注意
注: 既存サイトLANファイアウォールルールのアカウントレベルポリシーへの自動移行
Socket Next Gen LAN Firewallを最近リリースしました。これによりアカウントレベルの設定とレイヤー7の施行が可能となります。 2025年7月1日から、既存のサイトレベルのLANファイアウォールルールをアカウントレベルのポリシーに移行します。
- 各サイトレベルのルールは、新しいポリシーでネットワークルールとして自動的に設定され、ルーティングの指定とトラフィックの許可またはブロック用のファイアウォールルールとして設定されます。
- 各サイトのルールは、ルールベース内の別々のセクションとして追加されます。
- 移行はシームレスで自動的なプロセスであり、サービスの中断は予想されません。
- ポリシーを7月1日前に移行したい場合は、ea@catonetworks.comまでお問い合わせください。
概要
ソケットのデフォルトの動作は、すべてのWANとインターネットのトラフィックをセキュリティ検査のためにPoPに転送することです。 これには、サイト内の隣接するネットワークセグメント間のLANトラフィック(例:VLAN)が含まれます。 いくつかのシナリオでは、デフォルトの動作を上書きし、トラフィックをCato PoPに送信せずに、ソケット上で直接2つのネットワークセグメントまたはホスト間の通信を許可またはブロックするように、サイト内のソケットを構成することができます。 LAN ファイアウォールポリシーを使用すると、ソケットで直接LANトラフィックを許可またはブロックするためのルールを構成できます。 オプションで、各ルールの追跡(イベント)を有効にすることができます。
注意
注: LAN ファイアウォールはローカルルーティングポリシーの強化版です。 詳細は以下のLAN ファイアウォール使用の前提条件およびローカルルーティングポリシーをLANファイアウォールにアップグレードするを参照してください。
LAN ファイアウォールを使用すると、必要に応じてポリシーを作成することで、ソケットレベルで特定の種類のトラフィックをブロックまたは許可することができます。
以下の図は、LAN1からLAN2へのトラフィックを許可するLAN ファイアウォールルールを示しています。
この図は、LAN1からLAN2へのトラフィックをブロックするLAN ファイアウォールルールを示しています。
以下はLAN ファイアウォールの構成ルールベースのサンプルです。 各ルールは以下に説明します:
ルール 1 - 『ゲストをブロック』 - このルールは、『Guest-Wifi』ネットワークを使用しているホストがサイト内のすべての他のホストまたは内部リソースにアクセスするのを防止し、これらのイベントを追跡します。 ホストは引き続きインターネットにアクセスできます。
ルール 2 - 『ファイル共有を許可』 - このルールは、『Corp-Users』ネットワークに接続されたホストのみがHTTPSまたはSMB (TCP/445)で『File-Servers』ローカルネットワーク内のサーバーに接続することを許可します。 各フローはイベントで追跡されます。 このローカルでの許可ポリシーにより、トラフィックがサイトでローカルに管理され、トンネルを通過しないため、ネットワーク間のSMBおよびHTTPSのトンネルオーバーヘッドが削減されます。
ルール 3 - 'CCTVサーバーを許可する' - このルールは、'IOT-Cameras' ネットワークから、HTTPS を介してのみ 'IOT-File-Servers' ネットワークへの接続を許可します。 各フローはイベントで追跡されます。
暗黙の動作 - その他のルールベースで定義されていないホストトラフィックは、'File-Servers'に戻る前に検査のためにCato PoPに送信されます。 例えば、'Corp-Users' から 'File-Servers' への TCP/21 (FTP) のトラフィックは、サンプルのルールベースと一致せず、デフォルトの動作(トラフィックをCato PoPに送信する)をトリガーします。
LAN ファイアウォールポリシーは、最初に構成されたルールから最後のルールまでの順序で処理されます。 ルールが一致するとアクションが適用されます。 それ以外の場合、デフォルトでトラフィックはCato PoPに送信されます。
ルールベースの上にあるルールは優先順位が高く、ルールベースの下にあるルールよりも接続に適用されます。 例えば、接続がルール#3に一致する場合、アクションが接続に適用され、ファイアウォールはその検査を停止します。 ファイアウォールは接続に対してルール#4以降を引き続き適用しません。 LAN ファイアウォールの効率を向上させ、多くの接続と一致するルールに高い優先順位を付けることができます。
LANファイアウォールは、既存のローカルルーティングポリシーの拡張機能です。 この機能はサイトごとに有効になります。
サイト内のすべてのソケットでソケットバージョン18.0以上が実行されていることを確認してください。
-
サイトにローカルルーティングルールが構成されていない場合、それをLANファイアウォールポリシーに直ちにアップグレードできます
-
サイトにローカルルーティングルールが設定済みの場合は、ローカルルーティングルールをLANファイアウォールへ移行しますローカルルーティングポリシーをLANファイアウォールへアップグレードを参照してください
-
LANファイアウォールにアップグレードした後、機能を有効にします(画面の右上にあるLANファイアウォール有効トグル)。
この機能が無効になっている場合、すべてのトラフィックはPoPに送信されます。
このセクションでは、LANファイアウォールと、構成可能なオブジェクト、ポート、およびサービスのルールを定義する方法について説明します。
新しいLANファイアウォールルールを作成し、LANトラフィックのルーティングを管理するためにルールの設定を構成します。 ルールを下に追加オプションを使用して、ルールベースの適切な場所にルールを簡単に追加します。
注意
注意: 新しい設定をソケットに適用するには、最大で1分かかる場合があります。
LANファイアウォールルールを定義するには:
-
ナビゲーションメニューからネットワーク > サイトをクリックし、サイトを選択します。
-
ナビゲーションメニューからサイト設定 > LANファイアウォールをクリックします。
-
新規をクリックします。 ルールを追加パネルが開きます。
-
一般セクションで:
-
新しいルールの名前を入力します。
-
デフォルトでは、ルールは有効です。 有効トグルを使用してルールを無効にできます。
-
方向 で、宛先 を選択して一方向のトラフィックを有効にするか、両方 を選択して双方向のトラフィックを有効にします。
-
ルール順序 を選択します。 具体的な ルールには高いルール順序を設定し、具体的でないルールには低いルール順序を設定することをお勧めします。
注意: ルール順序の設定に関する詳細は、「LAN ファイアウォールルールベースの使用」セクションをご参照ください。
-
-
送信元 と 宛先 セクションを展開し、このルールのトラフィック送信元と宛先エンティティを定義します。
-
サービス/ポート セクションを展開し、このルールが適用されるプロトコルを選択します。
-
ポート/プロトコル を選択した場合、関連するポートとプロトコルを「プロトコル/ポート」形式で定義します。 TCP/80-88、UDP/53、ICMP など)
-
シンプルサービス を選択した場合、関連するレイヤー4サービスを選択します。
定義済みサービスリストは、各サービスのRFC定義に基づいています。
-
-
NAT セクション:
-
NATを有効化 - オプションとして、アウトゴーイングインターフェースでNATを有効にします。 すべての送信元IPを一つのNAT IPに変換します。
-
-
アクション セクション:
-
ローカルで許可 - このアクションは、ソケットLANネットワーク間でのローカルトラフィックの一致を許可します。
-
ローカルでブロック - このアクションは、ソケットLANネットワーク間での一致するローカルトラフィックをブロックします。
注意: トラフィックがいずれのルールにも一致しない場合、デフォルトのアクションは PoP へ送信 です。
-
-
アクション セクションの トラック の下:
-
オプションとして、イベント チェックボックスを有効にします。 一致した場合、このルールのためにイベントが生成されます。
-
-
適用 をクリックし、その後保存 をクリックします。
サイト内のLANネットワーク間でNATを使用する必要があるシナリオがあります。これは、直接接続されている2つ(またはそれ以上)のネットワーク間、またはルーテッドネットワーク(静的ルートまたはBGPルート)の間で使用されることがあります。
-
NATはTo方向でのみ設定可能です。
-
ルールの設定を保存すると、Cato管理画面が自動的にそのルールのアウトバウンドネットワークとアウトバウンドIPを計算します。
以下のソースおよび送信先オブジェクトを定義できます:
-
グローバルレンジ - サイトのLANインターフェース用のネイティブ範囲。
-
ホスト - サイト内で定義されたホストおよびサーバー。
-
インタフェースサブネット - VLAN、ルーテッド、またはダイレクト範囲、またはセカンダリAWS vSocketネイティブ範囲。
-
ネットワークインターフェース - サイトのLANインターフェースのために定義されたサブネットおよびネットワーク範囲。
-
いずれか - サイト内のいずれかの送信元または送信先。
選択的に、LANファイアウォールで定義された各ルールに対してイベントトラッキングを有効にできます。
注意
注意: LANファイアウォールトラフィックは、アプリおよびネットワーク分析ダッシュボードに表示されません。
イベントはサイト監視 > イベントに表示されます。
-
イベントタイプ - セキュリティ
-
サブタイプ - LAN ファイアウォール
LAN ファイアウォールイベントをフィルタリングするには:
-
ホーム > イベントに移動します。
-
フィルタをクリックし、関連するフィールド、演算子、値を選択します。
-
フィールド - フィルタとして複数のフィールドを選択できます。 例えば、「送信元サイト」または「サブタイプ」(LAN ファイアウォール)でフィルタリングすることを選択できます
-
演算子 - 特定の値(該当, 非該当)や複数の値(含む, 含まない)を含めるか除外するかを選択します。例えば、"送信元サイト" に演算子 "含む" を使用すると、複数の送信元サイトを値として選択できます。
-
値 - フィールドの値です。
-
-
フィルタを追加をクリックします。
以下の例では、LAN ファイアウォールイベントの詳細を確認できます。
-
アクション - ブロックまたはモニタ。 (トラフィックはLAN ファイアウォールによってローカルでブロックまたは許可されました)
-
設定済みホスト名 - 送信元IPの追加ホスト情報、利用可能な場合。
-
サブタイプ - LAN ファイアウォール。 LAN ファイアウォールによって生成されるすべてのイベントにはこのサブタイプがあります。
-
ルール - このイベントを生成した定義済みのルール名。
WANやインターネットファイアウォールと異なり、イベントはCato PoPによって生成され、LAN ファイアウォールイベントはソケット自体で生成されます。 これらのイベントは、Cato管理画面に保存されるためにサイトトンネル経由で送信されます。
トンネル全体のトラフィックは、デフォルトのQoS優先度が255であり、追加のオーバーヘッドを生成する可能性のあるLAN ファイアウォールイベントよりも優先されます。
トンネル上の追加のオーバーヘッドを避けるために、Catoは高優先度のLAN ファイアウォールルールのみを追跡することを推奨します。
0件のコメント
サインインしてコメントを残してください。