Cisco ASA サービス モジュール CLI コンフィギュレーション ガイド ソフトウェア バージョン 8.5
アクセス ルールの設定
アクセス ルールの設定
発行日;2012/09/24 | 英語版ドキュメント(2012/05/21 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

アクセス ルールの設定

アクセス ルールに関する情報

ルールに関する一般情報

暗黙的な許可

同じインターフェイスでのアクセス ルールと EtherType ルールの使用

暗黙の拒否

リマークの使用

着信ルールと発信ルール

グローバル アクセス ルールの使用

拡張アクセス ルールに関する情報

リターン トラフィックに対するアクセス ルール

アクセス ルールを使用したトランスペアレント ファイアウォールを介したブロードキャストとマルチキャスト トラフィックの許可

管理アクセス ルール

EtherType ルールに関する情報

サポートされている EtherType

リターン トラフィックに対するアクセス ルール

MPLS の許可

アクセス ルールのライセンス要件

前提条件

ガイドラインと制限事項

デフォルト設定

アクセス ルールの設定

アクセス ルールのモニタリング

ネットワーク アクセスの許可または拒否の設定例

アクセス ルールの機能履歴

アクセス ルールの設定

この章では、アクセス ルールを使用して、ASASM 経由でのネットワーク アクセスを制御する方法について説明します。この章は次の項で構成されています。

「アクセス ルールに関する情報」

「アクセス ルールのライセンス要件」

「前提条件」

「ガイドラインと制限事項」

「デフォルト設定」

「アクセス ルールの設定」

「アクセス ルールのモニタリング」

「ネットワーク アクセスの許可または拒否の設定例」

「アクセス ルールの機能履歴」


) ルーテッド ファイアウォール モードの場合もトランスペアレント ファイアウォール モードの場合も、ネットワーク アクセスを制御するには、アクセス ルールを使用します。トランスペアレント モードでは、アクセス ルール(レイヤ 3 トラフィックの場合)と EtherType ルール(レイヤ 2 トラフィックの場合)の両方を使用できます。

また、ASASM インターフェイスに管理アクセスの目的でアクセスするには、ホスト IP アドレスを許可するアクセス ルールは必要ありません。必要なのは、「管理アクセスの設定」の説明に従って管理アクセスを設定することだけです。


アクセス ルールに関する情報

拡張または EtherType アクセス リストを特定のインターフェイスに、またはすべてのインターフェイスに対してグローバルに適用することによって、アクセス ルールを作成します。ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでアクセス ルールを使用して、IP トラフィックを制御できます。アクセス ルールでは、プロトコル、送信元および宛先の IP アドレスまたはネットワーク、および任意で送信元ポートと宛先ポートに基づいてトラフィックが許可または拒否されます。


) 任意のトラフィックに対してASASMでの受信を許可するには、インバウンド アクセス ルールをインターフェイスに適用する必要があります。インバウンド アクセス ルールを適用しないと、そのインターフェイスで受信されるトラフィックはすべて、ASASMにより自動的にドロップされます。


トランスペアレント モードの場合に限り、EtherType ルールによって非 IP トラフィックのネットワーク アクセスが制御されます。EtherType ルールでは、EtherType に基づいてトラフィックが許可または拒否されます。

この項は、次の内容で構成されています。

「ルールに関する一般情報」

「拡張アクセス ルールに関する情報」

「EtherType ルールに関する情報」

ルールに関する一般情報

この項では、アクセス ルールと EtherType ルールの両方について説明します。次の項目を取り上げます。

「暗黙的な許可」

「同じインターフェイスでのアクセス ルールと EtherType ルールの使用」

「暗黙の拒否」

「リマークの使用」

「着信ルールと発信ルール」

「グローバル アクセス ルールの使用」

暗黙的な許可

ルーテッド モードの場合、デフォルトでは次のタイプのトラフィックが許可されます。

高セキュリティ インターフェイスから低セキュリティ インターフェイスへの IPv4 トラフィック。

高セキュリティ インターフェイスから低セキュリティ インターフェイスへの IPv6 トラフィック。


) グローバル アクセス ルールが設定されている場合は、これらのデフォルトが真にならない可能性があります。


トランスペアレント モードの場合、デフォルトでは次のタイプのトラフィックが許可されます。

高セキュリティ インターフェイスから低セキュリティ インターフェイスへの IPv4 トラフィック。

高セキュリティ インターフェイスから低セキュリティ インターフェイスへの IPv6 トラフィック。

双方向の Address Resolution Protocol(ARP; アドレス解決プロトコル)。


) ARP トラフィックは ARP インスペクションによって制御できますが、アクセス ルールによって制御することはできません。


双方向の Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)。

他のトラフィックには、拡張アクセス ルール(IPv4)、IPv6 アクセス ルール(IPv6)、または EtherType ルール(非 IPv4/IPv6)のいずれかを使用する必要があります。

同じインターフェイスでのアクセス ルールと EtherType ルールの使用

1 つのアクセス ルールと 1 つの EtherType ルールを各方向のインターフェイスに適用できます。

暗黙の拒否

暗黙の拒否ルールでは、トラフィックを明示的に許可しない限り、通過できないことを指定します。たとえば、特定のアドレスを除くすべてのユーザに、ASASM 経由でのネットワークにアクセスすることを許可する場合、特定のアドレスを拒否したうえで、他のすべてのユーザを許可します。

設定にグローバル アクセス ルールがない場合、暗黙の拒否ルールは、インターフェイス アクセス ルールの最後に適用されます。インターフェイス アクセス ルールとグローバル アクセス ルールの両方を設定すると、暗黙の拒否(any any)はインターフェイス ベースのアクセス ルールの最後に配置されなくなります。暗黙の拒否(any any)は、グローバル アクセス ルールの末尾で適用されます。論理的には、インターフェイス ベースのアクセス ルールのエントリが最初に処理され、次にグローバル アクセス ルールが処理され、最後にグローバル アクセス ルールの末尾にある暗黙の拒否(any any)が処理されます。

たとえば、設定にインターフェイス ベース アクセス ルールとグローバル アクセス ルールが設定されている場合は、次の処理ロジックが適用されます。

1. インターフェイス アクセス コントロール ルール

2. グローバル アクセス コントロール ルール

3. デフォルトのグローバル アクセス コントロール ルール(deny any any)。

インターフェイス ベースのアクセス ルールだけが設定されている場合は、次の処理ロジックが適用されます。

1. インターフェイス アクセス コントロール ルール

2. デフォルトのインターフェイス アクセス コントロール ルール(deny any any)。

EtherType ルールの場合、暗黙的な拒否は、IPv4 トラフィックや IPv6 トラフィック、および ARP には適用されません。たとえば、EtherType 8037(IPX 用の EtherType)を許可する場合、以前にアクセス ルールを使用して許可した(あるいはセキュリティの高いインターフェイスから低いインターフェイスへの送信を暗黙的に許可した)IP トラフィックは、いずれもリストの末尾にある暗黙的な拒否条件によりブロックされることはありません。ただし、EtherType ルールによりすべてのトラフィックを 明示的に 拒否すれば、IP トラフィックおよび ARP トラフィックは拒否されます。

リマークの使用

ASDM アクセス ルール ウィンドウで、ルールの横に表示されるリマークは、そのルールより前に設定されていたものです。したがって、CLI からリマークを設定した後、これを ASDM アクセス ルール ウィンドウで確認すると、CLI でリマークの後に設定されたルールの隣にリマークが表示されます。ただし、ASDM のパケット トレーサでは、CLI で一致ルールの後に設定されたリマークを照合します。

着信ルールと発信ルール

ASASMでは、次の 2 つのタイプのアクセス リストをサポートします。

着信:着信アクセス リストは、インターフェイスに入ってくるトラフィックに適用されます。

発信:発信アクセス リストは、インターフェイスから出ていくトラフィックに適用されます。


) 「着信」および「発信」という用語は、インターフェイス上の ASASM に入るトラフィックまたはインターフェイス上の ASASM を出るトラフィックのどちらにインターフェイス上のアクセス リストが適用されているかを意味します。これらの用語は、一般に着信と呼ばれる、セキュリティの低いインターフェイスから高いインターフェイスへのトラフィックの移動や、一般に発信と呼ばれる、セキュリティの高いインターフェイスから低いインターフェイスへのトラフィックの移動を意味しません。


着信アクセス リストを利用して、特定のインターフェイスにアクセス リストをバインドしたり、すべてのインターフェイスにグローバル ルールを適用したりすることができます。グローバル ルールの詳細については、「グローバル アクセス ルールの使用」を参照してください。

アクセス リストは、たとえば内部ネットワークの特定のホストにのみ外部ネットワークの Web サーバへのアクセスを許可する場合に便利です。複数の着信アクセス リストを作成してアクセスを制限するよりも、発信アクセス リストを 1 つ作成して、指定したホストだけが許可されるようにすることができます (図 32-1 を参照)。発信アクセス リストは、他のホストが外部ネットワークに到達することを禁止します。

図 32-1 発信アクセス リスト

 

この例について、次のコマンドを参照してください。

hostname(config)# access-list OUTSIDE extended permit tcp host 209.165.201.4 host 209.165.200.225 eq www
hostname(config)# access-list OUTSIDE extended permit tcp host 209.165.201.6 host 209.165.200.225 eq www
hostname(config)# access-list OUTSIDE extended permit tcp host 209.165.201.8 host 209.165.200.225 eq www
hostname(config)# access-group OUTSIDE out interface outside
 

グローバル アクセス ルールの使用

グローバル アクセス ルールの利用により、ルールの適用を必要とするインターフェイスを指定せずに、入トラフィックにグローバル ルールを適用できます。グローバル アクセス ルールを使用する利点としては、次のものがあります。

競合アプライアンスからASASMに移行するときに、各インターフェイスにインターフェイス固有のポリシーを適用する代わりに、グローバル アクセス ルール ポリシーを維持することができます。

グローバル アクセス コントロール ポリシーは、インターフェイスごとに複製されないため、メモリ容量を節約できます。

グローバル アクセス ルールにより、セキュリティ ポリシーを柔軟に定義することができます。送信元および宛先の IP アドレスに一致する限り、パケットを受信するインターフェイスを指定する必要がありません。

グローバル アクセス ルールでは、インターフェイス固有のアクセス ルールと同じ mtrie および stride ツリーを使用するので、グローバル ルールのスケーラビリティとパフォーマンスはインターフェイス固有のルールと同一になります。

インターフェイス アクセス ルールと一緒にグローバル アクセス ルールを設定できます。この場合、特定のインターフェイス アクセス ルールが常に汎用のグローバル アクセス ルールよりも前に処理されます。

グローバル アクセス ルールの暗黙の拒否の詳細については、「暗黙の拒否」を参照してください。

リターン トラフィックに対するアクセス ルール

ルーテッド モードとトランスペアレント モードの両方に対する TCP 接続および UDP 接続については、リターン トラフィックを許可するためのアクセス ルールは必要ありません。ASASMは、確立された双方向接続のリターン トラフィックをすべて許可します。

ただし、ICMP などのコネクションレス型プロトコルについては、ASASMは単方向セッションを確立します。したがって、(アクセス リストを送信元インターフェイスと宛先インターフェイスに適用することで)アクセス ルールで双方向の ICMP を許可するか、ICMP インスペクション エンジンをイネーブルにする必要があります。ICMP インスペクション エンジンは、ICMP セッションを双方向接続として扱います。ping を制御するには、 echo-reply 0 )(ASASMからホストへ)または echo 8 )(ホストからASASMへ)を指定します。

アクセス ルールを使用したトランスペアレント ファイアウォールを介したブロードキャストとマルチキャスト トラフィックの許可

ルーテッド ファイアウォール モードでは、ブロードキャストとマルチキャスト トラフィックは、アクセス ルールで許可されている場合でもブロックされます。これには、サポートされていないダイナミック ルーティング プロトコルおよび DHCP(DHCP リレーを設定している場合を除く)が含まれます。トランスペアレント ファイアウォール モードでは、すべての IP トラフィックの通過を許可できます。この機能は、たとえば、ダイナミック ルーティングが許可されていないマルチ コンテキスト モードで特に有用です。


) これらの特殊なタイプのトラフィックはコネクションレス型であるため、拡張アクセス リストを両方のインターフェイスに適用して、リターン トラフィックの通過を許可する必要があります。


表 32-1 に、トランスペアレント ファイアウォールの通過を許可できる一般的なトラフィック タイプを示します。

 

表 32-1 トランスペアレント ファイアウォールの特殊トラフィック

トラフィックのタイプ
プロトコルまたはポート
注釈

DHCP

UDP ポート 67 および 68

DHCP サーバがイネーブルの場合、ASASMは DHCP パケットの通過を拒否します。

EIGRP

プロトコル 88

--

OSPF

プロトコル 89

--

マルチキャスト ストリーム

UDP ポートは、アプリケーションによって異なります。

マルチキャスト ストリームは、常に Class D アドレス(224.0.0.0 to 239.x.x.x)に送信されます。

RIP(v1 または v2)

UDP ポート 520

--

管理アクセス ルール

ASASM宛ての管理トラフィックを制御するアクセス ルールを設定できます。To-the-box 管理トラフィック( http ssh telnet などのコマンドで定義されます)のアクセス コントロール ルールは、 control-plane オプションで適用された管理アクセス ルールよりも優先されます。したがって、このような許可された管理トラフィックは、to-the-box アクセス リストで明示的に拒否されている場合でも着信が許可されます。

EtherType ルールに関する情報

この項では、EtherType ルールについて説明します。次の項目を取り上げます。

「サポートされている EtherType」

「リターン トラフィックに対するアクセス ルール」

「MPLS の許可」

サポートされている EtherType

EtherType ルールは、16 ビットの 16 進数値で指定されるすべての EtherType を制御します。

EtherType ルールでは、Ethernet V2 フレームがサポートされています。

802.3 形式フレームでは、type フィールドではなく length フィールドが使用されるため、ルールでは処理されません。

デフォルトで許可される BPDU は唯一の例外です。BPDU は、SNAP でカプセル化されており、ASASMは特別に BPDU を処理するように設計されています。

ASASMでは、トランク ポート(シスコ専用)BPDU が受信されます。トランク BPDU のペイロードには VLAN 情報が含まれるので、BPDU を許可すると、ASASM により、発信 VLAN を使用してペイロードが修正されます。

リターン トラフィックに対するアクセス ルール

EtherType はコネクションレス型であるため、トラフィックを両方向に通過させる必要がある場合は、両方のインターフェイスにルールを適用する必要があります。

MPLS の許可

MPLS を許可する場合は、Label Distribution Protocol(LDP; ラベル配布プロトコル)および Tag Distribution Protocol(TDP; タグ配布プロトコル)の TCP 接続がASASMを経由して確立されるようにしてください。これには、ASASM インターフェイス上の IP アドレスを LDP セッションまたは TDP セッションの router-id として使用するように、ASASMに接続されている両方の MPLS ルータを設定します (LDP および TDP を使用することにより、MPLS ルータは、転送するパケットに使用するラベル(アドレス)をネゴシエートできるようになります)。

Cisco IOS ルータで、使用プロトコル(LDP または TDP)に適したコマンドを入力します。 interface は、ASASMに接続されているインターフェイスです。

hostname(config)# mpls ldp router-id interface force
 

または

hostname(config)# tag-switching tdp router-id interface force
 

アクセス ルールのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

前提条件

アクセス ルールを作成するには、まず、アクセス リストを作成します。詳細については、「拡張アクセス リストの追加」「EtherType アクセス リストの追加」を参照してください。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

ユーザごとのアクセス リストのガイドライン

ユーザごとのアクセス リストがパケットに関連付けられていない場合、インターフェイス アクセス ルールが適用されます。

ユーザごとのアクセス リストでは、 timeout uauth コマンドの値が使用されますが、この値は AAA のユーザごとのセッション タイムアウト値で上書きできます。

ユーザごとのアクセス リストのためにトラフィックが拒否された場合、syslog メッセージ 109025 がログに記録されます。トラフィックが許可された場合、syslog メッセージは生成されません。ユーザごとのアクセス リストの log オプションの効果はありません。

その他のガイドラインと制限事項

管理アクセス用のASASM インターフェイスにアクセスする場合は、ホスト IP アドレスを許可するアクセス リストは不要です。必要なのは、「管理アクセスの設定」の手順に従って管理アクセスを設定することだけです。

ASDM アクセス ルール ウィンドウで、ルールの横に表示されるリマークは、そのルールより前に設定されていたものです。したがって、CLI からリマークを設定した後、これを ASDM アクセス ルール ウィンドウで確認すると、CLI でリマークの後に設定されたルールの隣にリマークが表示されます。ただし、ASDM のパケット トレーサでは、CLI で一致ルールの後に設定されたリマークを照合します。

デフォルト設定

「暗黙的な許可」を参照してください。

アクセス ルールの設定

アクセス ルールを適用するには、次の手順を実行します。

手順の詳細

 

コマンド
目的

access-group access_list {{ in | out } interface interface_name [ per-user-override | control-plane ] | global }

 

hostname(config)# access-group acl_out in interface outside

アクセス リストをインターフェイスにバインドするか、グローバルに適用します。

コマンドでは、空のアクセス リストまたはコメントしか含まれていないアクセス リストを参照できません。

in キーワードは、指定したインターフェイスのトラフィックにアクセス リストを適用します。 out キーワードは、発信トラフィックにアクセス リストを適用します。

per-user-override キーワードを使用すると(着信アクセス リストの場合に限る)、ユーザ認可用にダウンロードしたダイナミック ユーザ アクセス リストにより、インターフェイスに割り当てられているアクセス リストを上書きできます。たとえば、インターフェイス アクセス リストが 10.0.0.0 からのトラフィックをすべて拒否し、ダイナミック アクセス リストが 10.0.0.0 からのトラフィックをすべて許可する場合、そのユーザに関しては、ダイナミック アクセス リストによってインターフェイス アクセス リストが上書きされます。ユーザごとのアクセス リストの詳細については、「RADIUS 認可の設定」を参照してください。「ユーザごとのアクセス リストのガイドライン」も参照してください。

ルールの対象が to-the-box トラフィックである場合、 control-plane キーワードを指定します。

global キーワードは、すべてのインターフェイスの着信方向にアクセス リストを適用します。

次の例は、 access-group コマンドを使用する方法を示しています。

hostname(config)# access-list acl_out permit tcp any host 209.165.201.3 eq 80
hostname(config)# access-group acl_out in interface outside
 

access-list コマンドでは、任意のホストからポート 80 を使用してグローバル アドレスにアクセスできるようにしています。 access-group コマンドでは、外部インターフェイスに入るトラフィックに access-list コマンドを適用するように指定しています。

アクセス ルールのモニタリング

ネットワーク アクセスをモニタするには、次のコマンドを入力します。

 

コマンド
目的
show running-config access-group

インターフェイスにバインドされている現在のアクセス リストを表示します。

ネットワーク アクセスの許可または拒否の設定例

この項では、ネットワーク アクセスの許可または拒否の一般的な設定例を示します。

次の例は、IP アドレス 209.165.201.12 の内部 Web サーバへのアクセスをイネーブルにするために必要なコマンドを示しています。(この IP アドレスは実際のアドレスであり、NAT 処理の後は外部インターフェイスでは表示されなくなります)。

hostname(config)# access-list ACL_OUT extended permit tcp any host 209.165.201.12 eq www
hostname(config)# access-group ACL_OUT in interface outside
 

次の例では、すべてのホストに inside ネットワークと hr ネットワークの間での通信を許可しますが、外部ネットワークへのアクセスは特定のホストだけに許可されます。

hostname(config)# access-list ANY extended permit ip any any
hostname(config)# access-list OUT extended permit ip host 209.168.200.3 any
hostname(config)# access-list OUT extended permit ip host 209.168.200.4 any
 
hostname(config)# access-group ANY in interface inside
hostname(config)# access-group ANY in interface hr
hostname(config)# access-group OUT out interface outside
 

たとえば、次のサンプル アクセス リストでは、内部インターフェイスで発信される一般的な EtherType が許可されます。

hostname(config)# access-list ETHER ethertype permit ipx
hostname(config)# access-list ETHER ethertype permit mpls-unicast
hostname(config)# access-group ETHER in interface inside
 

次の例では、ASASMを通過する一部の EtherType が許可されますが、それ以外はすべて拒否されます。

hostname(config)# access-list ETHER ethertype permit 0x1234
hostname(config)# access-list ETHER ethertype permit mpls-unicast
hostname(config)# access-group ETHER in interface inside
hostname(config)# access-group ETHER in interface outside
 

次の例では、両方のインターフェイスで EtherType 0x1256 のトラフィックが拒否されますが、他のトラフィックはすべて許可されます。

hostname(config)# access-list nonIP ethertype deny 1256
hostname(config)# access-list nonIP ethertype permit any
hostname(config)# access-group ETHER in interface inside
hostname(config)# access-group ETHER in interface outside
 

次の例では、オブジェクト グループを使用して内部インターフェイスの特定のトラフィックを許可します。

!
hostname (config)# object-group service myaclog
hostname (config-service)# service-object tcp source range 2000 3000
hostname (config-service)# service-object tcp source range 3000 3010 destinatio$
hostname (config-service)# service-object ipsec
hostname (config-service)# service-object udp destination range 1002 1006
hostname (config-service)# service-object icmp echo
 
hostname(config)# access-list outsideacl extended permit object-group myaclog interface inside any

アクセス ルールの機能履歴

表 32-2 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 32-2 アクセス ルールの機能履歴

機能名
プラットフォーム リリース
機能情報

インターフェイス アクセス ルール

7.0(1)

ASASM を経由するネットワーク アクセスを、アクセス リストを使用して制御します。

access-group コマンドが導入されました。

グローバル アクセス ルール

8.3(1)

グローバル アクセス ルールが導入されました。

access-group コマンドが変更されました。