Cisco IOS Firewall

Cisco IOS Firewall データ シート

データシート





Cisco IOS Firewall データ シート



ネットワークを公共のインターネットやプライベート WAN に接続すると、ネットワークはセキュリティの脅威に満ちた危険な環境にさらされることになります。ネットワークを接続することにより、セキュリティ侵犯、マルウェア、不要なアプリケーション トラフィックが発生する危険性が生まれ、その結果、収益や生産性が低下して、企業の評判が損なわれる場合もあります。

今日では、プライバシーの保護、国の安全保障、また多くの場合企業の説明責任を強化するために制定された、業界規制および政府/地方自治体の法規制に準拠することが強く求められています。こうした規制の一例が、カード会員のデータを受信、保管、または転送するすべてのベンダーに関係する PCI DSS(PCI データ セキュリティ基準)です。米国には、医療産業における HIPAA(医療保険の相互運用性と説明責任に関する法律)、金融サービス業界の GLBA(金融制度改革法)、会計分野の SOX 法(企業改革法)などの規制があります。EU(ヨーロッパ連合)のプライバシー保護法である Directive on Data Protection(データ保護条例)の規定では、EU 非加盟国への個人情報の転送は、許容レベルのプライバシー保護を提供している組織だけに制限されています。罰金、刑罰、および訴訟は、セキュリティ侵犯が発生して企業が法規制に違反した場合に被ることの一部にすぎません。

Cisco IOS® Firewall は、変化を続ける今日の脅威環境に必要となる脅威に対する防御機能を提供します。ターゲットを絞った攻撃が危険度を増し、従業員のモバイル化が進んだことで、ネットワーク境界の概念は大きく変化し、オフィス内と外の区別がなくなり、接続できる場所すべてがオフィス空間となりました。

ブランチ オフィスやホーム オフィスなどに幅広く展開される Cisco IOS Firewall は、広範囲なセキュリティをカバーし、統合型セキュリティ アプローチに不可欠な展開の柔軟性とコスト上のメリットを提供します(図 1)。

Cisco IOS Firewall は、簡単に使用できる、コスト効果に優れた認定済みのファイアウォール ソリューションです。

図 1 一般的な Cisco IOS Firewall の展開

図 1 一般的な Cisco IOS Firewall の展開


Cisco IOS Firewall は、本社とブランチ オフィスの Cisco® サービス統合型ルータ上で稼働し、セキュリティ ゾーン ポリシーによってネットワークをセグメント化し、ブランチ オフィスのリソースを保護します。

Cisco IOS Firewall の機能および利点

Common Criteria EAL4 認定を取得している Cisco IOS Firewall には、次のような利点があります。

  • アプリケーション保護:インスタント メッセージング トラフィック、ピアツーピア ファイル共有トラフィック、HTTP トンネリング アプリケーションなどの不要なアプリケーションをブロックすることで、帯域幅利用率を削減して、従業員の生産性を向上させます。
  • ネットワーク境界の強化:すべてのネットワーク エントリ ポイントに適用することを推奨します。「最前線」を保護することで、機密リソースへの不正アクセスを阻止します。
  • 卓越した投資回収率:法規制の遵守に対応すると共に、ルーティング、境界セキュリティ、侵入検知、VPN 機能、ユーザ単位の認証と許可をルータで実行します。
  • 容易なプロビジョニングと管理:Cisco Configuration Professional、Unified Firewall MIB、および Cisco Security Manager を使用して、Cisco TAC 推奨ファイアウォール ポリシーを迅速に展開し、ファイアウォール アクティビティを監視し、軽減ポリシーを動的に設定できます。

表 1 に、Cisco IOS Firewall の機能を示します。

表 1 機能と利点

機能 利点
ネットワーク ゾーン分割 PCI 要件 3:保存されているカード会員のデータの保護 正確なゾーン分割機能により、ネットワークの内側、外側、および DMZ サブグループのセキュリティを容易に展開し、不正アクセスを防止できます。
管理オプションと柔軟性 Cisco Configuration Professional、Cisco Security Manager、Unified Firewall MIB からの管理アクセス、および監査証跡とロギングを実行できます。
アプリケーション トラフィックのレートとセッションの制御 ポリシー マップのポリシングによりファイアウォール ポリシーにレート制限を適用し、ネットワーク帯域幅の使用状況を制御できます。セッション ポリシングによりネットワーク ホストへの接続レートを制限し、DoS 攻撃(サービス拒絶攻撃)を防御できます。
ハイアベイラビリティ* ステートフル フェールオーバーにより、ほとんどの TCP ベース サービスについて、2 台のルータ間でアクティブ/スタンバイ フェールオーバーを実行できます。ルータまたは回線の障害時にもアクティブ セッションを継続できるように、ファイアウォール セッション ステートが保持されます。
仮想(VRF 対応) ファイアウォール VRF 対応ファイアウォール機能により、分離されたルート スペースおよび重複したアドレスを扱える仮想ファイアウォールが提供されます。
認証プロキシ PCI 要件 10:ネットワーク リソースとカード会員のデータに対するすべてのアクセスの追跡および監視 ネットワーク管理者は、HTTP、Telnet、FTP、HTTPS インターフェイスを使用する Cisco IOS Firewall 認証プロキシにより、各ユーザのネットワーク リソースへのアクセスを認証および許可できます。
トランスペアレント ファイアウォール トランスペアレント ファイアウォールにより、デバイスにスタティックに定義されたアドレスを変更することなく、既存ネットワーク内にステートフル レイヤ 2 ファイアウォールを実装できます。「ルーテッド」モードと同じレイヤ 3 〜 7 フィルタリングが提供されますが、Bump-In-The-Wire 方式により簡単に展開できます。
ポリシー マップのポリシングとセッション制御 Policy-map のポリシングによりファイアウォール ポリシーにレート制限を適用し、ネットワーク帯域幅の使用状況を制御できます。セッション ポリシングによりネットワーク ホストへの接続レートを制限し、DoS 攻撃を防御できます。
インスタント メッセンジャーのブロック インスタント メッセンジャーのブロックにより、MSN Messenger、Yahoo! Messenger、Windows Messenger、および AOL Instant Messenger の拒否または許可をサービス単位で制御できます。また、音声やビデオ チャットおよびファイル転送をブロックして、サービスをテキスト チャットだけに制限できます。
ピアツーピアの制御 ピアツーピアの制御により、BitTorrent、Gnutella、KaZaA、eDonkey ファイル共有ネットワークへのアクセスを個別にブロックできます。特定のピアツーピア ネットワークでサポートされる特定のアクティビティを制限するために、Cisco IOS ソフトウェア リリース 12.4(9)T において、サービス別に機能改善が行われています。
プロトコル準拠チェック この機能により、HTTP、Simple Mail Transfer Protocol(SMTP; シンプル メール転送プロトコル)、Extended SMTP (ESMTP)、Internet Mail Access Protocol(IMAP)、および Post Office Protocol 3(POP3)プロトコルへの準拠が強制できます。また、所定のアプリケーション サービス ポート上で、不要なトラフィックを容易に検出して防御できます。HTTP インスペクションでは、Java アプレット フィルタリングにより、HTTP トラフィック内の悪質なコンテンツがブロックされます。Cisco IOS ソフトウェア リリース 12.4(9)T では、ポリシー適用のための正規表現照合が設定できるようになっています。また、HTTP メソッド、URL と URI、ヘッダー名などの各種 HTTP オブジェクトや、URI 最大長、ヘッダー最大長、ヘッダー最大数、ヘッダー行最大長、非 ASCII ヘッダー、重複ヘッダー フィールドなどの値に関する詳細なアプリケーション インスペクションおよび制御を設定できます。この機能により、バッファ オーバーフロー、HTTP ヘッダーの脆弱性、バイナリまたは非 ASCII 文字インジェクション、および Structured Query Language(SQL; 構造化照会言語)インジェクション、クロスサイト スクリプティング、ワーム攻撃などによる悪用をブロックできます。 Cisco IOS ソフトウェア Intrusion Prevention System(IPS; 侵入防御システム)の統合
PCI 要件 6:安全性の高いシステムおよびアプリケーションの開発と保守 アプリケーション レベルの攻撃によるネットワークのフラッディングを防止します。
Cisco IOS ソフトウェア Content Filtering の統合 悪質または不適切な Web サイトへのアクセスを制御およびブロックします。


* 現在、Cisco ISR 1841、Cisco ISR 2800 および 3800 シリーズ、Cisco 3700 シリーズ マルチサービス アクセス ルータ、Cisco 7200 シリーズ ルータ、および Cisco 7301 ルータでサポートされています。

* Zone Based Policy Firewall ではなく、Classic IOS Firewall でのみサポートされます。

データ以外に対する脅威への対応:ユニファイド コミュニケーションの保護

音声およびビデオも、セキュリティ攻撃のターゲットになります。電話料金詐欺などの懸念は、ユニファイド コミュニケーション環境においても従来の電話網と変わりません。また、今日では、会話のプライバシー、メッセージの機密性、およびユーザとデバイスの認証に関する法規制がいっそう厳しくなっています。したがって、ユニファイド コミュニケーションの対策では、グローバル組織に直接影響を与える SOX 法、GLB 法、HIPAA、PCI DSS、ヨーロッパの Basel II、およびその他の規定におけるセキュリティ要件をユニファイド コミュニケーション アーキテクチャの中で反映させる必要があります。セキュリティをインフラストラクチャの中に統合すれば、DoS 攻撃やワームのような、通常はデータ ネットワークを標的にしているものの、攻撃に成功すれば音声ネットワークにも影響を及ぼす可能性のある悪質なアクティビティを未然に防ぐことができます。

すべてのユニファイド コミュニケーション レイヤを組み込んだ包括的で体系的なアプローチでは、アプリケーション、エンドポイント、呼制御、およびネットワーク インフラストラクチャが考慮の対象となります。特にブランチ オフィスでは、シスコのサービス統合型ルータによって、音声とセキュリティ機能のすべてを同じデバイスに組み込むことができるので、ユニファイド コミュニケーションを簡単に保護できます。表 2 に、ユニファイド コミュニケーションを保護するための具体的なサポート内容を示します。

表 2 ユニファイド コミュニケーションを保護する機能

機能 利点
Session Initiation Protocol(SIP)Application Layer Gateway(ALG)インスペクション SIP ALG インスペクションにより、不正コール、コール ハイジャック、その他の SIP の悪用、および関連 DoS 攻撃を防止できます。この保護機能は、プロトコルへの準拠とアプリケーションのセキュリティ保護に役立ちます。また、SIP トラフィックに適用するポリシーとセキュリティ チェック、および除外するメッセージまたはユーザをより詳細に制御できます。
音声プロトコルとメディア ストリームのインスペクションのサポート Cisco IOS Firewall を Cisco Communications Manager Express と一緒に構成することにより、スキニー ローカル インスペクション(Skinny Client Control Protocol [SCCP])など、すべての音声プロトコルのローカル インスペクションをより詳細にサポートできます。Cisco IOS ソフトウェア リリース 12.4(20)T 以降が必要です。また、Cisco IOS Firewall は、MS NetMeeting、RealMedia、MS Netshow などのメディア ストリームのインスペクションもサポートしています。
H.323v3 および v4 のサポート Cisco IOS Firewall は、Annex E、Annex G、Annex D などの H.323v3 および v4 をサポートしています。また、ファックスやコール転送もサポートされます。
インスタント メッセージングの音声制御のサポート Cisco IOS Firewall は、インスタント メッセージングの許可、拒否、アラートのポリシーとロギング処理をサポートしています。これには、一般的なテキスト チャット、SIP Live Communication Server のサポート、およびファイル転送と添付ファイル、ホワイトボード、アプリケーション共有、ゲーム、テレビ/音声会議、URL、広告、ティッカー、ポップアップなどのその他のサービスが含まれます。
信頼型ファイアウォール制御 信頼型ファイアウォール制御では、メディア フローに対する Simple Traversal of User Datagram(STUN)プロトコル要求を受信したときにピンホール(特定のアプリケーションによる保護されたネットワークへのアクセスを許可するためにファイアウォールで開かれるポート)を動的に開けるよう、ファイアウォールにインテリジェンスを組み込みます。この要求は、ピンホールが確実に本物のコールに対してのみ開かれるよう、ファイアウォールによって認証/許可されます。


Cisco IOS Firewall の管理

Cisco Configuration Professional

Cisco Configuration Professional は、Cisco IOS ソフトウェアを実行している Cisco サービス統合型ルータおよび Cisco 7200 シリーズ/7301 ルータ用の GUI デバイス管理ツールです。このツールでは、LAN および WAN インターフェイス、Network Address Translation(NAT; ネットワーク アドレス変換)、ステートフルなアプリケーション ファイアウォール ポリシー用の高性能ウィザードおよび高度な設定サポートが提供されています。ファイアウォール ウィザードでは、高度、中度、低度のファイアウォール ポリシー設定を、ワンステップで展開できます。また、Cisco Configuration Professional は、ワンクリック ルータ ロックダウン機能、および Cisco TAC の推奨事項に基づいてルータ設定のチェックして変更を提案する革新的なセキュリティ監査機能を備えています。図 2 および図 3 に、ユーザ インターフェイスの例を示します。

図 2 Cisco Configuration Professional の GUI によるファイアウォール ポリシーの定義

図 2 Cisco Configuration Professional の GUI によるファイアウォール ポリシーの定義


Cisco Security Manager

Cisco Security Manager は、エンタープライズクラスの管理アプリケーションで、シスコ デバイスの種別に依存せずに、シスコのネットワークおよびセキュリティ デバイスに対してファイアウォール、VPN、および IPS セキュリティ サービスを設定できます。このアプリケーションは、Cisco Firewall 製品ファミリをサポートする各種のシスコ デバイス間のファイアウォール ルールを管理する統合インターフェイスの役割を果たします。柔軟なルール指定方式により生産性の向上とルール構成の改善が可能で、強力なツールセットを使用して設定エラーを識別し、ファイアウォール ルールを最適化できます。

図 3 Cisco Security Manager の GUI によるファイアウォール ポリシーの定義

図 3 Cisco Security Manager の GUI によるファイアウォール ポリシーの定義


表 3 〜 11 に、Cisco IOS Firewall の製品仕様を示します。テストには Cisco IOS ソフトウェア リリース 12.4(15)T6 および *12.4(22)T を使用しています。

表 3 パフォーマンスおよび容量

プラットフォーム Cisco IOS ソフトウェア リリース 12.4(15)T6 によるテスト トラフィック負荷 スループット
3845 最大 CPS(コネクション/秒) 6700 コネクション/秒 729 Mbps*
  最大同時コネクション数 176000 コネクション  
3825 最大 CPS 3800 コネクション/秒 564 Mbps*
  最大同時コネクション数 146000 コネクション  
2851 最大 CPS 2000 コネクション/秒 452 Mbps*
  最大同時コネクション数 98000 コネクション/秒  
2821 最大 CPS 1500 コネクション/秒 352 Mbps*
  最大同時コネクション数 94000 コネクション  
1861* 最大 CPS 710 コネクション/秒 90 Mbps*
  最大同時コネクション数 75000 コネクション  


* ステートフル HTTP トラフィックの 64K HTTP オブジェクト サイズによる最大スループット

表 4 ファイアウォール サービスのサポート

 
ユーザ グループ ファイアウォールのサポート
ゾーン内ファイアウォールのサポート
ステートフル インスペクション エンジン
デフォルトでのセキュア ネットワーク ポスチャ
デバッグ用パケット トレーサ*
パケット スニッフィング用のパケット キャプチャ機能*
フロー単位の個別のインスペクション パラメータ
VRF/VLAN 対応 NAT
双方向 NAT
ポリシー NAT
VPN NAT の透過性
破棄パケット キャプチャ機能
ステートレス SYN フラッド防御
TCP セッション タイムアウト(設定可能オプションの指定)
UDP セッション タイムアウト(設定可能オプションの指定)


* Cisco IOS ソフトウェア リリース 12.4(20)T 以降が必要

表 5 アクセス制御のサポート

 
インバウンド ACL(アクセス コントロール リスト)
アウトバウンド ACL
レイヤ 2(トランスペアレント モード)ACL
時間ベースのポリシー
ACL の編集(既存 ACL に対する個々のルールの挿入と削除)
VRF/VLAN 対応 NAT
ACL へのコメントの追加
オブジェクト グループ化のサポートによる簡易ファイアウォール ポリシー定義*
サービス オブジェクト グループでの「no type」照合機能
時間ベースの ACL
ACL エントリ行番号による ACL エントリの追加/削除
ACL の名前変更
ACL エントリの有効化/無効化


* Cisco IOS ソフトウェア リリース 12.4(20)T 以降が必要

表 6 ルーティング ネットワークの統合のサポート

 
セキュリティ コンテキスト(仮想ファイアウォール)
トランスペアレント ファイアウォール(レイヤ 2 トランスペアレント ファイアウォール)
混合モード(同じデバイスでの L2/L3 ファイアウォール)
スタティック ルート
Open Shortest Path First(OSPF)ルーティング
RIP ルーティング
EIGRP ルーティング
IS-IS ルーティング(複数のコンテキスト)
BGP ルーティング(複数のコンテキスト)
マルチキャスト希薄/稠密モード
マルチキャスト PIM 双方向モード
マルチキャスト PIM 希薄モード
スタティック マルチキャスト ルート(mroute)
QoS(トラフィック シェーピング)


表 7 高度なインスペクション サービスのサポート

HTTP
ポート 80 の誤使用防止:HTTP トンネル防止
RFC 準拠チェックによるプロトコル異常検出
HTTP コマンド フィルタリング:任意の HTTP コマンドのフィルタリング
MIME タイプ フィルタリング
HTTP メッセージの正規表現フィルタリング
SMTP/ESMTP 制御
RFC 準拠チェックによるプロトコル異常検出*
送信者に基づく電子メール メッセージの許可/拒否/ログまたはレート制限*
受信者に基づく電子メール メッセージの許可/拒否/ログまたはレート制限*
添付ファイルの名前/拡張子に基づく電子メール メッセージの許可/拒否/ログまたはレート制限*
ヘッダーまたはメッセージ本文の内容に基づく電子メール メッセージの許可/拒否/ログまたはレート制限*
多数の受信者または無効な電子メール アドレスが含まれる電子メール メッセージの拒否/レート制限/ログによるスパム対策*
電子メール リレーの使用制御によるスパム対策*
IM およびピアツーピアの制御
Windows Messenger インスタント メッセージングのフィルタリング
AIM インスタント メッセージングのフィルタリング
Yahoo インスタント メッセージングのフィルタリング
MSN インスタント メッセージングのフィルタリング
Kazaa ピアツーピア サービスのフィルタリング
Gnutella ピアツーピア サービスのフィルタリング
ファイル転送の許可/拒否/ログ
テレビ会議の許可/拒否/ログ
音声チャットの許可/拒否/ログ
指示サービスの開始の制御
コンテンツ/URL フィルタリング
複数の URL フィルタリング サーバ(プライマリ/バックアップ)のサポート
長い URL のフィルタリング(1024 バイトを超えるもの)
HTTP サーバ応答のバッファリング
URL 監査(ユーザがアクセスを試みている URL の確認)
ローカル URL フィルタリング例外ポリシー(IP アドレス/ローカル ポリシーに基づく)
Java ブロッキング
アンチスパイウェア
アンチスパム
アンチフィッシング
自動アップデート


* Cisco IOS ソフトウェア リリース 12.4(20)T 以降が必要

表 8 ユニファイド コミュニケーションのサポート

Session Initiation Protocol(SIP)
RFC 3262(PRACK)*
RFC 3265(SUBSCRIBE/NOTIFY)*
RFC 3311(UPDATE)*
RFC 3515(REFER)*
RFC 3428(MESSAGE)*
RTP および RTCP 接続インスペクション*
レート制限*
SIP を使用した PAT*
必須ヘッダー フィールド(From、To、Call-Id、Cseq、Via、Max-Forwards)の存在および有効性確認の実施*
禁止されたヘッダー フィールドの確認の実施*
SIP ダイアログおよび SIP トランザクションの適用*
発信者/着信者の許可/拒否リストとヘッダー フィールドの URL の照合*
Max-Forwards ヘッダー フィールドのチェック(Max-Forwards =0 時の処理はユーザ設定可能)*
SIP シグナリング ポートでの非 SIP パケットの認識*
サードパーティ登録/登録解除の許可/拒否、許可する場合の許可ユーザの指定*
バッファ オーバーフローに対する保護*
DDOS 攻撃に対する保護*
ユーザ設定可能な許容 SIP コマンド/拡張機能*
Skinny Client Control Protocol(SCCP)
組み込み IP アドレスおよびポートの変換*
ダイナミック ピンホール*
プロトコル準拠*
スキニー シグナリングおよびメディア チャネルのタイムアウト設定*
H.323 制御
H.323(v1 および v2)(NAT/PAT)*
H.323(v3 および v4)(NAT/PAT)*
H.225:RAS*
H.323:ダイレクト コール シグナリング*
H.323:T.38(Fax over IP)*


* Cisco IOS ソフトウェア リリース 12.4(20)T 以降が必要

表 9 モニタリングおよび管理のサポート

 
SSHv2
SNMPv3*
Cisco Configuration Professional
Cisco Security Manager*
Netflow
管理トラフィック用クラスマップ(MPF)


* Classic Cisco IOS Firewall でのみサポート

表 10 IPv6 のサポート

 
IPv6 インスペクション、アクセス制御、および管理*
IPv6 ファイアウォール*


* Classic Cisco IOS Firewall でのみサポート

表 11 プラットフォームのサポート

製品

サポートされるプラットフォーム
Cisco 800 シリーズ ルータ Cisco 831*、836*、837*、851、857、871、876、877、878、881、888
Cisco 1700* シリーズ モジュラ アクセス ルータ Cisco 1701、1702、1711、1712、1721、1751、1751-V、1760
Cisco ISR 1800 シリーズ Cisco ISR 1801、1802、1803、1811、1812、1841
Cisco 2600* シリーズ マルチサービス プラットフォーム Cisco 2610XM、2611XM、2620XM、2621XM、2650XM、2651XM、2691
Cisco ISR 2800 シリーズ Cisco ISR 2801、2811、2821、2851
Cisco 3600* シリーズ マルチサービス プラットフォーム Cisco 3660
Cisco 3700* シリーズ マルチサービス アクセス ルータ Cisco 3725 および 3745
Cisco ISR 3800 シリーズ Cisco ISR 3825 および 3845
Cisco 7200 シリーズ ルータ Cisco 7201、7204VXR、7206VXR
Cisco 7300 シリーズ ルータ Cisco 7301
Cisco ASR 1000 シリーズ アグリゲーション サービス ルータ Cisco ASR 1002、1004、1006


* サポート終了のルータ プラットフォーム

関連情報

Cisco IOS Firewall およびその他のルータ セキュリティ テクノロジーの詳細については、次の Web ページを参照してください。

お問い合わせ