セキュリティ : Cisco IOS ファイアウォール

Cisco IOS ファイアウォールを使用して、既知のサイトでは Java アプレットを許可し、ほかのサイトでは拒否する

2002 年 5 月 7 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 8 月 15 日) | フィードバック

目次


概要

このサンプル構成では、Cisco IOS ファイアウォールの Context-based Access Control(CBAC; コンテキストベース アクセス制御)機能を使用して、インターネットの指定したサイトで Java アプレットを許可し、ほかのすべてのサイトで拒否する方法を示します。この種類のブロッキングは、アーカイブ ファイルまたは圧縮ファイルに埋め込まれていない Java アプレットへのアクセスを拒否します。Cisco IOS ファイアウォールは、11.3.3.T と 12.0.5.T で導入され、特定の機能セットを購入した場合にだけ利用できます。

ソフトウェア アドバイザを使用して、IOS ファイアウォールをサポートしている Cisco IOS 機能セットを確認できます。ソフトウェア アドバイザは、シスコの「セキュリティ技術用の TAC ツール」ページからリンクされています。ソフトウェア アドバイザを使用するには、登録ユーザであり、ログインしている必要があります。

インターネットで Java アプレットを拒否するには

  1. access control list(ACL; アクセス コントロール リスト)を作成します。

  2. 構成に ip inspect http java コマンドを追加します。

  3. 外部インターフェイスに ip inspect コマンドと access-list コマンドを適用します。

注: この例で、ACL 3 はフレンドリ サイト(216.157.100.247)の Java を許可し、ほかのサイトの Java を黙示的に拒否します。この例は実験環境で構成およびテストされたため、ルータの外部に表示されるアドレスは、インターネットでルーティングできません。

ハードウェアとソフトウェアのバージョン

この構成は、次のソフトウェアとハードウェアのバージョンを使用して開発およびテストしました。

  • Cisco 1700 ルータ
  • Cisco IOS ソフトウェア バージョン c1700-o3sy756i-mz.121-5.yB1.bin

ネットワーク ダイアグラム

ネットワーク ダイアグラム

ルータ A 構成
Current configuration : 1110 bytes

!

version 12.1

no service single-slot-reload-enable

service timestamps debug uptime

service timestamps log uptime



no service password-encryption

!

hostname spock

!

no logging buffered

logging rate-limit console 10 except errors

!

memory-size iomem 25

ip subnet-zero

!

no ip finger

no ip domain-lookup

!

ip inspect name firewall tcp

ip inspect name firewall udp

!--- Java に使用する ACL

ip inspect name firewall http java-list 3 audit-trail on

ip audit notify log

ip audit po max-events 100

no ip dhcp-client network-discovery

!

interface Ethernet0

ip address 192.168.10.1 255.255.255.0

ip nat inside

half-duplex

!

interface FastEthernet0

ip address 10.64.10.18 255.255.255.224

!--- 検査によって許可されるトラフィックを除き、

!--- 着信トラフィックをブロックするために使用する ACL

ip access-group 100 in

ip nat outside

ip inspect firewall out

speed auto

half-duplex

!

!--- NAT に使用する ACL

ip nat inside source list 1 interface FastEthernet0 overload

ip classless

ip route 0.0.0.0 0.0.0.0 10.64.10.1

no ip http server

!

!--- NAT に使用する ACL

access-list 1 permit 192.168.10.0 0.0.0.255

!--- Java に使用する ACL

access-list 3 permit 216.157.100.247

!--- 検査によって許可されるトラフィックを除き、

!--- 着信トラフィックをブロックするために使用する ACL

access-list 100 deny ip any any

!

line con 0

exec-timeout 0 0

transport input none

line aux 0

line vty 0 4

login

!

end

debug コマンドと show コマンド

debug コマンドを使用する前に、「debug コマンドに関する重要情報」を参照してください。

  • no ip inspect alert-off - CBAC アラート メッセージを有効にします。http 拒否が構成されている場合は、コンソールで表示できます。

  • debug ip inspect - CBAC イベントに関するメッセージを表示します。

  • show ip inspect sessions [detail] - CBAC によって現在追跡および検査されている既存のセッションを表示します。オプションのキーワード detail は、これらのセッションに関する追加情報を表示します。

サンプル デバッグ出力

次に、216.157.100.247 および 207.207.217.230 で Web サーバに接続を試みた後の debug ip inspect detail コマンドのサンプル デバッグ出力を示します。これはフレンドリ Java および(ACL の定義に従って)非フレンドリ サイトからブロックされる Java で予測されるデバッグを示します。

spock#
00:35:17: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1771) sent 255 bytes -- responder (216.157.100.247:80) sent 4072 bytes 00:35:18: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1772) sent 343 bytes -- responder (216.157.100.247:80) sent 204 bytes 00:35:18: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1773) sent 344 bytes -- responder (216.157.100.247:80) sent 204 bytes 00:35:19: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1774) sent 343 bytes -- responder (216.157.100.247:80) sent 204 bytes 00:35:19: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1775) sent 344 bytes -- responder (216.157.100.247:80) sent 0 bytes 00:35:32: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1777) sent 360 bytes -- responder (216.157.100.247:80) sent 206 bytes 00:35:32: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1776) sent 265 bytes -- responder (216.157.100.247:80) sent 16906 bytes 00:35:33: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1780) sent 369 bytes -- responder (216.157.100.247:80) sent 206 bytes 00:35:33: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1784) sent 354 bytes -- responder (216.157.100.247:80) sent 205 bytes 00:35:34: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1788) sent 309 bytes -- responder (216.157.100.247:80) sent 206 bytes 00:35:34: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1787) sent 294 bytes -- responder (216.157.100.247:80) sent 206 bytes 00:35:34: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1794) sent 315 bytes -- responder (216.157.100.247:80) sent 205 bytes 00:35:34: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1795) sent 314 bytes -- responder (216.157.100.247:80) sent 205 bytes 00:35:35: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1796) sent 315 bytes -- responder (216.157.100.247:80) sent 205 bytes 00:35:35: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1797) sent 316 bytes -- responder (216.157.100.247:80) sent 205 bytes 00:35:36: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1798) sent 316 bytes -- responder (216.157.100.247:80) sent 205 bytes 00:35:42: %FW-3-HTTP_JAVA_BLOCK: JAVA applet is blocked from (207.207.217.230:80) to (192.168.10.2:1804). 00:35:42: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1804) sent 215 bytes -- responder (207.207.217.230:80) sent 0 bytes 00:35:44: %FW-3-HTTP_JAVA_BLOCK: JAVA applet is blocked from (207.207.217.230:80) to (192.168.10.2:1808). 00:35:44: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1808) sent 215 bytes -- responder (207.207.217.230:80) sent 0 bytes 00:35:46: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1801) sent 285 bytes -- responder (207.207.217.230:80) sent 211 bytes 00:35:46: %FW-3-HTTP_JAVA_BLOCK: JAVA applet is blocked from (207.207.217.230:80) to (192.168.10.2:1812). 00:35:46: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1812) sent 215 bytes -- responder (207.207.217.230:80) sent 0 bytes 00:35:46: %FW-6-SESS_AUDIT_TRAIL: http session initiator (192.168.10.2:1803) sent 362 bytes -- responder (207.207.217.230:80) sent 162 bytes 00:35:47: %FW-3-HTTP_JAVA_BLOCK: JAVA applet is blocked from (207.207.217.230:80) to (192.168.10.2:1815).


ツール情報

詳細については、シスコの「セキュリティ技術用の TAC ツール」を参照してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13815