アクセス制御リスト
Access Control List(ACL; アクセスコントロールリスト)は、IP トラフィックをフィルタリングし、アプライアンスを不正アクセスから保護するためにネットワークアプライアンスに適用できる一連の条件です。
NetScaler SDX管理サービスGUIでACLを構成して、アプライアンスへのアクセスを制限および制御できます。
注:
SDX アプライアンスの ACL は、リリース 12.0 57.19 以降でサポートされています。
このセクションでは、以下のトピックについて説明します:
- 使用ガイドライン
- ACL の設定方法
- ACL ルールに対する追加アクション
- トラブルシューティング
使用ガイドライン
アプライアンスで ACL を作成する際は、次の点に注意してください。
- SDX アプライアンスをリリース 12.0 57.19 にアップグレードすると、ACL 機能はデフォルトで無効になります。
- SDX 管理者は、SDX アプライアンスの ACL を通じてインバウンドパケットのみを制御できます。
- NetScaler Application Delivery Management を使用して SDX アプライアンスを管理する場合は、MAS と SDX 管理サービス間の通信を許可する適切な ACL ルールを作成する必要があります。
- VPX のプロビジョニングや削除、外部サーバーの追加/削除、SNMP 管理など、SDX アプライアンスのその他の構成では、既存の ACL 設定を変更する必要はありません。これらの事業体との通信は、管理サービスによって処理されます。
ACL の設定方法
ACL の設定には、次の手順が含まれます。
- ACL 機能を有効にする
- ACL ルールを作成する
- ACL ルールを有効にする
注:
ACL 機能を有効にしなくても ACL ルールを作成できます。ただし、この機能が有効になっていない場合、ACL ルールを作成した後に ACL ルールを有効にすることはできません。
ACL 機能を有効にするには
1. ACL 機能を有効にするには、SDX 管理サービス GUI にログオンし、[ 構成 ] > [ システム] > [ACL] の順に移動します。
2. 切り替えボタンを使用して ACL 機能をオンにします。
ACL ルールを作成するには
1. [ACL] ページで、[ ルールの作成] をクリックします。
2. 「 規則の作成 」ウィンドウが開きます。次の表に示す詳細を追加します。
| プロパティ | 説明 |
|---|---|
| 名前 | 名前を追加してください。 |
| プロトコル | メニューからプロトコルを選択します。既定では、[TCP] が選択されています。 [ANY] を選択すると、すべてのプロトコルを許可できます。 |
| 送信元 IP アドレス/サブネット | ルールを適用する送信元 IP アドレスまたは送信元サブネットを指定します。すべての受信トラフィックにルールを適用する必要がある場合は、[ ANY ] を選択します。 |
| 接続先IP | SDX 管理サービス IP アドレスは、宛先 IP として自動入力されます。このフィールドは編集できません。 |
| Destination port | ルールを適用する宛先ポートを指定します。ルールがすべての宛先ポートに適用される場合は、[ ANY ] を選択します。 |
| アクション | ルールのアクション ([許可] または [拒否]) を選択します。 |
| 優先度 | 優先度を割り当てて、ルールが評価される順序を指定します。プライオリティ番号によって、ACL ルールが着信パケットと照合される順序が決まります。プライオリティ番号が小さいほどプライオリティが高くなります。たとえば、プライオリティ番号 1 はプライオリティ番号 2 よりもプライオリティが高くなります。どのルールも着信パケットと一致しない場合、そのパケットはブロックされます。 |
3. 「 OK」 をクリックしてルールを作成します。
図: ACL ルールの例
ルールが作成されると、そのルールは無効状態になります。ルールを有効にするには、ルールを有効にする必要があります。
注:
ルールを有効にするには、ACL 機能を有効にする必要があります。この機能が無効で ACL ルールを有効にしようとすると、「ACL is not running」というメッセージが表示されます。
ACL ルールを有効にするには
1. 有効にするルールの上にマウスポインターを置き、3 つのドットが付いた円をクリックします。
2. メニューから [ 有効] を選択します。
3. または、その規則のラジオボタンを選択し、[ Enable ] タブをクリックします。
4. プロンプトが表示されたら、[ はい ] をクリックして確定します。
ACL ルールに対する追加アクション
ACL ルールには次のアクションを適用できます。
1. ACL ルールを無効にする
2. ACL ルールを編集する
3. ACL ルールを削除する
4. ACL ルールのプライオリティを再番号付けする
ACL ルールを無効にするには
1. 無効にするルールの上にマウスポインターを置き、3 つのドットが付いた円を選択します。
2. リストから [ 無効 ] をクリックします。
3. または、その規則のラジオボタンを選択し、[ Disable ] タブをクリックします。
4.[はい] をクリックして確定します。
注:
ルールを無効にすると、そのルールは着信トラフィックに適用されなくなりますが、ルール設定は ACL 設定のままになります。
ACL ルールを編集するには
1. 編集するルールの上にマウスポインターを置き、3 つのドットが付いた円を選択します。
2. リストから [ ルールを編集 ] をクリックします。 [規則の変更 ] ウィンドウが開きます。
3. または、その規則のラジオボタンを選択し、[ Edit Rule ] タブをクリックします。「 規則の変更 」ウィンドウが開きます。
4. 編集を行い、「 OK」をクリックします。
注:
ルールは、有効状態と無効状態の両方で編集できます。すでに有効になっているルールを編集すると、編集内容がただちに適用されます。無効状態のルールでは、ルールを有効にすると編集内容が適用されます。
ACL ルールを削除するには
1. ルールが無効状態であることを確認します。
2. 削除するルールの上にマウスポインターを置き、3 つのドットが付いた円を選択します。リストから [ ルールを削除 ] をクリックします。
3. または、その規則のラジオボタンを選択し、[ Delete Rule ] タブをクリックします。
4.[はい] をクリックして確定します。
注:
有効状態のルールは削除できません。
ACL 規則の優先順位を再番号付けするには
1. 優先順位を再番号付けするルールの上にマウスポインターを置き、3 つのドットが付いた円を選択します。リストから [優先度の再番号付け ] をクリックします。
2. または、その規則のラジオボタンを選択し、[ Select Action ] タブをクリックします。
3. [ 優先順位の再番号付け] を選択します。
4. SDX Management Service は、既存のすべてのルールに 10 の倍数になる新しい優先度番号を自動的に割り当てます。
5. ルールを編集して、要件に応じて優先度番号を割り当てます。ルールを編集する方法の詳細については、「ACL ルールを編集するには」sectionを参照してください。
図。
図。優先度の番号が 10 の倍数で表される例。優先度の番号が付け直された後に、
。
トラブルシューティング
ACL ルールが正しく設定されていないと、すべてのユーザアカウントがアクセスを拒否される可能性があります。ACL の設定が不適切なために SDX Management Service へのすべてのネットワークアクセスが誤って失われた場合は、次の手順に従ってアクセスを取得してください。
1. SSHと「ルート」アカウントを使用して、Citrix Hypervisorの管理IPアドレスにログオンします。
2. nsroot 権限を使用して、管理サービス仮想マシンのコンソールにログオンします。
3. コマンド「pfctl —d」を実行します。
4. GUI を使用して管理サービスにログオンし、それに応じて ACL を再設定します。