ファイアウォールは、受信および送信ネットワーク トラフィックを監視し、定義された一連のセキュリティ ルールに基づいて特定のトラフィックを許可またはブロックするかどうかを決定するネットワーク セキュリティ デバイスです。SD-WAN Orchestrator は、プロファイルおよび Edge のステートレスおよびステートフル ファイアウォールの構成をサポートします。
ステートフル ファイアウォールは、ファイアウォールを介して受信されるすべてのネットワーク接続の動作状態と特性を監視して追跡し、この情報を使用してファイアウォールの通過が許可されるネットワーク パケットを決定します。ステートフル ファイアウォールは状態テーブルを構築し、このテーブルを使用して、状態テーブルに現在リストされている接続からのトラフィックのみを返すことを許可します。状態テーブルから接続が削除されると、この接続の外部デバイスからのトラフィックは許可されません。
ステートフル ファイアウォール機能には、次のメリットがあります。
- サービス拒否 (DoS) やなりすましなどの攻撃を防止
- より堅牢なログ
- ネットワーク セキュリティの強化
注: デフォルトでは、エンタープライズに対して
[ステートフル ファイアウォール] 機能が有効になっています。
SD-WAN Orchestrator では、エンタープライズ ユーザーは、それぞれの
[ファイアウォール (Firewall)] ページから、ステートフル ファイアウォール機能をプロファイル レベルと Edge レベルで有効または無効にすることができます。エンタープライズのステートフル ファイアウォール機能を無効にするには、スーパー ユーザー権限を持つオペレータに連絡してください。
注: ステートフル ファイアウォールが有効な Edge では、非対称ルーティングはサポートされていません。
注: デフォルトでは、エンタープライズに対して
[Syslog 転送 (Syslog Forwarding)] 機能は無効になっています。エンタープライズ
SD-WAN Edges から発信されたファイアウォール ログを 1 つ以上の一元化されたリモート Syslog コレクタ(サーバ)に収集するには、エンタープライズ ユーザーはエンタープライズ レベルでこの機能を有効にする必要があります。
SD-WAN Orchestrator でセグメントごとに Syslog コレクタの詳細を構成する手順については、
プロファイル レベルでの Syslog 設定の構成を参照してください。
ファイアウォール設定をプロファイル レベルと Edge レベルで構成するには、以下を参照してください。