ファイアウォールの設定
ファイアウォールの設定
ファイアウォールの設定はサイトレベルで行うことができます。これらの設定は、特定のサイト上のすべての SD-WAN アプライアンスにセキュリティを提供します。
サイト固有のオーバーライドファイアウォール設定を構成する手順は次のとおりです。
-
サイトレベルで、[ 構成 ] > [ 詳細設定] > [ファイアウォール設定]に移動します。
-
「 **ファイアウォール設定のオーバーライド」ドロップダウンメニューから「サイト固有のオーバーライド** 」オプションを選択します。このアクションは、特定のサイトに定義済みのファイアウォールルールを適用します。
注:
サイト固有の設定からグローバルなデフォルト設定に切り替える場合は、ドロップダウンリストから「 グローバルデフォルト 」オプションを選択します。このアクションにより、サイト固有の構成が削除され、グローバル固有のデフォルトが保持されます。
-
ファイアウォールルールが一致しない場合のアクション:ファイアウォールポリシーと一致しないパケットのアクション ([許可] または [ドロップ]) をドロップダウンリストから選択します。
-
デフォルト接続状態トラッキング:フィルタポリシーまたはNATルールと一致しないTCP、UDP、およびICMPフローの方向接続状態追跡を有効にします。
-
ソースルート検証:このチェックボックスを選択すると、送信元 IP アドレスによって決定されるパケットのルートとは異なるインターフェイスでパケットを受信すると、パケットがドロップされます。
-
FTP ALG: このチェックボックスを選択すると、FTP ALG (アプリケーション層ゲートウェイ) は TCP ポート 21 の接続を監視し、適切な NAT IP アドレスで FTP メッセージを更新します。
-
ソースあたりの最大接続数:各ソースIPアドレスが許可できる未確立接続の最大数。デフォルトでは、各ソース IP アドレスは未確立接続を無制限に許可します。
-
ソースあたりの最大新規接続数:各ソースIPアドレスが許可できる最大接続数。デフォルトでは、各ソース IP アドレスで許可される接続数に制限はありません。
-
グローバル接続タイムアウトを使用する:このチェックボックスを選択すると、SD-WAN はグローバルタイムアウト設定を有効にします。特定のタイムアウト設定を行うには、このチェックボックスをオフにします。
- 拒否タイムアウト (s): 拒否された接続を閉じる前に新しいパケットを待つ時間 (秒単位)。
- TCP 初期タイムアウト (s): 不完全な TCP セッションを閉じる前に新しいパケットを待つ時間 (秒単位)。
- TCP アイドルタイムアウト (s): アクティブな TCP セッションを閉じる前に新しいパケットを待つ時間 (秒単位)。
- TCP終了タイムアウト:終了要求後にTCPセッションを閉じる前に新しいパケットを待つ時間 (秒単位)。
- TCP Time Wait Timeouts (s): 終了した TCP セッションを閉じる前に新しいパケットを待つ時間 (秒単位)。
- TCP Closed Timeout (s): 中止された TCP セッションを閉じる前に新しいパケットを待つ時間 (秒単位)。
-
-
[保存] をクリックします。