すべての Edge は、関連付けられたプロファイルからファイアウォール ルールと Edge アクセス設定を継承します。[Edge 設定 (Edge Configuration)] ダイアログの [ファイアウォール (Firewall)] タブで、[プロファイルからのルール (Rule From Profile)] 領域にすべての継承されたファイアウォール ルールを表示できます。必要に応じて、プロファイルのファイアウォール ルールと Edge アクセス設定を Edge レベルでオーバーライドすることもできます。
エンタープライズ管理者は、このページの指示に従って、各 Edge に対してポート転送と 1:1 NAT ファイアウォール ルールを個別に設定できます。
デフォルトでは、ポート転送および 1:1 NAT ファイアウォール ルールが設定されていない限り、すべての受信トラフィックがブロックされます。外部 IP アドレスは、WAN IP アドレス、または WAN IP サブネットの IP アドレスのいずれかになります。
ポート転送および 1:1 NAT ファイアウォール ルール
ポート転送および 1:1 NAT ファイアウォール ルールにより、インターネット クライアントは Edge LAN インターフェイスに接続されたサーバにアクセスできるようになります。アクセスは、ポート転送ルールまたは 1:1 NAT(ネットワーク アドレス変換)ルールを使用して可能になります。
ポート転送ルール
ポート転送ルールを使用すると、特定の WAN ポートからローカル サブネット内のデバイス(LAN IP/LAN ポート)にトラフィックをリダイレクトするルールを設定できます。必要に応じて、IP アドレスまたはサブネットを基準にして受信トラフィックを制限することもできます。ポート転送ルールは、WAN IP アドレスの同じサブネット上にある外部 IP アドレスを使用して設定できます。また、ISP がサブネットのトラフィックを SD-WAN Edge にルーティングする場合は、WAN インターフェイスのアドレスとは異なるサブネットにある外部 IP アドレスを変換することもできます。
ポート転送ルールを設定するには、次の詳細を指定します。
- [名前 (Name)] テキスト ボックスに、ルールの名前を入力します(オプション)。
- [プロトコル (Protocol)] ドロップダウン メニューから、ポート転送のプロトコルとして [TCP] または [UDP] のいずれかを選択します。
- [インターフェイス (Interface)] ドロップダウン メニューから、受信トラフィックのインターフェイスを選択します。
- [外部 IP アドレス (Outside IP)] テキスト ボックスに、外部ネットワークからホスト(アプリケーション)にアクセスできる IP アドレスを入力します。
- [WAN ポート (WAN Ports)] テキスト ボックスに、1 つの WAN ポートまたはハイフン (-) で区切られたポートの範囲を入力します(例:20-25)。
- [LAN IP アドレス (LAN IP)] および [LAN ポート (LAN Port)] テキスト ボックスに、要求が転送される LAN の IP アドレスとポート番号を入力します。
- [セグメント (Segment)] ドロップダウン メニューから、LAN IP アドレスが属するセグメントを選択します。
- [リモート IP アドレス/サブネット (Remote IP/subnet)] テキスト ボックスに、内部サーバに転送する受信トラフィックの IP アドレスを指定します。IP アドレスを指定しない場合、すべてのトラフィックが許可されます。
次の図は、ポート転送の設定を示しています。
1:1 NAT 設定
これらは、SD-WAN Edge によってサポートされている外部 IP アドレスを、Edge LAN インターフェイスに接続されているサーバ(Web サーバやメール サーバなど)にマッピングするために使用されます。また、ISP がサブネットのトラフィックを SD-WAN Edge にルーティングする場合は、WAN インターフェイスのアドレスとは異なるサブネットにある外部 IP アドレスを変換することもできます。各マッピングは、特定の WAN インターフェイスのファイアウォールの外側の 1 つの IP アドレスと、ファイアウォールの内側の 1 つの LAN IP アドレスの間に配置されます。各マッピング内で、どのポートが内部 IP アドレスに転送されるかを指定できます。右側の[+]アイコンを使用して、1:1 NAT 設定をさらに追加できます。
1:1 NAT ルールを設定するには、次の詳細を指定します。
- [名前 (Name)] テキスト ボックスに、ルールの名前を入力します。
- [外部 IP アドレス (Outside IP)] テキスト ボックスに、外部ネットワークからホストにアクセスできる IP アドレスを入力します。
- [インターフェイス (Interface)] ドロップダウン メニューから、外部 IP アドレスがバインドされる WAN インターフェイスを選択します。
- [内部 (LAN) IP アドレス (Inside (LAN) IP)] テキスト ボックスに、ホストの実際の IP (LAN) アドレスを入力します。
- [セグメント (Segment)] ドロップダウン メニューから、LAN IP アドレスが属するセグメントを選択します。
- LAN クライアントからインターネットへのトラフィックが外部 IP アドレスに NAT されるようにする場合は、[送信トラフィック (Outbound Traffic)] チェックボックスをオンにします。
- マッピングの [許可されたトラフィック送信元 (Allowed Traffic Source)] の詳細をそれぞれのフィールド([プロトコル (Protocol)]、[ポート (Ports)]、[リモート IP アドレス/サブネット (Remote IP/Subnet)])に入力します。
次の図は、1:1 NAT 設定を示しています。
Edge 固有のルールの設定
必要に応じて、継承されたプロファイルのファイアウォール ルールを Edge レベルでオーバーライドできます。Edge レベルでファイアウォール ルールをオーバーライドするには、[ファイアウォール ルール (Firewall Rules)] の下の [新規ルール (New Rule)] をクリックし、ファイアウォール ルールの設定の手順を実行します。オーバーライド ルールは、[Edge 固有のルール (Edge Overrides)] 領域に表示されます。Edge のオーバーライド ルールは、Edge の継承されたプロファイル ルールよりも優先されます。任意のプロファイル ファイアウォール ルールと同じであるファイアウォール オーバーライド一致の値は、そのプロファイル ルールをオーバーライドします。
ステートフル ファイアウォール設定のオーバーライド
オプションで、Edge レベルで [ステートフル ファイアウォール設定 (Stateful Firewall Settings)] 領域にある [Edge 固有設定の上書きを有効化 (Enable Edge Override)] チェックボックスをオンにすると、ステートフル ファイアウォール設定を上書きできます。ステートフル ファイアウォール設定の詳細については、ステートフル ファイアウォールの設定を参照してください。
ネットワークおよびフラッド防止設定のオーバーライド
オプションで、Edge レベルで [ネットワークおよびフラッド防止設定 (Network and Flood Protection Settings)] 領域にある [Edge 固有設定の上書きを有効化 (Enable Edge Override)] チェックボックスをオンにすると、ネットワークおよびフラッド防止設定を上書きできます。ネットワークおよびフラッド防止設定の詳細については、ネットワークおよびフラッド防止設定を参照してください。
Edge アクセス設定のオーバーライド
オプションで、Edge レベルで [Edge アクセス (Edge Access)] 領域にある [Edge 固有設定の上書きを有効化 (Enable Edge Override)] チェックボックスをオンにすると、Edge アクセス設定も上書きできます。Edge アクセス設定の詳細については、Edge アクセスの設定を参照してください。
[関連リンク]