Citrix SD-WAN Orchestrator

セキュリティ

ネットワーク暗号化、仮想パス IPsec、ファイアウォール、証明書などのセキュリティ設定を構成できます。これらの設定は、ネットワーク上のすべてのアプライアンスに適用されます。

ファイアウォールゾーン

ネットワーク内にゾーンを設定し、トラフィックがゾーンに出入りする方法を制御するポリシーを定義できます。デフォルトでは、次のゾーンを使用できます。

  • default_lan_Zone: ゾーンが設定されていない設定可能なゾーンを持つオブジェクトへのトラフィックまたはオブジェクトからのトラフィックに適用されます。
  • Internet_Zone: 信頼できるインターフェイスを使用するインターネットサービスへのトラフィックまたはインターネットサービスからのトラフィックに適用されます。
  • Untrusted_Internet_Zone: 信頼できないインターフェイスを使用するインターネットサービスへのトラフィックまたはインターネットサービスからのトラフィックに適用されます。

ファイアウォールゾーン

独自のゾーンを作成して、次のタイプのオブジェクトに割り当てることもできます。

  • 仮想ネットワーク インターフェイス
  • イントラネットサービス
  • GREトンネル
  • LAN IPsec トンネル

[ 構成の確認] をクリックして 、監査エラーを検証します。

ファイアウォールのデフォルト

SD-WAN ネットワーク内のすべてのアプライアンスに適用できるグローバルファイアウォール設定を構成できます。この設定は、グローバル設定よりも優先されるサイトレベルで定義することもできます。

ファイアウォールのデフォルト

  • デフォルトのファイアウォールアクション:ポリシーと一致しないパケットについて、リストからアクション(許可/ドロップ)を選択します。

  • デフォルトの接続状態トラッキング:フィルタポリシーまたは NAT 規則に一致しない TCP、UDP、および ICMP フローに対して、方向接続状態トラッキングを有効にします。

    ファイアウォールポリシーが定義されていない場合でも、 ** デフォルトの接続状態追跡が有効になっている場合、非対称フローはブロックされます。サイトで非対称フローが発生する可能性がある場合、グローバルではなく、サイトまたはポリシーレベルで有効にすることが推奨されます。

  • 拒否タイムアウト: 拒否された接続を閉じるまでに新しいパケットを待機する時間 (秒)。

  • TCP 初期タイムアウト: 不完全な TCP セッションを閉じる前に新しいパケットを待機する時間 (秒)。

  • TCP アイドルタイムアウト:アクティブな TCP セッションを閉じる前に新しいパケットを待機する時間(秒)。

  • TCP 終了タイムアウト: 終了要求の後に TCP セッションを閉じる前に、新しいパケットを待機する時間 (秒)。

  • TCP 時間待機タイムアウト: 終了した TCP セッションを閉じる前に新しいパケットを待機する時間 (秒)。

  • TCP クローズタイムアウト: 中止された TCP セッションを閉じる前に新しいパケットを待機する時間 (秒)。

  • UDP 初期タイムアウト:双方向トラフィックを受信していない UDP セッションを閉じる前に、新しいパケットを待機する時間(秒)。

  • UDP アイドルタイムアウト:アクティブな UDP セッションを閉じる前に新しいパケットを待機する時間(秒)。

  • ICMP 初期タイムアウト:双方向トラフィックを見ていない ICMP セッションを閉じる前に、新しいパケットを待機する時間(秒)

  • ICMP アイドルタイムアウト:アクティブな ICMP セッションを閉じる前に新しいパケットを待機する時間(秒)。

  • 汎用初期タイムアウト:双方向トラフィックを受信していない汎用セッションを閉じる前に、新しいパケットを待機する時間(秒)。

  • 汎用アイドルタイムアウト:アクティブな汎用セッションを閉じる前に新しいパケットを待機する時間(秒)。

[ 構成の確認] をクリックして 、監査エラーを検証します。

ファイアウォールプロファイル

ファイアウォールプロファイルは、一致基準に応じてネットワークトラフィックが特定のファイアウォールルールにのみ制限されるようにし、特定のアクションを適用することにより、セキュリティを提供します。** ファイアウォールプロファイルには、3 つのセクションがあります。

  • グローバルプロファイル — グローバルプロファイルは、2 つのファイアウォールルールの集約です。[ グローバルプロファイル] セクションで作成したプロファイルは、ネットワーク内のすべてのサイトに適用されます。
  • サイト固有のプロファイル — 定義済みのファイアウォールルールを、特定の特定のサイトに適用できます。
  • グローバル上書きプロファイル — グローバルオーバーライドプロファイルを使用して 、グローバルプロファイルとサイト固有のプロファイルの両方をオーバーライドできます

ファイアウォールプロファイル

ファイアウォールルールを定義し、優先順位に基づいて配置できます。優先順位は、リストの上、リストの下部、または特定の行から開始するように選択できます。

アプリケーションまたはサブアプリケーションに対してより具体的なルールを上部に配置し、さらに広いトラフィックを表すルールについてはあまり具体的でないルールを設定することをお勧めします。

ファイアウォールのデフォルト

ファイアウォールルールを作成するには、[ Create New Rule] をクリックします

ファイアウォールポリシーの詳細

  • すべてのファイアウォールルールを適用する場合は、プロファイル名を指定し、[ Active Profile] チェックボックスをオンにします。
  • 一致基準は、アプリケーション、カスタム定義アプリケーション、アプリケーショングループ、アプリケーションファミリ、IP プロトコルベースなど、ルールのトラフィックを定義します。

  • フィルタ条件:

    • 送信元ゾーン: 送信元ファイアウォールゾーン。

    • 宛先ゾーン: 宛先ファイアウォールゾーン。

    • [ ソースサービスタイプ]: ソース SD-WAN サービスタイプ — [ローカル]、[仮想パス]、[イントラネット]、[IP ホスト]、または [インターネット] は、サービスタイプの例です。

    • ソースサービス名: サービスタイプに関連付けられたサービスの名前。たとえば、ソースサービスの種類に仮想パスが選択されている場合は、特定の仮想パスの名前になります。これは必ずしも必要ではなく、選択したサービスタイプによって異なります。

    • 送信元 IP: ルールが照合に使用する IP アドレスとサブネットマスク。

    • ソースポート: 特定のアプリケーションが使用する送信元ポート。

    • 宛先サービスタイプ: 宛先の SD-WAN サービスタイプ — [ローカル]、[仮想パス]、[イントラネット]、[IP ホスト]、または [インターネット] は、サービスタイプの例です。

    • [ 宛先サービス名]: サービスタイプに関連付けられたサービスの名前。これは必ずしも必要ではなく、選択したサービスタイプによって異なります。

    • Dest IP: フィルターが一致するために使用する IP アドレスとサブネットマスク。

    • Dest Port: 特定のアプリケーションが使用する宛先ポート (TCP プロトコルの HTTP 宛先ポート 80)。

    • [ IP プロトコル]: この一致タイプが選択されている場合は、規則が一致する IP プロトコルを選択します。オプションには、任意、TCP、UDP ICMP などがあります。

    • DSCP: ユーザが DSCP タグ設定を照合できるようにします。

    • フラグメントを許可:このルールに一致する IP フラグメントを許可します。

    • 逆方向: このフィルタポリシーのコピーを自動的に追加して、ソースとデスティネーションの設定を逆にします。

    • [ 一致確立]: 発信パケットが許可された接続の着信パケットを照合します。

  • 一致したフローに対して、次のアクションを実行できます。

    • 許可: ファイアウォールを通過するフローを許可します。

    • Drop: パケットをドロップして、ファイアウォールを通過するフローを拒否します。

    • 拒否:ファイアウォールを通過するフローを拒否し、プロトコル固有の応答を送信します。TCP はリセットを送信し、ICMP はエラーメッセージを送信します。

    • [ Count and Continue]:このフローのパケット数とバイト数をカウントし、ポリシーリストの下に進みます。

実行するアクションを定義する以外に、キャプチャするログを選択することもできます。

[ 構成の確認] をクリックして 、監査エラーを検証します。

ネットワーク暗号化

ネットワーク全体で使用する暗号化メカニズムを選択します。SD-WAN ネットワーク全体をセキュリティで保護するグローバルセキュリティ設定を構成できます。

ネットワーク暗号化モードは、SD-WAN ネットワーク内のすべての暗号化パスに使用されるアルゴリズムを定義します。暗号化されていないパスには適用されません。暗号化は、AES-128 または AES-256 に設定できます。

ネットワーク暗号化モード

侵入防止

侵入防止システム (IPS) は、悪意のあるアクティビティを検出し、ネットワークへの侵入を防ぎます。IPS はネットワークトラフィックを検査し、すべての着信トラフィックフローに対して自動化されたアクションを実行します。

IPS はシグニチャベースの検出を使用します。この検出は、着信パケットを一意に識別可能なエクスプロイトおよび攻撃パターンのデータベースと照合します。

シグニチャデータベースは、毎日自動的に更新されます。何千ものシグニチャが存在するため、シグニチャは [カテゴリ] と [クラス] タイプにグループ化されます。特定のカテゴリまたはクラスタイプのシグネチャ属性を選択して、侵入防止ルールを作成できます。一致するルールがある場合、IPS はルールのアクションに基づいてパケットをブロック、ブロック、または許可します。

ネットワーク全体に対して IPS ルールをグローバルに作成し、セキュリティプロファイルの定義中に侵入防止を有効または無効にすることができます。

  • Intrusion Prevention はコンピューティングに敏感なプロセスであるため、Edgeセキュリティ展開に関連する最小限のシグネチャカテゴリのみを使用します。
  • SD-WAN ファイアウォールは、ポート転送されず、IPS エンジンに表示されないすべての WAN L4 ポート上のトラフィックをドロップします。これにより、些細なDOS攻撃やスキャン攻撃に対する追加のセキュリティレイヤーが提供されます。

侵入防止ルールを作成するには、ネットワークレベルで、[ 構成] > [ **セキュリティ ]> [ **侵入防止 ] に移動し、[ 新しいルール] をクリックします

侵入防止がルールを作成

ルールの名前と説明を入力します。一致カテゴリまたはクラスタイプのシグニチャ属性を選択し、ルールアクションを選択して有効にします。次のルールアクションから選択できます。

ルールアクション 機能
推奨 シグニチャごとに推奨されるアクションが定義されています。シグニチャに対して推奨されるアクションを実行します。
ログを有効にする ルール内のいずれかのシグニチャに一致するトラフィックを許可し、ログに記録します。
[推奨] が有効な場合はブロックを有効にする ルールのアクションが [ 推奨 ] で、シグニチャの推奨アクションが [Enable Log] の場合は、ルール内のシグニチャのいずれかに一致するトラフィックを削除します。
ブロックを有効にする ルール内のシグニチャのいずれかに一致するトラフィックをドロップします。
無効化 シグニチャは無効です。ロギングなしで宛先へのトラフィックが続行することを許可します。
許可リスト シグニチャの送信元ネットワークと宛先ネットワークは、許可リスト変数によって定義されたネットワークを除外するように変更されます。

ルールページ

セキュリティプロファイルを定義し、侵入防止ルールを有効または無効にすることができます。セキュリティプロファイルは、ファイアウォールルールを作成するために使用されます。詳細については、「 セキュリティプロファイル-侵入防止」を参照してください

仮想パスの IPSec 設定

[ 仮想パス IPsec 設定] では、静的仮想パスと動的仮想パス上でのデータの安全な転送を保証するために、IPSec トンネル設定を定義します。[ 静的仮想パス IPsec] タブまたは [ 動的仮想パス IPSec ] タブを選択して、IPSec トンネル設定を定義します。

  • カプセル化の種類: 次のいずれかのセキュリティタイプを選択します。
    • ESP: データはカプセル化され、暗号化されます。
    • ESP+認証: データはカプセル化、暗号化、およびHMACで検証されます。
    • AH: データはHMACで検証されます。
  • 暗号化モード: ESP が有効になっているときに使用される暗号化アルゴリズム。
  • ハッシュアルゴリズム:HMACを生成するために使用されるハッシュアルゴリズム。
  • ライフタイム:IPSec セキュリティアソシエーションが存在するのに推奨される期間(秒単位)。無制限の場合は 0 を入力します。

IPSec サービスの構成については、「 IPSec サービス」を参照してください

仮想パスの IPSec 設定

[ 構成の確認] をクリックして 、監査エラーを検証します。

証明書

証明書には、「アイデンティティ」と「信頼済み」の 2 種類があります。ID 証明書は、メッセージの内容と送信者の身元を検証するために、データの署名または暗号化に使用されます。信頼された証明書は、メッセージ署名の検証に使用されます。Citrix SD-WAN アプライアンスは、ID証明書と信頼された証明書の両方を受け入れます。管理者は、構成エディタで証明書を管理できます。

証明書

[ 構成の確認] をクリックして 、監査エラーを検証します。

証明書を追加するには、[ 証明書の追加] をクリックします

  • 証明書名: 証明書名を指定します。

  • [ 証明書の種類]: ドロップダウンリストから証明書の種類を選択します。

    • ID 証明書: ID 証明書には、証明書の秘密鍵が署名者が利用できる必要があります。ID 送信者の内容と ID を検証するためにピアによって信頼される証明書またはその証明書チェーン。構成されたアイデンティティ証明書とそれぞれのフィンガープリントが、構成エディタに表示されます。

    • 信頼された証明書: 信頼された証明書は、ピアの ID を検証するために使用される自己署名、中間認証局 (CA) またはルート CA 証明書です。信頼された証明書には秘密キーは必要ありません。構成された信頼された証明書とそれぞれのフィンガープリントがここに表示されます。

セキュリティ証明書

セキュリティ