IP フィルター・ポリシー

IP フィルター・ポリシーは、単独で、手動鍵管理による IP フィルター操作および IPSec 保護の機能を提供します。他の 2 つのポリシーと一緒に使用する場合も、動的鍵管理 (IKE) を使用した IPSec 保護を提供するために、このポリシーも必要です。フィルター操作はホストでのトラフィックを保護するために不可欠です。このため、IpFilterPolicy ステートメント・ブロックがないか、または空の IpFilterPolicy ステートメント・ブロックが入った IP セキュリティー・ポリシーはエラーと見なされ、このスタックが提供するデフォルト・ポリシーが有効な状態で残されます。

IpFilterPolicy ステートメント・ブロックは以下のものから成っています。

一組のグローバル構成オプション
IP フィルター規則の番号付きリスト (IpFilterRule ステートメント)

グローバル構成オプションの目的は、グローバル・ポリシー項目 (例えば、ロギングがアクティブかどうか、またはオンデマンド・セキュリティー・アソシエーション・ネゴシエーションを許可するかどうかなど) を制御することにあります。これらのグローバル・オプションは、ポリシーに含まれているすべての IP フィルター規則に適用されます。そして、各 IP フィルター規則には、データ・エンドポイント、トラフィック記述、およびアクションが含まれています。システムに入ってくるパケットまたはそこから出ていくパケットが、IP フィルター規則内のデータ・エンドポイントおよびトラフィック記述に一致している場合は、それに関連したアクションがとられます。そのアクションが ipsec アクションである場合は、追加のアクション・ステートメントをコーディングし、そのステートメントで IPSec セキュリティー・アソシエーションのパラメーターを定義します。

以下の IpFilterRule ステートメントのサンプルは、内部サーバーでの Web トラフィックを許可します。また、サンプル内の各行の説明を参照しています。

1  IpFilterRule             InternalNetWeb
2       {
3          IpSourceAddr          9.1.1.1
4          IpDestAddrSet         9.1.1.0/24
5          IpService
6          {
7             SourcePortRange        80
8             DestinationPortRange   1024 65535
9             Protocol               tcp
10            Direction              bidirectional InboundConnect
11            Routing                local
12            SecurityClass          0
13         }
14         IpGenericFilterActionRef  permit-nolog
15      }

行

説明

1

IpFilterRule キーワードと、この規則のユーザー定義名 (必須)。

2

左中括弧 ({) は、IpFilterRule ステートメント・ブロックの始めを示します。

3

規則のソース・アドレス。この規則に一致するアウトバウンド IP パケットには、IP ヘッダー内にソース・アドレスとして 9.1.1.1 が含まれていなければなりません。

4

規則の宛先アドレス。この規則に一致するアウトバウンド IP パケットには、IP ヘッダー内に宛先アドレスとして 9.1.1.0 から 9.1.1.255 までの範囲内のアドレスが含まれていなければなりません。

5

IpService ステートメント・ブロックは、2 つのデータ・エンドポイント間で許可されるトラフィックのタイプを記述します。この規則内の IpService ブロックは、この規則にとってインラインの関係にあります。これは、この IP サービスの定義全体がこの規則に包含されることを意味します。多くのポリシー・ステートメント (IpService ステートメントも含めて) は、参照可能ですが、インライン形式で含むことはできません。

6

左中括弧 ({) は、IpService ステートメント・ブロックの始めを示します。

7

アウトバウンド・パケット用に使用できるソース・ポートの範囲。この値は、単一の番号でも、ポートの範囲でも構いません。

8

アウトバウンド・パケット用に使用できる宛先ポートの範囲。この値は、単一の番号でも、ポートの範囲でも構いません。

9

この規則により許可される特定のプロトコル。

10

IP パケットの方向指定。

「bidirectional」の意味は、上記規則では、ローカル・ポート 80 のローカル・アドレス 9.1.1.1 から、一時ポート (つまり 1024 から 65535) を使用するサブネット 9.1.1.0/24 内の任意アドレスへのアウトバウンド・トラフィック、および、一時ポートを使用するサブネット 9.1.1.0/24 内の任意アドレスから、ローカル・ポート 80 のローカル・アドレス 9.1.1.1 へのインバウンド・トラフィックが許可されることを意味します。bidirectional キーワードが無指定の場合、2 つのフィルター規則 (アウトバウンド・トラフィック用に 1 つと、インバウンド・トラフィック用に 1 つ) を作成することが必要になります。

InboundConnect の場合は、この規則が、確立済みの接続上での双方向データに加えてインバウンド TCP 接続試行にも一致するが、アウトバウンド TCP 接続試行には一致しないことを意味します。

11

この規則に一致するパケットのルーティング情報。パケットがこの規則に一致するためには、トラフィックは local (ローカル) でなければなりません。つまり、この規則では、他のネットワーク・ノードに転送する必要があるパケットは許可されません。可能な値は、local、routed、または either のいずれかです。

12

パケット到着時または発信時に使用する必要があるインターフェースのセキュリティー・クラス。インターフェースのセキュリティー・クラスは、TCP/IP プロファイル内でインターフェースを定義するために使用されるステートメント (つまり、LINK、INTERFACE、IPCONFIG DYNAMICXCF、または IPCONFIG6 DYNAMICXCF のステートメント) の SECCLASS パラメーターを使用して定義されます。システム上の各インターフェースに、1 から 255 までの範囲の SECCLASS を割り当てることができます。 SECCLASS パラメーターがインターフェースの TCP/IP プロファイルにコーディングされていない場合、デフォルトにより、そのインターフェースは SECCLASS 255 になります。この例の SecurityClass パラメーターにおいて、値 0 は、この規則に一致するパケットはまったく制限を受けず、どのインターフェース (1 から 255) でもトラバースできることを意味します。

13

右中括弧 (}) は、IpService ブロックの終わりを示します。

14

この規則に一致するパケットに対して行うアクション。この例では、パケットを許可し、一致の発生をすべてログに記録します。すべての IP フィルター規則に、IpGenericFilterActionRef ステートメントが含まれていることが必要です。IpGenericFilterAction ステートメント自体は、共通 IP セキュリティー構成ファイルまたはスタック固有 IP セキュリティー構成ファイルの中で、IpFilterRule ブロック以外の場所で定義する必要があります。

IpGenericFilterAction     permit-nolog
{
  IpFilterAction          permit
  IpFilterLogging         no
}

15

右中括弧 (}) は、IpFilterRule ステートメント・ブロックの終わりを示します。

規則: ポリシー・アクション・ステートメントは、インライン形式で組み込まないでください。この種のステートメントは参照する必要があります。