Cisco PIX Firewall/VPN コンフィギュレーション ガイド
はじめに
はじめに
発行日;2012/02/04 | 英語版ドキュメント(2010/08/26 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

はじめに

ネットワーク アクセスの制御

PIXFirewall の動作

アダプティブ セキュリティ アルゴリズム

複数のインターフェイスとセキュリティ レベル

PIXFirewall を通過するデータの動き

アドレス変換

カットスルー プロキシ

サポートされているルーティング プロトコル

アクセス制御

AAA 統合

アクセス リスト

TurboACL

ダウンロード可能な ACL

オブジェクト グループ化機能

コンジット

VLAN サポート

攻撃からネットワークを保護する

ユニキャスト逆経路転送

Mail Guard

Flood Guard

Flood Defender

FragGuard と仮想リアセンブリ

DNS 制御

ActiveX ブロッキング

Java フィルタリング

URL フィルタリング

Configurable Proxy Pinging

特定のプロトコルおよびアプリケーションのサポート

アプリケーション検査の動作

Voice over IP

CTIQBE(TAPI)

H.323

RAS Version 2

MGCP

SCCP

SIP

マルチメディア アプリケーション

LDAP Version 2 および ILS

NetBIOS over IP

マルチキャスト伝送の転送

バーチャル プライベート ネットワークの作成

VPN

IPSec

Internet Key Exchange(IKE)

認証局(CA)

サイトツーサイト VPN の使用

Cisco Easy VPN サーバのリモート アクセスをサポートする

SOHO 環境での PIX Firewall の使用方法

Easy VPN Remote デバイスとしての PIX Firewall の使用方法

PPPoE

DHCP サーバ

DHCP リレー

DHCP クライアント

PIXFirewall へのアクセスと監視

リモート PIX Firewall の内部インターフェイスへの接続

Cisco PIX Device Manager(PDM)

コマンド認証

Telnet インターフェイス

SSH Version 1

NTP

オート アップデート

パケットの取得

SNMP の使用方法

XDMCP

Syslog Server の使用

FTP と URL のロギング

Cisco IDS との統合

PIXFirewall フェールオーバー

PIX Firewall の OS とライセンスのアップグレード

コマンドライン インターフェイスの使用

アクセス モード

設定モードへのアクセス

コマンドの省略形

PIX Firewall コンフィギュレーションのバックアップ

コマンドラインの編集

Show コマンド出力のフィルタリング

コマンド出力のページング

コメント

コンフィギュレーションのサイズ

ヘルプ情報

デフォルト コンフィギュレーションの表示

デフォルト コンフィギュレーションのリセット

コンフィギュレーション設定のクリアと削除

PIX Firewall の設定を始める前に

次の作業

はじめに

Cisco PIX Firewall を使用すると、ステートフルなファイアウォール保護を確立し、1 つのデバイスについて VPN アクセスを保護できます。PIX Firewall には、信頼性を最大限に高めるために、特定モデルで利用可能なフェールオーバー サポート機能を持つスケーラブルなセキュリティ ソリューションが用意されています。PIX Firewall は、専用のオペレーティング システムを使用しているため、汎用オペレーティング システムを使用した、頻繁に脅威や攻撃の対象となるソフトウェア ファイアウォールに比べると、安全性が高く、保守も容易です。

この章では、PIX Firewall を使用して、ネットワーク資産を保護し、セキュアな VPN アクセスを確立する方法について説明します。次の項目について説明します。

「ネットワーク アクセスの制御」

「攻撃からネットワークを保護する」

「特定のプロトコルおよびアプリケーションのサポート」

「バーチャル プライベート ネットワークの作成」

「SOHO 環境での PIX Firewall の使用方法」

「PIX Firewall へのアクセスと監視」

「PIX Firewall フェールオーバー」

「PIX Firewall の OS とライセンスのアップグレード」

「コマンドライン インターフェイスの使用」

「PIX Firewall の設定を始める前に」

「次の作業」

ネットワーク アクセスの制御

この項では、PIX Firewall が提供するネットワーク ファイアウォール機能について説明します。次の項目について説明します。

「PIX Firewall の動作」

「アダプティブ セキュリティ アルゴリズム」

「複数のインターフェイスとセキュリティ レベル」

「PIX Firewall を通過するデータの動き」

「アドレス変換」

「カットスルー プロキシ」

「アクセス制御」

「VLAN サポート」

「接続の確立」では、PIX Firewall を通してネットワーク接続を確立するためのコンフィギュレーションの手順について説明します。「ネットワーク アクセスとネットワーク使用の制御」 では、PIX Firewall を使用してネットワーク接続を制御するためのコンフィギュレーションの手順について説明します。

PIX Firewall の動作

PIX Firewall は、パブリック インターネットなど外部ネットワーク上のユーザによる不正アクセスから内部のネットワークを保護します。大部分の PIX Firewall モデルは、オプションとして、demilitarized zone(DMZ; 非武装地帯)とも呼ばれる境界ネットワークを保護できます。境界ネットワークへのアクセスは、一般に、内部ネットワークへのアクセスよりは制限が緩やかですが、外部ネットワークへのアクセスよりは厳しい制限が課せられます。内部、外部、および境界ネットワーク間の接続は、PIX Firewall により制御されます。

組織内でファイアウォールを有効に運用するには、保護されたネットワークから保護されていないネットワークへの全トラフィックが必ずファイアウォールを通過するようにセキュリティ ポリシーを作成する必要があります。さらに、PIX Firewall が提供する機能を使用して、ネットワークへのアクセスを許可する人とサービスの制御、およびセキュリティ ポリシーを実装する方法の制御ができます。

図 1-1 に、PIX Firewall が、ネットワークを保護し、インターネットへの発信接続とセキュアなアクセスを可能にする方法を示します。

図 1-1 ネットワークにおける PIX Firewall

 

このアーキテクチャでは、PIX Firewall は、保護されたネットワークと保護されていないネットワークとの間に境界を形成します。セキュリティを維持するために、保護されたネットワークと保護されていないネットワークの間のトラフィックは、すべてファイアウォールを通過します。保護されていないネットワークは、通常、インターネットに接続できます。PIX Firewall を使用すると、保護されたネットワーク内に Web アクセス、SNMP、電子メール(SMTP)などに使用するサーバを配置し、これらのサーバに外部からアクセスできる人を制御できます。

3 つ以上のインターフェイスを持つ PIX Firewall モデルでは、図 1-1 に示すようにサーバ システムを境界ネットワーク上に配置し、そのサーバ システムへのアクセスを PIX Firewall で制御および監視できます。PIX 501 および PIX 506/506E は、それぞれにネットワーク インターフェイスが 2 つあるため、すべてのシステムを内部インターフェイスまたは外部インターフェイスのいずれかに配置する必要があります。

PIX Firewall では、内部のネットワークが終点または起点となる接続に対してセキュリティ ポリシーを実装することもできます。

一般に、内部のネットワークは組織の内部ネットワーク、つまりイントラネットであり、外部のネットワークはインターネットです。しかし、PIX Firewall をイントラネット内で使用することによって、特定グループの内部コンピューティング システムおよびユーザを、ほかの部門から切り離し、保護することもできます。

境界ネットワークは、内部のネットワークと同じセキュリティ レベルに設定することも、セキュリティ レベルを変えて設定することもできます。セキュリティ レベルには、安全性の最も低い 0 から安全性の最も高い 100 までの範囲内の数値が割り当てられます。外部インターフェイスは常に 0、内部インターフェイスは常に 100 です。境界インターフェイスは、1 ~ 99 の任意のセキュリティ レベルにできます。

内部のネットワークおよび境界ネットワークはどちらも、PIX Firewall の Adaptive Security Algorithm(ASA; アダプティブ セキュリティ アルゴリズム)によって保護されます。内部インターフェイス、境界インターフェイス、および外部インターフェイスは、RIP ルーティングの更新情報をリスンしたり、必要に応じて、RIP デフォルト ルートをブロードキャストできます。

アダプティブ セキュリティ アルゴリズム

ASA は、ステートフルなセキュリティ手段です。着信パケットはすべて、アダプティブ セキュリティ アルゴリズムおよびメモリ内のコネクション ステート情報と照合されます。このステートフルな手法は、ステートレスなパケット スクリーニング方式に比べて、安全性がより高いとされています。

ASA では、一方向(内部から外部へ)の接続については、内部システムおよびアプリケーションそれぞれに対して明示的に設定する必要はありません。ASA は、常時動作しており、戻りパケットを監視して、有効性を保証します。TCP シーケンス番号をアクティブにランダム化しているため、TCP シーケンス番号攻撃のリスクが最小限に抑えられます。


) PIX Firewall は、TCP シーケンス番号をチェックして、その番号が受け入れ可能な範囲内にあることを確認します。


ASA は、ダイナミック変換スロットおよびスタティック変換スロットに適用されます。スタティック変換スロットは static コマンドで作成し、ダイナミック変換スロットは global コマンドで作成します。この 2 種類の変換スロットをまとめて、「xlates」と呼びます。ASA は、次のルールに従って動作します。

パケットは、接続とステートがない場合、PIX Firewall を通過できません。

発信接続またはステートは、アクセス コントロール リストによって特に拒否されている場合を除き、許可されます。発信接続は、発信者またはクライアントのインターフェイスのセキュリティ レベルが、受信者またはサーバのインターフェイスのセキュリティ レベルより高い接続です。セキュリティ レベルが最も高いインターフェイスは、常に内部インターフェイスです。最も低いのは外部インターフェイスです。境界インターフェイスのセキュリティ レベルは、内部インターフェイスの値と外部インターフェイスの値の間にあります。

着信接続またはステートは、特に許可されている場合を除き、拒否されます。着信接続またはステートは、発信者またはクライアントのインターフェイス/ネットワークのセキュリティ レベルが、受信者またはサーバのインターフェイス/ネットワークより低い接続です。1 つの xlate(変換)に複数の例外を適用できます。これを行うことにより、インターネット上の任意のマシン、ネットワーク、またはホストに対して、xlate で定義したホストへのアクセスを許可できます。

ICMP パケットはすべて、特に許可されている場合を除き、拒否されます。

上記ルールに従わない試みはすべて廃棄され、syslog にメッセージが記録されます。

PIX Firewall は、UDP データ転送を TCP と同様の方法で処理します。DNS、archie、StreamWorks、H.323、および RealAudio は、特殊な処理によって許可され、安全に動作します。内部のネットワークから UDP パケットが送信されると、PIX Firewall は UDP「コネクション」ステート情報を生成します。このトラフィックに対する応答パケットは、生成されたコネクション ステート情報と一致する場合に限り、許可されます。コネクション ステート情報は、しばらく非アクティブになると削除されます。

ASA の動作、および各種アプリケーションに対応してアプリケーション検査を設定する方法については、「アプリケーション検査(フィックスアップ)の設定」を参照してください。

複数のインターフェイスとセキュリティ レベル

PIX Firewall にはすべて、少なくとも 2 つのインターフェイスがあります。デフォルトでは、外部インターフェイスおよび内部インターフェイスと呼ばれ、それぞれセキュリティ レベルとして 0 と 100 が割り当てられています。セキュリティ レベルが低いということは、そのインターフェイスが保護される程度が、セキュリティ レベルの高いインターフェイスよりも相対的に低いことを示します。一般に、外部インターフェイスは、パブリック インターネットに接続されます。一方、内部インターフェイスは、プライベート ネットワークに接続され、一般のアクセスから保護されます。

ほとんどの PIX Firewall モデルには、最大 8 つのインターフェイスが備えられており、境界ネットワーク(要塞ネットワークまたは DMZ とも呼ばれる)を必要な数だけ作成できます。DMZ は、外部インターフェイスよりも安全性が高く、内部インターフェイスよりも安全性が低いネットワークです。境界ネットワークには、0 ~ 100 のセキュリティ レベルを割り当てることができます。通常は、パブリック インターネット上のユーザがアクセスするメール サーバまたは Web サーバを DMZ に配置して、ある程度の保護を行いますが、内部ネットワーク上のリソースを危険にさらさないようにします。

PIX Firewall を通過するデータの動き

発信パケットが、PIX Firewall のセキュリティ レベルが高いインターフェイスに到着すると(セキュリティ レベルは show nameif コマンドを使用して表示可能)、PIX Firewall は、ASA に基づいてパケットが有効であるかどうか知るためにチェックし、次に、前のパケットがそのホストから送信されたものかどうかをチェックします。ホストが異なる場合、そのパケットは新しい発信接続の対象となり、PIX Firewall は、ステート テーブルにその接続用の変換スロットを作成します。PIX Firewall が変換スロットに格納する情報には、内部の IP アドレス、および Network Address Translation(NAT; ネットワーク アドレス変換)、Port Address Translation(PAT; ポート アドレス変換)、またはアイデンティティ機能(内部のアドレスを外部のアドレスとして使用する)によって割り当てられた固有のグローバル IP アドレスがあります。次に、PIX Firewall は、パケットの発信元 IP アドレスを固有のグローバル アドレスに変換し、必要に応じて、チェックサムなどのフィールドを修正して、そのパケットをセキュリティ レベルのより低いインターフェイスに転送します。

着信パケットは、外部インターフェイスなどの外部インターフェイスに到着したとき、最初に PIX Firewall のアダプティブ セキュリティ基準にパスする必要があります。パケットがセキュリティ テストにパスすると、PIX Firewall は宛先 IP アドレスを削除し、内部 IP アドレスをその場所に挿入します。パケットが保護されたインターフェイスに転送されます。

アドレス変換

NAT 機能は、1 つのインターフェイス上のホスト アドレスを、別のインターフェイスに関連付けられている「グローバル アドレス」に置換、つまり変換します。これを行うことにより、内部ホスト アドレスが保護され、ほかのネットワーク インターフェイスに公開されません。NAT を使用するかどうかは、内部アドレスを、PIX Firewall に接続されているほかのネットワーク インターフェイス上に公開するかどうかで判別します。NAT を使用して内部ホスト アドレスを保護する場合は、アドレス変換に使用するアドレス プールを識別する必要があります。


) PIX Firewall Version 6.2 以降では、外部のアドレスの変換にも NAT を利用できます。これは、内部のネットワーク上に表示されるアドレスを制御することによって、ネットワーク ルーティングを簡素化する際に便利です。


保護するアドレスが同じ組織内のほかのネットワークだけにアクセスするのであれば、変換アドレス プールに任意の「プライベート」アドレス セットを使用できます。たとえば、経理部門ネットワーク(PIX Firewall の内部インターフェイスに接続されている)上のホスト アドレスが、営業部門ネットワーク(PIX Firewall の境界インターフェイスに接続されている)に接続するときに公開されないように保護する場合、営業部門ネットワークで利用できる任意のアドレス セットを使用するように変換をセットアップします。このセットアップにより、経理部門ネットワーク上のホストは、営業部門ネットワーク上でローカル アドレスとして表示されます。

保護するアドレスでインターネットにアクセスする場合は、変換アドレス プールに NIC 登録アドレス(Network Information Center に登録されている企業の公式インターネット アドレス)だけを使用します。たとえば、営業部門ネットワーク(PIX Firewall の境界インターフェイスに接続されている)上のホスト アドレスが、インターネット(PIX Firewall の外部インターフェイスを通してアクセスできる)に接続する時に公開されないように保護する場合、外部インターフェイス上の登録アドレス プールを使用するように変換をセットアップします。その結果、インターネット上のホストには、営業部門ネットワークのインターネット アドレスだけが見えて、境界インターフェイス上のアドレスは見えません。

すでにホスト登録アドレスまたはネットワーク登録アドレスが設定されているネットワークに PIX Firewall をインストールする場合は、変換には別の登録アドレスが必要になるため、これらのホストまたはネットワークの変換を行わないでください。

NAT を使用する場合、内部ホスト数と登録アドレス数が同数になるように考慮することも重要です。登録アドレスが少ない場合、接続時に内部ホストがネットワークにアクセスできなくなる可能性があります。このような場合は、NIC 登録アドレスを追加するか、または PAT を使用します。PAT は 1 つの外部アドレスを使用して、最大 64,000 の同時接続を管理します。

内部のシステムについては、NAT は発信パケットの発信元 IP アドレスを変換します(RFC 1631 で定義)。NAT は、ダイナミック変換とスタティック変換の両方をサポートしています。NAT を使用すると、内部のシステムにプライベート アドレス(RFC 1918 で定義)を割り当てたり、既存の無効アドレスを維持できます。また、内部システムの実際のネットワーク ID を、外部のネットワークに対して隠すことによって、セキュリティを向上させることもできます。

PAT は、ポートの再マッピングを使用して、1 つの有効な IP アドレスが、最大 64,000 のアクティブ xlate オブジェクトに対する発信元 IP アドレス変換をサポートするようにします。PAT は、プライベート内部アドレス指定方式または無効内部アドレス指定方式をサポートするために必要なグローバルに有効な IP アドレス数を最小限に抑えます。着信データ ストリームが発信コントロール パスと異なるマルチメディア アプリケーションには適用できません。内部システムの実際のネットワーク ID を、外部のネットワークに対して隠すことによって、セキュリティを向上させることもできます。

PIX Firewall には、もう 1 つ、スタティック変換というアドレス変換クラスがあります。スタティック変換では、内部アドレスを固定の外部 IP アドレスに置き換えることができます。この置き換えは、パブリック インターネットからのアクセスに固定の IP アドレスが必要なサーバには便利です。

PIX Firewall のアイデンティティ機能によって、アドレス変換をディセーブルにできます。既存の内部システムに有効なグローバル ユニーク アドレスが設定されている場合、アイデンティティ機能によって、これらのシステムに対して NAT および PAT を選択的にディセーブルにできます。この機能によって、内部ネットワーク アドレスが外部のネットワークで見えるようになります。

カットスルー プロキシ

カットスルー プロキシは、PIX Firewall に固有の機能で、着信接続または発信接続がユーザ ベースで認証できるようにします。プロキシ サーバは、OSI モデル第 7 層のパケットすべてを分析します。これは、時間がかかる処理中心の機能です。これに対して、PIX Firewall は、カットスルー プロキシを使用して接続を認証し、その後はトラフィックが直接、迅速に流れるようにします。

カットスルー プロキシによって、発信元 IP アドレスのチェックに比べて、接続をきめ細かく管理し、制御できます。セキュリティ ポリシーは、個々のユーザ アカウントに基づいて実施できます。接続はユーザ ID とパスワードで認証された後に確立され、セキュリティをさらに向上させるために、ワンタイム ダイナミック パスワードやセキュリティ トークンがサポートされています。認証と許可は、HTTP 接続、Telnet 接続、または FTP 接続に対してサポートされています。

サポートされているルーティング プロトコル

PIX Firewall Version 6.3 では、Open Shortest Path First(OSPF)のサポートが導入されています。OSPF を使用すると、PIX Firewall は、専用ルーティング デバイスでのダイナミック ルーティング更新に完全に参加できます。Version 6.3 以前の PIX Firewall では、Routing Information Protocol(RIP; ルーティング情報プロトコル)Version 2 だけがサポートされています。

RIP を使用する場合、PIX Firewall は、受動モードでのリスンおよびデフォルト ルートのブロードキャストだけを行います。また、PIX Firewall は、テキストとキー付き MD5 認証を伴う RIPv2 の RFC 1058、RFC 1388、および RFC 2082 に準拠する Cisco IOS ソフトウェア規格をサポートしています。PIX Firewall は、インターフェイスあたり 1 つのキーとキー ID をサポートしています。

アクセス制御

この項では、ネットワーク ユーザの認証と許可をサポートするための、PIX Firewall の機能について説明します。次の項目について説明します。

「AAA 統合」

「アクセス リスト」

「TurboACL」

「ダウンロード可能な ACL」

「オブジェクト グループ化機能」

「コンジット」

「ネットワーク アクセスとネットワーク使用の制御」では、この項で説明する機能を使用するための設定手順について説明します。

AAA 統合

PIX Firewall には、AAA(認証、許可、アカウンティング)サービスとの統合機能があります。AAA サービスは、Terminal Access Controller Access Control System Plus(TACACS+)サーバ、または Remote Authentication Dial-In User Service(RADIUS)サーバにより提供されます。

PIX Firewall を使用すると、トラフィックのタイプに応じて、TACACS+ サーバ グループまたは RADIUS サーバ グループを別々に定義できます。たとえば、着信トラフィック用に TACACS+ サーバを 1 台、発信トラフィック用に別の TACACS+ サーバを 1 台指定できます。

AAA サーバ グループはタグ名を使用して定義します。このタグ名によって、さまざまなタイプのトラフィックが、それぞれの認証サーバに向けて送られます。アカウンティングが有効な場合は、アカウンティング情報がアクティブ サーバに送られます。

PIX Firewall を使用すると、RADIUS サーバは、ユーザ グループ アトリビュートを RADIUS 認証応答メッセージに加えて PIX Firewall に送信します。次に PIX Firewall は、アクセス リストとそのアトリビュートを照合し、アクセス リストから RADIUS 許可を判別します。PIX Firewall は、ユーザの認証後、Cisco acl アトリビュート( acl =< acl_name >)を使用して、AAA サーバから返されたユーザにアクセス リストを適用します。

アクセス リスト

Version 5.3 以降の PIX Firewall は、アクセス リストを使用して、内部のネットワークと外部のネットワークとの間の接続を制御します。アクセス リストは、 access-list コマンドと access-group コマンドを使用して実装します。これらのコマンドは、 conduit コマンドと outbound コマンド(これらのコマンドは、PIX Firewall の前バージョンで使用され、下位互換性のために現在のバージョンでも保持されている)の代わりに使用されます。


) PIX Firewall Version 6.3 では、特定の access control list(ACL; アクセス コントロール リスト)に関連付けられているアクティビティに関する情報を記録する機能が向上しています。また、Version 6.3 では、各 ACL にコメントを追加できるため、各エントリの目的や期待される結果を記述できます。


アクセス リストを使用すると、接続は、発信元アドレス、宛先アドレス、またはプロトコルに基づいて制御できます。アクセス リストは慎重に設定して、アクセスが最小限で済むようにします。可能であれば、リモート発信元アドレス、ローカル宛先アドレス、プロトコルを指定することによって、アクセス リストの適用範囲をさらに狭く限定します。今回のバージョンのコンフィギュレーションでは、 access-list access-group というコマンド文が conduit outbound というコマンド文よりも優先されます。

TurboACL

TurboACL と呼ばれる機能は PIX Firewall Version 6.2 から導入された機能で、PIX Firewall による大きなアクセス コントロール リストの処理を向上させます。アクセス リスト エントリの検索方式が改善され、大きなアクセス リストの検索に要する時間が削減されました。 TurboACL では、最大 16,000 のアクセス リスト エントリを持つアクセス リストがサポートされています。

ダウンロード可能な ACL

PIX Firewall を AAA サーバと併用することによって、ユーザごとに接続を制御するアクセス リストを作成できます。ユーザごとのアクセス リストを作成するには、RADIUS サーバ上にユーザのプロファイルを作成する必要があります。旧バージョンの PIX Firewall では、各 PIX Firewall 上でローカルに各ユーザ用のアクセス リストを設定することも必要でした。PIX Firewall Version 6.2 以降では、必要なユーザごとのアクセス リストは、ユーザ プロファイルに基づいて AAA サーバからダウンロードされます。それ以外のアクセス リストの設定は、PIX Firewall では必要ありません。この新機能により、複雑さが大幅に減り、ユーザごとのアクセス リストのスケーラビリティが向上します。

オブジェクト グループ化機能

オブジェクト グループ化機能は、PIX Firewall Version 6.2 で導入された機能であり、設定の複雑さを軽減し、大規模なネットワークや複雑なネットワークのスケーラビリティを向上させます。オブジェクト グループ化機能によって、アクセス ルールをネットワーク オブジェクトの論理グループに適用できます。PIX Firewall コマンドをオブジェクト グループに適用すると、そのコマンドを、グループ内に定義されているネットワーク オブジェクトすべてに適用できます。コマンドをオブジェクト グループに適用することによって、大量のアクセス ルールを管理可能な数に減らすことができるので、大規模なネットワークや複雑なネットワークにおけるアクセス ルールの設定とトラブルシューティングに要する時間が減少します。

コンジット

Version 5.3 以前の PIX Firewall では、 conduit コマンドと outbound コマンドを使用して、内部ネットワークと外部ネットワークとの間の接続を制御していました。PIX Firewall Version 6.0 以降でも、これらのコマンドは下位互換性のためにサポートが続けられますが、この機能を実現する方法としては、 access-list コマンドと access-group コマンドが優先されます。

コンジットは、PIX Firewall の潜在的なセキュリティ ホールとなるため、セキュリティ ポリシーおよびビジネス ニーズに必要な場合に限り使用します。できれば、リモート発信元アドレス、ローカル宛先アドレス、TCP/UDP ポート、IP プロトコルを指定することによって、コンジットの適用範囲をさらに狭く限定してください。

VLAN サポート

Virtual LAN(VLAN; バーチャル LAN)は、1 つのスイッチド ネットワーク内に別個のブロードキャスト ドメインを作成するために使用されます。PIX Firewall Version 6.3 は、ネットワークのファイアウォール ポリシーを適用しながら、これらのブロードキャスト ドメイン間でトラフィックをルーティングできます。PIX Firewall は 802.1Q をサポートするようになりました。802.1Q を使用すると、1 つの物理リンクを介して複数の VLAN のトラフィックを交換できます。Version 6.3 では、1 つの物理インターフェイスに複数の論理インターフェイスを定義して、各論理インターフェイスに別々の VLAN を割り当てることができます。

攻撃からネットワークを保護する

この項では、PIX Firewall が備えているファイアウォール機能について説明します。このファイアウォール機能は、特定の種類の攻撃に関連するネットワーク アクティビティを制御します。ここでは、次の項目について説明します。

「ユニキャスト逆経路転送」

「Mail Guard」

「Flood Guard」

「Flood Defender」

「FragGuard と仮想リアセンブリ」

「DNS 制御」

「ActiveX ブロッキング」

「Java フィルタリング」

「URL フィルタリング」

「Configurable Proxy Pinging」

特定の攻撃からネットワークを保護するために使用される PIX Firewall 機能の詳細については、「アプリケーション検査(フィックスアップ)の設定」を参照してください。ActiveX ブロッキング、Java フィルタリング、URL フィルタリングの設定については、「ネットワーク アクセスとネットワーク使用の制御」「発信接続のフィルタリング」を参照してください。

ファイアウォールによって特定のプロトコルとアプリケーションの使用を許可する機能については、特定のプロトコルおよびアプリケーションのサポートを参照してください。

ユニキャスト逆経路転送

Unicast Reverse Path Forwarding(Unicast RPF; ユニキャスト逆経路転送)は、「逆ルート ルックアップ」とも呼ばれ、着信フィルタリングと発信フィルタリングによって、IP スプーフィングを防止します。この機能は、着信パケットについて IP 発信元アドレスの整合性を調べ、管理対象ドメインの外部にあるホスト向けのパケットが、実行エンティティのローカル ルーティング テーブルにあるルートによって確認できる IP 発信元アドレスを持っていることを確認します。

Unicast RPF の適用範囲は、実行エンティティのローカル ルーティング テーブルにあるネットワークのアドレスに限定されています。着信パケットにルートで表される発信元アドレスがない場合は、そのパケットが最良のパスを通ってパケットの発信元に戻ったかどうかを知ることはできません。

Mail Guard

Mail Guard 機能は、外部から内部のメール サーバへの Simple Mail Transfer Protocol(SMTP; シンプル メール転送プロトコル)接続に対して安全なアクセスを提供します。この機能によって、メール サーバを内部ネットワークに 1 台配置して、一部の SMTP サーバ実装で判明しているセキュリティ上の問題の影響を受けないようにします。外部メール中継システム(つまり、要塞ホスト システム)は不要になります。Mail Guard 機能は、最小限の安全な SMTP コマンド セットを実行して、SMTP サーバ システムが危険にさらされるのを回避できます。すべての SMTP 接続を記録する作業も行います。

Flood Guard

Flood Guard 機能は、応答のないログイン試行に対する AAA サービスの許容度を制御します。AAA サービスの Denial of Service(DoS; サービス拒絶)攻撃を重点的に防止します。また、AAA システム利用を最適化します。この機能はデフォルトでイネーブルになっており、floodguard 1 コマンドで制御できます。

Flood Defender

Flood Defender 機能は、TCP SYN パケットをインターフェイスへ大量に送信するサービス拒絶攻撃から、内部のシステムを保護します。 nat コマンドと static コマンドに最大初期接続オプションを設定して、この機能をイネーブルにします。

TCP 代行受信機能は、スタティックな TCP コンジットを経由して到達可能なシステムを保護します。この機能は、オプションの初期接続限度に一度到達したが、初期接続のカウントがこのしきい値以下になっている場合に、影響を受けるサーバに向けられた SYN がすべて代行受信されることを保証します。各 SYN に対して、PIX Firewall はサーバの代わりに空の SYN/ACK セグメントで応答します。PIX Firewall は、該当するステート情報を保持し、パケットを廃棄し、クライアントの ACK を待ちます。

FragGuard と仮想リアセンブリ

FragGuard と仮想リアセンブリは、IP フラグメント保護を提供する機能です。この機能は、すべての ICMP エラー メッセージの完全リアセンブリ、および PIX Firewall を通してルーティングされる残りの IP フラグメントの仮想リアセンブリを実行します。現在のところ、仮想リアセンブリはデフォルトでイネーブルになっています。この機能は、syslog を使用して、特に teardrop 攻撃によって引き起こされるフラグメントの重複と小さなフラグメント オフセット異常をすべて記録します。

DNS 制御

PIX Firewall は、各発信 DNS 解決要求を識別し、1 つの DNS 応答だけを許可します。ホストは複数のサーバに応答を求めて問い合せる場合があります(最初のサーバの応答が遅い場合)が、許可されるのは要求に対する最初の応答だけです。要求に対するそれ以外の応答は、すべてファイアウォールによって廃棄されます。この機能は常にイネーブルになっています。

ActiveX ブロッキング

ActiveX コントロール(従来の OLE コントロールまたは OCX コントロール)は、Web ページまたはその他のアプリケーションに挿入できるコンポーネントです。PIX Firewall の ActiveX ブロッキング機能は、HTML <object> コマンドをブロックし、HTML Web ページからコメント アウトします。ActiveX は、技術的に、ネットワーク クライアントに対して多くの問題を発生させる可能性があります。たとえば、ワークステーションの障害の原因となる、ネットワーク セキュリティ問題を引き起こす、サーバへの攻撃に利用されるなどの可能性があります。

Java フィルタリング

Java フィルタリング機能によって、保護されたネットワーク上のシステムが Java アプレットをダウンロードするのを防止できます。Java アプレットは、保護されたネットワークを特定の方式で攻撃できるようにするため、セキュリティ ポリシーで禁止された実行プログラムである場合があります。

URL フィルタリング

アクセス コントロール リストを使用して、特定の Web サイトへの発信アクセスを禁止できますが、このような方法で Web サイトの使用方法を設定し管理することは、インターネットの規模とダイナミックな特性から、実用的とはいえません。この解決策として、PIX Firewall を、次のインターネット フィルタリング製品のいずれかを実行する別のサーバと連携させて使用することを推奨します。

Websense Enterprise Web フィルタリング アプリケーション(PIX Firewall Version 5.3 以降でサポートされている)

IFP 対応デバイスを対象にした N2H2 によるフィルタリング(PIX Firewall Version 6.2 以降でサポートされている)

インターネット フィルタリング製品を利用すると、アクセス コントロール リストの使用に比べて、管理作業が減少し、フィルタリングの有効性が向上します。さらに、URL フィルタリングが別のプラットフォームで実行されるため、PIX Firewall のパフォーマンスに対する影響は少なくなります。

PIX Firewall は、発信 URL 要求を URL フィルタリング サーバ上に定義されているポリシーに対してチェックします。PIX Firewall は、フィルタリング サーバからの応答に基づいて、接続を許可または拒否します。

詳細については、次のいずれかの Web サイトを参照してください。

http://www.websense.com

http://www.n2h2.com


) PIX Firewall Version 6.3 以降は、Websense フィルタリング サーバを使用する場合、HTTPS サイトおよび FTP サイトのフィルタリングをサポートしています。PIX Firewall Version 6.2 以降は、検索エンジンにより生成される URL など長い URL のフィルタリングをサポートしています。


Configurable Proxy Pinging

Configurable Proxy Pinging 機能によって、PIX Firewall インターフェイスへの ICMP アクセスを制御できます。この機能は、PIX Firewall インターフェイスを外部ネットワーク上のユーザが検出できないように隠します。


) ICMP 到達不能メッセージ タイプ 3 を許可することを推奨します。ICMP 到達不能メッセージを拒否すると、ICMP Path MTU ディスカバリがディセーブルになり、IPSec トラフィックと PPTP トラフィックが停止されることになります。


特定のプロトコルおよびアプリケーションのサポート

この項では、PIX Firewall が、特定のプロトコルやアプリケーションを安全に使用できるようにする方法について説明します。ここでは、次の項目について説明します。

「アプリケーション検査の動作」

「Voice over IP」

「マルチメディア アプリケーション」

「LDAP Version 2 および ILS」

「NetBIOS over IP」

「マルチキャスト伝送の転送」

アプリケーション検査および各種アプリケーションに対するアプリケーション検査の動作については、「アプリケーション検査(フィックスアップ)の設定」を参照してください。

アプリケーション検査の動作

FTP、マルチメディア アプリケーションなど、特定のインターネット アプリケーションの動作については、PIX Firewall が、NAT または PAT の実行方法を一部調整して、発信したサービス要求に対する応答を開いたポートが受信するようにする必要があります。アプリケーション検査によって、こうした調整を行うために必要な情報が PIX Firewall に提供されます。

アドレス変換」の項で説明したように、PIX Firewall は、NAT または PAT を、NAT または PAT がイネーブルになっているホストからの IP パケットの発信元アドレスに適用します。しかし、「異常な動作をする」アプリケーションによって、パケットのユーザ データ部分にネットワーク アドレス、その他の情報を持つ IP パケットが作成されます。この情報をそのままにしておくと、発信元アドレス フィールドのアドレスが、ユーザ データ フィールドに埋め込まれたアドレスと一致しなくなるため、アプリケーションが動作しなくなります。

この問題を解決するために、これらのパケットに NAT または PAT が適用された場合、アプリケーション検査機能は、PIX Firewall による追加アドレス情報の検索を支援し、そのアドレス情報がアドレス変換されるようにします。PIX Firewall は、このアドレッシング情報を変換した後、アプリケーション検査を使用して、パケット長やチェックサム情報を含むフィールドなど、影響を受けるパケット内のほかのフィールドを調整します。

デフォルトでは、PIX Firewall によって、HTTP などの多くのインターネット アプリケーションを使用して発信した要求に対する応答が許可されます。これらのサービスは、周知の TCP ポート上で要求と応答を送信します。

ただし、FTP など、アプリケーションの中には、周知の TCP ポートを使用して、ユーザ データを実際に交換するために使用されるセカンダリ ポートの使用をネゴシエートするものがあります。これらのアプリケーションの安全な使用をサポートするために、PIX Firewall は、最初のポートで行われるネゴシエーションを監視して、応答が受信されるポートを判別する必要があります。繰り返しますが、これらのアプリケーションからの応答を受信するために必要なポートを識別し、開くために必要な情報を提供する機能が、アプリケーション検査です。

Voice over IP

この項では、Voice over IP(VoIP)トラフィックの伝送のために PIX Firewall により提供されるサポートについて説明します。次の事項を取り上げます。

「CTIQBE(TAPI)」

「H.323」

「RAS Version 2」

「MGCP」

「SCCP」

「SIP」


) PIX Firewall Version 6.2 には、H.323 と SIP 用の PAT サポートが導入されています。このサポートは、アドレス スペースを拡張して、VoIP ネットワークを実装するときに必要な、大量のエンドポイントの収容に便利です。


CTIQBE(TAPI)

Telephony API(TAPI)および Java Telephony API(JTAPI)は、Cisco VoIP アプリケーションが使用するプロトコルです。PIX Firewall Version 6.3 では、Cisco TAPI Service Provider(TSP)を使用して Cisco CallManager と通信する特定のプロトコル Computer Telephony Interface Quick Buffer Encoding(CTIQBE)のサポートが導入されています。

H.323

PIX Firewall Version 6.3 では、同じ通話シグナリング チャネル上での複数のコールを含む、H.323 Version 3 および 4 のサポートを導入しています。PIX Firewall Version 5.2 以降では、H.323 Version 2 の安全な使用がサポートされています。H.323 は、International Telecommunication Union(ITU; 国際電気通信連合)によって定義されている、LAN を介したマルチメディア会議用のプロトコル群です。提供されている機能のいくつかを次に示します。

高速コール セットアップのための Fast Connect または Fast Start Procedure

H.245 トンネリングによるリソース保存、コール同期化、およびセットアップ時間の短縮

コール リダイレクション

会議:両方のエンドポイントが参加に同意するまで、会議は確立されません。

同じ通話シグナリング チャネル上での複数のコール(Version 6.3)

RAS Version 2

Registration, Admission, and Status(RAS)プロトコルは、ビデオとオーディオを符号化するテレビ会議および Voice over IP などのマルチメディア アプリケーションに必要です。RAS チャネルは、帯域幅変更メッセージ、登録メッセージ、アドミッション メッセージ、およびステータス メッセージ(H.225 勧告に準拠)をエンドポイントとゲートキーパー間で伝送します。マルチメディア アプリケーションは、大量のダイナミック ネゴシエーション データを使用し、チャネルを制御して、さまざまなビデオとオーディオのデータ ストリームを処理します。

MGCP

Cisco Firewall Version 6.3 では、Media Gateway Control Protocol(MGCP; メディア ゲートウェイ コントロール プロトコル)のアプリケーション検査のサポートが導入されています。MGCP は、メディア ゲートウェイ コントローラまたは Call Agent と呼ばれる外部コール制御要素からメディア ゲートウェイを制御するために使用されます。

SCCP

Skinny(または Simple)Client Control Protocol(SCCP)は、VoIP ネットワークで使用される簡素化されたプロトコルです。Cisco CallManager、Cisco IP Phone、その他の Cisco IP テレフォニー製品を使用するときは、このプロトコルを安全に取り扱うことが必要です。

SCCP クライアントは、H.323 プロキシと結合されたとき、H.323 準拠ターミナルと連携して動作できます。PIX Firewall 内のアプリケーション検査は、SCCP Version 3.1.1 と連動します。PIX Firewall のアプリケーション検査機能は、SCCP シグナリング パケットの NAT を提供することによって、すべての SCCP シグナリング パケットとメディア パケットが PIX Firewall を通過できることを保証します。


) PIX Firewall Version 6.3 では、SCCP に対する PAT サポートが導入されています。


SIP

Session Initiation Protocol(SIP; セッション開始プロトコル)によって、コール処理セッション、特に二者間の電話会議、つまり「コール」が使用可能になります。PIX Firewall は、SIP VoIP ゲートウェイと VoIP プロキシ サーバをサポートしています。ダイナミックに割り当てられる UDP ポートに対して SDP を使用した定義もサポートしています。

マルチメディア アプリケーション

ユーザによる広範囲のマルチメディア アプリケーション利用が増えるにつれて、多数のマルチメディア アプリケーションでファイアウォール環境での特殊処理が必要になっています。
PIX Firewall は、クライアントを再設定しなくても、マルチメディア アプリケーションを処理し、パフォーマンス上のボトルネックにはなりません。PIX Firewall がサポートしているマルチメディア アプリケーションを具体的に次に示します。

RealAudio

Streamworks

CU-SeeMe

Intel Internet Phone

IRC

Vxtreme

VDO Live


) 特定のプロトコルを使用するトラフィックは、アクセス リストを使用して防止できます。


PIX Firewall は、Real Time Streaming Protocol(RTSP)パケットを安全に転送します。RTSP は、RealAudio、RealNetworks、Apple QuickTime 4、RealPlayer、および Cisco IP/TV の接続で使用されます。この機能によって、ファイアウォールによる Cisco IP/TV 接続などのマルチメディア アプリケーション処理が可能になります。


PIX Firewall には、RTSP メッセージが HTTP メッセージ内に隠されている HTTP クローキングを認識する機能はまだ備えられていません。また、RTSP は NAT ではサポートされていません。


LDAP Version 2 および ILS

PIX Firewall Version 6.2 以降では、Lightweight Directory Access Protocol(LDAP)Version 2(Internet Locator Service(ILS)で使用される)と一緒に NAT を使用することがサポートされています。ILS に依存するアプリケーションには、Microsoft NetMeeting と SiteServer Active Directory があります。これらのアプリケーションは、ILS を使用して ILS ディレクトリ内のエンドポイントの登録内容と場所を提供します。

PIX Firewall の前バージョンでも NetMeeting をサポートしていましたが、ILS と一緒に NAT を使用することはサポートしていませんでした。NAT にサポート LDAP Version 2 を追加したことで、PIX Firewall は、NetMeeting によって確立される H.323 セッション用に NAT をサポートしています。

NetBIOS over IP

PIX Firewall は、内部ネットワークから外部ネットワークへの NetBIOS over IP 接続をサポートしています。このサポートによって、NAT を使用している可能性のある、内部ネットワーク上の Microsoft クライアント システムが、外部ネットワーク上にある Windows NT などのサーバにアクセスできます。このアクセスが可能になることで、セキュリティ ポリシーに、イントラネットの内部とインターネット上に広がる Microsoft 環境を含めることができます。また、Microsoft 環境のネイティブ アクセス制御を使用できます。

マルチキャスト伝送の転送

Internet Group Management Protocol(IGMP; インターネット グループ管理プロトコル)は、特定のホストを、Multicast(MC; マルチキャスト)ルータを持つ特定の LAN 上のマルチキャスト グループにダイナミックに登録するために使用されます。MC ルータは、マルチキャスト データ伝送を、インターネットワーク内の各 LAN 上にある、特定のマルチメディアやその他のブロードキャストの受信用に登録されているホストに効率よくルーティングします。

PIX Firewall Version 6.2 以降には、Stub Multicast Routing(SMR)機能が用意されています。SMR によって、PIX Firewall は、「スタブ ルータ」(IGMP プロキシ エージェントとして動作するデバイス)として動作します。スタブ ルータは、完全な MC ルータとしては動作せず、ホストと MC ルータとの間で IGMP メッセージを転送するだけです。

バーチャル プライベート ネットワークの作成

この項では、Virtual Private Network(VPN; バーチャル プライベート ネットワーク)テクノロジーの概要を述べ、PIX Firewall によってこのテクノロジーを実装する方法について説明します。次の項目について説明します。

「VPN」

「IPSec」

「Internet Key Exchange(IKE)」

「認証局(CA)」

「サイトツーサイト VPN の使用」

「Cisco Easy VPN サーバのリモート アクセスをサポートする」

IPSec を使用して VPN を作成するための基本的な設定手順については、「IPSec と認証局の設定」を参照してください。サイトツーサイト VPN を確立するための設定例と手順、および認証局の使用方法については、「サイトツーサイト VPN の設定例」を参照してください。リモート アクセス VPN を作成するための設定例と手順については、「VPN リモート アクセスの管理」を参照してください。

VPN

VPN は、パブリック インターネット上で地理的に分散しているユーザとサイトを、安全に相互接続する論理ネットワークです。VPN では、専用フレームリレーやダイヤルアップ接続に基づく従来の WAN に比べて、低価格、信頼性の向上、管理の簡便性を実現できます。また、専用ネットワークと同じセキュリティとポリシーを維持できます。お客様、ビジネス パートナー、在宅勤務者などのリモート ユーザは、企業のコンピューティング リソースに安全にアクセスできます。

IPSec は、ベンダーに依存せずに VPN を確立する方法を定義する規格です。PIX Firewall には、セキュリティ機能の一部として、IPSec 規格に基づく VPN 機能が用意されています。IPSec を使用すると、盗聴、改ざん、スプーフィングなどの脅威にさらされることなく、パブリック ネットワーク上でデータを伝送できます。

サイトツーサイト VPN とリモート アクセス VPN は、PIX Firewall でサポートされている 2 つの主要な VPN です。

IPSec

IPSec は、インターネットなどの保護されていないネットワーク上で機密情報の伝送が安全に実行できるようにします。IPSec はネットワーク層で動作し、PIX Firewall 装置など、関与する IPSec デバイス(ピア)間の IP パケットを保護および認証します。

IPSec には、次のネットワーク セキュリティ サービスがあります。

データの機密性:IPSec 送信者は、パケットを暗号化した後で、ネットワークを通して送信できます。

データの整合性:IPSec 受信者は、IPSec 送信者が送信したパケットの認証を行い、伝送中にデータが変更されていないことを保証できます。

データの発信者認証:IPSec 受信者は、送信された IPSec パケットの発信元の認証を行うことができます。このサービスはデータの整合性サービスに依存します。

リプレイ攻撃防止:IPSec 受信者は、リプレイ パケットの検出および拒否を行うことができます。


) データ認証という用語は、一般に、データの整合性、およびデータの発信者認証を意味します。この章では、特に指定がない限り、リプレイ攻撃防止も含みます。


IPSec は、2 台の PIX Firewall 装置など 2 つのピアの間にセキュアなトンネルを作ります。管理者は、機密性が高いと考えられ、このセキュアなトンネルを通して送信する必要があるパケットを定義し、この機密性の高いパケットを保護するために使用するパラメータを、トンネルの特性を指定することによって定義します。次に、IPSec ピアがこのような機密性の高いパケットを検出すると、それにふさわしいセキュアなトンネルをセットアップし、そのトンネルを通してパケットをリモート ピアに送信します。情報の伝送に使用されるセキュアなトンネルは、Security Association(SA; セキュリティ結合)によって記述される暗号キーやその他のセキュリティ パラメータに基づいています。


) PIX Firewall Version 6.3 では、Advanced Encryption Standard(AES; 高度暗号規格)および Diffie-Hellman Group 5 のサポートが導入されています。


Internet Key Exchange(IKE)

IPSec が自動的にセキュアなトンネルを確立するプロセスは、次の 2 つのフェーズで構成されています。

フェーズ 1:Internet Key Exchange(IKE)プロトコルを使用して、IKE SA のペアを設定します。IKE SA は、アプリケーション データの実際の伝送に使用される IPSec SA のネゴシエーションに使用されます。

フェーズ 2:IKE SA により提供されるセキュアなチャネルを使用して、IPSec SA をネゴシエートします。このフェーズの終わりに、両方のピアが IPSec SA のペアを設定し、その IPSec SA がアプリケーション データの伝送に使用されるセキュアなトンネルを作成します。SA パラメータの 1 つにライフタイム パラメータがあり、そこに設定される時間が経過すると自動的に SA が期限満了になるようにして、IPSec のセキュリティを強化しています。

IKE プロトコルは、IPSec SA のネゴシエーションのためにセキュアなトンネルを確立します。IKE プロトコルでは、IPSec を実装するときに、すべての IPSec ピアを手動で設定する必要はありません。各ピアが IPSec を使用して通信する相手ピアすべてに対して SA のペアが必要となるため、ピアの数が増えるにつれて、IPSec ピアの手動設定は、非常に複雑になります。

IKE は、IPSec と同様に、SA のペアを使用して 2 つのピア間に通信用のセキュアなトンネルを確立します。しかし、IKE がその SA を使用して確実な SA のネゴシエーションを行うのは IPSec トンネル確立のためであって、ユーザ情報の伝送のためではありません。

手動で SA を設定して、2 つのピア間に IPSec トンネルを確立することもできます。ただし、この方法は、手動で設定した SA が自動的には期限満了になることがないため、それほどセキュアではありません。また、ピアの数が増えるにつれ、スケーラビリティが厳しくなるという問題が生じます。IPSec を使用するピアをネットワークに追加するときには、必ず既存のピアそれぞれに新しい SA のペアが必要となります。このため、手動設定の使用は、リモート ピアで IKE がサポートされていない場合に限られます。

IKE SA は、IPSec SA の手動設定と同様の方法で、事前共有キーを使用して設定できます。しかし、この方法にも、IPSec SA の手動設定の場合と同様に、スケーラビリティという問題の影響を受けます。Certification Authority(CA; 認証局)は、IKE SA の設定のためにキーを共有するスケーラブルな方法を提供します。

認証局(CA)

IKE の設定に CA がどのように役立つかを理解するには、公開キー/秘密キー暗号化について理解する必要があります。公開キー/秘密キーは、非対称キーとも呼ばれ、ペアで作成されます。このペアの片方のキーで暗号化されたデータは、もう一方のキーを使用しない限り暗号解読はできません。片方のキーは秘密にされ(秘密キーと呼ばれる)、もう一方のキーは簡単に利用できるようになっています(公開キーと呼ばれる)。あるピアが秘密キーの所有者と秘密事項を共有する必要がある場合、そのピアは、公開キーを使用して情報を暗号化するだけで済みます。元の情報の暗号を解除する方法としては、ただ 1 つ秘密キーを使用する方法があるだけです。この方法では、暗号化された情報が、解読に必要な秘密キーを伝送することなく、アンセキュアなネットワーク上で共有できます。

公開キー/秘密キー ペア固有の特性によって、優れた認証方式が実現します。公開キーは、対応する秘密キーで暗号化されたメッセージに限り暗号解読できます。メッセージが所定の公開キーを使用して解読できる場合、そのメッセージの送信者が対応する秘密キーを所有していることが確認されます。

この確認が得られることこそ CA が広く使用される理由です。公開キー証明書、またはデジタル証明書は、1 つの公開キー/秘密キーのペアを、所定の IP アドレスまたはホスト名に関連付けるために使用されます。CA は、指定された期間公開キー証明書を発行します。CA は、組織自体が運営するプライベート(インハウス)CA の場合もあれば、公的 CA の場合もあります。VeriSign のような公的 CA は、信頼できる第三者によって運営され、各クライアントまたは各サーバに対して証明書を発行して、本人であることを認証します。

デジタル証明書は、IKE プロトコルによる最初の SA ペアの作成に使用し、その SA ペアが IPSec SA をネゴシエートするためのセキュアなチャネルを提供します。IKE SA のネゴシエーションに証明書を使用するには、両方の IPSec ピアが、公開キー/秘密キーのペアを生成し、公開キー証明書を要求して、受信する必要があります。両方の IPSec ピアは、証明書を発行する CA を信頼するように設定されていることが必要です。

多くのブラウザが、デフォルトでは VeriSign など周知の CA からの証明書を信頼しており、CA の追加、およびデジタル証明書の生成と要求のためのオプションを用意しています。ブラウザ ソフトウェアは、ユーザに配布する前に、関連する CA と必要な証明書を使用して、事前に設定することもできます。

IKE と一緒にデジタル証明書を使用するように PIX Firewall を設定する手順については、「IPSec と認証局の設定」「認証局の使用」を参照してください。

サイトツーサイト VPN の使用

サイトツーサイト VPN は、WAN の代替インフラストラクチャであり、専用回線、フレームリレー、または ATM を使用する既存のプライベート ネットワークを置き換えて補強し、SOHO 環境を接続します。サイトツーサイト VPN の場合、PIX Firewall は、Cisco VPN ルータなどの Cisco VPN 対応ネットワーク デバイスと連携して動作できます。

サイトツーサイト VPN は、PIX Firewall とリモート IPSec セキュリティ ゲートウェイとの間に確立されます。リモート IPSec セキュリティ ゲートウェイは、PIX Firewall、Cisco VPN コンセントレータまたは VPN 対応ルータの場合もあれば、IPSec 準拠の任意のサードパーティ デバイスの場合もあります。設定手順については、「IPSec と認証局の設定」を参照してください。設定例については、「サイトツーサイト VPN の設定例」を参照してください。

Cisco Easy VPN サーバのリモート アクセスをサポートする

PIX Firewall は、サイトツーサイト トラフィックとリモート アクセス トラフィックの両方を含む混合 VPN 配置をサポートしています。リモート アクセス VPN は、アナログ、ダイヤル、ISDN、DSL、モバイル IP、およびケーブルという各種テクノロジーを使用して、モバイル ユーザや在宅勤務者など、個別のシステムを PIX Firewall で保護しているネットワークに接続します。PIX Firewall を Easy VPN サーバとして使用すると、PIX Firewall 上の 1 つの場所に VPN ポリシーを設定してから、そのコンフィギュレーションを複数の Easy VPN リモート デバイスに適用できます。Version 6.2 以降を実行する任意の PIX Firewall 装置を Easy VPN サーバとして使用できます。

Easy VPN サーバとしての PIX Firewall とともに使用できる各種の Cisco Easy VPN リモート デバイスを次に示します。

ソフトウェア クライアント:Easy VPN サーバに直接接続しますが、各ホスト コンピュータ上に事前にクライアント ソフトウェアをインストールし、設定しておく必要があります。たとえば、次のようなものがあります。

Cisco VPN Client Version 3.x(Unity Client 3.x とも呼ばれる)

Cisco VPN 3000 Client Version 2.5(Altiga VPN Client Version 2.5 とも呼ばれる)

ハードウェア クライアント:リモート ネットワーク上の複数のホストが、Easy VPN サーバによって保護されているネットワークにアクセスできるようにします。リモート ホスト上での特別なコンフィギュレーションやソフトウェア インストールは不要です。たとえば、次のようなものがあります。

Cisco PIX 501 または PIX 506/506E

Cisco VPN 3002 Hardware Client

Cisco IOS ソフトウェアベースの Easy VPN リモート デバイス(たとえば、Cisco 800 シリーズおよび 1700 シリーズのルータ)

PIX Firewall Version 6.3 では、リモート アクセス VPN のセキュリティ、信頼性、およびスケーラビリティを向上させる次の機能のサポートが導入されています。

Individual User Authentication(IUA; 個別ユーザ認証):Easy VPN リモート ハードウェア クライアントによって保護されているリモート アクセス ネットワーク上のユーザを認証できるようにします。

Secure Unit Authentication(SUA; セキュア ユニット認証):Easy VPN リモート ハードウェア クライアントの追加認証を可能にします。

インターネット アクセス用の設定可能なポリシー:IKE トンネルが存在しない場合に Easy VPN リモート デバイスを介するアクセスを制御するための設定可能なポリシーを提供します。

Easy VPN サーバのロード バランシングと冗長性:ロード バランシングとアベイラビリティに基づいて、Easy VPN リモート デバイスをサーバに誘導できるようにします。

X.509 証明書のサポート:RSA-SIG サポートを提供することにより、IPSec メイン モードの使用を可能にします。

高度暗号規格(AES)と Diffie-Hellman group 5:Easy VPN リモート デバイス用の追加の暗号化オプションを提供します。

PIX Firewall Version 6.3 では、クラスタの Easy VPN サーバ間のロード バランシングと冗長性のサポートが導入されています。また、ユーザレベルの認証など、追加のクライアント認証オプションも用意されています。PIX Firewall を Easy VPN サーバとして使用する方法の詳細については、「VPN リモート アクセスの管理」を参照してください。第 8 章では、Point-to-Point Protocol(PPTP; ポイントツーポイント プロトコル)を使用するための設定手順についても説明しています。

PIX 501 または PIX 506/506E を Easy VPN リモート デバイスとして使用する方法については、「SOHO ネットワークにおける PIX Firewall の使用」を参照してください。L2TP、Windows 2000、Cisco Secure VPN Client Version 1.1 など、ほかの VPN ソフトウェア クライアントにリモート アクセスを設定する方法については、 付録 B「その他のリモート アクセス クライアントの設定例」 を参照してください。

SOHO 環境での PIX Firewall の使用方法

この項では、SOHO 環境で使用するための PIX Firewall の機能について説明します。ここでは、次の事項を取り上げます。

「Easy VPN Remote デバイスとしての PIX Firewall の使用方法」

「PPPoE」

「DHCP サーバ」

「DHCP クライアント」

この項で説明する機能の設定方法については、「SOHO ネットワークにおける PIX Firewall の使用」を参照してください。

Easy VPN Remote デバイスとしての PIX Firewall の使用方法

Cisco VPN 3000 Concentrator やほかの PIX Firewall などの Easy VPN サーバに接続するときに、PIX Firewall Version 6.2 以降を実行する PIX 501 または PIX 506/506E を Easy VPN リモート ハードウェア クライアントとして使用できます。Easy VPN リモート ハードウェア クライアントを使用すると、PIX Firewall の内側にある LAN 上で稼働しているホストが、個々に VPN クライアント ソフトウェアを実行せずに、Easy VPN サーバに接続できます。

PPPoE

Point-to-Point Protocol over Ethernet(PPPoE)は、広く受け入れられている 2 つの標準であるイーサネットと Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)を組み合せて、クライアント システムにIP アドレスを割り当てるための認証方式を提供するものです。PPPoE クライアントは多くの場合、DSL やケーブル サービスなどのリモート ブロードバンド接続を通じて ISP に接続された、パーソナル コンピュータです。ISP が PPPoE を展開する理由は、PPPoE が既存のリモート アクセス インフラストラクチャを使用した高速ブロードバンド アクセスをサポートできることや、顧客が簡単に使用できることなどにあります。

PIX Firewall Version 6.2 以降では、PPPoE クライアント機能が用意されています。この機能により、PIX Firewall の SOHO ユーザは、DSL モデムを使用して ISP に接続できます。


) PIX Firewall の PPPoE クライアントをイネーブルにできるのは、外部インターフェイス上に限られます。


ISP は、PPPoE を使用することによって、一般にダイヤルアップ接続による PPP の使用が基本となっている既存のインフラストラクチャを変更せずに、DSL を展開できます。

DHCP サーバ

Dynamic Host Configuration Protocol(DHCP; ダイナミック ホスト コンフィギュレーション プロトコル)は、インターネット ホストに自動コンフィギュレーション パラメータを供給するプロトコルです。このプロトコルには次の2つのコンポーネントがあります。

DHCP サーバからホスト(DHCP クライアント)にホスト固有のコンフィギュレーション パラメータを配送するプロトコル

ネットワーク アドレスをホストに割り当てるメカニズム

DHCP サーバは、コンフィギュレーション パラメータを DHCP クライアントに供給するだけのコンピュータです。DHCP クライアントは、DHCP を使用してネットワーク コンフィギュレーション パラメータを取得するコンピュータまたはネットワーク装置です。

PIX Firewall は、DHCP サーバとして動作する場合、IP アドレスを、指定された IP アドレスのプールから DHCP クライアントにダイナミックに割り当てます。

PIX Firewall Version 6.2 以降では、DHCP オプション 66 要求と DHCP オプション 150 要求がサポートされています。これによって、Cisco IP Phone などの DHCP クライアントは、指定された TFTP サーバのアドレスを取得できます。Cisco IP Phone は、一般に Cisco CallManager サーバへの接続に必要な構成情報を TFTP サーバから取得します。DHCP オプション 66 要求は、DHCP サーバに単独 TFTP サーバのアドレスの提供を求めます。オプション 150 要求は、TFTP サーバのリストを取得します。

PIX Firewall Version 6.3 以降では、すべてのインターフェイス上で DHCP サーバを使用できます。以前のバージョンでは、DHCP サーバを使用できるのは内部インターフェイス上に限られていました。

DHCP リレー

PIX Firewall Version 6.3 では、DHCP リレーがサポートされています。用意されている DHCP リレー エージェントを使用すると、PIX Firewall の内部インターフェイス上のホストに IP アドレスをダイナミックに割り当てることができます。DHCP リレー エージェントは、内部インターフェイス上のホストから要求を受け取ると、その要求を外部インターフェイス上の指定された DHCP サーバの 1 つに転送します。

DHCP クライアント

PIX Firewall の設計では、DHCP サーバ機能をサポートする DSL モデムまたはケーブル モデムに直接接続された PIX Firewall を使用して、SOHO 環境で使用することを目的に、DHCP クライアントをサポートしています。


) 外部インターフェイス上に限り、PIX Firewall の DHCP クライアントをイネーブルにできます。


PIX Firewall 上で DHCP クライアント機能をイネーブルにすると、PIX Firewall は DHCP サーバに対する DHCP クライアントとして機能します。これを行うことにより、サーバは、IP アドレス、サブネット マスク、およびオプションのデフォルト ルートで外部インターフェイスを設定できます。


) 汎用 DHCP サーバから IP アドレスを取得するため、DHCP クライアント機能の使用はサポートされていません。さらに、PIX Firewall の DHCP クライアントは、フェールオーバー コンフィギュレーションをサポートしていません。


PIX Firewall へのアクセスと監視

この項では、PIX Firewall システムへのアクセスと監視方法について説明します。次の項目について説明します。

「リモート PIX Firewall の内部インターフェイスへの接続」

「Cisco PIX Device Manager(PDM)」

「コマンド認証」

「Telnet インターフェイス」

「SSH Version 1」

「NTP」

「オート アップデート」

「パケットの取得」

「SNMP の使用方法」

「XDMCP」

「Syslog Server の使用」

「FTP と URL のロギング」

「Cisco IDS との統合」

この項で説明する機能の設定については、「PIX Firewall のアクセスと監視」を参照してください。

リモート PIX Firewall の内部インターフェイスへの接続

PIX Firewall Version 6.3 では、VPN トンネルを介して PIX Firewall の内部インターフェイスへのリモート管理接続を行うことができます。これは、Easy VPN リモート デバイスとして使用される PIX Firewall を管理者がリモートで管理できるようにするための機能です。このような PIX Firewall の外部インターフェイスには、通常、IP アドレスがダイナミックに割り当てられます。

Cisco PIX Device Manager(PDM)

Cisco PIX Device Manager(PDM)は、ブラウザベースのコンフィギュレーション ツールで、
PIX Firewall のコマンドライン インターフェイス(CLI)に関する詳しい知識がなくても、GUI で PIX Firewall のセットアップ、設定、監視を行うことができます。PDM は、Windows NT、Windows 95、Windows 2000、または Solaris の Web ブラウザに管理インターフェイスを提供します。PDM へのアクセスはパスワード保護されており、暗号化には Secure Sockets Layer(SSL)が使用され、指定された IP アドレスを持つクライアント システムへのアクセスは制限されます。

コマンド認証

PIX Firewall Version 6.2 以降には、PIX Firewall への管理者用アクセスを認証および、許可するよりも柔軟な方法が用意されています。Cisco IOS ソフトウェアのコマンド許可と同様に、PIX Firewall では、現在、最大 16 の特権レベルを CLI コマンドに割り当てることができます。これらの特権レベルに結び付けられたユーザ アカウントまたはログイン コンテキストの作成は、ローカルでも TACACS+ サーバを使用しても行えます。syslog メッセージによるコマンド トレーシングなど、CLI コマンドの使用方法に関する追加情報も提供されています。

Telnet インターフェイス

PIX Firewall の Telnet インターフェイスは、Cisco IOS ソフトウェアと類似のコマンドライン インターフェイスです。Telnet インターフェイスによって、コンソール インターフェイスからリモートで PIX Firewall を管理できます。Telnet インターフェイスは、内部のネットワーク内の指定クライアント システムへの Telnet インターフェイスよるアクセスを制限し(発信元アドレスに基づいて)、パスワードで保護されています。内部のネットワークが安全でなく、LAN 上のセッションがスヌーピングされる可能性がある場合は、Telnet インターフェイスの使用を制限することが必要です。IPSec を設定した場合は、外部インターフェイスから PIX Firewall のコンソールにアクセスすることもできます。

SSH Version 1

PIX Firewall は、SSH Version 1 で提供されている SSH リモート シェル機能をサポートします。SSH は PIX Firewall のリモート コンフィギュレーションのセキュリティを確保し、暗号化機能および認証機能を提供できます。

NTP

PIX Firewall Version 6.2 以降では、PIX Firewall は、Network Time Protocol(NTP; ネットワーク タイム プロトコル)Version 3.0 サーバのクライアントとして動作できます。PIX Firewall は、NTP クライアントとして、その時刻を、自立した階層構造で動作している一連の分散タイム サーバに同期させることができます。Public Key Infrastructure(PKI)を使用して VPN を実装するとき、Certificate Revocation List(CRL; 証明書失効リスト)を確認するには、正確に調整された時刻が必要です。時刻が正確であればあるほど、トラブルシューティング、またはセキュリティ上の問題の監視に使用されるログ エントリの精度が向上します。

オート アップデート

オート アップデートは、PIX Firewall Version 6.2 以降でサポートされているプロトコル仕様です。この仕様では、PIX Firewall がコンフィギュレーションおよびソフトウェア イメージをダウンロードでき、中央の Auto Update Server(AUS)から基本的な監視を実行できます。

パケットの取得

PIX Firewall Version 6.2 以降には、強化および改善されたパケットの取り込み機能が用意されており、これによって ARP パケットを含むパケットをリニア バッファに取り込むことができます。アクセス リストを使用すると、PIX Firewall の特定のインターフェイス上で取り込むパケットを定義できます。その後で、取り込んだパケットをコンソールに表示したり、パケット取り込みバッファの内容を TFTP サーバに転送できます。

SNMP の使用方法

PIX Firewall は、SNMP を使用したネットワーク監視をサポートしています。SNMP インターフェイスから、従来のネットワーク管理システムを通して PIX Firewall を監視できます。PIX Firewall では、読み取り専用アクセスを許可する SNMP GET コマンドだけがサポートされています。

SNMP Firewall と Memory Pool MIB によって、PIX Firewall のステートの追加情報を検出するために使用できるトラップの個数が増加します。次のイベントが含まれています。

バッファ使用状況。 show block コマンドで表示。

コネクション カウント。 show conn コマンドで表示。

フェールオーバー ステータス。

メモリ使用状況。 show memory コマンドで表示。


) PIX Firewall Version 6.2 以降では、SNMP を介した CPU の使用状況の監視がサポートされています。この機能によって、ネットワーク管理者は、HP OpenView などの SNMP 管理用ソフトウェアを使用して、キャパシティ プラニングのために PIX Firewall の CPU 使用状況を監視できます。この CPU 使用状況に関する情報は、show cpu usage コマンドで表示される情報と同じです。


XDMCP

PIX Firewall は、 established コマンドを使用した X Display Manager Control Protocol(XDMCP)による接続をサポートしています。この機能は、XWindows セッションをネゴシエートし、宛先ポート 6000 で初期接続を作成します。XDMCP 処理は、その他の UDP アプリケーション検査機能と同じように、デフォルトでイネーブルになっています。

Syslog Server の使用

PIX Firewall は、TCP および UDP Syslog メッセージを既存の syslog サーバに送信し、Windows NT システムで使用できる syslog サーバを提供します。Windows NT Syslog サーバは、タイムスタンプ付きの syslog メッセージを提供し、代替ポートでメッセージを受信します。メッセージを受信できない場合に、PIX Firewall トラフィックを停止するように設定できます。Windows NT Syslog サーバは、Windows NT ログ ディスクが一杯になった場合、または、サーバがダウンした場合に、PIX Firewall 接続を停止するように設定することもできます。

FTP と URL のロギング

FTP と URL のロギング機能によって、ユーザの入力した着信 FTP コマンドおよび発信 FTP コマンド、およびほかのサイトへのアクセスに使用される URL を表示できます。この機能によって、内部サイトおよび外部サイトのユーザ アクセスを監視できます。また、問題があるサイトへのアクセスを阻止するために使用できるデータを提供します。この機能は、 logging trap debugging コマンド文でイネーブルにします。この機能を使用すると、高トラフィックの PIX Firewall に膨大な量の syslog データが生成される可能性があるので注意してください。

Cisco IDS との統合

PIX Firewall は、Cisco Intrusion Detection System(Cisco IDS)と連携して動作できます。PIX Firewall は、IDS シグニチャをトラップし、syslog メッセージとして Syslog サーバに送信します。この機能がサポートしているのは、シングル パケットの IDS シグニチャだけです。

PIX Firewall フェールオーバー

PIX Firewall のフェールオーバー機能によって、2 台の同じ PIX Firewall 装置を特別なフェールオーバー ケーブルで接続し、完全に冗長なファイアウォール ソリューションを実現できます。

PIX Firewall フェールオーバー機能を設定するには、「PIX Firewall フェールオーバーの使用方法」を参照してください。フェールオーバー機能を前のバージョンからアップグレードする手順については、「フィーチャ ライセンスとシステム ソフトウェアの変更」 旧バージョンのフェールオーバー システムのアップグレードを参照してください。

表 1-1 に、各種の PIX Firewall モデルで提供されるフェールオーバー機能のサポートの概要を示します。

 

表 1-1 フェールオーバーのサポート

PIX Firewall モデル
フェールオーバーのサポート

PIX 501

サポートされていない

PIX 506/506E

サポートされていない

PIX 515/515E

追加ライセンスが必要

PIX 525

フル サポートで出荷

PIX 535

フル サポートで出荷

フェールオーバーを実装する場合、片方の装置はアクティブ装置として動作し、もう一方の装置はスタンバイ装置として動作します。両方の装置には同じコンフィギュレーション、同じバージョンのソフトウェアを実行する必要があります。

PIX Firewall Version 6.2 以降では、専用のイーサネット インターフェイスで接続された装置 2 台間のフェールオーバー(LAN ベースのフェールオーバー)がサポートされています。LAN ベースのフェールオーバーでは、特別なフェールオーバー ケーブルが必要なくなっており、旧バージョンの PIX Firewall でフェールオーバーを実装するときの、フェールオーバー ケーブルが原因の距離制限が克服されています。

フェールオーバーでは、2 台の PIX Firewall 装置は、コンフィギュレーション情報とセッション ステート情報を同期させることができるので、アクティブ装置に障害が発生した場合、ネットワーク接続やセキュリティを中断せずに、スタンバイ装置がその役割を担うことができます。

PIX Firewall の OS とライセンスのアップグレード

PIX Firewall ソフトウェアは、強化された専用のオペレーティング システムで、パフォーマンス、セキュリティ、インターネット デバイスやアプリケーションとの連携動作を一層向上するために、引き続き改善が加えられます。最新のソフトウェア リリースの入手とインストールについては、「フィーチャ ライセンスとシステム ソフトウェアの変更」を参照してください。

PIX Firewall Version 6.2 以降では、オペレーティング システム ソフトウェアを再インストールせずに、ライセンスをアップグレードできます。新しい CLI コマンドを追加したことによって、ソフトウェア イメージを再インストールせず、しかもモニタ モードに入らずに、コマンドライン インターフェイスからアクティベーション キーをアップグレードできます。詳細については、「フィーチャ ライセンスとシステム ソフトウェアの変更」を参照してください。

Trivial File Transfer Protocol(TFTP; トリビアル ファイル転送プロトコル)コンフィギュレーション サーバを使用して、セントラル ソースから複数の PIX Firewall 装置用のコンフィギュレーションを取得できます。ただし、TFTP は本質的にアンセキュアなため、クリア テキスト内の特権情報を共有するとネットワーク セキュリティ ポリシーの違反となるネットワーク上では使用しないでください。

TFTP を使用して、.bin イメージを CCO から PIX Firewall にダウンロードして、PIX Firewall 上でソフトウェア イメージのアップグレードまたは置き換えを行うこともできます。TFTP はファイル転送時に認証を行わないため、リモート ホストに関するユーザ名とパスワードは不要です。

コマンドライン インターフェイスの使用

この項では、PIX Firewall の CLI の使用方法について説明します。

「アクセス モード」

「設定モードへのアクセス」

「コマンドの省略形」

「PIX Firewall コンフィギュレーションのバックアップ」

「コマンドラインの編集」

「Show コマンド出力のフィルタリング」

「コマンド出力のページング」

「コメント」

「コンフィギュレーションのサイズ」

「ヘルプ情報」

「デフォルト コンフィギュレーションの表示」

「デフォルト コンフィギュレーションのリセット」

「コンフィギュレーション設定のクリアと削除」


PIX Firewall CLI は、Cisco IOS CLI と類似した構文および異なる表記法を使用しますが、PIX Firewall のオペレーティング システムが、Cisco IOS ソフトウェアのバージョンの 1 つとは限りません。Cisco IOS CLI コマンドは、PIX Firewall で動作する、または PIX Firewall と同じ機能を持っているとは限らないことに注意してください。


アクセス モード

PIX Firewall Version 6.2 以降では、最大 16 レベルのコマンド許可がサポートされています。このレベル数は、Cisco IOS ソフトウェアで利用可能な数と同じです。この機能によって、特定の PIX Firewall コマンドを 16 レベルのいずれか 1 つに割り当てることができます。特権レベルそれぞれに別々のパスワードを割り当てることも、ユーザ アカウントのローカルまたはリモートの AAA データベースを使用して認証を実行することもできます。

この機能の設定については、「PIX Firewall のアクセスと監視」 VPN トンネル経由による PIX Firewall への接続の項を参照してください。

PIX Firewall には、次の 5 つの管理アクセス モードが用意されています。

ユーザ モード:パスワードを入力せずに使用できます。PIX Firewall に最初にアクセスしたときのモードです。このモードでは、「>」プロンプトが表示され、少数のコマンドが入力できます。 PIX Firewall Version 6.2 以降では、このモードのコマンドは、デフォルトで特権レベル 0 に割り当てられます。

イネーブル モード:「#」プロンプトが表示され、構成情報を変更できます。イネーブル モードでは、すべてのユーザ モード コマンドを実行できます。イネーブル モードを開始するには enable コマンドを使用し、終了するには disable、exit、または quit コマンドを使用します。

PIX Firewall Version 6.2 以降では、すべてのイネーブル モード コマンドは、デフォルトで特権レベル 15 に割り当てられます。イネーブル パスワードをその他の特権レベルに割り当て、特定のコマンドを各レベルに再割り当てできます。

設定モード:プロンプトとして < pix_name >(config)# が表示されます。 pix_name は、PIX Firewall に割り当てられているホスト名です。設定モードを使用して、システム コンフィギュレーションを変更できます。設定モードでは、すべての特権コマンド、ユーザ コマンド、および設定コマンドが実行できます。設定モードを開始するには configure terminal コマンドを使用し、終了するには exit または quit コマンドを使用します。

サブコマンド モード:プロンプトとして < pix_name >(config-< main_cmd_name >)# が表示されます。 pix_name は PIX Firewall に割り当てられているホスト名です。 main_cmd_name は、サブコマンド モードに入るために使用されるオブジェクト グループ化コマンドです。オブジェクト グループ化は、アクセス制御文を、プロトコル、ホストなどのネットワーク オブジェクトのグループに適用することによって、アクセス制御を単純化する方法です。このモードをイネーブルにして使用する方法については、「ネットワーク アクセスとネットワーク使用の制御」の「 オブジェクト グループ化機能によるアクセス制御の簡略化」の項を参照してください。

モニタ モード:ネットワーク上でイメージのアップデートを可能にする特別なモードです。モニタ モードでは、TFTP サーバの場所とダウンロードするバイナリ イメージを指定するコマンドを入力できます。モニタ モードを使用して PIX Firewall ソフトウェアをアップグレードする方法については、「フィーチャ ライセンスとシステム ソフトウェアの変更」を参照してください。

設定モードへのアクセス

PIX Firewall の設定モードにアクセスするには、次の手順を実行します。


ステップ 1 端末エミュレーション プログラムを起動します。

ステップ 2 PIX Firewall の電源を入れます。スイッチは、新モデルでは背面に、旧モデルでは前面にあります。

ステップ 3 PIX 506/506E、PIX 515/515E、PIX 525、または PIX 535 の設定で、サイトにセントラル ソースから TFTP でコンフィギュレーション イメージをダウンロードする場合は、スタートアップ メッセージに次のプロンプトが表示されるまで待ちます。

Use BREAK or ESC to interrupt flash boot.
 

PIX Firewall はこのプロンプトを 10 秒間表示します。イメージをダウンロードするには、 Escape キーを押してブート モードを起動します。イメージをダウンロードしない場合は、このプロンプトを無視するか、スペースバーを押して、ただちに開始します。PIX Firewall が正常に起動します。

ステップ 4 スタートアップ メッセージの表示後、次のユーザ モード プロンプトによって、ユーザの入力が要求されます。

pixfirewall>
 

次のコマンドを入力します。

enable privilegelevel
 

privilegelevel に 0 ~ 15 の数字を指定し、アクセスを必要とする特権レベルを指定します。このパラメータを省略した場合、システムは特権レベル 15 と認識します。

PIX Firewall Version 6.2 以降では、各特権レベルに対して最大 15 個の異なるイネーブル パスワードを設定できます。デフォルトでは、すべてのコマンドはレベル 0 またはレベル 15 に割り当てられ、レベル 15 だけが事前にパスワードを設定されています。

ステップ 5 次のプロンプトが表示されます。

Password:
 

Enter キーを押します。

ステップ 6 これで特権レベル 15 になりました。この特権レベルに割り当てられているコマンドがすべて使用できます。次のプロンプトが表示されます。

pixfirewall#
 

configure terminal と入力し、Enter キーを押します。これで設定モードになりました。


) コマンド許可機能(PIX Firewall Version 6.2 で導入)がイネーブルになっている場合、入力が許可されるコマンドは、ユーザ アカウントが割り当てられている管理者特権レベルによって決まります。この機能の設定については、「PIX Firewall のアクセスと監視」 VPN トンネル経由による PIX Firewall への接続の項を参照してください。



 

コマンドの省略形

ほとんどのコマンドは、コマンドに固有の最小文字数まで短縮できます。たとえば、コンフィギュレーションを表示するには、完全なコマンド write terminal を入力する代わりに、 wr t と入力できます。または、イネーブル モードを開始するには en 、そして設定モードを開始するには con te と入力できます。さらに、 0 を入力して、 0.0.0.0 を表すことができます。

PIX Firewall コンフィギュレーションのバックアップ

次の少なくともどれか 1 つの方法によって、コンフィギュレーションのバックアップを作成する必要があります。

write memory コマンドを使用して、コンフィギュレーションをフラッシュ メモリに保存します。コンフィギュレーションは、必要に応じて configure memory コマンドを使用してフラッシュ メモリから復元できます。

write terminal コマンドを使用して、コンフィギュレーションを表示します。表示後、コンフィギュレーションを切り取り、テキスト ファイルに貼り付けます。次に、テキスト ファイルをアーカイブします。 configure terminal コマンドを使用して、コンフィギュレーションをテキスト ファイルから復元して、そのコンフィギュレーションを行単位でまたはすべて貼り付けることができます。

tftp-server コマンドを使用して、コンフィギュレーションを別のシステムに格納します。最初にホストを指定した後、 write net コマンドを使用して格納します。

PIX 520 またはそれ以前のモデルを使用している場合には、 write floppy コマンドを使用して、コンフィギュレーションをフロッピーディスクに保存します。Windows を使用している場合は、必ず、IBM フォーマットのフロッピーディスクを使用してください。フロッピーディスクをフォーマットするには、MS-DOS コマンド プロンプトで format コマンドを使用します。PIX Firewall のブート ディスクにはコンフィギュレーションのバックアップを作成しないでください。

イメージを保存するたびに、最後に保存されたイメージが上書きされます。

コンフィギュレーションは、必要に応じて、configure memory コマンドを使用してフラッシュ メモリから、あるいは configure floppy コマンドを使用してフロッピーディスクから、復元できます。

コマンドラインの編集

PIX Firewall では、Cisco IOS ソフトウェアと同じコマンドライン編集規則が使用されます。show history コマンドを使用して以前入力した全コマンドを表示することも、上矢印または ^p コマンドで 1 つずつ前のコマンドを表示することもできます。前に入力したコマンドを確認したら、下矢印または ^n コマンドでリスト内で前に進むことができます。再利用するコマンドに到達したら、そのコマンドを編集することも、Enter キーを押して実行することもできます。^w でカーソルの左側にある単語を削除することも、^u でカーソルのある行を消去することもきます。

PIX Firewall では、1 つのコマンドに 512 文字まで入力できます。512 文字を超えて入力した文字は無視されます。

Show コマンド出力のフィルタリング

PIX Firewall Version 6.3 では、任意の show コマンドで「パイプ」演算子(|)を使用して、フィルタ オプションとフィルタリング式を指定できます。フィルタリングは、Cisco IOS ソフトウェアと同様に、各出力行を正規表現と照合することによって行われます。選択するフィルタ オプションによって、正規表現に一致するすべての出力を含めたり除外したりできます。また、正規表現に一致する行で始まるすべての出力を表示することもできます。

show コマンドでフィルタリング オプションを使用する場合の構文は、次のとおりです。

show command | <include|exclude|begin|grep <-v>> <regexp>
 

このコマンド文字列の最初の垂直バー(|)はパイプ演算子であり、コマンド内に含む必要があります。この演算子は、show コマンドの出力をフィルタに誘導します。構文ダイアグラムのその他の垂直バー(|)は、代替オプションを示しており、コマンドの一部ではありません。

include オプションを指定すると、正規表現に一致するすべての出力行が表示されます。-v を付けずに grep オプションを使用する場合も、同じ結果となります。exclude オプションを指定すると、正規表現に一致するすべての出力行が除外されます。-v を付けて grep オプションを使用する場合も、同じ結果となります。begin オプションを指定すると、正規表現に一致する行で始まるすべての出力行が表示されます。

regexp には、Cisco IOS の正規表現を指定します。正規表現は一重引用符または二重引用符で囲まれていません。したがって、末尾の空白スペースが正規表現の一部と解釈されるため、末尾の空白スペースに注意してください。

正規表現を作成する場合は、照合する任意の文字または数字を使用できます。また、正規表現で使用すると特別な意味を持つキーボード文字もあります。 表 1-2 に、特別な意味を持つキーボード文字を示します。

 

表 1-2 正規表現での特殊文字の使用

文字の種類
文字
特別な意味

ピリオド

.

空白スペースを含め、任意の 1 文字と一致する。

アスタリスク

*

パターンの 0 個以上のシーケンスと一致する。

プラス記号

+

パターンの 1 個以上のシーケンスと一致する。

カレット

^

入力文字列の先頭と一致する。

ドル記号

$

入力文字列の末尾と一致する。

下線

_

カンマ(,)、左中カッコ({)、右中カッコ(})、左丸カッコ、右丸カッコ、入力文字列の先頭、入力文字列の末尾、またはスペースと一致する。

大カッコ

[]

1 文字のパターンの範囲を指定する。

ハイフン

-

範囲のエンド ポイントを区切る。

丸カッコ

()

(BGP に固有)文字のグループを連合の名前として指定する。

コマンド出力のページング

help または ?、show、show xlate、その他の長いリストが出力されるコマンドでは、1 画面分ずつ表示して停止させるか、リストの最後まで表示させるかを決めることができます。pager コマンドを使用すると、画面上に表示する行数を選択して、その行数を表示した後に More プロンプトを表示するようにできます。

ページングがイネーブルになっているときには、次のプロンプトが表示されます。

<--- More --->
 

More プロンプトの構文は、UNIX の more コマンドと似ています。

次の 1 画面分の情報を表示するには、スペースバーを押します。

次の行を表示するには、 Enter キーを押します。

コマンド ラインに戻るには、q キーを押します。

コメント

行の先頭にコロン( : )を置いて、コメントを作成できます。しかし、コメントが表示されるのはコマンド ヒストリ バッファだけで、コンフィギュレーションには表示されません。したがって、コメントは、show history コマンドを使用するか、矢印キーを押して前のコマンドを取得することによって表示できますが、コンフィギュレーションには含まれないので、write terminal コマンドでは表示できません。

コンフィギュレーションのサイズ

PIX Firewall Version 5.3(2) 以降では、PIX 525 と PIX 535 は、最大 2MB のコンフィギュレーションをサポートしています。PIX 501 の場合の最大サイズは 256KB です。その他すべての PIX Firewall プラットフォームの場合の最大コンフィギュレーション サイズは 1MB です。Version 5.3(2) より前のソフトウェアを使用する PIX Firewall モデルの場合、最大コンフィギュレーション サイズは 350KB です。


) プラットフォームに関係なく、最適なパフォーマンスを保証するために、コンフィギュレーション サイズを小さくすることを推奨します。


UNIX の wc コマンド、または Microsoft Word などの Windows ワープロを使用すると、コンフィギュレーション内の文字数を表示できます。

ヘルプ情報

ヘルプ情報は、PIX Firewall コマンドラインから入手できます。 help または疑問符を入力すると、すべてのコマンドのリストが表示されます。 arp? のようにコマンドの後に疑問符を入力すると、そのコマンドの構文が表示されます。

疑問符または help コマンドを使用したときに表示されるコマンド数は、アクセス モードによって異なります。ユーザ モードでのコマンド数が最も少なく、設定モードでのコマンド数が最も多くなります。

さらに、コマンドラインにコマンドだけを入力して Enter を押すと、そのコマンドの構文が表示されます。

デフォルト コンフィギュレーションの表示

PIX Firewall の電源を初めて投入したときは、スタートアップするため、コンフィギュレーションに多数の基本的なコマンドが必要です。最初に受け取るコンフィギュレーションは、デフォルト コンフィギュレーションと呼ばれています。write terminal コマンドを使用すると、いつでもコンフィギュレーションを表示できます。また、write memory コマンドをこまめに使用して、コンフィギュレーションをフラッシュ メモリに保存してください。

デフォルト コンフィギュレーションのリセット

PIX 501 か PIX 506/506E の設定を間違えた場合、または何らかの理由でデフォルト コンフィギュレーションを復元する必要がある場合には、次のコマンドを入力します。

config factory default [inside-ip-address [address-mask]]
 

このコマンドは、工場出荷時のデフォルト コンフィギュレーションをメモリに書き込みます。オプションの inside-ip-address および address-mask パラメータを指定すると、指定された IP アドレスとサブネットワーク マスクに基づいて、デフォルト コンフィギュレーションが調整されます。

このコマンドを、それをサポートしていないその他の PIX Firewall プラットフォームに入力すると、次のメッセージが表示されます。

The config factory default command is only supported on the PIX 501 or PIX 506E.
 

) DHCP アドレス プール サイズの工場出荷時のデフォルト設定は、PIX Firewall プラットフォームとフィーチャ ライセンスによって決まります。指定できるオプションについては、「SOHO ネットワークにおける PIX Firewall の使用」「PIX Firewall DHCP クライアントの使用方法」を参照してください。


コンフィギュレーション設定のクリアと削除

指定したコマンド、およびそのサブコマンドすべてのコンフィギュレーションを全部クリアするには、次のコマンドを入力します。

clear configurationcommand [subconfigurationcommand]
 

このコマンドは、指定されたコンフィギュレーション コマンドの現在のコンフィギュレーションを全部クリアします。特定のサブコマンドのコンフィギュレーションだけをクリアする場合、 subconfigurationcommand の値を入力できます。

コマンドまたはサブコマンドの特定のパラメータまたは特定のオプションをディセーブルにするには、次のように no 形式のコマンドを入力します。

no configurationcommand [subconfigurationcommand] qualifier [...]
 

この場合、 no コマンドを使用して、 qualifier で特定されるコンフィギュレーションを削除します。

PIX Firewall の設定を始める前に

PIX Firewall を正常に実装するポイントは、組織のネットワーク リソースへのアクセス、およびそのリソースの使用を制御する方法を記述している明確なセキュリティ ポリシーを持っていることです。セキュリティ ポリシーを理解し、このポリシーをサポートするように PIX Firewall を確実に実装し、設定する必要があります。セキュリティ ポリシーは、さまざまな部門とその実現を担当する管理者によってサポートされ、ネットワーク ユーザに十分理解される必要があります。

PIX Firewall を設定する前に、PIX Firewall に割り当てる IP アドレス、および各インターフェイス上のルータの IP アドレスを使用して、ネットワーク ダイヤグラムの概要を描いてください。PIX Firewall に 3 つ以上のインターフェイスがある場合は、各インターフェイスのセキュリティ レベルを記録しておきます。

次の作業

PIX Firewall を既存のネットワークに接続する場合に必要なコンフィギュレーションを完成させるには、「接続の確立」を参照してください。

特定の種類のネットワーク アクティビティとアクセスを許可または制限するには、「ネットワーク アクセスとネットワーク使用の制御」を参照してください。

アプリケーション検査と fixup コマンドを使用して、特定のアプリケーションとサービスの安全な使用を制御するには、「アプリケーション検査(フィックスアップ)の設定」を参照してください。

PIX Firewall を、Easy VPN Server に対する Easy VPN Remote デバイスとして、または DHCP や PPPoE と併用するには、「SOHO ネットワークにおける PIX Firewall の使用」を参照してください。

基本的な VPN コンフィギュレーションを実行するには、「IPSec と認証局の設定」を参照してください。

PIX Firewall のシステム管理ツールを設定、または使用するには、「PIX Firewall のアクセスと監視」を参照してください。

PIX Firewall フェールオーバー機能を設定するには、「PIX Firewall フェールオーバーの使用方法」を参照してください。

PIX Firewall 上のソフトウェア イメージをアップグレードするには、「フィーチャ ライセンスとシステム ソフトウェアの変更」を参照してください。

ファイアウォールの詳細については、次の資料を参照してください。

T. Bernstein、A.B. Bhimani、E. Schultz、C. A. Siegel著、『Internet Security for Business』(Wiley 社発行)。この本の詳細については、次のサイトを参照してください。http://www/wiley.com

D. B. Chapman、E. D. Zwicky 著、『Building Internet Firewalls』(O'Reilly 社発行)。この本の詳細については、次のサイトを参照してください。http://www.ora.com/

W. Cheswick、S. Bellovin 著、『Firewalls & Internet Security』(Addison-Wesley 社発行)。この本の詳細については、次のサイトを参照してください。http://www.aw.com

S. Garfinkel、G. Spafford 著、『Practical UNIX Security』(O'Reilly 社発行)。この本の詳細については、次のサイトを参照してください。http://www.ora.com/

W. R. Stevens 著、『TCP/IP Illustrated, Volume 1 The Protocols』(Addison-Wesley 社発行)。この本の詳細については、次のサイトを参照してください。http://www.aw.com

PIX Firewall に関するシスコの製品情報および技術情報については、次の Web サイトを参照してください。
http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/index.shtml