Catalyst 6500 シリーズ スイッチ/Cisco 7600 シ リーズ ルータ Firewall Services Module コンフィ ギュレーション ガイド(CLI を使用)
ファイアウォール モードの設定
ファイアウォール モードの設定
発行日;2012/02/03 | 英語版ドキュメント(2010/11/04 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 13MB) | フィードバック

目次

ファイアウォール モードの設定

ルーテッド モードの概要

IP ルーティング サポート

ルーテッド ファイアウォール モードで を通過するデータ

内部ユーザによる Web サーバ アクセス

外部ユーザによる DMZ 上の Web サーバ アクセス

内部ユーザによる DMZ 上の Web サーバ アクセス

外部ユーザによる内部ホストへのアクセス試行

DMZ ユーザによる内部ホストへのアクセス試行

トランスペアレント モードの概要

トランスペアレント ファイアウォール ネットワーク

ブリッジ グループ

レイヤ 3 トラフィックの許可

許可された MAC アドレス

ルーテッド モードでは許可されないトラフィックの通過許可

MAC アドレス検索とルート検索

ネットワークでのトランスペアレント ファイアウォールの使用例

トランスペアレント ファイアウォールの注意事項

トランスペアレント モードでサポートされていない機能

トランスペアレント ファイアウォールを通過するデータ

内部ユーザによる Web サーバ アクセス

NAT を使用した場合の内部ユーザによる Web サーバ アクセス

外部ユーザによる内部ネットワーク上の Web サーバ アクセス

外部ユーザによる内部ホストへのアクセス試行

トランスペアレント ファイアウォール モードまたはルーテッド ファイアウォール モードの設定

ファイアウォール モードの設定

この章では、ファイアウォール モードの設定方法、および各ファイアウォール モードでファイアウォールがどのように機能するかについて説明します。マルチコンテキスト モードでは、コンテキストごとに別個にファイアウォール モードを設定できます。

FWSM(またはマルチモードでの各コンテキスト)は、2 種類のファイアウォール モードのいずれかで動作可能です。

ルーテッド モード

トランスペアレント モード

この章では、次の内容について説明します。

「ルーテッド モードの概要」

「トランスペアレント モードの概要」

「トランスペアレント ファイアウォール モードまたはルーテッド ファイアウォール モードの設定」

ルーテッド モードの概要

ルーテッド モードの場合、FWSM はネットワーク上のルータ ホップと見なされます。OSPF またはパッシブ RIP を使用できます(シングルコンテキスト モード限定)。ルーテッド モードは、異なるサブネット上にある複数のインターフェイスをサポートします。一定の制限のもとに、コンテキスト間でインターフェイスを共有できます。

「IP ルーティング サポート」

「ルーテッド ファイアウォール モードで FWSM を通過するデータ」

IP ルーティング サポート

FWSM は、接続されたネットワーク間でルータとして動作します。各インターフェイスには、異なるサブネット上の IP アドレスが必要です。シングルコンテキスト モードの場合、ルーテッド ファイアウォールは OSPF および RIP(パッシブ モード)をサポートします。マルチコンテキスト モードがサポートするのは、スタティック ルートだけです。広範なルーティング ニーズに対応するには、FWSM に依存するのではなく、アップストリームおよびダウンストリーム ルータの高度なルーティング機能を使用することを推奨します。

ルーテッド ファイアウォール モードで FWSM を通過するデータ

ここでは、ルーテッド ファイアウォール モードにおいて、データが FWSM をどのように通過するかについて説明します。内容は次のとおりです。

「内部ユーザによる Web サーバ アクセス」

「外部ユーザによる DMZ 上の Web サーバ アクセス」

「内部ユーザによる DMZ 上の Web サーバ アクセス」

「外部ユーザによる内部ホストへのアクセス試行」

「DMZ ユーザによる内部ホストへのアクセス試行」

内部ユーザによる Web サーバ アクセス

図 5-1 に、内部ユーザが外部の Web サーバにアクセスする例を示します。

図 5-1 内部から外部

 

データが FWSM を通過する順序は、次のとおりです(図 5-1 を参照)。

1. 内部ネットワーク上のユーザが www.example.com に Web ページを要求します。

2. FWSM がパケットを受信します。新しいセッションなので、FWSM はセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に基づいて、そのパケットが許可されるかどうかを検証します。

マルチコンテキスト モードの場合、FWSM はまず固有のインターフェイスまたはコンテキストに対応付けられた固有の宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストのアドレス変換を照合することで対応付けられます。この場合、インターフェイスは固有です。www.example.com の IP アドレスはコンテキストでアドレス変換が行われません。

3. FWSM は、実アドレス(10.1.2.27)をマップ アドレス 209.165.201.10 に変換します。このマップ アドレスは外部インターフェイスのサブネット上にあります。

マップ アドレスは任意のサブネット上に設定できますが、外部インターフェイスのサブネット上に設定すると、ルーティングが簡素化されます。

4. FWSM はさらに、セッションが確立されたことを記録して、外部インターフェイスからパケットを転送します。

5. www.example.com が要求に応答すると、パケットは FWSM を通過します。すでにセッションが確立されているので、パケットは新しい接続に伴うさまざまな検査をバイパスします。FWSM は、マップ アドレスを実アドレス 10.1.2.27 に変換することで NAT を実行します。

6. FWSM が内部ユーザにパケットを転送します。

外部ユーザによる DMZ 上の Web サーバ アクセス

図 5-2 に、外部ユーザが DMZ 上の Web サーバにアクセスする例を示します。

図 5-2 外部から DMZ

 

データが FWSM を通過する順序は、次のとおりです(図 5-2 を参照)。

1. 外部ネットワーク上のユーザがマップ アドレス 209.165.201.3 を使用して、DMZ 上の Web サーバに Web ページを要求します。これは、外部インターフェイスのサブネット上のアドレスです。

2. FWSM がパケットを受信します。新しいセッションなので、FWSM はセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に基づいて、そのパケットが許可されるかどうかを検証します。

マルチコンテキスト モードの場合、FWSM はまず固有のインターフェイスまたはコンテキストに対応付けられた固有の宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストのアドレス変換を照合することで対応付けられます。この場合、分類機能はサーバ アドレス変換によって、DMZ 上の Web サーバのアドレスが特定のコンテキストに属することを「認識」します。

3. FWSM は宛先アドレスを実アドレス 10.1.1.3 に変換します。

4. FWSM はさらに、高速パスにセッション エントリを追加し、DMZ インターフェイスからパケットを転送します。

5. DMZ 上の Web サーバが要求に応答すると、パケットは FWSM を通過します。すでにセッションが確立されているので、パケットは新しい接続に伴うさまざまな検査をバイパスします。FWSM は、実アドレスを 209.165.201.3 に変換することで NAT を実行します。

6. FWSM が外部ユーザにパケットを転送します。

内部ユーザによる DMZ 上の Web サーバ アクセス

図 5-3 に、内部ユーザが DMZ 上の Web サーバにアクセスする例を示します。

図 5-3 内部から DMZ

 

データが FWSM を通過する順序は、次のとおりです(図 5-3 を参照)。

1. 内部ネットワーク上のユーザが宛先アドレス 10.1.1.3 を使用して、DMZ の Web サーバに Web ページを要求します。

2. FWSM がパケットを受信します。新しいセッションなので、FWSM はセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に基づいて、そのパケットが許可されるかどうかを検証します。

マルチコンテキスト モードの場合、FWSM はまず固有のインターフェイスまたはコンテキストに対応付けられた固有の宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストのアドレス変換を照合することで対応付けられます。この場合、インターフェイスは固有です。Web サーバの IP アドレスはアドレス変換が行われません。

3. FWSM はさらに、セッションが確立されたことを記録して、DMZ のインターフェイスからパケットを転送します。

4. DMZ の Web サーバが要求に応答すると、パケットは高速パスを通過します。したがって、パケットは新しい接続に伴うさまざまな検査をバイパスできます。

5. FWSM が内部ユーザにパケットを転送します。

外部ユーザによる内部ホストへのアクセス試行

図 5-4 に、外部ユーザから内部ネットワークにアクセスを試みる例を示します。

図 5-4 外部から内部

 

データが FWSM を通過する順序は、次のとおりです(図 5-4 を参照)。

1. 外部ネットワーク上のユーザが内部ホストにアクセスしようとしています(ホストにルーティング可能な IP アドレスが与えられているものとします)。

内部ネットワークでプライベート アドレスを使用している場合、NAT を実行しないかぎり、外部ユーザが内部ネットワークにアクセスすることはできません。外部ユーザは既存の NAT セッションを使用することによって、内部ユーザへのアクセスを試みる可能性があります。

2. FWSM がパケットを受信します。新しいセッションなので、FWSM はセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)に基づいて、そのパケットが許可されるかどうかを検証します。

3. パケットが拒否され、FWSM がパケットを廃棄して、接続試行を記録します。

外部ユーザが内部ネットワークの攻撃を試みている場合、FWSM はさまざまなテクノロジーを駆使し、確立済みのセッションに対してパケットが有効かどうかを判別します。

DMZ ユーザによる内部ホストへのアクセス試行

図 5-5 に、DMZ 上のユーザから内部ネットワークにアクセスを試みる例を示します。

図 5-5 DMZ から内部

 

データが FWSM を通過する順序は、次のとおりです(図 5-5 を参照)。

1. DMZ ネットワーク上のユーザが内部ホストにアクセスしようとしています。DMZ ではインターネット上のトラフィックをルーティングする必要がないため、プライベート アドレッシング スキームはルーティングを阻止しません。

2. FWSM がパケットを受信します。新しいセッションなので、FWSM はセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)に基づいて、そのパケットが許可されるかどうかを検証します。

3. パケットが拒否され、FWSM がパケットを廃棄して、接続試行を記録します。

トランスペアレント モードの概要

トランスペアレント ファイアウォールは、「ワイヤの凹凸」、つまり「ステルス ファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続先デバイスへのルータ ホップとは見なされません。

ここでは、トランスペアレント ファイアウォール モードについて説明します。内容は次のとおりです。

「トランスペアレント ファイアウォール ネットワーク」

「ブリッジ グループ」

「レイヤ 3 トラフィックの許可」

「許可された MAC アドレス」

「ルーテッド モードでは許可されないトラフィックの通過許可」

「MAC アドレス検索とルート検索」

「ネットワークでのトランスペアレント ファイアウォールの使用例」

「トランスペアレント ファイアウォールの注意事項」

「トランスペアレント モードでサポートされていない機能」

「トランスペアレント ファイアウォールを通過するデータ」

トランスペアレント ファイアウォール ネットワーク

FWSM は内部および外部インターフェイス上の同一ネットワークに接続します。トランスペアレント ファイアウォールはルーティング対象のホップではないので、既存のネットワークに容易に導入できます。IP 再アドレッシングは不要です。

必要に応じて、トランスペアレント ファイアウォールに接続されているホストに対して NAT をイネーブルにできます。

ブリッジ グループ

セキュリティ コンテキストのオーバーヘッドを避けたい場合、またはセキュリティ コンテキストを最大限に使用したい場合、ブリッジ グループと呼ばれる最大 8 つのペアのインターフェイスを設定できます。各ブリッジ グループは別々のネットワークに接続します。ブリッジ グループのトラフィックは他のブリッジ グループから隔離され、トラフィックは FWSM 内の他のブリッジ グループにはルーティングされません。また、トラフィックは外部ルータから FWSM 内の他のブリッジ グループにルーティングされる前に、FWSM から出る必要があります。ブリッジング機能はブリッジ グループごとに別々ですが、他の多くの機能はすべてのブリッジ グループ間で共有されます。たとえば、すべてのブリッジ グループはシステム ログ サーバまたは AAA サーバのコンフィギュレーションを共有します。セキュリティ ポリシーを完全に分離するには、各コンテキストで単一ブリッジ グループのセキュリティ コンテキストを使用します。

トランスペアレント ファイアウォールはルーティング対象のホップではないので、既存のネットワークに容易に導入できます。IP 再アドレッシングは不要です。複雑なルーティング パターンのトラブルシューティングが不要なので、メンテナンスが容易です。


) ブリッジ グループにはそれぞれ管理 IP アドレスが必要です。FWSM はブリッジ グループが発信元になるパケットの送信元アドレスとして、この IP アドレスを使用します。管理用 IP アドレスは、接続先ネットワークと同じサブネット上になければなりません。


レイヤ 3 トラフィックの許可

トランスペアレント モードはブリッジとして動作しますが、IP トラフィックなどのレイヤ 3 トラフィックは、拡張アクセス リストで明示的に許可されていないかぎり、FWSM を通過できません。アクセス リストなしにトランスペアレント ファイアウォールを通過できるトラフィックは、ARP トラフィックだけです。ARP トラフィックは、ARP 検査で制御できます。詳細については、「拡張アクセス リストの追加」を参照してください。

許可された MAC アドレス

次の宛先 MAC アドレスはトランスペアレント ファイアウォールを通過できます。このリストにない MAC アドレスは廃棄されます。

TRUE ブロードキャスト宛先 MAC アドレス(FFFF.FFFF.FFFF)

IPv4 マルチキャスト MAC アドレス(0100.5E00.0000 ~ 0100.5EFE.FFFF)

IPv6 マルチキャスト MAC アドレス(3333.0000.0000 ~ 3333.FFFF.FFFF)

BPDU マルチキャスト アドレス(0100.0CCC.CCCD)

Appletalk マルチキャスト MAC アドレス(0900.0700.0000 ~ 0900.07FF.FFFF)

ルーテッド モードでは許可されないトラフィックの通過許可

ルーテッド モードでは、アクセス リストで許可されていても、一部のトラフィック タイプは FWSM を通過できません。ただし、トランスペアレント ファイアウォールの場合は、拡張アクセス リスト(IP トラフィックの場合)または EtherType アクセス リスト(IP 以外のトラフィックの場合)のいずれかを使用することによって、ほとんどのタイプのトラフィックを通過させることができます。


) トランスペアレント モードの場合、CDP パケット、または 0x600 以上の有効な EtherType を持たないパケットはすべて FWSM を通過できません。たとえば、IS-IS パケットは通過できません。BPDU に対しては例外が設定されています。


たとえば、トランスペアレント ファイアウォールをまたいでルーティング プロトコルの隣接関係を確立できます。拡張アクセス リストに基づいて、OSPF、RIP、EIGRP、または BGP トラフィックを通過させることができます。同様に、HSRP または VRRP などのプロトコルも FWSM を通過できます。特定のトラフィックを許可する処理については、表 12-2 を参照してください。

EtherType アクセス リストを使用することによって、IP 以外のトラフィック(AppleTalk、IPX、BPDU、MPLS など)を通過させるように設定できます。

トランスペアレント ファイアウォールで直接サポートされていない機能については、アップストリーム ルータおよびダウンストリーム ルータが機能をサポートできるように、トラフィックの通過を許可できます。たとえば、拡張アクセス リストを使用して、DHCP トラフィック(サポート対象外の DHCP リレー機能の代わりに)または IP/TV によって作成されたマルチキャスト トラフィックの通過を許可できます。

MAC アドレス検索とルート検索

FWSM が NAT を使用せずにトランスペアレント モードで稼動している場合、パケットの発信インターフェイスはルート検索ではなく、MAC アドレス検索を実行することによって判別されます。ルート ステートメントも設定できますが、適用されるのは FWSM を起点とするトラフィックだけです。たとえば、Syslog サーバがリモート ネットワークに配置されている場合、FWSM がそのサブネットにアクセスできるように、スタティック ルートを使用する必要があります。

ただし、音声検査を使用しており、エンドポイントが FWSM から 1 ホップ以上離れている場合は例外です。たとえば、CCM と H.323 ゲートウェイ間でトランスペアレント ファイアウォールを使用しており、トランスペアレント ファイアウォールと H.323 ゲートウェイ間にルータが存在する場合、H.323 ゲートウェイが正常にコールを完了できるようにするには、FWSM でスタティック ルートを追加する必要があります。

NAT を使用する場合は、FWSM で MAC アドレス検索の代わりにルート検索が使用されます。場合によっては、スタティック ルートが必要になります。たとえば、実宛先アドレスが FWSM に直接接続されていない場合、FWSM でその実宛先アドレス用に、ダウンストリーム ルータをポイントするスタティック ルートを追加する必要があります。

ネットワークでのトランスペアレント ファイアウォールの使用例

図 5-6 に、外部デバイスが内部デバイスと同一サブネット上にある、標準的なトランスペアレント ファイアウォール ネットワークを示します。内部ルータと内部ホストは、見かけ上、外部ルータに直接接続されています。

図 5-6 トランスペアレント ファイアウォール ネットワーク

 

図 5-7 に、2 つのブリッジ グループを持つ、FWSM に接続されている 2 つのネットワークを示します。

図 5-7 2 つのブリッジ グループを持つトランスペアレント ファイアウォール ネットワーク

 

トランスペアレント ファイアウォールの注意事項

トランスペアレント ファイアウォール ネットワークを計画するときの注意事項は、次のとおりです。

各ブリッジ グループに管理 IP アドレスが必要です。

各インターフェイスに IP アドレスが必要なルーテッド モードとは異なり、トランスペアレント ファイアウォールではブリッジ グループ全体に 1 つの IP アドレスが割り当てられています。FWSM はシステム メッセージ、AAA 通信など、FWSM が発信元になるパケットの送信元アドレスとして、この IP アドレスを使用します。

管理用 IP アドレスは、接続先ネットワークと同じサブネット上になければなりません。FWSM では、セカンダリ ネットワーク上のトラフィックはサポートされていません。管理 IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。管理 IP サブネットの詳細については、「IP アドレスのブリッジ グループへの割り当て」を参照してください。

各ブリッジ グループは、内部インターフェイスと外部インターフェイスだけを使用します。

直接接続された各ネットワークは、同一サブネット上になければなりません。

ブリッジ グループの管理用 IP アドレスを接続されたデバイスのデフォルト ゲートウェイとして指定しないでください。デバイスには、FWSM の反対側にあるルータをデフォルト ゲートウェイとして指定する必要があります。

管理トラフィックの戻りパスを指定するために必要な、トランスペアレント ファイアウォールのデフォルト ルートは、1 つのブリッジ グループ ネットワークからの管理トラフィックにだけ適用されます。これは、デフォルト ルートはブリッジ グループのインターフェイスとブリッジ グループ ネットワークのルータ IP アドレスを指定しますが、ユーザは 1 つのデフォルト ルートしか定義できないためです。複数のブリッジ グループ ネットワークからの管理トラフィックが存在する場合は、管理トラフィックの発信元ネットワークを識別するスタティック ルートを指定する必要があります。

マルチコンテキスト モードの場合、コンテキストごとに異なるインターフェイスを使用する必要があります。複数のコンテキスト間で同じインターフェイスを共有することはできません。

マルチコンテキスト モードの場合、各コンテキストは一般に異なるサブネットを使用します。オーバーラップするサブネットを使用することはできますが、ルーティングの見地から重複サブネットを可能にするようにルータと NAT を設定したネットワーク トポロジーが必要です。

拡張アクセス リストを使用して、IP トラフィックなどのレイヤ 3 トラフィックが FWSM を通過できるようにしなければなりません。

任意で EtherType アクセス リストを使用することによって、IP 以外のトラフィックを通過させることもできます。

トランスペアレント モードでサポートされていない機能

表 5-1 に、トランスペアレント モードではサポートされていない機能を示します。

 

表 5-1 トランスペアレント モードでサポートされていない機能

サポートされていない機能
説明

DHCP リレー

トランスペアレント ファイアウォールは DHCP サーバとして機能することはできますが、DHCP リレー コマンドはサポートしません。拡張アクセス リストを使用して DHCP トラフィックを通過させることができるため、DHCP リレーは必要ありません。

ダイナミック ルーティング プロトコル

ただし、FWSM を発信元とするトラフィックのスタティック ルートを追加できます。拡張アクセス リストを使用して、ダイナミック ルーティング プロトコルが FWSM を通過できるようにすることもできます。

ブリッジ グループ IP アドレスの IPv6

ただし、EtherType アクセス リストを使用して IPv6 EtherType を通過させることはできます。

スイッチ上の LoopGuard

FWSM がトランスペアレント モードの場合、スイッチでグローバルに LoopGuard をイネーブルにしないでください。LoopGuard は、スイッチと FWSM 間の内部 EtherChannel に自動的に適用されます。そのため、フェールオーバーおよびフェールバック後、EtherChannel がエラー ディセーブル ステートになるため、LoopGuard によりセカンダリ ユニットが切断されます。

マルチキャスト

ただし、拡張アクセス リストで許可することで、マルチキャスト トラフィックが FWSM を通過できるようにすることはできます。

管理用リモート アクセス VPN

管理のためにサイト間 VPN を使用できます。

トランスペアレント ファイアウォールを通過するデータ

図 5-8 に、内部ネットワークにパブリック Web サーバが配置されている状況で、トランスペアレント ファイアウォールを使用する一般的な実装例を示します。FWSM には、内部ユーザがインターネット リソースにアクセスできるようにするアクセス リストが 1 つ設定されています。さらに、もう 1 つのアクセス リストで、外部ユーザが内部ネットワーク上の Web サーバにかぎってアクセスできるようにしています。

図 5-8 一般的なトランスペアレント ファイアウォールのデータ パス

 

ここでは、データが FWSM をどのように通過するかについて説明します。内容は次のとおりです。

「内部ユーザによる Web サーバ アクセス」

「NAT を使用した場合の内部ユーザによる Web サーバ アクセス」

「外部ユーザによる内部ネットワーク上の Web サーバ アクセス」

「外部ユーザによる内部ホストへのアクセス試行」

内部ユーザによる Web サーバ アクセス

図 5-9 に、内部ユーザが外部の Web サーバにアクセスする例を示します。

図 5-9 内部から外部

 

データが FWSM を通過する順序は、次のとおりです(図 5-9 を参照)。

1. 内部ネットワーク上のユーザが www.example.com に Web ページを要求します。

2. FWSM はパケットを受信し、必要に応じて送信元 MAC アドレスを MAC アドレス テーブルに追加します。新しいセッションなので、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に基づいて、そのパケットが許可されるかどうかを検証します。

マルチコンテキスト モードの場合、FWSM はまず固有のインターフェイスに応じてパケットを分類します。

3. FWSM がセッションの確立を記録します。

4. 宛先 MAC アドレスが MAC アドレス テーブルに含まれている場合、FWSM は外部インターフェイスからパケットを転送します。宛先 MAC アドレスは、アップストリーム ルータのアドレス 209.165.201.2 です。

宛先 MAC アドレスが FWSM のテーブルに含まれていない場合、FWSM は ARP 要求を送信し、ping を実行することによって、MAC アドレスを突き止めようとします。最初のパケットは廃棄されます。

5. Web サーバが要求に応答します。すでにセッションが確立されているので、パケットは新しい接続に伴うさまざまな検査をバイパスします。

6. FWSM が内部ユーザにパケットを転送します。

NAT を使用した場合の内部ユーザによる Web サーバ アクセス

図 5-10 に、内部ユーザが外部の Web サーバにアクセスする例を示します。

図 5-10 内部から外部(NAT を使用した場合)

 

データが FWSM を通過する順序は、次のとおりです(図 5-10 を参照)。

1. 内部ネットワーク上のユーザが www.example.com に Web ページを要求します。

2. FWSM はパケットを受信し、必要に応じて送信元 MAC アドレスを MAC アドレス テーブルに追加します。新しいセッションなので、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に基づいて、そのパケットが許可されるかどうかを検証します。

マルチコンテキスト モードの場合、FWSM はまず固有のインターフェイスに応じてパケットを分類します。

3. FWSM は、実アドレス(10.1.2.27)をマップ アドレス 209.165.201.10 に変換します。

マップ アドレスは外部インターフェイスと同じネットワーク上にないため、アップストリーム ルータにそのマップ ネットワークへのスタティック ルートを追加し、FWSM をポイントするようにしてください。

4. FWSM はさらに、セッションが確立されたことを記録して、外部インターフェイスからパケットを転送します。

5. 宛先 MAC アドレスが MAC アドレス テーブルに含まれている場合、FWSM は外部インターフェイスからパケットを転送します。宛先 MAC アドレスは、アップストリーム ルータのアドレス 209.165.201.2 です。

宛先 MAC アドレスが FWSM のテーブルに含まれていない場合、FWSM は ARP 要求を送信し、ping を実行することによって、MAC アドレスを突き止めようとします。最初のパケットは廃棄されます。

6. Web サーバが要求に応答します。すでにセッションが確立されているので、パケットは新しい接続に伴うさまざまな検査をバイパスします。

7. FWSM は、マップ アドレスを実アドレス 10.1.2.27 に変換することで NAT を実行します。

8. FWSM が内部ユーザにパケットを転送します。

外部ユーザによる内部ネットワーク上の Web サーバ アクセス

図 5-11 に、外部ユーザが内部の Web サーバにアクセスする例を示します。

図 5-11 外部から内部

 

データが FWSM を通過する順序は、次のとおりです(図 5-11 を参照)。

1. 外部ネットワーク上のユーザが内部の Web サーバに Web ページを要求します。

2. FWSM はパケットを受信し、必要に応じて送信元 MAC アドレスを MAC アドレス テーブルに追加します。新しいセッションなので、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に基づいて、そのパケットが許可されるかどうかを検証します。

マルチコンテキスト モードの場合、FWSM はまず固有のインターフェイスに応じてパケットを分類します。

3. FWSM がセッションの確立を記録します。

4. 宛先 MAC アドレスが MAC アドレス テーブルに含まれている場合、FWSM は内部インターフェイスからパケットを転送します。宛先 MAC アドレスは、ダウンストリーム ルータのアドレス 209.186.201.1 です。

宛先 MAC アドレスが FWSM のテーブルに含まれていない場合、FWSM は ARP 要求を送信し、ping を実行することによって、MAC アドレスを突き止めようとします。最初のパケットは廃棄されます。

5. Web サーバが要求に応答します。すでにセッションが確立されているので、パケットは新しい接続に伴うさまざまな検査をバイパスします。

6. FWSM が外部ユーザにパケットを転送します。

外部ユーザによる内部ホストへのアクセス試行

図 5-12 に、外部ユーザから内部ネットワーク上のホストにアクセスを試みる例を示します。

図 5-12 外部から内部

 

データが FWSM を通過する順序は、次のとおりです(図 5-12 を参照)。

1. 外部ネットワーク上のユーザが内部ホストにアクセスしようとしています。

2. FWSM はパケットを受信し、必要に応じて送信元 MAC アドレスを MAC アドレス テーブルに追加します。新しいセッションなので、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に基づいて、そのパケットが許可されるかどうかを検証します。

マルチコンテキスト モードの場合、FWSM はまず固有のインターフェイスに応じてパケットを分類します。

3. パケットが拒否され、FWSM がパケットを廃棄します。

4. 外部ユーザが内部ネットワークの攻撃を試みている場合、FWSM はさまざまなテクノロジーを駆使し、確立済みのセッションに対してパケットが有効かどうかを判別します。

トランスペアレント ファイアウォール モードまたはルーテッド ファイアウォール モードの設定

ルーテッド ファイアウォール モード(デフォルト)またはトランスペアレント ファイアウォール モードで動作するように、各コンテキストを設定できます。

モードを変更すると、FWSM によってコンフィギュレーションが消去されます。両方のモードでサポートされるコマンドは少ないからです。入力済みのコンフィギュレーションがすでにある場合は、必ず、モードを変更する前にコンフィギュレーションのバックアップを行ってください。新しいコンフィギュレーションを作成するときに、このバックアップを参照できます。

firewall transparent コマンドでモードを変更するテキスト コンフィギュレーションを FWSM にダウンロードする場合は、必ず、コンフィギュレーションの先頭にこのコマンドを指定してください。FWSM はコマンドを読み取るとただちにモードを変更し、そのあとでダウンロードされたコンフィギュレーションの残りを読み取ります。コンフィギュレーションの後ろの方にこのコマンドが指定されていると、FWSM はコンフィギュレーションのそこまでの行をすべて消去します。

モードを透過的に設定するには、各コンテキストに次のコマンドを入力します。

hostname(config)# firewall transparent
 

モードをルーテッドに設定するには、各コンテキストに次のコマンドを入力します。

hostname(config)# no firewall transparent