ACL について
アクセス コントロール リスト(ACL)では、ACL のタイプに応じてトラフィック フローを 1 つまたは複数の特性(送信元および宛先 IP アドレス、 IP プロトコル、ポート、EtherType、その他のパラメータを含む)で識別します。ACL は、さまざまな機能で使用されます。ACL は 1 つまたは複数のアクセス コントロール エントリ(ACE)で構成されます。
ACL タイプ
ASA では、次のタイプの ACL が使用されます。
-
拡張 ACL:主に使用されるタイプです。この ACL は、サービス ポリシー、AAA ルール、WCCP、ボットネット トラフィック フィルタ、VPN グループおよび DAP ポリシーを含むさまざまな機能で、トラフィックがデバイスを通過するのを許可および拒否するアクセス ルールとトラフィックの照合に使用されます。ASDM では、これらの機能の多くに独自のルール ページがあります。これらのページでは、ACL Manager で定義した拡張 ACL は使用できません。ただし、ACL Manager には、これらのページで作成した ACL が表示されます。拡張 ACL の設定 を参照してください。
-
EtherType ACL:EtherType ACL はブリッジ グループ メンバーのインターフェイスの非 IP レイヤ 2 トラフィックにのみ適用されます。これらのルールを使用して、レイヤ 2 パケット内の EtherType 値に基づいてトラフィックを許可または破棄できます。EtherType ACL では、デバイスでの非 IP トラフィック フローを制御できます。EtherType ルールの設定を参照してください。
-
Webtype ACL:クライアントレス SSL VPN トラフィックのフィルタリングに使用されます。この ACL では、URL または宛先アドレスに基づいてアクセスを拒否できます。 Webtype ACL の設定を参照してください。
-
標準 ACL:宛先アドレスだけでトラフィックを識別します。このタイプの ACL は、少数の機能(ルート マップと VPN フィルタ)でしか使用されません。VPN フィルタでは拡張アクセス リストも使用できるので、標準 ACL の使用はルート マップだけにしてください。 標準 ACL の設定を参照してください。
次の表に、ACL の一般的な使用目的と使用するタイプを示します。
ACL の使用目的 |
ACL タイプ |
説明 |
||
---|---|---|---|---|
IP トラフィックのネットワーク アクセスの制御(ルーテッド モードおよびトランスペアレント モード) |
拡張 |
ASA では、拡張 ACL により明示的に許可されている場合を除き、低位のセキュリティ インターフェイスから高位のセキュリティ インターフェイスへのトラフィックは認められません。ルーテッド モードでは、ACL を使用して、ブリッジ グループ メンバーのインターフェイスと同じブリッジ グループの外部のインターフェイスとの間のトラフィックを許可する必要があります。
|
||
AAA ルールでのトラフィック識別 |
拡張 |
AAA ルールでは、ACL を使用してトラフィックを識別します。 |
||
特定のユーザーの IP トラフィックに対するネットワーク アクセス コントロールの強化 |
拡張、ユーザーごとに AAA サーバーからダウンロード |
ユーザーに適用するダイナミック ACL をダウンロードするように RADIUS サーバーを設定できます。または、ASA 上に設定済みの ACL の名前を送信するようにサーバーを設定できます。 |
||
VPN アクセスおよびフィルタリング |
拡張 規格 |
リモート アクセスおよびサイト間 VPN のグループ ポリシーでは、標準または拡張 ACL がフィルタリングに使用されます。リモート アクセス VPN では、クライアント ファイアウォール設定とダイナミック アクセス ポリシーにも拡張 ACL が使用されます。 |
||
トラフィック クラス マップでのモジュラ ポリシー フレームワークのトラフィックの識別 |
拡張 |
ACL を使用すると、クラス マップ内のトラフィックを識別できます。このマップは、モジュラ ポリシー フレームワークをサポートする機能に使用されます。モジュラ ポリシー フレームワークをサポートする機能には、TCP および一般的な接続設定やインスペクションなどがあります。 |
||
ブリッジ グループ メンバーのインターフェイスに対する非 IP トラフィックのネットワーク アクセスの制御 |
EtherType |
ブリッジ グループのメンバーであるすべてのインターフェイスの EtherType に基づいて、トラフィックを制御をする ACL を設定できます。 |
||
ルート フィルタリングおよび再配布の特定 |
規格 拡張 |
各種のルーティング プロトコルでは、IP アドレスのルート フィルタリングと(ルート マップを介した)再配布に ACL が使用されます(IPv4 アドレスの場合は標準 ACL が、IPv6 アドレスの場合は拡張 ACL がそれぞれ使用されます)。 |
||
クライアントレス SSL VPN のフィルタリング |
Webtype |
Webtype ACL は、URL と宛先をフィルタリングするように設定できます。 |
ACL Manager
ACL Manager は、次の 2 つの方法で表示できます。
-
メイン ウィンドウで、たとえば
の順に選択する。この場合、ACL Manager には拡張 ACL のみが表示されます。これらの ACL には、[Access Rules]、[Service Policy Rules]、および [AAA Rules] の各ページで作成したルールによって生成された ACL が含まれます。ACL Manager で編集を行う場合は、これらのルールに悪影響を与えないように注意してください。ここで加えた変更は、これらの他のページに反映されます。 -
ACL が必要なポリシーから、フィールドの横にある [Manage] ボタンをクリックする。この場合、ポリシーで標準 ACL と拡張 ACL が許可されていれば、両方の ACL のタブが個別に表示されます。許可されていない場合は、標準、拡張、または Webtype の ACL のみを表示するようにビューがフィルタリングされます。EtherType ACL は表示されません。
メイン ウィンドウで標準 ACL と Webtype ACL を設定できるように、これらの ACL 用の個別のページが用意されています。これらのページは、名前のない ACL Manager と機能的に同じです。
-
標準 ACL:
。 -
Webtype ACL:
。
ACL 名
各 ACL には、outside_in、OUTSIDE_IN、101 などの名前または数値 ID があります。名前は 241 文字以下にする必要があります。実行コンフィギュレーションを表示するときに名前を簡単に見つけられるように、すべて大文字にすることを検討してください。
ACL の目的を識別するのに役立つ命名規則を作成します。ASDM では、「interface-name_purpose_direction」などの命名規則が使用されます。たとえば、「外部」インターフェイスにインバウンド方向で適用される ACL の場合には、「outside_access_in」のようになります。
従来、 ACL ID は数値でした。標準 ACL は、1 ~ 99 または 1300 ~ 1999 の範囲にありました。拡張 ACL は、100 ~ 199 または 2000 ~ 2699 の範囲にありました。ASA では、これらの範囲は強制されませんが、数値を使用する場合は、IOS ソフトウェアを実行するルータとの一貫性を保つために、これらの命名規則を引き続き使用することをお勧めします。
アクセス コントロール エントリの順序
1 つの ACL は、1 つまたは複数の ACE で構成されます。特定の行に明示的に ACE を挿入しない限り、ある ACL 名について入力した各 ACE はその ACL の末尾に追加されます。
ACE の順序は重要です。ASA は、パケットを転送するかドロップするかを決定するとき、エントリがリストされている順序で各 ACE に対してパケットをテストします。一致が見つかると、ACE はそれ以上チェックされません。
したがって、一般的なルールの後に具体的なルールを配置した場合、具体的なルールは決してヒットしない可能性があります。たとえば、ネットワーク 10.1.1.0/24 を許可し、そのサブネット上のホスト 10.1.1.15 からのトラフィックをドロップする場合、10.1.1.15 を拒否する ACE は 10.1.1.0/24 を許可する ACE の前に置く必要があります。10.1.1.0/24 を許可する ACE を先にすると、10.1.1.15 は許可され、拒否 ACE は決して一致しません。
必要に応じて、[Up] ボタンと [Down] ボタンを使用してルールを再配置します。
許可/拒否と一致/不一致
アクセス コントロール エントリでは、ルールに一致するトラフィックを「許可」または「拒否」します。グローバル アクセス ルールやインターフェイス アクセス ルールなど、トラフィックが ASA の通過を許可されるか、ドロップされるかを決定する機能に ACL を適用する場合、「許可」と「拒否」は文字どおりの意味を持ちます。
サービス ポリシー ルールなどのその他の機能の場合、「許可」と「拒否」は実際には「一致」または「不一致」を意味します。この場合、ACL では、アプリケーション インスペクションやサービス モジュールへのリダイレクトなど、その機能のサービスを受けるトラフィックを選択しています。「拒否される」トラフィックは、単に ACL に一致せず、したがってサービスを受けないトラフィックのことです (ASDM では、たとえば、サービス ポリシー ルールでは実際には一致/不一致が使用され、AAA ルールでは認証/未認証が使用されますが、CLI では常に許可/拒否が使用されます)。
アクセス コントロールによる暗黙的な拒否
through-the-box アクセス ルールに使用する ACL には末尾に暗黙の deny ステートメントがあります。したがって、インターフェイスに適用される ACL などのトラフィック制御 ACL では、あるタイプのトラフィックを明示的に許可しない場合、そのトラフィックはドロップされます。たとえば、1 つまたは複数の特定のアドレス以外のすべてのユーザーが ASA 経由でネットワークにアクセスできるようにするには、特定のアドレスを拒否してから、その他のすべてのアドレスを許可する必要があります。
管理(コントロール プレーン)の ACL は to-the-box トラフィックを管理していますが、インターフェイスの一連の管理ルールの末尾には暗黙の deny がありません。その代わりに、管理アクセス ルールに一致しない接続は通常のアクセス制御ルールで評価されます。
サービス対象のトラフィックの選択に使用される ACL の場合は、明示的にトラフィックを「許可」する必要があります。「許可」されていないトラフィックはサービスの対象になりません。「拒否された」トラフィックはサービスをバイパスします。
EtherType ACL の場合、ACL の末尾にある暗黙的な拒否は、IP トラフィックや ARP には影響しません。たとえば、EtherType 8037 を許可する場合、ACL の末尾にある暗黙的な拒否によって、拡張 ACL で以前許可(または高位のセキュリティ インターフェイスから低位のセキュリティ インターフェイスへ暗黙的に許可)した IP トラフィックがブロックされることはありません。ただし、EtherType ACE で明示的にすべてのトラフィックを拒否すると、IP および ARP トラフィックが拒否されます。許可されるのは、自動ネゴシエーションなどの物理プロトコル トラフィックだけです。
NAT 使用時に拡張 ACL で使用する IP アドレス
NAT または PAT を使用すると、アドレスまたはポートが変換され、通常は内部アドレスと外部アドレスがマッピングされます。変換されたポートまたはアドレスに適用される拡張 ACL を作成する必要がある場合は、実際の(変換されていない)アドレスまたはポートを使用するか、マッピングされたアドレスまたはポートを使用するかを決定する必要があります。要件は機能によって異なります。
実際のアドレスとポートが使用されるので、NAT コンフィギュレーションが変更されても ACL を変更する必要はなくなります。
実際の IP アドレスを使用する機能
次のコマンドおよび機能では、インターフェイスに表示されるアドレスがマッピング アドレスである場合でも、実際の IP アドレスを使用します。
-
アクセス ルール(access-group コマンドで参照される拡張 ACL)
-
サービス ポリシー ルール(モジュラ ポリシー フレームワークの match access-list コマンド)
-
ボットネット トラフィック フィルタのトラフィック分類(dynamic-filter enable classify-list コマンド)
-
AAA ルール(aaa ... match コマンド)
-
WCCP(wccp redirect-list group-list コマンド)
たとえば、内部サーバー 10.1.1.5 用の NAT を設定して、パブリックにルーティング可能な外部の IP アドレス 209.165.201.5 をこのサーバーに付与する場合は、この内部サーバーへのアクセスを外部トラフィックに許可するアクセス ルールの中で、サーバーのマッピング アドレス(209.165.201.5)ではなく実際のアドレス(10.1.1.5)を参照する必要があります。
マッピング IP アドレスを使用する機能
次の機能は、ACL を使用しますが、これらの ACL は、インターフェイス上で認識されるマッピングされた値を使用します。
-
IPsec ACL
-
capture コマンドの ACL
-
ユーザー単位 ACL
-
ルーティング プロトコルの ACL
-
他のすべての機能の ACL
時間ベース ACE
ルールが一定期間だけアクティブになるように、拡張 ACE と Webtype ACE に時間範囲オブジェクトを適用することができます。このタイプのルールを使用すると、特定の時間帯には許容できるものの、それ以外の時間帯には許容できないアクティビティを区別できます。たとえば、勤務時間中に追加の制限を設け、勤務時間後または昼食時にその制限を緩めることができます。逆に、勤務時間外は原則的にネットワークをシャットダウンすることもできます。
時間範囲オブジェクトが含まれていないルールでは、プロトコル、送信元、宛先、およびサービス基準が正確に同じ時間ベースのルールを作成することはできません。時間ベースではないルールは、重複した時間ベースのルールを常にオーバーライドします(冗長であるため)。
(注) |
ACL を非アクティブにするための指定の終了時刻の後、約 80 ~ 100 秒の遅延が発生する場合があります。たとえば、指定の終了時刻が 3:50 の場合、この 3:50 は終了時刻に含まれているため、コマンドは、3:51:00 ~ 3:51:59 の間に呼び出されます。コマンドが呼び出された後、ASA は現在実行されているすべてのタスクを終了し、コマンドに ACL を無効にさせます。 |