access groupコマンドと合わせてネットワークアクセス制御を行います。
書式
[no] firewall enable
パラメータ
なし
デフォルト設定
無効
コマンドモード
Global Configuration Mode
説明
- firewall enableコマンドを実行すると,access groupコマンドによって明示的に許可された相手先IPアドレス,プロトコル,ポート以外との通信が禁止されます。つまり,アクセスリストの最後に暗黙のdenyを追加します。firewall enableが無効のとき,access groupコマンドによって明示的に禁止された相手先IPアドレス,プロトコル,ポート以外との通信は許可されます。
- firewall enableコマンドで暗黙のdenyが有効になっていても,GenieATM側からは外部ホストに対してセッションを確立し,応答パケットを受け取ることはできます。(ただし,相手先ホストが明示的にdeny設定されていない場合に限ります)
- 設定を無効にするには,no firewall enableコマンドを発行します。
- 現在の設定を確認するには,show runningコマンドを発行します。
注意事項
- access groupコマンドで設定を追加する際には,先にno firewall enableコマンドでファイアウォールを無効にしてください。(バージョン5.6.3-RP3まではfirewall enableが設定された状態でも[no] access groupコマンドが発行できますが,想定外の結果を招く場合がありますので避けてください)
- firewall enableコマンドを実行していなくても,access groupコマンドをdeny指定で実行した内容は即座に有効になり,アクセスがブロックされるようになります。
- コントローラ,コレクタのSNMP IPアドレスをローカル・ループバック・アドレス(127.0.0.1)以外に設定している場合は,コントローラ―コレクタ間の通信がブロックされないために,それらのIPアドレスも明示的に許可してください。
- ExporterのIPアドレスをブロックしてしまうとフローレコードが取得できなくなります。
- firewall enableコマンドで有効になる暗黙のdenyは,外部ホストからGenieATMに対して新規に確立しようとしたセッションや送信しようとしたパケットに対して適用されます。GenieATM側からセッションを張る場合や,そのようなセッションを使って相手先から受信するパケットはブロックされません。たとえば,BGPセッションは常にGenieATMから張りに行くので,対応ルータをaccess groupコマンドでdenyしていない限り通信できます。また,ローカル・ループバック・アドレス(127.0.0.1)についてもブロックされることはありません。
- access web-groupコマンドの動作には影響しません。
実行例
(config)# firewall enable (config)# show running #### show running configure #### ! (中略) ip route 172.16.0.0 255.255.0.0 192.168.0.1 0 firewall enable access group 172.16.3.58 netmask 255.255.255.255 protocol ip permit access group 172.16.3.0 netmask 255.255.255.0 protocol ip deny access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 443 permit access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 80 deny module id collector 3001 (中略) ! ! (config)#