PIX Firewallは構文がCisco IOSににとおったコマンドセットを備えています。特定のコマンドにアクセスするにはそのコマンドが対応するモードに入っている必要があります。PIXは以下の4つの管理アクセスモードを備えています。
| モード | プロンプト |
| 非特権モード | pixfirewall> PIX Firewallに初めてアクセスしたときのモードです。 このモードでは利用可能な一部のコマンドしか表示されません。 |
| 特権モード | pixfirewall> このモードでは設定の変更を行うことが可能です。 全ての非特権コマンドは特権モードでも使えます。 |
| コンフィグレーションモード | pixfirewall(config)> このモードではシステムコンフィグレーションを変更できます。 このモードでは全ての特権コマンド、非特権コマンド、 コンフィグレーションコマンドが使えます。 |
| モニタモード | monitor> このモードでは他のモードでは実行できない特殊な作業を実行できます。 その一つはネットワーク経由でイメージをアップデートする作業です。 モニタモードではコマンドを入力してTFTPサーバの場所と ダウンロードするバイナリイメージを指定します。 |
以下はコンフィグレーションの設定・保守・テストで使われるコマンドの説明です。
| enable | パスワードがわかっていればenableコマンドを使って特権モードに入ることができます。 |
| configure terminal | PIXのコンフィグレーションを変更したい場合はこのコマンドを発行します。 |
| enable passwd | 特権モードにアクセスするときに使うパスワードを設定します。 |
| passwd | telnetアクセス用のパスワードを設定できます |
| telnet 192.168.0.0 255.255.255.0 inside | telnetアクセスをinsideの192.168.0.0/24に絞ります |
| hostname hogehoge | ホストネームの設定を行います |
| show configure | フラッシュメモリに保存されている設定情報を表示します |
| write stanby | アクティブフェールオーバのRAMに格納されているconfigをスタンバイ側に書き込みます。 |
●PIXセキュリティレベル
セキュリティレベルは特定のインターフェイスが別のインターフェイスを基準にして内部である(信頼されている)か外部である(信頼されていない)かを示します。あるインターフェイスのセキュリティレベルが他のインターフェイスのセキュリティレベルより高ければ、そのインターフェイスは他のインターフェイスを基準にして内部とみなされセキュリティレベルが他のインターフェイスより低ければ他のインターフェイスを基準にして外部であるとみなされます。
・セキュリティレベル100
これはインターフェイスのセキュリティレベルとして最も高いレベルです。このセキュリティレベルはPIX Firewallの内部インターフェイスで使用されます。これはPIX Firewallのデフォルト設定であり変更することはできません。100はもっとも信頼性の高いインターフェイスセキュリティレベルのため組織のネットワークはこのレベルのインターフェイス背後に置く必要があります。
・セキュリティレベル0
これはもっとも低いセキュリティレベルです。このセキュリティレベルはPIX Firewallの外部インターフェイスで使われます。これはPIX Firewallのデフォルト設定であり変更することはできません。0はもっとも信頼性の低いインターフェイスセキュリティレベルであるためこのレベルのインターフェイス背後にはもっとも信頼性の低いネットワークを配置する必要があります。このインターフェイスは通常、インターネットとの接続に使われます。
・セキュリティレベル1~99
これらのセキュリティレベルはPIX Firewallに接続された周辺のインターフェイスに割り当てることができます。周辺インターフェイスは通常DMZとして機能するネットワークに接続されます。DMZとは信頼されていない環境にいるユーザがアクセスできるデバイスまたはネットワークのことです。DMZは内部の信頼されている環境から切り離された隔離された領域です。
PIX Firewallと周辺デバイスとのインターフェイス接続の例を以下に示します。
・安全性の高いインターフェイスからより安全性の低いインターフェイスへデータが流れる場合
セキュリティの高いインターフェイスからセキュリティの低いインターフェイスへトラフィックが流れるようにするにはアドレス変換が必要です。アドレス変換を行えばアクセスリスト、認証または認可によってアクセスが制限されていない限りセキュリティレベル100のPIX Firewall内部インターフェイスからセキュリティレベル0のPIX Firewall外部インターフェイスへのトラフィックが許可されます。
・安全性の低いインターフェイスから安全性の高いインターフェイスへデータが流れる場合
セキュリティの低いインターフェイスからセキュリティの高いインターフェイスへデータを流すにはスタティックなアドレス変換と目的のトラフィックを許可するアクセスリストという2つの措置が必要です。セキュリティレベル0のPIX Firewall外部インターフェイスからセキュリティレベル100のPIX Firewall内部インターフェイスへのトラフィックはアクセスリストによって個別に許可されていない限り許可されません。
・同じセキュリティレベルを持つ2つのインターフェイスの間をデータが流れる場合
同じセキュリティレベルを持つ2つのインターフェイス間でトラフィックが流れることはありません。同じASAセキュリティレベルを持つ複数のインターフェイスを設定することは可能ですがTACではその設定をサポートしていません。
PIX Firewallの基盤をなすのは6つの基本コンフィグレーションコマンドです。PIXを機能させるにはnameif,interface,ip addressが必要です。nat,global,routeコマンドは必須のコマンドではありませんがほとんどの場合において使われます。トラフィックはPIXを通過するように設定されていない限りPIXを通過できません。natコマンドとglobalコマンドは信頼性の高いネットワークから信頼性の低いネットワークへのアクセスを許可するために使われます。
以下にSample Configを示します。
interface ethernet0 100full interface ethernet1 100full interface ethernet2 100full interface ethernet3 100auto shutdown nameif ethernet0 inside security100 nameif ethernet1 dmz1 security50 nameif ethernet2 outside security0 nameif ethernet3 dmz2 security60 hostname pixfirewall clock timezone JST 9 ip address inside 192.168.0.254 255.255.255.0 ip address dmz1 172.16.5.5 255.255.255.128 ip address outside 10.2.3.5 255.255.255.224 global (outside) 1 interface nat (inside) 1 192.168.0.0 255.255.255.0 0 0 route outside 0.0.0.0 0.0.0.0 10.2.3.10 1 |
またPIXに設定されている詳細情報は以下のコマンドにより閲覧できます。
pixfirewall(config)#show config pixfirewall(config)#show version pixfirewall(config)#show nat/global/static pixfirewall(config)#show xlate pixfirewall(config)#show access-list/access-gtoup pixfirewall(config)#show route |
●PIX FirewallでNAT/PAT
・スタティックアドレス変換
PIXを経由するアウトバウンドセッションが構築されるたびにホストを同じアドレスに変換する場合はスタティックアドレス変換を利用します。セキュリティレベルの高いインターフェイス上のIPアドレスにセキュリティレベルの低いインターフェイス上のデバイスからアクセスできるようにするときもスタティックアドレス変換が行われます。PIXが構築する変換スロットの送信元IPアドレスと変換後アドレスはその送信元アドレスが構築するすべての接続で同じになります。この方式は外部から内部へアクセスするときに使われる方式です。
以下に示す例ではPIX Firewallを経由してセッションが構築されるときに10.0.1.10(ローカルアドレス)から送られたパケットの送信元アドレスが192.168.1.101(グローバルアドレス)に変換されます。staticコマンドはローカルアドレスをグローバルアドレスに恒久的にマッピングします。注意しないといけないのは後ろに続くIPアドレスは変換後、変換元という順序で並んでいるということです。
pixfirewall(config)# static(inside,outside)192.168.1.101 10.0.1.10 |
この状態だけでは低いセキュリティレベルから高いセキュリティレベルへのアクセスはできません。NAT変換の他にアクセスリストで明示的に許可してあげる必要があります。具体的に以下のコマンドが必要です。
pixfirewall(config)# access-list outside permit tcp any host 192.168.1.101 eq www pixfirewall(config)# access-group outside in interface outside |
上記では任意の外部から192.168.1.101に対してHTTPを許可しています。
・Port Address Translation
PATを使用する場合はnatコマンドでローカルホスト(変換対象)を定義する必要があります。次にglobalコマンドで変換後のアドレスを定義する必要があります。この方式は内部から外部へアクセスするときに良く使われる方式です。以下、サンプルです。
pixfirewall(config)# nat(inside) 1 0.0.0.0 0.0.0.0 pixfirewall(config)# global(outside) 1 192.168.1.10 |
上記の0.0.0.0というのは任意という意味です。全ての内部ホストが変換対象となるように定義されています。全てのホストはIP 192.168.1.10に変換されます。また、natとglobalコマンドはnat 0以外、常に組み合わせて使用します。
・nat0
外部から内部のサーバにアクセスさせるサービスはインターネット上に接続する環境でよく利用されます。アクセスの対象となるサーバがグローバルIPアドレスをもっている場合、NAT変換の必要はありません。nat 0コマンドを使用するとアドレス変換が無効になりアドレス変換されていない内部IPアドレスが外部から見えるようになります。
pixfirewall(config)# nat(DMZ) 0 192.168.1.9 255.255.255.255 pixfirewall(config)# access-list outside permit ip any host 192.168.1.9 pixfirewall(config)# access-group in interface outside |
ただ、この方式は私的にはあまり奨励はしません。下記に示すstaticコマンドでアドレスをそのアドレス自身に変換する方式が望ましいです。
pixfirewall(config)# static(inside,outside) 192.168.1.9 192.168.1.9 |
●フェールオーバ
フェールオーバ機能はPIXの障害に対処するための安全措置です。一方のPIXに障害が発生するとただちにもう一方のPIXが役割を引き継ぎます。
アクティブ/スタンバイのPIXは2台の間でコンフィグを同期させます。アクティブ側のみの設定を行うことでそれが自動的にスタンバイ側の方に反映される仕組みになっています。同期を成功させるには2台のPIXのソフトウェア、ハードウェアが完全に一致したものでないといけません。両方のPIXが同じモデルであり同じOSのバージョンを実行し、同じ数のインターフェイスを備えている必要があります。以下、サンプルコンフィグです。
pixfirewall(config)# failover pixfirewall(config)# failover active pixfirewall(config)# failover poll 15 pixfirewall(config)# failover ip address (interface) pixfirewall(config)# failover link (interface) pixfirewall(config)# show failover |
●syslog
警告やリソース不足などのシステムイベントが記録されたsyslogメッセージを生成します。
pixfirewall(config)# logging on pixfirewall(config)# logging timestamp pixfirewall(config)# logging bufferded debugging pixfirewall(config)# logging trap debugging |