MX ファイアウォールの設定
このドキュメントは原文を 2025年07月24日付けで翻訳したものです。
最新の情報は原文をご確認ください。
この記事では、従来型ファイアウォールと次世代ファイアウォールの概要に加えて、MX セキュリティ & SD-WAN アプライアンスの設定および機能について説明します。
Meraki ダッシュボードのファイアウォール設定ページには、セキュリティ & SD-WAN > 設定 > ファイアウォールからアクセスできます。このページでは、レイヤ 3 およびレイヤ 7 のアウトバウンドファイアウォールルール、インターネットからアクセス可能な WAN アプライアンスサービス、ポート転送、1:1 NAT マッピング、1:多 NAT マッピングを設定できます。
Meraki デバイスと Meraki クラウド間の通信に必要なファイアウォールルールに関する情報をお探しの場合は、クラウド接続のためのファイアウォールルールに関する記事を参照してください。
Meraki Learning Hub の無料オンライン トレーニング コースでさらに学習できます:
次世代ファイアウォールと従来型ファイアウォールの比較
ネットワーク用のファイアウォールを選択する際、さまざまな選択肢が存在します。次世代型のものもあれば、従来型のものもあります。ここでは主な違いを見ていきます:
機能
ファイアウォール選定は、通常必要な機能セットから始まります。従来型ファイアウォールは機能が限定されていますが、次世代ファイアウォールは拡張された機能セットを備えています。詳細は下記の「機能の違い」で説明します。
パフォーマンス
クライアントおよびホストトラッキング、侵入検知と防御、ステートフルインスペクションなどの追加機能を有効にした場合、パフォーマンスに影響が生じます。これらの機能は、これらを実現するパケットスキャンに追加のリソース(メモリや CPU)を必要とします。次世代ファイアウォールと従来型ファイアウォールのパフォーマンス比較は、デフォルトで有効な機能セットが異なるため、通常はできません。
管理
従来型ファイアウォールは、機器上でホストされる CLI または GUI によって管理されます。次世代ファイアウォールは、通常クラウドまたはコントローラーによる管理機能を備えています。
従来型ファイアウォールとは?
従来型ファイアウォールは、レイヤ 3 および 4 での基本的なアクセス制御リスト(ACL)機能に加え、レイヤ 3 ルーティングとフローステートトラッキング機能を提供します。これらの機能はデフォルトで有効になっていることが想定されますが、初期設定されていない場合もあります。追加の設定機能はかなり限定されており、Software Defined Routing(SD ルーティング)を実現するための基盤となる多くの機能は従来型ファイアウォールでは利用できません。
標準機能一覧
標準的なファイアウォールのデフォルト機能セットには、以下の機能が含まれます:
- ステートフルまたはステートレスのフロートラッキング
- 標準的なファイアウォール機能(例:
- レイヤ 3 およびレイヤ 4 情報に基づくアクセスコントロールリスト(ACL)
- ネットワークアドレス変換(NAT)およびポートアドレス変換(PAT)
拡張機能一覧
- トラフィックシェーピング
- 帯域制限 / ポリシング
- QoS(Quality of Service)
- DSCP および CoS の維持 / マーキング
- VPN(仮想プライベートネットワーク)
次世代ファイアウォールとは?
次世代ファイアウォール(NGFW)は、従来のステートフルファイアウォールよりも高度な機能を提供するネットワークセキュリティデバイスです。従来型ファイアウォールは、通常、ネットワークトラフィックのステートフルインスペクションのみを提供しますが、次世代ファイアウォールはアプリケーション認識・制御、統合型侵入防御、クラウドベースの脅威インテリジェンスなどの追加機能を備えています。NGFW アプライアンスには、従来型ファイアウォールでは追加のオーケストレーションや連携なしでは実現できない Software Defined Networking(SDN)機能も含まれています。
NGFW の標準機能セットは、デフォルトファイアウォールの「一世代先」のものです。これらの標準機能は、SDN および脅威保護の実装基盤となります。これらの機能はデフォルトで有効化されていますが、初期設定されていない場合もあります。
標準機能一覧
次世代ファイアウォールのデフォルト機能セットには、以下の機能が含まれます:
- ステートフルまたはステートレスのフロートラッキング
- 標準的なファイアウォール機能(例:
- レイヤ 3 およびレイヤ 4 情報に基づくアクセスコントロールリスト(ACL)
- ネットワークアドレス変換(NAT)およびポートアドレス変換(PAT)
- ディープパケットインスペクション(DPI)
- URL フィルタリング
- トラフィックシェーピング
- 帯域制限 / ポリシング
- QoS(Quality of Service)
- DSCP および CoS の維持 / マーキング
- SD-WAN および SD ルーティング意思決定機能
- クライアントおよびホストのトラッキング(レイヤ 3 ~ レイヤ 7)
拡張機能一覧
以下は、通常含まれる拡張機能の一部です:
- ステートフルパケットインスペクション
- VPN(仮想プライベートネットワーク)
- 侵入検知および防御(IPS)
- マルウェア対策
アウトバウンドルール
ファイアウォールルールは、ファイアウォールを通過するトラフィックにのみ適用されます。ファイアウォール自体が送信元または宛先となるトラフィックには影響しません。たとえば、LDAP バインドやクライアント VPN 接続はファイアウォールルールの影響を受けません。また、MX の VLAN インターフェースや MX WAN IP アドレスは、ファイアウォールが許可または拒否ルールを評価する際に考慮されません。
ファイアウォールページで設定されるレイヤ 3 ファイアウォールルールはステートフルであり、レイヤ 7 ルールはステートレスです。
NAT/ルーティングモードでは、デフォルトでアプライアンスへの ICMP トラフィックを除き、すべてのインバウンド接続が拒否されます。追加のインバウンドトラフィックを許可したい場合は、新しいポート転送ルールや NAT ポリシーを作成し、プロトコル・ポート・リモート IP アドレスに基づいて明示的に許可する必要があります(下記参照)。
アウトバウンド接続はデフォルトで許可されています。コンプライアンスやセキュリティ向上のために、デフォルト拒否ルールを追加する必要がある場合もあります。
レイヤ 3 ルールとレイヤ 7 ルールの優先順位を判断する場合は、レイヤ 3 および 7 ファイアウォール処理順序を参照してください。
ここでは、VLAN 間や LAN からインターネットへのトラフィックを許可または拒否するアクセスコントロールリスト(ACL)ステートメントを設定できます。ACL ステートメントはプロトコル、送信元 IP アドレスおよびポート、宛先 IP アドレスおよびポートに基づいて設定できます。これらのルールはVPN トラフィックには適用されません。VPN ピア間のトラフィックに影響するファイアウォールルールを設定するには、サイト間 VPN 設定を参照してください。
ハブ・スポークトポロジで、スポークがハブをデフォルトルートとして使用する場合、スポークからインターネットへのトラフィックは、ハブで設定されたアウトバウンドレイヤ 3 ファイアウォールルールの影響を受けます。ハブ・スポークトポロジの詳細は、MX セキュリティアプライアンスでのハブ・スポーク VPN 接続の設定を参照してください。
VLAN 間トラフィックに対する設定済みファイアウォールルールはフローベースです。つまり、変更が行われた場合も既存のフローはタイムアウトするまで継続され、その後新しいルールが適用されて次のフローに許可または拒否が適用されます。インターネット向けアウトバウンドトラフィックには直ちに新しいルールが適用されます。
ルールを追加をクリックして、新しいアウトバウンドファイアウォールルールを追加します。
- ポリシーフィールドは、ACL ステートメントで指定された条件に合致するトラフィックを許可するか拒否するかを決定します。
- ルールの説明フィールドには、ルールに関する追加情報やコメントを記載できます。
- プロトコルフィールドでは、TCP、UDP、ICMPv4/ICMPv6 トラフィック、または Any を指定できます。
- 送信元フィールドは IP または CIDR サブネットをサポートします。複数の IP またはサブネットはカンマ区切りで入力できます。"Any" を使用すると全ネットワークを指定できます。送信元 IP または CIDR サブネットは、MX の「アドレッシング & VLAN」ページで設定されているサブネットから指定する必要があります。"Any" を送信元として指定した場合、MX の「アドレッシング & VLAN」ページで設定されているすべてのサブネットが対象となります。
- 宛先フィールドも IP または CIDR サブネットをサポートします。複数の IP またはサブネットはカンマ区切りで入力できます。"Any" も全ネットワーク指定に使用できます。FQDN やドメイン名も宛先としてサポートされています。
- 送信元ポート および 宛先ポートフィールドは、ポート番号またはポート範囲をサポートします。複数ポートはカンマ区切りで入力できます。ポート範囲はハイフン ( - ) を使用できます。
テンプレートファイアウォールルール
設定テンプレートでファイアウォールルールを構成する場合、追加のオプションが利用できます。詳細については、設定テンプレートページの「テンプレートのファイアウォールルール」セクションを参照してください。
セルラー フェイルオーバールール
アプライアンスがセルラーモデムをアップリンクとして使用している場合、これらのファイアウォールルールが既存のアウトバウンドルールに追加されます。これにより、業務で重要な用途のみにセルラートラフィックを制限し、不要なセルラー課金を防ぐことができます。
FQDN サポート
MX 13.4 以降では、宛先フィールドに完全修飾ドメイン名(FQDN)を設定できます。
L3 ファイアウォールルールで FQDN を使用している場合、MX のファームウェアバージョンを MX 13.3 以前にダウングレードすると、FQDN を含むファイアウォール設定部分はすべて削除されます。バージョン 13.4 未満のファームウェアでは L3 ファイアウォールルールで FQDN はサポートされていません。
FQDN ベースの L3 ファイアウォールルールは、DNS トラフィックのスヌーピングに基づいて実装されています。クライアントデバイスが Web リソースへアクセスしようとすると、MX は DNS リクエストとレスポンスを追跡して、クライアントへ返された Web リソースの IP アドレスを学習します。
この構成を利用・テストする際の重要な注意点は以下の通りです:
- MX は適切な IP マッピングを学習するために、クライアントの DNS リクエストおよびサーバのレスポンスを必ず確認する必要があります。DNS リクエストは特定クライアントからである必要はなく、MX は DNS レスポンスに基づき FQDN をマッピングします(どのクライアントが DNS リクエストを発行したかは問いません)。クライアントと DNS サーバ間通信は、VLAN 間や NAT されたフローでも構いませんが、同一 VLAN 内のトラフィック(intra-VLAN)はスヌーピングされません。
- 一部の場合、クライアントデバイスがアクセスしようとする Web リソースの IP 情報をすでに持っていることがあります。これは、以前の DNS 応答がキャッシュされている場合や、端末にローカルで静的に DNS エントリが設定されている場合などです。これらの場合、クライアントが MX で検査できる DNS リクエストを発生させなければ、MX は Web リソースへの通信を正しくブロックまたは許可できないことがあります。
- FQDN ルールでサブドメインを指定しない場合、自動的にワイルドカード(*)が domain.tld の前に付与されます。このワイルドカードはダッシュボードには表示されませんが、syslog が構成されている場合は syslog メッセージで確認できます。たとえば、「yahoo.com」を許可するルールは mail.yahoo.com など yahoo.com のすべてのサブドメインにも適用されます。「mail.yahoo.com」を許可するルールの場合は mail.yahoo.com のみに適用され、他のサブドメインや TLD には適用されません。
MX は TCP ベースまたは暗号化された DNS トラフィックをスヌーピングできません。
設定例は以下の通りです:
正常に動作させるためには、DNS トラフィックを MX のレイヤ 3 ファイアウォールで必ず許可してください。DNS をブロックすると、MX がホスト名や IP アドレスのマッピングを学習できず、期待通りにトラフィックをブロック・許可できなくなります。
異なる TLD への FQDN 解決
CNAME が完全に異なるトップレベルドメインに解決される場合、FQDN ルールはそのトラフィックに適用されません。これは特に CDN で顕著で、URL の末尾に CDN プロバイダーのドメインが追加されます。
例:update.microsoft.com は update.microsoft.com.akadns.net および update.microsoft.com.nsatc.net が返されます。
TLD が microsoft.com から akadns.net または nsatc.net に変わるため、*.update.microsoft.com をブロックする FQDN ルールではこれら 2 つの FQDN には適用されず、トラフィックは許可されます。
WAN アプライアンスサービス
- ICMP Ping:この設定を使用して、指定したアドレスからのインバウンド ICMP ping リクエストに対して WAN アプライアンスが応答できるようにします。リモート IP アドレスフィールドで指定できる値は None、Any、または特定の IP 範囲(CIDR 表記)が利用可能です。複数の IP 範囲はカンマ区切りで入力できます。個別の IP アドレスを指定する場合は X.X.X.X/32 形式を使用してください。
- Web(ローカルステータス&設定):この設定を使用して、WAN アプライアンスの WAN IP 経由でローカル管理ページ(wired.meraki.com)へのアクセスを許可または無効化します。リモート IP フィールドの値は ICMP Ping と同じです。
- SNMP:この設定を使用して、WAN からアプライアンスへの SNMP ポーリングを許可します。リモート IP フィールドの値は ICMP Ping と同じです。
WAN アプライアンスサービスの設定セクションは、パススルーまたは VPN コンセントレーターモードで動作している WAN アプライアンスでは削除されます。これらのサービスの制限は上流ネットワーク機器で設定する必要があります。
レイヤ 7 ファイアウォールルール
Meraki 独自のレイヤ 7 トラフィック解析技術を利用することで、IP アドレスやポート範囲を指定せずに、特定の Web サービスや Web サイト、Web サイトの種類をブロックするファイアウォールルールを作成できます。アプリケーションや Web サイトが複数の IP アドレスを使用する場合や、IP アドレスやポート範囲が変更される場合に特に有効です。
カテゴリ単位でアプリケーション(例:『すべての動画・音楽サイト』)や、カテゴリ内で特定タイプ(例:『動画・音楽』カテゴリ内の iTunes のみ)をブロックすることも可能です。下図は、カテゴリ全体とカテゴリ内アプリケーション個別ブロックを含むレイヤ 7 ファイアウォールルールセットの例です:
また、HTTP ホスト名、宛先ポート、リモート IP 範囲、宛先 IP/ポートの組み合わせによるブロックも可能です。
L2TP VPN や AnyConnect VPN では、リモート IP のインバウンドブロックはできません。
Geo-IP ベースファイアウォール
レイヤ 7 ファイアウォールは、アウトバウンドトラフィックの宛先国およびリターントラフィックの送信元に基づいてトラフィックをブロックできます。
これを行うには、新しいレイヤ 7 ファイアウォールルールを作成し、アプリケーションのドロップダウンから国...を選択します。指定した国への・からのすべてのトラフィックをブロックする、または指定した国以外のトラフィックをブロックすることも可能です。MaxMind が Geo-IP ベースレイヤ 7 ルールに利用されています。
Geo-IP ファイアウォールルールは Advanced Security Edition ライセンスを持つ物理 MX アプライアンス専用の機能です。この機能は Z3 デバイスや vMX アプライアンスではサポートされません。
Geo-IP ファイアウォールルールがトラフィックをブロックする場合、その国に存在する特定の IP 範囲のみ許可(例外)することはできません。
Geo-IP ファイアウォールルールは内部ルーティングされたトラフィックにも適用されます。セキュリティ & SD-WAN > 設定 > アドレッシング & VLANページで構成されたサブネットが、Geo-IP ファイアウォールルールでブロックされている国にジオロケートされる場合、MX はそれらのサブネットからのトラフィックをすべて破棄します。
転送ルール
このエリアでは、ポートフォワーディングルールや 1:1 NAT マッピングを必要に応じて設定できます。
ポートフォワーディング
このオプションを使用すると、MX の WAN IP 宛の特定ポートへのトラフィックを、ローカルサブネットまたは VLAN 内の任意の IP アドレスへ転送できます。ポートフォワーディングルールを追加をクリックして新しいルールを作成してください。以下を入力します:
-
説明:ルールの説明
- アップリンク:Internet 1、Internet 2、または両方のパブリック IP でリッスンします。
- プロトコル:TCP または UDP
- パブリックポート:WAN 側で受信するトラフィックの宛先ポート
- LAN IP:トラフィックを転送するローカル IP アドレス
- ローカルポート:MX から指定した LAN ホストへ送信される転送トラフィックの宛先ポート。ポート変換せずに転送したい場合はパブリックポートと同じ値にしてください。
- 許可されたリモート IP:このポートフォワーディングルールを通じて内部リソースへアクセスを許可するリモート IP アドレスや範囲
ポート範囲を転送するポートフォワーディングルールも作成可能です。ただし、パブリックポートフィールドで指定した範囲とローカルポートフィールドで指定した範囲の長さは同じでなければなりません。パブリックポートは範囲内の対応するローカルポートに転送されます。たとえば、TCP 223-225 を TCP 628-630 へ転送する場合、223 は 628、224 は 629、225 は 630 に変換されます。
1:1 NAT
このオプションを使用すると、MX の WAN 側 IP アドレス(自身の WAN IP 以外)をネットワーク内のローカル IP アドレスへマッピングできます。1:1 NAT マッピングを追加をクリックして新しいマッピングを作成します。以下を入力してください:
- 名前:ルールの説明的な名前
- パブリック IP:WAN から内部リソースへアクセスする際に使用する IP アドレス
- LAN IP:WAN へ公開したい内部リソースをホストするサーバまたはデバイスの IP アドレス
- アップリンク:トラフィックが到着する物理 WAN インターフェース
- 許可されるインバウンド接続:このマッピングでアクセスを許可するポートおよびリモート IP。インバウンド接続を有効化するには、さらに接続を許可をクリックし、以下を入力します:
- プロトコル:TCP、UDP、ICMP ping、any から選択
- ポート:LAN 上のホストへ転送されるポートまたはポート範囲。複数のポートや範囲はカンマ区切りで指定可能。
- リモート IP:指定したポートまたはポート範囲でインバウンド接続を許可する WAN IP アドレス範囲。複数指定はカンマ区切りで記載。
設定済みルールは+アイコンでリスト内の順序を上下に移動できます。X をクリックすると削除できます。
1:1 NAT ルールを作成しても、NAT マッピングで指定したパブリック IP へのインバウンドトラフィックが自動的に許可されるわけではありません。デフォルトですべてのインバウンド接続は拒否されます。インバウンドトラフィックを許可するには、前述のように許可されるインバウンド接続を構成してください。
1:多 NAT
1:多 NAT(Port Address Translation、PAT とも呼ばれる)は 1:1 NAT より柔軟性があります。1つのパブリック IP で、異なるポートや LAN IP 向けに複数の転送ルールを設定できます。1:多 NAT リスナー IP を追加するには、Add 1:Many IP をクリックしてください。
- パブリック IP:WAN から内部リソースへアクセスする際に使用する IP アドレス
- アップリンク:トラフィックが到着する物理 WAN インターフェース
1:多 NAT エントリは 1 つの転送ルールとともに作成されます。追加ルールは、既存の 1:多 エントリの下で ポートフォワーディングルールを追加をクリックして追加します。
-
説明:ルールの説明
- プロトコル:TCP または UDP
- パブリックポート:WAN 側で受信するトラフィックの宛先ポート
- LAN IP:トラフィックを転送するローカル IP アドレス
- ローカルポート:MX から指定した LAN ホストへ送信される転送トラフィックの宛先ポート。ポート変換せずに転送したい場合はパブリックポートと同じ値にしてください。
- 許可されたリモート IP:このポートフォワーディングルールを通じて内部リソースへアクセスを許可するリモート IP アドレスや範囲
Bonjour フォワーディング
この機能を使用すると、VLAN 間で Bonjour を動作させることができます。Bonjour フォワーディングルールを追加をクリックして新しい転送ルールを作成してください。
- 説明:ルール名を指定してください。
- サービス VLAN:ネットワークサービスが実行されている 1 つ以上の VLAN を選択してください。クライアント VLAN からの Bonjour リクエストがこれらの VLAN へ転送されます。
- クライアント VLAN: Bonjour リクエストが発信される VLAN を 1 つ以上選択してください。これらの VLAN 上のリクエストがサービス VLAN へ転送されます。 転送可能なサービスは以下の通りです:
- すべてのサービス
- AirPlay
- プリンター
- AFP (Apple ファイル共有)
- スキャナー
- iChat
