Cisco ASA シリーズ ASDM コンフィギュレーション ガイド(一般的な操作) ソフトウェア バージョン 7.1
トランスペアレント ファイアウォールまたはルーテッド ファイアウォールの設定
トランスペアレント ファイアウォールまたはルーテッド ファイアウォールの設定
発行日;2013/10/29 | 英語版ドキュメント(2013/09/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 13MB) | フィードバック

目次

トランスペアレント ファイアウォールまたはルーテッド ファイアウォールの設定

ファイアウォール モードに関する情報

ルーテッド ファイアウォール モードに関する情報

トランスペアレント ファイアウォール モードに関する情報

ネットワークでのトランスペアレント ファイアウォールの使用

ブリッジ グループ

管理インターフェイス(ASA 5510 以降)

レイヤ 3 トラフィックの許可

許可される MAC アドレス

ルーテッド モードで許可されないトラフィックの通過

ルーテッド モード機能のためのトラフィックの通過

BPDU の処理

MAC アドレス ルックアップと ルート ルックアップ

ARP Inspection

MAC Address Table

ファイアウォール モードのライセンス要件

デフォルト設定

注意事項と制約事項

ファイアウォール モード(シングル モード)の設定

トランスペアレント ファイアウォール用の ARP インスペクションの設定

ARP インスペクションの設定のタスク フロー

スタティック ARP エントリの追加

ARP インスペクションのイネーブル化

トランスペアレント ファイアウォール用の MAC アドレス テーブルのカスタマイズ

スタティック MAC アドレスの追加

MAC アドレス ラーニングのディセーブル化

ファイアウォール モードの例

ルーテッド ファイアウォール モードで ASA を通過するデータ

内部ユーザが Web サーバにアクセスする

外部ユーザが DMZ 上の Web サーバにアクセスする

内部ユーザが DMZ 上の Web サーバにアクセスする

外部ユーザが内部ホストにアクセスしようとする

DMZ ユーザが内部ホストにアクセスしようとする

トランスペアレント ファイアウォールを通過するデータの動き

内部ユーザが Web サーバにアクセスする

NAT を使用して内部ユーザが Web サーバにアクセスする

外部ユーザが内部ネットワーク上の Web サーバにアクセスする

外部ユーザが内部ホストにアクセスしようとする

ファイアウォール モードの機能履歴

トランスペアレント ファイアウォールまたはルーテッド ファイアウォールの設定

この章では、ファイアウォール モードをルーテッドまたはトランスペアレントに設定する方法と、ファイアウォールが各ファイアウォール モードでどのように機能するかについて説明します。この章には、トランスペアレント ファイアウォール動作のカスタマイズに関する情報も含まれます。

マルチコンテキスト モードでは、コンテキストごとに別個にファイアウォール モードを設定できます。

「ファイアウォール モードに関する情報」

「ファイアウォール モードのライセンス要件」

「デフォルト設定」

「注意事項と制約事項」

「ファイアウォール モード(シングル モード)の設定」

「トランスペアレント ファイアウォール用の ARP インスペクションの設定」

「トランスペアレント ファイアウォール用の MAC アドレス テーブルのカスタマイズ」

「ファイアウォール モードの例」

「ファイアウォール モードの機能履歴」

ファイアウォール モードに関する情報

「ルーテッド ファイアウォール モードに関する情報」

「トランスペアレント ファイアウォール モードに関する情報」

ルーテッド ファイアウォール モードに関する情報

ルーテッド モードでは、ASAはネットワーク内のルータ ホップと見なされます。ルーテッド モードは多数のインターフェイスをサポートしています。インターフェイスはそれぞれ異なるサブネット上に置かれます。コンテキスト間でインターフェイスを共有することもできます。

ASAは、接続されたネットワーク間のルータとして機能します。インターフェイスごとに、異なるサブネット上の IP アドレスが必要です。ASA は、複数のダイナミック ルーティング プロトコルをサポートします。ただし、ルーティングのニーズが広範に及ぶ場合は、ASA に依存するのではなく、アップストリームとダウンストリームのルータの高度なルーティング機能を使用することを推奨します。

トランスペアレント ファイアウォール モードに関する情報

従来、ファイアウォールはルーテッド ホップであり、保護されたサブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。一方、トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとは見なされません。

「ネットワークでのトランスペアレント ファイアウォールの使用」

「ブリッジ グループ」

「管理インターフェイス(ASA 5510 以降)」

「レイヤ 3 トラフィックの許可」

「許可される MAC アドレス」

「ルーテッド モードで許可されないトラフィックの通過」

「BPDU の処理」

「MAC アドレス ルックアップと ルート ルックアップ」

「ARP Inspection」

「MAC Address Table」

ネットワークでのトランスペアレント ファイアウォールの使用

ASA は、自身のインターフェイス間を同じネットワークで接続します。トランスペアレント ファイアウォールはルーティングされたホップではないので、既存のネットワークに簡単に導入できます。

図 6-1 に、外部デバイスが内部デバイスと同じサブネット上にある一般的なトランスペアレント ファイアウォール ネットワークを示します。内部ルータとホストは、外部ルータに直接接続されているように見えます。

図 6-1 トランスペアレント ファイアウォール ネットワーク

 

ブリッジ グループ

セキュリティ コンテキストのオーバーヘッドを避けたい場合、またはセキュリティ コンテキストを最大限に使用したい場合、インターフェイスをブリッジ グループにグループ化し、各ネットワークに 1 つずつ複数のブリッジ グループを設定できます。ブリッジ グループのトラフィックは他のブリッジ グループから隔離され、トラフィックは ASA 内の他のブリッジ グループにはルーティングされません。また、トラフィックは外部ルータから ASA 内の他のブリッジ グループにルーティングされる前に、ASA から出る必要があります。ブリッジング機能はブリッジ グループごとに分かれていますが、その他の多くの機能はすべてのブリッジ グループ間で共有されます。たとえば、syslog サーバまたは AAA サーバの設定は、すべてのブリッジ グループで共有されます。セキュリティ ポリシーを完全に分離するには、各コンテキスト内に 1 つのブリッジ グループにして、セキュリティ コンテキストを使用します。

図 6-2 に、2 つのブリッジ グループを持つ、ASA に接続されている 2 つのネットワークを示します。

図 6-2 2 つのブリッジ グループを持つトランスペアレント ファイアウォール ネットワーク

 


) ブリッジ グループにはそれぞれ管理 IP アドレスが必要です。ASA はブリッジ グループが発信元になるパケットの送信元アドレスとして、この IP アドレスを使用します。管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。別の管理方法については、「管理インターフェイス(ASA 5510 以降)」を参照してください。

ASA では、セカンダリ ネットワーク上のトラフィックはサポートされていません。管理 IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。


管理インターフェイス(ASA 5510 以降)

各ブリッジ グループの管理 IP アドレスのほかに、別の管理 スロット / ポート インターフェイスを追加できます。このインターフェイスはどのブリッジ グループにも属さず、ASA への管理トラフィックのみを許可します。詳細については、を参照してください。

レイヤ 3 トラフィックの許可

IPv4 および IPv6 トラフィックは、セキュリティの高いインターフェイスから低いインターフェイスに移動する場合、アクセス リストなしで自動的にトランスペアレント ファイアウォールを通過できます。

ARP は、アクセス リストに関係なく、両方向ともトランスペアレント ファイアウォールを通過できます。ARP トラフィックは、ARP インスペクションによって制御できます。

セキュリティの低いインターフェイスからセキュリティの高いインターフェイスに移動するレイヤ 3 トラフィックの場合、セキュリティの低いインターフェイスで拡張アクセス リストが必要です。詳細については、ファイアウォール コンフィギュレーション ガイドのを参照してください)。

許可される MAC アドレス

次の宛先 MAC アドレスは、トランスペアレント ファイアウォールを通過できます。このリストにない MAC アドレスはドロップされます。

FFFF.FFFF.FFFF の TRUE ブロードキャスト宛先 MAC アドレス

0100.5E00.0000 ~ 0100.5EFE.FFFF までの IPv4 マルチキャスト MAC アドレス

3333.0000.0000 ~ 3333.FFFF.FFFF までの IPv6 マルチキャスト MAC アドレス

0100.0CCC.CCCD の BPDU マルチキャスト アドレス

0900.0700.0000 ~ 0900.07FF.FFFF までの AppleTalk マルチキャスト MAC アドレス

ルーテッド モードで許可されないトラフィックの通過

ルーテッド モードでは、アクセス リストで許可しても、いくつかのタイプのトラフィックはASAを通過できません。ただし、トランスペアレント ファイアウォールは、拡張アクセス リスト(IP トラフィックの場合)または EtherType アクセス リスト(非 IP トラフィックの場合)を使用してほとんどすべてのトラフィックを許可できます。

IP 以外のトラフィック(AppleTalk、IPX、BPDU、および MPLS など)は、EtherType アクセス リストを使用して通過するように構成できます。


) トランスペアレント モードのASAは、CDP パケットおよび 0x600 以上の有効な EtherType を持たないパケットの通過を拒否します。サポートされる例外は、BPDU および IS-IS です。


ルーテッド モード機能のためのトラフィックの通過

トランスペアレント ファイアウォールで直接サポートされていない機能の場合は、アップストリーム ルータとダウンストリーム ルータが機能をサポートできるようにトラフィックの通過を許可することができます。たとえば、拡張アクセス リストを使用して、DHCP トラフィック(サポートされない DHCP リレー機能の代わりに)または IP/TV によって作成されたマルチキャスト トラフィックを許可できます。また、トランスペアレント ファイアウォールを通過するルーティング プロトコル隣接関係を確立することもできます。つまり、OSPF、RIP、EIGRP、または BGP トラフィックを拡張アクセス リストに基づいて許可できます。同様に、protocols like HSRP や VRRP などのプロトコルは ASA を通過できます。

BPDU の処理

スパニングツリー プロトコルを使用するときのループを防止するために、デフォルトで BPDU が渡されます。BPDU をブロックするには、BPDU を拒否するように EtherType アクセス リストを設定する必要があります。フェールオーバーを使用している場合、BPDU をブロックして、トポロジが変更されたときにスイッチ ポートがブロッキング ステートに移行することを回避できます。詳細については、を参照してください。

MAC アドレス ルックアップと ルート ルックアップ

ASAがトランスペアレント モードで動作している場合、パケットの発信インターフェイスは、ルート ルックアップではなく MAC アドレス ルックアップを実行することによって決定されます。

ただし、次のトラフィック タイプにはルート ルックアップが必要です。

ASAで発信されたトラフィック:たとえば、syslog サーバがリモート ネットワークにある場合は、ASAがそのサブネットに到達できるようにスタティック ルートを使用する必要があります。

NAT がイネーブルである ASA から 1 ホップ以上離れているトラフィック:ASA でネクスト ホップ ゲートウェイを検索するためのルート ルックアップを実行する必要があります。実際のホスト アドレスを把握するには、ASA にスタティック ルートを追加する必要があります。

インスペクションがイネーブルであり、エンドポイントがASAから少なくとも 1 ホップ離れている Voice over IP(VoIP)および DNS トラフィック:たとえば、CCM と H.323 ゲートウェイの間にトランスペアレント ファイアウォールを使用し、トランスペアレント ファイアウォールと H.323 ゲートウェイの間にルータがある場合、正常にコールを完了させるにはASAに H.323 ゲートウェイ用のスタティック ルートを追加する必要があります。検査されるトラフィックに対して NAT をイネーブルにすると、スタティック ルートは、パケットに埋め込まれている本当のホスト アドレスの出力インターフェイスを決定する必要があります。影響を受けるアプリケーションは次のとおりです:

CTIQBE

DNS

GTP

H.323

MGCP

RTSP

SIP

Skinny(SCCP)

ARP Inspection

デフォルトでは、すべての ARP パケットがASAを通過できます。ARP パケットのフローを制御するには、ARP インスペクションをイネーブルにします。

ARP インスペクションをイネーブルにすると、ASAは、すべての ARP パケット内の MAC アドレス、IP アドレス、および送信元インターフェイスを ARP テーブル内のスタティック エントリと比較し、次のアクションを実行します。

IP アドレス、MAC アドレス、および送信元インターフェイスが ARP エントリと一致する場合、パケットを通過させます。

MAC アドレス、IP アドレス、またはインターフェイス間で不一致がある場合、ASAはパケットをドロップします。

ARP パケットがスタティック ARP テーブル内のどのエントリとも一致しない場合、パケットをすべてのインターフェイスに転送(フラッディング)するか、またはドロップするようにASAを設定できます。


) 専用の管理インターフェイス(存在する場合)は、このパラメータが flood に設定されている場合でもパケットをフラッディングしません。


ARP インスペクションによって、悪意のあるユーザが他のホストやルータになりすます(ARP スプーフィングと呼ばれる)のを防止できます。ARP スプーフィングが許可されていると、「中間者」攻撃を受けることがあります。たとえば、ホストが ARP 要求をゲートウェイ ルータに送信すると、ゲートウェイ ルータはゲートウェイ ルータの MAC アドレスで応答します。ただし、攻撃者は、ルータの MAC アドレスではなく攻撃者の MAC アドレスで別の ARP 応答をホストに送信します。これで、攻撃者は、すべてのホスト トラフィックを代行受信してルータに転送できるようになります。

ARP インスペクションを使用すると、正しい MAC アドレスとそれに関連付けられた IP アドレスがスタティック ARP テーブル内にある限り、攻撃者は攻撃者の MAC アドレスで ARP 応答を送信できなくなります。

MAC Address Table

ASAは、通常のブリッジやスイッチと同様の方法で、MAC アドレス テーブルをラーニングし、構築します。デバイスがASA経由でパケットを送信すると、ASAはこの MAC アドレスをテーブルに追加します。テーブルで MAC アドレスと発信元インターフェイスが関連付けられているため、ASAは、パケットが正しいインターフェイスからデバイスにアドレス指定されていることがわかります。

ASA 5505 には、組み込みスイッチがあります。このスイッチの MAC アドレス テーブルは、各 VLAN 内のトラフィックの MAC アドレスとスイッチ ポートのマッピングを維持します。この項では、 ブリッジ MAC アドレス テーブルのみについて説明します。このテーブルは、VLAN 間のトラフィックのための、MAC アドレスから VLAN インターフェイスへのマッピングを保持します。

ASAはファイアウォールなので、パケットの宛先 MAC アドレスがテーブルにない場合、ASAは通常のブリッジとは異なり、元のパケットをすべてのインターフェイスにフラッドすることはありません。代わりに、直接接続されたデバイスまたはリモート デバイスに対して次のパケットを生成します。

直接接続されたデバイスへのパケット:ASAは宛先 IP アドレスに対して ARP 要求を生成し、ASAは ARP 応答を受信したインターフェイスをラーニングします。

リモート デバイスへのパケット:ASAは宛先 IP アドレスへの ping を生成し、ASAは ping 応答を受信したインターフェイスをラーニングします。

元のパケットはドロップされます。

ファイアウォール モードのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

デフォルト設定

デフォルト モードはルーテッド モードです。

トランスペアレント モードのデフォルト

デフォルトでは、すべての ARP パケットがASAを通過できます。

ARP インスペクションをイネーブルにした場合、デフォルト設定では、一致しないパケットはフラッドします。

ダイナミック MAC アドレス テーブルのデフォルトのタイムアウト値は 5 分です。

デフォルトでは、各インターフェイスはトラフィックに入る MAC アドレスを自動的に学習し、ASAは対応するエントリを MAC アドレス テーブルに追加します。

注意事項と制約事項

コンテキスト モードのガイドライン

コンテキストごとにファイアウォール モードを設定します。

トランスペアレント ファイアウォール ガイドライン

トランスペアレント ファイアウォール モードでは、管理インターフェイスによってデータ インターフェイスと同じ方法で MAC アドレス テーブルがアップデートされます。したがって、いずれかのスイッチ ポートをルーテッド ポートとして設定しない限り、管理インターフェイスおよびデータ インターフェイスを同じスイッチに接続しないでください(デフォルトでは、Cisco Catalyst スイッチがすべての VLAN スイッチ ポートの MAC アドレスを共有します)。そうしないと、物理的に接続されたスイッチから管理インターフェイスにトラフィックが到着すると、ASAによって、データ インターフェイスではなく、 管理 インターフェイスを使用してスイッチにアクセスするように MAC アドレス テーブルがアップデートされます。この処理が原因で、一時的にトラフィックが中断します。セキュリティ上の理由から、少なくとも 30 秒間は、スイッチからデータ インターフェイスへのパケットのために MAC アドレス テーブルがASAによって再アップデートされることはありません。

直接接続された各ネットワークは同一のサブネット上にある必要があります。

ブリッジ グループ管理 IP アドレスを、接続されたデバイスのデフォルト ゲートウェイとして指定しないでください。ASA の他方の側にあるルータをデバイスのデフォルト ゲートウェイとして指定する必要があります。

管理トラフィックの戻りパスを指定するために必要な、トランスペアレント ファイアウォールのデフォルト ルートは、1 つのブリッジ グループ ネットワークからの管理トラフィックにだけ適用されます。これは、デフォルト ルートはブリッジ グループのインターフェイスとブリッジ グループ ネットワークのルータ IP アドレスを指定しますが、ユーザは 1 つのデフォルト ルートしか定義できないためです。複数のブリッジ グループ ネットワークからの管理トラフィックが存在する場合は、管理トラフィックの発信元ネットワークを識別するスタティック ルートを指定する必要があります。

その他のガイドラインについては、を参照してください。

IPv6 のガイドライン

IPv6 をサポートします。

その他のガイドラインと制限事項

ファイアウォール モードを変更すると、ASA は実行コンフィギュレーションをクリアします。これは、多くのコマンドが両方のモードでサポートされていないためです。スタートアップ コンフィギュレーションは変更されません。保存しないでリロードすると、スタートアップ コンフィギュレーションがロードされて、モードは元の設定に戻ります。コンフィギュレーション ファイルのバックアップについては、「ファイアウォール モード(シングル モード)の設定」を参照してください。

firewall transparent コマンドを使用してモードを変更するテキスト コンフィギュレーションをASAにダウンロードする場合は、このコマンドをコンフィギュレーションの先頭に配置します。先頭に配置することによって、ASAでこのコマンドが読み込まれるとすぐにモードが変更され、その後引き続きダウンロードされたコンフィギュレーションが読み込まれます。このコマンドがコンフィギュレーションの後ろの方にあると、ASAはそれ以前に記述されているコンフィギュレーションの行をすべてクリアします。

トランスペアレント モードでサポートされていない機能

表 6-1 にトランスペアレント モードでサポートされていない機能を示します。

 

表 6-1 トランスペアレント モードでサポートされていない機能

機能
説明

ダイナミック DNS

--

DHCP リレー

トランスペアレント ファイアウォールは DHCP サーバとして機能することができますが、DHCP リレー コマンドはサポートしません。2 つの拡張アクセス リストを使用して DHCP トラフィックを通過させることができるので、DHCP リレーは必要ありません。1 つは内部インターフェイスから外部インターフェイスへの DHCP 要求を許可し、もう 1 つはサーバからの応答を逆方向に許可します。

ダイナミック ルーティング プロトコル

ただし、ASAで発信されたトラフィックのスタティック ルートを追加できます。拡張アクセス リストを使用して、ダイナミック ルーティング プロトコルがASAを通過できるようにすることもできます。

マルチキャスト IP ルーティング

拡張アクセス リストで許可することによって、マルチキャスト トラフィックがASAを通過できるようにすることができます。

QoS

--

通過トラフィック用の VPN ターミネーション

トランスペアレント ファイアウォールは、管理接続に対してのみサイトツーサイト VPN トンネルをサポートします。これは、ASAを通過するトラフィックに対して VPN 接続を終端しません。拡張アクセス リストを使用して VPN トラフィックに ASA を通過させることはできますが、非管理接続は終端されません。クライアントレス SSL VPN もサポートされていません。

ユニファイド コミュニケーション

--

ファイアウォール モード(シングル モード)の設定

この項では、CLI を使用してファイアウォール モードを変更する方法を説明します。シングル モードでは、ASDM のモードを変更できません。マルチ モードの場合については、を参照してください。


) ファイアウォール モードを変更すると実行コンフィギュレーションがクリアされるので、他のコンフィギュレーションを行う前にファイアウォール モードを設定することをお勧めします。


前提条件

モードを変更すると、ASAは実行コンフィギュレーションをクリアします(詳細については 「注意事項と制約事項」を参照してください)。

設定済みのコンフィギュレーションがある場合は、モードを変更する前にコンフィギュレーションをバックアップしてください。新しいコンフィギュレーション作成時の参照としてこのバックアップを使用できます。

モードを変更するには、コンソール ポートで CLI を使用します。ASDM コマンドライン インターフェイス ツールや SSH などの他のタイプのセッションを使用すると、コンフィギュレーションがクリアされるときに切断されるので、いずれにしてもコンソール ポートを使用してASAに再接続する必要があります。

コンテキスト内でモードを設定します。

手順の詳細

 

コマンド
目的

firewall transparent

 

 

hostname(config)# firewall transparent

ファイアウォール モードをトランスペアレントに設定します。モードをルーテッドに変更するには、 no firewall transparent コマンドを入力します。

(注) ファイアウォール モードの変更では確認は求められず、ただちに変更が行われます。

トランスペアレント ファイアウォール用の ARP インスペクションの設定

この項では、ARP インスペクションを設定する方法について説明します。次の項目を取り上げます。

「ARP インスペクションの設定のタスク フロー」

「スタティック ARP エントリの追加」

「ARP インスペクションのイネーブル化」

ARP インスペクションの設定のタスク フロー

ARP インスペクションを設定するには、次の手順を実行します。


ステップ 1 「スタティック ARP エントリの追加」に従って、スタティック ARP エントリを追加します。ARP インスペクションは ARP パケットを ARP テーブルのスタティック ARP エントリと比較するので、この機能にはスタティック ARP エントリが必要です。

ステップ 2 「ARP インスペクションのイネーブル化」に従って、ARP インスペクションをイネーブルにします。


 

スタティック ARP エントリの追加

ARP インスペクションは、ARP パケットを ARP テーブルのスタティック ARP エントリと比較します。ホストは IP アドレスでパケットの宛先を識別しますが、イーサネットにおける実際のパケット配信は、イーサネット MAC アドレスに依存します。ルータまたはホストは、直接接続されたネットワークでパケットを配信する必要がある場合、IP アドレスに関連付けられた MAC アドレスを要求する ARP 要求を送信し、ARP 応答に従ってパケットを MAC アドレスに配信します。ホストまたはルータには ARP テーブルが保管されるため、配信が必要なパケットごとに ARP 要求を送信する必要はありません。ARP テーブルは、ARP 応答がネットワーク上で送信されるたびにダイナミックに更新されます。一定期間使用されなかったエントリは、タイムアウトします。エントリが正しくない場合(たとえば、所定の IP アドレスの MAC アドレスが変更された場合など)、エントリは更新される前にタイムアウトします。


) トランスペアレント ファイアウォールは、ASAとの間のトラフィック(管理トラフィックなど)に、ARP テーブルのダイナミック ARP エントリを使用します。


手順の詳細


ステップ 1 [Configuration] > [Device Management] > [Advanced] > [ARP] > [ARP Static Table] ペインを選択します。

ステップ 2 (任意) ダイナミック ARP エントリに ARP タイムアウトを設定するには、[ARP Timeout] フィールドに値を入力します。

このフィールドでは、ASAが ARP テーブルを再構築するまでの時間を、60 ~ 4294967 秒の範囲で設定します。デフォルトは 14400 秒です。ARP テーブルを再構築すると、自動的に新しいホスト情報が更新され、古いホスト情報が削除されます。ホスト情報は頻繁に変更されるため、タイムアウトを短くすることが必要になる場合があります。

ステップ 3 (任意、8.4(5)のみ)非接続サブネットを使用するには、[Allow non-connected subnet] チェックボックスをオンにします。ASAARP キャッシュには、直接接続されたサブネットからのエントリだけがデフォルトで含まれています。ARP キャッシュをイネーブルにして、間接接続されたサブネットを含めることもできます。セキュリティ リスクを認識していない場合は、この機能をイネーブルにすることは推奨しません。この機能は、ASAに対するサービス拒否(DoS)攻撃の手助けをしてきました。任意のインターフェイスのユーザが大量の ARP 応答を送信して、偽エントリでASA ARP テーブルにがあふれる可能性があります。

次の機能を使用する場合は、この機能を使用する必要がある可能性があります。

セカンダリ サブネット。

トラフィック転送の隣接ルートのプロキシ ARP。

ステップ 4 [Add] をクリックします。

[Add ARP Static Configuration] ダイアログボックスが表示されます。

ステップ 5 [Interface] ドロップダウン リストから、ホスト ネットワークに接続されるインターフェイスを選択します。

ステップ 6 [IP Address] フィールドに、ホストの IP アドレスを入力します。

ステップ 7 [MAC Address] フィールドに、ホストの MAC アドレスを入力します。たとえば、「00e0.1e4e.3d8b」のように入力します。

ステップ 8 このアドレスでプロキシ ARP を実行するには、[Proxy ARP] チェックボックスをオンにします。

ASAは、指定された IP アドレスの ARP 要求を受信すると、指定された MAC アドレスで応答します。

ステップ 9 [OK]、続いて [Apply] をクリックします。


 

次の作業

「ARP インスペクションのイネーブル化」に従って、ARP インスペクションをイネーブルにします。

ARP インスペクションのイネーブル化

この項では、ARP インスペクションをイネーブルにする方法について説明します。

手順の詳細


ステップ 1 [Configuration] > [Device Management] > [Advanced] > [ARP] > [ARP Inspection] ペインを選択します。

ステップ 2 ARP インスペクションをイネーブルにするインターフェイス行を選択し、[Edit] をクリックします。

[Edit ARP Inspection] ダイアログボックスが表示されます。

ステップ 3 ARP インスペクションをイネーブルにするには、[Enable ARP Inspection] チェックボックスをオンにします。

ステップ 4 (任意)一致しない ARP パケットをフラッドするには、[Flood ARP Packets] チェックボックスをオンにします。

デフォルトでは、スタティック ARP エントリのどの要素にも一致しないパケットが、送信元のインターフェイスを除くすべてのインターフェイスからフラッドされます。MAC アドレス、IP アドレス、またはインターフェイス間で不一致がある場合、ASAはパケットをドロップします。

このチェックボックスをオフにすると、一致しないパケットはすべてドロップされます。これにより、スタティック エントリにある ARP だけがASAを通過するように制限されます。


) Management 0/0 または 0/1 インターフェイスあるいはサブインターフェイスがある場合、これらのインターフェイスは、このパラメータがフラッドに設定されていてもパケットをフラッドしません。


ステップ 5 [OK]、続いて [Apply] をクリックします。


 

トランスペアレント ファイアウォール用の MAC アドレス テーブルのカスタマイズ

この項では、MAC アドレス テーブルをカスタマイズする方法について説明します。次の項目を取り上げます。

「スタティック MAC アドレスの追加」

「MAC アドレス ラーニングのディセーブル化」

スタティック MAC アドレスの追加

通常、MAC アドレスは、特定の MAC アドレスからのトラフィックがインターフェイスに入ったときに、MAC アドレス テーブルに動的に追加されます。スタティック MAC アドレスは、必要に応じて MAC アドレス テーブルに追加できます。スタティック エントリを追加する利点の 1 つに、MAC スプーフィングに対処できることがあります。スタティック エントリと同じ MAC アドレスを持つクライアントが、そのスタティック エントリに一致しないインターフェイスにトラフィックを送信しようとした場合、ASAはトラフィックをドロップし、システム メッセージを生成します。スタティック ARP エントリを追加するときに(「スタティック ARP エントリの追加」を参照)、スタティック MAC アドレス エントリは MAC アドレス テーブルに自動的に追加されます。

MAC アドレス テーブルにスタティック MAC アドレスを追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Setup] > [Bridging] > [MAC Address Table] ペインを選択します。

ステップ 2 (任意)MAC アドレス エントリがタイムアウトするまでに MAC アドレス テーブルに残る時間を設定するには、[Dynamic Entry Timeout] フィールドに値を入力します。

この値は、5 ~ 720 分(12 時間)の範囲で指定します。5 分がデフォルトです。

ステップ 3 [Add] をクリックします。

[Add MAC Address Entry] ダイアログボックスが表示されます。

ステップ 4 [Interface Name] ドロップダウン リストから、MAC アドレスに関連付けられている送信元インターフェイスを選択します。

ステップ 5 [MAC Address] フィールドに、MAC アドレスを入力します。

ステップ 6 [OK]、続いて [Apply] をクリックします。


 

MAC アドレス ラーニングのディセーブル化

デフォルトでは、各インターフェイスはトラフィックに入る MAC アドレスを自動的に学習し、ASAは対応するエントリを MAC アドレス テーブルに追加します。必要に応じて MAC アドレス ラーニングをディセーブルにできますが、この場合、MAC アドレスをテーブルにスタティックに追加しないと、トラフィックがASAを通過できなくなります。

MAC アドレス ラーニングをディセーブルにするには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Setup] > [Bridging] > [MAC Learning] ペインを選択します。

ステップ 2 MAC ラーニングをディセーブルにするには、インターフェイス行を選択して、[Disable] をクリックします。

ステップ 3 MAC ラーニングを再度イネーブルにするには、[Enable] をクリックします。

ステップ 4 [Apply] をクリックします。


 

ファイアウォール モードの例

この項では、トラフィックがASAを通過する例を示します。次の項目を取り上げます。

「ルーテッド ファイアウォール モードで ASA を通過するデータ」

「トランスペアレント ファイアウォールを通過するデータの動き」

ルーテッド ファイアウォール モードで ASA を通過するデータ

この項では、ルーテッド ファイアウォール モードでデータがASAをどのように通過するかを説明します。次の項目を取り上げます。

「内部ユーザが Web サーバにアクセスする」

「外部ユーザが DMZ 上の Web サーバにアクセスする」

「内部ユーザが DMZ 上の Web サーバにアクセスする」

「外部ユーザが内部ホストにアクセスしようとする」

「DMZ ユーザが内部ホストにアクセスしようとする」

内部ユーザが Web サーバにアクセスする

図 6-3 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図 6-3 内部から外部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 6-3 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. ASAはパケットを受信します。これは新しいセッションであるため、ASAはセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、ASAはパケットをコンテキストに分類します。

3. ASAは、ローカル送信元アドレス(10.1.2.27)を、外部インターフェイス サブネット上のグローバル アドレス 209.165.201.10 に変換します。

グローバル アドレスは任意のサブネット上に置くことができますが、外部インターフェイス サブネットに置くとルーティングが簡素化されます。

4. 次に、ASAはセッションが確立されたことを記録し、外部インターフェイスからパケットを転送します。

5. www.example.com が要求に応答すると、パケットはASAを通過します。これはすでに確立されているセッションであるため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。ASAは、グローバル宛先アドレスをローカル ユーザ アドレス 10.1.2.27 に変換せずに、NAT を実行します。

6. ASAは、パケットを内部ユーザに転送します。

外部ユーザが DMZ 上の Web サーバにアクセスする

図 6-4 は、外部ユーザが DMZ Web サーバにアクセスしていることを示しています。

図 6-4 外部から DMZ へ

 

次の手順では、データがASAをどのように通過するかを示します(図 6-4 を参照)。

1. 外部ネットワーク上のユーザは、外部インターフェイス サブネット上にあるグローバル宛先アドレス 209.165.201.3 を使用して DMZ Web サーバから Web ページを要求します。

2. ASAは、パケットを受信し、ローカル アドレス 10.1.1.3 に対する宛先アドレスは変換しません。

3. 新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、ASAはパケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、ASAはパケットをコンテキストに分類します。

4. 次に、ASAはセッション エントリを高速パスに追加し、DMZ インターフェイスからパケットを転送します。

5. DMZ Web サーバが要求に応答すると、パケットはASAを通過します。また、セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。ASAは、ローカル送信元アドレスを 209.165.201.3 に変換することによって、NAT を実行します。

6. ASAは、パケットを外部ユーザに転送します。

内部ユーザが DMZ 上の Web サーバにアクセスする

図 6-5 は、内部ユーザが DMZ Web サーバにアクセスしていることを示しています。

図 6-5 内部から DMZ へ

 

次の手順では、データがASAをどのように通過するかを示します(図 6-5 を参照)。

1. 内部ネットワーク上のユーザは、宛先アドレス 10.1.1.3 を使用して DMZ Web サーバから Web ページを要求します。

2. ASAはパケットを受信します。これは新しいセッションであるため、ASAはセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、ASAはパケットをコンテキストに分類します。

3. 次に、ASAはセッションが確立されたことを記録し、DMZ インターフェイスからパケットを転送します。

4. DMZ Web サーバが要求に応答すると、パケットは高速パスを通過します。これのため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

5. ASAは、パケットを内部ユーザに転送します。

外部ユーザが内部ホストにアクセスしようとする

図 6-6 は、外部ユーザが内部ネットワークにアクセスしようとしていることを示しています。

図 6-6 外部から内部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 6-6 を参照)。

1. 外部ネットワーク上のユーザが、内部ホストに到達しようとします(ホストにルーティング可能な IP アドレスがあると想定します)。

内部ネットワークがプライベート アドレスを使用している場合、外部ユーザが NAT なしで内部ネットワークに到達することはできません。外部ユーザは既存の NAT セッションを使用して内部ユーザに到達しようとすることが考えられます。

2. ASAはパケットを受信します。これは新しいセッションであるため、ASAはセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)に従って、パケットが許可されているかどうかを確認します。

3. パケットが拒否され、ASAはパケットをドロップし、接続試行をログに記録します。

外部ユーザが内部ネットワークを攻撃しようとした場合、ASAは多数のテクノロジーを使用して、すでに確立されたセッションに対してパケットが有効かどうかを判別します。

DMZ ユーザが内部ホストにアクセスしようとする

図 6-7 は、DMZ 内のユーザが内部ネットワークにアクセスしようとしていることを示しています。

図 6-7 DMZ から内部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 6-7 を参照)。

1. DMZ ネットワーク上のユーザが、内部ホストに到達しようとします。DMZ はインターネット上のトラフィックをルーティングする必要がないので、プライベート アドレッシング方式はルーティングを回避しません。

2. ASAはパケットを受信します。これは新しいセッションであるため、ASAはセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)に従って、パケットが許可されているかどうかを確認します。

パケットが拒否され、ASAはパケットをドロップし、接続試行をログに記録します。

トランスペアレント ファイアウォールを通過するデータの動き

図 6-8 に、パブリック Web サーバを含む内部ネットワークを持つ一般的なトランスペアレント ファイアウォールの実装を示します。内部ユーザがインターネット リソースにアクセスできるよう、ASAにはアクセス リストがあります。別のアクセス リストによって、外部ユーザは内部ネットワーク上の Web サーバだけにアクセスできます。

図 6-8 一般的なトランスペアレント ファイアウォールのデータ パス

 

この項では、データがASAをどのように通過するかを説明します。次の項目を取り上げます。

「内部ユーザが Web サーバにアクセスする」

「NAT を使用して内部ユーザが Web サーバにアクセスする」

「外部ユーザが内部ネットワーク上の Web サーバにアクセスする」

「外部ユーザが内部ホストにアクセスしようとする」

内部ユーザが Web サーバにアクセスする

図 6-9 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図 6-9 内部から外部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 6-9 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. ASAはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、ASAはパケットをコンテキストに分類します。

3. ASAは、セッションが確立されたことを記録します。

4. 宛先 MAC アドレスがテーブル内にある場合、ASAは外部インターフェイスからパケットを転送します。宛先 MAC アドレスは、アップストリーム ルータのアドレス 209.165.201.2 です。

宛先 MAC アドレスが ASA のテーブルにない場合、ASA は MAC アドレスを検出するために ARP 要求または ping を送信します。最初のパケットはドロップされます。

5. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

6. ASAは、パケットを内部ユーザに転送します。

NAT を使用して内部ユーザが Web サーバにアクセスする

図 6-10 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図 6-10 NAT を使用して内部から外部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 6-10 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. ASAはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、ASAは、固有なインターフェイスに従ってパケットを分類します。

3. ASAは実際のアドレス(10.1.2.27)をマッピング アドレス 209.165.201.10 に変換します。

マッピング アドレスは外部インターフェイスと同じネットワーク上にないため、アップストリーム ルータにASAをポイントするマッピング ネットワークへのスタティック ルートがあることを確認します。

4. 次に、ASAはセッションが確立されたことを記録し、外部インターフェイスからパケットを転送します。

5. 宛先 MAC アドレスがテーブル内にある場合、ASAは外部インターフェイスからパケットを転送します。宛先 MAC アドレスは、アップストリーム ルータのアドレス 10.1.2.1 です。

宛先 MAC アドレスがASAのテーブルにない場合、ASAは、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。

6. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

7. ASAは、マッピング アドレスを実際のアドレス 10.1.2.27 にせずに、NAT を実行します。

外部ユーザが内部ネットワーク上の Web サーバにアクセスする

図 6-11 は、外部ユーザが内部 Web サーバにアクセスしていることを示しています。

図 6-11 外部から内部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 6-11 を参照)。

1. 外部ネットワーク上のユーザは、内部 Web サーバから Web ページを要求します。

2. ASAはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、ASAはパケットをコンテキストに分類します。

3. ASAは、セッションが確立されたことを記録します。

4. 宛先 MAC アドレスがテーブル内にある場合、ASAは内部インターフェイスからパケットを転送します。宛先 MAC アドレスは、ダウンストリーム ルータ 209.165.201.1 のアドレスです。

宛先 MAC アドレスがASAのテーブルにない場合、ASAは、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。

5. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

6. ASAは、パケットを外部ユーザに転送します。

外部ユーザが内部ホストにアクセスしようとする

図 6-12 は、外部ユーザが内部ネットワーク上のホストにアクセスしようとしていることを示しています。

図 6-12 外部から内部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 6-12 を参照)。

1. 外部ネットワーク上のユーザが、内部ホストに到達しようとします。

2. ASAはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されているかどうかを確認します。

マルチ コンテキスト モードの場合、ASAはパケットをコンテキストに分類します。

3. 外部ホストを許可するアクセス リストは存在しないため、パケットは拒否され、ASAによってドロップされます。

4. 外部ユーザが内部ネットワークを攻撃しようとした場合、ASAは多数のテクノロジーを使用して、すでに確立されたセッションに対してパケットが有効かどうかを判別します。

ファイアウォール モードの機能履歴

表 6-2 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。ASDM は、複数のプラットフォーム リリースとの下位互換性があるため、サポートが追加された特定の ASDM リリースは一覧には含まれていません。

 

表 6-2 ファイアウォール モードの機能履歴

機能名
プラットフォーム リリース
機能情報

トランスペアレント ファイアウォール モード

7.0(1)

トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」のように動作するレイヤ 2 のファイアウォールであり、接続デバイスにはルータ ホップとして認識されません。

次のコマンドが導入されました。 firewall transparent コマンドおよび show firewall

ASDM ではファイアウォール モードを設定できません。コマンドライン インターフェイスを使用する必要があります。

ARP インスペクション

7.0(1)

ARP インスペクションは、すべての ARP パケットの MAC アドレス、IP アドレス、および送信元インターフェイスを、ARP テーブルのスタティック エントリと比較します。

arp arp-inspection 、および show arp-inspection コマンドが導入されました。

MAC アドレス テーブル

7.0(1)

トランスペアレント ファイアウォール モードは MAC アドレス テーブルを使用します。

mac-address-table static mac-address-table aging-time mac-learn disable 、および show mac-address-table コマンドが導入されました。

トランスペアレント ファイアウォール ブリッジ グループ

8.4(1)

セキュリティ コンテキストのオーバーヘッドを避けたい場合、またはセキュリティ コンテキストを最大限に使用したい場合、インターフェイスをブリッジ グループにグループ化し、各ネットワークに 1 つずつ複数のブリッジ グループを設定できます。ブリッジ グループのトラフィックは他のブリッジ グループから隔離されます。シングル モードでは最大 8 個、マルチ モードではコンテキストあたり最大 8 個のブリッジ グループを設定でき、各ブリッジ グループには最大 4 個のインターフェイスを追加できます。

(注) ASA 5505 に複数のブリッジ グループを設定できますが、ASA 5505 のトランスペアレント モードのデータ インターフェイスは 2 つという制限は、実質的にブリッジ グループを 1 つだけ使用できることを意味します。

次の画面が変更または導入されました。

[Configuration] > [Device Setup] > [Interfaces]
[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Bridge Group Interface]
[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface]

間接接続されたサブネットの ARP キャッシュの追加

8.4(5)/9.1(2)

ASAARP キャッシュには、直接接続されたサブネットからのエントリだけがデフォルトで含まれています。また、ARP キャッシュに間接接続されたサブネットを含めることができるようになりました。セキュリティ リスクを認識していない場合は、この機能をイネーブルにすることは推奨しません。この機能は、ASAに対するサービス拒否(DoS)攻撃の手助けをしてきました。任意のインターフェイスのユーザが大量の ARP 応答を送信して、偽エントリでASA ARP テーブルにがあふれる可能性があります。

次の機能を使用する場合は、この機能を使用する必要がある可能性があります。

セカンダリ サブネット。

トラフィック転送の隣接ルートのプロキシ ARP。

次の画面が変更されました。[Configuration] > [Device Management] > [Advanced]> [ARP] > [ARP Static Table]。

マルチ コンテキスト モードのファイアウォール モードの混合がサポートされます。

8.5(1)/9.0(1)

セキュリティ コンテキスごとに個別のファイアウォール モードを設定できます。したがってその一部をトランスペアレント モードで実行し、その他をルーテッド モードで実行することができます。

firewall transparent コマンドが変更されました。

シングル モードでは、ASDM でファイアウォール モードを設定することはできません。コマンドライン インターフェイスを使用する必要があります。

マルチ モードでは、次の画面が変更になりました。[Configuration] > [Context Management] > [Security Contexts]。