SD-WAN Orchestrator では、プロファイルおよび Edge レベルでファイアウォール ルールを構成し、受信および送信トラフィックを許可、ドロップ、拒否、またはスキップすることができます。ファイアウォールは、送信元 IP アドレス/ポート、宛先 IP アドレス/ポート、アプリケーション、アプリケーションのカテゴリ、DSCP タグなどのパラメータを使用して、ファイアウォール ルールを作成します。
プロファイル レベルでステートフル ファイアウォールが有効になっているファイアウォール ルールを構成するには、次の手順を実行します。
手順
- SD-WAN Orchestrator から、[構成 (Configure)] > [プロファイル (Profiles)] > [ファイアウォール (Firewall)] の順に移動します。
- 選択したプロファイルの [ステートフル ファイアウォール (Stateful Firewall)] を有効にします。
- [ファイアウォール ルール (Firewall Rules)] 領域で、[新規ルール (New Rule)] をクリックします。[ルールの構成 (Configure Rule)] ダイアログ ボックスが表示されます。
- [ルール名 (Rule Name)] ボックスに、ルールの一意の名前を入力します。
- [一致 (Match)] 領域で、ルールの一致条件を構成します。
設定 |
説明 |
送信元 (Source) |
パケットの送信元を指定します。次のいずれかのオプションを選択します。
- [任意 (Any)] - すべての送信元アドレスをデフォルトで許可します。
- [オブジェクト グループ (Object Group)] - アドレス グループとポート グループの組み合わせを選択できます。
- [定義 (Define)] - 特定の VLAN、IP アドレス、MAC アドレス、またはポートへの送信元トラフィックを定義できます。IP アドレスには、次の 3 つのオプションのいずれかを選択します。
- [CIDR プリフィックス (CIDR prefix)] - ネットワークを CIDR 値(たとえば
172.10.0.0 /16 )として定義する場合は、このオプションをオンにします。
- [サブネット マスク (Subnet mask)] - サブネット マスク(たとえば
172.10.0.0 255.255.0.0 )に基づいてネットワークを定義する場合は、このオプションをオンにします。
- [ワイルドカード マスク (Wildcard mask)] - 一致するホスト IP アドレス値を共有する異なる IP サブネット間で、ポリシーの適用を一連のデバイスに絞り込むには、このオプションを選択します。ワイルドカード マスクは、逆のサブネット マスクに基づいて IP アドレスまたは IP アドレスのセットと一致します。マスクのバイナリ値の「0」は、値が固定されていること、マスクのバイナリ値の「1」は、値がワイルドカード(「1」または「0」)であることを意味します。たとえば、IP アドレスが 172.0.0 のワイルドカード マスク 0.0.0.255(2 進数の 00000000.00000000.00000000.11111111)では、最初の 3 つのオクテットは固定値で、最後のオクテットは変数値です。
|
宛先 (Destination) |
パケットの宛先を指定します。次のいずれかのオプションを選択します。
- [任意 (Any)] - すべての宛先アドレスをデフォルトで許可します。
- [オブジェクト グループ (Object Group)] - アドレス グループとポート グループの組み合わせを選択できます。オブジェクト グループの詳細については、オブジェクト グループを参照してください。
- [定義 (Define)] - 特定の VLAN、IP アドレス、MAC アドレス、またはポートへの宛先トラフィックを定義できます。IP アドレスには、[CIDR プリフィックス (CIDR prefix)]、[サブネット マスク (Subnet mask)]、または [ワイルドカード マスク (Wildcard mask)] の 3 つのオプションのいずれかを選択します。
|
アプリケーション (Application) |
ファイアウォール ルールを適用するアプリケーションを指定できます。次のいずれかのオプションを選択します。
- [任意 (Any)] - デフォルトでは、すべてのアプリケーションにファイアウォール ルールが適用されます。
- [定義 (Define)] - 特定のアプリケーションを選択できます。
|
- [アクション (Action)] 領域で、ルールのアクションを構成します。
設定 |
説明 |
ファイアウォール (Firewall) |
ルールの条件が満たされた場合に、ファイアウォールがパケットに対して実行するアクションを次から選択します。
- [許可 (Allow)] - デフォルトでデータ パケットを許可します。
- [ドロップ (Drop)] - 送信元に通知を送信せずにデータ パケットをサイレントにドロップします。
- [拒否 (Reject)] - パケットをドロップし、明示的なリセット メッセージを送信して送信元に通知します。
- [スキップ (Skip)] - 検索時にルールをスキップし、次のルールを処理します。ただし、このルールは、SD-WAN をデプロイするときに使用されます。
|
ログ (Log) |
このルールがトリガーされたときにログ エントリを作成する場合は、このチェックボックスをオンにします。 |
- [OK] をクリックします。
結果
選択したプロファイルに対してファイアウォール ルールが作成され、[プロファイルのファイアウォール (Profile Firewall)] ページの [ファイアウォール ルール (Firewall Rules)] 領域に表示されます。