Citrix ADC SDX

アクセスコントロールリスト

Access Control List(ACL; アクセスコントロールリスト)は、IP トラフィックをフィルタリングし、アプライアンスを不正アクセスから保護するためにネットワークアプライアンスに適用できる一連の条件です。

Citrix ADC SDX管理サービスGUIでACLを構成して、アプライアンスへのアクセスを制限および制御できます。

注:

SDX アプライアンスの ACL は、リリース 12.0 57.19 以降でサポートされています。

このトピックは、次のセクションで構成されています。

  • 使用ガイドライン
  • ACL の設定方法
  • ACL ルールに対するその他のアクション
  • トラブルシューティング

使用ガイドライン

アプライアンスで ACL を作成する際は、次の点に注意してください。

  • SDX アプライアンスをリリース 11.0 57.19 にアップグレードすると、ACL 機能はデフォルトで無効になります。
  • SDX 管理者は、SDX アプライアンスの ACL を通じてインバウンドパケットのみを制御できます。
  • Citrix Application Delivery Management を使用して SDX アプライアンスを管理する場合、MAS と SDX 管理サービス間の通信を許可する適切な ACL ルールを作成する必要があります。
  • VPX のプロビジョニングや削除、外部サーバーの追加/削除、SNMP 管理など、SDX アプライアンスのその他の構成では、既存の ACL 設定を変更する必要はありません。これらの事業体とのコミュニケーションは、管理サービスによって行われます。

ACL の設定方法

ACL の設定には、次の手順が含まれます。

  • ACL 機能を有効にする
  • ACL ルールを作成する
  • ACL ルールを有効にする

注:

ACL 機能を有効にしなくても ACL ルールを作成できます。ただし、この機能が有効になっていない場合、ACL ルールを作成した後に ACL ルールを有効にすることはできません。

ACL 機能を有効にする

  1. ACL 機能を有効にするには、SDX 管理サービス GUI にログオンし、[ 構成 ] > [ システム] > [ACL] の順に移動します。

  2. 切り替えボタンを使用して ACL 機能をオンにします。

    ACL ルール

ACL ルールを作成する

  1. [ACL] ページで、[ ルールの作成] をクリックします。

  2. 規則の作成 」ウィンドウが開きます。次の表に示す詳細を追加します。

    プロパティ 説明
    名前 名前を追加してください。
    プロトコル メニューからプロトコルを選択します。既定では、[TCP] が選択されています。 [ANY] を選択すると、すべてのプロトコルを許可できます。
    送信元 IP アドレス/サブネット ルールを適用する送信元 IP アドレスまたは送信元サブネットを指定します。ルールをすべての着信トラフィックに適用する必要がある場合は、[ ANY ] を選択します。
    接続先IP SDX 管理サービス IP アドレスは、宛先 IP として自動入力されます。このフィールドは編集できません。
    Destination port ルールを適用する宛先ポートを指定します。ルールがすべての宛先ポートに適用される場合は、[ ANY ] を選択します。
    アクション ルールに対するアクション ([許可] または [拒否]) を選択します。
    優先度 優先度を割り当てて、ルールが評価される順序を指定します。プライオリティ番号によって、ACL ルールが着信パケットと照合される順序が決まります。プライオリティ番号が小さいほどプライオリティが高くなります。たとえば、プライオリティ番号 1 はプライオリティ番号 1 よりもプライオリティが高くなります。どのルールも着信パケットと一致しない場合、そのパケットはブロックされます。
  3. OK」 をクリックしてルールを作成します。

    図: ACL ルールの例

    SDX ACL ルール

    ルールが作成されると、そのルールは無効状態になります。ルールを有効にするには、ルールを有効にする必要があります。

    注:

    ルールを有効にするには、ACL 機能を有効にする必要があります。この機能が無効で ACL ルールを有効にしようとすると、「ACL is not running」というメッセージが表示されます。

ACL ルールを有効にする

  1. 有効にするルールの上にマウスポインターを置き、3 つのドットが付いた円をクリックします。

  2. メニューから [ 有効] を選択します。

  3. または、その規則のラジオボタンを選択し、[ Enable ] タブをクリックします。

  4. プロンプトが表示されたら、[ はい ] をクリックして確定します。

ACL ルールに対するその他のアクション

ACL ルールには次のアクションを適用できます。

  1. ACL ルールを無効にする

  2. ACL ルールを編集する

  3. ACL ルールを削除する

  4. ACL ルールのプライオリティを再番号付けする

ACL ルールを無効にする

  1. 無効にするルールの上にマウスポインターを置き、3 つのドットが付いた円を選択します。

  2. リストから [ 無効 ] をクリックします。

  3. または、その規則のラジオボタンを選択し、[ Disable ] タブをクリックします。

  4. [はい] をクリックして確定します。

注:

ルールを無効にすると、そのルールは着信トラフィックに適用されなくなります。ただし、ルール設定は ACL 設定の下に残ります。

ACL ルールを編集する

  1. 編集するルールの上にマウスポインターを置き、3 つのドットが付いた円を選択します。

  2. リストから [ ルールを編集 ] をクリックします。 [規則の変更 ] ウィンドウが開きます。

  3. または、その規則のラジオボタンを選択し、[ Edit Rule ] タブをクリックします。「 規則の変更 」ウィンドウが開きます。

  4. 編集を行い、「 OK」をクリックします。

注:

ルールは、有効状態と無効状態の両方で編集できます。すでに有効になっているルールを編集すると、編集内容がただちに適用されます。無効な状態のルールでは、ルールを有効にすると編集内容が適用されます。

ACL ルールを削除する

  1. ルールが無効状態であることを確認します。

  2. 削除するルールの上にマウスポインターを置き、3 つのドットが付いた円を選択します。リストから [ ルールを削除 ] をクリックします。

  3. または、その規則のラジオボタンを選択し、[ Delete Rule ] タブをクリックします。

  4. [はい] をクリックして確定します。

注:

有効状態のルールは削除できません。

ACL ルールのプライオリティの再番号付け

  1. 優先順位を再番号付けするルールの上にマウスポインターを置き、3 つのドットが付いた円を選択します。リストから [優先度の再番号付け ] をクリックします。

  2. または、その規則のラジオボタンを選択し、[ Select Action ] タブをクリックします。

  3. [ 優先順位の再番号付け] を選択します。

  4. SDX Management Service は、既存のすべてのルールに 10 の倍数になる新しい優先度番号を自動的に割り当てます。

  5. ルールを編集して、要件に応じて優先度番号を割り当てます。ルールを編集する方法の詳細については、「ACL ルールを編集するには」sectionを参照してください。

フィギュア。既存の優先度番号の例

既存の優先番号

フィギュア。優先順位番号が付け直された後の優先順位番号を 10 の倍数で表した例

優先度を再番号付けする

トラブルシューティング

ACL ルールが正しく設定されていないと、すべてのユーザアカウントがアクセスを拒否される可能性があります。ACL の設定が不適切なために SDX Management Service へのすべてのネットワークアクセスが誤って失われた場合は、次の手順に従ってアクセスを取得してください。

  1. SSHと「ルート」アカウントを使用して、Citrix Hypervisorの管理IPアドレスにログオンします。

  2. 管理者権限を使用して、管理サービス VM のコンソールにログオンします。

  3. コマンドpfctl –dを実行します。

  4. GUI を使用して管理サービスにログオンし、それに応じて ACL を再設定します。

アクセスコントロールリスト