Cisco 担当者コラム
Cisco・Designedラボ
Designedラボ 第12回 「C841のFW(ファイアーウォール)の設定にチャレンジ1」
前回、前々回は、CLIでPPPoEの設定を致しました。
その続きでC841のファイアーウォールの設定にチャレンジしたいと思います。
ファイアーウォールはみなさんご存知かと思いますが、簡単に説明すると、ネットワークの通信を監視する事で、不正なアクセスを検出・遮断し、様々な脅威からネットワークを保護するセキュリティ機能となります。
そして今回ご紹介するのは、C841にも搭載されている「Zonebase Firewall」についてです。
〇Zonebase Firewall
ネットワークの外部(WAN)や内部(LAN)を示すZone(ゾーン)という領域を複数作成し、そのZone 間の通信に対してルールを設定する事で、通信の制御を行います。これにより、複数のインターフェースを1つのZone に所属させ、共通のルールを一括で適用する事ができます。また、従来のZone を使用しないIOS Firewallと比べると、送信元や宛先に基づいた詳細なルール設計が可能といったメリットがあります。
このZonebase Firewallの設定を行い、以下の構成イメージを目指します。
簡単にまとめると以下のような流れとなります。
?@ゾーンの作成(グループの作成)
?Aゾーンとインターフェースの紐づけ(グループメンバーの決定)
?Bゾーンペアの作成(グループ間の通信経路パターンの作成)
?Cクラスマップの作成(対象とするトラフィックの種類を定義)
?Dポリシーマップの作成(ルール(アクション)を定義)
?Eゾーンペアに対してポリシーマップを適用(通信経路パターンに対してルール適用)
少し設定にボリュームがあるので、今回は?@〜?Bの設定まで頑張りたいと思います。
という事でまずは、?@〜?Bについてもう少し具体的に説明致します。
?@ゾーンの作成(グループの作成)
構成イメージのようなZonebase Firewallを設定するには、まず「in-zone」、「out-zone」を作成します。因みに「self-zone」に関しましては、デフォルトで定義されている為、作成する必要はありません。
?Aゾーンとインターフェースの紐づけ(グループメンバーの決定)
内部インターフェース(VLAN1)をin-zone、外部インターフェース(Dialer1)をout-zoneに紐づけます。この紐づけによりそれぞれのゾーンにインターフェースが所属する事になります。
?Bゾーンペアの作成(グループ間の通信経路パターンの作成)
制御したい通信経路のパターンを作成します。
送信元(in-zone)と宛先(out-zone)を指定した、「PAIR-1」を作成します。
送信元(self-zone)と宛先(out-zone)を指定した、「PAIR-2」を作成します。
※作成しないゾーンペアの通信については、同じゾーン内の通信は、許可しますが、異なるゾーン間の通信はデフォルトで拒否となります。
以下が設定のコマンドとなります。
なお、今回のFirewallの設定ではPAT、PPPoEの設定が必要となりますが、こちらの設定方法につきましては第10回と第11回の記事に掲載されております為、ここでは割愛させて頂きます。
Zonebase Firewallの設定(手順?@〜?Bまで)
????????????????????????????????????????
1. Router> enable
2. Router# configure terminal
3. Router(config)# zone security out-zone
4. Router(config-sec-zone)# zone security in-zone
5. Router(config-sec-zone)# exit
6. Router(config)# interface dialer 1
7. Router(config-if)# zone-member security out-zone
8. Router(config-if)# exit
9. Router(config-if)# interface vlan1
10. Router(config-if)# zone-member security in-zone
11. Router(config-if)# exit
12. Router(config)# zone-pair security PAIR-1 source in-zone destination out-zone
13. Router(config-sec-zone-pair)# exit
14. Router(config)# zone-pair security PAIR-2 source self destination out-zone
15. Router(config-sec-zone-pair)# end
16. Router# copy running-config startup-config
????????????????????????????????????????
3行目zone security out-zone コマンドを使用して、「out-zone」というゾーンを作成します。
4行目 zone security in-zone コマンドを使用して、「in-zone」というゾーンを作成します。
※「self」のゾーンはデフォルトで定義されているため、作成する必要はありません。
7行目 zone-member security out-zone コマンドを使用して、Dialer1 インターフェースにout-zone を紐付けます。
10行目 zone-member security in-zone コマンドを使用して、vlan1 インターフェースにin-zone を紐付けます。
12行目 zone-pair security PAIR-1 source in-zone destination out-zone コマンドを使用して、ゾーンペア「PAIR-1」を作成します。「PAIR-1」では、「in-zone」に紐づいたインターフェースから、「out-zone」に紐づいたインターフェースへ向けた通信を指定します。
14行目 zone-pair security PAIR-2 source self-zone destination out-zone コマンドを使用して、ゾーンペア「PAIR-2」を作成します。「PAIR-2」では、「self-zone」に紐づいたインターフェースから、「out-zone」に紐づいたインターフェースへ向けた通信を指定します。
以上で?@〜?Bのゾーン作成、インターフェース紐付け、ゾーンペア作成の設定は完了致しました。意外とここまでは思ったよりも簡単でした。
今回は以上となります。
次回は、いよいよ手順?C〜?Eのポリシーの書き方についてです。
引き続き宜しくお願い致します。
カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は
をお読みください。Ciscoの記事
- Collaboration 第143回 「新製品!天井吊り外付けマイク Cisco Ceiling Microphone Proのご紹介」
- Security 第78回「Cisco Secure Endpoint ダッシュボードからのアンインストールについて」
- Meraki 第151回「Cisco Secure Connect紹介マンガのリリースについて」
- Collaboration 第142回 「超便利!Cisco Webex 会議端末設計ツール Workspace Designer のご紹介」
- Security 第77回「Cisco Secure Client Cloud Managementのご紹介」
- Meraki 第150回「Cisco Secure Connectから拠点のグローバルIPアドレスを使用してみた」