Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
拡張アクセスリストの追加
拡張アクセスリストの追加
発行日;2012/02/01 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

拡張アクセスリストの追加

拡張アクセスリストに関する情報

拡張アクセスリストのライセンス要件

ガイドラインと制限事項

デフォルト設定

拡張アクセスリストの設定

拡張アクセスリストの追加

アクセスリストへのコメントの追加

拡張アクセスリストのモニタリング

拡張アクセスリストの設定例

拡張アクセスリストの設定例(オブジェクトなし)

拡張アクセスリストの設定例(オブジェクト使用)

関連情報

拡張アクセスリストの機能履歴

拡張アクセスリストの追加

この章では、拡張アクセスリスト(アクセス コントロール リストとも呼ばれます)を設定する方法について説明します。次の項目を取り上げます。

「拡張アクセスリストに関する情報」

「拡張アクセスリストのライセンス要件」

「ガイドラインと制限事項」

「デフォルト設定」

「拡張アクセスリストの設定」

「拡張アクセスリストのモニタリング」

「拡張アクセスリストの設定例」

「関連情報」

「拡張アクセスリストの機能履歴」

拡張アクセスリストに関する情報

アクセスリストは、ネットワーク アクセスを制御したり、さまざまな機能を適用するトラフィックを指定したりするために使用されます。拡張アクセスリストは、1 つまたは複数の Access Control Entry(ACE; アクセス コントロール エントリ)で構成されます。このリストには、行番号を指定して ACE、送信元アドレス、および宛先アドレスを挿入できます。また、ACE タイプによっては、プロトコル、ポート(TCP または UDP 用)、あるいは ICMP タイプも挿入できます。これらのパラメータはすべて、 access-list コマンドで指定できます。各パラメータ用のオブジェクトを使用することもできます。

拡張アクセスリストのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードおよび透過ファイアウォール モードでだけサポートされています。

IPv6 のガイドライン

IPv6 がサポートされます。

その他のガイドラインと制限事項

拡張アクセスリストの作成には、次のガイドラインと制限事項が適用されます。

アクセスリスト名は、大文字で入力します。これによって、コンフィギュレーションで名前が見つけやすくなります。アクセスリストには、インターフェイスを表す名前(INSIDE など)や、作成する目的を表す名前(NO_NAT や VPN など)を付けることができます。

通常、プロトコルには ip キーワードを指定しますが、他のプロトコルも受け入れられます。プロトコル名のリストについては、「プロトコルとアプリケーション」を参照してください。

TCP プロトコルまたは UDP プロトコルの場合に限り、送信元ポートおよび宛先ポートを指定できます。使用できるキーワードおよび予約済みポート割り当てのリストについては、「TCP ポートと UDP ポート」を参照してください。DNS、Discard、Echo、Ident、NTP、RPC、SUNRPC、および Talk は、それぞれに TCP の定義と UDP の定義の両方が必要です。TACACS+ では、ポート 49 に対して 1 つの TCP 定義が必要です。

ネットワーク マスクを指定するときは、指定方法が Cisco IOS ソフトウェアの access-list コマンドとは異なることに注意してください。適応型セキュリティ アプライアンスでは、ネットワーク マスク(たとえば、Class C マスクの 255.255.255.0)が使用されます。Cisco IOS マスクでは、ワイルドカード ビット(たとえば、0.0.0.255)が使用されます。

デフォルト設定

表 12-1 に、拡張アクセスリスト パラメータのデフォルトの設定を示します。

 

表 12-1 デフォルトの拡張アクセスリスト パラメータ

パラメータ
デフォルト

ACE ロギング

ACE ロギングは、拒否されたパケットについてシステム ログ メッセージ 106023 を生成します。拒否されたパケットをログに記録するには、拒否 ACE が存在している必要があります。

log

log キーワードが指定されている場合、システム ログ メッセージ 106100 のデフォルトの重大度は 6(情報)で、デフォルトの間隔は 300 秒です。

拡張アクセスリストの設定

この項では、アクセス コントロール エントリとアクセスリストを追加および削除する方法について説明します。次の項目を取り上げます。

「拡張アクセスリストの追加」

「アクセスリストへのコメントの追加」

拡張アクセスリストの追加

アクセスリストは、同じアクセスリスト ID を持つ 1 つまたは複数のアクセス コントロール エントリ(ACE)で構成されます。アクセスリストを作成するには、まず ACE を作成し、リスト名を適用します。アクセスリストには複数のエントリを追加できますが、1 つのエントリを含むアクセスリストもリストと見なされます。

前提条件

(オプション)「オブジェクトとグループの設定」に従ってオブジェクトまたはオブジェクト グループを作成します。

ガイドライン

ACE を削除するには、 no access-list コマンドを、コンフィギュレーションに表示されるコマンド構文のすべての文字列とともに入力します。アクセスリスト全体を削除するには、 clear configure access-list コマンドを使用します。

手順の詳細

コマンド
目的

(IP トラフィックの場合、ポートなし)

access-list access_list_ name [ line line_number ] extended { deny | permit }
{ protocol | object-group prot_grp_id }
{ source_address mask | object nw_obj_id | object-group nw_grp_id }
{ dest_address mask | object nw_obj_id | object-group nw_grp_id }
[ log [[ level ] [ interval secs ] | disable | default ]]
[ inactive | time-range time_range_name ]

 

(TCP または UDP トラフィックの場合、ポートあり)

access-list access_list_ name [ line line_number ] extended { deny | permit }
{ tcp | udp | object-group prot_grp_id }
{ source_address mask | object nw_obj_id | object-group nw_grp_id }
[ operator port | object-group svc_grp_id ]
{ dest_address mask | object nw_obj_id | object-group nw_grp_id }
[ operator port | object-group svc_grp_id ]
[ log [[ level ] [ interval secs ] | disable | default ]]
[ inactive | time-range time_range_name ]

 

(ICMP トラフィックの場合)

access-list access_list_ name [ line line_number ] extended { deny | permit } icmp
{ source_address mask | object nw_obj_id | object-group nw_grp_id }
{ dest_address mask | object nw_obj_id | object-group nw_grp_id }
[ icmp_type | object-group icmp_grp_id ] [ log [[ level ] [ interval secs ] | disable | default ]] [ inactive | time-range time_range_name ]

 

 

hostname(config)# access-list ACL_IN extended permit ip any any

 

拡張 ACE を追加します。

line line_number オプションは、ACE を挿入する行番号を指定します。行番号を指定しなかった場合は、アクセスリストの末尾に ACE が追加されます。行番号はコンフィギュレーションに保存されません。ACE の挿入場所を指定するだけです。

deny キーワードは、条件が一致した場合にパケットを拒否します。 permit キーワードは、条件が一致した場合にパケットを許可します。

コマンドにプロトコル、IP アドレス、またはポートを直接入力する代わりに、 object および object-group キーワードを使用して、ネットワーク オブジェクト(プロトコル、ネットワーク、ポート)、または ICMP オブジェクト グループを使用できます。オブジェクトの作成については、「オブジェクトとグループの設定」を参照してください。

protocol 引数には、IP プロトコルの名前または番号を指定します。たとえば、UDP は 17、TCP は 6、EGP は 47 です。

source_address には、パケットの送信元のネットワークまたはホストの IP アドレスを指定します。1 つのアドレスを指定する場合は、IP アドレスの前に host キーワードを入力します。この場合は、マスクを入力しません。すべてのアドレスを指定する場合は、アドレスとマスクの代わりに any キーワードを入力します。

TCP および UDP プロトコルの場合に限り、 operator port オプションによって送信元または宛先で使用されるポート番号を照合します。使用できる演算子は、次のとおりです。

lt :小なり。

gt :大なり。

dq :同値。

neq :非同値。

range :値の包括的な範囲。この演算子を使用する場合は、2 つのポート番号を指定します(例: range 100 200 )。

dest_address には、パケットの送信先のネットワークまたはホストの IP アドレスを指定します。1 つのアドレスを指定する場合は、IP アドレスの前に host キーワードを入力します。この場合は、マスクを入力しません。すべてのアドレスを指定する場合は、アドレスとマスクの代わりに any キーワードを入力します。

icmp_type 引数には、ICMP タイプを指定します(プロトコルが ICMP の場合)。

アクセスリストをアクティブにするときは、 time-range キーワードを指定します。詳細については、「拡張アクセスリストのアクティベーションのスケジュール設定」を参照してください。

inactive キーワードは、ACE ディセーブルにします。再度イネーブルにするには、 inactive キーワードを使用せずに ACE 全体を入力します。この機能では、再イネーブル化を簡単にするために、非アクティブな ACE のレコードをコンフィギュレーションに保持できます。

log キーワードについては、「アクセスリストのロギングの設定」を参照してください。

アクセスリストへのコメントの追加

拡張アクセスリスト、EtherType アクセスリスト、IPv6 アクセスリスト、標準アクセスリスト、Webtype アクセスリストを含む任意のアクセスリストに、エントリについてのコメントを追加できます。コメントにより、アクセスリストが理解しやすくなります。

最後に入力した access-list コマンドの後にコメントを追加するには、次のコマンドを入力します。

 

コマンド
目的
access-list access_list_name remark text
 
 
hostname(config)# access-list OUT remark - this is the inside admin address
 

 

最後に入力した access-list コマンドの後にコメントを追加します。

テキストは 100 文字まで指定できます。テキストの先頭にスペースを入力できます。末尾のスペースは無視されます。

いずれかの access-list コマンドの前にコメントを入力すると、コメントはアクセスリストの最初の行に表示されます。

no access-list access_list_name コマンドを使用してアクセスリストを削除すると、コメントもすべて削除されます。

各 ACE の前にコメントを追加できます。コメントはその場所でアクセスリストに表示されます。コメントの開始位置にダッシュ(-)を入力すると、ACE と区別しやすくなります。

hostname(config)# access-list OUT remark - this is the inside admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.3 any
hostname(config)# access-list OUT remark - this is the hr admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.4 any

拡張アクセスリストのモニタリング

拡張アクセスリストをモニタするには、次のいずれかのコマンドを入力します。

 

コマンド
目的
show access list

アクセスリスト エントリを番号で表示します。

show running-config access-list

現在実行しているアクセスリスト コンフィギュレーションを表示します。

拡張アクセスリストの設定例

この項は、次の内容で構成されています。

「拡張アクセスリストの設定例(オブジェクトなし)」

「拡張アクセスリストの設定例(オブジェクト使用)」

拡張アクセスリストの設定例(オブジェクトなし)

次のアクセスリストでは、すべてのホスト(アクセスリストを適用するインターフェイス上にあるすべてのホスト)に対して、適応型セキュリティ アプライアンスの通過が許可されます。

hostname(config)# access-list ACL_IN extended permit ip any any
 

次のサンプル アクセスリストでは、192.168.1.0/24 上のホストが 209.165.201.0/27 ネットワークにアクセスすることが禁止されます。その他のアドレスはすべて許可されます。

hostname(config)# access-list ACL_IN extended deny tcp 192.168.1.0 255.255.255.0
209.165.201.0 255.255.255.224
hostname(config)# access-list ACL_IN extended permit ip any any
 

選択したホストだけにアクセスを制限する場合は、限定的な許可 ACE を入力します。デフォルトでは、明示的に許可しない限り、他のトラフィックはすべて拒否されます。

hostname(config)# access-list ACL_IN extended permit ip 192.168.1.0 255.255.255.0
209.165.201.0 255.255.255.224
 

次のアクセスリストでは、すべてのホスト(アクセスリスト適用先のインターフェイス上にあるすべてのホスト)がアドレス 209.165.201.29 の Web サイトにアクセスすることが禁止されます。他のトラフィックはすべて許可されます。

hostname(config)# access-list ACL_IN extended deny tcp any host 209.165.201.29 eq www
hostname(config)# access-list ACL_IN extended permit ip any any
 

オブジェクト グループを使用する次のアクセスリストでは、内部ネットワーク上のいくつかのホストがいくつかの Web サーバへのアクセスを禁止されます。他のトラフィックはすべて許可されます。

hostname(config-network)# access-list ACL_IN extended deny tcp object-group denied
object-group web eq www
hostname(config)# access-list ACL_IN extended permit ip any any
hostname(config)# access-group ACL_IN in interface inside
 

次の例では、あるネットワーク オブジェクト グループ(A)から別のネットワーク オブジェクト グループ(B)へのトラフィックを許可するアクセスリストを一時的にディセーブルにします。

hostname(config)# access-list 104 permit ip host object-group A object-group B inactive

時間ベースのアクセスリストを実装するには、 time-range コマンドを使用して、1 日および週の特定の時刻を定義します。次に、 access-list extended コマンドを使用して、時間範囲をアクセスリストにバインドします。次の例では、「Sales」という名前のアクセスリストを「New_York_Minute」という名前の時間範囲にバインドしています。

hostname(config)# access-list Sales line 1 extended deny tcp host 209.165.200.225 host
209.165.201.1 time-range New_York_Minute
 

拡張アクセスリストの設定例(オブジェクト使用)

次に示す、オブジェクト グループを使用しない通常のアクセスリストでは、内部ネットワーク上のいくつかのホストがいくつかの Web サーバへのアクセスを禁止されます。他のトラフィックはすべて許可されます。

hostname(config)# access-list ACL_IN extended deny tcp host 10.1.1.4 host 209.165.201.29 eq www
hostname(config)# access-list ACL_IN extended deny tcp host 10.1.1.78 host 209.165.201.29 eq www
hostname(config)# access-list ACL_IN extended deny tcp host 10.1.1.89 host 209.165.201.29 eq www
hostname(config)# access-list ACL_IN extended deny tcp host 10.1.1.4 host 209.165.201.16 eq www
hostname(config)# access-list ACL_IN extended deny tcp host 10.1.1.78 host 209.165.201.16 eq www
hostname(config)# access-list ACL_IN extended deny tcp host 10.1.1.89 host 209.165.201.16 eq www
hostname(config)# access-list ACL_IN extended deny tcp host 10.1.1.4 host 209.165.201.78 eq www
hostname(config)# access-list ACL_IN extended deny tcp host 10.1.1.78 host 209.165.201.78 eq www
hostname(config)# access-list ACL_IN extended deny tcp host 10.1.1.89 host 209.165.201.78 eq www
hostname(config)# access-list ACL_IN extended permit ip any any
hostname(config)# access-group ACL_IN in interface inside
 

2 つのネットワーク オブジェクト グループ(内部ホスト用に 1 つ、Web サーバ用に 1 つ)を作成すると、コンフィギュレーションが簡略化され、簡単に修正してホストを追加できるようになります。

hostname(config)# object-group network denied
hostname(config-network)# network-object host 10.1.1.4
hostname(config-network)# network-object host 10.1.1.78
hostname(config-network)# network-object host 10.1.1.89
 
hostname(config-network)# object-group network web
hostname(config-network)# network-object host 209.165.201.29
hostname(config-network)# network-object host 209.165.201.16
hostname(config-network)# network-object host 209.165.201.78
 
hostname(config-network)# access-list ACL_IN extended deny tcp object-group denied object-group web eq www
hostname(config)# access-list ACL_IN extended permit ip any any
hostname(config)# access-group ACL_IN in interface inside
 

関連情報

アクセスリストをインターフェイスに適用します。詳細については、「アクセス規則の設定」を参照してください。

拡張アクセスリストの機能履歴

表 12-2 に、この機能のリリース履歴の一覧を示します。

 

表 12-2 拡張アクセスリストの機能履歴

機能名
リリース
機能情報

拡張アクセスリスト

7.0(1)

アクセスリストは、ネットワーク アクセスを制御したり、さまざまな機能を適用するトラフィックを指定したりするために使用されます。拡張アクセス コントロール リストは、1 つまたは複数のアクセス コントロール エントリ(ACE)で構成されます。このリストには、行番号を指定して ACE、送信元アドレス、および宛先アドレスを挿入できます。また、ACE タイプによっては、プロトコル、ポート(TCP または UDP の場合)、または ICMP タイプ(ICMP の場合)も挿入できます。

access-list extended コマンドが追加されました。