1. No category

この章

CHAPTER
11
拡張アクセスリストの追加
この章では、拡張アクセスリスト(アクセス コントロール リストとも呼ばれます)を設定する方法に
ついて説明します。次の項目を取り上げます。
• 「拡張アクセスリストに関する情報」(P.11-1)
• 「拡張アクセスリストのライセンス要件」(P.11-2)
• 「ガイドラインと制限事項」(P.11-2)
• 「デフォルト設定」(P.11-4)
• 「拡張アクセスリストの設定」(P.11-4)
• 「次の作業」(P.11-7)
• 「拡張アクセスリストの監視」(P.11-7)
• 「拡張アクセスリストの設定例」(P.11-7)
• 「拡張アクセスリストの機能履歴」(P.11-8)
拡張アクセスリストに関する情報
アクセスリストは、ネットワーク アクセスを制御したり、さまざまな機能を適用するトラフィックを
指定したりするために使用されます。拡張アクセスリストは、1 つまたは複数の Access Control Entry
(ACE; アクセス コントロール エントリ)で構成されます。このリストには、行番号を指定して ACE、
送信元アドレス、および宛先アドレスを挿入できます。また、ACE タイプによっては、プロトコル、
ポート(Transmission Control Protocol(TCP; 伝送制御プロトコル)または User Datagram Protocol
(UDP; ユーザ データグラム プロトコル)の場合)、または Internet Control Message Protocol(ICMP;
インターネット制御メッセージ プロトコル)タイプ(ICMP の場合)も挿入できます。これらのパラ
メータはすべて、access-list コマンドで指定できます。各パラメータ用のオブジェクト グループを使用
することもできます。この項では、コマンドでパラメータを指定する方法について説明します。オブ
ジェクト グループを使用してアクセスリストを簡素化する場合は、第 16 章「オブジェクト グループの
設定」を参照してください。
ルーテッド モードとトランスペアレント モードの両方に対する TCP 接続および UDP 接続については、
リターン トラフィックを許可するためのアクセスリストは必要ありません。セキュリティ アプライア
ンスは、確立された双方向接続のリターン トラフィックをすべて許可します。ただし、ICMP などの
コネクションレス型プロトコルについては、セキュリティ アプライアンスは単方向セッションを確立
します。したがって、(アクセスリストを送信元インターフェイスと宛先インターフェイスに適用する
ことで)アクセスリストで双方向の ICMP を許可するか、ICMP 検査エンジンをイネーブルにする必要
があります。ICMP 検査エンジンは、ICMP セッションを双方向接続として扱います。
インターフェイスの各方向の各タイプ(拡張および EtherType)に適用できるアクセスリストは 1 つだ
けです。同一のアクセスリストを複数のインターフェイスに適用できます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
11-1
第 11 章
拡張アクセスリストの追加
拡張アクセスリストのライセンス要件
透過ファイアウォールを介したブロードキャストとマルチキャスト トラ
フィックの許可
ルーテッド ファイアウォール モードでは、ブロードキャストとマルチキャスト トラフィックは、アク
セスリストで許可されている場合でもブロックされます。これには、サポートされていないダイナミッ
ク ルーティング プロトコルおよび Dynamic Host Configuration Protocol(DHCP; ダイナミック ホス
ト コンフィギュレーション プロトコル)(DHCP リレーを設定している場合を除く)が含まれます。
透過ファイアウォール モードでは、すべての IP トラフィックの通過を許可できます。この機能は、た
とえば、ダイナミック ルーティングが許可されていないマルチコンテキスト モードで特に有用です。
(注)
これらの特殊なタイプのトラフィックはコネクションレス型であるため、拡張アクセスリストを両方の
インターフェイスに適用して、リターン トラフィックの通過を許可する必要があります。
表 11-1 に、透過ファイアウォールの通過を許可できる一般的なトラフィック タイプを示します。
表 11-1
透過ファイアウォールの特殊トラフィック
トラフィック タ
イプ
プロトコルまたはポート
注
DHCP
UDP ポート 67 および 68
DHCP サーバがイネーブルの場合、適応型セ
キュリティ アプライアンスは DHCP パケット
の通過を拒否します。
EIGRP
プロトコル 88
—
OSPF
プロトコル 89
—
マルチキャスト
ストリーム
UDP ポートは、アプリケーショ マルチキャスト ストリームは、常に Class D アド
ンによって異なります。
レス(224.0.0.0 to 239.x.x.x)に送信されます。
RIP(v1 または
v2)
UDP ポート 520
—
拡張アクセスリストのライセンス要件
次の表に、この機能のライセンス要件を示します。
モデル
ライセンス要件
すべてのモデル
基本ライセンス
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
• 「コンテキスト モードのガイドライン」(P.11-3)
• 「ファイアウォール モードのガイドライン」(P.11-3)
• 「その他のガイドラインと制限事項」(P.11-3)
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
11-2
OL-18970-01-J
第 11 章
拡張アクセスリストの追加
ガイドラインと制限事項
コンテキスト モードのガイドライン
シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。
ファイアウォール モードのガイドライン
ルーテッド ファイアウォール モードおよび透過ファイアウォール モードでだけサポートされていま
す。
IPv6 のガイドライン
IPv6 がサポートされます。
その他のガイドラインと制限事項
拡張アクセスリストの作成には、次のガイドラインと制限事項が適用されます。
• 特定のアクセスリスト名に対して access-list コマンドを入力するときに、行番号を指定しないと、
ACE はアクセスリストの末尾に追加されます。
• アクセスリスト名は、大文字で入力します。これによって、コンフィギュレーションで名前が見つ
けやすくなります。アクセスリストには、インターフェイスを表す名前(INSIDE など)や、作成
する目的を表す名前(NO_NAT や VPN など)を付けることができます。
• 通常、プロトコルには ip キーワードを指定しますが、他のプロトコルも受け入れられます。プロ
トコル名のリストについては、「プロトコルとアプリケーション」(P.C-11)を参照してください。
• 1 つのアドレスを指定する場合は、IP アドレスの前に host キーワードを入力します。この場合は、
マスクを入力しません。すべてのアドレスを指定する場合は、アドレスとマスクの代わりに any
キーワードを入力します。
• tcp プロトコルまたは udp プロトコルの場合に限り、送信元ポートおよび宛先ポートを指定できま
す。使用できるキーワードおよび予約済みポート割り当てのリストについては、「TCP ポートと
UDP ポート」(P.C-12)を参照してください。DNS、Discard、Echo、Ident、NTP、RPC、
SUNRPC、および Talk は、それぞれに TCP の定義と UDP の定義の両方が必要です。TACACS+
では、ポート 49 に対して 1 つの TCP 定義が必要です。
• icmp プロトコルの場合に限り、ICMP タイプを指定できます。ICMP はコネクションレス型プロ
トコルであるため、(アクセスリストを送信元インターフェイスと宛先インターフェイスに適用す
ることで)アクセスリストで両方向の ICMP を許可するか、ICMP 検査エンジンをイネーブルにす
る必要があります (「ICMP タイプ オブジェクト グループの追加」(P.16-7)を参照)。ICMP 検査
エンジンは、ICMP セッションをステートフル接続として扱います。ping を制御するには、
echo-reply (0)(適応型セキュリティ アプライアンスからホストへ)または echo (8)(ホストか
ら適応型セキュリティ アプライアンスへ)を指定します。ICMP タイプのリストについては、
「ICMP タイプ オブジェクト グループの追加」(P.16-7)を参照してください。
• ネットワーク マスクを指定するときは、指定方法が Cisco IOS ソフトウェアの access-list コマン
ドとは異なることに注意してください。適応型セキュリティ アプライアンスでは、ネットワーク
マスク(たとえば、Class C マスクの 255.255.255.0)が使用されます。Cisco IOS マスクでは、ワ
イルドカード ビット(たとえば、0.0.0.255)が使用されます。
• ACE を非アクティブにするには、inactive キーワードを使用します。再度イネーブルにするには、
inactive キーワードを使用せずに ACE 全体を入力します。この機能では、再イネーブル化を簡単
にするために、非アクティブな ACE のレコードをコンフィギュレーションに保持できます。
• 指定した ACE のロギングをディセーブルにするには、disable オプションを使用します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
11-3
第 11 章
拡張アクセスリストの追加
デフォルト設定
デフォルト設定
表 11-2 に、拡張アクセスリスト パラメータのデフォルトの設定を示します。
表 11-2
デフォルトの拡張アクセスリスト パラメータ
パラメータ
デフォルト
ACE ロギング
ACE ロギングは、拒否されたパケットについてシ
ステム ログ メッセージ 106023 を生成します。拒
否されたパケットをログに記録するには、拒否
ACE が存在している必要があります。
log
log キーワードが指定されている場合、システム
ログ メッセージ 106100 のデフォルトの重大度は
6(情報)で、デフォルトの間隔は 300 秒です。
拡張アクセスリストの設定
この項では、アクセス コントロール エントリとアクセスリストを追加および削除する方法について説
明します。次の項目を取り上げます。
• 「拡張アクセスリストの設定のタスク フロー」(P.11-4)
• 「拡張アクセスリストの追加」(P.11-5)
• 「アクセスリストへのコメントの追加」(P.11-6)
• 「拡張アクセスリスト エントリの削除」(P.11-6)
拡張アクセスリストの設定のタスク フロー
アクセスリストを作成して実装するには、次のガイドラインを使用します。
• ACE を追加し、アクセスリスト名を適用して、アクセスリストを作成します (「拡張アクセスリス
トの追加」(P.11-5)を参照してください)。
• アクセスリストをインターフェイスに適用します (詳細については、「インターフェイスへのアク
セスリストの適用」(P.35-4)を参照してください)。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
11-4
OL-18970-01-J
第 11 章
拡張アクセスリストの追加
拡張アクセスリストの設定
拡張アクセスリストの追加
アクセスリストは、同じアクセスリスト ID を持つ 1 つまたは複数のアクセス コントロール エントリ
(ACE)で構成されます。アクセスリストを作成するには、まず ACE を作成し、リスト名を適用しま
す。アクセスリストには複数のエントリを追加できますが、1 つのエントリを含むアクセスリストもリ
ストと見なされます。
拡張アクセスリストまたは ACE を追加するには、次のコマンドを入力します。
コマンド
目的
access-list access_list_name [line
line_number] [extended] {deny | permit}
protocol source_address mask
[operator port] dest_address mask
[operator port | icmp_type] [inactive]
拡張アクセス コントロール エントリを追加します。
例:
hostname(config)# access-list ACL_IN
extended permit ip any any
line line_number オプションでは、ACE を挿入する行番号を指定します。
行番号を指定しなかった場合は、アクセスリストの末尾に ACE が追加さ
れます。行番号はコンフィギュレーションに保存されません。ACE の挿
入場所を指定するだけです。
extended オプションは、ACE を追加します。
deny キーワードは、条件が一致した場合にパケットを拒否します。一部の
機能(NAT など)では、拒否 ACE を許可しません。詳細については、ア
クセスリストを使用する各機能のコマンド マニュアルを参照してください。
permit キーワードは、条件が一致した場合にパケットを許可します。
protocol 引数には、IP プロトコルの名前または番号を指定します。たと
えば、UDP は 17、TCP は 6、EGP は 47 です。
source_address には、パケットの送信元のネットワークまたはホストの
IP アドレスを指定します。1 つのアドレスを指定する場合は、IP アドレ
スの前に host キーワードを入力します。この場合は、マスクを入力しま
せん。すべてのアドレスを指定する場合は、アドレスとマスクの代わりに
any キーワードを入力します。
operator port オプションは、送信元または宛先によって使用されるポー
ト番号に一致します。使用できる演算子は、次のとおりです。
• lt:小なり。
• gt:大なり。
• dq:同値。
• neq:非同値。
• range:値の包括的な範囲。この演算子を使用する場合は、2 つの
ポート番号を指定します(例:range 100 200 )。
dest_address には、パケットの送信先のネットワークまたはホストの IP
アドレスを指定します。1 つのアドレスを指定する場合は、IP アドレスの
前に host キーワードを入力します。この場合は、マスクを入力しません。
すべてのアドレスを指定する場合は、アドレスとマスクの代わりに any
キーワードを入力します。
icmp_type 引数には、ICMP タイプを指定します(プロトコルが ICMP の
場合)。
inactive キーワードは、ACE ディセーブルにします。再度イネーブルに
するには、inactive キーワードを使用せずに ACE 全体を入力します。こ
の機能では、再イネーブル化を簡単にするために、非アクティブな ACE
のレコードをコンフィギュレーションに保持できます。
『Cisco Security Appliance Command
コマンド オプションの詳細については、
Reference』の access-list extended コマンドを参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
11-5
第 11 章
拡張アクセスリストの追加
拡張アクセスリストの設定
アクセスリストへのコメントの追加
拡張アクセスリスト、EtherType アクセスリスト、IPv6 アクセスリスト、標準アクセスリスト、
Webtype アクセスリストを含む任意のアクセスリストに、エントリについてのコメントを追加できま
す。コメントにより、アクセスリストが理解しやすくなります。
最後に入力した access-list コマンドの後にコメントを追加するには、次のコマンドを入力します。
コマンド
目的
access-list access_list_name remark text
最後に入力した access-list コマンドの後にコメントを追加します。
例:
hostname(config)# access-list OUT remark this is the inside admin address
テキストは 100 文字まで指定できます。テキストの先頭にスペースを入
力できます。末尾のスペースは無視されます。
いずれかの access-list コマンドの前にコメントを入力すると、コメント
はアクセスリストの最初の行に表示されます。
no access-list access_list_name コマンドを使用してアクセスリストを削
除すると、コメントもすべて削除されます。
例
各 ACE の前にコメントを追加できます。コメントはその場所でアクセスリストに表示されます。コメ
ントの開始位置にダッシュ(-)を入力すると、ACE と区別しやすくなります。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
access-list
access-list
access-list
access-list
OUT
OUT
OUT
OUT
remark extended
remark extended
this is the inside admin address
permit ip host 209.168.200.3 any
this is the hr admin address
permit ip host 209.168.200.4 any
拡張アクセスリスト エントリの削除
この項では、ACE の削除方法について説明します。削除されたエントリがリスト内の唯一のエントリ
である場合は、リストとリスト名が削除されます。
拡張 ACE を削除するには、次のコマンドを入力します。
コマンド
目的
hostname(config)# no access-list
access_list_name [line line_number]
[extended] {deny | permit} protocol
source_address mask [operator port]
dest_address mask [operator port |
icmp_type] [inactive]
拡張アクセスリスト エントリを削除します。
例:
hostname(config)# access-list ACL_IN
extended permit ip any any
no access-list コマンドを、コンフィギュレーションに表示される完全な
コマンド シンタックス文字列で入力します。
(注)
アクセスリスト全体を削除するには、clear configure access-list
コマンドを使用します。
コマンド オプションの詳細については、「拡張アクセスリストの追加」
(P.11-5)または『Cisco Security Appliance Command Reference』を参照
してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
11-6
OL-18970-01-J
第 11 章
拡張アクセスリストの追加
次の作業
次の作業
アクセスリストをインターフェイスに適用します (詳細については、「インターフェイスへのアクセス
リストの適用」(P.35-4)を参照してください)。
拡張アクセスリストの監視
拡張アクセスリストを監視するには、次のいずれかのコマンドを入力します。
コマンド
目的
show access list
アクセスリスト エントリを番号で表示します。
show running-config access-list
現在実行しているアクセスリスト コンフィギュ
レーションを表示します。
拡張アクセスリストの設定例
次のアクセスリストでは、すべてのホスト(アクセスリストを適用するインターフェイス上にあるすべ
てのホスト)に対して、適応型セキュリティ アプライアンスの通過が許可されます。
hostname(config)# access-list ACL_IN extended permit ip any any
次のサンプル アクセスリストでは、192.168.1.0/24 上のホストが 209.165.201.0/27 ネットワークにア
クセスすることが禁止されます。その他のアドレスはすべて許可されます。
hostname(config)# access-list ACL_IN extended deny tcp 192.168.1.0 255.255.255.0
209.165.201.0 255.255.255.224
hostname(config)# access-list ACL_IN extended permit ip any any
選択したホストだけにアクセスを制限する場合は、限定的な許可 ACE を入力します。デフォルトで
は、明示的に許可しない限り、他のトラフィックはすべて拒否されます。
hostname(config)# access-list ACL_IN extended permit ip 192.168.1.0 255.255.255.0
209.165.201.0 255.255.255.224
次のアクセスリストでは、すべてのホスト(アクセスリスト適用先のインターフェイス上にあるすべて
のホスト)がアドレス 209.165.201.29 の Web サイトにアクセスすることが禁止されます。他のトラ
フィックはすべて許可されます。
hostname(config)# access-list ACL_IN extended deny tcp any host 209.165.201.29 eq www
hostname(config)# access-list ACL_IN extended permit ip any any
オブジェクト グループを使用する次のアクセスリストでは、内部ネットワーク上のいくつかのホスト
がいくつかの Web サーバへのアクセスを禁止されます。他のトラフィックはすべて許可されます。
hostname(config-network)# access-list ACL_IN extended deny tcp object-group denied
object-group web eq www
hostname(config)# access-list ACL_IN extended permit ip any any
hostname(config)# access-group ACL_IN in interface inside
次の例では、あるネットワーク オブジェクト グループ(A)から別のネットワーク オブジェクト グ
ループ(B)へのトラフィックを許可するアクセスリストを一時的にディセーブルにします。
hostname(config)# access-list 104 permit ip host object-group A object-group B inactive
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
11-7
第 11 章
拡張アクセスリストの追加
拡張アクセスリストの機能履歴
時間ベースのアクセスリストを実装するには、time-range コマンドを使用して、1 日および週の特定
の時刻を定義します。次に、access-list extended コマンドを使用して、時間範囲をアクセスリストに
バインドします。次の例では、「Sales」という名前のアクセスリストを「New_York_Minute」という
名前の時間範囲にバインドしています。
hostname(config)# access-list Sales line 1 extended deny tcp host 209.165.200.225 host
209.165.201.1 time-range New_York_Minute
拡張アクセスリストの機能履歴
表 11-3 に、この機能のリリース履歴の一覧を示します。
表 11-3
拡張アクセスリストの機能履歴
機能名
リリース
拡張アクセス コントロール リスト
7.0
機能情報
アクセスリストは、ネットワーク アクセスを制御したり、
さまざまな機能を適用するトラフィックを指定したりする
ために使用されます。拡張アクセス コントロール リスト
は、1 つまたは複数のアクセス コントロール エントリ
(ACE)で構成されます。このリストには、行番号を指定
して ACE、送信元アドレス、および宛先アドレスを挿入で
きます。また、ACE タイプによっては、プロトコル、ポー
ト(TCP または UDP の場合)、または ICMP タイプ
(ICMP の場合)も挿入できます。
access-list extended コマンドが追加されました。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
11-8
OL-18970-01-J

 Download  Report

Paperzz.com

Your Paperzz

© Copyright 2026 Paperzz