CHAPTER
35
ネットワーク アクセスの許可または拒否
この章では、セキュリティ アプライアンスを経由するネットワーク アクセスを、アクセスリストを使
用して制御する方法について説明します。次の項目を取り上げます。
• 「着信アクセスリストおよび発信アクセスリストに関する情報」(P.35-1)
• 「着信アクセスリストおよび発信アクセスリストのライセンス要件」(P.35-2)
• 「前提条件」(P.35-3)
• 「ガイドラインと制限事項」(P.35-3)
• 「デフォルト設定」(P.35-4)
• 「インターフェイスへのアクセスリストの適用」(P.35-4)
• 「ネットワーク アクセスの許可または拒否の監視」(P.35-6)
• 「ネットワーク アクセスの許可または拒否の設定例」(P.35-6)
• 「ネットワーク アクセスの許可または拒否の機能履歴」(P.35-7)
着信アクセスリストおよび発信アクセスリストに関する情報
高セキュリティ インターフェイスから低セキュリティ インターフェイスへのトラフィックはすべて許
可されるため、アクセスリストを使用して、低セキュリティ インターフェイスからのトラフィックを
許可したり、高セキュリティ インターフェイスからのトラフィックを制限したりできます。
適応型セキュリティ アプライアンスでは、次の 2 つのタイプのアクセスリストをサポートします。
• 着信:着信アクセスリストは、インターフェイスに入ってくるトラフィックに適用されます。
• 発信:発信アクセスリストは、インターフェイスから出ていくトラフィックに適用されます。
(注) 「着信」および「発信」という用語は、インターフェイス上の適応型セキュリティ アプライアンスに入
るトラフィックまたはインターフェイス上の適応型セキュリティ アプライアンスを出るトラフィック
のどちらにインターフェイス上のアクセスリストが適用されているかを意味します。これらの用語は、
一般に着信と呼ばれる、セキュリティの低いインターフェイスから高いインターフェイスへのトラ
フィックの移動や、一般に発信と呼ばれる、セキュリティの高いインターフェイスから低いインター
フェイスへのトラフィックの移動を意味しません。
アクセスリストは、たとえば内部ネットワークの特定のホストにのみ外部ネットワークの Web サーバ
へのアクセスを許可する場合に便利です。複数の着信アクセスリストを作成してアクセスを制限するよ
りも、発信アクセスリストを 1 つ作成して、指定したホストだけが許可されるようにすることができま
す (図 35-1 を参照)。Network Address Translation(NAT; ネットワーク アドレス変換)および IP ア
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
35-1
第 35 章
ネットワーク アクセスの許可または拒否
着信アクセスリストおよび発信アクセスリストのライセンス要件
ドレスについては、「NAT 使用時にアクセスリストで使用する IP アドレス」(P.10-4)を参照してくだ
さい。発信アクセスリストは、他のホストが外部ネットワークに到達することを禁止します。
図 35-1
発信アクセスリスト
Web ࠨࡃ㧦
209.165.200.225
ǻǭȥȪȆǣ
ǢȗȩǤǢȳǹ
ᄖㇱ
ACL ࠕ࠙࠻ࡃ࠙ࡦ࠼
209.165.201.4Ŵ209.165.201.6ŴƓǑƼ 209.165.201.8 Ɣǒ
209.165.200.225 ǁƷ HTTP Ǜᚩӧ
ƦƷ˂ǛƢǂƯԁ
ACL ࠗࡦࡃ࠙ࡦ࠼
˓ॖƔǒ˓ॖǁƷᚩӧ
10.1.1.14
209.165.201.4
ࠬ࠲࠹ࠖ࠶ࠢ NAT
ੱ
ࠛࡦࠫ࠾ࠕࡦࠣ
ACL ࠗࡦࡃ࠙ࡦ࠼
˓ॖƔǒ˓ॖǁƷᚩӧ
10.1.2.67
209.165.201.6
ࠬ࠲࠹ࠖ࠶ࠢ NAT
ACL ࠗࡦࡃ࠙ࡦ࠼
˓ॖƔǒ˓ॖǁƷᚩӧ
10.1.3.34
209.165.201.8
ࠬ࠲࠹ࠖ࠶ࠢ NAT
132210
ౝㇱ
この例について、次のコマンドを参照してください。
hostname(config)# access-list OUTSIDE extended permit tcp host 209.165.201.4
host 209.165.200.225 eq www
hostname(config)# access-list OUTSIDE extended permit tcp host 209.165.201.6
host 209.165.200.225 eq www
hostname(config)# access-list OUTSIDE extended permit tcp host 209.165.201.8
host 209.165.200.225 eq www
hostname(config)# access-group OUTSIDE out interface outside
着信アクセスリストおよび発信アクセスリストのライセンス
要件
次の表に、この機能のライセンス要件を示します。
モデル
ライセンス要件
すべてのモデル
基本ライセンス
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
35-2
OL-18970-01-J
第 35 章
ネットワーク アクセスの許可または拒否
前提条件
前提条件
ネットワーク アクセスの許可および拒否には次の前提条件があります。
インターフェイスにアクセスリストを適用するには、アクセスリスト エントリを含むアクセスリスト
をあらかじめ作成しておく必要があります。詳細については、第 11 章「拡張アクセスリストの追加」
を参照してください。
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
• 「コンテキスト モードのガイドライン」(P.35-3)
• 「ファイアウォール モードのガイドライン」(P.35-3)
• 「IPv6 のガイドライン」(P.35-3)
• 「その他のガイドラインと制限事項」(P.35-3)
コンテキスト モードのガイドライン
• シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。
ファイアウォール モードのガイドライン
• ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。
IPv6 のガイドライン
• IPv6 をサポートします。
その他のガイドラインと制限事項
ネットワーク アクセスの許可または拒否には、次のガイドラインと制限事項が適用されます。
• デフォルトでは、高セキュリティ インターフェイスから低セキュリティ インターフェイスへのト
ラフィックはすべて許可されます。アクセスリストを使用して、低セキュリティ インターフェイ
スからのトラフィックを許可したり、高セキュリティ インターフェイスからのトラフィックを制
限したりできます。
• ルーテッド ファイアウォール モードの場合も透過ファイアウォール モードの場合も、ネットワー
ク アクセスを制御するには、アクセスリストを使用します。トランスペアレント モードでは、拡
張アクセスリスト(レイヤ 3 トラフィック用)と EtherType アクセスリスト(レイヤ 2 トラフィッ
ク用)の両方を使用できます。拡張アクセスリストの作成の詳細については、第 11 章「拡張アク
セスリストの追加」を参照してください。EtherType アクセスリストの作成の詳細については、
第 12 章「EtherType アクセスリストの追加」を参照してください。
• 管理アクセス用の適応型セキュリティ アプライアンス インターフェイスにアクセスする場合は、
ホスト IP アドレスを許可するアクセスリストは不要です。必要なのは、第 37 章「管理アクセスの
設定」の手順に従って管理アクセスを設定することだけです。
• コネクションレス型プロトコルの場合、トラフィックをどちらの方向にも通過させるには、送信元
インターフェイスと宛先ンターフェイスにアクセスリストを適用する必要があります。たとえば、
トランスペアレント モードでは、EtherType アクセスリストで BGP を許可できますが、その場合
は両方のインターフェイスにアクセスリストを適用する必要があります。
• パケットが到着したときに、パケットに関連付けられているユーザごとのアクセスリストが存在し
ない場合は、インターフェイス アクセスリストが適用されます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
35-3
第 35 章
ネットワーク アクセスの許可または拒否
デフォルト設定
• ユーザごとのアクセスリストには、timeout コマンドの uauth オプションで指定したタイムアウト
値で制御されます。ただし、このタイムアウト値は、AAA のユーザごとのセッション タイムアウ
ト値で上書きできます。
• ユーザごとのアクセスリストのためにユーザ トラフィックが拒否された場合、syslog メッセージ
109025 がログに記録されます。ユーザ トラフィックが許可された場合、syslog メッセージは生成
されません。ユーザごとのアクセスリストの log オプションの効果はありません。
• access-list コマンドは、必ず access-group コマンドとともに使用してください。
• 1 つまたは複数の access-group コマンドによって参照されているアクセスリストからすべての機
能エントリ(permit 文と deny 文)が削除されると、access-group コマンドが自動的にコンフィ
ギュレーションから削除されます。access-group コマンドでは、空のアクセスリストまたはコメ
ントしか含まれていないアクセスリストを参照できません。
• no access-group コマンドは、アクセスリストとインターフェイス interface_name とのバインドを
解除します。
• show running config access-group コマンドは、インターフェイスにバインドされている現在のア
クセスリストを表示します。
• clear configure access-group コマンドは、すべてのアクセスリストをインターフェイスから削除
します。
• To-the-box 管理トラフィック(http、ssh、telnet などのコマンドで定義されます)のアクセス コ
ントロール ルールは、control-plane オプションで適用されたアクセスリストより優先されます。
したがって、このような許可された管理トラフィックは、to-the-box アクセスリストで明示的に拒
否されている場合でも着信が許可されます。
デフォルト設定
表 35-1 に、ネットワーク アクセスの許可または拒否のパラメータのデフォルト設定を示します。
表 35-1
ネットワーク アクセスの許可または拒否のデフォルト パラメータ
パラメータ
デフォルト
—
デフォルトの動作や値はありません。
インターフェイスへのアクセスリストの適用
拡張アクセスリストは、インターフェイスの着信方向または発信方向に適用できます。インターフェイ
スの両方の方向に適用できるアクセスリストは、タイプ(拡張および EtherType)ごとに 1 つです。ま
た、IPv4 アクセスリストと IPv6 アクセスリストを、インターフェイスの同じ方向に同時に適用するこ
ともできます。アクセスリストの方向の詳細については、「着信アクセスリストおよび発信アクセスリ
ストに関する情報」(P.35-1)を参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
35-4
OL-18970-01-J
第 35 章
ネットワーク アクセスの許可または拒否
インターフェイスへのアクセスリストの適用
アクセスリストをインターフェイスの着信方向または発信方向に適用するには、次のコマンドを入力し
ます。
コマンド
目的
access-group access_list {in | out}
interface interface_name
[per-user-override]
アクセスリストをインターフェイスにバインドします。アクセスリスト
は、インターフェイスへの着信トラフィックに適用されます。access-list
コマンド文に permit オプションを入力した場合、セキュリティ アプライ
アンスはパケットの処理を続けます。access-list コマンド文に deny オプ
ションを入力した場合、セキュリティ アプライアンスはパケットを破棄
し、syslog メッセージを生成します。
例:
hostname(config)# access-group acl_out in
interface outside
in キーワードは、指定したインターフェイスのトラフィックにアクセス
リストを適用します。out キーワードは、発信トラフィックにアクセスリ
ストを適用します。
per-user-override キーワードを使用すると、ユーザ認可用にダウンロー
ドしたダイナミック ユーザ アクセスリストにより、インターフェイスに
割り当てられているアクセスリストを上書きできます。たとえば、イン
ターフェイス アクセスリストが 10.0.0.0 からのトラフィックをすべて拒
否し、ダイナミック アクセスリストが 10.0.0.0 からのトラフィックをす
べて許可する場合、そのユーザに関しては、ダイナミック アクセスリス
トによってインターフェイス アクセスリストが上書きされます。ユーザ
ごとのアクセスリストの詳細については、「RADIUS 認可の設定」
(P.38-10)を参照してください。
(注)
オプションの per-user-override キーワードは、着信アクセスリ
ストに限り使用可能です。
per-user-override オプション引数がない場合、セキュリティ アプライア
ンスは既存のフィルタリング動作を維持します。
(コマンド オプションの詳細については、『Cisco Security Appliance
Command Reference』の access-group コマンドを参照してください)。
次の例は、access-group コマンドを使用する方法を示しています。
hostname(config)# static (inside,outside) 209.165.201.3 10.1.1.3
hostname(config)# access-list acl_out permit tcp any host 209.165.201.3 eq 80
hostname(config)# access-group acl_out in interface outside
static コマンドでは、10.1.1.3 の Web サーバにグローバル アドレス 209.165.201.3 を提供しています。
access-list コマンドでは、任意のホストからポート 80 を使用してグローバル アドレスにアクセスでき
るようにしています。access-group コマンドでは、外部インターフェイスに入るトラフィックに
access-list コマンドを適用するように指定しています。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
35-5
第 35 章
ネットワーク アクセスの許可または拒否
ネットワーク アクセスの許可または拒否の監視
ネットワーク アクセスの許可または拒否の監視
ネットワーク アクセスを監視するには、次のいずれかのタスクを実行します。
コマンド
目的
show running-config access-group
インターフェイスにバインドされている現在のア
クセスリストを表示します。
ネットワーク アクセスの許可または拒否の設定例
この項では、ネットワーク アクセスの許可または拒否の一般的な設定例を示します。
次の例は、IP アドレス 209.165.201.12 の内部 Web サーバへのアクセスをイネーブルにするために必要
なコマンドを示しています (この IP アドレスは、NAT 後、外部インターフェイスで可視となるアドレ
スです)。
hostname(config)# access-list ACL_OUT extended permit tcp any host 209.165.201.12 eq www
hostname(config)# access-group ACL_OUT in interface outside
この Web サーバ用の NAT も設定する必要があります。
次の例では、すべてのホストに inside ネットワークと hr ネットワークの間での通信を許可しますが、
外部ネットワークへのアクセスは特定のホストだけに許可されます。
hostname(config)# access-list ANY extended permit ip any any
hostname(config)# access-list OUT extended permit ip host 209.168.200.3 any
hostname(config)# access-list OUT extended permit ip host 209.168.200.4 any
hostname(config)# access-group ANY in interface inside
hostname(config)# access-group ANY in interface hr
hostname(config)# access-group OUT out interface outside
たとえば、次のサンプル アクセスリストでは、内部インターフェイスで発信される一般的な EtherType
が許可されます。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
access-list ETHER ethertype permit ipx
access-list ETHER ethertype permit bpdu
access-list ETHER ethertype permit mpls-unicast
access-group ETHER in interface inside
次の例では、適応型セキュリティ アプライアンスを通過する一部の EtherType が許可されますが、そ
れ以外はすべて拒否されます。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
access-list ETHER ethertype permit 0x1234
access-list ETHER ethertype permit bpdu
access-list ETHER ethertype permit mpls-unicast
access-group ETHER in interface inside
access-group ETHER in interface outside
次の例では、両方のインターフェイスで EtherType 0x1256 のトラフィックが拒否されますが、他のト
ラフィックはすべて許可されます。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
access-list nonIP ethertype deny 1256
access-list nonIP ethertype permit any
access-group ETHER in interface inside
access-group ETHER in interface outside
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
35-6
OL-18970-01-J
第 35 章
ネットワーク アクセスの許可または拒否
ネットワーク アクセスの許可または拒否の機能履歴
次の例では、オブジェクト グループを使用して内部インターフェイスの特定のトラフィックを許可し
ます。
!
hostname
hostname
hostname
hostname
hostname
hostname
(config)# object-group service myaclog
(config-service)# service-object tcp source range 2000 3000
(config-service)# service-object tcp source range 3000 3010 destinatio$
(config-service)# service-object ipsec
(config-service)# service-object udp destination range 1002 1006
(config-service)# service-object icmp echo
hostname(config)# access-list outsideacl extended permit object-group myaclog interface
inside any
ネットワーク アクセスの許可または拒否の機能履歴
表 35-2 に、この機能のリリース履歴の一覧を示します。
表 35-2
ネットワーク アクセスの許可または拒否の機能履歴
機能名
ネットワーク アクセスの許可または拒否
リリース
機能情報
7.0
セキュリティ アプライアンスを経由するネットワーク ア
クセスを、アクセスリストを使用して制御します。
access-group コマンドが導入または変更されました。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
35-7
第 35 章
ネットワーク アクセスの許可または拒否
ネットワーク アクセスの許可または拒否の機能履歴
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
35-8
OL-18970-01-J
© Copyright 2025 Paperzz