セキュリティ : Cisco IOS ファイアウォール

Cisco IOS Zone-Based ファイアウォール: HQ の CCM に対する SIP トランクがある CME/CUE/GW の 1 つの場所またはブランチ オフィス

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

Cisco 統合サービス ルータ(ISR)はアプリケーションの広範囲のためのデータ および 音声ネットワーク必要条件を処理するためにスケーラブル な プラットフォームを提供します。 私用およびインターネットに接続されした ネットワークの脅威状況が非常に動的環境であるが、Cisco IOS か。 ビジネス機能および継続を有効に するがファイアウォール オファー ステートフル 点検およびセキュア ネットワーク ポスチャを定義し、実施するアプリケーション インスペクションおよびコントロール(AIC)機能。

このドキュメントでは、特定の Cisco ISR ベースのデータおよび音声アプリケーションのシナリオに関して、ファイアウォール セキュリティの設計および設定の考慮事項について説明します。 音声 サービスのためのコンフィギュレーションおよびファイアウォールは各アプリケーション シナリオに提供されます。 各シナリオは VoIP およびセキュリティとコンフィギュレーションを、全体のルータコンフィギュレーションによって続かれて別々に説明します。 ネットワークはサービスのために可能性のある他の設定が、QoS および VPN のような音声クオリティおよび機密保持を維持するように要求できます。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

IOSファイアウォール バックグラウンド

Cisco IOS ファイアウォールはアプライアンス ファイアウォールの配置 モ デルと異なるアプリケーション シナリオで一般的に展開されます。 典型的な導入には、少ないデバイス数、複数サービスの統合、低いパフォーマンスとセキュリティ機能深度が好まれる、在宅勤務者アプリケーション、小規模オフィスやブランチオフィスのサイト、およびリテール アプリケーションが含まれます。

ISR 製品の他の統合サービスと共にファイアウォール インスペクションのアプリケーションが、コストおよび操作上観点から魅力的なようであることができる間、ルータ ベース ファイアウォールが適切だったかどうか確認するために特定の考慮事項は評価する必要があります。 各追加機能のアプリケーションは動力不足の統合されたルータベースのソリューションが展開される場合メモリおよび加工費を負い、ピーク負荷の期間内の機能対応の減らされたフォワーディング処理量レート、高められたパケット遅延および損失に多分貢献できます。 ルータとアプライアンスの間で判断を下す場合は、次のガイドラインに従ってください。

  • 有効に なる複数の統合された機能を持つルータは少数のデバイスがよりよいソリューションを提供するブランチ オフィスか在宅勤務者サイトに最も適しています。

  • アプライアンスによって当たる 高帯域幅の、高性能アプリケーションは一般的によりよいです; ルータは QoS ポリシー アプリケーション、WAN 終了およびサイト間VPN 接続要件を処理するが Cisco ASA および Cisco Unified Call Manager サーバは NAT およびセキュリティポリシー アプリケーションおよびコール処理処理するために適用する必要があります。

Cisco IOS ソフトウェア バージョン 12.4(20)T の概要前に、標準的なファイアウォールがおよびゾーン ベースのポリシー ファイアウォール(ZFW)は VOIPトラフィックおよび音声トラフィックに対応する別の方法でセキュア ファイアウォール ポリシーの必須大きいギャップおよび展開 VoIP シグナリングおよびメディア プロトコルのための提供された限られたサポート ルータ ベース 音声 サービスに必要な機能をフルサポートすることができませんでした。

導入 Cisco IOS ゾーン ベースのポリシー ファイアウォール

Cisco IOS 他のファイアウォールと同じようなゾーン ベースのポリシー ファイアウォールはネットワークのセキュリティ要件がセキュリティポリシーによって識別され、記述されていればときだけセキュア ファイアウォールを提供できます。 セキュリティ ポリシーに対する 2 つの基本的なアプローチは次のとおりです。 疑わしい観点に対する信頼観点。

信頼観点はすべてのトラフィックが信頼できる、但し例外としては悪意のあるか不必要ようにとりわけ識別することができると仮定します。 不要なトラフィックのみを拒否する特定のポリシーが実装されます。 これは使用特定のアクセス制御エントリまたはシグニチャまたは動作ベースのツールを通して一般的に堪能です。 このアプローチは現われると同時に現存するアプリケーションとより少なく干渉しがちですが脅威および脆弱性状況の広範囲のナレッジを必要とし、一定した警戒を新しい脅威およびエクスプロイトを当たるように要求します。 さらに、ユーザコミュニティは十分なセキュリティのメンテナンスの大きい役割を果す必要があります。 利用者に対する制限が少なく、自由度の高い環境では、多くの場合、不注意または悪意のある人物によって問題が引き起こされます。 このアプローチのさらなる問題点は、すべてのネットワーク トラフィック内の疑わしいデータのモニタとコントロールを可能にするための、十分な柔軟性と性能を提供する効率的な管理ツールとアプリケーション制御への依存度がさらに増す点です。 現在は、この点に対応するためのテクノロジーがありますが、多くの場合、運用上の負担はほとんどの組織の限界を超えています。

疑わしい観点はすべてのネットワークトラフィックが望ましくないと、仮定しますとりわけ識別されたよいトラフィックを除いて。 適用するすべてのアプリケーショントラフィックを拒否する、但し例外としては明示的に割り当てられる、それはポリシーです。 さらに、アプリケーションよいアプリケーションを不正利用するためにとりわけ細工 される インスペクションおよび制御(AIC)は悪意のあるよいトラフィックをマスカレードするトラフィックを、また不必要なトラフィックを識別し、拒否するために設定することができます。 再度、アプリケーション制御はネットワークにほとんどの望ましくないトラフィックがステートレス フィルターによって、アクセス コントロール リスト(ACL)またはゾーン ベースのポリシー ファイアウォール(ZFW)ポリシーのような制御する必要があるが操作上およびパフォーマンス重荷をそうそこにです大幅に適用範囲が広いパケット一致(FPM)または Network-Based Application Recognition (NBAR)のような AIC、侵入防御システム(IPS)、または他のシグニチャ ベースの制御によって、処理する必要があるより少ないトラフィック課します。 既知 制御接続かセッションから起こる望ましいアプリケーションポート(およびダイナミック メディア対応トラフィックだけ)とりわけ許可される場合、ネットワークにある唯一の不必要なトラフィックは仕様に、望ましくないトラフィックの制御を保持するために課されるエンジニアリングおよび操作上重荷を減らすより多くの容易認識されたサブセット落ちる必要があります。

この資料は音声ネットワーク セグメントで許されている割り当てられる疑わしい観点に基づいて VoIP セキュリティとコンフィギュレーションをトラフィックだけそう説明したものです。 データ ポリシーは各アプリケーション シナリオの設定でメモによって記述されているように任意でありがちです。

すべてのセキュリティ ポリシーの導入は、クローズドループ フィードバック サイクルに従う必要があります。 セキュリティ配置は一般的に現存するアプリケーションの機能および機能性に影響を与え、この影響を最小限に抑えるか、または解決するために調節する必要があります。

追加バックグラウンドがゾーン ベースのポリシー ファイアウォールを設定することを必要とする場合ゾーン ファイアウォール 設計およびアプリケーション ガイドを検討して下さい。

VoIP 環境内の ZFW の考慮事項

ゾーン ファイアウォール 設計およびアプリケーションはルータの自己 ゾーンに出入してオファーをセキュリティポリシーの使用のルータセキュリティについての簡潔な検討ガイドします、またさまざまなネットワーク基礎 保護(NFP)によって提供される代替機能は特色になります。 ルータ ベース VoIP 機能はルータの自己 ゾーンの内で、そうルータを音声トラフィックのための必要条件に起き、Cisco Unified CallManager Express、Survivable Remote Site Telephony および音声ゲートウェイ リソースに向かう音声シグナリングおよびメディアを取り扱うためなる保護しなさいセキュリティポリシー ホストされます。 Cisco IOS ソフトウェア バージョン 12.4(20)T 前に、標準的なファイアウォールおよびゾーン ベースのポリシー ファイアウォールは十分に VOIPトラフィックの要件を取り扱うことができませんでした完全にリソースを保護するために従ってファイアウォール ポリシーは最適化されませんでした。 ルータ ベース VoIP リソースを保護する自己ゾーン セキュリティポリシーは 12.4(20)T でもたらされる機能にとても依存します。

IOSファイアウォール 音声機能

Cisco IOS ソフトウェア リリース 12.4(20)T は共存するゾーン ファイアウォールおよび音声 機能を有効に するために複数の機能拡張をもたらしました。 3 つの主要機能は、セキュアな音声アプリケーションに直接適用されます。

  • SIP の機能強化: アプリケーション層ゲートウェイおよび Application Inspection and Control

    • RFC 3261 で定義されている、SIPv2 への SIP バージョンのサポートを更新

    • より広範なコール フローを認識するために、SIP シグナリングのサポートを拡大

    • 固有のアプリケーションレベルの脆弱性およびエクスプロイトに対応するためのきめ細かい制御を適用するために、SIP Application Inspection and Control(AIC)を導入

    • 自己ゾーン インスペクションをローカルで送信先起こされた SIP トラフィックに起因するセカンダリ シグナリングをおよびメディア チャネルを認識ことできるために拡張します

  • スキニー ローカル トラフィックおよび CME のためのサポート

    • バージョン 16 に対する SCCP のサポートを更新(以前のサポート バージョンは 9)

    • 固有のアプリケーションレベルの脆弱性およびエクスプロイトに対応するためのきめ細かい制御を適用するために、SCCP Application Inspection and Control(AIC)を導入

    • 自己ゾーン インスペクションをローカルで送信先起こされた SCCP トラフィックに起因するセカンダリ シグナリングをおよびメディア チャネルを認識ことできるために拡張します

  • バージョン 3 および 4 のための H.323 サポート

    • バージョン 3 および 4 へのアップデート H.323 サポート(以前に サポート対象バージョン 1 および 2)

    • 固有のアプリケーションレベルの脆弱性およびエクスプロイトに対応するためのきめ細かい制御を適用するために、H.323 Application Inspection and Control(AIC)を導入

この資料に説明があるルータセキュリティ コンフィギュレーションはポリシーによって適用される操作を記述するために説明を含むこれらの機能拡張によって提供される機能が含まれています。 個々 の 機能 文書へのハイパーリンクは音声 インスペクション 機能のための完全な詳細を検討したい場合この資料の関連情報セクションで利用できます。

警告

上記されるポイントを Cisco IOS ファイアウォールのアプリケーションはルータ ベース 音声 機能と補強するためにゾーン ベースのポリシー ファイアウォールを適用する必要があります。 標準的な IOSファイアウォールは音声トラフィックのシグナリング複雑な状況か動作をフルサポートするために必要な機能が含まれていません。

Network Address Translation(NAT;ネットワーク アドレス変換)

Cisco IOS Network Address Translation は Cisco IOS ファイアウォールと同時に頻繁に特に IPアドレス空間がオーバーラップすれば特にプライベート ネットワークがインターネットとインターフェイス接続する場合全く異種プライベート ネットワークが接続する必要があれば、設定されます。 Cisco IOSソフトウェアは SIP、Skinny および H.323 のための NAT アプリケーション層ゲートウェイ(ALGs)が含まれています。 理想的には、IP 音声のためのネットワーク接続は NAT のアプリケーションなしで特に NAT overload 設定が使用されれば NAT がトラブルシューティングおよびセキュリティポリシー アプリケーションに追加複雑な状況をもたらすので取り扱うことができます。 ネットワーク接続問題を当たるためにだけ NAT はように最後ケース ソリューション適用することができます。

Cisco Unified Presence クライアント(CUPC)

この資料は CUPC がゾーンか標準的なファイアウォールによってまだサポートされていないので設定を説明しないものです Cisco IOS ソフトウェア リリース 12.4(20)T1 現在で IOSファイアウォールを持つ Cisco Unified Presence クライアント(CUPC)の使用を、サポートする。 CUPC は Cisco IOSソフトウェアの将来のリリースでサポートされます。

HQ または音声 プロバイダの CCM への SIP トランクの CME/CUE/GW 単一 サイトかブランチ オフィス

このシナリオはこの資料に先に説明があるシングル サイト/分散コール processing/PSTN 接続されたモデル間の侵害を(PSTN に接続するブランチ オフィスか CME/CUE/GW 単一 サイト)提供し、マルチサイト/集中呼処理は/音声 および データ ネットワークこの資料に説明があった第 3 シナリオで定義されたコンバージしました。 このシナリオはまだ地元のCisco によって統一される CallManager Express を使用しますが、長距離ダイヤリングおよび HQ/remote サイト テレフォニーはローカル PSTN 接続を通ってダイヤルしていてローカル ダイヤルおよび緊急事態がサイト間の SIP トランクを通して主に、取り扱われます。 レガシー PSTN 接続の大半が取除かれればダイヤル プランによって記述されているように、またローカル エリア ダイヤルを取り扱うために、PSTN キャパシティの基本的なレベルはダイヤルしている WAN ベース Toll Bypass の失敗推奨されます。 また、一般的に、各地域の法律では、緊急(911)ダイヤルに対応するために、何らかのローカル PSTN 接続を提供することが求められます。 このシナリオは利点を提供し、Cisco Unified CallManager Express SRND に記述されているように最良 の 方法を観察する分散コール処理を用います。

組織はアプリケーション シナリオのこの型をこのような状況で設定できます:

  • 全く異種 VoIP 環境はサイトの間で使用されますが、VoIP はまだ長距離 PSTN の代わりに望まれます。

  • サイトごとの自主性はダイヤルプラン 管理のために必要です。

  • 完全なコール処理 機能は WAN アベイラビリティに関係なく必要です。

シナリオのバックグラウンド

アプリケーション シナリオは配線された電話(voice VLAN)、配線された(VOIPデバイスを含む PC を(データVLAN)、およびワイヤレス デバイス、IP 伝達者のような統合します)。

セキュリティとコンフィギュレーションはこれらを提供します:

  1. ルータ始められるインスペクションにと地域電話(SCCP および SIP)および CME およびリモート CUCM クラスタ(SIP) CME の間で信号を送ります。

  2. これら間の通信のための音声メディア ピンホール:

    1. ローカルの有線およびワイヤレス セグメント

    2. MoH のための CME および地域電話

    3. 音声メールのためのキューおよび地域電話

    4. 電話およびリモート呼び出しエンティティ

  3. これらを実現させるために適用することができるコントロール(AIC)、およびアプリケーション インスペクション:

    1. 招待メッセージのレート制限

    2. すべての SIP トラフィックのプロトコル準拠を保証して下さい

長所/短所

このアプリケーションは WAN データ・リンクのサイト間の音声トラフィックを運ぶので削減されたコストの利点を提供します。

このシナリオの短所は WAN 接続のためのより多くの詳細 な 計画が必要となることです。 サイト間のコール品質は不法/不必要なトラフィック(ワーム、ウイルス、ピアツーピア な ファイル共有)のような WAN の多くのファクタから、影響を受ける場合がありますまたは困難に搬送ネットワークのトラフィック処理の結果として起こることができるレイテンシの問題を明らかにして下さい。 WAN 接続は両方のための十分 な 帯域幅に音声 および データ トラフィックを提供するために適切に大きさで分類する必要があります; より少ない待ち時間に敏感なデータトラフィックは、たとえば、QoS のための低優先順位 トラフィックとして電子メール、SMB/CIFS ファイル トラフィック、音声クオリティを維持するために分類することができます。

このシナリオにおいての別の問題はトラブルシューティング 呼処理失敗で起こることができる集中呼処理および問題の欠如です。 そのように、このシナリオによっては集中呼処理に移行の中間ステップとしてより大きい組織のための推奨が機能します。 Cisco Unified CallManager への移行として完全特色にされた SRST フォールバックが完了すると同時に地元のCisco CMEs は機能するために変換することができます。

セキュリティ見通しから、この環境のより複雑な状況は特にセキュリティポリシーが小さい制約事項が WAN 上のトラフィックに課される信頼観点を必要とすれば WAN、または公衆インターネットの VPN 上の接続が、脅威 環境を大幅に増加するので有効なセキュリティインプリメンテーションおよびより困難解決することをします。 これを念頭において、この資料によって提供される設定例はより疑わしい ポリシーを設定しますプロトコル準拠チェックによって検査される特定のビジネス クリティカル な トラフィックを可能にする。 なお、特定の VoIP 操作は、すなわち、SIP 誘いましたり、VoIP リソースおよび操作性に悪影響を及ぼす悪意のあるか無意識ソフトウェア機能不全の確率を下げるために制限されます。

設定

データ ポリシーのためのコンフィギュレーション、ゾーン ベースのファイアウォール、音声 セキュリティ、CCME

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/108013/secure-uc-iosfw-cme-cue-cucm-1.gif

設定

ここに説明される設定は Cisco 2851 サービス統合型ルータを説明します。

このドキュメントでは、次の設定を使用します。

  • CME およびキュー接続のための音声 サービス 設定

  • ゾーン ベースのポリシー ファイアウォール構成

  • セキュリティ設定

これは CME およびキュー接続のための音声 サービス 設定です:

CME およびキュー接続のための音声 サービス 設定

!

telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13

!

これは配線されたおよび Wireless LAN セグメントのためのセキュリティ ゾーンで構成されるゾーン ベースのポリシー ファイアウォール構成プライベートLAN (配線されたワイヤレス セグメントで構成される)、信頼された WAN 接続が達する、およびルータの音声リソースが見つけられる自己 ゾーンです WAN セグメント:

/image/gif/paws/108013/secure-uc-iosfw-cme-cue-cucm-2.gif

これはセキュリティとコンフィギュレーションです:

セキュリティ設定
class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp

!
!

policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass

!

zone security private
zone security public
zone security wired
zone security wireless

!

zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap

!
!
!

interface GigabitEthernet0/0
 ip virtual-reassembly
 zone-member security eng

Entire router configuration:

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption

!

hostname 2851-cme2

!
!

logging message-counter syslog
logging buffered 51200 warnings

!

no aaa new-model
clock timezone mst -7
clock summer-time mdt recurring

!

dot11 syslog
ip source-route

!
!

ip cef
no ip dhcp use vrf connected

!

ip dhcp pool pub-112-net
   network 172.17.112.0 255.255.255.0
   default-router 172.17.112.1
   dns-server 172.16.1.22
   option 150 ip 172.16.1.43
   domain-name bldrtme.com

!

ip dhcp pool priv-112-net
   network 192.168.112.0 255.255.255.0
   default-router 192.168.112.1
   dns-server 172.16.1.22
   domain-name bldrtme.com
   option 150 ip 192.168.112.1

!
!

ip domain name yourdomain.com

!

no ipv6 cef
multilink bundle-name authenticated

!
!
!
!

voice translation-rule 1
 rule 1 // /1001/

!
!

voice translation-profile default
 translate called 1

!
!

voice-card 0
 no dspfarm

!
!
!
!
!

interface GigabitEthernet0/0
 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
 ip address 172.16.112.10 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto

!

interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto

!

interface GigabitEthernet0/1.132
 encapsulation dot1Q 132
 ip address 172.17.112.1 255.255.255.0

!

interface GigabitEthernet0/1.152
 encapsulation dot1Q 152
 ip address 192.168.112.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

!

interface FastEthernet0/2/0

!

interface FastEthernet0/2/1

!

interface FastEthernet0/2/2

!

interface FastEthernet0/2/3

!

interface Vlan1
 ip address 198.41.9.15 255.255.255.0

!

router eigrp 1
 network 172.16.112.0 0.0.0.255
 network 172.17.112.0 0.0.0.255
 no auto-summary

!

ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip http path flash:/gui

!
!

ip nat inside source list 111 interface 
   GigabitEthernet0/0 overload

!

access-list 23 permit 10.10.10.0 0.0.0.7
access-list 111 deny   
   ip 192.168.112.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 111 permit ip 192.168.112.0 0.0.0.255 any

!
!
!
!
!
!

tftp-server flash:/phone/7940-7960/
   P00308000400.bin alias P00308000400.bin
tftp-server flash:/phone/7940-7960/
   P00308000400.loads alias P00308000400.loads
tftp-server flash:/phone/7940-7960/
   P00308000400.sb2 alias P00308000400.sb2
tftp-server flash:/phone/7940-7960/
   P00308000400.sbn alias P00308000400.sbn

!

control-plane

!
!
!

voice-port 0/0/0
 connection plar 3035452366
 description 303-545-2366
 caller-id enable

!

voice-port 0/0/1
 description FXO

!

voice-port 0/1/0
 description FXS

!

voice-port 0/1/1
 description FXS

!
!
!
!
!

dial-peer voice 804 voip
 destination-pattern 5251...
 session target ipv4:172.16.111.10

!

dial-peer voice 50 pots
 destination-pattern A0
 port 0/0/0
 no sip-register

!
!
!
!

telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 
   7960 Jun 10 2008 15:47:13

!
!

ephone-dn  1
 number 1001
 trunk A0

!
!

ephone-dn  2
 number 1002

!
!

ephone-dn  3
 number 3035452366
 label 2366
 trunk A0

!
!

ephone  1
 device-security-mode none
 mac-address 0003.6BC9.7737
 type 7960
 button  1:1 2:2 3:3

!
!
!

ephone  2
 device-security-mode none
 mac-address 0003.6BC9.80CE
 type 7960
 button  1:2 2:1 3:3

!
!
!

ephone  5
 device-security-mode none

!
!
!

line con 0
 exec-timeout 0 0
 login local
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
line vty 5 15
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh

!

exception data-corruption buffer truncate
scheduler allocate 20000 1000
ntp server 172.16.1.1
end

プロビジョニングするは、管理し、監察します

Cisco Configuration Professional(CCP)と取り扱われるルータ ベース IP テレフォニー リソースおよびゾーン ベースのポリシー ファイアウォール両方のためのプロビジョニングするおよび設定は一般に最もよいです。 Cisco Secure マネージャはゾーン ベースのポリシー ファイアウォールかルータ ベース IP テレフォニーをサポートしません。

Cisco IOS 標準的なファイアウォールは Cisco Unified ファイアウォール MIB の SNMP モニタリングをサポートしますが、ゾーン ベースのポリシー ファイアウォールは統一されたファイアウォール MIB でまだサポートされていません。 そのように、ファイアウォール モニタリングはルータの、または Cisco Configuration Professional(CCP)のような GUI ツールが付いているコマンドラインインターフェイスの統計情報によって、処理する必要があります。

ゾーン ベースのポリシー ファイアウォールのための監察するおよび報告制度(CS-MARS)オファー基本的 な サポート Cisco Secure は CS-MARS でトラフィックにログメッセージ相関を改善した変更を記録 して、12.4(15)T4/T5 および 12.4(20)T で設定された、まだフルサポートされませんでしたが。

キャパシティ計画

インドからのファイアウォール コール インスペクション 性能試験結果は TBD です。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

Cisco IOS ゾーン ファイアウォールはファイアウォールのアクティビティを表示し、監視し、解決する show および debug コマンドを提供します。 このセクションはテクニカル サポートとの議論が詳細な情報を必要とする場合ゾーン ファイアウォールの debug コマンドに基本的なファイアウォール アクティビティを、および概要を監視する show コマンドの使用 設定をトラブルシューティングするまたは記述します。

トラブルシューティングのためのコマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

Cisco IOS ファイアウォールはセキュリティポリシー 設定およびアクティビティを表示する複数の show コマンドを提供します。 これらのコマンドの多数は alias コマンドのアプリケーションによるより短いコマンドで取り替えることができます。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

Debug コマンドは場合もあります役立つ非定型かサポートされていない設定を使用していれば、および相互運用性 の 問題を解決する Cisco TAC か他の製品のテクニカルサポート サービスとはたらく必要がある。

特定の機能への debug コマンドまたはトラフィックのアプリケーションにより非常に多くのコンソールメッセージを引き起こす場合がありますルータコンソールが無理解になります。 そのでは Telnet ウィンドウのような代替コマンドラインインターフェイス アクセスを監視しないターミナル ダイアログを、提供できますデバッグする必要があります。 デバッグが大幅にルータパフォーマンスに影響を及ぼす場合があるのでだけオフ・ライン(ラボ 環境)機器のまたは予定されたメンテナンス ウィンドウ内のデバッグを有効に して下さい。


関連情報


Document ID: 108013