Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Firewall Services Module コンフィギュレーション ガイド
基本設定
基本設定
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

基本設定

パスワードの変更

ログイン パスワードの変更

イネーブル パスワードの変更

メンテナンス パーティション パスワードの変更

ホスト名の設定

ドメイン名の設定

ログイン バナーの追加

インターフェイスの設定

セキュリティ レベルの概要

名前およびセキュリティ レベルの設定

同じセキュリティ レベルのインターフェイス間の通信

インターフェイスのオフ/オン

NATを設定しない場合の接続制限

基本設定

この章では、Firewall Services Module(FWSM)の基本設定について説明します。この章で説明する内容は、次のとおりです。

「パスワードの変更」

「ホスト名の設定」

「ドメイン名の設定」

「ログイン バナーの追加」

「インターフェイスの設定」

「NATを設定しない場合の接続制限」

パスワードの変更

ここでは、ログイン パスワードとイネーブル パスワードをデフォルトの設定値から変更する方法、さらにメンテナンス パーティションのパスワードを変更する方法について説明します。メンテナンス パーティションは、トラブルシューティング、イメージが破損したときの回復、またはパスワードを忘れた場合の回復時に使用します。次のトピックを参照してください。

「ログイン パスワードの変更」

「イネーブル パスワードの変更」

「メンテナンス パーティション パスワードの変更」


) マルチコンテキスト モードでは、各コンテキストとシステム実行スペースに、それぞれ専用のログイン ポリシーおよびパスワードがあります。


ログイン パスワードの変更

デフォルトのログイン パスワードは、[cisco]です。


 

パスワードを変更するには、イネーブル モードで次のコマンドを入力します。

FWSM/contexta(config)# {passwd | password} password
 

passwd または password を入力できます。 password は、大文字と小文字が区別されるパスワードです。英数字と特殊記号を16文字まで使用できます。パスワードには疑問符とスペース以外、任意の文字を使用できます。

パスワードは暗号化されてコンフィギュレーションに保存されるので、入力後に元のパスワードを表示することはできません。パスワードをデフォルトの設定に戻す場合は、 clear password コマンドを使用します。


 

イネーブル パスワードの変更

デフォルトのイネーブル パスワードは、ブランクです。


 

イネーブル パスワードを変更するには、イネーブル モードで次のコマンドを入力します。

FWSM/contexta(config)# enable password password
 

password は、大文字と小文字が区別されるパスワードです。英数字と特殊記号を16文字まで使用できます。パスワードには疑問符とスペース以外、任意の文字を使用できます。

このコマンドによって、最上位のイネーブル レベルに対応するパスワードが変更されます。ローカルなコマンド許可を設定する場合は、0~15の各イネーブル レベルにイネーブル パスワードを設定できます(詳細は、 コマンド許可の設定を参照)。

パスワードは暗号化されてコンフィギュレーションに保存されるので、入力後に元のパスワードを表示することはできません。パスワードを指定しないで enable password コマンドを入力すると、パスワードがデフォルトのブランクに設定されます。


 

メンテナンス パーティション パスワードの変更

メンテナンス パーティションは、トラブルシューティング時に役立ちます。メンテナンス パーティションから、たとえば、アプリケーション パーティションに新しいソフトウェアをインストールしたり、パスワードをリセットしたり、クラッシュ ダンプ情報を表示したりできます。メンテナンス パーティションにアクセスする唯一の方法は、FWSMとのセッションを開始することです( Firewall Services Moduleとのセッションおよびログインを参照)。

メンテナンス パーティションには、アクセス権限の異なる2つのユーザ レベルがあります。

root ― ネットワーク パーティション パラメータの設定、アプリケーション パーティション上のソフトウェア イメージのアップグレード、ゲスト アカウント パスワードの変更、およびゲスト アカウントのイネーブル化またはディセーブル化を実行できます。

デフォルトのパスワードは、[cisco]です。

guest ― ネットワーク パーティション パラメータを設定し、クラッシュ ダンプ情報を表示できます。

デフォルトのパスワードは、[cisco]です。

両方のユーザのメンテナンス パーティション パスワードを変更する手順は、次のとおりです。


ステップ 1 Operating System(OS;オペレーティング システム)に応じたコマンドを入力して、メンテナンス パーティションでFWSMを再起動します。

Cisco IOSソフトウェア

Router# hw-module module mod_num reset cf:1
 

Catalyst OSソフトウェア

Console> (enable) reset mod_num boot cf:1
 

ステップ 2 OSに応じて、次のコマンドを入力して、FWSMへのセッションを開始します。

Cisco IOSソフトウェア

Router# session slot mod_num processor 1
 

Catalyst OSソフトウェア

Console> (enable) session mod_num
 

ステップ 3 次のコマンドを入力して、rootとしてログインします。

Login: root
 

ステップ 4 プロンプトにパスワードを入力します。

Password:
 

デフォルトのパスワードは、[cisco]です。

ステップ 5 次のコマンドを入力して、rootパスワードを変更します。

root@localhost# passwd
 

ステップ 6 プロンプトに新しいパスワードを入力します。

Changing password for user root
New password:
 

ステップ 7 新しいパスワードを再入力します。

Retype new password:
passwd: all authentication tokens updated successfully
 

ステップ 8 次のコマンドを入力して、guestパスワードを変更します。

root@localhost# passwd-guest
 

ステップ 9 プロンプトに新しいパスワードを入力します。

Changing password for user guest
New password:
 

ステップ 10 新しいパスワードを再入力します。

Retype new password:
passwd: all authentication tokens updated successfully
 


 

次に、rootアカウントのパスワードを設定する例を示します。

root@localhost# passwd
Changing password for user root
New password: *sh1p
Retype new password: *sh1p
passwd: all authentication tokens updated successfully
 

次に、guestアカウントのパスワードを設定する例を示します。

root@localhost# passwd-guest
Changing password for user guest
New password: f1rc8t
Retype new password: f1rc8t
passwd: all authentication tokens updated successfully

ホスト名の設定

FWSMにホスト名を設定すると、その名前がコマンドライン プロンプトに表示されます。複数の装置とセッションを確立する場合は、ホスト名によって、コマンドの入力先を識別しやすくなります。デフォルトのホスト名は[FWSM]です。

マルチコンテキスト モードの場合、システム実行スペースで設定したホスト名が、すべてのコンテキストのコマンドライン プロンプトに表示されます。

任意でコンテキスト内に設定したホスト名は、コマンドラインには表示されませんが、RSAキーを作成するときに使用されます。コンテキスト内でホスト名を設定しなかった場合、証明書ではコンテキスト名がホスト名として使用されます。RSAキーはSSHおよびHTTPSサーバに必要です。さらに、VPNで使用できます。RSAキーが作成されるようにするには、ドメイン名の設定も必要です(「ドメイン名の設定」を参照)。キーの作成後にホスト名を変更する場合は、 ca generate rsa key コマンドを使用して、キーを再作成する必要があります。


 

FWSM用のホスト名なのか、コンテキスト用のホスト名なのかを指定するには、次のコマンドを入力します。

FWSM(config)# hostname name
 

この名前の長さは最大63文字です。英数字、スペース、または次の特殊記号をどれでも使用できます。` ( ) + - , . / : = ?

シングルモードおよびマルチモードのシステム実行スペースでは、コマンドライン プロンプトにこの名前が表示されます。次に例を示します。

FWSM(config)# hostname farscape
farscape(config)#
 

コンテキストでは、この名前はRSAキーを作成するときに使用されます。コンテキスト内でホスト名を設定しなかった場合、キーではコンテキスト名がホスト名として使用されます。コンテキストのホスト名を表示するには、 show hostname コマンドを使用します。


 

ドメイン名の設定

ドメイン名は、RSAキーを作成するときに使用されます。RSAキーはSSHおよびHTTPSサーバに必要です。さらに、VPNで使用できます。RSAキーが作成されるようにするには、ホスト名の設定も必要です(「ホスト名の設定」を参照)。キーの作成後にドメイン名を変更する場合は、 ca generate rsa key コマンドを使用して、キーを再作成する必要があります。

マルチコンテキスト モードの場合、各コンテキストにドメイン名を設定できます。また、システム実行スペースでもドメイン名を設定できます。


 

FWSMのドメイン名を指定するには、次のコマンドを入力します。

FWSM/contexta(config)# domain-name name
 


 

たとえば、ドメインをcisco.comとして設定する場合、次のコマンドを入力します。

FWSM(config)# domain-name cisco.com
 
 
 

ログイン バナーの追加

ユーザがFWSMに接続したとき、ログインする前、またはイネーブル モードを開始する前に表示されるメッセージを設定できます。


 

ログイン バナーを設定するには、システム実行スペースで、またはコンテキスト内で、次のコマンドを入力します。

FWSM/contexta(config)# banner {exec | login | motd} text
 

3つの状況のいずれか1つで表示するバナーを追加します。ユーザが初めて接続したとき( motd [message-of-the-day])、ユーザがログインするとき( login )、またはユーザがイネーブル モードを開始するとき( exec )です。ユーザがFWSMに接続すると、最初にMoTDバナーが表示され、続いてログイン バナーとプロンプトが表示されます。さらに、ユーザがFWSMに正しくログインすると、execバナーが表示されます。

CLIを使用して、バナーのテキストにスペースを含めることができますが、タブを入力することはできません。 $(hostname) および $(domain) という文字列を指定することによって、FWSMのホスト名またはドメイン名を動的に追加できます。システム コンフィギュレーションでバナーを設定すると、コンテキスト コンフィギュレーションで $(system) という文字列を使用することによって、コンテキスト内でそのバナー テキストを使用できます。

複数行にする場合は、各行の前に banner コマンドを指定します。


 

たとえば、MoTDバナーを追加する場合は、次のように入力します。

FWSM/contexta(config)# banner motd Welcome to the $(hostname) firewall.
FWSM/contexta(config)# banner motd Contact me at admin@admin.com for any
FWSM/contexta(config)# banner motd issues.

インターフェイスの設定

デフォルトでは、すべてのインターフェイスがイネーブルです。インターフェイスごとに、名前とセキュリティ レベルを設定する必要があります。


) フェールオーバーを使用する場合、フェールオーバー通信およびステートフル フェールオーバー通信用に確保するインターフェイスには、ここで紹介する手順で名前を設定しないでください。フェールオーバーおよびステート リンクの設定については、「フェールオーバーの使用方法」を参照してください。


ここでは、次の内容について説明します。

「セキュリティ レベルの概要」

「名前およびセキュリティ レベルの設定」

「同じセキュリティ レベルのインターフェイス間の通信」

「インターフェイスのオフ/オン」

セキュリティ レベルの概要

各インターフェイスに0(最下位)~100(最上位)のセキュリティ レベルを設定する必要があります。たとえば、内部ホスト ネットワークなど、最も保護しなければならないネットワークには、レベル100を割り当てる必要があります。一方、インターネットに接続する外部ネットワークのレベルは0でかまいません。DMZなどその他のネットワークは範囲内の任意のレベルにできます。同じセキュリティ レベルに複数のインターフェイスを割り当てることもできます。詳細については、「同じセキュリティ レベルのインターフェイス間の通信」を参照してください。

セキュリティ レベルの異なるインターフェイスは、レベルによって次の動作が制御されます。

NAT ― セキュリティ レベルの高いインターフェイス(内部)上のホストからセキュリティ レベルの低いインターフェイス(外部)へアクセスする場合、内部ホストにNetwork Address Translation(NAT;ネットワーク アドレス変換)を設定するか、 または NATをバイパスする内部ホストを具体的に設定する必要があります。

内部ホストは、外部ホストの変換されないローカル アドレスと通信できます。外部インターフェイス上で特別な設定は不要です。ただし、任意で、外部ネットワーク上でNATを実行することもできます。

インスペクション エンジン ― 一部のインスペクション エンジンはセキュリティ レベルに依存します。

SMTPインスペクション エンジン ― 発信接続(下位レベルから上位レベル)だけに適用されます。セキュリティ レベルの高いインターフェイス上のSimple Mail Transfer Protocol(SMTP)サーバを保護します。

NetBIOSインスペクション エンジン ― 発進接続だけに適用されます。

XDMCPインスペクション エンジン ― XDMCPサーバを設定できるのは外部インターフェイス上だけです。

OraServインスペクション エンジン ― ホスト ペア間にOraServポート用の制御接続がある場合、発信データ接続だけがFWSMの通過を許可されます。

フィルタリング ― 発信接続(上位レベルから下位レベル)だけにHTTP/HTTPSおよびFTPフィルタリングが適用されます。

TCP代行受信 ― セキュリティ レベルの高いホストまたはサーバだけにTCP代行受信機能が適用されます。TCP代行受信の詳細については、「その他の保護機能」を参照してください。この機能は、 nat コマンドおよび static コマンドの emb_limit オプションを使用して設定します。

TCPシーケンスのランダム化 ― TCP接続ごとに、Initial Sequence Number(ISN)を2つずつ使用します。1つはクライアントが作成し、もう1つはサーバが作成します。FWSMは、セキュリティ レベルの高いインターフェイス上のホスト/サーバによって作成されたISNをランダム化します。攻撃側が次のISNを予測してセッションを乗っ取る可能性を排除するために、ISNの少なくとも一方はランダムに作成する必要があります。

最大接続限度 ― FWSMを通過できるTCPおよびUDP接続数に限度を設定できますが、追跡できるのは、セキュリティ レベルの高いインターフェイスから低いインターフェイスへの接続だけです。この限度は、 nat コマンドおよび static コマンドの max_conns オプションを使用して設定します。

established コマンド ― このコマンドを使用すると、セキュリティ レベルが上位のホストから下位のホストへの接続がすでに確立されている場合に、下位のホストから上位のホストへの戻り接続が可能になります。

これらの動作は、同じセキュリティ レベルのインターフェイスには作用しません。たとえば、NATを実行する必要もなければ、インターフェイスにNATのバイパスを設定する必要もありません。ただし、これらのインターフェイスに任意でNATを設定することは可能です。同様に、インスペクション エンジンはフィルタリングの場合と同様、両方のインターフェイスに適用されます。


) Cisco PIXファイアウォールはデフォルトで、内部ネットワーク(上位のセキュリティ レベル)から外部ネットワーク(下位のセキュリティ レベル)へは自由にトラフィックを通過させます。FWSMの場合は、Access Control List(ACL;アクセス制御リスト)で明示的に許可しないかぎり、いかなるトラフィックもインターフェイス間を通過できません。FWSM上でもインターフェイスにセキュリティ レベルを指定しなければなりませんが、このセキュリティ レベルは、セキュリティ レベルの高いインターフェイスから低いインターフェイスへトラフィックが流れることを明示的に許可するものではありません。


名前およびセキュリティ レベルの設定

デフォルトでは、すべてのインターフェイスがイネーブルです。ただし、FWSMを完全に設定するには、その前に各インターフェイスに名前とセキュリティ レベルを割り当てる必要があります。多くのコマンドで、インターフェイス(VLAN)IDの代わりにインターフェイス名を使用します。

FWSMにまだ割り当てられていないVLANに名前を割り当てることは可能ですが( Firewall Services ModuleへのVLAN割り当てを参照)、警告メッセージが表示されます。


) フェールオーバーを使用する場合、フェールオーバー通信およびステートフル フェールオーバー通信用に確保するインターフェイスには、ここで紹介する手順で名前を設定しないでください。フェールオーバーおよびステート リンクの設定については、「フェールオーバーの使用方法」を参照してください。


マルチコンテキスト モードに関する注意事項は、次のとおりです。

各コンテキスト内でコンテキスト インターフェイスを設定します。

設定できるのは、システム コンフィギュレーションでコンテキストにすでに割り当てられているコンテキスト インターフェイスだけです。

システム コンフィギュレーションには、フェールオーバー インターフェイスを除き、設定可能なインターフェイスは含まれません。ここで説明する手順では、フェールオーバー インターフェイスを設定しないでください。詳細については、「フェールオーバーの使用方法」を参照してください。

トランスペアレント ファイアウォール モードの場合、使用できるインターフェイスは内部と外部が1つずつ、合計2つだけです。


) インターフェイスのセキュリティ レベルを変更し、既存の接続がタイムアウトする前に新しいセキュリティ情報を使用する必要がある場合は、clear xlateコマンドを使用して、変換テーブルを消去します。ただし、変換テーブルを消去すると、その時点で確立されているすべての接続が切断されます。



 

インターフェイスの名前を設定するには、次のコマンドを入力します。

FWSM/contexta(config)# nameif {vlann | context_map_name} name [security]n
 

マルチコンテキスト モードでは、システム コンフィギュレーションでVLANインターフェイスにコンテキストのマップ名を指定している場合、そのマップ名を使用する必要があります。

name は最大48文字の文字列です。大文字と小文字は区別されません。

セキュリティ レベルは0~100の整数です。0が最低のセキュリティ、100が最高のセキュリティです。コンフィギュレーションをわかりやすくするために、レベル番号の前に security という指定を任意で含めてもかまいません。同じレベルに複数のインターフェイスを割り当てる場合は、「同じセキュリティ レベルのインターフェイス間の通信」を参照してこの機能をイネーブルにしてください。


 

インターフェイス名を表示するには、 show nameif コマンドを入力します。

FWSM# show nameif
nameif vlan100 outside security0
nameif vlan101 inside security100
nameif vlan102 dmz security50

同じセキュリティ レベルのインターフェイス間の通信

デフォルトでは、NATおよびACLを設定しても、同じセキュリティ レベルのインターフェイスが相互に通信することはできません。

セキュリティ レベルが同じインターフェイス間で通信できるようにすると、次のような利点が得られます。

同じセキュリティ レベルのインターフェイス間でNATを設定する必要はありません。

ただし、NATを設定することは可能です。インターフェイスにダイナミックNATを設定していて、さらに別のインターフェイスから接続を開始できるようにする場合は、同じセキュリティ レベルであっても、スタティックNATを設定する必要があります。

接続限度を設定する必要があるが、(接続限度が設定される)NATを設定できない場合は、アイデンティティNATまたはNATの除外を設定できます(NATを設定しない場合の接続制限」または「 NATのバイパスを参照)。

101を超える通信インターフェイスを設定できます。

インターフェイスごとに異なるレベルを使用する場合、設定できるインターフェイスは1レベル(0~100)に1つだけです。

等しく保護しなければならない2つの部門のように、2つのインターフェイス間で均等に保護機能を適用しなければならない場合があります。

セキュリティ レベルの異なるインターフェイスでは、インスペクション エンジン、TCP代行受信、接続制限など、多くの保護機能が単一方向限定で適用されます。

セキュリティ レベルが同じインターフェイス間で通信できるようにした場合でも、通常どおり、さまざまなセキュリティ レベルでインターフェイスを設定できます。


 

同じセキュリティ レベルのインターフェイスが相互に通信できるようにするには、次のコマンドを入力します。

FWSM/contexta(config)# same-security-traffic permit inter-interface


 

同じインターフェイス上で2つのホスト間の通信ができるように、FWSMを設定できます。この機能を使用するには、パケットがスイッチ経由で宛先ホストに直接送信されるのではなく、FWSM MACアドレスに送信されるように、事前にMSFCを正しく設定しておく必要があります。図 6-1に、同じインターフェイス上でのホスト間通信が必要であるネットワークの例を示します。次に、route-mapコマンドを使用して、図 6-1に示すネットワークにポリシー ルーティングを設定する例を示します。

fwsm(config)# route-map intra-inter3 permit 0
fwsm#(config-route-map)# match ip address 103
fwsm#(config-route-map)# set interface Vlan20
fwsm#(config-route-map)# set set ip next-hop 10.6.34.7
!
fwsm(config)# route-map intra-inter2 permit 20
fwsm#(config-route-map)# match ip address 102
fwsm#(config-route-map)# set interface Vlan20
fwsm#(config-route-map)# set set ip next-hop 10.6.34.7
!
fwsm(config)# route-map intra-inter1 permit 10
fwsm#(config-route-map)# match ip address 101
fwsm#(config-route-map)# set interface Vlan20
fwsm#(config-route-map)# set set ip next-hop 10.6.34.7
 

図 6-1 同じインターフェイス上でのホスト間通信

 

同じインターフェイス上で2つのホスト間の通信を行う場合には、次の要件に注意してください。

外部NATはサポートされません。

同じセキュリティ レベルの1つのインターフェイスから他のインターフェイスに、スタティック ルートを設定できます。


 

同じセキュリティ レベルでホスト間通信を行うには、次のコマンドを入力します。

FWSM/contexta(config)# same-security-traffic permit intra-interface
 

これらの設定を無効にするには、コマンドの前に no を追加します。


 

インターフェイスのオフ/オン

デフォルトでは、すべてのインターフェイスがイネーブルです。コンテキスト内でインターフェイスをディセーブルにした場合、または再度イネーブルにした場合、作用を受けるのは、そのコンテキストのインターフェイスだけです。しかし、システム実行スペースでインターフェイスをディセーブルにした場合、または再度イネーブルにした場合は、全コンテキストに対応するそのVLANインターフェイスに作用します。

インターフェイスをディセーブルにする、または再度イネーブルにする手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、インターフェイス コンフィギュレーション モードを開始します。

FWSM/contexta(config)# interface interface_name
 

ステップ 2 次のコマンドを入力して、インターフェイスをディセーブルにします。

FWSM/contexta(config-interface)# shutdown
 

ステップ 3 次のコマンドを入力して、インターフェイスを再度イネーブルにします。

FWSM/contexta(config-interface)# no shutdown
 


 

NATを設定しない場合の接続制限

トランスペアレント ファイアウォール モード

同一セキュリティ レベルモード

NATを設定すると、トラフィックの接続限度を設定できます。トランスペアレント ファイアウォール モードの場合、または同じセキュリティ レベルで、NATを設定しないインターフェイスの場合(同じセキュリティ レベルのインターフェイス間の通信を参照)、アイデンティティNATによってこの限度を設定できます。アイデンティティNATを使用すると、限度を設定し、なおかつ変換を実行しないアドレスを指定できます(同じセキュリティ レベルのインターフェイスには、NAT除外を含め、NATをバイパスする任意の方式を設定できます。詳細については、 NATのバイパスを参照してください。トランスペアレント モードの場合、FWSMがサポートするのは次の方式だけです)。


 

内部インターフェイス(トランスペアレント モード)または同じセキュリティ レベルのインターフェイスに接続限度を設定するには、次のコマンドを入力します。

FWSM/contexta(config)# static (inside_interface,outside_interface) local_ip_address local_ip_address netmask mask [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp udp_max_conns]
 

local_ip_address オプションは両方とも、同じIPアドレスを入力します。

次のオプションを1つ以上設定します。

norandomseq ― TCP Initial Sequence Number(ISN)のランダム化を行いません。このオプションを使用するのは、別のインライン ファイアウォールもシーケンス番号をランダム化し、その結果、データのスクランブルが発生する場合だけです。TCPのシーケンス番号については、「セキュリティ レベルの概要」を参照してください。

tcp tcp_max_conns, udp udp_max_conns ― サブネット全体における同時TCP/UDP接続の最大数(65,536まで)です。デフォルトはどちらのプロトコルでも0で、これは最大接続数を意味します。

emb_limit ― ホストあたりの最大初期段階接続数(65,536まで)。初期段階接続とは、送信元と宛先間で所定のハンドシェークが完了していない接続要求です。この制限によって、TCP代行受信機能を使用できます(詳細については、 その他の保護機能を参照)。デフォルトは 0 で、これは初期段階接続の最大数を意味します。 emb_limit を入力する前に、
tcp tcp_max_conns を入力する必要があります。 tcp_max_conns にはデフォルト値を使用するが、 emb_limit は変更するという場合は、 tcp_max_conns 0 を入力します。


 

たとえば、ホスト10.1.1.1にオプションを設定する場合は、次のコマンドを入力します。

FWSM/contexta(config)# static (inside,outside) 10.1.1.1 10.1.1.1 netmask 255.255.255.255 norandomseq tcp 1000 200 udp 1000