10.1. アクセスコントロールリストリソースの新設¶
アクセスコントロールリスト機能について¶
アクセスコントロールリスト(Access Control List (以下ACL) )機能とは
ユーザが事前に定義した、5tuple(プロトコル/送信元IP/送信元ポート番号/宛先IP/宛先ポート番号)情報に基づくパケット制御(許可/拒否)ルールに基づき、OCNネットワーク側で制御を行う機能ACL機能詳細
| 項目 | 内容 |
| ACLルール設定 | ・ルール設定対象:1のルーティングリソースに対して1のACLリソースが紐づけ可能
・ルール設定行数:1リソースあたり、IPv4/IPv6それぞれで最大100行(IPv4/IPv6それぞれのデフォルトルール(全て許可/全て拒否)は最大数から除きます)
・デフォルトルール:IPv4/IPv6それぞれで、他のいずれのルールにも合致しない場合における、「全て許可」「全て拒否」の制御を指定
・カスタムルール:ユーザ自身で、5tuple(プロトコル/送信元IP/送信元ポート番号/宛先IP/宛先ポート番号)およびIPフラグメントパケットかどうか、の組合せでルール設定が可能
|
| オーダ/設定 | ・オーダ:Console/APIからACLのルールの作成/変更/削除が可能
・設定完了通知:装置への設定完了後、メールで通知
|
注釈
・本機能において、「ブロックログの保存/提供機能」「攻撃等の検知/可視化機能」 等は提供/サポートしておりません。
ACLリソース新規作成時のコンソール操作方法¶
1.左のメニューから [アクセスコントロールリスト] を選択します
2.アクセスコントロールリストリソースのTOP画面が表示されます
3.左上の [新規作成] を選択し、リソース作成画面へ遷移します
| 項番 | 項目 | 説明 |
| 1 | 既存の設定からコピー | 既に作成済みのACLリソースが存在する場合、該当リソースのルールをコピーしてくることが可能 |
| 2 | 識別名 | ユーザが任意に付与できる識別名
全角・半角・記号。最大文字数 64 Bytes
|
| 3 | [IPv4] デフォルトルール | ・許可/拒否 のいずれかを指定
・他のいずれのルールにも合致しない場合、全てのパケットに対して「全て許可」「全て拒否」が制御されます
|
| 4 | [IPv4] カスタムルール | ・ユーザ自身でルールを設定する場合は、「+」 を押下し、ルール設定を行います
・詳細は「カスタムルール設定内容」を参照
|
| 5 | [IPv6] デフォルトルール | ・許可/拒否 のいずれかを指定
・他のいずれのルールにも合致しない場合、全てのパケットに対して「全て許可」「全て拒否」が制御されます
|
| 6 | [IPv6] カスタムルール | ・ユーザ自身でルールを設定する場合は、「+」 を押下し、ルール設定を行います
・詳細は「カスタムルール設定内容」を参照
|
4.カスタムルールを設定し、[作成] を押下します (任意)
| 項番 | 項目 | 説明 |
| 1 | プロトコル | 通信プロトコルを選択
・any/TCP/UDP/ICMP/ESP/AH
|
| 2 | 送信元IPアドレス | 送信元のIPアドレスを指定
any/指定のIPアドレス/指定のIPアドレスレンジ (複数IPアドレス/複数IPアドレスレンジの指定不可)
|
| 3 | 宛先IPアドレス | 宛先のIPアドレスを以下、指定もしくは選択
・any/指定のIPアドレス/指定のIPアドレスレンジ (複数IPアドレス/複数IPアドレスレンジの指定不可)
・ユーザ側WANアドレス:ルーティングリソースにて、OCNが割り当てるConnected IPセグメント(IPv4:/30、IPv6:/64)のうち、ユーザ側のWANアドレスを宛先IPとして指定
・Connected IP セグメント:ルーティングリソースにて、OCNが割り当てるConnected IPセグメント(IPv4:/30、IPv6:/64)を宛先IPセグメントとして指定
|
| 4 | 送信元ポート番号 | 送信元のポート番号を指定
・ any/指定のポート番号/指定のポート番号レンジ (複数ポート番号/複数ポート番号レンジの指定不可)
|
| 5 | 宛先ポート番号 | 送信元のポート番号を指定
・any/指定のポート番号/指定のポート番号レンジ (複数ポート番号/複数ポート番号レンジの指定不可)
|
| 6 | フラグメント | IPフラグメントした後続のパケットを検査するかどうかを選択
・検査する/検査しない (検査するを選択した場合、送信元/宛先のポート番号は指定不可)
|
| 7 | アクション | 1~6の条件に合致するパケットの通信制御方法を選択
・許可/拒否
|
注釈
カスタムルールの設定において、Connected IPセグメントに対するBGP/Pingなど、通信の確立/監視に必要な通信プロトコルを制御(拒否) の設定をした場合、インターネット接続や監視自体が出来なくなりますので、ご注意ください。
- OCNからのPing送信元IPアドレスはIPv4/IPv6それぞれ以下となります。・IPv4:210.163.250.67 , 210.163.250.68・IPv6:OCN収容ルータのConnectedアドレス
Ping監視機能を利用する場合は、ユーザ側のネットワーク装置にて上記IPアドレスからのICMPを許可して頂く必要があります
5.カスタムルールを適宜確認・編集します (任意)
- カスタムルールは上から順番に評価され、設定ルールに従って制御します
- 作成したカスタムルールは、ルール右端のアイコンから編集が可能です
| 上下ボタン | ルールの順番の入れ替え |
| ペンボタン | ルールの編集 |
| ゴミ箱ボタン | ルールの削除 |
6.右下の [確認] を押下し、リソース作成を完了します
7.ACL機能は、紐づけ先のルーティングリソースの作成・編集画面から、作成済みのリソースIDを選択することで紐付けされ、ネットワーク装置に設定が反映されます
紐付け先のルーティングリソース作成・編集画面
注釈
- ACL機能は、ルーティングリソースに紐付けされるまで機能しません。
- ネットワーク装置への設定反映時点から、課金開始となります。
- ACLリソースにてIPv4/IPv6それぞれのルールが設定されていた場合でも、紐づけ先のルーティングリソースがIPv4,IPv6いずれかのルーティング設定であった場合は、設定のあるIPプロトコル側のみ制御されます