ポリシーベースの VPN 機能
ポリシーベースの VPN では、IPsec 接続のリスニングインターフェースを通過するトラフィックを、指定のローカルサブネットおよびリモートサブネット、ファイアウォールルールと照合し、一致するものを暗号化してカプセル化します。
ファイアウォールルールで指定した送信元アドレスと宛先アドレス、ゾーン、サービス、アプリケーション、ユーザーに基づいて、トンネル経由でのリソースアクセスを制御できます。
ポリシーベースの VPN (ホスト間またはサイト間) の設定は、「サイト間 VPN > IPsec」から行います。
すべてのポリシーベースの接続に、単一の IPsec インターフェースが使用されます。IPsec 接続で指定したローカルサブネットとリモートサブネットのペアごとに、フェーズ 2 のトンネルが確立されます。たとえば、2つのローカルサブネットと 2つのリモートサブネットを指定すると、4つのトンネルが確立されます。
Sophos Firewall ともう 1台の Sophos Firewall またはサードパーティ製ファイアウォールの間に、サイト間 IPsec 接続を作成できます。
注
ポリシーベースの VPN では、ローカルサブネットおよびリモートサブネットに「任意」を選択することはできません。
ローカルサブネットとリモートサブネットの一方でポリシーベースの VPN を、もう一方でルートベースの VPN を設定し、これらを使ってトンネルを作成することはできません。
使用例
ポリシーベースの VPN は、ルートベースの VPN に比べ、VPN 接続数が増えたときに保守管理の手間がかかります。ネットワークの拡張に伴い、IPsec 設定内のネットワークパラメータ (サブネットなど) を変更する必要があるからです。また、こうした変更の際に、確立済みの接続を切断することになるため、ダウンタイムをあらかじめ計画しておく必要があります。
ヒント
ポリシーベースの VPN の代わりに、ルートベースの VPN を使用することを推奨します。ルートベースの VPN では、IPsec 接続ごとに異なる XFRM インターフェースが使用されるため、デバッグが容易になります。
ポリシーベースの VPN は、以下のような場合に使用できます。
- ネットワークの数が少ない: ネットワークの数が少なく、今後も増える予定がない場合に使用できます。多数の VPN 接続を確立する必要がある場合は、ルートベースの VPN を使用することをお勧めします。
- 特定のネットワーク要件がある: このようなトンネルは、ネットワークの要件に応じて、必要な場合のみに使用するようにしてください。ポリシーベースの VPN では、ローカルサブネットとリモートサブネットのペアごとにフェーズ 2 のトンネルが作成されるため、より多くのリソースが必要となります。
ポリシーベースの VPN の設定方法
ポリシーベースのサイト間 VPN を設定するには、以下の手順に従います。
- ローカルの Sophos Firewall デバイスで、「サイト間 VPN > IPsec」に移動し、IPsec 接続の「接続の種類」を「サイト間」に設定します。
- ローカルネットワークとリモートネットワークで重複するサブネットの NAT 設定を指定します。
- 受信方向および送信方向のファイアウォールルールを手動で追加するか、または「ファイアウォールルールの作成」オプションを使用して自動的に作成します。高レベルのセキュリティを確保するには、自動作成されたファイアウォールルールを編集し、受信方向と送信方向に専用のファイアウォールルールを使用するようにしてください。
- リモートの Sophos Firewall で、同じ手順を繰り返します。