Zone-Based Firewall とは
Cisco の Zone-Based Firewall(ZBF)は、Cisco ルータ上で実装されるセキュリティ機能で、異なるネットワークセグメント間のトラフィックを制御するために使用されます。従来のインターフェイスベースのファイアウォールとは異なり、Zone-Based Firewall はゾーンという概念を使用して、より柔軟で理解しやすいセキュリティポリシーを実現します。
Zone-Based Firewall の主な特徴
ゾーン指向:
ネットワークインターフェイスは、セキュリティゾーンに割り当てられます。各ゾーンは、特定のセキュリティ要件を持つネットワークセグメントを表します。ゾーン間のポリシー:
ゾーン間のトラフィックは、ポリシーに基づいて許可または拒否されます。これにより、異なるゾーン間のアクセス制御が容易になります。ステートフルファイアウォール:
ZBF はステートフルファイアウォールとして機能し、接続状態のトラッキングを行います。これにより、戻りトラフィックは自動的に許可され、セキュリティが向上します。アプリケーション検査:
ZB Fは、特定のアプリケーションプロトコルに対する検査機能を提供し、アプリケーションレベルのセキュリティポリシーを適用できます。
Zone-Based Firewall は、企業や組織が自分のネットワーク環境に適したセキュリティポリシーを適用し、異なるセキュリティゾーン間のアクセスを効果的に管理できるように設計されています。
Zone-Based Firewall 設定例
セキュリティゾーンの作成
まず、セキュリティゾーンを作成し、それに対応するインターフェイスを割り当てます。
! ゾーンの作成
zone security INSIDE
zone security OUTSIDE
zone security DMZ
! インターフェイスへのゾーンの割り当て
interface GigabitEthernet0/0
zone-member security INSIDE
interface GigabitEthernet0/1
zone-member security OUTSIDE
interface GigabitEthernet0/2
zone-member security DMZ
クラスマップの作成
トラフィックを識別するためにクラスマップを作成します。
class-map type inspect match-all INSIDE-TO-OUTSIDE
match access-group name INSIDE-TO-OUTSIDE
ポリシーマップの作成
クラスマップを使用して、どのようなアクションがトラフィックに適用されるかを定義するポリシーマップを作成します。
policy-map type inspect INSIDE-TO-OUTSIDE-POLICY
class type inspect INSIDE-TO-OUTSIDE
inspect
class class-default
drop
ゾーンペアの作成
ゾーンペアを作成して、ゾーン間のトラフィックにポリシーマップを適用します。
zone-pair security INSIDE-TO-OUTSIDE source INSIDE destination OUTSIDE
service-policy type inspect INSIDE-TO-OUTSIDE-POLICY
アクセスリストの作成
アクセスリストを作成して、クラスマップでどのトラフィックがマッチするかを制御します。
ip access-list extended INSIDE-TO-OUTSIDE
permit ip any any
これらの設定例は、内部ゾーン(INSIDE)から外部ゾーン(OUTSIDE)へのトラフィックについて、ステートフルなファイアウォールを実装するものです。この設定により、内部ゾーンから外部ゾーンへのトラフィックは検査され、戻りトラフィックは自動的に許可されます。必要に応じて、他のゾーン間のポリシーを設定し、アプリケーション検査などの追加機能を適用できます。具体的な要件に応じて、これらの設定例を調整してください。
以上