Cisco ACLの概要
Cisco ACL(Access Control List)は、ネットワーク上で通信を制御するためのセキュリティ機能です。ACLは、パケットがネットワーク上を移動する際に、送信元や宛先などの特定の条件に基づいてパケットの許可または拒否を決定します。
Cisco ACLは、2つの種類があります。1つは標準ACLで、もう1つは拡張ACLです。
標準ACLは、送信元IPアドレスのみを基にパケットの許可または拒否を決定します。これに対して、拡張ACLは、送信元IPアドレス、宛先IPアドレス、プロトコルタイプ、ポート番号、そしていくつかの追加の条件に基づいてパケットの許可または拒否を決定します。
Cisco ACLを構成するには、次の手順が必要です。
- ACLを作成する
- ACLをインターフェイスに適用する
ACLを作成するには、以下の手順に従います。
- ACLを作成するには、アクセスリスト番号(1〜99または1300〜1999)を指定します。
- 次に、アクセスリストの種類(標準ACLまたは拡張ACL)を指定します。
- 次に、パケットを許可または拒否する条件を指定します。
- 最後に、ACLを名前付きACLに変換するか、標準ACLおよび拡張ACLのいずれかを選択します。
ACLをインターフェイスに適用するには、以下の手順に従います。
- インターフェイスにアクセスグループを設定します。
- ACLを適用する方向(入力または出力)を指定します。
ACLは、ネットワーク上で特定のトラフィックを制御するための重要なセキュリティ機能です。Cisco ACLを適切に構成することで、ネットワークのセキュリティを向上させることができます。
ACLを適用する場所
Cisco ACLは、ネットワーク上でトラフィックを制御するためのセキュリティ機能であり、特定の条件に基づいてパケットの許可または拒否を決定します。ACLは、特定のインターフェースまたはルータ全体に適用できます。
ACLを適用するインターフェースは、トラフィックの流れによって異なる影響を与えます。具体的には、次の2つの方法があります。
- インターフェイスへの入力方向(インバウンド)にACLを適用する
- インターフェイスからの出力方向(アウトバウンド)にACLを適用する
入力方向にACLを適用する場合、パケットがルータのインターフェイスに入る前に、ACLに基づいて処理されます。これにより、ネットワーク上の不正なトラフィックをブロックすることができます。また、出力方向にACLを適用する場合は、パケットがルータのインターフェイスから出る前に、ACLに基づいて処理されます。これにより、特定のトラフィックをフィルタリングすることができます。
ACLを適用する箇所を選択するためには、以下の点を考慮する必要があります。
- セキュリティのレベル:インターネットに接続されたインターフェイスにACLを適用することが一般的です。これにより、不正なトラフィックが内部ネットワークに入るのを防止することができます。
- トラフィックのパターン:入力方向にACLを適用すると、トラフィックがルータに到達する前にフィルタリングされるため、ネットワークの負荷が軽減される場合があります。一方、出力方向にACLを適用する場合、フィルタリングはルータのCPUに負荷をかけることがあるため、影響を受ける可能性があります。
- 目的:特定のネットワークプロトコルやサービスに対してACLを適用することが目的である場合、対象のインターフェイスにACLを適用する必要があります。
ACLを適用する箇所を決定する際には、上記のポイントを考慮し、ネットワークのセキュリティ要件やネットワークトラフィックのパターンに応じて適応する箇所を選択する必要があります。通常、次のような箇所にACLを適用することが推奨されます。
- ルータの外部インターフェイス:インターネットに接続されたルータのインターフェイスにACLを適用することで、外部からの攻撃や不正アクセスを防止することができます。
- 内部ネットワークのコアルータ:内部ネットワークのコアルータにACLを適用することで、内部ネットワーク内のトラフィックを制御することができます。
- アプリケーションサーバーなどの重要なホストに接続されたルータ:アプリケーションサーバーなどの重要なホストに接続されたルータにACLを適用することで、外部からの攻撃や不正アクセスを防止することができます。
- VPNゲートウェイ:VPNゲートウェイにACLを適用することで、VPN接続を介したトラフィックを制御することができます。
ACLを適用する箇所を決定する際には、ネットワークのセキュリティ要件やトラフィックのパターンに応じて適切な箇所を選択することが重要です。また、ACLを適用する箇所が複数ある場合は、それぞれの箇所に異なるACLを適用することが推奨されます。
ACLの設定と確認する方法
ACLを設定するには、次の手順を実行する必要があります。
- ACLのタイプを選択する: Ciscoルーターでは、2種類のACLがサポートされています。Standard ACLとExtended ACLです。Standard ACLは、送信元IPアドレスのみを基準にフィルタリングするため、トラフィックの種類を識別できません。一方、Extended ACLは、送信元、宛先、およびプロトコルとポート番号に基づいてフィルタリングできます。必要に応じて、Standard ACLまたはExtended ACLを選択してください。
- ACL番号を決定する: ACLには、1〜99と1300〜1999の範囲の番号を使用できます。番号が小さいほど、優先度が高くなります。ACL番号を決定してください。
- ACLエントリを作成する: ACLエントリは、フィルタリングルールのことで、フィルタリングするトラフィックを定義します。Standard ACLの場合、送信元IPアドレスだけが必要です。Extended ACLの場合、送信元、宛先、およびプロトコルとポート番号が必要です。100-199と2000ー2699
- ACLをインターフェースに適用する: ACLエントリを作成したら、ルーターのインターフェースにACLを適用する必要があります。特定のインターフェイスにACLを適用するには、次のコマンドを使用します。
- 最後に暗黙のdenyが存在します。
interface [interface-name]
ip access-group [acl-number] [in|out]
[interface-name]:ACLを適用するインターフェースの名前。
[acl-number]:ACLの番号。
[in|out]:入力トラフィックまたは出力トラフィックをフィルタリングするかを指定します。
以上の手順でACLを設定することができます。ただし、ACLの設定には慎重さが必要であり、誤った設定によりネットワークに影響を与える可能性があるため、注意して設定することが重要です。
標準ACLの番号付きの作成確認方法
標準ACLを作成する場合、次の手順に従ってACL番号付きの作成方法を説明します。
- 設定モードに入る: ルーターにSSHまたはシリアル接続を行い、CLI (Command Line Interface)を開始します。設定モードに入るには、次のコマンドを入力します。
- ACLを作成する: ACLを作成するには、次のコマンドを入力します。
access-list [acl-number] [permit/deny] [source]
[acl-number]:ACLに割り当てる番号を指定します。番号は1から99までの範囲内で選択することができます。
[permit/deny]:トラフィックを許可するか、拒否するかを指定します。
[source]:トラフィックの送信元アドレスを指定します。
たとえば、送信元アドレスが10.0.0.1のトラフィックを拒否するACLを作成する場合、次のコマンドを入力します。
access-list 10 deny 10.0.0.1
3.ACLを確認する: ACLを作成した後、次のコマンドを使用してACLを確認できます。
show access-lists
4. ACLをインターフェースに適用する: ACLを特定のインターフェイスに適用するには、次のコマンドを使用します。
interface [interface-name]
ip access-group [acl-number] [in|out]
[interface-name]:ACLを適用するインターフェースの名前。
[acl-number]:作成したACLの番号。
[in|out]:入力トラフィックまたは出力トラフィックをフィルタリングするかを指定します。
以上の手順で、標準ACL番号付きの作成方法が完了します。必要に応じて、複数のエントリを作成して、ACLを拡張することもできます。
拡張ACLの設定、確認方法
拡張ACLを作成するために、次の手順に従ってコマンドを入力します。
- 設定モードに入る: ルーターにSSHまたはシリアル接続を行い、CLI (Command Line Interface)を開始します。設定モードに入るには、次のコマンドを入力します。
- ACLを作成する: ACLを作成するには、次のコマンドを入力します。
access-list [acl-number] [permit/deny] [protocol] [source] [source-wildcard] [destination] [destination-wildcard] [operator] [port]
[acl-number]:ACLに割り当てる番号を指定します。番号は100から199までの範囲内で選択することができます。
[permit/deny]:トラフィックを許可するか、拒否するかを指定します。
[protocol]:フィルタリングするトラフィックのプロトコルを指定します。
[source]:トラフィックの送信元アドレスを指定します。
[source-wildcard]:送信元アドレスのワイルドカードマスクを指定します。
[destination]:トラフィックの宛先アドレスを指定します。
[destination-wildcard]:宛先アドレスのワイルドカードマスクを指定します。
[operator]:トラフィックをフィルタリングするためのオペレータを指定します。例えば、eq (等しい)、gt (より大きい)、lt (より小さい)、neq (等しくない)など。
[port]:プロトコルがTCPまたはUDPの場合、トラフィックをフィルタリングするためのポート番号を指定します。
たとえば、TCPプロトコルを使用して送信元アドレスが10.0.0.1、宛先アドレスが192.168.1.1、宛先ポートが80のトラフィックを許可するACLを作成する場合、次のコマンドを入力します。
access-list 101 permit tcp host 10.0.0.1 host 192.168.1.1 eq 80
3. ACLを確認する: ACLを作成した後、次のコマンドを使用してACLを確認できます。
show access-lists
4. ACLをインターフェースに適用する: ACLを特定のインターフェイスに適用するには、次のコマンドを使用します。
interface [interface-name]
ip access-group [acl-number] [in|out]
出力トラフィックに対してACLを適用するかを指定します。”in”を指定すると、入力トラフィックに対してACLが適用されます。”out”を指定すると、出力トラフィックに対してACLが適用されます。
たとえば、作成したACLをインターフェースGigabitEthernet0/0に適用する場合、次のコマンドを入力します。
interface GigabitEthernet0/0
ip access-group 101 in
これにより、インターフェースGigabitEthernet0/0に入力されるTCPトラフィックのうち、送信元アドレスが10.0.0.1、宛先アドレスが192.168.1.1、宛先ポートが80であるトラフィックが許可されます。
- ACLを保存する: ACLを保存するには、次のコマンドを入力します。
copy running-config startup-config
これにより、現在の設定が次回の起動時に自動的に読み込まれるようになります。
以上が、拡張ACLを作成するための基本的な手順です。ACLの作成には、トラフィックの種類やフィルタリング条件に応じてさまざまなオプションがあります。必要に応じて公式ドキュメントやその他のリソースを参照して、詳細な設定方法を確認することができます。