この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
ここでは、Cisco Prime ネットワーク サービス コントローラ(Prime NSC)を使用して、Intercloud Fabric ファイアウォールでファイアウォール ポリシー オブジェクトを設定し管理する方法について説明します。
(注) |
Cisco PNSC を通じてのみ、Intercloud Fabric ファイアウォールを設定できます。 現在は、ファイアウォール ポリシー オブジェクトの帯域外の設定と管理はサポートしていません。 |
パラメータ |
デフォルト |
---|---|
ルール ポリシー オブジェクト |
drop |
ゾーンは、VM の論理グループまたはホストです。 ゾーンは、ゾーン名を使用したゾーン属性に基づくポリシーの記述を許可することにより、ポリシーの記述を簡素化できます。 ゾーン定義により、ゾーンに VM がマッピングされます。 論理グループの定義は、VM 属性やネットワーク属性など、VM に関連付けられた属性に基づくことができます。 ゾーン定義は条件ベースのサブネットおよびエンドポイントの IP アドレスとして記述できます。
ゾーンおよびオブジェクト グループは異なる方向のさまざまなルール間で共有されるため、ゾーンで使用される属性は、方向付けされず、ニュートラルである必要があります。
次に、ネットワークのゾーンを表示する例を示します。
vsg# show running-config zone zone1 zone zone1 cond-match-criteria: match-any condition 1 net.ip-address eq 1.1.1.1 condition 2 net.port eq 80
オブジェクト グループは、属性に関連する条件のセットです。 オブジェクト グループおよびゾーンは異なる方向のさまざまなルール間で共有されるため、オブジェクト グループ条件で使用される属性は、方向付けされず、ニュートラルである必要があります。 オブジェクト グループは、ファイアウォール ルールの記述を支援するセカンダリ ポリシー オブジェクトです。 ルール条件は、演算子を使用することによりオブジェクト グループを参照できます。
次に、ネットワークのオブジェクト グループを表示する例を示します。
vsg# show running-config object-group g1 object-group g1 net.port match 10 in-range protocol 6 port 10 30 match 11 eq protocol 6 port 21 inspect ftp
ファイアウォール ルールは複数の条件とアクショで構成できます。 ルールは、トラフィックをフィルタリングする条件としてポリシーで定義できます。 ポリシー エンジンは、Intercloud Fabric ファイアウォール(VSG)で受信したネットワーク トラフィックをフィルタリングする設定としてポリシーを使用します。 ポリシー エンジンは、ネットワーク トラフィックをフィルタリングする 2 種類の条件一致モデルを使用します。
AND モデル:ルール内のすべての属性が一致する場合、ルールは matched に設定されます。
次に、ネットワークのルールを表示する例を示します。
vsg# show running-config rule r2 rule r2 cond-match-criteria: match-all dst-attributes condition 10 dst.zone.name eq z1@r2 service/protocol-attribute condition 11 net.service eq protocol 6 port 21 inspect ftp action permit
ポリシーは、一連の間接的な関連付けを使用して ICF ファイアウォールにバインドされます。 セキュリティ管理者は、セキュリティ プロファイルを設定すると、セキュリティ プロファイル内のポリシー名を参照できます。 セキュリティ プロファイルは、ICF ファイアウォールへのリファレンスを持つポート プロファイルに関連付けられます。
次に、show running-config コマンド出力にポリシーが表示される例を示します。
vsg# show running-config policy p2@root/T1 policy p2@root/T1 rule r2 order 10
次に、show running-config コマンド出力に条件が表示される例を示します。
condition 1 dst.net.ip-address eq 2.2.2.2 condition 2 src.net.ip-address eq 1.1.1.1
次に、show running-config コマンド出力にアクションが表示される例を示します。
action permit
ここでは、Intercloud Fabric ファイアウォール(VSG)属性について説明します。
ファイアウォール ポリシーは、着信パケットまたは発信パケットに対して方向付けられています。 ルール条件内の属性は、送信元または宛先のいずれかに関連するように指定されたものが必要です。 src.、dst.のようなプレフィックス、または属性名は、方向付けに使用されます。
オブジェクト グループおよびゾーンは異なる方向のさまざまなルール間で共有されるため、ゾーンで使用される属性は方向付けされません。 方向付けされていない属性(src. または dst. などの方向プレフィックスを提供 しない)は、ニュートラル属性と呼ばれます。
異なる方向の 2 つのルール条件は同じオブジェクト グループ定義を共有できます。 オブジェクト グループで使用されるニュートラル属性と net.ip-address は、src.net.ip-address および dst.net.ip-address のような異なるルールで使用される方向属性と関連付けることができます。
属性は、ポリシー ルールおよび条件の設定、またはゾーン定義で使用されます。
オブジェクト グループおよびゾーンは異なる方向のさまざまなルール間で共有されるため、ゾーンで使用される属性は方向付けされません。 方向付けされていない属性(src. または dst. などの方向プレフィックスを提供 しない)は、ニュートラル属性と呼ばれます。
異なる方向の 2 つのルール条件は同じオブジェクト グループ定義を共有できます。 オブジェクト グループで使用されるニュートラル属性と net.ip-address は、src.net.ip-address および dst.net.ip-address のような異なるルールで使用される方向属性と関連付けることができます。
次の表に、Intercloud Fabric ファイアウォール(VSG)によってサポートされる VM 属性を示します。
説明 | 名前 | ||||
---|---|---|---|---|---|
VM の名前 |
src.vm.name dst.vm.name vm.name
|
||||
ゲスト OS のフルネーム(バージョン含む) |
src.vm.os-fullname dst.vm.os-fullname vm.os-fullname
|
||||
特定の vNIC に関連付けられたポート プロファイルの名前 |
src.vm.portprofile-name dst.vm.portprofile-name vm.portprofile-name
|
||||
関連付けられたポート グループのセキュリティ プロファイルからのカスタム属性。
|
src.vm.custom.xxx dst.vm.custom.xxx vm.custom.xxx
|
カスタム VM 属性は、サービス プロファイルの下で設定できるユーザ定義の属性です。
次に、ICF ファイアウォールの VM 属性を確認する例を示します。
firewall(config)# show vsg vm VM uuid : 47592090-c9c2-5e67-f044-9d6a39dc1696 VM attributes : name : didata1-cvm os-fullname : rhel 6.2 (64bit) Zone(s) : -------------------------------------------------------------------------------- VM uuid : 503ee75f-437b-1fa0-f0f4-fe0da53bab7a VM attributes : host-name : 10.36.6.9 name : windowsvm-migrate os-fullname : microsoft windows server 2003 (32-bit) os-hostname : sg-w2k-rv-1 resource-pool : resources tools-status : installed
説明 |
名前 |
||
---|---|---|---|
ゾーン名を指定します。 これは複数値属性で、複数のゾーンに同時に属することができます。 |
src.zone.name dst.zone.name zone.name
|
セキュリティ プロファイルは、ポリシーの記述に使用できるカスタム属性を定義します。 特定のポート プロファイルのタグが付いたすべての VM は、そのポート プロファイルに関連付けられたセキュリティ プロファイルで定義されたファイアウォール ポリシーおよびカスタム属性を継承します。 各カスタム属性は、state = CA のように名前と値のペアとして設定されます。
次に、Intercloud Fabric(ICF)ファイアウォールのセキュリティ プロファイルを確認する例を示します。
firewall(config-vnm-policy-agent)# show vsg security-profile table -------------------------------------------------------------------------------- Security-Profile Name VNSP ID Policy Name -------------------------------------------------------------------------------- default@root 1 default@root sp10@root/tenant_d3338 9 ps9@root/tenant_d3338 sp9@root/tenant_d3338 10 ps9@root/tenant_d3338 sp2@root/tenant_d3338 11 ps1@root/tenant_d3338 sp1@root/tenant_d3338 12 ps1@root/tenant_d3338
次に、ICF ファイアウォールのセキュリティ プロファイルを確認する例を示します。
firewall(config-vnm-policy-agent)# show vsg security-profile VNSP : sp10@root/tenant_d3338 VNSP id : 9 Policy Name : ps9@root/tenant_d3338 Policy id : 3 Custom attributes : vnsporg : root/tenant_d3338 VNSP : default@root VNSP id : 1 Policy Name : default@root Policy id : 1 Custom attributes : vnsporg : root VNSP : sp1@root/tenant_d3338 VNSP id : 12 Policy Name : ps1@root/tenant_d3338 Policy id : 2 Custom attributes : vnsporg : root/tenant_d3338 location : losangeles color9 : test9 color8 : test8 color7 : test7 color6 : test6 color5 : test5 color4 : test4 color3 : test3 color2 : test2 color13 : test13 color12 : test12 color11 : test11 color10 : test10 color1 : test1 color : red VNSP : sp2@root/tenant_d3338 VNSP id : 11 Policy Name : ps1@root/tenant_d3338 Policy id : 2 Custom attributes : vnsporg : root/tenant_d3338 location : sanjose color : blue VNSP : sp9@root/tenant_d3338 VNSP id : 10 Policy Name : ps9@root/tenant_d3338 Policy id : 3 Custom attributes : vnsporg : root/tenant_d3338
ロギングを使用すると、モニタしている VM を通過するトラフィックを確認できます。 このロギングは、適切な設定を行っていることを確認したり、トラブルシューティングを行ったりするのに役立ちます。
Intercloud Fabric(ICF)ファイアウォール(VSG)設定を表示するには、show running-config コマンドを使用します。
firewall-40# show running-config !Generating configuration........ !version 1.0.1h.4.4 hostname firewall-40 interface mgmt 0 ip address 10.2.77.40 255.255.0.0 interface tunnel 0 ip address 70.10.10.10 255.255.255.0 ip route 0.0.0.0 0.0.0.0 10.2.0.1 ntp server 0.ubuntu.pool.ntp.org ntp server 1.ubuntu.pool.ntp.org ntp server 2.ubuntu.pool.ntp.org ntp server 3.ubuntu.pool.ntp.org ntp server ntp.ubuntu.com no ip domain-lookup ip domain-name cisco.com ip domain-list cisco.com nsc-policy-agent registration-ip 10.2.77.14 shared-secret ********** policy-agent-image install log-level info security-profile sp1@root/T1 policy ps1@root/T1 security-profile default@root policy default@root Policy default@root rule default/default-rule@root order 2 Policy ps1@root/T1 rule pol1/vm_attr@root/T1 order 101 rule permit_all/all@root/T1 order 202 rule default/default-rule@root cond-match-criteria: match-all action drop rule permit_all/all@root/T1 cond-match-criteria: match-all action permit rule pol1/vm_attr@root/T1 cond-match-criteria: match-any dst-attributes condition 13 dst.vm.portprofile-name contains csw src-attributes condition 14 src.vm.portprofile-name contains csw service/protocol-attribute condition 10 net.service eq protocol 6 port 22 condition 11 net.service in-range protocol 17 port 0 65535 condition 12 net.service in-range protocol 6 port 0 65535 action permit firewall-40#
目次
この章の内容は、次のとおりです。
ここでは、Cisco Prime ネットワーク サービス コントローラ(Prime NSC)を使用して、Intercloud Fabric ファイアウォールでファイアウォール ポリシー オブジェクトを設定し管理する方法について説明します。
(注) |
Cisco PNSC を通じてのみ、Intercloud Fabric ファイアウォールを設定できます。 現在は、ファイアウォール ポリシー オブジェクトの帯域外の設定と管理はサポートしていません。 |
ゾーンは、VM の論理グループまたはホストです。 ゾーンは、ゾーン名を使用したゾーン属性に基づくポリシーの記述を許可することにより、ポリシーの記述を簡素化できます。 ゾーン定義により、ゾーンに VM がマッピングされます。 論理グループの定義は、VM 属性やネットワーク属性など、VM に関連付けられた属性に基づくことができます。 ゾーン定義は条件ベースのサブネットおよびエンドポイントの IP アドレスとして記述できます。
ゾーンおよびオブジェクト グループは異なる方向のさまざまなルール間で共有されるため、ゾーンで使用される属性は、方向付けされず、ニュートラルである必要があります。
オブジェクト グループは、属性に関連する条件のセットです。 オブジェクト グループおよびゾーンは異なる方向のさまざまなルール間で共有されるため、オブジェクト グループ条件で使用される属性は、方向付けされず、ニュートラルである必要があります。 オブジェクト グループは、ファイアウォール ルールの記述を支援するセカンダリ ポリシー オブジェクトです。 ルール条件は、演算子を使用することによりオブジェクト グループを参照できます。
ファイアウォール ルールは複数の条件とアクショで構成できます。 ルールは、トラフィックをフィルタリングする条件としてポリシーで定義できます。 ポリシー エンジンは、Intercloud Fabric ファイアウォール(VSG)で受信したネットワーク トラフィックをフィルタリングする設定としてポリシーを使用します。 ポリシー エンジンは、ネットワーク トラフィックをフィルタリングする 2 種類の条件一致モデルを使用します。
AND モデル:ルール内のすべての属性が一致する場合、ルールは matched に設定されます。
ポリシーは、一連の間接的な関連付けを使用して ICF ファイアウォールにバインドされます。 セキュリティ管理者は、セキュリティ プロファイルを設定すると、セキュリティ プロファイル内のポリシー名を参照できます。 セキュリティ プロファイルは、ICF ファイアウォールへのリファレンスを持つポート プロファイルに関連付けられます。
次に、show running-config コマンド出力にポリシーが表示される例を示します。
vsg# show running-config policy p2@root/T1 policy p2@root/T1 rule r2 order 10
次に、show running-config コマンド出力に条件が表示される例を示します。
condition 1 dst.net.ip-address eq 2.2.2.2 condition 2 src.net.ip-address eq 1.1.1.1
次に、show running-config コマンド出力にアクションが表示される例を示します。
action permit
ここでは、Intercloud Fabric ファイアウォール(VSG)属性について説明します。
ファイアウォール ポリシーは、着信パケットまたは発信パケットに対して方向付けられています。 ルール条件内の属性は、送信元または宛先のいずれかに関連するように指定されたものが必要です。 src.、dst.のようなプレフィックス、または属性名は、方向付けに使用されます。
オブジェクト グループおよびゾーンは異なる方向のさまざまなルール間で共有されるため、ゾーンで使用される属性は方向付けされません。 方向付けされていない属性(src. または dst. などの方向プレフィックスを提供 しない)は、ニュートラル属性と呼ばれます。
異なる方向の 2 つのルール条件は同じオブジェクト グループ定義を共有できます。 オブジェクト グループで使用されるニュートラル属性と net.ip-address は、src.net.ip-address および dst.net.ip-address のような異なるルールで使用される方向属性と関連付けることができます。
属性は、ポリシー ルールおよび条件の設定、またはゾーン定義で使用されます。
オブジェクト グループおよびゾーンは異なる方向のさまざまなルール間で共有されるため、ゾーンで使用される属性は方向付けされません。 方向付けされていない属性(src. または dst. などの方向プレフィックスを提供 しない)は、ニュートラル属性と呼ばれます。
異なる方向の 2 つのルール条件は同じオブジェクト グループ定義を共有できます。 オブジェクト グループで使用されるニュートラル属性と net.ip-address は、src.net.ip-address および dst.net.ip-address のような異なるルールで使用される方向属性と関連付けることができます。
次の表に、Intercloud Fabric ファイアウォール(VSG)によってサポートされる VM 属性を示します。
説明 | 名前 | ||||
---|---|---|---|---|---|
VM の名前 |
src.vm.name dst.vm.name vm.name
|
||||
ゲスト OS のフルネーム(バージョン含む) |
src.vm.os-fullname dst.vm.os-fullname vm.os-fullname
|
||||
特定の vNIC に関連付けられたポート プロファイルの名前 |
src.vm.portprofile-name dst.vm.portprofile-name vm.portprofile-name
|
||||
関連付けられたポート グループのセキュリティ プロファイルからのカスタム属性。
|
src.vm.custom.xxx dst.vm.custom.xxx vm.custom.xxx
|
カスタム VM 属性は、サービス プロファイルの下で設定できるユーザ定義の属性です。
次に、ICF ファイアウォールの VM 属性を確認する例を示します。
firewall(config)# show vsg vm VM uuid : 47592090-c9c2-5e67-f044-9d6a39dc1696 VM attributes : name : didata1-cvm os-fullname : rhel 6.2 (64bit) Zone(s) : -------------------------------------------------------------------------------- VM uuid : 503ee75f-437b-1fa0-f0f4-fe0da53bab7a VM attributes : host-name : 10.36.6.9 name : windowsvm-migrate os-fullname : microsoft windows server 2003 (32-bit) os-hostname : sg-w2k-rv-1 resource-pool : resources tools-status : installed
セキュリティ プロファイルは、ポリシーの記述に使用できるカスタム属性を定義します。 特定のポート プロファイルのタグが付いたすべての VM は、そのポート プロファイルに関連付けられたセキュリティ プロファイルで定義されたファイアウォール ポリシーおよびカスタム属性を継承します。 各カスタム属性は、state = CA のように名前と値のペアとして設定されます。
次に、Intercloud Fabric(ICF)ファイアウォールのセキュリティ プロファイルを確認する例を示します。
firewall(config-vnm-policy-agent)# show vsg security-profile table -------------------------------------------------------------------------------- Security-Profile Name VNSP ID Policy Name -------------------------------------------------------------------------------- default@root 1 default@root sp10@root/tenant_d3338 9 ps9@root/tenant_d3338 sp9@root/tenant_d3338 10 ps9@root/tenant_d3338 sp2@root/tenant_d3338 11 ps1@root/tenant_d3338 sp1@root/tenant_d3338 12 ps1@root/tenant_d3338
次に、ICF ファイアウォールのセキュリティ プロファイルを確認する例を示します。
firewall(config-vnm-policy-agent)# show vsg security-profile VNSP : sp10@root/tenant_d3338 VNSP id : 9 Policy Name : ps9@root/tenant_d3338 Policy id : 3 Custom attributes : vnsporg : root/tenant_d3338 VNSP : default@root VNSP id : 1 Policy Name : default@root Policy id : 1 Custom attributes : vnsporg : root VNSP : sp1@root/tenant_d3338 VNSP id : 12 Policy Name : ps1@root/tenant_d3338 Policy id : 2 Custom attributes : vnsporg : root/tenant_d3338 location : losangeles color9 : test9 color8 : test8 color7 : test7 color6 : test6 color5 : test5 color4 : test4 color3 : test3 color2 : test2 color13 : test13 color12 : test12 color11 : test11 color10 : test10 color1 : test1 color : red VNSP : sp2@root/tenant_d3338 VNSP id : 11 Policy Name : ps1@root/tenant_d3338 Policy id : 2 Custom attributes : vnsporg : root/tenant_d3338 location : sanjose color : blue VNSP : sp9@root/tenant_d3338 VNSP id : 10 Policy Name : ps9@root/tenant_d3338 Policy id : 3 Custom attributes : vnsporg : root/tenant_d3338
Intercloud Fabric(ICF)ファイアウォール(VSG)設定を表示するには、show running-config コマンドを使用します。
firewall-40# show running-config !Generating configuration........ !version 1.0.1h.4.4 hostname firewall-40 interface mgmt 0 ip address 10.2.77.40 255.255.0.0 interface tunnel 0 ip address 70.10.10.10 255.255.255.0 ip route 0.0.0.0 0.0.0.0 10.2.0.1 ntp server 0.ubuntu.pool.ntp.org ntp server 1.ubuntu.pool.ntp.org ntp server 2.ubuntu.pool.ntp.org ntp server 3.ubuntu.pool.ntp.org ntp server ntp.ubuntu.com no ip domain-lookup ip domain-name cisco.com ip domain-list cisco.com nsc-policy-agent registration-ip 10.2.77.14 shared-secret ********** policy-agent-image install log-level info security-profile sp1@root/T1 policy ps1@root/T1 security-profile default@root policy default@root Policy default@root rule default/default-rule@root order 2 Policy ps1@root/T1 rule pol1/vm_attr@root/T1 order 101 rule permit_all/all@root/T1 order 202 rule default/default-rule@root cond-match-criteria: match-all action drop rule permit_all/all@root/T1 cond-match-criteria: match-all action permit rule pol1/vm_attr@root/T1 cond-match-criteria: match-any dst-attributes condition 13 dst.vm.portprofile-name contains csw src-attributes condition 14 src.vm.portprofile-name contains csw service/protocol-attribute condition 10 net.service eq protocol 6 port 22 condition 11 net.service in-range protocol 17 port 0 65535 condition 12 net.service in-range protocol 6 port 0 65535 action permit firewall-40#