ファイアウォールルールの構成

SD-WAN Orchestrator では、プロファイルおよび Edge レベルでファイアウォールルールを構成し、受信および送信トラフィックを許可、ドロップ、拒否、またはスキップすることができます。ファイアウォールは、送信元 IP アドレス/ポート、宛先 IP アドレス/ポート、アプリケーション、アプリケーションのカテゴリ、DSCP タグなどのパラメータを使用して、ファイアウォールルールを作成します。

プロファイルレベルでステートフルファイアウォールが有効になっているファイアウォールルールを構成するには、次の手順を実行します。

手順

SD-WAN Orchestrator から、[構成 (Configure)] > [プロファイル (Profiles)] > [ファイアウォール (Firewall)] の順に移動します。
選択したプロファイルの [ステートフルファイアウォール (Stateful Firewall)] を有効にします。
[ファイアウォールルール (Firewall Rules)] 領域で、[新規ルール (New Rule)] をクリックします。[ルールの構成 (Configure Rule)] ダイアログボックスが表示されます。
[ルール名 (Rule Name)] ボックスに、ルールの一意の名前を入力します。

[一致 (Match)] 領域で、ルールの一致条件を構成します。

設定	説明
送信元 (Source)	パケットの送信元を指定します。次のいずれかのオプションを選択します。 [任意 (Any)] - すべての送信元アドレスをデフォルトで許可します。 [オブジェクトグループ (Object Group)] - アドレスグループとポートグループの組み合わせを選択できます。 [定義 (Define)] - 特定の VLAN、IP アドレス、MAC アドレス、またはポートへの送信元トラフィックを定義できます。IP アドレスには、次の 3 つのオプションのいずれかを選択します。 [CIDR プリフィックス (CIDR prefix)] - ネットワークを CIDR 値（たとえば `172.10.0.0 /16`）として定義する場合は、このオプションをオンにします。 [サブネットマスク (Subnet mask)] - サブネットマスク（たとえば `172.10.0.0 255.255.0.0`）に基づいてネットワークを定義する場合は、このオプションをオンにします。 [ワイルドカードマスク (Wildcard mask)] - 一致するホスト IP アドレス値を共有する異なる IP サブネット間で、ポリシーの適用を一連のデバイスに絞り込むには、このオプションを選択します。ワイルドカードマスクは、逆のサブネットマスクに基づいて IP アドレスまたは IP アドレスのセットと一致します。マスクのバイナリ値の「0」は、値が固定されていること、マスクのバイナリ値の「1」は、値がワイルドカード（「1」または「0」）であることを意味します。たとえば、IP アドレスが 172.0.0 のワイルドカードマスク 0.0.0.255（2 進数の 00000000.00000000.00000000.11111111）では、最初の 3 つのオクテットは固定値で、最後のオクテットは変数値です。
宛先 (Destination)	パケットの宛先を指定します。次のいずれかのオプションを選択します。 [任意 (Any)] - すべての宛先アドレスをデフォルトで許可します。 [オブジェクトグループ (Object Group)] - アドレスグループとポートグループの組み合わせを選択できます。オブジェクトグループの詳細については、オブジェクトグループを参照してください。 [定義 (Define)] - 特定の VLAN、IP アドレス、MAC アドレス、またはポートへの宛先トラフィックを定義できます。IP アドレスには、[CIDR プリフィックス (CIDR prefix)]、[サブネットマスク (Subnet mask)]、または [ワイルドカードマスク (Wildcard mask)] の 3 つのオプションのいずれかを選択します。
アプリケーション (Application)	ファイアウォールルールを適用するアプリケーションを指定できます。次のいずれかのオプションを選択します。 [任意 (Any)] - デフォルトでは、すべてのアプリケーションにファイアウォールルールが適用されます。 [定義 (Define)] - 特定のアプリケーションを選択できます。

[アクション (Action)] 領域で、ルールのアクションを構成します。

設定	説明
ファイアウォール (Firewall)	ルールの条件が満たされた場合に、ファイアウォールがパケットに対して実行するアクションを次から選択します。 [許可 (Allow)] - デフォルトでデータパケットを許可します。 [ドロップ (Drop)] - 送信元に通知を送信せずにデータパケットをサイレントにドロップします。 [拒否 (Reject)] - パケットをドロップし、明示的なリセットメッセージを送信して送信元に通知します。 [スキップ (Skip)] - 検索時にルールをスキップし、次のルールを処理します。ただし、このルールは、SD-WAN をデプロイするときに使用されます。
ログ (Log)	このルールがトリガーされたときにログエントリを作成する場合は、このチェックボックスをオンにします。

設定

説明

ファイアウォール (Firewall)

ルールの条件が満たされた場合に、ファイアウォールがパケットに対して実行するアクションを次から選択します。

[許可 (Allow)] - デフォルトでデータパケットを許可します。
[ドロップ (Drop)] - 送信元に通知を送信せずにデータパケットをサイレントにドロップします。
[拒否 (Reject)] - パケットをドロップし、明示的なリセットメッセージを送信して送信元に通知します。
[スキップ (Skip)] - 検索時にルールをスキップし、次のルールを処理します。ただし、このルールは、SD-WAN をデプロイするときに使用されます。

ログ (Log)

このルールがトリガーされたときにログエントリを作成する場合は、このチェックボックスをオンにします。

[OK] をクリックします。

結果

選択したプロファイルに対してファイアウォールルールが作成され、[プロファイルのファイアウォール (Profile Firewall)] ページの [ファイアウォールルール (Firewall Rules)] 領域に表示されます。