Cisco ASDM ユーザ ガイド Version 6.0(3)
ファイアウォール モードの 概要
ファイアウォール モードの概要
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

ファイアウォール モードの概要

ルーテッド モードの概要

IP ルーティングのサポート

透過モードの概要

透過ファイアウォール ネットワーク

レイヤ 3 トラフィックの許可

許可される MAC アドレス

ルーテッド モードで許可されない通過トラフィック

MAC アドレスとルート ルックアップの比較

ネットワークでの透過ファイアウォールの使用

透過ファイアウォール ガイドライン

透過モードでサポートされていない機能

ファイアウォール モードの概要

この章では、各ファイアウォール モードでファイアウォールがどのように機能するかを説明します。CLI でモードを設定するには、「CLI による透過ファイアウォール モードまたはルーテッド ファイアウォール モードの設定」を参照してください。

この章には、次の項があります。

「ルーテッド モードの概要」

「透過モードの概要」

ルーテッド モードの概要

ルーテッド モードでは、セキュリティ アプライアンスはネットワーク内のルータ ホップと見なされます。 OSPF または RIP を使用できます(シングルコンテキスト モードの場合)。ルーテッド モードは多数のインターフェイスをサポートしています。インターフェイスはそれぞれ異なるサブネット上に置かれます。コンテキスト間でインターフェイスを共有することもできます。

ここでは、次の項目について説明します。

「IP ルーティングのサポート」

IP ルーティングのサポート

セキュリティ アプライアンスは、接続されたネットワーク間のルータとして機能します。インターフェイスごとに、異なるサブネット上の IP アドレスが必要です。シングルコンテキスト モードでは、ルーテッド ファイアウォールは OSPF および RIP をサポートします。マルチコンテキスト モードでは、スタティック ルートだけがサポートされます。過度なルーティングのニーズをセキュリティ アプライアンスに頼るのではなく、アップストリーム ルータとダウンストリーム ルータの拡張ルーティング機能を使用することをお勧めします。

透過モードの概要

通常、ファイアウォールはルーティングされたホップであり、スクリーニングされたサブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。一方、透過ファイアウォールは、「bump-in-the-wire(BITW)」または「ステルス ファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとは見なされません。

ここでは、透過ファイアウォール モードについて次の項目で説明します。

「透過ファイアウォール ネットワーク」

「レイヤ 3 トラフィックの許可」

「許可される MAC アドレス」

「ルーテッド モードで許可されない通過トラフィック」

「MAC アドレスとルート ルックアップの比較」

「ネットワークでの透過ファイアウォールの使用」

「透過ファイアウォール ガイドライン」

「透過モードでサポートされていない機能」

透過ファイアウォール ネットワーク

セキュリティ アプライアンスでは、内部インターフェイスと外部インターフェイスに同じネットワークが接続されます。透過ファイアウォールはルーティングされたホップではないので、既存のネットワークに簡単に導入できます。

レイヤ 3 トラフィックの許可

セキュリティの高いインターフェイスから低いインターフェイスへ送信される IPv4 トラフィックは、アクセスリストがなくても透過ファイアウォールの通過を自動的に許可されます。 ARP は、どちらの方向でもアクセスリストなしで透過ファイアウォールの通過を許可されます。ARP トラフィックは ARP 検査によって制御されます。 セキュリティの低いインターフェイスから高いインターフェイスに送信されるレイヤ 3 トラフィックの場合、拡張アクセスリストが必要です。

許可される MAC アドレス

次の宛先 MAC アドレスは、透過ファイアウォールから許可されます。このリストにない MAC アドレスはすべてドロップされます。

FFFF.FFFF.FFFF の TRUE ブロードキャスト宛先 MAC アドレス

0100.5E00.0000 ~ 0100.5EFE.FFFF までの IPv4 マルチキャスト MAC アドレス

3333.0000.0000 ~ 3333.FFFF.FFFF までの IPv6 マルチキャスト MAC アドレス

0100.0CCC.CCCD の BPDU マルチキャストアドレス

0900.0700.0000 ~ 0900.07FF.FFFF までの Appletalk マルチキャストアドレス

ルーテッド モードで許可されない通過トラフィック

ルーテッド モードでは、アクセスリストで許可しても、いくつかのタイプのトラフィックはセキュリティ アプライアンスを通過できません。一方、透過ファイアウォールは、拡張アクセスリスト(IP トラフィックの場合)または EtherType アクセスリスト(IP 以外のトラフィックの場合)を使用して、ほとんどすべてのトラフィックを許可することができます。


) 透過モードのセキュリティ アプライアンスは、CDP パケット、IPv6 パケット、および 0x600 以上の有効な EtherType を持たないパケットを通過させません。 たとえば、IS-IS パケットは通過できません。 例外として BPDU はサポートされています。


たとえば、透過ファイアウォールでルーティング プロトコルの隣接関係を確立できます。つまり、拡張アクセスリストに基づいて、OSPF、RIP、EIGRP、または BGP トラフィックを許可することができます。同様に、HSRP や VRRP などのプロトコルはセキュリティ アプライアンスを通過できます。

IP 以外のトラフィック(AppleTalk、IPX、BPDU、および MPLS など)は、EtherType アクセスリストを使用して通過するように構成できます。

透過ファイアウォールで直接サポートされていない機能の場合は、アップストリーム ルータとダウンストリーム ルータが機能をサポートできるようにトラフィックの通過を許可することができます。たとえば、拡張アクセスリストを使用して、DHCP トラフィック(サポートされない DHCP リレー機能の代わりに)または IP/TV によって作成されたマルチキャスト トラフィックを許可できます。

MAC アドレスとルート ルックアップの比較

セキュリティ アプライアンスが NAT を使用せずに透過モードで動作している場合、パケットの発信インターフェイスは、ルート ルックアップではなく MAC アドレス ルックアップを実行することによって決定されます。この場合もルート文を設定することはできますが、セキュリティ アプライアンスから発信されたトラフィックだけに適用されます。たとえば、syslog サーバがリモート ネットワークにある場合は、セキュリティ アプライアンスがそのサブネットに到達できるようにスタティック ルートを使用する必要があります。

音声検査を使用し、さらにエンドポイントがセキュリティ アプライアンスから少なくとも 1 ホップ先にある場合は、このルールは適用されません。 たとえば、CCM と H.323 ゲートウェイの間に透過ファイアウォールを使用し、透過ファイアウォールと H.323 ゲートウェイの間にルータがある場合、正常にコールを完了させるにはセキュリティ アプライアンスに H.323 ゲートウェイ用のスタティック ルートを追加する必要があります。

NAT を使用する場合、セキュリティ アプライアンスは、MAC アドレス ルックアップではなくルート ルックアップを使用します。 場合によっては、スタティック ルートが必要になります。 たとえば、実際の宛先アドレスがセキュリティ アプライアンスに直接接続されていない場合、実際の宛先アドレス用に、ダウンストリーム ルータをポイントするスタティック ルートをセキュリティ アプライアンスに追加する必要があります。

ネットワークでの透過ファイアウォールの使用

図18-1 に、外部デバイスが内部デバイスと同じサブネット上にある一般的な透過ファイアウォール ネットワークを示します。内部ルータとホストは、外部ルータに直接接続されているように見えます。

図18-1 透過ファイアウォール ネットワーク

 

透過ファイアウォール ガイドライン

透過ファイアウォール ネットワークを計画する場合は、次のガイドラインに従ってください。

管理 IP アドレスが必要です。マルチコンテキスト モードの場合は、コンテキストごとに IP アドレスが必要です。

インターフェイスごとに IP アドレスが必要なルーテッド モードと異なり、透過ファイアウォールではデバイス全体に IP アドレスが割り当てられます。セキュリティ アプライアンスは、この IP アドレスを、システム メッセージや AAA 通信など、セキュリティ アプライアンスで発信されるパケットの送信元アドレスとして使用します。

管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。サブネットにホスト サブネット(255.255.255.255)を設定することはできません。

管理専用インターフェイス(Management 0/0)の IP アドレスを設定できます。この IP アドレスは、メインの管理 IP アドレスとは別々のサブネットに設定することができます。

透過セキュリティ アプライアンスは、内部インターフェイスと外部インターフェイスだけを使用します。プラットフォームに専用の管理インターフェイスが含まれている場合は、管理トラフィック専用の管理インターフェイスまたはサブインターフェイスを設定することもできます。

シングルモードでは、セキュリティ アプライアンスに 3 つ以上のインターフェイスが含まれている場合でも、2 つのデータ インターフェイス(および使用可能な場合は専用の管理インターフェイス)だけを使用できます。

直接に接続された各ネットワークは同一のサブネット上にある必要があります。

接続されたデバイス用のデフォルト ゲートウェイとしてセキュリティ アプライアンス管理 IP アドレスを指定しないでください。デバイスはセキュリティ アプライアンスの他方の側のルータをデフォルト ゲートウェイとして指定する必要があります。

マルチコンテキスト モードでは、各コンテキストが別個のインターフェイスを使用する必要があります。コンテキスト間でインターフェイスを共有することはできません。

マルチコンテキスト モードでは、通常、各コンテキストが別個のサブネットを使用します。重複するサブネットを使用することもできますが、ルーティング スタンドポイントから可能にするため、ネットワーク トポロジにルータと NAT コンフィギュレーションが必要です。

透過モードでサポートされていない機能

表18-1 に透過モードでサポートされていない機能を示します。

 

表18-1 透過モードでサポートされていない機能

機能
説明

Dynamic DNS

--

DHCP リレー

透過ファイアウォールは DHCP サーバとして機能することができますが、DHCP リレー コマンドはサポートしません。2 つの拡張アクセスリストを使用して DHCP トラフィックを通過させることができるので、DHCP リレーは必要ありません。1 つは内部インターフェイスから外部インターフェイスへの DHCP 要求を許可し、もう 1 つはサーバからの応答を逆方向に許可します。

ダイナミック ルーティング プロトコル

ただし、セキュリティ アプライアンスで発信されたトラフィックのスタティック ルートを追加できます。拡張アクセスリストを使用して、ダイナミック ルーティング プロトコルがセキュリティ アプライアンスを通過できるようにすることもできます。

IPv6

EtherType アクセスリストを使用した IPv6 は許可できません。

マルチキャスト

拡張アクセスリストで許可することによって、マルチキャスト トラフィックがセキュリティ アプライアンスを通過できるようにすることができます。

QoS

--

通過トラフィック用の VPN ターミネーション

透過ファイアウォールは、管理接続に対してのみサイトツーサイト VPN トンネルをサポートします。これは、セキュリティ アプライアンスを通過するトラフィックに対して VPN 接続を終端しません。拡張アクセスリストを使用して VPN トラフィックにセキュリティ アプライアンスを通過させることはできますが、非管理接続は終端されません。 クライアントレス SSL VPN もサポートされていません。