1. No category

この章

CHAPTER
4
透過ファイアウォールまたはルーテッド ファ
イアウォールの設定
この章では、ファイアウォール モード(透過またはルーテッド)の設定方法および透過ファイア
ウォール動作のカスタマイズ方法について説明します。
(注)
マルチコンテキスト モードでは、コンテキストごとに個別にファイアウォール モードを設定できませ
ん。ファイアウォール モードは適応型セキュリティ アプライアンス全体に対してだけ設定できます。
この章には、次の項があります。
• 「ファイアウォール モードの設定」(P.4-1)
• 「透過ファイアウォール用の ARP 検査の設定」(P.4-8)
• 「透過ファイアウォール用の MAC アドレス テーブルのカスタマイズ」(P.4-12)
• 「ファイアウォール モードの例」(P.4-15)
ファイアウォール モードの設定
この項では、ルーテッド ファイアウォール モードと透過ファイアウォール モードについて、および
モードの設定方法について説明します。この項は、次の内容で構成されています。
• 「ファイアウォール モードに関する情報」(P.4-1)
• 「ファイアウォール モードのライセンス要件」(P.4-4)
• 「デフォルト設定」(P.4-4)
• 「ガイドラインと制限事項」(P.4-5)
• 「ファイアウォール モードの設定」(P.4-7)
• 「ファイアウォール モードの機能履歴」(P.4-8)
ファイアウォール モードに関する情報
この項では、ルーテッド ファイアウォール モードおよび透過ファイアウォール モードについて説明し
ます。次の項目を取り上げます。
• 「ルーテッド ファイアウォール モードに関する情報」(P.4-2)
• 「透過ファイアウォール モードに関する情報」(P.4-2)
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
4-1
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
ファイアウォール モードの設定
ルーテッド ファイアウォール モードに関する情報
ルーテッド モードでは、適応型セキュリティ アプライアンスはネットワーク内のルータ ホップと見な
されます。OSPF または RIP を使用できます(シングルコンテキスト モードの場合)。ルーテッド モー
ドは多数のインターフェイスをサポートしています。インターフェイスはそれぞれ異なるサブネット上
に置かれます。コンテキスト間でインターフェイスを共有することもできます。
適応型セキュリティ アプライアンスは、接続されたネットワーク間のルータとして機能します。イン
ターフェイスごとに、異なるサブネット上の IP アドレスが必要です。シングルコンテキスト モードで
は、ルーテッド ファイアウォールは OSPF および RIP をサポートします。マルチコンテキスト モード
では、スタティック ルートだけがサポートされます。過度なルーティングのニーズを適応型セキュリ
ティ アプライアンスに頼るのではなく、アップストリーム ルータとダウンストリーム ルータの拡張
ルーティング機能を使用することをお勧めします。
透過ファイアウォール モードに関する情報
通常、ファイアウォールはルーティングされたホップであり、スクリーニングされたサブネットのいず
れかに接続するホストのデフォルト ゲートウェイとして機能します。一方、透過ファイアウォールは、
「bump-in-the-wire(BITW)」または「ステルス ファイアウォール」のように動作するレイヤ 2 ファイ
アウォールであり、接続されたデバイスへのルータ ホップとは見なされません。
ここでは、透過ファイアウォール モードについて次の項目で説明します。
• 「透過ファイアウォール ネットワーク」(P.4-2)
• 「レイヤ 3 トラフィックの許可」(P.4-2)
• 「許可される MAC アドレス」(P.4-2)
• 「ルーテッド モードで許可されないトラフィックの通過」(P.4-3)
• 「MAC アドレス ルックアップと ルート ルックアップ」(P.4-3)
• 「ネットワークでの透過ファイアウォールの使用」(P.4-4)
透過ファイアウォール ネットワーク
適応型セキュリティ アプライアンスでは、内部インターフェイスと外部インターフェイスに同じネッ
トワークが接続されます。透過ファイアウォールはルーティングされたホップではないので、既存の
ネットワークに簡単に導入できます。
レイヤ 3 トラフィックの許可
IPv4 および IPv6 トラフィックは、セキュリティの高いインターフェイスから低いインターフェイスに
移動する場合、アクセスリストなしで自動的に透過ファイアウォールを通過できます。ARP は、アク
セスリストなしで両方向に透過ファイアウォールを通過できます。ARP トラフィックは ARP 検査に
よって制御されます。セキュリティの低いインターフェイスから高いインターフェイスに移動するレイ
ヤ 3 トラフィックの場合、セキュリティの低いインターフェイス上に拡張アクセスリストが必要です。
詳細については、第 11 章「拡張アクセスリストの追加」または 第 15 章「IPv6 アクセスリストの追
加」を参照してください。
許可される MAC アドレス
次の宛先 MAC アドレスは、透過ファイアウォールから許可されます。このリストにない MAC アドレ
スはすべてドロップされます。
• FFFF.FFFF.FFFF の TRUE ブロードキャスト宛先 MAC アドレス
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
4-2
OL-18970-01-J
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
ファイアウォール モードの設定
• 0100.5E00.0000 ~ 0100.5EFE.FFFF までの IPv4 マルチキャスト MAC アドレス
• 3333.0000.0000 ~ 3333.FFFF.FFFF までの IPv6 マルチキャスト MAC アドレス
• 0100.0CCC.CCCD の BPDU マルチキャスト アドレス
• 0900.0700.0000 ~ 0900.07FF.FFFF までの Appletalk マルチキャスト MAC アドレス
ルーテッド モードで許可されないトラフィックの通過
ルーテッド モードでは、アクセスリストで許可しても、いくつかのタイプのトラフィックは適応型セ
キュリティ アプライアンスを通過できません。一方、透過ファイアウォールは、拡張アクセスリスト
(IP トラフィックの場合)または EtherType アクセスリスト(IP 以外のトラフィックの場合)を使用し
て、ほとんどすべてのトラフィックを許可できます。
(注)
トランスペアレント モードの適応型セキュリティ アプライアンスは、CDP パケットおよび 0x600 以上
の有効な EtherType を持たないパケットの通過を拒否します。たとえば、IS-IS パケットを通過させる
ことはできません。例外として、BPDU はサポートされています。
たとえば、透過ファイアウォールでルーティング プロトコルの隣接関係を確立できます。つまり、拡
張アクセスリストに基づいて、OSPF、RIP、EIGRP、または BGP トラフィックを許可できます。同
様に、HSRP や VRRP などのプロトコルは適応型セキュリティ アプライアンスを通過できます。
IP 以外のトラフィック(AppleTalk、IPX、BPDU、および MPLS など)は、EtherType アクセスリス
トを使用して通過するように構成できます。
透過ファイアウォールで直接サポートされていない機能の場合は、アップストリーム ルータとダウン
ストリーム ルータが機能をサポートできるようにトラフィックの通過を許可することができます。た
とえば、拡張アクセスリストを使用して、DHCP トラフィック(サポートされない DHCP リレー機能
の代わりに)または IP/TV によって作成されたマルチキャスト トラフィックを許可できます。
MAC アドレス ルックアップと ルート ルックアップ
適応型セキュリティ アプライアンスが Network Address Translation(NAT; ネットワーク アドレス変
換)を使用せずにトランスペアレント モードで動作している場合、パケットの発信インターフェイス
は、ルート ルックアップではなく MAC アドレス ルックアップを実行することによって決定されます。
この場合もルート文を設定することはできますが、適応型セキュリティ アプライアンスから発信され
たトラフィックだけに適用されます。たとえば、syslog サーバがリモート ネットワークにある場合は、
適応型セキュリティ アプライアンスがそのサブネットに到達できるようにスタティック ルートを使用
する必要があります。
音声検査を使用し、さらにエンドポイントが適応型セキュリティ アプライアンスから少なくとも 1
ホップ先にある場合は、この規則は適用されません。たとえば、CCM と H.323 ゲートウェイの間に透
過ファイアウォールを使用し、透過ファイアウォールと H.323 ゲートウェイの間にルータがある場合、
正常にコールを完了させるには適応型セキュリティ アプライアンスに H.323 ゲートウェイ用のスタ
ティック ルートを追加する必要があります。
NAT を使用する場合、適応型セキュリティ アプライアンスは、MAC アドレス ルックアップではなく
ルート ルックアップを使用します。場合によっては、スタティック ルートが必要になります。たとえ
ば、実際の宛先アドレスが適応型セキュリティ アプライアンスに直接接続されていない場合、実際の
宛先アドレス用に、ダウンストリーム ルータをポイントするスタティック ルートを適応型セキュリ
ティ アプライアンスに追加する必要があります。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
4-3
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
ファイアウォール モードの設定
ネットワークでの透過ファイアウォールの使用
図 4-1 に、外部デバイスが内部デバイスと同じサブネット上にある一般的な透過ファイアウォール
ネットワークを示します。内部ルータとホストは、外部ルータに直接接続されているように見えます。
図 4-1
透過ファイアウォール ネットワーク
ࠗࡦ࠲࡯ࡀ࠶࠻
10.1.1.1
ࡀ࠶࠻ࡢ࡯ࠢ A
▤ℂ IP
10.1.1.2
10.1.1.3
ࡀ࠶࠻ࡢ࡯ࠢ B
92411
192.168.1.2
ファイアウォール モードのライセンス要件
次の表に、この機能のライセンス要件を示します。
モデル
ライセンス要件
すべてのモデル
基本ライセンス
デフォルト設定
デフォルト モードはルーテッド モードです。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
4-4
OL-18970-01-J
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
ファイアウォール モードの設定
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
コンテキスト モードのガイドライン
• ファイアウォール モードは、システム全体とすべてのコンテキストに対して設定されます。コン
テキストごとに個別にモードを設定できません。
• マルチコンテキスト モードでは、システム実行スペースでモードを設定します。
• モードを変更すると、適応型セキュリティ アプライアンスは実行コンフィギュレーションをクリ
アします。これは、多くのコマンドが両方のモードでサポートされていないためです。このアク
ションにより、実行中のコンテキストが削除されます。その後、別のモード用に作成された既存の
コンフィギュレーションがあるコンテキストを再度追加すると、そのコンテキスト コンフィギュ
レーションは正常に動作しないことがあります。正しいモード用のコンテキスト コンフィギュ
レーションを再作成してから、それらを再度追加するか、新しいコンフィギュレーション用の新し
いパスがある新しいコンテキストを追加してください。
透過ファイアウォール ガイドライン
透過ファイアウォール ネットワークを計画する場合は、次のガイドラインに従ってください。
• IPv4 の場合は、管理トラフィックと、適応型セキュリティ アプライアンスを通過するトラフィッ
クの両方に対し、管理 IP アドレスが必要です。マルチコンテキスト モードの場合は、各コンテキ
ストごとに IP アドレスが必要です。
インターフェイスごとに IP アドレスが必要なルーテッド モードと異なり、透過ファイアウォール
ではデバイス全体に IP アドレスが割り当てられます。適応型セキュリティ アプライアンスは、こ
の IP アドレスを、システム メッセージや AAA 通信など、適応型セキュリティ アプライアンスで
発信されるパケットの送信元アドレスとして使用します。
管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。サ
ブネットにホスト サブネット(255.255.255.255)を設定することはできません。
IPv6 の場合は、少なくとも通過トラフィック用に各インターフェイスにリンクローカル アドレス
を設定する必要があります。適応型セキュリティ アプライアンスの管理を含むフル機能のために
は、デバイスにグローバル IP アドレスを設定する必要があります。
Management 0/0 または Management 0/1 の管理専用インターフェイスの IP アドレス(IPv4 と
IPv6 の両方)を設定できます。この IP アドレスは、メインの管理 IP アドレスとは別々のサブ
ネットに設定できます。
• 透過適応型セキュリティ アプライアンスは、内部インターフェイスと外部インターフェイスだけ
を使用します。プラットフォームに専用の管理インターフェイスが含まれている場合は、管理トラ
フィック専用の管理インターフェイスまたはサブインターフェイスを設定することもできます。
シングルモードでは、セキュリティ アプライアンスに 3 つ以上のインターフェイスが含まれてい
る場合でも、2 つのデータ インターフェイス(および使用可能な場合は専用の管理インターフェイ
ス)だけを使用できます。
• 直接に接続された各ネットワークは同一のサブネット上にある必要があります。
• 接続されたデバイス用のデフォルト ゲートウェイとして適応型セキュリティ アプライアンス管理
IP アドレスを指定しないでください。デバイスは適応型セキュリティ アプライアンスの他方の側
のルータをデフォルト ゲートウェイとして指定する必要があります。
• マルチコンテキスト モードでは、各コンテキストが別個のインターフェイスを使用する必要があ
ります。コンテキスト間でインターフェイスを共有することはできません。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
4-5
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
ファイアウォール モードの設定
• マルチコンテキスト モードでは、通常、各コンテキストが別個のサブネットを使用します。重複
するサブネットを使用することもできますが、ルーティング スタンドポイントから可能にするた
め、ネットワーク トポロジにルータと NAT コンフィギュレーションが必要です。
IPv6 のガイドライン
IPv6 をサポートします。
その他のガイドラインと制限事項
• モードを変更すると、適応型セキュリティ アプライアンスは実行コンフィギュレーションをクリ
アします。これは、多くのコマンドが両方のモードでサポートされていないためです。スタート
アップ コンフィギュレーションは変更されません。保存しないでリロードすると、スタートアッ
プ コンフィギュレーションがロードされて、モードは元の設定に戻ります。コンフィギュレー
ション ファイルのバックアップについては、「ファイアウォール モードの設定」(P.4-7)を参照し
てください。
• firewall transparent コマンドでモードを変更する適応型セキュリティ アプライアンスにテキスト
コンフィギュレーションをダウンロードする場合は、必ずこのコマンドをコンフィギュレーション
の最上部に置いてください。このようにすると、適応型セキュリティ アプライアンスは、このコ
マンドを読み取り次第すぐにモードを変更し、その後は、ダウンロードしたコンフィギュレーショ
ンの読み取りを続けます。このコマンドがコンフィギュレーションの後ろの方にあると、適応型セ
キュリティ アプライアンスはそれ以前に記述されているコンフィギュレーションの行をすべてク
リアします。テキスト ファイルのダウンロードの詳細については、「フラッシュ メモリへのソフト
ウェアまたはコンフィギュレーション ファイルのダウンロード」(P.77-2)を参照してください。
トランスペアレント モードでサポートされていない機能
表 4-1 にトランスペアレント モードでサポートされていない機能を示します。
表 4-1
トランスペアレント モードでサポートされていない機能
機能
説明
ダイナミック DNS
—
DHCP リレー
透過ファイアウォールは DHCP サーバとして機能することができま
すが、DHCP リレー コマンドはサポートしません。2 つの拡張アク
セスリストを使用して DHCP トラフィックを通過させることができ
るので、DHCP リレーは必要ありません。1 つは内部インターフェイ
スから外部インターフェイスへの DHCP 要求を許可し、もう 1 つは
サーバからの応答を逆方向に許可します。
ダイナミック ルーティング プ ただし、適応型セキュリティ アプライアンスで発信されたトラ
ロトコル
フィックのスタティック ルートを追加できます。拡張アクセスリス
トを使用して、ダイナミック ルーティング プロトコルが適応型セ
キュリティ アプライアンスを通過できるようにすることもできます。
マルチキャスト IP ルーティン 拡張アクセスリストで許可することによって、マルチキャスト トラ
グ
フィックが適応型セキュリティ アプライアンスを通過できるように
することができます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
4-6
OL-18970-01-J
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
ファイアウォール モードの設定
表 4-1
トランスペアレント モードでサポートされていない機能
機能
説明
QoS
—
通過トラフィック用の VPN
ターミネーション
透過ファイアウォールは、管理接続に対してのみサイトツーサイト
VPN トンネルをサポートします。これは、適応型セキュリティ アプ
ライアンスを通過するトラフィックに対して VPN 接続を終端しませ
ん。拡張アクセスリストを使用して VPN トラフィックにセキュリ
ティ アプライアンスを通過させることはできますが、非管理接続は
終端されません。SSL VPN もサポートされていません。
ファイアウォール モードの設定
この項では、ファイアウォール モードを変更する方法について説明します。
(注)
ファイアウォール モードを変更すると実行コンフィギュレーションがクリアされるので、他のコン
フィギュレーションを行う前にファイアウォール モードを設定することをお勧めします。
前提条件
モードを変更すると、適応型セキュリティ アプライアンスは実行コンフィギュレーションをクリアし
ます(詳細については 「ガイドラインと制限事項」(P.4-5)を参照してください)。
• すでに実装済みのコンフィギュレーションがある場合は、モードを変更する前に必ずコンフィギュ
レーションのバックアップを作成してください。新しくコンフィギュレーションを作成するときに
このバックアップを参照する場合があります。「コンフィギュレーション ファイルのバックアッ
プ」(P.77-8)を参照してください。
• モードを変更するには、コンソール ポートで CLI を使用します。ASDM コマンドライン インター
フェイス ツールや SSH などの他のタイプのセッションを使用すると、コンフィギュレーションが
クリアされるときに切断されるので、いずれにしてもコンソール ポートを使用して適応型セキュ
リティ アプライアンスに再接続する必要があります。
詳細な手順
コマンド
目的
firewall transparent
ファイアウォール モードを透過に設定します。マルチコンテキスト モード
では、システム実行スペースでこのコマンドを入力します。モードをルー
テッドに変更するには、no firewall transparent コマンドを入力します。
例:
hostname(config)# firewall transparent
このコマンドは、情報提供のためだけに各コンテキスト コンフィギュ
レーションにも表示されるため、このコマンドをコンテキストに入力する
ことはできません。
(注)
ファイアウォール モードの変更では確認は求められず、ただちに
変更が行われます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
4-7
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
透過ファイアウォール用の ARP 検査の設定
ファイアウォール モードの機能履歴
表 4-2 に、この機能のリリース履歴の一覧を示します。
表 4-2
ファイアウォール モードの機能履歴
機能名
透過ファイアウォール モード
リリース
機能情報
7.0(1)
透過ファイアウォールは、「bump-in-the-wire(BITW)」
または「ステルス ファイアウォール」のように動作するレ
イヤ 2 ファイアウォールであり、接続されたデバイスへの
ルータ ホップとは見なされません。
firewall transparent コマンドおよび show firewall コマン
ドが導入されました。
透過ファイアウォール用の ARP 検査の設定
この項では、ARP 検査について説明し、これをイネーブルにする方法について説明します。次の事項
を取り上げます。
• 「ARP 検査に関する情報」(P.4-8)
• 「ARP 検査のライセンス要件」(P.4-9)
• 「デフォルト設定」(P.4-9)
• 「ガイドラインと制限事項」(P.4-9)
• 「ARP 検査の設定」(P.4-9)
• 「ARP 検査の監視」(P.4-11)
• 「ARP 検査の機能履歴」(P.4-11)
ARP 検査に関する情報
デフォルトでは、すべての ARP パケットが適応型セキュリティ アプライアンスを通過できます。ARP
パケットのフローを制御するには、ARP 検査をイネーブルにします。
ARP 検査をイネーブルにすると、適応型セキュリティ アプライアンスはすべての ARP パケットの
MAC アドレス、IP アドレス、および発信元インターフェイスを ARP テーブルのスタティック エント
リと比較し、次のアクションを実行します。
• IP アドレス、MAC アドレス、および発信元インターフェイスが ARP エントリと一致した場合、
パケットは通過します。
• MAC アドレス、IP アドレス、またはインターフェイス間でミスマッチがある場合、適応型セキュ
リティ アプライアンスはパケットをドロップします。
• ARP パケットがスタティック ARP テーブルのどのエントリとも一致しない場合は、パケットをす
べてのインターフェイスに転送するか(フラッド)、パケットをドロップするように適応型セキュ
リティ アプライアンスを設定できます。
(注)
専用の管理インターフェイスがある場合、このインターフェイスは、このパラメータがフ
ラッドに設定されていてもパケットをフラッドしません。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
4-8
OL-18970-01-J
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
透過ファイアウォール用の ARP 検査の設定
ARP 検査は、悪意のあるユーザが他のホストまたはルータになりすますこと(ARP スプーフィング)
を防ぎます。ARP スプーフィングは、「man-in-the-middle」攻撃(中間者攻撃)を可能にすることが
あります。たとえば、ホストは ARP 要求をゲートウェイ ルータに送信し、ゲートウェイ ルータは
ゲートウェイ ルータ MAC アドレスで応答します。ただし、攻撃者は、ルータの MAC アドレスの代わ
りに攻撃者の MAC アドレスで別の ARP 応答をホストに送信します。これによって、攻撃者は、すべ
てのホスト トラフィックを傍受してからルータに転送できます。
ARP 検査を行うと、正しい MAC アドレスとそれに関連付けられている IP アドレスがスタティック
ARP テーブルにある限り、攻撃者は、攻撃者の MAC アドレスで ARP 応答を送信することができなく
なります。
ARP 検査のライセンス要件
次の表に、この機能のライセンス要件を示します。
モデル
ライセンス要件
すべてのモデル
基本ライセンス
デフォルト設定
デフォルトでは、すべての ARP パケットが適応型セキュリティ アプライアンスを通過できます。
ARP 検査をイネーブルにした場合、デフォルト設定では、一致しないパケットはフラッドします。
ガイドラインと制限事項
コンテキスト モードのガイドライン
• シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。
• マルチコンテキスト モードで、各コンテキスト内の ARP 検査を設定します。
ファイアウォール モードのガイドライン
透過ファイアウォール モードでだけサポートされます。ルーテッド モードはサポートされていません。
ARP 検査の設定
この項では、ARP 検査を設定する方法について説明します。次の項目を取り上げます。
• 「ARP 検査の設定のタスク フロー」(P.4-9)
• 「スタティック ARP エントリの追加」(P.4-10)
• 「ARP 検査のイネーブル化」(P.4-10)
ARP 検査の設定のタスク フロー
次の手順に従って、ARP 検査を設定します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
4-9
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
透過ファイアウォール用の ARP 検査の設定
ステップ 1
「スタティック ARP エントリの追加」(P.4-10)に従って、スタティック ARP エントリを追加します。
ARP 検査は ARP パケットを ARP テーブルのスタティック ARP エントリと比較するので、この機能に
はスタティック ARP エントリが必要です。
ステップ 2
「ARP 検査のイネーブル化」(P.4-10)に従って、ARP 検査をイネーブルにします。
スタティック ARP エントリの追加
ARP 検査は、ARP パケットを ARP テーブルのスタティック ARP エントリと比較します。ホストは、
パケットの宛先を IP アドレスで識別しますが、実際のイーサネットのパケット配信はイーサネットの
MAC アドレスに依存します。ルータまたはホストが直接接続されているネットワークにパケットを配
信する場合、IP アドレスに関連付けられている MAC アドレスを求める ARP 要求を送信し、その後、
ARP 応答に従って MAC アドレスにパケットを配信します。ホストまたはルータは ARP テーブルを保
持するため、配信が必要なすべてのパケットに ARP 要求を送信する必要があるとは限りません。ARP
応答がネットワークに送信されると ARP テーブルがダイナミックにアップデートされ、エントリが一
定期間使用されなかった場合は、タイムアウトになります。エントリが正しくない場合(たとえば、所
定の IP アドレスの MAC アドレスが変更になった)、そのエントリはアップデートの前にタイムアウト
になります。
(注)
透過ファイアウォールは、適応型セキュリティ アプライアンスとの間のトラフィック(管理トラ
フィックなど)に、ARP テーブルのダイナミック ARP エントリを使用します。
詳細な手順
コマンド
目的
arp interface_name ip_address mac_address
スタティック ARP エントリを追加します。
例:
hostname(config)# arp outside 10.1.1.1
0009.7cbe.2100
例
たとえば、外部インターフェイスで、IP アドレスが 10.1.1.1、MAC アドレスが 0009.7cbe.2100 の
ルータからの ARP 応答を許可するには、次のコマンドを入力します。
hostname(config)# arp outside 10.1.1.1 0009.7cbe.2100
次の作業
「ARP 検査のイネーブル化」(P.4-10)に従って、ARP 検査をイネーブルにします。
ARP 検査のイネーブル化
この項では、ARP 検査をイネーブルにする方法について説明します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
4-10
OL-18970-01-J
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
透過ファイアウォール用の ARP 検査の設定
詳細な手順
コマンド
目的
arp-inspection interface_name enable
[flood | no-flood]
ARP 検査をイネーブルにします。
例:
hostname(config)# arp-inspection outside
enable no-flood
flood キーワードは、一致しない ARP パケットをすべてのインターフェ
イスに転送し、no-flood は、一致しないパケットをドロップします。
(注)
デフォルト設定では、一致しないパケットはフラッドします。ス
タティック エントリにある ARP だけが適応型セキュリティ アプ
ライアンスを通過するように制限するには、このコマンドを
no-flood に設定します。
例
たとえば、外部インターフェイスで ARP 検査をイネーブルにして、一致しないすべての ARP パケッ
トをドロップするには、次のコマンドを入力します。
hostname(config)# arp-inspection outside enable no-flood
ARP 検査の監視
ARP 検査を監視するには、次のタスクを実行します。
コマンド
目的
show arp-inspection
すべてのインターフェイスについて、ARP 検査の現在の設定を表示しま
す。
ARP 検査の機能履歴
表 4-2 に、この機能のリリース履歴の一覧を示します。
表 4-3
機能名
ARP 検査
ARP 検査の機能履歴
リリース
機能情報
7.0(1)
ARP 検査は、すべての ARP パケットの MAC アドレス、
IP アドレス、および送信元インターフェイスを、ARP
テーブルのスタティック エントリと比較します。
arp、arp-inspection、および show arp-inspection コマン
ドが導入されました。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
4-11
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
透過ファイアウォール用の MAC アドレス テーブルのカスタマイズ
透過ファイアウォール用の MAC アドレス テーブルのカスタ
マイズ
この項では、MAC アドレス テーブルについて説明します。次の事項を取り上げます。
• 「MAC アドレス テーブルに関する情報」(P.4-12)
• 「ARP 検査のライセンス要件」(P.4-12)
• 「デフォルト設定」(P.4-13)
• 「ガイドラインと制限事項」(P.4-13)
• 「MAC アドレス テーブルの設定」(P.4-13)
• 「MAC アドレス テーブルの監視」(P.4-14)
• 「MAC アドレス テーブルの機能履歴」(P.4-15)
MAC アドレス テーブルに関する情報
適応型セキュリティ アプライアンスは、通常のブリッジやスイッチと同様の方法で、MAC アドレス
テーブルをラーニングし、構築します。デバイスが適応型セキュリティ アプライアンス経由でパケッ
トを送信すると、適応型セキュリティ アプライアンスはこの MAC アドレスをテーブルに追加します。
テーブルで MAC アドレスと発信元インターフェイスが関連付けられているため、適応型セキュリティ
アプライアンスは、パケットが正しいインターフェイスからデバイスにアドレス指定されていることが
わかります。
ASA 5505 適応型セキュリティ アプライアンスには、組み込みスイッチがあります。このスイッチの
MAC アドレス テーブルは、各 VLAN 内のトラフィックの MAC アドレスとスイッチ ポートのマッピ
ングを維持します。この項では、VLAN 間のトラフィックの MAC アドレスと VLAN インターフェイ
スのマッピングを維持する、ブリッジの MAC アドレス テーブルについて説明します。
適応型セキュリティ アプライアンスはファイアウォールなので、パケットの宛先 MAC アドレスが
テーブルにない場合、適応型セキュリティ アプライアンスは通常のブリッジとは異なり、元のパケッ
トをすべてのインターフェイスにフラッドすることはありません。代わりに、直接接続されたデバイス
またはリモート デバイスに対して次のパケットを生成します。
• 直接接続されたデバイスへのパケット:適応型セキュリティ アプライアンスは宛先 IP アドレスに
対して ARP 要求を生成し、適応型セキュリティ アプライアンスは ARP 応答を受信したインター
フェイスをラーニングします。
• リモート デバイスへのパケット:適応型セキュリティ アプライアンスは宛先 IP アドレスへの ping
を生成し、適応型セキュリティ アプライアンスは ping 応答を受信したインターフェイスをラーニ
ングします。
元のパケットはドロップされます。
ARP 検査のライセンス要件
次の表に、この機能のライセンス要件を示します。
モデル
ライセンス要件
すべてのモデル
基本ライセンス
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
4-12
OL-18970-01-J
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
透過ファイアウォール用の MAC アドレス テーブルのカスタマイズ
デフォルト設定
ダイナミック MAC アドレス テーブルのデフォルトのタイムアウト値は 5 分です。
デフォルトでは、各インターフェイスは入ってきたトラフィックの MAC アドレスを自動的にラーニン
グして、適応型セキュリティ アプライアンスは対応するエントリを MAC アドレス テーブルに追加し
ます。
ガイドラインと制限事項
コンテキスト モードのガイドライン
• シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。
• マルチコンテキスト モードで、各コンテキスト内の MAC アドレス テーブルを設定します。
ファイアウォール モードのガイドライン
透過ファイアウォール モードでだけサポートされます。ルーテッド モードはサポートされていません。
MAC アドレス テーブルの設定
この項では、MAC アドレス テーブルをカスタマイズする方法について説明します。次の項目を取り上
げます。
• 「スタティック MAC アドレスの追加」(P.4-13)
• 「MAC アドレス タイムアウトの設定」(P.4-14)
• 「MAC アドレス ラーニングのディセーブル化」(P.4-14)
スタティック MAC アドレスの追加
通常、MAC アドレスは、特定の MAC アドレスからのトラフィックがインターフェイスに入ったとき
に、MAC アドレス テーブルに動的に追加されます。必要に応じて、スタティック MAC アドレスを
MAC アドレス テーブルに追加できます。スタティック エントリを追加する利点の 1 つとして、MAC
スプーフィングの防止があります。スタティック エントリと同じ MAC アドレスを持つクライアント
が、スタティック エントリと一致しないインターフェイスにトラフィックを送信しようとした場合、
適応型セキュリティ アプライアンスはトラフィックをドロップし、システム メッセージを生成します。
スタティック ARP エントリを追加するときに(「スタティック ARP エントリの追加」(P.4-10)を参
照)、スタティック MAC アドレス エントリは MAC アドレス テーブルに自動的に追加されます。
スタティック MAC アドレスを MAC アドレス テーブルに追加するには、次のコマンドを入力します。
コマンド
目的
mac-address-table static interface_name
mac_address
スタティック MAC アドレス エントリを追加します。
interface_name は、発信元インターフェイスです。
例:
hostname(config)# mac-address-table static
inside 0009.7cbe.2100
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
4-13
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
透過ファイアウォール用の MAC アドレス テーブルのカスタマイズ
MAC アドレス タイムアウトの設定
ダイナミック MAC アドレス テーブルのデフォルトのタイムアウト値は 5 分ですが、タイムアウトは
変更できます。タイムアウトを変更するには、次のコマンドを入力します。
コマンド
目的
mac-address-table aging-time timeout_value
MAC アドレス エントリのタイムアウトを設定します。
例:
hostname(config)# mac-address-table
aging-time 10
timeout_value(分)は、5 ~ 720(12 時間)です。5 分がデフォルトです。
MAC アドレス ラーニングのディセーブル化
デフォルトでは、各インターフェイスは入ってきたトラフィックの MAC アドレスを自動的にラーニン
グして、適応型セキュリティ アプライアンスは対応するエントリを MAC アドレス テーブルに追加し
ます。必要に応じて MAC アドレス ラーニングをディセーブルにできますが、この場合、MAC アドレ
スをテーブルにスタティックに追加しないと、トラフィックが適応型セキュリティ アプライアンスを
通過できなくなります。
MAC アドレス ラーニングをディセーブルにするには、次のコマンドを入力します。
コマンド
目的
mac-learn interface_name disable
MAC アドレス ラーニングをディセーブルにします。
このコマンドの no 形式を使用すると、MAC アドレス ラーニングが再度イ
例:
hostname(config)# mac-learn inside disable ネーブルになります。clear configure mac-learn コマンドは、すべてのイ
ンターフェイスで MAC アドレス ラーニングを再度イネーブルにします。
MAC アドレス テーブルの監視
すべての MAC アドレス テーブル(両方のインターフェイスのスタティック エントリとダイナミック
エントリ)を表示できます。または、あるインターフェイスの MAC アドレス テーブルを表示できま
す。MAC アドレス テーブルを表示するには、次のコマンドを入力します。
コマンド
目的
show mac-address-table [interface_name]
MAC アドレス テーブルを表示します。
例
すべてのテーブルを表示する show mac-address-table コマンドの出力例を示します。
hostname# show mac-address-table
interface
mac address
type
Time Left
----------------------------------------------------------------------outside
0009.7cbe.2100
static
inside
0010.7cbe.6101
static
inside
0009.7cbe.5101
dynamic
10
内部インターフェイスのテーブルを表示する show mac-address-table コマンドの出力例を示します。
hostname# show mac-address-table inside
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
4-14
OL-18970-01-J
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
ファイアウォール モードの例
interface
mac address
type
Time Left
----------------------------------------------------------------------inside
0010.7cbe.6101
static
inside
0009.7cbe.5101
dynamic
10
MAC アドレス テーブルの機能履歴
表 4-2 に、この機能のリリース履歴の一覧を示します。
表 4-4
MAC アドレス テーブルの機能履歴
機能名
MAC アドレス テーブル
リリース
機能情報
7.0(1)
透過ファイアウォール モードは MAC アドレス テーブルを
使用します。
mac-address-table static、mac-address-table
aging-time、mac-learn disable、および show
mac-address-table コマンドが導入されました。
ファイアウォール モードの例
この項では、トラフィックが適応型セキュリティ アプライアンスを通過する例を示します。次の項目
を取り上げます。
• 「ルーテッド ファイアウォール モードでデータがセキュリティ アプライアンスを通過する方法」
(P.4-15)
• 「透過ファイアウォールを通過するデータの動き」(P.4-21)
ルーテッド ファイアウォール モードでデータがセキュリティ アプライアン
スを通過する方法
この項では、ルーテッド ファイアウォール モードでデータが適応型セキュリティ アプライアンスをど
のように通過するかを説明します。次の項目について説明します。
• 「内部ユーザが Web サーバにアクセスする」(P.4-16)
• 「外部ユーザが DMZ 上の Web サーバにアクセスする」(P.4-17)
• 「内部ユーザが DMZ 上の Web サーバにアクセスする」(P.4-18)
• 「外部ユーザが内部ホストにアクセスしようとする」(P.4-19)
• 「DMZ ユーザが内部ホストにアクセスしようとする」(P.4-20)
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
4-15
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
ファイアウォール モードの例
内部ユーザが Web サーバにアクセスする
図 4-2 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。
図 4-2
内部から外部へ
www.example.com
ᄖㇱ
209.165.201.2
ㅍାరࠕ࠼࡟ࠬᄌ឵
10.1.2.27
209.165.201.10
10.1.2.1
10.1.1.1
DMZ
࡙࡯ࠩ
10.1.2.27
Web ࠨ࡯ࡃ
10.1.1.3
92404
ౝㇱ
次の手順では、データが適応型セキュリティ アプライアンスをどのように通過するかを示します
(図 4-2 を参照)。
1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。
2. 適応型セキュリティ アプライアンスはパケットを受信します。これは新しいセッションであるた
め、適応型セキュリティ アプライアンスはセキュリティ ポリシー(アクセスリスト、フィルタ、
AAA)の条件に従って、パケットが許可されていることを確認します。
マルチコンテキスト モードの場合、適応型セキュリティ アプライアンスは、コンテキストに関連
付けられる固有なインターフェイスまたは固有な宛先アドレスに従ってパケットを分類します。宛
先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場
合、インターフェイスは固有です。www.example.com IP アドレスは、コンテキスト内に最新のア
ドレス変換を持っていません。
3. 適応型セキュリティ アプライアンスは、ローカル送信元アドレス(10.1.2.27)を、外部インター
フェイス サブネット上のグローバル アドレス 209.165.201.10 に変換します。
グローバル アドレスは任意のサブネット上に置くことができますが、外部インターフェイス サブ
ネットに置くとルーティングが簡素化されます。
4. 次に、適応型セキュリティ アプライアンスはセッションが確立されたことを記録し、外部イン
ターフェイスからパケットを転送します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
4-16
OL-18970-01-J
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
ファイアウォール モードの例
5. www.example.com が要求に応答すると、パケットは適応型セキュリティ アプライアンスを通過し
ます。これはすでに確立されているセッションであるため、パケットは、新しい接続に関連する多
くのルックアップをバイパスします。適応型セキュリティ アプライアンスは、グローバル宛先ア
ドレスをローカル ユーザ アドレス 10.1.2.27 に変換することによって、NAT を実行します。
6. 適応型セキュリティ アプライアンスは、パケットを内部ユーザに転送します。
外部ユーザが DMZ 上の Web サーバにアクセスする
図 4-3 は、外部ユーザが DMZ Web サーバにアクセスしていることを示しています。
図 4-3
外部から DMZ へ
࡙࡯ࠩ
ᄖㇱ
209.165.201.2
ౝㇱ
10.1.1.1
DMZ
Web ࠨ࡯ࡃ
10.1.1.3
92406
10.1.2.1
ተవࠕ࠼࡟ࠬᄌ឵
10.1.1.13
209.165.201.3
次の手順では、データが適応型セキュリティ アプライアンスをどのように通過するかを示します
(図 4-3 を参照)。
1. 外部ネットワーク上のユーザは、外部インターフェイス サブネット上にあるグローバル宛先アド
レス 209.165.201.3 を使用して DMZ Web サーバから Web ページを要求します。
2. 適応型セキュリティ アプライアンスはパケットを受信します。これは新しいセッションであるた
め、適応型セキュリティ アプライアンスはセキュリティ ポリシー(アクセスリスト、フィルタ、
AAA)の条件に従って、パケットが許可されていることを確認します。
マルチコンテキスト モードの場合、適応型セキュリティ アプライアンスは、コンテキストに関連
付けられる固有なインターフェイスまたは固有な宛先アドレスに従ってパケットを分類します。宛
先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場
合、分類子は DMZ Web サーバ アドレスがサーバ アドレス変換のため特定のコンテキストに属す
ことを「認識」しています。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
4-17
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
ファイアウォール モードの例
3. 適応型セキュリティ アプライアンスは、宛先アドレスをローカル アドレス 10.1.1.3 に変換します。
4. 次に、適応型セキュリティ アプライアンスはセッション エントリを高速パスに追加し、DMZ イン
ターフェイスからパケットを転送します。
5. DMZ Web サーバが要求に応答すると、パケットは適応型セキュリティ アプライアンスを通過しま
す。また、セッションがすでに確立されているため、パケットは、新しい接続に関連する多くの
ルックアップをバイパスします。適応型セキュリティ アプライアンスは、ローカル送信元アドレ
スを 209.165.201.3 に変換することによって、NAT を実行します。
6. 適応型セキュリティ アプライアンスは、パケットを外部ユーザに転送します。
内部ユーザが DMZ 上の Web サーバにアクセスする
図 4-4 は、内部ユーザが DMZ Web サーバにアクセスしていることを示しています。
図 4-4
内部から DMZ へ
ᄖㇱ
209.165.201.2
10.1.2.1
10.1.1.1
DMZ
92403
ౝㇱ
࡙࡯ࠩ
10.1.2.27
Web ࠨ࡯ࡃ
10.1.1.3
次の手順では、データが適応型セキュリティ アプライアンスをどのように通過するかを示します
(図 4-4 を参照)。
1. 内部ネットワーク上のユーザは、宛先アドレス 10.1.1.3 を使用して DMZ Web サーバから Web
ページを要求します。
2. 適応型セキュリティ アプライアンスはパケットを受信します。これは新しいセッションであるた
め、適応型セキュリティ アプライアンスはセキュリティ ポリシー(アクセスリスト、フィルタ、
AAA)の条件に従って、パケットが許可されていることを確認します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
4-18
OL-18970-01-J
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
ファイアウォール モードの例
マルチコンテキスト モードの場合、適応型セキュリティ アプライアンスは、コンテキストに関連
付けられる固有なインターフェイスまたは固有な宛先アドレスに従ってパケットを分類します。宛
先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場
合、インターフェイスは固有です。Web サーバ IP アドレスは、最新のアドレス変換を持っていま
せん。
3. 次に、適応型セキュリティ アプライアンスはセッションが確立されたことを記録し、DMZ イン
ターフェイスからパケットを転送します。
4. DMZ Web サーバが要求に応答すると、パケットは高速パスを通過します。これのため、パケット
は、新しい接続に関連する多くのルックアップをバイパスします。
5. 適応型セキュリティ アプライアンスは、パケットを内部ユーザに転送します。
外部ユーザが内部ホストにアクセスしようとする
図 4-5 は、外部ユーザが内部ネットワークにアクセスしようとしていることを示しています。
図 4-5
外部から内部へ
www.example.com
ᄖㇱ
209.165.201.2
ౝㇱ
࡙࡯ࠩ
10.1.2.27
10.1.1.1
DMZ
92407
10.1.2.1
次の手順では、データが適応型セキュリティ アプライアンスをどのように通過するかを示します
(図 4-5 を参照)。
1. 外部ネットワーク上のユーザが、内部ホストに到達しようとします(ホストにルーティング可能な
IP アドレスがあると想定します)。
内部ネットワークがプライベート アドレスを使用している場合、外部ユーザが NAT なしで内部
ネットワークに到達することはできません。外部ユーザは既存の NAT セッションを使用して内部
ユーザに到達しようとすることが考えられます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
4-19
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
ファイアウォール モードの例
2. 適応型セキュリティ アプライアンスはパケットを受信します。これは新しいセッションであるた
め、適応型セキュリティ アプライアンスはセキュリティ ポリシー(アクセスリスト、フィルタ、
AAA)に従って、パケットが許可されているかどうかを確認します。
3. パケットが拒否され、適応型セキュリティ アプライアンスはパケットをドロップし、接続試行を
ログに記録します。
外部ユーザが内部ネットワークを攻撃しようとした場合、適応型セキュリティ アプライアンスは
多数のテクノロジーを使用して、すでに確立されたセッションに対してパケットが有効かどうかを
判別します。
DMZ ユーザが内部ホストにアクセスしようとする
図 4-6 は、DMZ 内のユーザが内部ネットワークにアクセスしようとしていることを示しています。
図 4-6
DMZ から内部へ
ᄖㇱ
209.165.201.2
10.1.2.1
10.1.1.1
DMZ
࡙࡯ࠩ
10.1.2.27
Web ࠨ࡯ࡃ
10.1.1.3
92402
ౝㇱ
次の手順では、データが適応型セキュリティ アプライアンスをどのように通過するかを示します
(図 4-6 を参照)。
1. DMZ ネットワーク上のユーザが、内部ホストに到達しようとします。DMZ はインターネット上
のトラフィックをルーティングする必要がないので、プライベート アドレッシング方式はルー
ティングを回避しません。
2. 適応型セキュリティ アプライアンスはパケットを受信します。これは新しいセッションであるた
め、適応型セキュリティ アプライアンスはセキュリティ ポリシー(アクセスリスト、フィルタ、
AAA)に従って、パケットが許可されているかどうかを確認します。
パケットが拒否され、適応型セキュリティ アプライアンスはパケットをドロップし、接続試行を
ログに記録します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
4-20
OL-18970-01-J
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
ファイアウォール モードの例
透過ファイアウォールを通過するデータの動き
図 4-7 に、パブリック Web サーバを含む内部ネットワークを持つ一般的な透過ファイアウォールの実
装を示します。内部ユーザがインターネット リソースにアクセスできるよう、適応型セキュリティ ア
プライアンスにはアクセスリストがあります。別のアクセスリストによって、外部ユーザは内部ネット
ワーク上の Web サーバだけにアクセスできます。
図 4-7
一般的な透過ファイアウォールのデータ パス
www.example.com
ࠗࡦ࠲࡯ࡀ࠶࠻
209.165.201.2
▤ℂ IP
209.165.201.6
ࡎࠬ࠻
209.165.201.3
92412
209.165.200.230
Web ࠨ࡯ࡃ
209.165.200.225
この項では、データが適応型セキュリティ アプライアンスをどのように通過するかを説明します。次
の項目について説明します。
• 「内部ユーザが Web サーバにアクセスする」(P.4-22)
• 「NAT を使用して内部ユーザが Web サーバにアクセスする」(P.4-23)
• 「外部ユーザが内部ネットワーク上の Web サーバにアクセスする」(P.4-24)
• 「外部ユーザが内部ホストにアクセスしようとする」(P.4-25)
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
4-21
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
ファイアウォール モードの例
内部ユーザが Web サーバにアクセスする
図 4-8 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。
図 4-8
内部から外部へ
www.example.com
ࠗࡦ࠲࡯ࡀ࠶࠻
209.165.201.2
ࡎࠬ࠻
209.165.201.3
92408
▤ℂ IP
209.165.201.6
次の手順では、データが適応型セキュリティ アプライアンスをどのように通過するかを示します
(図 4-8 を参照)。
1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。
2. 適応型セキュリティ アプライアンスはパケットを受信し、必要な場合、送信元 MAC アドレスを
MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリ
シー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確
認します。
マルチコンテキスト モードの場合、適応型セキュリティ アプライアンスは、固有なインターフェ
イスに従ってパケットを分類します。
3. 適応型セキュリティ アプライアンスは、セッションが確立されたことを記録します。
4. 宛先 MAC アドレスがテーブル内にある場合、適応型セキュリティ アプライアンスは外部インター
フェイスからパケットを転送します。宛先 MAC アドレスは、アップストリーム ルータ
209.186.201.2 のアドレスです。
宛先 MAC アドレスが適応型セキュリティ アプライアンスのテーブルにない場合、適応型セキュリ
ティ アプライアンスは、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最
初のパケットはドロップされます。
5. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい
接続に関連する多くのルックアップをバイパスします。
6. 適応型セキュリティ アプライアンスは、パケットを内部ユーザに転送します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
4-22
OL-18970-01-J
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
ファイアウォール モードの例
NAT を使用して内部ユーザが Web サーバにアクセスする
図 4-8 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。
図 4-9
NAT を使用して内部から外部へ
www.example.com
ࠗࡦ࠲࡯ࡀ࠶࠻
࠮ࠠࡘ࡝࠹ࠖ ࠕࡊ࡜ࠗࠕࡦࠬࠍ
⚻↱ߔࠆ࡞࡯࠲ߩ209.165.201.0/27 ߳ߩ
ࠬ࠲࠹ࠖ࠶ࠢ ࡞࡯࠻
ㅍାరࠕ࠼࡟ࠬᄌ឵
10.1.2.27
209.165.201.10
10.1.2.1
▤ℂ IP
10.1.2.2
ࡎࠬ࠻
10.1.2.27
191243
࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
次の手順では、データが適応型セキュリティ アプライアンスをどのように通過するかを示します
(図 4-8 を参照)。
1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。
2. 適応型セキュリティ アプライアンスはパケットを受信し、必要な場合、送信元 MAC アドレスを
MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリ
シー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確
認します。
マルチコンテキスト モードの場合、適応型セキュリティ アプライアンスは、固有なインターフェ
イスに従ってパケットを分類します。
3. 適応型セキュリティ アプライアンスは実際のアドレス(10.1.2.27)をマッピング アドレス
209.165.201.10 に変換します。
マッピング アドレスは外部インターフェイスと同じネットワーク上にないため、アップストリー
ム ルータに適応型セキュリティ アプライアンスをポイントするマッピング ネットワークへのスタ
ティック ルートがあることを確認します。
4. 次に、適応型セキュリティ アプライアンスはセッションが確立されたことを記録し、外部イン
ターフェイスからパケットを転送します。
5. 宛先 MAC アドレスがテーブル内にある場合、適応型セキュリティ アプライアンスは外部インター
フェイスからパケットを転送します。宛先 MAC アドレスは、アップストリーム ルータのアドレス
209.165.201.2 です。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
4-23
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
ファイアウォール モードの例
宛先 MAC アドレスが適応型セキュリティ アプライアンスのテーブルにない場合、適応型セキュリ
ティ アプライアンスは、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最
初のパケットはドロップされます。
6. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい
接続に関連する多くのルックアップをバイパスします。
7. 適応型セキュリティ アプライアンスは、マッピング アドレスを実際のアドレス 10.1.2.27 に変換す
ることによって、NAT を実行します。
外部ユーザが内部ネットワーク上の Web サーバにアクセスする
図 4-10 は、外部ユーザが内部 Web サーバにアクセスしていることを示しています。
図 4-10
外部から内部へ
ࡎࠬ࠻
ࠗࡦ࠲࡯ࡀ࠶࠻
209.165.201.2
▤ℂ IP
209.165.201.6
209.165.201.1
Web ࠨ࡯ࡃ
209.165.200.225
92409
209.165.200.230
次の手順では、データが適応型セキュリティ アプライアンスをどのように通過するかを示します
(図 4-10 を参照)。
1. 外部ネットワーク上のユーザは、内部 Web サーバから Web ページを要求します。
2. 適応型セキュリティ アプライアンスはパケットを受信し、必要な場合、送信元 MAC アドレスを
MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリ
シー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確
認します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
4-24
OL-18970-01-J
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
ファイアウォール モードの例
マルチコンテキスト モードの場合、適応型セキュリティ アプライアンスは、固有なインターフェ
イスに従ってパケットを分類します。
3. 適応型セキュリティ アプライアンスは、セッションが確立されたことを記録します。
4. 宛先 MAC アドレスがテーブル内にある場合、適応型セキュリティ アプライアンスは内部インター
フェイスからパケットを転送します。宛先 MAC アドレスは、ダウンストリーム ルータ
209.186.201.1 のアドレスです。
宛先 MAC アドレスが適応型セキュリティ アプライアンスのテーブルにない場合、適応型セキュリ
ティ アプライアンスは、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最
初のパケットはドロップされます。
5. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい
接続に関連する多くのルックアップをバイパスします。
6. 適応型セキュリティ アプライアンスは、パケットを外部ユーザに転送します。
外部ユーザが内部ホストにアクセスしようとする
図 4-11 は、外部ユーザが内部ネットワーク上のホストにアクセスしようとしていることを示しています。
図 4-11
外部から内部へ
ࡎࠬ࠻
ࠗࡦ࠲࡯ࡀ࠶࠻
209.165.201.2
92410
▤ℂ IP
209.165.201.6
ࡎࠬ࠻
209.165.201.3
次の手順では、データが適応型セキュリティ アプライアンスをどのように通過するかを示します
(図 4-11 を参照)。
1. 外部ネットワーク上のユーザが、内部ホストに到達しようとします。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
4-25
第4章
透過ファイアウォールまたはルーテッド ファイアウォールの設定
ファイアウォール モードの例
2. 適応型セキュリティ アプライアンスはパケットを受信し、必要な場合、送信元 MAC アドレスを
MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリ
シー(アクセスリスト、フィルタ、AAA)の条件に従って、パケットが許可されているかどうか
を確認します。
マルチコンテキスト モードの場合、適応型セキュリティ アプライアンスは、固有なインターフェ
イスに従ってパケットを分類します。
3. パケットが拒否され、適応型セキュリティ アプライアンスはパケットをドロップします。
4. 外部ユーザが内部ネットワークを攻撃しようとした場合、適応型セキュリティ アプライアンスは
多数のテクノロジーを使用して、すでに確立されたセッションに対してパケットが有効かどうかを
判別します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
4-26
OL-18970-01-J

 Download  Report

Paperzz.com

Your Paperzz

© Copyright 2026 Paperzz