Cisco 4700 シリーズ Application Control Engine Appliance クイック スタート ガイド
アクセス コントロール リストの設 定
アクセス コントロール リストの設定
発行日;2012/01/30 | 英語版ドキュメント(2009/04/07 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

アクセス コントロール リストの設定

概要

Device Manager GUI を使用した ACL の設定

CLI を使用した ACL の設定

アクセス コントロール リストの設定

この章では、Cisco 4700 シリーズ Application Control Engine (ACE) アプライアンスの Access Control List(ACL; アクセス コントロール リスト)の設定方法について説明します。この章の構成は、次のとおりです。

概要

Device Manager GUI を使用した ACL の設定

CLI を使用した ACL の設定

概要

この章を読むと、ACE でアクセス コントロール リストを設定してネットワークのセキュリティを確立する方法についての基礎を理解できます。

ACL を ACE アプライアンスで使用して、特定の IP アドレスまたはネットワーク全体に対するトラフィックを許可または拒否できます。たとえば、回線上のすべての電子メール トラフィックを許可するものの、Telnet トラフィックをブロックするようなこともできます。また、ACL を使用して、あるクライアントにネットワークの一部へのアクセスを許可して、他のクライアントが同じ領域にアクセスできないようにすることもできます。

ACL は、接続を許可する各インターフェイスに対して設定する必要があります。このようにしない場合、ACE は、そのインターフェイスのすべてのトラフィックを拒否します。ACL は、送信元 IP アドレス、宛先 IP アドレス、プロトコル、ポート、またはプロトコル固有のパラメータの条件を指定した許可または拒否エントリである、一連の ACL エントリで構成されます。各エントリは、エントリ内に指定されたネットワークの一部に対して受信および送信ネットワーク トラフィックを許可または拒否します。

ACL エントリの順序は、重要です。ACE は、接続を受け入れるか、拒否するかを決定する場合、エントリがリストされている順序で、各 ACL エントリに対してパケットをテストし、一致を検出すると、エントリのチェックを停止します。

たとえば、明示的にすべてのトラフィックを許可する ACL を先頭としてエントリを作成する場合、ACE は、ACL の他のすべてのエントリをスキップします。すべての ACL エントリの終わりには暗黙的な全拒否エントリが存在するため、接続を許可するすべてのインターフェイスにエントリ を含める必要があります。このようにしない場合、ACE アプライアンスは、そのインターフェイスのすべてのトラフィックを拒否します。

アプリケーションによっては、パケットが ACE を通過する際、そのデータに特別な処理をする必要があります。ACE は、プロトコル動作を検証し、通過しようとする不要なトラフィックや悪意のあるトラフィックを特定します。トラフィック ポリシーの仕様に基づいて、ACE は、アプリケーション プロトコル検査を実行して、パケットを受信または拒否し、アプリケーションやサービスを安全に使用できるよう保証します。

特定のトラフィックまたはリソースを許可または拒否するように ACL を設定する方法の詳細については、『 Cisco 4700 Application Control Engine Series Appliance Security Configuration Guide 』を参照してください。

ACL を設定する基本ステップは次のとおりです。

ACL を作成する

少なくとも 1 つの ACL エントリを ACL に追加する

ACL をインターフェイスに割り当てる

ACL を設定するには、ACE Device Manager ユーザ インターフェイス(GUI)または Command-Line Interface(CLI; コマンドライン インターフェイス)のいずれかを使用できます。

Device Manager GUI を使用した ACL の設定

次のステップに従い、ACEDevice Manager GUI を使用して ACL を設定します。


ステップ 1 [VC_web] を選択します。

ステップ 2 [Config] > [Virtual Contexts] > [Security] > [ACLs] を選択します。ACL テーブルが表示され、既存の ACL がリストされます(図 4-1)。

図 4-1 ACL テーブル

 

ステップ 3 [Add] をクリックして、ACL を作成します。[New Access List] 設定画面が表示されます(図 4-2)。

図 4-2 [New Access List] 設定画面

 

ステップ 4 次の ACL プロパティを入力します。残りのプロパティは空白、またはデフォルト値のままにしておきます。

[Name]:ACL_permit_all

[Type]:Extended

[Extended]:IP トラフィックのネットワーク アクセスを制御します。

[EtherType]:非 IP トラフィックのネットワーク アクセスを制御します。

ステップ 5 次のアトリビュートを持つ ACL エントリを作成します。残りのアトリビュートは空白、またはデフォルト値のままにしておきます。

[Line Number]:1


) 追加の ACL エントリを後で挿入しやすくするため、10、20 など、連続しない回線番号を入力できます。


[Action]:Permit

[Protocol/Service Object Group]:Protocol、IP (Any)

[Source Network]:Any

[Destination Network]:Any

ステップ 6 [Add To Table] をクリックして、1 つ以上の ACL エントリをテーブルに追加します。

ステップ 7 [Deploy] をクリックして、この ACL 設定を仮想コンテキストに適用します。

ステップ 8 [Network] > [VLAN Interfaces] を選択します。[VLAN Interfaces] ペインが表示されます。

ステップ 9 [Access Group] タブを選択します。

ステップ 10 [Access Group] ペインで [Add] をクリックします(図 4-3)。[New Access Group] ペインが表示されます。

図 4-3 ACL のインターフェイスへの追加

 

ステップ 11 ACL エントリが [ACL Name] ドロップダウン リストで選択されていることを確認します。次に、[Deploy Now] をクリックして、デフォルトをそのまま使用し、ACL をインターフェイスに追加します。ACL が [Access Group] ペインに追加されます(図 4-4)。

図 4-4 ACL のインターフェイスへの追加

 


 

CLI を使用した ACL の設定

次のステップに従って、Command-Line Interface(CLI)を使用して、ACL を設定できます。


ステップ 1 CLI プロンプトをチェックし、目的のコンテキストで操作が行われていることを確認します。必要な場合、正しいコンテキストに変更します。

host1/Admin# changeto VC_web
host1/VC_web#
 

ステップ 2 設定モードに入ります。

host1/VC_web# Config
host1/VC_web(config)#
 

ステップ 3 ACL を作成します。

host1/VC_web(config)# access-list INBOUND extended permit ip any any
 

ステップ 4 ACL をインターフェイスに適用します。

host1/VC_web(config)# interface vlan 400
host1/VC_web(config-if)# access-group input INBOUND
host1/VC_web(config-if)# exit
 

ステップ 5 ACL 設定情報を表示します。

host1/VC_web(config)# exit
host1/VC_web# show running-config access-list
 


 

この章では、ネットワークへのすべてのトラフィックを許可する ACL エントリを作成しました。次の章では、ネットワーク リソースの位置で ACE 管理機能のサブセットを実行できるユーザを作成します。