PDFを表示
ご意見をお寄せいただきありがとうございました。
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
ポリシー
ポリシーは、特定のトラフィックフローを許可、拒否、拒否、またはカウントし、継続する機能を提供します。SD-WAN ネットワークの拡大に伴い、これらのポリシーを各サイトに個別に適用することは困難です。この問題を解決するには、ファイアウォールポリシーテンプレートを使用してファイアウォールフィルターのグループを作成できます。ファイアウォールポリシーテンプレートは、ネットワーク内のすべてのサイトに適用することも、特定のサイトにのみ適用することもできます。これらのポリシーは、アプライアンス前テンプレート・ポリシーまたはアプライアンス後テンプレート・ポリシーとして並べられます。ネットワーク全体のアプライアンス前およびアプライアンス後のテンプレート・ポリシーは、いずれもグローバル・レベルで構成されます。ローカルポリシーは、[接続] の下のサイトレベルで構成され、その特定のサイトにのみ適用されます。
アプライアンス前テンプレート・ポリシーは、ローカル・サイト・ポリシーの前に適用されます。次にローカル・サイト・ポリシーが適用され、次にアプライアンス後のテンプレート・ポリシーが適用されます。目標は、サイト固有のポリシーを適用する柔軟性を維持しながら、グローバルポリシーを適用できるようにすることで、構成プロセスを簡素化することです。
フィルタポリシーの評価順序
-
Pre-Templates — すべてのテンプレート「PRE」セクションからコンパイルされたポリシー。
-
プリグローバル — グローバル「PRE」セクションからコンパイルされたポリシー。
-
ローカル:アプライアンスレベルのポリシー。
-
ローカル自動生成:自動的にローカルで生成されたポリシー。
-
ポストテンプレート — すべてのテンプレートの「POST」セクションからコンパイルされたポリシー。
-
ポストグローバル — グローバル「POST」セクションからコンパイルされたポリシー。
ポリシー定義-グローバルおよびローカル (サイト)
アプライアンス前およびアプライアンス後のテンプレート・ポリシーは、グローバル・レベルで構成できます。ローカルポリシーは、アプライアンスのサイトレベルで適用されます。
上のスクリーンショットは、SD-WAN ネットワークにグローバルに適用されるポリシーテンプレートを示しています。ネットワーク内のすべてのサイトにテンプレートを適用するには、[ グローバル ] > [ ネットワーク設定] > [グローバルポリシーテンプレート] に移動し、 特定のポリシーを選択します。サイトレベルでは、ポリシーテンプレートを追加したり、サイト固有のポリシーを作成したりできます。
以下のスクリーンショットには、ポリシーの特定の設定可能な属性が表示されます。これらはすべてのポリシーで同じです。
ポリシー属性
-
Priority :定義されたすべてのポリシー内でポリシーが適用される順序。優先順位の低いポリシーは、優先順位の高いポリシーの前に適用されます。
-
Zone :フローには送信元ゾーンと宛先ゾーンがあります。
- [From Z one]:ポリシーの送信元ゾーン。
- [ 宛先 Z one]:ポリシーの宛先ゾーン。
-
[ Act ion]:一致したフローに対して実行するアクション。
-
Al low:ファイアウォールを通過するフローを許可します。
-
[D rop]:パケットをドロップすることにより、ファイアウォールを通過するフローを拒否します。
-
Reject:ファイアウォールを通過するフローを拒否 し、プロトコル固有の応答を送信します。TCP はリセットを送信し、ICMP はエラーメッセージを送信します。
-
Count and Continue :このフローのパケット数とバイト数をカウントしてから、ポリシーリストを続けます。
-
-
Log Interval :ポリシーに一致するパケットの数をファイアウォールログファイルまたは syslog サーバに記録する間隔(設定されている場合)。
-
[ Log Start ]:選択すると、新しいフローのログエントリが作成されます。
-
Log End — フローが削除されたときに、フローのデータをログに記録します。
-
注
デフォルトのログ間隔値 0 は、ロギングがないことを意味します。
-
[Tr ack]:ファイアウォールがフローの状態を追跡し、この情報を [ Monitoring ] > [ Firewall ] > [ Connections ] テーブルに表示できるようにします。フローが追跡されていない場合、状態は NOT_TRACKED と表示されます。以下のプロトコルに基づく状態追跡については、表を参照してください。[ ファイアウォール ] > [設定] > [ 詳細設定 ] > [ 既定の追跡] でサイトレベルで定義された設定を使用します。
-
No Track :フロー状態が有効になっていません。
-
[Track ]:(このポリシーに一致した)フローの現在の状態を表示します。
-
-
「一致タイプ 」(Match Type)-次のいずれかの一致タイプを選択します。
-
[IP プロトコル ]:この一致タイプを選択した場合、フィルタが照合する IP プロトコルを選択します。オプションには、任意、TCP、UDP ICMPなどがあります。
-
[アプリケーション ] — この一致タイプを選択した場合は、このフィルタの一致基準として使用するアプリケーションを指定します。
-
「アプリケーションファミリ 」— この一致タイプを選択した場合は、このフィルタの一致基準として使用するアプリケーションファミリを選択します。
-
「アプリケーション・オブジェクト」— この一致タイプを選択した場合は、このフィルタの一致基準として使用するアプリケーション・ファミリを選択します。
-
アプリケーション、アプリケーションファミリ、およびアプリケーションオブジェクトの詳細については、「アプリケーション分類」を参照してください。
-
DSCP :ユーザが DSCP タグ設定を照合できるようにします。
-
フラグメントを許 可:このフィルタポリシーに一致する IP フラグメントを許可します。
注
ファイアウォールは、フラグメント化されたフレームを再構成しません。
-
Re verse Atho:ソースとデスティネーションの設定を逆にしたこのフィルタポリシーのコピーを自動的に追加します。
-
Match 確立 済み:発信パケットが許可された接続の着信パケットを照合します。
-
ソースサービスタイプ — SD-WAN サービスを参照して、ローカル(アプライアンス)、仮想パス、イントラネット、IPHost、またはインターネットがサービスタイプの例です。
-
IPHost オプション -ファイアウォールの新しいサービスタイプで、SD-WAN アプリケーションによって生成されるパケットに使用されます。たとえば、SD-WAN の Web UI から ping を実行すると、パケットは SD-WAN 仮想 IP アドレスから発信されます。この IP アドレスのポリシーを作成するには、ユーザーが IPHost オプションを選択する必要があります。
-
ソース・サービス名 :サービス・タイプに関連付けられたサービスの名前。たとえば、[ソースサービスタイプ] に [仮想パス] が選択されている場合、これは特定の仮想パスの名前になります。これは必ずしも必須ではなく、選択したサービスタイプによって異なります。
-
送信元 IP アドレス — フィルタが照合に使用する一般的な IP アドレスとサブネットマスク。
-
Source Port :特定のアプリケーションが使用するソース・ポート。
-
デスティネーション・サービス・タイプ -SD-WANサービスに関するサービス-ローカル(アプライアンス)、仮想パス、イントラネット、IPHost、またはインターネットがサービスタイプの例です。
-
宛先サービス名 :サービス・タイプに関連付けられたサービスの名前。これは必ずしも必須ではなく、選択したサービスタイプによって異なります。
-
宛先 IP アドレス -フィルタが照合に使用する一般的な IP アドレスとサブネットマスク。
-
宛先ポート — 特定のアプリケーションが使用する宛先ポート (TCP プロトコル用の HTTP 宛先ポート 80)。
トラックオプションは、フローの詳細を提供します。ステートテーブルで追跡されるステート情報を以下に示します。
トラックオプションのステートテーブル
一貫性のある状態は、ごくわずかです。
-
INIT- 接続が作成されましたが、最初のパケットは無効です。
-
O_DENIED- 接続を作成したパケットは、フィルタポリシーによって拒否されます。
-
R_DENIED- 応答側からのパケットは、フィルタポリシーによって拒否されます。
-
NOT_TRACKED- 接続はステートフルに追跡されませんが、それ以外の場合は許可されます。
-
CLOSED- 接続がタイムアウトしたか、プロトコルによって閉じられました。
-
DELETED- 接続は削除中です。DEDETATE 状態はほとんど見られません。
その他の状態はすべてプロトコル固有であり、ステートフルトラッキングを有効にする必要があります。
TCP は次の状態を報告できます。
-
SYN_SENT -最初の TCP SYN メッセージが表示されます。
-
SYN_SENT2 -双方向で認識される SYN メッセージ。SYN+ACK なし(別名同時オープン)。
-
SYN_ACK_RCVD -SYN+ACKを受信しました。
-
ESTABLISHED- 2 番目の ACK を受信し、接続は完全に確立されています。
-
FIN_WAIT - 最初に見られた FIN メッセージ。
-
CLOSE_WAIT -両方向に表示される FIN メッセージ。
-
TIME_WAIT -両方向で最後に確認された ACK。接続が再度開くのを待って閉じられました。
その他のすべての IP プロトコル(特に ICMP および UDP)は、次の状態になります。
-
NEW -一方向で表示されるパケット。
-
確立 済み-両方向で認識されるパケット。
ポリシー
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.