セキュリティ : Cisco IOS ファイアウォール

Cisco IOS ファイアウォールを使用したNATを使用しない 3 インターフェイス ルータの設定

2010 年 7 月 9 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2007 年 2 月 20 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定
      ネットワーク ダイアグラム
      設定
確認
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、インターネットに接続して独自のサーバを実行する中小企業向けの典型的な設定の例を示します。インターネットへの接続はシリアル回線を経由します。イーサネット 0 は内部ネットワーク(単一の LAN)に接続します。イーサネット 1 は「DMZ」ネットワークに接続します。このネットワークには、外部へのサービス提供に使用する単一のノードがあります。ISP からはネットブロック 192.168.27.0/24 が会社に割り当てられています。このネットブロックはサブネット マスク 255.255.255.128 を使用して DMZ と内部 LAN とに均等に分割されています。基本ポリシーを次に示します。

  • 内部ネットワークのユーザがパブリック インターネット上のあらゆるサービスに接続できる。

  • インターネット上の誰もが DMZ サーバ上の WWW、FTP、SMTP の各サービスに接続でき、DMZ サーバに DNS 問い合わせを実行できる。これにより、外部ユーザは会社の Web ページを閲覧したり、外部で利用してもらうために会社が掲載したファイルを選択したり、メールを会社に送信したりできます。

  • 内部ユーザが DMZ サーバ上の POP サービスに接続し(自分のメールを選択するため)、DMZ サーバに Telnet できる(DMZ サーバを管理するため)。

  • DMZ 上からプライベート ネットワークまたはインターネットへの接続をいっさい開始できない。

  • ファイアウォールを経由するすべての接続をプライベート ネットワーク上の SYSLOG サーバで監査する。内部ネットワーク上のコンピュータは DMZ 上の DNS サーバを使用します。すべてのインターフェイス上で入力アクセス リストを使用し、スプーフィングを防ぎます。出力アクセス リストを使用し、どのトラフィックが特定のインターフェイスに送信されるのかを制御します。

Cisco IOS® ファイアウォールを使用して、NAT を使用しない 2 インターフェイス ルータを設定するには、『Cisco IOS ファイアウォールを使用した、NAT を使用しない 2 インターフェイス ルータの設定』を参照してください。

Cisco IOS ファイアウォールを使用して、NAT を使用する 2 インターフェイス ルータを設定するには、『NAT CBAC 設定での 2 インターフェイス ルータ』を参照してください。



前提条件

要件

このドキュメントに関する特別な要件はありません。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS ソフトウェア リリース 12.2(15)T13(ファイアウォール機能セット付き)

  • Cisco 7204 VXR ルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼動中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



設定

このセクションでは、このドキュメントで説明する機能の設定に必要な情報を提供します。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。



ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/13893/cbac3.gif



設定

このドキュメントでは次の設定を使用します。

7204VXR ルータ

version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
logging queue-limit 100
enable secret 5 <something>
!
ip subnet-zero
ip cef
no ip domain lookup
! 
ip inspect audit-trail 
! 

!--- アクティビティがなくなった後、TCP セッションが 
!--- 引き続き管理される時間の長さを設定します。 

! 
ip inspect tcp idle-time 14400 
! 

!--- アクティビティがなくなった後、UDP セッションが 
!--- 引き続き管理される時間の長さを設定します。
 
! 
ip inspect udp idle-time 1800 
! 

!--- アクティビティがなくなった後、DNS 名前参照セッションが   
!--- 引き続き管理される時間の長さを設定します。
 
! 
ip inspect dns-timeout 7 
! 

!--- 検査リスト「standard」を準備します。 
!--- 着信イーサネット 0 および着信シリアルの検査に 
!--- 使用します(両方のインターフェイスに適用されます)。
 
! 
ip inspect name standard cuseeme 
ip inspect name standard ftp 
ip inspect name standard h323 
ip inspect name standard http 
ip inspect name standard rcmd 
ip inspect name standard realaudio 
ip inspect name standard smtp 
ip inspect name standard sqlnet 
ip inspect name standard streamworks 
ip inspect name standard tcp 
ip inspect name standard tftp 
ip inspect name standard udp 
ip inspect name standard vdolive
ip audit notify log
ip audit po max-events 100
!
no voice hpi capture buffer
no voice hpi capture destination
!
mta receive maximum-recipients 0
!

 
interface ethernet 3/0 
ip address 192.168.27.129 255.255.255.128 
! 

!--- 内部ネットワークからの正規のトラフィックをすべて許可し、  
!--- かつスプーフィングを防ぐように、アクセス リストを適用します。  

! 
ip access-group 101 in 
! 

!--- 検査リスト「standard」を適用します。  
!--- 着信イーサネット トラフィックを検査します。この検査により 
!--- アクセス リスト 111 および 121 に一時的なエントリが開きます。 

! 
ip inspect standard in
duplex full 

interface ethernet 3/1 
ip address 192.168.27.1 255.255.255.128 

! 

!--- DMZ トラフィック(スプーフィングを除く)の DMZ インターフェイスへの着信を許可するようにアクセス リストを 
!--- 適用します。DMZ は、Internet Control Message Protocoll(ICMP; インターネット制御メッセージ プロトコル) 
!--- を除く発信トラフィックを開始することはできません。  

! 
ip access-group 111 in 
! 

!--- e1 からの発信トラフィックの検査用の検査リスト「standard」を
!--- 適用します。これにより、アクセス リスト 111 に一時エントリが追加され、 
!--- 戻りトラフィックが可能になり、DMZ 内のサーバを 
!--- Distributed Denial of Service(DDoS;分散型サービス拒否攻撃)攻撃から保護します。

ip inspect standard out
duplex full 
! 
interface serial 2/0 
ip address 10.89.129.194 255.255.255.252 

!--- アクセス リストを適用して、正規のトラフィックを許可します。 

! 
ip access-group 121 in 
serial restart_delay 0
! 
ip classless
no ip http-server 


!--- syslog サーバはこのアドレスにあります。 

logging 192.168.27.131

!--- このコマンドにより、セッション情報 
!--- (アドレスおよびバイト)のロギングが可能です。 

!--- アクセス リスト 20 を使用して、SNMP 経由でアクセスできる  
!--- ネットワーク管理ステーションを制御します。 


! 
access-list 20 permit 192.168.27.5 
! 

!--- アクセス リストを使用して、内部ネットワークからの正規のトラフィックを  
!--- すべて許可し、スプーフィングを防ぎます。内部ネットワークは、 
!--- DMZ 上の 192.168.27.3 の Telnet および POP3 サービスにのみ接続でき、 
!--- DMZ に ping(ICMP)できます。
!--- 必要に応じて、SMTP、WWW などを許可するように 
!--- 追加のエントリを追加できます。さらに、内部ネットワークで 
!--- インターネット上のどんなサービスにも接続できます。  

! 
access-list 101 permit tcp 192.168.27.128 0.0.0.127 host 192.168.27.3 eq pop3 
access-list 101 permit tcp 192.168.27.128 0.0.0.127 host 192.168.27.3 eq telnet 
access-list 101 permit icmp 192.168.27.128 0.0.0.127 192.168.27.0 0.0.0.127  
access-list 101 deny ip 192.168.27.128 0.0.0.127 192.168.27.0 0.0.0.127 
access-list 101 permit ip 192.168.27.128 0.0.0.127 any 
access-list 101 deny ip any any 
! 
! 

!--- アクセス リストを使用して、DMZ からの ping (ICMP)を許可し、 
!--- DMZ からのすべてのトラフィックを拒否します。検査により、 
!--- このエントリに一時的なエントリが開きます。
 
! 
access-list 111 permit icmp 192.168.27.0 0.0.0.127 any 
access-list 111 deny ip any any 
! 
! 
! 

!--- アクセス リスト 121 を使用して、インターネット上の誰でも DMZ ホスト上の 
!--- WWW、FTP、DNS、および SMTP サービスに接続できます。また一部の
!--- ICMP トラフィックが可能です。
 
  
access-list 121 permit udp any host 192.168.27.3 eq domain 
access-list 121 permit tcp any host 192.168.27.3 eq domain 
access-list 121 permit tcp any host 192.168.27.3 eq www 
access-list 121 permit tcp any host 192.168.27.3 eq ftp 
access-list 121 permit tcp any host 192.168.27.3 eq smtp 
access-list 121 permit icmp any 192.168.27.0 0.0.0.255 administratively-prohibited 
access-list 121 permit icmp any 192.168.27.0 0.0.0.255 echo 
access-list 121 permit icmp any 192.168.27.0 0.0.0.255 echo-reply 
access-list 121 permit icmp any 192.168.27.0 0.0.0.255 packet-too-big 
access-list 121 permit icmp any 192.169.27.0 0.0.0.255 time-exceeded 
access-list 121 permit icmp any 192.168.27.0 0.0.0.255 traceroute 
access-list 121 permit icmp any 192.168.27.0 0.0.0.255 unreachable 
access-list 121 deny ip any any 

 ! 

!--- SNMP プロセスにアクセス リスト 20 を適用します。 

! 
snmp-server community secret RO 20
snmp-server enable traps tty
!
call rsvp-sync
!
mgcp profile default
!
dial-peer cor custom
!
gatekeeper shutdown
!
 
line con 0 
   exec-timeout 5 0 
   password 7 14191D1815023F2036 
   login local 
line vty 0 4 
   exec-timeout 5 0 
   password 7 14191D1815023F2036 
   login local 
   length 35 
end 



確認

ここでは、設定が正常に動作していることを確認します。

特定の show コマンドが、アウトプットインタープリタ ツール登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

  • show access-list上の例で設定されたアクセス リストが正しく設定されていることを確認します。

        Router#show access-list
        Standard IP access list 20
               10 permit 192.168.27.5
        Extended IP access list 101
               10 permit tcp 192.168.27.128 0.0.0.127 host 192.168.27.3 eq pop3
               20 permit tcp 192.168.27.128 0.0.0.127 host 192.168.27.3 eq telnet
               30 permit icmp 192.168.27.128 0.0.0.127 192.168.27.0 0.0.0.127
               40 deny ip 192.168.27.128 0.0.0.127 192.168.27.0 0.0.0.127
               50 permit ip 192.168.27.128 0.0.0.127 any
               60 deny ip any any
        Extended IP access list 111
               10 permit icmp 192.168.27.0 0.0.0.127 any
               20 deny ip any any (9 matches)
        Extended IP access list 121
               10 permit udp any host 192.168.27.3 eq domain
               20 permit tcp any host 192.168.27.3 eq domain
               30 permit tcp any host 192.168.27.3 eq www
               40 permit tcp any host 192.168.27.3 eq ftp
               50 permit tcp any host 192.168.27.3 eq smtp
               60 permit icmp any 192.168.27.0 0.0.0.255 administratively-prohibited
               70 permit icmp any 192.168.27.0 0.0.0.255 echo
               80 permit icmp any 192.168.27.0 0.0.0.255 echo-reply
               90 permit icmp any 192.168.27.0 0.0.0.255 packet-too-big
               100 permit icmp any 192.169.27.0 0.0.0.255 time-exceeded
               110 permit icmp any 192.168.27.0 0.0.0.255 traceroute
               120 permit icmp any 192.168.27.0 0.0.0.255 unreachable
               130 deny ip any any (4866 matches)
        Router#
  • show ip audit all:logging コマンドの設定を確認します。

        Router#show ip audit all
        Event notification through syslog is enabled
        Event notification through Net Director is disabled
        Default action(s) for info signatures is alarm
        Default action(s) for attack signatures is alarm
        Default threshold of recipients for spam signature is 250
        PostOffice:HostID:0 OrgID:0 Msg dropped:0
                  :Curr Event Buf Size:0 Configured:100
        Post Office is not enabled - No connections are active
    
        Router#
  • show ip inspect all:Cisco IOS ファイアウォール検査ルールをインターフェイス別に確認します。

        Router#show ip inspect all
            Session audit trail is enabled
            Session alert is enabled
            one-minute (sampling period) thresholds are [400:500] connections
            max-incomplete sessions thresholds are [400:500]
            max-incomplete tcp connections per host is 50. Block-time 0 minute.
            tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
            tcp idle-time is 14400 sec -- udp idle-time is 1800 sec
            dns-timeout is 7 sec
            Inspection Rule Configuration
             Inspection name standard
               cuseeme alert is on audit-trail is on timeout 14400
               ftp alert is on audit-trail is on timeout 14400
               h323 alert is on audit-trail is on timeout 14400
               http alert is on audit-trail is on timeout 14400
               rcmd alert is on audit-trail is on timeout 14400
               realaudio alert is on audit-trail is on timeout 14400
               smtp alert is on audit-trail is on timeout 14400
               sqlnet alert is on audit-trail is on timeout 14400
               streamworks alert is on audit-trail is on timeout 1800
               tcp alert is on audit-trail is on timeout 14400
               tftp alert is on audit-trail is on timeout 1800
               udp alert is on audit-trail is on timeout 1800
               vdolive alert is on audit-trail is on timeout 14400       
        Interface Configuration
             Interface Ethernet3/0
               Inbound inspection rule is standard
                 cuseeme alert is on audit-trail is on timeout 14400
                 ftp alert is on audit-trail is on timeout 14400
                 h323 alert is on audit-trail is on timeout 14400
                 http alert is on audit-trail is on timeout 14400
                 rcmd alert is on audit-trail is on timeout 14400
                 realaudio alert is on audit-trail is on timeout 14400
                 smtp alert is on audit-trail is on timeout 14400
                 sqlnet alert is on audit-trail is on timeout 14400
                 streamworks alert is on audit-trail is on timeout 1800
                 tcp alert is on audit-trail is on timeout 14400
                 tftp alert is on audit-trail is on timeout 1800
                 udp alert is on audit-trail is on timeout 1800
                 vdolive alert is on audit-trail is on timeout 14400
               Outgoing inspection rule is not set
               Inbound access list is 101
               Outgoing access list is not set
             Interface Ethernet3/1
               Inbound inspection rule is not set
               Outgoing inspection rule is standard
                 cuseeme alert is on audit-trail is on timeout 14400
                 ftp alert is on audit-trail is on timeout 14400
                 h323 alert is on audit-trail is on timeout 14400
                 http alert is on audit-trail is on timeout 14400
                 rcmd alert is on audit-trail is on timeout 14400
                 realaudio alert is on audit-trail is on timeout 14400
                 smtp alert is on audit-trail is on timeout 14400
                 sqlnet alert is on audit-trail is on timeout 14400
                 streamworks alert is on audit-trail is on timeout 1800
                 tcp alert is on audit-trail is on timeout 14400
                 tftp alert is on audit-trail is on timeout 1800
                 udp alert is on audit-trail is on timeout 1800
                 vdolive alert is on audit-trail is on timeout 14400
               Inbound access list is 111
               Outgoing access list is not set
        Router#


トラブルシューティング

IOS ファイアウォール ルータを設定した後、接続が機能しない場合は、インターフェイス上で ip inspect (name defined) in or out コマンドによる検査を有効にしてあることを確認してください。この設定では、ip inspect standard in がインターフェイス イーサネット 3/0 に適用され、ip inspect standard out がインターフェイス イーサネット 3/1 に適用されています。

トラブルシューティングの詳細については、『CBAC 設定のトラブルシューティング』を参照してください。



関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報




Document ID: 13893