Firewall Policy=ACL(Access List)と考えてもらっていいが、種類がいくつかある。
aaa










上記の下の赤枠でくくった部分を見てみよう。いくつかのポリシーが表示されている。

IP Session
 通常のFWのACLと考えればよいだろう。以下のように、送信元IPや宛先IPなどにてACLを作成する。
 一方、4と5のStandard/Extendedは、通常のルータのACLと考えればいい。
f
通常のFWのACLと通常のルータのACLですか?
違いが分からないんですけど。




通常のルータのACLは、Cisco社などのACLを想定してもらえばいい。静的なフィルタリングであり、行きと戻りのルールは別々に書く必要がある。
一方、FWのルータは、動的フィルタリング(ステートフルインスペクションも似たような概念)であり、Sessionを保持していれば、戻りのパケットも許可される。
今回のArubaのIP Sessionの Sessionという言葉からも、動的フィルタリングと考えればよい。

fw














g

Actionの中の、dropとrejectはどう違うのですか?
どちらも通信をブロックするのですよね?



drop(CLIではdeny)もrejectも、どちらも通信をDROPするのは同じ。rejectの場合はさらに、ICMP メッセージを送信元へ送信する。

Ethernet Type ACL

MAC ACL
 MACアドレスフィルタの設定。※MACアドレス認証とは別物である。
(config) #ip access-list mac macacl ←macaclという名前で作成
(config-mac-macacl)# permit host 11:22:33:44:55:66
(config-mac-macacl)# deny host 11:11:11:11:11:11

Standard ACL Extended ACL
Cisco社などの一般的なACLと同じで、標準と拡張のACLである。静的なフィルタリング。
Arubaの場合は、動的フィルタリングであるSession ACLをFirewall機能として使うことが一般的で、こちらはあまり利用しないだろう。戻りのパケットを考えるのは面倒なので。
実際に使う場合、StandardとExtendedはPortのInbound/Outboundに適用する。
 
RoleとACL
RoleとACLは別物である。
また、ACLをRoleに適用することができる。ただし、roleに適用できるACLは限られていて、Ethernet Type ACL,MAC ACL,Session ACLの3つだけである。