ここではファイアウォール / インターネットブレイクアウトの機能について説明していきます。
設定手順
ファイアウォール / インターネットブレイクアウトを設定する場合には事前に各設定情報の参照先を定義する必要があります。
設定項目における設定手順及び相関関係は下図の通りです。
- カスタムトラフィック定義の設定
- トラフィッククラス定義の設定
- IP フィルター定義の設定
- インターネットブレイクアウトポリシー定義の設定
- ネットワーク設定
ーカスタムトラフィック定義の設定
ブレイクアウト機能で制御したい個別の通信をカスタムトラフィック設定として定義するための設定となります。
ここで定義した通信は「トラフィッククラス」の中の「アプリケーション選択」に表示、選択することができるようになります。
設定手順
- TOP画面 > ブレイクアウト > テナント選択 > インターネットブレイクアウトポリシー > ポリシー構成 > カスタムトラフィック > [+カスタムトラフィック作成]
設定項目の設定値は以下となります。
| 項目 | 内容 | |
| 名前 | 作成するカスタムトラフィック定義の名称を入力 | |
| メモ |
備考欄として利用 |
|
| DSCP値 |
サポート外となります。 |
|
| 内容 | 宛先IPアドレス | 対象とする宛先のIPアドレスもしくはネットワークアドレスを指定 |
| 宛先ポート番号 |
対象とする宛先のポート番号を指定 |
|
| 有効にする |
有効化 |
|
| TCP / UDP / ICMP |
対象プロトコルの選択 |
|
| 送信元IPアドレス | 対象とする送信元のIPアドレスもしくはネットワークアドレスを指定 | |
| 送信元ポート番号 |
対象とする送信元のポート番号を指定 |
|
パラメータ値
名前
設定値:[カスタムトラフィック定義の名称のテキスト]
新たに作成するカスタムトラフィック定義の名称を入力します。
例:Simple-Traffic-APP
メモ
設定値:備考欄としてのテキスト
作成するカスタムトラフィック定義の備考/補足説明してテキストを入力します。
最大60文字まで入力可能です。
例:Simple-Traffic-APP
DSCP値
サポート外となります
宛先 IPアドレス
設定値:宛先のIPアドレスのテキスト
条件として宛先のIPアドレス ( HOST ) もしくはネットワークアドレスを指定します。
例:192.168.100.1 もしくは 192.168.100.0/24
宛先ポート番号
設定値:宛先ポート番号のテキスト
条件として宛先ポート番号を指定します。ポート番号は[+Add Item]により追加可能です。
1つのカスタムトラフィック定義あたり、10個まで作成が可能です。
1つの宛先ポート番号あたり、512連番までの範囲指定が可能です。
例:80
有効化
設定値:[チェックボックス]
チェックボックスをクリックすることでカスタムトラフィック定義を有効化します。
TCP/UDP/ICMP
設定値:[TCP / UDP / ICMP]
条件としてプロトコルを選択します。
送信元 IPアドレス
設定値:送信元のIPアドレスのテキスト
条件として送信元のIPアドレス ( HOST ) もしくはネットワークアドレスを指定します。
例:192.168.200.1 もしくは 192.168.200.0/24
送信元ポート番号
設定値:宛先ポート番号のテキスト
条件として宛先ポート番号を指定します。ポート番号は[+Add Item]により追加可能です。
1つのカスタムトラフィック定義あたり、10個まで作成が可能です。
1つの宛先ポート番号あたり、512連番までの範囲指定が可能です。
例:5000-5511
留意事項
- icmpを指定される場合には、宛先 / 送信元ポート番号を設定することはできません。
ートラフィッククラス定義の設定
当該エッジ装置がインターネットブレイクアウト機能を用いて通信を行う場合に、組み込まれたアプリケーションや個別に設定したカスタムトラフィック定義を参照するためにクラス定義を作成します。
設定手順
- TOP画面 > ブレイクアウト > テナント選択 > インターネットブレイクアウトポリシー > ポリシー構成 > [トラフィッククラス] >[+トラフィッククラス作成]
設定項目の設定値は以下となります。
| 項目 | 内容 |
| 名前 | 作成するクラス定義の名称を入力 |
| メモ |
備考欄として利用 |
| アプリケーション選択 |
作成したカスタムアプリケーション、または組み込みのアプリケーションまたは通信プロトコルを選択 |
パラメータ値
名前
設定値:トラフィッククラス定義の名称のテキスト
新たに作成するトラフィッククラス定義の名称を入力します。
特定通信を指定する設定例(任意):Simple-Traffic-CLASS
デフォルトルート選択用の特殊設定例(指定): __(アンダーバー2つ)default__ (アンダーバー2つ)
メモ
設定値:備考欄としてのテキスト
新たに作成するトラフィッククラス定義の備考/補足説明して任意のテキストを入力します。
最大60文字まで入力が可能です。
特定通信を指定する設定例 (任意) :シンプルなトラフィック制御用のクラス定義
デフォルトルート選択用の特殊設定例(指定):リモートブレイクアウト用
カスタムトラフィック
設定値:[組み込みプロトコル / カスタムトラフィック定義]
特定通信を指定する条件として宛先ポート番号を指定します。
組み込みプロトコル (例.HTTPなど) や事前に定義したカスタムトラフィック定義を選択することも可能です。
ポート番号は[+Add Item]により追加可能です。
また、ここでリモートブレイクアウトのためのオブジェクトを定義する必要があります。
- 特定通信を指定する設定例(任意): [組み込みプロトコル / カスタムトラフィック定義] を選択
- デフォルトルート選択用の特殊設定例(指定): なし(カスタムトラフィックプロトコルを削除してください)
トラフィッククラスの初期選択プロトコルを(-)ボタンをクリックして削除してください。
トラフィッククラスの初期選択アプリケーションが消えたことを確認して、「作成」をクリックしてください。
留意事項
- 個別に制御したいIPアドレスやポート番号がある場合には、事前にカスタムトラフィク定義が必要となります。
ーIP フィルター(ブレイクアウト)定義の設定
当該エッジ装置がファイアウォール / インターネットブレイクアウト通信を行う場合に、ルールやポリシーを参照するためにIPフィルター(ブレイクアウト)を作成します。
IPフィルタではlocal(自拠点のエッジ装置のWAN側)からインターネットブレイクアウトする際にIPFilterの設定が可能です。この設定により、意図しない通信を遮断することができます。
そして、今までの定義を利用して、 ファイアウォール / インターネットブレイクアウトの通信ポリシーを定義します。
設定手順
- TOP画面 > ブレイクアウト > テナント選択 > インターネットブレイクアウトポリシー > ポリシー構成 > IPフィルター >[+IPフィルター作成]
設定項目の設定値は以下となります。
| 項目 | 内容 | ||
| IPフィルターの名前 | 新たに作成するIPフィルタ定義の名称を入力 | ||
|
IPフィルタのルール |
動作 | Deny | フィルタ動作 拒否 |
| accept | フィルタ動作 許可 | ||
| 送信元セグメント | 送信元のネットワークアドレスを入力 | ||
| 宛先セグメント | 宛先のネットワークアドレスを入力 | ||
| 通信方向 | both | フィルタの適用する方向 双方向 | |
| to-internet | インターネットに対する通信 (LANからWAN) | ||
| from-internet | インターネットからの通信 (WANからLAN) | ||
| プロトコル又はポート番号 | フィルタ対象のプロトコルを指定 ALLもしくは組み込みのプロトコル名 (HTTPなど) を選択 | ||
| ポート指定 | 開始ポート番号 | ポート番号の指定 範囲指定可能であり開始の番号 | |
| 終了ポート番号 | ポート番号の指定 範囲指定可能であり終了の番号 | ||
| ステータス | 有効 | フィルタ自体の有効化 | |
| 無効 | フィルタ自体の無効化 | ||
パラメータ値
IPフィルターの名前
設定値:IPフィルター定義の名称のテキスト
新たに作成するIPフィルター定義の名称を入力します。
例:Internet-Breakout-RULE
動作
設定値:[Deny / Accept]
条件に合致した際の動作を選択します。
送信元セグメント
設定値:送信元のネットワークアドレスのテキスト
Filter条件として送信元のネットワークアドレスを指定します。
例:192.168.100.0/24
宛先セグメント
設定値:宛先のネットワークアドレスのテキスト
Filter条件として宛先のネットワークアドレスを指定します。
例:192.168.200.0/24
通信方向
設定値:[both / to-internet / from-internet]
Filter条件として通信の向きを定義するために選択します。
Both:双方向の通信を対象とします
to-internet:LANセグメントからインターネットへのアウトバウント通信を対象とします。
from-internet:インターネットからLANセグメントへのインバウント通信を対象とします。
プロトコル名
設定値:[対象となるプロトコル]
Filter条件としてプロトコルを定義するために選択します。
ALL:すべての通信を対象とします。すべての通信をファイアウォール / インターネットブレイクアウトさせる場合に選択します。
プロトコル指定:HTTPなど、特定のプロトコルを対象とします。プロトコル (HTTPなど) を指定した場合には、自動的に対象となるポート番号 (80) の割り当てが行われます。仮にポート番号を指定しても無視されます。
TCPカスタム:特定のTCP通信を対象とします。この場合Port rangeでポート番号も指定してください。
UDPカスタム:特定のUDP通信を対象とします。この場合Port rangeでポート番号も指定してください。
ポート指定
設定値:TCP/UDPカスタムをプロトコル名で選択する際に入力するポート番号のテキスト
開始ポート番号:ポート番号の範囲を指定する場合の開始番号となります
終了ポート番号:ポート番号の範囲を指定する場合の終了番号となります。
1つのポート番号だけ指定する場合には開始ポート番号及び終了ポート番号に同じポート番号を指定してください。
留意事項
- TCP/UDPカスタムを利用する場合、必ずPort rangeを指定してください。デフォルトでは1~65535となっています。
- ALL_ICMPを利用する場合、ポート番号を指定頂く必要はございません。
- ALL_ICMP、PINGの動作に差異はございません。ALL_ICMPを設定ください。
ーインターネットブレイクアウトポリシー定義の設定
トラフィッククラス定義やIPフィルター定義を1つのインターネットブレイクアウトポリシー定義として関連づけるための設定を行います。
設定手順
- TOP画面 > ブレイクアウト > テナント選択 > インターネットブレイクアウトポリシー > [+インターネットブレイクアウトポリシー作成]
設定項目の設定値は以下となります。
| 項目 | 内容 |
| インターネットブレイクアウトポリシー名 | 新たに作成するインターネットブレイクアウトポリシー定義の名称を入力 |
| IPフィルター選択 | 参照するIPフィルター定義を選択 |
| URLフィルター | サポート外となります |
| ブレイクアウト(remote/local) | Local or Remote を選択 |
| トラフィッククラス | 作成したトラフィッククラス定義の名称を選択 |
パラメータ値
インターネットブレイクアウトポリシー名
設定値:インターネットブレイクアウトポリシー定義の名称のテキスト
新たに作成するファイアウォールポリシー定義の名称を入力します。
例:Internet-Breakout-POLICY
IPフィルター選択
設定値:[IPフィルター定義]
Filterの条件を参照するため、事前に作成したIPフィルター定義を選択します。
例:Internet-Breakout-RULE
URLフィルター
設定値:サポート外となります。
ブレイクアウト
設定値:local / remoteを選択
インターネットブレイクアウトを自拠点(Local)又は他拠点(remote)で実施するか選択します。 「remote」を選択する場合には、他拠点側のエッジ装置のlan側にインターネット環境があり、Static route(0.0.0.0/0)が予め設定され、デフォルトルートを自拠点まで経路広告させる必要があります。
また、リモート拠点(他拠点のエッジ装置)のLAN側のインターネット向けのデフォルトルートを優先させる場合には、remoteを選択するだけでなく、トラフィッククラスに「__default__」を指定してください。それにより、自拠点のデフォルトルートより、経路広告で他拠点から受信するデフォルトルートを優先して通信させることができます。
「local」を選択する場合は、ローカル拠点(自拠点のエッジ装置)のエッジ装置のネットワークにインターネットブレイクアウトポリシーを適用し、有効化されたタイミングで自動的にwan-1にデフォルトルートが設定されますが、他の拠点からくるデフォルトルートに影響されないように、インターネットブレイクアウトポリシーのトラフィッククラス定義に「__default__」を指定し、breakoutに「local」を指定してください。
トラフィッククラス
設定値:[Class定義]
事前に作成したトラフィッククラス定義を参照するために指定します。
また、トラフィッククラスに「__default__」を参照させることにより、ブレイクアウトで選択したデフォルトルートをLocal / remoteのどちらを優先するか定義することが出来ます。Local(自拠点のエッジ装置)でICMPのみブレイクアウトさせ、それ以外(デフォルトルート)はRemote(他拠点のエッジ装置)へ通信させる場合は次の図の設定となります。
留意事項
- お客さまにより作成されたトラフィッククラスは、インターネットブレイクアウトポリシーに設定されているか否かを問わず、変更および削除が可能です。
設定済みのトラフィッククラスを削除した場合、当該ポリシーのトラフィッククラスが選択されない状態 ( Nothing selected ) となります。
ーネットワーク設定
当該エッジ装置のLAN I / Fにネットワーク定義の紐付けを行います。この際に事前に設定した「インターネットブレイクアウトポリシー」を参照します。
エッジ装置毎に個別にブレイクアウトポリシーは設定する事が出来ます。また、LAN I / Fも個別に LAN-1、LAN-2など自由に指定可能であり、セグメンテーションによりネットワークを分けている場合でも問題なく設定できます。
設定手順
- TOP画面 > 拠点 > テナント選択 > 対象テナントを選択 > 対象拠点名を選択 > LANポート画面[lan-1/lan-2の編集ボタン] > [Port作成]
設定項目の設定値は以下となります。
| 項目 | 内容 |
| ネットワーク選択 | 所属するネットワークを指定します。 |
| インターネットブレイクアウトポリシー | 作成したインターネットブレイクアウトポリシーを指定します。 |
| LANネットワークアドレス/サブネットマスク | 利用ネットワークアドレス サブネットマスクを含めて入力 |
| LANネットワークのサブネットマスク値 | 利用ネットワークのサブネットマスクの値を入力 |
| LANインターフェースのプライマリIPアドレス | エッジ装置のLAN側 I / FのIPアドレスを入力 |
| LANインターフェースのセカンダリIPアドレス(非サポート) | サポート外となります。 |
パラメータ値
ネットワーク選択
設定値:[Network定義]
ファイアウォール / インターネットブレイクアウト用に定義したNetworkを指定します。
当該エッジ装置が通信を行うNetwork定義を指定する。同一のVPN契約であっても、このNetwork定義が異なるエッジ装置間での通信は行えません。
例:Internet-Breakout-NETWORK
インターネットブレイクアウトポリシー
設定値:[インターネットブレイクアウトポリシー定義]
インターネットブレイクアウトポリシーで定義したポリシーを適用します。インターネットブレイクアウトポリシーの定義は「コントロールパネルマニュアル:ファイアウォール / インターネットブレイクアウト」を参照してください。
LANネットワークアドレス/サブネットマスク
設定値:LAN-I/Fで利用するIPアドレスのテキスト
クラスA、クラスCおよびお客さまが正規に申請されたグローバルIPアドレスのみ指定が可能となります。入力値としてその他の値も入力可能ですが、 動作保証はしません。
例:192.168.100.0/24
LANネットワークのサブネットマスク値
設定値:LAN-I/Fで利用するネットワークアドレスのサブネットマスクのテキスト
LAN側で利用するネットワークアドレスのサブネットマスクを指定して入力します。
例:24
LANインターフェースのプライマリIPアドレス
設定値:LAN-I/Fで利用するIPアドレスのテキスト
[Prefix]で指定したクラスセグメントから1つのアドレスを指定して入力します。このアドレスがエッジ装置のLAN-I/FのIPアドレスとして設定されます。
ホットスタンバイ構成の場合は、Primary側のIPアドレスとして設定されます。
例:192.168.100.1
LANインターフェースのセカンダリIPアドレス
設定値:LAN I / Fで利用するIPアドレスのテキスト
シングル構成及びコールドスタンバイ構成時には利用しません。
ホットスタンバイ構成のSecondary側のIPアドレスとして設定されます。
コメント
0件のコメント
記事コメントは受け付けていません。