Umbrellaでのクラウドファイアウォール設定
こんにちは。ネットワークソリューション特集 編集部です。
今回はUmbrellaでのクラウドファイアウォール設定について説明します。
「Secure Internet Gateway (SIG) Essentials」ライセンスで利用できる機能になります。
クラウドファイアウォールはUmbrella CloudとIPSecトンネルを張り全てのアウトバウンド通信を
Umbrella経由にする機能になります。
1.最初にネットワークトンネル設定をします。
「導入」⇒「ネットワークトンネル」から「追加」を選択します。
「トンネル名」、「デバイスタイプ」を選択します。今回はMerakiMXで試します。
「Tunnel ID」、「パスフレーズ」を設定します。
設定したパラメータがコピーできるので、どこかに控えておいてください。
2.次にIPSec機器の設定をします。今回はMerakiMXを使います。
「セキュリティ&SD-WAN」⇒「サイト間VPN」を選択します。
3.タイプは「ハブ」を選択して、Umbrellaと通信するローカルセグメントを選択します。
4.VPNパラメータは下記で設定します。
- 名前
- Umbrella
- IKEバージョン
- IKEv2
- IPSecポリシー
- Umbrella
- パブリックIP
- 146.112.112.8
- リモートID
- Umbrellaで設定したもの
- プライベートサブネット
- 0.0.0.0/0
- 事前共有シークレット
- Umbrellaで設定したもの
IPSecポリシーはUmbrella用があるのでそちらを選択します。
日本のIPSecゲートウェイは「146.112.112.8」になります。
https://docs.umbrella.com/umbrella-user-guide/docs/cisco-umbrella-data-centers
Meraki以外の機器を利用するときのIPSecパラメータは下記を参照してください。なお、IKEv2のみサポートです。
https://docs.umbrella.com/umbrella-user-guide/docs/supported-ipsec-parameters
以上の設定でUmbrellaとVPNトンネルが確立されます。
また、注意点としてUmbrella宛のDNS通信はVPN除外をする必要があります。
除外しない場合はクラウドファイアウォール経由となり登録グローバルIPアドレスが異なってしますためDNSポリシーが適用されません。
5.Umbrella管理画面に戻り、「ファイアウォールポリシー」からポリシーを追加します。
6.ファイアウォールポリシーを作成します。
送信元、送信先を指定します。
Umbrella Layer 7 Cloud Firewallオプションライセンスを購入している場合はアプリケーションでの指定も可能です。
その他のオプションに指定があれば設定します。
今回は「ファイアウォールポリシー」の詳細設定を紹介しました。
今後はUmbrellaでアップデートがあったら新規機能についてご紹介します。
