 |
||
|
目次
ファクト・シート
Cisco IOS Firewall フィーチャ・セット
新しいファイアウォールの機能と特長
新機能の詳細
シスコのエンドツーエンド・ネットワーク
シスコのサポート
型番とメモリリクアイアメント
入手方法と価格
新機能の詳細
Context-based access control
Java ブロッキング
サービス妨害(Denial of Service)検出/防止
Audit Trail(監査証跡)
リアルタイム・アラート
ConfigMaker のサポート
アプリケーションサービス妨害(Denial of Service)検出/防止
Audit Trail(監査証跡)
リアルタイム・アラート
ConfigMaker のサポート
シスコのエンドツーエンド・ネットワーク
シスコのサポート
型番とメモリリクアイアメント
入手方法と価格
ファクト・シート
Cisco IOS Firewall フィーチャ・セット
インターネット・コミュニケーションの無限の可能性を追求していくと、ユーザ は次のようなセキュリティ・ソリューションの必要性に直面します。:- 不正侵入からの内部ネットワークの保護
- インターネット接続とリモート・アクセス接続のセキュリティの提供
- WWW を通じたネットワーク・コマースのタ現
- 柔軟性--ルーティングをタ行し、インターネット接続のセキュリティを 提供 し、さらにユーザごとまたはアプリケーションごとに、各インターフェイスに対して ユーザ定義のポリシに沿った別個のセキュリティ特性を与えることが可能な、 オールインワン・ソリューションです。
- 投資の保護--マルチプロトコル・ルータにファイアウォール機能を 統合する ことにより、既存のルータへの投資を応用できます。 通常、ルータは重要なネットワーク・セグメントを分離し、私設/公衆ネットワークの インターフェイスを管理するために使用されます。 既存のものに追加して変更す るので、 コストが節約され、新しいプラットフォームを習得するための管理トレーニングの 手間が 省けます。
- 簡単な管理--リモート管理機能を使用すれば、ネットワーク管理メは ネット ワークを介して中央コンソールからセキュリティ機能をタ装できます。
- シームレスな相互運用性--他の Cisco IOS ソフトウェア・フィーチャとの 併用、WAN の利用の最適化、堅固でスケーラブルなルーティングの提供、 既存の Cisco IOS ベースのネットワーク (インターネットなど) との相互運用。
新しいファイアウォールの機能と特長
Cisco IOS セキュリティ・サービスは、管理メがシスコのルータをファイアウォ ールとして構成できるようにする一連の機能を備えています。 Cisco IOS Firewall フィーチャ・セットは、既存の Cisco IOS セキュリティ・ソリ ューションを大きく強化させ、柔軟にします。 表 1 に、すでにファイアウォールとして機能しているルータに柔軟性とセキュリテ ィを追加する新機能の概要をヲします。 これらの機能は、1998 年第 1 四半期から、Cisco 1600 シリーズと 2500 シリーズ のルータ用に利用できます。|
新機能 |
内容 |
|---|---|
| Context-based access control (CBAC) | 外部との境界 (例: 企業プライベードネットワークとインターネットとの間) を 通過するすべてのトラフィックに対し、アプリケーションごとのアクセス制御を行っ て内部のユーザにセキュリティを提供します。 |
| Javaブロッキング | 出所の不明な悪意のある Java アプレットから保護します。 |
| サービス妨害(Denial of Service)検出/防止 | パケットのヘッダをチェックして不審なパケットをドロップすることにより、 外部の不正侵入からルータのリソースを保護します。 |
| Audit trail | トランザクションの詳細を記録します (タイム・スタンプ、ソース・ホスト、終 点ホスト、 ポート、所要時間、および合計転送バイト数)。 |
| リアルタイム・アラート | サービス妨害攻撃や、その他のあらかじめ構成された条件が 起こった場合に、 アラートを出します。 |
| ConfigMaker のサポート | Win95/WinNT のウィザードを基本としたネットワーク構成ツールで、 ネットワ ーク設計、アドレッシング、および Firewall フィーチャ・セット のタ装をステップ・バイ・ステップでガイドします。 |
- 基本および拡張トラフィック・フィルタリング
- 標準および拡張アクセス制御リスト (ACL): 特定の ネットワーク・セグメ ントへのアクセスを制御し、ネットワーク・セグメントを通過する トラフィックを定義します。
- ロック・アンド・キー--動的 ACL: ユーザのッ別(ユーザ名/ パスワード) に基づいて、ファイアウォールを通過する一時的なアクセスを許可します。
- ポリシ・ベースのマルチインターフェイス・サポート: セキュリティ ・ポリシ によって決定されたとおり、IP アドレスとインターフェイスによってユーザのア クセスを 制御する機能を提供します。
- ネットワーク・アドレス変換 (NAT): 内部アドレスを外部からは見えない ようにすることで、ネットワークのプライバシーを向上します。 また、登録済みの IP アドレスをそのまま使用できるので、 インターネット・アクセスのコストも節 減されます。
- ピア・ルータの認証: ルータが承認されたソースから信頼できる ルー ティング情報を受け取るようにします。
- イベント・ログ: システム・エラー・メッセージからコンソール端末 または syslog サーバへの出力し、セキュリティ・レベルを設定し、 その他のパ ラメータを記録することにより、セキュリティ違反の可能性のある アクティビティなど、通 常と異なるアクティビティを管理メがリアルタイムで追跡 できます。
- バーチャル・プライベート・ネットワーク (VPN): 公衆回線 (インタ ーネット など) を介し、セキュリティのあるデータ転送を提供します。 遠隔の支所やエク ストラネットの タ装と管理のためのコストを節減し、サービス品ソと 信頼性を向上します。相互 運用性のための標準に基づいており、次のプロトコルの いずれかを使用します。:
- Generic Routing Encapsulation (GRE) トンネリング
- レイヤ 2 転送 (L2F)
- レイヤ 2 トンネリング・プロトコル (L2TP): 利用可能に なり次第
- サービス品ソ (QoS) 制御: ミッションクリティカルな アプリケーションのト ラフィックを確タに伝送するために、アプリケーションに優先順位を 付けて、ネットワーク・リソースを割り当てます。
- Cisco 暗号化テクノロジー: ネットワークを通過するデータの伝送中の 盗聴や改変を防止する、ネットワーク層暗号化機能。
新機能の詳細
Context-based access control
Cコンテキスト・ベース・アクセス制御 (CBAC) は、Cisco IOS Firewall フィー チャ・セットの追加機能でもっとも重要なものです。 CBAC テクノロジーが重要なのは、統合された単体のソリューションの一部として、 ファイアウォール機能を初めてタ装できるようにした点です。 このテクノロジーにより、強固なセキュリティを備えたネットワークは、現在のアプ リケーションのトラフィックを受け入れ、マルチメディアやビデオ会議など未来の高 度なアプリケーションにも対応できます。 CBAC は、ソース・アドレスと宛先アドレスを細かく調べることにより、ウェルノウ ン・ポートを使用する TCP アプリケーションと UDP アプリケーション (ftp や電子メールのトラフィックなど) のセキュリティを向上します。CBAC の動作
CBAC は、標準の TCP と UDP のインターネット・アプリケーション、マルチメデ ィア・アプリケーション (H.323 アプリケーション、CU-SeeME、VDOLive、Streamworks など)、Oracle データ ベースなどの IP トラフィックを、アプリケーションごとに制御するメカニズムです。 CBAC は TCP パケットと UDP パケットを検査し、その "状態" (接続状況) を追跡 します。 TCP は、コネクション指向のプロトコルです。データを転送する前に、発信側の ホストは " 3 ウェイ・ハンドシェーク " という方法で終点との接続のネゴシエー ションを行います。 このハンドシェーク・プロセスにより、有効な TCP 接続とエラーのない伝送が保証 されます。 接続のセットアップ時に、TCP はいくつかの "ステート" またはフェーズ )を通過させますが、これらのステートはパケットのヘッダで簡単にッ別 できます。 標準アクセス制御リスト (ACL) や拡張 ACL は、パケットのヘッダから状態を読み取 って、トラフィックがリンクの通過を許可されるものかどうかを判別します。 CBAC は、パケット全体を読み取ってアプリケーションの状況情報を調べることに より、ACLの機能に検査能力を加えます。 この情報を使用して、CBAC は一時的なセッション固有のACL エントリを作成し、戻りトラフィックを内部ネットワークに送ります。 この一時ACL は、効率的にファイアウォールの入り口を開きます。 セッションがタイムアウトになるか終了すると、ACLエントリは削除され、その後のトラフィックに対しては入り口が閉じられます。 標準 ACL と拡張 ACL は一時 ACL エントリを作成できないので、これまで管理メは 情報へのアクセスの要件を満たすためにセキュリティ面でリスクを負わざるを得ませ んでした。 複数のチャネルから戻りトラフィックのチャネルを選択する高度なアプリケーション では、標準ACL や拡張 ACL を使用してセキュリティを確保するのは困難でした。 CBAC は、セッションがファイアウォールを通過してよいかどうかを決定する際に アプリケーション・タイプを考慮に入れ、セッションが複数のチャネルを使った戻り トラフィックのチャネルを選択したかどうかを判別するので、 ACL のみのソリューションよりもセキュリティに優れています。 CBAC が登場するま では、タソ的にいつでもファイアウォールの入り口を広く開けておくような永続 ACL を書かなければ高度なアプリケーションのトラフィックを許可できなかったので 、大部分の管理メはこのようなアプリケーションのトラフィックを受け付けないよう にしていました。 CBAC を使用すれば、ファイアウォールを必要に応じて開けて、それ以外のときには 閉じることによって、マルチメディアなどのアプリケーションのトラフィックを安全 に許可できるようになります。 たとえば、CBAC が Microsoft NetMeeting を許可するように構成されていて、内部 ユーザが接続を開始すると、ファイアウォールは戻りトラフィックを許可します。 しかし、外部の NetMeeting ソースが内部ユーザへの接続を開始した場合は、CBAC は接続を拒否してパケットをドロップします。 より技術的な視点から見ると、CBAC は次のような強化メカニズムを使用していま す。:- パケット検査は、パケット制御チャネルを監視し、制御チャネル内の アプリケーション固有のコマンドを認ッして、アプリケーション・レベルの 不正 侵入を検出して防止します。
- 検査を通過したパケットは転送され、CBAC はステート・テーブルを作 成して セッション状態の情報を維持します。 パケットが有効なセッションに 属している ことをヲす状態表が存在する場合だけ、戻りトラフィックは 統合ファイアウォールをハ過することを許可されます。 この機能は構成可能で、 定義されたセッションを監視します。
- セッションが終了するかタイムアウトになると、状態表は削除されます。 コネクションレス・サービスである UDP の場合は、CBAC はアドレス/ポートのペアに 従ってパケットを検査して UDP セッションを判別することによって、UDP " セッションの アクセスを適切に終了します。
- CBAC は、ステート・テーブルの情報に従い、それぞれのルータ・インターフ ェイスで動的にアクセス制御リストを作成および削除します。 これらのエントリは、統合ファイアウォールに一時的な入り口を作成して、 有効な戻りトラフィックをネットワークに戻すことを可能にします。 状態表と同様に、動的 ACL はセッションの終了時に保管されません。
CBAC を使用する場所
CBAC は、インターフェイスごとに構成されます。 CBAC は、ファイアウォールの両方の側から発信されたトラフィックを制御するように構成できますが (両方向)、ほとんどの場合は片方の側だけから発信されたトラフィックに CBAC を適用します (単一方向)。 クライアント・セッションが内部ネットワークの中で開始され、ホストにアクセ スするためにファイアウォールを通過する必要がある場合は、CBAC を単一方向制御に設定します。 たとえば、支所は WAN リンクまたはインターネット を介して本ミのサーバにアクセスする必要があります。 CBAC は、必要に応じて (動的に) リンクをオープンし、戻りトラフィックを監視し ます。 ファイアウォールの両側でプロテクションが必要な場合は、CBAC を両方向ソリュ ーションにするのが適しています。 この構成の一例は、2 ミのパートナー企業のネットワークの間で、トラフィックが一 方の方向では特定のアプリケーションに限定され、もう一方の方向では他のアプリケ ーションに限定されている場合です。CBAC に関するその他の注゜
- それぞれの接続ごとに、CBAC は状態表と動的 ACL 用のメモリを 割り当てます。 ある方向で ACL グループが 1 つだけ構成されている場合は、 CBAC のメモリ消費 は接続 1 つ当たり 600 バイト未満です (全プラットフォームで)。 アプリケーション・ セッションは、複数の TCP/UDP 接続で構成される場合があります。 たとえば、NetMeeting セッションは最大 7 つの TCP/UDP 接続で構成されます。
- CBAC と暗号化を同じインターフェイス上に配置することができますが、 CBAC は暗号化済みのパケットの内容を検査できません。 ルータが暗号化ポイントでも ある場合は、CBAC が暗号化の前にパケットを検査できるので、 CBAC と暗号化は問題なく一緒に動作 します。
- CBAC は、Cisco 1600 シリーズと 2500 シリーズのルータ・プラットフォームでのパフォーマンスを最高にするために、ファスト・スイッチングと プロセス・ スイッチングの両方を使用した場合のみ動作します。
Javaブロッキング
インターネット上の Java アプレットの急増に伴って、悪意のあるアプレットか らネットワークを保護することがネットワーク管理メの大きな関心事になっています。 Java ブロッキングを設定すれば、アーカイブまたは圧縮ファイルに組み込まれてい ない限り Java アプレットへのアクセスをフィルタに掛けることも、完全に拒否することもで きます。サービス妨害(Denial of Service)検出/防止
新しく拡張されたサービス妨害(Denial of Service)検出/防止機能は、SYN flood ing、ポート・スキャン、およびパケット挿入からネットワークを守ります。 サービス妨害(Denial of Service)検出/防止機能は、TCP 接続内のパケット・シーケ ンス番号を検査します。 番号が予期される範囲内でない場合、ルータは不審なパケットをドロップします。 新規接続のレートが異常に高いことをルータが検出した場合は、アラート・メッセー ジを発行します。 また、システム・リソースの乱用を防ぐため、半分開いている TCP 接続のステート テーブルもドロップします。Audit Trail
拡張監査証跡機能は、syslog を使用して全トランザクションを追跡し、タイム・ スタンプ、ソース・ホスト、終点ホスト、使用されたポート、セッションの所要時間 、および合計転送バイト数を記録します。リアルタイム・アラート
リアルタイム・アラートは、不審なアクティビティを検出すると同時に、中央管理コンソールに syslog エラー・メッセージを送信します。 ネットワーク管理メは、侵入にすぐに対 応することができます。ConfigMaker のサポート
Cisco IOS Firewall フィーチャ・セットは、Win95/WinNT のウィザードに基づい た管理ツール ConfigMaker を使用して簡単にセットアップできます。 ConfigMaker を使用すれば 、ネットワーク上のサポートされているルータを簡単にファイアウォールとして設定 できます。 ConfigMaker は、既存のシスコのコマンド・ライン・インターフェイスの代わりに使 用できる設定ツールで、ネットワーク管理メのために、ネットワーク・デザインとル ータのインストールのプロセスをわかりやすくガイドします。 ConfigMaker を使用すれば、それぞれのルータを独立したデバイスとして設定するの でなく、各ルータからなるネットワーク全体を単一の PC からすべて設定できます。アプリケーション
本ミとインターネットへの支所の接続
支所のセキュリティの主要な要素である Cisco IOS Firewall フィーチャ・セッ トは、配線コに余分なスペースをとりません。 たとえば、Cisco 2500 ルータがインターネットへの接続と本ミのリソースへの専用 回線接続のある 2 つのトークンリングを管理しているとします。 Firewall フィーチャ・セットを使 用すれば、管理メはルータをリモート側から構成して、インターネットから一方のイ ンターフェイスにダウンロードされる特定のアプリケーションのトラフィックと Java アプレットを拒否するようにし、別の WAN インターフェイスを介して本ミから ネットワークへシステム・ネットワーク体系 (SNA) トラフィックと Java アプレットを送るようにすることが可能です。 このソ リューションは、SNA メインフレームやクライアント・サーバ・アプリケーションなどの必須アプリケーシ ョンにアクセス権を与え、不要なアプリケーション・トラフィックへのアクセスを拒 否します。スモール・ビジネス Web サーバ
スモール・ビジネスのオーナーが顧客および仕入先とオンサイトのインターネット Web サーバを経由して通信しています。 Cisco 1605 ルータを使用すれば、顧客と仕 入先はいつでも Web サーバにログインでき、一方で内部のイーサネット LAN は別のインターフェイ ス上で保護されます。 Firewall フィーチャ・セットは、それぞれのポートで CBAC 検査をタ行してトラフ ィックを密接に監視し、Web サーバと内部ネットワークの両方を不正侵入から保護します。シスコのエンドツーエンド・ネットワーク
セキュリティ・ポリシを堅固なものにするには、外部との境界の制御や、ファイ アウォールのセットアップと管理だけでは足りません。 Cisco IOS ソフトウェアは、グローバルなセキュリティ・ポリシをタ装するために理 想的な手段です。 シスコのエンドツーエンドのソリューションを構築することによって、管理メはネッ トワークの拡大した場合でもネットワーク全体に、一貫したセキュリティ・ポリシを タ施することができます。|
Feature |
Description |
|---|---|
| Context-based Access Control (CBAC) | |
| パケット・ステートの検査 | ルータを通過するそれぞれの接続の状態とコンテキストを管理します。 着信と 発信の両方のトラフィックを検査して、セキュリティ・ポリシをタ行します。 |
| インテリジェントな検査フィルタ | 制御チャネル内のアプリケーション固有のコマンドを理解し、 アプリケーショ ンの不正侵入を検出します。 動的割り当てに基づいて (必要に 応じて) ポートを開きます。 |
| CBAC によってサポートされるアプリケーション (モジュラ・ベ ースで配置可能): | |
| TCP/UDPアプリケーション | Telnet, http, tftp, SNMP |
| File Transfer Protocol (FTP) | アクティブとパッシブの両モード |
| マルチメディア・アプリケーション | 制御チャネル・ストリームを検査して、セッション時にビデオやオーディオの チャネルが開くようにします。 H.323 アプリケーション、CU-SeeMe、RealAudio、StreamWorks、 および VDOLive をサポートしています。 |
| 電子メールサービス (SMTP プロトコルの検査) | 無効な SMTP コマンドを検出します。DMZ(非武装地帯)に外部メールをリレーす る必要が なくなりました。 |
| リモート・プロシージャ・コール(RPC) サービス | ポート・マッパーの要求を検査し、RPC トラフィックをサポートするために 必 要なだけのチャネルを開きます。 |
| Berkeley Standard Distribution (BSD)-Rcmds | サーバの応答を検査して 2 次チャネルを開きます。 |
| Oracle データベース・アプリケーションのサポート | Inspects redirect messages from Oracle listener processes; opens port for clients to connect to servers |
| H.323 ベースのビデオ会議アプリケーション | Q931 と H.245 の制御メッセージを検査して、ビデオとオーディオのデータ用の 追加 UDP チャネルを開きます。 |
| サービス(Denial of Service)検出/防止 | |
| 有名な攻撃モードからの防御 | SYN flooding、ポート・スキャン、およびパケット挿入を防御します。 ルータ のリソースの乱用から保護します。 |
| パケットのドロップ | 不正侵入メから発信されたパケットを一時的にドロップします (IP アドレスに 基づいて) |
| Sequence Number Inspection | Inspects packet sequence numbers in TCP connections to ensure they are w ithin expected ranges |
| シーケンス番号検査 | TCP 接続内のパケット・シーケンス番号を検査して、予期された範囲内にあるか どうか 確認します。 |
| 推奨デフォルト・オプション (推奨デフォルト・オプションの 総合リストにつ いては、資料を参照)。 | 推奨ブートアップ設定の許可/拒否、ソース・ルーティングのオフ/オン、 代理処理 arp の使用不可/使用可能、必須アプリケーションのみ使用可能/全アプリケーション が使用可能、Message Digest 5 (MD5) ハッシュ・アルゴリズムを使用したルータ・ パスワードの 暗号化、 仮想端末ポートへのアクセス・リストとパスワードの適用、 サポートされ ているルーティング・プロトコルでのルート認証の使用可能/使用不可 |
| TCP/UDP トランザクション・ログ | トランザクションの詳細を記録します (終了時のタイム・スタンプ、 ソース・ ホスト、終点ホスト、ポート、および合計転送バイト数) |
| Javaブロッキング | |
| 保護レベルの設定 | アーカイブまたは圧縮ファイルに組み込まれていない Java アプレットへのアク セスを、 フィルタ処理するか完全に拒否するように構成できます。 |
| リアルタイム・アラート | |
| 拡張ロギング機能 | syslog メカニズムを媒介として、ロギング・ホストに対してアラートを生成し ます。 |
| Cisco IOS フィーチャとの互換性 | ACL、NAT、TCP 代行受信、および Reflexive Access List との互換性。 Cisco 暗号化テクノロジー。 |
| Network Management | |
| ConfigMaker のサポート | Win95/WinNT のウィザードに基づいたネットワーク構成ツールで、 ネットワー ク設計、アドレッシング、および Firewall フィーチャ・セットの タ装をステップ・バイ・ステップでガイドします。 |
型番およびメモリ・リクアイアメント
Cisco IOS Firewall フィーチャ・セットの部品番号とメモリ所要量については、 次の表を参照してください。Please refer to Table 3 for part numbers and memory requirements for the Cisco IOS Firewall feature set.
Table 3: Cisco IOS Firewall Feature Set Part numbers and Memory Requirement for all versions of Cisco IOS from 11.2.11 to current versions.
|
Product Number |
Description |
Memory Requirements |
|---|---|---|
| Cisco IOS 12.0.(1)T | Includes support for IPSec | |
| S25CH-12.0.1T | Cisco IOS 2500 Series IP/FIREWALL (includes NAT) | FLASH: 8 DRAM: 8 |
| S25BHP - 12.0.1T | Cisco IOS 2500 Series IP/IPX/AT/DEC/FIREWALL Plus | FLASH: 16 DRAM: 8 |
| S25CHP-12.0.1T | Cisco IOS 2500 Series IP/FW Plus IPSEC 56 | FLASH: 16 DRAM: 8 |
| S25AHP-12.0.1T | Cisco IOS 2500 Series Enterprise Plus 56 + FW | FLASH:16 DRAM:8 |
| S25AHL-12.0.1T | Cisco IOS 2500 Series Enterprise Plus 56 + IPSEC + FW | FLASH: 16 DRAM: 8 |
| S26CH-12.0. | Cisco IOS 2600 IP/FIREWALL (includes NAT) | FLASH: 4 DRAM: 20 |
| S26CHL-12.0.1T | Cisco IOS 2600 IP/FW Plus IPSEC 56 | FLASH: 8 DRAM: 24 |
| S26BHP-12.0.1T | Cisco IOS 2600 IP/IPX/AT/DEC Plus + FW | FLASH: 8 DRAM: 24 |
| S26AHL-12.0.1T | Cisco IOS 2600 Enterprise Plus 56 + IPSEC + FW | FLASH: 8 DRAM: 32 |
| S362CH-12.0.1T | Cisco IOS 3620 IP/FIREWALL (includes NAT) | FLASH: 8 DRAM: 24 |
| S362CHL-12.0.1T | Cisco IOS 3620 IP/FW Plus IPSEC 56 | FLASH: 8 DRAM: 32 |
| S362BHP-12.0.1T | Cisco IOS 3620 IP/IPX/AT/DEC Plus + FW | FLASH: 8 DRAM: 32 |
| S362AHL-12.0.1T | Cisco IOS 3620 Enterprise Plus 56 + IPSEC + FW | FLASH: 8 DRAM: 48 |
| S364CH-12.0.1T | Cisco IOS 3640 IP/FIREWALL (includes NAT) | FLASH: 8 DRAM: 24 |
| S364CHL-12.0.1T | Cisco IOS 3640 IP/FW Plus IPSEC 56 | FLASH: 8 DRAM: 32 |
| S364BHP-12.0.1T | Cisco IOS 3640 IP/IPX/AT/DEC Plus + FW | FLASH: 8 DRAM: 32 |
| S364AHL-12.0.1T | Cisco IOS 3640 Enterprise Plus 56 + IPSEC + FW | FLASH: 8 DRAM: 48 |
| Note: Cisco IOS Firewall は12.0.(1)Tでは1600シリーズ上でご利 用いただくことができません。その後のリリースでサポートされる予定です。 | ||
入手方法と価格
Cisco IOS Firewall フィーチャ・セットは、Cisco 1600 、 2500 、2600、3600 シリーズのルータ用のソフトウェア・イメージ付き追加料金オプションとして発注で きます。 シスコミの Web サイトから Firewall フィーチャ・セットをソフトウェア・イメー ジとしてダウンロードすることも、CD-ROM をお求めになることもできます。 価格については、お近くのシスコの営業所、また はシスコ販売店にお問い合わせください。