すべての Edge は、関連付けられたプロファイルからファイアウォール ルールと Edge アクセス構成を継承します。[Edge 構成 (Edge Configuration)] ダイアログの [ファイアウォール (Firewall)] タブで、[プロファイルからのルール (Rule From Profile)] 領域にすべての継承されたファイアウォール ルールを表示できます。必要に応じて、プロファイルのファイアウォール ルールと Edge アクセス構成を Edge レベルでオーバーライドすることもできます。



エンタープライズ管理者は、このページの指示に従って、各 Edge に対してポート転送と 1:1 NAT ファイアウォール ルールを個別に構成できます。

デフォルトでは、ポート転送および 1:1 NAT ファイアウォール ルールが構成されていない限り、すべての受信トラフィックがブロックされます。外部 IP アドレスは、WAN IP アドレス、または WAN IP サブネットの IP アドレスのいずれかになります。

ポート転送および 1:1 NAT ファイアウォール ルール

注: ポート転送および 1:1 NAT ルールは、Edge レベルでのみ個別に構成できます。

ポート転送および 1:1 NAT ファイアウォール ルールにより、インターネット クライアントは Edge LAN インターフェイスに接続されたサーバにアクセスできるようになります。アクセスは、ポート転送ルールまたは 1:1 NAT(ネットワーク アドレス変換)ルールを使用して可能になります。

ポート転送ルール

ポート転送ルールを使用すると、特定の WAN ポートからローカル サブネット内のデバイス(LAN IP/LAN ポート)にトラフィックをリダイレクトするルールを構成できます。必要に応じて、IP アドレスまたはサブネットを基準にして受信トラフィックを制限することもできます。次の例は、ポート転送ルールが、外部 IP アドレス(WAN IP アドレスの同じサブネット上)を使用してどのように構成されているかを示しています。

ポート転送ルールを構成するには、次の詳細を指定します。

  1. [名前 (Name)] テキスト ボックスに、ルールの名前を入力します(オプション)。
  2. [プロトコル (Protocol)] ドロップダウン メニューから、ポート転送のプロトコルとして [TCP] または [UDP] のいずれかを選択します。
  3. [インターフェイス (Interface)] ドロップダウン メニューから、受信トラフィックのインターフェイスを選択します。
  4. [外部 IP アドレス (Outside IP)] テキスト ボックスに、外部ネットワークからホスト(アプリケーション)にアクセスできる IP アドレスを入力します。
  5. [WAN ポート (WAN Ports)] テキスト ボックスに、1 つの WAN ポートまたはハイフン (-) で区切られたポートの範囲を入力します(例:20-25)。
  6. [LAN IP アドレス (LAN IP)] および [LAN ポート (LAN Port)] テキスト ボックスに、要求が転送される LAN の IP アドレスとポート番号を入力します。
  7. [セグメント (Segment)] ドロップダウン メニューから、LAN IP アドレスが属するセグメントを選択します。
  8. [リモート IP アドレス/サブネット (Remote IP/subnet)] テキスト ボックスに、内部サーバに転送する受信トラフィックの IP アドレスを指定します。IP アドレスを指定しない場合、すべてのトラフィックが許可されます。

    次の図は、ポート転送の構成を示しています。

1:1 NAT 設定

これらは、SD-WAN Edge によってサポートされている外部 IP アドレスを、Edge LAN インターフェイスに接続されているサーバ(Web サーバやメール サーバなど)にマッピングするために使用されます。また、ISP がサブネットのトラフィックを SD-WAN Edge にルーティングする場合は、WAN インターフェイスのアドレスとは異なるサブネットにある外部 IP アドレスを変換することもできます。各マッピングは、特定の WAN インターフェイスのファイアウォールの外側の 1 つの IP アドレスと、ファイアウォールの内側の 1 つの LAN IP アドレスの間に配置されます。各マッピング内で、どのポートが内部 IP アドレスに転送されるかを指定できます。右側の[+]アイコンを使用して、1:1 NAT 設定をさらに追加できます。

1:1 NAT ルールを構成するには、次の詳細を指定します。

  1. [名前 (Name)] テキスト ボックスに、ルールの名前を入力します。
  2. [外部 IP アドレス (Outside IP)] テキスト ボックスに、外部ネットワークからホストにアクセスできる IP アドレスを入力します。
  3. [インターフェイス (Interface)] ドロップダウン メニューから、外部 IP アドレスがバインドされる WAN インターフェイスを選択します。
  4. [内部 (LAN) IP アドレス (Inside (LAN) IP)] テキスト ボックスに、ホストの実際の IP (LAN) アドレスを入力します。
  5. [セグメント (Segment)] ドロップダウン メニューから、LAN IP アドレスが属するセグメントを選択します。
  6. LAN クライアントからインターネットへのトラフィックが外部 IP アドレスに NAT されるようにする場合は、[送信トラフィック (Outbound Traffic)] チェックボックスをオンにします。
  7. マッピングの [許可されたトラフィック送信元 (Allowed Traffic Source)] の詳細をそれぞれのフィールド([プロトコル (Protocol)]、[ポート (Ports)]、[リモート IP アドレス/サブネット (Remote IP/Subnet)])に入力します。

    次の図は、1:1 NAT 構成を示しています。

Edge 固有のルールの構成

必要に応じて、継承されたプロファイルのファイアウォール ルールを Edge レベルでオーバーライドできます。Edge レベルでファイアウォール ルールをオーバーライドするには、[ファイアウォール ルール (Firewall Rules)] の下の [新規ルール (New Rule)] をクリックし、ファイアウォール ルールの構成の手順を実行します。オーバーライド ルールは、[Edge 固有のルール (Edge Overrides)] 領域に表示されます。Edge のオーバーライド ルールは、Edge の継承されたプロファイル ルールよりも優先されます。任意のプロファイル ファイアウォール ルールと同じであるファイアウォール オーバーライド一致の値は、そのプロファイル ルールをオーバーライドします。

ステートフル ファイアウォール設定のオーバーライド

オプションで、Edge レベルで [ステートフル ファイアウォール設定 (Stateful Firewall Settings)] 領域にある [Edge 固有設定の上書きを有効化 (Enable Edge Override)] チェックボックスをオンにすると、ステートフル ファイアウォール設定を上書きできます。ステートフル ファイアウォール設定の詳細については、ステートフル ファイアウォール設定の構成を参照してください。

ネットワークおよびフラッド保護設定のオーバーライド

オプションで、Edge レベルで [ネットワークおよびフラッド保護の設定 (Network and Flood Protection Settings)] 領域にある [Edge 固有設定の上書きを有効化 (Enable Edge Override)] チェックボックスをオンにすると、ネットワークおよびフラッド保護の設定を上書きできます。ネットワークおよびフラッド保護設定の詳細については、ネットワークおよびフラッド保護設定の構成を参照してください。

Edge アクセス構成設定のオーバーライド

オプションで、Edge レベルで [Edge アクセス (Edge Access)] 領域にある [Edge 固有設定の上書きを有効化 (Enable Edge Override)] チェックボックスをオンにすると、Edge アクセス構成も上書きできます。Edge アクセス構成の詳細については、Edge アクセスの構成を参照してください。

[関連リンク]