ファイアウォール

アプライアンス ファイアウォール について説明します。

重要

「アプライアンス ファイアウォール 」は、 オプション「専用グローバルネットワーク」ご利用のお客様を対象とした追加サービス です。

このページを読む前に

  • このページはオプションサービスをスタートするにあたっての手引きとなるものです。すべてのコマンドや操作、画面説明はベンダーの コンフィグレーションマニュアル をご覧ください

  • このページを読む前に、必ず「 最初にお読みください 」もあわせてお読みください。

  • このページには機器やサーバー、ネットワークの専門的な内容が含まれています。 理解しないまま操作するとトラブルのもととなりますので、わからない設定・操作は行わないようにしましょう。

サービスの特徴

ハードウェア・筐体
ファイアウォールサービスでは高度なカスタマイズ性を備えた高性能セキュリティアプライアンス Cisco Firepower 4140 を採用しています。
このモデルはマルチコア アーキテクチャで構成され、遅延の大幅な低減、高いセッション並列処理能力を備えます。
ハードウェアの詳しい内容については、ベンダーのドキュメント をご覧ください。

冗長構成
Cisco Firepower 4140 は2台1組の冗長構成にて稼動しています。
仮に1台で障害が発生した場合はもう1台への切り替わりが発生し、サービスが継続して提供されます。

動作設定
Cisco Firepower 4140 はマルチモード(共用ファイアウォール)で動作しており、お客様には1セキュリティコンテキスト(仮想ファイアウォール)をまるごと提供いたします。
セキュリティコンテキストは独立しており、それぞれが1つのファイアウォールとして動作します。本書では以降セキュリティコンテキストのことをファイアウォールとして説明させていただきます。

運用と保守
ファイアウォールの管理者権限をお渡しいたしますので、TCP、UDP、その他のプロトコルやさまざまなアプリケーションプロトコルのアクセス制限をお客様の環境に合わせて、自由に設定いただけます。
投入するアクセス制限数の上限や設定変更回数の上限もありませんので、追加費用なしで必要な設定を投入できます。
また、IPv6 にも対応しており、設定を行っていただければすぐにご利用いただけます。

提供仕様と出荷時の設定

サービス提供について

このドキュメントが対象とするサービスは以下の通りです。

サービス名称

さくらの専用サーバ PHY アプライアンス オプション
ファイアウォール

モデル名称

Cisco Firepower 4140

提供開始

2020/07

提供終了

--

基本設定

ファイアウォールモード

ルーテッドモード

グローバル側インターフェース

1個(名称:outside)

インターナル側インターフェース

1個(名称:inside_a)

管理ツール

・ssh(CLI)
・https(GUI)

管理者ユーザー名

コントロールパネル(ファイアウォール)に表示

管理者パスワード

コントロールパネル(ファイアウォール)でご自身で設定したもの

Note

ファイアウォールには「グローバル側インターフェース(outside)」と「インターナル側インターフェース(inside)」がそれぞれ1個ずつ用意されています。

アクセス制限

出荷時は、outsideインターフェースからinsideインターフェースへの通信を下記のように設定しています。

項目

アクセス制限

PING(icmp)

許可

その他 ブロック

ブロック

  • insideインターフェースからoutsideインターフェースへの通信はすべて許可されます。

  • 出荷時はIPv6アドレスは設定されていません。IPv6アドレスの通信はすべてブロックされます。

同時接続数

出荷時は、同時接続数を下記のように設定しています。

項目

アクセス制限

SSH(22/tcp)

100

リモートデスクトップ(3389/tcp)

HTTP(80/tcp)

2000

HTTPS(443/tcp)

操作マニュアル

設定変更の際の注意事項

出荷時には、ユーザーの環境に依存する内容以外は、基本的に適切な状態でお渡ししています。
以下の2つの設定は 絶対に変更しないでください。 接続できなくなったり、ファイアウォールがうまく機能しなくなってしまう恐れがあります。
  • デフォルトルートの設定

  • ファイアウォール管理IPアドレスの設定

機能を理解しないまま設定することもできるだけ避けるようにしましょう。わからない点はベンダーが提供しているのコンフィグレーションマニュアルを確認してください。

管理ツールについて

管理ツールはコマンドラインインターフェース(CLI)とグラフィカルインターフェース(GUI)があります。

--

管理ツール(GUI)

管理ツール(CLI)

出荷時の状態

接続制限あり

接続制限あり

ログイン方法

ブラウザー *1
(コントロールパネルから遷移)

SSH接続

管理ツール(CLI)

基本操作

ログイン

管理ツールにはSSH経由でログインします。事前にターミナルを用意してください。

ユーザー

(コントロールパネルをご確認ください)

パスワード

(コントロールパネルから設定した管理ツール用パスワード)

接続先IPアドレス

専用グローバルネットワーク ゲートウェイIPアドレス

  • SSHセッションは1セキュリティコンテキストあたり最大2セッションまで接続できます。

  • SSHセッションはファイアウォール全体で同時接続の制限がございます。他ユーザーのセッション状況により、SSH経由でログインできない場合があります。

ヘルプ機能

ターミナルから「?」を押すことでヘルプが表示されます。

> ?

  clear       Reset functions
  enable      Turn on privileged commands
  exit        Exit from the EXEC
  help        Interactive help for commands
  login       Log in as a particular user
  logout      Exit from the EXEC
  no          Negate a command or set its defaults
  ping        Send echo messages
  quit        Exit from the EXEC
  show        Show running system information
  traceroute  Trace route to destination

コマンドに続けて「?」を押すと、そのコマンドに関するヘルプが表示されます。

> show ?

  checksum        Display configuration information cryptochecksum
  community-list  List community-list
  curpriv         Display current privilege level
  history         Display the session command history
  policy-list     List IP Policy list
  prefix-list     List IP prefix lists
  version         Display system software version
タブ補完

コマンド入力中に「TAB」キーを入力するとタブ補完機能を利用することができます。

> show v [TAB]を押す
↓ 補完されます
> show version
ログアウト
一般権限でexitを入力するとログアウトします。
特権モードやコンフィグモードでexitした場合は、一つ前のモードに戻ります。
(config)# exit         ← configモードでexitすると一つ前の特権モードへ
#

バージョンを確認する

# show version

Cisco Adaptive Security Appliance Software Version 9.13(1)2 <context>
SSP Operating System Version 2.7(1.122)
Device Manager Version 7.13(1)

操作モードの切り替え

CLIでは、操作する内容に応じて権限の昇格や操作モードの切り替えが必要です。 モード・権限状態によってプロンプトが変わります。

一般権限モード

>

管理者権限モード

#

コンフィグモード

(config)#

特権モードへの昇格

CLIでは、一般権限で動作するものと、特別な権限(管理者権限)で動作するものがあります。 特別なコマンドを利用する場合は、権限昇格を行う必要があります。

> enable
Password: (管理ツールパスワード)

# (特権モード)

Note

「>」で始まるプロンプトはユーザーモード、「#」で始まるプロンプトは特権モードを示します。

コンフィグレーションモードへの切り替え

設定変更を行うときは、「特権モード」に昇格した後「コンフィグレーションモード」へ移らなければなりません。 コンフィグレーションモードではプロンプトに「(config)」が表示されるようになります。

# configure terminal
(config)#(コンフィグモード)

コンフィグの基本操作

現在のコンフィグを確認する

現在の設定は running-configコマンドで確認します。

# show running-config
: Saved

:
: Hardware:   FPR4K-SM-36
:
(以下略)

:end

続けて単語を入力することで、内容を絞り込みすることができます。

# show running-config logging
logging enable
logging timestamp
logging buffered notifications
(以下略)
コンフィグを削除する

設定したコンフィグの先頭に「no」を追加して再投入すると削除できます。

(config)# no logging timestamp
コンフィグを保存する

操作した内容を保存するには「write memory」を実行します。

# write memory
Building configuration...
Cryptochecksum: e26cbc51 1b0793cd fcdf8b27 c0f5f927
5208 bytes copied in 0.110 secs
[OK]
パスワードを変更する

「admin」ユーザーのパスワード変更は下記のように行います。

(config)# username admin password <password-phrase>

特権モード昇格(enableコマンド)のパスワード変更は下記のように行います。

(config)# enable password <password-phrase>

管理ツールのアクセス制限設定

必要があれば、管理ツールのアクセス制限を行ってください。

管理ツール(CLI)のアクセス制限

このコマンドでoutside インターフェースにアクセス制限を設定します。

コマンド書式
 (config)# ssh [IP アドレス] [サブネットマスク] outside
入力例
 (config)# ssh 203.0.113.0 255.255.255.0 outside  ← アクセスを許可したいアドレスを設定します
 (config)# running-config ssh                     ← 設定確認
 ssh stricthostkeycheck
 203.0.113.0 255.255.255.0 outside
 ...
 ...

Note

設定を誤ってアクセスできなくなった場合は、管理ツール(GUI)にログインして設定変更を行ってください。

管理ツール(GUI)のアクセス制限

GUIツールのアクセス制限を削除する場合は例のように行います。

入力例
 (config)# http [IP アドレス] [サブネットマスク] outside
入力例
 (config)# http 203.0.113.0 255.255.255.0 outside ← アクセスを許可したいアドレスを設定します
 (config)# no http 0.0.0.0 0.0.0.0 outside        ← 全アクセスを許可している設定があれば削除する
 (config)# running-config http                    ← 設定確認
 http server enable
 http server session-timeout 5
 http 203.0.113.0 255.255.255.0 outside
 ...
 ...

アクセスリストを確認する

「access-list」でアクセスリスト(制限)が確認できます。 アクセスリストは「line」の小さい順番に適用されます。

# show access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list fw-rule; 13 elements; name hash: 0x69ee2d6a
access-list fw-rule line 1 extended permit icmp any4 any4 (hitcnt=2545) 0xc9cbeacf
access-list fw-rule line 2 extended permit tcp any4 any4 eq ssh (hitcnt=2104) 0x63788caa
access-list fw-rule line 3 extended permit tcp any4 any4 eq 3389 (hitcnt=120) 0xe5c2ef55
access-list fw-rule line 4 extended permit tcp any4 any4 eq 5900 (hitcnt=15) 0xfcc1d9bf
access-list fw-rule line 5 extended permit tcp any4 any4 eq 10000 (hitcnt=66) 0x50e776db
access-list fw-rule line 6 extended permit udp any4 any4 eq snmp (hitcnt=43) 0xadee6a07
access-list fw-rule line 7 extended permit tcp any4 any4 eq www (hitcnt=216) 0x3636f2ba
access-list fw-rule line 8 extended permit tcp any4 any4 eq https (hitcnt=77) 0x5e09814e
access-list fw-rule line 9 extended permit tcp any4 any4 eq smtp (hitcnt=67) 0x52b4536f
access-list fw-rule line 10 extended permit tcp any4 any4 eq 587 (hitcnt=21) 0x3ca23d3f
access-list fw-rule line 11 extended permit tcp any4 any4 eq pop3 (hitcnt=3) 0x050a61f5
access-list fw-rule line 12 extended permit tcp any4 any4 eq 995 (hitcnt=16) 0x6ee3fe29
access-list fw-rule line 13 extended deny 112 any any log disable (hitcnt=0) 0x3479d92a
access-list fw-rule line 14 extended permit icmp6 any6 any6 (hitcnt=0) 0x69e4b8e2
access-list fw-rule line 15 extended permit tcp any6 any6 eq www (hitcnt=0) 0x3d057a17

アクセスリストが適用されなかったトラフィックには標準のアクセス制限が適用されます。 標準のアクセス制限は以下のとおりです。

トラフィックの方向

標準のアクセス制限

outside インターフェース ⇒ inside インターフェース

ブロック

inside インターフェース ⇒ outside インターフェース 許可

許可

アクセスリストの設定

IPv4を設定する

ファイアウォールを通るIPv4 トラフィックのアクセス制限設定は以下の順番で行います。

  1. アクセスリストを作成する

  2. アクセスリストをインターフェースのトラフィックに適用する

許可アクセスリストを作成する場合は以下のように設定します。

(config)# access-list [アクセスリスト名] extended permit [プロトコル] [接続元(from)] [接続先(to)] [オプション]

アクセスリストのインターフェースへの適用は以下のように設定します。

(config)# access-group [アクセスリスト名] [適用するトラフィック] interface [適用するインターフェース]

Note

コマンドの詳細な使い方はベンダーマニュアルの「 CLI ブック 2:Cisco ASA シリーズ ファイアウォール 9.12 CLI コンフィギュレーション ガイド 」をご確認ください。

設定例 ここでは 出荷時に設定済みの「fw-rule」に対してルールを追加する方法を説明します。 「fw-rule」はoutside インターフェースのインバウンドトラフィックに適用されており、fw-ruleへ設定を追加するとアクセス制限が反映されます。

接続元 203.0.113.0/24 のグローバル側からのトラフィックをすべて許可
(config)# access-list fw-rule extended permit ip 203.0.113.0 255.255.255.0 any4
IMAP 接続のグローバル側からのトラフィックをすべて許可
 (config)# access-list fw-rule extended permit tcp any4 any4 eq 143
IPv6を設定する

ファイアウォールを通るIPv6トラフィックのアクセス制限設定もIPv4 同様に以下の順番で行います。

  1. アクセスリストを作成する

(許可アクセスリストを作成する場合は以下のように設定します。

書式
 (config)# access-list [アクセスリスト名] permit [プロトコル] [接続元] [接続先] [オプション]

ここでは作成済みのアクセスリストfw-ruleにIPv6のアクセスリストの追加するには以下のようになります。

HTTP接続のグローバル側からのIPv6トラフィックをすべて許可
 (config)# access-list fw-rule permit tcp any6 any6 eq www

Note

コマンドの詳細な使い方はベンダーマニュアルの「 CLI ブック 2:Cisco ASA シリーズ ファイアウォール 9.12 CLI コンフィギュレーション ガイド 」をご確認ください。

アクセス数の制限

ファイアウォールを通過するトラフィックのアクセス数を制限することで、DoS攻撃の対策となります。
最大接続数を小さくしすぎると正規のトラフィックまで制限することになるので、設定には注意が必要です。

提供時に制限を行っているトラフィックがありますので、運用状況を見ながら最大接続数の見直しをおこないましょう。

アクセス数の制限は以下の順番で行います。

  1. クラスマップを作成

  2. ポリシーマップを作成し、クラスマップを登録

  3. クラスマップに接続制限を設定

  4. インターフェースにポリシーマップを適用

(設定例)接続数の制限

tcp/80のトラフィックに接続数制限を設定する設定例です。


1.tcp/80 番ポートのトラフィックに適用されるクラスマップを作成します。
(config)# class-map http_traffic
(config-cmap)# match port tcp eq 80

2.ポリシーマップを作成し、http_traffic クラスマップを適用します。
(config-cmap)# policy-map outside_policy
(config-pmap)# class http_traffic

3.http_traffic クラスマップに接続数制限を設定します。
(config-pmap-c)# set connection conn-max 2000

4.outside インターフェースにoutside_policy ポリシーマップを適用します。
(config-pmap-c)# service-policy outside_policy interface outside
(設定例)アクセス数設定の変更

SMTP(tcp/25)トラフィックの最大同時接続数を500に変更する場合の設定例です。

(config)# policy-map outside_policy
(config-pmap)# class smtp_traffic
(config-pmap-c)# set connection conn-max 500

ログを確認する

# show logging
Syslog logging: enabled
Facility: 20
Timestamp logging: enabled
Standby logging: disabled
...
...

セッション情報を確認する

# show conn all
7 in use, 27 most used
TCP outside 203.0.113.2:45404 NP Identity Ifc 203.0.113.3:22, idle 0:00:00, bytes 141692,
flags UOB
...
...

管理ツール(GUI)

ファイアウォールではコマンドラインインターフェース(CLI)だけでなく、グラフィカルな画面(GUI)をつかって直感的な操作を行うことができるようになっています。

この項目では、GUIでよく行われる操作についてご紹介します。
GUI画面の基本的な機能についてはベンダーのサイトをご覧ください。

管理ツール(GUI)へのログイン

Cisco ASDM-IDM Lancherを起動する

重要

ここからは、Cisco ASDM-IDM Lancherがインストールされていることを前提に説明を行います。
インストールしていない場合は「マニュアル>アプライアンス>ファイアウォール」の操作手順を参考にインストールを行ってください。
「Cisco ASDM-IDM Launcher」を起動します。
ユーザー認証画面が表示されるので、ユーザー情報を入力し、「OK」ボタンをクリックします。
../../_images/fw_gui1.png

ユーザー認証画面

入力する情報はコントロールパネルで確認できるものと、ご自身で設定したものがあります。

Device IP Address / Name

コントロールパネル>アプライアンス>ファイアウォール詳細の
バックボーンIPアドレス を入力

Username

コントロールパネル>アプライアンス>ファイアウォール詳細>管理ユーザーに
記載されているユーザー名 を入力

Password

コントロールパネル>アプライアンス>ファイアウォール詳細>管理ユーザーに
ご自身が設定したパスワード を入力

画面説明

正しく認証が通れば、「Cisco ASDM-IDM Launcher」のホーム画面が開きます。

../../_images/fw_gui2.png

画面サンプル:Home(ダッシュボード)


管理ツール(GUI)は、画面上部のメニューから操作します。
../../_images/fw_gui3.png

画面サンプル:メニューバー(拡大)

Home

ホーム画面へ移動します。
この画面では、リソース、トラフィック、ログなどの情報を一覧で確認できるダッシュボードです。

Configuration

ファイアウォールの設定(コンフィグ)の確認や操作をおこないます。

Monitoring

ログやセッション、収集したデータのグラフ化など、機器のモニタリング情報を見ることができます。

Save

「Configuration」などで、おこなったファイアウォールの設定を保存します。
何か操作・変更した後は必ずこのボタンで保存しましょう。

Refresh

「Cisco ASDM-IDM Launcher」画面を最新情報に更新(リフレッシュ)します。

Back

一つ前の画面へ戻ります。

Foward

一つ先の画面へ進みます。

help

ベンダーの操作マニュアルを開きます。
わからない操作があるときは参照しましょう。

いろいろな操作

IPv4、IPv6 のアクセスリスト(制限)確認
1. メニューの「Configuration」ボタンを押します。
2. 左側のメニューカテゴリーから「Firewall」を押します。
3. 左側のツリーメニューから「Access Rules」を選択します。
4. 右側にアクセスルール一覧が表示されます。
../../_images/fw_accesslist_view1.png

表示サンプル:アクセスリスト

IPv4、IPv6 のアクセスリスト(制限)設定

ファイアウォールを通るIPv4、IPv6 トラフィックのアクセス制限設定は以下の順番で行います。


1. 上側の「Configuration」ボタンを押します。
2. 左下側の「Firewall」タブを押します。
3. 左側のツリーメニューから「Access Rules」を選択します。
../../_images/fw_accesslist_view1.png

表示サンプル:アクセスリスト設定(1)


4. 表示されたアクセスリストの上側にある「Add」メニューをクリックして、「Add Access Rule」を選択します。
../../_images/fw_accesslist_config1.png

表示サンプル:アクセスリスト設定(2)


5. 「Add Access Rule」画面で必要事項を入力し、「OK」ボタンを押します。
6. 最後にアクセスルール一覧の下側にある「Apply」ボタンを押して設定を反映させます。
../../_images/fw_accesslist_config2.png

表示サンプル:アクセスリスト設定(3)

アクセス数の制限設定

ファイアウォールを通るトラフィックのアクセス数を制限します。


1. 上側の「Configuration」ボタンを押します。
2. 左下側の「Firewall」タブを押します。
3. 左側のツリーメニューから「Service Policy Rules」を選択します。
../../_images/fw_accesslist_config3.png

表示サンプル:アクセス数の制限設定(1)


4. サービスポリシールール一覧の上側にある「Add」ボタンを押します。
「Add Service Policy Rule Wizard」が表示されます。
../../_images/fw_accesslist_config4.png

表示サンプル:アクセス数の制限設定(2)


5. ウィザード「Service Policy」ステップで必要項目を選択し、「Next」ボタンを押します。

Interface

ポリシーを投入するインターフェース名を選択
../../_images/fw_accesslist_config5.png

表示サンプル:アクセス数の制限設定(3)


6. ウィザード「Traffic Classification Criteria」ステップで必要事項を入力し、「Next」ボタンを押します。

Create a new traffic class

クラス名を入力(任意の文字列)

Traffic Match Criteria

TCP、UDP トラフィックの場合は「TCP or UDP Destination Port」を選択
../../_images/fw_accesslist_config6.png

表示サンプル:アクセス数の制限設定(3)


7. ウィザード「Traffic Match – Destination Port」ステップで必要事項を入力し、「Next」ボタンを押します。

Protocol

「TCP」か「UDP」を選択

service

「ポート番号」を直接入力するか「…」からサービスを選択
../../_images/fw_accesslist_config7.png

表示サンプル:アクセス数の制限設定(4)


8. ウィザード「Rule Actions」ステップで「Connection Settings」タブを選択し必要事項を入力します。
入力した後に「Finish」ボタンを押します。
../../_images/fw_accesslist_config8.png

表示サンプル:アクセス数の制限設定(5)


9. 最後にサービスポリシー一覧の下側にある「Apply」ボタンを押して設定を反映させます。