セキュリティ コンフィギュレーション ガイド：ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S（ASR 1000）

ファイアウォールはピンホールを開き、NAT は、アプリケーション層データ ストリームの送信元および宛先 IP アドレスを伝送しない TCP または UDP トラフィックに対する変換サービスを実行します。 IP アドレス情報を埋め込む特定のプロトコルまたはアプリケーションには ALG のサポートが必要です。

H.323 は、パケットベース ネットワーク経由のマルチメディア伝送用の一連のネットワーク要素やプロトコルを定義した、ITU-T により公開された推奨技術です。 H.323 は、マルチメディア伝送で使用されるネットワーク要素の数を定義します。

今日のほとんどの H.323 実装がシグナリング用の転送メカニズムとして TCP を利用しますが、H.323 バージョン 2 では基本的な UDP トランスポートがイネーブルになります。

• H.323 端末：この要素は、別の H.323 端末またはゲートウェイとの双方向通信を提供する、ネットワークのエンドポイントです。
• H.323 ゲートウェイ：この要素は、H.323 端末と、H.323 をサポートしない他の端末との間のプロトコル変換を提供します。
• H.323 ゲートキーパー：この要素は、アドレス変換、ネットワーク アクセス コントロール、帯域幅管理とアカウントなどのサービスを H.323 端末およびゲートウェイに提供します。

次のコア プロトコルが、H.323 仕様で規定されています。

• H.225：このプロトコルは、通信を確立するために任意の 2 つの H.323 エンティティ間で使用されるコール シグナリング方式を説明します。
• H.225 登録、アドミッション、およびステータス（RAS）：このプロトコルは、アドレス解決およびアドミッション制御サービスのために H.323 エンドポイントとゲートウェイによって使用されます。
• H.245：このプロトコルは、マルチメディア通信機能の交換のため、および音声、ビデオ、およびデータに論理チャネルを開いたり閉じたりするために使用されます。

一覧したプロトコルに加えて、H.323 仕様では、リアル タイム転送（RTP）プロトコルとオーディオ（G.711、G.729 など）およびビデオ（H.261、H.263、および H.264）コーデックなどのさまざまな IETF プロトコルの使用を説明しています。

NAT では、パケット ペイロード内の埋め込み IP アドレスやポート番号の変換、制御チャネルからの新しい接続/セッション情報の抽出などのレイヤ 7 プロトコル固有サービスを処理するために、さまざまな ALG が必要となります。 H.323 ALG は、これらの H.323 メッセージ固有のサービスを実行します。

レイヤ 7 プロトコルが TCP を転送に使用する場合、TCP ペイロードは、アプリケーション設計、最大セグメント サイズ（MSS）、TCP ウィンドウ サイズなどのさまざまな理由でセグメント化される場合があります。 ファイアウォールおよび NAT がサポートする ALG には、パケット インスペクションで TCP フラグメントを認識する機能がありません。 vTCP は、ALG が TCP セグメントを認識し、TCP ペイロードを解析するために使用する汎用フレームワークです。

vTCP は、NAT や Session Initiation Protocol（SIP）など、埋め込みデータを書き直すために TCP ペイロード全体を必要とするアプリケーションに役立ちます。 ファイアウォールは vTCP を使用して、ALG がパケット間のデータ分割をサポートするのを支援します。

ファイアウォールおよび NAT ALG を設定すると、vTCP 機能がアクティブ化されます。

ALG は、NAT およびファイアウォールのサブコンポーネントです。 NAT とファイアウォールのいずれにも、ダイナミックに ALG を連結させるためのフレームワークがあります。 ファイアウォールがレイヤ 7 インスペクションを実行すると、または NAT がレイヤ 7 フィックスアップを実行すると、ALG によって登録された解析機能が呼び出され、ALG がパケット インスペクションを引き継ぎます。 vTCP は、NAT およびファイアウォールと、これらのアプリケーションを使用する ALG との間に介入します。 言い換えると、パケットはまず vTCP によって処理されてから、ALG に渡されます。 vTCP は、TCP 接続内で両方向の TCP セグメントを再構成します。

ファイアウォールおよび NAT 対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP の機能により、H.323 アプリケーション レベル ゲートウェイ（ALG-H）が拡張され、単一 H.323 メッセージではない TCP セグメントがサポートされます。 H.323 ALG を vTCP と組み合わせると、ファイアウォールおよび NAT は vTCP を介して H.323 ALG と対話します。 vTCP がデータのバッファを開始すると、ハイ アベイラビリティ（HA）機能が影響を受けます。これは、vTCP がバッファされたデータをスタンバイ デバイスに同期できないためです。 vTCP がデータをバッファしているときにスタンバイ デバイスへのスイッチオーバーが発生した場合、バッファされたデータがスタンバイ デバイスに同期されていないと、接続がリセットされる可能性があります。 バッファされたデータが vTCP によって確認された後、データは失われ、接続はリセットされます。 ファイアウォールおよび NAT は、HA のためにデータを同期します。 vTCP は、スタンバイ デバイスへの現在の接続ステータスのみを同期し、エラーの場合、接続はリセットされます。

1.    enable


2.    configure terminal


3.    class-map type inspect match-any class-map-name


4.    match protocol protocol-name


5.    match protocol protocol-name


6.    exit


7.    policy-map type inspect policy-map-name


8.    class type inspect class-map-name


9.    inspect


10.    exit


11.    class class-default


12.    exit


13.    zone security zone-name


14.    exit


15.    zone-pair security zone-pair-name source source-zone destination destination-zone


16.    service-policy type inspect policy-map-name


17.    exit


18.    interface type number


19.    zone member security zone-name


20.    end

Device> enable 

Device# configure terminal 

Device(config)# class-map type inspect match-any h.323-class 

Device(config-cmap)# match protocol h323 

Device(config-cmap)# match protocol h323ras 

Device(config-cmap)# exit 

Device(config)# policy-map type inspect h.323-policy 

Device(config-pmap)# class type inspect h.323-class 

Device(config-pmap-c)# inspect 

Device(config-pmap-c)# exit 

Device(config-pmap)# class class-default 

Device(config)# exit 

Device(config)# zone security inside 

Device(config-sec-zone)# exit 

Device(config)# zone-pair security inside-outside source inside destination outside 

Device(config-sec-zone-pair)# service-policy type inspect h.323-policy 

Device(config-sec-zone-pair)# exit 

Device(config)# interface gigabitethernet 0/0/1 

Device(config-if)# zone member security inside 

Device(config-if)# end