QA@IT
«質問へ戻る

質問を投稿

ファイアウォールのアクセス制御

私は現在ファイアウォール(CiscoASA5525)にACLの設定を行っているのですが、どこまで細かく指定すべきなのかが分かりません。例えば、拠点1のホストAから拠点2のホストBへの通信(IP address "A" → IP address "B")をACLで許可したい場合、どのようにすれば良いのでしょうか。
※拠点1と拠点2の間に設定対象のファイアウォールがあるとします。
 また、下記の設定が既にあるものとします。
    hostname(config)# access-group inside_in in interface inside
    hostname(config)# access-group outside_out out interface outside

①拠点1側のインターフェース(insideとする)にのみACLを適用する。
hostname(config)# access-list inside_in extended permit ip host "A" host "B"

②拠点2側のインターフェース(outsideとする)にのみACLを適用する。
hostname(config)# access-list outside_out extended permit ip host "A" host "B"

③拠点1と2側の両方のインターフェース(inside & outside)にACLを適用する。
hostname(config)# access-list inside_in extended permit ip host "A" host "B"
hostname(config)# access-list outside_out extended permit ip host "A" host "B"

個人的には①のみで良いと考えているのですが、ファイアウォールから"出ていく"通信へのACLはどうするべきなのか、どなたかご教授ください。

私は現在ファイアウォール(CiscoASA5525)にACLの設定を行っているのですが、どこまで細かく指定すべきなのかが分かりません。例えば、拠点1のホストAから拠点2のホストBへの通信(IP address "A" → IP address "B")をACLで許可したい場合、どのようにすれば良いのでしょうか。
※拠点1と拠点2の間に設定対象のファイアウォールがあるとします。
 また、下記の設定が既にあるものとします。
    hostname(config)# access-group inside_in in interface inside
    hostname(config)# access-group outside_out out interface outside

①拠点1側のインターフェース(insideとする)にのみACLを適用する。
hostname(config)# access-list inside_in extended permit ip host "A" host "B"

②拠点2側のインターフェース(outsideとする)にのみACLを適用する。
hostname(config)# access-list outside_out extended permit ip host "A" host "B"

③拠点1と2側の両方のインターフェース(inside & outside)にACLを適用する。
hostname(config)# access-list inside_in extended permit ip host "A" host "B"
hostname(config)# access-list outside_out extended permit ip host "A" host "B"

個人的には①のみで良いと考えているのですが、ファイアウォールから"出ていく"通信へのACLはどうするべきなのか、どなたかご教授ください。