提供機能（オーバーレイタイプ）：IPフィルター

コントロールパネル

• コントロールパネル（オーバーレイタイプ）：IPフィルター

チュートリアル

• IPフィルター：特定の宛先IPアドレス、宛先ポート番号を拒否（ブラックリスト）オーケストレーター
• IPフィルター：特定の宛先IPアドレスのみを許可（ホワイトリスト）オーケストレーター

概要

エッジ装置の通信を制御する機能を提供します。この機能を使うと、特定の宛先だけに通信させることや、特定の宛先ポート番号への通信を破棄させることができます。
なお、インターネットブレイクアウト機能におけるIPフィルター ( ブレイクアウト )とは異なります。インターネットブレイクアウト機能でフィルタ設定を行う場合は、そちらで設定ください。

IPフィルターの動作

• IPフィルターは、LANポートに付与した“ネットワーク”単位に設定できます。
• IPフィルタールールには送信元および宛先のネットワークセグメント、複数の宛先のポート番号を条件として指定することができます。
• IPフィルタールールには順序があり、No1, No2 …と番号順に条件を照会し、最初に一致した条件に指定された動作がおこなわれます。
• CUSTOM_TCP / UDP を利用する場合、必ずPort rangeを指定してください。デフォルトでは1～65535となっています。
• いずれのIPフィルタールールにも合致しなかった場合には「すべて許可」が動作します。
• いずれのフィルタールールにも合致しなかった場合に「すべて拒否」したい場合には、最後のルールに「全て拒否する」ための設定が必要です。
• プロトコルで、ALL, ALL_TCP, ALL_UDP, ALL_ICMP を選択した場合は、Port Rangeに値を入力しても無視されます。1～65535を入力した場合と同じ動作になります。

＜「全て拒否する」ための設定＞

LAN機能やその他機能との併用

インターネットブレイクアウト

インターネットブレイクアウトを利用する際には、拠点間の通信に対する制御は本ページ記載の「IPフィルター」にて、ブレイクアウトする通信への制御は、「インターネットブレイクアウトのIPフィルター（ブレイクアウト）」にて設定ください。

提供機能（オーバーレイタイプ）：インターネットブレイクアウト

使い分けが必要なお客様通信例

• 一部または全てのインターネット通信をブレイクアウトする設定の拠点の「特定のパソコンだけ」はインターネットに通信させたくない
• 全てのインターネット通信をローカルブレイクアウトするものの、特定の宛先ポートのみインターネットへの通信を許可したい

セグメンテーション

セグメンテーションを利用する際には、複数の「ネットワーク」に別々のポリシーを持つIPフィルターを設定することができます。

留意事項

• LAN1とLAN2などに同じ“ネットワーク”を割り当て、IPフィルターを適用することはサービス仕様上許可しておりません。ご留意ください。
• エッジ装置のLANポートは、IPフィルタの設定に関わらず対向拠点からのPing疎通が可能です。
  なお、送信元の拠点にて別のIPフィルタが適用されている場合には、その制御に準じます。