Citrix SD-WAN

ポリシー

ポリシーを使用すると、特定のトラフィックフローの許可、拒否、またはカウントおよび継続を行うことができます。SD-WAN ネットワークが拡大するにつれて、これらのポリシーを各サイトに個別に適用することは困難になります。この問題を解決するには、ファイアウォールポリシーテンプレートを使用してファイアウォールフィルターのグループを作成できます。ファイアウォールポリシーテンプレートは、ネットワーク内のすべてのサイトに適用することも、特定のサイトにのみ適用することもできます。これらのポリシーは、アプライアンス前のテンプレート・ポリシーまたはアプライアンス後のテンプレート・ポリシーとして順序付けられます。ネットワーク全体のアプライアンス前およびアプライアンス後のテンプレート・ポリシーは、どちらもグローバル・レベルで構成されます。ローカルポリシーは、[接続] の下のサイトレベルで構成され、その特定のサイトにのみ適用されます。

ローカライズされた画像

アプライアンスの前テンプレートポリシーは、ローカルサイトポリシーの前に適用されます。次に、ローカルサイトポリシーが適用されます。次に、アプライアンスポストテンプレートポリシーが適用されます。目標は、サイト固有のポリシーを適用する柔軟性を維持しながら、グローバルポリシーを適用できるようにすることで、構成プロセスを簡素化することです。

フィルタポリシー評価順序

  1. Pre-templates — すべてのテンプレート「PRE」セクションからコンパイルされたポリシー。

  2. Pre-Global — グローバル「PRE」セクションからコンパイルされたポリシー。

  3. Local:アプライアンスレベルのポリシー。

  4. [ローカル自動生成]:自動的にローカルに生成されたポリシー。

  5. ポストテンプレート — すべてのテンプレート「POST」セクションからコンパイルされたポリシー。

  6. ポストグローバル — グローバル「POST」セクションからコンパイルされたポリシー。

ポリシー定義-グローバルおよびローカル (サイト)

アプライアンス前およびアプライアンス後のテンプレート・ポリシーは、グローバル・レベルで構成できます。ローカルポリシーは、アプライアンスのサイトレベルで適用されます。

ローカライズされた画像

上のスクリーンショットは、SD-WAN ネットワークにグローバルに適用されるポリシーテンプレートを示しています。ネットワーク内のすべてのサイトにテンプレートを適用するには、[ グローバル ] > [ ネットワーク設定] > [グローバルポリシーテンプレート] に移動し、特定のポリシーを選択します。サイトレベルでは、ポリシーテンプレートを追加したり、サイト固有のポリシーを作成できます。

ポリシーの特定の設定可能な属性は、以下のスクリーンショットに表示されます。これらの属性は、すべてのポリシーで同じです。

ローカライズされた画像

ポリシー属性

  • Priority :定義されたすべてのポリシー内でポリシーが適用される順序。優先順位の低いポリシーは、優先順位の高いポリシーの前に適用されます。

  • Zone :フローには、送信元ゾーンと宛先ゾーンがあります。

    • [ From Zone] :ポリシーのソース・ゾーン。
    • [ To Zone] :ポリシーの宛先ゾーン。
  • アクション :一致したフローに対して実行するアクション。

    • [ Allow] :ファイアウォールを通過するフローを許可します。

    • [ Drop] :パケットをドロップして、ファイアウォールを通過するフローを拒否します。

    • Reject :ファイアウォールを通過するフローを拒否し、プロトコル固有の応答を送信します。TCP はリセットを送信し、ICMP はエラーメッセージを送信します。

    • Count and Continue :このフローのパケット数とバイト数をカウントし、ポリシーリストを続行します。

  • [ Log Interval] :ポリシーに一致するパケット数をファイアウォールログファイルまたは syslog サーバ(設定されている場合)にロギングする間隔(秒単位)。

    • [ Log Start] :選択すると、新しいフローのログエントリが作成されます。

    • Log End — フローが削除されたときに、フローのデータを記録します。

デフォルトの Log Interval の値である 0 は、ロギングがないことを意味します。

  • [ Track] :ファイアウォールがフローの状態を追跡し、この情報を [ Monitoring ] > [ Firewall] > [ **Connections ]テーブルに表示できるようにします。フローがトラッキングされていない場合、状態は NOT_TRACKEDと表示されます。以下のプロトコルに基づく状態追跡については、表を参照してください。[ ファイアウォール]>[設定]>[ 詳細設定 ]>[ 既定の追跡 ]** でサイトレベルで定義された設定を使用します。

    • No Track :フロー状態が有効になっていません。

    • [ Track] :(このポリシーに一致した)フローの現在の状態を表示します。

  • 「マッチタイプ」(Match Type) -次のいずれかのマッチタイプを選択します。

    • [ IP Protocol] :この一致タイプが選択されている場合は、フィルタが照合する IP プロトコルを選択します。オプションには、任意、TCP、UDP ICMP などがあります。

    • [ アプリケーション] — この一致タイプを選択した場合は、このフィルタの一致基準として使用するアプリケーションを指定します。

    • [ アプリケーションファミリ] :この一致タイプを選択した場合は、このフィルタの一致基準として使用するアプリケーションファミリを選択します。

    • [ アプリケーションオブジェクト]: この一致タイプを選択した場合は、このフィルタの一致基準として使用するアプリケーションファミリを選択します。

アプリケーション、アプリケーション・ファミリおよびアプリケーション・オブジェクトの詳細は、「 アプリケーションの分類」を参照してください

  • DSCP :ユーザが DSCP タグ設定に一致できるようにします。

  • 「フラグメントを許可」 — このフィルタポリシーに一致する IP フラグメントを許可します。

ファイアウォールは、断片化されたフレームを再構成しません。

  • [ Reverse Aso] — ソースと宛先の設定を逆にして、このフィルタポリシーのコピーを自動的に追加します。

  • [ Match Setbed] :発信パケットが許可された接続の着信パケットを照合します。

  • ソースサービスタイプ — SD-WAN サービスを参照して — ローカル(アプライアンスへの)、仮想パス、イントラネット、IPHost、またはインターネットは、サービスタイプの例です。

  • IPHost オプション -ファイアウォールの新しいサービスタイプで、SD-WAN アプリケーションによって生成されるパケットに使用されます。たとえば、SD-WAN の Web UI から ping を実行すると、SD-WAN 仮想 IP アドレスからパケットが送信されます。この IP アドレスのポリシーを作成する場合、ユーザーは IPHost オプションを選択する必要があります。

  • 「ソースサービス名」 — サービスタイプに関連付けられたサービスの名前。たとえば、「ソース・サービス・タイプ」で仮想パスが選択されている場合、これは特定の仮想パスの名前になります。これは必ずしも必要ではなく、選択したサービスタイプによって異なります。

  • 送信元 IP アドレス — フィルタが照合に使用する一般的な IP アドレスとサブネットマスク。

  • [ Source Port] :特定のアプリケーションが使用するソースポート。

  • 宛先サービスタイプ -SD-WAN サービスを参照します。サービスタイプの例としては、ローカル(アプライアンスへの)、仮想パス、イントラネット、IPHost、インターネットなどがあります。

  • 宛先サービス名 :サービスタイプに関連付けられたサービスの名前。これは必ずしも必要ではなく、選択したサービスタイプによって異なります。

  • 宛先 IP アドレス -フィルタが照合に使用する一般的な IP アドレスとサブネットマスク。

  • 宛先ポート — 特定のアプリケーションが使用する宛先ポート (TCP プロトコルの場合は HTTP 宛先ポート 80)。

track オプションは、フローの詳細を提供します。状態テーブルで追跡される状態情報を以下に示します。

トラックオプションのステートテーブル

一貫性のある状態は、ごくわずかです。

  • INIT- 接続が作成されましたが、最初のパケットは無効でした。

  • O_DENIED- パケットは、接続を作成されフィルタポリシーによって拒否されます。

  • R_DENIED-パケットは、応答側からでフィルタポリシーによって拒否されます。

  • NOT_TRACKED-接続 はステートフルに追跡されませんが、それ以外の場合は許可されます。

  • CLOSED- 接続がタイムアウトしたか、プロトコルによって閉じられました。

  • DELETED- は削除中です。DELETED 状態はほとんど見られません。

その他の状態はすべてプロトコル固有であり、ステートフルトラッキングを有効にする必要があります。

TCP は、次の状態を報告できます。

  • SYN_SENT -最初の TCP SYN メッセージが表示される。

  • SYN_SENT2 -双方向にSYNメッセージが表示される。SYN+ACK(AKA同時オープン)はない。

  • SYN_ACK_RCVD -SYN+ACK を受信しました。

  • ESTABLISHED- 2 番目の ACK を受信し、接続が完全に確立されました。

  • FIN_WAIT -最初の FIN メッセージが表示される。

  • CLOSE_WAIT -両方向で表示されるFINメッセージ

  • TIME_WAIT -両方向に最後に見たACK。接続は再度開くのを待って閉じられました。

その他すべての IP プロトコル(特に ICMP および UDP)には、次の状態があります。

  • NEW -一方向にパケットが認識されます。

  • ESTABLISHED -パケットは両方向で認識されます。

ポリシー