MAC アドレスによる動的ホストのネットワーク アクセスの制御

ほとんどのネットワークでは静的なアドレス設定よりも DHCP が利用されることの方がはるかに多いため、特に、動的な DNS 更新が行われていない場合や、ホスト名が常に確定しているとは言えない環境では、動的に構成されるホストの IP アドレスを予測するのが困難な場合があります。このような状況では、MAC アドレス オブジェクトを使用することにより、ほぼ不変の MAC (ハードウェア) アドレスに基づいてホストのアクセスを制御することができます。

その他のほとんどのアクセス制御方法と同様、MAC アドレスによるアクセス制御も、アクセスを原則的に許可して特定のホストまたはホストのグループを送信先/送信元とするアクセスのみを禁止する方法と、アクセスを原則的に禁止して特定のホストまたはホストのグループに対してのみアクセスを許可する方法のどちらでも利用できます。ここでは、例として後者の場合を示します。

DHCP 対応の複数の無線クライアントがあり、それらのクライアントで独自のオペレーティング システムが実行されているため、ユーザ レベルの認証は一切利用できないと仮定します。このとき、それらのクライアントに LAN 上のアプリケーション固有のサーバ (例えば、10.50.165.2) へのアクセスのみを許可することを考えます。WLAN セグメントではセキュリティのために WPA-PSK が使用されていますが、これらのクライアントからのアクセスを許可する対象は 10.50.165.2 のサーバのみであり、LAN 上のそれ以外のリソースへのアクセスはすべて禁止しなければなりません。また、その他のすべての無線クライアントに対しては、10.50.165.2 へのアクセスのみを禁止し、それ以外の場所へのアクセスはすべて許可する必要があります。

ステップ 1 – MAC アドレス オブジェクトの作成:

1. 「オブジェクト > 一致オブジェクト > アドレス > アドレス オブジェクト」ページに移動します。

2. 「追加」をクリックし、次の MAC アドレス オブジェクトを作成します (マルチホームのオプションは必要に応じて選択します)。

   

3. アドレス オブジェクトの作成完了時点において、対象のホストがファイアウォールの ARP キャッシュに含まれている場合は、直ちにその解決が行われます。ARP キャッシュ内にホストの情報が存在しない場合は、ホストが有効化されて ARP によって検出されるまでの間、「アドレス オブジェクト」テーブルにはそれらのアドレスが「未解決」状態として表示されます。

4. ハンド ヘルド デバイス用のアドレス グループを作成します。

ステップ 2 – アクセス ルールの作成:

1. 「ポリシー > アクセス ルール」ページに移動します。

2. 「追加」をクリックし、下の表に示されている設定で 4 つのアクセス ルールを作成します。

   サンプルのアクセス ルール

   設定	アクセス ルール1	アクセス ルール2	アクセス ルール3	アクセス ルール4
   許可 / 拒否	許可	禁止	許可	禁止
   送信元ゾーン	WLAN	WLAN	WLAN	WLAN
   送信先ゾーン	LAN	LAN	LAN	LAN
   サービス	MediaMoose サービス	MediaMoose サービス	すべて	すべて
   送信元	ハンドヘルド デバイス	すべて	ハンドヘルド デバイス	すべて
   送信先	10.50.165.2	10.50.165.2	すべて	すべて
   許可ユーザ	すべて	すべて	すべて	すべて
   スケジュール	常に有効	常に有効	常に有効	常に有効

この例では、ハンドヘルド デバイスによって使用される特定のアプリケーションを表すために「MediaMoose サービス」というサービスを使用しています。固有サービスの宣言はオプションであり、必要に応じて行ってください。