Cisco Meraki Japan

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

レイヤ 3 ファイアウォール ルールを使用すると、管理者は発信クライアント トラフィックをきめ細かくアクセス制御できます。MR シリーズでは、発信トラフィックとは有線 LAN またはインターネット宛のワイヤレス ネットワークから発信されるクライアント トラフィックのことを指します。MX では、発信トラフィックとはある VLAN から別の VLAN へのトラフィック、またはインターネットまたはスタティック LAN ルート上にあるリモート ネットワーク宛の LAN から発信されるトラフィックのことを指します。 この記事では、MR シリーズ アクセス ポイント、MX セキュリティ アプライアンス、または Z1 テレワーカー ゲートウェイ上でレイヤ 3 ファイアウォール ルールを使用する方法について説明します。

 

MX または Z1 上のレイヤ 3 ファイアウォール ルールは、プロトコル、送信元 IP アドレスとポート、および宛先 IP アドレスおよびポートに基づくことができます。 MR 上のレイヤ 3 ファイアウォール ルールは、宛先アドレスおよびポートに基づくことができます。 ダッシュボードには、ルールを数値順に表示します。ルールは、ルール番号 1 から始まって上から下へ評価されます。一致した最初の規則が適用されると、それより後の規則は評価されません。一致する規則がない場合は、デフォルトの規則(すべてのトラフィックを許可)が適用されます。

 

レイヤ 3 ファイアウォール ルールのフィールドの説明を次に示します。

  • #:特定のファイアウォール ルールの連番。
  • ポリシー(Policy):トラフィックがルールに一致したときにファイアウォールが取るべきアクションを指定します。一致するトラフィックは許可または拒否されます。
  • プロトコル(Protocol):発信トラフィックで一致するプロトコル(TCP、UDP、ICMP、ANY)を指定します。
  • 送信元(Source)(MX/Z1 のみ):発信トラフィックで一致する送信元 IP アドレスまたはネットワーク アドレスを CIDR 表記で指定します。"すべてのネットワークを指定するために Any も使用できます。
  • 送信元ポート(Src port)(MX/Z1 のみ):発信トラフィックで一致する送信元ポート番号を指定します。これは、単一のポート、ポートの範囲、カンマ区切りの複数のポート、または「any」を指定できます。  
  • 接続先(Destination):発信トラフィックで一致する宛先 IP アドレスまたはネットワーク アドレスを CIDR 表記で指定します。"すべてのネットワークを指定するために Any も使用できます。VLAN 間ルーティングを処理する MX があるネットワークでは、トラフィックをブロックするルールを設定した場合でも、接続先サブネット上の MX の IP アドレスに ping 経由でアクセスできる可能性があります。これは MX 上でソフトウェア ルーティングを使用するためであり、セキュリティ リスクはありません。接続先サブネット上のホスト デバイスは、ルールに従って引き続きブロックされます。
  • 接続先ポート(Dst port):発信トラフィックで一致するリモート ポート番号を指定します。MX では、単一のポート、またはカンマ区切りの複数のポートを指定できます。MR では、単一のポート、またはポートの範囲を指定できます。
  • コメント(Comment):ルールの説明。
  • ヒット数(Hits)(MX/Z1 のみ):ルールが適用された回数を反映するカウンタ。カウンタは、ページにアクセスするたびに開始します。
  • アクション(Actions):ルールの順序を削除または変更するためのオプション。
  • ロギング(Logging):syslog レポートが有効な場合、特定のルールでレポートするかどうかを示します。

設定例

使用例 1:以下の例では、ネットワーク 10.0.0.0/8 から発信されるネットワーク 192.168.1.0/24 宛のすべての IP トラフィックをブロックします。ただし、ネットワーク 192.168.1.0/24 から発信される 10.0.0.0/8 宛のトラフィックをブロックしたり、インターネットなどのその他のリモート ネットワークへのアクセスをブロックしたりはしません。 

 

efe9cad8-f128-4acb-9c97-1d2342040b65

 

以下の規則に基づいて、10.0.0.0/8 ネットワークから発信される 192.168.1.0/24 ネットワーク宛のすべてのトラフィックは、最初に評価されるルール 1 に一致します。このルールの「ポリシー」では「拒否」アクションを指定しているため、ルールがヒットするとファイアウォールはすべてのトラフィックをブロックします。デフォルトのルールである 2 番目のルールは、暗黙的全許可を適用します。その他のすべてのトラフィックがこのルールに一致します。どちらのネットワーク上のホストも、その他のリモート ネットワークにデータを送信できます。 

注:[プロトコル(Protocol)] メニューから [ANY] を選択した場合、この設定はすべての IP トラフィックに一致するため、[送信元ポート(Src port)] と [接続先ポート(Dst port)] の選択がグレー表示になります。

 

使用例 2:以下の例では、ネットワーク 10.0.0.0/8 内の任意のホストが TCP ポート 80 でリッスンしている Web サーバ 192.168.1.254 にアクセスできるようにします。ただし、10.0.0.0/8 内のホストやホスト 192.168.1.254 からのその他の発信トラフィックはブロックします。

 

d212ac37-2e38-4c60-9b0d-f277b3b6048b

 

以下の規則に基づいて、10.0.0.0/8 ネットワーク上の任意のホストから発信される Web サーバ 192.168.1.254 の TCP ポート 80 宛のトラフィックは許可されます。ローカル ホストは、リモート ホスト上のサービスと通信するときに、通常はエフェメラル送信元ポートを選択し、リモート ホスト上のサービスが使用するポートにトラフィックを送信します。これが、このルールの送信元ポートに [Any] が設定される理由です。"最後に処理される暗黙的許可ルールがあり、10.0.0.0/8 ネットワーク上のホストおよび Web サーバからのその他すべての発信トラフィックに対して「拒否」アクションを実行するため、全拒否ルールが必要です。このルールは、ルール 1 の直後に評価される必要があります。ファイアウォールはステートフルであるため、Web サーバから 10.0.0.0/8 ネットワーク上のホストへの応答は拒否ルールのバイパスが許可されます。これは、接続がすでに確立されているためです。2 番目に処理される拒否ルールは、Web サーバへのトラフィックに加えてその他すべてのトラフィックに一致します。  

 

注:Cisco Meraki ファイアウォールは、固有の全許可ルールを実装します。このルールは変更できず、処理される最後のルールになります。ファイアウォール ルールは上から順に処理されます。