コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=routing-SD-WAN-routes-user-application-based

ユーザーベースおよびアプリケーションベースの SD-WAN ルート

ネットワーク基準に加えて、ユーザー、グループ、およびアプリケーションオブジェクトを使用して SD-WAN ルートを構成します。

ユーザーベースのルート

ユーザーベースの SD-WAN ルートが作成できます。たとえば、 「送信元ネットワーク」 を LAN に設定し、ルートに指定する「ユーザーやグループ」を選択します。ファイアウォールは、指定した送信元ネットワークからの、ユーザーからのトラフィックとルートを照合します。

アプリケーションベースのルート

有効な Web プロテクションライセンスが必要です。

SD-WAN ルートは、アプリケーションに基づいてトラフィックを分類できます。そのため、アプリケーションタイプに基づいてルートを指定できます。SD-WAN プロファイルまたはゲートウェイは、選択したアプリケーションオブジェクトに基づいて選択できます。

アプリケーションオブジェクトは、Web アプリケーション、マイクロアプリケーション (Facebook Messenger など)、Synchronized Security アプリケーション (エンドポイント デバイスで検出されたもの)、カスタムアプリケーション、およびアプリケーションカテゴリ (分類パラメータに基づくカテゴリ) に対して作成できます。

ファイアウォールは、指定した宛先ネットワーク内のこれらのアプリケーションオブジェクトへのトラフィックを含むルートを照合します。

アプリケーショントラフィックのルーティング動作

WAN リンク負荷分散: アプリケーションからの最初の接続を、デフォルトルート (WAN リンク負荷分散) を使ってルーティングします。指定されたアプリケーションベースの SD-WAN ルートは、Sophos Firewall がセッションの詳細を学習した後、後続の接続に適用されます。

冗長化 (HA): アプリケーションベースのルーティング情報のキャッシュは、ポート 4455 のマルチキャスト IP アドレス 226.1.1.1 を使用して、HA 専用リンクで同期されます。

マイクロアプリケーション: Web プロキシモードでは、マイクロアプリケーションのアプリケーションベースルーティングはサポートされません。パターンアプリケーションと同期セキュリティアプリケーションのみをサポートします。DPI エンジンは、マイクロアプリケーションを含むすべてのアプリケーションのアプリケーションベースルーティングをサポートします。

Sophos Firewall がアプリケーションルーティングを実装する方法:

  1. アプリケーションの最初の接続の宛先ポートおよび IP アドレス、プロトコル、受信インターフェースを照合して、一致する SD-WAN ルートを適用します。一致するルートが見つからない場合は、デフォルトルート (WAN リンク負荷分散) が適用されます。

  2. DPI エンジンはアプリケーションを識別し、分類の決定をキャッシュします。

    ユーザーのリクエストに基づき、1つの接続内で、元のアプリケーションを別のアプリケーションに引き継ぐことができます。たとえば、ユーザーは最初に Facebook.com にアクセスしてから Facebook チャットを開始できます。元のアプリケーションが識別された後に変更が発生した場合、 DPI エンジンは新しい分類を決定します。

  3. 新しい分類の決定は、アプリケーショントラフィックの後続の接続に適用されます。

アプリケーションセッション情報の有効時間 (TTL) は、セッションの開始から 3600秒です。この期間内に別のセッションが開始されない場合は、セッションの詳細が消去されます。Sophos Firewall を再起動すると、すべてのアプリケーションオブジェクトのセッション詳細が消去されます。アプリケーションを使用する後続の接続では、上記の実装プロセスが実行されます。

ユーザーアプリケーションベースのルーティングの設定方法

  1. アプリケーション > アプリケーションオブジェクト」に移動します。ビジネスとユーザーの優先度に基づいてアプリケーションオブジェクトを作成します。
  2. ルーティング > SD-WAN ルート」に移動します。
  3. IPv4」または「IPv6」をクリックし、「追加」をクリックします。
  4. ソースネットワーク」および「ユーザーやグループ」を選択します。
  5. 宛先ネットワーク」および作成した「アプリケーションオブジェクト」を選択します。
  6. SD-WAN プロファイルを選択してください。
  7. 保存」をクリックします。

ユースケース

  • Web アプリケーションの個々のアプリケーションを、異なるゲートウェイを介してルーティングします。

    たとえば、Facebook のゲームアプリを低帯域幅の ISP リンクに、その他の Facebook アプリを高帯域幅のリンクにルーティングするといったことができます。

  • 高帯域幅の ISP または MPLS リンクを介して重要なアプリケーションと特定のユーザーやグループをルーティングします。

  • ユーザーやグループに基づいてアプリケーショントラフィックをルーティングします。

  • アプリケーションとユーザートラフィックを特定のサーバーまたはルーターにルーティングします。