Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
ネットワーク アクセスの許可または拒否
ネットワーク アクセスの許可または拒否
発行日;2012/02/06 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

ネットワーク アクセスの許可または拒否

着信アクセスリストおよび発信アクセスリストに関する情報

着信アクセスリストおよび発信アクセスリストのライセンス要件

前提条件

ガイドラインと制限事項

デフォルト設定

インターフェイスへのアクセスリストの適用

ネットワーク アクセスの許可または拒否の監視

ネットワーク アクセスの許可または拒否の設定例

ネットワーク アクセスの許可または拒否の機能履歴

ネットワーク アクセスの許可または拒否

この章では、セキュリティ アプライアンスを経由するネットワーク アクセスを、アクセスリストを使用して制御する方法について説明します。次の項目を取り上げます。

「着信アクセスリストおよび発信アクセスリストに関する情報」

「着信アクセスリストおよび発信アクセスリストのライセンス要件」

「前提条件」

「ガイドラインと制限事項」

「デフォルト設定」

「インターフェイスへのアクセスリストの適用」

「ネットワーク アクセスの許可または拒否の監視」

「ネットワーク アクセスの許可または拒否の設定例」

「ネットワーク アクセスの許可または拒否の機能履歴」

着信アクセスリストおよび発信アクセスリストに関する情報

高セキュリティ インターフェイスから低セキュリティ インターフェイスへのトラフィックはすべて許可されるため、アクセスリストを使用して、低セキュリティ インターフェイスからのトラフィックを許可したり、高セキュリティ インターフェイスからのトラフィックを制限したりできます。

適応型セキュリティ アプライアンスでは、次の 2 つのタイプのアクセスリストをサポートします。

着信:着信アクセスリストは、インターフェイスに入ってくるトラフィックに適用されます。

発信:発信アクセスリストは、インターフェイスから出ていくトラフィックに適用されます。


) 「着信」および「発信」という用語は、インターフェイス上の適応型セキュリティ アプライアンスに入るトラフィックまたはインターフェイス上の適応型セキュリティ アプライアンスを出るトラフィックのどちらにインターフェイス上のアクセスリストが適用されているかを意味します。これらの用語は、一般に着信と呼ばれる、セキュリティの低いインターフェイスから高いインターフェイスへのトラフィックの移動や、一般に発信と呼ばれる、セキュリティの高いインターフェイスから低いインターフェイスへのトラフィックの移動を意味しません。


アクセスリストは、たとえば内部ネットワークの特定のホストにのみ外部ネットワークの Web サーバへのアクセスを許可する場合に便利です。複数の着信アクセスリストを作成してアクセスを制限するよりも、発信アクセスリストを 1 つ作成して、指定したホストだけが許可されるようにすることができます (図 35-1 を参照)。Network Address Translation(NAT; ネットワーク アドレス変換)および IP アドレスについては、「NAT 使用時にアクセスリストで使用する IP アドレス」を参照してください。発信アクセスリストは、他のホストが外部ネットワークに到達することを禁止します。

図 35-1 発信アクセスリスト

 

この例について、次のコマンドを参照してください。

hostname(config)# access-list OUTSIDE extended permit tcp host 209.165.201.4 host 209.165.200.225 eq www
hostname(config)# access-list OUTSIDE extended permit tcp host 209.165.201.6 host 209.165.200.225 eq www
hostname(config)# access-list OUTSIDE extended permit tcp host 209.165.201.8 host 209.165.200.225 eq www
hostname(config)# access-group OUTSIDE out interface outside

着信アクセスリストおよび発信アクセスリストのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

前提条件

ネットワーク アクセスの許可および拒否には次の前提条件があります。

インターフェイスにアクセスリストを適用するには、アクセスリスト エントリを含むアクセスリストをあらかじめ作成しておく必要があります。詳細については、「拡張アクセスリストの追加」を参照してください。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

「コンテキスト モードのガイドライン」

「ファイアウォール モードのガイドライン」

「IPv6 のガイドライン」

「その他のガイドラインと制限事項」

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

その他のガイドラインと制限事項

ネットワーク アクセスの許可または拒否には、次のガイドラインと制限事項が適用されます。

デフォルトでは、高セキュリティ インターフェイスから低セキュリティ インターフェイスへのトラフィックはすべて許可されます。アクセスリストを使用して、低セキュリティ インターフェイスからのトラフィックを許可したり、高セキュリティ インターフェイスからのトラフィックを制限したりできます。

ルーテッド ファイアウォール モードの場合も透過ファイアウォール モードの場合も、ネットワーク アクセスを制御するには、アクセスリストを使用します。トランスペアレント モードでは、拡張アクセスリスト(レイヤ 3 トラフィック用)と EtherType アクセスリスト(レイヤ 2 トラフィック用)の両方を使用できます。拡張アクセスリストの作成の詳細については、「拡張アクセスリストの追加」を参照してください。EtherType アクセスリストの作成の詳細については、「EtherType アクセスリストの追加」を参照してください。

管理アクセス用の適応型セキュリティ アプライアンス インターフェイスにアクセスする場合は、ホスト IP アドレスを許可するアクセスリストは不要です。必要なのは、「管理アクセスの設定」の手順に従って管理アクセスを設定することだけです。

コネクションレス型プロトコルの場合、トラフィックをどちらの方向にも通過させるには、送信元インターフェイスと宛先ンターフェイスにアクセスリストを適用する必要があります。たとえば、トランスペアレント モードでは、EtherType アクセスリストで BGP を許可できますが、その場合は両方のインターフェイスにアクセスリストを適用する必要があります。

パケットが到着したときに、パケットに関連付けられているユーザごとのアクセスリストが存在しない場合は、インターフェイス アクセスリストが適用されます。

ユーザごとのアクセスリストには、 timeout コマンドの uauth オプションで指定したタイムアウト値で制御されます。ただし、このタイムアウト値は、AAA のユーザごとのセッション タイムアウト値で上書きできます。

ユーザごとのアクセスリストのためにユーザ トラフィックが拒否された場合、syslog メッセージ 109025 がログに記録されます。ユーザ トラフィックが許可された場合、syslog メッセージは生成されません。ユーザごとのアクセスリストの log オプションの効果はありません。

access-list コマンドは、必ず access-group コマンドとともに使用してください。

1 つまたは複数の access-group コマンドによって参照されているアクセスリストからすべての機能エントリ(permit 文と deny 文)が削除されると、 access-group コマンドが自動的にコンフィギュレーションから削除されます。 access-group コマンドでは、空のアクセスリストまたはコメントしか含まれていないアクセスリストを参照できません。

no access-group コマンドは、アクセスリストとインターフェイス interface_name とのバインドを解除します。

show running config access-group コマンドは、インターフェイスにバインドされている現在のアクセスリストを表示します。

clear configure access-group コマンドは、すべてのアクセスリストをインターフェイスから削除します。

To-the-box 管理トラフィック( http ssh telnet などのコマンドで定義されます)のアクセス コントロール ルールは、 control-plane オプションで適用されたアクセスリストより優先されます。したがって、このような許可された管理トラフィックは、to-the-box アクセスリストで明示的に拒否されている場合でも着信が許可されます。

デフォルト設定

表 35-1 に、ネットワーク アクセスの許可または拒否のパラメータのデフォルト設定を示します。

 

表 35-1 ネットワーク アクセスの許可または拒否のデフォルト パラメータ

パラメータ
デフォルト

--

デフォルトの動作や値はありません。

インターフェイスへのアクセスリストの適用

拡張アクセスリストは、インターフェイスの着信方向または発信方向に適用できます。インターフェイスの両方の方向に適用できるアクセスリストは、タイプ(拡張および EtherType)ごとに 1 つです。また、IPv4 アクセスリストと IPv6 アクセスリストを、インターフェイスの同じ方向に同時に適用することもできます。アクセスリストの方向の詳細については、「着信アクセスリストおよび発信アクセスリストに関する情報」を参照してください。

アクセスリストをインターフェイスの着信方向または発信方向に適用するには、次のコマンドを入力します。

 

コマンド
目的
access-group access_list { in | out } interface interface_name [ per-user-override ]

 

 

例:

hostname(config)# access-group acl_out in interface outside

アクセスリストをインターフェイスにバインドします。アクセスリストは、インターフェイスへの着信トラフィックに適用されます。 access-list コマンド文に permit オプションを入力した場合、セキュリティ アプライアンスはパケットの処理を続けます。 access-list コマンド文に deny オプションを入力した場合、セキュリティ アプライアンスはパケットを破棄し、syslog メッセージを生成します。

in キーワードは、指定したインターフェイスのトラフィックにアクセスリストを適用します。 out キーワードは、発信トラフィックにアクセスリストを適用します。

per-user-override キーワードを使用すると、ユーザ認可用にダウンロードしたダイナミック ユーザ アクセスリストにより、インターフェイスに割り当てられているアクセスリストを上書きできます。たとえば、インターフェイス アクセスリストが 10.0.0.0 からのトラフィックをすべて拒否し、ダイナミック アクセスリストが 10.0.0.0 からのトラフィックをすべて許可する場合、そのユーザに関しては、ダイナミック アクセスリストによってインターフェイス アクセスリストが上書きされます。ユーザごとのアクセスリストの詳細については、「RADIUS 認可の設定」を参照してください。


) オプションの per-user-override キーワードは、着信アクセスリストに限り使用可能です。


per-user-override オプション引数がない場合、セキュリティ アプライアンスは既存のフィルタリング動作を維持します。

(コマンド オプションの詳細については、『 Cisco Security Appliance Command Reference 』の access-group コマンドを参照してください)。

次の例は、 access-group コマンドを使用する方法を示しています。

hostname(config)# static (inside,outside) 209.165.201.3 10.1.1.3
hostname(config)# access-list acl_out permit tcp any host 209.165.201.3 eq 80
hostname(config)# access-group acl_out in interface outside
 

static コマンドでは、10.1.1.3 の Web サーバにグローバル アドレス 209.165.201.3 を提供しています。 access-list コマンドでは、任意のホストからポート 80 を使用してグローバル アドレスにアクセスできるようにしています。 access-group コマンドでは、外部インターフェイスに入るトラフィックに access-list コマンドを適用するように指定しています。

ネットワーク アクセスの許可または拒否の監視

ネットワーク アクセスを監視するには、次のいずれかのタスクを実行します。

 

コマンド
目的
show running-config access-group

インターフェイスにバインドされている現在のアクセスリストを表示します。

ネットワーク アクセスの許可または拒否の設定例

この項では、ネットワーク アクセスの許可または拒否の一般的な設定例を示します。

次の例は、IP アドレス 209.165.201.12 の内部 Web サーバへのアクセスをイネーブルにするために必要なコマンドを示しています (この IP アドレスは、NAT 後、外部インターフェイスで可視となるアドレスです)。

hostname(config)# access-list ACL_OUT extended permit tcp any host 209.165.201.12 eq www
hostname(config)# access-group ACL_OUT in interface outside
 

この Web サーバ用の NAT も設定する必要があります。

次の例では、すべてのホストに inside ネットワークと hr ネットワークの間での通信を許可しますが、外部ネットワークへのアクセスは特定のホストだけに許可されます。

hostname(config)# access-list ANY extended permit ip any any
hostname(config)# access-list OUT extended permit ip host 209.168.200.3 any
hostname(config)# access-list OUT extended permit ip host 209.168.200.4 any
 
hostname(config)# access-group ANY in interface inside
hostname(config)# access-group ANY in interface hr
hostname(config)# access-group OUT out interface outside
 

たとえば、次のサンプル アクセスリストでは、内部インターフェイスで発信される一般的な EtherType が許可されます。

hostname(config)# access-list ETHER ethertype permit ipx
hostname(config)# access-list ETHER ethertype permit bpdu
hostname(config)# access-list ETHER ethertype permit mpls-unicast
hostname(config)# access-group ETHER in interface inside
 

次の例では、適応型セキュリティ アプライアンスを通過する一部の EtherType が許可されますが、それ以外はすべて拒否されます。

hostname(config)# access-list ETHER ethertype permit 0x1234
hostname(config)# access-list ETHER ethertype permit bpdu
hostname(config)# access-list ETHER ethertype permit mpls-unicast
hostname(config)# access-group ETHER in interface inside
hostname(config)# access-group ETHER in interface outside
 

次の例では、両方のインターフェイスで EtherType 0x1256 のトラフィックが拒否されますが、他のトラフィックはすべて許可されます。

hostname(config)# access-list nonIP ethertype deny 1256
hostname(config)# access-list nonIP ethertype permit any
hostname(config)# access-group ETHER in interface inside
hostname(config)# access-group ETHER in interface outside
 

次の例では、オブジェクト グループを使用して内部インターフェイスの特定のトラフィックを許可します。

!
hostname (config)# object-group service myaclog
hostname (config-service)# service-object tcp source range 2000 3000
hostname (config-service)# service-object tcp source range 3000 3010 destinatio$
hostname (config-service)# service-object ipsec
hostname (config-service)# service-object udp destination range 1002 1006
hostname (config-service)# service-object icmp echo
 
hostname(config)# access-list outsideacl extended permit object-group myaclog interface inside any

ネットワーク アクセスの許可または拒否の機能履歴

表 35-2 に、この機能のリリース履歴の一覧を示します。

 

表 35-2 ネットワーク アクセスの許可または拒否の機能履歴

機能名
リリース
機能情報

ネットワーク アクセスの許可または拒否

7.0

セキュリティ アプライアンスを経由するネットワーク アクセスを、アクセスリストを使用して制御します。

access-group コマンドが導入または変更されました。