Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Firewall Services Module コンフィギュレーション ガイド Release 3.1(1)
マニュアルの概要
マニュアルの概要
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

マニュアルの概要

対象読者

目的

マニュアルの構成

表記法

関連資料

マニュアルの入手方法

Cisco.com

Documentation DVD

マニュアルの発注方法

シスコ製品のセキュリティ

シスコ製品のセキュリティ問題の報告

テクニカル サポート

Cisco Technical Support Webサイト

Japan TAC Web サイト

Service Request ツールの使用

問題の重大度の定義

その他の資料および情報の入手方法

マニュアルの概要

ここでは、マニュアルの目的および構成を示し、関連する製品およびサービスに関する追加情報を探す方法について説明します。

この章で説明する内容は、次のとおりです。

「対象読者」

「目的」

「マニュアルの構成」

「表記法」

「関連資料」

「マニュアルの入手方法」

「シスコ製品のセキュリティ」

「テクニカル サポート」

「その他の資料および情報の入手方法」

対象読者

このマニュアルは、次の作業を担当するネットワーク管理者が対象です。

ネットワーク セキュリティの管理

ファイアウォールのインストールおよび設定

デフォルト ルート、スタティック ルート、TCP サービス、および UDP サービスの管理

目的

このマニュアルでは、Cisco 6500 スイッチおよび Cisco 7600 ルータでサポートされている単一幅のサービス モジュール、Firewall Services Module(FWSM)3.1 をコマンドライン インターフェイスを使用して設定する方法および手順について説明します。FWSM はお使いのネットワークを不正使用から守ります。このマニュアルではすべての機能を扱うわけではなく、最も標準的なコンフィギュレーション シナリオのみを説明します。

Web ベースの GUI アプリケーション、ASDM を使用して FWSM を設定およびモニタすることもできます。ASDM には、一般的なコンフィギュレーション シナリオのためのコンフィギュレーション ウィザード、およびあまり一般的ではないシナリオのためのオンライン ヘルプが組み込まれています。詳細については、次のURLを参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/netsec/secmgmt/asdm/index.htm

マニュアルの構成

このマニュアルは、次の章で構成されています。

 

タイトル
説明
1

FWSM について

FWSM の高レベルな概要を提供します。

2

Firewall Services Module を使用するためのスイッチの設定

FWSM と組み合わせて使用するスイッチの設定方法について説明します。

3

Firewall Services Module の接続および設定の管理

コマンドライン インターフェイスへのアクセス方法および設定の管理方法について説明します。

4

セキュリティ コンテキストの設定

セキュリティ コンテキストの使用方法およびマルチコンテキスト モードをイネーブルにする方法について説明します。

5

ファイアウォール モードの設定

FWSM の 2 つの動作モード、ルーテッド モードと透過モードについて、および各モードでのデータ処理の違いについて詳しく説明します。

6

インターフェイス パラメータの設定

インターフェイス名、セキュリティ レベル、IP アドレスの設定方法について説明します。透過ファイアウォール モード インターフェイスにブリッジ グループを設定する方法についても説明します。

7

基本設定

コンフィギュレーションを機能させるために通常必要な基本設定について説明します。

8

IP ルーティングおよび DHCP サービスの設定

IP ルーティングおよび DHCP の設定方法について説明します。

9

IPv6 の設定

IPv6 をイネーブルにして設定する方法について説明します。

10

アクセス リストでのトラフィックの識別

アクセス リストでトラフィックを識別する方法について説明します。

11

ネットワーク アクセスの許可または拒否

アクセス リストを使用して FWSM を通過するネットワーク アクセスを制御する方法を説明します。

12

NAT の設定

アドレス変換の実行方法について説明します。

13

フェールオーバーの設定

フェールオーバー機能について説明します。この機能により、2 つの FWSM を設定して 1 つで障害が発生した場合にもう 1 つに操作を引き継がせることができます。

14

AAA サーバとローカル データベースの設定

AAA サーバおよびローカル データベースの設定方法について説明します。

15

ネットワーク アクセスへの AAA の適用

AAA のネットワーク アクセスをイネーブルにする方法について説明します。

16

フィルタリング サービスの適用

Web トラフィックをフィルタリングして、セキュリティ リスクを軽減したり不正使用を防ぐ方法について説明します。

17

ARP 検査およびブリッジング パラメータの設定

ARP インスペクションをイネーブルにする方法、およびブリッジング操作をカスタマイズする方法について説明します。

18

モジュラ ポリシー フレームワークの使用

Modular Policy Framework を使用して TCP、一般的な接続設定、およびインスペクションのセキュリティ ポリシーを作成する方法について説明します。

19

ネットワーク攻撃の回避

ネットワーク攻撃の遮断および対処を行う保護機能の設定方法について説明します。

20

アプリケーション レイヤ プロトコル検査の適用

アプリケーション検査を使用および設定する方法について説明します。

21

管理アクセスの設定

システム管理のために Telnet、SSH、HTTPS、および VPN を経由して FWSM にアクセスする方法について説明します。

22

ソフトウェア、ライセンス、および設定の管理

ライセンス キーを入力してソフトウェアおよびコンフィギュレーション ファイルをダウンロードする方法について説明します。

23

FWSM のモニタリング

FWSM のモニタ方法について説明します。

24

FWSM のトラブルシューティング

FWSM のトラブルシューティングについて説明します。

A

仕様

FWSM の仕様について説明します。

B

設定例

FWSM の一般的な実装方法をいくつか説明します。

C

CLI の使用

CLI を使用して FWSM を設定する方法について説明します。

D

アドレス、プロトコル、およびポート

IP アドレス、プロトコル、アプリケーションへのクイック リファレンスを提供します。

 

GLOSSARY

このマニュアルで使用する用語の用語集です。

 

Index

このマニュアルの索引です。

表記法

FWSM コマンド構文の記述には、次の表記法を使用しています。

コマンドの説明では、次の表記法を使用しています。

波カッコ({ })は必須の選択肢です。

角カッコ([ ])は省略可能な要素です。

縦棒(|)は選択要素の区切りです。

太字 は表示どおりにユーザが入力しなければならないコマンドおよびキーワードです。

イタリック体 はユーザが値を指定する引数です。

例では、次の表記法を使用しています。

画面表示およびコマンドラインは screen フォントで示しています。

例でユーザが入力すべき情報は、 太字 screen フォントで示しています。

ユーザが値を指定する変数は、 イタリック体 の screen フォントで示しています。

例にはさまざまなプラットフォームの出力が含まれている可能性があります。たとえば、ご使用のプラットフォームには存在しないインターフェイス タイプであるために、そのインターフェイス タイプを認識できないことがあります。ただし、大きな相違はないはずです。


) 「注釈」です。役立つ情報や、このマニュアル以外の参照資料などを紹介しています。


モード、プロンプト、構文の詳細については、 付録 C「CLI の使用」 を参照してください。

関連資料

詳細については、次のマニュアルを参照してください。

Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference

Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Logging Configuration and System Log Messages

Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Installation Note

Upgrading the Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module to Release 3.1

『Release Notes for the Catalyst 6500 Series and Cisco 7600 Series Firewall Services Module, Software Release 3.1』

マニュアルの入手方法

シスコ製品のマニュアルおよびその他の資料は、Cisco.comで入手することができます。また、テクニカル サポートおよびその他のテクニカル リソースは、さまざまな方法で入手することができます。ここでは、シスコ製品に関する技術情報を入手する方法について説明します。

Cisco.com

シスコの最新のマニュアルは、次の URL からアクセスしてください。

http://www.cisco.com/univercd/home/home.htm

シスコの Web サイトには、次の URL からアクセスしてください。

http://www.cisco.com

http://www.cisco.com/jp

シスコの Web サイトの各国語版へは、次の URL からアクセスしてください。

http://www.cisco.com/public/countries_languages.shtml

Documentation DVD

シスコ製品のマニュアルおよびその他の資料は、製品に付属の Documentation DVD パッケージでご利用いただけます。Documentation DVD は定期的に更新されるので、印刷資料よりも新しい情報が得られます。このDVDパッケージは、単独で入手することができます。

Cisco.com(Cisco Direct Customers)に登録されている場合、OrderingツールまたはCisco MarketplaceからCisco Documentation DVD(Customer Order Number DOC-DOCDVD=)を発注できます。

Cisco Ordering ツール:

http://www.cisco.com/en/US/partner/ordering/

Cisco Marketplace:

http://www.cisco.com/go/marketplace/

マニュアルの発注方法

マニュアルの発注方法については、次の URL にアクセスしてください。

http://www.cisco.com/univercd/cc/td/doc/es_inpck/pdi.htm

シスコ製品のマニュアルは、次の方法でご発注いただけます。

Cisco.com(Cisco Direct Customers)に登録されている場合、Orderingツールからシスコ製品のマニュアルを発注できます。次のURLにアクセスしてください。

http://www.cisco.com/en/US/partner/ordering/

Cisco.com に登録されていない場合、製品を購入された代理店へお問い合わせください。

シスコ製品のセキュリティ

シスコでは、無償のSecurity Vulnerability Policyポータルを次のURLで提供しています。

http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html

このサイトから、以下のタスクを実行できます。

シスコ製品における脆弱性を報告する。

シスコ製品のセキュリティ問題に対する支援を受ける。

シスコからのセキュリティ情報を入手するために登録を行う。

シスコ製品に関するセキュリティ勧告および注意のリストが以下のURLで確認できます。

http://www.cisco.com/go/psirt

勧告および注意事項が変更された際に、リアルタイムで確認したい場合は、以下のURLからProduct Security Incident Response Team Really Simple Syndication(PSIRT RSS)にアクセスできます。

http://www.cisco.com/en/US/products/products_psirt_rss_feed.html

シスコ製品のセキュリティ問題の報告

シスコでは、安全な製品を提供することを目指しています。製品のリリース前に社内でテストを実施し、すべての脆弱性を迅速に修正するように努めております。お客様がシスコ製品の脆弱性を発見したと思われる場合は、次の PSIRT にご連絡ください。

緊急度の高い問題 ― security-alert@cisco.com

緊急度の低い問題 ― psirt@cisco.com


ヒント お客様が第三者に知られたくない情報をシスコに送信する場合、Pretty Good Privacy(PGP)または PGP と互換性のある製品を使用して情報を暗号化することを推奨します。PSIRT は、PGP バージョン 2. x ~ 8. x と互換性のある暗号化情報を取り扱うことができます。

無効な暗号鍵または失効した暗号鍵は使用しないでください。PSIRTと通信する際は、次の公開鍵サーバの一覧に記載されている有効な公開鍵を使用してください。

http://pgp.mit.edu:11371/pks/lookup?search=psirt%40cisco.com&op=index&exact=on


 

緊急度の高い問題の場合、次の電話番号で PSIRT に問い合わせることができます。

1 877 228-7302

1 408 525-6532

テクニカル サポート

Cisco Technical Support では、シスコシステムズとサービス契約を結んでいるお客様、パートナー、リセラー、販売店を対象として、評価の高い 24 時間体制のテクニカル サポートを提供しています。Cisco.com の Cisco Technical Support Web サイトでは、広範囲にわたるオンラインでのサポート リソースを提供しています。さらに、Technical Assistance Center(TAC)では、電話でのサポートも提供しています。シスコシステムズとサービス契約を結んでいない場合は、リセラーにお問い合わせください。

Cisco Technical Support Webサイト

Cisco Technical Support Web サイトでは、オンラインで資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。Cisco Technical Support Web サイトは、1 年中いつでも利用することができます。次の URL にアクセスしてください。

http://www.cisco.com/techsupport

Cisco Technical Support Web サイト上のツールにアクセスする際は、いずれも Cisco.com のログイン ID およびパスワードが必要です。サービス契約が有効で、ログイン ID またはパスワードを取得していない場合は、次の URL で登録手続きを行ってください。

http://tools.cisco.com/RPF/register/register.do


) テクニカル サポートにお問い合わせいただく前に、Cisco Product Identification(CPI)ツールを使用して、製品のシリアル番号をご確認ください。CPI ツールへは、Documentation & Tools の下にあるTools & Resourcesリンクをクリックして、Cisco Technical Support Web サイトからアクセスできます。Alphabetical Index ドロップダウン リストからCisco Product Identification Toolを選択するか、Alerts & RMAs の下にあるCisco Product Identification Toolリンクをクリックしてください。CPIツールは、製品 ID またはモデル名、ツリー表示、または特定の製品に対するshowコマンド出力のコピー&ペーストによる 3 つの検索オプションを提供します。検索結果には、シリアル番号のラベルの場所がハイライトされた製品の説明図が表示されます。テクニカル サポートにお問い合わせいただく前に、製品のシリアル番号のラベルを確認し、メモなどに控えておいてください。


Japan TAC Web サイト

Japan TAC Web サイトでは、利用頻度の高い TAC Web サイト( http://www.cisco.com/tac )のドキュメントを日本語で提供しています。Japan TAC Web サイトには、次の URL からアクセスしてください。

http://www.cisco.com/jp/go/tac

サポート契約を結んでいない方は、「ゲスト」としてご登録いただくだけで、Japan TAC Web サイトのドキュメントにアクセスできます。

Japan TAC Web サイトにアクセスするには、Cisco.com のログイン ID とパスワードが必要です。ログイン ID とパスワードを取得していない場合は、次の URL にアクセスして登録手続きを行ってください。

http://www.cisco.com/jp/register/

Service Request ツールの使用

オンラインの TAC Service Request ツールを使えば、S3 および S4 の問題について最も迅速にテクニカル サポートを受けられます(ネットワークの障害が軽微である場合、あるいは製品情報が必要な場合)。状況をご説明いただくと、TAC Service Request ツールが推奨される解決方法を提供します。これらの推奨リソースを使用しても問題が解決しない場合は、TAC の技術者が対応します。TAC Service Request ツールは次の URL からアクセスできます。

http://www.cisco.com/techsupport/servicerequest

問題が S1 または S2 であるか、インターネットにアクセスできない場合は、電話で TAC にご連絡ください(運用中のネットワークがダウンした場合、あるいは重大な障害が発生した場合)。S1 および S2 の問題には TAC の技術者がただちに対応し、業務を円滑に運営できるよう支援します。

電話でテクニカル サポートを受ける際は、次の番号のいずれかをご使用ください。

アジア太平洋:+61 2 8446 7411(オーストラリア:1 800 805 227)
EMEA:+32 2 704 55 55
米国: 1 800 553-2447

TAC の連絡先一覧については、次の URL にアクセスしてください。

http://www.cisco.com/techsupport/contacts

問題の重大度の定義

すべての問題を標準形式で報告するために、問題の重大度を定義しました。

重大度 1(S1) ― ネットワークがダウンし、業務に致命的な損害が発生する場合。24 時間体制であらゆる手段を使用して問題の解決にあたります。

重大度 2(S2) ― ネットワークのパフォーマンスが著しく低下、またはシスコ製品のパフォーマンス低下により業務に重大な影響がある場合。通常の業務時間内にフルタイムで問題の解決にあたります。

重大度 3(S3) ― ネットワークのパフォーマンスが低下しているが、ほとんどの業務運用が機能している場合。通常の業務時間内にサービスの復旧を行います。

重大度 4(S4) ― シスコ製品の機能、インストレーション、基本的なコンフィギュレーションについて、情報または支援が必要で、業務への影響がほとんどまたはまったくない場合。

その他の資料および情報の入手方法

シスコの製品、テクノロジー、およびネットワーク ソリューションに関する情報について、さまざまな資料をオンラインおよび印刷物で入手することができます。

Cisco Marketplace では、さまざまなシスコの書籍、参考資料、およびロゴ入り商品を提供しています。Cisco Marketplace には、次の URL からアクセスしてください。

http://www.cisco.com/go/marketplace/

Cisco Press では、ネットワーク、トレーニング、認定関連の出版物を幅広く発行しています。初心者から上級者まで、さまざまな読者向けの出版物があります。Cisco Press の最新の出版情報などについては、次の URL からアクセスしてください。

http://www.ciscopress.com

Packet 』は、シスコシステムズが発行するテクニカル ユーザ向けの季刊誌で、インターネットやネットワークへの投資を最大限に活用するのに役立ちます。『 Packet 』には、ネットワーク分野の最新動向、テクノロジーの進展、およびシスコの製品やソリューションに関する記事をはじめ、ネットワークの配置やトラブルシューティングのヒント、設定例、お客様の事例研究、認定やトレーニングに関する情報、および多数の詳細なオンライン リソースへのリンクが盛り込まれています。『 Packet 』には、次の URL からアクセスしてください。

http://www.cisco.com/packet

iQ Magazine 』は、シスコのテクノロジーを使って収益の増加、ビジネス効率の向上、およびサービスの拡大を図る方法について学ぶことを目的とした、シスコシステムズが発行する成長企業向けの季刊誌です。この季刊誌は、実際の事例研究や事業戦略を用いて、これら企業が直面するさまざまな課題や、問題解決の糸口となるテクノロジーを明確化し、テクノロジーの投資に関して読者が正しい決断を行う手助けをします。『 iQ Magazine 』には、次の URL からアクセスしてください。

http://www.cisco.com/go/iqmagazine

Internet Protocol Journal 』は、インターネットおよびイントラネットの設計、開発、運用を担当するエンジニア向けに、シスコシステムズが発行する季刊誌です。『 Internet Protocol Journal 』には、次の URL からアクセスしてください。

http://www.cisco.com/ipj

シスコシステムズは最高水準のネットワーク関連のトレーニングを実施しています。トレーニングの最新情報については、次の URL からアクセスしてください。

http://www.cisco.com/en/US/learning/index.html