ASDM を使用した Cisco セキュリティ アプライアン ス コンフィギュレーション ガイド
トランスペアレント ファイアウォールまたは ルー テッド ファイア ウォール の設定
トランスペアレント ファイアウォールまたはルーテッド ファイアウォールの設定
発行日;2012/02/04 | 英語版ドキュメント(2010/06/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

トランスペアレント ファイアウォールまたはルーテッド ファイアウォールの設定

ファイアウォール モードの設定

ファイアウォール モードの概要

ルーテッド ファイアウォール モードの概要

トランスペアレント ファイアウォール モードの概要

ファイアウォール モードのライセンス要件

デフォルト設定

ガイドラインおよび制約事項

ファイアウォール モードの設定

ファイアウォール モードの機能履歴

トランスペアレント ファイアウォールの ARP インスペクションの設定

ARP インスペクションの概要

ARP インスペクションのライセンス要件

デフォルト設定

ガイドラインおよび制約事項

ARP インスペクションの設定

ARP インスペクションの設定タスク フロー

スタティック ARP エントリの追加

ARP インスペクションのイネーブル化

ARP インスペクションの機能履歴

トランスペアレント ファイアウォールの MAC アドレス テーブルのカスタマイズ

MAC アドレス テーブルの概要

ARP インスペクションのライセンス要件

デフォルト設定

ガイドラインおよび制約事項

MAC アドレス テーブルの設定

スタティック MAC アドレスの追加

MAC アドレス ラーニングのディセーブル化

MAC アドレス テーブルの機能履歴

ファイアウォール モードの例

ルーテッド ファイアウォール モードでのデータのセキュリティ アプライアンスの通過方法

内部ユーザが Web サーバにアクセスする

外部ユーザが DMZ 上の Web サーバにアクセスする

内部ユーザが DMZ 上の Web サーバにアクセスする

外部ユーザが内部ホストにアクセスしようとする

DMZ ユーザが内部ホストにアクセスしようとする

トランスペアレント ファイアウォールを通過するデータの動き

内部ユーザが Web サーバにアクセスする

内部ユーザが NAT を使用して Web サーバにアクセスする

外部ユーザが内部ネットワークの Web サーバにアクセスする

外部ユーザが内部ホストにアクセスしようとする

トランスペアレント ファイアウォールまたはルーテッド ファイアウォールの設定

この章では、ファイアウォール モード(ルーテッド ファイアウォール モードまたはトランスペアレント ファイアウォール モード)を設定する方法と、トランスペアレント ファイアウォールの動作をカスタマイズする方法について説明します。


) マルチ コンテキスト モードでは、ファイアウォール モードをコンテキストごとに個別に設定できず、セキュリティ アプライアンス全体にしか設定できません。


この章には、次の項があります。

「ファイアウォール モードの設定」

「トランスペアレント ファイアウォールの ARP インスペクションの設定」

「トランスペアレント ファイアウォールの MAC アドレス テーブルのカスタマイズ」

「ファイアウォール モードの例」

ファイアウォール モードの設定

この項では、ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードについて説明し、各モードの設定方法を説明します。この項は、次の内容で構成されています。

「ファイアウォール モードの概要」

「ファイアウォール モードのライセンス要件」

「デフォルト設定」

「ガイドラインおよび制約事項」

「ファイアウォール モードの設定」

「ファイアウォール モードの機能履歴」

ファイアウォール モードの概要

ここでは、ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードについて説明します。説明する内容は次のとおりです。

「ルーテッド ファイアウォール モードの概要」

「トランスペアレント ファイアウォール モードの概要」

ルーテッド ファイアウォール モードの概要

ルーテッド モードでは、セキュリティ アプライアンスはネットワーク内のルータ ホップと見なされます。OSPF または RIP を使用できます(シングル コンテキスト モードの場合)。ルーテッド モードは多数のインターフェイスをサポートしています。インターフェイスはそれぞれ異なるサブネット上に置かれます。コンテキスト間でインターフェイスを共有することもできます。

セキュリティ アプライアンスは、接続されたネットワーク間のルータとして機能します。インターフェイスごとに、異なるサブネット上の IP アドレスが必要です。シングル コンテキスト モードでは、ルーテッド ファイアウォールは OSPF および RIP をサポートします。マルチ コンテキスト モードでは、スタティック ルートだけがサポートされます。過度なルーティングのニーズをセキュリティ アプライアンスに頼るのではなく、アップストリーム ルータとダウンストリーム ルータの拡張ルーティング機能を使用することをお勧めします。

トランスペアレント ファイアウォール モードの概要

通常、ファイアウォールはルーティングされたホップであり、スクリーニングされたサブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。一方、トランスペアレント ファイアウォールは、「bump-in-the-wire(BITW)」または「ステルス ファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとは見なされません。

ここでは、トランスペアレント ファイアウォール モードについて説明します。説明する内容は次のとおりです。

「トランスペアレント ファイアウォール ネットワーク」

「レイヤ 3 トラフィックの許可」

「許可される MAC アドレス」

「ルーテッド モードで許可されない通過トラフィック」

「MAC アドレスと ルート ルックアップの比較」

「ネットワークでのトランスペアレント ファイアウォールの使用」

トランスペアレント ファイアウォール ネットワーク

セキュリティ アプライアンスでは、内部インターフェイスと外部インターフェイスに同じネットワークが接続されます。トランスペアレント ファイアウォールはルーティングされたホップではないので、既存のネットワークに簡単に導入できます。

レイヤ 3 トラフィックの許可

セキュリティの高いインターフェイスから低いインターフェイスへ送信される IPv4 トラフィックおよび IPv6 トラフィックは、アクセスリストがなくてもトランスペアレント ファイアウォールの通過を自動的に許可されます。ARP は、どちらの方向でもアクセスリストなしでトランスペアレント ファイアウォールの通過を許可されます。ARP トラフィックは ARP インスペクションによって制御されます。セキュリティの低いインターフェイスからセキュリティの高いインターフェイスに送信されるレイヤ 3 トラフィックの場合、セキュリティの低いインターフェイスで拡張アクセスリストが必要になります。詳細については、 「アクセス ルールおよび ACL の設定」を参照してください。

許可される MAC アドレス

次の宛先 MAC アドレスは、トランスペアレント ファイアウォールから許可されます。このリストにない MAC アドレスはすべてドロップされます。

FFFF.FFFF.FFFF の TRUE ブロードキャスト宛先 MAC アドレス

0100.5E00.0000 ~ 0100.5EFE.FFFF までの IPv4 マルチキャスト MAC アドレス

3333.0000.0000 ~ 3333.FFFF.FFFF までの IPv6 マルチキャスト MAC アドレス

0100.0CCC.CCCD の BPDU マルチキャストアドレス

0900.0700.0000 ~ 0900.07FF.FFFF までの Appletalk マルチキャストアドレス

ルーテッド モードで許可されない通過トラフィック

ルーテッド モードでは、アクセスリストで許可しても、いくつかのタイプのトラフィックはセキュリティ アプライアンスを通過できません。一方、トランスペアレント ファイアウォールは、拡張アクセスリスト(IP トラフィックの場合)または EtherType アクセスリスト(IP 以外のトラフィックの場合)を使用して、ほとんどすべてのトラフィックを許可することができます。


) トランスペアレント モードのセキュリティ アプライアンスは、CDP パケットまたは 0x600 以上の有効な EtherType を持たないパケットを通過させません。たとえば、IS-IS パケットは通過できません。例外として BPDU はサポートされています。


たとえば、トランスペアレント ファイアウォールでルーティング プロトコルの隣接関係を確立できます。つまり、拡張アクセスリストに基づいて、OSPF、RIP、EIGRP、または BGP トラフィックを許可できます。同様に、HSRP や VRRP などのプロトコルはセキュリティ アプライアンスを通過できます。

IP 以外のトラフィック(AppleTalk、IPX、BPDU、および MPLS など)は、EtherType アクセスリストを使用して通過するように構成できます。

トランスペアレント ファイアウォールで直接サポートされていない機能の場合は、アップストリーム ルータとダウンストリーム ルータが機能をサポートできるようにトラフィックの通過を許可できます。たとえば、拡張アクセスリストを使用して、DHCP トラフィック(サポートされない DHCP リレー機能の代わりに)または IP/TV によって作成されたマルチキャスト トラフィックを許可できます。

MAC アドレスと ルート ルックアップの比較

セキュリティ アプライアンスが NAT を使用せずにトランスペアレント モードで動作している場合、パケットの発信インターフェイスは、ルート ルックアップではなく MAC アドレス ルックアップを実行することによって決定されます。この場合もルート文は設定できますが、セキュリティ アプライアンスから発信されたトラフィックだけに適用されます。たとえば、syslog サーバがリモート ネットワークにある場合は、セキュリティ アプライアンスがそのサブネットに到達できるようにスタティック ルートを使用する必要があります。

音声検査を使用し、さらにエンドポイントがセキュリティ アプライアンスから少なくとも 1 ホップ先にある場合は、このルールは適用されません。たとえば、CCM と H.323 ゲートウェイの間にトランスペアレント ファイアウォールを使用し、トランスペアレント ファイアウォールと H.323 ゲートウェイの間にルータがある場合、正常にコールを完了させるにはセキュリティ アプライアンスに H.323 ゲートウェイ用のスタティック ルートを追加する必要があります。

NAT を使用する場合、セキュリティ アプライアンスは、MAC アドレス ルックアップではなくルート ルックアップを使用します。場合によっては、スタティック ルートが必要になります。たとえば、実際の宛先アドレスがセキュリティ アプライアンスに直接接続されていない場合、実際の宛先アドレス用に、ダウンストリーム ルータをポイントするスタティック ルートをセキュリティ アプライアンスに追加する必要があります。

ネットワークでのトランスペアレント ファイアウォールの使用

図 6-1 に、外部デバイスが内部デバイスと同じサブネット上にある一般的なトランスペアレント ファイアウォール ネットワークを示します。内部ルータとホストは、外部ルータに直接接続されているように見えます。

図 6-1 トランスペアレント ファイアウォール ネットワーク

 

ファイアウォール モードのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

全モデル

基本ライセンス

デフォルト設定

デフォルト モードはルーテッド モードです。

ガイドラインおよび制約事項

この項では、この機能に関するガイドラインおよび制約事項について説明します。

コンテキスト モードのガイドライン

ファイアウォール モードは、システム全体およびすべてのコンテキストに設定され、コンテキストごとに個々にモードを設定できません。

マルチ コンテキスト モードの場合、システム実行スペースでモードを設定します。

モードを変更すると、セキュリティ アプライアンスは実行コンフィギュレーションをクリアします。これは、多くのコマンドが両方のモードでサポートされていないためです。この処理により、コンテキストが実行中から除去されます。別のモード用に作成された既存のコンフィギュレーションを持つコンテキストを再度追加しても、コンテキスト コンフィギュレーションは正常に動作しない場合があります。再度追加する前に、コンテキスト コンフィギュレーションを正しいモード用に作成するか、新規のコンフィギュレーション用の新しいパスを指定して、コンテキストを新たに追加してください。

トランスペアレント ファイアウォール ガイドライン

トランスペアレント ファイアウォール ネットワークを計画する場合は、次のガイドラインに従ってください。

IPv4 の場合、管理トラフィックと、セキュリティ アプライアンスを通過するトラフィックの両方に管理 IP アドレスが必要です。マルチ コンテキスト モードの場合、コンテキストごとに IP アドレスが必要です。

インターフェイスごとに IP アドレスが必要なルーテッド モードと異なり、トランスペアレント ファイアウォールではデバイス全体に IP アドレスが割り当てられます。セキュリティ アプライアンスは、この IP アドレスを、システム メッセージや AAA 通信など、セキュリティ アプライアンスで発信されるパケットの送信元アドレスとして使用します。

管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。サブネットは、ホスト サブネット(255.255.255.255)に設定できません。

IPv6 の場合、最低限、通過トラフィック用のインターフェイスごとにリンクローカル アドレスを設定する必要があります。フル機能の場合、セキュリティ アプライアンスを管理する能力を含め、デバイスにグローバル IP アドレスを設定する必要があります。

Management 0/0 または Management 0/1 管理専用インターフェイスの IP アドレス(IPv4 と IPv6 の両方)を設定できます。この IP アドレスは、メインの管理 IP アドレスとは別々のサブネットに設定できます。

トランスペアレントセキュリティ アプライアンスは、内部インターフェイスと外部インターフェイスだけを使用します。プラットフォームに専用の管理インターフェイスが含まれている場合は、管理トラフィック専用の管理インターフェイスまたはサブインターフェイスを設定することもできます。

シングル モードでは、セキュリティ アプライアンスに 3 つ以上のインターフェイスが含まれている場合でも、2 つのデータ インターフェイス(および使用可能な場合は専用の管理インターフェイス)だけを使用できます。

直接接続された各ネットワークは同一のサブネット上にある必要があります。

接続されたデバイス用のデフォルト ゲートウェイとしてセキュリティ アプライアンス管理 IP アドレスを指定しないでください。デバイスはセキュリティ アプライアンスの他方の側のルータをデフォルト ゲートウェイとして指定する必要があります。

マルチ コンテキスト モードでは、各コンテキストが別個のインターフェイスを使用する必要があります。コンテキスト間では、インターフェイスを共有できません。

マルチ コンテキスト モードでは、通常、各コンテキストが別個のサブネットを使用します。重複するサブネットを使用することもできますが、ルーティング スタンドポイントから可能にするため、ネットワーク トポロジにルータと NAT コンフィギュレーションが必要です。

IPv6 のガイドライン

IPv6 をサポートします。

追加のガイドラインおよび制約事項

モードを変更すると、セキュリティ アプライアンスは実行コンフィギュレーションをクリアします。これは、多くのコマンドが両方のモードでサポートされていないためです。スタートアップ コンフィギュレーションは変更されません。スタートアップ コンフィギュレーションを保存せずにリロードすると、スタートアップ コンフィギュレーションがロードされ、モードは元の設定に戻ります。コンフィギュレーション ファイルのバックアップ作成に関する情報については、「ファイアウォール モードの設定」を参照してください。

firewall transparent コマンドでモードを変更するセキュリティ アプライアンスにテキスト コンフィギュレーションをダウンロードする場合は、必ずコマンドをコンフィギュレーションの最上部に置いてください。これによって、セキュリティ アプライアンスはコマンドを読み取るとすぐにモードを変更し、ダウンロードしたコンフィギュレーションの読み取りを続行します。このコマンドがコンフィギュレーションの後ろの方に表示されると、セキュリティ アプライアンスはそれ以前に記述されているコンフィギュレーションの行をすべてのクリアします。

トランスペアレント モードでサポートされていない機能

表 6-1 にトランスペアレント モードでサポートされていない機能を示します。

 

表 6-1 トランスペアレント モードでサポートされていない機能

機能
説明

Dynamic DNS

--

DHCP リレー

トランスペアレント ファイアウォールは DHCP サーバとして機能することができますが、DHCP リレー コマンドはサポートしません。2 つの拡張アクセスリストを使用して DHCP トラフィックを通過させることができるので、DHCP リレーは必要ありません。この 2 つの拡張アクセスリストのうち、1 つは内部インターフェイスから外部インターフェイスへの DHCP 要求を許可し、もう 1 つはサーバからの応答を逆方向に許可します。

ダイナミック
ルーティング
プロトコル

ただし、セキュリティ アプライアンスで発信されたトラフィックのスタティック ルートを追加できます。拡張アクセスリストを使用して、ダイナミック ルーティング プロトコルがセキュリティ アプライアンスを通過できるようにすることもできます。

マルチキャスト
IP ルーティング

拡張アクセスリストで許可することによって、マルチキャスト トラフィックがセキュリティ アプライアンスを通過できるようにできます。

QoS

--

通過トラフィック用の VPN ターミネーション

トランスペアレント ファイアウォールは、管理接続に対してだけ、サイトツーサイト VPN トンネルをサポートします。これは、セキュリティ アプライアンスを通過するトラフィックに対して VPN 接続を終端しません。拡張アクセスリストを使用して VPN トラフィックにセキュリティ アプライアンスを通過させることはできますが、非管理接続は終端されません。SSL VPN もサポートされていません。

ファイアウォール モードの設定

この項では、CLI を使用してファイアウォール モードを変更する方法を説明します。ASDM では、モードを変更できません。


) ファイアウォール モードを変更すると、実行コンフィギュレーションがクリアされてしまうため、ファイアウォール モードを設定してから他の設定を実行することをお勧めします。


前提条件

モードを変更すると、実行コンフィギュレーションがセキュリティ アプライアンスによってクリアされます(詳細については、「ガイドラインおよび制約事項」を参照してください)。

すでに設定したコンフィギュレーションがある場合は、モードを変更する前に必ずコンフィギュレーションのバックアップを作成してください。新しくコンフィギュレーションを作成するときにこのバックアップを参照できます。

モードを変更するには、コンソール ポートで CLI を使用してください。ASDM Command Line Interface ツールや SSH など、別のタイプのセッションを使用する場合、コンフィギュレーションがクリアされると接続が切断されてしまうため、いずれの場合でもコンソール ポートを使用してセキュリティ アプライアンスに再接続する必要があります。

詳細手順

 

コマンド
目的

firewall transparent

 

Example:

hostname(config)# firewall transparent

ファイアウォール モードをトランスペアレント モードに設定します。マルチ コンテキスト モードでは、このコマンドをシステム実行スペースで入力してください。モードをルーテッド モードに変更するには、 no firewall transparent コマンドを入力します。

このコマンドは、参考情報としてだけ各コンテキスト コンフィギュレーションに表示されることもあるため、このコマンドをコンテキストに入力できません。

(注) ファイアウォール モードの変更を確認するプロンプトは表示されません。変更はただちに適用されます。

ファイアウォール モードの機能履歴

表 6-2 に、この機能のリリース履歴を示します。

 

表 6-2 ファイアウォール モードの機能履歴

機能名
リリース
機能情報

トランスペアレント ファイアウォール モード

7.0(1)

トランスペアレント ファイアウォールは、「bump-in-the-wire(BITW)」または「ステルス ファイアウォール」のように動作する
レイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとは見なされません。

firewall transparent コマンドおよび show firewall コマンドを導入。

トランスペアレント ファイアウォールの ARP インスペクションの設定

この項では、ARP インスペクションについて説明し、これをイネーブルにする方法について説明します。説明する内容は次のとおりです。

「ARP インスペクションの概要」

「ARP インスペクションのライセンス要件」

「デフォルト設定」

「ガイドラインおよび制約事項」

「ARP インスペクションの設定」

「ARP インスペクションの機能履歴」

ARP インスペクションの概要

デフォルトでは、すべての ARP パケットがセキュリティ アプライアンスを通過できます。ARP パケットのフローを制御するには、ARP インスペクションをイネーブルにします。

ARP インスペクションをイネーブルにすると、セキュリティ アプライアンスはすべての ARP パケットの MAC アドレス、IP アドレス、および発信元インターフェイスを ARP テーブルのスタティック エントリと比較し、次のアクションを実行します。

IP アドレス、MAC アドレス、および発信元インターフェイスが ARP エントリと一致した場合、パケットは通過します。

MAC アドレス、IP アドレス、またはインターフェイス間でミスマッチがある場合、セキュリティ アプライアンスはパケットをドロップします。

ARP パケットがスタティック ARP テーブルのどのエントリとも一致しない場合は、パケットをすべてのインターフェイスに転送するか(フラッド)、パケットをドロップするようにセキュリティ アプライアンスを設定できます。


) 専用の管理インターフェイスがある場合、このインターフェイスは、このパラメータがフラッドに設定されていてもパケットをフラッドしません。


ARP インスペクションは、悪意のあるユーザが他のホストまたはルータになりすますこと(ARP スプーフィング)を防ぎます。ARP スプーフィングは、「man-in-the-middle」攻撃(介入者攻撃)を可能にすることがあります。たとえば、ホストは ARP 要求をゲートウェイ ルータに送信し、ゲートウェイ ルータはゲートウェイ ルータ MAC アドレスで応答します。ただし、攻撃者は、ルータの MAC アドレスの代わりに攻撃者の MAC アドレスで別の ARP 応答をホストに送信します。これによって、攻撃者は、すべてのホスト トラフィックを傍受してからルータに転送できます。

ARP インスペクションを行うと、正しい MAC アドレスとそれに関連付けられている IP アドレスがスタティック ARP テーブルにある限り、攻撃者は、攻撃者の MAC アドレスで ARP 応答を送信することができなくなります。

ARP インスペクションのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

全モデル

基本ライセンス

デフォルト設定

デフォルトでは、すべての ARP パケットがセキュリティ アプライアンスを通過できます。

ARP インスペクションをイネーブルにすると、デフォルト設定では、一致しないパケットはフラッドします。

ガイドラインおよび制約事項

コンテキスト モードのガイドライン

シングル モードとマルチ コンテキスト モードでサポートされます。

マルチ コンテキスト モードでは、各コンテキスト内に ARP インスペクションを設定してください。

ファイアウォール モードのガイドライン

トランスペアレント ファイアウォール モードでだけサポートされます。ルーテッド モードはサポートされません。

ARP インスペクションの設定

この項では、ARP インスペクションを設定する方法について説明します。説明する内容は次のとおりです。

「ARP インスペクションの設定タスク フロー」

「スタティック ARP エントリの追加」

「ARP インスペクションのイネーブル化」

ARP インスペクションの設定タスク フロー

ARP インスペクションを設定するには、次の手順を実行します。


ステップ 1 スタティック ARP エントリを「スタティック ARP エントリの追加」に従って追加します。ARP インスペクションでは ARP パケットを ARP テーブル内のスタティック ARP エントリと比較するので、この機能では、スタティック ARP エントリが必要です。

ステップ 2 ARP インスペクションを「ARP インスペクションのイネーブル化」に従ってイネーブルにします。


 

スタティック ARP エントリの追加

ARP インスペクションでは、ARP パケットを ARP テーブルのスタティック ARP エントリと比較します。ホストは、パケットの宛先を IP アドレスで識別しますが、イーサネット上でパケットが実際にどの部分に配信されるかは、イーサネットの MAC アドレスで決まります。ルータやホストが直接接続されているネットワークにパケットを配信する場合は、そのパケットの IP アドレスに関連付けられている MAC アドレスを尋ねる ARP 要求を送信します。次に、ARP 応答に従って、MAC アドレスにパケットを配信します。ホストやルータは、パケットを配信するたびに ARP 要求を送信しなくてもよいように、ARP テーブルを保持しています。ARP テーブルは、ARP 応答がネットワークに送信されるたびに動的に更新され、一定の期間使用されなかったエントリはタイムアウトになります。エントリが正しくなくなった場合(IP アドレスに関連付けられていた MAC アドレスが変更された場合など)は、更新される前にタイムアウトになります。


) トランスペアレント ファイアウォールは、セキュリティ アプライアンスとの間のトラフィック(管理トラフィックなど)に、ARP テーブルのダイナミック ARP エントリを使用します。


詳細手順


ステップ 1 [Configuration] > [Device Setup] > [ARP] > [ARP Static Table] ペインを選択します。

ステップ 2 (オプション) ダイナミック ARP エントリに ARP タイムアウトを設定するには、[ARP Timeout] フィールドに値を入力します。

このフィールドでは、セキュリティ アプライアンスが ARP テーブルを再構築するまでの時間を、60 ~ 4294967 秒の範囲で設定します。デフォルトは 14400 秒です。ARP テーブルが再構築されると、新しいホスト情報に自動的に更新され、古いホスト情報が削除されます。ホスト情報は頻繁に変更されるため、タイムアウトを短くすることができます。

ステップ 3 [Add] をクリックします。

[Add ARP Static Configuration] ダイアログボックスが表示されます。

ステップ 4 [Interface] ドロップダウン リストから、ホスト ネットワークに接続されるインターフェイスを選択します。

ステップ 5 [IP Address] フィールドに、ホストの IP アドレスを入力します。

ステップ 6 [MAC Address] フィールドに、ホストの MAC アドレスを入力します。たとえば、「00e0.1e4e.3d8b」のように入力します。

ステップ 7 このアドレスでプロキシ ARP を実行するには、 [Proxy ARP] チェックボックスをオンにします。

セキュリティ アプライアンスは、指定された IP アドレスの ARP 要求を受信すると、指定された MAC アドレスで応答します。

ステップ 8 [OK] 、続いて [Apply] をクリックします。


 

次のステップ

ARP インスペクションを「ARP インスペクションのイネーブル化」に従ってイネーブルにします。

ARP インスペクションのイネーブル化

この項では、ARP インスペクションをイネーブルにする方法を説明します。

詳細手順


ステップ 1 [Configuration] > [Device Setup] > [ARP] > [ARP Inspection] ペインを選択します。

ステップ 2 ARP インスペクションをイネーブルにするインターフェイス行を選択し、 [Edit] をクリックします。

[Edit ARP Inspection] ダイアログボックスが表示されます。

ステップ 3 ARP インスペクションをイネーブルにするには、 [Enable ARP Inspection] チェックボックスをオンにします。

ステップ 4 (オプション)一致しない ARP パケットをフラッドするには、 [Flood ARP Packets] チェックボックスをオンにします。

デフォルトでは、スタティック ARP エントリのどの要素にも一致しないパケットが、送信元のインターフェイスを除くすべてのインターフェイスからフラッドされます。MAC アドレス、IP アドレス、またはインターフェイス間でミスマッチがある場合、セキュリティ アプライアンスはパケットをドロップします。

このチェックボックスをオフにすると、一致しないパケットはすべてドロップされます。これにより、スタティック エントリにある ARP だけがセキュリティ アプライアンスを通過するように制限されます。


) Management 0/0 または 0/1 インターフェイスあるいはサブインターフェイスがある場合、これらのインターフェイスは、このパラメータがフラッドに設定されていてもパケットをフラッドしません。


ステップ 5 [OK] 、続いて [Apply] をクリックします。


 

ARP インスペクションの機能履歴

表 6-2 に、この機能のリリース履歴を示します。

 

表 6-3 ARP インスペクションの機能履歴

機能名
リリース
機能情報

ARP インスペクション

7.0(1)

ARP インスペクションでは、すべての ARP パケットの MAC アドレス、IP アドレス、および送信元インターフェイスを ARP テーブルのスタティック エントリと比較します。

arp arp-inspection 、および show arp-inspection の各コマンドが導入されています。

トランスペアレント ファイアウォールの MAC アドレス テーブルのカスタマイズ

この項では、MAC アドレス テーブルについて説明します。説明する内容は次のとおりです。

「MAC アドレス テーブルの概要」

「ARP インスペクションのライセンス要件」

「デフォルト設定」

「ガイドラインおよび制約事項」

「MAC アドレス テーブルの設定」

「MAC アドレス テーブルの機能履歴」

MAC アドレス テーブルの概要

セキュリティ アプライアンスは、通常のブリッジやスイッチと同様の方法で、MAC アドレス テーブルをラーニングし、構築します。デバイスがセキュリティ アプライアンス経由でパケットを送信すると、セキュリティ アプライアンスはこの MAC アドレスをテーブルに追加します。テーブルで MAC アドレスと発信元インターフェイスが関連付けられているため、セキュリティ アプライアンスは、パケットが正しいインターフェイスからデバイスにアドレス指定されていることがわかります。

ASA 5505 適応型セキュリティ アプライアンスには、内蔵スイッチがあります。このスイッチの MAC アドレス テーブルには、各 VLAN 内のトラフィックの MAC アドレスとスイッチ ポートのマッピングが登録されています。この項では、複数の VLAN を通るトラフィックの MAC アドレスと VLAN インターフェイスのマッピングを維持する、ブリッジの MAC アドレス テーブルについて説明します。

セキュリティ アプライアンスはファイアウォールなので、パケットの宛先 MAC アドレスがテーブルにない場合、セキュリティ アプライアンスは通常のブリッジとは異なり、元のパケットをすべてのインターフェイスにフラッドすることはありません。代わりに、直接接続されたデバイスまたはリモート デバイスに対して次のパケットを生成します。

直接接続されたデバイスへのパケット:セキュリティ アプライアンスは宛先 IP アドレスに対して ARP 要求を生成し、セキュリティ アプライアンスは ARP 応答を受信したインターフェイスをラーニングします。

リモート デバイスへのパケット:セキュリティ アプライアンスは宛先 IP アドレスへの ping を生成し、セキュリティ アプライアンスは ping 応答を受信したインターフェイスをラーニングします。

元のパケットはドロップされます。

ARP インスペクションのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

全モデル

基本ライセンス

デフォルト設定

ダイナミック MAC アドレス テーブル エントリのデフォルトのタイムアウト値は、5 分です。

デフォルトにより、各インターフェイスは送信されてきたトラフィックの MAC アドレスを自動的にラーニングし、セキュリティ アプライアンスは、対応するエントリを MAC アドレス テーブルに追加します。

ガイドラインおよび制約事項

コンテキスト モードのガイドライン

シングル モードとマルチ コンテキスト モードでサポートされます。

マルチ コンテキスト モードでは、各コンテキスト内に MAC アドレス テーブルを設定します。

ファイアウォール モードのガイドライン

トランスペアレント ファイアウォール モードでだけサポートされます。ルーテッド モードはサポートされません。

MAC アドレス テーブルの設定

この項では、MAC アドレス テーブルをカスタマイズする方法を説明します。説明する内容は次のとおりです。

「スタティック MAC アドレスの追加」

「MAC アドレス ラーニングのディセーブル化」

スタティック MAC アドレスの追加

通常、MAC アドレスは、特定の MAC アドレスからのトラフィックがインターフェイスに入ったときに、MAC アドレス テーブルに動的に追加されます。必要に応じて、スタティック MAC アドレスを MAC アドレス テーブルに追加できます。スタティック エントリを追加する利点の 1 つとして、MAC スプーフィングの防止があります。スタティック エントリと同じ MAC アドレスを持つクライアントが、スタティック エントリと一致しないインターフェイスにトラフィックを送信しようとした場合、セキュリティ アプライアンスはトラフィックをドロップし、システム メッセージを生成します。ARP のスタティック エントリを追加すると(「スタティック ARP エントリの追加」を参照)、スタティック MAC アドレス エントリが MAC アドレス テーブルに自動的に追加されます。

MAC アドレス テーブルにスタティック MAC アドレスを追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Setup] > [Bridging] > [MAC Address Table] ペインを選択します。

ステップ 2 (オプション)MAC アドレス エントリがタイムアウトするまでに MAC アドレス テーブルに残る時間を設定するには、[Dynamic Entry Timeout] フィールドに値を入力します。

この値は、5 ~ 720分(12時間)の範囲で指定します。5 分がデフォルトです。

ステップ 3 [Add] をクリックします。

[Add MAC Address Entry] ダイアログボックスが表示されます。

ステップ 4 [Interface Name] ドロップダウン リストから、MAC アドレスに関連付けられている送信元インターフェイスを選択します。

ステップ 5 [MAC Address] フィールドに、MAC アドレスを入力します。

ステップ 6 [OK] 、続いて [Apply] をクリックします。


 

MAC アドレス ラーニングのディセーブル化

デフォルトにより、各インターフェイスは送信されてきたトラフィックの MAC アドレスを自動的にラーニングし、セキュリティ アプライアンスは、対応するエントリを MAC アドレス テーブルに追加します。必要に応じて MAC アドレス ラーニングをディセーブルにできますが、この場合、MAC アドレスをテーブルにスタティックに追加しないと、トラフィックがセキュリティ アプライアンスを通過できなくなります。

MAC アドレス ラーニングをディセーブルにするには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Setup] > [Bridging] > [MAC Learning] ペインを選択します。

ステップ 2 MAC ラーニングをディセーブルにするには、インターフェイス行を選択して、 [Disable] をクリックします。

ステップ 3 MAC ラーニングを再度イネーブルにするには、 [Enable] をクリックします。

ステップ 4 [Apply] をクリックします。


 

MAC アドレス テーブルの機能履歴

表 6-2 に、この機能のリリース履歴を示します。

 

表 6-4 MAC アドレス テーブルの機能履歴

機能名
リリース
機能情報

MAC アドレス テーブル

7.0(1)

トランスペアレント ファイアウォール モードで、MAC アドレス テーブルを使用します。

mac-address-table static mac-address-table aging-time mac-learn disable 、および show mac-address-table の各コマンドが導入されています。

ファイアウォール モードの例

この項では、トラフィックがセキュリティ アプライアンスをどのように通過するかの例を示します。説明する内容は次のとおりです。

「ルーテッド ファイアウォール モードでのデータのセキュリティ アプライアンスの通過方法」

「トランスペアレント ファイアウォールを通過するデータの動き」

ルーテッド ファイアウォール モードでのデータのセキュリティ アプライアンスの通過方法

この項では、ルーテッド ファイアウォール モードでデータがセキュリティ アプライアンスを通過する方法を説明します。説明する内容は次のとおりです。

「内部ユーザが Web サーバにアクセスする」

「外部ユーザが DMZ 上の Web サーバにアクセスする」

「内部ユーザが DMZ 上の Web サーバにアクセスする」

「外部ユーザが内部ホストにアクセスしようとする」

「DMZ ユーザが内部ホストにアクセスしようとする」

内部ユーザが Web サーバにアクセスする

図 6-2 に、内部ユーザが外部 Web サーバにアクセスする場合を示します。

図 6-2 内部から外部へ

 

次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図 6-2を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. セキュリティ アプライアンスがパケットを受信します。これは新しいセッションであるため、セキュリティ アプライアンスは、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、セキュリティ アプライアンスは、まず、コンテキストに関連付けられている一意のインターフェイスまたは一意の宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、インターフェイスは固有です。www.example.com IP アドレスは、コンテキスト内に最新のアドレス変換を持っていません。

3. セキュリティ アプライアンスは、ローカル送信元アドレス(10.1.2.27)を、外部インターフェイス サブネット上のグローバル アドレス 209.165.201.10 に変換します。

グローバル アドレスは任意のサブネット上に置くことができますが、外部インターフェイス サブネットに置くと、ルーティングが簡素化されます。

4. 次に、セキュリティ アプライアンスはセッションが確立されたことを記録し、外部インターフェイスからパケットを転送します。

5. www.example.com が要求に返答すると、パケットはセキュリティ アプライアンスを通過します。また、セッションがすでに確立されているため、パケットは新しい接続に関連付けられた多くのルックアップをバイパスします。セキュリティ アプライアンスは、グローバル宛先アドレスをローカル ユーザ アドレス 10.1.2.27 に変換することによって、NAT を実行します。

6. セキュリティ アプライアンスは、パケットを内部ユーザに転送します。

外部ユーザが DMZ 上の Web サーバにアクセスする

図 6-3 は、外部ユーザが DMZ Web サーバにアクセスしている状況を示しています。

図 6-3 外部から DMZ へ

 

次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図 6-3を参照)。

1. 外部ネットワーク上のユーザは、外部インターフェイス サブネット上にあるグローバル宛先アドレス 209.165.201.3 を使用して、DMZ Web サーバから Web ページを要求します。

2. セキュリティ アプライアンスがパケットを受信します。これは新しいセッションであるため、セキュリティ アプライアンスは、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、セキュリティ アプライアンスは、まず、コンテキストに関連付けられている一意のインターフェイスまたは一意の宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、分類子は、DMZ Web サーバ アドレスがサーバ アドレス変換のため特定のコンテキストに属していることを「認識」しています。

3. セキュリティ アプライアンスは、宛先アドレスをローカルアドレス10.1.1.3に変換します。

4. 次に、セキュリティ アプライアンスはセッション エントリを高速パスに追加し、DMZ インターフェイスからパケットを転送します。

5. DMZ Web サーバが要求に応答すると、パケットはセキュリティ アプライアンスを通過します。また、セッションがすでに確立されているため、パケットは新しい接続に関連する多くのルックアップをバイパスします。セキュリティ アプライアンスは、ローカル送信元アドレスを 209.165.201.3 に変換することによって、NAT を実行します。

6. セキュリティ アプライアンスは、パケットを外部ユーザに転送します。

内部ユーザが DMZ 上の Web サーバにアクセスする

図 6-4 は、内部ユーザが DMZ Web サーバにアクセスしている状況を示します。

図 6-4 内部から DMZ へ

 

次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図 6-4を参照)。

1. 内部ネットワーク上のユーザは、宛先アドレス 10.1.1.3 を使用してDMZ Web サーバから Web ページを要求します。

2. セキュリティ アプライアンスがパケットを受信します。これは新しいセッションであるため、セキュリティ アプライアンスは、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、セキュリティ アプライアンスは、まず、コンテキストに関連付けられている一意のインターフェイスまたは一意の宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、インターフェイスは一意です。Web サーバ IP アドレスは最新のアドレス変換を持っていません。

3. 次に、セキュリティ アプライアンスはセッションが確立されたことを記録して、DMZ インターフェイスからパケットを転送します。

4. DMZ Web サーバが要求に応答すると、パケットは高速パスを通過します。これにより、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

5. セキュリティ アプライアンスは、パケットを内部ユーザに転送します。

外部ユーザが内部ホストにアクセスしようとする

図 6-5 は、外部ユーザが内部ネットワークにアクセスしようとする状況を示しています。

図 6-5 外部から内部へ

 

次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図 6-5を参照)。

1. 外部ネットワーク上のユーザが内部ホストに到達しようと試みます(ホストにルーティング可能な IP アドレスがあると想定します)。

内部ネットワークがプライベート アドレスを使用している場合、外部ユーザは NAT なしで内部ネットワークに到達できません。外部ユーザが、既存の NAT セッションを使用して内部ユーザに到達しようとすることが考えられます。

2. セキュリティ アプライアンスはパケットを受信します。これは新しいセッションであるため、セキュリティ アプライアンスは、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)に従って、パケットが許可されているかどうか確認します。

3. パケットが拒否され、セキュリティ アプライアンスはパケットをドロップし、接続試行をログに記録します。

外部ユーザが内部ネットワークを攻撃しようとした場合、セキュリティ アプライアンスは、多くのテクノロジーを使用して、すでに確立されたセッションに対してパケットが有効かどうかを判別します。

DMZ ユーザが内部ホストにアクセスしようとする

図 6-6 は、DMZ 内のユーザが内部ネットワークにアクセスしようとしている状況を示しています。

図 6-6 DMZ から内部へ

 

次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図 6-6を参照)。

1. DMZ ネットワーク上のユーザが内部ホストに到達しようと試みます。DMZ はインターネットにトラフィックを送信する必要がないため、プライベート アドレッシング スキームはルーティングを防ぎません。

2. セキュリティ アプライアンスはパケットを受信します。これは新しいセッションであるため、セキュリティ アプライアンスは、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)に従って、パケットが許可されているかどうか確認します。

パケットが拒否され、セキュリティ アプライアンスはパケットをドロップし、接続試行をログに記録します。

トランスペアレント ファイアウォールを通過するデータの動き

図 6-7 に、パブリック Web サーバを含む内部ネットワークを持つ一般的なトランスペアレント ファイアウォールの実装を示します。内部ユーザがインターネット リソースにアクセスできるように、セキュリティ アプライアンスにはアクセスリストがあります。もう 1 つのアクセスリストよって、外部ユーザは内部ネットワーク上の Web サーバだけにアクセスできます。

図 6-7 一般的なトランスペアレント ファイアウォールのデータ パス

 

この項では、データがどのようにセキュリティ アプライアンスを通過するかについて説明します。説明する内容は次のとおりです。

「内部ユーザが Web サーバにアクセスする」

「内部ユーザが NAT を使用して Web サーバにアクセスする」

「外部ユーザが内部ネットワークの Web サーバにアクセスする」

「外部ユーザが内部ホストにアクセスしようとする」

内部ユーザが Web サーバにアクセスする

図 6-8 に、内部ユーザが外部 Web サーバにアクセスする場合を示します。

図 6-8 内部から外部へ

 

次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図 6-8を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. セキュリティ アプライアンスはパケットを受信し、必要に応じて送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ アプライアンスは、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードでは、セキュリティ アプライアンスは、まず一意のインターフェイスに応じてパケットを分類します。

3. セキュリティ アプライアンスはセッションが確立されたことを記録します。

4. 宛先 MAC アドレスがテーブル内にある場合は、セキュリティ アプライアンスは外部インターフェイスからパケットを転送します。宛先 MAC アドレスは、アップストリーム ルータの 209.186.201.2 というアドレスです。

宛先 MAC アドレスがセキュリティ アプライアンスのテーブルにない場合、セキュリティ アプライアンスは ARP 要求と ping を送信して MAC アドレスを検出しようと試みます。最初のパケットはドロップされます。

5. Web サーバは要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連付けられた多くのルックアップをバイパスします。

6. セキュリティ アプライアンスは、パケットを内部ユーザに転送します。

内部ユーザが NAT を使用して Web サーバにアクセスする

図 6-8 に、内部ユーザが外部 Web サーバにアクセスする場合を示します。

図 6-9 NAT を使用して内部から外部へ

 

次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図 6-8を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. セキュリティ アプライアンスはパケットを受信し、必要に応じて送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ アプライアンスは、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードでは、セキュリティ アプライアンスは、まず一意のインターフェイスに応じてパケットを分類します。

3. セキュリティ アプライアンスは、実アドレス(10.1.2.27)をマッピング アドレス(209.165.201.10)に変換します。

マッピング アドレスは外部インターフェイスと同じネットワーク上にないため、アップストリーム ルータには、セキュリティ アプライアンスをポイントするマッピング ネットワークへのスタティック ルートが必ず含まれていなくてはなりません。

4. 次に、セキュリティ アプライアンスはセッションが確立されたことを記録し、外部インターフェイスからパケットを転送します。

5. 宛先 MAC アドレスがテーブル内にある場合は、セキュリティ アプライアンスは外部インターフェイスからパケットを転送します。宛先 MAC アドレスは、アップストリーム ルータの 209.165.201.2 というアドレスです。

宛先 MAC アドレスがセキュリティ アプライアンスのテーブルにない場合、セキュリティ アプライアンスは ARP 要求と ping を送信して MAC アドレスを検出しようと試みます。最初のパケットはドロップされます。

6. Web サーバは要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連付けられた多くのルックアップをバイパスします。

7. セキュリティ アプライアンスは、マッピング アドレスを実アドレス 10.1.2.27 に変換することによって、NAT を実行します。

外部ユーザが内部ネットワークの Web サーバにアクセスする

図 6-10 は、外部ユーザが内部 Web サーバにアクセスしている状況を示しています。

図 6-10 外部から内部へ

 

次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図 6-10を参照)。

1. 外部ネットワーク上のユーザが内部 Web サーバから Web ページを要求します。

2. セキュリティ アプライアンスはパケットを受信し、必要に応じて送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ アプライアンスは、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードでは、セキュリティ アプライアンスは、まず一意のインターフェイスに応じてパケットを分類します。

3. セキュリティ アプライアンスはセッションが確立されたことを記録します。

4. 宛先 MAC アドレスがテーブル内にある場合は、セキュリティ アプライアンスは内部インターフェイスからパケットを転送します。宛先 MAC アドレスは、ダウンストリーム ルータの 209.186.201.1 というアドレスです。

宛先 MAC アドレスがセキュリティ アプライアンスのテーブルにない場合、セキュリティ アプライアンスは ARP 要求と ping を送信して MAC アドレスを検出しようと試みます。最初のパケットはドロップされます。

5. Web サーバは要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連付けられた多くのルックアップをバイパスします。

6. セキュリティ アプライアンスは、パケットを外部ユーザに転送します。

外部ユーザが内部ホストにアクセスしようとする

図 6-11 は、外部ユーザが内部ネットワーク上のホストにアクセスしようとしている状況を示しています。

図 6-11 外部から内部へ

 

次の手順では、データがセキュリティ アプライアンスをどのように通過するかを示します(図 6-11を参照)。

1. 外部ネットワーク上のユーザが内部ホストに到達しようと試みます。

2. セキュリティ アプライアンスはパケットを受信し、必要に応じて送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ アプライアンスは、セキュリティ ポリシー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されているかどうかを確認します。

マルチ コンテキスト モードでは、セキュリティ アプライアンスは、まず一意のインターフェイスに応じてパケットを分類します。

3. パケットは拒否され、セキュリティ アプライアンスはパケットをドロップします。

4. 外部ユーザが内部ネットワークを攻撃しようとした場合、セキュリティ アプライアンスは、多くのテクノロジーを使用して、すでに確立されたセッションに対してパケットが有効かどうかを判別します。