アクセス制御リスト
Access Control List(ACL; アクセスコントロールリスト)は、IP トラフィックをフィルタリングし、アプライアンスを不正アクセスから保護するためにネットワークアプライアンスに適用できる一連の条件です。
NetScaler SDX管理サービスGUIでACLを構成して、アプライアンスへのアクセスを制限および制御できます。
注:
SDX アプライアンスの ACL は、リリース 12.0 57.19 以降でサポートされています。
このセクションでは、以下のトピックについて説明します:
- 使用ガイドライン
- ACL の設定方法
- ACL ルールに対するその他のアクション
- トラブルシューティング
使用ガイドライン
アプライアンスで ACL を作成する際は、次の点に注意してください。
- SDX アプライアンスをリリース 11.0 57.19 にアップグレードすると、ACL 機能はデフォルトで無効になります。
- SDX 管理者は、SDX アプライアンスの ACL を通じてインバウンドパケットのみを制御できます。
- NetScaler Consoleを使用してSDXアプライアンスを管理する場合、MASとSDX管理サービス間の通信を許可する適切なACLルールを作成する必要があります。
- VPX のプロビジョニングや削除、外部サーバーの追加/削除、SNMP 管理など、SDX アプライアンスのその他の構成では、既存の ACL 設定を変更する必要はありません。これらの事業体とのコミュニケーションは、管理サービスによって行われます。
ACL の設定方法
ACL の設定には、次の手順が含まれます。
- ACL 機能を有効にする
- ACL ルールを作成する
- ACL ルールを有効にする
注:
ACL 機能を有効にしなくても ACL ルールを作成できます。ただし、この機能が有効になっていない場合、ACL ルールを作成した後に ACL ルールを有効にすることはできません。
ACL 機能を有効にする
-
ACL 機能を有効にするには、SDX 管理サービス GUI にログオンし、[ 構成 ] > [ システム] > [ACL] の順に移動します。
-
切り替えボタンを使用して ACL 機能をオンにします。
ACL ルールを作成する
-
[ACL] ページで、[ ルールの作成] をクリックします。
-
「 規則の作成 」ウィンドウが開きます。次の表に示す詳細を追加します。
プロパティ 説明 名前 名前を追加してください。 プロトコル メニューからプロトコルを選択します。既定では、[TCP] が選択されています。 [ANY] を選択すると、すべてのプロトコルを許可できます。 送信元 IP アドレス/サブネット ルールを適用する送信元 IP アドレスまたは送信元サブネットを指定します。ルールをすべての着信トラフィックに適用する必要がある場合は、[ ANY ] を選択します。 接続先IP SDX 管理サービス IP アドレスは、宛先 IP として自動入力されます。このフィールドは編集できません。 Destination port ルールを適用する宛先ポートを指定します。ルールがすべての宛先ポートに適用される場合は、[ ANY ] を選択します。 アクション ルールに対するアクション ([許可] または [拒否]) を選択します。 優先度 優先度を割り当てて、ルールが評価される順序を指定します。プライオリティ番号によって、ACL ルールが着信パケットと照合される順序が決まります。プライオリティ番号が小さいほどプライオリティが高くなります。たとえば、プライオリティ番号 1 はプライオリティ番号 1 よりもプライオリティが高くなります。どのルールも着信パケットと一致しない場合、そのパケットはブロックされます。 -
「 OK」 をクリックしてルールを作成します。
図: ACL ルールの例
ルールが作成されると、そのルールは無効状態になります。ルールを有効にするには、ルールを有効にする必要があります。
注:
ルールを有効にするには、ACL 機能を有効にする必要があります。この機能が無効で ACL ルールを有効にしようとすると、「ACL is not running」というメッセージが表示されます。
ACL ルールを有効にする
-
有効にするルールの上にマウスポインターを置き、3 つのドットが付いた円をクリックします。
-
メニューから [ 有効] を選択します。
-
または、その規則のラジオボタンを選択し、[ Enable ] タブをクリックします。
-
プロンプトが表示されたら、[ はい ] をクリックして確定します。
ACL ルールに対するその他のアクション
ACL ルールには次のアクションを適用できます。
-
ACL ルールを無効にする
-
ACL ルールを編集する
-
ACL ルールを削除する
-
ACL ルールのプライオリティを再番号付けする
ACL ルールを無効にする
-
無効にするルールの上にマウスポインターを置き、3 つのドットが付いた円を選択します。
-
リストから [ 無効 ] をクリックします。
-
または、その規則のラジオボタンを選択し、[ Disable ] タブをクリックします。
-
[はい]をクリックして確定します。
注:
ルールを無効にすると、そのルールは着信トラフィックに適用されなくなります。ただし、ルール設定は ACL 設定の下に残ります。
ACL ルールを編集する
-
編集するルールの上にマウスポインターを置き、3 つのドットが付いた円を選択します。
-
リストから [ ルールを編集 ] をクリックします。 [規則の変更 ] ウィンドウが開きます。
-
または、その規則のラジオボタンを選択し、[ Edit Rule ] タブをクリックします。「 規則の変更 」ウィンドウが開きます。
-
編集を行い、「 OK」をクリックします。
注:
ルールは、有効状態と無効状態の両方で編集できます。すでに有効になっているルールを編集すると、編集内容がただちに適用されます。無効な状態のルールでは、ルールを有効にすると編集内容が適用されます。
ACL ルールを削除する
-
ルールが無効状態であることを確認します。
-
削除するルールの上にマウスポインターを置き、3 つのドットが付いた円を選択します。リストから [ ルールを削除 ] をクリックします。
-
または、その規則のラジオボタンを選択し、[ Delete Rule ] タブをクリックします。
-
[はい]をクリックして確定します。
注:
有効状態のルールは削除できません。
ACL ルールのプライオリティの再番号付け
-
優先順位を再番号付けするルールの上にマウスポインターを置き、3 つのドットが付いた円を選択します。リストから [優先度の再番号付け ] をクリックします。
-
または、その規則のラジオボタンを選択し、[ Select Action ] タブをクリックします。
-
[ 優先順位の再番号付け] を選択します。
-
SDX Management Service は、既存のすべてのルールに 10 の倍数になる新しい優先度番号を自動的に割り当てます。
-
ルールを編集して、要件に応じて優先度番号を割り当てます。ルールを編集する方法の詳細については、「ACL ルールを編集するには」sectionを参照してください。
フィギュア。既存の優先度番号の例
フィギュア。優先順位番号が付け直された後の優先順位番号を 10 の倍数で表した例
トラブルシューティング
ACL ルールが正しく設定されていないと、すべてのユーザアカウントがアクセスを拒否される可能性があります。ACL の設定が不適切なために SDX Management Service へのすべてのネットワークアクセスが誤って失われた場合は、次の手順に従ってアクセスを取得してください。
-
SSHと「ルート」アカウントを使用して、Citrix Hypervisorの管理IPアドレスにログオンします。
-
管理者権限を使用して、管理サービス VM のコンソールにログオンします。
-
コマンド
pfctl –d
を実行します。 -
GUI を使用して管理サービスにログオンし、それに応じて ACL を再設定します。