ACL(アクセスリスト)とは
Ciscoルータでセキュリティを実装するには、ACLと呼ばれるパケットフィルタリングを定義します。ACLを定義することで、フィルタリング条件を定義することができます。
ACL(host・anyキーワード・省略)
アクセスリストは、1つのコマンドが長くなりがちです。そこで、アクセスリストを短く、そして簡潔で分かりやすくするためのキーワードが用意されています。
標準ACL
標準IPアクセスリストを作成して、インタフェースに適用する演習を行います。標準IPアクセスリストでは、送信元IPアドレスだけが指定できます。
ACLの検証
「標準ACL」で構築したネットワーク上で、アクセスリストの検証コマンドを実行しACLが適用されているか確認します。「show」コマンドを中心に紹介してゆきます。
名前付き拡張IPアクセスリスト
IOSバージョン12.0より前は、拡張IPアクセスリストは100個を超えてリストを作成する場合は、名前付きアクセスリストを使用する必要がありました。
ACL(ICMP)
拡張IPアクセスリストを使用すれば、ICMP通信を制御することができます。
プロトコルの指定に「icmp」を指定します。
ACL(established)
フィルタの設定を行う際に、「内部からは許可したいが、外部からは拒否したい」ケースがあります。「established」キーワードを使うことにより、簡単に実現することができます。
|
|
ACL(ワイルドカードマスク)
ワイルドカードマスクは、サブネットマスクを逆にしたような印象を受けてしまいますが、サブネットマスクの逆ではありません。ワイルドカードマスクとサブネットマスクは別物です。
ACLの仕組・動作
アクセスリストを作成する上で気を付けなければならないのが、リストの順番です。作成したアクセスリストが全てチェックされるわけではありません。
拡張ACL
拡張IPアクセスリストを作成して、インタフェースに適用する演習を行います。拡張IPアクセスリストでは、送信元、宛先IPアドレス、ポート番号が指定できます。
名前付き標準IPアクセスリスト
OSバージョン11.2以降では、名前付きアクセスリスを作成することができます。標準IPアクセスリストでは、99個までという制約を超えてリストを作成する場合に便利です。
ACL アクセスクラス(access-class)
Ciscoルータに適用できるアクセスリストは、物理インタフェースだけではありません。ここでは、ルータの仮想回線に適用するアクセスリストを紹介します。
ACL(ルータの発行コマンド時の注意)
ルータの発行するコマンド(telnet、ping)は、そのルータのアクセスリストのプロセスを実行しないので注意しましょう。
実際に試してみましょう。
ACLの配置について
アクセスリストは、自由度が高く目的を達成するための方法は、いくつも考えられます。答えは一つではありません。複数考えられる候補から、よりベターな方法を採用します。
|
|