ファイアウォールの基本概念について

ファイアウォールの基本概念について教えてください。インターネットでWebを公開する場合、ルータ側でNATやファイアウォールの設定を行えば問題ないと考えています。（DirectDNSの問題とルーティングテーブルはクリアしている事を前提としています。）しかし、ネットワーク機器にはこれだけではクリア出来ません。その一つに、外向けのインタフェースと内向けのインターフェースには、security-level という項目があります。どうやら、このレベルは高い値から低いところへのみ許可されております。この方法を解除する場合、以下の構文で許可をする様です。「access-list inside extended permit tcp 192.168.1.0 255.255.255.0 host 192.168.5.37 eq www」同様の構文で記載をしても外部インターフェースに接続している端末は、内部にも、外部にも出ることが出来ません。（ICMPで確認済み）考えられる事は、NATとこのaccess-listという設定が関係しているのですが、ICMPを許可しても通りません。ファイアウォールはポート番号で許可、拒否を行なっている事は理解しているつもりですが、外部インターフェースから内部インターフェースにはデフォルトでは接続出来ない仕様であるものと考えています。例外的に、そのポート番号を許可するに必要な方法がよくわかりません。どなたか基本概念とネットワーク構築をされた方で、この問題解決方法を教えて下さい。使用している製品は、「CiscoASA5000シリーズ」です。宜しくお願い致します。

No.1 ベストアンサー 回答者： honeuk 回答日時： 2013/02/15 10:47

前提として、全ての通信をASAで止めている想定での回答ですが。

記載ポリシは、外から192.168.5.37の80のみを通しているので、内から外も同様に記載が必要だと思います。
ICMPも記載しないとASAで落とされると思うのですが、syslogなどに出力されてませんか？

この回答への補足

ご回答有難う御座います。syslogサーバは立てていないので、わかりませんが、基本概念として、行きに対して帰りのACLが
必要という事ですね。どうしてもマニュアルを見ると、行きだけの概念を記載している情報を見ることが多いため、
そこまで着眼出来ていないのが現状です。頂いた情報を元に試してみたいと思います

補足日時：2013/02/15 21:47