Cisco IOS セキュリティ コンフィギュレーション ガイド:データ プレーンのセキュリティ コンフィ ギュレーション ガイド
ゾーンベース ポリシー ファイアウォール
ゾーンベース ポリシー ファイアウォール
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 961KB) | フィードバック

目次

ゾーンベース ポリシー ファイアウォール

機能情報の検索

目次

ゾーンベース ポリシー ファイアウォールの前提条件

ゾーンベース ポリシー ファイアウォールの制約

ゾーンベース ポリシー ファイアウォールに関する情報

トップレベルのクラス マップとポリシー マップ

アプリケーション固有のクラス マップとポリシー マップ

ゾーン

セキュリティ ゾーン

ゾーン ペア

ゾーンとインスペクション

ゾーンと ACL

ゾーンと VRF 認識ファイアウォール

ゾーンとトランスペアレント ファイアウォール

P2P インスペクションに関するトランスペアレント ファイアウォールの制約

セキュリティ ゾーン ファイアウォール ポリシーの概要

ゾーンベース ポリシー ファイアウォールのクラス マップとポリシー マップ

レイヤ 3 およびレイヤ 4 のクラス マップとポリシー マップ

レイヤ 7 のクラス マップとポリシー マップ

class-default クラス マップ

階層ポリシー マップ

パラメータ マップ

Cisco IOS ファイアウォールに関する WAAS のサポート

WAAS トラフィック フロー最適化の展開シナリオ

ゾーンベース ファイアウォール アプリケーションでの Out-of-Order パケット処理のサポート

ゾーンベース ファイアウォール アプリケーションでのイントラゾーンのサポート

ゾーンベース ポリシー ファイアウォールの設定方法

レイヤ 3 およびレイヤ 4 ファイアウォール ポリシーの設定

レイヤ 3 およびレイヤ 4 ファイアウォール ポリシーのクラス マップの設定

レイヤ 3 およびレイヤ 4 ファイアウォール ポリシーのポリシー マップの作成

パラメータ マップの設定

検査パラメータ マップの作成

URL フィルタ パラメータ マップの作成

レイヤ 7 プロトコル固有パラメータ マップの設定

ゾーンベース ファイアウォール アプリケーションでの OoO パケット処理のサポートの設定

ゾーンベース ファイアウォール アプリケーションでのイントラゾーンのサポートの設定

レイヤ 7 プロトコル固有ファイアウォール ポリシーの設定

レイヤ 7 のクラス マップとポリシー マップの制約

HTTP ファイアウォール ポリシーの設定

URL フィルタ ポリシーの設定

IMAP ファイアウォール ポリシーの設定

インスタント メッセンジャ ポリシーの設定

ピアツーピア ポリシーの設定

POP3 ファイアウォール ポリシーの設定

SMTP ファイアウォール ポリシーの設定

SUNRPC ファイアウォール ポリシーの設定

セキュリティ ゾーンおよびゾーン ペアの作成と、ゾーン ペアへのポリシー マップの付加

セキュリティ ゾーンの制約

Cisco IOS ファイアウォールと WAAS の相互運用の設定

ゾーンベース ポリシー ファイアウォールの設定例

例:レイヤ 3 およびレイヤ 4 ファイアウォール ポリシーの設定

例:レイヤ 7 ファイアウォール ポリシーの設定

例:セキュリティ ゾーンの設定

例:ゾーン ペアの設定

例:セキュリティ ゾーンへのインターフェイスの割り当て

例:ゾーン ペアへのポリシー マップの付加

例:URL フィルタ ポリシーの設定:Websense

例:Websense サーバの設定

例:Websense クラス マップの設定

例:Websense URL フィルタ ポリシーの設定

例:ファイアウォール ポリシーへの URL フィルタの適用

例:Cisco IOS ファイアウォールと WAAS の相互運用の設定

例:クラス マップのプロトコル一致データが増加しない

参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

ゾーンベース ポリシー ファイアウォールの機能情報

ゾーンベース ポリシー ファイアウォール

このモジュールでは、ゾーンと呼ばれるインターフェイス グループの間の Cisco IOS 単方向ファイアウォール ポリシーについて説明します。Cisco IOS 単方向ファイアウォール ポリシーがリリースされるまでは、Cisco IOS ファイアウォールはインターフェイス上の検査ルールとしてのみ設定されていて、検査ルールが適用される方向に基づいて対象のインターフェイスの入力トラフィックまたは出力トラフィックが検査されていました。

機能情報の検索

ご使用のソフトウェア リリースが、このモジュールで説明している機能の一部をサポートしていない場合があります。最新の機能情報および警告については、ご使用のプラットフォームおよびソフトウェア リリースのリリースノートを参照してください。このモジュールに記載されている機能に関する情報を検索したり、各機能がサポートされているリリースに関するリストを参照したりするには、「ゾーンベース ポリシー ファイアウォールの機能情報」を参照してください。

Cisco Feature Navigator を使用すると、プラットフォーム、およびシスコ ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスしてください。Cisco.com のアカウントは必要ありません。

ゾーンベース ポリシー ファイアウォールの前提条件

ゾーンを作成する前に、ゾーンの構成について検討する必要があります。全般的なガイドラインは、セキュリティの観点から見たときに同類のインターフェイスをグループ化することです。

Wide Area Application Services(WAAS)と Cisco IOS ファイアウォールの相互運用性機能は、Release 12.4(11)T2 以降のリリースの Cisco IOS ゾーンベース ポリシー ファイアウォール機能に のみ 適用されます。Release 12.4(11)T2 よりも前の Cisco IOS ファイアウォールには、Cisco WAAS との相互運用性に関する機能拡張は組み込まれていません。

ゾーンベース ポリシー ファイアウォールの制約

コンフィギュレーションにセキュリティ ゾーンとインターフェイス上の検査ルール(以前の手法)の両方を含めても機能する可能性はありますが、そのようなコンフィギュレーションは推奨されません。

Cisco IOS Releases 12.4(20)T および 12.4(15) では、ネストされたクラスマップ コンフィギュレーション内の match ステートメントについて、 show policy-map type inspect zone-pair コマンド出力の累積カウンタは増加しません。このカウンタに関する問題は、トップ レベル クラス マップで match-any match-all のどちらのキーワードが使用されているかにかからわず存在します。詳細については、「例:クラス マップのプロトコル一致データが増加しない」を参照してください。

Cisco IOS Release 12.4(15)T では、クラス マップでのインスペクションのために Simple Mail Transfer Protocol(SMTP; シンプル メール転送プロトコル)が設定されている場合に、Extended Simple Mail Transfer Protocol(ESMTP; 拡張シンプル メール転送プロトコル)のインスペクションを設定する必要があるとき、 match protocol smtp extended コマンドを追加する前に no match protocol smtp コマンドを入力する必要があります。通常の SMTP インスペクションに戻すには、 no match protocol smtp extended コマンドを使用してから match protocol smtp コマンドを入力します。

特定のリリースでこれらのコマンドが適切な順序で設定されていない場合は、次のエラーが表示されます。
%Cannot add this filter.Remove match protocol smtp filter and then add this filter

WAAS および Cisco IOS ファイアウォール コンフィギュレーションでは、Web Cache Coordination Protocol(WCCP)をサポートするために、Wide Area Application Engine(WAE)デバイスによって処理されるすべてのパケットは両方向で Cisco IOS ファイアウォールを通過する必要があります。この状況が起こるのは、Release 12.4T でレイヤ 2 リダイレクトが使用できないためです。WAE でレイヤ 2 リダイレクトが設定されている場合は、動作を続けるためにデフォルトの GRE リダイレクトが使用されます。

WAAS および Cisco IOS ファイアウォール コンフィギュレーションでは、WCCP は Policy-Based Routing(PBR; ポリシーベース ルーティング)を使用したトラフィック リダイレクトをサポートしません。

ゾーンベース ポリシー ファイアウォールに関する情報

「トップレベルのクラス マップとポリシー マップ」

「アプリケーション固有のクラス マップとポリシー マップ」

「ゾーン」

「セキュリティ ゾーン」

「ゾーン ペア」

「ゾーンとインスペクション」

「ゾーンと ACL」

「ゾーンと VRF 認識ファイアウォール」

「ゾーンとトランスペアレント ファイアウォール」

「セキュリティ ゾーン ファイアウォール ポリシーの概要」

「ゾーンベース ポリシー ファイアウォールのクラス マップとポリシー マップ」

「パラメータ マップ」

「Cisco IOS ファイアウォールに関する WAAS のサポート」

「ゾーンベース ファイアウォール アプリケーションでの Out-of-Order パケット処理のサポート」

「ゾーンベース ファイアウォール アプリケーションでのイントラゾーンのサポート」

トップレベルのクラス マップとポリシー マップ

トップレベル クラス マップを使用すると、トラフィック ストリームを高いレベルで識別できます。これは match access-group コマンドと match protocol コマンドによって実現されます。これらのクラス マップは、アプリケーション レベル(レイヤ 7 レベル)でのトラフィックの分類には使用できません。トップレベル クラス マップは「レイヤ 3 クラス マップ」または「レイヤ 4 クラス マップ」とも呼ばれます。

トップレベル ポリシー マップでは、 inspect drop pass urlfilter などのキーワードを使用して高レベルのアクションを定義できます。これらのポリシー マップはターゲット(ゾーン ペア)に付加できます。トップレベル ポリシー マップには「子」ポリシー(「アプリケーション固有レイヤ 7 ポリシー」とも呼ばれます)を含めることができます。


) 検査ポリシー マップで使用できるのは検査クラス マップのみです。


アプリケーション固有のクラス マップとポリシー マップ

アプリケーション固有クラス マップを使用すると、特定のプロトコルのアトリビュートに基づいてトラフィックを識別できます。これらのクラス マップの一致基準はすべて、ある特定のアプリケーション(HTTP や SMTP など)のみに適用されます。アプリケーション固有クラス マップは追加のサブタイプ(通常はタイプ inspect にプロトコル名(HTTP や SMTP)を加えたもの)によって識別されます。

アプリケーション固有ポリシー マップは、アプリケーション プロトコルのポリシーを指定するために使用します。たとえば、Unique Resource Identifier(URI)の長さが 256 バイトを超える HTTP トラフィックをドロップする場合は、それを行う HTTP ポリシー マップを設定する必要があります。アプリケーション固有ポリシー マップはターゲット(ゾーン ペア)に直接付加できません。トップレベルのレイヤ 3 またはレイヤ 4 ポリシー マップの「子」ポリシーとして設定する必要があります。

ゾーン

ゾーンとは、同様の機能を持つインターフェイスのグループです。ゾーンは Cisco IOS ファイアウォールの適用対象を指定する手段となります。

たとえば、ルータ上のイーサネット 0/0 インターフェイスとイーサネット 0/1 インターフェイスがローカル LAN に接続される場合があります。これら 2 つのインターフェイスはどちらも内部ネットワークを表すという点で同類なので、ファイアウォール コンフィギュレーションのゾーンとしてグループ化できます。

同じゾーンに属するインターフェイス間のトラフィックはどのポリシーにも従いません。このようなトラフィックは自由に通過します。

ファイアウォール ゾーンはセキュリティ機能のために使用されます。

セキュリティ ゾーン

セキュリティ ゾーンとは、あるポリシーを適用できるインターフェイスのグループです。

インターフェイスをゾーンにグループ化するには次の 2 つの手順を実行します。

インターフェイスを所属させるゾーンを作成する。

インターフェイスを特定のゾーンのメンバーとして設定する。

同じゾーンのメンバーであるインターフェイスの間では、デフォルトでトラフィックが流れます。

あるインターフェイスがセキュリティ ゾーンのメンバーである場合、そのインターフェイスへの入力トラフィック、およびそのインターフェイスからの出力トラフィックはすべてドロップされます(ただし、そのルータ宛てのトラフィック、またはそのルータによって開始されたトラフィックは除きます)。ゾーンメンバー インターフェイスへの入力トラフィック、およびゾーンメンバー インターフェイスからの出力トラフィックを許可するには、ゾーン ペアによってゾーン部分を作成してから、そのゾーン ペアにポリシーを適用する必要があります。ポリシーの inspect または pass アクションによってトラフィックが許可される場合は、そのインターフェイスを通じてトラフィックが流れます。

ルータ上のすべてのインターフェイスの間でトラフィックが流れるようにするには、すべてのインターフェイスをいずれかのセキュリティ ゾーンのメンバーにする必要があります。

必ずしもすべてのルータ インターフェイスをセキュリティ ゾーンのメンバーにする必要はありません。

図 1 は次のことを示します。

インターフェイス E0 と E1 はセキュリティ ゾーン Z1 のメンバーです。

インターフェイス E2 はセキュリティ ゾーン Z2 のメンバーです。

インターフェイス E3 はどのセキュリティ ゾーンのメンバーでもありません。

図 1 セキュリティ ゾーンの制約

 

次の状況が存在します。

インターフェイス E0 と E1 は同じセキュリティ ゾーン(Z1)のメンバーなので、インターフェイス E0 と E1 の間のトラフィックは自由に流れます。

ポリシーが設定されていない場合、その他のインターフェイスの間(たとえば、E0 と E2 の間、E1 と E2 の間、E3 と E1 の間、E3 と E2 の間など)ではトラフィックは流れません。

ゾーン Z1 とゾーン Z2 の間でトラフィックを許可する明示的なポリシーが設定されている場合に限り、E0 または E1 と E2 の間でトラフィックが流れます。

E3 はどのセキュリティ ゾーンにも属していないため、E3 と E0/E1/E2 の間にトラフィックは流れません。

セキュリティ ゾーンのメンバーとしての仮想インターフェイス

仮想テンプレート インターフェイスは、特定の目的のため、または特定のユーザに共通のコンフィギュレーションを定義するための汎用的なコンフィギュレーション情報と、ルータに依存した情報を組み合わせて設定された論理インターフェイスです。このテンプレートには、仮想アクセス インターフェイスに適用される Cisco IOS インターフェイス コマンドが必要に応じて含まれます。仮想テンプレート インターフェイスを設定するには、 interface virtual-template コマンドを使用します。

仮想インターフェイスをセキュリティ ゾーンのメンバーにすることができます。仮想テンプレート インターフェイスをゾーンのメンバーにすると、そのテンプレートから作成したすべての仮想アクセス インターフェイスがそのゾーンのメンバーになります。

ゾーン メンバー情報が RADIUS サーバから取得された後、動的に作成されたインターフェイスがそのゾーンのメンバーになります。

zone-member security コマンドは、動的インターフェイスを対応するゾーンに追加します。

ゾーン ペア

ゾーン ペアを使用すると、2 つのセキュリティ ゾーンの間で単方向のファイアウォール ポリシーを指定できます。

ゾーン ペアを定義するには、 zone-pair security コマンドを使用します。トラフィックの方向は、送信元ゾーンと宛先ゾーンを指定することによって定義します。ゾーン ペアの送信元ゾーンと宛先ゾーンはセキュリティ ゾーンである必要があります。同じゾーンを送信元ゾーンと宛先ゾーンの両方として定義することはできません。

必要であれば、デフォルトのセルフ ゾーンを送信元ゾーンまたは宛先ゾーンとして選択できます。セルフ ゾーンはシステムによって定義されたゾーンです。セルフ ゾーンにはどのインターフェイスもメンバーとして含まれていません。セルフ ゾーンを含むゾーン ペアは、関連するポリシーとともに、ルータ宛てのトラフィックまたはルータによって生成されたトラフィックに適用されます。ルータを経由するトラフィックには適用されません。

ファイアウォールの最も一般的な使い方はルータを経由するトラフィックに適用することなので、通常は少なくとも 2 つのゾーンが必要です(つまり、セルフ ゾーンは使用できません)。


) 検査ポリシングは、セルフ ゾーンを含むゾーン ペアに付加されたポリシーでは許可されません。


ゾーンメンバー インターフェイス間のトラフィックを許可するには、そのゾーンと別のゾーンとの間のトラフィックを許可する(または検査する)ポリシーを設定する必要があります。ファイアウォール ポリシー マップをターゲット ゾーン ペアに付加するには、 service-policy type inspect コマンドを使用します。

図 2 に、ゾーン Z1 からゾーン Z2 への方向に流れるトラフィック(つまり、入口インターフェイスがゾーン Z1 のメンバーで、出口インターフェイスがゾーン Z2 のメンバーであるトラフィック)にファイアウォール ポリシーを適用する例を示します。

図 2 ゾーン ペア

 

2 つのゾーンがあり、両方向(Z1 から Z2 への方向と Z2 から Z1 への方向)のトラフィックに対するポリシーが必要な場合は、2 つのゾーン ペア(各方向について 1 つずつ)を設定する必要があります。

ゾーン ペアの間でポリシーが設定されていない場合、トラフィックはドロップされます。ただし、リターン トラフィックのためだけにゾーン ペアとサービス ポリシーを設定する必要はありません。あるサービス ポリシーで順方向のトラフィックが許可されている場合、リターン トラフィックはデフォルトで許可されます。図 2 では、Z2 から Z1 へのリターン トラフィックを許可するためだけに送信元 Z2、宛先 Z1 のゾーン ペアを設定することは必須ではありません。Z1-Z2 ゾーン ペアに対するサービス ポリシーがこれを処理します。

ゾーンとインスペクション

ゾーンベース ポリシー ファイアウォールは、ファイアウォール ポリシーの入口および出口インターフェイスから送信元ゾーンと宛先ゾーンを調べます。特定のインターフェイスへの入力トラフィック、または特定のインターフェイスからの出力トラフィックをすべて検査する必要はありません。ゾーン ペア全体にポリシー マップを適用することで、そのゾーン ペア内の個々のフローを検査するよう指定できます。このポリシー マップには、個々のフローを指定するクラス マップを含めます。

たとえば、内部から外部へのトラフィックについて、192.168.1.0/24(エンジニア)ではホストの HTTP URL フィルタリングを実行し、192.168.2.0/24(マネージャ)ではプレーン HTTP インスペクションのみを実行するポリシー マップを指定できます。

こうすると 2 つのフロー(192.168.1.0/24 から任意の出力先、192.168.2.0/24 から任意の出力先)が生成されるので、各フローに異なる検査パラメータを適用して目的の動作を実現できます。ゾーンベース ポリシー ファイアウォールは、内部からインターネットへのトラフィック(送信元ゾーンが内部で宛先ゾーンが外部)を許可します。

また、フローごとに TCP しきい値やタイムアウトなどの inspect パラメータを設定することもできます。

ゾーンと ACL

インターフェイスの Access Control List(ACL; アクセス コントロール リスト)では、リターン トラフィック用のピンホールは開かれません。

ゾーンのメンバーであるインターフェイスに適用される ACL は、ポリシーがゾーン ペアに適用される前に処理されます。そのため、ゾーン間にポリシーがあるときは、ポリシー ファイアウォール トラフィックが妨げられないように、インターフェイスの ACL を緩和する必要があります。

ゾーンと VRF 認識ファイアウォール

Cisco IOS ファイアウォールは VPN Routing and Forwarding(VRF; VPN ルーティングおよび転送)を認識し、異なる VRF 間での IP アドレスの重複や各 VRF の異なるしきい値とタイムアウトなどを処理します。ゾーン内のすべてのインターフェイスは同じ VRF に属する必要があります。

ただし、各 VRF はそれぞれ異なるエンティティに属し、通常は固有のポリシーを持っているため、異なる VRF に属するインターフェイスを同じゾーンにグループ化しないでください。

図 3 に示すように、異なる VRF を含む 2 つのゾーン間でゾーン ペアを設定できます。

ルータで複数の VRF が設定されていて、あるインターフェイスですべての VRF に共通のサービス(インターネット サービスなど)が提供されている場合は、そのインターフェイスを別のゾーンに配置します。そうしてから、共通ゾーンと他のゾーンとの間にポリシーを定義できます(ゾーンは VRF ごとに 1 つ以上作成できます)。

図 3 ゾーンと VRF

 

図 3 では、共通サービスを提供するインターフェイスはゾーン「common」のメンバーです。VRF A に属するインターフェイスはすべて単一ゾーンの vrf_A に含まれています。VRF B には複数のインターフェイスが含まれており、vrf_B_1 と vrf_B_2 の複数のゾーンに分割されています。ゾーン Z1 には VRF インターフェイスは含まれていません。これらの各ゾーンと共通ゾーンの間でポリシーを指定できます。また、VRF ルート エクスポートが設定されていて、トラフィック パターンに意味がある場合は、vrf_A、vrf_B_n、Z1 の各ゾーンの間でもポリシーを指定できます。ゾーン vrf_A と vrf_B_1 の間でポリシーを設定できますが、両者の間をトラフィックが流れるようにする必要があります。

VRF ごとにグローバルなしきい値とタイマーを指定する必要はありません。その代わりに、パラメータ マップによって inspect アクションにパラメータが提供されます。

ゾーンとトランスペアレント ファイアウォール

Cisco IOS ファイアウォールはトランスペアレント ファイアウォールをサポートしています。トランスペアレント ファイアウォールでは、インターフェイスはブリッジ モードになり、ブリッジされたトラフィック上で IP ファイアウォールが実行されます。

トランスペアレント ファイアウォールを設定するには、 bridge コマンドを使用して指定したブリッジで指定したプロトコルのブリッジングをイネーブルにし、 zone-member security コマンドを使用してインターフェイスをゾーンに付加します。インターフェイス上の bridge コマンドは、そのインターフェイスがブリッジ モードであることを示します。

ブリッジされたインターフェイスをゾーンのメンバーにすることができます。典型的な例では、レイヤ 2 ドメインを複数のゾーンに分割し、レイヤ 3 インターフェイスと同じようにポリシーを適用します。

P2P インスペクションに関するトランスペアレント ファイアウォールの制約

Cisco IOS ファイアウォールは、Peer-to-Peer(P2P; ピアツーピア)プロトコルの分類とポリシーの施行に Network-Based Application Recognition(NBAR)を使用します。NBAR はブリッジされたパケットには使用できません。そのため、トランスペアレント ブリッジングをイネーブルにしたファイアウォールでは一部の P2P パケット インスペクションはサポートされません。

セキュリティ ゾーン ファイアウォール ポリシーの概要

クラスは、その内容に基づいて一連のパケットを識別する手段です。クラスを定義するのは通常、識別されたトラフィックに対してポリシーを反映するアクションを適用できるようにするためです。クラスはクラス マップによって指定します。

アクションは特定の機能であり、通常はトラフィック クラスに関連付けます。たとえば、 inspect drop pass police などのアクションがあります。

ファイアウォール ポリシーを作成するには、次の作業を実行します。

一致基準を定義する(クラス マップ)。

一致基準にアクションを関連付ける(ポリシー マップ)。

ポリシー マップをゾーン ペアに付加する(サービス ポリシー)。

class-map コマンドは、指定したクラスへのパケットのマッチングに使用するクラス マップを作成します。 service-policy コマンドの設定方法によって決定されるターゲット(入力インターフェイス、出力インターフェイス、ゾーン ペアなど)に到着したパケットを、クラス マップに設定された一致基準と照合して、パケットがそのクラスに属するかどうかが判断されます。

policy-map コマンドはポリシー マップを作成または修正します。作成されたポリシー マップは、サービス ポリシーを指定するために 1 つ以上のターゲットに付加できます。 policy-map コマンドを使用して作成、追加、または修正するポリシー マップの名前を指定してから、クラス マップで一致基準を定義したクラスに対するポリシーを設定します。

ゾーンベース ポリシー ファイアウォールのクラス マップとポリシー マップ

Quality of Service(QoS)クラス マップにはさまざまな一致基準がありますが、ファイアウォールの一致基準はそれほど多くありません。ファイアウォール クラス マップは inspect というタイプを持ちます。この情報によって、ファイアウォール クラス マップの下に何が表示されるかが決まります。

ポリシーはトラフィック クラスとアクションを関連付けるものです。ポリシーは、定義されたトラフィック クラスに対して実行されるアクションを指定します。アクションは特定の機能であり、通常はトラフィック クラスに関連付けます。たとえば、 inspect police drop などのアクションがあります。

レイヤ 3 およびレイヤ 4 のクラス マップとポリシー マップ

レイヤ 3 およびレイヤ 4 クラス マップは、異なるアクションを実行する対象のトラフィック ストリームを識別するために使用されます。

レイヤ 3 またはレイヤ 4 ポリシー マップは、トラフィックの基本的なインスペクションに十分足ります。

次の例は、ACL 101 と HTTP プロトコルの一致基準を含むクラス マップ c1 を設定し、さらに p1 という名前の検査ポリシー マップを作成して c1 に一致するトラフィックのパケットをドロップするよう指定する方法を示します。

Router(config)# class-map type inspect match-all c1
Router(config-cmap)# match access-group 101
Router(config-cmap)# match protocol http
 
Router(config)# policy-map type inspect p1
Router(config-pmap)# class type inspect c1
Router(config-pmap-c)# drop
 

レイヤ 3 またはレイヤ 4 ポリシーを作成するには、レイヤ 7 プロトコル固有ファイアウォール ポリシーの設定を参照してください。

クラスマップ コンフィギュレーションの制約

トラフィックが複数の一致基準を満たす場合は、限定性が高い順に一致基準を適用する必要があります。たとえば、次のクラス マップの例について考えます。

class-map type inspect match-any my-test-cmap
match protocol http
match protocol tcp
 

この例では、HTTP トラフィックが HTTP インスペクションのサービス固有機能によって確実に処理されるようにするため、トラフィックがまず match protocol http コマンドに遭遇するようにする必要があります。「match」行を逆にすると、 match protocol http コマンドと比較される前に match protocol tcp コマンドに遭遇するため、トラフィックは単に TCP トラフィックとして分類され、ファイアウォールの TCP インスペクション コンポーネントの機能に従って検査されます。このコンフィギュレーションは、FTP や TFTP などのサービスや、H.323、Session Initiation Protocol(SIP)、Skinny、RTSP などのマルチメディアおよび音声シグナリング サービスにとっては問題となります。これらのサービスには、より複雑なアクティビティを認識するために追加のインスペクション機能が必要です。

レイヤ 3 およびレイヤ 4 ポリシー マップ内でのトラフィックのレート制限(ポリシング)

Cisco IOS Release 12.4(9)T では、検査ポリシー内で police コマンドを使用して、インスタント メッセンジャや P2P などのアプリケーションに許可する同時接続数を制限できます。

police コマンドを効果的に使用するには、検査ポリシー マップ内で Cisco IOS ステートフル パケット インスペクションもイネーブルにする必要があります。( inspect コマンドによって)検査アクションを設定せずに police コマンドを設定した場合は、エラー メッセージが発生して police コマンドは拒否されます。

既存のポリシング アクションとの互換性

モジュラ Quality of Service(QoS)CLI(MQC)ポリシー マップでプロビジョニングされたポリシング アクションは、インターフェイスに対する入力および出力ポリシーとして適用されます。検査ポリシー マップはゾーン ペアにのみ適用できます。インターフェイスには適用できません。このポリシング アクションは、ゾーン ペアを通過するトラフィックに対して施行されます(方向はゾーン ペアの指定に含まれています)。したがって、ゾーン ペアを構成するインターフェイスにはポリシング アクションを含む QoS ポリシーが存在でき、ゾーン ペア全体に適用される検査ポリシー マップにもポリシング アクションが存在できます。両方のポリシング アクションを設定した場合は、入力インターフェイス ポリサー、ゾーン ペア ポリサー、出力インターフェイス ポリサーの順に実行されます。QoS ポリサーと検査ポリサーは連携しません。

ポリシングの制約

ポリシング アクションは、「セルフ」ゾーンを含むゾーン ペアに付加されたポリシーでは許可されません。この作業を実行する場合は、コントロール プレーン ポリシングを使用する必要があります。

ポリシングはレイヤ 3 およびレイヤ 4 ポリシー マップでのみ指定できます。レイヤ 7 ポリシー マップでは指定できません。

レイヤ 7 のクラス マップとポリシー マップ

レイヤ 7 クラス マップは、Deep Packet Inspection(DPI; ディープ パケット インスペクション)のためにのみ検査ポリシー マップで使用できます。

レイヤ 7 クラス マップを作成するには、目的のプロトコルに対して class-map type inspect コマンドを使用します。たとえば HTTP プロトコルの場合は、 class-map type inspect http コマンドを入力します。

クラス マップのタイプ(HTTP など)によって、使用できる一致基準が決まります。たとえば、Java アプレットを含む HTTP トラフィックを指定する場合は、「inspect HTTP」クラス マップのコンテキストで「match response body java」ステートメントを指定する必要があります。

レイヤ 7 ポリシー マップは、アプリケーションレベルでのトラフィックのインスペクションを実現します。このポリシー マップには、同じタイプのクラス マップのみを含めることができます。

DPI 機能は、レイヤ 7 クラス マップとポリシー マップを通じて提供されます。

レイヤ 7 ポリシー マップを作成するには、該当する policy-map type inspect コマンドでプロトコルを指定します。たとえば、レイヤ 7 HTTP ポリシー マップを作成するには、 policy-map type inspect http コマンドを使用します。このコマンドには、HTTP ポリシーマップ名を入力するための引数があります。

プロトコル名を指定しない場合(たとえば、 policy-map type inspect コマンドを使用する場合)は、レイヤ 3 またはレイヤ 4 ポリシー マップが作成されます。これは常に検査タイプ ポリシー マップになります。

レイヤ 7 ポリシー マップはレイヤ 3 またはレイヤ 4 ポリシー マップに含める必要があります。ターゲットに直接付加することはできません。レイヤ 7 ポリシー マップをトップレベル ポリシー マップに付加するには、 service-policy (policy-map)コマンドを使用し、アプリケーション名(HTTP、IMAP、POP3、SMTP、SUNRPC のいずれか)を指定します。レイヤ 7 ポリシーを付加する前に、その親クラスに 1 つのレイヤ 7 プロトコルのみに一致する明示的な一致基準を設定しておく必要があります。

レイヤ 7 ポリシー マップが下位のレベルにある場合は、レイヤ 7 ポリシー マップの親レベルで inspect アクションを指定する必要があります。

レイヤ 7 でサポートされているプロトコル

レイヤ 7 クラス マップとポリシー マップは次のプロトコルに対して作成できます。

America Online(AOL)Instant Messenger(IM; インスタント メッセンジャ)プロトコル

eDonkey P2P プロトコル

FastTrack トラフィック P2P プロトコル

Gnutella バージョン 2 トラフィック P2P プロトコル

H.323 VoIP プロトコル バージョン 4

HTTP:テキスト ファイルやグラフィック ファイルなどのファイルを転送するために Web ブラウザや Web サーバで使用されるプロトコル

Internet Message Access Protocol(IMAP):共有可能なメール サーバに保管された電子メールや掲示板メッセージにアクセスする方法

I Seek You(ICQ)IM プロトコル

Kazaa バージョン 2 P2P プロトコル

MSN Messenger IM プロトコル

Post Office Protocol, Version 3(POP3):クライアント電子メール アプリケーションがメール サーバからメールを取得するために使用するプロトコル

SIP:Session Initiation Protocol(SIP)

SMTP:Simple Network Management Protocol

SUNRPC:Sun Remote Procedure Call(RPC; リモート プロシージャ コール)

Windows Messenger IM プロトコル

Yahoo IM プロトコル

レイヤ 7 クラス マップおよびポリシー マップ(ポリシー)の設定の詳細については、レイヤ 7 プロトコル固有ファイアウォール ポリシーの設定を参照してください。

class-default クラス マップ

ユーザ定義のクラスに加えて、class-default という名前のシステム定義クラス マップがあります。このクラス マップは、ポリシー内のどのユーザ定義クラスとも一致しないすべてのパケットを表します。class-default は常にポリシー マップ内の最後のクラスです。

このグループのパケットに対して明示的なアクションを定義できます。検査ポリシーで class-default に対してアクションを設定しない場合、デフォルトのアクションは drop です。

次の例は、ポリシー マップで class-default を使用する方法を示します。この例では、HTTP トラフィックはドロップされ、残りのトラフィックが検査されます。HTTP トラフィックに対してクラス マップ c1 が定義されており、ポリシー マップ p1 で class-default が使用されています。

Router(config)# class-map type inspect match-all c1
Router(config-cmap)# match protocol http
 
Router(config)# policy-map type inspect p1
Router(config-pmap)# class type inspect c1
Router(config-pmap-c)# drop
Router(config-pmap)# class class-default
Router(config-pmap-c)# inspect

階層ポリシー マップ

あるポリシーの中でポリシーをネストできます。ネストされたポリシーを含むポリシーのことを「階層ポリシー」と呼びます。

階層ポリシーを作成するには、ポリシーをトラフィックのクラスに直接付加します。階層ポリシーには子ポリシーと親ポリシーが含まれます。子ポリシーはすでに定義されたポリシーで、 service-policy コマンドによって新しいポリシーに関連付けられます。既存のポリシーを使用する新しいポリシーが親ポリシーになります。


) 階層検査サービス ポリシーに作成できる階層レベルは 2 レベルまでです。


パラメータ マップ

パラメータ マップを使用すると、ポリシー マップで指定したアクションとクラス マップで指定した一致基準の動作を制御するパラメータを指定できます。

パラメータ マップには次の 3 種類があります。

検査パラメータ マップ

検査パラメータ マップは任意です。パラメータ マップを設定しない場合は、デフォルトのパラメータが使用されます。検査アクションに関連付けられたパラメータは、ネストされたすべてのアクション(存在する場合)に適用されます。トップ レベルと下位レベルの両方でパラメータを指定すると、下位レベルのパラメータがトップ レベルのパラメータよりも優先されます。

URL フィルタ パラメータ マップ

URL フィルタリング(レイヤ 3 またはレイヤ 4 ポリシー マップでの URL フィルタ アクションと URL フィルタ パラメータ マップによる URL フィルタリング)にはパラメータ マップが必要です。

プロトコル固有パラメータ マップ

インスタント メッセンジャ アプリケーション(レイヤ 7)のポリシー マップにはパラメータ マップが必要です。

Cisco IOS ファイアウォールに関する WAAS のサポート

Cisco IOS Release 12.4(15)T で導入された WAAS ファイアウォール ソフトウェアは、セキュリティに準拠した WAN やアプリケーション高速化ソリューションを最適化する統合されたファイアウォールで、次のような利点があります。

フル ステートフル インスペクション機能によって WAN を最適化する。

Payment Card Industry(PCI)への準拠を容易にする。

透過的な WAN 高速化トラフィックを保護する。

WAAS ネットワークを透過的に統合する。

Network Management Equipment(NME)WAE モジュールまたはスタンドアロン WAAS デバイスの導入をサポートする。

WAAS は初期スリーウェイ ハンドシェイク時に TCP オプションを使用する自動検出メカニズムを備えており、これによって WAE デバイスを透過的に識別します。自動検出の後、最適化されたトラフィック フロー(パス)の TCP シーケンス番号が変更されます。これにより、エンドポイントが最適化されたトラフィック フローと最適化されていないトラフィック フローを区別できるようになります。


) 「パス」は「接続」と同義です。


Cisco IOS ファイアウォールは WAAS によるシーケンス番号の変更を許可することで、内部ファイアウォール TCP ステート変数を含む TCP トラフィック フローのステートフル レイヤ 4 インスペクションに支障を来すことなく最適化されたトラフィックを自動的に検出できます。これらの変数は、WAE デバイスの存在に合わせて調整されます。

Cisco IOS ファイアウォールは、トラフィック フローで WAAS による自動検出が正常に完了したことを認識すると、そのトラフィック フローの初期シーケンス番号の移行を許可し、最適化されたトラフィック フローに関するレイヤ 4 ステートを維持します。


) クライアント側でのステートフル レイヤ 7 インスペクションは、最適化されていないトラフィックでも実行できます。


WAAS トラフィック フロー最適化の展開シナリオ

以降の項に、ブランチ オフィスへの展開に関する 3 パターンの WAAS トラフィック フロー最適化シナリオを示します。WAAS トラフィック フロー最適化は、Cisco Integrated Services Router(ISR; サービス統合型ルータ)上の Cisco IOS ファイアウォール機能と連携します。

「オフパス デバイスを使用した WAAS ブランチ展開」

「インライン デバイスを使用した WAAS ブランチ展開」

図 4 に、Cisco IOS ファイアウォールと連携したエンドツーエンドの WAAS トラフィック フロー最適化の例を示します。この特定の展開では、NME-WAE デバイスが Cisco IOS ファイアウォールと同じルータ上にあります。インターセプトのためのトラフィックのリダイレクトには WCCP が使用されます。

図 4 エンドツーエンドの WAAS 最適化パス

 

オフパス デバイスを使用した WAAS ブランチ展開

WAE デバイスは、(図 4 に示すように)ISR 上に統合サービス エンジンとしてインストールされた NME-WAE を使用するほかに、スタンドアロンの WAE デバイスを使用することもできます。

図 5 に示す WAAS ブランチ展開の例は、トラフィックをインターセプトするために WCCP を使用してトラフィックをオフパスのスタンドアロン WAE デバイスにリダイレクトします。このオプションのコンフィギュレーションは、NME-WAE を使用した WAAS ブランチ展開と同じです。

図 5 WAAS オフパス ブランチ展開

 

インライン デバイスを使用した WAAS ブランチ展開

図 6 に、ISR ルータの前に物理的なインライン WAE デバイスを配置した WAAS ブランチ展開の例を示します。WAE デバイスがルータの前にあるため、Cisco IOS ファイアウォールが WAAS 最適化パケットを受け取ることになり、クライアント側でのレイヤ 7 インスペクションはサポートされません。

図 6 WAAS インライン パス ブランチ展開

 

ブランチ オフィス サイトで WAN 接続へのトラフィック、および WAN 接続からのトラフィックを検査する場合は、そのサイトで Cisco IOS ファイアウォールを備えたエッジ WAAS デバイスを使用します。Cisco IOS ファイアウォールはトラフィックの最適化インジケータ(TCP オプションと後続の TCP シーケンス番号の変更)をモニタして最適化されたトラフィックを通過させるとともに、レイヤ 4 ステートフル インスペクションとディープ パケット インスペクションを引き続きすべてのトラフィックに適用します。これにより、WAAS 最適化の利点を享受しながらセキュリティが維持されます。


) WAE デバイスがインライン位置にある場合、そのデバイスは自動検出プロセスの後にバイパス モードになります。ルータは WAAS 最適化に直接関与しませんが、Cisco IOS ファイアウォール インスペクションをネットワーク トラフィックに適用するため、および最適化インジケータが存在する場合に最適化アクティビティを考慮するために、WAAS 最適化がトラフィックに適用されていることを認識している必要があります。


ゾーンベース ファイアウォール アプリケーションでの Out-of-Order パケット処理のサポート

Common Classification Engine(CCE)ファイアウォール アプリケーションで Out-of-Order(OoO)パケット処理がサポートされ、Intrusion Prevention System(IPS; 侵入防御システム)で CCE が採用されていることにより、誤った順序で到着したパケットを正しい順序でコピーして再構築できます。この機能拡張をイネーブルにすると、ドロップされたパケットを再送信する必要性が低下し、ネットワーク上の送信に必要な帯域幅が減少します。OoO のサポートを設定するには、 parameter-map type ooo global コマンドを使用します。


) IPS セッションは、parameter-map type ooo global コマンドを使用して設定された OoO パラメータを使用します。



) SMTP ではパケットの変更を必要とするマスキング アクションがサポートされているため、OoO 処理はサポートされません。


OoO パケット処理のサポートは、次のプロトコルの Deep Packet Inspection(DPI; ディープ パケット インスペクション)を実行するレイヤ 7 ポリシーを設定した場合にはデフォルトでイネーブルになります。

AOL IM プロトコル

eDonkey P2P プロトコル

FastTrack トラフィック P2P プロトコル

Gnutella バージョン 2 トラフィック P2P プロトコル

H.323 VoIP プロトコル バージョン 4

HTTP:テキスト ファイルやグラフィック ファイルなどのファイルを転送するために Web ブラウザや Web サーバで使用されるプロトコル

IMAP:共有可能なメール サーバに保管された電子メールや掲示板メッセージにアクセスする方法

ICQ IM プロトコル

Kazaa バージョン 2 P2P プロトコル

Match Protocol SIP:Match Protocol Session Initiation Protocol(SIP)

MSN Messenger IM プロトコル

POP3:クライアント電子メール アプリケーションがメール サーバからメールを取得するために使用するプロトコル

SUNRPC:Sun Remote Procedure Call(RPC; リモート プロシージャ コール)

Windows Messenger IM プロトコル

Yahoo IM プロトコル

レイヤ 7 クラス マップおよびポリシー マップ(ポリシー)の設定の詳細については、レイヤ 7 プロトコル固有ファイアウォール ポリシーの設定を参照してください。


) OoO パケットは、Cisco IOS Intrusion Prevention System(IPS; 侵入防御システム)と、L4 インスペクションが設定されたゾーンベース ファイアウォールがイネーブルになっているときにはドロップされます。


ゾーンベース ファイアウォール アプリケーションでのイントラゾーンのサポート

イントラゾーンがサポートされていることで、ネットワーク内部のユーザとネットワーク外部のユーザの両方をゾーン構成に含めることができます。これにより、異なるネットワーク上の同じゾーンに属するユーザ間のトラフィック インスペクションが可能となります。Cisco IOS Release 15.0(1)M までは、ゾーン内のトラフィックはデフォルトで検査されずに通過することが許可されていました。送信元ゾーンと宛先ゾーンが同じであるゾーン ペア定義を設定するには、 zone-pair security コマンドを使用します。これにより、ポリシー マップを付加して同じゾーン内のトラフィックを検査できます。

ゾーンベース ポリシー ファイアウォールの設定方法

ここでは、次の設定手順について説明します。

「レイヤ 3 およびレイヤ 4 ファイアウォール ポリシーの設定」(必須)

「パラメータ マップの設定」(必須)

「ゾーンベース ファイアウォール アプリケーションでの OoO パケット処理のサポートの設定」(任意)

「ゾーンベース ファイアウォール アプリケーションでのイントラゾーンのサポートの設定」(任意)

「レイヤ 7 プロトコル固有ファイアウォール ポリシーの設定」(任意)

「セキュリティ ゾーンおよびゾーン ペアの作成と、ゾーン ペアへのポリシー マップの付加」(必須)

「Cisco IOS ファイアウォールと WAAS の相互運用の設定」(任意)

レイヤ 3 およびレイヤ 4 ファイアウォール ポリシーの設定

レイヤ 3 およびレイヤ 4 ポリシーは、ターゲット(ゾーン ペア)に付加される「トップ レベル」ポリシーです。レイヤ 3 およびレイヤ 4 ファイアウォール ポリシーを設定するには、次の作業を実行します。

「レイヤ 3 およびレイヤ 4 ファイアウォール ポリシーのクラス マップの設定」

「レイヤ 3 およびレイヤ 4 ファイアウォール ポリシーのポリシー マップの作成」

レイヤ 3 およびレイヤ 4 ファイアウォール ポリシーのクラス マップの設定

ネットワーク トラフィックを分類するためのクラス マップを設定するには、次の作業を実行します。


) 手順 4、5、6 の中から該当する一致基準を少なくとも 1 つ設定する必要があります。


パケットがアクセス グループ、プロトコル、クラス マップのいずれかにマッチングされると、それらのパケットのトラフィック レートが生成されます。ゾーンベース ファイアウォール ポリシーでは、セッションを作成する最初のパケットのみがポリシーとマッチングされます。同じフロー内の後続のパケットは設定されたポリシー内のフィルタとはマッチングされず、代わりに直接セッションとマッチングされます。後続のパケットに関する統計情報は、検査アクションの一部として表示されます。

手順の概要

1. enable

2. configure terminal

3. class-map type inspect [ match-any | match-all ] class-map-name

4. match access-group { access-group | name access-group-name }

5. match protocol protocol-name [ signature ]

6. match class-map class-map-name

7. end

8. show policy-map type inspect zone-pair session

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

class-map type inspect [ match-any | match-all ] class-map-name

 

Router(config)# class-map type inspect match-all c1

レイヤ 3 またはレイヤ 4 の検査タイプ クラス マップを作成し、QoS クラスマップ コンフィギュレーション モードを開始します。

ステップ 4

match access-group { access-group | name access-group-name }

 

Router(config-cmap)# match access-group 101

ACL 名または ACL 番号に基づくクラス マップの一致基準を設定します。

ステップ 5

match protocol protocol-name [ signature ]

 

Router(config-cmap)# match protocol http

指定したプロトコルに基づくクラス マップの一致基準を設定します。

検査タイプ クラス マップの一致基準には、Cisco IOS ステートフル パケット インスペクションでサポートされているプロトコルのみを使用できます。

signature :Peer-to-Peer(P2P; ピアツーピア)パケットのシグニチャに基づく分類をイネーブルにします。

ステップ 6

match class-map class-map-name

 

Router(config-cmap)# match class-map c1

すでに定義したクラスをクラス マップの一致基準として指定します。

ステップ 7

exit

 

Router(config-cmap)# end

特権 EXEC モードに戻ります。

ステップ 8

show policy-map type inspect zone-pair session

 

Router(config-cmap)# show policy-map type inspect zone-pair session

(任意)指定したゾーン ペアへのポリシーマップの適用によって作成された Cisco IOS ステートフル パケット インスペクション セッションを表示します。

(注) クラスマップ フィールドの下に表示される情報は、接続開始トラフィックのみに属するトラフィックのトラフィック レート(ビット/秒)です。接続セットアップ レートが非常に高く、レートが計算される複数のインターバルにわたって高い接続セットアップ レートが持続する場合を除き、接続に関する意味のあるデータは表示されません。

レイヤ 3 およびレイヤ 4 ファイアウォール ポリシーのポリシー マップの作成

後でゾーン ペアに付加するレイヤ 3 およびレイヤ 4 ファイアウォール ポリシーのポリシー マップを作成するには、次の作業を実行します。


) 検査タイプ ポリシー マップを作成する場合、許可されるアクションは drop、inspect、police、pass、service-policy、urlfilter のみであることに注意してください。



) 手順 5、8、9、10 の中から該当する手順を少なくとも 1 つ実行する必要があります。


手順の概要

1. enable

2. configure terminal

3. policy-map type inspect policy-map-name

4. class type inspect class-name

5. inspect [ parameter-map-name ]

6. police rate bps burst size

7. drop [ log ]

8. pass

9. service-policy type inspect policy-map-name

10. urlfilter parameter-map-name

11. exit

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

policy-map type inspect policy-map-name

 

Router(config)# policy-map type inspect p1

レイヤ 3 およびレイヤ 4 の検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

ステップ 4

class type inspect class-name

 

Router(config-pmap)# class type inspect c1

アクションを実行する対象のトラフィック(クラス)を指定します。

ステップ 5

inspect [ parameter-map-name ]

 

Router(config-pmap-c)# inspect inspect-params

Cisco IOS ステートフル パケット インスペクションをイネーブルにします。

ステップ 6

police rate bps burst size

 

Router(config-pmap-c)# police rate 2000 burst 3000

(任意)ファイアウォール(検査)ポリシー内で一致するトラフィックを制限します。

ステップ 7

drop [ log ]

 

Router(config-pmap-c)# drop

(任意)定義したクラスと一致するパケットをドロップします。

アクションは排他的です。つまり、これらのアクションを両方とも指定することはできません。

ステップ 8

pass

 

Router(config-pmap-c)# pass

(任意)定義したクラスと一致するパケットを許可します。

ステップ 9

service-policy type inspect policy-map-name

 

Router(config-pmap-c)# service-policy type inspect p1

ファイアウォール ポリシー マップをゾーン ペアに付加します。

ステップ 10

urlfilter parameter-map-name

 

Router(config-pmap-c)# urlfilter param1

(任意)Cisco IOS ファイアウォール URL フィルタリングをイネーブルにします。

ステップ 11

exit

 

Router(config-pmap-c)# exit

QoS ポリシーマップ コンフィギュレーション モードに戻ります。

パラメータ マップの設定

作成するポリシーによっては、検査、URL フィルタ、プロトコル固有のいずれかのタイプのパラメータ マップを設定できます。URL フィルタ タイプまたはプロトコル固有タイプのポリシーを設定する場合は、パラメータ マップを適宜設定する必要があります。ただし、検査タイプのポリシーを使用する場合には、パラメータ マップは任意です。


) パラメータ マップに対する変更は、ファイアウォールを通じてすでに確立された接続には反映されません。変更はファイアウォールで許可された新しい接続にのみ適用できます。ファイアウォール ポリシーを厳格に施行するには、パラメータ マップを変更した後、ファイアウォールで許可されたすべての接続を解除します。既存の接続を解除するには、clear zone-pair inspect sessions コマンドを使用します。


パラメータ マップを設定するには、次のいずれかの作業を実行します。

「検査パラメータ マップの作成」

「URL フィルタ パラメータ マップの作成」

「レイヤ 7 プロトコル固有パラメータ マップの設定」

検査パラメータ マップの作成

検査タイプのパラメータ マップを作成するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. parameter-map type inspect { parameter-map-name | global | default }

4. log { dropped-packets { disable | enable } | summary [ flows number ] [ time-interval seconds ]}

5. alert { on | off }

6. audit-trail { on | off }

7. dns-timeout seconds

8. icmp idle-timeout seconds

9. max-incomplete { low | high } number-of-connections

10. one-minute { low | high } number-of-connections

11. sessions maximum sessions

12. tcp finwait-time seconds

13. tcp idle-time seconds

14. tcp max-incomplete host threshold [ block-time minutes ]

15. tcp synwait-time seconds

16. tcp window-scale-enforcement loose

17. udp idle-time seconds

18. exit

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

parameter-map type inspect { parameter-map-name | global | default }

 

Router(config)# parameter-map type inspect eng-network-profile

接続しきい値、タイムアウト、およびその他の inspect アクションに関連するパラメータの検査パラメータ マップを設定し、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

ステップ 4

log { dropped-packets { disable | enable } | summary [ flows number ][ time-interval seconds ]}

 

Router(config-profile)# log summary flows 15 time-interval 30

(任意)ファイアウォール アクティビティの実行時のパケット ロギングを設定します。

(注) このコマンドが見えるのは、グローバル パラメータ マップ タイプ検査コンフィギュレーション モードの場合のみです。

ステップ 5

alert { on | off }

 

Router(config-profile)# alert on

(任意)コンソールに表示される Cisco IOS ステートフル パケット インスペクション アラート メッセージをオン/オフします。

ステップ 6

audit-trail { on | off }

 

Router(config-profile)# audit-trail on

(任意)監査証跡メッセージをオン/オフします。

ステップ 7

dns-timeout seconds

 

Router(config-profile)# dns-timeout 60

(任意)Domain Name System(DNS; ドメイン ネーム システム)のアイドル タイムアウト(アクティビティのない間、DNS ルックアップ セッションの管理を継続する時間の長さ)を指定します。

ステップ 8

icmp idle-timeout seconds

 

Router(config-profile)# icmp idle-timeout 90

(任意)Internet Control Message Protocol(ICMP)セッションのタイムアウトを設定します。

ステップ 9

max-incomplete { low | high }{ number-of-connections }

 

Router(config-profile)# max-incomplete low 800

(任意)Cisco IOS ファイアウォールがハーフオープン セッションの削除を開始および停止するトリガーとなる、既存のハーフオープン セッションの数を定義します。

ステップ 10

one-minute { low | high } number-of-connections

 

Router(config-profile)# one-minute low 300

(任意)システムがハーフオープン セッションの削除を開始および停止するトリガーとなる、新しい未確立セッションの数を定義します。

ステップ 11

sessions maximum sessions

 

Router(config-profile)# sessions maximum 200

(任意)1 つのゾーン ペアに存在できる許可されたセッションの最大数を設定します。

このコマンドを使用して、セッションによって使用される帯域幅を制限できます。

sessions :許可されたセッションの最大数。範囲は 1 ~ 2147483647 です。

ステップ 12

tcp finwait-time seconds

 

Router(config-profile)# tcp finwait-time 5

(任意)Cisco IOS ファイアウォールが FIN-exchange を検出した後、TCP セッションの管理が継続される時間を指定します。

ステップ 13

tcp idle-time seconds

 

Router(config-profile)# tcp idle-time 90

(任意)TCP セッションのタイムアウトを設定します。

ステップ 14

tcp max-incomplete host threshold [ block-time minutes ]

 

Router(config-profile)# tcp max-incomplete host 500 block-time 10

(任意)TCP ホスト固有の DoS 検出および防御のためのしきい値とブロッキング時間の値を指定します。

ステップ 15

tcp synwait-time seconds

 

Router(config-profile)# tcp synwait-time 3

(任意)TCP セッションが確立状態になるのをソフトウェアが待機する最長時間を指定します(この時間を超えるとセッションはドロップされます)。

ステップ 16

tcp window-scale-enforcement loose

 

Router(config-profile)# tcp window-scale-enforcement loose

(任意)Zone Based Firewall(ZBF; ゾーン ベース ファイアウォール)において無効なウィンドウ スケール オプションを持つ TCP パケットのウィンドウ スケール オプションのチェックをパラメータ マップでディセーブルにします。

ステップ 17

udp idle-time seconds

 

Router(config-profile)# udp idle-time 75

(任意)ファイアウォールを通過する UDP セッションのアイドル タイムアウトを設定します。

ステップ 18

exit

 

Router(config-profile)# exit

グローバル コンフィギュレーション モードに戻ります。

URL フィルタ パラメータ マップの作成

URL フィルタ パラメータ マップを作成するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. parameter-map type urlfilter parameter-map-name

4. alert { on | off }

5. allow-mode { on | off }

6. audit-trail { on | off }

7. cache number

8. exclusive-domain { deny | permit } domain-name

9. max-request number-of-requests

10. max-resp-pak number-of-requests

11. server vendor { n2h2 | websense } { ip-address | hostname [ port port-number ]} [ outside ] [ log ] [ retrans retransmission-count ] [ timeout seconds ]

12. source-interface interface-name

13. exit

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

parameter-map type urlfilter parameter-map-name

 

Router(config)# parameter-map type urlfilter eng-network-profile

URL フィルタリング パラメータのパラメータ マップを作成または修正し、パラメータ マップ検査コンフィギュレーション モードを開始します。

コマンドも使用できます。このコマンドは、ローカル、トレンド、Websense インターネット フィルタリング、および N2H2 インターネット ブロッキング プログラムの URL フィルタリング パラメータを作成するために使用します。Cisco IOS Release 12.4(20)T の URL フィルタ アクションではなく URL フィルタ ポリシーを使用することを推奨します。URL フィルタによってアクションとしてサポートされているユース ケースはすべて、URL フィルタ ポリシーでもサポートされています。詳細については、「URL フィルタ ポリシーの設定」を参照してください。

ステップ 4

alert { on | off }

 

Router(config-profile)# alert on

(任意)コンソールに表示される Cisco IOS ステートフル パケット インスペクション アラート メッセージをオン/オフします。

ステップ 5

allow-mode { on | off }

 

Router(config-profile)# allow-mode on

(任意)フィルタリング アルゴリズムのデフォルト モードをオン/オフします。

ステップ 6

audit-trail { on | off }

 

Router(config-profile)# audit-trail on

(任意)監査証跡メッセージをオン/オフします。

ステップ 7

cache number

 

Router(config-profile)# cache 5

(任意)URL フィルタが維持する HTTP サーバのキャッシュを URL フィルタがどのように扱うかを制御します。

ステップ 8

exclusive-domain { deny | permit } domain-name

 

Router(config-profile)# exclusive-domain permit cisco.com

(任意)Cisco IOS ファイアウォールがベンダー サーバにルックアップ要求を送信しなくて済むように、専用ドメイン リストにドメイン名を追加するか、専用ドメイン リストからドメイン名を削除します。

ステップ 9

max-request number-of-requests

 

Router(config-profile)# max-request 80

(任意)同時に存在できる未処理要求の最大数を指定します。

ステップ 10

max-resp-pak number-of-requests

 

Router(config-profile)# max-resp-pak 200

(任意)Cisco IOS ファイアウォールがパケット バッファに保持できる HTTP 応答の最大数を指定します。

ステップ 11

server vendor { n2h2 | websense } { ip-address | hostname [ port port-number ]} [ outside ] [ log ] [ retrans retransmission-count ] [ timeout seconds ]

 

Router(config-profile)# server vendor n2h2 10.193.64.22 port 3128 outside retrans 9 timeout 8

URL フィルタリング サーバを指定します。

(注) URL フィルタ コンフィギュレーションから何かを求める場合、このコマンドは必須です。

ステップ 12

source-interface interface-name

 

Router(config-profile)# source-interface ethernet0

(任意)URL フィルタ サーバ(Websense または N2H2)への TCP 接続を確立するときに送信元 IP アドレスとして使用する IP アドレスを持つインターフェイスを指定します。

ステップ 13

exit

 

Router(config-profile)# exit

グローバル コンフィギュレーション モードに戻ります。

レイヤ 7 プロトコル固有パラメータ マップの設定

レイヤ 7 プロトコル固有パラメータ マップを設定するには、次の作業を実行します。


) プロトコル固有パラメータ マップは、インスタント メッセンジャ アプリケーション(AOL、ICQ、MSN Messenger、Yahoo Messenger、Windows Messenger)のためにのみ作成できます。


前提条件

名前解決が実行されるようにするため、 ip domain name コマンドと ip name-server コマンドもイネーブルにする必要があります。

手順の概要

1. enable

2. configure terminal

3. parameter-map type protocol-info parameter-map-name

4. server { name string [ snoop ] | ip { ip-address | range ip-address-start ip-address-end }}

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

parameter-map type protocol-info parameter-map-name

 

Router(config)# parameter-map type protocol-info ymsgr

アプリケーション固有のパラメータ マップと、パラメータ マップ タイプ検査コンフィギュレーション モードを定義します。

(注) プロトコル固有パラメータ マップは、インスタント メッセンジャ アプリケーション(AOL、ICQ、MSN Messenger、Yahoo Messenger、Windows Messenger)のためにのみ作成できます。

ステップ 4

server { name string [ snoop ] | ip { ip-address | range ip-address-start ip-address-end }}

 
Router(config-profile)# server name sdsc.msg.example.com

特定のインスタント メッセンジャ アプリケーションがやり取りする Domain Name System(DNS; ドメイン ネーム システム)サーバのセットを設定します。

(注) サーバ インスタンスが 1 つも設定されていない場合、そのパラメータ マップには施行する定義がありません。つまり、設定されたインスタント メッセンジャ ポリシーは施行できません。

コマンドを複数回実行します。複数のエントリが累積的に扱われます。

トラブルシューティングのヒント

IM プロトコル固有パラメータ マップの詳細を表示するには、 show parameter-map type protocol-info コマンドを使用します。

ゾーンベース ファイアウォール アプリケーションでの OoO パケット処理のサポートの設定

ゾーンベース ファイアウォール アプリケーションで OoO パケット処理のサポートを設定するには、次の作業を実行します。


) DPI のために TCP ベースのレイヤ 7 ポリシーを設定した場合、OoO はデフォルトでイネーブルになります。OoO パケット サポート パラメータを設定する場合や OoO 処理をオフにする場合は、parameter-map type ooo global コマンドを使用します。


手順の概要

1. enable

2. configure terminal

3. parameter-map type ooo global

4. tcp reassembly alarm {on | off}

5. tcp reassembly memory limit memory-limit

6. tcp reassembly queue length queue-length

7. tcp reassembly timeout time-limit

8. exit


) Cisco IOS 12.4(15)T では、ゾーンベース ファイアウォールおよび Intrusion Prevention Systems(IPS; 侵入防御システム)の、L4 match(match protocol)、TCP match protocol http、または TCP ベースの L7 が想定された任意のパケット オーダリングが使用された共有セッションで、OoO 処理がイネーブルになっていました。


手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

parameter-map type ooo global

 

Router(config)# parameter-map type ooo global

パラメータ マップ コンフィギュレーション モードを開始します。

ステップ 4

tcp reassembly alarm { on | off }

 

Router(config-profile)# tcp reassembly alarm on

アラート メッセージ コンフィギュレーションを指定します。

ステップ 5

tcp reassembly memory limit memory-limit

 

Router(config-profile)# tcp reassembly memory limit 2048

OoO ボックスワイド バッファ サイズを指定します。

ステップ 6

tcp reassembly queue length queue-length

 

Router(config-profile)# tcp reassembly queue length 45

TCP フローあたりの OoO キュー長を指定します。

ステップ 7

tcp reassembly timeout time-limit

 

Router(config-profile)# tcp reassembly timeout 34

OoO キュー再構築タイムアウト値を指定します。

ステップ 8

exit

 

Router(config-profile)# exit

グローバル コンフィギュレーション モードに戻ります。

ゾーンベース ファイアウォール アプリケーションでのイントラゾーンのサポートの設定

ゾーンベース ファイアウォールを使用するときにイントラゾーンのサポートを設定するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. zone-pair security zone-pair-name [ source source-zone-name destination destination-zone-name ]

4. policy-map type inspect policy-map-name

5. class type inspect protocol-type class-map-name

6. exit

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

zone-pair security zone-pair-name [ source source-zone-name destination destination-zone-name ]

 

Router(config)# zone-pair security zonepair17 source zone8 destination zone8

インターフェイスに付加するゾーン ペアの名前と、このゾーン ペアを通過する情報の送信元ゾーンおよび宛先ゾーンを指定します。

(注) イントラゾーンのサポートを設定するには、送信元ゾーンと宛先ゾーンを同じにする必要があります。

ステップ 4

policy-map type inspect policy-map-name

 

Router(config)# policy-map type inspect my-pmap

ポリシー マップ名を指定し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

ステップ 5

class type inspect protocol-name class-map-name

 

Router(config-pmap)# class type inspect aol cmap1

ファイアウォールのクラス マップ プロトコルとクラス マップ名を指定します。

ステップ 6

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードに戻ります。

レイヤ 7 プロトコル固有ファイアウォール ポリシーの設定

レイヤ 7 インスペクション モジュールの追加プロビジョニングが必要な場合は、レイヤ 7 ポリシー マップを設定します。必ずしもすべてのレイヤ 7 ポリシー マップを設定する必要はありません。

レイヤ 7 プロトコル固有ファイアウォール ポリシーを設定するには、次のいずれかの作業を実行します。

「HTTP ファイアウォール ポリシーの設定」

「URL フィルタ ポリシーの設定」

「IMAP ファイアウォール ポリシーの設定」

「インスタント メッセンジャ ポリシーの設定」

「ピアツーピア ポリシーの設定」

「POP3 ファイアウォール ポリシーの設定」

「SMTP ファイアウォール ポリシーの設定」

「SUNRPC ファイアウォール ポリシーの設定」

レイヤ 7 のクラス マップとポリシー マップの制約

レイヤ 7 の DPI クラス マップは、該当するタイプの検査ポリシー マップで使用できます。たとえば、 class-map type inspect http は、 policy-map type inspect http でのみ使用できます。

DPI ポリシーでは、親レベルに inspect アクションが必要です。

レイヤ 3 またはレイヤ 4 検査ポリシーは第 1 レベルで付加できますが、レイヤ 7(DPI)ポリシー マップはレイヤ 3 またはレイヤ 4 検査ポリシー マップ内の第 2 レベルにネストする必要があります。したがって、レイヤ 7 ポリシー マップはゾーン ペアに直接付加できません。

検査サービス ポリシーの階層パスでアクションが指定されていない場合、パケットはドロップされます。トップレベル ポリシーの class-default に一致するトラフィックは、class-default で明示的にアクションが設定されていない場合、ドロップされます。レイヤ 7 ポリシーのどのクラスとも一致しないトラフィックはドロップされません。制御が親ポリシーに戻り、親ポリシーに後続のアクションがあれば、そのアクションがパケットに対して実行されます。

レイヤ 7 ポリシー マップには、同じタイプのクラス マップのみが含まれます。

reset アクションは TCP トラフィックに対してのみ指定できます。このアクションは TCP 接続をリセットします。

HTTP ファイアウォール ポリシーの設定

HTTP ファイアウォール ポリシーを設定するには、次の作業を実行します。

「HTTP ファイアウォール クラス マップの設定」

「HTTP ファイアウォール ポリシー マップの設定」

パラメータ マップ内の要素に基づいて一致基準を設定する場合は、検査パラメータ マップの作成に従ってパラメータ マップを設定する必要があります。

少なくとも 1 つの一致基準を指定する必要があります。一致基準を指定しなければ、ファイアウォール ポリシーは有効になりません。

HTTP ファイアウォール クラス マップの設定

HTTP ファイアウォール クラス マップを設定するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. class-map type inspect http [ match-any | match-all ] class-map-name

4. match response body java-applet

5. match req-resp protocol violation

6. match req-resp body length { lt | gt } bytes

7. match req-resp header content-type { violation | mismatch | unknown }

8. match { request | response | req-resp } header [ header-name ] count gt number

9. match { request | response | req-resp } header [ header-name ] length gt bytes

10. match request { uri | arg } length gt bytes

11. match request method { connect | copy | delete | edit | get | getattribute | getattributenames | getproperties | head | index | lock | mkdir | move | options | post | put | revadd | revlabel | revlog | revnum | save | setattribute | startrev | stoprev | trace | unedit | unlock }

12. match request port-misuse { im | p2p | tunneling | any }

13. match req-resp header transfer-encoding { chunked | compress | deflate | gzip | identity | all }

14. match { request | response | req-resp } header [ header-name ] regex parameter-map-name

15. match request { not }{ uri | arg } regex parameter-map-name

16. match { request | response | req-resp } body regex parameter-map-name

17. match response status-line regex parameter-map-name

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

class-map type inspect http [match-any | match-all] class-map-name

 

Router(config)# class-map type inspect http http-class

一致基準を入力するために HTTP プロトコルのクラス マップを作成し、QoS クラスマップ コンフィギュレーション モードを開始します。

ステップ 4

match response body java-applet

 

Router(config-cmap)# match response body java-applet

(任意)HTTP 接続で Java アプレットを識別します。

ステップ 5

match req-resp protocol violation

 

Router(config-cmap)# match req-resp protocol violation

(任意)HTTP 非準拠トラフィックが検出されたときに HTTP メッセージがファイアウォールを通過、または TCP 接続をリセットできるように HTTP クラス マップを設定します。

ステップ 6

match req-resp body length { lt | gt } bytes

 

Router(config-cmap)# match req-resp body length gt 35000

(任意)HTTP トラフィックのファイアウォールの通過を許可または拒否するための一致基準としてメッセージの最小サイズまたは最大サイズ(バイト単位)を使用できるように HTTP クラス マップを設定します。

指定できるバイト数の範囲は 0 ~ 65535 です。

ステップ 7

match req-resp header content-type { violation | mismatch | unknown }

 

Router(config-cmap)# match req-resp header content-type mismatch

(任意)このコマンドは、HTTP トラフィックのコンテンツ タイプに基づいて HTTP クラス マップを設定します。

ステップ 8

match {request | response | req-resp} header [header-name] count gt number

 

Router(config-cmap)# match req-resp header count gt 16

(任意)要求メッセージ、応答メッセージ、または要求メッセージと応答メッセージの両方のヘッダー カウントがフィールドの最大数を超えているかどうかに基づいて HTTP トラフィックを許可または拒否する HTTP ファイアウォール ポリシーを設定します。

ステップ 9

match {request | response | req-resp} header [header-name] length gt bytes

 

Router(config-cmap)# match response header length gt 50000

(任意)HTTP 要求ヘッダーの長さに基づいて HTTP トラフィックを許可または拒否します。

header-name :ヘッダー フィールドの特定のライン。特定のラインを定義した場合は、その特定のフィールドの長さのみが一致基準として使用されます。

gt bytes :HTTP 要求のヘッダーの最大バイト数。指定できるバイト数の範囲は 0 ~ 65535 です。

ステップ 10

match request {uri | arg} length gt bytes

 

Router(config-cmap)# match request uri length gt 500

(任意)HTTP トラフィックを許可または拒否するための一致基準として要求メッセージ内の URI または引数の長さを使用する HTTP ファイアウォール ポリシーを設定します。

ステップ 11

match request method { connect | copy | delete | edit | get | getattribute | getattributenames | getproperties | head | index | lock | mkdir | move | options | post | put | revadd | revlabel | revlog | revnum | save | setattribute | startrev | stoprev | trace | unedit | unlock }

 

Router(config-cmap)# match request method connect

(任意)HTTP トラフィックを許可または拒否するための一致基準として要求メソッドまたは拡張メソッドを使用する HTTP ファイアウォール ポリシーを設定します。

ステップ 12

match request port-misuse { im | p2p | tunneling | any }

 

Router(config-cmap)# match request port-misuse any

(任意)HTTP ポートを誤用しているアプリケーションを識別します。

ステップ 13

match req-resp header transfer-encoding { chunked | compress | deflate | gzip |
identity | all }

 

Router(config-cmap)# match req-resp header transfer-encoding compress

(任意)メッセージの指定した転送エンコーディングに従って HTTP トラフィックを許可または拒否します。

chunked :メッセージの本体が一連のチャンクで転送されるエンコーディング形式(RFC 2616「 Hypertext Transfer Protocol--HTTP/1 」で定義されている)。各チャンクには固有のサイズ インジケータが含まれます。

compress :UNIX compress ユーティリティによって生成されるエンコーディング形式。

deflate :RFC 1950「 ZLIB Compressed Data Format Specification Version 3.3 」で定義されている ZLIB 形式を RFC 1951「 DEFLATE Compressed Data Format Specification Version 1.3 」で定義されている deflate 圧縮メカニズムと組み合わせた形式。

gzip :gzip(GNU zip)プログラムによって生成されるエンコーディング形式。

identity :デフォルトのエンコーディング。エンコーディングが実行されていないことを示します。

all :すべての転送エンコーディング タイプ。

ステップ 14

match {request | response | req-resp} header [header-name] regex parameter-map-name

 

Router(config-cmap)# match req-resp header regex non_ascii_regex

(任意)ヘッダーがパラメータ マップで定義された正規表現と一致するかどうかに基づいて HTTP ファイアウォール ポリシーの一致基準を設定します。

HTTP には 2 つの正規表現(regex)オプションがあります。1 つは header キーワード、 content-type ヘッダー名、および regex キーワードと parameter-map-name 引数を組み合わせたもので、もう 1 つは header キーワードと regex キーワードを parameter-map-name 引数と組み合わせたものです。

header および regex キーワードを parameter-map-name 引数と組み合わせる場合には、 parameter-map-name 引数の前にピリオドとアスタリスクは必要ありません。たとえば、 parameter-map-name 引数として「html」と「.*html」のどちらを設定してもかまいません。

header キーワードを content-type ヘッダー名および regex キーワードと組み合わせる場合には、 parameter-map-name 引数の前にピリオドとアスタリスク(.*)が必要です。たとえば、 parameter-map-name 引数の「html」は「.*html」と表現します。

引数は両方の HTTP regex オプションに対して機能します。

mismatch キーワードは、 match response header content-type regex コマンド構文で、content-type ヘッダー名の不一致があるメッセージと一致させる場合にのみ有効です。

引数がテキスト文字列の先頭にない場合、「.*」を追加するのは良い方法です。

ステップ 15

match request { not } {uri | arg} regex parameter-map-name

 

Router(config-cmap)# match request uri regex uri_regex_cm

(任意)要求メッセージの URI または引数(パラメータ)が定義された正規表現と一致しているかどうかに基づいて HTTP トラフィックを許可または拒否する HTTP ファイアウォール ポリシーを設定します。

ステップ 16

match {request | response | req-resp} body regex parameter-map-name

 

Router(config-cmap)# match response body regex body_regex

(任意)要求メッセージ、応答メッセージ、または要求メッセージと応答メッセージの両方の本体と照合する正規表現のリストを設定します。

ステップ 17

match response status-line regex parameter-map-name

 

Router(config-cmap)# match response status-line regex status_line_regex

(任意)応答メッセージのステータス ラインと照合する正規表現のリストを指定します。

HTTP ファイアウォール ポリシー マップの設定

HTTP ファイアウォール ポリシー マップを設定するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. policy-map type inspect http policy-map-name

4. class-type inspect http http-class-name

5. allow

6. log

7. reset

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

policy-map type inspect http policy-map-name

 

Router(config)# policy-map type inspect http myhttp-policy

レイヤ 7 HTTP ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

ステップ 4

class-type inspect http http-class-name

 

Router(config-pmap)# class-type inspect http http-class

HTTP プロトコルのクラス マップを作成します。

ステップ 5

allow

 

Router(config-pmap)# allow

(任意)このクラスに一致するトラフィック クラスを許可します。

ステップ 6

log

 

Router(config-pmap)# log

ログ(メッセージ)を生成します。

ステップ 7

reset

 

Router(config-pmap)# reset

(任意)SMTP 本体のデータ長が class-map type inspect smtp コマンドで設定された値を超えている場合、TCP 接続をリセットします。

URL フィルタ ポリシーの設定

URL フィルタ ポリシーを設定するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. parameter-map type urlfpolicy { local | n2h2 | websense } parameter-map-name

4. exit

5. class-map type urlfilter { class-map-name | match-any class-map-name | n2h2 { class-map-name | match-any class-map-name } | websense { class-map-name | match-any class-map-name }}

6. exit

7. policy-map type inspect urlfilter policy-map-name

8. service-policy urlfilter policy-map-name

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

parameter-map type urlfpolicy { local | n2h2 | websense } parameter-map-name
 

Router(config)# parameter-map type urlfpolicy websense websense-param-map

パラメータ マップ(これにはローカル、Websense、または N2H2 のパラメータを含めることができます)に関連付ける URL フィルタ名を設定し、パラメータ マップ検査コンフィギュレーション モードを開始します。

ステップ 4

exit
 
Router(config-profile)# exit

パラメータ マップ タイプ検査コンフィギュレーション モードを終了します。

ステップ 5

class-map type urlfilter { class-map-name | match-any class-map-name | n2h2 { class-map-name | match-any class-map-name } | websense { class-map-name | match-any class-map-name }}
 

Router(config)# class-map type urlfilter websense websense-param-map

同じタイプのパラメータ マップを含む URL フィルタのクラス マップを設定し、QoS クラスマップ コンフィギュレーション モードを開始します。

ステップ 6

exit
 
Router(config-cmap)# exit

QoS クラスマップ コンフィギュレーション モードを終了します。

ステップ 7

policy-map type inspect urlfilter policy-map-name
 
Router(config)# policy-map type inspect urlfilter websense-policy

URL フィルタ ポリシーを設定します。

ステップ 8

service-policy urlfilter policy-map-name
 
Router(config)# service-policy urlfilter websense-policy

検査クラスの URL フィルタ ポリシーをサービス ポリシーとして適用します。

IMAP ファイアウォール ポリシーの設定

IMAP ファイアウォール ポリシーを設定するには、次の作業を実行します。

「IMAP クラス マップの設定」

「IMAP ポリシー マップの設定」

IMAP クラス マップの設定

IMAP クラス マップを設定するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. ip inspect name inspection-name protocol [ alert { on | off }] [ audit-trail { on | off }] [ reset ] [ secure-login ] [ timeout seconds ]

4. class-map type inspect imap [ match-any ] class-map-name

5. log

6. match invalid-command

7. match login clear-text

8. exit

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip inspect name inspection-name protocol [ alert { on | off }] [ audit-trail { on | off }] [ reset ] [ secure-login ] [ timeout seconds ]

 

Router(config)# ip inspect name mail-guard imap

インスペクション ルールのセットを定義します。

ステップ 4

class-map type inspect imap [ match-any ] class-map-name

 

Router(config)# class-map type inspect imap imap-class

一致基準を入力するために IMAP のクラス マップを作成し、QoS クラスマップ コンフィギュレーション モードを開始します。

ステップ 5

log

 

Router(config-cmap)# log

メッセージのログを生成します。

ステップ 6

match invalid-command

 

Router(config-cmap)# match invalid-command

(任意)IMAP 接続上の無効なコマンドを特定します。

ステップ 7

match login clear-text

 

Router(config-cmap)# match login clear-text

(任意)IMAP サーバが使用されるときにセキュアでないログインを特定します。

ステップ 8

exit

 

Router(config-cmap)# exit

QoS クラスマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

IMAP ポリシー マップの設定

IMAP ポリシー マップを設定するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. policy-map type inspect imap policy-map-name

4. class-type inspect imap imap-class-name

5. log

6. reset

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

policy-map type inspect imap policy-map-name

 

Router(config)# policy-map type inspect imap myimap-policy

レイヤ 3 IMAP ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

ステップ 4

class-type inspect imap imap-class-name

 

Router(config-pmap)# class-type inspect imap pimap

IMAP プロトコルのクラス マップを作成します。

ステップ 5

log

 

Router(config-pmap)# log

ログ(メッセージ)を生成します。

ステップ 6

reset

 

Router(config-pmap)# reset

(任意)SMTP 本体のデータ長が class-map type inspect smtp コマンドで設定された値を超えている場合、TCP 接続をリセットします。

インスタント メッセンジャ ポリシーの設定

IM ポリシーを設定するには、次の作業を実行します。

「IM クラス マップの設定」

「IM ポリシー マップの設定」

IM ポリシーは、America Online(AOL)、ICQ、MSN Messenger、Yahoo Messenger、Windows Messenger の各 IM アプリケーションのために作成できます。

IM クラス マップの設定

サポートされている任意の IM アプリケーションのクラス マップを設定するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. class map type inspect { aol | msnmsgr | ymsgr | icq | winmsgr } [ match-any ] class-map-name

4. match service { any | text-chat }

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

class map type inspect {aol | msnmsgr | ymsgr | icq | winmsgr} [match-any] class-map-name

 

Router(config)# class map type inspect aol myaolclassmap

一致基準を追加するために IM タイプのクラス マップを作成し、QoS クラスマップ コンフィギュレーション モードを開始します。

ステップ 4

match service {any | text-chat}

 

Router(config-cmap)# match service text-chat

(任意)テキスト チャット メッセージ( text-chat )または特定の IM プロトコルで使用できる任意のサービス( any )に基づく一致基準を作成します。

IM ポリシー マップの設定

サポートされている任意の IM アプリケーションのポリシー マップを設定するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. policy map type inspect protocol-name policy-map-name

4. class type inspect { aol | msnmsgr | ymsgr | icq | winmsgr } class-map-name

5. reset

6. log

7. allow

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

policy map type inspect protocol-name policy-map-name

 

Router(config)# policy map type inspect aol myaolpolicymap

IM ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

ステップ 4

class type inspect {aol | msnmsgr | ymsgr | icq | winmsgr} class-map-name

 

Router(config-pmap)# class type inspect aol myaolclassmap

アクションを実行する対象のトラフィック クラスを指定します。

class-map-name :このクラス マップ名は、 class-map type inspect コマンドで指定したクラス マップと一致する必要があります。

ステップ 5

reset

 

Router(config-pmap)# reset

(任意)接続をリセットします。

ステップ 6

log

 

Router(config-pmap)# log

(任意)パラメータの一致に関するログ メッセージを生成します。

ステップ 7

allow

 

Router(config-pmap)# allow

(任意)接続を許可します。

次の作業

まだ行っていない場合は、レイヤ 7 プロトコル固有パラメータ マップの設定に従って IM 固有パラメータ マップを設定する必要があります。

ピアツーピア ポリシーの設定

P2P ファイアウォール ポリシーを設定するには、次の作業を実行します。

「P2P クラス マップの設定」

「P2P ポリシー マップの設定」

P2P ポリシーは、eDonkey、FastTrack、Gnutella、Kazaa バージョン 2 の各 P2P アプリケーションのために作成できます。

P2P クラス マップの設定

サポートされている任意の P2P アプリケーションのクラス マップを設定するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. class map type inspect { edonkey | fasttrack | gnutella | kazaa2 } [ match-any ] class-map-name

4. match file-transfer [ regular-expression ]

5. match search-file-name [ regular-expression ]

6. match text-chat [ regular-expression ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

class map type inspect {edonkey | fasttrack | gnutella | kazaa2} [match-any] class-map-name

 

Router(config)# class map type inspect edonkey myclassmap

一致基準を追加するために P2P タイプのクラス マップを作成し、QoS クラスマップ コンフィギュレーション モードを開始します。

ステップ 4

match file-transfer [regular-expression]

 

Router(config-cmap)# match file-transfer *

(任意)サポートされている任意の P2P プロトコル内のファイル転送接続に一致します。

(注) すべてのファイル転送接続がこのトラフィック クラスによって識別されるよう指定するには、正規表現として「*」を使用します。

ステップ 5

match search-file-name [regular-expression]

 

Router(config-cmap)# match search-file-name

(任意)eDonkey P2P アプリケーションを使用したクライアントの検索要求に含まれるファイル名をブロックします。

(注) このコマンドは eDonkey P2P アプリケーションに対してのみ使用できます。

ステップ 6

match text-chat [regular-expression]

 

Router(config-cmap)# match text-chat

(任意)eDonkey P2P アプリケーションを使用したクライアント間のテキスト チャット メッセージをブロックします。

(注) このコマンドは eDonkey P2P アプリケーションに対してのみ使用できます。

P2P ポリシー マップの設定

サポートされている任意の P2P アプリケーションのポリシー マップを設定するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. policy map type inspect p2p policy-map-name

4. class type inspect { edonkey | fasttrack | gnutella | kazaa2 } class-map-name

5. reset

6. log

7. allow

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

policy map type inspect p2p policy-map-name

 

Router(config)# policy map type inspect p2p mypolicymap

P2P ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

ステップ 4

class type inspect {edonkey | fasttrack | gnutella | kazaa2} class-map-name

 

Router(config-pmap)# class type inspect edonkey myclassmap

アクションを実行する対象のトラフィック クラスを指定し、ポリシー マップ コンフィギュレーション モードを開始します。

class-map-name :このクラス マップ名は、 class-map type inspect コマンドで指定したクラス マップと一致する必要があります。

ステップ 5

reset

 

Router(config-pmap)# reset

(任意)接続をリセットします。

ステップ 6

log

 

Router(config-pmap)# log

(任意)パラメータの一致に関するログ メッセージを生成します。

ステップ 7

allow

 

Router(config-pmap)# allow

(任意)接続を許可します。

POP3 ファイアウォール ポリシーの設定

POP3 ファイアウォール ポリシーを設定するには、次の作業を実行します。

「POP3 ファイアウォール クラス マップの設定」

「POP3 ファイアウォール ポリシー マップの設定」

POP3 ファイアウォール クラス マップの設定

POP3 ファイアウォール クラス マップを設定するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. ip inspect name inspection-name protocol [ alert { on | off }] [ audit-trail { on | off }] [ reset ] [ secure-login ] [ timeout seconds ]

4. class-map type inspect pop3 [ match-any ] class-map-name

5. match invalid-command

6. match login clear-text

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip inspect name inspection-name protocol [ alert { on | off }] [ audit-trail { on | off }] [ reset ] [ secure-login ] [ timeout seconds ]

 

Router(config)# ip inspect name mail-guard pop3

インスペクション ルールのセットを定義します。

ステップ 4

class-map type inspect pop3 [ match-any ] class-map-name

 

Router(config)# class-map type inspect pop3 pop3-class

一致基準を入力するために POP3 プロトコルのクラス マップを作成し、QoS クラスマップ コンフィギュレーション モードを開始します。

ステップ 5

match invalid-command

 

Router(config-cmap)# match invalid-command

(任意)POP3 サーバ上の無効なコマンドを特定します。

ステップ 6

match login clear-text

 

Router(config-cmap)# match login clear-text

(任意)POP3 サーバを使用するときにセキュアでないログインを特定します。

POP3 ファイアウォール ポリシー マップの設定

POP3 ファイアウォール ポリシー マップを設定するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. policy-map type inspect pop3 policy-map-name

4. class-type inspect pop3 pop3-class-name

5. log

6. reset

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

policy-map type inspect pop3 policy-map-name

 

Router(config)# policy-map type inspect pop3 mypop3-policy

レイヤ 7 POP3 ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

ステップ 4

class-type inspect pop3 pop3-class-name

 

Router(config-pmap)# class-type inspect pop3 pcl

POP3 プロトコルのクラス マップを作成します。

ステップ 5

log

 

Router(config-pmap)# log

ログ(メッセージ)を生成します。

ステップ 6

reset

 

Router(config-pmap)# reset

(任意)SMTP 本体のデータ長が class-map type inspect smtp コマンドで設定された値を超えている場合、TCP 接続をリセットします。

SMTP ファイアウォール ポリシーの設定

SMTP ファイアウォール ポリシーを設定するには、次の作業を実行します。

「SMTP ファイアウォール クラス マップの設定」

「SMTP ファイアウォール ポリシー マップの設定」

SMTP ファイアウォール クラス マップの設定

SMTP ファイアウォール クラス マップを設定するには、次の作業を実行します。


) クラス マップで Extended SMTP(ESMTP; 拡張 SMTP)のインスペクションをイネーブルにするには、match protocol smtp extended コマンドを使用します。Cisco IOS Release 12.4(15)T でのこのコマンドの使用に関する詳細については、「ゾーンベース ポリシー ファイアウォールの制約」を参照してください。


手順の概要

1. enable

2. configure terminal

3. class-map type inspect smtp [ match-all | match-any ] class-map-name

4. match data-length gt max-data-value

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

class-map type inspect smtp [ match-all | match-any ] class-map-name

 

Router(config)# class-map type inspect smtp smtp-class

一致基準を入力するために SMTP プロトコルのクラス マップを作成し、QoS クラスマップ コンフィギュレーション モードを開始します。

ステップ 4

match data-length gt max-data-value

 

Router(config-cmap)# match data-length gt 200000

SMTP 接続で転送されたデータ量が設定した制限を超えているかどうかを判断します。

SMTP ファイアウォール ポリシー マップの設定

SMTP ファイアウォール ポリシー マップを設定するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. policy-map type inspect smtp policy-map-name

4. class-type inspect smtp smtp-class-name

5. reset

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

policy-map type inspect smtp policy-map-name

 

Router(config)# policy-map type inspect smtp mysymtp-policy

レイヤ 7 SMTP ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

ステップ 4

class-type inspect smtp smtp-class-name

 

Router(config-pmap)# class-type inspect smtp sc

SMTP プロトコルのインスペクション パラメータを設定します。

ステップ 5

reset

 

Router(config-pmap)# reset

(任意)SMTP 本体のデータ長が class-map type inspect smtp コマンドで設定された値を超えている場合、TCP 接続をリセットします。

SUNRPC ファイアウォール ポリシーの設定

SUNRPC ファイアウォール ポリシーを設定するには、次の作業を実行します。

「SUNRPC ファイアウォール クラス マップの設定」

「SUNRPC ファイアウォール ポリシー マップの設定」


) RPC プロトコルを検査する場合(つまり、レイヤ 4 クラス マップで match protocol sunrpc コマンドを指定した場合)は、レイヤ 7 SUNRPC ポリシー マップが必要です。


SUNRPC ファイアウォール クラス マップの設定

SUNRPC ファイアウォール クラス マップを設定するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. class-map type inspect sunrpc [ match-any ] class-map-name

4. match program-number program-number

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

class-map type inspect sunrpc [ match-any ] class-map-name

 

Router(config)# class-map type inspect sunrpc long-urls

一致基準を入力するために SUNRPC プロトコルのクラス マップを作成し、QoS クラスマップ コンフィギュレーション モードを開始します。

ステップ 4

match program-number program-number

 

Router(config-cmap)# match program-number 2345

(任意)許可する Remote Procedure Call(RPC; リモート プロシージャ コール)プロトコル プログラム番号を一致基準として指定します。

SUNRPC ファイアウォール ポリシー マップの設定

SUNRPC ファイアウォール ポリシー マップを設定するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. policy-map type inspect sunrpc policy-map-name

4. class-type inspect sunrpc sunrpc-class-name

5. allow [ wait-time minutes ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

policy-map type inspect sunrpc policy-map-name

 

Router(config)# policy-map type inspect sunrpc my-rpc-policy

レイヤ 7 SUNRPC ポリシー マップを作成し、ポリシーマップ コンフィギュレーション モードを開始します。

ステップ 4

class-type inspect sunrpc sunrpc-class-name

 

Router(config-pmap)# class-type inspect sunrpc cs1

SUNRPC プロトコルのインスペクション パラメータを設定します。

ステップ 5

allow [ wait-time minutes ]

 

Router(config-pmap)# allow wait-time 10

(任意)設定したプログラム番号を許可します。

後続の同じ送信元アドレスからの接続と同じ宛先アドレスおよびポートへの接続を許可するためにファイアウォールに小さい穴を開けておく分数を指定します。デフォルトの待機時間は 0 分です。このキーワードは RPC プロトコルに対してのみ使用できます。

セキュリティ ゾーンおよびゾーン ペアの作成と、ゾーン ペアへのポリシー マップの付加

ゾーン ペアを作成するには 2 つのセキュリティ ゾーンが必要です。ただし、セキュリティ ゾーンを 1 つだけ作成し、「セルフ ゾーン」と呼ばれるシステム定義のセキュリティ ゾーンを使用することもできます。セルフ ゾーンを選択した場合は検査ポリシングを設定できないことに注意してください。

このプロセスでは次の作業を実行します。

少なくとも 1 つのセキュリティ ゾーンを作成する。

ゾーン ペアを定義する。

インターフェイスをセキュリティ ゾーンに割り当てる。

ポリシー マップをゾーン ペアに付加する。


ヒント ゾーンを作成する前に、ゾーンの構成について検討してください。全般的なガイドラインは、セキュリティの観点から見たときに同類のインターフェイスをグループ化することです。


セキュリティ ゾーンの制約

あるインターフェイスを同時にゾーンとレガシー検査ポリシーの一部にすることはできません。

ある特定のインターフェイスは 1 つのセキュリティ ゾーンだけのメンバーにすることができます。

あるインターフェイスがセキュリティ ゾーンのメンバーである場合、そのインターフェイスへの入力トラフィック、およびそのインターフェイスからの出力トラフィックはすべてドロップされます。ただし、そのゾーンに関連するゾーン ペアに対して明示的なゾーン間ポリシーが設定されている場合は除きます。

ポリシーは 2 つのゾーンの間にのみ適用できるので、セキュリティ ゾーンのメンバーであるインターフェイスとセキュリティ ゾーンのメンバーでないインターフェイスの間でトラフィックを流すことはできません。

ルータ上のすべてのインターフェイスの間でトラフィックが流れるようにするには、すべてのインターフェイスをいずれかのセキュリティ ゾーンのメンバーにする必要があります。インターフェイスをセキュリティ ゾーンのメンバーにした後、 inspect pass などのポリシー アクションによってパケットを明示的に許可する必要があるため、このことは特に重要です。明示的に許可されていないパケットはドロップされます。

ルータ上のあるインターフェイスをセキュリティ ゾーンまたはファイアウォール ポリシーの一部にできない場合は、そのインターフェイスをセキュリティ ゾーンに配置して、そのゾーンとトラフィックを流す先のゾーンとの間に「pass all」ポリシー(つまり、「ダミー」ポリシー)を設定しなければならないことがあります。

セキュリティ ゾーンの間、またはゾーン ペアに Access Control List(ACL; アクセス コントロール リスト)を適用することはできません。

ACL をセキュリティ ゾーンの間、およびゾーン ペアの間に適用することはできません。クラス マップに ACL コンフィギュレーションを追加し、ポリシー マップを使用してトラフィックをドロップしてください。

ゾーン メンバーであるインターフェイス上の ACL は限定的(厳格)にしないでください。

セキュリティ ゾーン内のすべてのインターフェイスは同じ Virtual Routing and Forwarding(VRF; 仮想ルーティング/転送)インスタンスに属する必要があります。

メンバー インターフェイスが属する VRF が異なるセキュリティ ゾーンの間にポリシーを設定できます。ただし、コンフィギュレーションによって許可されていない場合、これらの VRF の間でトラフィックが流れないことがあります。

(VRF 間のルート漏出が設定されていないことが原因で)VRF 間でトラフィックが流れない場合、それらの VRF 間にまたがるポリシーは実行されません。これはポリシー側ではなくルーティング側での設定ミスです。

同じセキュリティ ゾーンに属するインターフェイス間のトラフィックはどのポリシーにも従いません。このようなトラフィックは自由に通過します。

ゾーン ペアの送信元ゾーンと宛先ゾーンはセキュリティ タイプにする必要があります。

同じゾーンを送信元ゾーンと宛先ゾーンの両方として定義することはできません。

手順の概要

1. enable

2. configure terminal

3. zone security zone-name

4. description line-of-description

5. exit

6. zone-pair security zone-pair-name [ source source-zone-name | self ] destination [ self | destination-zone-name ]

7. description line-of-description

8. exit

9. interface type number

10. zone-member security zone-name

11. exit

12. zone-pair security zone-pair-name { source source-zone-name | self } destination [ self | destination-zone-name ]

13. service-policy type inspect policy-map-name

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

zone security zone-name

 

Router(config)# zone security zone1

インターフェイスの割り当てが可能なセキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

ステップ 4

description line-of-description

 

Router(config-sec-zone)# description Internet Traffic

(任意)ゾーンの説明を入力します。

ステップ 5

exit

 

Router(config-sec-zone)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 6

zone-pair security zone-pair name [ source source-zone-name | self ] destination [ self | destination-zone-name ]

 

Router(config)# zone-pair security zp source z1 destination z2

ゾーン ペアを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

(注) ポリシーを適用するには、ゾーン ペアを設定する必要があります。

ステップ 7

description line-of-description

 

Router(config-sec-zone)# description accounting network

(任意)ゾーン ペアの説明を入力します。

ステップ 8

exit

 

Router(config-sec-zone)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 9

interface type number

 

Router(config)# interface ethernet 0

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 10

zone-member security zone-name

 

Router(config-if)# zone-member security zone1

指定したセキュリティ ゾーンにインターフェイスを割り当てます。

(注) あるインターフェイスをセキュリティ ゾーンのメンバーにすると、そのインターフェイスへの入力トラフィック、およびそのインターフェイスからの出力トラフィックはすべてデフォルトでドロップされます(ただし、そのルータ宛てのトラフィック、またはそのルータによって開始されたトラフィックを除きます)。トラフィックがインターフェイスを通過するようにするには、ポリシーの適用対象となるゾーン部分をゾーン ペアによって作成する必要があります。ポリシーによってトラフィックが許可される場合は、そのインターフェイスを通じてトラフィックが流れます。

ステップ 11

exit

 

Router(config-if)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 12

zone-pair security zone-pair-name { source source-zone-name | self ]} destination [ self | destination-zone-name ]

 

Router(config)# zone-pair security zp source z1 destination z2

ゾーン ペアを作成し、セキュリティ ゾーン ペア コンフィギュレーション モードを開始します。

ステップ 13

service-policy type inspect policy-map-name

 

Router(config-sec-zone-pair)# service-policy type inspect p2

ファイアウォール ポリシー マップを対象のゾーン ペアに付加します。

(注) ゾーン ペアの間でポリシーが設定されていない場合、トラフィックはデフォルトでドロップされます。

Cisco IOS ファイアウォールと WAAS の相互運用の設定

WAAS 最適化を検出できるように Cisco IOS ファイアウォール インスペクションをイネーブルにするには、この項の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. ip wccp service-id

4. ip inspect waas enable

5. class-map type inspect class-name

6. match protocol protocol-name [ signature ]

7. exit

8. policy-map type inspect policy-map-name

9. class class-default

10. class-map type inspect class-name

11. inspect

12. exit

13. exit

14. zone security zone-name

15. description line-of-description

16. exit

17. zone-pair security zone-pair name [ source source-zone-name | self ] destination [ self | destination-zone-name ]

18. description line-of-description

19. exit

20. interface type number

21. description line-of-description

22. zone-member security zone-name

23. ip address ip-address

24. ip wccp { service-id { group-listen | redirect { in | out }} | redirect exclude in | web-cache { group-listen | redirect { in | out }}

25. exit

26. zone-pair security zone-pair-name { source source-zone-name | self } destination [ self | destination-zone-name ]

27. service-policy type inspect policy-map-name

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip wccp service-id

 

Router(config)# ip wccp 61

WCCP の動的に定義されたサービス識別子番号を入力します。

ステップ 4

ip inspect waas enable

 

Router(config)# ip inspect WAAS enable

WAAS 最適化を検出できるように Cisco IOS ファイアウォール インスペクションをイネーブルにします。

コマンドを使用して WAAS の認識と相互運用性をイネーブルにする必要があります。このルータが最適化を認識するよう設定されていない場合、最適化されたトラフィックは想定されている TCP アクティビティに違反し、ファイアウォールによってドロップされます。

ステップ 5

class-map type inspect class-name

 

Router(config)# class-map type inspect most-traffic

トラフィック クラスの検査タイプ クラス マップを作成し、QoS クラスマップ コンフィギュレーション モードを開始します。

コマンドは隠されています。

ステップ 6

match protocol protocol-name [ signature ]

 

Router(config-cmap)# match protocol http

指定したプロトコルに基づくクラス マップの一致基準を設定し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

検査タイプ クラス マップの一致基準には、Cisco IOS ステートフル パケット インスペクションでサポートされているプロトコルのみを使用できます。

signature :Peer-to-Peer(P2P; ピアツーピア)パケットのシグニチャに基づく分類をイネーブルにします。

ステップ 7

exit

 

Router(config-sec-zone)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 8

policy-map type inspect policy-map-name

 

Router(config)# policy-map type inspect p1

レイヤ 3 およびレイヤ 4 の検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

ステップ 9

class class-default
 

Router(config-pmap)# class class-default

システム デフォルト クラスの一致を指定します。

システム デフォルト クラスを指定しない場合は、分類されていないパケットが一致します。

ステップ 10

class-map type inspect class-name

 

Router(config-pmap)# class-map type inspect most-traffic

アクションを実行する対象のファイアウォール トラフィック(クラス)マップを指定します。

ステップ 11

inspect
 

Router(config-pmap-c)# inspect

Cisco IOS ステートフル パケット インスペクションをイネーブルにします。

ステップ 12

exit

 

Router(config-pmap-c)# exit

ポリシー マップ コンフィギュレーション モードに戻ります。

ステップ 13

exit

 

Router(config-pmap)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 14

zone security zone-name

 

Router(config)# zone security zone1

インターフェイスの割り当てが可能なセキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

ステップ 15

description line-of-description

 

Router(config-sec-zone)# description Internet Traffic

(任意)ゾーンの説明を入力します。

ステップ 16

exit

 

Router(config-sec-zone)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 17

zone-pair security zone-pair name [ source source-zone-name | self ] destination [ self | destination-zone-name ]

 

Router(config)# zone-pair security zp source z1 destination z2

ゾーン ペアを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

(注) ポリシーを適用するには、ゾーン ペアを設定する必要があります。

ステップ 18

description line-of-description

 

Router(config-sec-zone)# description accounting network

(任意)ゾーン ペアの説明を入力します。

ステップ 19

exit

 

Router(config-sec-zone)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 20

interface type number

 

Router(config)# interface ethernet 0

インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 21

description line-of-description

 

Router(config-if)# description zone interface

(任意)インターフェイスの説明を入力します。

ステップ 22

zone-member security zone-name

 

Router(config-if)# zone-member security zone1

指定したセキュリティ ゾーンにインターフェイスを割り当てます。

(注) あるインターフェイスをセキュリティ ゾーンのメンバーにすると、そのインターフェイスへの入力トラフィック、およびそのインターフェイスからの出力トラフィックはすべてデフォルトでドロップされます(ただし、そのルータ宛てのトラフィック、またはそのルータによって開始されたトラフィックを除きます)。トラフィックがインターフェイスを通過するようにするには、ポリシーの適用対象となるゾーン部分をゾーン ペアによって作成する必要があります。ポリシーによってトラフィックが許可される場合は、そのインターフェイスを通じてトラフィックが流れます。

ステップ 23

ip address ip-address

 

Router(config-if)# ip address 10.70.0.1 255.255.255.0

セキュリティ ゾーンのインターフェイス IP アドレスを割り当て、インターフェイス コンフィギュレーション モードを開始します。

ステップ 24

ip wccp { service-id { group-listen | redirect { in | out }} | redirect exclude in | web-cache { group-listen | redirect { in | out }}

 

Router(config-if)# ip wccp 61 redirect in

インターフェイスに次の WCCP パラメータを指定します。

service-id 引数は、サービス識別子番号(1 ~ 254)を定義します。

redirect exclude in キーワードは、送信リダイレクトから受信パケットを除外する場合に使用します。

web-cache キーワードは、標準 Web キャッシュ サービスを定義する場合に使用します。

group-listen キーワードは、マルチキャストされた WCCP プロトコル パケットを検出する場合に使用します。

in キーワードは、適切な受信パケットをキャッシュ エンジンにリダイレクトする場合に使用します。

out キーワードは、適切な送信パケットをキャッシュ エンジンにリダイレクトする場合に使用します。

ステップ 25

exit

 

Router(config-if)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 26

zone-pair security zone-pair-name { source source-zone-name | self ]} destination [ self | destination-zone-name ]

 

Router(config)# zone-pair security zp source z1 destination z2

ゾーン ペアを作成し、セキュリティ ゾーン ペア コンフィギュレーション モードを開始します。

ステップ 27

service-policy type inspect policy-map-name

 

Router(config-sec-zone-pair)# service-policy type inspect p2

ファイアウォール ポリシー マップを対象のゾーン ペアに付加します。

(注) ゾーン ペアの間でポリシーが設定されていない場合、トラフィックはデフォルトでドロップされます。

ゾーンベース ポリシー ファイアウォールの設定例

次にゾーンベース ポリシー ファイアウォールの例を示します。

「例:レイヤ 3 およびレイヤ 4 ファイアウォール ポリシーの設定」

「例:レイヤ 7 ファイアウォール ポリシーの設定」

「例:セキュリティ ゾーンの設定」

「例:ゾーン ペアの設定」

「例:セキュリティ ゾーンへのインターフェイスの割り当て」

「例:ゾーン ペアへのポリシー マップの付加」

「例:URL フィルタ ポリシーの設定:Websense」

「例:Cisco IOS ファイアウォールと WAAS の相互運用の設定」

例:レイヤ 3 およびレイヤ 4 ファイアウォール ポリシーの設定

次の例は、レイヤ 3 またはレイヤ 4 トップレベル ポリシーを示します。トラフィックはアクセス コントロール リスト 199 にマッチングされます。ディープパケット HTTP インスペクションが指定されています。 match access-group 101 フィルタを設定すると、レイヤ 4 インスペクションがイネーブルになります。結果として、クラスマップのタイプが mach-all である場合を除き、レイヤ 7 インスペクションは省略されます。

class-map type inspect match-all http-traffic
match protocol http
match access-group 101
policy-map type inspect mypolicy
class type inspect http-traffic
inspect
service-policy http http-policy

例:レイヤ 7 ファイアウォール ポリシーの設定

次の例は、URL の長さが 500 を超える HTTP セッションと一致させる方法を示します。レイヤ 7 ポリシー アクションは reset です。

class-map type inspect http long-urls
match request uri length gt 500
policy-map type inspect http http-policy
class type inspect http long-urls
reset
 

次の例は、 extended キーワードを指定して ESMTP のインスペクションをイネーブルにする方法を示します。

class-map type inspect c1
match protocol smtp extended
 
policy-map type inspect p1
class type inspect c1
inspect
 

ここでは、 service-policy type inspect smtp コマンドは任意であり、 inspect コマンドの後に入力できます。

例:セキュリティ ゾーンの設定

次の例は、「Internet Traffic」という説明が付されたセキュリティ ゾーン z1 を作成する方法を示します。

zone security z1
description Internet Traffic

例:ゾーン ペアの設定

レガシー ファイアウォールは、デフォルトでルールまたはポリシーによって明示的に定義されていないパケットを許可するのに対し、ゾーンベース ファイアウォールは、ルールまたはポリシーによって明示的に許可されていないパケットをドロップします。

ゾーンベース ファイアウォールは、ゾーン内部とゾーン外部の間を流れるトラフィックの結果としてゾーン内で生成された断続的な ICMP 応答の取り扱いについて、場合に応じた動作を行います。

セルフ ゾーンを送信元とするゾーン ペア、およびゾーン内部とゾーン外部の間を流れるトラフィックについて明示的なポリシーが設定されたコンフィギュレーションでは、断続的な ICMP 応答が生成された場合、ゾーンベース ファイアウォールはセルフ ゾーンを送信元とするゾーン ペアで ICMP プロトコルの明示的な許可ルールを探します。セルフ ゾーンを送信元とするゾーン ペアに対する ICMP プロトコルの明示的な検査ルールは、断続的な ICMP 応答に関連するセッションが存在しないという理由で役に立たない場合があります。

次の例は、ゾーン z1 と z2 を作成して説明を入力し、両ゾーン間を流れるトラフィックについてゾーン z2 でファイアウォール ポリシー マップを適用するよう指定する方法を示します。

zone security z1
description finance department networks
 
zone security z2
description engineering services network
 
zone-pair security zp source z1 destination z2

例:セキュリティ ゾーンへのインターフェイスの割り当て

次の例は、イーサネット インターフェイス 0 をゾーン z1 に付加する方法を示します。

interface ethernet0
zone-member security z1

例:ゾーン ペアへのポリシー マップの付加

次の例は、ファイアウォール ポリシー マップをターゲット ゾーン ペア p1 に付加する方法を示します。

zone-pair security zp source z1 destination z2
service-policy type inspect p1

例:URL フィルタ ポリシーの設定:Websense

次の例は、Websense の URL フィルタ ポリシーを設定する方法を示します。

「例:Websense サーバの設定」

「例:Websense クラス マップの設定」

「例:Websense URL フィルタ ポリシーの設定」

「例:ファイアウォール ポリシーへの URL フィルタの適用」

例:Websense サーバの設定

次の例は、Websense サーバを設定する方法を示します。

parameter-map type urlfpolicy websense websense-param-map
server fw21-ss1-bldr.example.com timeout 30
source-interface Loopback0
truncate script-parameters
cache-size maximum-entries 100
cache-entry-lifetime 1
block-page redirect-url http://abc.example.com

例:Websense クラス マップの設定

次の例は、Websense クラス マップを設定する方法を示します。

class-map type urlfilter websense match-any websense-class
match server-response any

例:Websense URL フィルタ ポリシーの設定

次の例は、Websense URL フィルタ ポリシーを設定する方法を示します。

policy-map type inspect urlfilter websense-policy
parameter type urlfpolicy websense websense-param-map
class type urlfilter websense websense-class
server-specified-action
log

例:ファイアウォール ポリシーへの URL フィルタの適用

次の例は、URL フィルタをファイアウォール ポリシーに適用する方法を示します。

policy-map type inspect websense-global-policy
class type inspect http-class
inspect global
service-policy urlfilter websense-policy

例: Cisco IOS ファイアウォールと WAAS の相互運用の設定

次の例は、トラフィックをインターセプトするために WCCP を使用してトラフィックを WAE デバイスにリダイレクトする、Cisco IOS ファイアウォールのエンドツーエンド WAAS トラフィック フロー最適化コンフィギュレーションを示します。

次のコンフィギュレーション例では、統合サービスエンジン インターフェイスが別のゾーンで設定されていて、各セキュリティ ゾーン メンバーがインターフェイスに割り当てられているため、セキュリティ ゾーン メンバー間のトラフィックはドロップされません。この変更は、異なる入力インターフェイスに対処するため、Cisco IOS Release 12.4(20)T および 12.4(22)T の Cisco IOS ファイアウォール コンフィギュレーションに加えられました。

ip wccp 61
ip wccp 62
ip inspect waas enable
class-map type inspect most-traffic
match protocol icmp
match protocol ftp
match protocol tcp
match protocol udp
policy--map type inspect p1
class type inspect most--traffic
inspect
class class--default
zone security zone-hr
zone security zone-outside
zone security z-waas
zone--pair security hr--out source zone-hr destination zone-outside
service--policy type inspect p1
zone--pair security out--hr source zone-outside destination zone-hr
service--policy type inspect p1
zone--pair security eng--out source zone-eng destination zone-outside
service--policy type inspect p1
 
interface GigabitEthernet0/0
description Trusted interface
ipaddress 10.70.0.1 255.255.255.0
ip wccp 61 redirect in
zone--member security zone-hr
interface GigabitEthernet0/0
description Trusted interface
ipaddress 10.71.0.2 255.255.255.0
ip wccp 61 redirect in
zone--member security zone-eng
interface GigabitEthernet0/1
description Untrusted interface
ipaddress 10.72.2.3 255.255.255.0
ip wccp 62 redirect in
zone--member security zone-outside
 

) この Cisco IOS Release 12.4(20)T および 12.4(22)T の新しいコンフィギュレーションは、統合サービス エンジンをその固有のゾーンに配置します。このゾーンをゾーン ペアの一部にする必要はありません。zone-hr(zone-out)と zone-eng(zone-output)の間にゾーン ペアが設定されます。


interface Integrated--Service--Enginel/0
ipaddress 10.70.100.1 255.255.255.252
ip wccp redirect exclude in
zone--member security z-waas

例:クラス マップのプロトコル一致データが増加しない

次のコンフィギュレーション例では、 show policy-map type inspect zone-pair コマンドの出力で一致カウンタの問題が発生します。

class-map type inspect match-any y
match protocol tcp
match protocol icmp
class-map type inspect match-all x
match class y
 

ただし、クラス マップが任意のクラス マップに一致する場合、このコンフィギュレーションの累積カウンタは show policy-map type inspect zone-pair コマンドの出力に表示されます。

show policy-map type inspect zone session
 
policy exists on zp zp
Zone-pair: zp
 
Service-policy inspect : fw
 
Class-map: x (match-any)
Match: class-map match-any y
2 packets, 48 bytes <======= Cumulative class map counters are incrementing.
30 second rate 0 bps
Match: protocol tcp
0 packets, 0 bytes <==== The match for the protocol is not incrementing.
30 second rate 0 bps
Match: protocol icmp
0 packets, 0 bytes
30 second rate 0 bps
 
Inspect
 
Number of Established Sessions = 1
Established Sessions
Session 53105C0 (10.1.1.2:19180)=>(172.1.1.2:23) telnet:tcp SIS_OPEN
Created 00:00:02, Last heard 00:00:02
Bytes sent (initiator:responder) [30:69]
 
Class-map: class-default (match-any)
Match: any
Drop
0 packets, 0 bytes

参考資料

以降の項に、ゾーンベース ポリシー ファイアウォール機能の関連資料を示します。

関連資料

関連項目
参照先

セキュリティ コマンド

『Cisco IOS Security Command Reference』

Quality of Service コマンド

『Cisco IOS Quality of Service Solutions Command Reference』

規格

規格
タイトル

この機能がサポートする新しい規格または変更された規格はありません。また、この機能で変更された既存規格のサポートはありません。

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco ソフトウェア リリース、および機能セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

--

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

ゾーンベース ポリシー ファイアウォールの機能情報

表 1 に、このモジュールで説明した機能をリストし、特定の設定情報へのリンクを示します。

プラットフォームのサポートおよびソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスしてください。Cisco.com のアカウントは必要ありません。


表 1 には、一連のソフトウェア リリースのうち、特定の機能が初めて導入されたソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連のソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 ゾーンベース ポリシー ファイアウォールの機能情報

機能名
リリース
機能情報

ゾーンベース ポリシー ファイアウォール

12.4(6)T

この機能は、ゾーンと呼ばれるインターフェイス グループの間の Cisco IOS 単方向ファイアウォール ポリシーを提供します。

次のコマンドが、この機能によって導入または変更されました。

class-map type inspect class type inspect clear parameter-map type protocol-info debug policy-firewall match body regex match file-transfer match header count match header length match header regex match protocol zone )、 match request length match request regex match response status-line regex match search-file-name match service match text-chat parameter-map type policy-map type inspect server (parameter-map)、 service-policy (policy-map)、 service-policy type inspect show parameter-map type protocol-info

HTTP のアプリケーション インスペクションと制御:フェーズ 2

12.4(9)T

この機能は、HTTP アプリケーション ファイアウォール ポリシーのサポートを拡張します。

次の項で、この機能に関する情報を参照できます。

「HTTP ファイアウォール ポリシーの設定」

次のコマンドが、この機能によって導入または変更されました。 match body regex match header count match header length match header regex match request length match request regex match response status-line regex

P2P アプリケーション インスペクションと制御:フェーズ 1

12.4(9)T、12.4(20)T

この機能は、eDonkey、FastTrack、Gnutella バージョン 2、Kazaa バージョン 2 の各ピアツーピア アプリケーションに対して設定されたポリシーを識別および施行するためのサポートを導入します。

また、AOL、MSN Messenger、Yahoo Messenger の各インスタント メッセンジャ アプリケーションに対して設定されたポリシーを識別および施行するためのサポートも導入されます。

Release 12.4(20)T で、H.323 VoIP および SIP アプリケーションのサポートが追加されました。

Release 12.4(20)T で、ICQ、Windows Messenger の各 IM アプリケーションのサポートも追加されました。

次の項で、この機能に関する情報を参照できます。

「レイヤ 7 プロトコル固有パラメータ マップの設定」

「インスタント メッセンジャ ポリシーの設定」

「ピアツーピア ポリシーの設定」

次のコマンドが、この機能によって導入または変更されました。 class-map type inspect class type inspect clear parameter-map type protocol-info debug policy-firewall、match file-transfer match protocol( zone match search-file-name match service match text-chat parameter-map type policy-map type inspect、server( parameter-map show parameter-map type protocol-info

Zone Based Firewall(ZBFW; ゾーン ベース ファイアウォール)操作性および管理性機能

15.0(1)M

このマニュアルで扱う ZBFW 操作性および管理性機能は、ゾーン ベース ファイアウォールでの OoO パケット処理のサポート、ゾーン ベース ファイアウォールでのイントラゾーンのサポート、および拡張デバッグ機能です。

次の項で、この機能に関する情報を参照できます。

「ゾーンベース ファイアウォール アプリケーションでの Out-of-Order パケット処理のサポート」

「ゾーンベース ファイアウォール アプリケーションでのイントラゾーンのサポート」

「ゾーンベース ファイアウォール アプリケーションでの OoO パケット処理のサポートの設定」

「ゾーンベース ファイアウォール アプリケーションでのイントラゾーンのサポートの設定」

次のコマンドが、この機能によって導入または変更されました。 clear ip ips statistics debug cce dp named-db inspect debug policy-firewall debug ip virtual-reassembly list parameter-map type ooo global show parameter-map type ooo global zone-pair security

Cisco IOS Release 15.1(1)T で、次のコマンドが導入または変更されました。 class-map type inspect clear policy-firewall log( parameter-map type match request regex parameter-map type inspect show parameter-map type inspect show policy-firewall config show policy-firewall mib show policy-firewall sessions show policy-firewall stats show policy-firewall summary-log

検査トラフィックのレート制限

12.4(9)T

この機能を使用すると、Cisco IOS ファイアウォール(検査)ポリシー内でトラフィックをレート制限できます。また、1 つのゾーン ペアに存在できるセッションの絶対数を制限することもできます。

次の項で、この機能に関する情報を参照できます。

「レイヤ 3 およびレイヤ 4 ポリシー マップ内でのトラフィックのレート制限(ポリシング)」

「検査パラメータ マップの作成」

次のコマンドが、この機能によって導入されました。 police( zone policy sessions maximum

電子メール インスペクション エンジン

15.1(1)S

この機能を使用すると、Cisco IOS ルータを通過する SSL VPN トンネル接続に含まれる POP3、IMAP、および E/SMTP 電子メール トラフィックを検査できます。

次の項で、この機能に関する情報を参照できます。

「IMAP クラス マップの設定」