Citrix SD-WAN

ポリシー

ポリシーは、特定のトラフィックフローを許可、拒否、拒否、またはカウントし、継続する機能を提供します。SD-WAN ネットワークの拡大に伴い、これらのポリシーを各サイトに個別に適用することは困難です。この問題を解決するには、ファイアウォールポリシーテンプレートを使用してファイアウォールフィルターのグループを作成できます。ファイアウォールポリシーテンプレートは、ネットワーク内のすべてのサイトに適用することも、特定のサイトにのみ適用することもできます。これらのポリシーは、アプライアンス前テンプレート・ポリシーまたはアプライアンス後テンプレート・ポリシーとして並べられます。ネットワーク全体のアプライアンス前およびアプライアンス後のテンプレート・ポリシーは、いずれもグローバル・レベルで構成されます。ローカルポリシーは、[接続] の下のサイトレベルで構成され、その特定のサイトにのみ適用されます。

ローカライズされた画像

アプライアンス前テンプレート・ポリシーは、ローカル・サイト・ポリシーの前に適用されます。次にローカル・サイト・ポリシーが適用され、次にアプライアンス後のテンプレート・ポリシーが適用されます。目標は、サイト固有のポリシーを適用する柔軟性を維持しながら、グローバルポリシーを適用できるようにすることで、構成プロセスを簡素化することです。

フィルタポリシーの評価順序

  1. Pre-Templates — すべてのテンプレート「PRE」セクションからコンパイルされたポリシー。

  2. プリグローバル — グローバル「PRE」セクションからコンパイルされたポリシー。

  3. ローカル:アプライアンスレベルのポリシー。

  4. ローカル自動生成:自動的にローカルで生成されたポリシー。

  5. ポストテンプレート — すべてのテンプレートの「POST」セクションからコンパイルされたポリシー。

  6. ポストグローバル — グローバル「POST」セクションからコンパイルされたポリシー。

ポリシー定義-グローバルおよびローカル (サイト)

アプライアンス前およびアプライアンス後のテンプレート・ポリシーは、グローバル・レベルで構成できます。ローカルポリシーは、アプライアンスのサイトレベルで適用されます。

ローカライズされた画像

上のスクリーンショットは、SD-WAN ネットワークにグローバルに適用されるポリシーテンプレートを示しています。ネットワーク内のすべてのサイトにテンプレートを適用するには、[ グローバル ] > [ ネットワーク設定] > [グローバルポリシーテンプレート] に移動し、 特定のポリシーを選択します。サイトレベルでは、ポリシーテンプレートを追加したり、サイト固有のポリシーを作成したりできます。

以下のスクリーンショットには、ポリシーの特定の設定可能な属性が表示されます。これらはすべてのポリシーで同じです。

ローカライズされた画像

ポリシー属性

  • Priority :定義されたすべてのポリシー内でポリシーが適用される順序。優先順位の低いポリシーは、優先順位の高いポリシーの前に適用されます。

  • Zone :フローには送信元ゾーンと宛先ゾーンがあります。

    • [From Z one]:ポリシーの送信元ゾーン。
    • [ 宛先 Z one]:ポリシーの宛先ゾーン。
  • [ Act ion]:一致したフローに対して実行するアクション。

    • Al low:ファイアウォールを通過するフローを許可します。

    • [D rop]:パケットをドロップすることにより、ファイアウォールを通過するフローを拒否します。

    • Reject:ファイアウォールを通過するフローを拒否 し、プロトコル固有の応答を送信します。TCP はリセットを送信し、ICMP はエラーメッセージを送信します。

    • Count and Continue :このフローのパケット数とバイト数をカウントしてから、ポリシーリストを続けます。

  • Log Interval :ポリシーに一致するパケットの数をファイアウォールログファイルまたは syslog サーバに記録する間隔(設定されている場合)。

    • [ Log Start ]:選択すると、新しいフローのログエントリが作成されます。

    • Log End — フローが削除されたときに、フローのデータをログに記録します。

デフォルトのログ間隔値 0 は、ロギングがないことを意味します。

  • [Tr ack]:ファイアウォールがフローの状態を追跡し、この情報を [ Monitoring ] > [ Firewall ] > [ Connections ] テーブルに表示できるようにします。フローが追跡されていない場合、状態は NOT_TRACKED と表示されます。以下のプロトコルに基づく状態追跡については、表を参照してください。[ ファイアウォール ] > [設定] > [ 詳細設定 ] > [ 既定の追跡] でサイトレベルで定義された設定を使用します。

    • No Track :フロー状態が有効になっていません。

    • [Track ]:(このポリシーに一致した)フローの現在の状態を表示します。

  • 一致タイプ 」(Match Type)-次のいずれかの一致タイプを選択します。

    • [IP プロトコル ]:この一致タイプを選択した場合、フィルタが照合する IP プロトコルを選択します。オプションには、任意、TCP、UDP ICMPなどがあります。

    • [アプリケーション ] — この一致タイプを選択した場合は、このフィルタの一致基準として使用するアプリケーションを指定します。

    • アプリケーションファミリ 」— この一致タイプを選択した場合は、このフィルタの一致基準として使用するアプリケーションファミリを選択します。

    • アプリケーション・オブジェクト」— この一致タイプを選択した場合は、このフィルタの一致基準として使用するアプリケーション・ファミリを選択します。

アプリケーション、アプリケーションファミリ、およびアプリケーションオブジェクトの詳細については、「アプリケーション分類」を参照してください。

  • DSCP :ユーザが DSCP タグ設定を照合できるようにします。

  • フラグメントを許 可:このフィルタポリシーに一致する IP フラグメントを許可します。

ファイアウォールは、フラグメント化されたフレームを再構成しません。

  • Re verse Atho:ソースとデスティネーションの設定を逆にしたこのフィルタポリシーのコピーを自動的に追加します。

  • Match 確立 済み:発信パケットが許可された接続の着信パケットを照合します。

  • ソースサービスタイプ — SD-WAN サービスを参照して、ローカル(アプライアンス)、仮想パス、イントラネット、IPHost、またはインターネットがサービスタイプの例です。

  • IPHost オプション -ファイアウォールの新しいサービスタイプで、SD-WAN アプリケーションによって生成されるパケットに使用されます。たとえば、SD-WAN の Web UI から ping を実行すると、パケットは SD-WAN 仮想 IP アドレスから発信されます。この IP アドレスのポリシーを作成するには、ユーザーが IPHost オプションを選択する必要があります。

  • ソース・サービス名 :サービス・タイプに関連付けられたサービスの名前。たとえば、[ソースサービスタイプ] に [仮想パス] が選択されている場合、これは特定の仮想パスの名前になります。これは必ずしも必須ではなく、選択したサービスタイプによって異なります。

  • 送信元 IP アドレス — フィルタが照合に使用する一般的な IP アドレスとサブネットマスク。

  • Source Port :特定のアプリケーションが使用するソース・ポート。

  • デスティネーション・サービス・タイプ -SD-WANサービスに関するサービス-ローカル(アプライアンス)、仮想パス、イントラネット、IPHost、またはインターネットがサービスタイプの例です。

  • 宛先サービス名 :サービス・タイプに関連付けられたサービスの名前。これは必ずしも必須ではなく、選択したサービスタイプによって異なります。

  • 宛先 IP アドレス -フィルタが照合に使用する一般的な IP アドレスとサブネットマスク。

  • 宛先ポート — 特定のアプリケーションが使用する宛先ポート (TCP プロトコル用の HTTP 宛先ポート 80)。

トラックオプションは、フローの詳細を提供します。ステートテーブルで追跡されるステート情報を以下に示します。

トラックオプションのステートテーブル

一貫性のある状態は、ごくわずかです。

  • INIT- 接続が作成されましたが、最初のパケットは無効です。

  • O_DENIED- 接続を作成したパケットは、フィルタポリシーによって拒否されます。

  • R_DENIED- 応答側からのパケットは、フィルタポリシーによって拒否されます。

  • NOT_TRACKED- 接続はステートフルに追跡されませんが、それ以外の場合は許可されます。

  • CLOSED- 接続がタイムアウトしたか、プロトコルによって閉じられました。

  • DELETED- 接続は削除中です。DEDETATE 状態はほとんど見られません。

その他の状態はすべてプロトコル固有であり、ステートフルトラッキングを有効にする必要があります。

TCP は次の状態を報告できます。

  • SYN_SENT -最初の TCP SYN メッセージが表示されます。

  • SYN_SENT2 -双方向で認識される SYN メッセージ。SYN+ACK なし(別名同時オープン)。

  • SYN_ACK_RCVD -SYN+ACKを受信しました。

  • ESTABLISHED- 2 番目の ACK を受信し、接続は完全に確立されています。

  • FIN_WAIT - 最初に見られた FIN メッセージ。

  • CLOSE_WAIT -両方向に表示される FIN メッセージ。

  • TIME_WAIT -両方向で最後に確認された ACK。接続が再度開くのを待って閉じられました。

その他のすべての IP プロトコル(特に ICMP および UDP)は、次の状態になります。

  • NEW -一方向で表示されるパケット。

  • 確立 済み-両方向で認識されるパケット。

ポリシー