Catalyst 6500 シリーズ スイッチ/Cisco 7600 シ リーズ ルータ Firewall Services Module コンフィ ギュレーション ガイド(CLI を使用)
ファイアウォール モードの設定
ファイアウォール モードの設定
発行日;2012/06/24 | 英語版ドキュメント(2011/11/30 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

ファイアウォール モードの設定

ルーテッド モードの概要

IP ルーティング サポート

ルーテッド ファイアウォール モードで を通過するデータ

内部ユーザが Web サーバにアクセスする

外部ユーザが DMZ 上の Web サーバにアクセスする

内部ユーザが DMZ 上の Web サーバにアクセスする

外部ユーザが内部ホストにアクセスしようとする

DMZ ユーザが内部ホストにアクセスしようとする

トランスペアレント モードの概要

トランスペアレント ファイアウォール ネットワーク

ブリッジ グループ

管理インターフェイス

レイヤ 3 トラフィックの許可

許可される MAC アドレス

ルーテッド モードで許可されないトラフィックの通過

MAC アドレス ルックアップと ルート ルックアップ

ネットワークでのトランスペアレント ファイアウォールの使用

トランスペアレント ファイアウォールの注意事項

トランスペアレント モードでサポートされていない機能

トランスペアレント ファイアウォールを通過するデータの動き

内部ユーザが Web サーバにアクセスする

NAT を使用して内部ユーザが Web サーバにアクセスする

外部ユーザが内部ネットワーク上の Web サーバにアクセスする

外部ユーザが内部ホストにアクセスしようとする

トランスペアレント ファイアウォール モードまたはルーテッド ファイアウォール モードの設定

ファイアウォール モードの設定

この章では、ファイアウォール モードの設定方法、および各ファイアウォール モードでファイアウォールがどのように機能するかについて説明します。マルチコンテキスト モードでは、コンテキストごとに別個にファイアウォール モードを設定できます。

FWSM(またはマルチモードでの各コンテキスト)は、2 種類のファイアウォール モードのいずれかで動作可能です。

ルーテッド モード

トランスペアレント モード

この章では、次の内容について説明します。

「ルーテッド モードの概要」

「トランスペアレント モードの概要」

「トランスペアレント ファイアウォール モードまたはルーテッド ファイアウォール モードの設定」

ルーテッド モードの概要

ルーテッド モードでは、FWSM は、ネットワークのルータ ホップと見なされます。また、OSPF、EIGRP、パッシブ RIP(シングル コンテキスト モード)および BGP をスタブ モードで使用できます。ルーテッド モードは、異なるサブネット上にある複数のインターフェイスをサポートします。一定の制限のもとに、コンテキスト間でインターフェイスを共有できます。

「IP ルーティング サポート」

「ルーテッド ファイアウォール モードで FWSM を通過するデータ」

IP ルーティング サポート

FWSM は、接続されたネットワーク間のルータとして機能します。インターフェイスごとに、異なるサブネット上の IP アドレスが必要です。シングル コンテキスト モードでは、ルーテッド ファイアウォールは、スタブ モードでの OSPF、EIGRP、RIP(パッシブ モード)および BGP をサポートします。マルチ コンテキスト モードでは、スタティック ルートおよびスタブ モードの BGP のみがサポートされます。過度なルーティングのニーズを FWSM に頼るのではなく、アップストリーム ルータとダウンストリーム ルータの拡張ルーティング機能を使用することをお勧めします。

ルーテッド ファイアウォール モードで FWSM を通過するデータ

ここでは、ルーテッド ファイアウォール モードにおいて、データが FWSM をどのように通過するかについて説明します。内容は次のとおりです。

「内部ユーザが Web サーバにアクセスする」

「外部ユーザが DMZ 上の Web サーバにアクセスする」

「内部ユーザが DMZ 上の Web サーバにアクセスする」

「外部ユーザが内部ホストにアクセスしようとする」

「DMZ ユーザが内部ホストにアクセスしようとする」

内部ユーザが Web サーバにアクセスする

図 5-1 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図 5-1 内部から外部へ

 

次の手順では、データが FWSM をどのように通過するかを示します(図 5-1 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. FWSM はパケットを受信します。これは新しいセッションであるため、FWSM はセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、FWSM は、コンテキストに関連付けられる固有なインターフェイスまたは固有な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、インターフェイスは固有です。www.example.com IP アドレスは、コンテキスト内に最新のアドレス変換を持っていません。

3. FWSM は、実アドレス(10.1.2.27)をマップ アドレス 209.165.201.10 に変換します。このマップ アドレスは外部インターフェイスのサブネット上にあります。

マップ アドレスは任意のサブネット上に設定できますが、外部インターフェイスのサブネット上に設定すると、ルーティングが簡素化されます。

4. 次に、FWSM はセッションが確立されたことを記録し、外部インターフェイスからパケットを転送します。

5. www.example.com が要求に応答すると、パケットは FWSM を通過します。これはすでに確立されているセッションであるため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。FWSM は、マッピング アドレスを実際のアドレス 10.1.2.27 に変換することによって、NAT を実行します。

6. FWSM は、パケットを内部ユーザに転送します。

外部ユーザが DMZ 上の Web サーバにアクセスする

図 5-2 は、外部ユーザが DMZ Web サーバにアクセスしていることを示しています。

図 5-2 外部から DMZ へ

 

次の手順では、データが FWSM をどのように通過するかを示します(図 5-2 を参照)。

1. 外部ネットワーク上のユーザがマップ アドレス 209.165.201.3 を使用して、DMZ 上の Web サーバに Web ページを要求します。これは、外部インターフェイスのサブネット上のアドレスです。

2. FWSM はパケットを受信します。これは新しいセッションであるため、FWSM はセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、FWSM は、コンテキストに関連付けられる固有なインターフェイスまたは固有な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、分類子は DMZ Web サーバ アドレスがサーバ アドレス変換のため特定のコンテキストに属すことを「認識」しています。

3. FWSM は宛先アドレスを実アドレス 10.1.1.3 に変換します。

4. 次に、FWSM はセッション エントリを高速パスに追加し、DMZ インターフェイスからパケットを転送します。

5. DMZ Web サーバが要求に応答すると、パケットは FWSM を通過します。また、セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。FWSM は、実アドレスを 209.165.201.3 に変換することで NAT を実行します。

6. FWSM は、パケットを外部ユーザに転送します。

内部ユーザが DMZ 上の Web サーバにアクセスする

図 5-3 は、内部ユーザが DMZ Web サーバにアクセスしていることを示しています。

図 5-3 内部から DMZ へ

 

次の手順では、データが FWSM をどのように通過するかを示します(図 5-3 を参照)。

1. 内部ネットワーク上のユーザは、宛先アドレス 10.1.1.3 を使用して DMZ Web サーバから Web ページを要求します。

2. FWSM はパケットを受信します。これは新しいセッションであるため、FWSM はセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、FWSM は、コンテキストに関連付けられる固有なインターフェイスまたは固有な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、インターフェイスは固有です。Web サーバ IP アドレスは、最新のアドレス変換を持っていません。

3. 次に、FWSM はセッションが確立されたことを記録し、DMZ インターフェイスからパケットを転送します。

4. DMZ Web サーバが要求に応答すると、パケットは高速パスを通過します。これのため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

5. FWSM は、パケットを内部ユーザに転送します。

外部ユーザが内部ホストにアクセスしようとする

図 5-4 は、外部ユーザが内部ネットワークにアクセスしようとしていることを示しています。

図 5-4 外部から内部へ

 

次の手順では、データが FWSM をどのように通過するかを示します(図 5-4 を参照)。

1. 外部ネットワーク上のユーザが、内部ホストに到達しようとします(ホストにルーティング可能な IP アドレスがあると想定します)。

内部ネットワークがプライベート アドレスを使用している場合、外部ユーザが NAT なしで内部ネットワークに到達することはできません。外部ユーザは既存の NAT セッションを使用して内部ユーザに到達しようとすることが考えられます。

2. FWSM はパケットを受信します。これは新しいセッションであるため、FWSM はセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)に従って、パケットが許可されているかどうかを確認します。

3. パケットが拒否され、FWSM はパケットをドロップし、接続試行をログに記録します。

外部ユーザが内部ネットワークを攻撃しようとした場合、FWSM は多数のテクノロジーを使用して、すでに確立されたセッションに対してパケットが有効かどうかを判別します。

DMZ ユーザが内部ホストにアクセスしようとする

図 5-5 は、DMZ 内のユーザが内部ネットワークにアクセスしようとしていることを示しています。

図 5-5 DMZ から内部へ

 

次の手順では、データが FWSM をどのように通過するかを示します(図 5-5 を参照)。

1. DMZ ネットワーク上のユーザが、内部ホストに到達しようとします。DMZ はインターネット上のトラフィックをルーティングする必要がないので、プライベート アドレッシング方式はルーティングを回避しません。

2. FWSM はパケットを受信します。これは新しいセッションであるため、FWSM はセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)に従って、パケットが許可されているかどうかを確認します。

3. パケットが拒否され、FWSM はパケットをドロップし、接続試行をログに記録します。

トランスペアレント モードの概要

トランスペアレント ファイアウォールは、「ワイヤの凹凸」、つまり「ステルス ファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続先デバイスへのルータ ホップとは見なされません。

ここでは、トランスペアレント ファイアウォール モードについて説明します。内容は次のとおりです。

「トランスペアレント ファイアウォール ネットワーク」

「ブリッジ グループ」

「管理インターフェイス」

「レイヤ 3 トラフィックの許可」

「許可される MAC アドレス」

「ルーテッド モードで許可されないトラフィックの通過」

「MAC アドレス ルックアップと ルート ルックアップ」

「ネットワークでのトランスペアレント ファイアウォールの使用」

「トランスペアレント ファイアウォールの注意事項」

「トランスペアレント モードでサポートされていない機能」

「トランスペアレント ファイアウォールを通過するデータの動き」

トランスペアレント ファイアウォール ネットワーク

FWSM では、内部インターフェイスと外部インターフェイスに同じネットワークが接続されます。トランスペアレント ファイアウォールはルーティング対象のホップではないので、既存のネットワークに容易に導入できます。IP 再アドレッシングは不要です。

必要に応じて、トランスペアレント ファイアウォールに接続されているホストに対して NAT をイネーブルにできます。

ブリッジ グループ

セキュリティ コンテキストのオーバーヘッドを避けたい場合、またはセキュリティ コンテキストを最大限に使用したい場合、ブリッジ グループと呼ばれる最大 8 つのペアのインターフェイスを設定できます。各ブリッジ グループは、別々のネットワークに接続します。ブリッジ グループのトラフィックは他のブリッジ グループから隔離され、トラフィックは FWSM 内の他のブリッジ グループにはルーティングされません。また、トラフィックは外部ルータから FWSM 内の他のブリッジ グループにルーティングされる前に、FWSM から出る必要があります。ブリッジング機能はブリッジ グループごとに分かれていますが、その他の多くの機能はすべてのブリッジ グループ間で共有されます。たとえば、すべてのブリッジ グループはシステム ログ サーバまたは AAA サーバのコンフィギュレーションを共有します。セキュリティ ポリシーを完全に分離するには、各コンテキスト内に 1 つのブリッジ グループにして、セキュリティ コンテキストを使用します。

トランスペアレント ファイアウォールはルーティング対象のホップではないので、既存のネットワークに容易に導入できます。IP 再アドレッシングは不要です。複雑なルーティング パターンのトラブルシューティングが不要なので、メンテナンスが容易です。


) ブリッジ グループにはそれぞれ管理 IP アドレスが必要です。FWSM はブリッジ グループが発信元になるパケットの送信元アドレスとして、この IP アドレスを使用します。管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。別の管理方法については、「管理インターフェイス」を参照してください。


管理インターフェイス

各ブリッジ グループ管理 IP アドレスのほか、どのブリッジ グループにも属さず、FWSM への管理トラフィックのみを許可する別個の管理インターフェイスを追加できます。この機能は、特に、シングル インターフェイスから各コンテキストを管理できるので、マルチ コンテキスト モードで役に立ちます。通過トラフィックのインターフェイスは、コンテキスト間で共有できますが、管理 VLAN は、マルチ コンテキスト間で共有できます。

レイヤ 3 トラフィックの許可

トランスペアレント モードはブリッジとして動作しますが、IP トラフィックなどのレイヤ 3 トラフィックは、拡張アクセス リストで明示的に許可されていないかぎり、FWSM を通過できません。アクセス リストなしにトランスペアレント ファイアウォールを通過できるトラフィックは、ARP トラフィックだけです。ARP トラフィックは、ARP 検査によって制御できます。詳細については、「拡張アクセス リストの追加」を参照してください。

許可される MAC アドレス

次の宛先 MAC アドレスは、トランスペアレント ファイアウォールを通過できます。このリストに存在しない MAC アドレスはドロップされません。

FFFF.FFFF.FFFF の TRUE ブロードキャスト宛先 MAC アドレス

0100.5E00.0000 ~ 0100.5EFE.FFFF までの IPv4 マルチキャスト MAC アドレス

3333.0000.0000 ~ 3333.FFFF.FFFF までの IPv6 マルチキャスト MAC アドレス

0100.0CCC.CCCD の BPDU マルチキャスト アドレス

0900.0700.0000 ~ 0900.07FF.FFFF までの AppleTalk マルチキャスト MAC アドレス

ルーテッド モードで許可されないトラフィックの通過

ルーテッド モードでは、アクセス リストで許可しても、いくつかのタイプのトラフィックは FWSM を通過できません。ただし、トランスペアレント ファイアウォールの場合は、拡張アクセス リスト(IP トラフィックの場合)または EtherType アクセス リスト(IP 以外のトラフィックの場合)のいずれかを使用することによって、ほとんどのタイプのトラフィックを通過させることができます。


) トランスペアレント モードの場合、CDP パケット、または 0x600 以上の有効な EtherType を持たないパケットはすべて FWSM を通過できません。たとえば、IS-IS パケットは通過できません。例外として、BPDU はサポートされています。


たとえば、トランスペアレント ファイアウォールでルーティング プロトコルの隣接関係を確立できます。つまり、拡張アクセス リストに基づいて、OSPF、RIP、EIGRP、または BGP トラフィックを許可できます。同様に、HSRP や VRRP などのプロトコルは FWSM を通過できます。特定のトラフィックを許可する処理については、表 13-2 を参照してください。

IP 以外のトラフィック(AppleTalk、IPX、BPDU、および MPLS など)は、EtherType アクセス リストを使用して通過するように構成できます。

トランスペアレント ファイアウォールで直接サポートされていない機能の場合は、アップストリーム ルータとダウンストリーム ルータが機能をサポートできるようにトラフィックの通過を許可することができます。たとえば、拡張アクセスリストを使用して、DHCP トラフィック(サポートされない DHCP リレー機能の代わりに)または IP/TV によって作成されたマルチキャスト トラフィックを許可できます。

MAC アドレス ルックアップと ルート ルックアップ

FWSM が NAT を使用せずにトランスペアレント モードで稼動している場合、パケットの発信インターフェイスはルート検索ではなく、MAC アドレス検索を実行することによって判別されます。ルート ステートメントも設定できますが、適用されるのは FWSM を起点とするトラフィックだけです。たとえば、Syslog サーバがリモート ネットワークに配置されている場合、FWSM がそのサブネットにアクセスできるように、スタティック ルートを使用する必要があります。

ただし、音声検査を使用しており、エンドポイントが FWSM から 1 ホップ以上離れている場合は例外です。たとえば、CCM と H.323 ゲートウェイ間でトランスペアレント ファイアウォールを使用しており、トランスペアレント ファイアウォールと H.323 ゲートウェイ間にルータが存在する場合、H.323 ゲートウェイが正常にコールを完了できるようにするには、FWSM でスタティック ルートを追加する必要があります。

NAT を使用する場合は、FWSM で MAC アドレス検索の代わりにルート検索が使用されます。場合によっては、スタティック ルートが必要になります。たとえば、実宛先アドレスが FWSM に直接接続されていない場合、FWSM でその実宛先アドレス用に、ダウンストリーム ルータをポイントするスタティック ルートを追加する必要があります。

ネットワークでのトランスペアレント ファイアウォールの使用

図 5-6 に、外部デバイスが内部デバイスと同じサブネット上にある一般的なトランスペアレント ファイアウォール ネットワークを示します。内部ルータとホストは、外部ルータに直接接続されているように見えます。

図 5-6 トランスペアレント ファイアウォール ネットワーク

 

図 5-7 に、2 つのブリッジ グループを持つ、FWSM に接続されている 2 つのネットワークを示します。

図 5-7 2 つのブリッジ グループを持つトランスペアレント ファイアウォール ネットワーク

 

トランスペアレント ファイアウォールの注意事項

トランスペアレント ファイアウォール ネットワークを計画するときの注意事項は、次のとおりです。

各ブリッジ グループに管理 IP アドレスが必要です。

各インターフェイスに IP アドレスが必要なルーテッド モードとは異なり、トランスペアレント ファイアウォールではブリッジ グループ全体に 1 つの IP アドレスが割り当てられています。FWSM は、この IP アドレスを、システム メッセージや AAA 通信など、FWSM で発信されるパケットの送信元アドレスとして使用します。ブリッジ グループ管理アドレスのほか、オプションで、管理インターフェイスを設定できます。詳細については、「管理インターフェイス」を参照してください。

管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。FWSM では、セカンダリ ネットワーク上のトラフィックはサポートされていません。管理 IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。管理 IP サブネットの詳細については、「IP アドレスのブリッジ グループへの割り当て」を参照してください。

各ブリッジ グループは、内部インターフェイスと外部インターフェイスだけを使用します。

直接接続された各ネットワークは、同一サブネット上になければなりません。

ブリッジ グループの管理用 IP アドレスを接続されたデバイスのデフォルト ゲートウェイとして指定しないでください。デバイスには、FWSM の反対側にあるルータをデフォルト ゲートウェイとして指定する必要があります。

管理トラフィックの戻りパスを指定するために必要な、トランスペアレント ファイアウォールのデフォルト ルートは、1 つのブリッジ グループ ネットワークからの管理トラフィックにだけ適用されます。これは、デフォルト ルートはブリッジ グループのインターフェイスとブリッジ グループ ネットワークのルータ IP アドレスを指定しますが、ユーザは 1 つのデフォルト ルートしか定義できないためです。複数のブリッジ グループ ネットワークからの管理トラフィックが存在する場合は、管理トラフィックの発信元ネットワークを識別するスタティック ルートを指定する必要があります。

マルチコンテキスト モードでは、各コンテキストが別個のインターフェイスを使用する必要があります。コンテキスト間でインターフェイスを共有することはできません。ただし、マルチ コンテキスト間で共有できるオプションの管理 VLAN は例外です。

マルチコンテキスト モードの場合、各コンテキストは一般に異なるサブネットを使用します。重複するサブネットを使用することもできますが、ルーティング スタンドポイントから可能にするため、ネットワーク トポロジにルータと NAT コンフィギュレーションが必要です。

拡張アクセス リストを使用して、IP トラフィックなどのレイヤ 3 トラフィックが FWSM を通過できるようにしなければなりません。

任意で EtherType アクセス リストを使用することによって、IP 以外のトラフィックを通過させることもできます。

トランスペアレント モードでサポートされていない機能

表 5-1 に、トランスペアレント モードではサポートされていない機能を示します。

 

表 5-1 トランスペアレント モードでサポートされていない機能

サポートされない機能
説明

DHCP リレー

トランスペアレント ファイアウォールは DHCP サーバとして機能することができますが、DHCP リレー コマンドはサポートしません。拡張アクセス リストを使用して DHCP トラフィックを通過させることができるため、DHCP リレーは必要ありません。

ダイナミック ルーティング プロトコル

ただし、FWSM で発信されたトラフィックのスタティック ルートを追加できます。拡張アクセス リストを使用して、ダイナミック ルーティング プロトコルが FWSM を通過できるようにすることもできます。

ブリッジ グループ IP アドレスまたは管理インターフェイス IP アドレスの IPv6

ただし、EtherType アクセス リストを使用して IPv6 EtherType を通過させることはできます。

スイッチ上の LoopGuard

FWSM がトランスペアレント モードの場合、スイッチでグローバルに LoopGuard をイネーブルにしないでください。LoopGuard は、スイッチと FWSM 間の内部 EtherChannel に自動的に適用されます。そのため、フェールオーバーおよびフェールバック後、EtherChannel がエラー ディセーブル ステートになるため、LoopGuard によりセカンダリ ユニットが切断されます。

マルチキャスト

ただし、拡張アクセス リストで許可することで、マルチキャスト トラフィックが FWSM を通過できるようにすることはできます。

管理用リモート アクセス VPN

管理のためにサイト間 VPN を使用できます。

トランスペアレント ファイアウォールを通過するデータの動き

図 5-8 に、パブリック Web サーバを含む内部ネットワークを持つ一般的なトランスペアレント ファイアウォールの実装を示します。内部ユーザがインターネット リソースにアクセスできるよう、FWSM にはアクセス リストがあります。別のアクセス リストによって、外部ユーザは内部ネットワーク上の Web サーバだけにアクセスできます。

図 5-8 一般的なトランスペアレント ファイアウォールのデータ パス

 

ここでは、データが FWSM をどのように通過するかについて説明します。内容は次のとおりです。

「内部ユーザが Web サーバにアクセスする」

「NAT を使用して内部ユーザが Web サーバにアクセスする」

「外部ユーザが内部ネットワーク上の Web サーバにアクセスする」

「外部ユーザが内部ホストにアクセスしようとする」

内部ユーザが Web サーバにアクセスする

図 5-9 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図 5-9 内部から外部へ

 

次の手順では、データが FWSM をどのように通過するかを示します(図 5-9 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. FWSM はパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、FWSM は、固有なインターフェイスに従ってパケットを分類します。

3. FWSM は、セッションが確立されたことを記録します。

4. 宛先 MAC アドレスがテーブル内にある場合、FWSM は外部インターフェイスからパケットを転送します。宛先 MAC アドレスは、アップストリーム ルータのアドレス 209.165.201.2 です。

宛先 MAC アドレスが FWSM のテーブルにない場合、FWSM は、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。

5. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

6. FWSM は、パケットを内部ユーザに転送します。

NAT を使用して内部ユーザが Web サーバにアクセスする

図 5-9 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図 5-10 NAT を使用して内部から外部へ

 

次の手順では、データが FWSM をどのように通過するかを示します(図 5-9 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. FWSM はパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、FWSM は、固有なインターフェイスに従ってパケットを分類します。

3. FWSM は実際のアドレス(10.1.2.27)をマッピング アドレス 209.165.201.10 に変換します。

マッピング アドレスは外部インターフェイスと同じネットワーク上にないため、アップストリーム ルータに FWSM をポイントするマッピング ネットワークへのスタティック ルートがあることを確認します。

4. 次に、FWSM はセッションが確立されたことを記録し、外部インターフェイスからパケットを転送します。

5. 宛先 MAC アドレスがテーブル内にある場合、FWSM は外部インターフェイスからパケットを転送します。宛先 MAC アドレスは、アップストリーム ルータのアドレス 10.1.2.1 です。

宛先 MAC アドレスが FWSM のテーブルにない場合、FWSM は、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。

6. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

7. FWSM は、マッピング アドレスを実際のアドレス 10.1.2.27 に変換することによって、NAT を実行します。

8. FWSM は、パケットを内部ユーザに転送します。

外部ユーザが内部ネットワーク上の Web サーバにアクセスする

図 5-11 は、外部ユーザが内部 Web サーバにアクセスしていることを示しています。

図 5-11 外部から内部へ

 

次の手順では、データが FWSM をどのように通過するかを示します(図 5-11 を参照)。

1. 外部ネットワーク上のユーザは、内部 Web サーバから Web ページを要求します。

2. FWSM はパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチコンテキスト モードの場合、FWSM は、固有なインターフェイスに従ってパケットを分類します。

3. FWSM は、セッションが確立されたことを記録します。

4. 宛先 MAC アドレスがテーブル内にある場合、FWSM は内部インターフェイスからパケットを転送します。宛先 MAC アドレスは、ダウンストリーム ルータのアドレス 209.186.201.1 です。

宛先 MAC アドレスが FWSM のテーブルにない場合、FWSM は、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。

5. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

6. FWSM は、パケットを外部ユーザに転送します。

外部ユーザが内部ホストにアクセスしようとする

図 5-12 は、外部ユーザが内部ネットワーク上のホストにアクセスしようとしていることを示しています。

図 5-12 外部から内部へ

 

次の手順では、データが FWSM をどのように通過するかを示します(図 5-12 を参照)。

1. 外部ネットワーク上のユーザが、内部ホストに到達しようとします。

2. FWSM はパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されているかどうかを確認します。

マルチコンテキスト モードの場合、FWSM は、固有なインターフェイスに従ってパケットを分類します。

3. パケットが拒否され、FWSM がパケットを廃棄します。

4. 外部ユーザが内部ネットワークを攻撃しようとした場合、FWSM は多数のテクノロジーを使用して、すでに確立されたセッションに対してパケットが有効かどうかを判別します。

トランスペアレント ファイアウォール モードまたはルーテッド ファイアウォール モードの設定

ルーテッド ファイアウォール モード(デフォルト)またはトランスペアレント ファイアウォール モードで動作するように、各コンテキストを設定できます。

多くのコマンドは両方のモードではサポートされていないため、モードを変更した場合は、FWSM によってコンフィギュレーションが消去されます。設定済みのコンフィギュレーションがある場合は、モードを変更する前にコンフィギュレーションをバックアップしてください。新しいコンフィギュレーション作成時の参照としてこのバックアップを使用できます。

firewall transparent コマンドを使用してモードを変更するテキスト コンフィギュレーションを FWSM にダウンロードする場合は、このコマンドをコンフィギュレーションの先頭に配置します。先頭に配置することによって、FWSM でこのコマンドが読み込まれるとすぐにモードが変更され、その後引き続きダウンロードされたコンフィギュレーションが読み込まれます。コマンドをコンフィギュレーションの後の方に配置すると、コンフィギュレーション内のその位置よりも前にあるすべての行が FWSM によって消去されます。

モードを透過的に設定するには、各コンテキストに次のコマンドを入力します。

hostname(config)# firewall transparent
 

モードをルーテッドに設定するには、各コンテキストに次のコマンドを入力します。

hostname(config)# no firewall transparent