Cisco Meraki Japan

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

Meraki ダッシュボードのファイアウォール設定ページにアクセスするには、[セキュリティ アプライアンス/テレワーカー ゲートウェイ(Security Appliance/Teleworker Gateway)] > [構成(Configure)] > [ファイアウォール(Firewall)] に移動します。このページで、レイヤ 3 およびレイヤ 7 のアウトバウンド ファイアウォール ルール、一般公開するアプライアンス サービス、ポート フォワーディング、1 対 1 の NAT マッピング、1 対多の NAT マッピングを設定できます。

NAT モードでは、デフォルトで、アプライアンスへの ICMP トラフィックを除くすべてのインバウンド接続が拒否されます。許可するインバウンド トラフィックを追加するには、新しいポート フォワーディング ルールまたは NAT ポリシーを作成して、プロトコル、ポート、またはリモート IP アドレスを基準に明示的に接続を許可する必要があります(下記を参照)。

アウトバウンド接続はデフォルトで許可されます。場合によっては、コンプライアンスおよびセキュリティの強化を目的に、デフォルトの拒否ルールを追加する必要もあります。


アウトバウンド ルール

ここでは、許可する VLAN 間トラフィックまたは LAN からインターネットへのトラフィックを決定するために、アクセス コントロール リスト(ACL)の許可または拒否ステートメントを設定できます。プロトコル、送信元の IP アドレスとポート、宛先の IP アドレスとポートに基づいて、これらの ACL ステートメントを設定できます。アウトバウンド ルールは VPN トラフィックには適用されません。VPN ピア間のトラフィックに適用されるファイアウォール ルールを設定するには、サイト間 VPN の設定を参照してください。

 

新しいアウトバウンド ファイアウォール ルールを追加するには、[ルールを追加(Add a rule)] をクリックします。

  • [ポリシー(Policy)] フィールドでは、ACL ステートメントで指定した基準に一致するトラフィックを許可するか、またはブロックするかを決定します。
  • [プロトコル(Protocol)] フィールドでは、TCP トラフィック、UDP トラフィック、またはすべてのトラフィック([すべて(Any)])を指定できます。
  • [送信元(Sources)] および [宛先(Destinations)] フィールドでは、IP または CIDR サブネットを入力できます。複数の IP またはサブネットをカンマで区切って入力することもできます。
  • [送信元ポート(Src Port)] および [宛先ポート(Dst Port)] フィールドでは、ポート番号またはポート範囲を入力できます。複数のポートをカンマで区切って入力することもできます。複数のポート範囲をカンマで区切って入力することはできません。
    [コメント(Comments)] フィールドには、追加情報を入力できます。

 

[アクション(Actions)] の下で、設定したルールをリスト内で上下に移動できます。また、ルールの横にある [X] をクリックすると、そのルールをリストから削除できます。

ファイアウォール ルールのテンプレート

 

設定テンプレートからファイアウォール ルールを構成する場合は、他のオプションも使用できます。詳細については、設定テンプレート ページのテンプレート用ファイアウォール ルールに関するセクションを参照してください。

FQDN サポート

 MX 13.4 以降では、[宛先(Destinations)] フィールドに完全修飾ドメイン名(FQDN)を設定できるようになりました。

FQDN を使用して L3 ファイアウォール ルールが設定されている場合、MX’のファームウェア バージョンが MX 13.3 以前にダウングレードされると、FQDN を使用したすべてのファイアウォール設定が削除されます。バージョン 13.4 より前のファームウェアでは、L3 ファイアウォール ルールで FQDN を使用することはできません。

 

FQDN ベースの L3 ファイアウォール ルールは、スヌーピング DNS トラフィックに基づいて実装されます。クライアント デバイスが Web リソースにアクセスしようとすると、MX はそのクライアント デバイスに返される Web リソースの IP を把握するために、DNS 要求と応答を追跡します。 

 

この設定を使用/テストする際は、以下の重要な考慮事項に注意してください。

  1. 適切な IP マッピングを把握するには、MX がクライアントの DNS 要求とサーバの応答を確認できる必要があります。クライアントと DNS サーバは VLAN 内で通信することはできません(この DNS トラフィックがスヌーピングされません)。
  2. 場合によっては、クライアント デバイスが、アクセス先となる Web リソースの IP 情報をすでに取得しています。その理由としては、クライアントが以前の DNS 応答をキャッシュに保存している場合や、デバイス上でローカルかつ静的に DNS エントリが設定されている場合などが考えられます。この場合、MX での検査用にクライアント デバイスが DNS 要求を生成しなければ、MX は Web リソースへの通信を適切にブロック/許可できません。

 

以下に設定例を示します。

 

正常に動作させるためには、MX のレイヤ 3 ファイアウォールで DNS トラフィックを許可する必要があります。DNS をブロックすると、MX はホスト名と IP アドレスのマッピングを学習できなくなるため、想定どおりにトラフィックをブロック/許可できません。

 

さらに、FQDN ベースのファイアウォール ルールを適用するには、ネットワークでホスト名の可視性を有効にするする必要があります。


セルラー フェールオーバー ルール

アプライアンスがフェールオーバーし、セルラー モデムをアップリンクとして使用するようになると、既存のアウトバウンド ルールにセルラー フェールオーバー ルールが追加されます。セルラー トラフィックをビジネスに不可欠な用途に限定し、不要なセルラー カバレッジを防ぐには、これが役立ちます。

アプライアンス サービス

  • [ICMP ping]:指定のアドレスから送信されるインバウンド ICMP ping 要求に MX が応答できるようにするには、この設定を使用します。リモート IP アドレス フィールドで使用できる値は、[なし(None)]、[すべて(Any)]、または特定の IP 範囲(CIDR 表記を使用)です。複数の IP 範囲をカンマで区切って指定することもできます。範囲ではなく特定の IP アドレスを追加するには、X.X.X.X/32 の形式で指定します。
  • [Web(ローカル ステータスおよび設定)(Web (local status & configuration))]:この設定を使用して、MX の WAN IP を介したローカル管理ページ(wired.meraki.com)へのアクセスを許可または無効にします。リモート IP フィールドで使用できる値は、[ICMP Ping] で使用できる値と同じです。
  • [SNMP]:WAN からのアプライアンスの SNMP ポーリングを許可するには、この設定を使用します。リモート IP フィールドで使用できる値は、[ICMP Ping] で使用できる値と同じです。

レイヤ 7 ファイアウォール ルール

Meraki 独自のレイヤ 7 トラフィック分析テクノロジーを使用すると、IP アドレスやポート範囲を指定することなく、特定の Web ベースのサービス、特定の Web サイト、または特定のタイプの Web サイトをブロックするファイアウォール ルールを作成できます。この機能が特に役立つのは、アプリケーションや Web サイトが複数の IP アドレスを使用したり、IP アドレスやポート範囲が変更されたりする可能性がある場合です。

カテゴリ(たとえば「すべてのビデオおよび音楽サイト」)を基準にアプリケーションをブロックすることも、カテゴリ内の特定のタイプのアプリケーション(たとえば「すべてのビデオおよび音楽サイト」カテゴリ内の iTunes のみ)をブロックすることもできます。以下の図には、カテゴリ全体でアプリケーションをブロックするルールと、1 つのカテゴリ内で特定のアプリケーションをブロックするルールを含む、一連のレイヤ 7 ファイアウォール ルールが示されています。

また、HTTP ホスト名、宛先ポート、リモート IP 範囲、および宛先 IP/ポートの組み合わせに基づいてトラフィックをブロックすることも可能です。

Geo-IP ベースのファイアウォール適用

また、レイヤ 7 ファイアウォールを使用すると、インバウンド トラフィックの送信元の国に基づいてトラフィックをブロックしたり、アウトバウンド トラフィックの宛先の国に基づいてトラフィックをブロックしたりすることもできます。そうするには、新しいレイヤ 7 ファイアウォール ルールを作成し、[アプリケーション(Application)] ドロップダウンから [国...(Countries...)] を選択します。指定した国(複数可)との間でトラフィックを全面的にブロックするか、あるいは指定した国(複数可)以外の国との間でトラフィックを全面的にブロックするかを選択できます。

Geo-IP ファイアウォール ルールは、Advanced Security Edition でのみ使用可能です。


フォワーディング ルール

この領域は、必要に応じてポート フォワーディング ルールと 1 対 1 NAT マッピングを設定するために使われます。

ポート フォワーディング

このオプションは、特定のポート上の MX の WAN IP を宛先とするトラフィックをローカル サブネット内または VLAN 内の任意の IP アドレスに転送する場合に使われます。新しいポート フォワーディングを作成するには、[ポート フォワーディング ルールを追加(Add a port forwarding rule)] をクリックします。以下の情報を指定する必要があります。

  • [説明(Description)]:ルールの説明。

  • [アップリンク(Uplink)]:リッスンする対象として、インターネット 1 のパブリック IP、インターネット 2 のパブリック IP、またはその両方を指定します。
  • [プロトコル(Protocol)]:TCP または UDP。
  • [パブリック ポート(Public port)]:WAN に到着するトラフィックの宛先ポート。
  • [LAN IP]:トラフィックの転送先となるローカル IP アドレス。
  • [ローカル ポート(Local port)]:MX から LAN 上の指定のホストに送信される転送トラフィックの宛先ポート。ポートを変換せずに単にトラフィックを転送するだけの場合は、これを [パブリック ポート(Public port)] フィールドと同じ設定にしてください。
  • [許可するリモート IP(Allowed remote IPs)]:このポート フォワーディング ルールを介して内部リソースへのアクセスを許可するリモート IP アドレスまたは範囲。

 

ポートの範囲を転送するポート フォワーディング ルールを作成することもできます。ただし、[パブリック ポート(Public port)] フィールドで設定する範囲は、[ローカル ポート(Local port)] フィールドで設定する範囲と同じ長さでなければなりません。パブリック ポートは、設定範囲内の対応するローカル ポートに転送されます。たとえば、TCP 223 ~ 225 を TCP 628 ~ 630 に転送する場合、ポート 223 は 628 に、ポート 224 は 629 に、ポート 225 は 630 に、といった具合で変換されます。

1 対 1 の NAT

このオプションは、(MX 自体の WAN IP を除く)MX の WAN 側の IP アドレスをネットワーク上のローカル IP アドレスにマッピングする場合に使用します。新しいマッピングを作成するには、[1 対 1 の NAT マッピングを追加(Add a 1:1 NAT mapping)] をクリックします。以下の情報を指定する必要があります。

  • [名前(Name)]:ルールの記述名を入力します。
  • [パブリック IP(Public IP)]:WAN から内部リソースにアクセスするために使用される IP アドレス。
  • [LAN IP]:WAN 上で使用可能にする内部リソースをホストしているサーバまたはデバイスの IP アドレス。
  • [アップリンク(Uplink)]:トラフィックが到着する物理的な WAN インターフェイス。
  • [許可するインバウンド接続(Allowed inbound connections)]:このマッピングでアクセス可能にするポートと、リソースへのアクセスを許可するリモート IP。インバウンド接続を有効にするには、[他の接続を追加(Allow more connections)] をクリックし、以下の情報を入力します。
    • [プロトコル(Protocol)]:[TCP]、[UDP]、[ICMP ping]、または [すべて(any)] のうちから選択します。
    • 「ポート(Port)]:LAN 上のホストに転送するポートまたはポート範囲を入力します。複数のポートまたは範囲をカンマで区切って指定できます。
    • [リモート IP(Remote IP)]:指定したポートまたはポート範囲でのインバウンド接続を許可される WAN IP アドレスの範囲を入力します。複数の WAN IP アドレスをカンマで区切って指定できます。

[アクション(Actions)] の下で、設定済みルールをリスト内で上下に移動できます。完全に削除するには [X] をクリックします。

1 対 1 の NAT ルールを作成しても、NAT マッピングにリストされているパブリック IP へのインバウンド トラフィックが自動的に許可されるわけではありません。デフォルトでは、すべてのインバウンド接続が拒否されます。インバウンド トラフィックを許可するには、上記で説明した [許可するインバウンド接続(Allowed inbound connections)] を設定する必要があります。

1 対多の NAT

1 対多の NAT はポート アドレス変換(PAT)とも呼ばれ 、1 対 1 の NAT よりも柔軟性があります。1 対多の NAT では、1 つのパブリック IP に、さまざまなポートと LAN IP を対象とする複数のフォワーディング ルールを指定できます。1 対多の NAT リスナー IP を追加するには、[1 対多の NAT を追加(Add 1:Many IP)] をクリックします。

  • [パブリック IP(Public IP)]:WAN から内部リソースにアクセスするために使用される IP アドレス。
  • [アップリンク(Uplink)]:トラフィックが到着する物理的な WAN インターフェイス。

1 対多の NAT エントリは、関連する 1 つのフォワーディング ルールを使って作成されます。さらにルールを追加するには、特定の 1 対多の NAT エントリの既存のルールの下にある [ポート フォワーディング ルールを追加(Add a port forwarding rule)] をクリックします。

  • [説明(Description)]:ルールの説明。

  • [プロトコル(Protocol)]:TCP または UDP。
  • [パブリック ポート(Public port)]:WAN に到着するトラフィックの宛先ポート。
  • [LAN IP]:トラフィックの転送先となるローカル IP アドレス。
  • [ローカル ポート(Local port)]:MX から LAN 上の指定のホストに送信される転送トラフィックの宛先ポート。ポートを変換せずに単にトラフィックを転送するだけの場合は、これを [パブリック ポート(Public port)] フィールドと同じ設定にしてください。
  • [許可するリモート IP(Allowed remote IPs)]:このポート フォワーディング ルールを介して内部リソースへのアクセスを許可するリモート IP アドレスまたは範囲。

Bonjour フォワーディング

この機能を使用すると、VLAN 間で Bonjour を有効にできます。新しいフォワーディング ルールを作成するには、[Bonjour フォワーディング ルールを追加(Add a Bonjour forwarding rule)] をクリックします。

  • [説明(Description)]:ルールの名前を入力します。
  • [サービス VLAN(Service VLANs)]:ネットワーク サービスの実行場所である 1 つ以上の VLAN を選択します。これらの VALN に、クライアント VLAN からの Bonjour 要求が転送されます。
  • [クライアント VLAN(Client VLANs)]:クライアント Bonjour 要求を発信できる場所として 1 つ以上の VLAN を選択します。これらの VLAN 上の要求が、サービス VLAN に転送されます。転送できるサービスの一覧は以下のとおりです。
    • すべてのサービス
    • AirPlay
    • プリンタ
    • AFP(Apple ファイル共有)
    • スキャナ
    • iChat