Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
拡張アクセスリストの追加
拡張アクセスリストの追加
発行日;2012/02/01 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

拡張アクセスリストの追加

拡張アクセスリストに関する情報

透過ファイアウォールを介したブロードキャストとマルチキャスト トラフィックの許可

拡張アクセスリストのライセンス要件

ガイドラインと制限事項

デフォルト設定

拡張アクセスリストの設定

拡張アクセスリストの設定のタスク フロー

拡張アクセスリストの追加

アクセスリストへのコメントの追加

拡張アクセスリスト エントリの削除

次の作業

拡張アクセスリストの監視

拡張アクセスリストの設定例

拡張アクセスリストの機能履歴

拡張アクセスリストの追加

この章では、拡張アクセスリスト(アクセス コントロール リストとも呼ばれます)を設定する方法について説明します。次の項目を取り上げます。

「拡張アクセスリストに関する情報」

「拡張アクセスリストのライセンス要件」

「ガイドラインと制限事項」

「デフォルト設定」

「拡張アクセスリストの設定」

「次の作業」

「拡張アクセスリストの監視」

「拡張アクセスリストの設定例」

「拡張アクセスリストの機能履歴」

拡張アクセスリストに関する情報

アクセスリストは、ネットワーク アクセスを制御したり、さまざまな機能を適用するトラフィックを指定したりするために使用されます。拡張アクセスリストは、1 つまたは複数の Access Control Entry(ACE; アクセス コントロール エントリ)で構成されます。このリストには、行番号を指定して ACE、送信元アドレス、および宛先アドレスを挿入できます。また、ACE タイプによっては、プロトコル、ポート(Transmission Control Protocol(TCP; 伝送制御プロトコル)または User Datagram Protocol(UDP; ユーザ データグラム プロトコル)の場合)、または Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)タイプ(ICMP の場合)も挿入できます。これらのパラメータはすべて、access-list コマンドで指定できます。各パラメータ用のオブジェクト グループを使用することもできます。この項では、コマンドでパラメータを指定する方法について説明します。オブジェクト グループを使用してアクセスリストを簡素化する場合は、「オブジェクト グループの設定」を参照してください。

ルーテッド モードとトランスペアレント モードの両方に対する TCP 接続および UDP 接続については、リターン トラフィックを許可するためのアクセスリストは必要ありません。セキュリティ アプライアンスは、確立された双方向接続のリターン トラフィックをすべて許可します。ただし、ICMP などのコネクションレス型プロトコルについては、セキュリティ アプライアンスは単方向セッションを確立します。したがって、(アクセスリストを送信元インターフェイスと宛先インターフェイスに適用することで)アクセスリストで双方向の ICMP を許可するか、ICMP 検査エンジンをイネーブルにする必要があります。ICMP 検査エンジンは、ICMP セッションを双方向接続として扱います。

インターフェイスの各方向の各タイプ(拡張および EtherType)に適用できるアクセスリストは 1 つだけです。同一のアクセスリストを複数のインターフェイスに適用できます。

透過ファイアウォールを介したブロードキャストとマルチキャスト トラフィックの許可

ルーテッド ファイアウォール モードでは、ブロードキャストとマルチキャスト トラフィックは、アクセスリストで許可されている場合でもブロックされます。これには、サポートされていないダイナミック ルーティング プロトコルおよび Dynamic Host Configuration Protocol(DHCP; ダイナミック ホスト コンフィギュレーション プロトコル)(DHCP リレーを設定している場合を除く)が含まれます。透過ファイアウォール モードでは、すべての IP トラフィックの通過を許可できます。この機能は、たとえば、ダイナミック ルーティングが許可されていないマルチコンテキスト モードで特に有用です。


) これらの特殊なタイプのトラフィックはコネクションレス型であるため、拡張アクセスリストを両方のインターフェイスに適用して、リターン トラフィックの通過を許可する必要があります。


表 11-1 に、透過ファイアウォールの通過を許可できる一般的なトラフィック タイプを示します。

 

表 11-1 透過ファイアウォールの特殊トラフィック

トラフィック タイプ
プロトコルまたはポート

DHCP

UDP ポート 67 および 68

DHCP サーバがイネーブルの場合、適応型セキュリティ アプライアンスは DHCP パケットの通過を拒否します。

EIGRP

プロトコル 88

--

OSPF

プロトコル 89

--

マルチキャスト ストリーム

UDP ポートは、アプリケーションによって異なります。

マルチキャスト ストリームは、常に Class D アドレス(224.0.0.0 to 239.x.x.x)に送信されます。

RIP(v1 または v2)

UDP ポート 520

--

拡張アクセスリストのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

「コンテキスト モードのガイドライン」

「ファイアウォール モードのガイドライン」

「その他のガイドラインと制限事項」

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードおよび透過ファイアウォール モードでだけサポートされています。

IPv6 のガイドライン

IPv6 がサポートされます。

その他のガイドラインと制限事項

拡張アクセスリストの作成には、次のガイドラインと制限事項が適用されます。

特定のアクセスリスト名に対して access-list コマンドを入力するときに、行番号を指定しないと、ACE はアクセスリストの末尾に追加されます。

アクセスリスト名は、大文字で入力します。これによって、コンフィギュレーションで名前が見つけやすくなります。アクセスリストには、インターフェイスを表す名前(INSIDE など)や、作成する目的を表す名前(NO_NAT や VPN など)を付けることができます。

通常、プロトコルには ip キーワードを指定しますが、他のプロトコルも受け入れられます。プロトコル名のリストについては、「プロトコルとアプリケーション」を参照してください。

1 つのアドレスを指定する場合は、IP アドレスの前に host キーワードを入力します。この場合は、マスクを入力しません。すべてのアドレスを指定する場合は、アドレスとマスクの代わりに any キーワードを入力します。

tcp プロトコルまたは udp プロトコルの場合に限り、送信元ポートおよび宛先ポートを指定できます。使用できるキーワードおよび予約済みポート割り当てのリストについては、「TCP ポートと UDP ポート」を参照してください。DNS、Discard、Echo、Ident、NTP、RPC、SUNRPC、および Talk は、それぞれに TCP の定義と UDP の定義の両方が必要です。TACACS+ では、ポート 49 に対して 1 つの TCP 定義が必要です。

icmp プロトコルの場合に限り、ICMP タイプを指定できます。ICMP はコネクションレス型プロトコルであるため、(アクセスリストを送信元インターフェイスと宛先インターフェイスに適用することで)アクセスリストで両方向の ICMP を許可するか、ICMP 検査エンジンをイネーブルにする必要があります (「ICMP タイプ オブジェクト グループの追加」を参照)。ICMP 検査エンジンは、ICMP セッションをステートフル接続として扱います。ping を制御するには、 echo-reply 0 )(適応型セキュリティ アプライアンスからホストへ)または echo 8 )(ホストから適応型セキュリティ アプライアンスへ)を指定します。ICMP タイプのリストについては、「ICMP タイプ オブジェクト グループの追加」を参照してください。

ネットワーク マスクを指定するときは、指定方法が Cisco IOS ソフトウェアの access-list コマンドとは異なることに注意してください。適応型セキュリティ アプライアンスでは、ネットワーク マスク(たとえば、Class C マスクの 255.255.255.0)が使用されます。Cisco IOS マスクでは、ワイルドカード ビット(たとえば、0.0.0.255)が使用されます。

ACE を非アクティブにするには、 inactive キーワードを使用します。再度イネーブルにするには、 inactive キーワードを使用せずに ACE 全体を入力します。この機能では、再イネーブル化を簡単にするために、非アクティブな ACE のレコードをコンフィギュレーションに保持できます。

指定した ACE のロギングをディセーブルにするには、disable オプションを使用します。

デフォルト設定

表 11-2 に、拡張アクセスリスト パラメータのデフォルトの設定を示します。

 

表 11-2 デフォルトの拡張アクセスリスト パラメータ

パラメータ
デフォルト

ACE ロギング

ACE ロギングは、拒否されたパケットについてシステム ログ メッセージ 106023 を生成します。拒否されたパケットをログに記録するには、拒否 ACE が存在している必要があります。

log

log キーワードが指定されている場合、システム ログ メッセージ 106100 のデフォルトの重大度は 6(情報)で、デフォルトの間隔は 300 秒です。

拡張アクセスリストの設定

この項では、アクセス コントロール エントリとアクセスリストを追加および削除する方法について説明します。次の項目を取り上げます。

「拡張アクセスリストの設定のタスク フロー」

「拡張アクセスリストの追加」

「アクセスリストへのコメントの追加」

「拡張アクセスリスト エントリの削除」

拡張アクセスリストの設定のタスク フロー

アクセスリストを作成して実装するには、次のガイドラインを使用します。

ACE を追加し、アクセスリスト名を適用して、アクセスリストを作成します (「拡張アクセスリストの追加」を参照してください)。

アクセスリストをインターフェイスに適用します (詳細については、「インターフェイスへのアクセスリストの適用」を参照してください)。

拡張アクセスリストの追加

アクセスリストは、同じアクセスリスト ID を持つ 1 つまたは複数のアクセス コントロール エントリ(ACE)で構成されます。アクセスリストを作成するには、まず ACE を作成し、リスト名を適用します。アクセスリストには複数のエントリを追加できますが、1 つのエントリを含むアクセスリストもリストと見なされます。

拡張アクセスリストまたは ACE を追加するには、次のコマンドを入力します。

 

コマンド
目的
access-list access_list_ name [ line line_number ] [ extended ] {deny | permit} protocol source_address mask [ operator port ] dest_address mask [ operator port | icmp_type ] [ inactive ]
 
:
hostname(config)# access-list ACL_IN extended permit ip any any
 
 

拡張アクセス コントロール エントリを追加します。

line line_number オプションでは、ACE を挿入する行番号を指定します。行番号を指定しなかった場合は、アクセスリストの末尾に ACE が追加されます。行番号はコンフィギュレーションに保存されません。ACE の挿入場所を指定するだけです。

extended オプションは、ACE を追加します。

deny キーワードは、条件が一致した場合にパケットを拒否します。一部の機能(NAT など)では、拒否 ACE を許可しません。詳細については、アクセスリストを使用する各機能のコマンド マニュアルを参照してください。

permit キーワードは、条件が一致した場合にパケットを許可します。

protocol 引数には、IP プロトコルの名前または番号を指定します。たとえば、UDP は 17、TCP は 6、EGP は 47 です。

source_address には、パケットの送信元のネットワークまたはホストの IP アドレスを指定します。1 つのアドレスを指定する場合は、IP アドレスの前に host キーワードを入力します。この場合は、マスクを入力しません。すべてのアドレスを指定する場合は、アドレスとマスクの代わりに any キーワードを入力します。

operator port オプションは、送信元または宛先によって使用されるポート番号に一致します。使用できる演算子は、次のとおりです。

lt :小なり。

gt :大なり。

dq :同値。

neq :非同値。

range :値の包括的な範囲。この演算子を使用する場合は、2 つのポート番号を指定します(例: range 100 200 )。

dest_address には、パケットの送信先のネットワークまたはホストの IP アドレスを指定します。1 つのアドレスを指定する場合は、IP アドレスの前に host キーワードを入力します。この場合は、マスクを入力しません。すべてのアドレスを指定する場合は、アドレスとマスクの代わりに any キーワードを入力します。

icmp_type 引数には、ICMP タイプを指定します(プロトコルが ICMP の場合)。

inactive キーワードは、ACE ディセーブルにします。再度イネーブルにするには、 inactive キーワードを使用せずに ACE 全体を入力します。この機能では、再イネーブル化を簡単にするために、非アクティブな ACE のレコードをコンフィギュレーションに保持できます。

コマンド オプションの詳細については、『 Cisco Security Appliance Command Reference 』の access-list extended コマンドを参照してください。

アクセスリストへのコメントの追加

拡張アクセスリスト、EtherType アクセスリスト、IPv6 アクセスリスト、標準アクセスリスト、Webtype アクセスリストを含む任意のアクセスリストに、エントリについてのコメントを追加できます。コメントにより、アクセスリストが理解しやすくなります。

最後に入力した access-list コマンドの後にコメントを追加するには、次のコマンドを入力します。

 

コマンド
目的
access-list access_list_name remark text
 
:
hostname(config)# access-list OUT remark - this is the inside admin address
 

 

最後に入力した access-list コマンドの後にコメントを追加します。

テキストは 100 文字まで指定できます。テキストの先頭にスペースを入力できます。末尾のスペースは無視されます。

いずれかの access-list コマンドの前にコメントを入力すると、コメントはアクセスリストの最初の行に表示されます。

no access-list access_list_name コマンドを使用してアクセスリストを削除すると、コメントもすべて削除されます。

各 ACE の前にコメントを追加できます。コメントはその場所でアクセスリストに表示されます。コメントの開始位置にダッシュ(-)を入力すると、ACE と区別しやすくなります。

hostname(config)# access-list OUT remark - this is the inside admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.3 any
hostname(config)# access-list OUT remark - this is the hr admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.4 any

拡張アクセスリスト エントリの削除

この項では、ACE の削除方法について説明します。削除されたエントリがリスト内の唯一のエントリである場合は、リストとリスト名が削除されます。

拡張 ACE を削除するには、次のコマンドを入力します。

 

コマンド
目的
hostname(config)# no access-list access_list_ name [ line line_number ] [ extended ] {deny | permit} protocol source_address mask [ operator port ] dest_address mask [ operator port | icmp_type ] [ inactive ]
 
:
hostname(config)# access-list ACL_IN extended permit ip any any
 

拡張アクセスリスト エントリを削除します。

no access-list コマンドを、コンフィギュレーションに表示される完全なコマンド シンタックス文字列で入力します。


) アクセスリスト全体を削除するには、clear configure access-list コマンドを使用します。


コマンド オプションの詳細については、「拡張アクセスリストの追加」または『 Cisco Security Appliance Command Reference 』を参照してください。

次の作業

アクセスリストをインターフェイスに適用します (詳細については、「インターフェイスへのアクセスリストの適用」を参照してください)。

拡張アクセスリストの監視

拡張アクセスリストを監視するには、次のいずれかのコマンドを入力します。

 

コマンド
目的
show access list

アクセスリスト エントリを番号で表示します。

show running-config access-list

現在実行しているアクセスリスト コンフィギュレーションを表示します。

拡張アクセスリストの設定例

次のアクセスリストでは、すべてのホスト(アクセスリストを適用するインターフェイス上にあるすべてのホスト)に対して、適応型セキュリティ アプライアンスの通過が許可されます。

hostname(config)# access-list ACL_IN extended permit ip any any
 

次のサンプル アクセスリストでは、192.168.1.0/24 上のホストが 209.165.201.0/27 ネットワークにアクセスすることが禁止されます。その他のアドレスはすべて許可されます。

hostname(config)# access-list ACL_IN extended deny tcp 192.168.1.0 255.255.255.0
209.165.201.0 255.255.255.224
hostname(config)# access-list ACL_IN extended permit ip any any
 

選択したホストだけにアクセスを制限する場合は、限定的な許可 ACE を入力します。デフォルトでは、明示的に許可しない限り、他のトラフィックはすべて拒否されます。

hostname(config)# access-list ACL_IN extended permit ip 192.168.1.0 255.255.255.0
209.165.201.0 255.255.255.224
 

次のアクセスリストでは、すべてのホスト(アクセスリスト適用先のインターフェイス上にあるすべてのホスト)がアドレス 209.165.201.29 の Web サイトにアクセスすることが禁止されます。他のトラフィックはすべて許可されます。

hostname(config)# access-list ACL_IN extended deny tcp any host 209.165.201.29 eq www
hostname(config)# access-list ACL_IN extended permit ip any any
 

オブジェクト グループを使用する次のアクセスリストでは、内部ネットワーク上のいくつかのホストがいくつかの Web サーバへのアクセスを禁止されます。他のトラフィックはすべて許可されます。

hostname(config-network)# access-list ACL_IN extended deny tcp object-group denied
object-group web eq www
hostname(config)# access-list ACL_IN extended permit ip any any
hostname(config)# access-group ACL_IN in interface inside
 

次の例では、あるネットワーク オブジェクト グループ(A)から別のネットワーク オブジェクト グループ(B)へのトラフィックを許可するアクセスリストを一時的にディセーブルにします。

hostname(config)# access-list 104 permit ip host object-group A object-group B inactive

時間ベースのアクセスリストを実装するには、 time-range コマンドを使用して、1 日および週の特定の時刻を定義します。次に、 access-list extended コマンドを使用して、時間範囲をアクセスリストにバインドします。次の例では、「Sales」という名前のアクセスリストを「New_York_Minute」という名前の時間範囲にバインドしています。

hostname(config)# access-list Sales line 1 extended deny tcp host 209.165.200.225 host
209.165.201.1 time-range New_York_Minute
 

拡張アクセスリストの機能履歴

表 11-3 に、この機能のリリース履歴の一覧を示します。

 

表 11-3 拡張アクセスリストの機能履歴

機能名
リリース
機能情報

拡張アクセス コントロール リスト

7.0

アクセスリストは、ネットワーク アクセスを制御したり、さまざまな機能を適用するトラフィックを指定したりするために使用されます。拡張アクセス コントロール リストは、1 つまたは複数のアクセス コントロール エントリ(ACE)で構成されます。このリストには、行番号を指定して ACE、送信元アドレス、および宛先アドレスを挿入できます。また、ACE タイプによっては、プロトコル、ポート(TCP または UDP の場合)、または ICMP タイプ(ICMP の場合)も挿入できます。

access-list extended コマンドが追加されました。