Citrix SD-WAN でフォースポイントを使用したファイアウォールトラフィックリダイレクトのサポート

Forcepoint は次の機能をサポートしますが、SD-WAN はファイアウォールリダイレクト機能だけをサポートします。

  • PKI を使用した IPSec
  • PSK を使用した IPSec
  • PAC ファイル構成を使用したプロキシチェーン
  • 標準ヘッダーによるプロキシ連鎖
  • プロプライエタリ・ヘッダーによるプロキシ・チェーンにより、クライアントのIP範囲(パートナーシップ/開発)を構成する必要がなくなります。
  • ファイアウォールリダイレクト(宛先 NAT による透過プロキシ)

送信先 NAT ポリシーを使用すると、企業は ForcePoint を使用してクラウドでホストされるセキュリティサービスを介してインターネットトラフィックをルーティングできます。

SD-WAN アプライアンスで Destination NAT を構成し、安全なクラウドベースのファイアウォールサービスを通じてインターネットトラフィックをリダイレクトする方法を理解するには、次のユースケースを確認してください。

前提条件:

  1. Forcepointポータルサイトにログインします。インターネットトラフィックを Forcepoint にリダイレクトする必要があるエンタープライズパブリック IP アドレスを指定して、ポリシーを作成します。インターネットトラフィックのリダイレクト先となるプライマリ IP アドレスとセカンダリ IP アドレスを取得します。

  2. SD-WAN GUI で、DC サイトの SD-WAN アプライアンスで、WAN リンクに関連付けられたインターネットサービスを設定します。

  3. 宛先 NAT は、インターネットトラフィックの宛先 IP アドレスを使用して実行されます。この宛先アドレスは、Forcepoint パブリック IP アドレスに変更されます。

  4. 送信元 IP アドレスとプライマリ IP アドレスを指定して、宛先 NAT ポリシーを設定します。送信元 IP は、ポート 80(http)および 443(https)内の SD-WAN アプライアンスのインターネット IP アドレスです。このアドレスは、それぞれ外部ポート 8081(http)および 8443(https)を持つクラウドベースのファイアウォールGateway のプライマリ宛先 IP アドレスにリダイレクト/変換されます。

  5. DNATポリシーを設定したら、DC上に構成されたルートで、SD-WANネットワークIPアドレスにインターネットサービスタイプが選択されていることを確認します。

Citrix SD-WAN でのNATサポートの詳細については、以下のトピック「NAT の設定」を参照してください

ローカライズされた画像

宛先 NAT(DNAT)の設定

Citrix SD-WAN GUIを使用して、宛先NAT(DNAT)を構成します。設定で、特定の宛先 IP アドレスおよびポートに一致するトラフィックをリダイレクトする DNATポリシーを 1 つ以上追加します。

宛先 NAT を設定するには、次の手順を実行します。

SD-WAN SE/VPX GUI で、[ 構成 ] → [ 仮想WAN ] → [構成エディタ] に移動します。[ 開く ] をクリックして、既存のパッケージを開きます。保存した構成パッケージを選択します。ネットワーク構成の構築中に DNATルールを作成することもできます。

  1. DC(MCN)で、インターネットサービスを構成します。[ 接続 ]-> [ ファイアウォール] に移動します。

  2. [ + 追加 ] をクリックして、DNATポリシーを追加します。

  3. [ 宛先 NAT ポリシーの追加 ] ダイアログボックスで、次の情報を入力します。

    • 優先度
    • 方向
    • サービスの種類
    • サービス名
    • 内部 IP アドレス
    • 内部ポート
    • 外部 IP アドレス
    • 外部ポート

    ローカライズされた画像

    ローカライズされた画像

  4. スタティック NAT と同様に、ファイアウォールトラフィックリダイレクトの宛先 NAT ルールをプロビジョニングします。

  5. 一致基準と、NAT する宛先 IP /ポートを入力します。

  6. 統計情報を使用して DNAT規則の接続照合を実行します。

  7. 構成の更新中に DNAT規則を削除または更新します。

宛先 NAT ポリシー(ファイアウォール)のモニタリング

Citrix SD-WAN GUIを使用して、現在のDNATポリシー構成を監視することもできます。

現在の宛先 NAT ポリシー設定を監視するには、次の手順を実行します。

  1. Citrix SD-WAN GUIで、[ 監視 ]>[ ファイアウォール ]>[ NATポリシー]に移動します。

  2. 監視する統計情報を含むタブを選択します。

    ローカライズされた画像

    ローカライズされた画像

Citrix SD-WAN でフォースポイントを使用したファイアウォールトラフィックリダイレクトのサポート