モバイル VPN を構成すると、Firebox によって以下の 2 つの種類のポリシーが自動で作成されます。
接続ポリシー
接続ポリシーは、VPN を確立します。Mobile VPN with SSL の場合、接続ポリシーの名前は WatchGuard SSLVPN になります。このポリシーを変更しないことをお勧めします。
アクセス ポリシー
アクセス ポリシーは、Mobile VPN with SSL グループおよびユーザーが、ネットワーク上のリソースにアクセスすることを許可します。Mobile VPN with SSL の場合、アクセス ポリシーの名前は Allow SSLVPN-Users です。
既定では、Allow SSLVPN-Users ポリシーは、ユーザーがすべてのネットワーク リソースにアクセスできるよう許可します。これは、Allow SSLVPN-Users ポリシーの 送信先 リストには Any というエイリアスのみが含まれているためです。
SSLVPN-Users グループのみが、SSLVPN-Users ポリシーの 送信元 の一覧に表示されます。SSLVPN-Users グループには、Mobile VPN with SSL 構成に追加したすべてのユーザーとグループが含まれます。Mobile VPN with SSL に追加したユーザーとグループは、Allow SSLVPN-Users ポリシーの 送信元 リストには表示されません。ただし、ポリシーはそれらのユーザーとグループにも適用されます。
認証グループと SSL ポリシー
Firebox のポリシーは、モバイル VPN ユーザーがアクセスできるリソースを制御するものであることを理解することが重要です。VPN は、信頼済みまたは任意のゾーンの一部とは見なされません。そのため、ユーザーが VPN に接続しても、ローカル ネットワーク上の信頼済みユーザーと見なされるわけではありません。
つまり、送信元 リストに表示されているエイリアスが信頼済みまたは任意の Firebox ポリシーは、モバイル VPN グループまたはユーザーをそれらのポリシーに追加しない限り、モバイル VPN ユーザーからのトラフィックには適用されません。または、モバイル VPN のグループやユーザーからのトラフィック用に新しいポリシーを作成することもできます。
たとえば、このポリシーの場合、送信元 リストには Any-Trusted というエイリアスしか含まれていないため、これは Mobile VPN with SSL ユーザーからのトラフィックには適用されません。
このポリシーの場合、送信元 リストには Mobile VPN with SSL ユーザー グループが含まれているため、これは Mobile VPN with SSL からのトラフィックに適用されます。
また、Mobile VPN with SSL の構成で RADIUS ユーザー グループの TestGroup1 が指定されているため、このポリシーは Mobile VPN with SSL ユーザーからのトラフィックにも適用されます。
Firebox ポリシーに追加するユーザー グループは慎重に検討してください。たとえば、Firebox の認証構成に RADIUS ユーザー グループを追加し、Mobile VPN with SSL の構成にも同じグループを追加する場合、Firebox ポリシーには既定の SSLVPN-Users グループではなく、RADIUS グループを追加することを検討してください。SSLVPN-Users グループには、Mobile VPN with SSL 構成に追加したすべてのグループとユーザーが含まれます。Firebox ポリシーに SSLVPN-Users グループを追加すると、意図に反して、すべてのモバイル ユーザーがそのポリシーで指定されたリソースにアクセスできるようになってしまいます。
仮想 IP アドレス プールは、VPN ユーザーをローカル ネットワーク上の信頼済みユーザーとみなすかどうかには影響しません。たとえば、ローカル ネットワークの IP アドレス範囲と重複するように Mobile VPN with SSL の IP アドレス プールを指定した場合でも、モバイル VPN ユーザーはローカル ネットワーク上の信頼できるユーザーとはみなされません。
SSL ポリシーのベストプラクティス
Mobile VPN with SSL ユーザーが VPN を経由してアクセスできるネットワーク リソースを制限することをお勧めします。これを行うには、Allow SSLVPN-Users ポリシーを置き換えます。
Allow SSLVPN-Users ポリシーを置き換えるには、以下の手順を実行します。
- ユーザーが必要とするポートとプロトコルを決定します。決定するには、ベースライン テストでネットワークを評価し、ログを確認します。
- Mobile VPN with SSL のグループとユーザーを、それらのポートとプロトコルを指定する既存の Firebox ポリシーに追加します。たとえば、Web トラフィック用のポリシーに Mobile VPN with SSL のグループとユーザーを追加することができます。
- 必要に応じて、新しいポリシーを追加します。
- 新しいポリシーの種類を選択すると、プロトコルとポートを指定できます。
- ポリシーの 送信元 リストで、ユーザーまたはグループを指定します。Mobile VPN with SSL 構成に含まれるグループまたはユーザーを指定する必要があります。たとえば、既定の SSLVPN-Users グループを指定することができます。または、Mobile VPN with SSL 構成に追加したグループやユーザーを指定します。
- ポリシーの 送信先 リストから Any エイリアスを削除し、他の送信先を追加します。
- Allow SSLVPN-Users ポリシーを無効にする前に、ポリシーによって Mobile VPN with SSL のユーザーが必要なすべてのネットワーク リソースにアクセスできることを確認します。
- Allow SSLVPN-Users ポリシーを無効にします。