暗黙のdenyについて

こんにちは、最近CCNAの勉強を始めた者です。

素朴な疑問なんですが
アクセスリストの暗黙のdenyって
なんのためにあるんでしょうか？
暗黙にするなら無くてもいいのでは…？

どうにも気になるのでどなたかご教授ください。

No.3 ベストアンサー 回答者： mochablend 回答日時： 2007/05/17 11:03

セキュリティについて考えたとき、もっとも安全なのは

「何もしない、何もつなげない」です。
たとえば電源が入っていないPCにウィルスは感染しません。

この考え方でいくと、ルータやファイアウォールも、基本的に通信は
遮断してくれたほうが安全です。
ファイアウォールでフィルタリングルールを書き、不正な通信を遮断したつもりでも
ルールに漏れがあれば通信を許可することになってしまいます。
そんなうっかりを防いでくれるのが暗黙のDenyです。
うっかりでなくても、たとえばコンフィグが壊れててルータがそのロードを正常に行なえなかったとき、
暗黙のDenyがあれば不正な通信は止められますよね。
（もちろん正常なアクセスもできませんが）

No.4 回答者： mar12345 回答日時： 2007/05/19 10:23

アクセス制御って防御するために作られてるんですから

漏れがないようにブロックしたいんでしょう
メーカーのセキュリティホールは責任問題になりますし、賠償問題にもなりますしね
もう1つ、何も設定していないアクセスリストを指定した場合は
全て通過しますので・・・もしＣＣＮＡでアクセスグループの指定だけなら
それは「全て通過」になります
「全て拒否」にチェックしたら×になりますのでご注意を・・

No.2 回答者： Quux 回答日時： 2007/05/17 00:10

アクセスリストのどのルールにも当てはまらなかったとき、どのように処理されるか。

　拒否されます。
これが、あたかも最後に deny が書いてあるかのように振舞う。
これを暗黙のdenyと呼びます。暗黙にdenyがある、というのは、製品仕様です。この仕様がないと、ルールがないとき、通るのか通らないのかあいまいになってしまう。
あなたが、最後に deny と書くことは、明示的な deny です。これは、暗黙の deny があるという製品仕様のもとで、正しくなくてもよいものです。
「暗黙」という言葉の意味の認識があっていることを祈ります。

No.1 回答者： super-dog 回答日時： 2007/05/16 23:20

FWは全て遮断された状態から、必要な通信を許可していく設定を行います。

つまり、何も設定しない状態では全て遮断するのです。これを実現するために、暗黙のdenyがあります。