発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章 , ドキュメント全体
目次
ルーテッド ファイアウォール モードでデータがセキュリティ アプライアンスを通過する方法
外部ユーザが内部ネットワーク上の Web サーバにアクセスする
ファイアウォール モードの概要
この章では、各ファイアウォール モードでファイアウォールがどのように機能するかを説明します。ファイアウォール モードを設定するには、「透過ファイアウォール モードまたはルーテッド ファイアウォール モードの設定」を参照してください。
ルーテッド モードの概要
ルーテッド モードでは、セキュリティ アプライアンスはネットワーク内のルータ ホップと見なされます。接続されたネットワーク間で NAT を実行し、(シングルコンテキスト モードで)OSPF または RIP を使用することができます。ルーテッド モードは多数のインターフェイスをサポートしています。インターフェイスはそれぞれ異なるサブネット上に置かれます。コンテキスト間でインターフェイスを共有することもできます。
•
「ルーテッド ファイアウォール モードでデータがセキュリティ アプライアンスを通過する方法」
IP ルーティングのサポート
セキュリティ アプライアンスは、接続されたネットワーク間のルータとして機能します。インターフェイスごとに、異なるサブネット上の IP アドレスが必要です。シングルコンテキスト モードでは、ルーテッド ファイアウォールは OSPF および RIP をサポートします。マルチコンテキスト モードでは、スタティック ルートだけがサポートされます。過度なルーティングのニーズをセキュリティ アプライアンスに頼るのではなく、アップストリーム ルータとダウンストリーム ルータの拡張ルーティング機能を使用することをお勧めします。
ネットワーク アドレス変換
NAT は、パケット上のローカル アドレスを、宛先ネットワークでルーティングできるグローバル アドレスに置換します。デフォルトでは、NAT は必要ありません。高セキュリティ インターフェイス(内部)上のホストに対して、低セキュリティ インターフェイス(外部)と通信する際に NAT を使用することを要求する NAT ポリシーを強制する場合は、NAT 制御をイネーブルにします( nat-control コマンドを参照)。
(注) NAT 制御は、バージョン 7.0 より前のソフトウェア バージョンではデフォルトの処理です。セキュリティ アプライアンスを以前のバージョンからアップグレードする場合は、期待される処理を維持するために、nat-control コマンドが自動的にコンフィギュレーションに追加されます。
•
•
•
図15-1 は、内部にプライベート ネットワークを持つ一般的な NAT シナリオを示しています。内部ユーザがインターネット上の Web サーバにパケットを送信すると、パケットのローカル送信元アドレスが、ルーティング可能なグローバル アドレスに変更されます。Web サーバは応答をグローバル アドレスに送信し、セキュリティ アプライアンスはパケットを受信します。次に、セキュリティ アプライアンスはグローバル アドレスをローカル アドレスに変換してから、それをユーザに送信します。
ルーテッド ファイアウォール モードでデータがセキュリティ アプライアンスを通過する方法
この項では、ルーテッド ファイアウォール モードでデータがセキュリティ アプライアンスをどのように通過するかを説明します。次の項目について説明します。
•
内部ユーザが Web サーバにアクセスする
図15-2 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。
次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図15-2 を参照)。
1.
2.
マルチコンテキスト モードの場合、セキュリティ アプライアンスは、コンテキストに関連付けられる一意なインターフェイスまたは一意な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、インターフェイスは固有です。www.example.com の IP アドレスは、コンテキスト内に最新のアドレス変換を持っていません。
3.
グローバル アドレスは任意のサブネット上に置くことができますが、外部インターフェイス サブネットに置くとルーティングが簡素化されます。
4.
5.
外部ユーザが DMZ 上の Web サーバにアクセスする
図15-3 は、外部ユーザが DMZ Web サーバにアクセスしていることを示しています。
次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図15-3を参照)。
1.
2.
マルチコンテキスト モードの場合、セキュリティ アプライアンスは、コンテキストに関連付けられる一意なインターフェイスまたは一意な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、分類子は DMZ Web サーバ アドレスがサーバ アドレス変換のため特定のコンテキストに属すことを「認識」しています。
3.
4.
5.
内部ユーザが DMZ 上の Web サーバにアクセスする
図15-4 は、内部ユーザが DMZ Web サーバにアクセスしていることを示しています。
次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図15-4を参照)。
1.
2.
マルチコンテキスト モードの場合、セキュリティ アプライアンスは、コンテキストに関連付けられる一意なインターフェイスまたは一意な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、インターフェイスは固有です。Web サーバ IP アドレスは、最新のアドレス変換を持っていません。
3.
4.
外部ユーザが内部ホストにアクセスしようとする
図15-5 は、外部ユーザが内部ネットワークにアクセスしようとしていることを示しています。
次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図15-5 を参照)。
1.
内部ネットワークがプライベート アドレスを使用している場合、外部ユーザが NAT なしで内部ネットワークに到達することはできません。外部ユーザは既存の NAT セッションを使用して内部ユーザに到達しようとすることが考えられます。
2.
3.
外部ユーザが内部ネットワークを攻撃しようとした場合、セキュリティ アプライアンスは多数のテクノロジーを使用して、すでに確立されたセッションに対してパケットが有効かどうかを判別します。
DMZ ユーザが内部ホストにアクセスしようとする
図15-6 は、DMZ 内のユーザが内部ネットワークにアクセスしようとしていることを示しています。
次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図15-6 を参照)。
1.
2.
透過モードの概要
通常、ファイアウォールはルーティングされたホップであり、スクリーニングされたサブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。一方、透過ファイアウォールは、「bump-in-the-wire(BITW)」または「ステルス ファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとは見なされません。
ここでは、透過ファイアウォール モードについて次の項目で説明します。
透過ファイアウォール ネットワーク
セキュリティ アプライアンスでは、内部インターフェイスと外部インターフェイスに同じネットワークが接続されます。透過ファイアウォールはルーティングされたホップではないので、既存のネットワークに簡単に導入できます。IP 再アドレッシングは必要ありません。
レイヤ 3 トラフィックの許可
IPv4 トラフィックは、自動的に高位のセキュリティ インターフェイスから低位のセキュリティ インターフェイスにアクセスリストなしで透過ファイアウォールを通過できます。ARP は、アクセスリストなしで両方向に透過ファイアウォールを通過できます。ARP トラフィックは ARP 検査によって制御されます。低位から高位のセキュリティ インターフェイスに移動するレイヤ 3 トラフィックでは、拡張アクセスリストが必要です。
許可される MAC アドレス
次の宛先 MAC アドレスは、透過ファイアウォールから許可されます。このリストにない MAC アドレスはすべてドロップされます。
•
•
•
ルーテッド モードで許可されないトラフィックの通過
ルーテッド モードでは、アクセスリストで許可しても、いくつかのタイプのトラフィックはセキュリティ アプライアンスを通過できません。一方、透過ファイアウォールは、拡張アクセスリスト(IP トラフィックの場合)または EtherType アクセスリスト(IP 以外のトラフィックの場合)を使用して、ほとんどのトラフィックを許可することができます。
(注) 透過モードのセキュリティ アプライアンスは CDP パケットの通過も IPv6 パケットの通過も拒否し、0x600 以上の有効な EtherType を持たないパケットの通過も拒否します。たとえば、IS-IS パケットを通過させることはできません。例外は BPDU で、これはサポートされます。
たとえば、透過ファイアウォールでルーティング プロトコルの隣接関係を確立できます。つまり、拡張アクセスリストに基づいて、OSPF、RIP、EIGRP、または BGP トラフィックを許可することができます。同様に、HSRP や VRRP などのプロトコルはセキュリティ アプライアンスを通過できます。
IP 以外のトラフィック(AppleTalk、IPX、BPDU、および MPLS など)は、EtherType アクセスリストを使用して通過するように構成できます。
透過ファイアウォールで直接サポートされていない機能の場合は、アップストリーム ルータとダウンストリーム ルータが機能をサポートできるようにトラフィックの通過を許可することができます。たとえば、拡張アクセスリストを使用して、DHCP トラフィック(サポートされない DHCP リレー機能の代わりに)または IP/TV によって作成されたトラフィックなどのマルチキャスト トラフィックを許可できます。
MAC アドレス ルックアップ
セキュリティ アプライアンスが透過モードで動作している場合、パケットの発信インターフェイスは、ルート ルックアップではなく MAC アドレス ルックアップを実行することによって決定されます。この場合もルート文を設定することはできますが、セキュリティ アプライアンスから発信されたトラフィックだけに適用されます。たとえば、syslog サーバがリモート ネットワークにある場合は、セキュリティ アプライアンスがそのサブネットに到達できるようにスタティック ルートを使用する必要があります。
ネットワークでの透過ファイアウォールの使用
図15-7 に、外部デバイスが内部デバイスと同じサブネット上にある一般的な透過ファイアウォール ネットワークを示します。内部ルータとホストは、外部ルータに直接接続されているように見えます。
透過ファイアウォール ガイドライン
透過ファイアウォール ネットワークを計画する場合は、次のガイドラインに従ってください。
•
インターフェイスごとに IP アドレスが必要なルーテッド モードと異なり、透過ファイアウォールではデバイス全体に IP アドレスが割り当てられます。セキュリティ アプライアンスは、この IP アドレスを、システム メッセージや AAA 通信など、セキュリティ アプライアンスで発信されるパケットの送信元アドレスとして使用します。
管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。サブネットにホスト サブネット(255.255.255.255)を設定することはできません。
管理専用インターフェイス(Management 0/0)の IP アドレスを設定できます。この IP アドレスは、メインの管理 IP アドレスとは別々のサブネットに設定することができます。
•
シングルモードでは、セキュリティ アプライアンスに 3 つ以上のインターフェイスが含まれている場合でも、2 つのデータ インターフェイス(および使用可能な場合は専用の管理インターフェイス)だけを使用できます。
•
•
•
•
透過モードでサポートされない機能
表15-1 に透過モードでサポートされていない機能を示します。
透過ファイアウォールを通過するデータの動き
図15-8 に、パブリック Web サーバを含む内部ネットワークを持つ一般的な透過ファイアウォールの実装を示します。内部ユーザがインターネット リソースにアクセスできるよう、セキュリティ アプライアンスにはアクセスリストがあります。別のアクセスリストによって、外部ユーザは内部ネットワーク上の Web サーバだけにアクセスできます。
この項では、データがセキュリティ アプライアンスをどのように通過するかを説明します。次の項目について説明します。
内部ユーザが Web サーバにアクセスする
図15-9 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。
次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図15-9 を参照)。
1.
2.
マルチコンテキスト モードの場合、セキュリティ アプライアンスは、一意なインターフェイスに従ってパケットを分類します。
3.
4.
宛先 MAC アドレスがセキュリティ アプライアンスのテーブルにない場合、セキュリティ アプライアンスは、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。
5.
外部ユーザが内部ネットワーク上の Web サーバにアクセスする
図15-10 は、外部ユーザが内部 Web サーバにアクセスしていることを示しています。
次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図15-10 を参照)。
1.
2.
マルチコンテキスト モードの場合、セキュリティ アプライアンスは、一意なインターフェイスに従ってパケットを分類します。
3.
4.
宛先 MAC アドレスがセキュリティ アプライアンスのテーブルにない場合、セキュリティ アプライアンスは、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。
5.
外部ユーザが内部ホストにアクセスしようとする
図15-11 は、外部ユーザが内部ネットワーク上のホストにアクセスしようとしていることを示しています。
次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図15-11 を参照)。
1.
2.
マルチコンテキスト モードの場合、セキュリティ アプライアンスは、一意なインターフェイスに従ってパケットを分類します。
3.
4.