Cisco 担当者コラム
Cisco・Meraki
Meraki 第112回 「MXシリーズのACLの書き方」
今回はMeraki MXのACLについてです。MXシリーズはUTMなので当然ACLは利用可能なのですが、3つのパターンに分けて設定方法をご紹介していきます。
■IN → OUTの場合
左側メニュー セキュリティ & SD-WAN >ファイアウォール
・L3ファイアウォール
送信元/宛先IPアドレスとポート番号を使用した一般的なACLの設定です。作成したルールはドラッグで順番を入れ替えたり、指定したエントリだけを削除したりもできるので、CLIのACLと比べるととても管理がしやすいかなと思います。
じつは、宛先にはドメインを指定することができるのも可能なところも私は気に入っています。
アプリケーション単位で通信を禁止する機能です。Webアプリでは複数のポートやIPアドレスを使用しているので、それらを一括で許可/禁止することが可能になります。
指定できるのはシスコ側で登録のあるアプリケーションですが、最近OS16.xのベータ版ではNBAR2というシスコのデータセットをサポートしたことで、指定できるアプリケーションの数が増えました。
ちなみに、類似の機能であるコンテンツフィルタではブロックページが表示できるのですがL7ファイアウォールの場合単純に通信をドロップすることしかできません。
公開サーバなど外部からのアクセスが必要な場合には、下記の画面からポート転送やNATを使用して到達させるようにします。
左側メニュー セキュリティ & SD-WAN >ファイアウォール
・ポート転送
MXのアップリンクインターフェイスに対して、指定のポートで着信した通信をLAN側に転送します。MXは標準でダイナミックDNSも利用できますので、固定IPが無い環境でも利用できますね。
用途はポート転送に似ていますが、こちらは対象がIPアドレスになりますので複数のグローバルIPアドレスを取得されている場合に使用する機能です。指定したグローバルIPアドレス宛に着信した通信をLAN側に転送します。“許可されたインバウンド接続”の項目で接続元のIPアドレスやポート番号に対して制限をかけることも可能です。
あまり使う機会は無いかもしれませんが、ポートフォワーディングと1対1NATを組み合わせたような機能がこちらです。
複数のIPアドレスに対してポート転送の設定を書くことが可能になりますので、こちらも複数のグローバルIPアドレスを取得されている場合に使う機能ですね。
今回は以上となります。
UTMの設定というと、各社多かれ少なかれクセがあると思いますがなんとなくMXシリーズは簡単だな、というイメージを持って頂けたら幸いです。
ここまでお読みいただきありがとうございました。
カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。
Ciscoの記事
- Collaboration 第145回 「会議参加者リストのアイデンティティラベル機能 ~「未確認」「検証されていない」と表示される場合の対策 ~ 」
- Collaboration 第144回 「【重要】サポート終了シスコビデオデバイスに対するクラウドサービス接続について」
- Collaboration 第143回 「新製品!天井吊り外付けマイク Cisco Ceiling Microphone Proのご紹介」
- Security 第78回「Cisco Secure Endpoint ダッシュボードからのアンインストールについて」
- Meraki 第151回「Cisco Secure Connect紹介マンガのリリースについて」
- Collaboration 第142回 「超便利!Cisco Webex 会議端末設計ツール Workspace Designer のご紹介」