QA@IT

ファイアウォールのアクセス制御

3373 PV

私は現在ファイアウォール(CiscoASA5525)にACLの設定を行っているのですが、どこまで細かく指定すべきなのかが分かりません。例えば、拠点1のホストAから拠点2のホストBへの通信(IP address "A" → IP address "B")をACLで許可したい場合、どのようにすれば良いのでしょうか。
※拠点1と拠点2の間に設定対象のファイアウォールがあるとします。
 また、下記の設定が既にあるものとします。
    hostname(config)# access-group inside_in in interface inside
    hostname(config)# access-group outside_out out interface outside

①拠点1側のインターフェース(insideとする)にのみACLを適用する。
hostname(config)# access-list inside_in extended permit ip host "A" host "B"

②拠点2側のインターフェース(outsideとする)にのみACLを適用する。
hostname(config)# access-list outside_out extended permit ip host "A" host "B"

③拠点1と2側の両方のインターフェース(inside & outside)にACLを適用する。
hostname(config)# access-list inside_in extended permit ip host "A" host "B"
hostname(config)# access-list outside_out extended permit ip host "A" host "B"

個人的には①のみで良いと考えているのですが、ファイアウォールから"出ていく"通信へのACLはどうするべきなのか、どなたかご教授ください。

回答

簡単に答えるなら、①が正解です。

ACLはinsideで適用するのが基本となります。②でもパケット処理としては同じ結果が得られますが、insideのACLはルーティング処理の前に、outsideのACLはルーティング処理の後に行われます。不要なルーティング処理を行わない分①が優れています。質問の構成では③には意味がありません。

難しく答えるなら、「何を守るためのファイアウォールか」を考える必要があります。例えば質問文の構成だと拠点Aから拠点Bへの不要な通信をフィルタするためにファイアウォールを置いているようにも読み取れますが、拠点Bを守るためであるなら拠点Bにファイアウォールを置くべきです。また拠点間の接続がインターネット回線であるならば、両拠点にファイアウォールを置くべきです。

編集 履歴 (0)
  • 入力ACLチェック→ルーティング→出力ACLチェックの順に処理されるのですね。
    とても勉強になりました。
    丁寧なご回答ありがとうございました。
    -
ウォッチ

この質問への回答やコメントをメールでお知らせします。