目次
名前付きACL(Named ACL)とは
名前付きACLとは、アクセスコントロールを番号ではなく任意の名前で識別できるようにしているACLです。名前付きACLは、以下のようなメリットがあります。
- わかりやすい
- 条件ごとの削除、挿入ができる
ACLを番号で作成すると、その内容がわかりづらくなります。設定した本人なら覚えているかもしれませんが、他人が見るとACL番号だけ見てもその内容はわからないでしょう。設定した本人でも時間が経つうちに忘れてしまいます。番号の代わりにACLを名前で作成すると、その設定内容がわかりやすくなります。
また、番号付きACLは特定の条件だけを削除できません。いったんすべての条件を削除して設定をやり直さなければいけません。名前付きACLなら特定の条件だけを削除できます。そして、あとから条件を挿入することもできます。
名前付きACLの設定
名前付きアクセスコントロールリストの設定は、グローバルコンフィグレーションモードで次のコマンドを入力します。
(config)#ip access-list {standard|extended} <ACL-name>
(config-std|ext-nacl)# [<seq>] {permit|deny} <criteria>
<seq> : シーケンス番号
<ACL-name> : ACL名
<criteria> : ACLの条件
番号付きACLは番号の範囲で標準か拡張かがわかります。それに対して、名前付きACLでは、standardまたはextendedを指定して標準か拡張かを明示的に決めます。
ACLの条件を設定するときに、<seq>でシーケンス番号を設定できます。シーケンス番号は省略可能で、省略すると10単位で自動的に割り当てられます。シーケンス番号を利用して、あとから条件を挿入することができます。
名前付きアクセスコントロールをインタフェースに適用するときには、インタフェースコンフィグレーションモードで以下のコマンドです。
(config-if)#ip access-group <ACL-name> {in|out}
<ACL-name> : 適用するアクセスコントロールリスト名
インタフェースに適用するときには、ACL名を間違えないように注意してください。
名前付きACLの設定例
名前付きACLの設定例を考えます。以下の条件で名前付きACL「Test」を設定します。
- 送信元IPアドレス 192.168.1.x(x:任意)のIPパケットをpermit
- 送信元IPアドレス 10.10.10.x(x:任意)のIPパケットをdeny
- 送信元IPアドレス 172.16.x.x(x:任意)のIPパケットをpermit
ip access-list standard Test permit 192.168.1.0 0.0.0.255 deny 10.10.10.0 0.0.0.255 permit 172.16.0.0 0.0.255.255
設定したTestの内容をshow access-listコマンドで見ると、次のようになります。
R1#show access-lists Standard IP access list Test 10 permit 192.168.1.0, wildcard bits 0.0.0.255 20 deny 10.10.10.0, wildcard bits 0.0.0.255 30 permit 172.16.0.0, wildcard bits 0.0.255.255
各行の先頭の「10」「20」「30」はシーケンス番号です。設定するときに省略しているので10単位で自動的にシーケンス番号が割り当てられています。
名前付きACLなら特定の条件だけを削除できます。「deny 10.10.10.0 0.0.0.255」の条件を削除して、show access-listを見ると、次のようになります。
R1(config)#ip access-list standard Test R1(config-std-nacl)#no deny 10.10.10.0 0.0.0.255 R1(config-std-nacl)#do show access-list Standard IP access list Test 10 permit 192.168.1.0, wildcard bits 0.0.0.255 30 permit 172.16.0.0, wildcard bits 0.0.255.255
削除した条件をあらためて挿入します。シーケンス番号を「10」と「30」の間の数値にして、条件を設定すると、シーケンス番号「10」と「30」の間に挿入されます。
R1(config)#ip access-list standard Test R1(config-std-nacl)#20 deny 10.10.10.0 0.0.0.255 R1(config-std-nacl)#do show access-list Standard IP access list Test 10 permit 192.168.1.0, wildcard bits 0.0.0.255 20 deny 10.10.10.0, wildcard bits 0.0.0.255 30 permit 172.16.0.0, wildcard bits 0.0.255.255
セキュリティの基礎
- SSLとWi-Fiの暗号化の違い
- セキュリティの目的 ~機密性/完全性/可用性~
- セキュリティの脅威と対策の概要
- マルウェア ~ユーザにとって有害なソフトウェア~
- 認証の基礎 ~正規のユーザ/デバイスですか?~
- 覚えやすくて推測されにくい安全なパスワードの作り方
- 暗号化の概要
- ハッシュ関数とは
- SSLとは? ~アクセス先は本物です!データは盗聴/改ざんされません!~
- ファイアウォールの概要 ~正規の通信のみを転送~
- IDS/IPS ~不正アクセス対策~
- Cisco アクセスコントロールリストの概要
- パケットフィルタ ~不正な通信をブロックするCisco ACLの最も多い用途~
- SPI(Stateful Packet Inspection)の概要
- Cisco ACLによるパケットフィルタの設定と確認
- 名前付きACL(Named ACL)
- タイムベース(Time-based)ACL
- Cisco ACLによるパケットフィルタの設定例
- 標準ACLと拡張ACLのパケットフィルタリングをより深く理解するための演習 ~標準ACL~
- 標準ACLと拡張ACLのパケットフィルタリングをより深く理解するための演習 ~拡張ACL~
- リフレクシブ(Reflexive)ACL ~戻りの通信を自動的に許可~
- リフレクシブ(Reflexive)ACLの設定例
- Catalystスイッチのパケットフィルタリング RACL/VACL/PACL
- RACL/VACL/PACLの設定と確認コマンド
- uRPFの設定例
- VTYアクセス制御
- DHCPスプーフィング ~DHCPサーバを偽装~
- DHCPスヌーピング
- Cisco DHCPスヌーピングの設定と確認コマンド
- Cisco DHCPスヌーピングの設定例
- ARPスプーフィング
- Dynamic ARP Inspection
- Cisco Dynamic ARP Inspectionの設定と確認コマンド
- TCPインターセプトの設定例
- WAF(Web Application Firewall)の概要
- 電子メールのセキュリティ