Cisco Router and Security Device Manager (SDM) バージョン 2.1ユーザーズ ガイド
ファイアウォールの作成
ファイアウォールの作成
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

ファイアウォールの作成

基本ファイアウォール設定ウィザード

基本ファイアウォールのインターフェイス設定

拡張ファイアウォール設定ウィザード

拡張ファイアウォールのインターフェイス設定

拡張ファイアウォールの DMZ サービス設定

DMZ サービス設定

拡張ファイアウォールのインスペクション ルール設定

インスペクション ルール エディタ

要約

その他の手順

ファイアウォール上のアクティビティを表示する方法

サポートされていないインターフェイス上でファイアウォールを設定する方法

VPN を設定した後にファイアウォールを設定する方法

特定のトラフィックに DMZ インターフェイスの通過を許可する方法

新しいネットワークまたはホストからのトラフィックを許可するように既存のファイアウォールを変更する方法

サポートされていないインターフェイスで NAT を設定する方法

ファイアウォールに対して NAT パススルーを設定する方法

Easy VPN コンセントレータへのトラフィックを、ファイアウォールを通過するように許可する方法

ルールをインターフェイスに関連付ける方法

アクセス ルールとインターフェイスの関連付けを解除する方法

インターフェイスに関連付けられているルールを削除する方法

Java リストのアクセス リストを作成する方法

DMZ ネットワークがない場合、担当ネットワークで特定のトラフィックを許可する方法

ファイアウォールの作成

ファイアウォールは、 LAN のリソースを保護するために使用されるルールのセットです。これらのルールによって、ルータに到達するパケットにフィルタをかけます。ルールで指定された条件を満たさないパケットは廃棄されます。条件を満たすパケットは、ルールが適用されているインターフェイスを通過できます。このウィザードを使用すると、一連の画面に表示される指示に従って LAN のファイアウォールを作成できます。

このウィンドウでは、作成するファイアウォールのタイプを選択します。


) • Cisco Router and Security Device Manager(SDM)を使用してルータにファイアウォールを設定するには、ファイアウォール フィーチャ セットをサポートする Cisco IOS イメージがルータで使用されている必要があります。

また、ファイアウォールを設定する前に、LAN と WAN の設定を完了する必要があります。


 

基本ファイアウォール

SDM でデフォルト ルールを使用してファイアウォールを作成する場合にクリックします。ユース ケース シナリオとして、このタイプのファイアウォールが使用されている一般的なネットワーク設定が表示されます。

拡張ファイアウォール

SDM の指示に従ってファイアウォールを設定する場合にクリックします。 DMZ ネットワークを作成したり、 インスペクション ルールを指定したりできます。このオプションを選択すると、ユース ケース シナリオとして、インターネット用の一般的なファイアウォール設定が表示されます。

実行する操作

 

目的
手順

SDM で自動的にファイアウォールを作成する。

DMZ ネットワークを設定しない場合、または外部インターフェイスが 1 つしか存在しない場合は、このオプションを選択できる。

[基本ファイアウォール] をクリックする。次に、 [選択したタスクを実行する] をクリックする。

SDM によってルータのインターフェイスを指定するように指示される。インターフェイスを指定すると、SDM のデフォルトのアクセス ルールとインスペクション ルールを使用してファイアウォールが作成される。

SDM の指示に従って拡張ファイアウォールを作成する。

ルータに複数の内部インターフェイスと外部インターフェイスがある場合、DMZ ネットワークを設定するときは、このオプションを選択する必要がある。

[拡張ファイアウォール] を選択する。次に、 [選択したタスクを実行する] をクリックする。

デフォルトのインスペクション ルールが表示され、そのルールをファイアウォールに使用できる。または、独自のインスペクション ルールを作成できる。SDM では、ファイアウォールにデフォルトのアクセス ルールが使用される。

このウィザードで実行できない操作に関する情報を入手する。

次のリストからトピックを選択する。

ファイアウォール上のアクティビティを表示する方法

サポートされていないインターフェイス上でファイアウォールを設定する方法

VPN を設定した後にファイアウォールを設定する方法

特定のトラフィックに DMZ インターフェイスの通過を許可する方法

新しいネットワークまたはホストからのトラフィックを許可するように既存のファイアウォールを変更する方法

サポートされていないインターフェイスで NAT を設定する方法

ファイアウォールに対して NAT パススルーを設定する方法

Easy VPN コンセントレータへのトラフィックを、ファイアウォールを通過するように許可する方法

ルールをインターフェイスに関連付ける方法

アクセス ルールとインターフェイスの関連付けを解除する方法

インターフェイスに関連付けられているルールを削除する方法

Java リストのアクセス リストを作成する方法

ルータに送信中のIOS コマンドを表示するにはどうすればいいですか?

DMZ ネットワークがない場合、担当ネットワークで特定のトラフィックを許可する方法

基本ファイアウォール設定ウィザード

このオプションを選択すると、LAN はデフォルト ファイアウォールで保護されます。そのためには、次のウィンドウで内部インターフェイスと外部インターフェイスを指定する必要があります。設定を開始するには、 [次へ] をクリックします。

基本ファイアウォールのインターフェイス設定

ファイアウォールが正しいインターフェイスに適用されるように、ルータのインターフェイスを指定します。

外部インターフェイス

インターネットまたは組織の WAN に接続されるルータ インターフェイスを選択します。


) SDM へのアクセスに使用したインターフェイスを外部インターフェイスとして選択しないでください。選択すると、SDM との接続が切断されます。そのインターフェイスはファイアウォールで保護されるため、ファイアウォール ウィザードの終了後は、外部インターフェイスから SDM を起動できなくなります。


内部インターフェイス

LAN に接続する物理インターフェイスと論理インターフェイスを選択します。複数のインターフェイスを選択できます。

アクセス ルールのログ オプション

すべてを拒否するアクセス ルール エントリが原因で失敗したネットワークへのアクセス試行をログに記録する場合に選択します。

拡張ファイアウォール設定ウィザード

SDM を使用すると、ルータのインターフェイスに関する情報、DMZ ネットワークを設定するかどうか、そしてファイアウォールで使用するルールを指定することによって、 インターネット ファイアウォールを作成できます。

設定を開始するには、[次へ]をクリックします。

拡張ファイアウォールのインターフェイス設定

ルータの内部/外部インターフェイスと DMZ ネットワークに接続するインターフェイスを指定します。

[外部] または[ 内部] を選択して、各インターフェイスを外部インターフェイスまたは内部インターフェイスとして指定します。外部インターフェイスは、組織の WAN またはインターネットに接続します。内部インターフェイスはローカル LAN に接続します。

DMZ インターフェイス

DMZ ネットワークが存在する場合は、そのネットワークに接続するルータ インターフェイスを選択します。DMZ ネットワークは、外部ネットワークから送信されたトラフィックを隔離するために使用される緩衝地帯です。DMZ ネットワークがある場合は、そのネットワークに接続するインターフェイスを選択します。

アクセス ルールのログ オプション

匿名で拒否したアクセス ルール エントリをログに記録する場合に選択します。

拡張ファイアウォールの DMZ サービス設定

このウィンドウでは、DMZ の内部で使用可能なサービスをルータの外部インターフェイスからも使用可能にする場合に、そのサービスを指定するルール エントリを表示できます。指定されたサービス タイプのトラフィックは、外部インターフェイス経由で DMZ ネットワークに入ることを許可されます。

DMZ サービス設定

このエリアには、ルータに設定されている DMZ サービス エントリが表示されます。

開始 IP アドレス

DMZ ネットワーク内のホストを指定する範囲内の最初の IP アドレスです。

終了 IP アドレス

DMZ ネットワーク内のホストを指定する範囲内の最後の IP アドレスです。このカラムに値が表示されない場合は、[開始 IP アドレス]カラムの IP アドレスが DMZ ネットワーク内で唯一のホストに割り当てられていると考えられます。最大 254 台のホストを範囲で指定できます。

サービス タイプ

サービスのタイプです。値は、[転送制御プロトコル(TCP)]または[ユーザ データグラム プロトコル(UDP)]のどちらかになります。

サービス

Telenet、FTP などのサービス名、またはプロトコル番号です。

DMZ サービス エントリを設定するには

[追加] をクリックし、[DMZ サービス設定]ウィンドウでエントリを作成します。

DMZ サービス エントリを編集するには

サービス エントリを選択して[ 編集] をクリックします。次に、[DMZ サービス設定]ウィンドウでエントリを編集します。

DMZ サービス設定

このウィンドウでは、DMZ サービス エントリを作成または編集します。

ホスト IP アドレス

アドレス範囲を入力して、このエントリを適用する DMZ 内のホストを指定します。指定した TCP または UDP サービスのトラフィックは、ファイアウォールによってこれらのホストへの到達を許可されます。

開始 IP アドレス

範囲内の最初の IP アドレスを入力します。たとえば、172.20.1.1 と入力します。ネットワーク アドレス トランスレーション( NAT)が有効になっている場合は、NAT で変換されたアドレス(「 内部グローバル

アドレス」と呼ばれる)を入力する必要があります。

終了 IP アドレス

範囲内の最後の IP アドレスを入力します。たとえば、172.20.1.254 と入力します。NAT が有効になっている場合は、NAT で変換されたアドレスを入力する必要があります。

サービス

TCP

TCP サービスのトラフィックを許可する場合にクリックします。

UDP

UDP サービスのトラフィックを許可する場合にクリックします。

サービス

サービス名または番号を入力します。名前または番号がわからない場合は、ボタンをクリックして、表示されるリストからサービスを選択します。

拡張ファイアウォールのインスペクション ルール設定

ファイアウォールでアクセス ルールを使用すると、ファイアウォールの内部で開始されたセッションのリターン トラフィックがサービス タイプにより拒否される場合があります。アウトバウンド トラフィックはルータから送出できますが、同じタイプのリターン トラフィックは、明示的に許可されていなければ、LAN 上で拒否されます。インスペクション ルールを使用すると、このようなリターン トラフィックがネットワークに入ることを許可できます。ルータはアウトバウンド パケットを検査して、指定されたタイプのトラフィックがないか確認します。外部インターフェイスへのインバウンド トラフィックは、インスペクション ルールに指定されたトラフィック タイプと比較されます。そのトラフィックが LAN 上で開始されたセッションに関連付けられていて、インスペクション ルールに指定されたタイプと一致する場合は、ネットワークに入ることを許可されます。このように、インスペクション ルールによって、ファイアウォールに一時的なホールが作成され、LAN 上のホストはリターン トラフィックを受信できるようになります。

この画面には、SDM のデフォルトのインスペクション ルールとユーザ定義のインスペクション ルールが表示されます。ユーザ定義のインスペクション ルールはこの画面で追加または変更できます。

インスペクション ルールは、インスペクション ルール エントリを含む名前付きのリストです。各エントリは、プロトコル指定、アラート スイッチ、および監査スイッチで設定されます。

インスペクション ルールの選択

エントリを表示するインスペクション ルールを選択します。

プロトコル

このエントリで検査するプロトコルです。たとえば、FTP を指定すると、ファイアウォールの内部で開始されたセッションに関連付けられているインバウンド FTP トラフィックがルールによって検査されます。

アラート

このタイプのトラフィックが見つかったときに、ルータによってアラートを生成する場合はオンにします。アラートを生成しない場合はオフにします。[ルータ プロパティ]の[ロギング]ウィンドウでシスログ(syslog)が有効になっている場合、アラートはシスログ(syslog)ファイルに保存されます。

監査追跡

このタイプのトラフィックが見つかったときに、ルータによって監査追跡を生成する場合はオンにします。監査追跡を生成しない場合はオフにします。[ルータ プロパティ]の[ロギング]ウィンドウでシスログ(syslog)が有効になっている場合、監査追跡はシスログ(syslog)ファイルに保存されます。

 

目的
手順

既存のインスペクション ルールを調べる。

[インスペクション ルール名]リストからルール名を選択する。そのインスペクション ルールのエントリが下のボックスに表示される。

既存のインスペクション ルールを編集する。

[インスペクション ルール名]リストからルール名を選択し、 [編集] をクリックする。[インスペクション ルール情報]ウィンドウでルールを編集する。

新しいインスペクション ルールを作成する。

[新規] をクリックし、[インスペクション ルール情報]ウィンドウでルールを作成する。

インスペクション ルール エディタ

インスペクション ルール エディタ 」を参照してください。

要約

この画面には、ファイアウォール情報の要約が表示されます。この画面で情報を確認したり、[戻る]ボタンでウィザードの任意の画面に戻って設定を変更したりできます。

内部インターフェイス

このウィザード セッションで内部インターフェイスとして指定したルータの論理インターフェイスと物理インターフェイスが IP アドレスとともに表示されます。また、これらのインターフェイスに関連付けられているアクセス ルールとインスペクション ルールが下に表示されます。その例を次に示します。

アクセス ルールをインバウンド方向に適用して、スプーフィング トラフィックを拒否します。

アクセス ルールをインバウンド方向に適用して、ブロードキャスト アドレス、ローカル ループバック アドレスから送信されたトラフィックを拒否します。

アクセス ルールをインバウンド方向に適用して、他のすべてのトラフィックを許可します。

デフォルトのインスペクション ルールを内部インターフェイスのインバウンド方向に適用します(拡張ファイアウォール)。

外部インターフェイス

このウィザード セッションで外部インターフェイスとして指定したルータの論理インターフェイスと物理インターフェイスが IP アドレスとともに表示されます。また、これらのインターフェイスに関連付けられているアクセス ルールとインスペクション ルールが下に表示されます。その例を次に示します。

デフォルトのインスペクション ルールをアウトバウンド方向に適用します(基本ファイアウォール)。

ユニキャスト RPF(逆方向パス転送)チェックを有効にします。

アクセス ルールをインバウンド方向に適用して、IPSec トンネル トラフィックを必要に応じて許可します。

アクセス ルールをインバウンド方向に適用して、スプーフィング トラフィックを拒否します。

アクセス ルールをインバウンド方向に適用して、ブロードキャスト アドレス、ローカル ループバック アドレス、およびプライベート アドレスから送信されたトラフィックを拒否します。

アクセス ルールをインバウンド方向に適用して、他のすべてのトラフィックを拒否します。

DMZ Interface(DMZ インターフェイス)

拡張ファイアウォールを設定している場合は、指定した DMZ インターフェイスがその IP アドレスとともに表示されます。また、このインターフェイスに関連付けられているアクセス ルールとインスペクション ルールが下に表示されます。その例を次に示します。

CBAC インスペクション ルールをアウトバウンド方向に適用します。

アクセス ルールをインバウンド方向に適用して、すべてのトラフィックを拒否します。

この設定をルータの実行コンフィギュレーションに保存してウィザードを終了するには

[完了] をクリックします。設定の変更がルータの実行コンフィギュレーションに保存されます。変更はすぐに有効になりますが、ルータの電源を切ると失われます。

[ユーザ プリファレンス]ウィンドウで[ コマンドをルータに配信する前にプレビューする] チェック ボックスを選択した場合は、[設定をルータに配信する]ウィンドウが表示されます。このウィンドウで、ルータに配信する CLI コマンドを確認できます。

その他の手順

ここでは、ウィザードで実行できない操作の手順を示します。

ファイアウォール上のアクティビティを表示する方法

ファイアウォール上のアクティビティは、ログ エントリの作成を通じて監視されます。ルータでロギングが有効になっている場合は、ログ エントリを生成するように設定されているアクセス ルールが呼び出されるたびに(たとえば、拒否した IP アドレスからの接続試行のたびに)ログ エントリが生成され、そのエントリを監視モードで表示できます。

ロギングを有効にする

ファイアウォールのアクティビティを表示するには、まずルータでロギングを有効にします。ロギングを有効にする手順は次のとおりです。


ステップ 1 左側のフレームで[ 追加タスク] を選択します。

ステップ 2 [追加タスク]ツリーで[ ロギング] をクリックしてから[ 編集] ボタンをクリックします。

ステップ 3 [シスログ(Syslog)]画面で[ バッファへのロギング] を選択します。

ステップ 4 [バッファ サイズ]フィールドに、ロギング バッファに使用するルータのメモリ容量を入力します。デフォルト値は 4096 バイトです。バッファ サイズが大きいほど格納されるログ エントリは多くなります。ただし、ロギング バッファを大きくする必要性とルータ パフォーマンスが低下する可能性を考慮して、両方のバランスをとる必要があります。

ステップ 5 [OK] をクリックします。


 

ログ エントリを生成するアクセス ルールを指定する

ロギングを有効にしたら、ログ エントリを生成するアクセス ルールを指定する必要があります。ログ エントリを生成するアクセス ルールの設定手順は次のとおりです。


ステップ 1 左側のフレームで[ 追加タスク] を選択します。

ステップ 2 [追加タスク]ツリーで[ ACL エディタ] をクリックしてから[ アクセス ルール] クリックします。

画面の右上の表に各アクセス ルールが表示されます。右下の表には、ルールによって許可または拒否される特定の送信元 IP アドレス、宛先 IP アドレス、およびサービスが表示されます。

ステップ 3 右上の表で変更するルールをクリックします。

ステップ 4 [編集] をクリックします。

[ルールの編集]ダイアログ ボックスが表示されます。

ステップ 5 [ルール エントリ]フィールドに、ルールによって許可または拒否される送信元 IP、宛先 IP、およびサービスの各組み合わせが表示されます。ログ エントリを生成するように設定するルール エントリをクリックします。

ステップ 6 [編集] をクリックします。

ステップ 7 [ルール エントリ]ダイアログ ボックスで、 [このエントリに一致した場合のログ] チェック ボックスを選択します。

ステップ 8 [OK] をクリックして、表示されているダイアログ ボックスを閉じます。

これで、変更したルール エントリで定義されている IP アドレス範囲とサービスからの接続試行のたびに、ログ エントリが生成されるようになります。

ステップ 9 ログ エントリを生成するように設定する各ルール エントリに対して手順 4 ~ 8 を繰り返します。


 

ロギングの設定が完了したら、次の手順に従ってファイウォールのアクティビティを表示します。


ステップ 1 ツールバーで[ 監視モード] をクリックします。

ステップ 2 左側のフレームで[ ファイアウォール ステータス] を選択します。

[ファイアウォール統計情報]で、ファイアウォールが設定されていることを確認したり、拒否した接続試行の回数を表示したりできます。

表に、ファイアウォールによって生成された各ルータ ログ エントリが表示され、ログ エントリが生成された時間と理由が示されます。


 

サポートされていないインターフェイス上でファイアウォールを設定する方法

SDM では、サポートされていないタイプのインターフェイスに ファイアウォールを設定できます。ファイアウォールを設定する前に、まずルータ CLI を使用して、インターフェイスを設定する必要があります。インターフェイスには、少なくとも IP アドレスを設定する必要があり、また、機能していなければなりません。CLI を使用してインターフェイスを設定する方法については、ルータのソフトウェア設定ガイドを参照してください。

接続が機能していることを確認するには、[インターフェイスと接続]ウィンドウでインターフェイスのステータスが[稼動]になっていることを確認します。

次の例は、Cisco 3620 ルータにおける ISDN インターフェイスの設定の一部です。

!
isdn switch-type basic-5ess
!
interface BRI0/0
! これは BRI WIC のデータです。
ip unnumbered Ethernet0/0
no ip directed-broadcast
encapsulation ppp
no ip mroute-cache
dialer map ip 100.100.100.100 name junky 883531601
dialer hold-queue 10
isdn switch-type basic-5ess
isdn tei-negotiation first-call
isdn twait-disable
isdn spid1 80568541630101 6854163
isdn incoming-voice modem
 

その他の設定については、ルータのソフトウェア設定ガイドを参照してください。

CLI を使用してサポートされていないインターフェイスを設定した後で、SDM を使用してファイアウォールを設定できます。サポートされていないインターフェイスは、ルータ インターフェイスを表示するフィールドに[その他]として表示されます。

VPN を設定した後にファイアウォールを設定する方法

VPN で使用されているインターフェイスに ファイアウォールを配置する場合は、ファイアウォールでローカル VPN ピアとリモート VPN ピア間のトラフィックを許可する必要があります。基本または拡張ファイアウォール ウィザードを使用すると、VPN ピア間のトラフィック フローが SDM によって自動的に許可されます。

[追加タスク]から利用できる ACL エディタでアクセス ルールを作成する場合は、ユーザ自身が許可と拒否のステートメントをルールに含めるため、VPN ピア間のトラフィックを許可する必要があります。次のステートメントは、VPN トラフィックを許可するために設定に含める必要があるステートメント タイプの例です。

access-list 105 permit ahp host 123.3.4.5 host 192.168.0.1

access-list 105 permit esp host 123.3.4.5 host 192.168.0.1

access-list 105 permit udp host 123.3.4.5 host 192.168.0.1 eq isakmp

access-list 105 permit udp host 123.3.4.5 host 192.168.0.1 eq non500-isakmp

特定のトラフィックに DMZ インターフェイスの通過を許可する方法

DMZ ネットワーク上の Web サーバへのファイアウォール経由のアクセスを設定するには、次の手順に従ってください。


ステップ 1 左側のフレームで[ ファイアウォールと ACL] を選択します。

ステップ 2 [拡張ファイアウォール] を選択します。

ステップ 3 [選択したタスクを実行する] をクリックします。

ステップ 4 [次へ] をクリックします。

[拡張ファイアウォールのインターフェイス設定]画面が表示されます。

ステップ 5 [インターフェイス]の表で、ファイアウォールの内部のネットワークに接続するインターフェイスとファイアウォールの外部のネットワークに接続するインターフェイスを選択します。

ステップ 6 [DMZ Interface](DMZ インターフェイス)フィールドで、DMZ ネットワークに接続するインターフェイスを選択します。

ステップ 7 [次へ>] をクリックします。

ステップ 8 [IP アドレス]フィールドに、Web サーバの IP アドレスまたは IP アドレス範囲を入力します。

ステップ 9 [サービス]フィールドから[TCP]を選択します。

ステップ 10 [ポート]フィールドに、「 80 」 または「 www 」と入力します。

ステップ 11 [次へ>] をクリックします。

ステップ 12 [完了] をクリックします。


 

新しいネットワークまたはホストからのトラフィックを許可するように既存のファイアウォールを変更する方法

新しいネットワークまたはホストからのトラフィックを許可するようにファイアウォール設定を変更するには、[ファイアウォール ポリシー/ACL の編集]タブを使用します。


ステップ 1 左側のフレームで[ ファイアウォールと ACL] を選択します。

ステップ 2 [ファイアウォール ポリシー/ACL の編集] タブをクリックします。

ステップ 3 トラフィック選択パネルで送信元インターフェイスと宛先インターフェイスを選択し、ファイアウォールが適用されているトラフィック フローを指定して[実行]をクリックします。指定したトラフィック フローにファイアウォールが適用されている場合は、ルータの図にファイアウォール アイコンが表示されます。変更する必要があるアクセス ルールが指定したトラフィック フローに表示されない場合は、別の送信元インターフェイスまたは宛先インターフェイスを選択します。

ステップ 4 [サービス]エリアでアクセス ルールを確認します。 [追加] ボタンをクリックして新しいアクセス ルール エントリ用のダイアログを表示します。

ステップ 5 ネットワークへのアクセスを許可するネットワークまたはホストに対して許可のステートメントを入力します。[ルール エントリ]ダイアログで[ OK] をクリックします。

ステップ 6 [サービス]エリアに新しいエントリが表示されます。

ステップ 7 必要な場合は、 [切り取り] および[ 貼り付け] ボタンを使用してリスト内のエントリを並べ替えます。


 

サポートされていないインターフェイスで NAT を設定する方法

SDM では、サポートされていないタイプのインターフェイスに NAT(ネットワーク アドレス トランスレーション)を設定できます。ファイアウォールを設定する前に、まずルータ CLI を使用して、インターフェイスを設定する必要があります。インターフェイスには、少なくとも IP アドレスを設定する必要があり、また、機能していなければなりません。接続が機能していることを確認するには、インターフェイスのステータスが[稼動]になっていることを確認します。

CLI を使用してサポートされていないインターフェイスを設定した後で、NAT を設定できます。サポートされていないインターフェイスは、ルータ インターフェイスのリストに[その他]として表示されます。

ファイアウォールに対して NAT パススルーを設定する方法

NAT の設定後にファイアウォールを設定する場合は、パブリック IP アドレスからのトラフィックを許可するように ファイアウォールを設定する必要があります。そのためには、 ACL を設定する必要があります。パブリック IP アドレスからのトラフィックを許可する ACL を設定する手順は次のとおりです。


ステップ 1 左側のフレームで[ 追加タスク] を選択します。

ステップ 2 [ルール]ツリーで[ ACL エディタ] をクリックしてから[ アクセス ルール] をクリックします。

ステップ 3 [追加] をクリックします。

[ルールの追加]ダイアログ ボックスが表示されます。

ステップ 4 [名前/番号]フィールドに、新しいルールの一意の名前または番号を入力します。

ステップ 5 [タイプ]フィールドから[ 標準ルール] を選択します。

ステップ 6 [説明]フィールドに、「NAT パススルーを許可する」などの新しいルールについての簡単な説明を入力します。

ステップ 7 [追加] をクリックします。

[標準ルール エントリの追加]ダイアログ ボックスが表示されます。

ステップ 8 [アクション]フィールドで、 [許可する] を選択します。

ステップ 9 [タイプ]フィールドで、 [ホスト] を選択します。

ステップ 10 [IP アドレス]フィールドにパブリック IP アドレスを入力します。

ステップ 11 [説明]フィールドに、「パブリック IP アドレス」などの簡単な説明を入力します。

ステップ 12 [OK] をクリックします。

ステップ 13 [OK] をクリックします。

新しいルールが[アクセス ルール]テーブルに表示されます。


 

Easy VPN コンセントレータへのトラフィックを、ファイアウォールを通過するように許可する方法

VPN コネクタへのファイアウォール経由のトラフィックを許可するには、 VPN トラフィックを許可するアクセス ルールを作成または変更する必要があります。これらのルールを作成する手順は次のとおりです。


ステップ 1 左側のフレームで[ 追加タスク] を選択します。

ステップ 2 [ルール]ツリーで[ ACL エディタ] をクリックしてから[ アクセス ルール] をクリックします。

ステップ 3 [追加] をクリックします。

[ルールの追加]ダイアログ ボックスが表示されます。

ステップ 4 [名前/番号]フィールドに、このルールの一意の名前または番号を入力します。

ステップ 5 [説明]フィールドに、「VPN コネクタのトラフィック」などのルールについての説明を入力します。

ステップ 6 [追加] をクリックします。

[拡張ルール エントリの追加]ダイアログ ボックスが表示されます。

ステップ 7 [送信元ホスト/ネットワーク]グループでの[タイプ]フィールドで、 [ネットワーク] を選択します。

ステップ 8 [IP アドレス]および[ワイルドカード マスク]フィールドに、VPN の送信元ピアの IP アドレスとネットワーク マスクを入力します。

ステップ 9 [宛先ホスト/ネットワーク]グループの[タイプ]フィールドで、 [ネットワーク] を選択します。

ステップ 10 [IP アドレス]および[ワイルドカード マスク]フィールドに、VPN の宛先ピアの IP アドレスとネットワーク マスクを入力します。

ステップ 11 [プロトコルとサービス]グループで[ TCP] を選択します。

ステップ 12 [送信元ポート]フィールドで[=]を選択し、ポート番号「 1023 」 を入力します。

ステップ 13 [宛先ポート]フィールドで[=]を選択し、ポート番号「 1723 」 を入力します。

ステップ 14 [OK] をクリックします。

[ルール エントリ]リストに新しいルールが表示されます。

ステップ 15 手順 7 ~ 15 を繰り返して、次のプロトコルのルール エントリを作成し、必要な場合はポート番号も入力します。

プロトコル IP 、IP プロトコル GRE

プロトコル UDP 、送信元ポート 500 、宛先ポート 500

プロトコル IP 、IP プロトコル ESP

プロトコル UDP 、送信元ポート 10000 、宛先ポート 10000

ステップ 16 [OK] をクリックします。


 

ルールをインターフェイスに関連付ける方法

SDM ファイアウォール ウィザードを使用する場合は、作成したアクセス ルールとインスペクション ルールは、ファイアウォールを作成したインターフェイスに自動的に関連付けられます。[追加タスク]から[ACL エディタ]を選択してルールを作成する場合は、[ ルールの追加/編集 ]ウィンドウでそのルールをインターフェイスに関連付けることができます。その後でも関連付けることができます。


ステップ 1 左側のパネルで[ インターフェイスと接続] をクリックし、 [インターフェイスと接続の編集] タブをクリックします。

ステップ 2 ルールを関連付けるインターフェイスを選択して[ 編集] をクリックします。

ステップ 3 [関連付け]タブで、[アクセス ルール]または[インスペクション ルール]ボックス内の[インバウンド]または[アウトバウンド]フィールドにルール名または番号を入力します。インターフェイスに到達する前にルールに従ってトラフィックをフィルタするには、[インバウンド]フィールドを使用します。すでにルータに到達し、選択したインターフェイス経由でルータから出るトラフィックをフィルタするには、[アウトバウンド]フィールドを使用します。

ステップ 4 [関連付け]タブで[ OK] をクリックします。

ステップ 5 [アクセス ルール]または[インスペクション ルール]ウィンドウで、[使用元]カラムを調べて、ルールがインターフェイスに関連付けられていることを確認します。


 

アクセス ルールとインターフェイスの関連付けを解除する方法

アクセス ルールとインターフェイスの関連付けの解除が必要になることがあります。関連付けを解除しても、アクセス ルールは削除されません。必要な場合は、ルールを別のインターフェイスに関連付けることができます。アクセス ルールとインターフェイスの関連付けを解除するには、次の手順を実行します。


ステップ 1 左側のパネルで[ インターフェイスと接続] をクリックし、 [インターフェイスと接続の編集] タブをクリックします。

ステップ 2 アクセス ルールの関連付けを解除するインターフェイスを選択します。

ステップ 3 [編集] をクリックします。

ステップ 4 [関連付け]タブで、[アクセス ルール]ボックス内の[インバウンド]または[アウトバウンド]フィールドからアクセス ルールを探します。アクセス ルールは名前または番号で表示されます。

ステップ 5 [インバウンド]または[アウトバウンド]フィールドをクリックし、右のボタンをクリックします。

ステップ 6 [なし(ルールの関連付けを解除)] をクリックします。

ステップ 7 [OK] をクリックします。


 

インターフェイスに関連付けられているルールを削除する方法

SDM では、インターフェイスに関連付けられているルールを削除できません。削除するには、まずルールとインターフェイスの関連付けを解除する必要があります。


ステップ 1 左側のパネルで[ インターフェイスと接続] をクリックし、 [インターフェイスと接続の編集] タブをクリックします。

ステップ 2 ルールの関連付けを解除するインターフェイスを選択します。

ステップ 3 [編集] をクリックします。

ステップ 4 [関連付け]タブで、[アクセス ルール]ボックスまたは[インスペクション ルール]ボックスからルールを探します。ルールは名前または番号で表示されます。

ステップ 5 [関連付け]タブでルールを選択します。アクセス ルールの場合は、 [なし(ルールの関連付けを解除)] をクリックします。インスペクション ルールの場合は、 [なし] をクリックします。

ステップ 6 [OK] をクリックします。

ステップ 7 左側のフレームで[ ルール] をクリックします。[ルール]ツリーを使用して[アクセス ルール]または[インスペクション ルール]ウィンドウに移動します。

ステップ 8 削除するルールを選択して[ 削除] をクリックします。


 

Java リストのアクセス リストを作成する方法

インスペクション ルールでは、Java リストを指定できます。Java リストは、信頼できる送信元からの Java アプレット トラフィックを許可するために使用されます。これらの送信元は、Java リストが参照するアクセス ルールで定義します。この種類のアクセス ルールを作成してそれを Java リストで使用するには、次の手順を実行します。


ステップ 1 [インスペクション ルール]ウィンドウを開いて[ Java リスト] をクリックした場合は、[番号]フィールドの右側にあるボタンをクリックして[ 新しいルール(ACL)を作成して選択する] をクリックします。[ルールの追加]ウィンドウが表示されます。

[アクセス ルール]ウィンドウを開いている場合は、 [追加] をクリックして[ルールの追加]ウィンドウを開きます。

ステップ 2 [ルールの追加]ウィンドウで、信頼できるアドレスからのトラフィックを許可する標準アクセス ルールを作成します。たとえば、ホスト 10.22.55.3 と 172.55.66.1 からの Java アプレットを許可する場合は、[ルールの追加]ウィンドウで次のアクセス ルール エントリを作成できます。

permit host 10.22.55.3
permit host 172.55.66.1
 

エントリの説明とルールの説明を入力できます。

インスペクション ルールを適用するインターフェイスにアクセス ルールを関連付ける必要はありません。

ステップ 3 [ルールの追加]ウィンドウで[ OK] をクリックします。

ステップ 4 この手順を[インスペクション ルール]ウィンドウから開始した場合は、[Java リスト]ウィンドウで[ OK] をクリックします。手順 5 と 6 を実行する必要はありません。

ステップ 5 この手順を[アクセス ルール]ウィンドウから開始した場合は、[インスペクション ルール]ウィンドウに移動し、Java リストを作成するインスペクション ルールを選択して[ 編集] をクリックします。

ステップ 6 [プロトコル]カラムで[ http] を選択し、 [Java リスト] をクリックします。

ステップ 7 [Java リスト番号]フィールドに、作成したアクセス リストの番号を入力します。 [OK] をクリックします。


 

DMZ ネットワークがない場合、担当ネットワークで特定のトラフィックを許可する方法

ファイアウォール ウィザードでは、DMZ に入ることを許可するトラフィックを指定できます。DMZ ネットワークがない場合は、ファイアウォール ポリシー機能を使用して、指定したタイプの外部トラフィックがネットワークに入ることを許可できます。


ステップ 1 ファイアウォール ウィザードを使用してファイアウォールを設定します。

ステップ 2 [ファイアウォール ポリシー/ACL の編集] をクリックします。

ステップ 3 変更する必要があるアクセス ルールを表示するには、送信元インターフェイスとして外部インターフェイスを選択し、宛先インターフェイスとして内部インターフェイスを選択します。外部インターフェイス上のインバウンド トラフィックに適用されるアクセス ルールが表示されます。

ステップ 4 まだ許可されていない特定のタイプのトラフィックがネットワークに入ることを許可するには、[サービス]エリアで[ 追加] をクリックします。

ステップ 5 [ルール エントリ]ダイアログで必要なエントリを作成します。エントリを作成するたびに[ 追加] をクリックする必要があります。

ステップ 6 [サービス]エリアのエントリ リストに、作成したエントリが表示されます。


 

ファイアウォール経由のトラフィックを許可する例については、「 DMZ インターフェイスへの WWW トラフィックの許可」を参照してください。例では DMZ ネットワークにおける設定が示されていますが、その設定手順は内部ネットワークにも適用できます。