ACLネットワークとは

ACLネットワークは、ネットワーク上で実行されているルーターとスイッチがアクセス許可の所定のリストに準拠していることを除いて、他のコンピューターネットワークとまったく同じです。 ネットワークルーターには、アクセス制御リスト（ACL）と呼ばれるルールのリストが与えられます。これは、ネットワークセグメントへの基本的な入場と、それらを介して利用可能なサービスへのアクセス許可を許可します。 ACLは、コンピューターに保存されたファイルへのユーザーアクセス許可など、他のコンピューターサービスで使用できますが、ACLネットワークの場合、通信データが通過するネットワークインターフェイスとポートにルールが適用されます。

データパケットは、ACLネットワークのネットワークデバイス上の制御されたポートを通過するときに、フィルタリングされ、許可について評価されます。 ほとんどの場合、これはネットワークルーターまたはスイッチで発生します。 ただし、オペレーティングシステムに組み込まれている一部のファイアウォールプログラムは、アクセス制御リストの形式として表示することもできます。 データパケットがネットワークデバイスのインターフェイスに出入りするとき、ACLに対してチェックされることにより、その許可について評価されます。 これらの許可が満たされない場合、パケットは移動を拒否されます。

ACLはアクセス制御エントリ（ACE）で構成されます。 リスト内の各ACEには、ACLネットワークインターフェイスを出入りするパケットの許可に関する適切な情報が含まれています。 すべてのACEには、permitまたはdenyステートメントのほか、パケットが満たす必要がある追加の基準が含まれます。 ほとんどの場合、パケットは、伝送制御プロトコル（TCP）、ユーザーデータグラムプロトコル（UDP）などの一般的なインターネットプロトコル（IP）標準に基づいて評価されます。 最も基本的なタイプのACLの中で、発信元アドレスのみがチェックされますが、拡張ACLでは、発信元アドレスと宛先アドレス、およびトラフィックの発信元と宛先の両方の特定のポートをチェックするルールを確立できます。

ACLネットワークでは、制御リストはネットワークルーターおよびスイッチ内に構築されます。 各ネットワークハードウェアベンダーには、ACLの構築方法に関する個別のルールがあります。 ACLに対してパケットを処理するプログラミングを作成したハードウェアメーカーまたはソフトウェア開発者に関係なく、ACLネットワークを実装するための最も重要な側面は計画中です。 計画が不十分な場合、管理者が特定のルーターにログオンし、そのルーターにACLの実装を開始すると、突然そのルーターまたはネットワーク全体の一部からロックアウトされてしまう可能性があります。

最も一般的なACLネットワーク実装の1つは、CiscoSystems®が作成した独自のインターネットワークオペレーティングシステム（IOS）に組み込まれています。 Cisco®IOSルーターおよびスイッチでは、管理者がACLを手動で入力し、リスト内の各項目が追加されると自動的に実装されます。 ACLは、個別のパケットがエントリと一致するときに、同じ許可に該当する残りの部分がそれに追随できるように、増分的に実装する必要があります。 リストを変更すると、リスト全体を再入力する必要があります。

ネットワークを保護するためのファイアウォールほど安全ではありませんが、ACLは多くのシナリオでファイアウォールに加えて便利です。 管理者は、大規模なネットワークの特定のエリアとの間のトラフィックを制限したり、特定のアドレスから発信されたトラフィックがネットワークから完全に出ないようにすることができます。 ACLネットワークでパケットを監視して、ネットワーク上の問題領域を特定したり、不正な動作をしているホストを特定したり、拡散しようとしているウイルスに感染している可能性のあるクライアントコンピューターを追跡したりできます。 ACLを使用して、ネットワーク上のノード間で暗号化する必要があるトラフィックを指定することもできます。