このトピックでは、Smart Access Gateway (SAG) CPEインスタンスのアクセス制御リスト (ACL) を作成する方法について説明します。
背景情報
SAG CPEインスタンスは、アプリケーションタイプに対してリクエストを照合するACLをサポートしています。 ACLを作成するときに [アプリケーショングループ] パラメーターまたは [アプリケーション] パラメーターを設定すると、ACLはアプリケーションに基づいてリクエストをフィルタリングします。 アプリケーション対応ACLルールは、ディープパケットインスペクション (DPI) が有効になっているSAGインスタンスにのみ適用できます。 DPI機能を有効にする方法の詳細については、「DPIを有効にする」をご参照ください。
手順 1:ACLを作成する
- SAGコンソール にログオンします。
- 上部のナビゲーションバーで、リージョンを選択します。
- 左側のナビゲーションペインで、[ACL] をクリックします。
- [ACL] ページで、[アクセス制御を作成] をクリックします。
[アクセス制御を作成] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
リソースグループ
ACLのリソースグループを選択します。
インスタンス名
ACLの名前を入力します。
インスタンスタイプ
ACLに関連付けるSAGインスタンスタイプを選択します。有効な値:
SAGデバイス
SAGアプリ
この例では、SAGデバイス が選択されています。
手順 2:ACLにルールを追加する
- [ACL] ページで、管理するACLを見つけ、Configure Rules を [アクション] 列でクリックします。
ACLの詳細ページで、[ルール] タブをクリックし、[ルールの追加] をクリックします。
[ルールの追加] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
インスタンス名
ルールの名前を入力します。
ネットワークタイプ
ルールのネットワークタイプを選択します。
プライベートネットワーク:ACLルールは、プライベート IPアドレスから発信され、プライベート IPアドレス宛てのネットワークトラフィックを制御します。
パブリックネットワーク:ACLルールは、パブリック IPアドレスから発信され、パブリック IPアドレス宛てのネットワークトラフィックを制御します。
ルールの向き
ルールの向きを選択します。
アウトバウンド:ACLルールは、SAGインスタンスに関連付けられているオンプレミスネットワークからのアウトバウンドネットワークトラフィックを制御します。
インバウンド:ACLルールは、SAGインスタンスに関連付けられているオンプレミスネットワークへのインバウンドネットワークトラフィックを制御します。
ポリシー
許可 または ブロック を選択して、リクエストを許可または拒否します。
プロトコル
ルールのプロトコルを選択します。
このトピックで提供されているサポートされているプロトコルは参照用です。 SAGコンソールの実際のプロトコルが優先されます。
送信元 CIDRブロック
送信元 CIDRブロックは、ルールの向きによって決まります。
向きが アウトバウンド の場合、送信元 CIDRブロックは、リクエストが開始されたオンプレミスネットワークの CIDRブロックです。
向きが インバウンド の場合、送信元 CIDRブロックは、リクエストが開始された外部サービスの CIDRブロックです。
送信元ポート範囲
送信元ポート範囲を入力します。
ポート範囲は、選択したプロトコルによって決まります。例:
プロトコルが すべて (サポートされているすべてのプロトコル) に設定されている場合、送信元ポート範囲はデフォルトで -1/-1 であり、変更できません。
プロトコルが HTTP に設定されている場合、送信元ポート範囲は 1/65535 であり、変更できます。
各プロトコルでサポートされているポートはさまざまです。コンソールの情報が優先されます。有効な形式:
1/200:1~200のポートを指定します。
80/80:ポート 80を指定します。
-1/-1:すべてのポートを指定します。
宛先 CIDRブロック
宛先 CIDRブロックは、ルールの向きによって決まります。
向きが アウトバウンド の場合、宛先 CIDRブロックは、リクエストの宛先である外部サービスの CIDRブロックです。
向きが インバウンド の場合、宛先 CIDRブロックは、リクエストの宛先であるオンプレミスネットワークの CIDRブロックです。
宛先ポート範囲
宛先ポート範囲を入力します。
宛先ポート範囲は、選択したプロトコルによって決まります。例:
プロトコルが すべて (サポートされているすべてのプロトコル) に設定されている場合、宛先ポート範囲はデフォルトで -1/-1 であり、変更できません。
プロトコルが TELNET に設定されている場合、宛先ポート範囲は 23/23 であり、変更できます。
各プロトコルでサポートされているポートはさまざまです。コンソールの情報が優先されます。有効な形式:
1/200:1~200のポートを指定します。
80/80:ポート 80を指定します。
-1/-1:すべてのポートを指定します。
優先度
ルールの優先度を選択します。
有効な値:1~100。値が小さいほど優先度が高くなります。
アプリケーショングループ
ルールを適用するアプリケーショングループを選択します。
アプリケーショングループには、1つ以上のアプリケーションが含まれています。 アプリケーショングループを選択すると、ルールはグループ内のすべてのアプリケーションに適用されます。
このトピックで提供されているサポートされているアプリケーショングループは参照用です。 SAGコンソールの情報が優先されます。
アプリケーション
ルールを適用するアプリケーションを選択します。
指定されたアプリケーショングループからアプリケーションを選択できます。
このトピックで提供されているサポートされているアプリケーションは参照用です。 SAGコンソールの情報が優先されます。
アプリケーショングループ と アプリケーション の両方を選択すると、ルールは指定されたアプリケーショングループと指定された アプリケーション 内のすべてのアプリケーションに適用されます。
手順 3:ルールを SAG CPEインスタンスに関連付ける
- ACLの詳細ページで、[関連付けられたインスタンス] タブをクリックします。
[関連付けられたインスタンス] タブで、[インスタンスに関連付ける] をクリックします。
[インスタンスに関連付ける] ダイアログボックスで、1つ以上の SAG CPEインスタンスを選択し、[OK] をクリックします。
[インスタンスに関連付ける] ダイアログボックスでは、リソースグループ、インスタンス名、およびインスタンス IDでインスタンスを検索できます。
関連操作
操作 | 手順 |
ACLを複製する | ルールを含む既存のACLを複製し、新しいACLを他の SAG CPEインスタンスに関連付けることができます。
|
ACLルールを変更する |
|
ACLルールを削除する |
|
SAG CPEインスタンスからACLルールを関連付け解除する |
|
ACLを削除する |
|
> 複製関連情報
CreateACL:ACLを作成します。
ModifyACL:ACLの名前を変更します。
DeleteACL:ACLを削除します。
AssociateACL:ACLを SAGインスタンスに関連付けます。
DisassociateACL:ACLを SAGインスタンスから関連付け解除します。
AddACLRule:ACLにルールを追加します。
ModifyACLRule:ACLルールを変更します。
DeleteACLRule:ACLルールを削除します。
DescribeACLAttribute:指定されたACLを照会します。
DescribeACLs:指定されたリージョン内のACLを照会します。