Startラボ 第12回 「C841のFW(ファイアーウォール)の設定にチャレンジ1」

こんにちは。社会人2年目の新米SEのTEと申します。

前回、前々回は、CLIでPPPoEの設定を致しました。
その続きでC841のファイアーウォールの設定にチャレンジしたいと思います。

ファイアーウォールはみなさんご存知かと思いますが、簡単に説明すると、ネットワークの通信を監視する事で、不正なアクセスを検出・遮断し、様々な脅威からネットワークを保護するセキュリティ機能となります。

そして今回ご紹介するのは、C841にも搭載されている「Zonebase Firewall」についてです。

〇Zonebase Firewall
ネットワークの外部(WAN)や内部(LAN)を示すZone(ゾーン)という領域を複数作成し、そのZone 間の通信に対してルールを設定する事で、通信の制御を行います。これにより、複数のインターフェースを1つのZone に所属させ、共通のルールを一括で適用する事ができます。また、従来のZone を使用しないIOS Firewallと比べると、送信元や宛先に基づいた詳細なルール設計が可能といったメリットがあります。

このZonebase Firewallの設定を行い、以下の構成イメージを目指します。

Zonebase Firewallの設定の手順については、
簡単にまとめると以下のような流れとなります。

①ゾーンの作成(グループの作成)
②ゾーンとインターフェースの紐づけ(グループメンバーの決定)
③ゾーンペアの作成(グループ間の通信経路パターンの作成)
④クラスマップの作成(対象とするトラフィックの種類を定義)
⑤ポリシーマップの作成(ルール(アクション)を定義)
⑥ゾーンペアに対してポリシーマップを適用(通信経路パターンに対してルール適用)

少し設定にボリュームがあるので、今回は①~③の設定まで頑張りたいと思います。
という事でまずは、①~③についてもう少し具体的に説明致します。

①ゾーンの作成(グループの作成)
構成イメージのようなZonebase Firewallを設定するには、まず「in-zone」、「out-zone」を作成します。因みに「self-zone」に関しましては、デフォルトで定義されている為、作成する必要はありません。

②ゾーンとインターフェースの紐づけ(グループメンバーの決定)
内部インターフェース(VLAN1)をin-zone、外部インターフェース(Dialer1)をout-zoneに紐づけます。この紐づけによりそれぞれのゾーンにインターフェースが所属する事になります。

③ゾーンペアの作成(グループ間の通信経路パターンの作成)
制御したい通信経路のパターンを作成します。
送信元(in-zone)と宛先(out-zone)を指定した、「PAIR-1」を作成します。
送信元(self-zone)と宛先(out-zone)を指定した、「PAIR-2」を作成します。
※作成しないゾーンペアの通信については、同じゾーン内の通信は、許可しますが、異なるゾーン間の通信はデフォルトで拒否となります。

以下が設定のコマンドとなります。
なお、今回のFirewallの設定ではPAT、PPPoEの設定が必要となりますが、こちらの設定方法につきましては第10回と第11回の記事に掲載されております為、ここでは割愛させて頂きます。

Zonebase Firewallの設定(手順①~③まで)
――――――――――――――――――――――――――――――――――――――――
1.    Router> enable
2.    Router# configure terminal
3.    Router(config)# zone security out-zone
4.    Router(config-sec-zone)# zone security in-zone
5.    Router(config-sec-zone)# exit
6.    Router(config)# interface dialer 1
7.    Router(config-if)# zone-member security out-zone
8.    Router(config-if)# exit
9.    Router(config-if)# interface vlan1
10.    Router(config-if)# zone-member security in-zone
11.    Router(config-if)# exit
12.    Router(config)# zone-pair security PAIR-1 source in-zone destination out-zone
13.    Router(config-sec-zone-pair)# exit
14.    Router(config)# zone-pair security PAIR-2 source self destination out-zone
15.    Router(config-sec-zone-pair)# end
16.    Router# copy running-config startup-config
――――――――――――――――――――――――――――――――――――――――
3行目zone security out-zone コマンドを使用して、「out-zone」というゾーンを作成します。
4行目 zone security in-zone コマンドを使用して、「in-zone」というゾーンを作成します。
※「self」のゾーンはデフォルトで定義されているため、作成する必要はありません。
7行目 zone-member security out-zone コマンドを使用して、Dialer1 インターフェースにout-zone を紐付けます。
10行目 zone-member security in-zone コマンドを使用して、vlan1 インターフェースにin-zone を紐付けます。
12行目 zone-pair security PAIR-1 source in-zone destination out-zone コマンドを使用して、ゾーンペア「PAIR-1」を作成します。「PAIR-1」では、「in-zone」に紐づいたインターフェースから、「out-zone」に紐づいたインターフェースへ向けた通信を指定します。
14行目 zone-pair security PAIR-2 source self-zone destination out-zone コマンドを使用して、ゾーンペア「PAIR-2」を作成します。「PAIR-2」では、「self-zone」に紐づいたインターフェースから、「out-zone」に紐づいたインターフェースへ向けた通信を指定します。


以上で①~③のゾーン作成、インターフェース紐付け、ゾーンペア作成の設定は完了致しました。意外とここまでは思ったよりも簡単でした。
今回は以上となります。

次回は、いよいよ手順④~⑥のポリシーの書き方についてです。
引き続き宜しくお願い致します。

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事