デフォルトでは、すべての Edge は、関連付けられたプロファイルからファイアウォール ルール、拡張ファイアウォール サービス (EFS) 設定、ステートフル ファイアウォール設定、ネットワークおよびフラッド防止設定、ファイアウォール ログ作成、Syslog 転送、Edge アクセス設定を継承します。

注: Orchestrator のファイアウォールのログ作成を機能させるには、SD-WAN Edge がバージョン 5.2 以降で実行されていることを確認します。
[Edge 設定 (Edge Configuration)] ダイアログの [ファイアウォール (Firewall)] タブで、 [プロファイルからのルール (Rule From Profile)] 領域にすべての継承されたファイアウォール ルールを表示できます。必要に応じて、継承されたファイアウォール ルールとさまざまなファイアウォール設定を Edge レベルで上書きすることもできます。
  1. エンタープライズ ポータルの [SD-WAN] サービスで、[設定 (Configure)] > [Edge (Edges)] の順に移動します。
  2. 継承されたファイアウォール設定を上書きする Edge を選択し、[ファイアウォール (Firewall)] タブをクリックします。
  3. 選択した Edge の継承されたファイアウォール ルールと設定を変更する場合は、各種のファイアウォール設定の [上書き (Override)] チェックボックスをオンにします。
    注: Edge 固有のルール ルールは、Edge の継承されたプロファイル ルールよりも優先されます。任意のプロファイル ファイアウォール ルールと同じであるファイアウォール 上書き一致の値は、そのプロファイル ルールを上書きします。
  4. Edge レベルでは、[追加設定 (Additional Setting)] > [ACL のインバウンド (Inbound ACLs)] の順に移動して、ポート転送ルールと 1:1 NAT IPv4 ルールまたは IPv6 ルールを個別に設定できます。詳細については、ポート転送ルールおよび1:1 NAT 設定を参照してください。
    注: デフォルトでは、ポート転送および 1:1 NAT ファイアウォール ルールが設定されていない限り、すべての受信トラフィックがブロックされます。外部 IP アドレスは、WAN IP アドレス、または WAN IP サブネットの IP アドレスのいずれかになります。
    注: IPv6 ポート転送ルールと 1:1 NAT ルールを設定する場合、グローバル IP アドレスまたはユニキャスト IP アドレスのみを入力でき、リンク ローカル アドレスを入力することはできません。

ポート転送および 1:1 NAT ファイアウォール ルール

注: ポート転送および 1:1 NAT ルールは、Edge レベルでのみ個別に設定できます。

ポート転送および 1:1 NAT ファイアウォール ルールにより、インターネット クライアントは Edge LAN インターフェイスに接続されたサーバにアクセスできるようになります。アクセスは、ポート転送ルールまたは 1:1 NAT(ネットワーク アドレス変換)ルールを使用して可能になります。

ポート転送ルール

ポート転送ルールを使用すると、特定の WAN ポートからローカル サブネット内のデバイス(LAN IP/LAN ポート)にトラフィックをリダイレクトするルールを設定できます。必要に応じて、IP アドレスまたはサブネットを基準にして受信トラフィックを制限することもできます。ポート転送ルールは、WAN IP アドレスの同じサブネット上にある外部 IP アドレスを使用して設定できます。また、ISP がサブネットのトラフィックを SD-WAN Edge にルーティングする場合は、WAN インターフェイスのアドレスとは異なるサブネットにある外部 IP アドレスを変換することもできます。

次の図は、ポート転送の設定を示しています。

[ポート転送ルール (Port Forwarding Rules)] セクションで、[+ 追加 (+Add)] ボタンをクリックし、次の詳細を入力することで、IPv4 または IPv6 アドレスを使用してポート転送ルールを設定できます。

  1. [名前 (Name)] テキスト ボックスに、ルールの名前を入力します(オプション)。
  2. [プロトコル (Protocol)] ドロップダウン メニューから、ポート転送のプロトコルとして [TCP] または [UDP] のいずれかを選択します。
  3. [インターフェイス (Interface)] ドロップダウン メニューから、受信トラフィックのインターフェイスを選択します。
  4. [外部 IP アドレス (Outside IP)] テキスト ボックスに、外部ネットワークからホスト(アプリケーション)にアクセスできる IPv4 または IPv6 アドレスを入力します。
  5. [WAN ポート (WAN Ports)] テキスト ボックスに、1 つの WAN ポートまたはハイフン (-) で区切られたポートの範囲を入力します(例:20-25)。
  6. [LAN IP アドレス (LAN IP)] および [LAN ポート (LAN Port)] テキスト ボックスに、要求が転送される LAN の IPv4 または IPv6 アドレスとポート番号を入力します。
  7. [セグメント (Segment)] ドロップダウン メニューから、LAN IP アドレスが属するセグメントを選択します。
  8. [リモート IP アドレス/サブネット (Remote IP/subnet)] テキスト ボックスに、内部サーバに転送する受信トラフィックの IP アドレスを指定します。IP アドレスを指定しない場合、すべてのトラフィックが許可されます。
  9. [ログ (Log)] チェック ボックスをオンにして、このルールのログを有効にします。
  10. [変更の保存 (Save Changes)] をクリックします。

1:1 NAT 設定

これらは、SD-WAN Edge によってサポートされている外部 IP アドレスを、Edge LAN インターフェイスに接続されているサーバ(Web サーバやメール サーバなど)にマッピングするために使用されます。また、ISP がサブネットのトラフィックを SD-WAN Edge にルーティングする場合は、WAN インターフェイスのアドレスとは異なるサブネットにある外部 IP アドレスを変換することもできます。各マッピングは、特定の WAN インターフェイスのファイアウォールの外側の 1 つの IP アドレスと、ファイアウォールの内側の 1 つの LAN IP アドレスの間に配置されます。各マッピング内で、どのポートが内部 IP アドレスに転送されるかを指定できます。右側の[+]アイコンを使用して、1:1 NAT 設定をさらに追加できます。

次の図は、1:1 NAT 設定を示しています。

[1:1 NAT ルール (1:1 NAT Rules)] セクションで、[+ 追加 (+Add)] ボタンをクリックして次の詳細を入力することで、IPv4 アドレスまたは IPv6 アドレスを使用して 1:1 NAT ルールを設定できます。

  1. [名前 (Name)] テキスト ボックスに、ルールの名前を入力します。
  2. [外部 IP アドレス (Outside IP)] テキスト ボックスに、外部ネットワークからホストにアクセスできる IPv4 または IPv6 アドレスを入力します。
  3. [インターフェイス (Interface)] ドロップダウン メニューから、外部 IP アドレスがバインドされる WAN インターフェイスを選択します。
  4. [内部 (LAN) IP アドレス (Inside (LAN) IP)] テキスト ボックスに、ホストの実際の IPv4 または IPv6 (LAN) アドレスを入力します。
  5. [セグメント (Segment)] ドロップダウン メニューから、LAN IP アドレスが属するセグメントを選択します。
  6. LAN クライアントからインターネットへのトラフィックが外部 IP アドレスに NAT されるようにする場合は、[送信トラフィック (Outbound Traffic)] チェックボックスをオンにします。
  7. マッピングの [許可されたトラフィック送信元 (Allowed Traffic Source)] の詳細をそれぞれのフィールド([プロトコル (Protocol)]、[ポート (Ports)]、[リモート IP アドレス/サブネット (Remote IP/Subnet)])に入力します。
  8. [ログ (Log)] チェック ボックスをオンにして、このルールのログを有効にします。
  9. [変更の保存 (Save Changes)] をクリックします。