このドキュメントでは、アクセス コントロール リストで Cisco Adaptive Security Device Manager(ASDM)を使用する方法について説明します。また、新しいアクセス リストの作成、既存のアクセス リストの編集方法、およびアクセス リストのその他の機能について説明します。
このドキュメントに関する固有の要件はありません。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
バージョン 8.2.X の Cisco 適応型セキュリティ アプライアンス(ASA)
Cisco Adaptive Security Device Manager(ASDM)バージョン 6.3.X
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
アクセス リストは、主にファイアウォールを介したトラフィック フローの制御に使用されます。アクセス リストを使用して、特定のタイプのトラフィックを許可または拒否できます。すべてのアクセス リストには、特定の送信元から特定の宛先へのトラフィック フローを制御する多くのアクセス リスト エントリ(ACE)の数が含まれます。通常、このアクセス リストはインターフェイスにバインドされ、検索するフローの方向を示します。アクセス リストは、大きく 2 種類に分けられます。
着信アクセス リスト
発信アクセス リスト
着信アクセス リストは、インターフェイスに入るトラフィックに適用されます。発信アクセス リストは、インターフェイスから出るトラフィックに適用されます。着信/発信表記は、セキュリティが高いインターフェイスと低いインターフェイスとの間のトラフィックの移動ではなく、そのインターフェイスのトラフィックの方向を示します。
TCP 接続と UDP 接続では、リターン トラフィックを許可するアクセス リストは必要ありません。これは、セキュリティ アプライアンスによって、確立された双方向接続のすべてのリターン トラフィックが許可されるためです。ICMP などのコネクションレス プロトコルの場合、セキュリティ アプライアンスにより、単方向セッションが確立されます。そのため、送信元と宛先のインターフェイスにアクセス リストを適用して両方向の ICMP を許可するか、ICMP インスペクション エンジンを有効にする必要があります。ICMP インスペクション エンジンは、ICMP セッションを双方向接続として扱います。
ASDM バージョン 6.3.X 以降では、設定できるアクセス リストは、次の 2 種類があります。
インターフェイス アクセス ルール
グローバル アクセス ルール
注:アクセスルールは個々のアクセスリストエントリ(ACE)を参照します。
インターフェイス アクセスルールは、作成時に任意のインターフェイスにバインドされます。インターフェイスにバインドしない場合、作成できません。これは、コマンド ラインの例とは異なります。CLI の場合、access list コマンドを使用してアクセス リストを作成してから、access-group コマンドを使用してアクセス リストをインターフェイスにバインドします。ASDM 6.3 以降では、アクセス リストの作成とインターフェイスへのバインドが 1 つのタスクとして実行されます。これは、特定のインターフェイスを介するトラフィックだけに適用されます。
グローバル アクセス ルールは、任意のインターフェイスにバインドされません。これらは、ASDM の [ACL Manager] タブを介して設定でき、グローバル入力トラフィックに適用されます。実装は、発信元、宛先およびプロトコル タイプに基づいたマッチングがある場合に行われます。これらのルールは、各インターフェイスで複製されないので、メモリ領域の節約になります。
これら両方のルールが実装される場合、通常、グローバル アクセス ルールより、インターフェイス アクセス ルールが優先されます。
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。
このドキュメントでは、次のネットワーク セットアップを使用します。
ASDM で新しいアクセス リストを作成するには、次の手順を実行します。
Choose [Configuration] > [Firewall] > [Access Rules] を選択し、[Add Access Rule] ボタンを選択します。
このアクセス リストをバインドする必要があるインターフェイス、およびトラフィックで実行するアクション(許可や拒否)を選択します。[Details] ボタンをクリックして、送信元ネットワークを選択します。
注:このウィンドウに表示されるさまざまなフィールドについて簡単に説明します。
[Interface]:このアクセス リストがバインドされるインターフェイスを決定します。
[Action]:新しいルールのアクション タイプを決定します。次の 2 つのオプションを使用できます。[Permit] は一致するすべてのトラックを許可します。[Deny] は一致するすべてのトラフィックをブロックします。
[Source]:トラフィックの送信元を指定します。 これは、ファイアウォールまたはネットワーク オブジェクト グループの単一 IP アドレスか、ネットワークか、インターフェイス IP アドレスのいずれかとすることができます。これらは [Details] ボタンで選択できます。
[Destination]:トラフィックの宛先を指定します。 これは、ファイアウォールまたはネットワーク オブジェクト グループの単一 IP アドレスか、ネットワークか、インターフェイス IP アドレスのいずれかとすることができます。これらは [Details] ボタンで選択できます。
[Service]:このアクセス リストが適用されるトラフィックのプロトコルまたはサービスを決定します。また、さまざまなプロトコルのセットを含むサービス グループを定義することもできます。
[Details] ボタンをクリックしたら、既存のネットワーク オブジェクトを含む新しいウィンドウが表示されます。[inside-network] を選択して、[OK] をクリックします。
[Add Access Rule] ウィンドウに戻ります。Destinationフィールドにanyと入力し、OKをクリックして、アクセスルールの設定を完了します。
アクセス ルールを既存のアクセス ルールの前に追加する:
既存のアクセス ルールの前にアクセス ルールを追加するには、次の手順を実行します。
既存のアクセス リスト エントリを選択して、[Add] ドロップダウン メニューから [Insert] をクリックします。
送信元と宛先を選択し、[Service] フィールドの [Details] ボタンをクリックして、[Protocol] を選択します。
[HTTP] プロトコルを選択して、[OK] をクリックします。
[Insert Access Rule] ウィンドウに戻ります。[Service] フィールドに、選択プロトコルとして [tcp/http] が表示されます。[OK] をクリックして、新しいアクセス リスト エントリの設定を完了します。
新しいアクセス ルールが、Inside-Network の既存のエントリの前に表示されます。
注:アクセスルールの順序は非常に重要です。各パケットのフィルタリング処理中、ASA は、パケットがアクセス ルール条件に一致するか順序通りに検証し、一致した場合、そのアクセス ルールのアクセスを実装します。アクセス ルールに一致すると、他のアクセス ルールとの検証は行われません。
アクセス ルールを既存のアクセス ルールの後に追加する:
既存のアクセス ルールの後にアクセス ルールを作成するには、次の手順を実行します。
新しいアクセス ルールを追加するアクセス ルールを選択し、[Add] ドロップダウン メニューから [Insert After] を選択します。
[Interface]、[Action]、[Source]、[Destination] および [Service] フィールドを指定し、[OK] をクリックして、このアクセス ルールの設定を完了します。
すでに設定されているアクセス ルールの後に、新しく設定したアクセス ルールが追加されていることを確認できます。
ASDM GUI で標準アクセス リストを作成するには、次の手順を実行します。
[Configuration] > [Firewall] > [Advanced] > [Standard ACL] > [Add] を選択して、[Add ACL] をクリックします。
標準アクセス リストで許可される範囲の数値を指定して、[OK] をクリックします。
アクセス ルールをこのアクセス リストに追加するには、アクセス リストを右クリックして [Add ACE] を選択します。
[Action] を選択して、[Source address] を指定します。必要に応じて、[Description] も指定します。[OK] をクリックして、アクセス ルールの設定を完了します。
グローバル アクセス ルールを含む拡張アクセス リストを作成するには、次の手順を実行します。
[Configuration] > [Firewall] > [Advanced] > [ACL Manager] > [Add] を選択して、[Add ACL] ボタンをクリックします。
アクセス リストの名前を指定して、[OK] をクリックします。
アクセス ルールをこのアクセス リストに追加するには、アクセス リストを右クリックして [Add ACE] を選択します。
[Action]、[Source]、[Destination] および [Service] フィールドを完了し、[OK] をクリックして、グローバル アクセス ルールの設定を完了します。
次のように、グローバル アクセス ルールを表示できます。
このセクションでは、既存のアクセスの編集方法について説明します。
[Protocol] フィールドを編集して、サービス グループを作成する:
新しいサービス グループを作成するには、次の手順を実行します。
変更する必要があるアクセス ルールを右クリックし、[Edit] を選択して、特定のアクセス ルールを変更します。
[Details] ボタンをクリックして、このアクセス ルールに関連付けられているプロトコルを変更します。
必要に応じて、HTTP 以外の任意のプロトコルを選択できます。選択するプロトコルが 1 つだけの場合、サービス グループを作成する必要はありません。サービス グループは、マッチングする隣接しない複数のプロトコルをこのアクセス ルールで特定する必要がある場合に役に立ちます。
[Add] > [TCP service group] を選択して、新しい TCP サービス グループを作成します。
注:同様に、新しいUDPサービスグループまたはICMPグループなどを作成することもできます。
このサービス グループの名前を指定し、左側のメニューからプロトコルを選択し、[Add] をクリックして、右側の [Members in Group] メニューに移動します。必要に応じて、複数のプロトコルをサービス グループのメンバとして追加できます。これらのプロトコルは 1 つずつ追加されます。すべてのメンバが追加されたら、[OK] をクリックします。
新しく作成したサービス グループは、[TCP service groups] タブの下に表示されます。[OK] ボタンをクリックして、[Edit Access Rule] ウィンドウに戻ります。
新しく作成したサービス グループが [Service] フィールドに追加されます。[OK] をクリックして編集を完了します。
マウスを特定のサービス グループに合わせ、関連するすべてのプロトコルを表示します。
[Source]/[Destination] フィールドを編集して、ネットワーク オブジェクト グループを作成する:
オブジェクト グループを使用すると、アクセス リストの作成およびメンテナンスが簡単になります。類似オブジェクトをグループにまとめると、オブジェクトごとに ACE を入力する代わりに、ACE でオブジェクト グループを使用できるようになります。オブジェクト グループを作成する前に、オブジェクトを作成する必要があります。ASDM 用語では、オブジェクトは、ネットワーク オブジェクトと呼ばれ、オブジェクト グループは、ネットワーク オブジェクト グループと呼ばれます。
次のステップを実行します。
[Configuration] > [Firewall] > [Objects] > [Network Objects/Groups] > [Add] を選択し、[Network Object] をクリックして、新しいネットワーク オブジェクトを作成します。
[Name]、[IP Address] および [Netmask] フィールドに入力して、[OK] をクリックします。
新しく作成したネットワーク オブジェクトが、オブジェクトのリストに表示されます。[OK] をクリックします。
[Configuration] > [Firewall] > [Objects] > [Network Objects/Groups] > [Add] を選択し、[Network Object Group] をクリックして、新しいネットワーク オブジェクトを作成します。
すべてのネットワーク オブジェクトの使用可能リストは、ウィンドウの左ペインに表示されます。個々のネットワーク オブジェクトを選択し、[Add] ボタンをクリックして、新しく作成したネットワーク オブジェクト グループのメンバにします。グループ名は、割り当てられているフィールドで指定する必要があります。
すべてのメンバをグループに追加したら、[OK] をクリックします。
これで、ネットワーク オブジェクト グループを表示できます。
ネットワーク グループ オブジェクトで既存のアクセス リストの任意の送信元または宛先フィールドを変更するには、特定のアクセス ルールを右クリックして、[Edit] を選択します。
[Edit Access Rule] ウィンドウが表示されます。[Source] フィールドの [Details] ボタンをクリックして変更します。
[All-Internal-Hosts] ネットワーク オブジェクト グループを選択して、[OK] ボタンをクリックします。
[OK] をクリックします。
アクセス ルールの [Source] フィールドにマウスを合わせ、グループのメンバを表示します。
送信元ポートを編集する:
アクセス ルールの送信元ポートを変更するには、次の手順を実行します。
既存のアクセス ルールの送信元ポートを変更するには、右クリックして、[Edit] を選択します。
[Edit Access Rule] ウィンドウが表示されます。
[More Options] ドロップダウン ボタンをクリックし、[Source Service] フィールドを変更して、[OK] をクリックします。
次のように、変更したアクセス ルールを表示できます。
アクセス リストを削除するには、次の手順を実行します。
既存のアクセス リストを削除する前に、アクセス リスト エントリ(アクセス ルール)を削除する必要があります。すべてのアクセス ルールを削除しないと、アクセス リストを削除できません。
削除するアクセス ルールを右クリックして、[Delete] を選択します。
既存のすべてのアクセス ルールで同じ削除操作を実行し、アクセス リストを選択して、[Delete] を選択して削除します。
ASDM アクセス ルールでは、アクセス リストと個々のインターフェイスがバインドされますが、ACL Manager では、すべての拡張アクセス リストが追跡されます。ACL Manager により作成されるアクセス ルールは、インターフェイスにバインドされません。これらのアクセス リストは、通常、インターフェイスとは関連のない NAT-Exempt、VPN-Filter およびその他の同様機能のために使用されます。ACL Manager には、[Configuration] > [Firewall] > [Access Rules] セクションのすべてのエントリが含まれます。また、ACL Manager には、インターフェイスとは関連のないグローバル アクセス ルールも含まれます。ASDM では、アクセス ルールをアクセス リスト間で簡単にエクスポートできます。
たとえば、すでにグローバル アクセス ルールに含まれるアクセス ルールをインターフェイスと関連付ける必要がある場合、このように再設定する必要はありません。ただし、[Cut] & [Paste] 操作を実行して実行できます。
指定のアクセス ルールを右クリックして、[Cut] を選択します。
このアクセス ルールを挿入する必要があるアクセス リストを選択します。ツール バーの [Paste] を使用して、アクセス ルールを挿入します。
アクセス リスト情報は、別のファイルにエクスポートできます。この情報のエクスポートには、次の 2 種類の形式がサポートされています。
カンマ区切り(CSV)形式
HTML 形式
任意のアクセス ルールを右クリックし、[Export] を選択して、アクセス リスト情報をファイルに送信します。
次に、HTML 形式のアクセス リスト情報を示します。
現在、この設定に使用できる確認手順はありません。
現在、この設定に関する特定のトラブルシューティング情報はありません。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
24-Mar-2011 |
初版 |