こんにちは。社会人2年目の新米SEのTEと申します。

前回、前々回は、CLIでPPPoEの設定を致しました。
その続きでC841のファイアーウォールの設定にチャレンジしたいと思います。

ファイアーウォールはみなさんご存知かと思いますが、簡単に説明すると、ネットワークの通信を監視する事で、不正なアクセスを検出・遮断し、様々な脅威からネットワークを保護するセキュリティ機能となります。

そして今回ご紹介するのは、C841にも搭載されている「Zonebase Firewall」についてです。

〇Zonebase Firewall
ネットワークの外部（WAN）や内部（LAN）を示すZone（ゾーン）という領域を複数作成し、そのZone 間の通信に対してルールを設定する事で、通信の制御を行います。これにより、複数のインターフェースを１つのZone に所属させ、共通のルールを一括で適用する事ができます。また、従来のZone を使用しないIOS Firewallと比べると、送信元や宛先に基づいた詳細なルール設計が可能といったメリットがあります。

このZonebase Firewallの設定を行い、以下の構成イメージを目指します。

Zonebase Firewallの設定の手順については、
簡単にまとめると以下のような流れとなります。

?@ゾーンの作成（グループの作成）
?Aゾーンとインターフェースの紐づけ（グループメンバーの決定）
?Bゾーンペアの作成（グループ間の通信経路パターンの作成）
?Cクラスマップの作成（対象とするトラフィックの種類を定義）
?Dポリシーマップの作成（ルール（アクション）を定義）
?Eゾーンペアに対してポリシーマップを適用（通信経路パターンに対してルール適用）

少し設定にボリュームがあるので、今回は?@〜?Bの設定まで頑張りたいと思います。
という事でまずは、?@〜?Bについてもう少し具体的に説明致します。

?@ゾーンの作成（グループの作成）
構成イメージのようなZonebase Firewallを設定するには、まず「in-zone」、「out-zone」を作成します。因みに「self-zone」に関しましては、デフォルトで定義されている為、作成する必要はありません。

?Aゾーンとインターフェースの紐づけ（グループメンバーの決定）
内部インターフェース（VLAN1）をin-zone、外部インターフェース（Dialer1）をout-zoneに紐づけます。この紐づけによりそれぞれのゾーンにインターフェースが所属する事になります。

?Bゾーンペアの作成（グループ間の通信経路パターンの作成）
制御したい通信経路のパターンを作成します。
送信元(in-zone)と宛先(out-zone)を指定した、「PAIR-1」を作成します。
送信元(self-zone)と宛先(out-zone)を指定した、「PAIR-2」を作成します。
※作成しないゾーンペアの通信については、同じゾーン内の通信は、許可しますが、異なるゾーン間の通信はデフォルトで拒否となります。

以下が設定のコマンドとなります。
なお、今回のFirewallの設定ではPAT、PPPoEの設定が必要となりますが、こちらの設定方法につきましては第10回と第11回の記事に掲載されております為、ここでは割愛させて頂きます。

Zonebase Firewallの設定(手順?@〜?Bまで)
????????????????????????????????????????
1. Router> enable
2. Router# configure terminal
3. Router(config)# zone security out-zone
4. Router(config-sec-zone)# zone security in-zone
5. Router(config-sec-zone)# exit
6. Router(config)# interface dialer 1
7. Router(config-if)# zone-member security out-zone
8. Router(config-if)# exit
9. Router(config-if)# interface vlan1
10. Router(config-if)# zone-member security in-zone
11. Router(config-if)# exit
12. Router(config)# zone-pair security PAIR-1 source in-zone destination out-zone
13. Router(config-sec-zone-pair)# exit
14. Router(config)# zone-pair security PAIR-2 source self destination out-zone
15. Router(config-sec-zone-pair)# end
16. Router# copy running-config startup-config
????????????????????????????????????????
3行目zone security out-zone コマンドを使用して、「out-zone」というゾーンを作成します。
4行目 zone security in-zone コマンドを使用して、「in-zone」というゾーンを作成します。
※「self」のゾーンはデフォルトで定義されているため、作成する必要はありません。
7行目 zone-member security out-zone コマンドを使用して、Dialer1 インターフェースにout-zone を紐付けます。
10行目 zone-member security in-zone コマンドを使用して、vlan1 インターフェースにin-zone を紐付けます。
12行目 zone-pair security PAIR-1 source in-zone destination out-zone コマンドを使用して、ゾーンペア「PAIR-1」を作成します。「PAIR-1」では、「in-zone」に紐づいたインターフェースから、「out-zone」に紐づいたインターフェースへ向けた通信を指定します。
14行目 zone-pair security PAIR-2 source self-zone destination out-zone コマンドを使用して、ゾーンペア「PAIR-2」を作成します。「PAIR-2」では、「self-zone」に紐づいたインターフェースから、「out-zone」に紐づいたインターフェースへ向けた通信を指定します。


以上で?@〜?Bのゾーン作成、インターフェース紐付け、ゾーンペア作成の設定は完了致しました。意外とここまでは思ったよりも簡単でした。
今回は以上となります。

次回は、いよいよ手順?C〜?Eのポリシーの書き方についてです。
引き続き宜しくお願い致します。