IP : IP アドレッシング サービス

トランジット アクセス コントロール リスト: エッジでのフィルタリング

2003 年 8 月 15 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 10 月 13 日) | フィードバック

目次

概要
トランジット フィルタ
     典型的な設定
     トランジット ACL のセクション
トランジット ACL の作成
     必要なプロトコルの判別
     不正なトラフィックの判別
     ACL の適用
ACL の例
ACL と断片化パケット
リスク評価
付録
     一般的に使用されるプロトコルとアプリケーション
     配備のためのガイドライン
     配備例
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

この文書では、使用しているネットワークの入り口での通過トラフィックとエッジ トラフィックのフィルタリングについて、ガイドラインと推奨する配備方法を説明します。 トランジット access control list(ACL; アクセス コントロール リスト)は、ネットワークに必要なトラフィックだけを明示的に許可することで、ネットワークのセキュリティを高めるために使用されます。

トランジット フィルタ

典型的な設定

インターネットへの接続点を持つ一般的な企業ネットワークなど、多くのエッジ ネットワーク環境では、承認されていないトラフィックをネットワークのエッジで廃棄するために、入力フィルタリングを使用する必要があります。 あるサービス プロバイダでの配備例では、この形式によるエッジ トラフィックまたは通過トラフィックのフィルタリングを使用して、顧客との間の通過トラフィックの流れを特定の許可されたプロトコルに制限することを効率的に行っています。 この文書では、企業への配備モデルに焦点を絞って説明します。

次の図では、一般的な企業におけるインターネットの接続形態を示しています。 2 台のエッジ ルータ、IR1 と IR2 が、インターネットに直接接続しています。 これら 2 台のルータの背後では、1 対のファイアウォール(この例では Cisco PIX)によって、ステートフルなチェックが行われ、内部ネットワークと demilitarized zone(DMZ; 非武装地帯)の両方にアクセスできるようになっています。 DMZ には、DNS や Web などの一般向けのサービスが配置されており、外部のインターネットから直接アクセスできる唯一のネットワークです。 内部ネットワークはインターネットから直接アクセスすることはできませんが、内部ネットワークを発信元とするトラフィックは、インターネット上のサイトへ到達することが可能です。

tacl.gif

エッジ ルータは、着信 ACL を使用して、セキュリティの第一段階を構築できるよう設定されている必要があります。 この ACL では、DMZ 宛ての特別に許可されたトラフィックだけを許可します。また、インターネットへアクセスしている内部ユーザに返されるリターン トラフィックも許可します。 承認されていないトラフィックは、すべて着信インターフェイスで廃棄されます。

トランジット ACL のセクション

通常、トランジット ACL は、次の 4 つのセクションで構成されます。

  • 特定用途のアドレスとアンチスプーフィングのエントリ。不正な発信元またはパケットが、使用しているネットワークに属する発信元アドレスを使用して外部ソースからネットワーク内に入ることを拒否します。

    注:  RFC 1918 では、インターネット上で無効とする発信元アドレスを予約アドレスとして定義しています。 RFC 3330 では、フィルタリングが必要となる可能性のある特定用途アドレスを定義しています。 RFC 2827 leavingcisco.com では、アンチスプーフィングのガイドラインが提供されています。

  • インターネットにアクセスしている内部接続へのリターン トラフィックの明示的な許可

  • 保護されている内部アドレスを宛先とする外部ソースからのトラフィックを明示的に許可

  • 明示的な deny

    注: すべての ACL には暗黙的な deny 文が含まれていますが、シスコでは deny 文を明示的に使用することを推奨しています(たとえば deny ip any any)。 ほとんどのプラットフォームでは、このような文によって、拒否されたパケットの数が記録され、show access-list コマンドで表示することができます。

トランジット ACL の作成

トランジット ACL を作成する最初のステップは、使用しているネットワークで必要なプロトコルを判別することです。 各サイトごとに特別な要件がありますが、プロトコルとアプリケーションの中には広く使用されていて、ほとんどの場合において許可されるものがあります。 たとえば、DMZ セグメントで一般的にアクセス可能な Web サーバへの接続を提供する場合は、ポート 80 でのインターネットから DMZ のサーバ アドレスへの TCP が必要になります。 同様に、内部からインターネットへの接続に対しては、ACL で「確立された(established)」TCP のリターン トラフィックを許可する必要があります。このトラフィックでは、acknowledgment(ACK)ビットが設定されています。

必要なプロトコルの判別

必要なプロトコルのリストの作成は、大変な作業になることがありますが、必要なトラフィックの判別に役立つテクニックがいくつかあり、必要に応じて使用できます。

  • ローカルのセキュリティ ポリシーとサービス ポリシーの検討。

    ローカル サイトのポリシーは、サービスの許可および拒否の基準の決定に役立ちます。

  • ファイアウォール設定の検討および監査。

    現在のファイアウォール設定には、許可するサービスに対する明示的な permit 文が含まれている必要があります。 多くの場合は、この設定を ACL の形式に変換して、ACL エントリの大部分の作成に使用できます。

    注: ステートフルなファイアウォールでは、承認されている接続へのリターン トラフィックに対しては、通常は明示的なルールを定義していません。 ルータ ACL はステートフルではないため、リターン トラフィックは明示的に許可する必要があります。

  • 使用するアプリケーションの検討および監査。

    DMZ 内でホストされるアプリケーションと、内部的に使用されるアプリケーションは、フィルタリング要求の判別に役立ちます。 アプリケーションの要件を詳しく調べることで、フィルタリングの設計に関する重要な詳細事項が分かります。

  • 分類 ACLの使用。

    分類 ACLは、内部ネットワーク宛てに使用される可能性のある各種のプロトコルに対する permit 文で構成されます (一般的に使用されるプロトコルとアプリケーションのリストを確認してください)。 access control entry(ACE; アクセス コントロール エントリ)のヒット数を表示する show access-list コマンドを使用すると、必要なプロトコルを判別できます。 疑わしい、あるいは、予期しない結果が出た場合は、予想外のプロトコルへの明示的な permit 文を作成してください。

  • Netflow スイッチング機能の使用。

    Netflow は、有効にした場合に詳細なフロー情報を提供するスイッチング機能です。 エッジ ルータ上で Netflow が有効になっているときに、show ip cache flow コマンドを使用すると、Netflow によって記録されたプロトコルの一覧が表示されます。 Netflow ですべてのプロトコルを識別することはできません。そのため、この機能は他の機能と組み合わせて使用する必要があります。

不正なトラフィックの判別

トランジット ACL は、直接的な保護の他に、インターネット上のあるタイプの不正トラフィックに対する防御の第一線として機能します。

  • RFC 1918 空間を拒否。

  • RFC 3330 で定義されているような特殊用途のアドレス空間の範疇にある発信元アドレスを持つパケットを拒否。

  • アンチスプーフィング フィルタ(RFC 2827 に準拠)を適用。使用するアドレス空間が、使用している autonomous system(AS; 自律システム)の外部からのパケットの発信元になることは、絶対にありません。

考慮する必要があるその他のタイプのトラフィックには、次のものがあります。

  • エッジ ルータとの通信に必要な外部プロトコルと IP アドレス

    • サービス プロバイダの IP アドレスからの ICMP

    • ルーティング プロトコル

    • IPSec VPN(エッジ ルータが終端として使用されている場合)

  • インターネットにアクセスしている内部接続へのリターン トラフィックの明示的な許可

    • 特定のインターネット制御メッセージ プロトコル(ICMP)のタイプ

    • 発信用ドメイン ネーム システム(DNS)クエリーの応答

    • TCP established

    • ユーザ データグラム プロトコル(UDP)リターン トラフィック

    • FTP データ接続

    • TFTP データ接続

    • マルチメディア接続

  • 保護されている内部アドレスを宛先とする外部ソースからのトラフィックを明示的に許可

    • VPN トラフィック

      • Internet Security Association and Key Management Protocol(SAKMP)

      • ネットワーク アドレス変換(NAT)Traversal

      • 専用のカプセル化方法

      • Encapsulating Security Payload(ESP)

      • 認証ヘッダー(AH)

    • Web サーバに対する HTTP

    • Web サーバに対するセキュア ソケット レイヤ(SSL)

    • FTP サーバに対する FTP

    • 受信用 FTP データ接続

    • 受信用 FTP パッシブ(pasv)データ接続

    • シンプル メール転送プロトコル(SNMP)

    • その他のアプリケーションとサーバ

    • 着信用 DNS クエリー

    • 着信用 DNS ゾーン転送

ACL の適用

この新しく構築された ACL は、エッジ ルータのインターネット向けインターフェイスへの着信に適用する必要があります。 先の図の例では、ACL は IR1 と IR2 のインターネット向けインターフェイスに「in」で適用します。

詳細については、「配備のためのガイドライン」および「配備例」のセクションを参照してください。

ACL の例

次のアクセス リストでは、トランジット ACL で必要な一般的なエントリの実際的な例を示しています。 この基本的な ACL は、サイト特有の設定事項を反映するようにカスタマイズする必要があります。

  
  !--- アンチスプーフィング エントリを追加します。
  
  
  
  !--- 特定用途のアドレス ソースを拒否します。
  !--- 他の特定用途のアドレスについては、RFC 3330 を参照してください。
  
  access-list 110 deny ip 127.0.0.0 0.255.255.255 any
  access-list 110 deny ip 192.0.2.0 0.0.0.255 any
  access-list 110 deny ip 224.0.0.0 31.255.255.255 any
  access-list 110 deny ip host 255.255.255.255 any
  
  !--- 次の deny 文は、ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)
  !--- リレーには設定しないようにしてください。
  
  access-list 110 deny ip host 0.0.0.0 any
  
  !--- RFC 1918 空間をフィルタリングします。
  
  access-list 110 deny ip 10.0.0.0 0.255.255.255 any
  access-list 110 deny ip 172.16.0.0 0.15.255.255 any
  access-list 110 deny ip 192.168.0.0 0.0.255.255 any
  
  !--- エッジ ルータに対してボーダー ゲートウェイ プロトコル(BGP)を許可します。
  
  access-list 110 permit tcp host bgp_peer gt 1023 host router_ip eq bgp 
  access-list 110 permit tcp host bgp_peer eq bgp host router_ip gt 1023
  
  !--- 自身の空間が、発信元になっているトラフィックを拒否します(RFC 2827 に準拠)。
  
  access-list 110 deny ip your Internet-routable subnet any
  
  
  !--- リターン トラフィックを明示的に許可します。
  
  
  
  !--- 特定の ICMP タイプを許可します。
  
  access-list 110 permit icmp any any echo-reply
  access-list 110 permit icmp any any unreachable
  access-list 110 permit icmp any any time-exceeded
  access-list 110 deny   icmp any any
  
  !--- 発信 DNS クエリーは次のとおりです。
  
  access-list 110 permit udp any eq 53  host primary DNS server gt 1023
  
  !--- 古い DNS クエリーを許可し、プライマリ DNS サーバに応答します。
  
  access-list 110 permit udp any eq 53  host primary DNS server eq 53
  
  !--- 正当なビジネス用トラフィックを許可します。
  
  access-list 110 permit tcp any Internet-routable subnet established
  access-list 110 permit udp any range 1 1023 Internet-routable subnet gt 1023
  
  !--- ftp データ接続を許可します。
  
  access-list 110 permit tcp any eq 20 Internet-routable subnet gt 1023
  
  !--- tftp データ接続およびマルチメディア接続を許可します。
  
  access-list 110 permit udp any gt 1023 Internet-routable subnet gt 1023
  
  
  !--- Explicitly permit externally sourced traffic.
  
  
  
  !--- 着信 DNS クエリーは次のとおりです。
  
  access-list 110 permit udp any gt 1023 host <primary DNS server> eq 53
  
  !-- プライマリ DNS サーバへの DNS クエリーのゾーン転送は次のとおりです。 
  
  access-list 110 permit tcp host secondary DNS server gt 1023 host primary DNS server eq 53
  
  !--- 古い DNS ゾーン転送を許可します。
  
  access-list 110 permit tcp host secondary DNS server eq 53  host primary DNS server eq 53
  
  ! --- 他のすべての DNS トラフィックを拒否します。
  
  access-list 110 deny udp any any eq 53
  access-list 110 deny tcp any any eq 53
  
  ! --- IPSec VPN トラフィックを許可します。
  
  access-list 110 permit udp any host IPSec headend device eq 500
  access-list 110 permit udp any host IPSec headend device eq 4500
  access-list 110 permit 50 any host IPSec headend device
  access-list 110 permit 51 any host IPSec headend device
  access-list 110 deny   ip any host IPSec headend device
  
  !--- インターネットを発信元とする一般アクセスが可能な
  !--- サーバへの接続は次のとおりです。
  
  access-list 110 permit tcp any host public web server eq 80
  access-list 110 permit tcp any host public web server eq 443
  access-list 110 permit tcp any host public FTP server eq 21
  
  !--- FTP サーバへのデータ接続は、
  !--- permit established ACE によって許可されています。
  !--- FTP サーバに対する PASV データ接続を許可します。
  
  access-list 110 permit tcp any gt 1023 host public FTP server gt 1023
  access-list 110 permit tcp any host public SMTP server eq 25
  
  
  ! --- 他のすべてのトラフィックを明示的に拒否します。
  
  
  access-list 101 deny ip any any

注: トランジット ACLを適用する際には、次の推奨事項に留意するようにしてください。

  • キーワード log は、あるプロトコルの発信元と宛先に関する詳細を表示するために使用できます。 このキーワードは、ACL のヒットに関する詳細を詳しく表示でき、有用ですが、log キーワードを使用した ACL エントリへのヒットを過剰に行うと、CPU の利用率が上がってしまいます。 ロギングに関連したパフォーマンスへの影響は、プラットフォームによって異なります。

  • 管理上の問題で ACL によって拒否されているパケットに対しては、ICMP unreachable メッセージが生成されます。 これはルータおよびリンクのパフォーマンスに影響を与えることがあります。 トランジット(エッジ)ACLを配備するインターフェイスにおいては、no ip unreachables コマンドを使用して「IP unreachables」を無効にすることを考慮してください。

  • この ACL は、正当なビジネス用のトラフィックが否定されてしまわないように、すべて permit 文として配備することができます。 正当なビジネス用のトラフィックを特定できたら、対象となる要素に対して deny 文を設定してください。

ACL と断片化パケット

ACL には、特別な断片化パケット処理動作を可能にするキーワード fragments があります。 一般的には、ACL の L3 文(プロトコル、発信元アドレス、宛先アドレス)に一致する非先頭フラグメント(ACL 内の L4 情報とは無関係)は、一致するエントリの permit 文または deny 文の影響を受けます。 キーワード fragments を使用すると、ACL に対して非先頭フラグメントの細かな拒否または許可を強制することになることに注意してください。

フラグメントのフィルタリングによって、非先頭フラグメント(FO > 0 など)だけを使用する denial-of-service(DoS; サービス拒否)攻撃に対して、新たな保護階層が加わります。 非先頭フラグメントに対して ACL の先頭で deny 文を使用すると、すべての非先頭フラグメントのルータへの着信を拒否します。 特殊な環境下では、有効なセッションに断片化が必要とされ、そのために ACL に deny fragment 文がある場合にフィルタされることがあります。 断片化が必要となる状況としては、ISAKMP 認証のためのデジタル認証を使用する場合は、IPSec NAT Traversal を使用する場合などがあります。

例として、次に示す部分的な ACL について考えます。

  access-list 110 deny tcp any Internet routable subnet fragments
  access-list 110 deny udp any Internet routable subnet fragments
  access-list 110 deny icmp any Internet routable subnet fragments
  <rest of ACL>

これらのエントリを ACL の先頭に追加すると、ネットワークに対するすべての非先頭フラグメントのアクセスが拒否されますが、断片化されていないパケットまたは先頭フラグメントは、deny fragment 文の影響を受けずに ACL の次の行まで進みます。 上に示した ACL の部分は、ACL 内で UDP、TCP、ICMP などのプロトコルごとに別々にカウンタが増加するため、攻撃の分類に役立ちます。

攻撃の多くは、断片化パケットによってフラッディングを起こすことに依存しているため、内部ネットワークに着信するフラグメントをフィルタリングすることにより、ある程度の保護を追加し、単にトランジット ACL のレイヤ 3 ルールに一致させることだけでフラグメントを送信する攻撃ができないようにすることができます。

この方法の詳細な説明については、「アクセス コントロール リストと IP 断片化」を参照してください。

リスク評価

通過トラフィックを保護する ACL を配備する際には、次に示す主な 2 つのリスクについて考慮する必要があります。

  • 適切な permit 文および deny 文が記述されていること。 ACL を効果的に使用するには、必要なプロトコルすべてを許可する必要があります。

  • ACL のパフォーマンスは、プラットフォームによって変化すること。 ACL を配備する前に、使用しているハードウェアのパフォーマンス特性について調べてください。

シスコでは、他の場合と同様に、実際に配備する前に実験的な環境でテストすることを推奨しています。

付録

一般的に使用されるプロトコルとアプリケーション

TCP のポート名

次に一覧する TCP ポート名は、Cisco IOS(R) ソフトウェアで ACL を設定するときに、ポート番号の代わりに使用できます。 これらのプロトコルについての説明は、現在割り当てられている番号に関する RFC を参照してください。 また、これらのプロトコルに対応するポート番号は、ACL の設定時にポート番号の代わりに ? を入力することで分かります。

bgp

kshell

chargen

login

cmd

lpd

daytime

nntp

discard

pim

domain

pop2

echo

pop3

exec

smtp

finger

sunrpc

ftp

syslog

ftp-data

tacacstalk

gopher

telnet

hostname

time

ident

uucp

irc

whois

klogin

www

UDP のポート名

次に一覧する UDP ポート名は、Cisco IOS(R) ソフトウェアで ACL を設定するときに、ポート番号の代わりに使用できます。 これらのプロトコルについての説明は、現在割り当てられている番号に関する RFC を参照してください。 また、これらのプロトコルに対応するポート番号は、ACL の設定時にポート番号の代わりに ? を入力することで分かります。

biff

ntp

bootpc

pim-auto-rp

bootps

rip

discard

snmp

dnsix

snmptrap

domain

sunrpc

echo

syslog

isakmp

tacacs

mobile-ip

talk

nameserver

tftp

netbios-dgm

time

netbios-ns

who

netbios-ss

xdmcp

配備のためのガイドライン

シスコでは、保守的な配備方法を推奨します。 トランジット ACLを正しく配備するには、必要なプロトコルについて正しく理解していることが必要です。 以降のガイドラインでは、反復的な方法を使用して保護 ACL を配備する非常に保守的な方法について説明します。

  1. 分類 ACLを使用して、ネットワークで使用されているプロトコルを調べます。

    ネットワークで使用される既知のプロトコルすべてを許可する ACL を配備します。 この「ディスカバリ」(または分類)ACL では、発信元アドレスとして any 、また宛先の IP アドレスまたはインターネットにルーティング可能な IP サブネット全体が指定されている必要があります。 最後のエントリで ip any any log を許可すると、許可が必要なその他のプロトコルの判別に役立ちます。

    目的は、ネットワーク上で使用されている必要なすべてのプロトコルを判別することです。 そのルータにおいて「何か」が通信を行っているかどうかを判断するための分析には、ロギングを使用します。

    注: キーワード log は、ACL のヒットに関する詳細を詳しく表示でき、有用ですが、このキーワードを使用してACL エントリへのヒットを過剰に行うと、大量のログ エントリが生成され、CPU の使用率が高くなってしまう場合があります。 log キーワードの使用は短時間にとどめ、トラフィックの分類に必要な場合にのみ使用するようにしてください。

    すべてが permit 文である ACL が配備されている間は、ネットワークがリスクにさらされていることに注意してください。 分類処理をなるべく早く実行し、正しいアクセス制御を配備するようにしてください。

  2. 判別したパケットをよく調べ、内部ネットワークへのアクセスのフィルタリングを開始します。

    ステップ 1 で設定した ACL でフィルタされたパケットの識別と確認ができたら、分類 ACLを更新して、新たに識別したプロトコルと IP アドレスを設定します。 アンチスプーフィングに関する ACL エントリを追加します。 必要に応じて、分類 ACLに permit 文に代えて deny 文のエントリを設定します。 また、show access-list コマンドを使用して、特定の deny エントリを監視すると、ヒット カウントを調べることができます。 この方法では、ACL エントリのロギングを有効にしなくても、禁止されているネットワーク アクセスの試行の詳細を調べることができます。 ACL の最後の行は、deny ip any any とします。 この最後のエントリに対するヒット カウントを調べることにより、禁止されているアクセスの試行に関する情報を得ることができます。

  3. ACL を監視し、更新します。

    完成した ACL を監視して、必要なプロトコルで新しく導入したものが、制御項目に追加されていることを監視します。 ACL を監視することにより、禁止されているネットワーク アクセスの試行に関する情報を得ることもできます。このようなアクセスは、攻撃が差し迫っていることを示す場合があります。

配備例

次の例では、次のアドレスに基づいて、ネットワークを保護するトランジット ACL を示しています。

  • ISP のルータの IP アドレスは 10.1.1.1 です。

    エッジ ルータのインターネット側の IP アドレスは 10.1.1.2 です。

    インターネットにルーティング可能なサブネットは 192.168.201.0 255.255.255.0 です。

    VPN ヘッドエンドは、192.168.201.100 です。

    Web サーバのアドレスは 192.168.201.101 です。

    FTP サーバのアドレスは 192.168.201.102 です。

    SMTP サーバのアドレスは 192.168.201.103 です。

    プライマリ DNS サーバのアドレスは 192.168.201.104 です。

    セカンダリ DNS サーバのアドレスは 172.16.201.50 です。

以下に示すトランジット保護 ACL は、これらの情報を基にして作成されています。 この ACL では、ISP のルータへの eBGP ピアリングを許可し、アンチスプーフィング フィルタを備え、特定のリターン トラフィックと特定の着信トラフィックを許可し、他のすべてのトラフィックを拒否します。

no access-list 110
  
  !--- フェーズ 1 - アンチスプーフィング エントリを追加します。
  
  
  
  !--- 特定用途のアドレス ソースを拒否します。
  !--- 他の特定用途のアドレスについては、RFC 3330 を参照してください。
  
  access-list 110 deny   ip 127.0.0.0 0.255.255.255 any
  access-list 110 deny   ip 192.0.2.0 0.0.0.255 any
  access-list 110 deny   ip 224.0.0.0 31.255.255.255 any
  access-list 110 deny   ip host 255.255.255.255 any
  
  !--- 次の deny 文は、ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)
  !--- リレーには設定しないようにしてください。
  
  access-list 110 deny   ip host 0.0.0.0 any
  
  !--- RFC 1918 空間をフィルタリングします。
  
  access-list 110 deny   ip 10.0.0.0 0.255.255.255 any
  access-list 110 deny   ip 172.16.0.0 0.15.255.255 any
  access-list 110 deny   ip 192.168.0.0 0.0.255.255 any
  
  !--- エッジ ルータに対する BGP を許可します。
  
  access-list 110 permit tcp host 10.1.1.1 gt 1023 host 10.1.1.2 eq bgp
  access-list 110 permit tcp host 10.1.1.1 eq bgp host 10.1.1.2 gt 1023
  
  !--- 自身の空間が、発信元になっているトラフィックを拒否します(RFC 2827 に準拠)。
  
  access-list 110 deny   ip 192.168.201.0 0.0.0.255 any
  
  
  !--- フェーズ 2 - リターン トラフィックを明示的に許可します。
  
  
  
  !--- 特定の ICMP タイプを許可します。
  
  access-list 110 permit icmp any any echo-reply
  access-list 110 permit icmp any any unreachable
  access-list 110 permit icmp any any time-exceeded
  access-list 110 deny   icmp any any
  
  !--- 発信 DNS クエリーは次のとおりです。
  
  access-list 110 permit udp any eq domain host 192.168.201.104 gt 1023
  
  !--- 古い DNS クエリーを許可し、プライマリ DNS サーバに応答します。
  
  access-list 110 permit udp any eq domain host 192.168.201.104 eq domain
  
  !--- 正当なビジネス用トラフィックを許可します。
  
  access-list 110 permit tcp any 192.168.201.0 0.0.0.255 established
  access-list 110 permit udp any range 1 1023 192.168.201.0 0.0.0.255 gt 1023
  
  !--- FTP データ接続を許可します。
  
  access-list 110 permit tcp any eq ftp-data 192.168.201.0 0.0.0.255 gt 1023
  
  !--- TFTP データ接続およびマルチメディア接続を許可します。
  
  access-list 110 permit udp any gt 1023 192.168.201.0 0.0.0.255 gt 1023
  
  
  !--- フェーズ 3 - 外部を発信元とするトラフィックを明示的に許可します。
  
  
  
  !--- 着信 DNS クエリーは次のとおりです。
  
  access-list 110 permit udp any gt 1023 host 192.168.201.104 eq domain
  
  !-- プライマリ DNS サーバへ DNS クエリーをゾーン転送します。
  
  access-list 110 permit tcp host 172.16.201.50 gt 1023 host 192.168.201.104 eq domain
  
  !--- 古い DNS ゾーン転送を許可します。
  
  access-list 110 permit tcp host 172.16.201.50 eq domain host 192.168.201.104 eq domain
  
  ! --- 他のすべての DNS トラフィックを拒否します。
  
  access-list 110 deny   udp any any eq domain
  access-list 110 deny   tcp any any eq domain
  
  ! --- IPSec VPN トラフィックを許可します。
  
  access-list 110 permit udp any host 192.168.201.100 eq isakmp
  access-list 110 permit udp any host 192.168.201.100 eq non500-isakmp
  access-list 110 permit esp any host 192.168.201.100
  access-list 110 permit ahp any host 192.168.201.100
  access-list 110 deny   ip any host 192.168.201.100
  
  !--- インターネットを発信元とする一般アクセスが可能なサーバへの
  !--- 接続は次のとおりです。
  
  access-list 110 permit tcp any host 192.168.201.101 eq www
  access-list 110 permit tcp any host 192.168.201.101 eq 443
  access-list 110 permit tcp any host 192.168.201.102 eq ftp
  
  --- FTP サーバへのデータ接続は、
  !--- フェーズ 3 の permit established ACE によって許可されています。
  !--- FTP サーバに対する PASV データ接続を許可します。
  
  access-list 110 permit tcp any gt 1023 host 192.168.201.102 gt 1023
  access-list 110 permit tcp any host 192.168.201.103 eq smtp
  
  
  !--- フェーズ 4 - トラッキングの明示的なdeny 文。
  
  
  access-list 110 deny   ip any any
  Edge-router(config)#interface serial 2/0
  Edge-router(config-if)#ip access-group 110 in
  

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 44541