関連トピック
ポリシー ベースのルーティングを構成する
ネットワーク トラフィックを送信するため、ルーターは通常、パケットの宛先アドレスを検査し、ルーティング テーブルを参照して次のホップ先を検索します。場合によって、ルーティング テーブルに指定されている既定の経路とは異なるパスでトラフィックを送信することが考えられます。そのような場合は、ポリシーに合致するすべての送信トラフィックに対して特別な外部インターフェイスを使用するよう、ポリシーを構成します。このテクニックは、ポリシー ベースのルーティングとして知られています。ポリシーベースのルーティングは、他の複数 WAN (マルチ WAN) および仮想 BOVPN インターフェイスの設定より優先されます。
ポリシーベースのルーティングは、外部インターフェイスが複数定義されている Firebox でマルチ WAN 構成する場合、または仮想 BOVPN インターフェイスを構成する場合に使用することができます。複数 WAN または仮想 BOVPN のインターフェイス構成で、トラフィックがラウンドロビン構成で送信されるよう設定されている場合でも、ポリシーベースのルーティングを使用することで、ポリシーのトラフィックを確実に同じ外部インターフェイスから外に送り出すことができます。例えば、指定のインターフェイスを経由してメールをルーティングする場合、SMTP または POP3 プロキシ定義でポリシー ベースのルーティングを使用します。
ポリシー ベースのルーティング、フェールオーバーおよびフェールバック
ポリシーベースのルーティングを構成するには、既存のポリシーで ポリシーベースのルーティングを使用する オプションを選択し、外部インターフェイスを選択します。ポリシーに当てはまるすべての非 IPSec トラフィックは、指定したインターフェイスを通じて送信されます。
インターフェイスが使用できない場合、インターフェイスが再度使用可能になるまでポリシーはトラフィックを中断します。インターフェイスが利用できない場合もトラフィックが流れるようにするには、ポリシー設定からフェイルオーバー用の外部インターフェイスを指定することができます。プライマリ インターフェイスが再度使用可能になると、新しい接続がプライマリ インターフェイスにフェールバックします。アクティブな接続はフェールバックされず、フェールオーバー インターフェイスに残ります。
Firebox の複数 WAN 構成のフェールバック設定は、ポリシーベースのルーティングには適用されません。
ポリシー ベースのルーティングの制約事項
- ポリシーベースのルーティングは、複数 WAN が有効な場合、または仮想 BOVPN インターフェイスが構成されている場合のみ使用できます。これらの機能のいずれかを有効にすると、ポリシー構成にはポリシーベースのルーティングを構成するためのフィールドが自動的に追加されます。
- 既定では、ポリシー ベースのルーティングは無効です。
- ポリシーベースのルーティングは、IPSec トラフィックには適用されませんが、信頼済みまたは任意ネットワークに向かうトラフィック (着信トラフィック) には適用されます。
- ポリシーベースのルーティングは、外部 インターフェイスのみ使用できます。静的 NAT または 1 - 1 NAT が構成されたインターフェイス、または外部インターフェイス以外のインターフェイスは指定できません。
- 選択する 外部 インターフェイスは、ポリシーの 送信先 リストに設定したエイリアスまたはネットワークのメンバーであることが必要です。
ポリシー ベースのルーティングをポリシーに追加する
ポリシーベースのルーティングをポリシーに追加するには、Fireware Web UI から以下の手順を実行します:
- ファイアウォール > ファイアウォール ポリシー の順に選択します。
- 目的のポリシーのチェック ボックスを選択し、アクション > ポリシーの編集 の順に選択します。
または、ポリシーをダブルクリックします。
編集 ページが表示されます。 - [ポリシー ベースのルーティングを使用] チェック ボックスをオンにします。
- ポリシーに一致するアウトバウンド トラフィックを送り出すのに使用するインターフェイスを指定するには、横のドロップダウン リストから外部インターフェイス名を選択します。
- (オプション) 次のセクションの説明に従い、複数 WAN フェールオーバーとポリシーベースのルーティングを構成します。
フェールオーバーを選択せず、このポリシーに設定したインターフェイスがアクティブでない場合、インターフェイスが再び利用可能になるまで、該当するトラフィックは中断されます。ポリシーベースのルーティングに BOVPN 仮想インターフェイスを選択した場合、フェールオーバー オプションは使用できません。 - 保存 をクリックします。
ポリシーベースのルーティングをポリシーに追加するには、Policy Manager から以下の手順を実行します:
- Policy Manager を開きます。
- ポリシーを選択して、 をクリックします。
または、ポリシーをダブルクリックします。
ポリシー プロパティの編集 ダイアログ ボックスが表示されます。 - [ポリシー ベースのルーティングを使用] チェック ボックスをオンにします。
- ポリシーに一致するアウトバウンド トラフィックを送り出すのに使用するインターフェイスを指定するには、横のドロップダウン リストから外部インターフェイス名を選択します。
- (オプション) 次のセクションの説明に従い、複数 WAN フェールオーバーとポリシーベースのルーティングを構成します。
[フェールオーバー] を選択しなかったとき、このポリシーに設定したインターフェイスがアクティブでない場合、インターフェイスが再び利用可能になるまで、該当するトラフィックはドロップされます。ポリシーベースのルーティングに仮想 BOVPN インターフェイスを選択した場合、フェールオーバー オプションは使用できません。 - OK をクリックします。
ポリシーベースのルーティングにフェールオーバーを追加構成する
このポリシー用に指定したインターフェイスをプライマリ インターフェイスとして設定し、他の外部インターフェイスをすべての非 IPSec トラフィック用のバックアップ インターフェイスとして定義できます。ポリシー用に設定したプライマリ インターフェイスがアクティブでない場合、トラフィックはバックアップ インターフェイスまたは指定されたインターフェイスに送信されます。
ポリシーベースのルーティングにフェールオーバーを追加構成するには、Fireware Web UI から以下の手順を実行します:
- ポリシーの 編集 ページで、ポリシーベースのルーティングを使用 チェックボックスの下にある フェールオーバーの使用 チェック ボックスをオンにします。
- リストで、フェールオーバー構成で使用する各インターフェイスのチェック ボックスをオンにします。
- フェールオーバーの順序を設定するには、リストのアイテムを選択して、上に移動 または 下に移動 をクリックします。
一覧の最初のインターフェイスがプライマリ インターフェイスです。 - 保存 をクリックします。
ポリシーベースのルーティングにフェールオーバーを追加構成するには、Policy Manager から以下の手順を実行します:
- ポリシー プロパティの編集 ダイアログ ボックスで、フェールオーバー を選択します。
- 構成 をクリックして、このポリシーで使用するバックアップ インターフェイスを追加します。
[ポリシー フェールオーバーの構成] ダイアログ ボックスが表示されます。
- 含める 列で、フェールオーバー構成で使用する各インターフェイスのチェック ボックスをオンにします。
- フェールオーバーの順番を設定するには、上へ移動 または 下へ移動 をクリックします。
一覧の最初のインターフェイスがプライマリ インターフェイスです。 - OK をクリックして、ポリシー フェールオーバーの構成 ダイアログ ボックスを閉じます。
- OK をクリックして、ポリシー プロパティの編集 ダイアログ ボックスを閉じます。
- 構成ファイルを保存する。