Cisco PIX Firewall/VPN コンフィギュレーション ガイド
ネットワーク アクセスとネットワーク 使用の制御
ネットワーク アクセスとネットワーク使用の制御
発行日;2012/02/04 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

ネットワーク アクセスとネットワーク使用の制御

スタティック NAT によるサーバ アクセスのイネーブル化

着信接続のイネーブル化

発信接続の制御

ポート リダイレクションと Static コマンド

概要

ポート リダイレクションの設定

ポート リダイレクションの例

認証および許可

AAA の設定

Web クライアントのセキュアな認証のイネーブル化

RADIUS 許可の設定

MAC ベースの AAA 免除

アクセス制御の設定例

基本コンフィギュレーション

認証および許可

サービスへのアクセスの管理

ACL へのコメントの追加

TurboACL の使用方法

概要

TurboACL のグローバル設定

TurboACL の個別設定

TurboACL 設定の表示

アクセス リストのダウンロード

ダウンロード可能な ACL の設定

ネームド アクセス リストのダウンロード

無名のアクセス リストのダウンロード

ソフトウェアの制約事項

オブジェクト グループ化機能によるアクセス制御の簡略化

オブジェクト グループ化機能の動作

サブコマンド モードの使用

アクセス制御でのオブジェクト グループの設定と使用

プロトコル オブジェクト グループの設定

ネットワーク オブジェクト グループの設定

サービス オブジェクト グループの設定

ICMP タイプ オブジェクト グループの設定

オブジェクト グループのネスト

設定されている オブジェクト グループの表示

オブジェクト グループの削除

発信接続のフィルタリング

ActiveX オブジェクトのフィルタリング

Java アプレットのフィルタリング

インターネット フィルタリング サーバによる URL のフィルタリング

概要

フィルタリング サーバの指定

保留中 URL に対する HTTP 応答のバッファリング

URL と URL 保留バッファ サイズの設定

HTTPS サイトと FTP サイトのフィルタリング

フィルタリング ポリシーの設定

長い URL のフィルタリング

フィルタリング統計情報とフィルタリング設定の表示

設定手順

ネットワーク アクセスとネットワーク使用の制御

この章では、「接続の確立」に説明されている基本コンフィギュレーションを完了した後、さまざまな使用方法や実装方法に対応してネットワーク接続を確立し、制御する方法について説明します。ここでは、次の項目を取り上げます。

「スタティック NAT によるサーバ アクセスのイネーブル化」

「着信接続のイネーブル化」

「発信接続の制御」

「ポート リダイレクションと Static コマンド」

「認証および許可」

「アクセス制御の設定例」

「TurboACL の使用方法」

「アクセス リストのダウンロード」

「オブジェクト グループ化機能によるアクセス制御の簡略化」

「発信接続のフィルタリング」

スタティック NAT によるサーバ アクセスのイネーブル化

スタティック NAT(スタティック ネットワーク アドレス変換)によって、内部ネットワーク(高セキュリティ レベルのインターフェイス)上のアドレスと境界ネットワークまたは外部ネットワーク(低セキュリティ レベルのインターフェイス)の間に固定の 1 対 1 マッピングが作成されます。たとえば、境界インターフェイス上の Web サーバをパブリック インターネット上のユーザと共有するには、スタティック アドレス変換を使用して、Web サーバの実アドレスを登録 IP アドレスにマッピングします。スタティック アドレス変換によって、Web サーバの実アドレスは、低セキュリティ インターフェイス上のユーザに対して隠蔽され、権限のないユーザが偶発的にアクセスする可能性が低くなります。NAT または PAT とは異なり、スタティック アドレス変換では、各ホストに対して外部のネットワーク上に 1 つの専用アドレスが必要であるため、登録 IP アドレスは保存されません。

static コマンドを使用して、固定 IP アドレスに着信接続を許可する場合は、access-list コマンドと access-group コマンドを使用して、アクセス リストを作成し、該当するインターフェイスにバインドします。詳細については、「着信接続のイネーブル化」を参照してください。


) ステートフル フェールオーバーがイネーブルになっている場合は、static コマンドに PIX Firewall インターフェイス アドレスを使用しないでください。使用すると、ステートフル フェールオーバーが、そのインターフェイス モニタリング プローブ(IP プロトコル 105 で動作)を受信できなくなり、結果として、そのインターフェイスは待機状態にあると表示されます。ステートフル フェールオーバーの詳細については、「PIX Firewall フェールオーバーの使用方法」を参照してください。


static コマンドの主なオプションは、次のとおりです。

static [(internal_if_name, external_if_name)] global_ip local_ip [netmask network_mask]
[max_conns]
 

internal_if_name には、内部ネットワーク インターフェイス名を指定します。一般に、アクセスしている高セキュリティ レベルのインターフェイスです。

external_if_name には、外部ネットワーク インターフェイス名を指定します。一般に、アクセスしている低セキュリティ レベルのインターフェイスです。

global_ip には、外部(グローバル) IP アドレスを指定します。一般に、低セキュリティ レベルのインターフェイスです。このアドレスは PAT IP アドレスにはできません。

local_ip には、内部ネットワークの内部(ローカル) IP アドレスを指定します。一般に、高セキュリティ レベルのインターフェイスです。

global_ip local_ip の両方に関連するネットワーク マスクには、 network_mask を指定します。ホスト アドレスは、常に 255.255.255.255 を使用します。ネットワーク アドレスには、ネットワークに対して適切なサブネット マスクを使用します。

(オプション) max_conns には、スタティック アドレス変換で許可される同時接続の最大数を指定します。


) 低セキュリティ インターフェイスに常駐するホストにスタティック変換を設定する(外部 NAT を使用して)には、static コマンドで、インターフェイスを逆に入れ替えます。static コマンドの詳細については、『Cisco PIX Firewall Command Reference』を参照してください。


たとえば、次のコマンドでは、内部 IP アドレス 10.1.1.3 のサーバが、登録 IP アドレス 209.165.201.12 にマッピングされます。

static (inside, outside) 209.165.201.12 10.1.1.3 netmask 255.255.255.255
 

このコマンドは、単にアドレスをマッピングするだけです。次の項で説明するように、必ず
access-list
コマンドと access-group コマンドを使用してアクセスも設定してください。また、DNS 管理者に、外部アドレスに対する MX レコードを作成するように通知して、サーバ ホスト名に送信されるトラフィックが、正しいアドレスに向けられるようにする必要があります。


) NAT を使用しないスタティック変換を設定する方法の詳細については、『Cisco PIX Firewall Command Reference』の static コマンドを参照してください。


着信接続のイネーブル化

デフォルトでは、PIX Firewall は、内部または境界(高セキュリティの)ネットワークに対する外部(低セキュリティの)ネットワークからのアクセスは拒否します。着信接続は、アクセス リストを使用して特に許可します。アクセス リストは最初に一致したものについて実行されるため、着信アクセスに対しては、最初に拒否してから後で許可する必要があります。


) アクセス リストは、PIX Firewall Version 6.0 以降または Version 5.2 でネットワーク アクセスを管理するための最適な方法です。以前のバージョンでは、conduit コマンドが使用されていました。アクセス リストは、Cisco IOS アクセス制御に精通しているユーザにとっては、柔軟性が向上し、一層使いやすくなっています。しかし、以前の PIX Firewall バージョン向きに作成されたコンフィギュレーションの下位互換性を維持するために、conduit コマンドは現在もサポートされています。


access-list コマンドと access-group コマンドを使用し、発信元または宛先の IP アドレスに基づいて、またはプロトコル ポート番号によってアクセスを許可します。 access-list コマンドを使用して 1 つのアクセス リスト エントリを作成し、 access-group コマンドを使用して、必要な数のアクセス リスト エントリを特定のインターフェイスにバインドします。 access-group コマンドは、インターフェイスあたり 1 つだけ指定します。


) 特定のユーザだけにアクセスを許可するには、「認証および許可」の説明に従って、認証をセットアップします。


あるホストに 1 つのアクセス リストを設定する前に、 global コマンドまたは static コマンドを使用して、アドレス変換をセットアップします。 global コマンドを使用するアドレス変換のセットアップ方法については、「接続の確立」を参照してください。 static コマンドを使用するアドレス変換のセットアップ方法については、前項の「スタティック NAT によるサーバ アクセスのイネーブル化」を参照してください。

access-list コマンドには多くの機能があります。その機能のいくつかを、次の項で説明します。

「TurboACL の使用方法」

「アクセス リストのダウンロード」

「オブジェクト グループ化機能によるアクセス制御の簡略化」

access-list コマンドの完全な構文については、『Cisco PIX Firewall Command Reference』を参照してください。

access-list コマンドの基本的な構文は次のとおりです。

access-list ID [line line-num] {deny|permit} protocol <source_address | interface if_name> [operator port] destination_address [operator port]
 

ID に、 access-list コマンド文のグループを指定するために作成する名前または番号を指定します。たとえば、「acl_inbound」は、外部インターフェイスからのアクセスに適用されるアクセス権を特定します。

コメントまたは access control entry(ACE; アクセス コントロール エントリ)を挿入するには、line キーワードを使用します。line-num には、挿入先の行番号を指定します。

サーバへのアクセスを許可するか拒否するかによって、 permit または deny を使用します。デフォルトでは、すべての着信アクセスが拒否されるため、特定のプロトコルまたはポートに対するアクセスを許可する必要があります。

protocol に、プロトコル(tcp または udp)を指定します。HTTP または電子メールなど、ほとんどのサーバには、 tcp を使用します。使用できるキーワードおよび予約済みポート割り当ての完全なリストについては、 付録 D「TCP/IP の参照情報」 「プロトコルとアプリケーション」を参照してください。

source_address に、 destination_address にアクセスする必要がある低セキュリティ レベルのインターフェイス上のシステムに対するホスト アドレスまたはネットワーク アドレスを指定します。あらゆるホストに destination_address へのアクセスを許可するには、 any を使用します。指定するホストが 1 つの場合は、アドレスの前に host を指定します。たとえば、 host 192.168.1.2 とします。ネットワーク アドレスを指定する場合は、ネットワーク マスクも指定します。たとえば、 192.168.1.0 255.255.255.0 のように指定します。

インターフェイスが、ダイナミックに割り当てられる IP アドレスを持つ場合は、interface キーワードを使用します。if_name には、nameif コマンドを使用して設定したインターフェイスの名前を指定します。

発信元または宛先によって使用されるポート番号を照合するには、「演算子」を使用します。使用できる演算子は、次のとおりです。

lt:次の値より小さい

gt:次の値より大きい

eq:次の値と等しい

negq:次の値と等しくない

range:値の包括的な範囲

演算子の後の 1 番目の port パラメータには、接続を開始する発信元ホストによって使用されるプロトコル ポートを指定します。

destination_address に、 static コマンド文で指定したホストまたはネットワークのグローバル アドレスを指定します。ホスト アドレスの場合はアドレスの前に host を指定し、ネットワークの場合はネットワーク アドレスとそれに該当するネットワーク マスクを指定します。

演算子の後の 2 番目の port パラメータには、宛先ホストによって使用されるプロトコル ポートを指定します。たとえば、Web サーバを指定するには、eq http または eq 80 を使用します。電子メール サーバの場合は、eq smtp または eq25 を使用します。使用できるキーワードおよび予約済みポート割り当ての完全なリストについては、 付録 D「TCP/IP の参照情報」 「ポート」を参照してください。

次のポートに対するアクセスを許可するためには、2 種類の access-list コマンド文定義が必要になります。

DNS、Discard、Echo、Ident、NTP、RPC、SUNRPC および Talk は、それぞれに TCP の定義と UDP の定義の両方が必要です。

TACACS+ では、ポート 49 に対して 1 つの TCP 定義が必要です。

access-group コマンドの形式は、次のとおりです。

access-group ID in interface low_interface
 

ID に、 access-list コマンド文で指定したものと同じ識別子を指定します。

low_interface に、 static コマンドで指定した低セキュリティ インターフェイスを指定します。これは、ユーザがそれを経由して外部(グローバル)アドレスにアクセスするインターフェイスです。

次の例に、外部 IP アドレス 209.165.201.12 の Web サーバに対するアクセスをイネーブルにするために必要な 3 つのコマンドを示します。

static (inside, outside) 209.165.201.12 10.1.1.3 netmask 255.255.255.255 0 0
access-list acl_out permit tcp any host 209.165.201.12 eq www
access-group acl_out in interface outside
 

この例では、前の項で示したものと同じ static コマンドが使用されています。

発信接続の制御

デフォルトでは、高セキュリティ レベルのネットワーク上で開始された接続はすべて、発信が許可されているため、必要な制約事項があれば、すべてユーザが設定します。発信アクセスは、IP アドレスまたはプロトコル ポートによって制御するか、「認証および許可」に説明されているように、アクセス制御とユーザ認証を組み合せて制御できます。発信ネットワーク トラフィックに制約事項を強制的に適用しない場合は、発信アクセス リストは必要ありません。

発信アクセス リストによって、ホストが発信接続を開始するのを制限することも、ホストが特定の宛先アドレスやネットワークにアクセスするのを制限することもできます。アクセス リストでは最初に一致したものについて実行されるため、発信アクセス リストでは、最初に許可してから後で拒否する必要があります。

たとえば、一部のホストが Web サイトにアクセスするのを制限したり、その他のアクセスを許可したりできます。 access-list コマンドを使用してアクセス制約事項を定義し、 access-group コマンドを使用してインターフェイスに access-list コマンド文をバインドします。

発信アクセス リストを作成する場合の access-list コマンド文の基本的な構文は、「着信接続のイネーブル化」で説明したものと同じです。

access-list ID {deny|permit} protocol source_address [operator port] destination_address [operator port]
 

特定の種類のアクセスを制限するには、deny パラメータを使用します。たとえば、内部インターフェイス上のネットワーク 192.168.1.0 に所属するホストが外部インターフェイスでの接続を開始できないようにして、その他のホストすべてに接続を許可するには、発信元アドレスとしてネットワーク アドレス 192.168.1.0 を、宛先アドレスとして外部インターフェイスに接続されているネットワークを指定します。次の例では、外部インターフェイス上のネットワークを 209.165.201.0 とします。 access-list コマンド文と access-group コマンド文は次のようになります。

access-list acl_in deny tcp 192.168.1.0 255.255.255.224 209.165.201.0 255.255.255.224
access-list acl_in permit ip any any
access-group acl_in in interface inside
 

アクセス リストは、特定のサーバに対するアクセスを拒否するためにも使用できます。たとえば、内部インターフェイス上のホストが、外部インターフェイス上のアドレス 209.165.201.29 にある Web サイトにアクセスするのを制限する場合は、次のコマンドを使用します。

access-list acl_in deny tcp any host 209.165.201.29 eq www
access-list acl_in permit ip any any
access-group acl_in in interface inside
 

これらのコマンドによって、すべてのホストが接続を開始できますが、209.165.201.29 には接続できなくなります。 access-group コマンドは、内部インターフェイス上のホストを対象として指定しています。


) Web サイトへの発信アクセスをさらに制御するには、URL フィルタリングを使用できます。詳細については、「インターネット フィルタリング サーバによる URL のフィルタリング」を参照してください。


ポート リダイレクションと Static コマンド

この項では、PIX Firewall Version 6.0 で導入されたポート リダイレクション機能について説明します。次の項目について説明します。

「概要」

「ポート リダイレクションの設定」

「ポート リダイレクションの例」

概要

ポート リダイレクションによって、低セキュリティ インターフェイス上のホストが、特定の IP アドレスやポートに接続すること、および PIX Firewall がトラフィックを高セキュリティ インターフェイス上の該当するサーバにリダイレクトすることが可能になります。

共有アドレスは、固有のアドレス、共有発信 PAT アドレス、または外部インターフェイスとの共有アドレスのいずれにもできます。ポート リダイレクションを実装するには、次のコマンドを使用します。

static [(internal_if_name, external_if_name)] {tcp|udp} {global_ip|interface} global_port local_ip local_port [netmask mask]
 

このコマンド構文の説明については、『 Cisco PIX Firewall Command Reference 』を参照してください。

ポート リダイレクションの設定

図 3-1 に、ポート リダイレクション機能が効果的であるネットワークの代表例を示します。

図 3-1 Static コマンドを使用するポート リダイレクション

 

この項で説明する構成では、ポート リダイレクションは、次のように外部ネットワーク上のホストに対して実行されます。

固有 IP アドレス 209.165.201.5 に対する Telnet 要求が、10.1.1.6 にリダイレクトされる

固有 IP アドレス 209.165.201.5 に対する FTP 要求が、10.1.1.3 にリダイレクトされる

PAT アドレス 209.165.201.15 に対する Telnet 要求が、10.1.1.4 にリダイレクトされる

PIX Firewall の外部 IP アドレス 209.165.201.25 に対する Telnet 要求が、10.1.1.5 にリダイレクトされる

PIX Firewall の外部 IP アドレス 209.165.201.25 に対する HTTP 要求が、10.1.1.5 にリダイレクトされる

PAT アドレス 209.165.201.15 に対する HTTP ポート 8080 の要求が、10.1.1.7 ポート 80 にリダイレクトされる

この事例を実装するには、次の手順を実行してください。


ステップ 1 次のコマンドを入力して、ポート 21 上の FTP 要求に対するアプリケーション検査を設定します。

fixup protocol ftp 21
 

ステップ 2 次のコマンドを入力して、PIX Firewall の高セキュリティ インターフェイスおよび低セキュリティ インターフェイスの IP アドレスを設定します。

ip address outside 209.165.201.25 255.255.255.0
ip address inside 10.1.1.2 255.255.255.0
 

ステップ 3 次のコマンドを入力して、低セキュリティ インターフェイスに対してグローバル PAT アドレスを指定します。

global (outside) 1 209.165.201.15
 

ステップ 4 次のコマンドを入力して、NAT と PAT を設定します。

nat (inside) 1 0.0.0.0 0.0.0.0 0 0
 

ステップ 5 209.165.201.5 に対する Telnet 要求をリダイレクトします。

static (inside,outside) tcp 209.165.201.5 telnet 10.1.1.6 telnet netmask 255.255.255.255 0 0
 

このコマンドによって、Telnet 要求が 10.1.10.6 にリダイレクトされます。

ステップ 6 IP アドレス 209.165.201.5 に対する FTP 要求をリダイレクトします。

static (inside,outside) tcp 209.165.201.5 ftp 10.1.1.3 ftp netmask 255.255.255.255 0 0
 

このコマンドによって、FTP 要求が 10.1.1.3 にリダイレクトされます。

ステップ 7 PAT アドレス 209.165.201.15 に対する Telnet 要求をリダイレクトします。

static (inside,outside) tcp 209.165.201.15 telnet 10.1.1.4 telnet netmask 255.255.255.255 0 0
 

このコマンドによって、Telnet 要求が 10.1.10.4 にリダイレクトされます。

ステップ 8 PIX Firewall の外部インターフェイス アドレスに対する Telnet 要求をリダイレクトします。

static (inside,outside) tcp interface telnet 10.1.1.5 telnet netmask 255.255.255.255 0 0
 

このコマンドによって、Telnet 要求が 10.1.1.5 にリダイレクトされます。

ステップ 9 PIX Firewall の外部インターフェイス アドレスに対する HTTP 要求をリダイレクトします。

static (inside,outside) tcp interface www 10.1.1.5 www netmask 255.255.255.255 0 0
 

このコマンドによって、HTTP 要求が 10.1.1.5 にリダイレクトされます。

ステップ 10 PAT アドレス 209.165.201.15 に対するポート 8080 上の HTTP 要求をリダイレクトします。

static (inside,outside) tcp 209.165.201.15 8080 10.1.1.7 www netmask 255.255.255.255 0 0
 

このコマンドによって、HTTP ポート 8080 要求が 10.1.1.7 ポート 80 にリダイレクトされます。


 

ポート リダイレクションの例

例3-1 に、この事例で説明したポート リダイレクションを実装するのに必要な設定を示します。

例3-1 static コマンドによるポート リダイレクション

fixup protocol ftp 21
ip address outside 209.165.201.25 255.255.255.0
ip address inside 10.1.1.2 255.255.255.0
global (outside) 1 209.165.201.15
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp 209.165.201.5 telnet 10.1.1.6 telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp 209.165.201.5 ftp 10.1.1.3 ftp netmask 255.255.255.255 0 0
static (inside,outside) tcp 209.165.201.15 telnet 10.1.1.4 telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface telnet 10.1.1.5 telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www 10.1.1.5 www netmask 255.255.255.255 0 0
static (inside,outside) tcp 209.165.201.15 8080 10.1.1.7 www netmask 255.255.255.255 0 0
 

認証および許可

アクセス リストを使用することで、トラフィックを IP アドレスとプロトコルに基づいて制御できますが、特定のユーザまたはグループに対してアクセスと使用を制御するには、認証と許可が必要になります。認証は、ユーザの身元を識別するプロセスであり、RADIUS サーバおよび TACACS+ サーバ用の PIX Firewall によってサポートされます。許可は、ユーザに固有の権限を識別します。

内部(ローカル)ホストが外部(低セキュリティの)ネットワークに対して接続を開始したときに認証および許可を適用する場合は、内部(高セキュリティの)インターフェイス上で認証と許可をイネーブルにします。外部ホストが内部ホストに対して接続を開始したときに認証と許可が実行されるようにセットアップするには、外部インターフェイス上で認証と許可をイネーブルにします。


) 外部(低セキュリティ レベルの)インターフェイス上のホストが内部(高セキュリティ レベルの)インターフェイス上のホストとの接続を開始できるようにする場合は、その接続に対する static コマンド文と access-list コマンド文を作成します。


ここでは、次の項目について説明します。

「AAA の設定」

「Web クライアントのセキュアな認証のイネーブル化」

「RADIUS 許可の設定」

「MAC ベースの AAA 免除」

AAA の設定

認証と許可をイネーブルにするには、次の作業を完了する必要があります。

使用する認証サーバの IP アドレスを特定し、認証サーバと PIX Firewall によって共有されるサーバ暗号キーを決定する。

ネットワークにアクセス可能なユーザ、そのユーザが使用できるサービス、およびそのユーザがアクセスできるホストを認証サーバに設定する。

認証または許可のイネーブルあるいはディセーブルを PIX Firewall に設定する。

さらに、特定のホストまたはサービスへのユーザ アクセスを制御するように、PIX Firewall を設定することもできます。しかし、このようなアクセス制御は、1 ヶ所、つまり認証サーバで維持する方が簡単です。認証および許可をイネーブルにすると、FTP、Telnet、または HTTP(Web)アクセスのユーザは、PIX Firewall からプロンプトが表示されます。特定のシステムまたはサービスに対するアクセスの制御は、認証許可サーバで処理されます。


) PIX Firewall Version 6.3 以降を使用する場合は、PIX Firewall 上にローカルで設定するユーザ データベースでの認証をイネーブルにできます。設定手順は、RADIUS サーバまたは TACACS+ サーバの設定手順に似ています。相違点は、次の手順の各ステップ内に記載されています。PIX Firewall のローカル ユーザ データベースを設定する方法については、「ネットワーク アクセスとネットワーク使用の制御」 ユーザ認証を参照してください。


PIX Firewall がユーザの認証と許可をサポートするには、次の手順を実行します。


ステップ 1 着信認証に対して、外部ホストによる内部ネットワーク上のサーバへのアクセスの許可に必要な static コマンド文と access-list コマンド文を作成します。

ステップ 2 内部ネットワークをインターネットに接続する場合は、登録 IP アドレスのグローバル アドレス プールを作成します。次に、nat コマンドで access-list コマンドを使用して、発信接続を開始できる内部ホストを指定します。

ステップ 3 aaa-server コマンドを使用して、認証または許可を処理するサーバを指定します。一意のサーバ グループ名を作成します。

次に例を示します。

aaa-server AuthInbound protocol tacacs+
aaa-server AuthInbound (inside) host 10.1.1.1 TheUauthKey
aaa-server AuthOutbound protocol tacacs+
aaa-server AuthOutbound (inside) host 10.1.1.2 TheUauthKey
 

) 認証に LOCAL データベースを使用する場合、このステップは必要ありません。


最初のコマンド文は、TACACS+ 認証を使用して、AuthInbound 認証グループを作成します。2 番目のコマンド文は、AuthInbound サーバが内部インターフェイス上にあり、IP アドレスが 10.1.1.1、暗号キーが「TheUauthKey」であることを示しています。

3 番目のコマンド文は、TACACS+ 認証を使用して、AuthOutbound 認証グループを作成します。4 番目のコマンド文は、AuthOutbound サーバが内部インターフェイス上にあり、IP アドレスが 10.1.1.2、暗号キーが「TheUauthKey」であることを示しています。


RADIUS 許可は、「RADIUS 許可の設定」で説明されているように、access-list コマンド文を使用して行われます。


ステップ 4 aaa authentication コマンドを使用して、認証をイネーブルにします。

aaa authentication include authen_service if_name 0 0 0 0 <server_tag|LOCAL>
 

authen_service には、ftp、telnet、http など、組み込むトラフィックを示す識別情報を指定します。このオプションの詳細については、『Cisco PIX Firewall Command Reference』の aaa authentication コマンドを参照してください。

if_name には、認証をイネーブルにするインターフェイスの名前を、nameif コマンドで設定したとおりに指定します。認証に LOCAL データベースを使用するには、LOCAL キーワードを使用します。AAA サーバを使用するには、server_tag に、aaa-server コマンドで定義した AAA サーバ グループ名を指定します。次に例を示します。

aaa authentication include ftp outside 0 0 0 0 AuthOutbound
aaa authentication include telnet outside 0 0 0 0 AuthOutbound
aaa authentication include http outside 0 0 0 0 AuthOutbound
aaa authentication include ftp inside 0 0 0 0 AuthInbound
aaa authentication include telnet inside 0 0 0 0 AuthInbound
aaa authentication include http inside 0 0 0 0 AuthInbound
 

) 認証可能なプロトコルだけに認証を適用するように注意してください。any キーワードを使用する認証を適用すると、SMTP や HTTPS などのプロトコルが PIX Firewall を通過するのが阻止されます。


ステップ 5 aaa authorization コマンドを使用して、許可をイネーブルにします。PIX Firewall は、ユーザがアクセス可能なサービスを決定する AAA サーバを使用して許可要求をチェックします。

aaa authorization include authen_service if_name 0 0 0 0
 

authen_service には、ftp、telnet、http など、組み込むトラフィックを示す識別情報を指定します。


) 認証に LOCAL データベースを使用する場合、このステップは必要ありません。


次に例を示します。

aaa authorization include ftp outside 0 0 0 0
aaa authorization include telnet outside 0 0 0 0
aaa authorization include http outside 0 0 0 0
aaa authorization include ftp inside 0 0 0 0
aaa authorization include telnet inside 0 0 0 0
aaa authorization include http inside 0 0 0 0
 

authorization パラメータおよび authentication パラメータで使用できる各種オプションの詳細については、『Cisco PIX Firewall Command Reference』を参照してください。


 

Web クライアントのセキュアな認証のイネーブル化

以前のバージョンの PIX Firewall は、AAA サーバを使用して Web ブラウザを認証するときに、HTTP クライアントからクリア テキストでユーザ名とパスワードを取得していました。PIX Firewall
Version 6.3 では、HTTP over SSL(HTTPS)を使用して Web クライアントと PIX Firewall の間でユーザ名とパスワードをセキュアに交換する方法が導入されています。HTTPS は、ユーザ名とパスワードを暗号化し、伝送をセキュアにします。

aaa コマンドに次のキーワードを追加して、この機能をイネーブルにします。

aaa authentication secure-http-client
 

キーワード secure-http-client によってこの機能がイネーブルになり、HTTP クライアントと PIX Firewall の間でユーザ名とパスワードがセキュアに交換されます。

この機能をイネーブルにするには、次のいずれかの形式を使用して、AAA 認証を設定する必要があります。

aaa authentication http interface ...
aaa authentication tcp/0 interface ...
 

次のコマンドを使用することによって、この機能はセキュアな(HTTPS)Web サイトにアクセスするクライアントの認証をサポートします。

aaa authentication https interface ...
aaa authentication tcp/0 interface ...
 

この機能をイネーブルにすると、認証を必要とする Web ページにユーザがアクセスする場合、PIX Firewall によって、図 3-2 に示す認証ダイアログボックスが表示されます。

図 3-2 セキュアな認証のページ

 


) この例で表示されている Cisco Systems テキスト フィールドは、auth-prompt コマンドを使用してカスタマイズされています。このコマンド構文の詳細な構文については、『Cisco PIX Firewall Command Reference』を参照してください。auth-prompt コマンドを使用して文字列を入力しない場合、このフィールドは空白になります。


ユーザが有効なユーザ名とパスワードを入力すると、「Authentication Successful」ページが自動的に表示され閉じられます。ユーザが有効なユーザ名とパスワードの入力に失敗すると、「Authentication Failed」ページが表示されます。

同時に行うことができる HTTP 認証は、最大 16 個です。16 個の HTTP 認証プロセスがすべて実行されている場合、認証を必要とする新しい接続は失敗します。認証プロセスは PIX Firewall がブラウザからユーザ名とパスワードを受け取るときに開始され、AAA サーバから認証結果を受け取るときに終了します。各認証プロセスの完了に要する時間は、認証ソースからの応答時間によって異なります。LOCAL データベースを使用する場合、認証プロセスはすぐに完了しますが、RADIUS サーバまたは TACACS+ サーバを使用する場合、認証プロセスにかかる時間はサーバの応答時間によって異なります。

uauth timeout 0 コマンドを使用している場合、ブラウザが HTTPS 認証後に複数の TCP 接続を開始して Web ページを取得すると、HTTPS 認証が機能しません。この事例では、最初の接続は許可されますが、uauth timeout が 0 に設定されているため、後続の接続が認証をトリガーします。その結果、毎回正しいユーザ名とパスワードを入力しても、ユーザに連続して認証ページが表示されます。この問題を回避するには、uauth timeout を 1 秒に設定します。ただし、この設定により、認証されていないユーザが同じ発信元 IP アドレスからアクセスを取得することを許可する可能性のある 1 秒のウィンドウが開きます。

前回の HTTP 要求に対するセキュアな認証の進行中に Web ブラウザが HTTPS Web ページ要求を開始すると、セキュアな認証が特に HTTPS に対してイネーブルでない場合でも、HTTPS 要求がもう 1 つのセキュアな認証プロセスをトリガーします。どちらかの Web ページの認証プロセスが正常に完了した後、ページをリロードすることによって残りの要求を完了できます。

HTTPS 認証は SSL ポート 443 上で行われるため、access-list コマンドを使用してポート 443 上で HTTP クライアントから HTTP サーバへのトラフィックをブロックしないようにします。また、ポート 80 上の Web トラフィックにスタティック PAT を設定する場合は、SSL ポート 443 にスタティック エントリを設定することも必要です。

RADIUS 許可の設定

PIX Firewall を使用すると、RADIUS サーバは、ユーザ グループ アトリビュートを、RADIUS 認証応答メッセージに入れて、PIX Firewall に送信できます。

管理者は、最初に、PIX Firewall 上で各ユーザ グループに対してアクセス リストを定義します。たとえば、アクセス リストとしては、営業、マーケティング、技術など、組織内の各部門用のものが考えられます。管理者は、次に、Cisco バージョンの RADIUS(CiscoSecure と呼ばれる)内のグループ プロファイルにアクセス リストを登録します。

PIX Firewall は、RADIUS サーバによるユーザ認証を要求します。ユーザが許可されると、RADIUS サーバは、ベンダー固有のアトリビュート 11(filter-id)を所定のユーザ グループのアクセス リストに設定し、そのアトリビュートとともに認証確認応答メッセージを PIX Firewall に返します。この情報を渡すために RADIUS アトリビュート 11 は使用できません。

一貫性を維持するために、PIX Firewall は、同じ機能を TACACS+ に対しても提供しています。


) アクセス リストは、RADIUS と TACACS のどちらとも使用できますが、FTP、HTTP、または Telnet の許可は、TACACS+ の場合に限り可能です。


ある部門のユーザを 3 台のサーバに限定し、ほかのサーバをすべて禁止するには、access-list コマンド文を次のように使用します。

access-list eng permit ip any server1 255.255.255.255
access-list eng permit ip any server2 255.255.255.255
access-list eng permit ip any server3 255.255.255.255
access-list eng deny ip any any
 

この例では、CiscoSecure コンフィギュレーション内のベンダー固有のアトリビュート文字列は、acl=eng と設定されています。CiscoSecure コンフィギュレーション内のこのフィールドを使用して、アクセス リスト識別名を指定します。PIX Firewall は、CiscoSecure から acl=acl_ID 文字列を取得し、ACL 識別情報を抽出して、その識別情報をユーザの uauth エントリに入力します。

ユーザが接続を開こうとすると、PIX Firewall は、ユーザの uauth エントリ内のアクセス リストをチェックし、アクセス リストで一致した文字列が許可ステータスか拒否ステータスかに応じて、接続を許可または拒否します。接続が拒否された場合、PIX Firewall は、対応する syslog メッセージを生成します。一致する文字列がない場合は、暗黙のルールによって拒否します。

所定のユーザの発信元 IP は、ユーザがログインした場所によって変わることがあるため、access-list コマンド文の発信元アドレスには any を設定し、ユーザ アクセスを許可または拒否するネットワーク サービスを識別する宛先アドレスを設定します。


) aaa authorization コマンドは、別個の RADIUS オプションを必要としません。


MAC ベースの AAA 免除

PIX Firewall Version 6.3 以降では、Media Access Control(MAC; メディア アクセス制御)アドレスを使用して、AAA 認証をサポートしないデバイス(Cisco IP Phone など)の認証をバイパスできます。この機能を使用するには、内部(高セキュリティ)インターフェイス上で MAC アドレスを識別します。PIX Firewall は、MAC アドレスと、MAC アドレスにダイナミックに割り当てられている IP アドレスの両方を使用して、一致するトラフィックに対して AAA サーバをバイパスします。認証をバイパスすると、認証サービスが自動的にディセーブルになります。アカウンティング レコードは生成されますが(イネーブルである場合)、ユーザ名は表示されません。

MAC ベースの AAA 免除をイネーブルにするには、AAA 認証を免除する MAC アドレスのリストを作成してから、そのリストを AAA サーバに割り当てます。


) この機能は外部つまり低セキュリティ レベルのインターフェイス上では適用できません。


MAC アドレスのリストを定義するには、次のコマンドを入力します。

mac-list mcl-id deny | permit mac mac-mask
 

リストに追加するすべての MAC アドレスを定義するために必要な回数、このコマンドを入力します。

mcl-id には、MAC リストの識別情報を指定します。認証を免除する MAC アドレスを指定するには、permit オプションを使用します。認証をバイパスしないようにするには、deny オプションを使用します。mac には、ベンダー ID など、ハードウェア アドレスの共通部分に基づいてデバイス グループを選択するために使用できる部分的な MAC アドレスを指定します。mac-mask には、照合に使用する MAC アドレスの部分を特定するマスクを指定します。

たとえば、次のエントリでは、1 つの MAC アドレスの認証がバイパスされます。

mypix(config)# mac-list adc permit 00a0.c95d.0282 ffff.ffff.ffff
 

この例では、マスク FFFF.FFFF.FFFF が、その前の 16 進アドレスの 12 桁(6 バイト)すべてを照合するよう PIX Firewall に指示しています。

次のエントリでは、ハードウェア ID 0003.E3 を持つすべての Cisco IP Phone の認証がバイパスされます。

mypix(config)# mac-list adc permit 0003.E300.0000 FFFF.FF00.0000
 

MAC リストを AAA サーバに適用するには、次のコマンドを入力します。

aaa mac-exempt match mcl-id
 

mcl-id には、適用する MAC リストの識別情報を指定します。

たとえば、次のコマンドでは、MAC リスト adc が AAA サーバに適用されます。

aaa mac-exempt match adc
 

特定の MAC リスト内の現在のエントリを表示するには、次のコマンドを入力します。

show mac-list [mcl-id]
 

MAC リスト識別情報を省略すると、現在設定されているすべての MAC リストが表示されます。

MAC リスト上のすべてのエントリをクリアするには、次のコマンドを入力します。

clear mac-list [mclid]
 

MAC リスト識別情報を省略すると、現在設定されているすべての MAC リストがクリアされます。

アクセス制御の設定例

この項では、アクセス制御を実装する例について説明します。次の項目を取り上げます。

「基本コンフィギュレーション」

「認証および許可」

「サービスへのアクセスの管理」

「ACL へのコメントの追加」

基本コンフィギュレーション

図 3-3 に、この例で使用するネットワーク構成を示します。

図 3-3 NAT を使用する 2 つのインターフェイス:アクセス制御

 

次の手順では、この例に必要な基本コンフィギュレーションを示します。この手順は、「接続の確立」「基本コンフィギュレーションの例」の設定例と類似しています。


ステップ 1 次のコマンドを入力して、各インターフェイスのセキュリティ レベルと名前を指定します。

nameif ethernet0 outside security0
nameif ethernet1 inside security100
 

ステップ 2 次のコマンドを入力して、各インターフェイスの回線速度を指定します。

interface ethernet0 100basetx
interface ethernet1 100basetx
 

interface コマンドのデフォルトの auto オプションを、インターフェイス カード固有の回線速度に変更すると、パフォーマンスが向上します。

ステップ 3 各インターフェイスの IP アドレスを指定します。

ip address inside 10.1.1.1 255.255.255.0
ip address outside 209.165.201.1 255.255.255.224
 

ステップ 4 PIX Firewall のホスト名を指定します。

hostname pixfirewall
 

この名前がコマンドライン プロンプトに表示されます。

ステップ 5 内部の IP アドレスが外部ネットワーク上で認識できるようにし、内部のユーザが発信接続を開始できるようにします。

nat (inside) 1 0.0.0.0 0.0.0.0
nat (inside) 2 192.168.3.0 255.255.255.0
global (outside) 1 209.165.201.6-209.165.201.8 netmask 255.255.255.224
global (outside) 1 209.165.201.10 netmask 255.255.255.224
global (outside) 2 209.165.200.225-209.165.200.254 netmask 255.255.255.224
 

ステップ 6 インターネットに接続されているルータに外部のデフォルト ルートを設定します。

route outside 0 0 209.165.201.4 1
 


 

例3-2 に、NAT を使用する 2 つのインターフェイスを持つ PIX Firewall を実装するのに必要な基本コンフィギュレーションを示します。

例3-2 NAT を使用する 2 つのインターフェイス:基本コンフィギュレーション

nameif ethernet0 outside security0
nameif ethernet1 inside security100
interface ethernet0 100basetx
interface ethernet1 100basetx
ip address inside 10.1.1.1 255.255.255.0
ip address outside 209.165.201.1 255.255.255.224
hostname pixfirewall
nat (inside) 1 0.0.0.0 0.0.0.0
nat (inside) 2 192.168.3.0 255.255.255.0
global (outside) 1 209.165.201.6-209.165.201.8 netmask 255.255.255.224
global (outside) 1 209.165.201.10 netmask 255.255.255.224
global (outside) 2 209.165.200.225-209.165.200.254 netmask 255.255.255.224
route outside 0 0 209.165.201.4 1

認証および許可

この項では、TACACS+ サーバを使用して、PIX Firewall を通過するトラフィックに対する認証と許可を実装する方法について説明します。この目的に使用するコマンドは、前項の「基本コンフィギュレーション」で説明したファイアウォールの基本コンフィギュレーションに追加されるものです。

aaa-server コマンドでは、TACACS+ 認証サーバの IP アドレスを指定します。aaa authentication コマンド文は、ネットワーク 192.168.3.0 上のユーザが内部インターフェイスから FTP、HTTP、および Web 接続を開始した場合、ほかのインターフェイス上のサーバへのアクセスが許可される前に、ユーザに対してユーザ名とパスワードの入力を要求されることを指定します。aaa authorization コマンド文は、192.168.3.0 上のユーザに対して、AAA サーバによって許可された宛先への FTP、HTTP、または Telnet アクセス、および TCP 接続を許可します。aaa コマンドが PIX Firewall にセキュリティ ポリシーを設定させるように見えますが、認証するユーザと、認証が許可された場合にそのユーザがアクセスできるサービスを実際に決定するのは認証サーバです。

例3-3 に、図 3-3 に示したネットワークのサービスへのアクセスを設定するコマンド リストを示します。

例3-3 認証コマンドと許可コマンド

aaa-server TACACS+ (inside) host 10.1.1.12 1q2w3e
aaa authentication include ftp inside 192.168.3.0 255.255.255.0 0 0 TACACS+
aaa authorization include ftp inside 192.168.3.0 255.255.255.0 0 0
aaa authentication include http inside 192.168.3.0 255.255.255.0 0 0 TACACS+
aaa authorization include http inside 192.168.3.0 255.255.255.0 0 0
aaa authentication include telnet inside 192.168.3.0 255.255.255.0 0 0 TACACS+
aaa authorization include telnet inside 192.168.3.0 255.255.255.0 0 0
 

サービスへのアクセスの管理


) この項のコマンドは、前項の「基本コンフィギュレーション」で説明したファイアウォールの基本コンフィギュレーションに追加して使用されます。


次の手順では、H.323 サービスおよび Web サービスへのユーザ アクセスの管理に必要なコマンドを示します。


ステップ 1 サービスにアクセスできるホストを決定する発信アクセス リストを作成します。

access-list acl_in deny tcp host 192.168.3.3 any eq 1720
access-list acl_in permit tcp host 192.168.3.3 any eq 80
access-list acl_in permit tcp host 10.1.1.11 any eq 80
access-list acl_in deny tcp any any eq 80
 

最初の access-list コマンド文は、ホスト 192.168.3.3 に対して、MS NetMeeting や Intel Internet Phone などの H.323(ポート 1720)サービスへのアクセスを拒否します。次のコマンド文は、ホスト 192.168.3.3 に対して Web の使用を許可します。3 番目の access-list コマンド文は、ホスト 10.1.1.11 に対して Web(ポート 80)へのアクセスを許可します。最後のコマンド文は、ほかのすべてのホストに対して、Web(ポート 80)へのアクセスを拒否します。

ステップ 2 access-list グループが発信接続を開始する内部のホストの動作を規制することを指定します。

access-group acl_in in interface inside
 

) 特定の ACL に関連するロギング アクティビティについては、「PIX Firewall のアクセスと監視」 アクセス コントロール リスト アクティビティのロギングを参照してください。


ステップ 3 スタティック アドレス マッピングを作成します。

static (inside, outside) 209.165.201.16 192.168.3.16 netmask 255.255.255.240
 

この例では、IP アドレス 209.165.201.17 ~ 209.165.201.30 が 192.168.3.17 ~ 192.168.3.30 にマッピングされます。

ステップ 4 VoIP アクセスをイネーブルにします。

access-list acl_out permit tcp any 209.165.201.16 255.255.255.240 eq h323
 

このコマンドにより、インターネット上のユーザが、保護されたネットワーク上のユーザに Intel Internet Phone 要求を送信できるようになります。要求は 209.165.201.16 ~ 209.165.201.31 の範囲内にある任意の IP アドレスに送信でき、PIX Firewall はこのアドレスを 192.168.3.16 ~ 192.168.3.31 の範囲内の次に使用可能な IP アドレスに変換します。

ステップ 5 Web アクセスに対して、外部から見える IP アドレスを設定します。

static (inside, outside) 209.165.201.11 10.1.1.11
access-list acl_out permit tcp any host 209.165.201.11 eq 80
 

static コマンド文は、access-list コマンド文を一緒に使用して、Web アクセス(この access-list コマンド文のポート 80)用に外部から見える IP アドレスを設定します。


 

例3-4 に、図 3-3 に示したネットワークのサービスへのアクセスを設定するコマンド リストを示します。

例3-4 サービスへのアクセスの設定

access-list acl_in deny tcp host 192.168.3.3 any eq 1720
access-list acl_in permit tcp host 192.168.3.3 any eq 80
access-list acl_in permit tcp host 10.1.1.11 any eq 80
access-list acl_in deny tcp any any eq 80
access-group acl_in in interface inside
access-list acl_out permit tcp any 209.165.201.16 255.255.255.240 eq h323
static (inside, outside) 209.165.201.11 10.1.1.11
access-list acl_out permit tcp any host 209.165.201.11 eq 80
 

ACL へのコメントの追加

PIX Firewall Version 6.3 以降では、どの ACL にでもエントリに関するコメントを追加できます。コメントにより、ACL が理解しやすくなり、ACL のスキャンも簡単になります。コメントは最大 100 文字で、access-list コマンドの前または後に置くことができます。ただし、分かりやすくするために、アクセス リスト内の一貫した位置にコメントを置くことをお勧めします。コメントはアクセス コントロール エントリ(ACE)のデータ構造体に格納されるため、ランタイム パフォーマンスに影響はありません。

次に、コメントを指定するためのコマンド構文を示します。

access-list acl_id remark text
 

acl_id には ACL 識別情報を指定し、text には最大 100 文字のテキストを指定します。100 文字を超えて入力すると、その文字が切り捨てられます。remark キーワード後、テキストの開始位置は 1 で、先頭のスペースを使用できます。末尾のスペースは無視されます。

コメントを削除するには、コマンドの前に no を付けます。コマンドラインの末尾のスペースは、一致する結果に影響を及ぼしません。

ACL の一番上に ACL コメントを追加できるようにするために、アクセス コントロール エントリを持たず、コメントを含む、「空の」ACL を作成できます。この種類の ACL からすべてのコメントを削除すると、ACL も削除されます。

TurboACL の使用方法

この項では、PIX Firewall Version 6.2 で導入された TurboACL 機能の使用方法について説明します。次の項目について説明します。

「概要」

「TurboACL のグローバル設定」

「TurboACL の個別設定」

「TurboACL 設定の表示」

概要

アクセス リストは、通常、複数のアクセス リスト エントリで構成され、PIX Firewall によって内部的にリンク リストとして整理されています。パケットがアクセス リストの制御を受けるとき、PIX Firewall は、このリンク リストを線形検索して、一致する要素を検出します。一致した要素は検査され、パケットを送信するか廃棄するかを決定します。線形検索の場合、平均検索時間は、リンク リストのサイズに比例して大きくなります。

TurboACL は、PIX Firewall Version 6.2 で導入された機能であり、エントリ数が多いアクセス制御リストの平均検索時間を短縮します。TurboACL 機能は、PIX Firewall に ACL 用のテーブルを コンパイルさせ、その結果、長い ACL の検索が速くなります。

この機能は、PIX Firewall 全体に対してイネーブルにしてから特定の ACL に対してディセーブルにすることも、特定の ACL に対してだけイネーブルにすることもできます。短い ACL では、TurboACL によるパフォーマンスの向上は見られません。TurboACL 検索には、ACL がどれだけ短くても、エントリが 12 ~ 18 個の通常の ACL 検索とほぼ同じ時間が必要です。この理由から、TurboACL 機能は、イネーブルになった場合でも、エントリが 19 以上の ACL に対してだけ適用されます。


) ターボ対応 ACL に対して要素の追加または削除を行う場合は、その ACL に関連する内部データ テーブルが再生成されるため、PIX Firewall CPU にかかる負荷が大きくなります。


TurboACL 機能には相当なメモリ量が必要であるため、PIX 525 または PIX 535 などのハイエンド PIX Firewall モデルに最適です。TurboACL の最小メモリ要件は 2.1 MB であり、ACL 要素 2000 個あたり約 1 MB のメモリが必要です。実際に必要なメモリ量は、ACL 要素の数だけでなく、エントリの複雑さにも左右されます。


) メモリが限定された PIX Firewall モデル(PIX 501 など)で、TurboACL 機能を実装すると、Cisco PIX Device Manager(PDM)をロードできなくなるなどの問題が起こる場合があります。TurboACL をイネーブルにした後でメモリの問題が発生した場合は、no access-list compiled コマンドを使用してディセーブルにします。


TurboACL のグローバル設定

PIX Firewall 全体に対して、TurboACL をイネーブルにする構文は、次のとおりです。

access-list compiled

 

これによって、エントリが 19 以上の ACL すべてに TurboACL が設定されます。このコマンドで、TurboACL プロセスは既存のすべての ACL をスキャンすることになります。スキャンの間、TurboACL プロセスは、ACE が 19 以上の ACL と、まだターボコンパイルされていない ACL すべてにマークを付け、ターボコンパイルします。

デフォルトである no access-list compiled コマンドによって、TurboACL プロセスは、コンパイル済みのすべての ACL をスキャンして、すべてに非ターボとしてマークを付けます。このコマンドは、既存のすべての TurboACL 構造体の削除も行います。

PIX Firewall が動作している場合は、 access-list compiled コマンドは、各 ACL にターボ設定設定済としてマークを付け、 no access-list compiled コマンドは、各 ACL に非ターボとしてマークを付けます。

TurboACL の個別設定

個別の TurboACL コマンドは、TurboACL がグローバルにイネーブルになっていない場合に、個々の ACL に対してターボ設定を個別にイネーブルにするために使用できます。また、TurboACL のグローバル設定後、個別の TurboACL コマンドを使用して、個々の ACL のターボコンパイル機能をディセーブルにすることもできます。このコマンドの構文は次のとおりです。

access-list acl_name compiled
 

このコマンドは、特定の ACL に対して TurboACL を個々にイネーブルまたはディセーブルにするために使用します。 acl_name には、既存の ACL を指定します。このコマンドによって TurboACL プロセスは、 acl_name で指定した ACL が 19 個以上の ACE を持ち、まだターボコンパイルされていない場合は、その ACL にマークを付け、ターボコンパイルします。

このコマンドの no 形式を入力すると、TurboACL プロセスはその ACL に関連する TurboACL 構造体を削除し、その ACL に非ターボとしてマークを付けます。

TurboACL 設定の表示

show access-list コマンドは、個別にターボコンパイル済みの ACL それぞれのメモリ使用量、およびターボコンパイル済み ACL すべてに対する共有メモリ使用量を表示します。ターボコンパイルされた ACL がない場合は、ターボ統計情報は表示されません。このコマンドは、ある ACL 内の ACE の個数、および ACL が TurblACL によって設定済みであるかどうかを表示します。ACL は、ターボ用に設定されても、ACE の個数がしきい値を超えなければ、コンパイルされないことに注意してください。そのような場合、このコマンドは TurboACL 統計情報出力に、ACL がターボ設定済みであるが、ACL のエントリが 1 つもないと表示します。

例3-5 は、 show access-list コマンドの出力例です。

例3-5 TurboACL 統計情報

pix# show access-list
TurboACL statistics:
ACL State Memory(KB)
--------------------- ----------- ----------
acl_foo Operational 5
Acl_bar Operational 2
Shared memory usage: 2046 KB
access-list compiled
access-list acl_foo turbo-configured; 19 elements
access-list acl_foo permit tcp any host 10.0.0.252 (hitcnt=0)
access-list acl_foo permit tcp any host 10.0.0.255 (hitcnt=0)
access-list acl_foo permit tcp any host 10.0.0.253 (hitcnt=0)
access-list acl_foo permit tcp 10.1.0.0 255.0.0.0 host 10.0.0.254 eq telnet (hitcnt=2)
access-list acl_foo permit tcp 10.1.0.0 255.0.0.0 host 10.0.0.254 eq 1 (hitcnt=0)

アクセス リストのダウンロード

PIX Firewall は、ユーザごとのアクセス リスト許可をサポートしており、この機能によって、ユーザは各自の個別アクセス リスト エントリに許可されている事項に限り実行できます。この項では、この機能を実装する方法について説明します。次の項目を取り上げます。

「ダウンロード可能な ACL の設定」

「ネームド アクセス リストのダウンロード」

「無名のアクセス リストのダウンロード」

「ソフトウェアの制約事項」

ダウンロード可能な ACL の設定

この機能では、ユーザごとのアクセス リストを AAA サーバ上で設定した後、ユーザ認証時にそのアクセス リストを PIX Firewall にダウンロードできます。

ユーザごとのアクセス リストは、PIX Firewall Version 6.2 以降では、AAA サーバからダウンロードでき、PIX Firewall 上で別個に設定する必要はありません。この機能によって、個々のユーザに対するアクセス リストを使用するときのスケーラビリティが向上します。


) ダウンロード可能な ACL は、RADIUS サーバに限りサポートされており、TACACS+ サーバではサポートされていません。


次に、アクセス リストを AAA サーバから PIX Firewall にダウンロードする方法を 2 つ示します。

ネームド アクセス リストのダウンロード:ユーザ認証ファイル(実際の)を Shared Profile Component(SPC)を含むように設定した後、SPC をアクセス リスト名と実際のアクセス リストを含むように設定します。この方法は、大きなアクセス リストのダウンロード要求が頻繁に行われる場合に使用します。

無名のアクセス リストのダウンロード:AAA サーバ上でユーザ認証プロファイルをダウンロードする PIX Firewall アクセス リストを含むように設定する。この方法は、同一のアクセス リストに対する要求が頻繁には行われない場合に使用します。

ネームド アクセス リストのダウンロード

ユーザ認証時にネームド アクセス リストをダウンロードするには、Cisco Secure ACS 3.0 以降で、次の手順を実行します。


ステップ 1 Shared Profile Component(SPC) メニュー項目から、 Downloadable PIX ACLs を選択します。

ステップ 2 Add をクリックして ACL 定義を追加し、ACL の名前、説明、および実際の定義内容を入力します。

ACL 定義は、1 つまたは複数の PIX Firewall access-list コマンドで構成され、各コマンドは別々の行に記述します。各コマンドは、 access-list というキーワードとアクセス リスト名を指定せずに入力します(この 2 つは不要なため)。コマンド行の残りの部分は、PIX Firewall access-list コマンドの構文と意味の規則に従う必要があります。PIX Firewall Syslog メッセージは、ダウンロードされた access-list コマンドにエラーがある場合にログに記録されます。

次に、PIX Firewall にダウンロードされる前の ACL 定義の例を示します。

+--------------------------------------------+
| Shared profile Components |
| |
| Downloadable PIX ACLs |
| |
| Name: acs_ten_acl |
| Description: 10 PIX access-list commands |
| |
| |
| ACL Definitions |
| |
| permit tcp any host 10.0.0.254 |
| permit udp any host 10.0.0.254 |
| permit icmp any host 10.0.0.254 |
| permit tcp any host 10.0.0.253 |
| permit udp any host 10.0.0.253 |
| permit icmp any host 10.0.0.253 |
| permit tcp any host 10.0.0.252 |
| permit udp any host 10.0.0.252 |
| permit icmp any host 10.0.0.252 |
| permit ip any any |
+--------------------------------------------+
 

ステップ 3 定義された ACL をユーザ設定またはグループ設定に含めるように、 User Setup または Group Setup を使用して、Cisco Secure ACS ユーザまたはそのグループを設定します。

コンフィギュレーションが正しく設定されると、ユーザ認証要求で、最初に、アクセス リスト名が PIX Firewall に送信されるようになります。PIX Firewall は、ネームド ACL がすでに存在するかどうかを判断し、存在しない場合は、その ACL をダウンロードするように要求します。ネームド ACL は、PIX Firewall 上に存在する限り、再度ダウンロードされることはありません。

ダウンロードが成功すると、PIX Firewall 上の ACL は次のような名前が付けられます。

#ACSACL#-acl_name-12345678
 

acl_name には SPC に定義されているアクセス リストの名前が入り、12345678 には固有のバージョン ID が入ります。ネームド アクセス リストが、ACS 上で設定されていないか、その他の理由でダウンロードが失敗した場合は、Syslog メッセージが記録されます。

PIX Firewall にダウンロードされた後の ACL 定義は、次のようになります。

access-list #ACSACL#-PIX-acs_ten_acl-3b5385f7 permit tcp any host 10.0.0.254
access-list #ACSACL#-PIX-acs_ten_acl-3b5385f7 permit udp any host 10.0.0.254
access-list #ACSACL#-PIX-acs_ten_acl-3b5385f7 permit icmp any host 10.0.0.254
access-list #ACSACL#-PIX-acs_ten_acl-3b5385f7 permit tcp any host 10.0.0.253
access-list #ACSACL#-PIX-acs_ten_acl-3b5385f7 permit udp any host 10.0.0.253
access-list #ACSACL#-PIX-acs_ten_acl-3b5385f7 permit icmp any host 10.0.0.253
access-list #ACSACL#-PIX-acs_ten_acl-3b5385f7 permit tcp any host 10.0.0.252
access-list #ACSACL#-PIX-acs_ten_acl-3b5385f7 permit udp any host 10.0.0.252
access-list #ACSACL#-PIX-acs_ten_acl-3b5385f7 permit icmp any host 10.0.0.252
access-list #ACSACL#-PIX-acs_ten_acl-3b5385f7 permit ip any any
 

ステップ 4 次のステップを実行して、ダウンロード可能な ACL を使用できるようにします。

a. Cisco Secure ACS メイン メニューの Interface Configuration をクリックします。

b. Interface Configuration メニューの Advanced Options をクリックします。

c. 次のオプションの一方または両方を選択します。

User-Level Downloadable ACLs

Group-Level Downloadable ACLs

無名のアクセス リストのダウンロード

ユーザ認証時に名前を使用しないでアクセス リストをダウンロードするには、AAA RADIUS サーバで次の手順を実行します。

次の形式で、ユーザ認証プロファイルの CISCO 固有 VSA(アトリビュート 26) 文字列を設定します。

ip:inacl#nnn=ACL_COMMAND
 

パラメータは次のとおりです。

ip:inacl# は、入力 ACL を指定する文字列です。

nnn は、0 ~ 999999999 の範囲にある番号であり、PIX Firewall 上で設定する access-list コマンド文の順番を指定します。このパラメータを省略すると、順番は 0 となります。

ACL_COMMAND は、1 つ以上の PIX Firewall access-list コマンドを表します。

文は、コロン(:)で区切ります。文には、 access-list コマンドおよびアクセス リスト名は含めません。文字列「ip:inacl# nnn =」は、PIX Firewall アクセス リストを定義するため、同一のユーザ認証ファイルに複数設定できます。複数のエントリに同じシーケンス番号がある場合は、Cisco 固有 VSA アトリビュート内の出現順と同じ順番で設定されます。

複数の要素を設定するために複数の行を使用できますが、1 つの要素は、1 行内に完全に収まる必要があります。たとえば、 permit tcp any any コマンドを、2 行に分けることはできません。

PIX Firewall は、無名のダウンロード可能な ACL がダウンロードされると、次の形式で名前を割り当てます。

AAA-user-username
 

username は、認証を受けるユーザの名前です。

access-list コマンド文に、構文エラーまたは意味上のエラーがある場合、または no access-list コマンドが使用されている場合(空のアクセス リスト)は、Syslog メッセージが生成されます。しかし、 access-list コマンド 1 つのエラーで、ダウンロードされた ACL 全体の処理が打ち切られることはありません。

例3-6 ダウンロード可能なアクセス リストの設定例

次の設定は、 Group Setup>Cisco IOS/PIX RADIUS Attributes 下の [00901] cisco-av-pair フィールドに、ユーザ Admin に対して入力されたものです。

ip:inacl#1=permit tcp 10.1.0.0 255.0.0.0 10.0.0.0 255.0.0.0
ip:inacl#99=deny tcp any any
ip:inacl#2=permit udp 10.1.0.0 255.0.0.0 10.0.0.0 255.0.0.0
ip:inacl#99=deny udp any any
ip:inacl#3=permit icmp 10.1.0.0 255.0.0.0 10.0.0.0 255.0.0.0
 

結果として PIX Firewall 上にダウンロードされた access-list コマンドは次のとおりです。

access-list AAA-user-foo; 5 elements
access-list AAA-user-foo permit tcp 10.1.0.0 255.0.0.0 10.0.0.0 255.0.0.0
access-list AAA-user-foo permit udp 10.1.0.0 255.0.0.0 10.0.0.0 255.0.0.0
access-list AAA-user-foo permit icmp 10.1.0.0 255.0.0.0 10.0.0.0 255.0.0.0
access-list AAA-user-foo deny tcp any any
access-list AAA-user-foo deny udp any any
 

ソフトウェアの制約事項

RADIUS 経由でアクセス リストをダウンロードする場合は、次の制約事項が適用されます。

RADIUS パケット サイズは、4096 に制限されますが、アクセス リストの実際のサイズは、ほかの可変長の RADIUS アトリビュートの存在によって大幅に変わる場合があります。

アクセス リストの指定に使用される各 RADIUS アトリビュート フィールドは、253 バイトに制限されています。


) PIX Firewall と Cisco IOS アクセス リスト間に矛盾があると、ダウンロードされたアクセス リストにもその矛盾が存在します。つまり、AAA サーバ上の PIX Firewall 用に定義されたアクセス リストは、Cisco IOS ソフトウェアにダウンロードされた場合、有効でない可能性があり、その逆もあります。


オブジェクト グループ化機能によるアクセス制御の簡略化

この項では、PIX Firewall Version 6.2 で導入されたオブジェクト グループ化機能を使用して、複雑なアクセス制御ポリシーを簡略にする方法について説明します。次の項目について説明します。

「オブジェクト グループ化機能の動作」

「サブコマンド モードの使用」

「アクセス制御でのオブジェクト グループの設定と使用」

「プロトコル オブジェクト グループの設定」

「ネットワーク オブジェクト グループの設定」

「サービス オブジェクト グループの設定」

「ICMP タイプ オブジェクト グループの設定」

「オブジェクト グループのネスト」

「設定されている オブジェクト グループの表示」

「オブジェクト グループの削除」

オブジェクト グループ化機能の動作

オブジェクト グループ化機能は、複雑なセキュリティ ポリシーの記述に必要なアクセス ルールの数を減らす 1 つの方法です。アクセス ルールは、次のタイプのオブジェクトに適用できます。

クライアント ホスト: HTTP、Telnet、FTP、Voice over IP などのサービス要求を行う

サーバ ホスト:サービス要求に応答する

サービス タイプ:サービスは、周知のチャネル、動的に割り当てられるチャネル、または二次チャネルの TCP ポートまたは UDP ポートに割り当てられる

サブネット:サーバ ホストまたはクライアント ホストが位置する内部または外部のサブネットワークのネットワーク アドレス

ICMP タイプ:ECHO-REPLY など

アクセス ルールは、上記のオブジェクトの特定の組み合せに一致するトラフィックを許可または拒否します。たとえば、あるアクセス ルールでは、指定のクライアントが特別なサーバ ホストへアクセスして、サービスを要求することを PIX Firewall が許可します。クライアント、ホスト、およびサービスがそれぞれ 1 つだけ存在する場合は、必要なアクセス ルールは、1 つです。しかし、クライアント、サーバ、およびサービスの数が増えるにつれて、必要なアクセス ルールの数も急激に増えます。

オブジェクト グループ化機能は、同じようなタイプのオブジェクトを 1 つのグループにまとめ、1 つのアクセス ルールをそのグループ内のオブジェクトすべてに適用できるようにする機能です。たとえば、次の 3 つのオブジェクト グループを考えてみます。

MyServices:内部ネットワークへのアクセスが許可されるサービス要求の TCP/UDP ポート番号を含む

TrustedHosts:最大範囲のサービスとサーバへのアクセスが許可されるホスト アドレスとネットワーク アドレスを含む

PublicServers:最大のアクセスが提供されるサーバのホスト アドレスを含む

上記のグループを作成すると、1 つのアクセス ルールを使用して、信頼できるホストが公開サーバのグループにサービス要求を許可することが可能になります。オブジェクト グループは、その中に別のオブジェクト グループを含む場合も、別のオブジェクト グループの中に含まれる場合もあります。

オブジェクト グループ化機能によって、特別なセキュリティ ポリシーの実装に必要なアクセス ルールの数は劇的に減少します。たとえば、3300 のアクセス ルールが必要なカスタマー ポリシーでも、ホストとサービスを適切にグループ化すると、わずか 40 のルールで済みます。

サブコマンド モードの使用

object-group コマンドの一般的な構文は、次のとおりです。

object-group object-type grp-id
 

object-type に、次のオブジェクト タイプの 1 つを指定します。

プロトコル:IP プロトコルのグループ。キーワード icmp ip tcp 、または udp の 1 つの場合と、IP プロトコル番号を表す 1 ~ 254 の範囲にある整数の場合があります。ICMP、TCP、および UDP を含む任意のインターネット プロトコルと照合するには、キーワード ip を使用します。

サービス:各サービスに割り当てられた TCP または UDP ポート番号のグループ。

icmp タイプ:アクセスを許可または拒否する ICMP メッセージ タイプのグループ。

ネットワーク:ホストまたはサブネットのグループ。

grp-id に、グループを説明する名前を指定します。

object-group コマンドを入力すると、プロンプトが、入力されたオブジェクト タイプに適したサブコマンド モードに変化します。サブコマンド モードで入力したコマンドが、 object-group コマンドで指定したオブジェクト タイプとグループ名に適用されます。

各サブコマンドのプロンプトは、次のとおりです。

pix(config-protocol)#
pix(config-service)#
pix(config-icmp-type)#
pix(config-network)#
 

サブコマンド モードで疑問符(?)を入力すると、使用可能なサブコマンドが表示されます。

サブコマンド モードでは、オブジェクト グループ化サブコマンドだけでなく、その他の PIX Firewall コマンド(たとえば、 show コマンドと clear コマンド)も入力できます。 access-list, など、有効な設定コマンドを入力するとサブコマンド モードは終了します。サブコマンド モードは、 exit コマンドまたは quit コマンドを入力しても、終了できます。サブコマンドは、次のコマンドで表示または保存された場合は、字下げされて表示されます。

show config

write

config

アクセス制御でのオブジェクト グループの設定と使用

オブジェクト グループをアクセス リストの設定に使用するには、次の手順を実行します。


ステップ 1 設定するグループのタイプに適したサブコマンド モードに入ります。

object-group コマンドの構文は次のとおりです。

pix(config)# object-group {protocol|network|icmp-type} grp-id
pix(config)# object-group service grp-id {tcp|udp|tcp-udp}
 

最初のパラメータで、設定するオブジェクト グループのタイプを指定します。2 番目のパラメータ grp-id には、グループを説明する名前を指定します。 object-group コマンドを入力すると、システムは設定するオブジェクトのタイプに適したサブコマンド モードに入ります。

たとえば、次のコマンドは信頼できるホストを含むオブジェクト グループを指定します。

pix(config)# object-group network TrustedHosts
 

このコマンドを入力すると、システムは、ネットワーク オブジェクト サブコマンド モードに入り、次のような PIX Firewall システム プロンプトが表示されます。

pix(config-network)#
 

このプロンプトから入力するサブコマンドはすべて、object-group コマンドで指定したオブジェクト グループに適用されます。この例では、オブジェクト グループ名は TrustedHosts です。

ステップ 2 オブジェクト グループのメンバーを定義します。

サブコマンド モードで許可されているサブコマンドを使用して、オブジェクト グループのメンバーを定義します。 group-object サブコマンドを使用して、現在のオブジェクト グループ内に 1 つのサブグループを追加します。

次に例を示します。

pix(config)# object-group network ftp_servers
pix(config-network)# network-object host 209.165.201.3
pix(config-network)# network-object host 209.165.201.4
pix(config-network)# exit
pix(config)# object-group network TrustedHosts
pix(config-network)# network-object host sjc.eng.ftp
pix(config-network)# network-object host 209.165.201.1
pix(config-network)# network-object 192.168.1.0 255.255.255.0
pix(config-network)# group-object ftp_servers
 

上記のコマンドは、次のオブジェクトをグループ TrustedHosts に追加します。

1 つのホストをホスト名で

1 つのホストをネットワーク アドレスで

1 つのサブネットワーク

1 つのサブグループ( ftp_servers)

ステップ 3 (オプション)サブコマンド モードで次のコマンドを入力して、オブジェクト グループを説明します。

pix(config-network)# description text
 

このコマンドによって、オブジェクト グループに 最大 200 文字の説明を追加できます。 text には、このグループを説明するために入力する情報を指定します。

ステップ 4 次のコマンドを入力して、設定モードに戻ります。

pix(config-network)# exit
 

ステップ 5 (オプション)オブジェクト グループの設定が成功したかどうか確認します。

pix(config)# show object-group [network | services | icmp-type] [grp-id]
 

このコマンドによって、指定したタイプの現在設定されているオブジェクト グループのリストが表示されます。パラメータを指定しなかった場合は、すべてのオブジェクト グループが表示されます。

次に例を示します。

pix(config)# show object-group
object-group network ftp_servers
description: This is a group of FTP servers
network-object host 209.165.201.3
network-object host 209.165.201.4
object-group network TrustedHosts
network-object host 209.165.201.1
network-object 192.168.1.0 255.255.255.0
group-object ftp_servers
 

ステップ 6 access-list コマンドを、オブジェクト グループに適用します。


) PIX Firewall Version 6.0 以降または Version 5.2 が動作している場合は、access-list コマンドの使用を推奨します。conduit コマンドも、access-list コマンドと同様の機能を提供しますが、これまでの PIX Firewall コンフィギュレーションとの下位互換性のためだけに提供されています。


conduit コマンドまたは access-list コマンドのパラメータに、対応するオブジェクト グループを指定します。

protocol パラメータに、プロトコル オブジェクト グループを指定します。

ローカル IP アドレスとリモート IP アドレスおよびサブネット マスクに、ネットワーク オブジェクト グループを指定します。

port パラメータに、サービス オブジェクト グループを指定します。

icmp-type パラメータに、icmp タイプ オブジェクト グループを指定します。


) 空のオブジェクト グループは、どのコマンドに対しても使用できません。


たとえば、次のコマンドは、オブジェクト グループ TrustedHosts のメンバーへのアクセスを許可します。

pix(config)# access-list acl permit tcp object-group TrustedHosts host 1.1.1.1
 

上記のコマンドの詳細な構文については、『 Cisco PIX Firewall Command Reference 』の access-list コマンドまたは conduit コマンドを参照してください。

ステップ 7 (オプション) show access-list コマンドを使用して、拡張アクセス リスト エントリを表示します。

pix(config)# show access-list
access-list acl permit tcp host 209.165.201.1 host 1.1.1.1
access-list acl permit tcp 192.168.1.0 255.255.255.0 host 1.1.1.1
access-list acl permit tcp host 209.165.201.3 host 1.1.1.1
access-list acl permit tcp host 209.165.201.4 host 1.1.1.1
 

show config コマンドおよび write コマンドでは、設定したときと同じ方法でコマンドが表示されます。



 

プロトコル オブジェクト グループの設定

この項では、プロトコル オブジェクト グループの設定に必要なコマンドについて説明します。

次のコマンドを入力して、プロトコル オブジェクト サブコマンド モードをイネーブルにします。

pix(config)# object-group protocol grp-id
 

次のコマンドを入力して、現在のプロトコル オブジェクト グループに 1 つのプロトコルを追加します。

pix(config-protocol)# protocol-object protocol
 

protocol には、特定の IP プロトコルの数値識別子(1 ~ 254)またはリテラル キーワード識別子( icmp tcp 、または udp )を指定します。すべての IP プロトコルを含める場合は、キーワード ip を使用します。

 

次のコマンドを入力して、 grp-id によって指定したオブジェクト グループを現在のプロトコル オブジェクト グループに追加します。

pix(config-protocol)# group-object grp-id
 

ネットワーク オブジェクト グループの設定

この項では、ネットワーク オブジェクト グループの設定に必要なコマンドについて説明します。

次のコマンドを入力して、ネットワーク オブジェクト サブコマンド モードをイネーブルにします。

pix(config)# object-group network grp-id
 

次のコマンドを入力して、現在のネットワーク オブジェクト グループに 1 つのホスト名または IP アドレス(サブネットワーク マスクを付けて)を追加します。

pix(config-network)# network-object host host_addr | net_addr netmask
 

host_addr に、ネットワーク オブジェクト グループに追加するホストの IP アドレスを指定します。 net_addr netmask に、サブネットワークのネットワーク番号とサブネット マスクを指定します。

次のコマンドを入力して、 grp-id によって指定したオブジェクト グループを現在のプロトコル オブジェクト グループに追加します。

pix(config-network)# group-object grp-id
 

サービス オブジェクト グループの設定

この項では、サービス オブジェクト グループの設定に必要なコマンドについて説明します。

次のコマンドを入力して、サービス オブジェクト サブコマンド モードをイネーブルにします。

pix(config)# object-group service {tcp|udp|tcp-udp}
 

次のコマンドを入力して、サービス オブジェクト グループに TCP ポート番号または UDP ポート番号を 1 つ追加します。

pix(config-service)# port-object eq service grp-id
 

次のコマンドを入力して、ある範囲の TCP ポート番号または UDP ポート番号をサービス オブジェクト グループに追加します。

pix(config-service)# port-object range begin_service end_service
 

次のコマンドを入力して、 grp-id によって指定したオブジェクト グループを現在のサービス オブジェクト グループに追加します。

pix(config-service)# group-object grp-id
 

ICMP タイプ オブジェクト グループの設定

この項では、icmp タイプ オブジェクト グループの設定に必要なコマンドについて説明します。

次のコマンドを入力して、icmp タイプ オブジェクト サブコマンド モードをイネーブルにします。

pix(config)# object-group icmp-type grp-id
 

次のコマンドを入力して、サービス オブジェクト グループに 1 つの ICMP タイプを追加します。

pix(config-icmp-type)# icmp-object icmp-type
 

icmp-type に数値を指定します。指定できる値の定義については、『 CiscoPIX Firewall Command Reference 』の access list コマンドを参照してください。

次のコマンドを入力して、 grp-id によって指定したオブジェクト グループを現在の icmp タイプ オブジェクト グループに追加します。

pix(config-icmp-type)# group-object grp-id

オブジェクト グループのネスト

object-group コマンドによって、同じタイプのオブジェクトを論理的にグループ化し、構造化コンフィギュレーションのために階層型オブジェクト グループを構築できます。あるオブジェクト グループを別のオブジェクト グループ内にネストするには、次の手順を実行します。


ステップ 1 次の例のように、別のオブジェクト グループ内にネストする下位のオブジェクト グループにグループ ID を割り当てます。

pix(config)# object-group protocol Group_A
 

ステップ 2 下位のオブジェクト グループに適切なタイプのオブジェクトを追加します。

pix(config-protocol)# protocol-object 1
pix(config-protocol)# protocol-object 2
pix(config-protocol)# protocol-object 3
 

ステップ 3 上位のオブジェクト グループに、グループ識別子を割り当てます。

pix(config)# object-group protocol Group_B
 

ステップ 4 下位のオブジェクト グループを、上位のグループに追加します。

pix(config-protocol)# group-object A
 

ステップ 5 その他のオブジェクトがあればすべて、そのオブジェクトが必要とされるグループに追加します。

pix(config-protocol)# protocol-object 4

 

この例の結果、Group_B の構成は次のように設定した場合と同じになります。

pix(config-protocol)# protocol-object 1
pix(config-protocol)# protocol-object 2
pix(config-protocol)# protocol-object 3
pix(config-protocol)# protocol-object 4
 


 

設定されている オブジェクト グループの表示

現在設定されているオブジェクト グループのリストを表示するには、 show object-group コマンドを使用します。

show object-group [ protocol | network | service | icmp-type ] | [id grp_id]
 

列挙されているパラメータを使用して、表示を特定のオブジェクト タイプに限定するか、特定のオブジェクト グループを名前で指定します。システムは、現在設定されているオブジェクト グループのうち、このコマンドで指定されたグループのリストを表示します。 grp_id に、特定のオブジェクト グループの名前を指定します。パラメータを指定しないでコマンドを入力すると、システムは設定されているオブジェクト グループをすべて表示します。

例3-7 に、 show object-group コマンドの出力例を示します。

例3-7 Show object-group コマンドの出力

pix(config)# show object-group
object-group network ftp_servers
description: This is a group of FTP servers
network-object host 209.165.201.3
network-object host 209.165.201.4
object-group network TrustedHosts
network-object host 209.165.201.1
network-object 192.168.1.0 255.255.255.0
group-object ftp_servers
 

オブジェクト グループの削除

あるタイプのグループすべてのオブジェクト グループ設定を削除するには、 clear object-group コマンドを使用します。

pix(config)# clear object-group [protocol | network | services | icmp-type]
 

パラメータを指定しないで clear object-group コマンドを入力すると、システムは、設定されているオブジェクト グループをすべて削除します。

特定のオブジェクト グループを削除するには、次のコマンドを使用します。

pix(config)# no object-group grp_id
 

grp_id に、削除する特定のグループに割り当てられている識別子を指定します。

 

) 別のコマンドで使用されている場合は、オブジェクト グループを削除したり、オブジェクト グループを空にすることはできません。


発信接続のフィルタリング

この項では、Web トラフィックをフィルタリングして、セキュリティ リスクや不適切な使用を減らす方法について説明します。次の項目を取り上げます。

「ActiveX オブジェクトのフィルタリング」

「Java アプレットのフィルタリング」

「インターネット フィルタリング サーバによる URL のフィルタリング」

ActiveX オブジェクトと Java アプレットは、保護されたネットワーク上のホストとサーバを攻撃するコードを含むことがあるため、セキュリティ リスクを引き起こす可能性があります。PIX Firewall filter コマンドを使用して、ActiveX オブジェクトをディセーブルにすること、および Java アプレットを削除することが可能です。

URL フィルタリング サーバと連携する filter コマンドを使用して、サイトでの使用には不適切な URL を削除できます。

ActiveX オブジェクトのフィルタリング

ActiveX コントロール(従来の OLE コントロールまたは OCX コントロール)は、Web ページなどのアプリケーションに挿入できるコンポーネントです。これらのコントロールにはカスタム フォームやカレンダーなど、情報の収集と表示に使用されるサード パーティ製の多様なフォームが含まれています。ActiveX は、技術的に、ネットワーク クライアントに対して多くの問題を発生させる可能性があります。たとえば、ワークステーションの障害の原因となる、ネットワーク セキュリティ問題を引き起こす、サーバへの攻撃に利用されるなどの恐れがあります。

Java アプレット フィルタリング コマンドの構文は、次のとおりです。

filter activex port[-port] local_ip mask foreign_ip mask
 

このコマンドは、HTML <object> コマンドを、HTML Web ページ内でコメントアウトすることでブロックします。この機能は、filter コマンドに activex オプションを付加して追加されたものです。


) <object> タグは、Java アプレット、イメージ ファイル、およびマルチメディア オブジェクトに使用することもできますが、これらも新しいコマンドによってブロックされる可能性があります。


<object> または </object> という HTML タグが複数のネットワーク パケットに分割されている場合、またはタグ内のコードが MTU のバイト数より長い場合、PIX Firewall はそのタグをブロックできません。

HTML ファイルの Java および ActiveX のフィルタリングは、<APPLET> タグ、</APPLET> タグ、<OBJECT CLASSID> タグ、および </OBJECT> タグを選別し、コメントで置き換えることによって実行されます。ネストされたタグのフィルタリングは、最上位タグをコメントに変換することによってサポートされています。


) ActiveX ブロックは、ユーザが alias コマンドによって参照される IP アドレスにアクセスしている場合は実行されません。


Java アプレットのフィルタリング

filter java コマンドは、発信接続から PIX Firewall に戻る Java アプレットをフィルタリングで排除します。それでもユーザは HTML ページを受信できますが、Java アプレットの Web ページの発信元がコメントアウトされるため、アプレットは実行できなくなります。Java アプレット フィルタリング コマンドの構文は、次のとおりです。

filter java port[-port] local_ip mask foreign_ip mask
 

local_ip または foreign_ip の IP アドレスに 0 を使用すると、すべてのホストを指定したことになります。


) Java アプレットが <object> タグ内にあることがわかっている場合は、filter activex コマンドを使用して削除します。


すべての発信接続に対して Java アプレットをブロックする場合は、次のコマンドを使用します。

filter java 80 0 0 0 0
 

このコマンドは、Java アプレット ブロックが、あらゆるローカル ホストからあらゆる外部ホストへのポート 80 の Web トラフィックに対して、適用されることを指定しています。保護されたネットワーク上のホストに Java アプレットがダウンロードされないようにするには、次のようなコマンドを入力します。

filter java http 192.168.3.3 255.255.255.255 0 0
 

このコマンドは、ホスト 192.168.3.3 による Java アプレットのダウンロードをブロックします。

概要

filter url コマンドでは、次の URL フィルタリング アプリケーションのいずれかを使用してフィルタリングする Web トラフィックを指定できます。

Websense Enterprise Web フィルタリング アプリケーション:PIX Firewall Version 5.3 以降でサポートされている

IFP 対応デバイスを対象にした N2H2 によるフィルタリング:PIX Firewall Version 6.2 以降でサポートされている

ユーザが、ある Web サイトに HTTP 要求を発行した場合、その要求は、PIX Firewall によって、Web サーバとフィルタリング サーバの両方に同時に送信されます。フィルタリング サーバが接続を許可した場合、PIX Firewall は、Web サイトからの応答が、元の要求を発行したユーザに到着することを許可します。フィルタリング サーバが接続を拒否し場合、PIX Firewall は、ユーザをブロック ページにリダイレクトし、アクセスが拒否されたことを示します。PIX Firewall は、URL 検証とロギングの目的で、認証されたユーザ名、発信元 IP アドレス、および宛先 IP アドレスをフィルタリング サーバに送信します。


) フィルタリング サーバが PIX Firewall から離れている場合は、URL フィルタリングにより、Web サイトへのアクセス時間が大幅に長くなることがあります。


フィルタリング サーバの指定

フィルタリング サーバのアドレスの指定は、使用するフィルタリング サーバのタイプに適した形式の url-server コマンドを使用して行います。

Websense の場合は次のとおりです。

pix(config)# url-server [(if_name)] host local_ip [timeout seconds] [protocol TCP [version 1 | 4] | UDP]
 

N2H2 の場合は次のとおりです。

pix(config)# url-server [(if_name)] vendor n2h2 host local_ip[:port number] [timeout <seconds>] [protocol TCP | UDP]
 

if_name には、フィルタリングをイネーブルにする PIX Firewall インターフェイスの名前を指定します。次の例のように、インターフェイス名を丸カッコで囲みます。

url-server (inside) host 192.168.1.1
 

このパラメータを指定しない場合、デフォルトで、フィルタリングは内部インターフェイスに適用されます。

local_ip には、フィルタリング サーバの IP アドレスを指定します。 seconds には、PIX Firewall の最大待機時間(この時間内に応答がなければフィルタリング サーバへの接続を取りやめる)の秒数を指定します。

TCP を使用するか UDP を使用するかを指定するには、protocol オプションを使用します。Websense サーバでは、使用する TCP のバージョンも指定できます。TCP version 1 がデフォルトです。TCP version 4 では、PIX Firewall がすでにユーザを認証している場合、PIX Firewall は認証したユーザ名と URL ロギング情報を Websense サーバに送信できます。


) フィルタリング サーバが PIX Firewall から離れている場合は、URL フィルタリングにより、Web サイトへのアクセス時間が大幅に長くなることがあります。


フィルタリング サーバは、 url-server コマンドを複数回入力すれば、複数指定できます。最初に指定するフィルタリング サーバが、一次フィルタリング サーバとなります。一次フィルタリング サーバを変更する場合は、そのサーバのアドレスを指定した no url-server コマンドを使用します。次に、一次フィルタリング サーバにするサーバのアドレスを指定した url-server コマンドを発行します。


) 設定後、url サーバ タイプを切り替えると、既存の url サーバ設定が破棄されるため、新しいフィルタリング サーバ タイプに対する設定を再入力する必要があります。


保留中 URL に対する HTTP 応答のバッファリング

デフォルトでは、ユーザが特定の Web サイトに接続する要求を発行した場合、その要求は
PIX Firewall によって Web サーバとフィルタリング サーバの両方に同時に送信されます。フィルタリング サーバが Web コンテンツ サーバより早く応答しなかった場合、Web コンテンツ サーバからの応答は廃棄されます。URL 保留ブロック バッファがイネーブルの場合は、Web コンテンツ サーバからの応答はバッファリングされ、フィルタリング サーバによって接続が許可された場合に、要求ユーザに転送されます。

URL 保留ブロック バッファをイネーブルにするには、次のコマンドを入力します。

url-block block block-buffer-limit
 

block-buffer-limit に、バッファリングするブロックの最大数を指定します。

URL と URL 保留バッファ サイズの設定

長い URL と保留中 URL のバッファリング用の最大使用可能メモリを設定するには、次のコマンドを入力します。

url-block url-mempool memory-pool-size
 

最大メモリ割り当ての 2 KB ~ 10 MB に相当する 2 ~ 10240 の範囲の値を、 memory-pool-size に指定します。

1 つの URL の最大長を大きくするには(Websense の場合のみ)、次のコマンドを入力します。

url-block url-size long-url-size
 

最大 2 ~ 4 KB の URL サイズに相当する 2 ~ 4 の範囲の値を、 long-url-size に指定します。


) PIX Firewall Version 6.2 以降では、N2H2 フィルタリング サーバ用に 1159 バイトの URL 最大長がサポートされています。


HTTPS サイトと FTP サイトのフィルタリング

PIX Firewall Version 6.3 では、Websense フィルタリング サーバ用に HTTPS サイトと FTP サイトのフィルタリングがサポートされています。


) HTTPS フィルタリングおよび FTP フィルタリングは、N2H2 フィルタリング サーバではサポートされていません。


HTTPS フィルタリングは、サイトが許可されない場合に、SSL 接続ネゴシエーションの完了を阻止することによって機能します。ブラウザに、「The Page or the content cannot be displayed.」のようなエラー メッセージが表示されます。

HTTPS コンテンツは暗号化されているため、PIX Firewall は、ディレクトリおよびファイル名の情報を付けずに URL ルックアップを送信します。

HTTPS フィルタリングをイネーブルにするには、次のコマンドを使用します。

filter https dest_port localIP local_mask foreign_IP foreign_mask [allow]
 

FTP フィルタリングをイネーブルにするには、次のコマンドを使用します。

filter ftp dest_port localIP local_mask foreign_IP foreign_mask [allow] [interact-block]
 

filter ftp コマンドでは、Websense サーバによってフィルタリングされる FTP トラフィックを指定できます。FTP フィルタリングは、N2H2 サーバではサポートされていません。

この機能をイネーブルにした後、ユーザが FTP GET 要求をサーバに発行した場合、その要求は PIX Firewall によって FTP サーバと Websense サーバの両方に同時に送信されます。Websense サーバによって接続が許可されると、ファイアウォールは、成功を示す FTP リターン コードが、変更されずにユーザに到達できるようにします。たとえば、成功を示すリターン コードは「250: CWD command successful.」です。

Websense サーバが接続を拒否した場合、PIX Firewall は、接続が拒否されたことを示すように FTP リターン コードを変更します。たとえば、PIX Firewall は、コード 250 を「code 550: Directory not found.」に変更します。Websense は FTP GET コマンドだけをフィルタリングし、PUT コマンドはフィルタリングしません。

完全なディレクトリ パスを提供しない対話型の FTP セッションをブロックするには、
interactive-block オプションを使用します。対話型の FTP クライアントでは、ユーザが完全なパスを入力せずにディレクトリを変更できます。たとえば、ユーザは cd /public/files ではなく cd ./files と入力できます。

これらのコマンドを使用する前に、URL フィルタリング サーバを指定し、イネーブルにする必要があります。すべての URL フィルタリング サーバが削除されると、関連するすべてのフィルタリング コマンドも削除されます。

フィルタリング ポリシーの設定

filter url コマンドを使用して、URL のフィルタリング ポリシーを設定します。URL フィルタリング コマンドの構文は、次のとおりです。

filter url port[-port] local_ip local_mask foreign_ip foreign_mask] [allow] [proxy-block]
 

そこで HTTP トラフィックをフィルタリングするポート番号を、 port に指定します。ある範囲のポート番号を指定するには、範囲の開始点と終了点をハイフン 1 つで区切って入力します。

フィルタリングする特定の HTTP トラフィックを指定するには、 local_ip local_mask に、要求を行うユーザまたはサブネットワークの IP アドレスとサブネット マスクを指定します。 foreign_ip foreign_mask には、要求に応答するサーバまたはサブネットワークの IP アドレスとサブネット マスクを指定します。

フィルタリングがイネーブルの場合、PIX Firewall は、フィルタリング サーバが接続を許可するまで発信 HTTP トラフィックを停止します。一次フィルタリング サーバが応答しない場合は、PIX Firewall が、フィルタリング要求を二次フィルタリング サーバにリダイレクトします。allow オプションは、一次フィルタリング サーバが利用できないときに、PIX Firewall がフィルタリングせずに HTTP トラフィックを転送するようにします。

proxy-block コマンドを使用して、プロキシ サーバへの要求をすべて廃棄します。

汎用フィルタリング ポリシーに例外を設ける場合は、次のコマンドを使用します。

filter url except local_ip local_mask foreign_ip foreign_mask]
 

local_ip local_mask に、フィルタリング制限を免除するユーザまたはサブネットワークの IP アドレスとサブネット マスクを指定します。 foreign_ip foreign_mask に、フィルタリング制限を免除するサーバまたはサブネットワークの IP アドレスとサブネット マスクを指定します。

長い URL のフィルタリング

PIX Firewall Version 6.1 以前のバージョンでは、1159 バイトよりも長い URL のフィルタリングはサポートされていません。PIX Firewall Version 6.2 以降では、Websense フィルタリング サーバ用に最大 4 KB までの URL のフィルタリングがサポートされています。PIX Firewall Version 6.2 以降では、N2H2 フィルタリング サーバ用に 1159 バイトの URL 最大長がサポートされています。

さらに、PIX Firewall Version 6.2 では、 longurl-truncate コマンドと cgi-truncate コマンドが導入され、最大許容サイズより長い URL 要求の処理が可能になっています。これらのオプションの形式は次のとおりです。

filter url [http | port[-port] local_ip local_mask foreign_ip foreign_mask] [allow] [proxy-block] [longurl-truncate | longurl-deny] [cgi-truncate]
 

PIX Firewall Version 6.2 以降では、N2H2 フィルタリング サーバ用に 1159 バイトの URL 最大長がサポートされています。また、最大 4 KB までの URL のフィルタリングも、Websense フィルタリング サーバに対してサポートされています。URL が最大長より長く、longurl-truncate オプションも longurl-deny オプションもイネーブルにしていない場合、ファイアウォールによってパケットが破棄されます。

longurl-truncate オプションを指定すると、PIX Firewall は URL が最大許容長よりも長い場合に、URL のホスト名または IP アドレス部分だけを、評価のためにフィルタリング サーバに送信します。longurl-deny オプションは、URL が最大許容長よりも長い場合、発信 URL トラフィックを拒否します。

パラメータは含まずに CGI スクリプトの場所とスクリプト名だけを含むよう CGI URL を切り捨てるには、cgi-truncate オプションを使用します。長い HTTP 要求のほとんどは、CGI 要求です。パラメータ リストが非常に長い場合は、パラメータ リストを含む完全な CGI 要求を待機および送信することにより、メモリ リソースが使い果たされ、ファイアウォールのパフォーマンスに影響します。

フィルタリング統計情報とフィルタリング設定の表示

この項にあるコマンドを使用して、URL フィルタリング情報を表示します。

フィルタリング サーバの情報を表示するには、次のコマンドを入力します。

show url-server
 

次に、このコマンドの出力例を示します。

url-server (outside) vendor n2h2 host 128.107.254.202 port 4005 timeout 5 protocol TCP
 

URL 統計情報を表示するには、次のコマンドを入力します。

show url-server stats
 

次に、このコマンドの出力例を示します。

URL Server Statistics:
----------------------
Vendor websense
URLs total/allowed/denied 0/0/0
HTTPSs total/allowed/denied 0/0/0
FTPs total/allowed/denied 0/0/0
 
URL Server Status:
------------------
10.130.28.18 UP
 
URL Packets Sent and Received Stats:
-----------------------------------
Message Sent Received
STATUS_REQUEST 65155 34773
LOOKUP_REQUEST 0 0
LOG_REQUEST 0 NA
-----------------------------------
 

URL キャッシュ情報を表示するには、次のコマンドを入力します。

show url-cache stat
 

次に、このコマンドの出力例を示します。

pix(config)# show url-cache stats
URL Filter Cache Stats
----------------------
Size : 128KB
Entries : 1724
In Use : 0
Lookups : 0
Hits : 0
 

URL フィルタリング性能統計情報を表示するには、次のコマンドを入力します。

show perfmon
 

次に、このコマンドの出力例を示します。

pix(config)# show perfmon
 
PERFMON STATS: Current Average
Xlates 0/s 0/s
Connections 0/s 2/s
TCP Conns 0/s 2/s
UDP Conns 0/s 0/s
URL Access 0/s 2/s
URL Server Req 0/s 3/s
TCP Fixup 0/s 0/s
TCPIntercept 0/s 0/s
HTTP Fixup 0/s 3/s
FTP Fixup 0/s 0/s
AAA Authen 0/s 0/s
AAA Author 0/s 0/s
AAA Account 0/s 0/s
 

フィルタリング設定を表示するには、次のコマンドを入力します。

show filter
 

次に、このコマンドの出力例を示します。

pix(config)# show filter
filter url http 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
 

設定手順

URL のフィルタリングを行うには、次の手順を実行します。


ステップ 1 url-server コマンドを使用して、フィルタリング サーバのアドレスを指定します。

Websense の場合は次のとおりです。

# url-server [(if_name)] host local_ip [timeout seconds] [protocol TCP | UDP version 1|4]
 

N2H2 の場合は次のとおりです。

# url-server [(if_name)] vendor n2h2 host local_ip[:port number] [timeout seconds] [protocol TCP | UDP]
 

if_name には、フィルタリング サーバに接続されている PIX Firewall インターフェイスの名前を指定します(デフォルトは inside です)。 local_ip には、フィルタリング サーバの IP アドレスを指定します。 seconds には、PIX Firewall の最大待機時間(この時間内に応答がなければフィルタリング サーバへの接続を取りやめる)の秒数を指定します。


) デフォルト ポートは 4005 です。これは、N2H2 サーバが、TCP または UDP を介して、
PIX Firewall と通信する場合に使用するデフォルト ポートです。デフォルト ポートの変更方法については、『Filtering by N2H2 Administrator's Guide』を参照してください。


次に例を示します。

url-server (perimeter) host 10.0.1.1
url-server (perimeter) vendor n2h2 host 10.0.1.1
 

最初のコマンドは、Websense フィルタリング サーバに PIX Firewall の境界インターフェイス上の IP アドレス 10.0.1.1 を指定しています。2 番目のコマンドでは、N2H2 サーバに同じインターフェイスとアドレスを指定しています。

ステップ 2 次のコマンドを使用して、フィルタリング ポリシーを設定します。

filter url [http | port[-port] local_ip local_mask foreign_ip foreign_mask] [allow] [proxy-block]
 

HTTP(80)のデフォルト ポートとは異なるポートが使用されている場合は、1 つまたは複数のポート番号を、 port に指定します。 local_ip local_mask には、要求を行うユーザまたはサブネットワークの IP アドレスとサブネット マスクを指定します。 foreign_ip foreign_mask には、要求に応答するサーバまたはサブネットワークの IP アドレスとサブネット マスクを指定します。

allow オプションは、一次フィルタリング サーバが利用できないときに、PIX Firewall がフィルタリングせずに HTTP トラフィックを転送するようにします。 proxy-block コマンドを使用して、プロキシ サーバへの要求をすべて廃棄します。

次に例を示します。

filter url http 0 0 0 0
filter url except 10.0.2.54 255.255.255.255 0 0
 

最初のコマンドは、すべての HTTP トラフィックをフィルタリングします。2 番目のコマンドは、10.0.2.54 からの要求すべてをフィルタリング制限から免除します。


) ステップ 3 からステップ 6 は、PIX Firewall Version 6.2 以降に限り有効です。1159 バイトより長い URL のバッファリングは、Websense フィルタリング サーバに限りサポートされています。


ステップ 3 (オプション)次のコマンドを入力して、フィルタリング サーバからの応答が保留中である、URL に対する HTTP 応答のバッファリングをイネーブルにします。

url-block block block-buffer-limit
 

block-buffer-limit に、バッファリングするブロックの最大数を指定します。

ステップ 4 (オプション)次のコマンドを使用して、保留中 URL バッファリング(および Websense による長い URL バッファリング)用の最大使用可能メモリを設定します。

url-block url-mempool memory-pool-size
 

最大メモリ割り当ての 2 KB ~ 10 MB に相当する 2 ~ 10240 の範囲の値を、 memory-pool-size に指定します。

ステップ 5 (Websense 限定のオプション)次のコマンドを使用して、1 つの URL の最大サイズを設定します。

url-block url-size long-url-size
 

最大 2 ~ 4 KB の URL サイズに相当する 2 ~ 4 の範囲の値を、 long-url-size に指定します。デフォルト値は 2 です。

ステップ 6 (オプション)最大使用可能バッファ サイズよりも長い URL を処理するには、次の形式で、 filter コマンドを入力します。

filter url [longurl-truncate | longurl-deny | cgi-truncate]
 

longurl-truncate コマンドは、URL が最大許容長よりも長いとき、URL のホスト名または IP アドレス部分だけを、評価のためにフィルタリング サーバに送信します。

longurl-deny オプションは、URL が最大許容長(N2H2 の場合 1159、Websense の場合最大 4 KB まで設定可能)よりも長い場合、発信トラフィックを拒否します。

cgi-truncate オプションは、URL として CGI スクリプトを送信します。

ステップ 7 (オプション)メモリ使用量を表示するには、次のコマンドを使用します。

show chunk
show memory
 

ステップ 8 (オプション)スループットを高める必要がある場合は、url-cache コマンドを使用して、次のように入力します。

url-cache dst | src_dst size
 

) このコマンドは、Websense ログを更新しないため、Websense アカウンティング レポートに影響がある場合があります。url-cache コマンドを使用する前に、Websense 実行ログを蓄積しておいてください。


範囲 1 ~ 128(KB)のキャッシュ サイズの値を、 size に指定します。

dst キーワードを使用して、URL 宛先アドレスに基づいて、エントリをキャッシュします。このモードは、すべてのユーザが Websense サーバ上で同一の URL フィルタリング ポリシーを共有している場合に選択します。

src_dst キーワードを使用して、URL 要求を開始した発信元アドレスと URL 宛先アドレスの両方に基づいて、エントリをキャッシュします。このモードは、ユーザが Websense サーバ上で同じ URL フィルタリング ポリシーを共有していない場合に選択します。

ステップ 9 フィルタリング サーバのユーザ インターフェイスで、必要な URL フィルタを設定します。

N2H2 フィルタリング サーバまたは Websense フィルタリング サーバによるフィルタリングの詳細については、次の Web サイトを参照してください。

http://www.websense.com
http://www.n2h2.com

ステップ 10 次のコマンドを使用して、URL フィルタリング情報を表示します。

URL キャッシュ情報を表示するには、次のコマンドを入力します。

show url-cache stats
 

URL フィルタリング性能統計情報を表示するには、次のコマンドを入力します。

show perfmon
 

フィルタリング サーバの情報を表示するには、次のコマンドを入力します。

show url-server
 

フィルタリング設定を表示するには、次のコマンドを入力します。

show filter