Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
アクセス規則の設定
アクセス規則の設定
発行日;2012/02/07 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

アクセス規則の設定

アクセス規則に関する情報

規則に関する一般情報

暗黙的な許可

同じインターフェイスでのアクセス規則と EtherType 規則の使用

着信規則と発信規則

グローバル アクセス規則の使用

拡張アクセス規則に関する情報

リターン トラフィックに対するアクセス規則

アクセス規則を使用した透過ファイアウォールを介したブロードキャストとマルチキャスト トラフィックの許可

管理アクセス規則

EtherType 規則に関する情報

サポートされている EtherType

リターン トラフィックに対するアクセス規則

MPLS の許可

アクセス規則のライセンス要件

前提条件

ガイドラインと制限事項

デフォルト設定

アクセス規則の設定

アクセス規則のモニタリング

ネットワーク アクセスの許可または拒否の設定例

アクセス規則の機能履歴

アクセス規則の設定

この章では、セキュリティ アプライアンスを経由するネットワーク アクセスを、アクセス規則を使用して制御する方法について説明します。次の項目を取り上げます。

「アクセス規則に関する情報」

「アクセス規則のライセンス要件」

「前提条件」

「ガイドラインと制限事項」

「デフォルト設定」

「アクセス規則の設定」

「アクセス規則のモニタリング」

「ネットワーク アクセスの許可または拒否の設定例」

「アクセス規則の機能履歴」


) ルーテッド ファイアウォール モードの場合も透過ファイアウォール モードの場合も、ネットワーク アクセスを制御するには、アクセス規則を使用します。トランスペアレント モードでは、アクセス規則(レイヤ 3 トラフィックの場合)と EtherType 規則(レイヤ 2 トラフィックの場合)の両方を使用できます。

また、適応型セキュリティ アプライアンス インターフェイスに管理アクセスの目的でアクセスするには、ホスト IP アドレスを許可するアクセス規則は必要ありません。必要なのは、「管理アクセスの設定」の説明に従って管理アクセスを設定することだけです。


アクセス規則に関する情報

拡張または EtherType アクセスリストを特定のインターフェイスに、またはすべてのインターフェイスに対してグローバルに適用することによって、アクセス規則を作成します。ルーテッド ファイアウォール モードと透過ファイアウォール モードでアクセス規則を使用して、IP トラフィックを制御できます。アクセス規則では、プロトコル、送信元および宛先の IP アドレスまたはネットワーク、および任意で送信元ポートと宛先ポートに基づいてトラフィックが許可または拒否されます。

トランスペアレント モードの場合に限り、EtherType 規則によって非 IP トラフィックのネットワーク アクセスが制御されます。EtherType 規則では、EtherType に基づいてトラフィックが許可または拒否されます。

この項は、次の内容で構成されています。

「規則に関する一般情報」

「拡張アクセス規則に関する情報」

「EtherType 規則に関する情報」

規則に関する一般情報

この項では、アクセス規則と EtherType 規則の両方について説明します。次の項目を取り上げます。

「暗黙的な許可」

「同じインターフェイスでのアクセス規則と EtherType 規則の使用」

「着信規則と発信規則」

「グローバル アクセス規則の使用」

暗黙的な許可

ルーテッド モードの場合、デフォルトでは次のタイプのトラフィックが許可されます。

高セキュリティ インターフェイスから低セキュリティ インターフェイスへの IPv4 トラフィック。

高セキュリティ インターフェイスから低セキュリティ インターフェイスへの IPv6 トラフィック。

トランスペアレント モードの場合、デフォルトでは次のタイプのトラフィックが許可されます。

高セキュリティ インターフェイスから低セキュリティ インターフェイスへの IPv4 トラフィック。

高セキュリティ インターフェイスから低セキュリティ インターフェイスへの IPv6 トラフィック。

双方向の Address Resolution Protocol(ARP; アドレス解決プロトコル)。


) ARP トラフィックは ARP 検査によって制御できますが、アクセス規則によって制御することはできません。


双方向の Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)。

他のトラフィックには、拡張アクセス規則(IPv4)、IPv6 アクセス規則(IPv6)、または EtherType 規則(非 IPv4/IPv6)のいずれかを使用する必要があります。

同じインターフェイスでのアクセス規則と EtherType 規則の使用

1 つのアクセス規則と 1 つの EtherType 規則を各方向のインターフェイスに適用できます。

着信規則と発信規則

適応型セキュリティ アプライアンスでは、次の 2 つのタイプのアクセスリストをサポートします。

着信:着信アクセスリストは、インターフェイスに入ってくるトラフィックに適用されます。

発信:発信アクセスリストは、インターフェイスから出ていくトラフィックに適用されます。


) 「着信」および「発信」という用語は、インターフェイス上の適応型セキュリティ アプライアンスに入るトラフィックまたはインターフェイス上の適応型セキュリティ アプライアンスを出るトラフィックのどちらにインターフェイス上のアクセスリストが適用されているかを意味します。これらの用語は、一般に着信と呼ばれる、セキュリティの低いインターフェイスから高いインターフェイスへのトラフィックの移動や、一般に発信と呼ばれる、セキュリティの高いインターフェイスから低いインターフェイスへのトラフィックの移動を意味しません。


着信アクセスリストを利用して、特定のインターフェイスにアクセスリストをバインドしたり、すべてのインターフェイスにグローバル規則を適用したりすることができます。グローバル規則の詳細については、「グローバル アクセス規則の使用」を参照してください。

アクセスリストは、たとえば内部ネットワークの特定のホストにのみ外部ネットワークの Web サーバへのアクセスを許可する場合に便利です。複数の着信アクセスリストを作成してアクセスを制限するよりも、発信アクセスリストを 1 つ作成して、指定したホストだけが許可されるようにすることができます(図 31-1 を参照)。発信アクセスリストは、他のホストが外部ネットワークに到達することを禁止します。

図 31-1 発信アクセスリスト

 

この例について、次のコマンドを参照してください。

hostname(config)# access-list OUTSIDE extended permit tcp host 209.165.201.4 host 209.165.200.225 eq www
hostname(config)# access-list OUTSIDE extended permit tcp host 209.165.201.6 host 209.165.200.225 eq www
hostname(config)# access-list OUTSIDE extended permit tcp host 209.165.201.8 host 209.165.200.225 eq www
hostname(config)# access-group OUTSIDE out interface outside
 

グローバル アクセス規則の使用

グローバル アクセス規則の利用により、規則の適用を必要とするインターフェイスを指定せずに、入トラフィックにグローバル規則を適用できます。グローバル アクセス規則を使用する利点としては、次のものがあります。

競合アプライアンスから適応型セキュリティ アプライアンスに移行するときに、各インターフェイスにインターフェイス固有のポリシーを適用する代わりに、グローバル アクセス規則ポリシーを維持することができます。

グローバル アクセス コントロール ポリシーは、インターフェイスごとに複製されないため、メモリ容量を節約できます。

グローバル アクセス規則により、セキュリティ ポリシーを柔軟に定義することができます。送信元および宛先の IP アドレスに一致する限り、パケットを受信するインターフェイスを指定する必要がありません。

グローバル アクセス規則では、インターフェイス固有のアクセス規則と同じ mtrie および stride ツリーを使用するので、グローバル規則のスケーラビリティとパフォーマンスはインターフェイス固有の規則と同一になります。

インターフェイス アクセス規則と一緒にグローバル アクセス規則を設定できます。この場合、特定のインターフェイス アクセス規則が常に汎用のグローバル アクセス規則よりも前に処理されます。

リターン トラフィックに対するアクセス規則

ルーテッド モードとトランスペアレント モードの両方に対する TCP 接続および UDP 接続については、リターン トラフィックを許可するためのアクセス規則は必要ありません。適応型セキュリティ アプライアンスは、確立された双方向接続のリターン トラフィックをすべて許可します。

ただし、ICMP などのコネクションレス型プロトコルについては、適応型セキュリティ アプライアンスは単方向セッションを確立します。したがって、(アクセスリストを送信元インターフェイスと宛先インターフェイスに適用することで)アクセス規則で双方向の ICMP を許可するか、ICMP 検査エンジンをイネーブルにする必要があります。ICMP 検査エンジンは、ICMP セッションを双方向接続として扱います。ping を制御するには、 echo-reply(0 )(適応型セキュリティ アプライアンスからホストへ)または echo(8 )(ホストから適応型セキュリティ アプライアンスへ)を指定します。

アクセス規則を使用した透過ファイアウォールを介したブロードキャストとマルチキャスト トラフィックの許可

ルーテッド ファイアウォール モードでは、ブロードキャストとマルチキャスト トラフィックは、アクセス規則で許可されている場合でもブロックされます。これには、サポートされていないダイナミック ルーティング プロトコルおよび DHCP(DHCP リレーを設定している場合を除く)が含まれます。透過ファイアウォール モードでは、すべての IP トラフィックの通過を許可できます。この機能は、たとえば、ダイナミック ルーティングが許可されていないマルチコンテキスト モードで特に有用です。


) これらの特殊なタイプのトラフィックはコネクションレス型であるため、拡張アクセスリストを両方のインターフェイスに適用して、リターン トラフィックの通過を許可する必要があります。


表 31-1 に、透過ファイアウォールの通過を許可できる一般的なトラフィック タイプを示します。

 

表 31-1 透過ファイアウォールの特殊トラフィック

トラフィック タイプ
プロトコルまたはポート

DHCP

UDP ポート 67 および 68

DHCP サーバがイネーブルの場合、適応型セキュリティ アプライアンスは DHCP パケットの通過を拒否します。

EIGRP

プロトコル 88

--

OSPF

プロトコル 89

--

マルチキャスト ストリーム

UDP ポートは、アプリケーションによって異なります。

マルチキャスト ストリームは、常に Class D アドレス(224.0.0.0 to 239.x.x.x)に送信されます。

RIP(v1 または v2)

UDP ポート 520

--

管理アクセス規則

適応型セキュリティ アプライアンス宛ての管理トラフィックを制御するアクセス規則を設定できます。To-the-box 管理トラフィック( http ssh telnet などのコマンドで定義されます)のアクセス コントロール規則は、 control-plane オプションで適用された管理アクセス規則よりも優先されます。したがって、このような許可された管理トラフィックは、to-the-box アクセスリストで明示的に拒否されている場合でも着信が許可されます。

EtherType 規則に関する情報

この項では、EtherType 規則について説明します。次の項目を取り上げます。

「サポートされている EtherType」

「リターン トラフィックに対するアクセス規則」

「MPLS の許可」

サポートされている EtherType

EtherType 規則は、16 ビットの 16 進数値で指定されるすべての EtherType を制御します。

EtherType 規則では、Ethernet V2 フレームがサポートされています。

802.3 形式フレームでは、type フィールドではなく length フィールドが使用されるため、規則では処理されません。

デフォルトで許可される BPDU は唯一の例外です。BPDU は、SNAP でカプセル化されており、適応型セキュリティ アプライアンスは特別に BPDU を処理するように設計されています。

適応型セキュリティ アプライアンスでは、トランク ポート(シスコ専用)BPDU が受信されます。トランク BPDU のペイロードには VLAN 情報が含まれるので、BPDU を許可すると、適応型セキュリティ アプライアンスにより、発信 VLAN を使用してペイロードが修正されます。

リターン トラフィックに対するアクセス規則

EtherType はコネクションレス型であるため、トラフィックを両方向に通過させる必要がある場合は、両方のインターフェイスに規則を適用する必要があります。

MPLS の許可

MPLS を許可する場合は、Label Distribution Protocol(LDP; ラベル配布プロトコル)および Tag Distribution Protocol(TDP; タグ配布プロトコル)の TCP 接続が適応型セキュリティ アプライアンスを経由して確立されるようにしてください。これには、適応型セキュリティ アプライアンス インターフェイス上の IP アドレスを LDP セッションまたは TDP セッションの router-id として使用するように、適応型セキュリティ アプライアンスに接続されている両方の MPLS ルータを設定します(LDP および TDP を使用することにより、MPLS ルータは、転送するパケットに使用するラベル(アドレス)をネゴシエートできるようになります)。

Cisco IOS ルータで、使用プロトコル(LDP または TDP)に適したコマンドを入力します。 interface は、適応型セキュリティ アプライアンスに接続されているインターフェイスです。

hostname(config)# mpls ldp router-id interface force
 

または

hostname(config)# tag-switching tdp router-id interface force
 

アクセス規則のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

前提条件

アクセス規則を作成するには、まず、アクセスリストを作成します。詳細については、「拡張アクセスリストの追加」および「EtherType アクセスリストの追加」を参照してください。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

ユーザごとのアクセスリストのガイドライン

ユーザごとのアクセスリストがパケットに関連付けられていない場合、インターフェイス アクセス規則が適用されます。

ユーザごとのアクセスリストでは、 timeout uauth コマンドの値が使用されますが、この値は AAA のユーザごとのセッション タイムアウト値で上書きできます。

ユーザごとのアクセスリストのためにトラフィックが拒否された場合、syslog メッセージ 109025 がログに記録されます。トラフィックが許可された場合、syslog メッセージは生成されません。ユーザごとのアクセスリストの log オプションの効果はありません。

その他のガイドラインと制限事項

管理アクセス用の適応型セキュリティ アプライアンス インターフェイスにアクセスする場合は、ホスト IP アドレスを許可するアクセスリストは不要です。必要なのは、「管理アクセスの設定」の手順に従って管理アクセスを設定することだけです。

デフォルト設定

「暗黙的な許可」を参照してください。

アクセス規則の設定

アクセス規則を適用するには、次の手順を実行します。

手順の詳細

 

コマンド
目的

access-group access_list {{ in | out } interface interface_name [ per-user-override | control-plane ] | global }

 

hostname(config)# access-group acl_out in interface outside

アクセスリストをインターフェイスにバインドするか、グローバルに適用します。

コマンドでは、空のアクセスリストまたはコメントしか含まれていないアクセスリストを参照できません。

in キーワードは、指定したインターフェイスのトラフィックにアクセスリストを適用します。 out キーワードは、発信トラフィックにアクセスリストを適用します。

per-user-override キーワードを使用すると(着信アクセスリストの場合に限る)、ユーザ認可用にダウンロードしたダイナミック ユーザ アクセスリストにより、インターフェイスに割り当てられているアクセスリストを上書きできます。たとえば、インターフェイス アクセスリストが 10.0.0.0 からのトラフィックをすべて拒否し、ダイナミック アクセスリストが 10.0.0.0 からのトラフィックをすべて許可する場合、そのユーザに関しては、ダイナミック アクセスリストによってインターフェイス アクセスリストが上書きされます。ユーザごとのアクセスリストの詳細については、「RADIUS 認可の設定」を参照してください。「ユーザごとのアクセスリストのガイドライン」も参照してください。

規則の対象が to-the-box トラフィックである場合、 control-plane キーワードを指定します。

global キーワードは、すべてのインターフェイスの着信方向にアクセス リストを適用します。

次の例は、 access-group コマンドを使用する方法を示しています。

hostname(config)# access-list acl_out permit tcp any host 209.165.201.3 eq 80
hostname(config)# access-group acl_out in interface outside
 

access-list コマンドでは、任意のホストからポート 80 を使用してグローバル アドレスにアクセスできるようにしています。 access-group コマンドでは、外部インターフェイスに入るトラフィックに access-list コマンドを適用するように指定しています。

アクセス規則のモニタリング

ネットワーク アクセスをモニタするには、次のいずれかのタスクを実行します。

 

コマンド
目的
show running-config access-group

インターフェイスにバインドされている現在のアクセスリストを表示します。

ネットワーク アクセスの許可または拒否の設定例

この項では、ネットワーク アクセスの許可または拒否の一般的な設定例を示します。

次の例は、IP アドレス 209.165.201.12 の内部 Web サーバへのアクセスをイネーブルにするために必要なコマンドを示しています(この IP アドレスは、NAT 後、外部インターフェイスで可視となるアドレスです)。

hostname(config)# access-list ACL_OUT extended permit tcp any host 209.165.201.12 eq www
hostname(config)# access-group ACL_OUT in interface outside
 

この Web サーバ用の NAT も設定する必要があります。

次の例では、すべてのホストに inside ネットワークと hr ネットワークの間での通信を許可しますが、外部ネットワークへのアクセスは特定のホストだけに許可されます。

hostname(config)# access-list ANY extended permit ip any any
hostname(config)# access-list OUT extended permit ip host 209.168.200.3 any
hostname(config)# access-list OUT extended permit ip host 209.168.200.4 any
 
hostname(config)# access-group ANY in interface inside
hostname(config)# access-group ANY in interface hr
hostname(config)# access-group OUT out interface outside
 

たとえば、次のサンプル アクセスリストでは、内部インターフェイスで発信される一般的な EtherType が許可されます。

hostname(config)# access-list ETHER ethertype permit ipx
hostname(config)# access-list ETHER ethertype permit mpls-unicast
hostname(config)# access-group ETHER in interface inside
 

次の例では、適応型セキュリティ アプライアンスを通過する一部の EtherType が許可されますが、それ以外はすべて拒否されます。

hostname(config)# access-list ETHER ethertype permit 0x1234
hostname(config)# access-list ETHER ethertype permit mpls-unicast
hostname(config)# access-group ETHER in interface inside
hostname(config)# access-group ETHER in interface outside
 

次の例では、両方のインターフェイスで EtherType 0x1256 のトラフィックが拒否されますが、他のトラフィックはすべて許可されます。

hostname(config)# access-list nonIP ethertype deny 1256
hostname(config)# access-list nonIP ethertype permit any
hostname(config)# access-group ETHER in interface inside
hostname(config)# access-group ETHER in interface outside
 

次の例では、オブジェクト グループを使用して内部インターフェイスの特定のトラフィックを許可します。

!
hostname (config)# object-group service myaclog
hostname (config-service)# service-object tcp source range 2000 3000
hostname (config-service)# service-object tcp source range 3000 3010 destinatio$
hostname (config-service)# service-object ipsec
hostname (config-service)# service-object udp destination range 1002 1006
hostname (config-service)# service-object icmp echo
 
hostname(config)# access-list outsideacl extended permit object-group myaclog interface inside any

アクセス規則の機能履歴

表 31-2 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 31-2 アクセス規則の機能履歴

機能名
プラットフォーム リリース
機能情報

インターフェイス アクセス規則。

7.0(1)

セキュリティ アプライアンスを経由するネットワーク アクセスを、アクセスリストを使用して制御します。

access-group コマンドが導入されました。

グローバル アクセス規則。

8.3(1)

グローバル アクセス規則が導入されました。

access-group コマンドが変更されました。