セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX オブジェクト グループの設定および使用

2010 年 8 月 3 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2009 年 8 月 18 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      関連製品
      表記法
オブジェクト グループの使用
オブジェクト グループの設定
      ICMP-Type の設定
      ネットワーク設定
      プロトコル設定
      サービス設定
      object-group ネスト設定
確認
トラブルシューティング
      問題
      解決策
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、PIX コード バージョン 6.2 で導入された機能であるオブジェクト グループについて説明します。オブジェクト グループ化によって、IP ホストやネットワーク、プロトコル、ポート、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)タイプなどのオブジェクトをオブジェクト グループにまとめることができます。オブジェクト グループは、設定すると、そのグループ内のすべてのオブジェクトを参照するために標準の conduit または access-list PIX コマンドで使用できます。これによって、設定のサイズを削減できます。

注:オブジェクト グループの名前は変更できません。削除してからもう一度オブジェクト グループに変更を適用する必要があります。

注:access-list をオブジェクト グループで作成した後は、access-group コマンドでインターフェイスに適用する必要があります。



前提条件

要件

このドキュメントに関する特別な要件はありません。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco PIX ソフトウェア リリース 6.2(2) 以降

  • Cisco 515 PIX Firewall(これらの設定で動作する任意の PIX モデル)

  • Cisco ASA ソフトウェア リリース 7.0 以降

  • ソフトウェア バージョン 1.1 以降が稼動する Cisco Firewall Service Module(FWSM; ファイアウォール サービス モジュール)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼動中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



関連製品

このドキュメントの情報は、ソフトウェア バージョン 7.0 以降が稼動する Cisco 5500 シリーズ Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)にも適用できます。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



オブジェクト グループの使用

1 つのコマンド内でオブジェクト グループを使用するときには、次の例に示すように、グループ名の前にキーワード object-group を使用する必要があります。

access-list 100 permit object-group protocols object-group
   remotes object-group locals object-group services

この例で、protocols、remotes、locals、および services はすでに定義されたオブジェクト グループ名です。オブジェクト グループをネストさせて、1 つのオブジェクト グループを別のオブジェクト グループのサブセットとして含めることができます。

次の出力にそのコマンド セットを示します。

object-group grp_id

object-group description description_text

group-object object_grp_name


object-group icmp-type grp_id

icmp-object icmp_type


object-group network grp_id

network-object host host_addr

network-object net_addr netmask

object-group protocol grp_id

protocol-object protocol


object-group service grp_id {tcp|udp|tcp-udp}

port-object eq service

port-object range begin_service end_service



オブジェクト グループの設定

ICMP-Type の設定

ICMP-type オブジェクト グループは、ICMP Access Control List(ACL; アクセス コントロール リスト)とコンジットだけで使用する特定の ICMP タイプを指定するために使用されます。ICMP タイプの全リストは、object-group コマンド用の PIX コマンド リファレンス内に存在します。

(config)#object-group icmp-type icmp-allowed
(config-icmp-type)#icmp-object echo 
(config-icmp-type)#icmp-object time-exceeded
(config-icmp-type)#exit

(config)#access-list 100 permit icmp any any object-group icmp-allowed


ネットワーク設定

ACL またはコンジットに定義するホスト IP アドレスやサブネット範囲を指定するには、ネットワーク オブジェクト グループを使用します。ホスト IP アドレスにはキーワード host がその前に付き、IP アドレスや name コマンドであらかじめ定義しておくホスト名を指定できます。このオブジェクト グループを、関連する ACL/コンジットの送信元または宛先として使用できます。

(config)#names
(config)#name 10.1.1.10 myFTPserver

(config)#object-group network ftp_servers

(config-network)#network-object host 10.1.1.14
(config-network)#network-object host myFTPserver

(config-network)#network-object 10.1.1.32 255.255.255.224
(config-network)#exit

(config)#access-list 101 permit ip any object-group ftp_servers

このリストが FTP サーバだけで構成される場合、次の具体的な例が当てはまります。

(config)#access-list 101 permit tcp any object-group ftp_servers eq ftp


プロトコル設定

ACL またはコンジットで定義したいプロトコルを指定するには、プロトコル オブジェクト グループを使用します。このオブジェクト グループは、関連する ACL またはコンジット内だけでプロトコル タイプとして使用できます。このオブジェクト グループ用に許可されたプロトコルは、access-list または conduit コマンドに許可された標準の PIX プロトコル名だけ、たとえば、Transmission Control Protocol(TCP; 伝送制御プロトコル)、User Datagram Protocol(UDP; ユーザ データグラム プロトコル)、Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)、Enhanced Interior Gateway Routing Protocol(EIGRP)、Encapsulating Security Payload(ESP)、Authentication Header(AH; 認証ヘッダー)などであることに注意してください。TCP または UDP の上に収まるプロトコルは、プロトコル オブジェクト グループでは指定できません。これらのプロトコルは、その代わりに、次の例で示すようにオブジェクト グループを使用します。

(config)#object-group protocol proto_grp_1
 
(config-protocol)#protocol-object udp
(config-protocol)#protocol-object tcp
(config-protocol)#protocol-object esp
(config-protocol)#exit

(config)#access-list 102 permit object-group proto_grp_1 any any


サービス設定

ACL またはコンジットに定義したい特定のまたは一定範囲の TCP や UDP ポートを指定するには、サービス オブジェクト グループを使用します。次の例に示すように、このオブジェクト グループは、関連する ACL/コンジットの送信元ポートまたは宛先ポートとして使用できます。

(config)#object-group service allowed_prots tcp
(config-service)#port-object eq ftp
(config-service)#port-object range 2020 2021
(config-service)#exit

(config)#object-group service high_ports tcp-udp
(config-service)#port-object range 1024 65535
(config-service)#exit 

(config)#access-list 103 permit tcp any object-group 
          high_ports any object-group allowed_prots

注:強化されたサービスである object-group は、ソフトウェア バージョン 8.0 のリリース時に導入されました。object-group によって、ASA/PIX は、同一サービス グループ内に IP プロトコルをまとめて結合できるようになったので、プロトコルと icmp-type 固有のオブジェクト グループの必要性が排除されました。object-group を設定する場合、プロトコル タイプは指定しないでください。

(config)#object-group service RTPUsers
(config-service)#service-object icmp echo-reply
(config-service)#service-object icmp echo
(config-service)#service-object tcp http
(config-service)#service-object tcp https
(config-service)#service-object tcp http
(config-service)#service-object tcp pptp
(config-service)#service-object udp domain
(config-service)#service-object udp isakmp
(config-service)#service-object esp
(config-service)#service-object gre
(config-service)#exit 
(config)#access-list acl_inside permit object-group RTPUsers 192.168.50.0 
255.255.255.0 any
(config)#show access-list acl_inside
access-list acl_inside line 1 extended permit object-group RTPUsers 
192.168.50.0 255.255.255.0 any 
access-list acl_inside line 1 extended permit icmp 
192.168.50.0 255.255.255.0 any echo-reply (hitcnt=0) 
access-list acl_inside line 1 extended permit icmp 
192.168.50.0 255.255.255.0 any echo (hitcnt=0) 
access-list acl_inside line 1 extended permit tcp 
192.168.50.0 255.255.255.0 any eq www (hitcnt=0) 
access-list acl_inside line 1 extended permit tcp 
192.168.50.0 255.255.255.0 any eq https (hitcnt=0) 
access-list acl_inside line 1 extended permit udp 
192.168.50.0 255.255.255.0 any eq domain (hitcnt=0) 
access-list acl_inside line 1 extended permit esp 
192.168.50.0 255.255.255.0 any (hitcnt=0) 
access-list acl_inside line 1 extended permit gre 
192.168.50.0 255.255.255.0 any (hitcnt=0) 
access-list acl_inside line 1 extended permit udp 
192.168.50.0 255.255.255.0 any eq isakmp (hitcnt=0) 
access-list acl_inside line 1 extended permit tcp 
192.168.50.0 255.255.255.0 any eq pptp (hitcnt=0) 


object-group ネスト設定

別のオブジェクト グループ内にネストできるのは、同一タイプのオブジェクト グループだけです。たとえば、プロトコル タイプ オブジェクト グループはネットワーク タイプ オブジェクト グループ内にはネストできません。

あるグループ内にグループをネストするには、group-object サブコマンドを発行します。この例では、4 つのホストすべてを指定するために ACL またはコンジット内の all_hosts グループを使用できます。または、各グループ内の 2 つのホストだけを指定するために host_grp_1host_grp_2 のいずれかを使用することもできます。

(config)#object-group network host_grp_1

(config-network)#network-object host 10.1.1.10
(config-network)#network-object host 10.1.1.14 
(config-network)#exit
       
(config)#object-group network host_grp_2

(config-network)#network-object host 172.16.10.1
(config-network)#network-object host 172.16.10.2
(config-network)#exit
       

(config)#object-group network all_hosts

(config-network)#group-object host_grp_1

(config-network)#group-object host_grp_2

(config-network)#exit


確認

このセクションでは、設定が正しく動作していることを確認するために使用できる情報を提供しています。

特定の show コマンドは、アウトプットインタープリタ登録ユーザ専用)でサポートされています。このツールを使用すると、show コマンドの出力を分析できます。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。

  • show running-config object-group:現在定義されている ACL を示します。

  • show access-list <acl>:ACL と各行の関連するヒット カウンタを示します。このコマンドは、定義されている各オブジェクト グループ用の拡張 ACL エントリを示します。

  • clear object-group [grp_type]:パラメータなしで入力すると、clear object-group コマンドはコマンドでは使用されていない定義済みのオブジェクト グループすべてを削除します。grp_type パラメータを使用することで、そのグループ タイプ用だけにコマンドで使用されていない定義済みのオブジェクト グループすべてが削除されます。



トラブルシューティング

問題

次に示すエラー メッセージのいずれか 1 つが表示されます。

error message: "ERROR: Unable to add, access-list config limit reached"
error message: "ERROR: Unable to add, fixup config limit reached occurred"


解決策

このエラー メッセージは、セキュリティ アプライアンスがこのコンテキストの ACL の制限に近いことを示しています。

FWSM がそのリソースを割り当てる方法の詳細は、『仕様』を参照してください。

ルールとメモリ割り当ての間のマッピングは、1 対 1 のマッピングではありません。実際には、ルール、およびハードウェアでのプログラム方法によって異なります。ACE メモリの使用を最大化するために利用できるオプションが 2 つあります。

ACE エントリの簡素化

次に示す推奨事項によって、ACE エントリをまとめて簡素化することができます。

  • 可能であれば、連続したホスト アドレスを使用します。ネットワークへの ACE やオブジェクト グループのホスト設定を集約します。

  • 可能な場合、ホストの代わりにネットワークを使用し、また、ネットワークの代わりに「any」を使用します。

  • オブジェクト グループの簡素化を試みます。これにより、ACL が拡張される場合、ACE を何百も節約できる可能性があります。

    たとえば、個々のポート設定を 1 つの範囲にグループ化します。

メモリ割り当ての再パーティション化

別のオプションとしては、各パーティションの ACE 用に割り当てられたメモリを再度パーティション化します。このオプションでは、FWSM をリブートする必要があります。この方法を使用する場合は注意を払い、現在の ACE に必ず対応するようにしてください。

FWSM では、基本的に ACE に割り当てられるメモリを 12 のパーティションに分け、メモリをそれぞれに割り当てます。これは自動的に実行されます。

バージョン 2.3(2) 以降では、所有しているコンテキストの数に応じてメモリを再割り当てするためにリソース マネージャを使用できます。次の手順を実行します。

  1. 現在のコンテキストの数を判断するには、show context count コマンドを発行します。

  2. この点を設定で確認します。次に、show resource acl-partition コマンドを発行します。

    このコマンドによって、現在のパーティションの数が通知されます。

  3. 定義されたコンテキストよりもパーティションの数の方が多い場合、パーティションとコンテキストの数を一致させるために、resource acl-partition <number-of-partitions> コマンドを発行します。

  4. 設定を保存して FWSM をリブートします。

このコマンドは ACE 用のメモリを少し余分に提供しますが、それで十分かどうかはコンテキストに追加する ACE によります。

この再マッピングの 1 つの欠点は、別のコンテキストを追加する場合に、メモリ マッピングをもう一度再割り当てする必要があることです。このため、各コンテキストに使用できるメモリがさらに小さくなり、現在の ACE 定義が破綻する可能性があります。FWSM に割り当てられるメモリは有限の 20MB であり、これは事前に決定された方式によって、またはこの手動のリソース割り当てによって適宜割り当てられます。この目的のために、モジュールの他の部分からメモリを借用することはできません。




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報




Document ID: 25700