Citrix ADC SDX

アクセス制御リスト

Access Control List(ACL; アクセスコントロールリスト)は、IP トラフィックをフィルタリングし、アプライアンスを不正アクセスから保護するためにネットワークアプライアンスに適用できる一連の条件です。

Citrix ADC SDX管理サービスGUIでACLを構成して、アプライアンスへのアクセスを制限および制御できます。

注:

SDX アプライアンスの ACL は、リリース 12.0 57.19 以降でサポートされています。

このトピックは、次のセクションで構成されています。

  • 使用ガイドライン
  • ACL の設定方法
  • ACL ルールに対する追加アクション
  • トラブルシューティング

使用ガイドライン

アプライアンスで ACL を作成する際は、次の点に注意してください。

  • SDX アプライアンスをリリース 12.0 57.19 にアップグレードすると、ACL 機能はデフォルトで無効になります。
  • SDX 管理者は、SDX アプライアンスの ACL を通じてインバウンドパケットのみを制御できます。
  • Citrix Application Delivery Management を使用して SDX アプライアンスを管理する場合は、MAS と SDX 管理サービス間の通信を許可する適切な ACL ルールを作成する必要があります。
  • VPX のプロビジョニングや削除、外部サーバーの追加/削除、SNMP 管理など、SDX アプライアンスのその他の構成では、既存の ACL 設定を変更する必要はありません。これらの事業体との通信は、管理サービスによって処理されます。

ACL の設定方法

ACL の設定には、次の手順が含まれます。

  • ACL 機能を有効にする
  • ACL ルールを作成する
  • ACL ルールを有効にする

注:

ACL 機能を有効にしなくても ACL ルールを作成できます。ただし、この機能が有効になっていない場合、ACL ルールを作成した後に ACL ルールを有効にすることはできません。

ACL 機能を有効にするには

1. ACL 機能を有効にするには、SDX 管理サービス GUI にログオンし、[ 構成 ] > [ システム] > [ACL] の順に移動します。

2. 切り替えボタンを使用して ACL 機能をオンにします。

ACL ルール

ACL ルールを作成するには

1. [ACL] ページで、[ ルールの作成] をクリックします。

2. 「 規則の作成 」ウィンドウが開きます。次の表に示す詳細を追加します。

プロパティ 説明
名前 名前を追加してください。
プロトコル メニューからプロトコルを選択します。既定では、[TCP] が選択されています。 [ANY] を選択すると、すべてのプロトコルを許可できます。
送信元 IP アドレス/サブネット ルールを適用する送信元 IP アドレスまたは送信元サブネットを指定します。すべての受信トラフィックにルールを適用する必要がある場合は、[ ANY ] を選択します。
接続先IP SDX 管理サービス IP アドレスは、宛先 IP として自動入力されます。このフィールドは編集できません。
Destination port ルールを適用する宛先ポートを指定します。ルールがすべての宛先ポートに適用される場合は、[ ANY ] を選択します。
アクション ルールのアクション ([許可] または [拒否]) を選択します。
優先度 優先度を割り当てて、ルールが評価される順序を指定します。プライオリティ番号によって、ACL ルールが着信パケットと照合される順序が決まります。プライオリティ番号が小さいほどプライオリティが高くなります。たとえば、プライオリティ番号 1 はプライオリティ番号 2 よりもプライオリティが高くなります。どのルールも着信パケットと一致しない場合、そのパケットはブロックされます。

3. 「 OK」 をクリックしてルールを作成します。

図: ACL ルールの例

ローカライズされた画像

ルールが作成されると、そのルールは無効状態になります。ルールを有効にするには、ルールを有効にする必要があります。

注:

ルールを有効にするには、ACL 機能を有効にする必要があります。この機能が無効で ACL ルールを有効にしようとすると、「ACL is not running」というメッセージが表示されます。

ACL ルールを有効にするには

1. 有効にするルールの上にマウスポインターを置き、3 つのドットが付いた円をクリックします。

2. メニューから [ 有効] を選択します。

3. または、その規則のラジオボタンを選択し、[ Enable ] タブをクリックします。

4. プロンプトが表示されたら、[ はい ] をクリックして確定します。

ACL ルールに対する追加アクション

ACL ルールには次のアクションを適用できます。

1. ACL ルールを無効にする

2. ACL ルールを編集する

3. ACL ルールを削除する

4. ACL ルールのプライオリティを再番号付けする

ACL ルールを無効にするには

1. 無効にするルールの上にマウスポインターを置き、3 つのドットが付いた円を選択します。

2. リストから [ 無効 ] をクリックします。

3. または、その規則のラジオボタンを選択し、[ Disable ] タブをクリックします。

4.[はい] をクリックして確定します。

注:

ルールを無効にすると、そのルールは着信トラフィックに適用されなくなりますが、ルール設定は ACL 設定のままになります。

ACL ルールを編集するには

1. 編集するルールの上にマウスポインターを置き、3 つのドットが付いた円を選択します。

2. リストから [ ルールを編集 ] をクリックします。 [規則の変更 ] ウィンドウが開きます。

3. または、その規則のラジオボタンを選択し、[ Edit Rule ] タブをクリックします。「 規則の変更 」ウィンドウが開きます。

4. 編集を行い、「 OK」をクリックします。

注:

ルールは、有効状態と無効状態の両方で編集できます。すでに有効になっているルールを編集すると、編集内容がただちに適用されます。無効状態のルールでは、ルールを有効にすると編集内容が適用されます。

ACL ルールを削除するには

1. ルールが無効状態であることを確認します。

2. 削除するルールの上にマウスポインターを置き、3 つのドットが付いた円を選択します。リストから [ ルールを削除 ] をクリックします。

3. または、その規則のラジオボタンを選択し、[ Delete Rule ] タブをクリックします。

4.[はい] をクリックして確定します。

注:

有効状態のルールは削除できません。

ACL 規則の優先順位を再番号付けするには

1. 優先順位を再番号付けするルールの上にマウスポインターを置き、3 つのドットが付いた円を選択します。リストから [優先度の再番号付け ] をクリックします。

2. または、その規則のラジオボタンを選択し、[ Select Action ] タブをクリックします。

3. [ 優先順位の再番号付け] を選択します。

4. SDX Management Service は、既存のすべてのルールに 10 の倍数になる新しい優先度番号を自動的に割り当てます。

5. ルールを編集して、要件に応じて優先度番号を割り当てます。ルールを編集する方法の詳細については、「ACL ルールを編集するには」sectionを参照してください。

フィギュア既存の優先度番号の例既存の優先度番号

フィギュア。優先度の番号が 10 の倍数で表される例。優先度の番号が付け直された後に、 優先度を再番号付けします

トラブルシューティング

ACL ルールが正しく設定されていないと、すべてのユーザアカウントがアクセスを拒否される可能性があります。ACL の設定が不適切なために SDX Management Service へのすべてのネットワークアクセスが誤って失われた場合は、次の手順に従ってアクセスを取得してください。

1. SSHと「ルート」アカウントを使用して、Citrix Hypervisorの管理IPアドレスにログオンします。

2. nsroot 権限を使用して、管理サービス仮想マシンのコンソールにログオンします。

3. コマンド「pfctl —d」を実行します。

4. GUI を使用して管理サービスにログオンし、それに応じて ACL を再設定します。

アクセス制御リスト