WAF で SD-WAN ルートを使用する
リモートネットワークにある WAF (Web アプリケーションファイアウォール) で保護された Web サーバーに、SD-WAN ルートを使用してトラフィックをルーティングできます。
-
シナリオ
この例は、以下の構成に基づいています。
- WAF によって保護された Web サイトが、ポート 1 (WAN) で TCP ポート 8080 経由で公開されている。
- Sophos Firewall とリモートのファイアウォールが、ルートベースの IPsec VPN で接続されている。
- リモートのファイアウォールの背後にある Web サーバーに、
gw6
ゲートウェイ経由でアクセスできる。
ネットワーク図
要件
以下を設定していることを確認します。
- Web サイトの WAF ルール。詳細は、Web アプリケーションファイアウォール (WAF) ルールの作成を参照してください。
- ルートベースの IPsec VPN 接続 (両方のファイアウォールで設定が必要)。詳細は、トラフィックセレクタを用いたルートベースの VPN の作成を参照してください。
ゲートウェイオブジェクトを設定する
リモートの Web サーバーに通じるゲートウェイに、ゲートウェイオブジェクトを設定する必要があります。ゲートウェイオブジェクトを設定するには、次の手順を実行します。
- 「ルーティング > ゲートウェイ」に移動します。
- 「IPv4 ゲートウェイ」で、「追加」をクリックします。
- 名前を入力します。この例では
gw6
を使用しています。 - 「ゲートウェイ IP」に、リモートゲートウェイの IP アドレスを入力します。この例では
10.12.13.2
を使用しています。 - 「インターフェース」で、ゲートウェイのインターフェースを選択します。この例では
xfrm1-10.12.13.1
を使用しています。 - 「監視条件」で、ゲートウェイの背後にあるホストデバイスの IP アドレスを入力します。この例では
10.12.13.2
を使用しています。
詳細は、ゲートウェイの追加を参照してください。
SD-WAN ルートを設定する
SD-WAN ルートを設定するには、次の手順を実行します。
-
「ルーティング > SD-WAN ルート」に移動します。
-
「IPv4」を選択して「追加」をクリックします。
-
名前を入力します。この例では
SD-WAN WAF
を使用しています。 -
「宛先ネットワーク」で
Any
(任意) を削除し、Web サーバーへのアクセスに使用する WAN インターフェースを選択します。この例では#Port1
を使用しています。 -
「サービス」で
Any
(任意) を削除し、Web サーバーへのアクセスに使用するポートのサービスオブジェクトを選択します。この例では TCP8080
を使用しています。
Web サーバーの外部 TCP ポートが内部 TCP ポートと異なる場合は、SD-WAN ルートでは外部 TCP ポートを使用してください。
-
「リンク選択の設定」で、「プライマリゲートウェイとバックアップゲートウェイ」を選択します。
-
「プライマリゲートウェイ」で、Web サーバーへのアクセスに使用するゲートウェイを選択します。この例では
gw6
を使用しています。
- 「保存」をクリックします。
複数の Web サーバーにルーティングする
トラフィックを複数の Web サーバーにルーティングするには、次の手順に従います。
- 複数のサーバーが、同じゲートウェイで異なる TCP ポートまたは WAN IP アドレスを使用している場合は、同じ SD-WAN ルートを使用します。これらのポートを SD-WAN ルートのサービスに追加し、WAN IP アドレスを宛先ネットワークに追加します。
- 複数のサーバーが異なるゲートウェイを使用している場合は、異なる SD-WAN ルートを使用します。