Hierarchical Navigation

ホーム
- 製品 & サービス
  - セキュリティ
    - CISCO IOS FIREWALL
      - 製品資料
        
        データシート
        
        Cisco IOS Firewall データシート

ダウンロード

Cisco IOS Firewall データシート

データシート

Cisco IOS Firewall データシート

ネットワークを公共のインターネットやプライベート WAN に接続すると、ネットワークはセキュリティの脅威に満ちた危険な環境にさらされることになります。ネットワークを接続することにより、セキュリティ侵犯、マルウェア、不要なアプリケーショントラフィックが発生する危険性が生まれ、その結果、収益や生産性が低下して、企業の評判が損なわれる場合もあります。

今日では、プライバシーの保護、国の安全保障、また多くの場合企業の説明責任を強化するために制定された、業界規制および政府/地方自治体の法規制に準拠することが強く求められています。こうした規制の一例が、カード会員のデータを受信、保管、または転送するすべてのベンダーに関係する PCI DSS（PCI データセキュリティ基準）です。米国には、医療産業における HIPAA（医療保険の相互運用性と説明責任に関する法律）、金融サービス業界の GLBA（金融制度改革法）、会計分野の SOX 法（企業改革法）などの規制があります。EU（ヨーロッパ連合）のプライバシー保護法である Directive on Data Protection（データ保護条例）の規定では、EU 非加盟国への個人情報の転送は、許容レベルのプライバシー保護を提供している組織だけに制限されています。罰金、刑罰、および訴訟は、セキュリティ侵犯が発生して企業が法規制に違反した場合に被ることの一部にすぎません。

Cisco IOS® Firewall は、変化を続ける今日の脅威環境に必要となる脅威に対する防御機能を提供します。ターゲットを絞った攻撃が危険度を増し、従業員のモバイル化が進んだことで、ネットワーク境界の概念は大きく変化し、オフィス内と外の区別がなくなり、接続できる場所すべてがオフィス空間となりました。

ブランチオフィスやホームオフィスなどに幅広く展開される Cisco IOS Firewall は、広範囲なセキュリティをカバーし、統合型セキュリティアプローチに不可欠な展開の柔軟性とコスト上のメリットを提供します（図 1）。

Cisco IOS Firewall は、簡単に使用できる、コスト効果に優れた認定済みのファイアウォールソリューションです。

図 1 一般的な Cisco IOS Firewall の展開

Cisco IOS Firewall は、本社とブランチオフィスの Cisco® サービス統合型ルータ上で稼働し、セキュリティゾーンポリシーによってネットワークをセグメント化し、ブランチオフィスのリソースを保護します。

Cisco IOS Firewall の機能および利点

Common Criteria EAL4 認定を取得している Cisco IOS Firewall には、次のような利点があります。

アプリケーション保護：インスタントメッセージングトラフィック、ピアツーピアファイル共有トラフィック、HTTP トンネリングアプリケーションなどの不要なアプリケーションをブロックすることで、帯域幅利用率を削減して、従業員の生産性を向上させます。
ネットワーク境界の強化：すべてのネットワークエントリポイントに適用することを推奨します。「最前線」を保護することで、機密リソースへの不正アクセスを阻止します。
卓越した投資回収率：法規制の遵守に対応すると共に、ルーティング、境界セキュリティ、侵入検知、VPN 機能、ユーザ単位の認証と許可をルータで実行します。
容易なプロビジョニングと管理：Cisco Configuration Professional、Unified Firewall MIB、および Cisco Security Manager を使用して、Cisco TAC 推奨ファイアウォールポリシーを迅速に展開し、ファイアウォールアクティビティを監視し、軽減ポリシーを動的に設定できます。

表 1 に、Cisco IOS Firewall の機能を示します。

表 1 機能と利点

機能	利点
ネットワークゾーン分割 PCI 要件 3：保存されているカード会員のデータの保護	正確なゾーン分割機能により、ネットワークの内側、外側、および DMZ サブグループのセキュリティを容易に展開し、不正アクセスを防止できます。
管理オプションと柔軟性	Cisco Configuration Professional、Cisco Security Manager、Unified Firewall MIB からの管理アクセス、および監査証跡とロギングを実行できます。
アプリケーショントラフィックのレートとセッションの制御	ポリシーマップのポリシングによりファイアウォールポリシーにレート制限を適用し、ネットワーク帯域幅の使用状況を制御できます。セッションポリシングによりネットワークホストへの接続レートを制限し、DoS 攻撃（サービス拒絶攻撃）を防御できます。
ハイアベイラビリティ*	ステートフルフェールオーバーにより、ほとんどの TCP ベースサービスについて、2 台のルータ間でアクティブ/スタンバイフェールオーバーを実行できます。ルータまたは回線の障害時にもアクティブセッションを継続できるように、ファイアウォールセッションステートが保持されます。
仮想（VRF 対応）	ファイアウォール VRF 対応ファイアウォール機能により、分離されたルートスペースおよび重複したアドレスを扱える仮想ファイアウォールが提供されます。
認証プロキシ PCI 要件 10：ネットワークリソースとカード会員のデータに対するすべてのアクセスの追跡および監視	ネットワーク管理者は、HTTP、Telnet、FTP、HTTPS インターフェイスを使用する Cisco IOS Firewall 認証プロキシにより、各ユーザのネットワークリソースへのアクセスを認証および許可できます。
トランスペアレントファイアウォール	トランスペアレントファイアウォールにより、デバイスにスタティックに定義されたアドレスを変更することなく、既存ネットワーク内にステートフルレイヤ 2 ファイアウォールを実装できます。「ルーテッド」モードと同じレイヤ 3 ～ 7 フィルタリングが提供されますが、Bump-In-The-Wire 方式により簡単に展開できます。
ポリシーマップのポリシングとセッション制御	Policy-map のポリシングによりファイアウォールポリシーにレート制限を適用し、ネットワーク帯域幅の使用状況を制御できます。セッションポリシングによりネットワークホストへの接続レートを制限し、DoS 攻撃を防御できます。
インスタントメッセンジャーのブロック	インスタントメッセンジャーのブロックにより、MSN Messenger、Yahoo! Messenger、Windows Messenger、および AOL Instant Messenger の拒否または許可をサービス単位で制御できます。また、音声やビデオチャットおよびファイル転送をブロックして、サービスをテキストチャットだけに制限できます。
ピアツーピアの制御	ピアツーピアの制御により、BitTorrent、Gnutella、KaZaA、eDonkey ファイル共有ネットワークへのアクセスを個別にブロックできます。特定のピアツーピアネットワークでサポートされる特定のアクティビティを制限するために、Cisco IOS ソフトウェアリリース 12.4(9)T において、サービス別に機能改善が行われています。
プロトコル準拠チェック	この機能により、HTTP、Simple Mail Transfer Protocol（SMTP; シンプルメール転送プロトコル）、Extended SMTP (ESMTP)、Internet Mail Access Protocol（IMAP）、および Post Office Protocol 3（POP3）プロトコルへの準拠が強制できます。また、所定のアプリケーションサービスポート上で、不要なトラフィックを容易に検出して防御できます。HTTP インスペクションでは、Java アプレットフィルタリングにより、HTTP トラフィック内の悪質なコンテンツがブロックされます。Cisco IOS ソフトウェアリリース 12.4(9)T では、ポリシー適用のための正規表現照合が設定できるようになっています。また、HTTP メソッド、URL と URI、ヘッダー名などの各種 HTTP オブジェクトや、URI 最大長、ヘッダー最大長、ヘッダー最大数、ヘッダー行最大長、非 ASCII ヘッダー、重複ヘッダーフィールドなどの値に関する詳細なアプリケーションインスペクションおよび制御を設定できます。この機能により、バッファオーバーフロー、HTTP ヘッダーの脆弱性、バイナリまたは非 ASCII 文字インジェクション、および Structured Query Language（SQL; 構造化照会言語）インジェクション、クロスサイトスクリプティング、ワーム攻撃などによる悪用をブロックできます。 Cisco IOS ソフトウェア Intrusion Prevention System（IPS; 侵入防御システム）の統合
PCI 要件 6：安全性の高いシステムおよびアプリケーションの開発と保守	アプリケーションレベルの攻撃によるネットワークのフラッディングを防止します。
Cisco IOS ソフトウェア Content Filtering の統合	悪質または不適切な Web サイトへのアクセスを制御およびブロックします。

* 現在、Cisco ISR 1841、Cisco ISR 2800 および 3800 シリーズ、Cisco 3700 シリーズマルチサービスアクセスルータ、Cisco 7200 シリーズルータ、および Cisco 7301 ルータでサポートされています。

* Zone Based Policy Firewall ではなく、Classic IOS Firewall でのみサポートされます。

データ以外に対する脅威への対応：ユニファイドコミュニケーションの保護

音声およびビデオも、セキュリティ攻撃のターゲットになります。電話料金詐欺などの懸念は、ユニファイドコミュニケーション環境においても従来の電話網と変わりません。また、今日では、会話のプライバシー、メッセージの機密性、およびユーザとデバイスの認証に関する法規制がいっそう厳しくなっています。したがって、ユニファイドコミュニケーションの対策では、グローバル組織に直接影響を与える SOX 法、GLB 法、HIPAA、PCI DSS、ヨーロッパの Basel II、およびその他の規定におけるセキュリティ要件をユニファイドコミュニケーションアーキテクチャの中で反映させる必要があります。セキュリティをインフラストラクチャの中に統合すれば、DoS 攻撃やワームのような、通常はデータネットワークを標的にしているものの、攻撃に成功すれば音声ネットワークにも影響を及ぼす可能性のある悪質なアクティビティを未然に防ぐことができます。

すべてのユニファイドコミュニケーションレイヤを組み込んだ包括的で体系的なアプローチでは、アプリケーション、エンドポイント、呼制御、およびネットワークインフラストラクチャが考慮の対象となります。特にブランチオフィスでは、シスコのサービス統合型ルータによって、音声とセキュリティ機能のすべてを同じデバイスに組み込むことができるので、ユニファイドコミュニケーションを簡単に保護できます。表 2 に、ユニファイドコミュニケーションを保護するための具体的なサポート内容を示します。

表 2 ユニファイドコミュニケーションを保護する機能

機能	利点
Session Initiation Protocol（SIP）Application Layer Gateway（ALG）インスペクション	SIP ALG インスペクションにより、不正コール、コールハイジャック、その他の SIP の悪用、および関連 DoS 攻撃を防止できます。この保護機能は、プロトコルへの準拠とアプリケーションのセキュリティ保護に役立ちます。また、SIP トラフィックに適用するポリシーとセキュリティチェック、および除外するメッセージまたはユーザをより詳細に制御できます。
音声プロトコルとメディアストリームのインスペクションのサポート	Cisco IOS Firewall を Cisco Communications Manager Express と一緒に構成することにより、スキニーローカルインスペクション（Skinny Client Control Protocol [SCCP]）など、すべての音声プロトコルのローカルインスペクションをより詳細にサポートできます。Cisco IOS ソフトウェアリリース 12.4(20)T 以降が必要です。また、Cisco IOS Firewall は、MS NetMeeting、RealMedia、MS Netshow などのメディアストリームのインスペクションもサポートしています。
H.323v3 および v4 のサポート	Cisco IOS Firewall は、Annex E、Annex G、Annex D などの H.323v3 および v4 をサポートしています。また、ファックスやコール転送もサポートされます。
インスタントメッセージングの音声制御のサポート	Cisco IOS Firewall は、インスタントメッセージングの許可、拒否、アラートのポリシーとロギング処理をサポートしています。これには、一般的なテキストチャット、SIP Live Communication Server のサポート、およびファイル転送と添付ファイル、ホワイトボード、アプリケーション共有、ゲーム、テレビ/音声会議、URL、広告、ティッカー、ポップアップなどのその他のサービスが含まれます。
信頼型ファイアウォール制御	信頼型ファイアウォール制御では、メディアフローに対する Simple Traversal of User Datagram（STUN）プロトコル要求を受信したときにピンホール（特定のアプリケーションによる保護されたネットワークへのアクセスを許可するためにファイアウォールで開かれるポート）を動的に開けるよう、ファイアウォールにインテリジェンスを組み込みます。この要求は、ピンホールが確実に本物のコールに対してのみ開かれるよう、ファイアウォールによって認証/許可されます。

Cisco IOS Firewall の管理

Cisco Configuration Professional

Cisco Configuration Professional は、Cisco IOS ソフトウェアを実行している Cisco サービス統合型ルータおよび Cisco 7200 シリーズ/7301 ルータ用の GUI デバイス管理ツールです。このツールでは、LAN および WAN インターフェイス、Network Address Translation（NAT; ネットワークアドレス変換）、ステートフルなアプリケーションファイアウォールポリシー用の高性能ウィザードおよび高度な設定サポートが提供されています。ファイアウォールウィザードでは、高度、中度、低度のファイアウォールポリシー設定を、ワンステップで展開できます。また、Cisco Configuration Professional は、ワンクリックルータロックダウン機能、および Cisco TAC の推奨事項に基づいてルータ設定のチェックして変更を提案する革新的なセキュリティ監査機能を備えています。図 2 および図 3 に、ユーザインターフェイスの例を示します。

図 2 Cisco Configuration Professional の GUI によるファイアウォールポリシーの定義

Cisco Security Manager

Cisco Security Manager は、エンタープライズクラスの管理アプリケーションで、シスコデバイスの種別に依存せずに、シスコのネットワークおよびセキュリティデバイスに対してファイアウォール、VPN、および IPS セキュリティサービスを設定できます。このアプリケーションは、Cisco Firewall 製品ファミリをサポートする各種のシスコデバイス間のファイアウォールルールを管理する統合インターフェイスの役割を果たします。柔軟なルール指定方式により生産性の向上とルール構成の改善が可能で、強力なツールセットを使用して設定エラーを識別し、ファイアウォールルールを最適化できます。

図 3 Cisco Security Manager の GUI によるファイアウォールポリシーの定義

表 3 ～ 11 に、Cisco IOS Firewall の製品仕様を示します。テストには Cisco IOS ソフトウェアリリース 12.4(15)T6 および *12.4(22)T を使用しています。

表 3 パフォーマンスおよび容量

プラットフォーム	Cisco IOS ソフトウェアリリース 12.4(15)T6 によるテスト	トラフィック負荷	スループット
3845	最大 CPS（コネクション/秒）	6700 コネクション/秒	729 Mbps*
	最大同時コネクション数	176000 コネクション
3825	最大 CPS	3800 コネクション/秒	564 Mbps*
	最大同時コネクション数	146000 コネクション
2851	最大 CPS	2000 コネクション/秒	452 Mbps*
	最大同時コネクション数	98000 コネクション/秒
2821	最大 CPS	1500 コネクション/秒	352 Mbps*
	最大同時コネクション数	94000 コネクション
1861*	最大 CPS	710 コネクション/秒	90 Mbps*
	最大同時コネクション数	75000 コネクション

* ステートフル HTTP トラフィックの 64K HTTP オブジェクトサイズによる最大スループット

表 4 ファイアウォールサービスのサポート


ユーザグループファイアウォールのサポート
ゾーン内ファイアウォールのサポート
ステートフルインスペクションエンジン
デフォルトでのセキュアネットワークポスチャ
デバッグ用パケットトレーサ*
パケットスニッフィング用のパケットキャプチャ機能*
フロー単位の個別のインスペクションパラメータ
VRF/VLAN 対応 NAT
双方向 NAT
ポリシー NAT
VPN NAT の透過性
破棄パケットキャプチャ機能
ステートレス SYN フラッド防御
TCP セッションタイムアウト（設定可能オプションの指定）
UDP セッションタイムアウト（設定可能オプションの指定）

* Cisco IOS ソフトウェアリリース 12.4(20)T 以降が必要

表 5 アクセス制御のサポート


インバウンド ACL（アクセスコントロールリスト）
アウトバウンド ACL
レイヤ 2（トランスペアレントモード）ACL
時間ベースのポリシー
ACL の編集（既存 ACL に対する個々のルールの挿入と削除）
VRF/VLAN 対応 NAT
ACL へのコメントの追加
オブジェクトグループ化のサポートによる簡易ファイアウォールポリシー定義*
サービスオブジェクトグループでの「no type」照合機能
時間ベースの ACL
ACL エントリ行番号による ACL エントリの追加/削除
ACL の名前変更
ACL エントリの有効化/無効化

* Cisco IOS ソフトウェアリリース 12.4(20)T 以降が必要

表 6 ルーティングネットワークの統合のサポート


セキュリティコンテキスト（仮想ファイアウォール）
トランスペアレントファイアウォール（レイヤ 2 トランスペアレントファイアウォール）
混合モード（同じデバイスでの L2/L3 ファイアウォール）
スタティックルート
Open Shortest Path First（OSPF）ルーティング
RIP ルーティング
EIGRP ルーティング
IS-IS ルーティング（複数のコンテキスト）
BGP ルーティング（複数のコンテキスト）
マルチキャスト希薄/稠密モード
マルチキャスト PIM 双方向モード
マルチキャスト PIM 希薄モード
スタティックマルチキャストルート（mroute）
QoS（トラフィックシェーピング）

表 7 高度なインスペクションサービスのサポート

HTTP
ポート 80 の誤使用防止：HTTP トンネル防止
RFC 準拠チェックによるプロトコル異常検出
HTTP コマンドフィルタリング：任意の HTTP コマンドのフィルタリング
MIME タイプフィルタリング
HTTP メッセージの正規表現フィルタリング
SMTP/ESMTP 制御
RFC 準拠チェックによるプロトコル異常検出*
送信者に基づく電子メールメッセージの許可/拒否/ログまたはレート制限*
受信者に基づく電子メールメッセージの許可/拒否/ログまたはレート制限*
添付ファイルの名前/拡張子に基づく電子メールメッセージの許可/拒否/ログまたはレート制限*
ヘッダーまたはメッセージ本文の内容に基づく電子メールメッセージの許可/拒否/ログまたはレート制限*
多数の受信者または無効な電子メールアドレスが含まれる電子メールメッセージの拒否/レート制限/ログによるスパム対策*
電子メールリレーの使用制御によるスパム対策*
IM およびピアツーピアの制御
Windows Messenger インスタントメッセージングのフィルタリング
AIM インスタントメッセージングのフィルタリング
Yahoo インスタントメッセージングのフィルタリング
MSN インスタントメッセージングのフィルタリング
Kazaa ピアツーピアサービスのフィルタリング
Gnutella ピアツーピアサービスのフィルタリング
ファイル転送の許可/拒否/ログ
テレビ会議の許可/拒否/ログ
音声チャットの許可/拒否/ログ
指示サービスの開始の制御
コンテンツ/URL フィルタリング
複数の URL フィルタリングサーバ（プライマリ/バックアップ）のサポート
長い URL のフィルタリング（1024 バイトを超えるもの）
HTTP サーバ応答のバッファリング
URL 監査（ユーザがアクセスを試みている URL の確認）
ローカル URL フィルタリング例外ポリシー（IP アドレス/ローカルポリシーに基づく）
Java ブロッキング
アンチスパイウェア
アンチスパム
アンチフィッシング
自動アップデート

* Cisco IOS ソフトウェアリリース 12.4(20)T 以降が必要

表 8 ユニファイドコミュニケーションのサポート

Session Initiation Protocol（SIP）
RFC 3262（PRACK）*
RFC 3265（SUBSCRIBE/NOTIFY）*
RFC 3311（UPDATE）*
RFC 3515（REFER）*
RFC 3428（MESSAGE）*
RTP および RTCP 接続インスペクション*
レート制限*
SIP を使用した PAT*
必須ヘッダーフィールド（From、To、Call-Id、Cseq、Via、Max-Forwards）の存在および有効性確認の実施*
禁止されたヘッダーフィールドの確認の実施*
SIP ダイアログおよび SIP トランザクションの適用*
発信者/着信者の許可/拒否リストとヘッダーフィールドの URL の照合*
Max-Forwards ヘッダーフィールドのチェック（Max-Forwards =0 時の処理はユーザ設定可能）*
SIP シグナリングポートでの非 SIP パケットの認識*
サードパーティ登録/登録解除の許可/拒否、許可する場合の許可ユーザの指定*
バッファオーバーフローに対する保護*
DDOS 攻撃に対する保護*
ユーザ設定可能な許容 SIP コマンド/拡張機能*
Skinny Client Control Protocol（SCCP）
組み込み IP アドレスおよびポートの変換*
ダイナミックピンホール*
プロトコル準拠*
スキニーシグナリングおよびメディアチャネルのタイムアウト設定*
H.323 制御
H.323（v1 および v2）（NAT/PAT）*
H.323（v3 および v4）（NAT/PAT）*
H.225：RAS*
H.323：ダイレクトコールシグナリング*
H.323：T.38（Fax over IP）*

* Cisco IOS ソフトウェアリリース 12.4(20)T 以降が必要

表 9 モニタリングおよび管理のサポート


SSHv2
SNMPv3*
Cisco Configuration Professional
Cisco Security Manager*
Netflow
管理トラフィック用クラスマップ（MPF）

* Classic Cisco IOS Firewall でのみサポート

表 10 IPv6 のサポート


IPv6 インスペクション、アクセス制御、および管理*
IPv6 ファイアウォール*

* Classic Cisco IOS Firewall でのみサポート

表 11 プラットフォームのサポート

製品	サポートされるプラットフォーム
Cisco 800 シリーズルータ	Cisco 831、836、837*、851、857、871、876、877、878、881、888
Cisco 1700* シリーズモジュラアクセスルータ	Cisco 1701、1702、1711、1712、1721、1751、1751-V、1760
Cisco ISR 1800 シリーズ	Cisco ISR 1801、1802、1803、1811、1812、1841
Cisco 2600* シリーズマルチサービスプラットフォーム	Cisco 2610XM、2611XM、2620XM、2621XM、2650XM、2651XM、2691
Cisco ISR 2800 シリーズ	Cisco ISR 2801、2811、2821、2851
Cisco 3600* シリーズマルチサービスプラットフォーム	Cisco 3660
Cisco 3700* シリーズマルチサービスアクセスルータ	Cisco 3725 および 3745
Cisco ISR 3800 シリーズ	Cisco ISR 3825 および 3845
Cisco 7200 シリーズルータ	Cisco 7201、7204VXR、7206VXR
Cisco 7300 シリーズルータ	Cisco 7301
Cisco ASR 1000 シリーズアグリゲーションサービスルータ	Cisco ASR 1002、1004、1006

* サポート終了のルータプラットフォーム

Cisco IOS Firewall