プロファイルおよび Edge レベルでのファイアウォール ルールの設定時に、既存のオブジェクト グループを選択して、送信元または宛先に一致させることができます。ルールの定義にオブジェクト グループを含めることで、IP アドレスの範囲または TCP/UDP/ICMPv4/ICMPv6 ポートの範囲に関するルールを定義できます。

プロファイル レベルで、オブジェクト グループを使用してファイアウォール ルールを設定するには、次の手順を実行します。

手順

  1. エンタープライズ ポータルの [SD-WAN] サービスで、[設定 (Configure)] > [プロファイル (Profiles)] の順に移動します。[プロファイル (Profiles)] ページに既存のプロファイルが表示されます。
  2. ファイアウォール ルールを設定するプロファイルを選択し、[ファイアウォール (Firewall)] タブをクリックします。
    [プロファイル (Profiles)] ページから、プロファイルの [ファイアウォール (Firewall)] 列にある [表示 (View)] リンクをクリックして、 [ファイアウォール (Firewall)] ページに直接移動できます。
  3. [ファイアウォールの設定 (Configure Firewall)] セクションに移動し、[ファイアウォール ルール (Firewall Rules)]で、[+ 新規ルール (+ NEW RULE)] をクリックします。[ルールの設定 (Configure Rule)] ダイアログ ボックスが表示されます。
  4. [ルール名 (Rule Name)] テキスト ボックスに、ルールの一意の名前を入力します。既存のルールからファイアウォール ルールを作成するには、[ルールの複製 (Duplicate Rule)] ドロップダウン メニューから複製するルールを選択します。
  5. [一致 (Match)] 領域で、ルールの一致条件を設定します。
    1. ルールの IP アドレス タイプを選択します。デフォルトでは、IPv4 および IPv6 アドレス タイプが選択されています。選択したアドレス タイプに応じて送信元と宛先の IP アドレスを設定できます。
    2. [送信元 (Source)] ドロップダウン メニューから、[オブジェクト グループ (Object Groups)] を選択します。
    3. ドロップダウン メニューから、関連するアドレス グループとサービス グループを選択します。選択したアドレス グループにドメイン名が含まれている場合、送信元で一致を探している場合は無視されます。
      [アドレス グループ (Address Group)] および [サービス グループ (Service Group)] ドロップダウンの横にある情報アイコンをクリックすると、それぞれのアドレス グループとサービス グループの設定の詳細が表示されます。
    4. 必要に応じて、宛先のアドレス グループとサービス グループも選択できます。
      選択した [アドレス タイプ (Address Type)] に基づいて、動作は次のようになります。
      • [IPv4 タイプ ルール (IPv4 Type Rule)] は、選択したアドレス グループで使用可能な IPv4 アドレスにのみ一致します。
      • [IPv6 タイプ ルール (IPv6 Type Rule)] は、選択したアドレス グループで使用可能な IPv6 アドレスにのみ一致します。
      • [混合タイプ ルール (Mixed Type Rule)] は、選択したアドレス グループの IPv4 アドレスと IPv6 アドレスの両方に一致します。
    5. 必要に応じてファイアウォール アクションを選択し、[作成 (Create)] をクリックします。
      一致およびアクション パラメータの詳細については、 ファイアウォール ルールの設定を参照してください。
    6. [変更の保存 (Save Changes)] をクリックします。
      選択したプロファイルに対してファイアウォール ルールが作成され、 [プロファイルのファイアウォール (Profile Firewall)] ページの [ファイアウォール ルール (Firewall Rules)] 領域に表示されます。
      注: プロファイル レベルで作成されたルールは、Edge レベルでは更新できません。ルールを上書きするには、ユーザーはプロファイル レベルのルールを上書きするための新しいパラメータを使用して、Edge レベルで同じルールを作成する必要があります。
      [プロファイルのファイアウォール (Profile Firewall)] ページの [ファイアウォール ルール (Firewall Rules)] 領域で、次のアクションを実行できます。
      • [削除 (DELETE)] - 既存のファイアウォール ルールを削除するには、ルールの前にあるチェックボックスをオンにして、[削除 (DELETE)] をクリックします。
      • [クローン作成 (CLONE)] - ファイアウォール ルールを複製するには、ルールを選択して [クローン作成 (CLONE)] をクリックします。
      • [コメント履歴 (COMMENT HISTORY)] - ルールの作成または更新中に追加されたすべてのコメントを表示するには、ルールを選択して [コメント履歴 (COMMENT HISTORY)] をクリックします。
      • [ルールを検索 (Search for Rule)] - ルール名、IP アドレス、ポート/ポート範囲、アドレス グループ名およびサービス グループ名でルールを検索できます。

結果

プロファイルに対して作成したファイアウォール ルールは、プロファイルに関連付けられているすべての Edge に自動的に適用されます。必要に応じて、 [設定 (Configure)] > [Edge (Edges)] に移動し、Edge を選択して、 [ファイアウォール (Firewall)] タブをクリックして、Edge 固有の追加ルールを作成できます。
[プロファイルからのルール (Rules From Profile)] セクションには、プロファイルから継承されたルールが表示され、読み取り専用になります。プロファイル レベルのルールを上書きする場合は、新しいルールを追加します。上記の表で追加したルールは [プロファイルからのルール (Rules From Profile)] セクションに表示され、必要に応じて変更または削除することができます。
注: デフォルトでは、ファイアウォール ルールはグローバル セグメントに割り当てられます。必要に応じて、 [セグメント (Segment)] ドロップダウンからセグメントを選択し、選択したセグメントに固有のファイアウォール ルールを作成することができます。
オブジェクト グループは、追加の IP アドレス、ポート番号、サービス タイプ、およびコードで変更できます。変更は、オブジェクト グループを使用するファイアウォール ルールに自動的に含まれます。
注: オブジェクト グループを変更する前に、[アドレス グループ (Address Group)] および [サービス名 (Service name)] の横にある情報アイコンをクリックして、同じユーザー インターフェイス画面からアドレス グループおよびサービス グループの設定の詳細を表示できます。ポップアップが表示され、それぞれのアドレス グループとサービス グループの設定の詳細が表示されます。