サードパーティのファイアウォールを使用して、SD-WAN Edge の VNF を介してトラフィックを展開および転送できます。
セキュリティ VNF 設定を有効にできるのはオペレータのみです。[セキュリティ VNF (Security VNF)] オプションを利用できない場合、オペレータに問い合わせてください。
前提条件
次の項目について確認してください。
- SASE Orchestrator および特定のセキュリティ VNF の展開をサポートするソフトウェア バージョンを実行しているアクティブ化された SD-WAN Edge。サポート対象のソフトウェア バージョンおよび Edge プラットフォームの詳細については、セキュリティ仮想ネットワーク機能 のサポート マトリックスを参照してください。
- 設定済みの VNF 管理サービス。詳細については、VNF 管理サービスの設定を参照してください。
手順
- エンタープライズ ポータルの [SD-WAN] サービスで、 の順にクリックします。
- [Edge (Edges)] ページで、設定する Edge へのリンクをクリックするか、Edge の [デバイス (Device)] 列の [表示 (View)] リンクをクリックします。選択した Edge の設定オプションが [デバイス (Device)] タブに表示されます。
- [デバイス (Device)] タブで、[セキュリティ VNF (Security VNF)] セクションまでスクロールし、[+ セキュリティ VNF の設定 (+ Configure Security VNF)] をクリックします。[セキュリティ VNF の設定 (Configure Security VNF)] ウィンドウが表示されます。
- [セキュリティ VNF の設定 (Configure Security VNF)] ウィンドウで、[展開 (Deploy)] チェック ボックスをオンにします。
- [仮想マシンの設定 (VM Configuration)] で、次の設定を行います。
- [VLAN (VLAN)]:VNF 管理で使用する VLAN をドロップダウン リストから選択します。
- [VM-1 IP (VM-1 IP)]:仮想マシンの IP アドレスを入力し、IP アドレスが選択した VLAN のサブネット範囲内にあることを確認します。
- [VM-1 Hostname (VM-1 ホスト名)]:仮想マシン ホストの名前を入力します。
- [展開後の状態 (Deployment State)]:次のいずれかのオプションを選択します。
- [[イメージをダウンロード済みでパワーオン (Image Downloaded and Powered On)]]:このオプションは、Edge 上でファイアウォール VNF を構築した後、仮想マシンをパワーオンします。トラフィックは、このオプションが選択されている場合にのみ VNF を転送します。この場合、VNF の挿入用に少なくとも 1 つの VLAN またはルーティング インターフェイスを設定する必要があります。
- [[イメージをダウンロード済みでパワーオフ (Image Downloaded and Powered Off)]]:このオプションは、Edge 上でファイアウォール VNF を構築した後、仮想マシンをパワーオフのままにします。VNF を経由してトラフィックを送信する場合は、このオプションを選択しないでください。
- [セキュリティ VNF (Security VNF)] で、ドロップダウン メニューから事前定義された VNF 管理サービスを選択します。[+ 追加 (+ Add)] をクリックして、新しい VNF 管理サービスを作成することもできます。詳細については、VNF 管理サービスの設定を参照してください。
- 次の図は、セキュリティ VNF タイプとしての [Fortinet ファイアウォール]の例を示しています。[Fortinet ファイアウォール (Fortinet Firewall)] を選択した場合は、次の追加の設定を行います。
- [仮想マシン コア (VM Cores)]:ドロップダウン リストからコアの数を選択します。仮想マシンのライセンスは、仮想マシンのコアに基づいています。仮想マシンのライセンスが選択したコアの数に適合することを確認してください。
- [インスペクション モード (Inspection Mode)]:次のいずれかのモードを選択します。
- [プロキシ (Proxy)]:このオプションはデフォルトで選択されています。プロキシベースのインスペクションでは、トラフィックをバッファリングし、分析のためにデータ全体を調べます。
- [フロー (Flow)]:フローベースのインスペクションでは、バッファリングなしで FortiGate ユニットを通過するトラフィック データをインスペクションします。
- [ライセンス (License)]:仮想マシン ライセンスをドラッグ アンド ドロップするか、ライセンスの内容をテキスト ボックスに貼り付けます。
- 次の図は、セキュリティ VNF タイプとしての[Check Point ファイアウォール]の例を示しています。
- [Palo Alto Networks ファイアウォール (Palo Alto Networks Firewall)] をセキュリティ VNF として選択した場合は、次の追加設定を行います。
- [ライセンス (License)]:ドロップダウン リストから VNF ライセンスを選択します。
- [デバイス グループ名 (Device Group Name)]:Panorama サーバで事前設定されたデバイス グループ名を入力します。
- [設定テンプレート名 (Config Template Name)]:Panorama サーバで事前設定されている設定テンプレート名を入力します。
注:
[Palo Alto Networks ファイアウォール (Palo Alto Networks Firewall)] 設定の展開を VNF タイプから削除する場合は、この設定を削除する前に、Palo Alto Networks の
[VNF ライセンス (VNF License)] を確実に無効にします。
- [更新 (Update)] をクリックします。
結果
設定の詳細が
[セキュリティ VNF (Security VNF)] セクションに表示されます。
次のタスク
複数のトラフィック セグメントを VNF にリダイレクトする場合は、セグメントとサービス VLAN 間のマッピングを定義します。サービス VLAN を使用したマッピング セグメントの定義を参照してください。
セキュリティ VNF を VLAN とルーティング インターフェイスの両方に挿入して、トラフィックを VLAN またはルーティング インターフェイスから VNF にリダイレクトできます。VNF 挿入を使用した VLAN の設定を参照してください。