セキュリティ コンフィギュレーション ガイド：ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S（ASR 1000）

トップレベル クラス マップでは、高レベルでトラフィック ストリームを識別できます。 トラフィック ストリームの識別は、match access-group コマンドと match protocol コマンドによって実現されます。 トップレベル クラス マップは、レイヤ 3 およびレイヤ 4 クラス マップとも呼ばれます。

トップレベル ポリシー マップでは、inspect、drop、pass、および urlfilter キーワードを使用して高レベルのアクションを定義できます。 マップをターゲット（ゾーン ペア）に付加できます。

（注）	ゾーン ペアで設定できるのは、検査タイプのポリシーだけです。

CSCto44113 修正に伴い、access-group match コマンドを設定する場合は、レイヤ 4 ポリシー マップのみがファイアウォールによって検査されます。 この修正の前は、access-group match コマンドが設定されている場合、レイヤ 4 およびレイヤ 7 ポリシー マップの両方が検査されていました。

アプリケーション固有クラス マップを使用すると、特定のプロトコルの属性に基づいてトラフィックを識別できます。 これらのクラス マップの一致基準はすべて、ある特定のアプリケーション（HTTP や SMTP など）のみに適用されます。 アプリケーション固有クラス マップは追加のサブタイプ（通常はタイプ inspect にプロトコル名（HTTP や SMTP）を加えたもの）によって識別されます。

アプリケーション固有ポリシー マップは、アプリケーション プロトコルのポリシーを指定するために使用します。 たとえば、Unique Resource Identifier（URI）の長さが 256 バイトを超える HTTP トラフィックをドロップする場合は、HTTP ポリシー マップを設定する必要があります。 アプリケーション固有ポリシー マップはターゲット（ゾーン ペア）に直接付加できません。 これらは、トップレベルのレイヤ 3 またはレイヤ 4 ポリシー マップの「子」ポリシーとして設定する必要があります。

ゾーンとは、同様の機能を果たすインターフェイスのグループです。 ゾーンによって、Cisco ファイアウォールを適用する場所を指定する方法が提供されます。

たとえば、デバイスで、ギガビット イーサネット インターフェイス 0/0/0 とギガビット イーサネット インターフェイス 0/0/1 をローカル LAN に接続できるとします。 これら 2 つのインターフェイスは、内部ネットワークを表している点で同類です。したがって、ファイアウォール設定でゾーンとしてグループ化できます。

デフォルトでは、同じゾーン内のインターフェイス間のトラフィックはポリシーには従わず、自由に通過します。 ファイアウォール ゾーンはセキュリティ機能に使用されます。

（注）	ゾーンは、異なる VPN ルーティングおよび転送（VRF）インスタンスのインターフェイスまでは拡大できません。

ゾーン ベース ポリシー ファイアウォールが TCP キープアライブ トラフィックでイネーブルになっており、ファイアウォールの背後にあるホストが異常切断された場合、TCP キープアライブは、設定された TCP タイムアウトが終了したときにのみ機能します。 ウィンドウ外リセット（RST）パケットを受信すると、ファイアウォールは空の確認応答（ACK）パケットを RST パケットの発信側に送信します。 この ACK には、ファイアウォール セッションからの現在のシーケンス（SEQ）および ACK 番号が含まれています。 この ACK を受信すると、クライアントは ACK パケットの ACK 番号に等しい SEQ 番号が含まれた RST パケットを送信します。 ファイアウォールは、この RST パケットを処理し、ファイアウォール セッションをクリアし、RST パケットを渡します。

セキュリティ ゾーンとは、ポリシーを適用できるインターフェイスのグループです。

インターフェイスをゾーンにグループ化するには、次の 2 つの手順を実行します。

• インターフェイスを付加できるようにゾーンを作成します。
• インターフェイスを特定のゾーンのメンバーとなるように設定します。

デフォルトでは、トラフィックは、同じゾーンのメンバーであるインターフェイス間を通ります。

インターフェイスがセキュリティ ゾーンのメンバーである場合、そのインターフェイスと、別のゾーン内のインターフェイスとの間のすべてのトラフィック（デバイス宛またはデバイス発信のトラフィックを除く）はデフォルトでドロップされます。 ゾーンメンバー インターフェイスと別のインターフェイスとの間の両方向のトラフィックを許可するには、そのゾーンをゾーン ペアの一部にして、そのゾーン ペアにポリシーを適用する必要があります。 ポリシーで、inspect または pass アクションを通してトラフィックが許可されると、トラフィックはインターフェイスを通過します。

ゾーンを設定する際に検討する基本ルールは次のとおりです。

• ゾーン インターフェイスからゾーン外のインターフェイスへのトラフィックまたはゾーン外のインターフェイスからゾーン インターフェイスへのトラフィックは常にドロップされます。ただし、デフォルト ゾーンがイネーブルになっている場合を除きます（デフォルト ゾーンはゾーン外のインターフェイスです）。
• 2 つのゾーン インターフェイス間のトラフィックは、各ゾーンにゾーン ペアの関係があるかどうか、およびそのゾーン ペアにポリシーが設定されているかどうかが検査されます。
• デフォルトでは、同じゾーン内の 2 つのインターフェイス間のすべてのトラフィックは、常に許可されます。
• ゾーン ペアは、ゾーンを送信元ゾーンおよび宛先ゾーンの両方として設定できます。 このゾーン ペアで検査ポリシーを設定して、同じゾーン内の 2 つのインターフェイス間のトラフィックを検査またはドロップできます。
• インターフェイスをゾーンとレガシー検査ポリシーの両方に同時に所属させることはできません。
• インターフェイスがメンバーになれるのは、1 つのセキュリティ ゾーンだけです。
• インターフェイスがセキュリティ ゾーンのメンバーの場合、そのゾーンを含むゾーン ペアで明示的なゾーン間ポリシーを設定しない限り、方向に関係なくそのインターフェイスを通過するすべてのトラフィックがブロックされます。
• トラフィックは、セキュリティ ゾーンのメンバーであるインターフェイスとセキュリティ ゾーンのメンバーではないインターフェイスの間では通過できません。これは、ポリシーは 2 つのゾーンだけで適用できるからです。
• トラフィックがデバイスのすべてのインターフェイスを通過するようにするには、すべてのインターフェイスは 1 つのセキュリティ ゾーンまたは別のゾーンのメンバーでなければなりません。 インターフェイスをセキュリティ ゾーンのメンバーにした後、inspect や pass などのポリシー アクションによってパケットを明示的に許可する必要があるため、このことは特に重要です。 それ以外の場合、パケットはドロップされます。
• デバイスのインターフェイスをセキュリティ ゾーンまたはファイアウォール ポリシーに所属させることができない場合、そのインターフェイスをセキュリティ ゾーンに追加し、そのゾーンとトラフィック フローの対象となる他のゾーンとの間に、「すべて通過」ポリシー（つまり、「ダミー」ポリシー）を設定する必要がある場合があります。
• セキュリティ ゾーン間またはゾーン ペアに対してアクセス コントロール リスト（ACL）を適用することはできません。
• セキュリティ ゾーンとゾーン ペアの間で ACL は適用できません。 トラフィックをドロップするには、ACL 設定をクラス マップに含め、ポリシー マップを使用します。
• ゾーン メンバーのインターフェイス上の ACL を制約的（厳密）にしないでください。
• セキュリティ ゾーン内のすべてのインターフェイスは、同じ VPN ルーティングおよび転送（VRF）インスタンスに属している必要があります。
• メンバ インターフェイスが個別の VRF にあるセキュリティ ゾーン間でポリシーを設定できます。 ただし、設定で許可されていない場合、これらの VRF 間をトラフィックは流れません。
• トラフィックが VRF 間を流れない場合（VRF 間のルートリークが設定されていないため）、VRF 間のポリシーは実行されません。 これは、ポリシー側ではなく、ルーティング側の設定の誤りです。
• 同じセキュリティ ゾーン内のインターフェイス間のトラフィックはポリシーには従わず、自由に通過します。
• ゾーン ペアの送信元ゾーンおよび宛先ゾーンは、タイプ セキュリティのゾーンである必要があります。
• 同じゾーンを送信元ゾーンと宛先ゾーンの両方として定義することはできません。

ポリシーは、トラフィック フローの最初のパケットに適用されます。 最初のパケットが分類および許可されると、トラフィックは、それ以上のパケット再分類なしでピア間を通過します（これは、最初の分類後に双方向トラフィック フローが許可されたことを意味します）。 ゾーン Z1 とゾーン Z2 間のゾーン ペアがあり、ゾーン Z2 とゾーン Z1 間のゾーン ペアはない場合、ゾーン Z2 から開始されたすべてのトラフィックはブロックされます。 ゾーン Z1 からゾーン Z2 へのトラフィックは、ゾーン ペアのポリシーに基づいて許可または拒否されます。

トラフィックがデバイスのすべてのインターフェイスを通過するようにするには、すべてのインターフェイスはセキュリティ ゾーンまたはデフォルト ゾーンのメンバーでなければなりません。

すべてのデバイス インターフェイスがセキュリティ ゾーンのメンバーである必要はありません。

下の図は、次のことを示しています。

• インターフェイス E0 と E1 はセキュリティ ゾーン Z1 のメンバーです。
• インターフェイス E2 は、セキュリティ ゾーン Z2 のメンバーです。
• インターフェイス E3 は、どのセキュリティ ゾーンのメンバーでもありません。

図 1. セキュリティ ゾーンの制約

次の状況が存在します。

• ゾーン ペアとポリシーは、同じゾーンで設定されます。 Z1 と Z2 用のポリシーが設定されていない場合、トラフィックは E0 と E1 間を自由に通過しますが、E0 または E1 と E2 間は通過しません。 このトラフィックを検査するためのゾーン ペアとポリシーを作成できます。
• ポリシーが設定されていない場合、他のインターフェイス間（E0 と E2、E1 と E2、E3 と E1、および E3 と E2）でトラフィックは流れません。
• トラフィックを許可する明示的なポリシーがゾーン Z1 とゾーン Z2 間で設定されている場合だけ、E0 または E1 と E2 間でトラフィックが流れます。
• デフォルト ゾーンがイネーブルで、ゾーン ペアがデフォルト ゾーンと他のゾーンとの間に作成されている場合を除き、E3 と E0、E1、または E2 間をトラフィックが流れることはまったくありません。

ゾーン ペアにより、2 つのセキュリティ ゾーン間で単方向のファイアウォール ポリシーを指定できます。

ゾーン ペアを定義するには、zone-pair security コマンドを使用します。 トラフィックの方向は、送信元ゾーンと宛先ゾーンによって指定します。 ゾーン ペアの送信元ゾーンと宛先ゾーンはセキュリティ ゾーンである必要があります。

デフォルトまたはセルフ ゾーンを送信元ゾーンまたは宛先ゾーンとして選択できます。 セルフ ゾーンは、メンバーとしてインターフェイスを持たないシステム定義のゾーンです。 セルフ ゾーンを含むゾーン ペアは、関連付けられたポリシーとともに、デバイス宛のトラフィックまたはデバイスによって生成されたトラフィックに適用されます。 デバイスを経由するトラフィックには適用されません。

ファイアウォールの最も一般的な用途は、デバイス経由のトラフィックに適用することです。したがって、少なくとも 2 つのゾーンが必要です（つまり、セルフ ゾーンは使用できません）。

ゾーン メンバー インターフェイス間のトラフィックを許可するには、そのゾーンと別のゾーン間のトラフィックを許可（または検査）するポリシーを設定する必要があります。 ターゲットのゾーン ペアにファイアウォール ポリシー マップを付加するには、service-policy type inspect コマンドを使用します。

下の図に、ゾーン Z1 からゾーン Z2 への方向に流れるトラフィック（つまり、入口インターフェイスがゾーン Z1 のメンバーで、出口インターフェイスがゾーン Z2 のメンバーであるトラフィック）にファイアウォール ポリシーを適用する例を示します。

図 2. ゾーン ペア

2 つのゾーンがあり、両方向（Z1 から Z2 への方向と Z2 から Z1 への方向）のトラフィックに対するポリシーが必要な場合は、2 つのゾーン ペア（各方向について 1 つずつ）を設定する必要があります。

ポリシーがゾーン ペア間で設定されていない場合、トラフィックはドロップされます。 ただし、リターン トラフィックのためだけにゾーン ペアとサービス ポリシーを設定する必要はありません。 デフォルトでは、リターン トラフィックは許可されません。 サービス ポリシーがフォワード方向のトラフィックを検査し、リターン トラフィックのゾーン ペアとサービス ポリシーがない場合、リターン トラフィックは検査されます。 サービス ポリシーがフォワード方向のトラフィックを渡し、リターン トラフィックのゾーン ペアとサービス ポリシーがない場合、リターン トラフィックはドロップされます。 いずれの場合も、リターン トラフィックを許可するには、ゾーン ペアとサービス ポリシーを設定する必要があります。 上の図では、Z2 から Z1 へのリターン トラフィックを許可するために送信元 Z2、宛先 Z1 のゾーン ペアを設定することは必須ではありません。 Z1 から Z2 ゾーンへのペアのサービス ポリシーが適用されます。

レガシー ファイアウォールは、デフォルトでルールまたはポリシーによって明示的に定義されていないパケットを許可するのに対し、ゾーンベース ファイアウォールは、ルールまたはポリシーによって明示的に許可されていないパケットをドロップします。

ゾーンベースのファイアウォールは、ゾーン内部とゾーン外部の間を流れるトラフィックにより、ゾーン内部で生成された断続的なインターネット制御メッセージ プロトコル（ICMP）を処理する場合、異なる動作をします。

セルフ ゾーンを送信元とするゾーン ペア、およびゾーン内部とゾーン外部の間を流れるトラフィックについて明示的なポリシーが設定されたコンフィギュレーションでは、断続的な ICMP 応答が生成された場合、ゾーンベース ファイアウォールはセルフ ゾーンを送信元とするゾーン ペアで ICMP の明示的な許可ルールを探します。 セルフ ゾーンを送信元とするゾーン ペアに対する ICMP の明示的な検査ルールは、断続的な ICMP 応答に関連するセッションが存在しないという理由で役に立たない場合があります。

ゾーンベース ポリシー ファイアウォールでは、入力および出力インターフェイスから送信元ゾーンと宛先ゾーンでファイアウォール ポリシーを調べます。 インターフェイスを通過するすべてのトラフィックを検査する必要はありません。ゾーン ペア全体で適用されるポリシー マップを通して、ゾーン ペアの個々のフローを検査するように指定できます。 ポリシー マップには、個々のフローを指定するクラス マップが含まれます。

また、フロー ベースで TCP しきい値やタイムアウトなどの検査パラメータを設定できます。

ゾーンのメンバーであるインターフェイスに適用されるアクセス コントロール リスト（ACL）は、ポリシーがゾーン ペアに適用される前に処理されます。 ゾーン間にポリシーがある場合、インターフェイス ACL がポリシー ファイアウォール トラフィックを阻害しないようにする必要があります。

ピンホール（保護されたネットワークへのアプリケーション コントロール アクセスを可能にする、ファイアウォールに開かれたポート）は、インターフェイス ACL のリターン トラフィック用にパンチされません。

Cisco ファイアウォールは VPN ルーティングおよび転送（VRF）を認識し、 異なる VRF 間での IP アドレスの重複や各 VRF の異なるしきい値とタイムアウトを処理します。 ゾーンのすべてのインターフェイスは、同じ VRF に属している必要があります。

ただし、異なるエンティティに属する VRF は、通常、独自のポリシーを持っているため、異なる VRF のインターフェイスを同じゾーンにグループ化しないでください。

下の図に示しているように、異なる VRF が含まれる 2 つのゾーンのゾーン ペアを設定できます。

1 つのデバイス上に複数の VRF が設定されており、かつ、1 つのインターフェイスによってすべての VRF に共通のサービス（インターネット サービスなど）が提供されている場合は、そのインターフェイスを別のゾーンに配置します。 その後、共通ゾーンと他のゾーンとの間のポリシーを定義できます （VRF あたり 1 つ以上のゾーンを設定できます）。

図 3. ゾーンと VRF

上の図では、共通サービスを提供するインターフェイスは、ゾーン「共通」のメンバーです。VRF A はすべて、単一のゾーン vrf_A にあります。 VRF B には複数のインターフェイスが含まれており、vrf_B_1 と vrf_B_2 の複数のゾーンに分割されています。 ゾーン Z1 には VRF インターフェイスがありません。 これらの各ゾーンと common ゾーンの間にポリシーを指定できます。 また、VRF ルート エクスポートが設定されており、トラフィック パターンが道理にかなっている場合、ゾーン vrf_A、vrf_B_n、および Z1 間でポリシーを指定できます。 ゾーン vrf_A と vrf_B_1 の間にポリシーを設定できますが、トラフィックがこれらのゾーン間を流れることができることを確認します。

VRF ごとにグローバルなしきい値とタイマーを指定する必要はありません。 その代わりに、パラメータ マップによって inspect アクションにパラメータが提供されます。

Cisco ファイアウォールは、インターフェイスがブリッジ モードで、ファイアウォールがブリッジド トラフィックを検査するトランスペアレント ファイアウォールをサポートします。

トランスペアレント ファイアウォールを設定するには、bridge コマンドを使用して指定したブリッジで指定したプロトコルのブリッジングをイネーブルにし、zone-member security コマンドを使用してインターフェイスをゾーンに付加します。 インターフェイス上の bridge コマンドは、そのインターフェイスがブリッジ モードであることを示します。

ブリッジ インターフェイスはゾーン メンバーになることができます。 典型的な例では、レイヤ 2 ドメインを複数のゾーンに分割し、レイヤ 3 インターフェイスと同じようにポリシーを適用します。

クラスとは、内容に基づいてパケットのセットを識別する方法です。 通常は、識別されたトラフィックでポリシーを反映するアクションを適用できるように、クラスを定義します。 クラスは、クラス マップを介して指定されます。

アクションとは、通常、トラフィック クラスに関連付けられる、特定の機能のことです。 たとえば、inspect、drop、pass はアクションです。

セキュリティ ゾーンのファイアウォール ポリシーを作成するには、次の作業を実行する必要があります。

• 一致基準を定義する（クラス マップ）。
• アクションと一致基準の関連付け（ポリシー マップ）。
• ゾーン ペアへのポリシー マップの付加（サービス ポリシー）。

class-map コマンドは、パケットを指定されたクラスに一致させるためのクラス マップを作成します。 ターゲット（入力インターフェイス、出力インターフェイス、またはゾーン ペアなど）に到達したパケットは、service-policy コマンドの設定方法に従って、クラス マップ用に設定された一致基準に基づいてチェックされ、パケットがそのクラスに属しているかどうかが判断されます。

policy-map は、1 つ以上のターゲットに付加できるポリシー マップを作成または変更し、サービス ポリシーを指定します。 policy-map コマンドを使用して、作成、追加または変更するポリシー マップの名前を指定してから、クラス マップで一致基準を定義するクラスにポリシーを設定します。

ファイアウォール ドロップ メッセージをログに記録するには、ポリシー マップの class-default クラスの下で drop-log コマンドをイネーブルにします。 たとえば、次のポリシー マップを検討します。

policy-map type inspect in-out-pol
 class type inspect in-out
  inspect
 class class-default
  drop-log
policy-map type inspect out-in-pol
 class type inspect out-in
  inspect
 class class-default
  drop-log

検査パラメータ マップのドロップされたパケットをログに記録するには、log dropped-packets enable コマンドを使用します。 次に、検査ポリシーによりドロップされたパケットのロギングを設定する例を示します。

parameter-map type inspect global
 log dropped-packets enable

Quality of Service（QoS）クラス マップには多数の一致基準があります。ファイアウォールの一致基準はそれより少なくなっています。 ファイアウォール クラス マップにはタイプの検査があります。この情報により、ファイアウォール クラス マップの下に表示される内容が決まります。

ポリシーとは、トラフィック クラスとアクションの関連付けです。 定義されたトラフィック クラスで実行するアクションを指定します。 アクションは特定の機能で、通常、トラフィック クラスに関連付けられます。 たとえば、inspect と drop はアクションです。

パラメータ マップを使用すると、ポリシー マップで指定したアクションとクラス マップで指定した一致基準の動作を制御するパラメータを指定できます。

パラメータ マップには次の 3 種類があります。

• 検査パラメータ マップ 検査パラメータ マップは任意です。 パラメータ マップを使用しない場合、デフォルトのパラメータが使用されます。 inspect アクションに関連付けられたパラメータは、ネストされたすべてのアクション（ある場合）に適用されます。 トップ レベルと下位レベルの両方でパラメータを指定すると、下位レベルのパラメータがトップ レベルのパラメータよりも優先されます。

• URL フィルタ パラメータ マップ パラメータ マップは、（レイヤ 3 またはレイヤ 4 ポリシー マップと URL フィルタ パラメータ マップの URL フィルタ アクションによる）URL フィルタリングに必要です。

• プロトコル固有パラメータ マップ インスタント メッセンジャ（IM）アプリケーション（レイヤ 7）のポリシー マップにはパラメータ マップが必要です。

ネットワーク アドレス変換（NAT）は、登録されていない IP アドレスを使用してインターネットへ接続するプライベート IP インターネットワークをイネーブルにします。 NAT はデバイス上で動作し、通常は 2 つのネットワークを接続して、内部ネットワークのプライベート（グローバルに一意ではない）アドレスを正規のアドレスに変換してから、パケットを次のネットワークに転送します。 NAT は、ネットワーク全体の 1 つだけのアドレスを外部にアドバタイズするように設定できます。 NAT が設定されたデバイスには、少なくとも内部ネットワークに対して 1 つ、外部ネットワークに対して 1 つのインターフェイスがあります。

標準的な環境では、NAT はスタブ ドメインとバックボーンの間の出口デバイスに設定されます。 パケットがドメインから出て行くとき、NAT はローカルで意味のある送信元アドレスをグローバル固有アドレスに変換します。 パケットがドメインに入ってくるときは、NAT はグローバルで一意の宛先アドレスをローカル アドレスに変換します。 出力点が複数存在する場合、個々の NAT は同一の変換テーブルを持っていなければなりません。 アドレスが足りなくなってアドレスを割り当てられなくなった場合、ソフトウェアはそのパケットをドロップし、インターネット制御メッセージ プロトコル（ICMP）ホスト到達不能パケットを送信します。

NAT については、「内部」という用語は組織により所有され、変換を必要とするネットワークを意味します。 このドメイン内では、ホストは 1 つのアドレス空間に複数のアドレスを持ちます。 NAT が設定されている場合、ホストが外部にあると、そのホストには別のアドレス空間にアドレスがあるように見えます。 内部アドレス空間はローカル アドレス空間として参照され、外部アドレス空間はグローバル アドレス空間として参照されます。

NAT が送信元と宛先の両方の IP アドレスを変換するシナリオについて考えてみます。 パケットは、送信元アドレス 192.168.1.1 および宛先アドレス 10.1.1.1 を使用して NAT の内側からデバイスに送信されます。 NAT は、これらのアドレスを変換し、送信元アドレス 209.165.200.225 および宛先アドレス 209.165.200.224 を使用して外部ネットワークにパケットを送信します。

同様に、応答が外部 NAT から返されると、送信元アドレスは 209.165.200.225 になり、宛先アドレスは 209.165.200.224 になります。 したがって、NAT 内部では、パケットの送信元アドレスは 10.1.1.1、宛先アドレスは 192.168.1.1 となります。

このシナリオでは、ファイアウォール ポリシーで使用されるアプリケーション コントロール エンジン（ACE）を作成する場合は、NAT 前の IP アドレス（別名、内部ローカルおよび外部グローバル アドレス）192.168.1.1 と 209.165.200.224 を使用する必要があります。

ご使用のリリースによっては、Wide Area Application Services（WAAS）ファイアウォール ソフトウェアでは、セキュリティ準拠 WAN とアプリケーション アクセラレーション ソリューションを最適化する統合ファイアウォールを提供します。これには、次の利点があります。

• WAAS ネットワークのトランスペアレントな統合。
• トランスペアレントな WAN 加速化トラフィックの保護。
• フル ステートフル インスペクション機能を通して WAN を最適化。
• Payment Card Industry（PCI）コンプライアンスの簡略化。
• ネットワーク管理機器（NME）-Wide Area Application Engine（WAE）モジュールまたはスタンドアロンの WAAS デバイスの導入のサポート。

WAAS には、初期の 3 方向ハンドシェイク中に WAE デバイスをトランスペアレントに識別するための TCP オプションを使用する自動検出メカニズムがあります。 自動検出後、最適化されたトラフィック フロー（パス）では TCP シーケンス番号が変化し、エンドポイントは最適化されたトラフィック フローと最適化されてないトラフィック フローを区別できます。

（注）	パスは接続と同じ意味で使用されています。

WAAS により、Cisco ファイアウォールは、内部ファイアウォール TCP ステート変数を含む TCP トラフィック フローのステートフルなレイヤ 4 インスペクションを損なうことなく、シーケンス番号を変更できるようにすることで、最適化されたトラフィックを自動的に検出できます。 これらの変数は、WAE デバイスの存在に応じて調整されます。

Cisco ファイアウォールは、トラフィック フローが正常に WAAS 自動検出を完了したことを認識すると、トラフィック フロー用の初期シーケンス番号のシフトを許可し、最適化されたトラフィック フローのレイヤ 4 の状態を維持します。

（注）	クライアント側のステートフルなレイヤ 7 インスペクションは、最適化されてないトラフィックでも実行できます。

Common Classification Engine（CCE）ファイアウォール アプリケーションで Out-of-Order（OoO）パケット処理がサポートされ、侵入防御システム（IPS）で CCE が採用されていることにより、誤った順序で到着したパケットを正しい順序でコピーして再構築できます。 OoO パケット処理は、ドロップされたパケットの再送信の必要性を減らし、ネットワークでのトラフィックの送信に必要な帯域幅を削減します。 OoO サポートを設定するには、parameter-map type ooo global コマンドを使用します。

（注）	IPS セッションは、parameter-map type ooo global コマンドを使用して設定された OoO パラメータを使用します。

OoO 処理は、シンプル メール転送プロトコル（SMTP）ではサポートされていません。これは、SMTP がパケットの変更を必要とするマスキング アクションをサポートしているためです。

OoO パケット処理のサポートは、レイヤ 7 ポリシーを次のプロトコルでディープ パケット インスペクション（DPI）用に設定している場合はデフォルトでイネーブルになります。

• AOL IM プロトコル。
• eDonkey P2P プロトコル。
• FastTrack トラフィック P2P プロトコル。
• Gnutella バージョン 2 トラフィック P2P プロトコル。
• H.323 VoIP プロトコル バージョン 4。
• HTTP：Web ブラウザと Web サーバがファイル（テキスト ファイルやグラフィック ファイルなど）の転送に使用するプロトコル。
• IMAP：共有されるメール サーバに保管された電子メールや掲示板メッセージにアクセスする方法。
• ICQ IM プロトコル。
• Kazaa バージョン 2 P2P プロトコル。
• 一致プロトコル SIP：一致プロトコル SIP。
• MSN Messenger IM プロトコル。
• POP3：クライアント電子メール アプリケーションがメール サーバからメールを取得するために使用するプロトコル。
• SUNRPC：Sun RPC。
• Windows Messenger IM プロトコル。
• Yahoo IM プロトコル。

レイヤ 7 クラス マップおよびポリシー マップ（ポリシー）の設定の詳細については、「レイヤ 7 プロトコル固有ファイアウォール ポリシーの設定」の項を参照してください。

（注）	OoO パケットは、レイヤ 4 インスペクションを使用する IPS およびゾーンベース ポリシー ファイアウォールがイネーブルな場合、ドロップされます。

イントラゾーンがサポートされていることで、ネットワーク内部のユーザとネットワーク外部のユーザの両方をゾーン構成に含めることができます。 イントラゾーンのサポートにより、異なるネットワーク上の同じゾーンに属するユーザ間のトラフィック インスペクションが可能となります。 ご使用のリリースによっては、デフォルトで、ゾーン内のトラフィックが検査なしの通過を許可されていました。 送信元ゾーンと宛先ゾーンが同じであるゾーン ペア定義を設定するには、zone-pair security コマンドを使用します。 これにより、ポリシー マップを付加し、同じゾーン内のトラフィックを検査することができます。

レイヤ 3 およびレイヤ 4 のポリシーは、ターゲット（ゾーン ペア）に付加される「トップ レベル」のポリシーです。 レイヤ 3 およびレイヤ 4 のファイアウォール ポリシーを設定するには、次の作業を実行します。

作成するポリシーによっては、検査、URL フィルタ、プロトコル固有のいずれかのパラメータ マップを設定できます。 URL フィルタ タイプまたはプロトコル固有ポリシーを設定する場合は、パラメータ マップを設定する必要があります。 ただし、検査タイプのポリシーを使用する場合には、パラメータ マップは任意です。

（注）	パラメータ マップへの変更は、ファイアウォールを通してすでに確立している接続には反映されません。 変更は、ファイアウォールに許可された新しい接続だけに適用されます。 ファイアウォールでポリシーが厳格に適用されるようにするには、パラメータ マップの変更後に、ファイアウォールで許可されたすべての接続をクリアしてください。 既存の接続をクリアするには、clear zone-pair inspect sessions コマンドを使用します。

パラメータ マップを設定するには、次のいずれかの作業を実行します。

レイヤ 7 インスペクション モジュールの追加プロビジョニングが必要な場合は、レイヤ 7 ポリシー マップを設定します。 必ずしもこの項で指定されているすべてのレイヤ 7 ポリシー マップを設定する必要はありません。

レイヤ 7 プロトコル固有ファイアウォール ポリシーを設定するには、次のいずれかの作業を実行します。