モバイル VPN を構成すると、Firebox によって以下の 2 つの種類のポリシーが自動で作成されます。
接続ポリシー
接続ポリシーは、VPN を確立します。Mobile VPN with IKEv2 の場合、接続ポリシーの名前は Allow-IKE-to-Firebox になります。このポリシーは非表示になっているため、Firebox のポリシー リストには表示されません。
グローバル VPN 設定では、組み込みの IPSec ポリシーを有効にする 設定がこのポリシーを制御します。組み込みの IPSec ポリシーを有効にする チェックボックスはオフにしないでください。グローバル VPN 設定の詳細については、次を参照してください:グローバル VPN 設定について。
アクセス ポリシー
アクセス ポリシーは、Mobile VPN with IKEv2 グループおよびユーザーが、ネットワーク上のリソースにアクセスすることを許可します。Mobile VPN with IKEv2 の場合、アクセス ポリシーの名前は Allow IKEv2-Users です。
既定では、Allow IKEv2-Users ポリシーは、ユーザーがすべてのネットワーク リソースにアクセスできるよう許可します。これは、Allow IKEv2-Users ポリシーの 送信先 リストには Any というエイリアスのみが含まれているためです。
IKEv2-Users グループのみが、Allow IKEv2-Users ポリシーの 送信元 の一覧に表示されます。IKEv2-Users グループには、Mobile VPN with IKEv2 構成に追加したすべてのユーザーとグループが含まれます。Mobile VPN with IKEv2 に追加したユーザーとグループは、Allow IKEv2-Users ポリシーの 送信元 リストには表示されません。ただし、ポリシーはそれらのユーザーやグループにも適用されます。
認証グループと IKEv2 ポリシー
Firebox のポリシーは、モバイル VPN ユーザーがアクセスできるリソースを制御するものであることを理解することが重要です。VPN は、信頼済みまたは任意のゾーンの一部とは見なされません。そのため、ユーザーが VPN に接続しても、ローカル ネットワーク上の信頼済みユーザーと見なされるわけではありません。
つまり、送信元 リストに表示されているエイリアスが信頼済みまたは任意の Firebox ポリシーは、モバイル VPN グループまたはユーザーをそれらのポリシーに追加しない限り、モバイル VPN ユーザーからのトラフィックには適用されません。または、モバイル VPN のグループやユーザーからのトラフィック用に新しいポリシーを作成することもできます。
たとえば、このポリシーの場合、送信元 リストには Any-Trusted というエイリアスしか含まれていないため、これは Mobile VPN with IKEv2 ユーザーからのトラフィックには適用されません。
このポリシーの場合、送信元 リストには Mobile VPN with IKEv2 ユーザー グループが含まれているため、これは Mobile VPN with IKEv2 からのトラフィックに適用されます。
また、Mobile VPN with IKEv2 の構成で RADIUS ユーザー グループの TestGroup1 が指定されているため、このポリシーは Mobile VPN with IKEv2 ユーザーからのトラフィックにも適用されます。
Firebox ポリシーに追加するユーザー グループは慎重に検討してください。たとえば、Firebox の認証構成に RADIUS ユーザー グループを追加し、Mobile VPN with IKEv2 の構成にも同じグループを追加する場合、Firebox ポリシーには既定の IKEv2-Users グループではなく、RADIUS グループを追加することを検討してください。IKEv2-Users グループには、Mobile VPN with IKEv2 構成に追加したすべてのグループとユーザーが含まれます。Firebox ポリシーに IKEv2-Users グループを追加すると、意図に反して、すべてのモバイル ユーザーがそのポリシーで指定されたリソースにアクセスできるようになってしまいます。
仮想 IP アドレス プールは、VPN ユーザーをローカル ネットワーク上の信頼済みユーザーとみなすかどうかには影響しません。たとえば、ローカル ネットワークの IP アドレス範囲と重複するように Mobile VPN with IKEv2 の IP アドレス プールを指定した場合でも、モバイル VPN ユーザーはローカル ネットワーク上の信頼できるユーザーとはみなされません。
IKEv2 ポリシーのベストプラクティス
Mobile VPN with IKEv2 ユーザーが VPN を経由してアクセスできるネットワーク リソースを制限することをお勧めします。これを行うには、Allow IKEv2-Users ポリシーを置き換えます。
Allow IKEv2-Users ポリシーを置き換えるには、以下の手順を実行します。
- ユーザーが必要とするポートとプロトコルを決定します。決定するには、ベースライン テストでネットワークを評価し、ログを確認します。
- Mobile VPN with IKEv2 のグループとユーザーを、それらのポートとプロトコルを指定する既存の Firebox ポリシーに追加します。たとえば、Web トラフィック用のポリシーに Mobile VPN with IKEv2 のグループとユーザーを追加することができます。
- 必要に応じて、新しいポリシーを追加します。
- 新しいポリシーの種類を選択すると、プロトコルとポートを指定できます。
- ポリシーの 送信元 リストで、ユーザーまたはグループを指定します。Mobile VPN with IKEv2 構成に含まれるグループまたはユーザーを指定する必要があります。たとえば、既定の IKEv2-Users グループを指定することができます。または、Mobile VPN with IKEv2 構成に追加したグループやユーザーを指定します。
- ポリシーの 送信先 リストから Any エイリアスを削除し、他の送信先を追加します。
- Allow IKEv2-Users ポリシーを無効にする前に、ポリシーによって Mobile VPN with IKEv2 のユーザーが必要なすべてのネットワーク リソースにアクセスできることを確認します。
- Allow IKEv2-Users ポリシーを無効にします。