Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド Version 7.1(1)
ネットワーク アクセスの許可または 拒否
ネットワーク アクセスの許可または拒否
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

ネットワーク アクセスの許可または拒否

着信アクセスリストおよび発信アクセスリストの概要

インターフェイスへのアクセスリストの適用

ネットワーク アクセスの許可または拒否

この章では、セキュリティ アプライアンスを経由するネットワーク アクセスを、アクセスリストを使用して制御する方法について説明します。拡張アクセスリストまたは EtherType アクセスリストを作成するには、「アクセスリストによるトラフィックの指定」を参照してください。


) ルーテッド ファイアウォール モードの場合も透過ファイアウォール モードの場合も、ネットワーク アクセスを制御するには、ACL を使用します。透過モードでは、拡張 ACL(レイヤ 3 トラフィック用)と EtherType ACL(レイヤ 2 トラフィック用)の両方を使用できます。

管理アクセス用のセキュリティ アプライアンス インターフェイスにアクセスするために、ホスト IP アドレスを許可するアクセスリストを併せて使用する必要はありません。「システム アクセスの管理」に従って管理アクセスを設定するだけで十分です。


次の事項について説明します。

「着信アクセスリストおよび発信アクセスリストの概要」

「インターフェイスへのアクセスリストの適用」

着信アクセスリストおよび発信アクセスリストの概要

セキュリティ アプライアンスのインターフェイスを通過するトラフィックは、2 つの方法で制御できます。セキュリティ アプライアンスに入るトラフィックは、着信アクセスリストを発信元インターフェイスに関連付けることで制御できます。セキュリティ アプライアンスから出るトラフィックは、発信アクセスリストを宛先インターフェイスに関連付けることで制御できます。セキュリティ アプライアンスに入るトラフィックを許可するには、着信アクセスリストをインターフェイスに関連付ける必要があります。そのようにしていない場合、セキュリティ アプライアンスは、そのインターフェイスに入るすべてのトラフィックを自動的にドロップします。発信アクセスリストを使用してトラフィックを制限していない限り、デフォルトでは、トラフィックはどのインターフェイス上のセキュリティ アプライアンスでも出ることができます。発信アクセスリストは、着信アクセスリストですでに設定されている制限にさらに制限を追加します。


) 「着信」および「発信」とは、インターフェイス上のセキュリティ アプライアンスに入るトラフィックまたはインターフェイス上のセキュリティ アプライアンスを出るトラフィックのどちらにインターフェイス上のアクセスリストが適用されているかを意味します。これらの用語は、一般に着信と呼ばれる、セキュリティの低いインターフェイスから高いインターフェイスへのトラフィックの移動や、一般に発信と呼ばれる、セキュリティの高いインターフェイスから低いインターフェイスへのトラフィックの移動を意味しません。


発信アクセスリストは、アクセスリスト コンフィギュレーションを簡素化するために使用できます。たとえば、3 つの異なるインターフェイス上の 3 つの内部ネットワークが相互にアクセスできるようにする場合、すべてのトラフィックを許可する簡単な着信アクセスリストを各内部インターフェイス上に作成できます(図 15-1 を参照)。

図 15-1 着信アクセスリスト

 

この例について、次のコマンドを参照してください。

hostname(config)# access-list INSIDE extended permit ip any any
hostname(config)# access-group INSIDE in interface inside
 
hostname(config)# access-list HR extended permit ip any any
hostname(config)# access-group HR in interface hr
 
hostname(config)# access-list ENG extended permit ip any any
hostname(config)# access-group ENG in interface eng
 

次に、内部ネットワークの特定のホストだけに外部ネットワークの Web サーバへのアクセスを許可する場合、指定したホストだけを許可する、より限定的なアクセスリストを作成し、それを外部インターフェイスの発信方向に適用できます(図 15-2 を参照)。NAT および IP アドレスについては、「NAT 使用時にアクセスリストで使用する IP アドレス」を参照してください。発信アクセスリストは、他のホストが外部ネットワークに到達することを禁止します。

図 15-2 発信アクセスリスト

 

この例について、次のコマンドを参照してください。

hostname(config)# access-list INSIDE extended permit ip any any
hostname(config)# access-group INSIDE in interface inside
 
hostname(config)# access-list HR extended permit ip any any
hostname(config)# access-group HR in interface hr
 
hostname(config)# access-list ENG extended permit ip any any
hostname(config)# access-group ENG in interface eng
 
hostname(config)# access-list OUTSIDE extended permit tcp host 209.165.201.4 host 209.165.200.225 eq www
hostname(config)# access-list OUTSIDE extended permit tcp host 209.165.201.6 host 209.165.200.225 eq www
hostname(config)# access-list OUTSIDE extended permit tcp host 209.165.201.8 host 209.165.200.225 eq www
hostname(config)# access-group OUTSIDE out interface outside
 

インターフェイスへのアクセスリストの適用

拡張アクセスリストをインターフェイスの着信方向または発信方向に適用するには、次のコマンドを入力します。

hostname(config)# access-group access_list_name {in | out} interface interface_name [per-user-override]
 

インターフェイスの両方の方向に適用できるアクセスリストは、タイプ(拡張および EtherType)ごとに 1 つです。アクセスリストの方向の詳細については、「着信アクセスリストおよび発信アクセスリストの概要」を参照してください。

per-user-override キーワードを使用すると、ユーザ認可用にダウンロードしたダイナミック アクセスリストにより、インターフェイスに割り当てられているアクセスリストを上書きできます。たとえば、インターフェイス アクセスリストが 10.0.0.0 からのトラフィックをすべて拒否し、ダイナミック アクセスリストが 10.0.0.0 からのトラフィックをすべて許可する場合、そのユーザに関しては、ダイナミック アクセスリストによってインターフェイス アクセスリストが上書きされます。ユーザごとのアクセスリストの詳細については、「RADIUS 認可の設定」を参照してください。per-user-override キーワードは、着信アクセスリストに限り使用可能です。

コネクションレス型プロトコルの場合、トラフィックをどちらの方向にも通過させるには、送信元インターフェイスと宛先ンターフェイスにアクセスリストを適用する必要があります。たとえば、透過モードでは、EtherType アクセスリストで BGP を許可できますが、その場合は両方のインターフェイスにアクセスリストを適用する必要があります。

次の例は、IP アドレス 209.165.201.12 の内部 Web サーバへのアクセスをイネーブルにするために必要なコマンドを示しています(この IP アドレスは、NAT 後、外部インターフェイスで可視となるアドレスです)。

hostname(config)# access-list ACL_OUT extended permit tcp any host 209.165.201.12 eq www
hostname(config)# access-group ACL_OUT in interface outside
 

この Web サーバ用の NAT も設定する必要があります。

次のアクセスリストでは、すべてのホストが内部ネットワークと hr ネットワークの間で通信することが許可されますが、外部ネットワークへのアクセスは特定のホストだけに許可されます。

hostname(config)# access-list ANY extended permit ip any any
hostname(config)# access-list OUT extended permit ip host 209.168.200.3 any
hostname(config)# access-list OUT extended permit ip host 209.168.200.4 any
 
hostname(config)# access-group ANY in interface inside
hostname(config)# access-group ANY in interface hr
hostname(config)# access-group OUT out interface outside
 

たとえば、次のサンプル アクセスリストでは、内部インターフェイスで発信される一般的な EtherType が許可されます。

hostname(config)# access-list ETHER ethertype permit ipx
hostname(config)# access-list ETHER ethertype permit bpdu
hostname(config)# access-list ETHER ethertype permit mpls-unicast
hostname(config)# access-group ETHER in interface inside
 

次のアクセスリストでは、セキュリティ アプライアンスを通過する一部の EtherType が許可されますが、それ以外はすべて拒否されます。

hostname(config)# access-list ETHER ethertype permit 0x1234
hostname(config)# access-list ETHER ethertype permit bpdu
hostname(config)# access-list ETHER ethertype permit mpls-unicast
hostname(config)# access-group ETHER in interface inside
hostname(config)# access-group ETHER in interface outside
 

次のアクセスリストでは、両方のインターフェイスで EtherType 0x1256 のトラフィックが拒否されますが、他のトラフィックはすべて許可されます。

hostname(config)# access-list nonIP ethertype deny 1256
hostname(config)# access-list nonIP ethertype permit any
hostname(config)# access-group ETHER in interface inside
hostname(config)# access-group ETHER in interface outside