今回の記事はまっさーさん、いわっちさん、サバさんの3人でお送りします。
今回はACLについて説明をしたいと思います!!
◆ACLとは
ACL(Access Control List:アクセス制御リスト)は、
簡単に表現するとフィルタリングのことです。
管理者が許可、拒否の条件を定義したACLを作成して
ルータのインターフェースに適用すると、パケットが
ルータを通過する際にACLと照合されます。
パケットは許可の条件に一致した場合のみ転送され
それ以外のパケットは転送が拒否されます。ルータに関所を設置して
通すパケットと通さないパケットを選別するというようなイメージです!!
ACLを設定するメリットはネットワークの
基本的なセキュリティを確保できることです。
私たちはこのACLのことを「アクル」と呼んでいます。
ACLには種類があり、標準ACLと拡張ACLの2種類あります。
◆標準ACL
標準ACLは、条件として送信元IPアドレスだけ指定できます。
ですので、標準ACLの照合ではパケットのIPヘッダ内にある
送信元IPアドレスのみチェックされ、パケット転送の許可
または拒否が決定されます。条件に詳細な設定ができない
代わりに、構文がシンプルで扱いやすいです!!
例
(config)#access-list 1 permit host 192.168.1.1
192.168.1.1(PC1)からの通信のみを許可する
◆拡張ACL
拡張ACLは標準ACLに比べて設定できるオプションがあり、
より細かく柔軟な対応が可能になっています。
種類としては名前付き拡張ACLと番号付きACLの二種類です。
拡張ACLには送信元IPアドレス、宛先IPアドレス、プロトコル番号、
送信元ポート番号、宛先ポート番号等を基に判断しています。
細かく設定できる為、設定するコマンドが長くなってしまうので
数多くの制御を行う場合には大変になってしまいます。
例えば、
(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.100.1 eq 80
上記の設定をインターフェースに設定することで
192.168.1.0/24というネットワークから192.168.100.1に対しての
http(ポート番号:80)による通信を許可するというものです。
見ての通りこれだけでもコマンドが長いのが分かると思います。
これが条件の数分増えていくので設定する側は大変です。
なお、この文だけを設定した場合は暗黙のdenyによって
許可された通信以外はブロックされてしまいます。
対策として「access-list 100 permit ip any any」と設定しておくと
全てのIP通信を許可することができます。
ただし、管理者の知らない範囲での通信も許可してしまうので注意が必要です。
なので許可したい通信、拒否したい通信はすべて設定しておく必要があります。
以上が本日の記事になります。
最後までお読みいただきありがとうございました!
最近のコメント