セキュリティ

Sophos Switch のセキュリティ設定を構成できます。これには、DoS 保護、802.1X 認証、ポートセキュリティ、RADIUS および TACACS+ サーバーの追加と削除が含まれます。

DoS

Sophos Switch は、サービス拒否 (DoS) 攻撃を監視およびブロックできます。DoS 攻撃は、ホストを過負荷にしてネットワークへの接続を中断させることを目的としたネットワークトラフィックです。

「オン」または「オフ」を選択し て、DoS 対策のオン/オフを切り替えます。スイッチ上でローカルに設定された設定を使用するには、「未設定」を選択します。

DoS をオンまたはオフにした後、「更新」をクリックして 変更を保存します。

DoS をオンにすると、スイッチは次のタイプの DoS 攻撃に一致するパケットをドロップします。

• 送信元 MAC と同じ宛先 MAC:送信元 MAC アドレスと宛先 MAC アドレスが同じトラフィックをドロップします。
• 送信元 IP と同じ宛先 IP の LAND 攻撃 (IPv4/IPv6):送信元 IP アドレスと宛先 IP アドレスが同じパケットをドロップします。

• TCP Blat (送信元 TCP ポートと同じ宛先 TCP ポート):送信元 TCP ポートと宛先 TCP ポートが同じ場合、TCP パケットをドロップします。

  注

  ネットワークタイムプロトコル (NTP) クライアントは、同じ送信元ポートと宛先ポートを使用することがあります。DoS 対策をオンにすると、Sophos Switch はこれを TCP Blat 攻撃として検出し、パケットをドロップします。同じ送信元ポートと宛先ポートを使用する古い NTP クライアントを実行している場合は、DoS 対策をオフにすることをお勧めします。

• UDP Blat (宛先 UDP ポートと同じ送信元 UDP ポート):送信元 UDP ポートと宛先 UDP ポートが同じ場合、UDP パケットをドロップします。

• Ping of Death (IPv4/IPv6):64K バイトを超える長さのパケットをフラグメントによってドロップします。
• IPv6 最小フラグメント (バイト):IPv6 フラグメントの最小サイズを 1240バイトに制限します。
• ICMP フラグメント (IPv4/IPv6):フラグメント化された ICMP パケットをドロップします。
• IPv4 Ping 最大サイズ:IPv4 ping パケットの最大長を 512バイトに制限します。
• IPv6 Ping 最大サイズ:IPv6 ping パケットの最大長を 512 バイトに制限します。
• Smurf 攻撃 (ネットマスク長):ブロードキャスト ICMP パケットのネットマスク長を 24 (x.x.x.255) に制限します。
• TCP 最小ヘッダーサイズ (バイト):TCP ヘッダーの最小サイズを 20バイトに制限します。
• TCP-SYN:SYN フラグが設定されていて、ACK フラグが設定されておらず、送信元ポートが 1024より小さい TCP パケットをドロップします。
• Null スキャン:フラグが設定されておらず、シーケンス番号がゼロの TCPパケットをドロップします。
• Xmas:シーケンス番号が 0 で、FIN、URG、および PSH フラグが設定されている TCP パケットをドロップします。
• TCP SYN-FIN:SYN フラグおよびFINフラグが設定された TCP パケットをドロップします。
• TCP SYN-RST:SYN フラグおよび RST フラグが設定された TCP パケットをドロップします。

802.1X

Sophos Switch は、RADIUS または TACACS+ サーバーを使用してユーザーとデバイスを認証するための 802.1X ポートベースのネットワークアクセス制御をサポートしています。

グローバル設定

「グローバル設定 」タブでは、802.1X 認証をオンまたはオフにします。ゲスト VLAN 割り当てを管理し、ゲスト VLAN ID を設定し、認証方法を選択することもできます。

以下のグローバル設定を構成できます。

• 状態:「オン」または「オフ」を選択して、802.1X 認証をオンまたはオフにします。スイッチ上でローカルに設定された設定を使用するには、「未設定」を選択します。
• ゲスト VLAN：オンまたはオフを選択します。「ゲスト VLAN ID」を設定するには、「オン」を選択する必要があります。スイッチ上でローカルに設定された設定を使用するには、「未設定」を選択します。
• ゲスト VLAN ID：定義された VLAN のリストから VLAN を選択します。
• 認証方法：ドロップダウンリストから「ローカルユーザー」、「RADIUS」、または「TACACS+」を選択します。

「設定のソース」には、設定の発信元が表示されます。

設定を保存するには「更新」をクリックし、保存されていない変更を削除するには「クリア」をクリックします。

ポートの設定

「ポート設定」タブでは、ポート設定を構成し、802.1X、MAC 認証バイパス (MAB)、またはその両方の組み合わせを使用して認証を設定できます。MAB を設定するには、MAC 認証バイパス (MAB) を設定するを参照してください。

設定するポートを選択し、「編集」をクリックします。

以下の項目を設定できます。

• モード:以下のオプションからポートモードを選択します。

  • 未設定:スイッチでローカルに設定された設定を使用します。
  • 自動:インターフェースで 802.1X 認証をオンにします。「ホストベース」を「認証モード」に使用する場合は、「自動」を選択する必要があります。
  • 強制的に認証:インターフェース上のすべての未認証トラフィックをブロックします。
  • 強制的に未認証:インターフェース上のすべての未認証トラフィックを許可します。

• MAB モード:以下のオプションから MAB モードを選択します。

  • 未設定:スイッチでローカルに設定された設定を使用します。
  • MAB:MAB のみを使用します。
  • ハイブリッド:最初に 802.1X を使用して認証を試みます。3回の失敗した試行の後、スイッチは代わりに MAB を使用します。
  • 無効:MAB を使用しません。

• 認証モード:以下のオプションから認証モードを選択します。

  • 未設定:スイッチでローカルに設定された設定を使用します。
  • ポートベース:各ポートに接続されたホストを認証します。
  • ホストベース:単一のポート上のすべてのトラフィックを認証します。

• 最大ホスト数:この設定は、「認証モード」が「ホストベース」に設定されている場合にのみ適用されます。ポートに接続できるホストの最大数を設定します。1 ～ 10 の間の値を設定します。

• ゲスト VLAN：「ゲストVLAN」をオンまたはオフにします。「ホストベース」を「認証モード」に使用する場合は、オフにする必要があります。
• RADIUS VLAN の割り当て：「RADIUS VLAN割り当て」をオンまたはオフにします。「ホストベース」を「認証モード」に使用する場合は、オフにする必要があります。
• 再認証：ポートの再認証をオンまたはオフにします。
• 再認証の期間：ポートが再認証する必要のあるまでの時間 (秒)。30 ～ 65535 の間の値を設定します。デフォルトは「3600」です。
• 非通信期間：認証失敗後にスイッチが再認証を試みるまでの時間（秒）。0 ～ 65535 の間の値を設定します。デフォルトは「60」です。
• 申請期間：この設定は、スイッチが EAP リクエストを送信する頻度 (秒) を制御します。スイッチは、この間隔で 3回リクエストを送信した後、MABに切り替えます。0 ～ 65535 の間の値を設定します。デフォルトは「30」です。
• 承認の状態：指定されたポートの認証状態を表示します。

「設定のソース」には、ポート設定の発信元が表示されます。

設定を保存するには「更新」をクリックし、保存されていない変更を削除するには「クリア」をクリックします。

認証済みホスト

「認証されたホスト」タブには、認証されたホストに関する情報が表示されます。

ポートセキュリティ

「ポートセキュリティ」タブでは、スイッチが特定のポートで学習できる MAC アドレスの数を制限できます。

以下の項目を設定できます。

• ポート:設定が適用されるポート。
• 状態:「有効」または「無効」を選択して、「ポートセキュリティ」をオンまたはオフにします。
• MAC アドレスの最大数：指定されたポートでスイッチが学習できる MAC アドレスの最大数を入力します。範囲は 1 ～ 256 までです。

「設定のソース」には、ポートセキュリティ設定の発信元が表示されます。

設定を保存するには「更新」をクリックし、保存されていない変更を削除するには「クリア」をクリックします。

RADIUS サーバー

RADIUS サーバーを使用して、ネットワークにアクセスするユーザーを認証できます。RADIUS サーバーは、認証情報を含むユーザーデータベースを維持します。スイッチは、ネットワークアクセスを許可する前にユーザーを認証するために、RADIUS サーバーに情報を渡します。

以下の項目を設定できます。

• サーバー ID:RADIUS サーバーの ID。
• サーバー IP:RADIUS サーバーの IP アドレス。
• 許可されたポート:RADIUS サーバーと通信するために使用されるポート。デフォルトのポートは 1812 です。
• 共有シークレット:デバイスと RADIUS サーバー間のすべての RADIUS 通信を暗号化するために使用される文字列。
• タイムアウト:デバイスが RADIUS サーバーからの応答を待つ時間、次のサーバーに切り替える前の時間。デフォルトは「3」です。
• 再試行:失敗が発生する前に RADIUS サーバーに送信される要求の数。デフォルトは「3」です。

「設定のソース」には、RADIUS サーバー設定の発信元が表示されます。

新しい RADIUS サーバーエントリを作成するには、「追加」をクリックします。

RADIUS サーバーエントリを削除するには、削除するサーバーを選択し、「削除」をクリックします。

TACACS+ サーバー

TACACS+ サーバーは、ネットワークアクセスのための集中認証を提供します。TACACS+ は主にネットワークデバイスの管理に使用されます。

以下の項目を設定できます。

• サーバー IP:TACACS+ サーバーの IP アドレス。
• 優先度:TACACS+ サーバーの優先度。優先度は、複数の TACACS+ サーバーがある場合に、認証のために最初に連絡されるサーバーを決定します。
• 許可されたポート:認証のためにサーバーが通信するポート。デフォルトのポートは 49 です。
• 共有シークレット:TACACS+ サーバーに設定されている暗号化鍵。これは TACACS+ サーバーと正確に一致する必要があります。
• タイムアウト:タイムアウト (秒)。タイムアウトは、Sophos Switch が認証応答を待つ時間を指定し、その後リスト内の次の TACACS+ サーバーを試みます。デフォルトは「5」です。

「設定のソース」には、RADIUS サーバー設定の発信元が表示されます。

新しい TACACS+ サーバーエントリを作成するには、「追加」をクリックします。

TACACS+ サーバーエントリを削除するには、削除したいサーバーを選択し、「削除」をクリックします。

MAC ACL & ACE

「MAC ACL & ACE」.タブには、現在定義されている MAC ベースの ACL が表示されます。

MAC ACL

新しい ACL を追加するには、「追加」をクリックし、「名前」に 4 ～ 30文字の英数字を入力して、「保存」をクリックします。

MAC ACL について、以下の情報が表示されます。

• プロファイル名：ACL の名前。
• 設定のソース：指定された ACL の設定のソースを表示します。

ACL を削除するには、削除する ACL を選択し、「削除」をクリックします。

MAC ACE

アクセス制御項目 (ACE) は、アクセス制御リスト (ACL) のトラフィック分類を決定するルールです。MAC アドレス ACE は、送信元および宛先の MAC アドレスとマスク、VLAN ID などの条件に基づいて定義できます。各 MAC ACL には、最大 16 の ACE が含まれます。各 ACE は、特定のネットワークトラフィックのパラメータと、一致するトラフィックを識別したときのスイッチのアクションのセットです。

「MAC ACE」タブには、スイッチに設定されている MAC ACE の詳細が表示されます。

新しい MAC ACE を作成するには、「追加」をクリックして ACE を設定し、「保存」をクリックして設定を保存します。

ACE を削除するには、削除する ACE を選択し、「削除」をクリックします。

ACE の設定を更新するには、「編集」をクリックします。

以下の設定の構成が可能です。

• ACL 名：ACE が属する ACL。
• シーケンス：シーケンス番号は、スイッチが ACE を適用する順序です。1 ~ 2147483647 の値を選択します。1 は処理される最初のルールです。
• アクション：パケットが条件に一致する場合にスイッチが実行するアクション。ACE 条件に一致するトラフィックを転送するには、「許可」を選択します。ドロップするには「拒否」 を選択します。
• VLAN ID:MAC アドレスが属する VLAN ID。範囲は 1 ～ 4094 までです。VLAN の場合は、フィールドを空白のままにします。
• 送信元 MAC アドレス：トラフィックの送信元 MAC アドレス。
• 送信元 MAC アドレスマスク：送信元 MAC アドレスのワイルドカードマスク。f と 0 の任意の組み合わせを使用できます。f は、指定されたビットに完全一致します。0 は、任意のビットに完全一致します。詳細は、例を参照してください 。
• 宛先 MAC アドレス：トラフィックの送信先 MAC アドレス。
• 宛先 MAC アドレスマスク：宛先 MAC アドレスのワイルドカードマスク。f と 0 の任意の組み合わせを使用できます。f は、指定されたビットに完全一致します。0 は、任意のビットに完全一致します。詳細は、例を参照してください 。
• 802.1p の値：802.1p は QoS 優先度の標準です。「0」から「7」までの値を選択します。「0」が最も低い優先順位です。詳細は、QoSを参照してください 。
• EtherType 値：EtherType は、802.1Q VLAN タギングの基礎となって、使用されるプロトコルを示す 16 進値です。このオプションは、イーサネット II 形式のパケットのみをフィルタリングするために使用できます。Ethertypes を参照してください。

「設定のソース」には、MAC ACE の設定ソースが表示されます。

例

MAC アドレスのワイルドカードマスクの使用例をいくつか紹介します。

IPv4 ACL & ACE

「IPv4 ACL & ACE」タブには、スイッチに設定されている IPv4 ベースの ACL が表示されます。

IPv4 ACL

新しい ACL を追加するには、「追加」をクリックし、新しい ACL の名前に 4 ～ 30 文字の英数字を入力して、「保存」をクリックします。

IPv4 ACL について、以下の情報が表示されます。

• プロファイル名：ACL の名前。
• 設定のソース：指定された ACL の設定のソースを表示します。

ACL を削除するには、削除する ACL を選択し、「削除」をクリックします。

IPv4 ACE

各 IPv4 アクセス制御リスト (ACL) には、アクセス制御エントリ (ACE) と呼ばれる個別のルールが最大 16個含まれています。各 ACE は、特定のネットワークトラフィックのパラメータと、一致するトラフィックを識別したときのスイッチのアクションのセットです。

新しい IPv4 ACE を作成するには、「追加」をクリックします。

ACE を削除するには、削除する ACE を選択し、「削除」をクリックします。

ACE の設定を更新するには、「編集」をクリックします。

以下の設定の構成が可能です。

• ACL 名：ACE が属する ACL。
• シーケンス：シーケンス番号は、スイッチが ACE を適用する順序です。1 ~ 2147483647 の値を選択します。1 は処理される最初のルールです。
• アクション：パケットが条件に一致する場合にスイッチが実行するアクション。ACE 条件に一致するトラフィックを転送するには、「許可」を選択します。ドロップするには「拒否」 を選択します。
• サービスの種類：DSCP (Differentiated Services Code Point) 値を設定できます。0 から 63 の間の値を入力してください。詳細は、DSCP (Differentiated Services Code Point) を参照してください。
• 送信元 IP アドレス：トラフィックの送信元 IP アドレス。
• 送信元ネットマスク：「送信元 IP アドレス」のサブネット マスク。
• 宛先 IP アドレス：トラフィックの宛先 IP アドレス。
• 宛先ネットマスク：「宛先 IP アドレス」のサブネットマスク。
• 宛先ポート範囲：トラフィックの宛先ポート範囲を選択します。詳細は、ポートの範囲を参照してください 。
• 発信元ポート範囲：トラフィックの送信元ポート範囲を選択します。詳細は、ポートの範囲を参照してください 。

• プロトコル:ドロップダウンリストから次のオプションのいずれかを選択します。

  • すべて：すべてのプロトコルに一致します。

  • リストから選択：「プロトコルリスト」から次のいずれかのプロトコルを選択します。

    • IPv4:ICMP：ICMP (Internet Control Message Protocol) は、ゲートウェイまたは宛先ホストが送信元ホストと通信できるようにします。
    • IPinIP：IP in IP は、IP パケットをカプセル化して 2つのルーター間にトンネルを作成します。IP トンネル内の IP は、複数の個別のインターフェースではなく、単一のインターフェースとして表示されます。
    • TCP：TCP (Transmission Control Protocol) は、2 つのホストが通信し、データストリームを交換できるようにします。パケットの配信を保証し、送信された順序でパケットが送受信されるようにします。
    • EGP：EGP (Exterior Gateway Protocol) を使用すると、2つのネイバー ゲートウェイ ホストが自律システムネットワーク内でルーティング情報を交換できます。
    • IGP：IGP (Interior Gateway Protocol) を使用すると、自律システムネットワーク内のゲートウェイ間でルーティング情報を交換できます。
    • UDP：UDP (User Datagram Protocol) はパケットを送信する通信プロトコルですが、配信を保証するものではありません。
    • HMP：HMP (Host Mapping Protocol) は、さまざまなホストからネットワーク情報を収集します。インターネット全体および単一ネットワーク内のホストを監視します。
    • RDP：RDP (Reliable Data Protocol) は TCP に類似しており、パケット配信を保証しますが、シーケンス配信を必要としません。
    • IPv6:Rout：IPv6 のルーティングヘッダー。
    • IPv6:Frag：IPv6 のフラグメントヘッダー。
    • RSVP：パケットを予約プロトコル (RSVP) と一致させます。
    • IPv6:ICMP:ICMP (Internet Control Message Protocol) は、ゲートウェイまたは宛先ホストが送信元ホストと通信できるようにします。
    • OSPF：OSPF (Open Shortest Path First) プロトコルは、ネットワークルーティングのための、リンクステート型の階層的な IGP (interior gateway protocol) です。
    • PIM：パケットを PIM (Protocol Independent Multicast) と一致させます。
    • L2TP：L2TP (Layer 2 Tunneling Protocol ) は、ISP による VPN の作成をサポートしています。

  • ​​ID から選択：0 ~ 255 の「プロトコル ID」を入力します。プロトコル番号を参照してください。

• ICMP：ドロップダウンリストから次のいずれかを選択します。

  • すべて：すべての ICMP トラフィックに一致します。

  • リストから選択：「ICMP リスト」から次のいずれかのオプションを選択します。

    • エコー応答：ICMP エコー要求を受信した後にデバイスが送信する応答。
    • 配信不能：ICMP パケットが宛先に到達できませんでした。
    • 発信元の抑制：ビジー環境でのネットワーク輻輳を軽減するためにルーターが送信する ICMP メッセージ。
    • エコー要求：あるデバイスから別のデバイスへ送信されるメッセージ。デバイスが通信できるかどうかを確認し、その所要時間を測定します。
    • ルーターアドバタイズ：デバイスがルータとして使用可能であることを通知するために送信するメッセージ。
    • ルータ選択：ルーター情報を要求するためにホストから送信されるメッセージ。
    • 時間超過：このメッセージは、ICMP パケットの有効時間 (TTL) が転送中に切れたことを示しています。
    • 発生日時：タイムスタンプを ICMP メッセージに追加して、送信時に記録できます。
    • タイムスタンプ応答：タイムスタンプを持つ ICMP パケットを受信すると、デバイスはタイムスタンプを記録し、ICMP パケットにタイムスタンプ応答フィールドを追加できます。
    • トレースルート：パケットが宛先に到達するまでに通過するすべてのルーターを表示します。

  • ​​ID から選択：「ICMP ID」には 0 ～ 255 の値を入力します。

• ICMP コード：0 から 255 の間の値を入力してください。ICMP (Internet Control Message Protocol) パラメータを参照してください。

• TCP フラグ：TCP トラフィックは、Urg、Ack、Psh、Rst、Syn、および Fin フラグが Set または Unset のいずれであるかによってフィルタリングできます。TCP フラグを無視するには、「指定なし」を選択します。

「設定のソース」には、IPv4 ACE の設定ソースが表示されます。

IPv6 ACL & ACE

「IPv6 ACL & ACE」タブには、スイッチに設定されている IPv6 ベースの ACL が表示されます。

IPv6 ACL

新しい ACL を追加するには、「追加」をクリックし、新しい ACL の名前に 4 ～ 30 文字の英数字を入力して、「保存」をクリックします。

IPv4 ACL について、以下の情報が表示されます。

• プロファイル名：ACL の名前。
• 設定のソース：指定された ACL の設定のソースを表示します。

ACL を削除するには、削除する ACL を選択し、「削除」をクリックします。

IPv6 ACE

各 IPv6 アクセス制御リスト (ACL) には、アクセス制御エントリ (ACE) と呼ばれる個別のルールが最大 16個含まれています。各 ACE は、特定のネットワークトラフィックのパラメータと、一致するトラフィックを識別したときのスイッチのアクションのセットです。

新しい IPv6 ACE を作成するには、「追加」をクリックします。

ACE を削除するには、削除する ACE を選択し、「削除」をクリックします。

ACE の設定を更新するには、「編集」をクリックします。

以下の設定の構成が可能です。

• ACL 名：ACE が属する ACL。
• シーケンス：シーケンス番号は、スイッチが ACE を適用する順序です。1 ~ 2147483647 の値を選択します。1 は処理される最初のルールです。
• アクション：パケットが条件に一致する場合にスイッチが実行するアクション。ACE 条件に一致するトラフィックを転送するには、「許可」を選択します。ドロップするには「拒否」 を選択します。
• サービスの種類：DSCP (Differentiated Services Code Point) 値を設定できます。0 から 63 の間の値を入力してください。詳細は、DSCP (Differentiated Services Code Point) を参照してください。
• 送信元 IP アドレス：トラフィックの送信元 IP アドレス。
• 送信元 IPv6 プレフィックスの長さ：送信元 IPv6 の IPv6 プレフィックスの長さ。
• 宛先 IP アドレス：トラフィックの宛先 IP アドレス。
• 宛先 IPv6 プレフィックスの長さ：宛先 IPv6 の IPv6 プレフィックスの長さ。
• 宛先ポート範囲：トラフィックの宛先ポート範囲を選択します。詳細は、ポートの範囲を参照してください 。
• 発信元ポート範囲：トラフィックの送信元ポート範囲を選択します。詳細は、ポートの範囲を参照してください 。

• プロトコル:ドロップダウンリストから次のオプションのいずれかを選択します。

  • すべて：すべてのプロトコルに一致します。

  • リストから選択：「プロトコルリスト」から次のいずれかのプロトコルを選択します。

    • TCP：TCP (Transmission Control Protocol) は、2 つのホストが通信し、データストリームを交換できるようにします。パケットの配信を保証し、送信された順序でパケットが送受信されるようにします。
    • UDP：UDP (User Datagram Protocol) はパケットを送信する通信プロトコルですが、配信を保証するものではありません。
    • IPv6:ICMP:ICMP (Internet Control Message Protocol) は、ゲートウェイまたは宛先ホストが送信元ホストと通信できるようにします。

  • ​​ID から選択：「プロトコル ID」に 0 ～ 255 の値を入力します。プロトコル番号を参照してください。

• ICMP：ドロップダウンリストから次のいずれかを選択します。

  • すべて：すべての ICMP トラフィックに一致します。

  • リストから選択：「ICMP リスト」から次のいずれかのオプションを選択します。

    • 配信不能：ICMP パケットが宛先に到達できませんでした。
    • Packet Too Big (パケットが大きすぎます):これは、ICMP パケットがネットワークの MTU を超えており、そのネットワーク上を移動するには大きすぎることを示しています。
    • 時間超過：このメッセージは、ICMP パケットの有効時間 (TTL) が転送中に切れたことを示しています。
    • パラメータ問題：デバイスは無効なパラメータを解釈できません。
    • エコー要求：あるデバイスから別のデバイスへ送信されるメッセージ。デバイスが通信できるかどうかを確認し、その所要時間を測定します。
    • エコー応答：ICMP エコー要求を受信した後にデバイスが送信する応答。
    • ルータ選択 ：ルーター情報を要求するためにホストから送信されるメッセージ。
    • ルーターアドバタイズ：デバイスがルータとして使用可能であることを通知するために送信するメッセージ。
    • ND Ns：これは IPv6 NDP (Neighbor Discovery Protocol) ネイバー アドバタイズメントメッセージです。
    • ND Na：これは IPv6 NDP ネイバー アドバタイズメント メッセージです。

  • ​​ID から選択：「ICMP ID」には 0 ～ 255 の値を入力します。

• ICMP コード：0 から 255 の間の値を入力してください。ICMP (Internet Control Message Protocol) パラメータを参照してください。

• TCP フラグ：TCP トラフィックは、Urg、Ack、Psh、Rst、Syn、および Fin フラグが Set または Unset のいずれであるかによってフィルタリングできます。TCP フラグを無視するには、「指定なし」を選択します。

「設定のソース」には、IPv4 ACE の設定ソースが表示されます。

ポート範囲とバインディング

「ポート範囲」タブでは、IPv4 および IPv6 アクセス制御エントリ (ACE) で使用するポート範囲を指定できます。この機能を使用すると、ACE を使用して、特定の機能を持つホストに対して、広範囲のポートをブロックしたり、狭い範囲のみを許可したりできるため、セキュリティが向上します。

ポートの範囲

新しいポート範囲を作成するには、「追加」をクリックします。

以下の設定の構成が可能です。

• 名前：ポート範囲の名前を入力します。

  ヒント

  ポート範囲名には、含まれているポートを明確に識別できる名前を付けることを推奨します。この名前は、ACE のポート範囲を選択する場合にのみ表示されます。含まれているポートは表示されません。

• 最小ポート：範囲の開始ポート。

• 最大ポート：範囲の終了ポート。

「設定のソース」には、ポート範囲の設定ソースが表示されます。

ポートのバインド

アクセス制御リスト (ACL) をポートにバインドすると、その ACL に定義したすべてのルールがポートに適用されます。ACL がバインドされているポートの場合、スイッチは ACL に一致しないすべてのトラフィックをドロップします。

スイッチ上のポートに関する以下の情報を表示できます。

• ポート:ACL がバインドされているポート。
• MAC ACL：ポートにバインドされた MAC ACL。
• IPv4 ACL：ポートにバインドされた IPv4 ACL。
• IPv6 ACL：ポートにバインドされた IPv6 ACL。

「設定のソース」には、ポートバインド設定のソースが表示されます。

ACL をバインドするには、ドロップダウン リストからポートにバインドする「MAC ACL」と「IPv4 ACL」または「IPv6 ACL」を選択します。ポートに ACL を割り当てない場合は「なし」を選択し、ローカル スイッチ UI でポート バインディング設定を使用する場合は「未設定」を選択します。

「更新」をクリックして変更を保存します。