ADC

アクセス制御リスト

アクセス制御リスト (ACL) は IP トラフィックをフィルタリングし、ネットワークを不正アクセスから保護します。ACLは、NetScalerが評価してアクセスを許可するかどうかを決定する一連の条件です。たとえば、財務部門はおそらく、人事や文書などの他の部門が自分のリソースにアクセスすることを許可したくないと考えており、それらの部門はデータへのアクセスを制限したいと考えています。

NetScalerはデータパケットを受信すると、データパケット内の情報をACLで指定された条件と比較し、アクセスを許可または拒否します。組織の管理者は、ACL を次の処理モードで機能するように設定できます。

  • 許可-パケットを処理します。
  • ブリッジ:パケットを処理せずに宛先にブリッジします。パケットは、レイヤ 2 とレイヤ 3 の転送によって直接送信されます。
  • 拒否:パケットをドロップします。

ACLルールはNetScalerの第1レベルの防御です。

Citrix ADCでは、次のタイプのACLがサポートされています。

  • シンプルな ACL は、送信元 IP アドレス、およびオプションでプロトコル、宛先ポート、またはトラフィックドメインに基づいてパケットをフィルタリングします。ACL で指定された特性を持つパケットはすべてドロップされます。
  • 拡張 ACL は、送信元 IP アドレス、送信元ポート、アクション、プロトコルなどのさまざまなパラメータに基づいてデータパケットをフィルタリングします。拡張 ACL は、NetScaler がパケットを処理したり、パケットをブリッジしたり、パケットをドロップしたりするためにパケットが満たす必要がある条件を定義します。

命名法

NetScalerユーザーインターフェイスでは、シンプルACLと拡張ACLという用語は、IPv4パケットを処理するACLを指します。IPv6 パケットを処理する ACL は、単純 ACL6 または拡張 ACL6 と呼ばれます。両方のタイプについて説明する際、このドキュメントでは両方を単純 ACL または拡張 ACL と呼ぶことがあります。

ACL 優先順位

シンプル ACL と拡張 ACL の両方が設定されている場合、着信パケットは最初にシンプル ACL と比較されます。

NetScalerはまず、受信パケットがIPv4パケットかIPv6パケットかを判断し、次にパケットの特性を単純ACLまたは単純ACL6と比較します。一致するものが見つかると、パケットはドロップされます。一致するものが見つからない場合、パケットは拡張 ACL または拡張 ACL6 と比較されます。その比較の結果が一致した場合、パケットは ACL で指定されたとおりに処理されます。パケットはブリッジ、ドロップ、または許可できます。一致するものが見つからない場合、パケットは許可されます。

図1:簡易 ACL および拡張 ACL フローシーケンス

ACLSフロー

アクセス制御リスト

この記事の概要