Cisco IOS XE セキュリティ コンフィギュレーショ ン ガイド:データ プレーンのセキュリティ保護
ゾーンベース ポリシー ファイアウォール
ゾーンベース ポリシー ファイアウォール
発行日;2012/01/30 | 英語版ドキュメント(2011/04/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

ゾーンベース ポリシー ファイアウォール

機能情報の確認

目次

ゾーンベース ポリシー ファイアウォールの前提条件

ゾーンベース ポリシー ファイアウォールの前提条件

ゾーンベース ポリシー ファイアウォールについて

トップレベル クラス マップとポリシー マップ

ゾーン

セキュリティ ゾーン

セキュリティ ゾーンのメンバーとしての仮想インターフェイス

ゾーン ペア

ゾーンと検査

ゾーンと ACL

セキュリティ ゾーンのファイアウォール ポリシーの概要

ゾーンベース ポリシー ファイアウォールのクラス マップとポリシー マップ

レイヤ 3 およびレイヤ 4 クラス マップとポリシー マップ

class-default クラス マップ

Access Control List とクラス マップ

WAAS とファイアウォール統合のサポート

WAAS トラフィック フロー最適化展開シナリオ

ゾーンベース ポリシー ファイアウォールの設定方法

レイヤ 3 およびレイヤ 4 ファイアウォール ポリシーの設定

レイヤ 3 およびレイヤ 4 のファイアウォール ポリシーのクラス マップの設定

レイヤ 3 およびレイヤ 4 のファイアウォール ポリシーのポリシー マップの作成

検査パラメータ マップの設定

NetFlow イベント ロギングの設定

セキュリティ ゾーンとゾーン ペアの作成、およびゾーン ペアへのポリシー マップの付加

セキュリティ ゾーンの制約

WAAS を使用したファイアウォールの設定

ゾーンベース ポリシー ファイアウォールの設定例

例:ASR 1000 シリーズ ルータでのゾーンベース ポリシーの設定

例:ポリシー マップとゾーンベース ファイアウォールの設定

例:WAAS によるファイアウォール設定

その他の関連資料

関連マニュアル

標準

MIB

RFC

シスコのテクニカル サポート

ゾーンベース ポリシー ファイアウォールの機能情報

ゾーンベース ポリシー ファイアウォール

このモジュールでは、ゾーンと呼ばれるインターフェイスのグループ間での Cisco IOS XE 単方向ファイアウォール ポリシーについて説明します。

機能情報の確認

最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールで説明される機能に関する情報、および各機能がサポートされるリリースの一覧については、「ゾーンベース ポリシー ファイアウォールの機能情報」を参照してください。

プラットフォームのサポートおよび Cisco IOS XE ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

ゾーンベース ポリシー ファイアウォールの前提条件

ゾーンを作成する前に、ゾーンの構成要素をよく検討する必要があります。一般的なガイドラインは、セキュリティの観点から同様の性質をもつインターフェイスをグループにすることです。

ゾーンベース ポリシー ファイアウォールの前提条件

アプリケーション レベルのマップ(レイヤ 7 クラス マップ)は、Cisco IOS XE ソフトウェアではサポートされていません。

Cisco Wide Area Application Services(WAAS)と Cisco IOS XE ファイアウォール構成では、Wide Area Application Engine(WAE)デバイスによって処理されるすべてのパケットは、両方向とも Cisco IOS XE ファイアウォールを通過して、Web Cache Coordination Protocol(WCCP)Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)リダイレクトをサポートする必要があります。この状況は、レイヤ 2 リダイレクトが使用できない場合に発生します。レイヤ 2 リダイレクトが WAE で設定されている場合、システムはデフォルトで、GRE リダイレクトを続行させます。

WAAS および Cisco IOS XE ファイアウォール構成では、WCCP は、Policy-Based Routing(PBR; ポリシーベース ルーティング)を使用したトラフィックのリダイレクトをサポートしていません。

ゾーンベース ポリシー ファイアウォールについて

ゾーンベース ポリシー ファイアウォールを設定するには、次の概念を理解する必要があります。

「トップレベル クラス マップとポリシー マップ」

「ゾーン」

「セキュリティ ゾーン」

「ゾーン ペア」

「ゾーンと検査」

「ゾーンと ACL」

「セキュリティ ゾーンのファイアウォール ポリシーの概要」

「ゾーンベース ポリシー ファイアウォールのクラス マップとポリシー マップ」

「WAAS とファイアウォール統合のサポート」

トップレベル クラス マップとポリシー マップ

トップレベル クラス マップでは、高レベルでトラフィック ストリームを識別できます。これは、 match access-group および match protocol コマンドを使用して行われます。トップレベル クラス マップは、レイヤ 3 およびレイヤ 4 クラス マップとも呼ばれます。

トップレベル ポリシー マップでは、inspect、drop、pass などのハイレベルのアクションを定義できます。ポリシー マップは、ターゲット(ゾーン ペア)に付加できます。


) ゾーン ペアで設定できるのは、検査タイプのポリシーだけです。


ゾーン

ゾーンとは、同様の機能を果たすインターフェイスのグループです。これらを使用して、Cisco IOS XE ソフトウェア ファイアウォールの適用先を指定できます。

たとえば、ルータで、インターフェイスのギガビット イーサネット 0/0/0 とギガビット イーサネット 0/0/1 をローカル LAN に接続できるとします。これら 2 つのインターフェイスは、内部ネットワークを表している点で同類です。したがって、ファイアウォール設定でゾーンとしてグループ化できます。

デフォルトでは、同じゾーン内のインターフェイス間のトラフィックはポリシーの制約を受けません。トラフィックは自由に通過します。

ファイアウォール ゾーンはセキュリティ機能に使用されます。


) ゾーンは、異なる VPN Routing and Forwarding(VRF; VPN ルーティングおよび転送)インスタンスのインターフェイスまでは拡大できません。


セキュリティ ゾーン

セキュリティ ゾーンとは、ポリシーを適用できるインターフェイスのグループです。

インターフェイスをゾーンにグループ化するには、次の 2 つの手順を実行します。

インターフェイスを付加できるようにゾーンを作成します。

インターフェイスを特定のゾーンのメンバーとなるように設定します。

デフォルトでは、トラフィックは、同じゾーンのメンバーであるインターフェイス間を通ります。

インターフェイスがセキュリティ ゾーンのメンバーである場合、そのインターフェイスを通るトラフィックはどちらの方向でもすべて(ルータ宛またはルータ発のトラフィックを除く)はドロップされます。ゾーンメンバー インターフェイスとの間の両方向のトラフィックを許可するには、そのゾーンのゾーン ペアの一部にして、そのゾーン ペアにポリシーを適用する必要があります。ポリシーで、inspect または pass アクションを通してトラフィックが許可されると、トラフィックはインターフェイスを通過します。

ゾーンを設定する際に検討する基本ルールは次のとおりです。

ゾーン インターフェイスからゾーン外のインターフェイスへのトラフィックまたはゾーン外のインターフェイスからゾーン インターフェイスへのトラフィックは常にドロップされます。

2 つのゾーン インターフェイス間のトラフィックは、各ゾーンにゾーン ペアの関係があるかどうか、およびそのゾーン ペアにポリシーが設定されているかどうかが検査されます。

デフォルトでは、同じゾーン内の 2 つのインターフェイス間で発生するすべてのトラフィックは、pass アクションが設定されているのと同じように常に許可されます。

ゾーン ペアは、ゾーンを送信元ゾーンおよび宛先ゾーンの両方として設定できます。このゾーン ペアで検査ポリシーを設定して、同じゾーン内の 2 つのインターフェイス間のトラフィックを検査またはドロップできます。

トラフィックがルータのすべてのインターフェイスを通過するようにするには、すべてのインターフェイスが 1 つのセキュリティ ゾーンまたは別のゾーンのメンバーでなければなりません。

すべてのルータ インターフェイスがセキュリティ ゾーンのメンバーである必要はありません。

図 1 は、次のことを示しています。

インターフェイス E0 と E1 はセキュリティ ゾーン Z1 のメンバーです。

インターフェイス E2 は、セキュリティ ゾーン Z2 のメンバーです。

インターフェイス E3 は、どのセキュリティ ゾーンのメンバーでもありません。

図 1 セキュリティ ゾーンの制約

 

次の状況が存在します。

ゾーン ペアとポリシーは、同じゾーンで設定されます。インターフェイス E0 と E1 は同じセキュリティ ゾーン(Z1)のメンバーなので、2 つのインターフェイス間のトラフィックは自由に流れます。

ポリシーが設定されていない場合、他のインターフェイス間(E0 と E2、E1 と E2、E3 と E1、および E3 と E2)でトラフィックは流れません。

トラフィックを許可する明示的なポリシーがゾーン Z1 とゾーン Z2 間で設定されている場合だけ、E0 または E1 と E2 間でトラフィックが流れます。

デフォルト ゾーンがイネーブルになっていない限り、E3 と E0、E1、E2 間でトラフィックは流れません。

セキュリティ ゾーンのメンバーとしての仮想インターフェイス

仮想インターフェイスは、特定の目的または特定ユーザに共通の設定のための汎用設定情報とルータ依存情報を使用して設定された論理インターフェイスです。テンプレートには、必要に応じて仮想アクセス インターフェイスに適用される Cisco IOS XE ソフトウェアのインターフェイス コマンドが含まれています。仮想テンプレート インターフェイスを設定するには、 interface virtual-template コマンドを使用します。

ゾーン メンバー情報は、RADIUS サーバから取得され、ダイナミックに作成されたインターフェイスがそのゾーンのメンバーになります。

zone-member security コマンドにより、ダイナミック インターフェイスは対応するゾーンに入れられます。

ゾーン ペア

ゾーン ペアにより、2 つのセキュリティ ゾーン間で単方向のファイアウォール ポリシーを指定できます。

ゾーン ペアを定義するには、 zone-pair security コマンドを使用します。トラフィックの方向は、送信元ゾーンと宛先ゾーンを指定して決定します。ゾーン ペアの送信元ゾーンと宛先ゾーンはセキュリティ ゾーンである必要があります。

デフォルトまたはセルフ ゾーンを送信元ゾーンまたは宛先ゾーンとして選択することもできます。セルフ ゾーンとは、システム定義のゾーンです。メンバーとして含まれているインターフェイスはありません。セルフ ゾーンを含むゾーン ペアは、関連付けられたポリシーとともに、ルータ宛のトラフィックまたはルータによって生成されたトラフィックに適用されます。ルータを経由するトラフィックには適用されません。

ファイアウォールの最も一般的な用途は、ルータ経由のトラフィックに適用することです。したがって、通常少なくとも 2 つのゾーンが必要です(つまり、セルフ ゾーンは使用できません)。

ゾーンメンバー インターフェイス間のトラフィックを許可するには、そのゾーンと別のゾーン間のトラフィックを許可(または検査)するポリシーを設定する必要があります。ターゲットのゾーン ペアにファイアウォール ポリシー マップを付加するには、 service-policy type inspect コマンドを使用します。

図 2 は、ゾーン z1 からゾーン z2 に流れるトラフィックにファイアウォール ポリシーを適用する例を示しています。ここでは、トラフィックの入力インターフェイスはゾーン z1 のメンバー、出力インターフェイスはゾーン z2 のメンバーです。

図 2 ゾーン ペア

 

2 つのゾーンがあり、両方向(Z1 から Z2 と Z2 から Z1)のトラフィックにポリシーが必要な場合、2 つのゾーン ペア(各方向に 1 つずつ)を設定する必要があります。

ゾーンのペア間でポリシーが設定されない場合、トラフィックはドロップされます。ただし、戻りトラフィックのためだけにゾーン ペアとサービス ポリシーを設定する必要はありません。デフォルトでは、サービス ポリシーで順方向のトラフィックが許可されている場合、戻りトラフィックが許可されます。図 2 では、Z2 から Z1 への戻りトラフィックを許可するためだけにゾーン ペアの送信元 Z2 と宛先 Z1 を設定する作業は必須ではありません。Z1-Z2 ゾーン ペアのサービス ポリシーが適用されます。

ゾーンと検査

ゾーンベース ポリシー ファイアウォールでは、入力および出力インターフェイスから送信元ゾーンと宛先ゾーンでファイアウォール ポリシーを調べます。インターフェイスを通過するすべてのトラフィックを検査する必要はありません。ゾーン ペア全体で適用されるポリシー マップを通して、ゾーン ペアの個々のフローを検査するように指定できます。ポリシー マップには、個々のフローを指定するクラス マップが含まれます。

また、フロー ベースで TCP しきい値やタイムアウトなどの検査パラメータを設定できます。

ゾーンと ACL

インターフェイスの Access Control List(ACL; アクセス コントロール リスト)では、戻りトラフィックは検査されません。

ゾーンのメンバーであるインターフェイスに適用される ACL は、ポリシーがゾーン ペアに適用される前に処理されます。そのため、ゾーン間にポリシーがある場合は、ポリシー ファイアウォール トラフィックを妨げないようにインターフェイス ACL を緩和する必要があります。

セキュリティ ゾーンのファイアウォール ポリシーの概要

クラスとは、内容に基づいてパケットのセットを識別する方法です。通常は、識別されたトラフィックでポリシーを反映するアクションを適用できるように、クラスを定義します。クラスはクラス マップを通して指定されます。

アクションは特定の機能です。通常は、トラフィック クラスと関連付けられます。たとえば、inspect、drop、pass はアクションです。

ファイアウォール ポリシーを作成するには、次の作業を実行する必要があります。

一致基準の定義(クラス マップ)

アクションと一致基準の関連付け(ポリシー マップ)

ゾーン ペアへのポリシー マップの付加(サービス ポリシー)

class-map コマンドは、パケットを指定されたクラスに一致させるためのクラス マップを作成します。ターゲット(入力インターフェイス、出力インターフェイス、またはゾーン ペアなど)に到達したパケットは、 service-policy コマンドの設定方法に従って、クラス マップ用に設定された一致基準に基づいてチェックされ、パケットがそのクラスに属しているかどうかが判断されます。

policy-map は、1 つ以上のターゲットに付加できるポリシー マップを作成または変更し、サービス ポリシーを指定します。 policy-map コマンドを使用して、作成、追加または変更するポリシー マップの名前を指定してから、クラス マップで一致基準を定義するクラスにポリシーを設定します。

ゾーンベース ポリシー ファイアウォールのクラス マップとポリシー マップ

サービス品質(QoS)クラス マップには多数の一致基準があります。ファイアウォールの一致基準はそれより少なくなっています。ファイアウォール クラス マップにはタイプの検査があります。この情報により、ファイアウォール クラス マップの下に表示される内容が決まります。

ポリシーとは、トラフィック クラスとアクションの関連付けです。定義されたトラフィック クラスで実行するアクションを指定します。アクションは特定の機能で、通常、トラフィック クラスに関連付けられます。たとえば、inspect と drop はアクションです。

レイヤ 3 およびレイヤ 4 クラス マップとポリシー マップ

レイヤ 3 およびレイヤ 4 クラス マップは、異なるアクションを実行する必要のあるトラフィック ストリームを識別するために使用されます。

トラフィックの基本的な検査には、レイヤ 3 またはレイヤ 4 ポリシー マップで十分です。

次の例は、ACL 101 の一致基準と FTP プロトコルを使用したクラス マップ c1 を設定し、c1 でトラフィックのパケットがドロップされるよう指定する p1 という名前の検査ポリシー マップを作成する方法を示しています。

Router(config)# class-map type inspect match-all c1
Router(config-cmap)# match access-group 101
Router(config-cmap)# match protocol ftp
 
Router(config)# policy-map type inspect p1
Router(config-pmap)# class type inspect c1
Router(config-pmap-c)# drop
 
 

 

サポートされているプロトコル

次のプロトコルがサポートされています。

FTP

H.323

Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)

Lightweight Directory Access Protocol(LDAP)

LDAP over Transport Layer Security/Secure Socket Layer(LDAPS)

Real-time Streaming Protocol(RTSP)

Session Initiation Protocol(SIP)

Skinny Client Control Protocol(SCCP)

TCP

TFTP

UDP

クラスマップ設定の制約

トラフィックが複数の一致基準を満たす場合、個別性の高い基準から低い基準の順序で適用する必要があります。たとえば、次のクラス マップの例を考えてみましょう。

class-map type inspect match-any my-test-cmap
match protocol ftp
match protocol tcp
 

この例では、FTP トラフィックにはまず match protocol ftp コマンドが適用され、トラフィックが FTP インスペクションのサービス固有機能によって処理されるようにする必要があります。match 行が、 match protocol ftp コマンドと比較される前に match protocol tcp コマンドによって処理されるように逆になっている場合、トラフィックは単に TCP トラフィックとして分類され、ファイアウォールの TCP インスペクション コンポーネントの機能に従って検査されます。

class-default クラス マップ

ユーザ定義クラスに加えて、class-default という名前のシステム定義クラス マップは、ポリシーのユーザ定義クラスのどれとも一致しないすべてのパケットを表します。これは常に、ポリシー マップの最後のクラスです。

このグループのパケットに明示的なアクションを定義できます。検査ポリシーで class-default にアクションを設定しない場合、デフォルトのアクションは drop です。

Access Control List とクラス マップ

Access Control List(ACL)は、一般に Cisco ルータで実装されています。アクセス リストは、パケット分類メカニズムです。これらのアクセス リストでは、特定のルータ ネットワーク インターフェイスに適用されたときに許可または拒否される実際のネットワーク トラフィックを定義します。つまり、ACL は、パケットに適用される許可および拒否条件を順番に集めたものです。ルータは、一度に 1 つずつ ACL の条件に基づいてパケットをテストします。拒否条件は「一致しない」と解釈されます。拒否アクセス コントロール エントリ(ACE)と一致するパケットの場合、ACL 処理が終了し、クラス内の次の match ステートメントが調べられます。

クラス マップは、次の基準に基づいて、アクセス リストの一連の変数を照合するために使用されます。

クラス マップで一致するものが見つからないか、許可または拒否と一致した場合、ACL は失敗します。

クラス マップが指定されている場合、クラス マップはこれらの変数で AND(match-all)または OR(match-any)演算のどちらかを実行します。

match-all アトリビュートが指定され、どの match、ACL、またはプロトコルもパケットと一致しない場合、現在のクラスの評価はその時点で停止され、ポリシーの次のクラスが調べられます。

match-any アトリビュートでいずれかの match が成功した場合、class-map 基準が満たされ、ポリシーで定義されたアクションが実行されます。

ACL が match-any アトリビュートと一致した場合、ファイアウォールは宛先ポートに基づいてレイヤ 7 プロトコルの確認を試みます。

クラス マップで match-all アトリビュートを指定した場合、レイヤ 4 一致基準(HTTP、TCP、UDP、ICMP)が設定され、レイヤ 7 の一致基準は設定されません。したがって、レイヤ 4 インスペクションが実行され、レイヤ 7 インスペクションは省略されます。

アクセス リストは、組織のネットワーク セキュリティ ポリシーを実装するように設定されたネットワーク デバイスを作成できます。アクセス リストには、標準と拡張の 2 つの形式があります。標準アクセス リストでは、IP アドレスまたは IP アドレスの範囲を許可または拒否するように定義します。拡張アクセス リストでは、送信元と宛先両方の IP アドレスまたは IP アドレス範囲を定義します。拡張アクセス リストは、パケットの TCP、UDP、または ICMP プロトコル タイプと宛先ポート番号に基づいて、パケットの許可または拒否を定義することもできます。

アクセス リストがパケットの分類に使用される場合、拒否一致基準は「一致しない」と見なされます。パケットが ACE と一致すると、現在の ACL の ACL 照合は終了します。したがって、ACL 照合は失敗となり、クラス内の次の match が調べられます。

次に、100.2.3.4 から受信したパケットを、クラス test1 と照合する例を示します。この例では、アクセス リスト 102 エントリが拒否条件と一致し、アクセス リストの他のエントリの処理を停止します。クラス マップは match all アトリビュートで指定されているため、「class-map test1」の照合は失敗します。ただし、test1 クラス マップにリストされているプロトコルの 1 つと一致するかどうかが検査されます。

クラス マップ test1 が match-all ではなく match-any アトリビュートを使用していた場合は、ACL は拒否と一致して失敗しましたが、HTTP プロトコルと一致し、「pmap1」を使用した検査が実行されました。

access-list 102 deny ip 10.2.3.4 0.0.0. any
access-list 102 permit any any
class-map type inspect match-all test1
match access-list 102
match protocol http
class-map type inspect match-any test2
 
match protocol sip
match protocol ftp
match protocol http
 
parameter-map type inspect pmap1
tcp idle-time 15
 
parameter-map type inspect pmap2
udp idle-time 3600
 
policy-map type inspect test
class type inspect test1

 

inspect pmap1
class type inspect test2
inspect pmap2
 
class type inspect class-default
drop log

WAAS とファイアウォール統合のサポート

WAAS ソフトウェアは、セキュリティ準拠 WAN とアプリケーション アクセラレーション ソリューションを最適化し、次の利点を備えています。

フル ステートフル インスペクション機能を通して WAN を最適化

Payment Card Industry(PCI)コンプライアンスの簡略化

トランスペアレントな WAN 加速化トラフィックの保護

WAAS ネットワークのトランスペアレントな統合

ネットワーク管理機器(MME) WAE モジュールまたはスタンドアロンの WAAS デバイスの導入をサポート

WAAS には、初期の 3 方向ハンドシェイク中に WAE デバイスをトランスペアレントに識別するための TCP オプションを使用する自動検出メカニズムがあります。自動検出後、最適化されたトラフィック フロー(パス)では TCP シーケンス番号が変化し、エンドポイントは最適化されたトラフィック フローと最適化されてないトラフィック フローを区別できます。


) パスは接続と同じ意味で使用されています。


Cisco IOS XE ファイアウォールは、内部ファイアウォール TCP ステート変数を含む TCP トラフィック フローのステートフルなレイヤ 4 インスペクションを損なうことなく、シーケンス番号を変更できるようにすることで、WAAS の最適化されたトラフィックを自動的に検出します。これらの変数は、WAE デバイスの存在に応じて調整されます。

Cisco IOS XE ファイアウォールは、トラフィック フローが正常に WAAS 自動検出を完了したことを認識すると、トラフィック フロー用の初期シーケンス番号のシフトを許可し、最適化されたトラフィック フローのレイヤ 4 の状態を維持します。

WAAS トラフィック フロー最適化展開シナリオ

次の各項では、支店オフィス展開における 3 種類の WAAS トラフィック フロー最適化シナリオについて説明します。WAAS トラフィック フローの最適化は、シスコの Aggregation Services Router(ASR; 集約サービス ルータ)の Cisco IOS XE ファイアウォール機能と連動します。

「Off-Path デバイスによる WAAS 支店の展開」

「インライン デバイスを使用した WAAS 支店の展開」

図 3 は、Cisco IOS XE ファイアウォールを使用したエンドツ-エンドの WAAS トラフィック フロー最適化の例を示しています。この展開では、NME-WAE デバイスは CISO IOS Integrated Services Router(ISR; サービス統合型ルータ)と同じルータにあります。WCCP は、代行受信用にトラフィックをリダイレクトするために使用されます。

図 3 エンドツーエンドの WAAS 最適化パス

 


) NME-WAE は ASR ではサポートされていません。このため、支店オフィスで NME-WAE をサポートするには、RTR-BR を ISR にする必要があります。


Off-Path デバイスによる WAAS 支店の展開

WAE デバイスは、ISR に統合型サービス エンジン(図 3 を参照)としてインストールされた NME-WAE またはスタンドアロン WAE デバイスです。

図 4 は、トラフィックの代行受信のために、WCCP を使用してトラフィックを Off-Path スタンドアロン WAE デバイスにリダイレクトする WAAS 支店の展開例です。このオプションの設定は、NME-WAE を使用した WAAS 支店の展開と同じです。

図 4 WAAS Off-Path 支店の展開

 


) RTR-BR(図 4 を参照)には、Aggregation Services Router(ASR; 集約サービス ルータ)を使用できます。


インライン デバイスを使用した WAAS 支店の展開

図 5 は、物理的に ISR ルータの前に置かれるインライン WAE デバイスを使用する WAAS 支店の展開例です。WAE デバイスがルータの前に置かれ、Cisco IOS XE ファイアウォールが WAAS 最適化パケットを受信できないため、クライアント側のレイヤ 7 インスペクションはサポートされません。

図 5 WAAS インライン パス支店の展開

 

Cisco IOS XE ファイアウォールを使用するエッジ WAAS デバイスは、WAN 接続を移動するトラフィックの検査が必要な支店オフィス サイトで適用されます。Cisco IOS XE ファイアウォールは、最適化インジケータ(TCP オプションおよび後続 TCP シーケンス番号の変更)のためにトラフィックをモニタし、すべてのトラフィックにレイヤ 4 のステートフル インスペクションとディープ パケット インスペクションを提供しながら、最適化されたトラフィックが通過できるようにすることで、WAAS 最適化の利点に対応すると同時にセキュリティを維持します。


) WAE デバイスがインライン ロケーションにある場合、デバイスは自動検出プロセス後にバイパス モードになります。ルータは WAAS 最適化に直接関係しませんが、Cisco IOS XE ファイアウォール インスペクションをネットワーク トラフィックに適用し、最適化インジケータが存在する場合は最適化アクティビティに対応できるようにするには、WAAS 最適化がトラフィックに適用されていることをルータが認識できる必要があります。


ゾーンベース ポリシー ファイアウォールの設定方法

ここでは、次の設定手順について説明します。

「レイヤ 3 およびレイヤ 4 ファイアウォール ポリシーの設定」

「検査パラメータ マップの設定」

「NetFlow イベント ロギングの設定」

「セキュリティ ゾーンとゾーン ペアの作成、およびゾーン ペアへのポリシー マップの付加」

「WAAS を使用したファイアウォールの設定」

レイヤ 3 およびレイヤ 4 ファイアウォール ポリシーの設定

レイヤ 3 およびレイヤ 4 のポリシーは、ターゲット(ゾーン ペア)に付加される「トップ レベル」のポリシーです。レイヤ 3 およびレイヤ 4 のファイアウォール ポリシーを設定するには、次の作業を実行します。

「レイヤ 3 およびレイヤ 4 のファイアウォール ポリシーのクラス マップの設定」

「レイヤ 3 およびレイヤ 4 のファイアウォール ポリシーのポリシー マップの作成」

レイヤ 3 およびレイヤ 4 のファイアウォール ポリシーのクラス マップの設定

ネットワーク トラフィックを分類するためのクラス マップを設定するには、次の作業を実行します。


) ステップ 4、5、6 のうち、少なくとも 1 つの手順を実行する必要があります。


手順の概要

1. enable

2. configure terminal

3. class-map type inspect [ match any | match all ] class-map-name

4. match access-group { access-group | name access-group-name }

5. match protocol protocol-name

6. exit

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

class-map type inspect [ match-any | match-all ] class-map-name

 

Router(config)# class-map type inspect match-all c1

レイヤ 3 またはレイヤ 4 の検査タイプ クラス マップを作成します。

クラス マップ コンフィギュレーション モードを開始します。

ステップ 4

match access-group { access-group | name access-group-name }

 

Router(config-cmap)# match access-group 101

ACL 名または番号に基づくクラス マップの一致基準を設定します。

ステップ 5

match protocol protocol-name

 

Router(config-cmap)# match protocol ftp

指定されたプロトコルを基づくクラス マップの一致基準を設定します。

ステップ 6

exit

 

Router(config-cmap)# exit

グローバル コンフィギュレーション モードに戻ります。

レイヤ 3 およびレイヤ 4 のファイアウォール ポリシーのポリシー マップの作成

ゾーン ペアに付加されるレイヤ 3 およびレイヤ 4 のファイアウォール ポリシーのポリシー マップを作成するには、次の作業を実行します。

検査タイプのポリシー マップを作成している場合、作成できるのは drop、inspect、pass アクションだけなので注意してください。


) ステップ 5、6、7 のうち、少なくとも 1 つの手順を実行する必要があります。


手順の概要

1. enable

2. configure terminal

3. policy-map type inspect policy-map-name

4. class type inspect class-name

5. inspect [ parameter-map-name ]

6. drop [ log ]

7. pass [ log ]

8. exit

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

policy-map type inspect policy-map-name

 

Router(config)# policy-map type inspect p1

レイヤ 3 またはレイヤ 4 の検査タイプ ポリシー マップを作成します。

ポリシーマップ コンフィギュレーション モードを開始します。

ステップ 4

class type inspect class-name

 

Router(config-pmap)# class type inspect c1

アクションを実行するトラフィック(クラス)を指定します。

ステップ 5

inspect [ parameter-map-name ]

 

Router(config-pmap-c)# inspect inspect-params

Cisco IOS XE ステートフル パケット インスペクションをイネーブルにします。

ステップ 6

drop [ log ]

 

Router(config-pmap-c)# drop

(任意)定義されたクラスと一致するパケットをドロップします。

(注) アクションの drop と pass は排他的です。また、アクションの inspect と drop も排他的です。つまり、両方は指定できません。

ステップ 7

pass [ log ]

 

Router(config-pmap-c)# pass

(任意)定義されたクラスと一致するパケットを許可します。

ステップ 8

exit

 

Router(config-pmap-c)# exit

ポリシーマップ コンフィギュレーション モードに戻ります。

検査パラメータ マップの設定

検査パラメータ マップは、検査タイプ ポリシーを使用している場合に任意で設定します。パラメータ マップを使用しない場合、デフォルトのパラメータが使用されます。inspect アクションに関連付けられたパラメータは、ネストされたすべてのアクション(ある場合)に適用されます。トップ レベルと下位レベルの両方でパラメータが指定されている場合、下位レベルのパラメータが優先されます。


) パラメータ マップへの変更は、ファイアウォールを通してすでに確立している接続には反映されません。変更は、ファイアウォールに許可された新しい接続だけに適用されます。ファイアウォールでポリシーが厳格に適用されるようにするには、パラメータ マップの変更後に、ファイアウォールで許可されたすべての接続をクリアしてください。既存の接続をクリアするには、clear zone-pair inspect sessions コマンドを使用します。


手順の概要

1. enable

2. configure terminal

3. parameter-map type inspect parameter-map-name

4. alert { on | off }

5. audit-trail { on | off }

6. dns-timeout seconds

7. icmp idle-timeout seconds

8. max-incomplete { low | high } number-of-connections

9. one-minute { low | high } number-of-connections

10. sessions maximum sessions

11. tcp finwait-time seconds

12. tcp idle-time seconds

13. tcp max-incomplete host threshold [ block-time minutes ]

14. tcp synwait-time seconds

15. udp idle-time seconds

16. exit

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

parameter-map type inspect parameter-map-name

 

Router(config)# parameter-map type inspect eng-network-profile

接続しきい値、タイムアウト、その他の inspect アクションに関連するパラメータの検査パラメータ マップを設定します。

パラメータマップ タイプ検査コンフィギュレーション モードを開始します。

ステップ 4

alert { on | off }

 

Router(config-profile)# alert on

(任意)コンソールに表示されるステートフル パケット インスペクション アラート メッセージをオンまたはオフにします。

ステップ 5

audit-trail { on | off }

 

Router(config-profile)# audit-trail on

(任意)監査証跡メッセージをオンまたはオフにします。

ステップ 6

dns-timeout seconds

 

Router(config-profile)# dns-timeout 60

(オプション)DNS アイドル タイムアウト(アクティビティがない間に DNS lookup セッションが引き続き管理される時間)を指定します。

ステップ 7

icmp idle-timeout seconds

 

Router(config-profile)# icmp idle-timeout 90

(任意)ICMP セッションのタイムアウトを設定します。

ステップ 8

max-incomplete { low | high } number-of-connections

 

Router(config-profile)# max-incomplete low 800

(任意)Cisco IOS ファイアウォールによるハーフオープン セッションの削除の開始および停止を起動する既存のハーフオープン セッションの数を定義します。

ステップ 9

one-minute { low | high } number-of-connections

 

Router(config-profile)# one-minute low 300

(任意)システムによるハーフオープン セッションの削除の開始と停止を起動する新規の未確立セッションの数を定義します。

ステップ 10

sessions maximum sessions

 

Router(config-profile)# sessions maximum 200

(任意)関連付けられたクラスに許容されるセッションの最大数を設定します。

sessions :許容されるセッションの最大数。範囲は 1 ~ 2147483647 です。

ステップ 11

tcp finwait-time seconds

 

Router(config-profile)# tcp finwait-time 5

(任意)ファイアウォールが FIN-exchange を検出してから TCP セッションが管理される時間を指定します。

ステップ 12

tcp idle-time seconds

 

Router(config-profile)# tcp idle-time 90

(任意)TCP セッションのタイムアウトを設定します。

ステップ 13

tcp max-incomplete host threshold [ block-time minutes ]

 

Router(config-profile)# tcp max-incomplete host 500 block-time 10

(任意)TCP ホスト固有 DoS 検出および防止のしきい値とブロッキング タイム値を指定します。

ステップ 14

tcp synwait-time seconds

 

Router(config-profile)# tcp synwait-time 3

(任意)セッションをドロップする前に、TCP セッションが設定された状態に達するまで待機する時間を指定します。

ステップ 15

udp idle-time seconds

 

Router(config-profile)# udp idle-time 75

(任意)ファイアウォールを通る UDP セッションのアイドル タイムアウトを設定します。

ステップ 16

exit

 

Router(config-profile)# exit

グローバル コンフィギュレーション モードに戻ります。

NetFlow イベント ロギングの設定

グローバル パラメータ マップは、NetFlow イベント ロギングに使用されます。NetFlow イベント ロギングをイネーブルにすると、ログは装置外の高速ログ収集装置に送信されます。デフォルトでは、この機能はイネーブルになっていません。(この機能をイネーブルにしない場合、ファイアウォールのログはルート プロセッサまたはコンソールのロガー バッファに送信されます)。

手順の概要

1. enable

2. configure terminal

3. parameter-map type inspect global

4. log dropped-packets

5. log flow-export v9 udp destination ipv4-address port

6. log flow-export template timeout-rate seconds

7. exit

8. exit

9. show parameter-map type inspect global

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

parameter-map type inspect global

 

Router(config)# parameter-map type inspect global

グローバル パラメータ マップを設定します。

プロファイル コンフィギュレーション モードを開始します。

ステップ 4

log dropped-packets

 

Router(config-profile)# log dropped-packets

ドロップされたパケットのロギングをイネーブルにします。

ステップ 5

log flow-export v9 udp destination ipv4-address port

 

Router(config-profile)# log flow-export v9 udp destination 192.0.2.0 5000

NetFlow イベント ロギングをイネーブルにして、収集装置の IP アドレスとポートを指定します。

ステップ 6

log flow-export template timeout-rate seconds

 

Router(config-profile)# log flow-export template timeout-rate 5000

テンプレートのタイムアウト値を指定します。

ステップ 7

exit

 

Router(config-profile)# exit

プロファイル コンフィギュレーション モードを終了します。

ステップ 8

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 9

show parameter-map type inspect global

 

Router# show parameter-map type inspect global

ロギング設定を表示します。

セキュリティ ゾーンとゾーン ペアの作成、およびゾーン ペアへのポリシー マップの付加

ゾーン ペアを作成するには、2 つのセキュリティ ゾーンが必要です。ただし、セキュリティ ゾーンを 1 つだけ作成し、「セルフ」と呼ばれるシステム定義のセキュリティ ゾーンを使用できます。セルフ ゾーンを選択する場合、検査ポリシングは設定できません。検査ポリシーは、ゾーンとセルフまたはセルフとゾーンのゾーン ペアで使用できます。

このプロセスを使用して、次の作業を実行します。

セキュリティ ゾーンを少なくとも 1 つ作成します。

ゾーン ペアを定義します。

セキュリティ ゾーンにインターフェイスを割り当てます。

ポリシー マップをゾーン ペアに付加します。


ヒント ゾーンを作成する前に、ゾーンの構成要素をよく検討する必要があります。一般的なガイドラインは、セキュリティの観点から同様の性質をもつインターフェイスをグループにすることです。


セキュリティ ゾーンの制約

インターフェイスがメンバーになれるのは、1 つのセキュリティ ゾーンだけです。

インターフェイスがセキュリティ ゾーンのメンバーの場合、そのゾーンを含むゾーン ペアで明示的なゾーン間ポリシーを設定しない限り、方向に関係なくそのインターフェイスを通過するすべてのトラフィックがブロックされます。

トラフィックは、セキュリティ ゾーンのメンバーであるインターフェイスとセキュリティ ゾーンのメンバーではないインターフェイスの間では通過できません。これは、ポリシーは 2 つのゾーンだけで適用できるからです。

トラフィックがルータのすべてのインターフェイスを通過するようにするには、すべてのインターフェイスは 1 つのセキュリティ ゾーンまたは別のゾーンのメンバーでなければなりません。インターフェイスをセキュリティ ゾーンのメンバーにした後、ポリシー アクション(inspect または pass)で明示的にパケットを許可する必要があるため、これは特に重要です。それ以外の場合、パケットはドロップされます。

ルータ上のインターフェイスをセキュリティ ゾーンまたはファイアウォール ポリシーに含めることができない場合、そのインターフェイスをセキュリティ ゾーンに置き、そのゾーンとトラフィック フローの宛先となる他のゾーンの間で「pass all」ポリシー(「ダミー」ポリシー)を設定する必要があります。

ゾーン メンバーのインターフェイス上の ACL を制約的(厳密)にしないでください。

同じセキュリティ ゾーン内のインターフェイス間のトラフィックはポリシーの制約を受けません。トラフィックは自由に流れます。ゾーンを 1 つだけ作成した場合、システム定義のデフォルト ゾーン(セルフ)をゾーン ペアの片方として使用できます。そのようなゾーン ペアおよび関連付けられたポリシーは、ルータに向かうトラフィックまたはルータから発信されるトラフィックに適用されます。

default キーワードを使用して、どのセキュリティ ゾーンでも設定されていないすべてのインターフェイスを含めることができます。デフォルト ゾーンでは、ポリシーは送信元ゾーンまたは宛先ゾーンのどちらとしても定義できます。

手順の概要

1. enable

2. configure terminal

3. zone security { zone-name | default }

4. description line-of-description

5. exit

6. zone-pair security zone-pair-name source { source-zone-name | self | default } destination { destination-zone-name | self | default }

7. description line-of-description

8. service-policy type inspect policy-map-name

9. exit

10. interface type number

11. zone-member security zone-name

12. exit

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

zone security { zone-name | default }

 

Router(config)# zone security zone1

インターフェイスを割り当てることができるセキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

ステップ 4

description line-of-description

 

Router(config-sec-zone)# description Internet Traffic

(任意)ゾーンの説明を入力します。

ステップ 5

exit

 

Router(config-sec-zone)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 6

zone-pair security zone-pair-name source { source-zone-name | self | default } destination { destination-zone-name | self | default }

 

Router(config)# one-pair security self-default-zp source self destination default

ゾーン ペアを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

(注) ポリシーを適用するには、ゾーン ペアを設定する必要があります。

ステップ 7

description line-of-description

 

Router(config-sec-zone)# description accounting network

(任意)ゾーン ペアの説明を入力し、セキュリティ ゾーン ペア コンフィギュレーション モードを開始します。

ステップ 8

service-policy type inspect policy-map-name

 

Router(config-sec-zone-pair)# service-policy type inspect p2

ファイアウォール ポリシー マップを宛先ゾーン ペアに付加します。

(注) ゾーンのペア間でポリシーが設定されない場合、トラフィックはデフォルトでドロップされます。

ステップ 9

exit

 

Router(config-sec-zone)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 10

interface type number

 

Router(config)# interface gigabit ethernet 0

設定するインターフェイスを指定します。

インターフェイス コンフィギュレーション モードを開始します。

ステップ 11

zone-member security zone-name

 

Router(config-if)# zone-member security zone1

インターフェイスを指定したセキュリティ ゾーンに割り当てます。

(注) インターフェイスをセキュリティ ゾーンのメンバーにした場合、方向に関係なくインターフェイスを通過するすべてのトラフィック(ルータ宛のトラフィックまたはルータ発信のトラフィックを除く)は、デフォルトでドロップされます。トラフィックがインターフェイス通過するには、ゾーンをポリシーの適用先のゾーン ペアの一部にする必要があります。ポリシーがトラフィックを許可すると、トラフィックはそのインターフェイスを通過できます。

ステップ 12

exit

 

Router(config-if)# exit

グローバル コンフィギュレーション モードに戻ります。

WAAS を使用したファイアウォールの設定

WAAS を使用してファイアウォール インスペクション パラメータを設定するには、次の手順を実行します。


Cisco IOS XE ソフトウェアでは、WAAS サポートが常にイネーブルとなり、WAAS 処理は常に検出されます。このため、ip inspect waas enable コマンドは不要なので、サポートされていません。


手順の概要

1. enable

2. configure terminal

3. ip wccp service-id

4. class-map type inspect class-name

5. match protocol protocol-name [ signature ]

6. exit

7. policy-map type inspect policy-map-name

8. class class-default

9. class-map type inspect class-name

10. inspect

11. exit

12. exit

13. zone security { zone-name | default }

14. description line-of-description

15. exit

16. zone-pair security zone-pair-name source { source-zone-name | self | default } destination { destination-zone-name | self | default }

17. description line-of-description

18. service-policy type inspect policy-map-name

19. exit

20. interface type number

21. description line-of-description

22. zone-member security zone-name

23. ip address ip-address

24. ip wccp { service-id { group-listen | redirect { in | out }} | redirect exclude in | web-cache { group-listen | redirect { in | out }}}

25. exit

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip wccp service-id

 

Router(config)# ip wccp 61

WCCP のダイナミックに定義されたサービス識別番号を入力します。

ステップ 4

class-map type inspect class-name

 

Router(config)# class-map type inspect most-traffic

トラフィック クラスに検査タイプ クラス マップを作成し、クラス マップ コンフィギュレーション モードを開始します。

コマンドは非表示です。

ステップ 5

match protocol protocol-name [ signature ]

 

Router(config-cmap)# match protocol http

指定されたプロトコルに基づいてクラス マップの一致基準を設定し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

検査タイプ クラス マップでは Cisco IOS XE ステートフル パケット インスペクションがサポートするプロトコルだけを一致基準として使用できます。

signature :ピアツーピア(P2P)パケットのシグニチャベースの分類がイネーブルになります。

ステップ 6

exit

 

Router(config-sec-zone)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 7

policy-map type inspect policy-map-name

 

Router(config)# policy-map type inspect p1

レイヤ 3 とレイヤ 4 の検査タイプ ポリシー マップを作成し、ポリシーマップ コンフィギュレーション モードを開始します。

ステップ 8

class class-default
 

Router(config-pmap)# class class-default

システム デフォルト クラスの照合を指定します。

システム デフォルト クラスを指定しない場合、未分類のパケットが照合されます。

ステップ 9

class-map type inspect class-name

 

Router(config-pmap)# class-map type inspect most-traffic

アクションを実行するファイアウォール トラフィック(クラス)を指定します。

ステップ 10

inspect
 

Router(config-pmap)# inspect

Cisco IOS XE ステートフル パケット インスペクションをイネーブルにします。

ステップ 11

exit

 

Router(config-pmap-c)# exit

ポリシーマップ コンフィギュレーション モードに戻ります。

ステップ 12

exit

 

Router(config-pmap)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 13

zone security { zone-name | default }

 

Router(config)# zone security zone1

インターフェイスを割り当てることができるセキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

ステップ 14

description line-of-description

 

Router(config-sec-zone)# description Internet Traffic

(任意)ゾーンの説明を入力します。

ステップ 15

exit

 

Router(config-sec-zone)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 16

zone-pair security zone-pair-name source { source-zone-name | self | default } destination { destination-zone-name | self | default }

 

Router(config)# zone-pair security self-default-zp source self destination default

ゾーン ペアを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

(注) ポリシーを適用するには、ゾーン ペアを設定する必要があります。

ステップ 17

description line-of-description

 

Router(config-sec-zone)# description accounting network

(任意)ゾーン ペアの説明を入力します。

ステップ 18

service-policy type inspect policy-map-name

 

Router(config-sec-zone)# service-policy type inspect p2

ファイアウォール ポリシー マップを宛先ゾーン ペアに付加します。

(注) ゾーンのペア間でポリシーが設定されない場合、トラフィックはデフォルトでドロップされます。

ステップ 19

exit

 

Router(config-sec-zone)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 20

interface type number

 

Router(config)# interface gigabit ethernet 0

インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 21

description line-of-description

 

Router(config-if)# description 123

(任意)インターフェイスの説明を入力します。

ステップ 22

zone-member security zone-name

 

Router(config-if)# zone-member security zone1

インターフェイスを指定したセキュリティ ゾーンに割り当てます。

(注) インターフェイスをセキュリティ ゾーンのメンバーにした場合、方向に関係なくインターフェイスを通過するすべてのトラフィック(ルータ宛のトラフィックまたはルータ発信のトラフィックを除く)は、デフォルトでドロップされます。トラフィックがインターフェイス通過するには、ゾーンをポリシーの適用先のゾーン ペアの一部にする必要があります。ポリシーがトラフィックを許可すると、トラフィックはそのインターフェイスを通過できます。

ステップ 23

ip address ip-address

 

Router(config-if)# ip address 10.70.0.1

セキュリティ ゾーンのインターフェイス IP アドレスを割り当てます。

ステップ 24

ip wccp { service-id { group-listen | redirect { in | out }} | redirect exclude in | web-cache { group-listen | redirect { in | out }}}

 

Router(config-if)# ip wccp 61 redirect in

インターフェイスで次の WCCP パラメータを指定します。

service-id 引数では、1 ~ 254 の間でサービス識別番号を定義します。

redirect exclude in キーワードは、アウトバウンド リダイレクションからインバウンド パケットを除外するために使用されます。

web-cache キーワードは、標準 Web キャッシング サービスの定義に使用されます。

group-listen キーワードは、マルチキャスト WCCP プロトコル パケットの検出に使用されます。

in キーワードは、適切なインバウンド パケットをキャッシュ エンジンにリダイレクトするために使用されます。

out キーワードは、適切なアウトバウンド パケットをキャッシュ エンジンにリダイレクトするために使用されます。

ステップ 25

exit

 

Router(config-if)# exit

グローバル コンフィギュレーション モードに戻ります。

ゾーンベース ポリシー ファイアウォールの設定例

ここでは、次の設定例を示します。

「例:ASR 1000 シリーズ ルータでのゾーンベース ポリシーの設定」

「例:WAAS によるファイアウォール設定」

「その他の関連資料」

「Example: LDAP-Enabled Firewall Configuration」(P.28)

:ASR 1000 シリーズ ルータでのゾーンベース ポリシーの設定

ここでは、次の設定例を示します。

「例:ポリシー マップとゾーンベース ファイアウォールの設定」

「例:WAAS によるファイアウォール設定」

例:ポリシー マップとゾーンベース ファイアウォールの設定

次の例は、ポリシー マップを設定し、プライベート ファイアウォール ゾーンからパブリック ファイアウォール ゾーンに TCP フローを許可する方法を示しています。

class-map type inspect match-all no-http-inspect
match protocol tcp
match access-group 199
 
policy-map type inspect no-http-inspect
class type inspect no-http-inspect
inspect
class class-default
!
zone security private
zone security public
zone-pair security zp source private destination public
service-policy type inspect test
!
interface GigabitEthernet 0/1/0.1
encapsulation dot1Q 2
ip address 10.1.1.1 255.255.255.0
zone-member security private
!
interface GigabitEthernet 0/1/0.2
encapsulation dot1Q 3
ip address 10.2.1.1 255.255.255.0
zone-member security private
!
 
interface GigabitEthernet 0/1/1.1
encapsulation dot1Q 2
ip address 10.1.1.1 255.255.255.0
zone-member security public
!
interface GigabitEthernet 0/1/1.2
encapsulation dot1Q 3
ip address 10.2.1.1 255.255.255.0
zone-member security public
!

例:HTTP および TCP パケットの検査

TCP または HTTP インスペクションを実行するには、宛先ポート アドレスを照合する ACL を定義する必要があります。次の例は、HTTP および TCP パケットの検査方法を示しています。

class-map type inspect match-any test
match protocol http
match protocol tcp

例:HTTP パケットの検査

次の例は、HTTP パケットの検査方法を示しています。

class-map type inspect match-all test
match protocol http
match protocol tcp

 

例:HTTP フローの検査

次の例は、10.1.1.5 から送信された HTTP フローの検査方法を示しています。

access-list 102 permit ip host 10.1.1.5 any
 
class-map type inspect match-all test
match protocol http
match access-group 102
 

次の例は、10.1.1.2 宛の HTTP フローの検査方法を示しています。

access-list 102 permit ip any host 10.1.1.2
!
class-map type inspect match-all test
match protocol http
match access-group 102
 

次の例は、10.1.1.5 から 10.1.1.2 に向かう HTTP フローの検査方法を示しています。

access-list 102 permit ip host 10.1.1.5 host 10.1.1.2
!
class-map type inspect match-all test
match protocol http
match access-group 102

例:TCP(レイヤ 4)パケットの検査

次の例は、すべての TCP(レイヤ 4)パケットの検査方法を示しています。

access-list 102 permit tcp any any eq ww
class-map type inspect match-all test
match access-group 102
match protocol tcp

例:宛先ポートによる HTTP トラフィックの検査

次の例は、宛先ポート 2020 に到達する HTTP トラフィックの検査方法を示しています。

ip access-list extended allowed_http_2020
ip port-map http port tcp 2020
permit tcp any any eq 2020
deny ip any any
 
class-map type inspect match-all test
match access-group name allowed_http_2020

例: WAAS によるファイアウォール設定

次の例は、WCCP を使用してトラフィックを WAE デバイスにリダイレクトして検査するファイアウォールのエンドツーエンドの WAAS トラフィック フローを最適化する設定を示しています。

次の設定例では、integrated-service-engine インターフェイスが異なるゾーンで設定され、各セキュリティ ゾーン メンバーにインターフェイスが割り当てられているため、セキュリティ ゾーン メンバー間でトラフィックがドロップされないようになっています。

ip wccp 61
ip wccp 62
class-map type inspect most-traffic
match protocol icmp
match protocol ftp
match protocol tcp
match protocol udp
policy--map type inspect p1
class map type inspect most--traffic
inspect
class class--default
zone security zone-hr
zone security zone-outside
zone security z-waas
zone--pair security hr--out source zone-hr destination zone-outside
service--policy type inspect p1
zone--pair security out--hr source zone-outside destination zone-hr
service--policy type inspect p1
zone--pair security eng--out source zone-eng destination zone-outside
service--policy type inspect p1
 
interface GigabitEthernet 0/0/0
description Trusted interface
ipaddress 10.70.0.1 255.255.255.0
ip wccp 61 redirect in
zone--member security zone-hr
interface GigabitEthernet 0/0/1
description Trusted interface
ipaddress 10.71.0.2 255.255.255.0
ip wccp 61 redirect in
zone--member security zone-eng
interface GigabitEthernet 0/0/1
description Untrusted interface
ipaddress 10.72.2.3 255.255.255.0
ip wccp 62 redirect in
zone--member security zone-outside
 
interface Integrated--Service--Enginel/0
ipaddress 10.70.100.1 255.255.255.252
ip wccp redirect exclude in
zone--member security z-waas
 

その他の関連資料

関連マニュアル

内容
参照先

Cisco IOS コマンド

『Cisco IOS Master Commands List, All Releases』

セキュリティ コマンド

『Cisco IOS Security Command Reference』

サービス品質コマンド

『Cisco IOS Quality of Service Solutions Command Reference』

標準

標準
タイトル

このリリースによってサポートされる新しい規格や変更された規格はありません。

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS XE リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 4511

『Lightweight Directory Access Protocol (LDAP): The Protocol』

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

ゾーンベース ポリシー ファイアウォールの機能情報

表 1 に、この機能のリリース履歴を示します。

プラットフォーム サポートとソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートする Cisco IOS XE のソフトウェア イメージを判別できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 に、特定の Cisco IOS XE ソフトウェア リリース群で特定の機能をサポートする Cisco IOS XE ソフトウェア リリースだけを示します。特に明記されていない限り、Cisco IOS XE ソフトウェア リリース群の後続のリリースでもこの機能をサポートします。


 

表 1 ゾーンベース ポリシー ファイアウォールの機能情報

機能名
リリース
機能の設定情報

ゾーンベース ポリシー ファイアウォール

Cisco IOS XE Release 2.1

この機能は、ゾーンと呼ばれるインターフェイス グループ間に Cisco IOS XE ソフトウェアの単方向ファイアウォール ポリシーを提供します。

NAT 高速ロギング(HSL)のサポート

Cisco IOS XE Release 2.1

この機能は、NetFlow v9 をエクスポート フォーマットとして使用したファイアウォール高速ロギング(HSL)をサポートします。

この機能については、次の項に説明があります。

「NetFlow イベント ロギングの設定」.

この機能をサポートするために、コマンド log dropped-packet log flow-export v9 udp destination log flow-export template timeout-rate parameter-map type inspect global が採用されました。

ファイアウォール:SCCP ビデオ ALG サポート

Cisco IOS XE Release 2.4

SCCP では、Cisco Unified Call Manager を使用して、2 つの Skinny クライアント間での音声通信が可能です。この機能により、Cisco ファイアウォールは Skinny クライアントと Call Manager の間で交換される Skinny 制御パケットを検査できます。

match protocol コマンドが変更されました。

Firewall:NetMeeting Directory (LDAP) ALG サポート

Cisco IOS XE Release 2.4

LDAP は、ディレクトリ サービスに保存されている情報の照会および更新に使用されるアプリケーション プロトコルです。この機能により、Cisco ファイアウォールで、レイヤ 4 LDAP インスペクションをデフォルトでサポートできます。

この機能については、次の項に説明があります。

「LDAP-Enabled Firewall Configuration: Example」(P.27)

match protocol コマンドが変更されました。

ゾーンベース ファイアウォール:デフォルト ゾーン

Cisco IOS XE Release 2.6

デフォルト ゾーンにより、ゾーンとデフォルト ゾーンで構成されるゾーン ペアでファイアウォール ポリシーを設定できます。明示的なゾーン メンバーシップのないインターフェイスがデフォルト ゾーンに属します。

zone-pair security および zone security コマンドが変更されました。