This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
ポリシー
ポリシーを使用すると、特定のトラフィックフローの許可、拒否、またはカウントおよび継続を行うことができます。SD-WAN ネットワークが拡大するにつれて、これらのポリシーを各サイトに個別に適用することは困難になります。この問題を解決するには、ファイアウォールポリシーテンプレートを使用してファイアウォールフィルターのグループを作成できます。ファイアウォールポリシーテンプレートは、ネットワーク内のすべてのサイトに適用することも、特定のサイトにのみ適用することもできます。これらのポリシーは、アプライアンス前のテンプレート・ポリシーまたはアプライアンス後のテンプレート・ポリシーとして順序付けられます。ネットワーク全体のアプライアンス前およびアプライアンス後のテンプレート・ポリシーは、どちらもグローバル・レベルで構成されます。ローカルポリシーは、[接続] の下のサイトレベルで構成され、その特定のサイトにのみ適用されます。
アプライアンスの前テンプレートポリシーは、ローカルサイトポリシーの前に適用されます。次に、ローカルサイトポリシーが適用されます。次に、アプライアンスポストテンプレートポリシーが適用されます。目標は、サイト固有のポリシーを適用する柔軟性を維持しながら、グローバルポリシーを適用できるようにすることで、構成プロセスを簡素化することです。
フィルタポリシー評価順序
-
Pre-templates — すべてのテンプレート「PRE」セクションからコンパイルされたポリシー。
-
Pre-Global — グローバル「PRE」セクションからコンパイルされたポリシー。
-
Local:アプライアンスレベルのポリシー。
-
[ローカル自動生成]:自動的にローカルに生成されたポリシー。
-
ポストテンプレート — すべてのテンプレート「POST」セクションからコンパイルされたポリシー。
-
ポストグローバル — グローバル「POST」セクションからコンパイルされたポリシー。
ポリシー定義-グローバルおよびローカル (サイト)
アプライアンス前およびアプライアンス後のテンプレート・ポリシーは、グローバル・レベルで構成できます。ローカルポリシーは、アプライアンスのサイトレベルで適用されます。
上のスクリーンショットは、SD-WAN ネットワークにグローバルに適用されるポリシーテンプレートを示しています。ネットワーク内のすべてのサイトにテンプレートを適用するには、[ グローバル ] > [ ネットワーク設定] > [グローバルポリシーテンプレート] に移動し、特定のポリシーを選択します。サイトレベルでは、ポリシーテンプレートを追加したり、サイト固有のポリシーを作成できます。
ポリシーの特定の設定可能な属性は、以下のスクリーンショットに表示されます。これらの属性は、すべてのポリシーで同じです。
ポリシー属性
-
Priority :定義されたすべてのポリシー内でポリシーが適用される順序。優先順位の低いポリシーは、優先順位の高いポリシーの前に適用されます。
-
Zone :フローには、送信元ゾーンと宛先ゾーンがあります。
- [ From Zone] :ポリシーのソース・ゾーン。
- [ To Zone] :ポリシーの宛先ゾーン。
-
アクション :一致したフローに対して実行するアクション。
-
[ Allow] :ファイアウォールを通過するフローを許可します。
-
[ Drop] :パケットをドロップして、ファイアウォールを通過するフローを拒否します。
-
Reject :ファイアウォールを通過するフローを拒否し、プロトコル固有の応答を送信します。TCP はリセットを送信し、ICMP はエラーメッセージを送信します。
-
Count and Continue :このフローのパケット数とバイト数をカウントし、ポリシーリストを続行します。
-
-
[ Log Interval] :ポリシーに一致するパケット数をファイアウォールログファイルまたは syslog サーバ(設定されている場合)にロギングする間隔(秒単位)。
-
[ Log Start] :選択すると、新しいフローのログエントリが作成されます。
-
Log End — フローが削除されたときに、フローのデータを記録します。
-
注
デフォルトの Log Interval の値である 0 は、ロギングがないことを意味します。
-
[ Track] :ファイアウォールがフローの状態を追跡し、この情報を [ Monitoring ] > [ Firewall] > [ **Connections ]テーブルに表示できるようにします。フローがトラッキングされていない場合、状態は NOT_TRUKED と表示されます。以下のプロトコルに基づく状態追跡については、表を参照してください。[ ファイアウォール]>[設定]>[ 詳細設定 ]>[ 既定の追跡 ]** でサイトレベルで定義された設定を使用します。
-
No Track :フロー状態が有効になっていません。
-
[ Track] :(このポリシーに一致した)フローの現在の状態を表示します。
-
-
「マッチタイプ」(Match Type) -次のいずれかのマッチタイプを選択します。
-
[ IP Protocol] :この一致タイプが選択されている場合は、フィルタが照合する IP プロトコルを選択します。オプションには、任意、TCP、UDP ICMP などがあります。
-
[ アプリケーション] — この一致タイプを選択した場合は、このフィルタの一致基準として使用するアプリケーションを指定します。
-
[ アプリケーションファミリ] :この一致タイプを選択した場合は、このフィルタの一致基準として使用するアプリケーションファミリを選択します。
-
[ アプリケーションオブジェクト]: この一致タイプを選択した場合は、このフィルタの一致基準として使用するアプリケーションファミリを選択します。
-
アプリケーション、アプリケーション・ファミリおよびアプリケーション・オブジェクトの詳細は、「 アプリケーションの分類」を参照してください。
-
DSCP :ユーザが DSCP タグ設定に一致できるようにします。
-
「フラグメントを許可」 — このフィルタポリシーに一致する IP フラグメントを許可します。
注
ファイアウォールは、断片化されたフレームを再構成しません。
-
[ Reverse Aso] — ソースと宛先の設定を逆にして、このフィルタポリシーのコピーを自動的に追加します。
-
[ Match Setbed] :発信パケットが許可された接続の着信パケットを照合します。
-
ソースサービスタイプ — SD-WAN サービスを参照して — ローカル(アプライアンスへの)、仮想パス、イントラネット、IPHost、またはインターネットは、サービスタイプの例です。
-
IPHost オプション -ファイアウォールの新しいサービスタイプで、SD-WAN アプリケーションによって生成されるパケットに使用されます。たとえば、SD-WAN の Web UI から ping を実行すると、SD-WAN 仮想 IP アドレスからパケットが送信されます。この IP アドレスのポリシーを作成する場合、ユーザーは IPHost オプションを選択する必要があります。
-
「ソースサービス名」 — サービスタイプに関連付けられたサービスの名前。たとえば、「ソース・サービス・タイプ」で仮想パスが選択されている場合、これは特定の仮想パスの名前になります。これは必ずしも必要ではなく、選択したサービスタイプによって異なります。
-
送信元 IP アドレス — フィルタが照合に使用する一般的な IP アドレスとサブネットマスク。
-
[ Source Port] :特定のアプリケーションが使用するソースポート。
-
宛先サービスタイプ -SD-WAN サービスを参照します。サービスタイプの例としては、ローカル(アプライアンスへの)、仮想パス、イントラネット、IPHost、インターネットなどがあります。
-
宛先サービス名 :サービスタイプに関連付けられたサービスの名前。これは必ずしも必要ではなく、選択したサービスタイプによって異なります。
-
宛先 IP アドレス -フィルタが照合に使用する一般的な IP アドレスとサブネットマスク。
-
宛先ポート — 特定のアプリケーションが使用する宛先ポート (TCP プロトコルの場合は HTTP 宛先ポート 80)。
track オプションは、フローの詳細を提供します。状態テーブルで追跡される状態情報を以下に示します。
トラックオプションのステートテーブル
一貫性のある状態は、ごくわずかです。
-
INIT- 接続が作成されましたが、最初のパケットは無効でした。
-
O_DENIED- パケットは、接続を作成されフィルタポリシーによって拒否されます。
-
R_DENIED-パケットは、応答側からでフィルタポリシーによって拒否されます。
-
NOT_TRACKED-接続 はステートフルに追跡されませんが、それ以外の場合は許可されます。
-
CLOSED- 接続がタイムアウトしたか、プロトコルによって閉じられました。
-
DELETED- は削除中です。DELETED 状態はほとんど見られません。
その他の状態はすべてプロトコル固有であり、ステートフルトラッキングを有効にする必要があります。
TCP は、次の状態を報告できます。
-
SYN_SENT -最初の TCP SYN メッセージが表示される。
-
SYN_SENT2 -双方向にSYNメッセージが表示される。SYN+ACK(AKA同時オープン)はない。
-
SYN_ACK_RCVD -SYN+ACK を受信しました。
-
ESTABLISHED- 2 番目の ACK を受信し、接続が完全に確立されました。
-
FIN_WAIT -最初の FIN メッセージが表示される。
-
CLOSE_WAIT -両方向で表示されるFINメッセージ
-
TIME_WAIT -両方向に最後に見たACK。接続は再度開くのを待って閉じられました。
その他すべての IP プロトコル(特に ICMP および UDP)には、次の状態があります。
-
NEW -一方向にパケットが認識されます。
-
ESTABLISHED -パケットは両方向で認識されます。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.