Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
アクセスリストに関する情報
アクセスリストに関する情報
発行日;2012/02/01 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

アクセスリストに関する情報

アクセスリストのタイプ

アクセス コントロール エントリの順序

アクセス コントロールによる暗黙的な拒否

NAT 使用時にアクセスリストで使用する IP アドレス

関連情報

アクセスリストに関する情報

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスは、アクセスリストによる基本的なトラフィック フィルタリング機能を備えています。この機能を使用すると、特定のトラフィックの出入りを防止して、ネットワーク内のアクセスを制御できます。この章では、アクセスリストについて説明し、ネットワーク コンフィギュレーションにアクセスリストを追加する方法を示します。

アクセスリストは、1 つまたは複数の Access Control Entry(ACE; アクセス コントロール エントリ)で構成されます。ACE は、パケットを転送またはドロップするための許可規則または拒否規則を指定するアクセスリスト内の 1 つのエントリで、プロトコル、送信元 IP アドレス、宛先 IP アドレス、またはネットワークに適用されます。また、オプションで、送信元ポートおよび宛先ポートに適用される場合もあります。

すべてのルーテッド プロトコルおよびネットワーク プロトコル(IP や AppleTalk など)に対してアクセスリストを設定し、それらのプロトコルのパケットがルータを通過するときに、パケットをフィルタリングすることができます。

アクセスリストは、さまざまな機能で使用されます。モジュラ ポリシー フレームワークを使用する機能では、アクセスリストによってトラフィック クラスマップ内のトラフィックを識別できます。モジュラ ポリシー フレームワークの詳細については、「モジュラ ポリシー フレームワークの使用」を参照してください。

この章には、次の項があります。

「アクセスリストのタイプ」

「アクセス コントロール エントリの順序」

「アクセス コントロールによる暗黙的な拒否」

「NAT 使用時にアクセスリストで使用する IP アドレス」

アクセスリストのタイプ

適応型セキュリティ アプライアンスでは、次の 5 つのタイプのアクセス コントロール リストが使用されます。

標準アクセスリスト:OSPF ルートの宛先 IP アドレスを指定します。このアクセスリストは、OSPF 再配布のルートマップに使用できます。標準アクセスリストをインターフェイスに適用してトラフィックを制御することはできません。詳細については、「標準アクセスリストの追加」 を参照してください。

拡張アクセスリスト:1 つまたは複数のアクセス コントロール エントリ(ACE)を使用します。このリストには、行番号を指定して ACE、送信元アドレス、および宛先アドレスを挿入できます。また、ACE タイプによっては、プロトコル、ポート(TCP または UDP の場合)、または IPCMP タイプ(ICMP の場合)も挿入できます。詳細については、「拡張アクセスリストの追加」を参照してください。

EtherType アクセスリスト:EtherType を指定する 1 つまたは複数の ACE を使用します。詳細については、「EtherType アクセスリストの追加」を参照してください。

Webtype アクセスリスト:クライアントレス SSL VPN のフィルタリングをサポートするコンフィギュレーションで使用されます。詳細については、「Webtype アクセスリストの追加」を参照してください。

IPv6 アクセスリスト:ルータ インターフェイスでブロックする IPv6 トラフィックと転送するトラフィックを決定します。詳細については、「IPv6 アクセスリストの追加」を参照してください。

表 10-1 に、アクセスリストのタイプと、それらの一般的な使用目的の一部を示します。

 

表 10-1 アクセスリストのタイプと一般的な使用目的

アクセスリストの使用目的
アクセスリストのタイプ
説明

IP トラフィックのネットワーク アクセスの制御(ルーテッド モードおよびトランスペアレント モード)

拡張

適応型セキュリティ アプライアンスでは、拡張アクセスリストにより明示的に許可されている場合を除き、低位のセキュリティ インターフェイスから高位のセキュリティ インターフェイスへのトラフィックは認められません。

(注) また、管理アクセス用の適応型セキュリティ アプライアンス インターフェイスにアクセスする場合は、ホスト IP アドレスを許可するアクセスリストは不要です。必要なのは、「管理アクセスの設定」の説明に従って管理アクセスを設定することだけです。

AAA 規則でのトラフィック識別

拡張

AAA 規則では、アクセスリストを使用してトラフィックを識別します。

所定のユーザに関する IP トラフィックのネットワーク アクセス制御

拡張、ユーザごとに AAA サーバからダウンロード

ユーザに適用するダイナミック アクセスリストをダウンロードするように RADIUS サーバを設定できます。または、適応型セキュリティ アプライアンス上に設定済みのアクセスリストの名前を送信するようにサーバを設定できます。

NAT(ポリシー NAT および NAT 免除)のアドレス識別

拡張

ポリシー NAT を使用すると、拡張アクセスリストで送信元アドレスと宛先アドレスを指定することにより、アドレスを変換するローカル トラフィックを指定できます。

VPN アクセスの確立

拡張

VPN コマンドで拡張アクセスリストを使用できます。

モジュラ ポリシー フレームワークのトラフィック クラスマップ内でのトラフィック識別

拡張

EtherType

アクセスリストを使用すると、クラスマップ内のトラフィックを識別できます。このマップは、モジュラ ポリシー フレームワークをサポートする機能に使用されます。モジュラ ポリシー フレームワークをサポートする機能には、TCP および一般的な接続設定や検査などがあります。

透過ファイアウォール モードの場合、IP 以外のトラフィックのネットワーク アクセスの制御

EtherType

トラフィックを EtherType に基づいて制御するためのアクセスリストを設定できます。

OSPF ルート再配布の指定

標準

標準アクセスリストには、宛先アドレスだけが含まれています。標準アクセスリストを使用して、OSPF ルートの再配布を制御できます。

WebVPN のフィルタリング

Webtype

URL をフィルタリングするように Webtype アクセスリストを設定できます。

IPV6 ネットワークのネットワーク アクセスの制御

IPv6

アクセスリストを追加および適用して、IPv6 ネットワーク内のトラフィックを制御できます。

アクセス コントロール エントリの順序

アクセスリストは、1 つまたは複数のアクセス コントロール エントリ(ACE)で構成されます。特定のアクセスリスト名に対して入力した各 ACE は、そのアクセスリストの末尾に追加されます。アクセスリストのタイプに応じて、送信元アドレス、宛先アドレス、プロトコル、ポート(TCP または UDP の場合)、ICMP タイプ(ICMP の場合)、または EtherType を指定できます。

ACE の順序は重要です。適応型セキュリティ アプライアンスは、パケットを転送するかドロップするかを決定するとき、エントリがリストされている順序で各 ACE とパケットを照合します。一致が見つかると、ACE はそれ以上チェックされません。たとえば、すべてのトラフィックを明示的に許可する ACE をアクセスリストの先頭に作成した場合、それより後の文はまったくチェックされず、パケットが転送されます。

アクセス コントロールによる暗黙的な拒否

各アクセスリストの末尾には、暗黙的な拒否文があります。そのため、トラフィックの通過を明示的に許可しない限り、トラフィックは拒否されます。たとえば、1 つまたは複数の特定のアドレス以外のすべてのユーザが適応型セキュリティ アプライアンス経由でネットワークにアクセスできるようにするには、特定のアドレスを拒否してから、その他のすべてのアドレスを許可する必要があります。

EtherType アクセスリストの場合、アクセスリストの末尾にある暗黙的な拒否は、IP トラフィックや ARP には影響しません。たとえば、EtherType 8037 を許可する場合、アクセスリストの末尾にある暗黙的な拒否によって、拡張アクセスリストで以前許可(または高位のセキュリティ インターフェイスから低位のセキュリティ インターフェイスへ暗黙的に許可)した IP トラフィックがブロックされることはありません。ただし、EtherType ACE とのすべてのトラフィックを 明示的 に拒否する場合、IP と ARP のトラフィックが拒否されます。

NAT 使用時にアクセスリストで使用する IP アドレス

NAT を使用する場合、アクセスリストに指定する IP アドレスは、アクセスリストが適用されるインターフェイスによって異なります。つまり、そのインターフェイスに接続されたネットワーク上で有効なアドレスを使用する必要があります。使用されるアドレスは宛先によって決まるのではなく、インターフェイスによってだけ決まるというガイドラインは、着信アクセスリストと発信アクセスリストの両方に当てはまります。

たとえば、内部インターフェイスの着信方向にアクセスリストを適用する場合は、内部の送信元アドレスが外部アドレスにアクセスするときに、内部の送信元アドレスに対して NAT を実行するように、適応型セキュリティ アプライアンスを設定します。アクセスリストは内部インターフェイスに適用されるため、送信元アドレスは変換されていない元のアドレスです。外部アドレスは変換されないため、アクセスリストで使用される宛先アドレスは実際のアドレスです (図 10-1 を参照)。

図 10-1 アクセスリスト内の IP アドレス:送信元アドレスに対して使用される NAT

 

この例について、次のコマンドを参照してください。

hostname(config)# access-list INSIDE extended permit ip 10.1.1.0 255.255.255.0 host 209.165.200.225
hostname(config)# access-group INSIDE in interface inside
 

内部ホストへのアクセスを外部ホストに許可する場合は、外部インターフェイスに着信アクセスリストを適用します。内部ホストの変換後アドレスは外部ネットワーク上で使用できるアドレスであるため、変換後アドレスをアクセスリストで指定する必要があります (図 10-2 を参照)。

図 10-2 アクセスリスト内の IP アドレス:宛先アドレスに対して使用される NAT

 

この例について、次のコマンドを参照してください。

hostname(config)# access-list OUTSIDE extended permit ip host 209.165.200.225 host 209.165.201.5
hostname(config)# access-group OUTSIDE in interface outside
 

両方のインターフェイスに対して NAT を実行する場合は、そのインターフェイスにとって可視のアドレスを使用することに留意してください。図 10-3 は、内部ネットワークで変換後アドレスが示されるように、スタティック NAT を使用する外部サーバを示しています。

図 10-3 アクセスリスト内の IP アドレス:送信元アドレスと宛先アドレスに対して使用される NAT

 

この例について、次のコマンドを参照してください。

hostname(config)# access-list INSIDE extended permit ip 10.1.1.0 255.255.255.0 host 10.1.1.56

hostname(config)# access-group INSIDE in interface inside

 

関連情報

アクセスリストの実装の詳細については、このマニュアルの次の章を参照してください。

「拡張アクセスリストの追加」

「EtherType アクセスリストの追加」

「標準アクセスリストの追加」

「Webtype アクセスリストの追加」

「IPv6 アクセスリストの追加」