ASA 7.x/PIX 6.x 以降：ポートのオープンまたはブロックの設定例

ダウンロードオプション

PDF (646.0 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (598.2 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (901.7 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2011 年 2 月 15 日

Document ID:91970

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

概要

前提条件

要件

使用するコンポーネント

概要

このドキュメントでは、セキュリティアプライアンスで各種トラフィック（http、ftp など）に対してポートをオープンまたはクローズする方法に関する設定例について説明します。

注：「ポートを開く」および「ポートを許可する」という用語は、同じ意味を持ちます。同様に、「ポートをブロッキングする」と「ポートを制限する」も同じ意味を示します。

前提条件

要件

このドキュメントでは、PIX/ASA が設定されていて適切に動作していることを前提としています。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

バージョン 8.2(1) で稼働する Cisco 5500 シリーズ適応型セキュリティアプライアンス（ASA）
Cisco Adaptive Security Device Manager（ASDM）バージョン 6.3(5)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細については、『シスコテクニカルティップスの表記法』を参照してください。

設定

各インターフェイスのセキュリティレベルは、0（最低）から 100（最高）にする必要があります。たとえば、内部ホストネットワークなどの最もセキュアなネットワークをレベル100に割り当てる必要があります。インターネットに接続する外部ネットワークはレベル0にできますが、DMZなどの他のネットワークは中間に配置できます。複数のインターフェイスを同じセキュリティレベルに割り当てることができます。

デフォルトでは、セキュリティアプライアンスの外部インターフェイス（セキュリティレベル 0）ではすべてのポートがブロックされ、内部インターフェイス（セキュリティレベル 100）ではすべてのポートがオープンになります。このように、すべての発信トラフィックは設定なしでセキュリティアプライアンスを通過できますが、着信トラフィックはセキュリティアプライアンスのアクセスリストとスタティックコマンドの設定によって許可できます。

注：一般に、すべてのポートはLower Security ZoneからHigher Security Zoneにブロックされ、すべてのポートはHigher Security ZoneからLower Security Zoneにオープンして、インバウンドとアウトバウンドの両方のトラフィックに対してステートフルインスペクションが有効になります。

このセクションは、次に示すサブセクションで構成されます。

ネットワーク図
ポートをブロッキングする設定
ポートをオープンする設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。

注：このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool（登録ユーザ専用）を参照してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。

ネットワーク図

このドキュメントでは、次のネットワークセットアップを使用します。

ポートをブロッキングする設定

セキュリティアプライアンスは、拡張アクセスリストで明示的にブロックされていない限り、あらゆる発信トラフィックの通過を許可します。

アクセスリストは、1 つ以上のアクセスコントロールエントリで構成されます。アクセスリストの種類によっては、送信元および宛先アドレス、プロトコル、ポート（TCP または UDP の場合）、ICMP のタイプ（ICMP の場合）または EtherType を指定できます。

注：ICMPなどのコネクションレス型プロトコルの場合、セキュリティアプライアンスは単方向セッションを確立するため、両方向（送信元インターフェイスと宛先インターフェイスへのアクセスリストの適用）にアクセスリストが必要か、ICMPインスペクションエンジンを有効にする必要があります。ICMP インスペクションエンジンは、ICMP セッションを双方向接続として扱います。

ポートをブロックするには、次の手順を実行します。通常は、内部（高いセキュリティゾーン）から DMZ（低いセキュリティゾーン）、または DMZ から外部に対して発信されるトラフィックに適用されます。

次のように、指定されたポートのトラフィックをブロックする方法でアクセスコントロールリストを作成します。

access-list 
        
        
          extended deny 
          
           
            
             
             
               eq 
              
                access-list 
               
                 extended permit ip any any

次に、access-group コマンドを使用してアクティブにするアクセスリストをバインドします。

access-group 
        
        
          in interface

例:

HTTP ポートトラフィックのブロック：DMZ ネットワークに配置された IP 172.16.1.1 を持つ http（Web サーバ）へのアクセスから内部ネットワーク 10.1.1.0 をブロックするには、次のように ACL を作成します。
```
ciscoasa(config)#access-list 100 extended deny tcp 10.1.1.0 255.255.255.0 
   host 172.16.1.1  eq 80
ciscoasa(config)#access-list 100 extended permit ip any any
ciscoasa(config)#access-group 100 in interface inside
```
注：ポートのブロックを解除するには、noの後にaccess listコマンドを続けて使用します。
FTP ポートトラフィックのブロック：DMZ ネットワークに配置された IP 172.16.1.2 を持つ FTP（ファイルサーバ）へのアクセスから内部ネットワーク 10.1.1.0 をブロックするには、次のように ACL を作成します。
```
ciscoasa(config)#access-list 100 extended deny tcp 10.1.1.0 255.255.255.0 
   host 172.16.1.2  eq 21
ciscoasa(config)#access-list 100 extended permit ip any any
ciscoasa(config)#access-group 100 in interface inside
```

注：ポートの割り当てに関する詳細については、IANAのポートを参照してください。

このセクションでは、ASDM 経由で設定を行う詳細な手順を紹介しています。

[Configuration] > [Firewall] > [Access Rules] に移動します。アクセスリストを作成するために、[Add Access Rule] をクリックします。
このアクセスルールが関連付けられるインターフェイスとともに、アクセスルールの送信元と宛先およびアクションを定義します。詳細を選択し、ブロックする特定のポートを選択します。
使用できるポートのリストから [http] を選択し、[OK] をクリックして [Add Access Rule] ウィンドウに戻ります。
[OK] をクリックして、アクセスルールの設定を完了します。
同じアクセスリストにアクセスルールを追加するには、[Insert After] をクリックします。
「any」から「any」へのトラフィックを許可し、「暗黙拒否」を回避します。次に、[OK] をクリックして、このアクセスルールの追加を完了します。
設定したアクセスリストは、[Access Rules] タブに表示されます。[Apply] をクリックして、セキュリティアプライアンスに設定を送信します。

ASDM から送信された設定の結果は、ASA のコマンドラインインターフェイス（CLI）の次のコマンドセットになります。
```
access-list inside_access_in extended deny tcp host 10.1.1.0 host 172.16.1.1 eq www
access-list inside_access_in extended permit ip any any
access-group inside_access_in in interface inside
```
この手順では、10.1.1.0ネットワークがWebサーバ172.16.1.1にアクセスするのをブロックするために、例1がASDMを介して実行されています。例2も、10.1.1.0ネットワーク全体がFTPサーバ172.16.1.2にアクセスすることをブロックする方法と同じです。唯一の違いは、ポートを選択する点です。

注：このアクセスルール設定（例2）は、新しい設定であると想定されています。
FTP トラフィックをブロックするアクセスルールを定義し、[Details] タブをクリックして宛先ポートを選択します。
[ftp] ポートを選択し、[OK] をクリックして [Add Access Rule] ウィンドウに戻ります。
[OK] をクリックして、アクセスルールの設定を完了します。
その他のトラフィックを許可する別のアクセスルールを追加します。そうしないと、暗黙拒否ルールによってインターフェイス上のすべてのトラフィックがブロックされます。
完成したアクセスリストの設定は、[Access Rules] タブの下に次のように表示されます。

[Apply] をクリックして設定を ASA に送信します。同等の CLI 設定は次のようになります。

access-list inside_access_in extended deny tcp host 10.1.1.0 host 172.16.1.1 eq ftp
access-list inside_access_in extended permit ip any any
access-group inside_access_in in interface inside

ポートをオープンする設定

セキュリティアプライアンスは、拡張アクセスリストで明示的に許可されていないかぎり、どのような着信トラフィックの通過も許可しません。

外部ホストから内部ホストにアクセスできるようにする場合は、外部インターフェイス上で着信アクセスリストを適用できます。内部ホストの変換後アドレスは外部ネットワーク上で使用できるアドレスであるため、変換後アドレスをアクセスリストで指定する必要があります低いセキュリティゾーンから高いセキュリティゾーンに対してポートをオープンするには、次の手順を実行します。たとえば、外部（低いセキュリティゾーン）から内部インターフェイス（高いセキュリティゾーン）、または DMZ から内部インターフェイスへのトラフィックを許可します。

スタティック NAT では、実際のアドレスからマッピングアドレスへの固定変換が作成されます。マッピングされたこのアドレスはインターネット上でホストされるアドレスで、サーバの実際のアドレスを知らなくても DMZ 上のアプリケーションサーバに対するアクセスに使用できるアドレスです。
```
static (real_ifc,mapped_ifc) mapped_ip {real_ip [netmask mask] | 
   access-list access_list_name | interface}
```
詳細については、『PIX/ASA のコマンドリファレンス』の「スタティック NAT」セクションを参照してください。

1 つの ACL を作成して特定のポートのトラフィックを許可します。

access-list 
        
        
          extended permit 
          
           
            
             
             
               eq

次に、access-group コマンドを使用してアクティブにするアクセスリストをバインドします。

access-group 
        
        
          in interface

例:

SMTP ポートトラフィックのオープン：ポート tcp 25 をオープンし、外部（インターネット）からのホストが DMZ ネットワークに配置されたメールサーバにアクセスできるようにします。

Static コマンドは、外部アドレスの 192.168.5.3 を実際の DMZ アドレス 172.16.1.3 にマッピングします。
```
ciscoasa(config)#static (DMZ,Outside) 192.168.5.3 172.16.1.3
 netmask 255.255.255.255
ciscoasa(config)#access-list 100 extended permit tcp 
 any host 192.168.5.3 eq 25
ciscoasa(config)#access-group 100 in interface outside
```
HTTPS ポートトラフィックのオープン：ポート tcp 443 をオープンし、外部（インターネット）からのホストが DMZ ネットワークに配置された Web サーバ（セキュア）にアクセスできるようにします。
```
ciscoasa(config)#static (DMZ,Outside) 192.168.5.5 172.16.1.5
 netmask 255.255.255.255
ciscoasa(config)#access-list 100 extended permit tcp 
 any host 192.168.5.5  eq 443
ciscoasa(config)#access-group 100 in interface outside
```
DNS トラフィックの許可：ポート udp 53 をオープンし、外部（インターネット）からのホストが DMZ ネットワークに配置された DNS サーバ（セキュア）にアクセスできるようにします。
```
ciscoasa(config)#static (DMZ,Outside) 192.168.5.4 172.16.1.4
 netmask 255.255.255.255
ciscoasa(config)#access-list 100 extended permit udp 
 any host 192.168.5.4  eq 53
ciscoasa(config)#access-group 100 in interface outside
```

注：ポートの割り当てに関する詳細については、IANAのポートを参照してください。

ASDM 経由の設定

このセクションでは、前述したタスクを ASDM で実行するための詳細な手順を紹介しています。

192.168.5.3 サーバへの smtp トラフィックを許可するアクセスルールを作成します。
アクセスルールの送信元と宛先、このルールがバインドされるインターフェイスを定義します。また、[Action] に [Permit] を定義します。
ポートに [SMTP] を選択し、[OK] をクリックします。
[OK] をクリックして、アクセスルールの設定を完了します。
172.16.1.3 を 192.168.5.3 に変換するために、スタティック NAT を設定します。
1. [Configuration] > [Firewall] > [NAT Rules] > [Add Static NAT Rule] に移動し、スタティック NAT エントリを追加します。
2. 関連付けられているインターフェイスとともに変換前のソースアドレスと変換後の IP アドレスを選択し、[OK] をクリックしてスタティック NAT のルールの設定を完了します。
  
  このイメージは、「例」セクションに記載されている 3 つのスタティックルールすべてを図示しています。
  
  このイメージは、「例」セクションに記載されている 3 つのアクセスルールすべてを図示しています。