ファイアウォールは、受信および送信ネットワーク トラフィックを監視し、定義された一連のセキュリティ ルールに基づいて特定のトラフィックを許可またはブロックするかどうかを決定するネットワーク セキュリティ デバイスです。SD-WAN Orchestrator は、プロファイルおよび Edge のステートレスおよびステートフル ファイアウォールの設定をサポートします。
ファイアウォールの詳細については、ファイアウォールの設定を参照してください。
新しい Orchestrator UI を使用してファイアウォールを設定するには、次の手順を実行します。
- エンタープライズ ポータルで、ウィンドウの上部にある [新しい Orchestrator UI を開く (Open New Orchestrator UI)] オプションをクリックします。
- ポップアップ ウィンドウで [新しい Orchestrator UI を起動 (Launch New Orchestrator UI)] をクリックします。
- ユーザー インターフェイスが監視および設定オプションを表示する新しいタブで開きます。
- 新しいユーザー インターフェイスで、[プロファイル (Profiles)] ページに既存のプロファイルが表示されます。 をクリックします。
- プロファイルを設定するには、プロファイルへのリンクをクリックするか、プロファイルの [デバイス (Device)] 列にある [表示 (View)] リンクをクリックします。設定オプションは、[デバイス (Device)] タブに表示されます。
- [ファイアウォール (Firewall)] タブをクリックします。
[プロファイル (Profiles)] ページから、プロファイルの [ファイアウォール (Firewall)] 列にある [表示 (View)] リンクをクリックして、[ファイアウォール (Firewall)] ページに直接移動できます。
- [ファイアウォール (Firewall)] タブには次の情報が表示されます。
- [Edge アクセス (Edge Access)] - Edge アクセス用のプロファイルを設定できます。Edge をよりセキュアにするために、ファイアウォール設定で、サポート アクセス、コンソール アクセス、USB ポート アクセス、SNMP アクセス、およびローカル Web UI アクセスに対して適切なオプションを選択する必要があります。これにより、悪意のあるユーザーが Edge にアクセスできなくなります。セキュリティ上の理由により、サポート アクセス、コンソール アクセス、SNMP アクセス、およびローカル Web ユーザー インターフェイス アクセスはデフォルトでアクティベーション解除されています。詳細については、Edge アクセスの設定を参照してください。
- [ファイアウォールの状態 (Firewall Status)] - プロファイルに関連付けられているすべての Edge について、ファイアウォール ルール、ファイアウォール設定、およびインバウンド ACL をオンまたはオフにすることができます。
注: [ファイアウォールの状態 (Firewall Status)] をオフにすると、プロファイルのファイアウォール機能をアクティベーション解除することができます。
- [Syslog 転送 (Syslog Forwarding)] - デフォルトでは、エンタープライズに対して Syslog 転送機能はアクティベーション解除されています。エンタープライズ SD-WAN Edge から SD-WAN Orchestrator に発信されたイベントとファイアウォール ログを 1 つ以上の一元化されたリモート Syslog コレクタ(サーバ)に収集するには、エンタープライズ ユーザーはエンタープライズ レベルでこの機能をアクティベーションする必要があります。SD-WAN Orchestrator でセグメントごとに Syslog コレクタの詳細を設定するには、プロファイルの Syslog の設定を参照してください。
注: IPv4 ベースの Syslog サーバでは、IPv4 と IPv6 の両方のファイアウォール ログの詳細を表示できます。
- [ファイアウォール ルール (Firewall Rules)] - 既存の事前定義されたファイアウォール ルールが表示されます。[+ 新規ルール (+ NEW RULE)] をクリックすると、新しいファイアウォール ルールを作成できます。詳細については、新しい Orchestrator UI を使用したファイアウォール ルールの設定を参照してください。既存のファイアウォール ルールを削除するには、ルールの前にあるチェックボックスを選択し、[削除 (DELETE)] をクリックします。ファイアウォール ルールを複製するには、ルールを選択して [クローン作成 (CLONE)] をクリックします。
- [ステートフル ファイアウォール (Stateful Firewall)] - デフォルトでは、エンタープライズに対してステートフル ファイアウォール機能がアクティベーションされています。エンタープライズのステートフル ファイアウォール機能をアクティベーション解除するには、スーパー ユーザー権限を持つオペレータに連絡してください。詳細については、ステートフル ファイアウォールの設定を参照してください。
- [ネットワークおよびフラッド防止 (Network & Flood Protection)] - エンタープライズ ネットワークでのすべての接続試行を保護するために、VMware SD-WAN Orchestrator では、さまざまタイプの攻撃から保護するために、プロファイルと Edge レベルでネットワークおよびフラッド防止設定を行うことができます。詳細については、ネットワークおよびフラッド防止設定を参照してください。
デフォルトでは、すべての Edge は、関連付けられたプロファイルからファイアウォール ルール、ステートフル ファイアウォール設定、ネットワークおよびフラッド防止設定、Edge アクセス設定を継承します。
[Edge 設定 (Edge Configuration)] ダイアログの
[ファイアウォール (Firewall)] タブで、
[プロファイルからのルール (Rule From Profile)] 領域にすべての継承されたファイアウォール ルールを表示できます。必要に応じて、以下の手順に従って、プロファイルのファイアウォール ルールと Edge アクセス設定を Edge レベルでオーバーライドすることもできます。
- 新しいユーザー インターフェイスで、 の順にクリックします。
- 継承されたファイアウォール設定をオーバーライドする Edge を選択し、[ファイアウォール (Firewall)] タブをクリックします。
- Edge の継承されたプロファイル ルールとファイアウォール設定を変更する場合は、[オーバーライド (Override)] チェックボックスをオンにします。
注: オーバーライド ルールは、Edge 固有のルール (Edge Overrides) 領域に表示されます。Edge のオーバーライド ルールは、Edge の継承されたプロファイル ルールよりも優先されます。任意のプロファイル ファイアウォール ルールと同じであるファイアウォール オーバーライド一致の値は、そのプロファイル ルールをオーバーライドします。
- Edge レベルでは、[追加設定 (Additional Setting)] > [ACL のインバウンド (Inbound ACLs)] の順に移動して、ポート転送ルールと 1:1 NAT IPv4 ルールまたは IPv6 ルールを個別に設定できます。ポート転送ルールと 1:1 NAT ルールの設定の詳細については、Edge のファイアウォールの設定を参照してください。
注: IPv6 ポート転送ルールと 1:1 NAT ルールを設定する場合、グローバル IP アドレスまたはユニキャスト IP アドレスのみを入力でき、リンク ローカル アドレスを入力することはできません。