Cisco Zone-Based Firewall 設定例

Zone-Based Firewall とは

Cisco の Zone-Based Firewall(ZBF)は、Cisco ルータ上で実装されるセキュリティ機能で、異なるネットワークセグメント間のトラフィックを制御するために使用されます。従来のインターフェイスベースのファイアウォールとは異なり、Zone-Based Firewall はゾーンという概念を使用して、より柔軟で理解しやすいセキュリティポリシーを実現します。

Zone-Based Firewall の主な特徴

  1. ゾーン指向:
    ネットワークインターフェイスは、セキュリティゾーンに割り当てられます。各ゾーンは、特定のセキュリティ要件を持つネットワークセグメントを表します。

  2. ゾーン間のポリシー:
    ゾーン間のトラフィックは、ポリシーに基づいて許可または拒否されます。これにより、異なるゾーン間のアクセス制御が容易になります。

  3. ステートフルファイアウォール:
    ZBF はステートフルファイアウォールとして機能し、接続状態のトラッキングを行います。これにより、戻りトラフィックは自動的に許可され、セキュリティが向上します。

  4. アプリケーション検査:
    ZB Fは、特定のアプリケーションプロトコルに対する検査機能を提供し、アプリケーションレベルのセキュリティポリシーを適用できます。

Zone-Based Firewall は、企業や組織が自分のネットワーク環境に適したセキュリティポリシーを適用し、異なるセキュリティゾーン間のアクセスを効果的に管理できるように設計されています。

Zone-Based Firewall 設定例

セキュリティゾーンの作成

まず、セキュリティゾーンを作成し、それに対応するインターフェイスを割り当てます。

! ゾーンの作成
zone security INSIDE
zone security OUTSIDE
zone security DMZ

! インターフェイスへのゾーンの割り当て
interface GigabitEthernet0/0
  zone-member security INSIDE
interface GigabitEthernet0/1
  zone-member security OUTSIDE
interface GigabitEthernet0/2
  zone-member security DMZ

クラスマップの作成

トラフィックを識別するためにクラスマップを作成します。

class-map type inspect match-all INSIDE-TO-OUTSIDE
  match access-group name INSIDE-TO-OUTSIDE

ポリシーマップの作成

クラスマップを使用して、どのようなアクションがトラフィックに適用されるかを定義するポリシーマップを作成します。

policy-map type inspect INSIDE-TO-OUTSIDE-POLICY
  class type inspect INSIDE-TO-OUTSIDE
    inspect
  class class-default
    drop

ゾーンペアの作成

ゾーンペアを作成して、ゾーン間のトラフィックにポリシーマップを適用します。

zone-pair security INSIDE-TO-OUTSIDE source INSIDE destination OUTSIDE
  service-policy type inspect INSIDE-TO-OUTSIDE-POLICY

アクセスリストの作成

アクセスリストを作成して、クラスマップでどのトラフィックがマッチするかを制御します。

ip access-list extended INSIDE-TO-OUTSIDE
  permit ip any any

これらの設定例は、内部ゾーン(INSIDE)から外部ゾーン(OUTSIDE)へのトラフィックについて、ステートフルなファイアウォールを実装するものです。この設定により、内部ゾーンから外部ゾーンへのトラフィックは検査され、戻りトラフィックは自動的に許可されます。必要に応じて、他のゾーン間のポリシーを設定し、アプリケーション検査などの追加機能を適用できます。具体的な要件に応じて、これらの設定例を調整してください。

以上