- ゾーンベース ポリシー ファイアウォール
- ゾーンベース ポリシー ファイアウォール IPv6 サポート
- VRF-Aware Cisco IOS XE ファイアウォール
- ゾーンベース ポリシー ファイアウォールのネストされたクラス マップ サポート
- ファイアウォール ステートフル シャーシ間冗長性の設定
- IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポート
- ゾーンベース ファイアウォールおよび NAT のシャーシ間非対称ルーティング サポート
- IPv6 ゾーンベース ファイアウォールのシャーシ間ハイ アベイラビリティ サポート
- ICMP のファイアウォール ステートフル インスペクション
- Skinny Client Control Protocol のファイアウォール サポート
- VRF-Aware Software インフラストラクチャの設定
- VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポート
- 分散型サービス拒否攻撃に対する保護
- ファイアウォール リソース管理の設定
- 分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポート
- ファイアウォール TCP SYN Cookie の設定
- GPRS トンネリング プロトコル サポートの設定
- GPRS トンネリング プロトコル サポート
- ファイアウォールの GGSN プーリング サポート
- Cisco Firewall-SIP の機能拡張 ALG
- ファイアウォールおよび NAT 対応の MSRPC ALG サポート
- ファイアウォールおよび NAT 対応の Sun RPC ALG サポート
- ファイアウォールおよび NAT 対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP
- IPv6 ファイアウォールの FTP66 ALG サポート
- NAT およびファイアウォールの SIP ALG の強化
- TCP リセット セグメント制御
- ファイアウォール高速ロギング
セキュリティ コンフィギュレーション ガイド:ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S(ASR 1000)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月28日
章のタイトル: ICMP のファイアウォール ステートフル インスペクション
目次
- ICMP のファイアウォール ステートフル インスペクション
- ICMP のファイアウォール ステートフル インスペクションの前提条件
- ICMP のファイアウォール ステートフル インスペクションの制約事項
- ICMP のファイアウォール ステートフル インスペクションについて
- ICMP のファイアウォール ステートフル インスペクションの概要
- ICMP インスペクションの確認
- ICMP のファイアウォール ステートフル インスペクションの設定方法
- ICMP のファイアウォール ステートフル インスペクションの設定
- ICMP のファイアウォール ステートフル インスペクションの確認
- ICMP のファイアウォール ステートフル インスペクションの設定例
- 例:ICMP のファイアウォール ステートフル インスペクションの設定
- ICMP のファイアウォール ステートフル インスペクションの追加情報
- ICMP のファイアウォール ステートフル インスペクションの機能情報
ICMP のファイアウォール ステートフル インスペクション機能は、インターネット制御メッセージ プロトコル バージョン 4(ICMPv4)メッセージを悪意があるメッセージまたは良性メッセージとして分類します。 ファイアウォールは、ステートフル インスペクションを使用して、プライベート ネットワーク内で生成された良性 ICMPv4 メッセージを信頼し、関連する ICMP 応答のエントリがネットワークに入るのを許可します。 ICMP のファイアウォール ステートフル インスペクション機能を使用すると、ネットワーク管理者は ICMP を使用してネットワークの問題をデバッグすることができ、侵入者はネットワークに入れなくなります。
このモジュールでは、ICMPv4 メッセージのファイアウォール ステートフル インスペクションの概要、および ICMPv4 メッセージを検査するようにファイアウォールを設定する方法について説明します。
- ICMP のファイアウォール ステートフル インスペクションの前提条件
- ICMP のファイアウォール ステートフル インスペクションの制約事項
- ICMP のファイアウォール ステートフル インスペクションについて
- ICMP のファイアウォール ステートフル インスペクションの設定方法
- ICMP のファイアウォール ステートフル インスペクションの設定例
- ICMP のファイアウォール ステートフル インスペクションの追加情報
- ICMP のファイアウォール ステートフル インスペクションの機能情報
ICMP のファイアウォール ステートフル インスペクションの前提条件
ICMP のファイアウォール ステートフル インスペクションの制約事項
この機能は、ICMP パケットの代わりに UDP データグラムが送信される UDP traceroute ユーティリティでは機能しません。 UDP traceroute は、UNIX システムのデフォルトです。 ファイアウォールで検査される ICMP traceroute パケットを生成する UNIX ホストでは、traceroute コマンドで「-I」オプションを使用します。
ICMP のファイアウォール ステートフル インスペクションについて
ICMP のファイアウォール ステートフル インスペクションの概要
インターネット制御メッセージ プロトコル(ICMP)は、ネットワークに関する情報を提供し、ネットワークでのエラーを報告するネットワーク プロトコルです。 ネットワーク管理者は、ICMP を使用して、ネットワーク接続の問題をデバッグします。 プライベート ネットワークのトポロジの検出に ICMP を使用する潜在的な侵入者から保護するために、ICMPv4 メッセージをブロックしてプライベート ネットワークに入れないようにすることができます。ただし、ネットワーク管理者はネットワークをデバッグできなくなる可能性があります。
アクセス コントロール リスト(ACL)を使用して ICMPv4 メッセージを完全に許可するか拒否するように Cisco ルータを設定できます。 ICMPv4 メッセージに ACL を使用すると、メッセージ インスペクションは、設定済みの許可または拒否のアクションよりも優先されます。
次の ICMPv4 パケット タイプがサポートされます。
| パケット タイプ |
名前 |
説明 |
|---|---|---|
| 0 |
Echo Reply |
エコー要求への応答(タイプ 8)。 |
| 3 |
Unreachable |
任意の要求への考えられる応答。 |
| 8 |
Echo Request |
ping または traceroute 要求。 |
| 11 |
Time Exceeded |
パケットの存続可能時間(TTL)のサイズがゼロである場合の応答。 |
| 13 |
Timestamp Request |
要求。 |
| 14 |
Timestamp Reply |
タイムスタンプ要求への応答(タイプ 13)。 |
ICMPv4 パケット タイプ 0 と 8 を使用して、宛先への ping を実行します。送信元は、エコー要求パケットを送信し、宛先はエコー応答パケットで応答します。 パケット タイプ 0、8、および 11 を ICMPv4 traceroute に使用し(つまり、送信されたエコー要求パケットは TTL サイズが 1 で始まります)、TTL のサイズはホップごとに増加します。 中間ホップでは時間超過パケットのエコー要求パケットに応答し、最終宛先がエコー応答パケットで応答します。
ICMPv4 エラー パケットが組み込みパケットの場合、組み込みパケットは、パケットに設定されたプロトコルとポリシーに基づいて処理されます。 たとえば、組み込みパケットが TCP パケットで、パケットに drop アクションが設定されている場合、ICMPv4 に pass アクションが設定されている場合でも、パケットはドロップされます。
- ICMPv4 パケットは送信元インターフェイスに到着します。 ファイアウォールは、パケット インスペクションを変更せずに、パケットの送信元および宛先アドレスを使用します。 ファイアウォールは、セッション キーの作成および参照用に IP アドレス(送信元と宛先)、ICMP タイプ、およびプロトコルを使用します。
- パケットは、ファイアウォール インスペクションに合格します。
- リターン トラフィックは宛先インターフェイスで生じ、ICMPv4 メッセージ タイプに基づいて、ファイアウォールはセッション ルックアップ キーを作成します。
-
- ファイアウォール セッション ルックアップが成功した場合、パケットは、ファイアウォール インスペクションに合格します。
ICMP インスペクションの確認
ICMP 戻りパケットは、アクセス コントロール リスト(ACL)ではなく、検査コードによって検査されます。 検査コードは、各発信パケットからの宛先アドレスを追跡し、各戻りパケットをチェックします。 エコー応答パケットおよびタイムスタンプ応答パケットでは、リターン アドレスが検査されます。 到達不能パケットおよび時間超過パケットの場合、意図した宛先アドレスが、パケット データから抽出され、検査されます。
ICMP のファイアウォール ステートフル インスペクションの設定方法
ICMP のファイアウォール ステートフル インスペクションの設定
1. enable
2. configure terminal
3. access-list access-list-number {deny | permit} icmp source source-wildcard destination destination-wildcard
4. class-map type inspect class-map-name
5. match protocol protocol-name
6. exit
7. policy-map type inspect policy-map-name
8. class class-map-name
9. inspect
10. exit
11. exit
12. zone security zone-name
13. exit
14. zone-pair security zone-pair-name source source-zone destination destination-zone
15. service-policy type inspect policy-map-name
16. end
手順の詳細
ICMP のファイアウォール ステートフル インスペクションの確認
次の show コマンドを任意の順序で使用できます。
1. enable
2. show ip access-lists
3. show policy-map type inspect policy-map-name
4. show policy-map type inspect zone-pair zone-pair-name
5. show zone security zone-name
6. show zone-pair security [source source-zone destination destination-zone]
手順の詳細
例:
show ip access-lists コマンドからの次のサンプル出力は、ping パケットだけがホストから発行された ICMP セッションに対して ACL がどのように作成されたかを示します。
Device# show ip access-lists
Extended IP access list 102
permit icmp any host 192.168.133.3 time-exceeded
permit icmp any host 192.168.133.3 unreachable
permit icmp any host 192.168.133.3 timestamp-reply
permit icmp any host 192.168.133.3 echo-reply (4 matches)
次に、show policy-map type inspect p1 コマンドの出力例を示します。
Device# show policy-map type inspect p1 Policy Map type inspect p1 Class c1 Inspect
次に、show policy-map type inspect zone-pair inout コマンドの出力例を示します。
Device# show policy-map type inspect zone-pair inout
Zone-pair: inout
Service-policy : p1
Class-map: c1 (match-all)
Match: protocol icmp
Inspect
Session creations since subsystem startup or last reset 0
Current session counts (estab/half-open/terminating) [0:0:0]
Maxever session counts (estab/half-open/terminating) [0:0:0]
Last session created never
Last statistic reset never
Last session creation rate 0
half-open session total 0
Class-map: class-default (match-any)
Match: any
Drop
0 packets, 0 bytes
次に、show zone security コマンドの出力例を示します。
Device# show zone security zone self Description: System defined zone
次に、show zone-pair security コマンドの出力例を示します。
Device# show zone-pair security source z1 destination z2 zone-pair name inout Source-Zone z1 Destination-Zone z2 service-policy p1
ICMP のファイアウォール ステートフル インスペクションの設定例
例:ICMP のファイアウォール ステートフル インスペクションの設定
Device# configure terminal
Device(config)# access-list 102 permit icmp 192.168.0.1 255.255.255.0 192.168.2.22 255.255.255.0
Device(config)# class-map type inspect c1
Device(config-cmap)# match protocol icmp
Device(config-cmap)# exit
Device(config)# policy-map type inspect p1
Device(config-pmap)# class c1
Device(config-pmap-c)# inspect
Device(config-pmap-c)# exit
Device(config-pmap)# exit
Device(config)# zone security z1
Device(config-sec-zone)# exit
Device(config)# zone security z2
Device(config-sec-zone)# exit
Device(config)# zone-pair security inout source z1 destination z2
Device(config-sec-zone-pair)# service-policy type inspect p1
Device(config-sec-zone-pair)# end
ICMP のファイアウォール ステートフル インスペクションの追加情報
関連資料
| 関連項目 |
マニュアル タイトル |
|---|---|
| Cisco IOS コマンド |
|
| セキュリティ コマンド |
|
標準および RFC
| 標準/RFC |
タイトル |
|---|---|
| RFC 792 |
『Internet Control Message Protocol』 |
| RFC 950 |
『Internet Standard Subnetting Procedure』 |
| RFC 1700 |
『Assigned Numbers』 |
シスコのテクニカル サポート
| 説明 |
リンク |
|---|---|
| シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
ICMP のファイアウォール ステートフル インスペクションの機能情報
次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。 Cisco.com のアカウントは必要ありません。
| 機能名 |
リリース |
機能情報 |
|---|---|---|
| ICMP のファイアウォール ステートフル インスペクション |
Cisco IOS XE Release 2.1 Cisco IOS XE Release 3.2S |
ICMP のファイアウォール ステートフル インスペクション機能は、ICMPv4 メッセージを悪意があるメッセージまたは良性メッセージとして分類します。 ファイアウォールは、ステートフル インスペクションを使用して、プライベート ネットワーク内で生成された良性 ICMP メッセージを信頼し、関連する ICMP 応答のエントリを許可します。 |