アプリケーション)点検は他のサービス機能を否定している間選択式にテキスト チャット機能をブロックするか、または許可することのような service-specific アクションを、確認し、適用するために機能の層 4 点検を増加します。

IM アプリケーション点検はテキスト チャット アクティビティと他のすべてのアプリケーション サービスを区別するために現在機能を提供します。 IM アクティビティ テキスト チャットを制限するために、層 7 ポリシーを設定して下さい:

class-map type inspect ymsgr match-any ymsgr-text-cmap
  match service text-chat

class-map type inspect ymsgr match-any ymsgr-default-cmap
  match service any

policy-map type inspect im ymsgr-l7-pmap
  class type inspect im ymsgr-text-cmap
    allow
    [log]
  class type inspect im ymsgr-text-cmap
    reset
    [log]

先に設定される Yahoo メッセンジャー ポリシーに層 7 ポリシーを適用して下さい:

class-map type inspect match-any my-im-class
match protocol ymsgr
!
policy-map type inspect private-allowed-policy
 class type inspect my-im-class
  inspect
  service-policy im ymsgr-l7-pmap

URL フィルタリング

ZFW はそれにルータで定義される白またはブラックリスト指定される Web コンテンツへのアクセスを制限するために URL フィルタリング機能をまたは URL フィルタリング サーバへの特定のドメインへのアクセスを確認するためにドメイン名の転送によって提供します。 Cisco IOS ソフトウェア リリース 12.4(6)T への 12.4(15)T の ZFW URL フィルタリングはアプリケーション点検と同じような付加的なポリシー アクションとして適用されます。

サーバーベース URL フィルタリングに関しては、urlfilter サーバ コンフィギュレーションを説明するパラメータ マップを定義して下さい:

parameter-map type urlfilter websense-parmap
 server vendor [n2h2 | websense] 10.1.1.1

静的な白またはブラックリストが好まれる場合、逆アクションはリストと一致しないトラフィックに適用されるが、とりわけ許可されるか、または否定されるサブドメインまたはドメインのリストを定義できます:

parameter-map type urlfilter websense-parmap
 exclusive-domain deny .disallowed.com
 exclusive-domain permit .cisco.com

URL ブラックリストがを使用して定義されたら排他的ドメイン定義のオプションを、他のすべてのドメイン割り当てられます否定して下さい。 どの「割り当て」定義でも定められる場合、割り当てられるすべてのドメインが IP アクセス制御の機能に類似したリストします明示的に指定する必要があります。

HTTP トラフィックと一致する class-map を設定して下さい:

class-map type inspect match-any http-cmap
 match protocol http

Inspect および urlfilter アクションとあなたの class-map を関連付ける policy-map を定義して下さい:

policy-map type inspect http-filter-pmap
 class type inspect http-cmap
  inspect 
  urlfilter websense-parmap

これは URL フィルタリング サーバと伝達し合う最低必要条件を設定します。 複数のオプションは付加的な URL フィルタリング動作を定義して利用できます。

いくつかのネットワーク配置は他のホストのための URL フィルタリングをバイパスしている間いくつかのホストまたはサブネットのための URL フィルタリングを適用したいと思うかもしれません。 たとえば、図 9 で、私用ゾーンのすべてのホストは特定のホスト 192.168.1.101 を除いて URL フィルタ サーバによって、チェックされる HTTP トラフィックがなければなりません。

図 9: トポロジー URL フィルタリング例

http://www.cisco.com/c/dam/en/us/support/docs/security/ios-firewall/98628-zone-design-guide10.gif

これは 2 つの異なる class-map マップの定義によって達成することができます:

  • URL フィルタリングを受け取る、ホストのより大きいグループのための HTTP トラフィックだけと一致する 1 つの class-map。

  • URL フィルタリングを受け取らないホストのより小さいグループのための 1 つの class-map。 第 2 class-map はホストの HTTP トラフィック、また URL フィルタリング ポリシーから免除されるリストと一致します。

クラスマップは両方とも policy-map で設定されますが、1 つだけは urlfilter アクションを受け取ります:

class-map type inspect match-any http-cmap
 match protocol http
class-map type inspect match-all http-no-urlf-cmap
 match protocol http
 match access-group 101
!
policy-map type inspect http-filter-pmap
 class type inspect http-no-urlf-cmap
  inspect
 class type inspect http-cmap
  inspect 
  urlfilter websense-parmap
!
access-list 101 permit ip 192.168.1.101 any

ルータへの制御アクセス

ほとんどのネットワーク セキュリティ エンジニアは不快でありルータの管理インターフェイスを(たとえば、SSH、Telnet、HTTP、HTTPS、SNMP、等)公衆インターネット--にさらします、特定の状況下で、制御はルータへの LAN アクセスのために同様に必要であるかもしれません。 Cisco IOS ソフトウェアはネットワーク基礎保護(NFP)機能ファミリーが、管理インターフェイスおよび ZFW の自己ゾーンのためのさまざまなアクセス管理メカニズム含まれているさまざまなインターフェイスへのアクセスを制限するためにいくつかのオプションを提供します。 ルータ制御機能のどの組合せがあなたの特定のアプリケーションでうまく作動するか判別するために VTY アクセス管理、管理平らな保護および SNMP アクセス管理のような他の機能を、確認する必要があります。

通常、NFP 機能ファミリーはルータ自体に向かうトラフィックの制御に最も適しています。 制御 NFP 機能を使用してルータ保護を記述する情報に関しては Cisco IOS ソフトウェアの平らなセキュリティ概要を参照して下さい。

ルータの IP アドレスに出入してトラフィック制御するために自体を ZFW を適用することにする場合、ファイアウォールのデフォルト ポリシーおよび機能が中継トラフィックのために利用可能なそれらと異なることを理解して下さい。 中継トラフィックはソースおよび宛先 IP アドレスがルータのインターフェイスの何れかに適用される IP アドレスを一致しないトラフィックによりルータ、たとえば、ICMP TTL 満了またはネットワーク/ホスト到達不可能メッセージのようなネットワーク制御メッセージは送りませんネットワーク トラフィックと定義され。

ZFW はゾーンの間で移動するトラフィックに、一般ルールに言及されているように、ルータのインターフェイスのアドレスに直接フローするあらゆるゾーンのトラフィックが暗示的に許可される以外デフォルトを否定すべてのポリシー適用します。 これはゾーン ファイアウォール設定がルータに適用されるときルータの管理インターフェイスへの接続が維持されること保証します。 同じ否定すべてのポリシーがルータへの接続に直接影響を与えた場合、完全な経営方針設定はゾーンがルータで設定される前に適用しなければなりません。 これは多分ポリシーが間違った順序で不適当に設定されるか、または適用されたら管理接続を破壊します。

インターフェイスがゾーン メンバーであるために設定されるときインターフェイスに接続されるホストはゾーンに含まれています。 但し、ルータのインターフェイスの IP アドレスに出入してトラフィック フローはゾーン ポリシーによって制御されません(図 10)に従がって注記に説明がある状況を除いて。 その代り、ルータの IP インターフェイスすべては自動的に ZFW が設定されるとき自己ゾーンの部分になされます。 ルータのさまざまなゾーンからルータのインターフェイスに移る IP トラフィックを制御するためにポリシーはブロックするか、または割り当てるために/ゾーンとルータの自己ゾーン間の Inspect トラフィック、逆の場合も同じ適用する必要があります。 (図 10.を参照して下さい)

図 10: ネットワーク ゾーンとルータの自己ゾーン間のポリシーを適用して下さい

http://www.cisco.com/c/dam/en/us/support/docs/security/ios-firewall/98628-zone-design-guide11.gif

ルータがすべてのゾーンと自己ゾーン間のデフォルト許可ポリシーを提供するが、ポリシーがあらゆるゾーンから自己ゾーンへの設定され、ポリシーが自己からルータのユーザ側で設定できるインターフェイス接続されたゾーンへの設定されなければ場合、すべてのルータ起こされたトラフィックはリターンの自己ゾーン ポリシーに接続ゾーンにルータ出会い、ブロックされます。 従って自己ゾーンへのリターンを許可するために、ルータ起こされたトラフィックは検査する必要があります。

注: Cisco IOS ソフトウェアは syslog、tftp、telnet および他のコントロール・プレーン サービスのようなトラフィックのためにインターフェイス「最も近い」宛先ホストによって関連付けられる IP アドレスを常に使用し、自己ゾーン ファイアウォール ポリシーにこのトラフィックを服従させます。 但しサービスが含んでいるが、記録ソース インターフェイス[タイプ番号]IP tftp ソース インターフェイス[タイプ番号]、および IP telnet ソース インターフェイス[タイプ番号]に制限されなくて、トラフィックは自己ゾーンに服従しますコマンドを使用してソース インターフェイスと特定のインターフェイスを定義すれば。

注: いくつかのサービス(特にルータの voice-over-IP サービス)はセキュリティ ゾーンに割り当てることができないはかないですか非構造化インターフェイスを使用します。 これらのサービスはトラフィックが設定されたセキュリティ ゾーンと関連付けることができない場合適切に機能しないかもしれません。

自己ゾーン ポリシー制限

自己ゾーン ポリシーは中継トラフィック ゾーン組のために利用可能なポリシーと比べて機能性を制限しました:

  • 古典的なステートフル点検を用いるケースがあったように、ルータ生成トラフィックは H.323 のための TCP、UDP、ICMP および複雑プロトコル点検に制限されます。

  • アプリケーション点検は自己ゾーン ポリシーに利用できません。

  • セッションは自己ゾーン ポリシーで制限を設定することができません評価し。

自己ゾーン ポリシー設定

ほとんどの状況のもとで、これらはルータ マネジメント・サービスのための好ましいアクセス ポリシーです:

  • Telnet のクリアテキスト プロトコルが容易にユーザ信任状および他の機密情報を露出するように、Telnet すべての接続を否定して下さい。

  • あらゆるゾーンのあらゆるユーザからの SSH 接続を許可して下さい。 SSH はユーザ信任状およびユーザ アクティビティおよび妥協ユーザ信任状でスヌーピングするためにツールまたはルータ設定のような機密情報のパケット キャプチャを用いる悪意のあるユーザからの保護を提供するセッション データを暗号化します。 SSH バージョン 2 より強い保護を提供し、SSH バージョン 1.に固有特定の脆弱性に対処します。

  • 私用ゾーンが信頼できる場合、私用ゾーンからのルータへの HTTP 接続を許可して下さい。 さもなければ、情報を妥協する私用ゾーンが悪意のあるユーザ向けの可能性を隠せば HTTP は管理トラフィックを保護するために暗号化を用いないしユーザ信任状または設定のような機密情報を明らかにするかもしれません。

  • あらゆるゾーンからの HTTPS 接続を許可して下さい。 SSH に類似した、HTTPS はセッション データおよびユーザ信任状を暗号化します。

  • 特定のホストまたはサブネットへの SNMP アクセスを制限して下さい。 SNMP がルータ設定を修正し、構成情報を明らかにするのに使用することができます。 SNMP はさまざまなコミュニティのアクセス管理で設定する必要があります。

  • 公衆インターネットからの私用ゾーン アドレスへのブロック ICMP 要求(私用ゾーン アドレスを仮定することはルーティング可能です)。 1つ以上の公用住所は解決するネットワークの ICMP トラフィックのために必要ならば露出されるかもしれません。 複数の ICMP 不正侵入がルータ リソースを圧倒するか、またはネットワーク・トポロジおよびアーキテクチャを禎察するのに使用することができます。

ルータはこのタイプの制御される必要がある各ゾーンのための 2 ゾーン組の付加とのポリシーを加えることができます。 、ルータ自己ゾーンに受信、かから反対方向のそれぞれポリシーによって送信トラフィックのための各ゾーン組はトラフィックが反対方向に起きなければ一致する必要があります。 トラフィックすべてを記述する、またはゾーン組ごとの特定のポリシーマップは適用します送信ゾーン組のための 1 policy-map はそれぞれ適用しますおよび受信。 policy-map ごとの特定のゾーン組の設定は各 policy-map と一致する表示アクティビティに細かさを提供します。

SNMP 管理ステーションが付いているネットワーク例、および 172.17.100.17 で TFTP サーバを 172.17.100.11 で仮定して、この出力は全体の管理インターフェイス アクセス ポリシーの例を提供したものです:

class-map type inspect match-any self—service-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol h323
!
class-map type inspect match-all to-self-cmap
 match class-map self—service-cmap
 match access-group 120
!
class-map type inspect match-all from-self-cmap
 match class-map self—service-cmap
!
class-map type inspect match-all tftp-in-cmap
 match access-group 121
!
class-map type inspect match-all tftp-out-cmap
 match access-group 122
!
policy-map type inspect to-self-pmap
 class type inspect to-self-cmap
  inspect
 class type inspect tftp-in-cmap
  pass
!
policy-map type inspect from-self-pmap
 class type inspect from-self-cmap
  inspect
 class type inspect tftp-out-cmap
  pass
!
zone security private
zone security internet
zone-pair security priv-self source private destination self
 service-policy type inspect to-self-pmap
zone-pair security net-self source internet destination self
 service-policy type inspect to-self-pmap
zone-pair security self-priv source self destination private 
 service-policy type inspect from-self-pmap
zone-pair security self-net source self destination internet
 service-policy type inspect from-self-pmap

!
interface FastEthernet 0/0
 ip address 172.16.100.10
 zone-member security internet
!
interface FastEthernet 0/1
 ip address 172.17.100.10
 zone-member security private
!
access-list 120 permit icmp 172.17.100.0 0.0.0.255 any
access-list 120 permit icmp any host 172.17.100.10 echo
access-list 120 deny icmp any any
access-list 120 permit tcp 172.17.100.0 0.0.0.255 host 172.17.100.10 eq www
access-list 120 permit tcp any any eq 443
access-list 120 permit tcp any any eq 22
access-list 120 permit udp any host 172.17.100.10 eq snmp
access-list 121 permit udp host 172.17.100.17 host 172.17.100.10 
access-list 122 permit udp host 172.17.100.10 host 172.17.100.17

残念ながら、自己ゾーン ポリシーは TFTP 転送を点検するために機能を提供しません。 従って、ファイアウォールは TFTP サーバに出入して TFTP がファイアウォールを通る必要がある場合すべてのトラフィックを通過させる必要があります。

ルータが IPSec VPN 接続を終えれば、また ISAKMP および NAT-T IPSec (UDP 4500) IPSec ESP を、IPSec AH 渡すために、ポリシーを定義する必要があります。 これは必要保守する使用するであるかどれによってに基づいて決まります。 次のポリシーは上記のポリシーに加えて適用します。 VPN トラフィックのための class-map がパス アクションと挿入されたポリシーマップへの変更に注意して下さい。 通常、暗号化されたトラフィックは指定エンド ポイントに出入して暗号化されたトラフィックを許可する必要があることをあなたのセキュリティ ポリシーが示さなければ、信頼できます。

class-map type inspect match-all crypto-cmap
 match access-group 123
!
policy-map type inspect to-self-pmap
 class type inspect crypto-cmap
  pass
 class type inspect to-self-cmap
  inspect
 class type inspect tftp-in-cmap
  pass
!
policy-map type inspect from-self-pmap
 class type inspect crypto-cmap
  pass
 class type inspect from-self-cmap
  inspect
 class type inspect tftp-out-cmap
  pass
!
access-list 123 permit esp any any
access-list 123 permit udp any any eq 4500
access-list 123 permit ah any any 
access-list 123 permit udp any any eq 500

ゾーン ベースのファイアウォールおよびワイドエリア アプリケーション サービス

Cisco 設定例および使用状況指導を提供するアプリケーション ノートのソフトウェア・バージョン 4.0.13 の広域アプリケーション サービス(ソフトウェア・バージョン 4.0.13) -新しい機能に関するリリース ノート参照して下さい

ゾーン ベースのポリシー ファイアウォールとのおよびデバッグ・コマンドを示します監視することは

ZFW はポリシー設定およびモニタ ファイアウォール アクティビティを表示するために新しいコマンドをもたらします。

ゾーン記述および指定ゾーンに含まれているインターフェイスを表示して下さい:

show zone security [<zone-name>]

ゾーン名前が含まれていないとき、コマンドは設定されるすべてのゾーンの情報を表示したものです。

Router#show zone security z1
zone z1
  Description: this is test zone1
  Member Interfaces:
    Ethernet0/0

ゾーン組に付すソース ゾーン、宛先ゾーンおよびポリシーを表示して下さい:

show zone-pair security [source <source-zone-name>] [destination <destination-zone-name>]

ソースか宛先が指定されないとき、ソース、宛先および関連するポリシーのすべてのゾーン組は表示されます。 ソースだけ/宛先ゾーンが述べられる時、ソース/宛先が表示されると同時にこのゾーンが含まれているすべてのゾーン組。

Router#show zone-pair security        
zone-pair name zp
  Source-Zone z1  Destination-Zone z2 
  service-policy p1

指定 policy-map を表示します:

show policy-map type inspect [<policy-map-name> [class <class-map-name]]

policy-map の名前は指定されないとき、タイプ Inspect のすべてのポリシーマップを表示します(サブタイプが含まれている)を含む層 7 ポリシーマップ。

Router#show policy-map type inspect p1
 Policy Map type inspect p1
   Class c1
    Inspect

指定ゾーン組にある動作時 Inspect タイプ policy-map 統計情報を表示します。

show policy-map type inspect zone-pair [zone-pair-name] [sessions]

ゾーン組名前が述べられないとき、すべてのゾーン組のポリシーマップは表示されます。

セッション オプションは指定ゾーン組の policy-map アプリケーションによって作成される点検セッションを表示します。

Router#show policy-map type inspect zone-pair zp
 Zone-pair: zp

  Service-policy : p1

    Class-map: c1 (match-all)
      Match: protocol tcp
      Inspect
        Session creations since subsystem startup or last reset 0
        Current session counts (estab/half-open/terminating) [0:0:0]
        Maxever session counts (estab/half-open/terminating) [0:0:0]
        Last session created never
        Last statistic reset never
        Last session creation rate 0
        Last half-open session total 0   

    Class-map: c2 (match-all)
      Match: protocol udp
      Pass
        0 packets, 0 bytes

    Class-map: class-default (match-any)
      Match: any
      Drop
        0 packets, 0 bytes

urlfilter キーワードはゾーン組名前が指定されないとき)指定される policy-map 関係する urlfilter 関連の統計情報を表示します(またはすべてのターゲットのポリシーマップに:

show policy-map type inspect zone-pair [zone-pair-name] [urlfilter [cache]]

キャッシュ キーワードは urlfilter と共に指定されるとき、(IP アドレス)の urlfilter キャッシュを表示します。

Inspect ポリシーマップのための提示 policy-map コマンドの要約:

show policy-map type inspect inspect { <policy name> [class <class name>] |
	                  zone-pair [<zone-pair name>] [sessions | urlfilter cache] }

ゾーン ベースのポリシー ファイアウォール サービスの拒絶保護の調整

ZFW はネットワーク エンジニアにネットワーク アクティビティの劇的な変化に警告し、ネットワーク アクティビティ変更の影響を減らすために不必要なアクティビティを軽減するように DoS 保護を提供します。 ZFW は各 policy-map の class-map のための別途のカウンターを維持します。 従って 1 つの class-map が 2 つの異なるゾーン組のポリシーマップのために使用されれば、DoS 保護カウンターの 2 組の異なるセットは適用します。

ZFW は 12.4(11)T の前に Cisco IOS ソフトウェア リリースでデフォルトとして DoS 不正侵入軽減を提供します。 Cisco IOS ソフトウェア リリース 12.4(11)T と変更されるデフォルト DoS 保護動作。 それ以上の議論および手順のための Cisco IOS ファイアウォール サービスの拒絶保護を ZFW DoS 保護を調節するために調整することを参照して下さい。

戦略を TCP SYN DoS 不正侵入に関する詳細については不正侵入 TCP SYN サービス差し控えから保護するために定義することを参照して下さい。

付録

付録 A: 基本構成

ip subnet-zero
ip cef
!
bridge irb
!
interface FastEthernet0
 ip address 172.16.1.88 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet1
 ip address 172.16.2.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet2
 switchport access vlan 2
!
interface FastEthernet3
 switchport access vlan 2
!
interface FastEthernet4 
 switchport access vlan 1
!
interface FastEthernet5 
 switchport access vlan 1
!
interface FastEthernet6 
 switchport access vlan 1
!
interface FastEthernet7 
 switchport access vlan 1
!
interface Vlan1
 no ip address
 bridge-group 1
!
interface Vlan2
 no ip address
 bridge-group 1
!
interface BVI1
 ip address 192.168.1.254 255.255.255.0
 ip route-cache flow
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.1.1
!
bridge 1 protocol ieee
bridge 1 route ip
!
end

付録 B: 最終的な(完全な)設定

ip subnet-zero
ip cef
!
ip port-map user-Xwindows port tcp from 6900 to 6910
!
class-map type inspect match-any L4-inspect-class
 match protocol tcp
 match protocol udp
 match protocol icmp
class-map type inspect match-any L7-inspect-class
  match protocol ssh
  match protocol ftp
  match protocol pop
  match protocol imap
  match protocol esmtp
  match protocol http
class-map type inspect match-any dns-http-class
 match protocol dns
 match protocol http
class-map type inspect match-any smtp-class
 match protocol smtp
class-map type inspect match-all dns-http-acl-class
 match access-group 110
 match class-map dns-http-class
class-map type inspect match-all smtp-acl-class
 match access-group 111
 match class-map smtp-class
class-map type inspect match-any Xwindows-class
 match protocol user-Xwindows
class-map type inspect match-any internet-traffic-class
 match protocol http
 match protocol https
 match protocol dns
 match protocol icmp
class-map type inspect http match-any bad-http-class
 match  port-misuse all
 match  strict-http
!
policy-map type inspect clients-servers-policy
 class type inspect L4-inspect-class
  inspect
policy-map type inspect private-dmz-policy
  class type inspect L7-inspect-class
   inspect
policy-map type inspect internet-dmz-policy
 class type inspect dns-http-acl-class
  inspect
 class type inspect smtp-acl-class
  inspect
policy-map type inspect servers-clients-policy
 class type inspect Xwindows-class
  inspect
policy-map type inspect private-internet-policy
  class type inspect internet-traffic-class
   inspect
  class type inspect bad-http-class
   drop
!
zone security clients
zone security servers
zone security private
zone security internet
zone security dmz
zone-pair security private-internet source private destination internet
  service-policy type inspect private-internet-policy
zone-pair security servers-clients source servers destination clients
  service-policy type inspect servers-clients-policy
zone-pair security clients-servers source clients destination servers
  service-policy type inspect clients-servers-policy
zone-pair security private-dmz source private destination dmz
  service-policy type inspect private-dmz-policy
zone-pair security internet-dmz source internet destination dmz
  service-policy type inspect internet-dmz-policy
!
bridge irb
!
interface FastEthernet0
 ip address 172.16.1.88 255.255.255.0
 zone-member internet
!
interface FastEthernet1
 ip address 172.16.2.1 255.255.255.0
 zone-member dmz
!
interface FastEthernet2
 switchport access vlan 2
!
interface FastEthernet3
 switchport access vlan 2
!
interface FastEthernet4 
 switchport access vlan 1
!
interface FastEthernet5 
 switchport access vlan 1
!
interface FastEthernet6 
 switchport access vlan 1
!
interface FastEthernet7 
 switchport access vlan 1
!
interface Vlan1
 no ip address
 zone-member clients 
 bridge-group 1
!
interface Vlan2
 no ip address
 zone-member servers
 bridge-group 1
!
interface BVI1
 ip address 192.168.1.254 255.255.255.0
 zone-member private
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.1.1
!
access-list 110 permit ip any host 172.16.2.2
access-list 111 permit ip any host 172.16.2.3
!
bridge 1 protocol ieee
bridge 1 route ip
!
End

付録 C: 2 つのゾーンのための基本的なゾーン ポリシー ファイアウォール設定

この例は Cisco IOS ソフトウェア ZFW に機能拡張のためにテストする機能を基盤として簡単な設定を提供したものです。 この設定は 1811 ルータで設定されるように 2 つのゾーンのためのモデル設定、です。 私用ゾーンはルータの修理されたスイッチ ポートに適用されます、従ってスイッチ ポートのすべてのホストは VLAN 1.に接続されます。 公共ゾーンは FastEthernet 0 で適用されます。

http://www.cisco.com/c/dam/en/us/support/docs/security/ios-firewall/98628-zone-design-guide12.gif

class-map type inspect match-any private-allowed-class
 match protocol tcp
 match protocol udp
 match protocol icmp
class-map type inspect match-all http-class
 match protocol http
!
policy-map type inspect private-allowed-policy
 class type inspect http-class
  inspect my-parameters
 class type inspect private-allowed-class
  inspect
!
zone security private
zone security public
zone-pair security priv-pub source private destination public
 service-policy type inspect private-allowed-policy
!
interface fastethernet 0
 zone-member security public
!
Interface VLAN 1
 zone-member security private

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 98628