Cisco ASA シリーズファイアウォールCLIコンフィギュレーションガイドソフトウェアバージョン 9.3
アクセル ルール
アクセル ルール
発行日;2015/06/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

アクセル ルール

ネットワーク アクセスの制御

ルールに関する一般情報

インターフェイス アクセス ルールとグローバル アクセス ルール

着信ルールと発信ルール

ルールの順序

暗黙的な許可

暗黙的な拒否

NAT とアクセス ルール

拡張アクセス ルール

リターン トラフィックに対する拡張アクセス ルール

アクセス ルールを使用したトランスペアレント ファイアウォールを介したブロードキャストとマルチキャスト トラフィックの許可

管理アクセス ルール

EtherType ルール

サポートされている EtherType およびその他のトラフィック

リターン トラフィックに対する EtherType ルール

MPLS の許可

アクセス コントロールに関するガイドライン

アクセス コントロールの設定

アクセス グループの設定

ICMP アクセス ルールの設定

アクセス ルールのモニタリング

アクセス ルールの syslog メッセージの評価

ネットワーク アクセスの許可または拒否の設定例

アクセス ルールの履歴

アクセル ルール

この章では、アクセス ルールを使用して ASA へのネットワーク アクセスや ASA を通過するネットワーク アクセスを制御する方法について説明します。ルーテッド ファイアウォール モードの場合もトランスペアレント ファイアウォール モードの場合も、ネットワーク アクセスを制御するには、アクセス ルールを使用します。トランスペアレント モードでは、アクセス ルール(レイヤ 3 トラフィックの場合)と EtherType ルール(レイヤ 2 トラフィックの場合)の両方を使用できます。


) また、ASA インターフェイスに管理アクセスの目的でアクセスするには、ホスト IP アドレスを許可するアクセス ルールは必要ありません。一般的な操作のコンフィギュレーション ガイドに従って管理アクセスを設定することだけが必要です。


「ネットワーク アクセスの制御」

「アクセス コントロールに関するガイドライン」

「アクセス コントロールの設定」

「アクセス ルールのモニタリング」

「ネットワーク アクセスの許可または拒否の設定例」

「アクセス ルールの履歴」

ネットワーク アクセスの制御

アクセス ルールは、ASA の通過を許可するトラフィックを定義したものです。複数の異なるレイヤのルールを組み合わせてアクセス コントロール ポリシーを実装できます。

インターフェイスに割り当てられる拡張アクセス ルール(レイヤ 3 以上のトラフィック):着信方向と発信方向のそれぞれで異なるルール セット(ACL)を適用できます。拡張アクセス ルールでは、送信元と宛先のトラフィックの基準に基づいてトラフィックが許可または拒否されます。

グローバルに割り当てられる拡張アクセス ルール:デフォルトのアクセス コントロールとして使用する単一のグローバル ルール セットを作成できます。グローバル ルールはインターフェイス ルールの後に適用されます。

管理アクセス ルール(レイヤ 3 以上のトラフィック):インターフェイスに対するトラフィック(通常は管理トラフィック)を制御する単一のルール セットを適用できます。これらのルールは、CLI の「コントロール プレーン」アクセス グループに相当します。デバイスに対する ICMP トラフィックについては、代わりに ICMP ルールを設定できます。

インターフェイスに割り当てられる EtherType ルール(レイヤ 2 のトラフィック)(トランスペアレント ファイアウォール モードのみ):着信方向と発信方向のそれぞれで異なるルール セットを適用できます。EtherType ルールは、IP 以外のトラフィックのネットワーク アクセスを制御するルールです。EtherType ルールでは、EtherType に基づいてトラフィックが許可または拒否されます。

トランスペアレント ファイアウォール モードでは、拡張アクセス ルール、管理アクセス ルール、および EtherType ルールを組み合わせて同じインターフェイスに適用できます。

「ルールに関する一般情報」

「拡張アクセス ルール」

「EtherType ルール」

ルールに関する一般情報

この項では、アクセス ルールと EtherType ルールの両方について説明します。次の項目を取り上げます。

「インターフェイス アクセス ルールとグローバル アクセス ルール」

「着信ルールと発信ルール」

「ルールの順序」

「暗黙的な許可」

「暗黙的な拒否」

「NAT とアクセス ルール」

インターフェイス アクセス ルールとグローバル アクセス ルール

アクセス ルールを特定のインターフェイスに適用するか、またはアクセス ルールをすべてのインターフェイスにグローバルに適用できます。インターフェイス アクセス ルールと一緒にグローバル アクセス ルールを設定できます。この場合、特定の着信インターフェイス アクセス ルールが常に汎用のグローバル アクセス ルールよりも先に処理されます。グローバル アクセス ルールは、着信トラフィックにだけ適用されます。

着信ルールと発信ルール

トラフィックの方向に基づいてアクセス ルールを設定できます。

着信:着信アクセス ルールは、インターフェイスに入ってくるトラフィックに適用されます。グローバル アクセス ルールおよび管理アクセス ルールは常に着信ルールになります。

アウトバウンド:アウトバウンド ルールは、インターフェイスから送信されるトラフィックに適用されます。


) 「インバウンド」および「アウトバウンド」は、インターフェイスにおける ACL の適用対象を表したもので、前者は、インターフェイスにおいて ASA により受信されるトラフィックに ACL が適用されることを表し、後者はインターフェイスにおいて ASA から送信されるトラフィックに ACL が適用されることを表しています。これらの用語は、一般に着信と呼ばれる、セキュリティの低いインターフェイスから高いインターフェイスへのトラフィックの移動や、一般に発信と呼ばれる、セキュリティの高いインターフェイスから低いインターフェイスへのトラフィックの移動を意味しません。


たとえば、内部ネットワーク上の特定のホストに限って、外部ネットワーク上の Web サーバにアクセスできるようにする場合などには、アウトバウンド ACL が有用です。複数のインバウンド ACL を作成してアクセスを制限することもできますが、指定したホストだけアクセスを許可するアウトバウンド ACL を 1 つだけ作成する方が効率的です(次の図を参照)。このアウトバウンド ACL を使用すれば、その他のホストが外部ネットワークへアクセスすることもできなくなります。

図 3-1 Outbound ACL

 

この例について、次のコマンドを参照してください。

hostname(config)# access-list OUTSIDE extended permit tcp host 10.1.1.14 host 209.165.200.225 eq www
hostname(config)# access-list OUTSIDE extended permit tcp host 10.1.2.67 host 209.165.200.225 eq www
hostname(config)# access-list OUTSIDE extended permit tcp host 10.1.3.34 host 209.165.200.225 eq www
hostname(config)# access-group OUTSIDE out interface outside
 

ルールの順序

ルールの順序が重要です。ASA において、パケットを転送するかドロップするかの判断が行われる場合、ASA では、パケットと各ルールとの照合が、適用される ACL におけるそれらのルールの並び順に従って行われます。いずれかのルールに合致した場合、それ以降のルールはチェックされません。たとえば、先頭に作成したアクセス ルールが、インターフェイスに対してすべてのトラフィックを明示的に許可するものであれば、それ以降のルールはチェックされません。

暗黙的な許可

ルーテッド モードの場合、デフォルトでは次のタイプのトラフィックが許可されます。

高セキュリティ インターフェイスから低セキュリティ インターフェイスへの IPv4 および IPv6 のユニキャスト トラフィック。

トランスペアレント モードの場合、デフォルトでは次のタイプのトラフィックが許可されます。

高セキュリティ インターフェイスから低セキュリティ インターフェイスへの IPv4 および IPv6 のユニキャスト トラフィック。

双方向の ARP。ARP トラフィックの制御には ARP インスペクションを使用します。アクセス ルールでは制御できません。

双方向の BPDU。

他のトラフィックには、拡張アクセス ルール(IPv4 および IPv6)、または EtherType ルール(非 IP)のいずれかを使用する必要があります。

暗黙的な拒否

ACL の最後で暗黙的な拒否が設定されるため、明示的に許可しない限り、トラフィックは通過できません。たとえば、特定のアドレスを除くすべてのユーザに、ASA を通過してネットワークにアクセスすることを許可する場合、特定のアドレスを拒否したうえで、他のすべてのユーザを許可します。

EtherType ACL の場合、ACL の末尾にある暗黙的な拒否は、IP トラフィックや ARP には影響しません。たとえば、EtherType 8037 を許可する場合、ACL の末尾にある暗黙的な拒否によって、拡張 ACL で以前許可(または高位のセキュリティ インターフェイスから低位のセキュリティ インターフェイスへ暗黙的に許可)した IP トラフィックがブロックされることはありません。ただし、EtherType ルールですべてのトラフィックを明示的に拒否した場合は、IP と ARP のトラフィックが拒否され、物理的なプロトコルのトラフィック(自動ネゴシエーションなど)だけが許可されます。

グローバル アクセス ルールを設定すると、暗黙的な拒否はグローバル ルールが処理された になります。次の動作の順序を参照してください。

1. インターフェイス アクセス ルール。

2. グローバル アクセス ルール。

3. 暗黙的な拒否。

NAT とアクセス ルール

アクセス ルールは、NAT を設定している場合でも、アクセス ルールの一致を決定する際に常に実際の IP アドレスを使用します。たとえば、内部サーバ 10.1.1.5 用の NAT を設定して、パブリックにルーティング可能な外部の IP アドレス 209.165.201.5 をこのサーバに付与する場合は、この内部サーバへのアクセスを外部トラフィックに許可するアクセス ルールの中で、サーバのマッピング アドレス(209.165.201.5)ではなく実際のアドレス(10.1.1.5)を参照する必要があります。

リターン トラフィックに対する拡張アクセス ルール

ルーテッド モードとトランスペアレント モードの両方に対する TCP 接続および UDP 接続については、リターン トラフィックを許可するためのアクセス ルールは必要ありません。ASA は、確立された双方向接続のリターン トラフィックをすべて許可します。

ただし、ICMP などのコネクションレス型プロトコルについては、ASA は単方向セッションを確立します。したがって、(ACL を送信元インターフェイスと宛先インターフェイスに適用することで)アクセス ルールで双方向の ICMP を許可するか、ICMP インスペクション エンジンをイネーブルにする必要があります。ICMP インスペクション エンジンは、ICMP セッションを双方向接続として扱います。ping を制御するには、 echo-reply 0 )(ASA からホストへ)または echo 8 )(ホストから ASA へ)を指定します。

アクセス ルールを使用したトランスペアレント ファイアウォールを介したブロードキャストとマルチキャスト トラフィックの許可

ルーテッド ファイアウォール モードでは、ブロードキャストとマルチキャスト トラフィックは、アクセス ルールで許可されている場合でもブロックされます。これには、サポートされていないダイナミック ルーティング プロトコルおよび DHCP(DHCP リレーを設定している場合を除く)が含まれます。トランスペアレント ファイアウォール モードでは、すべての IP トラフィックの通過を許可できます。


) これらの特殊なタイプのトラフィックはコネクションレス型であるため、アクセス ルールを両方のインターフェイスに適用して、リターン トラフィックの通過を許可する必要があります。


次の表に、トランスペアレント ファイアウォールの通過を許可できる一般的なトラフィック タイプを示します。

 

表 3-1 トランスペアレント ファイアウォールの特殊トラフィック

トラフィック タイプ
プロトコルまたはポート

DHCP

UDP ポート 67 および 68

DHCP サーバがイネーブルの場合、ASAは DHCP パケットの通過を拒否します。

EIGRP

プロトコル 88

--

OSPF

プロトコル 89

--

マルチキャスト ストリーム

UDP ポートは、アプリケーションによって異なります。

マルチキャスト ストリームは、常に Class D アドレス(224.0.0.0 to 239.x.x.x)に送信されます。

RIP(v1 または v2)

UDP ポート 520

--

管理アクセス ルール

ASA 宛ての管理トラフィックを制御するアクセス ルールを設定できます。to-the-box 管理トラフィック( http ssh telnet などのコマンドで定義)に対するアクセス コントロール ルールは、 control-plane オプションを使用して適用される管理アクセス ルールよりも優先されます。したがって、このような許可された管理トラフィックは、to-the-box ACL で明示的に拒否されている場合でも着信が許可されます。

また、デバイスへの ICMP トラフィックは、ICMP ルールを使用して制御できます。デバイスを通過する ICMP トラフィックの制御には、通常の拡張アクセス ルールを使用します。

サポートされている EtherType およびその他のトラフィック

EtherType ルールは次を制御します。

一般的なタイプの IPX および MPLS ユニキャストまたはマルチキャストを含む、16 ビットの 16 進数値で示された EtherType。

イーサネット V2 フレーム。

デフォルトで許可される BPDU。BPDU は、SNAP でカプセル化されており、ASA は特別に BPDU を処理するように設計されています。

トランク ポート(シスコ専用)BPDU。トランク BPDU のペイロードには VLAN 情報が含まれるので、BPDU を許可すると、ASA により、発信 VLAN を使用してペイロードが修正されます。

Intermediate System to Intermediate System(IS-IS)。

次のタイプのトラフィックはサポートされていません。

802.3 形式フレーム:type フィールドではなく length フィールドが使用されるため、ルールでは処理されません。

リターン トラフィックに対する EtherType ルール

EtherType はコネクションレス型であるため、トラフィックを両方向に通過させる必要がある場合は、両方のインターフェイスにルールを適用する必要があります。

MPLS の許可

MPLS を許可する場合は、ラベル配布プロトコルおよびタグ配布プロトコルの TCP 接続が ASA を経由して確立されるようにしてください。これには、ASA インターフェイス上の IP アドレスを LDP セッションまたは TDP セッションの router-id として使用するように、ASA に接続されている両方の MPLS ルータを設定します(LDP および TDP を使用することにより、MPLS ルータは、転送するパケットに使用するラベル(アドレス)をネゴシエートできるようになります)。

Cisco IOS ルータで、使用プロトコル(LDP または TDP)に適したコマンドを入力します。 interface は、ASA に接続されているインターフェイスです。

hostname(config)# mpls ldp router-id interface force
 

または

hostname(config)# tag-switching tdp router-id interface force
 

アクセス コントロールに関するガイドライン

IPv6 のガイドライン

IPv6 をサポートします。送信元アドレスと宛先アドレスには IPv4 アドレスと IPv6 アドレスの組み合わせを含めることができます。

Per-User ACL の注意事項

ユーザごとの ACL では、 timeout uauth コマンドの値が使用されますが、この値は AAA のユーザごとのセッション タイムアウト値で上書きできます。

ユーザごとの ACL のためにトラフィックが拒否された場合、syslog メッセージ 109025 がログに記録されます。トラフィックが許可された場合、syslog メッセージは生成されません。ユーザごとの ACL の log オプションの効果はありません。

その他のガイドラインと制限事項

オブジェクト グループ検索をイネーブルにすると、ルックアップのパフォーマンスは低下しますが、アクセス ルールの検索に必要なメモリを抑えることができます。オブジェクト グループ検索をイネーブルにした場合、ネットワーク オブジェクトは拡張されませんが、それらのグループの定義に基づいて一致するアクセス ルールが検索されます。このオプションを設定するには、 object-group-search access-control コマンドを使用します。

アクセス グループにトランザクション コミット モデルを使用することで、システムのパフォーマンスと信頼性を高めることができます。詳細については、一般的な操作のコンフィギュレーション ガイドの基本設定の章を参照してください。 asp rule-engine transactional-commit access-group コマンドを使用します。

ASDM では、ACL のルールの前にあるアクセス リストのコメントに基づいてルールの説明が設定されます。ASDM で新しいルールを作成した場合も、関連するルールの前にあるコメントが説明として設定されます。ただし、ASDM のパケット トレーサは、CLI の照合ルール後に設定されたコメントに一致します。

アクセス コントロールの設定

ここでは、アクセス コントロールを設定する方法について説明します。

「アクセス グループの設定」

「ICMP アクセス ルールの設定」

アクセス グループの設定

アクセス グループを作成するには、まず、ACL を作成します。詳細については、一般的な操作のコンフィギュレーション ガイドを参照してください。

ACL をインターフェイスにバインドするかグローバルに適用するには、次のコマンドを使用します。

access-group access_list {
{in | out} interface interface_name [per-user-override | control-plane] |
global}
 

例:

hostname(config)# access-group outside_access in interface outside

 

インターフェイス固有のアクセス グループの場合は、次の手順を実行します。

拡張または EtherType ACL 名を指定します。ACL タイプ、インターフェイス、方向ごとに 1 つの access-group コマンドを設定し、1 つのコントロール プレーン ACL を設定できます。コントロール プレーン ACL は、拡張 ACL である必要があります。

in キーワードは、着信トラフィックに ACL を適用します。 out キーワードによって、ACL は発信トラフィックに適用されます。

interface 名を指定します。

per-user-override キーワードを使用すると(着信 ACL の場合に限る)、ユーザ許可用にダウンロードしたダイナミック ユーザ ACL により、インターフェイスに割り当てられている ACL を上書きできます。たとえば、インターフェイス ACL が 10.0.0.0 からのトラフィックをすべて拒否し、ダイナミック ACL が 10.0.0.0 からのトラフィックをすべて許可する場合、そのユーザに関しては、ダイナミック ACL によってインターフェイス ACL が上書きされます。

デフォルトでは、VPN リモート アクセス トラフィックはインターフェイス ACL と照合されません。ただし、 no sysopt connection permit-vpn コマンドを使用してこのバイパスをオフにした場合は、グループ ポリシーで vpn-filter が適用されているかどうか、および per-user-override オプションを設定しているかどうかによって動作が異なります。

per-user-override なし、 vpn-filter なし:トラフィックはインターフェイス ACL と照合されます。

per-user-override なし、 vpn-filter :トラフィックはまずインターフェイス ACL と照合され、次に VPN フィルタと照合されます。

per-user-override vpn-filter :トラフィックは VPN フィルタのみと照合されます。

ルールの対象が to-the-box トラフィックである場合、 control-plane キーワードを指定します。

グローバル アクセス グループの場合は、 global キーワードを指定して、すべてのインターフェイスの着信方向に拡張 ACL を適用します。

次の例は、 access-group コマンドを使用する方法を示しています。

hostname(config)# access-list outside_access permit tcp any host 209.165.201.3 eq 80
hostname(config)# access-group outside_access interface outside
 

access-list コマンドでは、任意のホストからポート 80 を使用してホスト アドレスにアクセスできるようにしています。 access-group コマンドでは、外部インターフェイスに入るトラフィックに access-list コマンドを適用するように指定しています。

ICMP アクセス ルールの設定

デフォルトでは、IPv4 または IPv6 を使用して任意の ASA インターフェイスに ICMP パケットを送信できます。ただし、次の例外があります。

ASA は、ブロードキャスト アドレス宛ての ICMP エコー要求に応答しません。

ASA は、トラフィックが着信するインターフェイス宛ての ICMP トラフィックにのみ応答します。ICMP トラフィックは、インターフェイス経由で離れたインターフェイスに送信できません。

デバイスを攻撃から保護するために、ICMP ルールを使用して、ASA インターフェイスへの ICMP アクセスを特定のホスト、ネットワーク、または ICMP タイプに限定できます。ICMP ルールにはアクセス ルールと同様に順序があり、パケットに最初に一致したルールの処理が適用されます。

インターフェイスに対して any ICMP ルールを設定すると、ICMP ルールのリストの最後に暗黙の deny ICMP ルールが追加され、デフォルトの動作が変更されます。そのため、一部のメッセージ タイプだけを拒否する場合は、残りのメッセージ タイプを許可するように ICMP ルールのリストの最後に permit any ルールを含める必要があります。

ICMP 到達不能メッセージ タイプ(タイプ 3)の権限を常に付与することを推奨します。ICMP 到達不能メッセージを拒否すると、ICMP パス MTU ディスカバリがディセーブルになって、IPSec および PPTP トラフィックが停止することがあります。また、IPv6 の ICMP パケットは、IPv6 のネイバー探索プロセスに使用されます。パス MTU ディスカバリの詳細については、RFC 1195 および RFC 1435 を参照してください。

手順


ステップ 1 ICMP トラフィックのルールを作成します。

icmp {permit | deny} {host ip_address | ip_address mask | any}
[icmp_type] interface_name
 

icmp_type を指定しない場合、すべてのタイプにルールが適用されます。番号または名前を入力できます。ping を制御するには、echo-reply(0)(ASA からホストへ)または echo(8)(ホストから ASA へ)を指定します。

すべてのアドレス( any )、単一のホスト( host )、またはネットワーク( ip_address mask )にルールを適用できます。

ステップ 2 ICMPv6(IPv6)トラフィックのルールを作成します。

ipv6 icmp {permit | deny} {host ipv6_address | ipv6-network/prefix-length | any}
[icmp_type] interface_name
 

icmp_type を指定しない場合、すべてのタイプにルールが適用されます。

すべてのアドレス( any )、単一のホスト( host )、またはネットワーク( ipv6-network / prefix-length )にルールを適用できます。

ステップ 3 (任意)トレース ルートの出力に ASA が表示されるように、ICMP の到達不能メッセージに対するレート制限を設定します。

icmp unreachable rate-limit rate burst-size size
 

hostname(config)# icmp unreachable rate-limit 50 burst-size 1
 

レート制限は 1 ~ 100 の範囲で設定できます。デフォルトは 1 です。バースト サイズは動作には影響しませんが、1 ~ 10 の範囲で設定する必要があります。

ASA をホップの 1 つとして表示するトレース ルートに対して ASA の通過を許可するためには、 set connection decrement-ttl コマンドをイネーブルにするほか、レート制限を大きくする必要があります。たとえば、次のポリシーでは、ASA を通過するすべてのトラフィックについて、Time-to-Live(TTL; 存続可能時間)の値を小さくしています。

class-map global-class
  match any
policy-map global_policy
  class global-class
  set connection decrement-ttl
 


 

次の例は、10.1.1.15 のホストを除くすべてのホストで内部インターフェイスへの ICMP の使用を許可する方法を示しています。

hostname(config)# icmp deny host 10.1.1.15 inside
hostname(config)# icmp permit any inside
 

次の例は、10.1.1.15 のアドレスを持つホストに内部インターフェイスへの ping だけを許可する方法を示しています。

hostname(config)# icmp permit host 10.1.1.15 inside
 

次に、外部インターフェイスですべての ping 要求を拒否し、すべての packet-too-big メッセージを許可する(パス MTU ディスカバリをサポートするため)方法を示します。

hostname(config)# ipv6 icmp deny any echo-reply outside
hostname(config)# ipv6 icmp permit any packet-too-big outside
 

次の例は、ホスト 2000:0:0:4::2 またはプレフィックス 2001::/64 上のホストに対して外部インターフェイスへの ping を許可する方法を示しています。

hostname(config)# ipv6 icmp permit host 2000:0:0:4::2 echo-reply outside
hostname(config)# ipv6 icmp permit 2001::/64 echo-reply outside
hostname(config)# ipv6 icmp permit any packet-too-big outside
 

アクセス ルールのモニタリング

ネットワーク アクセスをモニタするには、次のコマンドを入力します。

clear access-list id counters

アクセス リストのヒット数を消去します。

show access-list [ name ]

アクセス リストを表示します。ACE ごとに行が表示され、そのヒット数が表示されます。ACL 名を指定しないと、すべてのアクセス リストが表示されます。

show running-config access-group

インターフェイスにバインドされている現在の ACL を表示します。

アクセス ルールの syslog メッセージの評価

アクセス ルールに関するメッセージは、syslog イベントのビューア(ASDM のビューアなど)を使用して確認できます。

デフォルトのロギングを使用している場合、明示的に拒否されたフローに対する syslog メッセージ 106023 だけが表示されます。ルールのリストの最後にある「暗黙の deny」に一致するトラフィックは記録されません。

ASA が攻撃を受けた場合、拒否されたパケットを示す syslog メッセージの数が非常に大きくなることがあります。代わりに、syslog メッセージ 106100 を使用するロギングをイネーブルにすることをお勧めします。このメッセージは各ルール(許可ルールも含む)の統計情報を示すもので、これを使用することにより、生成される syslog メッセージの数を制限できます。また、特定のルールについて、すべてのロギングをディセーブルにする方法もあります。

メッセージ 106100 のロギングがイネーブルで、パケットが ACE と一致した場合、ASA はフロー エントリを作成して、指定された時間内で受信したパケットの数を追跡します。ASA は、最初のヒットがあったとき、および各間隔の終わりに syslog メッセージを生成し、その間隔におけるヒットの合計数と最後のヒットのタイムスタンプを示します。各間隔の終わりに、ASA はヒット数を 0 にリセットします。1 つの間隔内で ACE と一致するパケットがなかった場合、ASA はそのフロー エントリを削除します。ルールのロギングの設定では、それぞれのルールについて、ログ メッセージの間隔のほか、重大度も制御することができます。

フローは、送信元 IP アドレス、宛先 IP アドレス、プロトコル、およびポートで定義されます。同じ 2 つのホスト間の新しい接続では、送信元ポートが異なる場合があるため、接続のための新しいフローが作成されると、同じフローの増加は示されない場合があります。

確立された接続に属する、許可されたパケットを ACL でチェックする必要はありません。最初のパケットだけがロギングされ、ヒット数に含められます。ICMP などのコネクションレス型プロトコルの場合は、許可されているパケットもすべてロギングされ、拒否されたパケットはすべてロギングされます。

これらのメッセージの詳細については、 syslog メッセージ ガイド を参照してください。


ヒント メッセージ 106100 のロギングがイネーブルで、パケットが ACE と一致した場合、ASA はフロー エントリを作成して、指定された時間内で受信したパケットの数を追跡します。ASAでは、ACE 用のロギング フローを最大 32 K 保持できます。どの時点でも大量のフローが同時に存在する可能性があります。メモリおよび CPU リソースが無制限に消費されないようにするために、ASA は同時拒否フロー数に制限を設定します。この制限は、拒否フローに対してだけ設定されます(許可フローには設定されません)。これは、拒否フローは攻撃を示している可能性があるためです。制限に達すると、ASA は既存の拒否フローが期限切れになるまでロギング用の新しい拒否フローを作成せず、メッセージ 106101 を発行します。このメッセージの頻度は access-list alert-interval secs コマンドを使用して、拒否フローのキャッシュの最大数は access-list deny-flow-max number コマンドを使用して制御できます。

ネットワーク アクセスの許可または拒否の設定例

この項では、ネットワーク アクセスの許可または拒否の一般的な設定例を示します。

次の例は、内部サーバ 1 のネットワーク オブジェクトを追加し、サーバに対してスタティック NAT を実行し、内部サーバ 1 への外側からのアクセスをイネーブルにします。

hostname(config)# object network inside-server1
hostname(config)# host 10.1.1.1
hostname(config)# nat (inside,outside) static 209.165.201.12
 
hostname(config)# access-list outside_access extended permit tcp any object inside-server1 eq www
hostname(config)# access-group outside_access in interface outside
 

次の例では、すべてのホストに inside ネットワークと hr ネットワークの間での通信を許可しますが、外部ネットワークへのアクセスは特定のホストだけに許可されます。

hostname(config)# access-list ANY extended permit ip any any
hostname(config)# access-list OUT extended permit ip host 209.168.200.3 any
hostname(config)# access-list OUT extended permit ip host 209.168.200.4 any
 
hostname(config)# access-group ANY in interface inside
hostname(config)# access-group ANY in interface hr
hostname(config)# access-group OUT out interface outside
 

たとえば、次のサンプル ACL では、内部インターフェイスで発信される一般的な EtherType が許可されます。

hostname(config)# access-list ETHER ethertype permit ipx
hostname(config)# access-list ETHER ethertype permit mpls-unicast
hostname(config)# access-group ETHER in interface inside
 

次の例では、ASA を通過する一部の EtherType が許可されますが、それ以外はすべて拒否されます。

hostname(config)# access-list ETHER ethertype permit 0x1234
hostname(config)# access-list ETHER ethertype permit mpls-unicast
hostname(config)# access-group ETHER in interface inside
hostname(config)# access-group ETHER in interface outside
 

次の例では、両方のインターフェイスで EtherType 0x1256 のトラフィックが拒否されますが、他のトラフィックはすべて許可されます。

hostname(config)# access-list nonIP ethertype deny 1256
hostname(config)# access-list nonIP ethertype permit any
hostname(config)# access-group ETHER in interface inside
hostname(config)# access-group ETHER in interface outside
 

次の例では、オブジェクト グループを使用して内部インターフェイスの特定のトラフィックを許可します。

!
hostname (config)# object-group service myaclog
hostname (config-service)# service-object tcp source range 2000 3000
hostname (config-service)# service-object tcp source range 3000 3010 destinatio$
hostname (config-service)# service-object ipsec
hostname (config-service)# service-object udp destination range 1002 1006
hostname (config-service)# service-object icmp echo
 
hostname(config)# access-list outsideacl extended permit object-group myaclog interface inside any
 

アクセス ルールの履歴

 

機能名
プラットフォーム リリース
説明

インターフェイス アクセス ルール

7.0(1)

ACL を使用した、ASA 経由のネットワーク アクセスの制御。

access-group コマンドが導入されました。

グローバル アクセス ルール

8.3(1)

グローバル アクセス ルールが導入されました。

access-group コマンドが変更されました。

アイデンティティ ファイアウォールのサポート

8.4(2)

アイデンティティ ファイアウォールのユーザおよびグループを発信元と宛先に使用できるようになりました。アイデンティティ ファイアウォール ACL はアクセス ルールや AAA ルールとともに、および VPN 認証に使用できます。

access-list extended コマンドが変更されました。

EtherType ACL が IS-IS トラフィックをサポート

8.4(5)、9.1(2)

トランスペアレント ファイアウォール モードでは、ASA が EtherType ACL を使用して IS-IS トラフィックを渡すことができるようになりました。

access-list ethertype { permit | deny } isis コマンドが変更されました。

TrustSec のサポート

9.0(1)

TrustSec セキュリティ グループを送信元と宛先に使用できるようになりました。アイデンティティ ファイアウォール ACL をアクセス ルールとともに使用できます。

access-list extended コマンドが変更されました。

IPv4 および IPv6 の統合 ACL

9.0(1)

ACL で IPv4 および IPv6 アドレスがサポートされるようになりました。送信元および宛先に対して IPv4 および IPv6 アドレスの組み合わせも指定できます。 any キーワードは、IPv4 および IPv6 トラフィックを表すように変更されました。IPv4 のみのトラフィックを表す any4 キーワードと、IPv6 のみのトラフィックを表す any6 キーワードが追加されました。IPv6 固有の ACL は非推奨です。既存の IPv6 ACL は拡張 ACL に移行されます。移行の詳細については、リリース ノートを参照してください。

access-list extended access-list webtype の各コマンドが変更されました。

ipv6 access-list ipv6 access-list webtype ipv6-vpn-filter の各コマンドが削除されました。

ICMP コードによって ICMP トラフィックをフィルタリングするための拡張 ACL とオブジェクト機能拡張

9.0(1)

ICMP コードに基づいて ICMP トラフィックの許可または拒否ができるようになりました。

access-list extended service-object、service の各コマンドが導入または変更されました。

アクセス グループ ルール エンジンのトランザクション コミット モデル

9.1(5)

イネーブルにすると、ルールのコンパイルの完了後に、ルールの照合パフォーマンスに影響を及ぼすことなくルールの更新が適用されます。

asp rule-engine transactional-commit show running-config asp rule-engine transactional-commit clear configure asp rule-engine transactional-commit の各コマンドが導入されました。