すべての Edge は、関連付けられたプロファイルからファイアウォール ルールと Edge アクセス設定を継承します。[Edge 設定 (Edge Configuration)] ダイアログの [ファイアウォール (Firewall)] タブで、[プロファイルからのルール (Rule From Profile)] 領域にすべての継承されたファイアウォール ルールを表示できます。必要に応じて、プロファイルのファイアウォール ルールと Edge アクセス設定を Edge レベルでオーバーライドすることもできます。
エンタープライズ管理者は、このページの指示に従って、各 Edge に対してポート転送と 1:1 NAT ファイアウォール ルールを個別に設定できます。
ポート転送および 1:1 NAT ファイアウォール ルール
ポート転送および 1:1 NAT ファイアウォール ルールにより、インターネット クライアントは Edge LAN インターフェイスに接続されたサーバにアクセスできるようになります。アクセスは、ポート転送ルールまたは 1:1 NAT(ネットワーク アドレス変換)ルールを使用して可能になります。
ポート転送ルール
ポート転送ルールを使用すると、特定の WAN ポートからローカル サブネット内のデバイス(LAN IP/LAN ポート)にトラフィックをリダイレクトするルールを設定できます。必要に応じて、IP アドレスまたはサブネットを基準にして受信トラフィックを制限することもできます。ポート転送ルールは、WAN IP アドレスの同じサブネット上にある外部 IP アドレスを使用して設定できます。また、ISP がサブネットのトラフィックを SD-WAN Edge にルーティングする場合は、WAN インターフェイスのアドレスとは異なるサブネットにある外部 IP アドレスを変換することもできます。
ポート転送ルールを設定するには、次の詳細を指定します。
- [名前 (Name)] テキスト ボックスに、ルールの名前を入力します(オプション)。
- [プロトコル (Protocol)] ドロップダウン メニューから、ポート転送のプロトコルとして [TCP] または [UDP] のいずれかを選択します。
- [インターフェイス (Interface)] ドロップダウン メニューから、受信トラフィックのインターフェイスを選択します。
- [外部 IP アドレス (Outside IP)] テキスト ボックスに、外部ネットワークからホスト(アプリケーション)にアクセスできる IP アドレスを入力します。
- [WAN ポート (WAN Ports)] テキスト ボックスに、1 つの WAN ポートまたはハイフン (-) で区切られたポートの範囲を入力します(例:20-25)。
- [LAN IP アドレス (LAN IP)] および [LAN ポート (LAN Port)] テキスト ボックスに、要求が転送される LAN の IP アドレスとポート番号を入力します。
- [セグメント (Segment)] ドロップダウン メニューから、LAN IP アドレスが属するセグメントを選択します。
- [リモート IP アドレス/サブネット (Remote IP/subnet)] テキスト ボックスに、内部サーバに転送する受信トラフィックの IP アドレスを指定します。IP アドレスを指定しない場合、すべてのトラフィックが許可されます。
次の図は、ポート転送の設定を示しています。
1:1 NAT 設定
これらは、SD-WAN Edge によってサポートされている外部 IP アドレスを、Edge LAN インターフェイスに接続されているサーバ(Web サーバやメール サーバなど)にマッピングするために使用されます。また、ISP がサブネットのトラフィックを SD-WAN Edge にルーティングする場合は、WAN インターフェイスのアドレスとは異なるサブネットにある外部 IP アドレスを変換することもできます。各マッピングは、特定の WAN インターフェイスのファイアウォールの外側の 1 つの IP アドレスと、ファイアウォールの内側の 1 つの LAN IP アドレスの間に配置されます。各マッピング内で、どのポートが内部 IP アドレスに転送されるかを指定できます。右側の[+]アイコンを使用して、1:1 NAT 設定をさらに追加できます。
1:1 NAT ルールを設定するには、次の詳細を指定します。
- [名前 (Name)] テキスト ボックスに、ルールの名前を入力します。
- [外部 IP アドレス (Outside IP)] テキスト ボックスに、外部ネットワークからホストにアクセスできる IP アドレスを入力します。
- [インターフェイス (Interface)] ドロップダウン メニューから、外部 IP アドレスがバインドされる WAN インターフェイスを選択します。
- [内部 (LAN) IP アドレス (Inside (LAN) IP)] テキスト ボックスに、ホストの実際の IP (LAN) アドレスを入力します。
- [セグメント (Segment)] ドロップダウン メニューから、LAN IP アドレスが属するセグメントを選択します。
- インターネットから LAN クライアントへの、Edge に送信される送信トラフィックがファイアウォール接続を通過することを許可する場合は、[送信トラフィック (Outbound Traffic)] チェックボックスをオンにします。
- マッピングの [許可されたトラフィック送信元 (Allowed Traffic Source)] の詳細をそれぞれのフィールド([プロトコル (Protocol)]、[ポート (Ports)]、[リモート IP アドレス/サブネット (Remote IP/Subnet)])に入力します。
次の図は、1:1 NAT 設定を示しています。
Edge 固有のルールの設定
必要に応じて、継承されたプロファイルのファイアウォール ルールを Edge レベルでオーバーライドできます。Edge レベルでファイアウォール ルールをオーバーライドするには、[ファイアウォール ルール (Firewall Rules)] の下の [新規ルール (New Rule)] をクリックし、ファイアウォール ルールの構成の手順を実行します。オーバーライド ルールは、[Edge 固有のルール (Edge Overrides)] 領域に表示されます。Edge のオーバーライド ルールは、Edge の継承されたプロファイル ルールよりも優先されます。任意のプロファイル ファイアウォール ルールと同じであるファイアウォール オーバーライド一致の値は、そのプロファイル ルールをオーバーライドします。
Edge のアクセス オーバーライドの設定
必要に応じて、Edge アクセス設定を Edge レベルでオーバーライドすることもできます。Edge アクセスをオーバーライドするには、[Edge ファイアウォール (Edge Firewall)] ページの [Edge アクセス (Edge Access)] 領域で、[Edge のオーバーライドを有効化 (Enable Edge Override)] チェックボックスをオンにします。詳細については、Edge アクセスの構成を参照してください。
[関連リンク]