リモートアクセス SSL VPN ポリシーの追加

リモートアクセス SSL VPN ポリシーを設定して、ユーザーやグループが許可されたネットワークリソースにアクセスできるようにすることができます。また、ファイアウォールを通過するインターネットトラフィックを要求することもできます。

ゲートウェイ、クライアントアドレス、およびその他の設定は、SSL VPN グローバル設定に基づきます。

ポリシーを設定する

「リモートアクセス VPN > SSL VPN」に移動し、「追加」をクリックします。
「手動で設定する」をクリックします。
名前を入力します。
ポリシーメンバーの場合は、事前に設定されたユーザーとグループを選択します。

ゲストユーザーは、リモートアクセス IPsec VPN および SSL VPN にはアクセスできません。そのため、ゲストユーザーとゲストグループを追加することはできません。

警告

最新のポリシーに含まれるユーザーやグループが、以前のリモートアクセス SSL VPN ポリシーにも含まれる場合、以前のポリシーからは自動的に削除されます。
「デフォルトのゲートウェイとして使用」をオンにすると、すべてのリモートユーザートラフィック (ネットワークおよびインターネットへのトラフィック) がファイアウォール経由で送信されます。

このオプションをオンにする場合は、以下のルールとポリシーを作成してください。
1. 特定のネットワークへのトラフィックを許可するためのファイアウォールルール。
2. リモートユーザーのインターネットトラフィックを許可するためのファイアウォールルール。以下の設定が必要です。
  - 「送信元ゾーン」を「VPN」に設定する
  - 「宛先ゾーン」を「任意」に設定する
  - 「送信元ネットワークとデバイス」をシステムホスト「##ALL_SSLVPN_RW」および「##ALL_SSLVPN_RW6」に設定する
3. インターネットへのトラフィックに対する保護ポリシー。
4. デフォルトの IPv4 SNAT ルール、または、送信トラフィックをマスカレードするための別の SNAT ルールがあるかどうかを確認する必要があります。ない場合は、SSL VPN のリースされた IP アドレスをパブリック IP アドレスに変換するために、リンク NAT ルールを設定する必要があります。詳細は、SNAT ルールをチェックするを参照してください。
「デフォルトのゲートウェイとして使用」をオンにしていない場合は、「許可されたネットワークリソース」で、ポリシーのリモートアクセスユーザーにアクセスさせる内部ネットワークを選択します。
- 「デフォルトのゲートウェイとして使用」をオンにした場合は、許可されたリソースに関する設定が適用されません。リモートユーザーのアクセスは、SSL VPN ポリシーで指定したネットワークに制限されません。これらのネットワークへのアクセスを制御するために、ファイアウォールルールを使用する必要があります。
- また、許可された IPv4 ネットワークの FQDN を選択することもできる。VPN のログには、FQDN ではなく、解決された IP アドレスが表示されます。
  
  注
  
  FQDN に対するダイナミック IP アドレスの変更は、SSL VPN トンネルに自動的に反映されません。リモートユーザーは、許可されたリソースにアクセスするために、手動で接続を切断してから再接続する必要があります。
(任意) アイドルセッションがあるクライアントをファイアウォールが切断する時間を設定する場合は、「アイドルクライアントの切断」を選択します。
(任意)「グローバルタイムアウトの上書き」には、時間を分単位で入力します。

注

このタイムアウト値が適用されるのは、値が SSL VPNグローバル設定のアイドルピア値より小さい場合だけです。これより大きい値を指定すると、グローバル設定の値が適用されます。

次の段階の手順

必要なファイアウォールサービスおよびリソースへのアクセスをすべて許可するには、以下の手順を実行します。

「管理 > デバイスのアクセス」に移動し、以下のようにサービスへのトラフィックを許可するゾーンを選択します。
1. SSL VPN: WAN
2. VPN ポータル: LAN、WAN
  
  ユーザーは VPN ポータルから設定ファイルをダウンロードする必要があります。
「ルールとポリシー > ファイアウォールルール」に移動し、ファイアウォールルールを追加するか、または既存のルールを更新して、リモートアクセス SSL VPN トンネル経由でのリソースへのアクセスを許可します。