Cisco IOS Firewall

Cisco IOS Firewall ソフトウェア アプリケーションの概要

Hierarchical Navigation

アプリケーション ノート

Cisco IOS ファイアウォール

アプリケーションの概要

ビジネス トランザクションの安全性を確保するためにネットワーク セキュリティがますます重要になる中で、企業はネットワークの設計とインフラストラクチャ自体にセキュリティを組み込む必要性を感じています。大切な企業財産やビジネスの機密プロセスとアプリケーションを保護し、ビジネスを安全に存続させ、生産性を落とすことなく労働リソースの管理を行うことで、セキュリティ ポリシーを実施することがビジネスに多大な恩恵をもたらします。このようなセキュリティは、ネットワーク内部のコンポーネントに装備することが最も効果的です。

Cisco IOS® ファイアウォールは、Cisco IOS ソフトウェアのセキュリティ専用オプションです。ベンダーによっては、access control list(ACL; アクセス コントロール リスト)と Network Address Translation(NAT; ネットワークアドレス変換)をファイアウォールとして提供している場合もありますが、Cisco IOS Firewall は、ネットワーク境界に対する強力なファイアウォール機能と侵入検知機能を装備した統合ネットワーク セキュリティを提供します。また、HTTP(Java ブロッキング)、SMTP、FTP、TFTP、H.323、SIP、Skinny、RTSP、RealAudioHTTP、その他多くのトラフィック タイプ別のステートフルなマルチサービス アプリケーション ベースのフィルタリング、動的なユーザごとの認証、権限付与、およびアカウンティング、URL のフィルタリングなど、最新のセキュリティ機能を搭載しており、認証や暗号化、フェイルオーバーなど、既存の Cisco IOS セキュリティ機能をさらに柔軟で完全なものに仕上げます。この他にも、Cisco IOS Firewall には、次のような機能が搭載されています。

  • リモート オフィスとブランチ オフィスにおける安定したインターネット接続を保持するだけでなく、組織内部の接続(イントラネット)とパートナー ネットワーク間の接続(エクストラネット)で柔軟なセキュリティとポリシーを実施します。

  • ネットワーク管理者は、新しいハードウェアを追加しなくても、既存のネットワーク インフラストラクチャにセキュリティ ポリシーを配備できます。

  • セキュリティ レイヤを追加し、既存のセキュリティ レベルをさらにアップします。

  • お客様が、帯域幅、LAN/WAN 密度、およびマルチサービス要件に基づいて、ルータ プラットフォームを選択できます。

Cisco IOS Firewall は、幅広い Cisco IOS ソフトウェア リリースに対応しています。効果的なセキュリティ環境を確立するには、適切なシスコ製ルータを選ぶ必要があります。次のガイドラインを参考にしてください。

  • 小規模/家庭内オフィス: Cisco 800、および 1700 シリーズ ルータ

  • ブランチおよびエクストラネット環境: Cisco 2600、3600、および 3700 シリーズ ルータ

  • VPN および WAN 集約ポイントなどの高スループット環境: Cisco 7100、7200、7400、7500、および RSM シリーズ ルータ、Cisco Catalyst® スイッチ

Cisco IOS Firewall の詳細については、Cisco IOS ファイアウォール データ シート、Cisco IOS Firewall White Paper、および『Cisco IOS Firewall Design Guide』を参照してください。

企業インターネット境界

企業は、Cisco IOS Firewall を搭載したルータをネットワークの境界に配備します。ファイアウォールは、信頼できないインターネットからの不正アクセスから企業のプライベート ネットワークを保護し、内部プライベート ネットワークから信頼されていないサイトへの不正アクセスをカットします。

ビジネスの一環として、多くの企業が自社 Web、ファイル転送、メール、DNS サービスを管理するだけでなく、これらのサービスをインターネット上で利用可能にしなければなりません。プライベート ネットワーク内でサーバを運用する危険性を考慮して、Demilitarized Zone(DMZ; 非武装地帯)ネットワークを企業ネットワーク インフラストラクチャの一部として配備し、システム内外の接続に安全で比較的中立な「Drop area」を提供します。ファイアウォールのポリシーが作成されて、信頼できないサイトからプライベート ネットワークへの接続が拒否されます。インターネット ユーザは、DMZ ネットワーク上のサーバに接続して、企業が公開している情報や外部ユーザに対して提供しているサービスにアクセスできます。DMZ ネットワークからプライベート ネットワークとインターネットへの発信は、ファイアウォール ポリシーによって規制されます。この規制によって、攻撃者が DMZ サーバに侵入して内部サービスに被害を与えたり、他の一般サイトを攻撃するツールとして悪用するのを防ぐことができます。

認証、許可、アカウンティング

Cisco IOS Firewall 認証プロキシ機能を使用して、ユーザごとに設定されたセキュリティ ポリシーに基づいた接続ができます。ユーザがインターネット、DMZ ネットワーク、あるいは内部ネットワークへの接続を試みると、ユーザ別のポリシーが authentication, authorization, and accounting(AAA; 証、許可、アカウンティング)サーバからルータへ動的にダウンロードされます。アクセスは、そのユーザが個人セキュリティ プロファイルに基づいた適切なアクセス権限を保有している場合にしか許可されません。認証プロキシを使用する以外に、その認証プロキシ サービスを使用しているユーザのセキュリティ、アカウンティング、リソースの割り当て、および管理のために、企業ネットワーク管理者は AAA サーバのアカウンティング機能を使用することもできます。図 1 は、企業インターネット境界への配備シナリオを示したものです。


図 1
企業インターネット境界の配備シナリオ

宛先 URL ポリシー管理

企業では、Cisco IOS Firewall の主要機能である宛先 URL ポリシー管理を使ってリソースを管理し、生産性の低下を防ぐこともできます。この宛先 URL ポリシー管理によって、企業ネットワークのシステム管理者は、公開される URL のカテゴリやコンテンツにアクセスできるユーザ、コンテンツがアクセスされるタイミングを決定します。Cisco IOS Firewall を装備したルータでは、URL ポリシーのローカル リストを保持することで、URL 接続要求への許可または拒否を管理します。ルータ上で利用できないポリシーを追加する場合は、外部ポリシー管理サーバに URL 宛先の HTTP 要求が転送され、許可が与えられます。現在、シスコでは、WebSense 社と N2H2 社の URL ポリシー管理サーバの実装をサポートしています。

イベント モニタリングとロギング

疑わしいアクティビティが企業ネットワーク上で検出されると、リアルタイム アラートが syslog エラー メッセージを中央管理コンソールへ送信し、管理者がセキュリティの侵害や有害なイベントをリアルタイムでトラッキングし、対処できます。

企業イントラネット

通常、企業には多くの部署があり、それぞれが異なるミッション クリティカルな情報の一部を担当しています。企業内のさまざまな組織で働く従業員がすべて、全企業情報とサービスに対して同等のアクセス権限を保有しているわけではありません。企業イントラネットの配備シナリオは、human resource(HR; 人事)、enterprise resource planning(ERP; 企業リソース計画)、customer relationship management(CRM; 顧客関係管理)、およびアカウンティング システムなどのミッション クリティカルなサーバを組織内でのセキュリティ侵害から保護している例です。さらに、このシナリオでは、生産性を向上させるために内部リソースを効果的に管理しています。

企業イントラネットのファイアウォール ポリシーは、企業内の各部署間のトラフィックを制限して情報にアクセスできるよう設計されています。従業員は、認証と権限を受けた後、企業ネットワーク上のサーバとサービスへのアクセスが許可されます。宛先 URL ポリシー管理でも、内部の Web サイトと Web アプリケーションへのアクセスを制御します。さらに、疑わしいアクティビティは、リアルタイム アラートとログ メッセージを使って管理者によって監視されます。図 2 はその仕組みを示したものです。


図 2
企業イントラネット シナリオ

地方オフィスとブランチ オフィスの境界

地方オフィスやブランチ オフィスにも、ネットワーク境界に Cisco IOS Firewall を装備したルータを配備できます。地方オフィスまたはブランチ オフィスと企業本社との間のデータと音声のトラフィックは、Virtual Private Network(VPN; 仮想私設ネットワーク)接続を介して伝送されます。 Web 上で利用可能な情報やパブリック サーバへのアクセスは、地方オフィスやブランチ オフィスからインターネットへ個別に直接接続することで可能となります。

このファイアウォール配備シナリオでは、企業インターネット境界配備用に作成したファイアウォール ポリシーが、地方オフィスやブランチ オフィス境界のファイアウォール ポリシーと連携して動作しています。信頼されていないインターネットから地方オフィスやブランチ オフィスのネットワークへは接続が許可されず、インターネット ユーザは企業の DMZ ネットワーク上にあるサーバへ接続して公開されている企業情報にアクセスします。DMZ ネットワークは、企業側が外部ユーザに提供したいすべてのサービスを提供します。

地方オフィスの場所からインターネットや内部リソースへの各アクセスをよりよく管理するため、AAA および URL ポリシー管理サーバが地方オフィスの場所に配備されます。各従業員のセキュリティ プロファイルに基づいた適切なアクセス権限を持つ従業員だけが、サービスやリソースへアクセスできます。syslog サーバも、地方オフィス管理者が利用して、発生する危険性のある攻撃や異常なアクティビティを、トラッキングして処置できます。システム管理リソースのない小さい規模の地方オフィスの場合、中央ファイアウォール ポリシー管理が会社のメイン ネットワークにあるリソースからリモートで提供されます。


図 3
地方オフィスとブランチ オフィスの境界

テレワーカと家庭内オフィス

企業のテレワーカとホーム オフィス ユーザは、同じような方法で、家庭で何台かのコンピュータが接続された LAN ネットワークを維持します(図 4)。どちらの労働形態であっても、インターネットへの接続を提供する ISP サービスに加入します。ホーム オフィス ユーザの場合、通常、個人契約者であるか、家庭の外でビジネスを経営している個人の場合が多く、常に ISP に接続しています。ホーム オフィス ユーザの場合、Web ホスティングやドメイン サービス、電子メール、DNS などのサービスを ISP に依存しています。テレワーカの場合は多少異なり、ネットワークが企業ネットワークの延長となります。テレワーカによる作業リソースや共有情報へのアクセスは、そのユーザに対して作成された企業ファイアウォール セキュリティ プロファイルの対象となります。ブランチ オフィスの配備シナリオと同じように、テレワーカは VPN トンネルを介して企業ネットワークへ接続し、データや音声の通信を行います。さらに、テレワーカは ISP を介して直接インターネットにアクセスすることもできます。電子メールや機密情報、サーバへのアクセスなど、テレワーカが利用するビジネス リソースは、企業ネットワーク上にあります。

ビジネス リソースは家庭の外にあるネットワーク上にあるため、テレワーカとホーム オフィス ユーザはインターネットから家庭内オフィスの LAN への接続を受諾する必要はありません。テレワーカや家庭内オフィスの境界にある Cisco IOS Firewall を装備したルータは、外部への接続だけを許可します。家庭の LAN に接続しているコンピュータは、ISP ネットワークを介してインターネットに接続できますが、ファイアウォール ポリシーはプライベート LAN に対して外部で起動されたセッションを許可しません。家庭で就労しているユーザは、家庭の LAN ネットワークのサービスをまったく開示せずに、企業ネットワークや ISP から Web ページを閲覧したり、電子メールの送信、受信メールの確認などを行い、FTP からソフトウェアを取得し、Telnet を使用してリモートで接続し、マルチメディアを駆使した会議に参加できます。

Cisco IOS Firewall を使った認証プロキシ サービスと URL ポリシー管理は、テレワーカや家庭内オフィスには必要ありません。ただし、前にも述べたように、テレワーカが企業ネットワーク上にいる場合は、そのユーザに対して作成されたファイアウォール ポリシーの対象となります。家庭で就労しているユーザがシステム管理者として作業している場合は syslog サーバを配備することで、プライベート ネットワークに不正侵入の可能性が発生した場合、即座に通知を受けることができます。


図 4
テレワーカと家庭内オフィスのシナリオ

企業エクストラネット

企業がビジネス パートナーと密接な関係を確立するにつれ、会社間でのリソース共有に対するニーズが高まります。ときには、生産性と効率を高めるために、パートナーの内部ネットワークへアクセスしなければならない場合もあります。Cisco IOS Firewall を企業ネットワークとパートナー ネットワークの境界に配備することで、機密情報へのアクセスを権限を持った一部のユーザのみに限定できます。

認証プロキシを使用して、指定されたソース ネットワークから企業とパートナーのネットワークへアクセスするユーザは、実際にアクセスが許可される前に認証されます。各ユーザ別のセキュリティ ポリシーは、AAA サーバから動的にダウンロードされるため、ユーザはセキュリティ プロファイルで許可されたサービスしか利用できません。Syslog サーバは、企業とパートナーのネットワーク端末で、アラームが発生するようなアクティビティをトラッキングします(図 5 を参照)。


図 5
企業エクストラネット

要約

Cisco IOS Firewall は、Cisco IOS ソフトウェアを使って総合ネットワーク セキュリティを提供します。境界制御やファイアウォールの設定と管理よりも、強固なセキュリティ ポリシーのパワフルなセキュリティ管理がネットワークに絶対必要なコンポーネントといえます。ファイアウォール、ファイアウォール-IDS、IPSec/VPN、QoS などの高度なセキュリティ機能を数多く装備した Cisco IOS ソフトウェアは、セキュリティ ポリシーをグローバルに実装する理想的なツールです。シスコのエンドツーエンド ソリューションを構築することで、管理者はネットワークの拡大に合わせてセキュリティ ポリシー スループットを実施できます。

シスコ統合ネットワーク セキュリティ ソリューション

シスコ統合ネットワーク セキュリティ ソリューションは、組織の生産性を保護し、ネットワーク運用コストの節減を可能にするソリューションです。シスコの提供する包括的なセキュリティは、管理フレームワーク、ハードウェア デバイス、識別サービス、ソフトウェアの各機能、アプリケーションを組み合わることで、1 つに統合された安全なインフラストラクチャを構築できます。この幅広いセキュリティ テクノロジーを、ワールドクラス サービスやサポート、トレーニングとともにすべてのシスコ製品に統合装備することで、小規模ビジネス、大規模な組織、サービス プロバイダーに対して、音声、ビデオ、データのセキュリティをネットワーク全体に導入できます。

シスコ統合ネットワーク セキュリティ ソリューションの詳細については、下記のサイトを参照してください。

www.cisco.com/go/security.

お問い合わせ