Cisco Security Manager 4.0 ユーザ ガイド
トランスペアレント ファイアウォール規則の 管理
トランスペアレント ファイアウォール規則の管理
発行日;2012/02/07 | 英語版ドキュメント(2010/06/21 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

トランスペアレント ファイアウォール規則の管理

トランスペアレント ファイアウォール規則の設定

[Transparent Rules] ページ

[Add Transparent Firewall Rule]/[Edit Transparent Firewall Rule] ダイアログボックス

[Edit Transparent EtherType] ダイアログボックス

[Edit Transparent Mask] ダイアログボックス

トランスペアレント ファイアウォール規則の管理

トランスペアレント ファイアウォール規則は、非 IP レイヤ 2 トラフィックのアクセス コントロール規則です。これらの規則を使用して、レイヤ 2 パケット内の Ethertype 値に基づいてトラフィックを許可またはドロップできます。

この章は、次の内容で構成されています。

「トランスペアレント ファイアウォール規則の設定」

「[Transparent Rules] ページ」

トランスペアレント ファイアウォール規則の設定

トランスペアレント ファイアウォール規則は、非 IP レイヤ 2 トラフィックのアクセス コントロール規則です。これらの規則を使用して、レイヤ 2 パケット内の Ethertype 値に基づいてトラフィックを許可またはドロップできます。これらの規則によって、デバイス上に Ethertype アクセス コントロール リストが作成されます。トランスペアレント規則を使用すると、デバイスでの非 IP トラフィック フローを制御できます(IP トラフィックを制御するには、アクセス規則を使用します。「アクセス規則について」を参照してください)。

トランスペアレント ファイアウォールは、ブリッジ経由のトラフィック フローを制御するために単一のサブネット内に配置するデバイスです。トランスペアレント ファイアウォールを使用すると、ネットワークに番号を付け直すことなく、サブネット上にファイアウォールを配置できます。

トランスペアレント規則は、次のタイプのインターフェイス上でだけ設定できます。

IOS 12.3(7)T 以降のデバイスの場合 :ブリッジ グループの一部であるレイヤ 3 インターフェイス上:

[Interfaces] > [Interfaces policy] で、ブリッジするインターフェイスをレイヤ 3 として設定します。

[Platform] > [Device Admin] > [Bridging] ポリシーで、2 つ以上のレイヤ 3 インターフェイスが含まれるブリッジ グループを設定します(「Cisco IOS ルータにおけるブリッジング」および「ブリッジ グループの定義」を参照)。

このブリッジ グループと同じ番号を使用して、Bridge-group Virtual Interface(BVI; ブリッジ グループ仮想インターフェイス)を作成します(「ブリッジ グループ仮想インターフェイス」を参照)。たとえば、ブリッジ グループ 12 を作成する場合は、BVI12 を作成します。

ASA、PIX 7.0+、FWSM デバイスの場合 :デバイスがトランスペアレント モードで実行されている場合の任意のインターフェイス上。複数のコンテキストを使用する場合は、個々のセキュリティ コンテキストで規則を設定します。

[Platform] > [Bridging] ポリシー グループで設定できるその他のブリッジング ポリシーには、ARP テーブルと ARP インスペクション、MAC テーブルと MAC 学習ディセーブル化機能、およびデバイスのリモート管理を可能にするための管理 IP アドレスの設定機能があります。トランスペアレント ファイアウォールの詳細については、「ファイアウォール デバイスでのブリッジング ポリシーの設定」および「ルーテッド モードおよびトランスペアレント モードのインターフェイス」を参照してください。


ヒント トランスペアレント モードの ASA、PIX、および FWSM では、すべての IP トラフィックがデバイスを通過できるようにアクセス規則を設定する必要があります。トランスペアレント規則では、レイヤ 2 の非 IP トラフィックだけが制御されます。


また、セキュリティ デバイスでネットワーク アドレス変換を使用する方法については、「トランスペアレント モードの NAT」を参照してください。

これらのインターフェイス上に、他のタイプのファイアウォール規則を設定することもできます。その他のタイプの規則は、レイヤ 3 以上のトラフィックに適用されます。


ヒント トランスペアレント規則を設定すると、暗黙的な deny all 規則が、各インターフェイスの規則リストの最後に追加されます。必要なトラフィックをすべて許可していることを確認してください。特定のタイプのトラフィックだけを許可するのではなく、単に特定のタイプのトラフィックを拒否する場合は、permit any(ASA/PIX/FWSM デバイスの場合)または permit 0x0000 0xFFFF(IOS デバイスの場合)規則をテーブル内の最後の規則として含めることができます。


関連項目

「規則の追加および削除」

「規則の編集」

「規則のイネーブル化とディセーブル化」


ステップ 1 次のいずれかを実行して、「[Transparent Rules] ページ」を開きます。

(デバイス ビュー)サポートされているデバイス タイプのポリシー セレクタから [Firewall] > [Transparent Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Transparent Rules] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 規則を作成する行を選択して [Add Row] ボタンをクリックするか、または行を右クリックして [Add Row] を選択します。この操作により、「[Add Transparent Firewall Rule]/[Edit Transparent Firewall Rule] ダイアログボックス」が開きます。


ヒント 行を選択しなかった場合、新しい規則はローカル範囲の最後に追加されます。既存の行を選択して、行全体または特定のセルを編集することもできます。詳細については、「規則の編集」を参照してください。


ステップ 3 規則を設定します。次に、一般的に判断が必要となる重要な点を示します。フィールドを設定する方法の詳細については、「[Add Transparent Firewall Rule]/[Edit Transparent Firewall Rule] ダイアログボックス」を参照してください。

許可または拒否:規則に一致したトラフィックを許可するか、またはドロップするか。

インターフェイス:規則を設定するインターフェイスまたはインターフェイス ロール。

この規則を適用するトラフィックの方向([in] または [out])。デフォルトは [in] です。

EtherType:トラフィックを識別する 16 進コードまたはキーワード(ASA/PIX/FWSM の場合だけ)。コードのリストについては、RFC 1700( http://www.ietf.org/rfc/rfc1700.txt )を参照し、「Ether Type」を検索してください。ASA/PIX/FWSM では、一部の EtherType を識別するためのキーワードを選択できます。ASA/PIX/FWSM の場合、このコードは少なくとも 0x0600 である必要があります。

マスク:IOS デバイスに適用する規則の場合は、EtherType に適用するマスクも指定する必要があります。EtherType が文字どおり解釈されるようにするには、0xFFFF を使用します。

EtherType のグループに適用する単一の規則を作成する場合は、EtherType を 2 進数に変換し、適切なマスクを計算します。この場合、1 は、EtherType を文字どおり解釈することを示し、0 は、その位置にあるすべての値を許可することを示します。次に、マスクを 16 進数に変換する必要があります。

規則の定義が完了したら、[OK] をクリックします。

ステップ 4 適切な行を選択しないで規則を追加した場合は、追加された規則を選択し、上下の矢印ボタンを使用して適切な位置に規則を移動します。詳細については、「規則の移動と規則順序の重要性」を参照してください。

ステップ 5 (IOS デバイスだけ)IOS デバイスでトランスペアレント規則を設定する場合、DHCP トラフィックを検査せずにブリッジ経由で転送できます。これを設定するには、[Firewall] > [Settings] > [Inspection] ポリシーを選択し、[Permit DHCP Passthrough (Transparent Firewall)] オプションを選択します。この設定は、一部の IOS バージョンではサポートされていないため、検証結果をよく調べて、使用しているデバイスで設定できるかどうかを確認してください。


 

[Transparent Rules] ページ

[Transparent Rules] ページを使用して、非 IP レイヤ 2 トラフィックのアクセスを制御します(IP トラフィック アクセスを制御するには、アクセス規則を使用します。「アクセス規則について」を参照してください)。

トランスペアレント規則の対象は、トランスペアレント ファイアウォール(トランスペアレント モードで動作する ASA、PIX 7.0+、および FWSM の各デバイス)またはレイヤ 3 インターフェイス(IOS 12.3(7)T+ デバイス上のブリッジ グループに属している)に限定されます。展開されたトランスペアレント規則は、Ethertype アクセス コントロール リストになります。

トラフィックをデバイス経由で両方向に渡せるようにするには、すべてのブリッジ インターフェイスに同じ規則を設定します。

トランスペアレント ファイアウォールの設定の詳細について、およびこれらの規則を展開するためのデバイス要件については、「トランスペアレント ファイアウォール規則の設定」を参照してください。


ヒント ディセーブルな規則には、テーブルの行にハッシュ マークが重なって表示されます。デバイスがディセーブルな規則の設定をサポートする場合、これらの規則はディセーブルな状態で設定に含まれています。サポートしない場合、これらの規則は設定に含まれません。詳細については、「規則のイネーブル化とディセーブル化」を参照してください。


ナビゲーション パス

トランスペアレント規則にアクセスするには、次のいずれかを実行します。

(デバイス ビュー)サポートされているデバイス タイプのポリシー セレクタから [Firewall] > [Transparent Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Transparent Rules] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

(マップ ビュー)デバイスを右クリックし、[Edit Firewall Policies] > [Transparent Rules] を選択します。

関連項目

「ルーテッド モードおよびトランスペアレント モードのインターフェイス」.

「ファイアウォール デバイスでのブリッジング ポリシーの設定」

「Cisco IOS ルータにおけるブリッジング」

「ブリッジ グループの定義」

「ブリッジ グループ仮想インターフェイス」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 19-1 [Transparent Rules] ページ

要素
説明

[No.]

順序が付けられた規則番号。

[Permit]

設定された次の条件に基づいて、規則がトラフィックを許可または拒否するかどうか。

[Permit]:緑色のチェック マークとして表示されます。

[Deny]:スラッシュの入った赤色の丸として表示されます。

[EtherType]

Ethernet パケット タイプ。パケット内の EtherType 値です。16 進コードまたはキーワードとなります。

[Mask]

EtherType の 16 ビットの 16 進マスク(IOS デバイスだけ)。0xFFFF のマスクは、EtherType がリテラルであることを示します。それ以外のマスクはすべて、EtherType 内の対応するビットを無視することを示します。マスクを完全に解釈するには、16 進数を 2 進数に変換する必要があります(2 進数 1 は、対応する EtherType 値を文字どおり解釈することを示し、0 は、その位置にあるすべての値を許可することを示します)。

[Interface]

規則が割り当てられるインターフェイスまたはインターフェイス ロール。インターフェイス ロール オブジェクトは、各デバイスの設定が生成されるときに、実際のインターフェイス名で置き換えられます。複数のエントリがある場合は、テーブル セル内に個別のサブフィールドとして表示されます。「インターフェイス ロール オブジェクトについて」を参照してください。

[Dir.]

この規則が適用されるトラフィックの方向。

[In]:インターフェイスで受信するパケット。

[Out]:インターフェイスから送信するパケット。

[Category]

規則に割り当てられるカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Description]

規則の説明(ある場合)。

[Up Row] ボタンと [Down Row] ボタン(矢印アイコン)

選択した規則を範囲内またはセクション内で上下に移動するには、これらのボタンをクリックします。詳細については、「規則の移動と規則順序の重要性」を参照してください。

[Add Row] ボタン

「[Add Transparent Firewall Rule]/[Edit Transparent Firewall Rule] ダイアログボックス」を使用して選択したテーブルの行のあとに規則を追加するには、このボタンをクリックします。行を選択しなかった場合は、ローカル範囲の最後に規則が追加されます。規則を追加する方法の詳細については、「規則の追加および削除」を参照してください。

[Edit Row] ボタン

選択した規則を編集するには、このボタンをクリックします。個々のセルを編集することもできます。詳細については、「規則の編集」を参照してください。

[Delete Row] ボタン

選択した規則を削除するには、このボタンをクリックします。

[Add Transparent Firewall Rule]/[Edit Transparent Firewall Rule] ダイアログボックス

[Add Transparent Firewall Rule] および [Edit Transparent Firewall Rule] の各ダイアログボックスを使用して、デバイス上で EtherType アクセス コントロール リストとして設定されているトランスペアレント ファイアウォール規則を追加および編集します。トランスペアレント規則を設定する前に、「トランスペアレント ファイアウォール規則の設定」を読んでください。

ナビゲーション パス

「[Transparent Rules] ページ」から、[Add Row] ボタンをクリックするか、または行を選択して [Edit Row] ボタンをクリックします。

関連項目

「ルーテッド モードおよびトランスペアレント モードのインターフェイス」.

「ファイアウォール デバイスでのブリッジング ポリシーの設定」

「Cisco IOS ルータにおけるブリッジング」

「ブリッジ グループの定義」

「ブリッジ グループ仮想インターフェイス」

「規則の編集」

「規則の追加および削除」

フィールド リファレンス

 

表 19-2 [Add Transparent Firewall Rule]/[Edit Transparent Firewall Rule] ダイアログボックス

要素
説明

[Enable Rule]

規則をイネーブルにするかどうか。イネーブルにすると、デバイスに設定を展開したときに規則がアクティブになります。ディセーブルな規則には、規則テーブルにハッシュ マークが重なって表示されます。詳細については、「規則のイネーブル化とディセーブル化」を参照してください。

[Action]

定義した条件に基づいて、規則がトラフィックを許可または拒否するかどうか。

[Interfaces]

規則が割り当てられるインターフェイスまたはインターフェイス ロール。ブリッジングされたトランスペアレント インターフェイスだけを選択する必要があります(詳細については、「トランスペアレント ファイアウォール規則の設定」を参照してください)。

インターフェイスまたはインターフェイス ロールの名前を入力するか、[Select] をクリックしてリストからインターフェイスまたはインターフェイス ロールを選択するか、あるいは新しいロールを作成します。インターフェイスをリストに表示するには、あらかじめ定義しておく必要があります。

インターフェイス ロール オブジェクトは、各デバイスの設定が生成されるときに、実際のインターフェイス名で置き換えられます。「インターフェイス ロール オブジェクトについて」を参照してください。

[Traffic Direction]

この規則が適用されるトラフィックの方向。

[In]:インターフェイスで受信するパケット。

[Out]:インターフェイスから送信するパケット。

[EtherType]

パケット内の EtherType 値に基づいてトラフィックを識別する 16 進コードまたはキーワード(ASA/PIX/FWSM の場合だけ)。次の内容を入力または選択します。

16 進の EtherType 値。コードのリストについては、RFC 1700( http://www.ietf.org/rfc/rfc1700.txt )を参照し、「Ether Type」を検索してください。

IOS デバイス:0x0000 ~ 0xFFFF の任意の値を入力できます。

ASA/PIX/FWSM デバイス:値は 0x0600 以上である必要があります。

ASA/PIX/FWSM デバイスの場合、次のキーワードも選択できます。

bpdu:スパニング ツリー ブリッジ プロトコル データ ユニット

ipx:インターネット パケット交換

mpls-unicast:マルチプロトコル ラベル スイッチング、ユニキャスト。

mpls-multicast:MPLS マルチキャスト。

any:EtherType に関係なく、すべてのパケット。

[Wildcard Mask (IOS)]

マスクは、EtherType コードの解釈方法を決定する 16 ビットの 16 進数です。

0xFFFF のマスクは、EtherType がリテラルであることを示します。それ以外のマスクはすべて、EtherType 内の対応するビットを無視することを示します。マスクを完全に解釈するには、16 進数を 2 進数に変換する必要があります(2 進数 1 は、対応する EtherType 値を文字どおり解釈することを示し、0 は、その位置にあるすべての値を許可することを示します)。

[Category]

規則に割り当てられるカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Description]

オプションで入力する規則の説明(最大 1024 文字)。

[Edit Transparent EtherType] ダイアログボックス

[Edit Transparent EtherType] ダイアログボックスを使用して、トランスペアレント ファイアウォール規則の EtherType を編集します。トラフィックを識別する 16 進コードを入力します。ASA/PIX/FWSM デバイスの場合、一部のタイプのトラフィックには、キーワードを選択することもできます。コードのリストについては、RFC 1700( http://www.ietf.org/rfc/rfc1700.txt )を参照し、「Ether Type」を検索してください。EtherType の詳細については、「[Add Transparent Firewall Rule]/[Edit Transparent Firewall Rule] ダイアログボックス」を参照してください。

詳細については、「トランスペアレント ファイアウォール規則の設定」を参照してください。

ナビゲーション パス

トランスペアレント ファイアウォール規則(「[Transparent Rules] ページ」)の [EtherType] セルを右クリックし、[Edit EtherType] を選択します。一度に 1 つの行の EtherType を編集できます。

[Edit Transparent Mask] ダイアログボックス

[Edit Transparent Mask] ダイアログボックスを使用して、IOS デバイス用のトランスペアレント ファイアウォール規則のマスクを編集します。マスクは、EtherType コードの解釈方法を決定する 16 ビットの 16 進数です。

0xFFFF のマスクは、EtherType がリテラルであることを示します。それ以外のマスクはすべて、EtherType 内の対応するビットを無視することを示します。マスクを完全に解釈するには、16 進数を 2 進数に変換する必要があります(2 進数 1 は、対応する EtherType 値を文字どおり解釈することを示し、0 は、その位置にあるすべての値を許可することを示します)。

詳細については、「トランスペアレント ファイアウォール規則の設定」を参照してください。

ナビゲーション パス

トランスペアレント規則(「[Transparent Rules] ページ」)の [Mask] セルを右クリックし、[Edit Mask] を選択します。一度に 1 つの行のマスクを編集できます。