補足:汎用サービス「すべて」では、カスタム IP タイプ サービス オブジェクトが処理されません。つまり、IP 種別 126 のカスタム IP 種別サービス オブジェクトを定義しただけでは、IP 種別 126 トラフィックは既定の LAN > WAN 許可ルールで許可されません。
このセクションでは、ユーザ定義サービス用の定義済み IP プロトコルの一覧を示します。
|
•
|
ICMP (1) - (インターネット制御メッセージ プロトコル) エラー メッセージと制御メッセージの送信に使用される TCP/IP プロトコル。
|
|
•
|
IGMP (2) - (インターネット グループ管理プロトコル) TCP/IP ネットワークにおけるマルチキャスト グループの管理を制御するプロトコル。
|
|
•
|
TCP (6) - (転送制御プロトコル) TCP/IP の TCP 部分です。TCP は TCP/IP の転送プロトコルです。TCP により、メッセージが正確に、欠けることなく送信されます。
|
|
•
|
UDP (17) - (ユーザ データグラム プロトコル) TCP/IP プロトコル スイートに含まれるプロトコル。信頼性の高い送信が不要な場合に、TCP の代わりに使用されます。
|
|
•
|
GRE (47) - (汎用ルーティング カプセル化) IP トンネル内のさまざまな種類のプロトコル パケットをカプセル化するために使用されるトンネル プロトコル。ファイアウォールへの仮想ポイント ツー ポイント リンクの作成や、IP インターネットワーク経由での機器のルーティングに使用されます。
|
|
•
|
ESP (50) - (カプセル化セキュリティ ペイロード) IPsec による柔軟なデータ転送手段として使用される、別のデータグラム内の IP データグラムをカプセル化する手法。
|
|
•
|
AH (51) - (認証ヘッダー) データ認証に加え、オプションでアンチリレー サービスを提供するセキュリティ プロトコル。AH は保護するデータに埋め込みます (完全な IP データグラム)。
|
|
•
|
EIGRP (88) - (拡張内部ゲートウェイ ルーティング プロトコル) IGRP を拡張したプロトコル。優れた収束特性と動作効率を実現し、リンク状態プロトコルの利点と距離ベクトル プロトコルの利点を同時に備えています。
|
|
•
|
OSPF (89) - (オープン ショーテスト パス ファースト) ノード間の距離およびいくつかの品質パラメータに基づいて、TCP/IP ネットワークにおける IP トラフィックのルーティングに最適なパスを決定する、ルーティング プロトコルです。OSPF は内部ゲートウェイ プロトコル (IGP) の 1 つであり、自律システムの内部で動作するように設計されています。また、OSPF は RIP プロトコルを置き換えるために開発されたリンク状態プロトコルであり、RIP プロトコル (距離ベクトル プロトコル) よりも少ないルータ数でトラフィックを更新できます。
|
|
•
|
PIMSM (103) - (プロトコル非依存マルチキャスト スパース モード) 2 つある PIM 動作モード (デンス モードとスパース モード) の 1 つ。PIM スパース モードでは、ネットワーク内の最小限のルータがデータを受け取るように、データの配信が制限されます。パケットは、RP (ランデブー ポイント) で明示的に要求された場合にのみ送信されます。スパース モードでは、受信側が広く分散しているため、ダウンストリームのネットワークに送信されたデータグラムは必ずしも使用されないと想定されます。スパース モード使用の代償としては、明示的な Join メッセージの定期更新に依存していることと、RP が必要であることです。
|
|
•
|
L2TP (115) - (レイヤ 2 トンネリング プロトコル) PPP セッションをインターネット経由で実行するためのプロトコル。L2TP には暗号化機能はありませんが、リモート ユーザから企業 LAN への仮想プライベート ネットワーク (VPN) 接続を確立するために既定で IPsec が使用されます。
|
任意の定義済みサービス タイプにユーザ定義サービスを追加できます。
作成したユーザ定義サービスは、すべて「ユーザ定義サービス」テーブルに一覧表示されます。ユーザ定義サービス グループを作成してユーザ定義サービスをグループ化することで、より簡単にポリシーを適用することができます。「既定のサービス」テーブルにプロトコルが表示されていない場合、「追加」を選択することで、そのプロトコルを「ユーザ定義サービス」テーブルに追加できます。
|
1
|
「名前」フィールドにサービスの名前を入力します。
|
|
2
|
「プロトコル」ドロップダウン メニューで、IP プロトコルの種類を選択します。
|
|
4
|
|
5
|
「ログを有効にする」チェックボックスを使って、サービスの動作ログを有効または無効にします。
|
定義済み IP タイプのみを使用している場合、セキュリティ装置でその他の IP プロトコル タイプのトラフィックが検出されると、そのトラフィックは識別不能として破棄されます。ただし、IANA (Internet Assigned Numbers Authority:http://www.iana.org/assignments/protocol-numbers) により管理されている膨大な数の登録済み IP 種別のリストがあります。一般的でない (識別不能な) IP 種別トラフィックは厳格に削除する方が安全ではありますが、機能が制限されます。
|
補足:汎用サービス「すべて」では、カスタム IP タイプ サービス オブジェクトが処理されません。つまり、IP 種別 126 のカスタム IP 種別サービス オブジェクトを定義しただけでは、IP 種別 126 トラフィックは既定の LAN > WAN 許可ルールで許可されません。
|
認識と処理を実現するには、以下の図に示すように、そのカスタムIP タイプ サービス オブジェクトのみを含むアクセス ルールを作成する必要があります。
|
1
|
|
2
|
|
3
|
サービスに付けるわかりやすい名前を入力します。
|
|
4
|
|
|
|
6
|
「追加」を選択します。
|
|
7
|
|
8
|
|
9
|
|
10
|
|
13
|
「->」ボタンを選択し、サービスをユーザ定義サービスのリストに移動します。
|
|
14
|
|
15
|
|
16
|
|
17
|
「OK」を選択します。
|
これで、IP プロトコル 46 および 119 のトラフィックが認識され、WLAN サブネットから 10.50.165.26 への転送が許可されるようになります。
「設定」の下にある編集アイコンを選択して、「サービスの編集」ウィンドウでサービスを編集します。このウィンドウには、「サービスの追加」ウィンドウと同じ設定項目があります。
ユーザ定義サービスを個別に削除するには、削除アイコンを選択します。「削除」ボタンを選択すると、すべてのユーザ定義サービスを削除できます。
|
1
|
|
2
|
ユーザ定義グループに付ける名前を「名前」フィールドに入力します。
|
|
3
|
左側の列のリストから、サービスを個別に選択します。Ctrl キーを押しながらサービスを選択することで、複数のサービスを選択することもできます。
|
|
4
|
「->」を選択して、サービスをグループに追加します。
|
|
5
|
グループからサービスを削除するには、右側の列のリストでサービスを個別に選択します。キーボードの Ctrl キーを押しながらサービスを選択することで、複数のサービスを選択することもできます。
|
|
6
|
「<-」を選択すると、サービスが削除されます。
|
|
7
|
「設定」列の編集アイコンを選択し、「サービス グループの編集」ウィンドウでユーザ定義サービス グループを編集します。このウィンドウには、「サービス グループの追加」ウィンドウと同じ設定項目があります。
ユーザ定義サービス グループを展開し、個々のサービスの編集アイコンを選択して、グループの個々のサービスを編集することもできます。「サービスの編集」ウィンドウが表示されます。このウィンドウには、「サービスの追加」ウィンドウと同じ設定項目が表示されます。
ユーザ定義サービス グループ登録を個別に削除するには、削除アイコンを選択します。削除アイコンを選択すると、すべてのユーザ定義サービス グループを削除できます。ユーザ定義サービス グループを展開し、個々のサービスの削除アイコンを選択して、グループの個々のサービスを削除することもできます。
