ACLは、通信のアクセスを制御するリストのことで、ルータやファイアーウォール等のネットワークの境界でアクセス制御に使われています。
今回はこのACLについて、IT初心者の方にもわかりやすく解説します。
ACL(アクセスリスト)とは?
ACLとは、「Access Control List」の略称で、システムやファイルなどへのアクセス可否のリストのことです。
具体的には、リストには「このIPアドレスはアクセスOK」「このIPアドレスはアクセスNG」といった風に一つずつ列挙されています。アクセスを許可する場合はIPアドレスの前に”permit“、アクセスを拒否する場合はIPアドレスの前に”deny“をつけます。
そしてこういったACLを元に、実際にはルータやファイアーウォール等の機器によって、日々アクセス制御が行われています。
システムが大きくなり、利用者も増えると、アクセス制御が複雑になり、設定ミスが発生しやすくなります。だからこそ、ACLできちんとアクセス制御のポリシーを定めて管理することが、企業のセキュリティにおいては非常に重要になります。
ACLの種類とは?
標準ACL
一つ目が、標準ACLです。標準ACLでは、送信元 IP のみをチェックします。
先ほど書いたように、基本許可する場合は”permit”、拒否する場合は”deny”で列挙していきますが、すべて一つ一つ書いていたらきりがないので、基本は許可するものを書くのがベースです。
例えば、192.168.0.1はpermit、192.168.0.0/24はdenyと書くと、それ以外のすべてのIPアドレスは暗黙のdenyというルールにより自動的に拒否される仕組みになっています。
拡張ACL
二つ目が、拡張ACLです。拡張ACLは、送信元IPアドレス、宛先IPアドレス、プロトコル番号、送信元ポート番号、宛先ポート番号をチェックします。
標準ACLより柔軟で細かい制御ができるので、一般的には拡張ACLがよく使われます。
ACLを適用させる方向
上記のACLの種類の他に、ACLをルータのどちら側のインターフェースに適用するかという話もあります。たいていルータはWAN(インターネット)側とLAN(社内・家庭ネットワーク)側の間に設置されますが、WANから入ってくる入り口で制御するのか、LANから出て行く出口で制御するのか、という違いです。WANとLANが1対1であればどちらで制御してもあまり変わらないように思えますが、たいていの企業ネットワークは複数のLANで構成されているので、このLANへのアクセスは制御する、といったネットワークごとの制御が可能になります。
おわりに
いかがだったでしょうか。
普段利用する側はこのACLを意識することはなかなかありませんが、CCNAやネットワークエンジニアになる方にはこのACLは基礎的な知識になるので、押さえておきましょう。
コメント