CHAPTER 10 アクセスリストに関する情報 Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスは、アクセスリストによる基本的なトラ フィック フィルタリング機能を備えています。この機能を使用すると、特定のトラフィックの出入り を防止して、ネットワーク内のアクセスを制御できます。この章では、アクセスリストについて説明 し、ネットワーク コンフィギュレーションにアクセスリストを追加する方法を示します。 アクセスリストは、1 つまたは複数の Access Control Entry(ACE; アクセス コントロール エントリ) で構成されます。ACE は、パケットを転送またはドロップするための許可規則または拒否規則を指定 するアクセスリスト内の 1 つのエントリで、プロトコル、送信元 IP アドレス、宛先 IP アドレス、また はネットワークに適用されます。また、オプションで、送信元ポートおよび宛先ポートに適用される場 合もあります。 すべてのルーテッド プロトコルおよびネットワーク プロトコル(IP や AppleTalk など)に対してアク セスリストを設定し、それらのプロトコルのパケットがルータを通過するときに、パケットをフィルタ リングすることができます。 アクセスリストは、さまざまな機能で使用されます。モジュラ ポリシー フレームワークを使用する機 能では、アクセスリストによってトラフィック クラスマップ内のトラフィックを識別できます。モ ジュラ ポリシー フレームワークの詳細については、第 9 章「モジュラ ポリシー フレームワークの使 用」を参照してください。 この章には、次の項があります。 • 「アクセスリストのタイプ」(P.10-2) • 「アクセス コントロール エントリの順序」(P.10-3) • 「アクセス コントロールによる暗黙的な拒否」(P.10-3) • 「NAT 使用時にアクセスリストで使用する IP アドレス」(P.10-4) Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 10-1 第 10 章 アクセスリストに関する情報 アクセスリストのタイプ アクセスリストのタイプ 適応型セキュリティ アプライアンスでは、次の 5 つのタイプのアクセス コントロール リストが使用さ れます。 • 標準アクセスリスト:OSPF ルートの宛先 IP アドレスを指定します。このアクセスリストは、 OSPF 再配布のルートマップに使用できます。標準アクセスリストをインターフェイスに適用して トラフィックを制御することはできません。詳細については、第 13 章「標準アクセスリストの追 加」を参照してください。 • 拡張アクセスリスト:1 つまたは複数のアクセス コントロール エントリ(ACE)を使用します。 このリストには、行番号を指定して ACE、送信元アドレス、および宛先アドレスを挿入できます。 また、ACE タイプによっては、プロトコル、ポート(TCP または UDP の場合)、または IPCMP タイプ(ICMP の場合)も挿入できます。詳細については、第 11 章「拡張アクセスリストの追加」 を参照してください。 • EtherType アクセスリスト:EtherType を指定する 1 つまたは複数の ACE を使用します。詳細に ついては、第 12 章「EtherType アクセスリストの追加」を参照してください。 • Webtype アクセスリスト:クライアントレス SSL VPN のフィルタリングをサポートするコンフィ ギュレーションで使用されます。詳細については、第 14 章「Webtype アクセスリストの追加」を 参照してください。 • IPv6 アクセスリスト:ルータ インターフェイスでブロックする IPv6 トラフィックと転送するトラ フィックを決定します。詳細については、第 15 章「IPv6 アクセスリストの追加」を参照してくだ さい。 表 10-1 に、アクセスリストのタイプと、それらの一般的な使用目的の一部を示します。 表 10-1 アクセスリストのタイプと一般的な使用目的 アクセスリストの使用目的 アクセスリストのタ イプ IP トラフィックのネットワーク アクセス 拡張 の制御(ルーテッド モードおよびトラン スペアレント モード) 説明 適応型セキュリティ アプライアンスでは、拡張アクセス リストにより明示的に許可されている場合を除き、低位の セキュリティ インターフェイスから高位のセキュリティ インターフェイスへのトラフィックは認められません。 (注) AAA 規則でのトラフィック識別 拡張 また、管理アクセス用の適応型セキュリティ ア プライアンス インターフェイスにアクセスする 場合は、ホスト IP アドレスを許可するアクセス リストは不要です。必要なのは、第 37 章「管理 アクセスの設定」の説明に従って管理アクセスを 設定することだけです。 AAA 規則では、アクセスリストを使用してトラフィック を識別します。 所定のユーザに関する IP トラフィックの 拡張、ユーザごとに ユーザに適用するダイナミック アクセスリストをダウン ネットワーク アクセス制御 AAA サーバからダウ ロードするように RADIUS サーバを設定できます。また ンロード は、適応型セキュリティ アプライアンス上に設定済みの アクセスリストの名前を送信するようにサーバを設定で きます。 NAT(ポリシー NAT および NAT 免除) 拡張 のアドレス識別 VPN アクセスの確立 拡張 ポリシー NAT を使用すると、拡張アクセスリストで送信 元アドレスと宛先アドレスを指定することにより、アド レスを変換するローカル トラフィックを指定できます。 VPN コマンドで拡張アクセスリストを使用できます。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 10-2 OL-18970-01-J 第 10 章 アクセスリストに関する情報 アクセス コントロール エントリの順序 表 10-1 アクセスリストのタイプと一般的な使用目的 (続き) アクセスリストの使用目的 アクセスリストのタ イプ モジュラ ポリシー フレームワークのトラ 拡張 フィック クラスマップ内でのトラフィッ EtherType ク識別 説明 アクセスリストを使用すると、クラスマップ内のトラ フィックを識別できます。このマップは、モジュラ ポリ シー フレームワークをサポートする機能に使用されま す。モジュラ ポリシー フレームワークをサポートする機 能には、TCP および一般的な接続設定や検査などがあり ます。 透過ファイアウォール モードの場合、IP 以外のトラフィックのネットワーク アク セスの制御 EtherType トラフィックを EtherType に基づいて制御するためのア クセスリストを設定できます。 OSPF ルート再配布の指定 標準 標準アクセスリストには、宛先アドレスだけが含まれて います。標準アクセスリストを使用して、OSPF ルート の再配布を制御できます。 WebVPN のフィルタリング Webtype URL をフィルタリングするように Webtype アクセスリ ストを設定できます。 IPV6 ネットワークのネットワーク アク IPv6 アクセスリストを追加および適用して、IPv6 ネットワー ク内のトラフィックを制御できます。 セスの制御 アクセス コントロール エントリの順序 アクセスリストは、1 つまたは複数のアクセス コントロール エントリ(ACE)で構成されます。特定 のアクセスリスト名に対して入力した各 ACE は、そのアクセスリストの末尾に追加されます。アクセ スリストのタイプに応じて、送信元アドレス、宛先アドレス、プロトコル、ポート(TCP または UDP の場合)、ICMP タイプ(ICMP の場合)、または EtherType を指定できます。 ACE の順序は重要です。適応型セキュリティ アプライアンスは、パケットを転送するかドロップする かを決定するとき、エントリがリストされている順序で各 ACE とパケットを照合します。一致が見つ かると、ACE はそれ以上チェックされません。たとえば、すべてのトラフィックを明示的に許可する ACE をアクセスリストの先頭に作成した場合、それより後の文はまったくチェックされず、パケット が転送されます。 アクセス コントロールによる暗黙的な拒否 各アクセスリストの末尾には、暗黙的な拒否文があります。そのため、トラフィックの通過を明示的に 許可しない限り、トラフィックは拒否されます。たとえば、1 つまたは複数の特定のアドレス以外のす べてのユーザが適応型セキュリティ アプライアンス経由でネットワークにアクセスできるようにする には、特定のアドレスを拒否してから、その他のすべてのアドレスを許可する必要があります。 EtherType アクセスリストの場合、アクセスリストの末尾にある暗黙的な拒否は、IP トラフィックや ARP には影響しません。たとえば、EtherType 8037 を許可する場合、アクセスリストの末尾にある暗 黙的な拒否によって、拡張アクセスリストで以前許可(または高位のセキュリティ インターフェイス から低位のセキュリティ インターフェイスへ暗黙的に許可)した IP トラフィックがブロックされるこ とはありません。ただし、EtherType ACE とのすべてのトラフィックを明示的に拒否する場合、IP と ARP のトラフィックが拒否されます。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 10-3 第 10 章 アクセスリストに関する情報 NAT 使用時にアクセスリストで使用する IP アドレス NAT 使用時にアクセスリストで使用する IP アドレス NAT を使用する場合、アクセスリストに指定する IP アドレスは、アクセスリストが適用されるイン ターフェイスによって異なります。つまり、そのインターフェイスに接続されたネットワーク上で有効 なアドレスを使用する必要があります。使用されるアドレスは宛先によって決まるのではなく、イン ターフェイスによってだけ決まるというガイドラインは、着信アクセスリストと発信アクセスリストの 両方に当てはまります。 たとえば、内部インターフェイスの着信方向にアクセスリストを適用する場合は、内部の送信元アドレ スが外部アドレスにアクセスするときに、内部の送信元アドレスに対して NAT を実行するように、適 応型セキュリティ アプライアンスを設定します。アクセスリストは内部インターフェイスに適用され るため、送信元アドレスは変換されていない元のアドレスです。外部アドレスは変換されないため、ア クセスリストで使用される宛先アドレスは実際のアドレスです (図 10-1 を参照)。 図 10-1 アクセスリスト内の IP アドレス:送信元アドレスに対して使用される NAT 209.165.200.225 ᄖㇱ ౝㇱ ࠗࡦࡃ࠙ࡦ࠼ ACL 10.1.1.0/24᳸ 209.165.200.225 LJưǛᚩӧ 10.1.1.0/24 209.165.201.4ᲴȝȸȈ PAT 104634 10.1.1.0/24 この例について、次のコマンドを参照してください。 hostname(config)# access-list INSIDE extended permit ip 10.1.1.0 255.255.255.0 host 209.165.200.225 hostname(config)# access-group INSIDE in interface inside Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 10-4 OL-18970-01-J 第 10 章 アクセスリストに関する情報 NAT 使用時にアクセスリストで使用する IP アドレス 内部ホストへのアクセスを外部ホストに許可する場合は、外部インターフェイスに着信アクセスリスト を適用します。内部ホストの変換後アドレスは外部ネットワーク上で使用できるアドレスであるため、 変換後アドレスをアクセスリストで指定する必要があります (図 10-2 を参照)。 図 10-2 アクセスリスト内の IP アドレス:宛先アドレスに対して使用される NAT 209.165.200.225 ACL 209.165.200.225 ᳸ 209.165.201.5 LJưǛᚩӧ ᄖㇱ 10.1.1.34 209.165.201.5 ࠬ࠲࠹ࠖ࠶ࠢ NAT 104636 ౝㇱ この例について、次のコマンドを参照してください。 hostname(config)# access-list OUTSIDE extended permit ip host 209.165.200.225 host 209.165.201.5 hostname(config)# access-group OUTSIDE in interface outside 両方のインターフェイスに対して NAT を実行する場合は、そのインターフェイスにとって可視のアド レスを使用することに留意してください。図 10-3 は、内部ネットワークで変換後アドレスが示される ように、スタティック NAT を使用する外部サーバを示しています。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 10-5 第 10 章 アクセスリストに関する情報 関連情報 図 10-3 アクセスリスト内の IP アドレス:送信元アドレスと宛先アドレスに対して使用される NAT ࠬ࠲࠹ࠖ࠶ࠢ NAT 209.165.200.225 10.1.1.56 ᄖㇱ ౝㇱ ACL 10.1.1.0/24 ᳸ 10.1.1.56 LJưǛᚩӧ 10.1.1.0/24 209.165.201.4ᲴȝȸȈ PAT 104635 10.1.1.0/24 この例について、次のコマンドを参照してください。 hostname(config)# access-list INSIDE extended permit ip 10.1.1.0 255.255.255.0 host 10.1.1.56 hostname(config)# access-group INSIDE in interface inside 関連情報 アクセスリストの実装の詳細については、このマニュアルの次の章を参照してください。 • 第 11 章「拡張アクセスリストの追加」 • 第 12 章「EtherType アクセスリストの追加」 • 第 13 章「標準アクセスリストの追加」 • 第 14 章「Webtype アクセスリストの追加」 • 第 15 章「IPv6 アクセスリストの追加」 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 10-6 OL-18970-01-J
© Copyright 2026 Paperzz