設定例(ApresiaLightGSシリーズ)
アクセスコントロールリスト(ACL)-送信元MACアドレスによるフィルタリング
APLGSのアクセスコントロールリストにはMACアドレスを条件とするL2プロファイルリストとIPアドレスを条件とするL3プロファイルリストの二種類があります。
プロファイルはパケットの比較対象とする範囲を指定するためのものです。各プロファイルにはさらに複数のルールを登録できます。各ルールには具体的な条件とアクションを指定します。
受信したパケットは下記の優先順位に従って順番にルールと比較され、一致した場合そのルールのアクションが実行され、それ以降のルールとの比較は行われません。
- L2プロファイルリストがL3プロファイルリストより優先
- 同一プロファイルリスト内では小さいプロファイルIDが優先
- 同一プロファイルID内では小さいアクセスID(ルール)が優先
ACLの設定には、簡単なルールを設定するための[ACL設定ウィザード]と、複雑なルールを設定するための[ACL詳細設定]の二種類の方法があり、必要に応じて使い分けができます。
ここではL2プロファイルリストによる設定例を説明します。
基本構成図
設定のポイント
- 設定例1では、端末-A/端末-Bのネットワークアクセスを拒否(deny)する。
(それ以外の端末は、全て許可(permit)する) - 設定例2では、端末-複数のネットワークアクセスを許可(permit)する。
(それ以外の端末は、全て拒否(deny)する) - マスク指定により、範囲内のMACアドレスを1つのACLで定義できる。
- 装置(DA/SA)を対象にしたパケットのACL制御はできません。
設定例1
指定した送信元MACアドレスの拒否(deny)、それ以外は許可(permit)
画面左の[セキュリティ]をクリックします。
画面左の [アクセスコントロールリスト]をクリックします。[アクセスコントロールリスト(ACL)構成ウィザード]画面が表示されます。
この状態で[タイプ選択]は[L2ルール]が選択されています。
[送信元]のメニューから[MACアドレス]を選択します。
MACアドレスを「00-00-00-00-11-11」の形式で入力します。
[宛先]のメニューが[MACアドレス]に変更されているので[Any]を選択します。
[アクション]のメニューから[ブロック]を選択します。APLGSシリーズでは拒否(deny)の設定は[ブロック]を選択する必要があります。
[ポート]にルールを適用するポート番号の「1」を入力し、[適用]ボタンをクリックします。
プロファイル作成確認のダイアログが表示されるので[OK]ボタンを押します。
アクセスID作成確認のダイアログが表示されるので[OK]ボタンを押します。
画面左の[アクセスコントロールリスト]が展開された状態から[ACL詳細設定]をクリックします。[ACL詳細設定]画面が表示されます。[L2プロファイルリスト]にプロファイルが登録されました。
同様にMACアドレス「00-00-00-00-22-22」のルールを作成します。
[L2プロファイルリスト]にプロファイルが追加されました。Ver. 1.02.00以前の設定ウィザードでは既に登録済みのプロファイルと同じ条件でも新たなプロファイルとして追加されます。
設定例2
指定した送信元MACアドレスの許可(permit)、それ以外は拒否(deny)
複数端末の許可をひとつのルールで設定したいのでプロファイルでマスクの指定をします。この場合、設定ウィザードではL2プロファイルのマスクの指定ができないので詳細設定を使用します。
画面左の[アクセスコントロールリスト]が展開された状態から[ACL詳細設定]をクリックします。[L2プロファイルリスト]の[新規作成]をクリックします。
[L2 ACLプロファイル追加]画面が表示されます。
[送信元MACマスク:]に、この例では「ff:ff:ff:00:00:00」と入力します。これにより送信元MACアドレスの上位3バイトのみが比較の対象となります。[作成]ボタンをクリックします。
[L2プロファイルリスト]にプロファイルが追加されました。[ルール編集/作成]ボタンをクリックします。
[ACLルール編集]画面が表示されるので[ルール追加]ボタンをクリックします。
[アクセスルール編集]画面が表示されます。
[送信元MACアドレス:]に、この例では「00-40-66-00-00-00」、[ポート:]にポート番号の「1」を入力し、[アクション]のメニューから[許可]を選択し、[作成/変更]ボタンをクリックします。
[ACLルールテーブル]にルールが追加されました。
全てを破棄するルールは最後に作成すれば優先順位の最後になります。先のルールと同様に[L2 ACLプロファイル追加]画面から新たにプロファイルを追加します。[送信元MACマスク:] 、[宛先MACマスク:]を空のまま[作成]ボタンをクリックします。これによりMACアドレスの条件が[Any]になります。
[アクセスルール編集]画面の[ポート:]にポート番号の「1,2」を入力し、[アクション]のメニューから[ブロック]を選択し、[作成/変更]ボタンをクリックします。
画面左の[アクセスコントロールリスト]が展開された状態から[ACLルール検索]をクリックすると追加されたルールが表示されます。