3.3.2 許可ルールと拒否ルール

次に許可ルール・拒否ルールです。パケットフィルタリングのルールを定義する際、「~のネットワークから来たこの種類のパケットは通過させる」という許可ルールと、「~のネットワークから来たこの種類のパケットは通過させない」という拒否ルールを用いて定義する方法が一般的です。下のネットワークACL設定(インバウンドルール)を例に見てみましょう。

ネットワークACLではルールの一覧表をルール#(①)の小さい方から評価します。許可/拒否列(②)の値がALLOWになっているのが許可ルール、DENYになっているのが拒否ルールです。このルールで保護されたネットワークにパケットが入ってきた場合、まずルール#100の行の許可ルールを判定します。該当しない場合は次のルール#110を判定し、それでも該当しない場合は最後のルール# *の行を評価します。最後の行はいかなる通信も拒否になっていますので、このルールに到達したパケットは破棄されます。ルール#に「*」が設定されたものは最後に判定されるルールであることを意味します。