Cisco ASA & PIXの設定にFirewall Builderを使用する

Firewall Builderは、単一のアプリケーションから幅広いファイアウォールを構成することをサポートするファイアウォール設定および管理GUIです。サポートされているファイアウォールには、Linux iptables、BSD pf、Cisco ASA/PIX、Ciscoルーターアクセスリストなどが含まれます。サポートされているプラットフォームの完全なリストと、ダウンロード可能なバイナリパッケージおよびソースコードは、http://www.fwbuilder.orgで見つけることができます。

このチュートリアルは、Firewall Builderを使用してサポートされている各ファイアウォールプラットフォームを構成する基本的な手順を説明する一連の記事の2番目のものです。このチュートリアルでは、Cisco ASAファイアウォール上でアクセス制御リスト（ACL）を構成します。

以下の図は、Cisco ASA 5505に基づくシンプルな2インターフェースファイアウォール構成を示しており、ファイアウォールはプライベートLANネットワークのインターネットへのゲートウェイとして機能します。

Firewall Builderを使用して、ファイアウォール上のアクセスリストとして以下の基本ルールを実装します。

内部トラフィック（10.0.0.0/24）をファイアウォールを通じて任意のインターネットアドレスに対してHTTPおよびHTTPSプロトコルで許可
メールサーバー（10.0.0.25）からの内部トラフィックをファイアウォールを通じて特定のIPアドレス（198.51.100.25）に対してSMTPプロトコルで許可。この外部サーバーは外部メールリレーとして機能します。
外部IPアドレス（198.51.100.25）から内部メールサーバー（10.0.0.25）へのSMTPの受信を許可。
内部トラフィック（10.0.0.0/24）をファイアウォールの内部インターフェース（Ethernet0/1）に対してSSHプロトコルで許可。

Cisco ASAおよびPIXのアクセスリストには、すべてのアクセスリストの最後に暗黙の拒否がありますので、明示的に許可するルールを設定しない限り、すべてのトラフィックは拒否されます。

また、Firewall Builderを使用してファイアウォール上のNAT設定を実装します。

内部トラフィック（10.0.0.0/24）をファイアウォールを通じて任意のインターネットアドレスに向けてソースNATし、ソースIPを外部インターフェース（Ethernet0/0）のIPアドレスに変更します。
外部IPアドレス（198.51.100.25）からのトラフィック、外部SMTPリレーサーバーが外部インターフェースにTCP宛先ポート25（SMTP）で到着し、それを内部メールサーバー（10.0.0.25）に転送します。

注意

この手順では、ASA OS v8.3を実行しているASA 5505を使用します。特にnatのコマンド構文は、以前のバージョンのASA OSでは異なりますが、Firewall Builderはファイアウォールに設定されたバージョンに基づいて正しい構成コマンドを自動的に生成するため、心配する必要はありません。

ステップ1: ネットワークオブジェクトの作成

ルールで使用されるオブジェクトを作成することから始めます。Firewall Builderには、ほとんどの標準プロトコルを含む数百の定義済みオブジェクトが含まれているため、上記のルールを実装するには、ネットワークに特有のオブジェクトを作成する必要があります。私たちのルールにとって、これは内部の10.0.0.0/24ネットワーク、内部メールサーバー（10.0.0.25）、およびIPアドレス198.51.100.25の外部SMTPリレーサーバーのオブジェクトを作成することを意味します。

新しいIPネットワークオブジェクトの作成

左側のツリーで「Objects」とラベル付けされたフォルダーをダブルクリックして展開します。「Networks」と呼ばれるフォルダーを右クリックし、「New Network」を選択します。これにより、新しいネットワークオブジェクトが作成されます。画面の下部にあるエディターパネルで、このオブジェクトのプロパティを変更できます。

オブジェクト名を機能に合ったものに変更します。この例では、ローカルLAN IPアドレスを表すために「Internal Network」と呼びます。アドレスは10.0.0.0に設定し、ネットマスクは255.255.255.0に設定します。

注意: オブジェクトの属性を編集する際には、適用または送信ボタンはありません。属性を編集したら、そのフィールドから移動するとすぐに変更が即座に適用されます。

新しいIPアドレスオブジェクトの作成

このプロセスを繰り返して、ルール#2で使用されるSMTPリレーサーバーを表すオブジェクトを作成します。オブジェクトツリーに移動し、「Addresses」フォルダーを右クリックして「New Address」を選択します。エディターパネルでオブジェクトの名前を「SMTP Relay」に変更し、IPアドレスを198.51.100.25に設定します。

上記の手順を繰り返して、内部メールサーバー（10.0.0.25）を表す新しいアドレスオブジェクトを作成します。完了すると、オブジェクトツリーのアドレスシステムフォルダーに2つのオブジェクトが表示されるはずです。

ステップ2: ファイアウォールの定義

Cisco ASAを表すファイアウォールオブジェクトを作成するには、Firewall Builderのメインウィンドウで「Create new firewall」アイコンをクリックします。これにより、ファイアウォールオブジェクトを作成するためのウィザードが起動します。

ファイアウォールオブジェクトの名前を入力します。この例では、asa-1を使用します。ファイアウォールで実行されているソフトウェアのドロップダウンメニューを「Cisco ASA (PIX)」に変更します。

ウィザードを続行するには、Next >ボタンをクリックします。

Firewall Builderでファイアウォールを作成する際には、インターフェースを手動で構成するか、ルーターでSNMPが有効になっていて、読み取り専用または読み書きコミュニティ文字列にアクセスできる場合はSNMP発見を使用するかを選択できます。この例では、ルーターインターフェースを手動で構成します。

次のステップに進むには、Next >ボタンをクリックします。

Firewall Builderで作成するファイアウォールは、アクセスリストを展開するCisco ASAまたはPIXファイアウォールと一致する必要があります。これは、作成しているファイアウォールオブジェクトのインターフェース名とIPアドレスが、ASAまたはPIXに設定されているものと正確に一致する必要があることを意味します。

ファイアウォールに新しいインターフェースを追加するには、緑のアイコンをクリックします。「show interface」コマンドを実行したときにASAまたはPIXのコマンドラインに表示されるインターフェースの名前を正確に入力します。この例では、インターフェースはEthernet0/0からEthernet0/7までですが、Ethernet0/0とEthernet0/1のインターフェースのみを使用します。

インターフェース名をEthernet0/0に設定し、ラベルをoutsideに設定します。「Add address」ボタンをクリックし、IPアドレスを192.0.2.1、ネットマスクを255.255.255.240に設定します。

ファイアウォールに別のインターフェースを追加するには、緑のアイコンをクリックします。ウィザードに情報を入力して、2番目のインターフェースを次のように一致させます：

Next >ボタンをクリックします。

Firewall Builderは、インターフェースラベルとIPアドレスに基づいてインターフェースのセキュリティレベルを自動的に設定します。外部インターフェースはセキュリティレベル0に設定され、内部インターフェースはセキュリティレベル100に設定されます。

ファイアウォールオブジェクトを作成するには、Finishボタンをクリックします。

ASAまたはPIXを表すファイアウォールオブジェクトを作成すると、オブジェクトツリーの左側にファイアウォールオブジェクトが表示されます。アクセスリストルールが構成されるポリシーオブジェクトは、メインウィンドウで自動的に開かれます。

Firewall Builderは、ルールを正しく作成するためにネットワークトポロジーを決定するためにネットワークゾーンの概念を使用します。各ファイアウォールインターフェースには、インターフェースに対して受信トラフィックのソースとなるIPネットワークのセットを表す対応するネットワークゾーンが設定される必要があります。

たとえば、内部ネットワークに10.0.0.0/8を使用する場合、「inside」インターフェースは10.0.0.0/8を表すオブジェクトにネットワークゾーンを設定する必要があります。ネットワークゾーンは、ネットワークオブジェクトまたは複数のネットワークオブジェクトを含むグループオブジェクトであることがあります。内部ネットワークが10.0.0.0/8と172.16.0.0/16の両方を使用している場合、これらのIPネットワークのネットワークオブジェクトを含むグループオブジェクトを作成し、そのグループオブジェクトを「inside」インターフェースのネットワークゾーンとして使用します。

「outside」インターフェースのネットワークゾーンは通常、「Any」に設定します。これは、他のインターフェースに関連付けられていないすべてのIPネットワークを指します。ファイアウォールのインターフェースオブジェクトをダブルクリックして、ドロップダウンリストからネットワークゾーンを選択して設定します。

この例では、Ethernet0/0「outside」インターフェースのネットワークゾーンを「Any」に設定し、Ethernet0/1「inside」インターフェースのネットワークゾーンを「net-10.0.0.0」に設定します。

注意: 上記で使用されているネットワークゾーンは、この例に特有のものです。ネットワーク環境で異なるIPアドレスやネットワークを使用している場合は、異なるネットワークゾーンの値を選択する必要があるかもしれません。

ASAファイアウォールの設定が準備できたので、次に進む前に、作成した新しいファイアウォールオブジェクトを含むデータファイルを保存する必要があります。これを行うには、ファイル -> 名前を付けて保存メニュー項目に移動します。ファイルを保存する名前と場所を選択します。