Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Firewall Services Module コンフィギュレーション ガイド
Firewall Services Module の概要
Firewall Services Moduleの概要
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Firewall Services Moduleの概要

シャーシのシステム要件

機能

一般機能

ステートフル インスペクション機能

その他の保護機能

の動作

セキュリティ ポリシーの概要

VLANインターフェイス

スイッチにおけるの動作

MSFCの使用方法

ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

セキュリティ コンテキスト

Firewall Services Moduleの概要

Firewall Services Module(FWSM)は、Catalyst 6500シリーズ スイッチおよびCisco 7600シリーズ ルータに搭載する、高性能でコンパクトなステートフル ファイアウォール モジュールです。

ファイアウォールは、外部ネットワーク上のユーザによる不正アクセスから内部ネットワークを保護します。ファイアウォールを使用すると、たとえば、人事ネットワークとユーザ ネットワークを切り離しておくなどといった形で、内部ネットワーク相互間の保護も実現できます。Web、FTPサーバなど、外部ユーザが利用できるようにしなければならないネットワーク リソースがある場合は、ファイアウォールの背後の「 Demilitarized Zone (DMZ;非武装地帯)」と呼ばれる独立したネットワークに配置できます。ファイアウォールはDMZへの限定的なアクセスを認めますが、DMZにあるのはパブリック サーバだけなので、攻撃を受けても影響を受けるのはサーバだけであり、他の内部ネットワークに影響はありません。認証または許可を要求したり、外部のURLフィルタリング サーバと連動させたりして、特定のアドレスだけを許可することによって、内部ユーザから外部ネットワークへのアクセス(インターネット アクセスなど)も制御できます。


) ファイアウォールに接続されたネットワークについて述べる場合、外部ネットワークはファイアウォールの向こう側にあり、内部ネットワークはファイアウォールの手前にあって保護されています。DMZはファイアウォールの手前にありますが、外部ユーザから一定のアクセスが可能です。FWSMでは、多数の内部インターフェイス、多数のDMZ、さらに必要に応じて多数の外部インターフェイスを含め、多数のインターフェイスにさまざまなセキュリティ ポリシーを設定するので、こうした用語はあくまでも一般的な用語として使用されます。


FWSMにはマルチセキュリティ コンテキスト(仮想ファイアウォールに類似)、トランスペアレント(レイヤ2)ファイアウォールまたはルーテッド(レイヤ3)ファイアウォール動作、何百ものインターフェイス、およびその他の最先端の機能が多数組み込まれています。

この章で説明する内容は、次のとおりです。

「シャーシのシステム要件」

「Firewall Services Moduleの動作」

シャーシのシステム要件

FWSMをサポートするスイッチ モデルには、次のプラットフォームがあります。

次の必須コンポーネントを装備したCatalyst 6500シリーズ スイッチ

Cisco IOSソフトウェア(スーパバイザIOS) または Catalyst Operating System(OS;オペレーティング システム)を搭載したスーパバイザ エンジン。サポート対象のスーパバイザ エンジンおよびソフトウェア リリースについては、 表 1-1 を参照してください。

Cisco IOSソフトウェアを搭載したMultilayer Switch Feature Card(MSFC 2;マルチレイヤ スイッチ フィーチャ カード2)。サポート対象のCisco IOSリリースについては、 表 1-1 を参照してください。

次の必須コンポーネントを装備したCisco 7600シリーズ ルータ

Cisco IOSソフトウェアを搭載したスーパバイザ エンジン。サポート対象のスーパバイザ エンジンおよびソフトウェア リリースについては、 表 1-1 を参照してください。

Cisco IOSソフトウェアを搭載したMSFC 2。サポート対象のCisco IOSリリースについては、 表 1-1 を参照してください。


) WANポートはスタティックVLAN(仮想LAN)を使用しないので、スイッチのWANポートにFWSMを直接接続することはできません。ただし、WANポートからMSFCに接続し、MSFCからFWSMに接続することは可能です。


表 1-1 にスーパバイザ エンジンのバージョン、ソフトウェア、およびサポート対象のFWSM機能を示します。

 

表 1-1 FWSM 2.3機能のサポート

FWSM機能
スーパバイザ エンジン1
マルチSVI2
フェールオーバー使用時のトランスペアレント ファイアウォール3
Cisco IOS

12.1(13)E

2

なし

なし

12.1(19)E

2

あり

なし

12.1(22)E以上

2

あり

あり

12.2(14)SY以上

2

あり

なし

12.2(14)SX

2, 720

なし

なし

12.2(17a)SX3

2, 720

あり

あり

12.2(17b)SXA

2, 720

あり

あり

12.2(17d)SXB以上

2, 720

あり

あり

Catalyst OS4

7.5(x)

2

なし

なし

7.6(1)~7.6(4)

2

あり

なし

7.6(5)以上

2

あり

あり

8.2(x)

2, 720

あり

あり

8.3(x)

2, 720

あり

あり

1.FWSMは、スーパバイザ1および1Aをサポートしません。

2.MSFCとFWSM間で複数のSwitched VLAN Interface(SVI;スイッチドVLANインターフェイス)をサポートします。SVIはMSFC上でルーティングされるVLANインターフェイスです。

3.フェールオーバー使用時にトランスペアレント ファイアウォールをサポートします。フェールオーバーを使用する場合、FWSMにBridge Protocol Data Unit(BPDU;ブリッジ プロトコル データ ユニット)を転送する必要があります。BPDUを転送しないと、ループが発生する可能性があります。BPDUの転送をサポートしない他のリリースでは、フェールオーバーを使用しないトランスペアレント モードだけがサポートされます。

4.スーパバイザ上でCatalyst OSを使用する場合、MSFC上でサポート対象の任意のCisco IOSリリースを使用できます(スーパバイザ上でCisco IOSソフトウェアを使用する場合は、MSFC上でも同じリリースを使用します)。スーパバイザ ソフトウェアによって、サポートされるFWSM機能が決まります。たとえば、スーパバイザ上でCatalyst OS Release 7.6(1)を使用し、MSFC上でCisco IOS 12.1(13)Eを使用する場合、Catalyst OS Release 7.6(1)がマルチSVIをサポートするのでそのスイッチはマルチSVIをサポートします。

機能

ここではFWSMの機能について説明します。

「機能」

「ステートフル インスペクション機能」

「その他の保護機能」

一般機能

表 1-2 に、FWSMの機能を示します。

 

表 1-2 FWSMの一般機能

機能
説明

トランスペアレント ファイア
ウォール モードまたはルーテッド ファイアウォール モード

ファイアウォールは、次のどちらかのモードで動作可能です。

ルーテッド ― FWSMはネットワーク上のルータ ホップとみなされます。接続ネットワーク間でNAT5を実行します。シングルコンテキスト モードでは、OSPF6またはパッシブRIP7を使用できます。

トランスペアレント ― FWSMは「ワイヤの凹凸」のような存在となり、ルータ ホップにはなりません。FWSMは同一ネットワークの内部インターフェイスと外部インターフェイスを接続しますが、各インターフェイスはそれぞれ異なるVLAN上になければなりません。ダイナミック ルーティング プロトコルまたはNATは不要です。

マルチセキュリティ コンテキスト

マルチコンテキスト モードでは、(ソフトウェア ライセンスに応じて)最大100のセキュリティ コンテキストを作成できます。セキュリティ コンテキストは、専用のセキュリティ ポリシーとインターフェイスが与えられた仮想ファイアウォールです。マルチコンテキストは、スタンドアロンのファイアウォールを複数使用することと同様です。コンテキストであれば、1つのモジュールに手軽に収容できます。

すべてのセキュリティ コンテキストをルーティング モードで実行するか、またはすべてのセキュリティ コンテキストをトランスペアレント モードで実行します。一部のコンテキストを一方のモードで使用し、他のコンテキストを他方のモードで使用することはできません。

デフォルトのソフトウェア ライセンスの場合、管理コンテキストのほかに最大2つのセキュリティ コンテキストを実行できます。コンテキストを増やす場合は、ライセンスを購入する必要があります。

セキュリティ コンテキストのリソース管理

1つのコンテキストがリソースを大量に使用しないように、コンテキストあたりのリソースを制限できます。絶対値または割合でリソース制限を定義するクラスを作成し、それらのクラスの1つにコンテキストを割り当てます。

同一セキュリティ レベル間の通信

同一セキュリティ レベルでインターフェイスを設定すると、相互に通信できます。この機能はデフォルトでオフですが、コンテキスト単位でイネーブルまたはディセーブルに設定できます。旧リリースでは、セキュリティ レベルが同じインターフェイス間では通信できませんでした。

双方向NATおよびポリシーNAT

内部アドレスと外部アドレスでNATを実行できます。ポリシーNATでは、拡張ACL8を使用して変換するアドレスを特定するので、変換するアドレスをきめ細かく指定できます。

複数のACLタイプ

FWSMは次のACLをサポートします。

拡張ACL:次のインターフェイス上でIPトラフィックを制御

着信

発信

トランスペアレント ファイアウォール モードの場合、EtherType ACL:次のインターフェイス上でIPトラフィック以外を制御

着信

発信

標準ACL:OSPFルートを再分配

URLフィルタリング

N2H2によるWebsense EnterpriseまたはSentianを使用してHTTP、HTTPS、およびFTP要求をフィルタリングします。

ダイナミック ルーティング プロトコル

シングルコンテキスト モード限定

RIP v1およびv2(パッシブ モード)

OSPF


) マルチコンテキスト モードがサポートするのは、スタティック ルーティングだけです。


 

DHCPサーバおよびDHCPリレー

FWSMはDHCP9サーバとして動作します。FWSMはさらに、DHCP要求をアップストリーム ルータに転送するDHCPリレーもサポートします。

管理

FWSMは次の管理方式をサポートします。

FWSM用のCisco PDM ― Release 4.0はFWSM Release 2.3の機能をサポートします。PDMはFWSM上のブラウザベースの設定ツールです。システム管理者はマルチセキュリティ コンテキストを設定できます。必要に応じて、各コンテキストの管理者が必要な分のコンテキストだけを設定できます。

Cisco Firewall MC10 ― Release 1.3.1はFWSM Release 2.3の機能をサポートします。マルチコンテキスト モードの場合、Release 1.3.1は各コンテキストの個別管理をサポートします。コンテキストの追加または削除、マルチモードでのフェールオーバーのプロビジョニングといったシステム レベルの操作はサポートしません。

CLI11

ログイン バナー

ユーザがFWSMにログインしたときに表示するテキスト メッセージを定義できます。

システム メッセージ拡張機能

ACLを設定することによって、トラフィックと一致したときにシステム メッセージを生成できます。システム メッセージのレベルも設定できます。

5.Network Address Translation(ネットワーク アドレス変換)

6.Open Shortest Path First

7.Routing Information Protocol

8.Access Control List(アクセス制御リスト)

9.Dynamic Host Configuration Protocol(動的ホスト制御プロトコル)

10.Firewall Management Center

11.コマンドライン インターフェイス

ステートフル インスペクション機能

ファイアウォールを通過するあらゆるトラフィックは、Adaptive Security Algorithm(ASA;アダプティブ セキュリティ アルゴリズム)を使用して点検され、通過が許可されるか、または廃棄されるかのどちらかになります。単純なパケット フィルタでも、送信元アドレス、宛先アドレス、およびポートを確認できますが、パケット シーケンスやフラグは確認できません。フィルタの場合はさらに、個々のパケットをフィルタと突き合わせるので、処理が遅くなる可能性があります。

しかし、FWSMなどのステートフル ファイアウォールは、次のようにパケットの状態を考慮します。

新しい接続かどうか

新しい接続の場合、ファイアウォールはパケットをACLと照合し、その他の作業を実行して、パケットを許可するのか拒否するのかを決定する必要があります。この確認を行うために、セッションの最初のパケットは「セッション管理パス」をたどり、さらにトラフィックのタイプによっては、「制御プレーン パス」もたどります。

セッション管理パスは、次の作業を担当します。

ACLチェックの実行

ルート検査の実行

NAT変換(xlate)の割り当て

「高速パス」でのセッション確立

(パケット ペイロードを点検または変更しなければならない)レイヤ7インスペクションが必要なパケットは、さらに制御プレーン パスへ送られます。2つ以上のチャネルを使用するプロトコルには、レイヤ7インスペクション エンジンが必要です。この場合のチャネルとは、既知(well-known)のポート番号を使用するデータ チャネルとセッションごとに異なるポート番号を使用する制御チャネルです。これに該当するプロトコルは、FTP、H.323、およびSNMPです。


) FWSMは、3つの特殊なNetworking Processor(NP;ネットワーキング プロセッサ)上でセッション管理パスおよび高速パスの処理を実行します。制御プレーン パスの処理は、FWSMへのトラフィックを処理し、設定および管理作業も行う、汎用プロセッサで実行されます。


確立された接続かどうか

接続がすでに確立されている場合、ファイアウォールがパケットを再チェックする必要はありません。一致する大部分のパケットは双方向とも、高速パスに送られます。高速パスは、次の作業を担当します。

IPチェックサム検証

セッション検査

TCPシーケンス番号の検査

既存セッションに基づいたNAT変換

レイヤ3およびレイヤ4のヘッダー調整

高速パスへ送られるトラフィックのタイプは、次のとおりです。

確立されたTCPまたはUDP接続

UDPの場合、セッションを使用しないので、FWSMは高速パスを使用できるようにUDP接続ステート情報を作成します。

ICMP制御パケット

レイヤ7のインスペクションを必要とするプロトコルのデータ パケット

確立済みセッション パケットの中には、セッション管理パスまたは制御プレーン パスを通過させなければならないものがあります。セッション管理パスへ送られるパケットには、インスペクションまたはコンテンツ フィルタリングを必要とするHTTPパケットが含まれます。制御プレーン パスへ送られるパケットには、レイヤ7のインスペクションを必要とするプロトコルの制御パケットが含まれます。

その他の保護機能

表 1-3 で、FWSMが提供する保護機能について説明します。これらの機能は、特定の種類の攻撃に関連するネットワーク アクティビティを制御します。

 

表 1-3 保護機能

保護機能
説明

ARP検査

トランスペアレント ファイアウォール モードの場合、ARP検査をイネーブルにできます。デフォルトでは、ARP検査はすべてのインターフェイスでディセーブルです。すべてのARPパケットがFWSMを通過できます。ARP検査をイネーブルにすると、FWSMはすべてのARPパケットについて、MACアドレスとIPアドレスをARPテーブルのスタティック エントリと照合します。この機能をイネーブルにするには、 arp inspection コマンドを使用します。

DNSガード

DNSガード機能は、個々の発信DNS12解決要件を識別し、単一のDNS応答だけを認めます。ホストは複数のサーバに照会し、応答を求める可能性がありますが(最初のサーバの応答が遅い場合)、認められるのは要求に対する最初の応答だけです。要求に対するその他の応答はすべて、ファイアウォールによって廃棄されます。この機能は常にイネーブルです。この機能は、DNSインスペクション エンジンとは無関係です。

フラッド ガード

フラッド ガードは、応答のないログイン試行に対するAAAサーバの許容度を制御します。これはAAAサーバに対するDoS13攻撃を防止するうえで非常に有効です。この機能によって、AAAシステムの使用状況が最適化されます。フラッド ガードはデフォルトでイネーブルです。floodguardコマンドで制御できます。

フラグ ガード

フラグ ガードは、IPフラグメント保護機能です。 fragment コマンドで設定します。


) FWSM 1.1では、デフォルトのフラグメント サイズは1でした。したがって、FWSMはデフォルトですべてのフラグメントを廃棄しました。FWSM 2.3では、デフォルトのフラグメント サイズは200(PIXのデフォルトと同じ)です。


 

ICMPフィルタリング

FWSMは、FWSMインターフェイスへのICMPアクセスを自動的に拒否します。この機能は、外部ネットワーク上のユーザによる検出に対してFWSMインターフェイスを隠します。 icmp コマンドを使用すると、FWSMインターフェイスへのICMPを許可できます。

メール ガード

メール ガードは、外部から内部メッセージング サーバへのSMTP14接続に対して、安全なアクセスを実現します。この機能を利用すると、一部のSMTPサーバで判明しているセキュリティ上の問題にさらされることなく、内部ネットワーク内で単一メール サーバを配備できます。これにより、外部のメール リレー(または要塞ホスト)システムが不要になります。メール ガードは安全上、最小限のSMTPコマンド セットを使用することによって、SMTPサーバ システムが損なわれることがないようにします。この機能をイネーブルにするには、 fixup protocol smtp 25 コマンドを使用します。

TCP代行受信

TCP代行受信は、TCP SYN15パケットでインターフェイスをフラッディングさせるDoS攻撃から内部システムを保護します。この機能をイネーブルにするには、 nat コマンドおよび static コマンドの初期段階での最大接続オプションを設定します。

初期段階での限度を超えると、TCP代行受信機能が上位のセキュリティ レベルで、クライアントからサーバへのTCP SYNパケットを代行受信します。

TCP代行受信機能により、ソフトウェアによって、DoS攻撃の一種であるTCP SYNフラッディング攻撃から、TCPサーバを保護できます。評価プロセスには、有効トラフィックの廃棄を最小限に抑えるために、SYNクッキーが使用されます。TCP代行受信の設定の詳細は、「TCP代行受信を使用したSYN攻撃のモニタ」を参照してください。

Unicast Reverse Path Forwarding(uRPF)

uRPFは、検証可能なIP送信元アドレスのないIPパケットを廃棄することによって、不正であるかまたは偽造(スプーフィング)されたIP送信元アドレスがネットワークに入り込んだ結果生じる問題を軽減します。この機能をイネーブルにするには、 ip verify reverse-path コマンドを使用します。

12.Domain Name System(ドメイン ネーム システム)

13.Denial of Service

14.Simple Mail Transfer Protocol

15.同期

Firewall Services Moduleの動作

ここでは、FWSMが提供するネットワーク ファイアウォールの機能について説明します。次の内容について説明します。

「セキュリティ ポリシーの概要」

「VLANインターフェイス」

「スイッチにおけるFirewall Services Moduleの動作」

「ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード」

「セキュリティ コンテキスト」

セキュリティ ポリシーの概要

セキュリティ ポリシーによって、ファイアウォールを通過して別のネットワークにアクセスさせるトラフィックを決定します。デフォルトでは、いかなるトラフィックもファイアウォールを通過できません。インターフェイスにACLを適用することによって、そのインターフェイスを通過して他のネットワークにアクセスできるIPアドレスとトラフィック タイプを決定します。


) Cisco PIXファイアウォールはデフォルトで、内部ネットワーク(上位のセキュリティ レベル)から外部ネットワーク(下位のセキュリティ レベル)へは自由にトラフィックを通過させます。FWSMの場合は、ACLで明示的に許可しないかぎり、すべてのトラフィックはインターフェイス間を通過できません。このルールは、ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードの両方に当てはまります。FWSM上でもインターフェイスにセキュリティ レベルを指定しますが、このセキュリティ レベルは、セキュリティ レベルの高いインターフェイスから低いインターフェイスへトラフィックが流れることを明示的に許可するものではありません。セキュリティ レベルの詳細については、「インターフェイスの設定」を参照してください。


ルーテッド ファイアウォール モードでは、ACLに加えてネットワーク間でNATを使用することによって、ホストの実IPアドレスを保護することを強化できます。

AAAサーバを使用している場合は、ユーザにAAAルールを適用し、ユーザのアクセスを制御することもできます。

これらの機能とフィルタ、インスペクション エンジンといった他の機能をすべて合わせて、ファイアウォールのセキュリティ ポリシーが形成されます。

VLANインターフェイス

FWSMに外部物理インターフェイスは組み込まれていません。代わりに内部VLANインターフェイスを使用します。たとえば、FWSMの内部インターフェイスにVLAN 201を割り当て、外部インターフェイスにVLAN 200を割り当てます。これらのVLANを物理スイッチ ポートに割り当てると、ホストはこれらのポートに接続します。VLAN 201と200の間で通信する場合、VLAN間で使用できるパスはFWSMだけなので、トラフィックのステートフル インスペクションが強制的に実行されます。

図 1-1に、インターフェイスが4つのFWSMを示します。外部インターフェイスが1つ(VLAN 200)、DMZインターフェイスが1つ(VLAN 202)、および内部インターフェイスが2つ(VLAN 201およびVLAN 203)です。

図 1-1 VLANインターフェイス

 

スイッチにおけるFirewall Services Moduleの動作

FWSMは、Cisco 6500シリーズ スイッチおよびCisco 7600シリーズ ルータに搭載できます。どちらのシリーズも、次の点を除いて構成は同じです。

Catalyst 6500シリーズ スイッチは、2種類のソフトウェア モードをサポートします。

スイッチのスーパバイザおよび内蔵MSFCの両方でCisco IOSソフトウェア(「スーパバイザIOS」)

スーパバイザ上でCatalyst Operating System(OS;オペレーティング システム)、MSFC上でCisco IOSソフトウェア

スイッチ本体で実行するコマンドと設定は、両方のモードについて説明します。

Cisco 7600シリーズ ルータがサポートするのは、Cisco IOSソフトウェアだけです。

このマニュアルでは両方のシリーズの総称として、「スイッチ」を使用します。

FWSMは、PIX OSに基づいた独自のOSを実行します。PIX OSはFWSM OSと類似していますが、いくつかの相違点があります。相違点の多くは、FWSMのハードウェアとアーキテクチャの利点を生かした拡張機能です。

MSFCの使用方法

スイッチにはスイッチング プロセッサ(スーパバイザ)とルータ(MSFC)が組み込まれています。MSFCはシステムの一部として必要ですが、使用しなくてもかまいません。使用する場合は、1つ以上のVLANインターフェイスをMSFCに割り当てられます(スイッチのソフトウェア バージョンが複数のSVIをサポートする場合、FWSM 2.3機能のサポートを参照)。シングルコンテキスト モードでは、ファイアウォールの向こう側にMSFCを配置することも、ファイアウォールより手前に配置することもできます(図 1-2を参照)。

MSFCの位置は、割り当てるVLANによって決まります。たとえば、図 1-2の左側の例では、FWSMの内部インターフェイスにVLAN 201を割り当てているので、MSFCはファイアウォールより手前になります。図 1-2の右側の例では、FWSMの外部インターフェイスにVLAN 200を割り当てているので、MSFCはファイアウォールの向こう側になります。

左側の例では、MSFCはVLAN 201、301、302、および303の間をルーティングします。宛先がインターネットの場合以外、内部トラフィックはFWSMを通過しません。右側の例では、FWSMはVLAN 201、202、および203間のすべてのトラフィックを処理して保護します。

図 1-2 MSFCの配置

 

マルチコンテキスト モードでは、FWSMより手前にMSFCを配置した場合、1つのコンテキストに限定して接続する必要があります。MSFCを複数のコンテキストに接続すると、MSFCはコンテキスト間をルーティングすることになり、意図に反する可能性があります。マルチコンテキストの場合は通常、あらゆるコンテキストがインターネットとスイッチド ネットワーク間でルーティングされる前に、MSFCを使用します(図 1-3を参照)。

図 1-3 マルチコンテキストの場合のMSFCの配置

 

ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

FWSMは、2種類のファイアウォール モードで動作可能です。

ルーテッド

トランスペアレント

ルーテッド モードの場合、FWSMはネットワーク上のルータ ホップとみなされます。接続されたネットワーク間でNATを実行します。また、OSPFまたはパッシブRIP(シングルコンテキスト モード限定)を使用できます。ルーテッド モードは、コンテキストあたり、またはシングル モードで、最大256のインターフェイスをサポートします。最大1,000のインターフェイスが全コンテキスト間で分配されます。

トランスペアレントの場合、FWSMは「ワイヤの凹凸」、すなわち「ステルス ファイアウォール」のような存在となり、ルータ ホップにはなりません。FWSMは同一ネットワークの内部インターフェイスと外部インターフェイスを接続しますが、各インターフェイスはそれぞれ異なるVLAN上になければなりません。ダイナミック ルーティング プロトコルまたはNATは不要です。ただし、ルーテッド モードの場合と同様、トランスペアレント モードでもトラフィックを通過させるためにACLが必要です。トランスペアレント モードの場合、任意でEtherType ACLを使用して、IP以外のトラフィックを通過させることができます。トランスペアレント モードがサポートするインターフェイスは、内部インターフェイスと外部インターフェイスの2つだけです。

ネットワーク構成を簡素化する場合は、トランスペアレント ファイアウォールを使用します。攻撃側にファイアウォールが見えないようにする場合も、トランスペアレント モードが便利です。ルーテッド モードでブロックされるトラフィックにトランスペアレント ファイアウォールを使用することもできます。たとえば、トランスペアレント ファイアウォールであれば、EtherType ACLを使用してマルチキャスト ストリームを流すことができます。

詳細については、「ブリッジング パラメータおよびARP検査の設定」を参照してください。

セキュリティ コンテキスト

1つのFWSMをセキュリティ コンテキストと呼ばれる複数の仮想ファイアウォールに分割できます。各コンテキストはそれぞれが独立したシステムであり、独自のセキュリティ ポリシー、インターフェイス、および管理者が与えられます。マルチコンテキストは、スタンドアロンのファイアウォールを複数使用することと同様です。

コンテキストごとに、セキュリティ ポリシー、インターフェイス、およびスタンドアロン型ファイアウォールで設定できるほとんどすべてのオプションを指定した、専用のコンフィギュレーションを使用します。必要に応じて、個々のコンテキスト管理者にコンテキストのセキュリティ ポリシーを実行させることができます。VLANリソース、システム リソースなど、一部のリソースは、1つのコンテキストが他のコンテキストに悪影響を与えないように、統括的な管理を行うシステム管理者が制御します。

システム管理者は、モジュールの基本設定を指定するシステム コンフィギュレーションでコンテキストを設定することによって、コンテキストを追加したり管理したりします。システム管理者は、あらゆるコンテキストを管理する権限があります。システム コンフィギュレーションには、システムそのもののネットワーク インターフェイスまたはネットワーク設定値は含みません。システムがネットワーク リソースにアクセスする必要がある場合に(サーバからコンテキストをダウンロードする場合など)、管理(admin)コンテキストとして指定されたコンテキストの1つを使用します。

管理コンテキストは、ユーザが管理コンテキストに(SSH接続などで)ログインすると、システム管理者の権限でシステム コンフィギュレーションとその他のすべてのコンテキスト コンフィギュレーションにアクセスできるという点を除き、他のコンテキストとまったく同じです。管理コンテキストは通常、Syslogサーバ、コンテキスト コンフィギュレーション サーバなど、ネットワーク全体のリソースにネットワーク アクセスできるようにします。

デフォルトのソフトウェア ライセンスの場合、管理コンテキストのほかに最大2つのセキュリティ コンテキストを実行できます。コンテキストを増やす場合は、ライセンスを購入する必要があります。


) すべてのコンテキストをルーティング モードで実行するか、またはすべてのコンテキストをトランスペアレント モードで実行します。一部のコンテキストを一方のモードで使用し、他のコンテキストを他方のモードで使用することはできません。



) マルチコンテキスト モードがサポートするのは、スタティック ルーティングだけです。


詳細については、「セキュリティ コンテキストの管理」を参照してください。