ネットワーク モードおよびインターフェイスについて

Firebox 設定の主要部分は、ネットワーク インターフェイスの IP アドレスの構成です。Web Setup Wizard または Quick Setup Wizard を実行する際は、トラフィックが保護されたデバイスから外部ネットワークへ流れるように、外部インターフェイスと信頼済みインターフェイスをセットアップします。インターフェイス構成を変更して、ネットワークの他のコンポーネントを構成に追加することができます。たとえば、Web サーバーなどのパブリック サーバー用の任意インターフェイスを設定できます。

Firebox によって、ローカル エリア ネットワーク (LAN) のネットワークが、インターネットなどのワイド エリア ネットワーク (WAN) から物理的に分離されます。このデバイスは、ルーティングを使用して、保護するネットワークから他の組織へパケットを送信します。デバイス経由でパケットを正しい宛先にルーティングするためには、デバイスが各インターフェイスに接続しているネットワークを識別する必要があります。

技術者のサポートが必要な場合、ネットワークおよび VPN 構成の基本情報を記録することをお勧めします。この情報によって、技術者が問題を解決します。WatchGuard にサポートの電話をおかけになる前に、手元に用意していただく情報につきましては、WatchGuard カスタマー サービスのご利用について を参照してください。

ネットワークの接続性の問題を解決するには、次を参照してください:ネットワーク接続をトラブルシューティングする

ネットワーク モード

Firebox は複数のネットワーク モードをサポートしています。

混合ルーティング モード

混合ルーティング モードで、さまざまな種類の物理および仮想ネットワーク インターフェイス間のトラフィックを送信するように Firebox を構成することができます。これは既定のネットワーク モードで、このモードでは最大限に柔軟にさまざまなネットワークを構成することができます。ただし、各インターフェイスを個別に構成する必要があります。また、Firebox によって保護されている各コンピュータまたはクライアントのために、ネットワーク設定の変更が必要になる場合があります。Firebox は、ネットワーク アドレス変換 (NAT) を使用して、ネットワーク インターフェイス間で情報を送信します。

詳細については、NAT (ネットワーク アドレス変換) について を参照してください。

混合ルーティング モードの要件は下記の通りです。

  • インターフェイスの種類が VLAN またはブリッジである場合を除き、Firebox すべてのインターフェイスが、それぞれ異なるサブネット上で構成されている必要があります。
  • 信頼済みインターフェイスおよび任意インターフェイスに接続されているすべてのコンピュータは、そのネットワークからの IP アドレスを持つ必要があります。

既定の Firebox 構成には、外部 (WAN) および信頼済み (LAN) インターフェイスが含まれます。さらに、1 つまたは複数の任意インターフェイスを構成することもできます。たとえば、DMZ のオプショナル インターフェイスを構成するとします。

ほとんどの場合、Firebox の構成には外部インターフェイスと信頼済みインターフェイスがあります。ただし、Firebox がエッジ ファイアウォールでない場合、外部インターフェイスは必須ではありません。例えば、LAN と WAN の間のエッジが別のデバイスによって保護されている場合、LAN 上で使用されている Firebox に外部インターフェイスを構成してネットワークを分離する必要はありません。外部インターフェイスなしの Firebox を構成するには、次を参照してください:外部インターフェイスなしで Firebox を構成する

混合ルーティングモードの詳細については、次を参照してください: 混合ルーティング モード

ドロップイン モード

ドロップイン構成では、Firebox はすべてのインターフェイスで同じ IP アドレスを使用して構成されます。Firebox はルータと LAN 間に配置でき、ローカル コンピュータの構成を変更する必要がありません。既存のネットワークに Firebox が ドロップイン されるため、この構成は ドロップイン と呼ばれます。このモードでは、ブリッジおよび仮想ローカル エリア ネットワーク (VLAN) のようないくつかの機能が利用できません。

ドロップイン構成のために、下記の操作を行ってください。

  • Firebox に静的外部 IP アドレスを割り当てます。
  • すべてのインターフェイスに対して 1 つの論理ネットワークを使用します。
  • ラウンド ロビンまたはフェールオーバー モードで、複数 WAN を構成しないで下さい。

詳細については、ドロップイン モード を参照してください。

ブリッジ モード

ブリッジ モードとは、Firebox を既存のネットワークとそのゲートウェイの間に配置して、ネットワーク トラフィックをフィルタリングまたは管理することができる機能です。この機能を有効にすると、Firebox はすべての受信トラフィックを処理して、指定されたゲートウェイ IP アドレスに転送します。トラフィックがゲートウェイへ到達する時に、元のデバイスから送信されたように見なされます。この構成では、Firebox は、パブリックおよびユニーク IP を必要とする一部の機能を実行することができません。たとえば、ブリッジ モードで、仮想プライベート ネットワーク (VPN) の endpoint として機能するように Firebox を構成することはできません。

詳細については、ブリッジ モード を参照してください。

インターフェイスの種類

Firebox インターフェイスを有効化する際に、以下の 4 種類のインターフェイスのいずれかとしてインターフェイスを構成する必要があります:

外部インターフェイス

外部インターフェイスは、Firebox と組織の外にあるネットワーク間を接続するために使用します。通常、外部インターフェイスとは、Firebox をインターネットに接続する方法を指します。

外部インターフェイスを構成する場合は、インターネット サービス プロバイダ (ISP) が Firebox の IP アドレスを割り当てるために使用する方法を選択します。その方法がわからない場合、ISP またはネットワーク管理者に問い合わせます。

外部インターフェイスは、Any-External エイリアスのメンバーです。外部インターフェイスには常に既定のルートがあり、これはゼロ ルート (0.0.0.0.0/0) としても知られています。

すべての外部インターフェイスを無効にした場合、またはすべての外部インターフェイスを内部インターフェイスに変更した場合、Firebox の既定のゲートウェイ IP アドレスを指定するように求めるプロンプトが表示されます。Firebox の既定のルートは、ネットワーク > ルート の構成で追加することはできません。

信頼済みインターフェイス

信頼済みインターフェイスは、プライベート LAN (ローカル エリア ネットワーク) または組織の内部ネットワークに接続します。通常、信頼済みインターフェイスは、社員および保護された内部リソースのために接続を提供します。信頼済みインターフェイスは Any-Trusted エイリアスのメンバーです。

オプショナル インターフェイス

信頼済みネットワークから分離された、信頼レベルが一定ではない環境または DMZ 環境に使用されます。一般的に任意インターフェイスに接続されるコンピュータの例としては、パブリック Web サーバー、FTP サーバー、メール サーバーなどがあります。オプショナル インターフェイスの設定は、信頼済みインターフェイスの場合と同じです。唯一の違いは、オプショナル インターフェイスが Any-Optional エイリアスのメンバーである点です。

カスタム インターフェイス

カスタム インターフェイスは、組織の内部ネットワークに接続されます。信頼済みまたは任意のセキュリティゾーンとは別のセキュリティゾーンを構成する場合に、カスタム インターフェイスを使用することができます。カスタム インターフェイスの詳細については、次を参照してください: カスタム インターフェイスを構成する

信頼済み、任意、およびカスタム インターフェイスはすべて内部インターフェイスであり、構成可能な設定はすべてで同じです。内部インターフェイスの IP アドレスは静的である必要があります。通常、内部インターフェイスは RFC 1918 および RFC 8190 に準拠している プライベート または 予約済み IP アドレスを使用します。内部ネットワークでは、所有していないパブリック IP アドレスは使用しないことをお勧めします。

Firebox のインターフェイスを構成する場合、スラッシュ表記を使用して、サブネット マスクを指定する必要があります。例えば、IPv4 ネットワーク範囲 192.168.0.0、サブネットマスク 255.255.255.0 は、192.168.0.0/24 と入力します。IPv4 アドレス 10.0.1.1/16 の信頼済みインターフェイスのサブネットマスクは 255.255.0.0 です。

混合ルーティング モードでは、ブリッジ、VLAN、リンク アグリゲーション インターフェイスも構成できます。これらの各インターフェイスの種類は、外部、信頼済み、任意、カスタムのいずれかのセキュリティゾーンに存在している必要があります。すべてのインターフェイスの種類に適用される設定の詳細については、次を参照してください: 共有インターフェイスの設定

混合ルーティング モードでは、同じタイプであるものの相互に異なる複数のインターフェイスがあります。例えば、複数の信頼済みインターフェイスを構成する場合、接続を許可する Firebox ポリシーを構成していない限り、ある信頼済みネットワーク上のホストは、別の信頼済みネットワーク上のホストに接続できません。

スラッシュ表記の詳細については、次を参照してください: スラッシュ表記法について

モデム インターフェイス

一部の Firebox モデルでは、モデムの設置がサポートされています。Fireware v12.1 以降では、モデムはモデム フェールオーバーが有効な外部インターフェイスとして構成されています。モデムインターフェイスは、複数 WAN をサポートする Firebox および XTM デバイスの複数 WAN に追加できます。詳細については、モデム インターフェイスについて を参照してください。

モジュラー インターフェイス

一部の Firebox モデルでは、インターフェイス モジュールのインストールがサポートされています。インターフェイスを構成する前に、インターフェイス モジュールを設置する必要があります。モジュラー インターフェイスの番号付けは、他の物理インターフェイスと似ているように見えます。モジュラー インターフェイスがサポートされている Firebox モデルの場合は、インターフェイス リストに モジュール 列が含まれています。この列には、各インターフェイス モジュールの前面にラベル付けされているのと同じポート番号が表示されています。

モジュラー インターフェイスの詳細については、次を参照してください: モジュラー インターフェイスについて

ワイヤレス インターフェイス

Fireware XTM v11.9 以降を使用する Firebox のワイヤレス デバイスで少なくとも 1 つのワイヤレス アクセス ポイントを有効化すると、インターフェイスのリストに、ワイヤレス アクセス ポイントに応答する 3 つのインターフェイスが含まれます。

  • ath1 — アクセス ポイント 1
  • ath2 — アクセス ポイント 2
  • ath3 — アクセス ポイント 3

これらのインターフェイスの設定は、ネットワーク > ワイヤレス 設定でワイヤレス アクセス ポイントに構成する設定と同じです。

ワイヤレス インターフェイス構成の詳細については、次を参照してください: ワイヤレス接続を有効化する

DNS 設定

ネットワーク構成では、以下を構成することができます。

  • DNS サーバーおよび WINS サーバー
  • DNS 転送
  • 条件付き DNS 転送ルール

Fireware v12.6.4 以降では、DNS キャッシュを無効にすることもできます。

DNS サーバーと Firebox 上のサービス、および DNS キャッシュの情報については、次を参照してください:Firebox の DNS について

DNS 転送については、次を参照してください:DNS 転送について

関連情報:

ルートとルーティング

複数 WAN について

ネットワーク接続をトラブルシューティングする