Cisco 7600 シリーズ ルータ Cisco IOS ソフトウェア コンフィギュレーション ガイド Release 12.2SX
Cisco IOSファイアウォール フィー チャ セットの設定
Cisco IOSファイアウォール フィーチャ セットの設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

Cisco IOSファイアウォール フィーチャ セットの設定

Cisco IOSファイアウォール フィーチャ セットのサポートの概要

Cisco IOSファイアウォールの注意事項および制約事項

追加のCBAC設定

Cisco IOSファイアウォール フィーチャ セットの設定

この章では、Cisco 7600シリーズ ルータでCisco IOSファイアウォール フィーチャ セットを設定する手順について説明します。

「Cisco IOSファイアウォール フィーチャ セットのサポートの概要」

「Cisco IOSファイアウォールの注意事項および制約事項」

「追加のCBAC設定」

Cisco IOSファイアウォール フィーチャ セットのサポートの概要

ファイアウォール フィーチャ セットのイメージ(名前に[o3]を含むイメージ) は、次のCisco IOSファイアウォール フィーチャをサポートしています。

Context-Based Access Control(CBAC;コンテキスト ベースのアクセス制御) ― Policy Feature Card(PFC;ポリシー フィーチャ カード)は、CBACがMultilayer Switch Feature Card(MSFC;マルチレイヤ スイッチ フィーチャ カード)にソフトウェアで適用されている場合に、CBACを必要とするフローをMSFCに転送するエントリをNetflowテーブルに導入します。

認証プロキシ ― MSFCの認証後に、PFCは認証ポリシーのTCAMサポートを提供します。

Port-to-Application Mapping(PAM) ― PAMはMSFC上でソフトウェア処理されます。

Cisco IOSファイアウォール機能については、次のマニュアルを参照してください。

Cisco IOS Security Configuration Guide 』Release 12.2の「Traffic Filtering and Firewalls」および次の資料

次のURLの「Cisco IOS Firewall Overview」

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/ftrafwl/scffiwl.htm

次のURLの「Configuring Context-Based Access Control」

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/ftrafwl/scfcac.htm

次のURLの「Configuring Authentication Proxy」

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/ftrafwl/scfahp.htm

次のURLの『 Cisco IOS Security Command Reference

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_r/index.htm

Cisco IOSファイアウォール イメージを使用するかどうかに関係なく、次の機能がサポートされます。

標準アクセス リストおよびスタティック拡張アクセス リスト

Lock-and-Key(ダイナミックアクセス リスト)

IPセッション フィルタリング(再帰アクセス リスト)

TCPインターセプト

セキュリティ サーバ サポート

Network Address Translation(NAT;ネットワーク アドレス変換)

近接ルータ認証

イベント ログ機能

ユーザ認証および許可


) Cisco 7600シリーズ ルータは、Intrusion Detection System Module(IDSM)(WS-X6381-IDS)をサポートします。Cisco 7600シリーズ ルータは、Cisco IOSファイアウォールIDS機能をサポートしません。この機能を設定するには、ip auditコマンドを使用します。


Cisco IOSファイアウォールの注意事項および制約事項

Cisco IOSファイアウォール機能を設定するときは、次に示す注意事項および制約事項に従ってください。

他のプラットフォームで、特定のポートに関して ip inspect コマンドを入力すると、CBACは、検査されたトラフィックがネットワーク装置を通過できるように、他のポートのAccess Control List(ACL;アクセス制御リスト)を変更します。他のポート経由のトラフィックを拒否するACLで、トラフィックの通過を許可するには、Cisco 7600シリーズ ルータ上で、 mls ip inspect コマンドを入力する必要があります。詳細については、「追加のCBAC設定」を参照してください。

再帰ACLおよびCBACには、矛盾するフロー マスク要件があります。再帰ACLは、MSFCのソフトウェアで処理されます。

CBACはVACLと互換性がありません。CBACおよびVACLはルータ上に設定できますが、同じサブネット(VLAN [仮想LAN])内には設定できません。


) IDSMは、VACLを使ってトラフィックを選択します。CBACが設定されているサブネット内でIDSMを使用するには、mls ip ids acl_nameインターフェイス コマンドを入力します。acl_nameは、IDSMのトラフィックを選択する場合に設定します。


Microsoft NetMeeting(2.0以降)のトラフィックを検査するには、 h323 および tcp の両方の検査をオンにします。

Webトラフィックを検査するには、 tcp 検査をオンにします。パフォーマンスの低下を回避するには、 http 検査をオフにして、Javaをブロックします。

Quality of Service(QoS;サービス品質)およびCBACは相互に作用したり、干渉したりすることはありません。

CBACは、レイヤ3インターフェイスとして設定された物理ポート、およびVLANインターフェイスに設定できます。

同じインターフェイスにVACLとCBACを設定することはできません。

追加のCBAC設定

Cisco 7600シリーズ ルータに、追加のCBAC設定をする必要があります。Cisco 7600シリーズ ルータ以外のネットワーク装置に、ポートがトラフィックを拒否するように設定されている場合、CBACを使用すると、 ip inspect コマンドで設定されたポートの場合、そのポートを経由してトラフィックを双方向に送信できます。同じ状況が、トラフィックが通過する必要がある別のポートにも適用されます(次の例を参照)。

Router(config)# ip inspect name permit_ftp ftp
Router(config)# interface vlan 100
Router(config-if)# ip inspect permit_ftp in
Router(config-if)# ip access-group deny_ftp_a in
Router(config-if)# ip access-group deny_ftp_b out
Router(config-if)# exit
Router(config)# interface vlan 200
Router(config-if)# ip access-group deny_ftp_c in
Router(config-if)# ip access-group deny_ftp_d out
Router(config-if)# exit
Router(config)# interface vlan 300
Router(config-if)# ip access-group deny_ftp_e in
Router(config-if)# ip access-group deny_ftp_f out
Router(config-if)# end
 

VLAN 100で開始したFTPセッションをVLAN 200で終了する必要がある場合、CBACを使用すると、ACLのdeny_ftp_a、deny_ftp_b、deny_ftp_c、およびdeny_ftp_dを経由してFTPトラフィックを送信できます。VLAN 100で開始したFTPセッションをVLAN 300で終了する必要がある場合、CBACを使用すると、ACLのdeny_ftp_a、deny_ftp_b、deny_ftp_e、およびdeny_ftp_fを経由してFTPトラフィックを送信できます。

Cisco 7600シリーズ ルータのポートがトラフィックを拒否するように設定されている場合、CBACを使用すると、 ip inspect コマンドで設定されたポートのみを経由してトラフィックを双方向に送信できます。他のポートは、 mls ip inspect コマンドを使用して設定する必要があります。

VLAN 100で開始したFTPセッションをVLAN 200で終了する必要がある場合、Cisco 7600シリーズ ルータ上でCBACを使用すると、FTPトラフィックはACLのdeny_ftp_aおよびdeny_ftp_bだけを通過します。ACLのdeny_ftp_cおよびdeny_ftp_dをトラフィックが通過するようにするには、次の例のように、 mls ip inspect deny_ftp_c コマンドおよび mls ip inspect deny_ftp_d コマンドを入力する必要があります。

Router(config)# mls ip inspect deny_ftp_c
Router(config)# mls ip inspect deny_ftp_d
 

VLAN 300でFTPトラフィックを終了するには、 mls ip inspect deny_ftp_e および mls ip inspect
deny_ftp_f
コマンドを入力する必要があります。設定を確認するには、 show fm insp [ detail ]コマンドを入力します。

show fm insp [ detail ]コマンドを実行すると、ACLのリスト、およびCBACが設定されているポートやステータス( ACTIVE または INACTIVE )が表示されます(次の例を参照)。

Router# show fm insp
interface:Vlan305(in) status :ACTIVE
acl name:deny
interfaces:
Vlan305(out):status ACTIVE
 

VLAN 305では、着信方向の検査がアクティブで、ACLは設定されていません。VLAN 305では、ACL deny が発信方向に適用されていて、検査がアクティブです。

すべてのフロー情報を表示するには、detailキーワードを使用します。

CBACを設定する前にポートにVACLが設定されている場合は、表示されるステータスはINACTIVEです。それ以外の場合はACTIVEが表示されます。PFCリソースがなくなっている場合にこのコマンドを実行すると、[BRIDGE]と表示され、続いて、処理のためにMSFCに送信されたNetFlow要求のうち過去に失敗したが現在アクティブなNetFlow要求の数が表示されます。